应用运维方式 云堡垒机 通过应用运维方式管理数据库，支持对以下系统版本的应用进行管理： 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。 此时，需通过在一台支持远程桌面的Windows系统上部署数据库客户端。通过Web浏览器远程登录Windows桌面并调用数据库客户端，实现云 堡垒机 对数据库类型应用的运维。 云堡垒机支持直接配置并调用的Windows系统的数据库客户端如表2所示。Windows主机上的其他类型数据库应用，都可通过配置应用服务器类型为“Other”，实现应用运维。 表2 支持直接调用的Windows系统上部署的数据库客户端 应用类型 支持调用的客户端 MySQL Tool MySQL Administrator Oracle Tool PL/SQL Developer SQL Server Tool S SMS dbisql dbisql PostgreSQL Navicat for PostgreSQL 支持对Centos7.9系统的Linux服务器的数据库应用进行管理。 Linux服务器仅支持调用达梦数据库V8的应用。 云堡垒机支持直接配置并调用的Linux服务器的数据库客户端如表3所示。 表3 支持直接调用的Linux服务器的数据库客户端 应用类型 支持调用的客户端 达梦数据库 达梦管理工具V8

主机运维方式 目前云堡垒机主机运维，支持管理以下协议类型的云上数据库，包括MySQL、SQL Server、Oracle、DB2、PostgreSQL、 GaussDB 、DM协议类型。云堡垒机支持数据库协议类型、版本，以及支持调用的数据库客户端软件版本，请参见表1。 表1 支持数据库协议类型、版本和数据库客户端 数据库类型 版本 支持调用客户端 MySQL 5.5，5.6，5.7，8.0 Navicat 11、12、15、16 MySQL Administrator 1.2.17 MySQL CMD DBeaver22、23（堡垒机V3.3.48.0及以上版本支持） Microsoft SQL Server 2014、2016、2017、2019、2022 Navicat 11、12、15、16 SSMS 17.6、18、19 Oracle 10g、11g、12c、19c、21c Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12、15、16 PL/SQL Developer 11.0.5.1790 DBeaver22、23（堡垒机V3.3.48.0及以上版本支持） DB2 DB2 Express-C DB2 CMD命令行 11.1.0 PostgreSQL 11、12、13、14、15 DBeaver22、23 GaussDB 2、3 DBeaver22、23 DM DM8 DM管理工具V8（Build 2023.12.14版本支持）

什么是VPC、VPN网关、VPN连接？ VPC：虚拟私有云是指云上隔离的、私密的虚拟网络环境，用户可通过 虚拟专用网络 （VPN）服务，安全访问云上虚拟网络内的主机（E CS ）。 VPN网关：虚拟私有云中建立的出口网关设备，通过VPN网关可建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。 VPN连接：是一种基于Internet的IPsec加密技术，帮助用户快速构建VPN网关和用户数据中心的远端网关之间的安全、可靠的加密通道。 云上建立VPN网络分为以下两个步骤： 创建VPN网关：创建VPN网关指明了VPN互联的本地VPC，同时创建连接带宽和网关IP。 VPN连接：创建VPN连接指明了与客户侧对接的网关IP、子网和协商策略信息。 父主题： 产品咨询

云数据库 RDS for MariaDB支持跨AZ高可用吗 云数据库 RDS for MariaDB支持跨AZ高可用。当用户购买实例的时候，选择主备实例类型，可以选择主可用区和备可用区不在同一个可用区（AZ）。 云数据库 RDS for MariaDB暂不支持3AZ部署方式。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。有的区域支持单可用区和多可用区，有的区域只支持单可用区。 例如：北京一的客户，VPC子网部署在可用区三，购买RDS主备实例时选择可用区一、可用区二也是可以的，这三个可用区之间是互通的。 为了达到更高的可靠性，即使您选择了单可用区部署主实例和备实例，RDS也会自动将您的主实例和备实例分布到不同的物理机上。在专属计算集群中创建主备实例时，如果您的专属计算集群中只有一台物理机，并且将主机和备机划分在同一可用区内，将会导致主备实例创建失败。 云数据库 RDS for MariaDB服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 相同，主机和备机会部署在同一个可用区，出现可用区级故障无法保障高可用性。 父主题： 产品咨询

