华为云用户手册

账号类型 表1 账号说明 账号类型 说明 管理员账号root 创建实例页面只提供管理员root账户，支持的权限请参见RDS for MySQL约束与限制。 说明： 建议用户谨慎对root账户执行revoke、drop user、rename user操作，避免影响业务正常使用。 系统账户 创建RDS for MySQL数据库实例时，系统会自动为实例创建如下系统账户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 rdsAdmin：管理账户，拥有最高权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl：复制账户，用于备实例或只读实例在主实例上同步数据。 rdsBackup：备份账户，用于后台的备份。 rdsMetric：指标监控账户，用于watchdog采集数据库状态数据。 rdsProxy：数据库代理账户，该账户在 开通读写分离 时才会自动创建，用于通过读写分离地址连接数据库时鉴权使用。 其他账号 在控制台、API或SQL语句中创建的账号。 创建后可以自行设置权限，请参见修改数据库账号权限。

注意事项 当有对应的小版本更新时（定期同步开源社区问题、漏洞修复），请及时手动立即升级或者设置可维护时间段升级小版本。 升级数据库内核小版本会重启RDS for MySQL实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 升级内核小版本期间，除了主备切换时的网络闪断外，由于主备之间默认是半同步复制，升级过程中会有两次单条SQL持续最长十秒的更新及写入等待，用户可通过修改主备间的复制模式为异步来规避此场景。 如果主备实例在同一个AZ，升级内核小版本会触发一次主备倒换；如果主备实例在不同AZ，则会触发两次主备倒换。 升级主实例小版本时，如有只读实例，也会同步升级只读实例的小版本，升级完成会重启实例，请您选择合适的时间升级（不支持单独升级只读实例的小版本）。 升级内核小版本时，如果RDS实例为DRS任务的源端，DRS可能会拉取不到RDS实例的日志；如果RDS实例为DRS任务的目标端，DRS可能会写不进目标库。 建议您在升级内核小版本前先确认RDS实例Binlog的保留时间： 如果Binlog在保留时间内，待内核小版本升级完成后，DRS任务会自动重启。 如果Binlog不在保留时间内，您需要重新配置或创建DRS任务。 升级内核小版本后，实例会升级到新的内核小版本，无法降级。如果升级失败，将会自动回退到原版本。 升级小版本前建议先做一次全量备份。 升级内核小版本一般是分钟级完成。 小版本升级过程中禁止event的DDL操作，如create event、drop event和alter event。 如果小版本升级时，界面提示主节点存在DDL操作，可通过如下方式处理： 将实例STATUS为SLAVESIDE_DISABLED状态的event，更改为ENABLED或者DISABLED状态后再进行升级。 删除SLAVESIDE_DISABLED状态的event后再进行升级。

约束条件 对于主备实例，复制延迟大于300秒无法升级小版本。 升级主备实例时，升级顺序依次是备实例、主实例。 实例中存在异常节点，无法升级小版本。 云数据库RDS for MySQL暂不支持已开启事件定时器功能的实例升级内核小版本，若您想使用该功能，请先关闭事件定时器。具体操作请参考开启或关闭事件定时器。 8.0.28及以上的内核版本，不支持设置TLSv1.1，可以通过参数“loose_tls_version”修改TLS版本。

功能限制 最多可配置100条限流规则。 SQL限流功能当前仅支持SELECT、UPDATE、DELETE关键字，不支持INSERT关键字。 当SQL语句匹配多条限流规则时，优先生效最新添加的规则，之前的规则不再生效。 在添加SQL限流规则之前，已经开始执行的SQL语句，不会被记入并发数。 若复制时延过大，针对只读实例，新增或删除限流规则不会立刻生效。 系统表不受SQL限流的限制。 不涉及数据查询的SQL不受限流的限制，例如：select sleep(***); 暂不支持对存储过程、触发器、函数内的SQL做限流设置。 您可以在DAS执行如下SQL查看SQL限流规则的执行情况：select * from information_schema.rds_sql_filter_info; 当设置过多限流规则时，对性能有一定影响，使用后请删除多余的规则。

限制条件 恢复中的实例，不可进行该操作。 除RDS界面和API以外的其他方式创建的数据库和账号，也会展示在RDS界面。如果创建的数据库名和账号名不满足数据库命名规则和帐号命名规则，例如包含中文或不支持的特殊字符，那么该数据库和账号不支持RDS界面或API的数据库管理和账号管理功能。 如果源库的数据库名和账号名不满足数据库命名规则和帐号命名规则，迁移到目标库RDS for MySQL后，该数据库和账号不支持RDS界面或API的数据库管理和账号管理功能。

注意事项 plpgsql为内置插件，不允许卸载。 decoderbufs, wal2json等逻辑复制插件可以直接使用，不需要安装。 部分插件依赖“shared_preload_libraries”参数，只有在加载相关库之后，才能安装成功。 pg_cron插件当前仅支持PostgreSQL 12（12.11.0及其以上版本）、PostgreSQL 13及以上版本。使用时需要先修改参数“cron.database_name”为需要使用的数据库（仅支持单个数据库），同时修改“cron.use_background_workers”为“on”。 pltcl插件在PostgreSQL 13.2版本实例暂不支持使用，如需使用该插件，请先升级到最新小版本。 部分插件安装或卸载时，会同步安装或卸载其依赖插件，以及相关依赖表。例如：创建插件postgis_sfcgal时，需要先创建postgis插件，这时会同步创建postgis_sfcgal插件；同时，卸载postgis插件时，会同步卸载postgis_sfcgal插件。 部分插件在小版本升级后不支持直接升级，如需升级请卸载后重新安装。

限制条件 恢复中的实例，不可进行该操作。 除RDS界面和API以外的其他方式创建的数据库和账号，也会展示在RDS界面。如果创建的数据库名和账号名不满足数据库命名规则和帐号命名规则，例如包含中文或不支持的特殊字符，那么该数据库和账号不支持RDS界面或API的数据库管理和账号管理功能。 如果源库的数据库名和账号名不满足数据库命名规则和帐号命名规则，迁移到目标库RDS for MySQL后，该数据库和账号不支持RDS界面或API的数据库管理和账号管理功能。

操作场景 RDS for MySQL Serverless实例提供了CPU、内存的实时弹性能力，构建云盘架构下的RDS for MySQL产品新形态。实例不仅提供网络资源、命名空间、存储空间的垂直资源隔离能力，还提供计算资源按需计费的能力，具有资源用量低、简单易用、弹性灵活和价格低廉等优点，赋能用户面向业务峰谷时对计算能力进行快速且独立的扩缩要求，做到快速响应业务变化的同时，合理优化使用成本，进一步助力企业降本增效。 本文将介绍在云数据库RDS管理控制台创建Serverless实例的过程。

