华为云用户手册

参数说明 表1 Temporal Paths参数说明 参数 是否必选 说明 类型 取值范围 默认值 source 是 起点id String - - targets 是 终点id集合 String csv格式，ID之间以英文逗号分隔，例如：“Alice,Nana”，个数不大于100000。 1000 directed 否 是否考虑边的方向 Boolean true 或false，布尔型。 false k 否 最大深度 Integer 1-100，包括1和100 3 strategy 否 运行的算法策略 String 取值范围：shortest，foremost，fastest。 (注：fastest暂不支持) shortest：运行shortest temporal paths算法，返回距离最短的时序路径 foremost：运行foremost temporal paths算法，返回尽可能早的到达目标节点的时序路径 fastest：运行fastest temporal paths算法，返回耗费时间最短的时序路径 shortest 表2 动态时间范围设置（dynamicRange）说明 参数 是否必选 说明 类型 取值范围 默认值 start 是 动态分析起始时间 Date/ Integer - - end 是 动态分析终止时间 Date/ Integer - - time_props 是 动态分析的时间属性定义 Object - - 表3 动态分析的时间属性（time_props）说明 参数 是否必选 说明 类型 取值范围 默认值 stime 是 开始时间属性名称 String - - etime 是 结束时间属性名称 String - -

示例 需要在图引擎编辑器的算法区内，选定该算法进行操作。具体操作详见使用算法分析图。 设置动态时间范围参数： start=1646092800，end =1646170716，stime="startTime"，etime="endTime"。 设置temporal paths算法参数： source="Person00014" targets="Person00055,Person00058,Person00052,Person00061,Person00060,Place00032,Place00016,Place00026,Place00015,Place00043" directed="false" k="5" 选择算法搜索策略“shortest”或“foremost”。单击运行按钮，运行temporal paths算法，图引擎会根据选定的算法搜索策略，计算返回时序分析路径，路径随时间轴动态延伸，直至到达目标节点，JSON结果会展示在查询结果区。

GES请求条件 您可以在创建自定义策略时，通过添加“请求条件”（Condition元素）来控制策略何时生效。请求条件包括条件键和运算符，条件键表示策略语句的 Condition 元素，分为全局级条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作，服务级条件键（前缀为服务缩写，如ges）仅适用于对应服务的操作。运算符与条件键一起使用，构成完整的条件判断语句。 GES通过 IAM 预置了一组条件键，例如，您可以先使用hw:SourceIp条件键检查请求者的 IP 地址，然后再允许执行操作。下表显示了适用于GES服务特定的条件键。 表1 GES请求条件 GES条件键 运算符 描述 g:CurrentTime Date and time 接收到鉴权请求的时间。 说明： 以 ISO 8601 格式表示，例如：2012-11-11T23:59:59Z。 g:MFAPresent Boolean 用户登录时是否使用了多因素认证。 g:UserId String 当前登录的用户id。 g:UserName String 当前登录的用户名。 g:ProjectName String 当前登录的Project。 g:DomainName String 当前登录的Domain。 父主题： 策略权限

参数说明 表1 filtered circle detection参数说明 参数 是否必选 说明 类型 取值范围 默认值 sources 否 查询的起始节点ID集合 String - 标准csv格式，ID之间以英文逗号分隔，例如:“Alice,Nana” n 否 枚举满足过滤条件的圈的个数上限 Int [1,100000] 100 statistics 否 是否输出所有满足过滤条件的圈的个数 Boolean true或false false batch_number 否 批量处理的起始节点的个数 Int [1,1000] 10 output_format 否 输出结果的格式 String vertexId，edgeId或edgeObject edgeObject filters 是 过滤条件列表，数组的每个元素分别对应每一层要做的查询和过滤条件。 Json - -

