华为云用户手册

其他各领域应用 社交应用：使用文档数据库服务DDS可以通过地理位置索引轻松实现查找附近的人、位置等功能。因为文档数据库服务DDS提供了非常丰富的查询，所以适合用来存储聊天内容，在读取和写入方面都相对较快。 大数据应用：使用文档数据库服务DDS作为大数据的 云存储 系统，可以利用其灵活的聚合功能，方便的进行数据提取分析。 物流应用：使用文档数据库服务DDS以内嵌数组的形式来存储订单信息，即使订单状态在运送过程中会不断更新，一次查询也能将订单所有的变更读取出来。

游戏 在游戏应用中，可以将一些用户信息，如用户装备、用户积分等存储在DDS数据库中。游戏玩家活跃高峰期，对并发能力要求较高，可以使用DDS的集群类型，应对高并发场景。DDS副本集和集群架构的高可用特性，能够满足游戏在高并发场景下持续稳定运行。 另外，DDS兼容MongoDB，具有No-Schema的方式，能免去您在游戏玩法变化中需要变更表结构的痛苦，非常适用于灵活多变的游戏业务需求。您可以将模式固定的结构化数据存储在云数据库RDS中，模式灵活的业务存储在DDS中，高热数据存储在GeminiDB Redis里，实现对业务数据高效存取，降低存储数据的投入成本。 优势： 支持内嵌文档：内嵌文档可以避免join的使用，降低应用开发的复杂性，灵活的schema支持，方便快速开发迭代。 轻松应对数据峰值压力：基于分片构建的集群支持TB级的数据需求。

集群架构 集群由dds mongos（路由）、Config（配置）和Shard（分片）组件构成。 数据读写请求经dds mongos分发，通过查询config信息，并行分配到相应shard，可轻松应对高并发场景，且config和shard均采用三副本架构，保证高可用。 图1 集群架构 dds mongos为单节点配置，用户可以通过多个dds mongos实现负载均衡及故障转移，单个集群实例可支持2～32个dds mongos节点。 shard节点是分片服务器，当前架构是三节点副本集。单个集群版实例可支持2~32个shard节点。 config为集群必备组件，负责存储实例的配置信息，由1个三节点副本集构成。 集群适用于业务系统数据量大、具有较高的可用性和可扩展性的场景。 父主题： 系统架构

副本集架构 副本集，即Replica Set，由一组mongod进程组成，提供了数据冗余与高可靠性的节点集合。 关于mongod进程的描述，请参见MongoDB官方文档。 副本集架构由主节点、备节点和隐藏节点组成，DDS自动搭建三节点的副本集供用户使用，节点之间数据自动同步，保证数据的高可靠性。对于需要保证高可用的中小型业务系统，推荐使用副本集。 主节点：即Primary节点，用于读写请求。 备节点：即Secondary节点，用于读请求。 隐藏节点：即Hidden节点，用于业务数据的备份。 用户可以直接操作主节点和备节点。若主节点故障，系统自动分配新的主节点。副本集架构如下图所示。 图1 三节点副本集架构 三节点副本集实例创建成功后，您可以根据需要新增节点至五节点或七节点副本集，新增的节点均为Secondary节点，并持续同步数据。如何新增副本集节点，请参见添加副本集实例的节点。 图2 副本集实例节点说明 父主题： 系统架构

Flexus L实例 有公网IP吗？ Flexus L实例创建后，默认分配一个固定的公网IP地址，因此Flexus L实例具备访问互联网并被互联网访问的能力。您可能还需要了解如下信息： Flexus L实例的弹性公网IP计费方式。 Flexus L实例包含了每月固定流量包，业务优先使用流量包，超出流量包的流量按需计费。 不支持解除、更换Flexus L实例的公网IP地址。 弹性公网IP存在24小时缓存机制，Flexus L实例被释放后，24小时内创建的Flexus L实例会优先分配之前使用过的公网IP地址，24小时之后将释放该使用过的公网IP地址。 Flexus L实例不支持配置IPv6地址。 父主题： 网络

