华为云用户手册

名词解释 内容分发网络（Content Delivery Network，CDN）：是将源站内容分发至靠近用户的加速节点，使用户可以就近获得所需的内容，解决Internet网络拥挤的状况，提高用户访问的响应速度和成功率，从而提升您业务的使用体验。 域名注册（Domains）：是用户付费获取Internet上某一域名一段时间使用权的过程。华为云 域名注册服务 与新网合作，提供域名的注册、购买、实名认证以及管理功能。通过华为云注册的域名其注册商为新网，由华为云提供域名管理服务。 全站加速 (Whole Site Acceleration)：是一种融合了动态和静态加速的网站加速解决方案。用户请求资源时，静态内容从边缘节点就近获取，动态内容通过动态加速技术智能选择最佳路由回源获取。CDN全站加速能有效提升动态页面的加载速度，避开网络拥堵路由，提高访问成功率，实现网站整体加速与实时优化。

资源成本及规划 该解决方案部署完成后不产生费用，在实际业务使用时全站加速服务会产生费用，表1 成本预估为该解决方案预估的费用，仅供参考，实际收费请参考云服务的计费详情。 表1 成本预估（仅供参考） 华为云服务 计费说明 每月花费(10000次请求，产生100GB流量数据) 全站加速服务 价格=基础费用(流量或带宽)+全站加速请求数费用，该解决方案默认按流量阶梯计费，您也可以在WSA服务中购买预付费流量包，更多计费详情请参见价格详情。 1.基础费用：默认按流量阶梯计费，月度阶梯累进，按小时计费。 以下是中国大陆价格： 1.0TB~10TB（含）：0.2元/GB 2.10TB~50TB（含）: 0.18元/GB 3.大于50TB: 0.15元/GB 2.全站加速请求数费用：全站加速请求数为Q万次*请求数价格(￥0.15 元/万次)（无法从流量包中抵扣，此费用需从账户余额扣费）。 20.0元 合计 20.0元

结果示例 示例图 示例结果 防疫健康码检测结果如下所示，支持识别防疫码类别、姓名、身份证号码、手机号码、省份、城市、健康码或行程卡的更新时间、健康码或行程卡颜色、疫苗接种情况、核酸检测结果、核酸检测机构、核酸检测结果更新时间、核酸检测采样时间、行程卡的途经地址等14个关键字段。。 返回参数的详细介绍，请参见防疫健康码识别 API参考。 { "result" : { "type" : "health_code", "name" : "**余", "idcard_number" : "", "phone_number" : "", "province" : "安徽省", "city" : "合肥市", "time" : "2022-03-30 15:37:13", "color" : "green", "vaccination_status" : "x 2已接种新冠疫苗", "pcr_test_result" : "", "pcr_test_organization" : "", "pcr_test_time" : "", "pcr_sampling_time" : "", "reached_city" : "", "confidence" : { "type" : 0.615, "name" : 0.9003, "idcard_number" : 0, "phone_number" : 0, "province" : 0, "city" : 0.8785, "time" : 0.9174, "color" : 0.615, "vaccination_status" : 0.8691, "pcr_test_result" : 0, "pcr_test_organization" : 0, "pcr_test_time" : 0, "pcr_sampling_time" : 0, "reached_city" : 0 }, "words_block_count" : 16, "words_block_list" : [ { "words" : "文字块1", "confidence" : 0.8327, "location" : [ [ 754, 21 ], [ 855, 21 ], [ 855, 60 ], [ 754, 60 ] ] }, { "words" : "文字块2", "confidence" : 0.7972, "location" : [ [ 929, 22 ], [ 1022, 22 ], [ 1022, 59 ], [ 929, 59 ] ] } ] }}

资源和成本规划 该解决方案主要部署如下资源，需要的产品列表和配置示例如表1所示，以下花费仅供参考，具体请参考华为云官网价格，实际以收费账单为准。 表1 资源和成本规划 产品 配置示例 每月花费（调用1000次） 文字识别 服务 区域：华北-北京四 计费模式：按需计费 涉及服务：防疫健康码识别 防疫健康码识别： 0.0825元/次 82.5元 对象存储服务 区域：华北-北京四 计费模式：按需计费 存储策略：多AZ存储 桶策略：私有 存储类别：标准存储 数据存储（多AZ存储）：0.1390元/GB/月 请求费用：0.0100元/万次 预计每月新增1GB数据量，花费0.1390元。 该方案存储费用消耗较低，详细请参考每月账单。 函数工作流 服务 区域：华北-北京四 计费模式：按需计费 函数内存：128MB 执行超时时间：120秒 请求次数0-100万次/月：免费 计量时间：0-400,000GB/秒：免费 节点执行次数：0-5000次：免费 0 总计 - 约82.64元

