托管私有云单租户

MPC 单租户 (MPC ST) 是托管私有云 (MPC) 的专用基础设施服务版本，专为需要最高稳健性、隔离性和安全性的客户而设计。它在 Equinix IBX 数据中心内提供完全专用的环境。

MPC ST 是一种单租户计算环境，以集群形式部署，由多个主机组成，为单个客户提供专用的计算、存储和网络资源，摒弃了共享租户模式，并支持需要一致、隔离资源的工作负载或应用程序。计算、存储和网络资源均通过 MPC 操作控制台进行管理。

MPC ST 计算集群

MPC ST 集群包含七个或更多相同类型的主机。集群类型决定了服务的可用性和 SLA 特性。支持以下集群类型：

单集群，单数据中心
多集群、多数据中心
单集群，双数据中心（扩展集群）

单集群、单数据中心配置适用于需要高可用性的应用。此类集群的灾难恢复主要通过备份解决方案实现。多集群、多数据中心配置适用于支持内置故障转移机制且能够从故障中恢复的应用。

主持人

MPC ST 环境至少包含 7 台主机，其中 6 台主机用于工作负载执行，1 台主机保留为备用容量 (N+1)。

MPC ST 提供了一个按 CPU、核心数、内存和存储定义的主机类型目录。

集群大小

集群规模的确定取决于所需的计算能力和可用性。集群由可用计算能力（以主机数量 N 为单位）和用于可用性、恢复和维护的备用容量组成。备用容量需求取决于集群规模。

最小集群规模为七 (7) 台主机 (N+1)
超过 15 台主机的集群需要第二台备用主机 (N+2)

集群规模和净容量

预留备用服务器容量是为了确保可用性。在所有活动节点保持运行期间，备用节点无法使用，因此其容量不计入可用容量的计算。以下概述展示了集群规模示例，包括最小和最大规模，以及相应的可用净容量（以 CPU 核心数和内存容量 GB 为单位）。

MPC ST CLUSTER SIZE	HYPERVISOR SERVER MODEL	# SPARE SERVERS	# AVAILABLE CPU CORES	# AVAILABLE GB RAM
7 (6+1) minimum	16C, 512 GB RAM	1	60	1380
	32C, 512 GB RAM	1	90	1380
	32C, 1024 GB RAM	1	90	2850
	64C, 1024 GB RAM	1	180	2850
	64C, 2048 GB RAM	1	180	5700
15 (14+1)	16C, 512 GB RAM	1	210	6440
	32C, 512 GB RAM	1	420	6440
	32C, 1024 GB RAM	1	420	13300
	64C, 1024 GB RAM	1	840	13300
	64C, 2048 GB RAM	1	840	26600
17 (15+2)	16C, 512 GB RAM	2	225	6900
	32C, 512 GB RAM	2	450	6900
	32C, 1024 GB RAM	2	450	13800
	64C, 1024 GB RAM	2	900	13800
	64C, 2048 GB RAM	2	900	27600

组织虚拟数据中心 (OVDC)

客户可以在 MPC ST 集群中定义一个或多个 OVDC，以支持灵活且可扩展的资源组织。OVDC 提供一个包含 vCPU、RAM、存储资源和网络功能的逻辑环境，客户可以在该环境中定义虚拟机。

vCPU性能保证

每个 OVDC 都有最低保证的 vCPU 性能预留。每个 OVDC 只能应用一项性能保证。可用选项包括：

vCPU Guarantee	Use
FULL	For every 1 vCPU, a full core is reserved
HIGH	For every 2 vCPU, a full core is reserved
OPTIMIZED	For every 8 vCPU, a full core is reserved

贮存

在 MPC ST 中，存储容量包含在主机价格中。客户可以将总存储容量分配到多个 OVDC 上。每个 OVDC 最多可以分配两种存储策略。下表列出了可用的存储策略。

Storage Policy	Use
ULTRA PERFORMANCE	For logs and other workloads with need for the highest IOPS
HIGH PERFORMANCE	Database RDS/SBC, VDI low-latency beneficial workloads
PERFORMANCE	Generic VMs, app / web services, high-performance file services / object storage

客户可以根据不同用途，组合不同规格和规模的多个OVDC，以优化集群的计算、存储容量和性能。安全策略可以在虚拟网络上配置，并且OVDC之间可以互连。

MPC存储的特性

每个 OVDC 策略分配存储容量。
每个 OVDC 最多可以分配两种不同的存储策略。
MPC 存储支持静态加密
建议每个虚拟机的虚拟磁盘大小为 40 GB 至 8 TB。

预期净存储容量

由于数据去重、压缩以及为保护和管理预留的容量，可用磁盘空间并不等于可用存储容量。根据磁盘大小、磁盘数量以及集群中的服务器数量，可以确定最小和预期可用容量。在售前阶段，所需容量将根据客户需求确定。

每个策略的存储消耗量按以下分配的容量来衡量：

虚拟机磁盘
虚拟机交换文件
快照
库中的文件（vApp 模板和 ISO 文件）

VMware 许可

MPC ST 主机的价格包含 VMware Cloud Foundation (VCF) 许可。

计算购买单位

MPC ST 的采购单位计算基于可用的主机类型。

下表描述了MPC单租户的不同购买单元类型。

Purchase Unit	Host Type	Billing Type	Description
AHM-16L05V4#4	Generic Host	Baseline	16C, 512GB RAM, 4×3.84TB NVME
AHM-16L05V6#4	Generic Host	Baseline	16C, 512GB RAM, 6×3.84TB NVME
AHM-32L05V8#4	Generic Host	Baseline	32C, 512GB RAM, 8×3.84TB NVME
AHM-32L05V6#8	Generic Host	Baseline	32C, 512GB RAM, 6×7.68TB NVME
AHM-32L05V8#8	Generic Host	Baseline	32C, 512GB RAM, 8×7.68TB NVME
AHM-32L05V6#15	Generic Host	Baseline	32C, 512GB RAM, 6×3.68TB NVME
AHM-32L10V8#4	Generic Host	Baseline	32C, 1024GB RAM, 4×15.36TB NVME
AHM-32L10V6#8	Generic Host	Baseline	32C, 1024GB RAM, 6×7.68TB NVME
AHM-32L10V8#8	Generic Host	Baseline	32C, 1024GB RAM, 8×7.68TB NVME
AHM-32L10V6#15	Generic Host	Baseline	32C, 1024GB RAM, 6×15.36TB NVME
AHM-64L10V8#8	Generic Host	Baseline	64C, 1024GB RAM, 8×7.68TB NVME
AHM-64L10V6#15	Generic Host	Baseline	64C, 1024GB RAM, 6×15.36TB NVME
AHM-64L20V8#8	Generic Host	Baseline	64C, 2048GB RAM, 8×7.68TB NVME
AHM-64L20V6#15	Generic Host	Baseline	64C, 2048GB RAM, 6×15.36TB NVME
注意：集群主机将在整个合同期内保持占用状态。

使用 MPC ST

选择多个满足资源要求的主机和集群，前提是每个集群只包含一种主机类型。
在单个 MPC 单租户集群中，通过创建额外的组织虚拟数据中心 (OVDC) 来实现多个 vCPU 性能保证的混合。
在主机计算资源限制范围内，可以使用任意大小的虚拟机；建议的虚拟机大小调整指南适用，分配超出建议大小的资源不一定会提高性能。
MPC ST 建议虚拟机最大配置为 8 个 vCPU 和 64 GB RAM。

MPC 连接

MPC可以连接到以下外部环境：

Equinix 数据中心托管
Equinix 网络边缘
广域网提供商
云服务提供商 (CSP)
另一个都市中的 MPC 环境
Equinix Internet Access (EIA) 通过 Equinix Fabric 提供

