华为云用户手册

实现不同安全组的实例内网网络互通 同一个VPC内，位于不同安全组内的实例网络不通。如果您需要在同一个VPC内的实例之间共享数据，比如安全组sg-A内的云服务器访问安全组sg-B内的MySQL数据库，您需要通过在安全组sg-B中添加一条入方向规则，允许来自安全组sg-A内云服务器的内网请求进入。 表8 实现不同安全组的实例网络互通 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sg-A 如果您通过中间网络实例在不同子网的实例之间转发流量，如安全组应用示例中的示例二，子网Subnet-A的E CS 通过虚拟IP和子网Subnet-B的ECS互相通信。由于存在中间网络实例，此时安全组规则的源地址选择实例所在的安全组时，无法放通中间网络实例转发的流量，源地址必须设置成中间网络实例的私有IP地址或者子网网段。

使用须知 在配置安全组规则之前，您需要先了解以下信息： 不同安全组之间的实例默认网络隔离，无法互相访问。 安全组默认拒绝所有来自外部的请求，即本安全组内的实例网络互通，外部无法访问安全组内的实例。 您需要遵循白名单原则添加安全组入方向规则，允许来自外部的特定请求访问安全组内的实例。 安全组的出方向规则一般默认全部放通，即允许安全组内的实例访问外部。 如果出方向规则被删除，将会导致安全组内实例无法正常访问外部，您可以参考表1重新添加规则。 表1 安全组默认出方向规则 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 全部 0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。 出方向 1 允许 IPv6 全部 ::/0 针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

通过本地服务器远程登录云服务器 安全组默认拒绝所有来自外部的请求，如果您需要通过本地服务器远程登录安全组内的云服务器，那么需要根据您的云服务器操作系统类型，在安全组入方向添加对应的规则。 通过SSH远程登录Linux云服务器，需要放通SSH(22)端口，请参见表2。 通过RDP远程登录Windows云服务器，需要放通RDP(3389)端口，请参见表3。 表2 通过SSH远程登录Linux云服务器 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 22 IP地址：0.0.0.0/0 表3 通过RDP远程登录Windows云服务器 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3389 IP地址：0.0.0.0/0 源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器，为了确保安全，建议您遵循最小原则，根据实际情况将源IP设置为特定的IP地址，配置示例请参见表4。 表4 通过特定IP地址远程登录云服务器 云服务器类型 方向 优先级 策略 类型 协议端口 源地址 Linux云服务器 入方向 1 允许 IPv4 自定义TCP: 22 IP地址：192.168.0.0/24 Windows云服务器 入方向 1 允许 IPv4 自定义TCP: 3389 IP地址：10.10.0.0/24

上架流程 1、成为云商店商家； 2、进入卖家中心商品发布页面，选择接入类型为“License”； 3、填写商品信息，可参考《License商品发布信息填写说明》； 4、提交商品发布申请； 5、云商店运营经理审核通过； 6、商品上架成功。 如需发布软件包部署交付方式的License类商品，需先发布应用资产，具体操作请参考《License类资产关联自动部署模板和发布》。 联营License类商品接入可参考演示视频《License类商品接入视频指导（2.0）》。

如果我购买的CDN流量包是中国大陆境外流量包，没有购买中国大陆流量包，那么中国大陆有用户访问我的 域名 ，使用的是哪里的流量？ 中国大陆和中国大陆境外的流量包是分开计费的。 如果您只购买了中国大陆境外的流量包，中国大陆境内用户访问您的加速域名产生的流量费用是按需收费，即：您的用户通过CDN节点访问使用了多少流量，CDN就收取多少流量的费用。具体收费额度，详见价格计算器。 如果您只购买了中国大陆的流量包，那么中国大陆境外用户访问您的加速域名产生的流量费用，也是按需收费，具体规则同上。

CDN受到恶意攻击会无限扣费吗？ 遭受攻击消耗的流量或带宽会按CDN的计费规则计费，详见计费项。 当域名遭受攻击影响到CDN其他用户或者CDN自身安全时，CDN封禁加速域名，最终域名状态调整为“停用”，停止 CDN加速 服务。域名停用后将无法正常访问，但域名配置信息仍会保留，待攻击停止后可联系客服申请解除封禁。 应对办法详见下表。 应对办法 说明 配置访问控制 给域名配置访问控制功能（包括Referer防盗链、IP黑白名单、URL鉴权等），以避免产生不必要的流量带宽消耗。详细设置请参见访问控制。 配置CDN联动 CES 配置CDN联动CES功能，通过对接CES（ 云监控服务 ）实现实时查看账号下加速域名的基础数据（流量、带宽、状态码等）、设置告警等功能，当监控指标触发您设置的告警条件时，会以邮箱、短信等方式发送告警，方便您及时发现潜在的风险。 配置用量封顶 配置用量封顶功能，当用户的访问带宽达到设置的值后，CDN会停用您的加速域名，以免产生过高的账单。 配置请求限速 配置请求限速功能，当单个请求达到限速条件后终端用户的访问速度会被限制，一定程度上减少突发高带宽风险。 配置费用预警 开通费用预警功能，当账户可用额度低于一定金额时，系统会发送短信提醒。 为了确保统计数据的完整性和账单的准确性，CDN产品账单生成时间会存在延时，详见基础服务计费。因此实际计费时间晚于对应的CDN资源消耗时间，无法通过账单来实时反馈资源消费情况，这是由于CDN产品自身的分布式节点特性导致，也是业界通用的处理方法。

