华为云用户手册

应用场景 单实例多并发适合函数处理逻辑中有较长时间等待下游服务响应的场景，也适合函数逻辑中初始化时间较长的场景，具备以下优势： 降低冷启动概率，优化函数处理时延：例如并发三个请求，不配置单实例多并发，FunctionGraph默认启动三个实例处理请求，会有三次冷启动。若配置了单实例支持三并发，三个并发请求，FunctionGraph只启动一个实例处理请求，减少了两次冷启动。 减少总请求处理时长，节省费用：单实例单并发下，多个请求的总处理时长为每个请求的处理时长相加。单实例多并发下，同一个实例对并发的多个请求的计费时间为，从第一个请求开始处理计时，到最后一个并发的请求处理结束计一次时长费用。

单实例单并发与单实例多并发的对比 当一个函数执行需要花费5秒，若配置为单实例单并发，三次函数调用请求分别在三个函数实例执行，总执行时长为15秒。 若配置为单实例多并发，设置单实例并发数为5，即单个实例最多支持5个并发请求，如果有三次函数调用请求，将在一个实例内并发处理，总执行时间为5秒。 单实例并发数大于1，在您设置的“单函数最大实例数”范围内，超过单实例并发处理能力时会自动扩容新实例。 表1 单并发与多并发对比 对比项 单实例单并发 单实例多并发 日志打印 - Node.js Runtime使用console.info()函数，Python Runtime使用print()函数，Java Runtime使用System.out.println()函数打印日志，该方式会把当前请求的Request ID包含在日志内容中。当多请求在同一个实例并发处理时，当前请求可能有很多个，继续使用这些函数打印日志会导致Request ID错乱。此时应该使用context.getLogger()，获取一个日志输出对象，通过这个日志输出对象打印日志，例如Python Runtime： log = context.getLogger() log.info("test") 共享变量 不涉及 单实例多并发处理时，修改共享变量会导致错误。这要求您在编写函数时，对于非线程安全的变量修改要进行互斥保护。 监控指标 按实际情况进行监控。 相同负载下，函数的实例数明显减少。 流控错误 不涉及 太多请求时，body中的errorcode为“FSS.0429” ，响应头中的status为429 ，错误信息提示：Your request has been controlled by overload sdk, please retry later。

前提条件 进行操作之前，需要做好以下准备： 已经创建函数并开启VPC，创建过程请参见创建空白函数和配置函数访问公网或VPC网络。 已经创建EG事件通道，创建过程请参见创建eg事件通道。 已经创建RocketMQ实例，创建过程请参见购买RocketMQ实例。 已经创建RocketMQ topic，创建过程请参见创建topic。 已经创建RocketMQ 消费组，创建过程请参见创建消费组。 EG触发器当前仅支持华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、亚太-新加坡、拉美-墨西哥城二。

共享VPC 共享VPC是基于 资源访问管理 （Resource Access Manager，简称 RAM ）服务的机制，VPC的所有者可以将VPC内的子网共享给其他账号使用，实现网络资源跨租户共享。在函数中可以配置其他用户共享给您的子网，从而可以在函数中访问该子网下的资源。 如果需要在函数中访问其他用户共享给您的子网，请先确保该子网的拥有者已经正常为您配置了子网共享（如何配置请参考VPC子网共享给其他账号），然后在函数的网络配置中选择共享的子网即可，具体操作请参考访问VPC。如果后续VPC子网拥有者取消了共享，则您将无法在函数中访问该子网。 有关VPC子网共享的更多信息，请参见《虚拟私有云用户指南》的“共享VPC”相关内容。