监控项列表 通过图实例运维监控功能提供的相关监控项，用户可以从中获取有关图实例的状态以及可用资源数量等，并深入了解当前实例实时的资源消耗情况。 图引擎服务(GES)相关监控项指标，具体请参见表 图引擎服务(GES)监控列表。 表1 图引擎服务(GES)监控列表 监控对象 指标名称 含义 取值范围 监控周期（原始指标） 实例概览指标 集群信息 实例的规格、CPU架构。 字符串 - 集群容量 实例的点、边使用量、总量和使用率。 ≥ 0 实时 集群节点 实例底层资源中可用节点的类型、数量和节点的总数（可用/总数）。 ≥ 0 实时 集群请求数统计（内存版） 实例中等待中、运行中的读请求、写请求个数。 ≥ 0 实时 实例业务负载指标 QPS 实例每秒处理的请求个数。 ≥ 0 5min 图实例资源消耗指标 CPU使用率 实例主节点的CPU使用率。 0%～100% 5min 内存使用率 实例主节点的平均内存使用率。 0%～100% 5min 磁盘使用率 实例主节点的磁盘的平均使用率。 0%～100% 5min 磁盘I/O 实例主节点的平均I/O数值。 ≥ 0KB/s 5min 网络I/O 实例主节点的平均I/O数值。 ≥ 0KB/s 5min 节点监控-概览 节点名称 实例中节点的名称。 字符串 - CPU使用率 节点的CPU使用率。 0%～100% 5min 内存使用率 节点的内存使用率。 0%～100% 5min 平均磁盘使用率 节点磁盘使用率。 0%～100% 5min IP地址 节点的业务IP地址。 字符串 5min 磁盘I/O 节点的磁盘I/O，单位： KB/s。 ≥ 0KB/s 5min TCP协议栈重传率 单位时间内TCP报的重发率。 0%～100% 5min 状态 节点的运行状态。 运行中/故障 5min 节点监控-磁盘 节点名称 实例中的节点名称。 字符串 5min 磁盘名称 节点上磁盘名称。 字符串 5min 磁盘类型 节点上磁盘的类型。 系统盘/数据盘/日志盘/交换分区盘/备份盘/存储盘/hyg存储盘 5min 磁盘容量 节点上磁盘的容量，单位： GB。 ≥ 0GB 5min 磁盘使用率 节点上磁盘的使用率。 0%～100% 5min 磁盘读速率 节点上磁盘读速率，单位： KB/s。 ≥ 0KB/S 5min 磁盘写速率 节点上磁盘写速率，单位：KB/s。 ≥ 0KB/S 5min I/O等待时间-await 平均每次I/O请求的等待时间，单位：ms。 ≥ 0ms 5min I/O服务时间-svctm 平均每次I/O请求的处理时间，单位：ms。 ≥ 0ms 5min I/O使用率-util 主机上I/O的使用率。 0%～100% 5min 节点监控-网络 节点名称 实例中的节点名称。 字符串 5min 网卡名称 节点上的网卡名称。 字符串 5min 网卡状态 网卡状态。 在线/离线 5min 网卡速度 网卡工作速率，单位：Mbps。 ≥ 0 5min 接收包数 网卡的接收包数。 ≥ 0 5min 发送包数 网卡的发送包数。 ≥ 0 5min 接收丢包数 网卡的接收丢包数。 ≥ 0 5min 接收速率 网卡单位时间内接收到的字节数，单位：KB/s。 ≥ 0KB/s 5min 发送速率 网卡单位时间内发送出的字节数，单位：KB/s。 ≥ 0KB/s 5min 性能监控 集群CPU使用率 实例中主节点的平均CPU使用率。 0%～100% 5min 集群内存使用率 实例中主节点的平均内存使用率。 0%～100% 5min 集群磁盘使用率 实例中主节点的平均磁盘使用率。 0%～100% 5min 集群磁盘I/O 实例中主节点磁盘的平均磁盘I/O数值。 ≥ 0KB/s 5min 集群网络I/O 实例中主节点网卡的平均网络I/O数值。 ≥ 0KB/s 5min tomcat连接数使用率 实例中主节点HTTP连接数使用率。 0%～100% 5min 集群swap盘使用率（内存版） 实例中主节点swap交换分区盘使用率 0%～100% 5min jvm堆内存使用率 实例中主节点JVM堆内存使用率。 0%～100% 5min 读请求运行队列长度 （内存版） 当前实例运行中的读请求个数。 ≥ 0 5min 读请求阻塞队列长度 （内存版） 当前实例阻塞中的读请求个数。 ≥ 0 5min 实时查询 请求ID 当前查询的请求ID。 字符串 实时 任务名称 当前查询的任务名称。 字符串 实时 请求参数 当前查询的请求参数。 字符串 实时 进度（内存版） 当前查询执行的进度 0%～100% 实时 阻塞时长（内存版） 当前查询阻塞时长，单位为秒。 ≥ 0 实时 开始时间 当前查询开始时间。 字符串 实时 结束时间 当前查询结束时间。 字符串 实时 运行时长 当前查询运行时长，单位为秒。 ≥ 0 实时 历史查询 任务ID 历史查询的任务ID。 字符串 实时 任务类型 历史查询的任务类型。 字符串 实时 原始请求 历史查询的原始请求。 字符串 实时 状态 历史查询的任务状态。 字符串 实时 进度 历史查询的任务执行进度。 0%～100% 实时 开始时间 历史查询的任务开始时间。 字符串 实时 结束时间 历史查询的任务结束时间。 字符串 实时 运行结果 历史查询的任务执行结果。 字符串 实时 父主题： 运维监控

操作步骤 登录图引擎服务管理控制台，在左侧导航栏中选择“数据迁移”。 在“数据源管理”页签单击“新建”。 图1 新建数据源管理 在新建数据源页面，输入对应的数据源信息，具体参数如下： 数据源名称：自定义名称，长度在4位到50位之间，必须以字母开头，不区分大小写，可以包含字母、数字、下划线，不能包含其他的特殊字符。 数据源类型：按实际数据源选择，目前支持Mysql、神通数据库、Oracle、DWS、Hive。 图名称：选择需要导入数据的图。 网段CIDR：数据源所在子网的网段。 访问IP地址：数据源的数据库的IP。 访问端口：数据源的数据库的端口(Hive不涉及)。 数据库名称：数据源的数据库的名称。 数据库用户名：访问数据源的数据库的用户名(Hive不涉及)。 数据库密码：访问数据源的数据库的用户密码(Hive不涉及)。 是否需要验证：Hive所在 MRS 集群是否开启Kerberos认证(仅Hive涉及)。 MRS集群用户名称：Hive所在MRS集群的用户名，当Kerberos认证关闭时可不填(仅Hive涉及)。 MRS集群用户认证凭证：Hive所在MRS集群的用户的认证凭证，当Kerberos认证关闭时可不传(仅Hive涉及)。 MRS集群Hive客户端文件：Hive客户端文件(仅Hive涉及)。 参数填写完成后单击“确定”。 图2 数据源信息 查看数据源状态，等待创建完成。

