华为云用户手册

IaC目录规划 IaC脚本开发规范请参考应用平台IaC部署代码开发，本实践中，IaC包结构规划如下： 表1 IaC Spec包结构说明 位置 描述 iacspec IaC压缩包 └── global/ 全局默认的IaC描述，包含完整文件结构。 │ └── meta.yaml 变更策略描述 └── specs/ 环境特定的IaC描述，结构与global相同，但仅包含与global有差异的文件。 │ └── cn_green_cbu_default/ 研发联调环境，命名采用站点级Cloud Map的名称，可以在环境管理界面查看可选的站点级Cloud Map名称列表。 │ └── DemoOrgidLogin/ 微服务DemoOrgidLogin。 │ └── config/ DemoOrgidLogin的配置目录。 │ └── aiops_sidecar_param.json 接入AIOps服务的配置文件。 │ └── config_records.yaml DemoOrgidLogin的业务配置项。 │ └── config_schema.yaml 声明DemoOrgidLogin的业务配置项属性，敏感业务配置项需要声明，非敏感配置项可以不声明。 │ └── envs.yaml 用于配置和管理DemoOrgidLogin的环境变量。 │ └── hosts.yaml 配置主机域名映射。 │ └── resources.yaml DemoOrgidLogin的资源列表。 │ └── values.yaml 定义DemoOrgidLogin的资源列表中使用的变量。 │ └── DemoServiceAService/ 微服务DemoServiceAService │ └── config/ ServiceA的配置目录。 │ └── aiops_sidecar_param.json 接入AIOps服务的配置文件。 │ └── config_records.yaml ServiceA的业务配置项。 │ └── config_schema.yaml 声明ServiceA的业务配置项属性，敏感业务配置项需要声明，非敏感配置项可以不声明。 │ └── envs.yaml 用于配置和管理ServiceA的环境变量。 │ └── hosts.yaml 配置主机域名映射。 │ └── resources.yaml ServiceA的资源列表。 │ └── values.yaml 定义ServiceA的资源列表中使用的变量。 │ └── DemoServiceBService/ 微服务DemoServiceBService。 │ └── config/ ServiceB的配置目录。 │ └── aiops_sidecar_param.json 接入AIOps服务的配置文件。 │ └── config_records.yaml ServiceB的业务配置项。 │ └── config_schema.yaml 声明ServiceB的业务配置项属性，敏感业务配置项需要声明，非敏感配置项可以不声明。 │ └── envs.yaml 用于配置和管理ServiceB的环境变量。 │ └── hosts.yaml 配置主机域名映射。 │ └── resources.yaml ServiceB的资源列表。 │ └── values.yaml 定义ServiceB的资源列表中使用的变量。 └── package.json 包描述文件。

步骤二：创建日志空间 在“虚拟机日志接入”页面，选择左侧导航栏的“日志空间”。 单击“申请实时日志空间”。 根据界面提示填写日志空间参数。 配置实时日志空间信息，参数说明如表2所示，配置完成后，单击“下一步”。 表2 实时日志空间信息参数说明 参数名称 参数说明 空间名称 自定义日志空间名称，建议包含日志类型语义。 空间描述 输入日志空间描述，非必填项。 日志类型 选择需接入的日志类型。 日志大小 预计一天的日志量，默认为1GB。 开启日志检索 如果需要使用日志检索功能，可以打开该开关。 检索空间类型 选择ClickHouse。 原索引名称(ClickHouse) 可选择现有的ClickHouse，如果不填会自动生成。 TTL 日志索引的生命周期，即可以检索的日志时间范围。 配置实时日志字段信息，参数说明如表3所示，配置完成后，单击“下一步”。 表3 实时日志字段信息参数说明 参数名称 参数说明 自定义字段 勾选需要接入的日志字段，包括通用字段、容器字段和虚机字段。 新增自定义环境变量 如需添加自定义环境变量，请选择环境变量名，然后单击“添加”。虚机暂无可选自定义环境变量。 清洗规则 选择日志清洗规则。 请优先使用算子清洗模式采样，原始日志采样清洗只适用于单纯采样，不需要清洗的场景。 日志样例 输入日志样例。 解析脚本 配置解析脚本，将日志样例清洗为字段显示。 说明： 配置解析脚本时字段命名不支持使用中划线“-”，支持使用下划线“_”。 清洗字段 配置解析脚本后单击“配置解析脚本”，自动生成清洗字段，查看字段是否符合预期。 开启汇聚 选择是否开启日志汇集，如果日志量较大且不需要关注原始日志时可以进行日志汇集。 开启后需要配置汇集相关参数。 汇聚粒度 开启汇聚后，需要设置汇集粒度。支持分钟级和秒级数据汇聚。选择分钟级，每一分钟会生成一个统计点，选择秒级，每一秒会生成一个统计点。 汇聚时间戳 仅支持时间戳格式字段timestamp，获取当前计算的日志的时间。 时间戳格式 选择时间戳格式。支持秒、毫秒、纳秒级时间戳，获取当前计算的日志的时间格式。 汇聚维度 结合业务场景需要，选择日志是以哪些日志字段进行日志汇聚，支持多选。 汇聚度量 设置对日志字段以COUNT、SUM、MAX、MIN进行度量。 原始字段是日志中的字段，用来获取原始值；度量字段是用户自定义字段名，计算后，度量的值会赋值给该字段。 输出原始日志 选择是否需要输出原始日志。如果打开输出原始日志，原始日志也会上报。 日志字段确认，确认日志字段配置是否达到预期，达到预期后可单击单击“下一步”。 其中字段来源COMMON表示通用字段、CONTAINER表示容器字段、VM表示虚机字段。 申请日志空间共享，如果需要其他自有服务共用这个空间进行日志下发和日志检索，可以添加共享服务。配置完成后，单击“保存”。

