华为云用户手册

添加安全组 若您是通过自有服务器部署bankuniondemo，则不涉及“添加安全组”操作。 若您是通过华为云弹性 云服务器ECS 部署bankuniondemo应用，部署成功后先找到应用所在的E CS ，单击更改安全组规则，添加安全组入方向规则以允许服务器的8080端口可被访问，方法参见创建安全组。添加安全组规则时的规则参数如表1所示。 表1 安全组规则参数表 参数 值 说明 协议 TCP 网络协议。 方向 入方向 安全组规则生效的方向，入方向指从外部访问安全组规则下的弹性云服务器。 端口范围 创建1条规则，填写8080。 规则的端口范围。 源地址 选择IP地址，0.0.0.0/0 当方向为入方向时，需要填入此参数。 EIP为部署bankuniondemo的服务器IP或弹性云服务器的弹性IP。

操作步骤 登录 区块链 服务管理控制台。 在页面左侧选择“成员管理”。单击页面右上角“邀请成员”。 在邀请成员页面，下拉列表中选择创建的 BCS 实例和通道，在租户名称中填入被邀请方的租户名，单击“确定”。 图1 邀请成员 （可选）单击“邀请一个新租户”可添加多个成员进行邀请。 本示例邀请civilizationBank和harmoniousBank两个新成员加入银行联盟链。 最多支持邀请40个成员。 单击“确定”，邀请通知信息将发送至被邀请方。

操作流程 介绍组建联盟链的操作流程。 图1 操作流程 订购区块链实例 订购联盟链类型的区块链实例，组织成员名为democraticBank。 邀请成员 创建联盟链成功后，由组织成员democraticBank作为邀请方邀请新成员civilizationBank和harmoniousBank加入联盟链。 被邀请方加入联盟链 被邀请方civilizationBank和harmoniousBank根据邀请信息加入联盟链。 安装及实例化链代码 邀请方、被邀请方A和被邀请方B都必须安装链代码。实例化链代码只需要由邀请方、被邀请方A或被邀请方B其中一个完成即可。 配置应用 在邀请方发起交易的时候，邀请方需要下载自己的orderer管理员证书、democraticBank组织的管理员证书以及被邀请方A和邀请方B已隐去私钥的证书。 部署应用 在弹性云服务器上安装银行联盟链示例应用。 调试应用 部署应用后，即可开始测试联盟链之间的数据交易。

解决方案 区块链服务BCS 支持创建区块链类型为“联盟链”的Hyperledger Fabric增强版实例。通过组建一个银行联盟链，银行联盟链的发起方可以动态邀请其他银行加入此联盟链，组建一个多成员参与的银行联盟链系统。联盟成员之间实现数据可信共享，不仅可以节省用户办理业务的时间和精力，同时还可以提高银行的办事效率。而且各联盟成员的节点运行在独立的VPC中，独立管理，安全可控。 本实践以组建银行联盟链为例进行演示，旨在帮助您了解联盟链的基础知识以及组建联盟链的方法，帮助您快速上手使用并体验华为云区块链服务。 组建银行联盟链只用于场景体验，不用于实际应用。

方案概述 随着信息化时代的深入发展，文件档案、合同等在我们日常生活中的重要性日益凸显。这些文件不仅仅作为信息记录和参考使用，更是作为法律依据和最后的证据，在各种法律纠纷、商业合作和行政管理中扮演着至关重要的角色。因此防止文件被篡改，保证文件的完整性和真实性，成为亟待解决的问题。 区块链技术以其独特的去中心化、透明、安全、不可篡改特性，正在被广泛应用于文件防篡改领域。通过将文件信息存储在区块链上，任何试图篡改文件内容的行为都会被检测到。区块链服务BCS支持创建一个华为云区块链引擎实例，即可完成以上功能。 本实践以基于华为云区块链引擎实现电子证据可信上链为例，帮助您了解华为云区块链引擎的基础知识以及如何使用，让您快速上手使用并体验华为云区块链服务。

实施步骤 创建华为云区块链引擎实例。 安装及实例化链代码。 实例创建成功后，安装和实例化电子存证合约。 部署应用。 获取Go客户端示例，可参考《开发指南》示例Demo章节。 配置sdk客户端，并修改客户端示例中config.go的初始化参数，可参考《开发指南》SDK客户端配置章节。 适配修改示例demo中合约的调用，改为目前evidence合约中的方法调用以及参数。 调试应用。 执行上述应用程序，可以在区块链浏览器界面查看此次交易详情。并且可以看到存证文件的hash值、上传文件的用户地址create_addr和存证ev_id等信息已经在区块链上，此时该文件如果被修改，那么对应的链上信息将和该文件不一致，这样保护了该文件的完整性，防止了被篡改。

背景信息 业务场景和成员： 银行联盟链中成员democraticBank（邀请方）邀请新成员civilizationBank（简称被邀请方A）和harmoniousBank加入联盟链（简称被邀请方B）。 基于democraticBank银行的账户以及已有的KYC信息背书，免KYC过程开通civilizationBank和harmoniousBank银行的账户。 主要诉求： 用户身份等信息需要加密，提供安全性；提供基于身份信息的快速查询。 关键挑战： 安全隐私：银行不希望把客户隐私信息泄露给其它银行。 高性能检索：提供类传统数据库的检索性能（毫秒级响应） ，保持一致用户体验。 良好接口：提供简单方便的接口，便于应用开发。

