华为云用户手册

包年/包月套餐说明 需求管理服务采用包年/包月和资源扩展计费模式，提供基础版和专业版套餐，以满足不同规模用户的使用需求。 不同版本套餐中，提供的功能特性及资源规格略有不同，详情请参见表1。 表1 套餐包详情 套餐说明 适用场景 知识库文件存储容量 特性 包月计费 需求管理服务基础版 适用于个人开发者或者小微企业。 50GB Scrum需求模型 看板需求模型 IPD云服务/自运营模型 甘特、思维导图规划 迭代管理 原始需求管理 Wiki、文档写作 计费模式：包周期 需求管理服务专业版 适用于中大型企业。 100GB 基础版所有特性 IPD系统设备类需求模型 IPD独立软件类需求模型 需求基线及变更管理 特性树管理 两级项目计划管理 计费模式：包周期

包年/包月资源 对于包年/包月计费模式的资源，例如包年/包月的需求管理服务、包年/包月的云硬盘等，用户在购买时会一次性付费，服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月需求管理服务，您可以执行退订操作。需求管理服务套餐、资源扩展支持退订。系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户。详细的退订规则请参见云服务退订规则概览。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日（默认为到期前7日）之前关闭自动续费。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

计费说明 需求管理服务套餐的包年/包月计费模式，计费项只包含用户数，即实际购买需求管理包周期套餐的人数。具体内容如表1所示。 需求管理服务资源扩展的计费项为存储容量。具体内容如表2所示。 表1 需求管理服务用户数计费项 计费项 计费项说明 计费公式 用户数 某一Region内，购买需求管理包周期套餐的人数。 单价*用户数*购买时长 表2 需求管理服务存储扩展计费项 计费项 计费项说明 计费公式 知识库存储容量 某一Region内，租户中知识库文件以及需求管理服务工作项附件的总容量。 单价*存储容量*购买时长

按需计费项 需求管理服务的计费项为用户数和存储空间。 用户数，即用于计费计量的用户数，是该租户下加入项目的去重用户数，也包括从其他租户邀请加入到本租户项目的用户数。 如果该租户下的某个用户加入该租户下的多个项目，也只作为一个用户数计费。 例如：有A、B两个项目，A项目10人，B项目5人，A、B项目里的人是重叠的，B项目的5个用户也在A项目，A、B项目一起实际收费是按10人收。 如果该租户下的某个用户没有加入该租户下的任何一个项目，则不参与计费。 如果该租户下的某个项目邀请了其他租户的用户加入，则这批用户也作为邀请租户的用户进行计费。 这批用户同时也会按自己归属租户的计费原则进行计费。 存储空间，即用于计费计量的存储空间，是按这个租户所有消耗的存储空间进行计量计费，并不区分项目。 存储空间主要来自于用户使用文档托管服务的存储空间消耗，包括直接上传托管到文档管理服务的文档，也包括作为工作项附件的文档。 开通服务前，提供5用户+500MB存储空间内 免费体验 。 当需要加入第6个人时，系统提示开通服务。 开通服务后，即通过管理控制台开通需求管理服务后， 此时免费额度失效，将按实际用量计费，前面5个人和存储空间500MB开始计费。 例如：项目中在免费额度（5个人）基础上再加入1个人，则此时需求管理服务的用户数共有6（即5+1）人，计费也按照6个人计费。 当前用户数和存储空间按小时计量和计费。 表1 服务计费标准 计费因子 价格 价格单位 用户数*时间 0.08 元/用户/小时 存储空间*时间 0.000442 元/GB/小时

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

审计 云审计 服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录GeminiDB的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的GeminiDB Redis管理事件和数据事件列表，请参见支持审计的关键操作列表。 CTS支持追踪的GeminiDB Influx管理事件和数据事件列表，请参见支持审计的关键操作列表。 CTS支持追踪的GeminiDB Cassandra管理事件和数据事件列表，请参见支持审计的关键操作列表。 CTS支持追踪的GeminiDB Mongo管理事件和数据事件列表，请参见支持审计的关键操作列表。

