华为云用户手册

验证数据库备份结果 (Linux) 使用自定义脚本实现数据库备份完成后，可以通过如下操作验证数据库备份结果是否成功。本章节以MY SQL数据库为例进行验证。 登录MY SQL数据库，创建新的数据库。 创建数据库成功后，创建存储过程，可以参考图1。 图1 创建存储过程 进入云服务器备份控制台，对目标弹性云服务器创建数据库备份，并勾选数据库备份。 待备份完成后，进入/home/rdadmin/Agent/log/rdagent.log，查看冻结、解冻日志，确定冻结解冻时间。 使用新创建的数据库备份恢复目标弹性云服务器。恢复成功后，登录云服务器和数据库，查看表中最后一条插入数据对应的时间。 对比步骤5日志显示的VSS冻结成功时间和步骤4的时间。冻结成功之前会停止插入数据，所以步骤5的时间比步骤4早。若步骤5的时间比步骤4早，则表示引用一致性备份成功。 父主题： 通过自定义脚本实现数据库备份

自定义脚本问题定位方法 如果自定义脚本存在缺陷，可能导致数据库备份失败，此时可以打开/home/rdadmin/Agent/log/thirdparty.log，查看日志进行定位。 图1为一个冻结MySQL数据库失败时的日志样例 图1 日志示例 第一列 18-09-13--22:30:10 为日志记录时间 第二列 [30243] 为脚本的PID编号 第三列 [root] 为脚本的执行用户 第四列 [INFO] 或 [ERROR] 为日志级别 一般脚本调用失败时，打开日志文件，找到相应时间点的ERROR即可初步确定问题原因。例如图1中的错误就是因为MySQL已经处于冻结状态，再次冻结，就会出错。 父主题： 通过自定义脚本实现数据库备份

保护Failover Cluster模式下的SQL Server 当前云服务器备份只支持单个虚拟机的一致性备份，对于集群数据库暂不支持，完整支持将在后续版本中推出。 在Failover Cluster模式下，SQL Server服务只在主节点上是启动的，故在创建云服务器备份时，只需要将主节点加入策略进行备份。在主备发生切换后，及时调整策略，确保始终对主节点进行备份。在恢复时，请先停止所有备节点，然后还原主节点。 父主题： 通过自定义脚本实现数据库备份

操作步骤 登录SQL_SERVER数据库，创建新的数据库。 创建数据库成功后，创建存储过程，可以参考图1。 图1 创建存储过程 进入云备份控制台，对目标弹性云服务器创建数据库备份，并勾选数据库备份。 待备份完成后，进入Cloud Server Backup Agent-WIN64\log\ rdagent.txt文件，查看冻结、解冻日志，确定冻结解冻时间。如图中所示的17:28:51。 图2 查看日志 使用新创建的数据库备份恢复目标弹性云服务器。恢复成功后，登录云服务器和数据库，查看表中最后一条插入数据对应的时间(17:28:49)的记录。 对比步骤5日志显示的VSS冻结成功时间和步骤4的时间。冻结成功之前会停止插入数据，所以步骤5的时间比步骤4早。若步骤5的时间比步骤4早，则表示引用一致性备份成功。

详细步骤 加密MySQL密码，供自定义脚本使用 登录MySQL服务器，输入cd /home/rdadmin/Agent/bin/ ，进入Agent目录。 执行/home/rdadmin/Agent/bin/agentcli encpwd，回显如下： Enter password: 输入MySQL密码，并按“Enter”，屏幕上就会打印出加密后的密码，将其复制到剪贴板中。 冻结解冻脚本中配置的明文密码长度不超过16位，否则配置后密码会被截断，应用一致性备份会失败。 执行cd /home/rdadmin/Agent/bin/thirdparty/ebk_user ，进入自定义脚本目录，然后执行vi mysql_freeze.sh，打开MySQL示例冻结脚本。 将下图所示的MYSQL_USER与MYSQL_PASSWORD修改为实际值，其中MYSQL_PASSWORD为步骤1的屏幕输出。 也可以使用sed命令来直接进行修改： sed -i 's/^MYSQL_PASSWORD=.*/MYSQL_PASSWORD="XXX"/' mysql_freeze.sh mysql_unfreeze.sh ，其中XXX为步骤1中打印出的密码。 此操作会同时修改冻结解冻脚本，所以无需再执行步骤3。 执行vi mysql_unfreeze.sh，打开MySQL示例解冻脚本，修改此脚本中的用户名和密码。 mysql_unfreeze.sh与mysql_freeze.sh脚本实现了基本的数据库冻结与解冻操作，如果你在冻结、解冻时有其它额外步骤需要执行，可以自行在其中进行修改。详细说明请参见 通过自定义脚本实现其它Linux应用的一致性备份。 MySQL的冻结是通过FLUSH TABLES WITH READ LOCK指令来实现的，此指令不会触发bin log刷盘操作，如果开启了bin log，且sync_binlog参数不为1，则可能出现保存的备份映像中部分SQL操作未记录到bin log的情况，如果bin log也需要完整保护，请设置sync_binlog=1。 父主题： 通过自定义脚本实现MySQL一致性备份

