华为云用户手册

开发环境Notebook 开发环境的Notebook，根据不同的工作环境，对应支持的镜像和版本有所不同。 表3 Notebook支持的镜像 镜像名称 镜像描述 适配芯片 支持SSH远程开发访问 支持在线JupyterLab访问 pytorch1.8-cuda10.2-cudnn7-ubuntu18.04 CPU、GPU通用算法开发和训练基础镜像，预置AI引擎PyTorch1.8 CPU/GPU 是 是 mindspore1.7.0-cuda10.1-py3.7-ubuntu18.04 CPU and GPU general algorithm development and training, preconfigured with AI engine MindSpore1.7.0 and cuda 10.1 CPU/GPU 是 是 mindspore1.7.0-py3.7-ubuntu18.04 CPU general algorithm development and training, preconfigured with AI engine MindSpore1.7.0 CPU 是 是 pytorch1.10-cuda10.2-cudnn7-ubuntu18.04 CPU and GPU general algorithm development and training, preconfigured with AI engine PyTorch1.10 and cuda10.2 CPU/GPU 是 是 tensorflow2.1-cuda10.1-cudnn7-ubuntu18.04 CPU、GPU通用算法开发和训练基础镜像，预置AI引擎TensorFlow2.1 CPU/GPU 是 是 tensorflow1.13-cuda10.0-cudnn7-ubuntu18.04 GPU通用算法开发和训练基础镜像，预置AI引擎TensorFlow1.13.1 GPU 是 是 conda3-ubuntu18.04 Clean user customized base image only include conda CPU 是 是 pytorch1.4-cuda10.1-cudnn7-ubuntu18.04 CPU、GPU通用算法开发和训练基础镜像，预置AI引擎PyTorch1.4 CPU/GPU 是 是 conda3-cuda10.2-cudnn7-ubuntu18.04 Clean user customized base image include cuda10.2, conda CPU 是 是 tensorflow1.15-mindspore1.7.0-cann5.1.0-euler2.8-aarch64 Ascend+ARM算法开发和训练基础镜像，AI引擎预置TensorFlow和MindSpore Ascend 是 是 modelbox1.3.0-tensorrt7.1.3-cuda10.2-cudnn8-euler2.9.6 AI应用开发基础镜像，预置AI应用编排引擎ModelBox、AI引擎TensorRT，仅支持SSH连接 GPU 是 否 modelbox1.3.0-libtorch1.9.1-cuda10.2-cudnn8-euler2.9.6 AI应用开发基础镜像，预置AI应用编排引擎ModelBox、AI引擎LibTorch，仅支持SSH连接 GPU 是 否 spark2.4.5-ubuntu18.04 CPU algorithm development and training, prebuilt PySpark 2.4.5 and is able to attach to preconfigured spark cluster including MRS and DLI . CPU 否 是 mlstudio-pyspark2.3.2-ubuntu16.04 CPU算法开发和训练基础镜像，包含可以图形化机器学习算法开发和调测MLStudio工具，并预置PySpark2.3.2 CPU 否 是 mindspore_1.10.0-cann_6.0.1-py_3.7-euler_2.8.3 Ascend+ARM algorithm development and training. MindSpore is preset in the AI engine. Ascend 是 是 mindspore_1.9.0-cann_6.0.0-py_3.7-euler_2.8.3 Ascend+ARM algorithm development and training. MindSpore is preset in the AI engine. Ascend 是 是 mindspore1.7.0-cann5.1.0-py3.7-euler2.8.3 Ascend+ARM算法开发和训练基础镜像，AI引擎预置MindSpore Ascend 是 是 tensorflow1.15-cann5.1.0-py3.7-euler2.8.3 Ascend+ARM算法开发和训练基础镜像，AI引擎预置TensorFlow Ascend 是 是 mlstudio-pyspark2.4.5-ubuntu18.04 CPU算法开发和训练基础镜像，包含可以图形化机器学习算法开发和调测MLStudio工具，并预置PySpark2.4.5 CPU 否 是 mindspore1.2.0-cuda10.1-cudnn7-ubuntu18.04 GPU算法开发和训练基础镜像，预置AI引擎MindSpore-GPU GPU 是 是 rlstudio1.0.0-ray1.3.0-cuda10.1-ubuntu18.04 CPU、GPU强化学习算法开发和训练基础镜像，预置AI引擎 CPU/GPU 是 是 mindquantum0.9.0-mindspore2.0.0-cuda11.6-ubuntu20.04 MindSpore2.0.0 and MindQuantum0.9.0 CPU 是 是 mindspore1.2.0-openmpi2.1.1-ubuntu18.04 CPU算法开发和训练基础镜像，预置AI引擎MindSpore-CPU CPU 是 是 cylp0.91.4-cbcpy2.10-ortools9.0-cplex20.1.0-ubuntu18.04 CPU运筹优化求解器开发基础镜像，预置cylp，cbcpy，ortools及cplex CPU 是 是

