Módulo 7 — Huawei Cloud: gestión de infraestructura

7.1 Objetivos del módulo

• Crear y gestionar ECS desde la consola y CLI oficial (KooCLI / hcloud).
• Crear y operar EVS: adjuntar a ECS, redimensionar, crear snapshots, restaurar.
• Crear buckets OBS y gestionar objetos (subir, descargar, configurar lifecycle).
• Asignar, asociar y liberar EIP. Entender la facturación de IPs no asociadas.
• Diseñar una VPC completa: subnets en distintas AZ, route tables, internet gateway, NAT Gateway.
• Configurar Security Groups con reglas de entrada y salida adecuadas.
• Diferenciar Security Group (SG) y Network ACL (NACL) y saber cuándo usar cada uno.
• Realizar troubleshooting básico: conectividad, logs de consola, monitoreo con Cloud Eye.
• Comprender los modos de pago (pay-per-use vs yearly/monthly) y elegir el adecuado.

7.2 Contenido teórico

7.2.1 ECS — Elastic Cloud Server

ECS es el servicio equivalente a EC2 en AWS o a una VM en Proxmox. Permite lanzar máquinas virtuales con SO, CPU y RAM configurables.

Familias de instancias

Modos de pago (billing modes)

Imágenes de ECS

• Imágenes públicas: Ubuntu, CentOS, Debian, Windows Server, EulerOS — gratis (se paga solo el ECS, no la imagen).
• Imágenes Marketplace: imágenes preconfiguradas (LAMP, WordPress, Odoo, etc.) con costo adicional.
• Imágenes privadas: creadas a partir de un ECS existente o subidas desde un archivo .qcow2 / .vhd / .vmdk. Útiles para clonar configuraciones repetibles.
• Imágenes compartidas: imágenes privadas de otro proyecto o cuenta IAM compartidas con el actual.

7.2.2 EVS — Elastic Volume Service

EVS provee discos en bloque persistentes, equivalentes a discos virtuales en Proxmox o EBS en AWS. Se adjuntan a ECS y se pueden snapshotear, redimensionar y migrar.

Operaciones clave con EVS

• Adjuntar (attach) a un ECS: soporta hot-plug en sistemas Linux modernos. Aparece como un disco adicional (/dev/vdb, /dev/vdc…).
• Redimensionar (extend): aumentar el tamaño sin detener el ECS. Después hay que extender la partición y el filesystem dentro del SO (growpart + resize2fs / xfs_growfs).
• Snapshot: backup a nivel de bloque, instantáneo y consistente. Útil antes de aplicar cambios riesgosos.
• Crear EVS desde snapshot: restaura un snapshot a un nuevo volumen (operación no destructiva).
• Cifrado en reposo: opcional al crear el EVS. No se puede activar después en un volumen existente.

7.2.3 OBS — Object Storage Service

OBS es almacenamiento de objetos compatible con la API de Amazon S3. Se organiza jerárquicamente en buckets que contienen objetos (archivos). No es un sistema de archivos: no se monta como un disco.

Casos de uso en Harper

• Backups de ECS y EVS (CBR puede usar OBS como destino económico).
• Almacenamiento de logs históricos (logs de aplicaciones, logs de acceso, logs de auditoría).
• Distribución de archivos estáticos (imágenes, scripts, ISOs internas).
• Landing zone para migraciones (subir VMDK / qcow2 → importar como imagen privada).
• Repositorio de artefactos de despliegue (binarios, paquetes).

Clases de almacenamiento

7.2.4 EIP — Elastic IP Address

Una EIP es una IP pública estática que se puede asociar y desasociar de recursos (ECS, NAT Gateway, ELB). Su característica principal es que se mantiene reservada para Harper aunque no esté asociada — y se factura igual.

Modelos de facturación de EIP

• Bandwidth (ancho de banda fijo): se paga por el ancho de banda contratado (ej: 10 Mbps), tráfico ilimitado dentro de ese límite. Recomendado para servicios con tráfico predecible.
• Traffic (tráfico por GB): se paga por GB de tráfico saliente. Recomendado para servicios con tráfico esporádico o impredecible.
• Shared bandwidth: múltiples EIPs comparten un mismo paquete de ancho de banda. Reduce costos cuando hay muchos EIPs con tráfico bajo.

¿Cuándo usar EIP y cuándo NO?

• Sí asignar EIP: ECS que expone servicios públicos (web, API, SSH externo), NAT Gateway, balanceadores con frente público.
• No asignar EIP: bases de datos, backends internos, ECS que solo se acceden desde la VPC. Usar IP privada + Security Group correctamente configurado.

