华为云用户手册

  • KooMap服务与其他服务的关系 使用KooMap卫星影像生产服务需要配套OBS服务,KooMap系统从OBS加载原始影像文件或矢量数据,再进行影像处理。 使用KooMap实景三维生产服务需要配套OBS服务,KooMap系统从OBS加载倾斜摄影影像,再进行影像建模。 使用KooMap AR地图运行服务基础版,建议您先购买AR地图生产服务或咨询人工客服购买AR地图数据采集服务和AR地图数据构建服务,对业务指定的区域进行AR地图采集和生产并部署上云后,再通过API和SDK访问AR地图运行服务。 父主题: 其他问题
  • 如何退订KooMap服务 KooMap卫星影像生产服务开通后即开始计费,支持退订,具体操作请参见退订卫星影像生产服务。 KooMap实景三维生产服务开通后即开始计费,支持退订,具体操作请参见退订实景三维生产服务。 KooMap AR地图运行服务开通后即开始计费,支持退订,具体操作请参见退订AR地图运行服务。 如您不再使用KooMap服务且不想留存任何使用信息,可选择退租,即注销华为云账号,届时您将无法使用该账号访问包括KooMap在内的华为云服务,保存在华为云中的数据将会被删除,请您谨慎操作。 父主题: 服务退订
  • 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 用户 由账号在 IAM 中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中,您需要用到账号账号、用户和密码等信息。 区域(Region) 指云资源所在的物理位置,同一区域内可用区间内网互通,不同区域间内网不互通。通过在不同地区创建云资源,可以将应用程序设计的更接近特定客户的要求,或满足不同地区的法律或其他要求。 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区(AZ,Availability Zone) 一个可用区是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中创建资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中的资源,使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下,您可以查看项目ID。 企业项目 企业项目是项目的升级版,针对企业不同项目间的资源进行分组和管理,是逻辑隔离。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理用户指南》。
  • 终端节点 终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询所有服务的终端节点。 Organizations的终端节点如表1所示。Organizations是全局级服务,数据全局一份,在全局项目中存储,Organizations所有的API都可以使用全局服务的Endpoint调用。 表1 Organizations的终端节点 区 域名 称 区域 终端节点(Endpoint) All All organizations.myhuaweicloud.com
  • 查看扫描结果 扫描任务执行后,可在二进制成分分析页面的任务列表查看当前任务状态。 单击对应任务的任务名称,也可以单击任务列表操作列的“查看报告”,查看扫描报告。扫描报告主要包括:任务概况、开源软件漏洞、开源许可证、密钥和信息泄露、安全编译选项、安全配置、恶意软件扫描。 图2 扫描报告 在扫描报告页面,单击右上角的“生成PDF报告”或“生成Excel报告”,可以生成更详细的扫描报告。 扫描报告生成完成后,单击右上角的“导出PDF”或“导出Excel”,可以下载扫描报告。 扫描报告主要内容如下:任务概览、结果概览、组件列表、漏洞列表、密钥和信息泄露问题列表、安全编译选项问题列表、安全配置列表、恶意软件扫描问题列表。
  • 前提条件 拥有已实名认证的华为账号。若没有,请先参考帮助手册注册账号并完成实名认证。 已购买开源治理服务。 已准备好需要扫描的软件包/固件。 支持检测 .zip、.rar、.tar、.tar.gz、.jar、.apk、.hap、.so、.gz、.gzip等10+种格式的文件。 文件名只能包含:中文、字母、数字、空格、下划线(_)、中划线 (-) 或点 (.)。 文件名最大长度为100字符。 文件大小不能超过5GB(免费试用任务限制100MB)。
