华为云用户手册

操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对DBService进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对DBService进行恢复数据操作。 系统管理员可以通过 FusionInsight Manager创建恢复DBService任务。只支持创建任务手动恢复数据。 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的DBService数据。 MRS 集群中默认使用DBService保存Hive、Hue、Loader、Spark、Oozie、CDL的元数据。恢复DBService的数据将恢复全部相关组件的元数据。

前提条件 如果需要从远端HDFS恢复数据，需要准备备集群，且已完成数据备份，详细操作请参见备份DBService元数据。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置MRS集群间互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用MRS集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。

操作场景 MRS CA证书用于组件客户端与服务端在通信过程中加密数据，实现安全通信。该任务指导集群用户通过FusionInsight Manager完成CA证书替换工作，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 更换CA证书以后，MRS中HDFS、Yarn、MapReduce、HBase、Loader、Hue、Flink（MRS 3.2.0及以后版本）、Oozie、Hive、Tomcat、CAS、httpd和LDAP使用的证书将自动更新。 证书文件和密钥文件可向企业证书中心申请或由集群用户生成。 当前FusionInsight仅支持x.509格式证书导入，且必须是具有签发能力的CA证书。 当前FusionInsight要求OS的编码格式必须为“en_US.UTF-8”或“POSIX”，否则会造成证书功能异常。 若当前集群中有隔离的故障节点，则更换CA证书会跳过该节点。后续隔离节点取消隔离后，需要重装主机，以保证隔离节点和集群使用相同的CA证书。 该章节仅适用于MRS 3.x及之后版本。

操作场景 为了确保ClickHouse集群中的元数据安全，或者集群用户需要对ClickHouse进行重大操作（如升级或迁移等）时，需要对ClickHouse集群的元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 集群用户可以通过FusionInsight Manager创建备份ClickHouse任务并备份元数据。支持创建任务自动或手动备份数据。 该功能仅MRS 3.1.0及之后版本支持。

前提条件 如果数据要备份至远端HDFS中，需满足以下条件： 需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置MRS集群间互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 主备集群中，需要确保ClickHouse的“HADOOP_RPC_PROTECTION”配置项的值与HDFS的“hadoop.rpc.protection”配置项的值保持一致。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“数据存放路径/LocalBackup/”是否有充足的空间。

配置集群外节点用户访问普通模式集群资源 以root用户登录到需要添加用户的节点。 执行以下命令： rpm -qa | grep pam rpm -qa| grep krb5-client 界面一共显示以下rpm包： pam_krb5-32bit-2.3.1-47.12.1 pam-modules-32bit-11-1.22.1 yast2-pam-2.17.3-0.5.211 pam-32bit-1.1.5-0.10.17 pam_mount-32bit-0.47-13.16.1 pam-config-0.79-2.5.58 pam_krb5-2.3.1-47.12.1 pam-doc-1.1.5-0.10.17 pam-modules-11-1.22.1 pam_mount-0.47-13.16.1 pam_ldap-184-147.20 pam-1.1.5-0.10.17 krb5-client-1.6.3 检查操作系统实际是否已安装清单中的rpm包？ 是，执行5。 否，执行4。 从操作系统镜像中获取缺少的rpm包，并上传文件到当前目录，然后执行以下命令安装rpm包： rpm -ivh *.rpm 安装的RPM包可能带来安全风险，请用户对操作系统进行加固时考虑安装这些RPM包所带来的风险。 安装完成后执行5。 执行以下命令，配置pam使用Kerberos认证。 pam-config --add --krb5 如果需要在非集群节点取消Kerberos认证与系统用户登录，以“root”用户执行pam-config --delete --krb5命令。 解压认证凭据文件得到“krb5.conf”，并使用WinSCP将此配置文件上传到集群外节点的“/etc”目录，执行以下命令设置权限使其他用户可以访问，例如“604”： chmod 604 /etc/krb5.conf 以root用户继续在连接会话中执行以下命令为“人机”用户添加对应的操作系统用户，并指定用户主组为“root”。 此操作系统用户密码与在Manager创建“人机”用户时设置的初始密码相同。 useradd 用户名 -m -d /home/admin_test -g root -s /bin/bash 例如，“人机”用户名为“admin_test”，执行以下命令： useradd admin_test -m -d /home/admin_test -g root -s /bin/bash 第一次使用新添加的操作系统用户通过SSH协议登录节点时，首次输入用户密码系统提示密码过期，第二次输入用户密码后系统提示修改密码。请输入一个同时满足节点操作系统及集群密码复杂度的新密码。

