华为云用户手册

基础服务资源规划 表1 基础服务资源规划 资源类别 配置项 配置明细/用途 数量 每月/年费用 ECS 规格：2vCPUs | 4GB | c6.2xlarge.2 操作系统：Linux 区域：华东-上海一 VPC名称：VPC1 迁移源端ECS到目的端ECS 1 236.50 ECS 规格：8vCPUs | 16GB | c7.2xlarge.2 操作系统：Linux 区域：华北-北京四 VPC名称：VPC1 已创建/mnt/dst的目录 1 850.00 SFS 通用型 | SFS Turbo标准型 | 500GB NFS协议文件系统 1 200.00 CBR 存储库类型 云服务器备份存储库 | 1000GB 1 200.00 OBS 标准存储单AZ存储包 | 5TB / 1 456.00 SMS / 主机迁移工具 1 / DRS / 迁移工具，迁移源端数据库到目的端 1 / RDS MySQL 规格：存储空间 MySQL 5.7 | 单机通用 | 2 vCPUs | 4GB | 40GB 1 196.00 RDS PostgreSQL 规格：存储空间 PostgreSQL | 14 | 主备 | 独享型 | 4核8GB SSD云盘 | 40GB 1 1144.00 RDS SQL Server 规格：存储空间 SQL Server | 2019标准版 | 主备 | 独享型 | 2核8GB SSD云盘 | 40GB 1 2973 云数据库 GaussDB 规格 3.222 企业版 | 分布式版 | 独立部署 | 通用增强Ⅱ型 | 8核64GB | 3分片 | 3副本 管理节点数量：3个 | GTM 管理节点数量：3个 | CMS 协调节点数量：3个 存储空间：超高IO | 480GB 1 121,728.00 DCS 基础版 | 5.0 | 主备 | X86 | DRAM | 2 | 512 MB / 1 33.75 分布式消息服务KAFKA版 规格 单个代理存储空间 kafka.2u4g.cluster | 代理个数：3 单个代理存储空间 超高IO | 100GB 1 2190 分布式消息服务RocketMQ版 规格 单个代理存储空间 rocketmq.4u8g.cluster.small | 代理个数：1 超高IO | 300GB 1 4080.00 分布式消息服务RabbitMQ版 规格 单个代理存储空间2 集群 | 2u4g.cluster | 代理个数：3 超高IO | 100GB 1 2190.00 DDS 社区版 | 副本集 | 三节点 | 通用型 | 2核4GB 超高IO | 100GB readWriteAnyDatabase权限或目标库的readWrite权限 1 815 DDoS防护 保底防护带宽 业务带宽 防护域名数 保底防护带宽： 10Gbit/s 业务带宽：100Mbit/s 防护域名数：50个 1 8,820.00 安全云脑 规格 专业版 1 150.00 企业主机安全 规格 专业版 1 90.00 漏洞管理服务 服务类型 漏洞管理服务 | 专业版 | 1个 Web漏扫：包含1个二级域名或IP:端口 主机漏扫：包含20个IP地址 主要功能 Web漏扫：支持深度网站漏洞检测、高危紧急漏洞应急检测、内容合规扫描（文字）、安全监测、报告导出 主机漏扫：支持操作系统漏洞扫描、操作系统基线检查、中间件基线检查(支持小网扫描，需配置公网IP或跳板机) 1 300.00 Web应用防火墙 规格选择 标准版 1 3,880.00 威胁检测服务 类型 基础包 DNS检测量230GB/月 CTS检测事件数20百万/月 IAM检测事件数2百万/月 OBS检测事件数300百万/月 1 5300.00 云证书管理服务 产品类型 SSL证书 | OV（企业型） | DigiCert | 单域名 | 1年 | 1个 1 4,648.00 父主题： 资源和成本规划

