华为云用户手册

什么是企业路由器 企业路由器（Enterprise Router, ER）可以连接虚拟私有云（Virtual Private Cloud, VPC）或本地网络来构建中心辐射型组网，是云上大规格、高带宽、高性能的集中路由器。企业路由器使用边界网关协议（Border Gateway Protocol, BGP），支持路由学习、动态选路以及链路切换，极大的提升网络的可扩展性及运维效率，从而保证业务的连续性。 您可以将虚拟私有云接入企业路由器，快速打通云上网络，具体可参见通过企业路由器实现同区域VPC互通。 您可以将两个及以上企业路由器接入云连接（Cloud Connect, CC）的中心网络中，构成ER对等连接，实现云上跨区域网络互通，具体请参见通过企业路由器和云连接中心网络实现跨区域VPC互通。 您可以将云专线（Direct Connect, DC）或者 虚拟专用网络 （Virtual Private Network, VPN）接入企业路由器，打通线下互联网数据中心（Internet Data Center, IDC）和云上网络，具体可参见通过企业路由器和云专线构建混合云组网（全域接入网关DGW）。 您可以将企业连接网络（Enterprise Connect Network，ECN）接入企业路由器，帮助企业实现本地网络和云上网络之间的互联互通，具体可参见通过企业路由器和企业连接实现企业本地网络和云上VPC互通。 您可以通过企业路由器、 虚拟私有云VPC 和 云防火墙 （Cloud Firewall，CFW）构建组网，实现云上VPC间的流量防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，具体可参见通过企业路由器和云防火墙构建组网。 图1和图2分别展示了不使用和使用企业路由器构建的网络拓扑，详细的对比说明如表1所示。 图1 不使用企业路由器构建网络 图2 使用企业路由器构建网络 表1 网络拓扑对比说明 对比项 不使用企业路由器 使用企业路由器 企业路由器价值 同区域多个VPC互通 同区域4个VPC需要建立6个对等连接实现互通。 4个VPC路由表中各需要配置3条对端VPC的路由，共需要配置12条路由。 将同区域4个VPC接入ER中，ER可以在接入的所有VPC中转发流量。 ER可以自动学习VPC网段到路由表中，只需要在4个VPC路由表中配置到ER的路由。 免去大量的对等连接配置。 减少路由条目配置及维护工作量。 多个VPC跨区域互通 所有区域需要互通的VPC均需要接入云连接中。 只需要将每个区域的ER接入云连接中心网络中。 无需在云连接中接入所有网络实例，简化网络拓扑。 支持路由学习，无需手工配置路由，快速构建组网。 线下IDC和云上多个VPC互通 需要为每个和IDC互通的VPC建立专线或者VPN。 将专线接入ER，多个VPC可以共享专线或者VPN。 支持路由学习，免去繁复配置，降低维护难度。 多条链路之间联动，实现负载分担或互为主备。 通过对比，可以看出，使用企业路由器构建的网络拓扑更简洁，可扩展性高，同时网络维护工作也更简单。

路由 路由是网络报文转发的依据，包含目的地址、下一跳以及路由类型等信息。路由说明如表7所示。 表7 路由说明 路由类型 路由说明 支持的连接类型 传播路由 通过传播自动学习的路由，创建传播时会自动创建路由，不支持修改和删除。 虚拟私有云（VPC） 虚拟网关（VGW） VPN网关（VPN） 对等连接（Peering） 全域接入网关（DGW） 企业连接网（ECN） 云防火墙（CFW） 静态路由 手动创建的路由，支持修改和删除。 虚拟私有云（VPC） 对等连接（Peering） 云防火墙（CFW）

传播 传播是企业路由器和连接的路由学习关系，一个连接可以和多个ER路由表建立传播关系，为连接创建传播后，可以将连接的路由信息自动学习到ER路由表中。 对于不同类型的连接，传播路由的学习内容有差异，具体如表6所示。 表6 传播说明 连接类型 路由学习内容 虚拟私有云（VPC） VPC的网段 虚拟网关（VGW） 全部路由信息 VPN网关（VPN） 全部路由信息 对等连接（Peering） 全部路由信息 企业连接网（ECN） 全部路由信息 全域接入网关（DGW） 全部路由信息 云防火墙（CFW） 云防火墙承载VPC的网段

