华为云用户手册

与CloudPond有业务交互的云服务 CloudPond和其他周边云服务的业务交互关系如表2 与CloudPond有业务交互的云服务所示。 表2 与CloudPond有业务交互的云服务 服务分类 相关服务 业务交互关系 使用方法 参考内容 必选云服务 弹性云服务器 云硬盘 虚拟私有云 弹性公网IP 在华为云指定区域中，弹性云服务器ECS、云硬盘EVS、虚拟私有云VPC、弹性公网IP EIP的业务资源已发放至边缘小站，您可以通过使用各云服务，将业务数据保存在本地，以满足数据本地化和低时延访问的需求。 在云服务控制台通过选择“边缘可用区”（ECS、EVS、VPC）或“边缘线路”（EIP）创建发放至到边缘的云服务资源。 在边缘可用区创建业务资源 在边缘可用区管理业务资源 可选云服务 云桌面 云桌面（Workspace）是一种基于云计算的桌面服务。您可以将CloudPond中边缘可用区的ECS作为云桌面的资源，在本地部署云桌面服务，与本地内网业务或数据进行通信。 通过Workspace控制台创建云桌面实例。 购买桌面 云容器引擎 云容器引擎（CCE Turbo），可提供高可靠高性能的企业级容器应用管理服务。您可以将CloudPond中边缘可用区的ECS作为CCE Turbo的资源，用于在本地运行容器并由中心统一管理 通过CCE控制台创建CCE Turbo集群。 购买Standard/Turbo集群 弹性负载均衡 弹性负载均衡（ELB）可将访问流量自动分发到不同后端服务，扩展应用系统对外的服务能力，实现强大的应用容错性能。您可以在CloudPond中的边缘可用区开启独享型弹性负载均衡实例（四层） 通过ELB控制台配置弹性负载均衡服务实例。 创建独享型负载均衡器 应用与数据集成平台 您可以将CloudPond中边缘可用区的ECS作为ROMA Site的边缘节点，通过将ROMA延伸到客户数据中心，打通IT与OT的边界，推进企业的数字化转型进程。 通过ROMA Connect控制台创建站点类型为CloudPond智能站点的实例。 创建ROMA Site协同版实例 Web应用防火墙WAF 您可以将应用防火墙部署到CloudPond边缘可用区用，用于防护本地运行的Web应用程序。 在WAF控制台购买WAF实例，选择独享模式并选择对应的边缘可用区。 购买WAF独享模式 MapReduce服务 在MapReduce服务MRS中，基于CloudPond中边缘可用区的ECS构建大数据集群，实现在客户数据中心进行海量数据实时分析挖掘的场景。 在MRS控制台界面创建边缘可用区的集群节点。 使用Hadoop 使用Kafka 使用Kerberos认证集群 主机迁移服务 CloudPond支持通过主机迁移服务SMS实现主机应用/数据的迁移。包括从华为从中心云的通用可用区的ECS迁移至CloudPond的边缘可用区的ECS，和从本地主机通过VPC内网迁移至CloudPond等。 先通过ECS控制台创建边缘可用区的云服务器，再通过SMS控制台进行迁移配置，目的端选择已创建的边缘可用区的云服务器。 主机迁移服务使用流程 弹性文件服务 通过弹性文件服务SFS Turbo，为边缘可用区的ECS提供完全托管的共享文件存储，适合海量的小文件、低延迟高IOPS型应用。 弹性文件服务可在CloudPond支持标准型和性能型两种规格，对应EVS的高IO块存储和超高IO块存储资源。 在SFS控制台创建SFS Turbo文件系统时，可用区选择“边缘可用区”。然后将文件系统挂载到边缘可用区的ECS。 创建文件系统 挂载文件系统 企业主机安全 通过企业主机安全服务HSS，对您在边缘可用区的ECS主机提供整体安全性的服务，为您提供资产管理、漏洞管理、入侵检测、基线检查等功能，降低主机被入侵的风险。 直接在HSS控制台界面对边缘可用区ECS开启安全防护功能。 为边缘可用区ECS主机开启安全防护 数据库安全服务 通过数据库安全服务DBSS，对您部署于边缘可用区的ECS上的自建数据库提供安全审计功能，保障云上数据库的安全。 直接在DBSS控制台界面为数据库开启安全审计功能。 快速使用数据库安全审计 云堡垒机 CBH 通过云堡垒机服务，可支持用户使用浏览器方式对CloudPond和华为云资源进行统一管理运维，并提供多种权限管控机制。 通过CBH控制台选择边缘可用区并创建相关资源。 购买云堡垒机服务 数据仓库服务 DWS 通过数据仓库服务DWS，可创建数据仓库集群发放至边缘。 通过DWS控制台创建可用分区类型为边缘可用区的数据仓库集群。 创建集群 数据治理中心DataArts Studio 通过DataArts Studio控制台购买可用区类型为CloudPond的实例。 通过DataArts Studio控制台购买可用区类型为CloudPond的实例。 购买DataArts Studio实例 云数据库 RDS for MySQL 通过云数据库RDS控制台，可购买数据库实例发放至边缘。 在RDS控制台界面，创建存储类型为“SSD云盘（边缘）”的数据库实例。 购买并连接RDS for MySQL实例 云数据库 RDS for PostgreSQL 购买并连接RDS for PostgreSQL实例 除了以上提到的必选和可选云服务，CloudPond和中心云复用同一套监控和管理体系，支持CES、IAM、EPS、LTS、TMS等云服务。

