华为云用户手册

实现原理 华为云视频点播提供的HLS加密使用的HLS规范中的通用加密方案，通过指定的AES-128加密算法来加密每一个TS，并在生成的m3u8文件中描述播放器如何解密TS文件的方法，支持所有的HLS播放器。 本方案中，点播服务集成了华为云的KMS，向HLS加密提供密钥。 加密流程 业务侧将视频上传到点播服务（VOD）后，请求HLS加密。 点播服务收到加密请求后，向KMS请求加密密钥，并将获取的密钥ID和密钥密文存储在点播服务中。 点播服务向媒体处理服务请求HLS加密，媒体处理服务通过转码功能将对应的视频进行加密。 转码加密后生成的m3u8文件带有“#EXT-X-KEY”标签，该标签包含了“METHOD”和“URI”属性，其中“URI”即为业务侧搭建的密钥管理服务的地址，示例如下所示。 若加密后使用的播放地址是https，则秘钥管理服务的地址也需要配置为https协议，否则无法在点播控制台预览播放。 #EXTM3U #EXT-X-VERSION:3 #EXT-X-TARGETDURATION:6 #EXT-X-MEDIA-SEQUENCE:0 #EXT-X-KEY:METHOD=AES-128,URI="https://domain-sample/encrypt/get-key?asset_id=6aee80009c4ca6970f508d6334194794",IV=0x80a3ff24ccd788042ca7f2237e74c59d #EXTINF:5.000000, 6aee80009c4ca6970f508d6334194794_1_1920X1080_3000_0_0.ts #EXTINF:5.000000, 6aee80009c4ca6970f508d6334194794_1_1920X1080_3000_0_1.ts #EXT-X-ENDLIST 加密后，点播服务通过CDN将加密的HLS视频文件进行加速分发。 解密流程 终端用户登录播放器终端，业务侧会对终端用户进行身份校验，校验通过后，会为播放终端分配一个Token，并将带Token的播放地址返回给播放器端。 示例：若转码加密后的HLS视频播放地址为：https://1280.cdn-vod.huaweicloud.com/input/test.m3u8，则播放器终端获取的播放地址为：https://1280.cdn-vod.huaweicloud.com/input/test.m3u8?token={token} 播放器终端通过带Token的播放URL向CDN请求播放。由于Token是动态的，所以CDN收到请求后，会直接回源到点播服务。点播服务会将请求URL中的Token写入请求的m3u8文件的“URI”中。 点播服务返回给CDN的m3u8文件中会携带播放终端的Token值，示例如下所示。 #EXTM3U #EXT-X-VERSION:3 #EXT-X-TARGETDURATION:6 #EXT-X-MEDIA-SEQUENCE:0 #EXT-X-KEY:METHOD=AES-128,URI="https://domain-sample/encrypt/get-key?asset_id=6aee80009c4ca6970f508d6334194794&token={token}",IV=0x80a3ff24ccd788042ca7f2237e74c59d #EXTINF:5.000000, 6aee80009c4ca6970f508d6334194794_1_1920X1080_3000_0_0.ts #EXTINF:5.000000, 6aee80009c4ca6970f508d6334194794_1_1920X1080_3000_0_1.ts #EXT-X-ENDLIST 播放终端解析返回的m3u8文件，得到EXT-X-KEY标签中的“URI”内容，向“URI”请求密钥。 业务侧的密钥管理服务收到请求后，先验证Token的合法性，若Token合法，则通过调用点播服务的API查询密钥。 密钥管理服务可以选择将查询到的密钥缓存在本地，当下次有其它播放终端请求时，可以直接返回，无需每次都向点播服务获取。 密钥管理服务将点播服务返回的密钥返回给播放终端。播放终端通过获取的密钥解密播放m3u8文件。

