华为云用户手册

语法格式 修改外部服务的参数。 1 2 ALTER SERVER server_name [ VERSION 'new_version' ] [ OPTIONS ( {[ ADD | SET | DROP ] option ['value']} [, ... ] ) ]; 在OPTIONS选项里，ADD、SET和DROP指定要执行的操作，未指定时默认为ADD操作。option和value为对应操作的参数。 对于HDFS Server目前只支持SET操作，ADD/DROP操作现有版本不支持。语法中SET和DROP操作语法依然保留，以便后续扩展使用。 修改外部服务的所有者。 1 2 ALTER SERVER server_name OWNER TO new_owner; 修改外部服务的名字。 1 2 ALTER SERVER server_name RENAME TO new_name; 刷新HDFS配置文件。 1 ALTER SERVER server_name REFRESH OPTIONS;

示例 修改现有名为hdfs_server的address： 1 ALTER SERVER hdfs_server OPTIONS ( SET address '10.10.0.110:25000,10.10.0.120:25000'); 修改现有名为hdfs_server的hdfscfgpath： 1 ALTER SERVER hdfs_server OPTIONS ( SET hdfscfgpath '/opt/bigdata/hadoop');

操作步骤 创建一个名为thesaurus_astro的TZ词典。 以一个简单的天文学词典thesaurus_astro为例，其中定义了两组天文短语及其同义词如下： 1 2 supernovae stars : sn crab nebulae : crab 执行如下语句创建TZ词典： 1 2 3 4 5 6 CREATE TEXT SEARCH DICTIONARY thesaurus_astro ( TEMPLATE = thesaurus, DictFile = thesaurus_astro, Dictionary = pg_catalog.english_stem, FILEPATH = 'obs://bucket_name/path accesskey=ak secretkey=sk region=rg' ); 其中，词典定义文件全名为thesaurus_astro.ths，所在目录为 "obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。子词典pg_catalog.english_stem是预定义的Snowball类型的英语词干词典，用于规范化输入词，子词典自身相关配置（例如停用词等）不在此处显示。关于创建词典的语法和更多参数，请参见CREATE TEXT SEARCH DICTIONARY。 创建词典后，将其绑定到对应文本搜索配置中需要处理的token类型上： 1 2 3 ALTER TEXT SEARCH CONFIGURATION english ALTER MAPPING FOR asciiword, asciihword, hword_asciipart WITH thesaurus_astro, english_stem; 使用TZ词典。 测试TZ词典。 ts_lexize函数对于测试TZ词典作用不大，因为该函数是按照单个token处理输入。可以使用plainto_tsquery、to_tsvector、to_tsquery函数测试TZ词典，这些函数能够将输入分解成多个token（to_tsquery函数需要将输入加上引号）。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 SELECT plainto_tsquery('english','supernova star'); plainto_tsquery ----------------- 'sn' (1 row) SELECT to_tsvector('english','supernova star'); to_tsvector ------------- 'sn':1 (1 row) SELECT to_tsquery('english','''supernova star'''); to_tsquery ------------ 'sn' (1 row) 其中，supernova star匹配了词典thesaurus_astro定义中的supernovae stars，这是因为在thesaurus_astro词典定义中指定了Snowball类型的子词典english_stem，该词典移除了e和s。 如果同时需要索引原始短语，只要将其同时放置在词典定义文件中对应定义的右侧即可，如下： 1 2 3 4 5 6 7 8 9 10 11 supernovae stars : sn supernovae stars ALTER TEXT SEARCH DICTIONARY thesaurus_astro ( DictFile = thesaurus_astro, FILEPATH = 'file:///home/dicts/'); SELECT plainto_tsquery('english','supernova star'); plainto_tsquery ----------------------------- 'sn' & 'supernova' & 'star' (1 row)

注意事项 由于TZ词典需要识别短语，所以在处理过程中必须保存当前状态并与解析器进行交互，以决定是否处理下一个token或是结束当前识别。此外，TZ词典配置时需谨慎，如果设置TZ词典仅处理asciiword类型的token，则类似one 7的分类词典定义将不会生效，因为uint类型的token不会传给TZ词典处理。 在索引期间要用到分类词典，因此分类词典参数中的任何变化都要求重新索引。对于其他大多数类型的词典来说，类似添加或删除停用词这种修改并不需要强制重新索引。