与CloudPond有功能依赖的云服务 CloudPond和其他周边云服务的功能依赖关系如表1 与CloudPond有功能依赖的云服务所示。 表1 与CloudPond有功能依赖的云服务 相关服务 功能依赖关系 参考内容 镜像服务 当您在边缘可用区首次使用镜像服务（Image Management Service，IMS）提供的某个镜像创建ECS时，该镜像将自动缓存到CloudPond上，占用CloudPond的存储资源空间。 后续当您再次使用该镜像创建新的ECS时，系统将直接调用缓存在CloudPond上的该镜像，以缩短ECS的创建时间。 镜像缓存

什么是智能边缘小站 智能边缘小站将云基础设施和云服务部署到企业现场，适合对应用访问时延、数据本地化留存及本地系统交互等有高要求的场景，可便捷地将云端丰富应用部署到本地。 您可以通过CloudPond和华为云的关系是什么？了解更多详情。 CloudPond产品架构如图3所示。提前熟悉CloudPond的一些常用概念将帮助您更轻松的了解CloudPond产品架构。 图3 CloudPond产品架构 CloudPond将华为云一体化整机柜设备部署到用户本地，为您提供在本地使用华为云服务的机会。 边缘小站隶属于华为云区域的边缘可用区，该可用区基础设施由华为云完全托管、维护和支持，使用体验与通用可用区一致。边缘小站和其所属的边缘可用区，以及小站中运行的云资源为CloudPond用户专属，与其他公有云用户不共享，您可以通过边缘小站与区域和可用区是什么关系？了解更多详情。 根据实际业务类型的多样化，同一个数据中心的不同场地可以分别部署多个不同的边缘小站。您也可以在多个地理位置不同的数据中心创建多个不同的边缘小站。 CloudPond控制台部署在中心云上。通过CloudPond控制台，您可以方便的查看边缘小站信息和云服务资源的使用情况。 用户通过云服务控制台进行业务资源的开通和管理。CloudPond运行必选的云服务包括弹性云服务器（Elastic Cloud Server，ECS）、云硬盘（Elastic Volume Service，EVS）、虚拟私有云（Virtual Private Cloud，VPC）、弹性公网IP（Elastic IP，EIP），同时您可以根据需求将一些可选的云服务和应用部署在CloudPond上。更多云服务支持情况请参见与CloudPond有业务交互的云服务。您还可以使用统一身份认证服务IAM和云监控服务CES分别对部署在CloudPond上的云服务资源进行账号鉴权和监控。 网络连接方面： CloudPond和用户本地系统之间：根据实际业务需要，用户可以打通边缘小站和用户本地系统的网络通信，使得用户能够更便捷的将CloudPond整体纳入企业内网架构中。 CloudPond和中心云之间：CloudPond所在的边缘可用区和中心云的通用可用区共享同一虚拟私有云VPC，用户在CloudPond上可通过VPC内网访问中心云的其他云服务。 更多详细介绍请参见网络连接组网方案和要求。

