华为云用户手册

监控与审计 监控集群 GaussDB (DWS)与 云监控 (Cloud Eye)集成，使您能够对集群中的计算节点和数据库进行实时监控。详情请参见监控集群。 数据库监控 数据库监控（DMS）是为GaussDB(DWS)数据库提供多维度监控服务的系统，为客户数据库的快速、稳定运行提供保驾护航的能力。该功能对业务数据库使用的磁盘、网络、OS指标数据以及集群运行关键性能指标数据进行收集、监控、分析。通过综合收集到的多种类型指标，对数据库主机、实例、业务SQL进行诊断，及时暴露数据库中关键故障及性能问题，指导客户进行优化解决。详情请参见数据库监控（DMS）。 告警管理 告警管理包含查看告警规则、告警规则配置与告警信息订阅功能。其中，告警规则可以提供过去一周的告警信息统计与告警信息明细，方便用户自行查看租户下的告警。该功能以默认告警规则阈值的方式提供常用的GaussDB(DWS)告警监控，还允许用户根据自己的业务特点，自定义告警阈值。详情请参见告警管理。 事件通知 GaussDB(DWS)与 消息通知 服务对接，使您能够订阅事件并查看触发的各类事件。详情请参见事件通知。 审计日志 GaussDB(DWS)与 云审计 服务集成，使您能够对所有的管理控制台操作及API调用进行审计。详情请参见查看管理控制台关键操作审计日志。 GaussDB(DWS)数据库还会记录所有的SQL操作，包括连接尝试、查询和数据库的变动。详情请参见设置数据库审计日志。

多样化的数据导入方式 GaussDB(DWS)支持多数据源高效入库，典型的入库方式如下所示。详细指导请参见迁移数据到GaussDB(DWS)章节。 从OBS并行导入数据 使用GDS从远端服务器导入数据 从 MRS 导入数据到集群 从GaussDB(DWS)集群导入数据到新集群 使用gsql元命令\COPY导入数据 使用COPY FROM STDIN导入数据 使用 DLI 将数据导入GaussDB(DWS) 使用 CDM 迁移数据到GaussDB(DWS) 使用DSC工具迁移SQL脚本 使用gs_dump和gs_dumpall命令导出元数据 使用gs_restore导入数据

高可靠性 通过实例冗余、数据冗余，实现整个系统无单点故障。 数据多副本，且所有数据可手动备份至OBS。 自动隔离有故障的节点，利用副本重新恢复数据，并在必要时替换节点。 自动快照结合OBS存储，实现Region内容灾，若用户生产集群所处的地理位置发生自然灾害，或者集群内部出现了故障从而导致生产集群无法正常对外提供读写服务，那么灾备集群可以切换为生产集群，从而保障业务连续性。 当集群状态为“非均衡”时会出现某些节点主实例增多，从而负载压力较大，用户可在业务低峰期进行集群主备恢复操作。 用户使用客户端连接DWS集群时，如果用户仅连接一个CN节点地址，通过该CN节点内网IP或弹性公网IP连接时，只能连接到固定的CN节点上，存在CN单点问题。因此GaussDB(DWS)引入了弹性负载均衡服务，解决集群访问的单点问题。弹性负载均衡（ELB）是将访问流量根据转发策略分发到后端多台弹性云服务器的流量分发控制服务，可以通过流量分发扩展应用系统对外的服务能力，提高应用程序的容错能力。 当用户集群创建后，实际需要的CN数量会随着业务需求而发生变化，因此GaussDB(DWS)提供了增删CN节点功能，实现用户可以根据实际需求动态调整集群CN数量的要求。

支持多种数据库工具 GaussDB(DWS)提供了以下几款自研工具，用户可以在GaussDB(DWS)管理控制台下载相关的工具包。有关工具的详细指导请参见《 数据仓库 服务工具指南》。 gsql工具 它是一款运行在Linux操作系统的命令行SQL客户端工具，用于连接GaussDB(DWS)集群中的数据库，并对数据库进行操作和维护。 Data Studio工具 它是一款运行在Windows操作系统上的图形界面SQL客户端工具，用于连接GaussDB(DWS)集群中的数据库、管理数据库和数据库对象，编辑、运行、调试SQL脚本，查看执行计划等。 GDS工具 它是GaussDB(DWS)提供的数据服务工具，通过和外表机制的配合，实现数据的高速导入导出。 GDS工具包需要安装在数据源文件所在的服务器上，数据源文件所在的服务器称为数据服务器，也称为GDS服务器。 DSC SQL语法迁移工具 DSC（Database Schema Convertor）是一款运行在Linux或Windows操作系统上的命令行工具，致力于向客户提供简单、快速、可靠的应用程序SQL脚本迁移服务，通过内置的语法迁移逻辑解析源数据库应用程序SQL脚本，并迁移为适用于GaussDB(DWS)数据库的应用程序SQL脚本。 DSC支持迁移Teradata、Oracle、Netezza、MySQL和DB2数据库的SQL脚本。 gs_dump和gs_dumpall gs_dump支持导出单个数据库或其内的对象，而gs_dumpall支持导出集群中所有数据库或各库的公共全局对象。 通过导入工具将导出的元数据信息导入至需要的数据库，可以完成数据库信息的迁移。 gs_restore 在数据库迁移场景下，支持使用gs_restore工具将事先使用gs_dump工具导出的文件格式，重新导入GaussDB(DWS)集群，实现表定义、数据库对象定义等元数据的导入。

企业级数据仓库和标准SQL的支持 当创建好GaussDB(DWS)集群后，用户就可以使用SQL客户端工具连接集群，然后执行创建数据库、管理数据库、导入/导出数据以及查询数据的操作。 GaussDB(DWS)为用户提供了PB（petabyte）级高性能数据库，主要体现在： MPP大规模并行处理框架，支持行列混存、向量化执行，实现万亿数据关联分析秒级响应。 内存计算，基于Bloom Filter的Hash Join优化，性能提升2~10倍。 支持全对称分布式的Active-Active多节点集群架构，系统无单点故障。 基于电信技术优化的大规模集群通信，提升计算节点间的传输效率。 基于代价的智能优化器，根据集群规模、数据量、生成最优计划，提高执行效率。 GaussDB(DWS)具有完备的SQL能力： 兼容ANSI/ISO标准的SQL92、SQL99和SQL 2003语法标准，支持存储过程，支持GBK和UTF-8字符集，支持SQL标准函数与OLAP分析函数。 兼容PostgreSQL/Oracle/Teradata/MySQL数据库生态，与主流第三方数据库ETL，BI（business intelligence）工具厂商对接认证。 支持位图roaring bitmap数据类型及对应常见函数，在互联网、零售、教育、游戏等行业，提取用户特征、用户画像等场景有广泛应用。 在现有范围分区（Range Partitioning）基础上，新增支持list分区方式：PARTITION BY LIST (partition_key,[...])，满足用户使用习惯。 HDFS/OBS外表READ ONLY外表支持JSON文件格式。 支持系统表赋权给普通用户，VACUUM能够单独赋权，以及支持可扩展的预定义权限角色功能。 新增表级权限ALTER/DROP/VACUUM。 新增Schema级权限ALTER/DROP。 新增预置角色role_signal_backend、role_read_all_stats。 详细的SQL语法和数据库操作指导，请参见《数据仓库服务数据库开发指南》。