函数管理 在“对象列表”下选择“函数”页签。单击“新建函数”，输入函数名称、返回值类型和描述等信息。 图12 新建函数 确认无误后，单击“确定”。页面跳转到创建函数的SQL预览页面。 在SQL预览页面中单击“选项”，对存储过程的SQL Security、确定性、数据访问等进行配置。 图13 选项配置 确认无误后，单击“保存”。若您需要修改，请在SQL窗口修改SQL语句，若您确认无误，请单击“执行”即可创建成功。 图14 SQL执行

存储过程管理 在“对象列表”下选择“存储过程”页签。单击“新建存储过程”，输入存储过程名称和描述信息。 图5 新建存储过程 确认无误后，单击“确定”。页面跳转到“新建存储过程”的SQL预览页面。 在SQL预览页面中单击“选项”，对存储过程的SQL Security、确定性、数据访问等进行配置。 图6 选项配置 确认无误后，单击“保存”。单击取消，再跳转至预览窗口修改。 确认无误后，单击“执行”即可创建成功。 图7 SQL执行

库管理 在数据管理服务DAS左侧导航栏，单击“开发工具”，进入开发工具数据库登录列表页面。 图1 DAS开发工具 选择“RDS实例”下的“MySQL”数据库引擎。 DAS可支持的实例类型有RDS实例、 GaussDB 实例等多种，且每个实例下分别有不同的数据库引擎。此次以RDS实例下的MySQL数据库引擎为例具体说明。若您想具体了解每个实例的使用方法，请参考用户指南对应章节。 登录需要查看的MySQL数据库，进入数据库内部控制台页面。 图2 登录数据库 单击管理控制台上方的“库管理”页签，选择需要操作的数据库名称。 图3 库管理 选择“对象列表”页签，您可以看到表、视图、存储过程、事件、触发器、函数等对象。 图4 对象列表

操作步骤 在数据管理服务左侧的导航栏中单击“DBA智能运维”页签，进入DBA智能运维实例总览页面，单击实例页面的“恢复免费”。 图1 恢复成免费实例 请仔细阅读弹窗内容，确认无误后单击“是”将实例恢复成免费实例。 图2 恢复成免费实例弹窗 若实例设置为付费实例不足5分钟，将会出现如下警告，请在提示时间之后将实例恢复成免费实例。 图3 警告 若实例设置为付费实例超过5分钟，恢复完成后，实例总览页面该实例显示为“免费实例”。 图4 实例总览页面

支持审计的关键操作列表 表1 云审计 服务支持的EVS操作列表 操作名称 资源类型 事件名称 创建磁盘 evs createVolume 更新磁盘 evs updateVolume 扩容磁盘 evs extendVolume 删除磁盘 evs deleteVolume 批量创建磁盘 evs batchCreateVolume 变更磁盘规格 evs retypeVolume 磁盘的关机预准备 evs prepareForStopServer 批量删除磁盘 evs bulkDeleteVolume 清理evs资源 evs cleanupEvsResources 清理单个evs资源 evs cleanupSingleEvsResource 更新evs云服务的磁盘状态 evs updateVolumesBusinessStatus 解冻磁盘 evs unfreezeVolume 冻结磁盘 evs freezeVolume 释放磁盘 evs releaseVolume 创建磁盘的tag evs createVolumeTag

update与delete操作 普通更新 进行update/delete操作时，where条件建议带上拆分字段； 无法带上拆分字段的场景，建议控制并发度，控制更新/删除涉及的数据条数。建议先用select查出相应的数据，double check确保数据范围无误后再实行update/delete操作。 拆分字段更新 条数限制：DDM拆分字段更新有数据量限制，一般不能超过10000条数据，数据量越少越好。若超过10000条数据，建议用改重建表的方式来做，或者是拆分成多次update操作来等价实现。 操作的时机：建议选择在业务低谷期做。 关联操作 不建议进行表关联更新、表关联删除操作，即不建议进行多张表同时进行update/delete操作。 子查询及limit操作 不建议update/delete语句中含有子查询。不建议update/delete语句中含有limit或order by limit语句。 case when函数 case when分支数量在不同规格实例下不同，在4U8G中不超过2500个，8U16G中不超过5000个，32U64G中20000个。