仅支持通过 Equinix Fabric 使用虚拟电路进行连接。不支持其他连接到 MPC 的方式。

连接类型

网络需求决定了客户网络如何连接到MPC组织虚拟数据中心（OVDC）。以下连接类型可用：

路由 - MPC 中的路由由 Equinix 提供
已路由加入 - 使用跨多个 OVDC 的共享路由器的路由选项
客户路由 - 由客户管理的虚拟路由设备在 OVDC 内提供的路由。
托管专用防火墙 - 通过托管专用防火墙服务提供的路由

多个OVDC

每个 OVDC 都分配有一个连接类型。当使用多个 OVDC 时，可以支持多种连接类型的组合。

连接已路由

这种连接类型为 MPC OVDC 提供三层连接。此选项包含一个内置路由引擎，可通过操作控制台进行配置。创建的每个 MPC 内部路由网络都会自动包含在客户的路由域中。

连接客户路由

此选项使用 MPC 内自行提供、安装和管理的虚拟路由设备 (VM) 作为路由引擎。所有订购的外部网络都会在操作控制台中显示为 Equinix 提供的外部网络。其他外部网络可以单独订购。外部网络必须连接到虚拟路由设备。

MPC内部隔离网络必须连接到路由设备。客户负责使用多个虚拟连接构建三层（BGP）冗余。

在客户路由模式下，VLAN 可以进行链路聚合，以支持南北向流量（从 MPC 外部到 MPC 内部）。对于 MPC 内部的东西向流量，不支持链路聚合。

注意

此选项不支持路由内部网络。只有通过自助服务创建的隔离内部网络才能用于将虚拟机连接到虚拟路由设备。
虚拟路由设备需要外部网络连接才能与外部环境连接。每个连接需要两条虚拟电路 (VC) 以实现冗余。
虽然 MPC 平台提供了高可用性，但建议使用两个虚拟路由设备部署高可用性配置。
建议在路由设备和虚拟机上使用 VMware 工具，以支持优雅管理。

连接管理型专用防火墙

当使用托管专用防火墙 (MPF) 作为附加安全服务（包括路由和日志记录）时，所有外部连接均在 MPF 处终止。MPF 连接到内置的 MPC 路由。在 MPF 和 MPC 路由的这种组合中，南北向流量首先由 MPF 处理，然后由 MPC 处理。MPC 还提供东西向路由。

此选项提供了一个由两个元素组成的内置路由设置。

MPF路由，由Equinix配置
MPC路由，可通过操作员控制台进行配置。

每个通过 MPC 创建的内部路由网络都会自动成为客户路由域的一部分。内部隔离网络则不是。

与多个OVDC联网

在城域网中使用多个OVDC时，客户可以使用不同的连接类型组合。由于连接类型与OVDC相关，因此每种场景的功能各不相同。

当在一个城域网中使用多个 OVDC 时，客户可以选择为每个 OVDC 使用专用网关，或者为两个 OVDC 使用同一个网关实例（路由连接）。

多条OVDC线路已连接并已配置客户线路

当在同一都市区使用多个OVDC时，客户可以选择一个OVDC使用“路由”模式，另一个OVDC使用“客户路由”模式。客户有两种实施方案可供选择：

OVDC已连接
OVDC未连接

当 OVDC 连接后，客户路由网关和路由网关之间会存在一个 VLAN。在这种情况下，可以在两个 OVDC 之间创建网络。

当 OVDC 未连接时，每个 OVDC 都作为一个独立的环境运行。

虚拟连接选项

连接	#	类型	描述
Equinix 数据中心托管	1	自助式虚拟主机	客户创建和管理的连接。通过 Equinix Fabric Portal 使用 EMS 服务配置文件/服务令牌。
Equinix 网络边缘	2	自助式虚拟连接	客户创建和管理的连接。通过 Equinix Fabric Portal 使用 EMS 服务配置文件/服务令牌。
广域网提供商	3	托管虚拟专用网	由 Equinix 创建和管理的连接。属于 MPC 订单的一部分。
云服务提供商 (CSP)	4	托管虚拟云	由 Equinix 创建和管理的连接。属于 MPC 订单的一部分。
位于另一个 Metro 的 MPC 环境	5	托管 VC	由 Equinix 创建和管理的连接。MPC 订单的一部分。
Equinix Internet Access (EIA) 通过 Equinix Fabric	6	托管式互联网接入	由 Equinix 创建和管理的连接。属于 MPC 订单的一部分。

通过自助式虚拟连接，客户可通过 Equinix Fabric 门户发起虚拟连接。Equinix Managed Solutions 会联系客户，在 MPC 端配置连接。每个连接都需要订购一对虚拟连接。

在托管虚拟集装箱模式下，虚拟集装箱是MPC订单的一部分，由Equinix发起虚拟集装箱配置。在交付过程中，Equinix会联系客户收集配置虚拟集装箱所需的参数。

注意：无论是自助式 VC 还是托管式 VC，每个连接都需要两个虚拟电路以实现冗余。

互联网接入

如果 MPC 环境需要互联网接入，则必须订购托管互联网接入。托管互联网接入使用 Fabric Internet Access (EIA)，并配置固定带宽，不提供突发带宽选项。EIA 支持最高 10 Gbps 的 MPC 带宽。IP 地址空间必须单独订购。

客户也可以选择通过 Equinix Fabric 平台订购第三方互联网服务。在这种情况下，客户需自行负责订购该互联网服务。

注意：使用第三方互联网服务提供商时，必须订购两条连接以实现冗余。

MPC虚拟网络

MPC平台提供可通过MPC操作控制台配置的虚拟网络功能。下表列出了可用功能，并注明这些功能是包含在服务中还是单独收费。

Function	Charge Type	Routed and Managed Firewall	Customer Routed
Standard Firewall	Included	Y	N
Distributed or Advanced Firewall	Charged	Y	Y
Routing, IPv4 Static and Dynamic (BGP)	Included	Y	N
Routing IPv6	Included	Y	N
NAT	Included	Y	N
DHCP	Included	Y	N
VPN IPSEC Layer‑3 Site‑to‑Site	Included	Y	N
Route Advertisement	Included	Y	N

内部网络

OVDC 的内部网络可通过 MPC 操作控制台中的自助服务创建。MPC 网络服务每个 OVDC 最多支持 1000 个内部网络。当 OVDC 配置为数据中心组时，也可以在同一 Equinix IBX 中跨多个 OVDC 配置内部网络。

有两种类型的内部网络可供选择：

路由模式允许虚拟机连接到使用网关作为路由器的网络，并提供对广域网、托管服务器、云服务提供商或互联网的访问。所有 OVDC 内的虚拟机和虚拟应用均可访问路由网络。
这些网络是孤立的，除非连接到自管理路由器，否则它们无法连接到可访问广域网、托管、CSP 或互联网的网络。

路由网络仅适用于“路由”连接类型。

数据中心集团

当使用多个 OVDC 时，数据中心组会在这些 OVDC 之间创建一个统一的网络，从而允许多个 OVDC 使用同一网络。使用分布式防火墙功能需要数据中心组。如果数据中心组不可用，可以提交服务请求进行配置。

站点间网络

在不同城域使用MPC时，位于不同数据中心的两个MPC站点可以通过请求站点间的托管虚拟电路进行连接。网络配置取决于所选的连接类型。两个数据中心之间的连接按托管虚拟电路计费。

支持两个以上数据中心之间的连接，但需要 Fabric Cloud Router (FCR)、Equinix Fabric IP-WAN 以及 MPC 区域和 Fabric Cloud Router 之间的两条虚拟连接。

注意：订购和配置 Fabric Cloud Router 和 IP-WAN 不在托管解决方案的范围内。

采购单元连接 - 每个单路直流输电线路的单元数

Purchase Item	UOM	Calculation Type	Description
Connectivity Type	ONCE	Baseline	Routing instance per OVDC: • Routed • Routed Joined • Customer Routed • Managed Firewall
Managed Virtual Circuit	VC	Baseline	Available bandwidth: 10 / 50 / 200 / 500 Mbps or 1, 2, 5, 10 Gbps Two (2) VCs needed per connection for redundancy
Managed Internet Access	Each	Baseline	Internet access available in 10 / 50 / 100 / 200 / 500 Mbps and 1, 2, 5, and 10 Gbps Managed Virtual Circuits are included in Managed Internet Access
Allocated IP‑space	block	Baseline	Supported IPv4 /24 to /29 and IPv6 Mandatory when Managed Internet Access is procured
Distributed Firewall (DFW)	Per Core	Baseline / Overage	Additional functionality to offer micro‑segmentation

