华为云用户手册

为什么限制Topic的总分区数？ Kafka以分区为粒度管理消息，分区多导致生产、存储、消费都碎片化，影响性能稳定性。在使用过程中，当Topic的总分区数达到上限后，用户就无法继续创建Topic。 不同规格配置的Topic总分区数不同，如下表所示。 表1 Kafka实例规格（集群版实例） 实例规格 代理个数范围 单个代理TPS 单个代理分区上限 单个代理建议消费组数 单个代理客户端总连接数上限 存储空间范围 单个代理流量规格（MB/s） kafka.2u4g.cluster.small 3~30 20000 100 15 2000 300GB~300000GB 40 kafka.2u4g.cluster 3~30 30000 250 20 2000 300GB~300000GB 100 kafka.4u8g.cluster 3~30 100000 500 100 4000 300GB~600000GB 200 kafka.8u16g.cluster 3~50 150000 1000 150 4000 300GB~1500000GB 375 kafka.12u24g.cluster 3~50 200000 1500 200 4000 300GB~1500000GB 625 kafka.16u32g.cluster 3~50 250000 2000 200 4000 300GB~1500000GB 750 表2 Kafka实例规格（单机版实例） 实例规格 代理个数 单个代理TPS 单个代理分区上限 单个代理建议消费组数 单个代理客户端总连接数上限 存储空间范围 单个代理流量规格（MB/s） kafka.2u4g.single.small 1 20000 100 15 2000 100GB~10000GB 40 kafka.2u4g.single 1 30000 250 20 2000 100GB~10000GB 100 父主题： Topic和分区问题

Kafka实例的Topic数量是否有限制？ Topic数量和Topic总分区数、每个Topic的分区数有关，Kafka实例对Topic总分区数设置了上限，当达到上限后，会导致用户无法继续创建Topic。 不同规格配置的Topic总分区数不同，如下表所示。 表1 Kafka实例规格（集群版实例） 实例规格 代理个数范围 单个代理TPS 单个代理分区上限 单个代理建议消费组数 单个代理客户端总连接数上限 存储空间范围 单个代理流量规格（MB/s） kafka.2u4g.cluster.small 3~30 20000 100 15 2000 300GB~300000GB 40 kafka.2u4g.cluster 3~30 30000 250 20 2000 300GB~300000GB 100 kafka.4u8g.cluster 3~30 100000 500 100 4000 300GB~600000GB 200 kafka.8u16g.cluster 3~50 150000 1000 150 4000 300GB~1500000GB 375 kafka.12u24g.cluster 3~50 200000 1500 200 4000 300GB~1500000GB 625 kafka.16u32g.cluster 3~50 250000 2000 200 4000 300GB~1500000GB 750 表2 Kafka实例规格（单机版实例） 实例规格 代理个数 单个代理TPS 单个代理分区上限 单个代理建议消费组数 单个代理客户端总连接数上限 存储空间范围 单个代理流量规格（MB/s） kafka.2u4g.single.small 1 20000 100 15 2000 100GB~10000GB 40 kafka.2u4g.single 1 30000 250 20 2000 100GB~10000GB 100 父主题： Topic和分区问题

版本生命周期 分布式消息服务Kafka版的版本生命周期如表1所示。 表1 版本生命周期 消息引擎类型 版本名称 状态 EOM时间 EOS时间 Kafka 1.1.0 在售 暂无计划 暂无计划 2.3.0 EOM 2023年5月5日 2025年上半年 2.7 在售 2024年下半年 2026年下半年 3.x 在售 - - EOM：End of Marketing，停止该版本的销售。 EOS：End of Service & support，停止该版本的服务，建议您在执行作业时选择最新版本的引擎。在该日期之后，不再提供该软件版本的任何技术服务支持。

手动备份说明 备份类型： 全量备份：全量备份表示对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 备份方式： 物理备份：通过物理拷贝磁盘文件的方式进行备份。 DDS支持的手动备份方法如表1所示。 表1 备份方法 实例类型 备份方式 备份类型 集群 物理备份 全量备份 副本集 物理备份 全量备份 单节点 说明： 单节点因为资源的限制，支持的场景有限，建议仅学习时选用。 物理备份 全量备份

Agent支持的操作系统 使用数据库安全审计功能，必须在数据库节点或应用节点安装Agent。数据库安全审计的Agent可运行在Linux64位和Windows64位操作系统上。 数据库安全审计的Agent支持的Linux系统版本如表3所示。 表3 Agent支持的Linux系统版本说明 系统名称 系统版本 CentOS CentOS 7.0 (64bit) CentOS 7.1 (64bit) CentOS 7.2 (64bit) CentOS 7.3 (64bit) CentOS 7.4 (64bit) CentOS 7.5 (64bit) CentOS 7.6 (64bit) CentOS 7.8 (64bit) CentOS 7.9 (64bit) CentOS 8.0 (64bit) CentOS 8.1 (64bit) CentOS 8.2 (64bit) Debian Debian 7.5.0 (64bit) Debian 8.2.0 (64bit) Debian 8.8.0 (64bit) Debian 9.0.0 (64bit) Debian 10.0.0 (64bit) Fedora Fedora 24 (64bit) Fedora 25 (64bit) Fedora 29 (64bit) Fedora 30 (64bit) OpenSUSE SUSE 13 (64bit) SUSE 15 (64bit) SUSE 42 (64bit) SUSE SUSE 11 SP4 (64bit) SUSE 12 SP1 (64bit) SUSE 12 SP2 (64bit) Ubuntu Ubuntu 14.04 (64bit) Ubuntu 16.04 (64bit) Ubuntu 18.04 (64bit) Ubuntu 20.04 (64bit)（华为 云审计 实例：23.02.27.182148 及其之后的版本支持） EulerOS Euler 2.2 (64bit) Euler 2.3 (64bit) Euler 2.5 (64bit) OpenEuler OpenEuler 20.03 (64bit) Oracle Linux Oracle Linux 6.9 (64bit) Oracle Linux 7.4 (64bit) Red Hat Red Hat Enterprise Linux 7.4 (64bit) Red Hat Enterprise Linux 7.6 (64bit) NeoKylin NeoKylin 7.0 (64bit) Kylin Kylin Linux Advanced Server release V10 (64bit) Uniontech OS Uniontech OS Server 20 Enterprise (64bit) Huawei Cloud Euler Huawei Cloud Euler 2.0 (64bit) KylinSec KylinSec 3.4（64bit） 数据库安全审计的Agent支持的Windows系统版本如下所示： Windows Server 2008 R2(64bit) Windows Server 2012 R2(64bit) Windows Server 2016(64bit) Windows Server 2019(64bit) Windows 7(64bit) Windows 10(64bit) DBSS Agent的运行依赖Npcap，如果安装过程中提示"Npcap not found，please install Npcap first"，请安装Npcap后，再安装DBSS Agent。 Npcap下载链接：https://npcap.com/#download 图1 Npcap not found