DDL DDL执行时机 对已有表进行DDL操作时建议放在业务低峰期进行。 分片数 创建新拆分表时建议结合实际数据量进行合理预估，总分片数满足需求即可。不建议使用超出实际需求的分片数，拆分表分片数并非越多越好 高危DDL 进行高危DDL时请仔细校验SQL后谨慎操作，如DROP TABLE, TRUNCATE TABLE等操作。 DDL失败修复 DDL命令如遇报错，可以使用"check table 表名"命令对各个分片表结构进行校验，识别出失败的分片进行针对性修复。如ALTER TABLE命令遭遇失败可以在命令前添加/*+allow_alter_rerun=true/，开启ALTER语句的幂等可重入执行后重试，直到check table 命令提示各个分片表结构达到一致则可认为执行成功。 MDL锁导致执行DDL报错 背景：为保证DDL的可用性，DDM内部在执行DDL前会检查底层RDS相关表是否存在MDL锁。 若存在MDL锁,，则DDL会提前报错退出。 metadata lock exists, one of MDL is [%s],DDL operation can not proceed, please use 'show metadata lock' to check current mdl, and use 'kill physical threadId@host:port' to clean it 可能出现的问题：若系统中存在慢SQL，执行时间为几分钟不等，那么可能被MDL锁所阻拦，无法执行DDL。 解决方案1：在DDM控制台提高参数“ddl_precheck_mdl_threshold_time”的大小, 如提高到30分钟(1800秒)。 “ddl_precheck_mdl_threshold_time”表示DDL允许MDL锁持有的最大时长。持有超过这个时间长度的MDL锁，DDL才会报错，默认值为120秒。 解决方案2：执行show metadata lock查看是否因为持有慢事务的MDL锁阻塞了DDL的执行。若存在阻塞, 可以使用kill physical threadId@host:port 来关闭底层慢事务。配合/*+allow_alter_rerun=true*/的hint, 以及check table来查看和执行，直到DDL彻底执行完。 threadId为物理层RDS的线程id，host和port分别为物理层RDS的ip和端口。 DDL长时间卡死 在业务低峰期执行DDL时如果遇到长时间卡死情况，请另开会话执行xa recover命令查看是否有慢事务存在，如存在慢事务挂起请及时联系值班人员解决。

select操作 Order by 及 Limit函数 "order by limit offset, count"场景，禁止给offset赋大数值，即禁止深度翻页。 如遇到临时表超限（Temp table limit exceeded）报错，说明排序中间数据产生了临时表且超限，考虑联系DDM值班进行SQL调优。 Group by函数 不建议select_list部分含有非group by列。 不支持不可下推的group_concat聚合函数内含有order by子句。 不建议distinct、group by字段多于3项。 不建议join、或者子查询操作之后含有group by操作 不建议使用count(distinct ),sum(distinct )操作。 如遇到临时表超限（Temp table limit exceeded）报错，说明聚合操作中间数据产生了临时表且超限，考虑联系DDM值班进行SQL调优。 Join函数 select场景，建议join条件是每个表的拆分字段或使用广播表，或者是驱动表是一个小表（inner/left join驱动表是左表，right join驱动表是右表）。 不建议两个大表直接进行join操作。 不建议join on condition中含有非等值操作。 如遇到临时表超限（Temp table limit exceeded）报错，说明JOIN中间数据产生了临时表且超限，考虑联系DDM值班进行SQL调优。 不建议5张表以上进行join操作。 join查询操作建议不要开启事务。 不建议在事务中进行join查询，开启事务会影响DDM对join算法的选择，无法使用最高效的算法。 这里的大表和小表的意思不是指原始表的规模，指的是经过where条件过滤之后的数据规模。 子查询 不建议子查询包含在OR表达式中，或者是子查询的关联条件包含在OR表达式中 不建议使用含有limit的标量子查询，如 select (select x from t2 where t2.id= t.id limit 1),a,b from t。 如果子查询和主表都路由到同一分片，建议在SQL前加/*+db=xxx*/来精准路由。 不建议子查询内部含有join语句。 不建议写嵌套子查询。 不建议ROW表达式跟子查询做比较操作，如 select * from t where (a,b,c)=(select x,y,z from t2 where …)。 不建议select_list里面含有超过2个以上的子查询 。

