操作步骤 修改完配置文件后，在源端节点1执行以下命令。 cd /opt/huawei/DirSyncScript sh sync.sh 执行该命令后将会初始化环境，当环境准备妥当后将启动同步进程。 该脚本除了直接使用 sh sync.sh 命令运行外，还有如下功能 sh sync.sh init：初始化环境，在这里主要是检查是否安装inotify，如果没有，将执行安装。 sh sync.sh check：检查环境，将检查配置文件是否正确、软件是否安装，以确定是否能启动同步。 sh sync.sh start：在环境准备妥当情况下开始同步，每一个目录将产生一个同步进程。 sh sync.sh stop：停止同步进程。 验证同步结果 登录节点2，检查同步后文件是否和源文件一致

准备工作 开始实施迁移之前，需要完成以下准备工作： 1. 调研并获取现网系统的操作系统版本、网络规划设计和文件系统情况，根据获取信息，输出目标系统的LLD交付规划设计。 2. 获取现网HANA数据库版本信息，明确目标系统HANA数据库版本，并提前获取操作系统镜像及相应版本的软件包安装包。 3. 使用 SMS 操作前，确保帐户有足够的金额用于新服务器的创建及续费。 父主题： SAP由XEN往KVM平台迁移最佳实践

简介 本文档仅用于指导租户在华为云平台上准备资源（云服务器、网络资源等）并进行SAP on DB2的安装，SAP 采用BYOL（Bring Your Own License）模式进行授权，租户需要自行登录SAP公司的技术支持网站购买License。 本文档并不可替代SAP标准文档。在安装和使用SAP过程中，针对SAP软件自身的问题和疑问，请联系SAP公司技术支持人员解决。 本文档基于SUSE Linux编写，本文档适用于SAP on DB2单机安装部署，出现的安装部署方式仅供参考，具体请参考SAP标准安装手册或根据实际场景及应用情况进行安装部署。 SAP官方安装手册和相关内容请参见： SAP Installation Guides SAP Notes SAP Library 父主题： 华为云SAP on DB2安装最佳实践

SMS块迁移简介 “块迁移”的“块”指的是磁盘块，磁盘块是文件系统管理磁盘（分区）的最小逻辑单位（Windows叫簇，和“块”含义类似），也是操作系统和软件使用磁盘的最小单位，它是一个逻辑的概念。而磁盘真正读写的最小单位是扇区，磁盘块的读写最终转换成对扇区的操作。通常，一个文件会存储在若干块中，而一个块对应若干个物理扇区。 所谓的块迁移指的是以文件系统的块（Block）为基本单位进行迁移，所以即使网络中断，只需在网络恢复对相应的块进行重传即可，且迁移的时候文件被修改，只需同步对应修改块即可，而不需要对该文件包含的所有块进行同步。而文件迁移是采用工具或者TAR命令以及SSH或其他通道进行远程复制，所以只要文件压缩时候有变动或者迁移时网络中断，都会导致迁移失败。且在增量数据同步的时候，只要文件有变动，则需要同步该文件，那么该文件对应的所有块都进行重选，同步效率较低。使用文件系统的块迁移能更好满足SAP数据库增量数据同步的效果。 关于SMS更详细信息请参考华为云官网文档《 主机迁移服务 SMS》。 父主题： 使用SMS Linux块迁移SAP应用与数据库最佳实践

简介 存储容灾服务（Storage Disaster Recovery Service）是一种为弹性云服务器（Elastic Cloud Server，E CS ）、云硬盘（Elastic Volume Service，EVS）和专属分布式存储（Dedicated Distributed Storage Service）等服务提供容灾的服务。通过存储复制、数据冗余和缓存加速等多项技术，提供给用户高级别的数据可靠性以及业务连续性，简称存储容灾。 存储容灾服务有助于保护业务应用，将弹性云服务器的数据、配置信息复制到容灾站点，并允许业务应用所在的服务器停机期间从另外的位置启动并正常运行，从而提升业务连续性。 更多信息请参考：存储容灾服务SDRS 。 父主题： 华为云SAP SDRS容灾最佳实践

简介 本文档仅用于指导租户在公有云平台上准备资源（云服务器、网络资源等）并进行SAP on SQL Server的安装，SAP 采用BYOL（Bring Your Own License）模式进行授权，租户需要自行登录SAP公司的技术支持网站购买License。 本文档并不可替代SAP标准文档。在安装和使用SAP过程中，针对SAP软件自身的问题和疑问，请联系SAP公司技术支持人员解决。 本文档基于Windows编写，本文档中出现的安装部署方式仅供参考，具体请参考SAP标准安装手册或根据实际场景及应用情况进行安装部署。 SAP官方安装手册和相关内容请参见： SAP Installation Guides SAP Notes SAP Library 父主题： 华为云SAP on SQL Server安装最佳实践

