华为云用户手册

操作场景 流量控制可限制单位时间内API的被调用次数，保护后端服务。 为了提供持续稳定的服务，您可以通过创建流控策略，针对部分API进行流量控制。 流控策略和API本身是相互独立的，只有将流控策略绑定API后，流控策略才对绑定的API生效。 同一个环境中，一个API只能被一个流控策略绑定，但一个流控策略可以绑定多个API。 如果API未绑定流控策略，共享版API网关系统默认流控限制为200次/秒。

绑定API 在“流量控制”页面，通过以下任意一种方法，进入“绑定API”页面。 在待绑定的流量控制策略所在行，单击“绑定API”，进入已绑定API列表页面。单击“绑定API”。 单击策略名称，进入策略详情页面。在“绑定的API列表”页签中单击“绑定API”。 选择“API分组”、“环境”以及“API名称”，筛选所需的API。 勾选API，单击“绑定”，完成API绑定策略。 图1 绑定API 在流控策略绑定API后，如果API不需要调用此策略，单击“解除”，解除绑定。如果需要批量解绑API，则勾选待解绑的API，单击“解除”。最多同时解绑1000个API。

操作场景 API可以同时提供给不同的环境调用，如生产、测试或开发。RELEASE是默认存在的环境，无需创建。且API网关提供环境变量功能，通过创建环境变量，实现在不同的环境定义不同的API调用路径。 环境变量是指在环境上创建可管理的一种变量，该变量固定在环境上。通过创建环境变量，实现同一个API，在不同环境中调用不同的后端服务。 当创建API时定义了变量标识，则需要在环境中添加变量。例如创建API时定义了变量名为“Path”，在环境1中创建了变量名“Path”，变量值“/Stage/test”，则API在发布到环境1时，使用“/Stage/test”代替“Path”，API调用者在环境1中调用此API时，后端服务请求Path为“/Stage/test”。在环境2中创建了变量名“Path”，变量值“/Stage/AA”，则API在发布到环境2时，使用“/Stage/AA”代替“Path”，API调用者在环境2中调用此API时，后端服务请求Path为“/Stage/AA”。 图1 环境变量 每个分组在任意一个环境中，最多创建50个变量。

使用AppCode进行API请求的简易认证 在创建API时，选择“APP认证”并且开启“支持简易认证”。 如果您修改已有API为简易认证，需要在修改完成后，将API重新发布，使简易认证模式生效。 将支持简易认证的API绑定到已创建的应用。 发送请求时，增加请求头部参数“X-Apig-AppCode”，省略请求签名相关信息。 以Curl方式为例，增加头部参数名称：X-Apig-AppCode，参数值填已生成的AppCode。 curl -X GET "https://api.exampledemo.com/testapi" -H "content-type: application/json" -H "host: api.exampledemo.com" -H "X-Apig-AppCode: xhrJVJKABSOxc7d***********FZL4gSHEXkCMQC"

操作场景 简易认证指调用API时，在HTTP请求头部消息增加一个参数X-Apig-AppCode（参数值填应用详情中“AppCode”的值），而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 当使用APP认证，且开启了简易认证模式，API请求既可以选择使用Appkey和AppSecret做签名和校验，也可以选择使用AppCode进行简易认证。 为了确保安全，简易认证仅支持HTTPS方式调用API，不支持HTTP。 每个应用最多可创建5个AppCode。

什么是跨域访问 浏览器出于安全性考虑，会限制从页面脚本内发起的跨域访问（CORS）请求，此时页面只能访问同源的资源，而CORS允许浏览器向跨域服务器，发送XMLHttpRequest请求，从而实现跨域访问。 图1 跨域访问示意图 浏览器将CORS请求分为两类： 简单请求 简单跨域请求的场景需要满足以下两个条件： 请求方法是HEAD，GET，或者POST。 HTTP的头信息不超出以下范围： Accept Accept-Language Content-Language Last-Event-ID Content-Type：取值范围：application/x-www-form-urlencoded、multipart/form-data、text/plain 对于简单请求，浏览器自动在头信息之中，添加一个Origin字段，Origin字段用于说明本次请求来自哪个源（协议+域名+端口）。服务器根据这个值，决定是否同意这次请求。服务器响应消息中包含“Access-Control-Allow-Origin”时，表示同意请求。 非简单请求 不满足简单请求两个条件的都为非简单请求。 对于非简单请求，在正式通信之前，浏览器会增加一次HTTP查询请求，称为预检请求。浏览器询问服务器，当前页面所在的源是否在服务器的许可名单之中，以及可以使用哪些HTTP请求方法和头信息字段。预检通过后，浏览器向服务器发送简单请求。

开启跨域访问 API网关默认不开启跨域访问，如果您需要开启，请参考以下说明完成跨域配置。 简单请求的跨域访问 如果是创建新的API，在定义API请求时，打开“支持跨域（CORS）”开关。详细的使用指导，可参考简单请求。 图2 支持跨域 非简单请求的跨域访问 非简单请求的跨域访问需要在API的分组中创建一个“Method”为“OPTIONS”的API，作为预检请求。 预检请求API的参数设置，请参考以下说明填写。详细的使用指导可参考非简单请求。 在API的基本信息中，安全认证选“无认证”。 图3 预检请求-使用无认证 定义API请求时，参数填写说明如下： 请求协议：选择与已开启CORS的API相同的请求协议 请求Path：填斜杠/ Method：选择“OPTIONS” 支持CORS：选择开启CORS 图4 预检请求-设置API请求 后端服务选择Mock。 图5 预检请求-后端服务类型Mock