创建HyG图 创建完持久化版图集群后，进入图引擎编辑器页面，详细操作请参见访问图引擎编辑器。 在左上角的“HyG图管理”页签下，单击“创建HyG图”。 图1 创建HyG图 在弹出的窗口中，选择“切分策略”（当前仅支持oec策略）和“是否包含入边”，选择完成后单击“确定”。 切分策略：图的切分策略，oec(out edge cut)代表出边切分，使用默认选项即可。 是否包含入边：图是否包含入边，设置为true会影响数据同步性能。 图2 选择参数 创建成功HyG图后，可以进行“数据导入”或者“数据同步”。 数据导入：用户可以导入新的点边数据，具体请参见数据导入。 数据同步：将用户在图数据库中已有的点边数据同步至计算引擎，具体请参见数据同步。 图3 数据导入 若您想删除Hyg图，单击“删除HyG图”，在弹出框中输入“DELETE”，完成删除操作。 图4 删除HyG图

数据导入 单击“数据导入”，在右侧弹出的窗口中，填写以下参数： AccessKey：用户的访问密钥ID。 SecretKey：与访问密钥ID结合使用的密钥。 点数据集：点文件目录或点文件名，支持csv、txt格式文件导入。 边数据集：边文件目录或边文件名，支持csv、txt格式文件导入。 元数据：新增数据的元数据文件OBS路径。 日志存储路径：导入图日志存放目录，用于存储导入失败的数据和详细错误原因。 字段分隔符：csv格式文件字段分隔符，默认值为逗号（,）。 字段包围符：csv格式文件字段包围符，用来包围一个字段，如字段中含有分隔符或者换行等，默认值为双引号（"）。 点属性列表：点属性列表，指定的属性需属于schema文件中的属性，如果列表为空，则不会导入点属性。 边属性列表：边属性列表，指定的属性需属于schema文件中的属性，如果列表为空，则不会导入边属性。 图5 数据导入 填写完成后，单击“确定”，导入后的数据会显示在HyG图信息详情里。 图6 HyG图信息展示

注意事项 数据迁移会把数据库各个表中的全部数据作为点或者边数据集导入到图实例，因此需要确保数据库中的表已经被处理为点或者边数据。 点边表中支持的数据类型，参考一般图数据格式章节中的属性说明。 点表格式：点ID列名，点Label列名，点属性列名1，点属性列名2，... 图1 点表格式 点表的数据如下图所示： 图2 点表数据 边表格式：源点ID列名，终点ID列名，边Label列名，边属性列名1，边属性列名2，... 图3 边表格式 边表的数据如下图所示： 图4 边表的数据

委托权限优化 登录图引擎服务管理控制台，在左侧导航栏，选择“图管理”。 如果未整改，在界面的上部，会看到委托权限待整改通知。 单击“前往进行整改”，弹出优化委托权限界面，如图1所示。 注意：该界面会提醒用户在使用GES服务时，部分场景需要委托以授权GES服务访问用户资源，系统会创建ges_access_vpc_custom自定义策略，并授权给ges_agency，以及列举出待删除的具有高风险的委托权限，以提升账号安全性。 图1 优化委托权限 手动输入或者一键输入“DELETE”，执行优化操作，执行成功后该界面会自动关掉待整改通知。 如果当前用户没有查询委托权限，系统无法根据当前用户的认证凭据查询委托信息，整改通知会在每次进入界面时都会弹出，并提示用户通知管理员进行整改。用户也可以关闭该通知或者设置“不再提醒”。

参数说明 表1 Edge-betweenness Centrality算法参数说明 参数 是否必选 说明 类型 取值范围 默认值 directed 否 是否考虑边的方向 Boolean true或者false true weight 否 边上权重 String 空或字符串 * 空：边上的权重、距离默认为“1”。 * 字符串：对应的边上的属性将作为权重，当某边没有对应属性时，权重将默认为1。 说明： 边上权重应大于0。 - seeds 否 节点ID String 当图较大时，运行betweenness较慢，可以设置seeds作为采样节点，进行近似运算，seeds节点越多越接近准确解。输入节点个数不大于100000。 - k 否 采样个数 Integer 当图较大时，运行betweenness较慢，可以设置k，算法将从图中随机选取k各点，进行采样运算，k值越大约接近准确解。k不大于100000。 - 当进行采样近似edge-betweenness运算时，seeds和k参数二选一输入即可，当两者同时输入时，默认以seeds节点作为采样节点运算，忽略k。

参数说明 表1 OD-betweenness Centrality算法参数说明 参数 是否必选 说明 类型 取值范围 默认值 directed 否 是否考虑边的方向 Boolean true或者false true weight 否 边上权重 String 空或字符串 * 空：边上的权重、距离默认为“1”。 * 字符串：对应的边上的属性将作为权重，当某边没有对应属性时，权重将默认为1。 说明： 边上权重应大于0。 - OD_pairs 否 起点终点节点对 String 标准csv格式，起点和终点以英文逗号分隔，各起点和终点节点对之间以换行符“\n”分隔，例如：“Alice,Nana\nLily,Amy”。 - seeds 否 热点事件发生地的节点ID String 当未知OD_pairs数据时，输入seeds数据。标准csv格式，节点之间以英文逗号分隔，例如：“Alice,Nana”。ID个数在30以内。 - modes 否 与seeds对应的热点事件类别 String IN： 表示以热点事件发生地点的节点ID作为起点 。 OUT：表示以热点事件发生地点的节点ID作为终点。 - attendees 否 与seeds对应的热点事件参加人数 String 标准csv格式，数字之间以英文逗号分隔，例如：“10,20”。范围为1~1000000。 - 当进行采样近似od-betweenness运算时，OD_pairs和seeds参数二选一输入即可，当两者同时输入时，默认以OD_pairs节点作为节点运算，忽略seeds。

