华为云用户手册

实例连接方式介绍 文档数据库服务提供使用内网和公网的连接方式。 表1 连接方式 连接方式 IP地址 使用场景 说明 DAS连接 无需使用IP地址 通过数据管理服务管理数据，具备友好的图形化界面，直接在控制台上进行可视化操作。可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能地管理数据库。 文档数据库服务默认开通了DAS连接权限。 易用、安全、高级、智能。 推荐使用DAS连接。 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库实例处于同一区域，同一VPC时，建议使用内网IP地址连接文档数据库实例。 安全性高，可实现DDS的较好性能。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。 公网连接 弹性公网IP 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库实例处于不同区域时，建议使用弹性公网IP连接文档数据库实例。 如果您使用华为云以外的设备（例如本地设备、其他云厂商服务器等）连接文档数据库实例，您可以使用弹性公网IP连接文档数据库实例。 降低安全性。 公网连接需要购买弹性公网IP，请参见弹性公网IP计费说明。 父主题： 连接集群实例

操作步骤 进入快速购买文档数据库DDS页面。 在“购买数据库实例”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图1 基础配置 表1 基础配置 参数 描述 计费模式 选择“包年/包月”或“按需计费”。 包年/包月 用户选购完服务配置后，可以根据需要设置购买时长，系统会一次性按照购买价格对账户余额进行扣费。 创建成功后，如果包周期实例到期后不再长期使用资源，可将“包年/包月”实例转为“按需计费”，到期后将转为按需计费实例。具体请参见包年/包月转按需。 说明： “包年/包月”方式购买的实例不能直接删除，仅支持资源退订操作，如何退订资源请参见退订包周期实例。 按需计费 用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 创建成功后，如果需要长期使用资源，可将“按需计费”实例转为“包年/包月”，继续使用这些资源的同时，享受包周期的低资费。具体请参见按需计费实例转包周期。 区域 资源所在的区域。 说明： 不同区域的内网不互通，且购买后不能更换，请谨慎选择。 项目 当前区域对应的项目，可进行切换。 可用区 指在同一区域下，电力、网络隔离的物理区域，可用区内部网络互通，不同可用区之间物理隔离。 目前支持将实例部署在单可用区或3可用区。 如果业务要求实例之间的网络延时较低，则建议您选择单可用区，将实例的组件部署在同一个可用区内。实例选择单可用区部署时，会默认配置为反亲和部署。反亲和部署是出于高可用性考虑，将您的Primary、Secondary和Hidden节点分别创建在不同的物理机上。 如果业务需要较高的容灾能力，建议您选择3可用区。此时实例下的主节点、备节点和隐藏节点分别部署在3个可用区内。 说明： 目前3可用区的功能只针对部分区域开放，如果您在当前区域的管理控制台上没有看到3可用区，请切换至其他支持3可用区的区域进行购买。 实例类型 选择“副本集”。 副本集实例由主节点、备节点和隐藏节点组成。当主节点故障时，系统自动分配新的主节点；当备节点不可用时，隐藏节点接管服务，保证高可用。 兼容MongoDB版本 5.0 4.4 4.2 4.0 3.4 CPU类型 当前文档数据库实例的CPU架构支持x86和鲲鹏两种类型。 说明： MongoDB4.0、3.4版本可选，其他版本无需选择，默认X86。 x86 x86类型的CPU架构采用复杂指令集（CISC），CISC指令集的每个小指令可以执行一些较低阶的硬件操作，指令数目多而且复杂，每条指令的长度并不相同。由于指令执行较为复杂所以每条指令花费的时间较长。 鲲鹏 鲲鹏类型的CPU架构采用RISC精简指令集（RISC），RISC是一种执行较少类型计算机指令的微处理器，它能够以更快的速度执行操作，使计算机的结构更加简单合理地提高运行速度，相对于X86类型的CPU架构具有更加均衡的性能功耗比。 鲲鹏类型CPU架构的优势是高密度低功耗，可以提供更高的性价比，满足重载业务场景使用。 规格类型 x86 CPU架构下，针对不同的应用场景，可以选择不同的规格类型。 通用型（s6）。通用型的规格实例，适合平时不会持续高压力使用CPU，但偶尔需要提高计算性能完成工作负载的场景，包括但不限于：轻量级的Web服务器、开发、测试环境以及中低性能数据库等。 增强Ⅱ型（c6）。多项技术优化，计算性能强劲稳定，配套25GE(千兆以太网)智能高速网卡，提供超高网络带宽和PPS收发包能力。是高负载场景首选，对于计算与网络有更高性能要求的网站和Web应用、通用数据库及缓存服务器，中重载企业应用等更加适用。 推荐配置 目前支持中轻量级数据库规格及自定义规格。 说明： 存储空间最小10GB，最大5000GB。 图2 网络设置和购买时长与数量 表2 网络设置 参数 描述 虚拟私有云 文档数据库实例所在的 虚拟专用网络 ，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。 您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的创建虚拟私有云和子网。所需虚拟私有云的使用限制请参见实例连接方式介绍。 如果不创建或没有可选的虚拟私有云，文档数据库服务默认为您分配资源。 说明： 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。更多企业项目相关的信息，请参见《企业管理用户指南》的项目管理。 如果需要自定义企业项目，请在控制台右上角单击“企业”，进入“企业项目”页面创建，具体请参见《企业管理用户指南》中“创建企业项目”的内容。 表3 购买时长与数量 参数 描述 购买时长 选择所需的时长，系统会自动计算对应的配置费用。 自动续费 默认不勾选，不进行自动续费。 勾选后实例自动续费，自动续费周期与原订单周期一致。 购买数量 购买数量与副本集实例配额有关，所需购买数量超出实例配额时，可根据界面提示申请扩大配额。批量购买的“包年/包月”实例，除实例名称和实例ID外，其余配置信息一致。 在“规格确认”页面，核对实例信息。 包年/包月 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“去支付”，进入“付款”页面，选择支付方式，完成支付。 按需计费 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“提交”，开始创建实例。 单击“返回实例列表”。实例创建成功后，用户可以在“实例管理”页面，查看并管理自己的数据库实例。 创建实例过程中，实例运行状态显示为“创建中”，此过程约15分钟。创建完成的实例的运行状态显示为“正常”。 创建实例时，默认开启自动备份策略，后期可修改。创建成功后，文档数据库服务会自动创建一个全量备份。

