华为云用户手册

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

与其他云服务的关系 华为云U CS 为用户提供一个统一的集群服务管理平台，与周边服务的依赖关系如图1所示。 图1 UCS与其他服务关系 表1 UCS与其他服务的关系 服务名称 UCS与其他服务的关系 主要交互功能 云容器引擎 CCE UCS支持接管云容器引擎中的CCE集群、 CCE Turbo 集群，为集群提供应用分发、流量管理、集群监控、应用数据管理等多种功能。 注册华为云集群 统一身份认证 IAM UCS在统一身份认证服务（IAM）能力基础上，为您提供细粒度的权限管理功能。 权限管理 云解析服务 DNS UCS对接云解析服务，获取解析 域名 ，提供大规模流量治理能力，实现流量的灵活接入。 流量分发 应用服务网格 ASM UCS对接应用服务网格，为您的服务以无侵入的方式提供灵活的服务治理能力。 服务网格 云原生服务中心 OSC UCS通过云原生服务中心构建统一的应用生态，支持云原生应用统一分发部署。 云原生服务中心 容器镜像服务 SWR UCS集成容器 镜像服务 能力，可以通过容器镜像在UCS所管理的集群中创建工作负载。 镜像仓库

集群中Kubernetes资源权限 集群中Kubernetes资源权限是基于Kubernetes RBAC能力的授权，管理员可授予用户针对集群内特定Kubernetes资源对象的细化权限。这些资源包括集群级资源和命名空间级资源，细化的操作权限包括get、list、watch、create、update、patch，以及delete，权限最终作用在舰队或未加入舰队的集群的命名空间上。操作权限的说明如下： get：按名称检索特定的资源对象。 list：检索命名空间中特定类型的所有资源对象。 watch：响应资源变化。 create：创建资源。 update：更新资源。 patch：局部更新资源。 delete：删除资源。 关于集群级资源、命名空间级资源的解释，请参考Kubernetes资源对象。 例如，按照图1所示的方案配置权限后，用户A仅能对舰队的命名空间A中的Deployment、Pod、Service执行get、list、watch（只读操作）权限，而用户B可以对舰队的命名空间B中的全部资源执行全部操作。 图1 Kubernetes资源授权示意图 在UCS控制台中内置了三种常见的权限类型：管理员权限、开发权限、只读权限，您可以直接使用这些权限类型为用户授权。当然，如果现有权限类型无法满足您的需求，也可以自定义权限，只需要指定操作类型和资源对象即可。 表3 权限类型说明 权限类型 说明 管理员权限 对所有Kubernetes资源对象的读写权限 开发权限 对大多数Kubernetes资源对象的读写权限，对命名空间、资源配额等Kubernetes资源对象的只读权限 只读权限 对所有Kubernetes资源对象的只读权限

UCS权限类型 UCS权限管理是在IAM与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能。支持UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制，这两种权限针对的是不同类型的资源，在授权机制上也存在一些差异，具体如下： UCS服务资源权限：是基于IAM系统策略的授权。UCS服务资源包括容器舰队、集群、联邦实例等等，管理员可以针对用户的角色（如开发、运维）进行差异化授权，精细控制他们对UCS资源的使用范围。 集群中Kubernetes资源权限：是基于Kubernetes RBAC能力的授权，可授予针对集群内Kubernetes资源对象的细化权限，通过权限设置可以让不同的用户有操作不同Kubernetes资源对象的权限（如工作负载、任务、服务等Kubernetes原生资源）。 如果您的团队主要使用UCS服务资源，那么IAM系统策略能够满足您的诉求；如果还需要集群内各个Kubernetes资源对象的细化权限，则必须结合Kubernetes RBAC一起使用。

