华为云用户手册

操作步骤 使用管理员账号登录服务器。 在服务器中，下载RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包。 下载RemoteaProxy2.0.0版本（适配3.3.26-3.3.61.0的 堡垒机 版本） 服务器需要有公网访问权限（绑定弹性EIP）。 在应用服务器中，将RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包进行解压。 双击“RemoteaProxyInstaller_xxx.msi”（xxx为版本号）启动安装。 安装时请选择默认的安装路径。 安装完成后，单击“关闭”。

操作步骤 使用管理员账号登录服务器。 在服务器中，下载RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包。 下载RemoteaProxy2.0.0版本（适配3.3.26-3.3.61.0的堡垒机版本） 服务器需要有公网访问权限（绑定弹性EIP）。 在应用服务器中，将RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包进行解压。 双击“RemoteaProxyInstaller_xxx.msi”（xxx为版本号）启动安装。 安装时请选择默认的安装路径。 安装完成后，单击“关闭”。

约束限制 仅SSH、TELNET和Rlogin协议主机支持通过SSH客户端登录，其中Rlogin协议主机仅支持SSH客户端登录。 支持SSH协议客户端工具：SecureCRT 8.0及以上版本、Xshell 5及以上版本、PuTTY、MAC Terminal 2.0及以上版本。 不同算法类型不同场景支持的服务器情况如下： 表1 SSH运维支持服务器情况 算法类型 H5页面运维 SSH客户端运维 Key exchange diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 curve25519-sha256 curve25519-sha256@libssh.org diffie-hellman-group14-sha256 diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 Encryption aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour cast128-cbc 3des-cbc rijndael-cbc@lysator.liu.se aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 HMAC hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-ripemd160 hmac-ripemd160@openssh.com hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 Host Key ssh-rsa ssh-dss ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521 ssh-ed25519 ssh-rsa ssh-dss rsa-sha2-256 rsa-sha2-512 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521

成本分配 成本管理的基础是树立成本责任制，让各部门、各业务团队、各责任人参与进来，为各自消耗云服务产生的成本负责。企业可以通过成本分配的方式，将云上成本分组，归集到特定的团队或项目业务中，让各责任组织及时了解各自的成本情况。 华为云成本中心支持通过多种不同的方式对成本进行归集和重新分配，您可以根据需要选择合适的分配工具。 通过关联账号进行成本分配 企业主客户可以使用关联账号对子客户的成本进行归集，从而对子账号进行财务管理。详细介绍请参见通过关联账号维度查看成本分配。 通过企业项目进行成本分配 在进行成本分配之前，建议开通企业项目并做好企业项目的规划，可以根据企业的组织架构或者业务项目来划分。在购买云资源时选择指定企业项目，新购云资源将按此企业项目进行成本分配。详细介绍请参见通过企业项目维度查看成本分配。 通过成本标签进行成本分配 标签是华为云为了标识云资源，按各种维度（例如用途、所有者或环境）对云资源进行分类的标记。推荐企业使用预定义标签进行成本归集，具体流程如下： 详细介绍请参见通过成本标签维度查看成本分配。 使用成本单元进行成本分配 企业可以使用成本中心的“成本单元”来拆分公共成本。公共成本是指多个部门共享的计算、网络、存储或资源包产生的云成本，或无法直接通过企业项目、成本标签分配的云成本。这些成本不能直接归属于单一所有者，因此不能直接归属到某一类别。使用拆分规则，可以在各团队或业务部门之间公平地分配这些成本。详细介绍请参见使用成本单元查看成本分配。