前提条件 已注册华为云账号。 注册华为云账号后，如果需要对华为云上的资源进行精细管理，请使用 统一身份认证 服务（Identity and Access Management，简称 IAM ）创建IAM用户及用户组，并授权，以使得IAM用户获得具体的操作权限，更多操作，请参见创建用户组、用户并授予RDS权限。 账户余额大于等于0元。 RDS for MySQL支持主从复制时数据传输加密，如需开通该功能，请联系客服人员申请。实例购买前开通该功能，购买成功后，手动开启SSL开关，则该实例主从复制时数据传输加密。

数据库代理内核版本说明 本章节介绍云数据库 RDS for MySQL的数据库代理内核版本更新说明。 版本 说明 2.23.09.002 修复问题 优化数据库宕机后Proxy重试业务SQL的逻辑。 2.23.09.001 修复问题 修复Prepare协议下，select for update执行偶现报错问题。 2.23.09.000 新功能 支持Change User协议。 支持多Hint解析。 支持show processlist和kill命令。 2.23.06.001 修复问题 解决会话连接池开启导致后端数据库连接数升高问题。 2.23.06.000 新功能 支持通过Proxy内核拉取Binlog。 修复问题 进一步优化prepare stmt协议表现。 2.23.02.007 修复问题 优化prepare stmt协议表现。 解决/* FORCE_SLAVE*/ Hint语句流量分配不符合预期问题。 解决事务拆分开启时，set autocommit同步到只读问题。 2.23.02.000 修复问题 优化数据库代理的性能。 2.22.11.000 新功能 支持设置Multi-Statements处理模式。 修复问题 部分特殊场景SQL执行报错信息优化。 2.22.07.000 新功能 支持会话级连接池。 支持动态智能负载。 修复问题 优化数据库代理session级事务隔离级别设置逻辑，默认与数据库同步。 2.7.5.0 支持ALT。 2.7.4.0 新功能 支持16MB以上查询数据。 修复问题 优化只读模式Proxy的 CES 采集指标。 2.3.9.8 新功能 支持Prepare协议Batch操作。 2.3.9.7 新功能 数据库代理支持MySQL 8.0。 支持事务拆分。 支持只读模式 修复问题 优化prepare语句执行逻辑，提升性能。 2.3.9.0 新功能 新增数据库代理性能监控指标（每秒平均创建前端连接数、每秒平均事务中的查询数、每秒平均多语句执行数），详情见表2。 修复问题 优化数据库代理的性能。 优化数据库代理在短连接场景下出现的业务拥塞问题。 2.3.8.0 新功能 RDS for MySQL连接通过数据库代理也能获取到真实客户端IP。 修复问题 修复数据库代理监控数据不准确的问题。 优化RDS for MySQL主备倒换数据库代理中断的时长。 2.3.6.0 优化数据库代理的稳定性，修复业务量过大时出现的连接失败问题。 优化数据库代理MySQL协议的兼容性。 2.3.1.0 支持客户端到数据库代理的连接保持功能。 支持数据库代理性能指标监控，详情见表2。 父主题： 数据库代理（读写分离）

约束限制 创建高可用只读实例时，高可用只读规格支持SSD云盘、本地盘： SSD云盘：支持通用型、独享型、惠选型和鲲鹏通用增强型。 本地盘：支持x86通用型和x86独享型。 转为高可用只读实例时，原只读规格支持SSD云盘、本地盘： SSD云盘：支持通用型、独享型、惠选型和鲲鹏通用增强型。 本地盘：支持x86通用型和x86独享型。本地盘单机版只读实例如果需要转为高可用只读，请联系客服申请。 DEC用户支持创建高可用只读实例以及只读转高可用，资源类型选择“专属存储”时，默认只显示购买专属分布式存储服务时选择的存储类型。 创建时不支持设置证书、磁盘加密、端口、子网信息，上述信息均与已有高可用只读一致，如果没有创建过高可用只读实例，则与主实例保持一致。 证书、磁盘加密、端口、子网信息跟已有高可用只读一致（若没有高可用只读，则跟主实例一致）时，非高可用只读才可变更到高可用只读。 创建高可用只读或是变更到高可用只读时，需要保证实例所在子网的可用私有IP数量≥ 3。 不建议修改高可用只读实例的参数，否则会影响到高可用只读的可靠性。 高可用只读不允许进行如下操作：修改端口、转换到非高可用只读实例。 建议创建只读实例时，设置实例规格不低于主实例，否则可能导致创建只读失败和复制延迟升高。 创建只读实例时不要有DDL操作，否则可能会导致创建只读失败。

