华为云用户手册

产品架构 OBS的基本组成是桶和对象。 桶是OBS中存储对象的容器，每个桶都有自己的存储类别、访问权限、所属区域等属性，用户在互联网上通过桶的访问 域名 来定位桶。 对象是OBS中数据存储的基本单位，一个对象实际是一个文件的数据与其相关属性信息的集合体，包括Key、Metadata、Data三部分： Key：键值，即对象的名称，为经过UTF-8编码的长度大于0且不超过1024的字符序列。一个桶里的每个对象必须拥有唯一的对象键值。 Metadata：元数据，即对象的描述信息，包括系统元数据和用户元数据，这些元数据以键值对（Key-Value）的形式被上传到OBS中。 系统元数据由OBS自动产生，在处理对象数据时使用，包括Date，Content-length，Last-modify，ETag等。 用户元数据由用户在上传对象时指定，是用户自定义的对象描述信息。 Data：数据，即文件的数据内容。 针对OBS提供的REST API进行了二次开发，为您提供了控制台、SDK和各类工具，方便您在不同的场景下轻松访问OBS桶以及桶中的对象。您也可以利用OBS提供的SDK和API，根据您业务的实际情况自行开发，以满足不同场景的海量数据存储诉求。 图1 产品架构

存储类别 OBS提供了四种存储类别：标准存储、低频访问存储、归档存储、深度归档存储（受限公测中），从而满足客户业务对存储性能、成本的不同诉求。不同规格的存储类别转换请参见OBS存储类别转换，不同规格的存储类别计费参见存储费用。 标准存储访问时延低和吞吐量高，因而适用于有大量热点文件（平均一个月多次）或小文件（小于1MB），且需要频繁访问数据的业务场景，例如：大数据、移动应用、热点视频、社交图片等场景。 低频访问存储适用于不频繁访问（平均一年少于12次）但在需要时也要求快速访问数据的业务场景，例如：文件同步/共享、企业备份等场景。与标准存储相比，低频访问存储有相同的数据持久性、吞吐量以及访问时延，且成本较低，但是可用性略低于标准存储。 归档存储适用于很少访问（平均一年访问一次）数据的业务场景，例如：数据归档、长期备份等场景。归档存储安全、持久且成本极低，可以用来替代磁带库。为了保持成本低廉，数据恢复时间可能长达数分钟到数小时不等。 深度归档存储（受限公测）适用于长期不访问（平均几年访问一次）数据的业务场景，其成本相比归档存储更低，但相应的数据恢复时间将更长，一般为数小时。 上传对象时，对象的存储类别默认继承桶的存储类别。您也可以重新指定对象的存储类别。 修改桶的存储类别，桶内已有对象的存储类别不会修改，新上传对象时的默认对象存储类别随之修改。 表1 存储类别对比 对比项目 标准存储 低频访问存储 归档存储 深度归档存储（受限公测） 特点 高性能、高可靠、高可用的 对象存储服务 高可靠、较低成本的实时访问存储服务 归档数据的长期存储，存储单价更优惠 深度归档数据的长期存储，存储单价相比归档存储更优惠 应用场景 云应用、数据分享、内容分享、热点对象 网盘应用、企业备份、活跃归档、监控数据 档案数据、医疗影像、视频素材、带库替代 长期不访问的数据存档场景 设计持久性 99.999999999% 99.999999999% 99.999999999% 99.999999999% 设计持久性（多AZ） 99.9999999999% 99.9999999999% 不支持多AZ 不支持多AZ 设计可用性 99.99% 99% 99% 99% 设计可用性（多AZ） 99.995% 99.5% 不支持多AZ 不支持多AZ 最低存储时间 无 30天 90天 180天 最小计量单位a 64KB 64KB 64KB 64KB 数据恢复 不涉及 按实际恢复数据量收费，单位GB 分加急、标准恢复方式 按实际恢复数据量收费，单位GB 分加急和标准两种恢复方式 按实际恢复数据量收费，单位GB 图片处理 支持 支持 不支持 不支持 最低存储时间是指对象的计费时间下限。对象存储时间小于最低存储时间时，将按照最低存储时间计费。例如，一个低频访问存储对象在OBS中存储了20天后删除，会按照30天计费。

数据保护技术 OBS通过多种数据保护手段和特性，保障存储在OBS中的数据安全可靠。 表1 OBS的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（HTTPS） OBS支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 构造请求 数据冗余存储 OBS采用Erasure Code（EC，纠删码）算法做数据冗余，不是以副本的形式存储。在满足同等可靠性要求的前提下，EC的空间利用率优于多副本。 OBS创建桶时支持选择数据冗余存储策略，选择多AZ存储时，数据冗余存储在同区域的多个AZ。当某个AZ不可用时，仍然能够从其他AZ正常访问数据，适用于对可靠性要求较高的数据存储场景。 创建多AZ桶 数据完整性校验（MD5） 对象数据在上传下载过程中，有可能会因为网络劫持、数据缓存等原因，存在数据不一致的问题。OBS提供通过计算MD5值的方式对上传下载的数据进行一致性校验。 数据一致性校验 服务端加密 当启用服务端加密功能后，用户上传对象时，数据会在服务端加密成密文后存储。用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。 服务端加密介绍和配置方法 跨区域复制 跨区域复制是指通过创建跨区域复制规则，将一个桶（源桶）中的数据自动、异步地复制到不同区域的另外一个桶（目标桶）中。跨区域复制能够为用户提供跨区域数据容灾的能力，满足用户数据复制到异地进行备份的需求。 跨区域复制介绍和配置方法 多版本控制 您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 多版本控制介绍和配置方法 敏感操作保护 OBS控制台支持敏感操作保护，开启后执行删除桶等敏感操作时，系统会进行身份验证，进一步保证OBS配置和数据的安全性。 敏感操作保护介绍 父主题： 安全

与其他服务的关系 对象存储服务OBS与周边服务的依赖关系如图1所示。 图1 对象存储服务OBS与其他服务的关系示意图 表1 与其他服务的关系 交互功能 相关服务 位置 通过相关服务将数据迁移到OBS 对象存储迁移 服务（Object Storage Migration Service， OMS ） 迁移第三方云厂商数据至OBS_OMS方式 云数据迁移 （Cloud Data Migration， CDM ） 搬迁本地数据至OBS_CDM方式 数据快递服务（Data Express Service，DES） 搬迁本地数据至OBS_DES磁盘方式 搬迁本地数据至OBS_DES Teleport方式 云专线（Direct Connect，DC） 搬迁本地数据至OBS_云专线方式 在E CS 上实现通过华为云内网访问OBS 弹性云服务器（Elastic Cloud Server，ECS） 在ECS上通过内网访问OBS 通过 IAM 服务实现以下功能： 用户身份鉴权 IAM用户权限设置 IAM委托设置 统一身份认证 服务（Identity and Access Management，IAM） 用户权限 设置用户权限 创建IAM委托 通过 CES 服务监控桶的上传流量、下载流量、GET类请求次数、PUT类请求次数、GET类请求首字节平均时延、4xx异常次数和5xx异常次数。 云监控服务 （Cloud Eye Service） Cloud Eye控制台监控指标 通过 CTS 服务收集OBS资源操作记录，便于日后的查询、审计和回溯。 云审计 服务（Cloud Trace Service，CTS） 审计 标签用于标识OBS中的桶，以实现对OBS中的桶进行分类。 标签管理服务（Tag Management Service，TMS） 标签 通过密钥管理KMS功能对上传到OBS中的文件进行加密。 数据加密 服务（Data Encryption Workshop，DEW） 服务端加密 通过CDN服务为OBS桶绑定的自定义域名加速。 CDN（Content Delivery Network，内容分发网络） 自定义域名绑定 通过 CDN加速 访问OBS 通过DNS服务为托管在OBS上的静态网站和OBS桶绑定的自定义域名做域名解析。 云解析服务（Domain Name Service，DNS） 使用自定义域名托管静态网站 自定义域名绑定 通过CDN加速访问OBS OBS可以作为其他云服务的存储资源池，例如关系型数据库（Relational Database Service，RDS）， 镜像服务 （Image Management Service，IMS），云审计服务（Cloud Trace Service，CTS）等。 OBS可以作为其他云服务的数据分析学习的数据源，例如 MapReduce服务 （MapReduce Service， MRS ），机器学习服务 （Machine Learning Service，MLS）等。

