托管私有云 Flex
MPC Flex 是托管私有云 (MPC) 的共享基础设施服务版本,专为需要灵活性和可扩展性的客户而设计。它采用共享租户模型,可根据工作负载需求动态分配资源。
MPC Flex 在 Equinix IBX 数据中心托管的共享环境中提供计算、存储和网络资源。资源按需配置,并采用运营支出 (OPEX) 模式进行使用,Equinix 负责运营、管理和合规性。
MPC Flex 提供以组织虚拟数据中心 (OVDC) 形式部署的多租户计算环境,租户之间实现逻辑隔离,从而支持可扩展性和管理控制。OVDC 提供计算资源(vCPU 和 vRAM)和存储资源,用于创建虚拟机。多个 OVDC 可以以不同的变体和规模组合,以支持不同的用例。可以在虚拟网络和互连上配置安全策略。计算、存储和网络资源均可通过 MPC 操作控制台进行管理。
MPC 计算 定义了 OVDC 可用的处理能力,以 vCPU 为单位进行计量。每个 OVDC 可以配置以下 vCPU 变体之一:
- 优化(默认) - 平衡 OVDC 上的 CPU 容量,以获得最佳性能。
- 完全 - 提供 100% 的 CPU 性能。
建议的虚拟CPU利用率:
| VCPU Variant | Use (Examples) |
|---|---|
| Optimized (Default) | • Generic production servers • OTA servers |
| Full | • Terminal servers • High-load application servers • Latency-sensitive application servers |
MPC 内存 指的是 OVDC 可用的 GB 虚拟内存 (vRAM)。OVDC 中的内存以 vRAM 的形式提供,可用容量为 100%,单位为千兆字节 (GB)。MPC Flex 的销售量采用默认的计算内存比:
- MPC Flex 优化:1 个虚拟 CPU:4 GB 虚拟内存
- MPC Flex Full:1 个虚拟 CPU:16 GB 虚拟内存
购买 MPC 计算,以 vCPU 和 vRAM GB 为单位购买单位 (PU),使用基线和超额计算类型。
- 基准 代表已承诺的 PU 数量,并收取固定的每月循环费用。
- 超额用量是指超出基准用量之外的额外用量,按月计量和计算。
| Purchase Unit & UOM | CPU Variant | Calculation Type | Description |
|---|---|---|---|
| vCPU | Optimized Full | Baseline | Committed volume of PUs |
| vCPU | Optimized Full | Overage | Additional consumption above Baseline |
| Purchase Unit | UOM | Calculation Type | Description |
|---|---|---|---|
| GB vRAM | GB vRAM | Baseline | Committed volume of PUs |
| GB vRAM | GB vRAM | Overage | Additional consumption above Baseline |
组合计算购买单元的默认比例为 1 个 vCPU 加 4 GB vRAM (1vCPU+4GBvRAM)。
OVDC预留了额外的容量以满足灵活的用电需求。该额外容量按基准容量的百分比计算,最高不超过25%。
MPC 存储提供两种性能等级,以存储策略的形式呈现。存储容量与特定的 OVDC 相关联。
可以在客户分配的存储容量内为虚拟机 (VM) 创建虚拟磁盘,并将其放置在与 VM 工作负载相匹配的存储策略(性能层级)上。一个 OVDC 可以支持多种存储策略,允许同一 OVDC 内的 VM 使用不同的策略。
| Storage Policy | Use |
|---|---|
| High Performance | Database workloads, logs, RDS/SBC, VDI, and other low‑latency–sensitive workloads |
| Performance (Default) | Generic VMs, applications and web services, high‑performance file services, and object storage |
在 MPC 环境中使用存储策略时,适用以下特性:
- 存储容量按每个 OVDC 的政策分配。
- MPC 存储包含静态加密功能
- 建议每个虚拟机的虚拟磁盘大小在 40 GB 到 8 TB 之间。
- MPC 存储按购买单位 (PU) 计量,每个存储策略 1 TB,分为基线和超额两种计算类型。
| Purchase Unit | Tier | Calculation Type | UOM | Description |
|---|---|---|---|---|
| MPC Storage | High Performance | Baseline | 1 TB | Baseline charge for the committed storage quantity, measured in whole TBs. |
| MPC Storage | Performance | Overage | 1 TB | Charge for storage usage that exceeds the Baseline quantity, measured in TBs with up to 3 decimal places. |
存储容量的计算基于以下假设:1TB = 1000GB。存储容量不可转移至其他 OVDC。MPC 存储根据存储策略进行配置,并提供额外的容量供灵活使用。额外容量按基准容量的百分比计算,最大为 25% 或 10TB。
MPC 存储消耗按策略衡量,以分配的容量为单位:
- 虚拟机磁盘
- 虚拟机交换文件
- 快照
- 库中的文件(vApp 模板和 ISO)
MPC 连接性 将 MPC 集成到客户的(多)云架构中,并支持连接到以下系统:
- Equinix 数据中心托管
- Equinix 网络边缘
- 广域网提供商
- 云服务提供商 (CSP)
- 另一个都市中的 MPC 环境
- Equinix Internet Access (EIA) 通过 Equinix Fabric 提供
仅支持通过 Equinix Fabric(虚拟电路)进行连接。不支持其他连接方式。
网络要求决定了客户网络如何连接到MPC OVDC。以下连接类型可用:
- 连接路由 - 由 Equinix 管理的路由
- 连接方式:客户路由 - 由客户管理的路由
- 托管专用防火墙 (MPF) - 由 Equinix 管理的路由
每个 OVDC 都只有一种连接类型。当使用多个 OVDC 时,支持多种连接类型组合。
路由连接 提供与 MPC OVDC 的三层连接。此选项为客户提供即用型内置路由引擎,可通过操作控制台进行配置。创建的每个 MPC 内部(路由)网络都会自动成为客户路由域的一部分。
客户路由连接 使用客户提供、安装和管理的 MPC 虚拟路由设备 (VM)。Equinix 订购的外部网络可在操作控制台中使用。其他外部网络可单独订购。外部网络必须连接到虚拟路由设备。MPC 内部(隔离)网络也必须连接到该路由设备。
- 此选项仅支持隔离的内部网络;不支持路由式内部网络。内部网络可用于将客户虚拟机连接到虚拟路由设备。
- 连接的 VLAN 数量不得超过虚拟网卡的数量,最多为 10 减去用于外部通信的网卡数量。
- 内部网络不支持链路聚合,因此无法在客户操作系统内部进行 VLAN 标记。
- 需要外部网络连接虚拟路由设备以实现外部连接(每个连接 2 个虚拟电路)。
- 虽然 MPC 提供了高可用性,但建议使用具有两个虚拟机作为虚拟路由设备的 HA 设置。
- 建议在任何设备或虚拟机上使用 VMware Tools 以支持优雅管理。
使用**托管专用防火墙 (MPF)**时,外部连接终止于 MPF,MPF 提供路由和日志记录功能。MPF 连接到内置的 MPC 路由。南北向流量由 MPF 和 MPC 路由共同处理。东西向流量由 MPC 处理。此选项提供的路由解决方案包括:
- Equinix配置的MPF路由
- MPC路由可通过操作控制台进行配置。
创建的每个 MPC 内部路由网络都会自动成为客户路由域的一部分,而内部隔离网络则不是。
与多个 OVDC 联网 允许同一都市内的每个 OVDC 使用不同的连接类型组合,因为连接是按 OVDC 定义的,并且每个配置都提供了一组不同的功能。
-
多个 OVDC 连接路由 - 当在同一城域网中使用多个 OVDC 时,客户可以选择为每个 OVDC 使用专用网关,或者为所有 OVDC 使用共享网关实例(路由连接)。当需要在多个 OVDC 中访问网络且使用客户路由连接选项时,外部网络功能可以通过数据中心组使外部网络可供所有 OVDC 使用。
-