步骤二：检查私有镜像是否安装重置密码插件 使用私有镜像创建或切换L实例后，请在L实例控制台尝试重置密码，重置密码后： 如果使用新密码能成功登录L实例，表示私有镜像已安装重置密码插件。 如果使用新密码不能成功登录L实例，表示私有镜像未安装重置密码插件，请安装重置密码插件。 如果您已知私有镜像密码，请根据使用Linux私有镜像创建/切换Flexus L实例后，无法重置密码怎么办？（已知私有镜像初始密码）安装重置密码插件。 如果您已遗忘私有镜像密码，请根据使用Linux私有镜像创建/切换Flexus L实例后，无法重置密码怎么办？（遗忘私有镜像初始密码）安装重置密码插件。

如何升级Flexus L实例宝塔面板？ 请根据如下步骤在宝塔面板的管理页面升级宝塔面板。 在服务器“概览”页“镜像信息”中，单击“管理”登录管理页面。 如果无法打开管理页面，可能是因为没有放通访问管理页面的端口、管理页面未启动完毕等原因，处理方法请参见Flexus L实例应用镜像管理页面无法打开怎么办？ 输入管理页面用户名密码进入管理页面。 在右上角单击“更新”，根据界面提示升级宝塔面板。 升级宝塔面板后，管理页面为404状态，此时请在URL后增加“/login”，即完整URL为“https://服务器IP:8888/login”，即可正常登录管理页面。此情况仅在升级宝塔面板后第一次登陆管理面时出现，后续登录管理页面无须增加“/login”字段。 父主题： 操作系统/镜像

步骤一：检查私有镜像是否缺少“onekey_resetpasswd”特性标签 在 镜像服务 控制台查询并复制私有镜像的镜像ID。 进入 API Explorer 查询镜像列表接口，输入镜像ID查看私有镜像是否包含“onekey_resetpasswd”特性标签。 设置如下参数。 Region：选择私有镜像所在区域，本例为华东-上海一。 id：输入私有镜像ID。 图1 设置区域 图2 设置私有镜像ID 单击“调试”，查看响应结果。 如果在“响应体”中能查看到“__os_feature_list”参数，并且参数值包含\"onekey_resetpasswd\": \"true\"，表示私有镜像包含“onekey_resetpasswd”特性标签。否则表示未包含“onekey_resetpasswd”特性标签，如下图。 私有镜像未包含“onekey_resetpasswd”特性标签时，请根据步骤3为私有镜像添加“onekey_resetpasswd”特性标签。 图3 私有镜像未包含“onekey_resetpasswd”特性标签 为私有镜像添加“onekey_resetpasswd”特性标签。 在更新镜像信息接口设置如下参数。 Region：选择私有镜像所在区域，本例为华东-上海一。 image_id：输入私有镜像ID。 Body：切换为文本输入，输入如下内容。 [ { "op": "add", "path": "/__os_feature_list", "value": "{\"nic_hotplug\":\"true\", \"disk_hotplug\": \"true\", \"user_data\": \"true\", \"ssh_key\":\"true\", \"hostname_inject\": \"true\", \"onekey_resetpasswd\": \"true\"}" }] 单击“调试”，查看调试结果。 此时在“响应体”中能查看到“__os_feature_list”参数，并且参数值包含\"onekey_resetpasswd\": \"true\"，表示已经为私有镜像成功添加“onekey_resetpasswd”特性标签。 刷新L实例创建页面或者切换镜像页面，再次选择私有镜像。 请先刷新L实例创建页面或者切换镜像页面，再选择私有镜像。 如果可以成功选用私有镜像，问题处理结束。 如果仍然不能选用私有镜像，请根据步骤二安装密码插件。

