本文介绍如何设置指定路径的缓存时间。 背景说明 使用天翼云CDN加速以后，可以按照多种策略设置缓存过期时间，例如文件后缀名、目录、首页、全部文件等。本文主要介绍如何针对指定路径设置缓存过期时间全局生效。 详细信息 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【缓存配置】。 5. 在【缓存过期时间】模块，单击【增加规则】，弹出的对话框中，添加缓存时间规则。 6. 类型选择【目录】，并配置相应的内容。 7. 设置好对应过期时间及缓存规则。 8. 其他相关缓存配置详情请见：缓存过期时间设置。

本文介绍全站加速如何批量配置域名及相关注意事项等。 背景信息 客户往往会存在多个域名需要配置，而配置又是相同的情况，这时我们提供批量配置域名的方式可以使客户快速、便捷的接入域名。 操作步骤 可以通过API接口调用方法批量配置域名。 详见：批量新增域名。 注意事项 添加域名之前，您需要先开通对应产品类型的服务。 该域名必须已成功备案。 该域名之前未创建过，没有在途工单。 单个用户一分钟限制调用10次。 调用本接口批量新增时仅支持最简单配置，若需要对域名进行更复杂配置，请创建后再调用：批量更新域名配置接口。

新建项目 项目是使用软件开发生产线各服务的基础，创建项目后才能完成后续操作。 步骤 1 进入软件开发生产线首页，单击“新建项目”。 步骤 2 选择“Scrum”，输入项目名称“Demo”，单击“确定”。 新建代码仓库 代码仓库用于项目代码的版本管理，本文使用服务内置的模板“Java Web Demo”创建代码仓库。 步骤 1 单击导航栏“代码 > 代码托管”，进入代码托管服务。 步骤 2 单击页面“普通新建”旁边的，选择“按模板新建”。 图 新建代码仓库 步骤 3 选择模板“Java Web Demo”，单击“下一步”。 步骤 4 输入代码仓库名称“WebDemo”，单击“确定”。 检查代码 通过代码检查服务，可以对代码进行静态检查，管控代码质量。 步骤 1 单击导航栏“代码 > 代码检查”，进入代码检查服务。页面中显示自动创建的任务“WebDemocodecheck”。 说明 本文使用的是代码仓库模板关联的内置任务。 实际开发项目需要单击“新建任务”，根据业务场景自主创建任务，详细操作请参考“ 步骤 2 单击任务所在行的“立即执行”启动任务。 说明 如果代码检查任务已被执行，则单击任务名称进入概览页，单击“开始检查”重新执行任务。 步骤 3 当页面中显示时，表示任务执行成功。单击任务名称，进入任务的“概览”页面查看检查结果。 若任务执行失败，请参考《代码检查常见问题》排查处理。

为保障实例的稳定及安全，建议您在操作前仔细阅读本文为您介绍的天翼云关系型数据库MySQL实例级别的使用规范。 数据库实例类型选择 主备： 一主一备、一主多备的经典高可用架构。适用于政企、金融、医疗等大中型企业的生产数据库。 备机提高了实例的可靠性，主机与备机同步创建，备机具备数据备份、灾备等功能。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机： 具有较高性价比，与主流的主备实例相比，单机只包含一个节点。 适用于个人学习、测试，及微小型公司的生产环境。 单机无灾备功能，出现故障后无法进行切换。 只读： 单机版只读实例，推荐开启数据库代理功能，并购买冗余的单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其他只读节点。 天翼云官方推荐两种架构，以供参考： 1. 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2. 两个以上只读实例，建议开启数据库代理，获得更好的性价比。 说明 更多实例类型信息，请参见实例类型。 数据库实例规格选择 主机类型：目前提供四种主机类型（可能出现部分主机类型售罄，导致主机类型不存在）如下表： 主机类型 类型说明 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定，但是性价比更高。 适用于对成本比较敏感、对性能抖动容忍度较高的场景。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。 规格： 目前提供的CPU内存规格有：1C4G、2C4G、2C8G、2C16G、4C8G、4C16G、4C32G、8C16G、8C32G、8C64G、16C32G、16C64G、16C128G、32C64G（可能出现部分规格售罄，导致部分规格不存在）。

本文概括介绍刷新预取功能的使用场景及功能价值。 概述 为了确保用户获取到的内容始终为最新的，天翼云全站加速产品支持刷新和预取功能，在不同使用场景确保用户能以最短的耗时获得最新的内容。 功能简介 刷新预取模块主要包括内容刷新、内容预取、以及相关任务提交后的任务查看和跟进的功能。具体定义如下： 功能 说明 创建任务 客户控制台支持自助创建不同类型（URL刷新、目录刷新、正则刷新）的刷新任务和预取任务。 查看任务 支持客户自定义查询刷新或预取任务的执行状态，并支持快捷跳转到创建任务页面。

