华为云用户手册

产品优势 虚拟专用网络具有以下几大产品优势： 更安全 基于IKE、IPsec对传输数据加密，保证用户数据传输安全。 VPN支持为每个用户创建独立的VPN网关，提供租户网关隔离防护能力。 支持国密型网关，遵循《GB∕T 36968-2018 信息安全技术 IPSec VPN技术规范》。 高可用 双连接：网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 双活网关：双活网关部署在不同的AZ区域，实现AZ级高可用保障。 主备模式：正常情况下，VPN网关和对端网关通过主连接进行通信；当主连接发生故障时，VPN连接会自动切换到备连接；故障恢复后，VPN连接会自动切回到主连接。 低成本 利用Internet构建IPsec加密通道，使用费用相对云专线服务更便宜。 支持绑定同一共享带宽下的EIP实例，从而节省带宽使用成本。 支持在创建EIP实例时，按需配置带宽大小。 灵活易用 支持多种连接模式：一个网关支持配置策略、静态路由和BGP路由多种连接模式，满足不同对端网关的接入需要。 支持分支互访：支持云上VPN网关作为VPN Hub，云下站点通过VPN Hub实现分支互访。 即开即用：部署快速，实时生效，在用户数据中心的VPN设备进行简单配置即可完成对接 关联企业路由器（Enterprise Router, ER）：企业可以构建更加丰富的云上网络。 专线互备：支持和云专线（DC）互备，故障自动切换。 支持私网类型网关：对专线私有网络进行加密传输，提升数据传输安全。

操作步骤 登录防火墙设备的命令行配置界面。 查看防火墙版本信息。 display version 17:20:502017/03/09 Huawei Versatile Security Platform Software Software Version: USG6600 V100R001C30SPC300(VRP (R) Software，Version 5.30) 创建ACL并绑定到对应的VPN instance。 acl number 3065 vpn-instance vpn64 rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 q 创建ike proposal。 ike proposal 64 dh group5 authentication-algorithm sha1 integrity-algorithm hmac-sha2-256 sa duration 3600 q 创建ike peer，并引用之前创建的ike proposal，其中对端IP地址是1.1.1.1。 ike peer vpnikepeer_64 pre-shared-key ********（********为您输入的预共享密码） ike-proposal 64 undo version 2 remote-address vpn-instance vpn64 1.1.1.1 sa binding vpn-instance vpn64 q 创建IPsec协议。 IPsec proposal IPsecpro64 encapsulation-mode tunnel esp authentication-algorithm sha1 q 创建IPsec策略，并引用ike policy和IPsec proposal。 IPsec policy vpnIPsec64 1 isakmp security acl 3065 pfs dh-group5 ike-peer vpnikepeer_64 proposal IPsecpro64 local-address xx.xx.xx.xx q 将IPsec策略应用到相应的子接口上去。 interface GigabitEthernet0/0/2.64 IPsec policy vpnIPsec64 q 测试连通性。 在上述配置完成后，我们可以利用您在云中的主机和您数据中心的主机进行连通性测试，如下图图1所示。 图1 连通性测试

企业项目权限说明 管理员用户权限：可以对企业项目管理页面的所有菜单项执行任意操作。 IAM用户权限：IAM用户的操作由管理员用户授权，登录企业项目管理页面后，仅显示管理员用户分配给IAM用户有权管理的企业项目信息，只能操作管理员用户分配的资源。若管理员用户为IAM用户设置了具体的权限策略，则IAM用户可以拥有策略内容中对应的权限。 管理员用户可以通过系统策略或自定义策略为IAM用户设置具体权限，目前与企业项目相关的策略主要包括EPS FullAccess、EPS ReadOnlyAccess和Enterprise Project BSS FullAccess。您可以通过统一身份认证服务给IAM用户配置企业项目相关权限，详见《统一身份认证服务用户指南》。 当前企业项目权限管理功能已迁移至统一身份认证服务，您可在统一身份认证服务控制台为用户、用户组进行基于企业项目的授权操作，具体请参见给IAM用户授权和创建用户组并授权。 表1 企业管理系统权限 服务名称 权限名称 权限说明 适用的典型人员 企业管理 EPS FullAccess 企业项目管理服务的所有权限，拥有该权限的用户可以创建企业项目、迁移资源、管理企业项目下资源的标签等。 企业资产管理员 EPS ReadOnlyAccess 企业项目管理服务的只读权限，拥有该权限的用户仅可以执行查询操作。 企业资产查询人员 Enterprise Project BSS FullAccess 企业项目支持的所有运营权限，具体包括以下权限： 查看企业项目资金配额的设置信息 查看和导出企业项目的消耗信息 查看企业项目资金配额的调整记录 查看企业项目的续费信息 开通/取消自动续费、手动续费、按需转包年/包月、释放资源 查看包年/包月资源的订单信息 为包年/包月资源下单 退订资源、查看资源退订记录 查看企业项目消费汇总 导出企业项目消费汇总 查看企业项目消费明细 导出企业项目消费明细 说明： 由于包年/包月产品的订单支付权限是账号级的，而Enterprise Project BSS FullAccess权限是针对IAM用户级别的，所以Enterprise Project BSS FullAccess权限不包括支付包年/包月产品的订单。 企业资产管理员 表2 常用操作与系统权限的关系 操作 EPS FullAccess EPS ReadOnlyAccess Enterprise Project BSS FullAccess 查看企业项目下资源 √ √ × 创建企业项目 √ × × 修改企业项目 √ × × 启用企业项目 √ × × 停用企业项目 √ × × 企业项目资源迁入 √ × × 企业项目资源迁出 √ × × 查看企业项目资金配额的设置信息 × × √ 查看企业项目资金配额的调整记录 × × √ 查看企业项目的续费信息 × × √ 开通/取消自动续费、手动续费、按需转包年/包月、释放资源 × × √ 查看包年/包月资源的订单信息 × × √ 为包年/包月资源下单 × × √ 退订资源、查看资源退订记录 × × √ 查看企业项目消费汇总 × × √ 导出企业项目消费汇总 × × √ 查看企业项目消费明细 × × √ 导出企业项目消费明细 × × √ 查看企业项目消耗分析 × × √ 导出企业项目消耗分析 × × √ 父主题： 权限说明