  • 成分分析的安全编译选项类问题如何分析? 成分分析会检查用户包中的C/C++、Go文件在构建编译过程中是否添加了保护性的编译选项,来保护文件运行时免受到攻击者的攻击。 安全编译选项类问题分析指导: 导出Excel报告,查看安全编译选项Sheet页。 根据filepath列寻找目标文件在扫描包中位置,确认文件来源。 查看目标文件对应的安全编译选项结果。 如果对应项结果底色为绿色或结果值为“YES”或“NA”(rpath项禁选结果值为“No”或“NA”),则说明目标文件满足安全编译选项要求,无需处理。 对于不满足要求的项,排查目标文件的构建脚本,添加对应的编译选项,其中Ftrapv和FS两项由于可能影响性能,请根据实际情况确认是否添加对应选项。 表1 安全编译选项检查项参考说明 检查项 检查项描述 安全编译选项参数 BIND_NOW 立即绑定 -Wl、-z、now NX 堆栈不可执行 -WI、-z、noexecstack PIC 地址无关 -fPIC PIE 随机化 -fPIE或-pie RELRO GOT表保护 -WI、-z、relro SP 栈保护 -fstack-protector-strong或-fstack-protector-all NO Rpath/Runpath 动态库搜索路径(禁选) 脚本中删除--rpath FS Fortify Source(缓冲区溢出检查) -D_FORTIFY_SOURCE=2 Ftrapv 整数溢出检查 -ftrapv Strip 删除符号表 -s 父主题: 二进制成分分析类
  • 成分分析的安全配置类问题如何分析? 成分分析会检测用户包中一些安全配置项是否合规,主要如下: 用户上传的软件包/固件中存在的敏感文件,如(密钥文件,证书文件,源码文件,调试工具等)。 用户上传的软件包/固件中操作系统中的用户与组配置、硬编码凭证、认证和访问控制等配置类问题。若不存在操作系统,则不涉及。 安全配置类检查问题分析指导: 导出PDF报告,搜索【安全配置检查概览】关键字,可以看到各检查项的结果,pass表示通过,failed表示未通过,NA表示不涉及(若无操作系统,则针对操作系统配置检查项为不涉及)。搜索【安全配置检查】关键字,可以查看具体每项的检查结果。 检查结果说明: 审视项:检查的方式/方法。 问题:存在问题的文件列表,若无问题则显示暂无问题。 建议值:针对检查出的问题给出的修改建议。 描述:审视项描述。 父主题: 二进制成分分析类
  • 应用示例2:通过流水线上下文获取构建任务的产物信息 在任务的输入框中引用上下文获取信息:使用Build构建插件生成构建产物,并在后续阶段的“执行Shell”任务中引用,获取构建产物信息。 新建流水线。 在“阶段_1”添加“Build构建”插件,获取任务ID,如图1,并将构建产物标识设置为“demo”,如图2。 图1 获取任务ID 图2 Build构建插件 在“阶段_2”添加“执行Shell”插件,通过构建任务ID,结合流水线上下文,输入如下命令,即可获取构建产物的相关信息。 # 获取构建产物下载地址 echo ${{ jobs.JOB_xZGhF.artifacts.demo.download_url }} # 获取构建产物所有信息 echo ${{ jobs.JOB_xZGhF.artifacts.demo }} 图3 执行Shell 执行流水线,执行成功后即可在日志中查看打印的产物信息。 图4 查看产物信息 父主题: 流水线上下文
  • SDK列表 在开始使用之前,请确保您安装的是最新版本的SDK。使用过时的版本可能会导致兼容性问题或无法使用最新功能。您可以在 SDK中心 查询版本信息。 表1提供了性能测试服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导
  • 实施步骤 登录开源治理服务控制台。 在左侧导航栏,单击“二进制成分分析”。 在“二进制成分分析”页面,单击“添加任务”,弹出“添加任务”对话框,单击“扫描对象”旁的文件框,选择本地的软件包,导入扫描对象。 文件上传成功后,单击“确定”,等待扫描任务完成。 单击任务名称,也可以单击任务列表操作列的“查看报告”,进入扫描报告页面。扫描报告页面说明如表1所示。 表1 详情总览说明 栏目 说明 任务概况 显示目标任务的基本信息,包括:文件名、文件大小、特征库版本、平台版本等基本信息。 显示目标任务的组件检测、安全漏洞、安全配置、许可协议、信息泄露、安全编译选项、恶意软件扫描检测概况,包括: 组件检测:展示被扫描的软件包所有的组件数量,有漏洞、未知版本和无漏洞组件数量占比。 安全漏洞:展示超危、高危、中危、低危各个级别漏洞数量占比。 安全配置:展示通过、失败、不涉及的检测结果数量占比。 许可协议:展示高风险、中风险、低风险各个级别许可协议的统计信息。 信息泄露:展示信息泄露各检测项结果分布。 安全编译选项:展示安全编译各检测项结果分布。 恶意软件扫描:展示病毒和恶意代码扫描结果分布。 开源软件漏洞 显示扫描任务中每个组件的组件名称、组件版本、许可协议、包含文件数以及存在漏洞数。 组件名称、组件版本和文件数可按升降序查看。 可按许可协议对组件列表进行筛选查看。 