华为云用户手册

准备实例依赖资源 在购买RocketMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RocketMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RocketMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 RocketMQ实例所需资源的具体要求和创建指导如表1所示。 表1 RocketMQ实例依赖资源 准备资源 要求 创建指导 VPC和子网 RocketMQ实例可以使用当前账号下已创建的VPC和子网，也可以使用新创建的VPC和子网，还可以使用共享VPC和子网，请根据实际需要进行配置。 共享VPC是基于 资源访问管理 （Resource Access Manager，简称 RAM ）服务的机制，VPC的所有者可以将VPC内的子网共享给一个或者多个账号使用。通过共享VPC功能，可以简化网络配置，帮助您统一配置和运维多个账号下的资源，有助于提升资源的管控效率，降低运维成本。有关VPC子网共享的更多信息，请参见共享VPC。 在创建VPC和子网时应注意如下要求： 创建的VPC与使用的RocketMQ实例应在相同的区域。 创建VPC和子网时，配置参数建议使用默认配置。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。 安全组 不同的RocketMQ实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。 使用RocketMQ实例必须添加表2或表3所示安全组规则，其他规则请根据实际需要添加。 创建安全组后，系统默认添加入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RocketMQ实例，无需添加表2或表3的规则。 创建安全组的操作指导请参考创建安全组，为安全组添加规则的操作指导请参考添加安全组规则。 弹性IP地址 开启公网访问时，才需要配置弹性IP地址。 在创建弹性IP地址时，应注意如下要求： 创建的弹性IP地址与RocketMQ实例在相同的区域。 RocketMQ控制台无法识别开启IPv6转换功能的弹性IP地址。 创建弹性IP地址的操作指导请参考申请弹性公网IP。 表2 安全组规则（RocketMQ实例4.8.0版本） 方向 协议 端口 源地址 说明 入方向 TCP 8100 RocketMQ客户端所在的IP地址或地址段。 使用TCP协议，通过内网访问元数据节点的端口。 入方向 TCP 8200 使用TCP协议，通过公网访问元数据节点的端口。 入方向 TCP 10100-10199 使用TCP协议，通过内网访问业务节点的端口。 入方向 TCP 10101-10199 使用TCP协议，通过公网访问业务节点的端口。 表3 安全组规则（RocketMQ实例5.x版本） 方向 协议 端口 源地址 说明 入方向 TCP 8100 RocketMQ客户端所在的IP地址或地址段。 使用TCP协议，通过内网访问实例的端口。 入方向 TCP 8200 使用TCP协议，通过公网访问实例的端口。 入方向 TCP 8080 使用gRPC协议，通过内网访问实例的端口。 入方向 TCP 8081 使用gRPC协议，通过公网访问实例的端口。 入方向 TCP 10100 使用TCP协议，通过内网访问业务节点的端口。 入方向 TCP 10101 使用TCP协议，通过公网访问业务节点的端口。

维度 Key Value reliablemq_instance_id RocketMQ实例 reliablemq_broker RocketMQ实例节点 reliablemq_topics RocketMQ实例队列 reliablemq_groups RocketMQ实例的消费组 reliablemq_groups_topics RocketMQ实例队列的消费组 reliablemq_dlq_topics RocketMQ实例的死信队列

监控指标 表1 堡垒机 服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象 监控周期（原始指标） cpu_util CPU利用率 该指标为从物理机层面采集的CPU使用率，数据准确性低于从弹性云服务器内部采集的数据 0%~100% % 不涉及 堡垒机 300秒 mem_util 内存使用率 该指标用于统计测量对象的内存利用率 0%~100% % 不涉及 堡垒机 300秒 disk_util 磁盘使用率 该指标用于统计测量对象的磁盘利用率 0%~100% % 不涉及 堡垒机 300秒 session_count 会话连接数 该指标用于统计测量对象的实时会话连接数 ≥0 不涉及 不涉及 堡垒机 300秒 resource_count 管理资源数 该指标用于统计测量对象的管理资源数 ≥0 不涉及 不涉及 堡垒机 300秒

监控指标 消息通知 服务支持的监控指标如表1所示。 表1 消息通知服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） email_total_count 邮件订阅推送量 该指标为主题维度上针对邮件类型的订阅推送的消息总量 ≥0 Piece 不涉及 单个主题 5分钟 email_success_rate 邮件订阅推送成功率 该指标为主题维度上针对邮件类型的订阅推送成功的消息比率 0-100 % 不涉及 单个主题 5分钟 sms_total_count 短信订阅推送量 该指标为主题维度上针对短信类型的订阅尝试推送的消息总量 ≥0 Piece 不涉及 单个主题 5分钟 sms_success_rate 短信订阅推送成功率 该指标为主题维度上针对短信类型的订阅推送成功的消息比率 0-100 % 不涉及 单个主题 5分钟 http_total_count http(s)订阅推送量 该指标为主题维度上针对http和https类型的订阅推送的消息总量 ≥0 Piece 不涉及 单个主题 5分钟 http_2xx_count http(s)订阅 推送成功数量 该指标为主题维度上针对http和https类型的订阅推送的消息返回码为2xx的数量 ≥0 Piece 不涉及 单个主题 5分钟 http_4xx_count http(s)订阅推送 4xx异常数量 该指标为主题维度上针对http和https类型的订阅推送的消息返回码为4xx的数量 ≥0 Piece 不涉及 单个主题 5分钟 http_5xx_count http(s)订阅推送 5xx异常数量 该指标为主题维度上针对http和https类型的订阅推送的消息返回码为5xx的数量 ≥0 Piece 不涉及 单个主题 5分钟 http_success_rate http(s)订阅 推送成功率 该指标为主题维度上针对http和https类型的订阅推送成功的消息比率 0-100 % 不涉及 单个主题 5分钟 message_published_count 发布到主题的消息数量 该指标为主题角度上发布到具体主题的消息数量 ≥0 Piece 不涉及 单个主题 5分钟 message_filtered_count 发布消息时因消息属性被拒绝的消息数 该指标为主题角度上发布消息时因为配置了消息属性而被订阅配置的筛选策略所拒绝的消息数量 ≥0 Piece 不涉及 单个主题 5分钟 message_publish_size 发布到主题的消息大小 该指标为主题角度上发布到具体主题的消息大小 ≥0 Byte 1024(IEC) 单个主题 5分钟