集群管理 一个GaussDB(DWS)集群由多个在相同子网中的相同规格的节点组成，共同提供服务。GaussDB(DWS)为用户提供了简单易用的Web管理控制台，让用户可以快速申请集群，轻松执行数据仓库管理任务，专注于数据和业务。 集群管理的主要功能如下： 创建集群 如果用户需要在云上环境中使用数据仓库服务，首先应创建一个GaussDB(DWS)集群。用户可根据业务需求选择相应的产品规格和节点规格快速创建集群。您也可以先购买包年/包月，然后再创建集群。 管理快照 快照是GaussDB(DWS)集群在某一时间点的完整备份，记录了这一时刻指定集群的所有配置数据和业务数据，快照可用于还原某一时刻的集群。用户可以为集群手动创建快照，也可以开启定时创建自动快照。自动快照有保留天数限制，用户可以对自动快照进行复制，生成手动快照以便长期保留。 当您从快照恢复集群时，系统支持将快照数据恢复到新集群或者原集群中。 对于不再需要的快照，可以选择在控制台删除快照（自动快照不支持手动删除），以释放存储空间。 管理节点 用户可查看所创集群的节点列表，在节点管理页面可以清晰的查询各节点的状态、节点规格、是否已使用等信息。若用户需要进行大规模扩容操作时，可通过节点管理功能提前分批次添加准备好用于扩容的节点。例如需要新扩容180个节点，可分3批各添加60个，如果其中有一部分添加失败，可再次添加失败数量的节点，等180个节点添加成功后，再使用这些添加好的节点进行扩容，添加节点过程中不影响集群业务。 扩容集群 随着业务的增长，现有集群规模可能无法满足业务需要，此时，用户可以扩容集群，为集群增加计算节点。扩容时业务不中断。进行扩容操作时，用户可根据需求选择是否在线扩容和自动重分布。 管理重分布 默认情况下，在扩容之后将自动调起重分布任务，为了增强扩容重分布整个流程的可靠性，可以选择在扩容时关闭自动重分布功能，在扩容成功之后再手动使用重分布功能执行重分布任务，数据重分布后将大大提升业务响应速率。当前重分布支持离线重分布、在线重分布两种模式，默认情况下，提交重分布任务时将选择离线重分布模式。 磁盘扩容 随着客户业务的发展，磁盘空间往往最先出现资源瓶颈，在其他资源尚且充足的情况下，执行传统扩容操作不仅耗时久，还伴随着资源浪费问题。通过磁盘扩容可快速缓解存储资源瓶颈现象，操作过程中无需暂停业务，并且不会造成CPU、内存等资源浪费。用户可在没有其他业务情况下选择磁盘扩容操作，扩容成功后如果磁盘空间不够可以继续磁盘扩容，若扩容失败用户可尝试重新进行磁盘扩容操作。 资源管理 当您有多个数据库用户同时查询作业时，一些复杂查询可能会长时间占用集群资源，从而影响其他查询的性能。例如一组数据库用户不断提交复杂、耗时的查询，而另一组用户经常提交短查询。在这种情况下，短时查询可能不得不在队列中等待耗时查询完成。为了提高效率，GaussDB(DWS)提供了资源管理功能，GaussDB(DWS)资源管理以资源池为资源承载，对于不同的业务类型可以创建不同的资源池，为这些资源池配置不同的资源占比，并将数据库用户添加至对应的资源池中，以此来限制这些数据库用户的资源使用。 逻辑集群 逻辑集群是基于Node Group机制来划分物理节点的一种集群模式，从节点层次将大集群进行划分，和数据库形成交叉。一个数据库中的表可以按逻辑集群来分配到不同的物理节点，而一个逻辑集群也可以包含多个数据库的表。 重启集群 重启集群将有可能会导致正在运行中的业务数据丢失，如果需要执行重启操作，请确定不存在正在运行的业务，所有数据都已经保存。 删除集群 当用户不再需要集群时，可选择删除集群。此操作为高危操作，删除集群可能导致数据丢失，请谨慎操作。 GaussDB(DWS)为用户提供了以下两种方式管理集群： 管理控制台方式 使用管理控制台方式访问GaussDB(DWS)集群。用户在注册后，可直接登录管理控制台，选择“数据仓库服务”。 有关集群管理的更多内容，请参见管理集群。 REST API方式 支持使用GaussDB(DWS)提供的REST API接口以编程的方式管理集群。如果用户需要将GaussDB(DWS)集成到第三方系统，用于二次开发，请使用API方式访问。 详细内容，请参见《数据仓库服务API参考》。

SSL传输加密 GaussDB(DWS)支持SSL标准协议，SSL协议是安全性更高的协议标准，它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证，保证了通信双方更加安全的数据传输。为支持SSL连接方式，GaussDB(DWS)已经从CA认证中心申请到正式的服务器、客户端的证书和密钥（假设服务器的私钥为server.key，证书为server.crt，客户端的私钥为client.key，证书为client.crt，CA根证书名称为cacert.pem）。 SSL连接方式的安全性高于普通模式，集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接，从安全性考虑，建议用户在客户端使用SSL连接方式。并且GaussDB(DWS)服务器端的证书、私钥以及根证书已经默认配置完成。 了解更多请参见使用SSL进行安全的TCP/IP连接。 父主题： 数据保护技术

维护策略声明 GaussDB(DWS)集群资源属于数据仓库服务，GaussDB(DWS)提供基于该资源的全托管云服务能力，用户拥有对集群的完全控制权。默认情况下，云服务仅对客户集群提供相关监控、告警能力，无权限对客户集群进行操作，集群日常运维由用户负责。如果在运行过程中遇到相关技术问题，可以联系技术支持团队获得帮助，该技术支持仅协助分析处理GaussDB(DWS)云服务相关求助，不包含云服务以外的求助，例如用户基于GaussDB(DWS)构建的应用系统等。

技术支持范围 支持的服务 GaussDB(DWS)云服务管理控制台提供的相关功能： 集群的创建、删除、扩容、缩容、规格调整、升级、补丁、备份恢复等操作 集群的监控告警管理 IAM 用户委托管理 对外API接口管理 不支持的服务 不负责基于GaussDB(DWS)集群之上的客户业务应用开发问题答疑和处理，例如业务设计、代码开发、作业性能调优和业务迁移等。如需支持，可咨询购买对应专家服务。 在GaussDB(DWS)集群组件服务无明显异常或明确产品质量缺陷的情况下，不负责作业运行异常问题的排查分析。

数据库访问实现权限分层 GaussDB(DWS)中可以使用Database和Schema实现业务的隔离，区别在于： Database之间无法直接互访，通过连接隔离实现彻底的权限隔离。各个Database之间共享资源极少，可实现连接隔离、权限隔离等。 Schema隔离的方式共用资源较多，可以通过GRANT与REVOKE语法便捷地控制不同用户对各Schema及其下属对象的权限，从而赋给业务更多的灵活性。 从便捷性和资源共享效率上考虑，推荐使用Schema进行业务隔离。建议系统管理员创建Schema和Database，再赋予相关用户对应的权限。 每个数据库包括一个或多个Schema。每个Schema包含表、视图、函数等其他类型的对象。 用户要访问底层的对象，必须先赋予上层对象的权限。 用户要创建或者删除Schema，需要首先被授予Database的CREATE权限。 用户要访问包含在Schema中的table1，需要首先被授予Database的CONNECT权限，再被授予Schema的USAGE权限，最后授予table1的SELECT权限。 了解更多请参见GaussDB(DWS)如何实现业务隔离。 图1 权限分层 父主题： 身份认证与访问控制