本文简述301/302跟随回源功能原理、适用场景、配置方式。 功能介绍 配置301/302跟随回源功能后，边缘节点会代替用户去处理源站响应的301/302状态码内容，即边缘节点会直接跳转到源站301/302响应中的Location地址去请求对应资源，不会把源站响应的301/302跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。该功能开启后将会减少一次（或多次）用户和边缘节点的301/302交互，用户体验更优。 适用场景 源站使用了重定向的方式去实现资源的获取。希望边缘节点在收到301/302响应时再次请求Location地址，获取到200响应内容，并响应给用户。 注意事项 配置301/302跟随回源，当前可实现根据不同的场景需求匹配不同的效果设置： 期望结果1：源站响应“301/302状态码+Location地址”给边缘节点时，请求Location地址携带的HOST头是源站响应的301/302信息里面的Location域名。 期望结果2：源站响应“301/302状态码+Location地址”给边缘节点时，请求Location地址携带的HOST头也是用户自行配置的“回源HOST”，则在配置301/302跟随回源前，请确认已经配置了“ 回源HOST ”。 支持301/302跟随回源次数设置。 配置说明 1. 登录边缘安全加速平台控制台。 2. 进入安全与加速工作台域名基础配置页面。 3. 点击目标域名，并点击“编辑配置”。 配置项 配置说明 回源302/301跟随时生效 回源302/301跟随时的回源HOST设置，是按照302/301信息里面的Location域名，还是按照用户自定义配置的“回源HOST”；如为后者，则需开启该配置。 跟随次数上限 回源可跟随Location地址跳转访问的最大次数，如超出限制将直接返回302/301状态码给用户。默认值为1，可配置范围为15。回源次数上限为：跟随次数上限+1，即默认跟随回源次数上限为2次。

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低了HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由全站加速进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，全站加速服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高了TLS握手效率，提升了HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国际标准证书、国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 打开【OCSP Stapling】功能，配置完毕单击【保存】。

本文介绍如何设置镜像缓存。 可以使用镜像缓存来实现加速创建Pod，通过指定镜像缓存ID的方式： 使用方式 配置项 示例值 说明 指定镜像缓存 k8s.ctyun.cn/eciimcid imcdfaexxxxx 明确指定使用某个镜像缓存创建Pod 配置参考如下： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciimcid: imcdfaexxxxx 指定镜像缓存 labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

为什么Windows系统迁移完成后，目的端只能看到系统盘？ 当源端服务器的磁盘策略为共享磁盘脱机或者离线模式时，迁移后会导致数据盘处于离线状态。 解决方案 迁移完成后，如果后续不再进行同步操作，请直接在目的端服务器进行修改。 迁移完成后，如果还需要进行同步操作，请在源端服务器进行修改，修改后进行同步操作。 Windows迁移后无法上网 问题描述 Windows迁移成功后无法连接网络，提示“sms.5603Windows迁移后无法上网”。 问题分析 该问题可能是如下原因导致： 网络适配器驱动存在异常。 网络配置错误。 解决方案 网络适配器驱动存在异常。 1. 在设备管理器中寻找是否有异常的网络设备，使用自动搜索更新驱动程序软件更新驱动 , 然后重启目的端服务器。 2. 如果自动更新之后仍然不能上网，尝试先禁用该驱动，再重新启用该驱动，然后重启目的端服务器。 3. 如果进行上述操作后仍然不能上网，请找一台和目的端服务器在同一可用区可以上网的临时服务器，以挂载的方式将目的端服务器的一块数据盘挂载到临时服务器上。 1. 在临时服务器，下载vmtools工具安装包到目的端数据盘中（不要安装）。 2. 将该数据盘挂载回目的端服务器，然后登录目的端服务器找到该数据盘中的vmtools工具安装包进行安装。 3. 最后重启目的端服务器。 网络配置错误。 1.在 cmd中执行 ipconfig，查看内网IP与ECS控制台的内网IP是否一致，如果不一致，可能设置了静态IP，请修改为DHCP方式获取IP地址。 2.ping EIP可以ping通，外网域名无法ping通。请调整DNS配置。

AI训练和推理、高性能数据预处理、EDA、渲染、仿真等场景下，您可以通过SFS Turbo文件系统来加速OBS对象存储中的数据访问。SFS Turbo文件系统支持无缝访问存储在OBS对象存储桶中的对象。您可以指定SFS Turbo内的目录与OBS对象存储桶进行关联，然后通过创建导入导出任务实现数据同步。您可以在上层训练等任务开始前将OBS对象存储桶中的数据提前导入到SFS Turbo中，加速对OBS对象存储中的数据访问；上层任务产生的中间和结果等数据可以直接高速写入到SFS Turbo缓存中，中间缓存数据可被下游业务环节继续读取并处理，结果数据可以异步方式导出到关联的OBS对象存储中进行长期低成本存储。同时，您还可以配置缓存数据淘汰功能，及时将长期未访问的数据从SFS Turbo缓存中淘汰，释放SFS Turbo高性能缓存空间。 使用限制 支持存储联动的SFS Turbo文件系统规格有：20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB。 SFS Turbo与OBS联动时通过内网传输，不产生OBS公网流量费用。 SFS Turbo目录和OBS配置联动后不支持创建硬链接、设置目录配额、执行重命名功能。 单个SFS Turbo文件系统最多可配置16个OBS联动目录。 创建 OBS 后端存储库，依赖的服务是对象存储服务 OBS。用户需要额外配置OBS Administrator权限。 同一层目录下不允许同样名称的文件和目录存在。 不支持超长路径，数据流动支持的路径最大长度是1023字符。 数据流动导入时，不支持长度大于255字节的文件名或子目录名。 开启WORM策略的OBS桶，只能从OBS桶导入数据到SFS Turbo，无法从SFS Turbo导出数据到OBS桶。 不支持绑定OBS并行文件系统和已配置服务端加密的OBS存储桶进行联动。