UCS服务资源权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 UCS部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问UCS时，不需要切换区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各云服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对UCS服务，管理员能够控制IAM用户仅能对某一类舰队和集群资源进行指定的管理操作。 表1包括了UCS的所有系统权限。 表1 UCS系统权限 系统角色/策略名称 描述 类别 UCS FullAccess UCS服务管理员权限，拥有该权限的用户拥有服务的所有权限（包含制定权限策略、安全策略等）。 系统策略 UCS CommonOperations UCS服务基本操作权限，拥有该权限的用户可以执行创建工作负载、流量分发等操作。 系统策略 UCS CIAOperations UCS服务容器智能分析管理员权限。 系统策略 UCS ReadOnlyAccess UCS服务只读权限（除容器智能分析只读权限）。 系统策略 华为云各服务之间存在业务交互关系，UCS也依赖其他云服务实现一些功能（如镜像仓库、域名解析），因此，上述四种系统策略经常和其他云服务的角色或策略结合使用，以达到精细化授权的目的。管理员在为IAM用户授权时，应该遵循权限最小化的安全实践原则，表2列举了UCS各功能管理员、操作、只读权限所需要的最小权限。 表2 UCS功能所需的最小权限 功能 权限类型 权限范围 最小权限 容器舰队 管理员权限 创建、删除舰队 注册华为云集群（CCE集群、CCE Turbo集群）、本地集群或附着集群 注销集群 将集群加入、移出舰队 为集群或舰队关联权限 开通集群联邦、联邦管理相关操作（如创建联邦工作负载、创建域名访问等） UCS FullAccess 只读权限 查询集群、舰队的列表或详情 UCS ReadOnlyAccess 华为云集群 管理员权限 对华为云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的读写权限。 UCS FullAccess + CCE Administrator 操作权限 对华为云集群及集群下大多数Kubernetes资源对象的读写权限，对命名空间、资源配额等Kubernetes资源对象的只读权限。 UCS CommonOperations + CCE Administrator 只读权限 对华为云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的只读权限。 UCS ReadOnlyAccess + CCE Administrator 本地/附着/多云/伙伴云集群 管理员权限 本地/附着/多云/伙伴云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的读写权限。 UCS FullAccess 操作权限 本地/附着/多云/伙伴云集群及集群下大多数Kubernetes资源对象的读写权限，对命名空间、资源配额等Kubernetes资源对象的只读权限。 UCS CommonOperations + UCS RBAC权限（需要包含namespaces资源对象的list权限） 只读权限 本地/附着/多云/伙伴云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的只读权限。 UCS ReadOnlyAccess + UCS RBAC权限（需要包含namespaces资源对象的list权限） 镜像仓库 管理员权限 容器镜像服务的所有权限，包括创建组织、上传镜像、查看镜像列表或详情、下载镜像等操作。 SWR Administrator 权限管理 管理员权限 创建、删除权限 查看权限列表或详情 说明： 创建权限需要同时授予子用户IAM ReadOnlyAccess权限（IAM服务的只读权限），用于获取IAM用户列表。 UCS FullAccess + IAM ReadOnlyAccess 只读权限 查看权限列表或详情 UCS ReadOnlyAccess + IAM ReadOnlyAccess 策略中心 管理员权限 启用策略中心 创建、停用策略实例 查看策略列表 查看策略实施详情 UCS FullAccess 只读权限 对于已启用策略中心的舰队和集群，拥有该权限的用户可以查看策略列表和查看策略实施详情。 UCS CommonOperations 或 UCS ReadOnlyAccess 服务网格 管理员权限 应用服务网格的所有权限，包括创建网格、添加集群、sidecar注入、查看网格列表或详情、卸载网格等。 CCE Administrator 流量分发 管理员权限 创建流量策略、暂停调度策略、删除调度策略等操作。 （推荐）UCS CommonOperations + DNS Administrator 或 UCS FullAccess + DNS Administrator 只读权限 查看流量策略列表或详情 UCS ReadOnlyAccess + DNS Administrator 容器智能分析 管理员权限 接入、取消接入集群 查看基础设施、应用负载等多维度监控数据 UCS CIAOperations 云原生服务中心 管理员权限 云原生服务中心的所有权限，包括订阅服务、查看服务列表或详情、创建服务实例、查看实例列表或详情、删除服务实例、退订服务等操作。 UCS FullAccess 只读权限 云原生服务中心的只读权限，包括查看服务列表或详情、查看实例列表或详情等操作。 UCS ReadOnlyAccess

计费项 华为云UCS的计费项由UCS管理服务费用组成，根据集群vCPU的数量按小时计费，如需查看每个用户集群的vCPU容量（计入UCS费用的部分），可运行以下命令： kubectl get nodes -o jsonpath='{range .items[*]}{.metadata.name}{"\t"} {.status.conditions[?(@.type=="Ready")].status}{"\t"} {.status.capacity.cpu}{"\n"}' | grep True

