华为云用户手册

操作步骤 配置Hub1站点的静态路由。 在“Underlay配置”页签，选择待配置的站点（如：Hub1）。 图1 Underlay配置页签入口 在“WAN路由”页签中，单击“点击添加路由协议”，在显示的对话框中，选择“IPv4 Static”，单击“确定”。 图2 添加路由协议 单击“创建”，添加静态路由，如图3所示。各路由参数值请参考Underlay网络数据规划。 图3 Hub1的静态路由 采用相同方式配置Hub2、Site1的静态路由。 各路由参数值请参考Underlay网络数据规划。

VN数据规划 企业内部多个部门业务有隔离要求，需要通过部门（即VN）来构建多个Overlay网络。保证不同的部门转发独立，转发互相不能访问，从而实现不同部门业务在网络转发层面的安全隔离。 表1 Overlay网络VN的基本信息 参数 数据 备注 VN名称 VPN1 界面展示使用。 IPSec加密 ON - 站点名称 Hub1、Hub2、Site1 - 拓扑模式 Hub-Spoke 不建议修改，触发全网路由重新编排，业务中断。 中心站点 主：Hub1 备：Hub2 - 父主题： 站点互联数据规划

认证服务器侧的配置思路 Portal认证采用华为乾坤云平台内置的Portal服务器组件，整个配置过程如下： 配置华为乾坤云平台与短信服务器对接。短信服务器的账号和密码需要租户提前向运营商申请。 在华为乾坤云平台创建用户组Wireless_Employee_Group，把同一类认证方式的用户放到同一个用户组，方便管理。 创建认证规则Wireless_Employee_Authen，认证方式采用用户接入认证，匹配用户组Wireless_Employee_Group，用户数据源在本示例中采用的是短信验证码方式添加的本地数据源。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Employee_Rule，认证方式采用用户接入认证，匹配用户组Wireless_Employee_Group，关联的授权结果为允许接入。

站点和设备数据规划 各个站点的设备，需要先添加到云平台，管理员才能对设备进行配置和管理。 表1 站点规划 站点名称 设备类型 Hub1 AR Hub2 AR Site1 AR、LSW、WAC/FitAP 表2 设备信息 所属站点 设备名称 设备型号 设备角色 设备ESN数据 备注 Hub1 Hub1_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 设备名称可修改。 说明： “设备型号”均为举例，请以实际为准。 Hub1_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2 Hub2_1 AR6280 网关+路由反射器 请从设备的物理标签上获取 Hub2_2 AR6280 网关+路由反射器 请从设备的物理标签上获取 Site1 Site1_AR_1 AR6121E 网关 请从设备的物理标签上获取 Site1_AR_2 AR6121E 网关 请从设备的物理标签上获取 Site1_Core_slot0 S12700E-4 核心 请从设备的物理标签上获取 Site1_Core_slot1 S12700E-4 核心 请从设备的物理标签上获取 Site1_ACC S5735-L48P4X-A1 接入 请从设备的物理标签上获取 Site1_WAC_1 AC6805 WAC 请从设备的物理标签上获取 Site1_WAC_2 AC6805 WAC 请从设备的物理标签上获取 Site1_AP AirEngine5760-51 AP 请从设备的物理标签上获取 父主题： 开局部署数据规划

认证服务器侧的配置思路 Portal认证采用华为乾坤云平台内置的Portal服务器组件。以图中某园区访客终端采用短信验证码方式的Portal认证为例，整个配置过程如下： 配置华为乾坤云平台与短信服务器对接。短信服务器的账号和密码需要租户提前向运营商申请。 在华为乾坤云平台创建用户组Wireless_Guest_Group，把同一类认证方式的用户放到同一个用户组，方便管理。 创建认证规则Wireless_Guest_Authen，认证方式采用用户接入认证，匹配用户组Wireless_Guest_Group，用户数据源在本示例中采用的是短信验证码方式添加的本地数据源。 创建授权结果。本案例使用系统的缺省授权结果允许接入和拒绝接入。如果系统的缺省授权结果不能满足需求时，请根据实际需求创建新的授权结果。 创建授权规则Guest_Rule，认证方式采用用户接入认证，匹配用户组Wireless_Guest_Group，关联的授权结果为允许接入。

