华为云用户手册

插件生命周期 状态 状态属性 说明 安装中 中间状态 插件正处于部署状态。 如遇到插件配置错误或资源不足所有实例均无法调度等情况，系统会在10分钟后将该插件置为“不可用”状态。 运行中 稳定状态 插件正常运行状态，所有插件实例均正常部署，插件可正常使用。 升级中 中间状态 插件正处于更新状态。 不可用 稳定状态 不可用，表示插件状态异常，插件不可使用。可单击状态查看失败原因。 删除中 中间状态 插件处于正在被删除的状态。 如果长时间处于该状态，则说明出现异常。

版本记录 表2 AI套件（Ascend NPU）版本记录 插件版本 更新特性 2.1.53 修复安全漏洞 2.1.46 支持Kubernetes v1.31 2.1.23 修复部分问题 2.1.22 修复了一些页面显示问题 支持查询超节点信息 支持上报显卡拓扑信息 修复了日志打印问题 2.1.5 适配CCE v1.29集群 新增静默故障码 1.2.14 支持NPU监控 1.2.5 支持NPU驱动自动安装

组件说明 表1 CCE AI套件（NVIDIA GPU）插件组件 容器组件 说明 资源类型 nvidia-driver-installer 为节点安装Nvidia GPU驱动的工作负载，仅在安装场景占用资源，安装完成后无资源占用。 DaemonSet hce20-nvidia-driver-installer 为节点安装Nvidia GPU驱动的工作负载，仅在安装场景占用资源，安装完成后无资源占用（用于适配OS HCE 2.0）。 DaemonSet ubuntu22-nvidia-driver-installer 为节点安装Nvidia GPU驱动的工作负载，仅在安装场景占用资源，安装完成后无资源占用（用于适配OS Ubuntu22）。 DaemonSet nvidia-gpu-device-plugin 为容器提供Nvidia GPU异构算力的Kubernetes设备插件。 DaemonSet nvidia-operator 为集群提供Nvidia GPU节点管理能力。 Deployment dcgm-exporter 启用dcgm-exporter组件进行DCGM指标观测时安装，用于采集GPU指标。 DaemonSet

版本记录 表2 AI套件（NVIDIA GPU）版本记录 插件版本 更新特性 2.7.63 修复安全漏洞 2.7.42 新增NVIDIA 535.216.03驱动，支持XGPU特性 2.6.4 更新GPU卡逻辑隔离逻辑 2.0.72 更新GPU卡逻辑隔离逻辑 2.0.48 修复安装驱动的问题 2.0.44 支持535版本Nvidia驱动 支持非root用户使用XGPU 优化启动逻辑 2.0.14 支持xGPU设备监控 支持nvidia.com/gpu与volcano.sh/gpu-* api兼容 1.2.29 适配OS Ubuntu22.04 GPU驱动目录自动挂载优化 1.2.24 节点池支持配置GPU驱动版本 支持GPU指标采集 1.2.20 设置插件别名为gpu 1.2.15 适配CCE v1.23集群

验证插件 插件安装完成后，在GPU节点及调度了GPU资源的容器中执行nvidia-smi命令，验证GPU设备及驱动的可用性。 GPU节点： # 插件版本为2.0.0以下时，执行以下命令： cd /opt/cloud/cce/nvidia/bin && ./nvidia-smi # 插件版本为2.0.0及以上时，驱动安装路径更改，需执行以下命令： cd /usr/local/nvidia/bin && ./nvidia-smi 容器： cd /usr/local/nvidia/bin && ./nvidia-smi 若能正常返回GPU信息，说明设备可用，插件安装成功。

配置节点池弹性伸缩策略 安装集群弹性引擎插件后，需要为节点池配置弹性伸缩策略。 弹性伸缩仅支持扩容按需计费节点。 每个资源池支持最多添加10个弹性弹性伸缩策略。 每个节点池支持最多添加5个弹性伸缩策略。 不能添加相同的弹性伸缩策略。 在资源池详情页，切换到“节点池管理”页签。 单击操作列的“弹性伸缩”。 在弹性伸缩弹框中配置节点池伸缩策略。 自定义扩容规则：单击“添加规则”，在弹出的添加规则窗口中设置参数。 规则类型：可选择“周期触发”。 触发时间：可选择每天、每周、每月或每年的具体时间点。 增加节点数（个数）：弹性伸缩时节点池下的节点增加数量。 节点池资源下限（个）：节点池中的总节点数缩小至配置的资源下限后将不再自动缩容。 节点池资源上限（个）：节点池中的总节点数达到配置的资源上限后将不再自动扩容。 冷却时间（分钟）：触发弹性扩容后，再次启动缩容评估的冷却时间。 设置完成后，单击“确定”。