MPC 操作控制台

MPC 操作控制台提供自动化工具和 API 来管理您的 MPC 资源。

跨多个 Equinix 数据中心管理 OVDC
创建、导入和管理虚拟机和vApps
调整虚拟机大小（扩大和缩小）
创建虚拟机快照，仅限 1 个快照
控制台访问虚拟机
业绩统计
创建并填充 ISO/OVA 文件 "库
通过网络浏览器直接访问 MPC 自助服务门户和虚拟机控制台，无需复杂的 VPN 解决方案
丰富的脚本编写和自动化选项（API）
分开或分组虚拟机以提高可用性或性能
管理防火墙规则和微分段
创建和管理 IPv4 静态路由规则
创建和管理 IPv6 静态路由规则
创建和管理 NAT、DHCP
创建和管理基于 IPSec 的 VPN 第 3 层站点到站点“隧道”
创建和管理虚拟路由和转发 (VRF)

访问 MPC ST

要访问托管私有云 (MPC)，请前往客户门户。您可以通过客户门户访问以下内容：

托管解决方案门户 (MSP) – 用于提交工单、服务请求和查看 MPC 使用情况分析。
操作控制台 – 用于管理和操作 MPC 资源。

地区

操作控制台提供对特定区域内 MPC 资源的访问。MPC 在四个区域提供服务：南美洲、北美洲、欧洲和亚洲。

每个 MPC 实例都与一个区域关联。当实例位于某个区域时，您可以通过在客户门户的“托管解决方案”区域中选择该区域选项来打开其对应的操作控制台。

登录到相应的区域控制台后，您对资源的访问将按组织和组织虚拟数据中心 (OVDC) 进行组织。

组织机构

在操作控制台中，组织 (Org) 代表客户。组织可以被视为该区域中所有 MPC 资源的容器，包括虚拟数据中心、用户和内容库。登录 MPC 操作控制台时，必须输入组织名称。

组织虚拟数据中心（OVDC）

组织虚拟数据中心 (OVDC) 将您用于运行工作负载的计算、存储和网络资源进行分组。一个组织可以包含多个 OVDC，这些 OVDC 可能因 IBX 位置（例如，阿姆斯特丹、伦敦或阿什本）或计算性能配置而异。如果您需要额外的容量或额外的 OVDC，请联系您指定的服务交付经理或客户经理提出申请。

租户角色

注意

以下租户角色仅适用于托管私有云单租户和托管私有云灵活变体。

租户角色定义了MPC租户中用户的权限和操作。用户通过客户门户添加后，系统会为其分配角色。角色决定了用户在操作控制台中可以执行哪些操作以及可以使用哪些API功能。

在首次部署新的 MPC 环境时，Equinix 会在入职流程中创建第一个客户管理员帐户。该帐户使用客户提供的姓名和电子邮件地址创建，并自动分配租户管理员角色，从而拥有对 MPC 操作控制台的完全访问权限，包括租户级别的管理和配置功能。

支持以下角色：

租户管理员 - 租户管理员角色提供对 MPC 租户的完整管理权限。被分配此角色的用户可以管理整个环境中的租户配置、用户访问权限和自动化功能。租户管理员权限包括：

访问虚拟机控制台
创建和删除快照
创建和删除个人 API 令牌
创建、修改和删除组织范围的服务帐户
在租户范围内创建、修改和删除虚拟机
在租户范围内创建、修改和删除虚拟应用程序
在租户范围内创建、修改和删除网络
在租户范围内创建、修改和删除内容库及库内容。
在租户范围内配置边缘网关
配置关联规则
查看租户范围内的任务和事件日志

租户用户 - 租户用户角色允许用户在 MPC 租户内创建和管理工作负载及选定资源，但无权访问租户范围的管理设置。租户用户权限包括：

访问虚拟机控制台
创建和删除快照
创建和删除个人 API 令牌
在租户范围内启动和停止虚拟机
在租户范围内启动和停止虚拟应用程序
在租户范围内更新虚拟机工具
查看租户范围内的任务和事件日志

租户查看者 - 租户查看者角色提供对租户配置和资源状态的只读访问权限。分配到此角色的用户可以查看与租户用户角色相同的资源和信息，但有以下限制：

对虚拟机或虚拟应用程序没有创建、修改或删除 (CRUD) 权限
无控制台访问权限

管理 MPC ST

用户管理

操作控制台的用户通过客户门户进行管理。请参阅用户和密码管理。添加用户后，必须提交服务请求才能为用户分配 MPC 租户角色。

要使用不同的身份来源，可以在客户门户中配置身份联合，以与外部身份提供商集成。这样，用户就可以使用其公司凭据登录。

API访问

托管私有云 (MPC) 操作控制台 API 旨在用于程序化访问和自动化。常用的自动化工具包括 Terraform、Ansible、Python 以及基于 XML 或 JSON 的 API 调用。API 身份验证需要在操作控制台中生成访问令牌。支持两种访问方法，每种方法都针对不同的使用场景而设计。

Method	Details
API tokens	• API access to the Operational Console on behalf of the Customer Portal or federated user accounts for individual programmatic access. • Can be configured by all Customer Portal or federated user accounts.
Service accounts	• API access to the Operational Console using standalone accounts intended for organization-wide automation and third-party tools or applications. • Can be configured only by users with the Tenant Admin role. • Can be assigned one of the supported roles. • Supports API access only.

Terraform 自动化

Terraform 是一款基础设施即代码工具，它允许使用易于阅读的配置文件来定义云端和本地资源。这些文件可以进行版本控制、重用和共享，从而实现基础设施在其整个生命周期内一致的配置和管理工作流程。

Terraform 可用于管理底层资源，例如计算、存储和网络。大多数操作控制台功能都可通过 API 或 Terraform 实现。更多信息，请参阅Terraform 提供程序文档。

API令牌

API令牌可通过客户门户或运营控制台中的联合用户帐户创建，用于个人编程访问。以下是创建API令牌的方法：

登录操作控制台。从右上角菜单打开“用户首选项”。
转到“API 令牌”部分，然后选择“新建”。
输入令牌名称，然后选择创建。
请将生成的令牌复制并保存在安全的地方。该令牌仅显示一次，关闭此屏幕后将无法再次查看。如果令牌丢失，则必须重新生成一个。
创建完成后，该令牌会出现在 API 令牌列表中，不再需要时可以撤销该令牌。

服务帐户

由于服务帐户的敏感性，只有具有租户管理员角色的用户才能创建、查看和删除服务帐户。以下是创建服务帐户的方法：

注意

服务帐户是其在操作控制台中创建的任何对象的所有者。

登录到操作控制台。打开“管理”，然后选择“服务帐户”，再选择“新建”。
输入服务帐户名称，分配角色，然后使用魔棒工具生成唯一 ID。选择“下一步”继续。
（可选）为服务帐户分配一个或多个配额限制。
选择完成以创建服务帐户。
创建完成后，API 密钥会在查看服务帐户属性时显示在“客户端 ID”字段中。大多数服务帐户设置稍后都可以通过选择“编辑”进行修改。

API Explorer

API Explorer 提供了一个图形界面，用于查看、测试和执行 API 调用，可通过操作控制台访问。

在操作控制台中，打开右上角菜单并选择“帮助”。 > API Explorer。
API Explorer 公开了基于 Swagger 的 JSON API，并允许以当前登录用户帐户的名义执行 API 调用。