7.2.5 VPC — Virtual Private Cloud

Una VPC es una red virtual privada y aislada dentro de Huawei Cloud. Es el equivalente a tener un "datacenter virtual" propio dentro de la nube, con sus propios rangos de IP, subnets, tablas de rutas y firewalls.

Componentes de una VPC

• CIDR principal: rango de IPs privadas de toda la VPC (típicamente 10.0.0.0/16 o 172.16.0.0/16).
• Subnets: subdivisiones del CIDR principal, cada una atada a una zona de disponibilidad (AZ).
• Route tables: reglas que indican cómo encaminar el tráfico (subnet → internet, subnet → VPN, subnet → otra VPC).
• Internet Gateway implícito: permite que las EIP funcionen — no requiere creación manual como en AWS.
• NAT Gateway: permite que ECS sin EIP salgan a internet (para descargar paquetes, hacer apt update, etc.) sin exponerlos públicamente.
• Security Groups (SG): firewall stateful a nivel de instancia.
• Network ACLs (NACL): firewall stateless a nivel de subred.
• VPC Peering: interconexión entre VPCs propias para compartir tráfico privado.
• VPC Endpoints: acceso privado a servicios de Huawei (OBS, RDS) sin pasar por internet.

Security Group vs Network ACL

7.3 Laboratorios prácticos

Estos laboratorios se ejecutan en la región la-north-2 (LA-Mexico City). Si solo se tiene acceso de lectura, ejecutar como walkthrough revisando los componentes ya creados en producción.

Lab 1: Diseñar y crear una VPC completa

1. Consola → Virtual Private Cloud → Create VPC.
2. Nombre: vpc-lab-tecnico. CIDR: 10.0.0.0/16. Región: la-north-2.
3. Crear primera subnet: subnet-web, AZ1, CIDR 10.0.1.0/24.
4. Crear segunda subnet: subnet-db, AZ2, CIDR 10.0.2.0/24.
5. Verificar route table principal: debe tener ruta local 10.0.0.0/16.
6. Para acceso a internet: en route table agregar ruta 0.0.0.0/0 con next hop hacia un EIP (asignado al ECS) o NAT Gateway (si los ECS no tendrán EIP propio).
7. Documentar el diagrama de red resultante (puede ser dibujo a mano o draw.io).

Lab 2: Crear Security Groups bien diseñados

Crear dos Security Groups separados — uno para servidores web y otro para servidores de base de datos:

SG: sg-web

• Inbound: TCP/22 (SSH) desde la IP pública de Harper (no desde 0.0.0.0/0).
• Inbound: TCP/80 desde 0.0.0.0/0.
• Inbound: TCP/443 desde 0.0.0.0/0.
• Outbound: all (default).

SG: sg-db

• Inbound: TCP/3306 (MySQL) desde sg-web (no desde IP, sino referenciando el otro SG).
• Inbound: TCP/22 (SSH) desde la IP pública de Harper para administración directa.
• Outbound: all (default).

Lab 3: Lanzar un ECS y conectarse

1. Consola → ECS → Buy ECS.
2. Región: la-north-2. AZ: AZ1 (que coincida con subnet-web).
3. Tipo: General purpose s6.small.1 (1 vCPU, 1 GB RAM).
4. Imagen: Ubuntu 22.04 LTS (imagen pública).
5. Disco de sistema: 40 GB GPSSD.
6. VPC: vpc-lab-tecnico. Subnet: subnet-web. SG: sg-web.
7. EIP: comprar uno nuevo, ancho de banda 5 Mbps, modelo bandwidth.
8. Par de claves: crear nueva (key-lab-tecnico), descargar el archivo .pem y guardarlo en lugar seguro.
9. Modo de pago: pay-per-use.
10. Confirmar y esperar el estado Running (tarda 1–2 minutos).
11. Conectarse: chmod 400 key-lab-tecnico.pem && ssh -i key-lab-tecnico.pem root@<EIP>
12. Verificar acceso ejecutando: uname -a && cat /etc/os-release

Lab 4: Gestionar EVS — adjuntar, formatear, montar y snapshot

1. Consola → EVS → Buy Disk. Tipo GPSSD, 20 GB, AZ1 (misma del ECS), pay-per-use.
2. Una vez creado, click en Attach y seleccionar el ECS del lab.
3. Conectarse al ECS por SSH. Listar discos: lsblk
4. Identificar el nuevo disco (típicamente /dev/vdb). Verificar que esté sin filesystem: sudo file -s /dev/vdb
5. Formatear con ext4: sudo mkfs.ext4 /dev/vdb
6. Crear punto de montaje y montar:

   sudo mkdir /mnt/data
   sudo mount /dev/vdb /mnt/data
   df -hT

7. Hacer el montaje persistente. Obtener el UUID: sudo blkid /dev/vdb
8. Editar /etc/fstab y agregar:

   UUID=<el-uuid> /mnt/data ext4 defaults,nofail 0 2

9. Verificar el montaje persistente:

   sudo umount /mnt/data && sudo mount -a && df -hT

10. Volver a la consola → EVS → seleccionar el disco → Create Snapshot. Asignar nombre snap-lab-001.
11. Una vez creado el snapshot, simular pérdida de datos:

    sudo touch /mnt/data/archivo-importante.txt
    sudo rm /mnt/data/archivo-importante.txt