通过华为云控制台使用 登录华为云对象存储服务控制台，查看部署完成后，自动创建的OBS桶列表。 图1 对象存储服务控制台 选择用于上传健康码、核酸检测记录、行程卡图片的桶“ocr-health-code-identification-image-demo”，上传图片。 图2 上传待识别健康码、核酸检测记录、行程卡 选择用于存放结果的“ocr-health-code-identification-image-demo”桶，即可识别结果，以图片名称为前缀的JSON文件存储。 图3 获取识别结果文件

快速部署 本章节主要帮助用户快速部署该解决方案。 表1 参数说明 参数名称 类型 是否可选 参数解释 默认值 image_bucket_name string 必填 对象存储服务 OBS桶名称，全局唯一，用于上传健康码图片或PDF文件。取值范围：3~63个字符，支持小写字母、数字、中划线（-）、英文句号（.）。 空 result_bucket_name string 必填 对象存储服务 OBS桶名称，全局唯一，用于存放识别结果。取值范围：3~63个字符，支持小写字母、数字、中划线（-）、英文句号（.）。 空 登录华为云解决方案实施库，选择“一键部署”。 图1 一键部署防疫健康码识别 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考表1 参数说明完成自定义参数填写，单击“下一步”。 图3 配置参数 在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 在配置确认界面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 待“事件”中出现“Apply required resource success”，表示该解决方案已经部署完成。 图9 部署完成 父主题： 实施步骤

快速卸载 为避免产生不必要的费用，通过此示例学习时序预测算法的使用后，您可以清除相关资源，避免造成资源浪费。 停止在线服务：在“在线服务”页面，单击对应服务操作列的“停止”。 图1 停止在线服务 终止训练作业：在“训练作业”页面，单击操作列的“终止”或者”删除”。 图2 训练作业 删除WorkfFlow：在该Workflow页面点击更多按钮，选择删除即可。 图3 删除WorkfFlow 删除数据：登录OBS控制台，删除上传的数据。 父主题： 实施步骤

名词解释 对象存储服务OBS：对象存储服务（Object Storage Service，OBS）是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力。 ModelArts：ModelArts是面向AI开发者的一站式开发平台，提供海量数据预处理及半自动化标注、大规模分布式训练、自动化模型生成及端-边-云模型按需部署能力，帮助用户快速创建和部署模型，管理全周期AI工作流。具体可参考： AI开发平台 ModelArts。