配额限制 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。UCS具有集群、舰队、权限、集群联邦，以及容器智能分析实例配额限制，如表1所示。若UCS提供的默认配额无法满足使用需要，您可以提交工单申请扩大配额。 集群配额：UCS支持接入的集群数量上限，华为云集群、本地集群、附着集群、多云集群和伙伴云集群的数量均占用该配额值。 舰队配额：用户拥有的舰队数量上限。 权限配额：用户可以在“权限管理”页面创建的权限数量上限。 集群联邦配额：用户可以开通的集群联邦数量上限。不可申请扩大配额。 容器智能分析实例配额：用户可以创建的容器智能分析实例数量上限。不可申请扩大配额。 表1 UCS配额项 配额项 默认配额值 集群 50 舰队 50 权限 50 集群联邦 1 容器智能分析实例 1 用户在使用UCS时也会使用其他云服务，例如弹性云服务器、云硬盘、虚拟私有云、弹性负载均衡、容器镜像服务、云解析服务等。其他云服务配额与UCS配额相互独立，由各服务自行管理，详情请参见关于配额。

优势 UCS提供了跨云跨数据中心的大规模治理能力，统一接管自建IDC、边缘云、中心云资源，一站式分发调度，助力加速金融行业的业务创新。 算力统一供给 面对金融行业新兴的互联网类业务，UCS支持极速扩容和大规模治理，提供实现本地、边缘、云资源统一调度，有效应对流量冲击。 统一生态建设 UCS构建了标准的金融应用生态，可以实现应用的跨地域跨云的统一分发和部署，支持业务实例跨云迁移。 云边统一协同 实现海量终端及边缘侧设备、应用的协同管理，加速金融行业智能安防、智慧网点的建设。 多云统一协同 构建多地多中心的金融数字化业务架构，实现跨云跨数据中心的统一治理。

应用场景 对于金融行业用户，新兴互联网业务的快速发展和业务数据的高敏感性是一对既有的矛盾，而现有的混合云架构是解决这一矛盾的较优解决方案。而在实际落地场景中，这样的结构依旧存在一些痛点亟待解决。 痛点一：业务部署分散，无法极速扩容和大规模治理，难以有效应对高峰期的流量冲击。 痛点二：云端生态不统一，业务实例分发困难，缺少丰富的金融云原生SaaS。 痛点三：流量治理层面难以满足数据敏感业务和时延敏感业务的高性能要求。 痛点四：智能终端的快速发展带来运营监管的难度，无法集中管理海量终端，实施有效的监管和运营。 痛点五：缺少跨中心的业务监控与治理能力，业务实例无法实现跨云迁移。

华为云UCS对比传统云原生 表1 UCS与传统云原生对比 对比项 传统云原生 华为云UCS 体验性 各厂商对传统云原生都进行了一定程度上的定制，而在多元化场景下，为避免厂商绑定的情况发生，用户往往不会统一使用一个厂商的产品。因此用户在进行各区域集群管理时会有不一致的用户体验，这也会造成一定的学习成本。 多云统一体验 华为云UCS提供多云统一接入管理，弱化集群的厂牌限制，全面覆盖中心区域、热点区域、客户机房、业务现场等多个业务场景，为您提供统一的云原生体验。 可扩展性 传统云原生可以做到云上资源的弹性调度，但依然存在多云限制和地域限制，无法做到计算资源跨云调度。 算力统一调度 华为云UCS基于Karmada内核提供了多云资源的统一调度能力，支持将线下IDC的应用弹性至公有云。并提供了多种分布式部署策略，可以做到根据全局资源分布和业务特点，结合地理位置、网络QoS、资源均衡度等条件对应用进行最优化部署。 应用管理能力 传统云原生主要面对单一Region场景进行应用管理，对于应用迁移的需求较弱，应用管理能力的短缺并不是很凸显。 而面对跨云的应用伸缩场景，传统云原生的应用数据克隆、迁移都需要运维人员手动执行，效率低，工作量大。 应用一键迁移 华为云UCS支持跨云场景的应用数据同步复制能力，可以实现在分布式基础设施上的弹性扩容，支撑应用容灾、扩容、迁移，大幅减少运维人员的工作复杂程度，提高生产效率。 流量治理能力 传统云原生的流量与业务分离，非按需分配，部分用户存在跨地域、跨运营商访问的情况，时延较高。 统一流量治理 以多云化为前提，华为云UCS支持将用户接入流量就近分发至最合适的后端集群，缩短访问延时，同时支持流量基于访问者的网段、地域、运营商等不同策略进行分发。 高效性 传统云原生在多云场景下的应用部署十分繁琐，需要在每个集群中进行手动部署，效率很低。 服务开箱即用 华为云UCS提供服务实例的边云协同一键分发功能，您无需在不同区域的每个集群中进行分别部署，大量减少重复工作量，提升工作效率。 运维能力 由于业务部署分散，往往中心Region、IDC、边缘节点等各个区域的资源需要单独进行监控，对于运维来说都要付出比较大的人力和精力。 立体化监控运维 华为云UCS支持立体化的监控运维，支持开源Prometheus和OpenTelemetry生态，可以统一监控所有区域的集群资源，大幅提升运维效率。

