华为云用户手册

前提条件 连接数据库的弹性云服务器必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 如果开启SSL，需要在界面上下载根证书，并上传到弹性云服务器。

连接代码 SSL开启 import ssl from pymongo import MongoClient conn_urls="mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSource=admin" connection = MongoClient(conn_urls,connectTimeoutMS=5000,ssl=True, ssl_cert_reqs=ssl.CERT_REQUIRED,ssl_match_hostname=False,ssl_ca_certs=${path to certificate authority file}) dbs = connection.database_names() print "connect database success! database names is %s" % dbs SSL关闭 import ssl from pymongo import MongoClient conn_urls="mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSource=admin" connection = MongoClient(conn_urls,connectTimeoutMS=5000) dbs = connection.database_names() print "connect database success! database names is %s" % dbs

前提条件 连接数据库的弹性云服务器必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 如果开启SSL，需要在界面上下载根证书，并上传到弹性云服务器。

连接代码 SSL开启 import ssl from pymongo import MongoClient conn_urls="mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSource=admin&replicaSet=replica" connection = MongoClient(conn_urls,connectTimeoutMS=5000,ssl=True, ssl_cert_reqs=ssl.CERT_REQUIRED,ssl_match_hostname=False,ssl_ca_certs=${path to certificate authority file}) dbs = connection.database_names() print "connect database success! database names is %s" % dbs SSL关闭 import ssl from pymongo import MongoClient conn_urls="mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSource=admin&replicaSet=replica" connection = MongoClient(conn_urls,connectTimeoutMS=5000) dbs = connection.database_names() print "connect database success! database names is %s" % dbs URL中的认证数据库必须为“admin”，即“authSource=admin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

前提条件 连接数据库的弹性云服务器必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 如果开启SSL，需要在界面上下载根证书，并上传到弹性云服务器。

连接代码 SSL开启 import ssl from pymongo import MongoClient conn_urls="mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSource=admin" connection = MongoClient(conn_urls,connectTimeoutMS=5000,ssl=True, ssl_cert_reqs=ssl.CERT_REQUIRED,ssl_match_hostname=False,ssl_ca_certs=${path to certificate authority file}) dbs = connection.database_names() print "connect database success! database names is %s" % dbs SSL关闭 import ssl from pymongo import MongoClient conn_urls="mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSource=admin" connection = MongoClient(conn_urls,connectTimeoutMS=5000) dbs = connection.database_names() print "connect database success! database names is %s" % dbs

非SSL方式 使用非SSL方式连接，请务必关闭SSL连接，否则会出现报错。如何关闭SSL连接，请参见开启和关闭SSL连接。 打开Robo 3T工具，在连接信息页面，单击“Create”。 图8 连接信息 在弹出的“Connection Settings”窗口，设置新建连接的参数。 在“Connection”页签，“Name”填写自定义的新建连接的名称，“Address”填写集群实例绑定的弹性IP和实例的数据库端口。 图9 Connection 在“Authentication”页签，“Database”填写admin，“User Name”填写rwuser，“Password”填写您创建集群实例时设置的管理员密码。 图10 Authentication 在“TLS”页签，勾选“Use TLS protocol”，“Authentication Method”选择“Self-signed Certificate”。 图11 SSL 设置完成后，单击“Save”。 在连接信息页面，单击“Connect”，开始连接单节点实例。 图12 单节点连接信息 成功连接单节点实例，工具界面显示如图13所示。 图13 单节点连接成功

SSL方式 使用SSL方式连接，请务必开启SSL连接，否则会报错。关于如何开启SSL连接，请参见开启和关闭SSL连接。 打开Robo 3T工具，在连接信息页面，单击“Create”。 图2 连接信息 在弹出的“Connection Settings”窗口，设置新建连接的参数。 在“Connection”页签，“Name”填写自定义的新建连接的名称，“Address”填写集群实例绑定的弹性IP和实例的数据库端口。 图3 Connection 在“Authentication”页签，“Database”填写admin，“User Name”填写rwuser，“Password”填写您创建集群实例时设置的管理员密码。 图4 Authentication 在“TLS”页签，勾选“Use TLS protocol”，“Authentication Method”选择“Self-signed Certificate”。 图5 SSL 设置完成后，单击“Save”。 在连接信息页面，单击“Connect”，开始连接单节点实例。 图6 单节点连接信息 成功连接单节点实例，工具界面显示如图7所示。 图7 单节点连接成功

