section469406ac4df2a1b8)”。 云硬盘备份接口对应权限表 如下是云硬盘备份服务相关权限三元组及生效范围： 控制台接口 权限三元组 配置支持 控制台接口 权限三元组 IAM（资源池/全局） 企业项目（资源组） 创建存储库 vbs:repository:create √ √ 创建存储库 vbs:backupStrategy:list √ √ 创建存储库 evs:volumes:list √ √ 续订/批量 vbs:repository:create √ √ 扩容/批量 vbs:repository:update √ √ 退订/批量 vbs:repository:delete √ √ 创建备份 vbs:backup:create √ √ 创建备份 vbs:backupStrategy:list √ √ 创建备份 evs:volumes:list √ √ 存储库列表 vbs:repository:list √ √ 存储库详情 vbs:repository:get √ √ 存储库详情 vbs:backupStrategy:list √ √ 存储库详情 vbs:backup:list √ √ 编辑存储库 vbs:repository:set √ √ 绑定备份策略 vbs:backupStrategy:binding √ √ 绑定备份策略 vbs:repository:list √ √ 绑定备份策略 vbs:backupStrategy:list √ √ 备份副本列表 vbs:backup:list √ √ 恢复数据 vbs:backup:restore √ √ 删除/批量删除 vbs:backup:delete √ √ 创建备份策略 vbs:backupStrategy:create √ √ 修改策略 vbs:backupStrategy:set √ √ 启用策略 vbs:backupStrategy:enable √ √ 停用策略 vbs:backupStrategy:pause √ √ 绑定存储库 vbs:backupStrategy:binding √ √ 绑定存储库 vbs:repository:list √ √ 绑定存储库 vbs:backupStrategy:list √ √ 解绑存储库 vbs:backupStrategy:unbinding √ √ 立即备份 vbs:backup:create √ √ 删除策略/批量删除 vbs:backupStrategy:delete √ √ 备份策略列表 vbs:backupStrategy:list √ √ 备份策略详情 vbs:backupStrategy:get √ √ 备份策略详情 evs:volumes:list √ √ 备份策略详情 vbs:repository:list √ √ 绑定云硬盘 vbs:backupStrategy:binding √ √ 绑定云硬盘 evs:volumes:list √ √ 解绑云硬盘 vbs:backupStrategy:unbinding √ √ 解绑云硬盘 evs:volumes:list √ √ 创建新盘 evs:volumes:create √ √ 任务列表 vbs:backupTask:list √ √ 任务列表备份任务取消 vbs:backupTask:stop √ √ 天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。

本文介绍UDFScript脚本的定义、使用方式、典型应用场景。 UDFScript定义 用户自定义脚本（User Defined Script，简称UDFScript）是一个可供客户快速实现CDN加速定制化配置的工具箱，当CDN加速控制台上的标准配置无法满足客户的业务需求时，可以使用UDFScript通过简单地编程实现定制化业务需求。如下为UDFScript架构图。 请求处理流程对比说明 常规请求处理过程： 1. 网关收到客户端请求时，执行控制台标准化配置对请求进行处理。 2. 网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 3. 缓存组件返回响应内容，网关响应给客户端。 使用UDFScript后的请求处理过程： 1. 网关收到客户端请求时，执行业务脚本，对用户的请求进行业务处理。 2. 网关处理完业务脚本的业务逻辑后，继续处理控制台标准化的配置。 3. 网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 4. 缓存组件返回响应内容，网关响应给客户端。 UDFScript组成说明 UDFScript由全局字典、全局task脚本、业务脚本三部分组成： 全局字典用来定义一块共享内存区域，全局task脚本或业务脚本可以从全局字典中读取数据，也可以把结果保存到全局字典中。 全局task脚本用于定义后台周期性任务（非客户端请求触发），比如周期性同步远端配置数据到本地全局字典中。 业务脚本可以快速自定义控制台未支持的功能，例如定制化鉴权、请求头改写等。 您可以仅使用业务脚本实现简单的自定义功能，也可以把全局字典、全局task脚本、业务脚本三个结合起来使用，自定义更强大的功能。 变量信息，详情请见：UDFScript变量说明。 函数信息，详情请见：UDFScript函数说明。