支持多条 OVDC 线路,可选择使用“连接路由”或“客户路由”连接 - 当在同一城市使用多条 OVDC 线路时,客户可以选择一条线路使用“连接路由”,另一条线路使用“客户路由”。客户有两种实施方案可供选择:
- OVDC 连接方式:连接后,会在客户路由设备和路由网关之间创建一个 VLAN。客户可以在两个不同的 OVDC 之间创建网络。
- OVDC 未连接:当两个 OVDC 之间没有连接时,OVDC 可以作为独立环境运行。
支持以下虚拟连接选项:
| 连接 | # | 类型 | 描述 |
|---|---|---|---|
| Equinix 数据中心托管 | 1 | 自助式虚拟主机 | 客户通过 Equinix Fabric Portal 使用 EMS 服务配置文件或服务令牌创建和管理的连接。 |
| Equinix 网络边缘 | 2 | 自助式虚拟连接 | 客户通过 Equinix Fabric Portal 使用 EMS 服务配置文件或服务令牌创建和管理的连接。 |
| 广域网提供商 | 3 | 托管虚拟专用网 | 由 Equinix 创建和管理的连接。属于 MPC 订单的一部分。 |
| 云服务提供商 (CSP) | 4 | 托管虚拟云 | 由 Equinix 创建和管理的连接。属于 MPC 订单的一部分。 |
| 位于另一个 Metro 的 MPC 环境 | 5 | 托管 VC | 由 Equinix 创建和管理的连接。MPC 订单的一部分。 |
| Equinix Internet Access (EIA) 通过 Equinix Fabric | 6 | 托管式互联网接入 | 由 Equinix 创建和管理的连接。属于 MPC 订单的一部分。 |
-
自助式虚拟连接 - 客户通过 Equinix Fabric Portal 发起虚拟连接。Equinix Managed Solutions 负责配置 MPC 端。每个连接需要两个虚拟连接。
-
托管虚拟商品 - 虚拟商品是在 MPC 订单中创建的。配置参数在履行过程中收集。
所有连接都需要两条虚拟电路以实现冗余。
如果客户需要在 MPC 环境中使用互联网,托管互联网接入将使用 Fabric Internet Access (EIA),带宽固定且不支持突发流量。支持的带宽最高可达 10 Gbps。IP 地址空间需单独订购。Equinix Fabric 支持第三方互联网服务,但需单独签订合同。
为了与第三方供应商建立冗余连接,需要两条连接线。
MPC虚拟网络提供了一系列可在MPC操作控制台中配置的虚拟网络功能。以下列表显示了哪些功能包含在服务中,哪些功能需要额外付费。
| Function | Charge Type | Routed and Managed Firewall | Customer Routed |
|---|---|---|---|
| Standard firewall | Included | Y | N |
| Distributed or advanced firewall | Charged | Y | Y |
| Routing, IPv4 static and dynamic (BGP) | Included | Y | N |
| Routing, IPv6 | Included | Y | N |
| NAT | Included | Y | N |
| DHCP | Included | Y | N |
| VPN (Layer 2) | Included | Y | N |
| VPN IPsec Layer‑3 site to site | Included | Y | N |
| Route advertisement | Included | Y | N |
内部网络可通过MPC操作控制台为每个OVDC创建。每个OVDC最多支持1000个内部网络。当配置在数据中心组内时,网络可以跨越同一IBX内的多个OVDC。内部网络类型包括:
- 路由式 - 使用边缘网关作为路由器,并提供对广域网、托管机房、通信服务提供商或互联网的访问。路由式网络仅在启用“连接路由”功能后可用。
- 隔离 - 除非连接到客户路由连接下的自管理路由器,否则无法访问外部网络。
站点间网络允许位于不同数据中心的两个 MPC 站点通过请求它们之间的托管虚拟电路进行连接。网络配置取决于所选的连接类型。两个数据中心之间的连接按托管虚拟电路计费。支持连接两个以上的数据中心,但需要 Fabric Cloud Router (FCR)、Equinix Fabric IPWAN 以及来自 MPC 区域和 Fabric Cloud Router 的两条虚拟连接。
Fabric Cloud Router 和 IPWAN 的订购和配置不在托管解决方案的范围内。
购买单元连接
| Purchase Item | UOM | Calculation Type | Description |
|---|---|---|---|
| Connectivity Type | Once | Baseline | Routing instance per OVDC: • Routed • Customer Routed • Managed Firewall • Joined Routing |
| Managed Virtual Circuit | VC | Baseline | Available bandwidth options: 10 / 50 / 200 / 500 Mbps and 1, 2, 5, 10 Gbps Two (2) VCs are required per connection for redundancy |
| Managed Internet Access | Each | Baseline | Internet Access available at: 10 / 50 / 100 / 200 / 500 Mbps and 1, 2.5, and 10 Gbps Managed Virtual Circuits are included in Managed Internet Access. |
| Allocated IP space | Block | Baseline | Supported IPv4 /24 to / 29 and IPv6 |
| Distributed Firewall (DFW) | vCPU Optimized vCPU Full | Baseline Overage | Additional functionality to support micro‑segmentation |
MPC 操作控制台 提供自动化工具和 API 来管理 MPC 资源,包括以下内容:
- 管理跨多个 Equinix 数据中心的 OVDC
- 创建、导入和管理虚拟机和vApps
- 虚拟机大小(向上和向下扩展)
- 创建虚拟机快照
- 访问虚拟机控制台
- 查看性能统计数据
- 创建库并填充 ISO 和 OVA 文件
- 无需 VPN 即可通过 Web 浏览器直接访问 MPC 自助服务门户和 VM 控制台
- 丰富的脚本编写和自动化选项(API)
- 分开或分组虚拟机以提高可用性或性能
- 管理防火墙规则和微隔离
- 创建和管理 IPv4 的静态和动态路由规则
- 创建和管理 IPv6 静态路由规则
- 创建和管理 NAT、DHCP 和 VPN(二层)
- 创建和管理 IPsec VPN 三层站点到站点隧道
- 创建和管理路由通告(VRF)
访问 MPC Flex
要访问托管私有云 (MPC),请前往客户门户。您可以通过客户门户访问以下内容:
- 托管解决方案门户 (MSP) – 用于提交工单、服务请求和查看 MPC 使用情况分析。
- 操作控制台 – 用于管理和操作 MPC 资源。
地区
操作控制台提供对特定区域内 MPC 资源的访问。MPC 在四个区域提供服务:南美洲、北美洲、欧洲和亚洲。
每个 MPC 实例都与一个区域关联。当实例位于某个区域时,您可以通过在客户门户的“托管解决方案”区域中选择该区域选项来打开其对应的操作控制台。
登录到相应的区域控制台后,您对资源的访问将按组织和组织虚拟数据中心 (OVDC) 进行组织。
组织机构
在操作控制台中,组织 (Org) 代表客户。组织可以被视为该区域中所有 MPC 资源的容器,包括虚拟数据中心、用户和内容库。登录 MPC 操作控制台时,必须输入组织名称。
组织虚拟数据中心(OVDC)
组织虚拟数据中心 (OVDC) 将您用于运行工作负载的计算、存储和网络资源进行分组。一个组织可以包含多个 OVDC,这些 OVDC 可能因 IBX 位置(例如,阿姆斯特丹、伦敦或阿什本)或计算性能配置而异。如果您需要额外的容量或额外的 OVDC,请联系您指定的服务交付经理或客户经理提出申请。
租户角色
以下租户角色仅适用于托管私有云单租户和托管私有云灵活变体。
租户角色定义了MPC租户中用户的权限和操作。用户通过客户门户添加后,系统会为其分配角色。角色决定了用户在操作控制台中可以执行哪些操作以及可以使用哪些API功能。
在首次部署新的 MPC 环境时,Equinix 会在入职流程中创建第一个客户管理员帐户。该帐户使用客户提供的姓名和电子邮件地址创建,并自动分配租户管理员角色,从而拥有对 MPC 操作控制台的完全访问权限,包括租户级别的管理和配置功能。