OBS与自建存储服务器对比 在信息时代，企业数据直线增长，自建存储服务器存在诸多劣势，已无法满足企业日益强烈的存储需求。表1向您详细展示了OBS与自建存储服务器的优劣势对比。 表1 OBS与自建存储服务器对比 对比项 OBS 自建存储服务器 数据存储量 提供海量的存储服务，在全球部署着N个数据中心，所有业务、存储节点采用分布式集群方式部署，各节点、集群都可以独立扩容，用户永远不必担心存储容量不够。 数据存储量受限于搭建存储服务器时使用的硬件设备，存储量不够时需要重新购买存储硬盘，进行人工扩容。 安全性 支持HTTPS/SSL安全协议，支持数据加密上传。同时OBS通过访问密钥（AK/SK）对访问用户的身份进行鉴权，结合IAM权限、桶策略、ACL、防盗链等多种方式和技术确保数据传输与访问的安全。 支持敏感操作保护，针对删除桶等敏感操作，可开启身份验证。 需自行承担网络信息安全、技术漏洞、误操作等各方面的数据安全风险。 可靠性 通过五级可靠性架构，保障数据持久性高达99.9999999999%，业务连续性高达99.995%，远高于传统架构。 一般的企业自建存储服务器不会投入巨额的成本来同时保证介质、服务器、机柜、数据中心、区域级别的可靠性，一旦出现故障或灾难，很容易导致数据出现不可逆的丢失，给企业造成严重损失。 成本 即开即用，免去了自建存储服务器前期的资金、时间以及人力成本的投入，后期设备的维护交由OBS处理。 按使用量付费，用多少算多少。阶梯价格，用的越多越实惠。 前期安装难、设备成本高、初始投资大、自建周期长、后期运维成本高，无法匹配快速变更的企业业务，安全保障的费用还需额外考虑。

OBS的优势 数据稳定，业务可靠：OBS支撑手机云相册，数亿用户访问，稳定可靠。通过跨区域复制、AZ之间数据容灾、AZ内设备和数据冗余、存储介质的慢盘/坏道检测等技术方案，保障数据持久性高达99.9999999999%，业务连续性高达99.995%，远高于传统架构。 图1 五级可靠性架构保证数据稳定，业务可靠 多重防护，授权管理：OBS通过可信云认证，让数据安全放心。支持多版本控制、敏感操作保护、服务端加密、防盗链、VPC网络隔离、访问日志审计以及细粒度的权限控制，保障数据安全可信。 千亿对象，千万并发：OBS通过智能调度和响应，优化数据访问路径，并结合事件通知、传输加速、大数据垂直优化等，为各场景下用户的千亿对象提供千万级并发、超高带宽、稳定低时延的数据访问体验。 图2 千亿对象，千万并发的数据访问体验 简单易用，便于管理：OBS支持标准REST API、多版本SDK和数据迁移工具，让业务快速上云。无需事先规划存储容量，存储资源和性能可线性无限扩展，不用担心存储资源扩容、缩容问题。OBS支持在线升级、在线扩容，升级扩容由华为云实施，客户无感知。同时提供全新的POSIX语言系统，应用接入更简便。 数据分层，按需使用：提供按量计费和包年包月两种支付方式，支持标准、低频访问、归档数据、深度归档数据（受限公测）独立计量计费，降低存储成本。

产品功能 表1列出了对象存储服务OBS提供的常用功能特性。 在使用对象存储服务OBS之前，建议您先了解对象存储服务OBS的基本概念，以便更好地理解对象存储服务OBS提供的各项功能。 表1 对象存储服务OBS功能概览 功能名称 功能描述 发布区域 OBS 2.0支持 OBS 3.0支持 存储类别 OBS提供了标准存储、低频访问存储、归档存储、深度归档存储（受限公测中）四种存储类别，满足不同场景下客户对存储性能和成本的不同诉求。 全部 （深度归档存储受限公测，仅支持华北-北京四） √ （深度归档存储OBS 2.0暂不支持） √ 桶管理 桶是OBS中存储对象的容器。OBS提供创建、列举、搜索、查看、删除等基本功能，帮助您便捷的进行桶管理。 全部 √ √ 对象管理 对象是OBS中数据存储的基本单位。OBS提供上传、下载、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的对象管理需求。 全部 √ √ 权限管理 OBS通过IAM权限、桶/对象策略和ACL三种方式配合进行权限管理。您可以通过IAM自定义策略授予IAM用户细粒度的OBS权限，也可以对桶和对象设置不同的策略及ACL来控制桶和对象的读写权限。 全部 √ √ 服务端加密 您可以将数据加密后存储到OBS中，提高数据的安全性。OBS提供SSE-KMS、SSE-OBS和SSE-C三种服务端加密方式。 全部 说明： 服务端加密方式SSE-KMS和SSE-OBS分别支持的区域详情请在用户指南服务端加密查看。 √ √ WORM 您可以为对象设置WORM策略，以保护对象在指定时间内不被删除，不被篡改。 支持的区域请参见功能总览。 × √ 生命周期管理 您可以通过生命周期规则来管理对象的生命周期，例如定期将桶中的对象删除或者转换对象的存储类别。 全部 √ √ 静态网站托管 您可以将静态网站文件上传至OBS桶中，并对这些文件赋予匿名用户可读权限，然后将该桶配置成静态网站托管模式，以实现在OBS上托管静态网站。 全部 √ √ 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OBS支持CORS规范，允许跨域请求访问OBS中的资源。 全部 √ √ 防盗链 为了防止用户在OBS的数据被其他人盗链，OBS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 全部 √ √ 双端固定 使用“双端固定”特性，即同时设置 VPC终端节点 策略与桶策略，可以对OBS的资源提供VPC粒度的权限控制。 支持的区域请参见功能总览。 × √ 事件通知 您可以设置在桶中发生某些特定事件时收到 数据接入服务 （DIS）发送的通知，以便及时掌握桶中数据的最新动态。 支持的区域请参见功能总览。 √ √ 桶标签 桶标签用于标识OBS中的桶，以此来达到对OBS中的桶进行分类的目的。当为桶添加标签时，该桶上所有请求产生的计费话单里都会带上这些标签，从而可以针对话单报表做分类筛选，进行更详细的成本分析。 全部 √ √ 对象标签 OBS支持使用对象标签对桶中的对象进行分类，您可以在上传对象时添加标签，也可以为已有对象添加标签。 支持的区域请参见功能总览。 √ √ 自定义域名 您可以将自定义域名绑定到OBS桶，然后使用自定义域名访问桶中的数据。例如，您需要将网站中的文件迁移到OBS，并且不想修改网页的代码，即保持网站的链接不变，此时可以使用自定义域名绑定功能。 全部 × √ 跨区域复制 您可以创建跨区域复制规则，将您账号下一个桶（源桶）中的数据自动、异步地复制到不同区域的另外一个桶（目标桶）中。跨区域复制能够为用户提供跨区域数据容灾的能力，满足用户数据复制到异地进行备份的需求。 支持的区域请参见功能总览。 × √ 图片处理 您可以使用图片处理功能对存放在OBS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 支持的区域请参见功能总览。 × √ 桶清单 您可以配置一个清单规则，定期扫描桶中指定的对象或拥有相同前缀的对象，生成这些对象的元数据内容，如对象大小、修改时间、存储类别等，并以CSV格式保存到指定的桶中。 支持的区域请参见功能总览。 × √ 并行文件系统 并行文件系统（Parallel File System）是OBS提供的一种经过优化的高性能文件系统，提供毫秒级别访问时延，以及TB/s 级别带宽和百万级别的IOPS，能够快速处理高性能计算（HPC）工作负载。您可以按照标准的OBS接口读取并行文件系统中的数据，也可以利用obsfs工具将创建的并行文件系统挂载到云端Linux服务器上，并能像操作本地文件系统一样对并行文件系统内的文件和目录进行在线处理。 支持的区域请参见功能总览。 × √ 日志管理 您可以通过日志管理功能获取桶的访问数据。开启日志管理功能后，桶的每次操作将会产生一条日志，并将多条日志打包成一个日志文件保存在目标桶中，您可以基于日志文件进行请求分析或日志审计。 全部 √ √ 多版本控制 您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 全部 √ √ 追加写对象 您可以通过AppendObject接口在指定桶内的一个Appendable对象尾追加上传数据。通过AppendObject创建的对象为Appendable对象，通过PutObject创建的对象是Normal对象。 全部 × √ 自定义元数据 您可以添加、修改或删除桶中已上传对象的元数据。 全部 √ √ 桶配额 您可以设置桶空间配额，用以限制单个桶可存储的最大数据量，最大可设置为263-1，单位Byte（字节）。新创建的桶默认不限制配额。 全部 √ √ 归档数据直读 您可以开启桶归档数据直读，实现存储类别为归档存储的对象可以直接下载，无需提前恢复。归档数据直读会收取相应的费用。 支持的区域请参见功能总览。 × √ 对象分享 您可以将存放在OBS中的文件或文件夹以临时URL的形式分享给所有用户。分享强调临时性，所有分享的URL都是临时URL，存在有效期。 支持的区域请参见功能总览。 √ √ 碎片管理 您可以通过桶的碎片管理功能，对多段上传时某些特殊情况下产生的碎片进行清理，以节省存储空间。 全部 √ √ 企业项目 您可以在创建桶时指定桶所属的企业项目，更方便的进行桶资源和权限管理。 全部 × √ 桶加密 您可以为桶配置服务端加密，配置后，上传到桶中的对象都会自动进行加密。 全部 × √ 多AZ 您可以在创桶的时候选择将桶中数据冗余存储在多个可用区，以获得更高的数据可靠性。OBS采用Erasure Code（EC，纠删码）算法做数据冗余，不是以副本的形式存储。 支持的区域请参见功能总览。 × √ 数据回源 您可以利用数据回源功能，实现向OBS请求数据不存在时，通过回源规则自动从源站获取对应数据。 支持的区域请参见功能总览。 × √ Data+ Data+是OBS提供的一项数据处理服务，可以对OBS内存储的数据，按照用户编排的工作流进行自动化处理（如解析、转码、截图等）。 支持的区域请参见功能总览。 × √ 敏感操作保护 OBS控制台支持敏感操作保护，开启后执行删除桶等敏感操作时，系统会进行身份验证，进一步保证OBS配置和数据的安全性。 OBS敏感操作清单请参见敏感操作。 全部 √ √ 在线解压 OBS支持在线解压。您可以将批量文件打包成ZIP包后上传至OBS，上传之后压缩包可以自动解压。 支持的区域请参见功能总览。 × √ 桶配置信息复制 OBS提供了桶配置信息复制功能，方便您在创建新桶之后，快速将已有桶的配置信息复制到新桶中。支持复制的配置信息包括：桶策略、CORS规则、生命周期规则、事件通知规则、数据回源规则、图片处理样式、在线解压规则、Data+事件触发器。 全部 × √ 上传回调 您可以通过回调，获取对象上传后的相关信息，例如获取对象是否上传成功，获取对象Etag、上传后大小、上传后对象所在桶等信息。 支持的区域请参见功能总览。 × √ 委托 您可以通过IAM委托其他云服务或华为云账号管理您的OBS资源。 全部 × √ 监控 您可以通过OBS控制台或者 云监控 服务（Cloud Eye）控制台监控桶的流量统计和请求次数等指标，方便您及时了解目前资源的使用状况、并合理规划使用计划。 全部 √ √ 审计 您可以通过云审计服务（CTS）对OBS中桶和对象的各类事件操作记录进行收集、存储和查询，用于安全分析、合规审计、资源跟踪和问题定位等。 全部 √ √ 工具 OBS提供OBS Browser+、obsutil、obsfs等多种实用工具，满足不同场景下数据迁移和数据管理需求。 全部 √ √ API OBS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除桶，上传、下载、删除对象等操作。 全部 √ √ SDK OBS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、C、Go、BrowserJS、.NET、Android、IOS、PHP、Node.js 全部 √ √ 对象标签 OBS支持使用对象标签对桶中的对象进行分类。 全部 × √

