华为云用户手册

稳定性 对于两阶段提交的事务，要及时提交或回滚，防止导致数据库膨胀。 选择业务低峰期变更表结构，如添加字段，索引操作。 业务高峰期创建索引时，建议使用CONCURRENTLY语法，并行创建索引，不堵塞表的DML。 业务高峰期修改表结构，要提前进行测试，防止表的REWRITE。 DDL操作需要设置锁等待超时时间，防止阻塞相关表的操作。 单个数据库库容量超过2T，需要考虑分库。 频繁访问的表，单表记录过2000万，或超过10GB，需要考虑分表或创建分区。 单个实例的表个数不超过2万，单个数据库表个数不超过4千。 PostgreSQL的备库、只读库单进程回放WAL日志，最大回放速度为50 MB/s~70 MB/s，因此需要控制主库数据写入压力在50 MB/s以下，避免备机、只读复制异常。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

资源监控 表1 资源监控基本概念 术语 说明 指标 指标是对资源性能的数据描述或状态描述，指标由命名空间、维度、指标名称和单位组成。 其中，命名空间特指指标的命名空间，可将其理解为存放指标的容器，不同命名空间中的指标彼此独立，因此来自不同应用程序的指标不会被错误地聚合到相同的统计信息中。维度是指标的分类，每个指标都包含用于描述该指标的特定特征，可以将维度理解为这些特征的类别。 主机 AOM的每一台主机对应一台虚拟机或物理机。主机可以是您自己的虚拟机或物理机，也可以是您通过华为云购买的虚拟机（例如：弹性云服务器，简称ECS）或物理机（例如：裸金属服务器，简称BMS）。只要主机的操作系统满足AOM支持的操作系统，且主机已安装ICAgent，即可将主机接入到AOM中进行监控。 日志 AOM提供了海量运行日志的检索和分析功能，支持日志采集、下载、转储、搜索，并提供报表分析、SQL查询、实时监控、关键词告警等能力。 AOM的基础版和按需版所对应的日志存储时长、大小和计费方式不同，详见收费详情。 日志流量 日志流量指的是每秒上报的日志大小。每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 告警 告警是指AOM、ServiceStage、CCE、APM等服务在异常情况或在可能导致异常情况下上报的信息，告警会引起业务异常，您需要对告警进行处理。 事件 事件是指AOM、ServiceStage、CCE、APM等服务发生了某种变化，但不一定会引起业务异常，事件一般用来表达一些重要信息。您不用对事件进行处理。 告警清除 告警清除方式包括自动清除和手动清除两种。 自动清除：产生告警的故障消除后，AOM会自动清除告警，您不需要做任何操作。 手动清除：产生告警的故障消除后，AOM不会自动清除告警，您需要手动清除告警。 告警规则 告警规则分为指标告警规则和事件告警规则两种。 通过指标告警规则，实时监控环境中主机、组件等资源使用情况。 当资源使用告警过多，告警通知过于频繁时，通过事件告警规则，简化告警通知，快速识别服务的某一类资源使用问题并及时解决。 告警通知 告警通知有2种方式： 直接告警：在配置告警规则的时候，可以配置告警通知规则，将告警信息通过相关人，以便提醒相关人员及时采取措施清除故障。告警方式包括邮件、短信、钉钉、企业微信、语音等方式。 告警降噪：选择告警降噪的分组规则进行告警降噪。 告警行动规则 告警行动规则定义产生告警之后，按照规则做何种动作。包括消息发送到哪里和以什么形式发送。消息发送到哪里通过华为云服务SMN主题设置。 Prometheus实例 Prometheus监控功能提供的管理Prometheus数据采集和数据存储分析的逻辑单元。 Prometheus探针 部署在用户侧或者云产品侧Kubernetes集群。负责自动发现采集目标、采集指标和远程写到其他库。 Exporter 一个采集监控数据并通过Prometheus监控功能规范对外提供数据的组件。目前有上百个官方或者第三方 Exporter可供使用，具体请参见Exporter详情。 Job 一组Target的配置集合。定义了抓取间隔，访问限制等作用于一组Target的抓取行为。 父主题： 基本概念