准备工作 注册华为云并实名认证。 如果您已有一个华为账户，请跳到下一个任务。如果您还没有华为账户，请参考以下步骤创建。 打开华为云官网，单击“注册”。 根据提示信息完成注册，详细操作请参见 注册华为账号 并开通华为云。 注册成功后，系统会自动跳转至您的个人信息界面。 参考实名认证完成个人或企业账号实名认证。 为账户充值。 您需要确保账户有足够金额。 关于ServiceComb引擎和应用网关的价格，请参见微服务引擎价格详情。 关于充值，请参见如何给华为账户充值。 为用户添加操作权限。 用户在创建依赖资源和应用网关前，需要具备相应的操作权限。添加用户权限的操作，请参考创建用户并授权使用微服务引擎。 创建应用网关需要保证用户具有ELB FullAccess权限。 创建ServiceComb引擎、VPC、子网和独享型负载均衡器。 应用网关、ServiceComb引擎运行于虚拟私有云（VPC）中，并需要绑定具体的子网。创建应用网关和ServiceComb引擎前，需保证有可用的虚拟私有云和子网。创建虚拟私有云和子网的方法，请参考创建虚拟私有云和子网。如果已有可用的VPC和子网，不需要再次创建。 ServiceComb引擎同应用网关所在VPC相同。 应用网关可以从ServiceComb添加服务，因此需要有创建好的ServiceComb引擎。创建ServiceComb引擎具体操作请参考创建ServiceComb引擎。 应用网关的运行依赖于独享型负载均衡器，创建应用网关前，需保证已创建了独享型负载均衡器，创建独享型负载均衡器请参考创建独享型负载均衡器。 本地编译构建打包机器环境已安装了Java JDK、Maven，并且能够访问Maven中央库。 下载github的jar包：unit-controller.jar、unit-consumer.jar、unit-provider.jar，参考Spring Cloud应用通过Spring Cloud Huawei SDK接入ServiceComb引擎将应用接入ServiceComb引擎，如下图所示。 图1 应用接入ServiceComb

创建应用网关 进入购买应用网关页面。 参考下表设置参数，参数前面带*号的是必须设置的参数。创建应用网关所需参数的详细介绍请参考创建应用网关。 表1 创建应用网关参数 参数 说明 *企业项目 选择应用网关所在的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。此处默认选择“default”。 *引擎名称 输入应用网关名称，名称以字母开头，由字母、数字和-组成，且不能以-结尾，长度为3~64个字符。如：microGateway-test。 产品版本 目前只支持专业版。 *规格 选择实例规格，此处选择“小型”规格。 可用区 您可根据实际情况选择可用区。 版本 只能创建最新版本。 节点数 选择网关的节点数量，节点数量不少于2个。 入口网络 选择已创建的虚拟私有云及子网，可在下拉框中搜索和选择合适的虚拟私有云和子网。此VPC子网用于选择可用的弹性负载均衡，需与后端VPC子网网络互通，具体操作请参考对等连接。 说明： 当应用网关创建完成后，不支持变更虚拟私有云。 *弹性负载均衡 选择已创建的弹性负载均衡。此弹性负载均衡与入口网络属于同一个VPC子网。 说明： 当前仅支持独享型网络型负载均衡器。会使用所选ELB的80、443端口，如果选择的负载均衡器已经占用了部分端口，会创建失败。 ELB被应用网关使用后，为其配置的用于应用网关使用的监听器（即监听器名称中包含应用网关名称）及其关联的后端服务器组和后端服务器均不允许被删除。 后端网络 虚拟私有云可以为您的引擎构建隔离的、用户自主配置和管理的虚拟网络环境。 选择已创建的虚拟私有云及子网，可在下拉框中搜索和选择合适的虚拟私有云和子网。默认同入口网络一致。若同入口网络不一致时，需要打通网络。 说明： 当应用网关创建完成后，不支持变更虚拟私有云。 各VPC网段不冲突。 当前端ELB与后端网络不同VPC时，需开启ELB的跨VPC后端，具体操作请参考跨VPC后端。 单击“立即购买”，网关开始创建，当“运行状态”为“可用”时，应用网关创建完成。 应用网关创建成功后，“运行状态”为“可用”。查看应用网关状态，请参考查看应用网关基本信息。

背景信息 假定用户开发一个应用程序，用于管理企业中的使用A业务的用户信息，使用Impala客户端实现A业务操作流程如下： 普通表的操作： 创建用户信息表user_info。 在用户信息中新增用户的学历、职称信息。 根据用户编号查询用户姓名和地址。 A业务结束后，删除用户信息表。 表1 用户信息 编号 姓名 性别 年龄 地址 12005000201 A 男 19 A城市 12005000202 B 女 23 B城市 12005000203 C 男 26 C城市 12005000204 D 男 18 D城市 12005000205 E 女 21 E城市 12005000206 F 男 32 F城市 12005000207 G 女 29 G城市 12005000208 H 女 30 H城市 12005000209 I 男 26 I城市 12005000210 J 女 25 J城市

Hive权限模型 使用Hive组件，必须对Hive数据库和表（含外表和视图）拥有相应的权限。在 MRS 中，完整的Hive权限模型由Hive元数据权限与HDFS文件权限组成。使用数据库或表时所需要的各种权限都是Hive权限模型中的一种。 Hive元数据权限。 与传统关系型数据库类似，MRS的Hive数据库包含“建表”和“查询”权限，Hive表和列包含“查询”、“插入”和“删除”权限。Hive中还包含拥有者权限“OWNERSHIP”和“Hive管理员权限”。 Hive数据文件权限，即HDFS文件权限。 Hive的数据库、表对应的文件保存在HDFS中。默认创建的数据库或表保存在HDFS目录“/user/hive/warehouse”。系统自动以数据库名称和数据库中表的名称创建子目录。访问数据库或者表，需要在HDFS中拥有对应文件的权限，包含“读”、“写”和“执行”权限。 用户对Hive数据库或表执行不同操作时，需要关联不同的元数据权限与HDFS文件权限。例如，对Hive数据表执行查询操作，需要关联元数据权限“查询”，以及HDFS文件权限“读”和“写”。 使用Manager界面图形化的角色管理功能来管理Hive数据库和表的权限，只需要设置元数据权限，系统会自动关联HDFS文件权限，减少界面操作，提高效率。

操作场景 频繁的数据获取导致在存储目录中产生许多零碎的CarbonData文件。由于数据排序只在每次加载时进行，所以，索引也只在每次加载时执行。这意味着，对于每次加载都会产生一个索引，随着数据加载数量的增加，索引的数量也随之增加。由于每个索引只在一次加载时工作，索引的性能被降低。CarbonData提供加载压缩。压缩过程通过合并排序各segment中的数据，将多个segment合并为一个大的segment。

