华为云用户手册

编排流水线阶段 访问CodeArts Pipeline首页。 在流水线列表页搜索目标流水线，单击操作列，选择“编辑”。 进入流水线“任务编排”页面，单击或“新建阶段”，可以为流水线添加新的阶段，添加完阶段后，可根据实际需要编辑、复制、删除、移动阶段、配置阶段准入类型。 表1 管理阶段 操作项 说明 编辑阶段 单击，弹出“编辑阶段”侧滑框，可以配置阶段名称和阶段是否总是运行。 总是运行：选择“是”，表示流水线执行时，该阶段下的任务默认选中必须执行且不可取消。 总是运行：选择“否”，表示流水线执行时，该阶段下的任务默认选中但可以取消。 复制阶段 单击，可以复制流水线阶段。 删除阶段 单击，根据删除提示确认是否删除阶段。 排序阶段 单击不松开，可以移动阶段调整阶段顺序。 阶段准入 通过阶段准入校验，控制流水线阶段的执行。单击，弹出“准入设置”窗口，可以配置阶段准入类型。 自动：默认执行方式，流水线执行时自动进入下一阶段继续运行。 手动：流水线执行时需手动确认后才能进入下一阶段继续运行。 时间窗：流水线执行时需在配置好的时间段才能进入下一阶段继续执行。 准出条件 流水线服务提供基于规则和策略的准出条件管理能力，是指在流水线阶段中配置的用于自动化看护的质量指标卡点，通过配置规则和策略，来实现阶段准出校验，并最终控制流水线的执行。 规则：基于扩展插件的输出阈值，设置比较关系和阈值条件，供策略使用，并最终应用到流水线准出条件中，作为准出条件的判断依据。配置方法请参考配置流水线规则。 策略：策略是一系列规则的集合，每个规则对应了一个步骤插件的输出指标值的条件模板，通过预定义策略，可以很方便地在多条不同流水线中应用同样的准出条件。策略实行分层管理，可分为租户级策略和项目级策略。用户可根据需要将策略资源应用到流水线作为准出条件来控制流水线的执行，保障产品交付质量。 说明： 当前仅支持“标准策略准出条件”，可以选择当前项目或租户下创建好的策略。 流水线可以在各阶段单独设置准出条件，准出条件只对当前阶段有效。 同一阶段中可以配置多个不同的准出条件。 单击阶段下方“准出条件”，弹出“准出条件”侧滑框，将鼠标移动到准出条件卡片，单击“添加”。 填写准出条件名称，选择策略。 单击“确定”，即可添加一个准出条件。 阶段编排完成后，保存流水线。

流水线扩展插件使用场景 使用者可通过扩展插件对接使用各类云服务。如使用CodeArts Pipeline提供的官方插件，如Kubernetes发布。 开发者利用官方工具镜像进行插件开发，自行实现业务逻辑。当前支持开发者使用主流多语言进行业务脚本编写，如：shell/nodejs/python/java等。针对业务的特殊环境要求，支持使用自定义执行机配合基础插件（执行容器镜像）提供更加多样的执行方式。 使用者可开发扩展插件对接已有的第三方CI/CD工具。

Step2 在Notebook中调试模型 打开一个新的Terminal终端，进入“/home/ma-user/infer/”目录，运行启动脚本run.sh，并预测模型。基础镜像中默认提供了run.sh作为启动脚本。启动命令如下： sh run.sh 图1 运行启动脚本 上传一张预测图片（手写数字图片）到Notebook中。 图2 手写数字图片 图3 上传预测图片 重新打开一个新的Terminal终端，执行如下命令进行预测。 curl -kv -F 'images=@/home/ma-user/work/test.png' -X POST http://127.0.0.1:8080/ 图4 预测 在调试过程中，如果有修改模型文件或者推理脚本文件，需要重启run.sh脚本。执行如下命令先停止nginx服务，再运行run.sh脚本。 #查询nginx进程 ps -ef |grep nginx #关闭所有nginx相关进程 kill -9 {进程ID} #运行run.sh脚本 sh run.sh 也可以执行pkill nginx命令直接关闭所有nginx进程。 #关闭所有nginx进程 pkill nginx #运行run.sh脚本 sh run.sh 图5 重启run.sh脚本 父主题： 无需构建直接在开发环境中调试并保存镜像用于推理

LTS日志转储状态显示异常是什么原因？ 在 云日志服务LTS 控制台的“日志转储”页面，日志转储任务的状态显示异常，有可能是如下原因引起： 可能原因：OBS桶策略异常。 解决方法：请您在 对象存储服务 中设置访问控制策略。详细请参考配置桶策略。 可能原因：Kafka集群被删除。 解决方法：请您重新创建Kafka转储配置，详细请参考日志转储至DMS。 可能原因：Kafka的topic被删除。 解决方法：请您重新创建或指定Kafka的topic，详细请参考日志转储至DMS。 父主题： 日志转储

大数据组件日志采集场景 场景描述：有些用户会使用 MRS /Flink/Spark等大数据组件做数据处理，希望采集自定义的日志到LTS，但是不希望采集大数据组件的运行日志（对于业务分析价值小）。 使用建议： 日志采集方式：推荐用户使用JAVA SDK或者GO SDK上报日志。常见的大数据组件不太方便指定个性化的日志文件路径去只打印自己的业务日志，因此使用SDK上报日志是比较好的选择。 日志结构化解析方式：LTS支持iOS SDK、Android SDK、百度小程序SDK、微信小程序SDK等端侧SDK，使用端侧SDK上报的日志不支持云端结构化解析，因此建议您上报已经结构化的JSON格式日志。

容器应用日志场景 场景描述：适用于用户将应用系统部署在K8S集群上，使用LTS统一采集和搜索日志的场景。用户的应用系统一般由多个工作负载组成，每个工作负载至少部署2个实例。 使用建议： 日志采集方式： 建议使用采集器ICAgent采集日志，您可以使用CCE接入配置日志采集路径。不建议使用SDK、API上报日志。使用ICAgent的好处是与应用系统完全解耦，无侵入，无需更改代码，使用SDK/API等方式步骤相对复杂，如果代码编写不当容易对应用系统的稳定性造成影响。 采集容器应用日志的方式有：容器标准输出、容器文件、节点文件、K8S事件，建议优先使用容器文件。对比容器标准输出，容器文件的优点是可以持久化挂载到主机上，且输出的内容用户自主控制性更强。对比节点文件，容器文件的优点是采集的日志有命名空间、工作负载、POD等元数据信息，在搜索日志的时候更加便捷。 日志组规划：将一个CCE集群的所有日志放在一个日志组中，日志组的别名（支持修改）可以使用CCE集群的名称，日志组的原始名称（不支持修改）建议使用k8s-log-{集群ID}。 日志流规划： 如果您的日志是没有固定规则的日志，可以将类似组件的日志采集到同一个日志流，例如java组件、php组件、python组件。类似组件的日志采集到一个日志流的好处是日志流的数量不至于太多而难以管理，如果您的组件数量比较少（例如小于20个），您可以将每个组件的日志采集到不同的日志流。 如果您的日志是类似NGINX网关这种可以结构化解析的日志，建议您将相同格式的日志采集到同一个日志流。因为统一的日志格式才能方便您后续统一使用SQL分析功能，实现可视化图表分析。 权限隔离： 云日志 服务的日志流支持企业项目隔离，通过为日志流设定不同的企业项目可以实现不同 IAM 用户有不同日志流的访问权限。

