退订场景 退订说明 随包年/包月云主机一同购买的非共享数据盘 在云主机控制台退订包年/包月云主机，与其一同订购的云硬盘会随之退订。 单独购买的包年/包月非共享数据盘 在云硬盘控制台退订云硬盘，需要在卸载掉该云硬盘之后再进行退订操作。 单独购买的包年/包月共享数据盘 在云硬盘控制台退订云硬盘，需要在卸载掉所有挂载点之后再进行退订操作。

说明： 专属云VPC ：如果您在当前区域（云企业路由器）中有专属云VPC，在“加载本地网络实例 ”页面中，“实例类型 ”下面会显示勾选“专属云”，勾选后，会显示专属云选择框，选择目标的专属云，可以查询到您的虚拟私有云（VPC）。

本文将为您介绍当非共享云硬盘已有数据时如何挂载至云主机。 操作场景 当非共享云硬盘的信息满足以下条件时，支持作为数据盘挂载至云主机： 属性 属性值 是否为共享盘 不共享（即非共享盘） 磁盘属性 数据盘 磁盘状态 “未挂载”状态 注意 已经初始化且已有数据的云硬盘挂载后不需要再进行初始化，初始化会丢失已有数据，请您谨慎操作。 约束与限制 非共享云硬盘仅支持挂载至1台云主机上。 云硬盘只能挂载至同一地域、同一可用区的云主机上。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 在云硬盘列表中，用户找到需要挂载的云硬盘所在行，单击此行中“操作>挂载”，弹出“挂载磁盘”窗口。 5. 在弹出的“挂载磁盘”窗口中，用户选择要挂载的弹性云主机，进行勾选，点击“确定”，自动返回云硬盘列表。 注意 此处挂载的云主机必须与云硬盘处于同一地域同一可用区。 6. 云硬盘列表中，此云硬盘的挂载状态从“未挂载”转换为“已挂载”，即说明已挂载成功。 7. 已经初始化且已有数据的云硬盘已包含分区及文件系统，重新挂载后无需执行初始化操作，但需要在操作系统下挂载文件系统才能正常使用。 Linux：需要使用mount命令将现有分区挂载至已有目录或新目录，并设置开机自动挂载。 1. （可选）执行命令 mkdir /mnt/sdc，新建挂载点。本示例中/mnt/sdc为挂载点。若已有挂载点，则无需执行此命令。 2. 执行命令 mount /dev/vdb1 /mnt/sdc，将分区/dev/vdb1挂载到挂载路径/mnt/sdc下。 3. 设置开机自动挂载磁盘。具体步骤可参考[设置开机自动挂载磁盘](

本文为您介绍GPU云主机的使用限制。 GPU云主机作为弹性云主机的一类实例规格，保持了与弹性云主机实例相同的使用限制。 GPU云主机在产品功能和服务性能上的不同限制，以及如何申请更高配额，请参考弹性云主机​>产品概述​>产品使用限制。

本文将为您介绍如何在专有宿主机上创建云主机 操作步骤 进入创建云主机页面 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 弹性云主机”，进入弹性云主机列表页。选中页面右上角“创建云主机”；或选择“计算 >弹性云主机 > 专有宿主机”，进入专有宿主机列表页，点击宿主机操作栏中“创建实例”按钮。 4. 选择专有宿主机，支持系统随机指定或手工指定，也可以不使用专有宿主机，在共享宿主机上对云主机进行创建。 5. 云主机相关配置项可查看++创建弹性云主机++，在专有宿主机上的云主机仅支持按量付费的计费模式。 6. 对云主机相关参数进行确认，如果您确认配置无误，单击“立即购买”。

本文将为您介绍如何在云主机中使用服务委托策略。当前华东1地区已开通此功能。通过服务委托功能,您可以将自己的操作权限委托其他云服务,云服务可以根据权限代替您进行日常资源管理工作 前提条件 已登录弹性云主机控制台。 已有可使用的委托策略。 操作步骤 新建云主机时绑定委托策略 1. 登录管理控制台。 2. 在控制台顶部菜单左侧，选择区域。 3. 点击计算弹性云主机进入云主机控制台。 4. 单击右上角创建云主机进入云主机购买页面。 5. 在步骤3“高级配置“页面”，选择“委托策略名称”，此条策略后续将生效于该台云主机。 6. 云主机创建其他信息填写完毕，点击“确认配置”以及“立刻购买”。 注意 委托策略的创建需要管理员登录IAM控制台进行创建。具体操作文档请参考统一身份认证创建委托。 云主机创建后绑定委托策略 1. 点击指定弹性云主机的名称，系统跳转至该弹性云主机详情页面。 2. 详情页面中点击委托策略后方的编辑标识，为当前云主机绑定新委托策略。 注意 若您的云主机上已绑定委托策略，绑定新策略后，原策略将失效，新策略将生效于当前云主机。

我能否自己安装或者升级操作系统？ 可以，GPU云主机支持用户重装操作系统。您可以重装至其他公有镜像，也可上传私有镜像，重装至目标私有镜像。详细请参见重装操作系统。 为什么Windows操作系统不支持DirectX等功能？ 由于Windows自带的远程连接（RDP）协议本身并不支持DirectX、OpenGL等相关应用。因此，您需要自行安装TightVNC服务和客户端，或其它支持PCOIP、XenDesktop HDX 3D等协议的远程连接客户端。 如何在GPU云主机和普通弹性云主机间传输数据？ GPU云主机除GPU加速能力外，与普通弹性云主机使用体验一致。同一安全组内的GPU云主机和弹性云主机之间默认内网互通，无需特别设置。 普通弹性云主机实例规格族是否支持升级或变更为GPU云主机实例规格族？ 目前不支持该功能。如果您需要使用GPU则请购买GPU云主机或GPU物理机。 如何查询GPU显卡的详细信息？ 如果您的GPU云主机安装了Linux操作系统，您可以执行命令nvidiasmi，查询GPU显卡的详细信息。 如果您的GPU云主机安装了Windows操作系统，您可以在设备管理器中查看GPU显卡的详细信息。 为什么购买GPU云主机后，执行命令nvidiasmi找不到GPU显卡？ 当您执行命令nvidiasmi 无法找到GPU显卡时，通常是由于您的未成功安装NVIDIA驱动。请根据您所购买的GPU云主机的规格选择对应的操作指引来安装驱动，请参见NVIDIA驱动安装指引。