简介 本文档仅用于指导租户在华为云平台上准备资源（云服务器、网络资源等）并进行SAP Business One的安装，SAP 采用BYOL（Bring Your Own License）模式进行授权，租户需要自行登录SAP公司的技术支持网站购买License。 文档约定如下： 本文档用于指导用户进行SAP Business One（SAP HANA 版）的安装及部署。 本文档并不可替代SAP标准文档。在安装和使用SAP Business One过程中，针对SAP Business One软件自身的问题和疑问，请联系SAP公司技术支持人员解决。 本文档基于SUSE Linux编写，本文档中出现的安装部署方式仅供参考，具体请参考SAP标准安装手册或根据实际Sizing及应用情况进行安装部署。 SAP官方安装手册和相关内容请参见： SAP Installation Guides SAP Library https://partneredge.sap.com SAP Business One相关介绍可参考SAP Business One用户指南 。 父主题： 华为云SAP Business One on HANA安装最佳实践

简介 本文档仅用于指导租户在公有云平台上准备资源（云服务器、网络资源等）并进行SAP S/4HANA 1809高可用的部署，SAP S/4HANA采用BYOL（Bring Your Own License）模式进行授权，租户需要自行登录SAP公司的技术支持网站购买License。 本文档并不可替代SAP标准文档。在安装和使用SAP S/4HANA过程中，针对SAP S/4HANA软件自身的问题和疑问，请联系SAP公司技术支持人员解决。 本文档基于SUSE Linux编写，本文档中出现的安装部署方式仅供参考，具体请参考SAP标准安装手册或根据实际Sizing及应用情况进行安装部署。 SAP官方安装手册和相关内容请参见： SAP Installation Guides SAP Notes SAP Library 父主题： SAP S4HANA1809同可用区高可用部署最佳实践

SAP系统指标 SAP系统指标分为SAP HANA指标、SAP NetWeaver ABAP与Java应用指标，详情请参考： 表1 表2 表1 SAP HANA指标 指标组 指标名 指标含义 单位 database_version sap_hanadb_database_version_info 数据库版本 service_quantity sap_hanadb_service_quantity_count 实例进程总数 count sap_hanadb_active_service_quantity_count 实例活跃进程数 count database_ha_active sap_hanadb_database_ha_active_status 数据库HA状态 status sr_active sap_hanadb_sr_active_status 数据库系统复制状态 status threads sap_hanadb_all_threads_count 线程总数 count sap_hanadb_active_threads_count active线程数 count sap_hanadb_blocked_threads_count 阻塞线程数 count sap_hanadb_sqlexecutor_threads_count SQL执行线程数 count sap_hanadb_sqlexecutor_threads_active_count SQL执行active线程数 count sap_hanadb_jobworker_threads_count job工作线程总数 count sap_hanadb_jobworker_threads_active_count job工作线程active线程数 count recent_data_backup sap_hanadb_age_of_recent_data_backup_hours 最近一次成功完全数据备份距现在的时间间隔小时数。如果没有成功备份为-1。 hours recent_savepoint sap_hanadb_age_of_recent_savepoint_minutes 最近一次SAVEPOINT距现在的时间间隔分钟数。没有为-1。 minutes sap_hanadb_recent_savepoint_duration_seconds 最近一次SAVEPOINT的持续时间秒数。没有为-1。 