License详情 显示开源软件的License检测结果,包括License使用的风险等级和License间的兼容性风险。 License信息:二进制文件包License检测结果,包含License名称、风险等级、涉及组件和License描述和风险分析。 License兼容性:二进制文件包中各目录的License间兼容性风险检测。 密钥和信息泄露 显示Git地址、IP、硬编码密码、弱口令、硬编码密钥和SVN地址的检测结果。 安全编译选项 显示BIND_NOW、NX、PIC等检测项目的描述、检测结果、不符合文件数。 安全配置 显示凭据管理、认证问题和会话管理的检测项目、级别、检测结果。 恶意软件扫描 显示病毒扫描和恶意代码扫描的结果。 在“开源软件漏洞”页签可查看软件包各个组件的漏洞。 如果检测结果存在漏洞或者风险,可单击“组件名称”列,查看详细信息。 单击“对象路径”,可以查看文件对象路径详细信息。 单击“CVE”漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“解决方案”、“漏洞修复参考”、“参考链接”。 图1 开源软件漏洞检测结果 在“密钥和信息泄露”页签查看对应检测项目的检测结果。 图2 密钥和信息泄露检测结果 在“安全编译选项”页签查看编译选项对应检测项目的检测结果。 图3 安全编译选项检测结果 在“恶意软件扫描”页签查看病毒扫描和恶意代码扫描的检测结果。 图4 病毒扫描和恶意代码扫描的检测结果
  • 应用场景 据《2024年中国软件行业全景图谱》统计,2023年国内软件市场规模超12万亿,我国软件行业正处于成长期,市场规模增长较快,预计2029年整体行业的市场规模将超21万亿。据《2023年软件供应链状况报告》指出,过去三年针对软件供应链的攻击平均年增长高达742%。因此,开源/第三方软件引入评估面临以下问题: 针对采购的软件或对外交付的软件产品没有很好的安全检测手段。 产品需要对供应商有基础的安全性认证。 开源漏洞响应与修复效率低,安全风险缺乏管理。 通过二进制成分分析服务提供页面和开放API,提供风险快速评估能力。功能特性如下: 全方位风险检测:对软件包/固件进行全面分析,基于各类检测规则,检测相关被测对象的开源软件漏洞和许可证合规、敏感信息(弱口令、硬编码密码等)、安全配置、安全编译选项等存在的潜在风险。 支持各类应用:支持对桌面应用(Windows和Linux)、移动应用程序(APK、IPA、Hap等)、嵌入式系统固件等的检测。 专业分析指导:提供全面、直观的风险汇总信息,并针对不同的扫描告警提供专业的解决方案和修复建议。 恶意代码检查:提供病毒木马等恶意软件的扫描,支持开源软件中敏感信息外发、木马下载执行、反弹shell、恶意命令执行恶意行为检测。
  • 约束与限制 指标类别 指标项 限制说明 任务管理 语言类型 支持C/C++/Java/Go/JavaScript/Python/Rust/Swift/C#/PHP等语言开源软件已知漏洞检测。 扫描包格式 支持.7z、.arj、.cpio、.phar、.rar、.tar、.xar、.zip、.jar、.apk、.war等格式文件,以及Android OTA Images、Android sparse、Intel HEX、RockChip、U-Boot等固件。 扫描包上传大小限制 5GB。
  • 服务的访问控制 CES 对接了华为云 统一身份认证 服务(Identity and Access Management,简称IAM)。如果您需要对华为云上的CES资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。 鉴权 您可以通过以下方式登录华为云,如图1所示。 华为云帐号:您首次使用华为云时创建的帐号,该帐号是您的华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全的访问权限。 IAM用户:由管理员在IAM中创建的用户,是云服务的使用人员,根据帐号授予的权限使用资源。 企业联邦用户:由管理员在IAM中创建的企业身份提供商用户。 图1 登录华为云 访问控制 CES基于IAM提供了系统策略和自定义策略,需要给用户配置相应策略,才能创建或访问CES资源,具体操作步骤参考:创建用户并授权使用 云监控服务 。建议您使用自定义策略,定义CES所需的最小权限集合即可。 父主题: 身份认证与访问控制
  • 云监控 控制台功能依赖的角色或策略 如果IAM用户需要在云监控服务控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了CES Administrator、CES FullAccess或CES ReadOnlyAccess策略的集群权限,再按如下表3增加依赖服务的角色或策略。 表3 云监控控制台依赖服务的角色或策略 控制台功能 依赖服务 需配置角色/策略 云服务监控 云手机服务器 CPH ROMA Connect: 业务流 BFS 快速数据集成 FDI 服务集成 APIC 云搜索服务 CSS 云桌面 Workspace 消息&短信服务 MSG SMS 支持设置了CES Administrator、CES FullAccess或CES ReadOnlyAccess权限的IAM用户查看云服务监控信息。