成本优化 成本控制 企业可以在成本中心的“预算管理”页面创建精细粒度的预算来管理成本和使用量，在实际或预测超过预算阈值时，自动发送通知给指定消息接收人。企业还可以创建预算报告，定期将指定预算进展通知给指定消息接收人。详细介绍请参见使用预测和预算来跟踪成本和使用量。 资源优化 成本中心可以通过监控 区块链服务BCS 实例的使用情况，评估当前配置是否过高。您还可以根据成本分析阶段的分析结果识别成本偏高的资源，通过 云监控服务 监控资源的使用情况，确定成本偏高的原因，然后采取针对性的优化措施。 计费模式优化 不同类型的业务对资源使用周期有不同的要求，为每一类业务确定合适的计费模式，灵活组合以达到最优效果。 针对长期稳定的成熟业务，使用包年/包月计费模式。 针对不能中断的短期、突增或不可预测的业务，使用按需计费模式。

计费说明 区块链 服务的计费项由配置费用、底层资源费用组成。具体内容请查看表1。 表1 计费组成表 费用类别 计费项 计费说明 付费方式 配置费用 版本类型 版本类型有专业版、企业版和铂金版。不同版本类型，规格大小不同，详细说明如下： 专业版（满足小规模商用） 最大成员组织数：2 最大成员节点数：2 最大共识节点数：3 最大通道数：2 企业版（满足中等规模商用） 最大成员组织数：5 最大成员节点数：2 最大共识节点数：4 最大通道数：4 铂金版（满足大规模商用） 最大成员组织数：10 最大成员节点数：5 最大共识节点数：10 最大通道数：10 专业版 按需计费：¥8.00/小时 包年包月：¥5000.00/月 企业版 按需计费：¥17.00/小时 包年包月：¥10000.00/月 铂金版 包年包月：¥60000.00/月 节点数量（Peer） 节点组织的数量。 专业版：最大成员组织数2个，每个组织节点数量最大为2Peers，则节点数量最多为4Peers。 企业版：最大成员组织数5个，每个组织节点数量最大为2Peers，则节点数量最多为10Peers。 铂金版：最大成员组织数10个，每个组织节点数量最大为5Peers，则节点数量最多为50Peers。 专业版：¥2000.00/Peer 企业版：¥3000.00/Peer 铂金版：¥10000.00/Peer 节点数量费用=每个节点费用*节点数量 说明： 当前赠送两个节点（Peers），后续增加节点会进行收费。 云主机规格/带宽费用 当集群选择“创建新CCE集群”时，您可以根据自己的实际需求选择云主机规格。不同的云主机规格，收费不同。 开启使用CCE集群节点弹性IP，根据按需计费的方式和弹性IP带宽计算带宽费用。 云主机和带宽费用详情，请参考弹性 云服务器ECS 《计费说明》计费项章节。 底层资源费用 网络存储 根据实际用量进行计费。 计费详情。 云日志 服务 按需计费。 计费详情。 对象存储服务 根据实际用量进行计费。 计费详情。 云备份服务 开启数据备份时，会根据实际用量进行计费。 计费详情。

计费示例 以购买一个企业版Hyperledger Fabric增强版实例为例。 假设您通过包年包月方式，购买了一个企业版的Hyperledger Fabric增强版实例，购买时长为2个月，并在该实例上创建节点组织数为5个，节点数量为10Peers（其中有2Peers为免费赠送），则区块链服务的费用计算如下： （版本类型费用+每个节点费用*数量）*购买时长=（10000.00+3000.00*8）*2=¥68000.00

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

计费周期 包年/包月Hyperledger Fabric增强版实例的计费周期是根据您购买的时长来确定的（以UTC+8时间为准）。一个计费周期的起点是您开通或续费实例的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买了一台时长为一个月的Hyperledger Fabric增强版实例，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/07 23:59:59。

