华为云用户手册

连接云下的多台服务器需要购买几个连接？ VPN属于IPsec VPN，它是用于打通云上VPC和用户侧数据中心子网的VPN，所以购买VPN连接的个数与服务器的数量无关，而与这些服务器所在的数据中心数量有关。 一个VPN网关支持绑定两个EIP和用户侧网关进行通信： 如果用户侧数据中心只有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet：这种情况需要配置一个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和用户侧出口网关通信。 如果用户侧数据中心只有两个公网出口网关，所有服务器（或用户主机）通过两个网关连接至Internet：这种情况需要配置两个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和两个用户侧出口网关通信。 父主题： 组网与使用场景

是否可以将应用部署在云端，数据库放在本地IDC，然后通过VPN实现互联？ 可以。 VPN连通的是两个子网，即VPC网络与用户数据中心网络。 VPN成功建立后，两个子网间可以运行任何类型的业务流量，此时应用服务器访问数据库业务在逻辑上和访问同一局域网的其它主机是相同的，因此该方案可行的。 这种场景是IPsec VPN的典型场景，请用户放心使用。 同时VPN连通以后，并不限定业务的发起方是云上还是用户侧数据中心，即用户可以从云上向用户侧数据中心发起业务，也可以反向。 用户在打通VPN以后，需要关注网络延迟和丢包情况，避免影响业务正常运行。 建议用户先运行ping，获取网络的丢包和时延情况。 父主题： 产品咨询

华为云的Region间创建的VPN，按照几条连接计费？ 使用VPN可以将不同Region间的VPC打通，每个Region的VPN带宽和VPN连接是独立的资源，独立计费。所以用户在预估费用时需要统计有几个Region，每个Region需要另外几个Region进行互通。 例如：Region A与Region B和C分别建立VPN连接，则Region A的VPN网关下有2条连接，分别与B、C连接；而Region B的VPN网关下有1条连接，Region C的VPN网关下有1条连接。 因此，用户整体在云上一共创建了4条VPN连接，只是每条连接都隶属于各自的Region。 父主题： 计费类

如何防止VPN连接出现中断情况？ VPN连接在正常的使用过程中会存在重协商情况，触发重协商的条件有IPsec SA的生命周期即将到期和VPN传输的流量超过20GB，重协商一般不造成连接中断。 大多数的连接中断都是因为两端的配置信息错误造成的，或公网异常导致重协商失败造成的。 常见的连接中断原因有： 两端的ACL不匹配。 SA生命周期不匹配。 用户侧数据中心未配置DPD。 VPN使用过程中修改了配置信息。 运营商网络抖动。 因此请在配置VPN时确保操作和配置，以进行连接状态保活： 两端的子网配置互为镜像。 SA生命周期信息一致。 用户侧数据中心网关开启DPD配置，探测次数不少于3次。 连接过程中修改参数两侧同步修改。 设置用户侧数据中心设备TCP MAX-MSS为1300。 确保用户侧数据中心出口有足够的带宽可被VPN使用。 确认VPN连接可被两端触发协商，开启用户侧数据中心设备的主动协商配置。 父主题： VPN连接保活

连接云下的多台服务器需要购买几个连接？ VPN属于IPsec VPN，它是用于打通云上VPC和用户侧数据中心子网的VPN，所以购买VPN连接的个数与服务器的数量无关，而与这些服务器所在的数据中心数量有关。 一个VPN网关支持绑定两个EIP和用户侧网关进行通信： 如果用户侧数据中心只有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet：这种情况需要配置一个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和用户侧出口网关通信。 如果用户侧数据中心只有两个公网出口网关，所有服务器（或用户主机）通过两个网关连接至Internet：这种情况需要配置两个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和两个用户侧出口网关通信。 父主题： 热点问题

连接云下的多台服务器需要购买几个连接？ VPN属于IPsec VPN，它是用于打通云上VPC和用户侧数据中心子网的VPN，所以购买VPN连接的个数与服务器的数量无关，而与这些服务器所在的数据中心数量有关。 大部分情况下一个用户侧数据中心会有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet，因此对于这种情况配置一个VPN连接即可，通过该连接即可打通VPC与用户网络之间的流量。 父主题： 热点问题