AOM与CES的云服务监控功能对比 本章节主要对比AOM 2.0的云服务监控与CES的云服务监控功能差异。 AOM的指标数据来源于CES。AOM的指标数据为Prometheus格式，CES为自定义格式。AOM与CES的云服务监控功能对比如表1所示。 表1 AOM的云服务监控与CES的云服务监控功能对比 功能 CES云监控 AOM 2.0云监控 跨账号统一监控 不支持 支持 自定义数据存储时长 不支持（默认可存储3个月）。 支持（最长367天）。 数据导出 支持导出近3个月聚合数据。 支持导出近48个小时原始数据。 支持仪表盘、API导出。 支持数据写入kafka。 聚合查询 不支持聚合查询，仅支持简单查询。 支持多实例聚合查询，例如：按标签、按资源组等聚合。 PromQL语法 不支持 支持，告警规则、仪表盘、指标浏览等监控功能均支持。 仪表盘 支持标准云产品的单实例大盘。 提供丰富的预置模板。 仪表盘支持的图表类型 2 8+ 仪表盘支持的监控视图数 50 100+ 创建告警规则数 仅支持1000。 默认3000+，最多支持10000+。 告警模板可添加告警规则数 仅支持50。 支持添加20+云服务，每个云服务支持添加100+告警规则。 历史告警保存时间 7天。 1年。 单次创建告警规则可选择的被监控对象数 5000 不限制，支持全部资源、正则匹配、精准匹配。 聚合告警 不支持 支持基于PromQL语法的聚合告警，例如：按CDN总带宽、EIP总带宽和OBS存储等条件聚合告警。 对接线下Grafana 不支持 支持以Prometheus数据源的方式直接对接到线下Grafana。 对接线下自建Prometheus 不支持 支持数据直接写入自建Prometheus。 业务监控 不支持 支持基于Prometheus、LTS日志和自定义渠道的业务监控。 应用监控 不支持 支持对JVM、Spring、Nginx、Tengine和Tomcat等的监控。 线下IDC监控 不支持 支持基于Prometheus Exporter的线下硬件、存储和网络等监控。 线下中间件监控 不支持 支持对线下MongoDB、Redis和RocketMQ等中间件的监控。

云容器引擎服务 云容器引擎服务（Cloud Container Engine，简称CCE）是提供高性能可扩展的容器服务，基于云服务器快速构建高可靠的容器集群，深度整合网络和存储能力，兼容Kubernetes及Docker容器生态。帮助您轻松创建和管理多样化的容器工作负载，并提供容器故障自愈，监控日志采集，自动弹性扩容等高效运维能力。 通过AOM界面您可监控CCE的基础资源和运行在其上的应用，同时在AOM界面还可查看相关的日志和告警。

消息通知服务 消息通知服务（Simple Message Notification，简称SMN）可以依据您的需求主动推送通知消息，最终您可以通过短信、电子邮件、应用等方式接收通知信息。您也可以在应用之间通过消息通知服务实现应用的功能集成，降低系统的复杂性。 AOM使用SMN提供的消息发送机制，当您因不在现场而无法通过AOM查询阈值规则状态的变更信息时，能及时将该变更信息以邮件或短信的方式发送给相关人员，以便您及时获取资源运行状态等信息并采取相应措施，避免因资源问题造成业务损失。详细内容请参见创建指标告警规则。

资源编排服务 资源编排服务（Resource Formation Service，简称RFS）通过图形化设计器，直观便捷的进行云服务资源开通和应用部署，将复杂的云服务资源配置和应用部署配置通过模板描述，从而实现一键式云资源与应用的开通与复制；同时在示例模板中提供了海量的免费应用模板，覆盖各热点云服务应用场景，方便您直接使用或为您设计个性化模板提供参考。 通过AOM界面您可监控RFS的基础资源和运行在其上的应用，同时在AOM界面还可查看相关的日志和告警。