网络限制 根据对网络的不同设置，函数有以下网络访问能力，您可按需设置。 网络配置 说明 允许函数访问公网 当前函数默认的公网NAT访问带宽在多个租户间共享，带宽小，仅适合小量调用的测试业务场景使用；如果对带宽、性能、可靠性有高要求的生产业务场景，需开启函数访问VPC，在VPC内添加公网NAT网关并绑定EIP，分配独占的外网访问带宽。 允许函数访问VPC内资源 开启“允许函数访问VPC内资源”时，函数将禁用默认网卡并使用VPC绑定的网卡，是否允许公网访问由配置的VPC决定，开关“允许函数访问公网”将不生效。 仅允许指定的VPC调用函数 开启“仅允许指定的VPC调用函数”时，将仅允许通过指定的VPC调用函数，并禁止通过公网调用函数。

FunctionGraph资源 资源是服务中存在的对象。在FunctionGraph中，资源包括：函数和触发器，您可以在创建自定义策略时，通过指定资源路径来选择特定资源。 表1 FunctionGraph的指定资源与对应路径 资源类型 资源名称 资源路径 function 函数 【格式】 FunctionGraph::::function:分组/函数名称 【说明】 对于桶资源， IAM 自动生成资源路径前缀FunctionGraph:*:*:function: 通过函数名称指定具体的资源路径，支持通配符。例如：FunctionGraph:*:*:function:default/*表示default分组下任意函数。 trigger 触发器 【格式】 FunctionGraph::::trigger:触发器ID 【说明】 对于对象资源，IAM自动生成资源路径前缀FunctionGraph:*:*:trigger: 通过触发器ID指定具体的资源路径，支持通配符。例如：FunctionGraph:*:*:trigger:*表示任意触发器。

FunctionGraph自定义策略 如果系统预置的FunctionGraph权限，不满足您的授权要求，可以创建自定义策略。 目前华为云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义策略。本章为您介绍常用的FunctionGraph自定义策略样例。

FunctionGraph自定义策略样例 示例1：授权用户查询函数代码和配置 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "functiongraph:function:list", "functiongraph:function:getConfig", "funcitongraph:function:getCode" ] } ] } 示例2：拒绝用户删除函数 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予FunctionGraph FullAccess的系统策略，但不希望用户拥有FunctionGraph FullAccess中定义的删除函数权限，您可以创建一条拒绝删除函数的自定义策略，然后同时将FunctionGraph FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对FunctionGraph执行除了删除函数外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ "Effect": "Deny", "Action": [ "functiongraph:function:delete" ] ] } 示例3：特定资源权限配置 特定资源：授予IAM用户特定资源的相应权限。例如授予IAM用户所属应用Default下函数functionname的相应权限，需将函数functionname设置为指定资源路径，添加资源路径：FUNCTIONGRAPH:*:*:function:Default/functionname。 指定函数资源： 【格式】FUNCTIONGRAPH:*:*:function:所属应用/函数名称 对于函数资源，IAM自动生成资源路径前缀“FUNCTIONGRAPH:*:*:function:”。通过所属应用和函数名称指定具体的资源路径，支持通配符*。例如：FUNCTIONGRAPH:*:*:function:Default/*表示Default应用下的任意函数。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "functiongraph:function:list" ] }, { "Effect": "Allow", "Action": [ "functiongraph:function:listAlias", "functiongraph:function:listVersion", "functiongraph:function:getConfig", "functiongraph:function:getCode", "functiongraph:function:updateCode", "functiongraph:function:invoke", "functiongraph:function:updateConfig", "functiongraph:function:createVersion", "functiongraph:function:updateAlias", "functiongraph:function:createAlias" ], "Resource": [ "FUNCTIONGRAPH:*:*:function:Default/*" ] } ] }

