华为云用户手册

l2_distance 功能说明：计算两个向量的欧式距离。 入参1的类型：floatvector 入参2的类型：floatvector 出参类型：float8 代码示例： gaussdb=# SELECT l2_distance(floatvector('[1,2,3]'), floatvector('[5,-1,3.5]'));gaussdb=# SELECT l2_distance('[1,2,3]', '[5,-1,3.5]');

cosine_distance 功能说明：计算两个向量的余弦距离。 入参1的类型：floatvector 入参2的类型：floatvector 出参类型：float8 代码示例： gaussdb=# SELECT cosine_distance(floatvector('[1,2,3]'), floatvector('[5,-1,3.5]'));gaussdb=# SELECT cosine_distance('[1,2,3]', '[5,-1,3.5]');

vector_l2_squared_distance 功能说明：获得两个向量的欧式距离的平方。 入参1的类型：floatvector 入参2的类型：floatvector 出参类型：float8 代码示例： gaussdb=# SELECT vector_l2_squared_distance(floatvector('[1,2,3]'), floatvector('[5,-1,3.5]'));gaussdb=# SELECT vector_l2_squared_distance('[1,2,3]', '[5,-1,3.5]');

查看动态数据脱敏基本配置 设置并查看动态数据脱敏功能是否已开启。 gs_guc reload -Z coordinator -N all -I all -c "enable_security_policy=on" enable_security_policy取值为on时表示开启，取值为off是表示关闭。 gaussdb=# SHOW enable_security_policy; enable_security_policy----------------------- on(1 row)

