华为云用户手册

如何确认Flexus L实例 应用镜像启动完毕？ 对于新购买、重装系统或切换操作系统的Flexus应用服务器L实例应用镜像，第一次重置密码时，请确保应用镜像启动完毕后再重置密码。 在应用镜像启动期间，请勿执行重启、开关机、重置密码操作，此类操作可能导致应用镜像启动异常，无法正常登录应用镜像管理界面。 登录Flexus应用服务器L实例控制台，单击资源卡片，进入资源页面。 在“概览”页“镜像信息”中，单击“管理”进入应用镜像管理页面。 安全组入方向规则放开访问应用镜像的端口后，才能正常进入管理页面。如果不能正常打开管理页面前，请检查安全组是否放开相应的端口。具体操作详见Flexus L实例应用镜像安全组配置示例。 如果管理页面显示正常的引导或登录页面，表示应用镜像已经正常启动，例如WordPress的引导页面如下图。否则请耐心等待，稍后重试。 父主题： 操作系统/镜像

Flexus L实例有哪些实例类型？ Flexus应用服务器L实例包含两种实例类型： Flexus应用服务器L实例：包含多种实例规格，购买时支持自定义选择数据盘、主机安全或云备份，创建后默认分配一个固定的公网IP。其中，实例规格包含vCPU/内存、系统盘、流量包。 Flexus服务组合：包含基础套餐和高可用套餐，并且套餐内的资源为固定配置。 组合套餐不支持升级套餐规格，购买时不支持自定义选择主机安全、云备份、Flexus负载均衡。 基础套餐包含一台云主机（vCPU/内存、系统盘）、一个弹性公网IP、流量包、主机安全、云备份。 高可用套餐包含两台云主机（vCPU/内存、系统盘）、一个弹性公网IP、流量包、两个主机安全、云备份、Flexus负载均衡。 高可用套餐不支持使用应用镜像，不支持访问外网。 Flexus L实例规格配置详见实例类型及规格。 父主题： 产品咨询

如何查看Flexus L实例应用镜像中默认安装的应用？ Flexus L实例的应用镜像中安装了应用及其运行的相关应用，在您购买后可开箱即用。如果您需要查看应用镜像中默认安装的应用： 宝塔面板默认仅安装了宝塔面板应用。 对于除过宝塔面板的应用镜像，请登录云主机执行docker ps命令查看。 下图以Wordpress应用镜像为例展示其安装的应用。 图1 Wordpress应用镜像安装的应用 父主题： 操作系统/镜像

Flexus L实例、管理页面、运维面板之间的关系是什么？ Flexus L实例提供了丰富严选的应用镜像。应用镜像包含底层的Linux操作系统（ 操作系统为Ubuntu 22.04），还包含应用软件及相关初始化数据和应用所需的运行环境。 应用镜像有管理页面和运维面板： 管理页面：由于Linux操作系统的代码语言界面不便于用户的操作使用，因此应用镜像具备可视化的管理页面，为用户提供了更简单便捷的使用和管理应用的方式。 运维面板：运维面板是应用镜像的运维页面，具有存储管理页面的初始密码、上传文件、配置 域名 等功能，为部署应用提供运维支持。 仅部分应用镜像有运维面板。 Flexus L实例、管理页面、运维面板的登录方式、初始用户名及密码的区别： 区别 登录方式 初始用户名及密码 Flexus L实例 可通过控制台等多种方式登录。 Flexus L实例（应用镜像）初始用户名为“root”，Flexus L实例无初始密码，须在Flexus L实例控制台重置密码。 管理页面 在控制台“概览”页的“镜像信息”区域中，单击“管理”登录应用镜像的管理页面。 部分应用镜像的管理页面没有初始用户名及密码，会在应用的初始化阶段设置。 部分应用镜像的管理页面有初始用户名及密码，则存储在运维面板中。 运维面板 在本地浏览器输入“http://公网IP:9000”登录应用镜像运维面板。 运维面板的用户名及密码和Flexus L实例相同。 父主题： 产品咨询

解决方法 将 IAM 用户加入用户组，为用户组授予“CORS FullAccess”权限，IAM用户即可继承此权限。本例以您名为“IAM AccountA”的IAM用户为例，介绍如何为您的“IAM AccountA”用户增加权限。 使用IAM用户对应的华为账号登录IAM控制台。 在“用户组”菜单中，在已有用户组（例如GroupA），单击“授权”。 如果您还没有创建用户组，请单击“创建用户组”，创建用户组GroupA后，再单击“授权”。 设置用户组授权配置。 选择策略，设置后单击“下一步”。 搜索“CORS”，选中“CORS FullAccess”，表示为您IAM用户授予Flexus应用服务器L实例相关云服务资源的全部权限，但是不能使用除此之外的其他云服务。 您也可以搜索并选中Tenant Administrator，表示为您IAM用户授予全部云服务管理员（除IAM管理权限）权限，更方便灵活使用云服务。 设置最小授权范围，单击“确定”。 保持默认配置“所有资源”，您也可以根据需要选择其他选项。 单击用户组GroupA右侧“用户组管理”。 搜索并选中您的IAM用户名“IAM AccountA”，单击“确定”。 此时您的IAM用户“IAM AccountA”已经加入用户组GroupA，并继承用户组的权限。 退出管理员账号，使用“IAM AccountA”IAM账号再次登录，即可正常购买Flexus应用服务器L实例。