SDK配置和证书下载 在“实例管理”界面，在邀请方bank-union-demo的实例卡片中，单击“获取客户端配置”。 勾选“SDK文件”，配置参数请参见表1。 为了保证示例成功运行，请在参数配置时按照表格中的参数值填写。 表1 配置SDK参数 参数名称 参数值 链代码名称 fabbank 证书存放路径 /opt/bank/src/bank/conf/crypto 说明： “/opt/bank/src/bank/conf/crypto”为容器内部路径，此路径挂载在弹性云服务器的“/root/bankuniondemo”路径下。 通道名称 testchannel 选择成员 保持系统默认，不要全选。 勾选“共识节点证书”和“Peer节点证书”，“Peer节点证书”中指定节点组织保持默认值，勾选“管理员证书”。单击“下载”。 将下载包上传到弹性云服务器“/root/bankuniondemo”目录下。 您需要在弹性云服务器的“/root”目录下，自行创建bankuniondemo目录。 SDK配置文件（sdk-config.yaml）中包含具体的链代码信息、证书路径信息。由于邀请方（成员democraticBank）、被邀请方A（成员civilizationBank）和被邀请方B（harmoniousBank）安装的链代码是同一个，详情请参考安装及实例化链代码，因此只需下载邀请方的配置文件并分别改名为三份文件即可。 解压下载包，将sdk-config.yaml文件复制两份，三份yaml文件分别命名为democraticBank.yaml、civilizationBank.yaml、harmoniousBank.yaml，最后将yaml文件上传到弹性云服务器“/root/bankuniondemo”目录下。 在被邀请方A实例卡片中，单击“获取客户端配置”，勾选“Peer节点证书”及“管理员证书”，下载区块链组织civilizationBank管理员证书。 删除被邀请方A区块链组织civilizationBank管理员证书中的私钥文件：tls目录下的server.key文件和msp目录下keystore文件夹中的文件。 图1 删除tls目录下的server.key 图2 删除msp目录下keystore文件 请参考6~7，被邀请方B下载区块链组织harmoniousBank中的管理员证书，并删除其私钥文件。 邀请方将下载的bank-union-demo-orderer管理员证书、democraticBank组织的管理员证书、被邀请方A组织中civilizationBank删除私钥后的证书以及被邀请方B组织中harmoniousBank删除私钥后的证书，存放至准备好的弹性云服务器的“/root/bankuniondemo”路径下。

获取实例连接信息 实例连接地址和端口 实例创建后，从RocketMQ实例控制台的“基本信息”页面获取，在客户端配置时，可将地址都配上。 使用TCP协议通过内网连接RocketMQ实例时，获取“连接地址”。 使用gRPC协议通过内网连接RocketMQ实例时，获取“grpc连接地址”。 使用TCP协议通过公网连接RocketMQ实例时，获取“公网连接地址”。 使用gRPC协议通过公网连接RocketMQ实例时，获取“grpc公网连接地址”。 图1 查看实例的连接地址和端口（5.x版本） 图2 查看实例的连接地址和端口（4.8.0版本） Topic名称 从RocketMQ实例控制台的“Topic管理”页签中获取Topic名称。 消费组名称 从RocketMQ实例控制台的“消费组管理”页签中获取消费组名称。 用户名和用户密钥 从RocketMQ实例控制台的“用户管理”页面获取用户名，在用户详情页获取用户密钥。

科技竞赛 面向企业和高校针对人才竞争、识别与评估提供竞赛服务解决方案。 开放华为竞赛平台办赛能力，为各企业、机构、高校等提供赛前、赛中、赛后的咨询、办赛、运营等能力，赋能每一次赛事。 提供分层核心办赛能力、在线评判与多类赛道比拼，助力推广高校品牌影响力。 提升人才技能识别效率，形成以学促赛-以赛助学的人才成长驱动力。 提供API对接方案，使能第三方平台集成赛事报名、作品提交、评判、名次排行等功能。

什么是Classroom？ Classroom是基于华为云的一站式软件教学与实践平台，支持高校师生实现备课、上课、作业、考试、实验、实训等全教学流程的线上教学，提供多类习题自动判题、企业级DevOps实训、免费在线习题库等众多高级特性辅助进行数字化教学转型。为学生提供从单个函数到企业级项目的软件开发实践平台，帮助老师更方便的开展授课、演示及软件实践教学，并为老师更全面的了解学生软件开发能力短板提供智能数据分析支持。 Classroom教学平台结合DevCloud践行产教融合新模式，搭建业界领先的“教-学-练-赛-考-评-证”一体化赋能体系。 教培机构与在校师生可以通过Classroom进行实时互动，极大提升了教学体验。教师可以进行我的工作台、课件管理、课件实时预览、课件分享、作业判题、班级管理等；学生可以接受作业、开展作业并提交作业给教师、查看教师评分等 Classroom云上软件教学服务，支持全类型课程工程实训，提供30多种精品课程，10多种企业类实践课程，3000多种习题支持秒级自动判题，覆盖10种开发语言课程打造国内首个教育知识点自动检测服务，支持多种知识点检测云上实验室，提供教学所需的多场景通用型实训环境，海量全品类课程资源库覆盖20+赛道，500门课程。

