华为云用户手册

测试（免费）证书使用须知 测试证书一个账号最多可以申请20张。同时，为了减少证书资源的浪费，SCM只支持单次申请一张测试证书。 20张的测试证书额度包括：已删除或已吊销证书，即测试证书申请后进行吊销或删除的操作其额度不会恢复。 同一个账号不区分主账号和子账号。例如，主账号已使用了20张的额度，则主账号和子账号均无测试证书额度。 如果您华为云账号下的20张测试SSL证书额度已用完，还需继续使用测试证书，可以购买Digicert DV(basic) 单 域名 扩容包，对测试证书额度进行扩容。详细操作请参见测试证书额度已用完，该如何处理？ 一张测试证书仅支持绑定一个单域名。 测试证书不支持保护IP和泛域名（通配符域名）。 测试证书的信任等级和安全性都较低，所以建议只用于测试。 由于DigiCert品牌的DV（Basic）免费证书是无偿提供给个人用户用于测试或个人业务，因此不支持任何免费的人工技术支持或安装指导。如果您需要专业的工程师为您提供SSL证书支撑服务，您可以进入云市场购买HTTPS服务配置全站加密SSL优化检测服务。 测试证书签发后，不支持续费和续期，到期之后，将无法继续使用。如需继续使用SSL证书，请在控制台重新创建。

续费限制说明 手动续费操作入口仅在SSL证书到期前30个自然日内开放，其余时间不支持操作。 仅支持对在华为云SSL证书管理中购买的，已签发且即将到期的付费SSL证书进续费，上传的证书、免费证书、单域名扩容包暂不支持续费。 手动续费相当于在控制台重新购买一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。 开启自动续费后，系统会在原证书即将到期前30天内自动为您购买一张相同规格的新证书，并且以原证书的申请信息提交证书申请，由于证书申请需要校验申请者的域名所有权、身份，因此您需要配合CA机构完成域名验证、组织验证后续费证书才会签发。 续费证书与原证书为独立的两张证书，因此续费证书签发后您需要安装到Web服务器或部署到 华为云产品 。 续费签发的新证书有效期为续费有效期（如1年）加上原证书剩余有效期。例如，您已签发的1年有效期证书将于2022年11月30日过期，如果您在2022年11月25日完成续费购买和签发，则续费签发证书的有效期将在2023年11月25日的基础上再加上5天，即2023年11月30日。 Digicert DV(basic) 泛域名证书的续费入口仅在到期前15个自然日内开放。 Digicert DV(basic) 泛域名证书续费签发的新证书不支持补齐原证书剩余有效期，新证书有效期为实际续费时长。 如果通过手动续费购买入口购买的证书与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）不完全相同，则新签发证书的有效期为一年（可能与原证书过期前未使用的有效期存在重合），无法自动补齐原证书剩余的有效期。

证书链配置说明 上传证书到SSL证书管理中进行统一管理时，需要单独导入证书、证书链和私钥，并需要以PEM格式进行编码。 以下将以示例方式对证书文件格式进行说明。 如果您在编辑PEM文件时，将PEM文件中的任何字符编辑错误，或者在任何行的末尾添加一个或多个空格，则将导致证书、证书链或私钥无效，因此，请谨慎操作。 示例1：PEM编码的证书 图1 PEM编码的证书 示例2：PEM编码的证书链 一个证书链包含一个或多个证书。您可以使用文本编辑器将您的证书文件连接成一个链。证书必须按顺序连接，以便每个证书都直接证明前一个证书。 以下示例包含三个证书，您的证书链可能包含更多或更少。 图2 PEM编码的证书链 示例3：PEM编码的私钥（仅限私有证书） X.509版本3的证书使用公钥算法，因此，当您创建X.509证书或证书请求时，需要指定必须用于创建私钥-公钥对的算法和密钥位大小，并且需要将公钥放置在证书或请求中。 同时，您需要自行保留私钥密码。在导入证书时需要私钥，此时，私钥必须是未加密的，更多详细介绍请参见为什么要使用无密码保护的私钥？。 以下示例为PEM编码的RSA私钥： 以下示例为PEM编码的椭圆曲线私钥。根据您创建密钥的方式，可能不包括参数块。如果包含参数块，在导入过程中使用密钥之前将其删除。 父主题： SSL证书管理类

SSL证书是如何收费的？ SSL证书管理服务为您提供了一种证书品牌为DigiCert品牌、证书类型为DV（Basic）、域名类型为单域名的用于测试的免费证书。关于免费证书的相关信息请参考如何申请免费证书？。 除此之外，SSL证书管理服务会根据您选择的证书类型、证书品牌、域名类型、域名数量和购买时长进行收费。 详细的服务资费费率标准，请参见产品价格详情。 上传证书到SSL证书管理中进行集中管理，管理上传证书暂不收费。 父主题： 计费、续费与退订