操作步骤 以root用户登录登录Flexus L实例。 执行以下命令，查询是否已安装CloudResetPwdAgent。 ls -lh /Cloud* 图1 查询是否已安装一键式重置密码插件 检查结果是否如图1所示。 是，表示已安装一键式重置密码插件，结束。 否，表示未安装一键式重置密码插件，请继续执行如下操作进行安装。 请参考获取并校验一键式重置密码插件完整性（Linux），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 执行以下命令，解压软件包CloudResetPwdAgent.zip。 安装一键式重置密码插件对插件的解压目录无特殊要求，请您自定义。 unzip -o -d 插件解压目录 CloudResetPwdAgent.zip 示例： 假设插件解压的目录为/home/linux/test，则命令行如下： unzip -o -d /home/linux/test CloudResetPwdAgent.zip 安装一键式重置密码插件。 执行以下命令，进入文件CloudResetPwdAgent.Linux。 cd {插件解压目录}/CloudResetPwdAgent/CloudResetPwdAgent.Linux 示例： 假设插件解压的目录为/home/linux/test，则命令行如下： cd /home/linux/test/CloudResetPwdAgent/CloudResetPwdAgent.Linux 执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh 执行以下命令，安装插件。 sudo sh setup.sh 如果脚本执行成功打印“cloudResetPwdAgent install successfully.”，且未打印“Failed to start service cloudResetPwdAgent”，表示安装成功。 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。 修改重置密码插件的文件权限。 chmod 700 /CloudrResetPwdAgent/bin/cloudResetPwdAgent.script chmod 700 /CloudrResetPwdAgent/bin/wrapper chmod 600 /CloudrResetPwdAgent/lib/* 完成以上操作后，在控制台重启Flexus应用服务器L实例，即可对Flexus应用服务器L实例重置密码。具体操作详见重置Flexus L实例密码。

什么是共享流量包 共享流量包是一款带宽流量套餐产品，使用方便，价格实惠。购买共享流量包后立即生效，并自动抵扣按需计费（按流量计费）的EIP带宽产生的流量资费，直到流量包用完或到期。共享流量包的收费标准请参考产品价格详情中“预付费流量包”的内容。 共享流量包为区域性共享资源，例如您在“华北-北京四”购买了共享流量包，则“华北-北京四”区域的Flexus L实例或其他资源都可以使用该流量包；相反的，“华北-北京四”区域之外的Flexus L实例无法使用该共享流量包，如需使用共享流量包，请在目标区域另外购买。 共享流量包一旦购买不支持修改和退订，到期后也不支持续订。在购买前，请务必先了解“共享流量包”的使用规则和使用限制，具体信息详见共享流量包概述。

问题现象 使用Linux私有镜像创建/切换服务器后，无法通过重置密码登录Flexus应用服务器L实例。Linux私有镜像的镜像源来自其他云平台的服务器或从第三方下载，通过此类私有镜像创建的Flexus应用服务器L实例可能因为未安装一键式密码重置插件而无法重置密码。 如果您知晓您的私有镜像服务器密码，请参考本节内容安装一键式密码重置插件安装插件。安装插件后，即可重置密码。 如果您遗忘了您的私有镜像服务器密码，请参见使用Linux私有镜像创建/切换Flexus L实例后，无法重置密码怎么办？（遗忘私有镜像初始密码）安装一键式密码重置插件。安装插件后，即可重置密码。

如何确认Flexus L实例应用镜像启动完毕？ 对于新购买、重装系统或切换操作系统的Flexus应用服务器L实例应用镜像，第一次重置密码时，请确保应用镜像启动完毕后再重置密码。 在应用镜像启动期间，请勿执行重启、开关机、重置密码操作，此类操作可能导致应用镜像启动异常，无法正常登录应用镜像管理界面。 登录Flexus应用服务器L实例控制台，单击资源卡片，进入资源页面。 在“概览”页“镜像信息”中，单击“管理”进入应用镜像管理页面。 安全组入方向规则放开访问应用镜像的端口后，才能正常进入管理页面。如果不能正常打开管理页面前，请检查安全组是否放开相应的端口。具体操作详见Flexus L实例应用镜像安全组配置示例。 如果管理页面显示正常的引导或登录页面，表示应用镜像已经正常启动，例如WordPress的引导页面如下图。否则请耐心等待，稍后重试。 父主题： 操作系统/镜像

Flexus L实例有哪些实例类型？ Flexus应用服务器L实例包含两种实例类型： Flexus应用服务器L实例：包含多种实例规格，购买时支持自定义选择数据盘、主机安全或云备份，创建后默认分配一个固定的公网IP。其中，实例规格包含vCPU/内存、系统盘、流量包。 Flexus服务组合：包含基础套餐和高可用套餐，并且套餐内的资源为固定配置。 组合套餐不支持升级套餐规格，购买时不支持自定义选择主机安全、云备份、Flexus负载均衡。 基础套餐包含一台云主机（vCPU/内存、系统盘）、一个弹性公网IP、流量包、主机安全、云备份。 高可用套餐包含两台云主机（vCPU/内存、系统盘）、一个弹性公网IP、流量包、两个主机安全、云备份、Flexus负载均衡。 高可用套餐不支持使用应用镜像，不支持访问外网。 Flexus L实例规格配置详见实例类型及规格。 父主题： 产品咨询