支持以下角色:
租户管理员 - 租户管理员角色提供对 MPC 租户的完整管理权限。被分配此角色的用户可以管理整个环境中的租户配置、用户访问权限和自动化功能。租户管理员权限包括:
- 访问虚拟机控制台
- 创建和删除快照
- 创建和删除个人 API 令牌
- 创建、修改和删除组织范围的服务帐户
- 在租户范围内创建、修改和删除虚拟机
- 在租户范围内创建、修改和删除虚拟应用程序
- 在租户范围内创建、修改和删除网络
- 在租户范围内创建、修改和删除内容库及库内容。
- 在租户范围内配置边缘网关
- 配置关联规则
- 查看租户范围内的任务和事件日志
租户用户 - 租户用户角色允许用户在 MPC 租户内创建和管理工作负载及选定资源,但无权访问租户范围的管理设置。租户用户权限包括:
- 访问虚拟机控制台
- 创建和删除快照
- 创建和删除个人 API 令牌
- 在租户范围内启动和停止虚拟机
- 在租户范围内启动和停止虚拟应用程序
- 在租户范围内更新虚拟机工具
- 查看租户范围内的任务和事件日志
租户查看者 - 租户查看者角色提供对租户配置和资源状态的只读访问权限。分配到此角色的用户可以查看与租户用户角色相同的资源和信息,但有以下限制:
- 对虚拟机或虚拟应用程序没有创建、修改或删除 (CRUD) 权限
- 无控制台访问权限
管理 MPC Flex
用户管理
操作控制台的用户通过客户门户进行管理。请参阅用户和密码管理。添加用户后,必须提交服务请求才能为用户分配 MPC 租户角色。
要使用不同的身份来源,可以在客户门户中配置身份联合,以与外部身份提供商集成。这样,用户就可以使用其公司凭据登录。
API访问
托管私有云 (MPC) 操作控制台 API 旨在用于程序化访问和自动化。常用的自动化工具包括 Terraform、Ansible、Python 以及基于 XML 或 JSON 的 API 调用。API 身份验证需要在操作控制台中生成访问令牌。支持两种访问方法,每种方法都针对不同的使用场景而设计。
| Method | Details |
|---|---|
| API tokens | • API access to the Operational Console on behalf of the Customer Portal or federated user accounts for individual programmatic access. • Can be configured by all Customer Portal or federated user accounts. |
| Service accounts | • API access to the Operational Console using standalone accounts intended for organization-wide automation and third-party tools or applications. • Can be configured only by users with the Tenant Admin role. • Can be assigned one of the supported roles. • Supports API access only. |
Terraform 自动化
Terraform 是一款基础设施即代码工具,它允许使用易于阅读的配置文件来定义云端和本地资源。这些文件可以进行版本控制、重用和共享,从而实现基础设施在其整个生命周期内一致的配置和管理工作流程。
Terraform 可用于管理底层资源,例如计算、存储和网络。大多数操作控制台功能都可通过 API 或 Terraform 实现。更多信息,请参阅Terraform 提供程序文档。
API令牌
API令牌可通过客户门户或运营控制台中的联合用户帐户创建,用于个人编程访问。以下是创建API令牌的方法:
- 登录操作控制台。从右上角菜单打开“用户首选项”。
- 转到“API 令牌”部分,然后选择“新建”。
- 输入令牌名称,然后选择创建。
- 请将生成的令牌复制并保存在安全的地方。该令牌仅显示一次,关闭此屏幕后将无法再次查看。如果令牌丢失,则必须重新生成一个。
- 创建完成后,该令牌会出现在 API 令牌列表中,不再需要时可以撤销该令牌。
服务帐户
由于服务帐户的敏感性,只有具有租户管理员角色的用户才能创建、查看和删除服务帐户。以下是创建服务帐户的方法:
服务帐户是其在操作控制台中创建的任何对象的所有者。
- 登录到操作控制台。打开“管理”,然后选择“服务帐户”,再选择“新建”。
- 输入服务帐户名称,分配角色,然后使用魔棒工具生成唯一 ID。选择“下一步”继续。
- (可选)为服务帐户分配一个或多个配额限制。
- 选择完成以创建服务帐户。
- 创建完成后,API 密钥会在查看服务帐户属性时显示在“客户端 ID”字段中。大多数服务帐户设置稍后都可以通过选择“编辑”进行修改。
API Explorer
API Explorer 提供了一个图形界面,用于查看、测试和执行 API 调用,可通过操作控制台访问。
- 在操作控制台中,打开右上角菜单并选择“帮助”。 > API Explorer。
- API Explorer 公开了基于 Swagger 的 JSON API,并允许以当前登录用户帐户的名义执行 API 调用。
操作控制台
当用户登录客户门户后,可以通过导航至托管解决方案门户,选择托管私有云,然后选择所需区域来访问操作控制台。
如果用户直接通过 URL 访问操作控制台并选择“登录”,则会被重定向到客户门户,并使用客户门户凭据进行身份验证。客户门户还支持配置基于 SAML 的联合身份验证,使用户能够使用其公司凭据访问操作控制台。
通过操作控制台,可以执行创建虚拟机、网络和安全规则的操作。
vApp
vApp 是虚拟数据中心内的一组虚拟机,例如,代表一个应用环境。虚拟机可以作为一个整体进行管理,例如创建快照或重启,也可以在 vApp 内单独管理单个虚拟机。虚拟机和 vApp 都可以设置租期,租期结束后会自动移除。默认租期设置为永不过期。
vApp 可以包含虚拟机,也可以不包含虚拟机。在创建虚拟机之前设置 vApp 网络时,创建不包含虚拟机的 vApp 会很有用。
创建新的虚拟应用程序
- 前往“应用程序”下的主页 > vApps**,选择创建新的 vApp,提供名称和描述,然后选择构建。等待该过程完成。
- vApp窗口中的选项:
- 选择“电源”可启动、关闭、重启或暂停 vApp。仅当 vApp 包含虚拟机时,这些操作才可用。
- 选择更多以从 vApp 中添加或删除虚拟机。
- 选择详细信息以查看或修改其他信息。
虚拟机
虚拟机既可以作为虚拟应用 (vApp) 的一部分创建,也可以作为独立虚拟机创建。建议在虚拟应用内创建虚拟机。一个虚拟应用最多可以包含 100 个虚拟机,虚拟机可以在不同的虚拟应用之间迁移。此外,还可以在位于不同虚拟应用中的虚拟机之间创建网络。
在 vApp 中创建虚拟机具有诸多优势,例如按任务、功能或保留要求对虚拟机进行分组;配置启动和关闭顺序;通过 vApp 网络图提高网络配置的可见性;以及通过基于角色的访问实现委派管理。
根据既定的存储策略,已分配的存储资源和已分配的GB内存均计入已用存储空间。虚拟机启动时,计算资源将从组织虚拟数据中心(OVDC)的计算配额中扣除。
对于新的虚拟机,最常见的操作系统安装方法是从 Equinix 私有或共享目录中选择一个 ISO 文件,让虚拟机在启动时从该 ISO 文件启动并开始安装过程。另一种方法是在创建工作流程中,在管理员工作站上从 OVF 或 OVA 文件创建新的虚拟机和 vApp。
创建虚拟机
- 前往应用程序 > 虚拟机** 并选择 创建虚拟机,或者在 vApp 上选择 更多 并选择 添加虚拟机。
- 按照创建对话框中的步骤操作,然后选择确定并等待虚拟机创建完成。
- 请输入姓名和计算机名称。
- 类型请选择“新建”。
- 选择虚拟机创建后是否自动启动。
- 选择操作系统系列、客户操作系统和启动映像。
- 配置启动选项,包括 EFI 安全启动和启动设置。
- 如有需要,请配置可信平台模块 (TPM) 设置。
- 配置计算资源,包括 CPU、核心数和内存。
- 配置存储,包括存储策略和磁盘大小。
- 配置网络设置。
- 在“虚拟机”屏幕中:
- 选择“电源”以打开或关闭虚拟机、重新启动或暂停虚拟机。
- 选择更多以挂载安装介质、管理快照、打开控制台或删除虚拟机。
- 选择查看以显示或修改配置详情和其他设置。
将目录中的安装介质链接到虚拟机
如果目录已存在且安装介质已上传,则可以将其附加到虚拟机。
- 找到虚拟机并选择更多。
- 选择“插入介质”,然后选择安装文件。该文件将以虚拟 CD-ROM 的形式连接。
- 安装完成后,建议选择“弹出介质”来分离安装文件。
虚拟主机控制台
虚拟机可以通过操作控制台进行管理。有两种控制台类型可供选择:
- 可通过浏览器访问的 Web 控制台。
- VM远程控制台需要安装插件。
安装介质(ISO)不能直接从本地设备使用。必须先将介质上传到目录,然后才能将其挂载到虚拟机。