Underlay网络数据规划 站点Underlay网络WAN侧的静态路由。 表1 WAN侧静态路由信息（1） 参数 数据 站点 Hub1 Hub2 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 优先级 60 60 60 60 60 60 60 60 WAN链路 Device1_internet Device1_internet1 Device2_internet Device2_internet1 Device1_internet Device1_internet1 Device2_internet Device2_internet1 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 下一跳类型 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 IP地址 20.1.1.2 110.1.1.2 20.1.2.2 110.1.2.2 30.1.1.2 120.1.1.2 30.1.2.2 120.1.2.2 探测 OFF OFF OFF OFF OFF OFF OFF OFF 表2 WAN侧静态路由信息（2） 参数 数据 站点 Site1 设备 Site1_AR_1 Site1_AR_2 优先级 60 60 WAN链路 Device1_internet Device2_internet 目的网段/掩码 0.0.0.0/0 0.0.0.0/0 下一跳类型 IP地址 IP地址 IP地址 50.1.1.2 140.1.1.2 探测 ON ON 目标 50.1.1.2 140.1.1.2 父主题： 站点互联数据规划

终端接入与认证方式规划 员工通过无线接入，采用802.1X认证；访客通过无线接入，采用Portal+短信认证；哑终端通过有线接入，采用MAC认证。 表1 终端接入认证 用户分类 终端接入方式 SSID 接入认证方式 业务VLAN 员工 无线接入 Employee 802.1X认证 10 访客 无线接入 Guest Portal认证（短信认证） 20 哑终端 有线接入 - MAC认证 30 员工 有线接入 - 802.1X认证 40 父主题： LAN侧网络数据规划

操作步骤 进入DDM实例详情页，单击左侧导航栏的“逻辑库管理”进入逻辑库管理页签。 单击上方“创建逻辑库”按钮进入创建逻辑库页面。 图1 创建逻辑库 逻辑库模式选择拆分库，根据业务需求填写逻辑库总分片数，关联RDS for MySQL准备中已创建成功的新RDS for MySQL实例，然后单击“下一步”。 图2 关联RDS for MySQL实例 输入RDS for MySQL实例密码，进行数据节点可用性检测。测试成功后，单击“完成”。 图3 数据节点可用性检测 逻辑库创建成功。 图4 创建逻辑库成功

无明确主体的业务场景 如果业务场景中找不到合适的主体，也可以选择那些数据分布较为均匀的属性所对应的表字段作为拆分键。 例如日志分析场景，日志系统中可能包含各类复杂的信息，这时您可以选择时间字段作为拆分键。 选择时间字段作为拆分键时，支持对拆分键使用日期函数拆分。 为了方便清理和转储，采用range拆分算法，对时间字段用日期函数转换成月，表示按月存储到各个分片上。 建表SQL语句： CREATE TABLE LOG( LOGTIME DATETIME NOT NULL, LOGSOURCESYSTEM VARCHAR(100), LOGDETAIL VARCHAR(10000) ) dbpartition by range(month(LOGTIME)) { 1 - 2 = 0, 3 - 4 = 1, 5 - 6 = 2, 7 - 8 = 3, 9 - 10 = 4, 11 - 12 = 5, default = 0 };

如何选择拆分键 拆分键是在水平拆分逻辑表的过程中，用于生成路由结果的表字段，指定表字段后，可以进一步选择日期函数，也可以手动输入“日期函数(字段名)”，数据表字段必须是日期类型（date、datetime、timestamp），日期函数适用于需要按时间（年、月、日、周及其组合）对数据进行拆分的场景。 DDM根据拆分键与拆分算法计算路由结果，对拆分表的数据进行自动水平拆分，分发到数据分片中。 选取拆分算法与拆分键一般遵循以下规则： 尽可能使数据均匀分布到各个分片上。 该拆分键是最频繁或者最重要的查询条件。 优选主键作为拆分键，因为主键作为查询条件时，查询速度最快。