非SSL方式 使用非SSL方式连接，请务必关闭SSL连接，否则会出现报错。如何关闭，请参见开启和关闭SSL连接。 打开Robo 3T工具，在连接信息页面，单击“Create”。 图8 连接信息 在弹出的“Connection Settings”窗口，设置新建连接的参数。 在“Connection”页签，“Name”填写自定义的新建连接的名称，“Address”填写集群实例绑定的弹性IP和实例的数据库端口。 图9 Connection 在“Authentication”页签，“Database”填写admin，“User Name”填写rwuser，“Password”填写您创建集群实例时设置的管理员密码。 图10 Authentication 设置完成后，单击“Save”。 在连接信息页面，单击“Connect”，开始连接副本集实例。 图11 副本集连接信息 成功连接副本集实例，工具界面显示如图12所示。 图12 副本集连接成功

前提条件 绑定弹性公网IP并设置安全组规则。 对目标副本集实例绑定弹性公网IP。 关于如何绑定弹性公网IP，请参见绑定弹性公网IP。 获取本地设备的IP地址。 设置安全组规则。 将1.b中获取的IP地址及目标实例的端口加入安全组允许访问的范围中。 关于如何设置安全组规则，请参见设置安全组规则。 使用ping命令连通1.a中绑定的弹性公网IP，确保本地设备可以访问该弹性公网IP。 安装Robo 3T工具。 详细操作请参见如何安装Robo 3T工具。

SSL方式 使用SSL方式连接，请务必开启SSL连接，否则会报错。关于如何开启SSL连接，请参见开启和关闭SSL连接。 打开Robo 3T工具，在连接信息页面，单击“Create”。 图2 连接信息 在弹出的“Connection Settings”窗口，设置新建连接的参数。 在“Connection”页签，“Name”填写自定义的新建连接的名称，“Address”填写集群实例绑定的弹性IP和实例的数据库端口。 图3 Connection 在“Authentication”页签，“Database”填写admin，“User Name”填写rwuser，“Password”填写您创建集群实例时设置的管理员密码。 图4 Authentication 在“TLS”页签，勾选“Use TLS protocol”，“Authentication Method”选择“Self-signed Certificate”。 图5 SSL 设置完成后，单击“Save”。 在连接信息页面，单击“Connect”，开始连接副本集实例。 图6 集群连接信息 成功连接副本集实例，工具界面显示如图7所示。 图7 副本集连接成功

SSL方式 使用SSL方式连接，请务必开启SSL连接，否则会报错。关于如何开启SSL连接，请参见开启和关闭SSL连接。 打开Robo 3T工具，在连接信息页面，单击“Create”。 图2 连接信息 在弹出的“Connection Settings”窗口，设置新建连接的参数。 在“Connection”页签，“Name”填写自定义的新建连接的名称，“Address”填写集群实例绑定的弹性IP和实例的数据库端口。 图3 Connection 在“Authentication”页签，“Database”填写admin，“User Name”填写rwuser，“Password”填写您创建集群实例时设置的管理员密码。 图4 Authentication 在“TLS”页签，勾选“Use TLS protocol”，“Authentication Method”选择“Self-signed Certificate”。 图5 SSL 设置完成后，单击“Save”。 在连接信息页面，单击“Connect”，开始连接集群实例。 图6 集群连接信息 成功连接集群实例，工具界面显示如图7所示。 图7 集群连接成功

非SSL方式 使用非SSL方式连接，请务必关闭SSL连接，否则会出现报错。如何关闭，请参见开启和关闭SSL连接。 打开Robo 3T工具，在连接信息页面，单击“Create”。 图8 连接信息 在弹出的“Connection Settings”窗口，设置新建连接的参数。 在“Connection”页签，“Name”填写自定义的新建连接的名称，“Address”填写集群实例绑定的弹性IP和实例的数据库端口。 图9 Connection 在“Authentication”页签，“Database”填写admin，“User Name”填写rwuser，“Password”填写您创建集群实例时设置的管理员密码。 图10 Authentication 设置完成后，单击“Save”。 在连接信息页面，单击“Connect”，开始连接集群实例。 图11 集群连接信息 成功连接集群实例，工具界面显示如图12所示。 图12 集群连接成功

