华为云用户手册

使用 云监控服务 对重点审计事件进行实时监控告警 云审计 会将华为云E CS 、VPC、EVS等云服务重点审计事件如: deleteServer、deleteVpc、deleteVolume等发送 CES 事件监控中，您可以使用CES服务监控自己的云上资源操作频率，执行自动实时监控、告警和通知操作，帮助您实时掌握特定云服务云上资源操作频次、操作返回状态、发生时间等信息。 云监控 服务不需要开通，当启用 CTS 服务后，CTS服务自动将特定云服务审计事件上报CES。关于云监控服务的更多介绍，请参见云监控服务产品介绍。

开启云审计服务配置OBS桶，将审计事件归档OBS永久存储，并使用DEW对事件文件进行加密 由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS转储（建议您配置独立OBS桶并配置DEW加密存储专门用于归档审计事件）。当云上资源发生变化时，CTS服务将审计事件归档至OBS的桶，详细操作请参见追踪器配置OBS转储。 使用 数据加密 服务（DEW）中的密钥对OBS桶中的对象进行全量加密或者部分加密，详细操作请参见OBS服务端加密。

建议对不同角色的 IAM 用户仅设置最小权限，避免权限过大导致数据泄露，提高访问控制 如果您需要对企业中的员工设置不同的CTS访问权限，以达到不同员工之间的权限隔离，您可以使用 统一身份认证 服务（IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制CTS资源的访问。您可以通过设置CTS系统权限或者细粒度权限进行权限最小化的安全管控。详情请参见CTS权限管理。

设置选项关联 单击单选“具体饮品”右侧的“问卷模式设置”。 图1 单击“问卷模式设置” 打开“选项关联”开关，在具体的选项后单击“添加关联”。 图2 添加关联 选择关联字段的选项值，如关联“饮品分类”下的“咖啡”选项，单击“确定”。 当选择该选项时，当前选项“拿铁”会展示在界面上。 图3 设置关联选项 在图3的页面中，可以通过“同步”功能，将其他选项关联到咖啡分类中。例如，将浓缩咖啡和焦糖玛奇朵关联到咖啡分类中。 图4 关联其他选项 同步成功后，返回问卷模式设置页面，此时“选项关联”已变成“修改”。单击浓缩咖啡后的“修改”，可见分类已修改为咖啡。 图5 返回问卷模式设置 图6 查看修改后的分类 设置当前字段其他选项的关联字段，单击“确认”。 图7 问卷模式设置 单击“保存”，并返回应用开发页面，分享表单，查看最终效果。 图8 查看最终效果

数值 数值组件用于记录数字类型的数据信息，例如数量、年龄、库存、金额等。数值组件支持输入数字的最大有效长度为15位，数字较长时，系统会自动添加分隔符。如果有超过15位数字的输入要求，建议替换为文本组件。 在表单开发页面，从“数据组件”中，拖拽“数值”组件至表单设计区域，如图1。 图1 数值 显示名称：该字段在页面呈现给用户的名称，可以设置为中文，也可以设置为英文。 单击显示名称后的“字段引用”，可将选择的字段取值引用到当前字段名称上。 保留小数位数：支持设置精确保留的小数位数，适用于金额录入等场景。 单位：数字的单位，例如“元”、“页”等，请根据需求进行设置。 显示：填写的数值是否允许为负数，默认允许输入负数，如-123。 验证：对字段进行限制设置。 必填：该字段是否必填。 限定范围：限定数值填写的范围，例如10.01-1000.99。 属性：设置字段的属性，包括只读、禁用和隐藏。 只读：勾选后，页面上该字段只可读。 禁用：勾选后，页面上该字段仍可显示，但不可进行配置。 隐藏：勾选后，页面上会隐藏该字段。 宽度：字段配置框宽度占页面宽度的比例。 默认值：支持设置如下默认值。 其他字段值：该表单内的其他定位组件、关联记录中的定位字段。 关联数据：关联已有数据，即取查询到的，最新的一条数据作为默认值。 图2 配置默认值 公式编辑：给表单中的某个字段编辑公式后，在填写表单或修改表单数据时，可以使该字段的值根据公式自动计算出来，不需要再手动填写，提高效率。 引导文字：当用户没有配置该字段值时，在界面显示的引导文字，可以设置为中文，也可以设置为英文。 问号提示：当该字段较难理解时，可通过配置“问号提示”告诉用户该字段的含义、如何配置等，可以设置为中文，也可以设置为英文。 设置后，页面该字段旁会有问号图标，单击后会显示配置的“问号提示”内容。 描述信息：设置组件的描述信息，支持换行和国际化配置。 父主题： 零码组件介绍

