华为云用户手册

步骤四：企业项目配置 在项目配置区域，单击“新增”。 新增项目配置，具体参数如表3所示。 表3 项目配置参数 名称 说明 部门 选择已录入的部门。 产品 选择已录入的产品。 服务 选择已录入的服务。 华为公有云账号名 选择用户的华为云账号名。 类型 关联项目：关联已有的公有云EPS。 关联且新增项目：在公有云EPS创建一个新项目，同时进行关联。 企业项目名称 关联项目时，选择已有的公有云EPS。 关联且新增时，填写创建的企业项目名称。 单击“确定”。

步骤一：创建环境 进入运维中心工作台。 将鼠标悬停在右上角的账号，选择下拉列表中的“服务环境配置”，选择左侧导航栏的“环境管理”。 单击“创建”，配置环境参数，具体参数如表1所示。 表1 创建环境参数 参数 说明 名称 填写环境名称，名称全局唯一，只能包含小写字母、数字以及下划线，不能以下划线开头。 用途 选择环境的用途。可选用途包括开发、测试、生产、安全和性能。 描述 环境的描述信息。 单击“确定”。

步骤二：创建指标 在“指标仓库”页面，单击已创建的逻辑主体。 单击逻辑主体页面的“新建指标”，选择“新建单个指标”。 配置指标参数，参数说明如表2所示，配置完成后，单击“创建”。 表2 配置指标参数说明 参数名称 参数说明 类型 选择指标类型。 英文名称 自定义英文名称。 中文名称 自定义中文名称。 指标等级 选择指标等级。 描述 输入描述信息。 开放名称 - 指标类型 根据指标的类型分为RequestCount、DelayTime、SuccessRate、FailureRate、Speed、Bandwidth。 逻辑主体 选择指标来源的逻辑主体。 标签列表 - 指标责任人 - 开放状态 - 抽象指标 - 是否多聚合字段 - 聚合类型 选择指标的统计方式。 聚合字段 指标的度量对象。 过滤器 依据业务限定条件，给指标设置过滤规则，支持AND、OR多层嵌套过滤条件，节点类型为NODE。 举例：有5个过滤条件ABCDE，过滤条件汇总后为（A AND B）OR （C AND D AND E），ABCDE即为NODE节点。

约束与限制 本章节介绍云桌面服务产品功能的使用限制。 表1 云桌面使用限制 场景 限制项 限制说明 购买桌面 账号 只有使用实名认证后的账号登录云桌面控制台才能购买桌面。 是否对接AD 购买桌面后，不支持变更是否对接AD。 对接AD时，需确保云桌面所在网络与微软AD所在网络互通。 区域 不同区域的桌面之间内网互不相通，且需分区域管理桌面。 CPU架构 支持鲲鹏计算和X86计算。 桌面操作系统 目前支持UOS V20 1050操作系统版本、Windows Server 2016/2019操作系统版本。云桌面将会持续增加操作系统支持范围。 系统盘 受所选区域资源限制，系统盘大小需设置为80~1020GB。 数据盘 受所选区域资源限制，最多只能添加10个数据盘，且每个数据盘大小需为10~1020GB之间的10的整数倍。 网络 云桌面预留172.20.0.0/16~172.31.0.0/16网段作为内部服务运行网段，故请勿选择172开头的VPC网络，否则将无法成功购买桌面。 分配用户 每个桌面只能属于单个用户。 登录桌面 移动终端 支持安装了Android 6.0以上版本操作系统的移动终端设备登录桌面。 瘦终端和PC软终端 支持操作系统为Windows 10以及macOS（10.14~12.4，64位）的PC软终端，以及适配的瘦终端（UOS、Android等操作系统）登录桌面。 配置桌面 策略 桌面策略会在用户下一次登录桌面后生效。 支持从客户端到服务端或服务端到客户端的单向复制或者双向复制。 仅在客户端（TC/SC）操作系统和云桌面操作系统均为Windows时，支持富文本复制、文件复制，且最多同时可复制500个文件。 当客户端（TC/SC、移动客户端）操作系统或云桌面操作系统为其他时，只支持纯文本格式复制，不支持文件复制。 渲染加速仅适用多媒体视频编辑场景，其它场景不建议打开。 默认策略为预设好的通用策略，且不支持优先级修改。 当您创建多条策略时，默认策略的优先级最低。 单一区域默认的策略配额为50个。 网络接入方式 云桌面可同时支持互联网接入方式和专线接入方式，并且同一时间内至少保持一种接入方式处于开启状态，不可将两种接入方式同时关闭。 云桌面使用172.20.0.0/16~172.31.0.0/16网段为桌面管理网卡的保留网段，使用云专线的方式与企业内网的PC进行通信时，请避免在企业内网使用此网段，以免路由冲突而导致无法互相访问。 使用云专线接入方式需要创建VPC终端节点。 配置云桌面可访问企业内网 使用防火墙时，需确保防火墙中出方向的8443端口和443端口为放通状态。 变更规格 变更规格过程中，请勿对云桌面进行其他操作。 仅支持从通用办公版套餐类型变更为尊享版套餐类型。不支持其他跨套餐类型的规格变更。 重建系统盘 重建系统盘前，桌面“登录状态”不为“无法连接”，且“运行状态”为“运行中”或“已停止”。 重建系统盘后，原系统盘中的数据（如桌面，收藏夹等）会丢失，如果需要这些数据，请提前通知用户备份。 重置系统盘时，如果该云桌面使用的私有镜像，需确保该私有镜像仍存在。 管理桌面 重发通知邮件 只在该用户绑定了桌面的情况下，可重新发送通知邮件。 删除用户 只在该用户未绑定桌面的情况下，可删除用户。 重置密码 已对接Windows AD域，将无法给桌面用户重置密码。 解锁用户 已对接Windows AD域，将无法对桌面用户进行解锁。 禁用操作（UOS操作系统桌面） 执行命令项 禁止执行pkill hdp命令和pkill Xvfb命令结束进程，否则导致系统运行存在异常。 禁止执行ifconfig eth* down命令禁用网卡，否则导致桌面无法连接网络。 卸载项 禁止更换桌面图形界面软件，否则导致系统性能异常。 禁止卸载samba和winbind组件，否则导致系统运行异常。 删除项 禁止删除/etc/init.d/hdp**开头的文件，否则导致系统运行异常。 禁止删除28511/28512/28521/28522端口，否则可能导致虚拟机连接失败。 升级项 禁止自行升级Linux内核，否则可能导致系统崩溃。 禁用操作（Windows操作系统桌面） 进程和服务 禁止更改系统配置中默认的服务和启动选项。 禁止结束任务管理器中“LOCAL SERVICE”、“NETWORK SERVICE”和“SYSTEM”类进程。 禁止禁用HDP类服务。 禁止卸载以下程序。 Access Agent Microsoft .NET Framework x Client Profile Microsoft .NET Framework x Extended Microsoft Visual C++ xxx Redistributable - xxx 网络 禁止禁用网卡、禁用或修改网络配置。 禁止执行修改路由的脚本或命令，如route DELETE *。 禁止在Windows防火墙例外选项中删除28511、28512、28521和28522端口。 禁止打开IPsec等具有禁用网络流量功能的软件或工具。 其他 禁止删除“C:\Program Files\Huawei”目录下的文件和文件夹。 禁止对桌面执行睡眠操作，桌面默认不启用睡眠操作。 禁止修改HDP客户端（Access Agent）配置文件。 禁止运行魔法兔子或Windows优化大师等软件对注册表进行清理和优化。 自定义安装具有变换功能的屏保会消耗大量系统资源，导致用户重新进入桌面时会有一定延迟，请慎重操作。 云桌面使用 云桌面接访问互联网 云桌面是通过绑定数据中心的IP进行互联网访问，部分娱乐类的网站基于自身运营的需要，会对数据中心IP访问进行限制，导致的结果是云桌面无法访问相关的网站，目前识别到的有是优酷、淘宝等网站。

