华为云用户手册

Volcano调度器版本发布记录 表1 Volcano调度器版本记录 插件版本 支持的集群版本 更新特性 1.16.8 v1.25 v1.27 v1.28 v1.29 v1.30 v1.31 支持CCE v1.31集群 优化超节点资源调度能力 1.15.10 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 支持Tor装箱调度能力 优化NPU双DIE拓扑调度能力 1.15.8 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 支持NPU双DIE亲和调度能力 1.15.6 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 新增基于应用资源画像的超卖能力 1.14.11 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 新增支持超节点资源调度模型（HyperJob） 支持超节点亲和调度 支持Kubernetes v1.30 1.13.7 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 网卡资源调度支持前置预热 支持自定义资源超卖比例 1.13.3 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 支持自定义资源按照节点优先级缩容 优化抢占与节点扩容联动能力 1.13.1 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 调度器内存使用优化 1.12.18 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 适配CCE v1.29集群 默认开启抢占功能 1.12.1 v1.19.16 v1.21 v1.23 v1.25 v1.27 v1.28 应用弹性扩缩容性能优化 1.11.21 v1.19.16 v1.21 v1.23 v1.25 v1.27 v1.28 支持Kubernetes v1.28 支持负载感知调度 镜像OS更新为HCE 2.0 优化 CS I资源抢占能力 优化负载感知重调度能力 优化混部场景抢占能力 1.11.9 v1.19.16 v1.21 v1.23 v1.25 v1.27 优化NPU芯片rank table排序能力 支持应用弹性伸缩场景下的优先级调度 1.11.6 v1.19.16 v1.21 v1.23 v1.25 v1.27 支持Kubernetes v1.27 支持重调度功能 支持节点池亲和调度能力 优化调度性能 1.10.14 v1.19.16 v1.21 v1.23 v1.25 支持GPU资源抢占 优化混部弹性限流功能 增强可用区拓扑分布能力 优化NPU芯片rank table排序能力 优化GPU虚拟化功能 提升与CA联动扩容效率 提升调度稳定性 优化持久卷调度逻辑 优化日志信息 1.10.7 v1.19.16 v1.21 v1.23 v1.25 修复本地持久卷插件未计算预绑定到节点的pod的问题 1.10.5 v1.19.16 v1.21 v1.23 v1.25 volcano agent支持资源超卖。 添加针对GPU资源字段的校验admission：nvidia.com/gpu应小于1或者为正整数，volcano.sh/gpu-core.percentage应小于100并为5的倍数。 修复存在PVC绑定失败的场景下，后续提交Pod调度慢的问题。 修复节点上存在长时间Teminating Pod场景下，新提交Pod无法运行的问题。 修复并发创建挂载PVC的Pod的场景下，volcano重启的问题。 1.9.1 v1.19.16 v1.21 v1.23 v1.25 修复networkresource插件计数pipeline pod占用subeni问题 修复binpack插件对资源不足节点打分问题 修复对结束状态未知的Pod的资源的处理 优化事件输出 默认高可用部署 1.7.2 v1.19.16 v1.21 v1.23 v1.25 Volcano支持v1.25集群 提升Volcano调度性能 1.7.1 v1.19.16 v1.21 v1.23 v1.25 Volcano支持v1.25集群 1.4.7 v1.15 v1.17 v1.19 v1.21 删除Pod状态Undetermined，以适配集群Autoscaler的弹性能力。 1.4.5 v1.17 v1.19 v1.21 volcano-scheduler的部署方式由StatefulSet调整为Deployment，修复节点异常时Pod无法自动迁移的问题 1.4.2 v1.15 v1.17 v1.19 v1.21 修复跨GPU分配失败问题 适配更新后的EAS API 1.3.7 v1.15 v1.17 v1.19 v1.21 支持在/离线作业混合部署及资源超卖功能 优化集群调度吞吐性能 修复特定场景下调度器panic的问题 修复CCE v1.15集群中volcano作业volumes.secret校验失败的问题 修复挂载volume，作业调度不成功的问题 1.3.3 v1.15 v1.17 v1.19 v1.21 修复GPU异常导致的调度器崩溃问题；修复特权Init容器准入失败问题 1.3.1 v1.15 v1.17 v1.19 升级Volcano框架到最新版本 支持Kubernetes v1.19版本 添加numa-aware插件 修复多队列场景下Deployment扩缩容的问题 调整默认开启的算法插件 1.2.5 v1.15 v1.17 v1.19 修复某些场景下OutOfcpu的问题 修复queue设置部分capability情况下Pod无法调度问题 支持volcano组件日志时间与系统时间保持一致 修复队列间多抢占问题 修复ioaware插件在某些极端场景下结果不符合预期的问题 支持混合集群 1.2.3 v1.15 v1.17 v1.19 修复因为精度不够引发的训练任务OOM的问题 修复CCE v1.15以上版本GPU调度的问题，暂不支持任务分发时的CCE版本滚动升级 修复特定场景下队列状态不明的问题 修复特定场景下作业挂载PVC panic的问题 修复GPU作业无法配置小数的问题 添加ioaware插件 添加ring controller 父主题： 插件版本发布记录