KPS支持的密码算法 通过管理控制台创建的SSH密钥对支持的加解密算法为： SSH-ED25519 ECDSA-SHA2-NISTP256 ECDSA-SHA2-NISTP384 ECDSA-SHA2-NISTP521 SSH_RSA有效长度为：2048，3072，4096 通过外部导入的SSH密钥对支持的加解密算法为： SSH-DSS SSH-ED25519 ECDSA-SHA2-NISTP256 ECDSA-SHA2-NISTP384 ECDSA-SHA2-NISTP521 SSH_RSA有效长度为：2048，3072，4096

KMS支持的密钥算法 KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。 表1 KMS支持的密钥算法类型 密钥类型 算法类型 密钥规格 说明 适用场景 对称密钥 AES AES_256 AES对称密钥 数据的加解密 加解密数据密钥 说明： 小量数据的加解密可通过控制台在线工具进行。 大量数据的加解密需要调用API接口进行。 对称密钥 SM4 SM4 国密SM4对称密钥 数据的加解密 加解密数据密钥 摘要密钥 SHA HMAC_256 HMAC_384 HMAC_512 摘要密钥 数据防篡改 数据完整性校验 摘要密钥 SM3 HMAC_SM3 国密SM3摘要密钥 数据防篡改 数据完整性校验 非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥 数字签名和验签 数据的加解密 说明： 非对称密钥适用于签名和验签场景，加密数据效率不高，加解密数据推荐使用对称密钥。 非对称密钥 ECC EC_P256 EC_P384 椭圆曲线密码，使用NIST推荐的椭圆曲线 数字签名和验签 非对称密钥 ML-DSA 说明： ML-DSA算法需提交工单申请开通。 ML-DSA-44 ML-DSA-65 ML-DSA-87 机器学习（ML）算法 抗量子数字签名和验签 非对称密钥 SM2 SM2 国密SM2非对称密钥 数字签名和验签 小量数据的加解密 通过外部导入的密钥支持的密钥包装加解密算法如下表所示。 表2 密钥包装算法说明 密钥包装算法 说明 设置 RSAES_OAEP_SHA_256 具有“SHA-256”哈希函数的OAEP的RSA加密算法。 请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法，推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。 须知： “RSAES_OAEP_SHA_1”加密算法已经不再安全，请谨慎选择。 RSAES_OAEP_SHA_1 具有“SHA-1”哈希函数的OAEP的RSA加密算法。 SM2_ENCRYPT 国密推荐的SM2椭圆曲线公钥密码算法。 请在支持国密的局点使用SM2加密算法。

Anti-DDoS流量清洗可以提供哪些数据？ 您可以查看Anti-DDoS监控报表，查看单个公网IP的监控详情，包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。 您可以查看Anti-DDoS拦截报告，查看所有公网IP的防护统计信息，包括清洗次数、清洗流量，以及弹性云服务器、弹性负载均衡或裸金属服务器被攻击次数Top10排名和共拦截攻击次数。 您可以为Anti-DDoS开启告警通知，当公网IP遭受攻击时，您可以及时收到通知。否则，无论攻击流量多大，您都只能登录管理控制台自行查看，无法收到告警信息。 父主题： 产品咨询类

什么是区域、可用分区？ 区域和可用分区用来描述数据中心的位置，您可以在特定的区域、可用分区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用分区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用分区之间的关系。 图1 区域和可用分区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用分区。更多信息请参见华为云全球站点。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。 中国香港、曼谷等其他地区和国家提供国际带宽，主要面向非中国大陆地区的用户。如果您或者您的目标用户在中国大陆，使用这些区域会有较长的访问时延，不建议使用。 在除中国大陆以外的亚太地区有业务的用户，可以选择“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

