华为云用户手册

接口说明 买家购买联营SaaS类应用后，在买家中心登录，将应用与企业绑定时，云商店调用该接口请求商家同步该企业应用的认证信息，商家接口需要执行应用同步，保存应用信息，并返回通知云商店。 针对应用同步场景接口调用失败的情况，由买家选择是否重试，并用短信或邮件的形式通知ISV商家接口调用失败。 商家的服务器在处理接口请求时，需要做好幂等性处理。 对于同一个实例，相同的租户，相同的应用，要支持多次请求新增，或者删除，多次新增不应产生新的数据，且需要返回成功，如果是删除，多次删除也需要返回成功，不能因已删除返回失败，删除时不需要校验(新购商品)接口产生的实例是否存在 应用同步流程如下图所示：

响应消息 响应参数说明请参见下表： 参数 是否必选 类型 最大字符长度 说明 resultCode M String 6 调用结果码。 具体请参见调用结果码说明。 resultMsg O String 255 调用结果描述。 商家的服务器在处理接口请求时，需要做好幂等性处理。 云商店服务有可能重发请求，针对同一orderId，商家的服务器不应该重复做实例资源升级处理，返回成功响应即可。 响应消息示例： { "resultCode":"000000", "resultMsg":"success." }

请求方法：GET 参数 是否必选 类型 最大字符长度 说明 authToken M String 50 安全校验令牌。 取值请参见authToken取值说明。 activity M String 20 接口请求标识，用于区分接口请求场景。 升级场景取值：upgrade instanceId M String 64 实例ID。 说明： 升级时，instanceId不变。 orderId M String 64 升级后的新订单ID。 说明： 升级操作会产生新的订单，与新购时订单ID不一致，请通过instance Id做资源识别。 skuCode M String 64 升级后产品规格标识。 说明： 对于自定义属性模板规格，如果租户升级时选择了其他属性值，instanceId对应的规格会发生变化，因此skuCode会变化； 如果仅扩容（调整增加线性属性值大小，例如：从当前的10用户增加到20用户），skuCode不变。 productId M String 64 升级后产品ID。 如果skuCode变化，productId也会发生变化； 如果仅扩容，productId不变。 timeStamp M String 20 请求发起时的时间戳，取UTC时间。 格式：yyyyMMddHHmmssSSS amount O Integer 4 数量类型的商品 定价 属性。非必填。 属性名称：数量（支持商家自定义名称） 单位：个（次） 说明： 对于包周期或一次性计费的SaaS商品，租户下单购买包含“数量”线性属性的规格时，会填写及调整购买的个数或次数。 例如：30个用户 diskSize O Integer 4 数量类型的商品定价属性。非必填。 属性名称：硬盘大小（支持商家自定义名称） 单位：GB 说明： 对于包周期或一次性计费的SaaS商品，租户下单购买包含“硬盘大小”线性属性的规格时，会填写及调整购买多少GB。 例如：100GB bandWidth O Integer 4 数量类型的商品定价属性。非必填。 属性名称：带宽（支持商家自定义名称） 单位：Mbps 说明： 对于包周期或一次性计费的SaaS商品，租户下单购买包含“带宽”线性属性的规格时，会填写及调整购买多少Mbps。 例如：20Mbps testFlag O Integer 1 是否调测数据。 1：接口调测数据 不传参数：真实买家同步数据 请求消息示例： https://example.isv.com?activity=upgrade&amount=6456&instanceId=huaweitest123456&orderId= CS 1906666688ABCDE&productId=00301-666688-0-0&saasExtendParams=W3sibmFtZSI6ImlkTnVtIiwidmFsdWUiOiIzNTIyNTU1NTU1NTU2NTYifSx7Im5hbWUiOiJ1c2VyTmFtZSIsInZhbHVlIjoiaHVhd2VpMTIzIn0seyJuYW1lIjoiY3VzdEVtYWlsIiwidmFsdWUiOiIxMjNAaHVhd2VpLmNvbSJ9XQ==&skuCode=d0abcd12-1234-5678-ab90-11ab012aaaa1&testFlag=1&timeStamp=20191216013757582&authToken=a3Bl+C93xv3ENgm40ngyYvQnYcTS/pgY5ugl20wtzGg=

请求方法：POST 接口URL：生产地址+固定子路径，其中固定子路径为/produceAPI/allOrgSync； 接口示例：生产地址为https://example.isv.com，则接口URL为https://example.isv.com/produceAPI/allOrgSync Headers请参数 参数 必选 参数类型 描述 authToken M String(255) 签名信息，请参考auth Token取值说明。 BODY请求参数 参数 必选 参数类型 描述 instanceId M String(64) 说明： 卖家申请应用凭证的时候传空，买家必传。 tenantId M String(64) 租户ID orgInfo M String 组织内部门层级信息，包含部门代码、部门名称、上级部门Code，Json串，非树形结构 JSON串，例： [{\"orgCode\":\"00000001\", \"name\":\"产品部\",\"parentCode\":\"265789314\"},{\"orgCode\":\"00000002\", \"name\":\"测试部\",\"parentCode\":\"265789314\"}] testFlag M Integer(2) 0-生产正式数据 1-调测数据 timeStamp M String 默认时区东8区，时间戳,时间格式：20220420114117642 响应参数 参数 必选 参数类型 描述 resultCode M String(6) 响应码,具体请参见调用结果码说明。 resultMsg O String(255) 响应信息