操作描述 有Minor合并、Major合并和Custom合并三种类型。 Minor合并： 在Minor合并中，用户可指定合并数据加载的数量。如果设置了参数“carbon.enable.auto.load.merge”，每次数据加载都可触发Minor合并。如果任意segment均可合并，那么合并将与数据加载时并行进行。 Minor合并有两个级别。 Level 1：合并未合并的segment。 Level 2：合并已合并的segment，以形成更大的segment。 Major合并： 在Major合并中，许多segment可以合并为一个大的segment。用户将指定合并尺寸，将对未达到该尺寸的segment进行合并。Major合并通常在非高峰时段进行。 Custom合并： 在Custom合并中，用户可以指定几个segment的id合并为一个大的segment。所有指定的segment的id必须存在并且有效，否则合并将会失败。Custom合并通常在非高峰时段进行。 具体的命令操作，请参考ALTER TABLE COMPACTION。 表1 合并参数 参数 默认值 应用类型 描述 carbon.enable.auto.load.merge false Minor 数据加载时启用合并。 “true”：数据加载时自动触发segment合并。 “false”：数据加载时不触发segment合并。 carbon.compaction.level.threshold 4,3 Minor 对于Minor合并，该属性参数决定合并segment的数量。 例如，如果该参数设置为“2,3”，在Level 1，每2个segment触发一次Minor合并。在Level2，每3个Level 1合并的segment将被再次合并为新的segment。 合并策略根据实际的数据大小和可用资源决定。 有效值为0-100。 carbon.major.compaction.size 1024mb Major 通过配置该参数可配置Major合并。低于该阈值的segment之和将被合并。 例如，如果该阈值是1024MB，且有5个大小依次为300MB，400MB，500MB，200MB，100MB的segment用于Major合并，那么只有相加的总数小于阈值的segment会被合并，也就是300+400+200+100 = 1000MB的segment会被合并，而500MB的segment将会被跳过。 carbon.numberof.preserve.segments 0 Minor/Major 如果用户希望从被合并的segment中保留一定数量的segment，可通过该属性参数进行设置。 例如，“carbon.numberof.preserve.segments”=“2”，那么最新的2个segment将不会包含在合并中。 默认不保留任何segment。 carbon.allowed.compaction.days 0 Minor/Major 合并将合并在指定的配置天数中加载的segment。 例如，如果配置为“2”，那么只有在2天的时间框架中被加载的segment可以被合并。在2天以外被加载的segment将不被合并。 默认为禁用。 carbon.number.of.cores.while.compacting 2 Minor/Major 在合并过程中写入数据时所用的核数。配置的核数越大合并性能越好。如果CPU资源充足可以增加此值。 carbon.merge.index.in.segment true SEGMENT_INDEX 如果设置为true，则一个segment中所有Carbon索引文件（.carbonindex）将合并为单个Carbon索引合并文件（.carbonindexmerge）。 这增强了首次查询性能。

操作场景 开启级联授权功能的集群极大地提升了鉴权易用性，用户只需在Ranger页面上对业务表进行一次授权，系统就会自动细粒度关联数据存储源的权限，不需要感知表的存储路径，无需进行二次授权。同时也补齐了基于存算分离授权功能缺陷，可以在Ranger上实现对存算分离表的授权鉴权。Hive表的级联授权功能主要体现为： 开启Ranger级联授权后，Ranger中创建策略对表授权时，只需创建表的Hive策略，无需对表存储源进行二次授权。 针对已授权的库/表，当存储源发生变动时，周期同步关联新存储源HDFS/OBS，生成对应权限。 不支持对视图表进行级联授权。 仅支持对数据库/表进行级联授权操作，不支持对分区做级联权限，如果分区路径不在表路径下，则需要用户手动授权分区路径。 不支持对Hive Ranger策略中的“Deny Conditions”进行级联授权，即“Deny Conditions”的权限仅限制表权限，不能生成HDFS/OBS存储源端的权限。 不支持在Hive Ranger中创建“database”为“*”且“table”为“*”的策略。 级联授权生成的HDFS/OBS存储源端的权限弱于HDFS Ranger策略的权限，即如果已经对表的HDFS存储源设置了HDFS Ranger权限，则级联权限将不会生效。 不支持对存储源为OBS的表级联授权后直接进行alter操作，需要给对应用户组额外授予OBS表路径的父目录的“Read”和“Write”权限才能使用alter功能，且用户组仅由数字0~9、字母a~Z、下划线或#组成，且最大长度为52个字符，否则将导致策略添加失败，可参考管理MRS集群用户组修改用户组信息。

约束与限制 本章节适用于MRS 3.3.0及之后版本，且使用此功能前还需满足以下条件： 需排查OBS是否开启AccessLabel功能，若未开启，需手动开启，详细操作请联系OBS运维人员。 针对OBS存储源，需满足以下条件，否则OBS表将授权失败： 集群中必须已安装Guardian服务。 OBS表的授权只能针对用户组。 MRS 3.5.0之前版本，仅支持已启用Kerberos认证的集群的OBS级联授权。

相关概念 表1 使用Hive表、列或数据库场景权限一览 操作场景 用户需要的权限 DESCRIBE TABLE 查询（Select） SHOW PARTITIONS 查询（Select） ANALYZE TABLE 查询（Select）、插入（Insert） SHOW COLUMNS 查询（Select） SHOW TABLE STATUS 查询（Select） SHOW TABLE PROPERTIES 查询（Select） SELECT 查询（Select） EXPLAIN 查询（Select） CREATE VIEW 查询（Select）、Select授权（Grant Of Select）、建表（Create） SHOW CREATE TABLE 查询（Select）、Select授权（Grant Of Select） CREATE TABLE 建表（Create） ALTER TABLE ADD PARTITION 插入（Insert） INSERT 插入（Insert） INSERT OVERWRITE 插入（Insert）、删除（Delete） LOAD 插入（Insert）、删除（Delete） ALTER TABLE DROP PARTITION 删除（Delete） CREATE FUNCTION Hive管理员权限（Hive Admin Privilege） DROP FUNCTION Hive管理员权限（Hive Admin Privilege） ALTER DATABASE Hive管理员权限（Hive Admin Privilege）

添加Hudi数据源前提条件 创建Hudi数据源的代理用户，该代理用户为人机用户且需拥有hive组。 在HetuEngine所在集群的所有节点的“/etc/hosts”文件中，添加待对接数据源所在集群的主机名称和对应的IP映射，及其“/etc/hosts”文件中的“10.10.10.10 hadoop.系统 域名 ”（如“10.10.10.10 hadoop.hadoop.com”），否则HetuEngine无法根据主机名称连接到非本集群节点。 参考创建HetuEngine权限角色创建HetuEngine管理员用户。

