华为云服务应用与项目实践（微课版）-实验指导书汇 6rds搭建wrdpress博客系统 -10基于ModelArts构建智能人体识别系统系统

基于RDS搭建WordPress云上博客系统实验TIME\@"yyyy-M-d"2026-6-7华为ICT大赛教学赛第页基于RDS搭建WordPress云上博客系统建议学时：2学时实验任务任务描述传统博客搭建通常需要用户自行部署和管理数据库，面临运维复杂、扩展性差、数据安全风险高等问题。本实验基于华为云RDS（云数据库）与WordPress搭建云上博客系统，旨在通过RDS提供的自动化运维、高可用架构和弹性扩展能力，解决数据库管理的核心痛点。实验内容涵盖从VPC网络规划、安全组配置、RDS实例创建到WordPress博客系统部署的全流程。通过本任务，学生将掌握云数据库服务的使用方法，理解云上应用系统的架构设计，并能够独立完成一个具备企业级可靠性的博客系统搭建。。学习目标完成本任务的学习后，你应当能：理解RDS云数据库的核心功能与架构优势；掌握创建和配置RDS实例；掌握在云服务器上部署WordPress博客系统的流程；理解云上应用系统的高可用与安全设计原则；能够排查和解决WordPress与RDS连接中的常见问题；具备基于云服务构建企业级应用系统的实践经验；

任务准备前置知识本实验需要提前学习云计算基础、数据库系统、Web应用部署、华为云服务基础知识、Linux操作系统基础的相关知识。可通过如下途径进行学习：云计算基础知识核心概念：理解云计算按需自助服务、弹性伸缩、资源池化和按使用量计费的基本特征，掌握IaaS、PaaS、SaaS三种服务模型的区别与应用场景。架构思维：建立从本地IDC到云上迁移的技术框架认知，理解虚拟化、资源调度、网络隔离等基础技术如何支撑云服务的运行。数据库系统基础知识MySQL基础：掌握关系型数据库的表结构、数据类型、建立数据库和表的基本操作，理解主键、外键、索引等概念。云数据库优势：了解RDS提供的自动化备份、主备高可用、监控告警、弹性扩容等功能，认识云端托管数据库相比自建数据库在运维复杂度、可靠性和成本上的优势。Web应用部署与运维知识LAMP：理解Linux操作系统、Web服务器（Apache/Nginx）、应用服务器（PHP）和数据库（MySQL）四层架构的协同工作原理。部署流程：掌握从环境配置、依赖安装、服务启动到访问验证的完整Web应用部署流程，了解常见的故障排查方法。华为云服务基础知识服务生态：熟悉华为云VPC、ECS、RDS等核心服务的功能定位和应用场景，理解各服务间的关联关系和数据流向。控制台操作：掌握华为云控制台的基本操作，包括服务开通、资源配置等，了解区域、可用区等基础概念。Linux操作系统基础知识基本命令：熟练掌握文件管理（ls、cp、mv、rm）、目录操作（cd、pwd）、权限管理（chmod、chown）、进程管理（ps、kill）等常用命令系统管理：了解软件包管理（yum/dnf）、服务管理（systemctl）、网络配置等基础系统管理操作，掌握SSH远程连接的配置与使用。实验环境准备本实验需要在华为云平台上搭建完整的博客系统部署环境。华为云提供的一站式云计算服务为Web应用部署和数据存储管理提供了强大的基础设施和便捷的管理工具。本实验环境准备主要包括华为云基础服务的开通与配置、WordPress博客系统的依赖环境安装。通过系统性的环境搭建，确保后续的博客系统部署和数据存储能够在稳定可靠的云端环境中顺利进行。基础环境配置：本实验基于华为云平台进行，具体环境要求如下：已注册并实名认证的华为云账号准备SSH客户端工具（如Xshell、MobaXterm等）用于远程连接ECS云服务安装软件：实验需要安装的主要软件包包括：Web服务器：ApacheHTTP应用运行时：PHP及相关扩展（php-mysql,php-gd,php-mbstring等）文件管理工具：wget或curl用于下载WordPress安装包任务实施实验要点：VPC与子网规划：设计私有网络地址空间并划分业务子网，确保云上资源安全隔离与内网互通。安全组规则配置：为ECS和RDS分别配置安全组策略，实现最小权限访问控制，保障系统安全。RDS实例创建与数据库初始化：创建RDS实例并完成参数配置与数据库创建，为WordPress提供数据存储服务。ECS实例创建与系统环境配置：部署云服务器并安装Apache、PHP等运行环境。WordPress安装与数据库连接：部署WordPress程序并配置数据库连接信息，完成博客系统初始化与访问验证。关键步骤：任务6.1云上博客系统基础环境搭建（1）根据业务需求创建VPC。①打开华为云官网，登录华为云账号，单击控制台，选择“华南--广州”区域，在服务列表中的网络服务选择“虚拟私有云VPC”，单击“创建虚拟私有云”按钮，配置信息如表6-2所示。表6-2VPC的配置信息表配置项配置值区域华南-广州名称vpc-wordpresIPV4网段/16子网名称subnet-wordpress子网IPV4网段/24②创建成功后，操作结果如图6-30所示。图6-30成功创建VPC（2）创建安全组。①进入虚拟私有云，选择“访问控制”—“安全组”，在新打开的界面右上角，再单击“创建安全组”按钮，基本配置信息如表6-3所示。表6-3安全组配置信息表配置项配置值区域华南-广州名称sg-worpress②根据业务需求，在入方向规则快速添加规则，配置信息如图6-31所示。③创建成功后，操作结果如图6-32所示。图6-31配置安全组规则图6-32成功创建安全组（3）根据业务需求，创建RDS实例。①进入华为云控制台，选择“所有服务”—“数据库”—“云数据库RDS”，单击“云数据库RDS”，在新打开的界面，再单击“购买”按钮，购买云数据库RDS，配置信息如表6-4所示。表6-4RDS配置信息表配置项配置值区域华南-广州计算模式按需计费数据库引擎MySQL数据库版本8.0实例类型主备存储类型SSD云盘主备可用区自定义性能规格独享型存储空间自定义实例名称自定义密码符合密码复杂性要求虚拟私有云vpc-wordpress数据库端口3306安全组sg-wordpress其他选项默认或根据需求选择。②创建成功后，如图6-33所示。图6-33成功创建RDS③单击实例名，新打开的界面中，可查看该实例的基本内容，单击连接管理菜单，可以查看到该实例的内网地址等相关信息，如图6-34所示。图6-34查看实例的基本内容（4）创建数据库。在RDS云数据库列表，单击右侧“登录”按钮，在弹出的对话框里，输入正确用户名和密码后，进行测试连接，如果信息无误，会显示连接成功，再勾选“记住密码选项”，单击“登录”按钮，新打开的界面，可以看到数据库列表，单击“新建数据库”按钮，在弹出的对话框中，填写数据库名称为wordpress，其他信息采用默认状态，创建成功，如图6-35所示。图6-35购买RDS任务6.2WordPress应用部署与系统集成（1）创建ECS。①华为云控制台，选择“所有服务”—“计算”—“弹性云服务器ECS”，单击“弹性云服务器ECS”，在新打开的界面右上角，再单击“购买弹性云服务器”按钮，自定义配置信息如表6-5所示。表6-5弹性云服务器配置信息表配置项配置值计算模式按需计费区域华南-广州可用区可用区7CPUl架构X86计算实例规格通用计算型x1.2u.4g公共镜像openEuler22.0364bit(10GiB)系统盘超高IO40GiB虚拟私有云vpc-wordpress安全组sg-wordpress弹生公网IP暂不购买云服务器名称ecs-wordpress密码符合密码复杂性要求数量1②购买成功后，操作结果如图6-36所示。图6-36成功购买ECS（2）安装wordpress博客。