华为云用户手册

配置示例 加速域名为www.example.com，该加速域名配置了referer白名单规则：包含空referer，白名单内容为www.test.com，如下图所示。 用户1：请求URL：https://www.example.com/file.html，该请求携带的referer字段值为空，CDN将会正常返回内容。 用户2：请求URL：https://www.example.com/file.html，该请求携带的referer字段值为：www.test.com，CDN将会正常返回内容。 用户3：请求URL：https://www.example.com/file.html，该请求携带的referer字段值为：www.abc.com，CDN节点将会返回403禁止访问的错误信息。 加速域名为www.example01.com，该加速域名配置了referer黑名单规则：包含空referer，黑名单内容为www.test01.com，如下图所示。 用户1：请求URL：https://www.example01.com/file.html，该请求携带的referer字段值为空，CDN节点将会返回403禁止访问的错误信息。 用户2：请求URL：https://www.example01.com/file.html，该请求携带的referer字段值为：www.test01.com，CDN节点将会返回403禁止访问的错误信息。 用户3：请求URL：https://www.example01.com/file.html，该请求携带的referer字段值为：www.bcd.com，CDN将会正常返回内容。

功能介绍 运营报表为您提供了访问区域分布、国家分布、运营商分布、域名排行 (按流量排序)、热门URL (按流量排序)、热门URL (按请求数排序)共6个运营报表，您可以根据业务需要订阅相关报表，报表生成后会发送到您指定的邮箱。 表1 报表内容 报表名称 说明 访问区域分布 统计某个域名在某段时间内中国大陆终端访问者的地域的分布。 说明： 只有域名的服务范围包含中国大陆时才有数据。 国家分布 统计某个域名在某段时间内终端访问者的国家分布。 运营商分布 统计某个域名在某段时间内终端访问者使用的运营商分布。 域名排行 (按流量排序) 按加速域名在CDN节点产生的流量统计域名排行。 热门URL (按流量排序) 按流量统计热门URL。 热门URL (按请求数排序) 按请求次数统计热门URL。

示例说明 以使用MD5算法为例： 通过req_auth请求对象： http://hwcdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 密钥设为：huaweicloud123（由用户自行设置） 鉴权生效开始日期为：2017年6月30日00：00：00，计算出来的秒数为1498752000。并且设置有效时间为1800s。 CDN服务器构造一个用于计算HashValue的签名字符串： /T128_2_1_0_sdk/0210/M00/82/3E/test.mp3-1498752000-0-0-huaweicloud123 CDN服务器根据该签名字符串计算HashValue： HashValue = md5sum(“/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3-1498752000-0-0-huaweicloud123”) = 40e64d69aac7d15edfc6ec8a080042cb 请求时URL为： http://cdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3?auth_key=1498752000-0-0-40e64d69aac7d15edfc6ec8a080042cb 如果请求在有效时间内(2017年6月30日00：00：00-2017年6月30日00：30：00)，并且计算出来的HashValue与用户请求中带的md5hash值（40e64d69aac7d15edfc6ec8a080042cb）一致，则鉴权通过。

校验方法 CDN服务器拿到请求后，会按照如下步骤进行校验： 是否携带鉴权参数。如果没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 时间校验：判断系统当前时间是否在区间[timestamp，timestamp+有效时间]内。超出该区间，认为过期失效并返回HTTP 403错误。 加密串校验：时间校验通过后，则以sstring方式构造出一个字符串（参考以下sstring构造方式）。然后使用md5（sha256）算法算出HashValue，并和用户请求中带来的md5hash（sha256）进行对比。结果一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。HashValue计算方式如下： sstring = "Filename-Timestamp-rand-uid-PrivateKey" HashValue = md5sum(sstring) 或： sstring = "Filename-Timestamp-rand-uid-PrivateKey" HashValue = sha256sum(sstring)

停用加速域名 对处于“已开启”或“配置失败”状态的域名，您可以对其进行“停用”操作。停用后，CDN将不再为域名提供加速服务，但域名的配置不会改变，如果想恢复 CDN加速 服务请重新启用CDN。 单域名停用 进入CDN控制台的“域名管理”页面，在需要停用的加速域名对应的“操作”列单击“更多”，选择“停用”。 图2 停用域名 确认需要停用的域名信息，单击“确定”完成域名停用操作。 批量停用加速域名 进入CDN控制台的“域名管理”页面，勾选需要停用的加速域名，单击域名列表上方“停用”。 图3 批量停用域名

校验方法 CDN服务器拿到请求后，会按照如下步骤进行校验： 是否携带鉴权参数。如果没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 时间校验：判断系统当前时间是否在区间[timestamp，timestamp+有效时间]内。超出该区间，认为过期失效并返回HTTP 403错误。 加密串校验：时间校验通过后，则以sstring方式构造出一个字符串（参考以下sstring构造方式）。然后使用md5（sha256）算法算出HashValue，并和用户请求中带来的md5hash（sha256）进行对比。结果一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。HashValue计算方式如下： sstring = “PrivateKeytimestampFilename” HashValue = sha256sum(sstring) 或： sstring = “PrivateKeytimestampFilename” HashValue = md5sum(sstring)

示例说明 以使用MD5算法为例： 回源请求对象： http://hwcdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 密钥设为：huaweicloud123（用户自行设置） 用户访问客户源服务器时间为：201706301000（格式为：YYYYMMDDHHMM） CDN服务器构造一个用于计算md5hash的签名字符串： huaweicloud123201706301000/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 CDN服务器根据该签名字符串计算md5hash： md5hash = md5sum("huaweicloud123201706301000/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3") = 51415b2256b64a9772a30edf69c00b08 请求CDN时URL： http://hwcdn.example.com/201706301000/ 51415b2256b64a9772a30edf69c00b08 /T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 如果请求在有效时间内(2017年6月30日10：00：00-2017年6月30日10：30：00)，并且计算出来的md5hash与用户请求中带的md5hash值（51415b2256b64a9772a30edf69c00b08）一致，则鉴权通过。