科技竞赛 提供端到端的办赛能力，提供奖金丰厚和高含金量的各类竞赛，以赛代练。 以赛促学促练，丰富领域主题赛事，自由选择赛道，比赛项目实操，增强实战经验。 丰富人才识别途径，解决人才识别途径单一痛点，以赛果作品筛选人才，提高招聘效率。 为赛事主办方与参赛者提供双向识别，双向选择通道。 开放竞赛平台办赛能力，为各企业、机构、高校等提供赛前、赛中、赛后的咨询、办赛、运营等能力，赋能每一次赛事。 提供API对接方案，使能第三方平台集成赛事报名、作品提交、评判、名次排行等功能。 提供企业专家云集的学习交流论坛。

登录客户端失败怎么办？ 用户可根据具体的提示信息进行处理。此处列举部分提示的可能原因及对应的处理步骤供参考，如表1所示。如果处理后依然登录失败，请联系管理员处理。 表1 登录失败处理举例说明 登录失败提示信息 可能原因 处理方式 6005：您的虚拟机尚未就绪，请稍候再试或尝试重启TC进行恢复。 客户端出现内存拷贝错误。 方法1：请尝试重新登录。 方法2：请重启TC，重新登录。 6008：您的虚拟机尚未就绪，请稍候再试。 客户端程序运行出现异常，分配内存错误，导致客户端初始化失败。 方法1：请尝试重新登录。 方法2：重启TC，重新登录。 6008：您的客户端版本不兼容，请更新客户端版本。 客户端版本不匹配。 请更新客户端版本。 6010：您的虚拟机尚未就绪，请稍候再试或联系管理员。 客户端与服务端的配置未同步。 方法1：请尝试重新登录。 方法2：重启客户端，重新登录。 方法3：重启云应用服务器，重新登录。 6050：您的网络存在错误，请排查网络配置后再试。 客户端与服务端网络不通畅。 方法1：检查客户端与服务端网络是否正常。 方法2：重启云应用服务器，重新登录。 父主题： 常见问题

修改策略对象 默认策略组的策略应用对象不可修改。 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“策略组”，进入策略组列表页面。 单击“策略对象”，进入策略对象配置页面。 根据需要修改策略应用对象。 在左侧可选项下拉框列表中对象，可增加应用对象。在右侧的已选对象列表中，单击，可删除应用对象。如图1所示。 图1 修改应用对象 策略生效规则： 策略对象同时存在多个策略组时，以优先级最高的生效。 接入应用时，用户（组）和应用所在应用组同时存在策略组时，以优先级最高的生效。 单击“保存”。

修改基础信息 默认策略组的基础信息不可修改。 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“策略组”，进入策略组列表页面。 单击“基础信息”，进入基础信息配置页面。 根据需要修改“名称”、“优先级”、“描述”。 策略名称必须由半角数字、字母和下划线组成，输入长度不可超过55个字符。 优先级值需小于策略组总条数。优先级是云应用判定策略执行先后顺序或者作用权重的依据。优先级由正整数表示，数值越小，优先级越高。 描述字数最多支持255个。 单击“保存”。

修改策略配置 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“策略组”，进入策略组列表页面。 单击“策略配置”，进入通用策略配置页面。 根据需要设置启用或禁用对应策略项。策略项内容如表1所示。 表1 策略管理 策略类型 策略参数 策略说明 文件重定向 固定驱动器 只读，对驱动器和存储设备中的文件只可以预览。 读写，对驱动器存储设备中的文件可编辑修改。 在云应用环境下实现对驱动器的支持，用户可以在虚拟机中通过文件重定向方式使用驱动器。 可移除驱动器 光盘驱动器 网络驱动器 剪切板重定向 开启双向 启用后最终用户可以在云应用中复制数据并在本地桌面中粘贴，同时也可以在本地桌面中复制数据后在云应用中粘贴。 服务端到客户端 启用后最终用户只支持在云应用中复制数据并在本地桌面中粘贴。 客户端到服务端 启用后，只支持在本地桌面中复制数据并在云应用中粘贴。 说明： 文件拷贝操作只支持使用Windows客户端到服务端，且需要开启文件重定向及对应驱动器。 打印机设备重定向 服务端到客户端 用户可以使用TC上连接的打印机设备 会话配置 无键鼠事件自动断开 自动断开：客户端中无键鼠操作超过设置的等待时间后，将自动断开与服务器的连接，关闭应用。 已禁用：关闭自动断开。 等待时间（分钟） 无键鼠事件自动断开的等待时间设置。配置范围：3~86400 自动注销 开启无键鼠事件自动断开功能后，可配置在断开多久后自动注销会话。 会话断连保留时长（分钟） 无键鼠事件自动断开功能开启后，自动断开连接后，等待设置的会话保留时长后，自动注销会话。配置范围：1~86400。 单击“高级策略”，根据场景需求编辑高级策略项。 单击“保存”。