操作步骤 证书申请中填写的域名是否已做实名认证。 如果域名已做实名认证，请执行2。 如果域名未做实名认证，请前往您的域名服务商处完成域名实名认证。 确认您已正确填写和提交证书申请订单。 如果填写确认无误，请执行3。 如果填写的信息有误，您可以取消申请。取消成功后，再提交证书申请。修改后，再执行3。 撤回申请详细操作请参见撤回证书申请。 提交证书申请详细操作请参见提交 SSL证书申请 。 确认您已按照SSL证书管理控制台该证书的“状态/申请进度”提示，完成“域名验证”、“组织验证”。 如果已完成，请执行4。 如果未完成，请按照提示进行操作。 域名验证详细操作请参见域名验证，域名验证完成后，请查看验证是否生效。 组织验证详细操作请参见组织验证。组织验证仅OV、OV Pro、EV、EV Pro类型证书需要。 查看域名验证是否生效。 具体验证方法请参见如何查看域名验证是否生效？。 如果已生效，请执行5。 如果未生效，请按照域名验证未生效如何处理？进行处理。 检查是否CAA（Certification Authority Authorization，证书颁发机构授权限制）限制了CA证书颁发。 是，您可以取消限制或者参考设置CAA记录防止错误颁发HTTPS证书添加一条CAA解析记录。 否，请执行6。 请您耐心等待。 申请证书后，CA机构将对您提交的信息进行审核。请您耐心等待。 审核期间，CA机构会通过电话联系您并指导您进行相关操作，请您务必保持手机畅通。如果CA机构无法及时联系到您，该订单的审核进度可能会延迟。 OV、EV类型证书审核时长 如果您购买的是OV或EV类型证书，请您需要耐心等待3~7个工作日。CA中心会在3~7个工作日内完成您的证书订单审核。 如果审核期间有任何问题，CA中心的客服人员会通过电话联系您并指导您进行相关操作，请务必确保您的联系电话在审核期间保持畅通。如果CA中心无法及时联系到您，那么该订单的审核进度将可能会延迟。您的及时回复将能有效缩短SSL证书的验证时间。 DV类型或免费证书审核时长 域名授权验证完成后，CA中心将会在1~2个工作日内签发您的证书。 如果您的域名中包含某些敏感词（例如bank、pay、live等），可能会触发人工审核机制，审核时间会比较长，请您耐心等待。 免费证书申请后会在1~2个工作日内签发。根据CA中心审核流程耗时不同，您的证书有可能会在几个小时内就完成签发，也有可能需要2个工作日才能完成签发，请您耐心等待。

吊销证书和删除证书的区别是什么？ 华为云SSL证书管理服务支持对证书进行吊销，也支持对证书进行删除。 证书的吊销和删除操作都不影响您再次购买证书。 两者的不同主要表现在以下两方面： 含义： 证书吊销：指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。 证书删除：指将证书资源从华为云系统中删除。证书仍然有效，浏览器信任该证书。 限制条件： 证书吊销： 当您的证书状态为“已签发”，且您不需要使用证书，在证书私钥已丢失，或出于安全因素考虑等情况下，可申请吊销证书。 进入续费期的证书无法吊销，即证书到期前一个月内不支持吊销。 证书删除： 当您的证书状态为“已到期”、“托管中”、“已签发”的状态，可以在SCM的操作控制台执行删除操作。 父主题： SSL证书管理类

操作步骤 打开浏览器，访问“https://whois.domaintools.com/”网站。 输入需要查询的域名，单击“Search”，进入域名注册信息详情页面。 在注册信息中，查看“Name Servers”，确认域名所属的DNS服务器。 当“Name Servers”显示如所图1示时，则表示域名所属的“DNS服务器”为华为云DNS。 图1 Name Servers 请根据域名所属的DNS服务器进行DNS验证，执行以下操作： 域名所属的“DNS服务器”为华为云DNS：请参见如何进行DNS验证？，在华为云的云解析服务上进行DNS验证。 域名所属的“DNS服务器”不是华为云DNS：请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是：请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 参见如何进行手动DNS验证？，在华为云的云解析服务上进行DNS验证。 否：请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

Windows系统如何验证DNS解析生效？ 如果您使用的是Windows操作系统，可参考本章节验证DNS验证是否生效。 提交证书申请后，您可以参考域名验证页面的提示完成域名DNS验证。 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表1 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图1所示，说明域名授权验证配置已经生效。 图1 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图2 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表2 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 如您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图3 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 如配置的生效时间未到，请等时间到了后再进行验证。 图4 生效时间 父主题： 验证域名所有权