示例说明 以使用MD5算法为例： 回源请求对象： http://hwcdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 密钥设为：huaweicloud123（用户自行设置） 鉴权生效开始日期为：2017年6月30日10：00：00，计算出来的秒数为1498788000，并转换为十六进制为5955b0a0。并且设置有效时间为1800s。 CDN服务器构造一个用于计算md5hash的签名字符串： huaweicloud123/T128_2_1_0_sdk/0210/M00/82/3E/test.mp35955b0a0 CDN服务器根据该签名字符串计算md5hash： md5hash = md5sum(huaweicloud123/T128_2_1_0_sdk/0210/M00/82/3E/test.mp35955b0a0) = aecf1b07f481bbb8122eef5cd52a4bc1 请求CDN时URL： http://hwcdn.example.com/aecf1b07f481bbb8122eef5cd52a4bc1/5955b0a0/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 如果请求在有效时间内(2017年6月30日10：00：00-2017年6月30日10：30：00)，并且计算出来的md5hash与用户请求中带的md5hash值（aecf1b07f481bbb8122eef5cd52a4bc1）一致，则鉴权通过。

校验方法 CDN服务器拿到请求后，会按照如下步骤进行校验： 是否携带鉴权参数。如果没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 时间校验：判断系统当前时间是否在区间[timestamp，timestamp+有效时间]内。超出该区间，认为过期失效并返回HTTP 403错误。 加密串校验：时间校验通过后，则以sstring方式构造出一个字符串（参考以下sstring构造方式）。然后使用md5（sha256）算法算出HashValue，并和用户请求中带来的md5hash（sha256）进行对比。结果一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。HashValue计算方式如下： sstring = "PrivateKeyFilenameTimestamp" HashValue = md5sum(sstring) 或： sstring = "PrivateKeyFilenameTimestamp" HashValue = sha256sum(sstring)

操作步骤 登录CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“高级配置”页签。 在请求限速配置模块，单击“编辑”，系统弹出“请求限速配置”对话框。 图1 请求限速配置 表1 参数说明 参数 说明 匹配类型 所有文件：所有文件均参与限速。 目录匹配：指定目录内的文件参与限速。 匹配内容 匹配类型为所有文件时不填。 匹配类型为目录匹配时，输入规则如下： 以“/”开头，例如：/test/folder。 不能以“/”结尾。 每条规则对应一个目录，不支持一条规则配置多个目录。 限速类型 支持按传送流量限速，即单个HTTP请求流量达到设定的值，开始限制访问速度。 限速条件 设置限速起始值，当传送流量达到限速条件设置的值后开始限速。 单位为Byte，最大值可设置为1GB，即：1,073,741,824Byte。 限速值 设置开始限速后的最大访问速度。 最大值可设置为100MBps。 优先级 限速规则的优先级，优先级设置具有唯一性，不支持多条规则设置同一优先级，且优先级不能输入为空。多条限速规则下，不同限速规则中的相同资源内容，CDN优先匹配优先级高的限速规则。 取值为1~100之间的整数，数值越大优先级越高。 打开“状态”开关，配置相关参数，单击“确定”完成限速配置。

重新审核不同的情况有不同的处理 如果该加速域名被禁用的原因仅为域名备案过期，单击“重新审核”后有如下两种情况： 域名已重新备案，系统弹出解禁成功提示信息，域名解禁成功。 域名备案未恢复，系统弹出该加速域名尚未备案提示信息。您需要到工信部为该域名恢复备案后重试。 如果该加速域名被禁用的原因不只是备案过期，单击“重新审核”后系统弹出“该域名被禁用原因不是备案过期，无法通过重新审核来尝试解禁”提示信息，您需要重新检查并整改域名内容，整改完成后提交工单或联系客服咨询处理。