操作控制台

当用户登录客户门户后，可以通过导航至托管解决方案门户，选择托管私有云，然后选择所需区域来访问操作控制台。

如果用户直接通过 URL 访问操作控制台并选择“登录”，则会被重定向到客户门户，并使用客户门户凭据进行身份验证。客户门户还支持配置基于 SAML 的联合身份验证，使用户能够使用其公司凭据访问操作控制台。

通过操作控制台，可以执行创建虚拟机、网络和安全规则的操作。

vApp

vApp 是虚拟数据中心内的一组虚拟机，例如，代表一个应用环境。虚拟机可以作为一个整体进行管理，例如创建快照或重启，也可以在 vApp 内单独管理单个虚拟机。虚拟机和 vApp 都可以设置租期，租期结束后会自动移除。默认租期设置为永不过期。

vApp 可以包含虚拟机，也可以不包含虚拟机。在创建虚拟机之前设置 vApp 网络时，创建不包含虚拟机的 vApp 会很有用。

创建新的虚拟应用程序

前往“应用程序”下的主页 > vApps**，选择创建新的 vApp，提供名称和描述，然后选择构建。等待该过程完成。
vApp窗口中的选项：
- 选择“电源”可启动、关闭、重启或暂停 vApp。仅当 vApp 包含虚拟机时，这些操作才可用。
- 选择更多以从 vApp 中添加或删除虚拟机。
- 选择详细信息以查看或修改其他信息。

虚拟机

虚拟机既可以作为虚拟应用 (vApp) 的一部分创建，也可以作为独立虚拟机创建。建议在虚拟应用内创建虚拟机。一个虚拟应用最多可以包含 100 个虚拟机，虚拟机可以在不同的虚拟应用之间迁移。此外，还可以在位于不同虚拟应用中的虚拟机之间创建网络。

在 vApp 中创建虚拟机具有诸多优势，例如按任务、功能或保留要求对虚拟机进行分组；配置启动和关闭顺序；通过 vApp 网络图提高网络配置的可见性；以及通过基于角色的访问实现委派管理。

根据既定的存储策略，已分配的存储资源和已分配的GB内存均计入已用存储空间。虚拟机启动时，计算资源将从组织虚拟数据中心（OVDC）的计算配额中扣除。

对于新的虚拟机，最常见的操作系统安装方法是从 Equinix 私有或共享目录中选择一个 ISO 文件，让虚拟机在启动时从该 ISO 文件启动并开始安装过程。另一种方法是在创建工作流程中，在管理员工作站上从 OVF 或 OVA 文件创建新的虚拟机和 vApp。

创建虚拟机

前往应用程序 > 虚拟机** 并选择 创建虚拟机，或者在 vApp 上选择更多并选择 添加虚拟机。
按照创建对话框中的步骤操作，然后选择确定并等待虚拟机创建完成。
1. 请输入姓名和计算机名称。
2. 类型请选择“新建”。
3. 选择虚拟机创建后是否自动启动。
4. 选择操作系统系列、客户操作系统和启动映像。
5. 配置启动选项，包括 EFI 安全启动和启动设置。
6. 如有需要，请配置可信平台模块 (TPM) 设置。
7. 配置计算资源，包括 CPU、核心数和内存。
8. 配置存储，包括存储策略和磁盘大小。
9. 配置网络设置。
在“虚拟机”屏幕中：
1. 选择“电源”以打开或关闭虚拟机、重新启动或暂停虚拟机。
2. 选择更多以挂载安装介质、管理快照、打开控制台或删除虚拟机。
3. 选择查看以显示或修改配置详情和其他设置。

将目录中的安装介质链接到虚拟机

如果目录已存在且安装介质已上传，则可以将其附加到虚拟机。

找到虚拟机并选择更多。
选择“插入介质”，然后选择安装文件。该文件将以虚拟 CD-ROM 的形式连接。
安装完成后，建议选择“弹出介质”来分离安装文件。

虚拟主机控制台

虚拟机可以通过操作控制台进行管理。有两种控制台类型可供选择：

可通过浏览器访问的 Web 控制台。
VM远程控制台需要安装插件。

安装介质（ISO）不能直接从本地设备使用。必须先将介质上传到目录，然后才能将其挂载到虚拟机。

适用于 Windows 设备的 VM 远程控制台插件可在共享目录中找到。对于 macOS 和 Linux（包括通过 Workstation 运行的 Windows），VMRC 功能已包含在 VMware Fusion Pro 和 VMware Workstation Pro 中。这些应用程序需要单独授权，并非 MPC 的一部分，Equinix 也不提供这些应用程序。

从 vApp 或“虚拟机”概览中找到虚拟机。
选择更多，然后选择所需的控制台类型：Web 控制台（无需插件）或 VM 远程控制台（需要插件）。

快照

快照会在执行操作之前捕获虚拟机或虚拟应用的完整状态。操作控制台一次只允许创建一个快照，无论是否包含活动内存状态。创建快照会暂时使虚拟机或虚拟应用的存储空间占用量翻倍。快照可能会影响虚拟机的性能。建议快照最多保留 2-3 天；超过一周的快照将被自动删除。如需长期保存虚拟机状态，请创建虚拟机或虚拟应用的克隆或备份。

找到虚拟机或虚拟应用程序，选择操作 > 选择“快照”，然后选择“创建快照”，再进行确认。
要将虚拟机恢复到快照状态，请选择恢复到快照并确认。
要删除快照，请选择删除快照并确认。

注意

当从已存在快照的虚拟机创建新快照时，旧快照将被删除。要访问所有快照选项，必须在虚拟机上安装 VMware Tools。

还可以创建私有目录来存储安装介质或模板。可以直接上传文件，也可以从现有虚拟机或虚拟应用程序 (vApp) 创建模板。存储在私有目录中的文件会占用 OVDC 存储配额。所有上传的软件都必须符合供应商的许可要求和 Equinix 的政策。该目录仅可用于存储 ISO 和 OVF 文件。

创建产品目录

要存储安装介质或模板，必须先创建目录。

在主屏幕上，选择菜单图标（三条水平线）。
在内容中心屏幕中，选择目录，然后选择新建。
输入目录的名称和描述。目录可以存储在任何可用的存储配置文件中。默认情况下，系统会选择速度最快的配置文件。要选择特定的存储配置文件，请启用“在特定存储策略上进行预配置”，选择“ORGOVDC”，然后选择所需的存储策略。

添加安装介质

当目录可用时，可以将安装媒体上传到目录中。

前往内容库 > 媒体和其他**，然后选择添加。
在新屏幕中，选择目录，点击上传图标（向上箭头）打开文件浏览器。选择安装文件，然后点击确定进行确认。
如有需要，请编辑文件名，然后单击“确定”开始上传。在“媒体和其他”概览中，上传过程中会显示旋转指示器。上传完成后，会出现绿色对勾。此时，文件即可使用。
选择文件名旁边的三个点，可以选择删除文件或将其下载到工作站。

创建虚拟应用模板

可以通过从本地工作站上传文件或使用现有 vApp 创建 vApp 模板。基于 vApp 创建单个虚拟机的模板，仅当该 vApp 只包含一个虚拟机时才能创建。

找到要用作源的 vApp，选择“更多”，然后选择“添加到目录”。选择目标目录并输入名称。可以创建完全相同的副本，或者如果在创建模板之前安装了 VMware Tools，则可以调整虚拟机设置。
要访问 vApp 模板，请转到内容中心 > 目录** 并打开相关目录。模板可用后，即可用于部署新的虚拟机。

共享目录

Equinix 为每个 MPC 数据中心提供一个共享目录 (OS-CATALOG-1)，其中包含一系列操作系统变体。请选择与虚拟机部署所在数据中心关联的目录。该共享目录与该数据中心中的 MPC 变体（FLEX 或 ST）相关联。如果同一数据中心同时使用 MPC FLEX 和 MPC ST，则会显示该数据中心的两个目录。

连接性和网络

操作控制台提供了多种连接和访问组织内部或外部服务的选项。根据所选的连接模型，将创建 OVDC，其连接方式可以是桥接（MPC 连接客户按顺序路由）或路由（MPC 连接按顺序路由）。