并行解码 以下配置选项仅限流式解码设置。 decode-style： 当enable-ddl-json-format参数值为true时，DDL的格式由enable-ddl-json-format控制，decode-style仅指定DML语句的解码格式；当enable-ddl-json-format参数值为false时，decode-style指定DML和DDL语句的解码格式。 取值范围：char型的字符'j'、't'或'b'，分别代表json格式、text格式及二进制格式。 默认值： 没有指定decode-style： 针对复制槽插件类型为mppdb_decoding、sql_decoding，decode-style默认值为'b'即二进制格式解码。针对复制槽插件类型为parallel_binary_decoding、parallel_json_decoding、parallel_text_decoding，decode-style默认值分别为'b'、'j'、't'，解码格式分别为二进制格式、json格式、text格式。 指定decode-style： 按照指定的decode-style进行解码。 对于json格式和text格式解码，开启批量发送选项时的解码结果中，每条解码语句的前4字节组成的uint32代表该条语句总字节数（不包含该uint32类型占用的4字节，0代表本批次解码结束），8字节uint64代表相应lsn（begin对应first_lsn，commit对应end_lsn，其他场景对应该条语句的lsn）。 例如：以mppdb_decoding插件为例，当decode-style为b类型时，以二进制格式解码，结果如下： current_lsn: 0/CFE5C80 BEGIN CS N: 2357 first_lsn: 0/CFE5C80current_lsn: 0/CFE5D40 INSERT INTO public.test1 new_tuple: {a[typid = 23]: "1", b[typid = 23]: "2"}current_lsn: 0/CFE5E68 COMMIT xid: 78108 当decode-style为j类型时，以json格式解码，结果如下： BEGIN CSN: 2358 first_lsn: 0/CFE6220{"table_name":"public.test1","op_type":"INSERT","columns_name":["a","b"],"columns_type":["integer","integer"],"columns_val":["3","3"],"old_keys_name":[],"old_keys_type":[],"old_keys_val":[]}COMMIT XID: 78109 当decode-style为t类型时，以text格式解码，结果如下： BEGIN CSN: 2359 first_lsn: 0/CFE64D0table public test1 INSERT: a[integer]:3 b[integer]:4COMMIT XID: 78110 二进制格式编码规则如下所示： 前4字节代表接下来到语句级别分隔符字母P（不含）或者该批次结束符F（不含）的解码结果的总字节数，该值如果为0代表本批次解码结束。 接下来8字节uint64代表相应lsn（begin对应first_lsn，commit对应end_lsn，其他场景对应该条语句的lsn）。 接下来1字节的字母有5种B/C/I/U/D，分别代表begin/commit/insert/update/delete。 第3步字母为B时： 接下来的8字节uint64代表CSN。 接下来的8字节uint64代表first_lsn。 【该部分为可选项】接下来的1字节字母如果为T，则代表后面4字节uint32表示该事务commit时间戳长度，再后面等同于该长度的字符为时间戳字符串。 【该部分为可选项】接下来的1字节字母如果为N，则代表后面4字节uint32表示该事务用户名的长度，再后面等同于该长度的字符为事务的用户名字。 因为之后仍可能有解码语句，接下来会有1字节字母P或F作为语句间的分隔符，P代表本批次仍有解码的语句，F代表本批次解码完成。 第3步字母为C时： 【该部分为可选项】接下来1字节字母如果为X，则代表后面的8字节uint64表示xid。 【该部分为可选项】接下来的1字节字母如果为T，则代表后面4字节uint32表示时间戳长度，再后面等同于该长度的字符为时间戳字符串。 因为批量发送日志时，一个COMMIT日志解码之后可能仍有其他事务的解码结果，接下来的1字节字母如果为P则表示该批次仍需解码，如果为F则表示该批次解码结束。 第3步字母为I/U/D时： 接下来的2字节uint16代表schema名的长度。 按照上述长度读取schema名。 接下来的2字节uint16代表table名的长度。 按照上述长度读取table名。 【该部分为可选项】接下来1字节字母如果为N代表为新元组，如果为O代表为旧元组，这里先发送新元组。 接下来的2字节uint16代表该元组需要解码的列数，记为attrnum。 以下流程重复attrnum次。 接下来2字节uint16代表列名的长度。 按照上述长度读取列名。 接下来4字节uint32代表当前列类型的OID。 接下来4字节uint32代表当前列值（以字符串格式存储）的长度，如果为0xFFFFFFFF则表示NULL，如果为0则表示长度为0的字符串。 按照上述长度读取列值。 因为之后仍可能有解码语句，接下来的1字节字母如果为P则表示该批次仍需解码，如果为F则表示该批次解码结束。 sending-batch： 指定是否批量发送。 取值范围：0或1的int型，默认值为0。 0：设为0时，表示逐条发送解码结果。 1：设为1时，表示解码结果累积到达1MB则批量发送解码结果。 开启批量发送的场景中，当解码格式为'j'或't'时，在原来的每条解码语句之前会附加一个uint32类型，表示本条解码结果长度（长度不包含当前的uint32类型），以及一个uint64类型，表示当前解码结果对应的lsn。 在CSN序解码（即output-order设置为1）场景下，批量发送仅限于单个事务内（即如果一个事务有多条较小的语句会采用批量发送），即不会使用批量发送功能在同一批次里发送多个事务，且BEGIN和COMMIT语句不会批量发送。 parallel-queue-size： 指定并行逻辑解码线程间进行交互的队列长度。 取值范围：2~1024的int型，且必须为2的整数幂，默认值为128。 队列长度和解码过程的内存使用量正相关。

查看动态数据脱敏基本配置 设置并查看动态数据脱敏功能是否已开启。 gs_guc reload -Z datanode -N all -I all -c "enable_security_policy=on" enable_security_policy取值为on时表示开启，取值为off是表示关闭。 gaussdb=# SHOW enable_security_policy; enable_security_policy----------------------- on(1 row)

云监控 控制台功能依赖的角色或策略 如果 IAM 用户需要在 云监控服务 控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了 CES Administrator、CES FullAccess或CES ReadOnlyAccess策略的集群权限，再按如下表3增加依赖服务的角色或策略。 表3 云监控控制台依赖服务的角色或策略 控制台功能 依赖服务 需配置角色/策略 云服务监控 云手机服务器 CPH ROMA Connect： 业务流 BFS 快速数据集成 FDI 服务集成 APIC 云搜索服务 CSS 云桌面 Workspace 消息&短信服务 MSG SMS 支持设置了CES Administrator、CES FullAccess或CES ReadOnlyAccess权限的IAM用户查看云服务监控信息。