功能介绍 跨云、跨地域集群统一接入，统一管理 支持跨云、跨地域的集群统一接入、统一管理，支持接入华为云集群、本地集群、附着集群、伙伴云集群和多云集群。 集群配置跨云、跨地域统一下发，管理更简单 支持多云多集群配置策略的统一管理，支持企业级项目租户的权限管理，可以通过统一的策略管理中心完成多云多集群的合规性审计。 可视化监控洞察，运维更简单 支持立体化监控运维，并且兼容开源Prometheus和OpenTelemetry生态，拥有灵活的Dashboard，支持智能巡检、容器洞察、服务网格洞察。 算力统一调度，部署最优，运行最佳 基于Karmada内核，UCS可完成上千个分布式集群的统一接入，实现百万节点资源的协同调度，并拥有秒级响应速度。为用户提供了多种分布式部署策略，可以做到根据全局资源分布和业务特点，结合地理位置、网络QoS、资源均衡度等条件对应用进行最优化部署。 应用统一流量治理，提升业务体验 UCS可基于访问位置和业务策略对全域流量进行最优化调度，支持跨云多集群服务接入和流量管理，可实现基于权重、内容进行流量切分、灰度、故障倒换、熔断限流等功能。 应用数据协同，一键迁移 UCS实现了数据与业务一体化，围绕应用构建自动化的应用迁移、克隆能力，实现数据同步复制及跨云伸缩能力，支持存储层、容器层、中间件层等不同层次数据随应用场景实时联动，支撑应用容灾、扩容、迁移。 应用统一生态，全域可用 UCS拥有统一的服务规范，可真正实现应用开箱即用。通过自研部署引擎，统一服务生命周期管理，所有服务包统一管理、统一存储、全域分发，可实现跨云跨集群的一键部署。

创建自定义检查规则集 基于项目入口访问CodeArts Check服务首页。 单击“规则集”页签，进入规则集列表页面。 单击“新建规则集”，在弹出的“新建规则集”窗口设置规则集名称、描述以及检查语言。 您也可以单击“复制于”下拉框选择复制于已有的规则集，基于复制的规则集配置使用的规则。 单击“确定”。 根据需要勾选规则名称、设置规则级别，单击右上角“保存”。 如果系统预置的规则不满足用户的使用要求，可自定义规则使用。 单击规则集名称，进入规则集详情页面可在线查看规则集中使用的规则详情。 单击规则集名称，进入规则集详情页面，单击“导出”按钮可导出该规则集中已启用的规则到本地查看规则详情。 单击规则集名称，进入规则集详情页面，单击“修改基本信息”，可修改规则集名称或描述信息。 “检查语言”不支持修改。 系统预置规则集无法修改。 只有创建者可以修改自定义规则集。 单击规则集所在行的，选择“删除”即可删除检查规则集。 只有创建者可以删除自定义规则集。 系统规则集和已被使用的自定义规则集无法删除。 如果需要删除已被使用的规则集，需将关联使用该规则集的代码检查任务删除或将代码检查任务关联到其它规则集。