与其他服务的关系 云数据库 GeminiDB与其他服务的关系，如图1所示。 图1 云数据库 GeminiDB与其他服务的关系 表1 云数据库 GeminiDB与其他服务的关系 服务名称 云数据库 GeminiDB与其他服务的关系 弹性云服务器 弹性云服务器（Elastic Cloud Server，简称E CS ）为云数据库 GeminiDB提供可弹性申请的计算资源，为数据库实例提供运行环境。 虚拟私有云 通过虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组实现网络隔离。虚拟私有云允许租户通过配置虚拟私有云入站IP范围，来控制连接数据库的IP地址段。数据库实例运行在租户独立的虚拟私有云内，可提升数据库实例的安全性。 弹性公网IP 弹性公网IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。 对象存储服务 备份数据存储至对象存储服务（Object Storage Service，简称OBS），在提高数据容灾能力的同时有效降低磁盘空间占用。 云审计服务 云审计服务（Cloud Trace Service，简称CTS），记录了云数据库 GeminiDB相关的操作事件，方便用户日后的查询、审计和回溯。 统一身份认证 服务 统一身份认证服务（Identity and Access Management，简称 IAM ）为云数据库 GeminiDB提供了权限管理功能。 标签管理服务 标签管理服务（Tag Management Service，简称TMS）用于用户在云平台，通过统一的标签管理各种资源。标签管理服务与各服务共同实现标签管理能力，标签管理服务提供全局标签管理能力，各服务维护自身标签管理。

日志 GeminiDB Redis 支持查看数据库级别的慢日志，执行时间的单位为ms。通过该日志，可查找出执行效率低的语句，进行优化。 慢日志的详细介绍，请参见慢日志。 GeminiDB Cassandra 支持查看数据库级别的慢日志，执行时间的单位为ms。通过该日志，可查找出执行效率低的语句，进行优化。 慢日志的详细介绍，请参见慢日志。 GeminiDB Mongo 支持查看数据库级别的慢日志，执行时间的单位为ms。通过该日志，可查找出执行效率低的语句，进行优化。 慢日志的详细介绍，请参见慢日志。 支持查看数据库级别的错误日志，包括数据库运行的Warning和Error级别的信息，有助于分析系统中存在的问题。 错误日志的详细介绍，请参见错误日志。

云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，云数据库 GeminiDB支持的API授权项请参见云数据库 GeminiDB服务授权项说明。 如表1所示，包括了云数据库 GeminiDB的所有系统权限。 表1 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 云数据库 GeminiDB服务所有权限。 系统策略 创建包周期实例需要配置CBC权限： bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限： bss:unsubscribe:update 如果要使用存储空间自动扩容功能，IAM子账号需要添加如下授权项： 创建自定义策略： iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToGroupOnProject iam:roles:listRoles iam:roles:createRole 添加系统角色：Security Administrator 选择该用户所在的一个用户组。 单击“授权”。 添加Security Administrator系统角色。 其中GeminiDB FullAccess已包含iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:pass权限。 由于GeminiDB是Region级服务，而IAM是Global级服务，将GeminiDB FullAccess授权给项目时，需要再授权BSS ServiceAgencyReadPolicy（全局级服务）；如果将GeminiDB FullAccess授权给全部项目，可正常使用IAM权限。 BSS ServiceAgencyCreatePolicy包含其他操作权限： iam:agencies:createAgency iam:permissions:grantRoleToAgency GeminiDB ReadOnlyAccess 云数据库 GeminiDB服务只读权限。 系统策略 无 表2列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 查询企业项目配额管理列表 √ √ 修改企业项目配额 √ x 切换SSL开关 √ x 停止备份 √ x 表3列出了云数据库 GeminiDB常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc:*:create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc:*:get和vpc:*:list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 删除实例 nosql:instance:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 企业项目(Enterprise Project) - 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 企业项目(Enterprise Project) - 变更实例安全组 nosql:instance:modifySecurityGroup 支持： IAM项目(Project) 企业项目(Enterprise Project) - 修改数据库端口 nosql:instance:modifyPort 支持： IAM项目(Project) 企业项目(Enterprise Project) - 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 具体请参见浮动IP。 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持企业项目 不支持细粒度 具体请参见浮动IP。 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 企业项目(Enterprise Project) - 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 企业项目(Enterprise Project) - 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) - 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 企业项目(Enterprise Project) - 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 企业项目(Enterprise Project) - 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 下载备份文件 nosql:backup:download 支持： IAM项目(Project) 企业项目(Enterprise Project) - 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 备份恢复到已有实例 nosql:backup:restoreToExistInstance 支持： IAM项目(Project) 企业项目(Enterprise Project) - 删除备份 nosql:backup:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) - 创建参数模板 nosql:param:create 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询参数模板列表 nosql:param:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 修改参数模板中的参数值 nosql:param:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) - 变更实例下节点的参数配置 nosql:instance:modifyParameter 支持： IAM项目(Project) 企业项目(Enterprise Project) - 删除参数模板 nosql:param:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) - 标签操作 nosql:instance:tag tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 标签列表 nosql:tag:list tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询企业项目配额管理列表 nosql:quota:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 修改企业项目配额 nosql:quota:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) - 切换审计日志开关 nosql:instance:switchAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) - 下载审计日志 nosql:instance:downloadAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) - 删除审计日志 nosql:instance:deleteAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) - 更新慢日志明文开关 nosql:instance:modifySlowLogPlaintextSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) - 切换SSL开关 nosql:instance:switchSSL 支持： IAM项目(Project) 企业项目(Enterprise Project) - 修改内网IP nosql:instance:modifyPrivateIp 支持： IAM项目(Project) 企业项目(Enterprise Project) - 切换主备节点 nosql:instance:switchover 支持： IAM项目(Project) 企业项目(Enterprise Project) - 数据库补丁升级 nosql:instance:upgradeDatabaseVersion 支持： IAM项目(Project) 企业项目(Enterprise Project) - 停止备份 nosql:backup:stop 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询日志配置组 lts:groups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询日志配置流 lts:topics:get 支持： IAM项目(Project) 企业项目(Enterprise Project) -