应用监控告警场景 场景描述：适用于使用日志来实时监控应用系统是否正常，提前发现系统故障的场景。 SQL告警仅支持全部用户使用的局点有：华南-广州、华北-北京四、华北-乌兰察布二零一、华北-乌兰察布一、华东-上海一、中国-香港、西南-贵阳一、亚太-新加坡、华南-深圳，支持部分白名单用户使用的局点有：亚太-曼谷、华北-北京一、华东-上海二、华北-乌兰察布二零二，其他局点暂不支持该功能。 使用建议： 告警统计方式：LTS有两种告警配置方式：关键词告警和SQL告警。如果您的日志是无规则的，那么适用关键词告警，例如java程序的运行日志；如果您的日志是有规则的，例如NGINX网关日志，那么适用SQL统计告警，您可以使用SQL语句对结构化的日志做统计分析，获取您想要的指标配置告警。 告警规则配置：告警触发一般需要越快越好，您的告警规则统计周期建议使用1分钟。您可以使用LTS提供的默认消息模板来发送告警。如果您有个性化的诉求，您可以在系统提供的默认模板的基础上做一些修改保存为消息模板，然后发送告警。 配置ELB/APIG等关键云服务日志告警：ELB经常用来作为应用系统的对外的入口，您可以打开ELB日志对接到LTS，然后配置ELB 5XX状态码告警，这样就可以及时发现系统是否有故障。同时您可以借助开箱即用的ELB仪表盘模板，观察应用系统整体的成功率。

云服务 日志分析 场景 如何采集云服务日志到LTS：LTS支持多种云服务接入采集到LTS，您需要在对应云服务的页面打开日志开关，即可以将日志采集到指定的日志组/日志流。 如何配置到最佳使用状态：很多云服务的日志都是支持结构化的，您可以在结构化配置页面为您的云服务日志配置对应的结构化解析规则，详细操作请参考日志结构化配置。结构化解析之后即可对日志使用SQL进行可视化分析。LTS也为很多常见的云服务日志提供了开箱即用的仪表盘，例如ELB/APIG/D CS 等开箱即用仪表盘。

等保安全合规场景 场景描述：国家网络安全法要求上市公司、金融企业需要保存关键系统日志至少180天，用户可以将这些日志采集到LTS后统一存储。 使用建议： 日志采集方式：DSL加工 云主机和容器日志，建议优先使用采集器ICAgent采集，使用ECS向导或者CCE向导。 云服务日志例如ELB/VPC日志，您可以在云服务界面打开开关将日志采集到LTS。 如果您的某些设备必须要以Syslog协议上报日志，您可以参考如何搭建Syslog服务器收集日志并采集到LTS。 日志存储方式： LTS默认支持用户存储365天，您可以修改日志存储时长。如果您需要更多的存储时长，请提交工单申请开通3年存储时长。 降低存储成本： 使用LTS在23年1130公测的冷存储特性，冷存储的日志存储单价比OBS仅贵25%，但是可以支持搜索，在易用性和成本上是最佳选择。 转储至OBS，优点是成本低，缺点是不支持搜索历史日志的内容，使用不便利。

云主机应用日志场景 场景描述：适用于用户将应用系统部署在云主机上，使用LTS统一采集和搜索日志的场景。用户的应用系统一般由多个组件（也称微服务）组成，每个组件部署在至少2台云主机上。 使用建议： 日志采集方式：建议使用采集器ICAgent采集日志，您需要在云主机上安装ICAgent，然后使用ECS接入配置日志采集路径。不建议使用SDK、API上报日志。使用ICAgent的好处是与应用系统完全解耦，无侵入，无需更改代码，使用SDK/API等方式步骤相对复杂，如果代码编写不当容易对应用系统的稳定性造成影响。 日志组规划建议：将一个应用系统的日志放在一个日志组中，日志组的名称可以使用应用系统的名称。 日志流规划建议： 如果您的日志是没有固定规则的日志，可以将类似组件的日志采集到同一个日志流，例如java组件、php组件、python组件。类似组件的日志采集到一个日志流的好处是日志流的数量不至于太多而难以管理，如果您的组件数量比较少（例如小于20个），您可以将每个组件的日志采集到不同的日志流。 如果您的日志是类似NGINX网关这种可以结构化解析的日志，建议您将有相同格式的日志采集到同一个日志流。因为统一的日志格式才能方便您后续统一使用SQL分析功能，实现可视化图表分析。 权限隔离建议：云日志服务的日志流支持企业项目隔离，通过为日志流设定不同的企业项目可以实现不同IAM用户有不同日志流的访问权限。

业务运营分析场景 场景描述：适用于在应用系统中打印业务日志，例如交易额、客户、产品等信息，然后使用LTS的SQL分析功能，输出可视化图表和仪表盘的场景。 使用建议： 日志采集方式：建议使用采集器ICAgent采集日志，将日志打印到单独的日志文件中，不要与应用程序的运行日志混在一起。不建议使用SDK、API上报日志。 日志结构化解析方式：建议您打印的业务日志使用空格分割或者JSON格式，这样方便快速配置日志结构化解析规则。 日志可视化呈现： 您可以创建自定义的仪表盘，使用类SQL语法分析已经结构化处理好的业务日志。自定义的仪表盘中，你可以添加多个图表，也可以添加过滤器，使用LTS做业务分析，可以减少采购 数据仓库 ，没有额外成本，上手更简单。 日志加工：想要分析的业务日志混在运行日志中，或者业务日志中有些敏感数据需要删除，或者有些数据缺少维度数据，建议使用DSL加工功能对日志进行规整、富化、流转、脱敏、过滤等操作。详细请参考DSL加工。

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“ 统一身份认证 ”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤。 如果委托不存在时执行接下来的步骤创建委托。 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

附录 名词解释 基本概念、云服务简介、专有名词解释 弹性 云服务器ECS ：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 华为云Flexus云服务器X实例：Flexus云服务器X实例是新一代面向中小企业和开发者打造的柔性算力云服务器。Flexus云服务器X实例功能接近ECS， 同时还具备独有特点，例如Flexus云服务器X实例具有更灵活的vCPU内存配比、支持热变配不中断业务变更规格、支持性能模式等。 弹性公网IP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 弹性文件服务SFS Turbo：为用户提供一个完全托管的共享文件存储，能够弹性伸缩至320TB规模，具备高可用性和持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 Gearbox: Gearbox是一个华为云自研开源的资源协同系统。Gearbox系统与调度平台(Slurm)协同,协调云下、云上资源使用。支持自定义业务负载指标，提供基于指标的自动扩容能力，感知业务任务状态,闲置自动释放,提供无损的弹性伸缩能力。 Slurm：是一个开源，高度可扩展的集群管理工具和作业调度系统，用于各种规模的Linux集群。 主要提供如下集中关键的特性： 资源分配 分配独占或者非独占的资源给用户，可以控制分配的时长，供用户运行作业。 作业管理框架 提供一个框架，可以帮助用户控制并行作业在所分配资源上的启动、运行和监控。 队列 提交的作业资源需求超出了可用资源，将作业放入队列。 不同的作业调度策略 提供资源预留，公平分享，回填等高级作业调度策略供使用。 其他工具 提供作业信息统计，作业状态诊断等工具。

