华为云用户手册

  • 支持审计的关键操作列表 表1 云审计 服务支持的云服务器操作列表 操作名称 资源类型 事件名称 创建云服务器 ecs createServer createServerV2 createServerV21 删除云服务器 ecs deleteServer deleteServerV2 deleteServerV21 启动云服务器 ecs startServer 重启云服务器 ecs rebootServer 关闭云服务器 ecs stopServer 添加云服务器网卡 ecs addNic 删除云服务器网卡 ecs deleteNic delNic 挂载磁盘 ecs attachVolume attachVolumeV2 挂载磁盘(EVS页面触发) ecs attachVolume2 卸载磁盘 ecs detachVolume 重装操作系统 ecs reinstallOs 切换操作系统 ecs changeOs 变更规格 ecs resizeServer 配置虚拟机自动恢复标签 ecs addAutoRecovery 删除虚拟机自动恢复标签 ecs deleteAutoRecovery 更新元数据/设置指定key的元数据(不包含委托名称) ecs updateMetadata 更新元数据/设置指定key的元数据(包含委托名称) ecs updateMetadataAndServerAgency 更新委托 ecs updateServerAgency 获取VNC远程登录 ecs remoteConsole 修改云服务器信息 ecs updateServer 迁移虚拟机 ecs migrateServer 创建FPGA镜像 aei createFpgaImage 删除FPGA镜像 aei deleteFpgaImage 关联FPGA镜像 aei associateFpgaImage 解关联FPGA镜像 aei disassociateFpgaImage 注册FPGA镜像 aei registerFpgaImage 中断竞价计费型实例 server interruptServer
  • QingTian Enclave概念 QingTian Enclave QingTian Enclave是完全隔离的虚拟机,它的内存和CPU来自于其父虚拟机被预先隔离出来的资源。QingTian Enclave既没有外部网络,也没有持久化存储。父虚拟机内的进程、应用程序、内核或者用户都无法访问QingTian Enclave中的资源。 父虚拟机 父虚拟机是一个能够将其CPU及内存资源隔离分配给QingTian Enclave的E CS 实例。这些资源能够在QingTian Enclave的生存周期内被其使用。启动QingTian Enclave成功后,该QingTian Enclave只能与其父虚拟机进行安全通信。 QingTian Enclave镜像文件 QingTian Enclave镜像文件(.eif)提供了启动QingTian Enclave并在其中运行QingTian Enclave应用程序所需的系统信息,包括Linux操作系统、其他第三方库和QingTian Enclave应用程序。镜像创建详情见Linux系统上QingTian Enclave应用的开发。 QingTian命令行工具 作为华为云QingTian命令行工具(qt CLI),在QingTian Enclave使用场景中,qt CLI可以用于创建、关闭和查询QingTian Enclave信息。qt CLI必须在父虚拟机上安装和使用。详情见QingTian CLI(qt CLI)。 Enclave SDK Enclave SDK由一系列开源库组成,以便用户开发自己的QingTian Enclave应用程序。它集成了一些与华为云KMS交互的接口,例如加解密和产生随机数等,并为远程证明提供了内在支持。 QingTian密码学证明 QingTian密码学证明是QingTian Enclave在与KMS服务交互时证明自己合法性的过程。它依赖QingTianHypervisor产生的具有数字签名的证明文档。一个QingTian Enclave证明文档内包含的具体信息可以作为第三方服务认证及鉴权的条件。您可以在 IAM 服务中使用kms:RecipientAttestation相关条件键值(condition key)来控制对KMS服务特定接口操作的访问权限,例如生成随机数或者加解密操作。 证明文档 证明文档(Attestation Document)由QingTianHypervisor产生并签名,其文件内容为QingTian Enclave的信息,包括PCR、密码摘要以及用户声明。外部服务可以通过证明文件来验证QingTian Enclave的身份是否可信。用户可以利用证明文档构建自己的可信系统,也可以与KMS交互时使用。详情可见证明文档。 qt-proxy qt-proxy是一个运行在父虚拟机上的网络代理服务。用户可以使用这个服务,使父虚拟机转发来自于QingTian Enclave的网络包,实现QingTian Enclave与外界进行通信。这是QingTian Enclave用来与外部服务交互的唯一通信渠道。 PCR 平台配置寄存器(Platform configuration registers,PCRs)是QingTian Enclave独有的可信度量值。