华为云用户手册

是否支持跨区域同步镜像？ 目前SWR界面仅支持“华北-北京一”、“华北-北京四”、“华北-乌兰察布一”、“华东-上海一”、“华东-上海二”、“华南-广州”、“西南-贵阳一”、“中国-香港”、亚太-曼谷”、“亚太-新加坡”、“非洲-约翰内斯堡”区域同步镜像，其他区域没有此功能。 如果您想把最新推送的镜像同步到其他区域镜像仓库内，您可以先将镜像下载到本地，然后上传到需要同步区域的镜像仓库中。 父主题： 镜像同步

数据保护技术 CCE通过多种数据保护手段和特性，保障数据的安全可靠。 表1 CCE的数据保护手段和特性 数据保护手段 简要说明 详细介绍 服务发现支持证书配置 CCE集群中的应用服务支持使用HTTPS传输协议，保证数据传输的安全性，您可以根据需求创建四层或七层的访问方式来对接负载均衡器。 七层证书配置 四层证书配置 高可用部署 CCE为您提供高可用的部署方案： 集群支持3个控制节点的高可用模式 Node节点支持分布在不同AZ 创建工作负载时支持选用不同可用区或节点 容灾部署 磁盘加密 CCE支持多种存储类型，满足各类高可用以及部分存储加密场景，可为您的数据提供强大的安全防护。 存储概览 集群密钥配置 密钥（Secret）是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的集群资源类型，内容由用户决定。资源创建完成后，可在容器工作负载中作为文件或者环境变量使用。 密钥配置 敏感操作保护 CCE控制台支持敏感操作保护，开启后执行删除集群敏感操作时，系统会进行身份验证，进一步保证CCE的安全性。 敏感操作保护介绍 父主题： 安全

云容器引擎与其他服务的关系 表1 云容器引擎与其他服务的关系 服务名称 云容器引擎与其他服务的关系 主要交互功能 弹性云服务器 E CS 在云容器引擎中具有多个云硬盘的一台弹性云服务器就是一个节点，您可以在创建节点时指定弹性云服务器的规格。 购买节点 纳管已有节点到集群 虚拟私有云 VPC 在云容器引擎中创建的集群需要运行在虚拟私有云中，您在集群中创建节点池时，节点将会从VPC网段内分配私网IP地址，为您的集群提供相对隔离的网络环境。 购买CCE集群 弹性负载均衡 ELB 云容器引擎支持将创建的应用对接到弹性负载均衡，弹性负载均衡可以将外部访问流量分发到不同的后端容器应用中。 您可以通过弹性负载均衡，从外部网络访问容器负载。 创建无状态负载(Deployment) 创建有状态负载(StatefulSet) 负载均衡(LoadBalancer) NAT网关 NAT网关能够为VPC内的容器实例提供 网络地址转换 （Network Address Translation）服务，SNAT功能通过绑定弹性公网IP，实现私有IP向公有IP的转换，可实现VPC内的容器实例共享弹性公网IP访问Internet。 您可以通过NAT网关设置SNAT规则，使得容器能够访问Internet。 创建无状态负载(Deployment) 创建有状态负载(StatefulSet) DNAT网关(DNAT) 容器镜像服务 SWR 容器 镜像服务 提供的镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署docker容器镜像。 您可以使用容器镜像服务中的镜像创建负载。 创建无状态负载(Deployment) 创建有状态负载(StatefulSet) 云容器实例 CCI 云容器实例的Serverless Container是从使用角度，无需创建、管理Kubernetes集群，也就是从使用的角度看不见服务器（Serverless），直接通过控制台、kubectl、Kubernetes API创建和使用容器负载，且只需为容器所使用的资源付费。 当CCE集群资源不足时，支持将Pod弹性部署到CCI集群。 virtual kubelet插件 CCE容器实例弹性伸缩到CCI服务 云硬盘 EVS 可以将云硬盘挂载到云服务器，并可以随时扩容云硬盘容量。 在云容器引擎中一个节点就是具有多个云硬盘的一台弹性云服务器，您可以在创建节点时指定云硬盘的大小。 使用云硬盘存储卷 对象存储服务 OBS 对象存储服务是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力，包括：创建、修改、删除桶，上传、下载、删除对象等。 云容器引擎支持创建OBS对象存储卷并挂载到容器的某一路径下。 使用对象存储卷 弹性文件服务 SFS 弹性文件服务提供托管的共享文件存储，符合标准文件协议（NFS），能够弹性伸缩至PB规模，具备可扩展的性能，为海量数据、高带宽型应用提供有力支持。 您可以使用弹性文件服务作为容器的持久化存储，在创建任务负载的时候挂载到容器上。 使用文件存储卷 应用运维管理 AOM 云容器引擎对接了AOM，AOM会采集容器日志存储中的“.log”等格式日志文件，转储到AOM中，方便您查看和检索；并且云容器引擎基于AOM进行资源监控，为您提供弹性伸缩能力。 容器日志 云审计 服务 CTS 云审计服务提供云服务资源的操作记录，记录内容包括您从公有云管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 云审计服务支持的CCE操作列表