seconds column_tables_used_memory sap_hanadb_column_tables_used_memory_mb 数据表内存使用量 mb schema_used_memory sap_hanadb_schema_used_memory_mb 数据库schema内存使用量 mb disk_data_files sap_hanadb_disk_data_files_used_size_mb 数据文件已使用磁盘大小 mb sap_hanadb_disk_data_files_total_size_mb 数据文件磁盘总量 mb sap_hanadb_disk_data_files_available_size_mb 数据文件可用磁盘大小 mb sap_hanadb_disk_data_files_fragmentation_percent 数据文件可用磁盘空间率 percent disk_usage sap_hanadb_disk_total_device_size_mb 操作系统返回的磁盘设备总大小，同一磁盘设备在不同使用类型磁盘设备（DATA、 LOG 等）之间共享时，结果会重复 mb sap_hanadb_disk_total_size_mb 磁盘数据卷总大小，同一磁盘设备在不同使用类型卷（DATA、LOG等）之间共享时，结果会重复 mb sap_hanadb_disk_total_used_size_mb 磁盘数据卷已使用大小，同一磁盘设备在不同使用类型卷（DATA、LOG等）之间共享时，结果会重复 mb sap_hanadb_disk_used_size_mb 按使用类型（DATA、LOG等）统计的已使用磁盘大小 mb service_memory sap_hanadb_memory_service_shared_allocated_mb 服务从内存池分配的共享内存 mb sap_hanadb_memory_service_shared_used_size_mb 服务从内存池分配已使用的共享内存 mb sap_hanadb_memory_service_shared_used_percent 服务从内存池分配已使用的共享内存占服务从内存池分配的共享内存比例 percent sap_hanadb_memory_service_heap_allocated_mb 服务从内存池已分配的堆内存 mb sap_hanadb_memory_service_heap_used_size_mb 服务从内存池分配已使用的堆内存 mb sap_hanadb_memory_service_heap_used_percent 服务从内存池分配已使用的堆内存占服务从内存池已分配的堆内存比例 percent sap_hanadb_memory_service_total_used_mb 服务从内存池已申请使用的总内存 mb sap_hanadb_memory_service_physical_total_mb 服务已使用的总物理内存 mb sap_hanadb_memory_service_virtual_total_mb 服务已使用的总虚拟内存 mb sap_hanadb_memory_service_code_size_mb 服务已使用的代码段大小（包括动态链接库） mb sap_hanadb_memory_service_stack_size_mb 服务已使用的栈大小 mb sap_hanadb_memory_service_compactors_freeable_size_mb 服务内存不足时可释放的内存 mb sap_hanadb_memory_service_compactors_allocated_size_mb 服务内存不足时内存池潜在可释放的内存 mb sap_hanadb_memory_service_alloc_limit_mb 服务最大内存池大小 mb sap_hanadb_memory_service_effective_alloc_limit_mb 服务最大有效内存池大小（考虑其他进程计算出的内存池大小） mb host_memory sap_hanadb_host_memory_physical_total_mb 主机总物理内存 mb sap_hanadb_host_memory_resident_mb 主机常驻（已使用）的物理内存 mb sap_hanadb_host_memory_physical_free_mb 主机空闲物理内存 mb sap_hanadb_host_memory_swap_free_mb 主机空闲交换内存 mb sap_hanadb_host_memory_swap_used_mb 主机已使用交换内存 mb sap_hanadb_host_memory_alloc_limit_mb 主机所有进程可分配的最大内存 mb sap_hanadb_host_memory_used_total_mb SAP HANA 进程从内存池中占用的总内存当前大小 mb sap_hanadb_host_memory_used_peak_mb 实例启动后，SAP HANA 进程从内存池中占用的总内存最大值 mb sap_hanadb_host_memory_pool_size_mb SAP HANA 进程的总内存池大小 mb sap_hanadb_host_memory_code_size_mb SAP HANA 进程的总代码段大小，包括动态链接库 mb sap_hanadb_host_memory_shared_alloc_mb SAP HANA 进程的总共享内存大小 mb sql_service sap_hanadb_sql_service_executions_count 