计费详情 规格：500GB-1PB多种规格。 购买时长：即有效期，1个月、6个月或1年。 进制换算规则：1GB=1024MB。 付费模式：一次性支付，购买后立即生效，不支持退订。 抵扣方式：优先扣除流量包里的流量，超出部分将扣除账户余额，已在流量包中扣除的流量不会再计入流量计费的阶梯中。 计费项：抵扣用户访问CDN节点产生的流量，可同时抵扣全站加速使用的流量，不可抵扣全站加速请求数费用。 计费周期：按小时结算，流量包扣费有延时，当前使用的流量会在4个小时后从流量包中扣除。 使用范围：CDN流量包分中国大陆、中国大陆境外区域，各区域单独计费，不能相互抵扣，如果您开通了海外分区计费，中国大陆境外流量包将无法抵扣海外各分区产生的流量。

使用说明 仅流量计费方式才能使用流量包抵扣。 如果您开通了全球加速，您需要分别购买中国大陆、中国大陆境外流量包，不同服务范围的流量包不能相互抵扣。 账号下所有服务范围一致的域名共用流量包。 示例：某客户购买了200T的中国大陆全时流量包，账号下有一个域名，服务范围为全球。此流量包可以抵扣中国大陆的节点产生的流量，不可以抵扣中国大陆境外节点产生的流量。抵扣中国大陆境外节点产生的流量需要购买中国大陆境外流量包。 CDN闲时流量包抵扣北京时间00:00~18:00产生的流量。 闲时时段优先扣除闲时流量，闲时流量用尽后扣除全时流量。 购买多个流量包，只叠加流量，不叠加购买时长（有效期），流量包按照到期时间排序，优先使用先到期的流量包 示例：某客户购买了两个中国大陆流量包，分别是： 流量包1：全时流量包，500GB，购买时长（有效期）6个月，生效时间2021/06/06，到期时间2021/12/06。 流量包2：全时流量包，200TB，购买时长（有效期）1年，生效时间2021/07/06，到期时间2022/07/06。 扣费规则：优先扣除流量包1，流量包1用完后扣除流量包2。 流量包到期自动失效，失效后剩余流量将作废，如流量包到期或耗尽，则会自动转为从余额扣费。 流量包仅支持实名认证用户购买，且限本账号使用。 如果从流量计费变更为其他计费方式，流量包将无法抵扣，直至切换回按流量计费后方可使用。 CDN不能与 视频直播 、 视频点播 共用流量包。

域名准入要求及规范 限制项 说明 域名准入条件 中国大陆： 华为账号已完成实名认证。 域名已在工信部备案，且当前备案信息正常可用。 加速域名接入时需通过 内容审核 。 中国大陆境外： 加速域名接入时需通过内容审核。 全球： 已在华为云进行实名认证。 域名已在工信部备案，且当前备案信息正常可用。 加速域名接入时需通过内容审核。 加速域名 域名基础规范： 域名长度不能超过75个字符，支持大小写字母、数字、“-”、“.”。 每个账号最多支持加速100个域名。 加速域名不允许重复添加。 CDN不支持非法网站接入，对于已接入CDN的域名，会进行定期复审，如发现存在违规行为，将立即中止该域名的CDN加速，同时中止该用户名下所有域名的CDN服务。 加速域名处于“停用”或“审核未通过”状态超过120天，CDN平台会启动删除域名流程，平台复核后会删除该域名相关记录。记录删除后如果想要再次使用该域名加速，需要重新添加域名。 如果域名超过180天没有任何访问流量，CDN平台会启动域名停用流程，平台复核后会停用该域名。 欠费及攻击处理规则： 欠费进入保留期后，CDN将停用您的加速域名，删除加速域名的CNAME解析，此时将无法访问域名。 当域名受攻击时，CDN节点会承受攻击流量，不会造成源站被攻击瘫痪。如果攻击流量太大造成节点不能正常服务，CDN会封禁加速域名，最终域名状态调整为“停用”，停止CDN加速服务。因攻击时占用了CDN节点资源，所以会产生相关费用。 泛域名接入规范：支持添加泛域名作为加速域名，如：您在CDN添加泛域名*.test.com作为加速域名，并将*.test.com解析至CDN生成的CNAME域名后，那么您所有*.test.com的次级域名（如a.test.com）都将默认支持CDN加速。泛域名（*.test.com）的三级域名（如b.a.test.com）不会被CDN加速。 A账号添加泛域名后，其他账号不能再添加该泛域名的所有次级域名。 泛域名的所有次级域名的加速都会产生费用，泛域名有多个次级域名时，CDN统计时将泛域名的产生的流量做汇总，不提供单个次级域名的计费数据。 说明： 刷新或预热泛域名缓存时，需要每个子域名单独预热或刷新，示例： 泛域名：*.a.com，子域名：1.a.com、2.a.com、3.a.com。 刷新时需要刷新具体子域名的URL，即输入：http://1.a.com/abc.jpg而不是http://*.a.com/abc.jpg。

