华为云用户手册

请求消息体 该部分可选。请求消息体通常以结构化格式（如JSON或XML）发出，与请求消息头中Content-Type对应，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 { "input_json": { "input": { "type": "obs", "data": { "bucket": "oroas-bi-data", "object": "oroas-optvsolver/input/dcmulti.mps" } }, "output": { "type": "obs", "data": { "bucket": "oroas-bi-data", "object": "oroas-optvsolver/output" } }, "parameters": { "time_limit": 60.0, "gap": 0.0 } }} 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。

终端节点 终端节点即调用API的请求地址，不同服务不同区域的终端节点不同，您可以从地区和终端节点中查询所有服务的终端节点。 运筹优化算法服务的终端节点如表1所示，请您根据业务需要选择对应区域的终端节点。 表1 运筹优化算法服务的终端节点 区 域名 称 区域 终端节点（Endpoint） 部署服务 华北-北京四 cn-north-4 optverse.cn-north-4.myhuaweicloud.com 二维切割，求解器 父主题： 使用前必读

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 例如，在创建任务的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://optverse.cn-north-4.myhuaweicloud.com/v2/{{project_id}}/optverse/{service_type}/tasks

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 表3 公共请求消息头 名称 说明 是否必选 示例 Content-Type 发送的实体的MIME类型。 是 application/json; charset=utf-8 X-Auth-Token 用户Token。 是 -

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 表1 URI中的参数说明 参数 说明 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点中获取。 例如OptVerse服务在“华北-北京四”区域的Endpoint为“optverse.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径，也即API访问路径。 从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取 IAM 在“华北-北京四”区域的Token，则需使用“华北-北京四”区域的Endpoint（iam.cn-north-4.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求示例 GET /v2/{project_id}/optverse/{service_type}/tasks/{task_id}curl --location --request GET 'https://optverse.cn-north-4.myhuaweicloud.com/v2/{project_id}/optverse/{service_type}/tasks/{task_id}' \--header 'Content-Type: application/json' \--header 'X-Auth-Token; xxxxxxxxx'

什么是多活高可用服务 企业在应用发展的过程中会面临诸多难题，如： 使用单个AZ/Region无法满足高可靠诉求； 系统容量达到瓶颈或者访问时延无法达到要求； 云厂商技术绑定，无法获得先进技术和价格优势； 业务爆炸式增长带来的技术瓶颈。 多活高可用服务（Multi-Site High Availability Service，简称MAS）源自华为消费者多活应用高可用方案，提供从流量入口、数据到应用层的端到端的业务故障切换及容灾演练能力，保障故障场景下的业务快速恢复，提升业务连续性。 MAS=多活接入服务+应用层SDK+数据同步管道+统一管控中心；完整可落地方案=技术产品（MAS）+咨询服务+生态伙伴+容灾规范。 MAS产品优势如下： 业务级高可用保障。 流量、业务、数据端到端可用。 秒级RTO、RPO，保证业务连续性。 低成本容灾演练能力。 MAS核心能力包括： 端到端（管理-流量-应用-数据）仲裁和多活容灾管控。 安全可靠的数据同步管道。 可落地的多活容灾标准规范。 咨询+专业实施服务。 MAS架构如图1所示。 图1 MAS服务架构示图 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群，一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 软件开发工具包（SDK）：SDK 的全称是 Software Development Kit，是一种被用来辅助开发某类软件而编写的特定软件包。 RPO（Recovery Point Objective）：即数据恢复点目标，主要指的是业务系统所能容忍的数据丢失量。 RTO（Recovery Time Objective）：即恢复时间目标，主要指的是所能容忍的业务停止服务的最长时间，也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。