演练服务 表3 演练服务基本概念 基本概念 说明 BCM 业务连续性管理(Business Continuity Management，BCM)，是识别业务潜在威胁，分析威胁一旦发生对业务运营可能带来的影响，通过有效应对措施保护关键利益关系人的利益、信誉、品牌和价值创造活动，建设业务恢复能力的管理过程。 演练 通过向系统的指定位置注入指定故障，观察实验结果，以验证和提高系统可用性的过程。 IMP 应急预案（ Incident Management Plan，IMP），是为应对可能发生的突发事件，保护人员安全、降低财产损失、加强应急沟通拟制的应对程序和计划，防止损失扩大。 BCP 业务连续性计划（Business Continuity Plan，BCP），保证关键产品关键活动在预定可接受水平上的业务连续。在业务影响分析 、风险评估和恢复策略选择的基础上，拟制应对方案和计划。 故障场景 是对现实情况中故障的模拟，通过向被测系统注入故障，实现测试、优化系统稳定性的目的。 故障模式 是演练服务中的混沌工程工具根据系统可能发生故障的直接或根本原因，模拟出各种故障场景的能力。 稳态指标 是根据系统稳态的假说，分析给出一组代表系统健康度的指标及度量阈值，这组指标就被称为稳态指标。 演练监控 为了判断系统是否稳定运行以及故障注入是否执行成功，可提前配置系统稳态指标，在演练过程中实时监测，感知系统状态变化。

部署服务 表1 部署服务基本概念 基本概念 说明 资源 资源是具备一定功能和作用的实例，是部署服务的管理对象，如WiseCloud::MicloudService::NuwaContainer实例、WiseCloud::Cache::DCS实例等。 组件 组件是一个具有相同资源的集合，组件具备以下特点： 可以在组件中声明资源以及资源之间的依赖关系。 同一个资源只能属于一个组件。 组件下的所有资源上下文一致。 环境 环境是一个具有相同组件的集合，环境具有以下特点： 部署服务代码中的environment-id是“环境”的唯一索引。 不同环境下的组件和资源可以同名，同一环境下的资源和组件名称需要保证唯一。 一个组件只能属于一个环境，一个环境下会有多个组件。 环境变更的本质是环境下组件的变更。 流水线 流水线是将多个组件的变更组合起来的流程描述，描述各个组件变更的方式和次序。 变更工单 变更工单是实施现网变更的授权许可，业务需要发起现网变更时，通常会由研发人员提交变更电子流，并附上对应的变更文档。该电子流被审批通过后，会在变更工单管理中，创建一条对应的变更工单，运维可使用变更工单实施变更。 变更计划 变更计划是部署服务发起具体变更动作前的风险影响评估过程。通过风险影响评估过程可以得到，本次变更可能导致的资源动作和属性差异变化，以及可能的风险项。 变更风险项 变更风险项是某个资源的具体变更的风险认定。其描述了认定为风险变更的属性变化，以及能够审批允许的审批人列表。 变更策略 变更策略是由资源提供方或是部署服务平台方按照资源类型预先定义的，在变更计划中被用于产生风险项的管控要素。它是变更管控的重要一环，识别了何种资源操作以及怎样的属性变化是高风险的，并同时指定产生的风险项应当由具备哪些岗位或角色的审批人来审批允许。 变更配置 变更配置与监控服务（ServiceInsight）配合使用，通过配置变更巡检任务，在变更时会对相应的变更项进行巡检。 变更电子流 变更电子流是用于无人值守变更的高度自动化的变更方式，是在部署服务基础上，尽可能将所有的运维手工选择操作前移到提交电子流之前。 Terraform Terraform是HashiCorp公司开发的基础设施即代码（Infrastructure-as-Code，IaC）软件，它能自动化的进行 资源编排 ，用于安全高效地预览、配置和管理云基础架构和资源，并提供自定义解决方案，目前已被多家主流公有云厂家支持和集成。