高可靠 数据备份 数据备份包括自动和手动两种方式。自动备份为系统自动创建的数据库实例的全量备份，手动备份是由用户启动的数据库实例的全量备份，且备份成功后均支持恢复。 备份数据存储至对象存储服务（Object Storage Service，简称OBS），在提高数据容灾能力的同时有效降低磁盘空间占用。创建实例时，默认开启自动备份策略，实例创建成功后，将自动执行一次全量备份，该备份文件默认保留7天，创建成功后可以设置自动备份的周期，修改备份策略。同时，用户也可以根据自身业务特点随时发起备份，手动备份会一直保存，直到用户手动删除。

高安全 网络隔离 通过虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组实现网络隔离。虚拟私有云允许租户通过配置虚拟私有云入站IP范围，来控制连接数据库的IP地址段。数据库实例运行在租户独立的虚拟私有云内，可提升数据库实例的安全性。您可以综合运用子网和安全组的配置，来完成数据库实例的隔离。 访问控制 可以通过虚拟私有云对数据库实例所在的安全组入站、出站规则进行限制，从而控制可以连接数据库的网络范围。 传输加密 通过SSL加密实现传输加密。使用从服务控制台上下载的CA根证书，并在连接数据库时提供该证书，对数据库服务端进行认证并达到加密传输的目的。 安全防护 云数据库 GeminiDB具有多层网络防护。通过虚拟私有云、子网、安全组、DDoS防护以及SSL安全访问等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 基于虚拟私有云技术，真正实现租户隔离和访问控制。 通过传输层SSL安全协议，提供安全及数据完整性保障。 可在IP及端口层面进行安全访问限制，加强云数据库 GeminiDB与其他服务间的安全访问。 性能监控 云数据库 GeminiDB具有完善的性能监控，为您分担60%以上的运维工作。对CPU使用率、IOPS、网络吞吐量等实例信息实时监控及报警，随时随地了解实例动态。

监控指标 云数据库 GeminiDB提供基于 云监控服务 CES的资源和操作监控能力，帮助用户监控账号下的GeminiDB实例，执行自动实时监控、告警和通知操作。用户可以实时掌握实例运行过程中产生的运行指标和存储用量等信息。 关于GeminiDB Redis支持的监控指标，以及如何创建监控告警规则等内容，请参见支持的监控指标。 关于GeminiDB Influx支持的监控指标，以及如何创建监控告警规则等内容，请参见支持的监控指标。 关于GeminiDB Cassandra支持的监控指标，以及如何创建监控告警规则等内容，请参见支持的监控指标。 关于GeminiDB Mongo支持的监控指标，以及如何创建监控告警规则等内容，请参见支持的监控指标。