为什么选择CloudPond 考虑到自建IT系统的各种困难（如部署周期长，运维难度高，运营成本高等），很多企业用户选择了业务上云，而上什么云取决于企业的自身条件和需求。目前，业界主流的云形态有私有云、公有云、混合云等。 CloudPond呈现了一种全新的产品形态，吸取了已有的几类云形态的优势，提供低时延、低成本、数据本地化等服务能力，有效解决了用户在一些场景下单独使用一类云形态时遇到的痛点问题。 CloudPond和私有云、公有云、混合云的对比请参见表1 CloudPond和私有云、公有云、混合云的对比。 表1 CloudPond和私有云、公有云、混合云的对比 产品形态 CloudPond 私有云 公有云（中心云） 混合云 定位 归属于华为云的一款针对边缘计算场景的云服务，部署于用户数据中心的华为云边缘小站。 部署于用户本地或者指定的物理位置，专供一个用户使用，该用户拥有对基础设施和云资源的完全控制权。所有操作始终在私有网络上进行。 云资源由公有云厂商拥有和运营，通过Internet提供给用户按需/包周期使用，基础设施部署于云厂商的数据中心。 结合私有云和公有云的一种模式，用户可将敏感数据存储在私有云，同时利用托管公有云的计算资源。 安装和运维 用户直接租赁华为云提供的一体化机柜，基础设施由华为云负责安装和运维，用户仅需保证本地机房环境的可用性和稳定性即可。 用户自建：用户自行采购基础设施，并负责安装和运维。 托管建设：用户租赁或者买断第三方云厂商提供的基础设施，联合云厂商共同负责基础设施的安装和运维。 用户直接使用第三方云厂商提供的云服务，基础设施由云厂商负责安装和运维。 用户租赁或者买断第三方云厂商提供的私有云和公有云的混合基础设施，联合云厂商共同负责基础设施的安装和运维。 云资源占用 用户专属 用户专属 与其他用户共享 用户专属和与其他用户共享混合 数据本地化 所有数据存储在本地边缘小站内，满足数据合规要求。 数据存储在自建或者托管的数据中心。 数据存储在云厂商数据中心。 部分数据存储在本地，部分数据存储在云厂商数据中心，视用户需求而定。 访问时延 边缘小站部署在用户本地，应用终端访问时延较低。 业务部署在用户本地或托管中心，应用终端访问时延较低。 业务部署在云端，应用终端访问时延相对较高。 视业务部署位置情况而定。 综合成本 成本较低，主要由用户机房、能源、云服务使用、服务支持、人员开销（业务运维）等构成。 成本较高，主要由用户机房、能源、相关设备、私有云软件、服务支持、人员开销（业务运维和平台运维）等构成。 成本较低，主要由云服务使用、网络、服务支持、人员开销（业务运维）等构成。 成本中等，由私有云和公有云成本共同组成，不同用户的私有云和公有云占比不同。 更多更详细的选择理由请参见产品优势。

边缘计算 迈入5G和AI时代，新型业务如增强现实AR、虚拟现实VR、互动直播、自动驾驶、智能制造等应运而生。以上这些业务场景对时延和网络带宽有着强烈诉求，而在传统的集中式云计算场景中，所有数据都集中存储在大型数据中心。由于地理位置和网络传输的限制，无法满足新型业务的低时延、高带宽等要求。 网络高时延：传统云计算无法即时处理和分析新型业务产生的数据，导致应用终端获得的响应慢，体验差。 带宽高成本：新型业务的应用终端产生的数据传回云端将消耗更高的网络带宽，导致服务厂商需要支付高昂的网络成本。 数据合规性：新型业务数据存储在云端，无法满足企业对敏感数据本地化存储的要求，直接影响企业数据上云的策略。 面对传统集中式云计算的固有局限性，边缘计算成为应对新型业务和数据合规业务的较好选择。边缘计算通过在靠近终端应用的位置建立站点，最大限度的将集中式云计算的能力延伸到边缘侧，有效解决以上的时延和带宽问题。 您可以参考图1了解更多关于云计算和边缘计算的区别。 图1 云计算和边缘计算 从广义上讲，云计算囊括边缘计算，边缘计算是云计算的扩展，二者为互补而非替代关系。只有云计算与边缘计算相互协同（简称边云协同），才能更好的满足各种应用场景下的不同需求。 通过图2进一步了解边缘计算的范畴。 图2 边缘计算的范畴 按照从用户/终端到中心云的距离，可以划分3个“圈”: 第一个“圈”是现场边缘，覆盖1~5ms时延范围，算力以AI推理为主，主要面向自动驾驶，工业互联网等实时性业务。 第二个“圈”是近场边缘，覆盖5~20ms时延范围，算力以渲染为主，同时还有一部分推理，主要面向视频场景。 第三个“圈”是传统的公有云（也称为中心云），覆盖20~100ms时延范围，用于承载未下沉到边缘的业务，例如海量的数据存储，挖掘，训练等。 面向近场边缘和现场边缘场景，华为云分别推出了智能边缘云（IEC）和智能边缘小站（CloudPond）两款产品。 智能边缘云IEC：提供广域覆盖的分布式边缘云，用于客户就近灵活部署业务。 智能边缘小站CloudPond：提供部署在用户数据中心的软硬件一体的边缘解决方案。 除了上述两款产品，华为云还推出了面向客户业务现场场景的智能边缘平台（Intelligent EdgeFabric，IEF）产品。作为基于云原生技术构建的边云协同操作系统，IEF可运行在多种边缘设备上，将丰富的AI、IoT（Internet of Things）及数据分析等智能应用以轻量化的方式从云端部署到边缘，满足用户对智能应用边云协同的业务诉求。 关于智能边缘小站、智能边缘云和智能边缘平台的详细对比，请参见CloudPond、IEC、IEF有什么区别和关联？。 面向现场边缘场景，现推出智能边缘小站（CloudPond）产品，提供部署在用户本地的软硬件一体的边缘解决方案。

