华为云用户手册

样式 尺寸位置 W：设置图表的宽，单位为px。 H：设置图表的高，单位px。 X：设置图表在画布中的位置。单位为px。 Y：设置图表在画布中的位置。单位为px。 不透明度：设置图表在画布上的透明度，可通过滑动条进行设置，也可手动输入百分比，比例越大透明程度越低。 图1 尺寸位置 全局样式 背景颜色：日期选择器的背景颜色，用户自定义。 边框颜色：日期选择器的边框颜色，用户自定义。 样式：边框的呈现类型，包含实线、虚线、电划线。 宽度：边框的宽度设置。 圆角：边框的圆角设置。 字号：设置进度条的字体大小。 颜色：设置进度条字体颜色。 格式化：设置日期呈现的格式。

样式 设置热力图样式参考表2、表3。 表2 基础设置 参数 说明 卡片标题 卡片支持有和无标题的设置。设置卡片的标题，在卡片的左上角展示。 无标题：当未勾选框时，为无标题格式。 有标题：当勾选框时，为有标题格式。 文本 设置文本字体的大小和字体颜色。可通过输入修改字体大小也可通过和修改字体的大小。 说明： 输入不能为空，且输入值必须在14到32之间。 对齐方式 支持左对齐和居中对齐方式。 下边距 设置热力图标题与图表之间的距离。可通过输入修改边距的大小也可通过和修改边距的大小。 说明： 输入不能为空，且输入值必须在0到32之间。 分割线 卡片支持无和有分割线的设置。 无分割线：当未勾选框时，为无分割线格式。 有分割线：当勾选框时，为有分割线格式。支持对分割线的样式和下框边距进行设置。分割线样式和下边框支持输入设置，也可通过和进行设置。 说明： 分割线样式的输入不能为空，且输入值必须在0到8之间。在设置样式之后才可以设置下边距，分割线的下边距输入不能为空，且输入值必须在0到32之间。 卡片背景 卡片背景支持有背景和无背景设置。 无背景：当未勾选框时，为无背景格式。 有背景：当勾选框时，为有背景格式。支持背景颜色的设置。 状态icon 可以设置icon的显示方式和颜色，支持始终显示和悬停显示。卡片icon支持有状态icon和无状态icon设置。 无背景：当未勾选框时，为无状态icon。 有背景：当勾选框时，为有状态icon。 表3 图表样式参数 参数 说明 分区规则 支持设置为连续型区间、等分区间、自定义区间，等分区间支持取整操作。 区间个数 支持设置区间个数，默认是5。 说明： 区间个数的输入值必须在2到10之间。 区间划分依据 支持按绝对值和按百分比设置。 配色 设置热力图的配色。 透明度 设置热力图的透明度。 开启Tooltip 当勾选框时，鼠标箭头移动到热力图上显示Tooltip，不勾则不显示Tooltip。 背景颜色用户自定义。 维度文本/指标文本/数值文本大小、颜色用户自定义。 显示图例 支持对显示图例的文本和位置设置，文本支持对字体大小和颜色的设置，位置支持下方和上方设置。 表4 坐标轴 轴类别 参数 说明 X轴 显示标题和单位 设置是否显示X轴的轴标题单位。 当未勾选框时，为不显示X轴的标题和单位。 当勾选框时，支持对X轴的标题、文本，轴标题自动获取或自定义输入，单位可自定义输入，文本支持设置字体大小和颜色。 显示坐标轴 设置是否显示坐标轴。 当未勾选框时，为不显示X轴的坐标轴。 当勾选框时，支持对X轴坐标线的字体大小和颜色设置。 显示轴标签 设置是否显示X轴的轴标签。 当未勾选框时，为不显示X轴的轴标签。 当勾选框时，支持对X轴的轴标签的文本字体大小和颜色设置，也可设置X轴标签的角度。 显示网格线 设置是否显示X轴的网格线。 当未勾选框时，为不显示X轴的网格线。 当勾选框时，支持设置X轴的网格线的分格数和颜色。 显示刻度线 设置是否显示刻度线。 当未勾选框时，为不显示刻度线。 当勾选框时，显示刻度线。 缩略坐标轴标签 缩略X坐标轴标签。 Y轴 显示标题和单位 设置是否显示Y轴的轴标题单位。 当未勾选框时，为不显示Y轴的标题和单位。 当勾选框时，支持对Y轴的标题、位置、文本，轴标题自动获取或自定义输入，轴标题的位置可设置为轴上方或轴左侧，单位可自定义输入，文本支持设置字体大小和颜色。 显示坐标轴 设置是否显示坐标轴。 当未勾选框时，为不显示Y轴的坐标轴。 当勾选框时，支持对Y轴坐标线的字体大小和颜色设置。 显示轴标签 设置是否显示Y轴的轴标签。 当未勾选框时，为不显示Y轴的轴标签。 当勾选框时，支持对Y轴的轴标签的文本字体大小和颜色设置。 显示网格线 设置是否显示Y轴的网格线。 当未勾选框时，为不显示Y轴的网格线。 当勾选框时，支持设置Y轴的网格线的分格数和颜色。 显示刻度线 设置是否显示刻度线。 当未勾选框时，为不显示刻度线。 当勾选框时，显示刻度线。 缩略坐标轴标签 缩略Y坐标轴标签。

