华为云用户手册

验证防盗链功能 验证Referer防盗链 在Referer防盗链中配置的referer白名单为“www.huaweicloud.com”，且不勾选“不包含空Referer”。在“http://www.example.com/test/test.html”网页中引用点播服务中的视频文件“https://1280.cdn-vod.huaweicloud.com/input/1.mp4”，访问该网页并播放视频，若播放失败则表示Referer防盗链生效。 验证Key防盗链 登录 视频点播 控制台，在左侧导航树中选择“音视频管理”。 在某个音视频行单击“管理”，选择“播放地址”页签，获取播放地址。 图4 获取鉴权URL 其中“地址”列为原始播放地址，单击可获取鉴权播放地址。 在播放器端分别播放原始播放地址和鉴权播放地址，若原始播放地址播放失败，鉴权播放地址播放成功，则表示Key防盗链生效。

配置Referer防盗链 先配置Referer防盗链，限制请求来源，使点播资源得到最基本的安全保障。 当前Referer防盗链配置不支持带端口。 登录视频点播控制台。 在左侧导航栏选择“域名管理”，进入域名管理界面。 单击域名右侧“配置 ”，在“防盗链”页签单击“Referer防盗链”。 在弹出的配置框中打开“开关”，并配置相关参数。 图2 Referer防盗链配置信息 类型：支持黑名单和白名单模式。 Referer黑名单：表示仅名单内的域名不允许访问点播资源，其它可以访问。若同时勾选了“包含空Referer”，则表示不允许HTTP Header中Referer为空的请求。 Referer白名单：表示仅名单内的域名允许访问点播资源，其它不可以访问。若同时勾选了“包含空Referer”，则表示允许HTTP Header中Referer为空的请求。 规则：名单详情，最多支持4级域名，最多支持100条，以英文“;”分隔。域名、IP地址可混合输入，支持泛域名添加。域名前不能带协议名（http://和https://）。 示例：www.example.com;*.test.com;192.168.0.0 单击“确定”，完成配置。 大约需要3-5分钟，Referer防盗链才生效。

实现原理 Referer防盗链的实现原理比较简单，在点播控制台配置了白名单或黑名单后，点播服务会将这份名单分发到CDN中。当CDN接收到资源请求时，会根据这个名单来识别请求是否合法，若合法，则访问请求的资源，否则拒绝并返回403。 Key防盗链是视频点播的加速节点与点播源站联合实现的，比Referer防盗链更为安全可靠的一种防盗播方案。Key防盗链的实现过程如图1所示。 图1 Key防盗链实现原理 流程说明如下所示： 租户在点播控制台开启Key防盗链功能，并配置误差允许时间、算法等。 点播服务将配置的密钥值等下发到CDN节点中。 租户通过点播服务获取到点播媒资的鉴权URL。 观众通过租户提供的鉴权播放URL向CDN请求视频播放。 CDN根据播放URL中携带的鉴权信息校验请求的合法性，仅校验通过的请求会被允许。

场景说明 为对分发的音视频进行播放权限控制，点播服务提供了防盗链功能。开启后，CDN会对所有播放请求中携带的关键信息进行校验，仅校验通过的请求会予以响应，其它非法的访问将直接返回403。防盗链方案中包含Referer防盗链和Key防盗链。 Referer防盗链是基于HTTP协议支持的Referer机制实现的，通过播放请求中携带的Referer字段识别请求来源。配置黑名单或白名单，CDN将根据名单对请求来源进行过滤，从而达到最基本的访问控制的目的。Referer防盗链具有配置便捷，无需额外开发，快速生效等优势，适用于音视频主要在web端引用的场景。 由于HTTP Header的内容可伪造，Referer防盗链只能达到最基本的保护，安全性不高。所以还可以采用Key防盗链方案，通过鉴权播放URL保障点播资源的安全。由于鉴权的Key值具有时效性，所以适用于对媒资安全要求比较高的场景。 本示例中，开启Referer防盗链，只允许白名单中的域名访问视频文件，然后通过Key防盗链生成鉴权播放地址。

场景说明 目前视频点播已提供了丰富的音视频上传方式，如视频点播控制台的本地上传 为解决上述问题，视频点播提供了OBS音视频托管功能，源文件仍是存储在OBS桶中，授权托管给点播服务后，您可以直接在视频点播控制台对源文件进行处理，且处理后生成的相关媒资文件可以选择存储在点播服务或者自己的OBS桶中。 本示例中将实现如下场景： “华北-北京四”的OBS桶中已存储了大量的音视频文件，先将现有的音视频同步到点播服务中，后续若有新的音视频文件增加，将自动同步到点播服务。使用点播服务处理音视频产生的相关媒资文件存储的“华北-北京四”的另一个OBS桶中，且存储路径与源文件的路径一致。