MAS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 MAS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问MAS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对MAS服务，管理员能够控制IAM用户仅能对MAS实例进行指定的管理操作。 如表1所示，包括了MAS的所有系统权限。 表1 MAS系统策略 系统角色/策略名称 描述 类别 依赖关系 MAS FullAccess 多活高可用服务所有权限，拥有该权限的用户可以操作所有多活高可用服务的功能。 系统策略 无 MAS CommonOperations 多活高可用服务基本操作权限，包括拥有应用、监控器、组件的操作权限，但无实例创建、删除权限。 系统策略 无 MAS ReadOnlyAccess 多活高可用服务只读权限，拥有该权限的用户仅能查看多活高可用服务数据。 系统策略 无 表2列出了MAS常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 常用操作与系统策略的关系 操作 MAS FullAccess MAS CommonOperations MAS ReadOnlyAccess 开通功能模块 √ × × 编辑功能模块 √ × × 删除功能模块 √ × × 创建命名空间 √ × × 编辑命名空间 √ √ × 删除命名空间 √ × × 查看命名空间详情 √ √ √ 新增应用 √ √ × 编辑应用 √ √ × 删除应用 √ √ × 购买多活管理中心 √ × × 编辑多活管理中心 √ √ × 删除多活管理中心 √ × × 查看多活管理中心详情 √ √ √ 添加数据源 √ × × 编辑数据源 √ √ × 删除数据源 √ × × 查看数据源详情 √ √ √ 创建同步链路 √ × × 编辑同步链路 √ √ × 删除同步链路 √ × × 查看同步链路详情 √ √ √ 监控器切换 √ √ × 新增监控 √ √ × 监控配置 √ √ × 编辑监控 √ √ × 切换数据中心 √ √ × 删除监控 √ √ × 连接池配置 √ √ × SDK接入配置 √ √ × 添加密钥 √ √ × 编辑密钥 √ √ × 删除密钥 √ √ × 添加通知配置 √ √ × 编辑通知配置 √ √ × 删除通知配置 √ √ × 配置数据中心级自动切换 √ √ × 创建凭证 √ × × 删除凭证 √ × × 使用凭证 √ √ × 查看凭证 √ √ √ 创建工作流 √ × × 编辑工作流 √ × × 删除工作流 √ × × 复制工作流 √ × × 关注/取消关注工作流 √ √ √ 执行工作流 √ √ × 跳过工作流任务 √ √ × 重试工作流任务 √ √ × 查询工作流详情 √ √ √ 查询工作流列表 √ √ √ 查询工作流任务执行历史列表 √ √ √ 查询工作流任务执行状态 √ √ √ 停止执行工作流任务 √ √ ×

计费项 MAS根据您开通的功能模块和购买的多活管理中心以及多活管理中心关联的节点数进行计费。具体收费介绍，请参考价格详情。 表1 MAS计费项 计费项 计费说明 功能模块 根据功能模块版本、功能点数量以及开通时长进行计费。 多活管理中心 根据多活管理中心规格、购买时长以及购买的实例数量进行计费。 节点数 根据多活管理中心关联的节点数以及购买时长进行计费。 说明： 节点数是多活管理中心所监控的应用的进程个数。

计费模式 提供包年包月、按需共2种计费模式供您灵活选择。 包年包月：多活管理中心根据订单的购买周期计费，目前仅多活管理中心支持包年包月计费模式。 按需计费： 功能模块根据您开通的多活版本和功能点进行按需（天）计费。 多活管理中心根据您购买的实例规格按需（小时）计费。 节点数根据多活管理中心关联的节点数按需（天）计费。 计费模式变更：多活管理中心实例支持包年包月和按需计费模式相互转换。 如需变更计费模式，请参考按需转包年包月和包年包月转按需章节进行计费模式转换。

配额说明 配额是指您在MAS系统中可创建的资源数量限制，具体的资源配额限制如表4-1 MAS配额规格所示。 表1 MAS配额规格 资源名称 配额（个） 备注 命名空间 10 系统支持的命名空间数量。 多活管理中心 10 系统支持的多活实例数量。 应用 200 单个实例支持的应用数量。 监控器 100 单个实例支持的监控器数量。 数据源 200 单个命名空间支持的数据源数量。 数据同步 100 单个命名空间支持的数据同步数量。