关联 关联是将连接关联至ER路由表中，一个连接只能关联至一个ER路由表，将连接关联至ER路由表后，可以实现以下功能： 路由转发：来自连接的报文根据它关联的路由表进行转发。 路由学习：将关联路由表中的路由信息自动学习到连接网络中。 对于不同类型的连接，是否支持路由学习，具体如表5所示。 表5 关联说明 连接类型 路由学习 虚拟私有云（VPC） 不支持 虚拟网关（VGW） 支持 VPN网关（VPN） 支持 对等连接（Peering） 支持 企业连接网（ECN） 支持 全域接入网关（DGW） 支持 云防火墙（CFW） 不支持

连接 将网络实例接入企业路由器中，则需要为网络实例在企业路由器中添加对应的连接。企业路由器支持接入多种网络实例，不同网络实例对应的连接类型不同，具体说明如表3所示。 表3 连接说明 连接类型 网络实例 虚拟私有云（VPC） 虚拟私有云VPC。 虚拟网关（VGW） 云专线DC的虚拟网关。 VPN网关（VPN） 虚拟专用网络VPN。 对等连接（Peering） 位于其他区域的另一个企业路由器ER。通过云连接中心网络加载不同区域的企业路由器来创建“对等连接（Peering）”连接。 企业连接网（ECN） 企业连接中的企业连接网络ECN。 全域接入网关（DGW） 云专线DC的全域接入网关。 云防火墙（CFW） 云防火墙

路由表 路由表是企业路由器发送报文的依据，包含了连接的关联关系、传播关系以及路由信息。路由表分为自定义路由表和默认路由表，具体说明如表4所示。 表4 路由表说明 路由表类型 说明 自定义路由表 您可以在企业路由器中创建多个路由表，通过不同的路由策略实现网络实例的灵活互通和隔离。 默认路由表 开启“默认路由表关联”和“默认路由表传播”功能，并指定默认路由表，系统会自动为新接入的连接在默认路由表中创建关联和传播。 默认路由表可以是自定义路由表，不指定的话系统会自动创建一个路由表作为默认路由表，支持修改。

身份认证与访问控制 身份认证 租户使用 RFS 服务通常有两种调用方式：控制台访问和API调用。 1.控制台身份认证方式 RFS对接了 统一身份认证 服务（Identity and Access Management， IAM ）。RFS租户身份认证与访问控制通过IAM权限控制。 统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助RFS服务安全地控制访问权限。通过IAM，可以将用户加入到一个用户组中，并用策略来控制他们对RFS资源的访问范围。IAM权限可以通过细粒度定义允许和拒绝的访问操作，以此实现RFS资源的权限访问控制。 2.API调用身份认证方式 所有的API接口调用均需要经过认证的请求才可以访问成功，经过认证的请求需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子，结合请求体携带的特定信息计算而成。通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。关于访问密钥的详细介绍及获取方式，请参见如何获取AK/SK？（账号）。 父主题： 安全

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务的“获取用户Token”接口来获取。 表3 请求Body参数 参数 是否必选 参数类型 描述 name 是 String DDM实例组名称，命名要求如下。 长度为4-64个字符。 必须以字母开头。 可以包含字母、数字、中划线、下划线、不能包含其它特殊字符。 最小长度：4 最大长度：64 type 是 String 实例组的类型。 rw：读写组 r：只读组 flavor_id 是 String 规格ID。 nodes 是 Array of 表 NodeInfo objects 节点信息列表。 最小：1 最大：32 表4 NodeInfo 参数 是否必选 参数类型 描述 available_zone 是 String 节点可用区。取值非空，请参见地区和终端节点。 subnet_id 是 String 子网ID。

响应消息 正常响应参数说明 表5 响应Body参数 参数 参数类型 描述 instance_id String 实例ID。 job_id String 创建组的任务ID。 仅创建按需实例时会返回该参数。 order_id String 订单号，创建包年包月时返回该参数。 正常响应示例 { "instance_id" : "28e8841d0b9c4f6a9a30742ee60e1055****", "job_id" : "1eb697c0-1842-43a3-8671-f562d038****" } 异常响应 请参见异常请求结果。