加密算法E 目前界面可以正常展示E算法，但功能暂未开放使用，请用户知晓。 鉴权URL格式 原始URL?auth_key={authKey}×tamp={timestamp}&exper={exper} authKey的计算公式：auth_key = sha256({PrivateKey }{fileName}{timestamp}{exper}) 表6 鉴权字段描述 字段 描述 timestamp 鉴权URL生成时间，为Unix时间戳，即1970年1月1日以来的秒数。单位：秒。 示例：1564731935。即时间为：2019.08.02 15:45。 fileName 实际回源访问的URL，鉴权时filename需以“/”开头，且不能包含鉴权URL中“?”后面的参数。 如：/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 PrivateKey 用户设定的鉴权密钥，用于生成加密URL。 密钥的格式为大小写字母和数字，长度为16到32位字符。 exper 视频试看时长。 取值为数字。单位：秒。 鉴权URL示例 原始URL：http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 private_key：32d6b2d740f10b86 timestamp：1547123166 fileName：/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 exper：300 则根据计算公式，得到auth_key auth_key = sha256(32d6b2d740f10b86/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp41547123166300) = 3a935cf1d8299fe63ec8d4e0afb5ef3304883a702a4e760f3c5ae838a4b69768 最终得到算法E并且支持试看功能的鉴权URL http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4?auth_key=3a935cf1d8299fe63ec8d4e0afb5ef3304883a702a4e760f3c5ae838a4b69768×tamp=1547123166&exper=300

加密算法D 鉴权URL格式 原始URL?auth_info={加密串}.{EncodedIV} 加密串和EncodedIV的计算公式： 加密原始串 = url_encoding({path}+"$"+{Timestamp}) 加密串 = aes_cbc_128_pkcs5padding(原始加密串,key,IV) EncodedIV = hex(IV) 表5 鉴权字段描述 字段 描述 path 指从域名开始，到最后一层目录，包括域名后的“/”，也包含最后一层目录后的“/”，不包括文件名。 示例：/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/ Timestamp 鉴权URL生成时间，UTC时间，格式为yyyyMMddHHmmss，用于检查鉴权参数是否过期。 示例：20190805101025 key 在控制台设置的防盗链Key值，具体请参见配置步骤。 IV 随机生成的bytes数组，长度为16。 hex()：将bytes数组转换成十六进制的字符串。 生成IV生成示例代码如下所示： byte[] iv = new byte[16]; SecureRandom secureRand = new SecureRandom(); secureRand.nextBytes(iv); 鉴权URL示例 原始URL：https://179.cdn-vod.huaweicloud.com/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/index.m3u8 path：/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/ key：8Ks1qn14XRO28qOa Timestamp：20190805102430 则根据计算公式，得到加密串和EncodedIV 原始加密串 = url_encoding("/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/") + "$" + "20190805102430" 加密串 = aes_cbc_128_pkcs5padding(原始加密串,key,IV) = 34M%2F6KtYgxuAozdBLIVTe0dUVAZdvXsYQoYAnDmuhRHh1hshYg%2B2Tl0AmSwySDh%2BmkER44qYKpSP%2BgfsLM%2FIZe4F6K4n1Nx6ouGwyKfqdDA%3D EncodedIV = hex(IV) = 79436d453636364e335941713330534e 最终得到算法D的鉴权URL https://179.cdn-vod.huaweicloud.com/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/index.m3u8?auth_info=34M%2F6KtYgxuAozdBLIVTe0dUVAZdvXsYQoYAnDmuhRHh1hshYg%2B2Tl0AmSwySDh%2BmkER44qYKpSP%2BgfsLM%2FIZe4F6K4n1Nx6ouGwyKfqdDA%3D.79436d453636364e335941713330534e

加密算法C 鉴权URL格式 https://{cdn_domain}/{md5hash}/{time_hex}/asset/{asset_id}/{file_name} md5hash的计算公式： md5hash = md5({private_key}/asset/{asset_id}/{file_name}{time_hex}) 表4 鉴权字段描述 字段 描述 file_name 指原始播放URL中从媒资ID后开始到最后的路径。 示例：play_video/test.mp4 time_hex 鉴权URL生成时间，为Unix时间戳的十六进制结果。 示例：hex(1564987530)=5D47D08A private_key 在控制台设置的防盗链Key值，具体请参见配置步骤。 鉴权URL示例 原始URL：http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 private_key：myPrivateKey time_hex：hex(timestamp) = hex(1547123166) = 5C3739DE file_name：test.mp4 则根据计算公式，得到md5sum md5hash=md5(myPrivateKey/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp45C3739DE) = afa20c956043fe6d130b16f2704ac870 最终得到算法C的鉴权URL http://1.cdn.myhuaweicloud.com/afa20c956043fe6d130b16f2704ac870/5C3739DE/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4