云监控服务权限 默认情况下，新建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 Cloud Eye部署时通过物理区域划分，为项目级服务，需要在各区域（如华北-北京1）对应的项目（cn-north-1）中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问Cloud Eye时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云监控服务，管理员能够控制IAM用户仅能对某一类云监控资源进行指定的管理操作。 多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action），云监控服务支持的API授权项请参见策略及授权项说明。 如表1所示，包括了云监控服务的所有系统权限。 表1 云监控服务系统权限 系统角色/策略名称 描述 类别 依赖关系 CES FullAccessPolicy 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用，支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务。 告警通知：依赖 SMN 服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccessPolicy 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用，支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务。 CES AgentAccess CES Agent正常运行所需的必要权限。 说明： 为了保证CES Agent能够正常提供服务，需要配置委托，详细操作请参见如何配置委托？ 系统策略 无。 CES SiteMonitor FullAccess 云监控服务站点监控所有权限。 系统策略 无。 CES SiteMonitor ReadOnlyAccess 云监控服务站点监控只读权限。 系统策略 无。 CES Administrator 云监控服务的管理员权限。 系统角色 依赖Tenant Guest策略。 Tenant Guest：全局级策略，在全局项目中勾选。 CES AgencyCheck Access 云监控服务检查租户委托权限需要授权的IAM操作权限集 系统策略 云服务监控OBS转储、数据转储、主机监控等相关功能所依赖的委托策略集合，该策略中已包含委托需要授权的IAM操作权限集，如在使用OBS转储、数据转储、主机监控等功能时遇到委托相关权限问题，需要配置IAM委托操作的细粒度授权特性，才可以正常使用。 CES Global FullAccess 云监控服务全局业务所有权限 系统策略 云监控服务站点监控、广域网质量监控、告警通知等相关功能所依赖的委托策略集合，该策略中已包含云监控服务的全局业务和云监控服务所依赖的全局服务操作的集合，如在使用站点监控、广域网质量监控、告警通知等功能时遇到权限问题，需要配置该权限集才可以正常使用。 CES FullAccess 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 说明： CES FullAccess不满足权限最小化原则，后续不推荐使用，建议使用CES FullAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用，支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccess 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 说明： CES ReadOnlyAccess不满足权限最小化原则，后续不推荐使用，建议使用CES ReadOnlyAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用，支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务。 