应用场景 随着业务的发展，系统容量、可靠性、商务因素等方面都会逐步给业务架构带来挑战。MAS应用场景包括： 场景一：同城灾备 适用于容灾可用性要求达到99.9%，业务分布在同一个地域，要求支持同城跨AZ的应用和数据灾备场景。 场景二：同城双活 适用于容灾可用性要求达到99.95%，要求业务双活的容灾场景。 同城跨AZ的应用数据多活，并分担部分业务流量。 场景三：两地三中心 适用于容灾可用性要求达到99.99%，同时进行跨AZ和跨Region容灾场景。 同城双活+异地灾备，提供最高程度的业务连续性和数据可用性保障。 场景四：异地多活（单元化） 适用于容灾可用性要求达到99.99%+，业务对时延敏感，且要求数据分区化场景。 分区化管理+应用数据多活，可扩展性强，可以随时增加新的分区，可靠性高。 场景五：混沌工程 适用于向被测系统主动引入故障，通过故障注入、故障演练的方式提升系统可靠性。 图1 MAS应用场景

相关操作 除了新增操作外，系统还支持对策略组和策略进行以下管理操作： 策略组： 编辑策略组：鼠标移动到策略组，单击，修改策略组名称。 删除策略组：鼠标移动到策略组，单击，删除策略组。 复制策略组：鼠标移动到策略组，单击，复制整个策略组。 策略： 编辑策略信息：单击策略名称，修改策略信息。 编辑策略：鼠标移动到策略，单击，修改策略名称。 复制策略：鼠标移动到策略，单击，复制整个策略。 删除策略：鼠标移动到策略，单击，删除策略。

插件状态 插件部署在客户的应用系统上。插件状态有三种： online：准备状态，插件状态正常。可以通过心跳进行状态检测，加密系统会定期推送相应的加密配置和密钥文件到插件端。等待加密系统故障后切换到激活状态。 bypass：激活状态，插件状态正常。插件已检测到加密系统异常，插件开始工作，修改应用连接从网关代理到直连数据库，并对jdbc请求中的数据进行加解密。 当应用配置连接的是网关加密代理地址且应用到网关加密代理地址不通时，插件将切换到bypass状态。

通过代理连接数据库 本示例以“DBeaver工具”为例，通过数据库运维安全管理系统代理连接到数据库。 图6 通过代理连接数据库 单击“DBeaver工具”的图标，在选择新连接类型对话框中，选中“MySQL”。 单击“下一步”。 在设置MySQL连接对话框中，设置连接信息，如图6所示。 服务器地址：使用代理服务器IP，即数据库运维安全管理系统的访问IP地址。例如192.168.12.59。 端口：使用代理端口，例如9587。 单击“测试链接”，测试是否能够连接到数据库。 测试通过后，单击“下一步”，按照界面提示完成操作。

使用约束 表1 数据库运维支持纳管的数据源及版本 兼容性软件名称 兼容版本情况 功能差异化描述 数据库 版本 协议解析单向 协议解析双向 风险扫描 密码代填 web认证 Oracle 11.1.0.60 √ √ √ √ √ 11.2.0.1 √ √ √ √ √ 12.2.0.1 √ × √ √ √ 19c √ × √ √ √ 12.1.0.2 √ √ √ √ √ 11.2.0.4 √ √ √ √ √ MySQL 5.5 （测试版本：5.5.64-MariaDB） √ √ × √ √ 5.6 √ √ × √ √ 5.7.29 √ √ × √ √ 5.7.36 √ √ × √ √ 5.7.32 √ √ × √ √ 8.0.21 √ √ × √ √ 8.0.22 √ √ × √ √ 8.0.27 √ √ × √ √ 8.0.28 √ √ × √ √ SQL Server 2008 √ √ √ × √ 2014 √ √ √ × √ 2019 √ √ √ × √ DB2 8 √ × √ √ √ 10 √ × √ √ √ DM7 7.1.2 √ × √ √ √ DM8 8.1.2.84 √ × × √ √ PostgreSQL 10 √ √ × × √ 12.2 √ √ × √ × 9.6.6 √ × × × √ 12.4 √ √ × √ √ 12.3 √ √ × √ √ Hive 1.1 √ × × × × 2.1.1 √ √ × × × Kingbase 7.1.2.0480 √ × × × × GaussDB 100 √ × × × × 200 √ × × × × TDSQL 10.3.14.6.0_D014 √ √ × × × TBase（TBase（PG） V2.15.17.3.6 √ √ × × × GreemPlum 4.3.8.1 √ × × √ √