支持安装Agent数据库类型及版本 支持的数据库类型及版本如表2所示。 表2 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.20 8.0.23 8.0.25 Oracle (因Oracle为闭源协议，适配版本复杂，如您需审计Oracle数据库，请先联系客服人员) 11g 11.1.0.6.0 、11.2.0.1.0 、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0 、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 14.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 8.1 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Cluster V8.0 Greenplum V6.0 HighGo V6.0 GaussDB (for MYSQL) MySQL 8.0 GaussDB 1.4企业版 DAMENG DM8 KINGBASE V8 MongoDB V5.0 DDS 4.0 Hbase （华为云审计实例：23.02.27.182148 及其之后的版本支持） 1.3.1 2.2.3 Hive （华为云审计实例：23.02.27.182148 及其之后的版本支持） 1.2.2 2.3.9 3.1.2 3.1.3

其他约束条件 数据库安全审计不支持跨区域（Region）使用。待审计的数据库必须和购买申请的数据库安全审计实例在同一区域。 数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。关闭数据库SSL的详细操作，请参见如何关闭数据库SSL？。 购买数据库安全审计配置VPC时，需与Agent安装节点（应用端或数据库端）所在的VPC保持一致。否则，将导致Agent与审计实例之间的网络不通，无法使用数据库安全审计。数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？ 部分SQLserver中的复杂declare语句、select函数和包含系统无法识别的符号语句可能无法解析。

支持免安装Agent数据库类型及版本 部分数据库类型及版本支持免安装Agent方式，如表1所示。 表1 支持免Agent安装的关系型数据库 数据库类型 支持的版本 GaussDB for MySQL 默认都支持 RDS for SQLServer （华为云审计实例：23.02.27.182148 及其之后的版本支持） 默认都支持 RDS for MySQL 5.6（5.6.51.1及以上版本） 5.7（5.7.29.2及以上版本） 8.0（8.0.20.3及以上版本） GaussDB(DWS) 8.2.0.100及以上版本 PostgreSQL （华为云审计实例：23.04.17.123301 及其之后的版本支持） 14（14.4及以上版本） 13（13.6及以上版本） 12（12.10及上版本） 11（11.15及以上版本） 9.6（9.6.24及以上版本） 9.5（9.5.25及以上版本） RDS for MariaDB 默认都支持

组织人员默认权限说明 管理员为组织人员分配权限时，系统也将为该角色自动添加默认权限。 表1 默认权限说明 合作伙伴身份 角色默认权限 GrowCloud伙伴 主页 账号 账户信息 查看账户余额 充值 提现 设置余额预警 伙伴信息 基本信息 查看公司信息 查看个人信息 查看账号信息 修改账号信息 管理我的凭证 支持 查看新闻动态 查看实名认证信息 GoCloud伙伴 主页 账号 伙伴信息 基本信息 查看公司信息 查看个人信息 查看账号信息 修改账号信息 管理我的凭证 支持 方案 查看新闻动态 查看实名认证信息 父主题： 伙伴组织管理

在配置服务级条件键billing:cloudServiceType后，接口调用返回CBC.0151 配置服务级条件键billing:cloudServiceType如图所示： 目前服务级条件键billing:cloudServiceType仅支持退订权限项billing:subscription:unsubscribe。 如果配置此条件键后出现以下情况报错： { "error_code": "CBC.0151", "error_msg": "user access denied.checkCustomerPermission,correct permission code is billing:order:view" } 可用以下办法解决： 单独设置退订权限项billing:subscription:unsubscribe和服务级条件键billing:cloudServiceType，与其他权限项配置分开。 登陆新版控制台。 对原有策略进行修改，配置退订权限项。 确保策略内容列为允许，云服务列为billing，操作列写操作勾选billing:subscription:unsubscribe。如下图所示。 退订权限项下配置云服务级条件键。 选择请求条件（可选）列，单击添加条件。添加请求条件弹框中填写如下内容： 条件键：billing:cloudServiceType 运算符：StringEquals 值：hws.service.type.ebs 复制策略，配置其他不受云服务级条件键影响的权限。 单击克隆键，复制一条新的策略。删除新策略特定条件列中的条件。 取消勾选新策略操作列写操作billing:subscription:unsubscribe。单击确定，修改完成。 父主题： 细粒度鉴权