HSS与CodeArts Inspector、WAF有什么区别？ 华为云提供的HSS、CodeArts Inspector、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 HSS、CodeArts Inspector、WAF的区别 服务名称 所属分类 防护对象 功能差异 主机安全服务（HSS） 基础安全 提升主机整体安全性。 资产管理 漏洞管理 入侵检测 基线检查 网页防篡改 漏洞管理服务（CodeArts Inspector） 应用安全 提升网站整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 Web应用防火墙（WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 准确访问防护 父主题： 产品咨询

解决办法 确认主机状态是否为“运行中”。 是：请执行2继续排查问题。 否：主机状态为“运行中”时，才能执行Agent安装，请排查主机状态确认主机恢复运行后重试安装。 确认批量安装Agent的主机是否在同一个VPC下。 是：请执行3继续排查问题。 否：通过账号密码一键批量安装Agent的安装方法仅适用于为同一个VPC下的主机进行安装。您可以参考通过安装命令批量安装Agent进行批量安装。 确认批量安装Agent的主机账号密码是否相同。 是：请执行4继续排查问题。 否：通过账号密码一键批量安装Agent的安装方法仅适用于为账号密码相同的主机进行安装。您可以参考通过安装命令批量安装Agent进行批量安装。 执行以下命令，确认主机安全组出方向是否放通100.125.0.0/16网段的10180端口。 curl -kv https://hss-agent.区域代码.myhuaweicloud.com:10180 命令中的区域代码，每个区域不同，各区域代码请参见地区和终端节点。 以“华北-北京一”为例，完整命令示例：curl -kv https://hss-agent.cn-north-1.myhuaweicloud.com:10180 已放通：ping命令执行正常，表示已放通100.125.0.0/16网段的10180端口，请执行5继续排查问题。 未放通：ping命令执行后，界面卡住不动，表示未放通100.125.0.0/16网段的10180端口，请参见添加安全组规则放通该端口。 执行以下命令，确认主机DNS能否正常解析下载Agent的域名。 ping -c 1 hss-agent.区域代码.myhuaweicloud.com 命令中的区域代码，每个区域不同，各区域代码请参见地区和终端节点。 以“华北-北京一”为例，完整命令示例：ping -c 1 hss-agent.cn-north-1.myhuaweicloud.com 解析成功：界面回显解析出的IP，表示DNS解析正常，请执行6继续排查问题。 解析失败：界面回显“name or service not known”或未解析出IP，表示DNS解析失败。请执行以下操作修改DNS服务器。 执行以下命令打开resolv.conf文件。 vi /etc/resolv.conf 在文件中添加华为云内网DNS地址，DNS地址请参见华为云的内网DNS。 例如，华北-北京一的DNS地址为100.125.1.250和100.125.21.250，则在文件中添加“nameserver 100.125.1.250”和“nameserver 100.125.21.250”。 输入wq，并按Enter键，保存。 执行以下命令，确认主机能否获取元数据。 curl http://169.254.169.254/openstack/latest/meta_data.json 如果界面有返回值，表示可获取元数据，请执行7继续排查问题。 如果界面无返回值或卡住不动，请参考Linux服务无法获取元数据怎么办?解决无法获取元数据问题。 确认主机安全组入方向是否禁用ICPM命令。 使用另一台主机ping需要安装Agent的主机IP，不能ping通，表示安全组入方向禁用了ICMP命令，请参见添加安全组规则放通ICMP命令。

本地使用Linux操作系统 如果您是在Linux操作系统上登录Linu弹性云服务器，可以按照下面方式登录。下面步骤以私钥文件是“kp-123.ppk”为例进行介绍。 在您的Linux计算机的命令行中执行以下命令，变更权限。 chmod 600 /path/kp-123.ppk path为密钥文件的存放路径。 执行以下命令登录弹性云服务器。 ssh -i /path/kp-123 root@弹性IP地址 path为密钥文件的存放路径。 弹性IP地址为弹性云服务器绑定的弹性IP地址。