弹性云服务器 弹性云服务器（Elastic Cloud Server，简称ECS）是由CPU、内存、镜像、云硬盘组成的一种可随时获取、弹性可扩展的计算服务器，同时它结合虚拟私有云、虚拟防火墙、数据多副本保存等能力，为您打造一个高效、可靠、安全的计算环境，确保您的服务持久稳定运行。弹性云服务器创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云服务器。 您购买了弹性云服务器（弹性云服务器操作系统需满足表4中的使用限制，且购买后需要给弹性云服务器安装UniAgent，否则无法使用AOM监控）后，在AOM界面可对弹性云服务器的基础资源和运行在其上的应用进行监控，同时在AOM界面还可查看相关的日志和告警。

应用管理与运维平台 应用管理与运维平台（ServiceStage）是面向企业的一站式PaaS平台服务，提供应用云上托管解决方案，帮助企业简化部署、监控、运维和治理等应用生命周期管理问题；提供微服务框架，兼容主流开源生态，不绑定特定开发框架和平台，帮助企业快速构建基于微服务架构的分布式应用。 通过AOM界面您可监控ServiceStage的基础资源和运行在其上的应用，同时在AOM界面还可查看相关的日志和告警。

智能边缘平台 智能边缘平台（Intelligent EdgeFabric，简称IEF）通过纳管您的边缘节点，提供将云上应用延伸到边缘的能力，联动边缘和云端的数据，满足客户对边缘计算资源的远程管控、数据处理、分析决策、智能化的诉求，同时，在云端提供统一的设备/应用监控、日志采集等运维能力，为企业提供完整的边缘和云协同的一体化服务的边缘计算解决方案。 AOM提供对IEF资源的运维能力，无需额外安装其他插件，通过AOM您可监控IEF的资源（例如：边缘节点、应用、函数），同时在AOM还可以查看IEF资源的日志和告警。

裸金属服务器 裸金属服务器（Bare Metal Server，简称BMS）为您和您的企业提供专属的云上物理服务器，为核心数据库、关键应用系统、高性能计算、大数据等业务提供卓越的计算性能以及数据安全，结合云中资源的弹性优势，租户可灵活申请，按需使用。 您购买了裸金属服务器（裸金属服务器操作系统需满足表4中的使用限制，且购买后需要给裸金属服务器安装UniAgent，否则无法使用AOM监控）后，在AOM界面可对裸金属服务器的基础资源和运行在其上的应用进行监控，同时在AOM界面还可查看相关的日志和告警。

SDK列表 提供了iDME支持的SDK列表，您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导

开发环境 开发过程中，您有任何问题可以在华为云工业数字模型驱动引擎论坛中发帖求助。 从Oracle官网下载并安装推荐使用的JDK版本。 推荐使用的JDK版本：JDK 8 以上版本。 根据开发需要，下载并安装开发工具。 从Eclipse官网下载并安装Eclipse IDE for Java Developers最新版本。 从IntelliJ IDEA官网下载并安装IntelliJ IDEA开发工具。

操作步骤 在代码中注入Delegator和RestTemplate，并调用create方法创建数据实例。 import com.huawei.innovation.rdm.publishtest.delegator.XZTESTDelegator; import org.junit.jupiter.api.Test; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.boot.test.context.SpringBootTest; import org.springframework.web.client.RestTemplate; @SpringBootTest public class DMETest { @Autowired XZTESTDelegator xztestDelegator; @Autowired RestTemplate restTemplate; @Test public void createTest() { TenantUtil.setTenantId(444082253783236608L); // 设置当前操作的租户ID XZTESTCreateDTO createDTO = new XZTESTCreateDTO(); // 创建XZTEST数据实体的CreateDTO createDTO.setUid("123456"); createDTO.setUvalue("abc"); createDTO.setXzdate(new Timestamp(1672888888000L)); System.out.println(createDTO); XZTESTViewDTO viewDTO = xztestDelegator.create(createDTO); //采用实体代理类（xztestDelegator），调用create方法创建实例 TenantUtil.clearTenantId(); // 清除租户信息 System.out.println(viewDTO); //打印实例的所有信息 } }