如何查看Flexus L实例应用镜像中默认安装的应用？ Flexus L实例的应用镜像中安装了应用及其运行的相关应用，在您购买后可开箱即用。如果您需要查看应用镜像中默认安装的应用： 宝塔面板默认仅安装了宝塔面板应用。 对于除过宝塔面板的应用镜像，请登录云主机执行docker ps命令查看。 下图以Wordpress应用镜像为例展示其安装的应用。 图1 Wordpress应用镜像安装的应用 父主题： 操作系统/镜像

Flexus L实例、管理页面、运维面板之间的关系是什么？ Flexus L实例提供了丰富严选的应用镜像。应用镜像包含底层的Linux操作系统（ 操作系统为Ubuntu 22.04），还包含应用软件及相关初始化数据和应用所需的运行环境。 应用镜像有管理页面和运维面板： 管理页面：由于Linux操作系统的代码语言界面不便于用户的操作使用，因此应用镜像具备可视化的管理页面，为用户提供了更简单便捷的使用和管理应用的方式。 运维面板：运维面板是应用镜像的运维页面，具有存储管理页面的初始密码、上传文件、配置 域名 等功能，为部署应用提供运维支持。 仅部分应用镜像有运维面板。 Flexus L实例、管理页面、运维面板的登录方式、初始用户名及密码的区别： 区别 登录方式 初始用户名及密码 Flexus L实例 可通过控制台等多种方式登录。 Flexus L实例（应用镜像）初始用户名为“root”，Flexus L实例无初始密码，须在Flexus L实例控制台重置密码。 管理页面 在控制台“概览”页的“镜像信息”区域中，单击“管理”登录应用镜像的管理页面。 部分应用镜像的管理页面没有初始用户名及密码，会在应用的初始化阶段设置。 部分应用镜像的管理页面有初始用户名及密码，则存储在运维面板中。 运维面板 在本地浏览器输入“http://公网IP:9000”登录应用镜像运维面板。 运维面板的用户名及密码和Flexus L实例相同。 父主题： 产品咨询

解决方法 将 IAM 用户加入用户组，为用户组授予“CORS FullAccess”权限，IAM用户即可继承此权限。本例以您名为“IAM AccountA”的IAM用户为例，介绍如何为您的“IAM AccountA”用户增加权限。 使用IAM用户对应的华为账号登录IAM控制台。 在“用户组”菜单中，在已有用户组（例如GroupA），单击“授权”。 如果您还没有创建用户组，请单击“创建用户组”，创建用户组GroupA后，再单击“授权”。 设置用户组授权配置。 选择策略，设置后单击“下一步”。 搜索“CORS”，选中“CORS FullAccess”，表示为您IAM用户授予Flexus应用服务器L实例相关云服务资源的全部权限，但是不能使用除此之外的其他云服务。 您也可以搜索并选中Tenant Administrator，表示为您IAM用户授予全部云服务管理员（除IAM管理权限）权限，更方便灵活使用云服务。 设置最小授权范围，单击“确定”。 保持默认配置“所有资源”，您也可以根据需要选择其他选项。 单击用户组GroupA右侧“用户组管理”。 搜索并选中您的IAM用户名“IAM AccountA”，单击“确定”。 此时您的IAM用户“IAM AccountA”已经加入用户组GroupA，并继承用户组的权限。 退出管理员账号，使用“IAM AccountA”IAM账号再次登录，即可正常购买Flexus应用服务器L实例。

是否支持跨云迁移到Flexus L实例？ 支持。您可以使用 主机迁移服务 （ SMS ）将其他云服务器迁移至同地区或跨地区的华为Flexus应用服务器L实例。 迁移前，请先了解迁移服务器的以下约束与限制： 仅支持将X86架构服务器迁移至Flexus应用服务器L实例。 SMS服务仅支持迁移服务器整机数据，不支持单独迁移云服务器的系统盘或者数据盘。 仅支持迁移最多一个数据盘的云服务器，不支持迁移多个数据盘的云服务器。并确保目的端Flexus应用服务器L实例系统盘或数据盘容量不小于源端。 具体操作详见使用 主机迁移 服务（SMS）迁移服务器。 父主题： 产品咨询