是否支持跨云迁移到Flexus L实例？ 支持。您可以使用 主机迁移服务 （ SMS ）将其他云服务器迁移至同地区或跨地区的华为Flexus应用服务器L实例。 迁移前，请先了解迁移服务器的以下约束与限制： 仅支持将X86架构服务器迁移至Flexus应用服务器L实例。 SMS服务仅支持迁移服务器整机数据，不支持单独迁移云服务器的系统盘或者数据盘。 仅支持迁移最多一个数据盘的云服务器，不支持迁移多个数据盘的云服务器。并确保目的端Flexus应用服务器L实例系统盘或数据盘容量不小于源端。 具体操作详见使用 主机迁移 服务（SMS）迁移服务器。 父主题： 产品咨询

Flexus L实例的ID和实例中云服务器ID在哪里查看？ Flexus L实例是一个包含云服务器、云硬盘、云备份、主机安全和Flexus负载均衡的组合产品，以套餐形式整体售卖、管理。因此，Flexus应用服务器L实例存在实例ID、云主机ID、云备份ID和Flexus负载均衡ID多个ID。本节为您介绍如何查看Flexus L实例的实例ID和实例中的云服务器ID即云主机ID。 登录Flexus应用服务器L实例控制台。 单击待查看的Flexus L实例资源卡片，在实例名称后可查看实例ID 。 单击“云主机 VM”，在云主机信息中可查看云主机ID。 单击ID后的复制按钮，可快速复制ID。 图1 实例套餐ID和云主机ID 父主题： 产品咨询

Flexus L实例云主机卡顿怎么办？ Flexus L实例云主机卡顿有以下几种原因，请您逐一排查，选择对应的解决方法。 云主机CPU或带宽使用率过高导致卡顿。 请排查影响云服务器带宽和CPU使用率高的进程，关闭无用和异常进程。具体操作请参见Linux云服务器卡顿怎么办？、Windows云服务器卡顿怎么办？。 您也可以升级实例规格，扩大内存、vCPU和带宽规格。具体操作步骤详见升级Flexus L实例。 通过控制台登录云主机时操作卡顿。 使用其他登录方式可解决此问题，登录方式详见登录方式概述。 Flexus L实例云主机是共享型资源实例，vCPU和带宽为多实例共享资源，当vCPU或带宽资源不足时，实例间可能出现资源争抢，导致云主机卡顿。 如果您对业务稳定性要求较高，可升级实例规格。具体操作步骤详见升级Flexus L实例。 父主题： 网络

计费标准 弹性伸缩服务本身不收取费用，但伸缩组自动创建的按需付费实例需要支付相应的费用，实例的计费标准请参见计费说明。实例使用的弹性公网IP也需支付相应的费用，弹性公网IP的计费标准请参见计费说明。 伸缩组进行减容时，自动创建的实例会被移出伸缩组并删除，删除后将不再收取费用。而之前通过手动移入的实例只会被移出伸缩组，系统仍会收取该实例的使用费用。若您不再需要使用该实例，请自行在E CS 页面进行退订。 例如，弹性伸缩进行扩容活动创建了两台实例，使用一个小时后，进行了缩容活动，这两台实例被移出伸缩组并删除了，则系统只收取这两台实例使用一小时产生的费用。

冷却时间 为了避免告警策略频繁触发，必须设置冷却时间。冷却时间是指冷却伸缩活动的时间，单位为秒。在每次伸缩活动完成之后，系统开始计算冷却时间。伸缩组在冷却时间内，会拒绝告警策略的触发，其他类型的伸缩策略（如定时策略和周期策略）及手动触发不受限制。 例如：冷却时间设置为300秒，定时策略设置了10:32进行伸缩活动，10:30告警触发的伸缩活动结束，则在10:30-10:35时间内，伸缩组会拒绝新告警触发的伸缩活动，但不会拒绝在10:32时定时策略触发的伸缩活动；若10:36定时策略触发的伸缩活动结束，则冷却时间为10:36-10:41。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