数据源简介 表2 数据源简介 数据源类型 简介 数据仓库 服务（DWS） 华为云DWS是基于Shared-nothing分布式架构，具备MPP大规模并行处理引擎，兼容标准ANSI SQL 99和SQL 2003，同时兼容PostgreSQL/Oracle数据库生态，为各行业PB级海量大数据分析提供有竞争力的解决方案。 数据湖探索 （ DLI ） 华为云DLI是完全兼容Apache Spark和Apache Flink生态，实现批流一体的Serverless大数据计算分析服务。DLI支持多模引擎，企业仅需使用SQL或程序就可轻松完成异构数据源的批处理、流处理、内存计算、机器学习等，挖掘和探索数据价值。 MapReduce服务 （ MRS HBase） HBase是一个开源的、面向列（Column-Oriented）、适合存储海量非结构化数据或半结构化数据的、具备高可靠性、高性能、可灵活扩展伸缩的、支持实时数据读写的分布式存储系统。 使用MRS HBase可实现海量数据存储，并实现毫秒级数据查询。选择MRS HBase可以实现物流数据毫秒级实时入库更新，并支持百万级时序数据查询分析。 MapReduce服务（MRS Hive） Hive是一种可以存储、查询和分析存储在 Hadoop 中的大规模数据的机制。Hive定义了简单的类 SQL 查询语言，称为HiveQL，它允许熟悉SQL的用户查询数据。 使用MRS Hive可实现TB/PB级的数据分析，快速将线下Hadoop大数据平台（CDH、HDP等）迁移上云，业务迁移 “0”中断，业务代码 “0”改动。 MapReduce服务（MRS Kafka） 华为云MapReduce服务可提供专属MRS Kafka集群。Kafka是一个分布式的、分区的、多副本的消息发布-订阅系统，它提供了类似于JMS的特性，但在设计上完全不同，它具有消息持久化、高吞吐、分布式、多客户端支持、实时等特性，适用于离线和在线的消息消费，如常规的消息收集、网站活性跟踪、聚合统计系统运营数据（监控数据）、日志收集等大量数据的互联网服务的数据收集场景。 MapReduce服务（MRS Spark） Spark是一个开源的，并行数据处理框架，能够帮助用户简单的开发快速、统一的大数据应用，对数据进行协处理、流式处理、交互式分析等等。 Spark提供了一个快速的计算、写入以及交互式查询的框架。相比于Hadoop，Spark拥有明显的性能优势。Spark提供类似SQL的Spark SQL语言操作结构化数据。 MapReduce服务（MRS Clickhouse） ClickHouse是一款开源的面向联机分析处理的列式数据库，其独立于Hadoop大数据体系，最核心的特点是极致压缩率和极速查询性能。同时，ClickHouse支持SQL查询，且查询性能好，特别是基于大宽表的聚合分析查询性能非常优异，比其他分析型数据库速度快一个数量级。 当前ClickHouse被广泛的应用于互联网广告、App和Web流量、电信、金融、物联网等众多领域，非常适用于商业智能化应用场景。 MapReduce服务（MRS Impala） Impala直接对存储在HDFS、HBase或 对象存储服务 （OBS）中的Hadoop数据提供快速、交互式SQL查询。除了使用相同的统一存储平台之外，Impala还使用与Apache Hive相同的元数据，SQL语法（Hive SQL），ODBC驱动程序和用户界面（Hue中的Impala查询UI）。这为实时或面向批处理的查询提供了一个熟悉且统一的平台。作为查询大数据的工具的补充，Impala不会替代基于MapReduce构建的批处理框架，例如Hive。基于MapReduce构建的Hive和其他框架最适合长时间运行的批处理作业。 MapReduce服务（MRS Ranger） Ranger提供一个集中式安全管理框架，提供统一授权和统一审计能力。它可以对整个Hadoop生态中如HDFS、Hive、HBase、Kafka、Storm等进行细粒度的数据访问控制。用户可以利用Ranger提供的前端WebUI控制台通过配置相关策略来控制用户对这些组件的访问权限 。 MapReduce服务（MRS Hudi） Hudi是一种 数据湖 的存储格式，在Hadoop文件系统之上提供了更新数据和删除数据的能力以及消费变化数据的能力。支持多种计算引擎，提供IUD接口，在 HDFS的数据集上提供了插入更新和增量拉取的流原语。 Hudi的元数据存放在Hive中，操作通过Spark进行。 MapReduce服务（MRS Presto） Presto是一个开源的用户交互式分析查询的SQL查询引擎，用于针对各种大小的数据源进行交互式分析查询。其主要应用于海量结构化数据/半结构化数据分析、海量多维数据聚合/报表、ETL、Ad-Hoc查询等场景。 Presto允许查询的数据源包括Hadoop分布式文件系统（HDFS），Hive，HBase，Cassandra，关系数据库甚至专有数据存储。一个Presto查询可以组合不同数据源，执行跨数据源的数据分析。 MapReduce服务（MRS Doris） Doris是一个高性能、实时的分析型数据库，仅需亚秒级响应时间即可返回海量数据下的查询结果，不仅可以支持高并发的点查询场景，也能支持高吞吐的复杂分析场景。因此，Apache Doris 能够较好的满足报表分析、即时查询、统一数仓构建、数据湖联邦查询加速等使用场景。 云数据库 RDS 华为云RDS是一种基于 云计算平台 的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。 注意， DataArts Studio 平台目前仅支持RDS中的MySQL和PostgreSQL数据库。 MySQL MySQL是目前最受欢迎的开源数据库之一，其性能卓越，架构成熟稳定，支持流行应用程序，适用于多领域多行业，支持各种WEB应用，成本低，中小企业首选。 ORACLE ORACLE数据库系统是以 分布式数据库 为核心的一组软件产品，是目前最流行的客户/服务器(CLIENT/SERVER)或B/S体系结构的数据库之一。 ORACLE数据库是目前世界上使用最为广泛的数据库管理系统，作为一个通用的数据库系统，它具有完整的数据管理功能；作为一个关系数据库，它是一个完备关系的产品；作为分布式数据库它实现了分布式处理功能。 实时数据接入 DIS 使用实时数据接入通道，可实现跨空间作业调度。若使用数据通道连接，可以向其他账号的DIS通道发送消息；若不使用，仅能给本账号下所有region的通道发送消息。 Rest Client 通过Rest Client 执行一个RESTful请求。目前支持 IAM Token、用户名密码两种认证鉴权方式的RESTful请求。 主机连接 通过主机连接，用户可以在DataArts Studio数据开发中连接到指定的主机，通过脚本开发和作业开发在主机上执行Shell或Python脚本。主机连接保存连接某个主机的连接信息，当主机的连接信息有变化时，只需在主机连接管理中编辑修改，而不需要到具体的脚本或作业中逐一修改。