单字段索引 比如 coll表中有如下格式的文档： json { "id" : ObjectId("64bde367d89fa22ccaa281e9"), "score" : 98, "name" : "zhang san" } { "id" : ObjectId("64bde367d89fa22ccaa281ea"), "score" : 88, "name" : "li si" } 随着业务的增长，文档数逐渐变多后，如果想要按照 score 进行排序并提取 top 10 的文档就显得比较困难，因为涉及到全表扫描和内存排序。 此时可以按照 score 字段创建索引来加速查询，使用 mongo shell 创建索引的命令如下： db.coll.createIndex({score:1}) 命令中包含的 score 字段表示索引的 key， 1 表示升序，1 表示降序。文档数据库服务会按照 score 字段创建索引，底层实现为 btree 形式。用户通过 score 字段进行等值查询或者排序时，文档数据库服务会自动选择索引进行加速。 用户也可以在连接上实例后，通过下面的命令查看目前表中包含哪些索引： db.coll.getIndexes() 多字段复合索引 假设 coll 表中有如下文档： { "id" : ObjectId("64bde367d89fa22ccaa281e9"), "score" : 98, "name" : "zhang san" } { "id" : ObjectId("64bde367d89fa22ccaa281ea"), "score" : 88, "name" : "li si" } { "id" : ObjectId("64bde73ad89fa22ccaa281eb"), "score" : 98, "name" : "wang wu" } { "id" : ObjectId("64bde73ad89fa22ccaa281ec"), "score" : 98, "name" : "ma liu" } 如果希望查询 score98 的所有文档，并按照 name 字段进行升序排序。 此时可以对 score 和 name 字段创建复合索引，使用 mongo shell 创建复合索引的命令如下： db.coll.createIndex({score:1, name:1}) 复合索引比单字段索引能够处理的场景更多，比如上述复合索引既可以处理 score+name 联合查询的场景，也能处理只按照 score 等值查询和排序的场景。 但是使用复合索引也有一些注意事项： 复合索引遵循前缀匹配原则。比如 {score: 1, name: 1} 复合索引能处理按照 score 查询的场景，但是不能处理按照 name 查询的场景。因此在建索引时需要特别注意字段顺序。 字段越多，索引的存储空间越大。比如用户只有按照 score 字段进行查询和排序的场景，就没有必要创建复合索引了。

本文为您介绍云间高速(标准版)EC 产品的定义和产品架构。 什么是云间高速（标准版） 云间高速（标准版）EC（ Express Connect standard）产品基于中国电信坚实而强大的骨干网络架构，为广大用户带来一种突破性的全新体验。这项创新性产品注重高速、安全和稳定，凭借其卓越的性能，为企业提供了独特而强大的混合组网能力。 在当前迅速发展的数字时代，企业面临着日益复杂的网络需求。云间高速(标准版)产品以其卓越的性能为支撑，积极响应并满足了企业云上云下的要求，无论是跨区域的通信还是多网络的协同，都得以灵活而高效地实现。 云间高速(标准版)不仅仅提供了传统网络的高速性能，更加注重安全性与稳定性的结合。用户可将关键数据和敏感信息传输至云端，而无需担忧泄露或中断。企业用户可倚仗这一强大能力，打造出一个真正具备企业级规模和通信能力的云上网络。 相关术语解释 云间高速实例 云间高速（标准版）实例是一体化网络的创建与管理基础资源。完成实例创建后，可在对应资源池区域创建云企业路由器，将需互通的网络实例加载至云企业路由器，并购买带宽包、配置跨区域互通带宽，即可实现全网资源互通。

本文介绍如何在组网配置中继续关联新连接器,从而进行新互联链路的编排。 背景说明 AOne零信任通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通。在您要完成企业分支互联之前，您需要在零信任控制台将连接器关联到组网配置中。除了组网配置创建时可以快捷关联连接器，也可以在组网创建之后继续关联其他连接器，从而完成组网配置。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击连接器关联。 关联连接器列表 您可以在连接器关联里，继续关联其他连接器，从而完成组网配置。 列表字段说明如下： 字段 字段说明 连接器集群名称/ID 连接器集群名称：即自定义的连接器集群名称。 连接器集群ID：提供ID，代表连接器集群的唯一性。 计费区域 展示当前连接器集群绑定的计费区域：中国内地、香港、亚太、美洲、欧洲、中东非。 关联应用 展示当前连接器集群中允许互访的应用名称和数量。 首次关联时间 展示当前连接器集群首次关联该组网的时间。 操作 取消关联：取消关联连接器集群后，该集群与组网配置内的所有连接将立即中断，请谨慎操作。

