华为云用户手册

企业版站点入云VPN和经典版VPN的区别 表1 企业版VPN和经典版VPN的区别 类别 对比项 企业版VPN 经典版VPN 租户隔离 租户独享网关 支持 不支持 功能&特性 策略模式 支持 支持 路由模式 静态路由/BGP路由 不支持 VPN Hub 支持 不支持 企业路由器 支持 不支持 网络类型 公网/私网 公网 容量&性能 子网数量 路由模式：50 策略模式：5 策略模式：5 更多信息，请参见表 企业版VPN不同规格的区别。 可靠性 网关保护方式 主备/双活 - 网关跨AZ部署 支持 不支持 双线路双活 支持 不支持 与专线互备 支持 不支持

企业版站点入云VPN和经典版VPN的区别 表1 企业版VPN和经典版VPN的区别 类别 对比项 企业版VPN 经典版VPN 租户隔离 租户独享网关 支持 不支持 功能&特性 策略模式 支持 支持 路由模式 静态路由/BGP路由 不支持 VPN Hub 支持 不支持 企业路由器 支持 不支持 网络类型 公网/私网 公网 容量&性能 子网数量 路由模式：50 策略模式：5 策略模式：5 更多信息，请参见表 企业版VPN不同规格的区别。 可靠性 网关保护方式 主备/双活 - 网关跨AZ部署 支持 不支持 双线路双活 支持 不支持 与专线互备 支持 不支持

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的华为 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善华为云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

站点入云VPN 基础型和专业型1网关规格，支持相互变更。 专业型1、专业型2网关规格，支持相互变更。 专业型1-非固定IP VPN网关规格不支持变更为专业型1；专业型2-非固定IP VPN网关规格不支持变更为专业型2。 以上产品规格升降配，实际情况以console显示为准。 表1 站点入云VPN产品规格 对比项 基础型 专业型1 专业型1-非固定IP 专业型2 专业型2-非固定IP 国密型 独享网关资源 支持 支持 支持 支持 支持 支持 双连接 支持 支持 支持 支持 支持 支持 双活网关 支持 支持 支持 支持 支持 支持 主备网关 支持 支持 支持 支持 支持 支持 策略模式 支持 支持 支持 支持 支持 支持 路由模式-静态路由 支持 支持 支持 支持 支持 支持 路由模式-BGP路由 支持 支持 支持 支持 支持 支持 策略模板模式 不支持 不支持 支持 不支持 支持 不支持 最大转发带宽 100Mbps 300Mbps 300Mbps 1Gbps 1Gbps 500Mbps 最大VPN连接组数 10个 100个 100个 100个 100个 100个 对接企业路由器 不支持 支持 支持 支持 支持 支持 接入私网地址 不支持 支持 不支持 支持 不支持 支持 非固定IP接入 不支持 不支持 支持 不支持 支持 不支持 支持区域 以控制台实际上线区域为准。 以控制台实际上线区域为准。 以控制台实际上线区域为准。 以控制台实际上线区域为准。 以控制台实际上线区域为准。 以控制台实际上线区域为准。 父主题： 产品规格

产品优势 虚拟专用网络 具有以下几大产品优势： 更安全 基于IKE/IPsec、SSL对传输 数据加密 ，保证用户数据传输安全。 VPN支持为每个用户创建独立的VPN网关，提供租户网关隔离防护能力。 支持AES国际、SM国密等加密算法，满足多种安全要求。 支持多种认证模式，包括证书认证、口令认证。 高可用 双连接：网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 双活网关：双活网关部署在不同的AZ区域，实现AZ级高可用保障。 HA模式：站点入云VPN支持主备、双活，终端入云VPN支持主备。 低成本 利用Internet构建IPsec加密通道，使用费用相对云专线服务更便宜。 支持绑定同一共享带宽下的EIP实例，从而节省带宽使用成本。 支持在创建EIP实例时，按需配置带宽大小。 支持非固定IP接入，典型场景帮助客户节省接入费用。 灵活易用 支持多种连接模式：一个网关支持配置策略、静态路由和BGP路由多种连接模式，满足不同对端网关的接入需要。 支持分支互访：支持云上VPN网关作为VPN Hub，云下站点通过VPN Hub实现分支互访。 即开即用：部署快速，实时生效，在用户数据中心的VPN设备进行简单配置即可完成对接。 关联企业路由器（Enterprise Router, ER）：企业可以构建更加丰富的云上网络。 专线互备：支持和云专线（DC）互备，故障自动切换。 支持私网类型网关：对专线私有网络进行加密传输，提升数据传输安全。 支持多平台接入：支持Windows、Mac、Linux、Android、IOS多种终端平台操作系统接入云上网络，实现移动办公。