IoT 云数据库 GeminiDB兼容Cassandra接口，拥有超强写入性能，专为密集写入而设计。它适用于各种不同的行业，例如制造业、物流业、医疗保健业、房地产业、能源生产业、农业等等。 无论传感器类型如何，都可以很好地处理传入数据，并为进一步的数据分析提供了可能。 优势： 超强写入：相比于其他NoSQL服务，拥有超强的写入性能。 弹性扩展：基于计算存储分离的分布式架构，分钟级计算节点扩容，应对业务高峰期；秒级存储扩容应对7*24不间断的大数据量写入。

访问控制 权限控制 购买实例之后，您可以使用IAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过IAM进行精细的权限管理。具体内容请参见权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为云数据库构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。 子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。 具体内容请参见创建虚拟私有云和子网。 安全组 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器和云数据库 GeminiDB实例提供访问策略。为了保障数据库的安全性和稳定性，在使用GeminiDB数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 具体请参见设置安全组规则。

服务韧性 GeminiDB Redis使用DFV存储池，本身具有三副本的冗余，提供数据实时持久化，还通过多可用区部署、秒级故障接管、负载均衡、节点可缩减等技术方案，保障实例的可靠性和可用性。 GeminiDB Influx使用DFV存储池，本身具有三副本的冗余，支持高写入性能，还通过多可用区部署、弹性扩展等技术方案，保障实例的可靠性和可用性。 GeminiDB Cassandra使用DFV存储池，本身具有三副本的冗余，支持7*24小时在线数据实时写入，还通过同城容灾、异地双活、多可用区部署、最高N-1个节点故障容忍、弹性扩展等技术方案，保障实例的可靠性和可用性。 GeminiDB Mongo使用DFV存储池，本身具有三副本的冗余，支持7*24小时在线数据实时写入，还通过多可用区部署、最高N-1个节点故障容忍、弹性扩展等技术方案，保障实例的可靠性和可用性。 图1 可靠性架构保证数据稳定，业务可靠 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

如何选择接口 不同接口的适用场景及功能存在差异，您可以根据业务需要选择接口产品。 表1 场景说明 接口名称 兼容接口 使用场景 说明 GeminiDB Redis接口 兼容Key-Value接口：Redis GeminiDB提供高并发、低延迟业务访问。具备极致弹性扩缩容能力，从容应对业务高峰。常见的用户场景包括游戏、广告RTA、推荐系统、电商、教育等。 GeminiDB Redis是一款100%兼容Redis协议的弹性KV数据库，支持远超内存的容量和极致的性能。它具有稳定低延迟、高性价比、无需备节点，全主架构、具备4:1超高数据压缩等优势，支持Hash Field过期、布隆过滤器、数据极速导入、内存加速等企业级特性。 GeminiDB Influx接口 兼容时间序列型接口：InfluxDB GeminiDB Influx接口广泛应用于资源监控，业务监控分析，物联网设备实时监控，工业生产监控，生产质量评估和故障回溯等。 GeminiDB Influx 接口是一款基于华为自研的计算存储分离架构，兼容InfluxDB生态的云原生NoSQL时序数据库。提供大并发的时序数据读写，压缩存储和类SQL查询，并且支持多维聚合计算和 数据可视化 分析能力。具有高写入、灵活弹性、高压缩率和高查询等特点。 GeminiDB Cassandra接口 兼容宽列接口：Cassandra，DynamoDB API GeminiDB Cassandra接口支持TB级别存储及近百万级QPS，提供强一致性级别，可适配各类应用场景，尤其是大规模集群部署：例如工业制造和气象业、互联网等海量数据存储的场景。 GeminiDB Cassandra 接口 是一款基于华为自研的计算存储分离架构，兼容Cassandra生态的云原生NoSQL数据库，支持类SQL语法CQL。具有安全可靠、超强读写、弹性扩展、便捷管理等特点。 GeminiDB Mongo接口 兼容文档型接口：MongoDB GeminiDB Mongo接口近百万级QPS，开源3倍性能提升，支持存海量文档、图片、IoT/车联网数据、社交视频/语音等，适用于互联网、物联网、游戏、金融等领域。 GeminiDB Mongo 接口是一款基于华为自研的计算存储分离架构，兼容MongoDB生态的云原生NoSQL数据库。具有企业级性能、灵活弹性、高可靠、可视化管理等特点。