NGINX Ingress控制器插件版本发布记录 表1 NGINX Ingress控制器插件3.0.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 3.0.31 v1.27 v1.28 v1.29 v1.30 v1.31 支持CCE v1.31集群 支持配置扩展参数 1.11.2 3.0.8 v1.27 v1.28 v1.29 v1.30 更新至社区v1.11.2版本 修复CVE-2024-7646漏洞 1.11.2 表2 NGINX Ingress控制器插件2.6.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 2.6.53 v1.25 v1.27 v1.28 v1.29 支持配置扩展参数 1.9.6 2.6.32 v1.25 v1.27 v1.28 v1.29 修复部分问题 1.9.6 2.6.5 v1.25 v1.27 v1.28 v1.29 支持在启动命令中关闭指标采集 1.9.6 2.6.4 v1.25 v1.27 v1.28 v1.29 适配CCE v1.29集群 1.9.6 表3 NGINX Ingress控制器插件2.5.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 2.5.6 v1.25 v1.27 v1.28 修复部分问题 1.9.3 2.5.4 v1.25 v1.27 v1.28 同一集群支持安装多套NGINX Ingress控制器 支持通过控制台配置nginx-ingress默认证书 支持将NGINX Ingress控制器指标上报至Prometheus 1.9.3 表4 NGINX Ingress控制器插件2.4.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 2.4.6 v1.25 v1.27 v1.28 适配CCE v1.28集群 支持开启准入校验 支持优雅退出、无损升级能力 插件多可用区部署模式支持选择均匀分布 修复CVE-2023-44487漏洞 1.9.3 表5 NGINX Ingress控制器插件2.3.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 2.3.5 v1.27 - 1.8.0 2.3.3 v1.27 适配CCE v1.27集群 1.8.0 表6 NGINX Ingress控制器插件2.2.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 2.2.82 v1.23 v1.25 修复部分问题 1.5.1 2.2.53 v1.23 v1.25 修复部分问题 1.5.1 2.2.52 v1.23 v1.25 同一集群支持安装多套NGINX Ingress控制器 支持通过控制台配置nginx-ingress默认证书 1.5.1 2.2.42 v1.23 v1.25 支持优雅退出、无损升级能力 插件多可用区部署模式支持选择均匀分布 1.5.1 2.2.9 v1.25 - 1.5.1 2.2.7 v1.25 插件挂载节点时区 支持双栈 1.5.1 2.2.3 v1.25 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 默认污点容忍时长修改为60s 1.5.1 2.2.1 v1.25 适配CCE v1.25集群 更新至社区v1.5.1版本 1.5.1 表7 NGINX Ingress控制器插件2.1.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 2.1.54 v1.19 v1.21 v1.23 修复部分问题 1.2.1 2.1.33 v1.19 v1.21 v1.23 支持优雅退出、无损升级能力 插件多可用区部署模式支持选择均匀分布 1.2.1 2.1.10 v1.19 v1.21 v1.23 支持插件实例AZ反亲和配置 默认污点容忍时长修改为60s 插件挂载节点时区 支持双栈 1.2.1 2.1.9 v1.19 v1.21 v1.23 支持插件实例AZ反亲和配置 默认污点容忍时长修改为60s 插件挂载节点时区 支持双栈 1.2.1 2.1.5 v1.19 v1.21 v1.23 支持插件实例AZ反亲和配置 默认污点容忍时长修改为60s 1.2.1 2.1.3 v1.19 v1.21 v1.23 nginx-ingress支持开启publishService开关 1.2.1 2.1.1 v1.19 v1.21 v1.23 更新至社区v1.2.1版本 1.2.1 2.1.0 v1.19 v1.21 v1.23 更新至社区v1.2.0版本 修复CVE-2021-25746漏洞，新增规则禁用一些存在越权风险的Anntotations值 修复CVE-2021-25745漏洞，新增规则禁用一些存在越权风险的访问路径 1.2.0 表8 NGINX Ingress控制器插件2.0.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 2.0.1 v1.19 v1.21 v1.23 适配CCE v1.23集群 更新至社区v1.1.1版本 1.1.1 表9 NGINX Ingress控制器插件1.3.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 1.3.2 v1.15 v1.17 v1.19 v1.21 适配CCE v1.21集群 同步至社区v0.49.3版本 0.49.3 表10 NGINX Ingress控制器插件1.2.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 1.2.6 v1.15 v1.17 v1.19 配置seccomp默认规则 0.46.0 1.2.5 v1.15 v1.17 v1.19 同步至社区v0.46.0版本 0.46.0 1.2.3 v1.15 v1.17 v1.19 适配CCE v1.19集群 0.43.0 1.2.2 v1.15 v1.17 同步至社区v0.43.0版本 0.43.0 父主题： 插件版本发布记录