一部分在QingTian Enclave创建时自动产生,用于验证QingTian Enclave自创建以来的完整性,另一部分可以由用户自己定义以确保QingTian Enclave能够运行在他所希望执行的平台上。另外,Attestation Document包含了相关的PCR,用户可以使用PCR作为IAM访问控制策略的条件键(condition key),以实现更为更严格的访问控制。详情可见PCR简介。 本地连接通道 本地连接通道(Local Vsock Connection)是QingTian Enclave实例与父虚拟机之间唯一的,安全的本地通信通道。 QingTian安全模块 QingTian安全模块(QingTian Security Module,QTSM)整体由qtsm-lib函数库和qtsm-server服务组成。您可以在您的QingTian Enclave 应用程序中调用qtsm-lib用户态接口,qtsm-server会处理具体的QTSM请求并将返回相应结果。qtsm-lib提供的用户态接口包括查询指定index对应的PCR值(qtsm_describe_pcr),扩展指定index的PCR值(qtsm_extend_pcr),锁定指定index的PCR值(qtsm_lock_pcr),批量锁定指定index的PCR值(qtsm_lock_pcrs),获取QTSM信息(qtsm_get_describe)和获取已签名的证明文档(qtsm_get_attestation)。 父主题: QingTian Enclave简介
  • 登录ECS配置虚拟IP地址 当为一个ECS绑定一个虚拟IP或者多个虚拟IP时,在控制台执行完绑定虚拟IP的操作后,您还需要参考以下章节,登录弹性云服务器手工配置虚拟IP地址。 本文提供以下操作系统的配置示例,其他操作系统,请您参考对应官网帮助文档进行配置。 Linux系统:CentOS 7.2 64bit、Ubuntu 22.04 server 64bit Windows系统:Windows Server
  • 相关操作 当不再使用虚拟IP时,可以删除虚拟IP地址,详细内容,请参考删除虚拟IP地址。 弹性云服务器的网卡解绑并删除虚拟IP地址后,需要在弹性云服务器上手工删除虚拟IP地址。 Linux系统(本文以“CentOS 7.2 64bit”为例,其他规格请参考对应官网帮助文档) 执行以下命令,查看并记录需要删除虚拟IP的网卡及对应连接。 nmcli connection 回显类似如下信息: 本示例的回显信息说明如下: DEVICE列的eth0为需要删除虚拟IP的网卡。 NAME列的Wired connection 1为网卡对应的连接。 执行以下命令,在目标连接中删除虚拟IP。 nmcli connection delete "CONNECTION" ipv4.addresses VIP 参数说明如下: CONNECTION:为步骤1中查到的网卡对应的连接。 VIP:待删除的虚拟IP地址。 执行以下命令,使配置生效。 nmcli connection up "CONNECTION" 命令示例: nmcli connection up "Wired connection 1" 执行以下命令,检查虚拟IP配置是否成功。 ip a 可以看到eth0网卡下已经不存在添加的虚拟IP地址。
  • 绑定资源处理策略 删除或退订ECS时,如果满足回收站策略,ECS会进入回收站,其绑定资源的处理策略如下所示: 绑定的弹性公网IP的处理策略如表2所示。 表2 绑定的弹性公网IP的处理策略 实例计费模式 操作 是否进入回收站 恢复云服务器时处理结果 销毁云服务器时处理结果 按需计费 删除云服务器时,勾选“释放弹性云服务器绑定的弹性公网IP地址”。 否 已删除,不可恢复 已删除 删除云服务器时,不勾选“释放弹性云服务器绑定的弹性公网IP地址”。 否 已解绑,不可恢复 已解绑,不会删除 包年/包月 退订云服务器时,退订弹性公网IP。 否 已删除,不可恢复 已删除 退订云服务器时,不退订弹性公网IP。 否 已解绑,不可恢复 已解绑,不会删除 绑定的云硬盘的处理策略如表3所示。 表3 绑定的云硬盘的处理策略 实例计费模式 绑定资源的类型 操作 是否进入回收站 恢复云服务器时处理结果 销毁云服务器时处理结果 按需计费 系统盘 删除云服务器时,勾选“删除弹性云服务器挂载的数据盘”。 是 同步恢复 同步删除 删除云服务器时,不勾选“删除弹性云服务器挂载的数据盘”。 是 同步恢复 同步删除 数据盘(独享) 删除云服务器时,勾选“删除弹性云服务器挂载的数据盘”。 是 同步恢复 同步删除 删除云服务器时,不勾选“删除弹性云服务器挂载的数据盘”。 否 未手动卸载,则保持与云服务器的挂载关系 已卸载,不会删除 数据盘(共享) 删除云服务器时,勾选“删除弹性云服务器挂载的数据盘”。 否(共享盘挂载多个云服务器) 未手动卸载,则保持与云服务器的挂载关系 已卸载,不会删除 是(共享盘仅挂载一个云服务器) 同步恢复 同步删除 删除云服务器时,不勾选“删除弹性云服务器挂载的数据盘”。 否 未手动卸载,则保持与云服务器的挂载关系 已卸载,不会删除 包年/包月 系统盘 退订云服务器。 是 同步恢复 同步删除 数据盘(独享) 退订云服务器,该云服务器挂载了同一订单的独享数据盘。 是 同步恢复 同步删除 退订云服务器,该云服务器挂载了不同订单的独享数据盘。 否 未手动卸载,则保持与云服务器的挂载关系 已卸载,不会删除 数据盘(共享) 退订云服务器,该云服务器挂载了共享数据盘。 否 未手动卸载,则保持与云服务器的挂载关系 已卸载,不会删除 绑定的弹性网卡的处理策略如表4所示。 表4 绑定的弹性网卡的处理策略 绑定资源的类型 操作 是否进入回收站 恢复云服务器时处理结果 销毁云服务器时处理结果 主网卡 删除或退订云服务器。 否 保持与云服务器的绑定关系 同步删除 扩展网卡 删除或退订云服务器。 否 未手动解绑,则保持与云服务器的绑定关系 若手动解绑,删除云服务器时不会删除 若没有手动解绑,则同步删除