步骤三：创建日志采集配置 在“虚拟机日志接入”页面，选择左侧导航栏的“日志采集配置”。 单击“创建日志采集配置”。 配置日志采集参数，配置完成后，单击“确定”。 新创建的采集配置默认为草稿状态，展示在“草稿”页签下，当配置被微服务使用后，状态会更新为“已下发”，并展示到“已下发”页签下。 表4 日志采集配置参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目，相同服务的不同日志使用同一个日志项目 日志空间 选择已创建的日志空间。选择日志空间时日志提取规则会展示日志空间定义的日志格式，采集的日志须满足对应格式。 配置名称 自定义日志采集配置名称。 配置类型 选择日志采集配置类型，建议选择“FILEBEAT”。 日志类型 输入采集日志类型。 日志路径 填写实际日志路径，可使用通配符进行匹配。 说明： 接入容器日志需要根据通配符匹配完成。 注意避免同一台主机上下发的多个采集任务重复采集相同的日志文件，会导致filebeat进程异常。 日志TPS TPS表示单实例每秒日志条数，请准确填写，用于推荐资源自动计算。 如果采集路径是单个日志，则按照单个日志单台机器（pod）的TPS值填写，且按照高峰期计算。 如果采集路径配置了通配符，则将采集的日志TPS累加，累加计算高峰期单台机器（pod）的TPS，建议按近期业务增长预期填写。 日志模式 选择日志采集模式，是单行模式还是多行模式。 是否支持软连接 当填写的日志路径为链接路径时，需要开启支持软连接。 首行正则表达式 日志模式选择多行模式时，需要输入首行正则表达式。 日志提取规则 根据填写的配置参数会自动生成提取规则。

步骤四：创建日志配置下发任务 在“虚拟机日志接入”页面，选择左侧导航栏的“任务管理”。 单击页面右上角的“新建任务”。 配置任务参数，参数说明如表5所示，配置完成后，单击“确定”。 表5 日志配置下发任务参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目。 任务名称 自定义任务名称。 任务类型 选择任务类型。 配置类型 选择日志采集配置类型。 配置列表 选择需要下发的配置。 用户名称 选择已规划并拥有日志读取权限的业务账号。 选择主机 选择需要下发配置的主机。 已选主机 显示已选主机。 在任务列表中查看已创建的任务，单击任务所在行“操作”列的“执行”。 执行完成后，状态为成功即表示日志配置内容已下发成功，即会按照配置将日志接入AppStage。

操作步骤 在“服务环境管理”页面，单击待变更环境所在行“操作”列的“更新”，进入“更新环境”页面。 配置变更参数。 完成“变更基本配置”，单击“下一步”，会根据配置内容产生变更计划。 环境基本信息：作为环境的元数据无法修改、无法被更新。 服务级IaC包：选择服务级IaC包的版本和规格。服务级IaC包为“spec”类型的包，可以定义环境下的流水线和组件，以及组件下的资源。 变更任务流：基于用户选择的服务级IaC包，系统可以获取此包定义的所有流水线。可以选择其中一个用于执行变更，若不选择流水线，则系统会生成一条执行环境下所有组件的流水线。变更的内容是spec包中声明的所有组件。 组件级IaC包：选择流水线后，系统会根据流水线内容生成组件列表，可以基于列表中的元素选择需要变更的组件，或者为组件变更指定patch包，不指定patch包的组件将会基于spec包中对组件的定义进行变更； 如果没有选择流水线，那么系统将会展示选择的spec包中所定义的所有组件，同样地，也可以为组件指定用于变更的patch包。组件名称会根据自己的iacspec包代码的描述自动带出包中声明的组件，可以全量或者部分进行变更。 等待1~2分钟(具体时间长短取决于资源的数量以及当前系统的负载)，变更计划生成完毕后，可以在“任务流程图”中查看此次变更的“变更流程图”和“变更流水线”，确认无误后可以点击“提交”执行变更。

通过控制台申请资源 AppStage支持使用控制台完成资源申请，或者在华为云申请资源，然后接入至AppStage运维中心。 申请虚拟机：需要在华为云购买ECS虚拟机，然后将主机接入AppStage运维中心。 申请CCE集群：需要在华为云购买CCE集群，然后将容器集群接入AppStage运维中心。 申请数据库：需要在华为云购买数据库，然后将数据库接入AppStage运维中心，当前只支持RDS(for MySQL)、GeminiDB Cassandra、GaussDB(for openGauss)/GaussDB(for MySQL)接入AppStage运维中心。

步骤二：创建指标 在“指标仓库”页面，单击已创建的逻辑主体。 单击逻辑主体页面的“新建指标”，选择“新建单个指标”。 配置指标参数，参数说明如表2所示，配置完成后，单击“创建”。 表2 配置指标参数说明 参数名称 参数说明 类型 选择指标类型。 英文名称 自定义英文名称。 中文名称 自定义中文名称。 指标等级 选择指标等级。 描述 输入描述信息。 开放名称 - 指标类型 根据指标的类型分为RequestCount、DelayTime、SuccessRate、FailureRate、Speed、Bandwidth。 逻辑主体 选择指标来源的逻辑主体。 标签列表 - 指标责任人 - 开放状态 - 抽象指标 - 是否多聚合字段 - 聚合类型 选择指标的统计方式。 聚合字段 指标的度量对象。 过滤器 依据业务限定条件，给指标设置过滤规则，支持AND、OR多层嵌套过滤条件，节点类型为NODE。 举例：有5个过滤条件ABCDE，过滤条件汇总后为（A AND B）OR （C AND D AND E），ABCDE即为NODE节点。