创建用户并授权使用云桌面 操作场景 如果需要对您所拥有的Workspace资源进行精细的权限管理，可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的华为账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用Workspace云桌面。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 如果华为账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用云桌面的其他功能。 本章节以授予“Workspace ReadOnlyAccess”权限为例介绍为用户授权的方法 前提条件 给用户组授权之前，请您了解用户组可以添加的Workspace权限，并结合实际需求进行选择。若您需要对除Workspace之外的其他服务授权，IAM支持服务的所有权限请参见：系统权限。 示例流程 创建用户组并授权。 在IAM控制台创建用户组，并授予Workspace服务只读权限“Workspace ReadOnlyAccess”。 创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限（假设当前权限仅包含Workspace ReadOnlyAccess）。 在“服务列表”中选择云桌面服务，进入桌面管理界面，执行除查询以外的其他操作，如：开关机、重启、创建、修改、删除等。 示例：对桌面进行开机或关机操作，若提示权限不足，表示“Workspace ReadOnlyAccess”已生效。 在“服务列表”中选择除云桌面服务外的任意一个服务，如“虚拟私有云”，若提示权限不足，表示“Workspace ReadOnlyAccess”已生效。 父主题： 权限管理

计费构成分析 可以将云容器实例的使用阶段按照规格分为两段： 在2023/03/18 15:30:00 ~ 2023/03/20 9:00:00期间按照Pod规格：CPU 2核，内存 4GB计费，计费时长为41.5小时，费用计算如下： 在2023/03/20 9:00:00 ~ 2023/03/31 23:59:59期间按照Pod规格：CPU 4核，内存 8GB计费，计费时长为279小时，费用计算如下： 由此可见，在3月份，该云容器实例总共产生的费用为： 第一段时间产生费用：0.0001225*41.5*60*60=18.301元 第二段时间产生费用：0.000245*279*60*60=246.078元 总共产生费用：18.301+246.078=264.379元

怎样修改GoDaddy域名的DNS服务器地址？ 登录 https://sg.godaddy.com/zh网站。 单击“My Account”，进入My Account页面。 在“Products”页签中，单击“DOMAINS”前面的，展开域名列表。 待修改域名的“Action”列，单击“Launch”。 在展开页面的“Nameservers”区域，单击“Set Nameservers”。 图9 Set Nameservers 选择“I have specific nameservers for my domains.” 设置“Nameservers1”和“Nameservers2”为华为云DNS提供的DNS服务器地址。 ns1.huaweicloud-dns.com ns1.huaweicloud-dns.cn ns1.huaweicloud-dns.net ns1.huaweicloud-dns.org

修改单个域名的DNS服务器 登录域名注册控制台。 进入“域名列表”页面。 在域名列表中，单击“域名”列的待修改DNS服务器的域名。 进入域名信息页面。 图1 域名信息 在域名信息页面，单击“DNS服务器”后的“修改”，进入“修改DNS服务器”页面。 图2 修改DNS服务器（2） 在“DNS服务器”的文本框内，修改DNS服务器地址。 域名最多支持设置6个不同的DNS服务器，最少支持设置2个不同的DNS服务器。 在此页面，您还可以增加和删除DNS服务器。 增加：单击“增加”，输入新的DNS服务器地址。 如果您的域名使用华为云DNS进行解析，可以将“DNS服务器”设置为： ns1.huaweicloud-dns.com：中国大陆各区域DNS服务器地址 ns1.huaweicloud-dns.cn：中国大陆各区域DNS服务器地址 ns1.huaweicloud-dns.net：除中国大陆之外国家或地区DNS服务器地址 ns1.huaweicloud-dns.org：除中国大陆之外国家或地区DNS服务器地址 更多华为云DNS服务器的设置建议，请参见华为云DNS对用户提供域名服务的DNS是什么？。 删除：当设置的DNS服务器超过2个时，可以单击“删除”删除不需要的DNS服务器。 图3 删除DNS服务器 单击“确定”，完成DNS服务器的修改。