实例监控指标 RDS for MariaDB实例性能监控指标，如下表所示。 表1 RDS for MariaDB实例支持的监控指标 索引 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） 1 rds001_cpu_util CPU使用率 该指标用于统计测量对象的CPU使用率，以比率为单位。 0-100% RDS for MariaDB实例 1分钟 2 rds002_mem_util 内存使用率 该指标用于统计测量对象的内存使用率，以比率为单位。 0-100% RDS for MariaDB实例 1分钟 3 rds003_iops IOPS 该指标用于统计当前实例，单位时间内系统处理的I/O请求数量（平均值）。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 4 rds004_bytes_in 网络输入吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输入的流量，以字节/秒为单位。 ≥ 0 bytes/s RDS for MariaDB实例 1分钟 5 rds005_bytes_out 网络输出吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输出的流量，以字节/秒为单位。 ≥ 0 bytes/s RDS for MariaDB实例 1分钟 6 rds006_conn_count 数据库总连接数 该指标用于统计试图连接到MariaDB服务器的总连接数，以个为单位。 ≥ 0 counts RDS for MariaDB实例 1分钟 7 rds007_conn_active_count 当前活跃连接数 该指标用于统计当前打开的连接的数量，以个为单位。 ≥ 0 counts RDS for MariaDB实例 1分钟 8 rds008_qps QPS 该指标用于统计SQL语句查询次数，含存储过程，以次/秒为单位。 ≥ 0 queries/s RDS for MariaDB实例 1分钟 9 rds009_tps TPS 该指标用于统计事务执行次数，含提交的和回退的，以次/秒为单位。 ≥ 0 transactions/s RDS for MariaDB实例 1分钟 10 rds010_innodb_buf_usage 缓冲池利用率 该指标用于统计空闲的页与InnoDB缓存中缓冲池页面总数的比例，以比率为单位。 0-1 RDS for MariaDB实例 1分钟 11 rds011_innodb_buf_hit 缓冲池命中率 该指标用于统计读命中与读请求数比例，以比率为单位。 0-1 RDS for MariaDB实例 1分钟 12 rds012_innodb_buf_dirty 缓冲池脏块率 该指标用于统计InnoDB缓存中脏数据与InnoDB缓存中使用的页比例，以比率为单位。 0-1 RDS for MariaDB实例 1分钟 13 rds013_innodb_reads InnoDB读取吞吐量 该指标用于统计Innodb平均每秒读字节数，以字节/秒为单位。 ≥ 0 bytes/s RDS for MariaDB实例 1分钟 14 rds014_innodb_writes InnoDB写入吞吐量 该指标用于统计Innodb平均每秒写字节数，以字节/秒为单位。 ≥ 0 bytes/s RDS for MariaDB实例 1分钟 15 rds015_innodb_read_count InnoDB文件读取频率 该指标用于统计Innodb平均每秒从文件中读的次数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 16 rds016_innodb_write_count InnoDB文件写入频率 该指标用于统计Innodb平均每秒向文件中写的次数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 17 rds017_innodb_log_write_req_count InnoDB日志写请求频率 该指标用于统计平均每秒的日志写请求数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 18 rds018_innodb_log_write_count InnoDB日志物理写频率 该指标用于统计平均每秒向日志文件的物理写次数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 19 rds019_innodb_log_fsync_count InnoDB日志fsync()写频率 该指标用于统计平均每秒向日志文件完成的fsync()写数量，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 20 rds020_temp_tbl_rate 临时表创建速率 该指标用于统计每秒在硬盘上创建的临时表数量，以个/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 21 rds021_myisam_buf_usage Key Buffer利用率 该指标用于统计MyISAM Key buffer的利用率，以比率为单位。 0-1 RDS for MariaDB实例 1分钟 22 rds022_myisam_buf_write_hit Key Buffer写命中率 该指标用于统计MyISAM Key buffer写命中率，以比率为单位。 0-1 RDS for MariaDB实例 1分钟 23 rds023_myisam_buf_read_hit Key Buffer读命中率 该指标用于统计MyISAM Key buffer读命中率，以比率为单位。 0-1 RDS for MariaDB实例 1分钟 24 rds024_myisam_disk_write_count MyISAM硬盘写入频率 该指标用于统计向磁盘写入索引的次数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 25 rds025_myisam_disk_read_count MyISAM硬盘读取频率 该指标用于统计从磁盘读取索引的次数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 26 rds026_myisam_buf_write_count MyISAM缓冲池写入频率 该指标用于统计向缓冲池写入索引的请求次数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 27 rds027_myisam_buf_read_count MyISAM缓冲池读取频率 该指标用于统计从缓冲池读取索引的请求次数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 28 rds028_comdml_del_count Delete语句执行频率 该指标用于统计平均每秒Delete语句执行次数，以次/秒为单位。 ≥ 0 queries/s RDS for MariaDB实例 1分钟 29 rds029_comdml_ins_count Insert语句执行频率 该指标用于统计平均每秒Insert语句执行次数，以次/秒为单位。 ≥ 0 queries/s RDS for MariaDB实例 1分钟 30 rds030_comdml_ins_sel_count Insert_Select语句执行频率 该指标用于统计平均每秒Insert_Select语句执行次数，以次/秒为单位。 ≥ 0 queries/s RDS for MariaDB实例 1分钟 31 rds031_comdml_rep_count Replace语句执行频率 该指标用于统计平均每秒Replace语句执行次数，以次/秒为单位。 ≥ 0 queries/s RDS for MariaDB实例 1分钟 32 rds032_comdml_rep_sel_count Replace_Selection语句执行频率 该指标用于统计平均每秒Replace_Selection语句执行次数，以次/秒为单位。 ≥ 0 queries/s RDS for MariaDB实例 1分钟 33 rds033_comdml_sel_count Select语句执行频率 该指标用于统计平均每秒Select语句执行次数。 ≥ 0 queries/s RDS for MariaDB实例 1分钟 34 rds034_comdml_upd_count Update语句执行频率 该指标用于统计平均每秒Update语句执行次数，以次/秒为单位。 ≥ 0 queries/s RDS for MariaDB实例 1分钟 35 rds035_innodb_del_row_count 行删除速率 该指标用于统计平均每秒从InnoDB表删除的行数，以行/秒为单位。 ≥ 0 rows/s RDS for MariaDB实例 1分钟 36 rds036_innodb_ins_row_count 行插入速率 该指标用于统计平均每秒向InnoDB表插入的行数，以行/秒为单位。 ≥ 0 rows/s RDS for MariaDB实例 1分钟 37 rds037_innodb_read_row_count 行读取速率 该指标用于统计平均每秒从InnoDB表读取的行数，以行/秒为单位。 ≥ 0 rows/s RDS for MariaDB实例 1分钟 38 rds038_innodb_upd_row_count 行更新速率 该指标用于统计平均每秒向InnoDB表更新的行数，以行/秒为单位。 ≥ 0 rows/s RDS for MariaDB实例 1分钟 39 rds039_disk_util 磁盘利用率 该指标用于统计测量对象的磁盘利用率，以比率为单位。 0-100% RDS for MariaDB实例 1分钟 40 rds047_disk_total_size 磁盘总大小 该指标用于统计测量对象的磁盘总大小。 40GB~4000GB RDS for MariaDB实例 1分钟 41 rds048_disk_used_size 磁盘使用量 该指标用于统计测量对象的磁盘使用大小。 0GB~4000GB RDS for MariaDB实例 1分钟 42 rds049_disk_read_throughput 硬盘读吞吐量 该指标用于统计每秒从硬盘读取的字节数。 ≥ 0 bytes/s RDS for MariaDB实例 1分钟 43 rds050_disk_write_throughput 硬盘写吞吐量 该指标用于统计每秒写入硬盘的字节数。 ≥ 0 bytes/s RDS for MariaDB实例 1分钟 44 rds072_conn_usage 连接数使用率 该指标用于统计当前已用的MariaDB连接数占总连接数的百分比。 0-100% RDS for MariaDB实例 1分钟 45 rds073_replication_delay 实时复制时延 该指标为备库或只读与主库的实时延迟，对应seconds_behind_master。该值为实时值。 ≥ 0 s RDS for MariaDB实例 1分钟 5秒 46 rds074_slow_queries 慢日志个数统计 该指标用于展示每分钟MariaDB产生慢日志的数量。 ≥ 0 RDS for MariaDB实例 1分钟 47 rds075_avg_disk_ms_per_read 硬盘读耗时 该指标用于统计某段时间平均每次读取磁盘所耗时间。 ≥ 0 ms RDS for MariaDB实例 1分钟 48 rds076_avg_disk_ms_per_write 硬盘写耗时 该指标用于统计某段时间平均写入磁盘所耗时间。 ≥ 0 ms RDS for MariaDB实例 1分钟 49 rds077_vma VMA数量 该指标用于监控RDS进程的虚拟内存区域大小 ≥ 0 counts RDS for MariaDB实例 1分钟 50 rds078_threads 进程中线程数量 监控RDS进程中的线程数量，以个为单位。 ≥ 0 counts RDS for MariaDB实例 1分钟 51 rds079_vm_hwm 进程的物理内存占用峰值 监控RDS进程的物理内存占用峰值，以KB为单位。 ≥ 0 KB RDS for MariaDB实例 1分钟 52 rds080_vm_peak 进程的虚拟内存占用峰值 监控RDS进程的虚拟内存占用峰值，以KB为单位。 ≥ 0 KB RDS for MariaDB实例 1分钟 53 rds082_semi_sync_tx_avg_wait_time 事务平均等待时间 监控半同步复制模式下平均等待时间，以微秒为单位。 ≥ 0 μs RDS for MariaDB实例 1分钟 54 rds173_replication_delay_avg 平均复制时延 该指标为备库或只读与主库的平均延迟，对应seconds_behind_master ≥ 0 s RDS for MariaDB实例 1分钟 55 rds_buffer_pool_wait_free 缓冲池空闲页等待次数 该指标用于统计InnoDB缓冲池空闲页等待次数 ≥ 0 counts RDS for MariaDB实例 1分钟 56 rds_bytes_recv_rate 数据库每秒接受字节 该指标用于统计数据库每秒接收字节，以字节/秒为单位。 ≥ 0 bytes/s RDS for MariaDB实例 1分钟 57 rds_bytes_sent_rate 数据库每秒发送字节 该指标用于统计数据库每条发送字节，以字节/秒为单位。 ≥ 0 bytes/s RDS for MariaDB实例 1分钟 58 rds_conn_active_usage 活跃连接数使用率 该指标统计活跃连接数占最大连接数的比率，以比率为单位。 0-100% RDS for MariaDB实例 1分钟 59 rds_created_tmp_tables_rate 每秒创建临时表数 该指标用于统计每秒创建临时表数，以个/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 60 rds_innodb_buffer_pool_pages_flushed_rate innodb_buffer_pool每秒页面刷新数 该指标用于统计innodb_buffer_pool每秒页面刷新数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 61 rds_innodb_buffer_pool_read_requests_rate innodb_buffer_pool每秒读请求次数 该指标用于统计innodb_buffer_pool每秒读请求次数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 62 rds_innodb_buffer_pool_write_requests_rate innodb_buffer_pool每秒写请求次数 该指标用于统计innodb_buffer_pool每秒写请求次数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 63 rds_innodb_lock_waits 等待行锁事务数 该指标用于统计当前等待行锁的Innodb事务数，以个为单位。 ≥ 0 counts RDS for MariaDB实例 1分钟 64 rds_innodb_log_waits_count 日志等待次数 该指标用于统计日志等待次数，以个为单位。 ≥ 0 counts RDS for MariaDB实例 1分钟 65 rds_innodb_log_waits_rate 因log buffer不足导致等待flush到磁盘次数 该指标用于统计因log buffer不足导致等待flush到磁盘次数，以次/秒为单位。 ≥ 0 counts/s RDS for MariaDB实例 1分钟 66 rds_innodb_os_log_written_rate 平均每秒写入redo log的大小 该指标用于统计平均每秒写入redo log的大小，以字节/秒为单位。 ≥ 0 bytes/s RDS for MariaDB实例 1分钟 67 rds_innodb_pages_read_rate innodb平均每秒读取的数据量 该指标用于统计innodb平均每秒读取的数据量，以页/秒为单位。 ≥ 0 Pages/s RDS for MariaDB实例 1分钟 68 rds_innodb_pages_written_rate innodb平均每秒写入的数据量 该指标用于统计innodb平均每秒写入的数据量，以页/秒为单位。 ≥ 0 Pages/s RDS for MariaDB实例 1分钟 69 rds_innodb_row_lock_current_waits 当前行锁等待数 该指标用于统计innodb当前行锁等待数，以个为单位。 ≥ 0 counts RDS for MariaDB实例 1分钟 70 rds_innodb_row_lock_time_avg 行锁平均等待时间 该指标用于统计行锁平均等待时间，以毫秒为单位。 ≥ 0 ms RDS for MariaDB实例 1分钟 71 rds_wait_thread_count 等待线程数 该指标用于统计等待线程数量，以个为单位。 ≥ 0 counts RDS for MariaDB实例 1分钟