Flexus L实例的ID和实例中云服务器ID在哪里查看？ Flexus L实例是一个包含云服务器、云硬盘、云备份、主机安全和Flexus负载均衡的组合产品，以套餐形式整体售卖、管理。因此，Flexus应用服务器L实例存在实例ID、云主机ID、云备份ID和Flexus负载均衡ID多个ID。本节为您介绍如何查看Flexus L实例的实例ID和实例中的云服务器ID即云主机ID。 登录Flexus应用服务器L实例控制台。 单击待查看的Flexus L实例资源卡片，在实例名称后可查看实例ID 。 单击“云主机 VM”，在云主机信息中可查看云主机ID。 单击ID后的复制按钮，可快速复制ID。 图1 实例套餐ID和云主机ID 父主题： 产品咨询

Flexus L实例云主机卡顿怎么办？ Flexus L实例云主机卡顿有以下几种原因，请您逐一排查，选择对应的解决方法。 云主机CPU或带宽使用率过高导致卡顿。 请排查影响云服务器带宽和CPU使用率高的进程，关闭无用和异常进程。具体操作请参见Linux云服务器卡顿怎么办？、Windows云服务器卡顿怎么办？。 您也可以升级实例规格，扩大内存、vCPU和带宽规格。具体操作步骤详见升级Flexus L实例。 通过控制台登录云主机时操作卡顿。 使用其他登录方式可解决此问题，登录方式详见登录方式概述。 Flexus L实例云主机是共享型资源实例，vCPU和带宽为多实例共享资源，当vCPU或带宽资源不足时，实例间可能出现资源争抢，导致云主机卡顿。 如果您对业务稳定性要求较高，可升级实例规格。具体操作步骤详见升级Flexus L实例。 父主题： 网络

计费标准 弹性伸缩服务本身不收取费用，但伸缩组自动创建的按需付费实例需要支付相应的费用，实例的计费标准请参见计费说明。实例使用的弹性公网IP也需支付相应的费用，弹性公网IP的计费标准请参见计费说明。 伸缩组进行减容时，自动创建的实例会被移出伸缩组并删除，删除后将不再收取费用。而之前通过手动移入的实例只会被移出伸缩组，系统仍会收取该实例的使用费用。若您不再需要使用该实例，请自行在E CS 页面进行退订。 例如，弹性伸缩进行扩容活动创建了两台实例，使用一个小时后，进行了缩容活动，这两台实例被移出伸缩组并删除了，则系统只收取这两台实例使用一小时产生的费用。

冷却时间 为了避免告警策略频繁触发，必须设置冷却时间。冷却时间是指冷却伸缩活动的时间，单位为秒。在每次伸缩活动完成之后，系统开始计算冷却时间。伸缩组在冷却时间内，会拒绝告警策略的触发，其他类型的伸缩策略（如定时策略和周期策略）及手动触发不受限制。 例如：冷却时间设置为300秒，定时策略设置了10:32进行伸缩活动，10:30告警触发的伸缩活动结束，则在10:30-10:35时间内，伸缩组会拒绝新告警触发的伸缩活动，但不会拒绝在10:32时定时策略触发的伸缩活动；若10:36定时策略触发的伸缩活动结束，则冷却时间为10:36-10:41。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