什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。

SCSI磁盘的常见使用场景和建议 SCSI磁盘：BMS仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云服务器组的反亲和性一同使用，SCSI锁才会生效。

ECS支持的磁盘模式 ECS支持的磁盘模式由规格类型决定，同时，还与ECS所属的操作场景相关。 表1 ECS支持的磁盘模式 操作场景 磁盘模式（系统盘） 磁盘模式（数据盘） 购买ECS时 通用计算增强型C7：SCSI。 内存优化型M7：SCSI。 含“physical” 附加标识的裸金属类型：SCSI。 其余规格类型：VBD。 通用计算增强型C7：SCSI。 内存优化型M7：SCSI。 含“physical” 附加标识的裸金属类型：SCSI。 其余规格类型：VBD或SCSI。 为已购买ECS挂载磁盘时 不涉及 通用计算增强型C7：VBD或SCSI。 内存优化型M7：VBD或SCSI。 含“physical” 附加标识的裸金属类型：SCSI。 其余规格类型：VBD或SCSI。

云硬盘突发能力及原理 突发能力是指小容量云硬盘可以在一定时间内达到IOPS突发上限，超过IOPS上限的能力。此处IOPS上限为单个云硬盘的性能。 突发能力适用于云服务器启动场景，一般系统盘容量较小，以50 GiB的超高IO云硬盘为例，如果没有突发能力，根据IOPS性能计算公式IOPS = min (50000, 1800 + 50 × 容量)，50 GiB的超高IO云硬盘IOPS上限只能达到4300，但使用突发能力后，IOPS可高达16000，从而提升云服务器的启动速度。 以超高IO云硬盘为例，单个超高IO云硬盘的IOPS突发上限为16000。 容量为100 GiB的云硬盘，其IOPS上限为6800，IOPS突发上限为16000，因此在一定时间内该云硬盘的最大IOPS可达到16000。 容量为1000 GiB的云硬盘，其IOPS上限为50000，但是IOPS突发上限仅为16000，云硬盘的IOPS上限已经超过了突发IOPS，因此该云硬盘无需突发能力。 以下介绍云硬盘突发IOPS的消耗原理和储蓄原理。 突发的实现基于令牌桶，令牌桶中的初始令牌数量 = 突发时间 × IOPS突发上限，此处突发时间固定为1800 s。 以100 GiB的超高IO云硬盘为例，令牌桶容量为28800000个令牌（1800 s × 16000 ）。 令牌的生成速度：该桶以6800个/s的速度生成令牌，其中6800为该云硬盘的IOPS上限。 令牌的消耗速度：根据实际IO使用情况而定，每个IO会消耗一个令牌，最大消耗速度为16000个/s，此处取突发IOPS上限和云硬盘IOPS上限的较大值。 消耗原理 当令牌消耗速度大于令牌的生成速度时，令牌数量会逐渐减少，最后IOPS会维持跟桶生成令牌的速度一致，即云硬盘的IOPS上限。本示例中，可以维持突发IOPS的时间为3130 s ≈ 28800000 / (16000 - 6800) 。 储蓄原理 当令牌的消耗速度小于令牌的生成速度时，桶中的令牌会逐渐增加，之后又可以拥有突发能力。本示例中，如果云硬盘暂停使用4235 s ≈ 28800000 / 6800，令牌桶就可以存满。 桶中的令牌数量只要大于零，云硬盘就具有突发能力。 本示例中令牌的消耗和储蓄原理如图1所示。蓝色柱状表示云硬盘IOPS的使用情况，绿色虚线为IOPS上限，红色虚线为IOPS突发上限，黑色曲线表示令牌数量的变化趋势。 当令牌数量大于零时，IOPS可以突破6800，即具有达到IOPS突发上限16000的能力。 当令牌数为零时，此时不具备突发能力，IOPS最大为6800。 当实际IOPS小于6800时，令牌数量开始增加，可以恢复突发能力。 图1 突发能力示意图

