什么是VPC、VPN网关、VPN连接？ VPC：虚拟私有云是指云上隔离的、私密的虚拟网络环境，用户可通过 虚拟专用网络 （VPN）服务，安全访问云上虚拟网络内的主机（E CS ）。 VPN网关：虚拟私有云中建立的出口网关设备，通过VPN网关可建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。 VPN连接：是一种基于Internet的IPsec加密技术，帮助用户快速构建VPN网关和用户数据中心的远端网关之间的安全、可靠的加密通道。 云上建立VPN网络分为以下两个步骤： 创建VPN网关：创建VPN网关指明了VPN互联的本地VPC，同时创建连接带宽和网关IP。 VPN连接：创建VPN连接指明了与客户侧对接的网关IP、子网和协商策略信息。 父主题： 产品咨询

云数据库 RDS for MariaDB支持跨AZ高可用吗 云数据库 RDS for MariaDB支持跨AZ高可用。当用户购买实例的时候，选择主备实例类型，可以选择主可用区和备可用区不在同一个可用区（AZ）。 云数据库 RDS for MariaDB暂不支持3AZ部署方式。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。有的区域支持单可用区和多可用区，有的区域只支持单可用区。 例如：北京一的客户，VPC子网部署在可用区三，购买RDS主备实例时选择可用区一、可用区二也是可以的，这三个可用区之间是互通的。 为了达到更高的可靠性，即使您选择了单可用区部署主实例和备实例，RDS也会自动将您的主实例和备实例分布到不同的物理机上。在专属计算集群中创建主备实例时，如果您的专属计算集群中只有一台物理机，并且将主机和备机划分在同一可用区内，将会导致主备实例创建失败。 云数据库 RDS for MariaDB服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 相同，主机和备机会部署在同一个可用区，出现可用区级故障无法保障高可用性。 父主题： 产品咨询

KPS支持的密码算法 通过管理控制台创建的SSH密钥对支持的加解密算法为： SSH-ED25519 ECDSA-SHA2-NISTP256 ECDSA-SHA2-NISTP384 ECDSA-SHA2-NISTP521 SSH_RSA有效长度为：2048，3072，4096 通过外部导入的SSH密钥对支持的加解密算法为： SSH-DSS SSH-ED25519 ECDSA-SHA2-NISTP256 ECDSA-SHA2-NISTP384 ECDSA-SHA2-NISTP521 SSH_RSA有效长度为：2048，3072，4096

KMS支持的密钥算法 KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。 表1 KMS支持的密钥算法类型 密钥类型 算法类型 密钥规格 说明 适用场景 对称密钥 AES AES_256 AES对称密钥 数据的加解密 加解密数据密钥 说明： 小量数据的加解密可通过控制台在线工具进行。 大量数据的加解密需要调用API接口进行。 对称密钥 SM4 SM4 国密SM4对称密钥 数据的加解密 加解密数据密钥 摘要密钥 SHA HMAC_256 HMAC_384 HMAC_512 摘要密钥 数据防篡改 数据完整性校验 摘要密钥 SM3 HMAC_SM3 国密SM3摘要密钥 数据防篡改 数据完整性校验 非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥 数字签名和验签 数据的加解密 说明： 非对称密钥适用于签名和验签场景，加密数据效率不高，加解密数据推荐使用对称密钥。 非对称密钥 ECC EC_P256 EC_P384 椭圆曲线密码，使用NIST推荐的椭圆曲线 数字签名和验签 非对称密钥 ML-DSA 说明： ML-DSA算法需提交工单申请开通。 ML-DSA-44 ML-DSA-65 ML-DSA-87 机器学习（ML）算法 抗量子数字签名和验签 非对称密钥 SM2 SM2 国密SM2非对称密钥 数字签名和验签 小量数据的加解密 通过外部导入的密钥支持的密钥包装加解密算法如下表所示。 表2 密钥包装算法说明 密钥包装算法 说明 设置 RSAES_OAEP_SHA_256 具有“SHA-256”哈希函数的OAEP的RSA加密算法。 请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法，推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。 须知： “RSAES_OAEP_SHA_1”加密算法已经不再安全，请谨慎选择。 RSAES_OAEP_SHA_1 具有“SHA-1”哈希函数的OAEP的RSA加密算法。 SM2_ENCRYPT 国密推荐的SM2椭圆曲线公钥密码算法。 请在支持国密的局点使用SM2加密算法。