操作步骤 进入快速购买文档数据库DDS页面。 在“购买数据库实例”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图1 基础配置 表1 基础配置 参数 描述 计费模式 选择“包年/包月”或“按需计费”。 包年/包月 用户选购完服务配置后，可以根据需要设置购买时长，系统会一次性按照购买价格对账户余额进行扣费。 创建成功后，如果包周期实例到期后不再长期使用资源，可将“包年/包月”实例转为“按需计费”，到期后将转为按需计费实例。具体请参见包年/包月转按需。 说明： “包年/包月”方式购买的实例不能直接删除，仅支持资源退订操作，如何退订资源请参见退订包周期实例。 按需计费 用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 创建成功后，如果需要长期使用资源，可将“按需计费”实例转为“包年/包月”，继续使用这些资源的同时，享受包周期的低资费。具体请参见按需计费实例转包周期。 区域 资源所在的区域。 说明： 不同区域的内网不互通，且购买后不能更换，请谨慎选择。 项目 当前区域对应的项目，可进行切换。 可用区 可用区是指在同一区域下，电力、网络隔离的物理区域，可用区内部网络互通，不同可用区之间物理隔离。 目前支持将实例部署在单可用区或3可用区。 说明： 目前3可用区的功能只针对部分区域开放，如果您在当前区域的管理控制台上没有看到3可用区，请切换至其他支持3可用区的区域进行购买。 如果业务要求实例之间的网络延时较低，则建议您选择单可用区，将实例的组件部署在同一个可用区内。实例选择单可用区部署时，会默认配置为反亲和部署。反亲和部署是出于高可用性考虑，将您的Primary、Secondary和Hidden节点分别创建在不同的物理机上。 如果业务需要较高的容灾能力，建议您选择3可用区。此时，实例下的dds mongos节点、shard节点和config节点分别部署在3个不同的可用区内。 实例类型 选择“集群”。 集群类型的实例包含dds mongos、shard和config节点。其中，shard和config节点均采用三节点副本集架构，保证高可用。 兼容MongoDB版本 5.0 4.4 4.2 4.0 3.4 CPU类型 当前文档数据库实例的CPU架构支持x86和鲲鹏两种类型。 说明： MongoDB4.0、3.4版本可选，其他版本无需选择，默认X86。 x86 x86类型的CPU架构采用复杂指令集（CISC），CISC指令集的每个小指令可以执行一些较低阶的硬件操作，指令数目多而且复杂，每条指令的长度并不相同。由于指令执行较为复杂所以每条指令花费的时间较长。 鲲鹏 鲲鹏类型的CPU架构采用RISC精简指令集（RISC），RISC是一种执行较少类型计算机指令的微处理器，它能够以更快的速度执行操作，使计算机的结构更加简单合理地提高运行速度，相对于X86类型的CPU架构具有更加均衡的性能功耗比。 鲲鹏类型CPU架构的优势是高密度低功耗，可以提供更高的性价比，满足重载业务场景使用。 规格类型 x86 CPU架构下，针对不同的应用场景，可以选择不同的规格类型。 通用型（s6）。通用型的规格实例，适合平时不会持续高压力使用CPU，但偶尔需要提高计算性能完成工作负载的场景，包括但不限于：轻量级的Web服务器、开发、测试环境以及中低性能数据库等。 增强Ⅱ型（c6）。多项技术优化，计算性能强劲稳定，配套25GE(千兆以太网)智能高速网卡，提供超高网络带宽和PPS收发包能力。是高负载场景首选，对于计算与网络有更高性能要求的网站和Web应用、通用数据库及缓存服务器，中重载企业应用等更加适用。 支持的实例规格请参见集群实例规格。 dds mongos性能规格 dds mongos节点的CPU和内存，请参见集群实例规格。创建成功后，可进行规格变更，请参见变更集群实例的CPU和内存规格。 dds mongos数量 数量可选范围为2～32，创建成功后，可进行节点扩容，请参见添加集群实例的节点。 shard性能规格 shard节点的CPU和内存，请参见集群实例规格。shard存储用户的数据，用户不能直接连接shard。创建成功后，可进行规格变更，请参见变更集群实例的CPU和内存规格。 shard存储空间 存储空间最小10GB，最大5000GB，用户选择大小必须为10的整数倍。创建成功后可进行扩容，请参见扩容集群实例的磁盘空间。 说明： 用户购买的存储空间超过600GB，当剩余的可用存储空间为18GB时，实例状态将被设置为只读。 用户购买的存储空间小于等于600GB，当实际使用量到总存储空间的97%时，实例状态将被设置为只读。 此时建议您清理多余的资源或进行扩容。 shard数量 数量可选范围为2～32，创建成功后，可进行节点扩容，请参见添加集群实例的节点。 config性能规格 config节点的CPU和内存，请参见集群实例规格，存储实例的配置信息，用户不能直接连接。创建成功后，可进行规格变更，请参见变更集群实例的CPU和内存规格。 config存储空间 根据config节点的作用和最小需要，存储空间为20GB，创建成功后不可进行扩容。 图2 网络设置及购买时长与数量 表2 网络设置 参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的创建虚拟私有云和子网。所需虚拟私有云的使用限制请参见实例连接方式介绍。 如果不创建或没有可选的虚拟私有云，文档数据库服务默认为您分配资源。 说明： 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。更多企业项目相关的信息，请参见《企业管理用户指南》的项目管理。 如果需要自定义企业项目，请在控制台右上角单击“企业”，进入“企业项目”页面创建，具体请参见《企业管理用户指南》中“创建企业项目”的内容。 表3 购买时长与数量 参数 描述 购买时长 选择“包年/包月”方式的用户需要设置购买时长，最短为1个月，最长为3年。 自动续费 默认不勾选，不进行自动续费。 勾选后实例自动续费，自动续费周期与原订单周期一致。 购买数量 购买数量与集群实例配额有关，所需购买数量超出实例配额时，可根据界面提示申请扩大配额。批量购买的“包年/包月”实例，除实例名称和实例ID外，其余配置信息一致。 在“规格确认”页面，核对实例信息。 包年/包月 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“去支付”，进入“付款”页面，选择支付方式，完成支付。 按需计费 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“提交”，开始创建实例。 单击“返回实例列表”。实例创建成功后，用户可以在“实例管理”页面，查看并管理自己的数据库实例。 创建实例过程中，实例运行状态显示为“创建中”，此过程约15分钟。创建完成的实例的运行状态显示为“正常”。 创建实例时，默认开启自动备份策略，后期可修改。创建成功后，文档数据库服务会自动创建一个全量备份。

