华为云用户手册

  • 方案概述 Elasticsearch集群支持多种连接方式,根据业务使用的编程语言可以自行选择接入方式。针对 CSS 服务的3种不同安全模式的集群(非安全模式的集群、安全模式+HTTP协议的集群、安全模式+HTTPS协议的集群),不同客户端的支持情况请参见表1。 CS S提供了可视化的Kibana和Cerebro界面用于监控、使用集群。在CSS服务控制台,可以快速接入每个Elasticsearch集群的Kibana和Cerebro。 其他客户端也可以接入并使用Elasticsearch集群,如Curl命令行、Java客户端、Python客户端等形式,亦或是使用Hadoop提供的客户端实现更复杂的应用。Elasticsearch官方提供了的Java客户端,包括Rest High Level Client、Rest Low Level Client和Transport Client。建议使用对应Elasticsearch集群版本的Java客户端,否则可能存在兼容性问题。 表1 不同客户端接入集群的支持情况 客户端 非安全模式的集群 安全模式+HTTP协议的集群 安全模式+HTTPS协议的集群 Kibana 3种安全模式的集群都支持,安全模式的集群登录Kibana时需要输入用户名和密码进行安全认证,接入集群的操作请参见快速访问Elasticsearch集群。 Cerebro 3种安全模式的集群都支持,安全模式的集群登录Cerebro时需要输入用户名和密码进行安全认证,接入集群的操作请参见快速访问Elasticsearch集群。 Curl 3种安全模式的集群都支持,接入命令有差别,具体请参见通过Curl命令行接入集群。 Java(Rest High Level Client) 3种安全模式的集群都支持,接入命令有差别,具体请参见通过Rest High Level Client接入集群。 Java(Rest Low Level Client) 3种安全模式的集群都支持,接入命令有差别,具体请参见通过Rest Low Level Client接入集群。 Java(Transport Client) 只支持非安全模式的集群,具体请参见通过Transport Client接入集群。 不支持 不支持 Java(Spring Boot) 3种安全模式的集群都支持,接入命令有差别,具体请参见通过Spring Boot接入集群。 Python 3种安全模式的集群都支持,接入命令有差别,具体请参见通过Python接入集群。 ES-Hadoop 3种安全模式的集群都支持,接入命令有差别,具体请参见通过ES-Hadoop实现Hive读写Elasticsearch数据。 父主题: 接入集群
  • 集群架构 CSS支持读写分离、冷热分离、存算分离、角色分离、跨AZ部署等多种架构。 表1 集群架构适用的场景 架构 适用场景 用户价值 读写分离 生产业务,读多写少,数据写入后实时可见性要求低(10s+)。 高并发、低时延 冷热分离 日志业务,冷数据查询性能要求低。 低成本 存算分离 日志业务,冷数据不需要更新,并且冷数据查询性能要求低(10s+);可以和冷热分离结合使用,构建“热-温-冷”3级存储。 低成本 角色分离 集群的规模较大、集群中的索引数量较多或集群可扩展性要求高。 高可用 跨AZ部署 对可用性要求非常高的生产业务,或采用本地盘时。 高可用
  • 集群节点数量 当CSS集群的构架与机型确定后,集群的节点数主要由业务对性能的要求决定。 表3 节点数量计算方式 类型 性能基线 节点数量计算方式 示例 写入节点 对于挂载云盘的节点,其单核写入性能基线为1MB/s。 对于超高IO型的节点,其单核写入性能基线为1.5MB/s。 写入节点数=业务峰值时的流量/单节点的核数/单核写入性能基线*副本数 业务峰值写入100MB/s,使用16u64g的节点,预计需要100/16/1*2 = 12个节点。 查询节点 相同节点,不同业务场景下的性能差异非常大,单节点的性能基线难以评估。这里以业务平均查询响应时间作为查询的性能基线进行测算。 查询节点数=QPS/{单节点的核数*3/2/平均查询响应时间(s)}*分片数量 查询QPS要求1000,平均查询响应时间100ms,索引规划3个分片,使用16u64g的节点,预计需要1000/{16*3/2/0.1}*3 = 12个节点。 节点数量 / 节点数量= 写入节点数 + 查询节点数 节点数= 写入节点数 + 查询节点数 = 24个节点数。 在同等集群性能的情况下,建议优先选择高配置少节点的集群。例如32C64G*3 节点的集群相比于8C16G*12节点的集群,在集群稳定性和扩容的便捷性上都有一定的优势。因为高配置的集群如果遇到性能瓶颈需要扩容,则只需要横向扩容,即向集群中加入更多同等配置的节点即可;而低配置的集群在扩容节点配置时,则需要纵向扩容。
  • 会议+直播 移动端 用户可在移动端通过“数字化办公”应用直接开启一个直播会议,方便快捷。 在“业务”界面,搜索“数字化会议”应用,点击“视频会议>预约会议”,在高级设置中开启“开启直播”,可预约一个直播会议。 预约会议成功后,单击“分享会议”可邀请与会者加入会议,复制直播地址发给需要观看直播的观众。 观众进入直播后,可进行评论。 PC端 登录个人会议管理平台,创建会议直播 在 WeLink PC端点击头像,选择“个人会议管理平台”进入。 在“创建会议”>“高级参数”界面,“会议直播”栏选择“开启”、“直播间”栏选择“WeLink直播”,点击创建即可。 开始会议直播 在个人会议管理平台点击“我的会议”,以主持人身份加入会议,开始会议。 点击“进入会控”>“启动录制/直播”,开始会议直播。 直播注意事项请参见:WeLink直播注意事项.docx
  • 直播互动 用户可在移动端观看直播,发表评论等。 主播在PC端共享文档,用户可在移动端观看文档演示,自由切换文档演示窗口和视频窗口 公告支持由主播进行发布,并在评论区中展示(主播发布公告需在PC端操作,移动端仅支持公告展示) 支持主播在PC端进行公告颜色设置,移动端公告增加颜色显示 支持匿名评论(需在先PC端开启允许匿名评论) 小窗模式 新增小窗模式,获取手机悬浮窗权限后,可小窗观看直播。 点击右上角的按钮,可进入小窗模式。 直播中及直播回看均支持小窗模式,小化后的窗口可在界面内自由拖动。 连麦 观众可在移动端与主播进行连麦。同时连麦人数上限为8人。移动端连麦功能使用步骤如下: 主播开启连麦功能。 主播在PC客户端开启直播后,在“连麦设置”中开启“允许观众连麦”功能。 观众发起连麦申请。 观众在移动端进入直播后,点击右下角的连麦按钮,点击“发送申请”,申请连麦。 主播在直播界面,可选择接通连麦或者拒绝连麦。 开始连麦。 如果主播接通连麦后,观众可在移动端,点击“开始连麦”,开始与主播连麦。还可设置是否开启摄像头,是否开启麦克风。 结束连麦。 观众如需结束连麦,点击连麦界面的,在弹出的“连麦管理”界面,点击“结束”,即可结束与主播的连麦。