输入参数 表1 输入参数说明 参数名称 说明 jsonConfig 音频初始化参数json串（推荐设置为空，使用默认参数），详见表2。 callback 音频数据回调函数。 表2 jsonConfig参数说明 参数名称 参数类型 说明 audioType number 音频类型，默认为1（PCM），可设置为0（OPUS）。 sampleRate number 采样率（单位：Hz），默认为48000，可设置为48000/8000/44100。 channels number 采样通道数，默认为2（双声道），可设置为1（单声道）。 interval number 采样间隔，默认为10，PCM下默认为10不可修改，OPUS下可设置为10/20。 bitrate number 音频编码码率（单位：bps/s），默认为2*channels*sampleRate，OPUS下可以修改，取值范围[500, 512000]，PCM下不可修改。

数据淘汰功能 SFS Turbo文件系统绑定OBS桶之后，可以使用数据淘汰功能。淘汰时会释放数据内容，仅保留元数据，释放后不占用SFS Turbo文件系统上的存储空间。再次访问该文件时，将重新从OBS中加载文件数据内容。 按时间淘汰 SFS Turbo文件系统绑定OBS桶之后，支持数据按时间淘汰功能。设定时间内没有被访问过的文件会被淘汰。 按时间淘汰功能支持设置（冷）数据淘汰时间，设置步骤请参考以下操作。 登录高性能弹性文件服务管理控制台。 在文件系统列表中，单击创建的SFS Turbo文件系统名称，进入文件系统详情页面。 在“基本信息”页签，设置（冷）数据淘汰时间。 图7 设置冷数据淘汰时间 按容量淘汰 SFS Turbo文件系统绑定OBS桶后，支持数据按容量淘汰功能。 容量达到95%及以上按照30分钟淘汰时间进行淘汰，淘汰至容量低于85%。 淘汰规则：按时间淘汰和按容量淘汰哪个先达到就先按哪个淘汰。 数据淘汰默认开启，淘汰时间默认为60小时。设置（冷）数据淘汰时间的API请参考更新文件系统。 如果SFS Turbo文件系统存储空间写满，会影响业务运行，建议在云监控服务CES上配置SFS Turbo已用容量的监控告警。 当触发容量阈值告警时请手动缩短数据淘汰时间，例如从60小时配置成40小时，加速（冷）数据淘汰，或者对SFS Turbo存储空间进行扩容。

元数据导入功能 SFS Turbo文件系统绑定OBS桶后，可以使用元数据导入功能。 当您使用SFS Turbo文件系统访问OBS桶的数据时，您需要使用元数据导入功能提前将OBS数据文件的元数据（名称、大小、最后修改时间）导入到SFS Turbo文件系统中。只有元数据导入之后，您才可以在文件系统的联动子目录中去访问OBS存储桶中的数据。元数据导入功能仅会导入文件元数据，文件内容会在首次访问时从OBS存储桶中加载并缓存在SFS Turbo中，后续重复访问会直接命中，无需再从OBS存储桶中加载。 SFS Turbo文件系统提供快速导入和附加元数据导入两种元数据导入方式。元数据导入之后，您可以在联动子目录下看到导入的目录和文件列表。 快速导入：当您绑定的OBS桶中存储的数据不是来源于SFS Turbo导出时，可以选择快速导入方式，快速导入方式仅会导入OBS的元数据（名称、大小、最后修改时间），不会导入其它附加元数据（如uid、gid、mode），SFS Turbo会生成默认的附加元数据（uid、gid、目录权限、文件权限），如果您想指定导入目录和文件的权限，请参考《高性能弹性文件服务API参考》的“创建数据导入导出任务”章节，该操作仅针对本次导入任务生效。快速导入能够提供更快的元数据导入性能，推荐您使用快速导入。 附加元数据导入：当您绑定的OBS桶中存储的数据是来源于SFS Turbo导出时，可以使用附加元数据导入方式，附加元数据导入方式会导入OBS的元数据（名称、大小、最后修改时间）以及来源于SFS Turbo导出时的附加元数据（如uid、gid、mode）。如果没有来源于SFS Turbo的附加元数据则以指定导入目录和文件的权限为准。 在绑定OBS桶之后，单击“元数据导入”选项。 图4 元数据导入 “导入前缀”请填写绑定OBS桶内对象的前缀，可以具体到某个对象名。如果要导入整个OBS桶内的所有对象，则不用填写。 勾选“附加元数据导入”将会采用附加元数据导入方式，不勾选“附加元数据导入”将采用快速导入方式。 单击“确定”，提交导入任务。 在OBS数据导入到SFS Turbo之后，如果OBS桶中的数据发生新增或修改，需要重新导入到SFS Turbo中。 不支持长度大于255字节的文件名或子目录名。