灾备策略 按照用户云上部署的业务系统的不同分级，建议配置不同的数据备份策略，针对常见的云内资源采用如下数据备份策略，该策略可根据实际业务情况自行调整。参照策略管理章节创建备份策略。 系统分类 备份对象 RPO 保留 时间 全量 备份 增量 备份 异地 备份 演练 频率 核心系统 云服务器 4h 1年以上 每周 6次/日 是 月 云数据库 4h 1年以上 每周 6次/日 是 月 云文件系统 4h 1年以上 每周 6次/日 是 月 重要系统 云服务器 12h 1年 双周 2次/日 是 季度 云数据库 12h 1年 双周 2次/日 是 季度 云文件系统 12h 1年 双周 2次/日 是 季度 一般系统 云服务器 24h 6个月 每月 1次/日 否 半年 云数据库 24h 6个月 每月 1次/日 否 半年 云文件系统 24h 6个月 每月 1次/日 否 半年 父主题： 通过业务分级制定最佳备份策略

数据分级 根据《工业和信息化领域数据安全管理办法（试行）》，“根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，工业和信息化领域数据分为一般数据、重要数据和核心数据三级。” 第九条 危害程度符合下列条件之一的数据为一般数据： （一）对公共利益或者个人、组织合法权益造成较小影响，社会负面影响小； （二）受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短，对企业经营、行业发展、技术进步和产业生态等影响较小； （三）其他未纳入重要数据、核心数据目录的数据。 第十条 危害程度符合下列条件之一的数据为重要数据： （一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域； （二）对工业和信息化领域发展、生产、运行和经济利益等造成严重影响； （三）造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大； （四）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响； （五）经工业和信息化部评估确定的其他重要数据。 第十一条 危害程度符合下列条件之一的数据为核心数据： （一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域； （二）对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响； （三）对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等； （四）经工业和信息化部评估确定的其他核心数据。 父主题： 通过业务分级制定最佳备份策略

业务分级 同时结合业务实际，按照业务系统重要性及业务系统中断对整个公司业务影响的范围和程度，可考虑将业务系统分为三类： 核心系统 支撑公司核心业务流程，一旦停止服务会给公司运营造成重大影响或重大财务损失，如购买系统； 支撑公司关键应用的重要基础设施和办公系统，一旦中断，导致大量员工正常工作瘫痪。 重要系统 支撑公司重要的业务流程，一旦停止服务会给公司业务运营造成严重影响，或造成严重财务损失； 支撑公司重要应用的基础设施和办公系统，一旦中断，会严重影响员工的正常办公。 一般系统 支撑公司业务流程，一旦停止服务对公司运营或财务造成损失，如培训系统； 支撑公司普通应用的基础设施或办公系统，一旦中断，会影响员工的正常办公。 一般情况下，可根据业务系统影响评估数据等级，核心数据对应于核心系统，重要系统对应于重要数据，一般系统对应一般数据。如有数据分类与业务系统类别不匹配的情况，则业务系统向更高级别系统定级。例如业务系统被评估为重要系统，但是数据类型属于数据安全法的核心数据，则该系统向上一级定义为核心系统。 父主题： 通过业务分级制定最佳备份策略