监控服务 表2 监控服务基本概念 基本概念 说明 监控 是采集、汇总和分析IT基础设施、服务组件以及程序应用的运行指标，以了解其当前状态和运行状况，判断是否安全可靠的过程，是保证业务持续稳定运行的重要手段。 告警 告警是监控系统的响应组件，它根据指标值的变化按照既定的策略执行响应操作，其主要目的是引起人们对系统当前状态的关注。告警定义包含基于指标的条件或阈值以及当指标值达到或超出定义条件时要执行的操作。 告警通知 告警的通知在所有的告警处理的链路结束以后才会发生。告警处理模块会根据上报告警的上下文获取告警的值班配置，值班配置由业务预置。 告警屏蔽 为您提供短时间的屏蔽功能，可以通过设置告警屏蔽的规则，告警将在屏蔽的时间内不再触发任何通知，规则结束后，将会被再次唤醒，屏蔽期间告警被清除后，将不再触发任何通知，减少您的处理频度。 告警过滤 告警过滤是直接在接入的阶段就将告警屏蔽，告警仍然会进入Bypass的数据库但不会再向下发送给告警处理模块。 告警收敛 多个维度的告警，通过特定的条件将它们变为一条告警，只需要配置自定义的收敛规则，就可以将重复告警收敛到一起，当然还有默认的规则帮助你维护告警。 告警标记 告警标记的作用是为一段时间内的告警打上标签，例如现网变更或者现网演练时，由于要模拟大量异常请求和其他操作会造成大量无用告警上报，标记的作用就是为这一段时间的告警打上标签与正常告警进行区分。 告警定义 对于繁琐复杂的告警上报字段感到困惑，使用统一定义，将会自动下发到业务对应的agent，更加人性化的界面设计，使告警上报更加统一、准确。 告警修复 设置特定的命中条件，告警在发送通知之前会执行预置的修复脚本，进行修复操作，自动帮你修复简单的告警。 语音值班配置 当告警生成时，配置对应的责任人，通过短信、电话等多种形式，快速将异常情况通知到责任人。 日志 日志是指设备、系统或服务程序在运作时都会产生的事件记录，每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。一般系统会设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等。 巡检 巡检是指定期对IT系统进行全面的检查和评估，以确保系统的稳定性和可用性。通过系统巡检，SRE可以及时发现潜在的问题和故障，提前采取措施进行解决和预防，从而减少系统故障的发生和缩短故障恢复时间。同时，系统巡检还可以帮助SRE团队了解系统的运行状况和性能表现，为优化系统的配置和改进运维流程提供依据。 事件 事件是指IT基础设施、服务组件以及程序应用等运行过程中发生的问题。事件可通过监控系统自动生成、客户报障生成或SRE主动巡检生成等。监控系统生成事件首先要采集和分析运行数据，然后根据预定规则判断是否需要生成事件。 HCW HW Cloud Watch，监控系统，可以提供监控、告警功能。 HCW Agent 监控系统的采集框架，需要在每台主机上部署，部署路径为/opt/huawei/HCW_Agent。 EAP 事件自动化平台（Event & Action Platform，EAP），通过集成各系统动作，解决复杂运维场景的操作编排功能。 流程 可以通过EAP平台所提供的各种动作组合来编排解决具体运维场景的流程。 动作 各服务的操作（例如部署任务，执行作业，确认告警等）封装。 标签 对某一类特定群体或对象的某项特征进行的抽象分类和概括，其值（标签值）具备可分类性。 标签树 标签树负责标签的管理，包括标签的创建，删除，修改。系统标签由系统管理员统一进行管理，业务自定义标签由业务人员进行管理。 逻辑主体 逻辑主体是业务实体的抽象。 在AIOPS的实时场景，逻辑主体基于物理表（Druid、ClickHouse、influxDB）创建。逻辑主体和物理表之间存在映射关系，逻辑主体的字段名称和物理表可以不一样，这也是为了实现业务属性和物理表之间的解耦。 一个逻辑主体可以映射多种物理实体，当底层数据物理表变更（Druid表发生变更，或者需要从ClickHouse原始数据计算指标），上层的指标逻辑定义可以不用发生变化。 指标 指标是指在被观测系统中观察和收集的资源使用或行为的测量值，可能是原始采集的数据，也可能是后期经过各种计算和统计方法得到的数值。 令牌 令牌是使用数据源的鉴权方式，只有通过对应业务的token的鉴权，才能使用对应的数据源。 视图 指标本身包含了业务计算规则，只有结合数据源才能真正被查询。视图，就是指标 + 物理表的结合，也是监控大盘上直接可被查询的对象。视图可以包含一个或多个指标，例如折线图只需要单指标的视图，但是表格就需要多指标的视图。 查询视图(Query View)。直接作用于物理表的查询视图，大多用在druid实时监控场景。 长期存储视图(Long Term View)。基于查询视图，可以创建长期存储视图。如果觉得某个查询视图值得被长期持久化，就可以使用该能力。长期存储视图会自动创建三个聚合任务，分别是5分钟粒度、小时粒度、天粒度。 持久化视图(Persistent View)。基于查询视图，可以创建持久化视图。部分视图需要出日报，就可以使用该能力。该视图会自动创建一个汇聚任务。 异常检测视图(Anomaly Detect View)。基于查询视图，可以创建异常检测视图，用来为异常检测任务提供数据。 插件 可在机器上执行并采集各项参数的二进制文件或者脚本。

资源详情 资源详情按照读写流量、索引流量和最新标准存储量三种方式，分别展示其Top100的日志组/日志流，默认按照最新标准存储量的Top100显示，单位为GB。您可根据自己的实际情况，选择读写流量、索引流量或最新标准存储量任一方式，进行Top100的日志组/日志流资源统计。 新创建的日志组/日志流，需间隔至少1小时才能进行资源统计。 单击Top100中的日志组名称，可查询该日志组下的日志流资源统计。 单击按钮，可下载日志组资源统计和日志流资源统计。 下载的日志组资源统计和日志流资源统计文件为.CSV格式。 资源详情可选择时间范围统计。 时间范围有三种方式，分别是相对时间、整点时间和自定义时间。您可以根据自己的实际需求，选择时间范围。 相对时间：表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31，设置相对时间1小时，表示查询18:20:31~19:20:31的日志数据。 整点时间：表示查询最近整点1分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31，设置整点时间1小时，表示查询18:00:00~19:00:00的日志数据。 自定义：表示查询指定时间范围的日志数据。 根据选择的时间范围，展示每日标准存储量（GB）、每日索引流量（GB）和每日读写流量（GB）的数据。 有两种展示方式： 表格 柱状图

更多操作 应用创建完成后，您可以在应用树中执行表2中的操作。 表2 相关操作 操作 说明 添加节点 将光标移至待操作的应用名称后，单击，根据需要添加节点，具体操作请参见添加节点。 编辑应用 将光标移至待操作的应用名称后，单击，选择“编辑”。 删除应用 将光标移至待操作的应用名称后，单击，选择“删除”。 搜索应用信息 在“应用管理”页面的左侧区域，可以按企业项目、应用、区域、标签、关键字等搜索并展示需要的应用。 查看应用信息 选中一个应用，在右侧区域单击“应用信息”页签。