样式 表2 样式参数 参数 参数说明 尺寸位置 设置图表的宽（W）和高（H），单位为px。设置图表在画布中的位置，单位为px。 设置图表在画布上的透明度，比例越大透明程度越低。 子图层-气泡层 气泡样式：设置气泡的颜色、大小、样式、动效速率。 标签：勾选后地图显示标签。支持设置标签的显示内容、位置、文本大小。 提示信息：勾选后地图显示提示信息。支持设置提示信息的背景色、文本、字体粗细。 子图层-飞线层 飞线样式：设置气飞线的颜色、样式、粗细、弧度。 落点气泡：勾选后地图显示落点气泡。支持设置气泡的颜色、大小、样式、动效速率。 标签：勾选后地图显示标签。支持设置标签的显示内容、位置、文本大小。 提示信息：勾选后地图显示提示信息。支持设置提示信息的背景色、文本、字体粗细。 通用配置 全局样式： 地图中心：通过设置顶部、左侧的数值大小调整地图中心在图层中的位置。 地图缩放：设置地图中心在图层中的缩放比例，输入值必须在0.1到50之间。 边界数据来源：设置边界数据来源有链接和素材两种方式。 链接：从其他地方复制链接粘贴此处，可以获取边界数据。 素材：用户自定义素材，或者从其他地方获取到的json文件，上传获取边界数据。 填充设置：设置填充的颜色、透明度。设置边线的宽度。 交互设置：支持设置是否开启缩放、平移。 图例： 勾选后地图显示图例。支持设置图例的显示内容、文本大小、文本颜色、位置、对齐方式。

样式 尺寸位置 W：设置图表的宽，单位为px。 H：设置图表的高，单位px。 X：设置图表在画布中的位置。单位为px。 Y：设置图表在画布中的位置。单位为px。 不透明度：设置图表在画布上的透明度，可通过滑动条进行设置，也可手动输入百分比，比例越大透明程度越低。 图1 尺寸位置 文本样式 标题设置：用户自定义设置。 字体：设置文本的字体。 字号：设置文本的字号。 文本间距：设置文本的文本间距 颜色：设置文本的字体颜色。 字体粗细：设置文本的字体粗细。 对齐方式：设置文本的对齐方式，可以设置为左侧、右侧、水平居中。 上下对齐：设置文本的上下对齐方式，可以设置为居中、上对齐、下对齐。