实现原理 Referer防盗链的实现原理比较简单，在点播控制台配置了白名单或黑名单后，点播服务会将这份名单分发到CDN中。当CDN接收到资源请求时，会根据这个名单来识别请求是否合法，若合法，则访问请求的资源，否则拒绝并返回403。 Key防盗链是视频点播的加速节点与点播源站联合实现的，比Referer防盗链更为安全可靠的一种防盗播方案。Key防盗链的实现过程如图1所示。 图1 Key防盗链实现原理 流程说明如下所示： 租户在点播控制台开启Key防盗链功能，并配置误差允许时间、算法等。 点播服务将配置的密钥值等下发到CDN节点中。 租户通过点播服务获取到点播媒资的鉴权URL。 观众通过租户提供的鉴权播放URL向CDN请求视频播放。 CDN根据播放URL中携带的鉴权信息校验请求的合法性，仅校验通过的请求会被允许。

加密算法B 鉴权URL格式 https://{cdn_domain}/{date_YYYYmmddHHMM}/{md5sum}/asset/{asset_id}/{file_name} md5sum的计算公式： md5sum = md5({private_key}{date_yyyyMMddHHmm}/asset/{asset_id}/{file_name}) 表3 鉴权字段描述 字段 描述 date_yyyyMMddHHmm 鉴权URL生成时间，格式为：yyyyMMddHHmm。 示例：201908051445 file_name 指原始播放URL中从媒资ID后开始到最后的路径。 示例：play_video/test.mp4 private_key 在控制台设置的防盗链Key值，具体请参见配置步骤。 鉴权URL示例 原始URL：http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 private_key：myPrivateKey date_yyyyMMddHHmm：201901102026 file_name：test.mp4 则根据计算公式，得到md5sum md5sum = md5(myPrivateKey201901102026/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4) = 713ef643de8df076da6ec3c0545968cb 最终得到算法B的鉴权URL http://1.cdn.myhuaweicloud.com/201901102026/713ef643de8df076da6ec3c0545968cb/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4

加密算法A 鉴权URL格式 原始URL?auth_key={timestamp}-{rand}-{uid}-{auth_key} auth_key的计算公式： auth_key = MD5(/asset/{assetId}/{file_name}-{timestamp}-{rand}-{uid}-{private_key}) 表2 鉴权字段描述 字段 描述 timestamp 鉴权URL生成时间，为Unix时间戳，1970年1月1日以来的秒数。 示例：1564731935（即2019.08.02 15:45） rand 随机数，建议使用UUID方式生成，不能包含中划线”-“。 示例：f03cbe7c4a3849bc8d8769e3110e4533 uid 暂未使用，直接设置成0即可。 private_key 在控制台设置的防盗链Key值，具体请参见配置步骤。

功能介绍 开通视频点播服务后，您可以使用如下方式将音视频上传至点播服务，从而进行相关管理操作。 本地上传：支持将存储在本地磁盘的音视频文件上传到视频点播中。 URL拉取：支持基于音视频源文件URL，离线拉取上传到点播系统。 音视频托管：支持将OBS桶中的音视频文件托管给视频点播，从而通过点播处理音视频，并支持将处理后产生的媒资文件存储在OBS桶中。 您可以参考如下步骤进行视频上传，也可以参考视频指导来操作。

其它操作 增量托管配置添加后，您可以对在托管列表中对相关配置做如下操作： 编辑：修改已添加的增量托管配置。 开启：开启处于“关闭”状态中的增量托管配置。开启后，若托管配置中的OBS桶有新增音视频文件，则将会托管到点播服务，可在控制台的“音视频管理”页面查看到。 关闭：关闭处于“开启”状态的增量托管配置。关闭后，若托管配置中的OBS桶有新增音视频，则将不会托管到点播服务中。 删除：删除增量托管配置后，对应的OBS桶将与点播服务无托管关系。

转码模板介绍 为了方便对点播服务熟悉程度不同的用户快速使用转码功能，点播服务提供了四种系统转码模板，若您是点播服务的新用户，建议您优先使用系统模板。 点播服务内置了如下四种系统转码模板： 不转码模板（non_transcoding_template_group ）：对音视频进行不转码操作，若您在音视频处理中未选择其它转码模板，则该模板默认生效。由于上传到点播服务的音视频默认是不转码分发的，所以对于用户来说，该模板无实际使用场景。 视频转码模板（system_template_group）：内置了常用的视频清晰度，该模板适用于对分辨率、码率、帧率等音视频具体参数不熟悉的用户。 转封装模板（original_template_group）：只转换音视频的封装格式，不改变其它参数，该模板主要适用于只需改变格式，无分辨率和码率等改变需求的场景。 视频自适应转码模板（adaptive_template_group）：支持视频画质增强功能，该模板适用于有修复视频受损图像需求的场景。 若您对于音视频的相关参数足够熟悉，且系统模板无法满足实际需求，您也可以选择自定义转码模板。

费用说明 音视频转码为计费项功能，默认为按需付费，建议您购买转码套餐包，更优惠。目前视频点播提供了三种转码包，各转码包的使用场景如下所示： H.264标准转码包 支持抵扣“视频编码”为“H.264”，且“高清低码”为“关闭”状态的视频转码。 支持抵扣音频转码，按“5/22”折算时长后进行抵扣。 H.264高清低码转码包：只能抵扣“视频编码”为“H.264”，且“高清低码”为“开启”状态的视频转码。 H.265标准转码包：只能抵扣“视频编码”为“H.265”，且“高清低码”为“关闭”状态的视频转码。 三种转码包都不支持抵扣使用转封装模板（original_template_group）产生的费用。

