华为云用户手册

操作步骤 您可以使用“创建规则”， IAM 会将您填写的身份转换规则参数转换成JSON语言；也可以单击“编辑规则”直接编写JSON语言，编辑身份转换规则的详细说明和示例请参见：身份转换规则详细说明。 创建规则 管理员在IAM控制台IAM控制台的左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 在“身份转换规则”区域单击“创建规则”。 图1 创建规则-1 图2 创建规则-2 表1 参数说明 参数名 描述 说明 用户名 联邦用户在华为云系统中显示的用户名，以下简称“联邦用户名”。 为了区分华为云系统的用户与联邦用户，建议此处配置用户名为“FederationUser-IdP_XXX”。其中“IdP”为身份提供商名称，如ADFS、Shibboleth等，用于区分不同身份提供商下的联邦用户；“XXX”为自定义的具体名称。 须知： 同一身份提供商的联邦用户名需要确保其唯一。如果同一身份提供商内出现重复的联邦用户名，则重名的联邦用户在华为云本系统中对应同一个IAM用户。 用户名能包含大小写字母、空格、数字或特殊字符（-_.）且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。 用户组 联邦用户在华为云系统中所属的用户组。 联邦用户拥有所属用户组的权限。可以选择已创建的用户组。 本规则生效条件 联邦用户拥有所选用户组权限的生效条件。 当满足该生效条件时，联邦用户具有所属用户组的权限；当不满足生效条件时，该规则不生效，且不满足生效条件的用户无法访问华为云云服务平台。一个身份转换规则最多可以创建10条生效条件。 “属性”、“值”为企业IdP通过SAML断言返回给华为云系统用户信息；“条件”可选择：empty、any_one_of、not_any_of，详细说明请参见：身份转换规则详细说明。 说明： 一个规则可以创建多条生效条件，所有生效条件均满足，此规则才可以生效。 一个身份提供商可以创建多条规则，规则共同作用。如果所有规则对某个联邦用户都不生效，那么该联邦用户禁止访问华为云云服务平台。 示例：为企业管理系统管理员设定规则。 用户名：FederationUser-IdP_admin 用户组：“admin” 生效条件：“属性”：“_NAMEID_”；“条件”：“any_one_of”；“值”：“000000001”。 表示仅用户ID为000000001的用户在华为云云服务平台中映射的IAM用户名为FederationUser-IdP_admin、具有“admin”用户组的权限。 在“创建规则”页面，单击“确定”。 在“修改身份提供商”页面，单击“确定”，使配置生效。 编辑规则 管理员登录华为云云服务平台，进入IAM控制台IAM控制台，并在左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 图3 修改身份提供商 在“身份转换规则”区域单击“编辑规则”。 图4 编辑身份转换规则 在编辑框内输入JSON格式的身份转换规则，具体说明请参见：身份转换规则详细说明。 单击“校验规则”，对已编辑的规则进行语法校验。 界面提示“规则正确”：在“编辑规则”页面，单击“确定”；在“修改身份提供商”页面，单击“确定”，使配置生效。 界面提示“JSON文件格式不完整”：请修改JSON语句，或单击“取消”，取消本次修改内容。

解释说明 根据您所选择的策略，系统将自动推荐授权范围方案，便于为用户选择合适的授权作用范围。下面为您介绍所有授权范围： 所有资源 IAM用户可以根据权限使用账号中所有的企业项目、区域项目、全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。 如果您暂未开通企业项目，将不支持基于企业项目授权，了解企业项目请参考：什么是企业项目管理。如需开通，请参考：开通企业项目。 当前仅部分服务支持基于企业项目授权，详情请参考：支持企业项目授权的云服务。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。 华为云的每个区域默认对应一个项目，如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得IAM用户仅能访问特定子项目中的资源。如需创建项目，请参考：创建项目。 如果您已开通企业项目，将不支持创建区域子项目。 全局服务资源 IAM用户可以根据权限使用全局服务。服务部署时不区分物理区域，为全局级服务。访问全局级服务时，不需要切换区域，如 对象存储服务 （OBS）、内容分发网络（CDN）等。

区域项目和企业项目的区别 区域项目 区域项目是针对同一个区域内的资源进行分组和隔离，是物理隔离。在区域项目中的资源不能转移，只能删除后重建。 区域项目在 统一身份认证 服务中管理，使用区域项目，请参考：项目。 企业项目 企业项目是区域项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。企业项目可以实现对特定云资源的授权，例如：将一台特定的E CS 添加至企业项目，对企业项目进行授权后，可以控制用户仅能管理这台特定的ECS。 企业项目在企业管理服务中管理，使用企业项目，请参考：创建企业项目。

身份提供商类型说明 一个账号下只能存在一种类型的身份提供商。OIDC协议仅支持虚拟用户SSO。 虚拟用户SSO：该身份提供商中的用户登录华为云后，系统为其自动创建虚拟用户信息。一个账号可以创建多个虚拟用户SSO类型的身份提供商。 IAM用户SSO：该身份提供商中的用户登录华为云后，系统将自动匹配外部身份ID绑定的对应IAM子用户，从而拥有该子用户所在用户组的权限。一个账号下只能创建一个IAM用户SSO类型的身份提供商。如果选择该类型，请确保您已为用户创建对应的IAM用户并设置外部身份ID，请参考创建IAM用户。