测试API 填写入参取值。 如果单个参数需要传多个值时，写法如下： 字符串：'a','b','c' 数值：1,2 字段：a,b,c 图8 填写入参取值 （可选）调整排序参数描述pre_order_by的值。 系统根据排序参数信息已给出默认值，默认升序排序。一般而言，排序参数描述pre_order_by的值填写形式为“排序参数参数名:ASC”或“排序参数参数名:DESC”，其中ASC表示升序，DESC表示降序，多个排序参数描述以“英文分号”进行分隔。 pre_order_by是非必填参数，默认取必选排序字段升序作为排序的依据。 当配置pre_order_by参数值时，需严格按照排序参数列表中配置的排序参数顺序、可选属性和排序方式进行配置，否则会调用失败。 图9 调整排序参数描述pre_order_by的值 （可选）调整分页参数值。 系统会对返回数据进行分页，pageSize表示分页后的页面大小，pageNum表示页码。默认按100的大小分页，返回第1页数据。 API调试时，page_size (系统默认) 最大为100，当page_size值大于100时，默认查出的数据仍为100条。 图10 调整分页参数值 完成API参数的配置并保存后，单击左下角的“开始测试”，可进入API测试环节。 填写参数值，单击“开始测试”，即可在线发送API请求，在右侧可以看到API请求详情及返回内容。 测试过程中，当数据服务API查询返回值超过默认30秒无结果时，会报超时错误。 如果测试失败，请仔细查看错误提示并做相应的修改重新测试。 完成API测试之后，单击“确定”，即成功生成了一个数据API。

测试API 填写入参取值。 如果单个参数需要传多个值时，写法如下： 字符串：'a','b','c' 数值：1,2 字段：a,b,c 图7 填写入参取值 （可选）调整排序参数描述pre_order_by的值。 系统根据排序参数信息已给出默认值，默认升序排序。一般而言，排序参数描述pre_order_by的值填写形式为“排序参数参数名:ASC”或“排序参数参数名:DESC”，其中ASC表示升序，DESC表示降序，多个排序参数描述以“英文分号”进行分隔。 pre_order_by是非必填参数，默认取必选排序字段升序作为排序的依据。 当配置pre_order_by参数值时，需严格按照排序参数列表中配置的排序参数顺序、可选属性和排序方式进行配置，否则会调用失败。 图8 调整排序参数描述pre_order_by的值 （可选）查看分页参数值。 采用默认分页方式时，可以查看分页参数情况，其中pageSize表示分页后的页面大小，pageNum表示页码。默认按100的大小分页，返回第1页数据。 图9 查看分页参数值 完成API参数的配置并保存后，单击左下角的“开始测试”，可进入API测试环节。 填写参数值，单击“开始测试”，即可在线发送API请求，在右侧可以看到API请求详情及返回内容。 测试过程中，当数据服务API查询返回值超过默认30秒无结果时，会报超时错误。 如果测试失败，请仔细查看错误提示并做相应的修改重新测试。 完成API测试之后，单击“确定”，即成功生成了一个数据API。

配置取数逻辑 本例中以脚本方式说明如何配置API取数逻辑。Mybatis方式与之相比差异在于参数解析形式和支持的语法差异，在使用流程上没有区别。 如果使用Mybatis方式生成API，则需要将本章节脚本中的参数解析格式由${parameter}修改为#{parameter}形式，另外Mybatis方式支持的标签语法可在界面中单击脚本编辑处的，查看弹出的Mybatis脚本编辑提示。 “取数方式”选择“脚本方式”或“MyBatis方式”： 选择数据源、数据连接、数据库等数据信息。 数据服务仅支持部分数据源，详情请参见DataArts Studio支持的数据源。您需提前在DataArts Studio管理中心中配置好数据源，按照脚本编辑提示要求输入SQL语句。 选择分页方式，推荐使用自定义分页方式。 默认分页是指在创建API时输入了SQL，数据服务会自动基于SQL外层包装分页逻辑。 例如输入的SQL脚本为： SELECT * FROM userinfo WHERE id=${userid} 数据服务在处理调试或者调用时，将自动在用户SQL外层包装分页逻辑，从而变成以下脚本： SELECT * FROM (SELECT * FROM userinfo WHERE id=${userid}) LIMIT {limitValue} OFFSET {offsetValue} 其中limitValue表示读取的数据条数，offsetValue表示跳过的数据条数（即偏移量），例如limitValue为20、offsetValue为40时，表示跳过40条数据，然后读取20条数据。一般而言，limitValue和offsetValue可作为入参，在调试或者调用API时传入值。如果未定义limitValue或offsetValue，系统将默认赋值。 自定义分页是指在创建API时，数据服务将不对SQL进行处理，分页逻辑需要在写SQL时由用户自定义。 如果已知需要读取的数据条数limitValue和需要跳过的数据条数offsetValue，则分页逻辑可以写成以下脚本： SELECT * FROM userinfo WHERE id=${userid} LIMIT {limitValue} OFFSET {offsetValue} 而在实际使用中，更多的是根据分页后的页面大小pageSize和页码pageNum定义分页逻辑，脚本样式如下： SELECT * FROM userinfo WHERE id=${userid} LIMIT {pageSize} OFFSET {pageSize*(pageNum-1)} 值得注意的是，不同的数据源具有不同的语法风格，分页脚本应按照数据源语法要求调整。例如： DLI数据源不支持“LIMIT {limitValue} OFFSET {offsetValue}”的写法，仅支持“LIMIT {limitValue}” 。 HETU数据源分页需要反转，不支持“LIMIT {limitValue} OFFSET {offsetValue}”的写法，仅支持“OFFSET {offsetValue} LIMIT {limitValue}”。 编写API查询SQL。 在脚本编辑页面，单击脚本编辑处的，按照脚本编辑提示开发SQL查询语句。单击可将入参添加为SQL语句的API请求参数。 例如，需要在用户表中根据用户ID查询用户信息时，取值脚本可写为如下脚本。其中，“id”为userinfo表中的字段，“userid”为API中定义的入参。 SELECT * FROM userinfo WHERE id=${userid} 如果分页方式为自定义分页，页面大小pageSize为10、页码pageNum为2时，按照LIMIT {pageSize} OFFSET {pageSize*(pageNum-1)}转换方法，脚本可写为： SELECT * FROM userinfo WHERE id=${userid} LIMIT 10 OFFSET 10 图3 编写API查询SQL 脚本编辑完成后，单击脚本编辑窗口下方的“测试SQL”，填写入参值，执行验证是否能返回预期结果。如果测试失败，可在“预览SQL”页签下查看实际运行的SQL语句是否符合预期，或者通过“日志”页签查看报错信息。 图4 测试SQL SELECT查询的字段即为API返回参数，支持通过AS返回别名。 WHERE条件中的参数为API请求参数，脚本方式下参数格式为${参数名}，MyBatis方式下参数格式为#{参数名}。 专享版数据服务支持返回总条数，开启后可返回取值脚本执行结果数据的总条数。 如果单个参数需要传多个值时，写法如下： 字符串：'a','b','c' 数值：1,2 字段：a,b,c 添加排序参数。 在排序参数列表中，单击“新建”可设置排序字段。 字段名称对外不可见，是所选的数据表中的字段，是API调用时实际访问的内容。在API查询SQL语句已编写完成且测试通过的前提下，可在“字段名称”输入框中选择排序字段。 变量可自定义，用于与字段名称关联。在“变量”输入框中输入参数名称（一般填写为参数名称即可），系统会自动修改为变量形式。 是否可选决定了调用API时此排序参数是否必选，勾选则表示可以不使用此参数。 排序方式分为升序、降序以及自定义，表示了当前参数允许使用的排序形式。如果设置为升序或降序，在API测试或调用时，如果排序参数描述pre_order_by的值与此处设置不符，则会导致调用失败。 排序字段需要添加到SQL脚本中才能生效，单击将排序参数添加到SQL语句，使用ORDER BY排序。 例如，需要在用户表中根据用户ID查询用户信息，通过age和kk两个字段排序，页面大小pageSize为10、页码pageNum为2时，脚本样例如下。 SELECT * FROM userinfo WHERE id=${userid} order by (${age},${kk}) LIMIT 10 OFFSET 10 图5 添加排序参数 脚本编辑完成后，单击脚本编辑窗口下方的“测试SQL”，填写入参值和pre_order_by参数值，执行验证是否能返回预期结果。其中pre_order_by参数值已由系统根据排序参数信息给出默认值，默认升序排序。一般而言，排序参数描述pre_order_by的值填写形式为“排序参数参数名:ASC”或“排序参数参数名:DESC”，其中ASC表示升序，DESC表示降序，多个排序参数描述以“英文分号”进行分隔。 如果测试失败，可在“预览SQL”页签下查看实际运行的SQL语句是否符合预期，或者通过“日志”页签查看报错信息。 pre_order_by是非必填参数，默认取必选排序字段升序作为排序的依据。 当配置pre_order_by参数值时，需严格按照排序参数列表中配置的排序参数顺序、可选属性和排序方式进行配置，否则会调用失败。 图6 测试SQL 单击“下一步”，进行API测试页面。