快速部署 本章节主要帮助用户快速部署“智能零售”解决方案。 配置节点 参数名称 类型 是否可选 参数解释 默认值 运行配置 output_dir string 必填 选择一个OBS空目录存储训练输出的模型 空 ad_products_data_source string 必填 选择广宣价签数据所在的OBS目录 空 sku_data_source string 必填 选择SKU数据所在的OBS目录 空 翻拍模型训练 data_url string 必填 翻拍模型输入的训练集OBS目录 空 eval_data_url string 必填 翻拍模型输入的验证集OBS目录 空 相似度模型训练 data_url string 必填 相似度模型输入的训练集OBS目录 空 eval_data_url string 必填 相似度模型输入的验证集OBS目录 空 SKU检测-发布标注任务 sku_model_dir-release_data_dataset_input string 必填 选择对应数据集及版本 空 切分检测数据集 sku_label_txt string 必填 标准标签名称列表文件 空 sku_synonym_tx string 必填 标签名称同义词映射表 空 场景识别模型训练 data_url string 必填 场景识别模型输入的数据集OBS目录 空 发布模型 swr_model_step_input string 必填 零售API使用的镜像地址 空 登录华为云解决方案实践，选择"零售行业AI巡店解决方案"，单击“查看部署指南”可跳转至该解决方案部署指南界面。 图1 解决方案实践 图2 业务架构图 准备数据 1. 从AI Gallery下载零售体验数据集。 本示例使用AI Gallery中已有的数据集，您可以直接下载使用。 a. 打开零售体验数据集页面，单击“下载”。 b. 在“下载详情”页面，选择ModelArts数据集，并配置以下参数。 “目标区域”：选择“华北-北京四”。 “数据类型”：选择“图片”。 “数据集输出位置”： 在“请选择对象存储（OBS）路径”对话框中，选择准备工作中已创建的OBS桶，单击“创建文件夹”，创建一个命名为“retail”的文件夹，后再创建一个为“output”的子目录选择即可，此处的文件夹名称仅为举例，您可以自定义文件夹名称。 “数据集输入位置”： 在“请选择对象存储（OBS）路径”对话框中，选择准备工作中已创建的OBS桶，单击“创建文件夹”，创建一个命名为“retail”的文件夹，后再创建一个为“input”的子目录选择即可，此处的文件夹名称仅为举例，您可以自定义文件夹名称。 “名称和描述”：可根据实际情况填写，也可保持默认。 c. 单击“确定”，开始下载数据集至目标位置。 系统页面将自动跳转至“我的数据”页面，在“我的下载”页签下，可查看对应数据集的下载进度，数据集下载需要几分钟到十几分钟时间，请耐心等待。 2. （可选）使用自有数据。 如果您想使用自己的数据集，直接将数据上传至OBS文件夹中并使用数据管理创建相应的数据集。具体操作，请参见上传文件。 订阅Workflow 打开零售陈列workflow页面，单击“订阅”（注意：零售陈列workflow详参“智慧零售”，如需使用，请到立即咨询录入信息联系开通白名单）。 订阅完成后，单击“已订阅”旁的“运行”。 图3 零售陈列workflow 在弹出的“从AI Gallery导入工作流”对话框中配置一下参数。 “资产版本”：选择最新版本。 “云服务区域”：“华北-北京四”。 图4 配置参数 配置Workflow 登录ModelArts管理控制台，在控制台顶部区域下拉框中，选择“华北-北京四”。 在左侧导航栏，选择“Workflow”。 在Workflow列表中，单击Workflow所在行操作列的“配置”。 Workflow配置中各个节点的Workflow配置，请参见下表： 表1 Workflow配置信息表 配置节点 配置项 “运行配置” “output_dir”：选择一个OBS空目录存储训练输出的模型。 “data_source”：选择上一步骤下载的input路径即可。 “资源配置” 各个训练节点资源保持默认即可 “ 消息通知 ” 订阅消息使用消息通知服务，在事件列表中选择需要监控的节点和Workflow状态，在事件发生时发送消息通知。您可以根据实际情况设置是否打开开关，如果开启订阅消息，请根据实际情况填写如下参数。 “主题名”：订阅消息主题名称。您可以单击创建主题，在消息通知服务中创建主题。 “订阅对象”：单击“增加订阅消息”，选择你需要的“订阅对象”和“订阅事件”。 说明 使用订阅消息服务会产生相关服务费用，详细信息请参见资费说明。 如果您订阅了节点事件，同时也订阅了Workflow事件，消息通知会重复发送。 “是否训练翻拍模型” 本次教程案例不涉及翻拍，此处无需修改保持默认即可。 “翻拍模型训练” 本次教程案例不涉及翻拍，输入的三个目录参数选择任意三个OBS目录即可。 “是否训练相似度模型” 本次教程案例不涉及相似度，此处无需修改保持默认即可。 “相似度模型训练” 本次教程案例不涉及相似度，输入的两个目录参数选择任意两个OBS目录即可。 “是否训练价签模型” 本次教程案例不涉及价签识别，此处无需修改保持默认即可。 “发布标注任务版本” 本次教程案例不涉及价签识别，输入的数据集选择任意一个数据集和任意一个版本即可。 “价签检测模型训练” 本次教程案例不涉及价签识别，此处无需修改保持默认即可。 “是否训练SKU模型” 需要将is_sku_train的开关打开。 “sku检测模型训练” 保持默认即可。 “切分检测数据” 这一步骤需要配置的参数为label_txt，其是标准标签名称列表文件，即本次标注的数据集使用了哪几个类别，选择OBS目录下事先准备好的txt文件即可。 synonym_txt参数的配置在第一次使用过程中选择一个空的txt文件即可。 “裁剪训练图片” 保持默认即可。 “裁剪验证图片” 保持默认即可。 “裁剪背景图片” 保持默认即可。 “清洗分类数据” 保持默认即可。 “分类算法训练” 保持默认即可。 “分类精度验证” 保持默认即可。 “提取训练特征” 保持默认即可。 “提取验证特征” 保持默认即可。 “是否训练SKU场景识别模型” 本次教程案例不涉及场景识别，此处无需修改保持默认即可。 “场景识别模型训练” 本次教程案例不涉及场景识别，输入选择任意一个OBS目录即可 “推理编排脚本” 保持默认即可。 “发布模型” 选择零售工作流需要的容器镜像。 4. 完成以上节点参数配置后，在Workflow页面右上角单击“保存配置”。 启动Workflow 在Workflow页面右上角单击“启动”，自动跳转至工作流运行总览页面。 您可以在运行状态区域，查看节点的运行状态，节点运行成功后自动运行下一个训练节点。 部署服务的配置要在所有节点运行完成后，才能进行配置。“创建模型”节点运行成功后选择AI应用管理查看运行成功的AI应用。 针对该应用选择部署在线服务，运行部署服务，等待一段时间服务变为运行中： 父主题： 实施步骤

资源和成本规划 该解决方案主要部署如下资源，以下花费仅供参考，具体请参考华为云官网价格详情，实际收费以账单为准： 表1 资源和成本规划 华为云服务 配置示例 每月预估花费 对象存储服务（多AZ存储） 按需计费（存储费用）：0.139元/GB 按需计费（流量费用）：0.5元/GB 按需计费（请求费用）：0.01元/1W次 区域：华北-北京四 计费模式：按需计费 0.139 * 1024 + 0.5 * 100 + 0.01 * 1500 = 207.34元 ModelArts（计算型GPU（V100 NVLINK_32G）实例） 按需计费：28元/小时 区域：华北-北京四 计费模式：按需计费 规格：8核64GB(CPU), V100(GPU) 购买量：1 28 * 20 = 560元 ModelArts（计算型GPU(T4 8U32G) 实例） 包月：4569.2元/月 区域：华北-北京四 计费模式：按月计费 规格：8核23GB（CPU），T4(GPU) 购买量：2 4569.2 * 2 =9138.4元 合计 - 9,905.74元

