当一个excel有多个sheet,无法遍历获取excel内容；遍历第一次可以获取到数据，循环第二次直接卡死  也不报错   直接处于等待中

Nmap的功能扫描远程服务开放的端口识别目标服务器上的服务发现局域网中存活的主机官方网站Nmap官网：https://nmap.org扫描远程服务器开放端口使用命令：nmap 域名/IP提示：探测中可以使用回车查看探测进度。端口状态Open 表示端口处于开放状态Closed 表示端口处于关闭状态Filterd 表示端口处于过滤无法收到返回的probe状态UnFilterd 表示端口收到反悔的probe，但是无法确认Open/Filterd 表示端口处于开放或者是过滤状态Closed/UnFilterd 表示端口处于关闭或者过滤状态原理扫描原理：nmap根据输入的命令判断是否包含域名，若包含域名则需要利用DNS服务器对域名进行解析，让后发送ICMP数据包来探测主机是否存活。对存活主机发送探测包判读对应端口是否开放。指定DNS服务器如果使用的是域名，则探测前需要把域名通过DNS服务器解析为IP地址，可以通过参数--dns-servers指定DNS服务器.nmap --dns-servers 8.8.8.8 smallstore.top跳过机器存活探测对于已经知道存活或者防火墙开启的机器，可以使用-Pn参数来跳过探测前的ICMP请求，从而达到不触发防火墙的安全机制使用命令：nmap -Pn 域名/IP指定探测范围内的端口使用-p m-n参数可以指定探测一定范围内的端口使用命令：nmap -p m-n 域名/IP识别目标服务器上的服务指纹服务指纹信息包括服务端口、服务名和版本信息。使用命令：nmap -sV IP原理通过分析目标机器返回的的数据包中的协议标记、选项和数据，可以推断出发送数据的服务信息。侵略性探测探测目标机器的操作系统、服务信息等。使用命令：nmap -A -v -T4 IP-A 侵略性探测；-v 持续输出； -T4 加速探测探测局域网中存活的主机使用命令：nmap -sP CIDR 或者 nmap -sn CIDRCIDR（无类别域间路由）是一种网络表达方式，例如：192.168.88.1/24结果输出为xml文件：`nmap -sn CIDR -oX test.xml端口探测技巧对单个端口进行探测使用参数-p可以指定探测端口# 探测指定IP的80端口 nmap -p80 192.168.88.107`对多个端口进行探测# 探测指定IP的80，22，443端口 nmap -p80,22,443 192.168.88.107`对范围内端口进行探测# 探测指定IP的1-5000内端口 nmap -p 1-5000 192.168.88.107对所有端口进行探测# 探测指定IP的所有端口 nmap -p- 192.168.88.107对指定协议端口探测# 探测指定IP的TCP协议25端口，UDP协议53号端口 nmap -p T:25,U:53 192.168.88.107对指定协议端口探测# 探测指定IP的smtp协议端口 nmap -p smtp 192.168.88.107对模糊协议名称端口探测# 探测指定IP中名称以s开头的协议端口 nmap -p s* 192.168.88.107NSE脚本的使用NSE(Nmap Script Engine) Nmap脚本引擎，内置很多可以用来扫描，针对特定任务的脚本。通过脚本拓展Nmap的扫描策略，加强Nmap的功能。# 使用参数--script来指定使用的脚本，脚本储存在/usr/share/nmap/script下。 nmap --script http-title 192.168.88.101NSE特定情况使用举例漏洞探测# 探测目标机器漏洞，利用方法，漏洞参考。 nmap -sV --script vuln 192.168.88.101分类探测# 通过版本信息分类 nmap -sV --script version,discovery 192.168.88.101通过模糊匹配使用多个脚本并排除指定脚本# 使用Nmap中的http开头的脚本，但是除了(http-slowlors and http-brute)。 nmap -sV --script "(http*) and not (http-slowlors and http-brute)" 192.168.88.101调试功能的使用# 使用Nmap中的exploit脚本，同时开启调试模式。-d表示调试等级 有（0-9）10个等级 nmap -sV --script exploit -d 3 --script-trace 192.168.88.101脚本参数的使用# 使用Nmap中的http-title脚本，同时指定user_Agent的参数 nmap -sV --script http-title --script-args http.useragent="Mozilla 999" 192.168.88.101脚本的更新# 更新NSE脚本 nmap --script-updatedb脚本功能查询具体脚本功能可以登录官方网站查看：cid:link_0指定网卡探测针对多网卡网络，可以指定网卡探测。使用nmap -iflist命令查看本机网卡信息# 指定使用eth0进行探测 nmap -e eth0 192.168.88.1/24对比扫描结果使用ndiff工具进行对比# 对比两次探测结果 ndiff output1.xml output2.xmlNmap可视化使用在windows安装Nmap是会自动安装Zenmap，找打安装位置打开即用。

实验：GVRP协议的配置1​ 【实验目的】1.​ 深刻理解GVRP协议原理。2.​ 掌握GVRP协议的配置方法2​ 【实验环境】在大型的网络中，华为交换机之间的串联是很普遍的。一般交换机与交换机之间的互联端口都是配置成Trunk，即允许传输多个VLAN的。对于用户来说，手工配置太麻烦。一个规模比较大的网络可能包含多个VLAN，而且网络的配置也会随时发生变化，导致网络的拓扑结构逐个交换机配置TRUNK端口过于复杂。因此引入GVRP协议来解决这个问题：GVRP协议根据网络情况动态配置干道链路。GVRP（GARP VLAN Registration Protocol），称为VLAN注册协议，是用来维护交换机中的VLAN动态注册信息，并传播该信息到其他交换机中，避免了我们手工一个个去配置静态VLAN，进而提高工作效率。GVRP的注册模式包括：Normal,fixed和forbidden。实验拓扑图如下图所示。3​ 【实验过程】LSWA配置sysEnter system view, return user view with Ctrl+Z.[Huawei]sys LSWA[LSWA][LSWA]vlan batch 2 to 10Info: This operation may take a few seconds. Please wait for a moment...done.[LSWA][LSWA]gvrp[LSWA]int g0/0/1[LSWA-GigabitEthernet0/0/1]port link-type trunk[LSWA-GigabitEthernet0/0/1]port trunk allow-pass vlan all[LSWA-GigabitEthernet0/0/1]gvrp[LSWA-GigabitEthernet0/0/1]q[LSWA]LSWB配置sysEnter system view, return user view with Ctrl+Z.[Huawei]sys LSWB[LSWB][LSWB]gvrp[LSWB]int g0/0/1[LSWB-GigabitEthernet0/0/1]port link-type trunk[LSWB-GigabitEthernet0/0/1]port trunk allow-pass vlan all[LSWB-GigabitEthernet0/0/1][LSWB-GigabitEthernet0/0/1]gvrp[LSWB-GigabitEthernet0/0/1]gvrp registration fixed[LSWB-GigabitEthernet0/0/1]q[LSWB][LSWB]gvrp Info: GVRP has been enabled.[LSWB]int g0/0/2[LSWB-GigabitEthernet0/0/2]port link-type trunk[LSWB-GigabitEthernet0/0/2]port trunk allow-pass vlan all[LSWB-GigabitEthernet0/0/2]gvrp[LSWB-GigabitEthernet0/0/2]gvrp registration normal[LSWB-GigabitEthernet0/0/2]q[LSWB][LSWB]gvrp Info: GVRP has been enabled.