有明确主体的业务场景 拆分表的数据量一般都达到千万级，因此选择合适的拆分算法和拆分键非常重要。如果能找到业务主体，并且确定绝大部分的数据库操作都是围绕这个主体的数据进行的，那么可以选择这个主体所对应的表字段作为拆分键，进行水平拆分。 业务逻辑主体与实际应用场景相关，下列场景都有明确的业务逻辑主体。 银行类客户业务应用，业务逻辑主体是客户，可使用客户对应的表字段（例如客户号）作为拆分键。部分业务系统的业务场景为围绕银行卡/帐号的，可以选取卡/帐号作为拆分键。 电商类应用，如果业务场景是围绕商品进行操作，业务逻辑主体是商品，可使用商品对应的表字段（例如商品编码）作为拆分键。 游戏类的应用，主要围绕玩家数据进行操作，业务逻辑主体是玩家，可使用玩家对应的表字段（例如玩家id）作为拆分键。

操作场景 连接池实现原理：在系统初始化的时候，将数据库连接作为对象存储在内存中，当用户需要访问数据库时，发出请求，直接从连接池中取出一个已建立的空闲连接对象。使用完毕后，再将连接放回连接池中，供下一个请求访问使用。连接的建立、断开都由连接池自身来管理。同时，还可以通过设置连接池的参数来控制连接池中的初始连接数、连接的上下限数以及每个连接的最大使用次数、最大空闲时间等等。也可以通过系统自身的管理机制来监视数据库连接的数量、使用情况等。 本章节主要介绍了如何通过JDBC连接池与DDM对接，实现数据操作。如果是Java程序，建议您使用HikariCP。 Java 8：建议使用3.3.1版本。 Java 7：建议使用2.4.13版本。 JDBC连接DDM不支持开启用户游标提取（useCursorFetch）参数。

DDM的分布式事务实现 DDM中的分布式事务模块基于MySQL XA协议实现，XA协议是对2PC（Two Phase Commit）事务模型的一种实现，2PC是一种经典的分布式事务实现方案。基于MySQL XA协议的分布式事物可以实现强一致性写，整体分布式事物的一致性说明可参考MySQL官方文档。 在分布式系统里，每个参与者都可以知晓自己操作的成功或者失败，却无法知道其他节点操作的成功或失败。当一个事务跨多个节点时，为了保持事务的原子性与一致性，需要引入一个协调者（Coordinator）来统一掌控所有参与者（Participant）的操作结果，并指示它们是否要把操作结果进行真正的提交（commit）或者回滚（rollback）。DDM节点在这个分布式事务中扮演协调者的角色，RDS实例则是参与者。 2PC顾名思义分为两个阶段，其实施思路可概括为： 准备阶段（prepare phase）：参与者将操作结果通知协调者，参与者如果给出了已准备的回应，则应保证在协调者做出决定之前需要将本次决议所需资源进行预留。 提交阶段（commit phase）：收到参与者的回应后，协调者再向参与者发出通知，根据反馈情况决定各参与者是否要提交还是回滚。 举例说明： 甲乙丙丁四人要聚餐，需要确定时间，不妨设甲是协调者，乙丙丁是参与者。 准备阶段： 甲发短信给乙丙丁，周二中午十二点聚餐是否有时间。 丁回复有时间。 乙回复有时间。 丙迟迟不回复，此时对于这个活动，甲乙丙丁均处于阻塞状态，算法无法继续进行。 丙回复有时间（或者没有时间）。 提交阶段： 协调者甲将收集到的结果（周二中午聚餐或者不聚餐）反馈给乙丙丁（什么时候反馈，以及反馈结果如何，在此例中取决与丙的时间与决定）。 乙收到。 丙收到。 丁收到。 如果有人没有收到，则甲后续不断重新进行通知，直到通知成功。

2PC具体实现 DDM对事务的2阶段提交进行了透明化封装。应用侧使用DDM事务的时候不需要关心底层是否为分布式事务，只需像使用普通事务一样执行BEGIN/COMMIT指令进行事务操作。DDM会自动处理分布式事务的两阶段提交逻辑。如果事务只涉及一个数据分片，那么DDM还可以自动将事务降级为一阶段提交的本地事务。一阶段提交的细节本文不详细展开。 图1 分布式事务执行流程 其中XID由节点内事务序号、节点ID和时间戳组成，代表了一个全局维度的分布式事务唯一编号，该编号再加上对应分库名构成实际在物理库上开启分布式事务分支的XA_ID 。