弹性云服务器与其他服务的关系 表1 弹性云服务器与其他服务的关系 服务名称 弹性云服务器与其他服务的关系 主要交互功能 弹性伸缩 弹性伸缩支持自动调整弹性云服务器资源，可按照您定义的伸缩配置和伸缩策略对弹性云服务器进行伸缩，帮您节约资源和人力运维成本。 使用已有云服务器创建伸缩配置 使用新模板创建伸缩配置 负载均衡 将访问流量自动分发到多台弹性云服务器上，提高应用系统对外的服务能力，提高应用程序容错能力。 添加后端云服务器 云硬盘 可以将云硬盘挂载到弹性云服务器，并可以随时扩容云硬盘容量。 挂载非共享云硬盘 挂载共享云硬盘 虚拟私有云 为弹性云服务器提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。您可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 为弹性云服务器申请和绑定弹性公网IP 添加安全组规则 镜像 您可以通过镜像创建弹性云服务器，提高弹性云服务器的部署效率。还可以通过已有的云服务器创建私有镜像导出云服务器的系统盘或数据盘。 通过云服务器的数据盘创建数据盘镜像 通过云服务器创建整机镜像 专属计算集群 如果您希望从物理上隔离您的云服务器，那么您需要先申请专属计算集群。申请专属计算集群且将区域设置为所申请的专属计算集群时，云服务器自动创建在您的专属计算集群中。 开通专属云 申请专属计算集群资源 云监控 当用户开通了弹性云服务器后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。 弹性云服务器的监控指标 弹性云服务器中操作系统监控的监控指标 数据加密 服务 加密功能依赖于数据加密服务。您可以在创建弹性云服务器时，使用加密镜像或加密云硬盘，此时需要使用数据加密服务提供的密钥，从而提升数据的安全性。 云硬盘加密 镜像加密 创建密钥对 云审计 服务 记录与弹性云服务器相关的操作事件，便于日后的查询、审计和回溯。 支持云审计的关键操作 云备份 提供对云硬盘、弹性云服务器的备份保护服务。 购买云服务器 备份存储库 标签管理服务 使用标签来标识弹性云服务器，便于分类和搜索。 添加标签 使用标签检索资源

产品优势 极致的隔离和安全 擎天Enclave是完全独立的虚拟机，无持久性存储、交互式访问和外部网络。父虚拟机与擎天Enclave之间通过安全的本地通道完成通信。即使您是父虚拟机上的root用户，也不能访问或通过SSH连接到擎天Enclave。 密码学证明 擎天Enclave支持密码学证明。擎天Enclave支持通过密码学证明过程来证明其身份并与外部服务建立信任。证明过程需要使用证明文档，它包含对擎天Enclave运行环境的可信度量值。您可以使用这些度量值在外部服务中创建访问控制策略，以控制特定擎天Enclave实例对指定操作的访问权限。 灵活性 您可以灵活的创建具有不同VCPU数量和内存大小的擎天Enclave实例。擎天Enclave是软硬结合的方案，与前端处理器类型无关，可以与任何编程语言或框架兼容。此外，由于擎天Enclave的很多组件是开源的，客户甚至可以自行检查并验证代码。 多个擎天Enclave支持 您还可以在父虚拟机中同时创建多个擎天Enclave安全区域，用于完成不同的机密计算处理，相互之间完全独立、完全隔离。 运维自动化 为了防止软硬件故障，提供可靠性，我们提供自动化的热迁移支持。

规格 表2 kI1型弹性云服务器的规格 规格名称 vCPU 内存 （GiB） 最大带宽/基准带宽 （Gbps） 最大收发包能力 （万PPS） 网卡个数上限 网卡多队列数 本地盘 虚拟化类型 ki1.2xlarge.4 8 32 7/3 80 4 4 1 × 3200GiB KVM ki1.4xlarge.4 16 64 12/6 140 6 4 2 × 3200GiB KVM ki1.6xlarge.4 24 96 15/8.5 200 6 8 3 × 3200GiB KVM ki1.8xlarge.4 32 128 18/10 260 6 8 4 × 3200GiB KVM ki1.12xlarge.4 48 192 25/16 350 6 16 6 × 3200GiB KVM ki1.16xlarge.4 64 228 30/20 400 6 16 8 × 3200GiB KVM

