华为云用户手册

代码签名 为了保障用户的代码安全，防止代码文件损坏或被篡改导致代码不一致问题，保证被执行的函数代码为正确版本，当函数创建或修改代码时，FunctionGraph对用户的函数代码签名加密，为其生成代码签名，并存储在函数元信息内。 FunctionGraph在函数执行时，为当前执行的代码生成签名，然后将其与函数元信息内的代码签名进行对比，仅允许运行通过一致性校验的代码，校验未通过则不允许执行并返回错误。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

监控安全风险 FunctionGraph提供基于 云监控服务 CES的资源和操作监控能力，帮助用户监控账号下的函数，执行自动实时监控、告警和通知操作。用户可以掌握函数中的调用次数、错误次数、运行时间（包括最大运行时间、最小运行时间、平均运行时间）、被拒绝次数、资源统计等信息。 关于FunctionGraph支持的监控指标，请参见监控。关于如何创建监控告警规则等内容，请参见创建告警规则。 父主题： 安全

审计 云审计 服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录FunctionGraph的管理事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 通过云审计服务，您可以记录与FunctionGraph服务相关的操作事件，便于日后的查询、审计和回溯。相关内容请参见云审计服务支持的FunctionGraph操作列表。

资产识别与管理 在函数的环境变量中，若有敏感信息例如账号和密码、Ak/Sk等，建议通过配置加密环境变量。不配置加密环境变量，则会在界面或API返回结果中明文展示。 在使用触发器、配置VPC访问、使用 自定义镜像 、挂载SFS等场景下，FunctionGraph需要与其他云服务协同工作，需要由您通过创建云服务委托，让FunctionGraph有权限代替您进行一些资源运维工作。具体请参见委托配置。 父主题： 安全

函数管理 提供控制台管理函数。 函数支持Node.js、Java、Python、Go、PHP、Cangjie等多种运行时语言，同时支持用户自定义运行时，说明如表1所示。 建议使用相关语言的最新版本。 表1 运行时语言说明 运行时语言 支持版本 Node.js 6.10、8.10、10.16、12.13、14.18、16.17、18.15 Python 2.7、3.6、3.9、3.10 Java 8.0、11 Go 1.x C# .NET Core 2.1、.NET Core 3.1 PHP 7.3 定制运行时 - Cangjie 1.0 函数支持多种代码导入方式 支持在线编辑代码、OBS文件引入、上传ZIP包、上传JAR包等方式。不同运行时支持的代码上传方式如表2所示。 表2 代码上传方式说明 运行时 在线编辑 上传ZIP文件 上传JAR包 从OBS上传文件 Node.js 支持 支持 不支持 支持 Python 支持 支持 不支持 支持 Java 不支持 支持 支持 支持 Go 不支持 支持 不支持 支持 C# 不支持 支持 不支持 支持 PHP 支持 支持 不支持 支持 定制运行时 支持 支持 不支持 支持 Cangjie 不支持 支持 不支持 支持

初始化功能 引入initializer接口： 分离初始化逻辑和请求处理逻辑，程序逻辑更清晰，让用户更易写出结构良好，性能更优的代码。 用户函数代码更新时，系统能够保证用户函数的平滑升级，规避应用层初始化冷启动带来的性能损耗。新的函数实例启动后能够自动执行用户的初始化逻辑，在初始化完成后再处理请求。 在应用负载上升，需要增加更多函数实例时，系统能够识别函数应用层初始化的开销，更准确的计算资源伸缩的时机和所需的资源量，让请求延时更加平稳。

函数流 函数流是用来编排FunctionGraph函数的工具，可以将多个函数编排成一个协调多个分布式函数任务执行的工作流。 用户通过在可视化的编排页面，将事件触发器、函数和流程控制器通过连线关联在一个流程图中，每个节点的输出作为连线下一个节点的输入。编排好的流程会按照流程图中设定好的顺序依次执行，执行成功后支持查看工作流的运行记录，方便您轻松地诊断和调试。 函数流功能特性和优势： 功能特性 函数可视化编排 函数流执行引擎 错误处理 可视化监控 优势 使用更少代码快速构建应用程序 函数流允许用户将函数组合编排成一个完整的应用程序，而无需进行代码编写。可以实现快速构建，快速上线。当业务调整时，可以快速调整流程，完成快速上线，无需编写任何代码。 完善的错误处理机制 支持对流程中发生的错误进行捕获和重试，用户可以进行灵活的异常处理。 可视化的编排和监控体验 通过拖拽进行流程编排，学习成本低，可以快速上手。 监控页面使用流程可视化的查看方式，可以做到快速识别问题位置。

