华为云用户手册

命令参考 详细的gsql参数请参见表1、表2、表3和表4。 表1 常用参数 参数 参数说明 取值范围 -c, --command=COMMAND 声明gsql要执行一条字符串命令然后退出。 - -d, --dbname=DBNAME 指定想要连接的数据库名称。 另外，gsql允许使用扩展的DBNAME，即'postgres[ql]://[user[:password]@][netloc][:port][,...][/dbname][?param1=value1&...]'或'[key=value] [...]'形式的连接串作为DBNAME，gsql将从连接串中解析连接信息，并优先使用这些信息。 字符串。 -f, --file=FILENAME 使用文件作为命令源而不是交互式输入。gsql将在处理完文件后结束。如果FILENAME是-（连字符），则从标准输入读取。 绝对路径或相对路径，且满足操作系统路径命名规则。 -l, --list 列出所有可用的数据库，然后退出。 - -v, --set, --variable=NAME=VALUE 设置gsql变量NAME为VALUE。 变量的示例和详细说明请参见变量。 - -X, --no-gsqlrc 不读取启动文件（系统范围的gsqlrc或者用户的~/.gsqlrc都不读取）。 说明： 启动文件默认为~/.gsqlrc，或通过PSQLRC环境变量指定。 - -1 ("one"), --single-transaction 当gsql使用-f选项执行脚本时，会在脚本的开头和结尾分别加上START TRANSACTION/COMMIT用以把整个脚本当作一个事务执行。这将保证该脚本完全执行成功，或者脚本无效。 说明： 如果脚本中已经使用了START TRANSACTION，COMMIT，ROLLBACK，则该选项无效。 - -?, --help 显示关于gsql命令行参数的帮助信息然后退出。 - -V, --version 打印gsql版本信息然后退出。 - 表2 输入和输出参数 参数 参数说明 取值范围 -a, --echo-all 在读取行时向标准输出打印所有内容。 注意： 使用此参数可能会暴露部分SQL语句中的敏感信息，如创建用户语句中的password信息等，请谨慎使用。 - -e, --echo-queries 把所有发送给服务器的查询同时回显到标准输出。 注意： 使用此参数可能会暴露部分SQL语句中的敏感信息，如创建用户语句中的password信息等，请谨慎使用。 - -E, --echo-hidden 回显由\d和其他反斜杠命令生成的实际查询。 - -k, --with-key=KEY 使用gsql对导入的加密文件进行解密。 须知： 对于本身就是shell命令中的关键字符如单引号（'）或双引号（"），Linux shell会检测输入的单引号（'）或双引号（"）是否匹配。如果不匹配，shell认为用户没有输入完毕，会一直等待用户输入，从而不会进入到gsql程序。 不支持解密导入存储过程和函数。 - -L, --log-file=FILENAME 除了正常的输出源之外，把所有查询输出记录到文件FILENAME中。 注意： 使用此参数可能会暴露部分SQL语句中的敏感信息，如创建用户语句中的password信息等，请谨慎使用。 此参数只保留查询结果到相应文件中，主要目标是为了查询结果能够更好更准确地被其他调用者（例如自动化运维脚本）解析；而不是保留gsql运行过程中的相关日志信息。 绝对路径或相对路径，且满足操作系统路径命名规则。 -m, --maintenance 允许在两阶段事务恢复期间连接数据库。 说明： 该选项是一个开发选项，禁止用户使用，只限专业技术人员使用，功能是：使用该选项时，gsql可以连接到备机，用于校验主备机数据的一致性。 - -n, --no-libedit 关闭命令行编辑。 - -o, --output=FILENAME 将所有查询输出重定向到文件FILENAME。 绝对路径或相对路径，且满足操作系统路径命名规则。 -q, --quiet 安静模式，执行时不会打印出额外信息。 缺省时gsql将打印许多其他输出信息。 -s, --single-step 单步模式运行。意味着每个查询在发往服务器之前都要提示用户，用这个选项也可以取消执行。此选项主要用于调试脚本。 注意： 使用此参数可能会暴露部分SQL语句中的敏感信息，如创建用户语句中的password信息等，请谨慎使用。 - -S, --single-line 单行运行模式，这时每个命令都将由换行符结束，像分号那样。 - 表3 输出格式参数 参数 参数说明 取值范围 -A, --no-align 切换为非对齐输出模式。 缺省为对齐输出模式。 -F, --field-separator=STRING 设置域分隔符（默认为“|”）。 - -H, --html 打开HTML格式输出。 - -P, --pset=VAR[=ARG] 在命令行上以\pset的风格设置打印选项。 说明： 这里必须用等号而不是空格分隔名称和值。例如，把输出格式设置为LaTeX，可以键入-P format=latex - -R, --record-separator=STRING 设置记录分隔符。 - -r 开启在客户端操作中可以进行编辑的模式。 缺省为关闭。 -t, --tuples-only 只打印行。 - -T, --table-attr=TEXT 允许声明放在HTML table标签里的选项。 使用时请搭配参数“-H,--html”，指定为HTML格式输出。 - -x, --expanded 打开扩展表格式模式。 - -z, --field-separator-zero 设置非对齐输出模式的域分隔符为空。 使用时请搭配参数“-A, --no-align”，指定为非对齐输出模式。 - -0, --record-separator-zero 设置非对齐输出模式的记录分隔符为空。 使用时请搭配参数“-A, --no-align”，指定为非对齐输出模式。 - -2, --pipeline 使用管道传输密码，禁止在终端使用，必须和-c或者-f参数一起使用。 - 表4 连接参数 参数 参数说明 取值范围 -h, --host=HOSTNAME 指定正在运行服务器的主机名或者UNIX域套接字的路径。 如果省略主机名，gsql将通过UNIX域套接字与本地主机的服务器相连，或者在没有UNIX域套接字的机器上，通过TCP/IP与localhost连接。 -p, --port=PORT 指定数据库服务器的端口号。 可以通过port参数修改默认端口号。 默认端口可通过编译参数来指定，不指定的话默认为5432。 -U, --username=USERNAME 指定连接数据库的用户。 说明： 通过该参数指定用户连接数据库时，需要同时提供用户密码用以身份验证。您可以通过交换方式输入密码，或者通过-W参数指定密码。 用户名中包含有字符$，需要在字符$前增加转义字符才可成功连接数据库。 字符串，默认使用与当前操作系统用户同名的用户。 -W, --password=PASSWORD 当使用-U参数连接本地数据库或者连接远端数据库时，可通过该选项指定密码。 说明： 登录数据库主节点所在服务器后连接本地数据库主节点实例时，默认使用trust连接，会忽略此参数。 用户密码中包含特殊字符“\”和"`"时，需要增加转义字符才可成功连接数据库。 如果用户未输入该参数，但是数据库连接需要用户密码，这时将出现交互式输入，请用户输入当前连接的密码。该密码最长长度为999字节，受限于GUC参数password_max_length的最大值。 字符串。 父主题： gsql