RDS授权分类 表1 公共查询 权限 对应API接口 授权项（Action） IAM 项目(Project) 企业项目(Enterprise Project) 查询数据库引擎版本 GET /v3/{projectId}/datastores/{database_name} 无需授权 √ √ 查询数据库规格 GET /v3/{project_id}/flavors/{database_name}?version_name={version_name} 无需授权 √ √ 查询数据库存储规格 GET /v3/{project_id}/storage-type/{database_name}?version_name={version_name} 无需授权 √ √ 表2 实例管理 API功能 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 创建数据库实例 POST /v3/{project_id}/instances rds:instance:create （创建加密实例需要在项目上配置KMS Administrator权限。） √ √ 修改实例名称 PUT https://{Endpoint}/v3/{project_id}/instances/{instance_id}/name rds:instance:modify √ √ 修改实例备注 PUT https://{Endpoint}/v3/{project_id}/instances/{instance_id}/alias rds:instance:modify √ √ 申请内网域名 POST https://{Endpoint}/v3/{project_id}/instances/{instance_id}/create-dns rds:instance:createDns √ √ 修改内网域名 PUT https://{Endpoint}/v3/{project_id}/instances/{instance_id}/modify-dns rds:instance:modifyDns √ √ 变更数据库实例的规格 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:modifySpec √ √ 扩容数据库实例的磁盘空间 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:extendSpace √ √ 单机转主备实例 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:singleToHa （加密实例需要在项目上配置KMS Administrator权限。） √ √ 重启数据库实例 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:restart √ √ 删除数据库实例 DELETE /v3/{project_id}/instances/{instance_id} rds:instance:delete √ √ 查询数据库实例列表 GET /v3/{project_id}/instances rds:instance:list √ √ 查询跨区域备份实例列表 GET /v3/{project_id}/backups/offsite-backup-instance rds:instance:list √ √ 绑定和解绑弹性公网IP PUT /v3/{project_id}/instances/{instance_id}/public-ip rds:instance:modifyPublicAccess √ √ 修改数据库实例密码 PUT /v3/{project_id}/instances/{instance_id}/password rds:password:update √ √ 手动主备倒换 PUT /v3/{project_id}/instances/{instance_id}/failover rds:instance:switchover √ √ 修改主备切换策略 PUT /v3/{project_id}/instances/{instance_id}/failover/strategy rds:instance:modifyStrategy √ √ 修改主备同步模式 PUT /v3/{project_id}/instances/{instance_id}/failover/mode rds:instance:modifySynchronizeModel √ √ 修改运维时间窗 PUT /v3/{project_id}/instances/{instance_id}/ops-window rds:instance:modify √ √ 备机可用区迁移 POST /v3/{project_id}/instances/{instance_id}/migrateslave rds:instance:create √ √ 表3 灾备实例 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 配置主实例容灾能力 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:buildDrRelation √ √ 配置灾备实例容灾能力 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:buildDrRelation √ √ 灾备升主 POST /v3/{project_id}/instances/{instance_id}/action rds:instance:modifyDRRole √ √ 查询跨云容灾复制状态 GET /v3/{project_id}/instances/{instance_id}/disaster-recovery rds:instance:list √ √ 表4 数据库安全性 API功能 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 设置SSL 数据加密 PUT /v3/{project_id}/instances/{instance_id}/ssl rds:instance:modifySSL √ √ 修改数据库端口 PUT /v3/{project_id}/instances/{instance_id}/port rds:instance:modifyPort √ √ 修改内网地址 PUT /v3/{project_id}/instances/{instance_id}/ip rds:instance:modifyIp √ √ 修改安全组 PUT /v3/{project_id}/instances/{instance_id}/security-group rds:instance:modifySecurityGroup √ √ 表5 参数配置 API功能 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 获取参数模板列表 GET /v3/{project_id}/configurations rds:param:list √ √ 创建参数模板 POST /v3/{project_id}/configurations rds:param:create √ √ 修改参数模板参数 PUT /v3/{project_id}/configurations/{config_id} rds:param:modify √ √ 应用参数模板 PUT /v3/{project_id}/configurations/{config_id}/apply rds:param:apply √ √ 修改指定实例的参数 PUT /v3/{project_id}/instances/{instance_id}/configurations rds:param:modify √ √ 获取指定实例的参数模板 GET /v3/{project_id}/instances/{instance_id}/configurations rds:param:list √ √ 获取指定参数模板的参数 GET /v3/{project_id}/configurations/{config_id} rds:param:list √ √ 删除参数模板 DELETE /v3/{project_id}/configurations/{config_id} rds:param:delete √ √ 表6 备份与恢复 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 设置自动备份策略 PUT /v3/{project_id}/instances/{instance_id}/backups/policy rds:instance:modifyBackupPolicy √ √ 设置跨区域备份策略 PUT /v3/{project_id}/instances/{instance_id}/backups/offsite-policy rds:instance:modifyBackupPolicy √ √ 查询自动备份策略 GET /v3/{project_id}/instances/{instance_id}/backups/policy rds:instance:list √ √ 查询跨区域备份策略 GET /v3/{project_id}/instances/{instance_id}/backups/offsite-policy rds:instance:list √ √ 创建手动备份 POST /v3/{project_id}/backups rds:backup:create √ √ 获取备份列表 GET /v3/{project_id}/backups?instance_id={instance_id} rds:backup:list √ √ 获取跨区域备份列表 GET /v3/{project_id}/offsite-backups?instance_id={instance_id} rds:backup:list √ √ 获取备份下载链接 GET /v3/{project_id}/backup-files?backup_id={backup_id} rds:backup:download √ √ 删除手动备份 DELETE /v3/{project_id}/backups/{backup_id} rds:backup:delete √ √ 查询可恢复时间段 GET /v3/{project_id}/instances/{instance_id}/restore-time rds:instance:list √ √ 查询跨区域备份可恢复时间段 GET /v3/{project_id}/instances/{instance_id}/offsite-restore-time rds:instance:list √ √ 恢复到新实例 POST /v3/{project_id}/instances rds:instance:create （加密实例需要在项目上配置KMS Administrator权限。） √ √ 恢复到已有或当前实例 POST /v3/{project_id}/instances/recovery rds:instance:restoreInPlace √ √ 表7 获取日志信息 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 查询数据库错误日志 GET /v3/{project_id}/instances/{instance_id}/errorlog?start_date={start_date}&end_date={end_date} rds:log:list √ √ 查询数据库慢日志 GET /v3/{project_id}/instances/{instance_id}/slowlog?start_date={start_date}&end_date={end_date} rds:log:list √ √ 设置审计日志策略 PUT /v3/{project_id}/instances/{instance_id}/auditlog-policy rds:auditlog:operate √ √ 查询审计日志策略 GET /v3/{project_id}/instances/{instance_id}/auditlog-policy rds:auditlog:list √ √ 获取审计日志列表 GET /v3/{project_id}/instances/{instance_id}/auditlog?start_time={start_time}&end_time={end_time}&offset={offset}&limit={limit} rds:auditlog:list √ √ 生成审计日志下载链接 POST /v3/{project_id}/instances/{instance_id}/auditlog-links rds:auditlog:download √ √ 获取慢日志下载链接 POST /v3/{project_id}/instances/{instance_id}/slowlog-download rds:log:download √ √ 获取binlog本地保留时长 GET /v3/{project_id}/instances/{instance_id}/binlog/clear-policy rds:binlog:get √ √ 设置binlog本地保留时长 PUT /v3/{project_id}/instances/{instance_id}/binlog/clear-policy rds:binlog:setPolicy √ √ 表8 管理数据库和用户（MySQL） API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 创建数据库 POST /v3/{project_id}/instances/{instance_id}/database rds:database:create √ √ 查询数据库列表 GET /v3/{project_id}/instances/{instance_id}/database/detail?page={page}&limit={limit} rds:database:list √ √ 查询指定用户的已授权数据库 GET /v3/{project_id}/instances/{instance_id}/db_user/database?user-name={user-name}&page={page}&limit={limit} rds:database:list √ √ 删除数据库 DELETE /v3/{project_id}/instances/{instance_id}/database/{db_name} rds:database:drop √ √ 创建数据库用户 POST /v3/{project_id}/instances/{instance_id}/db_user rds:databaseUser:create √ √ 查询数据库用户列表 GET /v3/{project_id}/instances/{instance_id}/db_user/detail?page={page}&limit={limit} rds:databaseUser:list √ √ 查询指定数据库的已授权用户 GET /v3/{project_id}/instances/{instance_id}/database/db_user?db-name={db-name}&page={page}&limit={limit} rds:databaseUser:list √ √ 删除数据库用户 DELETE /v3/{project_id}/instances/{instance_id}/db_user/{user_name} rds:databaseUser:drop √ √ 授权数据库账号 POST /v3/{project_id}/instances/{instance_id}/db_privilege rds:databasePrivilege:grant √ √ 修改数据库账号密码 POST /v3/{project_id}/instances/{instance_id}/db_user/resetpwd rds:password:update √ √ 解除数据库账号权限 DELETE /v3/{project_id}/instances/{instance_id}/db_privilege rds:databasePrivilege:revoke √ √ 表9 管理数据库和用户（PostgreSQL） API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 创建数据库 POST /v3/{project_id}/instances/{instance_id}/database rds:database:create √ √ 创建数据库用户 POST /v3/{project_id}/instances/{instance_id}/db_user rds:databaseUser:create √ √ 授权数据库账号 POST /v3/{project_id}/instances/{instance_id}/db_privilege rds:databasePrivilege:grant √ √ 创建数据库 schema POST /v3/{project_id}/instances/{instance_id}/schema rds:database:create √ √ 查询数据库列表 GET /v3/{project_id}/instances/{instance_id}/database/detail?page={page}&limit={limit} rds:database:list √ √ 查询数据库用户列表 GET /v3/{project_id}/instances/{instance_id}/db_user/detail?page={page}&limit={limit} rds:databaseUser:list √ √ 查询数据库SCHEMA列表 GET /v3/{project_id}/instances/{instance_id}/schema/detail?db_name={name}page={page}&limit={limit} rds:database:list √ √ 表10 回收站 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 设置回收站策略 PUT https://{Endpoint}/v3/{project_id}/instances/recycle-policy rds:instance:setRecycleBin √ √ 表11 标签管理 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 批量添加删除标签 POST /v3/{project_id}/instances/{instance_id}/tags/action rds:instance:dealTag √ √ 查询项目标签 GET /v3/{project_id}/tags rds:tag:list √ √ 表12 配额管理 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 查询配额 GET https://{Endpoint}/v3/{project_id}/quotas rds:instance:list √ √ 表13 任务功能 API功能 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 获取任务信息 GET /v3/{project_id}/jobs?id={id} rds:task:list √ √ 父主题： 权限和授权项