验证联邦用户权限 配置身份转换规则后，查看联邦用户是否已有相应权限。 联邦用户登录。 在IAM控制台的“身份提供商”页面，单击“操作”列的“查看”，进入“身份提供商基本信息”页面；单击“登录链接”右侧的“”，在浏览器中打开，输入企业管理系统用户名和密码，登录成功。 查看联邦用户是否具有所属用户组的权限。 例如，配置身份转换规则时，使联邦用户“ID1”对应IAM用户组“admin”，拥有所有云服务的权限。进入控制台，选择任一云服务，查看是否可以访问此服务。

操作步骤 您可以使用“创建规则”，IAM会将您填写的身份转换规则参数转换成JSON语言；也可以单击“编辑规则”直接编写JSON语言，编辑身份转换规则的详细说明和示例请参见：身份转换规则详细说明。 创建规则 管理员在IAM控制台IAM控制台的左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 在“身份转换规则”区域单击“创建规则”。 图1 创建规则-1 图2 创建规则-2 表1 参数说明 参数名 描述 说明 用户名 联邦用户在华为云系统中显示的用户名，以下简称“联邦用户名”。 为了区分华为云系统的用户与联邦用户，建议此处配置用户名为“FederationUser-IdP_XXX”。其中“IdP”为身份提供商名称，如ADFS、Shibboleth等，用于区分不同身份提供商下的联邦用户；“XXX”为自定义的具体名称。 须知： 同一身份提供商的联邦用户名需要确保其唯一。如果同一身份提供商内出现重复的联邦用户名，则重名的联邦用户在华为云本系统中对应同一个IAM用户。 用户名能包含大小写字母、空格、数字或特殊字符（-_.）且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。 用户组 联邦用户在华为云系统中所属的用户组。 联邦用户拥有所属用户组的权限。可以选择已创建的用户组。 本规则生效条件 联邦用户拥有所选用户组权限的生效条件。 当满足该生效条件时，联邦用户具有所属用户组的权限；当不满足生效条件时，该规则不生效，且不满足生效条件的用户无法访问华为云云服务平台。一个身份转换规则最多可以创建10条生效条件。 说明： 一个规则可以创建多条生效条件，所有生效条件均满足，此规则才可以生效。 一个身份提供商可以创建多条规则，规则共同作用。如果所有规则对某个联邦用户都不生效，那么该联邦用户禁止访问华为云云服务平台。 示例：为企业管理系统管理员设定规则。 用户名：FederationUser-IdP_admin 用户组：“admin” 生效条件：“属性”：“_NAMEID_”；“条件”：“any_one_of”；“值”：“000000001”。 表示仅用户ID为000000001的用户在华为云云服务平台中映射的IAM用户名为FederationUser-IdP_admin、具有“admin”用户组的权限。 在“创建规则”页面，单击“确定”。 在“修改身份提供商”页面，单击“确定”，使配置生效。 编辑规则 管理员登录华为云云服务平台，进入IAM控制台IAM控制台，并在左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 图3 修改身份提供商 在“身份转换规则”区域单击“编辑规则”。 在编辑框内输入JSON格式的身份转换规则，具体说明请参见：身份转换规则详细说明。 单击“校验规则”，对已编辑的规则进行语法校验。 界面提示“规则正确”：在“编辑规则”页面，单击“确定”；在“修改身份提供商”页面，单击“确定”，使配置生效。 界面提示“JSON文件格式不完整”：请修改JSON语句，或单击“取消”，取消本次修改内容。

项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 除IAM项目外，您可以使用企业项目，企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。关于企业项目特性的详细信息，请参见《企业管理服务用户指南》。 您可以在“项目”页面创建子项目，并查看所有默认区域项目、子项目；如需创建企业项目，请参考创建企业项目。

主体类型 主体类型可以为用户、用户组和委托。 用户：由管理员在IAM中创建的用户。IAM用户可以使用账号名、IAM用户名和密码登录华为云，并根据权限使用所属账号中的资源。IAM不拥有资源，不进行独立的计费，IAM用户的权限和资源由所属账号统一控制和付费。 您可以在“用户”页面创建、管理用户。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您账号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 您可以在“用户组”页面创建、管理用户组。 委托：委托根据委托对象的不同，分为账号委托和云服务委托。 账号委托：通过委托信任功能，您可以将自己账号中的资源操作权限委托给更专业、高效的其他华为云账号，被委托的账号可以根据权限代替您进行资源运维工作。 云服务委托：由于华为云各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维工作。 您可以在“委托”页面创建、管理账号委托和云服务委托。

