基本概念 账号 用户注册华为云时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用创建的用户进行日常管理工作。 用户 由账号在 IAM 中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 华为云的区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 图1 项目隔离模型 父主题： 使用前必读

步骤一：创建空间 您可以在AI科学计算服务控制台创建新空间，并在空间范围内上传数据、创建作业等。“空间列表”展示了当前用户有权限访问的空间。 图1 创建新空间 创建新空间时可直接创建一个OBS桶，也可使用已有的桶。 图2 创建新空间2 创建桶的命名遵循obs桶命名规则： 需全局唯一，不能与已有的任何桶名称重复，包括其他用户创建的桶。用户删除桶后，立即创建同名桶或并行文件系统会创建失败，需要等待30分钟才能创建。 长度范围为3到63个字符，支持小写字母、数字、中划线（-）、英文句号（.）。 禁止两个英文句号（.）相邻，禁止英文句号（.）和中划线（-）相邻，禁止以英文句号（.）和中划线（-）开头或结尾。 禁止使用IP地址。 使用OBS桶存储数据会产生一定的费用，具体计费详情请参考 OBS计费说明。

步骤四：获取结果 查看运行结果。 可以以列表的形式查看分子优化的作业，单击左上角“下载”，下载分子优化的结果或者分子3D构象。如果分子设置了靶点，可以下载小分子或复合物，若分子未设置靶点，只能下载小分子。小分子支持SDF和PDB格式，复合物只支持PDB格式。 单击可以收藏结果，收藏后可直接在收藏夹页查看。 分子优化对应的下游分析为分子优化和分子搜索，如果分子设置了靶点，可以选择自由能微扰进行下游分析，通过单击“下游分析”可以进行创建。 如果分子设置了靶点，可以单击“下载3D”下载优化后的小分子或者复合物，如果分子未设置靶点，单击“下载3D”只能下载小分子。小分子支持SDF和PDB格式，复合物只支持PDB格式。 如果添加了靶点，支持按照相互作用力进行高级筛选，单击进行条件配置。 图14 查看结果（1） 图15 高级筛选 分子优化的结果可以查看原始配体和生成后的配体的结构以及属性值对比，可单击“对比”进行查看。可以直观地看到哪些属性变好了，哪些属性变坏了。 图16 属性对比 分子优化结果支持以卡片视图的形式进行查看，参考图18，在卡片视图中： 单击右上方的选择下拉框，可以选择分子的排序方式，将分子按照所选的排序方式进行展示。 图17 排序方式 单击每个分子卡片右上方的可以收藏结果，收藏后可直接在收藏夹页查看。 单击每个分子卡片右上方的，可以选择“查看详情”、“查看3D”、“下游分析”、“下载3D”。 查看详情：单击查看详情，跳转至分子详情页进行查看。 查看3D：查看分子的3D视图。 下游分析：分子优化对应的下游分析为分子优化和分子搜索，如果分子设置了靶点，可以选择自由能微扰进行下游分析，单击“确定”即可创建。 下载3D：如果分子设置了靶点，可以单击“下载3D”下载优化后的小分子或者复合物，如果分子未设置靶点，单击“下载3D”只能下载小分子。小分子下载支持SDF和PDB格式，复合物下载只支持PDB格式。 每个分子卡片上会展示相应分子序号与对应的参数Vina Score（有靶点）、Score、Similarity、QED、SaScore Vina Score：代表分子如果添加了靶点，将会计算对接结合能，并按照Vina Score进行排序。 Score：代表优化后小分子的综合打分。 Similarity：代表优化后的分子与原始分子的相似度。 QED：代表分子的成药性。 SaScore：代表合成可及性分数，旨在评估分子的合成难易程度。 图18 查看结果（2） 单击“查看3D”，可以看到分子的3D构象，如果设置了靶点，还可以看到优化后的小分子与靶点的结合构象。 如果上传了双靶点，可以通过切换来切换靶点，查看相应靶点和优化后分子的结合构象。如果设置了两个靶点会默认下载两个靶点的结果。 单击配体列表的可以收藏结果，收藏后可直接在收藏夹页查看。 图19 查看3D图 在查看3D的页面中，单击右侧的配体列表中，每个配体卡片右上角的，可以查看： 查看详情：可以查看每个分子的属性信息，score和similarity。 查看属性：查看每个配体的分子属性。 查看2D相互作用图：查看配体中分子之间的2D相互作用图，并且可以进行图片下载。 下游分析：分子优化对应的下游分析为分子搜索和分子优化，如果分子设置了靶点，可以选择自由能微扰进行下游分析，单击“确定”即可创建。 下载3D：选择下载小分子或者复合物后，单击“确定”，小分子支持SDF和PDB格式，复合物只支持PDB格式。 查看分子详情。 图20 查看分子详情 查看作业信息。 单击“作业信息”切换到作业信息页签，可以查看作业的分子信息、靶点信息与优化信息等。 图21 作业信息 聚类分析 目前分子优化返回的结果小分子数较多，无法进行批量分析，通过一些聚类的辅助方式能更好的选择分子。从每个类里挑选出一两个分子进行后续分析和验证，提高分析的效率和分析质量。也可以通过聚类找出一些关键的骨架，来进行下游分析或者优化等。 在输出结果页面左上角单击“聚类分析”后，系统开始进行分析，同时显示“聚类分析中”。 图22 聚类分析 待聚类分析完成后，单击“查看聚类结果”。进入聚类结果页。 在聚类结果页面，可以查看每个聚类的分子数量等信息。 图23 查看聚类结果 单击某个聚类的操作列的“查看详情”，即可进入聚类详情页面，聚类详情页支持以卡片、列表以及3D的形式查看。默认展示卡片页面，用户可自行进行切换。 每个结果页面只用进行一次聚类分析操作。 聚类结果是存成文件，如果文件被删或者获取不到的话会有警告， 聚类结果不存在。此时可以单击“重新聚类分析”。 如果聚类失败，根据提示失败原因解决问题后，可单击“重新聚类分析”。