参数说明 表1 点集最短路算法（Shortest Path of Vertex Sets）参数说明 参数 是否必选 说明 类型 取值范围 默认值 sources 是 起点ID集合 String 标准csv格式，ID之间以英文逗号分隔，例如：“Alice,Nana”。 个数不大于100000。 - targets 是 终点ID集合 String 标准csv格式，ID之间以英文逗号分隔，例如：“Alice,Nana”。 个数不大于100000。 - directed 否 是否考虑边的方向 Bool true或false false timeWindow 否 用于进行时间过滤的时间窗 Json 具体请参见表2。 - 表2 timeWindow参数说明 参数 是否必选 说明 类型 取值范围 默认值 filterName 否 用于进行时间过滤的时间属性名称 String 字符串：对应的点/边上的属性作为时间 - filterType 否 在点或边上过滤 String V：点上 E：边上 BOTH：点和边上 BOTH startTime 否 起始时间 String Date型字符串或时间戳 - endTime 否 终止时间 String Date型字符串或时间戳 - 当点的ID中含有逗号时，需在此ID上加上双引号，例如：电影“Paris, je taime”以及“Alice”两个ID作为sources时，写做："Paris, je taime",Alice"

GES自定义策略样例 示例1：授权用户拥有查询类权限、操作图权限 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ges:*:get*", "ges:*:list*", "ges:graph:operate" ] } ] } 示例2：拒绝用户删除图 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予GES FullAccess的系统策略，但不希望用户拥有GES FullAccess中定义的删除图权限，您可以创建一条拒绝删除独享集群的自定义策略，然后同时将GES FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对GES执行除了删除图外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "ges:graph:delete" ] } ] } 示例3：授权用户操作图名称前缀为ges_project的图（ges_project名字不区分大小写），访问图列表。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ges:graph:create", "ges:graph:delete", "ges:graph:access", "ges:graph:getDetail" ], "Resource": [ "ges:*:*:graphName:ges_project*" ] }, { "Effect": "Allow", "Action": [ "ges:graph:list" ] } ]} 示例4：授权用户操作部分图资源，查看所有资源。 该策略分为两部分： 第一部分：授权用户操作资源名称前缀为ges_project的资源，资源包含图、备份。 第二部分：授权用户查询图列表、查询备份列表、查询任务列表、查询元数据列表、查看job详情。 { "Version": "1.1", "Statement": [ { "Action": [ "ges:backup:delete", "ges:graph:access", "ges:graph:operate", "ges:graph:delete", "ges:graph:create", "ges:backup:create", "ges:graph:getDetail" ], "Resource": [ "ges:*:*:backupName:ges_project*", "ges:*:*:graphName:ges_project*" ], "Effect": "Allow" }, { "Action": [ "ges:graph:list", "ges:backup:list", "ges:jobs:list", "ges:metadata:list", "ges:jobs:getDetail" ], "Effect": "Allow" } ]}

创建图的方式 本章节为您介绍如何使用图引擎服务（GES）进行创建图。 有三种创建方式可供选择：自定义创建，行业图模板创建和创建动态图，系统默认使用自定义创建方式。 自定义创建图：您可以直接使用系统默认的创图方式，进行查询和分析图。 行业图模板创建图：您可以选择想要创建的模板，系统会创建您所选规格的图并置入模板数据来供您查询和分析图。 创建动态图：此方式创建的图，系统默认开启动态图分析能力，可方便您利用动态图功能进行分析图。 如果您想要使用动态图功能，需使用创建动态图的方式，自定义和行业图模板创建的图不具有该功能，后续也无法开启动态图分析能力。 父主题： 创建图

操作步骤 在“元数据管理”页面，编辑元数据有两个入口： 单击对应元数据文件名称，进入元数据详情页，在页面底端单击“编辑”。 在对应元数据文件的“操作”列，单击“编辑”。 图1 编辑入口 在“编辑”页面： 手动构建页签下，您可以添加Label、添加Property、修改Label名称、通过上移和下移调整Property排序等操作。 可视化构建页签下，您可以拖动点到画布上添加Label，或者单击点或者边，修改label信息 。 修改完成后，单击“确定”保存修改。