操作步骤 使用账号或IAM用户登录控制台。 在登录验证过程中，选择“安全密钥”。单击“立即绑定”。 图1 登录验证 在右侧弹窗中，设置MFA设备名称。 仅支持大小写字母、数字或特殊字符(-_)。不能与已有的MFA设备同名。 设备类型选择“安全密钥”。单击“下一步”。 如需要设置Windows Hello的验证方式，需要在弹窗中选择验证方式。 图2 设置Windows Hello 如设备不支持开启 人脸识别 ，则将不会出现“面孔”选项。 如需要设置FIDO类型的安全密钥，则在弹窗中单击“取消”。 在新的弹窗中，单击“确定”。 图3 确认安全密钥设置 将安全密钥设备插入计算机USB端口并轻点密钥上的按钮。 图4 插入安全密钥 在确认继续的弹窗中，单击“确定”。 图5 确认继续安装 系统认证成功后，将会出现“绑定成功”的提示弹窗。单击“确定”。 图6 绑定成功 系统将会立即提示需要进行安全密钥身份验证。以下以指纹验证为例。 图7 指纹验证 验证成功后，成功登录控制台访问云服务。

使用须知 全量SQL默认关闭，如需使用SQL洞察功能，请先开启全量SQL收集开关。开启收集全量SQL后，实例性能损耗5%以内。 关闭收集全量SQL后，将不再采集新产生的SQL，已经收集的SQL也会被删除，请您谨慎操作。 当前全量SQL受内存缓冲区限制，业务量大的场景下，全量SQL有较小概率因缓冲区满，存在丢弃部分记录。 当前全量SQL单条记录超过4096字节时，会默认丢弃该条记录。 此限制在MySQL 5.7.33.3及以后小版本可以通过设置参数rds_sql_tracer_reserve_big_records来选择是否丢弃，5.6和8.0版本不支持设置该参数。您可以在参数设置界面，将该参数设为ON，即表示单条记录超过4096字节也不被丢弃。 当前全量SQL需要一定时间消费和解析原始数据，TOPSQL和SQL洞察任务的数据会有5分钟左右的延迟。 免费实例的全量SQL日志仅保留1个小时，付费实例默认保留7天，最长可保存30天，到期后自动删除。 版本限制：5.6.51.1及以上版本、5.7.29.2及以上版本、8.0.20.3及以上版本支持。

使用须知 免费实例暂不支持TOP SQL功能，您可以在设置付费实例或者升级高级智能运维包后，使用该功能。 全量SQL默认关闭，如需使用TOP SQL功能，请先开启全量SQL收集开关。开启收集全量SQL后，实例性能损耗5%以内。 关闭收集全量SQL后，DAS将不再采集您新产生的SQL，已经收集的SQL也会被删除，请您谨慎操作。 全量SQL功能不能保证记录全部数据，针对RDS for MySQL引擎，会有如下使用限制： 当前全量SQL受内存缓冲区限制，业务量大的场景下，全量SQL有较小概率因缓冲区满，存在丢弃部分记录。 当前全量SQL单条记录超过4096字节时，会默认丢弃该条记录。 此限制在MySQL 5.7.33.3及以后版本可以通过设置参数rds_sql_tracer_reserve_big_records来选择是否丢弃。您可以在参数设置界面，将该参数设为ON，即表示单条记录超过4096字节也不被丢弃。 免费实例的全量SQL日志仅保留1个小时，付费实例或升级到高级智能运维包后默认保留7天，最长可保存30天，到期后自动删除。 版本限制：5.6.51.1及以上版本、5.7.29.2及以上版本、8.0.20.3及以上版本支持。

使用须知 关闭DAS收集全量SQL后，DAS将不再采集您新产生的SQL，已经收集的SQL也会被删除，请您谨慎操作。 全量SQL功能不能保证记录全部数据，针对RDS for MySQL引擎，会有如下使用限制： 当前全量SQL受内存缓冲区限制，业务量大的场景下，全量SQL有较小概率因缓冲区满，存在丢弃部分记录。 当前全量SQL单条记录超过4096字节时，会默认丢弃该条记录。 此限制在MySQL 5.7.33.3及以后小版本可以通过设置参数rds_sql_tracer_reserve_big_records来选择是否丢弃，5.6和8.0版本不支持设置该参数。您可以在参数设置界面，将该参数设为ON，即表示单条记录超过4096字节也不被丢弃。 免费实例的全量SQL日志仅保留1个小时，付费实例默认保留7天，最长可保存30天，到期后自动删除。