insert操作 insert写法规范 不建议逐条insert，推荐使用insert into values (),()..();语法。 MySQL的JDBC连接的url中要加rewriteBatchedStatements参数，并保证5.1.13以上版本的驱动，才能实现批量插入。MySQL JDBC驱动在默认情况下会无视executeBatch()语句，把预计批量执行的一组sql语句拆散，一条一条地发给MySQL数据库，批量插入实际上是单条插入，直接造成较低的性能。只有把rewriteBatchedStatements参数置为true, 驱动才会批量执行SQL。另外这个选项对INSERT/UPDATE/DELETE操作都有效。 开启rewriteBatchedStatements后的批量INSERT/UPDATE/DELETE操作要注意设置合理的batch size，batch size过大可能造成性能下降。如无特殊需求，建议batch size不超过1000。 拆分字段的值：不建议使用函数、表达式、子查询等，推荐使用常量值。 普通字段的值：不建议使用子查询，推荐使用常量、函数、表达式。 大批量数据导入 推荐使用loaddata local infile来实现大批量数据导入。 这个地方只需要开一个session窗口导入即可，DDM内部会自动进行并行导入。 数据迁移场景 建议使用mysqldump导出sql文件，再使用mysql source命令导入。具体操作请参考数据从DDM实例导出。 auto_increment字段 DDM使用Sequence来实现auto_increment语义，并保证全局唯一。 赋值：若使用auto_increment字段，建议不要在values子句中赋值，否则容易造成主键冲突。如果在values中赋了值，建议使用alter sequence语句更改，具体操作请参考全局序列。 步长：auto_increment字段步长建议不要设置成1，会导致性能低下。默认设置成1000。

安装HCE OS可视化界面 本节介绍如何在E CS 上安装HCE OS 2.0镜像的可视化界面。 配置yum源。 因为HCE OS默认的yum源中没有可视化软件的安装包，所以需要配置新的yum源。 进入/etc/yum.repos.d目录，新建一个openEuler.repo文件，并将以下内容复制到该文件里面。 由于openEuler.repo文件和HCE OS系统repo文件有冲突，请先将/etc/yum.repos.d目录下HCE OS原有的repo文件进行备份，并删除HCE OS原有的repo文件，再创建openEuler.repo文件。 x86镜像 [HCEextra_base] name=base baseurl=https://repo.huaweicloud.com/openeuler/openEuler-22.03-LTS/everything/x86_64/ enabled=1 gpgcheck=0 [HCEextra_EPOL] name=EPOL baseurl=https://repo.huaweicloud.com/openeuler/openEuler-22.03-LTS/EPOL/main/x86_64/ enabled=1 gpgcheck=0 ARM镜像 [HCEextra_base] name=base baseurl=https://repo.huaweicloud.com/openeuler/openEuler-22.03-LTS/everything/aarch64/ enabled=1 gpgcheck=0 [HCEextra_EPOL] name=EPOL baseurl=https://repo.huaweicloud.com/openeuler/openEuler-22.03-LTS/EPOL/main/aarch64/ enabled=1 gpgcheck=0 执行yum install ukui命令安装图形化界面工具。 安装包下载完成后，执行systemctl set-default graphical.target命令设置下次启动方式为图形化启动。 如果不执行此命令，下次启动方式将恢复为命令界面。 执行reboot命令，重启后即可以图形界面启动HCE OS系统。 恢复repo文件。 删除openEuler.repo文件，并将步骤1中删除的repo文件通过备份恢复。

产品优势 节约成本 随着显卡技术的不断发展，单张GPU卡的算力越来越强，同时价格也越来越高。但在很多的业务场景下，一个AI应用并不需要一整张的GPU卡。XGPU的出现让多个容器共享一张GPU卡，从而实现业务的安全隔离，提升GPU利用率，节约用户成本。 可灵活分配资源 XGPU实现了物理GPU的资源任意划分，您可以按照不同比例灵活配置。 支持按照显存和算力两个维度划分，您可以根据需要灵活分配。 XGPU支持只隔离显存而不隔离算力的策略，同时也支持基于权重的算力分配策略。算力支持最小1%粒度的划分，推荐最小算力不低于4%。 兼容性好 不仅适配标准的Docker和Containerd工作方式，而且兼容Kubernetes工作方式。 操作简单 无需重编译AI应用，运行时无需替换CUDA库。