生命周期 伸缩组中的实例生命周期，从创建实例开始，到该实例从伸缩组中移除结束。 伸缩组中未添加生命周期挂钩时，实例生命周期内状态之间的过渡如图1所示。 图1 实例生命周期内状态之间的过渡 触发条件②和④表示系统自发触发实例状态的改变。 表1 实例的状态 实例所处状态 子状态 实例状态含义 触发条件 初始状态 - 即实例还没状态。 触发条件①包括有两种情况，只要其中一种情况就能够触发实例进入“正在加入”状态。 手动修改期望实例数或满足伸缩策略的条件时，触发伸缩活动，进行扩容。 手动添加已有实例至伸缩组。 正在加入 创建实例 在触发条件①的作用下，伸缩组开始扩容，创建实例。 绑定负载均衡监听器（可选） 在触发条件①的作用下，创建实例完成后，实例绑定负载均衡监听器。 已启用 - 实例进入伸缩组，开始接受处理业务流量。 触发条件③包括有三种情况，只要其中一种情况就能够触发实例从“已启用”状态到“正在移出”状态： 手动修改期望实例数或满足伸缩策略的条件时，触发伸缩活动，进行缩容。 实例进入启用状态后，开始健康检查，健康检查失败后，移出实例。 手动将实例移出伸缩组。 正在移出 解除绑定负载均衡监听器（可选） 在触发条件③的作用下，伸缩组开始缩容，实例解除绑定负载均衡监听器。 删除实例 实例解除绑定负载均衡监听器后，从伸缩组中移出。 已移除 - 实例在伸缩组中的生命周期已结束，即实例没有状态。 - 通过手动添加实例和伸缩活动向伸缩组添加实例，实例经过正在加入、已启用和正在移出状态后，实例将移出伸缩组。 伸缩组中已添加生命周期挂钩后，实例生命周期内状态之间的过渡如图2所示。当伸缩组进行伸缩活动时，实例将被生命周期挂钩挂起并置于等待状态，实例将保持此状态直至超时时间结束或者用户手动回调。用户能够在实例保持等待状态的时间段内执行自定义操作，例如，用户可以在新移入的实例上安装或配置软件，也可以在实例终止前从实例中下载日志文件。 图2 实例生命周期内状态之间的过渡 触发条件②、④、⑥、⑧表示系统自发触发实例状态的改变。 表2 实例状态 实例所处状态 子状态 实例状态含义 触发条件含义 初始状态 - 即实例还没状态。 触发条件①包括有两种情况，只要其中一种情况就能够触发实例进入“正在加入”状态。 手动修改期望实例数或满足伸缩策略的条件时，触发伸缩活动，进行扩容。 手动添加已有实例至伸缩组。 正在加入 创建实例 在触发条件①的作用下，伸缩组开始扩容，创建实例。 加入挂起 - 正在加入伸缩组的实例被生命周期挂钩挂起，将实例至于等待的状态。 触发条件③包括有两种情况，只要其中一种情况就能够触发实例从“加入挂起”到“正在加入”状态。 默认回调操作 手动回调操作 正在加入 绑定负载均衡监听器（可选） 在触发条件③的作用下，实例将继续正在加入伸缩组，绑定负载均衡监听器。 已启用 - 实例进入伸缩组，开始接受处理业务流量。 触发条件⑤包括有三种情况，只要其中一种情况就能够触发实例从“已启用”状态到“正在移出”状态： 手动修改期望实例数或满足伸缩策略的条件时，触发伸缩活动，进行缩容。 实例进入启用状态后，开始健康检查，健康检查失败后，移出实例。 手动将实例移出伸缩组。 正在移出 解除绑定负载均衡监听器（可选） 在触发条件⑤的作用下，伸缩组开始缩容，实例解除绑定负载均衡监听器。 移出挂起 - 正在移出伸缩组的实例被生命周期挂钩挂起，将实例至于等待的状态。 触发条件⑦包括有两种情况，只要其中一种情况就能够触发实例从“移出挂起”到“正在移出”状态。 默认回调操作 手动回调操作 正在移出 删除实例 在触发条件⑦的作用下，实例将继续正在移出伸缩组，删除实例。 已移除 - 实例在伸缩组中的生命周期已结束，即实例没有状态。 - 通过手动添加实例和伸缩活动向伸缩组添加实例，实例经过正在加入、加入挂起、正在加入、已启用、正在移出、移出挂起和正在移出状态后，实例将移出伸缩组。

与其他服务的关系 除直接使用弹性伸缩提供的对资源进行调整的功能外，若您同时购买了云服务中的其他产品，可以结合其他产品一起使用，能满足您多种场景下对云产品的需求。 弹性伸缩服务与周边服务的依赖关系如图1所示。 图1 弹性伸缩服务与其他服务的关系示意图 表1 弹性伸缩与其他服务的关系 服务名称 说明 交互功能 相关内容 弹性负载均衡（Elastic Load Balance） 当配置了负载均衡服务后，弹性伸缩组在添加或移除云服务器时，自动会为云服务器绑定或解绑负载均衡监听器。 AS支持ELB的前提是：弹性伸缩组和负载均衡器必须处于同一VPC内。 使伸缩组中每一个实例均可分配到应用程序流量 添加负载均衡器到伸缩组 云监控服务 （Cloud Eye） 弹性伸缩配置了告警触发策略时，会根据 云监控 的告警条件触发弹性伸缩活动。 通过监控伸缩组内实例的状态指标调节资源。 弹性伸缩支持的监控指标 弹性云服务器（Elastic Cloud Server） 弹性伸缩活动中添加的云服务器可以通过弹性云服务器进行管理和维护。 自动调整弹性云服务器数量 动态扩展资源 虚拟私有云（Virtual Private Cloud） 弹性伸缩支持自动调整虚拟私有云中创建的弹性公网IP带宽或共享带宽大小。 自动调整带宽大小 创建伸缩带宽策略 消息通知 服务（Simple Message Notification） 用户使用消息通知功能后，系统会将伸缩组的多种情况及时推送给用户，便于用户及时了解伸缩组的状态。 消息通知 为伸缩组配置通知 云审计 服务（Cloud Trace Service） 开通云审计服务后，可以记录弹性伸缩相关的操作事件，便于日后的查询、审计和回溯。 日志审计 记录弹性伸缩 标签管理服务（Tag Management Service） 当您具有许多相同类型的弹性伸缩资源时，标签可以为您提供灵活的资源管理能力。 标签 标记伸缩组和实例