测试（免费）证书与收费证书的区别 所有SSL证书都具备SSL加密传输功能，都可通过https访问网站，在浏览器上显示安全锁标志。 本章节将介绍免费证书和收费证书的区别。 表1 测试证书和收费证书的区别 区别项 测试证书 收费证书 安全等级 一般 高 证书运行环境的兼容性 一般 高 CA中心对证书的安全保险赔付 不支持 支持 证书数量限制 每个账号（不区分主账号和子账号）仅限20张 不限制 支持保护的网站域名类型 仅支持保护一个单域名 支持保护单域名、多域名、泛域名 支持绑定IP地址 不支持 GlobalSign品牌的OV型证书支持 支持的证书类型 仅DV DV、OV、EV 人工客服支持 不支持 支持 O CS P（Online Certificate Status Protocol，在线证书状态协议） 无本地OCSP，可能会有网络延时或超时情况 除DV (Basic) ，其他付费证书均支持OCSP加速访问 测试证书一般仅用于个人网站或测试使用，不建议业务成熟的企业类型网站使用。 如果您是企业类型网站，建议您购买收费证书。对于政府、金融、电子商务、医疗等组织或机构，推荐使用OV型证书或安全等级最高的EV型证书，不仅让您的用户更信赖您的网站，同时对您的网站数据和身份认证安全提供更强的保障。关于收费证书选型的更多建议，请参见如何选择SSL证书？。 父主题： 测试证书相关

使用OpenSSL工具生成CSR文件 安装OpenSSL工具。 执行以下命令生成CSR文件。 openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout myprivate.key -out mydomain.csr -new：指定生成一个新的CSR。 -nodes：指定私钥文件不被加密。 -sha256：指定摘要算法。 -newkey rsa:2048：指定私钥类型和长度。 -keyout：生成私钥文件，名称可自定义。 -out：生成CSR文件，名称可自定义。 生成CSR文件“mydomain.csr”。 图1 生成CSR文件 需要输入的信息说明如下： 字段 说明 示例 Country Name 申请单位所属国家，只能是两个字母的国家码。例如，中国只能是CN。 CN State or Province Name 申请单位所在省名或州名，可以是中文或英文。 ZheJiang Locality Name 申请单位所在城市名，可以是中文或英文。 HangZhou Organization Name 申请单位名称法定名称，可以是中文或英文。 HangZhou xxx Technologies, Inc. Organizational Unit Name 申请单位的所在部门，可以是中文或英文。 IT Dept. Common Name 申请证书的具体网站域名。 说明： 多域名类型的证书，请填写需要绑定的主域名。 泛域名类型的证书，请填写泛域名。示例：*.example.com www.example.com Email Address 申请单位的邮箱。 无需输入，请直接按“Enter”。 - A challenge password 设置CSR文件密码。 无需输入，请直接按“Enter”。 - 在使用OpenSSL工具生成中文证书时，需要注意中文编码格式必须使用UTF8编码格式。同时，需要在编译OpenSSL工具时指定支持UTF8编码格式。 证书服务系统对CSR文件的密钥长度有严格要求，密钥长度必须是2,048位，密钥类型必须为RSA。 完成命令提示的输入后，会在当前目录下生成myprivate.key（私钥文件）和mydomain.csr（CSR，证书请求文件）两个文件。

使用Keytool工具生成CSR文件 安装Keytool工具，Keytool工具一般包含在Java Development Kit（JDK）工具包中。 使用Keytool工具生成keystore证书文件。 Keystore证书文件中包含密钥，导出密钥方式请参考主流数字证书有哪些格式？。 执行以下命令生成keystore证书文件。 keytool -genkey -alias mycert -keyalg RSA -keysize 2048 -keystore ./mydomain.jks -keyalg：指定密钥类型，必须是RSA。 -keysize：指定密钥长度为2,048。 -alias：指定证书别名，可自定义。 -keystore：指定证书文件保存路径，证书文件名称可自定义。 图2 生成keystore证书文件 输入证书保护密码，然后根据下表依次输入所需信息： 问题 说明 示例 What is your first and last name? 申请证书的域名。 说明： 多域名类型的证书，请填写需要绑定的主域名。 泛域名类型的证书，请填写泛域名。示例：*.example.com www.example.com What is the name of your organizational unit? 申请单位的所在部门名称。 IT Dept What is the name of your organization? 申请单位的所在公司名称。 HangZhou xxx Technologies,Ltd What is the name of your City or Locality? 申请单位的所在城市。 HangZhou What is the name of your State or Province? 申请单位的所在省份。 ZheJiang What is the two-letter country code for this unit? 申请单位所属国家，ISO国家代码（两位字符）。 CN 输入完成后，确认输入内容是否正确，输入Y表示正确。 根据提示输入密钥密码。可以与证书密码一致，如果一致直接按回车键即可。 通过证书文件生成证书请求。 执行以下命令生成CSR文件。 keytool -certreq -sigalg SHA256withRSA -alias mycert -keystore ./mydomain.jks -file ./mydomain.csr -sigalg：指定摘要算法，使用SHA256withRSA。 -alias：指定别名，必须与•-alias中keystore文件中的证书别名一致。 -keystore：指定证书文件。 -file：指定证书请求文件（CSR），名称可自定义。 根据提示输入证书密码即可以生成“mydomain.csr”。