版本说明 发布日期 版本说明 2022-11-14 新增“安全”章节。 2022-08-19 新增“图解 函数工作流 服务”章节。 2022-07-15 优化“与其他服务的关系”章节。 2022-05-30 VSCode插件更新。 2022-04-30 支持创建快速函数流 VPC配置情况下支持 域名 解析 2022-03-30 函数工作流全新改版。 2022-02-25 支持Python 3.9和Node.js 14.18。 2021-12-09 新增函数调用链。 说明： 该特性当前仅“华南-广州、华北-北京四”区域支持。 2021-11-16 新增HTTP函数。 新增函数流服务节点。 新增动态内存配置。 新增自定义镜像。 计费粒度精确到1ms。 新增CodeArts IDE Online支持JAVA、Python函数开发。 新增CodeArts IDE Online支持推送代码文件对比。 2021-07-05 新增加密配置公测上线。 新增开通 云日志 服务（LTS），使用更丰富的函数日志管理功能。 新增CodeArts IDE Online在线编辑功能。 新增函数工作流功能。 新增延长函数执行超时时间。 新增单函数运行最大实例数和单实例并发数。 说明： 以上新增特性当前仅“华北-北京四”区域支持。 2021-06-30 依赖包列表展示ID。 2021-05-30 支持函数长时间（12h）运行。 2021-04-30 提供C#、python、Nodejs、Java语言SDK。 2021-03-30 新增 OMS 数据同步模板。 2020-12-30 新增APIC触发器。 新增APIG（专享版）触发器。 2020-10-30 新增GeminiDB Mongo触发器。 2020-09-30 DDS触发器支持并发。 2020-08-30 Kafka触发器支持并发，最大消息体为6MB。 2020-06-30 新增预留实例功能。 2020-05-30 新增支持Go 1.x Runtime。 2020-04-30 新增支持Node.js 10.16 Runtime。 新增支持Node.js 12.13 Runtime。 2020-03-30 删除工作流相关介绍。 新增支持C#(.NET Core 3.1)。 2020-02-25 支持配置企业项目。 2020-01-05 新增细粒度权限配置功能。 2019-12-31 新增Kafka触发器。 2019-11-26 函数模板分类优化。 新增筛选错误日志功能。 2019-10-16 总览界面新增月度统计功能。 2019-09-30 新增DDS触发器。 2019-08-16 支持测试事件持久化。 支持定制运行时。 支持挂载文件系统。 2019-5-27 函数服务代码在线编辑页面优化，新增函数在线测试及返回、快速创建多层级Python模块等。 函数模板支持与周边云服务集成。 函数新增PHP Runtime，支持PHP7.3，并支持在线编辑。 2019-3-15 函数新增版本分流功能。支持版本灰度发布，在创建别名时可以绑定多版本，并且可以设置主版本和灰度版本的权重。 函数新增支持配置VPC功能。用户支持创建虚拟私有云（VPC）并访问自己VPC内的资源，同时支持通过SNAT方式绑定EIP访问外网。 C#sdk增加json序列化和反序列接口。 2019-3-4 函数新增初始化功能。 函数工作流API2.0版上线。 2019-1-26 Sandbox AOS远程部署实现package、deploy命令合并。 函数内存配置新增了1792，2048，2560，3072，3584，4096 内存。 函数优化执行委托和配置委托功能。 函数支持分版本查看日志特性。 2018-12-25 Sandbox新增函数自动生成功能。 Sandbox新增支持Windows系统功能。 2018-11-30 函数新增函数应用导入导出功能。 新增函数执行委托与触发器委托可独立设置功能。 2018-11-16 函数实现与 云监控 服务的对接， 新增FunctionGraph监控说明。 函数新增依赖包管理模块，统一管理用户所有依赖包。 函数新增日志下载功能。 2018-11-2 新增支持C#Runtime，对于C#，FunctionGraph运行时目前支持C#(.NET Core 2.0)、C#(.NET Core 2.1)版本。 新增工具箱页面，提供sdk、cli、sandbox等工具的下载，以及在线费用计算器的使用。 2018-10-18 函数实现与云监控服务的对接，函数上报云监控服务的监控指标、指标的命名空间和维度，用户可以通过云监控服务提供的API接口来检索函数产生的监控指标和告警信息。 函数新增Node.js Runtime集成的三方件：smnsdk、express、fgs-express和request。 2018-09-29 增加函数应用分组功能。 增加函数多目录在线编辑功能。 2018-08-29 新增高危操作保护功能，在删除函数、工作流、触发器、版本、别名时进行确认。 新增函数禁用功能。 新增体验馆，指导使用FunctionGraph构建功能程序，并演示效果。 CLI工具能力增强，支持对话交互模式。 Sandbox工具能力增强，支持加载云端事件。 新增应用模板。 2018-07-28 新增支持Node.js 8.10 Runtime。 优化监控指标，平均延迟优化为最大运行时间、最小运行时间、平均运行时间三个指标。 APIG触发器增加超时配置。 Node.js Runtime集成常用三方件。 新增CTS触发器，实现与华为云云审计服务的对接，可以订阅对应云服务的资源操作事件，当对订阅的资源操作时，会触发函数执行，实现预期功能。 支持将函数代码及配置信息打包导出，支持通过导入的方式创建函数。 Java SDK加入了触发器事件结构体定义，目前支持DMS、DIS、 SMN 、LTS、TIMER、APIG等六种。在需要使用触发器的场景时，编写相关代码更简单。 2018-07-13 新增LTS触发器，实现了与华为云云日志服务的对接。可以使用FunctionGraph函数对使用云日志服务订阅的日志进行自定义分析。详情请参考使用LTS触发器。 修复已知问题。 2018-06-30 函数与工作流产品及资料合并，定名为FunctionGraph。 合并后的FunctionGraph正式转为商用。

