华为云用户手册

qrw_inlist2join_optmode 参数说明：控制是否使用inlist-to-join查询重写。 参数类型：USERSET 取值范围：字符串 disable：关闭inlist2join查询重写。 cost_base：基于代价的inlist2join查询重写。 rule_base：基于规则的inlist2join查询重写，即强制使用inlist2join查询重写。 任意正整数：inlist2join查询重写阈值，即list内元素个数大于该阈值，进行inlist2join查询重写。 默认值：disable

enable_hashfilter_test 参数说明：该参数用于控制是否为基表扫描增加分布列的hashfilter，以便确认结果是否符合预期。同时，在数据插入时，控制是否进行DN准确性校验（即校验当前数据是否应该插入当前DN）。 参数类型：USERSET 取值范围：布尔型 on表示为基表扫描添加分布列的hashfilter，并在数据插入时进行DN准确性校验。 off表示不为基表扫描添加分布列的hashfilter，并在数据插入时不进行DN准确性校验。 默认值：on 此参数仅对hash分布的表有效。 当该参数设置为on后，因在数据插入时会进行DN准确性校验，会影响数据插入性能。

enable_nodegroup_debug 参数说明：控制优化器在多Node Group环境下，是否使用强制弹性计算。Node Group目前为内部用机制，用户无需设置。 该参数只在expected_computing_nodegroup被设置为具体Node Group时生效。 参数类型：USERSET 取值范围：布尔型 on表示强制将计算弹性到expected_computing_nodegroup所指定的Node Group进行计算。 off表示不强制使用某个Node Group进行计算。 默认值：off

spill_compression 参数说明：控制执行器算子运行数据由于内存不足下盘时的压缩算法。该参数仅9.1.0.100及以上集群版本支持。 参数类型：USERSET 取值范围：枚举型 'lz4'，表示使用lz4压缩算法，对于下盘量较小场景性能更优，但占用更多存储空间。 'zstd'，表示使用zstd压缩算法，对于下盘量较大场景，IO为主要瓶颈，其性能更优，且存储空间约为lz4的2/3。 默认值：'lz4'

best_agg_plan 参数说明：对于stream下的Agg操作，优化器会生成三种计划： hashagg+gather(redistribute)+hashagg。 redistribute+hashagg(+gather)。 hashagg+redistribute+hashagg(+gather)。 本参数用于控制优化器生成哪种hashagg的计划。 参数类型：USERSET 取值范围：0，1，2，3 取值为1时，强制生成第一种计划。 取值为2时，如果group by列可以重分布，强制生成第二种计划，否则生成第一种计划。 取值为3时，如果group by列可以重分布，强制生成第三种计划，否则生成第一种计划。 取值为0时，优化器会根据以上三种计划的估算cost选择最优的一种计划生成。 默认值：0

max_opt_sort_rows 参数说明：控制order by子句中最大优化的limit+offset行数。该参数仅8.3.0及以上集群版本支持。 参数类型：USERSET 取值范围：整型，0～INT_MAX 取值为0时：表示参数不生效。 取值为其他值时：表示order by子句中limit+offset行数小于该值时，优化生效，大于该值时，优化不生效。优化后耗时减小，但内存消耗可能增大。 默认值：0

enable_value_redistribute 参数说明：控制是否开启生成value redistribute优化计划，8.2.0及以上集群版本中，该参数针对不带Partition by子句的rank、dense_rank、row_number是否生成value redistribute优化计划生效。 参数类型：USERSET 取值范围：布尔型 on表示支持使用value redistribute生成优化计划。 off表示不支持使用value redistribute生成优化计划。 默认值：on