本介绍需要用户一直重复登录的解决方式。 问题现象 接入安全与加速服务后，访问网站一直需要用户一直重复登录。 问题原因 域名存在多个源站时，有可能出现同一个会话请求转发到不同的源站导致登录状态丢失，让用户一直重新登录的问题，可通过以下方式处置。 解决方案 1.源站进行相关处置（建议）： 多个源站之间要做登录session。 源站有基于访问IP做会话验证时要通过从请求头的xforwardedfor中获取到客户端请求的真实IP进行校验。 2.可通过配置保持登录进行解决，暂不支持控制台自助操作，如有需求请联系我们。

步骤五：构造签名 1. 先将SecurityKey作为密钥，eopdate作为数据，根据hmacsha256加密算法算出ktime。 2. 将ktime作为密钥，AccessKey作为数据，根据hmacsha256加密算法算出kAk。 3. 将kAk作为密钥，eopdate的年月日值（前8位）作为数据，根据hmacsha256加密算法算出kdate。 4. 将kdate作为密钥，步骤二的待签名字符串作为数据，根据hmacsha256加密算法算法签名并转化为BASE64编码算出signature。 步骤六：构造请求头 1. 将eopdate作为Key，步骤二的结果作为Value加入http请求头中。 2. 将ctyuneoprequestid作为Key，步骤三的结果作为Value加入http请求头中。 3. 将EopAuthorization作为Key，通过字符串拼接的方式将AK、Header、Signature通过空格进行拼接，并将结果作为Value加入http请求头中。 注意 1. 当您通过接口发送短信之后，接口服务会及时响应并返回成功的标识，但这仅仅代表平台已经成功接收到您的发送请求了。 2. 接下来平台会将请求转发给电信运营商，因为发送短信是异步进行的，还需要电信运营商的网络以及接收消息的手机终端支持。 3. 如果您想第一时间知道消息的最终发送状态，故需要您在控制台的消息配置———事件回调配置中增加状态报告通知的URL，以便平台在接收到运营商的反馈消息时通知您消息的最终发送结果。 JAVA示例 完整的Java签名Demo代码： java package com.example; / Hello world! / import java.net.URL; import java.nio.charset.StandardCharsets; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.text.SimpleDateFormat; import java.util.Arrays; import java.util.Base64; import java.util.Date; import java.util.HashMap; import java.util.Locale; import java.util.Map; import java.util.UUID; import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpPost; import org.apache.http.entity.ContentType; import org.apache.http.entity.StringEntity; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.util.EntityUtils; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import com.alibaba.fastjson.; public class App { public static void main(String[] args) throws Exception { //请参考帮助文档填写以下内容 Map params new HashMap<>(); //固定参数 params.put("action", "SendSms"); //请填写您在控制台上申请并通过的短信签名。 params.put("signName", ""); //请填写接收短信的目标手机号，多个手机号使用英文逗号分开 params.put("phoneNumber", ""); //请填写您在控制台上申请并通过的短信模板，此模板为测试专用模板，可直接进行测试 params.put("templateCode", "SMS64124870510"); //请填写短信模板对应的模板参数和值。此值为测试模板的变量及参数，可直接使用 params.put("templateParam", "{"code":"123456"}"); params.put("extendCode", "");// 选填 params.put("sessionId",""); // 选填 String body JSONObject.toJSONString(params); // SETUP1:获取AccessKey和SecurityKey String accessKey ""; // 填写控制台>个人中心>安全设置>查看>AccessKey String securityKey "";// 填写控制台>个人中心>安全设置>查看>SecurityKey // SETUP2:构造时间戳 SimpleDateFormat TIMEFORMATTER new SimpleDateFormat("yyyyMMdd'T'HHmmss'Z'"); SimpleDateFormat DATEFORMATTER new SimpleDateFormat("yyyyMMdd"); Date nowdate new Date(); String singerDate TIMEFORMATTER.format(nowdate); String singerDd DATEFORMATTER.format(nowdate); System.out.println("singerDate:" + singerDate); System.out.println("singerDd:" + singerDd); // SETUP3:构造请求流水号 String uuId UUID.randomUUID().toString(); System.out.println("uuId:" + uuId); // SETUP4:构造待签名字符串 String CampmocalHeader String.format("ctyuneoprequestid:%sneopdate:%sn", uuId, singerDate);// uuid去掉this // header的key按照26字母进行排序, 以&作为连接符连起来 URL url new URL(" String query url.getQuery(); String afterQuery ""; if (query ! null) { String param[] query.split("&"); Arrays.sort(param); for (String str : param) { if (afterQuery.length() < 1) afterQuery afterQuery + str; else afterQuery afterQuery + "&" + str; } } // String body ""; String calculateContentHash getSHA256(body); // 报文原封不动进行sha256摘要 String sigtureStr CampmocalHeader + "n" + afterQuery + "n" + calculateContentHash; System.out.println("calculateContentHash：" + calculateContentHash); System.out.println("sigtureStr：" + sigtureStr); // SETUP5:构造签名 byte[] ktime HmacSHA256(singerDate.getBytes(), securityKey.getBytes()); byte[] kAk HmacSHA256(accessKey.getBytes(), ktime); byte[] kdate HmacSHA256(singerDd.getBytes(), kAk); String Signature Base64.getEncoder().encodeToString(HmacSHA256(sigtureStr.getBytes("UTF8"), kdate)); // SETUP6:构造请求头 HttpPost httpPost new HttpPost(String.valueOf(url)); httpPost.setHeader("ContentType", "application/json;charsetUTF8"); httpPost.setHeader("ctyuneoprequestid", uuId); httpPost.setHeader("Eopdate", singerDate); String signHeader String.format("%s Headersctyuneoprequestid;eopdate Signature%s", accessKey, Signature); httpPost.setHeader("EopAuthorization", signHeader); System.out.println("Signature" + Signature); System.out.println("signHeader" + signHeader); httpPost.setEntity(new StringEntity(body, ContentType.create("application/json", "utf8"))); try (CloseableHttpClient httpClient HttpClients.createDefault(); CloseableHttpResponse response httpClient.execute(httpPost)) { String string EntityUtils.toString(response.getEntity(), "utf8"); System.out.println("返回结果：" + string); } catch (Exception e) { System.out.println(e.getMessage()); } } private static String toHex(byte[] data) { StringBuilder sb new StringBuilder(data.length 2); byte[] var2 data; int var3 data.length; for (int var4 0; var4 < var3; ++var4) { byte b var2[var4]; String hex Integer.toHexString(b); if (hex.length() 1) { sb.append("0"); } else if (hex.length() 8) { hex hex.substring(6); } sb.append(hex); } return sb.toString().toLowerCase(Locale.getDefault()); } private static String getSHA256(String text) { try { MessageDigest md MessageDigest.getInstance("SHA256"); // byte[] a text.getBytes(StandardCharsets.UTF8); md.update(text.getBytes(StandardCharsets.UTF8)); return toHex(md.digest()); } catch (NoSuchAlgorithmException var3) { return null; } } private static byte[] HmacSHA256(byte[] data, byte[] key) throws Exception { try { Mac mac Mac.getInstance("HmacSHA256"); mac.init(new SecretKeySpec(key, "HmacSHA256")); return mac.doFinal(data); } catch (Exception e) { return null; } } }