①远程登录弹性云服务器，通过以下命令安装Apache，安装成功后启动服务，如图6-37所示。dnfinstall-yhttpdsystemctlstarthttpdsystemctlenablehttpd图6-37安装apache②安装PHP，安装成功后启动服务，如图6-38所示。dnfinstall-yphpphp-mysqlndphp-fpmphp-cliphp-gdphp-curlphp-mbstringsystemctlstartphp-fpmsystemctlenablephp-fpm图6-38安装PHP③通过以下命令，下载WordPress软件并进行解压，结果如图6-39所示。wget/wordpress-6.6.1-zh_CN.zipunzipwordpress-6.6.1-zh_CN.zip图6-39下载并解压WordPress软件④通过以下命令拷贝WordPress文件夹到Apache的工作目录“/var/www/html”，并进行授权，结果如图6-40所示。cp-awordpress/var/www/html/chmod-R777/var/www/html/*systemctlrestarthttpdphp-fpm图6-40授权/var/www/html/目录⑤打开浏览器，输入：http://ECS-WordPress的EIP/wordpress/index.php，结果如图6-41所示。⑥单击“现在就开始”按钮，填写数据库的连接信息，包括数据库名、数据库用户名、密码和数据库主机IP地址，结果如图6-42所示。图6-41安装wordpress图6-42配置数据库的连接信息⑦单击“提交”按钮，出现如图6-43所示。图6-43运行安全程序⑧单击“运行安装程序”按钮，在新打开的页面，填写站点标点，博客用户名、密码和邮箱地址，如图6-44所示。⑨单击“安装WordPress”按钮，安装成功，如图6-45所示。图6-44配置博客信息图6-45成功安装博客⑩单击“登录”按钮，输入正确的用户名和密码，登录成功，如图6-46所示，用户后续可以根据需求发表文章。图6-46登录博客任务拓展尝试将WordPress迁移至另一台ECS实例，并配置RDS读写分离功能，测试高并发访问下的系统性能。此外，可尝试使用不同数据库引擎（如PostgreSQL）的RDS实例部署WordPress，比较其性能与兼容性差异。实验总结通过本次基于华为云RDS与WordPress搭建云上博客系统的实验，完成了以下关键学习目标：1．全面掌握了云上网络与安全资源的配置方法熟练完成了RDS实例的创建、配置与连接；系统掌握了WordPress在云服务器上的部署流程；4．具备了基于云服务构建高可用、安全可靠的应用系统的实践经验。基于CCE搭建Nextcloud云盘建议学时：4学时实验任务任务描述随着企业数字化转型的深入，内部数据资产的管理、共享与协同办公已成为提升运营效率的关键环节。公有云服务虽便捷，但存在数据安全、合规性与长期成本等顾虑。因此，构建一个自主可控、安全高效的私有化文件共享与协作平台，对于保障企业核心数据资产安全、满足内部协同需求具有重要意义。本项目旨在为某企业搭建一套内部文件共享与协作系统。该系统要求具备部署高效、扩展灵活、数据安全三大核心特点。为此，本项目选择以Nextcloud作为核心应用服务，并采用先进的云原生架构进行实施。该方案结合MySQL数据库存储所有用户数据与配置信息，确保数据管理的可靠性与一致性。为实现“一次构建，多环境运行”的现代化部署目标并验证云原生技术在轻量级业务场景中的实用性，本项目将采用容器化部署方式。通过容器服务CCE实现高效的服务编排与管理，利用容器镜像的标准化特性彻底解决环境差异问题，保障从开发、测试到生产环境部署的一致性。同时，借助Kubernetes强大的资源调度与自我修复能力，实现服务的弹性伸缩与高可用性，从容应对业务负载变化。学习目标完成本任务的学习后，你应当能：掌握VPC的创建与配置方法；掌握安全组规则的配置与应用；掌握ECS实例的创建与生命周期管理；掌握Docker的安装与使用，能够拉取和管理容器镜像；掌握SWR容器镜像服务的配置与使用，实现镜像的上传与下载；掌握CCE云容器引擎的集群创建、节点配置和工作负载部署；具备基于云原生技术构建企业级应用系统的实践经验。

任务准备前置知识本实验需要提前学习云计算基础、网络基础知识、容器技术基础、华为云服务基础知识、Linux操作系统基础的相关知识：云计算基础知识核心概念：理解云计算按需自助服务、弹性伸缩、资源池化和按使用量计费的基本特征，掌握IaaS、PaaS、SaaS三种服务模型的区别与应用场景。网络基础知识VPC概念：理解虚拟私有云的网络隔离原理，了解子网、网段、路由表等基本概念。安全组概念：理解安全组的访问控制原理，了解入方向规则和出方向规则的区别与应用。。容器技术基础知识Docker概念：理解容器化技术的基本原理，了解镜像、容器、仓库等核心概念。Kubernetes概念：理解容器编排的基本原理，了解Pod、工作负载、服务等核心概念。华为云服务基础知识服务生态：熟悉华为云VPC、ECS、SWR、CCE等核心服务的功能定位和应用场景，理解各服务间的关联关系和数据流向。。控制台操作：掌握华为云控制台的基本操作。Linux操作系统基础知识基本命令：熟练掌握文件管理（ls、cp、mv、rm）、目录操作（cd、pwd）、权限管理（chmod、chown）、文本编辑（vim）等常用命令。系统管理：了解软件包管理（dnf/yum）、服务管理（systemctl）、网络配置等基础系统管理操作，掌握SSH远程连接的配置与使用。实验环境准备本实验需要在华为云平台上搭建完整的基于云容器引擎的Nextcloud云盘部署环境。华为云提供的一站式云计算服务为容器化应用部署和管理提供了强大的基础设施和便捷的管理工具。本实验环境准备主要包括华为云基础服务的开通与配置、容器运行时环境的安装。通过系统性的环境搭建，确保后续的容器镜像制作和云盘部署能够在稳定可靠的云端环境中顺利进行。基础环境配置：本实验基于华为云平台进行，具体环境要求如下：已注册并实名认证的华为云账号准备SSH客户端工具（如Xshell、MobaXterm等）用于远程连接ECS云服务安装软件：实验需要安装的主要软件包包括：容器运行时：Docker容器编排平台：CCE（云服务）容器镜像仓库：SWR（云服务）任务实施实验要点：VPC规划与创建：设计私有网络地址空间，确保云上资源安全隔离与内网互通。安全组规则配置：为云服务器配置安全组策略，保障系统安全。ECS实例创建与Docker安装：创建云服务器，安装Docker容器运行时环境。容器镜像拉取与上传：拉取Nextcloud和MySQL镜像，并上传至SWR容器镜像仓库。CCE集群创建与节点配置：创建CCE集群并添加节点，提供容器运行环境。工作负载部署与服务发布：在CCE集群中部署MySQL和Nextcloud工作负载，并通过节点访问发布服务。数据库配置与访问Nextcloud云盘：访问Nextcloud界面，完成数据库配置，验证云盘系统部署成功。关键步骤：任务7.1制作与上传容器镜像（1）根据业务需求创建VPC。①打开华为云官网，登录华为云账号，单击控制台，选择“华南--广州”区域，在服务列表中的网络服务选择“虚拟私有云VPC”，单击“创建虚拟私有云”按钮，配置信息如表1所示。表1VPC的配置信息表配置项配置值区域华南-广州名称vpc-nextcloudIPV4网段/16子网名称subnet-nextcloud子网IPV4网段/24②创建成功后，操作结果如图1所示。图1成功创建VPC（2）创建安全组。