创建VPN都会产生哪些费用，VPN网关IP收费吗？ VPN提供包年/包月和按需计费两种计费模式，费用包含： VPN网关费用 VPN连接费用 默认提供10条免费的VPN连接；超过10条后需要付费购买。 VPN网关弹性公网IP带宽费用 网关带宽的计费又可分为按流量或按带宽计费。 包年/包月计费模式下不可选择按流量计费。如果您选择包年/包月模式创建VPN，在创建网关阶段一次性收取网关带宽费用和连接的费用，用户后续创建VPN连接时不再收取费用。 按需方式为先使用后付费模式，计费周期为1小时。如果您选择按需模式创建VPN，页面会提示同时创建连接，费用包含了网关带宽费用和10个连接组费用，您在创建第11个连接时组时只产生连接的费用。 VPN网关的带宽费用是独立的，与E CS 绑定的EIP带宽相互独立，无法共享。 父主题： 计费类

VPC、VPN网关、VPN连接之间有什么关系？ VPC，即云上私有专用网络，同一Region中可以创建多个VPC，且VPC之间相互隔离。一个VPC内可以划分多个子网网段。 VPN网关，基于VPC创建，是VPN连接的接入点。一个VPC仅能购买一个VPN网关，每个网关可以创建多个VPN连接。 VPN连接，基于VPN网关创建，用于连通VPC子网和用户数据中心（或其它Region的VPC）子网，即每个VPN连接连通了一个用户侧数据中心的网关。 VPN连接的数量与VPN连接的本端子网和远端子网的数量无关，仅与用户VPC需要连通的用户数据中心（或其它Region的VPC）的数量有关，已创建的VPN连接的数量即VPN连接列表中展示的数量（一个条目即一个VPN连接），也可以在VPN网关中查看当前网关已创建的VPN连接数量。 父主题： 热点问题

VPN协商参数有哪些？默认值是什么？ 表1 VPN协商参数 协议 配置项 值 IKE 认证算法 MD5（此算法安全性较低，请慎用） SHA1（此算法安全性较低，请慎用） SHA2-256（默认） SHA2-384 SHA2-512 加密算法 3DES（此算法安全性较低，请慎用） AES-256 AES-192 AES-128（默认） DH算法 Group 5（此算法安全性较低，请慎用） Group 2（此算法安全性较低，请慎用） Group 14（默认） Group 1（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 说明： 部分区域仅支持Group 14、Group 2、Group 5。 版本 v1（有安全风险不推荐） v2（默认） 生命周期 86400（默认） 单位：秒。 取值范围：60-604800。 IPsec 认证算法 SHA1（此算法安全性较低，请慎用） MD5（此算法安全性较低，请慎用） SHA2-256（默认） SHA2-384 SHA2-512 加密算法 AES-128（默认） AES-192 AES-256 3DES（此算法安全性较低，请慎用） PFS DH group 5（此算法安全性较低，请慎用） DH group 2（此算法安全性较低，请慎用） DH group 14（默认） DH group 1（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 说明： 部分区域仅支持DH group 14、DH group 2、DH group 5。 传输协议 ESP（默认） AH AH-ESP 生命周期 3600（默认） 单位：秒。 取值范围：480-604800。 PFS（Perfect Forward Secrecy，完善的前向安全性）是一种安全特性。 IKE协商分为两个阶段，第二阶段（IPsec SA）的密钥都是由第一阶段协商生成的密钥衍生的，一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性，IKE提供了PFS（完美向前保密）功能。启用PFS后，在进行IPsec SA协商时会进行一次附加的DH交换，重新生成新的IPsec SA密钥，提高了IPsec SA的安全性。 为了增强安全性，云默认开启PFS，请用户在配置用户侧数据中心网关设备时确认也开启了该功能，否则会导致协商失败。 用户开启此功能的同时，需要保证两端配置一致。 IPsec SA字节生命周期，不是VPN服务可配置参数，云侧采用的是默认配置1843200KB。该参数不是协商参数，不影响双方建立IPsec SA。 父主题： VPN协商与对接

VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别？ VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式（即后付费），可以选择按带宽或按流量计费 : 按带宽计费，计费的周期为1小时，费用也会因带宽大小存在差异。 按流量计费，统计1小时内产生的流量费用，调整带宽大小不产生计费差异，只按产生的出VPC流量进行计费。 如果选择包年/包月付费方式，则仅支持按带宽，不支持按流量；同时包年/包月付费方式相按需付费享受更多折扣优惠。 父主题： 计费类