审计与日志 云审计服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 弹性伸缩支持使用云审计记录服务资源操作。云审计记录的操作类型有三种，通过云平台账户登录管理控制台执行的操作，通过云服务支持的API执行的操作，以及系统内部触发的操作。 在您的应用系统中启用云审计服务后，将在日志文件记录对弹性伸缩执行的API调用的操作。您可以在云审计服务管理控制台查询近7天内的操作记录。如果需要保存7天之前的操作记录，您可以通过 对象存储服务 （Object Storage Service，以下简称OBS），将操作记录实时同步保存至OBS。 CTS的详细介绍和开通配置方法请参见CTS快速入门。 云审计服务支持的AS操作列表请参见记录弹性伸缩。 查看审计日志请参见查看审计日志。 父主题： 安全

身份认证 统一身份认证 服务（Identity and Access Management，简称IAM）提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有AS的使用权限，但是不希望他们拥有删除伸缩组等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用伸缩组，但是不允许删除伸缩组的权限策略，控制他们对AS资源的使用范围。

访问控制 AS支持通过权限控制（IAM权限）、项目和企业项目、敏感操作、安全组进行访问控制。 表1 AS访问控制 访问控制方式 简要说明 详细介绍 权限控制（IAM权限） 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限管理 项目和企业项目 项目和企业项目都可以授权给一个或者多个用户组进行管理，管理企业项目的用户归属于用户组。通过给用户组授予策略，用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。 管理项目和企业项目 敏感操作 当您开启操作保护后，进行删除伸缩组操作时，需要进行身份认证。 敏感操作 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 配置安全组规则

AS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 AS部署时通过物理区域划分，为项目级服务，授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问AS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对AS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，AS支持的API授权项请参见策略及授权项说明 。 如表1所示，包括了AS的所有系统权限。 表1 AS系统权限 策略名称 描述 类别 依赖关系 AutoScaling FullAccess 对弹性伸缩全部资源的所有执行权限。 系统策略 无 AutoScaling ReadOnlyAccess 弹性伸缩只读权限，对弹性伸缩全部资源的只读权限。 系统策略 无 AutoScaling Administrator 对弹性伸缩全部资源的所有执行权限。 系统角色 依赖ELB Administrator、 CES Administrator、Server Administrator和Tenant Administrator角色，在同项目中勾选依赖的角色。 表2列出了AS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 AutoScaling FullAccess AutoScaling ReadOnlyAccess AutoScaling Administrator 创建伸缩组 √ x √ 修改伸缩组 √ x √ 查询伸缩组详情 √ √ √ 删除伸缩组 √ x √ 创建伸缩配置 √ x √ 创建伸缩策略 √ x √ 创建伸缩带宽策略 √ x √

什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

提高可用性 弹性伸缩可确保应用系统始终拥有合适的容量以满足当前流量需求。 弹性伸缩和负载均衡结合使用 当您在使用弹性伸缩时，业务增长时应用系统自动扩容，业务下降时应用系统自动缩容，在伸缩组添加和删除实例时，须确保所有实例均可分配到应用程序的流量。弹性伸缩和负载均衡结合使用可以解决这个问题。 使用负载均衡后，伸缩组会自动地将加入伸缩组的实例绑定负载均衡监听器。访问流量将通过负载均衡监听器自动分发到伸缩组内的所有实例，提高了应用系统的可用性。若伸缩组中的实例上部署了多个业务，还可以添加多个负载均衡监听器到伸缩组，同时监听多个业务，从而提高业务的可扩展性。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

产品架构 通过伸缩控制可以实现弹性云服务器（ECS）实例伸缩和带宽伸缩： 伸缩控制：配置策略设置指标阈值/伸缩活动执行的时间，通过云监控监控指标是否达到阈值，通过定时调度，实现伸缩控制。 配置策略：可以根据业务需求，配置告警策略/定时策略/周期策略。 配置告警策略：可配置CPU、内存、磁盘、入网流量等监控指标。 配置定时策略：通过配置触发时间可以配置定时策略。 配置周期策略：通过配置重复周期、触发时间、生效时间可以配置周期策略。 云监控监控到所配置的告警策略中的某些指标达到告警阈值，从而触发伸缩活动，实现ECS实例的增加/减少或带宽的增大/减小。 到达所配置的触发时间时，触发伸缩活动，实现ECS实例的增加/减少或带宽的增大/减小。 图1 弹性伸缩产品架构图