简单请求 对于简单请求，您需要开启简单跨域访问。 场景一：已开启CORS，且后端服务响应消息中未指定跨域头时，API网关接受任意域的请求，并返回“Access-Control-Allow-Origin”跨域头，示例如下： 浏览器发送一个带Origin字段的请求消息： GET /simple HTTP/1.1 Host: www.test.com Origin: http://www.cors.com Content-Type: application/x-www-form-urlencoded; charset=utf-8 Accept: application/json Date: Tue, 15 Jan 2019 01:25:52 GMT Origin：此字段必选，表示请求消息所属源，上例中请求来源于“http://www.cors.com”，API网关/后端服务根据这个值，决定是否同意本次请求。 后端服务返回响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway {"status":"200"} API网关响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway X-Request-Id: 454d689fa69847610b3ca486458fb08b Access-Control-Allow-Origin: * {"status":"200"} Access-Control-Allow-Origin：此字段必选，“*”表示API网关接受任意域的请求。 场景二：已开启CORS，且后端服务响应消息中指定跨域头时，后端服务响应的跨域头将覆盖API网关增加的跨域头，示例如下： 浏览器发送一个带Origin字段的请求消息： GET /simple HTTP/1.1 Host: www.test.com Origin: http://www.cors.com Content-Type: application/x-www-form-urlencoded; charset=utf-8 Accept: application/json Date: Tue, 15 Jan 2019 01:25:52 GMT Origin：此字段必选，表示请求消息所属源，上例中请求来源于“http://www.cors.com”，API网关/后端服务根据这个值，决定是否同意本次请求。 后端服务返回响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway Access-Control-Allow-Origin: http://www.cors.com {"status":"200"} Access-Control-Allow-Origin：表示后端服务接受“http://www.cors.com”的请求。 API网关响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway X-Request-Id: 454d689fa69847610b3ca486458fb08b Access-Control-Allow-Origin: http://www.cors.com {"status":"200"} 后端服务响应消息中的跨域头覆盖API网关响应消息中的跨域头。

非简单请求 对于非简单请求，您需要开启跨域访问，并且创建一个“Method”为“OPTIONS”的API。 跨域共享资源插件不需要创建一个“Method”为“OPTIONS”的API。 “Method”为“OPTIONS”的API和普通API的区别如下： 所属分组：选择已开启CORS的API所在的分组。 安全认证：可选择“无认证”。无论选择哪种认证方式，API网关都按照无认证处理。 请求协议：选择与已开启CORS的API相同的请求协议。 请求Path：填斜杠/即可，也可选择与已开启CORS的API相同或者匹配的请求Path。 Method：选择“OPTIONS”。 支持CORS：选择开启CORS。 假设后端服务类型为Mock，示例如下： 浏览器发送“Method”为“OPTIONS”的API请求： OPTIONS /HTTP/1.1 User-Agent: curl/7.29.0 Host: localhost Accept: */* Origin: http://www.cors.com Access-Control-Request-Method: PUT Access-Control-Request-Headers: X-Sdk-Date Origin：此字段必选，表示请求消息所属源。 Access-Control-Request-Method：此字段必选，表示请求会使用哪些HTTP请求方法。 Access-Control-Request-Headers：此字段可选，表示请求会额外发送的头信息字段。 后端服务返回消息：无 API网关返回消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 02:38:48 GMT Content-Type: application/json Content-Length: 1036 Server: api-gateway X-Request-Id: c9b8926888c356d6a9581c5c10bb4d11 Access-Control-Allow-Origin: * Access-Control-Allow-Headers: X-Stage,X-Sdk-Date,X-Sdk-Nonce,X-Proxy-Signed-Headers,X-Sdk-Content-Sha256,X-Forwarded-For,Authorization,Content-Type,Accept,Accept-Ranges,Cache-Control,Range Access-Control-Expose-Headers: X-Request-Id,X-Apig-Latency,X-Apig-Upstream-Latency,X-Apig-RateLimit-Api,X-Apig-RateLimit-User,X-Apig-RateLimit-App,X-Apig-RateLimit-Ip,X-Apig-RateLimit-Api-Allenv Access-Control-Allow-Methods: GET,POST,PUT,DELETE,HEAD,OPTIONS,PATCH Access-Control-Max-Age: 172800 Access-Control-Allow-Origin：此字段必选，“*”表示API网关接受任意域的请求。 Access-Control-Allow-Headers：当请求消息中包含此字段时，此字段必选。表示允许跨域的所有请求头信息字段。 Access-Control-Expose-Headers：表示跨域访问允许查看的返回头信息字段。 Access-Control-Allow-Methods：此字段必选，表示API网关支持的所有HTTP请求方法。 Access-Control-Max-Age：此字段可选，表示本次预检的有效期，单位：秒。在有效期内，无需再次发出预检请求。 浏览器发送一个带Origin字段的请求头： PUT /simple HTTP/1.1 Host: www.test.com Origin: http://www.cors.com Content-Type: application/x-www-form-urlencoded; charset=utf-8 Accept: application/json Date: Tue, 15 Jan 2019 01:25:52 GMT 后端服务返回消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway {"status":"200"} API网关返回消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway X-Request-Id: 454d689fa69847610b3ca486458fb08b Access-Control-Allow-Origin: * {"status":"200"}

操作场景 自定义认证包含两种认证：前端自定义认证和后端自定义认证。 前端自定义认证：如果您希望使用自己的认证系统，而不是APP认证/华为IAM认证对API的访问进行认证鉴权时，您可以使用自定义认证，通过您自定义的函数进行认证鉴权。 后端自定义认证：当不同的后端服务使用不同的认证系统时，导致您需要为不同的认证系统定制化开发API，而APIG通过自定义认证功能，将多种认证系统集成，简化API开发的复杂度。您只需要在APIG中创建自定义的函数认证，APIG通过此函数对接后端认证系统，获取后端服务的访问授权。 自定义认证依赖函数工作流服务。如果当前Region没有上线函数工作流服务，则不支持使用自定义认证。 自定义认证的具体使用指导，可参考《API网关开发指南》的自定义认证相关章节。 使用自定义认证调用API的流程如下图所示： 图1 通过自定义认证调用API

API网关监控指标 表1 API网关共享版支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） avg_latency 平均延迟毫秒数 该指标用于统计测量api接口平均响应延时时间 ≥0 单位：毫秒 单个API 1分钟 input_throughput 流入流量 该指标用于统计测量api接口请求流量 ≥0 单位：Byte/KB/MB/GB 单个API 1分钟 max_latency 最大延迟毫秒数 该指标用于统计测量api接口最大响应延时时间 ≥0 单位：毫秒 单个API 1分钟 output_throughput 流出流量 该指标用于统计测量api接口返回流量 ≥0 单位：Byte/KB/MB/GB 单个API 1分钟 req_count 接口调用次数 该指标用于统计测量api接口调用次数 ≥0 单个API 1分钟 req_count_2xx 2xx调用次数 该指标用于统计测量api接口调用2xx的次数 ≥0 单个API 1分钟 req_count_4xx 4xx异常次数 该指标用于统计测量api接口返回4xx错误的次数 ≥0 单个API 1分钟 req_count_5xx 5xx异常次数 该指标用于统计测量api接口返回5xx错误的次数 ≥0 单个API 1分钟 req_count_error 异常次数 该指标用于统计测量api接口总的错误次数 ≥0 单个API 1分钟