  • 回放直播 录制/回放直播 “直播”界面的“历史直播”,可以回放录制的直播。 在发起直播界面,勾选“保存回放”。 直播结束后,点击“历史直播”,进入“历史直播”界面。 选择要回放的直播,即可观看回放。 精选直播/精彩回放 精选直播:管理员可在直播应用后台,将未开始或直播中的直播设置为“精选直播”,企业全员可以在“推荐”中查看该直播。 精彩回放:管理员可在直播应用后台,将已结束且支持回看直播设置为“精选回看”,企业全员可以在“推荐”中查看该回看,方便员工观看学习。
  • 移动端操作步骤 登录移动端蓝版Welink,单击底部导航栏“业务”,进入业务页面。 在“业务”页面选择We码应用,单击应用进入应用填写页面。 选择团队入口。 个人入口 在选择团队页面选择“ME”团队,进入个人团队页面。 全员入口 在选择团队页面选择“全员”,进入团队页面。 选择模板,填写表单信息,单击“发布”。 事件发布完成,单击底部导航栏“处理”,可查看待处理及已完成的事件。 待处理:ME团队下该应用内所有未完成的事件。 已完成:ME团队下该应用内所有已完成的事件,支持根据事件模板筛选。 单击底部导航栏“看板”,支持查看数据视图。
  • 常见Q&A Q:已经发布的表单,支持再次编辑吗? A:支持 Q:已发布的表单,编辑后,之前分享的地址/二维码会变化吗? A:不变化 Q:表单可以分享给企业外的人吗? A:可以 Q:支持微信直接分享吗? A:支持 Q:表单数据导出来是什么文件形式? A:Excel表格形式 Q:表单生成的二维码,能用微信扫码吗? A:可以,但只有任何人填写的表单,才能通过微信填写 Q:编辑完后的表单可以重新排序吗? A:用鼠标拖动题目至你想要的位置,即可完成排序 Q:是否允许设置匿名填表? A:允许 Q:周期填表设定好后,如果我设定的提醒时间是12点,但是10点的时候用户就已经填好了,那到了12点,还会提醒吗? A:不会 Q:如果设置周期填表的填写时间是周一,那周二进入表单内还能填吗? A:不能 Q: 为什么上面介绍的多次填写、表单外发、主题配置等功能没有看到? A:参考2.12.4-权益信息,可联系本组织管理员将套餐升级到“高级版本”进行使用 父主题: 蒲公英表单
  • GeminiDB Redis的内存淘汰策略是什么 开源Redis key如果被内存淘汰,后续就读不到该数据。GeminiDB Redis默认支持noeviction淘汰策略,即不淘汰用户key;数据全量在存储池中,如果内存的热数据被淘汰,还可以从存储池中读取到该数据,访问后重新被加载到内存中,不会删除用户key。因此,GeminiDB Redis用户无需自行设置或修改maxmemory-policy参数,如果客户有数据可能不需要,建议通过添加过期时间来避免数据量膨胀。 父主题: 产品咨询
  • 基础资源限制 本文介绍 云日志 服务基础资源的使用限制。 表1 基础资源使用限制表 限制项 说明 备注 日志组数量 您在1个华为账号下最多可创建100个日志组。 如您有更大的使用需求,请提工单申请。 日志流数量 您在1个日志组中最多可创建100个日志流。 说明: 日志流名称不能重复。 如您有更大的使用需求,请提工单申请。 日志保存时间 日志支持保存1~365天。 不涉及。 主机组 您在1个华为账号下最多可创建200个主机组。 如您有更大的使用需求,请提工单申请。 快速查询 您在1个日志流中最多可创建50个快速查询。 不涉及。 仪表盘 一个华为账号最多可创建100个仪表盘。 如您有更大的使用需求,请提工单申请。 一个华为账号最多可创建100个仪表盘模板。 一个华为账号最多可创建200个仪表盘分组。 一个华为账号最多可创建200个仪表盘模板分组。 一个仪表盘最多可创建50个图表。 一个仪表盘最多可添加10个过滤器。 一个日志流最多可创建100个图表。 LogItem(单行日志) 通过API上报:单个LogItem最大为1MB。 不涉及。 通过API上报:单个LogItem中Labels的数量最多为100个。 通过ICAgent采集:单个LogItem最大为500 KB。 告警 您在1个华为账号下最多可创建200个告警。 如您有更大的使用需求,请提工单申请。 父主题: 约束与限制
  • 日志告警限制 本文介绍云日志服务告警的限制。 表1 告警限制说明 类别 限制项 说明 备注 告警监控 告警规则数量 您在1个华为账号下最多可创建200个告警。 如您有更大的使用需求,请提交工单申请。 搜索和分析条件组合个数 关键词搜索为1个,SQL分析个数为1-3个。 不涉及。 查询时间范围 关键词告警:每条查询语句的查询时间跨度不能超过1小时。 不涉及。 SQL告警:每条查询语句的查询时间跨度不能超过24小时。 不涉及。 查询和分析操作一般性限制 查询和分析操作的限制项,关键词告警请参见搜索语法。SQL告警请参见SQL查询语法。 不涉及。 告警通知 通知方式 各个通知方式的使用限制如下所示。超出限制,可能导致您无法接收到告警通知。 邮件 短信 语音 仅支持中国内地手机号码(+86)。如需开通,请提交工单申请。 钉钉 钉钉机器人限制每分钟最多20条消息。 企业微信 企业微信机器人限制每分钟最多20条消息。 飞书 飞书的功能仅针对白名单用户使用,如需开通,请提交工单申请。 不涉及。 通知内容 每个通知方式都存在通知内容长度的限制。为了尽量保证告警通知成功,对于超长的内容,系统可能通过适当的内容截断来避免通知失败。内容截断无法保证内容的完整性以及百分百发送成功,这主要是受限于截断后的内容以及各个通知方式的支持能力,例如截断后的内容是不合法的Markdown或者HTML,则可能导致通知失败。对于短信、语音等纯文本格式的内容,一般内容截断不会导致通知失败。 建议根据通知方式的限制合理配置内容模板,避免内容超长导致通知失败。各个通知方式的限制如下(中文、英文、数字或标点符号都算一个字符): 短信 具体限制请短信发送限制。 语音 通知内容限制为256个字符。 邮件 通知内容限制为5 KB。 钉钉 通知内容限制为5 KB。 企业微信 通知内容限制为5 KB。 不涉及。 消息模板 最多100个模板。 不涉及。 消息模板变量 LTS限制消息内容长度不超过3 KB,超过3 KB部分会被截断。 不涉及。 消息通知 方式额度 每个接收人每天最多可接收额度与用户 SMN 资源配额有关。 不涉及。 父主题: 约束与限制