到期后影响 图1 包年/包月实例生命周期描述了包年/包月Hyperledger Fabric增强版实例各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图1 包年/包月实例生命周期 到期预警 包年/包月Hyperledger Fabric增强版实例在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 当您的包年/包月Hyperledger Fabric增强版实例到期未续费，首先会进入宽限期，资源状态变为“已过期”。宽限期内您可以正常访问Hyperledger Fabric增强版实例，但以下操作将受到限制： 变更Hyperledger Fabric增强版实例规格 切换操作系统 扩容云硬盘 修改带宽大小 如果您在宽限期内仍未续费包年/包月Hyperledger Fabric增强版实例，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期到期后，若包年/包月Hyperledger Fabric增强版实例仍未续费，那么数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。

计费模式概述 区块链服务支持按需付费方式和包年/包月方式。 按需计费是先使用后付费的计费模式，即先使用再付费，按照Hyperledger Fabric增强版实例实际使用版本类型、节点数量结算费用。 按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。 包年/包月是一种先付费再使用的计费模式，适用于对资源需求稳定且希望降低成本的用户。 父主题： 计费模式

使用凭据登录数据库 下文为您介绍如何创建凭据，并且通过API调用凭据来登录到您的数据库。 您首先需要确保您的账号拥有KMS Administrator或者KMS CMKFullAccess权限，详情见DEW权限管理。 图1 凭据登录流程 流程说明如下： 您首先需要在凭据管理服务中使用控制台或者API创建一个凭据，用来存储数据库的相关信息（例如：数据库地址、端口、密码）。 当您使用应用程序访问数据库时，凭据管理服务会去查询步骤1所创建的凭据存储的内容。 凭据管理服务检索并解密凭据密文，将凭据中保存的信息通过凭据管理API安全地返回到应用程序中。 应用程序获取到解密后的凭据明文信息，使用这些安全的信息访问数据库。

Dedicated HSM支持的密码机类型 表2 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器密码机 数据加密 /解密 数据签名/验签 数据摘要 支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融密码机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名验证服务器 签名/验签 编码/解码数字信封 编码/解码带签名的数字信封 证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

修订记录 发布日期 更新说明 2025-03-31 第二十七次正式发布。 套餐与计费新增Flexus小时包的计费说明。 2024-10-23 第二十六次正式发布。 套餐与计费新增Flexus规格套餐。 2024-10-16 第二十五次正式发布。 新增： 安全章节。 2024-07-15 第二十四次正式发布。 新增： 支持列表新增UOS操作系统和麒麟操作系统。 2024-03-19 第二十三次正式发布。 修改： 约束与限制中 云桌面 支持的网段。 2024-01-03 第二十二次正式发布。 新增： 权限和授权项新增应用中心细粒度权限内容。 2023-08-25 第二十一次正式发布。 新增： 套餐与计费章节新增计费说明。 2023-07-03 第二十次正式发布。 新增： 权限管理 新增支持 IAM 细粒度鉴权内容。 2022-11-30 第十九次正式发布。 修改： 相关概念中增加“应急模式”介绍。 2022-12-02 第十八次正式发布。 修改： 约束与限制中增加VPC网络选择的限制描述。 2022-11-22 第十七次正式发布。 修改： 支持列表中增加瘦终端型号。 2022-11-03 第十六次正式发布。 修改： 云桌面与其他服务的关系中增加云备份描述。 2022-10-10 第十五次正式发布。 修改： 修改如下章节中mac客户端操作系统版本。 支持列表 约束与限制 2022-09-23 第十四次正式发布。 修改： 修改支持列表中UOS操作系统版本。 2022-09-06 第十三次正式发布。 修改： 约束与限制优化访问企业内网的端口描述。 2022-09-05 第十二次正式发布。 修改： 约束与限制优化重建系统盘的限制描述。 2022-09-02 第十一次正式发布。 修改： 约束与限制增加变更规格、重建系统盘和访问企业内网的端口放通描述。 套餐与计费修改变更配置描述。 2022-08-30 第十次正式发布。 修改： 相关概念新增多因素认证描述。 2022-08-08 第九次正式发布。 修改： 相关概念新增虚拟MFA描述。 2022-07-01 第八次正式发布。 修改： 云桌面与其他服务的关系新增云硬盘描述，并优化关系图。 2022-05-31 第七次正式发布。 修改： 修改客户端名称，涉及如下页面： 相关概念 支持列表 2022-05-25 第六次正式发布。 修改： 套餐与计费优化变更配置描述。 2022-04-29 第五次正式发布。 修改： 什么是云桌面 ？优化配图。 支持列表修改Android支持版本。 2022-03-30 第四次正式发布。 修改： 支持列表中新增Windows操作系统的桌面描述。 套餐与计费优化套餐说明、增加按需计费描述。 约束与限制删除Windows禁用操作的约束说明。 2022-02-28 第三次正式发布。 修改： 支持列表中新增Mac客户端描述，并修改Android设备适用的操作系统版本。 约束与限制新增Mac客户端描述，并修改Android设备适用的操作系统版本。 2022-01-19 第二次正式发布。 优化套餐与计费中套餐描述。 2022-01-05 第一次正式发布。