角色权限 角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。只包含系统角色，不可自定义角色。 表1 GES系统角色 角色名称 描述 Tenant Guest 普通租户用户。 操作权限：可以对GES资源执行查看操作。 作用范围：项目级服务。 GES Administrator GES服务管理用户。 操作权限：可以对GES资源执行任意操作。 作用范围：项目级服务。 说明： 拥有该权限的用户同时拥有Tenant Guest、Server Administrator、VPC Administrator权限时，可以对GES资源执行任意操作。如果没有Tenant Guest或Server Administrator权限，将无法正常使用GES。 如果需要绑定/解绑EIP，则还需要拥有Security Administrator权限用于创建委托。 如果需要与OBS服务进行交互，例如创建，导入等操作，则还需要拥有OBS服务的权限，具体请参考GES常用操作对OBS权限的依赖关系，OBS权限授权时需要指定权限范围为全局服务资源。 GES Manager GES服务高级用户。 操作权限：可以对GES资源执行除创建图、删除图、变更规格、扩副本以外的任意操作。 作用范围：项目级服务。 说明： 拥有该权限的用户同时拥有Tenant Guest和Server Administrator权限时，可以对GES资源执行除创建图和删除图以外的任意操作。如果没有Tenant Guest权限，将无法正常使用GES。 如果需要绑定/解绑EIP，则还需要拥有Security Administrator和Server Administrator权限。 如果需要与OBS服务进行交互，例如导入操作，则还需要拥有OBS服务的权限，具体请参考GES常用操作对OBS权限的依赖关系，OBS权限授权时需要指定权限范围为全局服务资源。 GES Operator GES服务普通用户。 操作权限：可以对GES资源执行查看操作和访问图。 作用范围：项目级服务。 说明： 拥有该权限的用户同时拥有Tenant Guest权限时，可以对GES资源执行查看操作和访问图。如果没有Tenant Guest，则无法执行查看类操作或者访问图。 如果需要与OBS服务进行交互，例如查看元数据，则还需要拥有OBS服务的权限，具体请参考表3。 表2 GES常用操作与角色的关系 操作 GES Administrator GES Manager GES Operator Tenant Guest 创建图 √ × × × 删除图 √ × × × 查看图 √ √ √ √ 访问图 √ √ √ × 导入数据 √ √ × × 创建元数据 √ √ × × 查看元数据 √ √ √ √ 复制元数据 √ √ × × 编辑元数据 √ √ × × 删除元数据 √ √ × × 清空数据 √ √ × × 备份图 √ √ × × 恢复备份 √ √ × × 删除备份 √ √ × × 查看备份 √ √ √ √ 启动图 √ √ × × 停止图 √ √ × × 升级图 √ √ × × 导出图 √ √ × × 绑定EIP √ √ × × 解绑EIP √ √ × × 查看任务中心 √ √ √ √ 变更规格 √ × × × 扩副本图 √ × × × 重启图 √ √ × × 图细粒度权限配置 √ √ × × 用户组配置 √ √ × × 导入IAM用户 √ √ × × 查看用户详情 √ √ √ √ 表3 GES常用操作对OBS权限的依赖关系 GES操作 依赖的OBS权限 查看元数据 OBS Viewer策略或者OBS Buckets Viewer角色 创建/导入/复制/编辑/删除元数据 OBS Operator策略或者Tenant Administrator角色 创建图，导入图/导出图 OBS Operator策略或者Tenant Administrator角色 表4 GES常用操作对IAM权限的依赖关系 GES操作 依赖的IAM权限 导入IAM用户 iam:users:listUsers自定义策略或者IAM ReadOnlyAccess系统策略或者Server Administrator角色 创建/编辑用户组 iam:users:listUsers自定义策略或者IAM ReadOnlyAccess系统策略或者Server Administrator角色 父主题： 权限管理

操作步骤 在“元数据管理”页面，复制元数据有两个入口： 单击对应元数据文件名称，进入元数据详情页，在页面底端单击“复制”。 在对应的元数据文件的“操作”列，单击“复制”。 定义元数据文件名称以及存储路径。 “名称”：复制后的元数据文件名称，仅需要设置名称，文件格式默认为xml。 “存储路径”：存储元数据文件的OBS路径。 图1 复制元数据 单击“确定”，完成复制元数据。 元数据文件复制成功后，新的元数据文件将在“元数据管理”页面呈现。

图引擎实例连接信息 图3 实例信息 选择您已创建的图实例名称，可以查看到以下信息： 内网访问地址：同一私有网络内的弹性云服务器可以通过内网访问地址连接当前图实例。 公网访问地址：使用公网访问地址（弹性IP）可以从互联网访问图实例。同时支持图实例弹性IP的解绑与绑定。 JDBC连接字符串（内网）：当JDBC驱动执行机器和图实例处于同一私有网络时，使用此配置。 JDBC连接字符串（公网）：当JDBC驱动执行机器可以通过互联网访问图实例（已绑定弹性IP）时，使用此配置。

参数说明 表1 Betweenness Centrality算法参数说明 参数 是否必选 说明 类型 取值范围 默认值 directed 否 是否考虑边的方向 Boolean true或者false true weight 否 边上权重 String 空或字符串 * 空：边上的权重、距离默认为“1”。 * 字符串：对应的边上的属性将作为权重，当某边没有对应属性时，权重将默认为1。 说明： 边上权重应大于0。 - seeds 否 节点ID String 当图较大时，运行betweenness较慢，可以设置seeds作为采样节点，进行近似运算，seeds节点越多越接近准确解。输入节点个数不大于100000。 - k 否 采样个数 Integer 当图较大时，运行betweenness较慢，可以设置k，算法将从图中随机选取k各点，进行采样运算，k值越大约接近准确解。k不大于100000。 - 当进行采样近似betweenness运算时，seeds和k参数二选一输入即可，当两者同时输入时，默认以seeds节点作为采样节点运算，忽略k。

系统回退 系统回退。 迁移操作支持系统回退，您可根据需要决定是否回退至原操作系统。 执行centos2hce2.py --rollback all命令进行系统回退。回退后，执行reboot命令对系统重启。 执行centos2hce2.py --precommit rollback命令，恢复环境。 （可选）若迁移前已开启selinux，迁移时会自动关闭selinux服务。如有需要，回退后请手动恢复selinux状态。 执行centos2hce2.py --precommit rbk-selinux命令。 [root@localhost ~]# centos2hce2.py --precommit rbk-selinux2022-09-05 03:58:37,015-INFO-centos2hce2.py-[line:1401]: precommit migration2022-09-05 03:58:37,047-INFO-centos2hce2.py-[line:1319]: now begin to set selinux2022-09-05 03:58:37,051-INFO-centos2hce2.py-[line:1324]: modify selinux config succeed2022-09-05 03:58:37,051-INFO-centos2hce2.py-[line:1325]: selinux has been set, please reboot now2022-09-05 03:58:37,051-INFO-centos2hce2.py-[line:1340]: set rollback selinux succeed2022-09-05 03:58:37,051-INFO-centos2hce2.py-[line:1365]: upgrade precommit selinux success 执行reboot命令，进行系统重启。 [root@localhost ~]# reboot 系统重启后，可查看到selinux状态为开启状态。 [root@localhost ~]# getenforceEnforcing 清理系统数据。 执行centos2hce2.py --commit all命令清理数据。 执行命令后，系统会自动清理目标系统和原系统的系统数据，包括步骤3中备份路径下的系统数据。 [root@localhost ~]# centos2hce2.py --commit all2022-08-22 04:45:32,601-INFO-centos2hce2.py-[line:1242]: commit migration