约束限制 恢复中的实例，不可进行该操作。 只能在主库进行数据库管理，比如授权、创建账号等操作。 数据库管理功能目前仅支持MySQL引擎。 使用SQL语句创建数据库时，建议使用要授权的用户登录后再进行数据库创建。 目前不支持创建同名数据库。 数据库创建完成后不支持修改库名。 除RDS界面和API以外的其他方式创建的数据库和账号，也会展示在RDS界面。如果创建的数据库名和账号名不满足数据库命名规则和帐号命名规则，例如包含中文或不支持的特殊字符，那么该数据库和账号不支持RDS界面或API的数据库管理和账号管理功能。 如果源库的数据库名和账号名不满足数据库命名规则和帐号命名规则，迁移到目标库RDS for MySQL后，该数据库和账号不支持RDS界面或API的数据库管理和账号管理功能。

计费说明 表1 计费说明 计费模式 变更操作 对费用的影响 包年/包月 规格升配 升配后，新规格将在原来已有的时间周期内生效。 您需要按照与原规格的价格差，结合使用周期内的剩余时间，补交差价。 例如：（以下价格仅作示例，实际价格以控制台显示为准） 客户于2023/6/1在华北-北京四购买规格为通用型 2vCPUs 8GB的RDS for PostgreSQL 14单机实例，SSD云盘存储，存储空间40GB，购买周期为一个月。此时实例价格为230元/月。 客户在2023/6/15将规格变更为通用型 4vCPUs 8GB，实例价格为400元/月。 升配费用 = 新规格价格 x 剩余周期 - 旧规格价格 x 剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。 本示例中，剩余周期=15（6月份剩余未使用天数）/ 30（6月份最大天数）= 0.5，代入公式可得升配费用 = 400 x 0.5 - 230 x 0.5 = 85元 规格降配 降配后，新规格将在原来已有的时间周期内生效。 RDS按照与原规格的价格差，结合使用周期内的剩余时间，退回差价。 例如：（以下价格仅作示例，实际价格以控制台显示为准） 客户于2023/6/1在华北-北京四购买规格为通用型 2vCPUs 8GB的RDS for PostgreSQL 14单机实例，SSD云盘存储，存储空间40GB，购买周期为一个月。此时实例价格为230元/月。 客户在2023/6/15将规格变更为通用型 2vCPUs 4GB，实例价格为196元/月。 退回费用 = 旧规格价格 x 剩余周期 - 新规格价格 x 剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。 本示例中，剩余周期=15（6月份剩余未使用天数）/ 30（6月份最大天数）= 0.5，代入公式可得退回费用 = 230 x 0.5 - 196 x 0.5 = 17元 按需计费 规格升配 变更规格成功后，新规格按小时计费。具体请参见产品价格详情。 规格降配