配置Controller与Agent间数据传输加密 以omm用户登录到主管理节点。 执行以下命令，防止超时退出。 TMOUT=0 执行完本章节操作后，请及时恢复超时退出时间，执行命令TMOUT=超时退出时间。例如：TMOUT=600，表示用户无操作600秒后超时退出。 执行以下命令，切换目录。 cd ${CONTROLLER_HOME}/sbin 执行以下命令启用通信加密： ./enableRPCEncrypt.sh -t 执行sh ${BIGDATA_HOME}/om-server/om/sbin/status-oms.sh，查看主管理节点Controller的“ResHAStatus”是否为“Normal”，并可以重新登录FusionInsight Manager表示更改成功。 如果需要关闭加密模式，执行以下命令： ./enableRPCEncrypt.sh -f 执行sh ${BIGDATA_HOME}/om-server/om/sbin/status-oms.sh，查看主管理节点Controller的“ResHAStatus”是否为“Normal”，并可以重新登录FusionInsight Manager表示更改成功。

操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对CDL进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对CDL进行恢复数据操作。 CDL的元数据存储在DBService与Kafka服务中，系统管理员可以通过FusionInsight Manager创建恢复DBService与Kafka任务恢复CDL数据。只支持创建任务手动恢复数据。 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的DBService与Kafka数据。 MRS集群中默认使用DBService保存Hive、Hue、Loader、Spark、Oozie、CDL的元数据。恢复DBService的数据将恢复全部相关组件的元数据。

前提条件 如果需要从远端HDFS恢复数据，需满足以下条件： 需准备一个用于恢复数据的备集群，且该集群已完成数据备份，详细操作请参见备份CDL业务数据。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置MRS集群间互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用MRS集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。 恢复CDL业务数据时需要先停止Kafka服务，待恢复完成后，再启动Kafka服务。

前提条件 检查ClickHouse元数据备份文件保存路径。 如果需要从远端HDFS恢复数据，需要准备备集群，且已完成数据备份，详细操作请参见备份ClickHouse元数据。如果主备集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置MRS集群间互信。如果主备集群部署为普通模式，则不需要配置互信。 主备集群中，从远端HDFS恢复至本地时，需要确保ClickHouse的“HADOOP_RPC_PROTECTION”配置项与HDFS的“hadoop.rpc.protection”配置项的值保持一致。

操作场景 在用户意外修改、删除或需要找回数据时，集群用户需要对ClickHouse进行重大操作（如升级或迁移等）后，系统数据出现异常或未达到预期结果，导致ClickHouse组件全部故障无法使用，或者迁移数据到新集群的场景中，需要对ClickHouse元数据进行恢复数据操作。 集群用户可以通过FusionInsight Manager创建恢复ClickHouse任务。只支持创建任务手动恢复数据。 该功能仅MRS 3.1.0及之后版本支持。 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复ClickHouse元数据，建议手动备份最新ClickHouse元数据后，再执行恢复ClickHouse元数据操作。否则会丢失从备份时刻到恢复时刻之间的ClickHouse元数据。 ClickHouse元数据恢复和业务数据恢复不能同时进行操作，否则会导致业务数据恢复失败。建议元数据恢复完成后再进行业务数据恢复。

步骤二：创建指标 在“指标仓库”页面，单击已创建的逻辑主体。 单击逻辑主体页面的“新建指标”，选择“新建单个指标”。 配置指标参数，参数说明如表2所示，配置完成后，单击“创建”。 表2 配置指标参数说明 参数名称 参数说明 类型 选择指标类型。 英文名称 自定义英文名称。 中文名称 自定义中文名称。 指标等级 选择指标等级。 描述 输入描述信息。 开放名称 - 指标类型 根据指标的类型分为RequestCount、DelayTime、SuccessRate、FailureRate、Speed、Bandwidth。 逻辑主体 选择指标来源的逻辑主体。 标签列表 - 指标责任人 - 开放状态 - 抽象指标 - 是否多聚合字段 - 聚合类型 选择指标的统计方式。 聚合字段 指标的度量对象。 过滤器 依据业务限定条件，给指标设置过滤规则，支持AND、OR多层嵌套过滤条件，节点类型为NODE。 举例：有5个过滤条件ABCDE，过滤条件汇总后为（A AND B）OR （C AND D AND E），ABCDE即为NODE节点。