管理调度任务 调度任务按照调度任务列表和已结束任务列表两个页面进行展示。 调度任务列表：调度任务列表中的任务是“正常调度中”或者“暂停调度”的周期执行任务。 在任务调度页面，单击“调度任务列表”页签，进入调度任务列表页面。 您可以通过任务状态、调度类型、或者在搜索框中通过任务ID、任务名称进行条件筛选，查看任务信息。 图3 搜索任务 您还可以对调度任务进行以下的操作管理。 查看任务详情：在已完成任务列表操作栏单击“查看详情”，查看本次调度“任务信息”。 图4 任务详情 对于“正常调度中”的任务，可以通过单击“立即触发一次调度”，触发立即调度指令。任务执行成功后，可以在“调度执行记录”页签下查看本次调度执行详情。 在分组列表中查看执行日志及分组详情，还可以查看、修改、复制、删除SQL语句等。 图5 管理SQL 查看调度执行记录：在已完成任务列表操作栏单击“查看调度执行记录”，查看任务执行详情及日志。 查看日志：在已完成任务列表操作栏单击“查看日志”，查看日志详情。 终止任务：在已完成任务列表操作栏，单击“终止”，被终止的任务将从“任务调度”列表移到“已结束任务”列表。 暂停任务：在已完成任务列表操作栏，单击“暂停调度”，该任务状态将从“正常调度中”变为“暂停调度”，可通过单击“恢复调度”回到正常调度状态。 已结束任务：已结束任务列表中的任务是“已终止”的周期执行任务或“已结束”的立即执行和定时执行任务。 在任务调度页面，单击“已结束任务”页签，进入已结束任务列表页面。 您可通过任务状态、调度类型、或者在搜索框中通过任务ID及任务名称进行条件筛选，查看任务信息。 图6 查看任务信息 您还可以对调度任务进行以下的操作管理。 查看任务详情：在已完成任务列表操作栏单击“查看详情”，查看本次调度“任务信息”。 对于已结束的定时和立即执行任务，可以通过单击“立即触发一次调度”，触发立即调度指令。任务执行成功后，可以在“调度执行记录”页签下查看本次调度执行详情。 在分组列表中查看执行日志及分组详情，还可以查看、修改、复制、删除SQL语句等。 查看调度执行记录：在已完成任务列表操作栏单击“查看调度执行记录”，查看任务执行详情，分组执行情况、SQL内容及分组日志等信息。 查看日志：在已完成任务列表操作栏单击“查看日志”，查看日志详情。 删除任务：在已完成任务列表操作栏，单击“删除任务”，将从数据库中清除该任务信息。

操作流程 使用AstroCanvas自定义开发业务指标监控大屏的流程，如图1所示。 图1 开发业务指标监控大屏流程 步骤一：申请AstroCanvas免费试用并开通模板 注册华为账号 ，开通华为云，并申请免费试用AstroCanvas。未购买过AstroCanvas付费实例的用户，才能申请免费试用AstroCanvas（有效期为一个月）。自定义业务指标监控大屏前，需要先开通模板，模板开通后才能编辑该模板。 步骤二：监控 AOM 系统指标数据 将AOM系统监控数据（如告警数据、Prometheus监控数据等），呈现在业务指标监控大屏页面上。 步骤三：自定义业务指标监控大屏 根据自身实际业务的需求，自定义大屏页面呈现的内容。

步骤二：监控AOM系统指标数据 通过设置模板中全局变量projectId、region、domainName和agencyName，将AOM系统监控数据呈现在大屏页面中。 获取全局变量的值。 将鼠标放在模板上，单击“播放”。 在跳转的页面中，获取projectId、region、domainName和agencyName的值。 例如，跳转页面的URL地址为https://8cc59***644.canvas.astro.***.com/magno/render/share/1922823178***b65df967b4?_dmax_time=1727**875&agencyName=Canvas_AOM_Agency&domainName=paas_astro_public&projectId=e60ff07077***6e1781a®ion=region-7&_dmax_signature=L6PZM7avdA***tk%3D，请记录对应变量的值。 图5 获取全局变量的值 修改全局变量的值。 将鼠标放在模板上，单击“编辑”，系统自动为您创建一个业务指标监控大屏页面。 单击已创建的页面，再单击“编辑页面”，进入业务指标监控大屏编辑页面。 图6 单击页面 图7 业务指标监控大屏编辑页面 在业务指标监控大屏编辑页面上方，单击。 将全局变量projectId、region、domainName和agencyName的值，设置为1中获取的值，其他参数保持默认。 图8 设置全局变量的值 设置完成后，单击“保存”，再单击“确定”。 单击，预览效果，效果符合预期后单击，保存页面。 图9 显示AOM系统监控数据

购买带宽包 进入购买带宽包页面。 在购买带宽包页面中，根据表1填写对应参数，单击“立即购买”。 表1 购买带宽包参数 参数 说明 取值样例 基础配置 计费模式 包年/包月。 用户根据需要选择购买时长，按照年或月为单位进行购买。 包年/包月 名称 带宽包的名称。 长度为1~64个字符，支持数字，英文字母，下划线，中划线，点。 bandwidthPackge-test 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default 标签 带宽包的标识，包括键和值。可以为带宽包创建20个标签。 标签的命名规则请参见表2。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 - 带宽配置 计费方式 按宽带计费。 按带宽带计费 互通类型 互通大区的类型。支持： 大区内互通：指配置域间带宽的区域在同一个大区内。 跨大区互通：指配置域间带宽的区域在不同的大区内。 大区内互通 互通大区 需要实现互通的区域，即配置域间带宽时涉及的区域。 中国大陆 带宽 带宽是所有基于该带宽包配置的域间带宽总和，请根据网络情况提前做好规划。 单位Mbit/s。 10 购买时长 按照用户需求，选择对应的购买时间。 可支持自动续费。 1 云连接实例 选择需要绑定的云连接名称。支持： 绑定 暂不绑定 暂不绑定 表2 标签命名规则 参数 规则 取值样例 标签键 对于云资源，每个“标签键”都必须是唯一的，每个“标签键”只能有一个“标签值”。 不能为空。 最大长度不超过128个字符。 由任意语种字母、数字、空格、“_” 、“.”、“:”、“=”、“+” 、“-”、“@”组成。 首尾不能含有空格、不能以_sys_开头。 bandwidthPackge_key1 标签值 可以为空。 最大长度不超过255个字符。 由任意语种字母、数字、空格、“_” 、“.”、“:”、“/”、“=”、“+” 、“-”、“@”组成。 首尾不能含有空格。 bandwidthPackge-01 在订单确认页面再次确认购买带宽包的信息，单击“提交”。 在带宽包列表中可查看带宽包信息，如果“状态”为“正常”，表示购买成功。

