华为云用户手册

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 可参考"IAM获取IAM用户Token"获取 表3 请求Body参数 参数 是否必选 参数类型 描述 server_id 是 String 实例id upgrade_time 是 Long 定时升级的时间，需要比当前时间大24小时 cancel 否 Boolean 是否取消升级定时任务，已开始任务不可取消。 true：取消 false：无影响

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 admin_url String 云堡垒机登录admin链接。 状态码： 400 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 请求参数错误。 状态码： 401 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 校验TOKEN失败。 状态码： 403 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 租户无权限操作。 状态码： 404 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 没有找到CBH资源。

响应参数 状态码： 400 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 请求参数错误。 状态码： 401 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 校验TOKEN失败。 状态码： 403 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 租户无权限操作。 状态码： 404 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_description String 没有找到CBH资源。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 可参考"IAM获取IAM用户Token"获取 表3 请求Body参数 参数 是否必选 参数类型 描述 publicip_id 是 String 弹性公网IP的ID,使用UUID格式。

支持迁移的公共镜像 支持迁移的公共镜像和HCE OS系统的对应关系如下所述。 表1 支持迁移的X86公共镜像 OS发行系列 源操作系统 目标操作系统 HCE OS 64bit：Huawei Cloud EulerOS 1.1 Huawei Cloud EulerOS 2.0 标准版 64位 EulerOS 64bit：EulerOS：2.10/2.9/2.5/2.3/2.2 Huawei Cloud EulerOS 2.0 标准版 64位 CentOS 64bit：CentOS 7：7.9/7.8/7.7/7.6/7.5/7.4/7.3/7.2/7.1/7.0 64bit：CentOS 8：8.5/8.4/8.3/8.2/8.1/8.0 Huawei Cloud EulerOS 2.0 标准版 64位 64bit：CentOS 7.9 Huawei Cloud EulerOS 1.1 CentOS兼容版 表2 支持迁移的ARM公共镜像 OS发行系列 源操作系统 目标操作系统 EulerOS 64bit：EulerOS：2.10/2.9/2.8/2.3 Huawei Cloud EulerOS 2.0 标准版 64位 ARM版

Huawei Cloud EulerOS镜像 发行版 镜像名称 镜像说明 Huawei Cloud EulerOS 2.0 Huawei Cloud EulerOS 2.0 标准版 64位 支持x86架构的默认标准镜像。 Huawei Cloud EulerOS 2.0 Huawei Cloud EulerOS 2.0 等保2.0三级版 64位 基于x86架构默认标准镜像进行等保加固的镜像版本，该镜像符合等保2.0三级安全保护的基本要求。详情请参见Huawei Cloud EulerOS 2.0等保2.0三级版镜像概述。 Huawei Cloud EulerOS 2.0 Huawei Cloud EulerOS 2.0 标准版 64位 ARM版 支持ARM架构的默认标准镜像。 Huawei Cloud EulerOS 2.0 Huawei Cloud EulerOS 2.0 等保2.0三级版 64位 ARM版 支持ARM架构的等保2.0三级版镜像。 Huawei Cloud EulerOS 1.1 Huawei Cloud EulerOS 1.1 CentOS兼容版 64位 支持x86架构的兼容CentOS 7.9镜像。 说明： 仅在新加坡区域发布。

产品优势 华为云服务垂直整合：联合华为云擎天平台垂直优化、GuestOS/HostOS协同，提升应用性能，打造弹性云服务器、云容器引擎、弹性负载均衡、数据库等服务优选竞争力。 云原生混部优选体验：支持容器应用混部，打造业界优选的云原生资源利用效率；提供占用资源少、启动速度快、资源利用率高的云原生基础设施。 高效快速部署：加速虚拟机启动，提升批量部署效率。 安全可信：支持SM2等国密算法，等保2.0/CC EAL4+安全能力。 基于openEuler生态：国内最活跃OS开源社区，Linux社区贡献持续5年TOP5，5.10内核贡献TOP1；南北向主流软硬件支持，可完全替代CentOS。 OS开箱即用：支持安装KooCLI，提供通过CLI调用云服务API的方法；支持安装管理鸿蒙SDK的工具sdkmgr，方便远程管理鸿蒙SDK，实现端云开发者协同。

什么是Huawei Cloud EulerOS 2.0等保2.0三级版镜像 Huawei Cloud EulerOS 2.0等保2.0三级版镜像是基于Huawei Cloud EulerOS 2.0官方标准镜像，根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求推出的镜像。 您使用本镜像可满足以下等保合规要求： 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范

产品功能 选择Linux kernel 5.10作为HCE OS的内核，为云上应用程序环境提供企业级高可靠性保障，并同步更新Linux社区的最新功能。 支持云原生调度增强、内存分级扩展，支持操作系统迁移、兼容性评估。 支持SM2等国密算法，等保2.0/CC EAL4+安全能力。 提供gcc 10.3、binutils 2.37、glibc 2.34编译器，增强稳定性并提高与其它软件的兼容性。 对Intel、AMD、ARM等平台进行功能适配、性能调优和稳定性加固，保证操作系统在各平台都能稳定可靠地长期运行。

支持的实例规格 Huawei Cloud EulerOS支持部分弹性云服务器实例规格，请根据需要选择合适的实例规格。 不同区域支持的弹性云服务器实例规格存在差异，以控制台实际显示为准。对于控制台未显示的实例规格，表示该区域不支持此实例规格。 Huawei Cloud EulerOS 2.0各版本镜像支持的实例规格如下所述。 表1 支持的弹性云服务器实例规格 弹性云服务器实例类型 支持的规格族 通用计算型 s7/s6 通用计算增强型 c7/c6s/c6 内存优化型 m7/m6 超大内存型 e6 磁盘增强型 d6/d7 Huawei Cloud EulerOS 1.1 支持实例规格如下所述。 表2 支持的弹性云服务器实例规格 弹性云服务器实例类型 支持的规格族 通用计算型 s6 通用计算增强型 c6s/c6 内存优化型 m6 磁盘增强型 d6