使用限制 音视频转码当前支持的输入格式如下所示： 支持输入的音视频文件格式：MP4、TS、MOV、FLV、MPG、MXF、WMV、ADTS、AVI、MKV、MPEG等。 支持输入的视频编码格式：H.264、 H.265、 MPEG-2、MPEG-4、MJPEG、WMV1/2/3、ProRes 422等。 支持输入的音频编码格式：AAC、 AC3、EAC3、HE-AAC、MP2、MP3、PCM（s161e、s16be、s241e、s24be、dvd）、WMA等。

场景说明 通过点播服务加速分发的音视频可能被引用到各种业务场景，如产品官网、视频网站等，也可能在不同的终端进行播放，如web端、移动端。为适用于多样化的场景，点播服务提供了转码功能，支持改变音视频的编码格式、封装格式、分辨率、码率等参数，从而适用于不同的业务场景、播放终端及网络环境。 转码功能可以帮助您处理如下问题： 适配不同播放终端：您可以将原始音视频转码为更适应于各终端播放的格式，如MP4格式适用于网站点播的场景。 适配不同网络环境：您可以根据不同的网络带宽设置转码输出的码率，以适应不同的网络播放环境。 降低分发成本：支持压缩率更高的H.265编码格式，您也可以在转码时开启高清低码功能，在分辨率不变的情况下，码率下降20%左右，从而降低音视频的分发成本。 HLS内容保护：您可以在转码时开启HLS加密，对转码的HLS格式音视频进行加密，从而防止音视频被盗用后进行二次分发。 版权保护：您可以为视频添加自己独有的logo等标识水印，以宣示该视频的版权所属。 音视频提取：支持转码提取音频文件，主要适用于一些纯音频的场景，如电台、音频APP等。 禁用音频：同时也支持输出无音频的视频文件，主要适用于需要禁用原音频的场景。

添加字幕 您可以为音视频文件添加格式为“SRT”，文字编码为“UTF-8”的字幕文件。字幕文件上传成功后，需要对音视频进行转码才能在音视频中压制对应字幕。 单击音视频所在行的“管理”，在“基本信息”页签单击“编辑”，进入基本信息编辑状态。 单击“上传字幕”，选择本地字幕文件上传。 单击“保存”后，关闭编辑状态。 勾选音视频，单击“转码”，重新转码压制字幕。 单击音视频所在行的“管理”，即可在“字幕与封面信息”页签获取到字幕文件URL。

音频提取 若只需要某个视频文件的音频内容，您可以使用该功能将视频文件中的音频提取出来，暂只支持提取出MP3格式的音频文件。 勾选一个或多个视频文件，单击“音频提取”。 刷新音视频管理界面，可以看到提取音频任务的处理状态为“转码中”。 当“转码状态”为“转码成功”时，表示音频提取完成，您可以在音视频列表第一行获取提取生成的音频文件。 提取出来的音频文件与原视频文件同名称，您可以根据描述来找到对应的音频文件，音视频列表默认不呈现“描述”列，请在页面右侧单击，勾选“描述”。

更新封面 音视频文件上传后，系统默认取第一帧作为封面，您也可以从本地上传JPG或PNG格式的图片作为其封面。若需要使用视频中某个画面作为封面，您可以使用视频截图功能。 单击音视频所在行的“管理”，在“基本信息”页签单击“编辑”，封面处于编辑状态。 图1 媒资基本信息 单击“封面”后的加号框，在“上传封面”弹框内，选择本地图片文件。 图2 上传封面 单击“保存”后，关闭编辑状态。 封面将在3到5分钟之内生效。

转码 您可以在“音视频管理”页面选择一个或多个音视频文件进行转码。 支持输入的音视频文件格式：MP4、TS、MOV、FLV、MPG、MXF、WMV、ADTS、AVI、MKV、MPEG等。 支持输入的视频编码格式：H.264、 H.265、 MPEG-2、MPEG-4、MJPEG、WMV1/2/3、ProRes 422等。 支持输入的音频编码格式：AAC、 AC3、EAC3、HE-AAC、MP2、MP3、PCM（s161e、s16be、s241e、s24be、dvd）、WMA等。 勾选一个或者多个音视频文件，单击“转码”。 在弹框内选择系统预置模板或在转码设置的配置的自定义模板，单击“确认”。 在音视频管理界面可以看到音视频文件的转码状态为“转码中”。 转码完成后，您可以单击音视频所在行的“管理”，在“播放地址”页签获取转码后的播放地址。