函数监控指标 表1 FunctionGraph支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） count 调用次数 该指标用于统计函数调用次数。 单位：次 ≥ 0 counts 函数 5分钟 failcount 错误次数 该指标用于统计函数调用错误次数。 以下两种情况都会计入错误次数： 函数请求异常，导致无法执行完成且返回200。 函数自身语法错误或者自身执行错误。 单位：次 ≥ 0 counts 函数 5分钟 failRate 错误率 该指标用于统计函数调用错误次数在总调用次数中的占比率。 单位：% 0% ≤X≤ 100% 函数 5分钟 rejectcount 被拒绝次数 该指标用于统计函数调用被拒绝次数。 被拒绝次数是指并发请求太多，系统流控而被拒绝的请求次数。 单位：次 ≥ 0 counts 函数 5分钟 concurrency 并发数 该指标用于统计函数同时调用处理的最大并发请求个数。 单位：个 ≥ 0 counts 函数 5分钟 reservedinstancenum 预留实例个数 该指标用于统计函数配置的预留实例个数。 单位：个 ≥ 0 counts 函数 5分钟 duration 平均运行时间 该指标用于统计函数调用平均运行时间。 单位：毫秒 ≥ 0 ms 函数 5分钟 maxDuration 最大运行时间 该指标用于统计函数调用最大运行时间。 单位：毫秒 ≥ 0 ms 函数 5分钟 minDuration 最小运行时间 该指标用于统计函数最小运行时间。 单位：毫秒 ≥ 0 ms 函数 5分钟 systemErrorCount 系统错误次数 该指标用于统计函数请求异常，导致无法执行完成的错误次数。单位：次 ≥ 0counts 函数 5分钟 functionErrorCount 函数错误次数 该指标用于统计函数自身语法错误或者自身执行错误次数。单位：次 ≥ 0counts 函数 5分钟 payPerUseInstance 弹性实例个数 该指标用于统计函数使用的弹性实例个数。单位：个 ≥ 0 counts 函数 5分钟 表2 函数流支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） toalCount 调用次数 用于统计函数流调用次数。 单位：次 ≥ 0 counts 函数流 1分钟 errorCount 错误次数 该指标用于统计函数调用错误次数。 单位：次 ≥ 0 counts 函数流 1分钟 running 正在运行数量 该指标用于统计正在运行状态的函数流。 单位：个 ≥ 0 counts 函数流 1分钟 rejectCount 被拒绝次数 该指标用于统计函数流调用被拒绝次数。 单位：个 ≥ 0 counts 函数流 1分钟 averageDuration 平均运行时间 该指标用于统计函数流调用平均耗时。 单位：毫秒 ≥ 0 ms 函数流 1分钟

指标说明 运行监控指标说明如表1所示。 表1 监控指标说明表 指标 单位 说明 调用次数 次 函数总的调用请求数，包含了错误和被拒绝的调用。异步调用在该请求实际被系统执行时才开始计数。 运行时间 毫秒 最大运行时间为某统计粒度（周期）下，即某一时间段内单次函数执行最大的运行时间。 最小运行时间为某统计粒度（周期）下，即某一时间段内单次函数执行最小的运行时间。 平均运行时间为某统计粒度（周期）下，即某一时间段内单次函数执行平均的运行时间。 错误次数 次 指发生异常请求的函数不能正确执行完并且返回200，都计入错误次数。函数自身的语法错误或自身执行错误也会计入该指标。 被拒绝次数 次 由于并发请求太多，系统流控而被拒绝的请求次数。 资源统计 个 该函数的请求并发数和预留实例数。 内存使用量 MB 最大内存使用量为某统计粒度（周期）下，即某一时间段内单次函数执行最大的内存使用量。 最小内存使用量为某统计粒度（周期）下，即某一时间段内单次函数执行最小的内存使用量。 平均内存使用量为某统计粒度（周期）下，即某一时间段内单次函数执行平均的内存使用量。

