项目
IAM中的项目用于将OpenStack的资源(计算资源、存储资源和网络资源)进行分组和 隔离。用户拥有的资源必须挂载在项目下,项目可以是一个部门或者项目组。一个帐 户中可以创建多个项目。
企业项目
企业管理中的企业项目是对多个资源进行分组和管理,不同区域的资源可以划分到一 个企业项目中。企业可以根据不同的部门或项目组,将相关的资源放置在相同的企业 项目内进行管理,并支持资源在企业项目之间迁移。
项目和企业项目的区别
● IAM项目
IAM项目是针对同一个区域内的资源进行分组和隔离,是物理隔离。在IAM项目中 的资源不能转移,只能删除后重建。
● 企业项目
企业项目是IAM项目的升级版,是针对企业不同项目间资源的分组和管理。企业 项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。如果您开通了 企业管理,将不能创建新的IAM项目(只能管理已有项目)。未来IAM项目将逐渐 被企业项目所替代,推荐使用更为灵活的企业项目。
项目和企业项目都可以授权给一个或者多个用户组进行管理,管理企业项目的用户归 属于用户组。通过给用户组授予策略,用户组中的用户就能在所属项目/企业项目中获 得策略中定义的权限。
关于如何创建项目、企业项目,以及如何授权,请参阅管理项目和企业项目。
14 计费说明
计费项
华为云ECS根据您选择ECS实例规格和使用时长计费。
表14-1 计费项信息
计费项 计费说明
ECS实例 实例类型及规格(vCPU,内存),购买时长以及所购买 的实例数量。
具体请参考弹性云服务器产品价格详情。
镜像 银河麒麟(KylinOS)、统信(UnionTechOS)收费,其余 公共镜像免费。如果通过云市场购买,请以云市场价格 为准。
云硬盘(必选) 默认系统盘40GB(需购买),支持按量或包周期购买方 式,具体计费请参考云硬盘计费。建议云硬盘购买周期 与ECS保持一致。
公网IP(可选) 如有互联网访问需求,您需要购买公网IP,具体请参考公 网IP计费。
带宽(可选) 可按流量或带宽计费,具体请参考带宽计费。
计费模式
提供包周期(包年/包月)、按需、竞价共3种计费模式供您灵活选择,使用越久越便 宜。
● 按包周期实例计费:提供包月和包年的购买模式。
● 按需实例计费:即开即停,支持秒级计费。
● 按竞价计费型实例计费:根据市场供需情况变化,按照市场价格来计费。
表14-2列出了三种计费模式的区别。
表14-2 计费模式
计费模
ECS关机不收费: 对于按需购买的普通实例(不含本地硬盘,FPGA卡),用户关 机后,ECS实例本身(vCPU,内存,镜像)不计费,其它所挂载的资源如云硬
计费样例
ECS的“按需计费”和“竞价计费”模式都是秒级计费,ECS产品价格详情中标出了每 小时价格,您可以将每小时价格除以3600,即得到每秒价格。
示例,某一按需实例价格为0.68元/小时,购买一台按需实例根据实际使用时长、按秒 计费。
● 使用30分钟,根据实际使用时长按秒计费:(0.68/3600)*30*60=0.34元
● 使用1小时30分钟,根据实际使用时长按秒计费:(0.68/3600)*90*60=1.02元
变更配置
● 更改计费模式
– 按需变更为包周期:按需变更为包周期,会生成新的订单,用户支付订单 后,包周期资源立即生效。
– 包周期变更为按需:包周期转按需,需包周期资费模式到期后,按需的资费 模式才会生效。
– 竞价计费型实例不支持转为按需、包周期计费。
图14-1 更改计费模式
● 变更实例规格
用户如果采用按需模式和包周期模式购买ECS,可以变更购买ECS的规格(CPU,
内存等规格),如果采用竞价模式购买ECS不支持变更规格。
变更须知:
– 使用代金券购买的弹性云服务器降低规格时,系统不会退还代金券。
– 升配规格后需按照与原规格的价差,结合已使用的时间周期,补上差价。
– 弹性云服务器规格(CPU或内存)变小,会影响弹性云服务器的性能。
– 降低规格配置后,如需重新升级至原规格,可能需要补交费用。
续费
如需续费,请在管理控制台续费管理页面进行续费操作。详细操作请参考续费管理。
到期与欠费
欠费后,可以查看欠费详情。为防止相关资源不被停止或者释放,请及时进行充值,
帐号将进入欠费状态,需要在约定时间内支付欠款,详细操作请参考欠费还款。
相关问题
● 包年/包月和按需计费模式有什么区别?
● 按需付费的弹性云服务器关机后还会计费吗?
● 包年/包月和按需计费模式是否支持互相切换?
● 按需计费的弹性云服务器怎样停止计费?