VPN标签 权限 对应API接口 授权项（Action） 依赖的授权项 IAM 项目（Project） 企业项目（Enterprise Project） 创建资源标签 POST /v5/{project_id}/{resource_type}/{resource_id}/tags/create vpn:resourceInstanceTags:create - √ x 删除资源标签 POST /v5/{project_id}/{resource_type}/{resource_id}/tags/delete vpn:resourceInstanceTags:delete - √ x 查询资源类型标签列表 GET /v5/{project_id}/{resource_type}/tags vpn:resourceTypeTags:list - √ x 查询资源实例列表 POST /v5/{project_id}/{resource_type}/resource-instances/filter vpn:resourceInstances:list - √ x 查询资源标签列表 GET /v5/{project_id}/{resource_type}/{resource_id}/tags vpn:resourceInstanceTags:list - √ x 查询资源实例数量 POST /v5/{project_id}/{resource_type}/resource-instances/count vpn:resourceInstances:count - √ x 父主题： 服务公共接口授权项列表

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群，一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

VPN网关 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 订购包周期终端入云VPN网关 POST /v5/{project_id}/p2c-vpn-gateways/subscribe/{order_id} vpn:p2cVpnGateway:subscribe vpn:p2cVpnGateway:listAvailabilityZones vpc:vpcs:list vpc:subnets:get vpc:bandwidths:list vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:list √ × 变更包周期 VPN网关规格 PUT /v5/{project_id}/p2c-vpn-gateways/update-specification/{order_id} vpn:p2cVpnGateway:updateSpecification - √ × 更新终端入云VPN网关 PUT /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id} vpn:p2cVpnGateway:update vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list √ × 查询终端入云VPN网关详情 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id} vpn:p2cVpnGateway:get vpc:publicIps:get √ × 查询终端入云VPN网关列表 GET /v5/{project_id}/p2c-vpn-gateways vpn:p2cVpnGateway:list vpc:publicIps:get √ × 查询终端入云VPN连接列表 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections vpn:p2cVpnGateway:listConnections vpc:publicIps:get √ × 父主题： 终端入云VPN授权项列表

VPN连接 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建VPN连接 POST /v5/{project_id}/vpn-connection vpn:vpnConnections:create ces:metricData:list ces:currentRegionSupportedMetrics:list vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN连接列表 GET /v5/{project_id}/vpn-connection vpn:vpnConnections:list vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ × 查询VPN连接详情 GET /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:get vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ √ 更新VPN连接 PUT /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:update vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 删除VPN连接 DELETE /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:delete ces:metricData:list ces:currentRegionSupportedMetrics:list vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 父主题： 站点入云VPN授权项列表

用户管理 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建VPN用户 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users vpn:p2cVpnUser:create - √ x 查询VPN用户列表 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users vpn:p2cVpnUser:list - √ x 修改VPN用户 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id} vpn:p2cVpnUser:update - √ x 查询VPN用户 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id} vpn:p2cVpnUser:get - √ x 删除VPN用户 DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id} vpn:p2cVpnUser:delete - √ x 修改VPN用户密码 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id}/password vpn:p2cVpnUser:updatePassword - √ x 重置VPN用户密码 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id}/reset-password vpn:p2cVpnUser:resetPassword - √ x 创建VPN用户组 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups vpn:p2cVpnGateway:createUserGroup - √ x 查询VPN用户组列表 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups vpn:p2cVpnGateway:listUserGroup - √ x 修改VPN用户组 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id} vpn:p2cVpnGateway:updateUserGroup - √ x 查询VPN用户组 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id} vpn:p2cVpnGateway:getUserGroup - √ x 删除VPN用户组 DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id} vpn:p2cVpnGateway:deleteUserGroup - √ x 添加VPN用户到组 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id}/add-users vpn:p2cVpnGateway:addUsers - √ x 删除组内VPN用户 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id}/remove-users vpn:p2cVpnGateway:removeUsers - √ x 查询组内VPN用户 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id}/users vpn:p2cVpnGateway:listUsersInGroup - √ x 父主题： 终端入云VPN授权项列表