CCE集群版本号说明 CCE 集群基于社区Kubernetes版本迭代演进，因此集群版本号由社区Kubernetes版本和CCE补丁版本两部分共同构成，格式为vX.Y.Z-rN（例如v1.28.2-r0）： Kubernetes版本：格式为X.Y.Z，继承社区版本策略，其中X对应社区Kubernetes的主要版本，Y对应社区Kubernetes的次要版本，Z对应社区Kubernetes的补丁版本，详情请参见社区Kubernetes版本策略。关于CCE支持的Kubernetes版本详情，请参见Kubernetes版本发布记录。 CCE补丁版本：格式形如v1.30.4-rN，处于维护期的Kubernetes版本会不定期地发布新的补丁版本。当新的补丁版本较上一版本提供了新的特性、Bugfix、漏洞修复或场景优化时，N版本号增加。关于CCE补丁版本详情，请参见补丁版本发布记录。

CCE集群版本阶段说明 版本公测阶段：您可以通过CCE集群公测版本体验最新的Kubernetes版本特性，但需要注意该版本的稳定性未得到完全的验证，不适用于CCE服务SLA。 版本商用阶段：CCE集群商用版本经过充分验证，稳定可靠。您可以将该版本用于生产环境，享受CCE服务SLA保障。 版本EOS（停止服务）阶段：CCE集群版本EOS之后，CCE将不再支持对该版本的集群创建，同时不提供相应的技术支持，包含新特性更新、漏洞/问题修复、补丁升级以及工单指导、在线排查等客户支持，不再适用于CCE服务SLA保障。

资源变更与弃用 社区1.21 ReleaseNotes CronJob现在已毕业到稳定状态，版本号变为batch/v1。 不可变的Secret和ConfigMap现在已升级到稳定状态。向这些对象添加了一个新的不可变字段，以拒绝更改。此拒绝可保护集群免受可能无意中中断应用程序的更新。因为这些资源是不可变的，kubelet不会监视或轮询更改。这减少了kube-apiserver的负载，提高了可扩展性和性能。更多信息，请参见Immutable ConfigMaps。 优雅节点关闭现在已升级到测试状态。通过此更新，kubelet可以感知节点关闭，并可以优雅地终止该节点的Pod。在此更新之前，当节点关闭时，其Pod没有遵循预期的终止生命周期，这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统，并通知正在运行的Pod，使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes.io/默认容器注释为kubectl命令预选容器。 PodSecurityPolicy废弃，详情请参见https://kubernetes.io/blog/2021/04/06/podsecuritypolicy-deprecation-past-present-and-future/。 BoundServiceAccountTokenVolume特性进入Beta，该特性能够提升服务账号（ServiceAccount）Token的安全性，改变了Pod挂载Token的方式，Kubernetes 1.21及以上版本的集群中会默认开启。 社区1.20 ReleaseNotes API优先级和公平性已达到测试状态，默认启用。这允许kube-apiserver按优先级对传入请求进行分类。更多信息，请参见API Priority and Fairness。 修复 exec probe timeouts不生效的BUG，在此修复之前，exec 探测器不考虑 timeoutSeconds 字段。相反，探测将无限期运行，甚至超过其配置的截止日期，直到返回结果。 通过此更改，如果未指定值，将使用默认值，默认值为1秒。如果探测时间超过一秒，可能会导致应用健康检查失败。请在升级时确定使用该特性的应用更新timeoutSeconds字段。新引入的 ExecProbeTimeout 特性门控所提供的修复使集群操作员能够恢复到以前的行为，但这种行为将在后续版本中锁定并删除。 RuntimeClass已达到稳定状态。RuntimeClass资源提供了一种机制，用于支持集群中的多个运行时，并将有关该容器运行时的信息公开到控制平面。 kubectl调试已达到测试状态。kubectl调试直接从kubectl提供对常见调试工作流的支持。 Dockershim在1.20被标记为废弃，目前您可以继续在集群中使用Docker。该变动与集群所使用的容器镜像（Image）无关。您依然可以使用Docker构建您的镜像。更多信息，请参见Dockershim Deprecation FAQ。

CCE集群版本生命周期表 Kubernetes版本号 当前状态 社区发布时间 CCE集群版本公测时间 CCE集群版本商用时间 CCE集群版本EOS（停止服务）时间 v1.31 公测 2024年8月 2025年1月 - - v1.30 已商用a 2024年4月 2024年9月 2024年10月 2026年10月 v1.29 已商用a 2023年11月 2024年4月 2024年6月 2026年6月 v1.28 已商用a 2023年8月 2023年12月 2024年2月 2026年2月 v1.27 已商用b 2023年04月 2023年08月 2023年10月 2025年10月 v1.25 已商用b 2022年08月 2022年11月 2023年03月 2025年03月 v1.23 EOS 2021年12月 2022年04月 2022年09月 2024年09月 v1.21 EOS 2021年04月 2021年12月 2022年04月 2024年04月 v1.19 EOS 2020年08月 2020年12月 2021年03月 2023年09月 v1.17 EOS 2019年12月 / 2020年07月 2023年01月 v1.15 EOS 2019年06月 / 2019年12月 2022年09月 v1.13 EOS 2018年12月 / 2019年06月 2022年03月 v1.11 EOS 2018年08月 / 2018年10月 2021年03月 v1.9 EOS 2017年12月 / 2018年03月 2020年12月 CCE控制台支持最新两个商用版本的集群： a：支持通过控制台、API方式创建。 b：仅支持API方式创建。