操作场景 本章节主要介绍将Mycat中的数据整库迁移到DDM中。 迁移过程中可能会出现业务中断情况，中断时长与迁移数据量大小、网络情况相关。 数据迁移是一项比较复杂的操作，建议在业务量较低时进行。本实践仅供参考，您需要根据自己业务场景、数据量、停机时间要求等情况，设计合适的迁移方案。 由于DDM仅支持通过弹性云服务器（ECS）访问，因此需要先将数据库导出为文件到ECS，然后从ECS将文件中的数据导入到DDM。

迁移前准备 准备可以访问Mycat、目标DDM实例和目标DDM实例关联的RDS实例的ECS。 确保Mycat、目标DDM实例和目标DDM实例关联的RDS实例都在同一个VPC下，保证网络互通。 部署Mycat的ECS、目标DDM实例和目标DDM实例关联的RDS实例的安全组建议配置相同，如果不同则需要放开对应端口访问。 ECS已安装MySQL官方客户端，MySQL客户端版本建议为5.6或5.7。 Redhat系列Linux安装命令：yum install mysql mysql-devel Debian系列Linux安装命令：apt install mysql-client-5.7 mysql-client-core-5.7 ECS磁盘空间足够存放临时转储文件；ECS内存空间足够，可以用来比较转储文件。 准备已关联RDS实例的DDM实例，并配置DDM帐号、DDM逻辑库等相关信息。 本章节以Mycat 1.6版本进行迁移为例。

迁移策略 Mycat与DDM数据表类型不同，迁移策略也有所差异，详情如表1所示。 表1 迁移策略 Mycat表类型 DDM表类型 迁移策略 非拆分表 单表 Mycat导出表结构和表数据。 连接目标DDM关联的RDS将数据导入至目标DDM（非拆分表场景）。 拆分表：分片规则为hash类（含年月日等日期类） 拆分表：拆分算法为hash（含日期函数） Mycat导出全部数据表结构。 对照导出的表结构，在DDM控制台创建表结构完全相同的表。 从Mycat整库导出数据。 连接DDM导入整库数据。 拆分表：分片规则为按范围range类（含年月日等日期类） 拆分表：拆分算法为range（含日期函数） 广播表 广播表

操作步骤 进入DDM实例管理页面，单击操作栏的“登录”按钮。 图1 实例登录 在实例登录窗口输入创建DDM帐号中创建的DDM帐号和密码，进入数据管理服务进行建表操作。 图2 实例登录窗口 建表操作是将源RDS for MySQL数据库中的表在DDM实例中重新创建，根据表的性质可选择创建为广播表、单表、拆分表。广播表和单表的使用场景请参考广播表和单表的使用场景。 图3 原数据库表 图4 address_test表数据 图5 user_test表数据 执行以下命令，将源数据库中的“user_test”创建为广播表，将“address_test”创建为拆分表。建表语句可参考创建表。 create table user_test (id char(3), age int(3), name varchar(255),primary key(id)) broadcast; 图6 创建广播表 create table address_test (id char(3), name varchar(255), address varchar(255),primary key(id)) dbpartition by hash(id); 图7 创建拆分表 查看建表结果。 图8 查看建表结果

操作场景 本章节主要介绍将单RDS（非拆分，以下简称旧RDS）库中的数据整库迁移到DDM实例非拆分库中，仅使用DDM做读写分离场景。 迁移过程中可能会出现业务中断情况，中断时长与迁移数据量大小、网络情况相关。 数据迁移是一项比较复杂的操作，建议在业务量较低时进行。本实践仅供参考，您需要根据自己业务场景、数据量、停机时间要求等情况，设计合适的迁移方案。 对于数据量较大的场景，建议通过工单或售后服务联系DDM技术支持人员进行支撑，在正式数据迁移前进行充分的迁移演练测试。