搭建相关服务 若需要使用HLS加密功能，并实现解密播放功能，您需要在您的业务端服务器搭建密钥管理服务和Token生成服务。 密钥管理服务，搭建的密钥管理服务需要具备如下功能，密钥管理服务示例代码请参见示例代码。 支持身份鉴定：如实现原理中描述，密钥管理服务收到密钥请求时，需要验证请求的Token是否合法。 支持向点播服务获取密钥：HLS加密的原始密钥是存储在点播服务中的，因此，密钥管理服务需要调用点播服务API，获取对应媒资的密钥。 支持缓存获取的密钥：为避免每次都从点播服务获取密钥，密钥管理服务应该具备缓存功能，将获取的密钥进行缓存。 Token生成服务：当终端用户登录您的播放终端时，您的业务侧服务应该对终端用户的合法性进行校验，生成对应的Token，将带Token的播放地址返回播放器端。Token生成示例代码请参见示例代码。 生成的Token需要包含大写字母、小写字母和数字，长度可自行限制。每一次登录分配一个唯一的Token，且具备时效性。遵循权限最小化原则，建议将该Token仅用于HLS加密视频的场景。 您可以根据实际需求，参考demo源码搭建符合业务需求的密钥管理服务和Token生成服务。

配置Key防盗链 为点播资源配置Key防盗链，通过鉴权URL的时效性来进一步加强点播资源的安全。 登录视频点播控制台。 在左侧导航栏选择“域名管理”，进入域名管理界面。 单击域名右侧“配置 ”，在“防盗链”页签选择“Key防盗链”。 在弹出的配置框中打开“防盗链开关”，并配置相关参数。 图3 配置Key防盗链 表1 参数说明 参数 描述说明 密钥值 即Key值，单击“生成”，可自动生成符合格式的密钥值。 误差允许时间 表示当前防盗链有效时间，默认为120分钟。 示例：若鉴权URL生成时间为1573806090（2019/11/15 16:21:30），配置的“误差允许时间”为120分钟，则鉴权URL的失效时间为2019/11/15 18:21:30。 旧key的失效时间 采用新Key时，旧Key值的失效时间，从新Key生效时开始计算，默认60分钟后失效。 示例：若新Key生效时间为2019/11/15 16:21:30，配置的“旧Key的失效时间”为60分钟，则旧鉴权URL的真正失效时间为2019/11/15 17:21:30。 算法 加密算法，支持ABCD四种算法，默认为算法D。选择的算法不同，生成的鉴权URL也是不同的，具体的生成规则可参考Key防盗链。 说明： 算法ABC暂不支持HLS和DASH播放场景，建议使用算法D。 单击“确定”，完成参数配置。 提交工单申请审核，提交的信息需要包含配置的域名，及表1中的信息。 审核通过后Key防盗链功能才会生效。若修改了Key防盗链的配置，也需重新提交工单审核。

验证防盗链功能 验证Referer防盗链 在Referer防盗链中配置的referer白名单为“www.huaweicloud.com”，且不勾选“不包含空Referer”。在“http://www.example.com/test/test.html”网页中引用点播服务中的视频文件“https://1280.cdn-vod.huaweicloud.com/input/1.mp4”，访问该网页并播放视频，若播放失败则表示Referer防盗链生效。 验证Key防盗链 登录视频点播控制台，在左侧导航树中选择“音视频管理”。 在某个音视频行单击“管理”，选择“播放地址”页签，获取播放地址。 图4 获取鉴权URL 其中“地址”列为原始播放地址，单击可获取鉴权播放地址。 在播放器端分别播放原始播放地址和鉴权播放地址，若原始播放地址播放失败，鉴权播放地址播放成功，则表示Key防盗链生效。

实现原理 Referer防盗链的实现原理比较简单，在点播控制台配置了白名单或黑名单后，点播服务会将这份名单分发到CDN中。当CDN接收到资源请求时，会根据这个名单来识别请求是否合法，若合法，则访问请求的资源，否则拒绝并返回403。 Key防盗链是视频点播的加速节点与点播源站联合实现的，比Referer防盗链更为安全可靠的一种防盗播方案。Key防盗链的实现过程如图1所示。 图1 Key防盗链实现原理 流程说明如下所示： 租户在点播控制台开启Key防盗链功能，并配置误差允许时间、算法等。 点播服务将配置的密钥值等下发到CDN节点中。 租户通过点播服务获取到点播媒资的鉴权URL。 观众通过租户提供的鉴权播放URL向CDN请求视频播放。 CDN根据播放URL中携带的鉴权信息校验请求的合法性，仅校验通过的请求会被允许。