华为云云解析服务提供的内网 DNS地址 是多少？ 内网DNS是华为云云解析服务提供的专门用于在VPC内使用的DNS，主要负责： 处理内网 域名 以及其他云服务域名（如OBS）的解析请求。 代理其他互联网域名的解析请求，目前支持的记录集类型：A、CNAME、MX、AAAA、TXT、SRV、NS、SOA、PTR。 华为云的内网DNS与公共DNS（114.114.114.114）相比，有以下优势： 可以解析基于VPC创建的内网域名。 可以访问华为云服务内部地址，例如OBS， SMN 等。 可以使ECS不用绑定EIP访问互联网域名解析记录。 华为云提供的内网DNS地址如表1所示。 建议ECS所在VPC子网的“DNS服务器地址”配置为各区域的内网DNS地址，详细内容请参见怎样切换内网DNS？。 各区域的内网DNS地址如表1所示。 如果“DNS服务器地址”配置为其他外部DNS，则ECS对华为云云服务的访问会解析到公网IP，可能产生额外的公网流量费用。 当ECS访问第三方互联网域名时，华为云内网DNS承担递归DNS角色，由域名的权威DNS返回最终解析结果。解析结果是否可靠或者最优，依赖第三方域名权威DNS等不可控因素。建议ECS尽量访问云服务的内网域名。 华为云内网DNS递归解析第三方互联网域名时，出口是动态BGP线路的IP。当您通过静态BGP EIP访问时，存在访问时延非最优的情况，如您对第三方域名访问时延有要求，建议使用全动态BGP线路EIP。 表1 内网DNS地址 区域 内网DNS地址 华北-北京一 100.125.1.250 100.125.21.250 华北-北京四 100.125.1.250 100.125.129.250 华北-乌兰察布一 100.125.1.250 100.125.107.250 西南-贵阳一 100.125.1.250 100.125.129.250 华南-广州 100.125.1.250 100.125.136.29 华东-上海一 100.125.1.250 100.125.64.250 华东-上海二 100.125.17.29 100.125.135.29 华东-青岛 100.125.251.249 100.125.251.250 华东二 100.125.248.9 100.125.248.10 华南-深圳 100.125.1.250 100.125.1.111 华南-广州-友好用户环境 100.125.0.167 中国-香港 100.125.1.250 100.125.3.250 亚太-曼谷 100.125.1.250 100.125.1.251 亚太-新加坡 100.125.1.250 100.125.128.250 亚太-雅加达 100.125.2.250 100.125.2.251 亚太-马尼拉 100.125.241.9 100.125.241.10 非洲-约翰内斯堡 100.125.1.250 100.125.1.14 非洲-开罗 100.125.251.249 100.125.251.250 土耳其-伊斯坦布尔 100.125.2.250 100.125.2.251 拉美-圣地亚哥 100.125.1.250 100.125.0.250 拉美-圣保罗一 100.125.1.22 100.125.1.90 拉美-墨西哥城一 100.125.1.22 100.125.1.90 拉美-墨西哥城二 100.125.1.250 100.125.1.242 中东-利雅得 100.125.250.249 100.125.250.250 俄罗斯-莫斯科二 100.125.1.250 100.125.129.250 华北-北京金融二 （金融专区） 100.125.0.80 华东专区-上海金融一 （金融专区） 100.125.12.250 100.125.10.50 父主题： 产品咨询类

DDoS高防支持多个账号共享使用吗？ DDoS高防支持多个账号或多个 IAM 用户共享使用，说明如下： 多个账号共享使用 例如，您通过注册华为云创建了2个账号（“domain1”和“domain2”），如果您将“domain1”的权限委托给“domain2”，则“domain2”可以使用“domain1”的DDoS高防实例。 有关委托管理的详细操作，请参见创建委托。 多个IAM用户共享使用 例如，您通过注册华为云创建了1个账号（“domain1”），且由“domain1”账号在IAM中创建了2个IAM用户（“sub-user1a”和“sub-user1b”），如果您授权了“sub-user1b”用户DDoS高防的权限策略，则“sub-user1b”用户可以使用“sub-user1a”用户的DDoS高防实例。 有关DDoS高防权限管理的详细操作，请参见创建用户并授权使用AAD。 父主题： 产品咨询