功能 kI1型弹性云服务器的IOPS(Input/Output Operations Per Second)性能和单盘指标如表3和表4所示。 表3 kI1型弹性云服务器IOPS性能 规格名称 4KB随机读最大IOPS ki1.2xlarge.4 750000 ki1.4xlarge.4 1500000 ki1.6xlarge.4 2250000 ki1.8xlarge.4 3000000 ki1.12xlarge.4 4500000 ki1.16xlarge.4 6000000 表4 kI1型弹性云服务器NVMe单盘指标 指标 性能 磁盘容量 3.2T 读IOPS（4KB随机读） 750000 写IOPS（4KB随机写） 200000 读吞吐量 2.9 GiB/s 写吞吐量 1.9 GiB/s 访问时延 微秒级

使用须知 鲲鹏超高I/O型弹性云服务器当前支持的操作系统请参考弹性云服务器类型与支持的操作系统版本。 鲲鹏超高I/O型弹性云服务器所在的物理机发生故障时，不支持弹性云服务器的热迁移恢复： 部分宿主机硬件故障或亚健康等场景，需要用户配合关闭E CS 完成宿主机硬件维修动作。 因系统维护或硬件故障等，HA重新部署ECS实例后，实例会冷迁移到其他宿主机，本地盘数据不保留。 鲲鹏超高I/O型弹性云服务器不支持规格变更。 鲲鹏超高I/O型弹性云服务器不支持本地盘的快照和备份。 可使用本地盘和云硬盘两类磁盘存储数据，通过挂载云硬盘，可以提供更大的存储空间。关于本地盘和云硬盘的使用，有如下约束与限制： 系统盘只能部署在云硬盘上，不可以部署在本地盘上。 数据盘可以部署在云硬盘和本地盘上。 最多可以挂载60块盘（包括VBD盘+SCSI盘+本地盘）。其中，SCSI盘最多只能挂载30块，VBD盘最多只能挂载22块（含系统盘）。具体约束限制请参见一台弹性云服务器可以挂载多块磁盘吗。 建议您在应用中使用wwn号进行本地盘的相关操作，不要直接使用盘符，因为Linux操作系统会有低概率盘符漂移的可能。以挂载本地盘为例： 假设本地盘的wwn号为wwn-0x50014ee2b14249f6，则执行的命令为：mount /dev/disk/by-id/wwn-0x50014ee2b14249f6 如何查看本地盘wwn号？ 登录弹性云服务器操作系统。 执行以下命令，查看wwn号。 ll /dev/disk/by-id 鲲鹏超高I/O型弹性云服务器的本地磁盘数据有丢失的风险（比如宿主机宕机或本地磁盘损坏时），如果您的应用不能做到数据可靠性的架构，强烈建议您使用云盘搭建您的弹性云服务器。 删除鲲鹏超高I/O型弹性云服务器后，本地NVMe SSD盘中的数据会被自动清除，请提前做好数据备份。删除本地盘数据的时间较长，因此，资源释放的时间较之常规云服务器略长。 由于本地盘数据的可靠性取决于物理服务器和硬盘的可靠性，存在单点故障风险，建议您在应用层做好数据冗余，以保证数据的可用性，需要长期保存的业务数据建议使用云硬盘存储。 鲲鹏超高I/O型弹性云服务器的本地盘设备名为/dev/nvme0n1、/dev/nvme0n2等。 对于鲲鹏超高I/O型弹性云服务器，关机后其基础资源（包括vCPU、内存、镜像）会继续收费。如需停止计费，需删除弹性云服务器。

鲲鹏超高I/O型实例类型总览 鲲鹏超高I/O型弹性云服务器搭载鲲鹏920处理器及25GE智能高速网卡，提供最大480GiB基于DDR4的内存实例和高性能网络，擅长处理大型内存数据集和高网络场景。 在售：kI1 表1 鲲鹏超高I/O型实例特点 规格名称 计算 磁盘类型 网络 鲲鹏超高I/O型kI1 CPU/内存配比：1:4 vCPU数量范围：8-64 处理器：鲲鹏920处理器 基频：2.6GHz 超高IO 通用型SSD 高IO 极速IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：400万PPS 最大内网带宽：30Gbps

关于密钥 加密所需的密钥依赖于数据加密服务（DEW，Data Encryption Workshop）。DEW通过数据加密密钥（Data Encryption Key, DEK），对具体资源进行加密，然后通过用户主密钥（Customer Master Key, CMK）对DEK进行加密，保护DEK，如图1所示。 图1 数据加密过程 数据加密过程中涉及的几种密钥，如表1所示。 表1 密钥说明 名称 概念 功能 数据加密密钥 即DEK，是用户加密数据的加密密钥。 加密具体资源。 用户主密钥 即CMK，是用户通过DEW创建的密钥，是一种密钥加密密钥，主要用于加密并保护DEK。 一个用户主密钥可以加密多个DEK。 支持禁用、计划删除等操作。 默认主密钥 属于用户主密钥，是用户第一次通过对应云服务使用DEW加密时，系统自动生成的，其名称后缀为“/default”。 例如：evs/default 支持通过管理控制台DEW页面查询默认主密钥详情。 不支持禁用、计划删除等操作。 如果加密云硬盘使用的CMK被执行禁用或计划删除操作，操作生效后，使用该CMK加密的云硬盘仍然可以正常使用，但是，当该云硬盘被卸载并重新挂载至弹性云服务器时，由于无法正常获取密钥，会导致挂载失败，云硬盘不可用。 关于密钥管理的更多信息，请参见《数据加密服务用户指南》。