对端网关 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建对端网关 POST /v5/{project_id}/customer-gateways vpn:customerGateways:create - √ x 查询对端网关详情 GET /v5/{project_id}/customer-gateways/{customer_gateway_id} vpn:customerGateways:get - √ x 查询对端网关列表 GET /v5/{project_id}/customer-gateways vpn:customerGateways:list - √ x 更新对端网关 PUT /v5/{project_id}/customer-gateways/{customer_gateway_id} vpn:customerGateways:update - √ x 删除对端网关 DELETE /v5/{project_id}/customer-gateways/{customer_gateway_id} vpn:customerGateways:delete - √ x 父主题： 站点入云VPN授权项列表

服务端 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建终端入云VPN服务端 POST /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/vpn-servers vpn:p2cVpnGateway:createServer scm:cert:get scm:cert:list scm:cert:download vpc:publicIps:get vpc:routeTables:update vpc:subnets:get √ x 查询一个网关下的服务端信息 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/vpn-servers vpn:p2cVpnGateway:listServers - √ x 更新指定网关的服务端 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id} vpn:p2cVpnGateway:updateServer scm:cert:get scm:cert:list scm:cert:download vpc:publicIps:get vpc:routeTables:update vpc:subnets:get √ x 导出服务端对应的客户端配置信息 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-config/export vpn:p2cVpnGateway:exportClientConfig - √ x 校验CA证书的合法性 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/client-ca-certificates/check vpn:system:checkClientCaCertificate - √ x 导入客户端CA证书 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-certificates vpn:p2cVpnGateway:importClientCa - √ x 修改客户端CA证书 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-certificates/{client_ca_certificate_id} vpn:p2cVpnGateway:updateClientCa - √ x 查询客户端CA证书 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-certificates/{client_ca_certificate_id} vpn:p2cVpnGateway:getClientCa - √ x 删除客户端CA证书 DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-certificates/{client_ca_certificate_id} vpn:p2cVpnGateway:deleteClientCa - √ x 查询租户下的所有服务端信息 GET /v5/{project_id}/vpn-servers vpn:p2cVpnGateway:listAllServers - √ x 父主题： 终端入云VPN授权项列表

终端入云VPN服务端限制 表2 终端入云VPN服务端限制 VPN网关类型 资源 默认限制 如何提升配额 企业版VPN 每服务端支持导入的客户端CA证书数量 10 不支持修改 每服务端支持添加的本端网段数量 20 修改协议、端口、认证算法、加密算法等，您需要重新下载客户端配置。 本端子网的全0配置，暂不开放支持。 本端网段的限制网段为0.0.0.0/8，224.0.0.0/4，240.0.0.0/4，127.0.0.0/8，不能与这些特殊网段重叠或冲突。 每个用户最多建立5个连接。 用户数最大配置为网关的最大连接数。 用户组数量配置最大为50。 单策略目的网段数量为10。 访问策略数量最大规格为100。

访问策略 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建VPN访问策略 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/access-policies vpn:p2cVpnGateway:createAccessPolicy - √ x 查询VPN访问策略列表 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/access-policies vpn:p2cVpnGateway:listAccessPolicies - √ x 修改VPN访问策略 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/access-policies/{policy_id} vpn:p2cVpnGateway:updateAccessPolicy - √ x 查询VPN访问策略 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/access-policies/{policy_id} vpn:p2cVpnGateway:getAccessPolicy - √ x 删除VPN访问策略 DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/access-policies/{policy_id} vpn:p2cVpnGateway:deleteAccessPolicy - √ x 父主题： 终端入云VPN授权项列表

VPN网关 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建VPN网关 POST /v5/{project_id}/vpn-gateways vpn:vpnGateways:create er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subnets:create vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:ports:create vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN网关 GET /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:get vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ √ 查询VPN网关列表 GET /v5/{project_id}/vpn-gateways vpn:vpnGateways:list vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ × 更新VPN网关 PUT /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:update er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 删除VPN网关 DELETE /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:delete er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN网关可用区 GET /v5/{project_id}/vpn-gateways/availability-zones vpn:vpnGatewayAvailabilityZone - √ √ 导入VPN网关证书 POST /v5/{project_id}/vpn-gateways/{vgw_id}/certificate vpn:vpnGateways:importCertificate - √ √ 查询VPN网关证书 GET /v5/{project_id}/vpn-gateways/{vgw_id}/certificate vpn:vpnGateways:getCertificate - √ √ 更新VPN网关证书 PUT /v5/{project_id}/vpn-gateways/{vgw_id}/certificate/{certificate_id} vpn:vpnGateways:updateCertificate - √ √ 父主题： 站点入云VPN授权项列表