general/hwsecurity/cybersecurity三种类型的差异 检查项类型 检查项名称 检查内容 general hwsecurity cybersecurity 是否默认满足 初始配置 文件系统配置 应当对系统关键目录进行分区挂载 - - - 否 确保禁用不需要的文件系统 - - - 否 确保无需修改的分区以只读方式挂载 - - - 否 确保无需挂载设备的分区以nodev方式挂载 - - - 否 确保无可执行文件的分区以noexec方式挂载 - - - 否 确保无需SUID和SGID的分区以nosuid方式挂载 - - - 否 避免使用USB存储 √ - - 是 软件服务配置 禁止安装X Window系统 - - - 是 禁止启用debug-shell服务 √ - - 是 禁止启用rsync服务 √ - - 是 禁止启用avahi服务 √ √ - 是 禁止启用SNMP服务 √ √ - 是 禁止启用squid服务 √ √ - 是 避免启用samba服务 √ √ - 是 禁止启用FTP服务 √ √ - 是 禁止启用TFTP服务 √ √ - 是 禁止启用DNS服务 √ - - 是 禁止启用NFS服务 √ √ - 是 禁止启用rpcbind服务 √ √ √ 否 禁止启用LDAP服务 √ √ - 是 禁止启用DHCP服务 √ √ - 是 禁止安装CUPS服务软件 - - - 是 禁止安装NIS服务软件 - - - 是 禁止安装telnet软件 - - - 是 禁止安装NIS客户端 - - - 是 禁止安装LDAP客户端 - - - 是 禁止安装调测类工具 - - - 是 禁止安装开发编译类工具 - - - 是 禁止安装网络嗅探类工具 - - - 是 软件升级配置 确保配置GPG公钥 - - - 是 确保配置启用gpgcheck - - - 是 确保配置软件仓库源 - - - 是 文件完整性检查 确保安装AIDE - - - 否 应当定期检查文件完整性 - - - 否 通用进程加固 确保启用ASLR √ - - 是 确保core dump配置正确 √ - - 是 应当合理限制用户可打开文件数量 - - - 否 确保链接文件保护配置正确 √ - - 是 确保dmesg访问权限配置正确 √ √ - 否 确保内核符号地址受限访问 √ √ - 是 应当合理限制进程ptrace能力 - - - 否 禁止全局加解密策略配置为LEGACY - - - 是 系统服务 时间同步服务 应当正确配置ntpd服务 - - - 否 应当正确配置chronyd服务 - - - 是 定时任务服务 确保cron服务正常运行 √ - - 是 确保cron配置权限正确 √ √ - 否 SSH服务 确保/etc/ssh/sshd_config权限配置正确 √ √ - 是 确保SSH私钥文件权限配置正确 √ √ √ 否 确保SSH公钥文件权限配置正确 √ √ √ 否 确保启用IgnoreRhosts √ - - 是 应当合理配置认证黑白名单 - - - 否 确保SSH使能PAM认证 √ - - 是 禁止SSH root登录 - - √ 否 禁止SSH空口令登录 √ - - 是 禁止使用HostbasedAuthentication √ - - 是 确保配置Warning Banner文件路径 √ √ - 否 确保正确配置SSH日志级别 √ √ - 是 应当配置SSH服务侦听IP - - - 否 应当正确配置SSH并发未认证连接数 √ - - 否 禁止使用X11Forwarding √ √ - 否 应当配置SSH MaxSessions不超过10 √ - - 是 应当正确配置MaxAuthTries √ - - 否 禁止使用PermitUserEnvironment √ - - 是 应当配置LoginGraceTime不超过60秒 √ √ - 否 确保配置空闲超时间隔时间 √ √ - 否 禁止使用AllowTcpForwarding √ √ - 否 确保SSH KexAlgorithms配置强算法 √ √ - 是 确保SSH MACs配置强算法 √ √ - 是 确保SSH Ciphers配置强算法 √ √ - 是 禁止配置SSH将弃用的选项 √ - - 是 网络服务 禁用不使用的网络协议和设备 避免使用不常见网络协议 - - - 否 避免使用无线网络 - - - 是 内核网络协议栈 禁止系统响应ICMP广播报文 √ √ - 是 禁止接收ICMP重定向报文 √ √ - 否 禁止转发ICMP重定向报文 √ - - 是 应当忽略所有ICMP请求 - - - 否 确保忽略伪造的ICMP报文 √ - - 是 确保启用反向地址过滤 √ √ - 否 禁止IP转发 √ √ - 是 禁止接收源路由报文 √ √ - 否 确保启用TCP-SYN cookie保护 √ √ - 是 应当启用日志记录可疑的网络包 √ - - 否 避免启用tcp_timestamps - - - 否 确保TIME_WAIT TCP协议等待时间已配置 √ - - 是 应当合理配置SYN_RECV状态队列数量 - - - 否 禁止使用ARP代理 - - - 是 防火墙配置 配置firewalld服务 应当启用firewalld服务 - - - 是 确保iptables未启用 - - - 是 确保nftables未启用 - - - 是 应当配置正确的默认区域 - - - 否 应当确保网络接口绑定正确区域 - - - 否 避免开启不必要的服务和端口 - - - 否 配置iptables服务 应当启用iptables服务 - - - 否 确保firewalld未启用 - - - 否 确保nftables未启用 - - - 是 应当正确配置iptables默认拒绝策略 - - - 否 应当正确配置iptables loopback策略 - - - 否 应当正确配置iptables INPUT策略 - - - 否 应当正确配置iptables OUTPUT策略 - - - 否 应当正确配置iptables