生命周期 伸缩组中的实例生命周期，从创建实例开始，到该实例从伸缩组中移除结束。 伸缩组中未添加生命周期挂钩时，实例生命周期内状态之间的过渡如图1所示。 图1 实例生命周期内状态之间的过渡 触发条件②和④表示系统自发触发实例状态的改变。 表1 实例的状态 实例所处状态 子状态 实例状态含义 触发条件 初始状态 - 即实例还没状态。 触发条件①包括有两种情况，只要其中一种情况就能够触发实例进入“正在加入”状态。 手动修改期望实例数或满足伸缩策略的条件时，触发伸缩活动，进行扩容。 手动添加已有实例至伸缩组。 正在加入 创建实例 在触发条件①的作用下，伸缩组开始扩容，创建实例。 绑定负载均衡监听器（可选） 在触发条件①的作用下，创建实例完成后，实例绑定负载均衡监听器。 已启用 - 实例进入伸缩组，开始接受处理业务流量。 触发条件③包括有三种情况，只要其中一种情况就能够触发实例从“已启用”状态到“正在移出”状态： 手动修改期望实例数或满足伸缩策略的条件时，触发伸缩活动，进行缩容。 实例进入启用状态后，开始健康检查，健康检查失败后，移出实例。 手动将实例移出伸缩组。 正在移出 解除绑定负载均衡监听器（可选） 在触发条件③的作用下，伸缩组开始缩容，实例解除绑定负载均衡监听器。 删除实例 实例解除绑定负载均衡监听器后，从伸缩组中移出。 已移除 - 实例在伸缩组中的生命周期已结束，即实例没有状态。 - 通过手动添加实例和伸缩活动向伸缩组添加实例，实例经过正在加入、已启用和正在移出状态后，实例将移出伸缩组。 伸缩组中已添加生命周期挂钩后，实例生命周期内状态之间的过渡如图2所示。当伸缩组进行伸缩活动时，实例将被生命周期挂钩挂起并置于等待状态，实例将保持此状态直至超时时间结束或者用户手动回调。用户能够在实例保持等待状态的时间段内执行自定义操作，例如，用户可以在新移入的实例上安装或配置软件，也可以在实例终止前从实例中下载日志文件。 图2 实例生命周期内状态之间的过渡 触发条件②、④、⑥、⑧表示系统自发触发实例状态的改变。 表2 实例状态 实例所处状态 子状态 实例状态含义 触发条件含义 初始状态 - 即实例还没状态。 触发条件①包括有两种情况，只要其中一种情况就能够触发实例进入“正在加入”状态。 手动修改期望实例数或满足伸缩策略的条件时，触发伸缩活动，进行扩容。 手动添加已有实例至伸缩组。 正在加入 创建实例 在触发条件①的作用下，伸缩组开始扩容，创建实例。 加入挂起 - 正在加入伸缩组的实例被生命周期挂钩挂起，将实例至于等待的状态。 触发条件③包括有两种情况，只要其中一种情况就能够触发实例从“加入挂起”到“正在加入”状态。 默认回调操作 手动回调操作 正在加入 绑定负载均衡监听器（可选） 在触发条件③的作用下，实例将继续正在加入伸缩组，绑定负载均衡监听器。 已启用 - 实例进入伸缩组，开始接受处理业务流量。 触发条件⑤包括有三种情况，只要其中一种情况就能够触发实例从“已启用”状态到“正在移出”状态： 手动修改期望实例数或满足伸缩策略的条件时，触发伸缩活动，进行缩容。 实例进入启用状态后，开始健康检查，健康检查失败后，移出实例。 手动将实例移出伸缩组。 正在移出 解除绑定负载均衡监听器（可选） 在触发条件⑤的作用下，伸缩组开始缩容，实例解除绑定负载均衡监听器。 移出挂起 - 正在移出伸缩组的实例被生命周期挂钩挂起，将实例至于等待的状态。 触发条件⑦包括有两种情况，只要其中一种情况就能够触发实例从“移出挂起”到“正在移出”状态。 默认回调操作 手动回调操作 正在移出 删除实例 在触发条件⑦的作用下，实例将继续正在移出伸缩组，删除实例。 已移除 - 实例在伸缩组中的生命周期已结束，即实例没有状态。 - 通过手动添加实例和伸缩活动向伸缩组添加实例，实例经过正在加入、加入挂起、正在加入、已启用、正在移出、移出挂起和正在移出状态后，实例将移出伸缩组。