  • 计费说明 按需计费或包年/包月ECS进入回收站后,均转为按需计费。ECS进入回收站后关机,其计费原则如下(详细计费标准,请参见计费模式概述): 普通实例关机后,基础资源(包括vCPU、内存、镜像)不计费。 特殊实例(含本地盘的实例、含FPGA卡的实例或裸金属实例)关机后,基础资源(包括vCPU、内存、镜像)仍然正常计费。 ECS的绑定资源(如云硬盘、弹性公网IP),遵循对应资源的计费原则。 已在回收站中的ECS,当账户欠费时会进入宽限期、保留期,受宽限期和保留期的影响,在未达到自定义保存时长时,ECS也可能会被系统提前删除。了解宽限期保留期的具体时长请参见宽限期保留期。 回收站中的ECS恢复后均遵循按需计费模式。若要使用包年/包月,您可以将ECS按需计费变更为包年/包月,具体方法请参见按需转包年/包月。
  • 约束与限制 对于IAM用户,如要使用回收站功能,需要具有如下IAM权限: 查询回收站:ecs:recycleBin:get 更新回收站(开启或关闭操作):ecs:recycleBin:update 更新回收站策略:ecs:recycleBin:updatePolicy 您可以通过IAM用户对应的账号为IAM用户授予上述权限,详细操作,请参见ECS自定义策略。 在以下场景中,删除或退订的ECS不支持放入回收站。 账号处于欠费、受限或冻结的异常状态。 ECS处于“故障”状态。 ECS距离创建时间的天数小于配置的回收站策略天数。 ECS处于保留期。 ECS保留期到期后被系统释放。 已设置“定时删除时间”的ECS不支持放入回收站。 竞价计费型ECS,释放时不放入回收站。 回收站对ECS的资源配额约束: ECS进入回收站后,会占用ECS的资源配额。 专属主机上的ECS进入回收站后,会占用专属主机上的资源配额。 当ECS配额不足时,请及时对回收站中的ECS进行清理。 当ECS作为高阶服务的计算资源使用时,如果满足回收站条件,ECS会进入回收站。这可能会导致高阶服务清理资源失败,请清理回收站中的ECS后,再进行重试。
  • 前提条件 完成云服务器的数据备份。 详细内容,请参见备份弹性云服务器。 若在切换操作系统过程中,要将云服务器的登录鉴权方式由密码改为密钥,请提前创建密钥文件。 详细内容,请参见(推荐)通过管理控制台创建密钥对。 如果您使用私有镜像切换操作系统请参考《 镜像服务 用户指南》提前完成私有镜像的制作。 如果需要指定弹性云服务器的镜像,请提前使用指定弹性云服务器创建私有镜像。 如果需要使用本地的镜像文件,请提前将镜像文件导入并注册为云平台的私有镜像。 如果需要使用其他区域的私有镜像,请提前复制镜像。 如果需要使用其他账号的私有镜像,请提前完成镜像共享。
  • 后续处理 如果切换操作系统前后都是Linux系统,且数据盘设置了开机自动挂载分区。切换操作系统后,数据盘分区挂载信息会丢失,请更新/etc/fstab配置。 在/etc/fstab写入切换后的分区信息。 建议您先备份/etc/fstab文件。 详细操作请参考初始化Linux数据盘(fdisk),设置开机自动挂载磁盘分区。 挂载分区。挂载分区后即可开始使用数据盘。 mount 磁盘分区 挂载目录 执行以下命令,查看挂载结果。 df -TH 如果操作系统切换失败,云服务平台支持重试功能,用户可重新执行3-8,切换弹性云服务器的操作系统。 重试后,如果仍未成功,可直接联系客服,客服会在后台进行人工恢复。
  • 操作场景 切换操作系统是为您的弹性云服务器重新切换一个系统盘。切换完成后弹性云服务器的系统盘ID会发生改变,并删除原有系统盘。 如果弹性云服务器当前使用的操作系统不能满足业务需求(如软件要求的操作系统版本较高),您可以选择切换弹性云服务器的操作系统。 云服务平台支持不同镜像类型(包括公共镜像、私有镜像、共享镜像以及市场镜像)与不同操作系统之间的互相切换。您可以将现有的操作系统切换为不同镜像类型的操作系统。