本章主要介绍翼MapReduce的备份恢复简介。 概述 FusionInsight Manager提供对集群内的用户数据及系统数据的备份恢复能力，备份功能按组件提供。系统支持备份Manager的数据、组件元数据及业务数据。 备份功能支持将数据备份至本地磁盘（LocalDir）、本端HDFS（LocalHDFS）、远端HDFS（RemoteHDFS）、NAS（NFS/CIFS）、SFTP服务器（SFTP）、OBS，具体操作请参考备份数据。 对于支持多服务的组件，支持同服务多个实例的备份恢复功能且备份恢复操作与自身服务实例一致。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 备份恢复任务的使用场景如下： 用于日常备份，确保系统及组件的数据安全。 当系统故障导致无法工作时，使用已备份的数据完成恢复操作。 当主集群完全故障，需要创建一个与主集群完全相同的镜像集群，可以使用已备份的数据完成恢复操作。 根据业务需要备份Manager配置数据 备份类型 备份内容 备份目录类型 OMS 默认备份集群管理系统中的数据库数据（不包含告警数据）以及配置数据。 l LocalDir l LocalHDFS l RemoteHDFS l NFS l CIFS l SFTP l OBS 根据业务需要备份组件元数据或其他数据 备份类型 备份内容 备份目录类型 DBService 备份DBService管理的组件（Loader、Hive、Spark、Oozie、Hue）的元数据。对于安装了多服务的集群，包含多个Hive和Spark服务实例的元数据。 l LocalDir l LocalHDFS l RemoteHDFS l NFS l CIFS l SFTP l OBS Kafka Kafka的元数据。 l LocalDir l LocalHDFS l RemoteHDFS l NFS l CIFS l OBS NameNode 备份HDFS元数据。添加多个NameService后，支持不同NameService的备份恢复功能且备份恢复操作与默认实例“hacluster”一致。 l LocalDir l RemoteHDFS l NFS l CIFS l SFTP l OBS Yarn 备份Yarn服务资源池相关信息。 l LocalDir l RemoteHDFS l NFS l CIFS l SFTP l OBS HBase HBase系统表的tableinfo文件和数据文件。 l LocalDir l RemoteHDFS l NFS l CIFS l SFTP l OBS 根据业务需要备份特定组件业务数据 备份类型 备份内容 备份目录类型 HBase 备份表级别的用户数据。对于安装了多服务的集群，支持多个HBase服务实例的备份恢复功能且备份恢复操作与HBase服务实例一致。 l RemoteHDFS l NFS l CIFS l SFTP HDFS 备份用户业务对应的目录或文件。 说明 加密目录不支持备份恢复。 l RemoteHDFS l NFS l CIFS l SFTP Hive 备份表级别的用户数据。对于安装了多服务的集群，支持多个Hive服务实例的备份恢复功能且备份恢复操作与Hive服务实例一致。 l RemoteHDFS l NFS l CIFS l SFTP 需要特别说明的是，部分组件不提供单独的数据备份与恢复功能： Kafka支持副本特性，在创建主题时可指定多个副本来备份数据。 Mapreduce和Yarn的数据存放在HDFS上，故其依赖HDFS提供备份与恢复即可。 ZooKeeper中存储的业务数据，其备份恢复能力由各上层组件按需独立实现。

本章主要介绍翼MapReduce的使用普通模式集群用户在非集群节点登录。 操作场景 集群安装为普通模式时，各组件客户端不支持安全认证且无法使用kinit命令，所以集群外的节点默认无法使用集群中的用户，可能导致在这些节点访问某个组件服务端时用户鉴权失败。 如果需要在集群外节点以组件用户身份访问集群资源，管理员需为集群外节点设置同名用户可通过SSH协议登录节点的功能，并以登录操作系统用户身份连接集群各组件服务端。 前提条件 集群外的节点需要与集群的业务平面是连通的。 集群的KrbServer服务运行状态正常。 获取集群外的节点root用户密码。 集群已规划并添加“人机”用户，并获取认证凭据文件。请参见创建用户和导出认证凭据文件。 操作步骤 1.以root用户登录到需要添加用户的节点。 2.执行以下命令： rpm qa grep pam和rpm qa grep krb5client 界面一共显示以下rpm包： pamkrb532bit2.3.147.12.1 pammodules32bit111.22.1 yast2pam2.17.30.5.211 pam32bit1.1.50.10.17 pammount32bit0.4713.16.1 pamconfig0.792.5.58 pamkrb52.3.147.12.1 pamdoc1.1.50.10.17 pammodules111.22.1 pammount0.4713.16.1 pamldap184147.20 pam1.1.50.10.17 krb5client1.6.3 3.检查操作系统实际是否已安装清单中的rpm包？ 是，执行5。 否，执行4。 4.从操作系统镜像中获取缺少的rpm包，并上传文件到当前目录，然后执行以下命令安装rpm包： rpm ivh .rpm 说明 安装的RPM包可能带来安全风险，请用户对操作系统进行加固时考虑安装这些RPM包所带来的风险。 安装完成后执行5。 5.执行以下命令，配置pam使用Kerberos认证。 pamconfig add krb5 说明 如果需要在非集群节点取消Kerberos认证与系统用户登录，以“root”用户执行pamconfig delete krb5命令。 6.解压认证凭据文件得到“krb5.conf”，并使用WinSCP将此配置文件上传到集群外节点的“/etc”目录，执行以下命令设置权限使其他用户可以访问，例如“604”： chmod 604 /etc/krb5.conf 7.以root用户继续在连接会话中执行以下命令为“人机”用户添加对应的操作系统用户，并指定用户主组为“root”。 此操作系统用户密码与在Manager创建“人机”用户时设置的初始密码相同。 useradd 用户名 m d /home/admintest g root s /bin/bash 例如，“人机”用户名为“admintest”，执行以下命令： useradd admintest m d /home/admintest g root s /bin/bash 说明 第一次使用新添加的操作系统用户通过SSH协议登录节点时，首次输入用户密码系统提示密码过期，第二次输入用户密码后系统提示修改密码。请输入一个同时满足节点操作系统及集群密码复杂度的新密码。