查看证书文件的格式 您可以使用以下方法简单区分带有后缀扩展名的证书文件： *.DER或*.CER文件：这样的证书文件是二进制格式，只含有证书信息，不包含私钥。 *.CRT文件：这样的证书文件可以是二进制格式，也可以是文本格式，一般均为文本格式，功能与*.DER及*.CER证书文件相同。 *.PEM文件：这样的证书文件一般是文本格式，可以存放证书或私钥，或者两者都包含。*.PEM文件如果只包含私钥，一般用*.KEY文件代替。 *.PFX或*.P12文件：这样的证书文件是二进制格式，同时包含证书和私钥，且一般有密码保护。 您也可以使用记事本直接打开证书文件。如果显示的是规则的数字和字母，则表示该证书文件是文本格式。 举例： —–BEGIN CERTIFICATE—– MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh...... —–END CERTIFICATE—– 如果存在“——BEGIN CERTIFICATE——”，则说明这是一个证书文件。 如果存在“—–BEGIN RSA PRIVATE KEY—–”，则说明这是一个私钥文件。

证书格式转换 证书格式之间是可以互相转换的，如图1所示。 图1 证书格式转换 您可使用以下方式实现证书格式之间的转换： 将JKS格式证书转换为PFX格式 您可以使用JDK中自带的Keytool工具，将JKS格式证书文件转换成PFX格式。 例如，您可以执行以下命令将“server.jks”证书文件转换成“server.pfx”证书文件： keytool -importkeystore -srckeystore D:\server.jks -destkeystore D:\server.pfx -srcstoretype JKS -deststoretype PKCS12 将PFX格式证书转换为JKS格式 您可以使用JDK中自带的Keytool工具，将PFX格式证书文件转换成JKS格式。 例如，您可以执行以下命令将“server.pfx”证书文件转换成“server.jks”证书文件： keytool -importkeystore -srckeystore D:\server.pfx -destkeystore D:\server.jks -srcstoretype PKCS12 -deststoretype JKS 将PEM/KEY/CRT格式证书转换为PFX格式 您可以使用OpenSSL工具，将KEY格式密钥文件和CRT格式公钥文件转换成PFX格式证书文件。 例如，将您的KEY格式密钥文件（server.key）和CRT格式公钥文件（server.crt）复制至OpenSSL工具安装目录，使用OpenSSL工具执行以下命令将证书转换成“server.pfx”证书文件： openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt 将PFX格式证书转换为PEM/KEY/CRT格式 您可以使用OpenSSL工具，将PFX格式证书文件转化为PEM格式证书文件、KEY格式密钥文件和CRT格式公钥文件。 例如，将您的PFX格式证书文件复制至OpenSSL安装目录，使用OpenSSL工具执行以下命令将证书转换成“server.pem”证书文件、KEY格式密钥文件（server.key）和CRT格式公钥文件（server.crt）： openssl pkcs12 -in server.pfx -nodes -out server.pem openssl rsa -in server.pem -out server.key openssl x509 -in server.pem -out server.crt 此转换步骤是专用于通过OpenSSL工具生成私钥和CSR申请证书文件，并且通过此方法您还可以在获取到PEM格式证书公钥的情况下，分离出私钥。在您实际部署数字证书时，请使用通过此转换步骤分离出来的私钥和您申请得到的公钥证书匹配进行部署。