  • 约束与限制 切换操作系统操作预计需等待10~20分钟。切换操作系统过程中,弹性云服务器会显示任务状态为“切换操作系统中”。 切换操作系统完成后的几分钟,系统正在注入密码或密钥信息,在此期间请勿对云服务器执行其他操作,避免密码或密钥信息注入失败导致云服务器无法登录。 待切换操作系统的弹性云服务器需挂载有系统盘。 “包年/包月”方式购买的弹性云服务器切换操作系统时,由于所选镜像不同,当前云服务器的系统盘容量可能不足,不支持切换后的镜像使用。此时,需先卸载系统盘并进行扩容,然后再重新切换操作系统。 “包年/包月”方式购买的弹性云服务器切换操作系统时,支持如下场景: 支持Linux操作系统之间互相切换。 支持Linux操作系统与部分云市场Windows操作系统互相切换。 支持部分云市场Windows操作系统不同版本之间互相切换。 “包年/包月”方式购买的弹性云服务器,除了部分云市场Windows操作系统之外,仅支持由免费的操作系统切换至免费的操作系统。 使用源镜像为市场镜像(除了部分云市场Windows镜像)的私有镜像创建,且购买方式为“包年/包月”的云服务器不支持切换操作系统 。 仅中国大陆区域的“包年/包月”方式购买的弹性云服务器支持“Linux操作系统与部分云市场Windows操作系统互相切换”和“部分云市场Windows操作系统不同版本之间互相切换”这两个场景。 支持的区域包括:华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、华南-深圳、西南-贵阳一。 云硬盘的配额需大于0。 不支持更换系统盘的磁盘类型。 H2型弹性云服务器不支持操作系统的切换功能。 不支持使用ISO文件创建的ISO镜像切换操作系统,必须完成操作系统和驱动安装将ISO镜像做成系统盘镜像后才能使用。 不支持BIOS启动方式与UEFI启动方式的操作系统互相切换。 不支持x86架构的弹性云服务器切换为鲲鹏架构类型的操作系统,也不支持鲲鹏架构的弹性云服务器切换到x86架构类型的操作系统。
  • 切换须知 切换操作系统后,弹性云服务器的原操作系统和系统盘均不再保留,您的业务运行环境也需要在新的操作系统中重新部署,可能造成较长时间的业务中断,因此,在进行操作前,请仔细阅读切换须知并谨慎操作。 表1 切换须知 资源及环境 切换操作系统后影响 操作系统 不保留原操作系统。 当进行不同操作系统间的切换时: Windows系统切换为Linux系统:需安装读写Windows系统的NTFS分区工具,例如NTFS-3G等。 Linux系统切换为Windows系统:需安装可以识别ext3、ext4等分区的识别软件,例如Ext2Read、Ext2Fsd等。 说明: 当Linux系统中存在LVM分区时,切换为Windows系统后可能会导致LVM逻辑分区无法识别。因此,不建议您将Linux系统更换为Windows系统。 实例规格 不变。 系统盘 由于所选镜像不同,系统盘的容量可能会增大。 系统盘磁盘类型不变,系统盘ID变化。 删除原系统盘,并清除系统盘数据,包括系统盘上的所有分区数据和创建的所有快照。 请提前做好数据备份。详细内容,请参考备份弹性云服务器。 数据盘 不影响数据盘数据。 IP地址和MAC地址 不变。 个性化设置(如DNS、主机名等) 个性化设置会被重置,需重新配置。 重新配置云服务器DNS信息请参考:怎样配置弹性云服务器的DNS和NTP信息? 重新配置主机名请参考:怎样使修改的静态主机名永久生效? 运行状态 自动开机。 本地保存的RDP文件 对于Windows操作系统的云服务器,如果切换操作系统时设置了新密码,则本地保存的RDP文件会失效,需重新下载RDP文件登录云服务器。 业务运行环境 需要在新的系统中重新部署。
  • 错误码 错误码 错误信息 描述 处理措施 01 Missing necessary argument. 必要参数缺失 请您对命令参数进行检查 02 Invalid argument provided. 无效参数 请您对命令参数进行检查 03 File operation failure. 文件操作错误 请您检查目标文件或目录是否存在 04 Ioctl get sandbox capacity failure. Ioctl获取sandbox capacity错误 请您联系华为云技术支撑人员帮您处理 05 Ioctl define sandbox failure. Ioctl定义sandbox错误 请您联系华为云技术支撑人员帮您处理 06 Invalid parameters provided in configuration file. 配置文件中存在无效参数 请您检查对应配置文件 07 Missing necessary parameters in configuration file. 配置文件中缺少必要参数 请您检查对应配置文件 08 Mmap memory failure. Mmap内存错误 请您联系华为云技术支撑人员帮您处理 09 Ioctl add memory failure. Ioctl增加内存错误 请您联系华为云技术支撑人员帮您处理 10 Load image failure because provided memory is too small. 加载镜像错误,可能是因为设置的内存大小不够 请您在启动QingTian Enclave时,增加内存参数设置 11 Ioctl add cpu failure. Ioctl增加vcpu错误 请您联系华为云技术支撑人员帮您处理 12 Lock acquire failure. 请求锁失败 请您检查qt CLI日志信息,查看对应锁文件权限是否正常 13 Socket initialization failure. Socket初始化失败 请您联系华为云技术支撑人员帮您处理 14 Socket binding failure. Socket绑定错误 请您联系华为云技术支撑人员帮您处理 15 Socket listen failure. Socket监听错误 请您联系华为云技术支撑人员帮您处理 16 Socket accept failure. Socket执行接收错误 请您联系华为云技术支撑人员帮您处理 17 Write heartbeat to the enclave failure. 