快速部署 本章节主要帮助用户快速部署“快速构建基因测序环境”解决方案。 表1 参数说明 参数名称 类型 是否可选 参数解释 默认值 vpc_name string 必填 虚拟私有云名称，该模板新建VPC，不允许重名。取值范围：1-54个字符，支持数字、字母、_(下划线)、-（中划线）、.（点） gene-sequencing-environment-demo security_group_name string 必填 安全组名称，该模板新建安全组。取值范围：1-64个字符，支持数字、字母、_(下划线)、-（中划线）、.（点） gene-sequencing-environment-demo ecs_name string 必填 云服务器名称，命名方式为{ecs_name}-[0X]，不允许重名。取值范围：1-59个字符组成，包括字母、数字、下划线 (_)、连字符 (-) 和句点 (.) gene-sequencing-environment-demo ecs_worker_count number 必填 云服务器计算节点数量，默认3台云服务器：1台调度节点、2台计算节点。取值范围：大于等于2台，上限由用户配额决定。具体请登录华为云官网我的配额查看。 2 ecs_password string 必填 云服务器初始化密码，创建完成后，请参及时登录ECS控制台修改密码。取值范围：长度为8-26个字符，密码至少包含大写字母、小写字母、数字和特殊字符（$!@%-_=+[]:./^,{}?）中的三种，密码不能包含用户名或用户名的逆序。管理员账户默认为root。重置密码请参考3.3开始使用步骤1。 空 ecs_image string 必填 云服务器的公共操作系统镜像，具体请参考弹性云服务器类型与支持的操作系统版本，请使用Linux操作系统。 CentOS 7.6 64bit ecs_master_flavor string 必填 云服务器调度节点规格，支持弹性云服务器 ECS及华为云Flexus 云服务器X实例。Flexus 云服务器X实例规格ID命名规则为x1.?u.?g，例如2vCPUs4GiB规格ID为x1.2u.4g，具体华为云Flexus 云服务器X实例规格请参考控制台。弹性云服务器 ECS规格请参考官网弹性云服务器规格清单。 x1.4u.8g ecs_worker_flavor string 必填 云服务器计算节点规格，支持弹性云服务器 ECS及华为云Flexus 云服务器X实例。Flexus 云服务器X实例性能版规格ID命名规则为x1e.?u.?g，例如2vCPUs4GiB规格ID为x1e.2u.4g，具体华为云Flexus 云服务器X实例规格请参考控制台。弹性云服务器 ECS规格请参考官网弹性云服务器规格清单。 x1e.32u.64g system_disk_type string 必填 云服务器系统盘规格，有关磁盘类型的详细信息，请参见磁盘类型及性能介绍。可用选项有：SAS(高I/O磁盘类型)、SSD（超高I/O磁盘类型）、GPSSD（通用SSD磁盘类型）、ESSD（极端SSD类型）。 SAS system_disk_size number 必填 云服务器系统盘大小，取值范围：40-1024GB，不支持缩盘。 100 bandwidth_size number 必填 带宽大小，取值范围：1-2,000Mbit/s。 5 sfs_turbo_name string 必填 弹性服务文名称，取值范围：4-64字符，必须以字母开头，可以包含字母、数字、中划线和下划线，不能包含其他的特殊字符，不区分大小写。 sfs_turbo_size number 必填 弹性服务共享文件系统大小，取值范围：500~32768GB。 10240 charging_mode string 必填 计费模式，默认自动扣费，取值为prePaid（包年包月）或postPaid（按需计费）。 postPaid charging_unit string 必填 计费周期单位，当计费方式设置为prePaid时，此参数为必填项；当计费方式设置为postPaid时，此参数失效。有效值为：month（包月）和year（包年）。 month charging_period number 必填 云服务器ECS订购周期，仅当charging_mode为prePaid（包年/包月）生效，此时该参数为必填参数。取值范围：charging_unit=month（周期类型为月）时，取值为1-9；charging_unit=year（周期类型为年）时，取值为1-3。默认订购1月。 1 keypair_name string 必填 已有SSH登录密钥对名称，请参考3.1准备工作创建密钥对获取。 空 as_name string 必填 弹性伸缩资源名称，该模板使用新建弹性伸缩组，为集群提供弹性伸缩功能，不支持重名。取值范围：1-50个字符组成，只能由英文字母、数字、中划线（-）组成。 gene-sequencing-environment-demo AK string 必填 访问密钥AK，请参考部署文档3.1准备工作配置访问密钥获取。 空 SK string 必填 访问密钥SK，请参考部署文档3.1准备工作配置访问密钥获取。 空 project_id string 必填 用户方案部署所在区域的项目ID，请参考统一身份认证--项目获取。 空 登录华为云解决方案实践，选择“快速构建基因测序环境”。 图1 解决方案实施库 单击“一键部署”，跳转至该解决方案创建资源栈部署界面。 图2 一键部署 单击“下一步”，参考表1完成自定义参数填写。。 图3 配置参数 在配置确认页面中，单击“创建执行计划”。 图4 配置确认 单击“创建执行计划”，根据提示输入执行计划名称等，单击“确定”。 图5 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图6 部署执行计划 图7 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考表2）请及时登录费用中心，手动完成待支付订单的费用支付。 待出现“Apply required resource success”，表示该解决方案所有资源已经部署完成，等待30分钟集群内环境部署完成即可使用。 图8 执行完成 注：集群内环境部署完成前请不要登录ECS进行其他操作，否则可能导致环境部署失败。 父主题： 实施步骤

资源和成本规划 该解决方案主要部署如下资源，不同产品的花费仅供参考，具体请参考华为云官网价格详情，实际收费以账单为准。 表1 资源和成本规划（按需计费） 华为云服务 配置示例 每月预估花费 华为云Flexus 云服务器X实例(调度节点) 按需计费：0.50元/小时 区域：华北-北京四 计费模式：按需计费 规格：Flexus云服务器X实例 | 性能模式（关闭）| x1.4u.8g | 4核 | 8 GB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：1 360.00 元 华为云Flexus 云服务器X实例(计算节点) 按需计费：5.44元/小时 区域：华北-北京四 计费模式：按需计费 规格：Flexus云服务器X实例 | 性能模式（开启）| x1.32u.64g | 32核 | 64 GB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：2 7833.60元 SFS Turbo标准型 按需计费：6.4元/小时 区域：华北-北京四 计费模式：按需计费 SFS Turbo 标准型 | 10TB 4608.00 元 弹性公网IP EIP 按需计费：0.34元/小时 区域：华北-北京四 计费模式：按需计费 线路：动态BGP 公网带宽：按带宽计费 带宽大小：5Mbit/s 购买量：1 244.80 元 合计 - 13046.40 元 表2 资源和成本规划（包年包月） 华为云服务 配置示例 每月预估花费 华为云Flexus 云服务器X实例(调度节点) 区域：华北-北京四 计费模式：包年包月 规格：Flexus云服务器X实例 | 性能模式（关闭）| x1.4u.8g | 4核 | 8 GB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：1 251.00 元 华为云Flexus 云服务器X实例(计算节点) 区域：华北-北京四 计费模式：包年包月 规格：Flexus云服务器X实例 | 性能模式（开启）| x1.32u.64g | 32核 | 64 GB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：2 5254.00 元 SFS Turbo标准型 按需计费：6.4元/小时 区域：华北-北京四 计费模式：按需计费 SFS Turbo 标准型 | 10TB 4608.00 元 弹性公网IP EIP 区域：华北-北京四 计费模式：包年包月 线路：动态BGP 公网带宽：按带宽计费 带宽大小：5Mbit/s 购买量：1 115.00 元 合计 - 10228.00 元