申请SSL证书时，如何填写证书中绑定的域名？ SSL证书管理中的证书是绑定域名的，因此购买证书时，需要根据您的域名情况，选择对应的域名类型。 如果购买的是纯IP证书，则只需要绑定IP，在“域名信息”中，“绑定域名”请填写需要绑定的公网IP。 如果您想了解域名的相关概念，请参见域名的相关概念。 选择域名类型并成功购买证书后，需要将对应的域名绑定给已购买的证书，即需要在SSL证书管理控制台补全证书审核资料。而申请证书的第一步就是填写域名信息，将对应的域名绑定给已购买的证书。 SSL证书管理控制台会根据您购买的证书提示您需要输入的域名类型。 如果您申请的DV证书，绑定的域名含有edu、gov、bank、live等敏感词，可能无法通过安全审核，建议选择OV或EV证书，目前已知敏感词请参见敏感词。 各域名类型具体说明如表1所示，更多参考内容可查看具体示例。 表1 绑定域名 参数名称 参数说明 单域名 仅可绑定1个普通域名。 绑定域名时，绑定1个普通域名即可。 多域名 可绑定 多个域名 （购买的域名数量为几，则可绑定几个域名）。 申请证书时，需要将其中一个域名设置为“主域名”，其他域名则设置为“附加域名”。您可根据自己实际情况进行选择。 例如，您购买的域名数量为3，则将其中1个域名设置为主域名，其他2个域名则设置为附加域名。 须知： 主域名和附加域名的关系（主从关系）对添加的域名没有影响。 如果购买的是组合证书（单域名+泛域名），主域名同时支持绑定单域名和泛域名。 仅当证书类型为OV、OV Pro时，多个域名中可包含泛域名。其他类型的证书，仅支持绑定多个单域名。 泛域名 仅可绑定1个泛域名。 绑定域名时，绑定1个含*的泛域名即可。 具体示例： 单域名型证书 当您购买的是单域名型证书，则仅支持绑定一个普通域名。 示例：您的域名为huaweicloud.com 申请证书时，则在“绑定域名”中填写huaweicloud.com即可，如图1所示。 图1 单域名绑定域名 多域名型证书 当您购买的是多域名型证书，则可绑定多个域名（购买的域名数量为几，则可绑定几个域名）。 申请证书时，需要将其中一个域名设置为“主域名”，其他域名则设置为“附加域名”。您可根据自己实际情况进行选择。附加域名可分批次多次录入，具体操作请参见新增附加域名。 主域名和附加域名的关系（主从关系）对添加的域名没有影响。 如果购买的是组合证书（单域名+泛域名），主域名同时支持绑定单域名和泛域名。 仅当证书类型为OV、OV Pro时，多个域名中可包含泛域名。其他类型的证书，仅支持绑定多个单域名。 示例：如果购买的是OV型SSL证书，域名数量为3，且您的域名为huaweicloud.com、test.huaweicloud.com和*.huaweicloud.cn 申请证书时，则在“绑定主域名”中填写huaweicloud.com，“绑定附加域名”填写test.huaweicloud.com和*.huaweicloud.cn。多个附加域名需要换行输入，如图2所示。 图2 多域名绑定域名 泛域名型证书 当您购买的是泛域名型证书，则支持绑定一个泛域名。 示例：您的域名为test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com、good.huaweicloud.com等，均在同一个级别 申请证书时，则在“绑定域名”中填写“*.huaweicloud.com”，如图3所示。 图3 泛域名绑定域名 父主题： 域名填写类

如何停止私有CA或私有证书的计费？ 私有CA和私有证书支持按需计费。其中，根CA创建后即开始计费；子CA创建后不收费，激活后才开始计费。 如需停止计费，删除申请的私有CA和私有证书即可。 具体操作请参见删除私有CA，吊销私有证书。 私有CA禁用期间也将保持收费。 用户执行删除私有CA操作后，私有CA不会立即删除。计划删除最快7天生效（根据您设置的推迟时间为准）。在此期间收费情况说明如下： 如果用户未取消计划删除，私有CA被删除了，则在计划删除期间的私有CA不会收费； 如果用户在计划删除期间，取消了计划删除，私有CA未被删除，则在计划删除期间的私有CA将保持收费。 例如：您在2022年01月01日00:00执行了删除私有CA的操作，且设置的私有CA计划删除推迟时间为7天，7天后私有CA被删除，那么，PCA服务将不收取这7天的费用；如果您在2022年01月04日00:00取消了计划删除，私有CA未被删除，那么，PCA服务将补齐2022年01月01日00:00至2022年01月04日00:00期间的费用。

Flexus L实例 是否可以叠加购买流量包？ Flexus L实例控制台不支持单独为某一个Flexus L实例购买流量包，您可以在EIP控制台购买共享流量包来节省流量费用。 了解共享流量包 共享流量包是一款带宽流量套餐产品，使用方便，价格实惠。购买共享流量包后立即生效，并自动抵扣按需计费（按流量计费）的EIP带宽产生的流量资费，直到流量包用完或到期。共享流量包的收费标准请参考产品价格详情中“预付费流量包”的内容。 共享流量包为区域性共享资源，例如您在“华北-北京四”购买了共享流量包，则“华北-北京四”区域的Flexus L实例或其他资源都可以使用该流量包；相反的，“华北-北京四”区域之外的Flexus L实例无法使用该共享流量包，如需使用共享流量包，请在目标区域另外购买。 共享流量包一旦购买不支持修改和退订，到期后也不支持续订。在购买前，请务必先了解“共享流量包”的使用规则和使用限制，具体信息详见共享流量包概述。 购买共享流量包 请进入购买共享流量包页面购买，具体操作详见购买共享流量包。 父主题： 网络