本页介绍了文档数据库服务常用调整参数以优化性能的示例。 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。列举了部分重要参数说明。 如需通过控制台界面修改参数值，请参见参数组管理。 connPoolMaxConnsPerHost 作用：设置每个主机的最大连接数。适当增加连接池的大小可以提高并发处理能力。 默认值：600 cursorTimeoutMillis 作用：设置游标的超时时间，可以根据查询模式和数据访问模式调整，以避免游标过期导致查询中断。 默认值：600000 failIndexKeyTooLong 作用：控制索引键过长时是否拒绝创建索引。如果索引键超过16MB的限制，可以设置为false，允许创建超过限制的索引。 默认值：true operationProfiling.mode 作用：启用操作性能分析，并设置其模式，以收集慢查询和所有查询的性能信息。 默认值：slowOp storage.engine 作用：选择MongoDB的存储引擎，可以选择WiredTiger或MMAPv1。WiredTiger通常在性能和存储方面更优越。 默认值：wiredTiger storage.journal.enabled 作用：启用或禁用日志记录，如果对性能要求较高，可以考虑禁用日志记录。 默认值：true storage.syncPeriodSecs 作用 ：设置数据同步到磁盘的间隔时间。较小的值可以增加数据的耐久性，但可能影响写入性能。 storage.wiredTiger.engineConfig.directoryForIndexes 作用：设置WiredTiger引擎的索引目录，可以优化索引性能。 wiredTigerConcurrentWriteTransactions 作用：设置并发写事务的数量，以提高并发性能。 默认值：128 wiredTigerConcurrentReadTransactions 作用：设置并发读事务的数量，以提高并发性能。 默认值：128 operationProfiling.slowOpThresholdMs 作用：设置慢查询的时间阈值，超过该时间的查询将被记录下来，以便性能分析和优化。 默认值：100 storage.wiredTiger.engineConfig.cacheSizeGB 作用：设置WiredTiger缓存的大小，以充分利用内存资源提高查询性能。 注意 在进行参数调优时，需要根据应用程序的实际情况和需求来选择适当的参数值。对于每个参数的影响和最佳设置，需要在测试环境中进行实验和性能测试，以便确定最适合你的环境和应用程序的配置。另外，文档数据库服务的版本和部署架构也会影响参数的选择和调整。建议在进行参数调优时仔细阅读官方文档和最佳实践指南。

本文介绍分布式缓存服务Redis版与原生RedisCluster区别 分布式缓存是一种兼容Redis协议的NoSQL内存数据库产品，具备高性能、高可用、可水平扩展的特性，支持分库、分表的内存管理，并提供了容灾、恢复、监控、迁移等能力，分布式缓存服务Redis实例在内核性能方面进行大量优化，包含但不限如下： 主从数据高可靠，主从数据采用半同步机制解决了原生集群因异步同步问题而产生数据丢失问题。 集群高可用，节点自愈，故障自动恢复。主机宕机后从节点秒级切换自动接管业务。 乐观锁机制，实现乐观锁事务，支持高性能的并发修改。 容灾速度更快，不会产生Gossip广播风暴问题。 简单易用，自研java客户端，自带软负载均衡，实现多种负载策略，降低架构复杂度，节约部署成本 自研快照+流水的内存备份技术减少磁盘写入量、控制IO流量，实现平滑备份、降低性能损耗 多维度的监控指标，包括时耗、错误率、流量等