VPN连接监控 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建连接监控 POST /v5/{project_id}/connection-monitors vpn:connectionMonitors:create - √ x 查询连接监控列表 GET /v5/{project_id}/connection-monitors vpn:connectionMonitors:list - √ x 删除连接监控 DELETE /v5/{project_id}/connection-monitors/{connection_monitor_id} vpn:connectionMonitors:delete - √ x 查询连接监控 GET /v5/{project_id}/connection-monitors/{connection_monitor_id} vpn:connectionMonitors:get - √ x 父主题： 站点入云VPN授权项列表

Android设备上登录Linux云服务器 如果您使用Android设备，请确保已经安装了JuiceSSH。本示例中使用CentOS 7.6操作系统，通过用户名和密码进行认证。 启动JuiceSSH，单击“连接”。 图5 启动JuiceSSH 在“连接”页面单击图标。 图6 连接 在“新建连接”页面上，添加基本设置和高级设置的信息并保存。需要添加的信息如下： 昵称：指定登录会话的名称，如本例中，设置为“linux_test”。 类型：使用默认值“SSH”。 地址：输入需要登录的Linux实例的弹性公网IP地址。 按以下步骤设置认证： 单击“认证”，在下拉列表里单击“新建”。 在“新建认证”页面上，添加如下信息后，单击图标。 昵称：可选项，您可以根据需要设置一个身份名称，方便后续管理。如本示例中，设置为“linux_test”。 用户名：输入用户名“root”。 密码：单击“设置（可选）”后，输入实例的登录密码，单击“确定”。 图7 新建认证 端口：输入端口号“22”。 图8 端口号 在“连接”页面单击创建好的连接。 图9 单击连接 确认提示信息后，单击“接受”。 图10 确认提示信息 （可选）第一次连接时，JuiceSSH会提示您如何设置字体大小，如何弹出键盘等。确认信息后，单击“好的，我知道了！”。 图11 教程 至此，您已经成功登录Linux实例。 图12 登录Linux实例

IOS设备上登录Linux云服务器 如果您使用iOS设备，请确保已经安装了SSH客户端工具，以Termius为例。本示例中使用CentOS 7.6操作系统，使用用户名和密码进行认证。 启动Termius，单击New Host。 图1 New Host 在SSH页面上，输入连接信息后，单击 Save。需要输入的连接信息包括： Alias：指定Host名称，如本例中，设置为ecs01。 Hostname：输入需要连接的 Linux 实例的公网IP地址。 Use SSH：打开SSH登录配置。 Host：输入需要连接的Linux实例的公网IP地址。 Port：输入端口号22。 用户名：输入用户名root。 密码：输入实例登录密码。 图2 输入连接信息 单击右上角的“Save”，保存登录信息，在Hosts页面，单击连接的名称远程连接服务器。 图3 保存登录信息 当出现如图4所示页面时，您已经成功地连接了Linux云服务器。 图4 已连接

共享镜像 用户将接受云平台其他用户共享的私有镜像，作为自己的镜像进行使用。更多关于共享镜像的使用，请参见共享镜像。 用户只能共享自己没有发布为市场镜像的私有镜像，已经发布为市场镜像的不能共享。 镜像共享的范围只能在区域内。如果您需要跨区域共享镜像，请先复制镜像到目标区域后再共享。 每个镜像最多可以共享给128个租户。 用户可以随时取消自己共享的镜像，无需通知镜像的接受方。 用户可以随时删除自己共享的镜像，无需通知镜像的接受方。 加密镜像不能共享。 只有通过云备份创建的整机镜像，才支持共享。通过其他方式创建的整机镜像，暂不支持共享。