步骤四：创建日志配置下发任务 在“虚拟机日志接入”页面，选择左侧导航栏的“任务管理”。 单击页面右上角的“新建任务”。 配置任务参数，参数说明如表5所示，配置完成后，单击“确定”。 表5 日志配置下发任务参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目。 任务名称 自定义任务名称。 任务类型 选择任务类型。 配置类型 选择日志采集配置类型。 配置列表 选择需要下发的配置。 用户名称 选择已规划并拥有日志读取权限的业务账号。 选择主机 选择需要下发配置的主机。 已选主机 显示已选主机。 在任务列表中查看已创建的任务，单击任务所在行“操作”列的“执行”。 执行完成后，状态为成功即表示日志配置内容已下发成功，即会按照配置将日志接入AppStage。

步骤二：创建日志空间 在“虚拟机日志接入”页面，选择左侧导航栏的“日志空间”。 单击“申请实时日志空间”。 根据界面提示填写日志空间参数。 配置实时日志空间信息，参数说明如表2所示，配置完成后，单击“下一步”。 表2 实时日志空间信息参数说明 参数名称 参数说明 空间名称 自定义日志空间名称，建议包含日志类型语义。 空间描述 输入日志空间描述，非必填项。 日志类型 选择需接入的日志类型，该日志空间中接入的日志数据“logType”字段会根据选择的日志类型生成。不同日志类型所对应的“logType”字段如下： 访问日志：AC CES S_ LOG 接口日志：INTERFACE_LOG 错误日志：ERROR_LOG 异常日志：EXCEPTION_LOG 安全日志：SAFE_LOG 资源日志：RESOURCE_LOG 运行日志：RUN_LOG 话单日志：CDR_LOG 指标日志：METRI CS _LOG GC日志：GC_LOG HCW日志：HCW_LOG 日志大小 预计一天的日志量，默认为1GB。 开启日志检索 如果需要使用日志检索功能，可以打开该开关，并创建导流任务，创建导流任务后可以在“日志检索”页面查看日志。 检索空间类型 选择ClickHouse。 原索引名称(ClickHouse) 可选择现有的ClickHouse，如果不填会自动生成。 TTL 日志索引的生命周期，即可以检索的日志时间范围，当前默认支持7天。 配置实时日志字段信息，参数说明如表3所示，配置完成后，单击“下一步”。 表3 实时日志字段信息参数说明 参数名称 参数说明 自定义字段 必须接入的日志字段已默认勾选，可以勾选其他需要接入的日志字段，包括通用字段、容器字段和虚机字段。 新增自定义环境变量 如需添加自定义环境变量，请选择环境变量名，然后单击“添加”。虚机暂无可选自定义环境变量。 清洗规则 选择日志清洗规则。 请优先使用算子清洗模式采样，通过配置解析脚本将原始日志清洗为业务需要的日志字段，算子清洗功能及使用样例请参见算子清洗功能介绍。原始日志采样清洗只适用于单纯采样，不需要清洗的场景。 日志样例 输入日志样例。 解析脚本 配置解析脚本，将日志样例清洗为字段显示。 说明： 配置解析脚本时字段命名不支持使用中划线“-”，支持使用下划线“_”。 清洗字段 配置解析脚本后单击“配置解析脚本”，自动生成清洗字段，查看字段是否符合预期。 开启汇聚 选择是否开启日志汇集，如果日志量较大且不需要关注原始日志时可以进行日志汇集。 开启后会自动创建用于存储汇聚数据的Topic，同时需要配置汇集相关参数。 汇聚粒度 开启汇聚后，需要设置汇集粒度。支持分钟级和秒级数据汇聚。选择分钟级，每一分钟会生成一个统计点，选择秒级，每一秒会生成一个统计点。 汇聚时间戳 仅支持时间戳格式字段timestamp，获取当前计算的日志的时间。 时间戳格式 选择时间戳格式。支持秒、毫秒、纳秒级时间戳，获取当前计算的日志的时间格式。 汇聚维度 结合业务场景需要，选择日志是以哪些日志字段进行日志汇聚，支持多选。 汇聚度量 设置对日志字段以COUNT、SUM、MAX、MIN进行度量。 原始字段是日志中的字段，用来获取原始值；度量字段是用户自定义字段名，计算后，度量的值会赋值给该字段。 输出原始日志 选择是否需要输出原始日志。如果打开输出原始日志，原始日志也会上报。 日志字段确认，确认日志字段配置是否达到预期，达到预期后可单击“下一步”。 其中字段来源COMMON表示通用字段、CONTAINER表示容器字段、VM表示虚机字段。 申请日志空间共享，如果需要其他自有服务共用这个空间进行日志下发和日志检索，可以添加共享服务。配置完成后，单击“保存”。