不支持的函数 表5 函数的限制 函数 限制条件 ROW_COUNT() DDM 暂不支持ROW_COUNT()函数。 COMPRESS() DDM 暂不支持COMPRESS()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 SHA() DDM 暂不支持SHA()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 SHA1() DDM 暂不支持SHA1()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 MD5() DDM 暂不支持MD5()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 AES_ENCRYPT() DDM 暂不支持AES_ENCRYPT()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 AES_DECRYPT() DDM 暂不支持AES_DECRYPT()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 YEARWEEK() DDM 暂不支持YEARWEEK()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 TIME_FORMAT() DDM暂不支持TIME_FORMAT()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数，建议使用DATE_FORMAT()函数。

单表 单表也可以指定全局序列，但是会忽略这个功能。自增功能使用底层存储的自增值进行自增。 创建单表样例如下，不做任何拆分： CREATE TABLE single( id bigint NOT NULL AUTO_INCREMENT COMMENT '主键id', name varchar(128), PRIMARY KEY(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

分库分表 假设使用HASH的拆分库算法，拆分表算法为MOD_HASH，样例如下： CREATE TABLE tbpartition_tbl ( id bigint NOT NULL AUTO_INCREMENT COMMENT '主键id', name varchar(128), PRIMARY KEY(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci DBPARTITION BY HASH(id) TBPARTITION BY mod_hash(name) tbpartitions 8;

分库不分表 假设使用HASH的拆分库算法，样例如下： CREATE TABLE dbpartition_tbl ( id bigint NOT NULL AUTO_INCREMENT COMMENT '主键id', name varchar(128), PRIMARY KEY(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci DBPARTITION BY HASH(id);

广播表 如下为创建广播表的样例： CREATE TABLE broadcast_tbl ( id bigint NOT NULL AUTO_INCREMENT COMMENT '主键id', name varchar(128), PRIMARY KEY(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci BROADCAST;

使用堡垒机时需要配置哪些端口？ 为了能正常使用堡垒机，实例和资源安全组端口配置可参考表1。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口，升级完成后若不需要使用请第一时间关闭。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口，升级完成后保持31679开放即可，其余端口若不需要使用请第一时间关闭。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机（HTTP、HTTPS） 入方向 TCP 80、443、8080 通过MSTSC客户端登录堡垒机 入方向 TCP 53389 通过SSH客户端登录堡垒机 入方向 TCP 2222 通过FTP客户端登录堡垒机 入方向 TCP 2121、20000-21000 通过SFTP客户端登录堡垒机 入方向 TCP 2222 通过堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过堡垒机访问Oracle数据库 入方向 TCP 1521 通过堡垒机访问Oracle数据库 出方向 TCP 1521 通过堡垒机访问MySQL数据库 入方向 TCP 33306 通过堡垒机访问MySQL数据库 出方向 TCP 3306 通过堡垒机访问SQL Server数据库 入方向 TCP 1433 通过堡垒机访问SQL Server数据库 出方向 TCP 1433 通过堡垒机访问DB数据库 入方向 TCP 50000 通过堡垒机访问DB数据库 出方向 TCP 50000 通过堡垒机访问 GaussDB数据库 入方向 TCP 18000 通过堡垒机访问 GaussDB 数据库 出方向 TCP 8000，18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS 域名 解析 出方向 UDP 53 通过堡垒机访问PGSQL数据库 入方向 TCP 15432 通过堡垒机访问PGSQL数据库 出方向 TCP 5432 通过堡垒机访问DM数据库 入方向 TCP 15236 通过堡垒机访问DM数据库 出方向 TCP 5236 父主题： 产品咨询