简介 企业项目管理（Enterprise Project Management Service，简称“EPS”），为客户提供与企业组织架构和业务管理模型匹配的云治理平台。以面向企业资源管理为出发点，帮助企业以公司、部门、项目等组织架构分级管理和项目业务结构来实现企业在云上的人、财、物、权、业务的管理，提供企业项目管理、资源管理、人员管理、财务管理、应用管理能力。 企业项目管理为免费服务，无需付费即可使用。

约束与限制 仅企业账号才可申请开通企业项目。 每个账号默认可以创建100个企业项目，如需调整企业项目最大配额请参见如何申请扩大配额？。企业项目数量的配额最大支持调整为256个。 已停用企业项目无法使用修改功能。 停用后的企业项目仍会占用企业项目配额，如果您的企业项目配额不足，建议您联系运维人员为您提供企业项目删除功能。 企业项目停用后在云服务创建页的“企业项目”中将不可见，无法迁入资源和添加用户组，如需再次使用，请重新启用该企业项目。 当未完成的订单包含该企业项目时，需完成订单后才可停用该企业项目。未完成的订单状态包括：待支付、处理中、待审核、待审批。 默认企业项目（default）无法编辑和停用。 测试类企业项目不支持停用操作。 目前不支持商用生产项目转测试类项目。 目前仅支持从商用生产项目到商用生产项目或测试类项目到测试类项目之间的资源迁移。 系统默认的企业项目“default”为商用生产项目，因此不支持在测试类项目与默认企业项目“default”之间进行资源迁移。 仅企业主账号或拥有Administor权限的IAM用户才可查看企业项目的资源迁入迁出事件。 企业项目的名称和描述的字符数限制，名称不超过255个字符，只能由中文、英文字母、数字、下划线、中划线组成，且不能使用任何大小写形式的“default”；描述不超过512个字符。 在企业项目管理中进行资源标签管理时，每个资源最多可以添加10个标签。 父主题： 项目管理

其他操作 修改名称及描述：在“企业项目群管理”页面，选择一条待修改的企业项目群，单击“操作”列的“修改名称”，即可修改该企业项目群的名称和描述信息。 管理项目列表：在“企业项目群管理”页面，选择一条待修改企业项目的企业项目群，单击“操作”列的“更多”，选择“管理项目列表”，即可修改该企业项目群中的企业项目。 解散企业项目群：在“企业项目群管理”页面，选择一条待删除的企业项目群，单击“操作”列的“更多”，选择“解散”，即可解散该企业项目群。 企业项目群被解散后，您将无法查看该企业项目群的财务信息，但是企业项目群中的成员不受影响，您仍可以在企业项目的财务信息中查看各企业项目的财务信息。

如何添加SAP监控大屏专用展示账号 管理员权限登录用户，在30分钟无操作情况下会自动断开，建议使用监控大屏专用展示账号。 添加SAP监控大屏专用展示账号可参考如下步骤： 登录华为云控制台。 单击右上方用户名下拉列表中“统一身份认证”。 系统进入“统一身份认证服务”页面。 创建用户组。 在左侧导航栏选择“用户组”。 单击页面右上方“创建用户组”。 设置“用户组名称”等信息。 单击“确定”。 创建监控大屏专用展示账号。 在左侧导航栏选择“用户”。 在页面右上方单击“创建用户”。 在“创建用户”页面设置用户信息。 其中“所属用户组”选择步骤2中所创建的用户组。具体设置步骤及约束请参见创建用户并登录。 单击“确定” 为所在用户组配置权限策略。 在左侧导航栏选择“用户组”。 在用户组列表中，单击已创建用户所属用户组右侧“权限配置”。 单击“配置权限”，为全局项目设置策略。 选中全局服务，勾选“Tenant Guest”。 单击“确定”。 为应用管理当前支持的所有区域设置策略。 选中区域级项目，选择对应区域级项目。 勾选“Tenant Guest”。 单击“确定”。 企业项目为全局服务，但SAP监控大屏调用云监控功能，云监控为Region级服务，所以需要对当前支持区域进行策略设置。 父主题： 常见问题

身份认证与访问控制 统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝他们对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。 企业项目管理服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的，定义了允许和拒绝的访问操作，以此实现云资源权限的访问控制。管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个用户组授予所需的权限，用户组内的用户自动继承用户组的所有权限。 父主题： 安全