  • 分析 表2 日志SQL分析限制 限制项 说明 备注 操作并发数 您在1个华为账号下 日志分析 并发数为15个。 如您有更大的使用需求,请提交工单申请。 数据量 单个日志流单次最大分析24GB数据。 如果您的数据量远超LTS提供的分析规格,请您购买DWS服务,配置日志转储DWS,使用 数据仓库 分析。 开启模式 默认不开启。 不涉及。 数据生效机制 日志结构化只对新增结构化配置之后写入的数据生效。 不涉及。 返回结果 默认最多返回100条数据。 如果需要返回更多数据,可以使用SQL查询语法单独配置返回查询结果。 不涉及。 LIMIT上限为5000条。 不涉及。 字段值大小 结构化字段最大大小为16KB,超过部分不参与分析。 不涉及。 超时时间 分析操作的最大超时时间为30秒。 如果您的数据量远超LTS提供的分析规格,请您购买DWS服务,配置日志转储DWS,使用数据仓库分析。 Double类型的字段值位数 Double类型的字段值最多52位。 如果浮点数编码位数超过52位,会造成精度损失。 不涉及。 IP函数时效性 IP函数是可以分析IP地址所属的国家、省份、城市及对应的网络运营商,该函数依赖的后台数据库每半年更新一次,可能出现少量IP与地理位置映射未及时更新的情况。 不涉及。 SQL分析时间范围 仅支持分析30天内的数据,30天以上的数据不支持SQL分析。 如您有更大的使用需求,请提交工单申请。
  • 搜索 表1 日志搜索限制 限制项 说明 备注 日志采集到搜索时延 从日志产生到日志在控制台能被搜索到的时间间隔小于2分钟(非阻塞情况下)。 不涉及。 关键词个数 关键词,即单次查询时布尔逻辑符外的条件个数。每次查询最多30个。 如您有更大的使用需求,请提交工单申请。 操作并发数 您在1个华为账号下支持的最大查询操作并发数为200个。 如您有更大的使用需求,请提交工单申请。 返回结果 通过控制台查询:默认最多返回250条查询结果。 不涉及。 返回结果 通过API查询:默认最多返回5000条查询结果。 不涉及。 字段值大小 单个字段值最大为2KB,超出部分不参与快速分析,但是可以通过关键词查询。 不涉及。 查询结果排序 默认按照秒级时间从最新开始展示。 不涉及。 模糊查询 在查询语句单个词长度小于255字符 星号(*)或问号(?)不能用在词的开头。 long数据类型和double数据类型不支持使用星号(*)或问号(?)进行模糊查询 不涉及。 搜索时间范围 单次搜索,时间跨度默认不超过30天。 如您有更大的使用需求,请提交工单申请。
  • 日志读写限制 本文介绍云日志服务日志读写的限制。 表1 日志读写限制表 类别 限制项 说明 备注 华为账号 日志写入流量 您在1个华为账号下,写入流量最大为500MB/s。 如您有更大的使用需求,请提工单申请。 日志写入次数 您在1个华为账号下,写入次数最大为10000次/s。 如您有更大的使用需求,请提工单申请。 日志查询流量 您在1个华为账号下,通过API查询日志,单次返回日志最大为10MB。 如您有更大的使用需求,请提工单申请。 日志读取次数 您在1个华为账号下,读取次数最大为1000次/min。 如您有更大的使用需求,请提工单申请。 日志组 日志写入流量 您在1个日志组下,写入流量最大为200MB/s。 非硬性限制,超过限制不保证服务质量。 日志写入次数 您在1个日志组下,写入次数最大为1000次/s。 非硬性限制,超过限制不保证服务质量。 日志查询流量 您在1个日志组下,通过API查询日志,单次返回日志最大为10MB。 不涉及。 日志读取次数 您在1个日志组下,读取次数最大为500次/min。 非硬性限制,超过限制不保证服务质量。 日志流 日志写入流量 您在1个日志流下,写入流量最大为100MB/s。 非硬性限制,超过限制不保证服务质量。 日志写入次数 您在1个日志流下,写入次数最大为500次/s。 非硬性限制,超过限制不保证服务质量。 日志查询流量 您在1个日志流下,通过API查询日志,单次返回日志最大为10MB。 不涉及。 日志读取次数 您在1个日志流下,读取次数最大为100次/min。 非硬性限制,超过限制不保证服务质量。 日志时间 日志时间不超过24小时。从当前时间往前推24小时或往后推24小时,超过该时间的日志将无法进行采集。 例如: 当前时间为2022年1月7日11:00,那么1月6日11:00前的日志无法进行采集。 当前时间为2022年1月7日11:00,那么1月8日11:00后的日志无法进行采集 不涉及。 SDK SDK上报日志流量 推荐使用1.0.0以上SDK正式版本,若有低版本,请尽快升级,否则无法保证SLA。 低版本SDK可能会导致上报失败。 端侧SDK 当前限制邀测中,不建议在生产环境中使用。 邀测阶段,可能会频繁迭代,需要您配合产品升级。 父主题: 约束与限制
  • 修订记录 表1 文档修订记录 日期 修订记录 2023-07-07 第四十六次正式发布。 本次根据变更说明如下: 优化身份提供商章节目录结构和内容。 2022-06-17 第四十五次正式发布。 新增批量操作功能,包括批量编辑 IAM 用户,批量删除IAM用户、用户组、用户组权限、委托。 2021-11-30 第四十四次正式发布。 根据“授权”功能优化,刷新授权、自定义策略相关章节。 2021-09-02 第四十三次正式发布。 本次根据变更说明如下: 新增查看授权记录内容。 新增授权记录内容。 修改查看或修改用户组内容。 2021-08-16 第四十二次正式发布。 本次变更新增自主管理用户属性内容。 2021-04-22 第四十一次正式发布。 本次变更说明如下: 新增章节调整配额。 2021-04-16 第四十次正式发布。 本次变更说明如下: 新增内容企业联邦用户登录。 2021-03-27 第三十九次正式发布。 本次变更说明如下: 根据华为云统一ID上线,刷新登录华为云章节。 2021-03-24 第三十八次正式发布。 本次变更说明如下: 新增章节支持IAM资源粒度授权的云服务。 2021-01-30 第三十七次正式发布。 