请求示例 创建DDM实例组，组类型：读写，节点数为1个。 POST https://{endpoint}/v3/{project_id}/instances/{instance_id}/groups { "name": "group-1", "type": "rw", "flavor_id": "a615922f-0ed8-3691-aad4-a595185febba", "nodes": [ { "available_zone": "az1", "subnet_id": "ead1e945-ca89-45dd-bcce-4a30b2054c22" } ] }

监控指标 表1 DDM支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） ddm_cpu_util CPU使用率 该指标用于统计当前DDM节点的CPU利用率。 0~100% DDM节点 1分钟 ddm_mem_util 内存使用率 该指标用于统计当前DDM节点的内存使用率。 0~100% DDM节点 1分钟 ddm_bytes_in 网络输入吞吐量 该指标用于统计当前DDM节点平均每秒的输入流量。 ≥ 0 bytes/s DDM节点 1分钟 ddm_bytes_out 网络输出吞吐量 该指标用于统计当前DDM节点平均每秒的输出流量。 ≥ 0 bytes/s DDM节点 1分钟 ddm_qps QPS 该指标用于统计当前DDM节点的每秒请求数。 ≥ 0 counts DDM节点 1分钟 ddm_read_count 读次数 该指标用于统计当前DDM节点在每个采集周期内新增的读次数。 ≥ 0 counts/s DDM节点 1分钟 ddm_write_count 写次数 该指标用于统计当前DDM节点在每个采集周期内新增的写次数。 ≥ 0 counts/s DDM节点 1分钟 ddm_slow_log 慢SQL数 该指标用于统计数据面服务Core的慢SQL条数。 ≥ 0 counts DDM节点 1分钟 ddm_rt_avg 平均响应时延 该指标用于统计数据面服务Core的SQL平均响应时延。 ≥ 0 ms DDM节点 1分钟 ddm_connections 连接数 该指标用于统计数据面服务Core的连接数。 ≥ 0 counts DDM节点 1分钟 ddm_backend_connection_ratio 后端连接池水位 该指标用于统计当前DDM节点后端活跃连接数与后端最大连接数的比例。 0~100% DDM节点 1分钟 ddm_active_connections 活跃连接数 该指标用于统计每个DDM节点后台正在执行的连接数目。 ≥ 0 DDM节点 1分钟 ddm_connection_util 连接数使用率 该指标用于统计每个DDM节点已用的连接数占总连接数的百分比。 0~100% DDM节点 1分钟 ddm_node_status_alarm_code DDM节点连通性检测 该指标用于检测每个DDM节点是否在集群中不可用。其中，0表示可用，1表示不可用。 0或1 DDM节点 1分钟 ddm_global_sequence_threshold_exceeded_count 超过使用率阈值的全局二级序列个数 此指标统计使用率超过75%的全局序列个数。使用率 = 当前值 / 最大值，默认使用率阈值为75%。全局序列的最大值取决于全局序列类型（例如：BIGINT类型，最大值：2^63-1）。 ≥ 0 counts DDM实例 10分钟

操作步骤 登录 分布式数据库 中间件控制台。 在“实例管理”页面，选择指定的目标实例，单击实例名称。 在实例基本信息页面，单击“实例信息”模块的“版本升级”。 您也可以在“实例管理”页面的“版本”处单击“版本升级”弹出升级版本弹窗。 在升级版本弹窗中选择目标版本，单击“立即升级”。 系列优选版本：相同大版本下的推荐版本。 最新版本：最新大版本下的推荐版本。 图1 选择目标版本 确认无误后单击“是”进行版本升级。 版本升级时，实例状态将变为“升级中”。 版本升级完成后，实例状态由“升级中”变为“运行中”，版本将显示升级后的版本号。

注意事项 升级数据库内核版本会重启DDM实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 如果实例已经为本系列优选版本，则只可升级至最新版本。 如果当前版本与升级目标版本跨度较大，请务必在测试实例上做好充分的业务兼容性测试后，再进行生产实例的版本升级，确保生产业务稳定不受影响。 版本升级后如有业务不兼容问题，可及时将版本回滚至升级前版本，详细内容请参考版本回滚。 内核版本说明详情请参见内核版本说明。 如果DDM实例的VPC已开启IPv6子网，版本升级的目标版本必须小于等于3.0.9版本或者大于等于3.1.3版本。 如果当前实例的内核版本存在已知潜在风险、重大缺陷，或者已过期、已下线，系统会通过短信、邮件等渠道进行提前通知，并在可维护时间段内下发升级任务。