IAM 身份认证 弹性云服务器支持通过IAM进行精细的权限管理，实现用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 您可以在帐号中创建IAM用户，并授权控制他们对资源的访问范围。IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。 权限管理简介，请参见ECS权限管理。 授权使用ECS，请参见创建用户并授权使用ECS。 自定义策略，请参见ECS自定义策略。 策略及授权项详情，请参见策略及授权项说明。

访问控制 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云服务器构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云服务器构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。 如何设置虚拟私有云和安全组，请参见步骤二：网络配置。

项目与企业项目 弹性云服务器支持通过项目及企业项目对资源进行分组、管理和隔离，实现按照企业、部门或者项目组等不同组织对资源的管理和访问控制。 项目 IAM中的项目用于将OpenStack的资源（计算资源、存储资源和网络资源）进行分组和隔离。用户拥有的资源必须挂载在项目下，项目可以是一个部门或者项目组。一个帐户中可以创建多个项目。 企业项目 企业管理中的企业项目是对多个资源进行分组和管理，不同区域的资源可以划分到一个企业项目中。企业可以根据不同的部门或项目组，将相关的资源放置在相同的企业项目内进行管理，并支持资源在企业项目之间迁移。 项目和企业项目的区别 IAM项目 IAM项目是针对同一个区域内的资源进行分组和隔离，是物理隔离。在IAM项目中的资源不能转移，只能删除后重建。 企业项目 企业项目是IAM项目的升级版，是针对企业不同项目间资源的分组和管理。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。如果您开通了企业管理，将不能创建新的IAM项目（只能管理已有项目）。未来IAM项目将逐渐被企业项目所替代，推荐使用更为灵活的企业项目。 项目和企业项目都可以授权给一个或者多个用户组进行管理，管理企业项目的用户归属于用户组。通过给用户组授予策略，用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。 关于如何创建项目、企业项目，以及如何授权，请参阅管理项目和企业项目。

什么是CPU积分 CPU积分是一种用来衡量云服务器计算、存储以及网络配置利用率的方式。云服务器利用CPU积分机制保证云服务器基准性能，解决超分云服务器长期占用CPU资源的问题。 使用CPU积分机制的弹性云服务器适用于平时CPU负载不高、但突发时可接受因积分不足，而导致云服务器性能无法超过基准性能的场景。 当前通用入门型弹性云服务器使用积分机制（不额外进行计费），了解更多通用入门型云服务器规格请参考通用入门型。

工作原理 当您购买使用CPU积分机制的弹性云服务器后，云平台会发放初始积分，用来满足云服务器安装后的突发性能要求。 云服务器运行后，就会开始消耗积分以满足需求，同时云平台按照一定的速度发放积分。当云服务器实际计算性能高于基准CPU计算性能时，会消耗更多的CPU积分来提升CPU性能，满足工作需求。 云平台发放的积分可以累积，但达到最大积分后，停止累积。 初始积分不计入累积积分上限。 当云服务器开始消耗CPU积分时，优先使用初始CPU积分。 1个vCPU按照100%利用率，运行1分钟 ，消耗1个积分。 如果实际计算性能长期高于基准性能，则会持续消耗累积积分，当累积积分为0时，实际计算性能无法超过基准性能。