数据导入功能 SFS Turbo文件系统绑定OBS桶后，可以使用数据导入功能。 默认情况下，元数据导入完成后，数据不会导入到SFS Turbo文件系统中，初次访问会按需从OBS中加载数据，对文件的第一次读取操作可能耗时较长。如果您的业务对时延比较敏感，并且您知道业务需要访问哪些目录和文件，比如AI训练等场景涉及海量小文件，对时延比较敏感，可以选择提前导入指定目录和文件。 数据导入功能会同时导入元数据和数据内容，元数据将会采用快速导入方式，不会导入其他附加元数据（如uid、gid、mode），如果您想指定导入目录和文件的权限，请参考《高性能弹性文件服务API参考》的“创建数据导入导出任务”章节，该操作仅针对本次导入任务生效。 在绑定OBS桶之后，单击“数据导入”选项。 图5 数据导入 “对象路径”请填写绑定OBS桶内对象的路径（不包含桶名）。 OBS桶中的对象路径（不包含桶名），目录需以“/”结尾。 如果要导入OBS桶内所有对象，则不用填写对象路径。SFS Turbo会将数据导入到联动目录下，且联动目录下的文件路径和OBS桶里的对象路径保持一致。 对象路径示例（“/mnt/sfs_turbo”为您的挂载目录，“output-1”为您的联动目录名称）： 如对象路径为dir/，则会导入到“/mnt/sfs_turbo/output-1/dir” 如对象路径为dir/file, 则会导入到“/mnt/sfs_turbo/output-1/dir/file” 如对象路径为空，则会直接导入到“/mnt/sfs_turbo/output-1” 单击“确定”，提交导入任务。 在OBS数据导入到SFS Turbo之后，如果OBS桶中的数据发生新增或修改，需要重新导入到SFS Turbo中。 通过API使用数据导入功能的具体操作请参考创建SFSTurbo 和 OBS 之间的联动任务。 不支持长度大于255字节的文件名或子目录名。

绑定OBS桶 登录高性能弹性文件服务管理控制台。 在文件系统列表中，单击创建的文件系统名称，进入文件系统详情页面。 进入“绑定后端存储”页签，单击“绑定OBS桶”。 图1 绑定OBS桶 在右侧弹窗“绑定OBS桶”中，填写如下参数。 表1 参数说明 参数 含义 限制 配置后可编辑 联动目录名称 SFS Turbo文件系统根目录下会以该名称创建一个子目录，该目录将绑定对应的OBS桶，且该目录名称不能和已有目录重名。 子目录名称不能重复，子目录名称长度不能超过255个字符。 子目录名称必须是文件系统根目录下不存在的目录名。 子目录名称不能是“.”或“..”。 不支持 桶名 OBS存储桶桶名。 无法绑定不存在的存储桶。 目前仅支持OBS存储桶，不支持OBS并行文件系统。 不支持 OBS区域域名 OBS区域域名，即OBS的终端节点。 OBS存储桶必须和SFS Turbo文件系统在同一个Region。 不支持 自动导出 打开开关后，当文件系统发生数据更新时，将自动导出到OBS桶。 - 支持 导出数据 打开“自动导出”开关，则会出现该参数。 选择导出到OBS桶的数据更新类型“新增数据”、“修改数据”或“删除数据”后，SFS Turbo会以异步方式导出到OBS。 新增数据：SFS Turbo联动目录下创建的文件，及之后对这些文件进行的元数据和数据修改，会被自动同步到OBS桶里。 修改数据：从OBS桶里导入到SFS Turbo联动目录下的文件，在SFS Turbo上对这些文件所进行的数据和元数据的修改，会被自动同步到OBS桶里。 删除数据：在SFS Turbo联动目录下删除文件，OBS桶对应的对象也会被删除，只有被SFS Turbo写入的OBS对象才会被删除。 - 支持 勾选“将OBS桶的读写权限通过桶策略授权给SFS Turbo云服务”，并单击“确定”，完成绑定。 如果您想指定导入目录和文件的权限，请参考《高性能弹性文件服务API参考》的“绑定后端存储”和“更新后端存储属性”执行操作。 目前仅支持OBS存储桶，不支持OBS并行文件系统。 绑定OBS桶时，会在OBS桶上添加Sid为“PolicyAddedBySFSTurbo”的桶策略，请不要修改或删除该桶策略，否则可能导致联动功能异常。 如果您已将一个或多个SFS Turbo文件系统绑定了OBS存储桶，在删除文件系统或删除绑定之前，请不要删除该OBS存储桶，否则可能导致联动功能异常。 以桶名为“obs-test”的OBS桶为例，桶策略“PolicyAddedBySFSTurbo”的内容如下所示： { "Statement": [ { "Sid": "PolicyAddedBySFSTurbo", "Effect": "Allow", "Principal": { "ID": [ "domain/xxx:user/xxx" ] }, "Action": [ "ListBucket", "HeadBucket", "GetBucketStorage", "GetBucketPolicy", "GetBucketAcl", "GetBucketNotification", "GetBucketQuota", "GetObject", "PutObject", "DeleteObject", "GetObjectAcl", "PutObjectAcl", "ModifyObjectMetaData" ], "Resource": [ "obs-test", "obs-test/*" ] } ] }

FAQ 什么情况下会发生数据淘汰? 从OBS导入到SFS Turbo的文件，当文件在设定数据淘汰时间内没有被访问时，会自动对该文件进行淘汰。 在SFS Turbo上创建的文件，只有已经导出到OBS并且满足数据淘汰时间，才会进行淘汰，如果还没有导出到OBS，则不会淘汰。 数据淘汰之后，怎么重新将数据导入到SFS Turbo文件系统？ 对文件进行读写操作时会重新从OBS桶加载文件数据到SFS Turbo文件系统； 使用数据导入功能重新将数据从OBS桶加载到SFS Turbo文件系统。 什么场景下会发生数据导入失败？ 当只导入了文件元数据，或者SFS Turbo中发生了数据淘汰，SFS Turbo中只剩下文件元数据，但OBS桶中的对象又被删除时，进行数据导入或访问文件内容时会发生失败。 导入/导出任务是同步的，还是异步的？ 是异步的，任务提交后马上返回，您可以通过任务id查询异步任务完成状态。 删除SFS Turbo联动目录内的文件，OBS桶里对应的对象会删除吗？ 不会。如果没有开启自动同步策略，则不会。如果开启了自动同步策略，则会删除。 SFS Turbo绑定OBS桶时或者绑定之后可以指定导入目录和文件的权限吗？ 一般情况下，您可以指定导入目录和文件的权限。如果无法指定，请提交工单申请。指定权限详情如下所示： 绑定OBS桶时或绑定OBS桶后，支持设置导入目录和文件的默认权限，请参考《高性能弹性文件服务API参考》的“绑定后端存储”和“更新后端存储属性”章节。如果未设置，默认为750（目录权限）和640（文件权限）。 元数据导入（快速导入）和数据导入时，支持指定导入目录和文件的权限，请参考《高性能弹性文件服务API参考》的“创建数据导入导出任务”章节。如果未指定，则以上述默认权限为准。 历史版本导入目录和文件的默认权限为755（目录权限）和644（文件权限），现逐步按区域切换为750（目录权限）和640（文件权限），如有疑问，请提交工单咨询。 SFS Turbo绑定OBS桶时或者绑定之后，建议指定导入目录和文件的默认权限。如果您未指定，非root用户无权限访问对应的目录和文件。