统一镜像列表 ModelArts提供了ARM+Ascend规格的统一镜像，包括MindSpore、PyTorch。适用于开发环境，模型训练，服务部署，请参考统一镜像列表。表1、表2所示镜像仅发布在西南-贵阳一区域。 表1 MindSpore 预置镜像 适配芯片 适用范围 mindspore_2.2.0-cann_7.0.1-py_3.9-euler_2.10.7-aarch64-snt9b Ascend snt9b Notebook、训练、推理部署 mindspore_2.1.0-cann_6.3.2-py_3.7-euler_2.10.7-aarch64-snt9b Ascend snt9b Notebook、训练、推理部署 mindspore_2.2.10-cann_7.0.0-py_3.9-hce_2.0.2312-aarch64-snt9b Ascend snt9b Notebook、训练、推理部署 表2 PyTorch 预置镜像 适配芯片 适用范围 pytorch_1.11.0-cann_6.3.2-py_3.7-euler_2.10.7-aarch64-snt9b Ascend snt9b Notebook、训练、推理部署 pytorch_2.1.0-cann_7.0.0-py_3.9-hce_2.0.2312-aarch64-snt9b Ascend snt9b Notebook、训练、推理部署 pytorch_1.11.0-cann_7.0.0-py_3.9-hce_2.0.2312-aarch64-snt9b Ascend snt9b Notebook、训练、推理部署

使用 自定义镜像 创建训练作业（Ascend） 如果Ascend-Powered-Engine预置镜像无法满足您的需求，您可以构建一个自定义镜像，通过自定义镜像创建训练作业。Ascend自定义镜像训练作业创建流程与CPU/GPU一致，但是需要额外关注： Ascend HCCL RANK_TABLE_FILE文件说明 Ascend HCCL RANK_TABLE_FILE文件提供Ascend分布式训练作业的集群信息，用于Ascend芯片分布式通信，可以被HCCL集合通信库解析。该文件格式有两个版本，分别为模板一、模板二。当前ModelArts提供的是模板二格式。 ModelArts训练环境的Ascend HCCL RANK_TABLE_FILE文件名为jobstart_hccl.json。获取方式参考表1 。 ModelArts训练环境jobstart_hccl.json文件内容（模板二）示例 { "group_count": "1", "group_list": [{ "device_count": "1", "group_name": "job-trainjob", "instance_count": "1", "instance_list": [{ "devices": [{ "device_id": "4", "device_ip": "192.1.10.254" }], "pod_name": "jobxxxxxxxx-job-trainjob-0", "server_id": "192.168.0.25" }] }], "status": "completed" } jobstart_hccl.json文件中的status字段的值在训练脚本启动时，并不一定为completed状态。因此需要训练脚本等待status字段的值等于completed之后，再去读取文件的剩余内容。 如果算法开发者期望使用模板一格式的jobstart_hccl.json文件，可以使用训练脚本，在等待status字段的值等于completed之后，将模板二格式jobstart_hccl.json文件转换为模板一格式的jobstart_hccl.json文件。 转换后的jobstart_hccl.json文件格式（模板一）示例 { "server_count": "1", "server_list": [{ "device": [{ "device_id": "4", "device_ip": "192.1.10.254", "rank_id": "0" }], "server_id": "192.168.0.25" }], "status": "completed", "version": "1.0" } 转换功能的实现，可参考示例：从 0 到 1 制作自定义镜像并用于训练（MindSpore+Ascend）中所述的Ascend训练脚本的启动脚本。 RANK_TABLE_FILE环境变量 表1 RANK_TABLE_FILE环境变量说明 环境变量 说明 RANK_TABLE_FILE 该环境变量指示Ascend HCCL RANK_TABLE_FILE文件所在目录，值为/user/config。 算法开发者可通过 “${RANK_TABLE_FILE}/jobstart_hccl.json”，路径获取该文件。 父主题： 使用自定义镜像训练模型（模型训练）