URI URI格式 GET /v3/{project_id}/recycle-instances?offset={offset}&limit={limit} 参数说明 表1 参数说明 名称 是否必选 说明 project_id 是 租户在某一region下的project ID。 获取方法请参见获取项目ID。 offset 是 索引位置，偏移量。从第一条数据偏移offset条数据后开始查询，必须为数字，不能为负数。 limit 是 每页数据条数，取值范围[1, 50]。

响应消息 正常响应要素说明 表2 要素说明 名称 参数类型 说明 total_count Integer 回收站数据条数。 instances Array of objects 回收站信息，详细说明请参见表3。 表3 instances字段数据结构说明 参数 参数类型 描述 id String 实例ID。 name String 实例名称。 ha_mode String 实例主备模式，取值：Ha（主备）、Single（单机），不区分大小写。 engine_name String 引擎名称。 engine_version String 数据库引擎版本。 pay_model String 计费方式，取值：0（按需）、1（包周期）。 created_at String 创建时间，格式为“yyyy-mm-ddThh:mm:ssZ”。 其中，T指某个时间的开始；Z指时区偏移量，例如偏移1个小时显示为+0100。 deleted_at String 删除时间，格式为“yyyy-mm-ddThh:mm:ssZ”。 其中，T指某个时间的开始；Z指时区偏移量，例如偏移1个小时显示为+0100。 volume_type String 磁盘类型。取值范围如下，区分大小写： ULTRAHIGH，表示超高IO型磁盘。 ULTRAHIGHPRO，表示SSD尊享版，仅支持超高性能型尊享版（需申请权限）。 CLOUDSSD，表示SSD云盘，仅支持通用型和独享型规格实例。 LOCALSSD，表示本地SSD盘。 volume_size Integer 磁盘大小，单位为GB。取值范围：40GB~4000GB，必须为10的整数倍。 部分用户支持40GB~6000GB，如果您想创建存储空间最大为6000GB的数据库实例，或提高扩容上限到10000GB，请联系客服开通。 对于只读实例，该参数无效，只读实例磁盘大小默认和主实例相同。 data_vip String 内网地址。 data_vip_v6 String IPv6内网地址。 enterprise_project_id String 企业项目ID。 retained_until String 保留时间，格式为“yyyy-mm-ddThh:mm:ssZ”。 其中，T指某个时间的开始；Z指时区偏移量，例如偏移1个小时显示为+0100。 recycle_backup_id String 备份ID。 recycle_status String 备份状态取值如下，区分大小写： BUILDING：备份中，不能进行重建。 COMPLETED：备份完成，可以重建实例。 正常响应样例 { "total_count" : 2, "instances" : [ { "id" : "b7dea08c0f0e4fed9f1951fff9013639in01", "name" : "rds-8b86", "ha_mode" : "Ha", "engine_name" : "mysql", "engine_version" : "5.7.38", "pay_model" : "0", "created_at" : "2022-12-26T03:38:10+0000", "deleted_at" : "2023-01-09T08:57:10+0000", "volume_type" : "SSD", "volume_size" : 80, "data_vip" : "192.168.226.188", "enterprise_project_id" : "0", "retained_until" : "2023-01-16T09:20:48+0000", "recycle_backup_id" : "e8e3c329c20442f5aec21b95a8cdaa52br01", "recycle_status" : "COMPLETED" }, { "id" : "cc6d0dff4a9145d0a1335c35a866de23in01", "name" : "rds-82b2", "ha_mode" : "Ha", "engine_name" : "mysql", "engine_version" : "5.7.38", "pay_model" : "0", "created_at" : "2022-12-26T06:17:58+0000", "deleted_at" : "2023-01-09T08:56:49+0000", "volume_type" : "SSD", "volume_size" : 200, "data_vip" : "192.168.2.24", "enterprise_project_id" : "0", "retained_until" : "2023-01-16T09:20:45+0000", "recycle_backup_id" : "3f35a348ae0943979bd302a9788f49e7br01", "recycle_status" : "COMPLETED" } ] } 异常响应 请参见异常请求结果。

RDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 RDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问RDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对RDS服务，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，RDS支持的API授权项请参见策略及授权项说明。 如表1所示，包括了RDS的所有系统权限。 表1 RDS系统策略 策略名称/系统角色 描述 类别 依赖关系 RDS FullAccess 关系型数据库服务所有权限。 系统策略 购买包周期实例需要配置授权项： bss:order:update bss:order:pay 如果要使用存储空间自动扩容功能，IAM子账号需要添加如下授权项： 创建自定义策略： iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToGroupOnProject iam:roles:listRoles 添加系统角色：Security Administrator 选择该用户所在的一个用户组。 单击“授权”。 添加Security Administrator系统角色。 RDS ReadOnlyAccess 关系型数据库服务资源只读权限。 系统策略 无。 RDS ManageAccess 关系型数据库服务除删除操作外的DBA权限。 系统策略 无。 RDS Administrator 关系型数据库服务管理员。 系统角色 依赖Tenant Guest和Server Administrator角色，在同项目中勾选依赖的角色。 表2列出了RDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 RDS FullAccess RDS ReadOnlyAccess RDS ManageAccess RDS Administrator 创建RDS实例 √ x √ √ 删除RDS实例 √ x x √ 查询RDS实例列表 √ √ √ √ 表3 常用操作与对应授权项 操作名称 授权项 备注 创建数据库实例 rds:instance:create rds:param:list 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get 创建加密实例需要在项目上配置KMS Administrator权限。 购买包周期实例需要配置： bss:order:update bss:order:pay 变更数据库实例的规格 rds:instance:modifySpec 无。 扩容数据库实例的磁盘空间 rds:instance:extendSpace 无。 单机转主备实例 rds:instance:singleToHa 若原单实例为加密实例，需要在项目上配置KMS Administrator权限。 重启数据库实例 rds:instance:restart 无。 删除数据库实例 rds:instance:delete 无。 查询数据库实例列表 rds:instance:list 无。 实例详情 rds:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc:*:get和vpc:*:list。 修改数据库实例密码 rds:password:update 无。 修改端口 rds:instance:modifyPort 无。 修改内网IP rds:instance:modifyIp 界面查询剩余ip列表需要： vpc:subnets:get vpc:ports:get 修改实例名称 rds:instance:modify 无。 修改运维时间窗 rds:instance:modify 无。 手动主备倒换 rds:instance:switchover 无。 修改同步模式 rds:instance:modifySynchronizeModel 无。 切换策略 rds:instance:modifyStrategy 无。 修改实例安全组 rds:instance:modifySecurityGroup 无。 绑定/解绑公网IP rds:instance:modifyPublicAccess 界面列出公网ip需要： vpc:publicIps:get vpc:publicIps:list 设置回收站策略 rds:instance:setRecycleBin 无。 查询回收站 rds:instance:list 无。 开启、关闭SSL rds:instance:modifySSL 无。 开启、关闭事件定时器 rds:instance:modifyEvent 无。 读写分离操作 rds:instance:modifyProxy 无。 申请内网域名 rds:instance:createDns 无。 备机可用区迁移 rds:instance:create 备机迁移涉及租户子网下的IP操作，若为加密实例，需要在项目上配置KMS Administrator权限。 表级时间点恢复 rds:instance:tableRestore 无。 透明数据加密（Transparent Data Encryption，TDE）权限 rds:instance:tde 仅用于RDS for SQL Server数据库实例。 修改主机权限 rds:instance:modifyHost 无。 查询对应账号下的主机 rds:instance:list 无。 获取参数模板列表 rds:param:list 无。 创建参数模板 rds:param:create 无。 修改参数模板参数 rds:param:modify 无。 应用参数模板 rds:param:apply 无。 修改指定实例的参数 rds:param:modify 无。 获取指定实例的参数模板 rds:param:list 无。 获取指定参数模板的参数 rds:param:list 无。 删除参数模板 rds:param:delete 无。 重置参数模板 rds:param:reset 无。 对比参数模板 rds:param:list 无。 保存参数模板 rds:param:save 无。 查询参数模板类型 rds:param:list 无。 设置自动备份策略 rds:instance:modifyBackupPolicy 无。 查询自动备份策略 rds:instance:list 无。 创建手动备份 rds:backup:create 无。 获取备份列表 rds:backup:list 无。 获取备份下载链接 rds:backup:download 无。 删除手动备份 rds:backup:delete 无。 复制备份 rds:backup:create 无。 查询可恢复时间段 rds:instance:list 无。 恢复到新实例 rds:instance:create 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get 恢复到已有或当前实例 rds:instance:restoreInPlace 无。 获取实例binlog清理策略 rds:binlog:get 无。 合并binlog文件 rds:binlog:merge 无。 下载binlog文件 rds:binlog:download 无。 删除binlog文件 rds:binlog:delete 无。 设置binlog清理策略 rds:binlog:setPolicy 无。 获取数据库备份文件列表 rds:backup:list 无。 获取历史数据库列表 rds:backup:list 无。 查询数据库错误日志 rds:log:list 无。 查询数据库慢日志 rds:log:list 无。 下载数据库错误日志 rds:log:download 无。 下载数据库慢日志 rds:log:download 无。 开启、关闭审计日志 rds:auditlog:operate 无。 获取审计日志列表 rds:auditlog:list 无。 查询审计日志策略 rds:auditlog:list 无。 生成审计日志下载链接 rds:auditlog:download 无。 获取主备切换日志 rds:log:list 无。 创建数据库 rds:database:create 无。 查询数据库列表 rds:database:list 无。 查询指定用户的已授权数据库 rds:database:list 无。 删除数据库 rds:database:drop 无。 创建数据库账户 rds:databaseUser:create 无。 查询数据库账户列表 rds:databaseUser:list 无。 查询指定数据库的已授权账户 rds:databaseUser:list 无。 删除数据库账户 rds:databaseUser:drop 无。 授权数据库账户 rds:databasePrivilege:grant 无。 解除数据库账户权限 rds:databasePrivilege:revoke 无。 任务中心列表 rds:task:list 无。 删除任务中心任务 rds:task:delete 无。 包周期下单 bss:order:update 购买包周期实例需要配置授权项： bss:order:pay 用户标签操作 rds:instance:modify 标签相关操作依赖tms:resourceTags:*权限。 存储空间自动扩容 rds:instance:extendSpace 如果选择自动扩容，IAM主账号不需要添加授权项，IAM子账号需要添加如下授权项： 创建自定义策略： iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToGroupOnProject iam:roles:listRoles 添加系统角色：Security Administrator 选择该用户所在的一个用户组。 单击“授权”。 添加Security Administrator系统角色。 停止实例、开启实例 rds:instance:operateServer 无。 停止实例 rds:instance:stop 无。 开启实例 rds:instance:start 无。 修改数据库用户名备注 rds:databaseUser:update 无。