  • 云监控服务权限 默认情况下,新建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 Cloud Eye部署时通过物理区域划分,为项目级服务,需要在各区域(如华北-北京1)对应的项目(cn-north-1)中设置策略,并且该策略仅对此项目生效,如果需要所有区域都生效,则需要在所有项目都设置策略。访问Cloud Eye时,需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对云监控服务,管理员能够控制IAM用户仅能对某一类云监控资源进行指定的管理操作。 多数细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action),云监控服务支持的API授权项请参见策略及授权项说明。 如表1所示,包括了云监控服务的所有系统权限。 表1 云监控服务系统权限 系统角色/策略名称 描述 类别 依赖关系 CES FullAccess 云监控服务的全部权限,拥有该权限可以操作云监控服务的全部权限。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源,该策略中已包含部分云服务的资源查询权限,如在使用中遇到权限问题,需要配置涉及服务的细粒度授权特性,才可以正常使用,支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务。 告警通知:依赖 SMN 服务的SMN FullAccess。 配置数据转储:依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccess 云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源,该策略中已包含部分云服务的资源查询权限,如在使用中遇到权限问题,需要配置涉及服务的细粒度授权特性,才可以正常使用,支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务。 CES AgentAccess CES Agent正常运行所需的必要权限。 说明: 为了保证CES Agent能够正常提供服务,需要配置委托,详细操作请参见如何配置委托? 系统策略 无。 CES SiteMonitor FullAccess 云监控服务站点监控所有权限。 系统策略 无。 CES SiteMonitor ReadOnlyAccess 云监控服务站点监控只读权限。 系统策略 无。 CES Administrator 云监控服务的管理员权限。 系统角色 依赖Tenant Guest策略。 Tenant Guest:全局级策略,在全局项目中勾选。 CES AgencyCheck Access 云监控服务检查租户委托权限需要授权的IAM操作权限集 系统策略 云服务监控OBS转储、数据转储、主机监控等相关功能所依赖的委托策略集合,该策略中已包含委托需要授权的IAM操作权限集,如在使用OBS转储、数据转储、主机监控等功能时遇到委托相关权限问题,需要配置IAM委托操作的细粒度授权特性,才可以正常使用。 CES Global FullAccess 云监控服务全局业务所有权限 系统策略 云监控服务站点监控、广域网质量监控、告警通知等相关功能所依赖的委托策略集合,该策略中已包含云监控服务的全局业务和云监控服务所依赖的全局服务操作的集合,如在使用站点监控、广域网质量监控、告警通知等功能时遇到权限问题,需要配置该权限集才可以正常使用。 表2列出了云监控服务常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 功能 操作 CES FullAccess CES ReadOnlyAccess CES SiteMonitor FullAccess CES SiteMonitor ReadOnlyAccess CES Administrator (需同时添加Tenant Guest策略) Tenant Guest 监控概览 查看监控概览 √ √ √ √ √ √ 查看监控大屏 √ √ √ √ √ √ 监控面板 创建监控面板 √ × √ × √ × 查看监控大屏 √ √ √ √ √ √ 查看监控面板 √ √ √ √ √ √ 删除监控面板 √ × √ × √ × 添加监控视图 √ × √ × √ × 查看监控视图 √ √ √ √ √ √ 