准备工作 执行如下命令检查待优化的二进制文件中是否可以重新定位。可以重新定位表示可以进行应用优化。 readelf -a application | grep .rela.text 如果二进制文件中.rela.text段存在，表示可以重新定位。 如果不存在，为了允许BOLT在程序中重新排列函数（除了重新排列函数中的代码），需要将--emit-relocs或-q添加到应用程序的最后链接步骤中。 采集应用运行时的日志数据。 部署并预热应用后，即可使用llvm-bolt -instrument -o -instrumentation-file命令配置应用的日志采集方式。 例如，配置test.so文件运行后每隔30秒收集一次日志，日志保存到运行时test.log文件中请使用如下命令。 llvm-bolt tests.so -instrument -o testd.so -instrumentation-file=test.log -instrumentation-sleep-time=30 -instrumentation-no-counters-clear instrument -o：配置完日志采集方式后生成的新的动态库文件。本例中新生成的动态库为testd.so。 instrumentation-file：日志保存的文件名称。本例为test.log。 instrumentation-sleep-time：采集日志的时间间隔，单位为秒。本例中每隔30秒采集一次日志。 instrumentation-no-counters-clear：表示每次日志采集后不要清除日志计数器信息，保持日志信息上下文连续 运行testd.so对应的应用程序，应用程序运行日志会自动保存在test.log文件中。 应用加速工具会根据test.log文件中的动态数据来优化应用。

操作步骤 登录管理控制台。 在“实例管理”页面，选择目标实例，单击操作列“删除实例”。 若您已开启操作保护，在“删除实例”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《 统一身份认证 服务用户指南》的内容。 在弹出框中，单击“是”。 实例被删除后，将不再显示在实例列表中。

处理步骤 进入训练作业详情页，在左侧获取SFS Turbo的名称。 图1 获取SFS Turbo的名称 登录弹性文件服务SFS控制台，在SFS Turbo列表找到训练作业挂载的SFS Turbo，单击名称进入详情页。获取VPC信息、安全组信息和endpoint信息。 VPC信息：SFS Turbo详情页的“虚拟私有云”。 安全组信息：SFS Turbo详情页的“安全组”。 endpoint信息：SFS Turbo详情页的“共享路径”，去除“:/”即为sfs-turbo-endpoint。例如共享路径为“4ab556b5-d689-44f1-9302-24c09daxxxxc.sfsturbo.internal:/”，则sfs-turbo-endpoint为“4ab556b5-d689-44f1-9302-24c09daxxxxc.sfsturbo.internal”。 查看SFS Turbo的VPC网段是否满足如下2个条件。 条件一：SFS Turbo网段不能与192.168.20.0/24重叠，否则会和专属资源池的网段发生冲突，因为专属资源池的默认网段为192.168.20.0/24。专属资源池实际使用的网段可以在资源池的详情页面查看“网络”获取。 条件二：SFS Turbo网段不能与172网段重叠，否则会和容器网络发生冲突，因为容器网络使用的是172网段。 若不满足条件，则修改SFS Turbo的VPC网段，推荐网段为10.X.X.X。具体操作请参见修改虚拟私有云网段。 若满足条件，则继续下一步。 查看SFS Turbo的VPC网段的安全组是否被限制了。 在所选专属资源池中新建一个未挂载的SFS Turbo的训练作业，当训练作业处于“运行中”时，通过Cloud Shell功能登录训练作业worker-0实例，使用curl {sfs-turbo-endpoint}:{port}命令检查port是否正常打开，SFS Turbo所需要入方向的端口号为111、445、2049、2051、2052、20048，具体请参见创建文件系统的“安全组”参数。Cloud Shell功能的操作指导请参见使用CloudShell登录训练容器。 是，则修改安全组的配置，具体操作请参见修改安全组规则。 否，则继续下一步。 确认SFS Turbo是否存在异常。 新建一个和SFS Turbo在同一个网段的ECS，用ECS去挂载SFS Turbo，如果挂载失败，则表示SFS Turbo异常。 是，联系SFS服务的技术支持处理。 否，联系ModelArts的技术支持处理。

如何预防 配置SSH登录白名单 SSH登录白名单功能是防护账户破解的一个重要方式，配置后，只允许白名单内的IP登录到服务器，拒绝白名单以外的IP。详细操作请参见配置SSH登录IP白名单。 开启双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次身份认证。 在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。详细操作请参见双因子认证。 修改默认端口 将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。 设置安全组规则，限制攻击源IP访问您的服务端口 建议设置对外开放的远程管理端口（如SSH、远程桌面登录），只允许固定的来源IP进行连接。 您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。如果是远程登录端口，您可以只允许特定的IP地址远程登录到弹性云服务器。 例：仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云服务器的22端口，安全组规则如下所示： 表1 仅允许特定IP地址远程连接云服务器 方向 协议应用 端口 源地址 入方向 SSH（22） 22 例如：192.168.20.2/32 设置安全强度高的口令 口令复杂度策略检测和弱口令检测可检测出主机系统中使用弱口令的账户，您可以在控制台查看并处理主机中的口令风险。