产品优势 数据仓库服务 GaussDB(DWS)兼容ANSI/ISO标准的SQL92、SQL99和SQL 2003语法，同时兼容PostgreSQL/Oracle/Teradata/MySQL等数据库生态，为各行业PB级海量大数据分析提供有竞争力的解决方案。 GaussDB(DWS)与传统数据仓库相比，主要有以下特点与显著优势，可解决多行业超大规模数据处理与通用平台管理问题： 易使用 一站式可视化便捷管理 GaussDB(DWS)让您能够轻松完成从项目概念到生产部署的整个过程。通过使用GaussDB(DWS)管理控制台，您不需要安装数据仓库软件，也不需要部署数据仓库服务器，就可以在几分钟之内获得高性能、高可靠的企业级数据仓库集群。 您只需单击几下鼠标，就可以轻松完成应用程序与数据仓库的连接、数据备份、数据恢复、数据仓库资源和性能监控等运维管理工作。 与大数据无缝集成 您可以使用标准SQL查询HDFS、 对象存储服务 （Object Storage Service，OBS）上的数据，数据无需搬迁。 提供一键式异构数据库迁移工具 GaussDB(DWS)提供配套的迁移工具，可支持MySQL、Oracle和Teradata的SQL脚本迁移到GaussDB(DWS)。 高性能 云化分布式架构 GaussDB(DWS)采用全并行的MPP架构数据库，业务数据被分散存储在多个节点上，数据分析任务被推送到数据所在位置就近执行，并行地完成大规模的数据处理工作，实现对数据处理的快速响应。 查询高性能，万亿数据秒级响应 GaussDB(DWS)通过算子并行执行、向量化执行引擎实现指令在寄存器并行执行，以及LLVM动态编译减少查询时冗余的条件逻辑判断，助力数据查询性能提升。 GaussDB(DWS)支持行列混合存储，可以同时为用户提供更优的数据压缩比（列存）、更好的索引性能（列存）、更好的点更新和点查询（行存）性能。 数据加载快 GaussDB(DWS)提供了GDS极速并行大规模数据加载工具。 列存下的数据压缩 对于非活跃的早期数据可以通过压缩来减少空间占用，降低采购和运维成本。 GaussDB(DWS)列存储压缩支持Delta Value Encoding、Dictionary、RLE 、LZ4、ZLIB等压缩算法，且能够根据数据特征自适应的选择压缩算法，平均压缩比7:1。压缩数据可直接访问，对业务透明，极大缩短历史数据访问的准备时间。 易扩展 按需扩展：Shared-Nothing开放架构，可随时根据业务情况增加节点，扩展系统的数据存储能力和查询分析性能。 扩容后性能线性提升：容量和性能随集群规模线性提升，线性比0.8。 扩容不中断业务：扩容过程中支持数据增、删、改、查，及DDL操作(Drop/Truncate/Alter table)，表级别扩容技术，扩容期间业务不中断、无感知。 支持在线升级：8.1.1及以上源版本支持大版本在线升级，8.1.3及以上源版本支持补丁在线升级，升级期间用户无需停止业务，业务存在闪级秒断。 高可靠 事务管理 支持事务块，用户可以通过start transaction命令显式启动一个事务块。 支持单语句事务，用户不显式启动事务，则单条语句就是一个事务。 分布式事务管理。支持全局事务信息管理，包括gxid、snapshot、timestamp的管理，分布式事务状态管理，gxid溢出的处理。 分布式事务支持ACID特性（Atomicity，Consistency，Isolation，Durability），数据强一致保证。 支持分布式死锁预防，保证在出现死锁时自动解锁或者预防死锁。 全方位HA设计 GaussDB(DWS)所有的软件进程均有主备保证，集群的协调节点（CN）、数据节点（DN）等逻辑组件全部有主备保证，能够保证在任意单点物理故障的情况下系统依然能够保证数据可靠、一致，同时还能对外提供服务。 安全 GaussDB(DWS)支持数据透明加密，同时可与数据库安全服务（DBSS）对接，基于网络隔离及安全组规则，保护系统和用户隐私及数据安全。GaussDB(DWS)还支持自动数据全量、增量备份，提升数据可靠性。 低成本 按需付费：GaussDB(DWS)按实际使用量和使用时长计费。您需要支付的费率很低，只需为实际消耗的资源付费。 门槛低：您无需前期投入较多固定成本，可以从低规格的数据仓库实例起步，后续随时根据业务情况弹性伸缩所需资源，按需开支。

管理面安全加固 Tomcat加固：在DWS管理面容器镜像中，针对Tomcat基于开源做了功能增强。 JRE加固： 升级HuaweiJre8内核版本为1.8.0_262（这里可能比真实版本低，以实际版本号为准）。 将JRE的PATH设置在原来的PATH后面，规避本地越权问题（PATH=$PATH:$JAVA_HOME/bin）。 系统资源加固：GaussDB(DWS)在底层虚拟机已预置了安全相关参数，确保E CS /BMS底层的OS安全环境。

Region内容灾部署能力 GaussDB(DWS)提供双集群Region内容灾能力，即在另一个可用分区（Region内）部署一个同构的GaussDB(DWS)灾备集群，如果生产集群所处的地理位置发生自然灾害，或者集群内部出现了故障从而导致生产集群无法正常对外提供读写服务，那么灾备集群可以切换为生产集群，从而保障业务连续性。 双集群容灾框架基于Roach备份恢复，在两套集群之间实现周期性的同步机制。该同步机制，自由灵活，两套集群之间，可分可合，无相互影响。可以实现小时级别的RTO和RPO，并且在非恢复期间，备集群是一个热备的状态，可以提供只读服务。 了解更多请参见集群容灾。

行级访问控制 在业务开发过程中，存在多个用户共同访问和维护同一张表的场景，需要针对不同用户设置不同行数据的访问权限。例如只允许用户A查看跟自己相关的行数据，即相对于表的管理员能看到全部表数据而言，用户A执行SELECT * FROM table_name的时候，只能看到部分行数据，不能看到所有，以行级进行数据访问控制，对此GaussDB(DWS)行级访问控制特性实现了这一功能。将数据库访问控制精确到数据表行级别，使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作，读取到的结果是不同的。 用户可以在数据表创建行访问控制(Row Level Security)策略，该策略是指针对特定数据库用户、特定SQL操作生效的表达式。当数据库用户对数据表访问时，若SQL满足数据表特定的Row Level Security策略，在查询优化阶段将满足条件的表达式，按照属性(PERMISSIVE | RESTRICTIVE)类型，通过AND或OR方式拼接，应用到执行计划上。 行级访问控制的目的是控制表中行级数据可见性，通过在数据表上预定义Filter，在查询优化阶段将满足条件的表达式应用到执行计划上，影响最终的执行结果。当前受影响的SQL语句包括SELECT，UPDATE，DELETE。 了解更多请参见行级访问控制。 父主题： 身份认证与访问控制

存算分离规格 存算分离云盘规格，该规格弹性伸缩，无限算力、无限容量，规格详情请参见表5。 存算分离本地盘规格，该规格存储容量固定，不能够进行磁盘扩容和规格变更，只能进行节点扩容，规格详情请参见表6。 创建存算分离集群时规格仅显示后半部分（例如4U16G.4DPU），下列规格列表中前缀（dwsx3/dwsax3/dwsk3）代表存算分离对应的CPU架构。 表5 存算分离云盘规格 规格名称 CPU架构 vCPU 内存（GB） 单节点存储容量 步长（GB） DN数量 使用场景 dwsx3.4U16G.4DPU X86 4 16 20GB~2000GB 10 1 DWS的入门规格，一般用于测试、学习环境或者小型分析系统。 dwsk3.4U16G.4DPU ARM 4 16 20GB~2000GB 10 1 dwsax3.4U16G.4DPU X86 4 16 20GB~2000GB 10 1 dwsax3.4U32G.4DPU X86 4 32 20GB~2000GB 10 1 dwsx3.8U32G.8DPU X86 8 32 100GB~4000GB 100 1 适用于中小企规模企业内部数据仓库构建和报表分析。 dwsk3.8U32G.8DPU ARM 8 32 100GB~4000GB 100 1 dwsax3.8U32G.8DPU X86 8 32 100GB~4000GB 100 1 dwsax3.8U64G.8DPU X86 8 64 100GB~4000GB 100 1 dwsx3.16U64G.16DPU X86 16 64 100GB~8000GB 100 1 推荐在生产环境下使用，适用于绝大部分企业大数据量OLAP分析系统，BI报表，可视化大屏场景。 dwsk3.16U64G.16DPU ARM 16 64 100GB~8000GB 100 1 dwsax3.16U64G.16DPU X86 16 64 100GB~8000GB 100 1 dwsax3.16U128G.16DPU X86 16 128 100GB~8000GB 100 1 dwsx3.32U128G.32DPU X86 32 128 100GB~16000GB 100 2 dwsk3.32U128G.32DPU ARM 32 128 100GB~16000GB 100 2 dwsax3.32U128G.32DPU X86 32 128 100GB~16000GB 100 2 dwsax3.32U256G.32DPU X86 32 256 100GB~16000GB 100 2 dwsk3.48U192G.48DPU ARM 48 192 200GB~24000GB 100 4 有着极致的性能，适用于高吞吐数仓加工，高并发在线查询生产环境。 dwsx3.64U256G.64DPU X86 64 256 200GB~32000GB 100 4 dwsk3.64U256G.64DPU ARM 64 256 100GB~32000GB 100 4 dwsax3.64U256G.64DPU X86 64 256 100GB~32000GB 100 4 dwsax3.64U512G.64DPU X86 64 512 100GB~32000GB 100 4 dwsx3.96U768G.96DPU X86 96 768 100GB~48000GB 100 4 dwsk3.96U384G.96DPU ARM 96 384 100GB~48000GB 100 4 dwsax3.96U384G.96DPU X86 96 384 100GB~48000GB 100 4 dwsax3.96U768G.96DPU X86 96 768 100GB~48000GB 100 4 dwsx3.128U1024G.128DPU X86 128 1024 100GB~64000GB 100 4 dwsk3.128U512G.128DPU ARM 128 512 100GB~64000GB 100 4 dwsax3.128U512G.128DPU X86 128 512 100GB~64000GB 100 4 dwsax3.128U1024G.128DPU X86 128 1024 100GB~64000GB 100 4 表6 存算分离本地盘规格 规格名称 CPU架构 vCPU 内存（GB） 单节点存储容量 DN数量 使用场景 dws3.16U128G.i7.16DPU X86 16 128 2980GB 1 推荐在生产环境下使用，适用于绝大部分企业大数据量OLAP分析系统，BI报表，可视化大屏等场景。 有着极致的性能，适用于高吞吐数仓加工，高并发在线查询生产环境。 dws3.16U64G.ki1.16DPU ARM 16 64 5960GB 1 dws3.32U256G.i7.32DPU X86 32 256 5960GB 2 dws3.32U128G.ki1.32DPU ARM 32 128 11920GB 2 dws3.64U512G.i7.64DPU X86 64 512 11920GB 4 dws3.64U228G.ki1.64DPU ARM 64 228 23840GB 4