MySQL或MariaDB不同版本之间的语法差异 对于源数据库和目标数据库的版本有差异的迁移和同步链路，由于不同版本之间的部分特性差异，可能会出现语法兼容性问题。 DRS接收到的源数据库Binlog日志中里保存的是原始的执行SQL语句，这些SQL语句将会直接在目标数据库中执行，如果目标数据库对于源数据库中执行SQL中有不支持的语法约束，那么DRS任务将会报错并失败。 例如以下几种源数据库和目标数据库的语法不兼容的场景（非全部场景）： 源数据库MySQL 5.7.34版本中执行create table t1 (id int, c1 varchar(16), FULLTEXT INDEX (c1 ASC)) ENGINE = INNODB创建表结构的DDL，该DDL在源数据库Binlog保存的为以上原生SQL，增量过程中在目标数据库MySQL 8.0.27版本中执行会报错，错误信息为“1221 - Incorrect usage of spatial/fulltext/hash index and explicit index order”, 错误原因为目标数据库MySQL 8.0.27版本不支持在全文索引上加排序语法规则。 源数据库MariaDB 10.5.8版本执行create table t1(id INT, c1 VARCHAR(32)) ENGINE = INNODB DEFAULT CHARSET = utf8mb4 COLLATE = utf8mb4_nopad_bin创建表结构的DDL，该DDL在源数据库Binlog保存的为以上原生SQL，增量过程中在目标数据库MySQL 8.0.27版本中执行会报错，错误信息为“1273 - Unknown collation: 'utf8mb4_nopad_bin'”，错误原因为目标数据库MySQL 8.0.27版本不支持utf8mb4_nopad_bin排序字符集。 源数据库MariaDB 10.5.8版本执行 create table t1(c1 INT, c2 VARCHAR(32) NOT NULL DEFAULT UUID()) ENGINE = INNODB创建表结构的DDL，该DDL在源数据库Binlog保存的为以上原生SQL，增量过程中在目标数据库MySQL 8.0.27版本中执行会报错，错误信息为“1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near UUID()”，错误原因为目标数据库MySQL 8.0.27版本不支持默认值为UUID()函数。 源数据库MariaDB 10.5.8版本执行 create table t1(c1 int, c2 inet6) ENGINE = INNODB 创建表结构的DDL，该DDL在源数据库Binlog保存的为以上原生SQL，增量过程中在目标数据库MySQL 8.0.27版本中执行会报错，错误信息为“1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near inet6”，错误原因为目标数据库MySQL 8.0.27版本不支持inet6类型。 父主题： 实时同步

表级补全日志ALL检查 针对用户选择的待同步的表级对象，检查补全日志是否满足要求。 在源库中执行以下sql语句。 select * from ALL_LOG_GROUPS where LOG_GROUP_TYPE='ALL COLUMN LOGGING' and OWNER='大写SCHEMA名' and TABLE_NAME='大写表名'; 该表名在查询结果中有记录，即可满足DRS增量同步要求。 如果不满足要求，可执行以下sql语句开启表级ALL级别补全日志。 alter database add supplemental log data; alter table SCHEMA名.表名 add supplemental log data(all) columns; 其中SCHEMA名.表名需要根据实际使用进行替换。

库级补全日志检查 针对待同步的库级对象，检查补全日志是否满足要求。 在源库执行以下sql语句。 select SUPPLEMENTAL_LOG_DATA_MIN MIN, SUPPLEMENTAL_LOG_DATA_PK PK, SUPPLEMENTAL_LOG_DATA_UI UI, SUPPLEMENTAL_LOG_DATA_ALL ALL_LOG from v$database; 满足以下其中一项要求即可。 PK和UI同时为YES，即可满足DRS增量同步要求。 如果不满足要求，可执行以下sql语句开启库级PK/UI级别补全日志。 alter database add supplemental log data(primary key, unique) columns; ALL_LOG为YES，即可满足DRS增量同步要求。 如果不满足要求，可执行以下sql语句开启库级ALL级别补全日志。 alter database add supplemental log data(all) columns;