约束与限制 集群弹性引擎支持对集群中按需计费和包周期的Lite Cluster资源池节点进行扩容和缩容。 集群弹性引擎不支持对整柜购买的Lite Cluster资源池进行弹性伸缩。 集群弹性引擎插件使用用户全局委托的权限操作资源池，如果全局委托中涉及资源池操作相关的黑名单策略，需要先删除黑名单。 在ModelArts控制台的“权限管理”页面获取当前“授权对象”对应的“授权内容”，即当前用户所授予的委托名称。 图1 授权内容 前往 IAM 控制台的委托页面，找到上一步骤获取的委托名称，单击操作列的“修改”。 图2 IAM委托 单击“授权记录”，切换至授权记录页签。 单击ModelArts CommonOperations操作列的“删除”，在对话框中单击“确定”，删除ModelArts CommonOperations权限。 图3 删除ModelArts CommonOperations权限

解决方案 通过配置NAT网关，为CAE应用搭建公网及跨VPC访问通道，利用NAT网关的地址转换功能，使多个CAE应用可共享弹性公网IP访问互联网。通过合理配置路由和目标网络地址，打通不同VPC间的数据传输路径，实现资源互联互通。 本章节将详细介绍CAE应用如何通过NAT网关实现公网及跨VPC访问。 步骤一：创建公网NAT网关 VPC作为相对封闭的网络空间，内部资源使用私有IP地址，无法直接与公网通信。部署在CAE上的应用使用私有IP无法实现访问公网资源。 创建公网NAT网关将VPC内私有IP地址转换为公有IP地址，使VPC内多个云主机能够共享弹性公网IP访问互联网。 步骤二：添加SNAT规则 通过添加SNAT规则，来建立私有IP与公有IP之间的转换关系。 步骤三：为VPC添加路由 为VPC添加路由的核心目的在于为VPC内网络流量规划传输路径。当CAE应用需要访问公网资源时，通过将路由的“下一跳”指定为NAT网关，数据包就能依据路由规则，准确传输到NAT网关，经NAT网关完成地址转换后实现对公网的访问；在跨VPC访问场景下，合理的路由配置可打通不同VPC间的网络通道，确保数据包能从源VPC顺利传输到目标VPC。 步骤四：添加目标网络地址 VPC需要一个具有明确访问目标的网络地址（如公网IP段或其他VPC的CIDR网段），否则流量无法知晓该向何处转发。通过指定目标地址，与路由规则中的“下一跳”形成完整路径指引，确保CAE应用产生的流量能经NAT网关准确转发至公网或目标VPC，实现资源访问与跨网络通信。

背景信息 在数字化业务持续演进的当下，数据库作为企业核心数据的存储与管理中枢，其安全性面临日益严峻的挑战。传统静态数据库密码管理方式存在诸多隐患，一旦密码泄露，可能引发数据泄露、恶意篡改等严重安全事故。为提升数据库安全防护能力，动态凭证轮转机制应运而生，它通过定期更换数据库密码，有效降低密码被破解的风险，成为保障数据库安全的重要手段。 华为云 数据加密 服务（DEW）具备对云数据库（RDS）凭证进行定期轮转和修改的能力，能够实时将修改后的凭证更新至RDS实例，极大增强了数据库密码的安全性。然而，云应用引擎（CAE）作为数据库客户端，在RDS凭证更新后，无法自动感知这一变化，导致其无法及时更新凭证信息，进而无法建立新的数据库连接，影响业务的正常运行。这一矛盾使得RDS凭证轮转机制在实际应用中难以实现端到端的自动化，成为制约数据库安全防护体系高效运作的瓶颈。