云审计 服务支持的 AOM 操作列表 AOM为运维人员提供一站式立体运维平台，实时监控应用、资源运行状态，通过数十种指标、告警与日志关联分析，快速锁定问题根源，保障业务顺畅运行。 AOM作为应用运维环境的多层次一站式运维监控平台，可以实现对云主机、 存储、网络、WEB容器、docker、kubernetes等应用运行环境的深入监控并进行集中统一的可视化管理，能够有效预防问题的产生及快速帮助应用运维人员定位故障，降低运维成本。同时，AOM开放统一API，支撑对接自研监控系统或者报表系统。AOM并非传统监控，它通过应用的角度看业务，满足企业对业务的高效和快速迭代的需求，可帮助企业实现 IT 对业务的有效支撑，保护、优化IT资产投资，使企业更好的达到其战略目标并实现IT资产价值的最大化。通过云审计服务，您可以记录与AOM服务相关的操作事件，便于日后的查询、审计和回溯。 资源类型为pe的事件，其实际执行服务为AOM，但操作入口位于云容器引擎（CCE）或应用管理与运维平台（ServiceStage）。 表1 云审计服务支持的AOM操作列表 功能类别 操作名称 资源类型 事件名称 全局配置 添加AccessCode icmgr icmgrAddAccessCode 删除AccessCode icmgr icmgrDelAccessCode 应用资源管理 创建应用 application createApp 更新应用 application updateApp 删除应用 application deleteApp 创建应用（供其他服务调用） application createAomApp 修改应用的EPSID（供EPS服务调用） application updateAppEpsId 新增子应用 sub_application createSubApp 删除子应用 sub_application deleteSubApp 更新子应用 sub_application updateSubApp 创建子应用（供其他服务调用） sub_application createAomSubApp 转移子应用 sub_application transferSubApp 新增组件 component createComponent 转移组件 component transferComponent 更新组件 component updateComponent 删除组件 component deleteComponent 创建组件（供其他服务调用） component createAomComponent 创建环境 environment createEnvironment 修改环境 environment updateEnvironment 删除环境 environment deleteEnvironment 创建环境（供其他服务调用） environment createAomEnv 创建环境标签 tag createTag 更新标签 tag updateTag 删除环境标签 tag deleteTag 更新环境标签 tag updateEnvTag 新增多云账户 cloud_account addCloudAccount 修改多云账户 cloud_account updateCloudAccount 删除多云账户 cloud_account deleteCloudAccount 创建工作负载 workload createWorkload 删除工作负载 workload deleteWorkload 更新工作负载 workload updateWorkload 上报ECS主机信息 ecs aomImportECS 资源监控 创建仪表盘 dashboard updateDashboard 删除仪表盘 dashboard deleteDashboard 更新仪表盘 dashboard updateDashboard 创建仪表盘分组 dashboard_folder addDashboardFolder 更新仪表盘分组 dashboard_folder updateDashboardFolder 删除仪表盘分组 dashboard_folder deleteDashboardFolder 创建/更新告警规则 audit_v4_alarm_rule addOrUpdateAlarm 删除告警规则 audit_v4_alarm_rule delAlarmRule 创建进程发现规则 appDiscoveryRule addAppDiscoveryRule 更新进程发现规则 appDiscoveryRule updateAppDiscoveryRule 删除进程发现规则 appDiscoveryRule delAppDiscoveryRule 创建数据订阅规则 apminventory createSubscribeRule 验证dms连通性 apminventory verifyConnect 删除数据订阅规则 apminventory deleteSubscribeRule 新增告警模板 audit_v4_alarm_rule addAlarmRuleTemplate 修改告警模板 audit_v4_alarm_rule modAlarmRuleTemplate 删除告警模板 audit_v4_alarm_rule delAlarmRuleTemplate 新增分组规则 groupRule addGroupRule 修改分组规则 groupRule updateGroupRule 删除分组规则 groupRule delGroupRule 新增抑制规则 inhibitRule addInhibitRule 修改抑制规则 inhibitRule updateInhibitRule 删除抑制规则 inhibitRule delInhibitRule 新增静默规则 muteRule addMuteRule 修改静默规则 muteRule updateMuteRule 删除静默规则 muteRule delMuteRule 新增告警行动规则 actionRule addActionRule 修改告警行动规则 actionRule updateActionRule 删除告警行动规则 actionRule delActionRule 新增消息模板 notificationTemplate addNotificationTemplate 修改消息模板 notificationTemplate updateTemplate 删除消息模板 notificationTemplate delTemplate 自动化运维 开通自动化运维服务 function functionRegister 更新用户信息 function functionRegister 更新任务定时触发器 workflow operateCronTriggerFlow 创建任务 workflow createWorkflow 更新任务 workflow updateWorkflow 执行任务 execution execute 终止任务 execution terminateWorkflow 删除任务 workflow deleteWorkflow 创建作业执行方案 template createTemplate 发布作业执行方案 template publishTemplate 删除作业执行方案 template deleteTemplate 创建账号 account createAccount 更新账号 account updateAccount 删除账号 account deleteAccount 创建全局参数 param createParams 删除全局参数 param deleteParams 创建文件 package createPack 更新文件 package updateBasicPack 删除文件 package deletePack 创建作业 job createJob 更新作业 job updateJob 删除作业 job deleteJobByJobId 创建审批 approve createApprove 保存审批 approve saveApprove 创建脚本版本 script createScriptAndVersion 更新脚本版本 script updateVersionByVersionId 删除脚本版本 script deleteVersionByVersionId 上线服务场景 serviceScenario onboardToolMarketTenantInfo 收藏服务场景 serviceScenario serviceScenarioFavorites 更新脚本 script updateScript 执行脚本 ecs runScript 父主题： 云审计服务支持的关键操作