API概览 类型 子类型 说明 组织管理 注册OU 将组织里的某个OU注册到RGC服务。 查询注册过程信息 查询在RGC服务里注册/取消注册的过程信息。 查询纳管的账号信息 查询组织里某个纳管账号信息。 创建账号 在组织里的某个注册OU下创建账号。 Landing Zone治理 开启控制策略 给组织下的某个单元开启某个控制策略。 关闭控制策略 关闭组织下的某个单元的某个控制策略。 查询控制策略操作状态 根据操作ID查询返回指定ID的操作状态。 列出注册OU下开启的控制策略 列出组织里某个注册OU开启的所有控制策略信息。 列出开启的控制策略 列出组织里开启的所有控制策略信息。

获取账号、 IAM 用户、项目的名称和ID 从控制台获取账号名、账号ID、用户名、用户ID、项目名称、项目ID 在华为云首页右上角，单击“控制台”。 在右上角的用户名中选择“我的凭证”。 图1 进入我的凭证 在“我的凭证”界面，API凭证页签中，查看账号名、账号ID、用户名、用户ID、项目名称、项目ID。 每个区域的项目ID有所不同，需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考：管理员查询IAM用户列表。 获取项目ID请参考：查询指定条件下的项目列表。

权限和授权项说明 如果您需要对您所拥有的RGC进行精细的权限管理，您可以使用 统一身份认证 服务（Identity and Access Management，简称IAM），如果华为账号所具备的权限功能已经能满足您的要求，您可以跳过本章节，不影响您使用RGC服务的其他功能。 通过IAM，您可以通过授权控制主体（IAM用户、用户组、IAM委托）对华为云资源的访问范围。 账号下的IAM用户发起API请求时，该IAM用户必须具备调用该接口所需的权限，否则，API请求将调用失败。每个接口所需要的权限，与各个接口所对应的授权项相对应，只有发起请求的用户被授予授权项所对应的策略，该用户才能成功调用该接口。 例如，用户要查询Landing Zone设置状态，那么这个IAM用户被授予的策略中必须包含允许“rgc:landingZoneStatus:get”的授权项，该接口才能调用成功。 父主题： 权限和授权项

操作（Action） 操作（Action）即为策略中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 “条件键”列包括了可以在策略语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 您可以在自定义策略语句的Action元素中指定以下RGC的相关操作。 表1 RGC支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 rgc:control:list 授予列出控制策略的权限。 list - - rgc:controlViolation:list 授予列出不合规信息的权限。 list - - rgc:control:get 授予获取控制策略详细信息的权限。 read - - rgc:control:enable 授予开启控制策略的权限。 write - - rgc:control:disable 授予关闭控制策略的权限。 write - - rgc:controlOperate:get 授予获取控制策略操作状态的权限。 read - - rgc:enabledControl:list 授予列出开启的控制策略的权限。 list - - rgc:controlsForOrganizationalUnit:list 授予列出某个注册组织单元下开启的控制策略的权限。 list - - rgc:controlsForAccount:list 授予列出某个纳管账号开启的控制策略的权限。 list - - rgc:complianceStatusForAccount:get 授予获取组织里某个纳管账号的资源合规状态的权限。 read - - rgc:complianceStatusForOrganizationalUnit:get 授予获取组织里某个注册组织单元下所有纳管账号的资源合规状态的权限。 read - - rgc:controlsForOrganizationalUnit:get 授予获取某个组织单元开启的控制策略的权限。 read - - rgc:controlsForAccount:get 授予获取某个账号开启的控制策略的权限。 read - - rgc:configRuleCompliance:list 授予列出纳管账号的Config规则合规性信息的权限。 list - - rgc:externalConfigRuleCompliance:list 授予列出纳管账号的外部Config规则合规性信息的权限。 list - - rgc:driftDetail:list 授予列出漂移信息的权限。 list - - rgc:managedOrganizationalUnit:register 授予注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:reRegister 授予重新注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:deRegister 授予取消注册组织单元的权限。 write - - rgc:operation:get 授予获取注册过程信息的权限。 read - - rgc:managedOrganizationalUnit:delete 授予删除注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:get 授予获取已注册组织单元的权限。 read - - rgc:managedOrganizationalUnit:create 授予创建组织单元的权限。 write - - rgc:managedOrganizationalUnit:list 授予列举控制策略生效的注册组织单元信息的权限。 list - - rgc:managedAccount:enroll 授予纳管账号的权限。 write - - rgc:managedAccount:unEnroll 授予取消纳管账号的权限。 write - - rgc:managedAccount:update 授予更新纳管账号的权限。 write - - rgc:managedAccount:get 授予获取纳管账号的权限。 read - - rgc:managedAccountsForParent:list 授予列出注册组织单元下所有纳管账号信息的权限。 list - - rgc:managedAccount:create 授予创建账号的权限。 write - - rgc:managedAccount:list 授予列出控制策略生效的纳管账号信息的权限。 list - - rgc:managedCoreAccount:get 授予获取核心纳管账号的权限。 read - - rgc:homeRegion:get 授予查询主区域的权限。 read - - rgc:preLaunch:check 授予设置Landing Zone前检查的权限。 write - - rgc:landingZone:setup 授予设置Landing Zone的权限。 write - - rgc:landingZone:delete 授予删除Landing Zone的权限。 write - - rgc:landingZoneStatus:get 授予获取查询Landing Zone设置状态的权限。 read - - rgc:availableUpdate:get 授予获取Landing Zone可更新状态的权限。 read - - rgc:landingZoneConfiguration:get 授予获取Landing Zone配置信息的权限。 read - - rgc:landingZoneIdentityCenter:get 授予获取当前客户的Identity Center用户信息的权限。 read - - rgc:operation:list 授予获取注册组织单元或纳管账号的当前操作状态的权限。 list - - rgc:templateDeployParam:get 授予获取模板部署参数的权限。 read - - rgc:template:create 授予创建模板的权限。 write - - rgc:template:delete 授予删除模板的权限。 write - - rgc:predefinedTemplate:list 授予列出预置模板的权限。 list - - rgc:managedAccountTemplate:get 授予获取纳管账号模板详情的权限。 read - -