注意事项 表必须已经存在。 用户应属于数据加载组以执行数据加载操作。默认情况下，数据加载组被命名为“ficommon”。 CarbonData表不支持Overwrite。 源表和目标表的数据类型应该相同，否则源表中的数据将被视为Bad Records。 INSERT INTO命令不支持部分成功（partial success），如果存在Bad Records，该命令会失败。 在从源表插入数据到目标表的过程中，无法在源表中加载或更新数据。 如果要在INSERT操作期间启用数据加载或更新，请将以下参数配置为“true”。 “carbon.insert.persist.enable”=“true” 默认上述参数配置为“false”。 启用该参数将降低INSERT操作的性能。

安全认证 Flink整个系统存在三种认证方式： 使用kerberos认证：Flink yarn client与Yarn Resource Manager、JobManager与Zookeeper、JobManager与HDFS、TaskManager与HDFS、Kafka与TaskManager、TaskManager和Zookeeper。 使用security cookie进行认证：Flink yarn client与Job Manager、JobManager与TaskManager、TaskManager与TaskManager。 使用YARN内部的认证机制：Yarn Resource Manager与Application Master（简称AM）。 Flink的JobManager与YARN的AM是在同一个进程下。 如果用户集群开启Kerberos认证需要使用kerberos认证。 表1 安全认证方式 安全认证方式 说明 配置方法 Kerberos认证 当前只支持keytab认证方式。 从 FusionInsight Manager下载用户keytab，并将keytab放到Flink客户端所在主机的某个文件夹下。 在“flink-conf.yaml”上配置： keytab路径。 security.kerberos.login.keytab: /home/flinkuser/keytab/abc222.keytab 说明： “/home/flinkuser/keytab/abc222.keytab”表示的是用户目录。 principal名。 security.kerberos.login.principal: abc222 对于HA模式，如果配置了ZooKeeper，还需要设置ZK kerberos认证相关的配置。配置如下： zookeeper.sasl.disable: false security.kerberos.login.contexts: Client 如果用户对于Kafka client和Kafka broker之间也需要做kerberos认证，配置如下： security.kerberos.login.contexts: Client,KafkaClient Security Cookie 认证 - 在Flink客户端的“bin”目录下，调用“generate_keystore.sh”脚本，生成“Security Cookie”、“flink.keystore”文件和“flink.truststore”文件。 执行sh generate_keystore.sh，输入用户自定义密码。密码不允许包含#。 说明： 执行脚本后，在Flink客户端的“conf”目录下生成“flink.keystore”和“flink.truststore”文件，并且在客户端配置文件“flink-conf.yaml”中将以下配置项进行了默认赋值。 将配置项“security.ssl.keystore”设置为“flink.keystore”文件所在绝对路径。 将配置项“security.ssl.truststore”设置为“flink.truststore”文件所在的绝对路径。 将配置项“security.cookie”设置为“generate_keystore.sh”脚本自动生成的一串随机规则密码。 默认“flink-conf.yaml”中“security.ssl.encrypt.enabled: false”，“generate_keystore.sh”脚本将配置项“security.ssl.key-password”、“security.ssl.keystore-password”和“security.ssl.truststore-password”的值设置为调用“generate_keystore.sh”脚本时输入的密码。 如果需要使用密文时，设置“flink-conf.yaml”中“security.ssl.encrypt.enabled: true”，“generate_keystore.sh”脚本不会配置“security.ssl.key-password”、“security.ssl.keystore-password”和“security.ssl.truststore-password”的值，需要使用Manager明文加密API进行获取，执行curl -k -i -u user name:password -X POST -HContent-type:application/json -d '{"plainText":"password"}' 'https://x.x.x.x:28443/web/api/v2/tools/encrypt' 其中user name:password分别为当前系统登录用户名和密码；"plainText"的password为调用“generate_keystore.sh”脚本时的密码；x.x.x.x为集群Manager的浮动IP。命令中如果携带认证密码信息可能存在安全风险，在执行命令前建议关闭系统的history命令记录功能，避免信息泄露。 查看是否打开“Security Cookie”开关，即查看配置“flink-conf.yaml”文件中的“security.enable: true”，查看“security cookie”是否已配置成功，例如： security.cookie: ae70acc9-9795-4c48-ad35-8b5adc8071744f605d1d-2726-432e-88ae-dd39bfec40a9 说明： 使用MRS客户端预置“generate_keystore.sh”脚本获取SSL证书有效期为5年。 如果要关闭默认的SSL认证方式，需在“flink-conf.yaml”文件中配置“security.ssl.enabled”的值为“false”，并且注释如下参数：security.ssl.key-password、security.ssl.keystore-password、security.ssl.keystore、security.ssl.truststore-password、security.ssl.trustore。 YARN内部认证方式 该方式是YARN内部的认证方式，不需要用户配置。 - 当前一个Flink集群只支持一个用户，一个用户可以创建多个Flink集群。

操作场景 HDFS DataNode以Block的形式，保存用户的文件和目录，同时在NameNode中生成一个文件对象，对应DataNode中每个文件、目录和Block。 NameNode文件对象需要占用一定的内存，消耗内存大小随文件对象的生成而线性递增。DataNode实际保存的文件和目录越多，NameNode文件对象总量增加，需要消耗更多的内存，使集群现有硬件可能会难以满足业务需求，且导致集群难以扩展。 规划存储大量文件的HDFS系统容量，就是规划NameNode的容量规格和DataNode的容量规格，并根据容量设置参数。 配置期间需查看ID为14007、14008、14009的告警是否产生，如果有，请根据业务需要修改告警阈值。