适用于 Windows 设备的 VM 远程控制台插件可在共享目录中找到。对于 macOS 和 Linux(包括通过 Workstation 运行的 Windows),VMRC 功能已包含在 VMware Fusion Pro 和 VMware Workstation Pro 中。这些应用程序需要单独授权,并非 MPC 的一部分,Equinix 也不提供这些应用程序。
- 从 vApp 或“虚拟机”概览中找到虚拟机。
- 选择更多,然后选择所需的控制台类型:Web 控制台(无需插件)或 VM 远程控制台(需要插件)。
快照
快照会在执行操作之前捕获虚拟机或虚拟应用的完整状态。操作控制台一次只允许创建一个快照,无论是否包含活动内存状态。创建快照会暂时使虚拟机或虚拟应用的存储空间占用量翻倍。快照可能会影响虚拟机的性能。建议快照最多保留 2-3 天;超过一周的快照将被自动删除。如需长期保存虚拟机状态,请创建虚拟机或虚拟应用的克隆或备份。
- 找到虚拟机或虚拟应用程序,选择操作 > 选择“快照”,然后选择“创建快照”,再进行确认。
- 要将虚拟机恢复到快照状态,请选择恢复到快照并确认。
- 要删除快照,请选择删除快照并确认。
当从已存在快照的虚拟机创建新快照时,旧快照将被删除。要访问所有快照选项,必须在虚拟机上安装 VMware Tools。
目录
操作控制台中的目录存储虚拟应用程序 (vApp)、虚拟机和媒体文件(例如 ISO 镜像)。Equinix 提供包含一组 ISO 文件的共享目录。该共享目录与 OVDC(操作虚拟数据中心)关联,具体来说,与环境的 Metro 相关联。
还可以创建私有目录来存储安装介质或模板。可以直接上传文件,也可以从现有虚拟机或虚拟应用程序 (vApp) 创建模板。存储在私有目录中的文件会占用 OVDC 存储配额。所有上传的软件都必须符合供应商的许可要求和 Equinix 的政策。该目录仅可用于存储 ISO 和 OVF 文件。
创建产品目录
要存储安装介质或模板,必须先创建目录。
- 在主屏幕上,选择菜单图标(三条水平线)。
- 在内容中心屏幕中,选择目录,然后选择新建。
- 输入目录的名称和描述。目录可以存储在任何可用的存储配置文件中。默认情况下,系统会选择速度最快的配置文件。要选择特定的存储配置文件,请启用“在特定存储策略上进行预配置”,选择“ORGOVDC”,然后选择所需的存储策略。
添加安装介质
当目录可用时,可以将安装媒体上传到目录中。
- 前往内容库 > 媒体和其他**,然后选择添加。
- 在新屏幕中,选择目录,点击上传图标(向上箭头)打开文件浏览器。选择安装文件,然后点击确定进行确认。
- 如有需要,请编辑文件名,然后单击“确定”开始上传。在“媒体和其他”概览中,上传过程中会显示旋转指示器。上传完成后,会出现绿色对勾。此时,文件即可使用。
- 选择文件名旁边的三个点,可以选择删除文件或将其下载到工作站。
创建虚拟应用模板
可以通过从本地工作站上传文件或使用现有 vApp 创建 vApp 模板。基于 vApp 创建单个虚拟机的模板,仅当该 vApp 只包含一个虚拟机时才能创建。
- 找到要用作源的 vApp,选择“更多”,然后选择“添加到目录”。选择目标目录并输入名称。可以创建完全相同的副本,或者如果在创建模板之前安装了 VMware Tools,则可以调整虚拟机设置。
- 要访问 vApp 模板,请转到内容中心 > 目录** 并打开相关目录。模板可用后,即可用于部署新的虚拟机。
共享目录
Equinix 为每个 MPC 数据中心提供一个共享目录 (OS-CATALOG-1),其中包含一系列操作系统变体。请选择与虚拟机部署所在数据中心关联的目录。该共享目录与该数据中心中的 MPC 变体(FLEX 或 ST)相关联。如果同一数据中心同时使用 MPC FLEX 和 MPC ST,则会显示该数据中心的两个目录。
连接性和网络
操作控制台提供了多种连接和访问组织内部或外部服务的选项。根据所选的连接模型,将创建 OVDC,其连接方式可以是桥接(MPC 连接客户按顺序路由)或路由(MPC 连接按顺序路由)。
操作控制台中可用的网络功能取决于选择的是客户路由还是路由连接。在操作控制台中,可以通过自助服务创建两种类型的网络:
- 隔离网络(内部连接):隔离网络仅供 OVDC 内的虚拟机使用。
- 路由网络(外部连接):路由网络通过边缘网关提供对 OVDC 外部网络的访问。
| MPC Connectivity Type | Isolated | Routed |
|---|---|---|
| Bridging | Yes | No |
| Routing | Yes | Yes |
MPC网关防火墙架构
MPC采用分层网关防火墙架构,结合边界层和工作负载层控制,以保护南北向和东西向流量。MPC防火墙设计包含两种主要类型或层级的防火墙:
-
网关防火墙(南北向):保护 MPC 周边环境,处理进出环境的流量。
-
分布式防火墙(东西向):在虚拟网卡级别保护工作负载,并在 OVDC 内提供微隔离。
创建一个隔离的OVDC网络
组织虚拟数据中心 (OVDC) 网络使虚拟机 (VM) 能够相互通信,并可选择性地与外部网络通信。单个 OVDC 可以包含多个网络。
- 在操作控制台虚拟数据中心仪表板中,选择要创建网络的 OVDC。
- 在左侧导航面板中,选择网络。
- 点击新建。
- 在“范围”下,选择隔离网络的当前 OVDC。
- 在“新建组织 VDC 网络”对话框的“网络类型”页面中,选择“隔离”,然后单击“下一步”。
- 在“常规”页面中,输入网络的“名称”和“描述”。
- 在“网关 CIDR”字段中,从下拉列表中选择网络的 IP 地址空间。此列表由 Equinix 根据客户在部署期间输入的信息预先填充。
- 当需要 IPv6 时,可以启用双栈。
- 启用“允许访客 VLAN”功能,即可允许连接的虚拟机内使用多个 VLAN。
- 点击下一步。
- (可选)在“静态 IP 地址池”中,输入此网络上虚拟机的 IP 地址范围,然后单击“添加”。这样,操作控制台即可在创建虚拟机期间自动分配 IP 地址。如果未进行此配置,则必须在创建虚拟机期间手动分配 IP 地址。 例如:如果网关地址为 192.168.1.1/24,则静态 IP 地址池 192.168.1.10–192.168.1.100 可提供 91 个可用 IP 地址。如有需要,以后可以添加其他范围。
- 完成后,点击下一步。
- (可选)在“DNS”页面中,输入DNS信息,然后单击“下一步”。如果省略此步骤,则在创建虚拟机时必须手动输入DNS设置。
- 在“准备完成”页面上,检查所有设置,然后单击“完成”。
创建路由式 OVDC 网络
路由型 OVDC 网络使虚拟机 (VM) 能够使用三层 (L3) 路由相互通信并与外部网络通信。单个 OVDC 可以包含多个路由型网络。创建过程取决于是否使用分布式防火墙功能。
- 在操作控制台虚拟数据中心仪表板中,选择要创建网络的 OVDC。
- 在左侧导航面板中,选择“网络”,然后单击“新建”。
- 在“范围”下,如果未使用分布式防火墙,请选择“当前组织虚拟数据中心”。
- 在“新建 OVDC 网络”对话框的“网络类型”页面中,选择“路由”,然后单击“下一步”。
- 在“边缘连接”下,选择路由段将连接到的边缘网关。
- 在“常规”页面中,输入网络的名称和描述。
- 在“网关 CIDR”字段中,从下拉列表中选择网络的 IP 地址空间。此列表由 Equinix 根据客户在部署期间提供的输入预先填充。
- 如果需要 IPv6,请启用双栈。
- 启用“允许访客 VLAN”功能,允许连接的虚拟机内存在多个 VLAN。
- 点击下一步。
- (可选)在 DNS 页面中,输入 DNS 设置,然后单击 下一步。 如果此处未配置,则必须在创建虚拟机期间手动添加 DNS 信息。
- 在“准备完成”页面上,查看所选内容,然后单击“完成”。 网络创建完毕并连接到 OVDC 后,即可配置边缘网关来控制哪些流量可以进出 OVDC。
使用分布式路由网络时:
- 分布式网络之间的流量使用分布式防火墙进行防火墙保护,因为它不经过边缘网关。
- 进出环境的流量都会经过边缘网关,网关防火墙会在此处生效。
- 分布式防火墙需要 MPC 分布式防火墙服务选项,该选项必须作为 MPC 合同的一部分进行订购。
如果启用分布式路由,则此网络将无法使用网关防火墙,必须使用分布式防火墙 (DFW)。南北向防火墙仍然可用。如果禁用分布式路由,则此路由网络仅可使用网关防火墙。
允许访客 VLAN
启用此选项后,即可在虚拟机的网络接口上配置 VLAN 标签(802.1Q 标签)。这样,就可以在同一路由或隔离的网络段上运行多个 VLAN。
创建网关防火墙规则
操作控制台提供功能齐全的四层防火墙,用于控制跨越安全边界的流量——包括南北向(OVDC 与外部网络之间的流量)和东西向(OVDC 网络内部及网络之间的流量)。在为防火墙规则指定网络或 IP 地址时,支持以下格式:
- 单个 IP 地址
- IP 地址范围(例如,192.168.1.10–192.168.1.50)
- CIDR 表示法(例如,192.168.2.0/24)
- 关键词:内部、外部或任何
- 在操作控制台虚拟数据中心仪表板中,选择包含边缘网关的 OVDC,防火墙规则将在该边缘网关上创建。