入门实践 当您完成了文档数据库实例的创建、连接等基本操作后，可以根据自身的业务需求使用DDS提供的一系列常用实践。 表1 常用最佳实践 实践 文档链接 描述 数据备份 设置自动备份策略 文档数据库服务按照设置的自动备份策略，对数据库进行自动备份。建议您定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份恢复数据库，从而保证数据可靠性。 创建文档数据库实例时，默认开启自动备份策略。 创建手动备份 文档数据库服务支持对可用的实例创建备份，用户可以通过备份恢复数据，保证数据可靠性。 数据恢复 恢复备份到新实例 文档数据库服务支持使用已有的自动备份或手动备份恢复实例数据到新建实例，恢复后的数据与该备份生成时的实例数据一致。 选择通过备份文件恢复到实例上，会从OBS备份空间中将该备份文件下载到实例上进行全量恢复，恢复时长和实例的数据量有关，平均恢复速率为40MB/s。 恢复备份到当前实例 文档数据库服务支持使用已有的自动备份或手动备份恢复实例数据到当前实例，恢复后的数据与该备份生成时的实例数据一致。 选择通过备份文件恢复到实例上，会从OBS备份空间中将该备份文件下载到实例上进行全量恢复，恢复时长和实例的数据量有关，平均恢复速率为40MB/s。 恢复备份到指定时间点 文档数据库服务支持使用指定时间点上的备份，恢复集群、副本集实例的数据。 实例恢复到指定时间点，会从OBS备份空间中选择一个该时间点最近的全量备份下载到实例上进行全量恢复，再重放增量备份到指定时间点，恢复时长和实例的数据量有关，平均恢复速率为30MB/s。 数据迁移 通过mongoexport和mongoimport工具迁移数据 mongoexport和mongoimport是MongoDB客户端自带的备份恢复工具。您可以在本地设备或E CS 中安装MongoDB客户端，通过mongoexport和mongoimport工具将自建MongoDB数据库或其他云数据库MongoDB迁移至华为云DDS实例。 要将已有的MongoDB数据库迁移到文档数据库，需要先使用mongoexport工具对它做转储。再通过弹性云服务器或可访问文档数据库的设备，使用mongoimport工具将转储文件导入到文档数据库服务。 通过mongodump和mongorestore工具迁移数据 mongodump和mongorestore是MongoDB客户端自带的备份恢复工具。您可以在本地设备或ECS中安装MongoDB客户端，通过mongodump和mongorestore工具将自建MongoDB数据库或其他云数据库MongoDB迁移至华为云DDS实例。 其他云数据库MongoDB迁移至华为云DDS 数据复制服务 （Data Replication Service，简称DRS）支持将其他云MongoDB数据库的数据迁移到本云文档数据库服务（Document Database Service，以下简称DDS）实例。通过DRS提供的实时迁移任务，实现在数据库迁移过程中业务和数据库不停机，业务中断时间最小化。 本地自建MongoDB数据库迁移至华为云DDS 数据复制服务（Data Replication Service，简称DRS）支持将本地MongoDB数据库的数据迁移至本云文档数据库服务（Document Database Service，以下简称DDS）实例。通过DRS提供的实时迁移任务，实现在数据库迁移过程中业务和数据库不停机，业务中断时间最小化。 ECS自建MongoDB数据库迁移至华为云DDS 数据复制服务（Data Replication Service，简称DRS）支持将ECS自建数据库的数据迁移到本云文档数据库服务（Document Database Service，以下简称DDS）实例。通过DRS提供的实时迁移任务，实现在数据库迁移过程中业务和数据库不停机，业务中断时间最小化。 华为云DDS迁移至用户端MongoDB数据库 介绍DDS实例迁移至用户端MongoDB数据库的任务配置流程。 变更实例 修改实例名称 文档数据库服务支持修改数据库实例名称，以方便您区分和识别实例。 变更实例的CPU和内存规格 当用户创建的集群、副本集和单节点实例的CPU和内存规格无法满足业务需求时，可以在控制台进行CPU和内存规格变更。 扩容磁盘 随着业务数据的增加，原来申请的数据库磁盘容量不能满足需求，这时，您需要为实例进行磁盘扩容。扩容实例磁盘空间的同时备份空间也会随之扩大。 数据安全 设置SSL 数据加密 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 SSL连接开启后，可以通过SSL方式连接实例，提高数据安全性。 修改实例安全组 文档数据库服务支持修改集群、副本集和单节点实例的安全组。 日志管理 错误日志 文档数据库服务的日志管理功能支持查看数据库级别的错误日志，包括数据库运行的Warning和Error级别的信息，有助于您分析系统中存在的问题。 慢日志 慢日志用来记录执行时间超过当前慢日志阈值“operationProfiling.slowOpThresholdMs”（默认是500ms）的语句，您可以通过慢日志的日志明细、统计分析情况，查找出执行效率低的语句，进行优化。您也可以下载慢日志进行业务分析。 审计日志 审计日志记录您对数据库或集合执行的操作，生成的日志文件将以文件的形式存储在 对象存储服务 。通过查看日志文件，您可以对数据库进行安全审计，故障根因分析等操作。