数据保护技术 云数据库 GeminiDB通过多种数据保护手段和特性，保障存储在GeminiDB中的数据安全可靠。 表1 GeminiDB的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（SSL） GeminiDB Redis、GeminiDB Mongo、GeminiDB Cassandra和GeminiDB Influx实例支持非SSL和SSL传输协议，为保证数据传输的安全性，推荐您使用更加安全的SSL协议。 GeminiDB Redis：设置SSL 数据加密 GeminiDB Influx：设置SSL数据加密 GeminiDB Cassandra：设置SSL数据加密 GeminiDB Mongo：设置SSL数据加密 跨可用区部署 为了达到更高的可靠性，GeminiDB支持选择3可用区，可用区之间内网互通，不同可用区之间物理隔离，GeminiDB会自动将实例下的节点Hash均衡部署在3个可用区内，实现跨可用区容灾部署。 GeminiDB Redis：购买实例选择跨可用区部署 GeminiDB Influx：购买实例选择跨可用区部署 GeminiDB Cassandra：购买实例选择跨可用区部署 GeminiDB Mongo：购买实例选择跨可用区部署 负载均衡 GeminiDB Redis支持负载均衡，数据访问可以均衡的分散在集群的不同节点，避免热点，最大化集群整体的吞吐量。 GeminiDB Redis：通过负载均衡地址连接实例 同城容灾 GeminiDB Cassandra主实例支持搭建主备高可用架构，当主实例发生突发性自然灾害等状况，主实例节点无法连接时，可将容灾实例切换为主实例。 GeminiDB Cassandra：创建容灾实例 异地双活 GeminiDB Cassandra接口提供了异地双活功能，通过异地实例间数据的双向同步和业务灵活调度能力，实现了业务恢复和故障恢复解耦，保障了故障场景下业务的连续性。 GeminiDB Cassandra：异地双活原理介绍 删除保护 云数据库 GeminiDB支持将退订后的包年包月实例和删除的按需实例，加入回收站管理。通过数据库回收站中重建实例功能，可以恢复1~7天内删除的实例。 GeminiDB Redis：回收站 GeminiDB Influx：回收站 GeminiDB Cassandra：回收站 GeminiDB Mongo：回收站 父主题： 安全

身份认证 用户访问云数据库 GeminiDB时支持对数据库用户进行身份验证，包含密码验证和IAM验证两种方式。 密码验证 您需要对数据库实例进行管理，通过控制台登录Web客户端页面时，需要对账号密码进行验证，验证成功后方可进行操作。 IAM验证 您可以使用统一身份认证服务（Identity and Access Management， IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制华为云资源的访问。您创建的IAM用户，需要通过验证用户和密码才可以使用GeminiDB资源。具体请参见创建IAM用户并登录。

计费项 云数据库 GeminiDB按照您实例规格和存储空间计费，即云数据库 GeminiDB的价格=实例规格价格+存储空间价格。 表1 计费项说明 计费项 计费说明 数据库实例 按照您选择的实例规格计费。 针对实例提供包年包月和按需（小时）计费方式。 数据库存储 按照您选择存储空间收费。 备份存储（可选） 云数据库 GeminiDB的备份数据存储在OBS上。购买实例存储空间后，云数据库 GeminiDB将同比例赠送备份存储空间，用于存储备份数据。例如，您购买的实例存储空间为100GB时，会得到赠送的100GB备份存储空间。当备份数据没有超出100GB，将免费存储在OBS上；当备份数据超出100GB，超出部分将根据OBS的计费规则收费。 公网流量 云数据库 GeminiDB实例支持公网访问，公网访问会产生带宽流量费；云数据库 GeminiDB实例在云内部网络产生的流量不计费。 云数据库 GeminiDB管理费用详情，请参见产品价格详情l。您可以通过云数据库 GeminiDB提供的价格计算器，选择您需要的实例规格，来快速计算出购买云数据库 GeminiDB实例的参考价格。