事件监控简介 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到 云监控服务 ，并在事件发生时进行告警。 事件即 云监控 服务保存并监控的文档数据库DDS资源的关键操作，您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作，如删除只读节点、规格变更等。 事件监控为您提供上报自定义事件的接口，方便您将业务产生的异常事件或重要变更事件采集上报到云监控服务。 事件监控默认开通，您可以在事件监控中查看系统事件和自定义事件的监控详情，目前支持的系统事件请参见事件监控支持的事件说明。 父主题： 事件监控

使用须知 目前集群和副本集支持迁移可用区操作。 跨可用区实例以及IPV6子网创建的实例不支持该操作。 对于副本集实例，如果当前存在只读节点或未激活的备节点，不支持该操作。 对于集群实例，如果当前存在只读节点，不支持该操作。 可用区迁移所需时间和数据量大小有关，并且会伴随60秒以内的闪断，请在业务低峰期执行迁移可用区操作。建议使用高可用连接进行访问，并且确保应用程序具有重连机制。 迁移的目标可用区和当前实例的可用区处于同一区域。 关于区域和可用区的详情，请参见区域和可用区。 为保证实例稳定运行，请在业务低峰期执行迁移可用区操作。

部署架构对比 单可用区 实例选择单可用区部署时，实例下的所有组件均部署在相同的可用区内。单可用区部署会默认配置为反亲和部署。反亲和部署是出于高可用性考虑，将Primary、Secondary和Hidden节点分别创建在不同的物理机上。 多可用区 实例选择多可用区部署时，实例下的组件分别部署在三个不同的可用区内，可实现跨可用区容灾部署能力。 dds mongos节点最少为两个，分别部署在两个可用区中，当增加第三个dds mongos节点时，默认部署在第三个可用区。 每个Shard节点中的Primary节点、Secondary节点与Hidden节点随机均衡的部署在三个可用区中。 图1 多可用区部署

恢复方案 DDS支持多种数据恢复方案，您可以根据业务需要选择合适的恢复方法。 支持版本号没有说明的，默认支持全部版本：3.2、3.4、4.0、4.2和4.4版本。 表1 恢复方案 恢复类型 支持的实例类型和版本 使用场景 恢复备份到新实例 集群 副本集 单节点 使用已有的自动备份文件或手动备份文件恢复实例数据到新建实例。 恢复备份到当前实例 集群 副本集 单节点 使用已有的自动备份文件或手动备份文件恢复实例数据到当前实例。 恢复实例备份到指定时间点 集群（4.0及以上版本） 副本集（4.0及以上版本） 适用于实例级数据恢复场景，将数据还原至某个指定的时间点。 恢复库表到指定时间点 副本集（4.0及以上版本） 集群（4.0及以上版本） 适用于库表级数据恢复场景，将数据还原至某个指定的时间点。 恢复备份数据到本地自建数据库 集群（3.4、4.0版本支持） 副本集（3.4、4.0版本支持） 单节点（3.4、4.0版本支持） 您可以将DDS的备份文件下载到本地，将数据恢复至本地自建数据库。 通过mongorestore工具恢复数据 集群 副本集 单节点 您可以通过MongoDB客户端自带的备份恢复工具恢复数据。 通过mongoimport工具恢复数据 集群 副本集 单节点 您可以通过MongoDB客户端自带的备份恢复工具恢复数据。 父主题： 数据恢复

使用须知 回收站策略机制默认开启，且不可关闭，默认保留天数为7天，该功能免费。 如果用户同时删除100个实例，且回收站内存放有之前删除的实例，那么这100个实例可以被删除成功，但是只有部分实例能进入回收站。回收站只允许加入100个实例，超过该配额的实例将无法添加至回收站中。 修改回收站保留天数，仅对修改后新进入回收站的实例生效，对于修改前已经存在的实例，仍保持原来的回收策略，请您谨慎操作。 节点脱节状态下无法做回收备份。