表2列出了云监控服务常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 功能 操作 CES FullAccessPolicy CES ReadOnlyAccessPolicy CES SiteMonitor FullAccess CES SiteMonitor ReadOnlyAccess CES Administrator （需同时添加Tenant Guest策略） Tenant Guest 监控概览 查看监控概览 √ √ √ √ √ √ 查看监控大屏 √ √ √ √ √ √ 监控面板 创建监控面板 √ × √ × √ × 查看监控大屏 √ √ √ √ √ √ 查看监控面板 √ √ √ √ √ √ 删除监控面板 √ × √ × √ × 添加监控视图 √ × √ × √ × 查看监控视图 √ √ √ √ √ √ 修改监控视图 √ × √ × √ × 删除监控视图 √ × √ × √ × 调整监控视图位置 √ × √ × √ × 资源分组 创建资源分组 √ × √ × √ × 查看资源分组列表 √ √ √ √ √ √ 查看资源分组（资源概览） √ √ √ √ √ √ 查看资源分组（不健康资源） √ √ √ √ √ √ 查看资源分组（告警规则） √ √ √ √ √ √ 查看资源分组（告警记录） √ √ √ √ √ √ 修改资源分组 √ × √ × √ × 删除资源分组 √ × √ × √ × 告警规则 创建告警规则 √ × √ × √ × 修改告警规则 √ × √ × √ × 启用告警规则 √ × √ × √ × 停用告警规则 √ × √ × √ × 删除告警规则 √ × √ × √ × 导出告警规则 √ × × × √ × 查看告警规则列表 √ √ √ √ √ √ 查看告警规则详情 √ √ √ √ √ √ 查看监控图表 √ √ √ √ √ √ 告警记录 查看告警记录 √ √ √ √ √ √ 告警模板 查看默认告警模板 √ √ √ √ √ √ 查看自定义告警模板 √ √ √ √ √ √ 创建自定义告警模板 √ × √ × √ × 修改自定义告警模板 √ × √ × √ × 删除自定义告警模板 √ × √ × √ × 一键告警 开启一键告警 √ × √ × √ × 查看一键告警 √ √ √ √ √ √ 修改一键告警 √ × √ × √ × 关闭一键告警 √ × √ × √ × 主机监控 查看主机列表 √ √ √ √ √ √ 查看主机监控指标 √ √ √ √ √ √ 安装Agent √（需同时拥有ECS FullAccess权限） × √ × √（需同时拥有ECS FullAccess权限） × 修复插件配置 √（需同时拥有Security Administrator、ECS FullAccess权限） × √ × √（需同时拥有Security Administrator、ECS FullAccess权限） × 卸载Agent √（需同时拥有ECS FullAccess权限） × √ × √（需同时拥有ECS FullAccess权限） × 配置进程监控 √ × √ × √ × 配置自定义进程监控 √ × √ × √ × 云服务监控 查看云服务列表 √（涉及云服务需要支持细粒度授权特性，参考：使用IAM授权的云服务） √（涉及云服务需要支持细粒度授权特性，参考：使用IAM授权的云服务） √ √ √ √ 查看云服务监控指标 √ √ √ √ √ √ 站点监控 创建站点监控 √（站点监控部署在华北-北京一，若在其他Region使用站点监控功能，需同时添加华北-北京一的权限） × √ × √（站点监控部署在华北-北京一，若在其他Region使用站点监控功能，需同时添加华北-北京一的权限） × 查看站点监控列表 √ √ √ √ √ √ 查看站点监控详情 √ √ √ √ √ √ 修改站点监控 √ × √ × √ × 启用站点监控 √ × √ × √ × 停用站点监控 √ × √ × √ × 删除站点监控 √ × √ × √ × 自定义监控 添加自定义监控数据 √ × √ √ √ × 查看自定义监控列表 √ √ √ √ √ √ 查看自定义监控数据 √ √ √ √ √ √ 事件监控 添加自定义事件 √ × √ √ √ × 查看事件列表 √ √ √ √ √ √ 查看事件详情 √ √ √ √ √ √ 日志监控 自定义指标过滤配置 √（需同时拥有LTS FullAccess权限） × √ × √（需同时拥有LTS FullAccess权限） × 查看日志监控列表 √ √ √ √ √ √ 查看日志监控详情 √ √ √ √ √ √ 数据转储到DMS Kafka 创建数据转储任务 √ × √ × √ × 查询数据转储任务列表 √ √ √ √ √ √ 查询指定数据转储任务 √ √ √ √ √ √ 修改数据转储任务 √ × √ × √ × 启动数据转储任务 √ × √ × √ × 停止数据转储任务 √ × √ × √ × 删除数据转储任务 √ × √ × √ × 其他 配置数据转储 √（需同时拥有OBS Bucket Viewer权限） × √ × √（需同时拥有Tenant Administrator权限） × 导出监控数据 √ × × × √ × 发送告警通知 √ × √ × √ ×