步骤1：购买实例 进入自定义购买文档数据库DDS页面。 在“购买数据库实例”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图1 基础配置 图2 管理员设置 图3 网络设置和购买时长与数量 图4 高级配置 在“规格确认”页面，核对实例信息。 包年/包月 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“去支付”，进入“付款”页面，选择支付方式，完成支付。 按需计费 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“提交”，开始创建实例。 单击“返回实例列表”。实例创建成功后，用户可以在“实例管理”页面，查看并管理自己的数据库实例。 创建实例过程中，实例运行状态显示为“创建中”，此过程约15分钟。创建完成的实例的运行状态显示为“正常”。 对于批量购买的“包年/包月”实例，除实例名称和实例ID外，其余配置信息一致。

实例连接方式介绍 文档数据库服务提供使用内网和公网的连接方式。 表1 连接方式 连接方式 IP地址 使用场景 说明 DAS连接 无需使用IP地址 通过数据管理服务管理数据，具备友好的图形化界面，直接在控制台上进行可视化操作。可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能地管理数据库。 易用、安全、高级、智能。 推荐使用DAS连接。 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP地址通过弹性云服务器连接文档数据库实例。 安全性高，可实现DDS的较好性能。 公网连接 弹性公网IP 当应用部署在弹性云服务器上，且弹性云服务器该与文档数据库实例处于不同区域时，建议单独使用弹性公网IP通过弹性云服务器连接文档数据库实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性公网IP通过弹性云服务器连接文档数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。 父主题： 连接单节点实例

实例连接方式介绍 文档数据库服务提供使用内网和公网的连接方式。 表1 连接方式 连接方式 IP地址 使用场景 说明 DAS连接 无需使用IP地址 通过数据管理服务管理数据，具备友好的图形化界面，直接在控制台上进行可视化操作。可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能地管理数据库。 易用、安全、高级、智能。 推荐使用DAS连接。 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP地址通过弹性云服务器连接文档数据库实例。 安全性高，可实现DDS的较好性能。 公网连接 弹性公网IP 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库实例处于不同区域时，建议单独使用弹性公网IP通过弹性云服务器连接文档数据库实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性公网IP通过弹性云服务器连接文档数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。 父主题： 连接副本集实例

如何选择集群、副本集和单节点？ DDS提供了集群、副本集和单节点三种不同类型的实例，分别采用不同的部署架构，可以满足多场景业务需求。 表1 实例类型介绍 实例类型 适用场景 集群 提供dds mongos、shard、和config三类节点。可自由选择dds mongos和shard的节点个数和配置，组建服务性能不同的集群实例。 业务系统除了要求高可用之外，还需要较高的可扩展性，建议选择集群。 副本集 自动搭建三节点副本集架构，可直接操作Primary和Secondary节点。提供高可用、容灾切换等高级功能，使用过程中对应用完全透明。 对于需要保证高可用的中小型业务系统，建议选择副本集。 单节点 单节点数据库部署在一台虚拟机上，没有高可用特性。成本较低，是研发测试、学习培训、小型企业内部系统业务以及其他非企业核心数据存储的场景。 说明： DDS单节点规格于2023年07月15日已停售。