修改或删除委托权限 若开通COC后，识别到存在委托权限过大或权限不足的情况，可以前往 统一身份认证 服务中修改委托策略。 如果需要修改委托的权限、持续时间、描述等，可以在委托列表中，单击委托右侧的“修改”，修改委托。 图2 委托列表 可在授权记录页面中，对该委托进行授权或删除已授权的权限。 图3 授权记录 云服务委托支持修改云服务、持续时间、描述、权限，委托名称、类型不支持修改。 修改云服务委托权限后可能会影响该云服务部分功能的使用，请谨慎操作。 需要了解更多委托相关信息，请访问统一身份认证服务进行了解。

参数解析 innodb_flush_log_at_trx_commit： 0：日志缓存区将每隔一秒写到日志文件中，并且将日志文件的数据刷新到磁盘上。该模式下在事务提交时不会主动触发写入磁盘的操作。 1：每次事务提交时RDS for MySQL都会把日志缓存区的数据写入日志文件中，并且刷新到磁盘中，该模式为系统默认。 2：每次事务提交时RDS for MySQL都会把日志缓存区的数据写入日志文件中，但是并不会同时刷新到磁盘上。该模式下，MySQL会每秒执行一次刷新磁盘操作。 当设置为0，该模式速度最快，但不太安全，mysqld进程的崩溃会导致上一秒钟所有事务数据的丢失； 当设置为1，该模式是最安全的，但也是最慢的一种方式。在mysqld服务崩溃或者服务器主机宕机的情况下，日志缓存区只有可能丢失最多一个语句或者一个事务； 当设置为2，该模式速度较快，较取值为0情况下更安全，只有在操作系统崩溃或者系统断电的情况下，上一秒钟所有事务数据才可能丢失；

创建RDS for MySQ L实例 进入购买云数据库RDS页面。 选择区域“华东-上海一”。填选实例信息后，单击“立即购买”。 图1 选择引擎版本信息 图2 选择规格信息 图3 选择已规划的网络信息 图4 设置管理员密码 进行规格确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改实例信息。 如果规格确认无误，单击“提交”，完成购买实例的申请。 参考如下步骤，在RDS实例管理界面，为3创建的RDS实例绑定弹性公网IP。 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 图5 实例管理 选择“连接管理”页签，单击“公网地址”处的“绑定”。 在弹出框中，显示“未绑定”状态的弹性公网IP，选择已规划的弹性公网IP，单击“是”，提交绑定任务。 图6 绑定弹性公网IP

创建RDS实例 本章节介绍创建RDS实例，该实例选择和自建MySQL服务器相同的VPC和安全组。 进入购买云数据库RDS页面。 配置实例基本信息。选择区域“华东-上海一”。 图1 基本信息 选择实例规格，其他参数默认配置。 图2 实例规格 单击“立即购买”。 进行规格确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改实例信息。 如果规格确认无误，单击“提交”，完成购买实例的申请。 返回云数据库实例列表。 当RDS实例运行状态为“正常”时，表示实例创建完成。 父主题： 上云操作