更多操作 节点创建完成后，您可以在应用树中执行表2中的操作。 表2 相关操作 操作 说明 添加子节点 将光标移至待操作的节点名称后，单击，添加子节点，具体操作请参见添加节点。 编辑节点 将光标移至待操作的节点名称后，单击，选择“编辑”。 删除节点 将光标移至待操作的节点名称后，单击，选择“删除”。 转移 将光标移至待操作的节点名称后，单击，选择“转移”，在弹出的页面中，选择目标节点，可转移节点。 添加环境 将光标移至待操作的子节点名称后，单击，添加环境，具体操作请参见添加环境。 查看节点信息 选中一个子应用或组件，在右侧区域单击“子应用信息”或“组件信息”页签。

SSL证书管理服务中，单域名、多域名、泛域名的区别是什么？ SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 表1 域名类型 参数名称 参数说明 单域名 仅支持绑定1个普通域名。 如果您仅有一个域名，则选择单域名类型。 多域名 可以绑定多个不同的域名，域名可包含多个单域名。如购买多域名类型证书，域名数量为3的场景，可同时支持example.com、example.cn、test.com3个域名。 当“证书类型”为OV、OV Pro时，域名可包含多个单域名和多个带通配符的（*）域名。如购买多域名类型证书，域名数量为3的场景，可同时支持*.example.com、example.cn、test.com3个域名。 有几个域名需要绑定在同一个SSL证书里，则需要选择对应的域名数量。 由于各个证书品牌针对www型域名有不同的惠赠活动，具体的详见如何选择证书品牌，导致多域名证书在绑定www型域名时，有如下限制（以下以域名www.a.com和根域名a.com为例进行说明）。 DigiCert和GeoTrust品牌，为www.a.com或者a.com购买的证书，该证书同时支持防护另一个域名，即如果您购买的是这两个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要且只能绑定其中一个域名即可。 GlobalSign品牌，为www.a.com购买的证书，该证书同时支持防护a.com这个域名，但是为a.com购买的证书，不支持防护www.a.com域名。即如果您购买的是这个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要绑定www.a.com域名即可。 域名数量范围为“2~250”，支持最多绑定250个域名。 域名数量须满足以下条件： 主域名数量固定为1个 附加单域名数量≥1个（当证书类型为OV、OV Pro时，附加单域名数量+附加泛域名数量≥1） 须知： GeoTrust品牌的域名数量范围为“5~250”，其中，单域名数量需≥5个。 如果您有 多个域名 ，则选择多域名类型。需要根据域名个数，在购买页面购买对应的域名数量。 泛域名 仅支持绑定1个泛域名。 泛域名一般格式带1个通配符“*”且以“*.”开头，例如， *.huaweicloud.com、 *.example.huaweicloud.com等。 仅支持同级匹配，例如：绑定*.huaweicloud.com通配符域名的数字证书，支持p1.huaweicloud.com，但不支持p2.p1.huaweicloud.com。如果你需要支持p2.p1.huaweicloud.com的通配符域名数字证书，则还需要购买一张*.p1.huaweicloud.com的通配符域名证书。更多级别匹配规则请参见表2。 如果您的域名在同一个级别，且未跨级别，均在一个级别，则选择泛域名类型。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表2。 表2 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名， 云证书管理服务 默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 具体的域名中如果填写的是www的三级域名，则包含了主域名本身。例如： www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com，无需再购买证书绑定huaweicloud.com。 您的数字证书一旦颁发后，将无法修改域名信息等。 具体选择示例如表3所示： 表3 选择域名类型示例 场景示例 域名情况示例 选择域名类型 选择域名数量 您仅有一个域名 示例1：huaweicloud.com 单域名 单域名类型，“域名数量”固定为“1” 示例2：test.huaweicloud.com 单域名 示例3：p1.test.huaweicloud.com 单域名 您有多个域名 示例1：2个域名 huaweicloud.com、p1.huawei.com 多域名 2 示例2：3个域名 huaweicloud.com、p1.huawei.com和p1.test.huaweicloud.cn 多域名 3 示例3：4个域名 huaweicloud.com、test.huaweicloud.cn、p1.test.huaweicloud.cn和p1.test.yun.huaweicloud.com 多域名 4 您有多个域名，且在同一个级别 test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等，均在一个级别，在*.huaweicloud.com的包含范围内 泛域名 泛域名类型，“域名数量”固定为“1” 父主题： 域名填写类

泛域名证书支持哪些域名？ 华为云SSL证书管理服务支持申请泛域名类型的证书，用户可以通过泛域名证书保护服务器的单个域名和该域名下同级别的所有子域名。OV企业型、OV Pro企业型专业版和DV域名型、DV基础版（GeoTrust入门级SSL证书）类型证书支持泛域名。 如果您拥有多个同级别子域名服务器，使用泛域名证书即可，无需为每个子域名单独购买和安装证书。 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名， 云证书管理 服务默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 您的数字证书一旦颁发后，将无法修改域名信息等。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，域名级别说明请参见域名的相关概念。 匹配示例如表1所示。 表1 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.example.com abc.example.com、sport.example.com、good.example.com等域名 mycard.good.example.com、mycalc.good.example.com等域名 *.good.example.com mycard.good.example.com、mycalc.good.example.com等域名 abc.example.com、sport.example.com、good.example.com等域名 父主题： 域名填写类

