华为云用户手册

前提条件 已获取“主机运维”模块管理权限。 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。 已在本地安装客户端工具。 资源主机网络连接正常，且资源账户登录账号和密码无误。 已在端口配置中打开FTP开关，开放2222（SFTP协议端口）、2121（FTP协议端口），具体操作详见配置系统运维端口。 FTP/SFTP协议的运维方式选择客户端时，已在本地完成配置SSO单点客户端。

开放端口要求 为避免网络故障或网络配置问题影响登录系统，请管理员优先检查网络ACL配置是否允许访问 堡垒机 ，并参考表1配置实例安全组。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口，升级完成后若不需要使用请第一时间关闭。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口，升级完成后保持31679开放即可，其余端口若不需要使用请第一时间关闭。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机（HTTP、HTTPS） 入方向 TCP 80、443、8080 通过MSTSC客户端登录堡垒机 入方向 TCP 53389 通过SSH客户端登录堡垒机 入方向 TCP 2222 通过FTP客户端登录堡垒机 入方向 TCP 2121、20000-21000 通过SFTP客户端登录堡垒机 入方向 TCP 2222 通过堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过堡垒机访问Oracle数据库 入方向 TCP 1521 通过堡垒机访问Oracle数据库 出方向 TCP 1521 通过堡垒机访问MySQL数据库 入方向 TCP 33306 通过堡垒机访问MySQL数据库 出方向 TCP 3306 通过堡垒机访问SQL Server数据库 入方向 TCP 1433 通过堡垒机访问SQL Server数据库 出方向 TCP 1433 通过堡垒机访问DB数据库 入方向 TCP 50000 通过堡垒机访问DB数据库 出方向 TCP 50000 通过堡垒机访问 GaussDB数据库 入方向 TCP 18000 通过堡垒机访问 GaussDB 数据库 出方向 TCP 8000，18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS 域名 解析 出方向 UDP 53 通过堡垒机访问PGSQL数据库 入方向 TCP 15432 通过堡垒机访问PGSQL数据库 出方向 TCP 5432 通过堡垒机访问DM数据库 入方向 TCP 15236 通过堡垒机访问DM数据库 出方向 TCP 5236

认证类型 AD域、RADIUS、LDAP、Azure AD、SAML远程认证使用远程服务上的已有用户密码。 表3 认证类型说明 认证类型 认证说明 本地认证 用户登录密码为系统配置静态密码。 可选择多因子认证方式登录。 可重置用户密码、个人找回密码、个人修改密码。 AD域认证 用户登录密码为AD域用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 RADIUS认证 用户登录密码为RADIUS服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 LDAP认证 用户登录密码为LDAP服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 Azure AD认证 用户登录密码为Microsoft用户账号密码。 需跳转到Microsoft登录页面，输入用户账户信息登录。 不能选择多因子认证方式登录。 不能通过系统修改用户密码。 SAML认证 用户登录密码为SAML服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。

登录方式 用户账号配置多因子认证后，静态密码登录方式失效。 表2 登录方式说明 登录方式 登录说明 静态密码 输入用户登录名和密码。 手机短信 输入用户登录名和密码，单击“获取验证码”，并输入短信验证码。 手机令牌 输入用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 USBKey 接入并选择已签发的USBKey，并输入对应的PIN码。 动态令牌 输入用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）。 邮箱认证 输入用户登录名和密码，并输入邮箱验证码（单次邮箱验证码有效期为120秒）。

资源标签设置 通过给主机资源自定义标签可实现资源的分类，达到快速运维的目的。 进入主机资源列表后选择目标资源，在相应“标签”列单击，弹出标签编辑窗口。 如需批量添加，勾选多个目标资源后，单击列表左下角“添加标签”。 输入标签类型回车选定标签，或选择已有标签类型。 单击“确认”，添加完成，返回主机运维列表，即可查看资源已添加的标签。 如需删除资源标签，选择一个或多个目标资源，单击列表左下角“删除标签”，弹出删除标签确认窗口，确认信息无误后，单击“确认”，完成标签的删除。