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内，12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见：API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

基本概念 账号 用户注册华为云时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中的资源，使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下，您可以查看项目ID。 企业项目 企业项目是项目的升级版，针对企业不同项目间的资源进行分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理用户指南》。

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 表1 请求URL 参数 说明 URI-scheme 传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器 域名 或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点中获取。例如RGC服务在“华北-北京四”区域的Endpoint为“rgc.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径，也即API访问路径。从具体API的URI模块获取，例如“查询控制策略操作状态”API的resource-path为“/v1/governance/operation-control-status/{operation_control_status_id}”，其中operation_control_status_id为开启控制策略或者关闭控制策略的操作标识ID。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取在“华北-北京四”区域的某一开启控制策略操作状态，则需使用“华北-北京四”区域的Endpoint（rgc.cn-north-4.myhuaweicloud.com），并在查询控制策略操作状态的URI部分找到resource-path（/v1/governance/operation-control-status/{operation_control_status_id}），拼接起来如下所示。 https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/{operation_control_status_id}

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 表2 消息头名称 描述 是否必选 Content-Type 消息体的类型（格式）。默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 是 Authorization 请求消息中可带的签名信息。AK/SK认证的详细说明请参见：AK/SK认证。 是 Host 表明主机地址。例如：rgc.cn-north-4.myhuaweicloud.com。 是 X-Sdk-Date 请求发起端的日期和时间。例如：20221107T020014Z。 是 API支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。AK/SK认证的详细说明请参见：AK/SK认证。 对于查询控制策略操作状态接口，请求如下所示。 GET https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/c0jquihv-x3ve-1lb9-qmix-dankod8dg86zContent-Type: application/json; charset=UTF-8X-Sdk-Date: 20240527T021902ZHost: rgc.cn-north-4.myhuaweicloud.comAuthorization: SDK-HMAC-SHA256 Access=xxxxxxxxxxxxxxxxxxx, SignedHeaders=content-type;host;x-sdk-date, Signature=xxxxxxxxxxxxxxxxxxxx

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在查询控制策略操作状态的URI部分，您可以看到其请求方法为“GET”，则其请求为： GET https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/{operation_control_status_id}

响应消息头 对应请求消息头，响应同样也有消息头，如“Content-type”。 详细的公共响应消息头字段请参见表1。 表1 公共响应消息头 消息头名称 描述 Content-Type 资源内容的类型。 类型：String 默认值：无 Connection 指明与服务器的连接是长连接还是短连接。 类型：String 有效值：keep-alive | close。 默认值：无。 Date RGC服务响应的时间。 类型：String 默认值：无 X-Request-Id 由RGC创建来唯一确定本次请求的值，可以通过该值来定位问题。 类型：String 默认值：无

响应消息体 响应消息体通常以结构化格式返回，与响应消息头中Content-type对应，传递除响应消息头之外的内容。 对于查询控制策略操作状态接口，返回如下消息体。 { "control_operation": { "operation_control_status_id": "c0jquihv-x3ve-1lb9-qmix-dankod8dg86z", "operation_type": "ENABLE_CONTROL", "status": "SUCCEEDED", "message": "", "start_time": "2024-04-19T16:26:30.518", "end_time": "2024-04-19T16:26:30.618" }} 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 { "error_msg": "error msg", "error_code": "APIGW.0301", "request_id": "string"} 其中，error_code表示错误码，error_msg表示错误描述信息。