迁移前准备 准备可以访问旧RDS实例、目标DDM实例和目标DDM实例关联的RDS实例的ECS。 确保旧RDS实例、目标DDM实例和目标DDM实例关联的RDS实例都在同一个VPC下，保证网络互通。 旧RDS实例、目标DDM实例和目标DDM实例关联的RDS实例的安全组建议配置相同，如果不同则需要放开对应端口访问。 ECS已安装MySQL官方客户端，MySQL客户端版本建议为5.6或5.7。 Redhat系列Linux安装命令：yum install mysql mysql-devel Debian系列Linux安装命令：apt install mysql-client-5.7 mysql-client-core-5.7 ECS磁盘空间足够存放临时转储文件；ECS内存空间足够，可以用来比较转储文件。 准备已关联RDS实例的DDM实例，并配置DDM帐号、DDM逻辑库等相关信息。 如果目标DDM实例逻辑库为拆分库，则需要在迁移前，在DDM控制台先创建与旧RDS数据表结构相同的逻辑表。

如何选择DDM逻辑库分片数 逻辑库选择“非拆分”模式时，一个逻辑库仅对应一个MySQL实例，在该实例上仅创建1个分片。 逻辑库选择“拆分”模式时，一个逻辑库可对应多个MySQL实例，在每个实例上，可创建1-64个分片。如果因业务需要分片数超过64，请联系DDM技术人员。 分片平移到新实例：将逻辑库部分分片（分库）平移到新增的实例上，数据不会进行重分布。 图1 分片平移示意图 分片个数变更：逻辑库对应的物理库分片可以根据用户需要自定义添加，单数据节点上的物理分片数不超过64个。如果因业务需要分片数超过64，请联系DDM技术人员。DDM会尽量将分片均匀分配到数据节点上，只要总分片数有变化，数据都会进行重分布。 图2 分片变更示意图