步骤三：创建日志采集配置 在“虚拟机日志接入”页面，选择左侧导航栏的“日志采集配置”。 单击“创建日志采集配置”。 配置日志采集参数，配置完成后，单击“确定”。 新创建的采集配置默认为草稿状态，展示在“草稿”页签下，当配置被微服务使用后，状态会更新为“已下发”，并展示到“已下发”页签下。 表4 日志采集配置参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目，相同服务的不同日志使用同一个日志项目 日志空间 选择已创建的日志空间。选择日志空间时日志提取规则会展示日志空间定义的日志格式，采集的日志须满足对应格式。 配置名称 自定义日志采集配置名称。 配置类型 选择日志采集配置类型，建议选择“FILEBEAT”。 日志类型 输入采集日志类型。 日志路径 填写实际日志路径，可使用通配符进行匹配。 说明： 接入容器日志需要根据通配符匹配完成。 注意避免同一台主机上下发的多个采集任务重复采集相同的日志文件，会导致filebeat进程异常。 日志TPS TPS表示单实例每秒日志条数，请准确填写，用于推荐资源自动计算。 如果采集路径是单个日志，则按照单个日志单台机器（pod）的TPS值填写，且按照高峰期计算。 如果采集路径配置了通配符，则将采集的日志TPS累加，累加计算高峰期单台机器（pod）的TPS，建议按近期业务增长预期填写。 日志模式 选择日志采集模式，是单行模式还是多行模式。 是否支持软连接 当填写的日志路径为链接路径时，需要开启支持软连接。 首行正则表达式 日志模式选择多行模式时，需要输入首行正则表达式。 日志提取规则 根据填写的配置参数会自动生成提取规则。

消费者增加用户认证信息 无论是普通消息、顺序消息、定时消息，还是事务消息，都参考如下代码。以下加粗内容需要替换为实例自有信息，请根据实际情况替换。 import time from rocketmq.client import PushConsumer, ConsumeStatus def callback(msg): print(msg.id, msg.body, msg.get_property('property')) return ConsumeStatus.CONSUME_SUCCESS def start_consume_message(): consumer = PushConsumer('consumer_group') consumer.set_name_server_address('192.168.0.1:8100') # 设置权限（角色名和密钥） consumer.set_session_credentials( "ROCKETMQ_AK", # 角色名称 "ROCKETMQ_SK", # 角色密钥 '' )#用户名和密钥直接硬编码到代码中或者明文存储都存在很大的风险，建议在配置文件或者环境变量中密文存放，使用时解密。 consumer.subscribe('TopicTest', callback) print('start consume message') consumer.start() while True: time.sleep(3600) if __name__ == '__main__': start_consume_message() 示例代码中的参数说明如下，请参考收集连接信息获取参数值。 consumer_group：表示消费组名称。 192.168.0.1:8100：表示实例连接地址和端口。 ROCKETMQ_AK：表示用户名。创建用户的步骤，请参见创建用户。 ROCKETMQ_SK：表示用户的密钥。 TopicTest：表示Topic名称。