自动调整资源 弹性伸缩能够实现应用系统自动按需调整资源，即在业务增长时能够实现自动增加实例数量和带宽大小，以满足业务需求，业务下降时能够实现应用系统自动缩容，保障业务平稳运行。 按需调整云服务器资源 向应用系统中添加弹性伸缩，能够实现按需调整资源，即能够实现在业务增长时增加实例，业务下降时减少实例，这样加强了应用系统的成本管理。调整资源主要包括以下几种方式： 动态调整资源 动态调整资源是通过告警策略的触发来调整资源。 计划调整资源 计划调整资源是通过定时策略或周期策略的触发来调整资源。 手工调整资源 通过修改期望实例数或手动移入、移出实例来调整资源。 例如，运行在公有云上的基本Web应用程序。此应用程序允许乘客购买火车票。在每年中期时段，人员流动性较低，此应用程序的使用率较低。每年年底和年初，人员流动性较高，因此对此应用程序的需求会显著提高。一般系统会采用添加足够多的服务器，如图1所示，或添加处理应用程序平均需求所需的容量，如图2所示，来满足业务需求。但这两种方案会造成资源浪费或无法满足高峰期的需求。当您给应用程序中添加弹性伸缩后，弹性伸缩会自动根据需求调整服务器的数量，如图3所示，为您节约成本并且满足高峰期的需求。 图1 服务器资源冗余 图2 服务器资源不足 图3 向应用程序中添加弹性伸缩 按需调整带宽资源 弹性伸缩能够实现按需调整带宽，即能够实现在业务增长时扩大带宽，业务下降时减小带宽，加强了应用系统的成本管理。 您可以根据实际情况选择如下伸缩带宽策略来实现按需调整IP带宽： 告警策略 可设置出网流量、出网带宽等告警触发条件，系统检测到触发条件满足时，会自动调整带宽的大小。 定时策略 系统可根据定时策略在固定的时间自动将带宽增大、减小或者调整到固定的值。 周期策略 系统可根据周期策略周期性的调整带宽大小，减少了人工重复设置带宽的工作量。 以告警策略的使用为例说明如下： 某 视频直播 网站，在不同时间段业务负载变化难以预测，需要根据出网流量、入网流量等指标在10Mbit/s到30Mbit/s之间动态调整带宽资源。弹性伸缩可以实现自动按需调整带宽，很好的解决这个问题。您只需选择需要调整的弹性公网IP，同时创建两个告警策略，一个策略设置在出网流量大于XXXbyte时，增加2Mbit/s，限制值为30Mbit/s；另一个策略在出网流量小于XXXbyte时，减少2Mbit/s，限制值为10Mbit/s。 按可用区均匀分配实例 按可用区均匀分配实例是指尽可能地将实例均匀的分布在不同的可用区中，来降低电力、网络等可能出现的故障对整个系统稳定性的影响。 区域指弹性云服务器云主机所在的物理位置。每个区域包含许多不同的称为“可用区”的位置，即在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。每个可用区都被设计成不受其他可用区故障影响的模式，并提供低价、低延迟的网络连接，以连接到同一地区其他可用区。 伸缩组可以包含来自同一区域的一个或多个可用区的实例。在资源调整时，弹性伸缩会通过实例分配和再均衡两种方法尽可能的将实例均匀分配到可用区中。 实例分配 弹性伸缩尝试在为伸缩组使用的可用区之间均匀分配实例。弹性伸缩通过尝试向实例最少的可用区中移入新实例来实现此目标。 例如，伸缩组目前有四个实例均匀分布在两个可用区内，若该伸缩组下一个伸缩活动增加四个实例时，会在两个可用区内分别增加两个实例，以实现可用区之间均匀分配实例。 图4 均匀实例分配 再均衡 手工加入或移出实例后，伸缩组中的实例没有均匀分配在可用区时，后续进行的伸缩活动会优先在可用区内均匀分配实例。 例如，伸缩组中目前有三个实例分布在两个可用区内，若该伸缩组下一个伸缩活动增加五个实例时，会在有两个实例的可用区内增加两个实例，在有一个实例的可用区增加三个实例，以实现可用区之间均匀分配实例。 图5 再均衡

访问方式 公有云提供了Web化的服务管理平台，即管理控制台和基于HTTPS请求的API（Application programming interface）管理方式。 API方式 如果用户需要将公有云平台上的弹性伸缩服务集成到第三方系统，用于二次开发，请使用API方式访问弹性伸缩服务，具体操作请参见《弹性伸缩API参考》。 控制台方式 其他相关操作，请使用管理控制台方式访问弹性伸缩服务。 如果用户已注册公有云，可直接登录管理控制台，从主页选择“弹性伸缩”。