资源和成本规划 表1 资源规划 类别 子类 规划 备注 源端VPC VPC名称 vpc-DRSsrc 自定义，易理解可识别。 所属Region 华南-广州 选择和自己业务区最近的Region，减少网络时延。 可用区 可用区二 - 子网网段 10.0.0.0/24 子网选择时建议预留足够的网络资源。 子网名称 subnet-drs01 自定义，易理解可识别。 RDS（源库） RDS实例名 rds-mysql-src 自定义，易理解可识别。 所属Region 华南-广州 选择和自己业务区最近的Region，减少网络时延。 数据库版本 MySQL 5.7 - 实例类型 单机 本示例中为单机。 实际使用时，为提升业务可靠性，推荐选择主备RDS实例。 存储类型 SSD云盘 - 可用区 可用区二 本示例中为单机。 实际业务场景推荐选择主备RDS实例，此时建议将两个实例创建在不同的可用区，提升业务可靠性。 规格 通用型 4 vCPUs | 8GB - 源端VPN 网关名称 vpngw-src 自定义，易理解可识别。 所属Region 华南-广州 选择和自己业务区最近的Region，减少网络时延。 虚拟私有云（VPC） vpc-DRSsrc 与源端RDS实例VPC保持一致。 VPN连接名称 vpn-src01 自定义，易理解可识别。 本端子网 subnet-drs01 与源端RDS实例VPC子网保持一致。 远端网关 123.60.251.207 即对端VPN的网关，此处为目标端VPN的网关地址，创建目标VPN完成后获取网关信息。 远端子网 172.16.0.0/24 即对端VPN的子网，此处为目标端VPN的子网，与目标端DDM实例所在VPC的子网保持一致 目标端VPC VPC名称 vpc-DRStar 自定义，易理解可识别。 所属Region 华北-北京四 选择和自己业务区最近的Region，减少网络时延。 可用区 可用区一 - 子网网段 172.16.0.0/24 子网选择时建议预留足够的网络资源。 子网名称 subnet-drs02 自定义，易理解可识别。 DDM（目标库） DDM实例名 ddm-drs-tar 自定义，易理解可识别。 可用区 可用区一 可选择一个或者多个可用区。实际业务场景推荐选择创建在不同的可用区，提升业务可靠性。 节点规格 通用增强型 8 核 | 16 GB - 节点个数 1 单节点存在高可用风险，在实际使用过程中，建议至少创建2节点。 DDM关联RDS实例 RDS实例名 rds-ddm01 自定义，易理解可识别。 所属Region 华北-北京四 选择和自己业务区最近的Region，减少网络时延。 数据库版本 MySQL 5.7 - 实例类型 单机 本示例中为单机。 实际使用时，为提升业务可靠性，推荐选择主备RDS实例。 存储类型 SSD云盘 - 可用区 可用区一 本示例中为单机。 实际业务场景推荐选择主备RDS实例，此时建议将两个实例创建在不同的可用区，提升业务可靠性。 规格 通用型 4 vCPUs | 8GB - 目标端VPN 网关名称 vpngw-tar 自定义，易理解可识别。 所属Region 华北-北京四 选择和自己业务区最近的Region，减少网络时延。 虚拟私有云（VPC） vpc-DRStar 与目标端DDM实例VPC保持一致。 VPN连接名称 vpn-tar01 自定义，易理解可识别。 本端子网 subnet-drs02 与目标端DDM实例VPC子网保持一致。 远端网关 123.60.236.84 即对端VPN的网关，此处为源端VPN的网关地址，创建源端VPN完成后获取网关信息。 远端子网 10.0.0.0/24 即对端VPN的子网，此处为源端VPN的子网，与源端RDS for MySQL实例所在VPC的子网保持一致。 DRS迁移任务 迁移任务名 DRS-MySQLToDDM 自定义，易理解可识别。 源数据库引擎 MySQL 本示例中源数据库为MySQL，使用的华为云RDS实例。 目标数据库引擎 DDM 本示例中目标数据库为DDM。 网络类型 VPN网络 本示例中采用“VPN网络”。 表2 成本规划 类别 成本规划 备注 源端VPC和安全组 免费创建 - RDS for MySQL实例（源端） 0.46元/小时 此费用仅供参考，实际价格以您所选规格为准。 目标端VPC和安全组 免费创建 - DDM实例 3.79元/小时 此费用仅供参考，实际价格以您所选规格为准。 RDS for MySQL实例（源端） 0.46元/小时 此费用仅供参考，实际价格以您所选规格为准。 源端VPN 公网流量费用：0.80元/GB VPN连接费用：0.083元/小时 此费用仅供参考，实际价格以您所选规格为准。 目标端VPN VPN网关带宽费用：0.315元/小时 VPN连接费用：0.083元/小时 此费用仅供参考，实际价格以您所选规格为准。 DRS迁移任务 2.4元/小时 此费用仅供参考，实际价格以您所选规格为准。 父主题： 通过数据复制服务（DRS）将RDS for MySQL数据迁移到DDM

Join相关SQL调优建议 建议进行join操作时，join条件优先使用分片键等值连接。 用结果集小的表作为驱动表，尽量减少join的循环次数（使用left join/join时，左边是驱动表，右边是被驱动表；使用right join时，右边是驱动表，左边是被驱动表）。 对于被驱动表的join字段需添加索引，不建议两张大表直接进行join，尤其是包含不带限制条件的单表，将消耗大量计算资源。 不建议在显示事务中使用join语句，为保证事务内数据可见性，可能无法使用最优join执行计划。

临时表调优建议 跨数据分片在执行join、union、group by、order by等复杂SQL时，DDM可能会创建临时表暂时存储数据，对临时表大小限制默认是100万行。超出限制时，会提示“Temp table limit exceeded”错误，说明当前执行SQL需要在DDM节点进行二次计算，并且所需要的临时表大小已超过实例设置。对于以上情况如遇到临时表相关报错，可评估SQL是否存在优化空间，如设置广播表、增加分批查询条件或根据分库分表架构自身特点调整SQL写法。如果无优化空间，同时评估数据量大小总体可控（参与实际计算的数据不超过300万行）、实例资源相对充裕，可酌情在控制台调整实例级参数temp_table_size_limit来放开对应限制。