①进入虚拟私有云，选择“访问控制”—“安全组”，在新打开的界面右上角，再单击“创建安全组”按钮，基本配置信息如表2所示。表2安全组配置信息表配置项配置值区域华南-广州名称sg-nextcloud②根据业务需求，在入方向规则快速添加规则，配置信息如图2所示。图2配置安全组规则③创建成功后，操作结果如图3所示。图3成功创建安全组（3）创建ECS。①华为云控制台，选择“所有服务”—“计算”—“弹性云服务器ECS”，单击“弹性云服务器ECS”，在新打开的界面右上角，再单击“购买弹性云服务器”按钮，自定义配置信息如表3所示。表3弹性云服务器配置信息表配置项配置值计算模式按需计费区域华南-广州可用区自定义CPUl架构X86计算实例规格通用计算型x1.2u.4g公共镜像openEuler22.0313bit(10GiB)系统盘超高IO40G虚拟私有云vpc-nextcloud安全组sg-nextcloud弹生公网IP暂不购买云服务器名称ecs-nextcloud密码符合密码复杂性要求数量1②购买成功后，操作结果如图4所示。图4成功购买弹性云服务器图7-5启动Docker服务（4）远程登录弹性云服务器，通过以下命令安装Docker，启动Docker服务并设置开机自启，结果如图5所示。图7-5启动Docker服务dnfinstall-ydockersystemctlstartdockersystemctlenabledocker（5）进入“容器镜像服务SWR”页面，单击“镜像资源”—“镜像中心”—“镜像加速器”按钮，查看配置镜像加速器方法，修改“/etc/docker/daemon.json”文件，文件内容如下。{"registry-mirrors":["https://0"]}（6）查看配置结果，并通过systemctlrestartdocker重启服务，结果如图6所示。图6查看配置结果（7）通过以下命令拉取和查看nextcloud镜像，结果如图7所示，说明拉取成功。dockerpullnextclouddockerimages图7查看nextcloud镜像（8）通过以下命令拉取和查看mysql镜像，结果如图8所示，说明拉取成功。dockerpullmysql:8.1dockerimages图8拉取和查看mysql镜像图7-9成功创建组织（9）选择“所有服务”—“容器”—“容器镜像服务（SWR）”，在新打开的界面右上角，单击“创建组织”按钮，输入自定义组织名称，结果如图9所示，说明成功创建组织。图7-9成功创建组织（10）进入“容器镜像服务SWR”页面，单击“我的镜像”—“客户端上传”—“生成登录指令”按钮，查看临时登录指令，并复制该指令到弹性云服务器，结果如图10所示，说明临时登录成功。图10临时登录成功（11）通过以下命令格式上传mysql镜像，用户根据实际情况进行填写，操作结果如图11所示。sudodockertag{镜像名称}:{版本名称}/{组织名称}/{镜像名称}:{版本名称}sudodockerpush/{组织名称}/{镜像名称}:{版本名称}图11上传mysql镜像（12）使用相同的方法，上传nextcloud镜像，进入“容器镜像服务SWR”页面，单击“我的镜像”—“自有镜像”，结果如图12所示，说明镜像上传成功。图12镜像上传成功任务7.2基于CCE搭建Nextcloud云盘（1）购买集群。①进入华为云控制台，选择“所有服务”—“容器”—“云容器引擎CCE”，新打开的界面右上角，单击“购买群集”按钮，自定义配置信息如表4所示。表4CCE集群配置信息表配置项配置值集群类型CCEStandard集群计费模式按需计费集群名称自定义集群版本V1.32控制节点架构X86集群规模根据业务需求自行选择集群master实例数根据业务需求自行选择虚拟私有云vpc-nextcloud默认节点子网Subnet-web启用IPv6暂不启用节点默认安全组自动生成容器网络模型VPC网络容器网段手动设置网段(默认)每节点预留的容器IP个数默认服务网段(ServiceCIDR)默认服务转发模式iptables插件选择安装默认的三个基础功能，其他按需选择②集群配置信息如图13所示。图13确认CCE配置③确认信息无误后，单击“提交”按钮，结果如图14所示，说明成功创建集群。图14成功创建集群（2）创建节点。①单击集群名称，进入集群配置界面，在页面左侧单击“集群”—“节点管理”—“节点”，在页面右上角，单击“创建节点”按钮，自定义配置信息如表5所示。表5节点配置信息表配置项配置值计费模式用户自行选择可用区随机分配节点类型弹性云服务器-虚拟机节点规格8vCPUs|16GiB容器引擎Containerd操作系统HuaweiCloudEulerOS2.0集群master实例数根据业务需求自行选择安全加固等保加固节点名称用户自定义登录方式密码系统盘通用SSD系统组件存储数据盘数据盘通用SSD100GiB1块高级配置默认虚拟私有云/节点子网默认节点子网Subnet-web节点IP自动分配弹性公网IP自动创建线路全动态BGP公网带宽按流量计费带宽100Mbit/s②节点配置信息如图15所示。图15节点配置③确认无误后，单击“提交”按钮，结果如图16所示，说明成功创建节点。图16成功创建节点（3）创建mysql容器。①在集群配置页面左侧，单击“工作负载”菜单，在页面右上角，单击“创建工作负载”按钮，工作负载配置信息如表6所示，配置如图17所示。表6mysql容器配置基本信息表配置项配置值负载类型有状态工作负载负载名称用户自定义命名空间default实例数量1其他选项默认图17创建工作负载基础配置②容器基本信息配置如表8所示，结果如图18所示。表8mysql容器基本信息配置表配置项配置值容器名称自定义镜像名称选择我的镜像mysqlCPU配额申请1coresCPU配额限制1cores内存配额申请1024MiB内存配额限制1024MiB图18容器基本信息配置③单击“环境变量”—“新增变量”按钮，添加以下内容，配置如图19所示。MYSQL_ROOT_PASSWORD:Howcloud@123#数据库密码MYSQL_DATABASE:nextcloud#数据库名称图19环境变量配置④实例间发现服务配置信息如表8所示，配置如图20所示。表8实例间发现服务配置信息表配置项配置值Service名称mysql端口名称mysql服务端口3306容器端口3306图20实例间发现服务配置⑤单击“创建工作负载”按钮，结果如图21所示，说明mysql容器部署成功图21mysql容器部署成功（4）创建nextcloud容器。①在集群配置页面左侧，单击“工作负载”菜单，在页面右上角，单击“创建工作负载”按钮，工作负载配置信息如表9所示，配置如图22所示。表9nextcloud容器配置基本信息表配置项配置值负载类型无状态工作负载负载名称用户自定义命名空间default实例数量2其他选项默认图22创建nextcloud工作负载配置②容器配置基本信息如表10所示，配置如图23所示。表10nextcloud容器配置基本信息表配置项配置值容器名称自定义镜像名称选择我的镜像nextcloudCPU配额申请0.5coresCPU配额限制0.5cores内存配额申请512MiB内存配额限制512MiB图23nextcloud容器配置③在服务配置处，单击“+“按钮，创建服务，服务配置信息如表11所示，配置如图24所示。表11实例间发现服务配置信息表配置项配置值Service名称自定义访问类型节点访问服务亲和节点级别协议TCP容器端口29服务端口29指定端口30000图24服务配置④配置完成后，单击“创建工作负载”按钮，结果如图25所示，说明nextcloud容器部署成功。图25nextcloud容器部署成功（5）访问nextcloud云盘。