华为云用户手册

响应参数 表5 响应参数 参数名称 类型 说明 subnet subnet object subnet对象，参见表6。 表6 subnet对象 属性 类型 说明 id String 子网的id 【使用说明】在查询子网列表时非必选 name String 子网的名称 ip_version Integer IP版本 【使用说明】支持4（IPv4）、6（IPv6） ipv6_address_mode String IPv6寻址模式 【使用说明】仅支持dhcpv6-stateful ipv6_ra_mode String IPv6路由广播模式 【使用说明】仅支持dhcpv6-stateful network_id String 所属网络的id cidr String CIDR格式 【使用说明】只支持10.0.0.0/8,172.16.0.0/12,192.168.0.0/16三个网段内的地址，掩码长度不能大于28。 gateway_ip String 网关IP不允许和allocation_pools地址块冲突。 【使用说明】不支持修改。 allocation_pools Array of allocation_pool objects 可用的IP池，allocation_pool对象参见 表7 例如：[ { "start": "10.0.0.2", "end": "10.0.0.251"} ] 每个子网的第1个和最后3个IP地址为系统保留地址。以192.168.1.0/24为例，192.168.1.0、 192.168.1.253、192.168.1.254和192.168.1.255这些地址是系统保留地址。系统预留地址默认不在allocation_pool范围内。 [{"start": "2001:db8:a583:9::2", "end": "2001:db8:a583:9:ffff:ffff:ffff:fffc"}] ipv6子网以2001:db8:a583:9::/64为例，2001:db8:a583:9::1和2001:db8:a583:9:ffff:ffff:ffff:fffd、2001:db8:a583:9:ffff:ffff:ffff:fffe、2001:db8:a583:9:ffff:ffff:ffff:ffff这些地址是系统保留地址。 约束：更新时allocation_pool范围不能包含网关和广播地址的所有IP。 dns_nameservers Array of strings dns服务器 例如："dns_nameservers": ["8.xx.xx.8","8.xx.xx.4"] host_routes Array of host_route objects 虚拟机静态路由，参见表8 【使用说明】不支持，忽略输入信息 tenant_id String 项目ID enable_dhcp Boolean 是否启动dhcp，false表示不提供dhcp服务的能力 【使用说明】只支持true subnetpool_id String 子网池id 【使用说明】目前IPv4不支持，IPv6支持 project_id String 项目ID，请参见获取项目ID。 created_at String 资源创建时间，UTC时间 格式：yyyy-MM-ddTHH:mm:ss updated_at String 资源更新时间，UTC时间 格式：yyyy-MM-ddTHH:mm:ss 表7 allocation_pool对象 参数名 参数类型 备注 start String 网络池起始IP end String 网络池结束IP 表8 host_route对象 参数名 参数类型 备注 destination String 路由目的子网 nexthop String 路由下一跳IP

响应示例 { "subnet": { "name": "subnet-test", "cidr": "172.16.2.0/24", "id": "98bac90c-0ba7-4a63-8995-097da9bead1c", "enable_dhcp": true, "network_id": "0133cd73-34d4-4d4c-bf1f-e65b24603206", "tenant_id": "bbfe8c41dd034a07bebd592bf03b4b0c", "project_id": "bbfe8c41dd034a07bebd592bf03b4b0c", "dns_nameservers": [], "allocation_pools": [ { "start": "172.16.2.2", "end": "172.16.2.251" } ], "host_routes": [], "ip_version": 4, "gateway_ip": "172.16.2.1", "created_at": "2018-09-20T02:02:16", "updated_at": "2018-09-20T02:02:16" } }