操作场景 DDM支持手动升级内核版本，可选择当前系列优选版本和最新版本升级。 系列优选版本：相同大版本下的推荐版本。改动较小，兼容风险较小。 最新版本：最新大版本下的推荐版本。改动涉及新特性、性能优化、问题修复，属于大版本升级，存在兼容性风险，建议升级前做充分的业务测试。 新创建的DDM实例默认为最新版本。如果华为云有新的内核版本发布时，您可以在“实例管理”页面的“版本”列看到内核版本升级提示，单击“版本升级”弹出升级版本弹窗。

示例流程 图1 授权DDM权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予关系型数据库只读权限“DDM ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式数据库中间件服务，进入DDM主界面，单击右上角“购买分布式数据库中间件实例”，尝试购买分布式数据库中间件实例，如果无法购买分布式数据库中间件实例（假设当前权限仅包含DDM ReadOnlyAccess），表示“DDM ReadOnlyAccess”已生效。 在“服务列表”中选择除分布式数据库中间件服务外（假设当前策略仅包含DDM ReadOnlyAccess）的任一服务，若提示权限不足，表示“DDM ReadOnlyAccess”已生效。

实例状态 实例状态是DDM实例的运行情况。用户可以使用管理控制台查看DDM实例状态。 表1 实例状态 分类 状态 说明 正常 运行中 DDM实例正常和可用。 异常 创建失败 DDM实例创建失败。 异常 DDM实例不可用。 部分节点异常 DDM实例部分节点不可用。 备份失败 备份实例失败。 冻结 账户余额小于或等于0元，系统对该用户下的实例进行冻结。您需前往费用中心充值成功，欠款核销后，冻结的实例才会解冻。 动作执行中 创建中 正在创建DDM实例。 备份中 正在备份实例。 恢复中 正在恢复备份到实例中。 升级中 正在进行实例内核版本升级。 回滚中 正在进行实例内核版本回滚。 切换SSL中 正在进行实例SSL切换。 端口修改中 正在修改DDM实例的服务端口。 删除中 正在删除DDM实例。 重启中 正在重启DDM实例。 节点扩容中 正在扩容该实例下的节点个数。 节点缩容中 正在缩容该实例下的节点个数。 规格变更中 正在变更实例的CPU和内存规格。 转包周期中 按需付费实例正在转为包周期实例。 正在创建组 正在为节点创建分组。 正在删除组 正在删除节点分组。 创建逻辑库中 正在创建逻辑库 删除逻辑库中 正在删除逻辑库 父主题： 实例管理

下载慢日志 登录分布式数据库中间件控制台。 在实例管理列表页面，单击进入目标实例。 单击左侧菜单栏的“慢查询”页签，进入“下载”页面。 在“下载”页面，选择节点，单击“创建慢日志下载” 图2 下载慢日志页面 对于状态为“准备完成”的日志，单击操作列中的“下载”，下载慢日志。系统会自动加载下载准备任务，加载时长受日志文件大小及网络环境影响。 下载准备过程中，文件状态显示为“准备中...”。 下载准备完成，文件状态显示为“准备完成”。 下载准备工作失败，文件状态显示为“准备失败”。 “准备中...”和“准备失败”状态的文件不支持下载。 当前页面支持下载的文件为zip格式，时间范围是从当前时间往前计算，直至zip文件大小累计约为40MB。 下载链接有效期为5分钟。如果超时，提示用户下载链接已失效，是否重新下载。若需重新下载，单击“确定”，否则单击“取消”。