存算一体规格 存算一体1:8云盘规格，该规格弹性伸缩，无限算力、无限容量，规格详情请参见表1。 存算一体1:4云盘规格，在大规模数据查询和分析能力基础上，提供高并发、高性能、低时延、低成本的事务处理能力。适用于HTAP混合负载场景，规格详情请参见表2。 存算一体（单机形态）规格，此时存算一体只支持单机部署，单机形态不提供高可用服务，因此存储成本可减半，单机模式服务可用性通过ECS自动重建实现，数据可靠性通过EVS多副本机制保证。单机形态性价比更高，建议用于轻量化业务，创建集群时可选择带有h1的节点规格，规格详情请参见表3。 存算一体本地盘规格，该规格存储容量固定，不能够进行磁盘扩容，只能进行节点扩容，规格详情请参见表4。 步长指在集群变配过程中增大或减小磁盘大小的间隔大小。用户在操作时需要按照对应规格的存储步长来选择。 表1 存算一体1:8云盘规格 规格名称 CPU架构 vCPU 内存（GB） 单节点存储容量 默认存储 步长（GB） 建议存储 DN数量 使用场景 dwsx2.xlarge.m7 X86 4 32 20GB ~ 2000GB 100 10 800 1 DWS的入门规格，一般用于测试、学习环境或者小型分析系统。 dwsk2.xlarge ARM 4 32 20GB ~ 2000GB 100 10 800 1 dwsx2.xlarge.m7n X86 4 32 20GB ~ 2000GB 100 10 800 1 dwsk2.xlarge.km2 ARM 4 32 20GB ~ 2000GB 100 10 800 1 dwsx2.2xlarge.m7 X86 8 64 100GB ~ 4000GB 200 100 1600 1 适用于中小企规模企业内部数据仓库构建和报表分析。 dwsk2.2xlarge ARM 8 64 100GB ~ 4000GB 200 100 1600 1 dwsx2.2xlarge.m7n X86 8 64 100GB ~ 4000GB 200 100 1600 1 dwsk2.2xlarge.km2 ARM 8 64 100GB ~ 4000GB 200 100 1600 1 dwsx2.4xlarge.m7 X86 16 128 100GB ~ 8000GB 400 100 3200 1 dwsk2.4xlarge ARM 16 128 100GB ~ 8000GB 400 100 3200 1 dwsk2.4xlarge.km2 ARM 16 128 100GB ~ 8000GB 400 100 3200 1 dwsx2.8xlarge.m7 X86 32 256 100GB ~ 16000GB 800 100 6400 2 推荐在生产环境下使用，适用于绝大部分企业大数据量OLAP分析系统，BI报表，可视化大屏场景。 dwsk2.8xlarge ARM 32 256 100GB ~ 16000GB 800 100 6400 2 dwsx2.8xlarge.m7n X86 32 256 100GB ~ 16000GB 800 100 6400 2 dwsk2.8xlarge.km2 ARM 32 256 100GB ~ 16000GB 800 100 6400 2 dwsk2.12xlarge ARM 48 384 100GB ~ 24000GB 1200 100 9600 4 有着极致的性能，适用于高吞吐数仓加工，高并发在线查询生产环境。 dwsx2.16xlarge.m7 X86 64 512 100GB ~ 32000GB 1600 100 12800 4 dwsx2.16xlarge.m7n X86 64 512 100GB ~ 32000GB 1600 100 12800 4 dwsx2.16xlarge.m7 X86 64 512 100GB ~ 32000GB 1600 100 12800 4 dwsk2.16xlarge ARM 64 512 100GB ~ 32000GB 1600 100 12800 4 dwsx2.24xlarge.m7 X86 96 768 100GB ~ 48000GB 2400 100 19200 4 dwsk2.24xlarge ARM 96 768 100GB ~ 48000GB 2400 100 19200 4 dwsx2.32xlarge.m7 X86 128 1024 100GB ~ 48000GB 3200 100 25600 4 表2 存算一体1:4云盘规格 规格名称 CPU架构 vCPU 内存（GB） 单节点存储容量 步长（GB） DN数量 使用场景 dwsx2.h.xlarge.4.c7 X86 4 16 20GB ~ 2000GB 20 1 DWS的入门规格，一般用于测试、学习环境或者小型分析系统。 dwsk2.h.xlarge.4.kc1 ARM 4 16 20GB ~ 2000GB 20 1 dwsk2.h.xlarge.kc2 ARM 4 16 20GB ~ 2000GB 20 1 dwsx2.h.xlarge.4.c7n X86 4 16 20GB ~ 2000GB 20 1 dwsx2.h.2xlarge.4.c6 X86 8 32 100GB ~ 4000GB 100 1 适用于中小企规模企业内部数据仓库构建和报表分析。 dwsx2.h.2xlarge.4.c7 X86 8 32 100GB ~ 4000GB 100 1 dwsk2.h.2xlarge.4.kc1 ARM 8 32 100GB ~ 4000GB 100 1 dwsk2.h.2xlarge.kc2 ARM 8 32 100GB ~ 4000GB 100 1 dwsx2.h.2xlarge.4.c7n X86 8 32 100GB ~ 4000GB 100 1 dwsx2.h.4xlarge.4.c7 X86 16 64 100GB ~ 8000GB 100 1 推荐在生产环境下使用，适用于绝大部分企业大数据量OLAP分析系统，BI报表，可视化大屏等场景。 dwsk2.h.4xlarge.4.kc1 ARM 16 64 100GB ~ 8000GB 100 1 dwsk2.h.4xlarge.kc2 ARM 16 64 100GB ~ 8000GB 100 1 dwsx2.h.4xlarge.4.c7 X86 16 64 100GB ~ 8000GB 100 1 dwsx2.h.8xlarge.4.c7 X86 32 128 100GB ~ 16000GB 100 2 dwsk2.h.8xlarge.4.kc1 ARM 32 128 100GB ~ 16000GB 100 2 dwsk2.h.8xlarge.kc2 ARM 32 128 100GB ~ 16000GB 100 2 dwsx2.h.8xlarge.4.c7n X86 32 128 100GB ~ 16000GB 100 2 dwsk2.h.12xlarge.4.kc1 ARM 48 192 100GB ~ 24000GB 100 4 有着极致的性能，适用于高吞吐数仓加工，高并发在线查询生产环境。 dwsk2.h.12xlarge.kc2 ARM 48 192 100GB ~ 24000GB 100 4 dwsx2.h.16xlarge.4.c7 X86 64 256 100GB ~ 32000GB 100 4 dwsx2.h.16xlarge.4.c7n X86 64 256 100GB ~ 32000GB 100 4 dwsk2.h.16xlarge ARM 64 256 100GB ~ 32000GB 100 4 dwsk2.h.24xlarge ARM 96 384 100GB ~ 48000GB 100 4 dwsk2.h.32xlarge ARM 128 512 100GB ~ 64000GB 100 4 表3 存算一体（单机部署）规格 规格名称 CPU架构 vCPU 内存（GB） 单节点存储容量 步长（GB） DN数量 使用场景 dwsx2.h1.xlarge.2.c7 X86 4 8 20GB ~ 2000GB 20 1 DWS的入门规格，一般用于测试、学习环境或者小型分析系统。 dwsk2.h1.xlarge.2.kc1 ARM 4 8 20GB ~ 2000GB 20 1 dwsx2.h1.xlarge.2.c7n X86 4 8 20GB ~ 2000GB 20 1 dwsx2.h1.2xlarge.4.c7 X86 8 32 100GB ~ 4000GB 100 1 适用于中小企规模企业内部数据仓库构建和报表分析。 dwsk2.h1.2xlarge.4.kc1 ARM 8 32 100GB ~ 4000GB 100 1 dwsx2.h1.2xlarge.4.c7n X86 8 32 100GB ~ 4000GB 100 1 dwsx2.h1.4xlarge.4.c7 X86 16 64 100GB ~ 8000GB 100 1 推荐在生产环境下使用，适用于绝大部分企业大数据量OLAP分析系统，BI报表，可视化大屏场景。 dwsk2.h1.4xlarge.4.kc1 ARM 16 64 100GB ~ 8000GB 100 1 dwsx2.h1.4xlarge.4.c7n X86 16 64 100GB ~ 8000GB 100 1 dwsx2.h1.8xlarge.4.c7 X86 32 128 100GB ~ 16000GB 100 2 dwsk2.h1.8xlarge.4.kc1 ARM 32 128 100GB ~ 16000GB 100 2 dwsx2.h1.8xlarge.4.c7n X86 32 128 100GB ~ 16000GB 100 2 dwsk2.h1.12xlarge.4.kc1 ARM 48 192 100GB ~ 24000GB 100 4 有着极致的性能，适用于高吞吐数仓加工，高并发在线查询生产环境。 dwsx2.h1.16xlarge.4.c7 X86 64 256 100GB ~ 32000GB 100 4 dwsx2.h1.16xlarge.4.c7n X86 64 256 100GB~32000GB 100 4 表4 存算一体本地盘规格 规格名称 CPU架构 vCPU 内存(GB) 单节点存储容量 DN数量 使用场景 dws2.olap.4xlarge.i3 X86 16 128 1490GB 1 推荐在生产环境下使用，适用于绝大部分企业大数据量OLAP分析系统，BI报表，可视化大屏等场景。 有着极致的性能，适用于高吞吐数仓加工，高并发在线查询生产环境。 dws2.olap.4xlarge.ki1 ARM 16 64 2980GB 1 dws2.olap.8xlarge.i3 X86 32 256 2980GB 2 dws2.olap.8xlarge.ki1 ARM 32 128 5960GB 2 dws2.olap.16xlarge.i3 X86 64 512 5960GB 4 dws2.olap.16xlarge.ki1 ARM 64 228 11921GB 4