加固数据库敏感参数 建议“local_infile”参数配置为0 “local_infile”设置为1时，将允许数据库客户端通过load data local语法将客户端本地文件加载到数据库表中。例如，在web服务器作为数据库客户端连接数据库的场景，如果web服务器存在SQL注入漏洞，那么攻击者可用构造load data local命令将web服务器的敏感文件加载到数据库中，从而造成信息泄露。建议您参考修改实例参数配置“local_infile”的值为0。 建议“sql_mode”参数包含“STRICT_ALL_TABLES” 攻击者在试图攻击时会试错性输入各种参数，若服务器自适应错误语句，将有可能泄漏数据库数据。因此推荐使用“STRICT_ALL_TABLES”，即使错误出现在首行后的其他行，一旦发现非法数据值就会放弃语句。这种用法能最大限度的保证数据库信息不被泄露。建议您参考修改实例参数配置“sql_mode”参数包含“STRICT_ALL_TABLES”。

妥善进行数据库帐号口令管理，减少数据泄露风险 建议定期修改管理员用户的密码 默认的数据库管理员帐号root拥有较高的权限，建议您参考重置管理员密码和root帐号权限定期修改root密码。 设置密码复杂度 数据库系统作为信息的聚集体，易成为攻击者的目标。用户需要妥善保存数据帐号与口令，避免泄漏。同时建议您配置数据库口令的复杂度，避免使用弱口令。详情请参见数据库安全设置中的“设置密码复杂度”。 设置密码过期策略 长期使用同一个密码会增加被暴力破解和恶意猜测的风险。建议您设置密码过期策略限制使用同一个密码的时间。

开启备份功能，完善备份相关配置，保障数据可靠性 开启数据备份 RDS for MySQL实例支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。详情请参见数据备份。 配置MySQL binlog日志清理策略 Binlog日志会随着业务的运行而持续膨胀，需要配置清零策略避免磁盘膨胀。请您参考设置RDS for MySQL本地Binlog日志清理设置Binlog保存时间。

操作步骤 在“实时灾备管理”页面，选择已创建的灾备任务，单击“编辑”。 根据界面提示，将灾备实例的弹性公网IP加入生产中心RDS for MySQL实例所属安全组的入方向规则，选择TCP协议，端口为生产中心RDS for MySQL实例的端口号。 图1 添加安全组规则 源库信息中的“IP地址或 域名 ”填写生产中心RDS for MySQL实例绑定的EIP，“端口”填写生产中心RDS for MySQL实例的端口号。测试通过后，单击“下一步”。 图2 编辑灾备任务 设置流速模式后，单击“下一步”。 图3 设置流速模式 查看预检查100%通过，单击“下一步”。 设置参数后，单击“下一步”。 图4 设置参数 单击“启动任务”。 图5 启动任务 查看任务状态为“灾备中”。 对于灾备中的任务，您可通过数据对比功能查看灾备前后数据是否一致。

操作场景 tempdb是系统数据库，是一个全局资源，可供连接到SQL Server实例或SQL数据库的所有用户使用 。它是一个临时数据库，无法永久保存数据，作用是给实例中的各种请求处理中间数据，分为主数据文件（.mdf）、次要数据文件（.ndf）和日志文件（.ldf）。当服务重启的时候，tempdb会被重新创建。 tempdb数据库如果在设计上存在缺陷，会存在性能上的问题。尤其是tempdb数据库在一些高并发的场景，如果应用频繁地创建和销毁临时表，会导致实例卡顿从而影响业务。 微软官方建议将临时数据库的文件拆分成多个，一般与逻辑CPU个数相同，超过8个则使用8个数据文件，解决闩锁争用问题每次额外加4个文件。 更多介绍请参见tempdb数据库官方文档。

搭建LAMP环境 下载PuTTY客户端。 解压文件后，双击“putty”，显示配置界面。 选择“Session”，配置相关信息后，如图3，单击“Open”。 在“Host Name (or IP address)”输入ECS弹性IP地址，其他配置均保持默认值。 在“Saved Sessions”中输入名称，此处以“Discuz”为例，单击“Save”，保存会话配置。 图3 配置PuTTY 在登录界面中，输入ECS的用户名和密码，即可登录ECS。 安装Apache、MySQL或PHP等软件。 通过PuTTY登录云服务器，直接获取root权限，可以直接在PuTTY内输入命令。 请输入软件安装命令，此处以PHP为例。 yum install -y httpd php php-fpm php-server php-mysql mysql 结果显示如下，表明安装完成。 Complete 安装完成后，依次启动相关服务。 systemctl start httpd.service systemctl start php-fpm.service