不同类型SQL的执行总次数 count sap_hanadb_sql_service_elapsed_time_ms 不同类型SQL执行的总时间消耗 ms sap_hanadb_sql_service_elap_per_exec_avg_ms 不同类型SQL执行的平均时间消耗 ms sap_hanadb_sql_service_lock_per_exec_ms 不同类型SQL执行的平均锁等待时间 ms sap_hanadb_sql_service_max_ela_time_ms 不同类型SQL执行的最大时间消耗 ms sql_top_time sap_hanadb_sql_top_time_consumers_execution_time_mu SQL语句执行耗时TOP 10 mu sap_hanadb_sql_top_time_consumers_execution_count SQL语句执行耗时TOP 10的总执行次数 count sql_top_mem sap_hanadb_sql_top_mem_consumers_total_execution_memory_size_byte SQL语句内存消耗TOP 10 byte sap_hanadb_sql_top_mem_consumers_execution_count SQL语句内存消耗TOP 10的总执行次数 count connections_total sap_hanadb_connections_total_count 不同类型的连接总数 count table_cs_top_mem sap_hanadb_table_cs_top_mem_total_mb 数据库表内存消耗TOP10 mb sap_hanadb_table_cs_top_mem_estimated_max_mb 数据库表内存消耗TOP10的预估最大内存占用 mb sap_hanadb_table_cs_top_mem_record_count 数据库表内存消耗TOP10的数据行数 count sap_hanadb_table_cs_top_mem_disk_size_mb 数据库表内存消耗TOP10的磁盘占用大小 mb alerts sap_hanadb_alerts_current_rating 数据库告警 rating 表2 SAP NetWeaver ABAP与Java应用指标 指标组 指标名 指标含义 单位 application_version sap_netweaver_application_version_info 应用的版本 instance_quantity sap_netweaver_instance_quantity_count 应用系统总的实例数 count sap_netweaver_active_instance_quantity_count 应用系统活跃的实例数 count application_ha_active sap_netweaver_application_ha_active_status 应用的HA状态 status abap_short_dumps sap_netweaver_abap_short_dumps_count ABAP Dump数量，过去1小时的ABAP dumps统计 count abap_short_dumps_5m sap_netweaver_abap_short_dumps_5m_count 过去5分钟的ABAP dumps统计 count jobs sap_netweaver_canceled_jobs_count 过去1小时已删除（撤销）的作业数 count sap_netweaver_finished_jobs_count 过去1小时已完成的作业数 count logged_in_users sap_netweaver_logged_in_users_count SAP应用已登录的用户数 count lock_entries_usage sap_netweaver_lock_entries_usage_percent 锁使用率 percent extended_memory_utilization sap_netweaver_extended_memory_utilization_percent extended memory 使用率 percent heap_memory_utilization sap_netweaver_heap_memory_utilization_percent heap memory 使用率 percent dialog_response_time sap_netweaver_dialog_response_time_ms Dialog响应耗时 ms dialog_db_request_time sap_netweaver_dialog_db_request_time_ms Dialog到数据库的请求处理耗时 ms work_processes sap_netweaver_work_processes_utilization_percent 