内容审核 限制项 说明 内容审核 CDN不支持接入违反相关法律法规的域名，包括但不限于： 涉黄、涉赌、涉毒、涉诈、侵权内容的网站 游戏私服类网站 盗版游戏 / 软件 / 盗版视频网站 P2P类金融网站 彩票类网站 违规医院和药品类网站 网站无法正常访问或内容不含有任何实质信息 说明： 如果您的加速域名含有以上违规的内容，您将自行承担相关风险。 如果发现涉黄、涉赌、涉毒、涉诈等违规行为，CDN将执行域名封禁策略（删除相关加速域名且不允许再次接入，与违规域名使用相同源站的加速域名同样执行域名封禁策略），账号加速域名配额降为0。

源站规范及限制 限制项 说明 源站 源站数量：每个加速域名最多可以添加50个源站。 地址长度：最长不超过250个字符。 源站IP： 使用IP作为源站地址时，CDN节点回源时直接访问该IP地址。 输入的IP地址总数不能超过15个（主源）。 源站域名： 支持设置一个源站域名。 源站域名不能与加速域名相同。 您也可以将“源站域名”设置为对象存储桶域名。 说明： 如果您需要将非华为云服务商的对象存储桶作为您的源站，可以将对象存储桶访问域名作为“源站域名”接入CDN。 不支持私有桶通过源站域名的形式接入CDN。 如果您将对象存储桶作为您的源站，对象存储桶将根据它的收费规则收取回源流量费用。 OBS桶域名：可以选择当前账号下的OBS桶域名或自定义OBS桶域名。使用OBS桶域名作为源站接入CDN，OBS会收取CDN回源的流量费用，回源流量费用将按照公网流出费用进行结算。如果您使用了OBS 3.0及以上版本的桶作为华为云CDN的源站，可以购买OBS回源流量包抵扣回源流量，具体请见CDN加速OBS计费规则。 如果您的OBS私有桶内容不适合为加速域名提供回源数据，请勿将该私有桶设置为源站。 使用自定义OBS桶域名作为源站时，域名必须以.myhuaweicloud.com或.myhuaweicloud.cn结尾。 如果OBS私有桶设置为源站，请开启OBS委托授权，同时勾选“私有桶”选项，否则将会导致回源失败。 说明： 如果您首次使用CDN，添加第一个加速域名时暂不支持OBS私有桶源站。如果您需要添加OBS私有桶为源站，需要先为域名添加其它类型的源站，开启OBS委托授权后再将源站修改为OBS私有桶。 如果您使用自定义OBS私有桶作为源站，您需要为私有桶配置桶策略，配置详见自定义OBS私有桶策略配置。 如果您的OBS桶开启了静态网站托管业务，请在添加加速域名时勾选“静态网站托管”，这样用户访问的时候就不会显示桶中所有文件列表。

如何发挥SFS Turbo文件系统的最大性能？ SFS Turbo文件系统提供了多个IP地址（具体数量参考控制台上可选挂载点）供用户进行挂载，且每个IP地址均可以被多个客户端挂载。 在使用NFS/CIFS协议访问文件系统时，每个客户端仅能与一个服务端节点建立网络连接。在使用域名挂载时，域名会随机映射到后端的一个IP，导致客户端与服务端的网络连接分布不均，从而无法充分利用服务端分布式集群能力。 当客户端数量较少时，如果希望最大限度地利用文件系统性能，一种有效的方法是为每个客户端指定一个不同的服务端IP地址进行挂载。通过这种方式，可以更均匀地分布客户端与服务端的网络连接，从而更有效地利用服务端资源，提高系统性能。 父主题： 其他类