漏洞详情 Docker是一款开源的应用容器引擎，支持在Linux系统上创建一个容器（轻量级虚拟机）并部署和运行应用程序，以及通过配置文件实现应用程序的自动化安装、部署和升级。 Docker 19.03.15和20.10.3之前的版本存在资源管理错误漏洞，攻击者可以利用该漏洞导致dockerd守护进程崩溃。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2021-21285 中 2021-02-02

OBS服务端加密 用户使用OBS（Object Storage Service，OBS）服务端加密方式上传时，可以选择“SEE-KMS加密”，从而使用KMS提供的密钥来加密上传的文件，如图1所示。更多信息请参见《 对象存储服务 控制台指南》。 图1 OBS服务端加密 可供选择的用户主密钥包含以下两种： KMS为使用OBS的用户创建一个默认密钥“obs/default”。 用户通过KMS界面创建的自定义密钥。 SM4加密算法仅支持华北-乌兰察布一区域。 用户也可以通过调用OBS API接口，选择服务端加密SSE-KMS方式（SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密）上传文件，详情请参考《对象存储服务API参考》。 父主题： 使用KMS加密的云服务

漏洞影响 docker daemon组件在拉取镜像的过程中没有对镜像层digest进行有效性校验，拉取一个被恶意损坏的镜像可能会导致docker daemon崩溃。 该漏洞可能在以下场景触发： 在集群内的节点上手动docker pull一个被恶意损坏的镜像。 部署工作负载时负载模板中定义了一个被恶意损坏的镜像，kubelet自动拉取镜像时触发。 该漏洞的影响范围如下： 若镜像被恶意损坏，拉取镜像时可能会导致docker daemon崩溃。 使用 容器镜像服务 （SWR）时，如果您的镜像是通过在SWR获取的，上传到镜像仓库的镜像会进行digest校验，此场景不受影响。 该漏洞不会影响运行中的容器。

故障隔离 DEW采用region间隔离设计，可以确保任何一个region的故障不会影响其它region的DEW服务。 DEW的基础设施包括服务器和加密机等采用AZ级容灾设计，任何一个AZ的故障不会影响DEW服务的可用性，DEW服务将自动屏蔽发生故障的AZ并将流量切换到其它AZ，实现业务的平滑调度。 DEW的基础设施包括服务器和加密机等采用集群设计，任何一个服务器或加密机的可用性问题不会影响DEW服务的可用性。

判断方法 如果节点是EulerOS和CentOS，可以用如需命令查看安全包版本： rpm -qa |grep docker 使用EulerOS或者CentOS的节点，docker版本低于18.09.0.100.51.h10.51.h3-1.h15.eulerosv2r7的docker包涉及该CVE漏洞。 使用其它非EulerOS和CentOS的镜像（如Ubuntu），可以使用docker version查看docker版本。若版本低于19.03.15、20.10.3，则涉及该漏洞。

与用户的应用程序配合使用 当您的应用程序需要对明文数据进行加密时，可通过调用KMS的接口来创建 数据加密 密钥，再使用数据加密密钥将明文数据进行加密，得到密文数据并进行存储。同时，用户的应用程序调用KMS的接口创建对应用户主密钥，对数据加密密钥进行加密，得到密文的数据加密密钥并进行存储。 基于信封加密技术，用户主密钥存储在KMS中，用户的应用程序只存储密文的数据加密密钥，仅在需要使用时调用KMS解密数据加密密钥。 加密流程说明如下： 应用程序调用KMS的“create-key”接口创建一个自定义密钥。 应用程序调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由1创建的用户主密钥加密明文的数据加密密钥生成的。 应用程序使用明文的数据加密密钥来加密明文文件，生成密文文件。 应用程序将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 具体操作请参见《数据加密服务API参考》。