什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

服务的访问控制 CES对接了华为云 统一身份认证 服务（Identity and Access Management，简称IAM）。如果您需要对华为云上的CES资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 鉴权 您可以通过以下方式登录华为云，如图1所示。 华为云账号：您首次使用华为云时创建的账号，该账号是您的华为云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限。 IAM用户：由管理员在IAM中创建的用户，是云服务的使用人员，根据账号授予的权限使用资源。 企业联邦用户：由管理员在IAM中创建的企业身份提供商用户。 图1 登录华为云 访问控制 CES基于IAM提供了系统策略和自定义策略，需要给用户配置相应策略，才能创建或访问CES资源，具体操作步骤参考：创建用户并授权使用云监控服务。建议您使用自定义策略，定义CES所需的最小权限集合即可。 父主题： 身份认证与访问控制

约束与限制 当前云监控服务对单个用户的使用限制如表1所示。调整配额请参考配额调整。 表1 用户资源限制 配额类型 默认限制 可创建告警规则数 1000 可创建自定义告警模板数 200 告警模板可添加告警规则数 50 可创建监控看板数 10 单监控看板可添加监控视图数 50 历史告警保存时间 7天 单次创建告警规则可选择的被监控对象数 5000 单次可创建告警规则条数 1000 说明： 若选择监控对象为50个，监控指标为20个，则可创建的告警规则条数为1000。 发送通知可选择主题数 5 单次导出监控数据条数 400 说明： 若监控对象为400个，则监控指标为1个。若监控对象为80个，则监控指标为5个。 可创建资源分组个数 1000 单个资源分组单次添加资源数 1000 单个资源分组资源总数 10000 可创建监控站点个数 20 告警模板策略个数 50

什么是云监控服务？ 云监控服务为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。云监控服务架构图如图1所示。 图1 云监控服务架构图 云监控服务主要具有以下功能： 自动监控： 云监控服务不需要开通，在创建弹性云服务器等资源后监控服务会自动启动，您可以直接到云监控服务查看该资源运行状态并设置告警规则。 主机监控： 通过在弹性云服务器或裸金属服务器中安装云监控服务Agent插件，用户可以实时采集ECS或BMS 1分钟级粒度的监控数据。已上线CPU、内存和磁盘等40余种监控指标。有关主机监控的更多信息，请参阅主机监控简介。 灵活配置告警规则： 对监控指标设置告警规则时，支持对多个云服务资源同时添加告警规则。告警规则创建完成后，可随时修改告警规则，支持对告警规则进行启用、停止、删除等灵活操作。 实时通知： 通过在告警规则中开启 消息通知 服务，当云服务的状态变化触发告警规则设置的阈值时，系统通过短信、邮件通知或发送消息至服务器地址等多种方式实时通知用户，让用户能够实时掌握云资源运行状态变化。 监控面板： 为用户提供在一个监控面板跨服务、跨维度查看监控数据，将用户关注的重点服务监控指标集中呈现，既能满足您总览云服务的运行概况，又能满足排查故障时查看监控详情的需求。 OBS转储： 云监控服务各监控指标的原始数据的保留周期为两天，超过保留周期后原始数据将不再保存。您可以在 对象存储服务 （Object Storage Service，以下简称OBS）创建存储桶，然后将原始数据同步保存至OBS，以保存更长时间。 资源分组： 资源分组支持用户从业务角度集中管理其业务涉及到的弹性云服务器、云硬盘、弹性IP、带宽、数据库等资源。从而按业务来管理不同类型的资源、告警规则、告警记录，可以迅速提升运维效率。 站点监控： 站点监控用于模拟真实用户对远端服务器的访问，从而探测远端服务器的可用性、连通性等问题。 日志监控： 日志监控提供了针对日志内容的实时监控能力。通过云监控服务和 云日志 服务的结合，用户可以针对日志内容进行监控统计、设置告警规则等操作，降低用户监控日志的运维成本，简化用户使用监控日志的流程。 事件监控： 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。

计费标准 广域网质量监控支持以下两种计费方式： 按需计费 计费方式 探测点类型 探测点位置 单价（元/次） 按需计费 PC端 中国 0.001 PC端 海外 0.005 包月资源包计费：请参见购买广域网质量监控资源包。 计费方式 规格（次/月） 总价（元/月） 单价（元/万次） 资源包计费 3000 0 0 1万 8 8 5万 40 8 20万 160 8 50万 400 8 100万 750 7.5 150万 1125 7.5 200万 1400 7