本章节主要介绍翼MapReduce的管理全局用户策略操作。 操作场景 如果租户配置使用Superior调度器，那么系统可以控制具体用户使用资源调度器的行为，包含： 最大运行任务数 最大挂起任务数 默认队列 操作步骤 添加策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 说明 defaults(default setting)表示如果一个用户未配置全局用户策略，则默认使用defaults所指定的策略。该策略不可删除。 4. 单击“添加全局用户策略”，在弹出窗口中填写以下参数。 集群：选择需要操作的集群。 用户名：表示需要控制资源调度的用户，请输入当前集群中已存在用户的名称。 最大运行任务数：表示该用户在当前集群中能运行的最大任务数量。 最大挂起任务数：表示该用户在当前集群中能挂起的最大任务数量。 默认队列：表示用户的队列，请输入当前集群中已存在队列的名称。 修改策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 4. 在指定用户策略所在行，单击“操作”列中的“修改”。 5. 调整相关参数后，单击“确定”。 删除策略 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“全局用户策略”页签。 4. 在指定用户策略所在行，单击“操作”列中的“删除”。 在弹出窗口单击“确定”。

本节主要介绍分布式消息服务Kafka的功能特性 消息收发 消息发送，支持指定分区发送、同步发送、异步发送、分区批量累积发送；支持身份认证，客户端连接Broker时使用SSL或SASL进行验证，数据传加密传输；支持ACL机制，提供客户端读、写权限认证。支持通过压缩算法实现消息体压缩，减少网络传输数据量，提高Kafka的消息发送吞吐量。 消息消费，支持指定Partition消费、指定分区的offset消费；采用poll方式，支持批量消费，支持广播消费。 消息有序性 针对消息有序的业务需求，分为全局有序和局部有序。 全局有序：一个Topic下的所有消息都需要按照生产顺序消费。 局部有序：一个Topic下的消息，只需要满足同一业务字段的要按照生产顺序消费。例如：Topic消息是订单的流水表，包含订单orderId，业务要求同一个orderId的消息需要按照生产顺序进行消费。 由于Kafka的一个Topic可以分为了多个Partition，Producer发送消息的时候，是分散在不同 Partition的。当Producer按顺序发消息给Broker，但进入Kafka之后，这些消息就不一定进到哪个Partition，会导致顺序是乱的。因此要满足全局有序，需要1个Topic只能对应1个Partition。 要满足局部有序，只需要在发消息的时候指定Partition Key，Kafka对其进行Hash计算，根据计算结果决定放入哪个Partition。这样Partition Key相同的消息会放在同一个Partition。此时，Partition的数量仍然可以设置多个，提升Topic的整体吞吐量。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程终止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程名称：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到终止进程动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务请求量、应用提供服务平均响应时间指标。 2、业务应用验证： 如果被终止的是一个由 systemd 管理的服务，执行 systemctl status [服务名]。服务的状态会显示为 inactive (dead) 或 failed，并可能看到其自动重启的记录。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程终止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程名称：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到终止进程动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务请求量、应用提供服务平均响应时间指标。 2、业务应用验证： 如果被终止的是一个由 systemd 管理的服务，执行 systemctl status [服务名]。服务的状态会显示为 inactive (dead) 或 failed，并可能看到其自动重启的记录。

无法备份索引？ 索引的备份是通过创建集群快照实现的。 遇到无法备份索引问题，请按照如下操作步骤排查解决。 排查集群的创建时间 1.登录云搜索服务管理控制台。 2.在左侧导航栏，单击“集群管理”。 3.在“集群管理”页面上集群列表中的“创建时间”列，查看待备份索引的集群的创建时间。 如果创建时间早于2018年3月10日，则创建该集群时备份与恢复索引功能尚未上线，当前无法为该集群备份索引。 如果创建时间晚于2018年3月10日，则需要排查当前登录所用的账号或IAM用户是否具有备份索引的权限，具体操作请参见下方 排查是否有权限。 排查是否有权限 1.登录统一身份认证服务管理控制台。 2.查看当前登录所用的账号或IAM用户所属的用户组。 具体操作请参见统一身份认证用户指南中有关查看和编辑用户信息的相关章节。 3.查看用户组的权限中是否包含：“全局服务”中“对象存储服务”项目的“OBS Administrator”权限、当前所属区域的“Elasticsearch Administrator”权限。 具体操作请参见统一身份认证用户指南中有关查看或修改用户组的相关章节。 如果用户组的权限中不包含以上两个权限，请执行步骤4。 如果用户组的权限中包含以上两个权限，请联系技术支持协助解决。 4.为用户组添加：“全局服务”中“对象存储服务”项目的“OBS Administrator”权限、当前所属区域的“Elasticsearch Administrator”权限。 具体操作请参见统一身份认证用户指南中有关查看或修改用户组的相关章节。