相关概念 SparkSQL的语句在SparkSQL中进行处理，权限要求如表1所示。 表1 使用SparkSQL表、列或数据库场景权限一览 操作场景 用户需要的权限 CREATE TABLE “创建”, RWX+ownership（for create external table - the location） 说明： 按照指定文件路径创建datasource表时，需要path后面文件的RWX+ownership权限。 DROP TABLE “Ownership”（of table） DROP TABLE PROPERTIES “Ownership” DESCRIBE TABLE “查询” SHOW PARTITIONS “查询” ALTER TABLE LOCATION “Ownership”, RWX+ownership (for new location) ALTER PARTITION LOCATION “Ownership”, RWX+ownership (for new partition location) ALTER TABLE ADD PARTITION “插入”, RWX+ownership (for partition location) ALTER TABLE DROP PARTITION “删除” ALTER TABLE(all of them except the ones above) “Update”,“Ownership” TRUNCATE TABLE “Ownership” CREATE VIEW “查询”,“Grant Of Select”,“创建” ALTER VIEW PROPERTIES “Ownership” ALTER VIEW RENAME “Ownership” ALTER VIEW ADD PARTS “Ownership” ALTER VIEW AS “Ownership” ALTER VIEW DROPPARTS “Ownership” ANALYZE TABLE “查询”, “插入” SHOW COLUMNS “查询” SHOW TABLE PROPERTIES “查询” CREATE TABLE AS SELECT “查询”, “创建” SELECT “查询” 说明： 与表一样，对视图进行SELECT操作的时候需要有该视图的“查询”权限。 INSERT “插入”, “删除 (for overwrite)” LOAD “插入”, “删除”, RWX+ownership(input location) SHOW CREATE TABLE “查询”,“Grant Of Select” CREATE FUNCTION “管理” DROP FUNCTION “管理” DESC FUNCTION - SHOW FUNCTIONS - MSCK (metastore check) “Ownership” ALTER DATABASE “管理” CREATE DATABASE - SHOW DATABASES - EXPLAIN “查询” DROP DATABASE “Ownership” DESC DATABASE - CACHE TABLE “查询” UNCACHE TABLE “查询” CLEAR CACHE TABLE “管理” REFRESH TABLE “查询” ADD FILE “管理” ADD JAR “管理” HEALTHCHECK -

操作步骤 SparkSQL表授权、列授权、数据库授权与Hive的操作相同，详情请参见Hive用户权限管理。 在权限管理中，为了方便用户使用，授予数据库下表的任意权限将自动关联该数据库目录的HDFS权限。为了避免产生性能问题，取消表的任意权限，系统不会自动取消数据库目录的HDFS权限，但对应的用户只能登录数据库和查看表名。 如果为角色添加或删除数据库的查询权限，数据库中的表也将自动添加或删除查询权限。此机制为Hive实现，SparkSQL与Hive保持一致。 Spark不支持struct数据类型中列名称含有特殊字符（除字母、数字、下划线外的其他字符）。如果struct类型中列名称含有特殊字符，在FusionInsight Manager的“编辑角色”页面进行授权时，该列将无法正确显示。

安全认证 Flink整个系统存在三种认证方式： 使用kerberos认证：Flink yarn client与Yarn Resource Manager、JobManager与Zookeeper、JobManager与HDFS、TaskManager与HDFS、Kafka与TaskManager、TaskManager和Zookeeper。 使用security cookie进行认证：Flink yarn client与Job Manager、JobManager与TaskManager、TaskManager与TaskManager。 使用YARN内部的认证机制：Yarn Resource Manager与Application Master（简称AM）。 Flink的JobManager与YARN的AM是在同一个进程下。 如果用户集群开启Kerberos认证需要使用kerberos认证。 针对MRS 3.x之前版本，Flink不支持使用security cookie方式进行认证。 表1 安全认证方式 安全认证方式 说明 配置方法 Kerberos认证 当前只支持keytab认证方式。 从FusionInsight Manager下载用户keytab，并将keytab放到Flink客户端所在主机的某个文件夹下。 在“flink-conf.yaml”上配置： keytab路径。 security.kerberos.login.keytab: /home/flinkuser/keytab/abc222.keytab 说明： “/home/flinkuser/keytab/abc222.keytab”表示的是用户目录。 principal名。 security.kerberos.login.principal: abc222 对于HA模式，如果配置了ZooKeeper，还需要设置ZK kerberos认证相关的配置。配置如下： zookeeper.sasl.disable: false security.kerberos.login.contexts: Client 如果用户对于Kafka client和Kafka broker之间也需要做kerberos认证，配置如下： security.kerberos.login.contexts: Client,KafkaClient Security Cookie 认证 - 参考签发Flink证书样例章节生成“generate_keystore.sh”脚本并放置在Flink客户端的“bin”目录下，调用“generate_keystore.sh”脚本，生成“Security Cookie”、“flink.keystore”文件和“flink.truststore”文件。 执行sh generate_keystore.sh，输入用户自定义密码。密码不允许包含#。 说明： 执行脚本后，在Flink客户端的“conf”目录下生成“flink.keystore”和“flink.truststore”文件，并且在客户端配置文件“flink-conf.yaml”中将以下配置项进行了默认赋值。 将配置项“security.ssl.keystore”设置为“flink.keystore”文件所在绝对路径。 将配置项“security.ssl.truststore”设置为“flink.truststore”文件所在的绝对路径。 将配置项“security.cookie”设置为“generate_keystore.sh”脚本自动生成的一串随机规则密码。 默认“flink-conf.yaml”中“security.ssl.encrypt.enabled: false”，“generate_keystore.sh”脚本将配置项“security.ssl.key-password”、“security.ssl.keystore-password”和“security.ssl.truststore-password”的值设置为调用“generate_keystore.sh”脚本时输入的密码。配置文件中包含认证密码信息可能存在安全风险，建议当前场景执行完毕后删除相关配置文件或加强安全管理。 MRS 3.x及之后版本，如果需要使用密文时，设置“flink-conf.yaml”中“security.ssl.encrypt.enabled: true”，“generate_keystore.sh”脚本不会配置“security.ssl.key-password”、“security.ssl.keystore-password”和“security.ssl.truststore-password”的值，需要使用Manager明文加密API进行获取，执行curl -k -i -u user name:password -X POST -HContent-type:application/json -d '{"plainText":"password"}' 'https://x.x.x.x:28443/web/api/v2/tools/encrypt' 其中user name:password分别为当前系统登录用户名和密码；"plainText"的password为调用“generate_keystore.sh”脚本时的密码；x.x.x.x为集群Manager的浮动IP。命令中如果携带认证密码信息可能存在安全风险，在执行命令前建议关闭系统的history命令记录功能，避免信息泄露。 查看是否打开“Security Cookie”开关，即查看配置“flink-conf.yaml”文件中的“security.enable: true”，查看“security cookie”是否已配置成功，例如： security.cookie: ae70acc9-9795-4c48-ad35-8b5adc8071744f605d1d-2726-432e-88ae-dd39bfec40a9 说明： 用户需要获取SSL证书，放置到Flink客户端中。具体操作可参考签发Flink证书样例。 使用MRS客户端预置“generate_keystore.sh”脚本获取SSL证书有效期为5年。参考签发Flink证书样例获取的SSL证书有效期为10年。 若要关闭默认的SSL认证方式，需在“flink-conf.yaml”文件中配置“security.ssl.enabled”的值为“false”，并且注释如下参数：security.ssl.key-password、security.ssl.keystore-password、security.ssl.keystore、security.ssl.truststore-password、security.ssl.trustore。 YARN内部认证方式 该方式是YARN内部的认证方式，不需要用户配置。 - 当前一个Flink集群只支持一个用户，一个用户可以创建多个Flink集群。