turbo_engine_version 参数说明：对于建表指定turbo存储格式表（表属性中enable_turbo_store参数设置为on），且当查询不涉及merge join或sort agg算子时，执行器可走turbo执行引擎，执行器部分性能可获得成倍性能提升。 参数类型：USERSET 取值范围：0，1，2，3 取值为0时，表示turbo执行引擎关闭。 取值为1时，表示仅针对单表agg查询场景使用turbo执行引擎。 取值为2时，表示仅针对单表agg或多表join关联查询场景使用turbo执行引擎。 取值为3时，对于大多常用算子可使用turbo执行引擎加速，不支持算子如merge join，sort agg等算子。数据量较大且turbo_engine_version取值为3时，merge join，sort agg算子出现的情况较少，因此基本可以实现任意SQL语句的turbo执行引擎加速。 默认值：0 跨VW场景暂不建议打开turbo执行引擎。

enable_mixedagg 参数说明：控制优化器对Mixed Agg聚集规划类型的使用。 参数类型：USERSET 取值范围：布尔型 on表示使用，为符合条件的Grouping Sets语句（包括Rollup或Cube）生成Mixed Agg查询计划。 off表示不使用。 默认值：on 新装9.1.0.200及以上版本集群中该参数的默认值为on，升级场景该参数的默认值为保持前向兼容维持原值。 通常在大数量场景（单个DN表的数据量在100GB以上），采用Mixed Agg查询计划可以提升语句的执行性能。 不支持Mixed Agg的场景如下： GROUP BY子句里列的数据类型不支持哈希操作。 聚集函数中包含DISTINCT去重或ORDER BY排序。 使用GROUPING SETS子句时不包含空的分组。

准备工作 注册华为云并实名认证。 如果您已有一个华为账户，请跳到下一个任务。如果您还没有华为账户，请参考以下步骤创建。 打开华为云官网，单击“注册”。 根据提示信息完成注册，详细操作请参见 注册华为账号 并开通华为云。 注册成功后，系统会自动跳转至您的个人信息界面。 参考实名认证完成个人或企业账号实名认证。 为账户充值。 您需要确保账户有足够金额。 为用户添加操作权限。 用户在创建依赖资源和ServiceComb引擎前，需要具备相应的操作权限。添加用户权限的操作，请参考创建用户并授权使用微服务引擎。 创建VPC和子网。 ServiceComb引擎运行于虚拟私有云（VPC）中，并需要绑定具体的子网。创建ServiceComb引擎前，需保证有可用的虚拟私有云和子网。创建虚拟私有云和子网的方法，请参考创建虚拟私有云和子网。如果已有可用的VPC和子网，不需要再次创建。 本地编译构建打包机器环境已安装了Java JDK、Maven，并且能够访问Maven中央库。 下载github的demo源码到本地并解压。 该demo的配置文件中已经完成了集成Spring Cloud Huawei的配置操作，若您需了解详细配置信息，请参考Spring Cloud接入ServiceComb引擎。

创建ServiceComb引擎 进入购买ServiceComb引擎专享版页面。 参考下表设置参数，参数前面带*号的是必须设置的参数。创建ServiceComb引擎所需参数的详细介绍请参考创建ServiceComb引擎。 表1 创建ServiceComb引擎参数 参数 说明 *计费模式 选择计费方式，此处选择“按需计费”。按需计费是一种后付费模式，即先使用再付费，按照ServiceComb引擎实际使用时长计费。 *企业项目 选择ServiceComb引擎所在的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。此处默认选择“default”。 *选择实例数 选择引擎规格，此处选择微服务实例数为100。 *引擎类型 引擎类型为集群，其为集群模式部署，主机级容灾。 *ServiceComb引擎名称 输入ServiceComb引擎的名称，名称以字母开头，由字母、数字和-组成，且不能以-结尾，长度为3~64个字符。例如：cse-test。 *可用区 可选择1个或3个可用区。此处选择1个可用区，可提供主机级别容灾能力。 *网络 选择已创建的虚拟私有云及子网，可在下拉框中搜索和选择合适的虚拟私有云和子网。 描述 单击，输入引擎描述信息，例如：体验快速创建ServiceComb引擎。 *安全认证 开启了“安全认证”的ServiceComb引擎专享版，通过微服务引擎控制台提供了基于RBAC（Role-Based Access Control，基于角色的访问控制）的系统管理功能。此处选择“关闭安全认证”，关闭安全认证功能后，可以在实例创建完成后再设置开启安全认证。 单击“立即购买”，进入引擎信息确认界面。 单击“提交”，等待引擎创建完毕。 微服务引擎创建完成，大约需要31分钟。 微服务引擎创建成功后，“状态”为“可用”。查看微服务引擎状态，请参考查看ServiceComb引擎信息。 如果微服务引擎创建失败，可在操作日志页面上查看失败原因并处理后可进行以下操作： 可在“微服务引擎信息”区域，单击“重试”重新创建。 如果重试失败，可删除创建失败的微服务引擎，删除微服务引擎，请参考删除ServiceComb引擎专享版。