自定义规则 最多支持创建10条自定义规则。 使用自定义规则扫描代码最多支持扫描10万行。仅适用于使用的规则集中只包含自定义规则。 使用自定义规则扫描10万行代码行最多时长1.5小时。仅适用于使用的规则集中只包含自定义规则。 如果需要支持扫描更多行数的代码或需要创建更多数量的规则，可咨询华为技术支持。 单击“规则”页签。 单击“新建规则”，参考表1配置参数。 表1 自定义规则参数配置说明 参数名称 参数说明 是否必填 规则名称 创建的规则名称，可自定义。 支持中英文，数字，点，下划线“_”和连接符“-” 字符长度范围为1~128 是 工具规则名称 默认填充为规则源码文件名，不可手动修改。 是 检查工具 该检查规则使用的检查工具，当前仅支持SecBrella。 是 语言 该规则检查的编译语言，当前仅支持Java。 是 规则源码 该规则的源码文件。 由用户创建“.kirin”文件编写dsl规则，然后通过运行本地插件在“OutputReport”目录下生成“SecH_自定义规则名.json”的源码文件，上传json文件即可。使用插件生成规则文件可参考插件使用指南。 是 严重级别 该规则检查出的代码问题的严重级别，分为致命、严重、一般和提示。 是 标签 为该规则设置标签，便于使用时区分该规则使用场景。 添加多个标签时，需使用英文逗号分隔。 否 描述 对该规则的使用描述。如果描述的内容需要粘贴代码，代码内容支持MarkDown格式。字符数限制为0~10000。 是 正确示例 该规则对应的正确代码示例。代码内容支持使用MarkDown格式呈现。字符数限制为0~10000。 否 错误示例 不满足该规则的错误代码示例。代码内容支持使用MarkDown格式呈现。字符数限制为0~10000。 否 修复建议 对于该规则检查出的问题修改建议。如果修复建议中需要粘贴代码，代码内容支持MarkDown格式。字符数限制为0~10000。 否 单击“新建规则”，完成创建。

独享型实例测试列表 表1 只写模式测试数据（X86架构多AZ场景） 模型 表数量 表数据量 线程 规格 TPS QPS 只写模式 250 25000 128 2c8g 5473.22 32839.34 128 2c16g 5685.26 34111.57 256 4c16g 16312.03 97872.16 256 4c32g 17025.3 102151.81 512 8c32g 30702.7 184216.21 512 8c64g 32941.36 197648.16 512 16c64g 55022.87 330137.28 512 16c128g 61818.75 370912.52 512 32c128g 73708.67 442252.03 512 32c256g 75602.57 453615.46 512 60c256g 77489.58 464937.48 512 64c512g 77939.14 467634.84

独享型实例测试列表 表1 只读模式测试数据（X86架构多AZ场景） 模型 表数量 表数据量 线程 规格 TPS QPS 只读模式 250 25000 64 2c8g 7892.35 78923.54 64 2c16g 7989.1 79891.04 64 4c16g 21694.24 216942.43 64 4c32g 23513.22 235132.23 512 8c32g 38033.2 380332.04 512 8c64g 38101.59 381015.86 1000 16c64g 68211.25 682112.54 1000 16c128g 69562.15 695621.54 1000 32c128g 102618.26 1026182.57 1000 32c256g 103976.9 1039768.98 1000 60c256g 103048.51 1030485.11 1000 64c512g 102851.45 1028514.55

测试环境 GaussDB (for MySQL)测试环境如下： 区域：华北-北京四。 可用分区：多可用区。 测试用云数据库 GaussDB(for MySQL)实例为一主一只读集群。 弹性云服务器（Elastic Cloud Server，简称ECS）：ECS与数据库节点在同一个可用区，规格建议选择通用计算增强型 | c7.8xlarge.4 | 32vCPUs | 128GB，操作系统镜像使用CentOS 7.6 64bit位版本。由于压测工具需要安装额外的编译工具，建议ECS绑定弹性IP。

独享型实例测试列表 表1 读写模式测试数据（X86架构多AZ场景） 模型 表数量 表数据量 线程 规格 TPS QPS 读写模式 25 250000 64 2c8g 1708.43 34168.62 64 2c16g 1645.88 32917.69 128 4c16g 4470.64 89412.78 128 4c32g 4927.94 98558.88 64 8c32g 8073.66 161473.22 64 8c64g 8570.03 171400.69 256 16c64g 14815 296300.07 256 16c128g 15975.88 319517.62 512 32c128g 21080.55 421611.01 512 32c256g 22612.02 452240.5 512 60c256g 24033.17 480663.46 512 64c512g 23644.1 472882.17

使用MySQL-Front连接实例 启动MySQL-Front客户端。 在连接管理对话框中，单击“新建”。 图10 连接管理 输入需要连接的实例信息，单击“确定”。 图11 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 在5中获取的读写公网地址。 端口 在5中获取的数据库端口，默认3306。 用户 实例的账号名称，默认root。 密码 要实例的账号所对应的密码。 在“连接管理”窗口，选中3创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图12 打开登录信息

为数据库实例绑定弹性公网IP GaussDB(for MySQL)实例创建成功后，支持用户绑定弹性公网IP，通过公共网络来访问数据库实例，绑定后也可根据需要解绑。 如果实例已绑定弹性公网IP，跳过此步骤。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块，单击“读写公网地址”后面的“绑定”。 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，跳转到网络控制台创建弹性公网IP，创建完成后请返回实例的基本信息页面绑定弹性公网IP。 图3 选择弹性IP 在“网络信息”模块“读写公网地址”处查看绑定成功的弹性公网IP。