云硬盘IOPS性能计算公式举例说明 单个云硬盘IOPS性能 =“最大IOPS”与“基线IOPS + 每GiB云硬盘的IOPS × 云硬盘容量”的最小值。 该性能计算公式不适用于通用型SSD V2和极速型SSD V2。 通用型SSD V2的IOPS值由用户预配置，范围为3000~128000，具体可配置值≤(500*容量)。 极速型SSD V2的IOPS值由用户预配置，范围为100~256000，具体可配置值≤(1000*容量)。 以超高IO云硬盘为例，单个超高IO云硬盘的最大IOPS为50000。 假如云硬盘容量为100 GiB，则该云硬盘IOPS性能 = min (50000, 1800 + 50 × 100 )，取50000与6800中的最小值，即该云硬盘IOPS性能为6800。 假如云硬盘容量为1000 GiB，则该云硬盘IOPS性能 = min (50000, 1800 + 50 × 1000 )，取50000与51800中的最小值，即该云硬盘IOPS性能为50000。

计费公式 快照存储费用 = 快照单价 * 快照链容量 * 计费时长 标准快照单价：每GiB容量每小时的费用，单位为“元/GiB/小时”。关于标准快照价格，请参见云硬盘价格详情对应的区域，了解标准快照上线区域请查看支持的区域。 标准快照链容量：快照链下所有快照的数据块实际占用的存储空间。详情参见查看快照链容量。 计费时长：快照创建完成后开始计费，快照删除后结束计费。 计费示例： 假设快照单价为0.0001667元/GiB/小时，云硬盘EVS-Test，有一个快照链，快照链容量为100GiB，那么该快照链下所有快照存储3小时的费用如下： 快照存储费用 = 0.0001667元/GiB/小时 * 100GiB * 3小时 = 0.05001元

故障恢复 EVS提供多种云硬盘故障后数据恢复方式，详情见表1。 表1 故障恢复 故障恢复 描述 详细介绍 云硬盘备份 您可以通过云备份（Cloud Backup and Recovery，CBR）中的云硬盘备份功能为云硬盘创建在线备份，无需关闭云服务器。针对病毒入侵、人为误删除、软硬件故障等导致数据丢失或者损坏的场景，可通过任意时刻的备份恢复数据，以保证用户数据正确性和安全性，确保您的数据安全 使用云硬盘备份恢复数据 恢复回收站中的云硬盘 回收站功能开启后，删除的云硬盘会放入到回收站中保存，以防止误删除导致云硬盘数据丢失。 云硬盘在回收站内最多可保存7天，在到期之前，您可以从回收站内恢复已删除的云硬盘。 恢复回收站中的云硬盘 从快照创建云硬盘 通过快照创建新的云硬盘，可以使云硬盘在初始状态就具有快照中的数据。 从快照创建云硬盘 从快照回滚数据 如果云硬盘的数据发生错误或者损坏，可以回滚快照数据至创建该快照的云硬盘，从而恢复数据。 从快照回滚数据 父主题： 安全

监控安全风险 云监控服务为用户的云上资源提供了立体化监控平台。通过云监控您可以全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 EVS提供基于云监控服务CES的资源监控能力，帮助用户监控账号下的云硬盘使用情况，执行自动实时监控、告警和通知操作。用户可以实时监控云硬盘的IOPS、带宽、时延等信息。 关于EVS支持的监控指标，以及如何创建监控告警规则等内容，请参见监控。 父主题： 安全

审计 云审计服务（Cloud Trace Service，CTS），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。用户开通云审计服务并创建和配置追踪器后，CTS可记录EVS的管理事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的EVS管理事件，请参见审计。 父主题： 安全

数据保护技术 EVS通过云硬盘加密技术，保护存储在EVS云硬盘中的静态数据的机密性。 表1 EVS的数据保护手段和特性 数据保护手段 简要说明 详细介绍 云硬盘加密 1、支持创建空白加密云硬盘 2、支持通过快照、备份、镜像创建加密云硬盘 3、支持默认使用AES-256服务端加密静态数据； 4、支持使用KMS密钥加密静态数据； 5、支持 EVS数据盘和ECS系统盘加密； 6、从加密云硬盘创建的快照、备份、镜像默认加密。 云硬盘加密 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