本次变更说明如下: 根据IAM用户访问模式功能变更刷新创建IAM用户。 增加修改IAM用户访问模式功能。 2020-12-30 第三十六次正式发布。 本次变更说明如下: 根据登录界面变更、安全设置功能变更、界面词条变更进行全文刷新。 2020-11-16 第三十五次正式发布。 本次变更说明如下: 新增使用token方式创建云服务登录地址、使用委托方式创建云服务登录地址章节。 2020-11-05 第三十四次正式发布。 本次变更说明如下: 修改身份提供商章节结构。 新增联邦身份认证配置概述章节。 2020-10-27 第三十三次正式发布。 本次变更说明如下: 根据登录方式变更刷新登录华为云、IAM用户登录、登录验证策略章节登录界面截图。 2020-08-18 第三十二次正式发布。 本次变更说明如下: 新增登录华为云章节。 2020-06-08 第三十一次正式发布。 本次变更说明如下: 根据新增HUAWEI ID登录方式刷新IAM用户登录、登录验证策略章节。 2020-04-20 第三十次正式发布。 本次变更说明如下: 用户组添加/移除用户中新增移除用户相关操作内容; 新增以下章节: 删除IAM用户 移除用户组权限 2020-03-30 第二十九次正式发布。 本次变更说明如下: “基于策略的访问控制公测”转商用,删除公测相关说明。 2020-02-25 第二十八次正式发布。 本次变更说明如下: 敏感操作中增加IAM定义的敏感操作内容。 2020-02-10 第二十七次正式发布。 本次变更说明如下: 新增章节: 系统策略更名详情 根据策略更名修改创建用户组并授权章节内容。 2020-01-19 第二十六次正式发布。 本次变更说明如下: 根据界面变更修改以下章节: 用户组及授权、权限管理。 2020-01-02 第二十五次正式发布。 本次变更说明如下: 根据界面风格变化刷新各章节图片。 2019-12-10 第二十四次正式发布。 本次变更说明如下: 根据界面变更修改以下章节: 给用户组授权、依赖角色的授权方法、(可选)分配委托权限(被委托方操作)。 2019-11-20 第二十三次正式发布。 本次变更说明如下: 根据界面变更修改创建IAM用户、访问控制章节; 管理IAM用户访问密钥中新增•启用、停用访问密钥。 2019-09-29 第二十二次正式发布。 本次变更说明如下: 新增自定义身份代理章节。 2019-09-12 第二十一次正式发布。 本次变更说明如下: 新增修改、删除自定义策略章节。 创建自定义策略中新增可视化视图创建自定义策略。 策略、自定义策略使用样例中增加资源、条件级策略语法。 2019-08-29 第二十次正式发布。 本次变更说明如下: 增加说明:支持修改云服务委托。 2019-08-01 第十九次正式发布。 本次变更说明如下: 新增重置虚拟MFA章节。 2019-07-13 第十八次正式发布。 本次变更说明如下: 新增基本信息章节。 根据界面变更修改使用前必读、安全设置概述、管理IAM用户访问密钥、虚拟MFA章节。 2019-07-04 第十七次正式发布。 本次变更说明如下: 新增多因素认证与虚拟MFA章节。 优化委托、身份提供商章节。 2019-06-11 第十六次正式发布。 本次变更说明如下: 调整目录结构并优化使用前必读、IAM用户、用户组及授权、权限管理、项目、安全设置和查看IAM操作记录章节。 2019-01-22 第十五次正式发布。 本次变更说明如下: 新增(可选)分配委托权限(被委托方操作)章节。 2018-08-30 第十四次正式发布。 本次变更说明如下: 安全设置中新增设置“会话超时策略”。 2018-06-29 第十三次正式发布。 本次变更说明如下 创建IAM用户中新增“是否重置密码”步骤。 新增开通 云审计 服务章节。 新增查询云审计事件章节。 2018-04-30 第十二次正式发布。 本次变更说明如下: 新增4.2-申请基于策略的访问控制公测章节。 新增自定义策略章节。 2018-02-13 第十一次正式发布。 本次变更说明如下: 创建委托(委托方操作)中新增委托类型的表格。 2017-12-15 第十次正式发布。 本次变更说明如下: 删除权限说明章节,权限说明详情请参考权限说明。 2017-07-27 第九次正式发布。 本次变更说明如下: 步骤1:创建身份提供商中新增系统自动提取和手动编辑元数据内容。 2017-06-28 第八次正式发布。 本次变更说明如下: 修改“Server Administrator”权限描述。 修改“VPC Administrator”权限描述。 2017-05-19 第七次正式发布。 本次变更说明如下: 新增以下内容: “ APM Admin”权限描述。 “CCS Administrator”权限描述。 “CCS User”权限描述。 “CDE Admin”权限描述。 “CDE Developer”权限描述。 “SvcStg Admin”权限描述。 “SvcStg Developer”权限描述。 “SvcStg Operator”权限描述。 “SWR Admin”权限描述。 修改“RDS Administrator”权限描述。 删除以下内容: “te_devcloud_project_admin”权限描述。 “te_devcloud_project_poweruser”权限描述。 “te_devcloud_project_readonly”权限描述。 “te_devcloud_codehub_admin”权限描述。 “te_devcloud_codehub_poweruser”权限描述。 “te_devcloud_codehub_readonly”权限描述。 “te_devcloud_codecheck_admin”权限描述。 “te_devcloud_codecheck_poweruser”权限描述。 “te_devcloud_codecheck_readonly”权限描述。 “te_devcloud_codeci_admin”权限描述。 “te_devcloud_codeci_poweruser”权限描述。 “te_devcloud_codeci_readonly”权限描述。 “te_devcloud_test_admin”权限描述。 “te_devcloud_test_poweruser”权限描述。 “te_devcloud_test_readonly”权限描述。 “te_devcloud_release_admin”权限描述。 “te_devcloud_release_poweruser”权限描述。 “te_devcloud_release_readonly”权限描述。 2017-04-27 第六次正式发布。 本次变更说明如下: 新增创建委托(委托方操作)章节。 新增(可选)分配委托权限(被委托方操作)章节。 新增“DWS Administrator”权限描述。 2017-03-30 第五次正式发布。 本次变更说明如下: 同步“创建用户”界面的更新,刷新创建IAM用户章节。 新增“Agent Operator”权限描述。 新增“CRS Administrator”权限描述。 2016-11-30 第四次正式发布。 本次变更说明如下: 同步“账户策略”界面的更新,刷新安全设置章节。 2016-09-30 第三次正式发布。 本次变更说明如下: 优化创建身份提供商章节。 2016-08-25 第二次正式发布。 本次变更说明如下: 新增“密码最短使用时间(分钟)”的参数设置。 2016-03-14 第一次正式发布。
  • 支持审计的关键操作 通过云审计服务,您可以记录与IAM身份中心相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计支持的IAM身份中心操作列表 操作名称 资源类型 事件名称 开通IAM身份中心服务 Instance StartIdentityCenter 关闭IAM身份中心服务 Instance DeleteIdentityCenter 注册Region Instance RegisterRegion 更新单点登录配置 Instance UpdateSsoConfiguration 更新身份存储的MFA设备管理配置 Instance UpdateMfaDeviceManagementForIdentityStore 添加自定义 域名 Instance CreateAlias 启用指定实例的访问控制功能 Instance CreateInstanceAccessControlAttributeConfiguration 解除指定实例的访问控制属性配置 Instance DeleteInstanceAccessControlAttributeConfiguration 更新指定实例的访问控制属性配置 Instance UpdateInstanceAccessControlAttributeConfiguration 使用指定的权限集为指定账号分配对主体(用户/用户组)的访问权限 AccountAssignment CreateAccountAssignment 使用指定的权限集从指定账号删除主体的访问权限 AccountAssignment DeleteAccountAssignment 解除用户或用户组绑定的所有权限集 AccountAssignment DisassociateProfile 在指定的IAM身份中心实例中创建权限集 PermissionSet CreatePermissionSet 删除指定的权限集 PermissionSet DeletePermissionSet 更新指定的权限集 PermissionSet UpdatePermissionSet 将系统管理策略附加到权限集 PermissionSet AttachManagedPolicyToPermissionSet 将附加的系统策略从指定的权限集中移除 PermissionSet DetachManagedPolicyFromPermissionSet 将系统管理角色附加到权限集 PermissionSet AttachManagedRoleToPermissionSet 将附加的系统角色从指定的权限集中分离 PermissionSet DetachManagedRoleFromPermissionSet 将指定权限集预分配给指定账号 PermissionSet ProvisionPermissionSet 删除指定权限集中的自定义策略 PermissionSet DeleteCustomPolicy 将自定义策略附加到权限集 PermissionSet PutCustomPolicy 用户登录后为用户生成凭证 User Authenticate 激活设备授权码 User ActiveDevice 取消设备授权码 User CancelDevice 创建用户 User CreateUser 删除用户 User DeleteUser 更新用户 User UpdateUser 停用用户 User DisableUser 启用用户 User EnableUser 创建MFA设备 User CreateMfaDeviceForUser 删除绑定的MFA设备 User DeleteMfaDeviceForUser 更新MFA信息 User UpdateMfaDeviceForUser 通过电子邮件发送密码重置链接或生成用户的一次性密码 User UpdatePwdMode 重置用户密码 User ResetPassword 通过电子邮件发送验证邮箱的链接 User VerifyEmail 更新邮箱验证状态 User UpdateEmailStatus 创建用户组 Group CreateGroup 删除用户组 Group DeleteGroup 更新用户组 Group UpdateGroup 创建用户组关联关系 GroupMembership CreateGroupMembership 删除用户组关联关系 GroupMembership DeleteGroupMembership 批量绑定用户和组 GroupMembership BatchCreateMembership 批量删除用户和组的绑定关系 GroupMembership BatchDeleteMembership 批量替换用户和组的绑定关系 GroupMembership BatchReplaceMembership 创建外部身份提供商目录配置 IDP CreateExternalIdpConfigurationForDirectory 启用外部身份提供商 IDP EnableExternalIdpConfigurationForDirectory 删除外部身份提供商目录配置 IDP DeleteExternalIdpConfigurationForDirectory 停用外部身份提供商 IDP DisableExternalIdpConfigurationForDirectory 更新外部身份提供商目录配置 IDP UpdateExternalIdpConfigurationForDirectory 删除证书 IDP DeleteExternalIdpCertificate 导入证书 IDP ImportExternalIdpCertificate 创建承载令牌 IDP CreateBearerToken 创建身份源对应的租户信息 IDP CreateProvisioningTenant 删除承载令牌 IDP DeleteBearerToken 删除身份源对应的租户信息 IDP DeleteProvisioningTenant 为指定资源添加标签 Tag CreateTagResource 删除指定资源的指定标签 Tag DeleteTagResource 父主题: 使用 CTS 审计IAM身份中心