数据库权限 表2 数据库权限 数据库 校验所需权限 MySQL/RDS for MySQL SELECT TaurusDB SELECT DDM SELECT TiDB SELECT MariaDB SELECT PostgresSQL/RDS for PostgreSQL 数据库的CONNECT权限，模式的USAGE权限，表的SELECT权限，序列的SELECT权限。 Oracle 需要具有CREATE SESSION，SELECT ANY DICTIONARY，针对单表的SELECT权限。 GaussDB 集中式版 需要使用root或其他具有Sysadmin角色的数据库用户登录POSTGRES基库，赋予用户以下权限： 库级权限：DATABASE的CONNECT权限。 SCHEMA级权限：SCHEMA的USAGE权限。 表级权限：SCHEMA下所有表的SELECT权限。 GaussDB分布式版 需要使用root或其他具有Sysadmin角色的数据库用户登录POSTGRES基库，赋予用户以下权限： 库级权限：DATABASE的CONNECT权限。 SCHEMA级权限：SCHEMA的USAGE权限。 表级权限：SCHEMA下所有表的SELECT权限。 MongoDB/DDS/AWS DocumentDB 副本集：连接源数据库的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 单节点：连接源数据库的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 Microsoft SQL Server 需要具备sysadmin权限，或者待同步数据库的db_datareader或db_owner权限。 DB2 for LUW 需要用户具有CONNECT、DATAAC CES S权限。 如果源数据库表结构存在DB2SECURITYLABEL字段类型，需要确保该用户具有该表全部数据的读权限。 CSS /ES 需要用户具有READ权限。 Cassandra 需要具备以下最小权限： 权限系统表system_auth.roles和system_auth.role_permissions的SELECT权限、所需同步表的SELECT权限

支持的数据库类型 目前，DRS校验任务支持的源数据库和目标数据库类型，如下表所示。 表1 支持的数据库 源数据库类型 目标数据库类型 本地自建MySQL数据库 ECS自建MySQL数据库 其他云上MySQL数据库 RDS for MySQL RDS for MySQL TaurusDB RDS for PostgreSQL GaussDB分布式版 GaussDB集中式版 RDS for MariaDB RDS for MySQL 本地自建MySQL数据库 ECS自建MySQL数据库 其他云上MySQL数据库 CSS/ES 本地自建Oracle数据库 ECS自建Oracle数据库 本地自建MariaDB数据库 ECS自建MariaDB数据库 其他云上MariaDB数据库 本地自建MySQL数据库 ECS自建MySQL数据库 CSS/ES 本地自建PostgreSQL数据库 ECS自建PostgreSQL数据库 其他云上PostgreSQL数据库 RDS for PostgreSQL RDS for PostgreSQL GaussDB集中式版 GaussDB分布式版 RDS for PostgreSQL 本地自建PostgreSQL数据库 ECS自建PostgreSQL数据库 DDM RDS for MySQL 本地自建MySQL数据库 ECS自建MySQL数据库 其他云上MySQL数据库 DDM 本地自建Oracle数据库 ECS自建Oracle数据库 本地自建Oracle数据库 ECS自建Oracle数据库 RDS for MySQL TaurusDB RDS for PostgreSQL GaussDB集中式版 GaussDB分布式版 DDM GaussDB分布式版 本地自建MySQL数据库 ECS自建MySQL数据库 其他云上MySQL数据库 RDS for MySQL 本地自建Oracle数据库 ECS自建Oracle数据库 GaussDB分布式版 GaussDB集中式版 GaussDB集中式版 本地自建MySQL数据库 ECS自建MySQL数据库 其他云上MySQL数据库 RDS for MySQL 本地自建Oracle数据库 ECS自建Oracle数据库 GaussDB分布式版 GaussDB集中式版 TaurusDB TaurusDB 本地自建MySQL数据库 ECS自建MySQL数据库 其他云上MySQL数据库 RDS for MySQL CSS/ES 本地自建Oracle数据库 ECS自建Oracle数据库 DDS 自建MongoDB 其他云上MongoDB DB2 for LUW GaussDB分布式版 GaussDB集中式版 TiDB TaurusDB - GaussDB集中式版 GaussDB分布式版 Microsoft SQL Server 本地自建Mongo数据库 ECS自建Mongo数据库 其他云上Mongo数据库 DDS DDS 本地自建MariaDB数据库 ECS自建MariaDB数据库 其他云上MariaDB数据库 RDS for MariaDB 本地自建MariaDB数据库 ECS自建MariaDB数据库 其他云上MariaDB数据库 RDS for MySQL TaurusDB RDS for MariaDB 本地自建MariaDB数据库 ECS自建MariaDB数据库 其他云上MariaDB数据库 Cassandra GeminiDB Cassandra 其他云上DynamoDB（Web服务） GeminiDB Dynamo 说明： 目前仅支持白名单用户使用。 Redis GeminiDB Redis GeminiDB Redis Redis