Web运维配置 在主机资源运维页面可设置RDP、SSH、FTP/SFTP协议的运维方式。 进入主机运维页面后，单击右上角的“Web运维配置”。 在弹窗中选择需要设置的资源协议后再选择运维方式。 当前支持的协议有RDP、SSH、FTP/SFTP。 RDP、SSH：支持H5页面和客户端运维方式。 FTP/SFTP：支持主从账号和客户端运维方式。 运维方式包含H5页面、客户端、主从账号，不同协议支持的运维方式也不一样。 H5页面运维：通过浏览器页面进行资源运维。 客户端运维：通过堡垒机自动启用安装的客户端进行资源的运维。 主从账号运维：通过堡垒机获取目标资源的账号密码，手动启动客户端进行登录后对资源实现运维。 设置RDP协议时，支持“连接模式”的设置，详情可参见开启RDP强制登录。 运维方式选择后，确认无误单击“确定”，完成设置。

操作步骤 使用管理员账号登录服务器。 在服务器中，下载RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包。 下载RemoteaProxy2.0.0版本（适配3.3.26-3.3.61.0的堡垒机版本） 服务器需要有公网访问权限（绑定弹性EIP）。 在应用服务器中，将RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包进行解压。 双击“RemoteaProxyInstaller_xxx.msi”（xxx为版本号）启动安装。 安装时请选择默认的安装路径。 安装完成后，单击“关闭”。

操作步骤 使用管理员账号登录服务器。 在服务器中，下载RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包。 下载RemoteaProxy2.0.0版本（适配3.3.26-3.3.61.0的堡垒机版本） 服务器需要有公网访问权限（绑定弹性EIP）。 在应用服务器中，将RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包进行解压。 双击“RemoteaProxyInstaller_xxx.msi”（xxx为版本号）启动安装。 安装时请选择默认的安装路径。 安装完成后，单击“关闭”。

操作步骤 使用管理员账号登录服务器。 在服务器中，下载RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包。 下载RemoteaProxy2.0.0版本（适配3.3.26-3.3.61.0的堡垒机版本） 服务器需要有公网访问权限（绑定弹性EIP）。 在应用服务器中，将RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包进行解压。 双击“RemoteaProxyInstaller_xxx.msi”（xxx为版本号）启动安装。 安装时请选择默认的安装路径。 安装完成后，单击“关闭”。

约束限制 仅SSH、TELNET和Rlogin协议主机支持通过SSH客户端登录，其中Rlogin协议主机仅支持SSH客户端登录。 支持SSH协议客户端工具：SecureCRT 8.0及以上版本、Xshell 5及以上版本、PuTTY、MAC Terminal 2.0及以上版本。 不同算法类型不同场景支持的服务器情况如下： 表1 SSH运维支持服务器情况 算法类型 H5页面运维 SSH客户端运维 Key exchange diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 curve25519-sha256 curve25519-sha256@libssh.org diffie-hellman-group14-sha256 diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 Encryption aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour cast128-cbc 3des-cbc rijndael-cbc@lysator.liu.se aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 HMAC hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 hmac-ripemd160 hmac-ripemd160@openssh.com hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 Host Key ssh-rsa ssh-dss ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521 ssh-ed25519 ssh-rsa ssh-dss rsa-sha2-256 rsa-sha2-512 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521

成本分配 成本管理的基础是树立成本责任制，让各部门、各业务团队、各责任人参与进来，为各自消耗云服务产生的成本负责。企业可以通过成本分配的方式，将云上成本分组，归集到特定的团队或项目业务中，让各责任组织及时了解各自的成本情况。 华为云成本中心支持通过多种不同的方式对成本进行归集和重新分配，您可以根据需要选择合适的分配工具。 通过关联账号进行成本分配 企业主客户可以使用关联账号对子客户的成本进行归集，从而对子账号进行财务管理。详细介绍请参见通过关联账号维度查看成本分配。 通过企业项目进行成本分配 在进行成本分配之前，建议开通企业项目并做好企业项目的规划，可以根据企业的组织架构或者业务项目来划分。在购买云资源时选择指定企业项目，新购云资源将按此企业项目进行成本分配。详细介绍请参见通过企业项目维度查看成本分配。 通过成本标签进行成本分配 标签是华为云为了标识云资源，按各种维度（例如用途、所有者或环境）对云资源进行分类的标记。推荐企业使用预定义标签进行成本归集，具体流程如下： 详细介绍请参见通过成本标签维度查看成本分配。 使用成本单元进行成本分配 企业可以使用成本中心的“成本单元”来拆分公共成本。公共成本是指多个部门共享的计算、网络、存储或资源包产生的云成本，或无法直接通过企业项目、成本标签分配的云成本。这些成本不能直接归属于单一所有者，因此不能直接归属到某一类别。使用拆分规则，可以在各团队或业务部门之间公平地分配这些成本。详细介绍请参见使用成本单元查看成本分配。