样式 本章节介绍线状图的样式的各项配置的含义。 尺寸位置 W：设置图表的宽，单位为px。 H：设置图表的高，单位px。 X：设置图表在画布中的位置。单位为px。 Y：设置图表在画布中的位置。单位为px。 不透明度：设置图表在画布上的透明度，可通过滑动条进行设置，也可手动输入百分比，比例越大透明程度越低。 图1 尺寸位置 图表基础样式 图表切换类型有里程碑和时间粒度。 节点 配色分为单色和按节点，颜色用户自定义。 大小：节点大小用户可自定义设置，取值范围8~48。 距离可设置按比例和等分。 线条粗细、颜色用户可自定义设置，线条粗细取值范围1~48。 节点标签 显示节点标签：可通过勾选框设置是否显示节点标签。 标签设置 标签布局类型：上下交错、轴上方、轴下方。 对齐方式类型：左对齐、居中、右对齐。 显示时间轴字段：勾选框后，图表显示时间轴字段，不勾选只显示时间。 显示标签字段：勾选框后，图表显示节点标签，不勾选不显示节点标签。 显示今天：勾选框后，里程碑会显示当天的标签（今天），不勾选则不显示。 条件格式 条件格式中的系列由字段中的“状态维度”所定义，可以设置不同状态的样式设置。 设置条件格式的步骤： 选择系列字段。 勾选自定义样式，单击“自定义样式”右边的笔图标，进入自定义样式页面。 单击添加规则，选择状态，设置节点颜色、状态图标、节点图标大小，设置线条颜色以及粗细。 设置好参数后，单击“确定”，条件格式设置成功。 单击右上角的“预览”按钮，产查看设置的条件格式。 设置的状态，按照条件格式展示，未设置的状态按照全局演示展示。

套餐包到期 购买后，在计费周期内正常使用套餐包，此阶段为有效期；套餐包到期而未续费时，将陆续进入宽限期和保留期。 图4 套餐包生命周期 到期预警 套餐包到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为账号的创建者。 到期影响 按需套餐包到期后，在账户余额充足情况下，不会影响用户使用 KooMessage 服务。 宽限期和保留期的详细介绍，请参见宽限期保留期。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。

套餐包详情 用户可以根据实际需求购买套餐包获取更多的优惠。 按需套餐包 KooMessage服务提供的按需套餐包如表1所示。用户根据诉求，选择合适的套餐包，用户可以通过价格计算器，快速计算出购买的参考价格。 表1 按需套餐包 适用项 套餐包类型 描述 使用限制 智能信息 智能信息解析 企业使用已有短信发送通道，KooMessage只做智能信息解析。 不同类型的短信模板，扣除不同套餐包内的额度。 智能信息发送和解析-通知类 企业使用KooMessage发送验证码和通知短信并做智能信息解析。 智能信息发送和解析-营销类 企业使用KooMessage发送营销短信并做智能信息解析。 智能信息通道 验证码和通知短信补充包 企业使用KooMessage发送验证码和通知短信。 营销短信补充包 企业使用KooMessage发送营销短信。 智能信息基础版 智能信息基础版（三网通道） 三网通道发送短信，移动、联通、电信号码均可发送，要求移动号码发送量占比不低于75%。 - 智能信息服务号 - 用户点击智能信息服务号的菜单一次，为一次点击。 目前支持华为、小米、OPPO、vivo、荣耀机型。

主机扫描权限异常如何处理？ 当使用主机扫描功能遇到如下报错时， CodeArts Inspector.00050001: The user role has no permission to access the interface. User: AAA:user:BBB is not authorized to perform: kms:cmk:decryptData. 需登录AAA账号，检查BBB用户是否含有kms:cmk:decryptData权限。 如果没有kms:cmk:decryptData权限，可参考 IAM 指导文档手动添加相应的权限再进行互通性测试。 父主题： 主机扫描类

示例流程 图1 给用户授权EIP权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予EIP只读权限“EIP ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择弹性公网IP，进入EIP主界面，单击右上角“购买弹性公网IP”，尝试购买弹性公网IP，如果无法购买弹性公网IP（假设当前权限仅包含EIP ReadOnlyAccess），表示“EIP ReadOnlyAccess”已生效。 在“服务列表”中选择除弹性公网IP及其子页面外（假设当前策略仅包含EIP ReadOnlyAccess）的任一服务，如果提示权限不足，表示“EIP ReadOnlyAccess”已生效。