使用须知 账户需要有足够的余额，才可进行扩容。 对于集群实例，仅支持对shard节点进行磁盘扩容，dds mongos节点、config节点和只读节点不能进行磁盘扩容。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。 实例处于以下状态时不可扩容： 创建中 规格变更中 节点扩容中 删除节点 小版本升级 磁盘扩容期间，服务不中断。DDS服务只支持扩容磁盘存储空间大小，不支持变更存储类型。

使用须知 该方法仅适用于集群实例。 目前仅支持3.4和4.0版本，4.2及以上版本暂不支持通过该方式在本地进行恢复。 操作步骤中的目录，IP地址和端口信息，可按照实际恢复环境配置。 configsvr节点备份文件有一个，shardsrv的备份文件有多个，依据实际shardsvr数量而定。 备份文件下载完成后，需要解压（需要安装lz4解压工具）。参考命令：lz4 -d $1 | tar -xC $2 $1：下载下来的备份文件。 $2：备份文件解压至的目标路径。 如果需要完成数据库、集合级别的数据迁移，请参见通过mongodump和mongorestore工具迁移数据。

配置文件说明 configsvr副本集的单节点配置文件及三个节点的配置文件 /compile/mongodb/mongodb-src-4.0.3/restoreconfig/single_40303.yaml /compile/mongodb/mongodb-src-4.0.3/restoreconfig/configsvr_40303.yaml /compile/mongodb/mongodb-src-4.0.3/restoreconfig/configsvr_40304.yaml /compile/mongodb/mongodb-src-4.0.3/restoreconfig/configsvr_40305.yaml shardsvr1副本集的单节点配置文件及三个节点的配置文件 /compile/mongodb/mongodb-src-4.0.3/restoreconfig/single_40306.yaml /compile/mongodb/mongodb-src-4.0.3/restoreconfig/shardsvr_40306.yaml /compile/mongodb/mongodb-src-4.0.3/restoreconfig/shardsvr_40307.yaml /compile/mongodb/mongodb-src-4.0.3/restoreconfig/shardsvr_40308.yaml shardsvr2副本集的单节点配置文件及三个节点的配置文件 /compile/mongodb/mongodb-src-4.0.3/restoreconfig/single_40309.yaml /compile/mongodb/mongodb-src-4.0.3/restoreconfig/shardsvr_40309.yaml /compile/mongodb/mongodb-src-4.0.3/restoreconfig/shardsvr_40310.yaml /compile/mongodb/mongodb-src-4.0.3/restoreconfig/shardsvr_40311.yaml dds mongos节点的配置文件 /compile/mongodb/mongodb-src-4.0.3/restoreconfig/mongos_40301.yaml /compile/mongodb/mongodb-src-4.0.3/restoreconfig/mongos_40302.yaml

configsvr的三个节点的数据目录和日志目录 /compile/cluster-restore/cfg1/data/db /compile/cluster-restore/cfg1/log /compile/cluster-restore/cfg2/data/db /compile/cluster-restore/cfg2/log /compile/cluster-restore/cfg3/data/db /compile/cluster-restore/cfg3/log

shardsvr2的三个节点的数据目录和日志目录 /compile/cluster-restore/shd21/data/db /compile/cluster-restore/shd21/log /compile/cluster-restore/shd22/data/db /compile/cluster-restore/shd22/log /compile/cluster-restore/shd23/data/db /compile/cluster-restore/shd23/log

shardsvr1的三个节点的数据目录和日志目录 /compile/cluster-restore/shd11/data/db /compile/cluster-restore/shd11/log /compile/cluster-restore/shd12/data/db /compile/cluster-restore/shd12/log /compile/cluster-restore/shd13/data/db /compile/cluster-restore/shd13/log

恢复dds mongos节点 准备dds mongos节点的配置文件和目录。 rm -rf /compile/cluster-restore/mgs* mkdir -p /compile/cluster-restore/mgs1/log mkdir -p /compile/cluster-restore/mgs2/log 配置文件（restoreconfig/mongos_40301.yaml）。 net: bindIp: 127.0.0.1 port: 40301 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/mgs1/mongos.pid} sharding: {configDB: 'config/127.0.0.1:40303,127.0.0.1:40304,127.0.0.1:40305'} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/mgs1/log/mongos.log} 配置文件（restoreconfig/mongos_40302.yaml）。 net: bindIp: 127.0.0.1 port: 40302 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/mgs2/mongos.pid} sharding: {configDB: 'config/127.0.0.1:40303,127.0.0.1:40304,127.0.0.1:40305'} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/mgs2/log/mongos.log} 启动mongo节点。 ./mongos -f restoreconfig/mongos_40301.yaml ./mongos -f restoreconfig/mongos_40302.yaml 父主题： 恢复集群备份到本地自建数据库