操作控制台中可用的网络功能取决于选择的是客户路由连接还是路由连接。

在操作控制台中，可以通过自助服务创建两种类型的网络：

隔离网络（内部连接）：隔离网络仅供 OVDC 内的虚拟机使用。
路由网络（外部连接）：路由网络通过边缘网关提供对 OVDC 外部网络的访问。

MPC Connectivity Type	Isolated	Routed
Bridging	Yes	No
Routing	Yes	Yes

MPC网关防火墙架构

MPC采用分层网关防火墙架构，结合边界层和工作负载层控制，以保护南北向和东西向流量。MPC防火墙设计包含两种主要类型或层级的防火墙：

网关防火墙（南北向）：保护 MPC 周边环境，处理进出环境的流量。
分布式防火墙（东西向）：在虚拟网卡级别保护工作负载，并在 OVDC 内提供微隔离。

创建一个隔离的OVDC网络

组织虚拟数据中心 (OVDC) 网络使虚拟机 (VM) 能够相互通信，并可选择性地与外部网络通信。单个 OVDC 可以包含多个网络。

在操作控制台虚拟数据中心仪表板中，选择要创建网络的 OVDC。
在左侧导航面板中，选择网络。
点击新建。
在“范围”下，选择隔离网络的当前 OVDC。
在“新建组织 VDC 网络”对话框的“网络类型”页面中，选择“隔离”，然后单击“下一步”。
在“常规”页面中，输入网络的“名称”和“描述”。
在“网关 CIDR”字段中，从下拉列表中选择网络的 IP 地址空间。此列表由 Equinix 根据客户在部署期间输入的信息预先填充。
当需要 IPv6 时，可以启用双栈。
启用“允许访客 VLAN”功能，即可允许连接的虚拟机内使用多个 VLAN。
点击下一步。
（可选）在“静态 IP 地址池”中，输入此网络上虚拟机的 IP 地址范围，然后单击“添加”。这样，操作控制台即可在创建虚拟机期间自动分配 IP 地址。如果未进行此配置，则必须在创建虚拟机期间手动分配 IP 地址。例如：如果网关地址为 192.168.1.1/24，则静态 IP 地址池 192.168.1.10–192.168.1.100 可提供 91 个可用 IP 地址。如有需要，以后可以添加其他范围。
完成后，点击下一步。
（可选）在“DNS”页面中，输入DNS信息，然后单击“下一步”。如果省略此步骤，则在创建虚拟机时必须手动输入DNS设置。
在“准备完成”页面上，检查所有设置，然后单击“完成”。

创建路由式 OVDC 网络

路由型 OVDC 网络使虚拟机 (VM) 能够使用三层 (L3) 路由相互通信并与外部网络通信。单个 OVDC 可以包含多个路由型网络。创建过程取决于是否使用分布式防火墙功能。

在操作控制台虚拟数据中心仪表板中，选择要创建网络的 OVDC。
在左侧导航面板中，选择“网络”，然后单击“新建”。
在“范围”下，如果未使用分布式防火墙，请选择“当前组织虚拟数据中心”。
在“新建 OVDC 网络”对话框的“网络类型”页面中，选择“路由”，然后单击“下一步”。
在“边缘连接”下，选择路由段将连接到的边缘网关。
在“常规”页面中，输入网络的名称和描述。
在“网关 CIDR”字段中，从下拉列表中选择网络的 IP 地址空间。此列表由 Equinix 根据客户在部署期间提供的输入预先填充。
如果需要 IPv6，请启用双栈。
启用“允许访客 VLAN”功能，允许连接的虚拟机内存在多个 VLAN。
点击下一步。
（可选）在 DNS 页面中，输入 DNS 设置，然后单击 下一步。如果此处未配置，则必须在创建虚拟机期间手动添加 DNS 信息。
在“准备完成”页面上，查看所选内容，然后单击“完成”。网络创建完毕并连接到 OVDC 后，即可配置边缘网关来控制哪些流量可以进出 OVDC。

使用分布式路由网络时：

分布式网络之间的流量使用分布式防火墙进行防火墙保护，因为它不经过边缘网关。
进出环境的流量都会经过边缘网关，网关防火墙会在此处生效。
分布式防火墙需要 MPC 分布式防火墙服务选项，该选项必须作为 MPC 合同的一部分进行订购。

注意

如果启用分布式路由，则此网络将无法使用网关防火墙，必须使用分布式防火墙 (DFW)。南北向防火墙仍然可用。如果禁用分布式路由，则此路由网络仅可使用网关防火墙。

允许访客 VLAN

启用此选项后，即可在虚拟机的网络接口上配置 VLAN 标签（802.1Q 标签）。这样，就可以在同一路由或隔离的网络段上运行多个 VLAN。

创建网关防火墙规则

操作控制台提供功能齐全的四层防火墙，用于控制跨越安全边界的流量——包括南北向（OVDC 与外部网络之间的流量）和东西向（OVDC 网络内部及网络之间的流量）。在为防火墙规则指定网络或 IP 地址时，支持以下格式：

单个 IP 地址
IP 地址范围（例如，192.168.1.10–192.168.1.50）
CIDR 表示法（例如，192.168.2.0/24）
关键词：内部、外部或任何

在操作控制台虚拟数据中心仪表板中，选择包含边缘网关的 OVDC，防火墙规则将在该边缘网关上创建。
在左侧导航面板中，单击“边缘”。可用的边缘网关将显示在右侧。
选择要配置的_Edge Gateway_，然后打开防火墙选项卡。
在“防火墙”选项卡中，可以创建和管理防火墙规则。
点击“新建”按钮添加新规则。在新规则中，请指定以下字段：
- 命名
- 应用
- 语境
- 来源（IP 地址、IP 地址集、静态组）
- 目标地址（IP 地址、IP 地址集、静态组）
- 操作（允许、放弃、拒绝）
- 协议（IPv4、IPv6 或两者兼有）
- 日志记录
- 评论
在“源”和“目标”字段中，定义规则的地址。要指定 IP 地址或地址范围，请单击“IP”并输入值，然后单击“保留”。要重复使用 IP 地址组，请转到“分组对象”并单击“+”以创建 IP 地址集。然后，可以为多个规则选择此 IP 地址集。
在“应用程序”字段中，单击“+”，然后在“添加服务”对话框中，指定协议、源端口和目标端口。或者，您可以定义自定义协议/端口组合。完成后，单击“保留”。您还可以预先创建自定义应用程序并将其应用于防火墙规则。
选择规则的操作是“接受（允许）”还是“拒绝（丢弃/拒绝）”。如果配置了系统日志服务器，请选择“启用日志记录”。
点击保存更改以最终确定规则。

防火墙规则的一个示例是允许来自互联网的 HTTPS 流量。此示例使用已分配的公网 IP 地址。源地址为任意地址（OVDC 内的任何 IP 地址）。源端口也为任意端口。目标地址为私有 IP 地址，HTTPS 的目标端口为 443。要使此规则生效，您需要配置 DNAT。

创建 NAT 规则

网络地址转换 (NAT) 允许更改源 IP 地址或目标 IP 地址，以便流量能够通过路由器或网关。边缘网关上最常见的 NAT 类型包括：

目标地址转换（DNAT）——改变数据包的目标IP地址。
源地址转换 (SNAT) - 更改数据包的源 IP 地址。

其他选项包括：

无DNAT
没有 SNAT
反身动词

在某些情况下，虚拟机 (VM) 要从其 OVDC 访问外部网络资源，可能需要使用 NAT。在这种情况下，请使用以下选项之一：

Equinix提供的公共互联网IP地址。
通过 MPC Connect 构建专用网络。

注意

此功能主要适用于边缘网关配置公网 IP 地址而虚拟机使用私有 IP 地址的情况。
NAT 规则仅在防火墙启用时生效。防火墙应始终保持启用状态。

DNAT 会更改数据包的目标 IP 地址，并对回复流量执行相反的操作。DNAT 可用于将运行在私有网络上的服务通过公共 IP 地址暴露出来。

在操作控制台虚拟数据中心仪表板中，选择包含创建 DNAT 规则的边缘网关的 OVDC。
在左侧导航面板中，单击“边缘”。选择“NAT”选项卡，然后添加新的NAT规则。
在 NAT 部分，单击 + DNAT 规则。
在 NAT 操作 中，选择 NAT 规则类型。
输入外部 IP 地址（例如，10.30.40.95）。
输入_外部端口_（例如，443）。
输入内部 IP 地址（例如，192.168.1.10）。
高级设置
- State - 启用或禁用规则
- 日志记录 - 记录规则
- 优先级 - 数值越低优先级越高，默认值为 0。
- 防火墙匹配
  - 匹配内部地址
  - 匹配外部地址
  - 旁路
- 适用对象 - 留空
如果配置了 syslog 服务器，请选择启用日志记录。
完成后，点击保留，然后点击保存更改。