成本优化 成本控制 企业可以在成本中心的“预算管理”页面创建精细粒度的预算来管理成本和使用量，在实际或预测超过预算阈值时，自动发送通知给指定消息接收人。企业还可以创建预算报告，定期将指定预算进展通知给指定消息接收人。详细介绍请参见使用预测和预算来跟踪成本和使用量。 资源优化 成本中心可以通过监控 区块链服务BCS 实例的使用情况，评估当前配置是否过高。您还可以根据成本分析阶段的分析结果识别成本偏高的资源，通过 云监控服务 监控资源的使用情况，确定成本偏高的原因，然后采取针对性的优化措施。 计费模式优化 不同类型的业务对资源使用周期有不同的要求，为每一类业务确定合适的计费模式，灵活组合以达到最优效果。 针对长期稳定的成熟业务，使用包年/包月计费模式。 针对不能中断的短期、突增或不可预测的业务，使用按需计费模式。

计费说明 区块链 服务的计费项由配置费用、底层资源费用组成。具体内容请查看表1。 表1 计费组成表 费用类别 计费项 计费说明 付费方式 配置费用 版本类型 版本类型有专业版、企业版和铂金版。不同版本类型，规格大小不同，详细说明如下： 专业版（满足小规模商用） 最大成员组织数：2 最大成员节点数：2 最大共识节点数：3 最大通道数：2 企业版（满足中等规模商用） 最大成员组织数：5 最大成员节点数：2 最大共识节点数：4 最大通道数：4 铂金版（满足大规模商用） 最大成员组织数：10 最大成员节点数：5 最大共识节点数：10 最大通道数：10 专业版 按需计费：¥8.00/小时 包年包月：¥5000.00/月 企业版 按需计费：¥17.00/小时 包年包月：¥10000.00/月 铂金版 包年包月：¥60000.00/月 节点数量（Peer） 节点组织的数量。 专业版：最大成员组织数2个，每个组织节点数量最大为2Peers，则节点数量最多为4Peers。 企业版：最大成员组织数5个，每个组织节点数量最大为2Peers，则节点数量最多为10Peers。 铂金版：最大成员组织数10个，每个组织节点数量最大为5Peers，则节点数量最多为50Peers。 专业版：¥2000.00/Peer 企业版：¥3000.00/Peer 铂金版：¥10000.00/Peer 节点数量费用=每个节点费用*节点数量 说明： 当前赠送两个节点（Peers），后续增加节点会进行收费。 云主机规格/带宽费用 当集群选择“创建新CCE集群”时，您可以根据自己的实际需求选择云主机规格。不同的云主机规格，收费不同。 开启使用CCE集群节点弹性IP，根据按需计费的方式和弹性IP带宽计算带宽费用。 云主机和带宽费用详情，请参考弹性 云服务器ECS 《计费说明》计费项章节。 底层资源费用 网络存储 根据实际用量进行计费。 计费详情。 云日志 服务 按需计费。 计费详情。 对象存储服务 根据实际用量进行计费。 计费详情。 云备份服务 开启数据备份时，会根据实际用量进行计费。 计费详情。