[LSWB]int g0/0/3[LSWB-GigabitEthernet0/0/3]port link-type trunk[LSWB-GigabitEthernet0/0/3]port trunk allow-pass vlan all[LSWB-GigabitEthernet0/0/3]gvrp[LSWB-GigabitEthernet0/0/3]gvrp registration forbiddenInfo: This operation may take a few seconds. Please wait for a moment...done.[LSWB-GigabitEthernet0/0/3]q[LSWB]LSWC配置sysEnter system view, return user view with Ctrl+Z.[Huawei]sys LSWC[LSWC][LSWC]gvrp[LSWC]int g0/0/1[LSWC-GigabitEthernet0/0/1]port link-type trunk[LSWC-GigabitEthernet0/0/1]port trunk allow-pass vlan all[LSWC-GigabitEthernet0/0/1][LSWC-GigabitEthernet0/0/1]gvrp[LSWC-GigabitEthernet0/0/1]gvrp registration normal[LSWC-GigabitEthernet0/0/1]q[LSWC]LSWD配置sysEnter system view, return user view with Ctrl+Z.[Huawei]sys LSWC[LSWC][LSWC]gvrp[LSWC]int g0/0/1[LSWC-GigabitEthernet0/0/1]port link-type trunk[LSWC-GigabitEthernet0/0/1]port trunk allow-pass vlan all[LSWC-GigabitEthernet0/0/1][LSWC-GigabitEthernet0/0/1]gvrp[LSWC-GigabitEthernet0/0/1]gvrp registration forbiddenInfo: This operation may take a few seconds. Please wait for a moment...done.[LSWC-GigabitEthernet0/0/1]q[LSWC]4​ 【实验结果】验证LSWA验证：LSWB验证：LSWC验证：LSWD验证：由实验结果可以看出，LSWA和LSWB之间为gvrp的normal模式，LSWB学习到了LSWA的动态vlan2和vlan10；LSWB与LSWC之间为gvrp的fixed模式，在LSWC中无法获取到LSWB上的动态vlan信息，因此在LSWC上只存在静态的vlan1。5​ 【实验总结】1、​ 了解GVRPGVRP（GARP VLAN Registration Protocol），称为VLAN注册协议，是用来维护交换机中的VLAN动态注册信息，并传播该信息到其他交换机中，避免了我们手工一个个去配置静态VLAN，进而提高工作效率。GVRP的注册模式包括：Normal,fixed和forbiddenfixed：不允许动态VLAN在端口上注册或者注销，且只发送静态VLAN的声明消息。forbidden：不允许动态VLAN在端口上进行注册，同时删除端口上除了VLAN1外的所有VLANNormal：允许静态和动态VLAN注册，同时发送静态VLAN和动态VLAN的信息，缺省情况下，gvrp接口注册的模式为normal。2、​ 简单配置配置思路：首先开启全局gvrp，然后配置交换机之间的trunk链路，并允许所有VLAN通过，开启接口gvrp。注意：gvrp注册是单向注册，所以配置gvrp时需要双向配置。3、​ GVRP查看命令：display gvrp status //验证GVRP的配置，可以查看交换机是否使用了GVRPdisplay gvrp statistics //可以查看GVRP中活动接口的信息。display vlan //展现vlandisplay vlan summary //展现vlan信息

【实验目的】掌握OSPF在帧中继网络中的配置方法理解Hub- Spoke组网架构掌握在帧中继网络中排除OSPF故障的方法【实验环境】IP地址规划表设备接口IP地址子网掩码R1S0/0/010.45.123.1255.255.255.0E0/0/010.45.1.1255.255.255.0R2S0/0/110.45.123.2255.255.255.0E0/0/010.45.2.1255.255.255.0R3S0/0/210.45.123.3255.255.255.0E0/0/010.45.3.1255.255.255.0PC1E0/0/110.45.1.10255.255.255.0PC2E0/0/110.45.2.10255.255.255.0PC3E0/0/110.45.3.10255.255.255.0【实验过程】27.1基本配置在R1、R2、R3上配置帧帧中继接口，关闭帧中继逆向地址解析功能,其中将R1设置为DR，DR优先级为100:AR1<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys AR1[AR1]link-protocol fr ietf[AR1]int s0/0/0[AR1-Serial0/0/0]link-protocol fr ietfWarning: The encapsulation protocol of the link will be changed.Continue? [Y/N]:y[AR1-Serial0/0/0]ip add 10.45.123.1 24[AR1-Serial0/0/0]undo fr inarp[AR1-Serial0/0/0]fr map ip 10.45.123.2 102[AR1-Serial0/0/0]fr map ip 10.45.123.3 103[AR1-Serial0/0/0]ospf dr-priority 100[AR1-Serial0/0/0]q[AR1]int e0/0/0[AR1-Ethernet0/0/0]ip add 10.45.1.1 24[AR1-Ethernet0/0/0]qAR2<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys AR2[AR2]int s0/0/1[AR2-Serial0/0/1]link-protocol fr ietfWarning: The encapsulation protocol of the link will be changed.Continue? [Y/N]:y[AR2-Serial0/0/1]ip add 10.45.123.2 24[AR2-Serial0/0/1]undo fr inarp[AR2-Serial0/0/1]fr map ip 10.45.123.1 201[AR2-Serial0/0/1]q[AR2]int e0/0/0[AR2-Ethernet0/0/0]ip add 10.45.2.1 24[AR2-Ethernet0/0/0]qAR3<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys AR3[AR3]int s0/0/2[AR3-Serial0/0/2]link-protocol fr ietfWarning: The encapsulation protocol of the link will be changed.Continue? [Y/N]:y[AR3-Serial0/0/2]ip add 10.45.123.3 24[AR3-Serial0/0/2]undo fr inarp[AR3-Serial0/0/2]fr map ip 10.45.123.1 301[AR3-Serial0/0/2]q[AR3]int e0/0/0[AR3-Ethernet0/0/0]ip add 10.45.3.1 24[AR3-Ethernet0/0/0]q27.2查看帧中继的虚电路和映射表[AR1]dis fr pvc-infoPVC statistics for interface Serial0/0/0 (DTE, physical UP)DLCI = 102, USAGE = LOCAL (00000100), Serial0/0/0create time = 2020/11/21 18:45:33, status = ACTIVEInARP = Disablein BECN = 0, in FECN = 0in packets = 0, in bytes = 0out packets = 1, out bytes = 30DLCI = 103, USAGE = LOCAL (00000100), Serial0/0/0create time = 2020/11/21 18:45:33, status = ACTIVEInARP = Disablein BECN = 0, in FECN = 0in packets = 0, in bytes = 0out packets = 1, out bytes = 30[AR1]dis fr map-infoMap Statistics for interface Serial0/0/0 (DTE)DLCI = 102, IP 10.45.123.2, Serial0/0/0create time = 2020/11/21 18:45:59, status = ACTIVEencapsulation = ietf, vlink = 3DLCI = 103, IP 10.45.123.3, Serial0/0/0create time = 2020/11/21 18:46:00, status = ACTIVEencapsulation = ietf, vlink = 427.3测试连通性R1和R2的连通性R1和R2的连通性27.4在帧中继上搭建OSPF网络AR1[AR1]ospf router-id 10.45.1.10[AR1-ospf-1]area 0[AR1-ospf-1-area-0.0.0.0]net 10.45.123.1 0.0.0.255[AR1-ospf-1-area-0.0.0.0]net 10.45.1.10 0.0.0.255[AR1-ospf-1-area-0.0.0.0]q[AR1-ospf-1]qAR2[AR2]ospf router-id 10.45.2.10[AR2-ospf-1]area 0[AR2-ospf-1-area-0.0.0.0]net 10.45.123.2 0.0.0.255[AR2-ospf-1-area-0.0.0.0]net 10.45.2.10 0.0.0.255[AR2-ospf-1-area-0.0.0.0]q[AR2-ospf-1]qAR3[AR3]ospf router-id 10.45.3.10[AR3-ospf-1]area 0[AR3-ospf-1-area-0.0.0.0]net 10.45.123.2 0.0.0.255[AR3-ospf-1-area-0.0.0.0]net 10.45.3.10 0.0.0.255[AR3-ospf-1-area-0.0.0.0]q[AR3-ospf-1]q27.5查看R1的邻居[AR1]dis ospf peerOSPF Process 1 with Router ID 10.45.1.1发现无法正常建立邻居，这是明显的网络故障。于是我们来排查故障，排查故障时应遵循底层逐步向上层的顺序，即先检查物理层，然后二层链路层，之后高层。物理层的检查这里省略，直接测试连通性：[AR1]ping 10.45.123.2PING 10.45.123.2: 56 data bytes, press CTRL_C to breakReply from 10.45.123.2: bytes=56 Sequence=1 ttl=255 time=70 msReply from 10.45.123.2: bytes=56 Sequence=2 ttl=255 time=10 msReply from 10.45.123.2: bytes=56 Sequence=3 ttl=255 time=10 msReply from 10.45.123.2: bytes=56 Sequence=4 ttl=255 time=110 msReply from 10.45.123.2: bytes=56 Sequence=5 ttl=255 time=40 ms--- 10.45.123.2 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 10/48/110 ms可以观察到，直连链路没有问题，我们来检查三层路由协议，即相应接口是否被通告到OSPF进程中。[AR1]display ospf interfaceOSPF Process 1 with Router ID 10.45.1.10InterfacesArea: 0.0.0.0 (MPLS TE not enabled)IP Address Type State Cost Pri DR BDR10.45.123.1 NBMA DR 1562 100 10.45.123.1 0.0.0.010.45.1.1 P2P P-2-P 0 1 10.45.1.1 0.0.0.0发现R1始终没有向外发送OSPF报文，这是因为OSPF在帧中继上默认的网络类型为NBMA，即非广播多路访问。这种类型是不支持广播和组播的，而OSPF默认时组播发送，故OSPF无法在帧中继中发送报文，无法建立邻居关系。可以采取手工配置邻居，单播发送报文。27.6手工配置邻居 AR1[AR1]ospf[AR1-ospf-1]peer 10.45.123.2[AR1-ospf-1]peer 10.45.123.3[AR1-ospf-1]qAR2[AR2]ospf[AR2-ospf-1]peer 10.45.123.1[AR2-ospf-1]peer 10.45.123.3[AR2-ospf-1]qAR3[AR3]ospf[AR3-ospf-1]peer 10.45.123.1[AR3-ospf-1]peer 10.45.123.2[AR3-ospf-1]q查看R1的邻居关系可以看到，邻居关系已经建立成功。27.7配置PVC复用技术[AR2-Serial0/0/1]fr map ip 10.45.123.3 201[AR3-Serial0/0/2]fr map ip 10.45.123.2 30127.8测试R2和R3的的连通性PC>ping 10.45.123.3Ping 10.45.123.3: 32 data bytes, Press Ctrl_C to breakFrom 10.45.123.3: bytes=32 seq=1 ttl=255 time=109 msFrom 10.45.123.3: bytes=32 seq=2 ttl=255 time=47 msFrom 10.45.123.3: bytes=32 seq=3 ttl=255 time=47 msFrom 10.45.123.3: bytes=32 seq=4 ttl=255 time=31 msFrom 10.45.123.3: bytes=32 seq=5 ttl=255 time=63 ms--- 10.45.123.3 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 31/59/109 ms知识点总结帧中继(frame-ralay)是一种广域网技术，属于分组交换门里的一种；frame-relay是一种二层技术，与具体的物理链路无关。再说说ospf:ospf是一种动态路由协议，用以生成路由表，是众多的路由协议中较为优秀的一种，一般用再大中型企业。路由表是路由器转发数据所依赖的一张表。因此可以说没有路由协议就没有路由表，路由器就不能完成转发数据的重任。