如何避免频繁登录CodeArts？ CodeArts采用华为云统一的会话超时策略，会话超时时长默认为1个小时。 当用户超过设置的时长未操作界面，会话将会失效，需要重新登录。 管理员可以通过 统一身份认证 服务（ IAM ）的“安全设置”页面设置会话超时策略。 登录华为云控制台，鼠标移动至右上方的用户名，选择“安全设置”。 单击“登录验证策略”页签，在页面中找到“会话超时策略”，根据需要设置时长，可以在15分钟~24小时之间进行设置。 在页面底部单击“应用”。 如果需要配置更多登录验证策略，请参考登录验证策略。 父主题： 整体咨询类问题

Anti-DDoS流量清洗可以提供哪些数据？ 您可以查看Anti-DDoS监控报表，查看单个公网IP的监控详情，包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。 您可以查看Anti-DDoS拦截报告，查看所有公网IP的防护统计信息，包括清洗次数、清洗流量，以及弹性云服务器、弹性负载均衡或裸金属服务器被攻击次数Top10排名和共拦截攻击次数。 您可以为Anti-DDoS开启告警通知，当公网IP遭受攻击时，您可以及时收到通知。否则，无论攻击流量多大，您都只能登录管理控制台自行查看，无法收到告警信息。 父主题： 产品咨询类

什么是区域、可用分区？ 区域和可用分区用来描述数据中心的位置，您可以在特定的区域、可用分区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用分区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用分区之间的关系。 图1 区域和可用分区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用分区。更多信息请参见华为云全球站点。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。 中国香港、曼谷等其他地区和国家提供国际带宽，主要面向非中国大陆地区的用户。如果您或者您的目标用户在中国大陆，使用这些区域会有较长的访问时延，不建议使用。 在除中国大陆以外的亚太地区有业务的用户，可以选择“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

华为云云解析服务提供的内网 DNS地址 是多少？ 内网DNS是华为云云解析服务提供的专门用于在VPC内使用的DNS，主要负责： 处理内网 域名 以及其他云服务域名（如OBS）的解析请求。 代理其他互联网域名的解析请求，目前支持的记录集类型：A、CNAME、MX、AAAA、TXT、SRV、NS、SOA、PTR。 华为云的内网DNS与公共DNS（114.114.114.114）相比，有以下优势： 可以解析基于VPC创建的内网域名。 可以访问华为云服务内部地址，例如OBS， SMN 等。 可以使ECS不用绑定EIP访问互联网域名解析记录。 华为云提供的内网DNS地址如表1所示。 建议ECS所在VPC子网的“DNS服务器地址”配置为各区域的内网DNS地址，详细内容请参见怎样切换内网DNS？。 各区域的内网DNS地址如表1所示。 如果“DNS服务器地址”配置为其他外部DNS，则ECS对华为云云服务的访问会解析到公网IP，可能产生额外的公网流量费用。 当ECS访问第三方互联网域名时，华为云内网DNS承担递归DNS角色，由域名的权威DNS返回最终解析结果。解析结果是否可靠或者最优，依赖第三方域名权威DNS等不可控因素。建议ECS尽量访问云服务的内网域名。 华为云内网DNS递归解析第三方互联网域名时，出口是动态BGP线路的IP。当您通过静态BGP EIP访问时，存在访问时延非最优的情况，如您对第三方域名访问时延有要求，建议使用全动态BGP线路EIP。 表1 内网DNS地址 区域 内网DNS地址 华北-北京一 100.125.1.250 100.125.21.250 华北-北京四 100.125.1.250 100.125.129.250 华北-乌兰察布一 100.125.1.250 100.125.107.250 西南-贵阳一 100.125.1.250 100.125.129.250 华南-广州 100.125.1.250 100.125.136.29 华东-上海一 100.125.1.250 100.125.64.250 华东-上海二 100.125.17.29 100.125.135.29 华东-青岛 100.125.251.249 100.125.251.250 华东二 100.125.248.9 100.125.248.10 华南-深圳 100.125.1.250 100.125.1.111 华南-广州-友好用户环境 100.125.0.167 中国-香港 100.125.1.250 100.125.3.250 亚太-曼谷 100.125.1.250 100.125.1.251 亚太-新加坡 100.125.1.250 100.125.128.250 亚太-雅加达 100.125.2.250 100.125.2.251 亚太-马尼拉 100.125.241.9 100.125.241.10 非洲-约翰内斯堡 100.125.1.250 100.125.1.14 非洲-开罗 100.125.251.249 100.125.251.250 土耳其-伊斯坦布尔 100.125.2.250 100.125.2.251 拉美-圣地亚哥 100.125.1.250 100.125.0.250 拉美-圣保罗一 100.125.1.22 100.125.1.90 拉美-墨西哥城一 100.125.1.22 100.125.1.90 拉美-墨西哥城二 100.125.1.250 100.125.1.242 中东-利雅得 100.125.250.249 100.125.250.250 俄罗斯-莫斯科二 100.125.1.250 100.125.129.250 华北-北京金融二 （金融专区） 100.125.0.80 华东专区-上海金融一 （金融专区） 100.125.12.250 100.125.10.50 父主题： 产品咨询类