约束条件 测试证书一个帐号最多可以申请20张。同时，为了减少证书资源的浪费，SCM只支持单次申请一张测试证书。 20张的测试证书额度包括：已删除或已吊销证书，即测试证书申请后进行吊销或删除的操作其额度不会恢复。。 同一个帐号不区分主帐号和子帐号。例如，主帐号已使用了20张的额度，则主帐号和子帐号均无测试证书额度。 如果您华为云帐号下的20张测试SSL证书额度已用完，还需继续使用测试证书，可以购买Digicert DV(basic) 单域名扩容包，对测试证书额度进行扩容。详细操作请参见测试证书额度已用完，该如何处理？ 一张测试证书仅支持绑定一个单域名。 测试证书不支持保护IP和泛域名（通配符域名）。 测试证书的域名验证默认使用DNS验证。 测试证书的信任等级和安全性都较低，所以建议只用于测试。 由于DigiCert品牌的DV（Basic）免费证书是无偿提供给个人用户用于测试或个人业务，因此不支持任何免费的人工技术支持或安装指导。如果您需要专业的工程师为您提供SSL证书支撑服务，您可以进入云市场购买HTTPS服务配置全站加密SSL优化检测服务。 测试证书签发后，不支持续费和续期，到期之后，将无法继续使用。如需继续使用SSL证书，请在控制台重新创建。

步骤三：DNS验证 DNS验证，是指在域名管理平台通过解析指定的DNS记录，验证域名所有权，即您需要到该域名的管理平台为该域名添加一条DNS记录。例如：如果您购买的是A公司的域名，您需要到A公司的域名管理平台添加DNS记录文件。有关DNS验证方式详细操作请参见域名DNS解析。 如果您是在华为云上申请的域名，且域名已使用华为云云解析服务，则无需进行任何操作，系统将自动添加DNS记录验证。 如果您是在其他域名管理平台（如万网、新网、DNSPod等）管理您的域名，则需要前往域名的DNS解析服务商进行操作。 详细操作请参见DNS验证。 在您提交证书申请后，需要按照证书列表页面的提示完成DNS验证，否则证书将一直处于“待完成域名验证”状态，且您的证书将无法通过审核。 DNS验证通过后，您需要耐心等待CA机构审核。

步骤四：签发证书 DNS验证通过之后，CA机构将还需要一段时间进行处理，请您耐心等待。CA机构审核通过后，将会签发证书。 证书签发后便立即生效，即可部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。 CA机构针对已提交申请的证书的审核检测频率为： 提交申请后0-1h：15分钟轮询一次，如果配置没有问题，一般情况，10-20分钟签发证书。 提交申请后1-4h：30分钟轮询一次。 提交申请后4h-24h：1小时轮询一次。 提交申请后1-7天：4小时轮询一次。 提交申请后7天以上认定为订单超时，自动取消。此时，请参照为什么“证书状态”长时间停留在审核中？排查并解决问题。

注意事项 用户监控可以同时监控快慢车道（快车道管控简单作业，慢车道管控复杂作业）所有作业的CPU、IO和内存使用情况，不再受限于仅监控慢车道作业。 当前快车道作业内存和CPU不受控，在快车道运行作业占用资源较多情况下，可能出现已用资源大于资源限制的情况。 DN监控视图中，IO、内存和CPU显示的是本DN上资源池资源使用和资源限制信息。 CN监控视图中，IO、内存和CPU显示的是集群内所有DN资源池资源使用和资源限制的累积和。 DN每隔5s更新一次监控信息，CN每隔5s从DN收集一次用户监控信息，因为各实例单独更新/收集用户监控信息，因此各实例监控信息更新时间可能不一致。 辅助线程中每隔30s自动调用持久化函数，持久化用户监控数据，正常情况下不需要用户单独调用持久化函数持久化用户监控数据。 当用户数量较多，集群规模较大时，查询此类实时视图，因CN/DN间实时通信开销，会有一定的网络延时。 初始管理用户不进行资源监控。