功能列表 您可以在视频点播控制台的左侧导航栏选择相关功能，进行参数配置或功能使用。 表2 控制台功能列表 功能 描述 音视频管理 对上传的音视频文件进行管理，包括转码、预热、设置分类、提取音频、导出媒资信息、删除媒资、查看媒资基本信息、获取媒资播放地址等。 转码支持输入的视频格式有MP4、TS、MOV、MXF、MPG、FLV、WMV、AVI、M4V、F4V、MPEG、3GP、ASF、MKV。 转码支持输入的音频格式有HLS、MP4、DASH、MP3、ADTS。 视频处理 支持对视频文件进行截图、工作流处理等。 音 视频审核 支持对音视频文件进行音频、画面、文件等进行自动审核或人工审核，将不合规的音视频进行屏蔽。 说明： 目前“华东-上海二”区域的点播服务暂不支持此功能。 音视频上传 支持本地上传音视频文件，或者通过音视频文件URL离线拉取上传。 用量查询 支持查看CDN侧的流量和峰值带宽统计数据，同时也支持查看点播源站侧的存储空间和转码时长的消耗。 数据分析 支持查看CDN侧的流量、带宽、流量命中率等数据，还支持根据域名查询音视频文件播放次数及播放量的TOP排名。 统计分析 支持查看资源使用量和CDN热点统计。 全局设置 支持根据实际需求配置转码模板、水印模板、配置HLS加密、设置分类、配置 消息通知 、设置工作流等。 域名管理 支持添加管理自有的加速域名，也可对域名进行HTTPS和防盗链配置。 音视频托管 支持将存储在OBS桶中的音视频文件托管给视频点播，从而使用视频点播服务的相关功能。

概览 登录视频点播控制台，进入“概览”页。可查看视频点播服务的使用情况，也可单击右上角的“快速上手”，快速操作VOD服务。 图1 概览 资源用量及相关趋势图：视频点播的资源用量信息及相关趋势图。 表1 统计说明 统计项 说明 存储空间趋势 当前所有媒资文件占用的存储空间，包括上传的音视频、图片、字幕以及音视频处理产生的媒资文件等。 转码时长趋势 视频累计转码时长，为输出LD规格的转码时长。 输出规格为4K/2K/HD/SD时，将按12 : 6 : 3 : 1.5 : 1（4K : 2K : HD : SD : LD）折算成LD的转码时长进行统计。 CDN流量趋势 点播加速产生的总流量。 CDN带宽趋势 使用点播服务加速分发产生的峰值带宽（按天）。 计费模式：用户当前的CDN计费方式。可以单击“变更”，变更CDN计费方式。也可以单击“购买套餐包”，购买价格更优惠的套餐包使用。

修改公共模板 为了节约容器运行的资源及防止容器超载，可对容器使用的CPU和内存进行申请与限制。本节通过编排公共模板，增加magento前台应用和MySQL数据库应用的CPU和内存的申请与限制参数。 申请：表示容器运行所需最少资源。 限制：如果担心容器超载，导致系统故障，建议设置容器配额的最高限制，确保容器资源不会超额。 登录AOS控制台，选择左侧导航栏的“模板市场”，单击“公共模板”。 在“行业场景模板”下，单击Magento电商应用，查看模板详情。 图2 选择公共模板 在模板详情中，展示了该模板的概述，以及模板图示。magento应用组中包含了一个magento前台应用和MySQL数据库应用。且magento依赖于MySQL应用，需要将数据存储到MySQL中。 单击“复制模板”，复制模板文件到“我的模板”。 图3 复制模板 修改“模板名称”，本例为“my-business-app”，单击“确定”，系统跳转到“my-business-app”模板详情页面。 图4 修改模板名称 单击操作列的“下载模板”，根据业务需要修改模板信息。以下以增加magento前台应用的CPU和内存的申请与限制参数为例编排模板。 name: magento-container resources: requests: cpu: get_input: requestMagentoCPU memory: get_input: requestMagentoMemory limits: cpu: get_input: limitMagentoCPU memory: get_input: limitMagentoMemory ports: - containerPort: 80 protocol: TCP 各属性解释如下： resources：定义容器资源规格。 requests：给容器分配的资源配额。 limits：容器能够使用的资源上限。 cpu：容器使用的CPU需求。 memory：容器使用的Memory需求。 get_input：用于获取模板文件中inputs区域中定义的输入参数的值。 在inputs部分添加输入参数的描述和标签。 inputs: app-name: default: magento description: 应用名称 label: magento mysql-service-name: default: magento-mysql description: MySQL数据库服务的名称 label: mysql requestMagentoCPU: description: MagentoCPU申请 label: magento requestMagentoMemory: description: Magento内存申请 label: magento limitMagentoCPU: description: MagentoCPU限制 label: magento limitMagentoMemory: description: Magento内存限制 label: magento magento-EIP: description: magento服务对外暴露访问地址 label: magento 各属性解释如下： inputs：定义基于模板创建堆栈时的可变部分。 requestMagentoCPU：定义输入参数Magento应用的CPU申请。 requestMagentoMemory：定义输入参数Magento应用的内存申请。 limitMagentoCPU：定义输入参数Magento应用的CPU限制。 limitMagentoMemory：定义输入参数Magento应用的内存限制。 description：参数描述信息。 label：参数的标签，此处定义的标签可在创建堆栈时进行分类展示。 保存本地模板文件。 在“my-business-app”模板详情页面，单击“新增版本”，版本号设置为2.0，上传本地修改后的模板文件。