会话 会话策略配置如表6所示。 表6 会话策略 策略参数 策略说明 推荐值 无键鼠事件自动断开 自动断开：客户端中无键鼠操作超过设置的等待时间后，将自动断开与服务器的连接，关闭应用。 已禁用：关闭自动断开功能禁用。 自动断开 等待时间（分钟） 无键鼠事件自动断开的等待时间设置。配置范围：3~86400 15 自动注销 开启无键鼠事件自动断开功能后，可配置在断开多久后自动注销会话。 启用 会话断连保留时长（分钟） 无键鼠事件自动断开功能开启后，自动断开连接后，等待设置的会话保留时长后，自动注销会话。配置范围：1~86400。 480

显示 配置显示策略，策略配置内容如表4所示。 表4 显示策略 策略类型 策略参数 策略说明 取值样例 显示 显示策略等级 等级1：适用于512Kbps以下的网络带宽，仅用于浏览文本文档等轻载办公场景，显示质量较低。 等级2：适用于1Mbps以下的网络带宽，仅用于浏览文本文档及静态图片等轻载办公场景，显示质量略优于等级1。 等级3：适用于4Mbps以下的网络带宽，可用于浏览文档、图片、动态网页等中载办公场景。 等级4（推荐）：适用于20Mbps以下的网络带宽，可用于流畅播放标清/高清视频，显示质量与占用带宽达到更佳平衡。 等级5：适用20Mbps以上的网络带宽，视频播放效果最优。 等级4（推荐） 显示帧率 （fps） 非视频场景下的画面刷新率。该值越大，则画面与操作越流畅，但所需的网络带宽以及虚拟机的CPU占用率也会随之升高。取值范围1~60，推荐配置为15~25。 25 视频帧率（fps） 视频场景下的画面刷新率。该值越大，则视频播放越流畅，但所需的网络带宽以及虚拟机的CPU占用率也会随之升高。 - 带宽（Kbps） 单用户峰值带宽限制，取值范围256~25000。 20000 图像压缩参数 图像缓存最低容量（MB） 进行图像缓存时的缓存容量的大小，单位MB。值越大，带宽越低，但会消耗客户端内存。设定值小于50时，缓存功能停用。取值范围0~300。 200 有损压缩识别阈值 图像复杂度的判别阈值。该值越小，图像越倾向于无损画质，清晰度越高，但对网络带宽要求也相应升高，反之亦然，取值范围0~255。 60 无损压缩模式 选择无损图像压缩算法，“初级压缩”的压缩率较低，CPU占用也低；而“深度压缩”则相反，压缩率较高，但CPU占用也略微升高。 初级压缩 深度压缩级别 该项在选择“深度压缩”后生效。压缩级别越高，意味着压缩比越高，带宽占用越低，而CPU占用越高。0级压缩表示原图拷贝，无压缩，CPU占用最低，但带宽占用最高。 压缩级别0 有损压缩质量 该项用于设置有损压缩的图像质量。取值越大，画质越好。取值范围20~100。 85 办公场景色彩增强 该项用于办公场景色彩增强。 ：启用办公场景色彩增强。 ：禁用办公场景色彩增强。 视频压缩参数 质量或带宽优先 质量优先：选择质量优先，则以固定质量压缩视频画面。“视频平均码率”不生效，仅在启用“渲染加速”后生效。 带宽优先：选择带宽优先，则以恒定码率压缩视频画面。 “视频平均质量”、“视频最低质量”、“视频最高质量”不生效，仅在启用“渲染加速”后生效。 质量优先 视频平均码率（Kbps） 视频压缩算法参数。在带宽优先模式下，该值越大，视频质量越好。取值范围256~100000。 18000 视频峰值码率（Kbps） 视频压缩算法参数。该值越大，视频质量越好。取值范围256~100000。 18000 视频平均质量 视频画面的平均质量系数。在质量优先模式下，该值越大，视频质量越差。取值范围5~59。 15 视频最低质量 视频画面的质量下限。在质量优先模式下，该值越大，视频质量越差。取值范围5~69。 25 视频最高质量 视频画面的质量上限。在质量优先模式下，该值越大，视频质量越差。取值范围1~59。 7 GOP大小 视频压缩算法参数。该值越小，视频质量越好，但带宽占用越大，推荐设为视频帧率的1~2倍。取值范围0~65535。 100 编码预置 视频压缩算法参数。该值越小，编码速度越快，流畅度越好，但图像质量越差，带宽越大。 预置1 渲染加速 渲染加速 ：选择后启用渲染加速模式，提高显示流畅度。 ：未选择则禁用渲染加速。 视频加速增强配置 ：启用视频加速增强配置。 ：禁用视频加速增强配置。 视频场景优化 ：启用视频场景优化，提高视频场景的显示流畅度。 ：禁用视频场景优化。 GPU色彩优化 ：启用GPU色彩优化，在视频/办公混合场景中提高色彩还原度。 ：禁用GPU色彩优化。 说明： 该参数仅针对GPU桌面。 其他参数 显卡缓存（MB） 设备表面内存容量，取值范围0~64，影响部分场景带宽，值越大，带宽越低。 64 驱动托管模式 ：启用驱动托管模式。 ：禁用驱动托管模式。 驱动托管延时（*30ms） 取值范围1~100。 80 驱动托管视频延时（*30ms） 取值范围1~100。 80 计算机修改分辨率 ：启用计算机修改分辨率策略后，终端用户可在云应用客户端中通过系统设置的方式修改云应用客户端显示分辨率。 ：禁用计算机修改分辨率，终端用户不能通过系统设置的方式修改显示分辨率。