怎样修改新网域名的DNS服务器地址？ 登录http://www.xinnet.com网站。 在左侧树状导航栏，单击“域名管理”。 在“我的域名”页签，单击待修改域名“操作”列的“管理”。 进入“域名基本信息”页面。 在左侧树状导航栏，单击“修改DNS”。 进入“修改域名DNS”页面。 图8 修改域名DNS 选择“使用非新网DNS”。 设置“主DNS”和“辅DNS”为华为云DNS提供的DNS服务器地址。 ns1.huaweicloud-dns.com ns1.huaweicloud-dns.cn ns1.huaweicloud-dns.net ns1.huaweicloud-dns.org

操作场景 域名(域名注册服务)的DNS服务器地址决定了域名使用哪家DNS厂商在互联网提供解析访问。 用户在DNS控制台完成域名解析配置后，需要在域名注册商处确认域名的DNS服务器地址是否是华为云的DNS地址，如果DNS服务器地址不正确，则公网域名解析无法生效。 用户场景 操作指导 修改华为云DNS服务器地址 修改华为云域名的DNS服务器 修改第三方域名注册商DNS服务器地址 怎样修改万网域名的DNS服务器地址？ 怎样修改腾讯域名的DNS服务器地址？ 怎样修改西部数码域名的DNS服务器地址？ 怎样修改易名中国域名的DNS服务器地址？ 怎样修改新网域名的DNS服务器地址？ 怎样修改GoDaddy域名的DNS服务器地址？ 本文涉及部分非华为云域名注册商的DNS服务器修改指导，仅供参考，具体以域名服务商官网操作指导为准。 修改DNS服务器地址并不能立即生效，具体的生效时间请参见修改DNS服务器后多久生效？。

场景二：Web类应用 使用FunctionGraph和其他云服务或租户VM结合，用户可以快速构建高可用，自动伸缩的Web/移动应用后端。比如小程序、网页/App、聊天机器人、BFF等。 其优势有： 高可用，利用OBS，Cloud Table的高可用性实现网站数据的高可靠性，利用API Gateway和FunctionGraph的高可用性实现网站逻辑的高可用。 灵活扩展，业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 按需收费，只有对函数处理文件数据的时间进行计费，无需购买冗余的资源用于非峰值处理。

场景一：事件驱动类应用 以事件驱动的方式执行服务，按需供给，开发者无需关注业务波峰波谷，节省闲时成本，最终降低运维成本。比如视频直播/转码、实时数据流处理、IoT规则/事件处理等。 实时文件处理 客户端上传文件到OBS，触发FunctionGraph函数，在上传数据后立即进行处理。可以使用FunctionGraph实时创建图像缩略图、转换视频编码、进行数据文件汇聚、筛选等。 其优势有： 灵活扩展，业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 事件触发，通过上传文件到OBS，触发FunctionGraph函数进行文件处理。 按需收费，只有对函数处理文件数据的时间进行计费，无需购买冗余的资源用于非峰值处理。 使用对象存储服务（OBS），创建两个桶，上传图片，通过构建和触发函数对图片进行压缩，参考使用函数压缩图片。 实时数据流处理 使用FunctionGraph和DIS处理实时流数据，跟踪应用程序活动、顺序事务处理、分析数据流、整理数据、生成指标、筛选日志、建立索引、分析社交媒体以及遥测和计量IoT设备数据。 其优势有： 事件触发，通过DIS流采集数据，批量数据通过事件触发处理函数进行处理。 灵活扩展，业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 按需收费，只有对函数处理文件数据的时间进行计费，无需购买冗余的资源用于非峰值处理。 如使用数据接入服务采集IOT实时数据流，通过构建函数，将采集到的数据进行处理（比如格式转换），然后存储到表格存储服务（CloudTable Service）中，参考使用函数处理DIS数据。

场景三：AI类应用 各行各业智能化深入带来更多的应用开发场景，通常需要集成各类服务快速上线。比如三方服务集成、AI推理、车牌识别。 其优势有： 快速搭建，用户上传图像后触发函数工作流执行调用文字识别/内容检测服务针对图像进程处理，并将结果以JSON结构化数据返回。按需使用函数与多个智能服务集成，形成丰富的应用处理场景。并随时根据业务改变对函数处理过程做调整，实现业务灵活变更。 简化运维，用户只需开通相关云服务并在函数服务中编写业务逻辑，无需配置或管理服务器，专注于业务创新。业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 按需计费，只有对函数执行的时间及各智能服务处理进行计费，无需购买冗余的资源用于非峰值处理。