使用限制 支持存储联动的SFS Turbo文件系统规格有：20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB。 SFS Turbo目录和OBS配置联动后不支持以下操作：硬链接、重命名和目录配额。 单个SFS Turbo文件系统最多可配置16个OBS联动目录。 创建 OBS 后端存储库，依赖的服务是对象存储服务 OBS。用户需要额外配置OBS Adminstrator权限。 同一层目录下不允许同样名称的文件和目录存在。 不支持超长路径，数据流动支持的路径最大长度是1023字符。 数据流动导入时，不支持长度大于255字节的文件名或子目录名。 开启WORM策略的OBS桶，只能从OBS桶导入数据到SFS Turbo，无法从SFS Turbo导出数据到OBS桶。

概述 AI训练和推理、高性能数据预处理、EDA、渲染、仿真等场景下，您可以通过SFS Turbo文件系统来加速OBS对象存储中的数据访问。SFS Turbo文件系统支持无缝访问存储在OBS对象存储桶中的对象。您可以指定SFS Turbo内的目录与OBS对象存储桶进行关联，然后通过创建导入导出任务实现数据同步。您可以在上层训练等任务开始前将OBS对象存储桶中的数据提前导入到SFS Turbo中，加速对OBS对象存储中的数据访问；上层任务产生的中间和结果等数据可以直接高速写入到SFS Turbo缓存中，中间缓存数据可被下游业务环节继续读取并处理，结果数据可以异步方式导出到关联的OBS对象存储中进行长期低成本存储。同时，您还可以配置缓存数据淘汰功能，及时将长期未访问的数据从SFS Turbo缓存中淘汰，释放SFS Turbo高性能缓存空间。

FAQ 什么情况下会发生数据淘汰? 从OBS导入到SFS Turbo的文件，当文件在设定数据淘汰时间内没有被访问时，会自动对该文件进行淘汰。 在SFS Turbo上创建的文件，只有已经导出到OBS并且满足数据淘汰时间，才会进行淘汰，如果还没有导出到OBS，则不会淘汰。 数据淘汰之后，怎么重新将数据导入到SFS Turbo文件系统？ 对文件进行读写操作时会重新从OBS桶加载文件数据到SFS Turbo文件系统； 使用数据导入功能重新将数据从OBS桶加载到SFS Turbo文件系统。 什么场景下会发生数据导入失败？ 当只导入了文件元数据，或者SFS Turbo中发生了数据淘汰，SFS Turbo中只剩下文件元数据，但OBS桶中的对象又被删除时，进行数据导入或访问文件内容时会发生失败。 导入/导出任务是同步的，还是异步的？ 是异步的，任务提交后马上返回，您可以通过任务id查询异步任务完成状态。 删除SFS Turbo联动目录内的文件，OBS桶里对应的对象会删除吗？ 不会。 SFS Turbo绑定OBS桶时或者绑定之后可以指定导入目录和文件的权限吗？ 一般情况下，您可以指定导入目录和文件的权限。如果无法指定，请提交工单申请。指定权限详情如下所示： 绑定OBS桶时或绑定OBS桶后，支持设置导入目录和文件的默认权限，请参考《高性能弹性文件服务API参考》的“绑定后端存储”和“更新后端存储属性”章节。如果未设置，默认为750（目录权限）和640（文件权限）。 元数据导入（快速导入）和数据导入时，支持指定导入目录和文件的权限，请参考《高性能弹性文件服务API参考》的“创建数据导入导出任务”章节。如果未指定，则以上述默认权限为准。 历史版本导入目录和文件的默认权限为755（目录权限）和644（文件权限），现逐步按区域切换为750（目录权限）和640（文件权限），如有疑问，请提交工单咨询。 SFS Turbo绑定OBS桶时或者绑定之后，建议指定导入目录和文件的默认权限。如果您未指定，非root用户无权限访问对应的目录和文件。

举报代码仓库的违规内容 Repo设置了投诉举报入口，支持您对“所有访客只读”的代码仓进行监督，支持举报违法和不良信息。进入任意代码仓库，举报入口位于右上角，举报类型为必填，其余参数非必填。当前支持举报的内容如下表所示。 表2 Repo支持举报的页面 页面名称 说明 仓库首页 进入任意代码仓库首页，如果您单击右上角举报按钮，将会举报“仓库描述”、“仓库名称”，也可以在仓库首页页面，举报“README.md”文件中的内容。 代码 进入任意代码仓库的“代码”页。 您可以举报“README.md”文件中内容。 单击任意评论所在行的，可举报文件评论。 合并请求 进入任意代码仓库的“合并请求”页，您可以单击违规的“合并请求”名称，进入该合并请求的详情页 单击“描述”所在行的，可举报描述信息。 单击页面右上角的，可举报合并请求的“描述”和“标题”。 单击任意“评审意见”所在行的，可举报评审意见。

GUC参数 表8 GUC参数 变更类型 序号 名称 变更描述 新增 1 space_readjust_schedule 用户、schema空间是否自动校准的参数，默认值：auto，支持范围：off/auto/auto(xxxK/M/G)。 2 space_once_adjust_num 空间管控和空间统计功能中，控制慢速构建与细粒度校准操作中每次处理的文件个数阈值，默认值：300。 3 tag_cache_max_number 该参数用于设置全局哈希表tag cache缓存item的最大阈值，默认值10000000。 4 enable_tagbucket_auto_adapt 该参数用于设置是否开启tagbucket自适应调整，默认值on。 5 cache_tag_value_num 该参数用于在tag列lateread场景时，设置缓存的tag元组数量，默认值60000。 6 buffer_ring_ratio 用于控制行存Ringbuffer的阈值和开关，默认值250，即1/4(250/1000)，与以前逻辑一致。 7 enable_stream_ctescan 新增参数，升级默认关闭，新装默认打开。控制stream计划是否开启share scan功能。 8 behavior_compat_options 新增disable_including_all_mysql选项用于控制MySQL兼容模式下create table like语法是否为including all模式，默认不设置，create table like语法为including_all模式。 9 profile_logging_module 增加GUC参数profile_logging_module配置记录性能日志的类型，升级和新装均默认打开OBS、HADOOP、REMOTE_DATANODE，关闭MD。该参数方法与日志模块开关logging_module相同。 10 object_mtime_record_mode 控制pg_object记录修改时间的行为，默认保持老版本行为，新增选项可控制不记录分区/truncate/grant/revoke。 11 skew_option 控制是否使用优化策略。 12 ddl_lock_timeout 配置ddl锁超时的时间。 修改 13 rewrite_rule 新增选项orconversion，默认打开。 使用等值关联的OR条件优化规则。变更点：计划从nestloop转到hashjoin。 新增选项projection_pushdown，默认打开。 变更点：子查询/CTE/视图中未使用的列被优化删除。 14 default_orientation 新增userset guc参数default_orientation，用于控制用户默认建表（不设置orientation）的类型，参数有三种类型可以设置： 行存表(row)，列存表(column)，开启delta表的列存表(column enabledelta)。 15 max_process_memory 初始化安装时OM设置max_process_memory公式为：可用内存*0.7/(1+DN数)，其中系数0.7改为0.8。老集群升级、扩容等场景不变。 16 enable_bloom_filter 复用原参数，现用于控制列存BloomFilter，默认值不变（打开）。 17 retry_ecode_list 默认值新增45003，主要是处理list分区表查询和add分区并发场景下，查询分区可能错位的问题。 18 auth_iteration_count 将默认值从50000减少到10000，新装、升级均会修改。参数表示客户端和服务端密码哈希迭代次数。