请求参数 表1 请求参数 参数名称 类型 必选 说明 subnet subnet object 是 subnet对象，参见表2。 表2 subnet对象 属性 是否必选 类型 说明 name 否 String 子网的名称 ip_version 否 Integer IP版本 【使用说明】支持4（IPv4）、6（IPv6） ipv6_address_mode 否 String IPv6寻址模式 【使用说明】仅支持dhcpv6-stateful ipv6_ra_mode 否 String IPv6路由广播模式 【使用说明】仅支持dhcpv6-stateful network_id 是 String 所属网络的id cidr 是 String CIDR格式 【使用说明】IPV4只支持10.0.0.0/8,172.16.0.0/12,192.168.0.0/16三个网段内的地址，掩码长度不能大于28。 IPV6掩码长度不能大于128。 gateway_ip 否 String 网关IP不允许和allocation_pools地址块冲突。 【使用说明】不支持修改。 allocation_pools 否 Array of allocation_pool objects 可用的IP池，allocation_pool对象参见表3 例如：[ { "start": "10.0.0.2", "end": "10.0.0.251"} ] 每个子网的第1个和最后3个IP地址为系统保留地址。以192.168.1.0/24为例，192.168.1.0、 192.168.1.253、192.168.1.254和192.168.1.255这些地址是系统保留地址。 [{"start": "2001:db8:a583:9::2", "end": "2001:db8:a583:9:ffff:ffff:ffff:fffc"}] ipv6子网以2001:db8:a583:9::/64为例，2001:db8:a583:9::1和2001:db8:a583:9:ffff:ffff:ffff:fffd、2001:db8:a583:9:ffff:ffff:ffff:fffe、2001:db8:a583:9:ffff:ffff:ffff:ffff这些地址是系统保留地址。 系统预留地址默认不在allocation_pool范围内。 约束：更新时allocation_pool范围不能包含网关和广播地址的所有IP。 dns_nameservers 否 Array of strings dns服务器 【使用说明】 例如："dns_nameservers": ["8.xx.xx.8","8.xx.xx.4"] 最大为5个 不填时，默认为空 内网DNS地址请参见华为云提供的内网DNS地址是多少？ host_routes 否 Array of host_route objects 虚拟机静态路由，参见表4 【使用说明】不支持，忽略输入信息 enable_dhcp 否 Boolean 是否启动dhcp，false表示不提供dhcp服务的能力 【使用说明】只支持true 表3 allocation_pool对象 参数名 是否必选 参数类型 说明 start 否 String 网络池起始IP end 否 String 网络池结束IP 表4 host_route对象 参数名 是否必选 参数类型 说明 destination 否 String 路由目的子网 nexthop 否 String 路由下一跳IP

请求示例 创建IPv4子网，所在network为0133cd73-34d4-4d4c-bf1f-e65b24603206，指定cidr为172.16.2.0/24，命名为subnet-test。 POST https://{Endpoint}/v2.0/subnets { "subnet": { "name": "subnet-test", "network_id": "0133cd73-34d4-4d4c-bf1f-e65b24603206", "cidr": "172.16.2.0/24", "enable_dhcp": true } }

示例代码 连接ARRAY数组array(1, 2)和array(2, -2)。命令示例如下。 返回[1, 2, 2, -2]。 select concat(array(1, 2), array(2, -2)); 任一ARRAY数组为NULL。命令示例如下。 返回NULL。 select concat(array(10, 20), null); 连接字符串ABC和DEF。命令示例如下。 返回ABCDEF。 select concat('ABC','DEF'); 输入为空。命令示例如下。 返回NULL。 select concat(); 任一字符串输入为NULL。命令示例如下。 返回NULL。 select concat('abc', 'def', null);

场景说明 假设您在华为云的弹性云服务器（Elastic Cloud Server ，以下简称ECS）上自建了一个数据库，数据库的详细信息如表1所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，在数据库端安装Agent，开启数据库安全审计功能和验证审计结果的操作。 表1 ECS自建数据库信息说明 数据库类型 MySQL 数据库版本 5.7 数据库IP地址 192.168.1.5 端口 3306 操作系统 LINUX64

步骤五：安装Agent 添加安全规则后，您需要下载Agent包并将下载的Agent安装包上传到待安装Agent的节点上进行安装。使添加的数据库连接到数据库安全审计实例，数据库安全审计才能对添加的数据库进行审计。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent和安装Agent。 登录控制台进入数据库安全服务。 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 在“选择实例”下拉框中，选择需要下载Agent的数据库所属实例。 单击该数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图8所示。 将Agent安装包下载到本地。 图8 下载Agent 使用跨平台传输工具（例如WinSCP），将下载的Agent安装包“xxx.tar”上传到待安装Agent的节点（即图8中的“安装节点IP”）。 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该安装节点。 执行以下命令，进入Agent安装包“xxx.tar”所在目录。 cd Agent安装包所在目录 执行以下命令，解压缩“xxx.tar”安装包。 tar -xvf xxx.tar 执行以下命令，进入“install.sh”脚本所在目录。 cd install.sh脚本所在目录 执行以下命令，安装Agent。 sh install.sh 如果界面回显以下信息，说明安装成功。 1 2 3 4 5 start agent starting audit agent audit agent started start success install dbss audit agent done!