FunctionGraph权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 FunctionGraph资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在各区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问FunctionGraph时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了FunctionGraph的所有系统权限。 表1 系统权限说明 系统角色/策略名称 描述 类别 依赖关系 FunctionGraph Administrator 函数工作流（FunctionGraph）管理员，具有管理函数、工作流、触发器以及调用函数的权限（该权限后期会下线，建议您不使用） 系统角色 Tenant Guest FunctionGraph Invoker 函数工作流（FunctionGraph）调用者，具有查询函数、工作流、触发器以及调用函数的权限 系统角色 无 FunctionGraph FullAccess 函数工作流服务所有权限 系统策略 无 FunctionGraph ReadOnlyAccess 函数工作流服务只读权限 系统策略 无 FunctionGraph CommonOperations 函数工作流（FunctionGraph）调用者，具有查询函数和触发器，以及调用函数的权限 系统策略 无 当添加了FunctionGraph FullAccess权限的子账号在创建触发器或使用其他功能时仍没有操作权限，是因为该服务或功能不支持细粒度鉴权，因此需要您单独添加对应服务或功能的Admin权限。具体详情如下： CTS、APIG、DIS当前不支持细粒度鉴权，需要添加对应admin权限。 SMN目前部分局点已支持细粒度鉴权，如您遇到无法细粒度鉴权情况，则需要添加对应admin权限。 IoTDA是新增加的触发器，FullAccess中缺少对应权限。您在创建该触发器时会提示需要创建委托并添加相应权限，创建委托需要您先添加iam: agencies:list，iam:agencies:createAgency 权限； TMS、DNS、BSS、CES、EG、DMS是新增加功能，FullAccess中缺少对应权限，需单独添加； 更多触发器及相关功能需要的权限，请参见表2所示。 表2 触发器及相关功能的权限 触发器/服务功能 权限 APIG apig:groups:get apig:groups:list apig:apis:create apig:apis:delete apig:apis:update apig:apis:publish apig:apis:list apig:apis:get apig:apis:offline apig:apps:list apig:envs:list APIG专享版 apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate CTS cts:notification:create cts:notification:delete cts:notification:update cts:operation:list cts:tracker:list cts:trace:list DDS dds:instance:get dds:instance:list DIS dis:streams:list IoTDA iotda:routingrules:create iotda:routingrules:delete iotda:routingrules:queryList iotda:routingrules:query iotda:routingactions:create iotda:routingactions:delete iotda:routingactions:query iotda:routingactions:queryList iotda:subscriptions:queryList iotda:rules:modifyStatus iotda:apps:queryList LTS lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get OBS obs:bucket:GetBucketLocation obs:bucket:GetBucketNotification obs:bucket:PutBucketNotification obs:bucket:ListBucket SMN smn:topic:list smn:topic:update TMS tms:predefineTags:list tms:tagValues:list DNS dns:recordset:create, dns:recordset:list, dns:recordset:update, dns:zone:create, dns:zone:delete, dns:zone:get, dns:zone:list BSS bss:bill:view bss:renewal:view CES ces:alarms:get ces:alarms:list ces:alarms:create DMS dms:instance:get EG eg:subscriptions:get eg:subscriptions:list eg:sources:list eg:sources:get eg:agency:create eg:subscriptions:create eg:subscriptions:delete eg:subscriptions:operate 表3列出了FunctionGraph常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表3 常用操作与系统权限之间的关系 操作 FunctionGraph Invoker FunctionGraph Administrator FunctionGraph ReadOnlyAccess FunctionGraph CommonOperations FunctionGraph FullAccess 创建函数 × √ × × √ 查询函数 √ √ √ √ √ 修改函数 × √ × × √ 删除函数 × √ × × √ 调用函数 √ √ × √ √ 查看函数日志 √ √ √ √ √ 查看函数指标数据 √ √ √ √ √

与其他服务的关系 FunctionGraph服务与以下云服务的对接，实现相关功能，如表1所示。 表1 对接服务 服务名称 实现功能 消息通知服务（SMN） 构建FunctionGraph函数来处理SMN的通知，相关内容请参考消息通知服务用户指南。 API网关（API Gateway） 通过HTTPS调用FunctionGraph函数，使用API Gateway自定义REST API和终端节点来实现。相关内容请参考API网关用户指南。 对象存储服务（OBS） 构建FunctionGraph函数来处理OBS存储桶事件，例如对象事件或删除事件。当用户将一张照片上传到存储桶时，OBS存储桶调用FunctionGraph函数，实现读取图像和创建照片缩略图。相关内容请参考对象存储服务用户指南。 数据接入服务（DIS） 构建FunctionGraph函数定期轮询DIS数据流中的新记录，例如网站点击流、财务交易记录、社交媒体源、IT日志和位置跟踪事件等。相关内容请参考数据接入服务用户指南。 云日志服务（LTS） 构建FunctionGraph函数来处理云日志服务订阅的日志。当云日志服务采集到订阅的日志后，可以通过FunctionGraph函数对其进行自定义处理、分析或将其加载到其他系统。相关操作请参考云日志服务用户指南。 云审计服务（CTS） 构建FunctionGraph函数，根据CTS云审计服务类型和操作订阅所需要的事件通知，由函数对日志中的关键信息进行分析和处理。相关内容请参考云审计服务用户指南。 通过云审计服务，您可以记录与FunctionGraph服务相关的操作事件，便于日后的查询、审计和回溯。相关内容请参考云审计服务支持的FunctionGraph操作列表。 审计日志。开通云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。操作步骤请参考查看追踪事件。 文档数据库服务（DDS） 使用DDS触发器，每次更新数据库中的表时，都可以触发Functiongraph函数以执行额外的工作，创建DDS文档数据库实例请参见购买文档数据库实例。 云监控服务（CES） FunctionGraph函数实现了与云监控服务对接，函数上报云监控服务的监控指标，用户可以通过云监控服务来查看函数产生的监控指标和告警信息。相关内容请参考云监控服务用户指南。 云监控支持的函数监控指标请参考监控配置。 虚拟私有云（VPC） 函数支持用户创建虚拟私有云（VPC）并访问自己VPC内的资源，同时支持通过SNAT方式绑定EIP访问外网。相关内容请参考虚拟私有云用户指南。

函数管理 提供控制台管理函数。 函数支持Node.js、Java、Python、Go等多种运行时语言，同时支持用户自定义运行时，说明如表1所示。 建议使用相关语言的最新版本。 表1 运行时语言说明 运行时语言 支持版本 Node.js 6.10、8.10、10.16、12.13、14.18、16.17、18.15 Python 2.7、3.6、3.9、3.10 Java 8.0、11 Go 1.x C# .NET Core 2.1、.NET Core 3.1 PHP 7.3 定制运行时 - 函数支持多种代码导入方式 支持在线编辑代码、OBS文件引入、上传ZIP包、上传JAR包等方式。不同运行时支持的代码上传方式如表2所示。 表2 代码上传方式说明 运行时 在线编辑 上传ZIP文件 上传JAR包 从OBS上传文件 Node.js 支持 支持 不支持 支持 Python 支持 支持 不支持 支持 Java 不支持 支持 支持 支持 Go 不支持 支持 不支持 支持 C# 不支持 支持 不支持 支持 PHP 支持 支持 不支持 支持 定制运行时 支持 支持 不支持 支持

初始化功能 引入initializer接口： 分离初始化逻辑和请求处理逻辑，程序逻辑更清晰，让用户更易写出结构良好，性能更优的代码。 用户函数代码更新时，系统能够保证用户函数的平滑升级，规避应用层初始化冷启动带来的性能损耗。新的函数实例启动后能够自动执行用户的初始化逻辑，在初始化完成后再处理请求。 在应用负载上升，需要增加更多函数实例时，系统能够识别函数应用层初始化的开销，更准确的计算资源伸缩的时机和所需的资源量，让请求延时更加平稳。