新增特性及特性增强 Webhook匹配表达式（GA） 在Kubernetes1.30版本中，Webhook匹配表达式特性进阶至GA。此特性允许对准入Webhook支持根据特定的条件进行匹配，更细粒度地控制Webhook的触发条件。详细使用方式请参考动态准入控制。 Pod调度就绪态（GA） 在Kubernetes1.30版本中，Pod调度就绪态特性进阶至GA。此特性允许对Pod添加自定义的schedulingGates，并由用户控制何时移除这些gate，当所有gates移除后，Pod才会被认为调度就绪。详细使用方式请参考Pod调度就绪态。 验证准入策略（GA） 在Kubernetes1.30版本中，验证准入策略（ValidatingAdmissionPolicy）特性进阶至GA。该特性支持通过CEL表达式声明资源的验证准入策略。详细使用方式请参考验证准入策略。 基于ContainerResource指标的Pod水平自动扩缩容（GA） 在Kubernetes1.30版本中，基于ContainerResource指标的Pod水平自动扩缩容特性进阶至GA。该特性允许HPA根据Pod中各个容器的资源使用情况来配置自动伸缩，而不仅是Pod的整体资源使用情况，便于为Pod中最重要的容器配置扩缩容阈值。详细使用方式请参考容器资源指标。 传统ServiceAccount令牌清理器（GA） 在Kubernetes1.30版本中，传统ServiceAccount令牌清理器特性进阶至GA。其作为kube-controller-manager的一部分运行，每24小时检查一次，查看是否有任何自动生成的传统ServiceAccount令牌在特定时间段内（默认为一年，通过--legacy-service-account-token-clean-up-period指定）未被使用。如果有的话，清理器会将这些令牌标记为无效，并添加kubernetes.io/legacy-token-invalid-since标签，其值为当前日期。如果一个无效的令牌在特定时间段（默认为1年，通过--legacy-service-account-token-clean-up-period指定）内未被使用，清理器将会删除它。更多使用细节请参考传统ServiceAccount令牌清理器。 Pod拓扑分布中的最小域（GA） 在Kubernetes1.30版本中，Pod拓扑分布中的最小域特性进阶至GA。此特性允许通过Pod的minDomains字段配置符合条件的域的最小数量。负载拓扑约束匹配到的域的数量如果大于minDomains，则该字段没有影响；如果小于minDomains，则会将全局最小值（符合条件的域中匹配 Pod 的最小数量）设为0，该字段必须结合whenUnsatisfiable: DoNotSchedule一起使用，实现在不满足拓扑约束的情况下让Pod不进行调度。详细使用方式参考Pod拓扑分布。

CCE突发弹性引擎（对接CCI）插件版本发布记录 表1 CCE突发弹性引擎（对接CCI）插件版本记录 插件版本 支持的集群版本 更新特性 1.5.15 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 - 1.5.14 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 - 1.5.13 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 支持v1.30版本集群;弹性CCI 2.0支持多子网 1.5.12 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 - 1.5.11 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 - 1.5.10 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 弹性CCI2.0支持磁盘压力驱逐 1.5.9 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 支持/etc/localtime通过HostPath挂载 1.5.8 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 适配CCE v1.29集群 1.5.2 v1.21 v1.23 v1.25 v1.27 v1.28 支持弹性至CCI 2.0 1.3.57 v1.21 v1.23 v1.25 v1.27 v1.28 适配CCE v1.28集群 1.3.54 v1.21 v1.23 v1.25 v1.27 修复部分问题 1.3.48 v1.21 v1.23 v1.25 v1.27 支持v1.25、v1.27版本集群 支持JuiceFS类型的存储 1.3.44 v1.17 v1.19 v1.21 v1.23 支持Pod配置全域弹性公网IP 1.3.35 v1.17 v1.19 v1.21 v1.23 支持原地升级镜像 支持ReadinessGates 1.3.25 v1.17 v1.19 v1.21 v1.23 支持DownwardAPI Volume 支持Projected Volume 支持自定义StorageClass 1.3.19 v1.17 v1.19 v1.21 v1.23 支持schedule profile 1.3.7 v1.17 v1.19 v1.21 v1.23 支持v1.21、v1.23版本集群 1.2.12 v1.13 v1.15 v1.17 v1.19 新增了部分metrics指标 支持HPA与CustomedHPA 支持将弹性到CCI的Pod中的hostPath转换为其它类型存储 修复Kubernetes Dashboard无法使用终端问题 1.2.5 v1.13 v1.15 v1.17 v1.19 支持 CCE Turbo 集群 自动清理CCI中不再被Pod依赖的资源 支持配置Requests与Limits不相等，弹性到CCI时的资源申请量以Limits为准 修复CCI命名空间不存在时插件卸载失败问题 增加对Pod规格超过CCI限制的创建请求的拦截 1.2.0 v1.13 v1.15 v1.17 v1.19 支持v1.19版本集群 支持SFS、SFS Turbo类型存储 支持CronJob 支持配置envFrom 日志文件自动转储 屏蔽TCPSocket类型健康检查 支持配置资源标签（pod-tag） 提升了性能和可靠性 修复了一些已知问题 1.0.5 v1.13 v1.15 v1.17 支持v1.17版本集群 父主题： 插件版本发布记录