状态码 表1 状态码 状态码 编码 错误码说明 100 Continue 继续请求。 这个临时响应用来通知客户端，它的部分请求已经被服务器接收，且仍未被拒绝。 101 Switching Protocols 切换协议。只能切换到更高级的协议。 例如，切换到HTTP的新版本协议。 201 Created 创建类的请求完全成功。 202 Accepted 已经接受请求，但未处理完成。 203 Non-Authoritative Information 非授权信息，请求成功。 204 NoContent 请求完全成功，同时HTTP响应不包含响应体。 在响应OPTIONS方法的HTTP请求时返回此状态码。 205 Reset Content 重置内容，服务器处理成功。 206 Partial Content 服务器成功处理了部分GET请求。 300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择。 301 Moved Permanently 永久移动，请求的资源已被永久的移动到新的URI，返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。 305 Use Proxy 所请求的资源必须通过代理访问。 306 Unused 已经被废弃的HTTP状态码。 400 BadRequest 非法请求。 建议直接修改该请求，不要重试该请求。 401 Unauthorized 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码，表明请求能够到达服务端，且服务端能够理解用户请求，但是拒绝做更多的事情，因为该请求被设置为拒绝访问，建议直接修改该请求，不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求，不要重试该请求。 405 MethodNotAllowed 请求中带有该资源不支持的方法。 建议直接修改该请求，不要重试该请求。 406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权。 408 Request Time-out 服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码，表明客户端尝试创建的资源已经存在，或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码，表明请求的资源已被永久删除。 411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息。 412 Precondition Failed 未满足前提条件，服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息。 414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理。 415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。 416 Requested range not satisfiable 客户端请求的范围无效。 417 Expectation Failed 服务器无法满足Expect的请求头信息。 422 UnprocessableEntity 请求格式正确，但是由于含有语义错误，无法响应。 429 TooManyRequests 表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部，然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到，但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能，无法完成请求。 502 Bad Gateway 充当网关或代理的服务器，从远端服务器接收到了一个无效的请求。 503 ServiceUnavailable 被请求的服务无效。 建议直接修改该请求，不要重试该请求。 504 ServerTimeout 请求在给定的时间内无法完成。客户端仅在为请求指定超时（Timeout）参数时会得到该响应。 505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本，无法完成处理。 父主题： 附录

节点池期望节点总数 节点池初始化节点个数。查询时为节点池目标节点数量。 参数名 取值范围 默认值 是否允许修改 作用范围 .spec.initialNodeCount 0-集群节点容量 （手动扩容，受限规格容量与配额等约束） 0 允许 CCE Standard/ CCE Turbo 节点池期望节点个数。 CCE通过后台持续扩缩节点，使当前节点数与期望节点数匹配。 资源售罄、配额不足、竞价过低等场景将可能导致实际节点数未达到预期。短时异常恢复后CCE将会持续重试直至满足预期。 伸缩组启用后：创建节点池时，仅允许指定默认伸缩组期望节点数，不支持扩展伸缩组

节点池优先级 节点池弹性扩容的优先级，数值越大节点池优先级越高。如果节点池中包含多个规格，您可以对每个规格的优先级进行单独配置，详情请参见节点池弹性伸缩优先级说明。 参数名 取值范围 默认值 是否允许修改 作用范围 .spec.autoscaling.priority 大于等于0 0 允许 CCE Standard/CCE Turbo 弹性伸缩场景配置，由autoscaler解析并限制客户端弹性伸缩决策。 配置建议： autoscaler弹性扩容决策时，基于默认策略将优先选择高优先级节点池扩容；如存在同优先级节点池，则逐步通过最小浪费、随机选择等策略优选节点池。更多详情可参考autoscaler的expander相关参数说明。

Nodeport类型服务端口范围 service的NodePort模式下能够使用的主机端口号范围，默认是30000-32767 参数名 取值范围 默认值 是否允许修改 作用范围 service-node-port-range 20106-32767 30000-32767 允许 CCE Standard/CCE Turbo 此配置是Nodeport类型的service可分配端口范围 配置建议： 30000-32767 端口号小于20106会和CCE组件的健康检查端口冲突，引发集群不可用 端口号高于32767会和net.ipv4.ip_local_port_range范围冲突，影响性能

节点池名称 节点池创建出的节点名称会基于节点池名称增加5位数随机尾缀，如输入nodepool，创建的节点名称为nodepool-47bl2 参数名 取值范围 默认值 是否允许修改 作用范围 .metadata.name 命名规则： 以小写字母开头，由小写字母、数字、中划线(-)组成，长度范围1-50位，且不能以中划线(-)结尾。 不允许创建名为 DefaultPool 的节点池。 集群内禁止重名节点池。 集群名称-{5位随机数字} 可修改 （禁止集群内重名） CCE Standard/CCE Turbo