与其他服务的关系 除直接使用弹性伸缩提供的对资源进行调整的功能外，若您同时购买了云服务中的其他产品，可以结合其他产品一起使用，能满足您多种场景下对云产品的需求。 弹性伸缩服务与周边服务的依赖关系如图1所示。 图1 弹性伸缩服务与其他服务的关系示意图 表1 弹性伸缩与其他服务的关系 服务名称 说明 交互功能 相关内容 弹性负载均衡（Elastic Load Balance） 当配置了负载均衡服务后，弹性伸缩组在添加或移除云服务器时，自动会为云服务器绑定或解绑负载均衡监听器。 AS支持ELB的前提是：弹性伸缩组和负载均衡器必须处于同一VPC内。 使伸缩组中每一个实例均可分配到应用程序流量 添加负载均衡器到伸缩组 云监控服务 （Cloud Eye） 弹性伸缩配置了告警触发策略时，会根据 云监控 的告警条件触发弹性伸缩活动。 通过监控伸缩组内实例的状态指标调节资源。 弹性伸缩支持的监控指标 弹性云服务器（Elastic Cloud Server） 弹性伸缩活动中添加的云服务器可以通过弹性云服务器进行管理和维护。 自动调整弹性云服务器数量 动态扩展资源 虚拟私有云（Virtual Private Cloud） 弹性伸缩支持自动调整虚拟私有云中创建的弹性公网IP带宽或共享带宽大小。 自动调整带宽大小 创建伸缩带宽策略 消息通知 服务（Simple Message Notification） 用户使用消息通知功能后，系统会将伸缩组的多种情况及时推送给用户，便于用户及时了解伸缩组的状态。 消息通知 为伸缩组配置通知 云审计 服务（Cloud Trace Service） 开通云审计服务后，可以记录弹性伸缩相关的操作事件，便于日后的查询、审计和回溯。 日志审计 记录弹性伸缩 标签管理服务（Tag Management Service） 当您具有许多相同类型的弹性伸缩资源时，标签可以为您提供灵活的资源管理能力。 标签 标记伸缩组和实例

审计与日志 云审计服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 弹性伸缩支持使用云审计记录服务资源操作。云审计记录的操作类型有三种，通过云平台账户登录管理控制台执行的操作，通过云服务支持的API执行的操作，以及系统内部触发的操作。 在您的应用系统中启用云审计服务后，将在日志文件记录对弹性伸缩执行的API调用的操作。您可以在云审计服务管理控制台查询近7天内的操作记录。如果需要保存7天之前的操作记录，您可以通过 对象存储服务 （Object Storage Service，以下简称OBS），将操作记录实时同步保存至OBS。 CTS的详细介绍和开通配置方法请参见CTS快速入门。 云审计服务支持的AS操作列表请参见记录弹性伸缩。 查看审计日志请参见查看审计日志。 父主题： 安全

身份认证 统一身份认证 服务（Identity and Access Management，简称IAM）提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有AS的使用权限，但是不希望他们拥有删除伸缩组等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用伸缩组，但是不允许删除伸缩组的权限策略，控制他们对AS资源的使用范围。

访问控制 AS支持通过权限控制（IAM权限）、项目和企业项目、敏感操作、安全组进行访问控制。 表1 AS访问控制 访问控制方式 简要说明 详细介绍 权限控制（IAM权限） 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限管理 项目和企业项目 项目和企业项目都可以授权给一个或者多个用户组进行管理，管理企业项目的用户归属于用户组。通过给用户组授予策略，用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。 管理项目和企业项目 敏感操作 当您开启操作保护后，进行删除伸缩组操作时，需要进行身份认证。 敏感操作 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 配置安全组规则

AS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 AS部署时通过物理区域划分，为项目级服务，授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问AS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对AS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，AS支持的API授权项请参见策略及授权项说明 。 如表1所示，包括了AS的所有系统权限。 表1 AS系统权限 策略名称 描述 类别 依赖关系 AutoScaling FullAccess 对弹性伸缩全部资源的所有执行权限。 系统策略 无 AutoScaling ReadOnlyAccess 弹性伸缩只读权限，对弹性伸缩全部资源的只读权限。 系统策略 无 AutoScaling Administrator 对弹性伸缩全部资源的所有执行权限。 系统角色 依赖ELB Administrator、 CES Administrator、Server Administrator和Tenant Administrator角色，在同项目中勾选依赖的角色。 表2列出了AS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 AutoScaling FullAccess AutoScaling ReadOnlyAccess AutoScaling Administrator 创建伸缩组 √ x √ 修改伸缩组 √ x √ 查询伸缩组详情 √ √ √ 删除伸缩组 √ x √ 创建伸缩配置 √ x √ 创建伸缩策略 √ x √ 创建伸缩带宽策略 √ x √

什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。