服务端SSL加密相关参数配置 表1 服务端SSL加密相关参数 参数名称 值 描述 ssl on 默认启用SSL连接，不可修改。 ssl_cert_file /CA/server.pem SSL服务器证书文件的位置，不可修改。 ssl_ciphers ALL:!ADH:!LOW:!EXP:!MD5:!3DES:!DES:@STRENGTH; 指定一个SSL密码列表，用于安全连接。用户可根据安全要求进行修改。推荐使用 EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EDH+aDSS+AESGCM:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!SRP:!RC4 ssl_key_file /CA/server.key SSL服务器私钥文件的位置，不可修改。 ssl_min_protocol_version TLSv1.2 设置要使用的最小SSL/TLS协议版本，用户可根据安全要求进行修改，推荐使用TLSv1.2及以上版本。

客户端SSL加密相关参数配置 PostgreSQL数据库开启SSL加密后，表示允许客户端通过SSL连接数据库。 在客户端连接数据库时，可根据不同场景选择“sslmode”参数取值。 客户端使用SSL连接时，“sslmode”选择“allow”、“prefer”、“Require”、“Verify-CA”或“Verify-Full”。默认值是“prefer”。 客户端不使用SSL连接时，“sslmode”选择“Disable”。 当“sslmode”取值为“Verify-CA”或“Verify-Full”时，需要配置“Root certificate”参数，表示数据库CA证书的路径，CA证书可在界面上下载。 表2 sslmode参数值说明 sslmode参数值 说明 disable 客户端不使用SSL连接。 allow 客户端将尝试建立SSL/TLS连接，但如果服务器不支持SSL/TLS连接，客户端将以普通文本方式连接。 prefer 默认模式，客户端将首先尝试建立SSL连接，如果服务器不支持SSL连接，则以普通文本方式连接。 require 客户端只尝试SSL连接，只对数据链路加密，并不验证服务器证书的有效性。 verify-ca 客户端使用SSL加密连接到服务器，并验证服务器证书的有效性。 verify-full 客户端使用SSL加密连接到服务器，并验证服务器证书的有效性，同时比对证书内的CN或DNS与连接时配置的数据库连接地址是否一致。