进程使用率，进程类型包括：会话，后台，打印，更新1，更新2 percent sap_netweaver_number_of_total_work_processes_count 进程总数，进程类型包括：会话，后台，打印，更新1，更新2 count sap_netweaver_number_of_free_work_processes_count 空闲进程数，进程类型包括： 会话，后台，打印，更新1，更新2 count jobs sap_netweaver_running_jobs_count 运行中的作业数 count failed_idocs sap_netweaver_failed_idocs_count 失败的idoc文档数 count update_records sap_netweaver_update_records_count 过去1分钟更新请求（update records）数量 count sap_netweaver_failed_updates_count 过去1分钟失败的更新请求（update records）数 count rfc_ping sap_netweaver_rfc_ping_ms 各实例到PAS节点的RFC调用时延 ms j2ee_running_process sap_netweaver_j2ee_running_process_count Java运行进程数量。 count j2ee_thread sap_netweaver_j2ee_thread_count Java线程数量 count j2ee_session sap_netweaver_j2ee_session_count Java session数量 count j2ee_websession sap_netweaver_j2ee_websession_count Java web session数量 count j2ee_ejbsession sap_netweaver_j2ee_ejbsession_count Java EJB session数量 count j2ee_vm_heap_size sap_netweaver_j2eevmheap_size_mb Java进程local classes或local objects堆大小 mb sap_netweaver_j2eevmheap_commitSize_mb Java进程local classes或local objects堆提交大小 mb sap_netweaver_j2eevmheap_maxUsedSize_mb Java进程local classes或local objects堆最大使用大小 mb sap_netweaver_j2eevmheap_initialSize_mb Java进程local classes或local objects堆初始大小 mb sap_netweaver_j2eevmheap_maxSize_mb Java进程local classes或local objects堆最大大小 mb

迁移流程 一个典型的SAP迁移项目的实施的流程如图1所示。 图1 迁移流程 各阶段说明如下： 项目准备 该阶段主要是根据具体需求、应用系统信息，评估迁移上云的风险与可行性，并依据收集的信息与评估结果来制定项目主计划和进行方案设计。另外，从项目管理的角度，此阶段还包括项目团队的组建与管理制度的制定等准备工作。 在这一阶段，华为云提供云上系统部署方案，并可以提供迁移方案的建议。其中，云上部署方案包含计算、网络、安全、账号体系等。 测试与演练 本阶段的目的是搭建迁移环境，确保迁移到华为云后的系统能满足要求，同时也确保迁移方案的各个环节没有遗漏的问题，保证正式迁移能顺利进行。 同时，华为云还提供华为专业上云服务，帮助您顺利部署系统。 上线准备 根据演练与测试的结果优化迁移方案，并确定最终的方案。具体工作包括遗留问题整理、传输清单梳理、高可用方案测试、切换方案与停机方案测试、制定切换计划与停机计划、回退方案设计与验证等。 该部分工作主要由迁移实施方完成，华为云提供支持。 系统切换 根据系统测试最终确定的切换计划与方案实施业务的切换。 该部分工作主要由迁移实施方完成，华为云提供支持。 正式上线 系统正式使用，需要持续监控系统，必要时优化云上系统结构。 该部分工作主要由迁移实施方完成，华为云提供支持。 父主题： SAP迁移上华为云最佳实践