绑定API 在“访问控制”页面，通过以下任意一种方法，进入“绑定API”页面。 在待绑定的访问控制策略所在行，单击“绑定API”，进入已绑定API列表页面。单击“绑定API”。 单击策略名称，进入策略详情页面。单击“绑定API”。 选择“API分组”、“环境”以及“API名称”，筛选所需的API。 勾选API，单击“绑定”，完成API绑定策略。 在访问控制策略绑定API后，如果API不需要调用此策略，单击“解除”，解除绑定。如果需要批量解绑API，则勾选待解绑的API，单击“解除”。最多同时解绑1000个API。

查看关键操作列表 通过云审计服务，您可以记录与API网关相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计服务支持的API Gateway操作列表 操作名称 资源类型 事件名称 创建API分组 ApiGroup createApiGroup 删除API分组 ApiGroup deleteApiGroup 更新API分组 ApiGroup updateApiGroup 绑定域名 ApiGroup createDomainBinding 修改安全传输协议 ApiGroup modifySecureTransmission 解绑域名 ApiGroup relieveDomainBinding 添加域名证书 ApiGroup addDomainCertificate 删除域名证书 ApiGroup deleteDomainCertificate 创建API Api createApi 删除API Api deleteApi 批量删除API Api batchDeleteApi 更新API Api updateApi 发布API Api publishApi 下线API Api offlineApi 批量发布/下线API Api batchPublishOrOfflineApi 切换API版本 Api switchApiVersion 根据版本号下线API Api offlineApiByVersion 调试API Api debugApi 创建环境 Environment createEnvironment 删除环境 Environment deleteEnvironment 更新环境 Environment updateEnvironment 创建环境变量 EnvVariable createEnvVariable 更新环境变量 EnvVariable updateEnvVariable 删除环境变量 EnvVariable deleteEnvVariable 创建应用 App createApp 删除应用 App deleteApp 更新应用 App updateApp 重置签名密钥 App resetAppSecret 客户端绑定API AppAuth grantAuth 客户端解绑API AppAuth relieveAuth 创建签名密钥 Signature createSignature 删除签名密钥 Signature deleteSignature 更新签名密钥 Signature updateSignature 绑定签名密钥 SignatureBinding createSignatureBinding 解绑签名密钥 SignatureBinding relieveSignatureBinding 创建访问控制 Acl createAcl 删除访问控制 Acl deleteAcl 批量删除访问控制 Acl batchDeleteAcl 更新访问控制 Acl updateAcl 增加流控黑名单 Acl addAclValue 删除流控黑名单 Acl deleteAclValue API绑定访问控制 AclBinding createAclBinding API解绑访问控制 AclBinding relieveAclBinding 批量解绑访问控制 AclBinding batchRelieveAclBinding 创建流控 Throttle createThrottle 删除流控 Throttle deleteThrottle 批量删除流控 Throttle batchDeleteThrottle 更新流控 Throttle updateThrottle 绑定流控 ThrottleBinding createThrottleBinding 解绑流控 ThrottleBinding relieveThrottleBinding 批量解绑流控 ThrottleBinding batchRelieveThrottleBinding 创建特殊流控 ThrottleSpecial createSpecialThrottle 删除特殊流控 ThrottleSpecial deleteSpecialThrottle 更新特殊流控 ThrottleSpecial updateSpecialThrottle 创建负载通道 Vpc createVpc 删除负载通道 Vpc deleteVpc 更新负载通道 Vpc updateVpc 增加负载通道成员 Vpc addVpcMember 删除负载通道成员 Vpc deleteVpcMember 导出单个API Swagger swaggerExportApi 批量导出API Swagger swaggerExportApiList 导出分组下所有API Swagger swaggerExportApiByGroup 导入API到新分组 Swagger swaggerImportApiToNewGroup 导入API到已有分组 Swagger swaggerImportApiToExistGroup 导出全部自定义后端 Swagger SwaggerExportLdApi 导入自定义后端 Swagger SwaggerImportLdApi 创建自定义认证 Authorizer createAuthorizer 删除自定义认证 Authorizer deleteAuthorizer 更新自定义认证 Authorizer updateAuthorizer 购买API分组 Market purchase 上架API分组 Market onsell 下架API分组 Market offsell 修改配额状态 Market changeStatus 锁定/解除锁定API分组 Market lockOrUnlock 冻结/解冻API分组 Market frozenOrUnfrozen 预订购API分组 Market reserve 退市 Market delist 退订 Market unsubscribe

开放API 企业或开发者通过API网关开放自身的服务与数据，实现业务能力变现。 图2 开放API基本流程 创建实例 实例是一个独立的资源空间，所有的操作都是在实例内进行，不同实例间的资源相互隔离。 创建API分组 每个API都归属到某一个API分组下，在创建API前应提前创建API分组。 绑定域名 在开放API前，您需要为API分组绑定一个独立域名，供API调用者访问API使用。 在绑定独立域名前，您可以使用系统为API分配的调试域名进行API调试，每天最多可以访问调试域名1000次。 创建API 把已有后端服务封装为标准RESTFul API，并对外开放。 API创建成功后，您可根据业务需求对API设置访问策略： 传统策略 流控控制 流量控制可限制单位时间内API的被调用次数，保护后端服务。 访问控制 访问API的IP地址和账户，您可以通过设置IP地址或账户的黑白名单来拒绝/允许某个IP地址或账户访问API。 签名密钥 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 插件策略 跨域资源共享策略说明 跨域资源共享策略为跨域访问提供指定预检请求头和响应头、自动创建跨域预检请求API的扩展能力，可快速、灵活的实现API的跨域访问。 HTTP响应头管理策略说明 您可以自定义HTTP响应头，在返回的API响应中指定您配置的响应头。 流量控制2.0策略说明 您可以限制单位时间内API的被调用次数，支持参数流控、基础流控和基于基础流控的特殊流控。 Kafka日志推送策略说明 Kafka日志推送策略提供了把API的详细调用日志推送到Kafka的能力，方便用户获取API的调用日志信息。 断路器策略说明 断路器是API网关在后端服务出现性能问题时保护系统的内置机制。 第三方认证策略说明 您可以通过第三方认证策略配置自己的鉴权服务为API的访问进行认证。 调试API 验证API服务的功能是否正常可用。 发布API 把API发布到环境中，API只有在发布到环境后，才支持被调用。