创建执行计划 步骤：进入资源栈列表页面，单机资源栈名称进入资源栈详情，单机页面右上角的“更新模板或参数”进入创建执行计划页面如图1： 图1 创建执行计划页面 后续步骤和创建资源栈一致，除了一个区别是，您需要单击创建执行计划，而不是单击直接部署资源栈。 单机“创建执行计划”后 资源栈不会直接部署，而是创建执行计划，创建多个计划生成以后会在同一个资源栈下展示多个执行计划。如图2： 图2 执行计划列表 对于生成执行计划成功的，单机对应执行计划后面的“部署”进而部署“执行计划”。 对于不需要的执行计划，可以单机操作列删除，当页面弹出删除执行计划确认框后，单机“确定”即可删除。如图3： 图3 删除执行计划 父主题： 入门

资源栈详情 资源栈详情 资源栈详情中主要包括六个功能模块如下（此处用上面创建好的，资源栈名称为“stack_20221206_0933_uiyn”的资源栈举例说明）： 基本信息：展示资源栈的基本信息如基本信息： 图1 基本信息 资源：指的是“执行计划执行中生成的云服务的信息”，资源栈部署中生成的资源可在此页查看，如图2： 图2 资源 事件：事件指的是执行的过程中和部署资源栈过程中产生的日志信息，事件会根据资源栈正在执行的状态进行实时刷新，如图3显示三个资源最终均被创建成功： 图3 事件 输出：当模板内容中有输出的参数时，输出的数据会显示在本页，如图4： 图4 输出 模板：模板中展示创建资源栈时所用到的模板内容如图5： 图5 模板 执行计划：执行计划列表中可以展示不同的执行计划，执行计划生成结束后需要单机“部署”，模板中的资源才可以创建成功，执行成功后执行计划的状态从“创建成功，待部署”更新为“已执行部署”，“部署”按钮消失。如图 执行计划： 图6 执行计划 单机对应的执行计划的名称可看见执行计划详情页面如图7： 图7 执行计划详情 父主题： 入门