概述 本文档介绍华为云SAP ASE解决方案，主要涵盖资源选择、系统备份、高可用、容灾以及线下系统迁移等方面。华为云提供的众多云服务使SAP ASE系统能够稳定、安全地运行。 SAP ASE全称为SAP Adaptive Server Enterprise，是一款高性能的SQL数据库，采用了关系模型来驱动基于事务的应用，能满足租户对数据库的性能、可靠性和效率提升的要求。借助SAP ASE，租户能更快速、更可靠地执行联机事务处理（OLTP），做到事半功倍；能够打造基于事务的现代化应用，并提高应用在企业内部和云端的运行速度；这一高性能的SQL数据库服务器采用了关系管理模型，以满足各个行业对性能、可靠性和效率的日益增长的需求。 华为云SAP ASE的优势如下： 规格丰富：提供多种规格的弹性云服务器，满足不同应用场景需求，租户可根据用户量、性能等要求选购合适的规格。 成本更低：提供多款低成本的弹性云服务器，租户可根据自身预算选择。 效率更高：租户的整套SAP系统都可部署在华为云上，使SAP系统的运维更方便，并能提升SAP系统的整体运行效率。 华为云使用自带许可证模型支持SAP ASE数据库。SAP ASE与华为云相结合，提供了一个高性能的企业级关系数据库管理系统，非常适合关键任务，数据密集型环境。有关在华为云上运行SAP ASE的其他信息，请参阅SAP Note #2644322（需要SAP Service Marketplace凭据）。 父主题： SAP ASE最佳实践

总结 智能修正模式与严格校验模式可以结合使用，且智能修正模式具有优先级。在进行COPY导入时，若已明确指定对数据异常采用智能修正，那么该行数据的处理将不会触发严格校验模式。这意味着错误表不会记录相应数据，同时也不会扣除reject limit次数。建议用户根据自身实际情况，权衡是否自动修正列异常与字符异常后入库，还是直接舍弃。 对于严格校验模式的两个级别，推荐用户默认选择Level1。这是因为Level1所支持的错误类型较为常见，并且不会对导入性能产生任何影响。而Level2目前仅在集中式A兼容环境下支持，开启该特性会额外消耗导入性能和内存资源。具体信息请参见COPY支持约束冲突容错能力。因此，不建议用户默认使用Level2，仅在明确数据存在约束类型冲突时再开启。

背景 一个数据库可能有很多的用户需要访问，为了方便管理这些用户，将用户组成一个数据库角色。一个数据库角色可以视为一个数据库用户或者一组数据库用户。 对于数据库来说，用户和角色是基本相同的概念，不同之处在于，使用CREATE ROLE创建角色，不会创建同名的SCHEMA，并且默认没有LOGIN权限；而使用CREATE USER创建用户，会自动创建同名的SCHEMA，默认有LOGIN权限。换句话说，一个拥有LOGIN权限的角色可以被认为是一个用户。在业务设计中，仅建议通过ROLE来组织权限，而不是用来访问数据库。

解决方案 数据库用户 数据库用户的主要用途是使用该用户账号连接数据库、访问数据库对象和执行SQL语句。在连接数据库时，必须使用一个已经存在的数据库用户。因此，作为数据库管理员，需要为每一个需要连接数据库的使用者规划一个数据库用户。 在创建数据库用户时，至少需要指定用户名和密码。 默认情况下，数据库用户可以分为两大类，详细信息请参见表1。 表1 用户分类 分类 描述 初始用户 具有数据库的最高权限，并且具有所有的系统权限和对象权限。初始用户不受对象的权限设置影响。这个特点类似Unix系统的root的权限。从安全角度考虑，除了必要的情况，建议尽量避免以初始用户身份操作。 在安装数据库或者初始化数据库时，可以指定初始用户名和密码。如果不指定用户名则会自动生成一个与安装数据库的OS用户同名的初始用户。如果不指定密码则安装后初始用户密码为空，需要通过gsql客户端设置初始用户的密码后才能执行其他操作。 说明： 基于安全性考虑， GaussDB Kernel禁止了所有用户trust方式的远程登录方式，禁止了初始用户的任何方式的远程登录。 普通用户 默认可以访问数据库的默认系统表和视图（pg_authid、pg_largeobject、pg_user_status和pg_auth_history除外），可以连接默认的数据库postgres以及使用public模式下的对象（包括表、视图和函数等）。 可以通过CREATE USER、ALTER USER指定系统权限，或者通过GRANT ALL PRIVILEGE授予SYSADMIN权限。 可以通过GRANT语句授予某些对象的权限。 可以通过GRANT语法将其他角色或用户的权限授权给该用户。 数据库权限分类 通过权限和角色，可以控制用户访问指定的数据，以及执行指定类型的SQL语句。详细信息请参见表2。 系统权限只能通过CREATE/ALTER USER、CREATE/ALTER ROLE语句指定（其中SYSADMIN还可以通过GRANT/REVOKE ALL PRIVILEGES的方式赋予、回收），无法从角色继承。 表2 权限分类 分类 描述 系统权限 系统权限又称为用户属性，可以在创建用户和修改用户时指定，包括SYSADMIN、MONADMIN、OPRADMIN、POLADMIN、CREATEDB、CREATEROLE、AUDITADMIN和LOGIN。 系统权限一般通过CREATE/ALTER USER语句指定。除了SYSADMIN外的其他系统权限，无法通过GRANT/REVOKE进行授予和撤销。并且，系统权限无法通过ROLE被继承。 对象权限 对象权限是指在表、视图、索引和函数等数据库对象上执行各种操作的权限，对象权限包括SELECT、INSERT、UPDATE和DELETE等。 只有对象的所有者或者系统管理员才可以执行GRANT/REVOKE语句来分配/撤销对象权限。 