Spring Cloud应用接入Nacos引擎 登录微服务引擎控制台。 获取Nacos引擎注册发现地址。 在左侧导航栏选择“注册配置中心”，单击创建的Nacos引擎实例。 在“基础信息”页面的“连接信息”区域，获取注册发现地址。 修改demo中的配置中心地址和服务注册中心地址和微服务名。 在“bootstrap.properties”中配置Nacos配置中心。 在下载到本地的demo源码目录中找到“nacos-examples-master\nacos-spring-cloud-example\nacos-spring-cloud-discovery-example\nacos-spring-cloud-consumer-example\src\main\resources”添加“bootstrap.properties”文件，配置Naocs配置中心： spring.cloud.nacos.config.server-addr=XXX.nacos.cse.com:8848 //Nacos的配置中心地址 spring.cloud.nacos.config.prefix=example //配置文件名前缀 spring.cloud.nacos.config.file-extension=properties //配置文件名后缀 spring.cloud.nacos.config.group=XXX //配置文件所属分组，不填默认DEFAULT_GROUP spring.cloud.nacos.config.namespace=XXX //配置文件所属命名空间ID，不填默认public 更多配置详情，请参考Nacos配置参考。 在“application.properties”中配置Nacos的服务注册发现地址和微服务名。 在下载到本地的demo源码目录中找到“nacos-examples-master\nacos-spring-cloud-example\nacos-spring-cloud-discovery-example\nacos-spring-cloud-consumer-example\src\main\resources\application.properties”文件，配置consumer服务： server.port=8080 spring.application.name=service-consumer //微服务名 spring.cloud.nacos.discovery.server-addr= XXX.nacos.cse.com:8848 //Nacos的服务注册发现地址 spring.cloud.nacos.discovery.group=XXX //微服务所属分组，不填则默认DEFAULT_GROUP spring.cloud.nacos.discovery.namespace=XXX //微服务所属命名空间ID，不填则默认public spring.cloud.nacos.discovery.cluster-name=XXX //微服务所属集群名称，不填则默认DEFAULT 在下载到本地的demo源码目录中找到“nacos-examples-master\nacos-spring-cloud-example\nacos-spring-cloud-discovery-example\nacos-spring-cloud-provider-example\src\main\resources\application.properties”文件，配置provider服务： server.port=8070 spring.application.name=service-provider //微服务名 spring.cloud.nacos.discovery.server-addr= XXX.nacos.cse.com:8848 //Nacos的服务注册发现地址 spring.cloud.nacos.discovery.group=XXX //微服务所属分组，不填则默认DEFAULT_GROUP spring.cloud.nacos.discovery.namespace=XXX //微服务所属命名空间ID，不填则默认public spring.cloud.nacos.discovery.cluster-name=XXX //微服务所属集群名称，不填则默认DEFAULT 更多配置详情，请参考Nacos注册发现。 打包demo源码成jar包。 在demo源码根目录下，打开cmd命令，执行mvn clean package命令，对项目进行打包编译。 编译成功后，生成如表2所示的两个Jar包。 表2 软件包列表 软件包所在目录 软件包名称 说明 \nacos-spring-cloud-consumer-example\target nacos-spring-cloud-consumer-example-0.2.0-SNAPSHOT.jar 服务消费者 \nacos-spring-cloud-provider-example\target nacos-spring-cloud-provider-example-0.2.0-SNAPSHOT.jar 服务生产者 部署Spring Cloud应用。 将微服务Provider和Consumer部署至Nacos引擎所在VPC的E CS 节点。 请参考购买并登录Linux弹性云服务器在引擎实例所属VPC下创建一台ECS节点并登录。 安装JRE，为服务提供运行环境。 将4生成JAR包上传至ECS节点。 执行命令：java -jar {对应jar包}，运行生成的JAR包。 确认部署结果。 可选：在微服务引擎控制台页面，在左侧导航栏选择“注册配置中心”，单击创建注册配置中心中创建的Nacos引擎。 选择“服务管理”，查看微服务service-consumer和service-provider的实例数量。 若实例数量值不为0，则表示已经成功接入Nacos引擎。 若实例数量为0，或者找不到service-consumer和service-provider服务名，则表示微服务应用接入Nacos引擎失败。