本章节主要介绍翼MapReduce的配置SNMP北向参数操作。 操作场景 如果用户需要在统一的运维网管平台查看集群的告警、监控数据，管理员可以在FusionInsight Manager使用SNMP服务将相关数据上报到网管平台。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 对接 > SNMP”。 3. 单击“SNMP服务”右侧的开关。 “SNMP服务”默认为不启用，开关显示为表示启用。 4. 根据下表所示的说明填写对接参数。 对接参数 参数名称 参数说明 版本 SNMP协议版本号，取值范围： V2C：低版本，安全性较低。 V3：高版本，安全性更高。推荐使用V3版本。 本地端口 本地端口，默认值“20000”，取值范围“1025”到“65535”。 读团体名 该参数仅在设置“版本”为v2c时可用，用于设置只读团体名。 写团体名 该参数仅在设置“版本”为v2c时可用，用于设置可写团体名。 安全用户名 该参数仅在设置“版本”为v3时可用，用于设置协议安全用户名。 认证协议 该参数仅在设置“版本”为v3时可用，用于设置认证协议，推荐选择SHA。 认证密码 该参数仅在设置“版本”为v3时可用，用于设置认证密钥。 确认认证密码 该参数仅在设置“版本”为v3时可用，用于确认认证密钥。 加密协议 该参数仅在设置“版本”为v3时可用，用于设置加密协议，推荐选择AES256。 加密密码 该参数仅在设置“版本”为v3时可用，用于设置加密密钥。 确认加密密码 该参数仅在设置“版本”为v3时可用，用于确认加密密钥。 说明 “安全用户名”中禁止出现以64的公因子（1、2、4、8等）为单位长度的重复字符串，例如abab，abcdabcd。 “认证密码”和“加密密码”密码长度为8到16位，至少需要包含大写字母、小写字母、数字、特殊字符中的3种类型字符。两个密码不能相同。两个密码不可和安全用户名相同或安全用户名的倒序字符相同。 使用SNMP协议从安全方面考虑，需要定期修改“认证密码”和“加密密码”密码。 使用SNMP v3版本时，安全用户在5分钟之内连续鉴权失败5次将被锁定，5分钟后自动解锁。 5. 单击“添加Trap目标”，在弹出的“添加Trap目标”对话框中填写以下参数： 目标标识：Trap目标标识，一般指接收Trap的网管或主机标识。长度限制1～255字节，一般由字母或数字组成。 目标IP模式：目标IP的IP地址模式，可选择“IPV4”或者“IPV6”。 目标IP：目标IP，要求可与管理节点的管理平面IP地址互通。 目标端口：接收Trap的端口，要求与对端保持一致，取值范围“0～65535”。 Trap团体名：该参数仅在设置版本为V2C时可用，用于设置主动上报团体名。 单击“确定”，设置完成，退出“添加Trap目标”对话框。 6. 单击“确定”，设置完成。

本章节主要介绍翼MapReduce的动态资源操作。 简介 Yarn是大数据集群中的分布式资源管理服务，大数据集群为Yarn分配资源，资源总量可配置。Yarn内部为任务队列进一步分配和调度计算资源。对于Mapreduce、Spark、Flink和Hive的任务队列，计算资源完全由Yarn来分配和调度。 Yarn任务队列是计算资源分配的基本单位。 对于租户，通过Yarn任务队列申请到的资源是动态资源。用户可以动态创建并修改任务队列的配额，可以查看任务队列的使用状态和使用统计。 资源池 现代企业IT经常会面对纷繁复杂的集群环境和上层需求。例如以下业务场景： 集群异构，集群中各个节点的计算速度、存储容量和网络性能存在差异，需要把复杂应用的所有任务按照需求，合理地分配到各个计算节点上。 计算分离，多个部门需要数据共享，但是需要把计算完全分离在不同的计算节点上。 这就要求对计算资源的节点进一步分区。 资源池用来指定动态资源的配置。Yarn任务队列和资源池关联，可实现资源的分配和调度。 一个租户只能设置一个默认资源池。用户通过绑定租户相关的角色，来使用该租户资源池的资源。若需要使用多个资源池的资源，可通过绑定多个租户相关的角色实现。 调度机制 Yarn动态资源支持标签调度（Label Based Scheduling）策略，此策略通过为计算节点（Yarn NodeManager）创建标签（Label），将具有相同标签的计算节点添加到同一个资源池中，Yarn根据任务队列对资源的需求，将任务队列和有相应标签的资源池动态关联。 例如，集群中有40个以上的节点，根据各节点的硬件和网络配置，分别用Normal、HighCPU、HighMEM、HighIO为四类节点创建标签，添加到四个资源池中，资源池中的各节点性能如下表所示。 不同资源池中的各节点性能 标签名 节点数 硬件和网络配置 添加到 关联 Normal 10 一般 资源池A 普通的任务队列 HighCPU 10 高性能CPU 资源池B 计算密集型的任务队列 HighMEM 10 大量内存 资源池C 内存密集型的任务队列 HighIO 10 高性能网络 资源池D IO密集型的任务队列 任务队列只能使用所关联的资源池里的计算节点。 普通的任务队列关联资源池A，使用硬件和网络配置一般的Normal节点。 计算密集型的任务队列关联资源池B，使用具有高性能CPU的HighCPU节点。 内存密集型的任务队列关联资源池C，使用具有大量内存的HighMEM节点。 IO密集型的任务队列关联资源池D，使用具有高性能网络的HighIO节点。 Yarn任务队列与特定的资源池关联，可以更有效地使用资源，保证节点性能充足且互不影响。 FusionInsight Manager中最多支持添加50个资源池。系统默认包含一个默认资源池。