修改监控视图 √ × √ × √ × 删除监控视图 √ × √ × √ × 调整监控视图位置 √ × √ × √ × 资源分组 创建资源分组 √ × √ × √ × 查看资源分组列表 √ √ √ √ √ √ 查看资源分组(资源概览) √ √ √ √ √ √ 查看资源分组(不健康资源) √ √ √ √ √ √ 查看资源分组(告警规则) √ √ √ √ √ √ 查看资源分组(告警记录) √ √ √ √ √ √ 修改资源分组 √ × √ × √ × 删除资源分组 √ × √ × √ × 告警规则 创建告警规则 √ × √ × √ × 修改告警规则 √ × √ × √ × 启用告警规则 √ × √ × √ × 停用告警规则 √ × √ × √ × 删除告警规则 √ × √ × √ × 导出告警规则 √ × × × √ × 查看告警规则列表 √ √ √ √ √ √ 查看告警规则详情 √ √ √ √ √ √ 查看监控图表 √ √ √ √ √ √ 告警记录 查看告警记录 √ √ √ √ √ √ 告警模板 查看默认告警模板 √ √ √ √ √ √ 查看自定义告警模板 √ √ √ √ √ √ 创建自定义告警模板 √ × √ × √ × 修改自定义告警模板 √ × √ × √ × 删除自定义告警模板 √ × √ × √ × 一键告警 开启一键告警 √ × √ × √ × 查看一键告警 √ √ √ √ √ √ 修改一键告警 √ × √ × √ × 关闭一键告警 √ × √ × √ × 主机监控 查看主机列表 √ √ √ √ √ √ 查看主机监控指标 √ √ √ √ √ √ 安装Agent √(需同时拥有E CS FullAccess权限) × √ × √(需同时拥有ECS FullAccess权限) × 修复插件配置 √(需同时拥有Security Administrator、ECS FullAccess权限) × √ × √(需同时拥有Security Administrator、ECS FullAccess权限) × 卸载Agent √(需同时拥有ECS FullAccess权限) × √ × √(需同时拥有ECS FullAccess权限) × 配置进程监控 √ × √ × √ × 配置自定义进程监控 √ × √ × √ × 云服务监控 查看云服务列表 √(涉及云服务需要支持细粒度授权特性,参考:使用IAM授权的云服务) √(涉及云服务需要支持细粒度授权特性,参考:使用IAM授权的云服务) √ √ √ √ 查看云服务监控指标 √ √ √ √ √ √ 站点监控 创建站点监控 √(站点监控部署在华北-北京一,若在其他Region使用站点监控功能,需同时添加华北-北京一的权限) × √ × √(站点监控部署在华北-北京一,若在其他Region使用站点监控功能,需同时添加华北-北京一的权限) × 查看站点监控列表 √ √ √ √ √ √ 查看站点监控详情 √ √ √ √ √ √ 修改站点监控 √ × √ × √ × 启用站点监控 √ × √ × √ × 停用站点监控 √ × √ × √ × 删除站点监控 √ × √ × √ × 自定义监控 添加自定义监控数据 √ × √ √ √ × 查看自定义监控列表 √ √ √ √ √ √ 查看自定义监控数据 √ √ √ √ √ √ 事件监控 添加自定义事件 √ × √ √ √ × 查看事件列表 √ √ √ √ √ √ 查看事件详情 √ √ √ √ √ √ 日志监控 自定义指标过滤配置 √(需同时拥有LTS FullAccess权限) × √ × √(需同时拥有LTS FullAccess权限) × 查看日志监控列表 √ √ √ √ √ √ 查看日志监控详情 √ √ √ √ √ √ 数据转储到DMS Kafka 创建数据转储任务 √ × √ × √ × 查询数据转储任务列表 √ √ √ √ √ √ 查询指定数据转储任务 √ √ √ √ √ √ 修改数据转储任务 √ × √ × √ × 启动数据转储任务 √ × √ × √ × 停止数据转储任务 √ × √ × √ × 删除数据转储任务 √ × √ × √ × 其他 配置数据转储 √(需同时拥有OBS Bucket Viewer权限) × √ × √(需同时拥有Tenant Administrator权限) × 导出监控数据 √ × × × √ × 发送告警通知 √ × √ × √ ×