函数流 函数流是用来编排FunctionGraph函数的工具，可以将多个函数编排成一个协调多个分布式函数任务执行的工作流。 用户通过在可视化的编排页面，将事件触发器、函数和流程控制器通过连线关联在一个流程图中，每个节点的输出作为连线下一个节点的输入。编排好的流程会按照流程图中设定好的顺序依次执行，执行成功后支持查看工作流的运行记录，方便您轻松地诊断和调试。 函数流功能特性和优势： 功能特性 函数可视化编排 函数流执行引擎 错误处理 可视化监控 优势 使用更少代码快速构建应用程序 函数流允许用户将函数组合编排成一个完整的应用程序，而无需进行代码编写。可以实现快速构建，快速上线。当业务调整时，可以快速调整流程，完成快速上线，无需编写任何代码。 完善的错误处理机制 支持对流程中发生的错误进行捕获和重试，用户可以进行灵活的异常处理。 可视化的编排和监控体验 通过拖拽进行流程编排，学习成本低，可以快速上手。 监控页面使用流程可视化的查看方式，可以做到快速识别问题位置。

规则详情 表1 规则详情 参数 说明 规则名称 elb-members-weight-check 规则展示名 ELB后端服务器权重检查 规则描述 后端服务器的权重为0，且其所属的后端服务器组的负载均衡算法不为“SOURCE_IP”时，视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.members 规则参数 weight：后端云服务器的权重，请求将根据后端服务器组配置的负载均衡算法和后端云服务器的权重进行负载分发。 权重值越大，分发的请求越多。 取值范围：0-100。

注意事项 客户账号在3个月内提交过解除关联的申请，伙伴需在客户提交解除关联申请的3个月后才能发起与该客户解除关联或切换关联类型的申请。 伙伴在3个月内仅可以发起一次与同一客户解除关联或切换关联类型的申请。 客户存在未失效预留实例，伙伴需要通知客户先退订预留实例后伙伴再申请切换关联类型。 对于顾问销售模式的客户： 客户账号已申请后付费，伙伴无法申请切换该客户关联类型。 客户账户有欠款，伙伴需要通知客户先充值还清欠款后伙伴再申请解除或切换关联类型。 客户账号存在欠票，伙伴需要通知客户处理欠票后伙伴再申请切换关联类型。 客户账号在切换关联关系前的原有现金余额需要客户提工单进行提现。 客户账号为财务托管模式企业子账号，伙伴需要与其企业主账号解除关联关系或切换关联类型；客户账号为非财务托管模式企业子账号，伙伴只能与客户解除关联关系，无法切换关联类型。 客户账号为企业主账号且名下有财务托管企业子账号，伙伴需要先通知客户解除与财务托管企业子账号的关联关系后再申请解除企业主账号与伙伴的关联关系或切换关联类型。 对于代售模式的客户： 客户关联了企业主账号或企业子账号，伙伴需要通知客户解除与企业主账号或企业子账号的关联关系后伙伴再申请解除关联关系。 客户账户有欠款，伙伴需要给客户拨款核销欠款后伙伴再申请解除关联关系或切换关联类型。 客户存在未失效预留实例，伙伴需要通知客户先退订预留实例后伙伴再申请解除关联关系。 客户有正在生效的特殊合同，伙伴需要联系您的华为云生态经理处理后，才能申请解除关联关系或切换关联类型。 客户账号下有待合作伙伴支付的订单，伙伴需要通知客户取消订单或者代客户支付订单后伙伴再申请解除关联关系或切换关联类型。 客户与伙伴解除关联关系或与伙伴的关联模式切换后，对客户的影响请单击这里查看。

申请关联合作伙伴及关联的注意事项 客户线下联系合作伙伴，获取邀请链接或者二维码，通过复制链接到浏览器或者扫描二维码，完成注册和关联合作伙伴。 注意事项如下： 以下客户不能关联合作伙伴： 客户在国际站注册； 客户已关联其他合作伙伴； 客户是解决方案提供商或者云经销商伙伴； 客户已被华为云报备； 客户已经或者正在加入政府补贴类计划； 客户已加入华为云奖励推广计划； 客户为消费者云用户； 客户注册时间超过7天或者存在现金消费不能直接关联合作伙伴，需要先联系合作伙伴完成报备后再关联。 客户华为云账号有欠费，客户需充值还款后再关联伙伴； 客户账号为财务托管企业子（资源账号或云账号）账号。 以下客户不能以代售模式关联合作伙伴： 客户已与华为云签署指定合同（线下直签合同、电销授权合同折扣、直签特价商务、专业服务合同）等； 后付费客户（即申请了信用额度的客户）； 客户存在未失效预留实例； 客户华为云账号有欠票金额； 客户账户中有未消费完的储值卡，客户需消费完储值卡后再关联伙伴； 客户账号为关联有企业子账号的企业主账号，若企业主账号想要以代售模式关联合作伙伴，需要先解除与企业子账号的关联关系才能以代售模式关联合作伙伴； 客户账号为企业子账号，且该企业子账号关联的企业主账号未以代售模式关联合作伙伴； 客户账号还有充值赠送的余额没有使用，客户需使用完充值赠送的余额后再关联伙伴； 客户以代售模式关联合作伙伴时，原账户余额及代金券、现金券处理规则如下： 客户可以自行申请提现操作。 客户名下的代金券在关联伙伴之后仍可继续使用，未用完的现金券将会被华为云回收。 父主题： 如何申请关联合作伙伴