安装Discuz! 下载Discuz!软件。 使用数据传输工具将安装包上传到ECS。 执行以下命令，解压Discuz!安装包。 unzip Discuz_X3.3_SC_UTF8.zip 执行以下命令，将解压后的“upload”中的所有文件，复制到“/var/www/html/”目录。 cp -R upload/* /var/www/html/ 执行以下命令，将写入权限赋予给其他用户。 chmod -R 777 /var/www/html 在本地windows浏览器里输入地址：http://弹性IP地址/install，进入安装界面，按照Discuz!安装向导进行安装。 其中，弹性IP地址为购买弹性云服务器时所创建的弹性IP地址，“install”必须小写。 确认协议，并单击“我同意”。 开始安装后，检查安装环境并单击“下一步”。 设置运行环境，并单击“下一步”。 安装数据库，填写数据库信息，单击“下一步”完成安装。 数据库服务器地址即为“rds-01”的私有IP地址。 数据库密码是“rds-01”配置的数据库管理员root帐号对应的密码。 自定义管理员信息。 Discuz!安装完成后，在浏览器中输入http://弹性IP地址/forum.php，可登录论坛主页，则说明网站搭建成功。

RDS最佳实践汇总 本手册基于云数据库RDS实践所编写，用于指导您完成相关设置，购买更符合业务的数据库实例。 引擎 章节名称 简介 MySQL 自建MySQL迁移到RDS for MySQL 介绍通过自建MySQL如何迁移到云数据库 RDS for MySQL。 RDS for MySQL通过DRS搭建异地单主灾备 RDS for MySQL实例如何通过DRS服务搭建异地单主灾备。 其他云MySQL迁移到云数据库 RDS for MySQL 介绍通过其他云MySQL如何迁移到云数据库 RDS for MySQL。 使用RDS for MySQL搭建WordPress 介绍通过华为云虚拟私有云、弹性云服务器和RDS for MySQL数据库，在LAMP环境下搭建WordPress。 使用RDS for MySQL搭建Discuz!论坛 介绍通过华为云虚拟私有云、弹性云服务器和RDS for MySQL数据库，在LAMP环境下搭建Discuz!。 innodb_flush_log_at_trx_commit和sync_binlog参数详解 介绍innodb_flush_log_at_trx_commit和sync_binlog参数，对性能，安全方面的影响。 RDS for MySQL长事务排查和处理 介绍如何排查RDS for MySQL长事务，并kill长事务。 PostgreSQL 创建数据库 介绍如何通过数据管理服务DAS或命令行创建数据库，以及创建数据库过程中的注意事项。 pgAdmin基本操作使用指南 介绍利用pgAdmin连接云数据库 RDS for PostgreSQL以及创建数据库和表基本操作。 PoWA插件使用 介绍如何使用PoWA插件，用于对RDS for PostgreSQL数据库进行性能监控。 查看RDS for PostgreSQL慢日志 介绍如何查询RDS for PostgreSQL慢日志，并进行优化。 SQL Server 恢复备份文件到RDS for SQL Server实例的版本限制 介绍RDS for SQL Server恢复备份时的版本限制。 使用导入导出功能将ECS上的SQL Server数据库迁移到RDS for SQL Server 介绍如何将ECS自建的SQL Server数据库迁移到RDS for SQL Server。 修改RDS for SQL Server实例的参数 介绍如何修改RDS for SQL Server数据库实例的参数组。 RDS SQL Server支持DMV动态管理视图 介绍RDS for SQL Server如何通过DMV动态管理视图。 使用导入导出功能将本地SQL Server数据库迁移到RDS for SQL Server 介绍如何将本地的SQL Server数据库迁移到RDS for SQL Server。 在rdsuser主帐号下创建子帐号 介绍rdsuser主帐号的权限和如何在rdsuser主帐号下创建并管理子帐号。 创建tempdb临时数据文件 介绍RDS for SQL Server如何创建tempdb临时数据文件。 Microsoft SQL Server发布与订阅 介绍云数据库 RDS for SQL Server如何提供订阅功能。 RDS for SQL Server添加c#CLR程序集的使用方法 介绍RDS for SQL Server如何添加c#CLR程序集。 RDS for SQL Server添加链接服务器 介绍RDS for SQL Server数据库实例如何创建链接服务器访问另外一个RDS for SQL Server数据库实例。 RDS for SQL Server 如何将线下SSRS报表服务部署上云 介绍RDS for SQL Server如何使用SSRS（Reporting Services）报表服务。 RDS for SQL Server收缩数据库 介绍RDS for SQL Server如何使用存储过程收缩指定数据库的数据文件和日志文件的大小，以释放磁盘部分空间。 使用DAS在RDS for SQL Server主备实例上分别创建和配置Agent Job和Dblink 介绍如何使用DAS在RDS for SQL Server主备实例上分别创建和配置Agent Job和Dblink。 创建实例定期维护job 介绍如何创建定期执行的SQL agent job，定期执行索引重建、统计信息更新及数据库收缩。