前提条件 已有独立域名。可通过域名注册服务申请新的域名。 公网独立域名需要备案，未备案的独立域名无法被访问。备案时长需几个工作日，建议您提前进行备案。 共享版：已将独立域名CNAME解析到分组的子域名上，具体方法请参见增加CNAME类型记录集。 如果API分组中的API支持HTTPS请求协议，那么在独立域名中需要添加SSL证书，请您提前准备SSL证书。此证书不支持导入，您需要填写证书的名称、内容和密钥。

操作场景 开放API前，您需要为API分组绑定一个或多个独立域名，API网关通过独立域名定位到此分组。 共享版中，不同分组下不能绑定相同的独立域名。 在绑定域名前，您需要理解以下2个概念： 子域名：API分组创建后，系统为分组自动分配一个内部测试用的子域名，此子域名唯一且不可更改，每天最多可以访问1000次。 独立域名：您自定义的域名，最多可以添加5个独立域名，不限访问次数。API调用者通过访问独立域名来调用您开放的API。

APIG使用流程 API网关（API Gateway）是为您提供高性能、高可用、高安全的API托管服务，帮助您轻松构建、管理和部署任意规模的API。借助API网关的开放API和调用API功能，可以简单、快速、低成本、低风险地实现内部系统集成、业务能力开放。 开放API 企业或开发者通过API网关开放自身的服务与数据。 图1 API网关服务开放API 开放API的业务使用流程如下图所示。 图2 API网关服务开放API基本流程 创建实例 共享版无需购买实例，可直接进入共享版。 创建API分组 每个API都归属到某一个API分组下，在创建API前应提前创建API分组。 绑定域名 在开放API前，您需要为API分组绑定一个独立域名，供API调用者访问API使用。 在绑定独立域名前，您可以使用系统为API分配的默认子域名进行API调试，每天最多可以访问默认子域名1000次。 创建API 把已有后端服务封装为标准RESTFul API，并对外开放。 API创建成功后，您可根据业务需求对API设置访问策略： 流控控制 流量控制可限制单位时间内API的被调用次数，保护后端服务。 访问控制 访问API的IP地址和账户，您可以通过设置IP地址或账户的黑白名单来拒绝/允许某个IP地址或账户访问API。 签名密钥 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 调试API 验证API服务的功能是否正常可用。 发布API 把API发布到环境中，API只有在发布到环境后，才支持被调用。 调用API 企业或开发者如何获取并调用他人在API网关开放的API，减少开发时间与成本。 图3 API网关服务调用API 调用API的业务使用流程如下图所示。 图4 API网关服务调用API基本流程 获取API 获取API的请求信息，包括访问域名、请求协议、请求方法、请求路径以及认证方式等信息。 创建应用 使用APP认证的API，需要在API网关中创建一个应用，以生成应用ID和密钥对（AppKey、AppSecret）。将创建的应用绑定API后，使用APP认证调用API。 获取SDK 可通过SDK对AK/SK生成签名，并调用API。 调用API 通过获取API及API访问地址，调用API。根据API使用认证方式的不同，调用API时需要进行不同的认证鉴权操作。 父主题： 共享版操作指导（存量用户）

操作须知 DDoS高防不支持下载防护日志数据。 在“概览”页面，您可以查看以下时间段的防护日志数据： DDoS攻击防护 可以查看指定高防实例和线路“24小时”、“近3天”、“近7天”、“近30天”和“自定义”的DDoS攻击防护数据，其中，“自定义”可以配置查看近90天的DDoS攻击防护数据。 CC攻击防护 可以查看防护域名“昨天”、“今天”、“近3天”、“近7天”和“近30天”的CC攻击防护数据。

操作场景 业务接入DDoS高防后，您可以通过查看高防实例线路的DDoS攻击防护日志和防护域名的CC攻击防护日志，了解当前业务的网络安全状态。 在“概览”页面，您可以查看以下防护日志信息： DDoS攻击防护 可以查看高防实例线路的高防入流量峰值、攻击流量峰值和DDoS攻击次数信息，以及流量和报文两个维度的攻击类型分布、DDoS攻击事件、TOP5攻击类型流量清洗等信息。 CC攻击防护 可以查看防护域名请求与攻击次数、攻击类型分布、TOP5攻击源IP的次数等信息。

依赖服务的权限设置 如果IAM用户需要在Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了Anti-DDoS Administrator策略的集群权限，再按如下表1增加依赖服务的角色或策略。 表1 Console中依赖服务的角色或策略 控制台功能 依赖服务 需配置角色或策略 配置Anti-DDoS日志 云日志服务 LTS 需要增加LTS ReadOnlyAccess的系统策略，才能选择在云日志服务中创建的日志组和日志流名称。 开启Anti-DDoS告警通知 消息通知服务 SMN 需要增加SMN ReadOnlyAccess的系统策略，才能获取消息通知服务的主题群组。 设置标签 标签管理服务 TMS 需要增加TMS FullAccess的系统策略，才能创建标签键。