修订记录 发布日期 更新内容 2023-9-13 第六次正式发布。 服务名称变更：“智能边缘小站 IES”更名为“智能边缘小站CloudPond”。 计费说明章节，修改扩容方式。 2023-06-30 第五次正式发布。 修改与其他云服务的关系，增加ELB、DWS服务和CloudPond的交互关系。 2022-12-09 第四次正式发布。 新增产品规格。 修改 约束与限制，对内容结构进行调整。 与其他云服务的关系，新增CloudPond支持的可选云服务。 2022-09-23 第三次正式发布。 修改常用概念，场地概念替换为部署位置。 2022-05-30 第二次正式发布。 修改 约束与限制，修改CloudPond支持的计算资源规格和存储资源规格，新增ECS使用限制。 部署要求，修改网络要求中的网络延时。 2021-11-02 第一次正式发布。

超高IO型块存储 超高IO型块存储包含的存储资源主要适用于政企用户部署性能敏感类数据业务到CloudPond上使用的场景，对应华为云EVS的实例包含超高IO EVS系列，用户可根据存储不同规格情况选择对应的存储资源商品。具体规格请参考表1。 表1 超高IO型块存储 名称 类型 存储起购容量 商品描述 超高IO型块存储-36TiB档 超高IO 17TiB 适用于较低容量的超高IO云硬盘部署场景 超高IO型块存储-72TiB档 超高IO 34TiB 适用于中等容量的超高IO云硬盘部署场景 超高IO型块存储-108TiB档 超高IO 51TiB 适用于较大容量的超高IO云硬盘部署场景 超高IO型块存储-144TiB及144TiB以上档 超高IO 68TiB 适用于大容量的超高IO云硬盘部署场景 用户后续进行存储扩容时所需支付的相关费用，将按用户首次购买存储资源的档位单价进行计算。 例如：用户首次购买 17TiB 超高IO 云硬盘，则后续扩容至51TiB容量时，扩容的存储将使用超高IO型块存储-17TiB档的资源单价进行计算。 块存储硬件机型，根据业务诉求不同，可支持x86型和ARM型。 父主题： 存储资源规格

高IO型块存储 高IO型块存储包含的存储资源主要适用于政企用户部署大容量低成本类数据业务到CloudPond上使用的场景，对应华为云EVS的实例包含高IO EVS系列，用户可根据存储不同规格情况选择对应的存储资源商品，具体规格请参考表1。 表1 高IO型块存储 名称 类型 存储起购容量 商品描述 高IO型块存储-36TiB档 高IO 36TiB 适用于较低容量的高IO云硬盘部署场景 高IO型块存储-72TiB档 高IO 72TiB 适用于中等容量的高IO云硬盘部署场景 高IO型块存储-108TiB档 高IO 108TiB 适用于较大容量的高IO云硬盘部署场景 高IO型块存储-144TiB及144TiB以上档 高IO 144TiB 适用于大容量的高IO云硬盘部署场景 用户后续进行存储扩容时所需支付的相关费用，将按照用户首次购买存储资源的档位单价进行计算。 例如：用户首次购买36TiB 高IO 云硬盘，则后续扩容至108TiB容量时，扩容的存储将使用高IO型块存储-36TiB档的资源单价进行计算。 块存储硬件机型，根据业务诉求不同，可支持x86型和ARM型。 父主题： 存储资源规格

数据安全 CloudPond整体上继承华为云数据安全治理要求，详见华为云数据安全白皮书。 数据安全传输：数据在CloudPond和中心云之间传输数据时均进行了加密。 数据安全使用：建议用户对数据进行识别和分类；对敏感的数据默认加密；使用安全组、网络ACL（Access Control Lists）对资源实施网络访问控制。此外建议您使用云审计服务（Cloud Trace Service，CTS），对用户访问数据的行为进行审计。 数据安全销毁：当用户停止使用CloudPond前，请先对CloudPond上需要保留的数据进行转储。和用户退订使用中心云上的资源一样，CloudPond上存储的数据会以符合业界标准的方式被安全的删除，确保删除的数据永远无法恢复。

安全责任共担 CloudPond整体上遵循华为云的安全责任共担模式，即华为云负责保护CloudPond基础设施的安全，用户负责保护CloudPond上运行应用程序的安全，这一点和使用中心云通用可用区的资源是类似的。 由于CloudPond部署于用户数据中心的特殊性，使用CloudPond时，用户还需要对CloudPond所部署的地理位置及其相关基础设施的安全负责，并确保CloudPond与中心云之间的网络安全性和可用性。