上传对象至OBS桶 在OBS管理控制台桶列表中，单击待操作的桶，进入“概览”页面。 在左侧导航栏，单击“对象”。 单击“上传对象”，系统弹出“上传对象”对话框。 单击“添加文件”，选择待上传的文件后，单击“打开”。 在服务端加密行，选择目标加密方式，选择完成后，在下方的选择框中选择默认密钥或者自定义密钥，如图6所示。 图6 加密上传对象（已开启OBS桶加密） 开启OBS桶加密后，上传对象时默认开启继承桶的加密配置。 如果需要修改加密配置，需要手动关闭“继承桶的加密配置”选项，根据使用需求选择SSE-KMS或SSE-OBS加密方式。 图7 加密上传对象（未开启OBS桶加密） 未开启OBS桶加密在上传对象时需要手动开启服务端加密。 对象上传成功后，可在对象列表中查看对象的加密状态。 对象的加密状态不可以修改。 使用中的密钥不可以删除，如果删除将导致加密对象不能下载。

应用场景 KMS可以对OBS桶中的对象进行全量加密或者部分加密，在OBS服务使用KMS加密过程中，KMS提供的信封加密能力使数据加解密操作无需通过网络传输大量数据即可完成。信封加密方式有效保障了数据传输的加密性、数据解密的效率和便捷性，在对象上传和下载过程中，保证信息安全。 全量加密：指对OBS桶内上传的所有对象进行加密。 此时，您只需要对OBS桶加密，桶中上传的对象会默认继承OBS桶的加密配置。具体操作请参见加密OBS桶：创建OBS桶时开启服务端加密功能或者加密OBS桶：为已创建的OBS桶开启加密。 开启OBS桶加密后，上传对象时默认开启“继承桶加密配置”加密方式，此时桶中的对象和OBS桶采用相同的加密方式；如需修改桶中对象的加密方式，需要在上传对象时手动关闭“继承桶加密配置”开关，然后修改。具体操作请参见上传对象至OBS桶。 部分加密：指对OBS桶内上传的部分对象进行加密。 此时不需要对OBS桶进行加密，直接上传对象到OBS桶并进行加密配置。具体操作请参见上传对象至OBS桶。 图1 加密OBS

方案架构 OBS中上传对象的加解密原理说明如下： 加密原理 图2 加密原理 获取加密密钥 通过KMS，生成一个用于加密OBS桶内对象的 数据加密 密钥。 加密数据上传至OBS桶 加密SDK通过获取的数据加密密钥，对上传的数据明文进行加密处理，将被加密的对象密文存储到OBS。 解密原理 图3 解密原理 下载对象 通过OBS，下载被加密的对象数据。 解密对象 被加密对象通过加密SDK获取对应的密文数据密钥，通过KMS，进行密文数据密钥的解密操作，获得被解密后的原始对象。