使用流程 从创建实例到使用实例，您需要完成如下操作。 图1 使用流程 表2 操作流程 操作步骤 说明 相关内容 创建实例 目前DDS提供了快速购买和自定义购买实例的方式。 快速购买可通过界面推荐的常用配置方案，快速便捷的创建实例。 自定义购买方式更加灵活，不仅可以根据业务需要定制相应计算能力和存储空间的实例，而且在创建实例时可以进行高级功能配置。 购买集群实例 购买副本集实例 绑定公网IP 可选操作。 当使用公网连接实例时需要配置弹性公网IP。 绑定弹性公网IP 设置安全组规则 可选操作。 将需要连接实例的设备添加至实例的安全组访问规则中，以允许外部设备能够访问该实例。 使用内网连接实例，当实例和弹性云服务器处于不同安全组时，需要配置安全组访问规则。 使用公网连接实例时，需要配置安全组访问规则。 内网-设置安全组规则 公网-设置安全组规则 连接实例 提供DAS、内网、公网、程序代码连接实例的操作。 集群连接方式 副本集连接方式 单节点连接方式

实例连接方式介绍 文档数据库服务提供使用内网和公网的连接方式。 表1 连接方式 连接方式 IP地址 使用场景 说明 DAS连接 无需使用IP地址 通过数据管理服务管理数据，具备友好的图形化界面，直接在控制台上进行可视化操作。可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能地管理数据库。 文档数据库服务默认开通了DAS连接权限。 易用、安全、高级、智能。 推荐使用DAS连接。 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库实例处于同一区域，同一VPC时，建议使用内网IP地址连接文档数据库实例。 安全性高，可实现DDS的较好性能。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。 公网连接 弹性公网IP 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库实例处于不同区域时，建议使用弹性公网IP连接文档数据库实例。 如果您使用华为云以外的设备（例如本地设备、其他云厂商服务器等）连接文档数据库实例，您可以使用弹性公网IP连接文档数据库实例。 降低安全性。 公网连接需要购买弹性公网IP，请参见弹性公网IP计费说明。 父主题： 连接集群实例

优化顾问服务权限 默认情况下，新建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 多数细粒度策略以API接口为粒度进行权限拆分，OA服务支持的API授权项请参见策略及授权项说明。 如表1所示，包括了优化顾问服务的所有系统策略。 表1 优化顾问服务系统策略 策略名称 描述 依赖关系 策略类别 OA FullAccessPolicy 优化顾问服务所有权限。 无 系统策略 OA AdvancedOperationsPolicy 优化顾问服务的高级操作权限, 如执行可用性检查等，可以使用跨账号可用性检查功能 无 系统策略 OA CommonOperationsPolicy 优化顾问服务的常规操作权限, 如执行可用性检查等，但不能使用跨账号可用性检查功能。 无 系统策略 OA ReadOnlyAccessPolicy 优化顾问服务只读权限，只能查看检查结果、查看资源分组等，不能创建或执行。 无 系统策略 表2列出了优化顾问服务常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 授权关系 功能 操作 OA FullAccessPolicy OA AdvancedOperationsPolicy OA CommonOperationsPolicy OA ReadOnlyAccessPolicy 风险检查总览 查看风险检查结果总览 √ √ √ √ 打开/关闭自动检查 √ √ √ × 查看通知主题 √ √ √ √ 选择账号 √ √ × × 执行检查 √ √ √ × 下载风险检查结果报告 √ √ √ √ 风险检查维度 查看风险检查维度 √ √ √ √ 查看单个检查项结果详情 √ √ √ √ 执行单个检查项检查 √ √ √ × 下载单个检查项结果报告 √ √ √ √ 架构设计 查看架构图列表 √ √ √ √ 查看回收站架构图列表 √ √ √ √ 查看回收站架构图详情 √ √ √ √ 恢复回收站架构图 √ √ √ × 删除回收站架构图 √ √ √ × 新建架构图 √ √ √ × 重命名架构图 √ √ √ × 导出架构图 √ √ √ √ 复制架构图 √ √ √ × 删除架构图 √ √ √ × 开启容量风险监控 √ √ √ × 查看架构图详情 √ √ √ √ 编辑架构图 √ √ √ × 查看架构图编辑历史列表 √ √ √ √ 查看架构图编辑历史详情 √ √ √ √ 恢复历史架构图 √ √ √ × 删除架构图编辑历史记录 √ √ √ × 查看图元全链路 √ √ √ √ 查看已选资源清单 √ √ √ √ 导出已选资源清单 √ √ √ √ 图元绑定资源 √ √ √ × 容量优化 查看容量优化分析结果概要信息 √ √ √ √ 查看容量优化分析结果详情列表 √ √ √ √ 删除容量优化分析结果列表数据 √ √ √ × 查看容量优化分析结果详情监控 √ √ √ √ 执行重新识别 √ √ √ × 执行停止分析 √ √ √ × 导出容量优化分析报告 √ √ √ √ 查询容量优化分析配置 √ √ √ √ 修改容量优化分析配置 √ √ √ × 查询容量优化分析报告列表 √ √ √ √ 删除容量优化分析报告 √ √ √ × 资源分组 查看资源分组列表 √ √ √ √ 查看资源分组详情 √ √ √ √ 修改资源分组 √ √ √ × 删除资源分组 √ √ √ × 新增资源分组 √ √ √ × 查看资源列表 √ √ √ √ 月度服务报告 查看月度报告列表 √ √ √ √ 查看月度报告详情 √ √ √ √ 导出月度报告 √ √ √ √ 风险检查历史 查看风险检查报告列表 √ √ √ √ 查看风险检查结果详情 √ √ √ √ 导出风险检查报告 √ √ √ √ 自定义规则 查看检查项列表 √ √ √ √ 启动检查项 √ √ √ × 停用检查项 √ √ √ × 恢复初始配置 √ √ √ × 自定义配置 √ √ √ × 授权 查看用户授权列表 √ √ √ √ 关闭/开启授权 √ × × × 关闭服务 √ × × ×