  • 弹性文件服务与其他服务的关系 表1 与其他云服务的关系 功能 相关服务 位置 云服务器和文件系统归属于同一项目下,用于挂载共享路径实现数据共享。 弹性云服务器(Elastic Cloud Server,ECS) 挂载NFS文件系统到云服务器(Linux) 挂载NFS文件系统到云服务器(Windows) 挂载CIFS文件系统到云服务器(Windows) 云容器引擎提供高度可扩展的、高性能的企业级Kubernetes集群,支持运行Docker容器。借助云容器引擎,您可以在云上轻松部署、管理和扩展容器化应用程序。 您可以使用弹性文件服务作为容器的持久化存储,在创建任务负载的时候挂载到容器上。 云容器引擎(Cloud Container Engine,简称CCE) 挂载NFS文件系统到云服务器(Linux) 挂载NFS文件系统到云服务器(Windows) 挂载CIFS文件系统到云服务器(Windows) VPC为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云中资源的安全性,简化用户的网络部署。 云服务器无法访问不在同一VPC下的文件系统,使用弹性文件服务时需将文件系统和云服务器归属于同一VPC下。 虚拟私有云(Virtual Private Cloud,VPC) 创建文件系统 VPC终端节点 能够将VPC私密地连接到终端节点服务,使VPC中的云资源无需弹性公网IP就能够访问终端节点服务,提高了访问效率,为您提供更加灵活、安全的组网方式。 通用文件系统通过VPC终端节点,建立与云服务器的通信,以实现云服务器能够访问文件系统。 VPC终端节点(VPC Endpoint) 配置VPC终端节点 IAM是支撑企业级自助的云端资源管理系统,具有用户身份管理和访问控制的功能。当企业存在多用户访问弹性文件服务时,可以使用IAM新建用户,以及控制这些用户账号对企业名下资源具有的操作权限。 统一身份认证服务(Identity and Access Management, IAM) 权限管理 文件系统的加密功能依赖于密钥管理服务。您可以使用密钥管理服务提供的密钥来加密文件系统,从而提升文件系统中数据的安全性。 数据加密 服务(Data Encryption Workshop, DEW)的密钥管理KMS功能 加密 当用户开通了弹性文件服务后,无需额外安装其他插件,即可在云监控查看对应服务的性能指标,包括读带宽、写带宽和读写带宽等。 云监控服务(Cloud Eye Service) 监控 为用户提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。通过 云审计 服务,您可以记录与弹性文件服务相关的操作事件,便于日后的查询、审计和回溯。 云审计服务(Cloud Trace Service, CTS ) 审计 标签用于标识文件系统,以实现对文件系统进行分类。 标签管理服务(Tag Management Service,TMS) 标签
  • 功能概览 表1列出了弹性文件服务的常用功能。 在使用弹性文件服务之前,建议您先通过产品基本概念介绍了解NFS、CIFS等基本概念,以便更好地理解弹性文件服务提供的功能。 √:表示该类型的文件系统支持该功能。 ×:表示该类型的文件系统不支持该功能。 表1 弹性文件服务常用功能 功能名称 功能描述 SFS容量型 SFS Turbo 通用文件系统 NFS协议 NFS(Network File System),即网络文件系统。一种使用于分散式文件系统的协议,通过网络让不同的机器、不同的操作系统能够彼此分享数据。多台ECS安装NFS客户端后,挂载文件系统,即可实现ECS间的文件共享。Linux客户端建议使用NFS协议。 √ √ √ CIFS协议 CIFS(Common Internet File System),通用Internet文件系统,是一种网络文件系统访问协议。通过CIFS协议,可实现Windows系统主机之间的网络文件共享。Windows客户端建议使用CIFS协议。 √ √ 请提交工单申请 × 配置多VPC访问 可以为文件系统配置多个VPC,以使归属于不同VPC的云服务器,只要所属的VPC被添加到文件系统的VPC列表下,或云服务器被添加到了VPC的授权地址中,则实际上归属于不同VPC的云服务器也能共享访问同一个文件系统。 √ √ 可通过VPC对等连接的方式实现 √ 配置多账号访问 只要将其他账号使用的VPC的VPC ID添加到文件系统的VPC列表下,且云服务器IP地址或地址段被添加至授权地址中,则实际上不同账号间归属于不同VPC的云服务器也能共享访问同一个文件系统。 √ × × 备份文件系统 备份是文件系统在某一时间点的完整备份,记录了这一时刻文件系统的所有配置数据和业务数据。当您的文件系统出现故障或文件系统中的数据发生逻辑错误等时,可快速使用备份恢复数据。 × √ × 加密文件系统 当您由于业务需求从而需要对存储在文件系统的数据进行加密时,弹性文件服务为您提供加密功能,可以对新创建的文件系统进行加密。 √ √ × 监控文件系统 云监控服务为用户提供一个针对资源的立体化监控平台。通过云监控,您可以全面了解文件系统的使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。 √ √ √ 审计文件系统 弹性文件服务支持通过云审计服务对资源的操作进行记录,以便用户可以查询、审计和回溯。 × √ × 企业项目 企业项目是对多个资源实例进行归类管理的单位,不同云服务区域的资源和项目可以归到一个企业项目中。企业可以根据不同的部门或项目组,将相关的资源放置在相同的企业项目内进行管理,支持资源在企业项目之间迁移。如果企业项目超过20个时,建议使用SFS Turbo文件系统或通用文件系统。 √ √ √ 标签 标签用于标识文件系统,以此来达到对文件系统进行分类的目的。当为文件系统添加标签时,该文件系统上所有请求产生的计费话单里都会带上这些标签,从而可以针对话单报表做分类筛选,进行更详细的成本分析。 × √ √