修订记录 发布日期 修订记录 2024-05-25 第三十六次正式发布。 本次更新说明如下： “权限相关”下新增“为什么通过控制台设置匿名用户桶ACL后，旧配置中的delivered属性会被覆盖为false？”章节。 2024-02-07 第三十五次正式发布。 本次更新说明如下： 刷新OBS上传下载速率的影响因素有哪些？章节。 2024-01-18 第三十四次正式发布。 本次更新说明如下： 新增如何上传超过5GB的大对象？章节。 新增删除对象失败章节。 2023-11-15 第三十三次正式发布。 本次更新说明如下： 刷新OBS是否支持流量监控？章节的监控指标。 2023-11-03 第三十二次正式发布。 本次更新说明如下： 新增为什么会存在CNAME解析状态为未知的情况？常见问题。 新增为什么用户在华为云购买的 域名 才支持一键解析？常见问题。 2023-10-25 第三十一次正式发布。 本次更新说明如下： 新增OBS账单为什么会出现0.01元的计费？常见问题。 2023-10-16 第三十次正式发布。 本次更新说明如下： 刷新对象列表相关页面截图。 被委托账号或用户为什么无法上传下载KMS加密对象？章节增加注意事项内容。 新增分享对象时，OBS的SSE-OBS服务端加密方式是否需要授权特殊权限？常见问题。 2023-10-09 第二十九次正式发布。 刷新如何批量删除桶中大量对象或清空桶？章节。 刷新我在什么场景下需要使用生命周期管理？章节。 新增配置桶加密方式后，OBS的服务端加密会对历史对象进行加密吗？章节。 新增OBS的服务端加密会收取加密的费用吗？章节。 新增OBS的SSE-KMS服务端加密方式是否支持匿名访问？章节。 2023-07-31 第二十八次正式发布。 刷新OBS上传下载速率的影响因素有哪些？章节。 2023-07-17 第二十七次正式发布。 刷新了如何访问或下载已加密的对象？的答案。 2023-06-16 第二十六次正式发布。 新增常见问题为什么OBS的 云监控 指标看不到5xx状态码统计数？ 2023-05-30 第二十五次正式发布。 本次更新说明如下： 刷新了计费相关中升配资源包的相关答案。 2023-04-26 第二十四次正式发布。 本次更新说明如下： 新增了安全性的相关问题及答案。 2023-03-03 第二十三次正式发布。 本次更新说明如下： 更新了部分答案描述。 2020-05-19 第二十二次正式发布。 本次更新说明如下： 调整问题分类。 2019-08-22 第二十一次正式发布。 本次更新说明如下： 更新了部分答案描述。 2019-08-14 第二十次正式发布。 本次更新说明如下： 更新了跨区域复制相关问题的答案。 2019-07-18 第十九次正式发布。 本次更新说明如下： 新增了持久性和可用性相关的问题及答案。 2019-06-13 第十八次正式发布。 本次更新说明如下： 更新了批量上传的答案。 2019-05-22 第十七次正式发布。 本次更新说明如下： 新增了数据丢失问题及答案。 新增了已删除数据可否恢复问题及答案。 2019-04-30 第十六次正式发布。 本次更新说明如下： 更新了如何处理碎片的问题及答案。 新增了自定义域名绑定的相关问题及答案。 2019-03-29 第十五次正式发布。 本次更新说明如下： 更新了文档结构内容和问题及答案。 2019-01-29 第十四次正式发布。 本次更新说明如下： 增加了如何处理碎片的问题及答案。 2018-11-30 第十三次正式发布。 本次更新说明如下： 增加了其他用户访问OBS数据的问题及答案。 2018-11-16 第十二次正式发布。 本次更新说明如下： 增加了是否支持修改对象名的问题及答案。 增加了是否支持桶间文件复制的问题及答案。 增加了是否支持桶间文件移动的问题及答案。 2018-10-31 第十一次正式发布。 本次更新说明如下： 增加OBS是否支持HTTPS的问题及答案。 增加了OBS是否支持冗余备份的问题及答案。 2018-10-19 第十次正式发布。 本次更新说明如下： 更新了多版本控制的答案。 2018-08-15 第九次正式发布。 本次更新说明如下： OBS收费增加了CDN回源流量包。 2018-06-30 第八次正式发布。 本次更新说明如下： 增加了标签相关问题。 2018-04-30 第七次正式发布。 本次更新说明如下： 更新了批量上传问题答复。 2018-04-15 第六次正式发布。 本次更新说明如下： 增加跨区域复制。 软件框架切换，刷新图片。 2018-03-16 第五次正式发布。 本次更新说明如下： 增加流量监控功能。 软件框架切换，刷新图片。 增加了对象级存储类别。 增加了修改桶和对象的存储类别的功能。 购买指南中删除计费介绍和计费案例，详细的服务资费费率标准请参见价格说明。 2017-12-20 第四次正式发布。 本次更新说明如下： 在《控制台指南》中增加如下内容： “配置事件通知”中增加多项目。 “出现“客户端与服务器的时间相差15分钟”的报错”章节。 创建桶时增加了一键式设置桶策略功能。 2017-10-30 第三次正式发布。 本次更新说明如下： 在《控制台指南》的“查看桶的基本信息”中增加“Endpoint”和“访问域名”。 在《控制台指南》的“通过对象（URL）访问对象”中修改URL的格式。 在《控制台指南》的“配置桶策略”中增加了一键式配置通用策略。 在《控制台指南》的“异常处理”中增加“配置事件通知失败”章节。 在《购买指南》中删除余额小于100的限制。 在《快速入门》的“注册云服务账号”中删除“隐私保护”。 2017-09-28 第二次正式发布。 本次更新说明如下： 在《产品简介》中增加“文档导读”。 在《快速入门》中增加“相关操作”。 在《控制台指南》中修改“配置桶策略”章节、新增“动作和条件的详细解释”章节。 2017-08-20 第一次正式发布。

IAM 委托 IAM委托 通过创建委托，可以将资源共享给其他帐号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的帐号登录后，切换到委托方帐号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保帐号安全。 操作步骤 登录 统一身份认证 服务控制台。 在统一身份认证服务的左侧导航窗格中，选择“委托”页签，单击右上方的“创建委托”。 图1 创建委托 在创建委托页面，设置“委托名称”。 委托给云服务 RFS 图2 创建委托 此处“委托名称”为用户自定义。 此处如已使用“op_svc_iac”进行注册，建议修正为云服务“RFS”。 单击“下一步”，进入给委托授权页面，给对应委托授权： 图3 委托授权 可以筛选具体权限授权给委托 图4 选择策略 具体授权给委托哪些详细权限需要用户自己决定（华为云最佳实践不建议自动帮用户创建授予Tenant Administrator权限的委托）最佳实践为用户资源栈中可能需要使用到的资源进行授予管理权限（包括读写操作） 设置授权范围可以选择所有资源或选择定义region进行授权 图5 权限范围 单击“确定”，委托创建完成。 图6