操作步骤 准备单节点配置文件和目录，以单节点方式启动进程。 配置文件如下（restoreconfig/single_40309.yaml）。 net: bindIp: 127.0.0.1 port: 40309 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/shd21/mongod.pid} storage: dbPath: /compile/cluster-restore/shd21/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/shd21/log/mongod.log} 准备数据，将解压后的shardsvr2文件拷贝到单节点dbPath目录下。 cp -aR /compile/download/backups/cac1efc8e65e42ecad8953352321bfeein02_92b196d2401041a7af869a2a3cab7079no02/* /compile/cluster-restore/shd21/data/db/ 启动进程。 ./mongod -f restoreconfig/single_40309.yaml 连接单节点，执行配置命令。 连接命令：./mongo --host 127.0.0.1 --port 40309 执行如下命令，修改副本集配置信息。 var cf=db.getSiblingDB('local').system.replset.findOne(); cf['members'][0]['host']='127.0.0.1:40309'; cf['members'][1]['host']='127.0.0.1:40310'; cf['members'][2]['host']='127.0.0.1:40311'; cf['members'][0]['hidden']=false; cf['members'][1]['hidden']=false; cf['members'][2]['hidden']=false; cf['members'][0]['priority']=1; cf['members'][1]['priority']=1; cf['members'][2]['priority']=1; db.getSiblingDB('local').system.replset.remove({}); db.getSiblingDB('local').system.replset.insert(cf) 执行如下命令，清理内置账号。 db.getSiblingDB('admin').dropAllUsers(); db.getSiblingDB('admin').dropAllRoles(); 执行如下命令，更新configsvr信息。 var vs = db.getSiblingDB('admin').system.version.find(); while (vs.hasNext()) { var curr = vs.next(); if (curr.hasOwnProperty('configsvrConnectionString')) { db.getSiblingDB('admin').system.version.update({'_id' : curr._id}, {$set: {'configsvrConnectionString': 'config/127.0.0.1:40303,127.0.0.1:40304,127.0.0.1:40305'}}); } } 执行如下命令，关闭单节点进程。 db.getSiblingDB('admin').shutdownServer(); 搭建shardsvr2副本集。 准备副本集配置文件和目录，将shardsvr2节点的dbPath文件拷贝到其他两个节点目录下。 cp -aR /compile/cluster-restore/shd21/data/db/ /compile/cluster-restore/shd22/data/db/ cp -aR /compile/cluster-restore/shd21/data/db/ /compile/cluster-restore/shd23/data/db/ 修改shardsvr2-1节点配置文件，增加副本集配置属性（restoreconfig/shardsvr_40309.yaml）。 --- replication.replSetName 的值，参考该章节中的shard的_id信息。 net: bindIp: 127.0.0.1 port: 40309 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/shd21/mongod.pid} replication: {replSetName: shard_2} sharding: {archiveMovedChunks: false, clusterRole: shardsvr} storage: dbPath: /compile/cluster-restore/shd21/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/shd21/log/mongod.log} 启动进程。 ./mongod -f restoreconfig/shardsvr_40309.yaml 修改shardsvr2-2节点配置文件，增加副本集配置属性（restoreconfig/shardsvr_40310.yaml）。 --- replication.replSetName 的值，参考该章节中的shard的_id信息。 net: bindIp: 127.0.0.1 port: 40310 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/shd22/mongod.pid} replication: {replSetName: shard_2} sharding: {archiveMovedChunks: false, clusterRole: shardsvr} storage: dbPath: /compile/cluster-restore/shd22/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/shd22/log/mongod.log} 启动进程。 ./mongod -f restoreconfig/shardsvr_40310.yaml 修改shardsvr2-3节点配置文件，增加副本集配置属性（restoreconfig/shardsvr_40311.yaml）。 --- replication.replSetName 的值，参考该章节中的shard的_id信息。 net: bindIp: 127.0.0.1 port: 40311 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/shd23/mongod.pid} replication: {replSetName: shard_2} sharding: {archiveMovedChunks: false, clusterRole: shardsvr} storage: dbPath: /compile/cluster-restore/shd23/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/shd23/log/mongod.log} 启动进程。 ./mongod -f restoreconfig/shardsvr_40311.yaml 等待选主成功。 ./mongo --host 127.0.0.1 --port 40309 执行命令rs.status()，查看是否已存在主节点Primary。

准备目录 rm -rf /compile/cluster-restore/shd2* mkdir -p /compile/cluster-restore/shd21/data/db mkdir -p /compile/cluster-restore/shd21/log mkdir -p /compile/cluster-restore/shd22/data/db mkdir -p /compile/cluster-restore/shd22/log mkdir -p /compile/cluster-restore/shd23/data/db mkdir -p /compile/cluster-restore/shd23/log