期数内容专题属性链接第一期《iMaster NCE AOC 开放可编程平台》技术专著cid:link_10第二期开放可编程架构和能力介绍优秀视频https://devzone.huawei.com/cn/enterprise/aoc/videos/aocMasterBrief.html?id=104&number=1&from=allVideos第三期开放可编程界面操作指引优秀视频https://devzone.huawei.com/cn/enterprise/aoc/videos/aocGuide.html?id=2&number=1&from=allVideos第四期可编程时代网络工程师技能转型优秀视频https://devzone.huawei.com/cn/enterprise/aoc/videos/aocEvolution.html?id=120&number=1&from=allVideos第五期YANG基础知识简介优秀视频https://devzone.huawei.com/cn/enterprise/aoc/videos/aocYANG.html?id=105&number=1&from=allVideos第六期Python基础与AOC PythonOpen-API优秀视频https://devzone.huawei.com/cn/enterprise/aoc/videos/aocPython.html?id=119&number=1&from=allVideos第七期Jinja基础知识简介优秀视频https://devzone.huawei.com/cn/enterprise/aoc/videos/aocJinja.html?id=107&number=1&from=allVideos第八期NETCONF协议简介优秀视频https://devzone.huawei.com/cn/enterprise/aoc/videos/aocNetconf.html?id=106&number=1&from=allVideos第九期数通网络开放可编程之“Hello World”优秀视频https://devzone.huawei.com/cn/enterprise/aoc/videos/aocUsePackage.html?id=108&number=1&from=allVideos第十期SND开发指导视频优秀视频https://devzone.huawei.com/cn/enterprise/aoc/videos/index.html?id=157&number=1第十一期SSP开发指导视频优秀视频https://devzone.huawei.com/cn/enterprise/aoc/videos/index.html?id=158&number=1

实验：RIPng协议的配置1​ 【实验目的】1.​ 深刻理解IPv6路由协议原理。2.​ 掌握RIPng协议的配置方法2​ 【实验环境】IPv6是英文“Internet Protocol Version 6”（互联网协议第6版）的缩写，是互联网工程任务组（IETF）设计的用于替代IPv4的下一代IP协议，其地址数量号称可以为全世界的每一粒沙子编上一个地址。由于IPv4最大的问题在于网络地址资源有限，严重制约了互联网的应用和发展。IPv6的使用，不仅能解决网络地址资源数量的问题，而且也解决了多种接入设备连入互联网的障碍。互联网数字分配机构（IANA）在2016年已向国际互联网工程任务组（IETF）提出建议，要求新制定的国际互联网标准只支持IPv6，不再兼容IPv4。RIPng的度量是基于跳数(hops count)的，每经过一台路由器，路径的跳数加l。如此一来，跳数越多，路径就越长，路由算法会优先选择跳数少的路径。RIPng支持的最大跳数是15，跳数为16的网络被认为不可达。实验拓扑图如下图所示。3​ 【实验过程】RTA配置sysEnter system view, return user view with Ctrl+Z.[RTA]sys RTA[RTA][RTA]ipv6[RTA][RTA]int g0/0/0[RTA-GigabitEthernet0/0/0]ipv6 en[RTA-GigabitEthernet0/0/0]ipv6 address auto link-local[RTA-GigabitEthernet0/0/0]ripng 1 en[RTA-GigabitEthernet0/0/0]q[RTA][RTA]int loopback0[RTA-LoopBack0]ipv6 en[RTA-LoopBack0]ipv6 add 2001:1::1/64[RTA-LoopBack0]ripng 1 en[RTA-LoopBack0]qRTB配置sysEnter system view, return user view with Ctrl+Z.[RTB]sys RTB[RTB][RTB]ipv6[RTB]int g0/0/0[RTB-GigabitEthernet0/0/0][RTB-GigabitEthernet0/0/0]ipv6 en[RTB-GigabitEthernet0/0/0]ipv6 address auto link-local[RTB-GigabitEthernet0/0/0]ripng 1 en[RTB-GigabitEthernet0/0/0]q[RTB][RTB]int loopback0[RTB-LoopBack0]ipv6 en[RTB-LoopBack0]ipv6 add 2001:2::1/64[RTB-LoopBack0]ripng 1 en[RTB-LoopBack0]q4​ 【实验结果】验证RTA验证：RTB验证：由实验结果可以看出，两个路由器RTA与RTB通过添加了RIPng协议之后可以进行相互通讯和学习。5​ 【实验总结】5.1​ 了解IPv6与RIPngIPv6的地址长度为128位，是IPv4地址长度的4倍。于是IPv4点分十进制格式不再适用，采用十六进制表示。IPv6有3种表示方法。5.1.1​ IPv65.1.1.1​ 冒分十六进制表示法格式为X:X:X:X:X:X:X:X，其中每个X表示地址中的16b，以十六进制表示，例如：ABCD:EF01:2345:6789:ABCD:EF01:2345:6789这种表示法中，每个X的前导0是可以省略的，例如：2001:0DB8:0000:0023:0008:0800:200C:417A→ 2001:DB8:0:23:8:800:200C:417A5.1.1.2​ 0位压缩表示法在某些情况下，一个IPv6地址中间可能包含很长的一段0，可以把连续的一段0压缩为“::”。但为保证地址解析的唯一性，地址中”::”只能出现一次，例如：FF01:0:0:0:0:0:0:1101 → FF01::11010:0:0:0:0:0:0:1 → ::10:0:0:0:0:0:0:0 → ::5.1.1.3​ 内嵌IPv4地址表示法为了实现IPv4-IPv6互通，IPv4地址会嵌入IPv6地址中，此时地址常表示为：X:X:X:X:X:X:d.d.d.d，前96b采用冒分十六进制表示，而最后32b地址则使用IPv4的点分十进制表示，例如::192.168.0.1与::FFFF:192.168.0.1就是两个典型的例子，注意在前96b中，压缩0位的方法依旧适用。5.1.2​ RIPng5.1.2.1​ 路由更新RIPng中路由的更新是通过定时广播实现每个路由表有一个更新计时器，缺省情况下，路由器每隔30秒向与它相连的网络广播自己的路由表，接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播，最终网络上所有的路由器都会得知全部的路由信息。正常情况下，每30秒路由器就可以收到一次路由信息确认，如果经过180秒，即6个更新周期，1个路由项都没有得到确认，路由器就认为它已失效了。如果再经过120秒，路由项仍没有得到确认，它就被从路由表中删除。上面的30秒、180秒和120秒的延时都是由计时器控制的，它们分别是更新计时器、暂时超时计时器和垃圾收集计时器。5.1.2.2​ 报文格式RIPng报文用UDP数据报进行传输，使用端口号521发送和接收数据报。RIPng报文分为两类：选路信息报文和用于请求信息的报文。它们都使用相同格式，由固定的首部和路由表项I盯E(Route Table Entry)组成，其中路由表项可以有多个，如图2所示。首部包括命令字段和版本号字段。同RIP一样，命令字段用来区分报文要实现的各种操作。其中命令号1表示请求部分或全部选路信息，命令号2表示响应。RIPng：路由选择信息协议下一代（应用于IPv6）5.1.2.3​ RIPng工作原理路由器通常不会主动发出请求报文来进行路由请求，路由请求通常只是在路由器刚启动或是路由器正在寻找路由信息时才会发出请求报文以获得响应。路由器在查询响应、周期更新、触发更新三种情况下会收到响应报文。路由器根据响应报文判断是否对本地路由表进行更新。由于响应报文可能对本地路由表进行改动，因此对报文的来源必须进行严格的检查，以确认报文的合法性。5.1.3​ RIPv1 RIPv2和RIPng的比较5.1.3.1​ 地址版本。RIPv1、RIPv2是基于IPv4的，地址域只有32bit，而RIPng基于IPv6，使用的所有地址均为128bit。5.1.3.2​ 子网掩码和前缀长度。RIPv1被设计成用于无子网的网络，因此没有子网掩码的概念，这就决定了RIPv1不能用于传播变长的子网地址或用于CIDR的无类型地址。RIPv2增加了对子网选路的支持，因此使用子网掩码区分网络路由和子网路由。IPv6的地址前缀有明确的含义，因此RIPng中不再有子网掩码的概念，取而代之的是前缀长度。同样也是由于使用了IPv6地址，RIPng中也没有必要再区分网络路由、子网路由和主机路由。5.1.3.3​ 协议的使用范围。RIPv1、RIPv2的使用范围被设计成不只局限于TCP/IP协议簇，还能适应其他网络协议簇的规定，因此报文的路由表项中包含有网络协议簇字段，但实际的实现程序很少被用于其他非IP的网络，因此RIPng中去掉了对这一功能的支持。5.1.3.4​ 对下一跳的表示。RIPv1中没有下一跳的信息，接收端路由器把报文的源IP地址作为到目的网络路由的下一跳。RIPv2中明确包含了下一跳信息，便于选择最优路由和防止出现选路环路及慢收敛。与RIPv2不同，为防止RTE过长，同时也是为了提高路由信息的传输效率，RIPng中的下一跳字段是作为一个单独的RTE存在的。5.1.3.5​ 报文长度。RIPv1、RIPv2中对报文的长度均有限制，规定每个报文最多只能携带25个RTE。而RIPng对报文长度、RTE的数目都不作规定，报文的长度是由介质的MTU决定的。RIPng对报文长度的处理，提高了网络对路由信息的传输效率。5.1.3.6​ RIPng使用FF02::9这个地址进行组播更新。5.2​ 简单配置配置思路：首先对RTA进行一系列配置：包括开启IPv6地址和RIPng服务，并对其进行细致配置。同理对RTB进行类似的配置。5.3​ DHCPv6查看命令：dis ripng //查看路由器中ripng设置的相关信息Ping ipv6 X:X:X:X:X:X:X:X (其中每个X表示地址中的16b，以十六进制表示) //用于IPv6地址之间的连通性检测