- 在左侧导航面板中,单击“边缘”。可用的边缘网关将显示在右侧。
- 选择要配置的_Edge Gateway_,然后打开防火墙选项卡。
- 在“防火墙”选项卡中,可以创建和管理防火墙规则。
- 点击“新建”按钮添加新规则。在新规则中,请指定以下字段:
- 命名
- 应用
- 语境
- 来源(IP 地址、IP 地址集、静态组)
- 目标地址(IP 地址、IP 地址集、静态组)
- 操作(允许、放弃、拒绝)
- 协议(IPv4、IPv6 或两者兼有)
- 日志记录
- 评论
- 在“源”和“目标”字段中,定义规则的地址。要指定 IP 地址或地址范围,请单击“IP”并输入值,然后单击“保留”。要重复使用 IP 地址组,请转到“分组对象”并单击“+”以创建 IP 地址集。然后,可以为多个规则选择此 IP 地址集。
- 在“应用程序”字段中,单击“+”,然后在“添加服务”对话框中,指定协议、源端口和目标端口。或者,您可以定义自定义协议/端口组合。完成后,单击“保留”。您还可以预先创建自定义应用程序并将其应用于防火墙规则。
- 选择规则的操作是“接受(允许)”还是“拒绝(丢弃/拒绝)”。如果配置了系统日志服务器,请选择“启用日志记录”。
- 点击保存更改以最终确定规则。
防火墙规则的一个示例是允许来自互联网的 HTTPS 流量。此示例使用已分配的公网 IP 地址。源地址为任意地址(OVDC 内的任何 IP 地址)。源端口也为任意端口。目标地址为私有 IP 地址,HTTPS 的目标端口为 443。要使此规则生效,您需要配置 DNAT。
创建 NAT 规则
网络地址转换 (NAT) 允许更改源 IP 地址或目标 IP 地址,以便流量能够通过路由器或网关。边缘网关上最常见的 NAT 类型包括:
- 目标地址转换(DNAT)——改变数据包的目标IP地址。
- 源地址转换 (SNAT) - 更改数据包的源 IP 地址。
其他选项包括:
- 无DNAT
- 没有 SNAT
- 反身动词
在某些情况下,虚拟机 (VM) 要从其 OVDC 访问外部网络资源,可能需要使用 NAT。在这种情况下,请使用以下选项之一:
- Equinix提供的公共互联网IP地址。
- 通过 MPC Connect 构建专用网络。
- 此功能主要适用于边缘网关配置公网 IP 地址而虚拟机使用私有 IP 地址的情况。
- NAT 规则仅在防火墙启用时生效。防火墙应始终保持启用状态。
DNAT 会更改数据包的目标 IP 地址,并对回复流量执行相反的操作。DNAT 可用于将运行在私有网络上的服务通过公共 IP 地址暴露出来。
- 在操作控制台虚拟数据中心仪表板中,选择包含创建 DNAT 规则的边缘网关的 OVDC。
- 在左侧导航面板中,单击“边缘”。选择“NAT”选项卡,然后添加新的NAT规则。
- 在 NAT 部分,单击 + DNAT 规则。
- 在 NAT 操作 中,选择 NAT 规则类型。
- 输入外部 IP 地址(例如,10.30.40.95)。
- 输入_外部端口_(例如,443)。
- 输入内部 IP 地址(例如,192.168.1.10)。
- 高级设置
- State - 启用或禁用规则
- 日志记录 - 记录规则
- 优先级 - 数值越低优先级越高,默认值为 0。
- 防火墙匹配
- 匹配内部地址
- 匹配外部地址
- 旁路
- 适用对象 - 留空
- 如果配置了 syslog 服务器,请选择启用日志记录。
- 完成后,点击保留,然后点击保存更改。
创建 SNAT 规则
SNAT 会更改数据包的源 IP 地址,并对回复流量执行相反的操作。访问外部网络(例如互联网)时,需要 SNAT 规则将内部 IP 地址转换为外部网络上可用的地址。
- 在操作控制台虚拟数据中心仪表板中,选择包含创建 SNAT 规则的边缘网关的 OVDC。
- 在左侧导航面板中,单击“边缘”。选择“NAT”选项卡,然后添加新的NAT规则。
- 在 NAT 部分,单击 + SNAT 规则。
- 在 NAT 操作 中,选择 SNAT。
- 外部 IP - 外部网络(通常命名为 VCD_CUSTOMER_WAN)。
- 内部 IP 地址 - 用于互联网访问的网络或 IP 地址。
- 高级设置
- State - 启用或禁用规则
- 日志记录 - 记录规则
- 优先级 - 数值越低优先级越高,默认值为 0。
- 防火墙匹配
- 匹配内部地址
- 匹配外部地址
- 旁路
- 适用对象 - 留空
- 完成后,点击保留,然后点击保存更改。
创建 NO SNAT 规则
NO SNAT 规则会否定现有的 SNAT 规则。您可以创建 NO SNAT 规则来绕过发往特定 IP 地址的流量的 SNAT 过程。为确保正确的处理顺序,NO SNAT 规则的优先级(数值)必须高于 SNAT 规则。默认优先级为 0,即最高优先级。
- 在操作控制台虚拟数据中心仪表板中,选择包含创建 NO SNAT 规则的边缘网关的 OVDC。
- 在左侧导航面板中,单击“边缘”。选择“NAT”选项卡,然后添加新的NAT规则。
- 在 NAT 部分,单击 + 无 SNAT 规则。
配置 IPsec VPN
操作控制台支持以下几种类型的站点到站点 VPN 连接:
- 同一组织内的边缘网关
- 另一组织(Equinix 或其他 vCloud 服务提供商)中的边缘网关
- 提供 IPsec VPN 端点的远程网络,例如云服务提供商或托管环境
根据连接类型,必须为两个端点配置 IP 地址以及共享密钥。此外,还必须指定允许通过 VPN 连接通信的 OVDC 网络。
在配置 IPsec VPN 设置之前,请记下要用作隧道端点的边缘网关的 IP 地址。
- 在操作控制台虚拟数据中心仪表板中,选择包含要配置的边缘网关的 OVDC。
- 在左侧导航面板中,单击边缘。
- 在“边缘”页面上,选择“边缘网关”。
- 在“服务”选项卡中,找到 IPsec VPN 选项,然后单击“新建”以创建新的 IPsec VPN 配置。
配置边缘网关 IPsec VPN 设置
- 配置名称,启用登录以查看日志,其余选项保持默认值。
- 对等认证模式
- 预共享密钥:用于验证和加密连接的共享密钥。它必须是长度在 32 到 128 个字符之间的字母数字字符串,并且至少包含一个大写字母、一个小写字母和一个数字。此值在两个站点上必须相同。
- 证书:要使用证书,请上传证书和 CA 证书。
-
端点配置
本地端点
- IP地址:边缘网关的外部IP地址。
- 网络:输入可以访问 VPN 的组织网络。多个本地子网之间用逗号分隔。
远程端点
- IP 地址:配置 VPN 的远程站点、本地防火墙或边缘网关的外部 IP 地址。
- 网络:本地网络上应可从 OVDC 访问的子网。例如,如果本地网络使用 172.20.0.0/16 范围,则输入 172.20.0.0/16,或更小的子网,例如 172.20.0.0/25。
- 远程 ID:
- 此值唯一标识对等站点,并取决于隧道认证模式。如果未指定,则远程 ID 默认为远程 IP 地址。
- 预共享密钥:远程 ID 取决于是否配置了 NAT。如果远程 ID 配置了 NAT,请输入远程站点的私有 IP 地址。否则,请使用终止 VPN 隧道的远程设备的公网 IP 地址。
- 证书:远程 ID 必须与远程端点证书的 SAN(主题备用名称)匹配(如果存在)。如果远程证书不包含 SAN,则远程 ID 必须与用于保护远程端点的证书的专有名称匹配。
-
配置完成后,单击保留以创建 VPN 隧道的边缘端,然后单击保存更改。
创建第二个VPN网关
如果此端点位于不同的 OVDC,请重复上述步骤创建隧道。隧道创建完成后,更新防火墙设置并验证连接。如果连接到外部数据中心,请在这些数据中心配置隧道。
IKE一期和二期
IKE(互联网密钥交换)是一种用于建立安全、认证通信的标准机制。以下列出了第一阶段和第二阶段支持的配置参数。
第一阶段参数
第一阶段建立对等身份验证、协商加密参数并生成会话密钥。支持的第一阶段参数包括:
- 主模式
- AES/AES256/AES-GCM(用户可配置)。
- 迪菲-赫尔曼组
- 预先分享的秘密(用户可配置)。
- SA 生命周期为 28800 秒(8 小时),无需重新密钥。
- 禁用ISAKMP攻击性模式
第二阶段参数
IKE 第二阶段通过生成密钥材料来协商 IPsec 隧道,密钥材料可以通过从第一阶段密钥派生或执行新的密钥交换来生成。支持的第二阶段参数包括:
- AES/AES256/AES-GCM(符合第一阶段设置)
- ESP隧道模式
- 迪菲-赫尔曼组
- 完美前向保密性用于密钥重生成(仅当两个端点都启用时)
- SA 有效期为 3600 秒(1 小时),无需重新密钥。
- 使用 IPv4 子网,选择两个网络之间所有 IP 协议和所有端口的选择器
配置 VPN 的边缘网关防火墙
VPN隧道建立后,在边缘网关上创建防火墙规则,以阻止流量通过该隧道传输。
- 创建防火墙规则,允许双向流量:数据中心到 OVDC 和 OVDC 到数据中心。
- 对于数据中心到 OVDC 的设置:
- 外部 OVDC 或数据中心网络的源 IP 地址范围
- 目标地址为 OVDC 网络的目标 IP 地址范围
- 对于 OVDC 到数据中心的设置:
- OVDC网络的源IP范围
- 目标地址为数据中心或VDC网络的目标IP地址范围