财务托管模式 由企业主账号统一管理子账号的资金、账单及发票，子账号的消费统一由企业主账号支付。华为云统一开票给企业主账号。华为云的交易主体是企业主账号。 共享商务：企业主子间商务实现默认共享，避免客户重复申请企业子账号商务，大大降低客户成本。 统一支付：企业子无须通过企业主手工划拨现金、信用和代金券的方式进行消费，企业子消费统一由企业主支付，极大降低了客户的财务操作负担。同时支持费用可追溯能力，支撑客户财务安全合规诉求。 一站式账单管理：企业主可以查询所有子账号的账单，也支持将多个子账号账单合并至一个账单。 统一发票：企业主可针对单个企业子账号的消费开票，也可以所有企业子账号的费用合并开票，同时还支持按指定金额开票。 统一成本管理：支持企业主账号在组织内的统一管理所有企业子账号成本，提升集团企业客户的的成本管理效率。 统一预算管理：企业主可统一设置整个组织的消费预算，也可以针对企业子设置消费预算和阈值预警，实时统计消费并对企业主进行预警。同时提供限制子账号新购的能力，可以控制超预算企业子的消费。 统一成本预测：企业主可统一查看整个组织的成本预测，也可以查看名下某个企业子的成本预测。 统一成本分析：企业主可统一分析整个组织的成本和用量情况，也可以分析名下某个企业子的成本和用量情况。 统一成本监控：企业主可统一监控整个组织的成本异常情况，也可以监控某个企业子的成本异常情况。 统一成本优化：企业主可获取整个组织的成本优化建议，方便企业主全局优化各企业子的成本费用。

企业主账号为企业子账号设置的支付策略，影响企业子账号的哪些支付场景？ 支付策略支持如下两种方式： 自动支付：自动支付时自动匹配企业主的折扣或者代金券。详情请参考自动支付。 手动支付：子账号下单后在企业主费用中心生成支付订单，企业主登录后完成支付。 该支付策略，仅针对企业子用户手动触发的支付操作，如新购资源、手工续费资源等。对于系统自动触发的场景，如资源自动续费、通过调用OpenAPI接口实现下单时进行自动支付，不受此策略控制。 父主题： 财务托管

不同关联模式下，企业主子账号财务管理方案有哪些差异？ 针对直销客户或顾问销售类子客户，不同关联模式下企业主子账号财管管理方案差异说明如下表所示： 对比维度 财务托管（新模式） 财务独立（新模式） 关联还款（旧模式） 适用条件 相同实名认证企业主体的主子账号 相同实名认证主体的主子账号（可由主账号再次分配授信） 不同实名认证主体的主子账号（主子单独申请授信） 相同实名认证企业主体的主子账号 适用场景 相同企业内，主账号统一负责对接华为云还款，无需关注各子账号内部请款和还款顺序 企业内部财务独立 或 母/子/分公司间财务独立，每个子账号的对接人不同，自行开票内部请款后还款（自己请的款自己用，不得给其他子账号用） 不推荐 资金账户 各子账号没有独立的资金账户，统一在主账号设置资金账户 各子账号有资金账户，分别记账（账本） 各子账号有资金账户，分别记账（账本） 授信 主账号统一授信，不划拨；各财务托管的子账号共享 主账号统一授信，可再分配到相同实名认证的子账号。 主账号统一授信，划拨到子账号。 测试类代金券 模式1：统一发放到主账号，各财务托管的子账号共享 模式2：统一发放到主账号（但限制仅某个被托管的子账号消费抵扣） 模式1：统一发放到主账号，划拨到相同实名认证的子账号； 模式2：单独发放到子账号。 模式1：统一发放到主账号，划拨到相同实名认证的子账号； 模式2：单独发放到子账号。 商务类代金券 只会发放给主账号 模式1：各子账号单独申请商务，单独发放商务代金券； 模式2：各子账号继承主账号商务，只会给主账号发放商务代金券，主账号可自行决定是否划拨给相同实名认证的子账号使用。 