华为云容器服务CCE Autopilot于2024年9月30日00:00（北京时间）转商 发布时间：2024-08-29 华为云计划于2024年9月30日00:00（北京时间）将容器服务CCE Autopilot正式转商用。 服务正式商用后将收取集群管理费用，其余费用与公测期间保持一致，更多收费说明请参见按需计费区域单价。 更多关于CCE Autopilot的产品介绍，请参见什么是Autopilot集群。 如您有任何问题，可随时通过工单与我们联系。 感谢您对华为云的支持！ 父主题： 产品变更公告

华为云容器服务CCE Autopilot数据面账单变更公告 发布时间：2024-09-14 华为云计划于2024/09/18 22:00:00（北京时间）对CCE Autopilot数据面CPU、内存资源账单进行调整，调整后CCE Autopilot数据面资源账单的产品类型将从云容器引擎 CCE调整为云容器实例CCI，此次调整资源单价保持不变，已出历史账单不变，不会对您的业务使用造成影响，具体调整如下： 表1 调整前 产品类型 产品 计费模式 使用类型 单价单位 规格 云容器引擎 CCE CCE Autopilot 按需 时长 元/秒 CCE 内存资源 云容器引擎 CCE CCE Autopilot 按需 时长 元/秒 CCE CPU资源 表2 调整后 产品类型 产品 计费模式 使用类型 单价单位 规格 云容器实例 CCI 云容器实例 - Autopilot Resources 按需 时长 元/秒 Autopilot 内存资源 云容器实例 CCI 云容器实例 - Autopilot Resources 按需 时长 元/秒 Autopilot CPU资源 局点上线时间安排： 上线局点 上线时间 西南-贵阳一 2024年9月18日 22:00 广州 2024年9月19日22:00 上海一 2024年9月20日22:00 北京四 2024年9月23日22:00 新加坡 2024年9月24日22:00 曼谷 2024年9月24日22:00 如您有任何问题，可随时通过工单或者服务热线（4000-955-988或950808）与我们联系。 感谢您对华为云的支持！ 父主题： 产品变更公告

简介 用户查看发送量统计报表，可以对发送业务进行分析。 1. 发送统计分析被黑名单拦截的号码不在发送统计分析内，不计入成功率，被拦截的号码在发送记录查询进行查看； 2. 发送统计分析中，发送条数就是计费条数，例如一条短信条数73个字，发送的是一条，实际计费条数是2条，在发送统计分析中显示为2条； 发送量统计报表，每天凌晨3点进行更新，当天发送总条数要等第二天三点后查询为准，由于状态报告时72小时内返回，当天成功总数在第四天三点后为准。

简介 短信模板是具体发送的短信内容，由纯固定文本或固定文本加变量组成。 短信模板可通过变量替换实现个性短信定制：模板创建后，发送短信时指定变量的实际值，短信服务会自动用实际值替换模板变量，并发送短信，实现短信的定制化。 一个完整的短信由短信签名和短信内容组成，您可以根据业务需求分别设置不同的模板，然后组合成最终短信内容。 例如，【华为云】您的验证码为：{code}（5分钟内有效），为了保证您的账户安全，请勿向任何人提供此验证码。 短信签名为：【华为云】 短信模板为：您的验证码为：{code}（5分钟内有效），为了保证您的账户安全，请勿向任何人提供此验证码。 模板变量为：{code} 手机终端收到的短信为：【华为云】您的验证码为：123456（5分钟内有效），为了保证您的账户安全，请勿向任何人提供此验证码。

响应参数 表2 请求参数 名称 参数类型 说明 privateips Array of privateip objects 私有IP列表对象，请参见表3。 表3 privateip字段说明 名称 参数类型 说明 status String 功能说明：私有IP的状态 取值范围： ACTIVE：活动的 DOWN：不可用 id String 私有IP标识 subnet_id String 分配IP的子网标识 如果您使用管理控制台，此值即为子网详情中的“网络ID”参数值。 tenant_id String 项目ID device_owner String 功能说明：私有IP的使用者，空表示未使用 取值范围： network:dhcp DHCP服务IP地址 network:router_interface_distributed 网关IP地址 compute:xxx(xxx对应具体的可用区名称，例如compute:aa-bb-cc表示是被可用区aa-bb-cc上的ECS使用) 虚拟机网卡IP地址 neutron:VIP_PORT 虚拟IP地址 compute:subeni 辅助弹性网卡IP地址 neutron:LOADBALANCERV2 共享ELB使用的IP地址 neutron:LOADBALANCERV3 独享ELB使用的IP地址 network:endpoint_interface VPC终端节点 使用的IP地址 network:nat_gateway NAT网关使用的IP地址 约束：此处的取值范围只是本服务支持的类型，其他类型未做标注 ip_address String 申请到的私有IP