操作步骤 查询所有用户的资源限额和资源实时使用情况。 1 SELECT * FROM PG_TOTAL_USER_RESOURCE_INFO; 得到的结果视图如下： 1 2 3 4 5 6 7 username | used_memory | total_memory | used_cpu | total_cpu | used_space | total_space | used_temp_space | total_temp_space | used_spill_space | total_spill_space | read_kbytes | write_kbytes | read_counts | write_counts | read_speed | write_speed -----------------------+-------------+--------------+----------+-----------+------------+-------------+-----------------+------------------+------------------+-------------------+-------------+--------------+-------------+--------------+------------+------------- perfadm | 0 | 0 | 0 | 0 | 0 | -1 | 0 | -1 | 0 | -1 | 0 | 0 | 0 | 0 | 0 | 0 usern | 0 | 17250 | 0 | 48 | 0 | -1 | 0 | -1 | 0 | -1 | 0 | 0 | 0 | 0 | 0 | 0 userg | 34 | 15525 | 23.53 | 48 | 0 | -1 | 0 | -1 | 814955731 | -1 | 6111952 | 1145864 | 763994 | 143233 | 42678 | 8001 userg1 | 34 | 13972 | 23.53 | 48 | 0 | -1 | 0 | -1 | 814972419 | -1 | 6111952 | 1145864 | 763994 | 143233 | 42710 | 8007 (4 rows) 其中，IO资源监控字段(read_kbytes、write_kbytes、read_counts、write_counts、read_speed和write_speed)需要在GUC参数enable_user_metric_persistent开启时才有监控数据。 所查各字段说明详见PG_TOTAL_USER_RESOURCE_INFO 。 查询具体某个用户的资源限额和资源实时使用情况。 1 SELECT * FROM GS_WLM_USER_RESOURCE_INFO('username'); 查询结果如下： 1 2 3 4 userid | used_memory | total_memory | used_cpu | total_cpu | used_space | total_space | used_temp_space | total_temp_space | used_spill_space | total_spill_space | read_kbytes | write_kbytes | read_counts | write_counts | read_speed | write_speed --------+-------------+--------------+----------+-----------+------------+-------------+-----------------+------------------+------------------+-------------------+-------------+--------------+-------------+--------------+------------+------------- 16407 | 18 | 1655 | 6 | 19 | 13787176 | -1 | 0 | -1 | 0 | -1 | 0 | 0 | 0 | 0 | 0 | 0 (1 row) 查询所有用户的资源限额和资源历史使用情况。 1 SELECT * FROM GS_WLM_USER_RESOURCE_HISTORY; 查询结果如下： 1 2 3 4 5 username | timestamp | used_memory | total_memory | used_cpu | total_cpu | used_space | total_space | used_temp_space | total_temp_space | used_spill_space | total_spill_space | read_kbytes | write_kbytes | read_counts | write_counts | read_speed | write_speed -----------------------+-------------------------------+-------------+--------------+----------+-----------+------------+-------------+-----------------+------------------+------------------+-------------------+-------------+--------------+-------------+--------------+-------------+------------- usern | 2020-01-08 22:56:06.456855+08 | 0 | 17250 | 0 | 48 | 0 | -1 | 0 | -1 | 88349078 | -1 | 45680 | 34 | 5710 | 8 | 320 | 0 userg | 2020-01-08 22:56:06.458659+08 | 0 | 15525 | 33.48 | 48 | 0 | -1 | 0 | -1 | 110169581 | -1 | 17648 | 23 | 2206 | 5 | 123 | 0 userg1 | 2020-01-08 22:56:06.460252+08 | 0 | 13972 | 33.48 | 48 | 0 | -1 | 0 | -1 | 136106277 | -1 | 17648 | 23 | 2206 | 5 | 123 | 0 对于系统表GS_WLM_USER_RESOURCE_HISTORY，仅当GUC参数enable_user_metric_persistent开启时，才会定期将视图PG_TOTAL_USER_RESOURCE_INFO中的数据保存到历史表中。 所查各字段说明详见GS_WLM_USER_RESOURCE_HISTORY。

REDACTION_POLICIES REDACTION_POLICIES视图展示当前数据库内所有脱敏对象信息。 表1 REDACTION_POLICIES字段 名称 类型 描述 object_owner name 脱敏对象owner。 object_name name 脱敏对象名称。 policy_name name 脱敏策略名称。 expression text 策略生效表达式（针对用户）。 enable boolean 策略状态（开启、关闭）。 policy_description text 策略描述信息。 inherited bool 说明脱敏策略是否“继承”自其他脱敏策略。 父主题： 系统视图

查看Schema 使用current_schema()函数查看当前Schema： 1 2 3 4 5 SELECT current_schema(); current_schema ---------------- myschema (1 row) 要查看Schema所有者，请对系统表PG_NAMESPACE和PG_USER执行如下关联查询。语句中的schema_name请替换为实际要查找的Schema名称。 1 SELECT s.nspname,u.usename AS nspowner FROM PG_NAMESPACE s, PG_USER u WHERE nspname='schema_name' AND s.nspowner = u.usesysid; 要查看所有Schema的列表，请查询PG_NAMESPACE系统表。 1 SELECT * FROM PG_NAMESPACE; 要查看属于某Schema下表的列表，请查询系统视图PG_TABLES。例如，以下查询会返回Schema PG_CATA LOG 中的表列表。 1 SELECT distinct(tablename),schemaname FROM PG_TABLES where schemaname = 'pg_catalog';

Schema的权限控制 默认情况下，用户只能访问属于自己的Schema中的数据库对象。如需要访问其他Schema的对象，则需赋予对应Schema的usage权限。 通过将模式的CREATE权限授予某用户，被授权用户就可以在此模式中创建对象。 将myschema的usage权限赋给用户jack。 1 GRANT USAGE ON schema myschema TO jack; 将用户jack对于myschema的usage权限收回。 1 REVOKE USAGE ON schema myschema FROM jack;

设置Schema搜索路径 GUC参数search_path设置Schema的搜索顺序，参数取值形式为采用逗号分隔的Schema名称列表。如果创建对象时未指定目标Schema，则该对象会被添加到搜索路径中列出的第一个Schema中。当不同Schema中存在同名的对象时，查询对象未指定Schema的情况下，将从搜索路径中包含该对象的第一个Schema中返回对象。 使用SHOW命令查看当前搜索路径。 1 2 3 4 5 SHOW SEARCH_PATH; search_path ---------------- "$user",public (1 row) search_path参数的默认值为："$user"，public。$user表示与当前会话用户名同名的Schema名，如果这样的模式不存在，$user将被忽略。所以默认情况下，用户连接数据库后，如果数据库下存在同名Schema，则对象会添加到同名Schema下，否则对象被添加到Public Schema下。 使用SET命令修改当前会话的默认Schema。例如，将搜索路径设置为myschema、public，首先搜索myschema。 1 SET SEARCH_PATH TO myschema, public; 也可以使用ALTER ROLE命令为特定的角色（用户）设置search_path。例如： 1 ALTER ROLE jack SET search_path TO myschema, public;