密钥数据 密钥承载的数据内容 参数名 取值范围 默认值 是否允许修改 作用范围 data 数据为key:value键值对形式的数组，其中 key: 由小写字母、数字、中划线(-)、下划线（_）、点（.）组成，长度不超过253位 value值无特别限制 整体数据量不超过1MB大小 无 允许 - 密钥承载的配置信息主体内容 配置建议： 建议将配置项与data中的键一一对应，避免将多项配置结构整体作为data中的一项来维护，配置更新过程中可能产生误覆盖等问题 密钥信息在落盘存储时会加密，但用户查询密钥时系统会解密后返回。因此，不能依赖密钥的加密机制保证用户态的信息安全，敏感信息需要用户额外加密后再配置到data字段， 否则可能导致敏感信息泄露等安全问题

节点池弹性扩缩容开关 节点池启用弹性扩缩容后，autoscaler插件将基于上下限、缩容冷却时间、节点池扩容优先级、弹性伸缩场景配置，由autoscaler解析并限制客户端弹性伸缩决策。 参数名 取值范围 默认值 是否允许修改 作用范围 .spec.autoscaling.enable TRUE/FALSE false 允许 CCE Standard/CCE Turbo 开关启用时，相关弹性伸缩配置才生效。如果节点池中包含多个规格，您可以对每个规格是否支持弹性伸缩进行单独配置。 通过Console或者API直接扩缩节点池时不受相关参数约束。

集群特性开关 集群Kube-apiserver的特性开关 参数名 取值范围 默认值 是否允许修改 作用范围 feature-gates: ServerSideApply kube-apiserver支持的FeatureGate列表，多个特性","分割 开启 允许 CCE Standard/CCE Turbo 功能启用时，系统会将资源的字段管理信息存储在metadata.managedFields字段中，以记录历史操作的主体、时间、字段等信息

节点数范围 节点池弹性伸缩上下限。 当节点池中节点数大于等于上限时，将不会触发弹性扩容节点；当节点池中节点数小于等于下限时，将不会触发弹性缩容节点。 手动扩容不受节点数范围影响。 如果节点池中包含多个规格，您可以对每个规格的节点数范围进行单独配置。 参数名 取值范围 默认值 是否允许修改 作用范围 .spec.autoscaling.minNodeCount.maxNodeCount 大于等于0 0~10(Console) 允许 CCE Standard/CCE Turbo 弹性伸缩场景配置，由autoscaler解析并限制客户端弹性伸缩决策。此配置主要用于限制节点池弹性伸缩行为，避免超过预期规模的弹性伸缩行为。 配置建议： 节点池手动扩缩容时，建议联动调整相关上下限。 如节点池期望节点数超过此上下限，部分存量老版本autoscaler插件弹性伸缩功能将异常阻塞。最新插件版本不涉及此风险。

节点池单节点缩容冷却时间 节点池开启弹性伸缩后，新扩容的节点创建完成后，在配置的单节点缩容冷却时间内将不会被评估为待缩容节点。 参数名 取值范围 默认值 是否允许修改 作用范围 .spec.autoscaling.scaleDownCooldownTime 大于等于0 0 允许 CCE Standard/CCE Turbo 弹性伸缩场景配置，由autoscaler解析并限制客户端弹性伸缩决策。 配置建议： 如果业务运行时间短且弹性扩容节点呈现分批规律，推荐配置合理缩容冷却时间，避免新扩容节点快速消费完前一批业务，在一批业务下发前由于低资源分配率被缩容，而影响业务整体执行耗时、资源冗余成本。

TCP连接在关闭状态下等待的时间 处于 CLOSE_WAIT 状态的空闲 conntrack 条目在 conntrack 表中保留的时间 参数名 取值范围 默认值 是否允许修改 作用范围 conntrack-tcp-timeout-close-wait 大于等于0 1h0m0s 允许 CCE Standard/CCE Turbo 处于 CLOSE_WAIT 状态的空闲 conntrack 条目在 conntrack 表中保留的时间 配置建议： 不建议配置

CCI 弹性承载标签 参数名 取值范围 默认值 是否允许修改 作用范围 labels["virtual-kubelet.io/burst-to-cci"] auto/localPrefer/enforce/off off 允许 - auto：根据用户集群内调度器实际打分结果自动决定是否弹性至CCI，其中在TaintToleration算法上会优先选择调度到CCE节点。 localPrefer：集群资源不足时，将Pod部署到CCI。 enforce：强制调度至CCI。 off：不调度至CCI。