安装WordPress 单击弹性云服务器实例列表“操作”列下的“远程登录”，远程登录弹性云服务器。 在本地windows浏览器里输入地址：http://弹性IP地址/wordpress，访问WordPress，单击“现在就开始！”。 其中，弹性IP地址为购买弹性云服务器时所创建的弹性IP地址。 图6 访问 输入连接数据库的相关信息，单击“提交”。 数据库名为之前创建的“wordpress”数据库。 用户名为之前创建的“tony”数据库帐号。 密码为创建“tony”帐号时，您设置的密码。 数据库主机为数据库实例“rds-01”的内网IP。 图7 输入连接信息 数据库配置正确，通过验证后，单击“现在安装”。 图8 数据库配置验证通过 设置博客登录的“站点标题”、“用户名”和“密码”。 图9 设置基本信息 安装成功后，单击“登录”。 图10 安装成功 在登录页面，输入用户名和密码，单击“登录”。 图11 登录 您的WordPress搭建成功。 图12 结果验证

搭建LAMP环境 下载PuTTY客户端。 解压文件后，双击“putty”，显示配置界面。 选择“Session”，配置相关信息后，如图3，单击“Open”。 在“Host Name (or IP address)”下的输入框中输入ECS的弹性IP地址，其他配置均保持默认值。 在“Saved Sessions”中输入名称，此处以Wordpress为例，单击“Save”，保存会话配置。 图3 配置PuTTY 在登录界面中，输入ECS的用户名和密码，即可登录ECS。 通过PuTTY登录云服务器，直接获取root权限，可以直接在PuTTY内输入命令。 请输入MySQL或PHP等软件安装命令，此处以安装PHP为例： yum install -y httpd php php-fpm php-server php-mysql mysql 结果显示如下，表明安装完成。 Complete 安装解压软件。 yum install -y unzip 下载并解压WordPress安装文件。 wget -c https://cn.wordpress.org/wordpress-4.9.1-zh_CN.tar.gz tar xzf wordpress-4.9.1-zh_CN.tar.gz -C /var/www/html chmod -R 777 /var/www/html 安装完成后，依次启动相关服务。 systemctl start httpd.service systemctl start php-fpm.service 设置服务开机自启动。 systemctl enable httpd.service

购买并配置RDS 请根据具体需求购买华为云RDS for MySQL数据库实例。 选择MySQL 5.6或MySQL 5.7版本，创建以“rds-01”为例的数据库实例。 确保RDS和ECS使用同一个安全组，以便用户正常访问数据库。 设置root用户对应的密码，并妥善管理您的密码，因为系统将无法获取您的密码信息。 进入RDS console，在“实例管理”页面，单击实例名称“rds-01”，进入实例的“基本信息”页签。 选择“数据库管理”页签，单击“创建数据库”，在弹出框中输入数据库名称，以“wordpress”为例，选择字符集并授权数据库帐号，单击“确定”。 图4 创建数据库 选中“帐号管理”页签，单击“创建帐号”。在“创建帐号”弹出框中，输入数据库帐号，以“tony”为例，授权数据库选择步骤3中创建的“wordpress”数据库，并输入密码和确认密码，单击“确定”。 图5 创建帐号