隧道验证
IPsec隧道两端配置完成后,连接应该会自动建立。
在操作控制台中验证隧道状态:
- 在“边缘”页面上,选择要配置的边缘,然后单击“配置服务”。
- 选择“统计信息”选项卡,然后选择“IPsec VPN”选项卡。
- 对于每个已配置的隧道,勾号表示隧道运行正常。如果显示其他状态,请检查隧道配置和防火墙规则。
- 现在可以经由 VPN 发送流量了。
隧道建立后,VPN 连接最多可能需要两分钟才能显示为活动状态。
创建 OVDC 分布式防火墙规则
在组织 OVDC 级别,分布式防火墙可以通过操作控制台应用微隔离。
使用分布式防火墙规则需要启用 MPC 服务选项分布式防火墙。
开始之前
- IP 集:用作规则中的源或目标。创建 IP 集可用于防火墙规则和 DHCP 中继配置。IP 集通常用于对 VCD 组织外部的资源进行分组,例如互联网或公司广域网 (WAN)。在这些情况下,会使用 IP 地址或子网。
- 静态组:静态组包含一个或多个网络。当在分布式防火墙规则中使用静态组时,该规则将应用于连接到该组中所有网络的虚拟机。
- 动态组:用于根据虚拟机名称、安全标签或两者对虚拟机进行分组。默认情况下,动态组包含一个条件和一条规则。它可以扩展到最多三个条件,每个条件最多可包含四条规则。
创建分布式防火墙规则
- 在操作控制台虚拟数据中心仪表板中,选择包含要配置的分布式防火墙的 OVDC。
- 在左侧导航面板中,单击网络/数据中心组/分布式防火墙。
- 点击 + 向防火墙规则表中添加新行。
- 对于新规则,请指定一个名称。
- 在源和目标字段中,指定防火墙规则的源地址和目标地址。
-
防火墙组
-
IP 集:选择新建,然后提供名称、描述和 IP 范围或 CIDR。
-
静态组:选择新建,提供名称,然后单击保存。
选择“管理成员”以添加新成员。
选择要添加到静态组的网络。
“关联的虚拟机”视图显示哪些虚拟机已连接到附加网络。
-
动态分组:选择新建,提供名称,然后选择要使用的条件类型。
-
防火墙 IP 地址:添加 IP 地址、CIDR 或范围,然后选择保留。
- 选择操作(允许、放弃或拒绝)。
- 选择IP协议(IPv4、IPv6 或两者都选)。
- 如有需要,请配置日志记录。
- 选择保存。
服务说明
服务选项
MPC Flex 包含多种可单独订购的服务选项。
虚拟机复制用于灾难恢复
MPC 灾难恢复是一项自助服务选项,它提供崩溃一致性虚拟机复制,并支持三种客户可选的 SLA 配置文件。它支持 FLEX 和 ST 部署之间的复制,包括混合配置。辅助数据中心 VDC 可以使用容量较低的计算或存储资源,只要其足以满足预期工作负载即可。
为确保灾难恢复成功,虚拟数据中心 (VDC) 和网络拓扑必须支持与互联网、本地位置或辅助数据中心机柜的连接。系统支持虚拟机故障转移的自助测试,以验证故障转移行为是否满足要求。
要配置此服务,可以在操作控制台中将虚拟机分配给 SLA 配置文件。激活复制后,虚拟机数据将复制到选定的辅助 VDC。
MPC灾难恢复提供以下服务级别协议 (SLA):
| Parameter | Value | Description |
|---|---|---|
| RPO | Gold: 1 hour Silver: 4 hours Bronze: 24 hours | Timeframe in which the replication is finished. |
| RTO | 30 minutes | Timeframe within which the VM must be started in the secondary datacenter after customer‑initiated failover. RTO starts after failover is initiated by customer. |
| # Retention points | Gold: latest + 8 points Silver: latest + 6 points Bronze: latest + 2 points | All profiles consist of the latest restore point plus a defined number of automatically stored restore points. Maximum restore point age is 2 days. |
灾难恢复功能采用基于 I/O 过滤器的捕获技术。这种方法避免了基于快照的复制所带来的性能影响。
当需要进行故障转移时,客户可以通过操作控制台启动工作负载到备用数据中心的故障转移。虚拟机将根据所选的服务级别协议 (SLA) 进行复制,复制网络由 Equinix 作为服务的一部分进行运营和监控。
与客户相关的连接,包括虚拟机和应用程序连接,不在 MPC 灾难恢复选项的范围内,必须提前做好准备,以确保数据中心、互联网、机柜和本地位置之间的连接。
当主数据中心恢复运行后,客户需在操作控制台中反转复制方向。复制恢复后,客户可选择合适的时间将虚拟机和应用程序迁移回主数据中心。
职责 有效灾难恢复包括了解哪些活动会影响性能和容量,以及 Equinix 和客户之间如何划分这些活动。
| Activities | Equinix | Customer |
|---|---|---|
| Selecting suitable MPC compute and storage for the DR site | I | RAC |
| Making the selected SLA profile available in the Operational Console | I | RAC |
| Configuring disaster recovery in the Operational Console | I | RAC |
| Ensuring DR site capacity is sufficient for disaster recovery | I | RAC |
| Managing replication infrastructure and connectivity | RAC | I |
| Configuring customer connectivity and networks during failover | I | RAC |
MPC灾难恢复功能的购买单位采用按虚拟机、按月计费的模式,并与主数据中心中选定的服务级别协议 (SLA) 配置文件绑定,定价包含复制连接和带宽。辅助数据中心消耗的计算和存储容量包含在MPC服务中,而虚拟机的多站点网络连接则需单独购买。
| Purchase Item | Tier | UOM | Calculation Type | Description |
|---|---|---|---|---|
| Service Option – Disaster Recovery | Bronze Silver Gold | VM | Baseline Overage | Replication of a VM to a selected secondary MPC VDC in another datacenter, according to the selected SLA. |
计量是通过每天根据分配的 SLA 配置文件统计复制的虚拟机数量来计算的,一个月内在不同 SLA 配置文件之间移动的虚拟机将根据在每个适用配置文件上花费的时间进行计费。
关系与依赖关系
- MPC Disaster Recovery 仅适用于 MPC Flex 和/或 MPC ST。
- 该服务选项需要位于不同数据中心的两个 MPC VDC。
- 该服务选项仅适用于指定的数据中心组合。
MPC 资源的备份和恢复是通过单独订购的托管私有备份服务提供的。该服务包括虚拟机数据或应用程序数据的备份。
自助服务门户中提供了一个软件目录。该目录列出了可在运行于开放虚拟数据中心 (OVDC) 的虚拟机 (VM) 中使用的软件,包括开源软件和授权软件。授权软件目录中包含 Microsoft SPLA - Windows Server。
软件许可购买单位
| 采购单位 | 类型 | 收费类型 | 计量单位 | 订购和结算 |
|---|---|---|---|---|
| Windows Server 每 vCPU 费用 | 标准 | 基准费用和超额费用 | vCPU | 已开机虚拟机的 vCPU 的基准费用和超额费用模型。 |
除了产品目录外,还可以通过 Equinix 软件许可服务订购软件许可。
自带许可证允许客户使用现有的软件许可证,但需验证供应商的许可条款,客户仍需完全负责遵守所有软件供应商的许可要求。
支持计划提供额外服务,包括服务请求、增强支持、报告和设计协助。托管解决方案高级支持计划是一项预付费计划,以折扣价提供按月或按年计费的支持时长。支持时间以 15 分钟为单位计算。如果没有预付费计划,则支持服务将按高级支持服务的标准费率按小时收费,同样以 15 分钟为单位计算。
| Purchase Unit | Type | Charge Type | UOM | Ordering and Billing |