典型场景 广域网质量监控主要用于模拟真实用户发送对远端服务器的访问，从而探测远端服务的可用性、网络的连通性等场景。 场景一：服务可用性监控 从全国不同城市的运营商节点定期检查网站是否可访问，以便于提前预警可能影响业务连续性的风险。同时支持用户对探测结果是否“可用”的自定义断言规则，包含响应延时，状态码，响应 body 的内容匹配等。 场景二：网络可用性分析 通过使用广域网质量监控功能配置定时PING探测任务，根据需要选择发起探测的不同地域运营商探测节点。（详细请参见：探测点的分布） 图1 探测点的分布 运行后可以观察到不同地域的运营商线路到目标服务的网络时延情况。帮助决策者制定有效的链路优化和网络产品部署决策，如游戏用户比较关注的运营商链路性能分析等。 图2 探测结果

结束语 总之，网络与服务的稳定性占据着举足轻重的地位，拨测技术作为保障网络和服务稳定性的有力武器，助力企业实现主动式监控，全方位洞察服务的可用性、性能瓶颈等问题。通过合理选择分布的探测节点，制定多层次的拨测策略，企业得以构建起一套严密的监测防护网，能够精准捕捉潜在故障。同时，依据拨测数据的深度分析，企业还能对资源配置进行精细化调整，消除冗余，提升效能，实现业务流程的高效流转。最终，为企业呈上更加稳定可靠、流畅便捷的服务。

产品介绍 广域网质量监控通过遍布全国的互联网终端探测节点，发送模拟真实用户访问的探测请求，帮助用户监控全国各省市运营商机房到客户服务站点的网络连通情况。 广域网质量监控归属于华为云监控(CES)，使用广域网质量监控，可免费使用CES的视图、告警模块，与云上资源监控深度融合、打通。通过使用不同的网络层协议模拟用户的在线行为来分析互联网服务和网络的表现，并通过分析延迟、丢包率等关键指标优化用户体验。 当前支持的监控类型：HTTP、HTTPS、PING、TCP、UDP、DNS。 当前支持的监控指标：丢包率、响应时间、HTTP响应码、可用性、可用探测点数量、可用探测点百分比。

服务资费 云监控服务基础功能免费，包括查看监控看板、创建告警规则、添加监控项等。同时云监控服务与其他云服务组合使用，为您提供监控数据文件转储、发送告警通知等增值服务，这些增值服务可能产生额外费用，具体由提供该功能的服务结算。 通常情况下，云监控服务产生的增值服务费用很低，因此建议您根据需要搭配使用。 增值服务列表如下： 监控数据文件转储：需要使用对象存储服务（OBS），转储后的监控数据文件将永久保存。 发送告警通知：需要使用消息通知服务（SMN），当云服务的状态变化触发告警规则设置的阈值时，发送邮件、短信、HTTP、HTTPS告知用户。 增值服务的计费方式如下： 对象存储服务（OBS） 对象存储服务提供按需付费、包年包月两种计费方式。用户可以根据实际需求变更资源的资费方式。OBS开通时，默认按照按需付费（使用量按小时计费），同时也支持包年包月（资源包）的方式提前购买使用额度和时长。 由于云监控服务需要高频次的访问转储事件文件的OBS桶，因此必须选择标准存储类型的OBS桶，具体价格请参考产品价格说明。 消息通知服务（SMN） 消息通知服务会从短信、邮件、HTTP、HTTPS的使用中收费，具体价格请参考产品价格说明。

审计与日志 审计 云审计 服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录CES的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CES支持审计的操作事件请参见云审计服务支持的Cloud Eye操作列表。 图1 云审计服务 日志 在您开启了云审计服务后，系统开始记录云监控资源的操作。云审计服务管理控制台保存最近7天的操作记录。如何在云审计服务管理控制台查看或导出最近7天的操作记录，请参见查看云监控服务日志。 父主题： 安全

数据保护技术 出于数据保护目的，我们建议您保护华为云帐户凭据，并使用华为云统一身份认证服务（IAM）设置单个用户帐户。这样每个用户只获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据安全： 对每个帐户使用多因素身份验证（MFA）。 使用SSL/TLS与华为云资源通信。我们建议使用TLS 1.2或更高版本。 使用Cloud Trace Service设置API和用户活动日志记录。 使用Data Encryption Workshop，以及华为云服务中的所有默认安全控制。 我们强烈建议您切勿将机密或敏感信息（如客户的电子邮件地址）放入标记或自由表单域中，如名称字段。这包括使用控制台、API、华为云CLI或华为云SDK使用CES或其他华为云服务时。您输入到标记或用于名称的自由表单域中的任何数据都可用于计费或诊断日志。如果您提供了外部服务器的URL，我们强烈建议您不要在URL中包括凭据信息，以验证您对该服务器的请求。 传输中的加密 CES对传输中的数据使用端到端加密。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