下载或转储脚本执行结果 脚本运行成功后，支持下载和转储SQL脚本执行结果。系统默认支持所有用户都能下载和转储SQL脚本的执行结果。如果您不希望所有用户都有该操作权限，可参考配置数据导出策略进行配置。 脚本执行完成后在“执行结果”中，单击“下载”可以直接下载 CS V格式的结果文件到本地。可以在下载中心查看下载记录。 脚本执行完成后在“执行结果”中，单击“转储”可以将脚本执行结果转储为CSV和JSON格式的结果文件到OBS中，详情请参见表7。 转储功能依赖于OBS服务，如无OBS服务，则不支持该功能。 当前仅支持转储SQL脚本查询类语句的结果。 表7 转储配置 参数 是否必选 说明 数据格式 是 目前支持导出CSV和JSON格式的结果文件。 资源队列 否 选择执行导出操作的DLI队列。当脚本为DLI SQL时，配置该参数。 压缩格式 否 选择压缩格式。当脚本为DLI SQL时，配置该参数。 none bzip2 deflate gzip 存储路径 是 设置结果文件的OBS存储路径。选择OBS路径后，您需要在选择的路径后方自定义一个文件夹名称，系统将在OBS路径下创建文件夹，用于存放结果文件。 您也可以到下载中心配置默认的OBS路径地址，配置好后在转储时会默认填写。 覆盖类型 否 如果“存储路径”中，您自定义的文件夹在OBS路径中已存在，选择覆盖类型。当脚本为DLI SQL时，配置该参数。 覆盖：删除OBS路径中已有的重名文件夹，重新创建自定义的文件夹。 存在即报错：系统返回错误信息，退出导出操作。 是否导出列名 否 是：导出列名 否：不导出列名 字符集 否 UTF-8：默认字符集。 GB2312：当导出数据中包含中文字符集时，推荐使用此字符集。 GBK：国家标准GB2312基础上扩容后兼容GB2312的标准。 相对于直接查看SQL脚本的执行结果，通过下载和转储能够支持获取更多的执行结果。各类SQL脚本查看、下载、转储支持的规格如表8所示。 表8 SQL脚本支持查看/下载/转储规格 SQL类型 在线查看最大结果条数 下载最大结果条数 转储最大结果条数 DLI 1000 1000 无限制 Hive 1000 1000 10000 DWS 1000 1000 10000 Spark 1000 1000 10000 RDS 1000 1000 不支持

配置作业参数 作业参数为全局参数，可用于作业中的任意节点。操作方法如下： 单击编辑器右侧的“参数”，展开配置页面，配置如表4所示的参数。 表4 作业参数配置 功能 说明 变量 新增 单击“新增”，在文本框中填写作业参数的名称和参数值。 参数名称 名称只能包含字符：英文字母、数字、中划线和下划线。 参数值 字符串类的参数直接填写字符串，例如：str1 数值类的参数直接填写数值或运算表达式。 参数配置完成后，在作业中的引用格式为：${参数名称} 编辑参数表达式 在参数值文本框后方，单击，编辑参数表达式，更多表达式请参见表达式概述。 修改 在参数名和参数值的文本框中直接修改。 掩码显示 在参数值为密钥等情况下，从安全角度，请单击将参数值掩码显示。 删除 在参数值文本框后方，单击，删除作业参数。 常量 新增 单击“新增”，在文本框中填写作业常量的名称和参数值。 参数名称 名称只能包含字符：英文字母、数字、中划线和下划线。 参数值 字符串类的参数直接填写字符串，例如：str1 数值类的参数直接填写数值或运算表达式。 参数配置完成后，在作业中的引用格式为：${参数名称} 编辑参数表达式 在参数值文本框后方，单击，编辑参数表达式，更多表达式请参见表达式概述。 修改 在参数名和参数值的文本框中直接修改，修改完成后，请保存。 删除 在参数值文本框后方，单击，删除作业常量。 工作空间环境变量 查看工作空间已配置的变量和常量。 单击“作业参数预览”页签，展开预览页面，配置如表5所示的参数。 表5 作业参数预览 功能 说明 当前时间 仅单次调度才显示。系统默认为当前时间。 事件触发时间 仅事件驱动调度才显示。系统默认为事件触发时间。 周期调度 仅周期调度才显示。系统默认为调度周期。 具体时间 仅周期调度才显示。周期调度配置的具体运行时间。 起始日期 仅周期调度才显示。周期调度的生效时间。 后N个实例 作业运行调度的实例个数。 单次调度场景默认为1。 事件驱动调度场景默认为1。 周期调度场景 当实例数大于10时，系统最多展示10个日期实例，系统会自动提示“当前参数预览最多支持查看10个实例”。 在作业参数预览中，如果作业参数配置存在语法异常情况系统会给出提示信息。 如果参数配置了依赖作业实际运行时产生的数据，参数预览功能中无法模拟此类数据，则该数据不展示。