操作步骤 登录分布式数据库中间件控制台。 在源DDM实例所在区域创建一个新的DDM实例或者寻找一个满足使用条件的DDM实例。创建DDM实例的步骤参见购买数据库中间件实例。 新建的DDM实例或者满足使用条件的已有实例均不能挂载RDS for MySQ L实例 ，不能创建逻辑库和账号。 在云数据库 RDS控制台，创建与源DDM实例下相同数量的RDS for MySQL实例。 新创建的RDS for MySQL实例版本不得低于源DDM下RDS for MySQL实例版本号。 每个实例存储空间不得小于源DDM实例下的RDS for MySQL的存储空间。 返回分布式数据库中间件控制台，在DDM实例列表页面单击需要恢复的实例名称，进入实例基本信息页面。 在左侧导航栏选择“备份恢复”，进入恢复数据页面。 单击“恢复新实例”按钮。 图1 基本信息页 在恢复新实例页签中，设置可恢复时间段、可恢复时间点、目标DDM和目标DN实例。 图2 设置恢复信息 表1 参数说明 参数名称 说明 可恢复时间段 选择恢复时间段。 可恢复时间点 选择恢复时间点。 DDM会检测与DDM实例关联的DN实例在选中的可恢复时间点上是否存在备份。 目标DDM 选择2中创建的DDM实例作为目标实例。 DN实例映射 选择3中创建的RDS for MySQL实例作为目标DN实例。 勾选确认信息复选框，单击页面右下角“确定”，恢复时长和实例的数据量有关，平均恢复速率为100MB/s。实例如果关联了多个dn，dn之间并行恢复。

支持审计的关键操作列表 通过 云审计 服务，您可以记录与华为云分布式数据库中间件实例相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计服务支持的DDM操作列表 操作名称 资源类型 事件名称 参数模板应用 parameterGroup applyParameterGroup 租户进行包周期云服务续费、包周期转按需、按需转包周期 all bssArrearage 更新云服务metadata信息 all bssUpdateMetadata 清理逻辑库扩容后的元数据 logicDB cleanMigrateLogicDB 清理用户资源 all cleanupUserAllResources 复制参数模板 parameterGroup copyParameterGroup 创建实例 instance createInstance 创建逻辑库 logicDB createLogicDB 创建参数模板 parameterGroup createParameterGroup 创建账号 user createUser 删除实例 instance deleteInstance 删除逻辑库 logicDB deleteLogicDB 删除参数模板 parameterGroup deleteParameterGroup 删除账号 user deleteUser 节点扩容 instance enlargeNode 重启实例 instance instanceRestart 导入逻辑库信息 instance loadMetadata 扩容路由切换 logicDB manualSwitchRoute 逻辑库扩容 logicDB migrateLogicDB 修改参数模板 parameterGroup modifyParameterGroup 修改路由切换时间 logicDB modifyRouteSwitchTime 修改账号信息 user modifyUser 节点缩容 instance reduceNode 重置参数模板 parameterGroup resetParameterGroup 重置账号密码 user resetUserPassword 规格变更 instance resizeFlavor 恢复实例 instance restoreInstance 重试逻辑库扩容 logicDB retryMigrateLogicDB 回滚DDM实例版本 instance rollback 回滚逻辑库扩容 logicDB rollbackMigrateLogicDB 访问控制 instance switchIpGroup 同步DN信息 instance synRdsinfo 升级DDM实例版本 instance upgrade 添加标签 instance addTag 删除标签 instance deleteTag 修改标签 instance modifyTag 创建组 group createGroup 删除组 group deleteGroup 修改内网地址 instance modifyIp 修改实例名称 instance modifyName 节点重启 node nodeRestart 导出实例列表 instance exportInstance 元数据重载 instance reloadInstanceConfig 修改实例端口 instance modifyInstancePort 查询规格变更列表 instance queryFlavor2Resize 查询慢SQL instance listSlowLogs 获取实例版本 instance listDatabaseVersions 查询慢日志统计分析 instance querySlowLogAnalysis 绑定EIP instance bindEIP 解绑EIP instance unbindEIP 获取实例绑定的EIP信息 instance queryEIP 查询CN会话 instance queryLogicalProcessList kill CN会话 instance killLogicalProcess 查询DN会话 instance queryPhysicalProcessList kill DN会话 instance killPhysicalProcess 查询kill会话历史 instance queryKillProcessesAuditLog 查询访问控制 instance queryIpGroup 获取标签列表 tag listTags 获取实例标签列表 instance listInstanceTags 切换实例内核的ssl开关 instance switchSsl 获取实例的ssl证书下载地址 instance getSslCerts 查询逻辑库列表 instance listDatabases 导出逻辑库信息 instance dumpMetadata 查询逻辑库大小 instance queryLogicDbSize 分片变更预校验 logicDB preCheckMigrateLogicDb 查询分片变更预校验结果 instance queryPreCheckMigrateLogicDb 查询分片变更任务详情 instance queryMigrateTaskDetail 更新实例SQL黑名单 logicDB configSqlBlackList 获取SQL黑名单 logicDB querySqlBlacklist 修改实例读写比重 instance updateReadAndWriteStrategy 批量修改实例读写比重 instance batchModifyReadAndWriteStrategy 查询是否开启读写分离 instance queryReadWriteSeparationSwitch 开启或关闭读写分离 instance updateReadAndWriteStrategySwitch 查询实例可用数据节点 instance ListAvailableRds 查询实例关联数据节点 instance queryRelatedRdsList 查询分片变更可用数据节点 logicDB queryAvailableMigrateRdsList 查询逻辑库分片变更动作 instance queryMigrateAction 查询内核任务执行日志 instance listTaskLogs 数据节点连通性检查 instance checkRdsConnection 查询逻辑库下的逻辑表列表 logicDB listLogicTables 查询逻辑表详情 table showLogicTable 查询备份列表 backup listBackups 删除备份 backup deleteBackup 查询备份详情 backup showBackup 元数据恢复 instance restoreMetaData 查询某时刻关联数据节点 instance showBackupRelatedDn 查询可恢复时间 instance queryRestoreTime 查询可恢复RDS列表 instance queryRds4Restore 查询可恢复实例列表 instance queryDDM4Restore 校验参数组名是否存在 parameterGroup checkConfigurationName 查询参数组列表 parameterGroup listConfiguration 查询参数组详情 parameterGroup showConfiguration 查询可应用该模板参数组的实例列表 parameterGroup queryApplicableInstances 查询参数组的修改历史 parameterGroup queryModifyHistory 查询模板参数组的应用历史 parameterGroup queryApplyHistory 查询实例参数组 instance showInstanceConfiguration 查询逻辑表大小 logicDB queryLogicTableSize 弱密码校验 project isWeakPassword 查询只读数据节点 dn queryReadOnlyDBInstance 查询实例列表 instance listInstances 查询指定实例的详细信息 instance showInstance 查询指定逻辑库的详细信息 logicDB showDatabase 查询实例节点列表 instance listNodes 查询实例节点详情 node showNode 查询帐号列表 instance listUsers 修改实例安全组 instance modifyInstanceSecurityGroup 父主题： 审计