①打开本地浏览器，在地址栏处输入http://节点公网IP:30000，访问Nextcloud界面，自行创建管理员账号，结果如图26所示。图26访问Nextcloud界面②存储与数据库数据目录采用默认，配置数据库信息如表11所示，配置如图27所示。表12数据库配置信息表配置项配置值存储与数据库MYSQL/MariaDB数据库账号root数据库密码Howcloud@123数据库名nextcloud数据库主机mysql图27配置数据库③单击“安装”按钮，刷新浏览器界面，加载应用，出现如图28所示，说明基于CCE的Nextcloud云盘系统部署成功，用户可以实现文件共享等操作。图28Nextcloud云盘系统部署成功任务拓展尝试为Nextcloud配置持久化存储，使用EVS云硬盘或SFS文件存储挂载到容器，确保数据在容器重启或迁移后不丢失。此外，可尝试配置CCE的自动伸缩策略，根据负载动态调整Pod实例数量，提高系统的弹性和资源利用率。还可以尝试为Nextcloud配置域名和HTTPS证书，实现安全的域名访问。实验总结通过本次基于华为云云容器引擎部署Nextcloud云盘的实验，完成了以下关键学习目标：1．全面掌握了VPC的创建与配置方法；2．熟练完成了安全组规则的配置与应用；3．掌握了ECS实例的创建与生命周期管理；4．系统掌握了Docker的安装与使用，成功拉取了Nextcloud和MySQL容器镜像；5．掌握了SWR容器镜像服务的配置与使用，成功将镜像上传至镜像仓库；6．掌握了CCE云容器引擎的集群创建、节点配置和工作负载部署，成功在CCE集群中部署了MySQL和Nextcloud容器；7．成功访问并配置了Nextcloud云盘，实现了内部文件共享与协作平台搭建，积累了云原生技术构建企业级应用系统的实践经验。安全防护Opencart电商平台建议学时：4学时实验任务任务描述Opencart作为一款广泛使用的开源电子商务平台，凭借其灵活的扩展性和较低的使用成本，成为中小企业搭建在线商城的首选方案。然而，其开源特性使得系统漏洞更易被攻击者发现和利用，加之电商平台直接处理用户敏感数据和在线交易，使其面临着严峻的安全挑战。目前，该Opencart电商平台主要面临以下几类安全威胁。（1）Web应用攻击。SQL注入、XSS跨站脚本、CSRF等OWASPTop10安全风险，可能导致数据泄露或未授权操作；（2）DDoS攻击。带宽消耗型和连接耗尽型攻击，影响服务可用性和用户体验。（3）服务器暴力破解。针对SSH端口和管理后台的暴力破解尝试，威胁系统权限安全。（4）敏感信息泄露。密钥等敏感数据面临泄露风险。传统防火墙难以有效抵御复杂的应用层攻击和DDoS流量攻击，因此，为全面提升Opencart电商平台的业务连续性、数据安全性及系统稳定性，构建一套多层次、纵深协同的安全防护体系至关重要。为保障商城系统安全稳定运行，本项目基于华为云安全服务体系，构建多层次防护方案，集成WAF、DDoS防护、HSS及DEW，为Opencart电商平台提供从应用、网络、主机到数据层的全方位、高可靠性安全防护解决方案。学习目标完成本任务的学习后，你应当能：掌握VPC的创建与配置方法；掌握安全组规则的配置与应用；掌握ECS实例的创建与生命周期管理；掌握RDS云数据库的创建与配置；掌握DEW数据加密服务的使用，实现密钥创建和磁盘加密；掌握HSS企业主机安全服务的配置，实现主机防护和告警通知；掌握AADDDoS防护服务的配置，实现流量清洗和告警设置；掌握WAFWeb应用防火墙的配置，实现Web应用层攻击防护；具备基于云安全服务构建电商平台多层次安全防护体系的实践经验。任务准备前置知识本实验需要提前学习云计算基础、网络安全基础知识、华为云服务基础知识、Linux操作系统基础、电商平台部署的相关知识。可通过如下途径进行学习：云计算基础知识核心概念：理解云计算按需自助服务、弹性伸缩、资源池化和按使用量计费的基本特征，掌握IaaS、PaaS、SaaS三种服务模型的区别与应用场景。网络安全基础知识Web攻击概念：理解SQL注入、XSS跨站脚本、CSRF等常见Web应用攻击的原理和危害。DDoS攻击概念：理解分布式拒绝服务攻击的原理，了解带宽消耗型和连接耗尽型攻击的区别。加密技术概念：理解数据加密的基本原理，了解对称加密和非对称加密的区别。华为云服务基础知识服务生态：熟悉华为云VPC、ECS、RDS、DEW、HSS、AAD、WAF等核心安全服务的功能定位和应用场景，理解各服务间的关联关系和数据流向。控制台操作：掌握华为云控制台的基本操作。Linux操作系统基础知识基本命令：熟练掌握文件管理（ls、cp、mv、rm）、目录操作（cd、pwd）、权限管理（chmod、chown）、解压命令（unzip）、下载命令（wget）等常用命令。系统管理：了解软件包管理（dnf/yum）、服务管理（systemctl）等基础系统管理操作，掌握SSH远程连接的配置与使用。电商平台部署知识LAMP架构：理解Linux、Apache、MySQL、PHP四层架构的协同工作原理。Opencart部署：了解Opencart电商平台的系统要求、安装流程和基本配置。实验环境准备本实验需要在华为云平台上搭建完整的基于云安全服务的Opencart电商平台安全防护体系。华为云提供的一站式云计算服务为应用部署和安全防护提供了强大的基础设施和便捷的管理工具。本实验环境准备主要包括华为云基础服务的开通与配置、Opencart商城程序的准备。通过系统性的环境搭建，确保后续的商城部署和安全防护配置能够在稳定可靠的云端环境中顺利进行。基础环境配置：本实验基于华为云平台进行，具体环境要求如下：已注册并实名认证的华为云账号准备SSH客户端工具（如Xshell、MobaXterm等）用于远程连接ECS准备Opencart商城程序包（可从官网下载）云服务安装软件：实验需要安装的主要软件包包括：Web服务器：ApacheHTTP应用运行时：PHP及相关扩展（php-mysqlnd,php-gd,php-mbstring,php-zip等）数据库：云数据库RDS解压工具：unzip用于解压Opencart程序包任务实施实验要点：DEW密钥与密钥对创建：创建自定义密钥和密钥对，为云服务器提供加密和认证基础。VPC与安全组规划：设计私有网络地址空间并配置业务安全组和数据库安全组，确保云上资源安全隔离。RDS实例创建与数据库初始化：创建RDSMySQL实例并创建Opencart数据库，为商城提供数据存储服务。ECS实例创建与商城部署：创建启用了主机安全和磁盘加密的云服务器，部署Opencart商城并连接RDS数据库。HSS主机防护配置：开启主机安全防护功能，配置告警通知和病毒查杀等防护策略。DDoS防护配置：开启Anti-DDoS流量清洗功能，设置防护策略和告警通知。WAF与ELB联动防护：购买WAF实例，配置ELB负载均衡，将WAF接入ELB实现Web应用层攻击防护。攻击模拟与防护验证：模拟SQL注入攻击，验证WAF防护效果。。关键步骤：任务8.1安全部署Opencart商城服务器（1）创建密钥。①进入华为云控制台，单击“所有服务”—“安全与合规”—“数据加密服务DEW”，在新打开的界面，单击左侧导航栏“密钥管理”菜单，选择“自定义密钥”页签，在页面右上角，单击“创建密钥”按钮，配置信息如表1所示。表1创建自定义密钥的配置信息表配置项配置值名称用户自定义密钥算法AES_256密钥材料来源密钥管理②创建密钥成功，如图1所示。图1创建密钥成功（2）创建密钥对。①数据加密控制台，单击左侧导航栏“密钥对管理”菜单，选择“私有密钥对”页签，单击“创建密钥对”按钮，配置信息如表2所示。