文件和剪切板 配置文件和剪切板策略。策略内容如表5所示。 表5 文件和剪切板策略 策略类型 策略参数 策略说明 取值样例 双向重定向 双向重定向开关 在 云桌面 内使用云应用时，默认开启 文件重定向和剪切板重定向（双向），实现云桌面和云应用之间在云上内网间互相拷贝数据。 在TC或者本地桌面使用云应用时，根据文件重定向和剪切板重定向的开关配置控制文件和剪切板的数据拷贝。 文件重定向 文件重定向开关 只读，对选择的驱动器和存储设备中的文件只可以预览。 读写，对选择的驱动器存储设备中的文件可编辑修改。 在云应用环境下实现对驱动器的支持，用户可以在云应用中通过文件重定向方式使用驱动器。 只读 固定驱动器 ：选择后用户可以在云应用中通过文件重定向方式使用固定驱动器，如本地磁盘。 ：未选择则用户无法在云应用中通过文件重定向方式使用固定驱动器，如本地磁盘。 说明： 文件重定向关闭时，为禁用。 可移除驱动器 ：选择后用户可以在云应用中通过文件重定向方式使用可移除驱动器，如U盘。 ：未选择则用户无法在云应用中通过文件重定向方式使用可移除驱动器，如U盘。 说明： 文件重定向关闭时，为禁用。 光盘驱动器 ：选择后用户可以在云应用中通过文件重定向方式使用光盘驱动器。 ：未选择则用户无法在云应用中通过文件重定向方式使用光盘驱动器。 网络驱动器 ：选择后用户可以在云应用中通过文件重定向方式使用网络驱动器。 ：未选择则用户无法在云应用中通过文件重定向方式使用网络驱动器。 文件发送（虚拟机至客户端） ：启用文件发送开关。 ：关闭文件发送开关。 流控开关 ：启用流控开关。 ：关闭流控开关。 网络优的延时阈值（ms） 网络优良时的延时阈值，取值范围1~1000。 30 网络一般的延时阈值（ms） 网络一般时的延时阈值，取值范围1~1000。 70 网络差的延时阈值（ms） 网络较差时的延时阈值，取值范围1~1000。 100 降速步伐（KB） 降低传输速度的步伐，取值范围1~100。 20 慢增速步伐（KB） 慢增加传输速度的步伐，取值范围1~100。 10 快增速步伐（KB） 快增加传输速度的步伐，取值范围1~100。 20 传输初始速度（KB/s） 初始的开始传输速度，取值范围1~10240。 1024 测速块大小（KB） 测试速度的数据块大小，取值范围64~1024。 64 测速块时间间隔（ms） 发送测试数据块的时间间隔，取值范围1000~100000。 10000 压缩开关 ：启用压缩开关。 ：关闭压缩开关。 压缩阈值（Byte） 取值范围0~10240。 512 最小压缩率 取值范围0~1000。 900 Linux支持设置文件大小 ：启用Linux支持设置文件大小。 ：关闭Linux支持设置文件大小。 Linux设置文件大小阈值（MB） 取值范围0~4096。 100 Linux根目录挂载开关 ：启用Linux根目录挂载。 ：关闭Linux根目录挂载。 Linux根目录挂载路径 启用Linux根目录挂载时需配置挂载路径。最长256个字符，字符串格式UTF-8。 \var\log Linux文件系统挂载路径 最长256个字符，字符串格式UTF-8。 \media|\Volumes|\swdb\mnt|\home|\storage|\tmp|\run\media Linux固定驱动器文件系统格式 最长256个字符，字符串格式UTF-8。 - Linux可移动驱动器文件系统格式 最长256个字符，字符串格式UTF-8。 vfat|ntfs|msdos|fuseblk|sdcardfs|exfat|fuse.fdredir Linux光盘驱动器文件系统格式 最长256个字符，字符串格式UTF-8。 cd9660|iso9660|udf Linux网络驱动器文件系统格式 最长256个字符，字符串格式UTF-8。 smbfs|afpfs|cifs 路径分隔符 单个ASCII字符。 | 读写速度（Kbps） 范围大小为0~2147483647之间。 0 移动客户端重定向 ：启用移动客户端重定向。 ：关闭移动客户端重定向。 剪切板重定向 剪切板重定向 开启双向：启用后最终用户可以在云应用客户端复制数据并在本地桌面中粘贴，同时也可以在本地桌面中复制数据后在云应用客户端中粘贴。 服务端到客户端：启用后最终用户只支持在云应用客户端中复制数据并在本地桌面中粘贴。 客户端到服务端：启用后，只支持在本地桌面中复制数据并在云应用客户端中粘贴。 纯文本长度限制 允许服务端到客户端拷贝，范围为1~4096个字符。 允许客户端到服务端拷贝，范围为1~4096个字符。 说明： 仅在客户端（TC/SC）操作系统和云应用操作系统均为Windows时，支持富文本拷贝、文件拷贝，且最多同时可拷贝500个文件。 当客户端（TC/SC、移动客户端）操作系统为其他时，只支持纯文本格式拷贝，不支持文件拷贝。 开启双向 剪切板富文本重定向 开启双向：启用后最终用户可以在云应用客户端复制富文本并在本地桌面中粘贴，同时也可以在本地桌面中复制富文本后在云应用客户端中粘贴。 服务端到客户端：启用后最终用户只支持在云应用客户端中复制富文本并在本地桌面中粘贴。 客户端到服务端：启用后，只支持在本地桌面中复制富文本并在云应用客户端中粘贴。 说明： 富文本：指包含了格式信息的文本，比如字体样式（粗体、斜体等）、颜色、超链接、图像、表格等多媒体元素。 开启双向 剪切板文件重定向 开启双向：启用后最终用户可以在云应用客户端复制文件并在本地桌面中粘贴，同时也可以在本地桌面中复制文件后在云应用客户端中粘贴。 服务端到客户端：启用后最终用户只支持在云应用客户端中复制文件并在本地桌面中粘贴。 客户端到服务端：启用后，只支持在本地桌面中复制文件并在云应用客户端中粘贴。 开启双向