Kafka实例信息准备 实例连接地址与端口 实例创建后，从Kafka实例控制台的基本信息页面中获取。Kafka实例为集群部署时，至少有3个连接地址，在客户端配置时，建议将连接地址都配上。 如果开启公网访问，还可以使用基本信息页面下方的公网连接地址访问Kafka实例。 图1 查看Kafka实例Broker连接地址与端口 Topic名称 从Kafka实例控制台的Topic管理页面中获取Topic名称。 图2 查看Topic名称 SASL信息 如果实例创建时开启SASL访问，则需要获得SASL_SSL用户名与密码、SSL证书、Kafka安全机制和SASL认证机制。 SASL用户名在Kafka实例控制台的“用户管理”页面中查看，如果忘记密码，可通过重置SASL_SSL密码重新获得。 图3 查看SASL用户名 SSL证书在Kafka实例控制台的基本信息页面中下载。 使用Java语言连接实例时，需要用JKS格式的证书。使用Python语言连接实例时，需要用CRT格式的证书。 SASL认证机制在Kafka实例控制台的基本信息页面中获取。如果SCRAM-SHA-512和PLAIN都开启了，根据实际情况选择其中任意一种配置连接。如果页面未显示“开启的SASL认证机制”，默认使用PLAIN机制。 图4 开启的SASL认证机制 Kafka安全机制在Kafka实例控制台的基本信息页面中获取。如果页面未显示“启用的安全协议”，默认使用SASL_SSL协议。

注意事项 录制规则配置支持域名级、应用级和流级，优先生效细粒度配置（即流级别最优先），同级配置不支持多种录制类型。 直播服务不支持清理录制内容，仅记录直播录制事件，且直播录制事件的数据只保留30天。您可根据业务的实际需求，在OBS中手动清理录制文件或通过OBS生命周期管理功能实现录制文件的存留期限和策略。 直播录制过程中，若直播推流因网络抖动等问题中断，则直播服务将中止录制。当推流重新启动时，直播服务将重新开启新的录制任务。 配置录制后，启动推流即开始录制，结束推流才可停止录制，暂无法按需停启；若在推流过程中删除录制规则，录制仍然会继续，直到推流结束 。 OBS服务会因欠费停服，从而导致直播录制失败，建议您购买OBS存储包。 仅支持对接收到的源直播流进行录制，暂不支持录制直播转码流。

个人数据说明 使用个人数据的场景 视频直播推流和播放。 仅配置录制和截图模板后，生成录制文件和截图文件，并存储于用户自有OBS桶中。 问题定位和直播数据统计。 收集的个人数据项 直播的音视频。 录制文件和直播截图。 终端用户IP地址。 收集的来源和方式 最终用户访问。 直播过程中，直播服务从直播流中获取。 终端用户观看直播时保存于直播日志文件中。 使用的目的以及安全保护措施 用于直播播放。直播音视频会被加密传输。 存储在用户自有OBS桶中，用户可自行处理录制文件和截图。 用户可以根据实际需求配置OBS桶的安全机制。 IP地址匿名化后写入直播日志文件中，以IP地址区分终端用户，用于问题定位及直播数据统计。 存留期限与存留策略 不保存，仅在视频直播服务中进行处理。 用户自行决定存留期限和策略。 保存在日志文件中，存留期为直播结束后的3个月。 销毁方式 不保存，不涉及销毁。 用户自行删除。 到期系统自动删除日志文件。 导出方式 暂无导出场景。 用户自行从OBS桶中下载导出。 提供日志下载功能。 导出指导 暂无导出场景。 请参见OBS用户指南导出。 请参见日志管理下载。

配置Flink Jar作业 表1 配置属性参数 参数 是否必选 说明 Flink作业名称 是 输入Flink作业名称。 系统支持Flink作业名称按照工作空间-作业名称格式自动填入。 作业名称只能包含英文字母、数字、中划线和下划线，且长度为1~64个字符，不能包含中文字符。 MRS集群名 是 选择MRS集群名称。 说明： 单任务Flink Jar目前支持的MRS集群版本是MRS 3.2.0-LTS.1及以上版本。 运行程序参数 否 配置作业运行参数。 该参数为本次执行的作业配置相关优化参数（例如线程、内存、CPU核数等），用于优化资源使用效率，提升作业的执行性能。 注意： 系统支持Flink Jar作业运行前能够查询历史checkpoint，并选择从指定checkpoint启动。要使Flink Checkpoin生效，需要配置两个运行参数： 用来控制checkpoint间隔 -yD：execution.checkpointing.interval=1000 用来控制保留的checkpoint数量 -yD：state.checkpoints.num-retained=10 查询checkpoint列表时，配置-s参数，鼠标单击参数值输入框，checkpoint列表参数值会自动弹出。 说明： 若集群为MRS 1.8.7版本或MRS 2.0.1之后版本，需要配置此参数。 单击“选择模板”，选择已创建好的脚本模板，系统支持可以引用多个模板。创建模板的详细操作请参见配置模板。 MRS Flink作业的运行程序参数，请参见《MapReduce用户指南》中的运行Flink作业。 Flink作业执行参数 否 配置Flink作业执行参数。 Flink程序执行的关键参数，该参数由用户程序内的函数指定。多个参数间使用空格隔开。 MRS资源队列 否 选择已创建好的MRS资源队列。 当配置默认项“MRS资源队列是否必填”设置为“是”时，该参数为必填。 需要先在数据安全服务队列权限功能中，配置对应的队列后，才能在此处选择到已配置的队列。当有多处同时配置了资源队列时，此处配置的资源队列为最高优先级。 Flink作业资源包 是 选择Jar包。在选择Jar包之前，您需要先将Jar包上传至OBS桶中，并在“资源管理”页面中新建资源将Jar包添加到资源管理列表中，具体操作请参考新建资源。 重跑策略 否 从上一个检查点重跑 重新启动 输入数据路径 否 设置输入数据路径，系统支持从HDFS或OBS的目录路径进行配置。 输出数据路径 否 设置输出数据路径，系统支持从HDFS或OBS的目录路径进行配置。 表2 配置高级参数 参数 是否必选 说明 作业状态轮询时间（秒） 是 设置轮询时间（30~60秒、120秒、180秒、240秒、300秒），每隔x秒查询一次作业是否执行完成。 作业运行过程中，根据设置的作业状态轮询时间查询作业运行状态。 最长等待时间 是 设置作业执行的超时时间，如果作业配置了重试，在超时时间内未执行完成，该作业将会再次重试。 说明： 如果作业一直处于启动中状态，没有成功开始运行，超时后作业会被置为失败。 失败重试 否 节点执行失败后，是否重新执行节点。 是：重新执行节点，请配置以下参数。 超时重试 最大重试次数 重试间隔时间（秒） 否：默认值，不重新执行节点。 说明： 如果作业节点配置了重试，并且配置了超时时间，该节点执行超时后，系统支持再重试。 当节点运行超时导致的失败不会重试时，您可前往“默认项设置”修改此策略。 当“失败重试”配置为“是”才显示“超时重试”。