步骤七：查看审计结果 验证成功后，您可参照本节内容在总览界面查看审计结果信息，同时也可根据需求在报表界面进行设置生成报表、下载或预览报表。 查看总览信息。 进入总览入口，如图9所示，查看总览信息。 在总览界面，展示了该实例的审计时长、SQL语句总量、风险总量以及今日语句、今日风险、今日会话量 您可以选择“语句”或“会话”页签，分别查看SQL语句信息和会话分布图。 图9 进入总览入口 生成报表、下载或预览报表。 参照图10进入报表管理界面。 图10 进入报表管理入口 在左侧导航树中，选择“报表”。 在“选择实例”下拉列表框中，选择需要生成审计报表的实例。选择“报表管理”页签。 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”。 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库。 单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以“预览”或“下载”报表，如图11所示。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 图11 预览或下载报表

步骤四：添加安全组规则 Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 如果该安全组已配置安装节点的入方向规则，请执行步骤五：安装Agent。 如果该安全组未配置安装节点的入方向规则，请按照本节内容进行配置。 安全组规则也可以在成功安装Agent后进行添加。 获取安装节点IP地址。 在数据库列表的上方，单击“添加安全组规则”。 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图5所示。 图5 添加安全组规则 单击“前往处理”，进入“安全组”界面。 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 单击“default”，进入“基本信息”页面。 选择“入方向规则”页签，单击“添加规则”，如图6所示。 图6 添加规则 在“添加入方向规则”对话框中，为安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则，如图7所示。 图7 “添加入方向规则”对话框（ECS） 单击“确定”，完成添加入方向规则。

步骤六：验证Agent与数据库安全审计实例之间的网络通信正常 待审计的数据库与数据库安全审计实例连接成功后，您需要验证Agent与数据库安全审计实例之间的网络通信是否正常。 在安装Agent的节点执行一条SQL语句或对数据库进行操作（例如，“Select 1;”）。 在左侧导航树中，选择“总览”，进入“总览”界面。 在“选择实例”下拉列表框中，选择需要查看数据库慢SQL语句信息的实例。 选择“语句”页签。 SQL语句列表将显示登录数据库操作的记录，如dbss_06_0004.html#dbss_06_0004__fig1960916145112所示。 如果不能查询到SQL语句，请您参照如何处理Agent与数据库安全审计实例之间通信异常？进行排查。

方案概述 本文档介绍了如何对关系型数据库（应用部署于ECS）进行安全审计。对于部分关系型数据库，DBSS服务支持免安装Agent模式，无需安装Agent，即可开启数据库安全审计。 如果您需要安全审计的数据库类型如表1所示，请参见本节内容。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 GaussDB for MySQL 默认都支持 RDS for SQLServer （华为云审计实例：23.02.27.182148 及其之后的版本支持） 默认都支持 RDS for MySQL 5.6（5.6.51.1及以上版本） 5.7（5.7.29.2及以上版本） 8.0（8.0.20.3及以上版本） GaussDB(DWS) 8.2.0.100及以上版本 PostgreSQL （华为云审计实例：23.04.17.123301 及其之后的版本支持） 14（14.4及以上版本） 13（13.6及以上版本） 12（12.10及上版本） 11（11.15及以上版本） 9.6（9.6.24及以上版本） 9.5（9.5.25及以上版本） RDS for MariaDB 默认都支持 如果您需要安全审计的数据库类型不在表1范围内，请参见审计RDS关系型数据库（安装Agent）。 免安装Agent模式配置简单、易操作，但较之安装了Agent的DBSS实例，支持的功能上存在如下差异： 统计会话数量时，无法统计成功登录、与失败登录的会话个数。 无法获取数据库访问时客户端的端口号。 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略，只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。 GaussDB默认不开启ddl，用户需要需按GaussDB用户手册开启（audit_system_object = 130023423 ）配置，同时该配置页中需保证日期格式为yyyy-MM-dd HH:mm:ss+Z（datastyle=ISO,YMD），操作请参考：GaussDB开发指南。