解决方案 为打破上述困局，充分发挥RDS凭证轮转的安全效能，华为云构建了以事件网格（EG）为核心的端到端RDS凭证自动轮转解决方案。该方案基于华为云各服务间的协同运作，形成完整的凭证更新与同步闭环。 本章节将详细介绍如何通过EG实现端到端的RDS凭证自动轮转流程。 步骤一：使用DEW服务创建事件通知，再创建凭据并绑定事件通知 DEW依据预设的安全策略，定期对RDS凭证进行轮转与修改，并将更新后的凭证实时同步至RDS实例。 步骤二：使用EG服务创建事件通道，再创建事件订阅 DEW通过事件网格（EG）发送凭证更新事件通知，将RDS实例ID、新凭证版本号等关键信息推送至EG主题。 EG作为事件路由中枢，按照预先配置的订阅规则，识别并筛选出与RDS凭证更新相关的事件，将其路由至云应用引擎（CAE）的指定接收端点。 步骤三：使用CAE服务创建凭据 CAE接收到EG发送的事件通知后，立即启动凭证更新流程。通过解析事件中的凭证信息，CAE将新凭证注入到相关组件的配置中，并触发组件重启或连接池刷新操作，实现使用新凭证建立与RDS的数据库连接。 （可选）步骤四：使用 AOM 服务创建告警通知规则，再创建事件告警规则 通过在AOM中创建告警通知规则和事件告警规则，实时监控“CAE组件更新凭据失败”事件。一旦发生异常，AOM将按照预设的通知方式（如短信、邮件等）及时向运维人员发送告警，以便快速定位和解决问题，确保整个凭证自动轮转流程的可靠运行。

步骤二：使用EG服务创建事件通道，再创建事件订阅 创建事件通道 进入EG控制台。 在左侧导航栏选择“事件通道”，EG服务已默认创建一条云服务事件通道（通道名称为default），云服务事件通道负责接收来自云服务事件源的事件。 创建事件订阅 在EG控制台，在左侧导航栏选择“事件订阅”。 单击“创建事件订阅”，进入事件订阅页面。 图1 事件订阅页面 单击“事件源”，参考表4设置参数信息。创建事件订阅的参数详细说明请参见创建事件订阅。 表4 事件源参数示例 参数 本案例的示例 选择提供方 选择“云服务”。 事件源 选择“云凭据管理服务 CS MS”。 事件类型 全部勾选，包含“DEW:C SMS :SecretRotated”、“DEW:CSMS:SecretVersionCreated”，“DEW:CSMS:SecretDeleted”和“DEW:CSMS:SecretVersionExpired”。 过滤规则 保持默认。 单击“确定”，完成事件源设置。 单击“事件目标”，参考表5设置参数信息。 表5 事件目标参数示例 参数 本案例的示例 选择提供方 选择“云服务”。 事件目标 选择“云服务接口”。该功能需要提交工单申请才能使用。详细操作请参考提交工单。 云服务 选择“云应用引擎 CAE”。 接口 选择“修改用户已在DEW服务上注册的凭据版本”。 委托 选择“EG_TARGET_AGENCY”。若没有可选的委托，可以单击右侧“创建委托”。 X-Enterprise-Project-ID 不要求填写。 secret_id 填写刚才在DEW控制台创建的凭据的凭据ID。凭据ID获取方式：在DEW控制台的凭据列表页面，可以获取凭据ID。 Body 单击“切换为文本输入”，填写以下Body： { "api_version": "v1", "kind": "Secret", "spec": { "name": "test", "version_id": "v2" } } 单击“确定”，完成事件目标设置。 单击“保存”，完成事件订阅创建。

DDoS防护 流量控制： APIG提供API级别的流量控制策略和流量控制2.0插件策略，用户可以通过为API配置流控策略进行流量控制。 APIG提供实例级别的流量控制，通过配置ratelimit_api_limits参数设置API全局默认流控值。 APIG提供实例级别的请求大小控制，通过配置request_body_size参数设置请求中允许携带的Body大小上限。 APIG支持对接WAF和DDoS防护服务来进行抵御攻击。具体操作请参考使用WAF对APIG进行安全防护和使用DDoS防护服务为APIG抵御DDoS攻击。

身份认证和访问控制 APIG提供API级别的认证鉴权，包括APP认证、IAM认证和自定义认证。 在IAM认证场景下，使用Token认证方式调用API时，token过期时间由IAM服务决定。详情请参考获取IAM用户Token（使用密码）。 在APP认证/IAM认证场景下，使用AK/SK认证方式调用API时，签名有效期为15分钟。 APIG提供API级别访问控制策略，用户可以设置IP地址或账户的黑白名单来禁止/允许某个IP地址/账号名/账号ID访问API。 APIG支持实例级别访问控制策略，用户可以配置黑白名单来禁止/允许某个IP地址访问实例。