私有镜像 私有镜像包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 表1 私有镜像类型 镜像类型 说明 系统盘镜像 包含用户运行业务所需的操作系统、应用软件的镜像。系统盘镜像可以用于创建云服务器，迁移用户业务到云。 数据盘镜像 只包含用户业务数据的镜像。数据镜像可以用于创建云硬盘，将用户的业务数据迁移到云上。 整机镜像 包含用户运行业务所需的操作系统、应用软件和业务数据的镜像。整机镜像包含系统盘和其所挂载的所有数据盘。 ISO镜像 将外部镜像的ISO文件注册到云平台的私有镜像。ISO镜像是特殊的镜像，只能发放用作临时过渡的云服务器。 如果您使用私有镜像切换操作系统请参考《 镜像服务 用户指南》提前完成私有镜像的制作。 如果需要指定弹性云服务器的镜像，请提前使用指定弹性云服务器创建私有镜像。 如果需要使用本地的镜像文件，请提前将镜像文件导入并注册为云平台的私有镜像。 如果需要使用其他区域的私有镜像，请提前复制镜像。 如果需要使用其他账号的私有镜像，请提前完成镜像共享。

什么是镜像 镜像是一个包含了软件及必要配置的云服务器或裸金属服务器模版，包含操作系统或业务数据，还可以包含应用软件（例如，数据库软件）和私有软件。镜像分为公共镜像、私有镜像、共享镜像、市场镜像。 镜像服务（Image Management Service）提供简单方便的镜像自助管理功能。用户可以灵活便捷的使用公共镜像、私有镜像或共享镜像申请云服务器。同时，用户还能通过已有的云服务器或使用外部镜像文件创建私有镜像。

登录方式概述 请根据需要选择登录方式，登录云服务器。 表1 Linux云服务器登录方式一览 云服务器操作系统 本地主机操作系统 连接方法 条件 Linux Windows （推荐使用）使用控制台提供的CloudShell登录云服务器。 通过CloudShell登录Linux E CS 。 云服务器绑定弹性公网IP。 （通过内网登录云服务器时可以不绑定弹性公网IP，例如VPN、云专线等内网网络连通场景。） Windows 使用PuTTY、Xshell等远程登录工具： 密码方式鉴权：SSH密码方式登录（本地使用Windows操作系统）。 密钥方式鉴权：SSH密钥方式登录（本地使用Windows操作系统）。 Linux 使用命令连接： 密码方式鉴权：SSH密码方式登录（本地使用Linux操作系统）。 密钥方式鉴权：SSH密钥方式登录（本地使用Linux操作系统）。 移动设备 使用Termius、JuiceSSH等SSH客户端工具登录云服务器： 通过移动设备登录Linux ECS。 下载华为云APP连接云服务器： 通过华为云APP登录Linux ECS。 macOS系统 使用系统自带的终端（Terminal）： 通过macOS主机登录Linux ECS。 Windows 使用管理控制台远程登录方式：通过VNC登录Linux ECS。 不依赖弹性公网IP。

操作步骤 启动RD Client。 在“Remote Desktop”页面右上角，单击图标，选择“Desktop”。 图1 Remote Desktop 在“Add desktop”页面，设置登录信息后，单击“SAVE”。 PC name：输入需要登录的Windows实例的弹性公网IP地址。 按以下步骤设置“User name”： 单击“User name”，在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 输入Windows实例账号“administrator”，并输入实例的登录密码，单击“SAVE”。 图2 输入登录信息 图3 保存填写的登录信息 在“Remote Desktop”页面，单击需要登录的Windows实例图标。 图4 登录Windows实例 确认信息后，单击“CONNECT”。 图5 CONNECT

背景知识 弹性云服务器的密码规则如表2所示。 表2 密码设置规则 参数 规则 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种： 大写字母 小写字母 数字 Windows操作系统云服务器特殊字符：包括“!”、“@”、“$”、“%”、“^”、“-”、“_”、“=”、“+”、“[”、“{”、“(”、“)”、“}”、“]”、“:”、“,”、“.”、“/”、“?”、“~”“#”和“*” Linux操作系统云服务器特殊字符：包括“!”、“@”、“$”、“%”、“^”、“-”、“_”、“=”、“+”、“[”、“{”、“}”、“]”、“:”、“,”、“.”、“/”、“?”、“~”“#”和“*” 密码不能包含用户名或用户名的逆序。 Windows操作系统的云服务器，不能包含用户名中超过两个连续字符的部分。