方案架构 数据库（GaussDB for MySQL或RDS for MySQL指定版本）将日志传送给DBSS，经过日志数据解析保存至DBSS实例日志库中，进行安全分析、聚合统计、合规分析等操作，实现对数据库的安全审计。 图1 审计RDS关系型数据库（免安装Agent）架构图 本文以GaussDB for MySQL为例，详细信息如表2所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本节详细介绍该场景下开启数据库安全审计功能和验证审计结果的具体操作。 表2 数据库示例信息说明 数据库类别 RDS数据库 数据库类型 GaussDB for MySQL 兼容的数据库版本 MySQL 8.0 数据库IP地址 192.168.0.237 数据库端口 3306

步骤三：查看审计结果 您可参照本节内容在总览界面查看审计结果信息，同时也可根据需求在报表界面进行设置，生成报表、下载或预览报表。 查看总览信息。 进入总览入口，如图7所示，查看总览信息。 在总览界面，展示了该实例的审计时长、SQL语句总量、风险总量以及今日语句、今日风险、今日会话量 您可以选择“语句”或“会话”页签，分别查看SQL语句信息和会话分布图。 图7 进入总览入口 生成报表、下载或预览报表。 参照图8进入报表管理界面。 图8 进入报表管理入口 在左侧导航树中，选择“报表”。 在“选择实例”下拉列表框中，选择需要生成审计报表的实例。选择“报表管理”页签。 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”。 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库。 单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以“预览”或“下载”报表，如图9所示。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 图9 预览或下载报表

步骤六：验证Agent与数据库安全审计实例之间的网络通信正常 待审计的数据库与数据库安全审计实例连接成功后，您需要验证Agent与数据库安全审计实例之间的网络通信是否正常。 在安装Agent的节点执行一条SQL语句或对数据库进行操作（例如，“Select 1;”）。 在左侧导航树中，选择“总览”，进入“总览”界面。 在“选择实例”下拉列表框中，选择需要查看数据库慢SQL语句信息的实例。 选择“语句”页签。 SQL语句列表将显示登录数据库操作的记录，如#dbss_06_0004/fig1960916145112所示。 如果不能查询到SQL语句，请您参照如何处理Agent与数据库安全审计实例之间通信异常？进行排查。

步骤七：查看审计结果 验证成功后，您可参照本节内容在总览界面查看审计结果信息，同时也可根据需求在报表界面进行设置生成报表、下载或预览报表。 查看总览信息。 进入总览入口，如图10所示，查看总览信息。 在总览界面，展示了该实例的审计时长、SQL语句总量、风险总量以及今日语句、今日风险、今日会话量 您可以选择“语句”或“会话”页签，分别查看SQL语句信息和会话分布图。 图10 进入总览入口 生成报表、下载或预览报表。 参照图11进入报表管理界面。 图11 进入报表管理入口 在左侧导航树中，选择“报表”。 在“选择实例”下拉列表框中，选择需要生成审计报表的实例。选择“报表管理”页签。 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”。 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库。 单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以“预览”或“下载”报表，如图12所示。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 图12 预览或下载报表

步骤三：添加Agent 在数据库所在行的“Agent”列，单击“添加Agent”，如图3所示。 图3 添加Agent 在弹出的对话框中，选择添加方式。 方式一：选择“创建Agent” 如果数据库安全审计实例的数据库未添加Agent，您需要创建新的Agent。 “安装节点类型”选择“应用端”，“安装节点IP”输入表2所示的应用端IP地址，如图4所示。 图4 在应用端添加Agent 方式二：“选择已有Agent”如图5所示。 在什么场景下需要选择“选择已有Agent”添加方式的详细介绍，请参见在什么场景下需要选择“选择已有Agent”添加方式？。 选择“选择已有Agent”添加方式，如果您已在应用端安装了Agent，该数据库添加Agent后，数据库安全审计即可对该数据库进行审计。 图5 选择已有Agent 单击“确定”，Agent添加成功。