方案架构 该解决方案部署架构如下图所示： 图1 方案架构图 该解决方案将会部署如下资源： 创建三台云服务器，自动部署HPC开源调度软件Slurm，提供基因测序HPC环境。 创建弹性服务共享文件，为基因测序HPC环境提供共享文件存储服务。 安全组可以保护云服务器的网络安全，通过配置安全组规则，限定云服务器的访问端口。 云服务器管理节点绑定弹性公网IP，用于用户访问基因测序HPC环境。 在调度节点安装Gearbox程序、配置java环境。 使用 云监控服务 ，Gearbox程序监测集群作业状态，计算自定义指标workload值，上报指标到 云监控 服务。

方案优势 高性能 提供C6（通用计算增强型）、M6（内存优化型）等计算密集型ECS实例，搭载第二代英特尔® 至强® 可扩展处理器 ，计算性能强劲稳定，配套华为自研智能高速网卡，提供超高带宽和超低时延的网络体验。 降本增效 多种规格的计算资源和存储资源按需使用，精准匹配不同流程的IT资源需求，相同流程的成本最高可节省30%。 一键部署 一键轻松部署，即可完成资源的快速发放以及基因测序HPC环境的部署。

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，组织将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如DEW:）仅适用于对应服务的操作，详情请参见表 DEW支持的服务级条件键。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点 发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DEW定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 KPS服务不支持在身份策略中的条件键中配置服务级的条件键。 表9 DEW支持的服务级条件键 服务级条件键 类型 单值/多值 说明 kms:EncryptionAlgorithm string 单值 根据请求中的加解密算法的值过滤对加解密操作的访问。 kms:GranteePrincipalType string 单值 根据请求中的授权主体类型约束过滤对CreateGrant操作的访问。 kms:GrantOperations string 多值 根据需要授权的操作过滤对CreateGrant操作的访问权限。 kms:GranteePrincipal string 单值 根据授权中的被授权方主体过滤对CreateGrant操作的访问权限。 kms:KeyOrigin string 单值 根据创建或使用操作KMS密钥的origin属性过滤对API操作的访问。 kms:KeySpec string 单值 根据创建或使用操作KMS密钥的key_spec属性过滤对API操作的访问。 kms:KeyUsage string 单值 根据创建或使用操作KMS密钥的key_usage属性过滤对API操作的访问。 kms:MessageType string 单值 根据请求中的message_type参数的值过滤对签名和验证签名操作的访问。 kms:RetiringPrincipal string 单值 根据授权中的retiring_principal筛选对CreateGrant操作的访问。 kms:SigningAlgorithm string 单值 根据请求中的signing_algorithm过滤对签名和验证操作的访问。 kms:ExpirationTime date 单值 根据请求中的expiration_time参数的值过滤对ImportKeyMaterial操作的访问。 kms:WrappingAlgorithm string 单值 根据请求中的wrapping_algorithm参数的值过滤对CreateParametersForImport操作的访问。 kms:RecipientAttestation string 单值 根据请求中证明文档的平台配置寄存器（PCR）值控制CreateDatakey、DecryptData、DecryptDatakey和CreateRandom操作的访问。 kms:MacAlgorithm string 单值 根据请求中的mac_algorithm过滤对生成/校验消息验证码操作的访问。 csms:Type string 单值 根据凭据的类型筛选访问权限。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如gaussdb:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见运算符。 GaussDB 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表13 GaussDB支持的服务级条件键 服务级条件键 类型 单值/多值 说明 gaussdb:BackupEnabled boolean 单值 按照请求参数中传递的是否开启备份策略标签键筛选访问权限。限定词选择“默认”。 gaussdb:Encrypted boolean 单值 按照请求参数中传递的是否开启磁盘加密标签键筛选访问权限。限定词选择“默认”。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于GaussDB定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中GaussDB支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于GaussDB定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下GaussDB的相关操作。 表1 GaussDB支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 gaussdb:backup:createBackup 授予创建数据库实例手动备份的权限。 write instance - gaussdb:backup:deleteBackup 授予删除备份的权限。 write instance - gaussdb:backup:listAll 授予查询备份列表的权限。 list instance - gaussdb:instance:updateBackupPolicy 授予设置备份策略的权限。 write instance gaussdb:BackupEnabled gaussdb:param:applyParam 授予应用参数模板的权限。 write instance - gaussdb:tag:create 授予添加资源标签的权限。 tagging instance - gaussdb:instance:bindEIP 授予绑定弹性公网IP的权限。 write instance - gaussdb:instance:check 授予校验实例相关信息的权限。 read instance - gaussdb:instance:createInstance 授予创建数据库实例的权限。 write instance gaussdb:BackupEnabled gaussdb:Encrypted gaussdb:instance:createDatabase 授予创建数据库的权限。 write instance - gaussdb:instance:createDatabaseSchema 授予创建数据库Schema的权限。 write instance - gaussdb:instance:createDatabaseUser 授予创建数据库用户的权限。 write instance - gaussdb:instance:deleteInstance 授予删除数据库实例的权限。 write instance - gaussdb:instance:get 授予查询实例详情的权限。 read instance - gaussdb:instance:getBackupPolicy 授予查询自动备份策略的权限。 read instance - gaussdb:instance:getBalanceStatus 授予查询实例主备平衡状态的权限。 read instance - gaussdb:instance:getDiskUsage 授予查询磁盘使用率的权限。 read instance - gaussdb:instance:getRecyclePolicy 授予查看实例回收备份策略的权限。 read instance - gaussdb:instance:downloadSslCert 授予下载实例SSL证书的权限。 read instance - gaussdb:instance:grantDatabasePrivilege 授予授权数据库账号的权限。 write instance - gaussdb:instance:listAll 授予查询数据库实例列表的权限。 list instance - gaussdb:instance:listPublicIps 授予查询实例已绑定EIP列表的权限。 list instance - gaussdb:instance:listComponents 授予查询实例组件列表的权限。 list instance - gaussdb:instance:listDatabases 授予查询数据库列表的权限。 list instance - gaussdb:instance:listDatabaseUsers 授予查询数据库用户列表的权限。 list instance - gaussdb:tag:listAll 授予查询资源标签列表的权限。 list instance - gaussdb:quota:listAll 授予查询配额列表的权限。 list instance - gaussdb:instance:listRecoverableTimes 授予查询备份可恢复时间段的权限。 list instance - gaussdb:instance:listSchemas 授予查询数据库Schema列表的权限。 list instance - gaussdb:instance:renameInstance 授予重置实例名称的权限。 write instance - gaussdb:instance:resetPassword 授予重置数据库密码的权限。 write instance - gaussdb:instance:resizeFlavor 授予变更实例规格的权限。 write instance - gaussdb:instance:restartInstance 授予重启数据库实例的权限。 write instance - gaussdb:instance:setRecyclePolicy 授予设置实例回收备份策略的权限。 write instance - gaussdb:instance:switchShard 授予分片节点主备切换的权限。 write instance - gaussdb:instance:extend 授予扩容相关操作的权限。 write instance - gaussdb:param:update 授予修改参数组的权限。 write instance - gaussdb:param:check 授予校验参数组的权限。 read instance - gaussdb:param:copy 授予复制参数模板的权限。 write instance - gaussdb:param:createParam 授予创建参数组的权限。 write instance - gaussdb:param:deleteParam 授予删除参数组的权限。 write instance - gaussdb:param:get 授予查询参数配置详情的权限。 read instance - gaussdb:param:compare 授予比较两个参数模板之间差异的权限。 read instance - gaussdb:param:listAll 授予查询参数组列表的权限。 list instance - gaussdb:param:reset 授予重置参数模板的权限。 write instance - gaussdb:quota:update 授予修改配额的权限。 write instance - gaussdb:task:listAll 授予查询任务列表的权限。 list instance - gaussdb:task:delete 授予删除任务记录的权限。 write instance - gaussdb:task:get 授予查询任务详情的权限。 read instance - GaussDB的API通常对应着一个或多个授权项。