12. Restaurar: en la consola, desde el snapshot, crear un nuevo EVS y adjuntarlo al ECS para validar la integridad.

Lab 5: Crear bucket OBS y subir/descargar archivos

1. Consola → OBS → Create Bucket.
2. Nombre único global: harper-lab-tecnico-2026 (debe ser único en todo Huawei Cloud).
3. Región: la-north-2. Storage class: Standard. Bucket policy: Private.
4. Crear el bucket y verificar que aparece en la lista.
5. Subir un archivo de prueba desde la consola web (botón Upload Object).
6. Desde el ECS, instalar obsutil (CLI oficial de OBS):

   wget https://obs-community-intl.obs.ap-southeast-1.myhuaweicloud.com/obsutil/current/obsutil_linux_amd64.tar.gz
   tar -xzf obsutil_linux_amd64.tar.gz && sudo mv obsutil_linux_amd64*/obsutil /usr/local/bin/

7. Configurar credenciales (Access Key / Secret Key obtenidos desde IAM):

   obsutil config -i=<ACCESS_KEY> -k=<SECRET_KEY> -e=obs.la-north-2.myhuaweicloud.com

8. Listar buckets: obsutil ls
9. Descargar el archivo subido: obsutil cp obs://harper-lab-tecnico-2026/archivo.txt /tmp/
10. Subir un archivo desde el ECS al bucket: obsutil cp /etc/hostname obs://harper-lab-tecnico-2026/hostname.txt

Lab 6: Troubleshooting de conectividad

1. Desde tu máquina local, intentar hacer ping al EIP del ECS: ping <EIP>
2. El ping fallará — el Security Group no permite ICMP. Confirmar el problema.
3. Desde la consola → VPC → Security Groups → sg-web → Add inbound rule:
   • Protocol: ICMP.
   • Source: tu IP pública (no 0.0.0.0/0).
4. Volver a hacer ping. Debe funcionar inmediatamente (no requiere reiniciar nada).
5. Cuando termine la prueba, eliminar la regla ICMP. ICMP abierto a internet es información que un atacante usa para detectar que el host existe.
6. Documentar el procedimiento como entrada en el runbook del departamento.

Lab 7: Limpieza de recursos (siempre al final)

Una de las prácticas más importantes en cloud es destruir lo que ya no se usa. Cualquier recurso olvidado factura.

1. Desasociar el EIP del ECS (Console → EIP → Disassociate).
2. Liberar el EIP completamente (Release).
3. Desadjuntar y eliminar los EVS adicionales (no el de sistema, ese se va con el ECS).
4. Eliminar los snapshots EVS que ya no se necesiten.
5. Detener y eliminar el ECS (Stop → Delete with disks).
6. Vaciar y eliminar el bucket OBS (los buckets con objetos no se pueden eliminar).
7. Eliminar las subnets y la VPC.
8. Verificar en Console → My Resources que no quedan recursos activos.

Plantilla de seguimiento del lab

7.4 Checklist de evaluación

• Crea una VPC con subnets en al menos 2 AZ y configura las route tables correctamente.
• Configura Security Groups separados para distintos roles (web, db) y referencia SGs entre sí.
• Lanza un ECS con la configuración completa (red, SG, EIP, par de claves) sin asistencia.
• Se conecta al ECS por SSH usando el archivo .pem descargado.
• Adjunta un EVS al ECS, lo formatea, monta y configura el montaje persistente en /etc/fstab.
• Crea un snapshot de un EVS y restaura los datos creando un nuevo volumen desde el snapshot.
• Crea un bucket OBS y opera objetos desde la consola y desde obsutil (CLI).
• Diagnostica un problema de conectividad y lo resuelve modificando reglas de Security Group.
• Explica las diferencias entre pay-per-use, yearly/monthly y spot, y recomienda cuál usar en cada caso.
• Identifica EIPs no asociadas y las libera para evitar facturación innecesaria.
• Documenta las decisiones de diseño (CIDR, AZ, tipos de instancia) en formato runbook.
• Limpia todos los recursos del lab al finalizar y verifica en consola que no queda nada activo.

7.5 Referencia rápida — Cheatsheet Huawei Cloud (Infraestructura)