表级补全日志PK/UI检查（最低要求） 针对用户选择的待同步的表级对象，检查补全日志是否满足要求。 在源库中执行以下sql语句。 select * from ALL_LOG_GROUPS where (LOG_GROUP_TYPE='UNIQUE KEY LOGGING' or LOG_GROUP_TYPE='PRIMARY KEY LOGGING') and OWNER='大写SCHEMA名' and TABLE_NAME='大写表名'; 该表名在查询结果中能同时对应到LOG_GROUP_TYPE值为UNIQUE KEY LOGGING和PRIMARY KEY LOGGING的两条记录，即可满足DRS增量同步要求。 如果不满足要求，可执行以下sql语句开启表级PK/UI级别补全日志。 alter database add supplemental log data; alter table SCHEMA名.表名 add supplemental log data(primary key,unique) columns; 其中SCHEMA名.表名需要根据实际使用进行替换。

场景描述 全量迁移或同步期间，日志界面提示信息：service DATAMOVE failed, cause by: retry structures failed events=the fail structures are [type=constraint_data, index=0, schema_name=DB, object_name=TABLE]reason:[Too many keys specified; max 64 keys allowed]。

PostgreSQL同步场景 表2 目标数据库用户权限是否足够 预检查项 目标数据库用户权限是否足够。 描述 按照需要同步对象的范围，授予不同的权限，有不同的要求。 库级同步： 如果目标库不是postgres，需要具有CREATEDB权限。 如果目标库是postgres，需要具有postgres库的CONNECT和CREATE权限、对模式public的USAGE和CREATE权限。 表级同步： 如果需要同步库，需要具有CREATEDB权限。 如果需要同步模式，需要具有模式所在库的CONNECT权限、模式所在库上的CREATE权限。 如果需要同步模式下的对象，需要具有模式所在库的CONNECT权限、对象所在模式的USAGE权限、对象所在模式上的CREATE权限。 同步用户：需要具有CREATEROLE权限。 同步用户权限：同步用户的default privilege需要为系统默认值，否则可能导致目标库与源库的对象权限不一致。 不通过提示及处理建议 不通过原因：填写的目标数据库用户权限不足，需要具备CREATEDB权限。 处理建议：在目标数据库执行如下语句，赋予迁移账号CREATEDB权限。 alter role username with createdb; 不通过原因：用户没有SCHEMA的USAGE权限。 处理建议：在目标数据库执行如下语句，赋予迁移账号CREATEDB权限。 grant usage on schema schemaname to username; 不通过原因：用户没有创建TABLE的权限。 处理建议：在目标数据库执行如下语句，赋予迁移账号创建TABLE权限。 grant create on schema schemaname to username; 不通过原因：用户没有创建SCHEMA的权限。 处理建议：在目标数据库执行如下语句，赋予迁移账号创建SCHEMA的权限。 grant create on database to username; 不通过原因：库级同步，目标库为PostgreSQL 15时，全量或增量同步的过程中，可能会因为目标库默认schema：public权限不足导致任务同步失败。 处理建议：如果是表级同步，可以在目标库创建数据库；如果是库级同步，可以在任务进入全量同步后，在目标库下授予目标库schema：public的USAGE和CREATE权限，参考SQL如下： grant usage,create on schema public to username;