操作步骤 准备单节点配置文件和目录，以单节点方式启动进程。 配置文件如下（restoreconfig/single_40306.yaml）。 net: bindIp: 127.0.0.1 port: 40306 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/shd11/mongod.pid} storage: dbPath: /compile/cluster-restore/shd11/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/shd11/log/mongod.log} 准备数据，将解压后的shardsvr1文件拷贝到单节点dbPath目录下。 cp -aR /compile/download/backups/cac1efc8e65e42ecad8953352321bfeein02_6cfa6167d4114d7c8cec5b47f9a78dc5no02/* /compile/cluster-restore/shd11/data/db/ 启动进程。 ./mongod -f restoreconfig/single_40306.yaml 连接单节点，执行配置命令。 连接命令：./mongo --host 127.0.0.1 --port 40306 执行如下命令，修改副本集配置信息。 var cf=db.getSiblingDB('local').system.replset.findOne(); cf['members'][0]['host']='127.0.0.1:40306'; cf['members'][1]['host']='127.0.0.1:40307'; cf['members'][2]['host']='127.0.0.1:40308'; cf['members'][0]['hidden']=false; cf['members'][1]['hidden']=false; cf['members'][2]['hidden']=false; cf['members'][0]['priority']=1; cf['members'][1]['priority']=1; cf['members'][2]['priority']=1; db.getSiblingDB('local').system.replset.remove({}); db.getSiblingDB('local').system.replset.insert(cf) 执行如下命令，清理内置账号。 db.getSiblingDB('admin').dropAllUsers(); db.getSiblingDB('admin').dropAllRoles(); 执行如下命令，更新configsvr信息。 连接命令：./mongo --host 127.0.0.1 --port 40306 var vs = db.getSiblingDB('admin').system.version.find(); while (vs.hasNext()) { var curr = vs.next(); if (curr.hasOwnProperty('configsvrConnectionString')) { db.getSiblingDB('admin').system.version.update({'_id' : curr._id}, {$set: {'configsvrConnectionString': 'config/127.0.0.1:40303,127.0.0.1:40304,127.0.0.1:40305'}}); } } 执行如下命令，关闭单节点进程。 db.getSiblingDB('admin').shutdownServer(); 搭建shardsvr1副本集。 准备副本集配置文件和目录，将shardsvr1节点的dbPath文件拷贝到其他两个节点目录下。 cp -aR /compile/cluster-restore/shd11/data/db/ /compile/cluster-restore/shd12/data/db/ cp -aR /compile/cluster-restore/shd11/data/db/ /compile/cluster-restore/shd13/data/db/ 修改shardsvr1-1节点配置文件，增加副本集配置属性（restoreconfig/shardsvr_40306.yaml）。 --- replication.replSetName 的值，参考该章节中的shard的_id信息。 net: bindIp: 127.0.0.1 port: 40306 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/shd11/mongod.pid} replication: {replSetName: shard_1} sharding: {archiveMovedChunks: false, clusterRole: shardsvr} storage: dbPath: /compile/cluster-restore/shd11/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/shd11/log/mongod.log} 启动进程。 ./mongod -f restoreconfig/shardsvr_40306.yaml 修改shardsvr1-2节点配置文件，增加副本集配置属性（restoreconfig/shardsvr_40307.yaml）。 --- replication.replSetName 的值，参考该章节中的shard的_id信息。 net: bindIp: 127.0.0.1 port: 40307 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/shd12/mongod.pid} replication: {replSetName: shard_1} sharding: {archiveMovedChunks: false, clusterRole: shardsvr} storage: dbPath: /compile/cluster-restore/shd12/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/shd12/log/mongod.log} 启动进程。 ./mongod -f restoreconfig/shardsvr_40307.yaml 修改shardsvr1-3节点配置文件，增加副本集配置属性（restoreconfig/shardsvr_40308.yaml）。 --- replication.replSetName 的值，参考该章节中的shard的_id信息。 net: bindIp: 127.0.0.1 port: 40308 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/shd13/mongod.pid} replication: {replSetName: shard_1} sharding: {archiveMovedChunks: false, clusterRole: shardsvr} storage: dbPath: /compile/cluster-restore/shd13/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/shd13/log/mongod.log} 启动进程。 ./mongod -f restoreconfig/shardsvr_40308.yaml 等待选主成功。 ./mongo --host 127.0.0.1 --port 40306 执行命令rs.status()，查看是否已存在主节点Primary。

准备目录 rm -rf /compile/cluster-restore/shd1* mkdir -p /compile/cluster-restore/shd11/data/db mkdir -p /compile/cluster-restore/shd11/log mkdir -p /compile/cluster-restore/shd12/data/db mkdir -p /compile/cluster-restore/shd12/log mkdir -p /compile/cluster-restore/shd13/data/db mkdir -p /compile/cluster-restore/shd13/log

准备目录 rm -rf /compile/cluster-restore/cfg* mkdir -p /compile/cluster-restore/cfg1/data/db mkdir -p /compile/cluster-restore/cfg1/log mkdir -p /compile/cluster-restore/cfg2/data/db mkdir -p /compile/cluster-restore/cfg2/log mkdir -p /compile/cluster-restore/cfg3/data/db mkdir -p /compile/cluster-restore/cfg3/log