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

本文介绍UDFScript概念、原理、使用说明、资费说明及典型应用场景。 UDFScript介绍 用户自定义脚本（User Defined Script，简称UDFScript）是一个可供您快速实现全站加速定制化配置的工具箱，当全站加速控制台上的标准配置无法满足您的业务需求时，可以使用UDFScript通过简单的编程实现定制化业务需求。 使用UDFScript前的请求处理过程： 1. 网关收到客户端请求时，执行控制台标准化配置对请求进行处理。 2. 如果符合缓存规则，网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 3. 如果不符合缓存规则，则由网关处理后，请求回源。 4. 源站返回响应内容，网关响应给客户端。 使用UDFScript后的请求处理过程： 1. 网关收到客户端请求时，执行业务脚本，对用户的请求进行业务处理。 2. 网关处理完业务脚本的业务逻辑后，继续处理控制台标准化的配置。 3. 如果符合缓存规则，网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 4. 如果不符合缓存规则，则由网关处理后，请求回源。 5. 源站返回响应内容，网关响应给客户端。 使用说明 UDFScript由全局字典、全局task脚本、业务脚本三部分组成： 全局字典用来定义一块共享内存区域，全局task脚本可以从全局字典中读取数据，也可以把结果保存到全局字典中，业务脚本只能从全局字典读取数据。 全局task脚本用于定义后台周期性任务（非客户端请求触发），比如周期性同步远端配置数据到本地全局字典中。 业务脚本可以快速自定义控制台未支持的功能，例如定制化鉴权、请求头改写等。 您可以仅使用业务脚本实现简单的自定义功能，也可以把全局字典、全局task脚本、业务脚本三个结合起来使用，自定义更强大的功能。 变量信息，请参见UDFScript变量说明。 函数信息，请参见UDFScript函数说明。

update toids set city '测试' where city ! '测试'; UPDATE 0 teledb select xmin, from toids; xmin id name birth city ++++ 1182 1 张三 20001201 00:00:00 测试 1182 2 李四 19970324 00:00:00 测试 1148 3 王五 20040901 00:00:00 测试 1148 4 陈六 20220101 00:00:00 测试 上面的效果是一样的，但带条件的更新不会产生一个新的版本记录，不需要系统执行vacuum 回收垃圾数据。 4. 建议将单个事务的多条SQL操作，分解、拆分，或者不放在一个事务里，让每个事务的粒度尽可能小，尽量lock少的资源，避免lock 、dead lock的产生。 会话1 把所有数据都更新但不提交，锁住了所有数据 plaintext teledb begin; BEGIN teledb update toids set city 'city'; UPDATE 4 会话2 等待 plaintext teledb update toids set city 'session2'; 会话3 等待 plaintext teledb update toids set city 'session3'; 如果会话1分批更新的话，则会话2和会话3中就能部分提前完成，这样可以避免大量的锁等待和出现大量的session占用系统资源，在做全表更新时请使用这种方法来执行。 5. 建议大批量的数据入库时，使用copy，不建议使用insert，以提高写入速度。 6. 建议对报表类的或生成基础数据的查询，使用物化视图(MATERIALIZED VIEW)定期固化数据快照，避免对多表（尤其是读写频繁的表）重复跑相同的查询，且物化视图支持REFRESH MATERIALIZED VIEW CONCURRENTLY，支持并发更新。 plaintext teledb