Group by和Order by SQL调优建议 当group by 字段不是表中现有的数据列时，可以使用generated column机制（MySQL5.7版本以上支持，5.6及之前版本可新建普通字段和添加索引），创建新列并添加索引，将新创建字段作为group by条件，避免使用临时表。 保持group by 和order by 字段相同，其中group by字段中包含分片键时性能最优。 尽量让group by和order by过程中使用索引。

解除SSH算法限制 检查服务器配置文件“/etc/ssh/sshd_config” 管理员登录Linux主机。 执行以下命令，查询“/etc/ssh/sshd_config”文件。 cat /etc/ssh/sshd_config 执行以下命令，打开“/etc/ssh/sshd_config”文件。 vim /etc/ssh/sshd_config 修改算法：在HostKeyAlgorithms行后添加如下指令： ssh-rsa,ssh-dss 若您的默认配置文件中找不到HostKeyAlgorithms行，该步骤指令需要修改为：HostKeyAlgorithms ssh-rsa,ssh-dss 使用如下命令，重启SSH服务： systemctl restart sshd 如果通过上述排查，仍然无法解决问题，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。

可能原因 原因一：密码输入错误次数超过Linux主机登录安全防护次数上限，导CBH的IP被加入“/etc/hosts.deny”文件名单。 原因二：Linux主机开启了企业主机安全服务（Host Security Service，HSS），多次输入错误密码尝试登录，CBH内网IP被HSS加入“/etc/sshd.deny.hostguard”文件名单。 原因三：堡垒机不支持操作系统的SSH算法。（仅针对V3.3.38版本以下堡垒机）

解除“/etc/hosts.deny”文件限制 管理员登录Linux主机。 执行以下命令，查看“/var/log/secure”日志，确认主机拒绝云堡垒机IP记录。 cat /var/log/secure 执行以下命令，编辑“/etc/hosts.deny”文件，删除云堡垒机的IP。 vim /etc/hosts.deny （可选）将CBH的IP加入白名单。 执行以下命令，编辑Linux主机的“/etc/hosts.allow”文件，允许所有IP地址登录，避免影响云堡垒机正常使用。 vim /etc/hosts.allow

修订记录 发布日期 修订记录 2023-09-04 第十六次正式发布。 权限管理，新增如下操作的细粒度权限策略：查询标签列表、添加/修改/删除标签、查询会话、Kill会话。 2022-08-18 第十五次正式发布。 优化DN实例使用限制章节。 优化产品核心功能章节。 2022-08-09 第十四次正式发布。 优化不支持的特性和使用限制章节。 2022-03-29 第十三次正式发布。 增加DDM原理图。 2022-02-08 第十二次正式发布。 增加不支持的功能特性章节。 2022-01-27 第十一次正式发布。 优化SQL语法使用限制章节。 2022-01-21 第十次正式发布。 优化产品概述章节。 2021-12-30 第九次正式发布。 修改产品概述。 2021-12-13 第八次正式发布。 完善SQL语法使用限制。 2021-11-11 第七次正式发布。 修改DDM实现原理图。 2021-01-15 第六次正式发布。 增加常用概念。 完善MySQL实例使用限制。 2020-12-28 第五次正式发布。 刷新DDM实现原理图。 2020-10-20 第四次正式发布。 刷新产品功能、网络访问使用限制等内容。 2020-09-30 第三次正式发布。 刷新产品规格、应用场景等内容。 2020-08-07 第二次正式发布。 刷新权限管理等内容。 2020-04-30 DDM 2.0第一次正式发布。

购买线上套餐 使用华为帐号（或华为云帐号），进入云商店。 在搜索框，输入服务具体名称或模糊搜索“边界防护与响应服务”，进入服务购买页面。 根据线下购买设备的款型选择边界防护与响应服务版本，单击“立即购买”。 如需选购威胁防护升级服务License，“高级威胁防护库升级”请勾选“是”，反之则勾选“否”。 如需自动续费，请勾选“自动续费”。按年购买，自动续费周期为1年。 图1 边界防护与响应服务购买页面 核对订单详情，勾选“协议及授权”，单击“去支付”。 请仔细确认订单金额，并与华为云渠道商或华为云销售经理再次确认，以免纠纷。 图2 订单确认页面 确认付款并支付订单，付款成功即完成商品购买流程。