什么是华为 云存储 规划与设计服务？ 在数据量激增和数据类型逐渐复杂化的今天，媒体，互联网，汽车等行业对于推动数据上云的诉求呈现爆发式增长。但云存储架构的复杂性、存储方案选型的技术门槛以及性能优化经验的缺乏，导致企业在云化转型过程中面临诸多实施障碍，急需专业服务来诊断并解决数据上云过程中的痛点。 华为云存储规划与设计服务，在客户上云前针对客户业务为客户提供云存储产品的使用规划与设计建议，包括选型与开发两方面，帮助客户提升上云前存储服务使用体验和降低综合成本。 父主题： 关于服务咨询

DDoS原生标准版、DDoS原生防护-全力防基础版、DDoS原生防护-全力防高级版功能规格有哪些差异？ DDoS原生高级防护支持DDoS原生标准版、DDoS原生防护-全力防基础版、DDoS原生防护-全力防高级版三种服务版本。各服务版本的功能规格说明，请参见表1。 DDoS原生高级防护只能防护相同区域的云资源，不能跨区域（Region）防护。 表1 DDoS原生高级防护业务规格 规格 DDoS原生标准版 DDoS原生防护-全力防基础版 DDoS原生防护-全力防高级版 原生防护2.0 计费模式 包年包月 包年包月 包年包月 包年包月+按需计费 带宽类型 云原生网络，多线BGP。 云原生网络，全动态BGP（不支持静态BGP）。 云原生网络，多线BGP。 云原生网络，全动态BGP（不支持静态BGP）。 防护能力 20G 共享全力防护，不低于20G。 共享全力防护，最高可达1T。 中国大陆：共享全力防护，不低于20G。 中国大陆外：运营商跨境防护。 防护IP数 1个 范围为50～500，且防护IP数必须设置为5的倍数。 范围为50～500，且防护IP数必须设置为5的倍数。 50-1000个，且防护IP数必须设置为50的倍数。 防护次数 10次（超过10次后将不再防护）。 不限次数 不限次数 不限次数 IP更换次数 5次，防护包中IP每天可以更换一次，每月更换5次。 不支持 不支持 不支持 业务带宽 默认提供100Mbps业务带宽。 最低100M，最大支持上限20,000Mbps。 最大支持10,000Mbps。 最大支持20,000Mbps。 父主题： 功能咨询