CAA记录 CAA记录由一个[flag]标志字节和一个被称为属性的[tag]-[value]标（标签-值）对组成，可以将多个CAA字段添加到域名的DNS记录中。 表1 CAA记录配置规则 场景 说明 示例 设置单域名CAA记录 0 issue "ca.example.com" 该字段表示只有ca.example.com可以为域名domain.com颁发证书，未经授权的第三方CA机构申请域名domain.com的HTTP证书将被拒绝。 0 issue ";" 该字段表示拒绝任何CA机构为域名domain.com颁发证书。 设置发送警报通知 0 iodef "mailto:admin@domain.com" 该字段用于当第三方尝试为一个未获得授权的域名申请证书时，通知CA机构向网站所有者发送警报邮件。 0 iodef "http:// domain.com/log/" 0 iodef "https:// domain.com/log/" 该字段用于记录尝试在其他CA申请HTTPS证书的行为。 设置颁发通配符域名证书 0 issuewild "ca.example.com" 该字段用于将通配符证书的颁发权限指定CA机构ca.example.com。 综合配置样例 0 issue "ca.abc.com" 0 issuewild "ca.def.com" 0 iodef "mailto:admin@domain.com" 该字段表示域名domain.com： 授权CA机构ca.abc.com颁发不限类型的证书。 授权CA机构ca.def.com颁发通配符证书。 禁止其他CA机构颁发证书。 当有违反设置规则的情况发生，CA机构发送通知邮件到admin@domain.com。

CAA标准 CAA标准是指域名所有者在其域名DNS记录的CAA字段中，授权指定的CA机构为其域名颁发证书。 全球约有上百个CA机构有权发放HTTPS证书，证明您网站的身份。CAA标准可以使网站将指定CA机构列入白名单，仅授权指定CA机构为网站的域名颁发证书，防止HTTPS证书错误颁发。设置CAA记录是提高网站安全性的方法之一。 CA机构在为域名签发证书时执行CAA强制性检查： 如果检查域名的DNS记录，发现未设置CAA字段，则为域名颁发证书。 这种情况下，任何CA机构均可为域名签发证书，存在HTTPS证书错误颁发的风险。 如果检查域名的DNS记录，在CAA字段发现获得授权，则为域名颁发证书。 如果检查域名的DNS记录，在CAA字段发现未获得授权，则拒绝为域名颁发证书，防止未授权HTTPS证书错误颁发。

视频直播 支持哪些区域？ 视频直播服务包含云直播和媒体直播，目前仅在下述区域部署了直播源站。 云直播：华北-北京四、亚太-新加坡 媒体直播：华北-北京四、亚太-新加坡、中东-利雅得 “华北-北京一”源站因资源有限，不再拓展新业务功能和新用户，只保障存量业务功能和用户。如果用户需要体验直播最新功能或业务量级较大，建议迁移至Live主用源站，即中国站用户可使用“华北-北京四”，国际站用户可使用“亚太-新加坡”。由于 华为云直播 的加速节点目前是覆盖中国大陆区域的，所以推流端所在区域不影响直播服务的使用。 父主题： 产品咨询

OBS支持使用HTTPS协议访问吗？ OBS对HTTPS的支持情况如下： OBS桶域名：支持，在浏览器中将桶或对象的URL的http替换成https即可。 OBS自定义域名：支持，如需使用请参见证书托管。 开启 CDN加速 后的OBS加速域名：支持，开启CDN加速后可通过CDN管理控制台进行HTTPS证书管理，即可使用HTTPS访问。CDN管理控制台HTTPS证书管理方式，详见HTTPS配置。 父主题： 产品咨询