依赖服务的权限设置 如果IAM用户需要在Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了CAD Administrator、AAD FullAccess或AAD ReadOnlyAccess策略的集群权限，再按如下表1增加依赖服务的角色或策略。 表1 Console中依赖服务的角色或策略 控制台功能 依赖服务 需配置角色或策略 添加域名 云证书管理服务 CCM 源站使用HTTPS转发协议时，自动拉取证书需要授予SCM ReadOnlyAccess权限。 配置DDoS高防日志 云日志服务 LTS 需要增加LTS ReadOnlyAccess的系统策略，才能选择在云日志服务中创建的日志组和日志流名称。 开启告警通知 消息通知服务 SMN 需要增加SMN ReadOnlyAccess的系统策略，才能获取消息通知服务的主题群组。 配置实例标签 标签管理服务 TMS 需要增加TMS FullAccess的系统策略，才能创建标签键。 购买实例 企业项目管理服务 EPS 需要增加EPS ReadOnlyAccess的系统策略后，才能在购买实例时选择该企业项目。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 依赖关系说明 查询Anti-DDoS默认防护策略 anti-ddos:defaultDefensePolicy:get - 配置Anti-DDoS默认防护策略 anti-ddos:defaultDefensePolicy:create - 删除Anti-DDoS默认防护策略 anti-ddos:defaultDefensePolicy:delete - 查询Anti-DDoS配置可选范围 anti-ddos:optionalDefensePolicy:list - 查询Anti-DDoS服务 anti-ddos:ip:getDefensePolicy vpc:publicIps:list 更新Anti-DDoS服务 anti-ddos:ip:updateDefensePolicy - 开通Anti-DDoS服务 anti-ddos:ip:enableDefensePolicy - 查询周防护统计情况 anti-ddos:ip:getWeeklyReport - 查询指定EIP防护流量 anti-ddos:ip:getDailyTrafficReport - 查询指定EIP异常事件 anti-ddos:ip:getDailyEventReport - 查询指定EIP防护状态 anti-ddos:ip:getDefenseStatus - 查询EIP防护状态列表 anti-ddos:ip:listDefenseStatuses - 查询Anti-DDoS任务 anti-ddos:task:list - 查询告警配置信息 anti-ddos:alertConfig:get smn:topic:list 更新告警配置信息 anti-ddos:alertConfig:update - 查询云日志服务配置 anti-ddos:logConfig:get - 更新云日志服务配置 anti-ddos:logConfig:update - 查询配额 anti-ddos:quota:list - 查询资源标签列表 anti-ddos:ip:listTagsForResource - 批量添加标签 anti-ddos:ip:tagResource - 批量删除标签 anti-ddos:ip:untagResource -

依赖服务的权限设置 如果IAM用户需要在Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了CNAD FullAccess或CNAD ReadOnlyAccess策略的集群权限，再按如下表1增加依赖服务的角色或策略。 表1 Console中依赖服务的角色或策略 控制台功能 依赖服务 需配置角色或策略 开启LTS日志 云日志服务 LTS 需要增加LTS ReadOnlyAccess的系统策略，才能选择在云日志服务中创建的日志组和日志流名称。 开启告警通知 消息通知服务 SMN 需要增加SMN ReadOnlyAccess的系统策略，才能获取消息通知服务的主题群组。 配置实例标签 标签管理服务 TMS 需要增加TMS FullAccess的系统策略，才能创建标签键。 购买实例 企业项目管理服务 EPS 需要增加EPS ReadOnlyAccess的系统策略后，才能在购买实例时选择该企业项目。