调测并保存作业 作业配置完成后，请执行以下操作： 单击画布上方的运行按钮，运行作业。 用户可以查看该作业的运行日志，单击“查看日志”可以进入查看日志界面查看日志的详细信息记录。 运行完成后，单击画布上方的保存按钮，保存作业的配置信息。 保存后，在右侧的版本里面，会自动生成一个保存版本，支持版本回滚。保存版本时，一分钟内多次保存只记录一次版本。对于中间数据比较重要时，可以通过“新增版本”按钮手动增加保存版本。

质量监控 对已编排好的单任务作业关联质量作业，当前暂不支持单任务Data Migration作业和单任务的实时作业。 质量监控支持并行和串行两种方式。单击画布右侧“质量监控”页签，展开配置页面，配置如表6所示的参数。 表6 质量监控配置 参数 说明 执行方式 选择质量监控的执行方式： 并行：并行模式下，所有质量作业算子的上游都被设置为主算子。 串行：串行模式下，质量作业将依照配置面板由上至下的顺序依次串联，顶部的质量作业依赖于主算子。 质量作业 关联质量作业。 单击“新增”，右侧自动弹出Data Quality Monitor算子的页面。 节点名称可自定义。 DQC作业类型选择“质量作业”。 说明： 对账作业目前不支持。 选择需要关联的“质量作业名称”，其他参数根据实际业务需要配置。如果没有质量作业，请参考新建质量作业创建一个质量作业。 说明： 单击“新增”可以关联多个质量作业。 单击可以修改已关联的质量作业。 单击可以删除已关联的质量作业。 是否忽略质量作业告警 是：质量作业告警可以忽略 否：质量作业告警不可忽略，产生告警时，上报告警。 配置高级参数。 配置节点执行的最长时间。设置节点执行的超时时间，如果节点配置了重试，在超时时间内未执行完成，该节点将会再次重试。 失败重试。节点执行失败后，是否重新执行节点。 是：重新执行节点，请配置以下参数。 超时重试 最大重试次数 重试间隔时间（秒） 否：默认值，不重新执行节点。 说明： 如果作业节点配置了重试，并且配置了超时时间，该节点执行超时后，系统支持再重试。 当节点运行超时导致的失败不会重试时，您可前往“默认项设置”修改此策略。 当“失败重试”配置为“是”才显示“超时重试”。 节点执行失败后的操作： 终止当前作业执行计划：停止当前作业运行，当前作业实例状态显示为“失败”。 继续执行下一节点：忽略当前节点失败，当前作业实例状态显示为“忽略失败”。 挂起当前作业执行计划：暂停当前作业运行，当前作业实例状态显示为“等待运行”。 终止后续节点执行计划：停止后续节点的运行，当前作业实例状态显示为“失败”。 单击“确定”，质量监控配置完成。

配置作业参数 作业参数为全局参数，可用于作业中的任意节点。操作方法如下： 单击编辑器右侧的“参数”，展开配置页面，配置如表4所示的参数。 表4 作业参数配置 功能 说明 变量 新增 单击“新增”，在文本框中填写作业参数的名称和参数值。 参数名称 名称只能包含字符：英文字母、数字、中划线和下划线。 参数值 字符串类的参数直接填写字符串，例如：str1 数值类的参数直接填写数值或运算表达式。 参数配置完成后，在作业中的引用格式为：${参数名称} 编辑参数表达式 在参数值文本框后方，单击，编辑参数表达式，更多表达式请参见表达式概述。 修改 在参数名和参数值的文本框中直接修改。 掩码显示 在参数值为密钥等情况下，从安全角度，请单击将参数值掩码显示。 删除 在参数值文本框后方，单击，删除作业参数。 常量 新增 单击“新增”，在文本框中填写作业常量的名称和参数值。 参数名称 名称只能包含字符：英文字母、数字、中划线和下划线。 参数值 字符串类的参数直接填写字符串，例如：str1 数值类的参数直接填写数值或运算表达式。 参数配置完成后，在作业中的引用格式为：${参数名称} 编辑参数表达式 在参数值文本框后方，单击，编辑参数表达式，更多表达式请参见表达式概述。 修改 在参数名和参数值的文本框中直接修改，修改完成后，请保存。 删除 在参数值文本框后方，单击，删除作业常量。 工作空间环境变量 查看工作空间已配置的变量和常量。 单击“作业参数预览”页签，展开预览页面，配置如表5所示的参数。 表5 作业参数预览 功能 说明 当前时间 仅单次调度才显示。系统默认为当前时间。 事件触发时间 仅事件驱动调度才显示。系统默认为事件触发时间。 周期调度 仅周期调度才显示。系统默认为调度周期。 具体时间 仅周期调度才显示。周期调度配置的具体运行时间。 起始日期 仅周期调度才显示。周期调度的生效时间。 后N个实例 作业运行调度的实例个数。 单次调度场景默认为1。 事件驱动调度场景默认为1。 周期调度场景 当实例数大于10时，系统最多展示10个日期实例，系统会自动提示“当前参数预览最多支持查看10个实例”。 在作业参数预览中，如果作业参数配置存在语法异常情况系统会给出提示信息。 如果参数配置了依赖作业实际运行时产生的数据，参数预览功能中无法模拟此类数据，则该数据不展示。