通信安全 中心云与CloudPond之间存在如下两类网络线路通信： 运维管理线路：该线路通过CloudPond内置VPN（Virtual Private Network）实现传输加密，保证网络通信安全。其相关数据为平台运维和服务管控层数据，不涉及用户业务数据通信。 业务互联线路：该线路通过网络加密技术实现传输加密，保证网路通信安全。其相关数据为CloudPond本地实例和中心云服务之间的通信数据，该传输数据和传输策略由用户VPC进行控制。

CloudPond基础设施安全 华为云致力于打造可信云平台，CloudPond整体上继承了华为云安全建设规范，具体安全方案细节请参见华为云安全白皮书。 CloudPond用户侧和平台侧分别实施了严格的安全隔离策略，华为云负责CloudPond平台的运维和安全运营，提供7*24小时安全监控运营服务。 CloudPond平台侧默认全部部署了主机安全服务，华为云会定期对平台侧执行漏洞扫描，并按照SLA（Service-Level Agreement）的要求及时安装补丁修复漏洞。 华为云对CloudPond平台侧的账号权限进行集中管理，并定期进行账号密钥轮换，以防止未经授权的访问。

基础限制 管理模式限制：CloudPond通过中心云控制台进行所有的管理操作，不提供本地管理界面或工具，也不支持离线环境下的管理操作。 硬件相关限制：CloudPond不支持用户设备入柜。 运维监控限制：CloudPond的运维和监控操作由华为云运维团队统一执行，用户可以通过CES对CloudPond上运行的资源状况进行监控，不能直接访问运维监控平台。 硬件种类和资源使用限制：用于在CloudPond站点中提供EVS云服务的硬件设备分为融合机型（融合节点，提供用户EVS服务和云平台运维管控组件服务）和存储机型（存储节点，提供用户EVS服务），其中，站点融合节点部署数量不超过4个。 用于在CloudPond站点中提供ECS云服务的硬件设备根据ECS Flavor种类分为虚拟化专用机型和裸机专用机型，根据机型和Flavor的不同，除去必要的管理开销外，剩余的所有资源将100%提供给业务使用。 CloudPond采用计算存储分离的设计，用户可按业务需求，按需单独扩展计算资源或存储资源。（D/I系列云服务器自带的本地盘例外）。

必选云服务使用限制 表1展示了ECS、EVS、VPC、EIP在CloudPond上使用的一些主要限制。 表1 必选云服务使用限制 云服务名称 主要限制 弹性云服务器ECS 边缘可用区的ECS不支持VNC（Virtual Network Console）登录方式，建议采用SSH（Linux）或者mstsc（Windows）等方式登录。 用户如果选择GPU加速型Pi2服务器，需要额外按年购买GPU License。 暂不支持对ECS执行如下操作：按需转包周期，加密，创建整机镜像（即整机备份），基于共享镜像创建虚拟机等。 ECS上运行Windows、RedHat等商业操作系统时，需要用户自行提供操作系统许可。 CloudPond支持的ECS规格请参考：规格清单（CloudPond）。 ECS支持本地虚拟机UEFI安全启动特性，目前在CloudPond场景中默认可开启该特性的计算实例类型为C7n型，其他资源暂不支持。 云硬盘EVS 当前支持高IO和超高IO云硬盘。 当前高IO云硬盘介质为HDD，超高IO云硬盘介质为NVMe SSD，暂不支持用户定制介质类型和大小。 当前云硬盘EVS采用三副本机制进行分布式部署，暂不支持其他部署模式。 暂不支持对EVS执行如下操作：备份，加密等。 当前云硬盘服务的块存储快照仅支持保存在边缘云本地。 虚拟私有云VPC 两个边缘小站的不同VPC，不支持通过VPC对等连接进行互通。 同一个VPC中，归属于不同边缘小站（即分布于不同边缘可用区）的子网不互通。 弹性公网IP EIP 通用可用区的EIP不能绑定边缘可用区的ECS，反之，边缘可用区的EIP也不能绑定通用可用区的ECS。 边缘小站1使用的EIP不能绑定归属于边缘小站2的ECS。 通用可用区的共享带宽不能添加边缘可用区的EIP，反之，边缘可用区的共享带宽也不能添加通用可用区的EIP。 CloudPond加密方式 CloudPond默认使用商密方案进行加密，特定配置和特性场景下可支持国密方案（按项目评估）。