FunctionGraph权限 默认情况下，新建的 IAM 用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 FunctionGraph资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在各区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问FunctionGraph时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了FunctionGraph的所有系统权限。 表1 系统权限说明 系统角色/策略名称 描述 类别 依赖关系 FunctionGraph Administrator 函数工作流（FunctionGraph）管理员，具有管理函数、工作流、触发器以及调用函数的权限（该权限后期会下线，建议您不使用） 系统角色 Tenant Guest FunctionGraph Invoker 函数工作流（FunctionGraph）调用者，具有查询函数、工作流、触发器以及调用函数的权限 系统角色 无 FunctionGraph FullAccess 函数工作流服务所有权限 系统策略 无 FunctionGraph ReadOnlyAccess 函数工作流服务只读权限 系统策略 无 FunctionGraph CommonOperations 函数工作流（FunctionGraph）调用者，具有查询函数和触发器，以及调用函数的权限 系统策略 无 表2 触发器及相关功能的权限 触发器/服务功能 权限 APIG apig:groups:get apig:groups:list apig:apis:create apig:apis:delete apig:apis:update apig:apis:publish apig:apis:list apig:apis:get apig:apis:offline apig:apps:list apig:envs:list APIG专享版 apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate CTS cts:notification:create cts:notification:delete cts:notification:update cts:operation:list cts:tracker:list cts:trace:list DDS dds:instance:get dds:instance:list DIS dis:streams:list IoTDA iotda:routingrules:create iotda:routingrules:delete iotda:routingrules:queryList iotda:routingrules:query iotda:routingactions:create iotda:routingactions:delete iotda:routingactions:query iotda:routingactions:queryList iotda:subscriptions:queryList iotda:rules:modifyStatus iotda:apps:queryList LTS lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get OBS obs:bucket:GetBucketLocation obs:bucket:GetBucketNotification obs:bucket:PutBucketNotification obs:bucket:ListBucket SMN smn:topic:list smn:topic:update TMS tms:predefineTags:list tms:tagValues:list DNS dns:recordset:create, dns:recordset:list, dns:recordset:update, dns:zone:create, dns:zone:delete, dns:zone:get, dns:zone:list BSS bss:bill:view bss:renewal:view CES ces:alarms:get ces:alarms:list ces:alarms:create DMS dms:instance:get EG eg:subscriptions:get eg:subscriptions:list eg:sources:list eg:sources:get eg:agency:create eg:subscriptions:create eg:subscriptions:delete eg:subscriptions:operate 表3列出了FunctionGraph常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表3 常用操作与系统权限之间的关系 操作 FunctionGraph Invoker FunctionGraph Administrator FunctionGraph ReadOnlyAccess FunctionGraph CommonOperations FunctionGraph FullAccess 创建函数 × √ × × √ 查询函数 √ √ √ √ √ 修改函数 × √ × × √ 删除函数 × √ × × √ 调用函数 √ √ × √ √ 查看函数日志 √ √ √ √ √ 查看函数指标数据 √ √ √ √ √

企业项目授权后仍报权限不足的说明 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM和企业管理的区别。 FunctionGraph当前仅函数资源接口支持企业项目方式授权，除函数资源外的部分接口仅支持IAM项目方式授权，因此针对仅支持IAM项目方式授权时需注意： 授权时选择“IAM项目视图”。 图1 IAM项目视图 选择授权范围时，建议根据最小化授权原则，选择“指定区域项目资源”，具体请根据实际业务情况选择授权范围。

约束与限制 当添加了FunctionGraph FullAccess权限的子账号在创建触发器或使用其他功能时仍没有操作权限，是因为该服务或功能不支持细粒度鉴权，因此需要您单独添加对应服务或功能的Admin权限。具体详情如下： CTS、APIG、DIS当前不支持细粒度鉴权，需要添加对应admin权限。 SMN目前部分局点已支持细粒度鉴权，如您遇到无法细粒度鉴权情况，则需要添加对应admin权限。 IoTDA是新增加的触发器，FullAccess中缺少对应权限。您在创建该触发器时会提示需要创建委托并添加相应权限，创建委托需要您先添加iam: agencies:list，iam:agencies:createAgency 权限； TMS、DNS、BSS、CES、EG、DMS是新增加功能，FullAccess中缺少对应权限，需单独添加； 更多触发器及相关功能需要的权限，请参见表2所示。

函数运行资源限制 表3 函数运行资源限制说明 资源 默认值 是否可通过用户自己调整配额 临时磁盘空间（“/tmp”空间） 512MB 否 文件描述符 2048 否 进程和线程数（总和） 1024 否 单个请求最大执行时长 259200秒 是 函数同步调用请求正文有效负载大小 6MB 否 函数同步调用响应正文有效负载大小 6MB 否 函数异步调用请求正文有效负载大小 256KB 否 函数导入的资源大小 zip格式压缩文件，大小50MB以内 否 单个自定义镜像函数最大允许镜像大小 10GB 否 函数导出资源包大小 50MB以内 否 租户级别实例数限制 1000 是 函数最大申请内存 10G 否 带宽 无限制 - 单条日志大小 无限制 - Initializer最大运行时间 259200秒 是

支持区域 当前支持的区域列表，请参见表1 表1 支持区域 区域名称 区域ID 非洲-约翰内斯堡 af-south-1 中国-香港 ap-southeast-1 亚太-曼谷 ap-southeast-2 亚太-新加坡 ap-southeast-3 亚太-雅加达 ap-southeast-4 华东-上海二 cn-east-2 华东-上海一 cn-east-3 华北-北京一 cn-north-1 华北-乌兰察布-汽车一 cn-north-11 华北-北京四 cn-north-4 华北-乌兰察布一 cn-north-9 华南-广州 cn-south-1 拉美-墨西哥城二 la-north-2 拉美-圣地亚哥 la-south-2 中东-利雅得 me-east-1 拉美-圣保罗一 sa-brazil-1 土耳其-伊斯坦布尔 tr-west-1