Cron表达式规则 函数Cron表达式下支持如下几种配置方式。 @every格式 @every NUnit，其中N表示一个正整数，Unit可以为ns, µs, ms, s, m, h，表示每隔N个Unit时间触发一次函数如表1所示。 表1 表达式示例 表达式 含义 @every 30m 每隔30分钟触发一次函数 @every 1.5h 每隔1.5小时触发一次函数 @every 2h30m 每隔2小时30分钟触发一次函数 标准cron表达式 cron表达式格式要求“秒 分 时 日 月 周(可选)”，每个字段间以空格隔开，其中各字段说明如表2所示。 表2 cron表达式字段说明 字段 说明 取值范围 允许的特殊字符 CRON_TZ 可选。不设置则默认使用region所在时区。 - - 秒 必选 0-59 , - * / 分钟 必选 0-59 , - * / 时 必选 0-23 , - * / 日(Day of month) 必选 1-31 , - * ? / 月 必选 1-12或者Jan-Dec（英文不区分大小写）如表3所示。 , - * / 星期几(Day of week) 可选 0-6或者Sun-Sat（0表示星期天，英文不区分大小写），如表4所示。 , - * ? / 表3 月份字段取值说明 月份 数字 英文简写 1月 1 Jan 2月 2 Feb 3月 3 Mar 4月 4 Apr 5月 5 May 6月 6 Jun 7月 7 Jul 8月 8 Aug 9月 9 Sep 10月 10 Oct 11月 11 Nov 12月 12 Dec 表4 星期字段取值说明 星期 数字 英文简写 星期一 1 Mon 星期二 2 Tue 星期三 3 Wed 星期四 4 Thu 星期五 5 Fri 星期六 6 Sat 星期日 0 Sun cron表达式字段特殊字符说明如表5所示。 表5 特殊字符说明 特殊字符 含义 说明 * 表示该字段中的所有值 在“分钟”字段中表示每一分钟都执行。 , 指定多个值（可以不连续） 在“月”字段中指定“Jan,Apr,Jul,Oct”或者“1,4,7,10”，表示1月，4月，7月和10月，在“星期几”字段中指定“Sat,Sun”或者“6,0”表示周六，周日。 - 指定一个范围 在“分钟”字段中使用0-3，表示从0分到3分 ? 指定一个或另一个 仅“日”和“星期几”字段可以指定。例如，如果指定了一个特定的日期，但你不关心该日期对应星期几，那么“星期几”字段就可以使用该特殊字符。 / 表示起步和步幅，n/m表示从n开始，每次增加m 在“分钟”字段1/3表示在满足其它字段情况下，从时间1分（例如00:01:00）开始，每隔3分钟触发一次。 cron表达式配置示例如表6所示。 表6 cron表达式配置示例 配置实例 Cron 表达式（以北京时区为例） 每天12点调度函数 CRON_TZ=Asia/Shanghai 0 0 12 * * * 每天12:30调度函数 CRON_TZ=Asia/Shanghai 0 30 12 * * * 每小时的26分，29分，33分调度函数 CRON_TZ=Asia/Shanghai 0 26,29,33 * * * * 周一到周五的每天12:30调度函数 CRON_TZ=Asia/Shanghai 0 30 12 ? * MON-FRI 周一到周五的每天12:00～14:59每5分钟调度函数 CRON_TZ=Asia/Shanghai 0 0/5 12-14 ? * MON-FRI 一月到四月每天12:00调度函数 CRON_TZ=Asia/Shanghai 0 0 12 ? JAN,FEB,MAR,APR * Cron表达式未设置时，默认以region所在时区运行。如果您的任务需要按照特定时区运行，可以通过CRON_TZ指定，例如在北京时间每个月一号的04:00触发函数执行，则可以使用CRON_TZ=Asia/Shanghai 0 0 4 1 * *。不同地域的时区表达式存在差异，请以实际情况为准。

DIS触发器中起始位置LATEST和TRIM_HORIZON 起始位置对应DIS服务中的游标类型，用来选择从DIS通道中读取数据的位置： TRIM_HORIZON：从最早被存储至分区的有效记录开始读取。 例如，某租户使用DIS的通道，分别上传了三条数据A1，A2，A3。N天后（设定A1已过期，A2和A3仍在有效期范围内），该租户需要下载此三条数据，并选择了TRIM_HORIZON这种下载方式。那么用户可下载的数据将从A2开始读取。 LATEST：从分区中的最新记录开始读取，此设置可以保证总是读到分区中最新记录。 请参考：获取数据游标。