创建RDS for MySQL实例 本章节介绍创建RDS for MySQL实例。 进入购买云数据库RDS页面。 配置实例名称和实例基本信息。选择区域“华南-广州”。 图1 基本信息 选择实例规格。 图2 实例规格 选择实例所属的VPC和安全组、配置数据库端口。 VPC和安全组已在创建VPC和安全组中准备好。 图3 选择网络 配置实例密码。 图4 设置密码 单击“立即购买”。 进行规格确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改实例信息。 如果规格确认无误，单击“提交”，完成购买实例的申请。 返回云数据库实例列表。当RDS实例运行状态为“正常”时，表示实例创建完成。 父主题： 其他云MySQL迁移到云数据库 RDS for MySQL

慢日志监控中显示存在慢SQL，但日志管理中慢日志页面没有对应慢SQL信息 由于参数“log_slow_admin_statements”在设置为“ON”时，数据库内核会将诸如Binlog Dump GTID、ANALYZE TABLE、OPTIMIZE TABLE等管理类SQL也记录到慢日志中，但由于此类SQL往往由运维动作发起，与业务不强相关，所以在上传到日志管理页面时进行了过滤，帮助客户更高效准确的查看、定位及分析业务上产生的慢查询。 父主题： 日志管理

环境准备 以Ubuntu 18.04系统和Prometheus 2.14.0版本为例。 表2 环境准备 环境条件 描述 Prometheus prometheus-2.14.0.linux-amd64 ECS操作系统 Ubuntu 18.04 ECS私网IP 192.168.0.xx 对于需要导出监控数据的账号，要求具有 IAM ， CES ，Config，EPS服务的读权限，另外获取哪些服务的监控数据就需要有哪些服务的读权限。

操作须知 将主机纳管至VMS，需要完成如下操作： 步骤一：刷新未纳管主机：首先需要刷新未纳管主机，将华为云其他主机同步至未纳管主机列表中。 步骤二：安装OpsAgent：纳管前需要为主机安装OpsAgent。 步骤三：分配主机：纳管主机需要将主机分配到对应的服务及环境下。 主机分配当天密码管理定时任务会自动修改主机账号的密码，密码有效期为90天，到期自动修改。如果不想密码被修改，需要在纳管主机前配置密码白名单规则。如果没有配置密码白名单规则，密码管理任务会检查密码有效期，并在密码过期前20天修改密码。 绑定已规划的业务账号（可选）：主机纳管后需要为主机绑定已规划的业务账号，如果纳管前主机上已有业务账号，分配主机时会自动绑定该业务账号，不需要再单独绑定。 重置密码（可选）：可以选择手动重置主机的root账号和所有业务账号的密码，将密码托管给AppStage平台。

步骤二：安装OpsAgent 在“未纳管主机”页面，单击“部署OpsAgent”。 安装方式选择“远程安装”或“手动安装”。 手动安装：首次安装OpsAgent时，必须使用手动安装方式。 填写基本信息，OpsAgent基本信息参数说明如表1所示。 表1 OpsAgent基本信息参数说明 参数名称 参数说明 租户账号 选择租户账号，为租户VPC下的主机安装OpsAgent。 归属Region 选择租户VPC所属的Region。 OpsAgent版本 选择需要安装的OpsAgent的版本号。 VPC 选择 虚拟私有云VPC ，为该VPC下的主机安装OpsAgent。 说明： 可选VPC为已纳管VPC，如无可选VPC，请完成纳管VPC。 接入方式 当前支持“直接接入（内网）”的接入方式，为华为云主机接入安装OpsAgent。 单击CURL命令或WGET命令后的，复制安装命令。 使用root账号远程登录主机后，执行安装命令安装OpsAgent。 安装完成后，未纳管主机列表中，该主机的OpsAgent状态为“在线”。 远程安装：选择虚拟私有云下已经安装了OpsAgent的主机作为安装机，安装机将作为中间桥梁安装OpsAgent到同虚拟私有云下的其他主机。 填写基本信息，OpsAgent基本信息参数说明如表1所示。 选择安装机，选择一台已安装OpsAgent的主机作为安装机。 添加主机，选择需要安装OpsAgent的主机所在行“操作”列的“编辑”，输入主机root密码后单击“确定”，然后在列表中勾选该主机。 单击“确定”，安装机将作为执行机为主机安装OpsAgent。