修订记录 发布日期 修改说明 2024-02-29 第五十一次正式发布。 新增配置字段转发章节。 新增修改TLS配置章节。 下线“非域名类业务接入DDoS高防”章节。 下线“转发规则管理”章节。 查看数据报表增加动态黑名单描述。 查看DDoS高防防护日志增加动态黑名单描述。 查看防护对象信息增加防护IP状态参数。 2024-01-04 第五十次正式发布。 优化购买实例步骤描述。 优化购买DDoS高防实例步骤描述。 优化购买DDoS高防国际版实例步骤描述。 优化查看Anti-DDoS公网IP参数描述。 优化配置DDoS高防日志日志字段描述。 2023-12-10 第五十次正式发布。 新增为防护对象设置防护策略章节。 新增设置频率控制规则章节。 配置Anti-DDoS日志优化了内容描述。 开启LTS日志优化了内容描述。 配置DDoS高防日志优化了内容描述。 查看DDoS高防防护日志优化攻击类型分布的参数描述。 配置CDN调度策略增加服务范围参数。 2023-11-30 第四十九次正式发布。 新增控制台的权限依赖章节。 新增控制台的权限依赖章节。 配置Anti-DDoS日志优化日志字段说明。 开启LTS日志优化日志字段说明。 “非域名类业务接入DDoS高防”章节补充端口限制说明。 配置DDoS阶梯调度策略补充约束说明。 2023-11-03 第四十八次正式发布。 新增控制台的权限依赖章节。 2023-10-30 第四十七次正式发布。 新增使用概览章节。 新增使用概览章节。 新增购买DDoS高防国际版实例章节。 新增设置标签章节。 查看云审计日志优化了内容描述。 新增配置实例标签章节。 查看云审计日志优化了内容描述。 新增配置实例标签章节。 下线“创建防护策略”章节。 设置监控告警规则优化了内容描述。 查看云审计日志优化了内容描述。 2023-08-04 第四十六次正式发布。 新增设置事件告警通知章节。 新增设置事件告警通知章节。 新增设置事件告警通知章节。 2023-06-30 第四十五次正式发布。 新增配置区域封禁章节。 优化“配置防护策略”章节内容，匹配新版控制台图例。 优化DDoS高防监控指标说明章节描述，新增4个CES监控指标。 2023-06-08 第四十四次正式发布。 优化购买DDoS高防实例章节描述，添加了如何选择业务带宽的描述。 2023-06-06 第四十三次正式发布。 配置协议封禁章节补充关于海外流量封禁的描述。 2023-05-22 第四十二次正式发布。 优化“移除防护对象”章节描述。 2023-04-21 第四十一次正式发布。 新增监控章节。 2023-04-20 第四十次正式发布。 新增配置CDN调度策略章节。 2022-11-29 第三十九次正式发布。 新增水印防护章节。 2022-09-20 第三十八次正式发布。 修改配置Anti-DDoS日志章节。 2022-08-11 第三十七次正式发布。 新增配置Anti-DDoS日志。 2022-08-01 第三十六次正式发布。 修改步骤三：本地验证（网站类），更新本地验证内容。 2022-07-28 第三十五次正式发布。 新增Anti-DDoS自定义策略。 新增Anti-DDoS权限及授权项。 2022-07-13 第三十四次正式发布。 购买实例，下线"电信移动联通"和"电信联通、BGP"线路，新增"BGP Pro"线路。 2022-06-06 第三十三次正式发布。 下线新BGP线路。 2022-05-30 第三十二次正式发布。 新增购买DDoS调度中心防护。 优化DDoS调度中心防护管理部分功能描述。 2022-04-27 第三十一次正式发布。 购买实例，更新购买参数。 2022-04-06 第三十次正式发布。 DDoS调度中心下线“专线回源”和“互联网回源”两种回源方式。 2022-01-24 第二十九次正式发布。 开启WEB基础防护和CC防护，新增约束条件内容描述。 2021-12-23 第二十八次正式发布。 “非域名类业务接入DDoS高防”章节，优化内容描述。 2021-12-16 第二十七次正式发布。 新增AAD自定义策略。 新增AAD权限及授权项。 2021-11-18 第二十六次正式发布。 购买实例，补充大客户版相关内容描述。 购买DDoS高防实例，更新界面截图以及相关内容描述。 2021-11-11 第二十五次正式发布。 步骤一：配置防护域名（网站类），更新界面截图。 2021-10-21 第二十四次正式发布。 查看实例信息，优化内容描述。 2021-10-14 第二十三次正式发布。 购买实例，优化内容描述。 2021-10-11 第二十二次正式发布。 设置防护策略，更新截图。 2021-09-24 第二十一次正式发布。 13.1.2-线路购买指南，优化内容描述。 2021-09-15 第二十次正式发布。 购买DDoS高防实例，更新界面截图和内容描述。 2021-09-10 第十九次正式发布。 购买实例，修改内容描述。 2021-09-06 第十八次正式发布。 “DDoS原生高级防护操作指南”章节，优化内容描述。 2021-08-27 第十七次正式发布。 “DDoS原生高级防护操作指南”章节，更新截图以及内容描述。 2021-08-10 第十六次正式发布。 购买DDoS高防实例，更新界面截图和相关内容描述。 2021-07-29 第十五次正式发布。 配置协议封禁，优化内容描述。 2021-07-19 第十四次正式发布。 修改“DDoS高防操作指南”架构和内容描述。 2021-07-14 第十三次正式发布。 新增购买自助解封配额。 购买实例、自助解封封堵IP、查看解封配额和解封IP信息，新增自助解封配额内容描述。 2021-05-31 第十二次正式发布。 新增开启阶梯调度告警通知。 2021-05-28 第十一次正式发布。 配置Anti-DDoS防护策略，更新界面截图并优化内容描述。 “转发规则管理”章节优化内容描述。 2021-05-21 第十次正式发布。 修改章节标题。 2021-04-29 第九次正式发布。 设置防护策略，更新界面截图。 2021-04-27 第八次正式发布。 新增自助解封封堵IP。 新增查看解封配额和解封IP信息。 2021-04-19 第七次正式发布。 创建用户并授权使用CNAD，删除CNAD Administrator权限策略。 2021-04-16 第六次正式发布。 购买实例，优化内容描述。 2021-03-16 第五次正式发布。 购买实例，补充约束限制。 2021-03-02 第四次正式发布。 新增CNAD自定义策略。 新增CNAD权限及授权项。 2021-02-25 第三次正式发布。 配置DDoS阶梯调度策略，新增约束限制说明。 2021-02-01 第二次正式发布。 创建用户并授权使用CNAD，优化内容描述。 2020-12-31 第一次正式发布。

请求示例 创建Spark作业，作业的Spark主类为“org.apache.spark.examples.SparkPi”，指定程序包batchTest/spark-examples_2.11-2.1.0.luxor.jar，并加载上传到DLI类型为jar的程序号和类型为files的资源包。 { "file": "batchTest/spark-examples_2.11-2.1.0.luxor.jar", "className": "org.apache.spark.examples.SparkPi", "sc_type": "A", "jars": ["demo-1.0.0.jar"], "files": ["count.txt"], "resources":[ {"name": "groupTest/testJar.jar", "type": "jar"}, {"name": "kafka-clients-0.10.0.0.jar", "type": "jar"}], "groups": [ {"name": "groupTestJar", "resources": [{"name": "testJar.jar", "type": "jar"}, {"name": "testJar1.jar", "type": "jar"}]}, {"name": "batchTest", "resources": [{"name": "luxor.jar", "type": "jar"}]}], "queue": " test", "name": "TestDemo4", "feature": "basic", "spark_version": "2.3.2" } 其中“batchTest/spark-examples_2.11-2.1.0.luxor.jar”已提前通过上传分组资源（废弃）接口上传。

响应示例 { "id": "07a3e4e6-9a28-4e92-8d3f-9c538621a166", "appId": "", "name": "", "owner": "test1", "proxyUser": "", "state": "starting", "kind": "", "log": [], "sc_type": "CUSTOMIZED", "cluster_name": "aaa", "queue": "aaa", "image": "", "create_time": 1607589874156, "update_time": 1607589874156 }

响应消息 表6 响应参数 参数名称 是否必选 参数类型 说明 id 否 String 批处理作业的ID。 appId 否 String 批处理作业的后台app ID。 name 否 String 创建时用户指定的批处理名称，不能超过128个字符。 owner 否 String 批处理作业所属用户。 proxyUser 否 String 批处理作业所属代理用户（资源租户）。 state 否 String 批处理作业的状态，详细说明请参见表7。 kind 否 String 批处理作业类型，只支持spark类型参数。 log 否 Array of strings 显示当前批处理作业的最后10条记录。 sc_type 否 String 计算资源类型。用户自定义时返回CUSTOMIZED。 cluster_name 否 String 批处理作业所在队列。 queue 是 String 用于指定队列，填写已创建DLI的队列名。 说明： 兼容“cluster_name”参数，即如果使用“cluster_name”指定队列仍然有效。 推荐使用“queue”参数，“queue”参数与“cluster_name”参数两者不能同时存在。 image 否 String 自定义镜像。格式为：组织名/镜像名:镜像版本。 当用户设置“feature”为“custom”时，该参数生效。用户可通过与“feature”参数配合使用，指定作业运行使用自定义的Spark镜像。关于如何使用自定义镜像，请参考《数据湖探索用户指南》。 create_time 否 Long 批处理作业的创建时间。是单位为“毫秒”的时间戳。 update_time 否 Long 批处理作业的更新时间。是单位为“毫秒”的时间戳。 duration 否 Long 作业运行时长，单位毫秒。 表7 批处理作业状态说明 参数名称 参数类型 说明 starting String 批处理作业正在启动。 running String 批处理作业正在执行任务。 dead String 批处理作业已退出。 success String 批处理作业执行成功。 recovering String 批处理作业正在恢复。