步骤四：企业项目配置 在项目配置区域，单击“新增”。 新增项目配置，具体参数如表3所示。 表3 项目配置参数 名称 说明 部门 选择已录入的部门。 产品 选择已录入的产品。 服务 选择已录入的服务。 华为公有云账号名 选择用户的华为云账号名。 类型 关联项目：关联已有的公有云EPS。 关联且新增项目：在公有云EPS创建一个新项目，同时进行关联。 企业项目名称 关联项目时，选择已有的公有云EPS。 关联且新增时，填写创建的企业项目名称。 单击“确定”。

步骤一：创建环境 进入运维中心工作台。 将鼠标悬停在右上角的账号，选择下拉列表中的“服务环境配置”，选择左侧导航栏的“环境管理”。 单击“创建”，配置环境参数，具体参数如表1所示。 表1 创建环境参数 参数 说明 名称 填写环境名称，名称全局唯一，只能包含小写字母、数字以及下划线，不能以下划线开头。 用途 选择环境的用途。可选用途包括开发、测试、生产、安全和性能。 描述 环境的描述信息。 单击“确定”。

步骤二：创建指标 在“指标仓库”页面，单击已创建的逻辑主体。 单击逻辑主体页面的“新建指标”，选择“新建单个指标”。 配置指标参数，参数说明如表2所示，配置完成后，单击“创建”。 表2 配置指标参数说明 参数名称 参数说明 类型 选择指标类型。 英文名称 自定义英文名称。 中文名称 自定义中文名称。 指标等级 选择指标等级。 描述 输入描述信息。 开放名称 - 指标类型 根据指标的类型分为RequestCount、DelayTime、SuccessRate、FailureRate、Speed、Bandwidth。 逻辑主体 选择指标来源的逻辑主体。 标签列表 - 指标责任人 - 开放状态 - 抽象指标 - 是否多聚合字段 - 聚合类型 选择指标的统计方式。 聚合字段 指标的度量对象。 过滤器 依据业务限定条件，给指标设置过滤规则，支持AND、OR多层嵌套过滤条件，节点类型为NODE。 举例：有5个过滤条件ABCDE，过滤条件汇总后为（A AND B）OR （C AND D AND E），ABCDE即为NODE节点。