约束限制 账户余额大于等于0元，才可变更规格。 实例处于正常状态，可以变更规格。 容灾实例不允许变更规格。 当实例进行CPU/内存规格变更时，该实例不可被删除。 RDS for PostgreSQL支持规格升配，也支持降配。 如果主实例下存在只读实例，主实例规格变更时，所选变更规格需要小于等于只读实例的规格；同样只读实例规格变更时，所选规格需要大于等于主实例当前的规格。 只读实例如需规格变更到小于主实例当前的规格时，请联系客服处理。 规格变更后，部分参数会自动更新为新规格的默认值（max_connections、max_worker_processes、max_wal_senders、max_prepared_transactions、max_locks_per_transaction）。 修改CPU/内存后，将会重启数据库实例。请选择业务低峰期，避免业务异常中断。重启后实例会自动释放内存中的缓存，请在业务低峰期变更规格，避免对高峰期业务造成影响。 关于变更规格所需的时间（非业务高峰期）： 此过程需要5～15分钟。 变更规格时的业务中断只在主备切换期间产生，可能会造成几分钟的服务闪断（闪断时间与复制时延和临时文件数量有关）。 超过变更时长，请及时联系华为云客服。

相关参数说明 RDS for PostgreSQL实例变更成功后，系统将根据新内存大小，调整如下参数的值： shared_buffers max_connections maintenance_work_mem effective_cache_size 其中，RDS for PostgreSQL 11及以上版本，调整的参数除上述参数外，还会调整如下参数的值： max_prepared_transactions max_wal_size work_mem

排查及解决方法 查询数据库、表、WAL日志等大小的SQL会占用较多的磁盘IO，请在业务低峰期运行。 查看WAL日志大小是否异常并进行处理 查看wal日志大小 可以通过rds040_transaction_logs_usage监控指标或者以下SQL查看WAL日志大小，如果发现WAL非常多，可以通过后续步骤依次排查。 select round(sum(size)/1024/1024/1024,2) "GB" from pg_ls_waldir(); RDS for PostgreSQL 12之后的版本才有pg_ls_waldir() 函数。 需要root用户执行pg_ls_waldir函数。 查看WAL日志保留相关参数 对于RDS for PostgreSQL 12及以下版本，查看“wal_keep_segments”参数（单位MB）的值；对于12以上版本，查看“wal_keep_size”参数（单位为MB）。 WAL日志保留参数的值不宜太大，一般设置要小于磁盘总空间的10%；也不宜太小，一般要大于4GB，否则容易导致主库将备库需要的wal日志清理，进而导致备库异常。 查看复制槽状态，及延迟未清理的日志大小 复制槽会阻塞WAL的回收，如果发现非活动的复制槽或者不需要的复制槽，可以根据需要进行删除。 查询slot状态、WAL日志滞后量的SQL： select slot_name, active, pg_size_pretty(pg_wal_lsn_diff(b, a.restart_lsn)) as slot_latency from pg_replication_slots as a, pg_current_wal_lsn() as b; 删除slot命令的SQL： select pg_drop_replication_slot('slot_name'); 查看写业务繁忙程度 可以通过rds044_transaction_logs_generations指标查看写业务繁忙程度，该指标表示平均每秒生成的事务日志（WAL日志）大小。 如果该指标较大，说明写业务较多，数据库内核会自动预留更多的WAL日志以便回收使用，WAL日志占用的磁盘空间会增加，建议通过磁盘扩容保证一定的磁盘冗余。 查看数据文件大小否异常并进行处理 查询磁盘占用前10的数据库 select datname, pg_database_size(oid)/1024/1024 as dbsize_mb from pg_database order by dbsize_mb desc limit 10; 查看磁盘占用前10的对象（表/索引） 可以通过pg_class的“relpages”字段估算表或者索引的大小，SQL如下： select relname, relpages*8/1024 as tablesize_mb from pg_class order by tablesize_mb desc limit 10; 如果要获取表或者索引的精确大小，需要通过以下函数获取： 表1 函数说明 名称 返回类型 描述 pg_relation_size(relation regclass, fork text) bigint 指定表或索引的指定分叉（'main'、'fsm'、'vm'或'init'）使用的磁盘空间。 pg_relation_size(relation regclass) bigint pg_relation_size(..., 'main')的简写。 pg_table_size(regclass) bigint 被指定表使用的磁盘空间，排除索引（但包括 TOAST、空闲空间映射和可见性映射）。 pg_total_relation_size(regclass) bigint 指定表所用的总磁盘空间，包括所有的索引和TOAST数据。 查看表是否发生了膨胀 一旦确认了占用磁盘较多的表后，可以通过pgstattuple插件分析表是否发生了膨胀，插件可以通过如下方式安装： create control_extension('create', 'pgstattuple'); select * from pgstattuple('table_name'); 部分内核版本不支持pgstattuple插件，详见支持的插件列表。 插件使用参考：https://www.postgresql.org/docs/15/pgstattuple.html 清理表数据 如果发现是表膨胀，可以选择在维护时间窗内对表的磁盘占用整理。 vacuum full会锁表，请确保操作期间没有DML等操作。 vacuum full table_name; 如果发现不需要的表或数据，可以通过truncate table或是drop table清理掉不需要的数据。 truncate table table_name; 如果无法通过drop或truncate删除表中的所有数据，而是希望通过删除部分表数据来释放磁盘空间，需要注意，由于PostgreSQL的MVCC机制，delete操作不会释放磁盘空间（被delete的数据被标记为不可见），需要结合vauum full（会锁表）才能真正释放空间。 另外，如果需要保留的数据相对较少，也可以新建一张表转移需要保留的数据，参考步骤： 保存原表的结构、索引等信息。 创建新表。 向新表插入数据。 检查新表的数据是否符合预期，符合则进行下一步，否则检查前面操作是否有异常。 删除原表。 将新表重命名、创建索引等。 vacuum full（会锁表）会对表及其索引进行重建，重建期间还会生成WAL日志，需要预留足够的磁盘空间（假设重建后的表大小为1GB，索引为0.5GB，建议预留2.5GB以上的磁盘空间）。 vacuum介绍：https://www.postgresql.org/docs/current/routine-vacuuming.html 查看临时文件大小是否异常并进行处理 如果总的磁盘占用减去数据文件和WAL日志还有较大的剩余，那么可能是临时文件占用较多的磁盘空间。查看临时文件大小的SQL如下： select round(sum(size)/1024/1024/1024,2) "GB" from pg_ls_tmpdir(); RDS for PostgreSQL 12之后的版本才有pg_ls_waldir() 函数。 需要root用户执行pg_ls_waldir函数。 当临时文件非常多时，该SQL执行会非常缓慢。 一般来说，临时文件会在复杂SQL执行完成后释放，但如果生过OOM等异常，可能会导致临时文件不能正常释放。当发现临时文件非常多时，一方面需要分析并优化慢SQL，减少临时文件的产生，另一方面需要在维护时间窗内对数据库进行重启，重启数据库可以清除所有的临时文件。