准备工作 注册华为云并实名认证。 如果您已有一个华为账户，请跳到下一个任务。如果您还没有华为账户，请参考以下步骤创建。 打开华为云官网，单击“注册”。 根据提示信息完成注册，详细操作请参见注册华为账号并开通华为云。 注册成功后，系统会自动跳转至您的个人信息界面。 参考实名认证完成个人或企业账号实名认证。 为账户充值。 您需要确保账户有足够金额。 关于注册配置中心的价格，请参见微服务引擎价格详情。 关于充值，请参见如何给华为账户充值。 为用户添加操作权限。 用户在创建依赖资源和Nacos引擎前，需要具备相应的操作权限。添加用户权限的操作，请参考创建用户并授权使用微服务引擎。 创建注册配置中心需要保证用户具有CSE FullAccess、DNS FullAccess权限。 创建VPC和子网。 Nacos引擎运行于虚拟私有云（VPC）中，并需要绑定具体的子网。创建Nacos引擎前，需保证有可用的虚拟私有云和子网。创建虚拟私有云和子网的方法，请参考创建虚拟私有云和子网。如果已有可用的VPC和子网，不需要再次创建。 本地编译构建打包机器环境已安装了Java JDK、Maven，并且能够访问Maven中央库。 下载github的demo源码到本地并解压。

创建注册配置中心 进入购买注册配置中心页面。 参考下表设置参数，参数前面带*号的是必须设置的参数。创建注册配置中心所需参数的详细介绍请参考创建注册配置中心。 表1 创建注册配置中心参数 参数 说明 *计费模式 选择计费方式，此处选择“按需计费”。按需计费是一种后付费模式，即先使用再付费，按照注册配置中心实际使用时长计费。 *企业项目 选择注册配置中心Nacos所在的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。此处默认选择“default”。 *引擎名称 输入Nacos引擎的名称，名称以字母开头，由字母、数字和-组成，且不能以-结尾，长度为3~64个字符。如输入nacos-test。 *注册配置中心类型 支持的注册配置中心类型为“Nacos”。 说明： 注册配置中心集群的节点会尽可能均分到不同的可用区中，单节点故障不影响对外业务功能。注册配置中心不支持AZ级故障的容灾，可提供主机级别容灾能力。 *选择实例数 选择需要购买的容量规格。此处选择实例数为500，其容量单元为10。 版本 只能创建最新版本。 *网络 选择已创建的虚拟私有云及子网，可在下拉框中搜索和选择合适的虚拟私有云和子网。 虚拟私有云可以为您的引擎构建隔离的、用户自主配置和管理的虚拟网络环境。 单击“立即购买”，注册配置中心开始创建，当“运行状态”为“可用”时，注册配置中心创建完成。