模式1：各子账号单独申请商务，单独发放商务代金券； 模式2：各子账号继承主账号商务，只会给主账号发放商务代金券，主账号可自行决定是否划拨给相同实名认证的子账号使用。 商务优惠 若主账号已获得商务优惠时，统一使用主账号中的商务优惠。 模式1：各子账号单独申请商务优惠； 模式2：各子账号继承主账号商务优惠（相同实名认证时，主子自行决定；不同实名认证主体需经过华为云审批）。 模式1、各子账号单独申请商务优惠； 模式2、各子账号继承主账号商务优惠（相同实名认证时，主子自行决定；不同实名认证主体需经过华为云审批）。 支付 通过主账号中的信用额度支付； 通过主账号中的现金余额支付； 通过主账号中的代金券余额抵扣。 子账号分别用划拨的信用额度支付； 子账号独立充值支付； 子账号独立获得的代金券抵扣 （单独发放到子账号 或 由主账号划拨到子账号）。 各子账号分别支付： 使用划拨的信用额度支付； 使用划拨的代金券支付。 资源包 模式1：主子账号分别购买，分别使用资源包用量。 模式2：主账号购买，共享给子账号资源包用量。 主、子账号分别购买，分别使用资源包用量。 主、子账号分别购买，分别使用资源包用量。 出账 仅为主账号生成“主子账号消费”的盖电子章的账单（仅后付费时生成盖电子章的PDF账单）； 子账号仅可以查询消费明细，无电子章账单。 分别为主子账号生成盖电子章的账单（仅后付费时生成盖电子章的PDF账单）； 主账号账单不含子账号的消费。 分别为主子账号生成账单（仅后付费时生成盖电子章的PDF账单）； 主账号账单中可以列出子账号的消费。 消费查询 主账号可以查询自身和子账号的消费（无需特别权限）； 子账号可以查询自身消费。 主账号可以查询自身和子账号的消费（需勾选生效查询子账号消费权限）； 子账号可以查询自身的消费。 主账号可以查询自身和子账号的消费（需勾选生效查询子账号消费权限）； 子账号可以查询自身的消费。 开票 按所有财务托管主子账号实际消费累计开给主账号。 按各子账号实际消费，分别开给每个子账号。 按各子账号实际消费，分别开给每个子账号。 还款 统一向主账号的专属银行账号充值，自动核销。 模式1：各子账号往各自的专属银行账号充值（或在线充值）还款； 模式2：统一向主账号的专属银行账号充值，由主账号划拨充值余额到子账号还款。 向主账号充值，自动关联还款各个子账号。 统一按照先逾期，再按出账早晚顺序还款，无法指定各子账号账单核销顺序。 成本管理 企业主账号：统一管理企业主账号+企业子账号的成本，包括统一成本分析、统一预算跟踪、统一异常监控、统一成本建议等。 企业子账号：只能管理企业子账号本身在财务托管期间产生的成本，包括预算跟踪、异常监控、成本建议等。企业子账号取消关联成为普通客户后，仅可以管理非财务托管期间产生的成本。 企业主子账号各自管理各自账号下的成本，包括成本分析、预算跟踪、异常监控、成本建议等。 如果企业子账号向企业主账号授权了查看消费信息，则企业主账号也可以统一分析企业主账号+企业子账号的成本。 企业主子账号各自管理各自账号下的成本，包括成本分析、预算跟踪、异常监控、成本建议等。 如果企业子账号向企业主账号授权了查看消费信息，则企业主账号也可以统一分析企业主账号+企业子账号的成本。 与LandingZone解决方案关系 可配套LandingZone解决方案提供云财务管理能力。 LandingZone解决方案中，组织服务创建的账号缺省启用财务托管，创建的账号是资源账号，与官网注册的账号体验上有差别。 可配套LandingZone解决方案提供云财务管理能力。 LandingZone解决方案中，组织服务可邀请财务独立子账号，统一纳管资源。 不支持 父主题： 公共