如何设置安全的口令？ 请按如下建议设置口令： 使用复杂度高的密码。 建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合： 大写字母（A~Z） 小写字母（a~z） 数字（0~9） 特殊字符 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令。 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份 数字或字母连排或混排，常用彩虹表中的密码、滚键盘密码。 短语密码 公司名称、admin、root等常用词汇 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。 父主题： 弱口令和风险账号问题

收到主机登录成功的告警，怎么处理？ 若您在“实时告警通知”项目中勾选了“登录成功通知”选项，则任何账户登录成功的事件都会向您实时发送告警信息。 若您所有ECS上的账户都由个别管理员负责管理，通过该功能可以对系统账户进行严格的监控。 若系统账户由多人管理，或者不同主机由不同管理员负责管理，那么运维人员可能会因为频繁收到不相关的告警而对运维工作造成困扰，此时建议您登录主机安全服务控制台关闭该告警项。 登录成功并不代表发生了攻击，需要您确认登录IP是否是已知的合法IP。 父主题： 异常登录问题

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限， 获取Token 接口响应消息头中X-Subject-Token的值即为Token。 最小长度：1 最大长度：32768 表3 请求Body参数 参数 是否必选 参数类型 描述 code 是 String 验证码 最小长度：6 最大长度：8 method 是 String 认证方式 最小长度：1 最大长度：128

与其他云服务场景联动限制 场景 限制 详细链接 华为云“DDoS高防 + WAF”联动 DDoS高防和WAF联动的时候，存在以下限制： 在WAF控制台将域名工作模式切换为“Bypass”会导致DDoS高防所有绑定相同高防IP和端口的域名不可用。 所以您在WAF控制台将域名工作模式切换为“Bypass”前请确认DDoS高防是否有绑定相同IP和端口的域名，以免对您的业务造成不必要的影响。 华为云“DDoS高防 + WAF”联动 华为云"DDoS原生高级防护+独享WAF"联动 不支持与云WAF联动。 需要DDoS原生防护所在区域和独享WAF所在区域一致。 华为云“DDoS原生高级防护+独享WAF”联动防护

DDoS原生高级防护全力防-高级版防护限制 场景 限制 详细链接 防护对象 全力防高级版只能防护专属池EIP，使用全力防高级版需要将云上普通EIP更换专属池EIP。 专属池EIP需要加入到全力防高级版实例中才能生效。单独购买专属池EIP时，防护不生效且专属池EIP不可用。 当全力防高级版到期时，防护自动失效，专属池EIP也会失效，请及时续费或迁移业务。 什么是专属池EIP？ 运营商 支持中国移动、中国电信、中国联通等主流运营商，不承诺支持小运营商。 -

DDoS高防域名接入限制 场景 限制 详细链接 填写防护域名 在中国大陆内接入的防护域名需要备案。 配置防护域名 什么是备案？ 选择防护域名的端口 所需接入的协议端口需要在支持的协议端口的范围内。 支持的协议端口 填写防护域名的源站 源站可以填写源站IP或源站域名，分别有以下限制： 源站IP：上限20个。 源站域名：上限1个。 选择同高防IP端口的情况下，添加 多个域名 但只能选择同一种源站类型。 配置防护域名 绑定实例 防护IPv4源站需要绑定IPv4实例。 防护IPv6源站需要绑定IPv6实例。 支持双栈。 不支持NAT64。 域名类网站业务接入DDoS高防 什么是双栈和NAT64？ 添加多个防护域名 同高防IP端口的情况下，添加多个域名不仅只能选择同一种源站类型，而且有如下限制： 如果源站类型是域名，请保证所有源站域名是同一个云WAF的CNAME。 如果源站类型是IP，请开启所有域名的WEB防护。 配置防护域名