操作步骤 启用Kerberos认证的集群，登录MRS Manager页面，创建拥有“Hive Admin Privilege”权限的角色，创建角色请参考创建角色。 创建属于“Presto”和“Hive”组的用户，同时为该用户绑定1中创建的角色，然后下载用户认证文件，参见创建用户，下载用户认证文件。 将下载的user.keytab文件和krb5.conf上传到MRS客户端所在节点。 步骤2-3仅启用Kerberos认证的集群执行，普通集群请直接从步骤4开始执行。 根据业务情况，准备好客户端，并登录安装客户端的节点。 例如在Master2节点更新客户端，则登录该节点使用客户端，具体参见使用MRS客户端。 执行以下命令切换用户。 sudo su - omm 执行以下命令，切换到客户端目录，例如“/opt/client”。 cd /opt/client 执行以下命令，配置环境变量。 source bigdata_env 连接Presto Server。根据客户端的不同，提供如下两种客户端的链接方式。 使用MRS提供的客户端。 未启用Kerberos认证的集群，执行以下命令连接本集群的Presto Server。 presto_cli.sh 未启用Kerberos认证的集群，执行以下命令连接其他集群的Presto Server，其中ip为对应集群的Presto的浮动IP（可通过在Presto配置项中搜索PRESTO_COORDINATOR_FLOAT_IP的值获得），port为Presto Server的端口号，默认为7520。 presto_cli.sh --server http://ip:port 启用Kerberos认证的集群，执行以下命令连接本集群的Presto Server。 presto_cli.sh --krb5-config-path krb5.conf文件路径 --krb5-principal 用户principal --krb5-keytab-path user.keytab文件路径 --user presto用户名 启用Kerberos认证的集群，执行以下命令连接其他集群的Presto Server，其中ip为对应集群的Presto的浮动IP（可通过在Presto配置项中搜索PRESTO_COORDINATOR_FLOAT_IP的值获得），port为Presto Server的端口号，默认为7521。 presto_cli.sh --krb5-config-path krb5.conf文件路径 --krb5-principal 用户principal --krb5-keytab-path user.keytab文件路径 --server https://ip:port --krb5-remote-service-name Presto Server name 使用原生客户端 Presto原生客户端为客户端目录下的Presto/presto/bin/presto，使用方式参见https://prestodb.io/docs/current/security/cli.html。 执行Query语句，如“show catalogs;”，更多语句请参阅https://prestodb.io/docs/current/sql.html。 启用Kerberos认证的集群使用Presto查询Hive Catalog的数据时，运行Presto客户端的用户需要有Hive表的访问权限，并且需要在Hive beeline中执行命令grant all on table [table_name] to group hive;，给Hive组赋权限。 查询结束后，执行以下命令退出客户端。 quit;

AI原生应用引擎 提供AI原生应用开发引擎，包括RAG、Agent等应用框架，零码态和全码态的开发形态，降低AI原生应用开发门槛、提升开发效率。支持客户打通自己的业务能力API，将大模型的能力结合进入自己的业务链路。 提供支撑AI原生应用运行的整套模型工具链，包括数据管理、模型接入、模型调优、知识工程等能力，帮助客户选好、管好、用好大模型，从而提升大模型应用效果。 构建企业应用与大模型之间的安全隔离带，结合华为 云安全 控制机制，保障AI原生应用安全可信。

AppStage管理Console权限 如果需要针对AppStage，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用 统一身份认证 服务（Identity and Access Management，简称 IAM ）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制资源访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制员工对资源的访问范围。例如您的员工中有负责运营的人员，您希望他们拥有AppStage的查看权限，但是不希望他们拥有创建委托等高危操作的权限，那么您可以使用IAM为项目规划人员创建IAM用户，通过授予仅能查看Appstage，但是不允许使用AppStage的权限，控制他们对AppStage控制台的使用范围。 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 AppStage部署时是全局级服务。授权时，“作用范围”需要选择“全局级项目”。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对AppStage服务，能够控制IAM用户仅能查看Appstage的操作。 如表2所示，包括了AppStage的所有系统权限。 表2 AppStage系统权限 策略名称 描述 策略类别 策略内容 AppStage FullAccess 应用平台管理员权限 系统策略 AppStage FullAccess策略内容 AppStage ReadOnlyAccess 应用平台只读权限 系统策略 AppStage ReadOnlyAccess策略内容 当需要授权IAM用户开通AppStage服务时，该用户除了拥有AppStage FullAccess中的权限外，还需要拥有CBC及IAM的相关权限，具体请参考创建用户并授权使用AppStage。 表3列出了AppStage常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表3 AppStage应用平台操作与系统策略关系 操作 AppStage FullAccess （默认已有CBC的权限） AppStage ReadOnlyAccess 创建组织 √ × 关联组织 √ × 查询联邦 √ √ 开通联邦 √ × 查询用户实例 √ √ 查询组织列表 √ √ 变更规格 √ × 按需订购产品服务 √ × 按需退订产品服务 √ × 查询未支付的订单 √ √ 组合购订购AppStage相关产品服务 √ × 订购AppStage相关服务 √ × 查询资源列表 √ √ 查询子产品资源使用情况列表 √ √ 查询资源使用情况 √ √ 查询资源概览 √ √ 同步区域 √ × 查询区域 √ √ 表4 常用操作与对应授权项 操作名称 授权项 依赖关系 创建组织 appstage:system:createOrg 无 关联组织 appstage:system:associateOrg iam:groups:listGroups、iam:projects:listProjects、iam:permissions:listRolesForAgencyOnDomain、iam:groups:listGroups 查询联邦 appstage:system:getFederation iam:permissions:listRolesForGroupOnDomain、iam:groups:listGroups 开通联邦 appstage:system:createFederation iam:identityProviders:getIdentityProvider、iam:identityProviders:createProtocol、 iam:identityProviders:createIDPMetadata、iam:identityProviders:createMapping、 iam:groups:createGroup、iam:permissions:listRolesForGroupOnDomain、iam:permissions:grantRoleToGroupOnDomain、 iam:identityProviders:getMapping、 iam:identityProviders:deleteProtocol、iam:identityProviders:createIdentityProvider、 iam:identityProviders:getProtocol 查询用户实例 appstage:instance:getInstance 无 查看委托 无 iam:agencies:listAgencies、iam:roles:listRoles、iam:permissions:listRolesForAgency、iam:agencies:updateAgency、iam:roles:getRole、iam:permissions:listRolesForAgencyOnDomain 服务授权（委托授权） 无 iam:agencies:listAgencies、iam:roles:updateRole、iam:roles:listRoles、iam:agencies:createAgency、iam:permissions:listRolesForAgency、iam:permissions:grantRoleToAgency、iam:agencies:updateAgency、iam:permissions:revokeRoleFromAgency、iam:roles:getRole、iam:roles:createRole、iam:permissions:listRolesForAgencyOnDomain、iam:roles:deleteRole 查询授权 无 iam:credentials:listCredentials、 凭证授权 无 iam:credentials:listCredentials、 iam:permissions:grantRoleToAgencyOnDomain、 iam:credentials:updateCredential、iam:groups:listGroups、iam:groups:createGroup、iam:credentials:createCredential、iam:credentials:deleteCredential、iam:identityProviders:createIdentityProvider、iam:identityProviders:createMapping、iam:identityProviders:createProtocol、iam:permissions:listRolesForGroupOnDomain 查询组织列表 appstage:system:listOrg iam:projects:listProjects 变更规格 appstage:resource:changeSpecification iam:tokens:assume 按需订购产品服务 appstage:resource:onDemandSubscribe 无 按需退订产品服务 appstage:resource:onDemandUnSubscribe 无 查询未支付的订单 appstage:resource:getPayingOrder 无 组合购订购AppStage相关产品服务 appstage:resource:pkgSubscribe iam:tokens:assume 订购AppStage相关服务 appstage:resource:subscribe iam:tokens:assume、iam:projects:listProjects 查询资源列表 appstage:resource:listResources 无 查询子产品资源使用情况列表 appstage:system:listSubProdResUsage 无 查询资源使用情况 appstage:system:getUsage 无 查询资源概览 appstage:system:getUsageMetric 无 同步区域 appstage:system:associateRegion 无 查询区域 appstage:system:getRegions 无