步骤二：初始化WordPress 首次登录应用镜像管理页面需要初始化，后续可直接登录管理页面。 在服务器“概览”页“镜像信息”中，单击“管理”登录管理页面。 设置WordPress管理页面语言，单击“继续”。 设置网站标题、WordPress管理员用户名、密码和邮箱， 单击“安装WordPress”。 请妥善保管您的网站管理员用户名、密码和邮箱。当忘记密码时，可根据此邮箱重置密码。 输入管理员用户名密码，单击“登录”，登录WordPress管理页面。 至此，您已获得一台完备的WordPress应用云耀云服务器L实例。

步骤一：购买并配置云耀云服务器L实例 一、购买云耀云服务器L实例 进入购买云耀云服务器L实例页，对云服务器进行资源配置。 云耀云服务器L实例不定期推出优惠活动，购买前请您先前往官网页面查询。活动规则以届时官网活动页面展示为准。 参数 示例 说明 区域 华北-北京四 不同区域的云耀云服务器L实例之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 说明： 如果您需要多台L实例内网互通，购买时请选择同一区域。 同账号同区域的所有L实例默认处于同一个VPC中，内网互通。 不同账号、不同区域的L实例处于不同VPC中，内网不互通。L实例当前仅支持同账号同区域间的内网互通，不支持跨账号或跨区域间通过云连接、对等连接、VPN等进行内网互通。 镜像 WordPress应用镜像 云耀云服务器L实例提供以下两类镜像供您选择，本例选择WordPress应用镜像。在您实际使用中，请选择需要的镜像。 系统镜像：仅包含了初始操作系统，不包含任何应用数据和环境配置。选用系统镜像创建服务器后，服务器中是一个纯净的操作系统环境。您可以根据实例的业务需求自行安装应用。 应用镜像：包含应用及相关初始化数据、应用所需的运行环境及操作系统。选用应用镜像创建服务器后，您可以直接使用预置的应用程序，也可以根据实际的业务需求自定义应用配置。 实例规格 55.02/月 请选择您需要的实例规格。 实例名称 Wordpress-Example 可选，请自定义方便您识别的实例名称。 如果不填，则默认使用“镜像名称-区域-随机编码”命名。批量创建实例时，添加连续的数字作为后缀。 附加服务（可选） 数据盘、主机安全、云备份 根据需要选择数据盘、主机安全、云备份附加服务，并设置规格。 购买时长 1个月 勾选“自动续费” 单次购买最短为1个月，最长为3年。 支持自动续费功能。勾选后，在云耀云服务器L实例到期前自动续费。如果您购买时未开通自动续费，后续仍可以在控制台开通。 按月购买的资源：每次续费1个月 ，次数不限。 按年购买的资源：每次续费1年，次数不限。 关于自动续费的更多说明，请参考自动续费规则说明。 购买数量 1 设置您购买的云耀云服务器L实例数量。 单击“立即购买”，进入订单详情页面。 根据界面提示，请确认配置信息，阅读并勾选协议。 单击“去支付”，根据页面提示完成支付。 单击“返回华为云云耀云服务控制台”，查看已创建的云耀云服务器L实例。 待云耀云服务器L实例处于“运行中”状态后执行下面操作。 二、配置安全组 在左侧列表中选择“云耀云服务器L实例”菜单，单击云服务器名称，进入云服务器详情页面。 选择“安全组”页签，单击“添加规则”，添加如下规则，单击“确定”。 本例只添加常用规则，您可根据需要添加更多规则。 表1 安全组规则 优先级 策略 类型 协议端口 源地址 描述 100 允许 IPv4 TCP：3306 0.0.0.0/0 允许访问MySQL数据库。 100 允许 IPv4 TCP：9090 0.0.0.0/0 允许访问phpMyAdmin数据库管理工具。 100 允许 IPv4 TCP：80 0.0.0.0/0 允许使用HTTP协议访问应用管理页面。 100 允许 IPv4 TCP：443 0.0.0.0/0 允许使用HTTPS协议访问应用管理页面。 三、运行nginx_huaweicloud.sh脚本设置Nginx安全级别 查看应用镜像是否正常启动，正常启动后再执行步骤2。 返回云耀云服务器L实例管理页面，在“镜像信息”区域单击“管理”。 如果管理页面显示正常的引导界面，表示应用镜像已经正常启动。否则请耐心等待1~2分钟，稍后重试。 在页面右上角，选择更多按钮，单击“重置密码”。 根据界面提示，设置云服务器的新密码，并确认新密码。 运行中的云服务器需重启后新密码才能生效，默认勾选“自动重启”。 单击“确认”。 此时云服务器状态为“重启中”，待服务器状态为“运行中”时，继续如下步骤。 在页面右上角，单击“远程登录”。 根据界面提示，输入用户名密码登录云服务器。 用户名为root，密码为步骤2设置的密码。 执行如下命令，运行nginx_huaweicloud.sh脚本。 wget -N https://websoft9.github.io/stackhub/scripts/nginx_huaweicloud.sh && bash nginx_huaweicloud.sh 因为Nginx安全级别过高，可能导致部分镜像功能不可用。可通过运行nginx_huaweicloud.sh脚本解决。 四、（可选）添加并解析域名 如果您希望您的用户通过域名访问网站，请为服务器添加并解析域名。如果您仅为个人开发或测试使用，可以不添加域名，请跳过此步骤。 在左侧列表中单击“云耀云服务器L实例”，单击云服务器名称，进入云服务器详情页面。 选择“域名”页签，单击“添加域名”配置域名信息。 参数 说明 域名 输入绑定L实例的域名。例如wpwebsite.com。 说明： 待添加的域名未被注册也可以成功添加，但是添加后必须完成注册和备案，才能正常访问网站。为了保证添加的域名可以正常使用，建议您先注册域名并完成备案，再添加域名。 企业项目 从下拉列表中选择所在的企业项目。 公网域名关联的企业项目，用于将公网域名资源按照企业项目进行管理。 说明： 仅当用户使用的“账号类型”为“企业账号”时，显示该参数。 单击“确定”。 单击wpwebsite.com域名操作列表中的“解析域名”。 参数 说明 域名前缀 前缀和域名组成子域名。支持将域名或者子域名解析至当前公网IP。 例如，添加至服务器的域名为wpwebsite.com： 域名前缀为空，表示将域名wpwebsite.com解析至当前服务器公网IP。 域名前缀不为空，例如www，表示将www.wpwebsite.com子域名解析至当前服务器公网IP。 公网IP 系统自动读取当前云服务器的公网IP，无需配置。 在“域名”页签查看解析的域名。 备案域名。 要想通过域名成功访问服务器，必须备案域名。请在华为云备案中心备案此域名（免费），具体操作详见快速完成网站备案。

开启日志服务对接 登录GaussDB(DWS) 管理控制台。 单击“集群管理”。默认显示用户所有的集群列表。 在集群列表中，单击指定集群名称进入“集群详情”页面，左侧导航栏单击“日志服务”进入页签。 在“日志服务”页签，单击“云日志服务对接”开关，首次开启时，将弹出如下提示框，确认无误后，单击“是”，进行授权委托。 若已开启过LTS云日志服务对接，并授权该服务创建委托，再次开启时则无需授权操作。 默认情况下，只有华为云帐号或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。帐号中的IAM用户，默认没有查询委托和创建委托的权限，此时需联系有权限的用户在当前页面完成对GaussDB(DWS) 的委托授权。 开启LTS云日志服务对接时，还需授予用户LTS服务相关权限策略（LTS Admin、LTS Administrator、LTS FullAccess和LTS ReadOnlyAccess）。 开启云日志对接后，如下图所示。