MongoDB迁移、同步场景 表3 目标数据库用户权限是否足够 预检查项 目标数据库用户权限是否足够。 描述 检查用户提供的目标数据库账号权限是否符合迁移要求，若权限不够，会导致迁移失败。 不通过提示及处理建议 不通过原因：目标数据库连接失败，导致该项检查无法进行。 处理建议：查看目标数据库连接是否成功。 不通过原因：连接目标数据库的用户需要有admin的dbAdminAnyDatabase权限，有config的read权限，有目标数据库的readWrite权限。 处理建议：为连接目标数据库的用户赋权，参考： db.grantRolesToUser("用户名",[{role:"dbAdminAnyDatabase",db:"admin"}, {role:"read",db:"config"}, {role:"readWriteAnyDatabase",db:"admin"}]) 不通过原因：连接目标数据库的用户权限需要有待迁移库的readWrite权限。 处理建议：为连接目标数据库的用户赋权，参考： db.grantRolesToUser("用户名",[{role:"readWriteAnyDatabase",db:"admin"}]) 不通过原因：连接目标数据库的用户权限需要有config的read权限。 处理建议：为连接目标数据库的用户赋权，参考： db.grantRolesToUser("用户名",[{role:"read",db:"config"}]) 不通过原因：连接目标数据库的用户权限需要有admin的dbAdminAnyDatabase权限。 处理建议：为连接目标数据库的用户赋权，参考： db.grantRolesToUser("用户名",[{role:"dbAdminAnyDatabase",db:"admin"}]) 不通过原因：连接目标数据库的用户权限需要有admin的clusterManager权限。 处理建议：为连接目标数据库的用户赋权，参考： db.grantRolesToUser("用户名",[{role:"clusterManager",db:"admin"}])

MySQL灾备场景 表8 目标数据库用户权限是否足够 预检查项 目标数据库用户权限是否足够。 描述 查用户提供的目标数据库账号权限是否符合迁移要求，若权限不够，会导致灾备失败。 不通过提示及处理建议 不通过原因：目标数据库权用户限不足，需要具备GRANT权限。 处理建议：在目标库执行如下语句，为用户赋予相应权限后重试。 GRANT SELECT, CREATE, DROP, DELETE, INSERT, UPDATE, SHOW VIEW, EVENT, LOCK TABLES, REPLICATION SLAVE, REPLICATION CLIENT ON *.* TO 'u1' WITH GRANT OPTION;

目标库为GaussDB同步场景 表10 源数据库用户权限是否足够 预检查项 源数据库用户权限是否足够。 描述 检查用户提供的源数据库账号权限是否符合迁移要求。 不通过提示及处理建议 不通过原因：连接源数据库的用户权限不足，用户需要具备schema的select权限。 处理建议：请使用对象的Owner用户或者系统管理员用户授予缺少的权限。 不通过原因：使用COPY接口同步数据时，用户缺少相关系统表 public.gs_copy_summary，public.pgxc_copy_error_log的权限。 处理建议：请使用对象的Owner用户或者系统管理员用户授权。赋权参考命令: grant all privileges on table public.os copy summary.public.pgxc copy error_log to user1;

注意事项 一个订单只能使用一张代金券。支付订单时，如果有多张代金券可用，勾选您要使用某张代金券，或单击“取消”选择不用代金券。 一张代金券支付完订单后，如果仍有余额，在代金券有效期内，余额可下次使用。如果代金券金额不够支付订单，需要用现金账号补充支付。 包年/包月类型的代金券仅在订购包年包月产品时使用；按需类型的代金券仅用于按使用量计费的产品，从账户中扣取按需费用时会优先抵扣代金券；通用券既能用于包年包月产品，也能用于按需产品。 代金券仅适用于华为云产品，不适用于云商店产品，具体以代金券适用说明为准。 代金券不能用来核销欠费。 仅支持查询失效时间是6个月内的代金券。 设置了“订单折扣限制”的代金券不适用于享受了商务授权折扣的产品。 对于允许退订的订单，在5天之内（含5天）退订时，代金券可退；其它情况，代金券使用后不可退。