资源与成本 表1 资源和成本规划 资源 资源说明 数量 每月费用 云服务器备份存储库 存储库容量大于等于所需要备份云服务器资源的容量总和 1 具体的计费方式及标准请参考计费说明。 SFS Turbo备份存储库 存储库容量大于等于所需要备份SFS Turbo资源的容量 1 弹性云服务器 与待演练服务器的配置相同 1 SFS Turbo文件系统 与待演练的SFS Turbo文件系统大小相同 1 RDS数据库实例 与待演练的RDS数据库配置相同 1 父主题： 通过数据备份开展定期恢复演练

实例监控指标 数据复制服务性能监控指标，如表1所示。 表1 数据复制服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） cpu_util CPU使用率 该指标用于统计测量对象的CPU使用率，以比率为单位。 0-100% 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 mem_util 内存使用率 该指标用于统计测量对象的内存使用率，以比率为单位。 0-100% 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 network_incoming_bytes_rate 网络输入吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输入的流量，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 network_outgoing_bytes_rate 网络输出吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输出的流量，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 disk_read_bytes_rate 磁盘读吞吐量 该指标用于统计每秒从磁盘读取的字节数，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 disk_write_bytes_rate 磁盘写吞吐量 该指标用于统计每秒写入磁盘的字节数，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 disk_util 磁盘利用率 该指标用于统计测量对象的磁盘利用率，以比率为单位。 0-100% 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 extract_bytes_rate 读源库吞吐量 该指标用于统计每秒从源库读取表数据或者WAL的字节数。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 extract_rows_rate 读源库频率 该指标用于统计每秒从源库读取表数据或者WAL的行数，以行/秒为单位。 ≥ 0 row/s 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 extract_latency 源库WAL抽取延迟 该指标用于统计当前从源库抽取WAL的延迟，以毫秒为单位。 ≥ms 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 apply_bytes_rate 写目标库吞吐量 该指标用于统计每秒向目标库写入数据的字节数，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 apply_rows_rate 写目标库频率 该指标用于统计每秒向目标库写入数据的行数，以行/秒为单位。 ≥ 0 row/s 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 apply_transactions_rate DML TPS 该指标用于统计每秒向目标库写入的DML事务数，以事务/秒为单位。 ≥ 0 transaction/s 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 apply_ddls_number或apply_ddls_rate 说明： apply_ddls_rate在2022年12月之后替换为apply_ddls_number。 DDL TPS 该指标用于统计向目标库写入的DDL事务总数。 ≥ 0 transaction 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 apply_latency 数据同步延迟 该指标用于统计当前数据向目标库回放延迟，以毫秒为单位。 ≥ 0 ms 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 apply_average_execute_time 事务平均执行时间 该指标用于统计当前一个事务在目标库的平均执行时间（一个事务的RT=执行时间+提交时间），以毫秒为单位。 ≥ 0 ms 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 apply_average_commit_time 事务平均提交时间 该指标用于统计当前一个事务在目标库的平均提交时间（一个事务的RT=执行时间+提交时间），以毫秒为单位。 ≥ 0 ms 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 apply_current_state 同步状态 该指标用于表示当前内核数据的同步状态（10：异常，1：空闲，2：执行DML，3：执行DDL），不代表任务状态。 10：异常 1：空闲 2：执行DML 3：执行DDL 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 apply_thread_workers 同步线程数量 该指标用于表示当前数据同步的工作线程数量。 ≥ 0 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟 apply_job_status 任务状态 该指标用于表示当前任务所处的状态(0：正常，1：异常，2：暂停)。 0：正常 1：异常 2：暂停 测量对象：弹性云服务器 监控实例类型：实时迁移、实时同步和实时灾备实例 1分钟

创建OBS桶 注意事项 上传图片的源桶、输出图片的目标桶和函数必须处于同一个区域下。 必须使用两个不同的桶。如果使用一个桶，会无限执行函数。（源桶上传图片会触发函数执行，从而无限循环）。 操作步骤 登录对象存储服务控制台，单击“创建桶”，进入“创建桶”界面。 在“创建桶”界面，填写存储桶信息。 区域：根据实际情况设置 桶名称输入：“your-bucket-input” 数据冗余存储策略：“单AZ存储” 默认存储类别：“标准存储” 桶策略："私有" 服务端加密：“不开启加密” 归档数据直读：“关闭” 其余参数保持默认，单击“立即创建”，完成源桶创建。 重复2，创建目标桶。 区域及存储类别与源桶保持一致，桶名称命名为“your-bucket-output”。 完成桶创建以后，OBS桶列表有your-bucket-input、your-bucket-output两个桶。