购买ECS 登录管理控制台，查看是否有弹性云服务器。 有Windows弹性云服务器，执行3。 无弹性云服务器，执行2。 购买弹性云服务器时，选择Windows操作系统。 由于需要在ECS下载MySQL客户端，因此需要为ECS绑定弹性公网IP（EIP）。 购买Windows弹性云服务器请参考《弹性云服务器快速入门》中“购买弹性云服务器”章节。 在ECS实例基本信息页，查看ECS实例的区域和VPC。 图1 查看ECS区域和VPC 在GaussDB(for MySQL)实例基本信息页，查看实例的区域和VPC。 图2 查看GaussDB(for MySQL)区域和VPC

测试连通性并安装MySQL-Front 打开cmd命令窗，测试是否可以正常连接到GaussDB(for MySQL)实例读写公网地址的端口。 telnet 读写公网地址 端口 如果提示command not found，请根据ECS使用的操作系统不同，自行安装telnet工具。 如果可以通信，说明网络正常。 如果无法通信，请检查安全组规则。 查看ECS的安全组的出方向规则，如果目的地址不为“0.0.0.0/0”且协议端口不为“全部”，需要将GaussDB(for MySQL)实例的读写公网地址和端口添加到出方向规则。 图5 ECS的安全组 查看GaussDB(for MySQL)的安全组的入方向规则，需要将ECS实例的弹性公网IP地址和端口添加到入方向规则。 在本地打开浏览器，下载并安装MySQL-Front工具（以5.4版本为例）。 图6 选择位置 图7 选择开始菜单 图8 选择附加任务 图9 完成

实例连接方式简介 GaussDB(for MySQL)提供使用内网、公网和数据管理服务（Data Admin Service，简称DAS）连接实例的方式。 表1 连接方式 连接方式 连接地址 使用场景 说明 DAS连接 无需使用IP地址 华为云数据管理服务（Data Admin Service，简称DAS）是一款专业的简化数据库管理工具，提供优质的可视化操作界面，大幅提高工作效率，让数据管理变得既安全又简单。您可以通过数据管理服务连接并管理GaussDB(for MySQL)实例。GaussDB(for MySQL)默认为您开通了远程主机登录权限，推荐您使用更安全便捷的数据管理服务连接实例。 易用、安全、高级、智能。 推荐使用DAS连接。 内网连接 读写内网地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与GaussDB(for MySQL)实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云服务器与GaussDB(for MySQL)数据库实例。 安全性高，可实现GaussDB(for MySQL)的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问GaussDB(for MySQL)实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云服务器（或公网主机）与GaussDB(for MySQL)数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的GaussDB(for MySQL)实例在同一VPC内 ，使用内网连接。 VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 您可以通过数据管理服务（Data Admin Service，简称DAS），或其他数据库客户端登录使用云数据库。 若弹性云服务器和GaussDB(for MySQL)数据库实例处于同一个VPC内，则无需申请外网地址。 首次使用GaussDB(for MySQL)，请先了解使用限制。 父主题： 步骤二：连接实例

测试连通性并安装MySQL客户端 登录ECS实例，请参见《弹性云服务器用户指南》中“Linux弹性 云服务器远程登录 （VNC方式）”。 在ECS上测试是否可以正常连接到GaussDB(for MySQL)实例读写公网地址和端口，连接地址和端口通过查询需要连接的实例的公网IP地址获取。 telnet 读写公网地址 端口 如果提示command not found，请根据ECS使用的操作系统不同，自行安装telnet工具。 如果可以通信，说明网络正常。 如果无法通信，请检查安全组规则。 查看ECS的安全组的出方向规则，如果目的地址不为“0.0.0.0/0”且协议端口不为“全部”，需要将GaussDB(for MySQL)实例的读写公网地址和端口添加到出方向规则。 图6 ECS的安全组 查看GaussDB(for MySQL)的安全组的入方向规则，需要将ECS实例的弹性公网IP地址和端口添加到入方向规则。 在浏览器下载Linux系统的MySQL客户端安装包。建议您下载的MySQL客户端版本高于已创建的GaussDB(for MySQL)实例中数据库版本。 在下载页面找到对应版本链接，以mysql-community-client-8.0.21-1.el6.x86_64为例，打开页面后，即可下载安装包。 图7 下载 将安装包上传到ECS。 您可以使用任何终端连接工具（如WinSCP、PuTTY等工具）将安装包上传至ECS。 执行以下命令安装MySQL客户端。 rpm -ivh mysql-community-client-8.0.21-1.el6.x86_64.rpm 如果安装过程中报conflicts，可增加replacefiles参数重新安装，如下： rpm -ivh --replacefiles mysql-community-client-8.0.21-1.el6.x86_64.rpm 如果安装过程中提示需要安装依赖包，可增加nodeps参数重新安装，如下： rpm -ivh --nodeps mysql-community-client-8.0.21-1.el6.x86_64.rpm