边界防护与响应 表1 规格清单 一级分类 二级分类 规格名称 规格描述 管理 授权管理 服务授权 进行边界防护相关功能的授权管理。 安全态势大屏 资产失陷态势 资产失陷态势，包括：失陷主机趋势、失陷主机分布、失陷事件阻断率、最新失陷事件、top失陷主机、top失陷类型、top失陷事件。 基础安全事件态势 基础安全事件态势，包括：攻击位置、威胁判定平均时长、阻断率、top攻击类型展示，最近威胁事件，专项事件数量。 外部攻击源态势 外部攻击源态势，包括：外部攻击源趋势、攻击源分布、外部攻击阻断率、最新外部攻击、top攻击源、攻击资产、攻击类型。 套餐管理 套餐开通 支持用户下单边界服务套餐、套餐绑定设备、套餐绑定重保等能力。 定期安全报告 定期安全报告 按周、按月为用户提供安全服务报告，安全服务报告将以邮件形式发送至用户订阅邮箱。通过安全服务报告，客户可清晰了解以下信息： 安全服务概况。 威胁防护次数及趋势。 失陷主机数量及详情。 外部攻击源数量及趋势。 恶意文件数量及趋势。 支持应用访问行为统计，支持基于源IP、时间和应用分布等维度的统计，按周月提供统计分析报表 支持历史安全报告的查看和预览功能。 支持报告下载。 安全域管理 安全域状态管理 支持安全域状态监测，检查安全域物理连线是否接反。 支持针对安全域设置信任标签。 手机APP 手机APP 支持手机APP方式进行边界防护的威胁事件、黑白名单、安全报表等功能管理。 MSSP MSSP代维 可在用户运维平台对安全服务建立委托关系，给指定被委托方建立不同操作权限角色（管理员、审计员等）的代维委托。委托建立后，被委托方可查看、处置安全威胁事件。 MSSP安全大屏 支持针对MSSP管辖的租户进行安全大屏呈现。 MSSP工单流转 支持租户的工单流转到MSSP进行分析和处置。 识别 暴露面风险评估 暴露面风险评估 通过对互联网暴露面端口扫描，对用户网络安全状态实时看护，提示用户网络内不必要暴露端口。 防护 天关/防火墙威胁防护 恶意软件防护 支持多级防护技术，支持多种恶意代码载体类型检测，实时更新病毒库，覆盖流行高危恶意软件。注：1U款型支持500万病毒库，桌面型款型支持300万病毒库。 僵木蠕防护 支持基于僵尸网络拓扑分析技术的精准角色识别，支持500+僵尸网络识别，支持1000+蠕虫和木马识别。 业务感知 支持识别6000+应用，支持主流应用协议全覆盖。 WEB分类 支持Web分类库超1.2亿，对访问行为进行管理，防范恶意网站对企业网络的侵害。 入侵防御 支持基于漏洞与行为分析的攻击检测技术，支持上下文语义还原的防躲避技术，最大支持12000+特征库，支持自动更新。1U款型支持12000特征库，桌面型款型支持5000特征库，支持僵尸网络检测及应用服务器防护 。 响应 手动封禁 手动封禁 可以通过检测到的外部攻击源事件，进行手动封禁攻击源的操作。 EDR联动处置 EDR联动处置 支持失陷主机、恶意文件进行EDR联动处置能力，支持进程隔离、病毒查杀等操作。 EDR资产和设备自动关联 通过EDR资产发送探测报文方式，实现EDR资产、边界防护与响应服务、资产管理服务、EDR服务等服务联动，进行EDR资产与天关设备自动关联。 威胁自动阻断 外部攻击源自动阻断 支持对外部高危攻击源精准识别，自动下发黑名单，阻拦其后续的攻击行为。 恶意域名自动阻断 支持基于DNS过滤实现恶意域名自动阻断，拦截用户网络内主机对恶意域名的访问行为。 紧急安全通知 短信通知 支持短信紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 手机APP通知 支持手机APP紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 邮件通知 支持邮件紧急安全通知，针对威胁事件发送紧急通知，及时指导进行响应。 告警模板 对于需要发送给用户的紧急告警，提供对应的告警模板自定义能力。 黑白名单功能 域名黑名单 支持配置域名黑名单，拦截用户网络内主机对恶意域名的访问行为。 设备黑名单 支持设备黑名单设置能力，快速阻断威胁攻击源。 支持设备历史黑名单的查看。 支持一键清除。 设备保护网段 支持设备保护网段联动能力，保护已知业务，防止黑名单误阻断。 租户全局白名单 支持租户全局白名单设置能力，保护已知业务，防止黑名单误阻断。 设备白名单 支持设备白名单设置能力，保护已知业务，加入设备白名单的地址不会再进行内容安全检测。 分析 专项事件分析 失陷主机 支持按失陷主机维度自动聚合，基于失陷主机进行快速分析和处置。 外部攻击源 支持按外部攻击源维度自动聚合，基于外部攻击源进行快速分析和处置。 支持外部攻击源导出能力。 恶意文件 支持按恶意文件维度自动聚合，基于恶意文件进行快速分析和处置 检测 自定义签名 自定义签名事件检测 支持由云端向设备下发自定义签名配置，并对由此产生的安全事件进行管理分析。 云蜜罐 事件检测 支持联动云蜜罐进行威胁检测、分析研判与处置 云端DNS自动化威胁检测 DNS恶意域名检测 恶意域名检测支持基于DNS过滤日志和恶意域名库，针对内网主机请求外网恶意域名的检测 云端Metadata威胁检测 明文口令检测 检测网站交互流量中是否存在明文口令传输行为。 弱密码检测 检测网站交互流量中是否存在弱密码传输行为。 反序列化攻击检测 反序列化是指把字节序列恢复为对象的过程，如果Web应用在进行反序列化时接收用户输入的数据，且缺少对输入数据必要的验证，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，导致任意代码执行。算法基于反序列化攻击中的恶意流量特征进行检测，并支持攻击成功判定。 暴力破解检测 暴力破解攻击是通过使用某一账号、密码字典（通常为网络社工收集），尝试枚举登录，如果登录成功，则可获取用户账号密码。算法基于流量检测针对SSH、RDP协议的暴力破解，包括常规爆破以及密码喷洒式爆破、慢速爆破。 SQL注入检测 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句中添加额外的SQL语句，实现欺骗数据库服务器执行非授权的任意查询，达到获取数据信息的目的。算法基于HTTP交互行为特征识别SQL注入，并支持SQL注入的攻击成功判定。 DNS Tunnel检测 DNS通道指攻击者通过将攻击报文封装在DNS协议中，利用DNS递归查询机制，与远程恶意DNS服务器实现C&C（命令和控制）通信、数据窃取操作。算法利用DNS流量中的交互行为特征，检测DNS隐蔽通道。 OGNL注入检测 OGNL注入指web应用程序对用户输入数据的合法性没有判断，攻击者通过构造带有攻击性的OGNL表达式，以此实现命令执行的目的。算法基于HTTP交互行为特征识别OGNL注入，并支持攻击成功判定。 WebShell检测 基于流量行为特征检测未经加密和部分加密（如冰蝎、weevely、jweevely等）的WebShell，包括WebShell文件上传和与WebShell交互的场景。 RCE攻击检测 远程命令注入RCE是一种由于服务器应用漏洞导致黑客可以在服务器上执行任意命令的攻击。算法基于Web流量，通过攻击交互的行为特征识别命令注入，并支持攻击成功判定。 XXE攻击检测 XXE即XML外部实体攻击，是一种针对解析XML格式应用程序的攻击类型之一。此类攻击发生在当配置不当的XML解析器处理指向外部实体的文档时，可能会导致敏感文件泄露、拒绝服务攻击、系统命令执行等危害。算法基于XXE页面攻击特征识别注入行为，并支持攻击成功判定。 父主题： 规格清单