创建OBS桶 注意事项 上传图片的源桶、输出图片的目标桶和函数必须处于同一个区域下。 必须使用两个不同的桶。如果使用一个桶，会无限执行函数。（源桶上传图片会触发函数执行，从而无限循环）。 操作步骤 登录对象存储服务控制台，单击“创建桶”，进入“创建桶”界面。 在“创建桶”界面，填写存储桶信息。 区域：根据实际情况设置 数据冗余存储策略：“单AZ存储” 桶名称输入：“hugb-bucket-input” 默认存储类别：“标准存储” 桶策略："私有" 服务端加密：“关闭” 归档数据直读：“关闭” 单击“立即创建”，完成源桶创建。 重复步骤2，创建目标桶。 区域及存储类别与源桶保持一致，桶名称命名为“hugb-bucket-output”。 完成桶创建以后，OBS桶列表有hugb-bucket-input、hugb-bucket-output两个桶。

Redis重试机制 Redis客户端支持添加自动重试机制，确保在执行Redis操作失败后重试特定次数，这样能大幅度降低暂时性故障影响。例如：发生瞬时的网络抖动、磁盘抖动导致服务暂时不可用或者调用超时的情况下，提高Redis操作的成功概率。 连接DCS单机、主备、读写分离、Proxy集群实例添加Retry配置，退避策略为指数退避（ExponentialBackoff），重试次数上限为3次，并通过retry_on_error配置指定了BusyLoadingError，ConnectionError，TimeoutError三种错误才进行重试，代码片段如下： retry = Retry(ExponentialBackoff(), 3) pool = BlockingConnectionPool(host=redis_host, port=redis_port, password=redis_password, max_connections=50, timeout=3, socket_timeout=2, socket_connect_timeout=2, retry=retry, retry_on_error=[BusyLoadingError, ConnectionError, TimeoutError], health_check_interval=60, decode_responses=True) 连接DCS集群实例使用了集群错误重试配置（cluster_error_retry_attempts），当遇到TimeoutError、ConnectionError或ClusterDownError时进行重试，默认重试上限为3，代码如下： client = Redis(host=redis_host, port=redis_port, password=redis_password, cluster_error_retry_attempts=3, health_check_interval=60, max_connections=50, decode_responses=True) 可以搭配Retry一起使用，示例代码如下： from redis.backoff import ExponentialBackoff from redis.retry import Retry from redis.cluster import RedisCluster rc = RedisCluster(host='localhost', port=6379, retry=Retry(ExponentialBackoff(), 6), cluster_error_retry_attempts=1) 但是其最大重试次数为 retries * (cluster_error_retry_attempts+1)，以上述示例代码为例，最大重试次数为12次。 父主题： 代码解读

FunctionGraph监控告警 Redis自动重试机制能大幅度降低暂时性故障影响，但不能解决故障，故障不及时处理可能导致故障升级，所以需要告警来及时感知代码运行情况。FunctionGraph支持通过创建告警规则完成对函数运行的实时监控，当函数指标出现满足设定规则时产生告警，通过短信或邮件的方式通知用户。客户收到告警后，可以查看函数日志来分析故障原因，解决故障。 FunctionGraph函数监控信息，提供了调用次数、运行时间、错误次数、拒绝次数和资源统计监控指标。建议对监控指标中的错误次数和运行时间-最大运行时间创建告警配置，这样就能及时感知到如下情况： 访问Redis异常。例如连接异常、请求超时、服务暂时不可用，导致函数执行错误计入错误次数指标。 使用复杂度过高命令，导致CPU耗尽，函数执行时间变长，体现在运行时间-最大运行时间指标。 父主题： 使用函数访问Redis数据库