本地防火墙无法收到VPN子网的回复包怎么解决？ 如果二阶段协商中需要检查云下的路由、安全策略、NAT和感兴趣流、协商策略信息。 路由设置：将访问云上子网的数据送入隧道。 安全策略：放行云下子网访问云上子网的流量。 NAT策略：云下子网访问云上子网不做源nat。 感兴趣流：两端感兴趣流配置互为镜像，使用IKE v2配置刚兴趣流不可使用地址对象名称。 协商信息：协商策略信息云上云下一致，特别注意PFS的配置。 确认一、二阶段协商均已正常后，请检查云上安全组策略，放行入方向的云下子网访问云上子网的ICMP协议。 父主题： VPN协商与对接

处理步骤 在VPN网关列表页跳转到流量监控视图，确认流量是否突发或持续接近VPN网关的带宽规格。 在VPN网关的“基本信息”页面查看EIP带宽大小，并结合流量监控视图，排查是否超过EIP的带宽规格。如果因EIP带宽规格偏小导致流量超限，请修改EIP的带宽。 如果业务采用UDP协议，VPN网关也采用UDP协议，在网络不稳定的情况下，可能导致丢包。 请在VPN网关的“服务端”页签中修改协议为TCP，然后重新下载客户端配置或直接修改客户端配置文件中的协议信息，客户端使用新的配置重新接入。 通过在客户端ping VPN网关的公网IP地址探测公网链路质量。 若探测结果不佳，请联系运营商进行网络问题排查。

处理步骤 请检查并确保生成的服务端证书中包含Extended Key Usage扩展属性，如图1所示。 图1 Extended Key Usage 使用Easy-RSA的shell命令“./easyrsa build-server-full”生成的服务端证书默认携带此属性。 使用OpenSSL自签发的服务端证书不携带此扩展属性，需要在证书文件中补充配置“extendedKeyUsage = serverAuth”。 将包含该属性的服务端证书托管到 云证书管理服务 中，然后在VPN网关的“服务端”页签中更换服务端证书，客户端再重新接入。

处理步骤 确认客户端设备和ECS的访问控制策略是否禁止ping探测。如果禁止，请修改策略放通ping探测。 Windows操作系统还需要修改防火墙的入站规则，允许ICMPv4-In。 在VPN网关的“服务端”页签中修改本端网段，使其包含需要访问的ECS的IP地址，然后断开客户端连接，重新接入，并查看客户端设备是否可以接收到VPN网关推送的路由。 Windows：使用route print命令。 Linux：使用ip route show all命令。 请确认ECS安全组的出方向和入方向规则都放通ICMP。

VPN资源在什么情况下会被冻结，如何解除被冻结的VPN资源？ 包年/包月的VPN资源在到期未续费时会进入宽限期，宽限期内您可正常访问及使用该资源。宽限期结束后，若您仍未续订，该资源将进入保留期，即被冻结状态。被冻结的资源不可用，也不能修改、删除。超过保留期仍未续费，冻结资源将被释放，被释放资源不可恢复。为确保资源持续可用，请在资源到期前及时续费。 按需的VPN资源在欠费时将资源置于欠费状态并进入宽限期，宽限期内您可正常访问及使用该资源。宽限期结束后，若您仍未缴清欠款，该资源将进入保留期，即被冻结状态。被冻结的资源不可用，也不能修改、删除。超过保留期仍未充值缴清欠费金额，冻结资源将被释放，被释放资源不可恢复。为确保资源持续可用，请在资源到期前完成充值，并确保所欠金额已结清。 冻结的VPN资源在续费或充值后会变为可用状态。 父主题： 计费FAQ

创建VPN都会产生哪些费用，VPN网关IP收费吗？ VPN提供包年/包月和按需计费两种计费模式，费用包含网关带宽费用和VPN连接费用。 网关带宽的计费又可分为按流量或按带宽计费。 包年/包月计费模式下不可选择按流量计费。如果您选择包年/包月模式创建VPN，在创建网关阶段一次性收取网关带宽费用和连接的费用，用户后续创建VPN连接时不再收取费用。 按需方式为先使用后付费模式，计费周期为1小时。如果您选择按需模式创建VPN，页面会提示同时创建连接。费用包含了网关带宽费用和单条连接费用，您在创建第二条连接时只产生连接的费用。 VPN网关IP不收费，只收取VPN网关的带宽费用。 VPN网关的带宽费用是独立的，与ECS绑定的EIP带宽相互独立，无法共享。 父主题： 经典版VPN