生产者增加用户认证信息 普通消息、顺序消息和定时消息，参考如下代码。以下加粗内容需要替换为实例自有信息，请根据实际情况替换。 from rocketmq.client import Producer, Message topic = 'TopicTest' gid = 'test' name_srv = '192.168.0.1:8100' def create_message(): msg = Message(topic) msg.set_keys('XXX') msg.set_tags('XXX') msg.set_property('property', 'test') msg.set_body('message body') return msg def send_message_sync(): producer = Producer(gid) producer.set_name_server_address(name_srv) # 设置权限（角色名和密钥） producer.set_session_credentials( "ROCKETMQ_AK", # 角色名称 "ROCKETMQ_SK", # 角色密钥 '' )#用户名和密钥直接硬编码到代码中或者明文存储都存在很大的风险，建议在配置文件或者环境变量中密文存放，使用时解密。 producer.start() msg = create_message() ret = producer.send_sync(msg) print('send message status: ' + str(ret.status) + ' msgId: ' + ret.msg_id) producer.shutdown() if __name__ == '__main__': send_message_sync() 示例代码中的参数说明如下，请参考收集连接信息获取参数值。 topic：表示Topic名称。 gid：表示生产者组名称，请根据业务实际情况输入生产者组名称。 name_srv：表示实例连接地址和端口。 ROCKETMQ_AK：表示用户名。创建用户的步骤，请参见创建用户。 ROCKETMQ_SK：表示用户的密钥。 事务消息，参考如下代码。以下加粗内容需要替换为实例自有信息，请根据实际情况替换。 import time from rocketmq.client import Message, TransactionMQProducer, TransactionStatus topic = 'TopicTest' gid = 'test' name_srv = '192.168.0.1:8100' def create_message(): msg = Message(topic) msg.set_keys('XXX') msg.set_tags('XXX') msg.set_property('property', 'test') msg.set_body('message body') return msg def check_callback(msg): print('check: ' + msg.body.decode('utf-8')) return TransactionStatus.COMMIT def local_execute(msg, user_args): print('local: ' + msg.body.decode('utf-8')) return TransactionStatus.UNKNOWN def send_transaction_message(count): producer = TransactionMQProducer(gid, check_callback) producer.set_name_server_address(name_srv) # 设置权限（角色名和密钥） producer.set_session_credentials( "ROCKETMQ_AK", # 角色名称 "ROCKETMQ_SK", # 角色密钥 '' )#用户名和密钥直接硬编码到代码中或者明文存储都存在很大的风险，建议在配置文件或者环境变量中密文存放，使用时解密。 producer.start() for n in range(count): msg = create_message() ret = producer.send_message_in_transaction(msg, local_execute, None) print('send message status: ' + str(ret.status) + ' msgId: ' + ret.msg_id) print('send transaction message done') while True: time.sleep(3600) if __name__ == '__main__': send_transaction_message(10) 示例代码中的参数说明如下，请参考收集连接信息获取参数值。 topic：表示Topic名称。 gid：表示生产者组名称，请根据业务实际情况输入生产者组名称。 name_srv：表示实例连接地址和端口。 ROCKETMQ_AK：表示用户名。创建用户的步骤，请参见创建用户。 ROCKETMQ_SK：表示用户的密钥。

消费者增加用户认证信息 无论是普通消息、顺序消息、定时消息，还是事务消息，都参考如下代码。以下加粗内容需要替换为实例自有信息，请根据实际情况替换。 package main import ( "context" "fmt" "os" "time" "github.com/apache/rocketmq-client-go/v2" "github.com/apache/rocketmq-client-go/v2/consumer" "github.com/apache/rocketmq-client-go/v2/primitive" ) func main() { c, err := rocketmq.NewPushConsumer( consumer.WithGroupName("testGroup"), consumer.WithNsResolver(primitive.NewPassthroughResolver([]string{"192.168.0.1:8100"})), consumer.WithCredentials(primitive.Credentials{ AccessKey: os.Getenv("ROCKETMQ_AK"), //用户名和密钥直接硬编码到代码中或者明文存储都存在很大的风险，建议在配置文件或者环境变量中密文存放,使用时解密。 SecretKey: os.Getenv("ROCKETMQ_SK"), }), ) if err != nil { fmt.Println("init consumer error: " + err.Error()) os.Exit(0) } err = c.Subscribe("test", consumer.MessageSelector{}, func(ctx context.Context, msgs ...*primitive.MessageExt) (consumer.ConsumeResult, error) { fmt.Printf("subscribe callback: %v \n", msgs) return consumer.ConsumeSuccess, nil }) if err != nil { fmt.Println(err.Error()) } // Note: start after subscribe err = c.Start() if err != nil { fmt.Println(err.Error()) os.Exit(-1) } time.Sleep(time.Hour) err = c.Shutdown() if err != nil { fmt.Printf("Shutdown Consumer error: %s", err.Error()) } } 示例代码中的参数说明如下，请参考收集连接信息获取参数值。 testGroup：表示消费组名称。 192.168.0.1:8100：表示实例连接地址和端口。 AccessKey：表示用户名。创建用户的步骤，请参见创建用户。 SecretKey：表示用户的密钥。 test：表示Topic名称。