前提条件 在实例化专属加密实例后，用户需要获取以下信息，初始化专属加密实例、安装安全代理软件并授权。 表1 信息获取 名称 说明 来源 Ukey 保存专属加密实例的权限管理信息。 订单付款后，且实例化专属加密实例成功后，由专属加密服务邮寄到您的Ukey收件地址。 专属加密实例管理工具 配合Ukey，远程管理专属加密实例。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 专属加密实例配套文档 《专属加密实例用户手册》和《专属加密实例安装手册》。 安全代理软件 与专属加密实例建立安全通道。 SDK 用于提供专属加密实例的API接口，用户通过调用SDK与专属加密实例建立安全连接。 专属加密实例管理节点（例如：ECS） 运行专属加密实例管理工具，与专属加密实例处于同一VPC，并分配弹性IP地址用于远程连接。 请您根据自己的需要进行购买，详细操作请参见购买弹性云服务器。 业务APP节点（例如：ECS） 运行安全代理软件和用户的业务APP，与专属加密实例处于同一VPC。

操作指引 当用户需要在云上使用专属加密服务时，可通过Dedicated HSM界面购买专属加密实例。购买专属加密实例后，用户需要通过Dedicated HSM界面实例化专属加密实例。当用户收到Dedicated HSM邮寄的Ukey后，通过Ukey初始化，并管控专属加密实例。用户通过专属加密实例管理工具授权业务APP，允许业务用户通过业务APP访问专属加密实例。操作指引如图1所示。 图1 操作指引 操作指引说明如表1所示。 表1 操作指引说明 编号 操作步骤 说明 操作角色 1 购买专属加密实例 通过Dedicated HSM界面购买专属加密实例，详细操作请参见购买专属加密实例。 用户 2 激活专属加密实例 您购买专属加密实例后，通过Dedicated HSM界面实例化专属加密实例。您需要选择专属加密实例所属的虚拟私有云，以及专属加密实例的功能类型，详细操作请参见激活专属加密实例。 用户 3 获取UKey、配套初始化文档及软件 安全专家将通过您提供的Ukey收件地址将Ukey邮寄给您。 Ukey是Dedicated HSM提供给您的身份识别卡，此卡仅购买专属加密实例的用户持有，请妥善保管。 安全专家将会为您提供初始化专属加密实例的软件及相关指导文档。 如果您对软件或指导文档的使用有疑问，请联系安全专家进行指导。 说明： 可通过提交工单方式提供Ukey收件地址以及联系安全专家指导。 专属加密服务安全专家 4 初始化、管控（UKey认证） 在专属加密实例管理节点上安装我们为您提供的管理工具。 使用Ukey和管理工具初始化专属加密实例，并注册相应的管理员，管控专属加密实例，对密钥进行管理。 详细操作请参见初始化专属加密实例。 用户 5 安装安全代理软件并授权 在业务APP节点上安装我们为您提供的安全代理软件并执行相关初始化操作。 详细操作请参见安装安全代理软件并授权。 用户 6 访问 业务APP通过API或者SDK的方式访问专属加密实例。 用户

密钥所有者和接受者权限说明 所有者可以对密钥执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如表 密钥接受者支持的操作列表所示。 表1 密钥接受者支持的操作列表 角色 支持的操作 操作说明 接受者 kms:cmk:get 通过控制台或API进行访问 kms:cmk:createDataKey 仅能通过API访问 kms:cmk:createDataKeyWithoutPlaintext 仅能通过API访问 kms:cmk:encryptDataKey 仅能通过API访问 kms:cmk:decryptDataKey 仅能通过API访问 kms:cmk:encryptData 通过控制台或API进行访问 kms:cmk:decryptData 通过控制台或API进行访问 kms:cmk:sign 仅能通过API访问 kms:cmk:verify 仅能通过API访问 kms:cmk:generateMac 仅能通过API访问 kms:cmk:verifyMac 仅能通过API访问 kms:cmk:getPublicKey 通过控制台或API进行访问 kms:cmk:getRotation 通过控制台或API进行访问 kms:cmk:getTags 通过控制台或API进行访问