角色和权限 租户管理员：购买AppStage并关联组织的账号，为AppStage的租户管理员。租户管理员除了具有购买、变更规格、续费、退订等操作权限，还具有组织管理员的权限。组织管理员的权限请参考表1。 AppStage的角色和权限如表1所示。 表1 岗位/角色 子系统 岗位/角色 级别 岗位/角色描述 可管理的下级岗位/角色 申请加入时审批者岗位/角色 应用平台系统级 组织管理员 系统级 管理组织：部门及成员的创建、编辑、删除、查看等操作。 管理应用基础信息：产品、服务、微服务的创建、编辑、删除、下线、同步、查看等操作。 管理公告：公告的创建、编辑、删除、置顶/取消置顶、查看等操作。 审批申请权限：审批所有角色的申请，查看我的审批记录等操作。 AI原生应用引擎：查看工作空间、资产中心，管理我的模型、数据集与知识库、我的提示语，创建访问密钥等操作。 AI原生应用引擎所有角色 开发中心所有角色 运维中心所有的岗位/角色 运营中心所有的角色 租户管理员 AI原生应用引擎 AI原生应用引擎管理员 服务级 AI原生应用引擎管理员角色，可以查看工作空间、资产中心，可以管理我的模型、数据集与知识库、我的提示语，还可以创建访问密钥。 AI原生应用引擎开发者 AI原生应用引擎浏览者 组织管理员 AI原生应用引擎开发者 服务级 AI原生应用引擎开发者角色，可以查看工作空间、资产中心，可以管理我的模型、数据集与知识库、我的提示语，还可以创建访问密钥。 无 组织管理员 AI原生应用引擎管理员 AI原生应用引擎浏览者 服务级 AI原生应用引擎浏览者角色，可以查看工作空间、资产中心、我的模型、数据集与知识库、我的提示语。 无 组织管理员 AI原生应用引擎管理员 AI原生应用引擎租户运营管理员 服务级 AI原生应用引擎运营管理员角色，可以查看运营看板。 无 组织管理员 AI原生应用引擎管理员 开发中心 项目经理 服务级 服务级的管理员角色，可查看所在服务在开发中心中的所有内容，以及所有的操作。 开发人员 测试人员 浏览者 组织管理员 开发人员 服务级 服务级的开发人员角色，可查看所在服务在开发中心中的所有内容，以及开发涉及的操作。 无 组织管理员 所在服务的项目经理 测试人员 服务级 服务级的测试人员角色，可查看所在服务在开发中心中的所有内容，以及测试涉及的操作。 浏览者 服务级 服务级的浏览者角色，可查看所在服务在开发中心中的所有内容，不可操作。 运维中心 运维管理员 组织级 具备运维中心的所有权限。 无 组织管理员 基础运维岗位 部门级 适用于组织层级的运维人员申请，主要用于横向拉通一个组织内不同租户、产品、服务的基础资源管理，包括主机管理、网络管理等。 无 组织管理员 监控中心岗位 部门级 仅限7x24小时运维监控室人员（SRE）申请，具有横向拉通一个租户组的运维告警/监控大盘/日志的查看处理权限。 无 组织管理员 一级审批人 产品级 变更管理的一级审批人 无 组织管理员 二级审批人 产品级 变更管理的二级审批人 无 组织管理员 三级审批人 产品级 变更管理的三级审批人 无 组织管理员 服务研发岗位 服务级 即研发人员，适合业务的研发人员申请。具有以下权限： 查看服务的配置。 部署服务控制台的只读权限。 查看服务的监控大盘和业务报表、调用链、告警和事件、日志检索。 无 组织管理员 服务运维岗位 服务级 即业务运维人员，仅允许业务SRE申请。具有以下权限： 编辑、查看SRE所负责服务的配置。 控制台操作权限，包括服务的部署和升级、EAP编排管理，自定义报表管理，作业平台操作。 服务使用的公有云服务的操作权限。 弹性网络服务（ERS）、主机管理服务（VMS）的只读权限。 查看服务的监控大盘和业务报表、调用链、日志检索、告警和事件（含处理权限）。 负载均衡（SLB）、部署服务、微服务平台（NUWA）、数据库治理（WiseDBA）的服务运维操作权限。 无 组织管理员 运营中心 运营管理员 服务级 服务级运营数据管理角色，可执行数据管理，模型管理，指标管理，卡片管理，大屏管理，审计日志查看等运营管理动作。 指标开发者 组织管理员 指标开发者 服务级 服务级指标开发者角色，可执行数据接入，模型开发，指标开发，卡片开发，大屏管理等运营数据开发动作。 无 组织管理员 运营管理员