策略名称 策略描述 类别 授权范围 lasadmin 日志审计（原生版）系统管理员策略。 系统策略 全局级 lasaudit 日志审计（原生版）审计管理员策略。 系统策略 全局级 lassecurity 日志审计（原生版）安全管理员策略。 系统策略 全局级 lasbusiness 日志审计（原生版）业务员策略，仅支持使用日志审计实例，不支持订单操作相关操作。 系统策略 全局级

本章节主要介绍RDSPostgreSQL实例使用规范。 实例可用性 建议开通产品实例时，充分考虑业务使用应用场景，保持实例服务器有一定的资源冗余，如磁盘、CPU、内存等，保证正常使用率不超过70%，防止因资源问题导致Out Of Memory、磁盘耗尽、CPU飙高等异常问题。 建议生产系统使用的数据库选用主备类型，保证高可用。 建议开启周期性全量+增量备份，保证备份机空间足够且不小于实例磁盘。 建议根据需要修改主备实例的数据同步模式，如要保证数据不丢失，可设置为同步模式；如要保证业务响应速度快，可以设置为异步模式。 建议根据资源使用情况，及时升级实例配置，如磁盘扩容、系列升配和CPU/内存升配，保证实例可用性。 实例运维 及时清理无用复制槽，防止复制槽阻塞影响日志回收。 及时VACUUM，尤其是在大批量数据操作场景下。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 及时清理无用的空闲连接，同时业务侧应该避免连接长时间不释放。 建议定期监控数据库事务ID的大小，以免数据库已使用的事务ID大小超过20亿，导致数据库强制关闭。 安全访问 尽量避免通过公网访问数据库，如需公网连接必须要先绑定公网EIP，并严格管理白名单。

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

本文为您介绍IAM的常用操作与系统策略。 如果您需要针对统一身份认证服务，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务IAM进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以使用主账号给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您希望某些员工拥有IAM的查看权限，但是不希望他们拥有删除IAM用户、禁止用户登录等高危操作的权限，那么您可以使用IAM为项目规划人员创建IAM用户，通过授予仅能查看IAM，但是不允许使用IAM的权限，控制他们对IAM控制台的使用范围。 IAM权限 默认情况下，账号创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略及绑定范围，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 IAM部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问IAM时，不需要切换区域。 IAM目前提供的系统策略 如下表所示，IAM目前提供的系统策略如下。 系统策略 描述 策略内容 ctiam admin 统一身份认证管理员权限 ctiam admin策略内容 ctiam viewer 统一身份认证观察者权限 ctiam viewer策略内容

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络延迟动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务平均响应时间指标。 2、业务应用验证： 观察应用，确认依赖网络通信的模块（如调用外部API、数据库查询）是否出现响应缓慢或请求超时。 检查应用日志，确认是否有因超时而触发的重试、熔断或降级逻辑。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络丢包动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标 2、业务应用验证： 观察应用，确认其响应时间是否显著增加，或是否出现连接超时错误。 对于依赖 UDP 的服务（如DNS、部分音视频流），确认是否出现了功能异常或数据丢失。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 与其他 Pod 或外部服务通信时，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络丢包动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标 2、业务应用验证： 观察应用，确认其响应时间是否显著增加，或是否出现连接超时错误。 对于依赖 UDP 的服务（如DNS、部分音视频流），确认是否出现了功能异常或数据丢失。