续费 目前云数据库 GeminiDB提供“包年/包月”和“按需计费”购买方式，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。 “按需计费”方式，即按实际使用时长计费，以自然小时为单位整点计费，不足一小时按实际使用时长计费，只要您账户上有足够余额，就可以一直使用服务。当账户余额不足时，就会导致欠费，因此在欠费前请及时充值。 “包年/包月”计费方式，您在购买时一次性付费，使用过程中不会再另外扣费，只要您的账户上有足够余额，则不会影响您的使用。 如需续费，请进入“续费管理”页面进行续费操作。

步骤一：建设四层指标体系 接入业务层指标。 登录 AOM 2.0控制台。 在左侧导航栏中选择“接入中心”。 在右侧“业务层”面板单击需要接入的指标卡片。 接入ELB 日志指标 系统可自动接入，无需用户手动操作。 在左侧导航栏“仪表盘”页面，选择已创建的仪表盘，单击页面右上角的，在“日志源”页签输入对应SQL语句，即可在仪表盘中查看该日志指标。以查看流量指标为例，输入对应SQL语句，单击“查询”，如图2所示。 图2 查看流量指标 接入 APM 事务指标 为工作负载安装APM探针，具体操作请参见安装APM探针。 安装完成后，请登录安装探针的服务对应的控制台界面，执行操作触发APM事务指标的采集。以本实践场景中的商城服务为例，可以在商城操作界面将对应商品添加到购物车。 登录AOM 2.0控制台。 在左侧导航栏选择“指标浏览”。在右侧区域通过选择指标的方式查看接入的APM指标。 接入应用层指标。 为工作负载安装APM探针，具体操作如下： 登录CCE控制台，单击集群名称进入集群。 在左侧导航栏中选择“工作负载 ”，选择需要上报到AOM的工作负载类型。 单击工作负载名称，选择“性能管理配置”，单击右下角“编辑”，修改“性能管理配置”相关信息。 选择“APM 2.0探针”，设置“探针版本”为“latest-x86”，“APM环境”为“phoenixenv1”，从“APM应用”的下拉列表中选择创建的“phoenixapp1”应用。 设置完成后，单击“保存”。 安装完成后，请登录安装探针的服务对应的控制台界面，执行操作触发应用层指标的采集。以本实践场景中的商城服务为例，可以在商城操作界面将对应商品添加到购物车。 登录AOM 2.0控制台。 在左侧导航栏选择“指标浏览”。在右侧区域通过选择指标的方式查看接入的应用层指标。 接入中间件指标。 将数据上传到ECS服务器。 下载mysqld_exporter-0.14.0.linux-amd64.tar.gz软件包，下载地址：https://prometheus.io/download/。 以root用户登录ECS服务器，将下载的Exporter软件包上传到ECS服务器并解压。 登录RDS 控制台，在“实例管理”界面实例列表中单击一个RDS实例名。在“基本信息”界面查看RDS安全组。 图3 查看RDS安全组 检查RDS的安全组是否已开放3306端口。 图4 检查RDS端口是否开放 执行以下命令，进入解压文件夹，并在ECS服务器上配置mysql.cnf文件。 cd mysqld_exporter-0.14.0.linux-amd64 vi mysql.cnf 例如，在mysql.cnf文件中添加如下内容： [client] user=root（rds用户名） password=****（rds密码） host=192.168.0.198（rds公网IP） port=3306（端口） 执行以下命令，启动mysqld_exporter工具。 nohup ./mysqld_exporter --config.my-cnf="mysql.cnf" --collect.global_status --collect.global_variables & 执行以下命令，确认工具是否正常启动。 curl http://127.0.0.1:9104/metrics 如果回显信息如图5所示，能够查看到指标则说明工具启动正常。 图5 查看指标 通过虚机接入方式接入中间件指标。 登录AOM 2.0控制台。 在“虚机接入”界面为ECS服务器安装UniAgent采集工具，具体操作请参见手动安装UniAgent。 在左侧导航栏中选择“接入中心”，在右侧“Prometheus 中间件”面板单击需要接入的指标卡片。 在弹框中配置采集任务和安装Exporter，详细操作请参见虚机场景Exporter接入。 完成后，单击“立即创建”。 接入完成后，在左侧导航栏，选择“指标浏览”。在右侧区域通过选择指标的方式查看接入的中间件指标。 接入基础设施层指标。 登录AOM 2.0控制台。 在左侧导航栏中选择“接入中心”。 在右侧“Prometheus 运行环境”与“Prometheus 云服务”面板单击需要接入的指标卡片。 选择容器指标卡片： 以选择“云容器引擎CCE”卡片为例，云容器引擎CCE在购买后集群后默认已经安装ICAgent采集器。 选择云服务监控指标卡片： 在弹出的“云服务接入”对话框中选择需要监控的云服务。例如RDS或DCS服务。 单击“确定”完成接入。 接入完成后，系统自动跳转至“云服务监控”页面，即可查看已选择的云服务运行状态等信息。 接入完成后，在左侧导航栏选择“指标浏览”。在右侧区域通过选择指标的方式查看接入的基础设施层指标。