↵读懂光领域新品亮点在华为全联接大会2022期间，华为推出F5G智简全光网六款创新产品，可广泛应用于电力、油气、铁路、城轨、教育、医疗、金融等行业，覆盖工业网络、园区网络、周界防护等场景，重塑行业生产力。工业网络场景推出无损工业光网三款新品会上，华为首次提出无损工业光网理念。无损工业光网具备全场景“0”丢包、毫秒级确定性低时延、超大规模组网的三大特征，精确匹配视频回传场景超远覆盖、生产控制场景精准控制和生产物联场景超高可靠的诉求，为工厂、地铁、高速、港口、电力、油气、交通路口、矿业等行业和场景打造安全可靠的工业通信网络，助力企业提质增效。面向工业领域，华为全光工业网方案推出三款无损工业光网新品，具体包括：业界首款全光智能授时物联网关Huawei OptiXstar T823E-T，在支持无损工业光网的同时，具备纳秒级高精度授时和物联网关功能，可广泛应用于变电站物联回传等工业物联场景业界首创光增程器（ORU, Optical Regeneration Unit）Huawei OptiXstar T650E，可以实现128个节点超大规模链型/环形组网，比传统方案提升10倍，匹配公路、铁路、隧道等高密/长链型组网场景的需求。新款小型化千兆工业ONU Huawei OptiXstar T602E，支持DIN导轨安装，实现光纤到机台，可广泛用于制造工厂各类机床接入场景。园区网络场景推出业界首款支持XGS-PON Pro硬隔离的光终端华为推出业界首款支持XGS-PON Pro硬隔离的光终端Huawei OptiXstar P893E，提供8个物理隔离的网络切片，可实现办公、生产等业务网络在同一根光纤上承载。不仅满足金融、医疗等行业的等保要求，同时有效实现多网合一，简化网络运维，节省独立网络建设投资。同时，Huawei OptiXstar P893E基于业界首创的XGS-PON Pro技术，结合独家PON Trunk技术，ONU上行带宽提升至25Gbps，相比上一代产品提升25%。在教室、办公室等场景，Huawei OptiXstar P893E支持两个万兆和8个千兆接口，可实现双Wi-Fi6 AP高速回传和多个千兆有线接入，满足无线移动办公、VR教学和智慧教室等应用。广域网络场景业界功耗最低的工业级OTN CPE面向泛工业场景广域网络，华为推出业界功耗最低的工业级OTN CPE Huawei OptiXstar E810，单设备功耗小于40W，支持太阳能供电，无风扇设计，可在-40℃~65℃环境温度下正常工作；支持SDH和OSU硬管道技术，解决油气阀室等场景取电困难、环境严苛等问题，助力实现油气管线无人化管理。周界防护场景光纤传感新品打造“光视联动”面向周界防护场景，华为推出光纤传感新品Huawei OptiXsense EF3000-F50，联动智能视觉，赋予周界防护多维感知、多维复核、精准定位的组合优势，为铁路、机场等各种复杂周界场景构建“零漏报、低误报、全天候、全覆盖”的防护能力，构筑全面安全的智能周界防护方案。华为长期坚持基础研究投入和光技术领域创新，携手客户和合作伙伴，深耕F5G行业场景应用，以领先的光产品和解决方案助力千行百业数字化转型，重塑行业生产力。

关于开放可编程社区登录账号变更说明亲爱的开放可编程社区用户：华为云账号后续会统一切换为华为账号。在切换过程中，受账号系统切换的影响，您在社区登录过程中可能会出现以下提示：您可以选择①，使用原华为云账号登录，系统将会引导您自动升级为华为账号。您也可以选择②，直接注册新华为账号或用已有华为账号登录。账号系统的切换不会影响您在开放可编程社区内的使用，为给您带来的登录不便表示歉意。祝您工作愉快，事业顺心。AOC社区生态团队使命必达 开放创新

1.1​ 【实验目的】1.​ 深刻理解VRRP协议原理。2.​ 掌握VRRP协议的配置方法1.2​ 【实验环境】实验拓扑图如下图所示。1.3​ 【实验过程】AR1配置<Huawei>system-view Enter system view, return user view with Ctrl+Z.[Huawei]sysname AR1 [AR1]interface loopback 0[AR1-LoopBack0]ip address 1.1.1.1 32 [AR1-LoopBack0]q[AR1]interface g0/0/0 [AR1-GigabitEthernet0/0/0]ip address 10.217.123.1 24 [AR1-GigabitEthernet0/0/0]q[AR1]ospf 1[AR1-ospf-1]area 0[AR1-ospf-1-area-0.0.0.0]network 10.217.123.0 0.0.0.255 [AR1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 [AR1-ospf-1-area-0.0.0.0]q[AR1-ospf-1]qAR2配置<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys AR2[AR2]int g0/0/0[AR2-GigabitEthernet0/0/0]ip add 10.217.123.2 24 [AR2-GigabitEthernet0/0/0]q[AR2]int g0/0/1[AR2-GigabitEthernet0/0/1]ip add 192.168.1.2 24 [AR2-GigabitEthernet0/0/1]q[AR2]ospf 1[AR2-ospf-1]silent-interface g0/0/1 [AR2-ospf-1]area 0[AR2-ospf-1-area-0.0.0.0]network 10.217.123.0 0.0.0.255 [AR2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 [AR2-ospf-1-area-0.0.0.0]q[AR2-ospf-1-area-0.0.0.0]q[AR2-ospf-1]q#VRRP配置[AR2]int g0/0/1[AR2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.1[AR2-GigabitEthernet0/0/1]vrrp vrid 1 priority 150[AR2-GigabitEthernet0/0/1]q#负载分担和认证[AR2]interface GigabitEthernet 0/0/1 [AR2-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 192.168.1.254 [AR2-GigabitEthernet0/0/1]vrrp vrid 2 priority 110AR3配置<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sys AR3[AR3]int g0/0/0[AR3-GigabitEthernet0/0/0]ip add 10.217.123.3 24[AR3-GigabitEthernet0/0/0]q[AR3][AR3]int g0/0/1[AR3-GigabitEthernet0/0/1]ip add 192.168.1.3 24[AR3-GigabitEthernet0/0/1]q[AR3][AR3]ospf[AR3-ospf-1]silent-interface g0/0/1 [AR3-ospf-1]area 