如下表展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 实例管理 权限 API 对应的授权项 依赖的授权项 创建数据库实例 POST /v3/{project_id}/instances gaussdb:instance:createInstance - 扩容数据库实例的磁盘空间 POST /v3/{project_id}/instances/{instance_id}/action gaussdb:instance:extend - 删除数据库实例 DELETE /v3/{project_id}/instances/{instance_id} gaussdb:instance:delete - 查询数据库实例列表 GET /v3/{project_id}/instances gaussdb:instance:listAll - 重置数据库密码 POST /v3/{project_id}/instances/{instance_id}/password gaussdb:instance:resetPassword - 修改实例名称 PUT /v3/{project_id}/instances/{instance_id}/name gaussdb:instance:rename - 重启数据库实例 POST /v3/{project_id}/instances/{instance_id}/restart gaussdb:instance:restart - 分片节点主备切换 POST /v3/{project_id}/instances/{instance_id}/switch-shard gaussdb:instance:switchShard - 查询实例的组件列表 GET /v3/{project_id}/instances/{instance_id}/components gaussdb:instance:listComponents - 规格变更 PUT /v3/{project_id}/instance/{instance_id}/flavor gaussdb:instance:resizeFlavor - 查询实例主备平衡状态 GET /v3/{project_id}/instances/{instance_id}/balance gaussdb:instance:getBalanceStatus - 查询解决方案模板配置 GET /v3/{project_id}/deployment-form gaussdb:instance:listAll - 查询已绑定的EIP列表 GET /v3/{project_id}/instances/{instance_id}/public-ips?offset={offset}&limit={limit} gaussdb:instance:listPublicIps - 弱密码校验 POST /v3/{project_id}/weak-password-verification gaussdb:instance:check - 绑定/解绑弹性公网IP POST /v3/{project_id}/instances/{instance_id}/nodes/{node_id}/public-ip gaussdb:instance:bindPublicIp - 查询实例SSL证书下载地址 GET /v3/{project_id}/instances/{instance_id}/ssl-cert/download-link gaussdb:instance:downloadSslCert - 查询租户的实例配额 GET /v3/{project_id}/project-quotas?type={type} gaussdb:quota:listAll - 表3 参数配置 权限 API 对应的授权项 依赖的授权项 获取参数模板列表 GET /v3/{project_id}/configurations?offset={offset}&limit={limit} gaussdb:param:listAll - 获取指定实例的参数 GET /v3/{project_id}/instances/{instance_id}/configurations gaussdb:instance:get - 修改指定实例的参数 PUT /v3/{project_id}/instances/{instance_id}/configurations gaussdb:param:update - 创建参数模板 POST /v3/{project_id}/configurations gaussdb:param:createParam - 删除参数模板 DELETE /v3/{project_id}/configurations/{config_id} gaussdb:param:delete - 查询参数模板详情 GET /v3/{project_id}/configurations/{config_id} gaussdb:param:get - 复制参数模板 POST /v3/{project_id}/configurations/{config_id}/copy gaussdb:param:copy - 重置参数组 POST /v3/{project_id}/configurations/{config_id}/reset gaussdb:param:reset - 比较两个参数组模板之间的差异 POST /v3/{project_id}/configurations/comparison gaussdb:param:compare - 查询可应用实例列表 GET /v3/{project_id}/configurations/{config_id}/applicable-instances gaussdb:instance:listAll - 校验参数组名称是否存在 GET /v3/{project_id}/configurations/name-validation?name={name} gaussdb:param:check - 应用参数模板 PUT /v3/{project_id}/configurations/{config_id}/apply gaussdb:param:apply - 查询参数模板的应用记录 GET /v3/{project_id}/configurations/{config_id}/applied-histories gaussdb:param:listAll - 查询参数模板的修改历史 GET /v3/{project_id}/configurations/{config_id}/histories gaussdb:param:listAll - 表4 备份管理 权限 API 对应的授权项 依赖的授权项 设置自动备份策略 PUT /v3/{project_id}/instances/{instance_id}/backups/policy gaussdb:instance:updateBackupPolicy - 查询自动备份策略 GET /v3/{project_id}/instances/{instance_id}/backups/policy gaussdb:instance:getBackupPolicy - 查询备份列表 GET /v3/{project_id}/backups?instance_id={instance_id}&backup_id={backup_id}&backup_type={backup_type}&offset={offset}&limit={limit}&begin_time={begin_time}&end_time={end_time} gaussdb:backup:listAll - 创建手动备份 POST /v3/{project_id}/backups gaussdb:backup:create - 删除手动备份 DELETE /v3/{project_id}/backups/{backup_id} gaussdb:backup:delete - 查询可恢复时间段 GET /v3/{project_id}/instances/{instance_id}/restore-time?date={date} gaussdb:instance:listRecoverableTimes - 恢复到新实例 POST /v3/{project_id}/instances gaussdb:instance:createInstance - 查询可用于备份恢复的实例列表 GET /v3/{project_id}/restorable-instances gaussdb:instance:listAll - 根据时间点或者备份文件查询原实例信息 GET /v3/{project_id}/instance-snapshot?instance_id={instance_id}&backup_id={backup_id}&restore_time={restore_time} gaussdb:instance:get - 表5 引擎版本和规格 权限 API 对应的授权项 依赖的授权项 查询数据库引擎的版本 GET /v3/{project_id}/datastore/versions gaussdb:instance:listAll - 查询数据库规格 GET /v3/{project_id}/flavors?limit={limit}&offset={offset}&ha_mode={ha_mode}&version={version}&spec_code={spec_code} gaussdb:instance:listAll - 查询引擎列表 GET /v3/{project_id}/datastores gaussdb:instance:listAll - 查询实例可变更规格 GET /v3/{project_id}/instances/{instance_id}/available-flavors gaussdb:instance:listAll - 表6 管理数据库和用户 权限 API 对应的授权项 依赖的授权项 创建数据库 POST /v3/{project_id}/instances/{instance_id}/database gaussdb:instance:createDatabase - 创建数据库用户 POST /v3/{project_id}/instances/{instance_id}/db-user gaussdb:instance:createDatabaseUser - 创建数据库SCHEMA POST /v3/{project_id}/instances/{instance_id}/schema gaussdb:instance:createDatabaseSchema - 授权数据库账号 POST /v3/{project_id}/instances/{instance_id}/db-privilege gaussdb:instance:grantDatabasePrivilege - 重置数据库账号密码 PUT /v3/{project_id}/instances/{instance_id}/db-user/password gaussdb:instance:resetPassword - 查询数据库列表 GET /v3/{project_id}/instances/{instance_id}/databases gaussdb:instance:listDatabases - 查询数据库用户列表 GET /v3/{project_id}/instances/{instance_id}/db-users gaussdb:instance:listDatabaseUsers - 查询数据库SCHEMA列表 GET /v3/{project_id}/instances/{instance_id}/schemas gaussdb:instance:listSchemas - 表7 标签管理 权限 API 对应的授权项 依赖的授权项 查询实例标签 GET /v3/{project_id}/instances/{instance_id}/tags gaussdb:tag:listAll - 查询项目标签 GET /v3/{project_id}/tags gaussdb:tag:listAll - 查询预定义标签 GET /v3/{project_id}/predefined-tags gaussdb:tag:listAll - 添加实例标签 POST /v3/{project_id}/instances/{instance_id}/tags gaussdb:tag:create - 表8 磁盘管理 权限 API 对应的授权项 依赖的授权项 查询实例存储空间使用信息 GET /v3/{project_id}/instances/{instance_id}/volume-usage gaussdb:instance:getDiskUsage - 查询数据库磁盘类型 GET /v3/{project_id}/storage-type?version={version}&ha_mode={ha_mode} gaussdb:instance:listAll - 表9 配额管理 权限 API 对应的授权项 依赖的授权项 修改企业项目配额 PUT /v3/{project_id}/enterprise-projects/quotas gaussdb:quota:update - 查询企业项目配额组 GET /v3/{project_id}/enterprise-projects/quotas gaussdb:quota:listAll - 表10 任务管理 权限 API 对应的授权项 依赖的授权项 获取任务信息 GET /v3/{project_id}/jobs?id={id} gaussdb:task:get - 查询任务列表 GET /v3/{project_id}/tasks gaussdb:task:listAll - 删除任务记录 DELETE /v3/{project_id}/jobs/{job_id} gaussdb:task:delete - 表11 回收站 权限 API 对应的授权项 依赖的授权项 设置回收站策略 PUT /v3/{project_id}/recycle-policy gaussdb:instance:setRecyclePolicy - 查看回收站策略 GET /v3/{project_id}/recycle-policy gaussdb:instance:getRecyclePolicy - 查询回收站所有引擎实例列表 GET /v3/{project_id}/recycle-instances gaussdb:instance:listAll -