客户端查看是否开启SSL加密 客户端是否使用SSL加密，可通过以下方式查看： 使用psql连接数据库时，连接成功后出现如下信息： SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off) protocol表示SSL连接协议是TLSv1.2。 cipher表示使用SSL连接的加密算法为ECDHE-RSA-AES256-GCM-SHA384。 bits表示密钥长度为256位。 可以通过查询“pg_stat_ssl”视图来查看客户端连接是否使用SSL。如果客户端使用SSL连接，则该视图中会显示相应的连接信息。 SELECT * FROM pg_stat_ssl; 该查询将返回所有当前SSL连接的统计信息，包括连接的进程ID、客户端IP地址、SSL协议版本、SSL加密算法、客户端证书的有效性和到期时间等。如果客户端连接使用SSL，则可以在该视图中看到相关信息。

注意事项 创建冷表时，请不要对该表执行DDL或DML语句，否则会导致创建失败。 全量备份时不会对冷表数据进行备份，所以无法对冷表做恢复操作。 创建了冷表的实例不可作为全量备份恢复和时间点恢复操作的目标实例。 冷表回迁时需保证实例剩余空间大于两倍的表空间大小。 冷表仅支持查询操作，且访问速度较慢，建议将不常用的归档类数据表转换为冷表。 创建冷表时，库名和表名仅支持字母、数字、下划线、中划线、$，长度不可超过64个字符，且索引长度不能超过1000字节。

原理简介 RDS for MySQL提供新的引擎obs引擎，并且支持将低频使用的innodb引擎的表转存到OBS上，实现指定表的表结构位于实例上存储，而表数据位于OBS上存储的效果。这些转存之后的表被称之为冷表。 创建冷表 为了达到释放磁盘空间并且实现降低存储成本的目的，您可以将暂时不需要修改数据且磁盘空间占用较大的表转存为冷表，该表数据将存储在OBS上。 回迁冷表 将指定表存储为冷表后，如果需要修改该表或频繁查询该表，您可以将该冷表重新回迁到实例上，回迁后会同步删除OBS上存储的表数据。 查看冷表记录 在控制台的冷热分离页面可以查看对冷表的操作记录，对于创建失败或回迁失败的冷表，数据会回滚为未操作之前的状态，并且界面支持删除操作失败的记录。 图1 拓扑图

使用说明 转存冷表数据 您可以在控制台上将指定表设置为冷表，该表数据将存储在OBS上，从而释放磁盘空间并且降低存储成本。具体操作详见6。 查询冷表数据 创建冷表后，对于冷表数据的查询方法与普通表一致，可以使用select命令查询，具体操作详见通过SQL操作设置冷表。 修改冷表数据 如果您需要修改已经存储到OBS上的冷表，您需要先通过控制台的回迁功能将OBS上的冷表回迁到实例上，此回迁操作会同步删除OBS上的冷表数据。具体操作详见9。 删除冷表数据 创建冷表后，对于冷表数据的删除方法与普通表一致，可以使用drop命令删除，具体操作详见通过SQL操作设置冷表。

插件安装与卸载 安装插件 SLEECT control_extension('create', 'rds_hwdrs_ddl'); 在安装完该插件后，可以通过查看系统视图查看该插件创建的对象。 -- 查看hwdrs_ddl_info表 select relname, relowner::regrole, relacl from pg_class where relname = 'hwdrs_ddl_info'; relname | relowner | relacl ----------------+----------+------------------------------- hwdrs_ddl_info | root | {root=arwdDxt/root,=ard/root} -- 查看hwdrs_ddl_function函数 select proname, proowner::regrole from pg_proc where proname = 'hwdrs_ddl_function'; proname | proowner --------------------+---------- hwdrs_ddl_function | root (1 row) -- 查看hwdrs_ddl_event触发器 select evtname, evtevent from pg_event_trigger; evtname | evtevent -----------------+----------------- hwdrs_ddl_event | ddl_command_end (1 row) 卸载插件 SELECT control_extension('drop', 'rds_hwrds_ddl'); 更多信息，请参见通过界面安装和卸载插件和通过SQL命令安装和卸载插件。

幻兽帕鲁基础使用 单击该方案堆栈详情页面的“输出”，即可查看幻兽帕鲁服务的IP地址。 图1 输出回显命令 打开幻兽帕鲁游戏，进入主页，单击“加入多人游戏（专用服务器）”。 图2 幻兽帕鲁主页 在服务信息配置页面输入步骤一获取的ip地址，端口8211保持不变，单击“联系“，即可进入游戏。 图3 配置专用服务器IP 图4 游戏界面 该方案一键部署默认创建新的弹性云服务器 E CS ，服务镜像默认为Centos 7.6。如果您使用已有的弹性云服务器部署幻兽帕鲁服务端，请保证您的服务器为环境Centos或Ubuntu。可在服务器执行如下命令： wget -P /tmp/ https://documentation-samples.obs.cn-north-4.myhuaweicloud.com/solution-as-code-publicbucket/solution-as-code-moudle/deploy-a-palworld-dedicated-server/userdata/install_palworld.sh chmod 744 /tmp/install_palworld.sh /tmp/install_palworld.sh 图5 部署脚本执行 图6 安装幻兽帕鲁服务端 图7 安装成功 图8 检查8211端口