公网地址说明 表1 公网地址 来源 用途 https://flywaydb.org/documentation/learnmore/releaseNotes# flyway的jar包 打印日志 http://www.w3.org/2001/XMLSchema-instance pom registry-cbu.huawei 所有build镜像 preprod-portal-data-cn portal地址 https://res-static.hc-cdn.cn/cloudbu-site/china/zh-cn/solution/5G/xiaotubiao/02@2x.jpg 邮件freemaker模板 邮件背景图 https://res-static.hc-cdn.cn/cloudbu-site/china/zh-cn/solution/5G/xiaotubiao/03@2x.jpg 邮件freemaker模板 邮件背景图 https://www.huaweicloud.com/solution/haydn.html 邮件freemaker模板 解决方案工作台入口 https://support.huaweicloud.com/productdesc-haydncsf/haydncsf_02_0001.html 邮件freemaker模板 解决方案工作台介绍 https://www.huaweicloud.com/declaration/haydncsf.html 邮件freemaker模板 海顿隐私申明 http://www.apache.org/licenses/LICENSE-2.0 开源/第三方软件引入 http://www.ietf.org/rfc/rfc1960.txt 开源/第三方软件引入 http://www.ietf.org/rfc/rfc2254.txt 开源/第三方软件引入 http://www.ietf.org/rfc/rfc2253.txt 开源/第三方软件引入 https://www.ietf.org/rfc/rfc4122.txt 开源/第三方软件引入 http://www.acme.com/bundles 开源/第三方软件引入 proxy.huawei.com 开源/第三方软件引入 工作流bpmn图的xml中使用 www.omg.org 开源/第三方软件引入 工作流bpmn图的xml中使用 http://www.activiti.org 开源/第三方软件引入 工作流bpmn图的xml中使用 http://www.jgraph.com/images/mxgraph.gif 开源/第三方软件引入 http://ns.adobe.com svg中使用 Adobe的一个扩展性规范 www.w3.org svg标准 svg规范使用 console-static.huaweicloud.com/static/home/6.0.0/favicon.ico 框架图标链接 前端框架使用