示例流程 图1 给用户授权OA权限流程 在IAM控制台创建用户组，并授予优化顾问服务权限“OA FullAccessPolicy”、“OA AdvancedOperationsPolicy”、“OA CommonOperationsPolicy”、“OA ReadOnlyAccessPolicy”，推荐授予OA FullAccessPolicy权限。 以上权限为优化顾问服务的全部权限，如您期望更精细化的优化顾问服务功能的权限，请参见：权限管理，对用户组授予对应权限。 创建用户 在IAM控制台创建用户，并将其加1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证优化顾问服务的“OA FullAccessPolicy”权限。

示例流程 图1 给用户授权OA权限流程 在IAM控制台创建用户组，并授予优化顾问服务权限“OA FullAccessPolicy”、“OA AdvancedOperationsPolicy”、“OA CommonOperationsPolicy”、“OA ReadOnlyAccessPolicy”，推荐授予OA FullAccessPolicy权限。 以上权限为优化顾问服务的全部权限，如您期望更精细化的优化顾问服务功能的权限，请参见：权限管理，对用户组授予对应权限。 创建用户 在IAM控制台创建用户，并将其加1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证优化顾问服务的“OA FullAccessPolicy”权限。

状态码 状态码如表1所示。 表1 状态码说明 状态码 编码 状态码说明 100 Continue 继续请求。 这个临时响应用来通知客户端，它的部分请求已经被服务器接收，且仍未被拒绝。 101 Switching Protocols 切换协议。只能切换到更高版本的协议。 例如，切换到HTTPS的高版本协议。 200 OK 请求已成功。 201 Created 创建类的请求已成功。 202 Accepted 已经接受请求，但未处理完成。 203 Non-Authoritative Information 非授权信息，请求成功。 204 NoContent 请求已成功，同时HTTPS响应不包含响应体。 在响应OPTIONS方法的HTTPS请求时返回此状态码。 205 Reset Content 重置内容，服务器处理成功。 206 Partial Content 服务器成功处理了部分GET请求。 300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择。 301 Moved Permanently 永久移动，请求的资源已被永久的移动到新的URI，返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。 305 Use Proxy 所请求的资源必须通过代理访问。 306 Unused 已经被废弃的HTTPS状态码。 400 BadRequest 非法请求。 建议直接修改该请求，不要重试该请求。 401 Unauthorized 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码，表明请求能够到达服务端，且服务端能够理解用户请求，但是拒绝做更多的事情，因为该请求被设置为拒绝访问，建议直接修改该请求，不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求，不要重试该请求。 405 MethodNotAllowed 请求中带有该资源不支持的方法。 建议直接修改该请求，不要重试该请求。 406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权。 408 Request Time-out 服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码，表明客户端尝试创建的资源已经存在，或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码，表明请求的资源已被删除。 411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息。 412 Precondition Failed 未满足前提条件，服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息。 414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理。 415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。 416 Requested range not satisfiable 客户端请求的范围无效。 417 Expectation Failed 服务器无法满足Expect的请求头信息。 422 UnprocessableEntity 请求格式正确，但是由于含有语义错误，无法响应。 429 TooManyRequests 表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部，然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到，但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能，无法完成请求。 502 Bad Gateway 充当网关或代理的服务器，从远端服务器接收到了一个无效的请求。 503 ServiceUnavailable 被请求的服务无效。 建议直接修改该请求，不要重试该请求。 504 ServerTimeout 请求在给定的时间内无法完成。客户端仅在为请求指定超时（Timeout）参数时会得到该响应。 505 HTTP Version not supported 服务器不支持请求的HTTPS协议的版本，无法完成处理。 父主题： 公共参数