本章节介绍请求身份认证 概述 请求身份认证（RequestAuthentication）定义了终端用户请求网格服务时候的身份认证策略；如果认证信息非法，请求将被拦截；默认情况下，如果不带身份认证信息，请求将被放过，可以配置特定授权策略要求请求的身份信息不能为空来拦截身份认证信息为空的请求。 请求身份认证配置粒度 请求身份认证策略支持三种，全局、命名空间和工作负载级；当策略的命名空间为系统命名空间时（默认为istiosystem），策略为全局生效；当策略命名空间不是系统命名空间，且没有选择工作负载，策略将只在当前命名空间生效并覆盖全局策略；当策略在非系统命名空间，且选择了工作负载，则只对指定工作负载生效。 下面的配置中RequestAuthentication定义了foo命名空间下匹配app： httpbin标签的工作负载使用的jwt认证策略，同时AuthorizationPolicy定义了对请求来源的匹配，要求认证信息不能为空。 apiVersion: security.istio.io/v1beta1 kind: RequestAuthentication metadata: name: httpbin namespace: foo spec: selector: matchLabels: app: httpbin jwtRules: issuer: "issuerfoo" jwksUri: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: httpbin namespace: foo spec: selector: matchLabels: app: httpbin rules: from: source: requestPrincipals: [""] 创建请求身份认证 1. 进入网格控制台，选择 网格安全中心 –> 请求身份认证菜单。 2. 选择命名空间，列表页会展示当前命名空间下的请求身份认证策略。 3. 点击创建按钮，进行请求身份认证的创建。

本文为您介绍如何使用KMS中的用户主密钥，快速实现少量数据的在线加解密。 KMS提供针对敏感信息的加密能力，适用于保护小型敏感数据（小于6KB），如口令、身份信息、证书、后台配置文件等。 通过密钥管理服务KMS的在线加密API，使用用户主密钥（CMK）直接加密敏感数据信息，而非直接将明文存储，确保敏感数据安全。 场景示意图 操作流程（以证书加密为例） 1. 通过KMS控制台或者调用CreateKey接口，创建一个用户主密钥（CMK）。 2. 调用KMS服务的Encrypt接口，将明文证书加密为密文证书。 3. 将密文证书部署在服务器上。 4. 当服务器启动需要使用证书时，调用KMS服务的Decrypt接口将密文证书解密为明文证书。 相关API 您可以调用以下KMS API，轻松完成对数据的加密或解密操作。 API名称 说明 createKey 创建用户主密钥（CMK）。 encrypt 指定CMK，直接输入明文数据，由KMS在线加密数据。 decrypt 解密由encrypt接口加密的数据，不需要指定CMK即可完成在线解密。 操作步骤 1. 通过密钥管理服务控制台创建用户主密钥CMK。 2. 通过OpenAPI在线加密接口，对敏感数据进行加密。 请求参数说明 参数 是否必填 参数位置 参数类型 说明 cmkUuid 是 body String 主密钥（CMK）的全局唯一标识符。 plaintext 是 body String 待加密明文（必须经过Base64编码）。 请求示例 plaintext { "plaintext": "SGVsbG8gd29ybGQ", "cmkUuid": "241ede22626146179caf10d89990516c" } 成功返回 plaintext { "code": 200, "result": { "ciphertextBlob": "MDA2NE1qUXhaV1JsTWpJdE5qSTJNUzAwTmpFM0xUbGpZV1l0TVRCa09EazVPVEExTVRaakpqUTVaV00zTm1RM0xXTmpOR010TkRBd1pTMDVaakU1TFdZNU1EQXhOVGczWVdVd1pnPT3oCYiGAy7mNTLitIlJaQ92", "cmkUuid": "241ede22626146179caf10d89990516c", "keyVersionId": "49ec76d7cc4c400e9f19f9001587ae0f" }, "statusCode": 200, "success": 1 } 返回参数说明 参数 说明 ciphertextBlob 数据被指定CMK的主版本加密后的密文。 cmkUuid CMK的全局唯一标识符。如果请求中的Cmkuuid参数使用的是CMK的别名，在响应中会返回别名对应的CMK标志符。 keyVersionId 用于加密明文的密钥版本标志符，是指定CMK的主版本。 3. 将加密后的数据存储。 根据业务的应用场景，将密文进行存储。 4. 通过OpenAPI解密接口，对密文数据进行解密。 请求参数说明 参数 是否必填 参数位置 参数类型 说明 ciphertextBlob 是 body String 主密钥（CMK）加密的数据密钥的密文。 成功返回 plaintext { "statusCode": 800, "returnObj": { "code": 200, "result": { "cmkUuid": "8bca8f33d42a448a866ba064f44b29b7", "keyVersionId": "73670b284eea4260b497ae0334cc0c85", "plaintext": "sc7280+klUSln3Y9FHdfKGUT+6kPrcIMW41uZQeXxGU" }, "statusCode": 200, "success": 1 } } 返回参数说明 参数 说明 cmkUuid CMK的全局唯一标识符。如果请求中的Cmkuuid参数使用的是CMK的别名，在响应中会返回别名对应的CMK标志符。 keyVersionId 密钥版本ID。主密钥版本的全局唯一标识符。 plaintext 解密后的明文经过Base64编码的后的值。