连接DCS集群实例 from redis.cluster import RedisCluster as Redis from redis.cluster import ClusterNode redis_client = None def create_redis_client(context): logger = context.getLogger() redis_cluster_nodes = context.getUserData( "redis_ip_address") redis_password = context.getUserData( "redis_password") startup_nodes = [] for redis_node in redis_cluster_nodes.split(','): node_info = redis_node.split(":") startup_nodes.append(ClusterNode(host=node_info[0], port=node_info[1])) logger.info("redis startup_nodes={}".format(startup_nodes)) client = Redis(startup_nodes=startup_nodes, password=redis_password, cluster_error_retry_attempts=3, socket_timeout=2, socket_connect_timeout=2, health_check_interval=60, max_connections=50, decode_responses=True) return client def initializer(context): global redis_client redis_client = create_redis_client(context) redis_client.ping() def handler(event, context): logger = context.getLogger() redis_client.set('foo', 'bar') value = redis_client.get('foo') logger.info("redis get key foo value={}".format(value)) return value 表1 RedisCluster配置 参数 默认值 说明 host localhost 连接Redis实例的IP地址/域名 port 6379 连接端口号 cluster_error_retry_attempts 3 当遇到TimeoutError、ConnectionError或ClusterDownError时，在抛出异常之前重试的次数 其他参数配置可以参考表3。 父主题： 示例代码

Redis健康检查 Redis健康检查的作用是判断Redis服务端是否正常工作，使用health_check_interval配置对Redis进行定时健康检查，该配置单位为秒，默认值为0不进行健康检查，代码如下： retry = Retry(ExponentialBackoff(), 3) pool = BlockingConnectionPool(host=redis_host, port=redis_port, password=redis_password, max_connections=50, timeout=3, socket_timeout=2, socket_connect_timeout=2, retry=retry, retry_on_error=[BusyLoadingError, ConnectionError, TimeoutError], health_check_interval=60, decode_responses=True) 如果业务量大建议不适用该配置，进而减少开销。 父主题： 代码解读

绑定微服务网关 登录CAE控制台。 在左侧导航栏中选择“系统设置”。 单击“微服务网关配置”模块中的“编辑”，进入“微服务网关配置”页面。 在右侧页面中选择微服务网关。 已存在的微服务网关不满足业务需求时： 1、单击“前往微服务网关控制台”，进入微服务引擎控制台。 2、根据需求创建微服务网关。 图1 配置微服务网关 单击“保存”，页面提示“创建微服务网关配置成功”。 等待微服务网关状态变成可用时，表示绑定成功。

获取修改后Nginx配置文件 由于此最佳实践仅支持root用户运行的镜像，官方的Nginx镜像使用nginx用户运行，您需要将nginx运行用户改为root。 已经为您修改了以root用户运行的配置，您可以通过以下链接下载“nginx.conf”文件进行替换。 下载地址：https://test-open-obs.obs.cn-east-3.myhuaweicloud.com/nginx.conf

配置云存储挂载路径 返回CAE控制台，选择“组件配置”。 在“组件配置”页面上方的下拉框中选择Nginx组件。 单击“云存储配置”模块中的“编辑”，进入云存储配置页面。 图8 配置云存储 在“云存储配置”页面单击“配置并行文件系统”，并输入挂载路径并设置权限。 挂载路径：数据存储挂载到组件上的路径。本实践使用“nginx”默认路径“/usr/share/nginx/html”。 权限：挂载路径及挂载路径下文件，有“读写”、“只读”两种权限，此处选择“读写”。 图9 配置云存储挂载路径 挂载静态文件路径到云存储上时需要注意：请不要挂载到含有系统文件的目录下，如“/”、“/var/run”等，否则可能会导致部署的组件异常。 挂载路径选择权限时需要注意：读写权限表示组件对于该挂载路径及路径下的所有文件拥有读写权限，只读即只有只读权限。 单击“添加挂载路径”，通过配置挂载子路径修改Nginx配置文件。 挂载路径：“/etc/nginx/nginx.conf”。 子路径：“nginx.conf”。 权限：选择“读写”权限。 图10 配置挂载子路径 单击“确定”后在“云存储配置”页面再次单击“确定”，完成配置。 在“组件配置”页面单击“生效配置”。 图11 生效配置