运维人员操作管理体系流程 数据库运维安全管理系统设置了完善的运维人员操作管理体系，流程如图1所示。 图1 运维人员操作管理流程 安全管理员需先添加审批人（系统管理员）与申请人（数据库操作员）账号。具体说明请参见手动创建账号。 新增的账号需先经安全管理员审核通过。具体说明请参见审核账号。 安全管理员设置审批架构，设置审批人与申请人。具体说明请参见设置审批架构。 系统管理员需给目标资产开启Web认证，以便后续能给数据库操作员进行资产认证授权。具体说明请参见添加数据资产。 系统管理员添加数据资产账号信息，用于给数据库操作员资产认证授权。具体说明请参见手动添加账号。 系统管理员找到目标数据库操作员，并进行资产授权操作。具体说明请参见管理运维人员。 随后数据库操作员对目标资产发起运维工单申请。具体说明请参见发起运维工单申请。 对应系统管理员（审批人）审批工单申请。具体说明请参见审批运维工单。 审批通过，数据库操作员需先登录系统，随后可以通过安全客户端或本机其他数据库客户端进行操作。具体说明请参见通过Web安全客户端访问资产。 父主题： 快速使用指南

相关操作 后续您可以根据情况，在账号管理页面进行以下操作： 编辑账号：单击“编辑”，编辑账号信息。 删除账号：单击“删除”，删除账号。 单条账号改密：单击“改密配置”，根据需求设置改密规则。 批量账号改密：选中账号，单击“批量改密”，根据需求设置改密规则。 进行改密设置前，请确认数据库账号拥有改密权限，或已添加管理员账号。 批量关闭周期改密：单击关闭自动改密，选中目标资产，批量关闭已设置的周期改密功能。 添加账号信息后，您可以将数据库操作员和数据库账号进行关联，以实现Web认证授权和密码代填。具体操作，请参见管理运维人员。

操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 默认进入首页页面，在首页中查看信息。 图1 首页信息看板 表1 首页信息看板 区域 说明 数据资产统计 统计关系型数据库资产数量、大数据资产数量和资产总数。 网络流量 统计近3分钟所有网卡的网络流量信息。 业务监控 统计各风险级别的业务访问数量。 CPU 统计近3分钟的实时CPU使用率。 内存 统计近3分钟的实时内存使用率。 磁盘 统计近3分钟的实时磁盘使用率。

相关操作 根据需要您还可以进行如下操作： 查看工单详情：单击目标工单栏的查看，查看工单详情。 撤销工单申请：单击目标工单栏的撤销，撤销工单申请。 条件查询工单：在条件查询框设置不同条件，进行查询。 再次发起审批：单击目标工单栏的再次申请，原工单可以作为模板，您修改相关信息后，再次发起审批。 收藏审批：单击目标工单栏的收藏，收藏审批工单，便于后续使用。 待工单申请审批通过后，可通过安全管理客户端对数据库进行相应操作，详情请参见通过Web安全客户端访问资产。

操作步骤 登录实例。 方式一：登录服务管理控制台，进入数据库运维页面，在目标实例“操作”列单击“远程登录”或“本地登录”。 方式二：通过方式一进入的数据库运维页面获取“弹性IP”，在浏览器地址栏中输入访问地址，按回车键，进入登录界面。 访问地址：https://服务器弹性IP地址:端口，例如https://100.xx.xx.54:18443。 （可选）在安全告警页面，单击“高级”。 图1 安全告警 （可选）在详情说明区域单击“继续前往xx.xx.xx.xx（不安全）”。 图2 进入登录页面 进入登录页面后，输入“用户名”、“密码”，单击“登录”。 登录成功后，您可以进入Web控制台，查看和配置数据库运维安全管理系统。 初次登录系统，您需要修改默认密码。具体操作请参见修改登录密码。