指标异常说明 生产数据库的磁盘要有一定的冗余，一旦磁盘使用率过高要及时处理，防止出现磁盘满导致数据库损坏等问题。 数据库提供了多项体现磁盘使用的监控指标，建议重点关注以下指标： 磁盘利用率：rds039_disk_util 磁盘总大小：rds047_disk_total_size 磁盘使用量：rds048_disk_used_size 事务日志（WAL日志）使用量：rds040_transaction_logs_usage 最滞后副本滞后量（因复制槽积压的WAL日志）：rds045_oldest_replication_slot_lag

开通服务 安全分支解决方案由云管理网络和一系列安全服务组成。如果成功购买了云管理网络套餐和安全服务套餐，需要先激活套餐，才能正常使用各服务功能。 服务的开通步骤具体请参见表 服务套餐开通。 表1 服务套餐开通 开通服务 套餐描述 开通步骤参考 云管理网络 支持试用套餐开通 支持云管理网络商用套餐开通 支持CloudCampus产品套餐开通 参见云管理网络的《服务开通》。 边界防护与响应服务 支持试用套餐开通 支持商用套餐开通（线下） 参见边界防护与响应服务的《服务开通》。 威胁信息服务 支持试用套餐开通 支持商用套餐开通（线下） 参见威胁信息服务的《服务开通》。 终端防护与响应服务 支持试用套餐开通 支持商用套餐开通（线下） 参见终端防护与响应服务的《服务开通》。 云日志 审计服务 支持试用套餐开通 支持商用套餐开通（线下） 参见云日志审计服务的《服务开通》。 父主题： 部署指南

客户价值 华为乾坤安全分支解决方案是专为企业客户打造的网安融合方案，不仅帮助企业业务快速上线，还提供丰富的故障诊断和巡检工具，同时提供主动防御能力，切实提升分支安全防护实效。 分支按需互联，全网统一管控 为用户提供基本的广域互联能力，支持总部、分支、公有云业务灵活连接、轻松互访。 提供分支/园区网络统一管理和监控能力，设备状态可视可管，Wi-Fi、局域网和广域网间支持设置统一的安全策略。 极简部署，智能运维 设备支持多种即插即用方式开局，适应不同的网络场景，网络策略一键下发，大幅降低网络部署难度，缩短业务上线周期。 出口网关和智能防火墙ALL-in-One，实现网安融合，并提供“小行星”组网，网络架构三层变两层，简化用户组网，减少运维复杂度。 用户接入过程全旅程可视，故障可实时回溯，接入问题分钟级定位，多维度评估Wi-Fi网络质量，主动优化网络和用户漫游体验。 零信任准入控制 提供多种准入认证方式，可灵活进行认证策略和授权策略配置，对准入权限进行精细化控制，保障网络接入安全。 终端智能识别和检测，避免仿冒或私接终端，联合安全态势，可以对失陷终端快速隔离。 分支安全实时防护 分支网络边界部署安全设备（防火墙），提供入侵防御、反病毒能力，云端自动威胁处置，一处检出全局免疫。 分支终端部署EDR Agent软件，快速封禁中毒终端，阻断横移，减少损失。 关键应用保障 基于首包识别和业务感知技术能快速识别应用，支持通过自定义应用规则识别特殊应用。 基于TCP FPM（TCP Flow Performance Measurement，TCP流性能测量）、IP FPM（IP Flow Performance Measurement，IP流性能测量）等技术进行应用质量和链路质量检测，基于应用质量、带宽利用率、应用优先级等进行智能选路，保障关键应用业务体验。 支持双发选收、智能A-FEC，可以保障实时视频不卡顿，提供极致的用户体验。 父主题： 方案概述

方案简介 华为乾坤安全分支解决方案融合了云管理网络和边界防护与响应、威胁信息、终端防护与响应、云日志审计等服务，是一套面向企业WAN、LAN、WLAN以及安全的全方位网络管理方案，并以SaaS云服务形式提供给用户，为企业降低了运维复杂度、节省管理成本、确保端到端安全。 华为乾坤安全分支解决方案打造了一站式、可体验的网安融合方案，帮助企业实现了多分支统一管理和安全防护的愿景。方案的主要亮点如下： 全网统一管控：提供多分支统一网络管理、监控、运维和报表服务。 极简组网架构：出口网关和智能防火墙ALL-in-One，网安融合减少运维复杂度；分支内提供“小行星”组网，网络架构三层变两层，引流绿色低碳分支网络。 Wi-Fi智能调优：Wi-Fi场景化识别和调优，智能漫游，保障关键用户和应用体验。 零信任准入控制：精细化的权限控制；终端智能识别，防仿冒防私接；安全态势联动，快速隔离失陷终端。 分支安全实时防护：使能边界安全防护，安全风险时网络实时阻断、精准溯源；在线 漏洞扫描 ，精准地识别潜在漏洞；联动网络快速封禁中毒终端，阻断横移，减少损失。 SD-WAN应用保障：基于链路质量、带宽利用率、应用级别智能选路；双发选收、智能A-FEC，保障实时视频不卡顿；支持报文压缩去重，节省用户开支。 父主题： 方案概述