角色 角色是一组权限的集合，可以将一个角色的权限赋予其他角色和用户。 由于无法给其他角色和用户赋予系统权限，所以角色只有是对象权限的集合时才有意义。 数据库权限模型 系统权限模型 默认权限机制 图1 权限架构 权限架构如图1，默认权限机制下sysadmin具有大多数的权限。 初始安装用户：集群安装过程中自动生成的账户，拥有系统的最高权限，能够执行所有的操作。 SYSADMIN：系统管理员权限，权限仅次于初始安装用户，默认具有与对象所有者相同的权限，但不包括监控管理员权限和运维管理员权限。 MONADMIN：监控管理员权限，具有监控模式dbe_perf及模式下视图和函数的访问权限和授予权限。 OPRADMIN：运维管理员权限，具有使用Roach工具执行备份恢复的权限。 CREATEROLE：安全管理员权限，具有创建、修改、删除用户/角色的权限。 AUDITADMIN：审计管理员权限，具有查看和维护数据库审计日志的权限。 CREATEDB：具有创建数据库的权限。 POLADMIN：安全策略管理员权限，具有创建资源标签，数据动态脱敏策略和统一审计策略的权限。 三权分立机制 图2 三权分立机制 SYSADMIN：系统管理员权限，不再具有创建、修改、删除用户/角色的权限，也不再具有查看和维护数据库审计日志的权限。 CREATEROLE：安全管理员权限，具有创建、修改、删除用户/角色的权限。 AUDITADMIN：审计管理员权限，具有查看和维护数据库审计日志的权限。 一个用户/角色只能具有SYSADMIN、CREATEROLE和AUDITADMIN中的一项系统权限。 对象权限模型 对象权限：指在数据库、模式、表等数据库对象上执行特定动作的权限，比如：SELECT、INSERT、UPDATE、DELETE和CONNECT等。 针对不同的数据库对象有不同的对象权限，相应地可以被授予用户/角色。 通过GRANT/REVOKE来传递对象权限，对象权限可以通过角色被继承。 角色权限模型 GaussDB Kernel提供了一组默认角色，以gs_role_开头命名。它们提供对特定的、通常需要高权限操作的访问，可以将这些角色GRANT给数据库内的其他用户或角色，让这些用户能够使用特定的功能。在授予这些角色时应当非常小心，以确保它们被用在需要的地方。表3描述了内置角色允许的权限范围。 表3 内置角色权限 角色 权限描述 gs_role_copy_files 具有执行copy … to/from filename的权限，但需要先打开GUC参数enable_copy_server_files。 gs_role_signal_backend 具有调用函数pg_cancel_backend()、pg_terminate_backend()和pg_terminate_session()来取消或终止其他会话的权限，但不能操作属于初始用户和PERSISTENCE用户的会话。 gs_role_tablespace 具有创建表空间（tablespace）的权限。 gs_role_replication 具有调用逻辑复制相关函数的权限，例如kill_snapshot()、pg_create_logical_replication_slot()、pg_create_physical_replication_slot()、pg_drop_replication_slot()、pg_replication_slot_advance()、pg_create_physical_replication_slot_extern()、pg_logical_slot_get_changes()、pg_logical_slot_peek_changes()，pg_logical_slot_get_binary_changes()、pg_logical_slot_peek_binary_changes()。 gs_role_account_lock 具有加解锁用户的权限，但不能加解锁初始用户和PERSISTENCE用户。 gs_role_pldebugger 具有执行dbe_pldebugger下调试函数的权限。 gs_role_directory_create 具有执行创建directory对象的权限，但需要先打开GUC参数enable_access_server_directory。 gs_role_directory_drop 具有执行删除directory对象的权限，但需要先打开GUC参数enable_access_server_directory。 系统权限配置 默认权限机制配置方法 初始用户 数据库安装过程中自动生成的账户称为初始用户。初始用户也是系统管理员、监控管理员、运维管理员和安全策略管理员，拥有系统的最高权限，能够执行所有的操作。如果安装时不指定初始用户名称则该账户与进行数据库安装的操作系统用户同名。如果在安装时不指定初始用户的密码，安装完成后密码为空，在执行其他操作前需要通过gsql客户端修改初始用户的密码。如果初始用户密码为空，则除修改密码外无法执行其他SQL操作以及升级、扩容和节点替换等操作。 