约束条件 如果资源所有者与您属于同一组织，且启用“启用与组织共享资源”功能，将自动获得共享资源的访问权限，无需接受邀请。 如果资源所有者与您不属于同一组织，或者属于同一组织但未启用“启用与组织共享资源”功能，将收到加入资源共享实例的邀请。 资源共享实例的邀请默认保留7天，如果在到期前未接受邀请，系统会自动拒绝邀请，如还需使用共享资源，请再次创建共享实例以生成新的邀请。 如果需要启用“启用与组织共享资源”功能，具体操作请参见启用与组织共享资源。

专属加密是否支持切换密码机？ 创建专属加密实例后，无论是否成功，均不支持切换密码机。如果您想切换密码机类型，则需要重新购买，具体操作请参见购买专属加密实例。 不同之处在于： 如果成功创建专属加密实例后，不支持切换密码机，也不支持退订。如果您想切换密码机类型，则需要重新购买。 如果创建专属加密实例失败，不支持切换密码机，但可申请退款。 可以单击该专属加密实例所在行的“删除”，删除专属加密实例，并以工单的形式申请退款。 然后，如果您想切换密码机类型，再重新购买。 切换加密机类型后，用户无法将原有的根密钥导入到新的加密机类型中。 父主题： 专属加密类

如果自定义密钥被彻底删除，用户数据是否还可以解密？ 不可以。 如果自定义密钥被彻底删除，KMS将不再保留任何该密钥的数据，使用该密钥加密的数据将无法解密；如果自定义密钥没有被彻底删除，则可以通过KMS界面取消删除自定义密钥。 如果自定义密钥是通过KMS导入的密钥，且仅删除了密钥材料，则可以将本地备份的密钥材料再次导入原来的空密钥，回收用户数据。如果密钥材料没有在本地备份，则无法回收用户数据。 父主题： 密钥管理类

如何获取身份识别卡（Ukey）？ 购买专属加密实例后，需要使用身份识别卡（Ukey）来进行实例的管理。 标准版：请在专属加密实例购买界面，通过提交工单的方式，反馈Ukey邮寄地址。专属加密服务专家会尽快将身份识别卡(USB key)邮寄给您。 铂金版（国内）： 购买购买铂金版（国内）专属加密实例成功后，华为云安全专家会联系您。您可以提供Ukey收件地址，华为云会通过您提供的地址将配套的Uke邮寄给您。 父主题： 专属加密类

本地使用Linux操作系统 如果您是在Linux操作系统上登录Linu弹性云服务器，可以按照下面方式登录。下面步骤以私钥文件是“kp-123.ppk”为例进行介绍。 在您的Linux计算机的命令行中执行以下命令，变更权限。 chmod 600 /path/kp-123.ppk path为密钥文件的存放路径。 执行以下命令登录弹性云服务器。 ssh -i /path/kp-123 root@弹性IP地址 path为密钥文件的存放路径。 弹性IP地址为弹性云服务器绑定的弹性IP地址。

密钥对是否支持多用户共享？ 密钥对不支持跨帐号共享，但您可以通过以下方法实现密钥对在同一帐号下的IAM用户之间共享： 通过导入密钥对的方式实现共享。如果多个IAM用户需要使用相同的密钥对，您可以先通过其他工具（例如，PuTTYgen工具）创建密钥对，然后分别在IAM用户的资源中导入您创建的密钥对，具体操作请参见导入密钥对。 通过将密钥对升级为帐号密钥对的方式实现共享。通过管理控制台创建的密钥对或者已导入到控制台的密钥对，您可以参考升级密钥对章节将已创建的密钥对升级为帐号密钥对。 父主题： 密钥对管理类

将“.pem”格式的私钥文件转化为“.ppk”格式 使用PuTTY工具登录Linux操作系统云服务器时，私钥必须是“.ppk”格式文件，如果是“.pem”格式文件，请执行以下步骤进行转换。 在以下路径中下载PuTTY和PuTTYgen。 http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html PuTTYgen是密钥生成器，用于创建SSH密钥对，生成一个公钥和私钥供PuTTY使用。 双击“PUTTYGEN.exe”，打开“PuTTY Key Generator” 在“Actions”区域，单击“Load”，并导入购买弹性云服务器时保存的私钥文件。 导入时注意确保导入的格式要求为“All files(*.*)”。 单击“Save private key”。 保存转化后的私钥到本地。例如：kp-123.ppk。