本文为您介绍如何使用ECI开通L20实例。 NVIDIA L20是NVIDIA面向数据中心AI和图形工作负载设计的一款专业 GPU，属于NVIDIA Ada Lovelace架构的数据中心GPU产品线。L20在AI推理、图形渲染和虚拟化之间取得平衡，填补了纯计算卡和专业显卡之间的市场空白。 操作步骤 1. 订购弹性容器实例，选择指定规格。架构选择X86计算，类型选择GPU计算加速型，显卡类型选择L20。 2. 在容器配置中打开高级设置，填写容器所需的GPU卡数量 3. 最后，点击确认订单。

功能 说明 缓存过期时间指源站资源在CDN节点缓存的时长，达到预设时间，资源将会被CDN节点标记为缓存过期。您可以根据业务需求，按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。 CDN节点从源站获取资源时，源站会返回响应状态码，针对4xx、5xx等特殊状态码，您可以在天翼云CDN上配置状态码过期时间。配置完成后，当客户端再次请求相同资源时，如状态码未过期，会由CDN直接响应特殊状态码，不会触发回源，减轻源站压力。 当客户希望在源站响应特殊状态码并携带相关缓存头的情况下，特殊状态码缓存规则按照源站相关缓存头生效，无相关缓存头时才按CDN设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 缓存key是一个文件在CDN节点上缓存时唯一的身份ID，每个在CDN节点上缓存的文件都会对应一个缓存key。通过自定义缓存key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。

参数名称 参数说明 取值样例 服务器操作系统 选择需要防护的服务器系统。 Linux 勒索防护 根据需求开启户关闭勒索防护，建议开启。 开启：关闭： 防护策略 您可选择已有策略或新建防护策略。 选择已有策略：在“选择防护策略”项选择已有的目标策略即可。 新建防护策略。 新建防护策略 防护策略名称 自定义防护策略名称。 防护动作 发现告警事件后的处理方式。 告警并自动隔离、仅告警 告警并自动隔离 诱饵防护 开启诱饵防护后，系统会在防护目录和关键目录（不包括排除目录）中部署诱饵文件。诱饵文件会占用小部分服务器资源，不会影响您的服务器正常运行。 在开启服务器的勒索病毒防护时，诱饵防护状态为默认开启。 说明 当前仅Linux系统支持动态生成和部署诱饵文件，Windows系统仅支持静态部署诱饵文件。 开启 诱饵防护目录 被防护的目录（不包括子目录）。 多个目录请用英文分号隔开，最多支持填写20个防护目录。 操作系统为Linux时必填项。 Linux：/etc/lesuo Windows：C:Test 排除目录（选填） 不进行部署诱饵文件的目录。 多个目录请用英文分号隔开，最多支持填写20个排除目录。 Linux：/test Windows：C:ProData 防护文件类型 被防护的服务器文件类型或格式，自定义勾选即可。 涵盖数据库、容器、代码、证书密匙、备份等9大文件类型，共70+种文件格式。 仅Linux支持，且为必选项。 全选 进程白名单 添加自动忽略检测的进程文件路径，可在告警中获取。 仅Windows支持。