给QingTian Enclave写入心跳信息出错 请您联系华为云技术支撑人员帮您处理 18 Read heartbeat from the enclave failure. 读取QingTian Enclave心跳信息出错 请您联系华为云技术支撑人员帮您处理 19 Ioctl start an enclave failure. Ioctl启动QingTian Enclave失败 请您联系华为云技术支撑人员帮您处理 20 Wait heartbeat timeout. 等待心跳信息超时 请您在启动QingTian Enclave时,增加内存参数配置;如未能解决,请您联系华为云技术支撑人员帮您处理 21 Get json print object failure. 获取json打印对象失败 请您检查cjson库是否正常 22 Write enclave's configuration file failure. 生成QingTian Enclave配置文件失败 请您查看qt CLI日志信息,排查相关文件权限;如未能解决,请您联系华为云技术支撑人员帮您处理 23 Socket connection failure Socket连接错误 请您联系华为云技术支撑人员帮您处理 24 Write cmd to the enclave server failure. 向QingTian Enclave后台服务写入命令失败 请您联系华为云技术支撑人员帮您处理 25 Read message from the enclave server failure. 获取QingTian Enclave后台服务信息失败 请您联系华为云技术支撑人员帮您处理 26 Create cjson object failure. 创建cjson对象失败 请您检查cjson库是否正常 27 Create cjson array failure. 创建cjson数组失败 请您检查cjson库是否正常 28 The required enclave is not running. 被请求的QingTian Enclave实例并没有在运行 请您使用qt enclave query命令查看目前正在运行的QingTian Enclave 29 Invalid enclave pid. 无效的Enclave PID 请您联系华为云技术支撑人员帮您处理 30 Add number into cjson object failure. 向cjson打印对象中增加数字失败 请您检查cjson库是否正常 31 Add string into cjson object failure. 向cjson打印对象中增加字符串失败 请您检查cjson库是否正常 32 The required enclave is not running in the debug mode. 被请求的QingTian Enclave实例没有运行在debug模式下 请您使用qt enclave query 查询该QingTian Enclave运行模式 33 Enclave console read failure. QingTian Enclave console命令读取失败 请您联系华为云技术支撑人员帮您处理 34 Write img header failure. 创建镜像时,写入镜像头文件失败 请您联系华为云技术支撑人员帮您处理 35 Write cmdline failure. 创建镜像时,写入cmdline失败 请您联系华为云技术支撑人员帮您处理 36 Write kernel failure. 创建镜像时,写入kernel失败 请您联系华为云技术支撑人员帮您处理 37 Write initrd failure. 创建镜像时,写入initrd失败 请您联系华为云技术支撑人员帮您处理 38 Write certificate failure. 创建镜像时,写入证书失败 请您联系华为云技术支撑人员帮您处理 39 Get pcr failure. 获取PCR值失败 请您联系华为云技术支撑人员帮您处理 40 Add signature failure. 创建镜像时,对镜像签名出错 请您联系华为云技术支撑人员帮您处理 41 Check enclave image info failure while building an eif file. 构建eif镜像时检查到enclave镜像信息异常 请您联系华为云技术支撑人员帮您处理 42 The required enclave is in maintenance state. 被请求的QingTian Enclave实例正处于维护阶段 请您联系华为云技术支撑人员帮您处理 43 The cid has already been used. cid已经在使用中 请您重新指定未在使用中的cid 父主题: QingTian Enclave管理