操作步骤 准备单节点配置文件和数据目录，以单节点方式启动进程。 配置文件如下（restoreconfig/single_40303.yaml）。 net: bindIp: 127.0.0.1 port: 40303 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/cfg1/configsvr.pid} storage: dbPath: /compile/cluster-restore/cfg1/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/cfg1/log/configsingle.log} 准备数据，将解压后的configsvr文件拷贝到单节点dbPath目录下。 cp -aR /compile/download/backups/cac1efc8e65e42ecad8953352321bfeein02_41c8a32fb10245899708dea453a8c5c9no02/* /compile/cluster-restore/cfg1/data/db/ 启动进程。 ./mongod -f restoreconfig/single_40303.yaml 连接单节点，执行配置命令。 连接命令：./mongo --host 127.0.0.1 --port 40303 执行如下命令，修改副本集配置信息。 var cf=db.getSiblingDB('local').system.replset.findOne(); cf['members'][0]['host']='127.0.0.1:40303'; cf['members'][1]['host']='127.0.0.1:40304'; cf['members'][2]['host']='127.0.0.1:40305'; cf['members'][0]['hidden']=false; cf['members'][1]['hidden']=false; cf['members'][2]['hidden']=false; cf['members'][0]['priority']=1; cf['members'][1]['priority']=1; cf['members'][2]['priority']=1; db.getSiblingDB('local').system.replset.remove({}); db.getSiblingDB('local').system.replset.insert(cf) 执行如下命令，清理内置账号。 db.getSiblingDB('admin').dropAllUsers(); db.getSiblingDB('admin').dropAllRoles(); 执行如下命令，更新dds mongos和shard信息。 db.getSiblingDB('config').mongos.remove({}); 先查询config.shards表中的多个shard的_id信息，用于下面语句的_id的查询条件。逐个更新每条记录。 db.getSiblingDB('config').shards.update({'_id' : 'shard_1'},{$set: {'host': 'shard_1/127.0.0.1:40306,127.0.0.1:40307,127.0.0.1:40308'}}) db.getSiblingDB('config').shards.update({'_id' : 'shard_2'},{$set: {'host': 'shard_2/127.0.0.1:40309,127.0.0.1:40310,127.0.0.1:40311'}}) db.getSiblingDB('config').mongos.find({}); db.getSiblingDB('config').shards.find({}); 执行如下命令，关闭单节点进程。 db.getSiblingDB('admin').shutdownServer(); 搭建configsvr副本集。 准备副本集配置文件和目录，将configsvr1节点的dbPath文件拷贝到其他两个节点目录下。 cp -aR /compile/cluster-restore/cfg1/data/db/ /compile/cluster-restore/cfg2/data/db/ cp -aR /compile/cluster-restore/cfg1/data/db/ /compile/cluster-restore/cfg3/data/db/ 修改configsvr-1节点配置文件，增加副本集配置属性（restoreconfig/configsvr_40303.yaml）。 net: bindIp: 127.0.0.1 port: 40303 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/cfg1/configsvr.pid} replication: {replSetName: config} sharding: {archiveMovedChunks: false, clusterRole: configsvr} storage: dbPath: /compile/cluster-restore/cfg1/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/cfg1/log/configsvr.log} 启动进程。 ./mongod -f restoreconfig/configsvr_40303.yaml 修改configsvr-2节点配置文件，增加副本集配置属性（restoreconfig/configsvr_40304.yaml）。 net: bindIp: 127.0.0.1 port: 40304 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/cfg2/configsvr.pid} replication: {replSetName: config} sharding: {archiveMovedChunks: false, clusterRole: configsvr} storage: dbPath: /compile/cluster-restore/cfg2/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/cfg2/log/configsvr.log} 启动进程 ./mongod -f restoreconfig/configsvr_40304.yaml 修改configsvr-3节点配置文件，增加副本集配置属性（restoreconfig/configsvr_40305.yaml）。 net: bindIp: 127.0.0.1 port: 40305 unixDomainSocket: {enabled: false} processManagement: {fork: true, pidFilePath: /compile/cluster-restore/cfg3/configsvr.pid} replication: {replSetName: config} sharding: {archiveMovedChunks: false, clusterRole: configsvr} storage: dbPath: /compile/cluster-restore/cfg3/data/db/ directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} systemLog: {destination: file, logAppend: true, logRotate: reopen, path: /compile/cluster-restore/cfg3/log/configsvr.log} 启动进程。 ./mongod -f restoreconfig/configsvr_40305.yaml 等待选主成功。 ./mongo --host 127.0.0.1 --port 40303 执行命令rs.status()，查看是否已存在主节点Primary。

参数模板注意事项 系统提供的默认参数模板不允许修改，只可单击参数模板名称进行查看。如果出现参数设置不合理导致数据库无法启动，可参考默认参数模板重新配置。 对于某些运行参数修改，您需在实例列表中，查看实例状态，如果显示“参数模板变更，等待重启”，则需重启关联的实例使之生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。

参数模板类型 创建数据库实例时可以指定数据库参数模板为默认参数模板或已有参数模板。实例创建成功后也可以变更实例关联的参数模板。 默认参数模板 默认组包含针对运行的数据库实例进行优化的引擎默认值和数据库服务系统默认值。 自定义参数模板 如果希望数据库实例以客户自定义的引擎配置值运行，可轻松地创建一个新数据库参数模板，修改所需参数并应用到数据库实例，用以使用新数据库参数模板。 数据库参数模板与实例建立关联后，如果修改了参数模板中的参数，那么使用该参数模板的所有实例，都将获得该参数模板中对应参数的更新。

使用须知 开启或关闭SSL会导致实例重启，请谨慎操作。 在开启或关闭SSL时，文档数据库服务会进行一次重启，重启过程中每个节点会有一次约30秒的闪断，建议您安排好业务并确保应用有重连机制。 开启SSL，可以通过SSL方式连接数据库，具有更高的安全性。 目前已禁用不安全的加密算法，支持的安全加密算法对应的加密套件参考如下。 版本 支持的TLS版本 支持的加密算法套件 3.4 TLS 1.2 AES256-GCM-SHA384 AES128-GCM-SHA256 4.0 TLS 1.2 DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 用户的客户端所在服务器需要支持对应的TLS版本以及对应的加密算法套件，否则会连接失败。 关闭SSL，可以采用非SSL方式连接数据库。

使用须知 文档数据库服务的审计日志功能默认是关闭的，您可以根据业务需要开启审计日志，开启后系统记录读写操作的审计信息。根据业务模型的不同，会造成不同的性能影响，开启后若出现性能瓶颈，需要考虑临时关闭审计日志或者进行规格扩容。 开启审计日志会收取一定费用，收费详情请参见产品价格详情。 文档数据库服务会去检测已生成的审计日志，若审计日志超过用户自定义的保留天数，则将其删除。建议审计日志保存180天以上，用于审计回溯和问题分析等场景。 审计策略修改后，文档数据库服务将按照新的策略执行审计，原审计日志的保留天数以修改后审计策略的保留天数为准。 审计日志不建议删除，如需删除，请先确保审计日志删除后仍然符合您所在地或者企业的安全合规要求，建议删除前下载日志文件在本地备份。审计日志删除后不可恢复，请谨慎操作。 您可以通过文档数据库服务查看、下载和删除DDS实例审计日志，详情请参见通过文档数据库服务查看审计日志；也可以按照日志配置管理配置后，在LTS服务查看DDS实例审计日志的详细信息，包括搜索日志、日志可视化、下载日志和查看实时日志等功能，详情请参见通过 云日志 服务查看审计日志。 审计日志默认每小时生成一次，如果日志大小超过最大限制10MB，则会额外生成新的审计日志。 客户数据需要使用UTF-8编码格式，对于非UTF-8格式数据，对应语句的审计结果可能会有缺失、遗漏或乱码等非预期现象。 文档数据库服务使用的 对象存储服务 上的审计日志文件，对用户不可见，它们只对后台管理系统可见。