漏洞修复说明 表1 已修补的开源及第三方软件漏洞列表 软件名称 软件版本 CVE编号 CSS 得分 漏洞描述 受影响版本 解决版本 log4j 2.13.2 CVE-2021-44228 9.8 Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled. From log4j 2.15.0, this behavior has been disabled by default. From version 2.16.0 (along with 2.12.2, 2.12.3, and 2.3.1), this functionality has been completely removed. Note that this vulnerability is specific to log4j-core and does not affect log4net, log4cxx, or other Apache Logging Services projects. 8.0.0~8.1.2 8.1.3 父主题： 安全公告

功能介绍 透明 数据加密 （TDE）是指加密GaussDB(DWS)的数据文件。 通常在数据库的安全防护措施里面，可以采取一些消减措施来帮助保护数据安全。例如，设计一个安全系统、加密机密资产以及在数据库服务器的周围构建防火墙。 但是，如果遇到物理介质（如硬盘）被黑客或者内部人员盗取的情况，恶意破坏方只需还原或附加数据库即可浏览用户数据。 有一种解决方案是加密数据库中的敏感数据，并保护加密数据的密钥，该方案可以防止任何没有密钥的人使用这些数据，但这种保护必须事先计划。GaussDB(DWS)提供了完整的解决方案TDE。 TDE可对数据实时I/O加密和解密，只要打开透明加密开关，对正常使用的用户是无感知的。 这种加密使用数据库加密密钥 (DEK)，该密钥不会直接存储在数据库系统中。 DEK是使用存储在KMS服务器的集群密钥（CEK）保护的对称密钥，数据库服务器仅仅保存其密文。在数据库启动阶段，数据库连接KMS服务器，并且解密DEK密文，从而获取到密钥明文，缓存在内存中。一旦机器下电或者集群关闭，密钥将会被清理。因此，需要保护好集群中的密钥文件，因为一旦丢失，则会造成不可恢复的危害。

使用场景 传统数据库集群中，用户数据明文保存在行存/列存文件中，集群的维护人员或者恶意攻击者可在OS层面绕过数据库的权限控制机制或者窃取磁盘直接访问用户数据。GaussDB(DWS)通过对接华为云数据加密服务的密钥管理KMS，可实现数据的透明加密，保障用户数据安全。 GaussDB(DWS)数据库级透明加密，每个GaussDB(DWS)集群有一个CEK，每个数据库单独配置DEK加密保护，DEK使用CEK加密保护，保存在GaussDB(DWS)集群侧。密钥通过KMS服务申请和加解密，加密算法通过配置项统一配置。目前支持AES、SM4算法。 当前支持数据库级别的透明加密，在创建集群的时候进行加密配置。 了解更多请参见数据库加密简介。

权限说明 如果您需要对华为云上购买的CodeArts IDE资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用 统一身份认证 服务（Identity and Access Management，简称IAM）进行精细的权限管理。IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 IAM服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制CodeArts IDE资源的访问。 通过IAM，您可以在华为云账号中给员工创建IAM用户，并使用策略来控制其对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有绑定CodeArts IDE激活码的权限，但是不希望其拥有购买CodeArts IDE激活码的权限，那么您可以使用IAM为开发人员创建用户，通过授权控制仅能绑定CodeArts IDE激活码，但是不允许购买CodeArts IDE激活码的权限策略，控制开发人员对CodeArts IDE资源的使用范围。 CodeArts IDE权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CodeArts IDE部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京4）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CodeArts IDE时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CodeArts IDE服务，管理员能够控制IAM用户仅能对激活码进行指定的管理操作。 如表1所示，包括了CodeArts IDE的所有系统权限。 表1 CodeArts IDE系统权限 策略名称 描述 类别 CodeArts IDE FullAccess CodeArts IDE所有权限。 系统策略 CodeArts IDE ReadOnly CodeArts IDE只读权限。 系统策略 表2列出了CodeArts IDE常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 常用操作与系统权限的关系 操作 CodeArts IDE FullAccess CodeArts IDE ReadOnly 查询激活码列表 √ √ 查询用户试用剩余天数 √ √ 购买激活码 √ × 绑定激活码 √ × 解绑激活码 √ × 激活 √ × 表3 常用操作与对应授权项 操作 授权项 查询激活码列表 CodeArtsIDE:license:list 查询用户试用剩余天数 CodeArtsIDE:system:getTrailDays 购买激活码 CodeArtsIDE:license:purchase 绑定激活码 CodeArtsIDE:license:bind 解绑激活码 CodeArtsIDE:license:unbind 激活 CodeArtsIDE:license:activate