  • SAML 2.0 安全断言标记语言(Secturity Assertion Markup Language 2.0,缩写为SAML 2.0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商 (IdP)使用的一种开放标准,关于SAML2.0的详细描述请参见:SAML 2.0技术概述。IAM支持使用SAML2.0协议进行联邦身份认证,因此与华为云建立联邦身份认证的企业IdP必须支持SAML2.0协议。 IAM身份中心将SAML IdP功能添加到您的IAM身份中心存储或外部身份提供商应用程序,然后用户可以单点登录到支持SAML的服务,包括华为云管理控制台和第三方应用程序。但是SAML协议没有提供查询IdP来了解用户和用户组的方法,因此您必须将这些用户和用户组配置到IAM身份中心来获取这些用户和用户组。
  • ABAC概述 基于属性的访问控制(ABAC)是一种授权策略,该策略基于用户属性来定义权限。您可以使用IAM身份中心或外部身份提供商等不同身份源的用户属性,在IAM身份中心管理用户对华为云资源的访问权限。用户属性也可以称之为标签,使用用户属性作为标签可以帮助您简化在华为云中创建细粒度权限的过程,并确保用户只能获得具有匹配标签的华为云资源相关权限,实现更精细的权限管理。 例如,您可以将两个不同用户User_A和User_B关联相同的权限集,然后基于用户的显示名属性来进行访问控制。当User_A和User_B登录用户门户访问此权限集定义的资源时,IAM身份中心会将他们的显示名与资源的标签值进行匹配,只有当他们的显示名与资源上的添加的标签值匹配时,User_A和User_B才能访问该资源。如果User_A后续不再需要访问此权限集下的某些资源,您只需修改这些资源的标签即可使User_A失去访问权限,而无需更新任何权限集配置。 基于属性的访问控制还有助于减少您需要在IAM身份中心中创建和管理的权限集数量,因为与相同权限集关联的用户现在可以根据其用户属性拥有唯一权限。您可以在权限集中使用这些用户属性,以实现对华为云资源基于用户属性的访问控制,并在规模上简化权限管理。
  • ABAC配置流程 如下表格包括准备华为云资源和配置IAM身份中心以进行ABAC访问控制所需的操作,使用ABAC需完成此表格中的各项操作。 表1 ABAC配置流程 步骤 说明 参考文档 为资源添加标签 要在IAM身份中心中实施ABAC,您首先要为需要实施ABAC的资源添加标签。资源标签的值要与用户属性设置一致,这样才能在权限策略中匹配成功,从而使访问控制策略生效。 例如您需要使用用户的用户名属性进行访问控制,用户的用户名为“User1”,那么您给资源添加的标签值也需为“User1”。 为云资源添加标签 配置身份源 IAM身份中心当前支持两种身份源:IAM身份中心和外部身份提供商。两种身份源的用户属性均支持实施ABAC,您可以在IAM身份中心切换两种身份源。 更改身份源 在IAM身份中心启用并配置ABAC IAM身份中心身份源:在IAM身份中心控制台启用ABAC,并添加用于ABAC的用户属性。 外部身份提供商身份源:首先在IAM身份中心控制台启用ABAC,然后您可以在IAM身份中心配置ABAC,还可以在外部身份提供商处配置。 启用和配置访问控制属性 为ABAC创建权限策略 在权限集中创建自定义身份策略,并使用访问控制属性创建ABAC相关规则,用于控制用户只能访问带有匹配标签的资源。您在上一步中添加的用户属性用作访问控制决策的标签,您可以使用“PrincipalTag/key”条件键引用权限策略中的访问控制属性。 为ABAC创建权限策略 账号关联用户/组和权限集 将相关账号和IAM身份中心用户与上一步创建的权限集关联,这样用户登录用户门户访问关联账号下的资源时,只能访问基于用户属性匹配标签的资源。 账号关联用户/组和权限集 用户登录并访问资源 完成以上步骤后,关联相关账号和权限集的IAM身份中心用户登录用户门户,将根据匹配的用户属性获得相应资源的访问权限。 用户登录并访问资源
  • 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到 对象存储服务 (OBS)或云日志服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件信息。否则,您将无法追溯7天以前的操作记录。 云上操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。
  • 多因素认证支持的设备 IAM身份中心当前支持如下多因素认证设备: 身份验证器应用程序: 即虚拟MFA设备。虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备,遵循基于时间的一次性密码 (TOTP)标准。MFA设备可以基于硬件也可以基于软件,目前仅支持基于软件的虚拟MFA,即虚拟MFA应用程序,可以在移动硬件设备(包括智能手机)上运行,非常方便。 安全密钥和内置身份验证器: FIDO2是基于公钥密码学的标准,它包含了CTAP2和WebAuthn标准。FIDO凭证具有防网络钓鱼功能,因为它对于网站来说具有唯一性。 安全密钥指是兼容FIDO2的外部硬件身份验证器,您可以购买并通过USB、BLE或NFC连接到设备。当您被提示输入MFA时,您只需通过触摸YubiKey等硬件安全密钥来验证身份即可。安全密钥包括YubiKey等密钥,最常见的安全密钥包括YubiKey等会创建一个设备绑定的FIDO凭证。 内置身份验证器是指基于生物识别技术在计算机或移动电话中内置的身份验证器,例如Apple TouchID或Windows Hello。如果您的设备具有兼容FIDO2的内置身份验证器,则可以使用指纹、面部或设备PIN码作为第二个因素。