用户权限说明 安全管理员（拥有“Security Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分： 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。 对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

使用KMS加密云硬盘（控制台） 登录管理控制台。 单击页面右上角“购买磁盘”，进入“购买磁盘”页面。 配置“加密”参数。 展开“更多”，出现“加密”勾选框。 图1 展开更多 创建委托。 勾选“加密”，如果当前未授权EVS访问KMS，则会弹出“创建委托”对话框，单击“是”，授权EVS访问KMS，当授权成功后，EVS可以获取KMS密钥用来加解密云硬盘。 当您需要使用云硬盘加密功能时，需要授权EVS访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权，然后再重新操作。 勾选“加密”，出现“加密设置”页面。 图2 “加密设置”页面。 在KMS加密行选择密钥输入方式。 从KMS密钥中选择 单击密钥名称所在行的，选择用于数据加密的密钥名称。 密钥名称是密钥的标识，您可以选择使用的密钥如下： 默认密钥：成功授权EVS访问KMS，系统会创建默认密钥“evs/default”。 自定义密钥：即您已有的密钥或者新创建密钥，具体请参见创建密钥。 用户可单击密钥名称所在行的“查看密钥列表”查看密钥。 单击“确定”，完成加密配置。 输入KMS密钥ID 图3 输入KMS密钥ID页面 在输入密钥行输入用于数据加密的密钥ID。 单击“确定”，完成加密配置。 完成其他参数配置后，单击“立即购买”，完成EVS服务端加密配置。

使用KMS加密云硬盘（控制台） 登录EVS管理控制台。 单击页面右上角“购买磁盘”，进入“购买磁盘”页面。 配置“加密”参数。 展开“更多”，出现“加密”勾选框。 图1 展开更多 创建委托。 勾选“加密”，如果当前未授权EVS访问KMS，则会弹出“创建委托”对话框，单击“是”，授权EVS访问KMS，当授权成功后，EVS可以获取KMS密钥用来加解密云硬盘。 当您需要使用云硬盘加密功能时，需要授权EVS访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权，然后再重新操作。 设置加密参数。 勾选“加密”，如果已经授权，系统弹出“加密设置”对话框。 图2 加密设置 密钥名称是密钥的标识，您可以通过“密钥名称”下拉框选择需要使用的密钥。您可以选择使用的密钥如下： 默认主密钥：成功授权EVS访问KMS，系统会创建默认主密钥“evs/default”。 用户主密钥：即您已有的密钥或者新创建密钥，具体请参见创建密钥。 根据界面提示，配置云硬盘的其他基本信息。详细参数说明请参见购买云硬盘。

云硬盘加密的密钥 加密云硬盘使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)： 默认主密钥：由EVS通过KMS自动创建的密钥，名称为“evs/default”。 默认主密钥不支持禁用、计划删除等操作。 用户主密钥：由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥，具体请参见创建密钥。 使用用户主密钥加密云硬盘，如果对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，具体请参见表1。 表1 用户主密钥不可用对加密云硬盘的影响 用户主密钥的状态 对加密云硬盘的影响 恢复方法 禁用 如果加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 如果卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥，具体请参见启用密钥。 计划删除 取消删除用户主密钥，具体请参见取消删除密钥。 已经被删除 云硬盘数据永远无法恢复。 用户主密钥为付费使用，如果为按需计费的密钥，请及时充值确保账户余额充足，如果为包年/包月的密钥，请及时续费，以避免加密云硬盘不可读写导致业务中断，甚至数据永远无法恢复。

方式二：通过加密弹性云服务器创建加密镜像 用户选择弹性云服务器创建私有镜像时，如果该云服务器的系统盘已加密，那么使用该云服务器创建的私有镜像也是加密的。镜像加密使用的密钥为创建该系统盘时使用的密钥。 EVS系统盘加密，详见EVS服务端加密。 购买弹性云服务器，“磁盘类型”选择步骤 1中已加密的系统盘。 创建私有镜像。进入IMS管理控制台，选择“私有镜像”页签，在页面右上角，单击“创建私有镜像”。 “创建方式”：选择“创建私有镜像”。 “镜像类型”：选择“系统盘镜像”。 “选择镜像源”：在“云服务器”列表中，选择步骤 2中购买的弹性云服务器。 其他参数：具体配置详见注册镜像。 图3 创建私有镜像 单击“下一步”，根据界面提示完成操作。