0[AR3-ospf-1-area-0.0.0.0]network 10.217.123.0 0.0.0.255 [AR3-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 [AR3-ospf-1-area-0.0.0.0]q[AR3-ospf-1]q[AR3][AR3]int g0/0/1[AR3-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.1[AR3-GigabitEthernet0/0/1]q[R3]interface GigabitEthernet 0/0/1 [R3-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 192.168.1.254 [R3-GigabitEthernet0/0/1]vrrp vrid 2 priority 120 [R3-GigabitEthernet0/0/1]vrrp vrid 2 track interface G0/0/0 reduced 30[R3-GigabitEthernet0/0/1]q1.4​ 【实验结果】验证AR1的OSPF表：AR2的OSPF表：AR3的OSPF表：AR2、AR3中VRRP信息和负载分担情况：AR2:AR3:PC1和PC2的路径检测：PC1属于VRRP组1、PC2属于VRRP组2，通过配置了负载分担，可以看到PC1到AR1由AR2转发，而PC2到AR1由AR3转发PC1:PC2:1.5​ 【实验总结】虚拟路由冗余协议(Virtual Router Redundancy Protocol，简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中，它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱，允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。VRRP 路由器（VRRP Router）：运行 VRRP 协议的设备，它可能属于一个或多个虚拟路由器，如 SwitchA 和 SwitchB。虚拟路由器（Virtual Router）：又称 VRRP 备份组，由一个 Master 设备和多个 Backup 设备组成，被当作一个共享局域网内主机的缺省网关。如 SwitchA 和 SwitchB 共同组成了一个虚拟路由器。Master 路由器（Virtual Router Master）：承担转发报文任务的 VRRP 设备，如 SwitchA。Backup 路由器（Virtual Router Backup）：一组没有承担转发任务的 VRRP 设备，当 Master 设备出现故障时，它们将通过竞选成为新的 Master 设备，如 SwitchB。VRID：虚拟路由器的标识。如 SwitchA 和 SwitchB 组成的虚拟路由器的 VRID 为 1。虚拟 IP 地址 (Virtual IP Address)：虚拟路由器的 IP 地址，一个虚拟路由器可以有一个或多个 IP 地址，由用户配置。如 SwitchA 和 SwitchB 组成的虚拟路由器的虚拟 IP 地址为 10.1.1.10/24。IP 地址拥有者（IP Address Owner）：如果一个 VRRP 设备将虚拟路由器 IP 地址作为真实的接口地址，则该设备被称为 IP 地址拥有者。如果 IP 地址拥有者是可用的，通常它将成为 Master。如 SwitchA，其接口的 IP 地址与虚拟路由器的 IP 地址相同，均为 10.1.1.10/24，因此它是这个 VRRP 备份组的 IP 地址拥有者。 虚拟 MAC 地址（Virtual MAC Address）：虚拟路由器根据虚拟路由器 ID 生成的 MAC 地址。一个虚拟路由器拥有一个虚拟 MAC 地址

open Euler下isula容器网络配置，crictl runp pod-config.json失败 显示load podSandboxConfig: config at pod-config.json not foundpod-config.json文件在根目录下/CRI/pod-config.json 内容为 { "metadata": { "name": "nginx-sandbox", "namespace": "default", "attempt": 1, "uid": "hdishd83djaidwnduwk28bcsb" }, "log_directory": "/tmp", "linux": { } }daemon.json位置在/etc/isulad/ 配置内容为：{ "group": "isulad", "default-runtime": "lcr", "graph": "/var/lib/isulad", "state": "/var/run/isulad", "engine": "lcr", "log-level": "ERROR", "pidfile": "/var/run/isulad.pid", "log-opts": { "log-file-mode": "0600", "log-path": "/var/lib/isulad", "max-file": "1", "max-size": "30KB" }, "log-driver": "stdout", "hook-spec": "/etc/default/isulad/hooks/default.json", "start-timeout": "2m", "storage-driver": "overlay2", "storage-opts": [ "overlay2.override_kernel_check=true" ], "registry-mirrors": [ ], "insecure-registries": [ ], "pod-sandbox-image": "", "image-opt-timeout": "5m", "image-server-sock-addr": "unix:///var/run/isulad/isula_image.sock", "native.umask": "secure", "network-plugin": "", "cni-bin-dir": "", "cni-conf-dir": "", "image-layer-check": false, "use-decrypted-key": true, "insecure-skip-verify-enforce": false }

智能手机普及，给我们带来了便利的同时，却也影响了一部分学生，学生的心智不够成熟，容易沉迷其中，不仅影响学习，还会接触到很多不良信息，为了管控这一现象，教育部于2021年发布的关于加强中小学生手机管理工作的通知。在手机管控的情况下，如何满足学生与家长之间沟通呢，这成为了学校必须解决的难题。这时，电子学生证就出现在大家的视线中，以国荣科技电子学生证为例，贴合学生使用刚需，无多余的应用。下面，我们一起了解一下电子学生证的基本功能：亲情通话：支持4G通讯功能，解决手机进入校园难题，家长可通过手机端设置亲情号、紧急联系人、白名单电话，只有通话白名单内的联系人才能打入电话，让孩子免受骚扰，为双向通话保驾护航。在遇到紧急事件时可触发SOS一键轮拨求助，长按6S触发，循环拨打SOS号码3次，未接听继续轮播亲情号码一次，期间有接听终止轮播。智能定位：运用4G CAT1通信技术、卫星定位技术、RFID等物联网技术，聚焦中小学生在校及上下学场景，做到实时定位，保障学生安全。针对如湖泊、河流等危险场所，学校和家长都可自定义设置电子围栏，当孩子进入此区域时，第一时间上传警报信息，家长可通过双向通话和实时定位，尽量避免危险的发生；家长还可通过手机端查看孩子的历史轨迹，了解孩子的近期行动轨迹。校园一卡通功能：NFC、RFID扩展兼容宿舍门禁刷卡识别、图书馆刷卡借阅、水控刷卡消费、超市小额支付、食堂刷卡消费，实现校园一卡通场景，便捷孩子在校生活。电子学生证实现和校园业务的升级，为学校、家庭和个人生活保驾护航，构建“无手机校园”。

按照https://support.huawei.com/enterprise/zh/doc/EDOC1100258772/5a4706aa#ZH-CN_TOPIC_0000001311885769指南安装完成，电脑（linux虚拟机）与altas200ai网线直连ping不通

我的电脑在虚拟机上运行Ubuntu十分卡顿,所以我采取了双系统的方式运行Ubuntu,但官方文档中"配置网络连接"这一步是在虚拟机上完成的,我在在双系统上操作时发现操作逻辑非常不同,请问怎么单纯在Ubuntu系统下完成这一步?