自定义策略 操作场景 如果系统预置的Workspace权限不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义策略。本章为您介绍常用的Workspace自定义策略样例。 策略样例 示例1：授权用户开关机权限 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "workspace:*:get*", "workspace:*:list*", "workspace:*:export*", "ims:images:get", "ims:images:list", "ims:quotas:get", "nat:natGateways:list", "nat:snatRules:list", "vpc:bandwidths:list", "vpc:networks:get", "vpc:ports:get", "vpc:publicIps:get", "vpc:publicIps:list", "vpc:quotas:list", "vpc:securityGroupRules:get", "vpc:securityGroups:get", "vpc:subnets:get", "vpc:vpcs:get", "vpc:vpcs:list", "vpcep:endpoints:get", "dss:pools:list", "workspace:desktops:operate" ] } ]} 父主题： 权限管理

使用场景 云应用主要用在如下场景： 简单办公场景 办公场景的特征是计算机主要用来进行日常办公及固定的行业软件使用。针对这种场景，若采用普通虚拟桌面或PC解决方案，用户只使用了虚拟桌面或PC机很少的能力，但仍然需购买PC，增加了成本。使用云应用可以大幅减少用户的硬件投资及操作系统投资。 简单办公场景的典型远程应用场景如下： 任务型工作：用户通过Intranet或Internet使用公司集中部署的OA、Notes、其他业务系统等，无需在终端上安装相关软件。 双网隔离：在内外网隔离环境下，但是用户又有访问外部网络的需求时，可将浏览器通过云应用平台发布出来，所有访问外部网络的操作都在云应用上完成，而用户个人机器并没有访问外部网络的权限，保证了用户数据的安全性。 父主题： 简介

操作步骤 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“策略组”，进入策略组列表页面。 在页面右上角单击“创建策略组”，进入创建策略组基础信息配置页面。 设置“策略名称”和“描述”信息。 “策略名称”必须由半角数字、字母和下划线组成，输入长度不可超过55个字符。 描述字数最多支持255个。 根据实际需求，选择“创建模式”。 全新创建：使用空的默认模板创建。 从模板创建：使用现有的策略模板创建，配置项默认与该策略模板相同。 管理员可以选择已存在的策略模板或者通过新增自定义模板创建新的模板。 系统已提供四种不同场景的策略模板。帮助您快速完成云应用策略配置。 安全场景：安全场景下，通过华为云桌面协议禁止云应用中的数据流出到个人存储设备，确保数据资产只保留在企业的数据中心。 游戏场景（依赖GPU）：针对游戏场景，优化鼠标的跟随性和画面显示，在带宽有限的场景下，优先保证流畅度，提升游戏体验。 制图场景（依赖GPU）：针对制图场景，调整显示帧率，提升画面的显示质量；调整鼠标跟随模式，降低光标与图片之间的间隔，减少用户的视觉差异。 视频编辑 场景（依赖GPU）：针对视频编辑场景，通过视频加速，优化视频播放质量，鼠标紧密跟随用户操作，提升用户操作体验。 导入已有策略：如果已经创建过策略，可在已有的策略中选择策略导入，配置项默认与选择的该策略相同。 单击“下一步：策略配置”。 进入策略配置页面。 在“策略配置”页面中，根据用户的实际场景需求，设置计算机各方面的应用策略。 通用策略精简自高级策略，可以满足常用办公需求。已默认开启满足常用办公需求的策略参数项。 表示该项策略已启用。 表示该项策略已禁用。 通用策略配置的策略内容如表1 策略管理所示。 表1 策略管理 策略类型 策略参数 策略说明 文件重定向 固定驱动器 只读，对驱动器和存储设备中的文件只可以预览。 读写，对驱动器存储设备中的文件可编辑修改。 在云应用环境下实现对驱动器的支持，用户可以在虚拟机中通过文件重定向方式使用驱动器。 可移除驱动器 光盘驱动器 网络驱动器 剪切板重定向 开启双向 启用后最终用户可以在云应用中复制数据并在本地桌面中粘贴，同时也可以在本地桌面中复制数据后在云应用中粘贴。 服务端到客户端 启用后最终用户只支持在云应用中复制数据并在本地桌面中粘贴。 客户端到服务端 启用后，只支持在本地桌面中复制数据并在云应用中粘贴。 说明： 文件拷贝操作只支持使用Windows客户端到服务端，且需要开启文件重定向及对应驱动器。 打印机设备重定向 服务端到客户端 用户可以使用TC上连接的打印机设备 会话 无键鼠事件自动断开 自动断开：客户端中无键鼠操作超过设置的等待时间后，将自动断开与服务器的连接，关闭应用。 已禁用：关闭自动断开。 等待时间（分钟） 无键鼠事件自动断开的等待时间设置。配置范围：3~86400 自动注销 开启无键鼠事件自动断开功能后，可配置在断开多久后自动注销会话。 会话断连保留时长（分钟） 无键鼠事件自动断开功能开启后，自动断开连接后，等待设置的会话保留时长后，自动注销会话。配置范围：1~86400。 配置高级策略。 通用策略配置可以满足常用办公需求，如有特殊场景需求，可进行“高级策略”配置。 在通用策略配置页面，单击“高级策略”。 进入“高级策略”配置页面。 图1 高级策略配置入口 根据场景需求，配置高级策略。如图2 高级策略配置所示，高级策略配置参数请参考配置高级策略参数。 图2 高级策略配置 单击“下一步：应用对象”。 按实际情况选择“对象类型”，选择对象，如图3所示。 所有对象 用户 用户组 应用组 图3 选择应用对象 单击“下一步：完成”。 创建策略成功，策略会在用户下一次登录云应用后生效。