生产者增加用户认证信息 生产者初始化时需要增加“rpcHook”参数。 普通消息、顺序消息和定时消息，增加如下代码。 RPCHook rpcHook = new AclClientRPCHook(new SessionCredentials("ACL_ACCESS_KEY", "ACL_SECRET_KEY")); DefaultMQProducer producer = new DefaultMQProducer("ProducerGroupName", rpcHook); 事务消息，增加如下代码。 RPCHook rpcHook = new AclClientRPCHook(new SessionCredentials("ACL_ACCESS_KEY", "ACL_SECRET_KEY")); TransactionMQProducer producer = new TransactionMQProducer("ProducerGroupName", rpcHook); ACL_ACCESS_KEY为用户名，ACL_SECRET_KEY为用户的密钥。创建用户的步骤，请参见创建用户。为了确保用户名和密钥的安全性，建议对用户名和密钥进行加密处理。

消费者增加用户认证信息 消费者初始化时需要增加“rpcHook”参数。无论是普通消息、顺序消息、定时消息，还是事务消息，都增加如下代码。 RPCHook rpcHook = new AclClientRPCHook(new SessionCredentials("ACL_ACCESS_KEY", "ACL_SECRET_KEY")); DefaultMQPushConsumer consumer = new DefaultMQPushConsumer(null, "ConsumerGroupName", rpcHook); ACL_ACCESS_KEY为用户名，ACL_SECRET_KEY为用户的密钥。创建用户的步骤，请参见创建用户。为了确保用户名和密钥的安全性，建议对用户名和密钥进行加密处理。

概述 第二章介绍如何获取RocketMQ实例连接信息。 第三章~第七章介绍Java、Go和Python客户端访问分布式消息服务RocketMQ版的示例代码，具体如表1所示。 表1 示例代码 客户端语言 示例代码 Java（TCP协议） 收发普通消息 收发顺序消息 收发事务消息 发送定时消息 使用ACL权限访问 消费端限流 Java（gRPC协议） 收发普通消息 收发顺序消息 收发事务消息 发送定时消息 Go（TCP协议） 收发普通消息 收发顺序消息 收发事务消息 发送定时消息 使用ACL权限访问 Go（gRPC协议） 收发普通消息 收发顺序消息 收发事务消息 发送定时消息 Python（TCP协议） 收发普通消息 收发顺序消息 收发事务消息 发送定时消息 使用ACL权限访问

后续操作（可选） 已部署的实例，支持查看创建、删除等操作记录。在“操作记录”页面，左侧操作状态栏会展示已有操作记录的状态，操作状态类型包括：初始化、进行中、成功和失败。 登录 区块链 服务管理控制台，单击左侧导航栏中的“实例管理”，选择华为云区块链引擎页签。 单击“操作记录”，查看各个资源的操作记录。 您可以按资源名称搜索操作记录，还可以在资源所在行进行“操作详情”及“删除”操作。 图2 华为云区块链引擎操作记录 系统将保留最近三天的操作记录。

部署华为云区块链引擎实例 完成环境准备工作后，可按照如下步骤购买并部署华为云区块链引擎实例。 进入购买华为云区块链引擎实例页面。 已部署的实例，单击左侧导航栏中的“实例管理”，单击右侧的“操作记录”，查看操作记录并在实例右侧进行“操作详情”及“删除”操作。 根据界面提示，配置区块链基本信息，参数如表1所示。 图1 云端管理页面 表1 基本信息配置 参数 描述 示例 管理模式 选择云端管理：使用华为云资源管理区块链数据。 云端管理 计费模式 华为云区块链引擎的收费模式，支持包年/包月。 包年/包月 区域 区块链基础设施所在的区域，建议选择与业务应用系统相同的地域。 使用默认区域 区块链实例名称 支持英文字符、数字及中划线，不能以中划线开头，长度为4-24个字符。 说明： 目前区块链实例名称不支持修改，只能删除重新创建。 bcs-hw 版本类型 提供专业版、企业版和铂金版供您选择。 专业版 组织配置 支持增加组织成员数。 专业版支持最大成员组织数2个，企业版支持最大成员组织数10个，铂金版支持最大成员组织数100个。 - 高级设置 共识策略：区块链网络中节点之间达成共识需要遵从的规则。默认为Raft(CFT)策略。 安全机制：保证数据安全的加密算法，默认为ECDSA；支持国密算法。 - 购买时长 支持自定义购买实例的使用时间，最短1个月。 您可根据需要选择勾选自动续费，按月购买的自动续费周期为1个月，按年购买的自动续费周期为1年。 1个月 单击“立即创建”。 确认配置信息无误后，勾选协议和免责声明，并单击“提交”。 进入支付页面，确认订单费用无误后，单击“确认付款”，订单支付成功后，即可返回区块链服务控制台查看正在创建的实例。 实例创建大概需要18-25分钟，请耐心等待。实例创建成功后，查看实例状态变为“正常”后，表示华为云区块链引擎实例部署完成。