为PHP函数制作依赖包 制作依赖包前，请确认环境中已安装与函数运行时相匹配版本的PHP。以PHP 7.3通过composer安装protobuf3.19依赖包为例，默认环境中已经安装了composer，其他版本和依赖包制作过程相同。 新建一个composer.json文件，在composer.json中填入以下内容。 { "require": { "google/protobuf": "^3.19" } } 执行如下命令。 Composer install 命令执行后，当前目录下会生成一个vendor文件夹，文件夹中有autoload.php、composer 和google三个文件夹。 使用以下命令生成zip包。 zip –rq vendor.zip vendor 如需同时封装多个依赖包，在composer.json文件中指定需要的依赖，把生成的vendor文件整体打包成zip文件上传即可。 在PHP项目中，使用composer下载的第三方依赖，需通过require "./vendor/autoload.php" 进行加载。FunctionGraph默认将上传的ZIP包解压后的内容，置于与项目代码同一级别的目录下。

搭建EulerOS环境 推荐在EulerOS环境中制作函数依赖包，EulerOS是基于开源技术的企业级Linux操作系统软件，具备高安全性、高可扩展性、高性能等技术特性，能够满足客户IT基础设施和云计算服务等多业务场景需求。 此处推荐Huawei Cloud EulerOS，可选择以下方法搭建环境： 在华为云购买一台EulerOS的ECS弹性云服务器，请参见购买并登录Linux弹性云服务器。在基础配置环节选择公共镜像时，选择Huawei Cloud EulerOS操作系统和具体的镜像版本。 下载EulerOS镜像，在本地使用虚拟化软件搭建EulerOS系统的虚拟机。

为Node.js函数制作依赖包 制作依赖包前，请确认环境中已安装与函数运行时相匹配版本的Node.js。以Node.js 8.10安装MySQL依赖包为例，其他版本和依赖包制作过程相同。 执行如下命令，为Nodejs 8.10安装MySQL依赖包。 npm install mysql --save 命令执行后，在当前目录下会生成一个node_modules文件夹。 使用以下命令生成ZIP包，即可生成最终需要的依赖包。 zip -rq mysql-node8.10.zip node_modules 如需同时封装多个依赖包，建议参考以下步骤操作： 新建一个package.json文件，在package.json中填入如下内容。 { "name": "test", "version": "1.0.0", "dependencies": { "redis": "~2.8.0", "mysql": "~2.17.1" } } 执行如下命令。 npm install --save 再将node_modules打包成zip，即可生成一个既包含MySQL也包含redis的依赖包。 zip -rq mysql-node8.10.zip node_modules

为Python函数制作依赖包 制作依赖包前，请确认环境中已安装与函数运行时相匹配版本的Python，例如Python2.7建议使用2.7.12及以上版本，Python3.6建议使用3.6.3以上版本。 以Python2.7安装PyMySQL依赖包为例，其他版本和依赖包制作过程相同。 执行以下命令，指定PyMySQL依赖包的安装路径为本地的/tmp/pymysql下。 pip install PyMySQL --root /tmp/pymysql 执行成功后，执行以下命令进入指定目录。 cd /tmp/pymysql/ 进入子目录直到site-packages路径下（一般路径为lib/python2.7/site-packages/，若此路径下无安装的依赖文件，请使用find命令找到并进入库文件所在路径），接下来执行以下命令压缩依赖文件。 所生成的包即为最终需要的依赖包。 zip -rq pymysql.zip * 如果需要安装存放在本地的wheel安装包，可执行以下命令： pip install piexif-1.1.0b0-py2.py3-none-any.whl --root /tmp/piexif //安装包名称以piexif-1.1.0b0-py2.py3-none-any.whl为例，请以实际安装包名称为准

前提条件 已创建RocketMQ实例和消费组。 如果通过按Message ID查询，需要提前获取消息所在的消费组名称和消息的Message ID。 Message ID为生产消息后返回的MsgId，如6中返回的内容，也可先通过Topic查询消息，记录Message ID。 如果通过按Message Key查询，需要提前获取消息所在的消费组名称和消息的Message Key。 Message Key为7中配置的消息Key，也可先通过Topic查询消息，记录Message Key。