身份认证与访问控制 身份认证 租户使用AOS服务通常有控制台访问和API调用两种方式：控制台访问和API调用。 1.控制台身份认证方式 AOS对接了统一身份认证服务（Identity and Access Management，IAM）。AOS租户身份认证与访问控制通过IAM权限控制。 统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助AOS服务安全地控制访问权限。通过IAM，可以将用户加入到一个用户组中，并用策略来控制他们对AOS资源的访问范围。IAM权限可以通过细粒度定义允许和拒绝的访问操作，以此实现AOS资源的权限访问控制。 2.API调用身份认证方式 所有的API接口调用均需要经过认证的请求才可以访问成功，经过认证的请求需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子，结合请求体携带的特定信息计算而成。通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。关于访问密钥的详细介绍及获取方式，请参见如何获取AK/SK？（账号）。 父主题： 安全

什么是 资源编排 资源编排是 应用编排服务 新增的完全支持业界事实标准Terraform（HCL + Provider）的终态编排引擎，用于管理系统资源及服务资源（一切可定位、描述的物理或者逻辑实体，例如数据库，VPC，流水线，数据库，IAM中的Role）。资源编排采用业界开放生态HCL语法的模板，它按照模板自动化部署指定的云服务资源。 资源编排聚焦于华为云所用资源的自动化批量构建，帮助用户用高效、安全以及一致的方式新建、管理和升级所需资源，提升资源管理效率，降低资源管理变更带来的安全风险。 产品架构 父主题： 资源编排

基本概念 概念名称 描述 资源 一个云服务可以有多种资源。资源可以是VPC，虚拟机，也可以是某种微服务应用，或者是类似于安全策略，DNS记录等高层数据模型。 模板 模板是一个HCL语法文本描述文件，支持tf、tf.json、zip包文件格式，用于描述您的云资源。资源编排根据模板完成各种云资源的创建。 资源栈 资源栈是云服务资源的集合。资源栈将模板描述的所有云服务资源作为一个整体来进行创建、删除、更新、查询等。 执行计划 执行计划提供对资源栈变化的预览。这个执行计划展示了当前模板与线上资源的对比变化，清晰地展示了资源编排对资源与属性将要执行的操作（如新增、修改、删除等）。用户可以预览这个计划，在确认符合预期后，再执行这个计划。资源编排就会完成模板定义资源的创建、变更等。 ↵ 父主题： 资源编排

产品优势 声明性：用户仅需直观描述所需资源的最终状态，屏蔽复杂的申请过程，降低资源管理的复杂度。 幂等：资源描述代码多次调用效果幂等，可确保不重复申请资源。 安全可靠：可视化的审计、安全、和合规控制策略，杜绝资源变更操作带来的安全风险。 生态丰富：南向生态支持华为云主流服务（60+云服务、240+资源对象、100+资源查询对象，详情参见：资源支持清单），开箱即用；北向完全兼容HCL语法，无学习成本。 简单易用：向导式操作配合完善的资料、样例辅助体系，五步即可完成资源管理操作。 服务全托管全云化：用户不需要安装任何软件、不需要准备执行机、不需要管理底层文件和数据就可以完成资源的自动化管理。 自动回滚：资源部署失败自动将所有资源状态返回上一个成功部署的状态。 父主题： 资源编排

认证证书 华为云服务及平台通过了多项国内外权威机构（ISO/SOC/PCI等）的安全合规认证，用户可自行申请下载合规资质证书。华为云还提供以下资源来帮助用户满足合规性要求。 行业 合规性说明 ISO/IEC 华为云 ISO/IEC 27001 合规性说明 HIPAA 华为云 HIPAA 合规性说明 LGPD 巴西LGPD合规性说明 PDPA 马来西亚PDPA合规性说明 新加坡PDPA合规性说明 泰国 PDPA 合规性说明 中国澳门PDPA 合规性说明 PCI DSS 华为云 PCI DSS 实践指南 PDPO 中国香港PDPO 合规性说明 POPIA 南非 POPIA 合规性说明 CS A CSA CCM 合规性说明（CSA CAIQ v3.1） PDPL 阿根廷 PDPL 合规性说明 MPA MPA 合规性说明通用指南 MPA 合规性说明——应用程序及云端分布式环境安全指南 金融行业 新加坡金融行业监管要求合规性说明 中国香港金融行业监管要求合规性说明 泰国金融行业监管遵从性指导 马来西亚金融行业监管遵从性指导 巴西金融行业监管遵从性指导 阿根廷金融行业监管遵从性指导 南非金融行业监管遵从性指导 证券及期货 中国香港证券及期货行业监管遵从性指导 保险 中国香港保险行业监管遵从性指导 隐私 印尼隐私合规性说明 另外，华为云还提供了以下销售许可证及软件著作权证书，供用户下载和参考。 销售许可证 云堡垒机 CBH DDoS防护 ADS Web应用防火墙 WAF 企业主机安全 HSS 数据库安全 DBSS 软件著作权证书 态势感知 SA 企业主机安全 HSS 容器安全 CGS DDoS防护 ADS Web应用防火墙 WAF 漏洞扫描服务 VSS 数据库安全 DBSS 数据安全中心 DSC 数据加密 服务 DEW - 父主题： 安全