  • 本地使用Linux操作系统 如果您本地使用Linux操作系统登录Linux弹性云服务器,可以按照下面方式登录。下面步骤以私钥文件是kp-123.pem为例进行介绍。 在您的linux计算机的命令行中执行如下命令,变更权限。 chmod 400 /path/kp-123.pem 上述命令的path为密钥文件的存放路径。 执行如下命令,登录弹性云服务器。 ssh -i /path/kp-123.pem 默认用户名@弹性公网IP 假设Linux弹性云服务器的默认用户名是root,弹性公网IP为123.123.123.123,则命令如下: ssh -i /path/kp-123.pem root@123.123.123.123 path为密钥文件的存放路径。 弹性公网IP地址为弹性云服务器绑定的弹性公网IP地址。
  • 重装须知 重装操作系统后弹性云服务器IP地址和MAC地址不发生改变。 重装操作系统会清除系统盘数据,包括系统盘上的系统分区和所有其它分区,请做好数据备份。 重装操作系统不影响数据盘数据。 重装操作系统后的几分钟,系统正在注入密码或密钥信息,在此期间请勿对云服务器执行其他操作,避免密码或密钥信息注入失败导致云服务器无法登录。 Windows操作系统云服务器,如果重装操作系统时设置了新密码,本地保存的RDP文件已失效,请重新下载RDP文件登录云服务器。
  • 系统PCR PCR 度量内容 备注 PCR0 QingTian Enclave镜像文件 QingTian Enclave镜像文件本身,不包括证书与签名信息 PCR8 QingTian Enclave镜像文件签名证书 QingTian Enclave镜像文件的签名证书 当前QingTian Enclave提供的度量值支持PCR0和PCR8,后续会进行扩展。 PCR0是对QingTian Enclave镜像文件的度量值,在镜像制作完成时,PCR0的值就是确定的。以下是PCR0实例: EXTEND_PCR: index: 0 EXTEND_PCR: data: 0d1ae7330f437ee563178df30a7c7b7634125d31cac14f6784933db5e90080008438b38fdbb39c886ffe0586ab099b56 EXTEND_PCR res: data: b8c59692da8a5bcb739a83d15a0ceca670bd78da06cb2250ec70548f72254e674419e9888db9c0364a9b88dd58017a62 PCR8是对QingTian Enclave镜像文件的签名证书的度量值,用户可以选择用自己的证书和私钥对镜像文件进行签名。只有当镜像文件使用了签名证书和私钥进行签名,才会有对应的PCR8。使用PCR8可以确认是镜像是通过特定的签名证书来进行签名的,即使镜像文件改变,只要指定的签名证书不变,PCR8就不会变化。以下是PCR8实例: EXTEND_PCR: index: 8 EXTEND_PCR: data: c5b3e075e00c261e7fc364f1541067b2a42d4b793225ab10e5cfb8eaca31b3d598af9dd2e491828c2569a9953401abcb EXTEND_PCR res: data: 4f8b066ce5ac24150612ba9a55bbb9211f626152ada40ede160f4d7ecbfa214c2a549181f6611a3d16a12ec88a577a01
  • 后续处理 系统支持从本地拷贝命令行到弹性云服务器,实现本地数据与弹性云服务器之间的单向复制、粘贴功能,方法如下: 使用VNC方式成功登录弹性云服务器。 单击页面上方的“复制粘贴”。 图8 复制粘贴 使用快捷键Ctrl+C,复制本地计算机的数据。 使用快捷键Ctrl+V,将本地数据粘贴至“复制粘贴”窗口。 单击“发送”。 将复制的数据发送至命令行窗口。 对于使用图形化界面的Linux弹性云服务器,在使用VNC窗口提供的“复制粘贴”功能时,会小概率出现数据丢失的情况。这是由于弹性云服务器CPU核数过低,图形化界面占用较多CPU资源导致。此时,建议您每次发送的字符数不超过5个,或者从图形化界面切换至命令行界面(也称“文本界面”),然后再使用“复制粘贴”功能。
  • 使用MSTSC方式登录Windows弹性云服务器 本地主机为Windows操作系统,那么可以使用Windows自带的远程桌面连接工具MSTSC登录Windows云服务器。 以下演示了使用MSTSC方式登录Windows 2012操作系统云服务器的操作步骤。 图1 MSTSC方式登录云服务器 详细操作步骤如下: 在本地主机单击“开始”菜单。 在“搜索程序和文件”中,输入“mstsc”,单击mstsc打开远程桌面连接工具。 在“远程桌面连接”的对话框中,单击“选项”。 图2 显示选项 输入待登录的云服务器的弹性公网IP和用户名,默认为Administrator。 如需再次登录时不再重复输入用户名和密码,可勾选“允许我保存凭据”。 图3 远程桌面链接 (可选)如需在远程会话中使用本地主机的资源,请单击“本地资源”选项卡完成如下配置。 如需从本地主机复制到云服务器中,请勾选“剪贴板”。 图4 勾选剪贴板 如需从本地主机复制文件到云服务器中,单击“详细信息”,勾选相应的磁盘。 图5 勾选驱动器 (可选)如需调整远程桌面窗口的大小,可以选择“显示”选项卡,再调整窗口大小。 图6 调整窗口大小 单击“确定”,根据提示输入密码,登录云服务器。 为安全起见,首次登录云服务器,需更改密码。 (可选)通过远程桌面连接(Remote Desktop Protocol,RDP)方式登录云服务器后,如果需要使用RDP提供的“剪切板”功能,将本地的大文件(文件大小超过2GB)复制粘贴至远端的Windows云服务器中,由于Windows系统的限制,会导致操作失败。 具体的解决方法,请参考使用远程桌面链接方式复制文件。