如何使用赋值图元 在逻辑中，拖拽“赋值”图元至画布中。 选中赋值图元，单击，设置基本信息。 表1 基本信息参数说明 参数 说明 标签 设置图元的标签，用于在服务编排设计页面展示。系统会自动填入该值，格式为Assignment序号，序号从“0”开始，表示同类型图元序号。 名称 设置图元的名称，名称为图元在服务编排中的标识，请确保在当前服务编排中唯一。命名要求如下： 长度范围为1~80个字符。 必须以英文字母开头，由英文字母，数字或单下划线组成，且不能以下划线结尾。 描述 请根据实际需求，在输入框中输入图元的描述信息。 取值范围：1~255个字符。 单击，在“赋值”页面进行配置。 图1 配置赋值图元 表2 赋值图元配置参数说明 参数 说明 变量 给变量进行赋值，例如普通变量、结构体变量、系统变量等。 操作符 操作符，目前支持普通赋值（=），变量追加（+=）与变量相减（-=）。 值 可以是普通变量、结构体变量、系统变量，也可以新建变量获取值，或根据类型填写常量。 常量填写提示： 文本类型，需要用双引号括起来，例如"abc"、"He said Hi."。 数字和货币类型，支持带符号、小数点的合法数字表达形式，例如123.5、 -12、12.3。 日期类型格式为YYYY-MM-DD，例如2020-10-01。 日期时间类型格式为YYYY-MM-DD hh:mm:ss，例如2020-10-01 12:00:00。 布尔类型，只能是true或false。 任意类型，支持所有基本类型的格式。

如何使用决策图元 在逻辑中，拖拽“决策”图元至画布中。 选中决策图元，单击，设置基本信息。 表1 基本信息参数说明 参数 说明 标签 设置图元的标签，用于在服务编排设计页面展示。系统会自动填入该值，格式为Decision序号，序号从“0”开始，表示同类型图元序号。 名称 设置图元的名称，名称为图元在服务编排中的标识，请确保在当前服务编排中唯一。命名要求如下： 长度范围为1~80个字符。 必须以英文字母开头，由英文字母，数字或单下划线组成，且不能以下划线结尾。 描述 根据实际需求，输入图元的描述信息。 取值范围：1~255个字符。 单击，在“决策”页面进行配置。 图1 配置决策图元 表2 决策图元配置参数说明 参数 说明 可编辑的结果 所有的判断条件。 可通过单击“新增”，新增判断条件分支，界面右侧区域配置分支条件。 默认：默认输出，当其他所有条件均不满足情况下，进入该分支。 可视 当选择“可视”时，可配置分支的判断条件。单击“新增”，可新增判断条件，条件显示为“资源”、“比较符”、“值”。 资源：从全局上下文拖拽变量或者直接输入“{!变量名}”。 比较符：从下拉框中选择。 值：从全局上下文拖拽变量或者直接输入“{!变量名}”，也可以是常量。 公式 可采用公式设置该分支条件。 公式中的变量，可从全局上下文拖拽变量或者直接输入变量。 选择连接条件 当选择“可视”并设置多条判断条件时，需要设置选择连接条件“或”或者“且”。 或：表示满足多条判断条件的其中一条，便可进入该分支。 且：表示必须同时满足多条判断条件，才可进入该分支。

购买华为云Astro轻应用专享版实例 提交工单申请开通华为云Astro轻应用专享版实例。 专享版实例需要单独付费购买，购买专享版实例前，需要先提交工单申请开通专享版。 开通后，进入购买华为云Astro轻应用专享版实例页面。 在购买华为云Astro轻应用实例页面，设置实例参数，单击“立即购买”。 图9 购买华为云Astro轻应用专享版实例 表3 购买专享版参数说明 参数 说明 实例版本 待购买实例的规格，请选择“专享版”，实例规格的详细介绍请参见产品规格差异。 用户数 购买的华为云Astro轻应用实例中最多可以添加多少个用户，此处的用户数包括业务用户数。 CPU架构 新建华为云Astro轻应用实例的CPU架构，支持x86和Arm。 可用区 新建华为云Astro轻应用实例，所在的可用区。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。如果需要提高实例的高可靠性，建议将实例创建在不同的可用区。 实例名称 新建实例的名称，同一账号下实例不可重名，创建后不可修改。命名要求如下： 长度为4~64个字符。 必须以英文字母开头，只能英文字母、数字或下划线组成。 描述 在输入框中，输入新建实例的描述信息。 取值范围：1~255个字符。 虚拟私有云 新建实例所在的虚拟私有云，实例创建后不可更改。 安全组 新建实例所在的安全组，实例创建后不可更改。 公网出口 是否开启服务器访问外部公网/局域网内大网网络，网络环境与云平台EIP（弹性公网IP）网络环境一致，当华为云Astro轻应用需要访问外部邮箱服务或其它第三方网站等需求时，建议开启。 购买时长 设置实例的购买时长，最短1个月，最长3年。 确认规格无误后，单击“去支付”。 支付完成后，单击“返回Astro轻应用控制台”，即可进入华为云Astro轻应用服务控制台。 华为云Astro轻应用实例创建成功后，单击专享版实例中的“管理运行环境”，即可进入独立的运行环境。

操作场景 华为云Astro轻应用免费版可使用的资源有限，标准版、专业版和专享版更适用于个人或企业的商用开发。华为云Astro轻应用专业版和专享版实例支持回退到免费版，回退后不支持访问运行环境。 标准版：适用于零代码应用开发场景，开发者不需要有代码开发经验，企业自用首选。如何购买标准版实例以及如何使用华为云Astro轻应用零代码能力开发应用，请参见《用户指南（零代码）》。 专业版：专业版在标准版基础上提供了低代码应用运行环境（多租户共享运行环境），且提供了更多功能和资源，适用于专业开发者。 专享版：专享版提供了物理隔离的运行环境，运行环境实例发放到租户虚拟私有云中。专享版需要提交工单申请开通，否则，您将无法购买专享版。 购买华为云Astro轻应用标准版和专业版实例时，会同步创建一个Astro工作流免费基础版实例。Astro工作流（Astro Flow，简称AstroFlow）可帮助开发者快速构建业务流程及自动化工作流，轻松实现人财物事的调、转、入、离、审、评和批等任务的数字化需求。更多关于Astro工作流的介绍，请参见Astro工作流 AstroFlow。