● 竞价计费型实例常见计费问题
15 权限管理
如果您需要对购买的ECS资源,给企业中的员工设置不同的访问权限,以达到不同员工 之间的权限隔离,您可以使用统一身份认证服务(Identity and Access
Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分 配、访问控制等功能,可以帮助您安全的控制资源的访问。
通过IAM,您可以在帐号中给员工创建IAM用户,并授权控制他们对资源的访问范围。
例如您的员工中有负责软件开发的人员,您希望他们拥有ECS的使用权限,但是不希望 他们拥有删除ECS等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过 授予仅能使用ECS,但是不允许删除ECS的权限策略,控制他们对ECS资源的使用范 围。
如果账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳 过本章节,不影响您使用ECS服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的 资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
ECS 权限
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授 予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权 后,用户就可以基于被授予的权限对云服务进行操作。
ECS部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域 级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关 权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所 有区域项目中都生效。访问ECS时,需要先切换至授权区域。
权限根据授权精细程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度,提供有限的服务相关角色用于授权。由于各服务之间存在业 务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能 正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对 权限最小化的安全管控要求。
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业 对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅 能对某一类云服务器资源进行指定的管理操作。
多数细粒度策略以API接口为粒度进行权限拆分,ECS支持的API授权项请参见ECS
ECS FullAccess 弹性云服务器管理员权限,拥有 该权限的用户可以拥有ECS支持的 全部权限,包括创建、删除、查 询、变更规格等操作。
系统
策略 ECS FullAccess策略 内容
ECSCommonOpera tions
ECSCommonOperatio ns策略内容
ECSReadOnlyAcces s
Administrator 弹性云服务器的所有执行权限,
该角色有依赖,需要在同项目中 VPC的VPC Administrator权限。
系统
角色 Server
Administrator策略
FullAccess ECS
CommonOper ations
ECSReadOnlyAccess
创建弹性云服务器 √ x x
控制台远程登录云服务器 √ √ x
查看弹性云服务器列表 √ √ √
查询弹性云服务器详情 √ √ √
操作 ECS
FullAccess ECS
CommonOper ations
ECSReadOnlyAccess
修改弹性云服务器 √ x x
启动弹性云服务器 √ √ x
关闭弹性云服务器 √ √ x
重启弹性云服务器 √ √ x
删除弹性云服务器 √ x x
重装操作系统 √ x x
切换操作系统 √ x x
弹性云服务器挂载磁盘 √ x x
弹性云服务器卸载磁盘 √ x x
查询弹性云服务器磁盘列表 √ √ √
弹性云服务器挂载网卡 √ x x
弹性云服务器卸载网卡 √ x x
查询弹性云服务器网卡列表 √ √ √
创建镜像 √ x x
添加云服务器标签 √ √ x
变更弹性云服务器规格 √ x x
查询弹性云服务器规格列表 √ √ √
查询云服务器组 √ √ √
相关链接
● IAM产品介绍
● 创建用户组、用户并授予ECS权限请参考:创建用户并授权使用ECS
● 细粒度策略支持的授权项请参考《ECS API参考》中“策略及授权项说明”章节。
ECS FullAccess 策略内容
{ "Version": "1.1", "Statement": [ {
"Effect": "Allow", "Action": [ "ecs:*:*", "evs:*:get", "evs:*:list",
"evs:volumes:create", "evs:volumes:delete",
"evs:volumes:attach",
ECS CommonOperations 策略内容
{ "Version": "1.1",
"evs:volumes:update",
ECS ReadOnlyAccess 策略内容
{ "Version": "1.1",
Server Administrator 策略内容
{ "Version": "1.1",
"vpc:subnets:create", "vpc:routers:get", "vpc:routers:update", "vpc:ports:*", "vpc:privateIps:*", "vpc:securityGroups:*", "vpc:securityGroupRules:*", "vpc:floatingIps:*", "vpc:publicIps:*", "vpc:bandwidths:*", "vpc:firewalls:*", "ims:images:create", "ims:images:delete", "ims:images:get", "ims:images:list", "ims:images:update", "ims:images:upload"
],
"Effect": "Allow"
} ] }
16 CPU 积分计算方法
什么是 CPU 积分
CPU积分是一种用来衡量云服务器计算、存储以及网络配置利用率的方式。云服务器 利用CPU积分机制保证云服务器基准性能,解决超分云服务器长期占用CPU资源的问 题。
使用CPU积分机制的弹性云服务器适用于平时CPU负载不高、但突发时可接受因积分 不足,而导致云服务器性能无法超过基准性能的场景。
当前通用入门型弹性云服务器使用积分机制(不额外进行计费),了解更多通用入门 型云服务器规格请参考通用入门型。
工作原理
当您购买使用CPU积分机制的弹性云服务器后,云平台会发放初始积分,用来满足云 服务器安装后的突发性能要求。
云服务器运行后,就会开始消耗积分以满足需求,同时云平台按照一定的速度发放积 分。当云服务器实际计算性能高于基准CPU计算性能时,会消耗更多的CPU积分来提
云服务器运行后,就会开始消耗积分以满足需求,同时云平台按照一定的速度发放积 分。当云服务器实际计算性能高于基准CPU计算性能时,会消耗更多的CPU积分来提