绑定弹性公网IP GaussDB(for MySQL)实例创建成功后，支持用户绑定弹性公网IP，通过公共网络来访问数据库实例，绑定后也可根据需要解绑。 如果实例已绑定弹性公网IP，跳过此步骤。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块，单击“读写公网地址”后面的“绑定”。 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，跳转到网络控制台创建弹性公网IP，创建完成后请返回实例的基本信息页面绑定弹性公网IP。 图4 选择弹性IP 在“网络信息”模块“读写公网地址”处查看绑定成功的弹性公网IP。

购买ECS 登录管理控制台，查看是否有弹性云服务器。 有Linux弹性云服务器，执行3。 无弹性云服务器，执行2。 图1 ECS实例 购买弹性云服务器时，选择Linux操作系统，例如CentOS。 由于需要在ECS下载MySQL客户端，因此需要为ECS绑定弹性公网IP（EIP）。 购买Linux弹性云服务器请参考《弹性云服务器快速入门》中“购买弹性云服务器”章节。 在ECS实例基本信息页，查看ECS实例的区域和VPC。 图2 查看ECS区域和VPC 在GaussDB(for MySQL)实例基本信息页，查看实例的区域和VPC。 图3 查看GaussDB(for MySQL)区域和VPC

测试连通性并安装MySQL客户端 登录ECS实例，请参见《弹性云服务器用户指南》中“Linux弹性云服务器远程登录（VNC方式）”。 在ECS上测试是否可以正常连接到GaussDB(for MySQL)实例读写内网地址的端口，连接地址和端口通过查询需要连接的实例的内网IP地址获取。 telnet 读写内网地址 端口 如果提示command not found，请根据ECS使用的操作系统不同，自行安装telnet工具。 如果可以通信，说明网络正常。 如果无法通信，请检查安全组规则。 查看ECS的安全组的出方向规则，如果目的地址不为“0.0.0.0/0”且协议端口不为“全部”，需要将GaussDB(for MySQL)实例的读写内网地址和端口添加到出方向规则。 图5 ECS的安全组 查看GaussDB(for MySQL)的安全组的入方向规则，需要将ECS实例的私有IP地址和端口添加到入方向规则。 在浏览器下载Linux系统的MySQL客户端安装包。建议您下载的MySQL客户端版本高于已创建的GaussDB(for MySQL)实例中数据库版本。 在下载页面找到对应版本链接，以mysql-community-client-8.0.21-1.el6.x86_64为例，打开页面后，即可下载安装包。 图6 下载 将安装包上传到ECS。 您可以使用任何终端连接工具（如WinSCP、PuTTY等工具）将安装包上传至ECS。 执行以下命令安装MySQL客户端。 rpm -ivh mysql-community-client-8.0.21-1.el6.x86_64.rpm 如果安装过程中报conflicts，可增加replacefiles参数重新安装，如下： rpm -ivh --replacefiles mysql-community-client-8.0.21-1.el6.x86_64.rpm 如果安装过程中提示需要安装依赖包，可增加nodeps参数重新安装，如下： rpm -ivh --nodeps mysql-community-client-8.0.21-1.el6.x86_64.rpm

购买ECS 登录管理控制台，查看是否有弹性云服务器。 有Linux弹性云服务器，执行3。 无弹性云服务器，执行2。 图1 ECS实例 购买弹性云服务器时，选择Linux操作系统，例如CentOS。 由于需要在ECS下载MySQL客户端，因此需要为ECS绑定弹性公网IP（EIP），并且选择与GaussDB(for MySQL)实例相同的区域、VPC和安全组，便于GaussDB(for MySQL)和ECS网络互通。 购买Linux弹性云服务器请参考《弹性云服务器快速入门》中“购买弹性云服务器”章节。 在ECS实例基本信息页，查看ECS实例的区域和VPC。 图2 ECS基本信息 在GaussDB(for MySQL)实例概览页面，查看实例的区域和VPC。 图3 基本信息 确认ECS实例与GaussDB(for MySQL)实例是否处于同一区域、同一VPC内。 是，执行查询需要连接的实例的内网IP地址。 如果不在同一区域，请重新创建实例。不同区域的云服务之间内网互不相通，无法访问实例。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 如果不在同一VPC，可以修改ECS的VPC，请参见切换虚拟私有云。