应用场景 华为云 Web应用防火墙 （WAF）通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 DDoS原生高级防护可以为接入WAF（云模式-ELB接入）的网站类业务提供四层DDoS攻击防护，实现DDoS原生高级防护和云模式WAF（ELB接入）双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。

应用场景 业务接入DDoS高防后，经过高防转发的流量到服务端之后真实源IP将被隐藏，客户业务源站所见的源IP为高防的回源IP，从tcp报文中的tcp option字段获取真实源IP，支持获取IPv6真实访问源。 在业务应用开发中，通常需要获取客户端真实的IP地址。例如，投票系统为了防止刷票，需要通过获取客户端真实IP地址，限制每个客户端IP地址只能投票一次。 本章节介绍如何通过安装DDoS高防提供的TOA模块获取真实源IP。

约束与限制 源站服务器为以下Linux操作系统时，您可以通过安装DDoS高防提供的TOA模块获取高防转发后流量的真实源IP。 CentOS6.5（对应Linux内核版本2.6.X） CentOS7（对应Linux内核版本3.10.X） toa_common（通用版本toa，一般针对Linux内核3.0及其以上的系统，如Ubuntu 14/16 、Suse 11/42等） toa_linux-2.6.32-220.23.1.el6.x86_64.rs（对应指定的版本：linux-2.6.32-220.23.1.el6.x86_64.rs） DDoS高防+Web源站场景下，如果DDoS高防关闭了Web基础防护，则需要在源站安装TOA以获取真实源IP。 如果DDoS高防开启了Web基础防护或源站配置为华为云WAF的场景，不需要安装TOA获取真实源IP，可从xff，x-real等7层请求头部获取真实源IP，仅支持获取IPv4真实访问源。请参考获取客户端真实IP获取七层协议（HTTP）真实源IP。 如果源站服务器使用了其他操作系统（Ubuntu、SUSE等），请参考TOA插件配置定制编译安装TOA插件以获取真实源IP。

应用场景 华为云Web应用防火墙（WAF）通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 DDoS高防可以为 域名 提供连续性的有力保障，当服务器遭受大流量DDoS攻击时，DDoS高防可以保护用户业务持续可用。 通过WAF和DDoS高防双重防护，可以同时防御Web应用攻击和流量攻击，大幅提升域名的安全性和稳定性。 本实践建立在域名已接入了WAF，如何使网站流量同时经过DDoS高防和WAF进行防护，提升网站全面防护能力。 域名接入WAF的方法请参考将网站接入WAF防护。

最佳实践汇总 本文汇总了DDoS防护常见应用场景的操作实践，为每个实践提供详细的方案描述和操作指导，帮助用户轻松使用DDoS防护业务。 表1 最佳实践一览表 分类 相关文档 被攻击后处理 通过ECS访问被黑洞的服务器 使用DDoS高防识别攻击类型 网站业务迁移：从DDoS高防实例A到实例B 源站IP相关 使用TOA模块获取真实请求来源IP 提升防护能力 通过DDoS调度中心实现流量的阶梯调度 联动防护 使用ELB和DDoS原生高级防护提升ECS防御DDoS攻击能力 使用WAF、ELB和DDoS原生高级防护提升网站业务安全性 使用WAF和DDoS高防实现域名防护 使用CDN和DDoS高防防护动静态资源