账户资源限制 账户资源总配额如下所示，配额查询及修改方法，请参考配额管理。 表2 账户资源说明表 资源 限制 是否可通过用户自己调整配额 单个账户下最大允许创建的函数个数 400 否 单个函数下最大允许创建的版本个数 20 否 单个函数下最大允许创建的别名个数 10 否 单个函数版本下最大允许创建的DIS、GeminiDB Mongo、LTS、DDS、Kafka和TIMER触发器总数 10 否 前端页面上传时，单个代码部署包大小（压缩为.zip/.jar文件） 40MB 否 调用函数接口时，在线编辑单个函数代码部署包大小（压缩为.zip/.jar文件） 50MB 否 调用函数接口时，单个代码部署包原始代码大小 zip格式：解压后原始代码大小为1500M OBS桶：最大可上传300M压缩后的代码包 否 单个账户下最大允许部署包大小 10 GB 否 单个账户下函数并发执行数 100 是 单个账户下创建预留实例个数 90（单个租户下函数并发执行数*90%） 是 单个函数下所有环境变量的大小 总长度不能超过4096个字符 否 单个户下最多创建的函数流个数 200 是 单个函数流支持最多节点数 100 是 前端页面展示代码大小 20MB 否

场景二：Web类应用 使用FunctionGraph和其他云服务或租户VM结合，用户可以快速构建高可用，自动伸缩的Web/移动应用后端。比如小程序、网页/App、聊天机器人、BFF等。 其优势有： 高可用，利用OBS，Cloud Table的高可用性实现网站数据的高可靠性，利用API Gateway和FunctionGraph的高可用性实现网站逻辑的高可用。 灵活扩展，业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 按需收费，只有对函数处理文件数据的时间进行计费，无需购买冗余的资源用于非峰值处理。

场景三：AI类应用 各行各业智能化深入带来更多的应用开发场景，通常需要集成各类服务快速上线。比如三方服务集成、AI推理、车牌识别。 其优势有： 快速搭建，用户上传图像后触发函数工作流执行调用 文字识别 /内容检测服务针对图像进程处理，并将结果以JSON结构化数据返回。按需使用函数与多个智能服务集成，形成丰富的应用处理场景。并随时根据业务改变对函数处理过程做调整，实现业务灵活变更。 简化运维，用户只需开通相关云服务并在函数服务中编写业务逻辑，无需配置或管理服务器，专注于业务创新。业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 按需计费，只有对函数执行的时间及各智能服务处理进行计费，无需购买冗余的资源用于非峰值处理。

场景一：事件驱动类应用 以事件驱动的方式执行服务，按需供给，开发者无需关注业务波峰波谷，节省闲时成本，最终降低运维成本。比如 视频直播 /转码、实时数据流处理、IoT规则/事件处理等。 实时文件处理 客户端上传文件到OBS，触发FunctionGraph函数，在上传数据后立即进行处理。可以使用FunctionGraph实时创建图像缩略图、转换视频编码、进行数据文件汇聚、筛选等。 其优势有： 灵活扩展，业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 事件触发，通过上传文件到OBS，触发FunctionGraph函数进行文件处理。 按需收费，只有对函数处理文件数据的时间进行计费，无需购买冗余的资源用于非峰值处理。 使用 对象存储服务 （OBS），创建两个桶，上传图片，通过构建和触发函数对图片进行压缩，参考使用函数压缩图片。 实时数据流处理 使用FunctionGraph和DIS处理实时流数据，跟踪应用程序活动、顺序事务处理、分析数据流、整理数据、生成指标、筛选日志、建立索引、分析社交媒体以及遥测和计量IoT设备数据。 其优势有： 事件触发，通过DIS流采集数据，批量数据通过事件触发处理函数进行处理。 灵活扩展，业务爆发时可以自动调度资源运行更多函数实例以满足处理需求。 按需收费，只有对函数处理文件数据的时间进行计费，无需购买冗余的资源用于非峰值处理。 如使用 数据接入服务 采集IOT实时数据流，通过构建函数，将采集到的数据进行处理（比如格式转换），然后存储到 表格存储服务 （CloudTable Service）中，参考使用函数处理DIS数据。

与其他服务的关系 FunctionGraph服务与以下云服务的对接，实现相关功能，如表1所示。 表1 对接服务 服务名称 实现功能 消息通知 服务（SMN） 构建FunctionGraph函数来处理SMN的通知，相关内容请参考消息通知服务用户指南。 API网关（API Gateway） 通过HTTPS调用FunctionGraph函数，使用API Gateway自定义REST API和终端节点来实现。相关内容请参考API网关用户指南。 对象存储服务（OBS） 构建FunctionGraph函数来处理OBS存储桶事件，例如对象事件或删除事件。当用户将一张照片上传到存储桶时，OBS存储桶调用FunctionGraph函数，实现读取图像和创建照片缩略图。相关内容请参考对象存储服务用户指南。 数据接入服务（DIS） 构建FunctionGraph函数定期轮询DIS数据流中的新记录，例如网站点击流、财务交易记录、社交媒体源、IT日志和位置跟踪事件等。相关内容请参考数据接入服务用户指南。 云日志服务（LTS） 构建FunctionGraph函数来处理云日志服务订阅的日志。当云日志服务采集到订阅的日志后，可以通过FunctionGraph函数对其进行自定义处理、分析或将其加载到其他系统。相关操作请参考云日志服务用户指南。 云审计服务（CTS） 构建FunctionGraph函数，根据CTS云审计服务类型和操作订阅所需要的事件通知，由函数对日志中的关键信息进行分析和处理。相关内容请参考云审计服务用户指南。 通过云审计服务，您可以记录与FunctionGraph服务相关的操作事件，便于日后的查询、审计和回溯。相关内容请参考云审计服务支持的FunctionGraph操作列表。 审计日志。开通云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。操作步骤请参考查看追踪事件。 文档数据库服务（DDS） 使用DDS触发器，每次更新数据库中的表时，都可以触发Functiongraph函数以执行额外的工作，创建DDS文档数据库实例请参见购买文档数据库实例。 云监控服务（CES） FunctionGraph函数实现了与云监控服务对接，函数上报云监控服务的监控指标，用户可以通过云监控服务来查看函数产生的监控指标和告警信息。相关内容请参考云监控服务用户指南。 云监控支持的函数监控指标请参考监控配置。 虚拟私有云（VPC） 函数支持用户创建虚拟私有云（VPC）并访问自己VPC内的资源，同时支持通过SNAT方式绑定EIP访问外网。相关内容请参考虚拟私有云用户指南。