与华为云服务配合使用 华为云服务基于信封加密技术，通过调用KMS的接口来加密云服务资源。由用户管理自己的自定义密钥，华为云服务在拥有用户授权的情况下，使用用户指定的自定义密钥对数据进行加密。 图1 华为云服务使用KMS加密原理 加密流程说明如下： 用户需要在KMS中创建一个自定义密钥。 华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件，得到密文文件。 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 用户通过华为云服务下载数据时，华为云服务通过KMS指定的自定义密钥对密文的数据加密密钥进行解密，并使用解密得到的明文的数据加密密钥来解密密文数据，然后将解密后的明文数据提供给用户下载。 表1 使用KMS加密的云服务列表 服务名称 如何使用 对象存储服务 对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时，数据会在服务端加密成密文后安全地存储在对象存储服务中；用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。对象存储服务支持KMS托管密钥的服务端加密方式（即SSE-KMS加密方式），该加密方式是通过KMS提供密钥的方式进行服务端加密。 用户如何使用对象存储服务的SSE-KMS加密方式上传对象，具体操作请参见《对象存储服务控制台指南》。 云硬盘 在创建云硬盘时，用户启用云硬盘的加密功能，系统将使用用户主密钥产生的数据密钥对磁盘进行加密，则在使用该云硬盘时，存储到云硬盘的数据将会自动加密。 用户如何使用云硬盘加密功能，具体操作请参见《云硬盘用户指南》 。 镜像服务 用户通过外部镜像文件创建私有镜像时，可启用私有镜像加密功能，选择KMS提供的用户主密钥对镜像进行加密。 用户如何使用镜像服务的私有镜像加密功能，具体操作请参见《镜像服务用户指南》 。 弹性文件服务 用户通过弹性文件服务创建文件系统时，选择KMS提供的用户主密钥对文件系统进行加密，当使用该文件系统时，存储到文件系统的文件将会自动加密。 用户如何使用弹性文件服务的文件系统加密功能，具体操作请参见《弹性文件服务用户指南》。 云数据库RDS 在购买数据库实例时，用户启用数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。 用户如何使用云数据库RDS的磁盘加密功能，具体操作请参见《云数据库RDS用户指南》。 文档数据库服务 在购买文档数据库实例时，用户启用文档数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对文档数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。 用户如何使用文档数据库的磁盘加密功能，具体操作请参见《文档数据库服务用户指南》。

与 统一身份认证 服务的关系 统一身份认证服务（Identity and Access Management, IAM ）为数据加密服务提供了权限管理的功能。 需要拥有KMS Administrator权限的用户才能使用DEW服务。 需要同时拥有KMS Administrator和Server Administrator权限的用户才能使用密钥对管理功能。 如需开通该权限，请联系拥有Security Administrator权限的用户，详细内容请参考《统一身份认证服务用户指南》。

与 云审计 服务的关系 云审计服务（Cloud Trace Service， CTS ）记录数据加密服务相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见《云审计服务用户指南》。 表1 云审计服务支持的KMS操作列表 操作名称 资源类型 事件名称 创建密钥 cmk createKey 创建数据密钥 cmk createDataKey 创建不含明文数据密钥 cmk createDataKeyWithoutPlaintext 启用密钥 cmk enableKey 禁用密钥 cmk disableKey 加密数据密钥 cmk encryptDatakey 解密数据密钥 cmk decryptDatakey 计划删除密钥 cmk scheduleKeyDeletion 取消计划删除密钥 cmk cancelKeyDeletion 创建随机数 rng genRandom 修改密钥别名 cmk updateKeyAlias 修改密钥描述 cmk updateKeyDescription 密钥删除风险提示 cmk deleteKeyRiskTips 导入密钥材料 cmk importKeyMaterial 删除密钥材料 cmk deleteImportedKeyMaterial 创建授权 cmk createGrant 退役授权 cmk retireGrant 撤销授权 cmk revokeGrant 加密数据 cmk encryptData 解密数据 cmk decryptData 添加标签 cmk dealUnifiedTags 删除标签 cmk dealUnifiedTags 批量添加标签 cmk dealUnifiedTags 批量删除标签 cmk dealUnifiedTags 开启密钥轮换 cmk enableKeyRotation 修改密钥轮换周期 cmk updateKeyRotationInterval 表2 云审计服务支持的C SMS 操作列表 操作名称 资源类型 事件名称 创建凭据 secret createSecret 更新凭据 secret updateSecret 删除凭据 secret forceDeleteSecret 计划删除凭据 secret scheduleDelSecret 取消计划删除凭据 secret restoreSecretFromDeletedStatus 创建凭据状态 secret createSecretStage 更新凭据状态 secret updateSecretStage 删除凭据状态 secret deleteSecretStage 创建凭据版本 secret createSecretVersion 下载凭据备份 secret backupSecret 恢复凭证备份 secret restoreSecretFromBackupBlob 更新凭据版本 secret putSecretVersion 凭据轮转 secret rotateSecret 创建凭据事件 secret createSecretEvent 更新凭据事件 secret updateSecretEvent 删除凭据事件 secret deleteSecretEvent 创建资源标签 secret createResourceTag 删除资源标签 secret deleteResourceTag 表3 云审计服务支持的KPS操作列表 操作名称 资源类型 事件名称 创建或导入SSH密钥对 keypair createOrImportKeypair 删除SSH密钥对 keypair deleteKeypair 导入私钥 keypair importPrivateKey 导出私钥 keypair exportPrivateKey 绑定SSH密钥对 keypair bindKeypair 解绑SSH密钥对 keypair unbindKeypair 清除私钥 keypair clearPrivateKey 表4 云审计服务支持的DHSM操作列表 操作名称 资源类型 事件名称 购买云加密实例 hsm purchaseHsm 实例化云加密实例 hsm createHsm 删除云加密实例 hsm deleteHsm