表2创建私有密钥对的配置信息表配置项配置值名称用户自定义密钥对类型SSH_RSA_2048我同意将密钥对私钥托管勾选该选项KMS加密列表选择—自定义密钥—选择密钥②创建成功，结果如图2所示。图2创建密钥对成功（3）根据业务需求创建VPC。①打开华为云官网，登录华为云账号，单击控制台选择“华南—香港”区域，在服务列表中的网络服务选择“虚拟私有云VPC”，单击“创建虚拟私有云”按钮，配置信息如表3所示。表3VPC的配置信息表配置项配置值区域中国-香港名称vpc-opencartIPV4网段/16子网名称subnet-web子网IPV4网段/24②创建成功后，操作结果如图3所示。图3成功创建VPC（4）创建业务安全组。①进入虚拟私有云，选择“访问控制”—“安全组”，在新打开的界面右上角，再单击“创建安全组”按钮，基本配置信息如表4所示。表4安全组配置信息表配置项配置值区域中国-香港名称sg-web②根据业务需求，在入方向规则快速添加规则，配置信息如图4所示。图4配置安全组规则③创建成功后，操作结果如图5所示。图5成功创建安全组（5）创建数据库安全组。①数据库安全组只放行3306端口，而且只能从Subnet-web（/24）访问，配置如图6所示。图6配置数据库安全规则②创建成功，如图7所示。图7创建数据库安全组（6）根据业务需求，创建RDS实例。①进入华为云控制台，选择“所有服务”—“数据库”—“云数据库RDS”，单击“云数据库RDS”按钮，在新打开的界面，单击“购买”按钮，购买云数据库RDS，配置信息如表5所示。表5RDS配置信息表配置项配置值区域中国-香港计算模式按需计费数据库引擎MySQL数据库版本8.0实例类型主备存储类型SSD云盘主备可用区自定义性能规格独享型存储空间自定义实例名称自定义密码符合密码复杂性要求虚拟私有云vpc-opencart数据库端口3306安全组sg-rds其他选项默认或根据需求选择。②创建成功后，如图8所示。图8成功创建RDS图9查看实例的基本内容③单击实例名，在新打开的界面，可查看该实例的基本内容，单击“连接管理”菜单，可以查看到该实例的内网地址，如图9所示。图9查看实例的基本内容④创建数据库。在RDS云数据库列表，单击右侧“登录”按钮，在弹出的对话框里，输入正确用户名和密码后，进行测试连接，如果信息无误，会显示连接成功，再勾选“记住密码选项”，单击“登录”按钮，在新打开的界面，单击“新建数据库”按钮，在弹出的对话框中，填写数据库名称“opencart”，其他默认，创建成功，如图10所示。图10购买RDS（7）创建ECS。①华为云控制台，选择“所有服务”—“计算”—“弹性云服务器ECS”，单击“弹性云服务器ECS”，在新打开的界面右上角，再单击“购买弹性云服务器”按钮，自定义配置信息如表6所示。表6弹性云服务器配置信息表配置项配置值计算模式按需计费区域中国-香港可用区随机分配CPUl架构X86计算实例规格通用计算型x1.2u.4g公共镜像openEuler22.0364bit(10GiB)开启主机安全防护企业版系统盘超高IO40G启用加密选择密钥进行对数据盘进行加密虚拟私有云vpc-opencart安全组sg-web弹生公网IP需要购买，参数自定义云服务器名称ecs-opencart登录凭证密钥对方式数量1②购买成功后，操作结果如图11所示。图11成功购买ECS（8）部署OPENCART商城。①远程登录弹性云服务器，通过以下命令安装Apache，安装成功后启动服务，如图12所示。dnfinstall-yhttpdsystemctlstarthttpdsystemctlenablehttpd图12安装Apache②安装PHP，安装成功后启动服务，如图13所示。dnfinstall-yphpphp-mysqlndphp-fpmphp-cliphp-gdphp-curlphp-mbstringphp-zipsystemctlstartphp-fpmsystemctlenablephp-fpm图13安装PHP③通过以下命令，下载opencart软件并进行解压，结果如图14所示。wget/download/16unzip16④通过以下命令拷贝Opencart文件到Apache的工作目录“/var/www/html”，并进行授权，结果如图15所示。cp-rupload/*/var/www/html/chmod-R777/var/www/html/*systemctlrestarthttpdphp-fpm图14下载与解压opencart软件图15授权/var/www/html/目录⑤打开浏览器，在地址栏处输入：http://ecs-opencart的EIP，结果如图16所示。⑥单击“Continue”按钮，检查配置信息，状态如果显示正常，则继续单击“Continue”按钮，结果如图17所示。图16安装Opencart图17安装opencart检查配置⑦在新打开的页面，填写数据库的连接信息，包括数据库名、数据库用户名、密码、数据库主机IP地址，以及填写登录Opencart的用户个人信息，结果如图18所示。图18配置数据库的连接信息⑧确图19成功部署Opencart商城（9）为Opencart服务器开启HSS主机防护功能。①进入华为云控制台，单击“所有服务”—“安全与合规”—“企业主机安全HSS”，在新打开的界面，单击“资产管理”-“主机管理”，结果如图20所示，说明成功防护Opencart服务器。图20成功防护Opencart服务器②在华为云控制台，单击“所有服务”—“管理与监控”—“消息通知服务SMN”，在新打开的界面，单击“主题管理”—“创建主题”，主题名称为“opencart”，并以短信方式请求订阅，终端通过单击链接进行确认订阅，成功订阅如图21所示。图21成功订阅③在主机安全HSS界面，单击“安装与配置”—“告警配置”菜单，开启“每日告警通知”和“实时告警通知”，告警等级全选，屏蔽事件为“登录成功和未安装Agent”，选择告警方式为“消息主题”，并选择消息主题，配置如图22所示。图22告警配置④用户可以根据业务需求，配置相应的主机防护，包括应用防护、病毒查杀等，如图23所示。图23配置主机防护任务8.2防护攻击Opencart商城服务器（1）开启Anti-DDoS防护。①进入华为云控制台，单击“所有服务”—“安全与合规”—“DDoS防护AAD”，在新打开的界面左侧导航，单击“DDOS原生基础防护”—“Anti-DDoS流量清洗”—“公网IP”—“设置默认防护策略”按钮，用户根据实际情况手动设置流量清洗阈值，配置如图24所示。图24Anti-DDoS流量清洗②单击页签“告警通知”，用户根据实际情况设置清洗流量告警阈值和开启SMN告警通知，并选择已存在的消息通知主题，配置如图25所示。图25设置告警通知（2）购买WAF实例。①进入华为云控制台，单击“所有服务”—“安全与合规”—“Web应用防火墙WAF”，在新打开的界面，单击“购买WAF实例”，进行购买WEB应用防火墙的配置，自定义配置信息如表7所示。表7购买WAF实例配置信息表配置项配置值WAF模式独享模式计费模式按需计费区域中国-香港通用可用区可用区2规格选择WI-100WAF实例创建类别资源租户类CPU架构X86计算ECS规格自行选择虚拟私有云vpc-opencart子网subnet-web安全组sg-web购买数量1②确认信息无误后，单击“立刻购买”按钮，购买成功，如图26所示。图26成功购买WAF实例（3）配置防护网站。①在Web应用防火墙左侧菜单栏，选择“网站设置”，单击“添加防护网站”按钮，配置信息如表8所示。