相关概念 表1 CPU积分相关概念（以T6云服务器为例） 概念 说明 示例 初始积分 1台t6云服务器在创建成功后，会分到云平台分配的CPU积分，即初始CPU积分。初始CPU积分仅在创建时分配。 以t6.large.1为例，云服务器创建成功后，会分配60个CPU积分。 最大积分 当分配积分大于消耗积分时，CPU积分会越来越多。获得的积分在运行的云服务器上不会过期，但每个云服务器可累积获取的积分数存在上限，即CPU积分累积上限。不同的云服务器规格，上限不同。 以t6.large.1为例，最大CPU积分余额为576。当CPU积分达到576，CPU积分暂停累积，少于576时，重新开始累积。 CPU积分/小时 每小时云服务器获取的CPU积分，与基准CPU计算性能对应。 1个vCPU计算性能100%时，运行1分钟 ，消耗1个积分。 以t6.large.1为例，CPU积分/小时为24，代表CPU积分分配速度为每小时24个CPU积分。 基准CPU计算性能（%） 当云服务器以基准CPU计算性能运行时，每分钟的消耗积分等于云平台分配的CPU积分。 以t6.large.1为例，基准CPU计算性能为40%，即实际计算性能为40%时，每分钟的消耗积分等于分配积分。 平均基准CPU计算性能（%） 当云服务器以基准CPU计算性能运行时，每个vCPU的计算性能为平均基准CPU计算性能。计算公式如下： 平均基准CPU计算性能 = 基准CPU计算性能 ÷ vCPU个数 以t6.large.1为例，基准CPU计算性能为40%，vCPU为2，平均基准CPU计算性能为20%。 消耗积分 云服务器运行后，就会开始消耗积分以满足需求。 1个积分可以提供1个vCPU在计算性能100%时运行1分钟 。 因此每分钟CPU积分的消耗积分计算公式如下： 每分钟消耗的CPU积分 = 1个CPU积分 x 实际CPU计算性能 以t6.large.1为例，实际计算性能为20%运行1分钟时，会消耗0.2个CPU积分。 累积积分 实际CPU计算性能低于基准CPU计算性能时，即每分钟的消耗积分小于云平台分配的CPU积分，剩余积分累加，即为累积积分（累积积分达到最大积分后，停止累积）。 实际CPU计算性能高于基准CPU计算性能时，即每分钟的消耗积分大于云平台分配的CPU积分，此时会消耗累积积分来提升CPU性能（优先使用初始CPU积分），满足工作需求。 每分钟累积积分计算公式如下： 每分钟累计的CPU积分 = 1个CPU积分 x (基准CPU计算性能 - 实际CPU计算性能) 以t6.large.1为例，基准CPU计算性能为40%，当云服务器实际计算性能为10%时，1分钟可以累积0.3个CPU积分。

如何使用AI加速型云服务器 使用AI加速型云服务器的流程如下： 创建云服务器，详细步骤，请参考步骤一：基础配置。 在“规格”设置时，选择AI加速型相关规格。 在“镜像”设置时，可以选择“公共镜像”和“私有镜像”。 公共镜像：已经默认安装了CANN 3.1.0的开发套件包，并配置了环境变量，请验证环境的可用性。 私有镜像：需要安装驱动、固件和开发套件，并配置环境变量。详细步骤，请参考昇腾文档中心对应版本的《CANN软件安装指南》。 远程登录云服务器。 对于Linux操作系统的云服务器，登录时请以SSH密码方式登录。具体操作，请参见密码方式登录Linux弹性云服务器（SSH方式）。 验证环境可用性。 请参考昇腾文档中心中对应CANN版本《应用开发指南》中的“样例使用指导”，选择一个样例进行编译运行，验证环境的正确性。 例如，选择“基于Caffe ResNet-50网络实现图片分类（图片解码+缩放+同步推理）”样例进行验证。

AI推理加速I型Ai1 概述 AI推理加速型实例Ai1是以昇腾310（Ascend 310）芯片为加速核心的AI加速型弹性云服务器。基于Ascend 310芯片低功耗、高算力特性，实现了能效比的大幅提升，助力AI推理业务的快速普及。通过AI推理加速型实例Ai1将Ascend 310芯片的计算加速能力在云平台上开放出来，方便用户快速简捷地使用Ascend 310芯片强大的处理能力。 AI推理加速型实例Ai1基于Atlas 300I加速卡设计，更多详细信息请参考昇腾社区。 AI加速型云服务器可用于机器视觉、 语音识别 、 自然语言处理 通用技术，支撑智能零售、智能园区、机器人云大脑、平安城市等场景。 规格 表4 Ai1型弹性云服务器的规格 规格名称 vCPU 内存 （GiB） 最大带宽/基准带宽 最大收发包能力 （万/PPS） Ascend 310 Ascend RAM （GiB） 网卡多队列数 网卡个数上限 虚拟化类型 ai1.large.4 2 8 4/1.3 20 1 8 2 2 KVM ai1.xlarge.4 4 16 6/2 35 2 16 2 3 KVM ai1.2xlarge.4 8 32 10/4 50 4 32 4 4 KVM ai1.4xlarge.4 16 64 15/8 100 8 64 8 8 KVM ai1.8xlarge.4 32 128 25/15 200 16 128 8 8 KVM 功能 Ai1加速型弹性云服务器功能如下： 处理器与内存配比为1:4。 处理器：第二代英特尔® 至强® 可扩展处理器 6278，主频2.6GHz，睿频3.5GHz。或英特尔® 至强® 可扩展处理器 6151, 主频3.0GHz，睿频3.4GHz。 支持Ascend 310芯片，每张Atlas 300I加速卡包含4个Ascend 310芯片。 单芯片半精度（FP16）8TeraFLOPS。 单芯片整数精度（INT8）16TeraOPS。 单芯片提供8GiB显存，内存带宽50GiB/s。 内置硬件视频编解码引擎，支持16路全高清视频解码器（H.264/265）。 使用须知 Ai1实例支持如下版本的操作系统： Ubuntu Server 16.04 64bit CentOS 7.4 64bit Ai1型弹性云服务器不支持规格变更。 Ai1型云服务器所在物理机发生故障时，云服务器支持自动恢复。