应用网关 CSE应用网关基于开源社区版Envoy，提供Ingress网关和微服务网关二合一的云原生网关服务。使用华为云CSE应用网关可以获得微服务架构或容器化应用的极简网关体验，快速对接服务发现、实现服务路由、安全控制、流量治理等功能，让用户专注于业务应用的开发与维护。CSE应用网关的可观测能力，与华为云AOM、 APM 、LTS等服务预集成，提供监控告警、调用链路分析、访问日志查询等功能。 应用网关当前仅在华东-上海一、西南-贵阳一支持公测。

ServiceComb引擎 CSE ServiceComb引擎基于Apache ServiceComb开源生态，提供一站式的微服务平台。支持使用Java-Chassis SDK、SpringCloudHuawei SDK或无侵入的Sermant Java Agent（支持标准SpringCloud和Dubbo框架）接入。接入后，用户可以轻松使用服务契约、服务治理、灰度发布、业务场景治理、服务监控、配置管理、访问控制等众多功能，实践api first开发，构建高安全、高性能、高稳定的微服务应用。关于Apache ServiceComb Service Center的详细内容请参考： https://github.com/apache/servicecomb-service-center/ https://service-center.readthedocs.io/en/latest/user-guides.html ServiceComb引擎分为1.x、2.x版本。 ServiceComb引擎2.x版本是可支持大规模微服务应用管理的商用引擎。您可根据业务需要选择不同规格，引擎创建完成后不支持规格变更；引擎资源独享，性能不受其他租户影响。 相较于ServiceComb引擎1.x版本，ServiceComb引擎2.x版本底层架构、功能、安全及性能全面升级，提供了独立的服务注册发现中心和配置中心，支持基于用户业务场景的定义和治理。两个版本的特性比对请参见表1。 表1 ServiceComb引擎2.x和ServiceComb引擎1.x特性比对 功能 特性 2.x 1.x 备注 引擎管理 安全性 支持安全认证 √ √ - 可靠性 3AZ高可靠 √ √ - 微服务管理 基础能力 注册发现 √ √ - 多框架接入 √ √ 支持Spring Cloud、ServiceComb Java Chassis。 无实例版本自动清理 √ x 2.3.7及以后版本，支持保留最近3个微服务版本，并自动清理无实例版本。 性能 实例变化毫秒级推送 √ √ - 配置管理 基础能力 管理配置 √ √ - 配置格式多样化 √ 仅支持文本 2.x新增支持配置格式有：YAML、JSON、TEXT、Properties、INI、XML。 导入导出 √ √ 2.x新增支持设置导入相同配置策略。 高级特性 历史版本 √ x - 版本对比 √ x - 一键回滚 √ x - 配置标签 √ x - 性能 秒级下发 √ x - 微服务治理 业务场景化治理 业务场景定义 √ x - 基于请求Method的匹配规则 √ x - 基于请求Path的匹配规则 √ x - 基于请求Headers的匹配规则 √ x - 治理策略-流量控制 服务端的令牌桶限流 √ √ - 治理策略-重试 客户端通过重试来保证用户业务的可用性、容错性、一致性 √ √ - 治理策略-熔断 服务端通过熔断故障业务，防止故障蔓延到整个服务，发生大规模故障 √ √ - 治理策略-隔离仓 服务端基于信号量控制请求并发能力 √ x - 开发工具 本地轻量化引擎 本地一键启动，方便开发者离线开发微服务 √ √ -