操作步骤 购买DDoS高防实例。 如果您的业务服务器部署在中国内地，请购买DDoS高防实例。 DDoS高防实例不支持接入未经ICP备案的域名。如果您需要使用DDoS高防防护网站业务，请确认网站域名已经完成ICP备案。 DDoS高防实例默认提供IPv4高防IP。如果您需要IPv6高防IP，请选择购买DDoS原生防护实例。 如果您的业务服务器部署在中国内地以外地域，且业务主要用户来自中国内地，由于单独使用DDoS高防（国际版）不能保障中国内地用户的访问质量（存在约300毫秒的平均访问延时），建议您考虑以下方案： 如果只需要保障中国内地电信、联通和非移动线路用户的业务访问速度和稳定性，您可以单独购买DDoS高防和优选线路（无防护）。 根据业务类型，将业务接入DDoS高防。 域名类业务接入操作，请参见域名类业务接入DDoS高防。 非域名类业务接入操作，请参见非域名类业务接入DDoS高防。 为避免恶意攻击者绕过DDoS高防直接攻击源站服务器，建议您设置源站保护。 有关源站保护的详细操作，请参见设置源站保护。 配置CC攻击防护策略。 业务正常时 网站业务接入DDoS高防后，建议您在业务运行一段时间后（两、三天左右），通过分析业务应用日志数据（包括URL、单一源IP平均访问QPS等），评估正常情况下单访问源IP的请求QPS情况并相应配置频率控制自定义规则限速策略，避免遭受攻击后的被动响应。 正在遭受CC攻击时 通过查看DDoS高防防护日志，获取域名请求TOP URL、IP地址、访问来源IP、User-Agent等参数信息，根据实际情况配置频率控制自定义规则，并观察防护效果。 有关配置频率自定义规则的详细操作，请参见自定义频率控制防护规则。 如果实际防护效果不佳，建议您购买MDR服务，协助您进一步分析日志并制定防护策略。 本地检查测试配置准确性。 配置完DDoS高防防护策略后，建议参照表2和表3检查测试DDoS高防配置是否正确。 有关本地验证的详细操作，请参见本地验证。 表2 业务检查项说明 业务类型 检查项说明 域名类业务 接入配置域名是否填写正确。 域名是否备案。 接入配置协议是否与实际协议一致。 接入配置端口是否与实际提供的服务端口一致。 源站填写的IP是否是真实服务器IP，而不是错误填写为其他IP。 证书信息是否正确上传。 证书是否合法（例如，加密算法不合规、错误上传其他域名的证书等）。 证书链是否完整。 是否已了解DDoS高防实例的弹性防护计费方式。 协议类型是否启用WebSocket、WebSockets协议。 非域名类业务 业务端口是否可以正常访问。 接入配置协议是否与实际协议一致，确认未错误地为TCP协议业务配置UDP协议规则等。 源站填写的IP是否是真实服务器IP，而不是错误填写为其他IP。 是否已了解DDoS高防实例的弹性防护计费方式。 表3 业务可用性验证项 验证说明 验证项 必检项 测试业务是否能够正常访问。 必检项 测试业务登录会话保持功能是否正常。 必检项 （域名类业务）观察业务返回4XX和5XX响应码的次数，确保回源IP未被拦截。 建议项 是否配置后端服务器获取真实访问源IP。 建议项 （域名类业务）是否配置源站保护，防止攻击者绕过DDoS高防直接攻击源站。 必检项 测试TCP业务的端口是否可以正常访问。 切换业务流量。 本地检查验证通过后，建议采用测试的方式逐个修改DNS解析记录，将网站业务流量切换至DDoS高防，避免批量操作导致业务异常。如果切换流量过程中出现异常，请快速恢复DNS解析记录。 修改DNS解析记录后，需要10分钟左右生效。 真实业务流量切换后，您需要再次根据上述业务可用性验证项进行测试，确保业务正常运行。 开启告警通知。 开启DDoS高防告警通知后，当出现以下情况时，您将接收到告警通知信息（接收消息方式由您设置），及时发现业务异常现象： IP遭受DDoS攻击时 DDoS攻击峰值超过保底防护带宽而产生弹性计费时 您将在次日上午收到告警通知信息。