修改登录密码 在Web控制台，单击右上角的用户名，在下拉框中单击“修改密码”。 图3 修改密码 在修改密码对话框中，修改密码并单击“确定”。 表2 参数说明 参数 说明 原密码 输入原来的登录密码。 新密码 输入修改后的新密码。 说明： 为了登录安全，建议您将密码设置成复杂密码，例如包含以下多种字符组合： 大写字母（从A到Z） 小写字母（从a到z） 数字（0~9） 特殊符号（例如：! @ # $） 确认密码 重新输入修改后的新密码。 修改完成后，您需要退出Web控制台，使用新密码重新登录。

加密操作流程 数据库加密与访问控制的加密操作流程图和流程介绍如下图1所示。 图1 加密操作流程 （首次）初始化密钥。 首次使用系统时，根据密钥来源初始化密钥。具体操作，请参见初始化密钥。 添加数据源。 在使用数据脱敏功能前，您需要将数据资产添加到系统中。具体操作，请参见添加数据资产。 （可选）配置行业模板和敏感数据类型。 系统已经内置满足大部分需求的敏感数据类型和通用行业模板。如果您有特殊需求，也可以自定义敏感数据类型和行业模板。具体操作，请参见新增行业模板和新增自定义数据类型。 （可选）执行敏感数据发现。 通过敏感数据发现任务，自动扫描和识别出数据资产中的敏感数据。具体操作，请参见扫描资产的敏感数据。 （可选）查看任务执行结果。 通过查看任务执行结果，检查结果是否符合敏感数据要求。具体操作，请参见查看扫描任务执行结果。 （可选）仿真加密测试。 通过仿真加密测试，检查目标是否支持加密。具体操作，请参见仿真加密测试。 创建加密队列。 您可以在敏感数据发现任务的结果中，根据敏感数据信息创建加密队列。具体操作，请参见在结果中创建加密队列。 同时，也支持在 数据加密 模块直接创建加密队列。具体操作，请参见配置加密队列。 授权管理。 配置加密后，默认情况下访问数据库时，您只能看到加密后的数据。应用系统正常运行需要获取加密前的数据，此时您需要为应用系统进行授权操作。具体操作，请参见管理授权。 配置完成后，您可以通过以下方式验证配置结果。 使用已授权的客户端地址和用户，通过代理方式访问数据库，此时可以查看到加密前的明文数据。 使用未授权的客户端地址或用户，通过代理方式访问数据库，此时只能查看到加密后的数据。

动态脱敏操作流程 数据库加密与访问控制支持配置动态脱敏策略，对数据库资产中的明文数据进行脱敏展示，动态脱敏流程如图1所示。 图1 动态脱敏流程 添加数据源。 在使用数据脱敏功能前，您需要将数据资产添加到系统中。具体操作，请参见添加数据资产。 （可选）配置行业模板和敏感数据类型。 系统已经内置满足大部分需求的敏感数据类型和通用行业模板。如果您有特殊需求，也可以自定义敏感数据类型和行业模板。具体操作，请参见新增行业模板和新增自定义数据类型。 执行敏感数据发现。 通过敏感数据发现任务，自动扫描和识别出数据资产中的敏感数据。具体操作，请参见扫描资产的敏感数据。 （可选）查看任务执行结果。 通过查看任务执行结果，查看命中的敏感数据。具体操作，请参见查看扫描任务执行结果。 创建脱敏规则。 您可以在敏感数据发现任务的结果中，根据敏感数据信息创建加密队列。具体操作，请参见在结果中创建脱敏规则。 同时，也支持在动态脱敏模块直接创建脱敏规则。具体操作，请参见创建脱敏规则。 （可选）配置脱敏白名单。 配置脱敏规则并启用后，默认情况下访问数据库的明文数据时，您只能看到脱敏后的数据。配置脱敏白名单后，白名单中的用户访问数据库可查看到明文数据。具体操作，请参见1.4.8.3 配置脱敏白名单。 配置完成后，您可以代理访问验证脱敏规则配置效果。

验证配置效果 使用数据库操作员datadmin账号登录数据库运维管理系统。 使用本机上的DBeaver通过代理服务器访问数据资产中test表，如果审批通过此时可正常访问。 操作详情请参见通过代理连接数据库。 图9 客户端访问结果 使用本机上的DBeaver通过代理服务器访问数据资产中test表，如果审批被驳回或同意后被撤销，此时会被阻断。 操作详情请参见通过代理连接数据库。 图10 客户端访问结果