  • 审计 云审计服务(Cloud Trace Service,CTS),是华为 云安全 解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CTS可记录SFS的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CTS支持追踪的SFS管理事件和数据事件列表,请参见《弹性文件服务用户指南》的“支持审计的关键操作”章节。 父主题: 安全
  • 请求示例 projectId为“c80a2157ba1d46c0825265947342077c”,查询资源实例数量示例: POST https://{endpoint}/v3/sfs/tms/c80a2157ba1d46c0825265947342077c/file-systems/resource-instances/count 请求体示例: { "tags":[ { "key":"key1", "values":[ "value1", "value2" ] }, { "key":"key2", "values":[ "value1", "value2" ] } ], "matches":[ { "key":"resource_name", "value":"resource1" } ], "without_any_tag":"true" }
  • 请求示例 projectId为“c80a2157ba1d46c0825265947342077c”,offset为0,limit为10,查询资源实例示例: POST https://{endpoint}/v3/sfs/tms/c80a2157ba1d46c0825265947342077c/file-systems/resource-instances/filter?limit=10&offset=0 请求体示例: { "tags":[ { "key":"key1", "values":[ "value1", "value2" ] }, { "key":"key2", "values":[ "value1", "value2" ] } ], "matches":[ { "key":"resource_name", "value":"resource1" } ], "without_any_tag":"false" }
  • URI POST /v3/sfs/tms/{project_id}/file-systems/resource-instances/filter 参数说明 参数 是否必选 参数类型 描述 project_id 是 String 操作用户的项目ID,获取方法请参见获取项目ID。 limit 否 Int 查询记录数。默认为1000,limit最大为1000,最小值为1,不能为负数。 offset 否 Int 索引位置。 从第一条数据偏移offset条数据后开始查询。默认为0(偏移0条数据,表示从第一条数据开始查询),必须为数字,不能为负数。
  • 响应示例 { "resources":[ { "resource_detail":"", "resource_id":"resouece1", "resource_name":"resouece1", "tags":[ { "key":"key1", "value":"value1" } ], "sys_tags":[] } ], "total_count":1 }
  • 请求示例 projectId为“c80a2157ba1d46c0825265947342077c”,通用文件系统名为“bucketName”,批量添加资源标签示例: POST https://{endpoint}/v3/sfs/tms/c80a2157ba1d46c0825265947342077c/file-systems/bucketName/tags/create 请求体示例: { "tags":[ { "key":"key1", "value":"value1" }, { "key":"key2", "value":"value2" } ] }