AI加速型实例总览 AI推理加速增强I型Ai1s AI推理加速I型Ai1 表1 AI加速型实例特点 规格名称 计算 磁盘类型 网络 Ai1s CPU/内存配比：1:4/1:2 vCPU数量范围：2-32 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 超高IO 通用型SSD 高IO 极速IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：200万PPS 最大内网带宽：25Gbps Ai1 CPU/内存配比：1:4 vCPU数量范围：2-32 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 Ai1s为Ai1的增强机型，区别在于Ai1s支持最新的昇腾软件栈CANN，建议首选Ai1s。

AI推理加速增强I型Ai1s 概述 AI推理加速增强I型实例Ai1s是以昇腾310（Ascend 310）芯片为加速核心的AI加速型弹性云服务器。基于Ascend 310芯片低功耗、高算力特性，实现了能效比的大幅提升，助力AI推理业务的快速普及。通过AI推理加速型实例Ai1s将Ascend 310芯片的计算加速能力在云平台上开放出来，方便用户快速简捷地使用Ascend 310芯片强大的处理能力。 AI推理加速型实例Ai1s基于Atlas 300I加速卡设计，更多详细信息请参考昇腾社区。 AI加速型云服务器可用于机器视觉，安防监控，智慧园区，智慧城市，智慧交通，智慧零售，互联网音视频，视频编解码等业务场景。 规格 表3 Ai1s型弹性云服务器的规格 规格名称 vCPU 内存 （GiB） 最大带宽/基准带宽 最大收发包能力 （万/PPS） Ascend 310 Ascend RAM （GiB） 网卡多队列数 网卡个数上限 虚拟化类型 ai1s.3xlarge.2 12 24 12/6 75 4 32 4 6 KVM ai1s.4xlarge.2 16 32 15/8 100 4 32 8 8 KVM ai1s.5xlarge.2 20 40 25/15 200 4 32 8 8 KVM ai1s.9xlarge.2 36 72 30/18 550 4 32 16 8 KVM ai1s.large.4 2 8 4/1.3 20 1 8 2 2 KVM ai1s.xlarge.4 4 16 6/2 35 2 16 2 3 KVM ai1s.2xlarge.4 8 32 10/4 50 4 32 4 4 KVM ai1s.4xlarge.4 16 64 15/8 100 8 64 8 8 KVM ai1s.8xlarge.4 32 128 25/15 200 16 128 8 8 KVM 功能 Ai1s加速型弹性云服务器功能如下： 处理器与内存配比为1:4或1:2。 1:2规格仅在“华南-广州”区域可购买，其他区域暂时售罄。 处理器：第二代英特尔® 至强® 可扩展处理器 6278，主频2.6GHz，睿频3.5GHz，或英特尔® 至强® 可扩展处理器 6151, 主频3.0GHz，睿频3.4GHz。 支持Ascend 310芯片，每张Atlas 300I加速卡包含4个Ascend 310芯片。 单芯片整数精度（INT8）16TeraOPS。 单芯片提供8GiB显存，内存带宽50GiB/s。 内置硬件视频编解码引擎，支持5路全高清视频解码器（H.264/265）。 使用须知 Ai1s实例支持如下版本的公共镜像： Ubuntu Server 18.04 64bit CentOS 7.6 64bit Ai1s型弹性云服务器不支持规格变更。 Ai1s型云服务器所在物理机发生故障时，云服务器支持自动恢复。

主机安全 企业主机安全 （Host Security Service，HSS）是提升服务器整体安全性的服务，为用户提供资产管理、漏洞管理、入侵检测、基线检查等功能，降低服务器被入侵的风险。 在弹性云服务器中安装Agent后，云服务器受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 图1 HSS功能原理 企业主机安全服务的组件功能及工作流程说明如下： 安全控制台： 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心： 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 HSS客户端： 接收HSS云端防护中心转发的检测任务。 按检测任务要求扫描弹性云服务器，并将事件扫描信息上报给HSS云端防护中心。 您在使用企业主机安全服务前，需要先在云服务器上安装客户端。更多信息，请参考主机安全。 父主题： 数据保护技术

审计与日志 云审计服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后，CTS可记录ECS的操作事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 ECS支持审计的操作事件，请参见支持审计的关键操作。 查看审计日志，请参见如何查看审计日志。 父主题： 安全

监控安全风险 为使用户更好地掌握弹性云服务器的运行状态，您可以使用 云监控服务 的主机监控功能监控您的弹性云服务器，执行自动实时监控、告警和通知操作，帮助您更好地了解弹性云服务器的各项性能指标。 主机监控包括基础监控、操作系统监控和进程监控。 基础监控为用户提供免安装的基础指标监控服务。 操作系监控和进程监控通过在弹性云服务器中安装开源插件，为用户主机提供系统级、主动式、细颗粒度的监控服务。 主机监控更多内容， 请参见监控弹性云服务器 父主题： 安全