关键特性 表1 华为乾坤安全分支解决方案关键特性 特性类型 特性名称 简介 云管理网络 站点管理 支持按站点管理网络，可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备（交换机、AP、AR、WAC）、安全设备（防火墙）。 准入认证 提供了802.1X、Portal、MAC等多种认证方式，可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN，通过在站点之间建立IPsec隧道来创建VPN通道，实现分支与分支、分支与总部、分支与云之间的业务互访。 SD-WAN 提供一种动态VPN，可按需在站点间建立隧道，动态发布路由。通过站点间建立GRE隧道来创建VPN通道，同时支持在GRE隧道上进行IPsec加密，实现分支与分支、分支与总部、分支与云之间的业务安全互访。 支持基于应用、策略选择质量较优的链路发送数据，实现基于应用、策略的智能选路。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监控，保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。 边界防护与响应服务 本地网络边界防护 天关/防火墙部署在租户网络边界，通过入侵防御、反病毒、DNS过滤等技术守护本地安全，可以执行以下防护动作： 对流量进行入侵防御检测，全方位防御各种威胁行为。 对流量进行反病毒处理，有效避免病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生。 对流量进行DNS过滤，全面控制域名访问。 租户数据安全处理 数据授权：在用户授权前提下，本地天关/防火墙仅提供用户授权范围内的数据。 加密传输：本地天关/防火墙采用HTTPS或TLS协议将日志提供到云服务平台。 加密保存：使用华为公司密钥管理中心（KMC）加密组件对数据进行加密，加密后存储在云端。 处理原则：仅供云服务平台运营专家进行威胁分析和溯源。 信息隔离：每个用户都有自己的服务账号，基于账号接收分析报表和短信，不同用户间信息隔离。 自动化分析 云端基于分析模型对威胁事件进行分析判定，并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力和安全专家简化本地运维，提升防护实效。 自动化分析以后，可以有如下几种处置方式： 事件命中误报模型，则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上，安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作： 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力，快速准确识别复杂威胁： 现网对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、云端智能签名生产，快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。 终端防护与响应服务 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测 与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（Endpoint Detection and Response，端点侦测与回归）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。 威胁信息服务 威胁信息检索 支持全球恶意IP、恶意域名、恶意文件、漏洞信息等威胁信息的快速检索，数据详情包括但不限于威胁类型、风险级别、置信度、场景信息、地理位置、关联历史事件、关联恶意威胁信息、相关文章等信息。 安全研究 定期发布情报周报、情报预警、热点情报等文章，帮助用户了解近期关键安全事件。 高性能威胁信息查询接口 提供高性能的全球恶意IP、恶意域名、恶意文件、漏洞信息、URL分类等威胁信息的查询接口，辅助自动化分析人员进行分析取证及处置，提升运维效率。 重保威胁信息 在重保服务期间通过AI算法分析全网历史攻击行为及攻击方法，精准识别攻击方地址，实时共享历史重保专项威胁信息，有效提升信息的精准度。 云日志审计服务 日志接收/解析/存储/查询 支持接收不同类型资产（如服务器/终端、网络设备、安全设备、业务系统等）所产生的日志，将日志留存在云端，实现日志的集中管理和存储。 支持解析多种格式及多种来源的日志，将其标准化。 支持日志审计留存在云端，支持180天的日志留存时长。 支持用户按需实时查询日志信息，查询条件包含时间、日志级别、日志类型、资产名称、源/目的IP地址和端口等。 审计资产管理 支持增加多种类型的资产，如服务器、终端设备、网络设备、安全设备等，并对资产的等级进行标识，为用户判断是否需要进行日志审计提供参考信息。 支持灵活管理需要审计的资产。 日志审计统计 数据可视化 支持查看当前所有日志数量以及各日志级别的日志数量。 支持按时间段查看日志容量使用趋势和日志数量趋势，如近7天、近一个月。 支持查看当前审计的资产数量及类型。 支持查看每天上报日志最多的TOP10资产。 父主题： 方案概述

配置天关或防火墙上线 华为乾坤防勒索解决方案需要在客户侧部署天关或防火墙才能正常使用。本方案配套的天关/防火墙的型号及上线指导，如表1所示。具体操作请参见《天关和防火墙上线指南》。 表1 天关或防火墙的型号 设备类型 设备型号 USG6000E-C天关 USG63xxE-C：USG6301E-C/6302E-C/6303E-C USG65xxE-C：USG6501E-C/USG6502E-C/USG6503E-C USG6000F-C天关 USG6603F-C、USG6606F-C USG6000E防火墙 防火墙USG61xxE：USG6106E 防火墙USG63xxE：USG6305E/USG6306E/USG6308E/USG6309E/USG6312E/USG6315E/USG6322E/USG6325E/USG6332E/USG6335E/USG6350E/USG6355E/USG6365E/USG6385E/USG6395E 防火墙USG6303E：USG6303E 防火墙USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E 防火墙USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K 防火墙USG63xxE-B：USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B 防火墙USG6xxxE-Exx：USG6000E-E03/USG6000E-E07 防火墙USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K 防火墙USG67xxE：USG6712E/USG6716E USG6000F防火墙 防火墙USG65xxF： USG6525F/USG6555F/USG6565F/USG6585F/USG6585F-B/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 防火墙USG6000F-Exx：USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 父主题： 部署指南

关键特性 表1 华为乾坤安全办公园区解决方案关键特性 特性类型 特性名称 简介 云管理网络 站点管理 支持按站点管理网络，可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备（交换机、AP、AR、WAC）、安全设备（防火墙）。 准入认证 提供了802.1X、Portal、MAC等多种认证方式，可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN，通过在站点之间建立IPsec隧道来创建VPN通道，实现分支与分支、分支与总部、分支与云之间的业务互访。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监控，保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。 终端防护与响应服务 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（Endpoint Detection and Response，端点侦测与回归）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。 父主题： 方案概述