前提条件 管理员发布沙箱控制台应用到应用组。 用户登录客户端，在应用列表页面单击打开Sandboxie Control控制中心，弹出“Sandboxie Control”控制台。 在Sandboxie Control控制台右键单击需要设置的沙盒，选择“沙盒设置”弹出沙盒设置窗口，选择“外观”，进入“外观”页面。 在“外观”页面将“在窗口边缘显示“选择框去掉勾选，单击“确定”，如图1所示。 图1 窗口边缘显示边界配置

已开通服务总览页面 开通云应用服务后，您可以按照流程引导制作镜像、创建服务器及创建应用组，如图2所示。 图2 总览信息 已创建服务器及创建应用组后，在“总览”页面，您可以查看用户使用率趋势、告警通知、云应用的资源监控等。 用户使用率据趋势中，您可以查看周期内（5分钟、1小时、一天）固定时间段（当天、近7天、近30天、自定义时间段）的失败用户数、在线会话数等详细数据趋势如图3所示。 图3 数据趋势 今日接入失败用户数 在“今日接入失败用户数”上方单击“查看”，跳转至“应用记录”的“用户接入失败统计”页签。 您可以查看用户接入失败统计记录信息，如连接用户、接入失败次数（连续三分钟接入失败则记为失败一次；同一个用户单日多次失败记为一个用户）、最近一次接入失败时间、错误码、错误信息等。 单击左列下的“查看”，跳转至“应用使用记录”页签，可以查看具体的应用记录信息。 在线会话数 在“在线会话数”上方单击“查看”，跳转至“会话管理”界面。 您可以看会话相关的详细信息，如用户名、服务器名称/IP、服务器组名称/ID、会话类型等。 告警通知页面，您可以查看云应用的告警总数、告警级别、告警信息等，如图4所示，单击“查看详情”跳转至 云监控服务 页面查看详细的告警信息。 图4 告警通知 资源监控页面，您可以查看APS资源使用率、主机资源使用率（如未购买云办公专属主机，默认主机资源使用率为0），如图5所示。 图5 资源监控 根据资源实例的CPU使用率或内存使用率划分低负载、中负载、高负载三个档位。 低负载：CPU使用率 ≤ 50%且内存使用率≤70% 中负载：CPU使用率＞50%或者内存使用率＞70% 高负载：CPU使用率＞70%或者内存使用率＞85%

云服务故障 表1 云服务 故障类型 故障模式 设置参数 弹性云服务器 ECS 启动弹性云服务器 关闭弹性云服务器 重启弹性云服务器 - 裸金属服务器 BMS 启动裸金属服务器 关闭裸金属服务器 重启裸金属服务器 - 云硬盘 EVS 删除云硬盘 - 云硬盘快照 EVS_SNAPSHOT 删除云硬盘快照 回滚快照到云硬盘 - 云数据库 RDS 设置云数据库RDS实例读写状态 - 开启云数据库RDS实例 - 重启云数据库RDS实例 - 倒换云数据库RDS主备 - 设置云数据库RDS实例读写状态 readonly； 文档数据库 DDS 重启文档数据库服务实例 - 云数据库 GaussDB 重启云数据库GaussDB实例 - 分布式缓存服务 DCS 分布式缓存服务主备切换 重启分布式缓存服务实例 - 云搜索服务 CSS 重启 云搜索 服务集群 - 数据湖探索 DLI 重启 数据湖 探索队列 force；stop_job 扩容数据湖探索队列 cu_count； 缩容数据湖探索队列 cu_count； 云数据库 GaussDB(for MySQL) 重启云数据库GaussDB(for MySQL)实例 - 云数据库GaussDB(for MySQL)手动主备倒换 master_id；node_id； 数据仓库 服务 重启数据仓库服务集群 - 父主题： 故障模式库