威胁信息服务 表1 规格清单 一级分类 二级分类 规格名称 规格描述 威胁情报 情报库管理 提供离线情报库管理 提供离线情报库功能，可支撑需要离线情报库的用户进行情报下载。 IP地理位置离线情报库 支持用户在页面下载IP地理位置情报库。 域名离线情报库 支持用户在页面下载域名情报库。 IP离线情报库 支持用户在页面下载IP情报库。 MSP代维 MSP情报检索能力 MSP可以进入威胁信息服务进行情报检索。 MSP租户级代维 租户授权委托MSP代理维护威胁信息服务，MSP以租户身份登陆到威胁信息服务进行相关配置，当前仅限于重保IP情报的管理。 情报采集 手工录入通用情报 支持手工录入通用信誉情报（IP，Domain，文件Hash）。 域名情报 通用域名情报 为用户提供域名情报查询的能力。 IP情报 重保IP情报 为购买重保服务的用户提供专属护网IP情报，用户也可以管理自己的重保IP情报。 IP情报查询 提供北向、UI界面的IP情报查询能力。 URL分类 URL分类情报查询 提供URL分类情报北向接口查询能力。 漏洞情报 根据CVE ID查询漏洞情报 提供CVE ID漏洞情报UI和北向接口查询。 文件情报 根据文件哈希值查询文件情报 提供文件情报UI界面和北向接口能力，支持按照文件的MD5、SHA1、SHA256进行检索。 安全研究 热点情报 显示热点情报列表。 威胁信息检索 威胁信息检索页面 为租户提供独立威胁信息检索页面。 重保威胁信息 IP重保情报前端管理与展示 针对购买重保服务的租户提供IP重保情报管理功能。 威胁情报运营 用户体验 白天和黑夜显示模式 运维面或者运维角色支持白天和黑夜模式。 提供情报检索功能 运营侧情报检索能力 为Operator角色用户在情报运营网站提供情报检索功能。 父主题： 规格清单

功能特性 云日志服务提供数据加工功能，用于数据的规整、富化、脱敏和过滤。 数据规整：针对混乱格式的日志进行字段提取、格式转换，获取结构化数据以支持后续的流处理、数据仓库计算。 数据富化：对日志（例如订单日志）和维表（例如用户信息表）进行字段连接（JOIN），为日志添加更多维度的信息，用于数据分析。 数据脱敏：对数据中包含的密码、手机号、地址等敏感信息进行脱敏。 数据过滤：过滤出关键服务的日志，用于重点分析。

监控指标 表1 在线人数和播放带宽支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） online 拉流并发数 该指标用于查询直播在线人数。 单位：个 ≥ 0个 播放域名 1分钟 bandwidth 拉流带宽 该指标用于查询播放域名的带宽数据。 单位：比特/秒 ≥ 0 bit/s 播放域名 1分钟 play_traffic 播放流量 该指标用于查询播放流量。 单位：比特 ≥ 0 Byte 播放域名 1分钟 qps 每秒访问次数 该指标用于查询每秒访问次数。 单位：个 ≥ 0 个 播放域名 1分钟 http_4xx_proportion 4xx状态码占比 该指标用于查询4xx状态码占比。 0-100% 播放域名 1分钟 http_5xx_proportion 5xx状态码占比 该指标用于查询5xx状态码占比。 0-100% 播放域名 1分钟 inject_concurrency_number 推流并发数 该指标用于查询推流并发数。 单位：个 ≥ 0个 推流域名 1分钟 inject_bandwidth 推流带宽 该指标用于查询推流带宽。 单位：比特/秒 ≥ 0 bit/s 推流域名 1分钟