审计与日志 审计 云审计服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 RFS支持审计的操作事件，请参见云审计服务支持的RFS操作列表。 日志 用户开通云审计服务并创建和配置追踪器后，CTS可记录与RFS相关的操作事件，方便您进行事后审计。您可以在CTS控制台，事件列表菜单中，搜索RFS的事件来源，即可查看所有RFS相关的审计日志。 审计日志查看方法，请参见查看云审计日志。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

支持Provider版本列表 Provider是将各类资源的API（比如资源的CRUD操作API）封装而成的插件，供 资源编排 引擎调用。 资源编排支持Provider类型与版本如下表。 类型 介绍 版本 支持云服务数 支持资源数 terraform-provider-huaweicloud 用户可以用华为云的provider与华为云上的各种资源进行交互。provider在使用前，需要配置相应的权限。 1.67.1 96 664 1.66.3 96 641 1.66.2 96 637 1.66.0 96 634 1.64.4 95 603 1.61.1 94 525 1.59.1 92 474 1.58.0 92 461 1.57.0 91 426 1.56.0 91 413 1.54.1 88 388 1.52.0 87 367 1.50.0 86 350 1.49.0 83 346 1.48.0 82 324 1.47.1 82 296 1.46.0 83 282 1.44.1 80 270 1.43.0 71 252 1.42.0 68 236 1.41.0 63 225 1.40.2 63 225 1.40.1 63 225 1.40.0 63 225 1.39.0 63 221 1.38.2 33 117 1.38.1 33 117