华为云的Region间创建的VPN，按照几条连接计费？ 使用VPN可以将不同Region间的VPC打通，每个Region的VPN带宽和VPN连接是独立的资源，独立计费。所以用户在预估费用时需要统计有几个Region，每个Region需要另外几个Region进行互通。 例如：Region A与Region B和C分别建立VPN连接，则Region A的VPN网关下有2条连接，分别与B、C连接；而Region B的VPN网关下有1条连接，Region C的VPN网关下有1条连接。 因此，用户整体在云上一共创建了4条VPN连接，只是每条连接都隶属于各自的Region。 父主题： 计费FAQ

VPN资源如何扣费，如何使用优惠券？ VPN网关计费模式分为按需和包年/包月。 按需为后付费，根据资源使用情况从账号余额中扣除费用。 包年/包月为预付费，创建资源时一次性扣除。 如果您已获得云优惠券，请在优惠券有效期内完成充值，充值后可按抵用资源使用费。 包年/包月资源在创建包年资源时会产生优惠费用，实际支付时费用可扣减。 合同用户需要在Console页面选择“申请线上合同请款后支付”。 父主题： 经典版VPN

VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别？ VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式（即后付费），可以选择按带宽或按流量计费 : 按带宽计费，计费的周期为1小时，费用也会因带宽大小存在差异。 按流量计费，统计1小时内产生的流量费用，调整带宽大小不产生计费差异，只按产生的出VPC流量进行计费。 如果选择包年/包月付费方式，则仅支持按带宽，不支持按流量；同时包年/包月付费方式相按需付费享受更多折扣优惠。 父主题： 计费FAQ

VPN资源在什么情况下会被冻结，如何解除被冻结的VPN资源？ 包年/包月的VPN资源在到期未续费时会进入宽限期，宽限期内您可正常访问及使用该资源。宽限期结束后，若您仍未续订，该资源将进入保留期，即被冻结状态。被冻结的资源不可用，也不能修改、删除。超过保留期仍未续费，冻结资源将被释放，被释放资源不可恢复。为确保资源持续可用，请在资源到期前及时续费。 按需的VPN资源在欠费时将资源置于欠费状态并进入宽限期，宽限期内您可正常访问及使用该资源。宽限期结束后，若您仍未缴清欠款，该资源将进入保留期，即被冻结状态。被冻结的资源不可用，也不能修改、删除。超过保留期仍未充值缴清欠费金额，冻结资源将被释放，被释放资源不可恢复。为确保资源持续可用，请在资源到期前完成充值，并确保所欠金额已结清。 冻结的VPN资源在续费或充值后会变为可用状态。需要注意的是，VPN连接的状态可能出现“未连接”，请发起数据流（如子网间主机互ping）触发VPN连接至“正常”状态。 父主题： 经典版VPN

VPN资源如何扣费，如何使用优惠券？ VPN网关计费模式分为按需和包年/包月。 按需为后付费，根据资源使用情况从账号余额中扣除费用。 包年/包月为预付费，创建资源时一次性扣除。 如果您已获得云优惠券，请在优惠券有效期内完成充值，充值后可按抵用资源使用费。 包年/包月资源在创建包年资源时会产生优惠费用，实际支付时费用可扣减。 合同用户需要在Console页面选择“申请线上合同请款后支付”。 父主题： 计费FAQ

VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别？ VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式（即后付费），可以选择按带宽或按流量计费 : 按带宽计费，计费的周期为1小时，费用也会因带宽大小存在差异。 按流量计费，统计1小时内产生的流量费用，调整带宽大小不产生计费差异，只按产生的出VPC流量进行计费。 如果选择包年/包月付费方式，则仅支持按带宽，不支持按流量；同时包年/包月付费方式相按需付费享受更多折扣优惠。 父主题： 经典版VPN