表8添加防护网站配置信息表配置项配置值连接接入模式独享模式接入防护对象Opencart服务器的公网IP网站名称Opencart防护端口标准端口对外协议HTTP源站协议HTTPVPCVpc-opencart源站地址IPV4内网IP地址Opencart服务器的私有IP源站端口80已使用七层代理否防护策略系统自动生成策略②确认信息无误后，单击“确定”按钮，需要配置负载均衡，选择“稍后”按钮，结果如图27所示，说明成功添加防护网站。图27成功添加防护网站（4）配置配置负载均衡。①解绑opencart的弹性公网IP，进入华为云控制台，选择“所有服务”—“网络”—“弹性负载均衡ELB”，在新打开的界面右上角，单击“购买弹性负载均衡”按钮，进行购买弹性负载均衡配置，配置信息如表9所示。表9ELB配置信息表配置项配置值实例类型独享型计算模式按需计费区域中国-香港可用区可选择多个可用区名称Elb-opencart实例规格固定规格（应用型HTTP/HTTPS）网络类型IPV4私网所属VPCVpc-opencart前端子网Subnet-opencartIPV4地址自动分配IP地址后端子网与前端子网保持一致弹生公网IP使用已有（选择服务器释放的EIP）数量1②单击“确定”按钮，结果如图28所示，说明成功购买ELB。图28成功购买ELB③在负载均衡器列表，在elb-opencart所在行，单击“添加监听器”按钮，进行配置监听器，前端协议选择“HTTP”，监听端口为“单端口监听”，端口设置输入“80”端口，其他采用默认配置，配置如图29所示。④单击“下一步：配置后端分配策略”按钮，进行配置后端分配策略，新建后端服务器组，名称自定义，后端协议为“HTTP”，其他选项可采用默认配置，配置如图30所示。图29配置监听器图30配置后端分配策略⑤单击“下一步：添加后端服务器”按钮，进行添加后端服务器配置，配置健康检查协议为“TCP”，其他采用默认配置，配置如图31所示。图31配置健康检查⑥单击“下一步：确认配置”按钮，确认信息，如果检查无误，单击“提交”按钮，结果如图32所示，说明成功添加监听器。图32成功添加监听器⑦返回Web应用防火墙WAF页面，单击“系统管理”--“独享引擎”菜单，选择已经创建好的WAF引擎，在页面右侧选择“更多”--“添加到ELB”，选择已经配置好的ELB，监听器，后端服务器组，配置如图33所示。图33配置添加到ELB⑧设置ELB业务端口为80，权重可采用默认值，配置如图34所示。图34设置端口和权重⑨单击“确定”按钮，刷新网站，需要等待一段时间，独享引擎接入状态为“已接入”，说明成功实现防护服务器，结果如图35所示。图35成功防护服务器4．发起SQL注入攻击在浏览器中，输入http://服务器的EIP，访问opencart商城，并在后面添加字符“?id='or1=1”，并按“Enter”键，结果如图36所示。图36发起SQL注入攻击5．查看防护事件在Web应用防火墙左侧菜单栏，单击“防护事件”，在“防护事件列表中”，记录事件类型为“SQL注入攻击”，说明WAF已经监控到攻击事件，结果如图37所示。图37查看防护事件6．修改防护措施①在Web应用防火墙左侧菜单栏，选择“防护策略”，单击“策略列表”中已有的防护策略，在新打开的界面中，选择“Web基础防护”，将采取防护措施的防护动作改为“拦截”，配置如图38所示。图38配置防护措施②再次访问访问opencart商城，在浏览器中，输入http://服务器的EIP“?id='or1=1”，并按“Enter”键，结果如图39所示，说明防护策略生效。图39防护策略生效任务拓展尝试为Opencart商城配置HTTPS加密访问，使用SSL证书实现数据传输加密。此外，可尝试配置WAF的CC攻击防护规则，限制单个IP的访问频率，防止恶意爬虫和CC攻击。还可以尝试使用HSS的漏洞管理功能，定期扫描服务器漏洞并及时修复，进一步提高系统安全性。实验总结通过本次基于华为云安全服务构建Opencart电商安全防护体系的实验，完成了以下关键学习目标：1．全面掌握了DEW数据加密服务的配置方法，成功创建了自定义密钥和密钥对，实现了云服务器的加密认证；2．熟练完成了VPC的创建与安全组规则的配置，实现了业务网络和数据库网络的安全隔离；3．掌握了RDS云数据库的创建与配置，成功创建了Opencart数据库；4．系统掌握了ECS实例的创建与Opencart商城的部署，实现了商城业务上云；5．掌握了HSS企业主机安全服务的配置，开启了主机防护功能并设置了告警通知；6．掌握了AADDDoS防护服务的配置，实现了流量清洗和告警设置；7．掌握了WAFWeb应用防火墙与ELB负载均衡的联动配置，成功实现了Web应用层攻击防护；8．通过SQL注入攻击模拟，验证了WAF的防护效果，积累了云安全服务的选型、配置与优化经验。Discuz论坛智能化运维实践建议学时：4学时实验任务任务描述Discuz!作为国内最具影响力的开源论坛社区系统，凭借其强大的功能和丰富的插件生态，被众多企业用于构建在线社区和用户交流平台。然而，随着论坛规模的扩大和运维复杂度的提升，其开源特性及交互式应用的特点使得系统在统一运维管理、安全事件追溯和系统状态监控方面面临巨大挑战。目前，Discuz论坛的运维管理主要面临以下几类问题。（1）运维权限混乱。多名运维及版主共用管理账号，权限分配粗放，出现误操作或数据泄露事件时难以追责。（2）操作不可追溯。对论坛后台的关键配置更改、用户权限调整、敏感内容删除等操作缺乏详尽的审计日志，无法满足内部合规审查要求。（3）系统状态黑盒。论坛服务器及数据库的性能指标（如CPU、内存、磁盘IO）依赖人工巡检，无法实时感知系统健康度，故障发现滞后。（4）问题排查低效。应用报错、接口响应慢等故障发生时，需要登录多台服务器手动检索日志，定位问题根源耗时费力，平均修复时间（MTTR）过长。传统的分散式运维与被动响应模式已难以保障论坛的稳定运行与安全合规。因此，为建立一套集统一身份管理、全操作审计、实时监控告警、日志集中分析于一体的现代化运维体系至关重要。本项目基于华为云服务，构建智能化运维平台，集成IAM、CTS、LTS及CES，为Discuz论坛提供从身份控制、行为审计、性能监控到日志分析的全生命周期、可观测性运维解决方案。学习目标完成本任务的学习后，你应当能：掌握Discuz论坛的部署流程；掌握IAM统一身份认证服务的配置，实现权限精细化分配与隔离；掌握CTS云审计服务的配置，实现对关键操作的全量记录与审计；掌握LTS云日志服务的配置，实现日志的集中采集与智能分析；掌握CES云监控服务的配置，实现资源性能的实时监控与智能告警；具备基于云服务构建智能化运维平台的实践经验。

任务准备前置知识本实验需要提前学习云计算基础、网络基础知识、运维管理基础知识、华为云服务基础知识、Linux操作系统基础、论坛系统部署的相关知识。可通过如下途径进行学习：云计算基础知识核心概念：理解云计算按需自助服务、弹性伸缩、资源池化和按使用量计费的基本特征，掌握IaaS、PaaS、SaaS三种服务模型的区别与应用场景。网络基础知识VPC概念：理解虚拟私有云的网络隔离原理，了解子网、网段、路由表等基本概念。安全组概念：理解安全组的访问控制原理，了解入方向规则和出方向规则的区别与应用。。运维管理基础知识IAM概念：理解身份与访问管理的基本原理，了解用户、用户组、策略、权限等核心概念。审计概念：理解操作审计的基本原理，了解日志记录、追踪器、事件等核心概念。监控概念：理解监控告警的基本原理，了解指标、告警规则、通知等核心概念。日志概念：理解日志管理的基本原理，了解日志采集、存储、分析等核心概念。华为云服务基础知识服务生态：熟悉华为云VPC、ECS、RDS、IAM、CTS、LTS、CES等核心服务的功能定位和应用场景，理解各服务间的关联关系和数据流向。控制台操作：掌握华为云控制台的基本操作。