产品功能 支持自动化编排资源 AOS提供自动化的编排能力，支持编排华为云主流云服务，具体请参见支持编排的云服务。AOS还提供资源规划、应用设计、部署、变更等生命周期管理等相关服务，通过自动化降低运维成本。 支持应用与云服务资源混合编排 您可通过标准语言（YAML/JSON）统一描述所需基础资源、应用系统、应用上层配套服务及三者之间的关系。根据统一描述，可一键式按照定义的依赖顺序，自动完成资源开通、应用部署、应用服务加载。对于部署的资源和应用，可以统一的进行管理：删除、扩缩容、复制、迁移等。

ISV业务发放 应用场景： 独立软件开发商（ISV）需要让客户快速将软件服务部署到云上，供其自身的客户进行使用。ISV传统的软件发放的方式是在其官网提供软件的代码下载及平台搭建指南。但该方式需要客户自建资源与组网，准备时间长，成本高。并且安装过程完全手动，耗时易出错，软件的版本更新都需要客户自己手动操作，运维压力大。 价值： 应用编排服务的模板提供了标准化的资源和应用交付方式。ISV可以通过将软件服务模板化，通过应用编排服务的一键部署能力，对自身客户进行业务发放。 优势： 快速发放 通过模板，自动化完成软件的部署与资源的开通，用户只需一键部署，分钟级完成。 准确创建 ISV软件本身及所需的云服务资源都通过模板固化，减少人工失误带来的影响。 统一维护 软件的生命周期管理可以统一通过AOS服务实现，一键完成软件的升级、伸缩等操作。 图2 ISV业务发放场景

批量创建 应用场景： 如果您需要创建一个包含10个不同规格的弹性云服务器实例的Web应用，或者您需要一次创建10个数据库实例时，您需要一个个单独创建这些资源，然后必须将这些资源配置为结合使用，才能确保应用顺利启动，增加了使用云资源的复杂性和时间成本。 价值： 应用编排服务将大批量的、不同服务、不同规格的资源实例，统一定义在模板中，一键完成创建，实现资源的快速部署和灵活配置。 优势： 快速部署 通过应用编排服务自动化并发创建多个云服务资源，或不同规格的同一服务资源。 灵活配置 丰富的模板语法，支持根据不同场景灵活配置创建资源的种类与规格。 自动回退 批量创建过程中如果失败，用户可选择自动回退，以节省资源成本。 图3 批量创建场景

应用上云 应用场景： 应用上云时，很多工作需要重复操作，例如环境的销毁和重建、在扩容的场景下重复完成多个新实例的配置等。同时应用上云时，很多操作非常耗时，例如创建数据库、创建虚拟机等，都需等待分钟级别的时间。一旦需要串行创建多个耗时任务，就需要您持续等待一段时间。而此时如果可以将整个流程自动化，可以减少您的等待过程，完成其他更有价值的任务。 价值： 使用应用编排服务，通过模板对应用及应用所需资源进行统一描述，一键式自动完成部署或销毁操作。您可以同步进行资源规划、应用定义和业务部署，提升应用上云的效率。 优势： 简单易用 通过编写模板，即可完成应用设计与资源的规划，使业务的组织和管理变得轻松。 高效执行 一键式自动完成部署或销毁操作，省去繁琐的人工操作。 快速复制 同一模板可以多次重复使用，自动化构建相同的应用与资源到不同的数据中心。 图1 应用上云场景

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

简单易用的编排语言 AOS编排语言支持 YAML和JSON 语法来定义需要的元素。 AOS编排语言支持参数化，您只需更改输入参数，即可控制要部署对象的规格、实例数量以及执行的操作，从而实现模板的重复利用。 AOS编排语言支持变量引用，包括引用输入参数、引用元素属性和引用映射表。 引用输入参数：获取模板文件中inputs区域中定义的输入参数的值。 引用元素属性：获取模板中定义的其他元素初始化后的结果。例如新建了一个虚拟私有云，再新建弹性云服务器时，可使用已新建的虚拟私有云ID。该方法可用于构建资源间依赖关系并控制资源的创建顺序。 引用映射表：用于获取映射表中的内容。

ISV资源发放 场景描述 独立软件开发商(ISV)需要快速将软件所需资源部署到云上，供其众多的客户进行使用。传统的软件发放的方式是在其官网提供软件的代码下载及平台搭建指南。但该方式需要ISV自行组网、交付资源、部署软件，准备时间长，成本高。 解决方案 资源编排提供了标准化的资源和应用交付方式。ISV可以通过将软件服务模板化。通过资源编排的资源栈部署能力，对自身客户进行快速业务发放，将交付过程流程化。资源编排使用代码形式模板描述整个交付环境，也便于ISV将交付与CI/CD流程集成。 收益优势： 交付标准化 通过模板、资源栈方式将软件交付过程标准化，便于总结成最佳实践以便推广。 提升效率 通过模板，自动化完成资源的开通，ISV只需部署资源栈，即可完成业务的交付；提升了ISV的交付效率。 准确创建 ISV的软件本身及所需的云服务资源都通过模板固化，减少人工失误带来的影响。 CI/CD集成 可以将资源编排集成到现有工具链中，提升自动化程度。 图2 ISV资源发放场景