修改公网域名 如果集群在创建时绑定了弹性IP，公网域名在创建集群时自动生成。集群创建成功后，用户可以根据实际需求修改公网域名。 修改公网域名的操作步骤如下： 登录GaussDB(DWS) 管理控制台。 在左侧导航栏中，单击“集群管理”。 在集群列表中找到所需要的集群，然后单击集群名称，进入“集群详情”页面。 在“连接信息”区域下，显示“公网域名”，单击“修改”。 图5 查看公网域名 在“修改公网域名”弹出窗口中，输入目标域名，单击“确定”。 图6 修改公网域名

创建公网域名 创建集群时默认不绑定弹性IP，即不启用公网访问集群。集群创建成功后，如果用户想通过公网访问集群，可以先为集群绑定弹性IP再创建公网域名。 默认情况下，只有华为云帐号或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。帐号中的IAM用户，默认没有查询委托和创建委托的权限，在使用弹性IP绑定功能时页面会屏蔽绑定按钮，此时需联系有“DWS Administrator”权限的用户在当前页面完成对GaussDB(DWS) 的委托授权。 创建公网域名的操作步骤如下： 登录GaussDB(DWS) 管理控制台。 在左侧导航栏中，单击“集群管理”。 在集群列表中找到所需要的集群，然后单击集群名称，进入“集群详情”页面。 在“连接信息”区域下，“公网域名”和“公网IP”显示为空，单击“编辑”为集群绑定弹性IP。 在“绑定/解绑弹性IP”弹出窗的下拉框中，选择一个弹性IP，可以为指定的cn节点绑定弹性IP。 如果下拉框中没有可用的弹性IP，可以单击“查看弹性IP”进入弹性公网IP页面创建一个满足需要的弹性IP。新的弹性IP创建成功后，单击绑定按钮，“弹性IP”下拉框中就会出现新创建的弹性IP。 弹性IP绑定成功后，在“连接信息”区域下显示具体的公网IP。 在“连接信息”区域下，单击“公网域名”旁边的“创建”为集群创建公网域名。 图3 创建公网域名 在“申请公网域名”弹出窗口中，输入目标域名，单击“确定”。 图4 申请公网域名 公网域名由字母、数字和中划线组成，以大小写字母开头，长度为4~63个字符。 公网域名创建成功后，在“连接信息”区域下显示具体的公网域名。单击复制按钮，可以复制公网域名。

修改内网域名 内网域名在创建集群时自动生成，集群创建成功后用户可以根据实际情况修改默认生成的域名。 修改内网域名的操作步骤如下： 登录GaussDB(DWS) 管理控制台。 在左侧导航栏中，单击“集群管理”。 在集群列表中找到所需要的集群，然后单击集群名称，进入“集群详情”页面。 在“连接信息”区域下，显示自动生成的内网域名，单击“内网域名”旁边的“修改”按钮。 图1 查看内网域名 在“修改内网域名”对话框中，输入目标域名，然后单击“确定”完成域名的修改。 图2 修改内网域名 内网域名由字母，数字和中划线组成，以大小写字母开头，长度为4~63个字符。 域名修改完成后，单击内网域名旁边的复制按钮，可以复制内网域名。

修改角色 登录GaussDB(DWS) 管理控制台，在左侧导航栏中，单击“集群管理”。 在集群列表中，单击指定集群的名称，进入“集群详情”页面。 在左侧导航栏中，单击“用户管理”，进入用户管理页面。 在角色列表中选择其中一个角色，单击“修改”按钮，跳转导修改角色详情页面。 修改角色信息，确认无误后单击“下一步”： 角色名称：以字母开头，可以包含字母、数字、下划线，长度不超过63个字符。 创建数据库：该角色是否有创建数据库权限。 创建角色：该角色是否有创建用户、角色权限。 继承权限：这些子句决定一个角色是否“继承”它所在组的角色的权限。默认打开，不推荐修改。 权限配置，根据需要对权限进行添加或移除。 授权完毕，单击“保存”完成修改。

操作审计 登录GaussDB(DWS) 管理控制台。 在左侧导航栏中，单击“集群管理”。 在集群列表中找到所需要的集群，单击“操作”栏中的“登录”按钮。 跳转至数据库管理服务（DAS）页面，进行登录操作，详情请参见登录操作。 单击导航栏“操作审计”按钮进入操作审计页面，在该页面可查看DAS上的登录、登出、新建、删除、查询等记录，其中记录包括登录DAS的华为用户名、功能模块、操作内容、数据库名、集群信息、登录数据库名、操作时间、执行状态。

添加节点 添加节点主要用于大规模扩容场景，通过节点管理功能可以提前分批次添加准备好用于扩容的节点，添加节点过程中不影响集群业务。例如，需要新扩容180个BMS节点，可分3批各添加60个，如果其中有一部分添加失败，可再次添加失败数量的节点，等180个节点添加成功后，再使用这些添加好的节点进行扩容。 注意事项 添加节点功能只能在管理侧任务列表中没有其他任务运行时才可使用。 添加节点的存储大小必须和该集群已有的节点保持一致。 添加成功的节点称为“空闲节点”，此节点主要用于扩容场景下，添加成功后即开始计费，建议需要使用时添加，并及时扩容到集群中。 在反亲和部署模式下，每次添加节点的数量只能是集群安全环大小的整数倍，如集群安全环大小为3，则添加节点时会强制数量为3的倍数。 在反亲和部署模式下，如果因异常下电或其它原因导致某个空闲节点故障，那么该节点所在服务器组内其他节点也会变成不可用状态，此时建议删除故障节点后重新添加。 在反亲和部署模式下，如果某个节点添加失败回滚，那么该节点所在服务器组正在创建的其他节点也将被回滚。 操作步骤 登录GaussDB(DWS) 管理控制台。 单击“集群管理”。默认显示用户所有的集群列表。 在集群列表中，单击指定集群名称进入“集群详情”页面，单击“节点管理”进入页签。 单击“添加节点”按钮，填写添加到节点的数量，并阅读完“温馨提示”，确认无误后勾选“我已确认”。单击“下一步：确认”。 当用户在包周期计费模式下，界面会显示包周期的“剩余时间”和“到期时间”。 单击“提交”按钮后，跳转到节点管理页面，开始添加节点。 添加失败的节点会自动回滚并记录在失败列表中，如下图：