配额管理 限制项 默认限制 能否修改 应用数量 每个用户最多创建200个应用。 x API产品数量 每个用户最多创建100个API产品。 √ API产品版本数量 每个API产品最多创建50个版本。 √ API产品图标数量 每个用户最多创建200个API产品图标。 √ API产品版本中的API数量 每个API产品版本最多添加100个API。 √ 凭证数量 每个用户最多创建50个凭证。 √ 其他配额请参考APIG配额管理、ROMA Connect配额管理、CodeArts配额管理。

多重运行安全防护 API的开放无时无刻都在面临着巨大的安全攻击风险（DDoS、XSS、钓鱼、暴力攻击等），ROMA API提供了一套完善的4层防护架构，从接入层、认证层、审计层和转发层，层层保障您的后端安全。 接入层 基于HTTPS访问，保证网络传输安全；从数据入口屏蔽恶意调用，防重放、防篡改；从APP、API、IP等多维度设置的流控策略进行保护。 认证层 提供AK/SK、Token方式进行应用的认证，授权后才可访问；支持系统级和API级的IP黑白名单，拒绝恶意访问。 审计层 支持LTS 日志分析 ，可为追查异常调用和恢复业务操作提供客观依据。 转发层 通过安全通道访问后端服务；提供负载均衡、自动熔断等能力；支持对后端服务的证书校验；提供API网关的身份认证信息、签名密钥等功能。

什么是ROMA API ROMA API是为API提供全生命周期治理的服务，解决API的设计、实现、管理、消费、以及分析等全流程场景的管理问题。ROMA API提供了规范化的产品和工具支撑，解决企业发展过程中各阶段遇到的问题，帮助企业快速实现API经济，持续构建高质量的 API服务 能力。 表1 产品功能 功能 说明 API可视化设计 ROMA API集成了标准的Swagger编辑器，支持编辑器编辑和表单编辑两种方式，并提供规范性检查功能，使用户可以快速、高效的在线进行API Swagger文档的设计。 API快速实现 ROMA API支持通过导入API文档一键生成代码仓以及流水线，降低开发时间。 API管理 包括API的创建、发布、下线和删除的完整生命周期管理，提供便捷的在线调试能力，支持导入Swagger文档一键生成API，以便更快速地开放API业务。 API策略 支持传统策略和插件策略。传统策略包括流量控制、访问控制、签名密钥；插件策略包括跨域资源共享、HTTP响应头管理以及更多的插件能力，进而提供更丰富的API安全、运维能力。 API测试 通过导入API生成测试用例，快速实现API测试的覆盖。 API消费 ROMA API提供内部市场的能力，将API包装成API产品，支持上架到API目录中，提供完整的API文档展示能力，以及订阅功能。 API分析 提供可视化的API指标数据，方便API管理者进行维护和运营。

免Agent方式审计数据库 部分数据库类型及版本支持免安装Agent方式，如表1所示。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 GaussDB for MySQL 默认都支持 RDS for SQLServer （华为 云审计 实例：23.02.27.182148 及其之后的版本支持） 默认都支持 RDS for MySQL 5.6（5.6.51.1及以上版本） 5.7（5.7.29.2及以上版本） 8.0（8.0.20.3及以上版本） GaussDB(DWS) 8.2.0.100及以上版本 PostgreSQL （华为云审计实例：23.04.17.123301 及其之后的版本支持） 须知： 当SQL语句大小超过4KB审计时会被截断，会导致审计到的SQL语句不完整。 14（14.4及以上版本） 13（13.6及以上版本） 12（12.10及上版本） 11（11.15及以上版本） 9.6（9.6.24及以上版本） 9.5（9.5.25及以上版本） RDS for MariaDB 默认都支持 免安装Agent模式配置简单、易操作，但较之安装了Agent的DBSS实例，支持的功能上存在如下差异： 统计会话数量时，无法统计成功登录、与失败登录的会话个数。 无法获取数据库访问时客户端的端口号。 由于GaussDB(DWS)服务具有日志审计开关的权限控制策略，只有华为云账号或拥有Security Administrator权限的用户才能开启或者关闭DWS数据库审计开关。 GaussDB默认不开启ddl，用户需要参照GaussDB用户手册操作开启如下配置： audit_system_object = 130023423，操作请参考：GaussDB开发指南。 datastyle=ISO,YMD，保证日期格式为yyyy-MM-dd HH:mm:ss+Z。 图1 免Agent安装流程 表2 快速使用数据库安全审计操作步骤 步骤 配置操作 说明 1 添加数据库 购买数据库安全服务后，您需要将待审计的数据库添加到数据库安全审计实例。 2 开启数据库安全审计 您需要开启数据库安全审计功能，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 3 查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。开启数据库安全审计后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。 须知： 您可以根据业务需求设置数据库审计规则。有关配置审计规则的详细操作，请参见配置审计规则。