事件样例 如下提供了查询副本集状态信息的样例，详细的字段解释可参考事件结构。 { "atype": "query", "ts": { "$date": "2025-02-27T12:35:40.512+0000" }, "local": { "ip": "192.168.30.90", "port": 8635 }, "remote": { "ip": "192.168.26.20", "port": 43818 }, "users": [ { "user": "rwuser", "db": "admin" } ], "roles": [ { "role": "root", "db": "admin" } ], "param": { "command": "query", "ns": "test.a", "args": { "find": "a", "filter": { }, "lsid": { "id": { "$binary": "7kwKmFh9TxGStjtn5Urt2w==", "$type": "04" } }, "$clusterTime": { "clusterTime": { "$timestamp": { "t": 1740659738, "i": 2 } }, "signature": { "hash": { "$binary": "t2eFI3gB9ZruNYf5Y0FIgAZRCr4=", "$type": "00" }, "keyId": { "$numberLong": "7472645695153897501" } } }, "$db": "test" } }, "result": 0 "sessionId": "1641365", "username": "rwuser", "clientname": "MongoDB Shell", "affectRows": "0", "startTime": "1740659740512716", "endTime": "1740659740513937", "docsExamined": "0", "keysExamined": "0", "returnNum": "0", "success": true }

策略语法 给用户组选择策略时，单击策略下方的，可以查看策略的详细内容，以“DDS Administrator”为例，说明RBAC策略的语法。 图2 DDS Administrator策略 { "Version": "1.0", "Statement": [ { "Effect": "Allow", "Action": [ "DDS:DDS:*" ], "Resource": [ "DDS:*:*:instanceName:dds-*" ], } ], "Depends": [ { "catalog": "BASE", "display_name": "Server Administrator" }, { "catalog": "BASE", "display_name": "Tenant Guest" } ] } 表1 参数说明 参数 含义 值 Version 策略的版本 固定为“1.0”。 Statement Action 定义对DDS的具体操作。 格式为：服务名:资源类型:操作 "DDS:DDS:*"，表示对DDS的所有操作，其中DDS为服务名称；“*”为通配符，表示对DDS资源可以执行所有操作。 Effect 定义Action中所包含的具体操作是否允许执行。 Allow：允许执行。 Deny：不允许执行。 Resource 定义资源粒度的鉴权 非必传，“DDS:*:*:instanceName:dds-*”表示对所有dds-开头的实例拥有配置的action权限，如果没有配置，那么默认拥有所有实例的权限 Depends catalog 依赖的策略的所属服务。 服务名称 例如：BASE display_name 依赖的策略的名称。 权限名称 例如：Server Administrator

DDS自定义策略样例 示例1：授权用户创建文档数据库实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dds:instance:create" ] } ] } 示例2：拒绝用户删除文档数据库实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予DDS FullAccess的系统策略，但不希望用户拥有DDS FullAccess中定义的删除文档数据库实例权限，您可以创建一条拒绝删除文档数据库实例的自定义策略，然后同时将DDS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对DDS执行除了删除文档数据库实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny" "Action": [ "dds:instance:deleteInstance" ], } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "dds:instance:create", "dds:instance:modify", "dds:instance:deleteInstance", "vpc:publicIps:list", "vpc:publicIps:update" ], "Effect": "Allow" } ] } 实例4：授权资源策略 一个自定义策略可以设置资源策略，表示在当前的action下面，拥有哪些资源的操作权限，目前支持实例名称的配置，可以用*来表示通配符。授权资源策略的描述如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dds:instance:list" ] }, { "Effect": "Allow", "Action": [ "dds:instance:modify" ], "Resource": [ "DDS:*:*:instanceName:dds-*" ] } ] }

账户密码等级设置 文档数据库服务在控制台侧管理员密码的安全策略： 密码长度为8～32个字符。 密码必须为英文大小写字母、数字、特殊字符~!@#%^*-_=+?()$的组合。 文档数据库对在客户端新创的数据库用户，设置了密码安全策略： 密码长度为8～32个字符。 密码为英文大小写字母、数字、特殊字符~@#%-_!*+=^?的组合。 创建实例数据库以及设置密码时，安全起见，为用户提供了密码复杂度校验，如果不满足要求，请根据提示信息调整密码复杂度。

账户说明 为了给文档数据库实例提供管理服务，您在创建数据库实例时，文档数据库服务会自动为实例创建根账户root（或admin）、监控账户monitor和备份账户backup，这些账户属于华为云实例管理平台，您不能操作或者使用。如果试图删掉、重命名、修改这些账户的密码和权限，会导致出错。 对于数据库管理员账户rwuser，以及您所创建的账户，允许修改账户的密码。 默认账户rwuser以及通过rwuser创建的账户，对系统库admin和config权限受限，无法进行正常操作。对自身创建的库表，具有充分的操作权限。 MongoDB的User一般是在某个固定的认证库下创建的。连接数据库时，需要通过参数--authenticationDatabase来明确指定对应的认证库。 DDS实例中，默认的rwuser用户的认证库，是admin。 账户密码连续5次输入错误，账户会被锁定10s。