创建VPN都会产生哪些费用，VPN网关IP收费吗？ VPN提供包年/包月和按需计费两种计费模式，费用包含： VPN网关费用 VPN连接费用 默认提供10条免费的VPN连接；超过10条后需要付费购买。 VPN网关弹性公网IP带宽费用 网关带宽的计费又可分为按流量或按带宽计费。 包年/包月计费模式下不可选择按流量计费。如果您选择包年/包月模式创建VPN，在创建网关阶段一次性收取网关带宽费用和连接的费用，用户后续创建VPN连接时不再收取费用。 按需方式为先使用后付费模式，计费周期为1小时。如果您选择按需模式创建VPN，页面会提示同时创建连接，费用包含了网关带宽费用和10个连接组费用，您在创建第11个连接时组时只产生连接的费用。 VPN网关的带宽费用是独立的，与ECS绑定的EIP带宽相互独立，无法共享。 父主题： 计费FAQ

配置对端设备 配置对端设备详细请参见《 虚拟专用网络 管理员指南》，该指南可以帮助您配置本地的VPN设备，实现您本地网络与华为云VPC子网的互联互通。 详细配置示例可参见： 示例：HUAWEI USG6600配置 示例：Fortinet飞塔防火墙VPN配置 示例：深信服防火墙配置 示例：使用TheGreenBow IPsec VPN Client配置云上云下互通 示例：使用Openswan配置云上云下互通 示例：使用strongSwan配置云上云下互通 父主题： 经典版VPN购买流程

5G消息开通备案管理 5G消息开通备案管理 进入5G消息控制台后，如果已开通了5G业务，则会直接进入应用管理页面，如果未开通，则弹出“开通5G消息业务”提示窗口。 按照需求开通视频短信回落或短信回落功能，单击我已阅读《 5G消息服务 声明》、《视频短信服务协议》和《短信服务协议》。 单击“下一步”后，进入“5G消息开通备案管理”页面，可以新增5G消息开通备案。 新增5G消息开通备案。 单击“新增”，进入“5G消息开通备案管理-新增”页面。 参考页面提示，填写5G消息开户信息栏的内容。 在签名报备信息栏，单击“新增”，进入新增签名报备信息页面。 填写签名报备信息，单击“确定”后，返回“5G消息开通备案管理-新增”页面。 单击“提交”，完成新增备案。 在“5G消息开通备案管理”页面，输入“企业名称”，可以查询到对应企业的开通备案记录。 已经审核通过的记录，只能新增视频短信签名和短信签名的备案记录。 如果业务报备已经审核通过，但视频短信签名或短信签名报备不通过时，可以修改被驳回的视频短信签名或者短信签名报备记录，再重新提交备案申请。 如果5G业务报备记录未审核通过，则不允许新增和修改视频短信签名和短信签名报备记录（即使已经驳回也不允许修改和新增）。 操作列操作列中单击“5G消息业务开通详情”，可以查看5G消息业务的开通详情。 、 单击“短信审核详情”，进入短信审核详情页面。 单击“视频短信审核详情”，进入视频短信审核详情页面。

RDS for MariaDB内核 云数据库RDS for MariaDB的内核版本基于开源MariaDB 10.5.16版本，该版本是MariaDB的稳定版（GA）版本。在性能优化、安全性、存储引擎等方面做了更丰富的拓展，适用于各种规模的应用和场景。详细内容请参考开源MariaDB 10.5.16版本说明。 云数据库RDS for MariaDB的版本详细信息如下表所示。 表1 RDS for MariaDB版本说明 日期 特性描述 2023-05-01 云数据库RDS for MariaDB正式公测，内核版本基于10.5.16。

共享配额 共享配额：关联在当前资源池的用户在执行作业时可以使用的CPU时间比例。 共享配额有两层含义： 共享：CPU是所有控制组共享的，其他控制组能够使用空闲的CPU资源。 配额：业务繁忙、CPU满负载情况下，控制组之间按照配额比例进行CPU抢占。 共享配额基于cpu.shares实现，只有在CPU满负载情况下生效，因此在CPU空闲情况下并不能保证控制组能够抢占到配额比例的CPU资源。CPU空闲并不能理解为没有CPU资源争抢，控制组内任务可以任意使用CPU。虽然CPU平均使用率可能不高，但是某个特定时刻还是可能存在CPU资源争抢的。 例如：10个CPU上运行10个作业，每个CPU上运行1个作业，这种情况下各作业在任意时刻请求CPU都可以瞬间得到响应，作业之间没有任何CPU资源的争抢；但假如10个CPU上运行20个作业，因为作业不会一直占用CPU，在某些时间可能等待IO、网络等，因此CPU使用率可能并不高，此时CPU资源看似空闲，但是在某个时刻可能出现2~N作业同时请求一个CPU的情况出现，即会导致CPU资源争抢，影响作业性能。