创建 SNAT 规则

SNAT 会更改数据包的源 IP 地址，并对回复流量执行相反的操作。访问外部网络（例如互联网）时，需要 SNAT 规则将内部 IP 地址转换为外部网络上可用的地址。

在操作控制台虚拟数据中心仪表板中，选择包含创建 SNAT 规则的边缘网关的 OVDC。
在左侧导航面板中，单击“边缘”。选择“NAT”选项卡，然后添加新的NAT规则。
在 NAT 部分，单击 + SNAT 规则。
在 NAT 操作 中，选择 SNAT。
外部 IP - 外部网络（通常命名为 VCD_CUSTOMER_WAN）。
内部 IP 地址 - 用于互联网访问的网络或 IP 地址。
高级设置
- State - 启用或禁用规则
- 日志记录 - 记录规则
- 优先级 - 数值越低优先级越高，默认值为 0。
- 防火墙匹配
  - 匹配内部地址
  - 匹配外部地址
  - 旁路
- 适用对象 - 留空
完成后，点击保留，然后点击保存更改。

创建 NO SNAT 规则

NO SNAT 规则会否定现有的 SNAT 规则。您可以创建 NO SNAT 规则来绕过发往特定 IP 地址的流量的 SNAT 过程。为确保正确的处理顺序，NO SNAT 规则的优先级（数值）必须高于 SNAT 规则。默认优先级为 0，即最高优先级。

在操作控制台虚拟数据中心仪表板中，选择包含创建 NO SNAT 规则的边缘网关的 OVDC。
在左侧导航面板中，单击“边缘”。选择“NAT”选项卡，然后添加新的NAT规则。
在 NAT 部分，单击 + 无 SNAT 规则。

配置 IPsec VPN

操作控制台支持以下几种类型的站点到站点 VPN 连接：

同一组织内的边缘网关
另一组织（Equinix 或其他 vCloud 服务提供商）中的边缘网关
提供 IPsec VPN 端点的远程网络，例如云服务提供商或托管环境

根据连接类型，必须为两个端点配置 IP 地址以及共享密钥。此外，还必须指定允许通过 VPN 连接通信的 OVDC 网络。

在配置 IPsec VPN 设置之前，请记下要用作隧道端点的边缘网关的 IP 地址。

在操作控制台虚拟数据中心仪表板中，选择包含要配置的边缘网关的 OVDC。
在左侧导航面板中，单击边缘。
在“边缘”页面上，选择“边缘网关”。
在“服务”选项卡中，找到 IPsec VPN 选项，然后单击“新建”以创建新的 IPsec VPN 配置。

配置边缘网关 IPsec VPN 设置

配置名称，启用登录以查看日志，其余选项保持默认值。
对等认证模式

预共享密钥：用于验证和加密连接的共享密钥。它必须是长度在 32 到 128 个字符之间的字母数字字符串，并且至少包含一个大写字母、一个小写字母和一个数字。此值在两个站点上必须相同。
证书：要使用证书，请上传证书和 CA 证书。

端点配置

本地端点
- IP地址：边缘网关的外部IP地址。
- 网络：输入可以访问 VPN 的组织网络。多个本地子网之间用逗号分隔。
远程端点
- IP 地址：配置 VPN 的远程站点、本地防火墙或边缘网关的外部 IP 地址。
- 网络：本地网络上应可从 OVDC 访问的子网。例如，如果本地网络使用 172.20.0.0/16 范围，则输入 172.20.0.0/16，或更小的子网，例如 172.20.0.0/25。
- 远程 ID：
  - 此值唯一标识对等站点，并取决于隧道认证模式。如果未指定，则远程 ID 默认为远程 IP 地址。
  - 预共享密钥：远程 ID 取决于是否配置了 NAT。如果远程 ID 配置了 NAT，请输入远程站点的私有 IP 地址。否则，请使用终止 VPN 隧道的远程设备的公网 IP 地址。
  - 证书：远程 ID 必须与远程端点证书的 SAN（主题备用名称）匹配（如果存在）。如果远程证书不包含 SAN，则远程 ID 必须与用于保护远程端点的证书的专有名称匹配。
配置完成后，单击保留以创建 VPN 隧道的边缘端，然后单击保存更改。

创建第二个VPN网关

如果此端点位于不同的 OVDC，请重复上述步骤创建隧道。隧道创建完成后，更新防火墙设置并验证连接。如果连接到外部数据中心，请在这些数据中心配置隧道。

IKE一期和二期

IKE（互联网密钥交换）是一种用于建立安全、认证通信的标准机制。以下列出了第一阶段和第二阶段支持的配置参数。

第一阶段参数

第一阶段建立对等身份验证、协商加密参数并生成会话密钥。支持的第一阶段参数包括：

主模式
AES/AES256/AES-GCM（用户可配置）。
迪菲-赫尔曼组
预先分享的秘密（用户可配置）。
SA 生命周期为 28800 秒（8 小时），无需重新密钥。
禁用ISAKMP攻击性模式

第二阶段参数

IKE 第二阶段通过生成密钥材料来协商 IPsec 隧道，密钥材料可以通过从第一阶段密钥派生或执行新的密钥交换来生成。支持的第二阶段参数包括：

AES/AES256/AES-GCM（符合第一阶段设置）
ESP隧道模式
迪菲-赫尔曼组
完美前向保密性用于密钥重生成（仅当两个端点都启用时）
SA 有效期为 3600 秒（1 小时），无需重新密钥。
使用 IPv4 子网，选择两个网络之间所有 IP 协议和所有端口的选择器

配置 VPN 的边缘网关防火墙

VPN隧道建立后，在边缘网关上创建防火墙规则，以阻止流量通过该隧道传输。

创建防火墙规则，允许双向流量：数据中心到 OVDC 和 OVDC 到数据中心。
对于数据中心到 OVDC 的设置：
- 外部 OVDC 或数据中心网络的源 IP 地址范围
- 目标地址为 OVDC 网络的目标 IP 地址范围
对于 OVDC 到数据中心的设置：
- OVDC网络的源IP范围
- 目标地址为数据中心或VDC网络的目标IP地址范围

隧道验证

IPsec隧道两端配置完成后，连接应该会自动建立。

在操作控制台中验证隧道状态：

在“边缘”页面上，选择要配置的边缘，然后单击“配置服务”。
选择“统计信息”选项卡，然后选择“IPsec VPN”选项卡。
对于每个已配置的隧道，勾号表示隧道运行正常。如果显示其他状态，请检查隧道配置和防火墙规则。
现在可以经由 VPN 发送流量了。

注意

隧道建立后，VPN 连接最多可能需要两分钟才能显示为活动状态。

创建 OVDC 分布式防火墙规则

在组织 OVDC 级别，分布式防火墙可以通过操作控制台应用微隔离。

注意

使用分布式防火墙规则需要启用 MPC 服务选项分布式防火墙。

开始之前

IP 集：用作规则中的源或目标。创建 IP 集可用于防火墙规则和 DHCP 中继配置。IP 集通常用于对 VCD 组织外部的资源进行分组，例如互联网或公司广域网 (WAN)。在这些情况下，会使用 IP 地址或子网。
静态组：静态组包含一个或多个网络。当在分布式防火墙规则中使用静态组时，该规则将应用于连接到该组中所有网络的虚拟机。
动态组：用于根据虚拟机名称、安全标签或两者对虚拟机进行分组。默认情况下，动态组包含一个条件和一条规则。它可以扩展到最多三个条件，每个条件最多可包含四条规则。