CloudPond功能概述 您可以通过表1查阅智能边缘小站（CloudPond）提供的常用功能。 表1 CloudPond功能概述 功能分类 功能描述 相关操作 边缘小站 边缘小站定义为CloudPond产品中用于管理线下部署站点的逻辑概念，一个边缘小站关联一个华为云指定的区域和一个用户指定的部署位置。 部署位置定义为与边缘小站相关联的逻辑概念，用于记录小站部署的大致地区。 您可以通过CloudPond控制台注册、查看、修改和删除边缘小站。 注册边缘小站 管理边缘小站 网络连接 CloudPond和用户本地系统之间：根据实际业务需要，用户可以通过边缘小站内部的本地网关打通CloudPond和本地系统之间的网络，达到内部网络互访的效果。 CloudPond和中心云之间：CloudPond所在的边缘可用区和中心云的通用可用区通过边缘网关进行连接，共享同一虚拟私有云VPC，用户在CloudPond上可通过VPC内网访问中心云的其他云服务。 配置并验证CloudPond和用户本地系统之间的网络连接 验证CloudPond和中心云之间的网络连接 业务资源 CloudPond运行有必选云服务，同时您可以根据需求将一些可选的云服务和应用部署在CloudPond上，实现在您本地使用各类华为云服务，以及边云协同的场景，以满足数据本地化和低时延访问的需求。 CloudPond控制台提供了跳转至支持的云服务创建和管理资源界面的功能。此外，还提供了镜像缓存的功能。 在边缘可用区创建业务资源 在边缘可用区管理业务资源 镜像缓存 监控数据 CloudPond以边缘小站为单位，在控制台上提供计算资源（vCPU和内存）和存储资源使用率的查看功能。 CloudPond提供和华为云通用可用区监控云服务的一致体验，用户可以通过云监控服务CES或者其他一些方法监控CloudPond上运行的各类云服务。 查看边缘小站资源使用率 监控云服务

查看边缘小站详细信息 您可以单击边缘小站的名称，进入小站详情页面查看更多信息。 当边缘小站的状态为“可用”，即已在用户数据中心部署CloudPond一体化机柜，且小站运行正常时，您可以查看小站的基本信息、可用云服务信息、资源使用情况等。 当边缘小站的状态为“待部署”、“不可用”、“部署中”，即还未在用户数据中心完成CloudPond一体化机柜部署或者小站运行故障时，您可以查看小站的基本信息。 信息分类 参数 说明 基本信息 名称 边缘小站的名称，为用户注册边缘小站时自定义。 状态 边缘小站的当前状态，具有如下四种。 待部署：表示还未在用户数据中心部署CloudPond一体化机柜。 可用：表示已在用户数据中心部署CloudPond一体化机柜。 该状态下可以正常使用CloudPond创建和管理业务资源。 不可用：表示小站运行时出现故障，暂不可用。 请联系华为云运维团队进行联合定位和解决故障。 部署中：表示CloudPond一体化机柜正在用户数据中心进行部署中。 待部署完成后，状态将更改为“可用”。 部署位置 边缘小站部署的地区名称，为用户注册边缘小站时所设置。 对接区域 边缘小站关联的华为云区域名称，为用户注册边缘小站时所选择。 ID 注册完边缘小站后，系统自动生成默认ID。ID全局唯一，方便通过API方式对小站进行操作。 可用区ID 边缘小站关联的边缘可用区ID。您可以通过边缘小站与区域和可用区是什么关系？了解更多详情。 查看边缘可用区ID信息，在云服务控制台创建业务资源时，可以方便进行匹配。 注册时间 边缘小站的注册时间。 描述 边缘小站的描述信息，为用户注册边缘小站时所填写。 您可以单击修改描述信息。 资源概览 云主机资源使用率和云硬盘资源使用率 云主机资源使用率：展示vCPU（单位：vCPU）资源使用情况。 云硬盘（高IO）资源使用率：展示存储（单位：GiB）资源使用情况。 云硬盘（超高IO）资源使用率：展示存储（单位：GiB）资源使用情况。 当资源使用率小于50%时，进度条显示为紫色；资源使用率大于等于50%，且小于80%时，进度条显示为橙色；资源使用率等于大于80%时，进度条显示为红色。 当进度条显示为红色时，建议您申请小站资源扩容或及时删除不需要的资源。 云主机可用资源 通用计算增强型（S系列）资源池 通用计算增强型（C系列）资源池 内存优化型（M系列）资源池 磁盘增强型（I系列）资源池 磁盘增强型（D系列）资源池 GPU加速型（PI系列）资源池 GPU加速型（G系列）资源池 GPU加速型（P3V）资源池 XX资源池已配置云主机备用机，预留vCPUxx核。 XX资源池未配置云主机备用机，请谨慎规划资源使用，如有需要请提交工单。 小站可用云服务 必选服务 CloudPond支持弹性云服务器（Elastic Cloud Server，ECS）、云硬盘（Elastic Volume Service，EVS）、虚拟私有云（Virtual Private Cloud，VPC）、弹性公网IP（Elastic IP，EIP）云服务的业务资源发放至边缘小站。 您可以单击“创建”或“管理”跳转至对应云服务的界面进行相关操作，详见创建业务资源。 可选服务 CloudPond支持 VR云渲游平台（VR Cloud Rendering & Gaming Platform，CVR）、MapReduce服务（MapReduce Service，MRS）、数据仓库服务（Data Warehouse Service，DWS）、智能边缘平台（Intelligent EdgeFabric，IEF）、应用与数据集成平台（ROMA Connect）、弹性文件服务（Scalable File Service，SFS）等多种可选服务在边缘小站运行。业务交互关系请参见CloudPond与其他云服务的关系。 您可以单击“创建”或“管理”跳转至对应云服务的界面进行相关操作，详见创建业务资源。