配置Referer防盗链 先配置Referer防盗链，限制请求来源，使点播资源得到最基本的安全保障。 当前Referer防盗链配置不支持带端口。 登录视频点播控制台。 在左侧导航栏选择“域名管理”，进入域名管理界面。 单击域名右侧“配置 ”，在“防盗链”页签单击“Referer防盗链”。 在弹出的配置框中打开“开关”，并配置相关参数。 图2 Referer防盗链配置信息 类型：支持黑名单和白名单模式。 Referer黑名单：表示仅名单内的域名不允许访问点播资源，其它可以访问。若同时勾选了“包含空Referer”，则表示不允许HTTP Header中Referer为空的请求。 Referer白名单：表示仅名单内的域名允许访问点播资源，其它不可以访问。若同时勾选了“包含空Referer”，则表示允许HTTP Header中Referer为空的请求。 规则：名单详情，最多支持4级域名，最多支持100条，以英文“;”分隔。域名、IP地址可混合输入，支持泛域名添加。域名前不能带协议名（http://和https://）。 示例：www.example.com;*.test.com;192.168.0.0 单击“确定”，完成配置。 大约需要3-5分钟，Referer防盗链才生效。

场景说明 为对分发的音视频进行播放权限控制，点播服务提供了防盗链功能。开启后，CDN会对所有播放请求中携带的关键信息进行校验，仅校验通过的请求会予以响应，其它非法的访问将直接返回403。防盗链方案中包含Referer防盗链和Key防盗链。 Referer防盗链是基于HTTP协议支持的Referer机制实现的，通过播放请求中携带的Referer字段识别请求来源。配置黑名单或白名单，CDN将根据名单对请求来源进行过滤，从而达到最基本的访问控制的目的。Referer防盗链具有配置便捷，无需额外开发，快速生效等优势，适用于音视频主要在web端引用的场景。 由于HTTP Header的内容可伪造，Referer防盗链只能达到最基本的保护，安全性不高。所以还可以采用Key防盗链方案，通过鉴权播放URL保障点播资源的安全。由于鉴权的Key值具有时效性，所以适用于对媒资安全要求比较高的场景。 本示例中，开启Referer防盗链，只允许白名单中的域名访问视频文件，然后通过Key防盗链生成鉴权播放地址。

场景说明 目前视频点播已提供了丰富的音视频上传方式，如视频点播控制台的本地上传 为解决上述问题，视频点播提供了OBS音视频托管功能，源文件仍是存储在OBS桶中，授权托管给点播服务后，您可以直接在视频点播控制台对源文件进行处理，且处理后生成的相关媒资文件可以选择存储在点播服务或者自己的OBS桶中。 本示例中将实现如下场景： “华北-北京四”的OBS桶中已存储了大量的音视频文件，先将现有的音视频同步到点播服务中，后续若有新的音视频文件增加，将自动同步到点播服务。使用点播服务处理音视频产生的相关媒资文件存储的“华北-北京四”的另一个OBS桶中，且存储路径与源文件的路径一致。

加密算法E 目前界面可以正常展示E算法，但功能暂未开放使用，请用户知晓。 鉴权URL格式 原始URL?auth_key={authKey}×tamp={timestamp}&exper={exper} authKey的计算公式：auth_key = sha256({PrivateKey }{fileName}{timestamp}{exper}) 表6 鉴权字段描述 字段 描述 timestamp 鉴权URL生成时间，为Unix时间戳，即1970年1月1日以来的秒数。单位：秒。 示例：1564731935。即时间为：2019.08.02 15:45。 fileName 实际回源访问的URL，鉴权时filename需以“/”开头，且不能包含鉴权URL中“?”后面的参数。 如：/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 PrivateKey 用户设定的鉴权密钥，用于生成加密URL。 密钥的格式为大小写字母和数字，长度为16到32位字符。 exper 视频试看时长。 取值为数字。单位：秒。 鉴权URL示例 原始URL：http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 private_key：32d6b2d740f10b86 timestamp：1547123166 fileName：/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 exper：300 则根据计算公式，得到auth_key auth_key = sha256(32d6b2d740f10b86/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp41547123166300) = 3a935cf1d8299fe63ec8d4e0afb5ef3304883a702a4e760f3c5ae838a4b69768 最终得到算法E并且支持试看功能的鉴权URL http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4?auth_key=3a935cf1d8299fe63ec8d4e0afb5ef3304883a702a4e760f3c5ae838a4b69768×tamp=1547123166&exper=300