VPN网关 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建VPN网关 POST /v5/{project_id}/vpn-gateways vpn:vpnGateways:create er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subnets:create vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:ports:create vpc:quotas:list vpc:bandwidths:list vpc:ports:get vpc:ports:delete vpc:routeTables:update vpc:routeTables:get vpc:bandwidths:get √ √ 查询VPN网关 GET /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:get vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ √ 查询VPN网关列表 GET /v5/{project_id}/vpn-gateways vpn:vpnGateways:list vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ × 更新VPN网关 PUT /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:update er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 删除VPN网关 DELETE /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:delete er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:ports:delete vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN网关可用区(V5) GET /v5/{project_id}/vpn-gateways/availability-zones vpn:vpnGatewayAvailabilityZone:list - √ × 查询VPN网关可用区(V5.1) GET /v5.1/{project_id}/vpn-gateways/availability-zones vpn:vpnGatewayAvailabilityZone:list - √ × 导入VPN网关证书 POST /v5/{project_id}/vpn-gateways/{vgw_id}/certificate vpn:vpnGateways:importCertificate - √ √ 查询VPN网关证书 GET /v5/{project_id}/vpn-gateways/{vgw_id}/certificate vpn:vpnGateways:getCertificate - √ √ 更新VPN网关证书 PUT /v5/{project_id}/vpn-gateways/{vgw_id}/certificate/{certificate_id} vpn:vpnGateways:updateCertificate - √ √ 查询VPN网关的路由表 GET /v5/{project_id}/vpn-gateways/{vgw_id}/routing-table vpn:vpnGateways:getRoutingTable - √ √ 变更按需VPN网关规格 POST /v5/{project_id}/vpn-gateways/{vgw_id}/update-specification vpn:vpnGateways:updatePostpaidSpecification - √ √ 父主题： 站点入云VPN授权项列表

VPN连接 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建VPN连接 POST /v5/{project_id}/vpn-connection vpn:vpnConnections:create ces:metricData:list ces:currentRegionSupportedMetrics:list vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN连接列表 GET /v5/{project_id}/vpn-connection vpn:vpnConnections:list vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ × 查询VPN连接详情 GET /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:get vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ √ 更新VPN连接 PUT /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:update vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 删除VPN连接 DELETE /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:delete ces:metricData:list ces:currentRegionSupportedMetrics:list vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 批量创建VPN连接 POST /v5/{project_id}/vpn-connections/batch-create vpn:vpnConnections:batchCreate ces:metricData:list ces:currentRegionSupportedMetrics:list vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN连接日志 GET /v5/{project_id}/vpn-connection/{vpn_connection_id}/log vpn:vpnConnections:getLog - √ √ 父主题： 站点入云VPN授权项列表

VPN连接 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建VPN连接 POST /v5/{project_id}/vpn-connection vpn:vpnConnections:create ces:metricData:list ces:currentRegionSupportedMetrics:list vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN连接列表 GET /v5/{project_id}/vpn-connection vpn:vpnConnections:list vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ × 查询VPN连接详情 GET /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:get vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ √ 更新VPN连接 PUT /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:update vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 删除VPN连接 DELETE /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:delete ces:metricData:list ces:currentRegionSupportedMetrics:list vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 批量创建VPN连接 POST /v5/{project_id}/vpn-connections/batch-create vpn:vpnConnections:batchCreate ces:metricData:list ces:currentRegionSupportedMetrics:list vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN连接日志 GET /v5/{project_id}/vpn-connection/{vpn_connection_id}/log vpn:vpnConnections:getLog - √ √ 父主题： 站点入云VPN授权项列表

站点入云VPN 基础型和专业型1网关规格，支持相互变更。 专业型1、专业型2网关规格，支持相互变更。 专业型1-非固定IP VPN网关规格不支持变更为专业型1；专业型2-非固定IP VPN网关规格不支持变更为专业型2。 专业型3 VPN网关规格不支持与其他规格相互变更。 以上产品规格升降配，实际情况以console显示为准。 表1 站点入云VPN产品规格 对比项 基础型 专业型1 专业型1-非固定IP 专业型2 专业型2-非固定IP 国密型 专业型3 独享网关资源 支持 支持 支持 支持 支持 支持 支持 双连接 支持 支持 支持 支持 支持 支持 支持 双活网关 支持 支持 支持 支持 支持 支持 支持 主备网关 支持 支持 支持 支持 支持 支持 支持 策略模式 支持 支持 支持 支持 支持 支持 支持 路由模式-静态路由 支持 支持 支持 支持 支持 支持 支持 路由模式-BGP路由 支持 支持 支持 支持 支持 支持 支持 策略模板模式 不支持 不支持 支持 不支持 支持 不支持 支持 最大转发带宽 100Mbps 300Mbps 300Mbps 1Gbps 1Gbps 500Mbps 5000Mbps 最大VPN连接组数 10个 100个 100个 100个 100个 100个 300个 对接企业路由器 不支持 支持 支持 支持 支持 支持 支持 接入私网地址 不支持 支持 不支持 支持 不支持 支持 支持 非固定IP接入 不支持 不支持 支持 不支持 支持 不支持 不支持 支持区域 以管理控制台实际上线区域为准。 以管理控制台实际上线区域为准。 以管理控制台实际上线区域为准。 以管理控制台实际上线区域为准。 以管理控制台实际上线区域为准。 以管理控制台实际上线区域为准。 以管理控制台实际上线区域为准。 父主题： 产品规格