配置安全组不合理，运维故障场景 安全组配置不合理，在使用 云堡垒机 时可能会出现以下故障： 实例许可证认证错误 实例创建失败，提示“Lincense激活失败”，可能未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证 登录云堡垒机提示License过期，未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证。 登录云堡垒机系统错误 云堡垒机系统登录页面载入失败，提示“服务器响应时间过长”，可能未配置入方向TCP协议443端口； 云堡垒机系统页面无法正常显示，可能未配置入方向TCP协议443端口，导致Web浏览器不能正常登录系统。 主机资源验证错误 在资源中添加主机时，提示“主机不可达”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器； 添加主机时验证账户密码，提示“主机不可达”，可能未配置入方向ICMP协议，导致外网ping不通主机资源。 云堡垒机访问资源错误 在登录云资源时，提示“连接错误”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器； 使用云堡垒机登录云主机黑屏，无法正常显示，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器； 云堡垒机使用过程中上报514错误，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T_514）”，可能未配置入方向TCP协议2222端口。

配置云堡垒机安全组 登录云堡垒机实例管理控制台。 单击“购买云堡垒机”，进入“购买云堡垒机实例”页面。 在“安全组”参数选项框右侧，单击“管理安全组”，跳转至安全组配置页面，创建安全组和添加安全组规则。 也可在“安全组”选项框内选择合理配置的安全组。 单击“创建安全组”，创建一个新的安全组，详细指导请参见创建安全组。 单击“操作”列中的“配置规则”，为安全组添加安全组规则，详细指导请参见添加安全组规则。 选择“入方向”页签，单击“添加规则”。同理，可以添加出方向规则。 根据云堡垒机使用组网场景配置安全规则，参考表1配置。 完成安全组规则配置，返回“购买云堡垒机服务”页面，选择指定安全组，合理配置其他参数后创建实例。

背景介绍 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。 云堡垒机实例可与纳管的资源共用一个安全组，各自取用安全组规则，互不影响。 每个用户有一个默认安全组Sys-default，用户可选择Sys-default安全组，根据需要添加相应安全组规则。用户也可选择自定义安全组，新建安全组并添加合理安全组规则。 云堡垒机实例创建成功后，您可以随时修改堡垒机绑定的安全组，一台堡垒机实例最多接入5个安全组，详见更改安全组。 为确保云堡垒机正常连接资源，E CS 主机、RDS数据库等资源需配置合理安全组规则，放开相应网关IP和端口，并允许云堡垒机“私有IP地址”访问，资源安全组配置可参考ECS安全组配置。 云堡垒机正常使用，实例和资源安全组端口配置可参考使用堡垒机时需要配置哪些端口？。

什么是区域、可用区？ 通过区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。 中国香港、泰国曼谷等其他地区和国家提供国际带宽，主要面向非中国大陆地区的用户。如果您或者您的目标用户在中国大陆，使用这些区域会有较长的访问时延，不建议使用。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“南非-约翰内斯堡”区域。 在欧洲地区有业务的用户，可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