入门实践 当您将防护网站接入 Web应用防火墙 （WAF）后，可以根据自身业务场景使用WAF的一系列常用实践。 表1 常用最佳实践 实践 描述 域名接入 未使用代理的网站通过CNAME方式接入WAF 网站没有接入WAF前，DNS直接解析到源站的IP。网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 本文介绍通过DNS配置模式接入WAF时，如何在已添加网站配置后，配置域名解析，实现业务接入。 使用DDoS高防和WAF提升网站全面防护能力 “DDoS高防+WAF”组合可以对华为云、非华为云或云下的域名进行联动防护，同时防御DDoS攻击和Web应用攻击，确保业务持续可靠运行。 防御DDoS攻击：NTP Flood攻击、SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击、HTTP Get Flood攻击等。 防御Web应用攻击：SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等。 使用CDN和WAF提升网站防护能力和访问速度 “CDN+WAF”组合可以对华为云、非华为云或云下的域名进行联动防护，同时提升网站的响应速度和网站防护能力。 使用独享WAF和7层ELB以防护任意非标端口 如果您需要防护WAF支持的端口以外的非标端口，可参考本章节配置WAF的独享模式和7层ELB联动，实现任意端口业务的防护。 CDN回源OBS桶场景下连接WAF提升OBS安全防护 当您的网站域名开启了华为云 CDN加速 ，且回源到华为云对象存储 OBS（Object Storage Service，OBS）时，如果该网站存在一定的Web攻击风险，我们推荐您组合使用CDN、OBS和Web 应用防火墙 WAF（Web Application Firewall），将开启CDN加速的域名接入WAF，实现OBS的安全防护。本文介绍如何为业务同时部署CDN、OBS、WAF。 使用WAF、ELB和NAT网关防护云下业务 WAF云模式-ELB接入默认只支持云上业务，当您的源站服务器在云下时，需要通过NAT网关进行流量转发，将您的流量由华为云内网回源到源站的公网IP，再通过云模式-ELB接入方式将网站接入WAF，实现流量检测。 策略配置 网站防护配置建议 从不同场景、角色的视角介绍Web应用防火墙（Web Application Firewall，简称WAF）的防护规则，帮助您从自己最关心的需求入手，了解WAF的防护逻辑。 使用WAF防护CC攻击 基于Web应用防火墙实践编写，指导您在遭遇CC（Challenge Collapsar）攻击时，完成基于IP限速和基于Cookie字段识别的防护规则配置。 使用WAF阻止爬虫攻击 Web应用防火墙可以通过Robot检测（识别User-Agent）、网站反爬虫（检查浏览器合法性）和CC攻击防护（限制访问频率）三种反爬虫策略，帮您解决业务网站遭受的爬虫问题。 使用Postman工具模拟业务验证全局白名单规则 当防护网站成功接入WAF后，您可以使用接口测试工具模拟用户发起各类HTTP(S)请求，验证配置的WAF防护规则是否生效，检验防护效果。 本实践以Postman工具为例，说明如何验证全局白名单（原误报屏蔽）规则。 通过WAF和HSS提升网页防篡改能力 主机安全HSS网页防篡改功能和Web应用防火墙“双剑合璧”，杜绝网页篡改事件发生。 LTS 日志分析 通过LTS查询并分析WAF访问日志 开启WAF全量日志功能后，您可以将攻击日志、访问日志记录到 云日志 服务（Log Tank Service，简称LTS）中。通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 通过LTS分析Spring core RCE漏洞的拦截情况 对WAF攻击日志开启LTS快速分析功能，通过Spring规则ID快速查询、分析被拦截的Spring core RCE漏洞日志。 通过LTS配置WAF规则的拦截告警 本实践对WAF攻击日志开启LTS快速分析功能，再配置告警规则，实现WAF规则拦截日志的分析及告警，实时洞察您的业务在WAF中的防护情况并做出决策分析。 TLS加密配置 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全 HTTPS协议是由“TLS（Transport Layer Security，传输层安全性协议）+HTTP协议”构建的可进行加密传输、身份认证的网络协议。 当域名接入WAF时，如果客户端采用HTTPS协议请求访问服务器（即防护域名的“对外协议”配置为“HTTPS”），您可以通过为域名配置最低TLS版本和加密套件来确保网站安全。 源站安全保护实践 通过WAF提升客户端访问域名的通道安全 HTTPS协议是由TLS（Transport Layer Security，传输层安全性协议）+HTTP协议构建的可进行加密传输、身份认证的网络协议。当域名接入WAF时，如果客户端采用HTTPS协议请求访问服务器，即防护域名的“对外协议”配置为“HTTPS”时，您可以通过为域名配置最低TLS版本和加密套件来确保网站安全。 通过ECS/ELB访问控制策略保护源站安全 介绍源站服务器部署在华为云弹性云服务器（以下简称ECS）、或华为云弹性负载均衡（以下简称ELB）时： 如何判断源站是否存在泄漏风险？ 如何配置访问控制策略保护源站安全？ 获取客户端真实IP 获取客户端真实IP 介绍通过WAF直接获取真实IP的方法，以及不同类型的Web应用服务器（包括Tomcat、Apache、Nginx、IIS 6和IIS 7）如何进行相关设置，以获取客户端的真实IP。 通过CES配置WAF指标异常告警 通过CES配置WAF指标异常告警 介绍如何在华为云云监控服务（CES）对WAF指标配置异常告警，当Web应用防火墙（WAF）的监控指标出现异常情况，及时了解WAF防护状况，从而起到预警作用。