相关操作 根据需要您还可以进行以下管理操作： 修改账号信息：单击“编辑”，修改账号信息。 删除单个账号：单击“删除”，删除账号。 批量删除账号：选中账号后，单击“批量操作”，在下拉框中选择“删除”。 重置密码：选中账号后，单击“批量操作”，在下拉框中选择“重置密码”，输入新密码后，选择“确认”，密码修改成功。 对于系统默认账号，不支持执行除编辑外的管理操作。对于角色为安全管理员的账号，不支持执行重置密码。

操作步骤 使用系统管理员sysadmin账号登录数据库运维安全管理系统。 在左侧导航栏中，选择“报表管理”。 单击“新建模板”，在新建模板对话框中配置模板信息。 表1 新建报表模板 参数 说明 模板名称 输入模板名称。 报表项 选择报表项： 概述 数据源分析：数据源概况；数据源类型分析；数据源保护分析。 访问分析：访问请求趋势；会话趋势。 风险分析：风险趋势分析；风险类型分布。 运维分析：运维审批分析；运维账号授权分析。 报表预览。 单击“数据源”，选择需要分析的数据源。 单击“时间段”，选择需要分析的时间范围。 如果需要根据报表模板“直接生成报表”，请参考此步骤： 找到目标报表模板，配置数据源和时间段信息，单击“立即生成”。 单击“报表任务”页签，找到该报表任务，单击“已生成报表数量”下的数据，在生成报表列表对话框中，将目标报表下载到本地，或删除。 单击“下载”，将报表下载到本地。具体操作，请参见下载并查看报表。 如果需要根据报表模板“定时生成报表”，请参考此步骤： 找到目标报表模板，单击“添加报表任务”。 在添加报表任务配置对话框中，设置定时报表生成。 表2 定时报表配置 参数 说明 任务名称 报表任务名称。 报表模板 选择使用的报表模板。 数据源 选择需要分析的数据源。 数据时间段 选择按天/周/月设置周期生成时间： 每日计划：设置每日的具体时间生成报表。 每周计划：设置每周的具体时间生成报表。 每月计划：设置每月的具体时间生成报表。 选择自定义：设置某日期的具体时间生产报表。 单击确定。 配置完成后，系统将在指定时间在“报表任务”页面生成报表。

相关操作 后续您可以根据情况，在账号管理页面进行以下操作： 编辑账号：单击“编辑”，编辑账号信息。 删除账号：单击“删除”，删除账号。 单条账号改密：单击“改密配置”， 更改当前数据库账号的密码。 批量账号改密：选中账号，单击“批量改密”，根据需求批量更改密码。 进行改密设置前，请确认数据库账号拥有改密权限，或已添加管理员账号。 添加账号信息后，您可以将数据库操作员和数据库账号进行关联，以实现安全客户端认证授权和免密登录。具体操作，请参见运维授权。