资源与成本规划 表1 资源和成本规划 资源 资源说明 每月费用 OBS桶 计费模式：包年/包月 资源包类型：标准存储多AZ包 规格：100G 购买数量：1 具体的计费方式及标准请参考计费说明。 IMS 镜像服务 镜像类型：系统盘镜像 计费模式：免费 免费。具体的计费方式及标准请参考计费说明。 密钥管理服务 计费模式：按需计费 密钥类型：默认密钥。此处为“ims/default” 具体的计费方式及标准请参考计费说明。

应用场景 IMS服务端（即镜像)，是用于创建服务器或磁盘的模板，分为公共镜像、私有镜像、共享镜像、市场镜像。IMS创建私有镜像时，支持KMS加密，确保IMS服务端镜像数据安全性。 用户可以通过以下两种方式，创建加密镜像： 方式一：通过外部镜像文件创建加密镜像 用户使用OBS桶中已上传的外部镜像文件创建私有镜像，可以在注册镜像时选择KMS加密及密钥完成镜像加密。 方式二：通过加密弹性云服务器创建加密镜像 用户选择弹性云服务器创建私有镜像时，如果该云服务器的系统盘已加密，那么使用该云服务器创建的私有镜像也是加密的。加密镜像使用的密钥和系统盘的密钥保持一致。 本实践为您讲解如何通过KMS提供的默认密钥，为IMS镜像文件加密。

方式一：通过外部镜像文件创建加密镜像 准备符合平台要求的外部镜像文件。 Windows私有镜像：参考创建Windows私有镜像准备工作完成相关操作。 Linux私有镜像：参考创建Linux私有镜像准备工作完成相关操作。 上传外部镜像文件到OBS个人桶中，请参考上传镜像文件。 创建私有镜像。选择“私有镜像”页签，在页面右上角，单击“创建私有镜像”。 “创建方式”：选择“导入私有镜像”。 “镜像类型”：选择“系统盘镜像”。 “选择镜像文件”：选择步骤 2中保存镜像文件的桶。 “加密”：勾选“KMS加密”。默认为“从KMS密钥中选择”，“密钥名称”默认选择“ims/default”。 其他参数：具体配置详见注册镜像。 图2 加密配置 使用镜像创建弹性云服务器。 请按照通过镜像创建云服务器中的操作指导创建弹性云服务器。 在配置参数时，需要注意以下几点： “区域”：必须选择私有镜像所在的区域。 “规格”：在选择规格时，需要结合镜像的操作系统类型以及弹性云服务器类型与支持的操作系统版本了解支持选择的规格范围。 “镜像”：选择“私有镜像”，并在下拉列表中选择步骤 3中所创建的私有镜像。 （可选）数据盘：添加数据盘，该数据盘使用随系统盘镜像一起创建出来的数据盘镜像来创建，这样便可以将原平台虚拟机的系统盘和数据盘数据一起迁移到当前云平台。

查看某个节点属性 登录iDEE控制台。 在“几何数据转换服务”所在行，单击“访问服务网址”，进入iDEE业务面。 在左侧导航栏中，单击“工作台”，进入“工作台”页面。 选择待操作的模型文件，单击“在线查看”，进入该模型文件的在线可视化页面。 在左侧结构树中，选择对应节点名称，单击右上方的“查看属性”。 图1 查看某个节点属性 在弹出的“属性”窗口中，您可以查看到如下信息。 图2 属性信息 表1 属性信息参数说明 参数 说明 单位 当您希望验证选择节点的计算体积、计算表面积和计算质心等属性的值时，您可以在此配置项中指定模型文件的单位属性。 目前支持选择毫米（mm）、厘米（cm）、米（m）、英寸（in）、英尺（ft）和码（yd）。 基本 基本属性包括选中节点对应模型组件的名称和类型。 验证 选择指定单位属性后，系统会自动帮您计算选中节点对应模型组件的体积、表面积和质心。 自定义 展示当前选中节点对应模型组件定义的一些额外信息。例如，模型组件需要添加零件或装配体的特定信息（如材料、重量、生产日期等）。