方案架构 数据库安全审计采用旁路部署模式，通过在访问数据库的应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量，Agent将获取的流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对数据库的安全审计。 图1 审计RDS关系型数据库（安装Agent）架构图 本文以POSTGRESQL 7.4版本的关系型数据库为例，详细信息如表1所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本节详细介绍该场景下开启数据库安全审计功能和验证审计结果的具体操作。 表2 数据库示例信息说明 数据库类型 POSTGRESQL 数据库版本 7.4 数据库IP地址 192.168.1.31 应用端IP地址 （安装节点IP地址） 192.168.1.132 端口 8000 操作系统 LINUX64

步骤五：安装Agent 添加安全组规则后，您需要下载Agent包并将下载的Agent安装包上传到待安装Agent的节点上进行安装。使添加的数据库连接到数据库安全审计实例，数据库安全审计才能对添加的数据库进行审计。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent和安装Agent。 登录控制台进入数据库安全服务。 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 在“选择实例”下拉框中，选择需要下载Agent的数据库所属实例。 单击该数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图9所示。 将Agent安装包下载到本地。 图9 下载Agent 使用跨平台传输工具（例如WinSCP），将下载的Agent安装包“xxx.tar”上传到待安装Agent的节点（即图9中的“安装节点IP”）。 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该安装节点。 执行以下命令，进入Agent安装包“xxx.tar”所在目录。 cd Agent安装包所在目录 执行以下命令，解压缩“xxx.tar”安装包。 tar -xvf xxx.tar 执行以下命令，进入“install.sh”脚本所在目录。 cd install.sh脚本所在目录 执行以下命令，安装Agent。 sh install.sh 如果界面回显以下信息，说明安装成功。 1 2 3 4 5 start agent starting audit agent audit agent started start success install dbss audit agent done!

步骤四：添加安全组规则 Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 如果该安全组已配置安装节点的入方向规则，请执行步骤五：安装Agent。 如果该安全组未配置安装节点的入方向规则，请按照本节内容进行配置。 安全组规则也可以在成功安装Agent后进行添加。 获取安装节点IP地址。 在数据库列表的上方，单击“添加安全组规则”。 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图6所示。 图6 添加安全组规则 单击“前往处理”，进入“安全组”界面。 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 单击“default”，进入“基本信息”页面。 选择“入方向规则”页签，单击“添加规则”，如图7所示。 图7 添加规则 在弹出的“添加入方向规则”对话框中，为表2中的安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则，如图8所示。 图8 “添加入方向规则”对话框 单击“确定”，完成添加入方向规则。

方案概述 本文档介绍了如何对关系型数据库（应用部署于ECS）进行安全审计。对于部分关系型数据库，DBSS服务支持免安装Agent模式，无需安装Agent，即可开启数据库安全审计。 如果您需要安全审计的数据库类型如表1所示，请参见审计RDS关系型数据库（免安装Agent）。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 GaussDB for MySQL 默认都支持 RDS for SQLServer （华为云审计实例：23.02.27.182148 及其之后的版本支持） 默认都支持 RDS for MySQL 5.6（5.6.51.1及以上版本） 5.7（5.7.29.2及以上版本） 8.0（8.0.20.3及以上版本） GaussDB(DWS) 8.2.0.100及以上版本 PostgreSQL （华为云审计实例：23.04.17.123301 及其之后的版本支持） 14（14.4及以上版本） 13（13.6及以上版本） 12（12.10及上版本） 11（11.15及以上版本） 9.6（9.6.24及以上版本） 9.5（9.5.25及以上版本） RDS for MariaDB 默认都支持 如果您需要安全审计的数据库类型不在表1范围内，请参见本节内容。