Linux操作系统基础知识基本命令：熟练掌握文件管理（ls、cp、mv、rm）、目录操作（cd、pwd）、权限管理（chmod、chown）、解压命令（unzip）等常用命令。系统管理：了解软件包管理（dnf/yum）、服务管理（systemctl）等基础系统管理操作，掌握SSH远程连接的配置与使用。论坛系统部署知识LAMP架构：理解Linux、Apache、MySQL、PHP四层架构的协同工作原理。Discuz部署：了解Discuz论坛系统的系统要求、安装流程和基本配置。实验环境准备本实验需要在华为云平台上搭建完整的基于华为云服务的Discuz论坛智能化运维平台。华为云提供的一站式云计算服务为应用部署和运维管理提供了强大的基础设施和便捷的管理工具。本实验环境准备主要包括华为云基础服务的开通与配置、Discuz论坛程序的准备。通过系统性的环境搭建，确保后续的论坛部署和运维平台配置能够在稳定可靠的云端环境中顺利进行。基础环境配置：本实验基于华为云平台进行，具体环境要求如下：已注册并实名认证的华为云账号准备SSH客户端工具（如Xshell、MobaXterm等）用于远程连接ECS准备Discuz论坛程序包（如Discuz_X3.5_SC_UTF8_20250901.zip）云服务安装软件：实验需要安装的主要软件包包括：Web服务器：ApacheHTTP应用运行时：PHP及相关扩展（php-mysqlnd,php-gd,php-mbstring,php-zip,php-xml等）数据库：云数据库RDS解压工具：unzip用于解压Discuz程序包任务实施实验要点：VPC规划与创建：设计私有网络地址空间，确保云上资源安全隔离与内网互通。安全组规则配置：为论坛服务器和数据库分别配置安全组策略，保障系统安全。RDS实例创建与数据库初始化：创建RDSMySQL实例并创建Discuz数据库，为论坛提供数据存储服务。ECS实例创建与论坛部署：创建云服务器，安装Web环境并部署Discuz论坛，连接RDS数据库。IAM权限管理配置：创建用户组和自定义策略，实现运维人员与审计人员权限隔离。CTS云审计服务配置：开通云审计服务，配置追踪器，记录关键操作并验证审计效果。LTS云日志服务配置：将CTS日志转储至LTS，配置日志接入、日志查询和日志告警。CES云监控服务配置：安装监控插件，创建告警规则，实现资源性能实时监控。。。关键步骤：任务9.1实施统一审计与追溯体系（1）根据业务需求创建VPC。①打开华为云官网，登录华为云账号，单击控制台选择“华南—广州”区域，在服务列表中的网络服务选择“虚拟私有云VPC”，单击“创建虚拟私有云”按钮，配置信息如表1所示。表1VPC的配置信息表配置项配置值区域华南-广州名称vpc-discuzIPV4网段/16子网名称subnet-discuz子网IPV4网段/24②创建成功后，操作结果如图1所示。图1成功创建VPC（2）创建业务安全组。①进入虚拟私有云，选择“访问控制”—“安全组”，在新打开的界面右上角，再单击“创建安全组”按钮，基本配置信息如表2所示。表2安全组配置信息表配置项配置值区域华南-广州名称sg-opencart②根据业务需求，在入方向规则快速添加规则，配置信息如图2所示。图2配置安全组规则③创建成功后，操作结果如图3所示。图3成功创建安全组（3）创建数据库安全组。①数据库安全组只放行3306端口，而且只能从Subnet-discuz（/24）访问，配置如图4所示。图4数据库安全组规则②创建成功，如图5所示。图5成功创建数据库安全组（4）根据业务需求，创建RDS实例。①进入华为云控制台，选择“所有服务”—“数据库”—“云数据库RDS”，单击“云数据库RDS”，在新打开的界面，再单击“购买”按钮，购买云数据库RDS，配置信息如表3所示。表3RDS配置信息表配置项配置值华南-广州区域华南-广州计算模式按需计费数据库引擎MySQL数据库版本8.0实例类型主备存储类型SSD云盘续表配置项配置值区域华南-广州主备可用区自定义性能规格独享型存储空间自定义实例名称自定义密码符合密码复杂性要求虚拟私有云vpc-discuz数据库端口3306安全组sg-rds其他选项默认或根据需求选择。②创建成功后，如图6所示。图6成功创建RDS③单击实例名，在新打开的界面，可查看该实例的基本内容，单击连接管理，可以查看到该实例的内网地址等信息，如图7所示。图7查看实例的基本内容④创建数据库。在RDS云数据库列表，单击右侧“登录”按钮，在弹出的对话框里，输入正确用户名和密码后，进行测试连接，如果信息无误，会显示连接成功，再勾选“记住密码选项”，单击“登录”按钮，在新打开的界面中，单击“新建数据库”按钮，在弹出的对话框中，填写数据库名称discuz，其他选项采用默认设置，创建成功，如图8所示。图8购买RDS（5）创建ECS。①华为云控制台，选择“所有服务”—“计算”—“弹性云服务器ECS”，单击“弹性云服务器ECS”，在新打开的界面右上角，再单击“购买弹性云服务器”按钮，自定义配置信息如表4所示。表4弹性云服务器配置信息表配置项配置值计算模式按需计费区域华南-广州可用区随机分配CPUl架构X86计算实例规格通用计算型x1.2u.4g公共镜像openEuler22.0364bit(10GiB)开启主机安全防护企业版系统盘超高IO40GiB启用加密选择密钥进行对数据盘进行加密虚拟私有云vpc-discuz安全组sg-discuzweb弹生公网IP需要购买，用户自定义选择配置云服务器名称ecs-discuz登录凭证密钥对方式数量1②购买成功后，操作结果如图9所示。图9成功购买ECS（6）部署Discuz论坛。①远程登录弹性云服务器，通过以下命令安装Apache，安装成功后启动服务，如图10所示。dnfinstall-yhttpdsystemctlstarthttpdsystemctlenablehttpd图10安装apache②安装PHP，安装成功后启动服务，如图11所示。dnfinstall-yphpphp-mysqlndphp-fpmphp-cliphp-gdphp-curlphp-mbstringphp-zipphp-xmlsystemctlstartphp-fpmsystemctlenablephp-fpm图11启动PHP服务③上传Discuz软件到服务器，并通过以下命令进行解压，结果如图12所示。unzipDiscuz_X3.5_SC_UTF8_20250901.zip图12下载与解压Discuz软件④通过以下命令拷贝Discuz文件夹到Apache的工作目录“/var/www/html”，并进行授权，结果如图13所示。cp-rupload/*/var/www/html/chmod-R777/var/www/html/*systemctlrestarthttpdphp-fpm图13授权/var/www/html/目录⑤打开浏览器，在地址栏处输入：http://ecs-discuz的EIP，结果如图14所示。⑥单击“同意”按钮，检查安装环境，如果一切正常，如图15所示。图14Discuz安装向导图15检查安装环境⑦单击“下一步”，设置运行环境，如图16所示。图16设置运行环境⑧单击“下一步”按钮，在新打开的页面，填写数据库的连接信息，包括数据库名、数据库用户名、密码、数据库主机IP地址等，结果如图17所示。图17配置数据库的连接信息⑨确认信息无误后，继续单击“下一步”按钮，出现如图18所示界面，说明成功部署Discuz论坛。图18成功部署Discuz论坛（9）为discuz服务器配置IAM权限管理，实现运维操作人员与审计人员权限隔离。①进入华为云控制台，单击“所有服务”—“管理与监管”—“统一身份认证服务IAM”，在新打开的界面左侧菜单栏，选择“用户组--“创建用户组”按钮，分别创建运维操作组OpsGroup和审计组AuditorGroup，创建成功如图19所示。