加密算法D 鉴权URL格式 原始URL?auth_info={加密串}.{EncodedIV} 加密串和EncodedIV的计算公式： 加密原始串 = url_encoding({path}+"$"+{Timestamp}) 加密串 = aes_cbc_128_pkcs5padding(原始加密串,key,IV) EncodedIV = hex(IV) 表5 鉴权字段描述 字段 描述 path 指从域名开始，到最后一层目录，包括域名后的“/”，也包含最后一层目录后的“/”，不包括文件名。 示例：/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/ Timestamp 鉴权URL生成时间，UTC时间，格式为yyyyMMddHHmmss，用于检查鉴权参数是否过期。 示例：20190805101025 key 在控制台设置的防盗链Key值，具体请参见配置步骤。 IV 随机生成的bytes数组，长度为16。 hex()：将bytes数组转换成十六进制的字符串。 生成IV生成示例代码如下所示： byte[] iv = new byte[16]; SecureRandom secureRand = new SecureRandom(); secureRand.nextBytes(iv); 鉴权URL示例 原始URL：https://179.cdn-vod.huaweicloud.com/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/index.m3u8 path：/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/ key：8Ks1qn14XRO28qOa Timestamp：20190805102430 则根据计算公式，得到加密串和EncodedIV 原始加密串 = url_encoding("/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/") + "$" + "20190805102430" 加密串 = aes_cbc_128_pkcs5padding(原始加密串,key,IV) = 34M%2F6KtYgxuAozdBLIVTe0dUVAZdvXsYQoYAnDmuhRHh1hshYg%2B2Tl0AmSwySDh%2BmkER44qYKpSP%2BgfsLM%2FIZe4F6K4n1Nx6ouGwyKfqdDA%3D EncodedIV = hex(IV) = 79436d453636364e335941713330534e 最终得到算法D的鉴权URL https://179.cdn-vod.huaweicloud.com/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/index.m3u8?auth_info=34M%2F6KtYgxuAozdBLIVTe0dUVAZdvXsYQoYAnDmuhRHh1hshYg%2B2Tl0AmSwySDh%2BmkER44qYKpSP%2BgfsLM%2FIZe4F6K4n1Nx6ouGwyKfqdDA%3D.79436d453636364e335941713330534e

实现原理 Referer防盗链的实现原理比较简单，在点播控制台配置了白名单或黑名单后，点播服务会将这份名单分发到CDN中。当CDN接收到资源请求时，会根据这个名单来识别请求是否合法，若合法，则访问请求的资源，否则拒绝并返回403。 Key防盗链是视频点播的加速节点与点播源站联合实现的，比Referer防盗链更为安全可靠的一种防盗播方案。Key防盗链的实现过程如图1所示。 图1 Key防盗链实现原理 流程说明如下所示： 租户在点播控制台开启Key防盗链功能，并配置误差允许时间、算法等。 点播服务将配置的密钥值等下发到CDN节点中。 租户通过点播服务获取到点播媒资的鉴权URL。 观众通过租户提供的鉴权播放URL向CDN请求视频播放。 CDN根据播放URL中携带的鉴权信息校验请求的合法性，仅校验通过的请求会被允许。

加密算法B 鉴权URL格式 https://{cdn_domain}/{date_YYYYmmddHHMM}/{md5sum}/asset/{asset_id}/{file_name} md5sum的计算公式： md5sum = md5({private_key}{date_yyyyMMddHHmm}/asset/{asset_id}/{file_name}) 表3 鉴权字段描述 字段 描述 date_yyyyMMddHHmm 鉴权URL生成时间，格式为：yyyyMMddHHmm。 示例：201908051445 file_name 指原始播放URL中从媒资ID后开始到最后的路径。 示例：play_video/test.mp4 private_key 在控制台设置的防盗链Key值，具体请参见配置步骤。 鉴权URL示例 原始URL：http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 private_key：myPrivateKey date_yyyyMMddHHmm：201901102026 file_name：test.mp4 则根据计算公式，得到md5sum md5sum = md5(myPrivateKey201901102026/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4) = 713ef643de8df076da6ec3c0545968cb 最终得到算法B的鉴权URL http://1.cdn.myhuaweicloud.com/201901102026/713ef643de8df076da6ec3c0545968cb/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4