与弹性云服务器的关系 弹性云服务器（Elastic Cloud Server，ECS）是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云服务器创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云服务器。 KPS为ECS提供密钥对的管理控制能力，应用于用户登录弹性云服务器时，对用户身份认证的功能。 Dedicated HSM提供的专属加密实例可以为部署在弹性云服务器内的业务系统加密敏感数据，用户可完全控制密钥的生成、存储和访问授权，保证数据在传输、存储过程中的完整性、保密性。

版本说明 专属加密提供标准版、铂金版（国内）专属加密实例，具体服务内容如表1所示。 带*条目根据不同型号设备略有不同，请联系客服进行确认。 表1 专属加密 功能 服务内容 标准版-虚拟共享 铂金版（国内）-单用户独占 独享芯片加密 用户独享云端密码芯片资源，实现用户密钥硬件隔离的同时保障业务性能 支持 支持 全业务支持 支持金融支付、身份认证、数字签名等应用安全，满足各种重要系统对于数据安全性的严苛要求 支持 支持 弹性扩展 可根据您的业务需要弹性地增加和缩减密码运算资源 支持 支持 高可靠 后端硬件设备可以HA双机（主-备）部署，实现高可靠（需订购2个实例实现） 支持 支持 兼容性 提供与实体密码设备相同的功能与接口，方便向云端迁移，具体支持： PKCS#11接口，CSP接口，JCE接口，GM/T 0018-2012 SDF接口等 支持 支持 机框、电源独占 用户独享硬件加密机机框、电源资源 不支持 支持 网络独占 用户独享硬件加密机网络带宽、接口资源 不支持 支持 FIPS 140-2认证 采用符合 FIPS 140-2 第 3 级标准的 HSM 上生成和使用加密密钥 不支持 不支持 通用算法 对称算法 AES AES 非对称算法 RSA（1024，4096）* RSA（1024，4096）* 摘要算法 SHA1、SHA256、SHA384 SHA1、SHA256、SHA384 国密算法 对称算法 SM1、SM4、SM7 * SM1、SM4、SM7 * 非对称算法 SM2 SM2 摘要算法 SM3 SM3 通用算法性能 RSA2048验签运算性能 3,500 TPS 40,000 TPS RSA2048签名运算性能 400 TPS 4,000 TPS 国密算法性能 SM1加密运算性能 600 TPS 15,000 TPS SM2签名运算性能 3,000 TPS 80,000 TPS SM2验签运算性能 2,000 TPS 15,000 TPS SM4加密运算性能 4000~35000Tps* 35000~40000Tps* SM4解密运算性能 4000~30000Tps* 35000~40000Tps* SM7算法性能 1000Tps* 1000Tps* 数据通讯 TCP/IP 最大并发连接 64 2,048 父主题： 专属加密

Dedicated HSM支持的密码机类型 表2 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器密码机 数据加密/解密 数据签名/验签 数据摘要 支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融密码机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名验证服务器 签名/验签 编码/解码数字信封 编码/解码带签名的数字信封 证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

专属密钥库 KMS通过专属密钥库支持HYOK功能，帮助用户完全自主可控名下的用户主密钥，用户主密钥不脱离加密机，并且密码运算完全在加密机中完成。与默认密钥库不同，用户可以通过专属加密集群随时对密钥进行全生命周期管理。 专属加密实例基础版、铂金版（国内）均支持HYOK功能。 HYOK（Hold Your Own Key）是指用户可以完全控制其密钥，密钥始终归用户所有。 专属密钥库操作可参见激活集群以及创建密钥库。专属密钥库支持的算法类型如表 专属密钥库的密钥算法类型所示。 表4 专属密钥库的密钥算法类型 密钥类型 算法类型 密钥规格 说明 适用场景 对称密钥 AES AES_256 AES对称密钥 数据的加解密 加解密数据密钥 说明： 小量数据的加解密可通过控制台在线工具进行。 大量数据的加解密需要调用API接口进行。 对称密钥 SM4 SM4 国密SM4对称密钥 数据的加解密 加解密数据密钥 非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥 数字签名和验签 数据的加解密 说明： 非对称密钥适用于签名和验签场景，加密数据效率不高，加解密数据推荐使用对称密钥。 ECC EC_P256 EC_P384 椭圆曲线密码，使用NIST推荐的椭圆曲线 数字签名和验签 非对称密钥 SM2 SM2 国密SM2非对称密钥 数字签名和验签 小量数据的加解密

密钥区域性 KMS通过密钥区域性，实现密钥跨区域使用。每组用户主密钥与副本密钥具有相同的密钥材料，因此可以实现单区域的加密数据在不同区域进行解密，解决因跨区导致的无法解密。 您可以独立管理多个区域的密钥，副本密钥同样支持创建密钥别名、启用、禁用、标签、授权、在线加解密。副本密钥的轮换无法自主设置，需按照主密钥的轮换设置进行同步轮换。 密钥区域性原理如图 密钥区域性所示。 图1 密钥区域性 表5 密钥区域性使用场景 使用场景 说明 灾备场景 如果密钥所在区域出现欠费资源冻结或异常无法处理数据解密，替换使用另一区域中的副本密钥进行正常数据处理，保证业务不中断。 跨区域签名验签 如果由于业务需要，客户业务处于不同区域，可通过不同区域密钥实现签名验签解密，提升业务对接高效性。