预热容器网卡上限检查值 节点预热容器网卡上限检查值 参数名 取值范围 默认值 是否允许修改 作用范围 nic-maximum-target 0-256 0 允许 CCE Turbo 节点预热容器网卡上限检查值: 当节点绑定的容器网卡数超过本参数设置的值，不再主动预热容器网卡。当该参数大于等于节点最少绑定容器网卡数(nic-minimum-target)时，则开启预热容器网卡上限值检查；反之，则关闭预热容器网卡上限值检查。 范围：正整数；例如0，表示关闭预热容器网卡上限值检查。当超过节点的容器网卡配额时，后台取值为节点的容器网卡配额。 配置建议： 建议设置为0，如期望配置检查上限，建议将此值设置为大部分节点平时最多运行的Pod数

预热容器网卡回收阈值 节点预热容器网卡回收阈值 参数名 取值范围 默认值 是否允许修改 作用范围 nic-max-above-warm-target 0-256 2 允许 CCE Turbo 节点预热容器网卡回收阈值: 只有当节点上空闲的容器网卡数 - 节点动态预热容器网卡数(nic-warm-target) 大于此阈值时，才会触发预热容器网卡的解绑回收。只支持数值配置。 调大此值会减慢空闲容器网卡的回收，加快Pod的启动速度，但会降低IP地址的利用率，特别是在IP地址紧张的场景，请谨慎调大。 调小此值会加快空闲容器网卡的回收，提高IP地址的利用率，但在瞬时大量Pod激增的场景，部分Pod启动会稍微变慢。 配置建议： 建议设置为2，建议配置为大部分节点日常在分钟级时间范围内会频繁弹性扩容缩容的Pod数 - 大部分节点日常10s内会瞬时弹性扩容的Pod数。

节点类型 参数名 取值范围 默认值 是否允许修改 作用范围 type 无 无 允许 CCE Standard/CCE Turbo CCE Standard集群： 弹性云服务器-虚拟机：基于弹性云服务器部署容器服务。 弹性云服务器-物理机：基于擎天架构的服务器部署容器服务。 裸金属服务器：基于裸金属服务器部署容器服务，需要挂载本地盘或支持挂载云硬盘。 CCE Turbo集群： 弹性云服务器-虚拟机：基于弹性云服务器部署容器服务，仅支持可添加多张弹性网卡的机型。 弹性云服务器-物理机：基于擎天架构的服务器部署容器服务。

节点最少绑定容器网卡数 节点最少绑定容器网卡数，保障节点最少有多少张容器网卡绑定在节点上，支持数值跟百分比两种配置方式。 参数名 取值范围 默认值 是否允许修改 作用范围 nic-minimum-target 0-256 10 允许 CCE Turbo 节点最少绑定容器网卡数: 保障节点最少有多少张容器网卡绑定在节点上。 范围：正整数；例如10，表示节点最少有10张容器网卡绑定在节点上。当超过节点的容器网卡配额时，后台取值为节点的容器网卡配额。 配置建议： 建议配置为大部分节点日常运行Pod个数的大小；集群中的节点上会根据配置的值预热出一定的网卡个数，预热的网卡会占用容器子网的IP，请合理规划容器子网网段大小。

动态预热容器网卡数 节点动态预热容器网卡数 参数名 取值范围 默认值 是否允许修改 作用范围 nic-warm-target 0-256 2 允许 CCE Turbo 节点动态预热容器网卡数: 当Pod使用完节点最少绑定容器网卡数(nic-minimum-target)后，会始终额外预热多少张容器网卡，只支持数值配置。 当节点动态预热容器网卡数(nic-warm-target) + 节点当前绑定的容器网卡数 大于 节点预热容器网卡上限检查值(nic-maximum-target)时，只会预热nic-maximum-target与节点当前绑定的容器网卡数的差值。 配置建议： 建议设置为2，此参数提供了动态预热能力，保证了节点始终有一定数量的预热网卡，建议配置为大部分节点日常10s内会瞬时弹性扩容的Pod数。

控制器访问kube-apiserver的QPS 控制器访问kube-apiserver的QPS 参数名 取值范围 默认值 是否允许修改 作用范围 kube-api-qps 大于等于0 默认值100；1000节点以上规格值为200 允许 CCE Standard/CCE Turbo 控制器访问kube-apiserver的QPS 配置建议： 无特殊需求建议保持默认配置 配置过大可能会导致kube-apiserver过载，配置过小可能会触发客户端限流，对控制器性能产生影响