通过服务编排订阅事件 参考如何开发服务编排中操作，新建一个服务编排。 图1 新建一个服务编排 标签：新建服务编排的标签名，用于在页面展示。 名称：服务编排在系统中的唯一标识，创建后不可修改。 类型：新建服务编排的类型，本示例选择“Event Trigger”。 Autolaunched Flow：自启动服务编排，即在接口调用后，会立即执行服务编排中定义的逻辑。 Event Trigger：事件触发的服务编排，在事件触发时，才会开始执行服务编排中定义的逻辑。 事件：选择如何自定义事件中创建的事件（请确保事件已启用）。 描述：服务编排的描述信息。 在服务编排设计页面左侧，选择“逻辑”，拖拽“决策”图元至画布中。 该图元类似if语句的判断，用于在服务编排流程中创建判断条件，根据判断结果连线其他图元，决定后续执行何种操作。本示例需要设置应聘者被成功录用、应聘者没被录用和其他三个判断分支。 图2 拖拽决策图元至画布中 选中决策图元，单击，设置分支条件参数。 图3 pass分支条件配置 图4 unpass分支条件配置 可编辑的结果，即所有的判断条件。系统已预置默认条件，即当其他所有条件均不满足情况下，进入该分支。 本示例，需要新增如下两个判断条件： Pass：应聘者被录用。应聘通过时，事件中自定义的布尔类型参数“Result”赋值为全局常量“{!$GlobalConstant.True}”，表示结果为真，即应聘通过。 Unpass：应聘者没有被录用。应聘失败时，事件中自定义的布尔类型参数“Result”赋值为全局常量“{!$GlobalConstant.False}”，表示结果为假，即应聘拒绝。 在服务编排设计页面左侧，选择“基本”，拖拽“发送邮件”图元至画布中。 发送邮件是发送邮件的接口。本示例中，需要根据录用结果，发送不同的邮件给人事部。 录用成功，需要邮件通知人事部办理入职。 录用不成功，需要邮件通知人事部告知应聘者应聘失败。 事件超时（默认分支），需要邮件通知招聘经理，看其是否给出招聘结果。 如下图所示，以应聘者被成功录用为例，设置发送邮件参数。 选中发送邮件图元，单击，设置基本信息。 图5 设置邮件发送基本信息 单击，设置邮件发送参数。 图6 配置邮件发送参数 邮件配置：可选择“直接编辑”手动设置邮件信息或“基于模板”选择邮件模板。本示例选择“直接编辑”。 主题：邮件的标题。 内容：邮件内容，需要使用事件变量“EmployResultNotify__e”。 地址：接收人的邮箱地址。 字符串：表示直接输入。 集合：表示可以拖入一个集合变量。 参照5中操作，设置应聘者录用失败和超时邮件发送。 如图7所示，连接所有元素。 图7 连接并设置起始元素 在服务编排设计页面上方，单击，保存服务编排。 保存成功后，单击，启用服务编排。 启用后，当有“EmployResultNotify”事件触发时，即会执行服务编排中定义的逻辑。

如何使用子服务编排图元 在基本中，拖拽“子服务编排”图元到右侧画布中。 选中画布中的子服务编排图元，单击，配置基本信息。 表1 基本信息参数说明 参数 说明 标签 设置图元的标签，用于在服务编排设计页面展示。系统会自动填入该值，格式为Flow序号，序号从“0”开始，表示同类型图元序号。 名称 输入图元的名称，请确保在当前服务编排中唯一。命名要求如下： 长度范围为1~80个字符。 必须以英文字母开头，由英文字母，数字或单下划线组成，且不能以下划线结尾。 描述 请根据实际需求，在输入框中输入图元的描述信息。 取值范围：1~255个字符。 单击，选择服务编排实例、输入参数和输出参数。 图1 配置子服务编排 表2 子服务编排图元配置参数说明 参数 说明 服务编排实例 选择服务编排的名称。 只有在启用状态下的服务编排，才能作为子服务编排被其他服务编排调用。 新起事务执行子服务编排 勾选后，在新起事务中多个子服务编排可以并行执行，提高效率。如果某个子编排执行失败，也不会影响其他子服务编排的执行。 输入参数/目标 子服务编排的输入参数名称。单击“新增行”，在下拉框中选择子服务编排输入参数的名称。 输入参数/源 服务编排中的变量，为目标赋值。可直接填写，也可以拖入全局上下文变量，将服务编排中的变量赋值给子服务编排中的输入参数。 输出参数/源 子服务编排的输出参数名称。单击“新增行”，在下拉框中选择子服务编排输出参数的名称。 输出参数/目标 服务编排中的变量，子服务编排中的输出参数赋值给服务编排中的变量。在全局上下文变量中，将子服务编排的输出参数赋值给服务编排中的变量。 配置完成后，单击保存设置。

如何使用记录查询图元 在基本中，拖拽“记录查询”图元至画布中。 选中记录查询图元，单击，设置基本信息。 表1 基本信息参数说明 参数 说明 标签 设置图元的标签，用于在服务编排设计页面展示。系统会自动填入该值，格式为RecordSelect序号，序号从“0”开始，表示同类型图元序号。 名称 设置图元的名称，名称为图元在服务编排中的标识，请确保在当前服务编排中唯一。命名要求如下： 长度范围为1~80个字符。 必须以英文字母开头，由英文字母，数字或单下划线组成，且不能以下划线结尾。 描述 请根据实际需求，在输入框中输入图元的描述信息。 取值范围：1~255个字符。 使用快速查询模式 是否启用快速查询模式。 如果勾选该参数，表示为快速模式。 仅配置查询条件即可，查询结果自动保存在对象变量中。如果对象变量不是数组，则仅保存第一条符合条件的记录。如果对象变量为数组，则保存所有返回的记录。 不勾选，表示为普通模式。 根据条件查询对象记录，需要指明要查询的对象名、查询条件，需要查询的字段列表，查询结果需要保存到设置的变量中。 默认不勾选。 单击，在“记录查询”页面进行配置。 如果上一步勾选“使用快速查询模式”，则需要指定一个预先定义的对象变量或者对象变量数组，并将该对象变量或对象变量数组拖拽到“变量”输入框中，并设置条件以及选择排序方式，即可实现根据条件和排序方式将查询结果保存在对象变量中。如图1所示，根据条件查询对象数据，并将查询结果保存在对象变量“Account”中。 图1 快速查询模式 表2 快速查询模式参数说明 参数 说明 变量 预先定义的对象变量或者对象变量数组。 查询结果自动保存在对象变量或者对象变量数组中。如果对象变量不是数组，则仅保存第一条符合条件的记录。如果对象变量为数组，则保存所有返回的记录。 从全局上下文拖拽或直接输入对象变量/对象变量数组。 无记录时配置空值 当根据条件查询无记录时，则变量为空值。 默认为勾选。 条件 选中对象后，该条件区域“字段”列会出现该对象的字段。单击“新增行”，可设置查询数据的条件。 在“字段”中选择要进行判断的对象字段，在“比较符”中选择相应的比较符，“值”则可从全局上下文拖拽变量或者直接输入“{!变量名}”。 （排序）排序字段/顺序 使查询结果根据某个字段进行升序或者降序排序。 如果上一步未勾选“使用快速查询模式”，则需要指定对象并在条件中设置指定对象部分字段的值，根据条件查询符合条件的对象记录，并赋值到设置的变量上。如图2所示，查询“Account”对象“name”为“Lily”的记录，并将查询得到的对象id赋值到"var_record_id"变量上。 图2 普通查询模式 表3 普通查询模式参数说明 参数 说明 对象 查询的具体对象名，请直接在下拉框中选择目标对象。 剔重 如果查询记录有重复值，是否需要删掉重复记录只保留一条记录。 默认不勾选，表示不删掉重复记录。 条件 选中对象后，该条件区域“字段”列会出现该对象的字段。单击“新增行”，可设置查询数据的条件。 在“字段”中选择要进行判断的对象字段，在“比较符”中选择相应的比较符，“值”则可从全局上下文拖拽变量或者直接输入“{!变量名}”。 （排序）排序字段/顺序 使查询结果根据某个字段进行升序或者降序排序。 记录行的偏移量 分页，跳过前n条记录，从第n+1条记录开始。 从全局上下文拖拽数值变量或者直接输入“{!数值变量名}”，也可以是常量。 记录行的最大数目 分页，每页最多显示的记录数。 从全局上下文拖拽数值变量或者直接输入“{!数值变量名}”，也可以是常量。 记录的总行数存入变量 查询出来的总记录数存入变量中。 从全局上下文拖拽数值变量或者直接输入“{!数值变量名}”。 （输出）源/目标 输出结果，单击“新增行”，可进行添加。 “源”为需要查询的字段，可从下拉框中选择，“目标”可从全局上下文拖拽变量或者直接输入变量名。 无记录时配置空值 当根据条件查询无记录时，则变量为空值。 默认为勾选。