系统函数 表5 系统函数 变更类型 序号 名称 变更描述 新增 1 rb_build 将int数组转成一个bitmap类型。 2 rb_to_array rb_build的逆向操作，把RoaringBitmap转成int数组。 3 rb_and 两个RoaringBitmap做交集操作。 4 rb_or 两个RoaringBitmap做并集操作。 5 rb_xor 两个RoaringBitmap做异或操作。 6 rb_andnot 两个RoaringBitmap做and后取反。 7 rb_cardinality 计算一个RoaringBitmap的基数。 8 rb_and_cardinality 计算两个RoaringBitmap求and以后的基数。 9 rb_or_cardinality 计算两个RoaringBitmap求or以后的基数。 10 rb_xor_cardinality 计算两个RoaringBitmap求xor以后的基数。 11 rb_andnot_cardinality 计算两个RoaringBitmap求andnot以后的基数。 12 rb_is_empty 判断一个RoaringBitmap是否为空。 13 rb_equals 判断两个RoaringBitmap是否相等。 14 rb_intersect 判断两个RoaringBitmap是否相交。 15 rb_contain 判断第一个RoaringBitmap是否包含指定的值。 16 rb_add RoaringBitmap中增加一个值。 17 rb_remove RoaringBitmap中删除一个值。 18 rb_flip 翻转指定范围的RoaringBitmap。 19 rb_min 求一个RoaringBitmap的最小值。 20 rb_max 求一个RoaringBitmap的最大值。 21 rb_rank 返回Bitmap中小于等于指定Offset的基数。 22 rb_contain_rb 判断第一个RoaringBitmap是否包含第二个roaringbitmap。 23 rb_containedby_rb 判断第二个RoaringBitmap是否包含第一个roaringbitmap。 24 rb_containedby 判断指定的值是否被指定的roaringbitmap包含。 25 rb_iterate 返回RoaringBitmap对应的int 。 26 rb_and_agg 将RoaringBitmap列按照and逻辑做聚合。 27 rb_or_agg 将RoaringBitmap列按照or逻辑做聚合。 28 rb_xor_agg 将RoaringBitmap列按照xor逻辑做聚合。 29 rb_and_cardinality_agg 将RoaringBitmap列按照and逻辑做聚合后的基数。 30 rb_or_cardinality_agg 将RoaringBitmap列按照or逻辑做聚合后的基数。 31 rb_xor_cardinality_agg 将RoaringBitmap列按照xor逻辑做聚合后的基数。 32 rb_build_agg 将int列聚合成RoaringBitmap类型数据。 33 pgxc_wlm_readjust_relfilenode_size_table() 空间统计校准函数，不重建PG_RELFILENODE_SIZE系统表，重新校准用户和schema空间。 34 gs_table_distribution() 快速查询系统中表大小的函数。 35 pg_obs_cold_refresh_time 修改obs多温表自动切换任务时间。 36 gs_clean_tag_relation 清理tag表中无用的tagid行数据。该函数入参为时序表OID，每个分区遍历cudesc表tagid列的最小值，从而得到整个时序表tagid的最小值。 37 proc_drop_partition 用于将分区boundary时间超过TTL的分区进行drop。 38 proc_add_partition 用于为分区表创建分区。 39 pg_collation_actual_version 返回ICU排序规则的实际版本号。 40 first 分组内第一个元素。 41 last 分组内最后一个元素。 42 mode 分组内出现频率最高的值。 43 delta 相邻两行的差值。 44 percentile_of_value 近似百分位的值。 45 value_of_percentile 近似百分位。 46 spread 分组内最大值和最小值的差值。 47 pg_flush_buffers 刷出所有行存脏页。 修改 48 pg_stat_activity系列视图 pg_stat_get_activity_with_conninfo、pg_stat_activity、pgxc_stat_activity、pg_stat_get_activity视图新增stmt_type和lwtid列。 49 pg_authid系统表新增两行 新增pg_role_signal_backend，pg_role_read_all_stats预置角色。 50 vac_fileclear_relation 可以返回指定表真实清理文件的数量，不清理返回0。 51 vac_fileclear_all_relation 可以返回所有列存表真实清理文件的数量，不清理则返回0。

系统视图 表6 系统视图 变更类型 序号 名称 变更描述 新增 1 pgxc_session_wlmstat 新增视图。 2 pg_comm_query_speed 新增视图，根据query_id查询发送信息。 3 pgxc_respool_resource_info pgxc_respool_runtime_info pgxc_respool_resource_history gs_respool_resource_info gs_respool_runtime_info 资源监控新增相关视图。 4 pgxc_wait_detail pgxc_lockwait_detail 新增pg_locks增强视图。 修改 5 DBA_PART_INDEXES DBA_PART_TABLES DBA_TAB_PARTITIONS USER_IND_PARTITIONS USER_PART_INDEXES USER_TAB_PARTITIONS 增加相关list分区描述。 6 pgxc_wlm_session_statistics 视图从所有CN查询TopSQL实时信息的逻辑由串行修改为并行，提升性能，功能不变。 7 all_indexes sys和pg_catalog下面的视图all_indexes定义存在问题，不同scheam下存在同名对象的场景下会导致结果集膨胀。

行为变更 表7 行为变更 变更类型 序号 名称 变更描述 修改 1 create index目标表为时序表时 时序表创建的任何索引都会转换为tag表上的双索引，该双索引的索引列为指定的建索引的列。 2 负载管理新增二次管控 负载管理引入二次管控，提供更精细化的管控，FUNCTION、函数和多语句中包含复杂查询的可能触发多次管控，设置enable_transaction_parctl=off可以关闭二次管控，但同时会关闭事务块语句和多语句管控。 3 负载管理autoanalyze纳管 查询触发autoanalyze管控逻辑由不管控修改为管控，设置enable_transaction_parctl=off可以关闭autoanalyze管控。 4 用户监控视图pg_total_user_resource_info CPU/内存资源使用和限制全部修改为用户在集群内的资源使用和资源限制。 CPU、IO、内存监控规格变更：由只监控复杂作业修改为监控所有作业。 CPU监控逻辑变更：由cgroup监控修改为作业CPU监控汇总。 5 审计日志 事务内语句在未设置审计事务但设置审计对应语句类型时，仍进行审计。 DECLARE CURSOR语句在guc参数audit_operation_exec设置select时也进行审计。

系统表 表4 系统表 变更类型 序号 名称 变更描述 新增 1 rb_added RoaringBitmap中增加一个值。 2 pg_partition pg_partition新增字段boundexprs。 3 pg_relfilenode_size 新增系统表。 4 pg_attribute pg_attribute新增attkvtype列，记录列的kvtype类型。 5 pg_collation 新增一条记录case_insensitive，用于支持大小写不敏感行为。

关键字 表3 关键字 变更类型 序号 名称 变更描述 新增 1 MATERIALIZED with cte as后新增[NOT] MATERIALIZED语法。作为非保留关键字，不影响其作为其他对象名，作为列别名时需要加AS。 2 time_fill 用于时间填充表达式输出time_fill列，作为关键字，不能用作函数名和自定义数据类型名。 3 fill_first/fill_last/fill_avg 用于时间填充表达式，输出填充列，作为关键字，不能用作函数名和自定义数据类型名。 4 list 用于指定分区表类型，作为非保留关键字，不影响其作为其他对象名，作为列别名时需要加AS。 5 tsfield/tstag/tstime 用于指定时序表kvtype类型，作为非保留关键字，不影响其作为其他对象名，作为列别名时需要加AS。

移动应用安全扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 应用基本信息检测 应用检测的基本信息和检测概况。 图1 应用基本信息 应用漏洞检测 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图2 应用漏洞检测 应用隐私合规检测 图3 应用隐私合规检测 应用权限信息检测 图4 应用权限信息 应用组件信息检测 查看软件的所有组件信息。 图5 应用组件信息 移动应用安全评测依据 图6 移动应用安全评测信息 隐私数据清单 图7 隐私数据清单