跨账号执行DRS插件 当前账号通过“DRS检查任务信息”插件执行其他账号下的DRS任务时，需要提前创建委托和创建凭证，其步骤如下： 委托方账号创建委托并授权，授予被委托账号所需 IAM 和DRS的权限。 IAM所需最小权限策略如下： {"Version": "1.1","Statement": [{"Action": ["iam:projects:listProjects"],"Effect": "Allow"}]} DRS所需最小权限策略如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "DRS ReadOnlyAccess", "drs:migrationJobs:getProgress" ] } ]} 被委托账号创建凭证，“委托账号”和“委托名”根据1配置。

配置介绍 表1 选择输入-配置说明 参数 配置说明 任务所在region 选择任务所在区域。 凭证 选择凭证，默认显示当前命名空间多活分区下已配置的默认凭证。 项目 选择项目，默认显示当前命名空间多活分区下已配置的默认项目。 任务 选择DRS任务。 预期任务方向 选择预期任务方向。 本云为主/出云 本云为备/入云 预期任务状态 选择预期任务状态。 灾备中/增量开始 灾备异常/增量失败 任务名称 请自定义输入任务名称。 表2 手动输入-配置说明 参数 配置说明 任务所在region 配置任务所在区域。 项目ID 配置项目ID。 凭证ID （可选）配置委托凭证ID。 说明： 不填写凭证ID：默认使用当前凭证。 使用委托时：凭证ID/委托项目ID需要同时填写。 委托项目ID （可选）配置委托项目ID。 任务ID 输入DRS任务ID。 预期任务方向 输入预期任务方向。 up：“本云为主/出云” down：“本云为备/入云” 预期任务状态 输入预期任务状态。 INCRE_TRANSFER_STARTED：灾备中/增量开始 INCRE_TRANSFER_FAILED：灾备异常/增量失败 任务名称 请自定义输入任务名称。

配置介绍 表1 选择输入-配置说明 参数 配置说明 任务所在region 选择任务所在区域。 凭证 选择凭证，默认显示当前命名空间多活分区下已配置的默认凭证。 项目 选择项目，默认显示当前命名空间多活分区下已配置的默认项目。 任务 输入DRS任务。 增量时延阈值（单位：秒） 输入或选择增量时延阈值（单位：秒）。 说明： 应为0到2147483647之间的整数。 检查时间间隔（单位：秒） 选择检查时间间隔（单位：秒）。 说明： 检查时间间隔应为3到2147483647之间的整数。 检查次数 选择检查次数。 说明： 检查时间间隔应为-1或1到2147483647之间的整数，-1表示不限次数。 任务名称 请自定义输入任务名称。 表2 手动输入-配置说明 参数 配置说明 任务所在region 配置任务所在区域。 项目ID 配置项目ID。 凭证ID （可选）配置委托凭证ID。 说明： 不填写凭证ID：默认使用当前凭证。 使用委托时：凭证ID/委托项目ID需要同时填写。 委托项目ID （可选）配置委托项目ID。 任务ID 输入DRS任务ID。 增量时延阈值（单位：秒） 输入增量时延阈值（单位：秒）。 说明： 应为0到2147483647之间的整数。 检查时间间隔（单位：秒） 输入检查时间间隔（单位：秒）。 说明： 检查时间间隔应为3到2147483647之间的整数。 检查次数 输入检查次数。 说明： 检查时间间隔应为-1或1到2147483647之间的整数，-1表示不限次数。 任务名称 请自定义输入任务名称。

跨账号执行DRS任务 当前账号通过“DRS检查任务方向和状态”插件执行其他账号下的DRS任务时，需要提前创建委托和创建凭证，其步骤如下： 委托方账号创建委托并授权，授予被委托账号所需IAM和DRS的权限。 IAM所需最小权限策略如下： {"Version": "1.1","Statement": [{"Action": ["iam:projects:listProjects"],"Effect": "Allow"}]} DRS所需最小权限策略如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "DRS ReadOnlyAccess" ] } ]} 被委托账号创建凭证，“委托账号”和“委托名”根据1配置。

评估历史 本章节指导用户在应用详情页面下的评估历史页签进行相关操作。 在“应用详情”页面，进入“评估历史”页签。 单击右侧操作“下载”按钮，进行报告的下载，评估中的报告不允许下载。 单击右侧操作“删除”或列表上方“批量删除”按钮，删除指定报告，正在评估中的报告或最新的报告不允许删除。 单击报告名称，进入报告详情界面。 单击“韧性评估风险项”页签，单击“操作指导”列的跳转链接，查看修复风险的操作指导。 单击“总览”页签，查看韧性评估结果总览、未纳入资源总览、RTO/RPO评估总览。 单击“韧性评估风险项”页签，单击风险项，查看实例信息，单击“优化链接”列的链接，跳转到实例具体的修复界面。 关闭列表右侧“纳入评估”评估开关（只针对最新报告，历史报告展示纳入的状态“已纳入”或“未纳入”），该风险将不纳入评估结果中，韧性评估结果对应的风险数会相应减少，重新评估时，该风险也不会纳入评估结果中。 单击“RTO/RPO评估详情”页签，查看RTO/RPO评估结果，根据“推荐优化建议”或“最小成本优化建议”进行修复。 单击“差异分析”按钮，选择两个报告(仅支持选择状态为“评估完成”的报告)，单击“确认”，生成报告对应的总览、韧性评估、RTO/RPO评估差异信息。 父主题： 应用详情