  • 前提条件 弹性云服务器状态为“运行中”。 如果弹性云服务器采用密钥方式鉴权,已获取Windows弹性云服务器的密码,获取方式请参见获取Windows弹性云服务器的密码。 弹性云服务器已经绑定弹性公网IP,绑定方式请参见绑定弹性公网IP。 使用MSTSC方式通过内网登录云服务器时可以不绑定弹性公网IP,例如VPN、云专线等内网网络连通场景。 所在安全组入方向已开放3389端口,配置方式请参见配置安全组规则。 使用的登录工具与待登录的弹性云服务器之间网络连通。例如,默认的3389端口没有被防火墙屏蔽。 弹性云服务器开启远程桌面协议RDP(Remote Desktop Protocol)。使用公共镜像创建的弹性云服务器默认已打开RDP。打开RDP方法请参考开启远程桌面协议RDP。
  • 操作步骤 如果本地主机为Linux操作系统,您可以使用远程连接工具(例如rdesktop)连接Windows实例。 执行以下命令,检查云服务器是否安装rdesktop。 rdesktop 如果提示“command not found”说明未安装rdesktop。请参考rdesktop工具官方获取rdesktop安装包安装rdesktop。 输入以下命令登录云服务器。 rdesktop -u 用户名 -p 密码 -g 分辨率 弹性公网IP地址 例如:rdesktop -u administrator -p password -g 1024*720 121.xx.xx.xxx 表1 远程登录命令参数 参数 说明 -u 用户名,Windows实例默认用户名是Administrator。 -p 登录Windows实例的密码。 -f 默认全屏,需要用 Ctrl+Alt+Enter 组合键进行全屏模式切换。 -g 分辨率,中间用星号(*)连接,可省略,省略后默认为全屏显示。例如:1024*720 弹性公网IP地址 需要远程连接的服务器IP地址。需要替换为您的Windows实例的弹性公网IP地址。
  • 前提条件 云服务器状态为“运行中”。 云服务器已经绑定弹性公网IP。 使用MSTSC方式通过内网登录云服务器时可以不绑定弹性公网IP,例如VPN、云专线等内网网络连通场景。 所在安全组入方向已开放3389端口。 使用的登录工具与待登录的云服务器之间网络连通。例如,默认的3389端口没有被防火墙屏蔽。 云服务器开启远程桌面协议RDP(Remote Desktop Protocol)。使用公共镜像创建的云服务器默认已打开RDP。打开RDP方法请参考开启远程桌面协议RDP。
  • ECS实例开启SELinux后,为什么启动qt-enclave-env服务会失败? 问题现象:ECS实例开启SELinux后,启动qt-enclave-env服务失败,查看qt-enclave-env服务日志,失败的日志显示“insmod virtio-qtbox.ko Permission denied”。 问题原因:SELinux通过强制访问控制、细粒度的访问控制、策略强制、类型强制、安全上下文和审计功能等特性,提供了强大的安全机制,可以帮助保护Linux 系统免受恶意攻击和数据泄露的威胁。因此,qt-enclave-env服务中无法直接调用insmod virtio-qtbox.ko命令插入内核模块。 解决方案:请您通过手动执行命令insmod /opt/qingtian/enclave/virtio-qtbox.ko,或者关闭SELinux特性,并重启qt-enclave-env服务规避该问题。
  • 什么是Vsock?我该如何使用Vsock与QingTian Enclave进行通信? Vsock是一种套接字接口,由上下文 ID (CID) 和端口号定义,上下文ID与TCP/IP连接中的IP地址相同。 Vsock使用标准、定义明确的POSIX套接字API(例如连接、侦听、接受)与QingTian Enclave进行通信。您可以开发基于vsock与QingTia Enclave通信的程序,详细操作请参考Linux系统上QingTian Enclave应用的开发。另外应用程序也可以借助代理,通过vsock发送HTTP请求。
  • QingTian Enclave是如何保证内存和CPU隔离的? QingTian Enclave采用经过验证的基于CPU的隔离技术,并结合QingTian架构的独特设计和基于华为自研智能网卡的可信根证书,共同实现隔离。由华为云开发和设计的极简QingTian Hypervisor可以将服务器的物理资源进行分区。相比于其他虚拟化技术,QingTian Hypervisor裁剪了所有不必要的功能。QingTian Enclave扩展了QingTian Hypervisor的隔离功能,保护了分配给QingTian Enclave的CPU和内存,保证其与ECS实例的CPU和内存资源相隔离,为您提供一个完全隔离的可执行环境。