方案架构 当用户的视频、电商等业务系统可以通过域名区分动静态资源，可以使用“DDoS高防+CDN”联动方案，动静态资源相关说明如图1所示。 如果是静态资源，例如图片业务的域名是image.abc.com，DNS将image.abc.com解析到CDN的CNAME，即可以获取静态资源 CDN加速 能力。 如果是动态资源，例如登录业务的域名是login.abc.com，DNS将login.abc.com解析到高防的CNAME，高防防护保证登录功能稳定运行。 图1 “DDoS高防+CDN”联动方案原理说明 表1 方案说明 类别 定义 举例 解决方案 动态资源 服务器端在应答客户请求前需要和数据库进行交互的业务。 支付 登录 动态资源的域名解析到高防的CNAME。高防防护能够保证登录、支付等功能平台稳定运行不中断。 静态资源 客户可以直接在对象存储中获取的固定资源。 图片 视频 静态资源的域名解析到CDN的CNAME。CDN加速使客户能够快速获取视频、图片等资源，提升客户体验。

通过企业路由器和中转VPC构建组网流程 本章节介绍通过企业路由器和中转VPC构建组网总体流程，流程说明如表1所示。 表1 通过企业路由器和中转VPC构建组网流程说明 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建VPC和子网，本示例中创建2个业务VPC和1个中转VPC。 在VPC内，创建ECS，本示例中创建2个ECS。 步骤二：创建对等连接并配置路由 创建业务VPC-A和中转VPC-Transit之间的对等连接，并添加路由。 创建业务VPC-B和中转VPC-Transit之间的对等连接，并添加路由。 验证业务VPC-A和业务VPC-B之间的通信情况。 步骤三：在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云（VPC）”连接：将1个中转VPC接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中添加指向企业路由器的路由信息，目的地址为IDC侧网段。 在ER路由表中配置路由：在ER路由表中添加指向VPC连接的路由信息，目的地址分别为业务VPC网段。 步骤四：在企业路由器中添加并配置VGW连接 创建物理连接，物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 创建虚拟网关：创建1个关联企业路由器的虚拟网关，企业路由器中会自动添加“虚拟网关（VGW）”连接。 在ER路由表中创建传播：在ER路由表中创建“虚拟网关（VGW）”连接的传播，会自动学习IDC侧的路由信息，不用再手动添加路由。 创建虚拟接口：创建关联虚拟网关的虚拟接口，连接虚拟网关和物理连接。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤五：验证VPC和IDC的通信情况 登录ECS，执行ping命令，验证网络互通情况。 父主题： 通过企业路由器和中转VPC构建组网

应用场景 华为云未上线企业路由器ER之前，客户使用云连接连通不同区域VPC网络时，需要将VPC直接接入云连接实例中。如果您希望提升跨区域组网的的可扩展性，同时降低维护难度，那么推荐您将网络迁移到云连接中心网络和企业路由器上。 云连接中心网络基于华为云骨干网络面向客户提供全球网络编排能力，帮助用户便捷、安全的创建和管理云上、云下的全球网络资源。您可以将两个及以上不同区域的企业路由器接入中心网络，构成ER对等连接，实现云上跨区域网络互通。 接下来，将主要为您介绍如何将云连接实例直连VPC组网迁移至中心网络和企业路由器。 关于企业路由器更详细的介绍，请参见企业路由器产品介绍。

方案架构 当前组网中，通过云连接实例连通区域A、区域B以及区域C内的VPC网络，为了提升组网的可扩展性，并降低维护难度，现在需要将VPC迁移到企业路由器中，并通过中心网络连通不同区域的企业路由器。 迁移共分为迁移前、迁移中、迁移完成三个阶段，迁移架构图如图1所示。具体说明如下： 迁移前，VPC直接接入云连接实例，通过云连接实例连通不同区域VPC网络。 迁移中： 将VPC分别接入对应区域的企业路由器中，通过大小网段确保VPC的路由表中，云连接实例和企业路由器的路由不冲突。 创建中心网络，并将不同区域的企业路由器添加到中心网络的策略中，连通不同区域的企业路由器。 验证VPC通过企业路由器和中心网络是否可以正常通信。 迁移完成后，在云连接实例中依次移除VPC，当所有VPC移除完成后，删除云连接实例。 图1 云连接实例直连VPC组网迁移架构图