约束与限制 本章节介绍云桌面服务产品功能的使用限制。 表1 云桌面使用限制 场景 限制项 限制说明 购买桌面 账号 只有使用实名认证后的账号登录云桌面控制台才能购买桌面。 是否对接AD 购买桌面后，不支持变更是否对接AD。 对接AD时，需确保云桌面所在网络与微软AD所在网络互通。 区域 不同区域的桌面之间内网互不相通，且需分区域管理桌面。 CPU架构 支持鲲鹏计算和X86计算。 桌面操作系统 目前支持UOS V20 1050操作系统版本、Windows Server 2016/2019操作系统版本。云桌面将会持续增加操作系统支持范围。 系统盘 受所选区域资源限制，系统盘大小需设置为80~1020GB。 数据盘 受所选区域资源限制，最多只能添加10个数据盘，且每个数据盘大小需为10~1020GB之间的10的整数倍。 网络 云桌面预留172.20.0.0/16~172.31.0.0/16网段作为内部服务运行网段，故请勿选择172开头的VPC网络，否则将无法成功购买桌面。 分配用户 每个桌面只能属于单个用户。 登录桌面 移动终端 支持安装了Android 6.0以上版本操作系统的移动终端设备登录桌面。 瘦终端和PC软终端 支持操作系统为Windows 10以及macOS（10.14~12.4，64位）的PC软终端，以及适配的瘦终端（UOS、Android等操作系统）登录桌面。 配置桌面 策略 桌面策略会在用户下一次登录桌面后生效。 支持从客户端到服务端或服务端到客户端的单向复制或者双向复制。 仅在客户端（TC/SC）操作系统和云桌面操作系统均为Windows时，支持富文本复制、文件复制，且最多同时可复制500个文件。 当客户端（TC/SC、移动客户端）操作系统或云桌面操作系统为其他时，只支持纯文本格式复制，不支持文件复制。 渲染加速仅适用多媒体视频编辑场景，其它场景不建议打开。 默认策略为预设好的通用策略，且不支持优先级修改。 当您创建多条策略时，默认策略的优先级最低。 单一区域默认的策略配额为50个。 网络接入方式 云桌面可同时支持互联网接入方式和专线接入方式，并且同一时间内至少保持一种接入方式处于开启状态，不可将两种接入方式同时关闭。 云桌面使用172.20.0.0/16~172.31.0.0/16网段为桌面管理网卡的保留网段，使用云专线的方式与企业内网的PC进行通信时，请避免在企业内网使用此网段，以免路由冲突而导致无法互相访问。 使用云专线接入方式需要创建VPC终端节点。 配置云桌面可访问企业内网 使用防火墙时，需确保防火墙中出方向的8443端口和443端口为放通状态。 变更规格 变更规格过程中，请勿对云桌面进行其他操作。 仅支持从通用办公版套餐类型变更为尊享版套餐类型。不支持其他跨套餐类型的规格变更。 重建系统盘 重建系统盘前，桌面“登录状态”不为“无法连接”，且“运行状态”为“运行中”或“已停止”。 重建系统盘后，原系统盘中的数据（如桌面，收藏夹等）会丢失，如果需要这些数据，请提前通知用户备份。 重置系统盘时，如果该云桌面使用的私有镜像，需确保该私有镜像仍存在。 管理桌面 重发通知邮件 只在该用户绑定了桌面的情况下，可重新发送通知邮件。 删除用户 只在该用户未绑定桌面的情况下，可删除用户。 重置密码 已对接Windows AD域，将无法给桌面用户重置密码。 解锁用户 已对接Windows AD域，将无法对桌面用户进行解锁。 禁用操作（UOS操作系统桌面） 执行命令项 禁止执行pkill hdp命令和pkill Xvfb命令结束进程，否则导致系统运行存在异常。 禁止执行ifconfig eth* down命令禁用网卡，否则导致桌面无法连接网络。 卸载项 禁止更换桌面图形界面软件，否则导致系统性能异常。 禁止卸载samba和winbind组件，否则导致系统运行异常。 删除项 禁止删除/etc/init.d/hdp**开头的文件，否则导致系统运行异常。 禁止删除28511/28512/28521/28522端口，否则可能导致虚拟机连接失败。 升级项 禁止自行升级Linux内核，否则可能导致系统崩溃。 禁用操作（Windows操作系统桌面） 进程和服务 禁止更改系统配置中默认的服务和启动选项。 禁止结束任务管理器中“LOCAL SERVICE”、“NETWORK SERVICE”和“SYSTEM”类进程。 禁止禁用HDP类服务。 禁止卸载以下程序。 Access Agent Microsoft .NET Framework x Client Profile Microsoft .NET Framework x Extended Microsoft Visual C++ xxx Redistributable - xxx 网络 禁止禁用网卡、禁用或修改网络配置。 禁止执行修改路由的脚本或命令，如route DELETE *。 禁止在Windows防火墙例外选项中删除28511、28512、28521和28522端口。 禁止打开IPsec等具有禁用网络流量功能的软件或工具。 其他 禁止删除“C:\Program Files\Huawei”目录下的文件和文件夹。 禁止对桌面执行睡眠操作，桌面默认不启用睡眠操作。 禁止修改HDP客户端（Access Agent）配置文件。 禁止运行魔法兔子或Windows优化大师等软件对注册表进行清理和优化。 自定义安装具有变换功能的屏保会消耗大量系统资源，导致用户重新进入桌面时会有一定延迟，请慎重操作。 云桌面使用 云桌面接访问互联网 云桌面是通过绑定数据中心的IP进行互联网访问，部分娱乐类的网站基于自身运营的需要，会对数据中心IP访问进行限制，导致的结果是云桌面无法访问相关的网站，目前识别到的有是优酷、淘宝等网站。

创建用户并授权使用云桌面 操作场景 如果需要对您所拥有的Workspace资源进行精细的权限管理，可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的华为账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用Workspace云桌面。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 如果华为账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用云桌面的其他功能。 本章节以授予“Workspace ReadOnlyAccess”权限为例介绍为用户授权的方法 前提条件 给用户组授权之前，请您了解用户组可以添加的Workspace权限，并结合实际需求进行选择。若您需要对除Workspace之外的其他服务授权，IAM支持服务的所有权限请参见：系统权限。 示例流程 创建用户组并授权。 在IAM控制台创建用户组，并授予Workspace服务只读权限“Workspace ReadOnlyAccess”。 创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限（假设当前权限仅包含Workspace ReadOnlyAccess）。 在“服务列表”中选择云桌面服务，进入桌面管理界面，执行除查询以外的其他操作，如：开关机、重启、创建、修改、删除等。 示例：对桌面进行开机或关机操作，若提示权限不足，表示“Workspace ReadOnlyAccess”已生效。 在“服务列表”中选择除云桌面服务外的任意一个服务，如“虚拟私有云”，若提示权限不足，表示“Workspace ReadOnlyAccess”已生效。 父主题： 权限管理

计费构成分析 可以将云容器实例的使用阶段按照规格分为两段： 在2023/03/18 15:30:00 ~ 2023/03/20 9:00:00期间按照Pod规格：CPU 2核，内存 4GB计费，计费时长为41.5小时，费用计算如下： 在2023/03/20 9:00:00 ~ 2023/03/31 23:59:59期间按照Pod规格：CPU 4核，内存 8GB计费，计费时长为279小时，费用计算如下： 由此可见，在3月份，该云容器实例总共产生的费用为： 第一段时间产生费用：0.0001225*41.5*60*60=18.301元 第二段时间产生费用：0.000245*279*60*60=246.078元 总共产生费用：18.301+246.078=264.379元

怎样修改GoDaddy域名的DNS服务器地址？ 登录 https://sg.godaddy.com/zh网站。 单击“My Account”，进入My Account页面。 在“Products”页签中，单击“DOMAINS”前面的，展开域名列表。 待修改域名的“Action”列，单击“Launch”。 在展开页面的“Nameservers”区域，单击“Set Nameservers”。 图9 Set Nameservers 选择“I have specific nameservers for my domains.” 设置“Nameservers1”和“Nameservers2”为华为云DNS提供的DNS服务器地址。 ns1.huaweicloud-dns.com ns1.huaweicloud-dns.cn ns1.huaweicloud-dns.net ns1.huaweicloud-dns.org