系统Schema 每个数据库都包含一个pg_catalog schema，它包含系统表和所有内置数据类型、函数、操作符。pg_catalog是搜索路径中的一部分，始终在临时表所属的模式后面，并在search_path中所有模式的前面，即具有第二搜索优先级。这样确保可以搜索到数据库内置对象。如果用户需要使用和系统内置对象重名的自定义对象时，可以在操作自定义对象时带上自己的模式。 information_schema由一个包含数据库中对象信息的视图集合组成。 这些视图以一种标准化的方式从系统目录表中得到系统信息。

使用Schema 在特定Schema下创建对象或者访问特定Schema下的对象，需要使用有Schema修饰的对象名。名称包含Schema名以及对象名，之间用“.”号分开。 在myschema下创建mytable表。以schema_name.table_name格式创建表。 1 CREATE TABLE myschema.mytable(id int, name varchar(20)); 查询myschema下mytable表的所有数据。 1 2 3 4 SELECT * FROM myschema.mytable; id | name ----+------ (0 rows)

创建Schema 使用CREATE SCHEMA命令来创建一个新的Schema。 1 CREATE SCHEMA myschema; 如果需要在模式中创建或者访问对象，其完整的对象名称由模式名称和具体的对象名称组成。中间由符号“.”隔开。例如：myschema.table。 用户可以创建一个由他人拥有的schema。例如，创建名为myschema的Schema，并指定Schema的所有者为用户jack。 1 CREATE SCHEMA myschema AUTHORIZATION jack; 若不指定authorization username，则其所有者为执行该命令的用户。

应用示例 查询分区表web_returns_p2的分区信息。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 CREATE TABLE web_returns_p2 ( wr_returned_date_sk integer, wr_returned_time_sk integer, wr_item_sk integer NOT NULL, wr_refunded_customer_sk integer ) WITH (orientation = column) DISTRIBUTE BY HASH (wr_item_sk) PARTITION BY RANGE(wr_returned_date_sk) ( PARTITION p2016 START(20161231) END(20191231) EVERY(10000), PARTITION p0 END(maxvalue) ); SELECT oid FROM pg_class WHERE relname ='web_returns_p2'; oid ------- 97628 SELECT relname,parttype,parentid,boundaries FROM pg_partition WHERE parentid = '97628'; relname | parttype | parentid | boundaries ----------------+----------+----------+------------ web_returns_p2 | r | 97628 | p2016_0 | p | 97628 | {20161231} p2016_1 | p | 97628 | {20171231} p2016_2 | p | 97628 | {20181231} p2016_3 | p | 97628 | {20191231} p0 | p | 97628 | {NULL} (6 rows)

PG_REDACTION_POLICY PG_REDACTION_POLICY系统表提供了脱敏对象的信息。 表1 PG_REDACTION_POLICY字段 名称 类型 描述 object_oid oid 脱敏对象OID。 policy_name name 脱敏策略名称。 enable boolean 策略状态（开启、关闭）。 说明： enable的取值： true表示开启。 false表示关闭。 expression pg_node_tree 策略生效表达式（针对用户）。 policy_description text 策略描述信息。 inherited bool 说明脱敏策略是否“继承”自其他脱敏策略。 父主题： 系统表

view_independent 参数说明：用于设置是否开启视图与表、函数、同义词的解耦功能。基表恢复后目前已支持自动关联重建。 参数类型：SIGHUP 取值范围：布尔型 on表示启用视图解耦功能，存在视图依赖的表、函数、同义词及其他视图可以单独删除（临时表及临时视图除外），关联视图保留但不可用。 off表示关闭视图解耦功能，存在视图依赖的表、函数、同义词及其他视图不可以单独删除，仅可使用cascade级联删除。 默认值： off

enable_upgrade_merge_lock_mode 参数说明：当该参数设置为on时，通过提升deltamerge内部实现的锁级别，避免和update/delete并发操作时的报错。 参数类型：USERSET 取值范围： 布尔型 on，提升deltamerge内部实现的锁级别，并发执行deltamerge和update/delete操作时，一个操作先执行，另一个操作被阻塞，在前一个操作完成后，后一个操作再执行。 off，在对HDFS表的delta table的同一行并发执行deltamerge和update/delete操作时，后一个对同一行数据更新的操作会报错退出。 默认值：off

job_queue_processes 参数说明：表示系统可以并发执行的job数目。 参数类型：POSTMASTER 取值范围：0～1000 功能： 当job_queue_processes设置为0值，表示不启用定时任务功能，任何job都不会被执行（因为开启定时任务的功能会对系统的性能有影响，有些局点可能不需要定时任务的功能，可以通过设置为0不启用定时任务功能）。 当job_queue_processes为大于0时，表示启用定时任务功能且系统能够并发处理的最大任务数。 启用定时任务功能后，job_scheduler线程会在定时时间间隔轮询pg_jobs系统表，系统设置定时任务检查周期默认为1s。 由于并行运行的任务数太多会消耗更多的系统资源，因此需要设置系统并发处理的任务数，当前并发的任务数达到job_queue_processes时，且此时又有任务到期，那么这些任务本次得不到执行而延期到下一轮询周期。因此，建议用户需要根据每个任务的执行时长合理的设置任务的时间间隔（即submit接口中的interval参数），来避免由于任务执行时间太长而导致下个轮询周期无法正常执行。 注：如果同一时间内并行的job数很多，过小的参数值会导致job等待。而过大的参数值则消耗更多的系统资源，建议设置此参数为100，用户可以根据系统资源情况合理调整。 默认值：10