应用上云 场景描述 应用上云时，很多工作需要手工重复操作，例如环境的销毁和重建、在扩容的场景下重复完成多个新实例的配置等，手工操作容易带来操作失误。 同时应用上云时，很多操作非常耗时，例如创建数据库、创建虚拟机等，手动操作容易失误 ，串行创建多个任务，就需要您持续等待较长时间。 解决方案 资源编排就是将上述场景的工作进行工具化、流程化。资源编排采用模板对应用所需资源进行统一描述；资源栈管理功能提供众多资源自动化部署或销毁操作。资源编排可以将大批量、不同服务、不同规格的资源实例，统一定义在模板中。完成自动化创建，实现资源的快速部署和灵活配置。 收益优势 简单易用 通过编写模板，即可完成应用设计与资源的规划，使业务的组织和管理变得轻松。 高效执行 向导式自动完成部署或销毁操作，省去繁琐的人工操作，减少了人为操作的失误 。 快速复制 同一模板可以多次重复使用，自动化构建相同的应用与资源到不同的数据中心。提升了您的工作效率。

审计与日志 审计 云审计 服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 AOS支持审计的操作事件，请参见云审计服务支持的AOS操作列表。 日志 用户开通云审计服务并创建和配置追踪器后，CTS可记录与AOS相关的操作事件，方便您进行事后审计。您可以在CTS控制台，事件列表菜单中，搜索AOS的事件来源，即可查看所有AOS相关的审计日志。 审计日志查看方法，请参见查看云审计日志。 父主题： 安全

支持Provider版本列表 支持Provider版本列表 Provider是将各类资源的API（比如资源的CRUD操作API）封装而成的插件，供资源编排引擎调用。资源编排支持Provider类型与版本如下表。 类型 版本 terraform-provider-huaweicloud 1.40.2 1.40.1 1.40.0 1.39.0 1.38.2 1.38.1 terraform-provider-kubernetes 2.5.0 父主题： 资源编排

RDS for SQL Server添加链接服务器 sql server数据库实例2创建链接服务器访问另外一个sql server数据库实例1。 开启两个实例的分布式事务，请参考开启分布式事务，并且互相加入对端的host信息。线下服务器或ECS服务器请参考远程服务器上的名称解析。 sql server数据库实例2和sql server数据库实例1已经在相同VPC内；若ECS与RDS不在相同VPC或者RDS与线下实例建立分布式请通过EIP进行连接，请参考绑定弹性公网IP为RDS实例绑定EIP。 在rds实例1中使用rdsuser创建数据库dbtest1。 在rds实例2中使用rdsuser运行如下sql创建链接服务器。 USE [master] GO EXEC master.dbo.sp_addlinkedserver @server = N'TEST_SERVERNAME', @srvproduct=N'SQL Server', @provider=N'SQLOLEDB', @datasrc=N'192.168.***.***,1433' EXEC master.dbo.sp_addlinkedsrvlogin @rmtsrvname = N'TEST_SERVERNAME', @locallogin = NULL , @useself = N'false', @rmtuser = N'rdsuser', @rmtpassword = N'********' GO 表1 参数说明 参数 说明 @server 链接服务器名称。 @srvproduct 数据源的产品名称。使用默认值SQL Server。 @provider 使用该默认值。 @datasrc 要访问的实例IP和端口。 @rmtsrvname 链接服务器名称。 @locallogin 本地服务器上的登录名。默认值NULL即可。 @useself 是否通过模拟本地登录名或登录名和密码连接到链接服务器。此处填false，表示通过登录名和密码连接到链接服务器。 @rmtuser 用户名（rdsuser）。 @rmtpassword 用户密码。 建立dblink之后，在链接服务器中就可以看到rds实例1中建立的库。 使用如下SQL查看是否插入成功，结果如图1所示。 begin tran set xact_abort on INSERT INTO [LYNTEST].[dbtest1].[dbo].[user1] ([id],[lname],[rname]) VALUES('19','w’,'x') GO commit tran 图1 插入结果 父主题： RDS for SQL Server

语法参考 发布 CREATE PUBLICATION用于创建发布，DROP PUBLICATION用于移除发布，ALTER PUBLICATION用于修改发布。 发布创建之后，可以通过ALTER PUBLICATION动态地向发布中添加或移除表，这些操作都是事务性的。 订阅 CREATE SUBSCRIPTION用于创建订阅，DROP SUBSCRIPTION用于移除订阅，ALTER SUBSCRIPTION用于修改订阅。 订阅创建之后，可以通过ALTER SUBSCRIPTION随时暂停与恢复订阅。移除并重建订阅会导致同步信息丢失，这意味着相关数据需要重新进行同步。 具体使用说明请参考以下官方文档，以PostgreSQL 13版本为例： 创建发布：https://www.postgresql.org/docs/13/sql-createpublication.html 删除发布：https://www.postgresql.org/docs/13/sql-droppublication.html 修改发布：https://www.postgresql.org/docs/13/sql-alterpublication.html