专属限额 专属限额：限定资源池中数据库用户在执行作业时可使用的最大CPU核数占总核数的百分比。 专属限额有两层含义： 专属：CPU是某个控制组专属的，其他控制组不能使用空闲的CPU资源。 限额：只能使用限额配置的CPU资源，其他控制组空闲的CPU资源，也不能抢占。 专属限额基于cpuset.cpu实现，通过合理的限额设置可以实现控制组之间CPU资源的绝对隔离，各控制组间任务互不影响。但因为CPU的绝对隔离，因此在控制组空闲时就会导致CPU资源的极大浪费，因此限额设置不能太大。从作业性能来看并不是限额越大越好。 例如：10个作业运行在10个CPU上，CPU平均使用率5%左右；10个作业运行在5个CPU上，CPU平均使用率10%左右。通过上面共享配额的分析可知：虽然10个作业运行在5个CPU上CPU使用率很低，看似空闲，但是相对10个作业运行在10个CPU上还是存在某种程度的CPU资源争抢，因此10个作业运行在10个CPU上性能要好于运行在5个CPU上。但也不是越多越好，10个作业运行在20个CPU上，在任意一个时刻，总会至少10个CPU是空闲的，因此理论上10个作业运行在20个CPU上并不会比运行在10个CPU上性能更好。对于并发为N的控制组，分配cpus小于N的情况下，CPU越多作业性能越好；但是当分配CPUS大于N的情况下，性能就不会有任何提升了。

CPU资源管理应用场景 CPU共享配额和专属限额的管控方式各有优劣，共享配额能够实现CPU资源的充分利用，但是各控制组之间资源隔离不彻底，可能影响查询性能；专属限额的管控方式可以实现CPU资源的绝对隔离，但是在CPU资源空闲时会造成CPU资源的浪费。相对专属限额来说，共享配额拥有更高的CPU使用率和更高的整体作业吞吐量；相对共享配额来说，专属限额CPU隔离彻底，更满足性能敏感用户的使用诉求。 数据库系统中运行多种类型作业出现CPU争抢时，可根据不同场景，选择不同的CPU资源管控方式： 场景一：实现CPU资源的充分利用，不关注单一类型作业的性能，主要关注CPU整体吞吐量。 应用建议：不建议进行用户之间的CPU隔离管控，无论哪一种CPU管控都会对CPU整体使用率产生影响。 场景二：允许一定程度的CPU资源争抢和性能损耗，在CPU空闲情况下实现CPU资源充分利用，在CPU满负载情况下需要各业务类型按比例使用CPU。 应用建议：可以采用基于cpu.shares的共享配额管控方式，在实现满负载CPU隔离管控前提下，尽量提高CPU整体使用率。 场景三：部分作业对性能敏感，允许CPU资源的浪费。 应用建议：可以采用基于cpuset.cpu的专属限额管控方式，实现不同类型作业之间的CPU绝对隔离。

CPU资源管控概述 在不同的业务场景中，对数据库的系统资源（CPU资源、内存资源、IO资源和存储资源）进行合理的分配，保证执行查询时有充足的系统资源，确保查询性能，可以维持业务稳定性。 GaussDB (DWS)的资源管理功能支持用户根据自身业务将资源按需划分成不同的资源池，不同资源池之间资源互相隔离。再通过关联数据库用户将其关联至不同的资源池，用户SQL查询时将根据“用户-资源池”的关联关系将查询转至资源池中执行。通过指定资源池上可并行运行的查询数、单查询内存上限以及资源池可使用的内存和CPU资源，从而实现对不同业务之间的资源限制和隔离，满足数据库混合负载需求。 GaussDB(DWS)主要利用cgroup（control group，控制组）进行CPU资源管控，涉及CPU、cpuacct、cpuset子系统。CPU共享配额管控基于CPU子系统的cpu.shares实现，该配置方法的好处是：OS CPU没有占满的情况下，不触发CPU管控；CPU专属限额管控基于cpuset实现；cpuacct子系统主要用于CPU资源使用的监控。 在DWS管理控制台使用资源管理配置功能创建资源池时，根据业务需要对CPU资源管理的“共享配额”和“专属配额”进行配置。