功能简介 ①编写代码 用户编写业务代码，目前支持Node.js、Python、Java、Go、C#、PHP、Cangjie等语言，详情请参考开发指南。 ②上传代码 目前支持在线编辑、上传ZIP或JAR包，从OBS引用ZIP包等，详情请参考代码上传方式说明。 ③API和云产品事件源触发函数执行 通过RESTful API或者云产品事件源触发函数执行，生成函数实例，实现业务功能。 ④弹性执行 函数在执行过程中，会根据请求量弹性扩容，支持请求峰值的执行，此过程用户无需配置，由FunctionGraph完成，并发数限制请参考约束与限制。 ⑤查看日志 FunctionGraph函数实现了与云日志服务的对接，您无需配置，即可查看函数运行日志信息，请参考配置和查看函数的调用日志。 ⑥查看监控 FunctionGraph函数实现了与 应用运维管理 服务的对接，您无需配置，即可查看图形化监控信息。 ⑦计费方式 函数执行结束后，根据函数请求执行次数和执行时间计费。

约束与限制 同一个环境中一个API只能绑定一个签名密钥，一个签名密钥可以绑定多个API。 策略和API本身相互独立，只有为API绑定策略后，策略才对API生效。为API绑定策略时需指定发布环境，策略只对指定环境上的API生效。 策略的绑定、解绑、更新会实时生效，不需要重新发布API。 API的下线操作不影响策略的绑定关系，再次发布后仍然会带有下线前绑定的策略。 如果策略与API有绑定关系，则策略无法执行删除操作。

为策略绑定API 单击策略名称，进入策略详情。 在API列表区域选择环境后，单击“绑定API”。 筛选API分组以及发布环境，勾选所需的API。 支持通过API名称或标签筛选API，标签为创建API时定义的标签。 单击“确定”，绑定完成。 如果单个API不需要绑定此策略，单击API所在行的“解绑”。 如果批量API不需要绑定此策略，则勾选待解绑的API，单击列表上方“解绑”。最多同时解绑1000个API。

为流量控制策略配置特殊租户 如果希望对某个租户进行流量控制，可以通过在流控策略中添加特殊租户实现。把租户添加到流控策略中后，该租户的用户流量限制受特殊租户的阈值限制，API流量限制和应用流量限制受流控策略限制。 在流控策略详情页面，单击“特殊租户”，进入特殊租户页面。 单击“添加特殊租户”，弹出“添加特殊租户”对话框。 根据下表参数说明，输入租户信息。 表2 特殊租户信息 参数 说明 租户ID 租户ID为账号ID或项目ID。 绑定APP认证的API时，租户ID为项目ID，获取项目ID。 绑定华为IAM认证的API时，租户ID为账号ID，不支持细分到IAM用户维度，获取账号名和账号ID。 阈值 固定时间段内，此租户访问API的最大值。 不能超过API流量限制值。 单击“确定”，完成特殊租户的添加。 特殊租户流控值和用户流量限制值共同作用时，以特殊租户流控值为准。 例如：API流量限制值为10，用户流量限制值为3，时长为1分钟，特殊租户（租户ID为A）流控值为2，特殊租户（租户ID为B）流控值为4，租户A在1分钟内最多可以访问绑定了该流控策略的API 2次，租户B在1分钟内最多可以访问绑定了该流控策略的API 4次。

约束与限制 API配置流控策略相当于流控策略同步绑定了API。同一个环境中，一个API只能被一个流控策略绑定，但一个流控策略可以绑定多个API。 如果API未绑定流控策略，流控限制值为实例“配置参数”中“ratelimit_api_limits”的参数运行值。 策略和API本身相互独立，只有为API绑定策略后，策略才对API生效。为API绑定策略时需指定发布环境，策略只对指定环境上的API生效。 策略的绑定、解绑、更新会实时生效，不需要重新发布API。 API的下线操作不影响策略的绑定关系，再次发布后仍然会带有下线前绑定的策略。 如果策略与API有绑定关系，则策略无法执行删除操作。

为流量控制策略配置特殊凭据 如果希望对某个凭据进行流量控制，可以通过在流控策略中添加特殊凭据实现。把凭据添加到流控策略中后，该凭据的凭据流量限制受特殊凭据的阈值限制，API流量限制和用户流量限制受流控策略限制。 在流控策略详情页面，单击“特殊凭据”页签，进入特殊凭据页面。 单击“添加特殊凭据”，弹出“添加特殊凭据”对话框。 通过以下两种方式，添加特殊凭据。 添加已有凭据：单击“已有凭据”，选择已有凭据，输入阈值。 添加其他凭据：单击“其他”，输入其他用户的凭据ID和阈值。 特殊凭据流控值和凭据流量限制值共同作用时，以特殊凭据流控值为准。 例如：API流量限制值为10，凭据流量限制值为3，时长为1分钟，特殊凭据（凭据A）流控值为2，特殊凭据（凭据B）流控值为4，凭据A在1分钟内最多可以访问绑定了该流控策略的API 2次，凭据B在1分钟内最多可以访问绑定了该流控策略的API 4次。