响应示例 { "privateips": [ { "status": "DOWN", "id": "d600542a-b231-45ed-af05-e9930cb14f78", "subnet_id": "531dec0f-3116-411b-a21b-e612e42349fd", "tenant_id": "8b7e35ad379141fc9df3e178bd64f55c", "device_owner": "", "ip_address": "192.168.1.11" }, { "status": "DOWN", "id": "d600542a-b231-45ed-af05-e9930cb14f79", "subnet_id": "531dec0f-3116-411b-a21b-e612e42349fd", "tenant_id": "8b7e35ad379141fc9df3e178bd64f55c", "device_owner": "", "ip_address": "192.168.1.12" } ] }

URI GET /v1/{project_id}/subnets/{subnet_id}/privateips 样例： GET https://{Endpoint}/v1/{project_id}/subnets/{subnet_id}/privateips?limit=10&marker=4779ab1c-7c1a-44b1-a02e-93dfc361b32d 参数说明请参见表1。 表1 参数说明 名称 是否必选 参数类型 说明 project_id 是 String 项目ID，获取项目ID请参见获取项目ID。 subnet_id 是 String 私有IP所在子网的唯一标识 如果您使用管理控制台，此值即为子网详情中的“网络ID”参数值。 marker 否 String 分页查询的起始资源ID，表示从指定资源的下一条记录开始查询。 marker需要和limit配合使用： 若不传入marker和limit参数，查询结果返回第一页全部资源记录。 若不传入marker参数，limit为10，查询结果返回第1~10条资源记录。 若marker为第10条记录的资源ID，limit为10，查询结果返回第11~20条资源记录。 若marker为第10条记录的资源ID，不传入limit参数，查询结果返回第11条及之后的所有资源记录。 limit 否 Integer 分页查询每页返回的记录个数，取值范围为0~intmax（2^31-1），默认值2000。 limit需要和marker配合使用，详细规则请见marker的参数说明。

响应示例 { "flow_logs": [ { "id": "35868d55-443e-4d5c-90a4-ac618dc45c1a", "name": "flowlog", "description": "just a test", "tenant_id": "b2782e6708b8475c993e6064bc456bf8", "resource_type": "port", "resource_id": "05c4052d-8d14-488f-aa00-19fea5a25fde", "traffic_type": "reject", "log_group_id": "05c4052d-8d14-488f-aa00-19fea5a25fff", "log_topic_id": "a9d7dee7-37d2-4cba-a208-a016252aaa63", "log_store_type": "lts", "created_at": "2019-01-14T11:03:02", "updated_at": "2019-01-14T11:03:02", "status": "ACTIVE", "admin_state": true } ] }

响应示例 { "vpc": { "id": "99d9d709-8478-4b46-9f3f-2206b1023fd3", "name": "vpc", "description": "test", "cidr": "192.168.0.0/16", "status": "OK", "enterprise_project_id": "0" , "routes": [], "tenant_id": "087679f0aa80d32a2f4ec0172f5e902b", "created_at": "2022-12-15T02:25:11", "updated_at": "2022-12-15T02:25:11" } }

响应示例 { "routetable": { "id": "3d42a0d4-a980-4613-ae76-a2cddecff054", "vpc_id": "ab78be2d-782f-42a5-aa72-35879f6890ff", "description": "abc", "routes": [ { "type": "ecs", "destination": "10.10.10.0/24", "nexthop": "7c50463d-d36c-4417-aa85-cc11fa10f341", "description": "abc" } ], "subnets": [ { "id": "8d4ce32f-d68a-4c4c-9f18-c68d8a5c7f2f" } ], "tenant_id": "6fbe9263116a4b68818cf1edce16bc4f", "created_at": "2022-12-15T02:56:40", "updated_at": "2022-12-15T02:56:40" } }

请求示例 创建一个路由表，所在vpc id为60c809cb-6731-45d0-ace8-3bf5626421a9，命名为routetable-1234，包含一条ecs类型的路由。 POST https://{Endpoint}/v1/6fbe9263116a4b68818cf1edce16bc4f/routetables { "routetable": { "name": "routetable-1234", "vpc_id": "60c809cb-6731-45d0-ace8-3bf5626421a9", "routes":[ { "type": "ecs", "destination": "10.10.10.0/24", "nexthop":"7c50463d-d36c-4417-aa85-cc11fa10f341" } ], "description":"abc" } }

响应示例 { "flow_log": { "id": "35868d55-443e-4d5c-90a4-ac618dc45c1a", "name": "flow", "description": "just a test", "tenant_id": "b2782e6708b8475c993e6064bc456bf8", "resource_type": "port", "resource_id": "05c4052d-8d14-488f-aa00-19fea5a25fde", "traffic_type": "reject", "log_group_id": "05c4052d-8d14-488f-aa00-19fea5a25fff", "log_topic_id": "a9d7dee7-37d2-4cba-a208-a016252aaa63", "log_store_type": "lts", "created_at": "2019-01-14T11:03:02", "updated_at": "2019-01-14T11:03:02", "status": "ACTIVE", "admin_state": true } }