监控指标 表1 表1 智能企业网关的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期 cloud_recv_pkt_rate 上云接收包速率 智能企业网关每秒接收的上云数据包的平均数量。 单位: pps ≥ 0 智能企业网关实例 1分钟 cloud_send_pkt_rate 上云发送包速率 智能企业网关每秒发送的上云数据包的平均数量。 单位: pps ≥ 0 智能企业网关实例 1分钟 cloud_recv_rate 上云接收速率 智能企业网关每秒接收的上云流量。 单位：byte/s（系统根据数据大小自动调整，也可手动调整） ≥ 0 智能企业网关实例 1分钟 cloud_send_rate 上云发送速率 智能企业网关每秒发送的上云流量。 单位：byte/s（系统根据数据大小自动调整，也可手动调整） ≥ 0 智能企业网关实例 1分钟 cloud_send_traffic 上云发送流量 智能企业网关发送的上云流量统计。 单位：MB（系统根据数据大小自动调整，也可手动调整） ≥ 0 智能企业网关实例 1分钟 cloud_recv_traffic 上云接收流量 智能企业网关接收的上云流量统计。 单位：MB（系统根据数据大小自动调整，也可手动调整） ≥ 0 智能企业网关实例 1分钟 ieg_uplink_rate 总发送速率 智能企业网关每秒发送的总流量。 单位：byte/s（系统根据数据大小自动调整，也可手动调整） ≥ 0 智能企业网关实例 5分钟 ieg_downlink_rate 总接收速率 智能企业网关每秒接收的总流量。 单位：byte/s（系统根据数据大小自动调整，也可手动调整） ≥ 0 智能企业网关实例 5分钟 ieg_uplink_traffic 总发送流量 智能企业网关发送的总流量统计。 单位：MB（系统根据数据大小自动调整，也可手动调整） ≥ 0 智能企业网关实例 5分钟 ieg_downlink_traffic 总接收流量 智能企业网关接收的总流量统计。 单位：MB（系统根据数据大小自动调整，也可手动调整） ≥ 0 智能企业网关实例 5分钟 表2 表1 智能企业网关设备的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期 equipment_cpu_rate cpu使用率 智能企业网关设备cpu使用率统计。单位：% 0 - 100% 智能企业网关设备 5分钟 equipment_memory_rate 内存使用率 智能企业网关设备内存使用率统计。单位：% 0 - 100% 智能企业网关设备 5分钟 equipment_disk_rate 硬盘使用率 智能企业网关设备硬盘使用率统计。单位：% 0 - 100% 智能企业网关设备 5分钟

数据规划 表1 数据规划 类型 规划项 规划值 智能企业网关设备IEG WAN接口 接口名称 GigabitEthernet0/0/8 IP地址 1.1.1.2/24 LAN接口 接口名称 GigabitEthernet0/0/1 VLAN ID 不开启 IP地址 10.10.2.1/24 DHCP 开启 DHCP地址池 起始IP地址：10.10.2.20 结束IP地址：10.10.2.200 企业连接网络ECN - 类型 基础版 - 区域 北京 - 带宽 5M - 购买时长 1年 - 智能企业网关间互通 关闭

数据规划 表1 数据规划 类型 规划项 规划值 智能企业网关设备IEG（主） WAN接口 接口名称 GigabitEthernet0/0/8 IP地址 1.1.1.2/24 智能企业网关设备IEG（备） WAN接口 接口名称 GigabitEthernet0/0/8 IP地址 1.1.3.2/24 企业连接网络ECN - 类型 基础版 - 区域 北京 - 带宽 5M - 购买时长 1年 - 智能企业网关间互通 关闭

数据规划 表1 数据规划 类型 规划项 规划值 智能企业网关设备IEG（分支1） WAN接口 接口名称 GigabitEthernet0/0/8 IP地址 1.1.1.2/24 LAN接口 接口名称 GigabitEthernet0/0/1 VLAN ID 不开启 IP地址 10.10.2.1/24 智能企业网关设备IEG（分支2） WAN接口 接口名称 GigabitEthernet0/0/8 IP地址 2.2.2.2/24 LAN接口 接口名称 GigabitEthernet0/0/1 VLAN ID 不开启 IP地址 10.10.3.1/24 企业连接网络 - 类型 基础版 说明： 如用户对网络质量有要求，不允许网络存在抖动问题，则需选择“专业版”，并配置与用户网络所在区域相近的接入点，实现就近快速接入。 - 区域 上海 - 带宽 5M - 购买时长 1年 - 智能企业网关间互通 开启

场景描述 企业A本地有数台PC（≤8台），在实现基本上网需求的同时，希望可以访问华为云上的VPC业务。基于上述需求，企业可部署一台IEG设备，将PC直接接入IEG设备的多个LAN口，通过默认子网将本地业务网络接入华为云。同时，开启IEG设备WAN口的本地上网功能，实现同时上云和上网。 默认子网的IP地址为192.168.1.1/24，开启“发布到企业连接网络”后，可以将该网段内的IP地址发布到企业连接网络。若本地PC的IP地址在该子网网段内，则直接通过默认子网，就能将本地业务网络与云上打通。 您可以根据实际情况修改默认子网的网段，且修改后默认子网的网段不能与其他上云的网段重叠。

数据规划 表1 数据规划 类型 规划项 规划值 智能企业网关设备IEG WAN接口 接口名称 GigabitEthernet0/0/8 IP地址 1.1.1.2/24 本地上网 开启 LAN接口（使用默认子网） IPv4地址 192.168.1.1/24（默认值） 发布到企业连接网络 开启 企业连接网络ECN - 类型 基础版 - 区域 北京 - 带宽 5M - 购买时长 1年 - 智能企业网关间互通 关闭

数据规划 表1 数据规划 类型 规划项 规划值 智能企业网关设备IEG WAN接口 接口名称 GigabitEthernet0/0/8 IP地址 1.1.1.2/24 LAN接口 接口名称 GigabitEthernet0/0/1 VLAN ID 不开启 IP地址 10.10.2.1/24 企业连接网络ECN - 类型 基础版 - 区域 北京 - 带宽 5M - 购买时长 1年 - 智能企业网关间互通 关闭