配额 资源编排对单个用户资源栈数量限定了配额，如下表所示。 如果您需要添加更多的模板或创建更多的资源栈，请提交工单申请。配额的详细信息请参见关于配额。 资源类型 限制项 限制值 模板 每个华为云账号允许创建的最大模板个数 100 模板名最大长度 128字符 模板文件名称 255字节（一个中文字符=3个字节） 模板URL地址长度 2048字节 创建模板或版本接口参数template_uri传递文件内容最大值 解压后1M 创建模板或版本接口参数template_body传递文件内容最大值 50 KB 资源栈 每个华为云账号允许创建的最大资源栈个数 100 资源栈创建超时时间 6h 资源栈名称长度 128字符 执行计划 执行计划命名最大长度 255b 每个资源栈中允许创建的最大执行计划数量 100 资源栈集 每个华为云账号允许创建的最大资源栈集个数 100 每个资源栈集中允许创建的最大资源栈实例数量 100 单个资源栈集操作最长运行时间 6h

ISV资源发放 场景描述 独立软件开发商(ISV)需要快速将软件所需资源部署到云上，供其众多的客户进行使用。传统的软件发放的方式是在其官网提供软件的代码下载及平台搭建指南。但该方式需要ISV自行组网、交付资源、部署软件，准备时间长，成本高。 解决方案 资源编排提供了标准化的资源和应用交付方式。ISV可以通过将软件服务模板化。通过资源编排的资源栈部署能力，对自身客户进行快速业务发放，将交付过程流程化。资源编排使用代码形式模板描述整个交付环境，也便于ISV将交付与CI/CD流程集成。 收益优势： 交付标准化 通过模板、资源栈方式将软件交付过程标准化，便于总结成最佳实践以便推广。 提升效率 通过模板，自动化完成资源的开通，ISV只需部署资源栈，即可完成业务的交付；提升了ISV的交付效率。 准确创建 ISV的软件本身及所需的云服务资源都通过模板固化，减少人工失误带来的影响。 CI/CD集成 可以将资源编排集成到现有工具链中，提升自动化程度。 图2 ISV资源发放场景

应用上云 场景描述 应用上云时，很多工作需要手工重复操作，例如环境的销毁和重建、在扩容的场景下重复完成多个新实例的配置等，手工操作容易带来操作失误。 同时应用上云时，很多操作非常耗时，例如创建数据库、创建虚拟机等，手动操作容易失误 ，串行创建多个任务，就需要您持续等待较长时间。 解决方案 资源编排就是将上述场景的工作进行工具化、流程化。资源编排采用模板对应用所需资源进行统一描述；资源栈管理功能提供众多资源自动化部署或销毁操作。资源编排可以将大批量、不同服务、不同规格的资源实例，统一定义在模板中。完成自动化创建，实现资源的快速部署和灵活配置。 收益优势 简单易用 通过编写模板，即可完成应用设计与资源的规划，使业务的组织和管理变得轻松。 高效执行 向导式自动完成部署或销毁操作，省去繁琐的人工操作，减少了人为操作的失误 。 快速复制 同一模板可以多次重复使用，自动化构建相同的应用与资源到不同的数据中心。提升了您的工作效率。

产品优势 声明性：用户仅需直观描述所需资源的最终状态，屏蔽复杂的申请过程，降低资源管理的复杂度。 幂等：资源描述代码多次调用效果幂等，可确保不重复申请资源。 安全可靠：可视化的审计、安全、和合规控制策略，杜绝资源变更操作带来的安全风险。 生态丰富：南向生态支持华为云主流服务（90+云服务、540+资源对象，详情参见：资源支持清单），开箱即用；北向完全兼容HCL语法，无学习成本。 简单易用：向导式操作配合完善的资料、样例辅助体系，五步即可完成资源管理操作。 服务全托管全云化：用户不需要安装任何软件、不需要准备执行机、不需要管理底层文件和数据就可以完成资源的自动化管理。 自动回滚：资源部署失败自动将所有资源状态返回上一个成功部署的状态。

什么是资源编排 资源编排是完全支持业界事实标准Terraform（HCL + Provider）的终态编排引擎，用于管理系统资源及服务资源（一切可定位、描述的物理或者逻辑实体，例如数据库，VPC，流水线，IAM中的Role）。资源编排采用业界开放生态HCL语法的模板，它按照模板自动化部署指定的云服务资源。 资源编排聚焦于华为云所用资源的自动化批量构建，帮助用户用高效、安全以及一致的方式新建、管理和升级所需资源，提升资源管理效率，降低资源管理变更带来的安全风险。 产品架构