对等连接 对等连接是建立在两个VPC之间的网络连接，不同VPC之间网络不通，通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 对等连接用于连通同一个区域的VPC，如果您要连通不同区域的VPC，请使用云连接。 您可以通过对等连接构建不同的组网，常见的使用示例请参见对等连接使用示例。 接下来，通过图1中简单的组网示例，为您介绍对等连接的使用场景。 在区域A内，您的两个VPC分别为VPC-A和VPC-B，VPC-A和VPC-B之间网络不通。 您的业务服务器ECS-A01和ECS-A02位于VPC-A内，数据库服务器RDS-B01和RDS-B02位于VPC-B内，此时业务服务器和数据库服务器网络不通。 您需要在VPC-A和VPC-B之间建立对等连接Peering-AB，连通VPC-A和VPC-B之间的网络，业务服务器就可以访问数据库服务器。 图1 对等连接组网示意图 父主题： 基本概念

安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。以图1为例，在区域A内，某客户有一个虚拟私有云VPC-A和子网Subnet-A，在子网Subnet-A中创建一个云服务器ECS-A，并为ECS-A关联一个安全组Sg-A来保护ECS-A的网络安全。 安全组Sg-A的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECS-A。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECS-A。 当ECS-A需要通过EIP访问公网时，由于安全组Sg-A的出方向规则允许所有流量从实例流出，因此ECS-A可以访问公网。 图1 安全组架构图 父主题： 基本概念

路由 您可以在默认路由表和自定义路由表中添加路由，路由包括目的地址、下一跳类型、下一跳地址等信息，来决定网络流量的走向。路由分为系统路由和自定义路由。 系统路由：系统自动添加且无法修改或删除的路由。 创建路由表后，系统会自动在路由表中添加如下的系统路由，表示VPC内实例互通。 目的地址是100.64.0.0/10、198.19.128.0/20的路由。 目的地址是子网网段的路由。 您在创建子网时，开启IPv6功能，系统将自动为当前子网分配IPv6网段，就可以在路由表中看到IPv6路由。子网网段目的地址示例如下： IPv4地址：192.168.2.0/24。 IPv6地址：2407:c080:802:be7::/64。 除以上系统路由外，系统还会自动添加目的地址是127.0.0.0/8的路由，表示本地回环地址。 自定义路由：可以修改和删除的路由。自定义路由的目的地址不能与系统路由的目的地址重叠。 您可以通过添加自定义路由来自定义网络流量的走向，您需要指定目的地址、下一跳类型、下一跳地址。支持的下一跳类型如表1所示。 您无法在VPC路由表中添加目的地址相同的两条路由，即使路由的下一跳类型不同也不行。因此不论路由的下一跳是何种类型，路由的优先级均取决于目的地址，遵循最长匹配原则，即优先选择匹配度更高的目的地址进行路由转发。 表1 下一跳类型 下一跳类型 说明 支持添加该类型路由的路由表 服务器实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 默认路由表 自定义路由表 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 默认路由表 自定义路由表 裸金属服务器自定义网络 将指向目的地址的流量转发到一个裸金属服务器自定义网络。 自定义路由表 VPN网关 将指向目的地址的流量转发到一个VPN网关。 自定义路由表 云专线网关 将指向目的地址的流量转发到一个云专线网关。 自定义路由表 云连接 将指向目的地址的流量转发到云连接。 自定义路由表 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 默认路由表 自定义路由表 NAT网关 将指向目的地址的流量转发到一个NAT网关。 默认路由表 自定义路由表 对等连接 将指向目的地址的流量转发到一个对等连接。 默认路由表 自定义路由表 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 默认路由表 自定义路由表 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 默认路由表 自定义路由表 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 默认路由表 自定义路由表 企业路由器 将指向目的地址的流量转发到一个企业路由器。 默认路由表 自定义路由表 云防火墙 将指向目的地址的流量转发到一个云防火墙。 默认路由表 自定义路由表 互联网网关 将指向目的地址的流量转发到一个互联网网关。 默认路由表 自定义路由表 个别由系统下发的路由可供用户修改和删除，这取决于创建对端服务时是否已设置目的地址。 例如，创建NAT网关时，系统会自动下发一条自定义类型的路由，没有明确指定目的地址（默认为0.0.0.0/0）,此时用户可修改该目的地址。而创建VPN网关时，可以指定远端子网，也就是路由表的目的地址，系统将下发系统类型的路由。如果在路由表页面更改路由将会导致与对端数据不一致，您可以前往对端服务页面修改远端子网来调整路由表中的路由规则。