操作（Action） 操作（Action）即为身份策略中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在身份策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在身份策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于GaussDB(for MySQL)定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于GaussDB(for MySQL)定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下GaussDB(for MySQL)的相关操作。 表1 GaussDB(for MySQL)支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 gaussdbformysql:backup:modifyPolicy 授予设置自动备份策略的权限。 permission_management - - gaussdbformysql:param:delete 授予删除参数组的权限。 permission_management - - gaussdbformysql:instance:switchover 授予手动主备切换的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:auditlog:list 授予实例获取审计日志列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:backup:create 授予创建手动备份权限。 write - - gaussdbformysql:backup:delete 授予删除备份的权限。 write - - gaussdbformysql:backup:getRestoreTime 授予获取实例可恢复时间点的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:backup:list 授予获取备份列表的权限。 list - - gaussdbformysql:backup:listPolicy 授予获取备份策略的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:database:create 授予实例创建数据库的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:database:delete 授予实例删除数据库的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:database:list 授予实例查询数据库列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:database:modify 授予修改数据库相关信息的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:getSecondLevelMonitoringConfig 授予查询秒级监控配置的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:addReadOnlyNodes 授予添加只读节点的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:create 授予创建实例的权限。 write - g:EnterpriseProjectId gaussdbformysql:instance:delete 授予删除实例的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:deleteSqlFilterRules 授予删除Sql限流规则的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:get 授予获取实例详情的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:getDcc 授予获取专属资源池详情的权限。 read - - gaussdbformysql:instance:getSqlFilterRule 授予获取SQL限流规则的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:getSqlFilterStatus 授予获取SQL限流开关状态的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:list 授予获取实例列表的权限。 list - - gaussdbformysql:proxy:list 授予获取数据库代理列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:proxy:listSpec 授予获取数据库代理规格列表的权限。 list - - gaussdbformysql:instance:listDcc 授予获取专属资源列表的权限。 list - - gaussdbformysql:instance:listEngine 授予查询引擎信息的权限。 list - - gaussdbformysql:instance:listSpec 授予查询规格列表的权限。 list - - gaussdbformysql:auditlog:operate 授予开启关闭审计日志的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:bindPublicIp 授予实例绑定公网IP的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:deleteReadOnlyNodes 授予实例删除只读节点的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyVip 授予实例修改读写内网地址的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyMaintenanceWindow 授予修改实例运维时间窗的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySecondLevelMonitorPolicy 授予修改实例秒级监控频率的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyPassword 授予修改实例密码的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyPort 授予修改实例端口的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySecurityGroup 授予修改实例安全组的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySSL 授予修改SSL开关的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyStorageSize 授予实例磁盘扩缩容的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:rename 授予修改实例名称的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:unbindPublicIp 授予实例解绑公网IP的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:upgrade 授予实例升级内核版本的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:user:create 授予实例创建数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:addNodes 授予数据库代理节点扩容的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:create 授予开启数据库代理的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:delete 授予关闭数据库代理的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifySpec 授予数据库代理规格变更的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifyWeight 授予修改数据库代理权重的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySpec 授予变更实例规格的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:restart 授予重启实例的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:restoreInPlace 授予备份恢复到已有实例的权限。 permission_management - - gaussdbformysql:instance:setSqlFilterRules 授予设置SQL限流规则的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:setSqlFilterStatus 授予开启/关闭SQL限流的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:tableRestore 授予PITR库表级恢复的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:tag:deal 授予添加/删除资源标签的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:log:getErrorLogs 授予获取错误日志的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:log:getSlowLogs 授予获取慢日志的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:param:apply 授予应用参数组的权限。 permission_management - - gaussdbformysql:param:create 授予创建参数组的权限。 write - - gaussdbformysql:param:get 授予获取参数组详情的权限。 read - - gaussdbformysql:param:list 授予获取参数组列表的权限。 list - - gaussdbformysql:param:update 授予修改参数组的权限。 write - - gaussdbformysql:proxy:modifyConsistency 授予修改数据库代理会话一致性的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifyTransactionSplit 授予开启/关闭数据库代理事务拆分的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:quota:list 授予查询配额的权限。 read - - gaussdbformysql:quota:modify 授予修改配额的权限。 write - - gaussdbformysql:tag:list 授予查询标签列表的权限。 list - - gaussdbformysql:task:delete 授予删除任务的权限。 write - - gaussdbformysql:task:list 授予获取任务列表的权限。 list - - gaussdbformysql:user:delete 授予删除数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:grantPrivilege 授予修改数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:list 授予查询数据库用户列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:user:modify 授予查询数据库用户备注的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:revokePrivilege 授予删除数据库用户权限的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:updatePassWord 授予修改数据库用户密码的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:switchConnectionPoolType 授予更改数据库代理连接池类型的权限。 permission_management instance * g:EnterpriseProjectId GaussDB(for MySQL)的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v3/{project_id}/datastores/{database_name} gaussdbformysql:instance:listEngine - GET /v3/{project_id}/flavors/{database_name} gaussdbformysql:instance:listSpec - POST /v3/{project_id}/instances gaussdbformysql:instance:create - GET /v3.1/{project_id}/instances gaussdbformysql:instance:list - POST /v3/{project_id}/instances/{instance_id}/restart gaussdbformysql:instance:restart - DELETE /v3/{project_id}/instances/{instance_id} gaussdbformysql:instance:delete - GET /v3.1/{project_id}/instances/{instance_id} gaussdbformysql:instance:get - GET /v3.1/{project_id}/instances/details gaussdbformysql:instance:get - POST /v3/{project_id}/instances/{instance_id}/nodes/enlarge gaussdbformysql:instance:addReadOnlyNodes - DELETE /v3/{project_id}/instances/{instance_id}/nodes/{node_id} gaussdbformysql:instance:deleteReadOnlyNodes - POST /v3/{project_id}/instances/{instance_id}/volume/extend gaussdbformysql:instance:modifyStorageSize - PUT /v3/{project_id}/instances/{instance_id}/backups/policy/update gaussdbformysql:backup:modifyPolicy - PUT /v3/{project_id}/instances/{instance_id}/name