通过华为云内网访问华为开源镜像站 华为云镜像站提供免费的内网通道给云上用户使用，需要用户接入镜像站的终端节点服务，通过华为云内网访问华为开源镜像站的操作步骤如下： 进入“终端节点”页面。 图1 终端节点界面 单击右上角“购买终端节点”，进入终端节点购买页面。 在购买页面进行如下配置： 选择所在区域，如“华东专属-金融一”。 选择要访问的服务：镜像站为repo.myhuaweicloud.com (或者repo[X]. myhuaweicloud.com,X代表数字)。 勾选“创建内网 域名 ”，则会在当前VPC下创建内网域名：repo[X]. myhuaweicloud.com。 选择需要访问镜像站的VPC及其子网。 图2 购买终端节点 单击“立即购买”即可完成终端节点开通，完成开通后，即可在“终端节点”页面查看创建的IP，并在子网内通过IP访问镜像站资源。 图3 终端节点页面 如图，访问http://repo.myhuaweicloud.com/centos/即可访问镜像站centos资源。 可通过互联网访问镜像站首页（mirrors.huaweicloud.com），通过各镜像卡片配置指导使用，但需要对域名进行替换。 表1 镜像站域名及支持协议 用户 访问方式 协议 互联网用户 mirrors.huaweicloud.com repo.huaweicloud.com http,https 内网用户 repo[X]. myhuaweicloud.com http

域名注册服务 与其他服务的关系 域名注册服务与周边服务的依赖关系如图1所示。 图1 域名注册服务与其他服务的关系示意图 域名注册服务与其他服务的关系如表1所示。 表1 域名注册服务与其他服务的关系 服务名称 域名注册服务与其他服务的关系 主要交互功能 企业门户 无需代码，快速拖拽搭建网站。 搭建网站 弹性云服务器 可随时自动获取、弹性伸缩的云上服务器，拥有丰富的规格类型，可用于搭建各种类型的网站。需同时配合 镜像服务 IMS、云硬盘EVS、 虚拟私有云VPC 使用，提供计算、存储、网络资源。 搭建网站 网站备案 备案是中国大陆的一项法规，使用大陆节点服务器提供互联网信息服务的用户，需要在服务器提供商处提交备案申请。 华为云提供免费的备案服务。 备案网站 云解析服务 将域名转换为网站服务器IP地址，实现通过域名直接访问网站。 华为云提供免费的域名解析服务。 配置网站解析 SSL证书管理 如果想要实现网站的可信身份认证与安全数据传输，您可以通过华为云SCM购买并部署SSL证书。部署成功后，可以将HTTP协议替换成HTTPS协议，通过https://www.xxx.xx访问您的网站。 证书的选型和申购流程

请求方法 HTTP方法（也称为操作或动词），它告诉服务您正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在管理员创建IAM用户的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 Content-Type：消息体的类型（格式），必选，默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 X-Auth-Token：用户Token，可选，当使用Token方式认证时，必须填充该字段。用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 Authorization：签名认证信息，可选，当使用AK/SK方式认证时，使用SDK对请求进行签名的过程中会自动填充该字段。AK/SK认证的详细说明请参见AK/SK认证。 X-Sdk-Date：请求发送的时间，可选，当使用AK/SK方式认证时，使用SDK对请求进行签名的过程中会自动填充该字段。AK/SK认证的详细说明请参见AK/SK认证。 X-Project-ID：子项目ID，可选，在多项目场景中使用。如果云服务资源创建在子项目中，AK/SK认证方式下，操作该资源的接口调用需要在请求消息头中携带X-Project-ID。 X-Domain-ID：账号ID，可选。AK/SK认证方式下，全局服务的接口调用时，需在请求消息头中携带X-Domain-ID。 对于管理员创建IAM用户接口，使用AK/SK方式认证时，添加消息头后的请求如下所示。 POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users Content-Type: application/json X-Sdk-Date: 20240416T095341Z Authorization: SDK-HMAC-SHA256 Access=****************, SignedHeaders=content-type;host;x-sdk-date, Signature=****************