DDoS高防支持多个账号共享使用吗？ DDoS高防支持多个账号或多个IAM用户共享使用，说明如下： 多个账号共享使用 例如，您通过注册华为云创建了2个账号（“domain1”和“domain2”），如果您将“domain1”的权限委托给“domain2”，则“domain2”可以使用“domain1”的DDoS高防实例。 有关委托管理的详细操作，请参见创建委托。 多个IAM用户共享使用 例如，您通过注册华为云创建了1个账号（“domain1”），且由“domain1”账号在IAM中创建了2个IAM用户（“sub-user1a”和“sub-user1b”），如果您授权了“sub-user1b”用户DDoS高防的权限策略，则“sub-user1b”用户可以使用“sub-user1a”用户的DDoS高防实例。 有关DDoS高防权限管理的详细操作，请参见创建用户并授权使用AAD。 父主题： 产品咨询

CAA记录 CAA记录由一个[flag]标志字节和一个被称为属性的[tag]-[value]标（标签-值）对组成，可以将多个CAA字段添加到域名的DNS记录中。 表1 CAA记录配置规则 场景 说明 示例 设置单域名CAA记录 0 issue "ca.example.com" 该字段表示只有ca.example.com可以为域名domain.com颁发证书，未经授权的第三方CA机构申请域名domain.com的HTTP证书将被拒绝。 0 issue ";" 该字段表示拒绝任何CA机构为域名domain.com颁发证书。 设置发送警报通知 0 iodef "mailto:admin@domain.com" 该字段用于当第三方尝试为一个未获得授权的域名申请证书时，通知CA机构向网站所有者发送警报邮件。 0 iodef "http:// domain.com/log/" 0 iodef "https:// domain.com/log/" 该字段用于记录尝试在其他CA申请HTTPS证书的行为。 设置颁发通配符域名证书 0 issuewild "ca.example.com" 该字段用于将通配符证书的颁发权限指定CA机构ca.example.com。 综合配置样例 0 issue "ca.abc.com" 0 issuewild "ca.def.com" 0 iodef "mailto:admin@domain.com" 该字段表示域名domain.com： 授权CA机构ca.abc.com颁发不限类型的证书。 授权CA机构ca.def.com颁发通配符证书。 禁止其他CA机构颁发证书。 当有违反设置规则的情况发生，CA机构发送通知邮件到admin@domain.com。

CAA标准 CAA标准是指域名所有者在其域名DNS记录的CAA字段中，授权指定的CA机构为其域名颁发证书。 全球约有上百个CA机构有权发放HTTPS证书，证明您网站的身份。CAA标准可以使网站将指定CA机构列入白名单，仅授权指定CA机构为网站的域名颁发证书，防止HTTPS证书错误颁发。设置CAA记录是提高网站安全性的方法之一。 CA机构在为域名签发证书时执行CAA强制性检查： 如果检查域名的DNS记录，发现未设置CAA字段，则为域名颁发证书。 这种情况下，任何CA机构均可为域名签发证书，存在HTTPS证书错误颁发的风险。 如果检查域名的DNS记录，在CAA字段发现获得授权，则为域名颁发证书。 如果检查域名的DNS记录，在CAA字段发现未获得授权，则拒绝为域名颁发证书，防止未授权HTTPS证书错误颁发。