可选云服务使用限制 CloudPond上支持的可选云服务的主要限制请参考各自云服务的产品文档。 额外限制：部分可选云服务在CloudPond上部署时，需要依赖CloudPond提供特定规格的计算资源和存储资源，具体情况请参考表2。 表2 可选云服务依赖计算资源种类 云服务名称 依赖CloudPond计算资源包含如下算力系列 云容器引擎CCE Turbo C/S/M/I/D系列 弹性文件服务SFS Turbo C系列 应用与数据集成平台ROMA Site C/S系列 数据治理中心DataArts Studio C系列 云桌面Workspace C/S系列 数据库安全服务DBSS C/S系列 Web应用防火墙 C/S系列 云堡垒机CBH C/S系列 MapReduce服务MRS C系列和I/D系列 主机迁移服务SMS C系列 企业主机安全HSS 所有系列 云数据仓库 GaussDB(DWS) I系列 云数据库RDS C/S系列

云手机服务介绍 云手机服务（KooPhone）是华为云面向政企、互联网等客户推出的一款优体验、高安全云手机服务，融合了ARM服务器虚拟化、音视频编解码、实时传输能力等核心技术，并引入华为丰富的应用生态，为更多带屏联网设备提供云算力和云应用。 KooPhone充分发挥端云协同的优势，提供端云交互、跨屏分享和互动、麦克风和摄像头等各类传感器的模拟仿真，以及应用和数据权限云端统一管控等多种功能特性，并基于华为全场景智慧生态满足客户不同应用诉求，可便捷安全地应用于移动办公、客服同屏互助、个人/家庭娱乐等多种场景。

与云手机服务器（CPH）的差异 云手机服务器（Cloud Phone Host，简称CPH），是基于华为云鲲鹏裸金属服务器在服务器上虚拟出N个带有原生安卓操作系统，具有虚拟手机功能的云手机服务器。简单来说，云手机服务器=云服务器+Android OS。您可以远程实时控制云手机，实现安卓APP的云端运行；也可以基于云手机服务器的基础算力，高效搭建应用，如云游戏、移动办公、直播互娱等场景。 云手机服务（KooPhone）是在CPH的基础上，提供了上层复杂的软件系统，更偏向于用户体验的提升，通过端云协同引擎、计算资源管理、用户账号鉴权认证、手机UI界面优化等等一系列的技术叠加，在CPH的基础上向用户提供了一个远程手机操作环境。 更多关于云手机服务器CPH的详细信息，请参见云手机服务器CPH产品介绍。

约束与限制 KooPhone服务使用时存在如下约束与限制： 仅限已通过华为云企业认证的用户购买使用。 用户不能使用KooPhone云手机进行挂机、刷单等灰产，违法以及违反华为安全要求等行为。违反相关要求，用户云手机会被受限/冻结。 云手机实例暂不支持规格变更（比如：变更云手机CPU核数、内存、存储空间大小）。如果需要调整规格，请将云手机实例退订后重新购买符合要求的规格。 华为云账户受限/冻结或者云手机资源进入保留期时，KooPhone云手机使用会受到限制（包括但不限于登录、重启、重置云手机等），用户应提前了解处理，避免影响业务。 保留期满仍未续费或充值，KooPhone将停止提供服务，存储在用户云手机实例中的数据将被删除，云手机实例将被释放。

通用云手机 通用云手机分为专业版和企业版，每个版本提供不同规格的云手机实例，当前仅提供专业版，详细介绍请参考表1。 表1 版本类型简介 版本 实例规格 特性说明 适用场景 专业版 4vCPUs | 8GB内存 | 32GB存储 | 最高分辨率720p 4vCPUs | 8GB内存 | 64GB存储 | 最高分辨率720p 8vCPUs | 16GB内存 | 128GB存储 | 最高分辨率1080p 8vCPUs | 16GB内存 | 512GB存储 | 最高分辨率1080p 端云协同：基于自研端云协议、音视频渲染和编解码算法，通过端侧与云侧SDK的配合，提供高清画质和流畅操作体验。 设备仿真：提供GPS、传感器、陀螺仪等与实体手机打通的虚拟仿真设备。 安全管控，包含防截屏、实时水印防篡改、应用安装黑白名单、端云音视频流、控制流的数据加密传输。 云机资源共享，提升性价比，面向中小型企业。 通用商务办公：随时随地使用PC、Pad等终端接入云手机，实现消息处理、流程审批、视频会议等移动办公 移动安全办公：在端侧和云侧严格管控，保证信息和数据安全。

