1.0、cce-vpc架构

                                                                                                                                                             1.0、 简介
CCE       云容器引擎             云容器引擎(Cloud Container Engine)提供高可靠高性能的企业级容器应用管理服务。
SWR     云容器镜像服务       华为云容器镜像服务（SoftWare Repository for Container）是一种支持容器镜像全生命周期管
                                         理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。

ASM     应用服务网格          应用服务网格（Application Service Mesh)是一种高性能、高可靠性和易用性的服务网格，以
                                         基础设施的方式为用户提供服务流量管理、服务运行监控、服务访问安全以及服务发布能力。

AOM/LTS  应用运维/云日志服务       应用运维管理（Application Operations Management)是云上应用的一站式立体化运维管理平台，
                                                      实时监控您的应用及相关云资源，分析应用健康状态，提供灵活丰富的数据可视化功能。

ROMA Connect   应用与数据集成平台   应用与数据集成平台，聚焦应用和数据联接，提供消息、数据、API、设备集成能力，
                                                         帮助企业快速、简单的打通并管理Legacy系统与CloudNative应用，联接云上云下，
                                                          消除数字鸿沟，构建业务敏捷性，驱动数字化转型。

ROMA Factory    应用管理与运维平台    应用管理与运维平台，又称ServiceStage是面向企业的一站式PaaS平台服务，提供应用
                                                          云上托管解决方案，帮助企业简化部署、监控、运维和治理等应用生命周期管理问题;
                                                         提供微服务框架，兼容主流开源生态，不绑定特定开发框架和平台，帮助企业快速构建
                                                         基于微服务架构的分布式应用。
 
DCS                       分布式缓存服务          分布式缓存服务（(Distributed Cache Service)为您提供即开即用、安全可靠、弹性扩容、
                                                         便捷管理的在线分布式缓存能力，兼容Redis，提供单机、主备和集群的实例类型，满足
                                                         用户高并发及快速数据访问的业务诉求。

BCS                       区块链服务                区块链服务（Blockchain Service)是基于Hyperledger Fabric、面向企业及开发者的区块链技术
                                                        平台服务，它可以帮助您快速部署、管理、维护区块链网络，降低您使用区块链的门槛，
                                                        让您专注于自身业务的开发与创新，实现业务快速上链。






1.0、掩码IP个数对照表









1.1、容器隧道网络：
• 节点内Pod间通信：同节点的Pod间通信直接通过本节点的ovs网桥直接转发。
• 跨节点Pod间通信：所有跨节点Pod间的通信通过ovs隧道网桥进行封装后，转发到对端节点上。

优点
容器网络和节点网络解耦，不受VPC配额规格、响应速度的限制
如VPC路由条目数、弹性网卡数、创建速度限制
支持网络隔离
• 支持带宽限制
• 支持大规模组网

缺点：
• 由于隧道封装，网络问题排查难度较大，整体性能较低
• 无法直接利用VPC提供的负载均衡、安全组等能力
• 不支持外部网络与容器IP直通

• 

• 


应用场景
• 对性能要求不高：由于需要额外的VXLAN隧道封装，相对于另外两种容器网络模式，性能存在一定的损耗。大概有5%-15%的性能损失。所以容器隧道网络适用于对性能要求不是特别高的业务场景，比如：web应用、访问量不大的数据中台、后台服务等。
• 大规模组网：相比VPC路由网络受限于VPC路由条目配额的限制，容器隧道网络没有网络基础设施的任何限制；同时容器隧道网络把广播域控制到了节点级别，容器隧道网络最大可支持2000节点规模。

1.2、VPC





 1.3、cce架构








1.4、业务面容器集群架构







1.5、容器存储
块存储(EVS)：
  每台服务器使用单独的块存储，多服务之间数据隔离
  -  推荐使用有状态应用(StatefulSet)挂载使用云盘。

文件存储(SFS)：
  多台服务器可挂载同一文件系统，实现数据共享和访问.
   -  共享存储，可以同时为多个Pod提供共享存储服务，即一个PVC可以同时被多个Pod使用。

对象存储(OBS)：
  所有调用相同路径，均可访问共享的对象存储
  -  适合于读文件场景。例如:读配置文件、视频、图片文件等场景。



1.6、弹性伸缩

HPA(Horizontal Pod Autoscaling)：
-  HPA负责工作负载弹性伸缩,deployment的弹性伸缩

CA (Cluster AutoScaling):
-  CA负责节点弹性伸缩，也就是资源层面的弹性伸缩。
-  CA会检查所有Pending状态的Pod ,根据用户配置的扩缩容策略，选择出一个最合适的节点池，在这个节点池扩容。   







1.7、权限管理
1.7.1、集群权限：
 


1.7.1.1、系统策略:

  CCE FullAccess:               CCE服务集群相关资源的普通操作权限，使用时请添加必要角色，例如Tenant Guest。
  CCE ReadOnlyAccess:   云容器引擎只读权限，使用时请添加必要角色，例如VDC只读管理员。
  

1.7.1.2、自定义策略
{
    "Version": "1.1",
    "Statement":[
        {
            "Effect": "Allow",
            "Action": [
                "cce:cluster:create"
            ]
        }
    ]
}


{
    "Version": "1.1",
    "Statement":[
        {
            "Effect": "Deny",
            "Action": [
                "cce:node:delete"
            ]
        }
    ]
}




1.7.2、命名空间权限：
view:对全部或所选命名空间下大多数资源的只读权限。
edit:对全部或所选命名空间下多数资源的读写权限。当配置在全部命名空间时能力与运维权限一致。
admin:对全部命名空间下大多数资源的读写权限，对节点、存储卷，命名空间和配额管理的只读权限。
cluster-admin:对全部命名空间下所有资源的读写权限。


 





1.8、模板市场













1.8.1、打包命令
               helm package demopaasport/  





0、虚拟数据中心VDC：
     - 是面向最终组织的资源容器，它属于一个组织，有计算和存储，网络配额能力
     - 公有云场景下管理员可以定义VDC并为VDC分配租户，只有VDC租户可以管理vdc下的虚拟机


1、容器镜像服务SWR：
 - 无缝对接CCE，快速部署容器应用，内网下载无需耗费公网流量


2、分布式 缓存服务(DCS):  
-  为华为云提供一款内存数据库服务，集成了redis和memcahced两种 内存数据库引擎，为客户提供安全高效，弹性扩容，高并发数据快速访问能力
 
3、Roma-connect(应用与数据集成平台):  
-  数据集成FDI  为文本 消息 API  关系型数据和非关系型数据快速接入
-  服务集成APIC    API接口，为后端服务，数据源，自定义函数封装成restful 提供统一的接口,并对外开放-  
-  消息集成MQS   提供统一的消息接入机制，降低消息对接成本
-  设备集成Link   支持设备与roma-connect数据的双向同步

4、ServiceStage(应用管理平台):  
-  容器的部署 虚机的部署，容器的启停，虚机的启停   
-  微服务引擎(CSE)  : 用于微服务云中间件，提供注册发现，服务治理，配置管理
-  支微服务框架spring cloud  dubbo 服务网格(istio)    
-  日志收集和运维监控报警
-  支持java、go、python、 node.js

5、应用性能管理（APM）：
 - 包括调用链追踪、SQL分析、JVM监控、安装配置、告警中心
 - 分布式调用链追踪技术还原问题现场，快速定位代码性能瓶颈

6、对象存储服务(obs):
   - 可以存储任何类型的文件(图片、文件、视频)
   - 可以随时上传下载管理数据，所有业务采用分布式集群  部署
   - 各节点、集群都可以独立扩容 
   - 支持ssl加密，结合ACL桶策略等多种方式对桶对象进行访问控制，确保数据传输与访问安全
   - 提供数据检查，分片冗余，维护数据持久报保存
   - 应用场景：
     -  网站和应用托管
        -  动静分离，静态内容放再obs上
     -  大数据应用
         -  通过internet将文件、图片、视频等数据直接存入obs
     -  云备份归档


7、应用与服务网格(ASM):
     -  添加服务、网格的使用、灰度发布、流量控制，流量监控，网络配置
     -  新的版本测试没有问题后，老用户的流量切到新的，老的进行升级



8、对华为云中的可用区域(AZ)概念进行了梳理
     - AZ是什么？
        -  一个地区(region)内至少两个至三个可用区
        -  每个可用区有自己的电力基础设施，而且可用区和可用区之间都会间隔一定距离，不过彼此之间都在100公里以内
        -  通过高带宽、低延迟网络与完全冗余的专用城域光纤互连，为可用区之间提供高吞吐量和低延迟的网络
        - 为客户能够运行生产应用数据和数据库，搭建更强的可用性,容错能力以及扩展性
        - 跨AZ高可用性，在创建同集群时，选择同一个区域的两个或三个可用区，系统将在选择的可用区之间 分配节点
      - AZ怎么用？
         -  多个VDC使用同一个AZ时，从而使得AZ的资源可以复用
         -  多个AZ可以提供给同一个VDC使用时，从而使得同一VDC可跨多个物理数据中心
         -  一个VPC可以使用一个AZ的资源；当1：n时，一个VPC可以使用多个AZ，但是前提是这多个AZ要在同一个物理数据中心内
         -  多AZ采用Erasure Code（EC，纠删码）算法做数据冗余，不是以副本的形式存储。选择多AZ存储的桶，数据将存储在同一区域的多个不同AZ。当某个AZ不可用时，仍然能够从其他AZ正常访问数据，适用于对可靠性要求较高的数据存储场景。目前多AZ只支持一个AZ故障