加密算法C 鉴权URL格式 https://{cdn_domain}/{md5hash}/{time_hex}/asset/{asset_id}/{file_name} md5hash的计算公式： md5hash = md5({private_key}/asset/{asset_id}/{file_name}{time_hex}) 表4 鉴权字段描述 字段 描述 file_name 指原始播放URL中从媒资ID后开始到最后的路径。 示例：play_video/test.mp4 time_hex 鉴权URL生成时间，为Unix时间戳的十六进制结果。 示例：hex(1564987530)=5D47D08A private_key 在控制台设置的防盗链Key值，具体请参见配置步骤。 鉴权URL示例 原始URL：http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 private_key：myPrivateKey time_hex：hex(timestamp) = hex(1547123166) = 5C3739DE file_name：test.mp4 则根据计算公式，得到md5sum md5hash=md5(myPrivateKey/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp45C3739DE) = afa20c956043fe6d130b16f2704ac870 最终得到算法C的鉴权URL http://1.cdn.myhuaweicloud.com/afa20c956043fe6d130b16f2704ac870/5C3739DE/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4

加密算法A 鉴权URL格式 原始URL?auth_key={timestamp}-{rand}-{uid}-{auth_key} auth_key的计算公式： auth_key = MD5(/asset/{assetId}/{file_name}-{timestamp}-{rand}-{uid}-{private_key}) 表2 鉴权字段描述 字段 描述 timestamp 鉴权URL生成时间，为Unix时间戳，1970年1月1日以来的秒数。 示例：1564731935（即2019.08.02 15:45） rand 随机数，建议使用UUID方式生成，不能包含中划线”-“。 示例：f03cbe7c4a3849bc8d8769e3110e4533 uid 暂未使用，直接设置成0即可。 private_key 在控制台设置的防盗链Key值，具体请参见配置步骤。

功能介绍 开通视频点播服务后，您可以使用如下方式将音视频上传至点播服务，从而进行相关管理操作。 本地上传：支持将存储在本地磁盘的音视频文件上传到视频点播中。 URL拉取：支持基于音视频源文件URL，离线拉取上传到点播系统。 音视频托管：支持将OBS桶中的音视频文件托管给视频点播，从而通过点播处理音视频，并支持将处理后产生的媒资文件存储在OBS桶中。 您可以参考如下步骤进行视频上传，也可以参考视频指导来操作。

其它操作 增量托管配置添加后，您可以对在托管列表中对相关配置做如下操作： 编辑：修改已添加的增量托管配置。 开启：开启处于“关闭”状态中的增量托管配置。开启后，若托管配置中的OBS桶有新增音视频文件，则将会托管到点播服务，可在控制台的“音视频管理”页面查看到。 关闭：关闭处于“开启”状态的增量托管配置。关闭后，若托管配置中的OBS桶有新增音视频，则将不会托管到点播服务中。 删除：删除增量托管配置后，对应的OBS桶将与点播服务无托管关系。

费用说明 音视频转码为计费项功能，默认为按需付费，建议您购买转码套餐包，更优惠。目前视频点播提供了三种转码包，各转码包的使用场景如下所示： H.264标准转码包 支持抵扣“视频编码”为“H.264”，且“高清低码”为“关闭”状态的视频转码。 支持抵扣音频转码，按“5/22”折算时长后进行抵扣。 H.264高清低码转码包：只能抵扣“视频编码”为“H.264”，且“高清低码”为“开启”状态的视频转码。 H.265标准转码包：只能抵扣“视频编码”为“H.265”，且“高清低码”为“关闭”状态的视频转码。 三种转码包都不支持抵扣使用转封装模板（original_template_group）产生的费用。

转码模板介绍 为了方便对点播服务熟悉程度不同的用户快速使用转码功能，点播服务提供了四种系统转码模板，若您是点播服务的新用户，建议您优先使用系统模板。 点播服务内置了如下四种系统转码模板： 不转码模板（non_transcoding_template_group ）：对音视频进行不转码操作，若您在音视频处理中未选择其它转码模板，则该模板默认生效。由于上传到点播服务的音视频默认是不转码分发的，所以对于用户来说，该模板无实际使用场景。 视频转码模板（system_template_group）：内置了常用的视频清晰度，该模板适用于对分辨率、码率、帧率等音视频具体参数不熟悉的用户。 转封装模板（original_template_group）：只转换音视频的封装格式，不改变其它参数，该模板主要适用于只需改变格式，无分辨率和码率等改变需求的场景。 视频自适应转码模板（adaptive_template_group）：支持视频画质增强功能，该模板适用于有修复视频受损图像需求的场景。 若您对于音视频的相关参数足够熟悉，且系统模板无法满足实际需求，您也可以选择自定义转码模板。