修订记录(Java SDK) 发布日期 修订记录 2024-06-11 第三十四次正式发布。 使用前须知(Java SDK)章节刷新其他使用前须知。 新增章节本文档是否适用于union SDK？。 2024-04-18 第三十三次正式发布： 新增章节设置对象AccessLabel。 新增章节获取对象AccessLabel。 新增章节删除对象AccessLabel。 2024-01-12 第三十二次正式发布： 设置对象元数据(Java SDK)章节增加接口约束。 2023-12-26 第三十一次正式发布： 优化使用前须知(Java SDK)、Java SDK接口概览(Java SDK)、使用前准备(Java SDK)、下载与安装SDK(Java SDK)、快速入门(Java SDK)、初始化(Java SDK)章节内容。 优化管理对象(Java SDK)、临时授权访问(Java SDK)、多版本控制(Java SDK)、生命周期管理(Java SDK)、跨域资源共享(Java SDK)、设置访问日志(Java SDK)、静态网站托管(Java SDK)、桶标签管理(Java SDK)章节接口功能描述、接口约束及示例代码。 2023-12-15 第三十次正式发布： 优化上传对象(Java SDK)章节接口功能描述、接口约束及示例代码。 优化下载对象(Java SDK)章节接口功能描述、接口约束及示例代码。 2023-11-25 第二十九次正式发布： 优化管理并行文件系统(Java SDK)章节接口功能描述、接口约束及示例代码。 2023-11-20 第二十八次正式发布： 优化桶清单(Java SDK)章节接口功能描述、接口约束及示例代码。 2023-11-14 第二十七次正式发布： 优化管理桶(Java SDK)章节接口功能描述、接口约束及示例代码。 2023-08-26 第二十六次正式发布： 新增章节如何指定Content-SHA256?(Java SDK)。 新增章节为什么SDK源码中包含acs.amazonaws.com关键字？(Java SDK)。 2023-08-24 第二十五次正式发布。 新增章节： 通过Header鉴权访问OBS(Java SDK) 修改章节： 开发环境准备 增加约束与限制内容。 2023-08-10 第二十四次正式发布。 修改章节： 服务端加密(Java SDK) 增加SSE-OBS加密类型说明。 2023-08-07 第二十三次正式发布。 新增章节： 列举并行文件系统内对象 2021-10-15 第二十二次正式发布 修改安装 SDK 说明。 2021-08-30 第二十一次正式发布。 发布 3.21.8 版本。 2021-07-30 第二十次正式发布。 新增章节： 依赖缺失和依赖冲突的解决 2021-06-07 第十九次正式发布。 修改章节： 管理桶策略章节增加桶策略说明。 2020-07-15 第十八次正式发布。 修改章节： 使用URL进行授权访问，修复创建桶示例程序中的BUG。 2020-06-30 第十七次正式发布。 修改章节： 图片处理，新增通过临时授权方式实现图片处理的示例。 创建桶，新增创建多AZ桶的说明。 新增章节： 设置对象元数据 2020-02-11 第十六次正式发布。 新增章节： 如何生成SSE-C方式的加密密钥 SDK是否支持批量上传、下载或者复制对象 2019-12-09 第十五次正式发布。 修改章节： 创建OBS客户端，增加链式方式创建OBS客户端的相关说明。 2019-11-20 第十四次正式发布。 调整以下章节的位置： 示例程序 技术支持渠道 2019-11-11 第十三次正式发布。 新增章节： 管理并行文件系统 2019-07-31 第十二次正式发布。 新增章节： 问题定位(Java SDK) HTTP状态码(Java SDK) 常见问题(Java SDK) 2019-06-28 第十一次正式发布。 修改章节： 示例程序，增加临时访问密钥相关示例代码。 安装SDK，增加gradle配置方式。 2019-03-30 第十次正式发布。 修改章节： 如何使对象可以被匿名用户访问？，优化描述内容。 安装SDK，更新操作步骤。 10.2-OBS服务环境搭建，增加临时访问密钥相关内容。 新增章节： API参考。 2019-03-05 第九次正式发布。 修改章节： “事件通知”各子章节，新增 函数工作流 服务功能的说明及代码样例。 新增章节： SDK的重试机制是什么？ 如何获取桶的静态网站访问地址？ 如何获取对象URL？ 如何快速上传大文件到OBS？ 2019-02-18 第八次正式发布。 修改章节： 使用URL进行授权访问，优化描述内容，增加“下载加密类型的对象”代码样例。 安装SDK，修改方式二的步骤。 2018-10-31 第七次正式发布。 新增章节： 获取上传进度 获取下载进度 修改章节： 配置OBS客户端，新增部分配置参数。 2018-08-31 第六次正式发布。 新增章节： 设置对象生命周期 基于表单上传 2018-06-11 第五次正式发布。 新增章节： 追加上传 修改章节： 日志分析 ，新增开启日志方式。 2018-01-31 第四次正式发布。 调整章节： “快速入门”，新增OBS服务环境搭建、开发环境准备、安装SDK、获取服务地址。 “相关资源”，新增示例程序，移除OBS服务端环境搭建。 “初始化”，移除服务地址。 修改章节： “临时授权访问”章节，修改示例代码。 “设置生命周期规则”章节，修改示例代码。 “查看生命周期规则”章节，修改示例代码。 2017-12-31 第三次正式发布。 新增章节： 图片处理 修改章节： 安装方式，新增Maven安装方式。 生命周期管理，新增对象转换策略特性。 2017-11-30 第二次正式发布。 新增章节： 桶存储类别 断点续传上传 断点续传下载 修改章节： 设置对象属性，新增设置对象存储类别相关内容 2017-10-10 第一次正式发布。

约束与限制 CPH服务对批量控制风险与安全进行如下约束： 目前支持的控制命令： shell：在云手机设备中启动远程交互式shell。 install：将软件包安装到云手机系统。 uninstall：从云手机系统中移除软件包。 push：将文件或者文件夹从本地设备复制到云手机设备上。 控制命令数据和指令不当，会造成云手机故障并无法恢复。 如果需要执行install、push命令，则需要严格按照操作步骤进行设置，并独立构建批量控制APK数据桶与其他数据隔离。 如果需要执行install、push命令，文件必须为tar格式，压缩的文件路径按照AOSP（Android Open Source Project）的目录结构放置。 同一台云手机服务器，文件推送任务耗时与文件推送任务个数成正比。

功能介绍 云手机performance系统服务，自动清理后台应用进程，防止第三方应用后台自动拉起和相互唤醒，对开机速度、手机OOM、CPU高占用等现象有显著的提升和改善。 performance低内存查杀策略 当系统剩余空闲内存低于某阈值，将根据剩余内存档位，从高到低选择杀不同优先级的进程。 策略 触发条件 清理进程 High档 总内存剩余25% 空进程 缓存进程 Middle档 总内存剩余20% 已使用过且不可感知类进程 （不可见、无悬浮窗、无音频焦点等） Low档 总内存剩余15% 上一个使用过的Activity进程 上一个使用过的Provider进程 后台服务进程 Critical档 总内存剩余200MB 根据内存占用从大到小查杀所有应用进程，直到剩余总内存高于200MB为止