INPUT、OUTPUT关联策略 - - - 否 配置nftables服务 应当启用nftables服务 - - - 否 确保iptables未启用 - - - 是 确保firewealld未启用 - - - 否 应当配置nftables默认拒绝策略 - - - 否 应当配置nftables loopback策略 - - - 否 应当正确配置nftables input策略 - - - 否 应当正确配置nftables output策略 - - - 否 应当正确配置nftables input、output关联策略 - - - 否 日志审计 auditd 确保auditd审计已启用 √ - - 是 应当在启动阶段启用auditd - - - 否 应当正确配置audit_backlog_limit - - - 否 确保配置单个日志大小限制 - - - 是 确保审计日志rotate已启用 - - - 否 确保审计日志不被自动删除 - - - 是 应当合理配置磁盘空间阈值 - - - 是 避免配置审计日志限速阈值过小 - - - 是 应当配置sudoers审计规则 - √ √ 否 应当配置登录审计规则 - - - 是 应当配置会话审计规则 - - - 是 应当配置时间修改审计规则 - √ √ 否 应当配置SELinux审计规则 - - - 否 应当配置网络环境审计规则 - - √ 否 应当配置文件访问控制权限审计规则 - - - 否 应当配置文件访问失败审计规则 - - - 否 应当配置文件删除审计规则 - - - 否 应当配置账号信息修改审计规则 - √ √ 否 应当配置文件系统挂载审计规则 - - - 否 应当配置提权命令审计规则 - - - 否 应当配置内核模块变更审计规则 - - - 是 应当配置修改sudo日志文件审计规则 - - - 否 rsyslog 确保rsyslog服务已启用 √ √ √ 否 确保系统认证相关事件日志已记录 - - - 是 确保cron服务日志已记录 √ - - 是 应当正确配置各服务日志记录 - - - 是 应当正确配置rsyslog默认文件权限 √ √ √ 否 确保rsyslog日志rotate已配置 - - - 否 应当配置发送日志到远程日志服务器 - - - 否 应当仅在指定的日志主机上接收远程rsyslog消息 - - - 否 确保rsyslog转储journald日志已配置 - - - 否 账号与口令管理 账号管理 禁止无需登录的账号拥有登录能力 - - - 否 禁止存在不使用的账号 - - - 否 应当正确设置账号有效期 - - - 否 禁止存在UID为0的非root账号 - - - 是 确保UID唯一 - - - 是 确保GID唯一 - - - 是 确保账号名唯一 - - - 是 确保组名唯一 - - - 是 确保/etc/passwd中的组都存在 - - - 是 确保账号拥有自己的Home目录 - - - 是 确保账号Home目录权限是750或更严格 - - - 是 避免账号Home目录下存在.forward文件 - - - 是 避免账号Home目录下存在.netrc文件 - - - 是 确保用户PATH变量被严格定义 - - - 是 口令管理 确保配置口令复杂度 √ √ √ 否 确保限制重用历史口令次数 √ √ √ 否 确保口令中不包含账号字符串 - - - 是 确保口令使用SHA512算法加密 √ √ √ 否 确保口令过期时间设置正确 √ √ √ 否 确保口令过期告警时间设置正确 √ √ - 是 应当设置口令修改周期设置正确 √ √ √ 否 确保不活跃口令锁定时间不超过30天 √ - - 是 确保Grub已设置口令保护 - - - 是 确保单用户模式已设置口令保护 - - - 是 身份认证 登录管理 确保登录失败一定次数后锁定账号 √ √ √ 否 避免root用户本地接入系统 - - - 否 确保会话超时时间设置正确 √ √ √ 否 确保Warning Banner包含合理的信息 确保本地登录Warning Banner包含合理的信息 √ √ - 否 确保远程登录Warning Banner包含合理的信息 √ √ - 否 确保motd文件包含合理的信息 √ √ - 否 确保/etc/issue权限配置正确 √ √ - 是 确保/etc/issue.net权限配置正确 √ √ - 是 确保/etc/motd权限配置正确 √ √ - 是 访问控制 SELinux 应当启用enforce模式 - - - 是 应当正确配置SELinux策略 - - - 是 避免标签为unconfined_service_t的服务存在 - - - 否 确保SETroubleshoot服务未安装 - - - 是 确保M CS 转换服务未安装 - - - 是 特权命令 确保su受限使用 √ √ √ 否 确保su命令继承用户环境变量不会引入提权 √ √ √ 否 确保普通用户通过sudo运行特权程序 - - - 否 确保配置sudo日志文件 √ - - 否 禁止使用SysRq键 - √ - 否 系统文件权限 确保/etc/passwd权限配置正确 √ - - 是 确保/etc/passwd-权限配置正确 √ - - 是 确保/etc/shadow权限配置正确 √ - - 是 确保/etc/shadow-权限配置正确 √ - - 是 确保/etc/group权限配置正确 √ - - 是 确保/etc/group-权限配置正确 √ - - 是 确保/etc/gshadow权限配置正确 √ - - 是 确保/etc/gshadow-权限配置正确 √ - - 是 确保全局可写目录已设置sticky位 - - - 是 禁止存在无属主或属组的文件或目录 - - - 是 禁止存在全局可写的文件 - - - 是 禁止存在空链接文件 - - - 是 禁止存在隐藏的可执行文件 - - - 是 确保删除文件非必要的SUID和SGID位 - - - 是 确保umask是027或更严格 √ √ √ 否 “√”表示执行。 “-”表示不执行。