订阅使用限制 为了确保使用Failover Slot，必须在发布端手工创建逻辑复制槽(Failover Slot)，并通过create_slot = false关联已有复制槽，如下： CREATE SUBSCRIPTION sub1 CONNECTION 'host=192.168.0.1 port=5432 user=user1 dbname=db1' PUBLICATION pub_name with (create_slot = false,slot_name = FailoverSlot_name); 逻辑复制不会复制DDL变更，因此发布集中的表必须已经存在于订阅端上。 同一个数据库中，可以创建多个subscription，这些subscription可以来自一个或多个发布者。 订阅者的同一张表，不能接受来自同一个源的多个发布。 在创建subscription或者alter subscription时，可以使用enable来启用该订阅，或者使用disable暂停该订阅。 如果要完全删除订阅，使用DROP SUBSCRIPTION，注意，删除订阅后，本地的表不会被删除，数据也不会清除，仅仅是不在接收该订阅的上游信息。 如果订阅与复制槽相关联，就不能在事务块内部执行DROP SUBSCRIPTION。可以使用ALTER SUBSCRIPTION取消关联复制槽。 删除订阅可参考以下步骤： 在订阅端查询订阅关联的的复制槽。 select subname,subconninfo,subslotname from pg_subscription where subname = 'sub2'; subname为订阅者名称。 subconninfo为连接远程主机信息。 subslotname 为远程主机复制槽名称。 在订阅端执行ALTER SUBSCRIPTION取消关联复制槽并删除。 ALTER SUBSCRIPTION subname SET (slot_name = NONE); DROP SUBSCRIPTION subname; 在发布端删除关联的复制槽。 select pg_drop_replication_slot(' slot_name);

发布使用限制 发布目前只能包含表（即：索引，序列号，物化视图这些不会被发布），每个表可以添加到多个发布中。 一个publication允许有多个订阅者。 允许使用all tables发布所有表。 在同一个数据库中，可以创建多个publication，但是不能重名。已创建的publication可以通过查询pg_publication获取。 发布可以筛选所需的变更类型：包括insert、update、delete 和truncate的任意组合，类似触发器事件，默认所有变更都会被发布。 例如：发布表t1的update和delete操作。 CREATE PUBLICATION update_delete_only FOR TABLE t1 WITH (publish = 'update, delete') ; 复制标识：当发布了表的update, delete时，表必须设置复制标识（Replica Identity），如果设置了nothing，则执行update, delete时会报错。 表上的复制标识可以通过查阅pg_class.relreplident获取。 这是一个字符类型的“枚举”，标识用于组装 “复制标识” 的列：d = default ，f = 所有的列，i 使用特定的索引，n 没有复制标识。 表上是否具有可用作复制标识的索引约束，可以通过以下查询获取： SELECT quote_ident(nspname) || '.' || quote_ident(relname) AS name, con.ri AS keys, CASE relreplident WHEN 'd' THEN 'default' WHEN 'n' THEN 'nothing' WHEN 'f' THEN 'full' WHEN 'i' THEN 'index' END AS replica_identity FROM pg_class c JOIN pg_namespace n ON c.relnamespace = n.oid, LATERAL (SELECT array_agg(contype) AS ri FROM pg_constraint WHERE conrelid = c.oid) con WHERE relkind = 'r' AND nspname NOT IN ('pg_catalog', 'information_schema', 'monitor', 'repack', 'pg_toast') ORDER BY 2,3; 复制标识配置 表到复制标识可以通过ALTER TABLE进行修改。 ALTER TABLE table_name REPLICA IDENTITY { DEFAULT | USING INDEX index_name | FULL | NOTHING }; -- 具体有四种形式 ALTER TABLE t_normal REPLICA IDENTITY DEFAULT; -- 使用主键，如果没有主键则为FULL ALTER TABLE t_normal REPLICA IDENTITY FULL; -- 使用整行作为标识 ALTER TABLE t_normal REPLICA IDENTITY USING INDEX t_normal_v_key; -- 使用唯一索引 ALTER TABLE t_normal REPLICA IDENTITY NOTHING; -- 不设置复制标识 复制标识在实际使用中的注意事项 表上有主键，使用默认的default复制标识。 表上没有主键，但是有非空唯一索引，显式配置index复制标识。 表上既没有主键，也没有非空唯一索引，显式配置full复制标识（运行效率非常低，仅能作为兜底方案）。 其他所有情况，都无法正常完成逻辑复制功能。输出的信息不足，可能会报错。 特别需要注意：如果nothing复制标识的表纳入到逻辑复制中，对其进行删改会导致发布端报错。

逻辑定义 发布可以被定义在任何物理复制的主服务器上。定义有发布的节点被称为发布者。发布是从一个表或者一组表生成的改变的集合，也可以被描述为更改集合或者复制集合。每个发布都只存在于一个数据库中。 订阅是逻辑复制的下游端。订阅被定义在其中的节点被称为订阅者。一个订阅会定义到另一个数据库的连接以及它想要订阅的发布集合（一个或者多个）。逻辑订阅者的行为与一个普通的PostgreSQ L实例 （主库）无异，逻辑订阅者也可以创建自己的发布，拥有自己的订阅者。