请求消息体 请求消息体通常以结构化格式发出，与请求消息头中Content-type对应，传递除请求消息头之外的内容。若请求消息体中参数支持中文，则中文字符必须为UTF-8编码，并在Content-type中声明字符编码方式，例如：Content-Type: application/json; charset=utf-8。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于管理员创建IAM用户接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写。 accountid为IAM用户所属的账号ID。 username为要创建的IAM用户名。 email为IAM用户的邮箱。 **********为IAM用户的登录密码。 POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users Content-Type: application/json X-Sdk-Date: 20240416T095341Z Authorization: SDK-HMAC-SHA256 Access=****************, SignedHeaders=content-type;host;x-sdk-date, Signature=**************** { "user": { "domain_id": "accountid", "name": "username", "password": "**********", "email": "email", "description": "IAM User Description" } } 到此为止，一个API请求所需要的内容已经准备完成，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 URI-scheme：表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint：指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点处获取。例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path：资源路径，即API访问路径。从具体API的URI模块获取，例如“管理员创建IAM用户”接口的resource-path为“/v3.0/OS-USER/users”。 query-string：查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 例如您需要创建IAM用户，由于IAM为全局服务，则使用任一区域的Endpoint（比如“华北-北京四”区域的Endpoint：“iam.cn-north-4.myhuaweicloud.com”），并在管理员创建IAM用户的URI部分找到resource-path（/v3.0/OS-USER/users），拼接起来如下所示。 https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users 图2 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

响应消息体 响应消息体通常以结构化格式返回，与响应消息头中Content-type对应，传递除响应消息头之外的内容。 对于管理员创建IAM用户接口，返回如下消息体。为篇幅起见，这里只展示部分内容。 { "user": { "id": "c131886aec...", "name": "IAMUser", "description": "IAM User Description", "areacode": "", "phone": "", "email": "***@***.com", "status": null, "enabled": true, "pwd_status": false, "access_mode": "default", "is_domain_owner": false, "xuser_id": "", "xuser_type": "", "password_expires_at": null, "create_time": "2024-05-21T09:03:41.000000", "domain_id": "d78cbac1..........", "xdomain_id": "30086000........", "xdomain_type": "", "default_project_id": null } } 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 { "error_msg": "Request body is invalid.", "error_code": "IAM.0011" } 其中，error_code表示错误码，error_msg表示错误描述信息。

操作步骤 注册微服务my-provider。 调用创建微服务静态信息接口，请求示例如下。 curl -k -H "x-domain-name:default" -XPOST "https://{cse_endpoint}/v4/default/registry/microservices" -d '{ "service": { "serviceName": "my-provider", "appId": "default", "version": "1.0.0", "description": "test", "level": "MIDDLE", "status": "UP" } }' 返回结果： {"serviceId":"918282e8562dc5fdc9a8dcd4d1baabb492190aa4"} 得到的serviceId，后续示例中以{providerServiceId}代替。 注册微服务my-provider的实例。 调用注册微服务实例接口。实例有效期1小时，到期自动下线。假设provider实例监听的地址为127.0.0.1:8080，请求示例如下。 curl -k -H "x-domain-name:default" -XPOST "https://{cse_endpoint}/v4/default/registry/microservices/{providerServiceId}/instances" -d '{ "instance": { "hostName": "test", "endpoints": [ "rest:127.0.0.1:8080" ], "status": "UP", "healthCheck": { "mode": "push", "interval": 900, "times": 3 } } }' 返回结果： {"instanceId":"2be605a095ed11eabcbe0255ac100fa3"} 注册微服务my-consumer。 调用创建微服务静态信息接口，请求示例如下。 curl -k -H "x-domain-name:default" -XPOST "https://{cse_endpoint}/v4/default/registry/microservices" -d '{ "service": { "serviceName": "my-consumer", "appId": "default", "version": "1.0.0", "description": "test", "level": "MIDDLE", "status": "UP" } }' 返回结果： {"serviceId":"9db248934c31fc754d6e922b48ede4a5c004d3c1"} 得到的serviceId，后续示例中以{consumerServiceId}代替。 my-consumer发现my-provider的实例。 调用按条件查询微服务实例接口，consumer带着自身的serviceId去服务中心查询provider的实例信息，请求示例如下。 curl -k -H "x-domain-name:default" -H "X-ConsumerId:{consumerServiceId}" -XGET "https://{cse_endpoint}/v4/default/registry/instances?appId=default&serviceName=my-provider&version=0.0.0%2B" 返回结果： { "instances": [ { "instanceId": "2be605a095ed11eabcbe0255ac100fa3", "serviceId": "918282e8562dc5fdc9a8dcd4d1baabb492190aa4", "endpoints": [ "rest:127.0.0.1:8080" ], "hostName": "test", "status": "UP", "healthCheck": { "mode": "push", "interval": 150, "times": 3 }, "timestamp": "1589465646", "modTimestamp": "1589465646", "version": "1.0.0" } ] } 在实际业务中，consumer可从实例查询结果中的"endpoint"字段获取provider实例的地址，发起业务调用。 您还可以进入微服务引擎控制台的“微服务目录”，查看服务注册信息。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内，12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 使用Token前请确保Token离过期有足够的时间，防止调用API的过程中Token过期导致调用API失败。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示： { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为获取的Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users Content-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333 。