购买云手机服务器 购买服务器后，系统会自动创建好云手机，因此只需要购买服务器即可。 在云手机服务器控制台左上角，选择一个靠近您业务的区域，可减少网络时延。 图3 选择区域 选择左侧导航栏的“服务器管理”，单击右上角的“购买云手机服务器”。 在“基础配置”页面，根据实际场景选择服务器类型、实例规格以及手机镜像，单击“下一步：网络配置”。 本章节旨在帮助您快速购买一个服务器实例，因此不会涵盖所有可能的选项。详细的参数说明，请参见“购买云手机实例”。 实例规格中有一项参数为“手机开数”，表示购买一台服务器时所对应的云手机数量。例如：手机开数为15，表示这台服务器对应15台云手机。 在“网络配置”页面，选择默认的“按流量计费”即可，单击“下一步：高级配置”。 图4 网络配置 在“高级配置”页面，选择准备工作中创建好的密钥对，并根据需要设置应用端口。 图5 高级配置 密钥对：用于鉴权，与手机建立SSH隧道时使用。 如果之前没有创建密钥对，也可以单击“新建密钥对”，跳转至云服务器控制台进行新建。 应用端口：云手机默认仅有ADB端口对外开放，您可以在购买服务器时设置额外的最多5个端口对外开放、以及是否允许公网访问。 单击“下一步：确认订单”，确认配置无误后，设置购买时长与购买数量，单击“立即购买”。 付款后等待服务器创建成功。

修订记录 发布日期 修订记录 2024-06-11 第十八次正式发布。 本次更新说明如下： SFS Turbo支持CIFS协议。 2024-05-28 第十七次正式发布。 本次更新说明如下： 增加通用文件系统的企业项目相关内容。 刷新通用文件系统权限管理相关内容。 2023-07-27 第十六次正式发布。 本次更新说明如下： 约束与限制，更新并添加相关约束限制说明。 2023-04-19 第十五次正式发布。 本次更新说明如下： 增加SFS Turbo文件系统的“最大带宽、最大IOPS、容量”参数说明。 2022-05-25 第十四次正式发布。 本次更新说明如下： 增加SFS Turbo更多规格文件系统相关说明。 2020-12-30 第十三次正式发布。 本次更新说明如下： 增加SFS Turbo支持按需转包周期说明。 2020-09-14 第十二次正式发布。 本次更新说明如下： 将“SFS文件系统”修改为“SFS容量型文件系统”。 2020-08-07 第十一次正式发布。 本次更新说明如下： 在“计费说明”章节增加欠费说明。 2020-04-01 第十次正式发布。 本次更新说明如下： 增加“计费说明”章节。 删除基于策略的访问控制公测的相关内容。 2020-01-09 第九次正式发布。 本次更新说明如下： 增加“Windows系统的云服务器不支持挂载SFS Turbo文件系统”的说明。 2019-06-20 第八次正式发布。 本次更新说明如下： 修改“文件系统类型”章节内容。 2019-05-30 第七次正式发布。 本次更新说明如下： 新增“区域和可用区”章节。 优化“文件系统类型”章节内容。 优化“约束与限制”章节内容。 增加“权限管理”章节。 2019-03-30 第六次正式发布。 本次更新说明如下： “用户权限”章节内容合入到“访问弹性文件服务”章节中。 删除“ 定价 ”章节。 新增SFS Turbo带宽型文件系统类型，“文件系统类型”章节增加相关描述。 新增原用户指南中的“支持文件系统挂载的操作系统”章节。 2019-03-01 第五次正式发布。 本次更新说明如下： 优化“与其他服务的关系”章节内容。 “常用概念”章节增加企业项目概念说明。 2019-01-30 第四次正式发布。 本次更新说明如下： 调整大纲结构。 调整“文件系统类型”章节内容。 2018-12-07 第三次正式发布。 本次更新说明如下： 支持CIFS协议文件系统，增加相关说明。 2018-11-02 第二次正式发布。 本次更新说明如下： 新增SFS Turbo新类型文件系统相关说明。 新增支持文件系统加密相关说明。 新增支持对文件系统VPC进行管理的说明。 新增支持使用Windows挂载文件系统的说明。 2018-05-25 第一次正式发布。

MTD与SA的区别 态势感知 （Situation Awareness，简称SA）是华为云可视化 威胁检测 和分析的安全管理平台。着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，帮助企业构建全局安全体系，呈现全局安全威胁攻击态势。 威胁检测服务 （Managed Threat Detection，简称MTD）主要检测云服务日志侧的潜在威胁，利用服务自身的AI智能引擎、威胁情报和规则基线检测模型实现对各类云服务日志的威胁检测，满足对检测到的威胁进行告警，对告警结果进行统计和展示。 表1 MTD与SA主要区别 功能项 威胁检测服务（MTD） 态势感知（SA） 支持产品/服务 统一身份认证 服务（ IAM ） 云解析服务（DNS） 云审计 服务（ CTS ） 虚拟私有云服务（VPC） 对象存储服务 （OBS） 主机安全服务（HSS） Anti-DDoS流量清洗（Anti-DDOS） Web应用防火墙 （WAF） 云堡垒机 （CBH） 容器安全服务 （CGS） 漏洞扫描服务 （VSS） 检测/分析数据源 统一身份认证服务（IAM）全量日志 云解析服务（DNS）全量日志 云审计服务（CTS）全量日志 全局服务的虚拟私有云服务（VPC）全量日志 对象存储服务（OBS）全量日志 全网流量 安全防护设备日志 DNS请求 威胁情报 安全资讯 威胁检测 告警事件 支持基于AI智能引擎、威胁情报和规则基线合计40+类的告警示例类型。 告警事件 支持检测和呈现8大类告警事件，共200+种子告警类型。支持上报告警通知。 安全编排 支持一键实施预置的安全编排策略，加固资产安全。