请求消息 表2 请求参数 参数名称 是否必选 参数类型 说明 file 是 String 用户已上传到DLI资源管理系统的类型为jar或pyFile的程序包名。也支持指定OBS路径，例如：obs://桶名/包名。 className 是 String 批处理作业的Java/Spark主类。 queue 否 String 用于指定队列，填写已创建DLI的队列名。必须为通用类型的队列。 说明： 兼容“cluster_name”参数，即如果使用“cluster_name”指定队列仍然有效。 推荐使用“queue”参数，“queue”参数与“cluster_name”参数两者不能同时存在。 cluster_name 否 String 用于指定队列，填写已创建DLI队列的队列名称。 说明： 推荐使用“queue”参数，“queue”参数与“cluster_name”参数两者不能同时存在。 args 否 Array of Strings 传入主类的参数，即应用程序参数。 sc_type 否 String 计算资源类型，目前可接受参数A, B, C。如果不指定，则按最小类型创建。具体资源类型请参见表3。 jars 否 Array of Strings 用户已上传到DLI资源管理系统的类型为jar的程序包名。也支持指定OBS路径，例如：obs://桶名/包名。 pyFiles 否 Array of Strings 用户已上传到DLI资源管理系统的类型为pyFile的资源包名。也支持指定OBS路径，例如：obs://桶名/包名。 files 否 Array of Strings 用户已上传到DLI资源管理系统的类型为file的资源包名。也支持指定OBS路径，例如：obs://桶名/包名。 modules 否 Array of Strings 依赖的系统资源模块名，具体模块名可通过查询组内资源包（废弃）接口查看。 DLI系统提供了用于执行跨源作业的依赖模块，各个不同的服务对应的模块列表如下： CloudTable/MRS HBase: sys.datasource.hbase CloudTable/MRS OpenTSDB: sys.datasource.opentsdb RDS MySQL: sys.datasource.rds RDS PostGre: 不需要选 DWS: 不需要选 CSS: sys.datasource.css resources 否 Array of Objects JSON对象列表，填写用户已上传到队列的类型为JSON的资源包名和类型。具体请见表4。 groups 否 Array of Objects JSON对象列表，填写用户组类型资源，格式详见请求示例。如果“resources”中的“name”未进行type校验，只要此分组中存在这个名字的包即可。具体请见表5。 conf 否 Object batch配置项，参考Spark Configuration。 name 否 String 创建时用户指定的批处理名称，不能超过128个字符。 driverMemory 否 String Spark应用的Driver内存，参数配置例如2G, 2048M。该配置项会替换“sc_type”中对应的默认参数，使用时必需带单位，否则会启动失败。 driverCores 否 Integer Spark应用Driver的CPU核数。该配置项会替换sc_type中对应的默认参数。 executorMemory 否 String Spark应用的Executor内存，参数配置例如2G, 2048M。该配置项会替换“sc_type”中对应的默认参数，使用时必需带单位，否则会启动失败。 executorCores 否 Integer Spark应用每个Executor的CPU核数。该配置项会替换sc_type中对应的默认参数。 numExecutors 否 Integer Spark应用Executor的个数。该配置项会替换sc_type中对应的默认参数。 obs_bucket 否 String 保存Spark作业的obs桶名，需要保存作业时配置该参数。 auto_recovery 否 Boolean 是否开启重试功能，如果开启，可在Spark作业异常失败后自动重试。默认值为“false”。 max_retry_times 否 Integer 最大重试次数。最大值为“100”，默认值为“20”。 feature 否 String 作业特性。表示用户作业使用的Spark镜像类型。 basic：表示使用DLI提供的基础Spark镜像。 custom：表示使用用户自定义的Spark镜像。 ai：表示使用DLI提供的AI镜像。 spark_version 否 String 作业使用Spark组件的版本号。 如果当前Spark组件版本为2.3.2，则不填写该参数。 如果当前Spark组件版本为2.3.3，则在“feature”为“basic”或“ai”时填写。若不填写，则使用默认的Spark组件版本号2.3.2。 image 否 String 自定义镜像。格式为：组织名/镜像名:镜像版本。 当用户设置“feature”为“custom”时，该参数生效。用户可通过与“feature”参数配合使用，指定作业运行使用自定义的Spark镜像。关于如何使用自定义镜像，请参考《数据湖探索用户指南》。 catalog_name 否 String 访问元数据时，需要将该参数配置为dli。 表3 资源类型说明 资源类型 物理资源 driverCores executorCores driverMemory executorMemory numExecutor A 8核32G内存 2 1 7G 4G 6 B 16核64G内存 2 2 7G 8G 7 C 32核128G内存 4 2 15G 8G 14 表4 resources参数说明 参数名称 是否必选 参数类型 说明 name 否 String 资源名称。也支持指定OBS路径，例如：obs://桶名/包名。 type 否 String 资源类型。 表5 groups参数说明 参数名称 是否必选 参数类型 说明 name 否 String 用户组名称。 resources 否 Array of Objects 用户组资源。具体请参考表4。

响应示例 { "is_success": "true", "message": "作业列表查询成功", "job_list": { "total_count": 26, "jobs": [ { "job_id": 146, "name": "aaaaa", "desc": "", "user_name": "", "job_type": "flink_sql_job", "status": "job_init", "status_desc": "", "create_time": 1578892414688, "duration": 0, "root_id": -1, "graph_editor_enabled": false, "has_savepoint": false } ] } }