创建资源栈 进入资源栈列表页面单机页面右上角的“创建资源栈”，进入创建资源栈页面 如图1 图1 创建资源栈 步骤：可使用已有模板或者可视化编辑器进行操作此处使用模板进行资源栈的创建，设计器使用见可视化编辑器。 选择模板： 此处有三种方式可以选择模板，一是通过Obs模板的URL指定模板，二是选择上传本地文件，如图2： 图2 创建资源栈-选择模板 此处以上传模板为例，上传一个在本地已经存在的模板 文件名为"ecs_test.tf.json"，模板内容如下： { "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.41.0" } } }, "provider": { "huaweicloud": { "cloud": "myhuaweicloud.com", "endpoints": { "iam":"iam.cn-north-4.myhuaweicloud.com" }, "insecure": true, "region": "cn-north-4", "auth_url": "https://iam.cn-north-4.myhuaweicloud.com:31943/v3" } }, "variable": { "vpc_name": { "type": "string", "description": "vpc name", "default": "rf_teststack_vpc", "sensitive": true, "nullable": false }, "subnet_name": { "type": "string", "description": "subnet name", "default": "rf_teststack_subnet" }, "ecs_name": { "type": "string", "description": "ecs name", "default": "rf_teststack_ecs" }, "ecs_admin_passwd": { "type": "string", "description": "ecs passwd" } }, "resource": { "huaweicloud_vpc": { "rf_doc_vpc": { "name": "${var.vpc_name}", "cidr": "192.168.0.0/16" } }, "huaweicloud_vpc_subnet": { "rf_doc_subnet": { "name": "${var.subnet_name}", "vpc_id": "${huaweicloud_vpc.rf_doc_vpc.id}", "cidr": "192.168.1.0/24", "gateway_ip": "192.168.1.1" } }, "huaweicloud_compute_instance": { "rf_doc_ecs": { "name": "${var.ecs_name}", "flavor_id": "c7.large.2", "admin_pass": "${var.ecs_admin_passwd}", "image_id": "cecc4bcf-b055-4d35-bd5f-693d4412eaef", "network": { "uuid": "${huaweicloud_vpc_subnet.rf_doc_subnet.id}" }, "system_disk_type": "SAS", "system_disk_size": 100, "stop_before_destroy": false, "delete_disks_on_termination": true, "charging_mode": "postPaid", "auto_renew": false } } }, "output": { "ecs_address": { "value": "${huaweicloud_compute_instance.rf_doc_ecs.access_ip_v4}", "description": "The ecs private address." }, "ecs_id": { "value": "${huaweicloud_compute_instance.rf_doc_ecs.id}", "description": "The ecs resource id." } } } 示例模板中包含收费资源，请用户使用前确认是否需要开通该资源。 模板详解：主要分为五个部分： 虚拟私有云VPC ，“resource”中“huaweicloud_vpc”为VPC创建信息。 在VPC中定义一个子网，子网是VPC的IP地址范围内的一个区段， “resource”中“huaweicloud_vpc_subnet”为子网创建信息。 在模板中定义弹性 云服务器ECS ，“resource”中“huaweicloud_compute_instance”为E CS 创建信息。 “variable”中定义了参数，用户可以在创建和部署时将自定义参数值输入模板来指定自定义的内容。 “output”中定义了模板的输出，在资源栈创建完成后会按照定义生成输出，在输出页会展示输出的信息。 配置参数 选择好模板以后单机“下一步”，来到配置参数页面，在此页面中，您可以修改资源栈名称和资源栈描述，如图3： 资源栈名称: 资源栈名称以中文或英文开始，支持中文、大小写英文、数字、下划线、中划线，128个字符之内。 资源栈名称不能重名。 资源栈描述: 由任意字符组成, 字符数量需要控制在1024个字符之内。 图3 创建资源栈-配置参数 配置参数的填写，如果参数名称之前有红色“*”标记则为必填参数，所有必填参数填写完毕，满足设定规则。 如果存在不满足配置规则的参数如：图4，值所在列会出现红框标记，此时单机下一步不会出现页面跳转 图4 创建资源栈-不满足条件展示 配置成功后可以单机“下一步”进入资源栈设置页面。 如果资源栈名称或资源栈描述为地址栏URL传入,如存在特殊字符, 特殊字符需符合http的规则转义之后传入;如图5: test&123 应为 test%26123 (注: 资源栈名称及描述的校验规则与手动输入一致) 图5 资源栈描述为地址栏URL传入示例 另外需要到对应服务控制台确认在此页面默认的VPC、子网和ECS的名称是否已经有同名的资源实例存在，如果存在则需要更改名称，防止创建失败。 资源栈设置 配置好参数以后单机下一步来到“高级配置”页面，如图6： 图6 创建资源栈-资源栈设置 *必选项： IAM 权限委托：选择权限委托可明确定义 RFS 服务在资源栈上可执行的所有操作（如创建、更新、删除资源栈等），如果委托权限不足，有可能导致后续操作失败。 非必选项： 单机“删除保护”按钮，可以防止资源栈被意外删除，创建后可单机资源栈操作列的更新按钮更新； 单机“回滚设置”按钮，会切换回滚设置的开关状态，开启回滚表示操作失败时，会自动回滚至系统所保存的上一个成功的资源状态。 配置完毕后可以单机“下一步”进入确认配置页面。 确认配置 此时有两种途径可以操作，分别是单机“创建执行计划”和“直接部署资源栈”: 单机“直接部署资源栈”，出现弹框确认 图7 直接部署资源栈 单机“确定”会发现有新的资源栈生成，状态为“正在部署”，如图8： 图8 正在部署 稍后，状态更新为“部署成功”，如图9： 图9 部署成功 单机“创建执行计划”，页面弹出创建执行计划弹出框，您可以借此设置执行计划的名称与描述，如图10： 图10 创建执行计划弹出框 单机“确定”页面跳转到资源栈详情中的“执行计划”页面 等待执行计划生产完毕，并且刷新页面，可以看到执行计划的状态更新为“创建成功，待部署”，如图11： 图11 执行计划创建成功 此时返回资源栈列表页，资源栈的状态为“创建成功，待部署”，如图12： 图12 资源栈列表 “创建执行计划”可以预览整个资源栈的资源属性的变化，评估造成的影响。评估执行计划符合您的预期，您就可以对计划单机“执行”。 创建执行计划不会产生费用，只有您对计划进行了执行操作时，系统才会对您的资源栈进行更改。 单机执行计划操作列的“部署”，对执行计划进行部署，如图13： 图13 执行计划确认框 单机弹出框中的“执行”，页面右上角弹出“正在部署”的提示框，此时返回资源栈列表页，可以看到有新的资源栈生成，状态为“正在部署”，如图14： 图14 资源栈资源正在部署 稍后，资源栈状态更新为“部署成功”如图15： 图15 资源栈资源部署成功 此时，进入资源栈详情中的“执行计划”页面，执行计划的状态为“已执行部署”，如图16： 图16 执行计划已执行部署 此时，单机导航栏中的“事件”，可以看到资源栈资源已经部署成功，如图17： 图17 资源已经部署成功 您可以去对应的云服务中查看，详细如下： 在总控制台的服务列表中找到并单机“弹性云服务器”，进入弹性云服务器页面，可以看到刚部署的弹性云服务器如图18： 图18 弹性云服务器 至此，资源栈资源均部署成功。 父主题： 入门