变更计费模式概述 在购买EIP后，如果发现当前计费模式无法满足业务需求，您可以变更计费模式。支持变更计费模式的EIP计费项如表2所示。 变更计费方式不会更换EIP的地址，也不会中断EIP的使用，对您的业务不会产生影响。 表1 弹性公网IP计费方式变更说明 计费方式变更 计费方式变更场景 计费变更说明 包年/包月→按需计费 包年/包月→按需计费（按带宽计费） 包年/包月EIP支持直接转为按需计费（按带宽计费）EIP，分以下两种模式： 包年/包月EIP到期后转为按需计费（按带宽计费）EIP，具体可参见包年/包月到期转按需计费（按带宽计费）。 该变更操作成功后，不会立即生效，需要等包年/包月EIP到期后，新的计费方式才会生效。 包年/包月EIP即时转为按需计费（按带宽计费）EIP，具体可参见包年/包月即时转按需计费（按带宽计费）。 该变更操作成功后，新的计费方式将立即生效。 包年/包月→按需计费（按流量计费） 包年/包月EIP不支持直接转为按需计费（按流量计费）EIP。变更方法如下： 包年/包月EIP转为按需计费（按带宽计费）EIP，具体可参见包年/包月转按需计费。 按需计费（按带宽计费）转为按需计费（按流量计费）EIP，具体可参见按需计费（按流量计费）和按需计费（按带宽计费）互相转换。 按需计费→包年/包月 按需计费（按带宽计费）→包年/包月 按需计费（按带宽计费）EIP支持直接转为包年/包月EIP，具体可参见按需计费转包年/包月。 该变更操作成功后，新的计费方式将立即生效。 按需计费（按流量计费）→包年/包月 按需计费（按流量计费）EIP不支持直接转为包年/包月EIP。变更方法如下： 按需计费（按流量计费）转为按需计费（按带宽计费）的EIP，具体可参见按需计费（按流量计费）和按需计费（按带宽计费）互相转换。 按需计费（按带宽计费）转为包年/包月的EIP，具体可参见按需计费转包年/包月。 该变更操作成功后，新的计费方式将立即生效。 按需计费（按流量计费）与按需计费（按带宽计费）互相转换 按需计费（按流量计费→按需计费（按带宽计费） 按需计费（按流量计费）EIP支持直接转为按需计费（按带宽计费）EIP。 具体可参见按需计费（按流量计费）和按需计费（按带宽计费）互相转换。该变更操作成功后，新的计费方式将立即生效。 按需计费（按带宽计费）→按需计费（按流量计费 按需计费（按带宽计费）EIP支持直接转为按需计费（按流量计费）EIP。 具体可参见按需计费（按流量计费）和按需计费（按带宽计费）互相转换。该变更操作成功后，新的计费方式将立即生效。 表2 支持变更计费模式的EIP计费项 计费项 变更说明 相关文档 EIP公网带宽 按需计费（按带宽计费）EIP支持转为包年/包月EIP。 按需计费（按带宽计费）EIP支持和按需计费（按流量计费）EIP互转。 包年/包月EIP支持直接转为按需计费（按带宽计费）EIP。 具体变更方式可参考图1。 按需计费转包年/包月 按需计费（按流量计费）和按需计费（按带宽计费）互相转换 包年/包月转按需计费 图1 EIP计费模式变更 父主题： 变更计费模式

性能容量单位LCU费用 LCU是用来衡量独享型负载均衡实例处理流量能力的指标，LCU计费详情见表3。 不同计费模式和规格下LCU的单价不同，LCU实际价格请以控制台购买页为准，LCU费用（元）= LCU单价 × LCU数量 × 购买时长。 表3 性能容量单位LCU费用 计费模式 规格 适用场景 LCU计费说明 按需计费 弹性规格 适用于业务用量波动较大的场景 按实际使用量收取LCU费用 固定规格 适用于业务用量较为稳定的场景 按固定规格折算收取LCU费用 包年/包月 固定规格 适用于业务用量较为稳定的场景 按固定规格折算收取LCU费用 独享型负载均衡支持同时部署在多个可用区，实例性能随可用区数量叠加，关于AZ的说明详见区域和可用区。 固定规格的LCU数需注意： 固定规格的折算LCU数：在单个AZ中，基于LCU的不同指标折算为不同数量的LCU。固定规格的折算LCU数详情见固定规格的LCU计费规则。 固定规格部署在多可用区， LCU数量 = 单AZ的LCU数 × AZ数。