操作步骤 登录区块链服务管理控制台。 在左侧导航栏中选择“实例管理”，选择Hyperledger Besu实例。 单击实例名称，进入实例详情页面。 在左侧导航栏中选择“认证凭据”，进入认证凭据页面。 单击“创建凭据”，在创建凭据页面中，填写描述信息。 单击“确定”，认证凭据创建完成，并自动下载认证凭据zip包。 每个认证凭据仅能下载一次，为了节点安全性，建议您定期更换并妥善保存认证凭据。 解压后，打开credential.csv文件，可获取认证凭据信息。 通过Authorization:Bearer $JwtToken调用Besu的接口，JwtToken为已获取的认证凭据信息。

操作步骤 登录区块链服务管理控制台。 在左侧导航栏中选择“恢复管理”，进入恢复管理页面，选择待恢复的实例备份，单击对应操作列的“恢复”。 在弹出对话框中，单击“是”，进入恢复华为云区块链引擎实例页面，配置参数信息。 表1 恢复备份参数表 参数 说明 区块链实例规格 备份实例的规格，不可修改。 购买时长 支持自定义购买实例的使用时间，最短1个月。 您可根据需要选择勾选自动续费，按月购买的自动续费周期为1个月，按年购买的自动续费周期为1年。 确认配置信息无误后，勾选协议和免责声明，并单击“提交”。 进入支付页面，确认订单费用无误后，单击“确认付款”，订单支付成功后，即可返回区块链服务控制台查看正在创建的实例。 实例创建大概需要18-25分钟，请耐心等待。实例创建成功后，查看实例状态变为“正常”后，表示华为云区块链引擎实例部署完成。 当备份的实例已创建高性能通道（VPCEP），在恢复备份实例后，需要您手动创建高性能通道（VPCEP），并重新下载配置文件。

设置自动备份策略 登录区块链服务管理控制台。 在左侧导航栏中选择“实例管理”，选择华为云区块链引擎。 单击实例名称，进入实例详情页面。 在左侧导航栏中选择“备份”，进入备份页面。 单击“设置自动备份策略”，在弹出对话框中，配置参数信息。 表1 自动备份参数表 参数 说明 启用备份 启用备份的开关。开启后，可设置自动备份；关闭后，可关闭自动备份。 备份周期 实例备份的周期，默认为1天。周期有1天、3天和7天，您可以根据自己的实际需要，进行选择设置。 说明： 开启备份并设置备份周期后，从次日凌晨3点会自动执行实例备份。 最多支持创建1个自动备份。 创建的实例备份，在实例退订后会保留7天，期间可以选择备份数据进行恢复，7天不进行恢复备份将会自动删除。 完成后，单击“确定”。