VPN网关 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建VPN网关 POST /v5/{project_id}/vpn-gateways vpn:vpnGateways:create er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subnets:create vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:ports:create vpc:quotas:list vpc:bandwidths:list vpc:ports:get vpc:ports:delete vpc:routeTables:update vpc:routeTables:get vpc:bandwidths:get √ √ 查询VPN网关 GET /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:get vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ √ 查询VPN网关列表 GET /v5/{project_id}/vpn-gateways vpn:vpnGateways:list vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ × 更新VPN网关 PUT /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:update er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 删除VPN网关 DELETE /v5/{project_id}/vpn-gateways/{vgw_id} vpn:vpnGateways:delete er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:delete vpc:subNetworkInterfaces:update vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:ports:delete vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN网关可用区(V5) GET /v5/{project_id}/vpn-gateways/availability-zones vpn:vpnGatewayAvailabilityZone:list - √ × 查询VPN网关可用区(V5.1) GET /v5.1/{project_id}/vpn-gateways/availability-zones vpn:vpnGatewayAvailabilityZone:list - √ × 导入VPN网关证书 POST /v5/{project_id}/vpn-gateways/{vgw_id}/certificate vpn:vpnGateways:importCertificate - √ √ 查询VPN网关证书 GET /v5/{project_id}/vpn-gateways/{vgw_id}/certificate vpn:vpnGateways:getCertificate - √ √ 更新VPN网关证书 PUT /v5/{project_id}/vpn-gateways/{vgw_id}/certificate/{certificate_id} vpn:vpnGateways:updateCertificate - √ √ 查询VPN网关的路由表 GET /v5/{project_id}/vpn-gateways/{vgw_id}/routing-table vpn:vpnGateways:getRoutingTable - √ √ 变更按需VPN网关规格 POST /v5/{project_id}/vpn-gateways/{vgw_id}/update-specification vpn:vpnGateways:updatePostpaidSpecification - √ √ 父主题： 站点入云VPN授权项列表

Kafka扩容/缩容会影响业务吗？ 扩容/缩容Kafka实例的影响如表1所示。 表1 变更实例规格的影响 变更配置类型 影响 基准带宽/代理数量 扩容基准带宽/代理数量不会影响原来的代理，业务也不受影响。 扩容基准带宽/代理数量时，系统会根据当前磁盘大小进行相应比例的存储空间扩容。例如扩容前实例的代理数为3，每个代理的磁盘大小为200GB，扩容后实例的代理数为10，此时代理的磁盘大小依旧为200GB，但是总磁盘大小为2000GB。 新创建的Topic才会分布在新代理上，原有Topic还分布在原有代理上，造成分区分布不均匀。通过修改Kafka分区平衡，实现将原有Topic分区的副本迁移到新代理上。 存储空间 扩容存储空间有次数限制，只能扩容20次。 扩容存储空间不会影响业务。 代理规格 若Topic为单副本，扩容/缩容期间无法对该Topic生产消息或消费消息，会造成业务中断。 若Topic为多副本，扩容/缩容代理规格不会造成服务中断，但会逐个节点重启，负载会转移到剩余节点上，建议您在业务低峰期扩容/缩容。 扩容/缩容代理规格的过程中，节点滚动重启造成分区Leader切换，会发生秒级连接闪断，在用户网络环境稳定的前提下，Leader切换时长一般为1分钟以内。多副本的Topic需要在生产客户端配置重试机制，方法如下： 生产客户端为Kafka开源客户端时，检查是否配置retries参数，建议此参数值设置为3~5。 生产客户端为Flink客户端时，检查是否配置重启策略，配置重启策略可以参考如下代码。 StreamExecutionEnvironment env = StreamExecutionEnvironment.getExecutionEnvironment(); env.setRestartStrategy(RestartStrategies.fixedDelayRestart(3, Time.seconds(20))); 若实例已创建的分区数总和大于待缩容规格的实例分区数上限，此时无法缩容。不同规格配置的实例分区数上限不同，具体请参见产品规格。 例如：kafka.4u8g.cluster*3的实例，已创建800个分区，您想把此实例的规格缩容为kafka.2u4g.cluster*3，kafka.2u4g.cluster*3规格的实例分区数上限为750，此时无法缩容。 变更代理规格的时长和代理数量有关，单个代理的变更时长一般在5~10分钟，代理数量越多，规格变更时间越长。 父主题： 实例规格变更问题