概述 在函数从开发、测试、生产过程中，可以发布一个或多个版本，实现对函数代码的管理。对于发布的每个版本的函数、环境变量会另存为相应版本的快照，函数代码发布后，您可以根据实际需要修改版本配置信息。 函数创建以后，默认版本为latest版本，每个函数都有一个latest版本。函数代码发布后，您可以根据实际需要修改版本配置信息。 版本相当于函数服务的快照，可对应代码里的tag，函数版本会对应函数的配置、代码等，新版本默认不绑定触发器。当用户新建版本后，对应版本的配置（如环境变量等）、代码等都无法更新，从而保证版本的稳定性、可追溯性等。

约束与限制 单个函数最多可以发布20个版本。 latest版本设置了预留实例，能修改函数配置。新发布的非latest版本默认不带预留实例。 基于latest创建的新版本默认不会挂载磁盘，如果不绑定触发器就无法单独设置环境变量。 latest版本不能删除。 如果函数版本关联了别名，则删除版本时会把关联的别名删除。 删除版本将永久删除关联的代码、配置、别名及事件源映射，但不会删除日志。删除操作无法恢复，请谨慎操作。

函数调用的重试机制 函数在同步调用或异步调用执行失败时，可以通过以下重试机制进行操作。 同步调用 同步调用执行失败，需要自行重试。 异步调用 异步调用可配置最大重试次数和消息最大有限期，具体配置方法请参见配置函数的异步调用策略。 FunctionGraph会根据配置的最大重试次数和消息最大有限期（最大有限期为24小时）进行重试。重试次数和配置的最大重试次数一致，重试有效期和配置的消息最大有效期一致。 幂等性 在编程中，幂等性指应用程序或组件具备识别重复事件和防止重复、不一致或数据丢失的能力。若需要函数保持幂等性，则可以通过函数逻辑设计来正确处理重复的事件。 幂等函数逻辑有助于减少以下问题： 不必要的API调用 代码处理时间 数据不一致 限制 延迟 请确保函数代码可以多次处理相同的事件，而不会导致重复的事务或其他不必要的副作用。如果函数不满足幂等性要求，则当函数调用异常、客户端重试或依赖函数内部重试时，可能会导致重复的事务或其他不必要的副作用。

约束与限制 设置加密配置、环境变量时，用户自定义的键(key)/值(value)，键(key)输入规范：可包含字母、数字、下划线_，以大/小写字母开头。 设置“键”和“值”的总长度不超过4096个字符。（当前支持局点：利雅得、汽车一、约翰内斯堡、伊斯坦布尔、乌兰察布一、圣保罗一、香港、新加坡、上海二、圣地亚哥、雅加达、贵阳二零一） 设置环境变量时，FunctionGraph会明文展示所有输入信息，请不要输入敏感信息（如账户密码等），以防止信息泄露。 打开加密开关之后，界面上会对键值进行加密，参数传输过程中键值也处于加密状态。