怎样修改新网域名的DNS服务器地址？ 登录http://www.xinnet.com网站。 在左侧树状导航栏，单击“域名管理”。 在“我的域名”页签，单击待修改域名“操作”列的“管理”。 进入“域名基本信息”页面。 在左侧树状导航栏，单击“修改DNS”。 进入“修改域名DNS”页面。 图8 修改域名DNS 选择“使用非新网DNS”。 设置“主DNS”和“辅DNS”为华为云DNS提供的DNS服务器地址。 ns1.huaweicloud-dns.com ns1.huaweicloud-dns.cn ns1.huaweicloud-dns.net ns1.huaweicloud-dns.org

操作场景 域名(域名注册服务)的DNS服务器地址决定了域名使用哪家DNS厂商在互联网提供解析访问。 用户在DNS控制台完成域名解析配置后，需要在域名注册商处确认域名的DNS服务器地址是否是华为云的DNS地址，如果DNS服务器地址不正确，则公网域名解析无法生效。 用户场景 操作指导 修改华为云DNS服务器地址 修改华为云域名的DNS服务器 修改第三方域名注册商DNS服务器地址 怎样修改万网域名的DNS服务器地址？ 怎样修改腾讯域名的DNS服务器地址？ 怎样修改西部数码域名的DNS服务器地址？ 怎样修改易名中国域名的DNS服务器地址？ 怎样修改新网域名的DNS服务器地址？ 怎样修改GoDaddy域名的DNS服务器地址？ 本文涉及部分非华为云域名注册商的DNS服务器修改指导，仅供参考，具体以域名服务商官网操作指导为准。 修改DNS服务器地址并不能立即生效，具体的生效时间请参见修改DNS服务器后多久生效？。

修改单个域名的DNS服务器 登录域名注册控制台。 进入“域名列表”页面。 在域名列表中，单击“域名”列的待修改DNS服务器的域名。 进入域名信息页面。 图1 域名信息 在域名信息页面，单击“DNS服务器”后的“修改”，进入“修改DNS服务器”页面。 图2 修改DNS服务器（2） 在“DNS服务器”的文本框内，修改DNS服务器地址。 域名最多支持设置6个不同的DNS服务器，最少支持设置2个不同的DNS服务器。 在此页面，您还可以增加和删除DNS服务器。 增加：单击“增加”，输入新的DNS服务器地址。 如果您的域名使用华为云DNS进行解析，可以将“DNS服务器”设置为： ns1.huaweicloud-dns.com：中国大陆各区域DNS服务器地址 ns1.huaweicloud-dns.cn：中国大陆各区域DNS服务器地址 ns1.huaweicloud-dns.net：除中国大陆之外国家或地区DNS服务器地址 ns1.huaweicloud-dns.org：除中国大陆之外国家或地区DNS服务器地址 更多华为云DNS服务器的设置建议，请参见华为云DNS对用户提供域名服务的DNS是什么？。 删除：当设置的DNS服务器超过2个时，可以单击“删除”删除不需要的DNS服务器。 图3 删除DNS服务器 单击“确定”，完成DNS服务器的修改。

场景一：事件驱动类应用 以事件驱动的方式执行服务，按需供给，开发者无需关注业务波峰波谷，节省闲时成本，最终降低运维成本。比如视频直播/转码、实时数据流处理、IoT规则/事件处理等。 实时文件处理 客户端上传文件到OBS，触发FunctionGraph函数，在上传数据后立即进行处理。可以使用FunctionGraph实时创建图像缩略图、转换视频编码、进行数据文件汇聚、筛选等。 其优势有： 灵活扩展，业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 事件触发，通过上传文件到OBS，触发FunctionGraph函数进行文件处理。 按需收费，只有对函数处理文件数据的时间进行计费，无需购买冗余的资源用于非峰值处理。 使用对象存储服务（OBS），创建两个桶，上传图片，通过构建和触发函数对图片进行压缩，参考使用函数压缩图片。 实时数据流处理 使用FunctionGraph和DIS处理实时流数据，跟踪应用程序活动、顺序事务处理、分析数据流、整理数据、生成指标、筛选日志、建立索引、分析社交媒体以及遥测和计量IoT设备数据。 其优势有： 事件触发，通过DIS流采集数据，批量数据通过事件触发处理函数进行处理。 灵活扩展，业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 按需收费，只有对函数处理文件数据的时间进行计费，无需购买冗余的资源用于非峰值处理。 如使用数据接入服务采集IOT实时数据流，通过构建函数，将采集到的数据进行处理（比如格式转换），然后存储到表格存储服务（CloudTable Service）中，参考使用函数处理DIS数据。

场景三：AI类应用 各行各业智能化深入带来更多的应用开发场景，通常需要集成各类服务快速上线。比如三方服务集成、AI推理、车牌识别。 其优势有： 快速搭建，用户上传图像后触发函数工作流执行调用文字识别/内容检测服务针对图像进程处理，并将结果以JSON结构化数据返回。按需使用函数与多个智能服务集成，形成丰富的应用处理场景。并随时根据业务改变对函数处理过程做调整，实现业务灵活变更。 简化运维，用户只需开通相关云服务并在函数服务中编写业务逻辑，无需配置或管理服务器，专注于业务创新。业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 按需计费，只有对函数执行的时间及各智能服务处理进行计费，无需购买冗余的资源用于非峰值处理。