查看边缘小站基本信息 您可以在“边缘小站”页面，查看已注册边缘小站的基本信息。 表1 边缘小站信息 参数 说明 名称 边缘小站的名称，为用户注册边缘小站时自定义。 状态 边缘小站的当前状态，具有如下四种。 待部署：表示还未在用户数据中心部署CloudPond一体化机柜。 可用：表示已在用户数据中心部署CloudPond一体化机柜。 该状态下可以正常使用CloudPond创建和管理业务资源。 不可用：表示小站运行时出现故障，暂不可用。 请联系华为云运维团队进行联合定位和解决故障。 部署中：表示CloudPond一体化机柜正在用户数据中心进行部署中。 待部署完成后，状态将更改为“可用”。 区域 边缘小站关联的华为云区域名称，为用户注册边缘小站时所选择。 部署位置 边缘小站部署的地区名称，为用户注册边缘小站时所设置。 vCPU资源使用 边缘小站vCPU、内存和存储资源的使用率，请参见边缘小站资源使用率概览。 当小站的状态为“待部署”、“部署中”、“不可用”、“交付中”时，资源使用率显示为“--”。 当已使用小站资源，资源使用率小于50%时，进度条显示为绿色；资源使用率大于等于50%，且小于80%时，进度条显示为橙色；资源使用率等于大于80%时，进度条显示为红色。 当进度条显示为红色时，建议您申请小站资源扩容或及时删除不需要的资源。 内存资源使用 存储资源使用 操作 可对边缘小站进行“订购”或“删除”操作。 说明： 只有小站状态为“待部署”时才支持“删除”操作。小站已有订单的情况下无法删除。

操作场景 CloudPond所在的边缘可用区和中心云的通用可用区通过边缘网关进行连接，共享同一虚拟私有云VPC，用户在CloudPond上可通过VPC内网访问中心云的其他云服务。 在CloudPond部署过程中（即场地安装CloudPond硬件和软件过程中），华为云技术支持团队已为您打通CloudPond和华为云区域通用可用区之间的网络，您可以在虚拟私有云VPC控制台上创建同时包含归属于边缘可用区子网和归属于通用可用区子网的虚拟私有云VPC，然后通过测试华为云区域通用可用区的弹性云服务器和边缘可用区的弹性云服务器之间的网络是否连通，来验证CloudPond和华为云区域通用可用区之间的网络连通性。 请参考概述了解CloudPond网络连接的总体数据规划，此外，您可以参考组网方案和要求全面详细了解CloudPond的网络连接要求。

验证CloudPond和中心云之间的网络连通性 以Windows弹性云服务器为例进行说明： 在华为云区域通用可用区新建一台弹性云服务器ECS01（加入VPC01，选择子网网段10.0.1.0/24）。 参数“可用区”选择“通用可用区”，方法请参见自定义购买弹性云服务器。 在弹性云服务器列表页面查询到ECS01，从“IP地址”列获取并记录其私有IP地址（如10.0.1.110）。 在边缘可用区新建一台弹性云服务器ECS03（加入VPC01，选择子网网段10.0.3.0/24）。 参数“可用区”选择“边缘可用区”，其余操作和在华为云区域通用可用区的方法完全一致。 在弹性云服务器列表页面查询到ECS03，从“IP地址”列获取并记录其私有IP地址（如10.0.3.110）。 （可选）当ECS01和ECS03不在同一个安全组时，为二者所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通。 方法请参见不同安全组内的弹性云服务器内网互通。 登录弹性云服务器ECS01，执行到弹性云服务器ECS03的ping命令，验证ECS01和ECS03的网络连通性。 ping 10.0.3.110 检查ping命令返回结果，可以ping通表示网络可连通。如果ping不通请排查原因并联系华为云运维团队处理。

在边缘可用区管理业务资源 CloudPond提供和华为云通用可用区使用云服务的一致体验，用户可以通过各服务控制台访问CloudPond上运行的各类云服务。 请您参考表1，详细了解CloudPond支持的云服务的使用方法。 表1 使用云服务参考文档 云服务名称 主要参考文档 弹性云服务器ECS 弹性云服务器ECS用户指南 云硬盘EVS 云硬盘EVS用户指南 虚拟私有云VPC 虚拟私有云VPC用户指南 弹性公网IP EIP 弹性公网IP EIP用户指南 云桌面 Workspace 云桌面Workspace用户指南 云容器引擎 CCE 云容器引擎CCE用户指南 弹性负载均衡 ELB 应用与数据集成平台ROMA Connect 应用与数据集成平台ROMA Connect用户指南 Web应用防火墙 WAF Web应用防火墙WAF用户指南 MapReduce服务MRS MapReduce服务MRS用户指南 主机迁移服务SMS 主机迁移服务用户指南 弹性文件服务SFS 弹性文件服务用户指南 企业主机安全HSS 数据库安全服务DBSS 数据库安全服务用户指南 云堡垒机CBH 云堡垒机CBH用户指南 数据仓库服务DWS 数据仓库服务DWS管理指南 数据治理中心DataArts Studio 数据治理中心DataArts Studio用户指南 云数据库RDS 云数据库RDS用户指南 父主题： 业务资源

概述 CloudPond通过一张分布式网络的优势实现支持如下网络连接功能。 云和边之间：CloudPond所在的边缘可用区和中心云的通用可用区通过边缘网关进行连接，共享同一虚拟私有云VPC，用户在CloudPond上可通过VPC内网访问中心云的其他云服务。 边和本地之间：根据实际业务的需要，用户可以通过边缘小站内部的本地网关打通边缘小站和本地系统之间的网络，达到内部网络互访的效果。 您可以参考组网方案和要求全面了解CloudPond的网络连接要求。图1为CloudPond网络连接数据规划示意图。 图1 网络连接数据规划示意图 详细的网络连接配置和验证操作请参见： 配置并验证CloudPond和用户本地系统之间的网络连接 验证CloudPond和中心云之间的网络连接 父主题： 网络连接