命令行模式连接实例 登录客户端所在服务器。 下载“rocketmq-tutorial”示例软件包。 wget https://dms-demos.obs.cn-north-1.myhuaweicloud.com/rocketmq-tutorial.zip 解压“rocketmq-tutorial”。 unzip rocketmq-tutorial.zip （可选）如果RocketMQ实例开启了ACL访问控制，执行mqadmin命令时，需要鉴权。 切换到解压后的软件包目录下，在“conf/tools.yml”文件中，增加如下内容。 accessKey:******* secretKey:******* accessKey和secretKey表示在控制台“用户管理”页面，创建的用户名和密钥，具体可参见创建用户。 进入“rocketmq-tutorial/bin”目录。 cd rocketmq-tutorial/bin 运行生产普通消息示例。 sh mqadmin sendMessage -n "${连接地址}" -t ${Topic名称} -p "hello rocketmq" 参数说明如下： 连接地址：表示RocketMQ实例的“连接地址”（内网访问）/“公网连接地址”（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“11.xxx.xxx.89:8200;11.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topic-test”为Topic名称。 sh mqadmin sendMessage -n "11.xxx.xxx.89:8200;11.xxx.xxx.144:8200" -t topic-test -p "hello rocketmq" 使用Ctrl+C命令退出。 运行消费普通消息示例。 sh mqadmin consumeMessage -n "${连接地址}" -t ${Topic名称} 参数说明如下： 连接地址：表示RocketMQ实例的“连接地址”（内网访问）/“公网连接地址”（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“11.xxx.xxx.89:8200;11.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topic-test”为Topic名称。 sh mqadmin consumeMessage -n "11.xxx.xxx.89:8200;11.xxx.xxx.144:8200" -t topic-test 如需停止消费使用Ctrl+C命令退出。 运行生产带消息轨迹的消息示例。 sh mqadmin sendMessage -n "${连接地址}" -t ${Topic名称} -p "hello rocketmq" -m true 参数说明如下： 连接地址：表示RocketMQ实例的“连接地址”（内网访问）/“公网连接地址”（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“11.xxx.xxx.89:8200;11.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topic-test”为Topic名称。 sh mqadmin sendMessage -n "11.xxx.xxx.89:8200;11.xxx.xxx.144:8200" -t topic-test -p "hello rocketmq" -m true 使用Ctrl+C命令退出。 运行消费消息示例，并发送消息轨迹。 sh mqadmin consumeMessage -n "${连接地址}" -t ${Topic名称} -m true 参数说明如下： 连接地址：表示RocketMQ实例的“连接地址”（内网访问）/“公网连接地址”（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“11.xxx.xxx.89:8200;11.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topic-test”为Topic名称。 sh mqadmin consumeMessage -n "11.xxx.xxx.89:8200;11.xxx.xxx.144:8200" -t topic-test -m true 使用Ctrl+C命令退出。

前提条件 已创建RocketMQ实例，并记录实例详情中的“连接地址”（内网访问）/“公网连接地址”（公网访问）。内网访问的连接端口为8100，公网环境下访问的连接端口为8200。 客户端和RocketMQ实例之间网络已互通，具体网络要求参见连接RocketMQ网络要求页面。 已配置安全组。 已创建Topic。 客户端所在服务器已安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 客户端所在服务器可以访问公网，用于下载示例软件包。

命令行模式连接实例 登录客户端所在服务器。 下载“rocketmq-tutorial”示例软件包。 wget https://dms-demos.obs.cn-north-1.myhuaweicloud.com/rocketmq-tutorial.zip 解压“rocketmq-tutorial”。 unzip rocketmq-tutorial.zip （可选）如果RocketMQ实例开启了ACL访问控制，执行mqadmin命令时，需要鉴权。 切换到解压后的软件包目录下，在“conf/tools.yml”文件中，增加如下内容。 accessKey:******* secretKey:******* accessKey和secretKey表示在控制台“用户管理”页面，创建的用户名和密钥，具体可参见创建用户。 进入“rocketmq-tutorial/bin”目录。 cd rocketmq-tutorial/bin 运行生产普通消息示例。 JAVA_OPT=-Dtls.enable=true sh mqadmin sendMessage -n "${连接地址}" -t ${Topic名称} -p "hello rocketmq" 参数说明如下： 连接地址：表示RocketMQ实例的“连接地址”（内网访问）/“公网连接地址”（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“11.xxx.xxx.89:8200;11.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topic-test”为Topic名称。 JAVA_OPT=-Dtls.enable=true sh mqadmin sendMessage -n "11.xxx.xxx.89:8200;11.xxx.xxx.144:8200" -t topic-test -p "hello rocketmq" 使用Ctrl+C命令退出。 运行消费普通消息示例。 JAVA_OPT=-Dtls.enable=true sh mqadmin consumeMessage -n "${连接地址}" -t ${Topic名称} 参数说明如下： 连接地址：表示RocketMQ实例的“连接地址”（内网访问）/“公网连接地址”（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“11.xxx.xxx.89:8200;11.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topic-test”为Topic名称。 JAVA_OPT=-Dtls.enable=true sh mqadmin consumeMessage -n "11.xxx.xxx.89:8200;11.xxx.xxx.144:8200" -t topic-test 如需停止消费使用Ctrl+C命令退出。 运行生产带消息轨迹的消息示例。 JAVA_OPT=-Dtls.enable=true sh mqadmin sendMessage -n "${连接地址}" -t ${Topic名称} -p "hello rocketmq" -m true 参数说明如下： 连接地址：表示RocketMQ实例的“连接地址”（内网访问）/“公网连接地址”（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“11.xxx.xxx.89:8200;11.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topic-test”为Topic名称。 JAVA_OPT=-Dtls.enable=true sh mqadmin sendMessage -n "11.xxx.xxx.89:8200;11.xxx.xxx.144:8200" -t topic-test -p "hello rocketmq" -m true 使用Ctrl+C命令退出。 运行消费消息示例，并发送消息轨迹。 JAVA_OPT=-Dtls.enable=true sh mqadmin consumeMessage -n "${连接地址}" -t ${Topic名称} -m true 参数说明如下： 连接地址：表示RocketMQ实例的“连接地址”（内网访问）/“公网连接地址”（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“11.xxx.xxx.89:8200;11.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topic-test”为Topic名称。 JAVA_OPT=-Dtls.enable=true sh mqadmin consumeMessage -n "11.xxx.xxx.89:8200;11.xxx.xxx.144:8200" -t topic-test -m true 使用Ctrl+C命令退出。