计费示例 以购买一个企业版Hyperledger Fabric增强版实例为例。 假设您通过包年包月方式，购买了一个企业版的Hyperledger Fabric增强版实例，购买时长为2个月，并在该实例上创建节点组织数为5个，节点数量为10Peers（其中有2Peers为免费赠送），则区块链服务的费用计算如下： （版本类型费用+每个节点费用*数量）*购买时长=（10000.00+3000.00*8）*2=¥68000.00

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

计费周期 包年/包月Hyperledger Fabric增强版实例的计费周期是根据您购买的时长来确定的（以UTC+8时间为准）。一个计费周期的起点是您开通或续费实例的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买了一台时长为一个月的Hyperledger Fabric增强版实例，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/07 23:59:59。

到期后影响 图1 包年/包月实例生命周期描述了包年/包月Hyperledger Fabric增强版实例各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图1 包年/包月实例生命周期 到期预警 包年/包月Hyperledger Fabric增强版实例在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 当您的包年/包月Hyperledger Fabric增强版实例到期未续费，首先会进入宽限期，资源状态变为“已过期”。宽限期内您可以正常访问Hyperledger Fabric增强版实例，但以下操作将受到限制： 变更Hyperledger Fabric增强版实例规格 切换操作系统 扩容云硬盘 修改带宽大小 如果您在宽限期内仍未续费包年/包月Hyperledger Fabric增强版实例，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期到期后，若包年/包月Hyperledger Fabric增强版实例仍未续费，那么数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。

计费模式概述 区块链服务支持按需付费方式和包年/包月方式。 按需计费是先使用后付费的计费模式，即先使用再付费，按照Hyperledger Fabric增强版实例实际使用版本类型、节点数量结算费用。 按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。 包年/包月是一种先付费再使用的计费模式，适用于对资源需求稳定且希望降低成本的用户。 父主题： 计费模式

使用凭据登录数据库 下文为您介绍如何创建凭据，并且通过API调用凭据来登录到您的数据库。 您首先需要确保您的账号拥有KMS Administrator或者KMS CMKFullAccess权限，详情见DEW权限管理。 图1 凭据登录流程 流程说明如下： 您首先需要在凭据管理服务中使用控制台或者API创建一个凭据，用来存储数据库的相关信息（例如：数据库地址、端口、密码）。 当您使用应用程序访问数据库时，凭据管理服务会去查询步骤1所创建的凭据存储的内容。 凭据管理服务检索并解密凭据密文，将凭据中保存的信息通过凭据管理API安全地返回到应用程序中。 应用程序获取到解密后的凭据明文信息，使用这些安全的信息访问数据库。

Dedicated HSM支持的密码机类型 表2 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器密码机 数据加密 /解密 数据签名/验签 数据摘要 支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融密码机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名验证服务器 签名/验签 编码/解码数字信封 编码/解码带签名的数字信封 证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