实现原理 RDS for PostgreSQL跨区域容灾实现原理说明： 在两个数据中心独立部署RDS for PostgreSQL实例，通过RDS接口将生产中心RDS for PostgreSQL库中的数据同步到灾备中心RDS for PostgreSQL库中，实现RDS for PostgreSQL主实例和跨区域灾备实例之间的实时同步。使用该功能前，必须需要确认可以使用云连接服务完成跨区域网络连通。 图1 原理图

约束条件 主实例和灾备实例状态正常，主实例和灾备实例在不同云或不同区域上，且主实例为主备实例，灾备实例为单机实例。 主实例配置容灾能力成功后才能配置灾备实例容灾能力，否则容灾关系会建立失败。 灾备实例的规格要大于等于主实例的规格。 RDS for PostgreSQL 12及以上支持建立跨云或跨区域容灾关系。 不支持跨大版本建立跨云或跨区域容灾关系。 主实例和灾备实例的容灾关系已建立完成，才能进行灾备实例升主和查询容灾复制状态。 实施前确认需要搭建的主实例和灾备实例所在区域，处于云连接/虚拟专有网络服务已上线区域内。 灾备实例不支持PITR恢复和CBR快照备份功能，如需使用此功能，请在主实例上完成。

操作步骤 查询带宽使用率。 查询实例在指定时段的带宽使用率。具体操作请参见查看监控数据。 通常来说，“网络瞬时输入流量”和“网络瞬时输出流量”快速上升，并持续大于实例最大带宽的80%时，需引起注意，可能流量不足。 需关注的监控指标为带宽使用率如下图。带宽使用率的计算公式：带宽使用率=（网络瞬时输入流量+网络瞬时输出流量）/（2*最大带宽限制） * 100%。 图1 带宽使用率示例 其中，带宽使用率超过100%，不一定导致限流，有没有被流控需要看流控次数指标。 带宽使用率没有超过100%，也有可能有限流，因为带宽使用率是上报周期实时值，一个上报周期检查一次。流控检查是秒级的，有可能存在上报周期间隔期间，流量有秒级冲高，然后回落，待上报带宽使用率指标时已恢复正常。 优化带宽使用率。 当业务的访问量与预期带宽消耗不匹配，例如带宽使用率的增长趋势和QPS的增长趋势明显不一致（可结合网络瞬时输入流量和网络瞬时输出流量，分析业务是读业务和还是写业务导致的流量上涨）。对于单个节点带宽使用率上涨，您可以通过缓存分析功能，发现实例中存在的大Key，具体操作请参见大key分析。对大Key（通常大于10 KB）进行优化，例如将大Key拆分、减少对大Key的访问、删除不必要的大Key等。 经过上述步骤优化后流量使用率依旧较高，可评估升级至更大内存的规格，以承载更大的网络流量。具体操作请参见变更实例规格。也可以单独购买实例带宽，请参考调整DCS实例带宽。 在正式升级实例的规格前，您可以先购买一个按需付费的实例，测试要升级到的目标规格是否能够满足业务的负载需求，测试完成后可将其释放。释放实例请参考删除实例。

忘记账号密码 在华为账号登录页面，单击“忘记密码”。 图3 忘记华为账号密码 输入账号名或注册账号的手机号/邮件地址，单击“下一步”。 图4 输入信息 如果您在2输入了注册账号的账号名/手机号/邮件地址，选择获取验证码。 如果无法接收验证码，请参考无法获取验证码进行处理。 找回密码的账号手机号/邮件地址不可用时，请联系人工客服获取帮助：中国大陆+864000955988、中国香港+852800931122，或提交工单。 按照界面提示填写验证信息，单击“下一步”。 按照页面提示，输入新密码并确认密码，单击“确定”。 由于华为账号涉及多项业务领域，如华为账号无法按照以上步骤找回时，建议您参考以下链接进行找回： https://consumer.huawei.com/cn/support/content/zh-cn15774338/ 单击“立即返回”，使用新设置的密码登录华为云。

上传静态网站文件 整理好待上传的静态网站文件，在OBS控制台重复执行以下步骤，直至所有的静态网站文件都上传至准备工作创建的桶中。 在支持批量上传的区域，OBS控制台每次最多支持100个文件同时上传，总大小不超过5GB，如果网站文件较多，建议使用OBS Browser+上传，具体操作步骤请参见使用OBS Browser+上传文件或文件夹。 单击待操作的桶名称，进入桶对象页面。 单击“上传对象”，系统将弹出如下所示对话框。 图1 上传对象 添加待上传的文件。 不可加密上传静态网站文件。 存储类别建议选择“标准”。如果静态网站文件的存储类别为“归档存储”，则需要先恢复才能被访问，具体恢复步骤请参见恢复归档存储文件。 网站首页文件（index.html）和404错误页面（error.html），需要存放在桶的根目录下。 单击“上传”完成文件上传。 父主题： 实施步骤