简介 当您由于业务需求需要对存储在文件系统的数据进行加密时，弹性文件服务为您提供加密功能，可以对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。具体操作请参见导入密钥材料。 当您需要使用文件系统加密功能时，创建SFS文件系统需要授权SFS访问KMS。如果创建SFS Turbo文件系统，则不需要授权。

哪些用户有权限使用文件系统加密 安全管理员（拥有“Security Administrator”权限）可以直接授权SFS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，需要联系系统管理员获取安全管理员权限。 同一个区域内只要安全管理员成功授权SFS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

文件系统加密的密钥 SFS加密文件系统使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)： 默认主密钥：系统会为您创建默认主密钥，名称为“sfs/default”。 默认主密钥不支持禁用、计划删除等操作。 用户主密钥：即您已有的密钥或者新创建密钥，具体请参见创建密钥。 如果加密文件系统使用的用户主密钥被执行禁用或计划删除操作，当操作生效后，使用该用户主密钥加密的文件系统仅可以在一段时间内（默认为60s）正常使用。请谨慎操作。 SFS Turbo文件系统无默认主密钥，可以使用您已有的密钥或者创建新的密钥，具体请参见创建密钥。

使用KMS加密DWS数据库流程 当选择KMS对DWS进行密钥管理时，加密密钥层次结构有三层。按层次结构顺序排列，这些密钥为主密钥（CMK）、集群加密密钥 (CEK)、数据库加密密钥 (DEK)。 主密钥用于给CEK加密，保存在KMS中。 CEK用于加密DEK，CEK明文保存在DWS集群内存中，密文保存在DWS服务中。 DEK用于加密数据库中的数据，DEK明文保存在DWS集群内存中，密文保存在DWS服务中。 密钥使用流程如下： 用户选择主密钥。 DWS随机生成CEK和DEK明文。 KMS使用用户所选的主密钥加密CEK明文并将加密后的CEK密文导入到DWS服务中。 DWS使用CEK明文加密DEK明文并将加密后的DEK密文保存到DWS服务中。 DWS将DEK明文传递到集群中并加载到集群内存中。 当该集群重启时，集群会自动通过API向DWS请求DEK明文，DWS将CEK、DEK密文加载到集群内存中，再调用KMS使用主密钥CMK来解密CEK，并加载到集群内存中，最后用CEK明文解密DEK，并加载到集群内存中，返回给集群。

使用KMS加密DWS数据库（控制台） 在DWS管理控制台，单击“购买数据仓库集群”。 打开“加密数据库”开关。 在“高级配置”中选择“自定义”，出现“加密数据库”开关。 图1 加密数据库 表示打开“加密数据库”开关，启用数据库加密。每个区域的每个项目首次启用数据库加密时，系统会弹出一个“创建委托”的对话框，单击“是”创建委托以授权DWS访问KMS，如果单击“否”将不会启用加密功能。然后在“密钥名称”的下拉列表中选择已创建的密钥。如果没有密钥，可以登录KMS服务进行创建，详细操作请参见《数据加密服务用户指南》。 表示关闭“加密数据库”开关，不启用数据库加密。 创建委托。 打开“加密数据库”开关，如果当前未授权DWS访问KMS，则会弹出“创建委托”对话框，单击“是”，授权DWS访问KMS，当授权成功后，DWS可以获取KMS密钥用来加解密云硬盘。 当您需要使用数据库加密功能时，需要授权DWS访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权，然后再重新操作。 加密设置。 打开“加密数据库”开关，如果已经授权，会弹出“加密设置”对话框。 图2 加密设置 密钥名称是密钥的标识，您可以通过“密钥名称”下拉框选择需要使用的密钥。 根据界面提示，配置其他基本信息。详细参数说明请参见创建集群。