为策略绑定API 单击策略名称，进入策略详情。 在API列表区域选择环境后，单击“绑定API”。 筛选API分组以及发布环境，勾选所需的API。 支持通过API名称或标签筛选API，标签为创建API时定义的标签。 单击“确定”，绑定完成。 如果单个API不需要绑定此策略，单击API所在行的“解绑”。 如果批量API不需要绑定此策略，则勾选待解绑的API，单击列表上方“解绑”。最多同时解绑1000个API。

配置实例参数 进入API网关控制台页面。 在左侧导航栏选择“实例管理”。 在待配置参数的实例上，单击“查看控制台”或实例名称。 单击“配置参数”页签，找到您需要调整的配置项，根据下表参数说明，进行修改。不同的实例规格展示的配置参数会存在不同，具体以界面为准。 表1 实例配置参数说明 参数 说明 ratelimit_api_limits API全局默认流控值，默认值为200次/秒。API未绑定流控策略时，执行此默认流控；API绑定流控策略时，则执行绑定的流控策略。流控策略的API流量限制值不能超过API全局默认流控值。 request_body_size API请求中允许携带的Body大小上限，默认值为12MB，可修改范围为1MB~9536MB。 支持通过POST方法上传文件，目前仅支持对请求体透传。 backend_timeout 后端响应超时时间上限，默认值为60000ms，可修改范围为1ms~600000ms。 app_token app_token认证方式开关，默认关闭。启用后，可在API请求中使用获取的access_token进行API的调用认证。 app_token_expire_time：access_token的有效时间，在access_token到期前，请及时获取新的access_token并更新，避免影响正常使用。 refresh_token_expire_time：refresh_token的有效时间。refresh_token用于获取新的access_token。 app_token_uri：获取access_token的uri。 app_token_key：access_token的加密key。 app_api_key app_api_key认证方式开关，默认关闭。启用后，可在API请求中添加“apikey”参数，携带凭据的Key进行API的调用认证。 app_basic app_basic认证方式开关，默认关闭。启用后，在API请求中添加Header参数“Authorization”，参数值为"Basic"+base64(appkey:appsecret)，其中appkey和appsecret分别为凭据的Key和Secret。 app_secret app_secret认证方式开关，默认关闭。启用后，可在API请求中添加“X-HW-ID”和“X-HW-AppKey”参数，携带凭据的Key和Secret进行API的调用认证。 app_route 支持IP访问开关，默认关闭。启用后，非DEFAULT分组下的APP认证的API可以使用IP地址调用。 backend_client_certificate 后端双向认证开关，默认关闭。启用后，创建API配置后端服务时，可配置后端双向认证。 ssl_ciphers 支持配置https加密套件，默认所有的加密套件全部支持。当您绑定独立域名后，可根据需要选择支持的加密套件。 real_ip_from_xff 是否使用X-Forwarded-For头中的IP作为ACL、流控的判断依据，默认不使用。 xff_index：X-Forwarded-For头中IP的排序序号，值允许为正数、负数、0。 xff_index值为0或正数时，获取X-Forwarded-For头中对应索引的IP。 xff_index值为负数时，按倒序方式从X-Forwarded-For头中获取IP。 例如到达API网关的X-Forwarded-For头中依次有IP1，IP2，IP3三个IP地址，xff_index取0时获取IP1，xff_index取1时获取IP2，xff_index取-1时获取IP3，xff_index取-2时获取IP2。 vpc_name_modifiable 负载通道名称是否可修改，默认可修改。 须知： 负载通道名称可修改时，当前实例的负载通道无法通过项目级负载通道管理接口操作。 app_jwt_enable app_jwt认证方式开关，默认关闭。启用后，可在API请求中添加如下参数，携带凭据的Key和Secret以及时间戳进行API的调用认证。 在API请求中添加Header参数“Timestamp”，参数值为当前时间的Unix时间戳，单位为毫秒。 在API请求中添加Header参数“Authorization”，这一参数可以通过修改“app_jwt_auth_header”项进行配置，默认值为“Authorization”，参数值为sha256(appkey+appsecret+timestamp)，且sha256加密后的字符串需为小写字母。其中appkey和appsecret分别为凭据的Key和Secret，timestamp为当前时间的Unix时间戳，单位为毫秒。 在API请求中添加Header参数“X-HW-ID”，参数值为凭据的Key。 public_key_enable public_key类型签名密钥开关，默认关闭。启用后，可在签名密钥认证中使用public_key类型签名。 