场景说明 通过点播服务加速分发的音视频可能被引用到各种业务场景，如产品官网、视频网站等，也可能在不同的终端进行播放，如web端、移动端。为适用于多样化的场景，点播服务提供了转码功能，支持改变音视频的编码格式、封装格式、分辨率、码率等参数，从而适用于不同的业务场景、播放终端及网络环境。 转码功能可以帮助您处理如下问题： 适配不同播放终端：您可以将原始音视频转码为更适应于各终端播放的格式，如MP4格式适用于网站点播的场景。 适配不同网络环境：您可以根据不同的网络带宽设置转码输出的码率，以适应不同的网络播放环境。 降低分发成本：支持压缩率更高的H.265编码格式，您也可以在转码时开启高清低码功能，在分辨率不变的情况下，码率下降20%左右，从而降低音视频的分发成本。 HLS内容保护：您可以在转码时开启HLS加密，对转码的HLS格式音视频进行加密，从而防止音视频被盗用后进行二次分发。 版权保护：您可以为视频添加自己独有的logo等标识水印，以宣示该视频的版权所属。 音视频提取：支持转码提取音频文件，主要适用于一些纯音频的场景，如电台、音频APP等。 禁用音频：同时也支持输出无音频的视频文件，主要适用于需要禁用原音频的场景。

使用限制 音视频转码当前支持的输入格式如下所示： 支持输入的音视频文件格式：MP4、TS、MOV、FLV、MPG、MXF、WMV、ADTS、AVI、MKV、MPEG等。 支持输入的视频编码格式：H.264、 H.265、 MPEG-2、MPEG-4、MJPEG、WMV1/2/3、ProRes 422等。 支持输入的音频编码格式：AAC、 AC3、EAC3、HE-AAC、MP2、MP3、PCM（s161e、s16be、s241e、s24be、dvd）、WMA等。

音频提取 若只需要某个视频文件的音频内容，您可以使用该功能将视频文件中的音频提取出来，暂只支持提取出MP3格式的音频文件。 勾选一个或多个视频文件，单击“音频提取”。 刷新音视频管理界面，可以看到提取音频任务的处理状态为“转码中”。 当“转码状态”为“转码成功”时，表示音频提取完成，您可以在音视频列表第一行获取提取生成的音频文件。 提取出来的音频文件与原视频文件同名称，您可以根据描述来找到对应的音频文件，音视频列表默认不呈现“描述”列，请在页面右侧单击，勾选“描述”。

添加字幕 您可以为音视频文件添加格式为“SRT”，文字编码为“UTF-8”的字幕文件。字幕文件上传成功后，需要对音视频进行转码才能在音视频中压制对应字幕。 单击音视频所在行的“管理”，在“基本信息”页签单击“编辑”，进入基本信息编辑状态。 单击“上传字幕”，选择本地字幕文件上传。 单击“保存”后，关闭编辑状态。 勾选音视频，单击“转码”，重新转码压制字幕。 单击音视频所在行的“管理”，即可在“字幕与封面信息”页签获取到字幕文件URL。

更新封面 音视频文件上传后，系统默认取第一帧作为封面，您也可以从本地上传JPG或PNG格式的图片作为其封面。若需要使用视频中某个画面作为封面，您可以使用视频截图功能。 单击音视频所在行的“管理”，在“基本信息”页签单击“编辑”，封面处于编辑状态。 图1 媒资基本信息 单击“封面”后的加号框，在“上传封面”弹框内，选择本地图片文件。 图2 上传封面 单击“保存”后，关闭编辑状态。 封面将在3到5分钟之内生效。

转码 您可以在“音视频管理”页面选择一个或多个音视频文件进行转码。 支持输入的音视频文件格式：MP4、TS、MOV、FLV、MPG、MXF、WMV、ADTS、AVI、MKV、MPEG等。 支持输入的视频编码格式：H.264、 H.265、 MPEG-2、MPEG-4、MJPEG、WMV1/2/3、ProRes 422等。 支持输入的音频编码格式：AAC、 AC3、EAC3、HE-AAC、MP2、MP3、PCM（s161e、s16be、s241e、s24be、dvd）、WMA等。 勾选一个或者多个音视频文件，单击“转码”。 在弹框内选择系统预置模板或在转码设置的配置的自定义模板，单击“确认”。 在音视频管理界面可以看到音视频文件的转码状态为“转码中”。 转码完成后，您可以单击音视频所在行的“管理”，在“播放地址”页签获取转码后的播放地址。