简介 在DWS中，您可以为集群启用数据库加密，以保护静态数据。当您为集群启用加密时，该集群及其快照的数据都会得到加密处理。您可以在创建集群时启用加密。加密是集群的一项可选且不可变的设置。要从未加密的集群更改为加密集群(或反之)，必须从现有集群导出数据，然后在已启用数据库加密的新集群中重新导入这些数据。 如果希望加密，可以在集群创建时启用加密。虽然加密是DWS集群中的一项可选设置，但我们建议您为包含敏感数据的集群启用该设置。

哪些用户有权限使用DWS数据库加密 安全管理员（拥有“Security Administrator”权限）可以直接授权DWS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分： 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。 对于一个租户而言，同一个区域内只要安全管理员成功授权DWS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

使用服务端加密方式上传文件（控制台） 在OBS管理控制台桶列表中，单击待操作的桶，进入“概览”页面。 在左侧导航栏，单击“对象”。 单击“上传对象”，系统弹出“上传对象”对话框。 单击“添加文件”，选择待上传的文件后，单击“打开”。 在服务端加密行，选择“SSE-KMS”，在下方的选择框中选择默认密钥或者自定义密钥，并单击“上传”，如图1所示。 图1 加密上传对象 密钥名称：自定义密钥名称，是用户在数据加密服务中创建的密钥，主要用于加密保护数据。OBS会提供一个名为“obs/default”的默认密钥，用户可以选择使用默认密钥加密上传对象，也可以通过数据加密服务页面创建的自定义密钥加密上传对象。 在使用SSE-KMS时通常选择AES算法密钥。如果需选择SM4加密算法密钥，仅支持在华北-乌兰察布一区域使用。 对象上传成功后，可在对象列表中查看对象的加密状态。 对象的加密状态不可以修改。 使用中的密钥不可以删除，如果删除将导致加密对象不能下载。

哪些用户有权限使用云硬盘加密 安全管理员（拥有“Security Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分： 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。 对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

云硬盘加密的密钥 加密云硬盘使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)： 默认主密钥：由EVS通过KMS自动创建的密钥，名称为“evs/default”。 默认主密钥不支持禁用、计划删除等操作。 用户主密钥：由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥，具体请参见创建密钥。 使用用户主密钥加密云硬盘，如果对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，具体请参见表1。 表1 用户主密钥不可用对加密云硬盘的影响 用户主密钥的状态 对加密云硬盘的影响 恢复方法 禁用 如果加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 如果卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥，具体请参见启用密钥。 计划删除 取消删除用户主密钥，具体请参见取消删除密钥。 已经被删除 云硬盘数据永远无法恢复。 用户主密钥为付费使用，如果为按需计费的密钥，请及时充值确保帐户余额充足，如果为包年/包月的密钥，请及时续费，以避免加密云硬盘不可读写导致业务中断，甚至数据永远无法恢复。

使用KMS加密云硬盘（控制台） 在EVS管理控制台，单击“购买磁盘”。 配置“加密”参数。 展开“更多”，出现“加密”勾选框。 图1 展开更多 创建委托。 勾选“加密”，如果当前未授权EVS访问KMS，则会弹出“创建委托”对话框，单击“是”，授权EVS访问KMS，当授权成功后，EVS可以获取KMS密钥用来加解密云硬盘。 当您需要使用云硬盘加密功能时，需要授权EVS访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权，然后再重新操作。 设置加密参数。 勾选“加密”，如果已经授权，会弹出“加密设置”对话框。 图2 加密设置 密钥名称是密钥的标识，您可以通过“密钥名称”下拉框选择需要使用的密钥。您可以选择使用的密钥如下： 默认主密钥：成功授权EVS访问KMS，系统会创建默认主密钥“evs/default”。 用户主密钥：即您已有的密钥或者新创建密钥，具体请参见创建密钥。 根据界面提示，配置云硬盘的其他基本信息。详细参数说明请参见购买云硬盘。

简介 当您由于业务需求需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。 磁盘加密针对数据盘加密。系统盘的加密依赖于镜像，具体请参见IMS服务端加密。