可能原因 Kafka实例每个代理会使用33GB的磁盘作为日志和Zookeeper数据的存储，且创建实例时磁盘格式化会占用部分磁盘空间，因此实际数据存储空间大约为66GB。Topic的每个分区都是由多个segment文件组成，每个segment文件的最大存储容量为500MB。Kafka删除消息是删除segment文件，而不是删除一条消息。Kafka要求每个分区至少保留一个segment文件用来存储消息，如果分区中仅剩一个segment文件，此segment文件不会被删除。在分区数到达132个（66GB/500MB=132）及以上时，可能会达到磁盘存储空间使用上限。 磁盘容量到达95%（即62.7GB）时，由于Topic配置了180个分区，每个分区中可能只存在一个segment文件，此segment文件无法被删除，其存储的消息也不会被删除。

自动化部署对接 接入类型为License类的联营商品，则必须对接自动化部署；其他接入类型，暂不需对接自动化部署。对接成功后，商品将支持：客户可一键购买及开通商品部署所依赖的云资源，结合商家的自动部署脚本可实现应用软件商品的一键自动部署能力。自动化部署能力可提升用户的购买、使用体验，也可降低商家的交付成本、提高部署效率，做到快速发放，且所有配置可被管理、追溯及审计，降低人为错误。 商家须在提交联营商品发布前完成自动化部署对接，否则无法通过商品发布审核，具体对接方式请参考如下指导： License类商品自动部署接入流程：《License类商品接入流程》; 开发自动部署指南：《开发自动部署指南》 发布应用资产流程指导：《发布应用资产，上传软件包和模板》 如在自动化部署对接过程中有疑问，请咨询华为对接人。

准入条件 企业入驻华为云云商店需要符合以下条件： 符合国家相关法律、法规规定，拥有正规的公司资质。 具有5人以上的技术及客服团队。 可提供不少于5*8小时的客服在线服务。 接受并签署云商店相关协议及管理规范，并按照协议及管理规范的条款和条件开展业务合作。 企业成立至少1年以上，且注册资金50万元及以上。 接受并签订《云商店通用商品商家合作协议》并按照协议约束的条款开展业务合作。 接受华为云要求满足的其他条件（含伙伴政策要求的条件）。 个人开发者入驻华为云云商店需要符合以下条件： 可提供不少于5*8小时的客服在线服务。 接受并签署云商店相关协议及管理规范，并按照协议及管理规范的条款和条件开展业务合作。 个人开发者需通过华为云平台的实名认证，年龄需满足18周岁以上。 接受并签订《云商店通用商品商家合作协议》并按照协议约束的条款开展业务合作。 接受华为云要求满足的其他条件（含伙伴政策要求的条件）。 父主题： 商家入驻

配置 DLI 源端参数 作业中源连接为DLI连接时，源端作业参数如表1所示。 表1 DLI作为源端时的作业参数 参数名 说明 取值样例 资源队列 选择目的表所属的资源队列。 DLI的default队列无法在迁移作业中使用，您需要在DLI中新建SQL队列。 cdm 数据库名称 写入数据的数据库名称。 dli 表名 写入数据的表名。 car_detail 分区 用于抽取分区的信息。 读取DLI非分区表或单分区的作业若要支持多并发，需要满足以下条件： 作业并发数配置大于1。 DLI导出数据量大于64MB。 DLI队列已开启OBS作业桶，详情请参考配置DLI作业桶设置作业桶及参考队列属性设置在“属性设置”中勾选“开启作业结果保存至作业桶”。 ['year=2020'] ['year=2020,location=sun'] ['year=2020,location=sun', 'year=2021,location=earth'] 读取前一天数据： 当前日期为2024-07-16，则['DS=${dateformat(yyyy-MM-dd, -1, DAY)}']表示抽取DS分区值为2024-07-15的数据。 其他场景请参见时间宏变量使用解析。 父主题： 配置 CDM 作业源端参数