修订记录 发布日期 更新说明 2025-03-31 第二十七次正式发布。 套餐与计费新增Flexus小时包的计费说明。 2024-10-23 第二十六次正式发布。 套餐与计费新增Flexus规格套餐。 2024-10-16 第二十五次正式发布。 新增： 安全章节。 2024-07-15 第二十四次正式发布。 新增： 支持列表新增UOS操作系统和麒麟操作系统。 2024-03-19 第二十三次正式发布。 修改： 约束与限制中 云桌面 支持的网段。 2024-01-03 第二十二次正式发布。 新增： 权限和授权项新增应用中心细粒度权限内容。 2023-08-25 第二十一次正式发布。 新增： 套餐与计费章节新增计费说明。 2023-07-03 第二十次正式发布。 新增： 权限管理 新增支持 IAM 细粒度鉴权内容。 2022-11-30 第十九次正式发布。 修改： 相关概念中增加“应急模式”介绍。 2022-12-02 第十八次正式发布。 修改： 约束与限制中增加VPC网络选择的限制描述。 2022-11-22 第十七次正式发布。 修改： 支持列表中增加瘦终端型号。 2022-11-03 第十六次正式发布。 修改： 云桌面与其他服务的关系中增加云备份描述。 2022-10-10 第十五次正式发布。 修改： 修改如下章节中mac客户端操作系统版本。 支持列表 约束与限制 2022-09-23 第十四次正式发布。 修改： 修改支持列表中UOS操作系统版本。 2022-09-06 第十三次正式发布。 修改： 约束与限制优化访问企业内网的端口描述。 2022-09-05 第十二次正式发布。 修改： 约束与限制优化重建系统盘的限制描述。 2022-09-02 第十一次正式发布。 修改： 约束与限制增加变更规格、重建系统盘和访问企业内网的端口放通描述。 套餐与计费修改变更配置描述。 2022-08-30 第十次正式发布。 修改： 相关概念新增多因素认证描述。 2022-08-08 第九次正式发布。 修改： 相关概念新增虚拟MFA描述。 2022-07-01 第八次正式发布。 修改： 云桌面与其他服务的关系新增云硬盘描述，并优化关系图。 2022-05-31 第七次正式发布。 修改： 修改客户端名称，涉及如下页面： 相关概念 支持列表 2022-05-25 第六次正式发布。 修改： 套餐与计费优化变更配置描述。 2022-04-29 第五次正式发布。 修改： 什么是云桌面 ？优化配图。 支持列表修改Android支持版本。 2022-03-30 第四次正式发布。 修改： 支持列表中新增Windows操作系统的桌面描述。 套餐与计费优化套餐说明、增加按需计费描述。 约束与限制删除Windows禁用操作的约束说明。 2022-02-28 第三次正式发布。 修改： 支持列表中新增Mac客户端描述，并修改Android设备适用的操作系统版本。 约束与限制新增Mac客户端描述，并修改Android设备适用的操作系统版本。 2022-01-19 第二次正式发布。 优化套餐与计费中套餐描述。 2022-01-05 第一次正式发布。

不支持的函数 表5 函数的限制 函数 限制条件 ROW_COUNT() DDM 暂不支持ROW_COUNT()函数。 COMPRESS() DDM 暂不支持COMPRESS()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 SHA() DDM 暂不支持SHA()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 SHA1() DDM 暂不支持SHA1()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 MD5() DDM 暂不支持MD5()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 AES_ENCRYPT() DDM 暂不支持AES_ENCRYPT()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 AES_DECRYPT() DDM 暂不支持AES_DECRYPT()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 YEARWEEK() DDM 暂不支持YEARWEEK()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数。 TIME_FORMAT() DDM暂不支持TIME_FORMAT()函数。如果无法确认函数是否能下推到RDS，请不要使用该函数，建议使用DATE_FORMAT()函数。

分库不分表 假设使用HASH的拆分库算法，样例如下： CREATE TABLE dbpartition_tbl ( id bigint NOT NULL AUTO_INCREMENT COMMENT '主键id', name varchar(128), PRIMARY KEY(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci DBPARTITION BY HASH(id);

广播表 如下为创建广播表的样例： CREATE TABLE broadcast_tbl ( id bigint NOT NULL AUTO_INCREMENT COMMENT '主键id', name varchar(128), PRIMARY KEY(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci BROADCAST;

单表 单表也可以指定全局序列，但是会忽略这个功能。自增功能使用底层存储的自增值进行自增。 创建单表样例如下，不做任何拆分： CREATE TABLE single( id bigint NOT NULL AUTO_INCREMENT COMMENT '主键id', name varchar(128), PRIMARY KEY(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

分库分表 假设使用HASH的拆分库算法，拆分表算法为MOD_HASH，样例如下： CREATE TABLE tbpartition_tbl ( id bigint NOT NULL AUTO_INCREMENT COMMENT '主键id', name varchar(128), PRIMARY KEY(id) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci DBPARTITION BY HASH(id) TBPARTITION BY mod_hash(name) tbpartitions 8;