参数名称 参数说明 取值样例 服务器操作系统 选择需要防护的服务器系统。 Linux 勒索防护 根据需求开启户关闭勒索防护，建议开启。 开启：关闭： 防护策略 您可选择已有策略或新建防护策略。 选择已有策略：在“选择防护策略”项选择已有的目标策略即可。 新建防护策略。 新建防护策略 防护策略名称 自定义防护策略名称。 防护动作 发现告警事件后的处理方式。 告警并自动隔离、仅告警 告警并自动隔离 诱饵防护 开启诱饵防护后，系统会在防护目录和关键目录（不包括排除目录）中部署诱饵文件。诱饵文件会占用小部分服务器资源，不会影响您的服务器正常运行。 在开启服务器的勒索病毒防护时，诱饵防护状态为默认开启。 说明 当前仅Linux系统支持动态生成和部署诱饵文件，Windows系统仅支持静态部署诱饵文件。 开启 诱饵防护目录 被防护的目录（不包括子目录）。 多个目录请用英文分号隔开，最多支持填写20个防护目录。 操作系统为Linux时必填项。 Linux：/etc/lesuo Windows：C:Test 排除目录（选填） 不进行部署诱饵文件的目录。 多个目录请用英文分号隔开，最多支持填写20个排除目录。 Linux：/test Windows：C:ProData 防护文件类型 被防护的服务器文件类型或格式，自定义勾选即可。 涵盖数据库、容器、代码、证书密匙、备份等9大文件类型，共70+种文件格式。 仅Linux支持，且为必选项。 全选 进程白名单 添加自动忽略检测的进程文件路径，可在告警中获取。 仅Windows支持。

拦截已安装程序推送的不受欢迎弹窗,阻止恶意程序的捆绑安装行为,守护员工清爽、纯净的办公环境。 背景说明 支持管理员统一管控办公净化功能的开启和关闭。 注意 客户端版本：支持Windows客户端，需为2.26.10及以上客户端。 套餐版本：已订购终端管理基础版套餐或零信任企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏找到【办公净化】。 3. 可根据业务需求进行相关配置。 统一管控 点击卡片中的【编辑】按钮，即可配置当前功能（广告弹窗拦截、问题软件防护）。 功能开关：统一管控当前功能开启或关闭。 管控对象：本次管控策略生效的范围。

权限名称 权限说明 具体场景或目的 NSCameraUsageDescription 摄像头访问权限 IM发送消息、个人信息上传头像、AI问答、视频会议、获取摄像头拍照发送图片附件 NSPhotoLibraryUsageDescription 图片访问权限 IM发送消息、个人信息上传头像、AI问答、更换会议虚拟背景、获取相册发送图片附件 NSMicrophoneUsageDescription 麦克风访问权限 AI问答、会议语音通话 com.apple.developer.networking.networkextension 网络扩展权限（VPN、内容拦截等）权限 零信任/海外加速创建隧道的时候 NSFaceIDUsageDescription 面容、指纹生物识别访问权限 用于登录的时候，使用生物识别的方式认证 AppGroups 同一个开发者账号下的多个应用、扩展数据共享 允许同一个开发者账号下的多个应用、扩展（Extension）和主应用之间共享数据 网络权限 授权APP访问网络 App需要发起网络请求的地方

初识边缘函数 说明 通过介绍AccessOne开发者平台边缘函数的主要功能和应用场景，帮助首次使用边缘安全加速平台的客户全面认识产品 通过详细介绍产品优势，帮助客户全面了解边缘函数能解决的业务问题 通过详细介绍边缘函数工作原理 为帮助客户在浏览相关文档时能更快更准确理解相关功能及流程，专门提炼相关专业术语并提供解释说明

本文通过图文说明如何查看证书部署历史。 功能介绍 在使用CDN加速的过程中，可能会不定期修改证书信息，证书管理目录下的部署历史可以供您查看证书的历史版本记录。 配置说明 1. 登录CDN控制台。 2. 进入【证书管理】【部署历史】页面。 3. 按需选择部署状态、证书备注名、输入关键字等进行查询。可查看证书备注名、证书通用名称、证书品牌、颁发时间、到期时间、创建时间、更新时间、部署状态和历史版本。 4.点击操作列的【历史版本】，可查看证书的版本、授权域名、颁发机构、 颁发时间、到期时间、操作类型、更新时间。