  • 什么是多因素认证 多因素认证Multi-Factor Authentication(MFA)是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 IAM身份中心的多因素认证主要应用在登录验证中,开启了登录验证功能后,用户登录控制台时,除了需要输入用户名和密码外,还需要在登录验证页面输入多因素认证设备中的验证码,再次确认登录者身份,进一步提高账号安全性。
  • CDN有什么安全防护能力(DDoS/CC/防盗链)? 通过域名接入华为云CDN可以隐藏源站服务器IP地址,避免源站直接暴露给攻击者。 华为云CDN全网拥有2800+加速节点,可以有效缓解DDoS/CC攻击对源站造成的压力,避免源站由于攻击直接瘫痪。 如果攻击流量太大造成 CDN加速 节点不能正常服务时,会暂时封禁域名,最终域名状态调整为“停用”,停止CDN加速服务。域名停用后将无法正常访问,但域名配置信息仍会保留(仅限保留期内),待攻击停止后可联系客服申请解除封禁 另外,CDN支持referer防盗链,IP黑白名单和URL鉴权等,具体请参考:访问控制 。 父主题: 安全相关
  • 开启HTTPS强制跳转后,为什么在浏览器内访问正常,但是通过api请求HTTP会导致post请求丢失参数? 开启HTTPS强制跳转后,302/301跳转只是将HTTP转换为HTTPS,如果客户端不继续推送请求那么就会丢失参数,导致没有响应,在浏览器内访问正常是因为浏览器会在收到302/301响应之后重新提交一次参数然后响应成功。这是客户端请求的行为,客户端收到301/302响应后,再次请求需要带上相应的参数才会有响应。 如果您需要在加速域名开放API接口,且开启强制跳转HTTPS,建议将API接口硬编码为https://endpoint/{url},防止出现通过API请求时301/302跳转丢失参数问题。 父主题: 域名配置
  • 数据准备 准备项 说明 示例 网站域名 游戏网站域名。如果您的服务范围是“中国大陆”或者“全球”,根据中国《互联网管理条例》的要求,此域名必须在工信部备案并在有效期内才可以使用CDN加速。 域名在华为云备案请参考备案。 download.game-apk1.com(已备案) OBS桶 版本号为3.0以上的OBS存储桶。 桶策略为公共读,未开通静态网站托管。 支持CDN加速的区域:华北-北京一、华北-北京四、华东-上海一、华南-广州、华南-广州-友好用户环境、西南-贵阳一。 obs-doc-test01
  • 监控指标 表1 在线人数和播放带宽支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期(原始指标) online 拉流并发数 该指标用于查询直播在线人数。 单位:个 ≥ 0个 播放域名 1分钟 bandwidth 拉流带宽 该指标用于查询播放域名的带宽数据。 单位:比特/秒 ≥ 0 bit/s 播放域名 1分钟 play_traffic 播放流量 该指标用于查询播放流量。 单位:比特 ≥ 0 Byte 播放域名 1分钟 qps 每秒访问次数 该指标用于查询每秒访问次数。 单位:个 ≥ 0 个 播放域名 1分钟 http_4xx_proportion 4xx状态码占比 该指标用于查询4xx状态码占比。 0-100% 播放域名 1分钟 http_5xx_proportion 5xx状态码占比 该指标用于查询5xx状态码占比。 0-100% 播放域名 1分钟 inject_concurrency_number 推流并发数 该指标用于查询推流并发数。 单位:个 ≥ 0个 推流域名 1分钟 inject_bandwidth 推流带宽 该指标用于查询推流带宽。 单位:比特/秒 ≥ 0 bit/s 推流域名 1分钟
  • “执行历史(最近一天)”和“查看结果” SQL作业执行完成后可以在编辑区域下方查看执行历史和执行结果。 执行历史(最近一天) 可以通过以下方式筛选执行历史: 在右上角选择队列名称或输入执行语句 在列表中选择创建时间顺序/倒序排列 在列表中选择作业状态 图3 SQL作业执行历史 表4 SQL作业执行历史说明 区域 描述 执行历史(最近一天) 执行历史显示最近一天提交的作业的信息。包括: 队列:队列名称 用户名:执行SQL的用户 类型:SQL作业的类型 状态:SQL作业的执行状态 执行语句 创建时间 操作: 编辑:重新编辑SQL语句 SparkUI:跳转至SparkUI查看SQL语句执行进程 说明: 新建队列,运行作业时会重新拉集群,大概需要10分钟左右才能拉好集群,在集群创建好之前单击SparkUI会导致缓存空的projectID,从而导致无法查看SparkUI。建议使用专属队列,集群不会被释放,就不会有该问题,或者提交作业后等一段时间再查看SparkUI,确保集群已经拉好了,不要立即单击SparkUI。 目前 DLI 配置SparkUI只展示最新的100条作业信息。 default队列下运行的作业或者该作业为同步作业时不支持该操作。 更多:以下操作根据SQL类型和运行状态的不同显示会有差异,请以实际界面为准。 终止:正在运行或提交中的SQL支持终止操作。 重新执行:重新执行该SQL语句。 查看结果:QUERY作业支持查看作业执行结果。 导出结果:QUERY作业这次导出作业运行结果到指定OBS路径下。 归档日志:SQL语句运行日志存储的OBS路径。 异步DDL和QUERY语句支持将结果下载到本地 说明: default队列下运行的作业或者该作业为同步作业时不支持归档日志操作。 异步DDL和QUERY语句支持将结果下载到本地。操作如下: 单击执行成功的异步DDL或QUERY语句“操作”列中的“下载到本地”,在提示窗口单击“确认”。此时,“操作”列中的“下载到本地”将变为“立即下载”。 单击“立即下载”,将对应结果下载到本地。