删除节点 注意事项 删除节点功能只能在管理侧任务列表中没有其他任务运行时才可使用。 删除节点功能只支持删除资源状态为“空闲”的节点，此节点还未扩容至集群，可以删除，已使用的节点不支持删除； 在反亲和部署模式下，删除节点只能以集群的安全环为单位，如集群安全环大小为3，则选择某个节点删除时会自动选择并提示删除同一个安全环的其他节点。 包年/包月集群在宽限期和保留期内不支持删除节点，可在费用中心的续费管理处单击释放资源。 操作步骤 登录GaussDB(DWS) 管理控制台。 单击“集群管理”。默认显示用户所有的集群列表。 在集群列表中，单击指定集群名称进入“集群详情”页面，单击“节点管理”进入页签。 在“节点管理”页面选中要删除的节点，单击“删除节点”按钮，单击“是”按钮提交删除任务。 （包周期计费模式）跳转至删除节点资源信息确认界面，确认无误后，单击“提交”。 删除成功后，该节点将不再显示到节点管理页面。

根据标签搜索集群 对于已经添加过标签的集群，用户可以通过设置标签过滤条件进行搜索，以便快速查找到集群。 登录GaussDB(DWS) 管理控制台。 单击“集群管理”。 单击集群列表右上方的“标签搜索”隐藏页签，展开标签搜索页面。 图2 标签搜索 在标签搜索区域，单击“标签键”输入框，在下拉列表中选择要搜索的标签键，然后单击“标签值”输入框，在下拉列表中选择对应的标签值。 标签搜索仅支持“标签键”和“标签值”下拉列表中已存在的键和值。如果没有可用的标签键和值，请先为集群创建标签，具体参见为集群添加标签。 单击，添加选定的标签到输入框下方。 在输入框中继续选择其他标签，单击，可添加不同标签组合搜索。集群支持最多10个不同标签的组合搜索，且多个不同标签之间为与的关系。 单击已添加标签后的，可删除该单个标签。 单击“重置”将会清空所有已添加的搜索标签。 图3 添加查询的键和值 单击“搜索”，在集群列表中将显示搜索到的集群。

为集群添加标签 在“集群管理”页面，单击需要添加标签的集群的名称，切换至“标签”页签。 单击“添加标签”，弹出“添加标签”对话框。 在“添加标签”对话框中配置标签参数，当配置了标签键值后，标签值不能为空值。 图1 添加标签 表1 标签配置参数 参数 参数说明 样例值 键 您可以选择： 在输入框的下拉列表中选择预定义标签键或集群已有的资源标签键。 说明： 如果添加预定义标签，用户需要预先在标签管理服务中创建好预定义标签，然后在“键”的下拉框中进行选择。用户可以通过单击“查看预定义标签”进入标签管理服务的“预定义标签”页面，然后单击“创建标签”来创建新的预定义标签。更多信息请参见《标签管理服务用户指南》中的创建预定义标签。 在输入框中输入标签键名称。输入标签键的最大长度为128个字符，不能为空字符串，不能以 _sys_开头。 只能包含字母、数字、中文和空格，以及 _ . : = + - @。 说明： 同一集群中的键名不能重复。 key01 值 您可以选择： 在输入框的下拉列表中选择预定义标签值或集群的资源标签值。 在输入框中输入标签值。输入标签值的最大长度为255个字符，不能为空字符串。 只能包含字母、数字、中文和空格，以及 _ . : = + - @。 value01 单击“确定”。

进入集群概览页面 登录GaussDB(DWS) 管理控制台。 在“集群管理”页面，找到需要查看监控的集群。 在指定集群所在行的“操作”列，单击“监控面板”。系统将显示数据库监控页面。 在左侧导航栏单击“集群概览”，进入集群概览页面。 在集群概览页面展示了集群的状态，实时资源消耗，TOP SQL，集群资源消耗，数据库主要指标等信息。 集群概览中显示的所有概览指标，都需要打开对应的采集项，如果某项指标关闭，则页面不会显示该指标相关项，并会弹出提示信息。对于该类情况，建议打开提示指标项即可。