查看本地网关和本地网关路由表信息 完成场地安装CloudPond硬件和软件之后，您可以通过CloudPond控制台查看对应边缘小站的本地网关和本地网关路由表信息。 查看本地网关 进入CloudPond控制台，单击“本地网关”进行查看。其中本地网关名称和ID、边缘小站名称和ID、可用区均为系统默认生成。 当前CloudPond支持一个边缘小站对应一个本地网关。 查看本地网关路由表信息 进入CloudPond控制台，单击“本地网关”进入本地网关列表页面，再单击本地网关所在行操作列的“管理本地网关路由表”进行查看。其中名称和ID均为系统默认生成。 当前CloudPond支持一个本地网关对应一个本地网关路由表。

验证通用可用区和用户本地系统之间的网络连通性 当配置了通用可用区和用户本地系统之间的路由信息时，即在表1中的“目的地址”参数填写为虚拟私有云的大网段，或者又单独新增了对应子网网段的路由信息，您可以在本地系统通过VPC内网访问通用可用区的云服务。 以windows弹性云服务器为例进行说明： 在CloudPond通用可用区新建一台弹性云服务器ECS01（加入VPC01，选择子网网段10.0.0.0/16）。 参数“可用区”选择“通用可用区”。 方法请参见自定义购买弹性云服务器。 将ECS01所在的安全组放通“入方向”的“ICMP”规则，出方向默认全部放通。详见安全组配置规则。 在弹性云服务器列表页面查询到ECS01，从“IP地址”列获取并记录其私有IP地址（如10.0.1.110）。 登录本地系统服务器Server01，执行到弹性云服务器ECS01的ping命令，验证Server01和ECS01的网络连通性。 ping 10.0.1.110 检查ping命令返回结果，可以ping通表示网络可连通。如果ping不通请排查原因并联系华为云运维团队处理。

操作场景 根据实际业务的需要，用户可以通过CloudPond内部的本地网关打通小站和本地系统之间的网络，达到内部网络互访的效果。 您首先需要为本地网关路由表关联VPC，然后为其添加到本地网络的路由信息。配置完成后，通过测试边缘可用区的弹性云服务器和用户本地系统中的服务器之间的网络是否连通，来验证CloudPond和用户本地系统之间的网络连通性。 请参考概述了解CloudPond网络连接的总体数据规划，此外，您可以参考组网方案和要求全面详细了解CloudPond的网络连接要求。

验证CloudPond和用户本地系统之间的网络连通性 以windows弹性云服务器为例进行说明： 在CloudPond边缘可用区新建一台弹性云服务器ECS03（加入VPC01，选择子网网段10.0.3.0/24）。 参数“可用区”选择“边缘可用区”，其余操作和在华为云区域通用可用区的方法完全一致。 方法请参见自定义购买弹性云服务器。 将ECS03所在的安全组放通“入方向”的“ICMP”规则，出方向默认全部放通。详见安全组配置规则。 服务器列表页面查询到ECS03，从“IP地址”列获取并记录其私有IP地址（如10.0.3.110）。 登录本地系统服务器Server01，执行到弹性云服务器ECS03的ping命令，验证Server01和ECS03的网络连通性。 ping 10.0.3.110 检查ping命令返回结果，可以ping通表示网络可连通。如果ping不通请排查原因并联系华为云运维团队处理。

使用场景 CloudPond运行有必选云服务，同时您可以根据需求将一些可选的云服务和应用部署在CloudPond上，实现在您本地使用各类华为云服务，以及边云协同的场景，以满足数据本地化和低时延访问的需求。 支持必选服务ECS、EVS、VPC、EIP部署至边缘小站，为您提供在本地使用华为云基础云服务资源的便利。 支持丰富的可选云服务（如MRS、DWS、IEF、ROMA Connect、SFS Turbo等）在边缘小站本地运行，与云上服务形成协同关系，共同支撑业务需求。 在CloudPond上部署云市场相关应用，将华为云生态无缝拓展到边缘（即将上线）。 除了上述提到的必选服务和可选服务，CloudPond还支持各类管理、监控、安全和迁移服务。详细介绍请参见与CloudPond有业务交互的云服务。 CloudPond控制台提供了跳转至各个必选服务和可选服务创建资源界面的功能。 在边缘可用区创建业务资源之前，请先了解CloudPond支持的必选服务的约束与限制，可选服务的约束与限制请直接参考各服务的产品文档。

确认配置 确认云服务器基础配置、网络配置、高级配置是否满足业务需求。 企业项目 该参数针对企业用户使用。如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 请从下拉列表中选择所在的企业项目。更多关于企业项目的信息，请参见《企业管理用户指南》。 设置“使用时长”。 设置定时删除时间后，系统将在设定时间自动删除云服务器，请提前做好数据备份，谨慎操作。 购买数量：设置您购买的云服务器数量。 系统会显示您当前还可以购买的云服务器数量。 协议：阅读并勾选同意协议。 如果您确认配置无误，单击“立即购买”。 云服务器创建成功后将默认开机。