前提条件 已创建RocketMQ实例，并记录实例详情中的“连接地址”（内网访问）/“公网连接地址”（公网访问）。内网访问的连接端口为8100，公网环境下访问的连接端口为8200。 客户端和RocketMQ实例之间网络已互通，具体网络要求参见连接RocketMQ网络要求页面。 已配置安全组。 已创建Topic。 客户端所在服务器已安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 客户端所在服务器可以访问公网，用于下载示例软件包。

前提条件 已购买RocketMQ实例。 准备一台Linux系统的主机，在主机中安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置，具体操作可参见快速连接RocketMQ并生产消费消息。 准备网络环境。 RocketMQ实例分内网地址以及公网地址两种网络连接方式。如果使用公网地址，则消息生产与消费客户端需要有公网访问权限，并配置如下安全组。 表1 安全组规则（RocketMQ实例4.8.0版本） 方向 协议 端口 源地址 说明 入方向 TCP 8200 RocketMQ客户端所在的IP地址或地址段。 使用TCP协议，通过公网访问元数据节点的端口。 入方向 TCP 10101-10199 使用TCP协议，通过公网访问业务节点的端口。 表2 安全组规则（RocketMQ实例5.x版本） 方向 协议 端口 源地址 说明 入方向 TCP 8200 RocketMQ客户端所在的IP地址或地址段。 使用TCP协议，通过公网访问实例的端口。 入方向 TCP 8081 使用gRPC协议，通过公网访问实例的端口。 入方向 TCP 10101 使用TCP协议，通过公网访问业务节点的端口。 客户端所在服务器可以访问公网，用于下载RocketMQ软件包。

crc32_encoding 计算数据的循环冗余校验码。 函数格式 crc32_encoding(data, input_format="raw", input_encoding="utf-8") 参数说明 参数名称 参数类型 是否必填 说明 data String 是 计算校验码的值。 input_format String 否 输入值的字符格式。默认为raw，可选值包括： raw：Bytes格式 hex：十六进制格式 base64：Base64编码格式 input_encoding String 否 仅当input_format取值为raw时需要配置。配置字符编码格式。默认为utf-8。 返回结果 返回传入数据的循环冗余校验码。 函数示例 示例1：计算字段test的循环冗余校验码。 测试数据 { "test": "aatest" } 加工规则 e_set("str_crc32", crc32_encoding(v("test"))) 加工结果 str_crc32:1434103726 test:aatest 示例2：将字段test1和test2连接后进行MD5编码，最后计算其循环冗余校验码。 测试数据 { "test1": "test1", "test2": "test2" } 加工规则 e_set( "str_crc32", crc32_encoding( md5_encoding(str_join("+", v("test1"), v("test2")), format="binary") ), ) 加工结果 str_crc32:369733261 test1:test1 test2:test2 示例3：计算字段test的循环冗余校验码，其值为Base64编码格式。 测试数据 { "test": "Taloz+e+PzP3NltrEXiCig==" } 加工规则 e_set("str_crc32", crc32_encoding(v("test"), input_format="base64")) 加工结果 str_crc32:1093789404 test:Taloz+e+PzP3NltrEXiCig==

zlib_decompress 函数格式 zlib_decompress(data, from_format="base64", encoding="utf-8") 参数说明 参数名称 参数类型 是否必填 说明 data String 是 输入需要解压的数据。 from_format String 否 解压数据的编码格式，目前只支持Base64编码。 encoding String 否 编码格式，默认utf-8。 返回结果 返回解压后的对象。 函数示例 测试数据 { "content": "eJwVytEJgDAMBcBV3gTu0TECjURMeZAGQ7ZXv+8GxEt6w8kbJ6MkJpJYDaNf87cyTdPAQIY86mBgpzQkv7T0eAGNshln" } 加工规则 e_set("zlib_decompress", zlib_decompress(v("content"), from_format="base64")) 加工结果 content: eJwVytEJgDAMBcBV3gTu0TECjURMeZAGQ7ZXv+8GxEt6w8kbJ6MkJpJYDaNf87cyTdPAQIY86mBgpzQkv7T0eAGNshln zlib_decompress: I always look forward to my holidays whether I travel or stay at home.