创建逻辑集群关联用户并实现跨逻辑查询数据 以系统管理员连接数据库，执行以下SQL语句查询原业务表t1。 验证转换后，业务数据查询正常。 1 SELECT * FROM t1; 执行以下语句创建u1关联逻辑集群lc1，u2关联逻辑集群lc2，并将原业务表t1的所有权限授予用户u1。 1 2 3 CREATE USER u1 NODE GROUP 'lc1' password '{password}'; CREATE USER u2 NODE GROUP 'lc2' password '{password}'; GRANT ALL ON TABLE t1 TO u1; 切换到用户u2，查询原业务表t1数据，提示无权访问逻辑集群lc1，说明逻辑集群间数据隔离。 1 2 SET ROLE u2 PASSWORD '{password}'; SELECT * FROM t1; 切回系统管理员dbadmin，将逻辑集群lc1的访问权限授予用户u2。 1 2 SET ROLE dbadmin PASSWORD '{password}'; GRANT USAGE ON NODE GROUP lc1 TO u2; 再次切到用户u2，查询表t1成功。结果验证绑定了逻辑集群lc2的用户可以跨逻辑集群查询到原业务表t1。实现逻辑集群间的数据共享。 1 2 SET ROLE u2 PASSWORD '{password}'; SELECT * FROM t1;

创建自定义告警规则 登录GaussDB(DWS) 管理控制台。 在左侧导航栏，单击“告警管理”，切换至“告警”页签。 单击左上角的“查看告警规则”按钮，进入告警规则页面。 单击右上角的“创建告警规则”按钮，进入创建告警规则页面。用户可自定义告警规则名称，规则描述，规则绑定集群，告警策略等配置项。 告警规则名称（规则名称长度为6到64个字符，且只能是首位非数字的中文、英文、数字、斜线组合。） 规则描述 规则绑定集群：用户可在该下拉框中选择当前租户下的集群作为告警模块的监控集群。 策略触发关系： 相互独立：各个告警策略之间互相独立触发。 按优先级：各个告警策略之间按照排列的先后顺序触发，当高优先级策略触发后低优先级策略就不会再做判断。 告警策略： 指标名称：GaussDB(DWS) 数据仓库的监控指标，告警引擎用来做阈值判断的数据源。 告警对象：当前选择的集群中包含的数据库，及其已选择的数据库中所包含的SCHEMA。 触发条件：定义对监控指标做阈值判断的计算规则。目前主要使用一段时间内的平均值来降低告警震荡的几率。 抑制条件：在指定的时间段内，抑制同类型告警的反复触发和消除。 告警级别：告警的严重程度，包含紧急、重要、次要和提示。 图1 新增自定义告警 目前GaussDB(DWS)只开放schema使用率的自定义告警规则指标。

创建集群前的准备 评估集群节点规格 您可以根据数据量、业务负载以及性能需求，选择能够支撑业务应用的节点数量，数量越多，存储与计算能力越强。 刚开始使用GaussDB(DWS) 服务时，您也可以先创建一个规格较小的集群，今后随着数据量和业务负载的变化，再自由调整集群规模和节点规格，自由扩展而不中断业务。详情请参见扩容集群。 请确定用户可使用的节点数满足如下条件，否则系统会提示无法创建集群。 用户可使用的节点数取决于所选产品类型，其中实时数仓（单机部署）集群为单个节点， 且只能为一个节点；其他产品类型用户可使用节点数大于或者等于3。用户可使用的节点数可在“集群管理”页面查看。

修改参数 登录GaussDB(DWS) 管理控制台。 在左侧导航栏中，单击“集群管理”。 在集群列表中找到所需要的集群，单击集群名称，进入“集群详情”页面。 单击“参数修改”页签，并在“参数列表”模块修改相应的参数值，然后单击“保存”。 在“修改预览”窗口，确认修改无误后，单击“保存”。 用户可根据修改参数所在行的“是否重启集群”列，判断集群是否进行重启操作。 若修改参数无需进行重启集群操作，则参数修改后立即生效。 若修改参数需进行重启集群操作，参数修改任务下发成功后页面显示修改后的参数值，待集群重启成功后修改的参数值生效；同时集群状态会显示“待重启”并禁用部分运维操作，重启集群后状态会恢复正常。

查看参数修改历史 由于修改参数的操作可能较频繁，如果多次修改后无法确认哪些参数已经生效，可按如下流程检查参数修改记录。 操作步骤 登录GaussDB(DWS) 管理控制台。 在左侧导航栏中，单击“集群管理”。 在集群列表中找到所需要的集群，单击集群名称，进入“集群详情”页面。 单击“参数修改”页签，并在页面顶部切换到“修改历史”模块。 若修改参数无需进行重启集群操作，则参数修改后立即生效，修改状态为“已同步”。 若修改参数需进行重启集群操作，则修改记录的状态为“需重启生效”，此时单击左侧的下拉展开可以看到具体哪些参数未生效。在重启集群后，该记录的状态会更新为“已同步”。 该页面默认查询一段时间之内的修改记录，同时也可以在右上角的输入框中输入要查询的参数，可以查找该参数所有的修改。

修改用户 登录GaussDB(DWS) 管理控制台，在左侧导航栏中，单击“集群管理”。 在集群列表中，单击指定集群的名称，进入“集群详情”页面。 在左侧导航栏中，单击“用户管理”，进入用户管理页面。 在用户列表中选择其中一个用户，单击“修改”按钮，跳转导修改用户详情页面。 修改用户信息，具体信息请参见用户信息，确认无误后单击“下一步”。 角色配置，选择需要对该用户授权的角色，单击“下一步”。 权限配置，根据自身需求对权限进行添加或移除。 授权完毕，单击“保存”完成修改。