原始影像 表1 输入原始影像的约束与限制 服务 约束与限制内容 卫星影像生产服务 输入影像需为L1级影像（也叫传感器校正影像、标准景影像），且影像不含子线阵拼接错位、波段配准错位、内部成像畸变等严重缺陷。 当L1级影像成像倾斜角＞15°时（如：高程起伏明显的峭壁、海岛等区域），成果影像接边误差或略低于对应层级产品精度标称值。 影像文件格式需为.tif（或.tiff）格式，影像有配套模型参数文件（RPC文件）、元数据文件（xml文件）。 当前仅支持多光谱影像，或全色与多光谱配对影像。其中多光谱影像应为3波段或4波段。 输入影像需为8比特 ~ 16比特。 输入影像含云量需低于10%。 实景三维生产服务 输入影像为由无人机或航空飞机采集的框幅式影像，采集方式为倾斜摄影（非贴近或绕拍方式），影像格式需为.jpg、.jpeg、.JPG或.JPEG格式，单张影像的像素总数不超过2.5亿，总影像张数建议不超过30万张。 影像EXIF信息中需包含GPS坐标，坐标信息为WGS84地理坐标系下的经纬度坐标。 影像的重叠度、倾角、旋角、摄区边界符合航摄设计要求，同一摄区内影像采用相同的焦距。 影像成像清晰，色彩层次丰富，色差适中，无明显噪声、条纹、积雪、云、云影、烟、反光、尊卷、阴影等缺陷。 为取得更好的三维模型质量，建议影像地面采样距离（GSD）优于3cm。 AR地图生产服务 针对全景建图： 输入数据为Insta360 ONE R全景相机（30fps，5.7k）采集的全景视频，视频格式为.insv，单个视频的采集时间不超过15分钟。 视频文件中需包含GPS坐标信息，坐标信息为WGS84地理坐标系下的经纬度坐标。 视频成像清晰，色彩层次丰富，色差适中，应在室外白天光线充足或室内灯光明亮的环境下采集，无雨雪风暴沙尘等天气，避免在有大量游客及行人的状态下采集；室内场景要求纹理丰富，避免存在仅能观测到白墙或玻璃的区域，避免动态展板播放视频或滚动图片等变化场景；室外场景避免大量积水和建筑物被树木大面积遮挡的场景。 建议平行规划多条采集路线，室内间隔1米，室外间隔2米。使用市面上现有主流地图软件的划线测距功能，提前规划好采集轨迹并记录实际的采集路线。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

审计与日志 云审计 服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录KooMap的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪KooMap管理事件和数据事件列表，请参见支持审计日志的关键操作和如何查看审计日志。 父主题： 安全

与其他服务的关系 表1 KooMap服务与其他服务的依赖关系 服务名称 KooMap服务与其他服务的关系 主要交互功能 对象存储服务 （Object Storage Service，OBS） 原始影像数据（卫星影像、倾斜摄影影像）均通过对象存储服务的OBS桶来存储，KooMap从OBS加载原始影像及其相关数据完成卫星影像生产服务、实景三维生产服务。 导入原始影像数据（卫星影像、倾斜摄影影像）/矢量数据至KooMap。 （适用于卫星影像生产服务）迁移成果影像/矢量数据至OBS。

应用场景 KooMap卫星影像生产服务、实景三维生产服务面向城市/生态监测、普查及行业应用解译的相关企业或单位提供影像处理/三维生产能力；KooMap AR地图生产和AR地图运行服务面向文旅文博、商圈、展厅等行业提供视觉定位和AR导航能力。 表1 应用场景 应用场景 场景描述 KooMap提供服务 城市监测 通过使用卫星影像综合分析城市的土地利用情况等时空变化特征，为城市规划建设提供数据支持和决策支撑 。 兼顾平面及高程约束的高精度正射纠正算法，可实现2像素内的接边误差，确保输出符合业务需求的高精度影像。 生态监测 生态环境监测是生态环境保护的基础，是生态文明建设的重要支撑，需要覆盖农、林、草、河、湖等各类型自然资源，并及时发现问题与风险，为生态系统保护修复提供数据支持和决策支撑。 突破卫星影像多项关键技术，如多模态控制点自动提取、稀疏稳健连接点匹配和大规模分布式平差技术，可实现几何接边误差小于2像素，达成高精几何一致性处理。 应急保障 洪涝灾害、山体滑坡等场景监测、仿真，辅助应急管理相关部门快速决策。 分布式计算平台、高性能弹性扩容，应对紧急计算需求，实现当日快速出图。 车道级导航地图 高精度还原真实道路场景，让车辆行驶定位到车道级，提升驾乘效率和安全性。 提供突破云层检测、高保真影像融合、全局色彩一致、镶嵌线智能选址服务。成果影像含云量低于5%，无人眼可感知的拼接痕迹。 专业卫星遥感数据处理场景 高分中心、各测绘局/测绘院、卫星运营商等专业机构，处理海量卫星影像数据。 提供在线全自动分布式影像处理服务，大幅提升卫星影像的生产效率，帮助客户节省管理和维护成本。 文旅文博 文旅景区、不可移动文物等室外场景的数字化信息展示；文化遗产的现代化监测与保护。 景区、展厅等场景的AR导航导览、AR地标打卡等。 通过实景三维技术，高保真还原复杂实景的真实全貌，对文旅景区、建筑群、不可移动文物等进行三维数字化的存档与展示。进一步结合现代化监测手段，对文化遗产进行监测和分析。提高文旅景区管理与文物保护工作的管理效率和应急水平，为文旅展示与文物保护提供有力的理论和技术支撑。 为场景路线引导提供厘米级高精度视觉定位和AR导航能力。 商圈 商品、展品等内容的数字化信息展示、推荐；园区、商场、停车场等场景的AR导航导览、AR导航寻车、AR地标打卡等。 提供厘米级高精度视觉定位和AR导航能力，连接虚实世界，赋能行业探索数字空间经营的商业模式。 自然资源监管 构建数据统一、业务完整的自然资源监管体系，实现自然资源全要素、全方位监管。 打造一体化自然资源监测体系，实景三维技术融合多源数据，建立立体化监测手段，提高自然资源综合监管效率。 矿山监管 整合矿山业务多源异构数据，对矿区信息进行可视化表达，实现矿产资源一体化管理。 通过模型构筑、数据实测、对比分析等方式，构建矿山综合监管体系，加强协同监管和动态监测，实现矿产资源智慧化监管。 城市管理 加强城市建设情况核查与监管，提高管理效率。 构建城市实景模型，为城市设计与规划提供更直观的方案浏览与对比，为城市管理与决策提供更准确的技术支持，增强城市管理服务能力、提升城市管理精细化水平。

身份认证与访问控制 身份认证：KooMap提供的身份认证可以分为控制台和云服务两个层面： 控制台层面：您可以使用华为云用户名与密码登录，实现用户的认证与鉴权，未授权的不能访问。 云服务层面：您可通过开放的API网关，实现卫星影像生产服务、实景三维生产服务、AR地图运行服务的访问和集成，具体操作和描述请参考KooMap服务的《API参考》。KooMap提供如下两种认证方式进行认证鉴权。 Token认证：适用于卫星影像生产服务、AR地图运行服务以及实景三维生产服务，指通过Token认证通用请求。关于Token的详细介绍及获取方式，请参见获取IAM用户Token（使用密码）。 AK/SK认证：适用于AR地图运行服务，指通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。关于访问密钥的详细介绍及获取方式，请参见访问密钥。 访问控制：KooMap支持通过权限管理（IAM权限）实现访问控制，请参见权限管理。 父主题： 安全