变更配置 变更项 包年/包月 按需计费 容量变更 不支持缩容 支持扩容，扩容需要补差价 说明： 扩容后云硬盘到期时间不变。 不支持缩容 支持扩容 扩容成功时间点所在的计费周期（即一小时）内，将会产生多条计费信息。 例如，在01:30:01将云硬盘容量由100G扩大为200G，那么01:00:00-02:00:00这个计费周期会产生两条计费信息，01:00:00-01:30:00为100G的计费信息；01:30:01-02:00:00为200G的计费信息。 性能变更 性能（吞吐量、IOPS）不支持包年/包月计费模式。 对于支持配置性能的包年/包月云硬盘，其容量按包年/包月计费，性能采用按需计费，变更后的性能也采用按需计费。 性能（吞吐量、IOPS）支持按需计费模式。 根据变更后的性能大小按需计费。 云硬盘类型变更 变更需要补差价。 说明： 变更后云硬盘到期时间不变。 根据您选择的云硬盘类型按需计费。 计费模式变更 支持按需计费变更为包年/包月 请参见按需转包周期。 说明： 按需非共享云硬盘不支持单独变更为包年/包月，请挂载至云服务器后操作： 若挂载至按需云服务器一起变更为包年/包月，变更后到期时间与云服务器一致； 若挂载至包年/包月云服务器，将云硬盘变更为包年/包月时，变更后到期时间可自行指定，建议与云服务器的到期时间保持一致。 支持包年/包月变更为按需计费 请参见包周期转按需。

与其他服务的关系 云硬盘与其他服务之间的关系，具体如图1所示。 图1 云硬盘与其他服务的关系示意图 表1 与其他服务的关系 交互功能 相关服务 位置 云硬盘可以挂载至弹性云服务器，提供可弹性扩展的块存储设备。 弹性云服务器（ECS, Elastic Cloud Server） 挂载非共享云硬盘 挂载共享云硬盘 SCSI类型的云硬盘可以挂载至裸金属服务器，提供可弹性扩展的块存储设备。 裸金属服务器（BMS, Bare Metal Server） 挂载非共享云硬盘 挂载共享云硬盘 通过云备份服务可以备份云硬盘中的数据，保证云服务器数据的可靠性和安全性。 云备份（Cloud Backup and Recovery，CBR） 云硬盘备份 云硬盘的加密功能依赖于数据加密服务中的密钥管理功能（KMS）。您可以使用密钥管理功能提供的密钥来加密云硬盘，包括系统盘和数据盘，从而提升云硬盘中数据的安全性。 数据加密服务（DEW，Data Encryption Workshop） 云硬盘加密 当用户开通云硬盘服务后，无需额外安装其他插件，即可通过云监控查看云硬盘的性能指标，包括云硬盘读速率、云硬盘写速率、云硬盘读操作速率以及云硬盘写操作速率。 云监控（Cloud Eye） 查看云硬盘监控数据 云硬盘服务支持通过云审计服务对云硬盘资源的操作进行记录，以便用户可以查询、审计和回溯。 云审计服务（CTS, Cloud Trace Service） 查看云硬盘追踪事件 标签用于标识云资源，可通过标签实现对云硬盘资源的分类和搜索。 标签管理服务（TMS，Tag Management Service） 添加标签

云硬盘基本概念 表1 云硬盘基本概念 概念 说明 保留期 资源到期前，未续费或账户余额低于0，则到期后资源会进入保留期。保留期内资源会被冻结，业务中断。 IOPS 云硬盘每秒进行读写的操作次数。 吞吐量 云硬盘每秒成功传送的数据量，即读取和写入的数据量。 IO读写时延 云硬盘连续两次进行读写操作所需要的最小时间间隔。 突发能力 小容量云硬盘可以在一定时间内达到IOPS突发上限，超过IOPS上限的能力。 VBD 磁盘模式，VBD类型的云硬盘只支持简单的SCSI读写命令。 SCSI 磁盘模式，SCSI类型的云硬盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。 父主题： 基本概念