相关操作 后续您可以根据情况，进行以下数据源管理操作： 保护数据源：找到目标数据源，打开启用开关。 编辑数据源：单击“编辑”，修改数据源信息。 删除数据源：单击“删除”，删除数据源。 复制数据源：单击“复制”，复制数据源。 查看应用规则：单击规则图标，查看该数据源当前应用的安全规则，并可跳转至规则页面查看规则详情。 首次添加数据源之前需要配置安全口令。请参见安全口令设置。 若需要删除数据源，需要先停用数据源保护。删除数据源后，当该数据源存在已应用的安全规则，若规则只应用于该数据源，则规则将被停用；若规则应用于该数据源及其他正常使用的数据源上，则查看规则应用的数据库对象时，会去掉该数据源信息。 添加的数据源默认处于停用保护状态，需要手动开启。 此处添加的数据库账号信息，会自动同步至数据库账号管理模块。 数据源启用时会自动校验数据源连通性。

使用约束 表1 数据库运维支持纳管的数据源及版本 数据库类型 版本 Oracle 11.1、11.2、12C、19C MySQL 5.5、5.6、5.7、8.0、8.0.13+ SQL Server 2012、2016 DB2 10.5、11.5 达梦 6、7.6、8 RDS_MySQL 5.6、5.7、8.0 RDS_PostgreSQL 11 PostgreSQL 9.4、11 Hive 2.1.1、3.1.2、3.1.3 人大金仓（Kingbase） v8.3、v8.6-pg 高斯-A 高斯A TDSQL 5.7 TBase（TBase（PG） V2 Greemplum 6.1.0、6.17.3 DWS 8.1 MariaDB 10.2 HotDB 2.5.6 HighGO 4.5

操作步骤 使用系统管理员sysadmin账号登录数据库运维安全管理系统。 默认进入首页页面，在首页中查看信息。 表1 首页信息看板 区域 说明 风险分布 不同级别风险数量。 审计日志 统计日志总数、今日日志及风险日志数量。 安全防护 统计安全规则数、黑白名单数、虚拟补丁数。 流程审批 统计审批流程总数、审批中的流程数、被驳回的流程数。 数据源概览 统计不同种类数据库数量及占比，及未保护数据源、未配置安全规则数据源、存在风险的数据源数量统计。 风险类型分布 一定时间范围内的风险类型分布TOP5。 访问请求趋势 一定时间范围内的访问请求趋势。 访问请求 一定时间范围内的数据源访问TOP5。 并发趋势 一定时间范围内的并发数。 流量趋势 一定时间范围内的流量趋势。 页面数据刷新时间间隔为15s。

通过代理连接数据库 本文以“SQL Server Management Studio工具”为例，通过数据库运维安全管理系统代理连接到数据库。 单击“SQL Server Management Studio工具”的图标，设置连接信息，其中： 服务器名称：使用代理服务器IP及代理端口，即数据库运维安全管理系统的访问IP地址。例如172.XX.XX.12，6002。 图2 通过代理连接数据库 单击“连接”，连接到数据库。

通过代理连接数据库 本示例以“DBeaver工具”为例，通过数据库运维安全管理系统代理连接到数据库。 图3 通过代理连接数据库 单击“DBeaver工具”的图标，在选择新连接类型对话框中，选中“MySQL”。 单击“下一步”。 在设置MySQL连接对话框中，设置连接信息，如图3所示。 服务器地址：使用代理服务器IP，即数据库运维安全管理系统的访问IP地址。例如 172.XX.XX.12。 端口：使用代理端口，例如9587。 单击“测试链接”，测试是否能够连接到数据库。 测试通过后，单击“下一步”，按照界面提示完成操作。

修改登录密码 在Web控制台，单击右上角的用户名，在下拉框中单击“修改密码”。 图3 修改密码 在修改密码对话框中，修改密码并单击“确定”。 表2 参数说明 参数 说明 原密码 输入原来的登录密码。 新密码 输入修改后的新密码。 修改密码要求： 密码设置要求 长度范围：8~32个字符，不能低于8个字符，且不能超过32 个字符。 规则要求：可设置英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（!@$%^-_=+[{}]:,./?~#*），且需同时至少包含其中三种。 不能包含用户名或倒序的用户名。 不能与原密码相同。 确认密码 重新输入修改后的新密码。 修改完成后，您需要退出Web控制台，使用新密码重新登录。