基本概念 账号 用户注册云平台时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个可用区是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 云平台的区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 同样在我的凭证下，您可以查看项目ID。 图1 项目隔离模型 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。

切换操作系统或变更规格导致的磁盘脱机 切换操作系统后可能会由于文件系统不一致导致数据盘无法显示；Windows云服务器器变更规格后，可能会发生磁盘脱机。 登录云服务器，打开cmd运行窗口，并输入“diskmgmt.msc”打开磁盘管理。 查看磁盘状态，磁盘可能显示为“脱机”。 将磁盘设置为“联机”状态。 在磁盘列表中，单击脱机的磁盘，并选择“联机”，将脱机磁盘进行联机。 图1 磁盘联机 再次在“计算机”中查询数据盘是否显示正常。 如上述操作后磁盘仍未显示，可以重新进行磁盘初始化和分区的操作。格式化磁盘会造成数据丢失，请提前对数据盘创建备份，避免数据丢失。

步骤2：上传本地文件到桶（OBS Browser+方式） 在管理控制台上创建访问密钥（AK和SK）。 通过OBS Browser+访问OBS时需要访问密钥（AK/SK）来进行鉴权。所以使用OBS Browser+访问OBS前，需要提前获取访问密钥（AK/SK）。 登录控制台，选择右上角的登录用户名，在下拉列表中单击“我的凭证”。 在左侧导航栏单击“访问密钥”。 单击“新增访问密钥”，进入“新增访问密钥”页面。 输入当前用户的登录密码。 通过邮箱或者手机进行验证，输入对应的验证码。 单击“确定”，下载访问密钥。为防止访问密钥泄露，建议您将其保存到安全的位置。 在本地主机上安装OBS Browser+。 下载OBS Browser+安装包。 OBS Browser+下载地址及具体操作请参见下载OBS Browser+。 当前OBS Browser+工具包存放在华北-北京一的桶中，华北-北京一的服务器可以使用内网下载工具，非华北-北京一的服务器需要使用弹性公网IP下载安装包，或者先将安装包上传到与服务器相同区域的桶中再下载。 解压OBS Browser+安装包，运行“obs-browser-plus Setup xxx.exe”完成OBS Browser+工具安装。 开始菜单或者桌面快捷方式中双击 obs-browser-plus，即可运行OBS Browser+工具。 登录OBS Browser+。 请参考登录OBS Browser+。 使用OBS Browser+上传文件 成功登录OBS Browser+后，搜索步骤1：在OBS管理控制台创建桶中创建的桶，进行基本的数据存取操作以及其他的高级设置操作。 详细使用指南请参见OBS Browser+最佳实践。