图19成功创建用户组②在统一身份认证服务IAM界面中，选择“身份策略”，在页面右上角单击“创建自定义身份策略”，创建自定义策略policyope，运维人员负责论坛服务器的日常运维、故障处理、部署更新操作等权限，但不能进行高危操作（如删除实例、重置密码等），设置规则：“允许”-“弹性云服务器（ECS）-勾选“选择所有操作（除了删除实例、重置密码等）”-“所有资源”，关键操作如图20所示。创建成功后，在用户组列表中，在需要授权的用户组左侧，单击“授权”按钮，为OpsGroup授权此策略，。图20配置自定义策略③在用户组列表中，在需要授权的用户组左侧，单击“授权”按钮，为AuditorGroup授权，运维人员负责审查所有运维操作记录，进行安全审计和合规性检查，可授权系统策略CTSFullAccess、CESReadOnlyAccess、LTSReadOnlyAccess，如图21所示。图21用户组授权④在统一身份认证服务IAM界面中，选择“用户”，在页面右上角单击“创建用户”，创建operator用户，并加入OpeGroup组，关键操作如图22所示。图22创建用户⑤用相同方法创建auditor用户，并加入AuditorGroup组，创建成功，如图23所示。图23创建auditor用户（10）配置云审计服务。①进入华为云控制台，选择“所有服务”—“管理与监管”—“云审计服务CTS”，在新打开的页面的左侧，选择“追踪器”，单击“开通云审计服务”按钮，默认会创建一个system的追踪器，追踪器将自动开始记录操作，创建成功，如图24所示。图24查看system追踪器②使用auditor账号以IAM身份登录控制台，尝试为论坛服务器重置密码，会显示权限不足，如图25所示。图25验证权限③重新以华为主账号登录华为云控制台，在“云审计服务”界面，选择“事件列表”，可以看到auditor的IAM用户重置密码的警告事件，如图26所示。图26查看警告事件任务9.2构建统一运维观测平台（1）配置CTS日志转储至LTS。①首先修改system追踪器配置，单击system追踪器右面的“配置”按钮，再单击“下一步”按钮，关闭“转储到OBS”选项，开启“转储到LTS”选项，日志组名称默认“CTS”，如图27所示。图27修改system追踪器配置②单击“下一步”按钮，确认配置信息，日志流名称为“system-trace”，如图28所示。图28配置追踪器③单击“配置”按钮，如图29所示，说明配置成功。图29配置成功（2）接入日志。①进入华为云控制台，选择“所有服务”—“管理与监管”—“云日志服务LTS”，在“云日志服务LTS”页面左侧，选择“日志接入”—“接入中心”，选择类型为“云服务”，单击“云审计CTS”—“接入日志”按钮，在新打开的页面中，会自动出现日志组和日志流，如图30所示。图30接入云审计CTS②单击“下一步:CTS配置”—“下一步:日志流配置”按钮，开启“自动对日志流进行结构化配置和索引配置”选项，如图31所示。图31日志流进行结构化配置和索引配置③单击“提交”按钮，在“云日志服务LTS”页面左侧，选择“日志管理”，出现如图32所示，说明接入成功。图32成功接入日志（3）日志查询。①单击“CTS”日志组，可以看到system-trace日志流的信息，如图33所示。图33查看system-trace日志流②可以根据用户需求，查询指定的日志，如图34所示。图34查询指定日志③单击“实时日志”，可以看到用户实时的操作记录，如图35所示。图35查看实时日志（4）配置日志告警。①在云日志服务界面，单击“日志告警”—“告警通知规则”--“创建”按钮，在新打开的界面中，设置“通知规则名称”为warn，选择已经创建好的主题“notice”，“消息模板”选择“关键词模板”，创建成功如图36所示。图36成功创建告警通知规则②单击“告警规则”--“创建”按钮，在新打开的界面中，设置自定义“规则名称”，“统计类型”用户自定义选择，此处选择“关键词统计”，选择相应的日志组和日志流，关键词设置为“error”，关键配置如图37所示。图37配置告警规则③创建成功，如图38所示。图38成功创建告警规则④如果触发告警，则在告警列表中可以查到，否则不会看到相关告警信息，如图39所示。图39查看告警列表（5）安装CES。①进入华为云控制台，选择“所有服务”—“管理与监管”—“云监控服务”，在新打开的界面左侧，选择“主机监控”—“弹性云服务器”，可以看到服务器插件状态为未安装，远程登录到服务器，通过以下命令安装插件，插件安装成功如图40所示。cc图40插件安装成功（6）创建CES告警。①单击对应弹性云服务器后面的“更多”--“创建告警规则”按钮，设置告警名称为alarm-web，设置触发规则为“自定义创建”，告警策略为“云服务器/（Agent）CPU使用率原始值连续3次>=重要60%每五分钟告警一次”，如图41所示。图41配置告警规则②用户可灵活配置通知设置，及时了解实例资源运行状况和性能，避免因为资源问题造成业务损失，成功创建告警，如图42所示。图42配置通知设置任务拓展尝试为Discuz论坛配置更多的CES告警规则，如内存使用率、磁盘使用率、网络流量等指标的告警。此外，可尝试使用LTS的日志分析功能，对论坛访问日志进行结构化分析，统计PV/UV等业务指标。还可以尝试配置CTS的云服务追踪器，记录更多云服务的操作事件，实现更全面的审计覆盖。实验总结通过本次基于华为云服务构建Discuz论坛智能化运维平台的实验，完成了以下关键学习目标：1．全面掌握了VPC的创建与配置方法；2．熟练完成了安全组规则的配置与应用；3．掌握了ECS实例的创建与Discuz论坛的部署流程；4．掌握了RDS云数据库的创建与配置，成功创建了Discuz数据库；5．掌握了IAM统一身份认证服务的配置，实现了运维人员与审计人员的权限精细化隔离；6．掌握了CTS云审计服务的配置，实现了对关键操作的全量记录与审计；7．掌握了LTS云日志服务的配置，实现了日志的集中采集、查询、告警功能；8．掌握了CES云监控服务的配置，实现了资源性能的实时监控与智能告警；9．整合了IAM、CTS、LTS、CES的协同能力，构建了完整的智能化运维平台，积累了从身份管控、行为审计、性能监控到日志分析的运维实践经验；基于ModelArts构建智能人体识别系统建议学时：2-4学时实验任务任务描述在智慧城市、智能交通、商业零售、安防监控等多个领域，实时、准确地检测并分析场景中的行人，是实现智能化管理和业务创新的基础。传统的人工识别方式效率低下，难以应对海量视频数据的处理需求。本实验基于华为云ModelArtsAI生产平台，构建一套智能人体识别系统，旨在通过ModelArts提供的数据管理、自动化标注、分布式训练和一键部署能力，解决AI应用开发中的数据准备难、模型训练慢、部署复杂等核心痛点。实验内容涵盖从OBS存储规划、数据集创建与标注、算法订阅、模型训练到在线服务部署与验证的全流程。通过本任务，学生将掌握使用ModelArts平台进行AI模型开发的全生命周期管理方法，理解云原生AI应用的架构设计，并能够独立完成一个具备高可用性的人体识别服务搭建。学习目标完成本任务的学习后，你应当能：理解ModelArtsAI生产平台的核心功能与架构优势；掌握在OBS中规划和管理AI训练数据的方法；掌握在ModelArts上创建数据集、订阅算法和训练模型的流程；理解模型训练中的参数配置与资源选择原则；能够将训练完成的模型部署为在线推理服务并进行功能验证；具备基于云平台构建AI应用系统的实践经验；理解RDS云数据库的核心功能与架构优势；

任务准备前置知识本实验需要提前学习人工智能基础、机