  • 什么是证明(Attestation)文档? 证明文档用于证明QingTian Enclave实例的可信度量结果。证明文档由QingTian Hypervisor生成,文档内容包括PCR(Platform configuration registers,平台配置寄存器)列表、QingTian Attestation PKI(Public Key Infrastructure,公钥基础设施)证书链、密码算法声明以及Enclave应用自定义数据。 证明文档由华为云QingTian Attestation PKI签署。华为云KMS(Key management Service,密钥管理服务)内置了对QingTian Enclave证明的支持。通过使用QingTian Enclave SDK中包含的华为云KMS API,您可以在QingTian Enclave实例中基于QingTian Enclave证明来执行华为云KMS操作,比如解密、生成随机数和加密等操作。华为云KMS服务提取来自QingTian Enclave的证明文档并根据预设的华为云IAM(Identity and Access Management, 统一身份认证 服务)授权策略对其进行访问权限控制。
  • QingTian Enclave证明文件的信任根源是什么?该如何验证它? 证明文档由华为云QingTian Attestation PKI (Public Key Infrastructure)签署。华为云QingTian根证书可以从https://qingtian-enclave.obs.myhuaweicloud.com/huawei_qingtian-enclaves_root-G1.zip下载获取。文档签名验证方法请参考文档签名验证。
  • 云服务器备份与云硬盘备份 目前弹性云服务器备份可以通过“云服务器备份”和“云硬盘备份”功能实现: 云服务器备份(推荐):如果是对弹性云服务器中的所有云硬盘(系统盘和数据盘)进行备份,推荐使用云服务器备份功能,同时对所有云硬盘进行备份,避免因备份创建时间差带来的数据不一致问题。 云硬盘备份:如果对指定的单个或多个云硬盘(系统盘或数据盘)进行备份,推荐使用云硬盘备份功能,在保证数据安全的同时降低备份成本。 表1 云服务器备份与云硬盘备份 对比维度 云服务器备份 云硬盘备份 备份/恢复对象 服务器中的所有云硬盘(系统盘和数据盘)。 指定的单个或多个磁盘(系统盘或数据盘)。 推荐场景 需要对整个云服务器进行保护。 系统盘没有个人数据,因而只需要对部分的数据盘进行备份。 优势 备份的同一个服务器下的所有磁盘数据具有一致性,即同时对所有云硬盘进行备份,不存在因备份创建时间差带来的数据不一致问题。 保证数据安全的同时降低备份成本。
  • 端侧设备开发全流程 ISDP+开发中心提供了应用、大屏、移动端、端侧设备四大业务场景应用的开发,本节介绍端侧设备场景开发的全流程。 图1 端侧设备开发流程图 序号 步骤 说明 1 订购资产(可选) 在ISDP+开发中心订购资产并进行部署,可以基于已有的资产进行端侧设备应用的开发。 具体操作请参见订购资产。 如果不需要订购资产,可跳过该步骤。 2 开发端侧设备应用 按照ISDP+的标准开发应用。 所有方法涉及依赖均基于ISDP+公共能力依赖库提供引用依赖。 agencyPublicLibrary-release.aar为ISDP+提供的公共能力库,包含了IHWSDKHandler接口,日志记录方法等文件。 建议厂商在调试自开发的SDK时以implementation或api方式依赖agencyPublicLibrary,提供SDK时以compileOnly方式依赖agencyPublicLibrary。 具体操作请参见开发。 3 测试端侧设备应用 开发验证后提供aar形式的SDK,代码经华为可信与安全验证后由华为集成打包。 具体操作请参见测试。 4 发布端侧设备应用 以APK的形式将端侧设备应用发送厂家完成软硬件集成后提供系统刷机包。 具体操作请参见发布。 5 接入设备到ISDP+ 将端侧设备进入到ISDP+,通过ISDP+对设备进行管理。 具体操作请参见集成。 父主题: 快速入门
  • 发布项目 发布项目包到“我的仓库”,可在同租户其他环境(沙箱环境、生产环境)进行安装测试、运行;其他租户可以通过下载项目包的方法进行安装。 在“DMAX”界面项目列表下,如图10所示,单击需要发布的业务大屏项目上的,发布项目包。 图10 发布项目包 执行该步操作前,请确保项目中页面均发布。 如图11所示,弹出的“项目发布”页面,单击“新建版本”,弹出“新建版本”页面。 图11 项目发布 如图12所示,设置要发布的版本号,勾选要发布的页面,单击“确定”。 图12 新建版本 导出项目包。 如图13所示,鼠标悬浮在需要导出的版本上,单击,下载项目包。 图13 下载项目包 如图14所示,“运行容器”保持默认,即“AppCube DMAX”,单击“下载”。 图14 下载
  • 导入项目包 登录ISDP+开发中心。 如图6所示,选择开发场景为“大屏”,单击右侧区域的“开发”,进入到配置的AppCube大屏开发环境。 图6 进入大屏开发环境 如果使用系统默认提供开发环境,进入到默认环境的业务大屏。 如果使用配置的开发环境,进入到配置的开发地址,配置的地址不是直接进入业务大屏,参见下图进入业务大屏。 如图7所示,单击“导入项目包”。 图7 导入项目包 选择下载的项目包。 安装成功后,界面会显示“安装包成功”,且可以看到安装的包,如图8所示。 单击该项目,即可进入该项目开发页面。 图8 安装成功
共100000条