新建脱敏策略 在DataArts Studio控制台首页，选择实例，单击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图1 选择数据安全 单击左侧导航树中的“脱敏策略”，进入脱敏策略页面，在页面上方单击“新建”，创建脱敏策略。 图2 创建脱敏策略 在弹出的新建脱敏页面中填写策略信息，参考表1完成配置。配置完成后单击“确定”即可。 图3 创建脱敏策略界面 表1 创建脱敏策略参数配置 参数 参数描述 *策略名称 用户自定义策略名称，只能包含英文字母、数字、“_”，且长度不能超过64个字符。 描述 为更好地识别脱敏策略，此处加以描述信息，长度不能超过255个字符。 *状态 开启状态表示该策略可供使用。关闭状态表示该策略不能被使用。 *识别规则和脱敏算法 选择敏感数据的识别规则，以及对应的脱敏算法。 *识别规则：选择已经定义的数据识别规则，详情请参考定义识别规则。 规则描述：增加相应规则描述。 *算法类型：下拉选择算法类型，详情请参考表2。 *脱敏算法：下拉选择脱敏算法类型关联的算法，详情请参考表2。 说明： 如下算法在使用前必须先在脱敏算法处配置密钥，才能正常使用。 哈希算法中的“HMAC-SHA256哈希”算法。 加密算法中的“dws列加密”算法。 不同脱敏算法的更多使用限制，请参考管理脱敏算法。

相关操作 编辑脱敏策略：在脱敏策略页面，单击对应策略操作栏中的“编辑”，即可修改脱敏策略各项参数。 编辑脱敏策略状态：新增的脱敏策略默认为启用状态。当脱敏策略为关闭状态时，表示该策略将不可被静态脱敏任务引用。 需要修改脱敏策略状态时，在脱敏策略页面单击对应脱敏策略中的或，即可启用或关闭脱敏策略。 被静态脱敏任务引用的脱敏策略不能关闭。 删除脱敏策略：在脱敏策略页面，单击对应策略操作栏中的“删除”，即可删除策略。当需要批量删除时，可以在勾选脱敏策略后，在列表上方单击“批量删除”。 注意，被静态脱敏任务引用的策略不能被删除。若要删除已引用的策略，需要先修改引用关系，再进行删除操作。 删除操作无法撤销，请谨慎操作。

创建数据水印嵌入任务 在DataArts Studio控制台首页，选择实例，单击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图2 选择数据安全 单击左侧导航树中的“数据水印嵌入”，进入数据水印嵌入页面，在页面上方单击“新建”。 图3 创建数据水印嵌入任务 在弹出的创建任务页面输入基本信息，参数配置请参考表1。 表1 基本信息参数配置 参数名 参数描述 *任务名称 嵌入水印任务的名称，只能包含英文字母、数字、中文字符、下划线或中划线，且长度为1~64个字符。 为便于水印嵌入任务管理，建议名称中标明要嵌入水印的对象和水印标识。 描述 为更好地识别嵌入水印任务，此处加以描述信息。 *水印标识 系统会将水印标识嵌入到数据表中，标识长度不超过16个字符即可。 *纠错等级 等级越高，水印信息编码位数越长，溯源时误码率越低。需注意高纠错等级需要更大的数据量来保证信息的嵌入完整性。默认为1。 *水印版本 V1版本：嵌入水印时依赖主键列，嵌入速度快。若主键遭受强攻击，溯源一定概率失败。 V2版本：嵌入水印时不依赖主键，只与嵌入列相关，嵌入速度慢，鲁棒性增强。 图4 基本信息配置 单击“下一步”进行源、目标端配置，参数配置请参考表2。 表2 源、目标端参数配置 参数名 参数描述 源端配置 *数据源类型 目前只支持MapReduce服务（MRS Hive）。 *数据连接 选择已创建的数据连接。若未创建请参考新建数据连接新建连接。 *数据库 选择待嵌入水印的数据库和数据表。 单击数据库后的“设置”，设置待嵌入水印的数据库和数据表。 单击“清除”，可对已选择的数据库和数据表进行修改。 *源表名 *水印嵌入列 下拉选择常见的字段类型作为嵌入列。如数值型、字符型。 注意：当选择水印版本为V1时，不支持选取主键列作为嵌入列。 *数据集范围 只有使用时间字段timestamp、Date 来确定增量范围时，才可以选择增量模式 一般而言，全量模式下数据水印嵌入任务使用单次调度，增量模式下使用周期调度。 *指定时间字段 增量模式下，选择时间字段timestamp、Date来确定增量范围。 目标端配置 *数据源类型 目前只支持MapReduce服务（MRS Hive）。 *数据连接 选择已创建的数据连接。若未创建请参考新建数据连接新建连接。 *数据库 下拉选择存放水印表的数据库。 *目标表名 用户手动输入，不能与目标端数据库表名重复。当输入的表名不存在时会创建该表。 输入请单击“测试”，否则将无法进行下一步操作。 图5 源、目标端配置 单击“下一步”，进行调度信息配置。 数据集范围为全量模式时，仅支持单次调度。 数据集范围为增量模式时，支持单次调度和周期调度。 当选择为周期调度时，参数配置参考表3。 表3 配置周期调度参数 参数名 说明 *调度日期 调度任务的生效时间段。 *调度周期 选择调度任务的执行周期，并配置相关参数。 分：选择调度开始时间和结束时间，配置间隔的分钟时长。 小时：选择调度开始时间和结束时间，配置间隔的小时时长。 天：配置每日调度时间。 周：选择星期几启动调度，配置调度具体时间。 月：选择几号启动调度，配置调度具体时间。 例如：选择调度周期是周，选择具体时间为15:52，时间选择为星期二。则在调度日期范围内，每周二的15点52分会执行任务。 立即启动 勾选复选框，则表示立即启动此调度任务。 图6 调度信息配置 单击“确定”，完成数据水印嵌入任务创建。