KooPhone权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 KooPhone部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择 “区域级项目”，然后在指定区域（如华北-北京4）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效。如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KooPhone时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KooPhone服务，管理员能够控制IAM 用户仅能对某一模块进行指定的操作。 如表1所示，包括了KooPhone的所有系统角色。 表1 KooPhone系统权限 系统角色/策略名称 描述 角色类别 角色内容 KooPhone Administrator 具备KooPhone所有操作权限的角色，拥有该权限的用户可以拥有 KooPhone支持的全部权限。 系统角色 KooPhone Administrator角色内容 KooPhone ReadOnlyUser 具备KooPhone只读操作权限的用户。 系统角色 KooPhone ReadOnlyUser角色内容 表2列出了KooPhone常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 KooPhone 常用操作与系统权限关系 操作 KooPhone Administrator KooPhone ReadOnlyUser 购买云手机 √ × 查看组织和用户详情 √ √ 创建组织 √ × 添加部门 √ × 添加成员 √ × 查询云手机实例（云手机状态、名称等信息） √ √ 自定义实例列表参数 √ × 重启（云手机实例） √ × 开机（云手机实例） √ × 关机（云手机实例） √ × 续费 √ × 退订 √ × 应用卸载 √ × 删除（云手机实例） √ × 绑定/解绑用户 √ × 查询应用部署详情 √ √ 上传应用 √ × 卸载应用 √ × 安装应用 √ × 查询安全管控详情 √ √ 开启防截屏 √ × 关闭防截屏 √ × 开启视频水印 √ × 关闭视频水印 √ × 批量删除（应用黑白名单） √ × 创建名单（应用黑白名单） √ × 开启（应用黑白名单） √ × 禁用（应用黑白名单） √ × 修改（应用黑白名单） √ × 删除（应用黑白名单） √ × 开启（数据流传输加密） √ × 关闭（数据流传输加密） √ ×

KooPhone Administrator角色内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "Koophone:*:*" ] }] } } }

KooPhone ReadOnlyUser角色内容 { "Version": "1.1", "Statement": [ { "Action": [ "Koophone:*get*", "Koophone:*list*" ], "Effect": "Allow", } ] } } }

应用场景一：安全移动办公 企业的传统实体办公手机缺少防截屏、应用管控及监控等统一防护手段，信息安全防护困难；数据资产分散到各实体手机本地，难以沉淀、统计和管理；手机硬件资产易丢失和毁损，应用和数据更新周期长、维护成本高。 KooPhone在端侧提供防截屏、防拍照录像、加实时水印等安全特性，严格管控数据外泄；在云侧具备数据统一监控、安全加固，应用集中管理、一键分发、统一升级，系统漏洞和安全威胁统一修复和防范；提供比一般办公软件更便捷的接入方式、更丰富的应用生态，企业员工可以随时随地使用手机接入云手机，实现消息处理、视频会议等安全的移动办公。

应用场景二：远程客服协助 传统企业客服系统仅支持语音通话，无法给用户提供可视化、实时的远程沟通渠道，并且也无法对用户操作事后审计、举证。 KooPhone给企业客服提供互动式的用户触达通道，通过同屏分享、远程标注等能力实现与用户的可视化沟通和远程指导。用户接入简单，单击链接即可访问客服系统，无需安装App。业务数据云端留存，无用户信息泄露风险；操作记录可长时间保存，便于审计及行为异常分析，保障数据安全、可追溯。

通用云手机 通用云手机提供的功能详情请参见表1 表1 通用云手机功能概览 功能名称 功能描述 云手机实例管理 支持云手机实例关机、开机、重启、删除、绑定/解绑用户、应用卸载。 支持云手机实例运行、登录状态查询。 支持云手机实例绑定状态、到期时间查询。 端云协同引擎 提供端侧和云侧的音视频流编解码能力。 支持断网和网络切换后的自动重连。 支持音视频采样频率和码率的自动调整。 支持端云之间的应用上传。 端云设备仿真 支持触控、麦克风、摄像头、GPS、陀螺仪、加速度传感器、重力传感器、光线传感器的设备仿真能力。 组织和用户管理 支持组织和部门的管理。 支持组织和部门下用户的管理。 应用部署 支持应用上传和删除。 支持应用在云手机的批量安装和卸载。 支持应用部署任务查询。 安全管控能力 支持云手机防截屏能力。 支持应用安装黑白名单管控能力。 支持端云之间音视频流、控制流的数据加密传输。 支持管理员和用户实时监控云手机实例的网络流量。 云手机在推送视频流时叠加实时水印。 父主题： 产品功能