产品规格差异 漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 各服务版本支持的计费方式、功能和规格说明如下所示，您可以根据业务需求选择相应的服务版本。 表1 各服务版本计费方式 服务版本 支持的计费方式 说明 价格详情 基础版 免费 基础版配额内仅支持Web 网站漏洞扫描 。 免费规格如下: 域名个数：5个; 扫描次数：5个域名（每日总共可以扫描5次）。 说明：免费扫描不支持主机 漏洞扫描 。 产品价格详情 按需计费 将Web漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费。 将主机漏洞扫描任务升级为专业版规格进行扫描，扫描完成后进行一次性扣费（主机扫描一次最多支持20台主机）。 专业版 包年/包月 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费为按照订单的购买周期来进行结算。 高级版 包年/包月 企业版 包年/包月 表2 各服务版本功能说明 功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 云原生基线扫描 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √ 表3 各服务版本支持的扫描配额说明 版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明： 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明： 更高并发需要，请提交工单联系专业工程师为您服务。 父主题： 购买漏洞管理服务

漏洞管理服务 CodeArts Inspector 使用流程 漏洞管理服务使用概览如表1所示。 表1 漏洞管理服务使用流程概览 子流程 说明 购买漏洞管理服务 漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 具体操作请参见购买漏洞管理服务。 创建扫描任务 创建扫描任务即可对网站进行扫描，具体操作请参见创建扫描任务。 开启主机扫描 开启主机扫描即可对主机进行扫描，具体操作请参见开启主机扫描。 新增监测任务 新增监测任务即可对资产进行监测，具体操作请参见新增监测任务。 查看扫描结果 扫描完成后可以通过“任务详情”页面查看扫描结果。 网站扫描结果，请参见查看网站扫描详情。 主机扫描结果，请参见查看主机扫描详情。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝在特定条件下对指定资源进行某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目（Project）/企业项目（Enterprise Project）：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 iDME的支持自定义策略授权项如下所示： 表1 控制台的细化权限说明 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 创建应用 /v1/{project_id}/apps dme:apps:create √ × 获取租户下的应用清单 /v1/{project_id}/apps dme:apps:get √ × 编辑应用 /v1/{project_id}/apps/{app_id} dme:apps:modify √ × 获取运行服务清单 /v1/{project_id}/envs dme:envs:get √ × 部署应用 /v1/{project_id}/envs/{env_id}/apps/{app_id}/deploy dme:envs:deployApp √ × 卸载应用 /v1/{project_id}/envs/{env_id}/apps/{app_id} dme:envs:destroyApp √ × 删除应用 /v1/{project_id}/apps/{app_id} dme:apps:delete √ × 开通iDME实例 /v1/{project_id}/{service_type}/instances dme:envs:create √ ×

响应示例 状态码： 200 OK { "result" : "SUCCESS", "data" : [ { "id" : "601060080745455616", "creator" : "test1", "modifier" : "test1", "createTime" : "2024-02-19T06:38:10.406+0000", "lastUpdateTime" : "2024-02-19T06:56:43.319+0000", "rdmVersion" : 4, "rdmDeleteFlag" : 0, "rdmExtensionType" : "VersionModel", "tenant" : { "id" : "-1", "creator" : "xdmAdmin", "modifier" : "xdmAdmin", "createTime" : "2023-12-01T01:25:21.000+0000", "lastUpdateTime" : "2023-12-01T01:25:21.000+0000", "rdmVersion" : 1, "rdmDeleteFlag" : 0, "rdmExtensionType" : "Tenant", "tenant" : null, "className" : "Tenant", "name" : "basicTenant", "description" : "默认租户", "kiaguid" : null, "securityLevel" : "internal", "nameEn" : null, "code" : "basicTenant", "disableFlag" : false, "dataSource" : "DefaultDataSource" }, "className" : "VersionModel", "name" : "modifier name", "description" : "modifier description", "kiaguid" : "18409de0386546f8af4bb6c1dc5cf50f", "securityLevel" : "internal", "master" : { "id" : "601060080779010048", "creator" : "test1", "modifier" : "test1", "createTime" : "2024-02-19T06:38:10.419+0000", "lastUpdateTime" : "2024-02-19T06:56:43.319+0000", "rdmVersion" : 4, "rdmDeleteFlag" : 0, "rdmExtensionType" : "VersionModelMaster", "tenant" : { "id" : "-1", "creator" : "xdmAdmin", "modifier" : "xdmAdmin", "createTime" : "2023-12-01T01:25:21.000+0000", "lastUpdateTime" : "2023-12-01T01:25:21.000+0000", "rdmVersion" : 1, "rdmDeleteFlag" : 0, "rdmExtensionType" : "Tenant", "tenant" : null, "className" : "Tenant", "name" : "basicTenant", "description" : "默认租户", "kiaguid" : null, "securityLevel" : "internal", "nameEn" : null, "code" : "basicTenant", "disableFlag" : false, "dataSource" : "DefaultDataSource" }, "className" : "VersionModelMaster" }, "branch" : { "id" : "601060080799981568", "creator" : "test1", "modifier" : "test1", "createTime" : "2024-02-19T06:38:10.464+0000", "lastUpdateTime" : "2024-02-19T06:56:43.319+0000", "rdmVersion" : 4, "rdmDeleteFlag" : 0, "rdmExtensionType" : "VersionModelBranch", "tenant" : { "id" : "-1", "creator" : "xdmAdmin", "modifier" : "xdmAdmin", "createTime" : "2023-12-01T01:25:21.000+0000", "lastUpdateTime" : "2023-12-01T01:25:21.000+0000", "rdmVersion" : 1, "rdmDeleteFlag" : 0, "rdmExtensionType" : "Tenant", "tenant" : null, "className" : "Tenant", "name" : "basicTenant", "description" : "默认租户", "kiaguid" : null, "securityLevel" : "internal", "nameEn" : null, "code" : "basicTenant", "disableFlag" : false, "dataSource" : "DefaultDataSource" }, "className" : "VersionModelBranch", "version" : "A" }, "latest" : true, "latestIteration" : true, "versionCode" : 1, "iteration" : 1, "version" : "A", "latestVersion" : true, "workingCopy" : false, "workingState" : { "code" : "CHECKED_IN", "cnName" : "已检入", "enName" : "checked in", "alias" : "CHECKED_IN" }, "checkOutUserName" : null, "checkOutTime" : null, "preVersionId" : null } ], "errors" : [ ] }

请求示例 POST https://dme.cn-north-4.huaweicloud.com/rdm_b3f9b7523a6141f4b2d76b92d6595281_app/publicservices/api/VersionModel/updateByAdmin { "applicationId" : "b3f9b7523a6141f4b2d76b92d6595281", "params" : { "id" : "602157284411318272", "name" : "update by admin", "kiaguid" : "18409de0386546f8af4bb6c1dc5cf50f", "modifier" : "test1", "description" : "update by admin", "securityLevel" : "internal", "rdmExtensionType" : "VersionModel", "needSetNullAttrs" : [ "checkOutTime", "checkOutUserName" ], "branch" : { "id" : "602157284411318274", "creator" : "test1", "modifier" : "test1", "rdmExtensionType" : "VersionModelBranch", "needSetNullAttrs" : [ ] }, "master" : { "id" : "602157284411318273", "creator" : "test1", "modifier" : "test1", "rdmExtensionType" : "VersionModelMaster", "needSetNullAttrs" : [ ] } } }