预设值 环境变量存在如下预设值，您无法配置和预设值同名的环境变量。 表1 预设值及说明 环境变量名 含义 获取方式和默认值 RUNTIME_PROJECT_ID 函数的项目ID Context类提供接口或通过系统环境变量获取 RUNTIME_FUNC_NAME 函数名称 Context类提供接口或通过系统环境变量获取 RUNTIME_FUNC_VERSION 函数版本 Context类提供接口或通过系统环境变量获取 RUNTIME_HANDLER 函数执行入口 通过系统环境变量获取 RUNTIME_TIMEOUT 函数执行的超时时间 通过系统环境变量获取 RUNTIME_USERDATA 用户通过环境变量传入的值 Context类提供接口或通过系统环境变量获取 RUNTIME_CPU 函数占用的CPU资源，取值与MemorySize成比例 Context类提供接口或通过系统环境变量获取 RUNTIME_MEMORY 函数配置的内存大小 Context类提供接口或通过系统环境变量获取 单位MB RUNTIME_MAX_RESP_BODY_SIZE 最大返回值限制 通过系统环境变量获取 系统默认为6291456 Byte RUNTIME_INITIALIZER_HANDLER 函数初始化入口 通过系统环境变量获取 RUNTIME_INITIALIZER_TIMEOUT 函数初始化超时时间 通过系统环境变量获取 RUNTIME_ROOT Runtime包的路径 通过系统环境变量获取 系统默认路径为/home/snuser/runtime RUNTIME_CODE_ROOT 代码在容器中的存放目录 通过系统环境变量获取 系统默认路径为/opt/function/code RUNTIME_ LOG _DIR 系统日志在容器中存放的目录 通过系统环境变量获取 系统默认路径为/home/snuser/log

Node.js语言 √表示支持，×表示不支持 语言版本 是否支持 版本号 开发指导 Node.js 6.10 √ 6.10.1 接口定义、有关SDK接口说明和函数开发指导请参见Node.js函数开发指南。 Node.js 8.10 √ 8.10.0 Node.js 10.16 √ 10.16.1 Node.js 12.13 √ 12.13.1 Node.js 14.18 √ 14.18.1 Node.js 16.17 √ 16.17.1 Node.js 18.15 √ 18.15.0

CTS 支持的FunctionGraph操作列表 云审计 支持的FunctionGraph操作列表如表1所示。 表1 云审计服务支持的FunctionGraph操作列表 操作名称 资源类型 事件名称 创建函数 Functions createFunction 删除函数 Functions deleteFunction 修改函数信息 Functions updateFunctionConfig 发布函数版本 FunctionVersions publishFunctionVersion 删除函数版本别名 FunctionVersionsAlias deleteVersionAlias 删除函数触发器 Trigger deleteTrigger 创建函数触发器 Trigger createTrigger 停用函数触发器 Trigger disableTrigger 启用函数触发器 Trigger enableTrigger 父主题： 查看审计日志

函数使用流程 函数使用流程如图2所示。 用户编写业务程序代码，打包上传至FunctionGraph函数，添加事件源（如 SMN 、APIG等），完成应用程序构建部署。 通过RESTful API或者云产品事件源触发函数，生成函数实例，实现业务功能，函数在运行过程中的资源调度由FunctionGraph来管理。 用户可以查看函数运行日志和监控信息，按照代码运行情况收费，代码未运行时不产生费用。 图2 函数使用流程 说明如下： 编写代码 用户编写代码，目前支持Node.js、Python、Java、Go、C#、PHP等语言，详情请参见开发指南。 上传代码 上传代码，目前支持在线编辑、上传ZIP或JAR包，从OBS引用ZIP包等，详情请参见配置函数代码。 API和云产品事件源触发函数执行 通过API和云产品事件源触发函数执行，触发方法请参见配置函数的触发器。 弹性执行 函数在执行过程中，会根据请求量弹性扩容，支持请求峰值的执行，此过程用户无需配置，由FunctionGraph完成，并发数限制请参见使用限制。 查看日志 FunctionGraph函数实现了与 云日志 服务的对接，您无需配置，即可查看函数运行日志信息，请参见配置和查看函数的调用日志。 查看监控 FunctionGraph函数实现了与 云监控服务 的对接，您无需配置，即可查看图形化监控信息，请参见FunctionGraph支持的监控指标。 计费方式 函数执行结束后，根据函数请求执行次数和执行时间计费，查看费用详情请参见费用账单。