SaaS化高可用及性能方案设计高可用方案说明:1.集群部署的业务，资源分别部署到2个AZ内，并通过ELB实现双AZ的负载均衡;2.单点的ECS，可通过存储容灾服务SDRS实现RPO=0的虚拟机级容灾保护;3.数据库等服务的主备节点分别双AZ部署，可以使用DRS实现数据跨Region(两Region相隔10OOKM）准实时备份;4.关键数据可以先备份到OBS桶，再通过OBS跨Region复制能力。实现关键数据跨地域备份。性能方案说明:1.Web层和应用层通过设置好弹性伸缩策略，计算资源随业务规模提升而自动水平扩展;2.可通过提升中间件实例的规格（垂直扩容）来提高中间性能处理能力，DMS可通过扩展节点数量(水平扩容)来提升性能;3.单数据库实例可通过提升数据库实例的规格（垂直扩容)以及配套DDM数据库中间件实现数据库实例的水平扩展来提升数据的性能和容量。SaaS安全方案设计—参照等保三级的要求，以租户的数据安全为中心，构建云上安全安全方案说明:边界安全:租户通过 https的方式访问业务系统，可先通过 DDoS高防进行DDoS流量清洗，再经过WAF进行Web流量清洗，阻止Web层攻击2.云上网络安全:安全组和ACL进行网络区域隔离，匹配安全通信网络。为业务模块设置细粒度的安全组。为每一个业务逻辑模块设置安全组访问规则,定义好可以访问该业务逻辑模块的源P，业务逻辑模块不必要的协议和端口完全屏蔽，例如运维端口（例如22和3389)只针对堡垒机的IP地址开放;ACL用于子网粒度的安全防护，为不同的子网进行安全防护3.主机和客器安全:通过企业主机安全HSS 实现精细化的业务云主机防护，重点防护对外提供服务的云主机。防护范围包括漏洞、基线检查、被挖矿、勒索病毒等;容器安全扫描容器镜像中的漏洞，提供容器安全策略设置和防逃逸功能，实现容器入侵防范与恶意代码防范等4.数据安全:数据库安全提供数据防火墙，防止 SQL注入等攻击。同时提供敏感数据发现、脱敏。数据库审计等能为，满足安全计算环境的需求;DEW数据加密可以为云硬盘、镜像、SFS. OBS等提供数据加密，满足安全计算环境的需求5.安全管理:SA态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势,满足安全区域边界的需求6.安全运维:CBH堡垒机提供安全运维环境。通过堡垒机做好分权分域的管理，建议开启堡垒机双因子认证，所有高危操怍〔例如rm操作）加审批权限控制;LTS配套云服务实例提供云上日志收集和统一管理;CTS云审计管理提供云上操作审计SaaS运维方案设计—基于云运维的整体规划华为云协助SaaS伙伴构筑基于云的运维体系，结合华为云的立体运维能力，演进到AlIOpsSaaS运维方案设计—构建基于云的运维体系华为云协助伙伴，构筑规范基于华为云的运维体系，保障SaaS服务高效运作Saas业务变更线自动部署、自动测试、自动回滚、灰度发布SaaS服务修复线监控管理、自动监控、持续监控、故障恢复、故障回溯主动运维线主动巡检、应急演练、服务维护自动化、高可用管理标准的三大运维核心线，支撑SaaS化平台完整运维统一的运维数据资源和共享支持服务，支撑三大运维主线流程的执行SaaS运维方案设计—建立基于华为云的AIOps平台AIOps实现目标:化被动排障为主动清障，从运维数据获取业务价值，从智能运维到智能运营智能应用层依托系统层提供的数据，进行算法处理，提供主动的事件分析、根因定位、异常检测、容量预测、成本优化等应用系统层汇集SaaS应用层的监控数据和云平台基础监控数据，进行数据的融合和数据处理。为智能应用层提供可分析和应用的数据基础华为云提供基础的运维监控能力。所有华为云的运维数据调用提供北向接口。供第三方平台调用华为云平台支撑SaaS伙伴构建技术生态，保障SaaS化平台为各行各业提供更好的服务场景SaaS aPaaS PasS IaaS华为云携手SaaS伙伴共建产业云生态华为云提供技术中台、数据中台，帮助SaaS伙伴高效构建业务中台，并打通周边集成对接案例xxx SAAS业务背景及关键需求XXX是该集团新一代数字化企业共生平台，XXXSaaS以人、生态、体验为设计理念，提供完整的企业级SaaS服务和aPaaS服务关键需求1∶开源开放平台，满足林*厂商可构筑在多云的需求关键需求2∶商用级平台，满足集团大客户高性能、高安全可靠的需求关键需求3∶全自动化运维，满足该SAAS厂商高效运维的诉求xxX SAAS平台华为云部署架构性能强、易扩展、高安全、便运维架构特点及价值:性能强:应用基于华为云基于开源增强的k8s平台和基于开源中间件增强的服务构建端到端的系统,支持业务用户高并发、低延的接入易扩展:应用采用容器部署，配合ELB支持服务实恢例秒级横向扩容，实现系统快速响应;云主机、云磁盘及数据库中间件支持纵向扩容，减少初始化投资;k8s集群支持高安全:WAF构筑面向用户接入的安全防护;HSS主机安全、安全组构筑面向云内的安全防护;数据库中间件跨可用区部署及应用数据跨可用区备份，保障数据的安全便运维:通过CloudEye云基础设施监控和AOM应用运维监控，实现应用端到端的监控告警，从而提升运维效率一个良好的SaaS化架构是复杂的，多维度的，对于不同的业务、不同场景的需求可以选择相适应的不同架构，所以SaaS化架构并不是一成不变的，在进行架构设计时需要根据实际情况进行判断。1．更加关注数据安全的SaaS化部署模式选哪种?单选()A.独立部署B.池化部署2.一个良好的SaaS化部署应该关注哪些?多选()A.高可用 B.安全性C.敏捷迭代D.易运维E.生态及创新