物联网上云与实施服务的服务内容和服务场景？ 物联网集成与开发服务 服务类型 服务内容 典型应用场景 DRIS路网模型构建服务 构建可计算路网模型。 10人天/50公里 交通物联网场景 DRIS路网模型训练&调优服务-单模型 提供初次训练与额外6次训练服务和算法调优服务，一年内有效-每套 交通物联网场景 IIoT模型开发服务 模型开发支持服务-不超过50个模型或不超过50人天现场，一年内有效-每套 泛工业物联网场景 IIoT数据开发服务 数据开发支持服务-不超过50个模型或不超过55人天现场，一年内有效-每套 泛工业物联网场景 IIoT开发支持服务-增量包 开发支持服务-增量包-不超过10人天现场-一年内有效-每套 泛工业物联网场景 IIoT应用适配开发支持服务 应用适配开发支持服务-不超过20人天现场-一年内有效-每套 泛工业物联网场景 线下技术咨询（一周） 提供线下不超过7人天的技术服务。 泛城市、园区等物联网 设备操作系统适配集成服务 将OpenHarmony操作系统及IoT增强SDK进行设备适配支持。1款设备/10人天支持服务。 泛城市、园区等物联网 设备操作系统适配集成服务-增量包 将OpenHarmony操作系统及IoT增强SDK进行设备适配支持。1人天集成服务。 泛城市、园区等物联网 数字工厂模型配置与数据实施服务-小规格 完成1个业务功能模块的需求调研，模型设计，模型配置，测试验证，试运行支持和培训。实施的总模型数不超过20个。 数字工厂场景 数字工厂模型配置与数据实施服务-中规格 完成2个业务功能模块的需求调研，模型设计，模型配置，测试验证，试运行支持和培训。实施的总模型数不超过50个。 数字工厂场景 数字工厂模型配置与数据实施服务-大规格 完成5个业务功能模块的需求调研，模型设计，模型配置，测试验证，试运行支持和培训。实施的总模型数不超过150个。 数字工厂场景 数字工厂模型配置与数据实施服务-增量包 完成2个模型的实施工作，包括需求调研，模型设计，模型配置，测试验证，试运行支持和培训。 数字工厂场景 物联网技术管理服务 负责项目中物联网的交付现场支持，提供现场伙伴管理，制定交付计划、跟踪监控与评估项目进度、识别交付风险，汇报项目进展等服务一年有效，上门不超过5次 所有场景 物联网实施服务 服务类型 服务内容 典型应用场景 DRIS实施服务-新建 提供DRIS服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 交通物联网场景 DRIS实施服务-扩容 提供DRIS服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 交通物联网场景 IoTDA企业版实施服务-新建 提供IoTDA企业版（1万设备以上）服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 泛城市、园区等物联网场景 IoTDA企业版实施服务-扩容 提供IoTDA企业版（1万设备以上）服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 泛城市、园区等物联网场景 IoTDA基础版实施服务-新建 提供IoTDA基础版（少于1万设备）服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 泛城市、园区等物联网场景 IoTDA基础版实施服务-扩容 提供IoTDA基础版（少于1万设备）服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 泛城市、园区等物联网场景 IoTEdge实施服务-站点级新建 提供IoTEdge服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 泛城市、园区等物联网场景 IoTEdge实施服务-站点级扩容 提供IoTEdge服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 泛城市、园区等物联网场景 IIoT实施服务-新建 提供IIoT服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 泛工业物联网场景 IIoT实施服务-扩容 提供IIoT服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 泛工业物联网场景 数字工厂实施服务-新建 提供数字工厂服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 数字工厂场景 数字工厂实施服务-扩容 提供数字工厂服务在客户现场网络方案设计、安装部署、系统配置、业务测试验收等实施服务 数字工厂场景 物联网边缘集成对接服务 服务名称 服务内容 适用场景 物联网边缘子系统对接服务 提供设备子系统的集成对接服务，常见子系统包括：电能、暖通空调、冷源、给排水、门禁、消防、照明、停车等； 1个系统不超过10000点位，超过点位数限制则叠加个数计算。 泛城市、园区等物联网场景 工业子系统集成服务 工业子系统集成服务（5个接入点） 泛工业物联网场景 工业子系统集成服务-增量包 增量包，每次叠加1个接入点，首次不能单独购买，必须购买规格套餐。 泛工业物联网场景 专家现场实施服务 组网规划、现场培训、新增设备现场实施等专业服务；找点位、现场调研、设备建模等人力投入。 所有场景 OT设备集成服务 工业网关在客户现场实施部署，完成OT设备数据采集服务的实施对接，一个OT设备默认不超过1000个点位，超过则叠加个数计算；按OT设备个数计费，包含硬件部署、软件安装、现场调试与交付。 泛工业物联网场景 OT系统集成服务 OT系统数采，包含软件安装、现场调试与交付，一个OT系统默认不超过10000个点位，超过则叠加个数计算；按OT系统个数计费，包含部署、软件安装、现场调试与交付。 泛工业物联网场景 父主题： 关于服务咨询