步骤一：使用可视化编辑器编写模板 登录RFS控制台，选择左侧导航栏的“可视化编辑器”。 添加并连接元素。将虚拟私有云VPC、VPC子网、云硬盘EVS等元素拖放到画布中，并建立它们之间的关联关系，如图2。 图2 添加元素 配置模板参数。在右侧属性窗口中设置编辑属性 鼠标单击画布中的vpc元素，在属性窗口中会自动显示该元素的属性，cidr可使用默认值192.168.0.0/16。 鼠标单击画布中的subnet元素，在属性窗口中会自动显示该元素的属性。属性可使用默认值。 鼠标单击画布中的evs元素，在属性窗口中会自动显示该元素的属性。当属性窗口为红色标记时为必填项图3 图3 元素必填项 为方便参数可配置可修改，建议经常变动的值使用输入参数。get_input表示输入参数，get_input后面定义的值可以自定义。 鼠标单击属性窗口右侧，生成输入参数，如图4。 图4 生成input 单击可视化编辑器的“保存模板”，保存模板。如果出现"模板已保存成功，请在我的模板查看管理",则模板保存成功。 图5 保存模板

价格预估 进入创建成功的执行计划页面，会在界面上看到“查看费用明细”按钮，如图1 ，单机后服务会进行价格预估并展示价格预估结果，如图2 图1 查看费用明细 图2 费用明细 费用明细页面分包年/包月，如图3，按需计费如图4，待支持如图5三个类别展示资源价格。 包年/包月类、按需计费类展示按照包年/包月，按需计费方式购买的资源，待支持类展示暂不支持预估价格资源的列表， 目前支持预估价格的资源列表如表1。 图3 包年包月 图4 按需计费 图5 待支持 表1 已支持预估价格的云服务资源与计费方式 云服务 资源类型 计费方式 ECS（Elastic Cloud Server ）弹性云服务器 huaweicloud_compute_instance 包周期和按需 EVS（Elastic Volume Service）云硬盘 huaweicloud_evs_volume 包周期和按需 EIP（Elastic IP Address）弹性公网IP huaweicloud_vpc_eip 包周期和按需 bandwidth 带宽 huaweicloud_vpc_bandwidth 按需 ELB（Elastic Load Balance）弹性负载均衡 huaweicloud_elb_loadbalancer 按需 NAT（Network Address Translation）网关 huaweicloud_nat_gateway 按需 RDS（Relational Database Service）关系型数据库 huaweicloud_rds_instance 包周期和按需 CCE（Cloud Container Engine）云容器引擎 huaweicloud_cce_cluster 包周期和按需 CSS （Cloud Search Service） 云搜索服务 huaweicloud_css_cluster 按需 GaussDB (for Redis) 华为云旗下企业级Redis huaweicloud_gaussdb_redis_instance 包周期和按需 GaussDB(for MySQL) 华为自研的最新一代企业级云原生 分布式数据库 huaweicloud_gaussdb_mysql_instance 包周期和按需 SFS（Scalable File Service） 弹性文件服务 huaweicloud_sfs_turbo 按需 DCS（Distributed Cache Service）分布式缓存服务 huaweicloud_dcs_instance 包周期和按需 DMS KAFKA （Distributed Message Service） 分布式消息服务 huaweicloud_dms_kafka_instance 按需 用于预估价格的模板中没有填入预估价格服务必须的字段或填入不合法字段时会导致价格预估失败。 服务在完成询价后，执行计划详情也会在基本信息中展示出费用预估情况，如图6 图6 执行计划详情 父主题： 入门

IAM委托 通过创建委托，可以将资源共享给其他账号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的账号登录后，切换到委托方账号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保账号安全。 用户在使用RFS时，可以通过创建资源栈设置委托与Provider的绑定关系，通过更新资源栈更新委托与Provider的绑定关系。 RFS仅在创建资源栈（触发部署）、创建执行计划、部署资源栈、删除资源栈等涉及资源操作的请求中使用委托，且该委托仅作用于与之绑定的Provider对资源的操作中。如果委托中提供的权限不足，有可能导致相关资源操作失败。 操作步骤 登录 统一身份认证 服务控制台。 在统一身份认证服务的左侧导航窗格中，选择“委托”页签，单击右上方的“创建委托”。 图1 创建委托 在创建委托页面，设置“委托名称”。 委托给云服务RFS 图2 创建委托 此处“委托名称”为用户自定义。 此处如已使用“op_svc_iac”进行注册，建议修正为云服务“RFS”。 单击“下一步”，进入给委托授权页面，给对应委托授权： 图3 委托授权 可以筛选具体权限授权给委托 图4 选择策略 具体授权给委托哪些详细权限需要用户自己决定（华为云最佳实践不建议自动帮用户创建授予Tenant Administrator权限的委托）最佳实践为用户资源栈中可能需要使用到的资源进行授予管理权限（包括读写操作） 设置授权范围可以选择所有资源或选择定义region进行授权 图5 权限范围 单击“确定”，委托创建完成。 图6 父主题： 资源编排