创建分布式防火墙规则

在操作控制台虚拟数据中心仪表板中，选择包含要配置的分布式防火墙的 OVDC。
在左侧导航面板中，单击网络/数据中心组/分布式防火墙。
点击 + 向防火墙规则表中添加新行。
对于新规则，请指定一个名称。
在源和目标字段中，指定防火墙规则的源地址和目标地址。

防火墙组
IP 集：选择新建，然后提供名称、描述和 IP 范围或 CIDR。
静态组：选择新建，提供名称，然后单击保存。

选择“管理成员”以添加新成员。

选择要添加到静态组的网络。

“关联的虚拟机”视图显示哪些虚拟机已连接到附加网络。
动态分组：选择新建，提供名称，然后选择要使用的条件类型。
防火墙 IP 地址：添加 IP 地址、CIDR 或范围，然后选择保留。
1. 选择操作（允许、放弃或拒绝）。
2. 选择IP协议（IPv4、IPv6 或两者都选）。
3. 如有需要，请配置日志记录。
4. 选择保存。

服务说明

服务选项

MPC ST 包含多种可单独订购的服务选项。

拉伸簇

“跨域集群”服务选项在部分地区可用。跨域集群部署在同一都市区内的两个数据中心，采用同步存储复制，从而实现 RPO=0 配置。

集群中每个位置的主机数量必须相等。同一都市区内的一个位置被指定为主位置，另一个位置被指定为辅助位置。

组织虚拟数据中心 (OVDC) 提供了一个逻辑环境，其中包含虚拟 CPU、GB 内存、存储资源和网络功能，客户可以在该环境中定义虚拟机。在扩展集群配置中，可以选择三种类型的 OVDC：

虚拟机在主位置可用时运行；如果主位置不可用，虚拟机将迁移到辅助位置。
虚拟机始终在主位置运行；当主位置不可用时，虚拟机不会迁移到辅助位置。
虚拟机始终在备用位置运行；当备用位置不可用时，虚拟机不会迁移到主位置。

客户可以在 MPC ST 环境中定义一个或多个 OVDC。vCPU 提供三种变体：

完全——一个核心相当于一个虚拟CPU
高——一个核心相当于两个虚拟CPU
标准配置——一个核心相当于四个虚拟CPU

OVDC 最多可以使用三个可用的存储配置文件：

超高性能
高性能
标准性能

客户可以根据不同用途，组合使用多个不同规格和规模的OVDC。可以在虚拟网络上配置安全策略，并且可以互连OVDC。有关OVDC的更多信息，请参阅虚拟数据中心。

非扩展型 MPC ST 服务的连接和网络选项同样适用于扩展型集群。访问 MPC ST 工作负载所需的网络和连接必须作为连接性的一部分单独采购，不包含在扩展型集群服务选项中。

服务内容包括：

用于在主位置和辅助位置之间进行同步数据复制的网络；此网络不能用于客户联网。
用于 NSX 连接的网络。
第三个地点，用于证明主要地点和次要地点的可用性。

PURCHASE UNIT	BILLING TYPE	UOM	DESCRIPTION
Service option Cluster Stretched Primary	Baseline	Per Cluster	Capability for stretched cluster with synchronous data replication for the primary location
Service option Cluster Stretched Secondary	Baseline	Per Cluster	Capability for stretched cluster with synchronous data replication for the secondary location

对于扩展集群，两种服务选项都必须购买。

备份和恢复

MPC 资源的备份和恢复通过单独订购的托管私有备份服务提供。该服务包括虚拟机数据或应用程序数据的备份。

软件许可

MPC 软件 ISO 目录可在自助服务门户中找到。该目录列出了可在 OVDC 中运行的虚拟机中使用的软件，包括开源软件和授权软件。授权软件可通过软件许可产品购买。

请自备驾照

客户无需通过本服务购买许可证，也可以使用自己的软件许可证。在这种情况下，必须验证软件供应商的许可规则。客户有责任满足所有软件供应商的合规性要求。

支持计划

支持计划提供可选服务，涵盖额外的服务请求和其他服务，例如扩展支持、额外报告和设计支持。

托管解决方案高级支持计划是一项预付费计划，允许用户以折扣价购买按月或按年（一次性付款）计费的支持服务时长。支持服务时长以十五 (15) 分钟为单位递增。

如果没有预付费的托管解决方案高级支持计划，则支持服务将按高级支持服务的标准小时费率收费（标准小时费率）。支持时间以十五 (15) 分钟为单位计算。

PURCHASE UNIT	TYPE	CHARGE TYPE	UOM	ORDERING AND BILLING
Technical Support Plan	Monthly	Baseline	hour	Monthly reservation of hours for technical support
Technical Support Plan	Annual	Baseline	hour	Yearly reservation of hours for technical support

该计划并非针对某一特定托管解决方案产品，而是适用于所有已购买的托管解决方案产品。

如果计划中的所有时间都已用完，则任何额外的时间将按“高级支持服务”的标准小时费率收费。

每月或预付费的“高级管理解决方案支持计划”服务时长不可累积，未使用部分将作废。超出预购时长的部分将按“高级支持服务”常规小时费率计费，除非您申请升级。

该计划针对特定国家/地区，不能与特定的 IBX 数据中心关联。

迁移支持

为了将工作负载从本地环境迁移到 MPC，我们提供了迁移工具，支持自助式工作负载迁移，无需重构应用程序。该工具支持来自 vSphere 或 Cloud Director 的 VMware 工作负载。为了实现迁移，客户将收到一个设备，该设备可以安装在客户的 VMware 环境中，并与客户的 MPC 环境配对。该工具支持异步复制。

默认情况下，迁移工具支持通过互联网进行迁移。如有需要，可通过 Equinix Fabric 创建专用连接；Fabric 连接的费用由 Fabric 收取。通过 Fabric 进行迁移时，不能使用现有的虚拟电路，因为它们必须专用于迁移。互联网迁移支持最高 250 Mbps 的速度，而 Fabric 连接支持最高 10 Gbps 的速度。迁移工具的使用是免费的；如需额外支持，请通过支持计划申请。迁移完成后，该工具将被禁用。

Connection	Speed	Network Configuration
Internet	Up to 250 Mbps	No
Fabric	Up to 10 Gbps	Yes, setup VLANs

迁移完成后，迁移工具将被禁用。

服务划分和支持服务

MPC ST 是一项托管服务，具有预定义的设计选项。因此，并非所有 VMware 技术选项都适用于 MPC ST 服务。以下主题是常见问题，但目前暂不支持。

使用权

除通过 MPC 操作控制台和操作控制台 API 之外，访问 vSphere 或 vCenter 功能

计算

创建多个快照

虚拟磁盘

您可以通过 MPC 操作控制台或 API 在虚拟机之间移动虚拟磁盘。要执行虚拟机之间移动虚拟磁盘的操作，必须向 Equinix 支持部门提交支持工单。
在多个虚拟机之间共享虚拟磁盘
使用带有共享磁盘的 Microsoft Windows Server 故障转移群集 (WSFC)

网络

使用单根 I/O 虚拟化 (SR-IOV) 和来自虚拟机的物理网卡访问
在虚拟网卡上使用混杂模式
在OVDC中使用中继技术连接客户自有路由器的网络
通过冗余的二层解决方案（例如 Metro Connect）连接到 MPC。