总览页面介绍 登录FunctionGraph控制台，在左侧导航栏选择“总览”，进入“总览”页面。 可以查看函数数量/配额信息、代码存储/存储配额、函数月度调用次数/月度资源用量。 图3 月度统计 可以查看租户层面的监控信息：调用次数、调用数TOP10、错误次数、错误数TOP10、运行时间、被拒绝次数。 运行监控指标说明如表1所示。 表1 监控指标说明表 指标 单位 说明 调用次数 次 函数总的调用请求数，包含了错误和被拒绝的调用。异步调用在该请求实际被系统执行时才开始计数。 调用数TOP10 - 展示指定时间范围内（最近1天/最近3天/自定义）的函数调用数TOP10。 运行时间 毫秒 最大运行时间为某统计粒度（周期）下，即某一时间段内所有函数单次执行最大的运行时间。 最小运行时间为某统计粒度（周期）下，即某一时间段内所有函数单次执行最小的运行时间。 平均运行时间为某统计粒度（周期）下，即某一时间段内所有函数单次执行平均的运行时间。 错误次数 次 指发生异常请求的函数不能正确执行完并且返回200，都计入错误次数。函数自身的语法错误或自身执行错误也会计入该指标。 错误数TOP10 - 展示指定时间范围内（最近1天/最近3天/自定义）的函数错误数TOP10。 被拒绝次数 次 由于并发请求太多，系统流控而被拒绝的请求次数。 可以查看函数流指标：调用次数、运行时间、错误次数、运行中 指标 单位 说明 调用次数 次 函数流总的调用请求数，包含了正确、错误和运行中的调用。异步函数流在请求被系统执行时才开始计数。 运行时间 毫秒 时间段内单次函数流执行平均的运行时间。 错误次数 次 指发生异常请求的函数流不能正确执行完，会计入错误次数。 运行中 个 正在运行中的函数流的数量。

约束限制 添加的主机和应用资源数量总和不能超过资产数。 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。 支持对Centos7.9系统的Linux服务器的应用进行管理。 Linux服务器仅支持调用Firefox浏览器应用和达梦管理工具V8。 Linux服务器和 堡垒机 之间需要开通的端口号：2376和35000~40000，且端口号不可修改。 Linux服务器的密码请联系华为云技术支持获取。 添加应用发布前，需已添加应用服务器。 Edge浏览器应用不支持配置自动登录账户。

操作步骤 启动浏览器，在Web地址栏中输入系统登录地址，进入系统登录页面。 登录地址：https://堡垒机实例EIP。例如，https://10.10.10.10。 受浏览器兼容性限制，当浏览器版本与堡垒机系统不匹配时，可能导致登录时获取不到验证信息，或登录后页面显示异常，建议使用推荐的浏览器及版本。推荐浏览器请参见使用限制。 在登录页面选择登录方式。 按选择的登录方式，依次填入登录名、静态密码、动态验证码等信息。

约束限制 目前仅SSH、RDP协议主机，支持通过Web运维上传/下载文件。 Web运维不能通过执行rz/sz命令等方式上传/下载文件，仅能通过“文件传输”操作上传/下载文件。 Linux主机资源支持在客户端执行命令方式传输文件，例如在SSH客户端执行rz/sz命令上传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件，不能达到对全程安全审计的目的。 支持下载一个或多个文件，不支持下载文件夹。 不支持断点续传，文件上传或下载过程请勿终止或暂停。 不支持传输大小超过1G的超大文件，建议分批次上传/下载文件，或通过FTP客户端传输文件。 空间不足会导致上传失败，需清理磁盘或扩充磁盘容量。

配置Windows 10服务器相关参数 登录Windows 10服务器。 启动winRM服务。 搜索“组件服务”，进入“组件服务”页面。 在左侧导航树中，选择“服务（本地）”，在右侧弹框中，找到“Windows Remote Management(WS-Management)”。 右键单击“Windows Remote Management(WS-Management)”，在弹窗中单击“启动”。 配置winRM。 以管理员身份运行cmd，执行以下命令： winrm qc （执行两次）回显后，根据提示输入y。 执行以下命令： winrm set winrm/config/service '@{AllowUnencrypted="true"}' 执行以下命令： winrm set winrm/config/service/auth '@{Basic="true"}' （如果已是管理员，可不执行该步骤）执行以下命令，添加用户到用户组。 例如，用户名为“appuser01”。 net localgroup "Remote Management Users" appuser01 /add 在power shell会话框中执行以下命令，添加防火墙命令。 New-NetFirewallRule -DisplayName "WinRM-5985" -Direction Inbound -LocalPort 5985 -Protocol TCP -Action Allow