使用堡垒机时需要配置哪些端口？ 为了能正常使用堡垒机，实例和资源安全组端口配置可参考表1。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口，升级完成后若不需要使用请第一时间关闭。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口，升级完成后保持31679开放即可，其余端口若不需要使用请第一时间关闭。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机（HTTP、HTTPS） 入方向 TCP 80、443、8080 通过MSTSC客户端登录堡垒机 入方向 TCP 53389 通过SSH客户端登录堡垒机 入方向 TCP 2222 通过FTP客户端登录堡垒机 入方向 TCP 2121、20000-21000 通过SFTP客户端登录堡垒机 入方向 TCP 2222 通过堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过堡垒机访问Oracle数据库 入方向 TCP 1521 通过堡垒机访问Oracle数据库 出方向 TCP 1521 通过堡垒机访问MySQL数据库 入方向 TCP 33306 通过堡垒机访问MySQL数据库 出方向 TCP 3306 通过堡垒机访问SQL Server数据库 入方向 TCP 1433 通过堡垒机访问SQL Server数据库 出方向 TCP 1433 通过堡垒机访问DB数据库 入方向 TCP 50000 通过堡垒机访问DB数据库 出方向 TCP 50000 通过堡垒机访问GaussDB数据库 入方向 TCP 18000 通过堡垒机访问GaussDB数据库 出方向 TCP 8000，18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53 通过堡垒机访问PGSQL数据库 入方向 TCP 15432 通过堡垒机访问PGSQL数据库 出方向 TCP 5432 通过堡垒机访问DM数据库 入方向 TCP 15236 通过堡垒机访问DM数据库 出方向 TCP 5236 父主题： 产品咨询

配置安全组不合理，运维故障场景 安全组配置不合理，在使用 云堡垒机 时可能会出现以下故障： 实例许可证认证错误 实例创建失败，提示“Lincense激活失败”，可能未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证 登录云堡垒机提示License过期，未配置出方向TCP协议9443端口，导致网络不通获取不到许可证认证。 登录云堡垒机系统错误 云堡垒机系统登录页面载入失败，提示“服务器响应时间过长”，可能未配置入方向TCP协议443端口； 云堡垒机系统页面无法正常显示，可能未配置入方向TCP协议443端口，导致Web浏览器不能正常登录系统。 主机资源验证错误 在资源中添加主机时，提示“主机不可达”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器； 添加主机时验证账户密码，提示“主机不可达”，可能未配置入方向ICMP协议，导致外网ping不通主机资源。 云堡垒机访问资源错误 在登录云资源时，提示“连接错误”，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器； 使用云堡垒机登录云主机黑屏，无法正常显示，可能未配置入方向TCP协议3389端口，导致不能远程连接云服务器； 云堡垒机使用过程中上报514错误，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T_514）”，可能未配置入方向TCP协议2222端口。

背景介绍 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。 云堡垒机实例可与纳管的资源共用一个安全组，各自取用安全组规则，互不影响。 每个用户有一个默认安全组Sys-default，用户可选择Sys-default安全组，根据需要添加相应安全组规则。用户也可选择自定义安全组，新建安全组并添加合理安全组规则。 云堡垒机实例创建成功后，您可以随时修改堡垒机绑定的安全组，一台堡垒机实例最多接入5个安全组，详见更改安全组。 为确保云堡垒机正常连接资源，E CS 主机、RDS数据库等资源需配置合理安全组规则，放开相应网关IP和端口，并允许云堡垒机“私有IP地址”访问，资源安全组配置可参考ECS安全组配置。 云堡垒机正常使用，实例和资源安全组端口配置可参考使用堡垒机时需要配置哪些端口？。

配置云堡垒机安全组 登录云堡垒机实例管理控制台。 单击“购买云堡垒机”，进入“购买云堡垒机实例”页面。 在“安全组”参数选项框右侧，单击“管理安全组”，跳转至安全组配置页面，创建安全组和添加安全组规则。 也可在“安全组”选项框内选择合理配置的安全组。 单击“创建安全组”，创建一个新的安全组，详细指导请参见创建安全组。 单击“操作”列中的“配置规则”，为安全组添加安全组规则，详细指导请参见添加安全组规则。 选择“入方向”页签，单击“添加规则”。同理，可以添加出方向规则。 根据云堡垒机使用组网场景配置安全规则，参考表1配置。 完成安全组规则配置，返回“购买云堡垒机服务”页面，选择指定安全组，合理配置其他参数后创建实例。