qt enclave console 在启动QingTian Enclave时，指定为debug-mode时，用于在父虚拟机中查看QingTian Enclave中的只读控制台输出，命令格式如下： [root@localhost ~]# qt enclave console -h Command qt enclave console : Console an enclave via the enclave-id while debugging. Arguments --enclave-id [Required] Global Arguments --debug : Increase logging verbosity to show all debug logs. --help -h : Show this help message and exit. --only-show-errors : Only show errors, suppressing warnings. --output -o : Output format. Allowed values: json, jsonc, none, table, tsv, yaml, yamlc. Default: json. --query : JMESPath query string. See http://jmespath.org/ for more information and examples. --verbose : Increase logging verbosity. Use --debug for full debug logs. Examples Given an enclave-id to console an enclave qt enclave console --enclave-id [ENCLAVE-ID] 必选项：--enclave-id，指定需要获取只读控制台输出的QingTian Enclave虚拟机的enclave-id。 命令行执行成功后，会打印QingTian Enclave虚拟机的只读控制台输出，如下所示： hello enclave! hello enclave! hello enclave! hello enclave! 您可以使用ctrl+c的方式退出该命令。需要注意的是，在同一时间我们只允许一个qt enclave console命令作用于一个指定的QingTian Enclave实例。

qt enclave query 该命令用于在父虚拟机内查询当前已创建的QingTian Enclave虚拟机信息，命令格式如下： [root@localhost ~]# qt enclave query -h Command qt enclave query : Query an enclave via the enclave-id or query all enclaves. Arguments --enclave-id Global Arguments --debug : Increase logging verbosity to show all debug logs. --help -h : Show this help message and exit. --only-show-errors : Only show errors, suppressing warnings. --output -o : Output format. Allowed values: json, jsonc, none, table, tsv, yaml, yamlc. Default: json. --query : JMESPath query string. See http://jmespath.org/ for more information and examples. --verbose : Increase logging verbosity. Use --debug for full debug logs. Examples Given an enclave-id to query an enclave qt enclave query --enclave-id [ENCLAVE-ID] Query all enclaves without enclave-id qt enclave query

qt enclave make-img 该命令用于将用户制作好的docker镜像转换为QingTian Enclave虚拟机可用的镜像，命令格式如下： [root@localhost ~]# qt enclave make-img -h Command qt enclave make-img : Make an eif image from a docker image. Arguments --docker-uri [Required] --eif [Required] --private-key --signing-certificate Global Arguments --debug : Increase logging verbosity to show all debug logs. --help -h : Show this help message and exit. --only-show-errors : Only show errors, suppressing warnings. --output -o : Output format. Allowed values: json, jsonc, none, table, tsv, yaml, yamlc. Default: json. --query : JMESPath query string. See http://jmespath.org/ for more information and examples. --verbose : Increase logging verbosity. Use --debug for full debug logs. Examples Given docker-uri and eif to make an eif image qt enclave make-img --docker-uri [DOCKER-URI] --eif [EIF] Make an eif image with private-key and signing-certificate qt enclave make-img --docker-uri [DOCKER-URI] --eif [EIF] --private-key [PRIVATE-KEY] --signing-certificate [SIGNING-CERTIFICATE]

操作场景 为保证安全和节省公网IP资源，通常只为特定的弹性 云服务器配置 公网IP，可直接访问Internet，其他弹性云服务器只配置私网IP，无法直接访问Internet。因此，当只配置了私网IP的弹性云服务器需要访问Internet，执行软件升级、给系统打补丁或者其它需求时，可选择一台绑定了公网IP的弹性云服务器作为代理弹性云服务器，为其他无公网IP的云服务器提供访问通道，正常访问Internet。 优先推荐您使用NAT（NAT Gateway）网关服务。NAT网关能够为VPC内的弹性云服务器提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。了解更多请参考NAT网关。

示例3：多属性搜索 支持选择多个不同的属性，搜索时多个属性为“与”的关系。 以下属性仅支持精确搜索，需输入完整的属性值：ID、弹性公网IP地址、镜像ID、VPC ID。 本例同时使用“名称”和“私有IP地址”进行搜索。 在云服务器列表页搜索的输入框中选择“名称”并输入取值。按回车键进行搜索。本例名称使用模糊搜索。 添加筛选属性条件，选择“私有IP地址”，根据提示输入私有IP地址，按回车键进行搜索。本例私有IP地址使用模糊搜索。 图8 按名称和私有IP地址搜索云服务器