网络配置 设置“网络”。 在下拉列表中选择可用的虚拟私有云和子网，并设置私有IP地址的分配方式。如果没有可用选项，请单击“前往控制台创建”。 添加“扩展网卡”，可选配置。您可以添加多张扩展网卡，并指定网卡（包括主网卡）的IP地址。 暂不分配IPv6地址/自动分配IPV6地址：当且仅当选择部分规格的云服务器、且VPC子网开启了IPv6功能时，该参数可见。子网如何开启IPv6功能，请参见“IPv4/IPv6双栈网络”。云服务器是否支持IPv6双栈功能的查看方法请参见动态获取IPv6地址中的“约束与限制”相关内容。 系统默认分配IPv4地址，当选择“自动分配IPV6地址”后，网卡的IP地址为IPv6类型。在同一VPC内，云服务器通过IPv6地址在双栈ECS之间进行内网访问。如需访问外网，您需要开启“IPv6带宽”并选择共享带宽，此时云服务器可以通过IPv6地址与互联网上的IPv6网络进行访问。 弹性云服务器创建成功后，需手动配置云服务器，动态获取IPv6地址，启用IPv6功能，具体操作请参见动态获取IPv6地址。 当前仅支持在创建云服务器时开启IPv6功能，开启成功后，不能修改。如果创建云服务器时未开启“IPv6带宽”功能，系统支持在云服务器创建成功后开启“IPv6带宽”功能。 暂不支持独享带宽。 设置“源/目的检查”。 开启“源/目的检查”，系统会检查弹性云服务器发送的报文中源IP地址是否正确，如果不正确，则不允许发送该报文。通过该功能，有助于防止伪装报文攻击，提升安全性。默认情况下“源/目的检查”的状态为“ON”。 源/目的检查设置对使用已有弹性网卡无效，仅对同云服务器一起创建的网卡生效。 选择“安全组”。 在下拉列表中选择可用的安全组，如果没有可用选项，请先创建安全组和配置安全组规则。 设置“弹性公网IP”。 弹性公网IP是指将公网IP地址和路由网络中关联的弹性云服务器绑定，以实现虚拟私有云内的弹性云服务器通过固定的公网IP地址对外提供访问服务。 您可以根据实际情况选择以下三种方式： 暂不购买：弹性云服务器不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云服务器进行使用。 现在购买：自动为每台弹性云服务器分配共享带宽的弹性公网IP。 带宽名称：在下拉列表中选择可用的共享带宽，如果没有可用选项，请单击“新建共享带宽”申请共享带宽，详情请参考申请共享带宽。 释放行为：对于勾选了“随实例释放”的弹性公网IP，将在删除云服务器同时执行删除。 使用已有：为弹性云服务器分配已有弹性公网IP。使用已有弹性公网IP时，不能批量创建弹性云服务器。 单击“下一步：高级配置”。

基础配置 选择“区域”。 默认区域为当前小站所在的区域，且不支持更换为其他区域。 选择“计费模式”。 当前仅支持按需计费模式。 选择“可用区”。 默认可用区为“边缘可用区”，且不支持更换为其他可用区。 选择“CPU架构”。 X86计算：x86 CPU架构采用复杂指令集（CISC），CISC指令集的每个小指令可以执行一些较低阶的硬件操作，指令数目多而且复杂，每条指令的长度并不相同。由于指令执行较为复杂所以每条指令花费的时间较长。 鲲鹏计算：鲲鹏 CPU架构采用RISC精简指令集（RISC），RISC是一种执行较少类型计算机指令的微处理器，它能够以更快的速度执行操作，使计算机的结构更加简单合理地提高运行速度，相对于X86 CPU架构具有更加均衡的性能功耗比。鲲鹏的优势是高密度低功耗，可以提供更高的性价比。 选择“规格”。 云服务平台提供了多种类型的弹性云服务器供您选择，针对不同的应用场景，可以选择不同规格的弹性云服务器。您可以在列表中查看已上线的弹性云服务器类型、规格、特性以及应用场景，或输入规格名称，或根据vCPU、内存大小搜索目标规格。 CloudPond支持的规格清单，请参考规格清单（CloudPond）。 购买弹性云服务器时，用户不能选择已售罄的CPU和内存资源。用户可通过勾选“隐藏售罄的规格”将列表中已售罄的规格隐藏。 选择“镜像”。 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有镜像 用户基于弹性云服务器创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建弹性云服务器，可以节省您重复配置弹性云服务器的时间。 创建私有镜像的方法请参考创建私有镜像。 共享镜像 您将接受其他用户共享的私有镜像，作为自己的镜像进行使用。 市场镜像 市场镜像是提供预装操作系统、应用环境和各类软件的优质第三方镜像。无需配置，可一键部署，满足建站、应用开发、可视化管理等个性化需求。 如果使用市场镜像，单击“市场镜像”后，系统弹窗显示您可以购买的镜像产品。假设镜像产品为“name1 (test_001)”，则name1表示镜像名称，test_001表示产品名称。您可以通过镜像名称、产品名称等信息搜索需要的市场镜像，也可以通过单击镜像名称，查看该镜像产品的更多信息。 （可选）设置“安全防护”。 选择部分操作系统的公共镜像时，系统推荐您配套使用企业主机安全服务（Host Security Service, HSS）。企业主机安全是提升主机整体安全性的服务，包括账号破解防护、弱口令检测、恶意程序检测、双因子认证、漏洞管理，网页防篡改等功能，帮助构建云服务器安全防护体系，降低当前云服务器面临的主要安全风险。 开启“主机安全”需要设置“安全防护”参数： 免费开启主机安全基础防护：开启后，为您的主机提供四大安全防御能力，包括主机安全基础版防御（免费赠送一个月）、账号破解防护、弱口令检测、恶意程序检测等功能。 主机安全基础版免费使用期限结束后，该防护配额将自动释放，停止相应的实时防护能力。 如您需要保留或升级原有安全能力，建议您购买主机安全。详细情况，请参见主机安全的版本功能特性。 购买弹性云服务器时，默认设置该选项。 不使用安全防护：若您不需要进行安全防护，可选择此选项。 选择主机安全后系统自动安装主机安全Agent，开启账号防御，启用主机安全服务的功能。 企业主机安全支持基础版、企业版、旗舰版和网页防篡改版 ，您可以在企业主机安全控制台切换不同版本。各版本之间的差异请参考企业主机安全服务版本差异。 设置系统盘和数据盘 您可以为弹性云服务器添加多块数据盘，并设置数据盘的相关功能。创建弹性云服务器时，您最多可以为弹性云服务器添加23块数据盘，磁盘大小可以根据需要自定义；可以根据业务需求勾选“磁盘随实例释放”；弹性云服务器创建成功后，对于新创建的弹性云服务器，可以最多添加23块VBD磁盘或59块SCSI磁盘。 请单击“展开”后，设置如下功能。 SCSI：勾选后，数据盘的磁盘模式为SCSI。更多关于SCSI盘、支持挂载SCSI盘的弹性云服务器等信息，请参见块存储。 共享盘：勾选后，数据盘为共享云硬盘。该共享盘可以同时挂载给多台弹性云服务器使用。注意共享盘不支持随实例释放。 用数据盘镜像创建磁盘：如果您在IMS页面制作了数据镜像，那么，当您选择Windows或Linux的镜像创建弹性云服务器时，系统支持使用数据盘镜像创建数据盘。 单击“用数据盘镜像创建磁盘”，在弹窗中选择您制作的数据镜像。 同一个数据盘镜像，只能给一个数据盘使用，不能重复选择。 使用数据盘镜像创建磁盘时，不支持使用SCSI、共享、加密功能。 数据镜像的制作，请参见《镜像服务用户指南》。 单击“下一步：网络配置”。