购买单位

MPC 服务按基准值或基准值加超额费用类型收费。

基准量 - 订单中定义的服务计量单位的指定体积。
超额使用量 - 客户消耗的服务量超过合同约定的基准量。

采购单元目录

Category	Purchase Unit	UOM	Install Fee	Billing Method	Overage
MPC Service	Connectivity – Routed	Each		Baseline
	Connectivity – Customer Routed	Each		Baseline
	Connectivity – Managed Firewall	Each		Baseline
	Connectivity – Routed Joined	Each		Baseline
MPC Compute	Host	Host	Yes	Baseline
MPC Service Option	Network – Managed Virtual Circuit xx Mbps	Each	Yes	Baseline
	Network – Managed Internet Access xx Mbps	Each		Baseline
	Network – Additional IP space (/24 /25 /26 /27 /28 /29)	Each		Baseline
	Network – External Network	Each	No	Baseline
	Network – Distributed Firewall (per Core)	Core		Baseline
	Disaster Recovery (Gold, Silver, Bronze)	VM	No	Baseline	Yes

角色与职责

在服务履行和交付过程中，Equinix 和客户共同承担责任。以下部分概述了这些责任。

租户配置

Activities	Equinix	Customer
Schedule / execute project kickoff meeting	RA	CI
Schedule / execute customer onboarding	RA	CI
Delivery of the hosts in a cluster in accordance with the order	RAC	I1
Delivery of the OVDCs in accordance with design	RAC	I1
Delivery of the agreed storage capacity in accordance with design	RAC	I1
Delivery of the connectivity type in accordance with the order	RAC	I1
Delivery of the Managed Virtual Circuits in accordance with the order	RAC	C
Initiation of Unmanaged Virtual Circuits in Fabric portal	I	RAC
Configuration of customer‑initiated Virtual Circuits	RAC	C
Delivery of the Managed Internet Access in accordance with the order	RAC	C
Delivering the agreed network functionality in accordance with design (optional)	RAC	C
Delivery of the MPC Operational Console	RAC	I1
Delivery of the Admin account for the Operational Console	RAC	I1

接受服役

完成入职流程后，测试流程将确认产品是否已成功交付并准备好计费。

Activities	Equinix	Customer
Test access to MPC Product page on Managed Solutions Portal	CI	RA
Test access to MPC operational console	CI	RA
Confirm MPC fulfillment based on preview evidence	CI	RA
Set product as enabled for customer on internal systems	RA	I

操作

一旦为客户启用托管私有云服务，则适用以下操作事项：

Activities	Equinix	Customer
Technical management of the service (overall)	RAC	I¹
Functional management of the customer environment within the service (overall)	I²	RAC
MPC infrastructure monitoring and maintenance	RA	I
Create, import, and manage VMs and vApps	I²	RAC
Scale VMs up and down	I²	RACI
Manage VM snapshots		RACI
Manage access to VMs with console		RACI
Create and manage library with customer-owned ISO/OVA files		RACI
Separate or group VMs for availability or performance	I²	RAC
NFV: Standard firewalling	I²	RAC
NFV: Routing (static)	I²	RAC
NFV: Routing	RAC	I
NFV: NAT	I²	RAC
NFV: DHCP	I²	RAC
NFV: VPN (IPsec)	I²	RAC
Setup and manage scripting and automation capabilities		RACI

RACI 代表负责任、有问责、有咨询、有信息。

只有对用户环境的运作有影响的任务，才必须告知。
只有对服务的运行和/或管理有影响的任务才需要告知。

事件管理

事件管理包含在服务支持范围内。所有事件均按优先级处理。优先级由 Equinix 在事件报告后，根据所提供的信息进行评估后确定。

Priority	Impact / Urgency	Description
P1 High	Unforeseen unavailability of a service / environment delivered and managed by Equinix, in accordance with the service description due to a disruption. The user cannot fulfill its obligations towards its users. The user suffers direct demonstrable damage due to the unavailability of this functionality.	The service must be restored immediately; the production environment(s) is/are unavailable, with platform‑wide disruptions.
P2 Medium	The service does not offer full functionality or has partial functionality or reduced performance, because of which the users are impacted. The user suffers direct demonstrable damage due to unavailability of the functionality. The service may be impacted due to limited availability of this functionality.	The service must be repaired the same working day; the environment is not available.
P3 Low	The service functions with limited availability for one or more users and there is a workaround in place.	The moment of repair of the service is determined in consultation with the reporting person.

注意：此分类不适用于例如由用户特定应用程序、用户操作或第三方因素导致的故障。此类事件可通过客户门户网站的“托管解决方案”类别提交。P1 级事件需通过电话提交。

服务请求

服务请求用于报告服务问题或请求实施或配置更改方面的帮助。标准配置更改可通过MPC自助服务门户以服务请求的形式提出。我们提供7x24x365全天候支持。有两种类型的服务请求可供选择：

包含 - 服务范围内的服务请求，不会产生额外费用。
附加 - 超出服务范围且会产生额外费用的服务请求。

Request Name	Included / Additional
Create a DC Group over multiple OVDCs	Additional
Change external access OVDC API	Additional
Add a user for the Operational Console	Included
Remove a user from the Operational Console	Included
Change permissions for a user	Included

如需提出上述未列出的变更，请在服务请求模块中选择“变更”。Equinix 将进行影响分析，以确定可行性、成本和交付周期。服务请求的相关费用将从“高级支持计划”余额中扣除。如果余额不足，则按现行费率开具发票。影响基准容量、订购数量或任何影响月度服务费的变更请求，必须通过 Equinix 销售团队提出。

报告

作为服务的一部分，客户将收到每月服务报告，内容涵盖以下主题：

已提交工单与 SLA 参数的对比情况
每个 OVDC 的容量

服务水平

服务级别协议 (SLA) 定义了适用于 MPC 服务的可衡量性能水平，并规定了如果 Equinix 未能达到这些水平，客户可获得的补救措施。下文列出的服务补偿是未能达到本节定义的服务级别阈值的唯一且排他性的补救措施。

Priority	Response Time¹	Resolution Time²	Execution of Work	SLA³
P1	< 30 min	< 4 hours	24x7	95 %
P2	< 60 min	< 24 hours	24x7	95 %
P3	< 120 min	< 5 days	24x7	95 %

响应时间是从提交故障单到 Equinix 托管服务专家发送正式回复的时间。
案例解决时间是指从在 ITSM 工具中登记故障单到解决或取消故障单，或移交给 IBX 支持的时间。
SLA 适用于响应时间，有关 SLA 的详细信息，请参阅产品政策。

MPC 服务的可用性级别指的是单个 OVDC 的可用性。当 Equinix 管理的基础设施发生故障导致 OVDC 进入错误状态并直接造成客户服务中断时，MPC 服务被视为不可用。

Availability Service Level	Description
99.95%+	Achieved when total OVDC unavailability is less than 22 minutes over a calendar month.

服务信用机制适用于产品策略中定义的可用性服务级别协议 (SLA)。MPC 服务的可用性不包括数据恢复。客户负责恢复其数据。如果客户已签订托管私有备份服务合同，则可以通过托管私有备份操作控制台自助恢复数据。如果客户未签订托管私有备份服务合同，则数据恢复由客户自行负责。

访问 MPC ST​

地区​

组织机构​

组织虚拟数据中心（OVDC）​

租户角色​

管理 MPC ST​

用户管理​

API访问​

Terraform 自动化​

API令牌​

服务帐户​

API Explorer​

操作控制台​

虚拟主机控制台​

快照​

目录​

连接性和网络​

MPC网关防火墙架构​

创建一个隔离的OVDC网络​

创建路由式 OVDC 网络​

允许访客 VLAN​

创建网关防火墙规则​

创建 NAT 规则​

创建 SNAT 规则​

创建 NO SNAT 规则​

配置 IPsec VPN​

配置边缘网关 IPsec VPN 设置​

创建第二个VPN网关​

配置 VPN 的边缘网关防火墙​

创建 OVDC 分布式防火墙规则​

服务说明​

服务选项​

服务划分和支持服务​

购买单位​

角色与职责​

事件管理​

服务请求​

报告​

服务水平​