对比项 RDSPostgreSQL 自建数据库 服务可用性 提供高可用架构，支持主备架构，保证服务可用性和容错性。 自建数据库的可用性受到自身技术水平和硬件设备的限制，难以保证高可用性和容错性。 数据可靠性 提供数据备份和恢复，支持多种备份存储和备份策略，保障数据的可靠性和完整性。 数据库存储采用分布式存储，每份数据在后台保存多份副本，多副本数据实时同步，不会因存储掉电、故障导致用户数据丢失，保证数据安全可靠。 自建数据库需自行实现备份和恢复，备份存储和备份策略不够完善，存在数据丢失的风险。 系统安全性 提供多种安全措施，包括安全组访问控制、白名单管理、网络隔离等。 支持数据库审计、用户关键操作记录等审计记录，保障数据的安全性。 自建数据库受开发人员技能、安全配置和风险管理等限制，安全性更难保障。 数据库备份 提供灵活的备份和恢复策略，支持自动备份、手动备份和增量备份，为用户提供高效的数据备份和恢复。 备份和恢复策略繁琐复杂，备份失败率高，难以保证数据备份和恢复的效率和完整性。 软硬件投入 用户无需购买数据库软硬件设备和托管设备，通过付费模式即可获得完善的数据库服务。 需要花费大量时间和成本购买软硬件设备和托管设备，并且需要承担维护设备、维护数据库等额外成本。 系统托管 天翼云提供完善的托管服务，包括应用部署、监控检测、资源调度和故障处理等，降低用户的运维成本。 需要用户自行承担系统托管和维护等工作，投入较大的人力资源和时间成本。 维护成本 天翼云提供高性能、高可用性、高安全性的PostgreSQL云服务，用户只需关注业务需求，降低维护成本。 维护成本较高，需要购买和维护硬件设备、数据库软件，以及承担数据库的维护和升级等额外成本。 部署扩容 提供弹性扩容和收缩服务，根据业务需求自动分配和回收资源，避免资源浪费和运营成本增加。 需要用户自行实现部署和扩容，扩容过程繁琐，并且需要承担额外的硬件资源和运维成本。 资源利用率 提供可弹性调度的资源池，提高数据库资源的利用率并且降低成本。 资源利用率不尽如人意，需保证业务高峰期的系统吞吐量，平时容易造成资源浪费，增加成本。

本节介绍了专属云（计算独享型）与其他服务的关系。 1.专属云（计算独享型）产品是在公有云上隔离出来的专属虚拟计算资源池，可实现云主机的计算资源物理独享； 2.专属云产品不能够当物理裸机使用； 3.订购专属云（计算独享型）产品的用户还需要订购关联服务，关联服务包括IP、带宽、云硬盘等产品，需要单独收费； 4.专属云产品需要项目制发货，请联系客户经理，如果没有客户经理可拨打天翼云客服电话4008109889咨询; 5.本产品不支持无理由退订。

本文为您介绍如何重装GPU云主机的操作系统。 操作场景 GPU云主机操作系统无法正常启动时，或GPU云主机系统运行正常，但需要对系统进行优化，使其在最优状态下工作时，可以重装GPU云主机的操作系统。 前提条件 云硬盘的配额需大于0。 如果是通过私有镜像创建的云主机，请确保原有镜像仍存在。 待重装操作系统的云主机处于“关机”状态或“重装失败”状态。 待重装操作系统的云主机挂载有系统盘。 重装操作系统会清除系统盘数据，包括系统盘上的系统分区和所有其他分区，请做好数据备份。 操作步骤 1. 登录控制中心。 2. 选择“计算 > 弹性云主机”。 3. 在待重装操作系统的云主机的“操作”列下，单击“更多 > 一键重装”。 4. 只有关机状态的云主机才能重装系统。如果云主机不是关机状态，请先关机。 5. 在“一键重装”弹窗，选择想要重装的操作系统。 6. 如果待重装操作系统的云主机是使用密码登录方式创建的，此时可以更换使用新密码。 7. 单击“确定”，提交重装系统的申请。 8. 提交重装系统的申请后，云主机的状态变为“重建中”，当该状态消失后，表示重装结束。

本文为您介绍如何跨账号同资源池迁移云主机。 操作场景 本文通过采用镜像迁移方式实现跨账号同资源池迁移云主机，以实现跨账号同资源池使用镜像快速创建相同配置的弹性云主机。 方案介绍 镜像迁移方式实现跨账号同资源池迁移云主机的方案为：账号A将资源池A的云主机做成私有镜像，再共享给账号B；账号B接受账号A的共享镜像后，使用该镜像创建新的云主机。 说明 镜像为资源池级别，共享成功的镜像在该资源池所有可用区均可使用。 解决方案 以下以“北京北京5”资源池的云主机迁移到另一个账号为实例进行详细介绍。 步骤1：创建私有镜像 1. 登陆控制中心。 2. 选择资源池“北京北京5”。 3. 选择“产品服务列表>计算>弹性云主机”，进入云主机列表页面。 4. 选择需要迁移的云主机，单击右侧操作列的“更多>制作镜像”，进入创建私有镜像页面。 5. 填写页面参数，这里镜像类型选择“整机镜像”，镜像源选择“云主机”，选择要迁移的云主机，选择存储库和填写镜像名称。单击“下一步”。 6. 确认无误后，阅读并勾选协议，单击“确定下单”。 7. 返回私有镜像列表，在列表中查看新创建的私有镜像。 步骤2：共享私有镜像 1. 选择需要迁移的云主机，单击右侧操作列的“更多>共享”，进入共享镜像页面。 2. 填写共享镜像页面信息。 3. 选择需要共享的镜像和需要共享的账户邮箱，点击确认。 步骤3：接受共享私人镜像 1. 登陆需要将云主机迁移至的账号。 2. 登陆控制中心。 3. 选择资源池北京北京5。 4. 选择“产品服务列表>镜像服务”，进入镜像服务页面，单击“共享镜像”页签。 5. 选择需要迁移的共享镜像申请，单击接受共享，成功接受共享私人镜像。 步骤4：使用共享镜像创建云主机 1. 在共享镜像界面右侧操作栏，单击“申请云主机”，进入云主机创建界面。 2. 填写信息，完成弹性云主机的创建，可参考“创建弹性云主机”。