操作流程 使用OBS Browser+上传文件到Windows云服务器操作流程如下： 步骤1：在OBS管理控制台创建桶 桶是OBS中存储对象的容器，在上传对象前需要先创建桶。桶是OBS中存储对象的容器，将本地文件上传至OBS前需要先创建桶。 创建桶的方式多种多样，本例以在控制台创建桶为例，更多创建桶的方法请参考创建桶。 步骤2：上传本地文件到桶（OBS Browser+方式） 桶创建成功后，您可以通过多种方式将本地文件上传至桶，OBS最终将这些文件以对象的形式存储在桶中。 本例中以OBS Browser+方式上传为例。 通过OBS控制台可以上传小于5GB的文件，其中： “批量”上传方式每次最多支持100个文件同时上传，总大小不超过5GB。 “单个”上传方式每次只能上传1个文件，大小不超过50MB。 通过OBS Browser+和obsutil可以上传小于48.8TB的文件。 通过SDK或API的PUT上传、POST上传和追加写，可以上传小于5GB的文件。 通过SDK或API的多段上传以及SDK的断点续传，可以上传小于48.8TB的文件。 详细操作请参考上传对象。 步骤3：在Windows云服务器上使用OBS Browser+通过内网访问桶 OBS Browser+是适用于Windows的图形化界面工具，配置云服务器内网DNS服务器地址后，可以使用OBS Browser+通过内网访问桶，下载桶中的图片或视频等数据。

步骤3：在Windows云服务器上使用OBS Browser+通过内网访问桶 登录Windows E CS ，并检查是否已配置内网DNS 打开cmd命令行，运行ipconfig /all命令，查看“DNS服务器”是否为当前ECS所在区域的内网 DNS地址 。 华为云针对各区域提供了不同的内网DNS服务器地址。具体请参见华为云提供的内网DNS服务器地址。 如果查询结果显示未配置华为云内网DNS，请参考配置内网DNS修改DNS地址。 在云服务器上安装OBS Browser+。 下载OBS Browser+安装包 OBS Browser+下载地址及具体操作请参见下载OBS Browser+。 解压OBS Browser+安装包，运行“obs-browser-plus Setup xxx.exe”完成OBS Browser+工具安装。 开始菜单或者桌面快捷方式中双击 obs-browser-plus，即可运行OBS Browser+工具。 登录OBS Browser+。 请参考登录OBS Browser+。 使用OBS Browser+下载桶中的文件 成功登录OBS Browser+后，搜索步骤1：在OBS管理控制台创建桶中创建的桶，便可以在Windows ECS上直接通过华为云内网访问OBS，进行基本的数据存取操作以及其他的高级设置操作。 详细使用指南请参见OBS Browser+最佳实践。 至此使用OBS Browser+完成上传文件到Windows云服务器。

操作场景 云服务器支持通过内网访问OBS，OBS可供用户存储任意类型的数据。将图片、视频等数据存储至OBS后，在ECS上可以访问OBS，下载桶中的图片或视频等数据。通过内网访问OBS，可以避免因网络不稳定导致的数据传输中断问题，且使用内网访问OBS不收取流量费用，最大化的优化性能、节省开支，提高文件上传成功率。 当通过内网访问OBS时，需要确保待访问的OBS资源与ECS属于同一个区域，如果不属于同一个区域，将采用公网访问。

步骤1：在OBS管理控制台创建桶 在OBS管理控制台左侧导航栏选择“对象存储”。 在页面右上角单击“创建桶”， 选择“区域”，输入“桶名称”。 存储类别：本例中以“标准存储”为例。 标准存储适用于有大量热点文件或小文件，且需要频繁访问（平均一个月多次）并快速获取数据的业务场景。 上传对象时，对象默认与桶的存储类别相同，也可以根据适用场景修改。 “桶策略”、“默认加密”、“归档数据直读”等参数配置请参考通过管理控制台创建桶。本例中均使用默认配置。 单击“立即创建”，完成桶的创建，并在列表页面查看已创建的桶。

云硬盘的磁盘模式 云硬盘的磁盘模式分为VBD (虚拟块存储设备，Virtual Block Device) 类型和SCSI (小型计算机系统接口，Small Computer System Interface) 类型。 VBD类型： 当您通过管理控制台创建云硬盘时，云硬盘的磁盘模式默认为VBD类型。VBD类型的云硬盘只支持简单的SCSI读写命令。 SCSI类型： 您可以通过管理控制台创建SCSI类型的云硬盘，该类型的云硬盘支持SCSI指令透传，允许弹性云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的云硬盘还可以支持更高级的SCSI命令。 更多关于SCSI类型云硬盘的使用（如驱动安装），请参见“使用SCSI类型云硬盘需要安装驱动吗”。