响应消息体 响应消息体通常以结构化格式返回，与响应消息头中Content-type对应，传递除响应消息头之外的内容。 对于获取用户Token接口，返回如下消息体。为篇幅起见，这里只展示部分内容。 { "token": { "expires_at": "2019-02-13T06:52:13.855000Z", "methods": [ "password" ], "catalog": [ { "endpoints": [ { "region_id": "xxx", ...... 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 { "error_msg": "The format of message is error", "error_code": "AS.0001" } 其中，error_code表示错误码，error_msg表示错误描述信息。

认证鉴权 KooSearch 服务支持通过Token认证进行认证鉴权。 Token的有效期为24小时，需要使用同一个Token鉴权时，可以缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用获取用户Token接口时，请求body中“auth.scope”的取值需要选择“project”，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", //用户名 "password": "********", //登录密码 "domain": { "name": "domainname" //用户所属的账号名称 } } } }, "scope": { "project": { "name": "xxxxxxxx" //项目名称 } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 POST https://{endpoint}/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333 。 父主题： 如何调用API

请求消息体 请求消息体通常以结构化格式发出，与请求消息头中Content-type对应，传递除请求消息头之外的内容。若请求消息体中参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（即消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于“获取用户Token”接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，********为用户的登录密码，domainname为用户所属的账号名称，如果是账号本身获取token，username和domainname填为一致，xxxxxxxxxxxxxxxxxx为project的ID。 scope参数定义了Token的作用范围，表示获取的Token仅能访问指定project下的资源，scope参数的详细说明请参见：获取用户Token。 POST https://iam.cn-southwest-2.myhuaweicloud.com/v3/auth/tokens { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", //用户名 "password": "********", //登录密码 "domain": { "name": "domainname " //用户所属的账号名称 } } } }, "scope": { "project": { "id": "xxxxxxxxxxxxxxxxxx" //项目ID } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于“获取用户Token”接口，返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 详细的公共请求消息头字段请参见表 公共请求消息头。 表2 公共请求消息头 参数 是否必选 描述 Content-Type 是 消息体的类型（格式）。推荐用户使用默认值application/json。 X-Auth-Token 否（使用Token认证时必选） 用户Token。 调用“获取用户Token”接口的响应值，该接口是唯一不需要认证的接口。请求响应成功后在响应消息头（Header）中包含的“X-Subject-Token”的值即为Token值。 对于“获取用户Token”接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://iam.xxx.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

请求URI 请求URI由如下部分组成。 {URI-scheme}://{Endpoint}/{resource-path} 表1 请求URL 参数 说明 URI-scheme 传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 承载REST服务端点的服务器 域名 或IP，不同服务在不同区域，Endpoint不同，可以参考终端节点获取。例如IAM服务在“西南-贵阳一”区域的Endpoint为“iam.cn-southwest-2.myhuaweicloud.com”。 resource-path 资源路径，即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 例如您需要获取“西南-贵阳一”区域的token，则需使用“西南-贵阳一”区域的Endpoint（iam.cn-southwest-2.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（v3/auth/toknes），拼接起来如下所示。 https://iam.cn-southwest-2.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，每个具体API的URI，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-southwest-2.myhuaweicloud.com/v3/auth/tokens