GUC参数 表7 GUC参数 变更类型 序号 名称 变更描述 新增 1 max_queue_statements 默认为-1，标识最大排队长度，当作业排队超过该值时报错退出。对于新装和升级集群该参数不生效。 2 job_retention_time 标识pg_job执行结果最长保存天数，默认为30。 3 vector_engine_strategy 控制向量化算子的策略，默认为improve，表示尽可能将计划向量化；可设置为force，表示强制回退为行存计划。 4 enable_release_scan_lock 控制SELECT语句是否在语句执行结束后将一级锁释放。默认关闭。 5 job_queue_naptime 设置触发调度任务检查的时间间隔及任务线程启动的超时时间，默认1s。 6 approx_count_distinct_precision 该参数表示HyperLogLog++ (HLL++)算法中分桶个数，可以用来调整approx_count_distinct聚集函数的误差率。桶的个数会影响distinct值估算的精度，桶的个数越多，误差越小。默认值17。 7 llvm_compile_expr_limit 限制LLVM表达式最大编译个数。 8 llvm_compile_time_limit LLVM编译时间在执行器运行时间中的占比超过llvm_compile_time_limit所设置的阈值，说明LLVM编译时间占比过高，生成告警提示。 9 max_opt_sort_rows 控制order by子句中最大优化的limit+offset行数。如果超过这一行数，走原逻辑，小于这个行数走优化后逻辑。默认设为0，即默认走原逻辑。 10 dfs_max_memory 设置orc导出时能占用的最大内存。默认值262144KB。 11 default_partition_cache_strategy 控制分区缓存的默认策略。 12 enable_connect_standby 设置CN是否连接DN备机。仅适用于运维操作。 13 enable_stream_sync_quit 设置stream计划结束时，stream线程是否同步退出。默认关闭，实现sync quit不阻塞。 14 full_group_by_mode 用于控制disable_full_group_by_mysql语法开关打开后的两种不同行为： nullpadding表示对于非聚集列而言，对该列NULL值进行填充，取该列非NULL值，结果集可能为不同行。 notpadding表示对于非聚集列而言，不处理NULL值，取该行整行数据，非聚集列结果集为随机的一行。 修改 15 behavior_compat_options 新增选项alter_distribute_key_by_partition，控制ALTER TABLE修改分区表分布列时INSERT INTO是否按分区执行。 16 behavior_compat_options 新增选项enable_full_string_agg，控制string_agg(a, delimeter) over (partition by b order by c)场景行为，采用窗口内的全量聚合逻辑还是增量聚合逻辑。 17 behavior_compat_options 新增选项unsupported_set_function_case，控制是否支持case when条件中含有返回为多结果集函数。 18 behavior_compat_options 新增选项enable_unknown_datatype。在未设置时，不允许用户创建存在unknown类型列的表。 19 behavior_compat_options 新增选项enable_whole_row_var。针对使用表名做表达式场景（SELECT T FROM T，或SELECT .... FROM T GROUP BY T），未设置enable_whole_row_var选项时，在parse阶段，对该类场景进行拦截，报错处理。 20 time_track_strategy 参数由USERSET级别修改为SIGHUP级别，内核层面默认修改为timer，可以通过管理控制台设置为tsc。 21 rewrite_rule 控制在重写时是否走case when改写。

系统函数 表5 系统函数 变更类型 序号 名称 变更描述 新增 1 dbms_job.submit_node 新增dbms_job.submit_node，功能在submit基础上增加job_node，用于指定执行节点，默认null，代表当前CN节点。 2 dbms_job.change_node 新增dbms_job.change_node用于指定执行节点，默认null，代表当前CN节点。 3 漏斗函数 新增漏斗函数windowfunnel。 4 留存函数 新增留存函数retention。 5 留存扩展函数 新增留存扩展函数range_retention_count。 6 留存扩展函数 新增留存扩展函数range_retention_sum。 7 approx_count_distinct 新增近似计算聚集函数。 8 pg_scan_residualfiles 扫描当前节点当前库中所有符合特征的残留文件。 9 pgxc_scan_residualfiles 扫描多个节点当前库中所有符合特征的残留文件。 10 pg_get_scan_residualfiles 获取当前节点扫描到的残留文件列表。 11 pgxc_get_scan_residualfiles 获取多个节点上扫描到的残留文件列表。 12 pg_archive_scan_residualfiles 归档当前节点扫描的残留文件列表。 13 pgxc_archive_scan_residualfiles 归档多个节点上扫描的残留文件列表。 14 pg_rm_scan_residualfiles_archive 删除当前节点所有残留文件归档。 15 pgxc_rm_scan_residualfiles_archive 删除多个节点上所有残留文件归档。 16 pg_partition_management_time 修改自增分区任务调用时间。 17 uniq 辅助完成精准去重等对数据的uv计算。 18 reload_cold_partition 冷热表冷分区转热。 修改 19 pgxc_get_small_cu_info 增加可以查询二级分区每个分区cu数量的功能。 20 pgxc_get_wlm_session_info_bytime 增加parse_time字段。 删除 21 pg_sync_cstore_delta(text) 废弃系统函数日落。 22 pg_sync_cstore_delta 废弃系统函数日落。 23 pgxc_pool_check 废弃系统函数日落。 24 pg_delete_audit 废弃系统函数日落。 25 pg_log_comm_status 废弃系统函数日落。 26 pgxc_log_comm_status 废弃系统函数日落。 27 signal_backend 废弃系统函数日落。 28 pg_stat_get_realtime_info_internal 废弃系统函数日落。 29 pg_stat_get_wlm_session_info_internal 废弃系统函数日落。 30 pg_stat_get_wlm_session_info 废弃系统函数日落。 31 pg_stat_get_wlm_statistics 废弃系统函数日落。 32 pg_user_iostat 废弃系统函数日落。 33 pg_stat_get_wlm_session_iostat_info 废弃系统函数日落。