操作步骤 登录实例。 方式一：登录服务管理控制台，进入数据库运维管理页面，在目标实例“操作”列单击“远程登录”。 方式二：通过方式一进入的数据库运维页面获取“弹性IP”，在浏览器地址栏中输入访问地址，按回车键，进入登录界面。 访问地址：https://服务器弹性IP地址:端口，例如https://100.xx.xx.54:18443。 （可选）在安全告警页面，单击“高级”。 图1 安全告警 （可选）在详情说明区域单击“继续前往xx.xx.xx.xx（不安全）”。 图2 进入登录页面 进入登录页面后，输入“用户名”、“密码”，单击“登录”。 登录成功后，您可以进入Web控制台，查看和配置数据库运维安全管理系统。 初次登录系统，您需要修改默认密码。具体操作请参见修改登录密码。

产品功能 本节介绍数据库运维安全管理系统的主要功能。 表1 产品功能 功能名称 功能描述 相关章节 首页 统计数据源概览，风险类型分布top，访问请求趋势、访问请求、并发趋势、流量趋势等数据，及提供风险分布、审计日志、安全防护规则、流程审批等业务信息概览。 首页信息 资产管理 可添加、编辑、删除数据源。支持对数据库账号进行管理。 资产管理 安全策略 为数据源配置配置安全策略。包括黑白名单、安全规则、虚拟补丁、误删恢复、客户端语句过滤等，并提供对象管理提高策略配置效率。 安全策略 审计中心 审计日志内容能够详尽地显示访问行为发生的具体特征，还原用户的访问行为；支持配置业务字典，将日志中的IP、账号、操作命令、操作对象翻译成易于用户理解的字段。 审计中心 风险管控 支持对数据源进行风险项扫描，并生成相应的分析报告。 风险管控 报表管理 支持基于概览，数据源分析、访问分析、风险分析、运维分析等维度生成报表。支持针对各类型报表进行详细内容的自定义配置与周期性生成；支持报表任务管理，并进行报表的下载。 报表管理 运维管理 系统管理员可对已经提交的工单进行审批、驳回操作，并支持对工单进行监控，手动回收工单权限；可对安全客户端免密登录的运维账号授权。 运维管理 系统管理（安全管理员） 支持系统账号审核、角色管理、系统登录安全设置、密码安全设置等 安全管理员操作指南 系统管理 平台信息展示、进行系统授权操作。 系统账号管理、组织架构管理。 支持系统时间的配置、时间服务器配置、告警配置、安全口令配置。 高可用管理，支持系统一键Bypass。 支持系统监控、系统诊断、系统清理、系统升级。 支持系统备份恢复。 支持网口、路由配置。 系统 消息通知 管理，可自定义消息通知、告警等细则。 系统管理 日志管理 支持查看与检索系统所有操作行为的日志信息。 查看操作日志 运维管理（数据库操作员） 数据库操作员可通过发起工单申请运维操作权限，同时系统提供安全客户端对数据库进行安全操作。 数据库操作员操作指南 父主题： 数据库运维安全管理介绍

插件状态 插件部署在客户的应用系统上。插件状态有三种： online：准备状态，插件状态正常。可以通过心跳进行状态检测，加密系统会定期推送相应的加密配置和密钥文件到插件端。等待加密系统故障后切换到激活状态。 bypass：激活状态，插件状态正常。插件已检测到加密系统异常，插件开始工作，修改应用连接从网关代理到直连数据库，并对jdbc请求中的数据进行加解密。 当应用配置连接的是网关加密代理地址且应用到网关加密代理地址不通时，插件将切换到bypass状态。