高级配置 设置“云服务器名称”。 服务器只能由中文字符、英文字母、数字及“_”、“-”、“.”组成。 如果同时购买多台弹性云服务器，系统会自动按序增加后缀。例如：输入ecs，云服务器名称为ecs-0001, ecs-0002，……。 允许重名：允许创建的云服务器名称相同。如果是批量创建，勾选“允许重名”后，批量创建的多台云服务器名称全部相同，不再按序增加。 Windows操作系统云服务器的名称建议不超过15个字符，且不要重名，否则部分Windows应用将无法使用。 本步骤中的“云服务器名称”，会被设置为虚拟机操作系统中初始的主机名。 在将“云服务器名称”设置为虚拟机操作系统中的主机名时，为避免出现未知问题，连续使用的点号（.）或连字符（-），会被替换成首个字符。 设置“登录凭证”。 “密钥对”方式创建的弹性云服务器安全性更高，建议选择“密钥对”方式。如果您习惯使用“密码”方式，请增强密码的复杂度，如表1所示，保证密码符合要求，防止恶意攻击。 密钥对 指使用密钥对作为弹性云服务器的鉴权方式。您可以选择使用已有的密钥，或者单击“新建密钥对”创建新的密钥。 如果选择使用已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云服务器。 密码 指使用设置初始密码方式作为弹性云服务器的鉴权方式，此时，您可以通过用户名密码方式登录弹性云服务器。 Linux操作系统时为root用户的初始密码，Windows操作系统时为Administrator用户的初始密码。 密码复杂度需满足表1要求。 表1 密码设置规则 参数 规则 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种： 大写字母 小写字母 数字 Windows操作系统云服务器特殊字符：包括“$”、“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“,”和“?” Linux操作系统云服务器特殊字符：包括“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?” 密码不能包含用户名或用户名的逆序。 Windows操作系统的云服务器，不能包含用户名中超过两个连续字符的部分。 Windows操作系统的云服务器，不能以“/”为密码首字符。 设置“自动恢复”功能。 开启自动恢复功能后，当弹性云服务器所在的硬件出现故障时，系统会自动将弹性云服务器迁移至正常的物理机，该过程会导致云服务器重启。 如果未开启自动恢复功能，当弹性云服务器所在的硬件出现故障时，需等待系统管理员进行修复。 设置“云服务器组（可选）”。 可选配置，云服务器组内的弹性云服务器将遵循反亲和策略或故障域策略，尽量分散地创建在不同主机上。创建云服务器组的详细操作，请参见管理云服务器云主机组创建云服务器组（可选）。 配置“高级选项”：如需使用“高级选项”中的功能，请勾选“现在配置”。否则，请勿勾选。 实例自定义数据注入 可选配置，主要用于创建云服务器时向云服务器注入实例自定义数据。配置后，云服务器首次启动时会自行注入数据信息。 以文本形式：在下方文本框内输入用户数据内容。 以文件形式：主要用于创建云服务器时注入的脚本文件或其他文件。 例如：您可以通过注入一段脚本，激活待创建云服务器的root用户权限，注入成功后，您可以使用root用户登录弹云服务器。 实例自定义数据注入的详细操作，请参见实例自定义数据注入。 标签 可选配置，对弹性云服务器的标识。使用标签可以方便识别和管理您拥有的弹性云服务器资源。您最多可以给弹性云服务器添加10个标签。 创建弹性云服务器时添加的标签，将同步添加至一同创建的EIP和云硬盘（包括系统盘、数据盘）上。如果云服务器使用的是已有EIP，则该标签不会在EIP上标识。 如您的组织已经设定弹性云服务器的相关标签策略，则需按照标签策略规则为弹性云服务器添加标签。如果添加的标签不符合标签策略规则，则可能会导致弹性云服务器创建失败，请联系组织管理员了解标签策略详情。 云服务器创建成功后，您可以在弹性云服务器、EIP和云硬盘详情页，查看到对应的标签。 关于标签的详细操作，请参见标签。 委托 可选配置。当需要与其他账号共享云服务器资源，或者委托更专业的人或团队来代为管理时，租户管理员可以在IAM创建委托并授予云服务器资源的管理权限。被委托方使用自己的用户登录系统后，切换到您的账号下管理资源，避免您将自己的安全凭证（密码）共享给其他账号，确保了您的账号安全。 如果您在IAM上创建了委托，可以通过单击下拉列表选择委托名称，获取相应权限。更多关于委托的信息，请参见委托其他账号管理资源。 单击“下一步：确认配置”。