场景二：Web类应用 使用FunctionGraph和其他云服务或租户VM结合，用户可以快速构建高可用，自动伸缩的Web/移动应用后端。比如小程序、网页/App、聊天机器人、BFF等。 其优势有： 高可用，利用OBS，Cloud Table的高可用性实现网站数据的高可靠性，利用API Gateway和FunctionGraph的高可用性实现网站逻辑的高可用。 灵活扩展，业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 按需收费，只有对函数处理文件数据的时间进行计费，无需购买冗余的资源用于非峰值处理。

FunctionGraph权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 FunctionGraph资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在各区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问FunctionGraph时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了FunctionGraph的所有系统权限。 表1 系统权限说明 系统角色/策略名称 描述 类别 依赖关系 FunctionGraph Administrator 函数工作流（FunctionGraph）管理员，具有管理函数、工作流、触发器以及调用函数的权限（该权限后期会下线，建议您不使用） 系统角色 Tenant Guest FunctionGraph Invoker 函数工作流（FunctionGraph）调用者，具有查询函数、工作流、触发器以及调用函数的权限 系统角色 无 FunctionGraph FullAccess 函数工作流服务所有权限 系统策略 无 FunctionGraph ReadOnlyAccess 函数工作流服务只读权限 系统策略 无 FunctionGraph CommonOperations 函数工作流（FunctionGraph）调用者，具有查询函数和触发器，以及调用函数的权限 系统策略 无 当添加了FunctionGraph FullAccess权限的子账号在创建触发器或使用其他功能时仍没有操作权限，是因为该服务或功能不支持细粒度鉴权，因此需要您单独添加对应服务或功能的Admin权限。具体详情如下： CTS、APIG、DIS当前不支持细粒度鉴权，需要添加对应admin权限。 SMN目前部分局点已支持细粒度鉴权，如您遇到无法细粒度鉴权情况，则需要添加对应admin权限。 IoTDA是新增加的触发器，FullAccess中缺少对应权限。您在创建该触发器时会提示需要创建委托并添加相应权限，创建委托需要您先添加iam: agencies:list，iam:agencies:createAgency 权限； TMS、DNS、BSS、CES、EG、DMS是新增加功能，FullAccess中缺少对应权限，需单独添加； 更多触发器及相关功能需要的权限，请参见表2所示。 表2 触发器及相关功能的权限 触发器/服务功能 权限 APIG apig:groups:get apig:groups:list apig:apis:create apig:apis:delete apig:apis:update apig:apis:publish apig:apis:list apig:apis:get apig:apis:offline apig:apps:list apig:envs:list APIG专享版 apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate CTS cts:notification:create cts:notification:delete cts:notification:update cts:operation:list cts:tracker:list cts:trace:list DDS dds:instance:get dds:instance:list DIS dis:streams:list IoTDA iotda:routingrules:create iotda:routingrules:delete iotda:routingrules:queryList iotda:routingrules:query iotda:routingactions:create iotda:routingactions:delete iotda:routingactions:query iotda:routingactions:queryList iotda:subscriptions:queryList iotda:rules:modifyStatus iotda:apps:queryList LTS lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get OBS obs:bucket:GetBucketLocation obs:bucket:GetBucketNotification obs:bucket:PutBucketNotification obs:bucket:ListBucket SMN smn:topic:list smn:topic:update TMS tms:predefineTags:list tms:tagValues:list DNS dns:recordset:create, dns:recordset:list, dns:recordset:update, dns:zone:create, dns:zone:delete, dns:zone:get, dns:zone:list BSS bss:bill:view bss:renewal:view CES ces:alarms:get ces:alarms:list ces:alarms:create DMS dms:instance:get EG eg:subscriptions:get eg:subscriptions:list eg:sources:list eg:sources:get eg:agency:create eg:subscriptions:create eg:subscriptions:delete eg:subscriptions:operate 表3列出了FunctionGraph常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表3 常用操作与系统权限之间的关系 操作 FunctionGraph Invoker FunctionGraph Administrator FunctionGraph ReadOnlyAccess FunctionGraph CommonOperations FunctionGraph FullAccess 创建函数 × √ × × √ 查询函数 √ √ √ √ √ 修改函数 × √ × × √ 删除函数 × √ × × √ 调用函数 √ √ × √ √ 查看函数日志 √ √ √ √ √ 查看函数指标数据 √ √ √ √ √