加密和解密原理 大量数据加密 图1 加密本地文件 说明如下： 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 用户使用明文的数据加密密钥来加密明文文件，生成密文文件。 用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 大量数据解密 图2 解密本地文件 说明如下： 用户从持久化存储设备或服务中读取密文的数据加密密钥和密文文件。 用户调用KMS的“decrypt-datakey”接口，使用对应的用户主密钥（即生成密文的数据加密密钥时所使用的用户主密钥）来解密密文的数据加密密钥，取得明文的数据加密密钥。 如果对应的用户主密钥被误删除，会导致解密失败。因此，需要妥善管理好用户主密钥。 用户使用明文的数据加密密钥来解密密文文件。

安装wireguard-tools 执行以下命令安装依赖。 dnf install gcc make 执行以下命令下载wireguard-tools源码包。 wget https://git.zx2c4.com/wireguard-tools/snapshot/wireguard-tools-1.0.20210914.tar.xz 执行以下命令解压上述源码包。 tar -xf wireguard-tools-1.0.20210914.tar.xz 进入wireguard-tools-1.0.20210914/src目录，依次执行以下命令编译安装。 make make install 验证安装是否成功。 可以执行wg -h和wg-quick -h命令验证是否安装成功，如图所示。

准备工作 在做动态加速之前，请先做如下两个检查。两个条件都满足，才能对应用进行动态加速。 执行如下命令检查待优化的二进制文件中是否可以重新定位。可以重新定位表示可以进行应用优化。 readelf -a application | grep .rela.text 如果二进制文件中.rela.text段存在，表示可以重新定位。 如果不存在，为了允许BOLT在程序中重新排列函数（除了重新排列函数中的代码），需要将--emit-relocs或-q添加到应用程序的最后链接步骤中。 执行hce-wae --check命令查看应用是否支持动态加速。 如果检查结果为3，表示可以使用动态加速工具。否则不支持动态加速。

操作步骤 本例以优化/data/apps/mysql-8.0.28/bin目录下的mysqld应用 ，为您介绍动态加速方式优化应用的操作。 生成插桩版应用并运行。 执行命令/data/hce-wae/dbo/gen_instrumentation /data/apps/mysql-8.0.28/bin/mysqld生成插桩版应用。 命令格式：/data/hce-wae/dbo/gen_instrumentation 应用路径 命令运行完成后，会在当前目录生成对应的以.inst为后缀的插桩文件mysqld.inst。 运行插桩文件获取进程PID，本例为87042。 创建mysqld的应用加速动态配置文件。 每一个待优化的应用都要有一个对应的配置文件，应用加速工具根据此配置文件对应用进行动态加速。 执行如下命令复制一份默认的配置文件为/data/hce-wae/config/mysqld.conf。 [root@localhost]# cp /data/hce-wae/config/hce-wae-tmp.conf /data/hce-wae/config/mysqld.conf 设置/data/hce-wae/config/mysqld.conf配置文件中的origin-exe字段。 origin-exe为待优化应用的位置，本例为/data/apps/mysql-8.0.28/bin/mysqld [root@localhost]# vim /data/hce-wae/config/mysqld.conf 使用配置文件和对应的进程PID配置动态加速工具。 命令格式：hce-wae --conf [PID] [/path/to/config] 启动动态加速，对插桩版mysql进行优化。 命令格式：hce-wae --start [PID] 启动后，可以通过--status参数查看当前优化状态。当状态为Running时，表示进程正在优化中；Finished时，表示进程已经优化完成。 命令格式：hce-wae --status [PID] 优化后，通过--snapshot参数生成优化后的.dbo二进制快照文件，本例为mysqld.dbo。 快照生成的默认路径为/data/hce-wae/snapshot/，可在配置文件中对快照位置进行修改。后续您可以直接使用此优化后的快照文件mysqld.dbo运行应用，无需重复优化。 终止动态加速工具，应用优化结束。 命令格式：hce-wae --stop [PID]