下载配置文件 华为云区块链引擎服务支持执行合约、查询合约等功能。开发应用之前您需要进行配置文件下载，配置文件中包含用户证书和SDK。 使用用户证书进行普通的交易和查询操作。 SDK基于该配置文件可以方便地访问区块链网络并完成事务处理，您可以免去手工配置的繁琐流程。 请妥善保管下载用户证书中的私钥，建议您对私钥进行加密存储。 登录区块链服务管理控制台。 单击左侧导航栏中的“实例管理”，选择华为云区块链引擎。 请根据实际情况按如下方式选择下载配置文件： 基于华为云资源部署的华为云区块链引擎实例：在实例卡片的右上角单击“下载配置文件”。 图1 下载配置文件 设置配置文件参数信息如下表1。 图2 配置文件页面 表1 参数表 参数名称 说明 证书存放路径 用户在编译应用程序时，证书的最终存放路径。如果证书路径后期有变更，您需要手动修改SDK配置文件中所有证书相关路径。 组织 选择组织。 访问方式 标准通道 高性能通道（VPCEP）：应用访问区块链流量较大场景时，建议使用VPCEP方式。请提前创建虚拟私有云和子网。 单击“创建终端节点”。 计费方式选择默认按需计费，选择虚拟机私有云和子网。 单击“立即创建”。 确认信息无误后，勾选协议和免责声明，并单击“提交”。 创建成功后，刷新页面，返回下载配置页面，即可选择已创建成功的终端节点。 证书选择 用户证书 单击“下载”。 将下载的配置文件压缩包解压并放置在某应用目录中，使应用程序可访问，下载后解压出yaml文件备用。 父主题： 华为云区块链引擎管理

后续操作（可选） 已部署的实例，支持查看创建、删除等操作记录。在“操作记录”页面，左侧操作状态栏会展示已有操作记录的状态，操作状态类型包括：初始化、进行中、成功和失败。 登录区块链服务管理控制台，单击左侧导航栏中的“实例管理”，选择华为云区块链引擎页签。 单击“操作记录”，查看各个资源的操作记录。 您可以按资源名称搜索操作记录，还可以在资源所在行进行“操作详情”及“删除”操作。 图2 华为云区块链引擎操作记录 系统将保留最近三天的操作记录。

部署Hyperledger Besu实例 完成环境准备工作后，可按照如下步骤购买并部署Hyperledger Besu实例。 进入购买华为云区块链引擎实例页面。 已部署的实例，单击左侧导航栏中的“实例管理”，单击右侧的“操作记录”，查看操作记录并在实例右侧进行“操作详情”及“删除”操作。 根据界面提示，配置区块链基本信息，参数如表1所示。 图1 云端管理页面 表1 基本信息配置 参数 描述 示例 管理模式 选择云端管理：使用华为云资源管理区块链数据。 云端管理 实例类型 区块链实例的类型。有两种实例类型，华为云区块链引擎和Hyperledger Besu。 Hyperledger Besu 计费模式 华为云区块链引擎的收费模式，支持包年/包月。 包年/包月 区域 区块链基础设施所在的区域，建议选择与业务应用系统相同的地域。 使用默认区域 区块链实例名称 支持英文字符、数字及中划线，不能以中划线开头，长度为4-24个字符。 说明： 目前区块链实例名称不支持修改，只能删除重新创建。 bcs-hw 版本类型 版本的类型，提供专业版和企业版供您选择。 专业版 节点配置 支持增加节点成员数。 支持最大成员节点数10个。 - 高级设置 共识策略：区块链网络中节点之间达成共识需要遵从的规则。默认为IBFT2.0策略。 安全机制：保证数据安全的加密算法，默认为ECDSA。 - 购买时长 支持自定义购买实例的使用时间，最短1个月。 您可根据需要选择勾选自动续费，按月购买的自动续费周期为1个月，按年购买的自动续费周期为1年。 1个月 单击“立即创建”。 确认配置信息无误后，勾选协议和免责声明，并单击“提交”。 进入支付页面，确认订单费用无误后，单击“确认付款”，订单支付成功后，即可返回区块链服务控制台查看正在创建的实例。 实例创建大概需要18-25分钟，请耐心等待。实例创建成功后，查看实例状态变为“正常”后，表示华为云区块链引擎实例部署完成。

查看告警 登录区块链服务管理控制台。 在左侧导航栏，单击“实例管理”，可查看已创建实例的基本信息，包括区块链的类型、共识策略、状态、创建时间等信息。 在实例卡片上单击区块链名称，可查看区块链实例的详细信息。 单击“监控”页签，可查看告警信息。这里展示的是与该区块链实例相关的告警，告警源包括 BCS 和CCE。在右上角可以选择查看“近30分钟”、“近1小时”或“近1天”的告警，也可以输入告警名称搜索告警。 单击告警名称，例如“节点连接排序节点告警”，查看告警详情。告警源包括BCS和CCE，告警处理建议参见表1。