  • 响应示例 HTTP/1.1 204 No Content Server: OBS X-Obs-Request-Id: 0000018893B8081DC047305E783867DD X-Obs-Id-2: 32AAAQAAEAABSkAgAAEAABAAAQAAEAABCT5UWgsaro3EEnOsNEzf8w8dnydR+Eak Date: WED, 01 Jul 2015 02:31:25 GMT
  • 请求示例 DELETE /v3/sfs/file-systems/examplefilesystem/quickly HTTP/1.1 User-Agent: curl/7.29.0 Host: examplefilesystem.sfs3.cn-north-4.myhuaweicloud.com Accept: */* Date: WED, 01 Jul 2015 02:31:25 GMT Authorization: OBS H4IPJX0TQTHTHEBQQCEC:jZiAT8Vx4azWEvPRMWi0X5BpJMA=
  • 生命周期管理 表5 生命周期管理权限项列表 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 设置文件系统生命周期配置 PUT /{file-system-name}?lifecycle sfs3:fileSystem:putLifecycleConfiguration × √ 获取文件系统生命周期配置 GET /{file-system-name}?lifecycle sfs3:fileSystem:getLifecycleConfiguration × √ 删除文件系统生命周期配置 DELETE /{file-system-name}?lifecycle sfs3:fileSystem:putLifecycleConfiguration × √
  • 标签管理 表6 标签管理权限项列表 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 批量添加资源标签 POST /v3/sfs/tms/{project_id}/file-systems/{resource_id}/tags/create sfs3:tags:tagResource × √ 批量删除资源标签 POST /v3/sfs/tms/{project_id}/file-systems/{resource_id}/tags/delete sfs3:tags:unTagResource × √ 查询资源标签 GET /v3/sfs/tms/{project_id}/file-systems/{resource_id}/tags sfs3:tags:listTagsForResource × √ 查询资源实例列表 POST /v3/sfs/tms/{project_id}/file-systems/resource-instances/filter sfs3:tags:listResourcesByTag × √ 查询资源实例数量 POST /v3/sfs/tms/{project_id}/file-systems/resource-instances/count sfs3:tags:listResourcesByTag × √ 查询项目标签 GET /v3/sfs/tms/{project_id}/file-systems/tags sfs3:tags:listTags × √
  • 共享访问规则 表2 共享访问规则权限项列表 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 设置文件系统acl PUT /{file-system-name}?sfsacl sfs3:fileSystem:putACL × √ 获取文件系统acl GET /{file_system_name}/?sfsacl sfs3:fileSystem:getACL × √ 删除文件系统acl DELETE /{file_system_name}/?sfsacl sfs3:fileSystem:deleteACL × √
  • 文件共享 表1 文件共享权限项列表 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建文件系统 PUT /{file-system-name} sfs3:fileSystem:createFileSystem × √ 查询文件系统信息 HEAD /{file-system-name} sfs3:fileSystem:getFileSystem × √ 获取文件系统列表 GET / sfs3:fileSystem:listFileSystems × √ 删除文件系统 DELETE /{file-system-name} sfs3:fileSystem:deleteFileSystem × √
共100000条