功能介绍 表1 密钥管理 功能 服务内容 密钥全生命周期管理 创建、查看、启用、禁用、计划删除、取消删除自定义密钥 修改自定义密钥的别名和描述 用户自带密钥 导入密钥、删除密钥材料 小数据加解密 在线工具加解密小数据 签名验签 消息或消息摘要的签名、签名验证 说明： 仅支持通过API调用。 密钥标签 添加、搜索、编辑、删除标签 密钥轮换 开启、修改、关闭密钥轮换周期 密钥授权 创建、撤销、查询授权 退役授权 说明： 仅支持通过API调用。 密钥区域性 跨区域创建副本密钥 云服务加密 对象存储服务OBS加密 云硬盘服务EVS加密 镜像服务IMS加密 弹性文件服务SFS加密（SFS文件系统加密） 弹性文件服务SFS加密（SFS Turbo文件系统加密） 云数据库RDS（MySQL、PostgreSQL、SQL Server引擎）加密 文档数据库服务DDS加密 数据仓库 服务DWS加密 数据加密密钥管理 创建、加密、解密数据加密密钥 说明： 仅支持通过API调用。 生成硬件真随机数 生成512bit的随机数，为加密系统提供基于硬件真随机数的密钥材料和加密参数 说明： 仅支持通过API调用。 消息认证码 生成、验证消息认证码 说明： 仅支持通过API调用。 密钥库管理 创建、禁用、删除密钥库

KMS支持的密钥算法 KMS创建的对称密钥使用的是AES、SM4加解密算法。KMS创建的非对称密钥支持RSA、ECC、SM2算法。 表2 KMS支持的密钥算法类型 密钥类型 算法类型 密钥规格 说明 适用场景 对称密钥 AES AES_256 AES对称密钥 数据的加解密 加解密数据密钥 说明： 小量数据的加解密可通过控制台在线工具进行。 大量数据的加解密需要调用API接口进行。 对称密钥 SM4 SM4 国密SM4对称密钥 数据的加解密 加解密数据密钥 摘要密钥 SHA HMAC_256 HMAC_384 HMAC_512 摘要密钥 数据防篡改 数据完整性校验 摘要密钥 SM3 HMAC_SM3 国密SM3摘要密钥 数据防篡改 数据完整性校验 非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥 数字签名和验签 数据的加解密 说明： 非对称密钥适用于签名和验签场景，加密数据效率不高，加解密数据推荐使用对称密钥。 ECC EC_P256 EC_P384 椭圆曲线密码，使用NIST推荐的椭圆曲线 数字签名和验签 非对称密钥 SM2 SM2 国密SM2非对称密钥 数字签名和验签 小量数据的加解密 通过外部导入的密钥支持的密钥包装加解密算法如下表所示。 表3 密钥包装算法说明 密钥包装算法 说明 设置 RSAES_OAEP_SHA_256 具有“SHA-256”哈希函数的OAEP的RSA加密算法。 请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAES_OAEP_SHA_256”加密算法，推荐使用“RSAES_OAEP_SHA_256”加密密钥材料。 须知： “RSAES_OAEP_SHA_1”加密算法已经不再安全，请谨慎选择。 RSAES_OAEP_SHA_1 具有“SHA-1”哈希函数的OAEP的RSA加密算法。 SM2_ENCRYPT 国密推荐的SM2椭圆曲线公钥密码算法。 请在支持国密的局点使用SM2加密算法。

DEW权限 默认情况下，KMS管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DEW时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DEW服务，KMS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。DEW支持的API授权项请参见DEW权限及授权项。 如表 KMS系统策略、表 KPS系统策略、表 CSMS系统策略所示，包括了DEW的所有系统权限。 表1 KMS系统策略 系统角色/策略名称 描述 类别 依赖关系 KMS Administrator 密钥管理服务(KMS)管理员，拥有该服务下的所有权限。 系统角色 无 KMS CMKFullAccess 密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 KMS CMKReadOnlyAccess 密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 表2 KPS系统策略 系统角色/策略名称 描述 类别 依赖关系 DEW KeypairFullAccess 数据加密服务中密钥对管理服务(KPS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 DEW KeypairReadOnlyAccess 数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。 系统策略 无 表3 CSMS系统策略 系统角色/策略名称 描述 类别 依赖关系 CSMS FullAccess 数据加密服务中凭据管理服务(CSMS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 CSMS ReadOnlyAccess 数据加密服务中凭据管理服务(CSMS)的只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 密钥对不支持企业项目授权，DEW KeypairFullAccess、DEW KeypairReadOnlyAccess策略不能用于企业项目授权。 表4列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表4 常用操作与KMS系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 签名消息 √ √ 验证签名 √ √ 开启密钥轮换 √ √ 修改密钥轮换周期 √ √ 关闭密钥轮换 √ √ 查询密钥轮换状态 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询公钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 查询密钥对列表 x x 创建或导入密钥对 x x 查询密钥对 x x 删除密钥对 x x 更新密钥对描述 x x 绑定密钥对 x x 解绑密钥对 x x 查询绑定任务信息 x x 查询失败的任务 x x 删除所有失败的任务 x x 删除失败的任务 x x 查询正在处理的任务 x x