安全更新概述 本节主要介绍如何使用yum或dnf命令查询并安装Huawei Cloud EulerOS中的安全更新。 各版本对yum和dnf命令的支持情况不同，本节以yum命令为例介绍。 dnf作为yum的替代者，提供更好的性能，dnf和yum命令的使用方法相同。 Huawei Cloud EulerOS 2.0及之后版本支持yum和dnf命令。 Huawei Cloud EulerOS 2.0之前版本仅支持yum命令。 父主题： 对HCE进行安全更新

使用毕昇编译器 编译运行C/C++程序。 clang [command line flags] hello.c -o hello.o./hello.oclang++ [command line flags] hello.cpp -o hello.o./hello.o 编译运行Fortran程序。 flang [command line flags] hello.f90 -o hello.o./hello.o 指定链接器。 毕昇编译器指定的链接器是LLVM的lld，若不指定它则使用默认的ld。 clang [command line flags] -fuse-ld=lld hello.c -o hello.o./hello.o

服务概述 部署（CodeArts Deploy）提供可视化、自动化部署服务。提供丰富的部署步骤，有助于用户制定标准的部署流程，降低部署成本，提升发布效率。 部署服务具有以下特性： 支持主机（物理机、虚拟机）部署和容器部署。 预置Tomcat、SpringBoot、Django等系统模板快速新建应用，提供丰富的原子步骤，支持拖拉拽方式自由编排组装应用。 主机部署场景以环境为粒度，支持多台主机同时部署。 基于云容器引擎服务（CCE），实现容器部署。 基于应用管理与运维平台服务（ServiceStage），实现微服务应用部署。 支持保存自定义模板，通过模板一键创建应用。 支持参数化配置，提供字符串、环境、枚举等参数类型，部署应用时支持参数的动态替换。 与流水线服务无缝集成，支持业务持续发布。 原子步骤独立输出部署日志，提供关键字匹配FAQ，部署失败能够快速定位原因并提供解决方案。

使用部署服务可以做什么？ 部署服务提供的功能如下表所示。 表1 功能列表 特性 描述 基础资源管理 可以添加一个或多个主机并进行连通性验证；可以新建主机集群对多个主机统一操作；通过搜索主机名或IP地址查找某主机；主机和主机集群可以修改和删除。 应用管理 可以创建一个或多个应用，应用可以通过预定义模板或者自由编排步骤创建；支持按照名字查找和过滤应用；可以修改和删除应用。 参数设置 应用的步骤支持参数引用，在部署时由您指定参数值，应用支持指定值替换相应参数部署。 动态执行参数 应用支持动态执行参数，在部署时动态输入参数无需修改应用，增强应用的重用性和灵活性。 选择应用包 支持从制品仓库选择应用包。应用包可以在编译构建中自动归档到制品仓库中。 上传应用包 支持从本地上传应用包到制品仓库。 部署动态 应用部署产生的服务动态消息，包括部署成功、部署失败和应用更新和删除消息。 并行部署 可以在一个应用中选择多个主机和多个环境，实现多主机并行部署。 部署详情 可以查看部署详情，可视化显示部署进程、当前部署应用信息。 部署日志 部署详情页面可以查看部署日志，多主机并行部署支持分主机日志查看。 流水线集成 可以在流水线集成应用，编排应用并行或者串行执行；支持流水线参数。

身份认证 用户可以通过登录控制台浏览访问部署服务，同时也支持采用REST API和SDK调用的方式使用部署服务核心功能。 关于身份认证，部署服务在APIG、前端框架以及后台接口等多个节点多次进行身份校验，确保访问的合法性。 通过控制台访问部署服务时，需输入正确的用户名密码。采用API调用时，部署服务支持下面两种认证方式： Token认证：通过Token认证调用请求，访问部署服务用户界面默认使用Token认证机制。 AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。

数据保护技术 部署服务通过多种手段保护用户数据安全。 数据保护手段 简要说明 传输加密（HTTPS） 访问全链路采用HTTPS数据传输方式，保证数据传输安全。 个人数据保护 通过控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 对于用户在控制台输入的敏感数据，部署服务会将数据进行加密处理后存储，进一步保证用户的数据安全。 隐私数据保护 部署服务严格遵守华为云用户隐私声明条款，不存储非必要用户隐私数据，不消费用户数据。 数据销毁 对于用户进行销户和删除数据的操作，部署服务按照华为云要求，对数据进行逻辑删除，保留15天后进行物理删除。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

审计 云审计 服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。用户开通云审计服务并创建和配置追踪器后，CTS可记录目标审计服务的管理事件和数据事件用于审计。 部署服务通过对接CTS，将用户在使用CodeArts Deploy过程中关键的操作记录于CTS中，以便用户后续审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。