SAP HANA连接参数说明 连接SAP HANA时，相关参数如表1所示。 作业运行中禁止修改密码或者更换用户。在作业运行过程中修改密码或者更换用户，密码不会立即生效且作业会运行失败。 表1 SAP HANA连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 sap_link 数据库服务器 配置为要连接的数据库的IP地址或 域名 。 单击输入框后的“选择”，可获取用户的实例列表。 192.168.0.1 端口 配置为要连接的数据库的端口。 不同的数据库端口不同，请根据具体情况配置。 数据库名称 配置为要连接的数据库名称。 dbname 用户名 待连接数据库的用户。该数据库用户需要有数据表的读写权限，以及对元数据的读取权限。 cdm 密码 用户名密码。 - 使用Agent Agent功能待下线，无需配置。 - Agent Agent功能待下线，无需配置。 - 单次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源端和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 1000 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 迁移数据量较大、或通过查询语句检索全表时，会由于连接超时导致迁移失败。此时可自定义超时时间，避免超时导致失败，常见配置举例如下： connectTimeout：连接建立超时时间，单位为毫秒。如果连接在指定时间内未能成功建立，将返回超时错误。默认值通常为60,000 毫秒。 socketTimeout：套接字读取超时时间，单位为毫秒。如果在读取数据时超过这个时间，将返回超时错误。默认值通常为 300,000 毫秒。 communicationTimeout：通信超时时间，单位为秒。这个参数用于控制客户端与服务器之间的通信超时，包括读取和写入操作。默认值通常为120秒。 useCursorFetch=false：CDM作业默认打开了JDBC连接器与关系型数据库通信使用二进制协议开关，即useCursorFetch=true。部分第三方可能存在兼容问题导致迁移时间转换出错，可以关闭此开关；开源MySQL数据库支持useCursorFetch参数，无需对此参数进行设置。 sslmode=require 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 ' 父主题： 配置连接参数

响应参数 状态码： 400 表2 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：1 最大长度：36 error_msg String 错误描述 最小长度：2 最大长度：512 request_id String 请求ID 最小长度：2 最大长度：512 状态码： 404 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：1 最大长度：36 error_msg String 错误描述 最小长度：2 最大长度：512 状态码： 500 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 最小长度：1 最大长度：36 error_msg String 错误描述 最小长度：2 最大长度：512 request_id String 请求ID 最小长度：2 最大长度：512

URI POST /v2/{project_id}/fgs/workflows/{workflow_id}/executions/{execution_id}/retry 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID，获取方式请参见获取项目ID。 最小长度：1 最大长度：64 workflow_id 是 String 函数工作流 ID 最小长度：1 最大长度：512 execution_id 是 String 函数流执行实例ID 最小长度：1 最大长度：64

响应示例 状态码： 200 OK { "func_id" : "0d075978-5a54-4ee1-8e24-ff5bd070xxxx", "resource_id" : "0d075978-5a54-4ee1-8e24-ff5bd070xxxx:test", "func_urn" : "urn:fss:xxxxxxxxxx:7aad83af3e8d42e99ac194e8419e2c9b:function:default:test:latest", "func_name" : "test", "domain_id" : "14ee2e3501124efcbca7998baa24xxxx", "namespace" : "46b6f338fc3445b8846c71dfb1fbxxxx", "project_name" : "xxxxxxxxx", "package" : "default", "runtime" : "Node.js6.10", "timeout" : 3, "handler" : "test.handler", "memory_size" : 128, "cpu" : 300, "code_type" : "inline", "code_filename" : "index.js", "code_size" : 272, "digest" : "faa825575c45437cddd4e369bea69893bcbe195d478178462ad90984fe72993f3f59d15f41c5373f807f3e05fb9af322c55dabeb16565c386e402413458e6068", "version" : "latest", "ephemeral_storage" : 512, "image_name" : "latest-191025153727@zehht", "last_modified" : "2019-10-25 15:37:27", "strategy_config" : { "concurrency" : 0 } } 状态码： 404 Not Found 找不到资源。 { "error_code" : "FSS.1051", "error_msg" : "Not found the function" }

响应参数 状态码： 202 表4 响应Header参数 参数 参数类型 描述 Content-Type String application/json 表5 响应Body参数 参数 参数类型 描述 instance_id String 预留实例id 状态码： 404 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误信息