解除SSH算法限制 检查服务器配置文件“/etc/ssh/sshd_config”。 管理员登录Linux主机。 执行以下命令，查询“/etc/ssh/sshd_config”文件。 cat /etc/ssh/sshd_config 执行以下命令，打开“/etc/ssh/sshd_config”文件。 vim /etc/ssh/sshd_config 在HostKeyAlgorithms行后添加以下算法参数： rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519,ssh-rsa,ssh-dss 如果在查询的文件中找不到HostKeyAlgorithms行，可能是该参数缺失，需在Ciphers and keying行下面添加以下参数及算法。 HostKeyAlgorithms rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519,ssh-rsa,ssh-dss 如果有其他算法的添加需求，可参照通过SSH客户端登录资源进行运维进行添加。 新增完成后，执行以下命令查看所有支持的算法，确定修改或添加的算法已存在。 sshd -T | grep pubkey 如果服务器安装了nmap，也可执行以下命令进行查询。 nmap --script ssh2-enum-algos -sV -p 22 服务器ip 如果使用nmap方式查询确认是key exchange算法不匹配时，需临时修改服务器配置。 执行以下命令打开“/etc/ssh/sshd_config”文件。 vim /etc/ssh/sshd_config 执行以下命令添加参数及算法。 KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256 如果参数KexAlgorithms已存在，添加算法即可。 配置后执行以下命令重启服务器sshd服务。 systemctl restart sshd 执行以下命令重启SSH服务。 systemctl restart sshd

解除“/etc/hosts.deny”文件限制 管理员登录Linux主机。 执行以下命令，查看“/var/log/secure”日志，确认主机拒绝云堡垒机IP记录。 cat /var/log/secure 执行以下命令，编辑“/etc/hosts.deny”文件，删除云堡垒机的IP。 vim /etc/hosts.deny （可选）将CBH的IP加入白名单。 执行以下命令，编辑Linux主机的“/etc/hosts.allow”文件，允许所有IP地址登录，避免影响云堡垒机正常使用。 vim /etc/hosts.allow

可能原因 原因一：密码输入错误次数超过Linux主机登录安全防护次数上限，导CBH的IP被加入“/etc/hosts.deny”文件名单。 原因二：Linux主机开启了 企业主机安全 服务（Host Security Service，HSS），多次输入错误密码尝试登录，CBH内网IP被HSS加入“/etc/sshd.deny.hostguard”文件名单。 原因三：堡垒机不支持操作系统的SSH算法。（仅针对V3.3.38.0版本以下堡垒机）。 原因四：Windows主机开启了防火墙，导致堡垒机与主机网络无法正常连接。

云堡垒机SSH运维支持哪些算法？ 云堡垒机3.3.26.0及以上版本SSH运维支持的算法如表1所示。 表1 SSH运维支持服务器情况 算法类型 H5页面运维 SSH客户端运维 Key exchange diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 curve25519-sha256 curve25519-sha256@libssh.org diffie-hellman-group14-sha256 diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 Encryption aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour cast128-cbc 3des-cbc rijndael-cbc@lysator.liu.se aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 HMAC hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-ripemd160 hmac-ripemd160@openssh.com hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 Host Key ssh-rsa ssh-dss ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521 ssh-ed25519 ssh-rsa ssh-dss rsa-sha2-256 rsa-sha2-512 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521 父主题： 运维管理

FAQ 注意要点、事半功倍 在线文档是基于浏览器的服务，须注意各种浏览器的兼容性，建议在Windows和Mac iOS上均使用Chrome浏览器使用云空间和在线文档，以获取完整的服务体验； 在线文档是基于浏览器的服务，须注意编辑功能上无法完全做到和本地Office文档编辑软件一致，如VBA宏等控件当前服务不支持； 在线文档是基于浏览器的服务，须注意该服务受IP、域名、网关、防火墙等网络限制； 在线文档服务的性能与文档的大小有关，文档越大，性能流畅感越弱，当前云空间可以在线编辑200MB及以下的文档。 父主题： 协作文档