GaussDB(for MySQL)入门实践 您购买并连接到GaussDB(for MySQL)数据库实例后，可以根据自身的业务需求使用GaussDB(for MySQL)提供的一系列常用实践。 表1 GaussDB(for MySQL)常用最佳实践 实践 描述 读写分离 使用GaussDB(for MySQL)数据库代理实现读写分离 介绍通过GaussDB(for MySQL)的读写分离连接地址，写请求自动访问主节点，应用直连实现自动读写分离。 开启GaussDB(for MySQL)代理的事务拆分功能 介绍如何设置事务拆分，数据库代理会将事务内写操作之前的读请求转发到只读节点，降低主节点负载。 修改GaussDB(for MySQL)读写分离权重 介绍读写分离功能成功开启后，如何设置主节点和只读节点的权重值。 数据备份 设置GaussDB(for MySQL)自动备份策略 介绍如何在数据库实例的备份时段中创建数据库实例的自动备份，系统根据您指定的备份保留期保存数据库实例的自动备份。 手动备份GaussDB(for MySQL) 介绍如何为数据库实例手动备份数据，用户可以通过手动备份恢复数据，从而保证数据可靠性。 跨区域备份GaussDB(for MySQL) 介绍如何将备份文件存放到另一个区域存储，某一区域的实例故障后，可以在异地区域使用备份文件在异地恢复到新的GaussDB(for MySQL)实例，用来恢复业务。 数据恢复 GaussDB(for MySQL)全量数据恢复：按备份文件恢复 介绍如何使用已有的自动备份和手动备份，将实例数据恢复到备份被创建时的状态。该操作恢复的为整个实例的数据。 GaussDB(for MySQL)全量数据恢复：恢复到指定时间点 介绍如何使用已有的自动备份，恢复实例数据到指定时间点。 GaussDB(for MySQL)库表数据恢复：恢复到指定时间点 介绍如何使用已有的自动备份，恢复某个库表数据到指定时间点。 数据迁移 将MySQL迁移到GaussDB(for MySQL) 介绍使用DRS将表级、库级或实例级数据迁移到GaussDB(for MySQL)数据库。 使用mysqldump迁移GaussDB(for MySQL)数据 介绍使用mysqldump工具将数据复制到GaussDB(for MySQL)数据库。 自建MySQL迁移到GaussDB(for MySQL) 介绍使用DRS将自建MySQL迁移到GaussDB(for MySQL)数据库。 其他云MySQL迁移到GaussDB(for MySQL) 介绍使用DRS将其他云上MySQL数据库迁移到GaussDB(for MySQL)数据库。 数据同步 将GaussDB(for MySQL)同步到GaussDB(for MySQL) 使用DRS将源库数据同步到GaussDB(for MySQL)数据库。 将MySQL同步到GaussDB(for MySQL) 使用DRS将自建MySQL或其他云MySQL同步到GaussDB(for MySQL)数据库。 将Oracle同步到GaussDB(for MySQL) 使用DRS将自建Oracle数据库同步到GaussDB(for MySQL)数据库。

绑定弹性公网IP 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块，单击“读写公网地址”后面的“绑定”。 图1 绑定弹性IP 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，跳转到网络控制台创建弹性公网IP，创建完成后请返回实例的基本信息页面绑定弹性公网IP。 图2 选择弹性IP 在“网络信息”模块“读写公网地址”处查看绑定成功的弹性公网IP。

注意事项 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的GaussDB(for MySQL)数据库在同一区域的弹性云服务器上。 GaussDB(for MySQL)使用您在VPC控制台购买的公网IP绑定到实例上，一个弹性公网IP只允许绑定一个GaussDB(for MySQL)实例，详细收费标准请参见：带宽和IP产品价格详情。 GaussDB(for MySQL)实例解绑弹性公网IP后，如果弹性公网IP是按需模式，则会继续收取IP保有费，您可以选择释放或者绑定到其他实例。