gaussdbformysql:instance:rename - POST /v3/{project_id}/instances/{instance_id}/password gaussdbformysql:instance:modifyPassword - POST /v3/{project_id}/instances/{instance_id}/action gaussdbformysql:instance:modifySpec - GET /v3/{project_id}/dedicated-resources gaussdbformysql:instance:listDcc - GET /v3/{project_id}/dedicated-resource/{dedicated_resource_id} gaussdbformysql:instance:getDcc - POST /v3/{project_id}/instances/{instance_id}/proxy gaussdbformysql:proxy:create - DELETE /v3/{project_id}/instances/{instance_id}/proxy gaussdbformysql:proxy:delete - GET /v3/{project_id}/instances/{instance_id}/proxies gaussdbformysql:proxy:list - GET /v3/{project_id}/instances/{instance_id}/proxy/flavors gaussdbformysql:proxy:listSpec - POST /v3/{project_id}/instances/{instance_id}/proxy/enlarge gaussdbformysql:proxy:addNodes - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/flavor gaussdbformysql:proxy:modifySpec - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/weight gaussdbformysql:proxy:modifyWeight - POST /v3/{project_id}/instances/{instance_id}/proxy/transaction-split gaussdbformysql:proxy:modifyTransactionSplit - POST /v3.1/{project_id}/instances/{instance_id}/error-logs gaussdbformysql:log:getErrorLogs - POST /v3.1/{project_id}/instances/{instance_id}/slow-logs gaussdbformysql:log:getSlowLogs - GET /v3/{project_id}/project-quotas gaussdbformysql:quota:list - GET /v3/{project_id}/quotas gaussdbformysql:quota:list - POST /v3/{project_id}/quotas gaussdbformysql:quota:modify - PUT /v3/{project_id}/quotas gaussdbformysql:quota:modify - POST /v3/{project_id}/backups/create gaussdbformysql:backup:create - GET /v3/{project_id}/backups gaussdbformysql:backup:list - GET /v3/{project_id}/instances/{instance_id}/backups/policy gaussdbformysql:backup:listPolicy - GET /v3/{project_id}/configurations gaussdbformysql:param:list - POST /v3/{project_id}/configurations gaussdbformysql:param:create - DELETE /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:delete - GET /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:get - PUT /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:update - PUT /v3/{project_id}/configurations/{configuration_id}/apply gaussdbformysql:param:apply - GET /v3/{project_id}/instances/{instance_id}/tags gaussdbformysql:tag:list - GET /v3/{project_id}/tags gaussdbformysql:tag:list - POST /v3/{project_id}/instances/{instance_id}/tags/action gaussdbformysql:tag:deal - PUT /v3/{project_id}/instances/{instance_id}/monitor-policy gaussdbformysql:instance:modifySecondLevelMonitorPolicy - GET /v3/{project_id}/instances/{instance_id}/monitor-policy gaussdbformysql:instance:getSecondLevelMonitoringConfig - POST /v3/{project_id}/instances/{instance_id}/nodes/{node_id}/restart gaussdbformysql:instance:restart - POST /v3/{project_id}/instance/{instance_id}/audit-log/switch gaussdbformysql:auditlog:operate - GET /v3/{project_id}/instance/{instance_id}/audit-log/switch-status gaussdbformysql:auditlog:list - GET /v3/{project_id}/jobs gaussdbformysql:task:list - POST /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:create - GET /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:list - DELETE /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:delete - PUT /v3/{project_id}/instances/{instance_id}/db-users/comment gaussdbformysql:user:modify - PUT /v3/{project_id}/instances/{instance_id}/db-users/password gaussdbformysql:user:updatePassWord - POST /v3/{project_id}/instances/{instance_id}/db-users/privilege gaussdbformysql:user:grantPrivilege - DELETE /v3/{project_id}/instances/{instance_id}/db-users/privilege gaussdbformysql:user:revokePrivilege - GET /v3/{project_id}/instances/{instance_id}/databases/charsets gaussdbformysql:database:list - POST /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:create - GET /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:list - DELETE /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:delete - PUT /v3/{project_id}/instances/{instance_id}/databases/comment gaussdbformysql:database:modify - POST /v3/{project_id}/instances/{instance_id}/sql-filter/switch gaussdbformysql:instance:setSqlFilterStatus - GET /v3/{project_id}/instances/{instance_id}/sql-filter/switch gaussdbformysql:instance:getSqlFilterStatus - PUT /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:setSqlFilterRules - GET /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:getSqlFilterRule - DELETE /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:deleteSqlFilterRules - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/session-consistence gaussdbformysql:proxy:modifyConsistency - GET /v3/{project_id}/immediate-jobs gaussdbformysql:task:list - GET /v3/{project_id}/scheduled-jobs gaussdbformysql:task:list - DELETE /v3/{project_id}/scheduled-jobs gaussdbformysql:task:delete - DELETE /v3/{project_id}/jobs/{job_id} gaussdbformysql:task:delete - POST /v3/{project_id}/instances/{instance_id}/db-upgrade gaussdbformysql:instance:upgrade - PUT /v3/{project_id}/instances/{instance_id}/ssl-option gaussdbformysql:instance:modifySSL - PUT /v3/{project_id}/instances/{instance_id}/public-ips/bind gaussdbformysql:instance:bindPublicIp - PUT /v3/{project_id}/instances/{instance_id}/public-ips/unbind gaussdbformysql:instance:unbindPublicIp - PUT /v3/{project_id}/instances/{instance_id}/switchover gaussdbformysql:instance:switchover - PUT /v3/{project_id}/instances/{instance_id}/ops-window gaussdbformysql:instance:modifyMaintenanceWindow - PUT /v3/{project_id}/instances/{instance_id}/security-group gaussdbformysql:instance:modifySecurityGroup - PUT /v3/{project_id}/instances/{instance_id}/internal-ip gaussdbformysql:instance:modifyVip - PUT /v3/{project_id}/instances/{instance_id}/port gaussdbformysql:instance:modifyPort - PUT /v3/{project_id}/instances/{instance_id}/alias gaussdbformysql:instance:rename - DELETE /v3/{project_id}/backups/{backup_id} gaussdbformysql:backup:delete - POST /v3.1/{project_id}/instances/{instance_id}/restore/tables gaussdbformysql:instance:tableRestore - POST /v3/{project_id}/instances/restore gaussdbformysql:instance:restoreInPlace - GET /v3/{project_id}/instances/{instance_id}/restore-time gaussdbformysql:backup:getRestoreTime - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/connection-pool-type gaussdbformysql:proxy:switchConnectionPoolType -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如dns:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DNS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 DNS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 dns:RecordSetNames string 多值 根据指定的记录集名称过滤访问。记录集名称所有字母必须为小写形式，不得带有结尾圆点。 dns:RecordSetTypes string 多值 根据指定的记录集类型过滤访问。取值范围：A、AAAA、MX、CNAME、TXT、NS、SRV、CAA。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：。 服务级条件键（前缀通常为服务缩写，如geminidb:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见。 GeminiDB定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 GeminiDB支持的服务级条件键 服务级条件键 类型 单值/多值 说明 geminidb:BackupEnabled boolean 单值 按照请求参数中传递的是否开启备份策略标签键筛选访问权限。限定词选择“默认”。 geminidb:Encrypted boolean 单值 按照请求参数中传递的是否开启磁盘加密标签键筛选访问权限。限定词选择“默认”。