数字化制造云平台系统中数据常见的状态有哪些？ 数字化制造云平台系统中数据常见的状态说明如表1所示。 表1 状态说明 状态 说明 草稿 部分功能模块的数据添加完成后，其数据的状态将显示为“草稿”，即初始状态。 “草稿”状态的数据进行删除操作后，将在系统中清除该数据。 发布 “草稿”、“锁定”或“失效”状态的数据进行发布操作后，其数据的状态将变为“发布”。 仅“发布”状态的数据支持在其他关联功能模块新增或修改时被引用。 锁定 部分功能模块的“发布”状态的数据在进行锁定操作后，该数据的状态将变为“锁定”。 “发布”状态的数据如果想要修改，需先锁定再编辑。此时，该数据仅支持锁定者进行修改、发布操作。 失效 部分功能模块的“发布”状态的数据在进行删除/失效操作后，该数据的状态将变为“失效”。 部分功能模块存在特殊情况，请参见数字化制造云平台使用指南中具体页面的说明。 父主题： 数字化制造云平台

为什么在引用其他功能模块数据时选不到之前配置的记录？ 数字化制造云平台系统在配置部分业务功能时需要引用其他功能模块数据，此时需要关注被引用的数据是否存在表1中的参数，且对应的参数取值是否同时满足被引用的条件。 表1 数据被引用条件 若存在参数 则被引用的条件 是否有效 “是否有效”为“是”的数据才能被其他功能模块引用。 ***状态 “发布”状态的数据才能被其他功能模块引用。 是否激活 “是否激活”为“是”的数据才能被其他功能模块引用。 ***版本 最新版本才能被其他功能模块引用（Part版本、设备版本、资源版本除外）。 部分功能模块存在特殊情况，请参见数字化制造云平台使用指南中具体页面的说明。 如果某功能模块数据只包含表1中的部分参数，则只需对应的参数取值均满足被引用的条件即可。 例如，“Part定义”在引用“库存组织”数据时，引用的是“是否有效”为“是”的组织记录；“产品制造BOM定义”在引用“Part定义”数据时，引用的是“记录状态”为“发布”的Part记录。 父主题： 数字化制造云平台

用户忘记密码了怎么办？ 部署在公有云上的数字化制造云平台：用户的账号分为管理式华为账号（管理员手动添加进入组织）和个人华为账号（被邀请进入组织）。 管理式华为账号忘记密码，可以通过以下方式重置密码： 联系管理员重置密码。管理员重置密码的操作请参见用户管理（公有云）中的“重置密码”。 在数字化制造云平台登录页，单击“忘记密码”，根据界面提示自行重置密码。 个人华为账号忘记密码，可以通过以下方式重置密码： 在数字化制造云平台登录页，单击“忘记密码”，根据界面提示自行重置密码。 部署在边缘云上的数字化制造云平台：用户忘记密码需联系管理员重置密码，管理员重置密码的操作请参见用户管理（边缘云）中的“重置密码”。 父主题： 数字化制造云平台