修改公共模板 为了节约容器运行的资源及防止容器超载，可对容器使用的CPU和内存进行申请与限制。本节通过编排公共模板，增加magento前台应用和MySQL数据库应用的CPU和内存的申请与限制参数。 申请：表示容器运行所需最少资源。 限制：如果担心容器超载，导致系统故障，建议设置容器配额的最高限制，确保容器资源不会超额。 登录AOS控制台，选择左侧导航栏的“模板市场”，单击“公共模板”。 在“行业场景模板”下，单击Magento电商应用，查看模板详情。 图2 选择公共模板 在模板详情中，展示了该模板的概述，以及模板图示。magento应用组中包含了一个magento前台应用和MySQL数据库应用。且magento依赖于MySQL应用，需要将数据存储到MySQL中。 单击“复制模板”，复制模板文件到“我的模板”。 图3 复制模板 修改“模板名称”，本例为“my-business-app”，单击“确定”，系统跳转到“my-business-app”模板详情页面。 图4 修改模板名称 单击操作列的“下载模板”，根据业务需要修改模板信息。以下以增加magento前台应用的CPU和内存的申请与限制参数为例编排模板。 name: magento-container resources: requests: cpu: get_input: requestMagentoCPU memory: get_input: requestMagentoMemory limits: cpu: get_input: limitMagentoCPU memory: get_input: limitMagentoMemory ports: - containerPort: 80 protocol: TCP 各属性解释如下： resources：定义容器资源规格。 requests：给容器分配的资源配额。 limits：容器能够使用的资源上限。 cpu：容器使用的CPU需求。 memory：容器使用的Memory需求。 get_input：用于获取模板文件中inputs区域中定义的输入参数的值。 在inputs部分添加输入参数的描述和标签。 inputs: app-name: default: magento description: 应用名称 label: magento mysql-service-name: default: magento-mysql description: MySQL数据库服务的名称 label: mysql requestMagentoCPU: description: MagentoCPU申请 label: magento requestMagentoMemory: description: Magento内存申请 label: magento limitMagentoCPU: description: MagentoCPU限制 label: magento limitMagentoMemory: description: Magento内存限制 label: magento magento-EIP: description: magento服务对外暴露访问地址 label: magento 各属性解释如下： inputs：定义基于模板创建堆栈时的可变部分。 requestMagentoCPU：定义输入参数Magento应用的CPU申请。 requestMagentoMemory：定义输入参数Magento应用的内存申请。 limitMagentoCPU：定义输入参数Magento应用的CPU限制。 limitMagentoMemory：定义输入参数Magento应用的内存限制。 description：参数描述信息。 label：参数的标签，此处定义的标签可在创建堆栈时进行分类展示。 保存本地模板文件。 在“my-business-app”模板详情页面，单击“新增版本”，版本号设置为2.0，上传本地修改后的模板文件。

IAM委托 通过创建委托，可以将资源共享给其他账号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的账号登录后，切换到委托方账号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保账号安全。 用户在使用RFS时，可以通过创建资源栈设置委托与Provider的绑定关系，通过更新资源栈更新委托与Provider的绑定关系。 RFS仅在创建资源栈（触发部署）、创建执行计划、部署资源栈、删除资源栈等涉及资源操作的请求中使用委托，且该委托仅作用于与之绑定的Provider对资源的操作中。如果委托中提供的权限不足，有可能导致相关资源操作失败。 操作步骤 登录统一身份认证服务控制台。 在统一身份认证服务的左侧导航窗格中，选择“委托”页签，单击右上方的“创建委托”。 图1 创建委托 在创建委托页面，设置“委托名称”。 委托给云服务RFS 图2 创建委托 此处“委托名称”为用户自定义。 此处如已使用“op_svc_iac”进行注册，建议修正为云服务“RFS”。 单击“下一步”，进入给委托授权页面，给对应委托授权： 图3 委托授权 可以筛选具体权限授权给委托 图4 选择策略 具体授权给委托哪些详细权限需要用户自己决定（华为云最佳实践不建议自动帮用户创建授予Tenant Administrator权限的委托）最佳实践为用户资源栈中可能需要使用到的资源进行授予管理权限（包括读写操作） 设置授权范围可以选择所有资源或选择定义region进行授权 图5 权限范围 单击“确定”，委托创建完成。 图6 父主题： 资源编排