固定规格的LCU计费规则 固定规格下根据固定规格大小折算收取LCU费用，当前独享型实例提供了网络型(TCP/UDP)和应用型(HTTP/HTTPS)两种固定规格类型，可以叠加使用。 不同固定规格对应不同的新建连接数、最大并发接数、每秒查询速率（当前支持应用型规格）、带宽，详情见独享型负载均衡实例规格。用户可以根据不同的业务场景，选择适合自己业务的规格类型。 按需计费模式 不同固定规格类型实例折算的LCU 个数如下： 表8 按需计费-固定规格实例折算LCU数 规格类型 网络型（TCP/UDP）规格折算LCU数（个/AZ） 应用型（HTTP/HTTPS）规格折算LCU数（个/AZ） 小型 I 10 10 小型 II 20 20 中型 I 40 40 中型 II 80 100 大型 I 200 200 大型 II 400 400 包年/包月计费模式 不同固定规格类型实例折算的LCU 个数如下： 表9 包年/包月计费-固定规格实例折算LCU数 规格类型 网络型（TCP/UDP）规格折算LCU数（个/AZ） 应用型（HTTP/HTTPS）规格折算LCU数（个/AZ） 小型 I 10 10 小型 II 20 20 中型 I 40 40 中型 II 80 100 大型 I 200 200 大型 II 400 400 固定规格的折算LCU数：在单个AZ中，基于LCU的不同指标折算为不同数量的LCU。 固定规格部署在多可用区， LCU数量 = 单AZ的LCU数 × AZ数。

计费说明 独享型负载均衡的费用由LCU费用和实例费用组成，计费项信息详细请参考表1。 计费项价格请参考弹性负载均衡产品价格详情，各地域资源情况不同，具体价格请以控制台创建页为准。 表1 独享型负载均衡计费项说明 计费项 计费项说明 适用的计费模式 计费公式 LCU费用 根据独享型实例每小时使用的性能容量单位 (Loadbalancer Capacity Unit，简称LCU) 数计费。 LCU是用来衡量独享型负载均衡处理流量能力的指标，LCU费用详情见性能容量单位LCU费用。 按需计费、包年/包月 LCU单价 × LCU数量 × 购买时长 实例费用 根据用户的独享型实例购买时长（不足1小时按实际使用时长计算）计费。 按需计费 实例单价 * 购买时长 不同计费模式的独享型负载均衡实例的计费项组成不同，详情请参考表2。 表2 独享型负载均衡的计费项 计费模式 规格 LCU费用 实例费用 按需计费 弹性规格 √ √ 固定规格 √ × 包年/包月 固定规格 √ × “√”表示该行对应的计费模式包括该计费项；“×”表示该行对应的计费模式不包括该计费项。 如果用户创建的ELB实例绑定了弹性公网IP，将会收取公网IP的费用以及公网IP所耗费的带宽费用。 具体请参考弹性公网IP产品价格详情。

支持的版本限制 SQL限流功能支持的RDS for MySQL的版本请参见表1。 表1 SQL限流支持的版本 版本 主实例 只读实例 只读实例单独设置规则 5.6 ≥ 5.6.50-3 ≥ 5.6.51-6 暂不支持 5.7 ≥ 5.7.31-4 ≥ 5.7.37-1 ≥ 5.7.38-221000 8.0 ≥ 8.0.25-1 ≥ 8.0.25-1 暂不支持 表2中的RDS for MySQL实例，使用SQL限流功能对root用户的请求不生效。 表2 root用户请求不受SQL限流限制的版本 版本 主实例 5.6 ≥ 5.6.51-4 5.7 ≥ 5.7.33-1 8.0 ≥ 8.0.25-1 建议RDS for MySQL小版本升级内核到最新版本，SQL限流体验更佳，请参见升级内核小版本。