MTD暴力破解与HSS暴力破解的区别 主机安全服务（Host Security Service，简称HSS）是华为云提升主机整体安全性的服务。着重于全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，降低服务器面临的安全风险，保障主机整体安全。 威胁检测服务（Managed Threat Detection，简称MTD）在满足规则和情报检测基础之上，新增算法模型AI智能引擎，实现IAM异常检测、DGA检测、DNS隧道检测。针对IAM账号的爆破攻击，新增异常行为检测模型，实现账号分布式暴破攻击威胁的检测。

处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 请立即确认登录主机的源IP的可信情况。 请立即修改被暴力破解的系统账户口令。 请立即执行检测入侵风险账户，排查可疑账户并处理。 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 请及时确认登录主机的源IP的可信情况。 请及时登录主机系统，全面排查系统风险。 请根据实际需求升级HSS防护能力。 请根据实际情况加固主机安全组、防火墙配置。 详情请参见HSS如何处理账户暴力破解事件？。

态势感知与其他安全服务之间的关系与区别？ SA与其他安全防护服务（WAF、HSS、Anti-DDoS、DBSS、AAD）的关系与区别如下： 关联： SA：作为安全管理服务，依赖于其他安全服务提供威胁检测数据，进行安全威胁风险分析，呈现全局安全威胁态势，并提供防护建议。 其他安全服务：威胁检测数据可以统一汇聚在SA中，呈现全局安全威胁攻击态势。 区别： SA：仅为可视化威胁检测和分析的平台，不实施具体安全防护动作，需与其他安全服务搭配使用。 其他安全服务：仅展示对应服务的检测分析数据，并实施具体安全防护动作，不会呈现全局的威胁攻击态势。 SA与其他安全防护服务含义、关联与区别如表1所示。 表1 SA与其他服务的区别 服务名称 服务类别 关联与区别 防护对象 功能详细介绍 态势感知（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 SA功能介绍 Anti-DDoS流量清洗（Anti-DDoS） 网络安全 Anti-DDoS集中于异常DDoS攻击流量的检测和防御。 同步相关攻击日志、防护等数据给SA。 保障企业业务稳定性。 Anti-DDoS功能特性 DDoS高防（AAD） 网络安全 AAD将公网流量引流至高防IP，聚焦于大流量的DDoS攻击的检测和防御。 同步相关攻击日志、防护等数据给SA。 保障企业重要业务连续性。 AAD产品介绍 主机安全服务（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略。 同步相关告警、防护等数据给SA。 保障主机整体安全性。 HSS功能特性 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。 同步相关入侵日志、告警数据等给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 WAF功能特性 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计。 同步相关审计日志、告警数据等给SA。 保障云上数据库安全和资产安全。 DBSS产品介绍 父主题： 产品咨询

与安全服务的关系 态势感知从主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）、Anti-DDoS流量清洗（Anti-DDoS）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。更多说明请参见态势感知与其他安全服务之间的关系与区别。

步骤五：处理告警转事件 登录COC。 在左侧菜单栏选择“”页面，选择“待处理的”页签，单击事件标题进入“事件详情”页面。 图15 单击事件单号 单击“受理”即可受理次事件。 图16 单击“受理”按钮 单击“转发责任人”。 图17 单击“转发”按钮 填写转发信息后，单击“提交”。 图18 填写转发信息 单击“升降级”。 图19 单击“升降级”按钮 填写升降级信息后，单击“提交”。 图20 填写升降级信息 单击“启动warroom”。 图21 单击“启动warroom”按钮 填写warroom信息后，单击“提交”。 图22 填写warroom信息 单击“事件处理”。 图23 单击“事件处理”按钮 填写事件处理信息后，单击“提交”。 图24 填写事件处理信息 单击“验证关闭”。 图25 单击“验证关闭”按钮 填写验证信息后，单击“确定”。 图26 填写验证信息