什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

EVS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 EVS部署时通过物理区域划分，为项目级服务，需要在各区域（如华北-北京四）对应的项目（cn-north-4）中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问EVS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，EVS支持的API授权项请参见权限及授权项说明。 如表1所示，包括了EVS的所有系统权限。 表1 EVS系统权限 策略名称 描述 策略类别 依赖关系 EVS FullAccess 云硬盘的所有权限，具有云硬盘资源的创建、扩容、挂载、卸载、查询、删除等操作权限。 系统策略 无 EVS ReadOnlyAccess 云硬盘的只读权限，只有云硬盘资源的查询权限。 系统策略 无 Server Administrator 云硬盘的所有执行权限。 系统角色 无 表2列出了EVS常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 常用操作与系统权限的关系 操作 EVS FullAccess EVS ReadOnlyAccess 创建云硬盘 √ x 查看云硬盘列表 √ √ 查看云硬盘详情 √ √ 挂载云硬盘 √ x 卸载云硬盘 √ x 删除云硬盘 √ x 扩容云硬盘 √ x 创建快照 √ x 删除快照 √ x 从快照回滚数据 √ x 从快照创建云硬盘 √ x 添加云硬盘标签 √ x 修改云硬盘标签 √ x 删除云硬盘标签 √ x 通过标签查找云硬盘资源 √ √ 修改磁盘名称 √ x 变更磁盘类型 √ x

三副本技术怎样实现数据快速重建？ 存储系统的每个物理磁盘上都保存了多个数据块，这些数据块的副本按照一定的策略分散存储在集群中的不同节点上。当存储系统检测到硬件（服务器或者物理磁盘）发生故障时，会自动启动数据修复。由于数据块的副本分散存储在不同的节点上，数据修复时，将会在不同的节点上同时启动数据重建，每个节点上只需重建一小部分数据，多个节点并行工作，有效避免了单个节点重建大量数据所产生的性能瓶颈，将对上层业务的影响做到最小化。 数据重建流程如图2所示。 图2 数据自动重建流程 数据重建原理如图3所示，例如当集群中的服务器F硬件发生故障时，物理磁盘上的数据块会在其他节点的磁盘上并行重建恢复。 图3 数据重建原理

三副本技术怎样确保数据一致性？ 数据一致性表示当应用成功写入一份数据到存储系统时，存储系统中的3个数据副本必须一致。当应用无论通过哪个副本再次读取这些数据时，该副本上的数据和之前写入的数据都是一致的。 云硬盘三副本技术主要通过以下机制确保数据一致性： 写入数据时，同时在3个副本执行写入操作 当应用写入数据时，存储系统会同步对3个副本执行写入数据的操作，并且只有当多个副本的数据都写入完成时，才会向应用返回数据写入成功的响应。 读取数据失败时，自动修复损坏的副本 当应用读数据失败时，存储系统会判断错误类型。如果是物理磁盘扇区读取错误，则存储系统会自动从其他节点保存的副本中读取数据，然后在物理磁盘扇区错误的节点上重新写入数据，从而保证数据副本总数不减少以及副本数据一致性。

什么是三副本技术？ 云硬盘的存储系统采用三副本机制来保证数据的可靠性，即针对某份数据，默认将数据分为1 MiB大小的数据块，每一个数据块被复制为3个副本，然后按照一定的分布式存储算法将这些副本保存在集群中的不同节点上。 云硬盘三副本技术的主要特点如下： 存储系统自动确保3个数据副本分布在不同机柜的不同服务器的不同物理磁盘上，单个硬件设备的故障不会影响业务。 存储系统确保3个数据副本之间的数据强一致性。 例如，对于服务器A的物理磁盘A上的数据块P1，系统将它的数据备份为服务器B的物理磁盘B上的P1''和服务器C的物理磁盘C上的P1'，P1、P1'和P1''共同构成了同一个数据块的三个副本。如果P1所在的物理磁盘发生故障，则P1'和P1''可以继续提供存储服务，确保业务不受影响。 图1 数据块存储示意图