本文介绍如何配置IP黑/白名单功能来禁止恶意IP的访问。 背景说明 域名配置CDN加速之后，希望可以对恶意访问的IP进行屏蔽，禁止这些IP访问资源。 操作步骤 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【IP黑白名单】模块，开启功能。 6. 设置类型，选择【黑名单】，使用换行符分隔，填写需要封禁的IP。 7. 单击【保存】，完成配置。 8. 其他相关配置详情请见：IP黑白名单。 注意 黑名单与白名单只能选择一个，如果选择白名单，则非白名单内的IP都会被封禁；如果选择黑名单，在非黑名单内的IP都会被放行。

本文介绍访问DDoS高防（边缘云版）域名资源出现404状态码的排查过程。 问题现象 在使用天翼云DDoS高防（边缘云版）时，出现404报错页面。 问题原因 404状态码是HTTP协议中的一种状态码，表示客户端所请求的资源未找到。当服务器无法找到与请求的URL对应的资源时，会返回404状态码给客户端，Web浏览器中显示为“页面未找到”、“页面不存在”或类似的提示，具体如下图示： 导致该错误的原因可能有如下几种： 场景一：网站配置未正确配置：如果网站配置未正确配置，指向了错误的资源路径，源站会无法找到正确的内容，从而导致404页面的出现。 场景二：服务器资源不存在：如果网站管理员删除或重命名源服务器上的某个文件或目录，服务器对应旧URI路径的资源不存在，那么边缘节点将无法得到对应的文件，从而返回404状态码。 场景三：拼写错误或客户端URL生成规则错误：如果在URL中存在拼写错误、文件路径错误或客户端URL生成规则有误等问题，将无法在服务器找到对应的资源，从而返回404状态码。 解决方案 如果您遇到访问出现404页面的情况，根据不同场景，可以尝试以下解决方法： 场景一：检查网站配置是否正确：控制台网站配置的回源域名/回源IP、回源HOST、回源端口、回源协议等配置是否正确。 1、回源域名/回源IP错误：检查回源域名/回源IP配置是否为目标源服务器的域名或IP、拼写是否正确。 2、回源HOST配置错误：回源HOST用于指定边缘节点回源时，请求URI具体的资源站点位置。如果回源HOST配置错误，源站无法根据HOST定位到URI资源的站点位置，源站也会响应404。回源域名/回源IP、回源HOST的区分如下： 回源域名/回源IP：指您的源站服务器，即存储和提供网站内容的主要服务器，该地址决定了回源时建连的具体IP地址。 回源HOST：指边缘节点回源请求头中携带的HOST字段值，决定了回源请求访问到源IP地址上的具体站点位置。若未指定回源HOST，默认取值当前加速域名。 3、回源端口/回源协议配置错误：该问题通常存在于源站端口非默认80/443端口，或http、https仅单一协议中存在资源。例如： 源站HTTP服务端口为81，则需要修改回源配置，自定义【源站端口】为HTTP 81，同时需要修改回源协议为HTTP。 源站HTTPS服务端口为82，目前HTTPS服务端口不支持自助自定义，请提交工单联系天翼云客服进行配置。 源站仅单一协议存在资源（HTTP默认80端口，HTTPS默认443端口），则根据实际源站情况，修改回源协议为HTTP或HTTPS。

validationrules)。 9. 服务端未知字段校验提升至 Beta版，该特性默认开启，它允许选择性地打开服务端未知字段校验。这允许删除 kubelet 的客户端校验，同时保持对未知字段请求报错的核心能力。 更多信息请参考：Kubernetes 1.25 Changelog Kubernetes 1.24 Changelog 1. Dockersmin正式从 kubelet上移除。 2. Beta APIs默认关闭，现有的 Beta APIs和其新版本将保持默认开启。 3. 支持 OpenAPI v3，该版本提供以 OpenAPI v3格式发布其 API的测试支持。 4. 存储容量和卷扩容全面可用，支持通过 CSIStorageCapacity对象暴露当前的存储容量，并通过后期绑定增强使用 CSI卷的 Pod的调度。 5. NonPreemptingPriority 提升到稳定版，此功能为 PriorityClasses增加一个新选项，可以启用和禁止 Pod抢占。 6. gRPC 探针已升级至 Beta版，该特性允许为 gRPC应用程序配置启动、存活探针和就绪探针，而无需暴露 HTTP端点或使用额外的可执行文件。 7. Kubelet 凭证提供程序进入 Beta阶段，该特性允许 kubelet 使用 exec插件动态获取容器镜像仓库的凭证，而非将凭证存储在节点的文件系统上。 8. 避免 Service IP分配发生冲突，该特性允许为 Service保留静态 IP地址范围。通过手动开启此功能，集群将从 Service IP地址池中自动分配 IP，从而降低冲突的风险。 更多信息请参考：Kubernetes 1.24 Changelog