受限状态 因临时或短期因素（早期发货、质量或供应风险等因素）导致Item无法达到或者超出当前生命周期状态的应用限制，通过受限状态控制Item在IPD/LTC等业务领域使用的范围及程度。 空：缺省为空，此时Item在业务流程的应用主要是基于“生命周期状态”。 Temporary：可以采购、销售、交付，不能做进产品BOM清单，主要用于临时采购的物料。 Active：激活控制属性，例如：ESS例外发货、EOP后例外销售、例外采购。 Inactive：关闭控制属性，例如：GA限制销售、限制发货。 Sample：样品，标识该编码为厂家提供给华为的样品，不能加入PSView的BOM清单，只能加入试制视图的BOM清单用于研发试制。

修订部件需要满足什么条件 修订部件需要满足以下条件： 部件未检出。 部件编码不是样品编码（受限状态为“R_SAMPLE”）。 当前部件为最新版本。 如果部件满足上述条件，管理员（Administrators群组成员）可以修订。 如果部件满足上述条件，并且部件编码是0301开头，或是试点产品，流程状态为“已发行”或“调试发行”，不存在未关闭的EC流程中且不存在未关闭的PCB设计投版流程中，当前用户是部件创建者可以修订。 父主题： 部件与物料清单

如何开通CraftArts IPDCenter权限 开通CraftArts IPDCenter服务后，需要创建一个组织，将组织与购买的服务绑定后，组织内的成员便可以使用CraftArts IPDCenter服务了。组织创建完成后，创建者默认成为组织一员。 创建组织请参考创建组织并绑定资源。 CraftArts IPDCenter除了可以手动添加用户，也支持邀请拥有华为个人账号的用户加入组织，被邀请加入组织后，个人华为账号将拥有CraftArts IPDCenter的使用权限。 添加成员或邀请成员请参考添加成员。 父主题： IPDCenter基础服务

生命周期状态 生命周期状态是Item从规划到概念产生、详细设计、验证、发布、生命周期逐渐退出的全生命周期过程中，对Item在某个关键里程碑点（如TR5，结构的NPI成熟度评估，采购选型认证通过等）评审决策后赋予的标识，表示Item及其与所用产品、系统、子系统、模块等集成的成熟度。 当前生命周期状态有：Research、Roadmap、Develop、Obsolete、Pilot、GA、EOM、EOP、EOS、EOFS。 表2 生命周期状态 序号 生命周期状态 说明 1 Research 代表目前采购件的预研，走预研选型流程。主要指预研团队在产品预研时产生新物料需求的选型，与其它选型不同的是，新技术新材料新工艺多、风险较大。预研状态编码不可转正式编码，需另走产品与技术开发选型。 2 Roadmap 代表目前采购件的路标，走路标选型流程。主要指行业管理提前收集需求，建设路标编码，指导并牵引产品选用。路标编码可以直接进入认证。 3 Develop 取代目前采购的新建状态，物料从申请定义之后到获得认证通过之前的状态。 4 Obsolete Item在申请过程中由于申请错误、项目终止等原因导致Item不再使用，且此Item没有发生过任何业务应用（被选用、采购、库存、发货等），状态码标识为Obsolete，表示Item已经作废，后续不允许再有任何业务应用。 5 Pilot 代表部件处于试制阶段，物料从TR5验证通过之后到GA公告之前的状态。 6 GA（采购） 取代目前采购的正常状态，代表物料通过华为选型认证，质量合格，能正常采购供货。 7 GA（制造） 代表物料的大量可获得性，物料从获取GA公告信到EOX决策之前的状态。 8 EOM（采购） 停止销售，不允许出现在新BOM及新销售清单中，但可以正常生产。 9 EOM（制造） 停止销售，指部件通过EOM DCP决策点之后的状态，不允许出现在新BOM及新销售清单中，但可以正常生产。 10 EOP（采购） 停止生产（面向客户），通常情况下对采购件而言指供应商停止生产和供应的点，不能被新产品选用，生产和销售。 11 EOP（制造） 停止生产，指部件通过EOP DCP决策点之后的状态，不能被新产品选用，生产和销售。 12 EOS（采购） 停止服务（面向客户），终止一切业务活动。 13 EOS（制造） 停止服务，指部件通过EOS DCP决策点之后的状态，终止一些业务活动。 14 EOFS 停止全面支持日（EOFS Date）是版本停止针对新发现缺陷开发补丁的日期（面向客户），该日之后，停止补丁版本开发。