接入后日常维护事项说明 业务接入DDoS高防后，建议您参照表4例行维护业务。 表4 日常维护事项 维护事项 说明 弹性防护后付费 如果需要启用DDoS高防的弹性防护能力，请务必先查看DDoS高防的计费方式，避免实际产生的弹性防护费用超出预算。有关DDoS高防详细的服务资费和费率标准，请参见产品价格详情。 判断攻击类型 当DDoS高防同时遭受CC攻击和DDoS攻击时，您可以查看DDoS高防防护日志，根据攻击流量信息判断遭受的攻击类型。 DDoS攻击类型：在实例防护报表中有攻击流量的波动，且已触发流量清洗，但在域名防护报表中不存在相关联的波动。 CC攻击类型： 在实例防护报表中有攻击流量的波动，已触发流量清洗，且在域名防护报表中有相关联的波动。 业务访问延时或丢包 针对源站服务器在中国内地以外地域、主要访问用户来自中国内地地域的情况，如果用户访问网站时存在延时高、丢包等现象，主要访问用户来自非中国内地地域的情况，可能存在跨网络运营商导致的访问链路不稳定，建议您购买DDoS高防（国际版）实例并选择加速线路。 删除域名或端口转发配置 如果需要删除已防护的域名端口转发配置记录，请您确认业务是否已正式接入DDoS高防。 如果尚未正式切换业务流量，直接删除域名或端口转发配置记录。 如果已完成业务流量切换，删除域名或端口转发配置前务必前往域名DNS解析服务控制台，修改域名解析记录将业务流量切换回源站服务器。 说明： 删除转发配置前，请务必确认域名的DNS解析或业务访问已经切换至源站服务器。 删除域名配置后，DDoS高防将无法再为您的业务提供专业级安全防护。

紧急接入场景说明 如果您的业务在接入DDoS高防前已经遭受攻击或源站IP已被黑洞，建议您在业务接入DDoS高防时参照表1进行处理。 如果在接入DDoS高防前业务已遭受攻击，建议您更换源站服务器IP。更换IP前，请务必确认是否在客户端或App端中通过代码直接指向源站IP，在这种情况下，请先更新客户端或App端代码后再更换源站IP，避免影响业务正常访问。具体操作请参见更换源站ECS公网IP。 表1 紧急接入场景说明 业务场景 使用说明 业务已经遭受DDoS攻击 一般情况下，业务接入DDoS高防后，采用默认防护配置。 源站IP已被黑洞 如果在接入DDoS高防前，业务源站服务器已被攻击且触发黑洞策略，请及时更换源站IP。 如果您的源站为华为云ELB实例，请更换ELB实例公网IP，详细操作请参见更换ECS IP。 须知： 更换源站IP后，请尽快将业务接入DDoS高防进行防护，避免源站IP暴露。 如果您的业务部署在华为云上，而您不希望更换源站IP，或者已经更换源站IP但仍存在IP暴露的情况，建议您在源站ECS服务器前部署弹性负载均衡（ELB）实例，并将ELB实例的公网IP作为源站IP接入DDoS高防。

功能介绍 HBase通过org.apache.hadoop.hbase.client.Admin对象的createTable方法来创建表，并指定表名、列族名、冷热时间线。 创建表有两种方式（强烈建议采用预分Region建表方式）： 快速建表，即创建表后整张表只有一个Region，随着数据量的增加会自动分裂成多个Region。 预分Region建表，即创建表时预先分配多个Region，此种方法建表可以提高写入大量数据初期的数据写入速度。 表名以及列族名不能包含特殊字符，可以由字母、数字以及下划线组成。

代码样例 public void testCreateTable() { LOG .info("Entering testCreateTable."); // Specify the table descriptor. HTableDescriptor htd = new HTableDescriptor(tableName); // (1) // Set the column family name to info. HColumnDescriptor hcd = new HColumnDescriptor("info"); // (2) // Set hot and cold data boundary hcd.setValue(HColumnDescriptor.COLD_BOUNDARY, "86400"); htd.addFamily(hcd); // (3) Admin admin = null; try { // Instantiate an Admin object. admin = conn.getAdmin(); // (4) if (!admin.tableExists(tableName)) { LOG.info("Creating table..."); admin.createTable(htd); // 注[1] (5) LOG.info(admin.getClusterStatus()); LOG.info(admin.listNamespaceDescriptors()); LOG.info("Table created successfully."); } else { LOG.warn("table already exists"); } } catch (IOException e) { LOG.error("Create table failed.", e); } finally { if (admin != null) { try { // Close the Admin object. admin.close(); } catch (IOException e) { LOG.error("Failed to close admin ", e); } } } LOG.info("Exiting testCreateTable."); } 代码编号解释 （1）创建表描述符。 （2）创建列族描述符。 （3）添加列族描述符到表描述符中。 （4）获取Admin对象，Admin提供了建表、创建列族、检查表是否存在、修改表结构和列族结构以及删除表等功能。 （5）调用Admin的建表方法。 注意事项 注[1] 表和列族其它属性设置可以参考开发HBase应用。 注[1] 指的是代码样例中的“admin.createTable(htd); // 注[1] (5)”。