操作步骤 登录实例。 方式一：登录服务管理控制台，进入数据库加密与访问控制页面，在目标实例“操作”列单击“远程登录”或“本地登录”。 方式二：通过方式一进入的数据库加密与访问控制页面获取“弹性IP”，在浏览器地址栏中输入访问地址，按回车键，进入登录界面。 访问地址：https://服务器弹性IP地址:端口，例如https://100.xx.xx.54:9595。 （可选）在安全告警页面，单击“高级”。 图1 安全告警 （可选）在详情说明中，单击继续前往xx.xx.xx.xx（不安全）。 图2 继续前往 输入用户名、密码和验证码，单击“登录”。 首次登录后，需要修改默认密码，详细操作请参见修改登录密码。 在后续使用过程中，建议您定期修改密码，确保登录安全。

修改登录密码 在Web控制台，鼠标移动到右上角的用户名。 图3 修改密码 在下拉框中，单击“修改密码”。 在修改密码对话框中，输入原始密码和新密码，单击“确定”，新密码规则如表2所示。 修改完成后，您需要退出Web控制台，使用新密码重新登录。 表2 修改密码 参数 说明 原密码 输入原来的登录密码。 新密码 输入修改后的新密码。 为了登录安全，建议您将密码设置成复杂密码，例如包含以下多种字符组合： 大写字母（从A到Z） 小写字母（从a到z） 数字（0~9） 特殊符号（例如：! @ # $） 确认密码 重新输入修改后的新密码。

策略应用流程 数据库运维安全管理系统支持多种策略的设置与应用，以实现各种数据级的访问控制，策略应用流程如图1所示。 图1 策略应用流程 系统管理员添加数据资产，并进行相应设置。具体说明请参见添加数据资产。 进行防护策略设置，包括策略基本配置、集合配置、自定义策略（SQL策略、包过滤策略、客户端语句过滤白名单）、设置虚拟补丁。具体说明请参见策略设置。 勾选要启用的策略并应用使之生效。具体说明请参见管理基本配置。 在后续操作中，您可在审计日志中查看到命中策略的记录。具体说明请参见查看审计日志信息。 父主题： 快速使用指南

模型文件说明（训练） Octopus模型管理模块，支持用户上传模型，并将其用于模型评测、模型编译任务。如果需要将模型用于内置评测模板评测，除模型文件外，需另外包含推理启动文件： customer_inference.py 仅当需要使用内置评测指标计算时需要添加推理启动文件，文件名称可自定义，将该文件置于模型目录下。 为了显示以上文件的使用流程，可参考如下图示： 模型文件基本要求 父主题： 模型管理

作业输入输出规范 用户完成自定义Rosbag转OpenData算子创建，运行作业容器时Octopus平台向其中注入以下环境变量： rosbag_path: 作为数据源的rosbag存放路径，例如/tmp/data/20220620.bag yaml_path: 启动数据收集任务的yaml文件路径，例如/tmp/Octopus_data_collections.yaml output_dir: rosbag数据包作业运行结果输出目录，例如/tmp/output tmp_dir: 供用户存储作业临时文件的目录，例如/tmp/workspace 用户的作业容器需要解析rosbag，并将转换结果输出到output目录，结果示例如下： 每个传感器提取的数据保存在单独的文件夹，其中camera和lidar传感器提取的样本文件必须以时间戳命名。任务结束标志文件，_SUCEESS或_FAILURE分别代表任务成功或失败。opendata_to_platform.yaml文件以yaml格式记录该OpenData数据包的元数据，格式如下： sensor_type字段标识传感器类型，可取以下值：camera、lidar、gnss、vehicle、ego_tf、object_array_vision、traffic_light_matched、tag_record、planning_trajectory、predicted_objects、control、routing_path、localization_visualization。具体定义参考数据包格式。 示例opendata_to_platform.yaml文件内容如下： 父主题： Rosbag转OpenData作业（数据回放）