按需计费资源的使用建议 如果您无需继续使用按需计费磁盘，则可以通过管理控制台卸载并删除磁盘。删除磁盘的方法请参见删除按需云硬盘。 对于以下常见的按需计费磁盘的使用场景，您可以参考使用建议开通账户余额预警、按需转包周期等功能，并关注账户余额预警、资源冻结等相关通知信息，以便及时了解资源情况，确保您的业务和数据不受影响。 表1 常见使用场景建议 常见使用场景 使用建议 按需计费资源 及时充值，确保账户余额充足 开通账户余额预警功能 开通账户余额预警功能的方法请参见如何开通余额预警功能 关注账户余额低于预警阈值的通知，及时充值 关注账户欠费的通知，及时充值 包年/包月云服务器挂载按需计费磁盘 将磁盘的计费模式由按需计费转为包年/包月 按需变更为包周期的方法请参见按需变更为包周期 请参考场景“包年/包月资源”的建议 如果未按需转包周期，请参考场景“按需计费资源”的建议 按需计费云服务器挂载包年/包月磁盘 将云服务器的计费模式由按需计费转为包年/包月 按需变更为包周期的方法请参见按需变更为包周期 请参考场景“包年/包月资源”的建议 如果未按需转包周期，请参考场景“按需计费资源”的建议 包年/包月资源 及时手动续费 手动续费的方法请参见如何手动续费 开通自动续费，并确保账户余额充足 开通自动续费的方法请参见如何自动续费 关注自动续费失败的通知，及时为账户充值 关注资源即将到期的通知，及时续费 关注资源即将冻结的通知，及时续费 关注资源即将释放的通知，及时续费 包年/包月云服务器挂载包年/包月磁盘 云服务器的到期时间与磁盘不同 设置统一到期日，到期前对包年/包月云服务器、以及磁盘批量续费，并选择统一到期日 设置统一到期日的方法请参见如何设置统一到期日 批量续费的方法请参见如何手动续费 说明： 当前只支持设置到统一到期日数（1~28号及每个月最后一天），不支持统一到月份。 如需统一到期月份，请在选择续费时长时，手动统一到期月份。 请参考场景“包年/包月资源”的建议

按需计费资源的保留期介绍 “按需计费”计费模式属于后付费，即会根据使用资源的时间从您的账户余额中扣费，例如购买按需计费的磁盘。 如果在账户余额低于0后，您未充值账户余额，则此时不会直接释放您的资源，而是会进入保留期。 保留期到期前，如果您充值账户余额，则资源会被解冻。 保留期到期前，如果您未充值账户余额，则保留期结束后资源会被释放。 保留期的时长会根据客户的等级有所不同，如果您需要了解保留期的更多信息，请参见保留期介绍。 图1 按需计费资源欠费前后的影响

云硬盘备份 您可以通过云备份（Cloud Backup and Recovery，CBR）中的云硬盘备份功能为云硬盘创建在线备份，无需关闭云服务器。针对病毒入侵、人为误删除、软硬件故障等导致数据丢失或者损坏的场景，可通过任意时刻的备份恢复数据，以保证用户数据正确性和安全性，确保您的数据安全。 云硬盘备份原理，请参见云备份产品介绍。 创建云硬盘备份时，系统会自动创建一个名称以“autobk_snapshot_vbs_”开头的快照，并且只会保留该云硬盘最近一次备份时自动创建的快照。 父主题： 基本概念

约束条件 当前登录用户已通过统一身份认证服务添加华为云关系型数据库所在区域的KMS Administrator权限。权限添加方法请参见《统一身份认证服务用户指南》的“如何管理用户组并授权？”章节。 如果用户需要使用自定义密钥加密上传对象，则需要先通过数据加密服务创建密钥。使用数据加密服务创建密钥详情请参见创建密钥。 实例创建成功后，不可修改磁盘加密状态，且无法更改密钥。存放在 对象存储服务 上的备份数据不会被加密。 华为云关系型数据库实例创建成功后，请勿禁用或删除正在使用的密钥，否则会导致服务不可用，数据无法恢复。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。

与统一身份认证服务的关系 统一身份认证服务（Identity and Access Management，IAM）为数据加密服务提供了权限管理的功能。 需要拥有KMS Administrator权限的用户才能使用DEW服务。 需要同时拥有KMS Administrator和Server Administrator权限的用户才能使用密钥对管理功能。 如需开通该权限，请联系拥有Security Administrator权限的用户，详细内容请参考《统一身份认证服务用户指南》。