优势对比 虚拟私有云相比传统IDC的优势如表1所示。 表1 虚拟私有云与传统IDC对比 对比项 虚拟私有云 传统IDC 部署周期 用户无需工程规划，布线等复杂工程部署的工作。 用户基于业务需求在华为云上自主规划私有网络、子网和路由。 用户需要自行搭建网络并进行测试，整个周期很长，而且需要专业技术支持。 总成本 华为云网络服务提供了多种灵活的计费方式，加上客户无需前期投入和后期网络运维，整体上降低了TCO。 用户需要机房、供电、施工、硬件物料等固定重资产投入，也需要专业的运维团队来保障网络安全。随着业务变化，资产管理成本也会随之上升。 灵活性 华为云提供多种网络服务，用户可以根据具体需求搭配服务。当业务发展需要更多的网络资源（如带宽资源）时，可以方便快捷的进行动态扩展。 业务部署需要严格遵守前期网络规划，当业务需求发生变化时，无法便捷的动态调整网络。 安全性 VPC逻辑隔离，结合网络控制网络ACL、安全组功能和DDoS等安全服务，保障了云上资源的安全使用。 网络很难得到专业维护，安全性较差，需要配置专业的网络安全人员来看护。

互联互通 默认情况下，VPC与公网是不能通信访问的，可以使用弹性公网IP、弹性负载均衡、NAT网关、虚拟专用网络、云专线等多种方式连接公网。 默认情况下，两个VPC之间也是不能通信访问的，可以使用对等连接的方式，使用私有IP地址在两个VPC之间进行通信。 对于云上和云下网络二层互通问题，企业交换机支持二层连接网关功能，允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。 提供多种连接选择，满足企业云上多业务需求，让您轻松部署企业应用，降低企业IT运维成本。

VPC权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPC部署时通过物理区域划分。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华东-上海一）对应的项目（cn-east-3）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPC服务，管理员能够控制IAM用户仅能对某一类网络资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，虚拟私有云（VPC）支持的API授权项请参见策略及授权项说明。 如表1所示，包括了VPC的所有系统权限。 表1 VPC系统权限 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖云日志服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 表2列出了VPC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 VPCReadOnlyAccess VPC Administrator VPC FullAccess 创建VPC x √ √ 修改VPC x √ √ 删除VPC x √ √ 查看VPC √ √ √ 创建子网 x √ √ 查看子网 √ √ √ 修改子网 x √ √ 删除子网 x √ √ 创建安全组 x x √ 查看安全组 √ x √ 修改安全组 x x √ 删除安全组 x x √ 添加安全组规则 x x √ 查看安全组规则 √ x √ 修改安全组规则 x x √ 删除安全组规则 x x √ 创建网络ACL x √ √ 查看网络ACL √ √ √ 修改网络ACL x √ √ 删除网络ACL x √ √ 添加网络ACL规则 x √ √ 修改网络ACL规则 x √ √ 删除网络ACL规则 x √ √ 创建对等连接 x √ √ 修改对等连接 x √ √ 删除对等连接 x √ √ 查询对等连接 √ √ √ 接受对等连接 x √ √ 拒绝对等连接 x √ √ 创建路由表 x √ √ 删除路由表 x √ √ 修改路由表 x √ √ 将路由表关联至子网 x √ √ 添加路由 x √ √ 修改路由 x √ √ 删除路由 x √ √ 创建VPC流日志 x √ √ 查看VPC流日志 √ √ √ 开启/关闭VPC流日志 x √ √ 删除VPC流日志 x √ √ 对于企业项目用户，您可以对属于该企业项目的资源进行权限范围内的操作。