如何保障SaaS化应用的安全性?安全通信网络网络架构:性能冗余、链路冗余、设备元余、分区隔离;-通信传输:采用密码技术保证传偷过程中的数据保密性和完整性;·镜像和快照保护:数据完整性和保密性:保障重要数据在传输和存储过程中的完整性和保密性;数据备份恢复三更要数据的本地/异地备份，重要数据系统的HA;剩余信息保护:册除业务应用数据时，云存储中所有副本删除。安全管控中心系统管理;系统管理员的身份鉴别与系统配管;·审计管理:权限管理.操作审计安全管理:权限管理操作审计;集中管控:安全独立分区、网络监控,集中日志审计、安全事项感知等;如何实现SaaS化业务快速迭代?如何构建高性能的SaaS平台?资源的弹性扩容、数据库的读写性能、中间件可扩展性、网络带宽时延、分布式的业务架构、无状态服务SaaS化平台云上的如何运维?基础运维·为保障业务运行，需要各类运维平台和工具·各类运维工具难以联动，自动化程度低·各类运维工具技术复杂，运维人力成本高维应用运维·微服务依赖关系能否可视化?·最终用户体验如何?·问题如何快速追踪?·散落的日志无法关联分析?SaaS化业务生态及创新诉求?生态构建低代码平台能力：降低应用开发门槛。助力SaaS化商的伙伴进行敏捷开发;开放API能力：SaaS化厂商能够为自己的合作伙伴提供开放的API能力，供其调用;应用创新AI加持中台构建：数据中台，技术中台SaaS资源独立部署模式整体方案设计—典型架构典型架构说明:1.独立部署强调资源按租户划分，服务器、数据库等资源按需部署，强隔离;2.隔离方式包括VPC隔离、子网隔离、安全组隔离、企业项目隔离等;3.如需访问外部第三方系统，多租户间可通过共享NAT网关;4.每一个SaaS租户的资源可以关联企业项目，便于后期的成本分析和租户细粒度的权限管理;5.SaaS厂商运维人员建议通过VPN接入到云端进行维护;对云主机进行运维操作建议通过堡垒机;6.根据租户的要求做好核心数据的容灾和备份SaaS资源独立部署模式整体方案设计—多租隔离设计隔离方式优点缺点推荐做法租户层租户隔离·租户完全分开，安全性更高·更好的定制化·资源使用情况更好的监控·成本高·大量租户账号，分开管理难度高·使用IAM进行授权操作.VPC peering打开租户间通道VPC层的租户隔离·所有租户在一个账号中，管埋更方便·提高了资源使用率，比如包周期实例的使用·使用的时候需要关注VPC的限制·所有VPC回到本地,VPN管理复杂度高·使用企业项目为租户标记子网中的租户隔离·无需为租户资源中的网络担忧·与本地连接或者多云环境比较方便子网隔离，三元组和五元组维护成本高更改VPC会影响到所有租户安全组的数量和规则的数量有限制设置公共服务的访问，比如OBS设置终端节点·尽量减少安全组的使用·不要用安全组交叉使用SaaS资源独立部署模式整体方案设计—多租资源管理模式设计设计要点:1、基于华为云企业项目管理（EPS服务)，按不同SaaS租户对资源进行分项目管理;2、各云服务按租户维度实现企业项目的系统标签和资源细粒度权限控制的功能;3、提供企业项目维度的财务管理、消费统计和成本分析等，可详细地统计出单个SaaS租户消费。SaaS资源池化部署模式整体方案设计—典型架构典型架构说明:1;资源池化部署模式，多租户共用相同资源池，需要SaaS软件做好应用架构云原生改造以满足用户弹性和敏捷迭代的需求;2.租户间的隔离需要通过严格的代码逻辑和权限管理进行隔离;3.建议对业务模块进行微服务拆分，便于各模块独立演进，从而快速满足租户大量的需求4.建议采用DevOps的方式进行管理，建立DevOps组织和文化，采用敏捷的流程机制，配套DevOps的工具平台，从而有效落地DevOpsSaas资源池化部署模式整体方案设计—多租隔离设计隔离方式优点缺点推荐做法容器层的租户隔离·提高资源利用率更易于大规模管理集群·简化部署测试/开发环境·容器网络管理比较繁杂·容器级别无法打标签提前做好网络规划，容器集群规模尽量不要超出网络限制·基于容器自动扩展等功能实现自动化管理·通过namespace做租户间容器实例隔离应用层的租户隔离·成本优化更易于管理·网络连接简化·应用层多租户感知，应用可能面临重构·不同租户对安全的要求不一样，可能无法适配·对租户的需求进行分类管理·租户侧个性化改动多的业务模块（例如Web 前端展示模块）可以采用单租户单实例·核心平台避免在租户级别进行区分·尽量限制租户的权限，不影响其他租户·细粒度的访问控制权限SaaS资源池化部署模式整体方案设计— DevOps流程构建建议规划设计 迭代开发 持续测试 持续交付SaaS资源池化部署模式整体方案设计—敏捷迭代方案敏捷迭代方案说明:1.应用开发与持续交付可以放在SaaS厂商或客户侧，应用托管和生命周期管理在华为云上2.客户将应用开发的代码放到代码仓库，然后建立流水线进行业务软件编译构建和发布，将构建好的软件包或镜像放到云上的软件仓库SWR3.客户从软件仓库中获取软件包或镜像进行应用创建，承载实例为容器（推荐)、虚拟机或裸金属服务器，并在云上进行监控运维等管理操作4、SaaS应用如果经过微服务改造，可直接在云上的托管环境进行微服务治理，包括微服务注册、发现、配置管理、熔断、限流、负责均衡、灰度发布等，便于Saas 化业务快速迭代