后续管理 改密策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联资源、删除策略、启停策略、立即执行策略等。 若需补充关联资源，可单击“关联”，快速关联资源账户、账户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略改密，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略立即失效。 若需立即修改资源账户密码，可单击“立即执行”，立即执行改密任务。

约束限制 仅SSH，MySQL，SQL Server，Oracle，RDP和Telnet协议类型的主机，支持通过改密策略修改资源账户密码。 Windows主机资源需启用SMB服务，并放开主机安全组445端口，才能通过改密策略修改资源账户密码。 Windows 10不能使用SMB方式改密，关联Windows 10资源账户前，需配置winRM后进行改密策略的创建，可参照配置Windows 10服务器相关参数进行服务器相关参数的配置。

登录方式 用户账号配置多因子认证后，静态密码登录方式失效。 表2 登录方式说明 登录方式 登录说明 静态密码 输入用户登录名和密码。 手机短信 输入用户登录名和密码，单击“获取验证码”，并输入短信验证码。 手机令牌 输入用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 USBKey 接入并选择已签发的USBKey，并输入对应的PIN码。 动态令牌 输入用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）。

认证类型 AD域、RADIUS、LDAP、Azure AD、SAML远程认证使用远程服务上的已有用户密码。 表3 认证类型说明 认证类型 认证说明 本地认证 用户登录密码为系统配置静态密码。 可选择多因子认证方式登录。 可重置用户密码、个人找回密码、个人修改密码。 AD域认证 用户登录密码为AD域用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 RADIUS认证 用户登录密码为RADIUS服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 LDAP认证 用户登录密码为LDAP服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 Azure AD认证 用户登录密码为Microsoft用户账号密码。 需跳转到Microsoft登录页面，输入用户账户信息登录。 不能选择多因子认证方式登录。 不能通过系统修改用户密码。 SAML认证 用户登录密码为SAML服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。

开放端口要求 为避免网络故障或网络配置问题影响登录系统，请管理员优先检查网络ACL配置是否允许访问堡垒机，并参考表1配置实例安全组。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口，升级完成后若不需要使用请第一时间关闭。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口，升级完成后保持31679开放即可，其余端口若不需要使用请第一时间关闭。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机（HTTP、HTTPS） 入方向 TCP 80、443、8080 通过MSTSC客户端登录堡垒机 入方向 TCP 53389 通过SSH客户端登录堡垒机 入方向 TCP 2222 通过FTP客户端登录堡垒机 入方向 TCP 20~21 通过堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过堡垒机访问Oracle数据库 入方向 TCP 1521 通过堡垒机访问Oracle数据库 出方向 TCP 1521 通过堡垒机访问MySQL数据库 入方向 TCP 33306 通过堡垒机访问MySQL数据库 出方向 TCP 3306 通过堡垒机访问SQL Server数据库 入方向 TCP 1433 通过堡垒机访问SQL Server数据库 出方向 TCP 1433 通过堡垒机访问DB数据库 入方向 TCP 50000 通过堡垒机访问DB数据库 出方向 TCP 50000 通过堡垒机访问 GaussDB数据库 入方向 TCP 18000 通过堡垒机访问 GaussDB 数据库 出方向 TCP 18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS 域名 解析 出方向 UDP 53 通过堡垒机访问PGSQL数据库 入方向 TCP 15432 通过堡垒机访问PGSQL数据库 出方向 TCP 5432