相关操作 编辑算法：在脱敏算法页面，单击对应算法操作栏中的“编辑”，即可修改算法参数。 不同算法是否支持编辑和支持修改的参数因实际算法不同有所差异，请以操作界面为准。 测试算法：在脱敏算法页面，单击对应算法操作栏中的“测试”，即可测试该算法。 建议您在使用算法之前，使用算法测试功能，以保证自己选择了合适的算法。 不同算法是否支持测试因实际算法不同有所差异，请以操作界面为准。 删除算法：在脱敏算法页面，单击对应算法操作栏中的“删除”，即可删除算法。当需要批量删除时，可以在勾选算法后，在列表上方单击“批量删除”。 注意，内置算法不支持删除，已在脱敏策略或指定列脱敏中引用的自定义算法无法删除。若要删除已引用的自定义算法，需要先修改引用关系，再进行删除操作。 删除操作无法撤销，请谨慎操作。

内置脱敏算法介绍 隐私保护管理脱敏算法模块提供了如下算法类型。 表1 算法类型介绍 算法类型 算法简述 典型应用场景 应用举例 原始数据 脱敏后数据 哈希 使用加盐、密钥等哈希函数对数据进行转换。 结构化、非结构化数据的匿名化均适用。 HMAC-SHA256哈希 460031234567890 A34329AE133C48C 截断 舍弃属性值的后几位信息来保证数据的模糊性。 结构化、非结构化数据的匿名化均适用。 针对标识符、准标识符的匿名化。 截断后4位 18012345678 1801234 掩码 将属性值的部分字符替换为固定的特殊字符。（例如*） 结构化、非结构化数据的匿名化均适用针对标识符、准标识符的匿名化。 掩码后4位 18012345678 1801234**** 加密 调用DWS和Hive内置的加密算法对数据加密。 对加密的目标源有严格限制 AES加密 98 2bd806c97f0e00af1a1fc3328fa763a9269723c8db8fac4f93af71db186d6e 隐私保护管理脱敏算法模块提供了如下内置脱敏算法供您选择使用。建议您在选择算法之前，可以使用预先提供的内置算法配置和测试功能，以保证自己选择了合适的算法。 表2 内置算法介绍 算法类型 内置算法名称 算法描述 是否支持配置 哈希 HMAC-SHA256哈希 使用HMAC-SHA256算法进行哈希处理。 支持配置盐值和密钥。 说明： 算法使用前必须先配置密钥，此算法才能正常使用。 算法盐值由您自行配置，而非系统给出的安全随机数，请关注相应使用风险。 SHA-256哈希 使用SHA-256算法进行哈希处理。 支持配置盐值。 说明： 算法盐值由您自行配置，而非系统给出的安全随机数，请关注相应使用风险。 截断 数值类型截断 保留小数点前x位，将小数点前第1到x-1位、小数点后的位数全部截断并填补为0。 例如x=3时，1234截断为1200，999.999截断为900，10.7截断为0。 支持配置保留小数点前几位。 日期类型截断 截断日期指定位置。 支持配置日期格式和掩盖范围。 掩码 dws指定列全掩码 dws指定数据列全脱敏。 仅当静态脱敏任务中源端、目标端数据源同为DWS，且执行引擎为DWS时才可以选择此算法。 不支持。 dws字符型掩码 从start到end的位置脱敏成指定的字符。 仅当静态脱敏任务中源端、目标端数据源同为DWS，且执行引擎为DWS时才可以选择此算法。 支持配置开始位置、结束位置和掩码标志。 dws数值型掩码 从start到end的位置脱敏成指定的数字。 仅当静态脱敏任务中源端、目标端数据源同为DWS，且执行引擎为DWS时才可以选择此算法。 支持配置开始位置、结束位置和掩码标志。 身份证号码掩码 掩码身份证号。 不支持。 银行卡号掩码 掩码银行卡号。 不支持。 Email掩码 掩码Email信息。 不支持。 移动设备标识掩码 对设备码进行掩码，支持IMEI、MEDI、ESN。 支持配置类型。 IPv6掩码 掩码IPv6地址。 不支持。 IPv4掩码 掩码IPv4地址。 不支持。 MAC地址掩码 掩码MAC地址。 不支持。 电话号码掩码 掩码电话号码。 不支持。 日期类型掩码 对指定日期格式进行掩码，支持ISO、EUR、USA格式。 支持配置日期格式和掩盖范围。 掩码自x至y 掩码字符串第x至y位字符。 支持配置x和y。 保留自x至y 保留字符串第x至y位字符。 支持配置x和y。 掩码前n后m 掩码字符串前n后m位字符。 支持配置n和m。 保留前n后m 保留字符串前n后m位字符。 支持配置n和m。 加密 dws列加密 调用GaussDB(DWS)提供的对称密码算法gs_encrypt_aes128(encryptstr,keystr)实现对DWS数据列的加密，此算法以keystr为密钥对encryptstr字符串进行加密，返回加密后的字符串。 算法注意事项如下： 仅当脱敏任务的目标源为DWS时，此算法才能正确生效。 加密后执行SQL解密时，必须当所有的数据都解密成功时，才能正确返回解密结果，否则解密失败。 支持配置密钥，长度范围为1~16字节。 说明： 算法使用前必须先配置密钥，此算法才能正常使用。 hive列加密 调用MRS提供的Hive列加密功能来实现对Hive数据列的加解密，支持AES和SMS4两种加密算法。 算法注意事项如下： 仅当脱敏任务的目标源为Hive时，此算法才能正确生效。 列加密只支持存储在HDFS上的TextFile和SequenceFile文件格式的表。 Hive列加密不支持视图以及Hive over HBase场景。 支持配置加密类型。