初始用户会绕过所有权限检查。建议仅将此初始用户作为DBA管理用途，而非业务用途。 系统管理员 gaussdb=#CREATE USER u_sysadmin WITH SYSADMIN password '********'; --或者使用如下SQL，效果一样，需要该用户已存在。 gaussdb=#ALTER USER u_sysadmin01 SYSADMIN; 监控管理员 gaussdb=#CREATE USER u_monadmin WITH MONADMIN password '********'; --或者使用如下SQL，效果一样，需要该用户已存在。 gaussdb=#ALTER USER u_monadmin01 MONADMIN; 运维管理员 gaussdb=#CREATE USER u_opradmin WITH OPRADMIN password "xxxxxxxxx"; --或者使用如下SQL，效果一样，需要该用户已存在。 gaussdb=#ALTER USER u_opradmin01 OPRADMIN; 安全策略管理员 gaussdb=#CREATE USER u_poladmin WITH POLADMIN password "xxxxxxxxx"; --或者使用如下SQL，效果一样，需要该用户已存在。 gaussdb=#ALTER USER u_poladmin01 POLADMIN; 三权分立机制配置方式 此模式需要设置guc参数“enableSeparationOfDuty”的值为“on”，该参数为POSTMASTER类型参数，修改完之后需要重启数据库。 gs_guc set -Z datanode -N all -I all -c "enableSeparationOfDuty=on" gs_om -t stop gs_om -t start 创建和配置相应的用户权限的语法和默认权限一致。 角色权限配置 --创建数据库test gaussdb=#CREATE DATABASE test; --创建角色role1，创建用户user1 gaussdb=#CREATE ROLE role1 PASSWORD '********'; gaussdb=#CREATE USER user1 PASSWORD '********'; --赋予CREATE ANY TABLE权限角色role1 gaussdb=#GRANT CREATE ON DATABASE test TO role1; --将角色role1赋予给用户user1,则用户user1属于组role1,继承role1的相应权限可以在test数据库中创建模式。 gaussdb=#GRANT role1 TO user1; --查询用户和角色信息 gaussdb=#\du role1|user1; List of roles Role name | Attributes | Member of -----------+--------------+----------- role1 | Cannot login | {} user1 | | {role1}

VACUUM参数介绍 表1 VACUUM参数介绍 名称 描述 默认取值 track_counts 是否开启统计信息收集功能。 on AutoVacuum 是否启动系统自动清理功能。 on AutoVacuum_mode 仅在AutoVacuum设置为on的场景下生效，它控制Autoanalyze或AutoVacuum的打开情况。 mix autovacuum_max_workers 设置系统自动清理工作进程的最大数量。 3 autovacuum_naptime 设置两次系统自动清理操作之间的间隔时间。 10min autovacuum_vacuum_cost_limit 将在AutoVacuum操作里使用的cost上限。 1000 autovacuum_vacuum_cost_delay 如果超过了上面的cost上限，需要休眠的时间。 20ms vacuum_freeze_min_age tuple的年龄超过该值时需要freeze。 20亿 autovacuum_freeze_max_age 表的年龄超过该值时需要强制启动AutoVacuum。 40亿 vacuum_freeze_table_age 表的年龄超过该值时需要执行紧急模式。 40亿 autovacuum_vacuum_threshold AutoVacuum进程进行VACUUM操作的阈值基数。 50 autovacuum_vacuum_scale_factor AutoVacuum因子, AutoVacuum进程进行VACUUM的比例因子。 0.2 autovacuum_analyze_threshold AutoVacuum进程进行analyze 操作的阈值基数。 50 autovacuum_analyze_scale_factor Autoanalyze因子，AutoVacuum进程进行analyze的比例因子。 0.1 父主题： VACUUM最佳实践