与其他服务的关系 FunctionGraph服务与以下云服务的对接，实现相关功能，如表1所示。 表1 对接服务 服务名称 实现功能 消息通知服务（SMN） 构建FunctionGraph函数来处理SMN的通知，相关内容请参考消息通知服务用户指南。 API网关（API Gateway） 通过HTTPS调用FunctionGraph函数，使用API Gateway自定义REST API和终端节点来实现。相关内容请参考API网关用户指南。 对象存储服务（OBS） 构建FunctionGraph函数来处理OBS存储桶事件，例如对象事件或删除事件。当用户将一张照片上传到存储桶时，OBS存储桶调用FunctionGraph函数，实现读取图像和创建照片缩略图。相关内容请参考对象存储服务用户指南。 数据接入服务（DIS） 构建FunctionGraph函数定期轮询DIS数据流中的新记录，例如网站点击流、财务交易记录、社交媒体源、IT日志和位置跟踪事件等。相关内容请参考数据接入服务用户指南。 云日志服务（LTS） 构建FunctionGraph函数来处理云日志服务订阅的日志。当云日志服务采集到订阅的日志后，可以通过FunctionGraph函数对其进行自定义处理、分析或将其加载到其他系统。相关操作请参考云日志服务用户指南。 云审计服务（CTS） 构建FunctionGraph函数，根据CTS云审计服务类型和操作订阅所需要的事件通知，由函数对日志中的关键信息进行分析和处理。相关内容请参考云审计服务用户指南。 通过云审计服务，您可以记录与FunctionGraph服务相关的操作事件，便于日后的查询、审计和回溯。相关内容请参考云审计服务支持的FunctionGraph操作列表。 审计日志。开通云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。操作步骤请参考查看追踪事件。 文档数据库服务（DDS） 使用DDS触发器，每次更新数据库中的表时，都可以触发Functiongraph函数以执行额外的工作，创建DDS文档数据库实例请参见购买文档数据库实例。 云监控服务（CES） FunctionGraph函数实现了与云监控服务对接，函数上报云监控服务的监控指标，用户可以通过云监控服务来查看函数产生的监控指标和告警信息。相关内容请参考云监控服务用户指南。 云监控支持的函数监控指标请参考监控配置。 虚拟私有云（VPC） 函数支持用户创建虚拟私有云（VPC）并访问自己VPC内的资源，同时支持通过SNAT方式绑定EIP访问外网。相关内容请参考虚拟私有云用户指南。

初始化功能 引入initializer接口： 分离初始化逻辑和请求处理逻辑，程序逻辑更清晰，让用户更易写出结构良好，性能更优的代码。 用户函数代码更新时，系统能够保证用户函数的平滑升级，规避应用层初始化冷启动带来的性能损耗。新的函数实例启动后能够自动执行用户的初始化逻辑，在初始化完成后再处理请求。 在应用负载上升，需要增加更多函数实例时，系统能够识别函数应用层初始化的开销，更准确的计算资源伸缩的时机和所需的资源量，让请求延时更加平稳。

函数流 函数流是用来编排FunctionGraph函数的工具，可以将多个函数编排成一个协调多个分布式函数任务执行的工作流。 用户通过在可视化的编排页面，将事件触发器、函数和流程控制器通过连线关联在一个流程图中，每个节点的输出作为连线下一个节点的输入。编排好的流程会按照流程图中设定好的顺序依次执行，执行成功后支持查看工作流的运行记录，方便您轻松地诊断和调试。 函数流功能特性和优势： 功能特性 函数可视化编排 函数流执行引擎 错误处理 可视化监控 优势 使用更少代码快速构建应用程序 函数流允许用户将函数组合编排成一个完整的应用程序，而无需进行代码编写。可以实现快速构建，快速上线。当业务调整时，可以快速调整流程，完成快速上线，无需编写任何代码。 完善的错误处理机制 支持对流程中发生的错误进行捕获和重试，用户可以进行灵活的异常处理。 可视化的编排和监控体验 通过拖拽进行流程编排，学习成本低，可以快速上手。 监控页面使用流程可视化的查看方式，可以做到快速识别问题位置。

函数管理 提供控制台管理函数。 函数支持Node.js、Java、Python、Go等多种运行时语言，同时支持用户自定义运行时，说明如表1所示。 建议使用相关语言的最新版本。 表1 运行时语言说明 运行时语言 支持版本 Node.js 6.10、8.10、10.16、12.13、14.18、16.17、18.15 Python 2.7、3.6、3.9、3.10 Java 8.0、11 Go 1.x C# .NET Core 2.1、.NET Core 3.1 PHP 7.3 定制运行时 - 函数支持多种代码导入方式 支持在线编辑代码、OBS文件引入、上传ZIP包、上传JAR包等方式。不同运行时支持的代码上传方式如表2所示。 表2 代码上传方式说明 运行时 在线编辑 上传ZIP文件 上传JAR包 从OBS上传文件 Node.js 支持 支持 不支持 支持 Python 支持 支持 不支持 支持 Java 不支持 支持 支持 支持 Go 不支持 支持 不支持 支持 C# 不支持 支持 不支持 支持 PHP 支持 支持 不支持 支持 定制运行时 支持 支持 不支持 支持

规则详情 表1 规则详情 参数 说明 规则名称 elb-members-weight-check 规则展示名 ELB后端服务器权重检查 规则描述 后端服务器的权重为0，且其所属的后端服务器组的负载均衡算法不为“SOURCE_IP”时，视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.members 规则参数 weight：后端云服务器的权重，请求将根据后端服务器组配置的负载均衡算法和后端云服务器的权重进行负载分发。 权重值越大，分发的请求越多。 取值范围：0-100。