public_key_uri_prefix：获取public_key对应secret的uri前缀。具体uri格式为：https://{虚拟私有云访问地址}{public_key_uri_prefix}{public_key签名密钥名称}。 custom_auth_header 认证头域自定义配置开关，默认关闭。启用后，参数“app_auth_header”和“backend_sign_header”的初始值为空，与不启用效果一致。 如果配置“app_auth_header”的“参数运行值”，那么对于APP认证的API，请求header中携带APP认证信息的参数为此处“app_auth_header”的值；如果配置“backend_sign_header”的“参数运行值”，那么对于绑定HMAC或者Basic Auth类型签名密钥策略的API，API网关到后端服务的请求header中携带签名信息的参数为此处“backend_sign_header”的值。 须知： 配置后会影响当前实例下所有APP认证或签名密钥策略（HMAC/Basic Auth类型），请谨慎配置。 gzip 对响应请求使用gzip压缩，用于减少公网流量。默认未配置gzip压缩，配置后1分钟生效，请谨慎修改。 启用后，可配置comp_level参数，comp_level表示压缩级别，值越大表示性能消耗越大，一般默认为6。 须知： 响应请求体大于1KB时，您可以使用gzip压缩文件（即1KB以下的文件不做压缩）。 gzip压缩支持的文件类型有text/xml、text/plain、text/css、application/javascript、application/x-javascript、application/rss+xml、text/javascript、image/tiff、image/svg+xml、application/json、application/xml 启用gzip压缩后，须在请求中添加请求头“Accept-Encoding: gzip”。 gzip配置完成后，如需修改，至少需要1分钟后。 custom_log 自定义日志功能开关，默认关闭。开启自定义日志功能后，实例下所有API的调用日志中会在指定位置打印指定参数的值。 启用后，需单击“编辑”，添加需在调用日志中打印的参数。 须知： 自定义日志只支持打印由客户端发起的请求信息，不支持打印在APIG中定义的常量参数和系统参数。 自定义日志最多可配置10个字段，且字段大小总和不得超过2KB。 参数值中的部分特殊字符会进行编码，例如：加号（+）会被编码为空格“ ”，双引号（"）会被编码为“\x22”，反斜杠（\）会被编码为“\x5C”。 sse_strategy SSE传输策略开关，默认关闭。启用后，支持通过使用Server-Sent Events（SSE）按照流式输出API的响应内容，可以实现逐字符渲染。 须知： sse_strategy配置完成后，如需修改，至少需要1分钟后。 vpc_name_modifiable 负载通道名称支持修改开关。开启后可修改负载通道名称，但当前实例的负载通道无法通过项目级VPC通道管理API接口操作。 vpc_health_status 负载通道后端实例健康状态显示开关，默认关闭。开关开启且负载通道的健康检查开启时，将在负载通道详情页面展示后端实例的健康状态。 request_custom_config 支持自定义配置客户端请求相关参数。 HTTP/2：HTTP/2协议的开关，默认为开启状态。更多详情请参考什么是API网关。 request_body_timeout：客户端请求体超时时间的修改，默认为8s。网络状况差或请求体过大的情况下可适当调整该参数。 须知： 客户端请求自定义配置修改完成后，如需修改，至少需要1分钟后。 api_uri_no_escape API的URL中的Path转义处理开关。默认关闭，表示URL中的Path会进行转义处理。 开启“api_uri_no_escape”开关后，使用Path不转义的功能请参见表2。 表2 Path不转义影响的功能 功能 描述 API前端定义的Path 请求发送时使用的Path api_uri_no_escape开关关闭 api_uri_no_escape开关开启 API定义 APIG进行匹配路由的Path /{path} /aa%2Faa /aa/aa /aa%2Faa 参数编排 后端服务参数使用的Path - - /aa/aa /aa%2Faa http到https重定向 重定向使用的Path - - /aa/aa /aa%2Faa 策略后端 策略条件为请求入参的Path - - /aa/aa /aa%2Faa 第三方认证策略 API绑定第三方认证策略后，传递到第三方的Path - - /aa/aa /aa%2Faa kafka日志推送策略 API绑定kafka日志推送策略后，使用的请求Path - - /aa/aa /aa%2Faa 负载通道 使用URI哈希分发算法的负载通道时，APIG用来转发的Path - - /aa/aa /aa%2Faa FunctionGraph后端 API的后端类型为FunctionGraph时，发送到函数请求Path - - /aa/aa /aa%2Faa 自定义认证 API认证方式选择自定义认证时，发送到函数请求Path - - /aa/aa /aa%2Faa