Name 0 Write hive files? (y/n) [n] : y 0 OK​ 4. 关闭临时弹性云主机，卸载原弹性云主机的系统盘，并将其挂载回原弹性云主机。 a. 临时弹性云主机关机，并进入详情页，选择“云硬盘”页签。 b. 单击“卸载”，卸载1.f中临时挂载的数据盘。 c. 展开原Windows弹性云主机的详情页，选择“云硬盘”页签。 d. 单击“挂载磁盘”，在“挂载磁盘”对话框中，选择4.b中卸载的数据盘，并选择挂载点为“/dev/sda”。 5. 开启原Windows弹性云主机，设置新密码。 a. 单击“开机”，开启原Windows弹性云主机，待状态为“运行中”后，单击“操作”列下的“远程登录”。 b. 单击“开始”菜单，在搜索框中输入“CMD”，按“Enter”。 c. 执行以下命令，修改用户密码，新密码必须符合表 密码设置规则。 net user Administrator 新密码 表 密码设置规则 参数 规则 样例 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种：大写字母,小写字母,数字, 特殊字符 Windows操作系统云主机特殊字符：包括“$”、“!”、“@”、“%”、“”、“”、“”、“+”、“[”、“]”、“:”、“.”、“/”、“,”和“?” Linux操作系统特云主机特殊字符：包括“!”、“@”、“%”、“”、“ ”、“”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?” 密码不能包含用户名或用户名的逆序。Windows操作系统的云主机，不能包含用户名中超过两个连续字符的部分。 YNbUwp!dUc9MClnv说明样例密码随机生成，请勿复制使用样例。

创建备份策略后,通过向备份策略中绑定云主机给备份策略关联云主机。 前提条件 已创建至少1个备份策略。 至少存在一个状态为“运行中”或“关机”的云主机。 一个备份策略中最多可以绑定64个云主机。 操作步骤 1. 登录云主机备份管理控制台。 1. 登录管理控制台。 2. 选择“存储 > 云主机备份”。 2. 选择“策略”页签。 3. 在需要绑定云主机的备份策略所在行单击“绑定服务器”，如下图。 图 绑定服务器 4. 在服务器列表中勾选需要绑定的服务器，勾选后将在已选服务器区域展示。 说明 一个备份策略中最多可以绑定64个云主机。 如果选择的服务器已经绑定到其他备份策略，在选择新的备份策略后，云主机会自动从原备份策略解绑，并绑定到新的备份策略。 如果云主机中有云硬盘已经加入云硬盘备份策略中，建议在云硬盘备份服务的备份策略中移除该云主机的云硬盘，否则云硬盘将产生两个备份。 只能选择状态为“运行中”或“关机”的云主机。 5. 单击“确定”。

本文介绍如何卸载专属磁盘。 操作场景 只有数据盘支持卸载操作，系统盘不支持卸载。 卸载数据盘时，支持离线卸载或在线卸载，即可在挂载该数据盘的云主机处于“运行中”或“关机”状态时进行卸载。 注意 创建云主机时随云主机一起购买的数据盘不支持卸载。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择专属云资源池。 3. 选择“专属存储 > 磁盘”，进入专属磁盘主页面。 4. 在云硬盘列表中，选择待卸载磁盘所在行“操作”列下的“卸载”。 5. 在弹出的“卸载云硬盘”对话框中，确认待卸载云硬盘信息，单击“确定”，卸载云硬盘。 6. 回到云硬盘列表，此时云硬盘状态为“卸载中”，表示云硬盘处于正在从云主机卸载的过程中。当云硬盘状态为“未挂载”时，表示卸载成功。 说明 如果共享磁盘同时挂载至多个云主机，只从其中的一个云主机卸载，卸载成功后，共享磁盘状态依然为“已挂载”。只有当共享磁盘已经从所有的云主机上卸载成功时，状态会变为“未挂载”。

资源创建 创建操作系统镜像为“CentOS 7.6 64bit”的弹性云主机，具体操作请参见创建弹性云主机。 创建弹性IP并将其绑定至已创建的弹性云主机，具体操作请参见购买弹性IP以及绑定云主机实例。 创建云硬盘，并将其挂载至已创建好的弹性云主机中，初始化磁盘分区，确认云硬盘是已经完整挂载好的状态，具体要求为：为一个容量为40G的数据盘/dev/vdb新建分区/dev/vdb1,且将其挂载至/mnt/sdc目录中。具体操作请参见创建云硬盘，挂载云硬盘以及初始化Linux数据盘。 扩容云硬盘，为创建好的数据盘扩容至大于2TB，具体操作请参见扩容云硬盘。 注意事项 转换分区需要将原有分区进行替换，通常需要先卸载原有分区，因此会在一定程度上影响业务运行，请谨慎操作。 转换分区过程中，为防止数据的丢失与异常，请在操作之前先备份数据，若出现误操作可使用云硬盘快照或云硬盘备份来恢复数据，使云盘恢复到创建快照/备份时刻的状态。 Windows转换分区过程中，需要删除卷，删除卷会清除该卷上的所有数据，请您及时备份数据，以避免数据丢失。当使用云硬盘快照/备份恢复数据时，磁盘会恢复为原来的MBR分区格式，无法保留转换后的GPT分区结构。因此，如果需要将数据恢复到转换后的GPT分区，建议通过第三方备份软件进行目录/文件或者应用层的数据备份。 操作步骤 所有操作步骤都是以操作系统“CentOS 7.6 64bit”弹性云主机为例，回显结果仅供参考。