修订记录 发布日期 修订记录 2024-06-14 第九次发布。 本次变更说明如下：更新准备工作。 2023-2-2 第八次正式发布。 本次变更说明如下：更新“快手上手通用云手机”购买云手机。 2023-12-11 第七次正式发布。 本次变更说明如下： 更新步骤1：购买云手机。 更新登录并使用。 2023-10-31 第六次正式发布。 本次变更说明如下： 更新步骤1：购买云手机。 2023-8-8 第五次正式发布。 本次变更说明如下： 更新登录并使用。 2023-6-19 第四次正式发布。 本次变更说明如下： 购买云手机，新增按需计费说明。 步骤2：创建组织和用户，修改创建组织相关内容。 2023-6-6 第三次正式发布。 本次变更说明如下： 修改入门流程图。 新增步骤2：创建组织和用户。 步骤5：登录并使用，新增二维码下载方式。 2023-4-20 第二次正式发布。 本次变更说明如下： 根据控制台操作优化步骤1：购买云手机的操作步骤。 新增步骤2：创建组织和用户。 2023-3-31 第一次正式发布。

步骤1：购买云手机 登录KooPhone管理控制台，在总览页的通用云手机卡片中，单击“立即购买”。 根据页面提示，完成基础配置，如表1所示。 表1 参数说明 参数 参数说明 样例 计费方式 支持包年/包月、按需共两种计费模式供您灵活选择。详细介绍请参考计费说明。 包年/包月 区域 不同区域的云服务产品之间内网互不相通。建议您选择最靠近您业务的区域，这样可以减少网络时延、提高访问速度。 华南-广州 云手机类型 每个版本提供不同规格的云手机实例。详细版本类型介绍请参考实例规格。 说明： 当前仅提供云手机专业版，暂不支持云手机企业版。 专业版 云手机名称 名称可自定义，但需符合命名规则：只能由英文字母、数字、中文字符、短横线-和下划线_组成，可输入14个字符。 KooPhone 购买时长 最短为1个月，最长为3年。 1（个月） 阅读并勾选同意协议，确认无误后单击“去支付”，并根据页面提示完成支付。

步骤5：登录并使用 打开KooPhone移动客户端。 首次登录时，您需要同意《隐私政策》、《用户协议》及《第三方SDK采集个人数据清单》才可继续使用云手机。 输入帐号、密码并获取验证码验证身份登录。 首次登录会询问您是否信任此浏览器？建议选择信任，当您下次登录时，系统将不再要求提供验证码。 图2右上角显示已绑定云手机数量，可以选择切换不同的云机，然后单击“进入云机”。 图2 云手机切换 执行结果 登录成功后，您将进入通用云手机桌面。 后续操作 单击桌面云手机悬浮图标，可查看云手机的网络信号，还可执行“重启云机”、“退出云机”、设置“导航按键”等操作。 您可正常使用云手机功能，如打电话、发短信、拍照。

步骤2：创建组织和用户 首次购买云手机后，管理员需创建组织。创建完成后，该华为账号会自动成为组织创建者，即租户管理员，拥有该组织的所有管理权限。在“组织和用户管理”页面左上方可选择不同的组织。一个账号最多可以创建五个组织。 前提条件 已通过管理控制台购买云手机实例。 管理组织和用户需使用主账号登录，不支持IAM子账号操作。 操作步骤 登录KooPhone管理控制台，进入KooPhone云手机页面。 单击左侧导航栏“组织和用户管理”。 单击“创建组织”。根据页面提示完成创建组织并配置用户成员。具体操作请参考：创建组织、部门管理和成员管理。

操作步骤 以主账号登录ModelArts管理控制台。 在控制台左下方，单击“专属资源池”下拉框，选择“弹性集群”，进入资源池创建页面。 在资源池创建页面，单击“创建”，进入购买专属资源池页面。 进入购买专属资源池页面后，配置购买参数，各参数说明如表2-6所示。 表1 联盟信息配置参数 参数名称 说明 样例 名称 资源池的名称，创建时会随机生成一个名字。 pool-6e8a 描述 对创建的资源池进行说明。 - 使用场景 分为Standard弹性集群与Lite弹性集群，联邦学习对接MA需要选择Lite弹性集群。 ModelArts Lite 计费模式 选择Lite弹性集群目前默认包年/包月计费模式。 包年/包月 CCE集群 选择创建完成的CCE集群，如果没有可用的CCE集群，可单击右边的“创建集群”按钮，购买CCE集群。 - 自定义节点名称 集群节点名称，会随机生成，用户也可以根据自己需求来指定节点前缀名。 - 规格管理 选择规则类型、可用区、节点数量等。 - 购买时长 购买资源池的时间，用户可以根据续期选择，到期后，会自动清理。 - 自动续费 用户根据需求选择是否选择自动续费。 - 登录方式 选择登录方式，有密码和密钥对两种方式。 选择密码登录，默认用户名为“root”，需要设置密码用来登录节点后台。 选择密钥对，需要选择密钥对，如果没有密钥对，可以单击右边“创建密钥对”按钮创建。 -