云审计服务支持的RFS操作列表 云审计服务（Cloud Trace Service，简称CTS），能够记录各云服务每次操作详细信息，为客户在问题定位、资源管理、安全审计方面提供数据支撑。开启云审计服务后，CTS系统开始记录RFS资源的操作。 表1 云审计服务支持的RFS操作列表 操作名称 说明 createStack 创建资源栈 deployStack 部署资源栈 deleteStack 删除资源栈 updateStack 更新资源栈 parseTemplateVariables 解析模板参数 continueRollbackStack 继续回滚资源栈 continuedeployStack 继续部署资源栈 createExecutionPlan 创建执行计划 applyExecutionPlan 执行执行计划 deleteExecutionPlan 删除执行计划 createTemplate 创建模板 deleteTemplate 删除模板 updateTemplate 更新模板 createTemplateVersion 创建模板版本 deleteTemplateVersion 删除模板版本 useAgency 记录用户委托 createStackSet 创建资源栈集 deleteStackSet 删除资源栈集 deployStackSet 部署资源栈集 updateStackSet 更新资源栈集 createStackInstances 创建资源栈实例 deleteStackInstances 删除资源栈实例 updateStackInstances 更新资源栈实例 父主题： 审计

技术原理 将触发同步的“一条SQL”，通过查询重写转化为一对GDS不落地导入导出作业，分别在目标集群、源集群上执行，形成高效实时的数据中转通路，实现数据迁移同步。执行时，可以选择在目标集群或源集群上发起，分别对应“拉”、“推”两种方式。 图1 拉取方式 ① 远程连接源集群，创建GDS只写外表，发起导出作业。 ② 创建GDS只读外表，发起导入作业。 ③ 工作线程A接收源集群数据，并写入本地文件。 ④ 工作线程B读取本地文件数据，发送给目标集群。 ⑤ 目标集群综合两端作业结果，得出最终结果返回给用户。 图2 推送方式 ① 远程连接目标集群，创建GDS只读外表，发起导入作业。 ② 创建GDS只写外表，发起导出作业。 ③ 工作线程A接收源集群数据，并写入命名管道。 ④ 工作线程B读取命名管道数据，发送给目标集群。 ⑤ 源集群综合目标集群导入作业结果、本集群导出作业结果，返回最终结果给用户。

功能描述 Data Studio是一款GUI工具，可以通过Data Studio连接数据库，执行并调试SQL语句和存储过程。Data Studio支持DWS的基本特性，为数据库开发人员提供图形界面，显著提高构建应用程序的效率，并简化数据库开发及应用开发任务。 Data Studio主要为数据库开发人员提供以下功能： 浏览数据库对象。 创建和管理数据库对象（例如：数据库、用户、表、索引）。 编辑和执行PL/SQL语句。 导入和导出表数据。 调试SQL语句和存储过程。

技术原理 图1 Data Studio组件交互图 如上图所示，Data Studio使用C/S结构，通过JDBC驱动与DWS数据库进行通信。 调试时，将使用两个连接： JDBC连接，用于执行查询。 逻辑连接，用于其它调试操作，例如断点和可变操作。 数据库服务和调试服务通过共享内存进行通信。 图2 Data Studio界面展示 表1 Data Studio功能 序号 功能清单 描述 1 数据库对象管理 管理数据库、Schema、表、列、约束、索引、视图、索引、表空间、用户角色等数据库对象。 2 SQL编辑器 创建、编辑、运行、调试PL/SQL存储过程，查询语句格式化，SQL语句自动建议和模板化填充。 3 存储过程调试 创建调试连接，使用断点控制PL/SQL存储过程的执行，展示调用栈、变量等调试信息。 4 控制台 查看执行计划及成本，支持标准输入、输出。 5 查询结果窗 显示、复制、导出、编辑、搜索查询结果。 Data Studio的具体使用方法请参见Data Studio。