|---|---|---|---|---|
| Technical Support Plan | Monthly | Baseline | Hour | Monthly reservation of hours for technical support |
| Technical Support Plan | Annual | Baseline | Hour | Yearly reservation of hours for technical support |
此支持计划适用于所有托管解决方案产品。如果超出分配的工时,超出部分将按标准高级支持服务费率计费。未使用的月度工时或预付费工时将作废,不会结转至下个月。超出预付费限额的使用量将按标准费率计费,除非升级计划。此计划针对特定国家/地区,与特定的 IBX 数据中心无关。
迁移支持 使客户能够使用支持 VMware vSphere 或 Cloud Director 工作负载的工具,将工作负载从本地环境迁移到 MPC,而无需重构应用程序。客户在其 VMware 环境中部署一个设备,该设备与 MPC 环境配对,并使用异步复制功能。默认情况下,迁移支持通过互联网进行,也可根据要求通过私有 Equinix Fabric 连接进行迁移。基于 Fabric 的迁移需要专用虚拟电路,最高速度可达 10 Gbps;基于互联网的迁移最高速度可达 400 Mbps。该工具可免费使用,并通过支持计划获得额外帮助。
| Connection | Speed | Network Configuration |
|---|---|---|
| Internet | Up to 1 Gbps | No |
| Fabric | Up to 10 Gbps | Yes, set up VLANs |
服务划分和支持服务
通过 MPC,Equinix 提供了一个基础设施即服务 (IaaS) 平台,其中包括数据中心设施、数据中心网络、计算、存储和虚拟网络。Equinix 负责管理直至虚拟机管理程序层的服务,并提供虚拟化平台的许可。资源在逻辑隔离的环境中交付,客户可以通过操作控制台管理其环境。
客户负责管理自己的工作负载。这包括创建和管理虚拟机、存储、虚拟网络、安全策略和容量,以及提供操作系统和应用程序所需的许可证。
局限性
MPC Flex 是一项托管服务,对自助访问和功能有所限制,以维持性能、可用性和安全性。
一般的
- 只能通过 MPC 操作控制台和 API 访问 vSphere 或 vCenter 功能。
- 与 vCenter 和 vSphere 的集成仅限于通过 MPC 操作控制台公开的功能。
计算
- 创建虚拟机快照时,每个虚拟机只能同时创建一个快照。
虚拟磁盘
- 不支持通过 MPC 操作控制台或 API 在虚拟机之间移动虚拟磁盘;必须通过 Equinix 支持服务台创建支持工单。
- 不支持在多个虚拟机之间共享虚拟磁盘;不支持使用共享磁盘的 Microsoft Windows Server 故障转移群集 (WSFC)。
网络
- 不支持单根 I/O 虚拟化 (SR-IOV) 和虚拟机直接物理网卡访问。
购买单位
MPC 服务按月收费,收费方式有两种:一种是按基准值收费,另一种是按基准值加超额费用收费。
- 基准量 - 订单中定义的服务计量单位的具体体积。
- 超额使用量 - 实际消耗的服务量超过合同约定的基本服务量。
采购单元目录
该表格列出了托管私有云的采购单位,包括计量单位和计费方式:
| Category | Purchase Unit | UOM | Install Fee | Billing Method | Overage |
|---|---|---|---|---|---|
| MPC Service | Connectivity – Routed | Each | Baseline | ||
| Connectivity – Customer Routed | Each | Baseline | |||
| Connectivity – Managed Firewall | Each | Baseline | |||
| Connectivity – Joined | Each | Baseline | |||
| MPC Compute | vCPU – Full | vCPU | Baseline | Yes | |
| vCPU – Optimized | vCPU | Baseline | Yes | ||
| MPC Memory | vRAM | GB | Baseline | Yes | |
| MPC Storage | High Performance | TB | Baseline | Yes | |
| Performance | TB | Baseline | Yes | ||
| MPC Service Option | Network – Managed Virtual Circuit (xx Mbps) | Each | Yes | Baseline | |
| Network – Managed Internet Access (xx Mbps) | Each | Baseline | |||
| Network – Additional IP space /24/25/26/27/28/29 | Each | Baseline | |||
| Network – External network | Each | Yes | Baseline | ||
| Network – Distributed Firewall per vCPU – Full | vCPU | Baseline | Yes | ||
| Network – Distributed Firewall per vCPU – Optimized | vCPU | Baseline | Yes | ||
| License – Windows Server per vCPU | vCPU | Baseline | Yes | ||
| Disaster Recovery Gold/Silver/Bronze | VM | Baseline |
超额费用计算 MPC每日多次计量用量,并以每日最高值作为超额费用的计算依据。每月超额费用通过将每日最高值相加,再除以计费月份的天数得出。计费月份的天数定义为从上个月倒数第二天到下个月倒数第二天这段时间。例如,10月份的超额费用基于9月29日至10月30日的用量计算。
角色与职责
在服务履行和交付过程中,Equinix 和客户共同承担责任。以下部分概述了这些责任。
入职培训
| Activities | Equinix | Customer |
|---|---|---|
| Schedule / execute project kickoff meeting | RA | CI |
| Schedule / execute customer onboarding | RA | CI |
| Delivery of the OVDC in accordance with the order | RA | I¹ |
| Delivery of the agreed compute capacity in accordance with the order | RA | I¹ |
| Delivery of the agreed storage capacity in accordance with the order | RA | I¹ |
| Delivery of the connectivity type in accordance with the order | RA | I¹ |
| Delivery of the Managed Virtual Circuits in accordance with the order | RA | C |
| Delivery of the Managed Internet Access in accordance with the order | RA | C |
| Delivering the agreed network functionality in accordance with design (optional) | RA | C |
| Delivery of the MPC Operational Console | RA | I¹ |
| Delivery of the admin account for the Operational Console | RA | I¹ |
入伍
在完成入职流程后,测试流程将确认产品已成功交付并可以开始计费。
| Activities | Equinix | Customer |
|---|---|---|
| Test access to MPC product page on Managed Solutions Portal | CI | RA |
| Test access to MPC documentation on docs.equinix.com | CI | RA |
| Test access to MPC operational console | CI | RA |