弹性云服务器与其他服务的关系 表1 弹性云服务器与其他服务的关系 服务名称 弹性云服务器与其他服务的关系 主要交互功能 弹性伸缩 弹性伸缩支持自动调整弹性云服务器资源，可按照您定义的伸缩配置和伸缩策略对弹性云服务器进行伸缩，帮您节约资源和人力运维成本。 使用已有云服务器创建伸缩配置 使用新模板创建伸缩配置 负载均衡 将访问流量自动分发到多台弹性云服务器上，提高应用系统对外的服务能力，提高应用程序容错能力。 添加后端云服务器 云硬盘 可以将云硬盘挂载到弹性云服务器，并可以随时扩容云硬盘容量。 挂载非共享云硬盘 挂载共享云硬盘 虚拟私有云 为弹性云服务器提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。您可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 为弹性云服务器申请和绑定弹性公网IP 添加安全组规则 镜像 您可以通过镜像创建弹性云服务器，提高弹性云服务器的部署效率。还可以通过已有的云服务器创建私有镜像导出云服务器的系统盘或数据盘。 通过云服务器的数据盘创建数据盘镜像 通过云服务器创建整机镜像 专属计算集群 如果您希望从物理上隔离您的云服务器，那么您需要先申请专属计算集群。申请专属计算集群且将区域设置为所申请的专属计算集群时，云服务器自动创建在您的专属计算集群中。 开通专属云 申请专属计算集群资源 云监控 当用户开通了弹性云服务器后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。 弹性云服务器的监控指标 弹性云服务器中操作系统监控的监控指标 数据加密 服务 加密功能依赖于数据加密服务。您可以在创建弹性云服务器时，使用加密镜像或加密云硬盘，此时需要使用数据加密服务提供的密钥，从而提升数据的安全性。 云硬盘加密 镜像加密 创建密钥对 云审计 服务 记录与弹性云服务器相关的操作事件，便于日后的查询、审计和回溯。 支持云审计的关键操作 云备份 提供对云硬盘、弹性云服务器的备份保护服务。 购买云服务器 备份存储库 标签管理服务 使用标签来标识弹性云服务器，便于分类和搜索。 添加标签 使用标签检索资源

Solution as Code一键式部署类最佳实践 为帮助企业高效上云，华为云Solution as Code萃取丰富上云成功实践，提供一系列基于华为云可快速部署的解决方案，帮助用户降低上云门槛。同时开放完整源码，支持个性化配置，解决方案开箱即用，所见即所得。 表2 Solution as Code一键式部署类最佳实践汇总 一键式部署方案 说明 相关服务 等保二级解决方案 帮您在华为云上快速部署等保二级合规解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保二级合规要求。 CCM、WAF、HSS、MTD、CFW 等保三级解决方案 依托华为云自身安全能力与安全合规生态，为用户提供一站式的等保三级安全解决方案，轻松满足等级保护合规要求。 CCM、WAF、HSS、MTD、CFW、CBH、DBSS、CodeArts Inspector

背景知识 建立组织内部完整的CA层次体系称为自建PKI体系。 在自建PKI体系时，需要根据使用场景提前设计好结构，以便后续管理： CA层次的选择 CA层次决定了创建各级从属CA时所需设置的路径长度，以限制其向下签发从属CA的能力，同时影响证书链的长度。 恰当的CA层次设计，有利于CA的管理。PCA服务支持最多可创建七层CA结构，不同CA结构的区别请参见私有CA层次结构设计 证书的轮换 证书有效期到期前需要进行新旧证书的替换，避免因证书过期导致业务中断，新旧证书替换的过程即为证书的轮换。 证书有效期的长短决定了证书轮换的周期，合适的证书有效期设置可降低密钥材料泄露的风险和减少证书轮换的成本，关于PCA有效期设置可参考PCA证书有效期。 证书吊销管理 当证书出现密钥泄漏或者因某些因素不再被使用时，需要将其吊销。因此在创建CA时，需要开启证书吊销列表，同时在自身业务的检验证书环节中要检验证书是已被吊销。