查询多条数据 通过配置记录查询图元，输出对象的多行数据列表。例如，应用中已创建设备对象“命名空间__Equipment__CST”，且已有如下两条数据记录，通过在服务编排中配置记录查询图元，查询出该对象数据记录中所有的设备名称。实现步骤如下： 图3 已有数据 参考创建服务编排中操作，创建一个服务编排，名称和标签为“queryEquipment”。 定义服务编排的变量。 由于本任务需要查询出对象的多行数据列表，所以需要先创建对象类型的数组型变量，用于进行输出。 在服务编排编辑器页面右侧，选择。 在全局上下文页面，单击“对象变量”后的加号。 图4 创建对象变量 设置对象变量，保持默认“记录”类型，设置参数名称为“Equipment”（也可自定义为其他名称），对象中选择要查询的具体对象“命名空间__Equipment__CST”，勾选“数组”表示该变量为数组型变量即集合变量，单击“保存”。 图5 设置对象变量信息 新增并配置记录查询图元。 从左侧图元列表中，拖拽“基本”下“记录查询”图元至画布中。 该图元用于根据条件查询对象记录。 图6 拖拽记录查询到画布中 选中记录查询图元，单击，配置该图元。 图7 配置记录查询图元 表4 普通类型记录查询参数说明 参数 说明 对象 查询的具体对象名，直接从下拉框中选择。 剔重 如果查询记录有重复值，是否需要删掉重复记录只保留一条记录。 默认不勾选，表示不删掉重复记录。 条件 单击“新增行”，可设置查询数据的条件。 （排序）排序字段/顺序 将查询结果，根据某个字段，进行升序或降序排序。 记录行的偏移量 分页，跳过前n条记录，从第n+1条记录开始。 从全局上下文拖拽数值变量或者直接输入“{!数值变量名}”，也可以是常量。 记录行的最大数目 分页，每页最多显示的记录数。 从全局上下文拖拽数值变量或者直接输入“{!数值变量名}”，也可以是常量。 记录的总行数存入变量 限定查询出来的总记录数。 从全局上下文拖拽数值变量或者直接输入“{!数值变量名}”，也可以是常量。 （输出）字段名称/目标变量 输出结果，单击“新增行”，可进行添加。 “字段名称”配置为需要查询的设备名称字段“name”，可从下拉框中选择。 “目标变量”从全局上下文拖拽对象变量的“name”字段，拖拽后，“目标”取值为“Equipment[0].name”。 无记录时配置空值 当根据条件查询无记录时，则变量为空值。 默认为勾选。 将目标“Equipment[0].name”中的“0”修改为通配符“*”。 如果不改为通配符，只能查询出一条数据。 图8 将“0”修改为通配符 连接开始和记录查询图元。 在画布上，把鼠标放在起点图元上，从“+”拖动鼠标，在起点图元和记录查询图元间增加连线。 图9 连接开始和记录查询图元 单击画布的空白处，单击右侧，设置服务编排的出参，从全局上下文里的对象变量中拖入。 图10 设置服务编排的出参 单击服务编排页面上方的，保存服务编排。 测试服务编排能否正常执行。 单击服务编排编辑器上方的，执行服务编排。 不用输入测试数据，直接单击“运行”。 执行成功，界面上会返回设备对象中的全部设备名称数据，样例如下： 图11 返回样例 启用服务编排。 测试成功后，单击服务编排编辑器上方的，启用服务编排。服务编排启用后，才能被页面或者其他服务调用。

用户（User） 用户是由华为云Astro轻应用系统管理员添加并赋予Developer Profile权限的IAM用户或 WeLink 用户，可以使用华为云Astro轻应用开发应用，即应用的开发者。更多关于用户和业务用户的介绍，可参见图解华为云Astro轻应用中用户那些事。 将IAM用户添加到华为云Astro轻应用并赋予Developer Profile权限时，请确保待添加的IAM用户没有被添加到任何用户组或者添加到拥有Astro Zero Instance ViewAccess权限的用户组中。 图4 为用户添加开发者权限 在华为云Astro轻应用中，用户可以执行如下操作： 使用华为云Astro轻应用创建应用 使用华为云Astro轻应用开发应用后端 使用华为云Astro轻应用开发应用前端 使用华为云Astro轻应用进行应用集成开发 使用华为云Astro轻应用对应用进行个性化设置 发布并部署华为云Astro轻应用开发的应用

了解华为云Astro轻应用中预置权限 在华为云Astro轻应用中，通过权限配置（Profile）来控制用户、业务用户等的操作权限。华为云Astro轻应用当前预置了如下几种Profile标准配置文件： System Administrator Profile：系统管理员，拥有华为云Astro轻应用全部权限。 Developer Profile：开发者权限，一般给用户使用，拥有此权限的用户可以在华为云Astro轻应用进行开发，例如新增一个对象、为对象增加一个字段、新增一个流程等。 Portal User Profile：业务用户的权限，一般给业务用户使用，拥有此权限的业务用户可以登录和使用华为云Astro轻应用中创建的应用。 Anonymous User Profile：游客用户的访问权限，无需登录即可访问华为云Astro轻应用中创建的应用。 Standard User Profile：运行态权限，开通华为云Astro轻应用服务时自带的权限，拥有这个权限可以运行系统中的流程、对系统已有对象进行记录的增删改查操作，但没有开发权限，如新增一个对象或新增一个流程等。 NoCode Developer Profile：零代码应用开发权限，只有运行环境才会预置该权限。 NoCode Manager Profile：零代码应用数据管理权限，只有运行环境才会预置该权限。 一种权限配置可以分配给多个用户，但每个用户只能属于某一个权限配置。权限配置（Profile）中，各权限项详细介绍，请参见表1。 除了默认的权限配置外，用户还可以在默认权限配置的基础上，自定义权限配置，具体操作请参见创建扩展权限集。 图6 用户开发者权限 图7 业务用户权限 图8 游客用户访问权限 表1 权限项说明 权限项 权限项说明 查看系统元数据 用户访问元数据的必要权限，仅用于界面提示作用，无法取消。 开发应用 系统最高的权限，拥有此权限可定制系统所有可定制的地方，默认拥有其他权限。 查看所有用户 查看用户列表和用户详情的权限。 查看角色 查看角色列表和角色详情的权限。 管理角色 增加、删除和修改角色的权限。 查看权限管理 查看权限配置列表和权限配置详情的权限。 查看扩展权限集 查看扩展权限集列表和扩展权限集详情的权限。 查看组 查看组列表和查看组详情的权限。 管理组 增加、删除和修改公共组的权限。 查看队列 查看队列列表和查看队列详情的权限。 管理队列 增加、删除和修改工作队列的权限。 查看业务用户 查看业务用户列表和查看业务用户详情的权限。 管理业务用户 增加、删除和修改业务用户的权限。 查看业务权限凭证 查看业务权限凭证列表和查看业务权限凭证详情的权限。 查看系统设置 查看系统设置的权限。 查看告警 查看告警列表和告警详情的权限。 管理告警 新增、修改告警定义的权限。 查看BPM 查看BPM定义列表和详情的权限，包括BPM关联的决策表、触发器等。 管理BPM实例 修改BPM实例详情的权限。 查看服务编排 查看服务编排定义列表和详情的权限。 查看脚本 查看脚本列表和详情的权限。 查看定时任务 查看定时任务列表和详情的权限。 运行受限导入任务 查看数据导入和数据导入模板区域、上传数据导入模板的权限。 查看报表 查看报表列表和详情的权限。 运行报表 查看报表运行实例的权限。 查看仪表板 查看仪表板列表和详情的权限。 运行仪表板 查看仪表板运行实例的权限。 查看所有看板 查看租户看板和应用看板的权限。 管理看板 操作租户看板和应用看板的权限。 管理视图 增加、删除和修改视图的权限。 更新对象数据 提取对象数据，进行数据同步的权限。 查看所有数据 查看所有数据的权限，勾选此选项后，会忽略单个对象的权限。 运行SQL 执行SQL的权限。 查看加密数据 查看加密数据明文的权限。 查看租户跟踪日志 查看租户跟踪日志的权限。 查看敏感隐私数据 控制是否允许，以数据对象的形式，查看部分敏感数据对象的权限，例如权限配置、连接器定义等。 管理数据 在数据控制台操作任意对象的权限。 管理公告 控制开发者在工作台页面，是否有管理公告（新增、删除和编辑）的权限。