x509: certificate signed by unknown authority 问题现象：使用docker pull拉取镜像，报错“x509: certificate signed by unknown authority”。 问题原因： 容器引擎客户端和SWR之间使用HTTPS的方式进行通信，客户端会对服务端的证书进行校验。如果客户端安装的根证书不完整，会报如下错误：“x509: certificate signed by unknown authority”。 容器引擎客户端配置了Proxy导致。 解决方法： 如果您信赖服务端，跳过证书认证，那么可以手动配置容器引擎的启动参数，配置如下（其中地址配置成需要的即可，选择一个配置即可）： /etc/docker/daemon.json（如果没有可以手动创建），在该文件内添加如下配置（注意缩进，2个空格）： { "insecure-registries":["镜像仓库地址"] } /etc/sysconfig/docker： INSECURE_REGISTRY='--insecure-registry=镜像仓库地址' 添加配置后执行如下命令重启：systemctl restart docker或service restart docker。 执行docker info命令，检查Proxy配置是否正确，修改为正确的Proxy配置。

Error response from daemon 问题现象：使用docker pull拉取官方镜像，如docker pull elasticsearch:5时，报错“Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)”。 问题原因：Docker默认的源为国外官方源，镜像拉取速度较慢，可能因超时而拉取失败。 解决方法：将Docker镜像源修改为 容器镜像服务 所提供的源，具体方法请参考设置镜像加速器。

Error: remote trust data does not exist 问题现象：使用docker pull拉取镜像，报错“Error: remote trust data does not exist”。 问题原因：客户端开启镜像签名验证，而镜像没有镜像签名层。 解决方法：查看“/etc/profile”文件中的环境变量是否设置了DOCKER_CONTENT_TRUST=1，如果设置了，请将其改为DOCKER_CONTENT_TRUST=0，然后执行source /etc/profile生效。

为什么CCE工作负载拉取SWR内的镜像异常，且提示为“未登录”？ 当CCE工作负载无法正常拉取SWR的镜像，且提示“未登录”时，请排查该工作负载的yaml文件中是否存在“imagePullSecrets”字段，且name参数值需固定为default-secret。 示例： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: - image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: - name: default-secret 父主题： 其他

镜像格式不合法或鉴权失败 问题现象：通过页面上传镜像，出现“镜像格式不合法”或“鉴权失败”的报错。 问题原因：镜像地址不规范，导致上传失败。 镜像地址各个部分的含义如下，最后的tag（版本号）可省略，如果省略则表示latest版本，其余部分均不可省略，且不可多余。 样例：swr.cn-north-4.myhuaweicloud.com/repo_namespace/repo_name:tag swr.cn-north-4.myhuaweicloud.com为容器 镜像服务 的镜像仓库地址。 repo_namespace为组织名称，命名正则表达式为^([a-z]+(?:(?:(?:_|__|[-]*)[a-z0-9]+)+)?)$，长度范围为：1-64。 repo_name:tag为镜像名称和版本号，镜像命名正则表达式为^([a-z0-9]+(?:(?:(?:_|__|[-]*)[a-z0-9]+)+)?)$，长度范围为：1-128。 您可以将镜像解压，打开文件manifest.json文件查看RepoTags字段的值是否符合上述规范。 解决方法：按照命名规范，重新给镜像打tag，然后使用docker save命令保存镜像，然后再使用页面上传。 SWR判定镜像名是否合法不是以用户在界面上传镜像时的文件名为依据，而是依据镜像包中的repositories和manifest.json文件。

常见问题 问题1：观测云支持哪些采集器？ 观测云支持官方出品的标准采集器 DataKit ，基于 DataKit 的数据采集能力，支持接入第三方数据。 问题2：观测云是否支持实时采集数据？ 观测云支持实时采集、处理并上报数据到观测云工作空间，支持实时数据分析、洞察和异常检测。 问题3：安装 DataKit 之后，观测云工作空间无数据显示？ DataKit 安装成功后，默认会采集一批主机相关的采集器，等待约1分钟，即可在观测云工作空间即可查看主机相关的数据。包括在基础设施查看主机、在指标查看已经采集的数据指标、在场景仪表板和笔记应用采集的数据指标等。 问题4：如何删除安装的 DataKit ？ 进入部署 DataKit 的服务器，先用指令停止 DataKit 运行，然后删除 DataKit 文件夹即可。 问题5：如何配置采集器？ DataKit 安装完成后，在 DataKit 的安装目录下有一个 conf.d 的文件夹，找到需要配置的采集器，进入相应的文件夹，打开对应配置文件即可进行数据采集配置。 问题6：观测云支持采集哪些数据？ 观测云具有全域数据采集能力，现已支持上百种数据源的采集，并且存储能力可无限进行扩展。您可以注册并登录观测云控制台，进入「集成」页面查看所有支持采集的数据源。 图1 观测云集成配置