为什么Windows系统迁移完成后，目的端只能看到系统盘？ 当源端服务器的磁盘策略为共享磁盘脱机或者离线模式时，迁移后会导致数据盘处于离线状态。 解决方案 迁移完成后，如果后续不再进行同步操作，请直接在目的端服务器进行修改。 迁移完成后，如果还需要进行同步操作，请在源端服务器进行修改，修改后进行同步操作。 Windows迁移后无法上网 问题描述 Windows迁移成功后无法连接网络，提示“sms.5603Windows迁移后无法上网”。 问题分析 该问题可能是如下原因导致： 网络适配器驱动存在异常。 网络配置错误。 解决方案 网络适配器驱动存在异常。 1. 在设备管理器中寻找是否有异常的网络设备，使用自动搜索更新驱动程序软件更新驱动 , 然后重启目的端服务器。 2. 如果自动更新之后仍然不能上网，尝试先禁用该驱动，再重新启用该驱动，然后重启目的端服务器。 3. 如果进行上述操作后仍然不能上网，请找一台和目的端服务器在同一可用区可以上网的临时服务器，以挂载的方式将目的端服务器的一块数据盘挂载到临时服务器上。 1. 在临时服务器，下载vmtools工具安装包到目的端数据盘中（不要安装）。 2. 将该数据盘挂载回目的端服务器，然后登录目的端服务器找到该数据盘中的vmtools工具安装包进行安装。 3. 最后重启目的端服务器。 网络配置错误。 1.在 cmd中执行 ipconfig，查看内网IP与ECS控制台的内网IP是否一致，如果不一致，可能设置了静态IP，请修改为DHCP方式获取IP地址。 2.ping EIP可以ping通，外网域名无法ping通。请调整DNS配置。

本文解释变更计费方式后仍按原来的计费方式扣款的原因。 客户完成CDN加速计费方式变更后，如果发现业务仍按原来的计费方式扣款，主要原因在于计费方式变更并不是立即生效的。 若计费方式变更均为非按月结算类型，例如：“日带宽峰值”变更成“流量”，为次日凌晨0点生效。 若计费方式在非按月结算 与按月结算之间变更，例如：“流量”变更成“月95带宽峰值”，或“月95带宽峰值”变更成“流量”，均为次月1日的凌晨0点生效。 若计费方式在按月结算 和按月结算之间变更，例如：“月带宽峰值”变更成“月95带宽峰值”，或“月95带宽峰值”变更成“月带宽峰值”，均为次月1日的凌晨0点生效。

本文主要介绍了签约主体变更的影响。 自2021年11月11日（“变更日”）起，天翼云官网中原由中国电信股份有限公司云计算分公司（“云计算分公司”）向客户（又称“您”）提供的服务，将变更为天翼云科技有限公司（“天翼云科技公司”）向客户提供。经营主体（“签约主体”）变更将对您提现、开发票、合同申请等事项有所影响，敬请关注。 账户充值 在线支付 签约主体变更后，原有充值方式不受影响。 对公充值 签约主体变更后，对公充值账号也会相应变更，客户如需进行对公充值，请使用新的对公账号信息，操作流程请参考 汇款认领。天翼云对公账号信息变更如下： 变更前： 户名：中国电信股份有限公司云计算分公司 账号： 110060776018170076087 开户行：交通银行北京西单支行 行号：301100000162 变更后： 户名：天翼云科技有限公司 账号： 110060149013001879960 开户行：交通银行股份有限公司北京市分行营业部 行号：301100000023 申请提现 原路提现 签约主体变更后申请提现，系统会原路退回到相应的支付宝、微信、翼支付等充值账户。 银行卡提现 签约主体变更后申请提现，系统统一使用天翼云科技公司的银行账户退款，有可能出现收退款账户不一致问题。 举例：您向天翼云（云计算分公司）的银行账户充值10万元，实际消费8万元，剩余2万元。签约主体变更后，您申请银行卡提现2万元，天翼云使用新的银行账户（天翼云科技公司的银行账户）向您退款，收退款账户不一致。 开具发票

本文详细介绍天翼云支持用户账单查询相关操作。 天翼云支持用户查询账单概览、流水账单、账单详情及导出记录，详情请见：账单概览。 消费概况 汇总账单可以展示不同汇总维度下的应付金额、扣费明细等数据，每个产品只展示一条汇总数据。 流水账单 流水账单可以展示按照不同计费模式下的每一笔订单和每个计费周期维度构成的数据，根据此账单进行扣费和结算，并可导出两种格式（xlsx、csv）的账单，在“导出记录”下载。 账单详情 自定义账单可以通过多维度展示客户账单的详细信息，并可导出两种格式（xlsx、csv）的账单，在“导出记录”下载。 导出记录 用户选择导出后，可以在“导出记录”页面点击下载，也可查看已导出的全部文件记录。 查询步骤 1、登录天翼云账户，单击右上角【我的】，再单击【费用中心】。 2、选择【账单管理】，分别单击【账单概览】、【流水账单】、【账单详情】、【导出记录】查询不同维度的账单。 套餐内流量使用情况查询 如果您订购的套餐的计费方式是流量，可以参考以下方式查看套餐内流量的使用情况： 1. 登录 边缘安全加速平台控制台。 2. 在【计费详情】进入产品服务页面可查询到套餐内流量的使用情况。

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照