行为变更 表2 行为变更 变更类型 序号 名称 变更描述 删除 1 policy_oid 原policy_oid字段在升级到8.3.0版本时字段为NULL，现改为在升级阶段通过脚本对policy_oid字段填充对应的policy_oid。 修改 2 gs_dump gs_dump会带上索引的unusable状态。 3 pg_get_tabledef pg_get_tabledef会带上索引的unusable状态。 4 pg_get_indexdef pg_get_indexdef会带上索引的unusable状态。 5 create table like including复制的索引会带上源索引的unusable状态。

系统视图 表6 系统视图 变更类型 序号 名称 变更描述 新增 1 pgxc_memory_debug_info 显示当前集群每个节点在执行作业时的内存报错信息，便于定位内存报错问题。 修改 2 pgxc_stat_object 跟随pg_stat_object一起更改，预留字段extra1改名为last_autovacuum_csn。 3 gs_wlm_session_statistics 增加parse_time字段。 4 pgxc_wlm_session_statistics 增加parse_time字段。 5 gs_wlm_session_history 增加parse_time字段。 6 pgxc_wlm_session_history 增加parse_time字段。 7 gs_wlm_session_info 增加parse_time字段。 8 information_schema.tables 修改视图定义，改变筛选条件，使reloptions为空的视图可以查到。 9 gs_table_stat 优化gs_table_stat视图查询性能。 10 gs_row_table_io_stat 等价逻辑改写查询性能优化。 11 gs_column_table_io_stat 等价逻辑改写查询性能优化。 删除 12 gs_wlm_session_info_all 废弃系统视图日落。 13 pg_wlm_statistics 废弃系统视图日落。 14 pg_session_iostat 废弃系统视图日落。

8.1.3.336 表1 8.1.3.336新增功能/解决问题列表 类别 功能或问题描述 问题原因 问题出现版本 修复建议 新增功能 无 - - - 解决问题 外表导入报错value too long for type character varying(512)。 ORC外表类型与文件对应字段类型不一致时（外表类型是varchar(y)，文件对应字段类型是string），导入时由于字段超长导致报错。 8.1.1.100 升级到8.1.3.336及以上。 OpenSSL变更引起CM启动调度器报错，影响安装、扩容、调度器功能。 OpenSSL更改了LD_LIBRARY_PATH的顺序，系统目录在前，GAUSS目录在后，导致启动调度器时找到了错误的so文件，启动失败。 8.1.3.336以前

8.1.3.330 表3 8.1.3.330新增功能/解决问题列表 类别 功能或问题描述 问题原因 问题出现版本 修复建议 新增功能 无 - - - 解决问题 insert into select语句在计划生成阶段core，执行select部分不会core。 ORCLAUSE转换，对两个相同的sublink替换，将其指向同一个OpExpr，再次提升时在OffsetVarNodes中会将varno调整两次，造成后续core。 8.1.3.330以前版本 升级到8.1.3.330及以上。 列存轻量化用例概率触发core:CStorePartitionInsert::findBiggestPartition。 列存分区表统计bulkloadUsedMemSize，将update算子和insert算子混在一起统计，但是在判断是刷盘到disk时，内存自适应的大小是根据每个算子估出来的，导致g_bulkloadUsedMemSize统计常常大于估算值，update算子占用内存到估算内存临界值时，可能造成insert算子一条数据都无法插入。 8.1.3.330以前版本 出现wait ccn排队，但是看资源池的估算内存和占用内存，以及并发数未到排队阈值。 作业在CCN排队时无法进行全局内存校准，阻塞了作业。 8.1.3.330以前版本 用户直接查表没有权限 ，但是嵌套一层查询就可以查到。 light proxy的权限检查是在CN的checkLightQuery中调用权限校验公共函数ExecCheckRTPerms实现的，在DN上不会再进行权限检查。而在调用ExecCheckRTPerms时，其入参rangeTables需要是RTE_RELATION。否则会在ExecCheckRTEPerms中直接返回true。当是嵌套SQL时，类型是RTE_SUBQUERY，绕过了权限检查。 8.1.3.330以前版本 作业运行过程中偶现删除语句报错，报错信息为canceling statement due to statement timeout。 w报文未重新设置事务时间，导致线程复用。 8.1.3.330以前版本 json类型查询内存泄露，导致重分布占用大量内存影响业务。 在jsonb的out函数中存在内存未释放问题，数据量大时出现堆积造成使用内存高。 8.1.3.330以前版本 作业并发执行报错:tuple concurrently updated。 分区和表的oid相同，analyze时使用分区的oid更新了pg_object，实质上是将表的pg_object记录更新。此时有并发的DDL操作，例如alter table同时更新了表的pg_object记录，就会出现并发更新的报错。 8.1.3.330以前版本