基本概念 概念名称 描述 资源 一个云服务可以有多种资源。资源可以是VPC，虚拟机，也可以是某种微服务应用，或者是类似于安全策略，DNS记录等高层数据模型。 模板 模板是一个HCL语法文本描述文件，支持tf、tf.json、zip包文件格式，用于描述您的云资源。资源编排根据模板完成各种云资源的创建。 资源栈 资源栈是云服务资源的集合。资源栈将模板描述的所有云服务资源作为一个整体来进行创建、删除、更新、查询等。 执行计划 执行计划提供对资源栈变化的预览。这个执行计划展示了当前模板与线上资源的对比变化，清晰地展示了资源编排对资源与属性将要执行的操作（如新增、修改、删除等）。用户可以预览这个计划，在确认符合预期后，再执行这个计划。资源编排就会完成模板定义资源的创建、变更等。 资源栈集 统一管理多账号、多region下资源的堆栈集合的实体。通过部署堆栈集，可以部署其管理的所有堆栈从而管理多个堆栈下的资源。堆栈集是对堆栈管理功能的拓展。

CTS支持的DMS for RabbitMQ操作 表1 CTS支持的DMS for RabbitMQ操作列表 操作名称 资源类型 事件名称 删除后台任务成功 rabbitmq deleteDMSBackendJobSuccess 删除后台任务失败 rabbitmq deleteDMSBackendJobFailure 创建DMS实例订单成功 rabbitmq createDMSInstanceOrderSuccess 创建DMS实例订单失败 rabbitmq createDMSInstanceOrderFailure 修改DMS实例订单成功 rabbitmq modifyDMSInstanceOrderSuccess 修改DMS实例订单失败 rabbitmq modifyDMSInstanceOrderFailure 扩容实例成功 rabbitmq extendDMSInstanceSuccess 扩容实例失败 rabbitmq extendDMSInstanceFailure 重置DMS实例密码成功 rabbitmq resetDMSInstancePasswordSuccess 重置DMS实例密码失败 rabbitmq resetDMSInstancePasswordFailure 删除创建失败的DMS实例成功 rabbitmq deleteDMSCreateFailureInstancesSuccess 删除创建失败的DMS实例失败 rabbitmq deleteDMSCreateFailureInstancesFailure 批量删除DMS实例成功 rabbitmq batchDeleteDMSInstanceSuccess 批量删除DMS实例失败 rabbitmq batchDeleteDMSInstanceFailure 修改DMS实例信息成功 rabbitmq modifyDMSInstanceInfoSuccess 修改DMS实例信息失败 rabbitmq modifyDMSInstanceInfoFailure 批量删除DMS实例任务 rabbitmq batchDeleteDMSInstanceTask 解冻DMS实例任务成功 rabbitmq unfreezeDMSInstanceTaskSuccess 解冻DMS实例任务失败 rabbitmq unfreezeDMSInstanceTaskFailure 冻结DMS实例任务成功 rabbitmq freezeDMSInstanceTaskSuccess 冻结DMS实例任务失败 rabbitmq freezeDMSInstanceTaskFailure 删除DMS实例任务成功 rabbitmq deleteDMSInstanceTaskSuccess 删除DMS实例任务失败 rabbitmq deleteDMSInstanceTaskFailure 创建DMS实例任务成功 rabbitmq createDMSInstanceTaskSuccess 创建DMS实例任务失败 rabbitmq createDMSInstanceTaskFailure 扩容DMS实例任务成功 rabbitmq extendDMSInstanceTaskSuccess 扩容DMS实例任务失败 rabbitmq extendDMSInstanceTaskFailure 修改DMS实例信息任务成功 rabbitmq modifyDMSInstanceInfoTaskSuccess 修改DMS实例信息任务失败 rabbitmq modifyDMSInstanceInfoTaskFailure 回收站恢复实例成功 rabbitmq out_recycleTaskSuccess 回收站恢复实例失败 rabbitmq out_recycleTaskFailure

设置Queue持久化 在RabbitMQ WebUI页面设置Queue持久化。 创建Queue时，设置“durable”为“true”，如图5所示。 图5 设置Queue持久化（WebUI） 设置成功后如图6所示。 图6 持久化的Queue（WebUI） 在RabbitMQ实例控制台设置Queue持久化。 创建Queue时，设置Queue持久化，如图7所示。 图7 设置Queue持久化（控制台） 设置成功后如图8所示。 图8 持久化的Queue（控制台）