查看关键操作列表 通过云审计服务，您可以记录与API网关相关的操作事件，便于日后的查询、审计和回溯。API Gateway操作列表见下表： 表1 云审计服务支持的API Gateway操作列表 操作名称 资源类型 事件名称 创建API分组 ApiGroup createApiGroup 修改API分组 ApiGroup updateApiGroup 删除API分组 ApiGroup deleteApiGroup 校验API分组名称是否存在 Swagger CheckApiGroups 创建环境 Environment createEnvironment 修改环境 Environment updateEnvironment 删除环境 Environment deleteEnvironment 新建变量 EnvVariable CreateEnvironmentVariable 删除变量 EnvVariable DeleteEnvironmentVariable 修改变量 EnvVariable UpdateEnvironmentVariable 创建流控策略 Throttle CreateRequestThrottlingPolicy 修改流控策略 Throttle UpdateRequestThrottlingPolicy 删除流控策略 Throttle DeleteRequestThrottlingPolicy 创建API Api CreateApi 修改API Api UpdateApi 删除API Api DeleteApi 发布或下线API Api CreateOrDeletePublishRecordForApi 校验API定义 Api CheckApis 调试API Api DebugApi 批量发布/下线API Api BatchPublishOrOfflineApi 切换API版本 Api ChangeApiVersion 根据版本号下线API Api DeleteApiByVersionId 创建签名密钥 Signature CreateSignatureKey 修改签名密钥 Signature UpdateSignatureKey 删除签名密钥 Signature DeleteSignatureKey 绑定签名密钥 SignatureBinding AssociateSignatureKey 解除API与签名密钥的绑定关系 SignatureBinding DisassociateSignatureKey 绑定流控策略 ThrottleBinding AssociateRequestThrottlingPolicy 解除API与流控策略的绑定关系 ThrottleBinding DisassociateRequestThrottlingPolicy 批量解绑流控策略 ThrottleBinding BatchDisassociateThrottlingPolicy 创建特殊设置 ThrottleSpecial CreateSpecialThrottlingConfiguration 修改特殊流控 ThrottleSpecial UpdateSpecialThrottlingConfiguration 删除特殊流控 ThrottleSpecial DeleteSpecialThrottlingConfiguration APP授权 AppAuth CreateAuthorizingApps 解除授权 AppAuth CancelingAuthorization 绑定域名 ApiGroup AssociateDomain 绑定域名证书 ApiGroup AssociateCertificate 修改域名 ApiGroup UpdateDomain 解绑域名 ApiGroup DisassociateDomain 删除域名证书 ApiGroup DisassociateCertificate 创建ACL策略 Acl CreateAclStrategy 修改ACL策略 Acl UpdateAclStrategy 删除ACL策略 Acl DeleteAcl 批量删除ACL策略 Acl BatchDeleteAclV2 将API与ACL策略进行绑定 AclBinding CreateApiAclBinding 解除API与ACL策略的绑定 AclBinding DeleteApiAclBinding 批量解除API与ACL策略的绑定 AclBinding BatchDeleteApiAclBinding 创建自定义认证 Authorizer CreateCustomAuthorizer 修改自定义认证 Authorizer UpdateCustomAuthorizer 删除自定义认证 Authorizer DeleteCustomAuthorizer 导出API Swagger swaggerExportApiToGroup 导入API Swagger ImportApiDefinitions 创建VPC通道 Vpc CreateVpcChannel 更新VPC通道 Vpc UpdateVpcChannel 删除VPC通道 Vpc DeleteVpcChannel 添加或更新后端实例 Vpc AddingBackendInstances 更新后端实例 Vpc UpdateBackendInstances 删除后端实例 Vpc DeleteBackendInstance 批量修改后端服务器状态可用 Vpc BatchEnableMembers 批量修改后端服务器状态不可用 Vpc BatchDisableMembers 修改VPC通道健康检查 Vpc UpdateHealthCheck 添加或更新VPC通道后端服务器组 Vpc CreateMemberGroup 删除VPC通道后端服务器组 Vpc DeleteMemberGroup 更新VPC通道后端服务器组 Vpc UpdateMemberGroup 创建分组自定义响应 ApiGroup CreateGatewayResponse 修改分组自定义响应 ApiGroup UpdateGatewayResponse 删除分组自定义响应 ApiGroup DeleteGatewayResponse 修改分组下指定错误类型的自定义响应 ApiGroup UpdateGatewayResponseType 删除分组指定错误类型的自定义响应配置 ApiGroup DeleteGatewayResponseType 实例配置特性 Feature CreateFeatureV2 创建专享版实例（按需） Instance CreateInstance 更新专享版实例 Instance UpdateInstance 实例更新或绑定EIP Instance AddEip 实例解绑EIP Instance RemoveEip 开启实例公网出口 Instance AddEngressEip 更新实例出公网带宽 Instance UpdateEngressEip 关闭实例公网出口 Instance RemoveEngressEip 开启实例公网入口 Instance AddIngressEip 更新实例入公网带宽 Instance UpdateIngressEip 关闭实例公网入口 Instance RemoveIngressEip 删除专享版实例 Instance DeleteInstances 创建专享版实例（包周期） Instance CreateOrder 创建包周期规格变更订单 Instance CreatePrepayResize 按需规格变更 Instance CreatePostPayResizeOrder 接受或拒绝终端节点连接 vpc-endpoint AcceptOrRejectEndpointConnections 批量添加实例终端节点连接白名单 vpc-endpoint AddEndpointPermissions 批量删除实例终端节点连接白名单 vpc-endpoint DeleteEndpointPermissions 批量添加或删除单个实例的标签 Instance BatchCreateOrDeleteInstanceTags 导入微服务 Microservice ImportMicroservice 创建SSL证书 SslCertificate CreateCertificate 域名绑定SSL证书 ApiGroup BatchAssociateCerts 域名解绑SSL证书 ApiGroup BatchDisassociateCerts 删除SSL证书 SslCertificate DeleteCertificate 修改SSL证书 SslCertificate UpdateCertificate SSL证书绑定域名 Certificate BatchAssociateDomains SSL证书解绑域名 Certificate BatchDisassociateDomains 创建插件 Plugin CreatePlugin 修改插件 Plugin UpdatePlugin 删除插件 Plugin DeletePlugin 插件绑定API Plugin AttachApiToPlugin API绑定插件 Plugin AttachPluginToApi 解除绑定插件的API Plugin DetachApiFromPlugin 解除绑定API的插件 Plugin DetachPluginFromApi 创建APP App CreateAnApp 修改APP App UpdateApp 删除APP App DeleteAppV2 重置密钥 App ResettingAppSecret 校验APP App CheckApp 创建APP Code AppCode CreateAppCode 自动生成APP Code AppCode CreateAppCodeAuto 删除APP Code AppCode DeleteAppCode 设置APP的访问控制 AppAcl UpdateAppAcl 删除APP的访问控制 AppAcl DeleteAppAcl 创建凭据配额 AppQuota CreateAppQuota 修改凭据配额 AppQuota UpdateAppQuota 删除凭据配额 AppQuota DeleteAppQuota 凭据配额绑定凭据列表 AppQuotaBinding AssociateAppsForAppQuota 解除凭据配额和凭据的绑定 AppQuotaBinding DisassociateAppQuotaWithApp

脚本配置示例 { "response_headers": [ { "name": "test", "value": "test", "action": "append" }, { "name": "test1", "value": "test1", "action": "override" } ] }

约束与限制 同一个环境中，一个API只能被一个HTTP响应头策略绑定，但一个HTTP响应头策略可以绑定多个API。 无法修改API网关增加的系统响应头（x-apig-*，x-request-id等），包括API网关提供的CORS功能增加的响应头。 策略和API本身相互独立，只有为API绑定策略后，策略才对API生效。为API绑定策略时需指定发布环境，策略只对指定环境上的API生效。 策略的绑定、解绑、更新会实时生效，不需要重新发布API。 API的下线操作不影响策略的绑定关系，再次发布后仍然会带有下线前绑定的策略。 如果策略与API有绑定关系，则策略无法执行删除操作。