历史版本 云堡垒机实例历史版本功能包括身份认证、权限控制、账号管理、安全审计。 表3 历史规格/性能说明 版本 资产数 并发数 CPU 内存 硬盘 标准版 20 20 1核 4GB 100GB 专业版 50 50 2核 4GB 200GB 企业版 100 100 4核 8GB 400GB 高级版 200 200 4核 8GB 800GB 旗舰版 无限制 无限制 8核 16GB 1TB 鲲鹏版 20 20 2核 4GB 200GB 鲲鹏版 50 20 2核 4GB 500GB 表 历史规格/性能说明中的“并发数”是基于字符协议客户端运维（如SSH客户端、MySQL客户端）的并发数，基于图形协议运维（如H5 Web运维、RDP客户端运维）的并发数只有该值的1/3。

实例版本规格 表1 不同版本功能 功能版本 功能说明 标准版 基础功能：身份认证、权限控制、账号管理、安全审计 专业版 基础功能：身份认证、权限控制、账号管理、安全审计 增强功能：自动化运维、数据库运维审计 表2 不同规格配置说明 资产数 最大并发数 CPU 内存 系统盘 数据盘 10 10 4核 8GB 100GB 200GB 20 20 4核 8GB 100GB 200GB 50 50 4核 8GB 100GB 500GB 100 100 4核 8GB 100GB 1000GB 200 200 4核 8GB 100GB 1000GB 500 500 8核 16GB 100GB 2000GB 1000 1000 8核 16GB 100GB 2000GB 2000 1500 8核 16GB 100GB 2000GB 5000 2000 16核 32GB 100GB 3000GB 10000 2000 16核 32GB 100GB 4000GB 表 不同规格配置说明中的“并发数”是基于字符协议客户端运维（如SSH客户端、MySQL客户端）的并发数，基于图形协议运维（如H5 Web运维、RDP客户端运维）的并发数只有该值的1/3。

华为云账号可以登录云堡垒机系统吗？ 不可以。 华为云账号是真实的个人或企业登录华为云的账号信息，关联订单信息、费用信息等，用于登录控制台、管理云上资源等。创建和管理云堡垒机实例，即需先通过华为云账号登录控制台。 云堡垒机用户账号是云堡垒机系统内账号，仅用于登录云堡垒机系统，适用于企业人员管理，权限分配，运维审计等场景。 云堡垒机用户账号是独立于华为云账号以外的账号，且不与华为云关联。即华为云账号不能直接用于登录云堡垒机系统。 父主题： 登录方式及密码类

RADIUS认证 管理员配置RADIUS系统认证方式，并创建RADIUS认证用户。使用“密码登录”验证RADIUS用户账户和密码时，通过RADIUS协议，由第三方认证服务器对系统用户进行身份认证。 基本原理：通过远程网络接入设备的用户，与包含用户认证和配置信息的服务器之间，采用用户/服务器模式交换信息标准，执行认证业务。 IP：RADIUS服务器的IP地址。 端口：根据实际情选择，默认选择1812端口。 认证共享密钥：RADIUS的认证密码。 测试：用RADIUS的账号密码做测试。 系统RADIUS认证配置操作说明请参见配置RADIUS认证。

Azure AD认证 管理员需先在Azure平台创建企业应用程序，并将平台用户加入企业应用程序；再在云堡垒机系统配置Azure AD认证，并添加Azure平台已加入应用程序的用户。使用Azure认证入口验证用户身份时，跳转到Azure登录窗口，输入用户账号和密码，由第三方认证平台验证通过后，跳转登录云堡垒机系统。 基本原理：Azure AD认证基于SAML协议，通过在Azure平台配置企业应用程序，将Azure AD用作企业使用的应用程序的标识，认证登录用户身份。 系统Azure AD认证配置操作说明请参见配置Azure AD认证。

LDAP认证 管理员配置LDAP认证方式，并创建LDAP认证用户。使用“密码登录”验证LDAP用户账户和密码时，通过轻量级目录访问协议，由第三方认证服务器对系统用户进行身份认证。 基本原理：LDAP基于TCP/IP协议的目录访问协议，是Internet上目录服务的通用访问协议，形式一个树状目录类的数据库。 IP：LDAP服务器的IP地址。 端口：根据实际情况选择，默认选择389端口。 用户OU：LDAP中树状形式的组织信息，DN是分支节点到根目录的路径，Base_DN则是基准DN，即LDAP搜索的起始DN为用户的组织单元ou。例如：如果开始搜索的DN的组织单元为ou1，则Base_DN为ou=ou1，o=O。 系统LDAP认证配置操作说明请参见配置LDAP认证。