注意事项 客户账号在3个月内提交过解除关联的申请，伙伴需在客户提交解除关联申请的3个月后才能发起与该客户解除关联或切换关联类型的申请。 伙伴在3个月内仅可以发起一次与同一客户解除关联或切换关联类型的申请。 客户存在未失效预留实例，伙伴需要通知客户先退订预留实例后伙伴再申请切换关联类型。 对于顾问销售模式的客户： 客户账号已申请后付费，伙伴无法申请切换该客户关联类型。 客户账户有欠款，伙伴需要通知客户先充值还清欠款后伙伴再申请解除或切换关联类型。 客户账号存在欠票，伙伴需要通知客户处理欠票后伙伴再申请切换关联类型。 客户账号在切换关联关系前的原有现金余额需要客户提工单进行提现。 客户账号为财务托管模式企业子账号，伙伴需要与其企业主账号解除关联关系或切换关联类型；客户账号为非财务托管模式企业子账号，伙伴只能与客户解除关联关系，无法切换关联类型。 客户账号为企业主账号且名下有财务托管企业子账号，伙伴需要先通知客户解除与财务托管企业子账号的关联关系后再申请解除企业主账号与伙伴的关联关系或切换关联类型。 对于代售模式的客户： 客户关联了企业主账号或企业子账号，伙伴需要通知客户解除与企业主账号或企业子账号的关联关系后伙伴再申请解除关联关系。 客户账户有欠款，伙伴需要给客户拨款核销欠款后伙伴再申请解除关联关系或切换关联类型。 客户存在未失效预留实例，伙伴需要通知客户先退订预留实例后伙伴再申请解除关联关系。 客户有正在生效的特殊合同，伙伴需要联系您的华为云生态经理处理后，才能申请解除关联关系或切换关联类型。 客户账号下有待合作伙伴支付的订单，伙伴需要通知客户取消订单或者代客户支付订单后伙伴再申请解除关联关系或切换关联类型。 客户与伙伴解除关联关系或与伙伴的关联模式切换后，对客户的影响请单击这里查看。

申请关联合作伙伴及关联的注意事项 客户线下联系合作伙伴，获取邀请链接或者二维码，通过复制链接到浏览器或者扫描二维码，完成注册和关联合作伙伴。 注意事项如下： 以下客户不能关联合作伙伴： 客户在国际站注册； 客户已关联其他合作伙伴； 客户是解决方案提供商或者云经销商伙伴； 客户已被华为云报备； 客户已经或者正在加入政府补贴类计划； 客户已加入华为云奖励推广计划； 客户为消费者云用户； 客户注册时间超过7天或者存在现金消费不能直接关联合作伙伴，需要先联系合作伙伴完成报备后再关联。 客户华为云账号有欠费，客户需充值还款后再关联伙伴； 客户账号为财务托管企业子（资源账号或云账号）账号。 以下客户不能以代售模式关联合作伙伴： 客户已与华为云签署指定合同（线下直签合同、电销授权合同折扣、直签特价商务、专业服务合同）等； 后付费客户（即申请了信用额度的客户）； 客户存在未失效预留实例； 客户华为云账号有欠票金额； 客户账户中有未消费完的储值卡，客户需消费完储值卡后再关联伙伴； 客户账号为关联有企业子账号的企业主账号，若企业主账号想要以代售模式关联合作伙伴，需要先解除与企业子账号的关联关系才能以代售模式关联合作伙伴； 客户账号为企业子账号，且该企业子账号关联的企业主账号未以代售模式关联合作伙伴； 客户账号还有充值赠送的余额没有使用，客户需使用完充值赠送的余额后再关联伙伴； 客户以代售模式关联合作伙伴时，原账户余额及代金券、现金券处理规则如下： 客户可以自行申请提现操作。 客户名下的代金券在关联伙伴之后仍可继续使用，未用完的现金券将会被华为云回收。 父主题： 如何申请关联合作伙伴

Kafka实例信息准备 实例连接地址与端口 实例创建后，从Kafka实例控制台的基本信息页面中获取。Kafka实例为集群部署时，至少有3个连接地址，在客户端配置时，建议将连接地址都配上。 如果开启公网访问，还可以使用基本信息页面下方的公网连接地址访问Kafka实例。 图1 查看Kafka实例Broker连接地址与端口 Topic名称 从Kafka实例控制台的Topic管理页面中获取Topic名称。 图2 查看Topic名称 SASL信息 如果实例创建时开启SASL访问，则需要获得SASL_SSL用户名与密码、SSL证书、Kafka安全机制和SASL认证机制。 SASL用户名在Kafka实例控制台的“用户管理”页面中查看，如果忘记密码，可通过重置SASL_SSL密码重新获得。 图3 查看SASL用户名 SSL证书在Kafka实例控制台的基本信息页面中下载。 使用Java语言连接实例时，需要用JKS格式的证书。使用Python语言连接实例时，需要用CRT格式的证书。 SASL认证机制在Kafka实例控制台的基本信息页面中获取。如果SCRAM-SHA-512和PLAIN都开启了，根据实际情况选择其中任意一种配置连接。如果页面未显示“开启的SASL认证机制”，默认使用PLAIN机制。 图4 开启的SASL认证机制 Kafka安全机制在Kafka实例控制台的基本信息页面中获取。如果页面未显示“启用的安全协议”，默认使用SASL_SSL协议。

注意事项 录制规则配置支持域名级、应用级和流级，优先生效细粒度配置（即流级别最优先），同级配置不支持多种录制类型。 直播服务不支持清理录制内容，仅记录直播录制事件，且直播录制事件的数据只保留30天。您可根据业务的实际需求，在OBS中手动清理录制文件或通过OBS生命周期管理功能实现录制文件的存留期限和策略。 直播录制过程中，若直播推流因网络抖动等问题中断，则直播服务将中止录制。当推流重新启动时，直播服务将重新开启新的录制任务。 配置录制后，启动推流即开始录制，结束推流才可停止录制，暂无法按需停启；若在推流过程中删除录制规则，录制仍然会继续，直到推流结束 。 OBS服务会因欠费停服，从而导致直播录制失败，建议您购买OBS存储包。 仅支持对接收到的源直播流进行录制，暂不支持录制直播转码流。