解决方案 检查安全组规则。 使用弹性公网IP连接数据库实例时，必须要将弹性公网IP和3306端口加入安全组“sg-default-smb”的入方向规则。具体操作，请参见添加安全组规则。 图1 添加入方向规则 检查“网络ACL”规则。 排查“网络ACL”是否放通。查看“网络ACL”状态，查看当前是开启状态还是关闭状态。 检查“弹性公网IP”绑定的网卡是否在“网络ACL”关联的子网下。 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 相同区域主机进行ping测试。 用同一区域的其它Flexus云服务器X实例去ping该公网IP，如果可以ping通说明虚拟网络正常，请联系客服处理问题。

为什么FlexusRDS不支持MyISAM引擎 Flexus云数据库RDS目前不支持MyISAM引擎，主要原因如下： MyISAM引擎表不支持事务，仅支持表级别锁，导致读写操作相互冲突。 MyISAM对数据完整性的保护存在缺陷，且这些缺陷会导致数据库数据的损坏甚至丢失。 MyISAM在出现数据损害情况下，很多都需要手动修复，无法通过产品服务提供的恢复功能进行数据恢复。 MyISAM向InnoDB的迁移透明，大多数情况不需要改动建表的代码，云数据库自动转换InnoDB即可完成迁移。

FlexusRDS的root账号为什么没有super权限 Flexus云数据库RDS没有给root账号提供super权限。因为一旦用户拥有了super权限，就可以执行很多管理性的命令，比如reset master，set global…，kill线程，reset slave等，很有可能导致主备关系异常而出现故障。 对于客户要求super权限的场景，只能通过Flexus云数据库RDS提供的服务化能力处理，或者通过其他手段绕过super权限的限制。示例如下： 示例1：登录数据库执行 set global 参数名=参数值; 命令来修改参数，这在FlexusRDS是被禁止的，参数修改只能通过界面的参数修改功能来实现。 示例2：执行 create definer='root'@'%' trigger(procedure)… 命令出现报错，这也是因为没有super权限导致的，只需要去除definer='root'关键字即可。

FlexusRDS的备份策略是什么 当用户购买实例后，单击实例名称，然后选择“备份恢复”页签，提供手动备份和自动备份两种功能： 默认是开启自动备份，为了给您最大限度的节约备份空间和费用，自动备份数据保留7天，超过7天的自动备份数据会删除。如果需要更长的备份保留时间，请使用手动备份。 为了丰富用户选择，提供手动物理备份功能，您可以根据业务需要，进行手动备份，手动备份数据可以下载到本地保存。手动备份数据不受7天自动删除限制，建议您使用手动备份+恢复的方式，可以恢复7天之外的数据。 无论是自动备份还是手动备份都是存储在OBS上的，占用OBS赠送空间。 Flexus云数据库RDS备份使用的是开源软件extrabackup。

FlexusRDS的备份是如何收费的 Flexus云数据库RDS的全量备份和增量备份都是存储在OBS上。另外，FlexusRDS有100%的赠送空间。举个例子，假如用户购买实例套餐时，规格选择了2U4GB_120GB，那么用户会拥有一个2U4GB的实例、120GB存储空间、120GB OBS备份空间。所有的备份数据合计，只有超过120GB才开始计费。备份空间只能按需计费，收费标准参考云数据库备份空间计费规则。

FlexusRDS怎么扩CPU/内存规格 Flexus云数据库RDS提升了客户使用效率，简化了业务管理，节省的成本给客户进行让利，不提供规格变更直接服务。 建议客户购买前做好业务规划，可以提交工单，联系客服获取专业性建议。规划好业务后直接按套餐化购买，购买后按套餐的配置使用，不提供直接进行规格变更的功能。 针对客户CPU/内存不够使用的场景，我们通过备份恢复功能提供了灵活的解决方案。 例如，通过备份恢复到新实例，在新实例的选择过程中，您可以选择新的符合业务需要的规格。

计费项 FlexusRDS对您选择的数据库规格、备份存储（可选）和公网流量（可选）收费。 表1 计费项说明 计费项 计费说明 数据库规格 提供包年/包月计费方式。费用详情以实际界面为准。 备份存储（可选） FlexusRDS提供了部分免费存储空间，用于存放您的备份数据，其总容量约为您购买容量的100%。备份存储用量超过数据库存储空间的100%，开始计费。 公网流量（可选） FlexusRDS支持公网访问，公网访问会产生带宽流量费。