共享版规格 数据服务共享版无具体的规格指标，在表3中给出了用户创建和使用API的相关配额说明。 如果您需要修改默认限制值，请参考如何申请扩大配额。 表3 数据服务使用限制明细 限制项 默认限制 能否修改 API分组数量 每个用户最多创建50个API分组。 √ API数量 每个用户最多创建200个API。 √ 后端策略数量 每个用户最多创建5个后端策略。 √ 应用数量 每个用户最多创建50个应用。应用配额包括用户自行创建的应用和API市场购买API生成的应用。 √ 流控策略数量 每个用户最多创建30个流控策略。 用户流量限制不超过API流量限制。 应用流量限制不超过用户流量限制。 源IP流量限制不超过API流量限制。 √ 访问控制策略数量 每个用户最多可以创建100个访问控制策略。 √ VPC通道数量 每个用户最多创建30个VPC通道。 √ 变量数量 每个分组在任意一个环境中，最多创建50个变量。 √ 弹性云服务器数量 每个VPC通道最多添加200个弹性云服务器。 √ 参数数量 每个API最多创建50个参数。 √ 发布历史数量 同一个API在每个环境中最多纪录10条最新的发布历史。 √ 每个API的访问频率 不超过200次/秒。 √ 特殊应用 阈值不超过API流量限制值。 x 子域名访问次数 每个子域名每天最多可以访问1000次。 x 调用请求包的大小 API每次最大可以调用12M的请求包 x TLS协议 支持TLS1.1和TLS1.2，推荐使用TLS1.2。 x 实名认证 未实名认证的用户，无法进行任何的创建操作。 x

API返回数据规格 数据服务适用于小批量数据的快速响应交互场景，不适用于将大量数据通过API的方式返回。当前通过数据服务API返回数据的规格如下表所示。 表5 API的返回数据条数限制 API分类 使用场景 数据源 默认规格 配置类API 调试API DLI/MySQL/RDS/DWS 10 调用API DLI/MySQL/RDS/DWS 100 脚本类API 测试SQL - 10 调试API DLI 默认分页：100 自定义分页：1000 MySQL/RDS/DWS 默认分页：10 自定义分页：2000 调用API DLI 默认分页：100 自定义分页：1000 MySQL/RDS/DWS 默认分页：10 自定义分页：2000

共享版与专享版对比 数据服务当前提供共享版与专享版两种服务方式。其中共享版数据服务即开即用，专享版数据服务需要购买专享版集群增量包，并在实例中管理API。 专享版数据服务常用于企业内部系统解耦，各服务部署在云上的VPC内，服务之间以RESTful API方式通信，通信链路在VPC内部进行，网络安全得到进一步保障。同时专享版实例支持前端或后端服务部署在公有网络，通过绑定弹性公网IP实现网络交互。 表1 共享版与专享版数据服务差异 差异项 共享版 专享版 计费 - 根据集群规格按包年包月计费。 按照API使用额度计费：每个工作空间具有10个API免费试用额度，超过试用配额每天每个API按1元收费。 网络访问 公网访问。 实例运行在虚拟私有云（VPC）中，在VPC内，使用实例子网地址调用API。 可通过开启公网入口与出口访问，允许外部服务调用API，及后端部署在外部网络环境中。 云市场售卖 API可在云市场公开售卖。 不支持将API上架到云市场公开售卖。 使用对象 小型用户。 物理隔离要求较低，能够开箱即用，快速实现API能力开放。 中大型用户。 专享版数据服务拥有物理隔离的独立集群， 更丰富的特性。 满足内部API调用跟API开放，独立的出、入网带宽选择。 数据服务的共享版与专享版在功能上的异同点如下表所示。 表2 共享版与专享版数据服务功能差异 规格分类 规格描述 共享版 专享版 基本功能 精细化流控策略 30个 500个 IP&用户访问控制 √ √ 安全认证 √ √ API生命周期管理 √ √ 自定义域名 √ √ Excel导入导出 √ √ 支持VPC通道 √ √ API参数编排-配置方式 √ √ API参数编排-脚本方式 √ √ API参数编排-MyBatis方式 × √ API编排 × √ 注册现有API √ × 返回总条数 × √ API分组变量管理 √ √ 高级功能 自定义认证 √ √ 创建应用 50个 1000个 支持对接API云市场 √ × 支持协议 HTTP或HTTPS HTTPS 支持API策略路由 √ √ 运维分析展示 √ √ 支持后端负载均衡 × √ 支持内部API管理 × √ 后端支持对接私有云 × √ 支持对接专线服务 × √ 性能指标 独立物理多租集群 × √ 出、入网带宽独立 × √ 推荐每秒请求次数 200TPS 8000-30000TPS

诊断数据安全风险 数据安全诊断当前支持敏感数据保护、数据权限控制和数据源保护三大诊断项，诊断详情如图1所示。 图1 数据安全诊断详情 数据安全风险诊断的操作步骤如下，请您根据需要定期扫描处理，建议至少每月进行一次扫描，以保障数据使用过程的安全可靠。 在DataArts Studio控制台首页，选择实例，单击“进入控制台”，选择对应工作空间的“数据安全”模块，进入数据安全页面。 图2 选择数据安全 单击左侧导航树中的“数据安全诊断”，进入数据安全诊断页面。 图3 数据安全诊断 根据需要，选择敏感数据保护、数据权限控制或数据源保护页签，单击“开始扫描”或“重新扫描”，进行安全诊断。 扫描结束后，请您根据安全扫描结果和处理建议，识别风险项并单击“处理风险”进行优化，保障数据使用过程的安全可靠。 另外，中风险及高风险等级的风险问题属于潜在的安全隐患，建议您尽快处理。下图以敏感数据保护为例查看该检查项目前的风险等级及诊断结果。 图4 安全诊断结果

故障原因 子账号权限不足，仅为操作账号配置了SA FullAccess或SA ReadOnlyAccess策略权限，未配置“Tenant Guest”角色。 目前，“SA FullAccess”或“SA ReadOnlyAccess”权限需要配合“Tenant Guest”权限才能使用。具体说明如下： 配置SA所有权限：“SA FullAccess”和“Tenant Guest”权限。 其中，如果需要使用SA的资源管理和基线检查功能需要配置以下权限： 资源管理：“SA FullAccess”和“Tenant Administrator”权限，详细操作请参见配置相关功能所需的权限。 基线检查：“SA FullAccess”、“Tenant Administrator”和IAM相关权限，详细操作请参见配置相关功能所需的权限。 配置SA只读权限：“SA ReadOnlyAccess”和“Tenant Guest”权限。