天翼云为您提供并行文件服务HPFS产品的服务等级协议，请您点击查看。 天翼云并行文件服务HPFS服务等级协议

本页介绍了文档数据库服务如何创建并登录弹性云主机。 创建并登录弹性云主机，请参见弹性云主机快速入门创建弹性云主机和弹性云主机快速入门登录弹性云主机。 该弹性云主机用于连接文档数据库实例，需要与待连接的实例处于同一虚拟私有云子网内。 创建弹性云主机时，要选择操作系统，例如centos7.6，并为其绑定EIP。 正确配置安全组，使弹性云主机可以直接连接文档数据库服务。

参数 是否必填 参数类型 说明 示例 下级对象 bucket 是 String 桶名 testBucketName regionCode 是 String 区域编码 0001 remainingDays 是 Integer 保留天数，取值范围：大于之前设置的天数，但要小于3651天 2

本章节介绍如何使用云硬盘备份恢复数据盘。 最佳实践概述 场景描述 当ECS挂载的云硬盘发生系统故障或者错误操作时，您可以通过云硬盘备份，进行原盘恢复或者创建新盘操作来实现数据恢复。适用于如下场景： 硬件故障：云平台的生产存储设备硬件发生故障。 软件故障：系统故障导致用户数据丢失（如系统故障，导致系统下发删除资源的操作）或用户的Guest OS或应用系统故障。 用户误操作：因租户误操作或其他原因而导致的系统无法启动或数据丢失。 方案优势 云硬盘粒度的数据备份和恢复。 恢复可保护挂载到ECS的所有云盘，也可以保护您指定的某些云硬盘。当需要云硬盘恢复时，您可以使用已备份资源实现云硬盘的快速恢复。 前提条件 在进行本文操作之前，您需要完成以下准备工作： 磁盘处于“可用”或“正在使用”状态才可进行备份，如果对磁盘进行了扩容、挂载、卸载或删除等操作，请刷新界面，确保操作完成，再决定是否要进行备份。 本文操作有以下约束限制： 不支持批量恢复多个云硬盘 原数据磁盘需卸载后才可进行数据恢复操作 方案正文 步骤1：创建云硬盘备份 1.假设云主机A的数据盘中存放了数据：datadisk.txt，如下图所示： 2.参照云硬盘备份操作指导章节，完成对云主机A的数据盘云硬盘备份的创建。 3.执行备份成功后，在“云硬盘备份”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。

操作场景 您可以通过自定义数据列将当前账号下拥有的部分或所有弹性云主机信息，以.xlsx文件的形式导出至本地。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页，单击右上角的导出按钮，可选“全部实例”和“所选实例”，选择“全部实例”，无论是否选中云主机都会导出该账号下所有的云主机；选择“所选实例”，则导出用户所勾选的云主机。 5. 在导出云主机的弹窗界面，您可以自定义需要导出的云主机数据信息，点击“确定”，即可将当前账号下当前区域的部分或所有弹性云主机信息自动导出，并下载至本地。 6. 在本地计算机的下载路径，可以获取到导出的弹性云主机信息文件。

本节介绍云审计服务支持审计的自身服务操作列表,以及如何查看云审计自身服务操作事件。 云审计服务支持记录云审计自身服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的自身服务操作列表 事件名称 读写类型 开通云审计 写类型 新建跟踪任务 写类型 修改跟踪任务 写类型 删除跟踪任务 写类型 保存授权凭据 写类型 查询事件列表 读类型 查询筛选事件的条件列表 读类型 查询跟踪任务列表 读类型 查询跟踪任务详情 读类型 查看云审计自身服务事件 1. 开通云审计服务。 参见开通云审计服务。 2. 在事件列表中，上方时间选择需要筛选的时间段，筛选条件选择事件来源为“管理与部署”，资源类型选择“云审计”，点击“查询”即可。 3. 在审计事件右侧点击“查看详情”，可以看到更详细的事件信息。

本文主要介绍云硬盘如何取消关联自动快照策略。 操作场景 当云硬盘不再需要创建自动快照时，用户可以为云硬盘取消关联自动快照策略。云硬盘取消关联自动快照策略后，将不会再按照自动快照策略继续创建自动快照。取消关联后，原本已经创建的自动快照不会被自动删除。 操作步骤 为云硬盘取消关联自动快照策略时，您可以从云硬盘页面和云硬盘自动快照策略页面两个入口进入操作界面。 云硬盘页面 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 在此页面点击待取消关联策略云硬盘“操作>更多>设置自动快照策略”，进入设置自动快照策略页面。 5. 在该页面，选择“不关联自动快照策略”，单击“确定”按钮，完成取消关联操作。若您不想取消关联自动快照策略，点击“取消”，云硬盘将继续保留和自动快照策略的关联关系。 6. 您可通过查看云硬盘列表页面的“自动快照策略”列判断自动快照策略是否取消关联成功。若“自动快照策略”列为“”，则表示取消关联成功。

场景1：限制不同子网下的云主机间的互通 背景信息 假设某用户在云上拥有两个子网，两个子网同属于一个VPC，子网1下创建了云主机1（192.168.1.206），子网2下创建了云主机2（192.168.0.229）和云主机3（192.168.0.230）。因业务需要，要求不同云主机间须满足如下互通关系： 禁止云主机1、云主机2、云主机3与互联网互通。 禁止云主机1和云主机3互通。 允许云主机1与云主机2互通。 配置方式 以可用区资源池为例，操作步骤如下： 步骤一：创建网络ACL 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在网络ACL列表页面，点击右上角的“创建网络ACL”按钮，进入创建网络ACL页面。 6. 在创建网络ACL页面，根据以下信息配置网络ACL，然后单击确定。 配置 说明 ACL名称 输入网络ACL的名称。 虚拟私有云 选择网络ACL所属的虚拟私有云。 子网 支持选择网络ACL所关联的子网，可用区资源池无需填写此项。 描述 输入网络ACL的描述。 企业项目 创建网络ACL时，可以将网络ACL加入已启用的企业项目。