响应参数 状态码： 200 表7 响应Body参数 参数 参数类型 描述 result String 参数解释： 请求结果。 取值范围： SUCCESS：请求成功。 FAIL：请求失败。 默认取值： 不涉及。 data Array of VersionModelViewDTO objects 参数解释： 请求数据。 取值范围： 不涉及。 默认取值： 不涉及。 errors Array of strings 参数解释： 异常信息。 取值范围： 不涉及。 默认取值： 不涉及。 表8 VersionModelViewDTO 参数 参数类型 描述 branch VersionModelBranchViewDTO object 参数解释： 分支对象。 取值范围： 不涉及。 默认取值： 不涉及。 checkOutTime String 参数解释： 检出时间。 取值范围： 不涉及。 默认取值： 不涉及。 checkOutUserName String 参数解释： 检出人。 取值范围： 不涉及。 默认取值： 不涉及。 className String 参数解释： 类名。 取值范围： 不涉及。 默认取值： 不涉及。 createTime String 参数解释： 创建时间。 取值范围： 不涉及。 默认取值： 不涉及。 creator String 参数解释： 创建者。 取值范围： 不涉及。 默认取值： 不涉及。 description String 参数解释： 描述信息。 取值范围： 不涉及。 默认取值： 不涉及。 id String 参数解释： 唯一标识。 取值范围： -9223372036854775808到9223372036854775807的整数。 默认取值： 不涉及。 iteration Integer 参数解释： 迭代版本。 取值范围： 不涉及。 默认取值： 不涉及。 kiaguid String 参数解释： KIA密级。 取值范围： 不涉及。 默认取值： 不涉及。 lastUpdateTime String 参数解释： 最后更新时间。 取值范围： 不涉及。 默认取值： 不涉及。 latest Boolean 参数解释： 是否为最新版本。 取值范围： true：是最新版本。 false：不是最新版本。 默认取值： false。 latestIteration Boolean 参数解释： 是否为最新迭代版本。 取值范围： true：是最新迭代版本。 false：不是最新迭代版本。 默认取值： 不涉及。 latestVersion Boolean 参数解释： 是否为最新修订版本。 取值范围： true：是最新修订版本。 false：不是最新修订版本。 默认取值： 不涉及。 master VersionModelMasterViewDTO object 参数解释： 主对象。 取值范围： 不涉及。 默认取值： 不涉及。 modifier String 参数解释： 修改人。 取值范围： 不涉及。 默认取值： 不涉及。 name String 参数解释： 中文名称。 取值范围： 不涉及。 默认取值： 不涉及。 preVersionId String 参数解释： 前序版本实例ID。 取值范围： 不涉及。 默认取值： 不涉及。 rdmDeleteFlag Integer 参数解释： 软删除标识。 取值范围： 0：表示未删除。 1：表示已删除。 默认取值： 0。 rdmExtensionType String 参数解释： 扩展类型。 取值范围： 不涉及。 默认取值： 不涉及。 rdmVersion Integer 参数解释： 系统版本。 取值范围： 不涉及。 默认取值： 不涉及。 securityLevel String 参数解释： 安全密级。 取值范围： INTERNAL：内部公开。 SECRET：秘密。 CONFIDENTIAL：机密。 TOP_SECRET：绝密。 默认取值： 不涉及。 tenant TenantViewDTO object 参数解释： 租户信息。 取值范围： 不涉及。 默认取值： 不涉及。 version String 参数解释： 版本号。 取值范围： 不涉及。 默认取值： 不涉及。 versionCode Integer 参数解释： 业务版本内码。 取值范围： 不涉及。 默认取值： 不涉及。 workingCopy Boolean 参数解释： 是否已检出。 取值范围： true：已检出。 false：未检出。 默认取值： false。 workingState WorkingState object 参数解释： 工作状态。 取值范围： 不涉及。 默认取值： 不涉及。 表9 VersionModelBranchViewDTO 参数 参数类型 描述 className String 参数解释： 类名。 取值范围： 不涉及。 默认取值： 不涉及。 createTime String 参数解释： 创建时间。 取值范围： 不涉及。 默认取值： 不涉及。 creator String 参数解释： 创建者。 取值范围： 不涉及。 默认取值： 不涉及。 id String 参数解释： 唯一标识。 约束限制： 不涉及。 取值范围： -9223372036854775808到9223372036854775807的整数。 默认取值： 不涉及。 lastUpdateTime Object 参数解释： 最后更新时间。 取值范围： 不涉及。 默认取值： 不涉及。 modifier String 参数解释： 修改人。 取值范围： 不涉及。 默认取值： 不涉及。 rdmDeleteFlag Integer 参数解释： 软删除标识。 取值范围： 0：表示未删除。 1：表示已删除。 默认取值： 0。 rdmExtensionType String 参数解释： 扩展类型。 取值范围： 不涉及。 默认取值： 不涉及。 rdmVersion Integer 参数解释： 系统版本。 取值范围： 不涉及。 默认取值： 不涉及。 tenant TenantViewDTO object 参数解释： 租户信息。 取值范围： 不涉及。 默认取值： 不涉及。 version String 参数解释： 版本号。 取值范围： 不涉及。 默认取值： 不涉及。 表10 VersionModelMasterViewDTO 参数 参数类型 描述 className String 参数解释： 类名。 取值范围： 不涉及。 默认取值： 不涉及。 createTime String 参数解释： 创建时间。 取值范围： 不涉及。 默认取值： 不涉及。 creator String 参数解释： 创建者。 取值范围： 不涉及。 默认取值： 不涉及。 id String 参数解释： 唯一标识。 取值范围： -9223372036854775808到9223372036854775807的整数。 默认取值： 不涉及。 lastUpdateTime String 参数解释： 最后更新时间。 取值范围： 不涉及。 默认取值： 不涉及。 modifier String 参数解释： 修改人。 取值范围： 不涉及。 默认取值： 不涉及。 rdmDeleteFlag Integer 参数解释： 软删除标识。 取值范围： 0：表示未删除。 1：表示已删除。 默认取值： 0。 rdmExtensionType String 参数解释： 扩展类型。 取值范围： 不涉及。 默认取值： 不涉及。 rdmVersion Integer 参数解释： 系统版本。 取值范围： 不涉及。 默认取值： 不涉及。 tenant TenantViewDTO object 参数解释： 租户信息。 取值范围： 不涉及。 默认取值： 不涉及。 表11 TenantViewDTO 参数 参数类型 描述 className String 参数解释： 类名。 取值范围： 不涉及。 默认取值： 不涉及。 code String 参数解释： 租户编码。 取值范围： 不涉及。 默认取值： 不涉及。 createTime String 参数解释： 创建时间。 取值范围： 不涉及。 默认取值： 不涉及。 creator String 参数解释： 创建者。 取值范围： 不涉及。 默认取值： 不涉及。 dataSource String 参数解释： 租户使用的数据源名称。 取值范围： 不涉及。 默认取值： 不涉及。 description String 参数解释： 描述信息。 取值范围： 不涉及。 默认取值： 不涉及。 disableFlag Boolean 参数解释： 失效标识。 取值范围： true：失效。 false：未失效。 默认取值： false。 id String 参数解释： 唯一标识。 取值范围： -9223372036854775808到9223372036854775807的整数。 默认取值： 不涉及。 kiaguid String 参数解释： KIA密级。 取值范围： 不涉及。 默认取值： 不涉及。 lastUpdateTime String 参数解释： 最后更新时间。 取值范围： 不涉及。 默认取值： 不涉及。 modifier String 参数解释： 修改人。 取值范围： 不涉及。 默认取值： 不涉及。 name String 参数解释： 中文名称。 取值范围： 不涉及。 默认取值： 不涉及。 rdmDeleteFlag Integer 参数解释： 软删除标识。 取值范围： 0：表示未删除。 1：表示已删除。 默认取值： 0。 rdmExtensionType String 参数解释： 扩展类型。 取值范围： 不涉及。 默认取值： 不涉及。 rdmVersion Integer 参数解释： 系统版本。 取值范围： 不涉及。 默认取值： 不涉及。 securityLevel String 参数解释： 安全密级。 取值范围： INTERNAL：内部公开。 SECRET：秘密。 CONFIDENTIAL：机密。 TOP_SECRET：绝密。 默认取值： 不涉及。 tenant TenantViewDTO object 参数解释： 租户信息。 取值范围： 不涉及。 默认取值： 不涉及。 表12 WorkingState 参数 参数类型 描述 alias String 参数解释： 别名。 取值范围： 不涉及。 默认取值： 不涉及。 cnName String 参数解释： 中文名称。 取值范围： 不涉及。 默认取值： 不涉及。 code String 参数解释： 编码。 取值范围： 不涉及。 默认取值： 不涉及。 enName String 参数解释： 英文名称。 取值范围： 不涉及。 默认取值： 不涉及。