修订记录 发布日期 修改记录 2023-06-08 第三十次正式发布。 本次更新说明如下： 新增SA与SecMaster服务的关系与区别？章节内容。 优化 态势感知 与其他安全服务之间的关系与区别？章节中的描述信息。 优化SA与HSS服务的区别？章节中的描述信息。 更新如何给账号配置相关功能所需的权限？章节中的描述信息。 2022-11-24 第二十九次正式发布。 本次更新说明如下： 更新态势感知支持跨区域使用吗？章节内容，新增region。 更新“态势感知支持退订吗？”章节中的退订图片说明。 优化文档描述。 2022-10-26 第二十八次正式发布。 本次更新说明如下： 更新“态势感知支持退订吗？”章节中的退订说明。 新增区域与可用区章节内容。 2022-08-30 第二十七次正式发布。 本次更新说明如下： 新增常见问题以下常见问题： 如何处理SA的403 forbidden报错？ 为什么WAF、HSS中的数据和SA中的数据不一致？ 2022-02-11 第二十六次正式发布。 本次更新说明如下： 刷新SA与HSS服务的区别？章节内容，删除了安全编排功能相关描述。 刷新如何处理暴力破解告警事件？章节内容，删除了安全编排功能相关描述。 2022-01-22 第二十五次正式发布。 本次更新说明如下： 刷新如何给账号配置相关功能所需的权限？章节内容，新增资源管理功能权限相关描述。 2022-01-11 第二十四次正式发布。 本次更新说明如下： 刷新如何更新安全评分？章节内容，安全概览全新升级，更新安全概览相关描述。 2021-11-11 第二十三次正式发布。 本次更新说明如下： 新增了标准版相关描述。 2021-08-02 第二十二次正式发布。 本次更新说明如下： 新增常见问题如何给账号配置相关功能所需的权限？。 2021-03-12 第二十一次正式发布。 本次更新说明如下： 新增了为什么不能使用主机漏洞和网站漏洞功能？问答。 2020-12-24 第二十次正式发布。 本次更新说明如下： 新增了如何更新安全评分？问答。 2020-11-19 第十九次正式发布。 本次更新说明如下： 新增了SA与HSS服务的区别？问答； 新增了如何处理暴力破解告警事件？问答。 2020-10-10 第十八次正式发布。 本次更新说明如下： 修改了为什么主机最大配额不能小于主机数量？问答； 修改了态势感知如何变更专业版规格？问答。 2020-08-28 第十七次正式发布。 本次更新说明如下： 修改了态势感知如何变更专业版规格？问答； 修改了“态势感知支持退订吗？”问答； 修改了“态势感知即将到期如何续费？”问答。 2020-07-09 第十六次正式发布。 本次更新说明如下： 新增了“态势感知到期后，会继续收费吗？”问答； 新增了“如何取消态势感知自动续费？”问答； 新增了“如何修改态势感知自动续费？”问答； 修改了态势感知如何变更专业版规格？问答； 修改了“态势感知如何收费？”问答； 修改了“态势感知支持退订吗？”问答； 修改了“态势感知即将到期如何续费？”问答。 2020-03-30 第十五次正式发布。 本次更新说明如下： 新增了态势感知支持跨区域使用吗？问答； 新增了态势感知支持跨账号使用吗？问答； 修改了如何获取风险程度最高的资产信息？问答。 2020-03-20 第十四次正式发布。 本次更新说明如下： 新增了为什么最大配额数不能小于主机数量？问答； 修改了态势感知与其他安全服务之间的关系与区别？问答。 2020-03-13 第十三次正式发布。 本次更新说明如下： 新增了“态势感知可以免费使用吗？”问答； 修改了态势感知的数据来源是什么？问答； 修改了“态势感知即将到期如何续费？”问答； 修改了“如何获取攻击者的信息？”问答； 修改了态势感知与其他安全服务之间的关系与区别？问答。 2020-01-10 第十二次正式发布。 本次更新说明如下： 新增了态势感知如何变更专业版规格？问答。 2019-09-26 第十一次正式发布。 本次更新说明如下： 新增了态势感知与其他安全服务之间的关系与区别？问答。 2019-09-06 第十次正式发布。 本次更新说明如下： 新增了什么是区域和可用区？问答。 2019-08-09 第九次正式发布。 本次更新说明如下： 新增了“态势感知如何收费？”问答； 新增了“态势感知支持退订吗？”问答； 新增了“态势感知支持续费吗？”问答。 2019-07-11 第八次正式发布。 2019-02-20 第七次正式发布。 2019-02-01 第六次正式发布。 2018-11-06 第五次正式发布。 2018-10-16 第四次正式发布。 2018-09-06 第三次正式发布。 2018-08-06 第二次正式发布。 2018-04-24 第一次正式发布。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

服务含义区别 态势感知（Situation Awareness，SA）是华为云可视化 威胁检测 和分析的安全管理平台。着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，帮助企业构建全局安全体系，呈现全局安全攻击态势。 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、 容器安全 和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，SA是呈现全局安全态势的服务，HSS是提升主机和容器安全性的服务。

服务功能区别 SA通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、漏洞管理、基线检查维度，分类呈现资产安全状况。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SA与HSS主要功能区别 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 SA：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 网站资产 - SA：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 应急漏洞公告 - SA：支持同步华为 云安全 公告信息，及时获取热点安全讯息。 HSS：不支持该功能。 主机漏洞 呈现主机 漏洞扫描 结果，管理主机漏洞。 SA：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 网站漏洞 - SA：支持同步CodeArts Inspector 网站漏洞扫描 结果，管理网站漏洞。 HSS：不支持该功能。 基线检查 云服务基线 - SA：针对华为云服务关键配置项，从“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 主机基线 - SA：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

响应参数 状态码： 400 表20 响应Body参数 参数 参数类型 描述 error_msg String 无效请求提示信息 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128 状态码： 401 表21 响应Body参数 参数 参数类型 描述 error_msg String 权限错误 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128 状态码： 500 表22 响应Body参数 参数 参数类型 描述 error_msg String 系统内部错误 最小长度：1 最大长度：128 error_code String 错误码 最小长度：1 最大长度：128