对于同一VPC内的弹性云主机,可以通过主机名进行通信。实现此功能,需要配置主机名与IP地址之间的映射关系。 约束限制 仅适用于同一VPC内Linux弹性云主机 。 可以通过如下方式查看弹性云主机的vpc： a. 登录云主机控制台。 b. 点击实例。 c. 查看vpc。 操作步骤 假设同一VPC内共有2台弹性云主机：ecm53a1和ecm9d59。通过如下操作，2台弹性云主机可以通过主机名互相通信。 1. 获取2台弹性云主机的IP地址。 a. 登录云主机控制台。 b. 在云主机列表中查看云主机的IPv4地址。 【示例】假设查询的IP地址如下： ecm53a1：10.0.0.4 ecm9d59：10.0.0.5 2. 分别获取2台弹性云主机的主机名。 a. 登录弹性云主机。 b. 执行以下命令，查询弹性云主机的主机名。 sudo hostname 【示例】假设查询的主机名如下： ecm53a1：ecm53a1 ecm9d59：ecm9d59 3. 建立主机名与IP地址之间的映射关系，并添加同一VPC内其他弹性云主机的信息。 a. 登录弹性云主机ecm53a1。 b. 执行以下命令，切换至root权限。 sudo su c. 执行以下命令，编辑hosts文件。 vi /etc/hosts d. 按“ i ”，进入编辑模式。 e. 按照如下格式添加语句，建立映射关系。 IP地址 主机名 【示例】需添加的语句为： 10.0.0.4 ecm53a1 10.0.0.5 ecm9d59 f. 按“Esc”退出编辑模式，并执行以下命令，保存并退出。 :wq g. 登录ecm9d59 ， 重复执行3.b~3.f。 4. 测试验证能否通过主机名正常通信。 分别登录配置好的的弹性云主机，执行以下命令，看ping包是否能正常送达。如有下图所示的结果，则表示已经可以通过主机名正常通信。 ping hostname

轻量型云主机退订数据盘 接口功能介绍 该接口提供用户退订一台轻量型云主机数据盘功能 准备工作 ：   构造请求：在调用前需要了解如何构造请求，详情查看构造请求   认证鉴权：openapi请求需要进行加密调用，详细查看认证鉴权 注意事项 ：   释放前请确保文件已进行备份，释放后不可恢复。 接口约束   1. 使用限制，本接口只支持在部分资源池进行公测   2. 确保当前请求资源池下，该云主机存在（即instanceID真实存在且与regionID相对应）   2. 确保云硬盘挂载在本云主机，并且云硬盘没有快照   3. 云主机需要处于关机状态（stopped）或者运行状态（running），您可以调用查询轻量型云主机详情查询结果中的instanceStatus字段来确认当前云主机状态   4. 只有数据盘支持卸载操作，系统盘不支持卸载 URI POST /v4/ecs/lite/unsubscribevolume 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个ClientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以查看地域和可用区来了解资源池 获取： 查 资源池列表查询 bb9fdb42056f11eda1610242ac110002 instanceID 是 String 云主机ID，您可以查看弹性云主机了解云主机的相关信息 获取： 查 查询轻量型云主机列表 创 创建轻量型云主机 adc614e0e838d73f0618a6d51d09070a diskID 是 String 云硬盘ID 26eea80da232470c9b39df512825eb3d

一、获取ak、sk 1. 登录CDN+IAM。 2. 在个人中心AccessKey管理页面，点击新增按钮。 3. 选择对应的工作区并确定，此时你可以查看到AccessKey已生成。 4. 选中密钥，点击查看。为保障安全，需要填写手机验证码。验证通过后，点击显示SK，即可查看详情，并支持复制和发送邮箱操作。 二、在httpclient的请求头增加3个字段，分别是eopdate、ctyuneoprequestid、EopAuthorization。 1.构造eopdate 。该字段的格式是“yyyymmddTHHMMSSZ”，言简意赅就是“年月日T时分秒Z”，示例“eopdate:20211221T163614Z”。 2.构造ctyuneoprequestid 。该字段是uuid，32位随机数。 3.构造EopAuthorization 。按以下步骤进行： 3.1构造代签字符串sigture 。sigture 需要进行签名的Header排序后的组合列表+ " n " + 排序的query + " n " + toHex(sha256(原封的body)) 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n ”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。 注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。 例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture 示例1 （假设query 为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture 示例2 （假设query 不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 3.2 构造动态秘钥kdate 。 3.2.1 使用eopdate作为数据，sk作为密钥，算出ktime。 3.2.2 使用ak作为数据，ktime作为密钥，算出kAk。 3.2.3 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) : Ktime 使用eopdate作为数据，sk作为密钥，算出ktime。 Ktime hmacSha256(eopdate,sk) kAk 使用ak作为数据，ktime作为密钥，算出kAk。 kAk hmacsha256(ak,ktime) kdate 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 kdate hmacsha256(eopdate,kAk) 3.3 构造Signature 。使用kdate作为密钥、sigture作为数据，将其得到的结果进行base64编码得出Signature Signature 1）hmacsha256(sigture,kdate) 2）将上一步的结果进行base64加密得出Signature 3.4 构造EopAuthorization 。 3.4.1 构造Headers。 3.4.2得到EopAuthorization。 EopAuthorization:ak Headersxxx Signaturexxx。 Headers 将需要进行签名的请求头字段以 “headername”的形式、以“;”作为间隔符、以英文字母表作为headername的排序依据将它们拼接起来。 例子(假设你需要将ctyuneoprequestid、eopdate都要签名)：Headers ctyuneoprequestid;eopdate : EopAuthorization EopAuthorization:ak Headersxxx Signaturexxx。注意，ak、Headers、Signature之间以空格隔开。 例如：EopAuthorization:ak Headersctyuneoprequestid;eopdate SignatureNlMHOhk5bVfZ9MwDSSJydcZjjENmDtpNYigJGVb 注意：如果你需要进行签名的Header不止默认的ctyuneoprequestid和eopdate，那么你需要在httpclient的请求头部中加上，并且EopAuthorization中也需要增加 三、 签名示例。