更多操作 您还可以进行以下操作。 表2 相关操作 操作名称 操作步骤 管理扫描规则 VMS默认扫描华为公有云账号下的所有资源，可以禁用或者删除对应账号的扫描规则。 在“未纳管主机”页面，单击列表上方的“扫描规则”。 单击对应账号后的“编辑”，禁用该账号扫描规则；或者单击“删除”，删除该账号规则。 查看未纳管主机详情 在“未纳管主机”页面可以单击资源所在行后“详情”列的内容，查看资源部署参数详情。 导出未纳管主机 在“未纳管主机”页面，单击列表上方的“导出”，即可导出所有未纳管主机。 在“我的导出”页面，单击文件名下载并查看导出信息。 升级OpsAgent 在未纳管主机列表，勾选待升级OpsAgent的主机。 单击列表上方的“升级OpsAgent”。 选择需要升级的OpsAgent的版本。 单击“确定”。 卸载OpsAgent 在未纳管主机列表，勾选待卸载OpsAgent的主机。 单击列表上方的“卸载OpsAgent”。 单击“确定”。

维度 Key Value reliablemq_instance_id RocketMQ实例 reliablemq_broker RocketMQ实例节点 reliablemq_topics RocketMQ实例队列 reliablemq_groups RocketMQ实例的消费组 reliablemq_groups_topics RocketMQ实例队列的消费组 reliablemq_dlq_topics RocketMQ实例的死信队列

DMS for RocketMQ请求条件 您可以在创建自定义策略时，通过添加“请求条件”（Condition元素）来控制策略何时生效。请求条件包括条件键和运算符，条件键表示策略语句的 Condition元素，分为全局级条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作，服务级条件键（前缀为服务缩写，如dms:）仅适用于对应服务的操作。运算符与条件键一起使用，构成完整的条件判断语句。 DMS for RocketMQ通过IAM预置了一组条件键，例如，您可以先使用dms:ssl条件键检查RocketMQ实例是否开启SSL，然后再允许执行操作。下表显示了适用于DMS for RocketMQ服务特定的条件键。 表1 DMS for RocketMQ请求条件 DMS for RocketMQ条件键 运算符 描述 dms:publicIP Bool Null 是否开启公网 dms:ssl Bool Null 是否开启SSL

DMS for RocketMQ自定义策略样例 如果系统预置的DMS for RocketMQ权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考细粒度策略支持的授权项。 目前华为云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义策略。本章为您介绍常用的DMS for RocketMQ自定义策略样例。 DMS for RocketMQ的权限与策略基于分布式消息服务DMS，因此在IAM服务中为DMS for RocketMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 示例1：授权用户删除实例和重启实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dms:instance:modifyStatus", "dms:instance:delete" ] } ] } 示例2：拒绝用户删除实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予DMS FullAccess的系统策略，但不希望用户拥有DMS FullAccess中定义的删除实例权限，您可以创建一条拒绝删除实例的自定义策略，然后同时将DMS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对DMS for RocketMQ执行除了删除实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "dms:instance:delete" ] } ] }

示例流程 图1 给用户授权DMS for RocketMQ权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予DMS for RocketMQ的管理员权限“DMS ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务RocketMQ版，进入RocketMQ实例主界面，单击右上角“购买RocketMQ实例”，尝试购买RocketMQ实例，如果无法购买RocketMQ实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

设置VPC接入 云日志 服务接入方式为虚拟私有云 VPC时，按照如下操作完成接入配置。 登录云日志服务控制台。 在左侧导航栏中，选择“日志接入”，单击“虚拟私有云 VPC”进行VPC接入配置。 选择日志流。 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 单击“下一步”：VPC配置。 单击“前往VPC配置”。具体的操作步骤及参数配置，请参见创建VPC流日志。 单击下一步：日志流配置。 表1 日志流配置参数表 参数 说明 自动对日志流进行结构化配置和索引配置 开启该按钮，日志流结构化配置为VPC系统模板，索引配置时将所有VPC解析出来的字段打开快速分析按钮。配置结构化和索引后，才能对VPC日志进行SQL分析，并提供可视化图表。 自动为日志流添加标签：log_type=apig_layer_access 开启该按钮，自动为日志流添加标签（log_type=vpc_flow）后，VPC仪表盘模板才能匹配该日志流。 自动为日志流创建仪表盘 开启该按钮，自动为日志流创建VPC仪表盘。 完成。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全