  • SQL作业编辑窗口 页面右侧上方为SQL作业编辑窗口,参数说明请参考表2。 操作栏下方为SQL语句编辑区。快捷键介绍具体请参考表3。 图2 SQL作业编辑窗口 表2 SQL作业编辑窗口说明 序号 按键&下拉列 描述 1 执行引擎 SQL作业支持Spark和Trino两种引擎: Spark引擎适用于离线分析。 Trino引擎适用于交互式分析。 2 队列 下拉选择需要使用的队列。如果没有可用队列,此处显示“default”队列,default队列为体验使用,建议重新创建队列。具体队列创建可以参考创建弹性资源池和在弹性资源池中添加队列。 SQL作业只能在队列类型为“SQL队列”下执行。 3 数据库 下拉选择需要使用的数据库。如果没有可用数据库,此处显示“default”默认数据库。数据库创建操作详见创建数据库和表。 说明: 如果SQL语句中指定了表所在的数据库,则此处选择的数据库无效。 4 执行 执行作业编辑窗口中的SQL语句。 5 格式化 格式化SQL语句。 6 语法参考 可跳转至《 数据湖探索 SQL语法参考》手册。 7 设置 包括设置“参数设置”和“标签”。 参数设置:以“key/value”的形式设置提交SQL作业的配置项。详细内容请参见《 数据湖 探索SQL语法参考》。 标签:以“key/value”的形式设置SQL作业的标签。 8 更多 包括: 语法校验:判断SQL语句编写是否正确。 设为模板:将常用的SQL语句设为模板。具体操作请参见SQL模板管理。 切换主题:选择白底黑字或黑底白字。 表3 快捷键说明 快捷键 描述 Ctrl+Enter 执行SQL。通过按下键盘上的Ctrl+R或Ctrl + Enter,您可以执行SQL语句。 Ctrl+F 搜索SQL。通过按下键盘上的Ctrl + F,您可以搜索需要的SQL语句。 Shift+Alt+F 格式化SQL。通过按下键盘上的Shift+Alt+F,您可以将SQL语句格式化。 Ctrl+Q 语法校验。通过按下键盘上的Ctrl + Q,您可以对SQL语句进行语法校验。 F11 全屏。通过按下键盘上的F11,您可将SQL作业编辑器窗口全屏。再次按下F11,将从全屏复原。
  • 后续操作 除dli_management_agency提供的委托权限外,例如允许DLI读写OBS将日志转储、允许DLI在访问DEW获取数据访问凭证场景的委托需求等,都需要用户自行在IAM页面创建相关委托,并在作业配置中添加新建的委托信息。具体操作请参考自定义DLI委托权限和常见场景的委托权限策略。 使用Flink 1.15和Spark 3.3.1(Spark通用队列场景)及以上版本的引擎执行作业时,需自行在IAM页面创建相关委托。 引擎版本低于Flink1.15,执行作业时默认使用dli_admin_agency;引擎版本低于Spark 3.3.1,执行作业时使用用户认证信息(AKSK、SecurityToken)。 即引擎版本低于Flink1.15和Spark 3.3.1版本的作业不受更新委托权限的影响,无需自定义委托。 常见的需要自建委托的业务场景: DLI表生命周期清理数据及Lakehouse表数据清理所需的数据清理委托。需用户自行在IAM创建名为dli_data_clean_agency的DLI云服务委托并授权。该委托需新建后自定义权限,但委托名称固定为dli_data_clean_agency。 DLI Flink作业访问和使用OBS、日志转储(包括桶授权)、开启checkpoint、作业导入导出等,需要获得访问和使用OBS(对象存储服务)的Tenant Administrator权限。 DLI Flink作业所需的AKSK存储在 数据加密 服务DEW中,如需允许DLI在执行作业时访问DEW数据,需要新建委托将DEW数据操作权限委托给DLI,允许DLI服务以您的身份访问DEW服务。 允许DLI在执行作业时访问DLI Catalog元数据,需要新建委托将DLI Catelog数据操作权限委托给DLI,允许DLI服务以您的身份访问DLI Catalog元数据。 DLI Flink作业所需的云数据存储在LakeFormation中,如需允许DLI在执行作业时访问Catalog获取元数据,需要新建委托将Catelog数据操作权限委托给DLI,允许DLI服务以您的身份访问Catalog元数据。 新建委托时,请注意委托名称不可与系统默认委托重复,即不可以是dli_admin_agency、dli_management_agency、dli_data_clean_agency。 更多自定义委托的操作请参考自定义DLI委托权限和常见场景的委托权限策略。
  • 计费说明 GeminiDB Cassandra的计费项由实例规格费用、存储空间费用、备份空间费用和公网流量费用组成。具体内容如表1所示。 标 * 的计费项为必选计费项。 表1 GeminiDB Cassandra实例计费项 计费项 计费项说明 适用的计费模式 计费公式 * 实例规格 计费因子:vCPU和内存,不同规格的实例类型提供不同的计算和存储能力。 包年/包月、按需计费 实例规格单价 * 购买时长 实例规格单价请参见云数据库 GeminiDB价格详情中的“集群-规格费用”。 * 存储空间 计费因子:存储空间,按统一标准进行计费。 包年/包月、按需计费 存储空间单价 * 存储容量 * 购买时长 请参见云数据库 GeminiDB价格详情中的“集群磁盘空间计费信息”。 备份空间 计费因子:备份空间,按统一标准进行计费。 按需计费 备份空间单价 * 备份收费容量 * 购买时长 请参见云数据库 GeminiDB价格详情中的“备份空间计费信息”。 说明: 计费时长:备份超过免费空间大小的使用时长。 跨区域备份(可选) 计费因子:存储空间,按统一标准进行计费。 按需计费 存储空间单价 x 存储容量 x 购买时长 存储空间单价:0.0009 元/GB/小时 计费因子:跨Region备份流量,按统一标准进行计费。 按存储容量计费 跨Region备份流量单价 x 存储容量 跨Region备份流量单价:0.5 元/GB 公网流量 如有互联网访问需求,您需要购买弹性公网IP。 计费因子:带宽费、流量费和IP保有费。 包年/包月计费模式支持按带宽计费方式,收取带宽费。 按需计费模式支持按带宽计费、按流量计费和加入共享带宽三种计费方式,分别收取带宽费+IP保有费、流量费+IP保有费、带宽费+IP保有费。 包年/包月、按需计费 带宽费支持使用带宽加油包抵扣,流量费支持使用共享流量包抵扣。 按固定带宽值采用阶梯计费 0Mbit/s~5Mbit/s(含):均为一个统一的单价 大于5Mbit/s:按每Mbit/s计费 公网带宽单价请参见弹性 云服务器价格 详情中的“带宽价格”,或者弹性公网IP价格详情。
共100000条