轮换凭据和密钥 为提升系统安全性，需要对敏感凭据进行定期更新。凭据轮换时要求对目标凭据具备依赖性的应用或配置同步更新，多应用系统凭据更新容易遗漏，可能带来业务中断风险。 通过凭据管理服务，提供凭据多版本管理，应用节点通过API/SDK调用实现应用层凭据安全轮换。 解决方案说明如下： 管理员通过凭据管理控制台或API接口新增凭据版本，更新目标凭据内容。 应用节点通过调用API/SDK 获取最新凭据版本，或指定版本状态的凭据，实现全量或灰度的凭据轮换。 定期重复1和1实现凭据定期轮转。 加密密钥开启密钥轮换，提高存储安全性。

凭据安全检索 应用程序访问数据库或其他服务时，需要提供如密码、令牌、证书、SSH 密钥、API 密钥等各种类型的凭据信息进行身份校验，通常是直接使用明文方式将上述凭据嵌入在应用程序的配置文件中。该场景存在凭据信息硬编码、明文存储易泄露和安全性较低等风险问题。 通过凭据管理服务，用户可以将代码中的硬编码替换为对API 的调用，以便用编程的方式动态查询凭据，由于该凭据中不包含敏感信息，保证凭据不被泄露。 解决方案说明如下： 应用读取配置时，调用凭据管理服务API检索读取凭据（代替硬编码和明文凭据）。

凭据事件通知 用户为凭据对象订阅关联事件后，当事件为启用状态且基础事件类型在凭据对象上触发时，通过 消息通知 服务（ SMN ）对应事件通知会发送至事件指定的通知主题上。基础事件类型包括：凭据新版本创建，凭据版本过期，凭据删除，凭据轮转。配置事件通知后，用户可以通过 函数工作流 服务(FunctionGraph)中基于事件驱动的托管函数来自动化轮转凭据。 解决方案说明如下： 1.管理员通过凭据管理服务的事件通知控制台或者调用API接口新增事件。 2.创建或更新凭据时，关联订阅所需的事件对象。 3.用户在凭据状态发生改变时收到事件通知消息，并可在函数工作流服务(FunctionGraph)中配置函数，来实现凭据自动更新或轮转等功能。

凭据管理基本功能 表1 凭据管理基本功能 功能 服务内容 凭据全生命周期管理 创建、查看、定时删除、取消删除凭据 修改凭据的加密密钥和描述信息 凭据版本管理 创建、查看凭据版本 查看凭据值 凭据版本到期设置 凭据版本状态管理 更新、查询、删除凭据版本状态 凭据标签管理 添加、搜索、编辑、删除标签 凭据事件管理 创建、查看、删除事件 修改凭据事件类型 凭据通知管理 查看变更事件类型、事件名称、凭据名称

IMS服务端加密 用户使用OBS桶中已上传的外部镜像文件创建私有镜像时，可以选择“KMS加密”，使用KMS提供的密钥来加密镜像，如图1所示，更多信息请参见 。 图1 IMS服务端加密 可供选择的用户主密钥包含以下两种： KMS为使用IMS（Image Management Service，IMS）的用户创建一个默认密钥“ims/default”。 用户通过KMS界面创建的自定义密钥。 用户也可以通过调用IMS API接口创建加密镜像，详情请参考《镜像服务API参考》。 父主题： 使用KMS加密的云服务

KPS支持的密码算法 通过管理控制台创建的SSH密钥对支持的加解密算法为： SSH-ED25519 ECDSA-SHA2-NISTP256 ECDSA-SHA2-NISTP384 ECDSA-SHA2-NISTP521 SSH_RSA有效长度为：2048，3072，4096 通过外部导入的SSH密钥对支持的加解密算法为： SSH-DSS SSH-ED25519 ECDSA-SHA2-NISTP256 ECDSA-SHA2-NISTP384 ECDSA-SHA2-NISTP521 SSH_RSA有效长度为：2048，3072，4096

获取Windows操作系统弹性云服务器的登录密码 如果用户购买的是Windows操作系统的弹性云服务器，需要使用密钥对的私钥获取登录密码，详细信息请参见《弹性云服务器用户指南》。 购买弹性云服务器时，可供选择的密钥对包含以下两种： 用户通过云服务器控制台界面创建或者导入密钥对。 用户通过密钥对管理服务（Key Pair Service, KPS）界面创建或者导入密钥对。 两种密钥对没有区别，只是导入的渠道不同。