系统资源账户有哪些状态？ 云堡垒机系统被纳管资源的账户状态，用于标识资源账户的密码是否被验证，且验证是否通过，不能手动修改，可通过实时验证和自动巡检更新。 资源账户共有“正常”、“异常”和“未知”三种状态，各状态详细说明请参见表1。 表1 资源账户状态说明 状态 说明 正常 经过“验证”，账号及密码正确，且能正常登录的资源账户，显示为“正常”状态。 异常 经过“验证”，账户或密码不正确，可能不能正常登录的资源账户，显示为“异常”状态。 未知 添加完资源账户后，未经过“验证”的资源账户，显示为“未知”状态。 云堡垒机自动巡检： 在每月的5号、15号和25号凌晨一点，对纳管的资源账户进行账号巡检，通过检测资源账户的连通性，标记资源账户状态。 连通性良好，能正常登录的账户显示为“正常”。 不能连接，无法正常登录的账户显示为“异常”。 父主题： 资源添加类

云堡垒机允许多用户同时登录同一资源吗？ 云堡垒机本身允许多用户同时登录同一资源，即不限制登录资源的用户数量。但受限于资源的多用户登录配置，多个云堡垒机用户不能同时登录同一资源账户。 例如，受限于Windows资源的多用户同时登录配置，同时登录Windows资源的用户数量有最大限额。Windows 2008和Windows 2012服务器默认仅支持两个用户同时登录，即被CBH系统纳管的Windows服务器默认最多允许两个用户同时登录。 为解除资源多用户同时登录限制，您可以选择如下方式解决： 配置资源服务器允许多用户登录。例如，在Windows服务器配置远程桌面会话主机和远程桌面授权，详情请参见ECS多用户登录。 在资源服务器创建多个账号，并纳管为云堡垒机资源账户后，再分别授权给用户。 父主题： 运维管理

判断方法 如果您的DDoS高防同时遭受到CC攻击和DDoS攻击时，可参照以下方法快速判断遭受的攻击类型： 登录管理控制台。 单击“DDoS攻击防护”页签。 单击“DDoS攻击防护”、“CC攻击防护”，通过查看相应的流量报表信息，判断攻击类型： 攻击类型 DDoS攻击防护流量报表信息 CC攻击防护流量报表信息 DDoS攻击 报表中有攻击流量的波动。 已触发流量清洗。 报表中没有相关联的流量波动。 CC攻击 报表中有攻击流量的波动。 已触发流量清洗。 报表中有相关联的流量波动。

AAD ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [{ "Action": [ "aad:*:get", "aad:*:list" ], "Effect": "Allow" }] }

AAD权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 AAD部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问AAD时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对AAD服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，AAD支持的授权项请参见AAD权限及授权项。 如表1所示，包括了AAD的所有系统角色。 表1 AAD系统角色 系统角色/策略名称 描述 类别 依赖关系 CAD Administrator DDoS高防服务的管理员权限。 系统角色 进行付费操作（例如，购买DDoS高防实例、升级规格）时需要同时具有CAD Administrator和BSS Administrator角色，或具有Tenant Administrator角色。 BSS Administrator：费用中心、资源中心、帐号中心的所有执行权限。项目级角色，在同项目中勾选。 Tenant Administrator：除统一身份认证服务外，其他所有服务的所有执行权限。 须知： CAD Administrator系统角色即将下线，为了确保正常使用AAD，建议您尽快授予用户AAD FullAccess或AAD ReadOnlyAccess系统策略。 AAD FullAccess DDoS高防服务所有权限。 系统策略 进行付费操作（例如，购买DDoS高防实例、升级规格）时需要同时具有AAD FullAccess和BSS Administrator角色，或具有Tenant Administrator角色。 BSS Administrator：费用中心、资源中心、帐号中心的所有执行权限。项目级角色，在同项目中勾选。 Tenant Administrator：除统一身份认证服务外，其他所有服务的所有执行权限。 AAD ReadOnlyAccess DDoS高防服务只读权限，拥有该权限的用户仅能查看DDoS高防。 系统策略 无。