响应消息 表3 响应参数说明 参数名称 是否必选 参数类型 说明 is_success 否 String 执行请求是否成功。“true”表示请求执行成功。 message 否 String 系统提示信息，执行成功时，信息可能为空。 job_list 否 Object 作业列表信息。请参见表4。 表4 job_list参数说明 参数名称 是否必选 参数类型 说明 total_count 否 Integer 作业查询结果条数。 jobs 否 Array of Objects 作业信息。请参见表5。 表5 Jobs参数说明 参数名称 是否必选 参数类型 说明 job_id 否 Long 作业ID。 name 否 String 作业名称。长度限制：0-57个字符。 desc 否 String 作业描述。长度限制：0-512个字符。 user_name 否 String 用户名，当“show_detail”为“false”时独有。 job_type 否 String 作业类型。 flink_sql_job：flink sql作业 flink_opensource_sql_job：flink opensource sql作业 flink_sql_edge_job：flink sql边缘作业 flink_jar_job：flink自定义作业 status 否 String 作业状态。 status_desc 否 String 作业状态描述。 create_time 否 Long 作业创建时间。 start_time 否 Long 作业启动时间。“0”表示尚未启动。 duration 否 Long 作业运行时长。 单位ms，“show_detail”为“false”时独有。 root_id 否 Long 父作业ID。“show_detail”为“false”时独有。 graph_editor_enabled 否 Boolean 作业的流图是否可编辑。“true”表示作业的流图可以编辑，“false”表示作业的流图不可以编辑。 has_savepoint 否 Boolean 作业是否有保存点。“true”表示作业有保存点，“false”表示作业没有保存点。 user_id 否 String 作业所属用户标识。 “show_detail”为“true”时独有。 project_id 否 String 作业所属项目标识。 “show_detail”为“true”时独有。 sql_body 否 String Stream SQL语句。 “”“show_detail”为“false”时独有。 run_mode 否 String 作业运行模式。包括共享、独享模式和边缘节点。“show_detail”为“true”时独有。 shared_cluster：共享 exclusive_cluster：独享 edge_node：边缘节点 job_config 否 Object 作业配置。 “show_detail”为“false”时独有。具体参数说明请参见表6。 main_class 否 String jar包主类。“show_detail”为“false”时独有。 entrypoint_args 否 String jar包作业运行参数。多个参数之间用空格分隔。“show_detail”为“true”时独有。 execution_graph 否 String 作业执行计划。“show_detail”为“false”时独有。 update_time 否 Long 作业更新时间。“show_detail”为“false”时独有。 queue_name 否 String 队列名称。 edge_group_ids 否 Array of Strings 边缘计算组ID列表。多个ID以逗号分隔。 restart_times 否 Integer 重启次数。 savepoint_path 否 String 手动产生的Checkpoint的保存路径。 表6 job_config参数说明 参数名称 是否必选 参数类型 说明 checkpoint_enabled 否 Boolean 是否开启作业自动快照功能。 true：开启 false：关闭 默认为“false”。 checkpoint_mode 否 String 快照模式,。两种可选： exactly_once：数据只被消费一次。 at_least_once：数据至少被消费一次。 默认值为“exactly_once”。 checkpoint_interval 否 Integer 快照时间间隔。 单位为秒，默认值为“10”。 log_enabled 否 Boolean 是否启用日志存储。默认为“false”。 obs_bucket 否 String OBS桶名。 smn_topic 否 String SMN主题名。当作业异常时，向该SMN主题推送告警信息。 root_id 否 Integer 父作业ID。 edge_group_ids 否 Array of Strings 边缘计算组ID列表。多个ID以逗号分隔。 manager_cu_number 否 Integer 管理单元CU数。默认为“1”。 cu_number 否 Integer 用户为作业选择的CU数量。 “show_detail”为“true”时独有。 最小值：2 最大值：400 默认为“2”。 parallel_number 否 Integer 用户设置的作业并行数。 “show_detail”为“true”时独有。 最小值：1 最大值：2000 默认为“1”。 restart_when_exception 否 Boolean 是否开启异常重启功能。 idle_state_retention 否 Integer 空闲状态过期周期。 udf_jar_url 否 String 用户已上传到DLI资源管理系统的程序包名，用户sql作业的udf jar通过该参数传入。 dirty_data_strategy 否 String 作业脏数据策略。 “2:obsDir”：保存，obsDir表示脏数据存储路径。 “1”：抛出异常。 “0”：忽略。 entrypoint 否 String 用户已上传到DLI资源管理系统的程序包名，用户自定义作业主类所在的jar包。 dependency_jars 否 Array of Strings 用户已上传到DLI资源管理系统的程序包名，用户自定义作业的其他依赖包。 dependency_files 否 Array of Strings 用户已上传到DLI资源管理系统的资源包名，用户自定义作业的依赖文件。 executor_number 否 Integer 作业使用计算节点个数。 executor_cu_number 否 Integer 计算节点cu数。 resume_checkpoint 否 Boolean 异常自动重启时，是否从最新checkpoint恢复。默认值为“false”。 runtime_config 否 String Flink作业运行时自定义优化参数。 graph_editor_enabled 否 Boolean 流图编辑开关。默认为“false”。 graph_editor_data 否 String 流图编辑数据。默认为null。 resume_max_num 否 Integer 异常重试最大次数。-1代表无限。 checkpoint_path 否 String 检查点保存路径。 config_url 否 String 用户上传的config包OBS路径。 tm_cus 否 int 单TM所占CU数。 tm_slot_num 否 int 单TM Slot数。 image 否 String 自定义镜像。格式为：组织名/镜像名:镜像版本。 当用户设置“feature”为“custom”时，该参数生效。用户可通过与“feature”参数配合使用，指定作业运行使用自定义的Flink镜像。关于如何使用自定义镜像，请参考《数据湖探索用户指南》。 feature 否 String 自定义作业特性。表示用户作业使用的Flink镜像类型。 basic：表示使用DLI提供的基础Flink镜像。 custom：表示使用用户自定义的Flink镜像。 flink_version 否 String Flink版本。当用户设置“feature”为“basic”时，该参数生效。用户可通过与“feature”参数配合使用，指定作业运行使用的DLI基础Flink镜像的版本。 operator_config 否 String 各算子并行度参数，以json的形式展示各算子id和并行度。 static_estimator_config 否 String 静态流图资源预估参数，以json的形式展示。 real_cu_number 否 Integer 实际使用的CU数。默认值为“0”，表示此时以“cu_number”的值为准。