运营中心 看板 产品运营人员能直观查看关键数据，分析产品运营过程中取得的成效和潜在问题。 数据模型 运营中心提供数据建模能力，运营人员可以新建实时数据模型和离线数据模型，也可以通过逆向数据库生成数据模型。通过提供多表关联建模整合表能力，一个数据模型可以映射多个数据表数据。 指标管理 运营中心提供指标自定义灵活配置能力，可以配置普通指标、复合型指标和静态指标，基于数据模型，通过计算方式、计算时间单位、统计维度、筛选条件等组合配置指标。 数据管理 运营中心提供多种数据接入能力，通过与数据源连接，可以建立数据源中数据表或数据文件的迁移任务，将源端数据迁移到运营中心，为后续业务做数据准备。 看板管理 通过自定义运营看板，可以把产品运营中的关键数据统一呈现出来，可按人员权限和业务类型展示不同的数据看板，可视化展现产品运营现状。 审计日志 审计日志是记录系统活动的记录，以便检查和审查这些活动。它包含操作对象、操作IP、操作人、操作时间等。

开发中心 团队管理 团队管理基于团队空间为团队成员提供项目开发和共享工作区域，用于协作、交流和共享资源。在团队空间中，团队成员可以共同编辑文档、共享文件、执行各自权限和责任事项、规划和排发任务等，从而提高团队的工作效率和协作能力。 版本管理 版本管理是一种管理和跟踪代码变化的方法，是对软件、文档、代码等进行版本控制和管理的过程。它可以帮助团队协作开发，保证代码的稳定性和可靠性，同时也可以追踪历史版本，方便回溯和修复问题，进而确保团队成员之间的协作和代码的稳定性。通过版本管理将研发活动和流程串接，支持持续规划，持续开发和持续发布。 集成式工具链 AppStage集成需求管理、代码托管、流水线、代码检查等工具能力，实现工具集成和开箱即用。提供软件研发流程的端到端支持。提升用户体验及研发效率。 效能管理 效能大盘是AppStage集成效能洞察 CodeArts Board的能力，为企业管理者、项目经理、团队Leader、开发者提供面向DevSecOps领域端到端的研发效能度量能力，提供从需求、缺陷、代码、构建、测试、部署、发布到运营等研发各阶段作业数据的分析洞察能力，覆盖交付质量、交付效率、交付能力、交付成本、交付价值，同时集成了华为先进的方法论和优秀实践，助力企业数字化转型和数据驱动运营及治理，提升企业软件能力可信和研发效能。

运维中心 部署服务 基础设施即代码（Infrastructure as Code，简称IaC）是指使用代码方式来实现基础设施自动化配置和管理的方法，通过将传统的手动配置和脚本化配置转变为代码形式，使得基础设施的管理更加一致、可重复、可追踪和可版本控制。部署服务按服务管理资源，将微服务作为最小变更单元 ，进行自动化的变更管理。 监控服务 监控服务（ServiceInsight）是一个为开发人员和运维SRE（Site Reliability Engineer）设计的全面监控平台。该平台围绕故障生命周期的各个阶段构建，提供即开即用的解决方案。它集成了预防、检测、诊断、恢复、通报和改进功能，旨在提供一个一体化的可观测性解决方案。 微服务平台 微服务平台（NUWA Runtime，简称NUWA）托管了一个微服务运行的所有基础设施，微服务对基础设施的所有要求都通过基础设施即代码（Infrastructure as Code，简称IaC）来描述。NUWA Runtime根据IaC描述，对接相关的配置服务器，通过弹性伸缩管理平台接口，完成部署。应用托管到NUWA Runtime以后，Runtime提供IaC和管理台两种方式对集群进行变更。业务通过发布IaC版本，在运维中心执行IaC，即可对微服务集群进行变更。Runtime支持通过IaC指定集群配置、Sidecar版本、资源分配等；通过管理台可以对微服务本身及其相关的资源进行管理，如微服务生命周期管理、事件查看、更新配置、回滚、扩缩容等。 微服务发现 微服务发现（Cloud Map）是云服务统一的服务注册发现中心，主要是为解决业务依赖环境配置繁琐的难题，包括：服务注册和发现，业务故障隔离，服务路由，服务间调用关系正向设计和治理，微服务配置中心。

AI原生应用引擎 应用管理 提供自定义创建、开发、部署、发布、取消发布AI应用，还可以对自己收藏的AI应用进行运行调试、二次开发等。 应用体验 将平台预置的应用部署和用户自己创建的应用部署进行API调测，帮助开发人员发现并解决应用接口上的问题和错误。 数据管理 数据管理中纳管了用户自定义的和平台预置的数据集，用户使用这些数据集进行模型训练、知识库构建等，快速完成平台使用并验证模型训练效果。 模型管理 用户可以自定义创建模型、模型服务及在线测试模型，检验模型的准确性、可靠性及反应效果。 提示语管理 用户自定义创建的、收藏的以及平台预置的提示语模板进行优化和改进。 大模型微调 提供调整大型语言模型的参数以适应特定任务的过程，通过在与任务相关的数据集上完成模型训练。

云上应用开发和管理 痛点 各种技术飞跃式进步，令人眼花缭乱，很多企业被动式的堆砌。 选择产品和解决方案时，缺乏全面视角和评估能力，缺少持续严谨性。 企业在新技术面前缺乏系统性的规划、设计和持续集成能力，只能进行孤岛式的局部创新。 运维保障任务需耗费团队大部分的时间与精力。 优势 面向应用全生命周期管理提供一站式能力。开箱即用，云上开发，全流程规范可视，高效异地协作。 将华为面向10亿+移动用户服务能力知识沉淀入平台，实现可靠性、可运维、安全多项公共能力内置。 云原生Ops需围绕服务部署、事件处理、业务连续性流程，实现自动化和智能化运维能力建设支持业务全链路压测演练。 支撑华为内外部业务，构筑统一的SaaS底座，平台长期持续演进，确保先进性和生命力。

AI原生应用开发 痛点 管好大模型难：大模型百花齐放，能力各异，管好大模型难，为应用场景选择表现最佳模型难。 用好大模型难：在企业的复杂场景中，基础大模型效果不佳，且多个大模型结合缺乏有效手段。 获取高质量数据难：高质量数据决定AIGC的高度，企业缺少准备契合行业和企业的高质量数据集的能力。 数据及模型安全保障难：数据是企业的高价值资产，如何防止数据泄露、安全风险是企业的难题。 优势 广泛纳入业界优秀大模型，快速接入模型，提供行业模型评测能力，对多系列、多规格、多版本、多领域、多场景的大模型完成分级分权等精细化管理。 基于大模型快速构建AI原生应用，支持可视化画布流程编排，开箱即用的RAG/Prompt模板应用，帮助企业用好大模型。 构建企业应用与大模型之间的安全隔离带，保障智能应用安全可信。