本文介绍调用API如何鉴权 一、获取ak、sk 1.登录CDN+ IAM，地址：vip.ctcdn.cn 。 2.在个人中心AccessKey管理页面，点击新增按钮。 3.选择对应的工作区并确定，此时你可以查看到AccessKey已生成。 4.选中密钥，点击查看。为保障安全，需要填写手机验证码。验证通过后，点击显示SK，即可查看详情，并支持复制和发送邮箱操作。 二、鉴权方式 在httpclient的请求头增加3个字段，分别是eopdate、ctyuneoprequestid、EopAuthorization。 1.构造eopdate 。该字段的格式是“yyyymmddTHHMMSSZ”，言简意赅就是“年月日T时分秒Z”，示例“eopdate:20211221T163614Z”。 2.构造ctyuneoprequestid 。该字段是uuid，32位随机数。 3.构造EopAuthorization 。按以下步骤进行： 3.1构造代签字符串sigture 。sigture 需要进行签名的Header排序后的组合列表+ " n " + 排序的query + " n " + toHex(sha256(原封的body)) 步骤 构造请求头的方法 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n ”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。 注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。 例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture 示例1 （假设query 为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture 示例2 （假设query 不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 3.2构造动态秘钥kdate 。 3.2.1使用eopdate作为数据，sk作为密钥，算出ktime。 3.2.2使用ak作为数据，ktime作为密钥，算出kAk。 3.2.3使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 步骤 构造动态密钥的方法 : eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) Ktime 使用eopdate作为数据，sk作为密钥，算出ktime。 Ktime hmacSha256(eopdate,sk) kAk 使用ak作为数据，ktime作为密钥，算出kAk。 kAk hmacsha256(ak,ktime) kdate 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 kdate hmacsha256(eopdate,kAk) 3.3构造Signature 。使用kdate作为密钥、sigture作为数据，将其得到的结果进行base64编码得出Signature 步骤 构造签名的方法 Signature 1）hmacsha256(sigture,kdate) 2）将上一步的结果进行base64加密得出Signature 3.4构造EopAuthorization 。 3.4.1构造Headers。 3.4.2得到EopAuthorization。 EopAuthorization:ak Headersxxx Signaturexxx。 步骤 构造EopAuthorization的方法 : Headers 将需要进行签名的请求头字段以 “headername”的形式、以“;”作为间隔符、以英文字母表作为headername的排序依据将它们拼接起来。 例子(假设你需要将ctyuneoprequestid、eopdate都要签名)：Headers ctyuneoprequestid;eopdate EopAuthorization EopAuthorization:ak Headersxxx Signaturexxx。注意，ak、Headers、Signature之间以空格隔开。 例如：EopAuthorization:ak Headersctyuneoprequestid;eopdate SignatureNlMHOhk5bVfZ9MwDSSJydcZjjENmDtpNYigJGVb 注意：如果你需要进行签名的Header不止默认的ctyuneoprequestid和eopdate，那么你需要在httpclient的请求头部中加上，并且EopAuthorization中也需要增加 三、 签名示例

本文简述如何调用API获取AKSK。 一、获取AKSK 1. 登录CDN+ IAM，地址：vip.ctcdn.cn 。 2. 在个人中心AccessKey管理页面，点击新增按钮。 3. 选择对应的工作区并确定，此时你可以查看到AccessKey已生成。 4. 选中密钥，点击查看。为保障安全，需要填写手机验证码。验证通过后，点击显示SK，即可查看详情，并支持复制和发送邮箱操作。 二、在httpclient的请求头增加3个字段，分别是eopdate、ctyuneoprequestid、EopAuthorization。 1.构造eopdate 。该字段的格式是“yyyymmddTHHMMSSZ”，言简意赅就是“年月日T时分秒Z”，示例“eopdate:20211221T163614Z”。 2.构造ctyuneoprequestid 。该字段是uuid，32位随机数。 3.构造EopAuthorization 。按以下步骤进行： 3.1构造代签字符串sigture 。 sigture 需要进行签名的Header排序后的组合列表+ " n " + 排序的query + " n " + toHex(sha256(原封的body)) 步骤 构造请求头的方法 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n ”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。 注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。 例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture 示例1： 假设query 为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture 示例2： 假设query 不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Znnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 3.2 构造动态秘钥kdate。 3.2.1 使用eopdate作为数据，sk作为密钥，算出ktime。 3.2.2 使用ak作为数据，ktime作为密钥，算出kAk。 3.2.3 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 步骤 构造动态密钥的方法 : eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) Ktime 使用eopdate作为数据，sk作为密钥，算出ktime。 Ktime hmacSha256(eopdate,sk) kAk 使用ak作为数据，ktime作为密钥，算出kAk。 kAk hmacsha256(ak,ktime) kdate 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 kdate hmacsha256(eopdate,kAk) 3.3 构造Signature 。使用kdate作为密钥、sigture作为数据，将其得到的结果进行base64编码得出Signature 步骤 构造签名的方法 Signature 1）hmacsha256(sigture,kdate) 2）将上一步的结果进行base64加密得出Signature 3.4 构造EopAuthorization。 3.4.1 构造Headers。 3.4.2得到EopAuthorization。 EopAuthorization:ak Headersxxx Signaturexxx 步骤 构造EopAuthorization的方法 : Headers 将需要进行签名的请求头字段以 “headername”的形式、以“;”作为间隔符、以英文字母表作为headername的排序依据将它们拼接起来。 例如(假设你需要将ctyuneoprequestid、eopdate都要签名)：Headers ctyuneoprequestid;eopdate EopAuthorization EopAuthorization:ak Headersxxx Signaturexxx。注意，ak、Headers、Signature之间以空格隔开。 例如：EopAuthorization:ak Headersctyuneoprequestid;eopdate SignatureNlMHOhk5bVfZ9MwDSSJydcZjjENmDtpNYigJGVb 注意：如果你需要进行签名的Header不止默认的ctyuneoprequestid和eopdate，那么你需要在httpclient的请求头部中加上，并且EopAuthorization中也需要增加 三、 签名示例