| Confirm MPC fulfillment based on preview evidence | CI | RA |
| Set product as enabled for customer on internal systems | RA | I |
操作
为客户启用托管私有云后,适用以下操作事项:
| Activities | Equinix | Customer |
|---|---|---|
| Technical management of the service (overall) | RAC | I¹ |
| Functional management of the customer environment within the service (overall) | I² | RAC |
| MPC infrastructure monitoring and maintenance | RA | I |
| Create, import, and manage VMs and vApps | I² | RAC |
| Scale VMs up and down | I² | RACI |
| Manage VM snapshots | RACI | |
| Manage access to VMs with console | RACI | |
| Request performance statistics | RACI | |
| Create and fill Library with customer’s own ISO/OVA files | RACI | |
| Separate or group VMs for availability or performance | I² | RAC |
| NFV: Virtual L2 networks | I² | RAC |
| NFV: Standard firewalling | I² | RAC |
| NFV: Routing (static) | I² | RAC |
| NFV: Routing (dynamic OSPF / BGP) | I² | RAC |
| NFV: NAT | I² | RAC |
| NFV: DHCP | I² | RAC |
| NFV: Load balancing | I² | RAC |
| NFV: VPN (IPsec, Client) | I² | RAC |
| Setup and manage scripting and automation capabilities | RACI |
RACI 代表负责任、负责、咨询和知情。
- 只有对用户环境的运作有影响的任务,才必须告知。
- 只有对服务的运行和/或管理有影响的任务才需要告知。
事件管理
事件管理包含在服务支持范围内。所有事件均按优先级处理。优先级由 Equinix 在事件报告后,根据所提供的信息进行评估后确定。
| Priority | Impact / Urgency | Description |
|---|---|---|
| P1 High | Unforeseen unavailability of a service or environment delivered and managed by Equinix, in accordance with the service description, due to a disruption. The user cannot fulfil its obligations toward its users. The user suffers direct demonstrable damage due to the unavailability of this functionality. | The service must be restored immediately; the production environments are unavailable, with platform‑wide disruptions. |
| P2 Medium | The service does not offer full functionality or has partial functionality or reduced performance, because of which users are impacted. The user suffers direct demonstrable damage due to limited availability of this functionality. | The service must be repaired the same working day; the management environment is not available. |
| P3 Low | The service functions with limited availability for one or more users, and there is a workaround in place. | The moment of repair of the service is determined in consultation with the reporting person. |
注意:此分类不适用于例如由用户特定应用程序、用户操作或第三方因素导致的故障。此类事件可通过客户门户网站的“托管解决方案”类别提交。P1 级事件需通过电话提交。
服务请求
服务请求用于报告服务问题或请求实施或配置更改方面的帮助。标准配置更改可通过MPC自助服务门户以服务请求的形式提出。我们提供7x24x365全天候支持。有两种类型的服务请求可供选择:
- 包含 - 服务范围内的服务请求,不会产生额外费用。
- 附加 - 超出服务范围且会产生额外费用的服务请求。
| Request Name | Included / Additional |
|---|---|
| Create a DC group over multiple OVDCs | Additional |
| Change external access OVDC API | Additional |
| Add a user for the Operational Console | Included |
| Remove a user from the Operational Console | Included |
| Change permissions for a user | Included |
如需提出上述未列出的变更,请在服务请求模块中选择“变更”。Equinix 将进行影响分析,以确定可行性、成本和交付周期。服务请求的相关费用将从“高级支持计划”余额中扣除。如果余额不足,则按现行费率开具发票。影响基准容量、订购数量或任何影响月度服务费的变更请求,必须通过 Equinix 销售团队提出。
报告
作为服务的一部分,客户每月都会收到服务报告,内容涵盖以下主题:
- 针对 SLA 参数提交了工单
- 每个 OVDC 的容量
服务水平
服务级别协议 (SLA) 定义了适用于 MPC 服务的可衡量性能水平,并规定了如果 Equinix 未能达到这些水平,客户可获得的补救措施。下文列出的服务补偿是未能达到本节定义的服务级别阈值的唯一且排他性的补救措施。
| Priority | Response Time¹ | Resolution Time² | Execution of Work | SLA³ |
|---|---|---|---|---|
| P1 | < 30 min | < 4 hours | 24x7 | 95 % |
| P2 | < 60 min | < 24 hours | 24x7 | 95 % |
| P3 | < 120 min | < 5 days | 24x7 | 95 % |
- 响应时间是从提交故障单到 Equinix Managed Solutions 专家提供正式回复的时间段计算的。
- 解决时间是从创建工单到关闭、取消或移交给 IBX 支持部门的整个过程。
- SLA 适用于响应时间,有关 SLA 的详细信息,请参阅产品政策。
MPC 服务的可用性级别指的是单个 OVDC 的可用性。当 Equinix 管理的基础设施发生故障导致 OVDC 进入错误状态并直接造成客户服务中断时,MPC 服务被视为不可用。
| Availability Service Level | Description |
|---|---|
| 99.95%+ | Achieved when total OVDC unavailability is less than 22 minutes over a calendar month. |
服务信用机制适用于产品策略中定义的可用性服务级别协议 (SLA)。MPC 服务的可用性不包括数据恢复。客户负责恢复其数据。如果客户已签订托管私有备份服务合同,则可以通过托管私有备份操作控制台自助恢复数据。如果客户未签订托管私有备份服务合同,则数据恢复由客户自行负责。