步骤2：测试连通性并安装PostgreSQL客户端 登录ECS实例，请参见《弹性云服务器用户指南》中“Linux弹性云服务器远程登录（VNC方式）”。 在RDS“实例管理”页面，单击实例名称进入“基本信息”页面。 选择“连接管理”，在“连接信息”模块获取实例的公网地址和数据库端口。 图4 连接信息 如果没有绑定公网地址，请参见绑定弹性公网IP。 在ECS上测试是否可以正常连接到RDS for PostgreSQL实例公网地址的端口。 telnet 公网地址 3306 如果可以通信，说明网络正常。 如果无法通信，请检查安全组规则。 查看ECS的安全组的出方向规则，如果目的地址不为“0.0.0.0/0”且协议端口不为“全部”，需要将RDS实例的公网IP地址和端口添加到出方向规则。 图5 ECS的安全组 查看RDS的安全组的入方向规则，如果源地址不为“0.0.0.0/0”且协议端口不为“全部”，需要将ECS实例的私有IP地址和端口添加到入方向规则，具体操作请参见设置安全组规则。 图6 RDS的安全组 打开客户端安装页面。 PostgreSQL官网提供了针对不同操作系统的客户端安装方法。 下面将以CentOS下PostgreSQL 12版本为例，介绍安装PostgreSQL客户端。 选择数据库版本、操作系统、操作系统架构，在弹性云服务器上执行以下命令安装PostgreSQL客户端。 sudo yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm 图7 安装客户端 数据库版本，选择与RDS for PostgreSQL数据库实例一致的版本。 操作系统，选择与弹性云服务器一致的操作系统。 操作系统架构，选择与弹性云服务器一致的操作系统架构。 图8 安装rpm包 图9 客户端安装完成

步骤1：购买ECS 登录管理控制台，查看是否有弹性云服务器。 有Linux弹性云服务器，执行3。 无Linux弹性云服务器，执行2。 图1 ECS实例 购买弹性云服务器时，选择Linux操作系统，例如CentOS。 由于需要在ECS下载PostgreSQL客户端，因此需要为ECS绑定弹性公网IP（EIP）。 购买Linux弹性云服务器请参考《弹性云服务器快速入门》中“购买弹性云服务器”章节。 在ECS实例基本信息页，查看ECS实例的区域和VPC。 图2 ECS基本信息 在RDS for PostgreSQL实例基本信息页，查看RDS实例的区域和VPC。 图3 PostgreSQL基本信息

SDK列表 表1提供了各个CCE服务支持的SDK列表，您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导 Node.js huaweicloud-sdk-nodejs-v3 Node.js SDK使用指导 .NET huaweicloud-sdk-net-v3 .NET SDK使用指导

包年/包月套餐说明 制品仓库服务采用包年/包月、资源扩展计费模式，提供基础版、专业版套餐，以满足不同规模用户的使用需求。 不同版本套餐中，提供的功能特性及资源规格略有不同，详情请参见表1。 您还可以购买CodeArts套餐，使用制品仓库服务，详情请参见CodeArts计费说明。 表1 套餐包详情 套餐说明 适用场景 规格 特性 包月计费 制品仓库基础版 适用于个人开发者或者小微企业。 制品仓库总容量：50GB 公网下载流量：20GB/月 发布仓构建推送大小：10GB 语言仓构建推送大小：2GB 发布仓页面上传大小：2GB 语言仓页面上传大小：100MB 单制品类型仓库数：100个 支持Maven、Docker、Npm、Rpm、Nuget等10种制品类型。 支持Maven、Npm等代理仓功能。 支持制品版本控制。 支持制品清理。 支持构建元数据。 计费模式：包周期 500元/月 制品仓库专业版 适用于中大型企业。 制品仓库总容量：1000GB 公网下载流量：500GB/月 发布仓构建推送大小：20GB 语言仓构建推送大小：2GB 发布仓页面上传大小：2GB 语言仓页面上传大小：100MB 单制品类型仓库数：不限 支持基础版所有特性。开源漏洞扫描。 病毒扫描。 恶意代码扫描。 开源许可证风险扫描。制品依赖分析。 计费模式：包周期 8300元/月

到期后影响 图1 包年/包月制品仓库服务生命周期描述了包年/包月制品仓库服务各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图1 包年/包月制品仓库服务生命周期 到期预警 包年/包月制品仓库服务在到期前第15天内，系统将在服务使用界面向用户推送到期预警消息。 当制品仓库服务套餐资源用量/流量已达80%以上或100%，系统将在服务使用界面向用户推送预警消息。 到期后影响 当您的包年/包月制品仓库服务到期未续费，首先会进入宽限期，资源状态变为“已过期”。宽限期内您可以正常使用制品仓库服务。 如果您在宽限期内仍未续费包年/包月制品仓库服务，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期到期后，若包年/包月制品仓库服务仍未续费，那么将无法继续使用制品仓库服务。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。