1、　请求状态码 正常状态码 描述 200 请求成功 3 请求转移 4 客户端错误 5 服务端错误 2、　全局请求返回错误码 错误 码 描述 10002 生成签名时官网ak信息错误 10020 签名错误 40002 缺少appkey头 40006 无效的appkey 40008 不支持的请求类型 40009 IP未被APP授权 40010 IP未被API授权 50000 服务内部错误 50001 服务未注册 50002 应用未开通 50003 API中无效的URL请求 51001 购买服务已过期 51002 收费API未购买 51003 API可用次数已不足

1、请求状态码 正常状态码 描述 200 请求成功 3 请求转移 4 客户端错误 5 服务端错误 2、全局请求返回错误码 错误 码 描述 10002 生成签名时官网ak信息错误 10020 签名错误 40002 缺少appkey头 40006 无效的appkey 40008 不支持的请求类型 40009 IP未被APP授权 40010 IP未被API授权 50000 服务内部错误 50001 服务未注册 50002 应用未开通 50003 API中无效的URL请求 51001 购买服务已过期 51002 收费API未购买 51003 API可用次数已不足

本章节介绍了分布式消息服务RocketMQ的产品优势、以及上云的好处。 分布式消息服务RocketMQ具有如下产品优势，旨在打造一个即开即用、全托管、低延迟、弹性高可靠、动态扩展、便捷管理和多样功能的消息队列。 即开即用 简单几步即可在云上构建自己专属的消息服务，RocketMQ实例创建完成后，使用实例提供的访问地址即可快速接入。兼容开源RocketMQ，业务代码无需改造，即可上云。 全托管服务 分布式消息服务RocketMQ提供自动部署与完备的运维系统和售后服务，提供包括监控告警在内的多种运维手段，业务无需过多关注分布式消息服务RocketMQ的部署与运维工作，可以专注于自身业务的开发。 低延迟 基于天翼云网络部署，在内网访问可达微秒级时延。 弹性高可靠 基于Raft协议实现集群内部节点的管理，及时发现故障节点并进行流量迁移，保证业务的连续性可靠。 动态扩展 提供业务集群动态扩容的能力，根据业务需要动态扩容集群规模。 便捷管理 提供监控告警、消息追踪和链路诊断等多样的监控定位手段，方便问题定位和日常维护。 多样功能 提供顺序延迟、定时、重投、死信、过滤和事务消息等多样的业务功能，适配多样化的业务场景。

策略名称 策略描述 类别 授权范围 lasadmin 日志审计（原生版）系统管理员策略。 系统策略 全局级 lasaudit 日志审计（原生版）审计管理员策略。 系统策略 全局级 lassecurity 日志审计（原生版）安全管理员策略。 系统策略 全局级 lasbusiness 日志审计（原生版）业务员策略，仅支持使用日志审计实例，不支持订单操作相关操作。 系统策略 全局级

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察应用，特别是那些进行大文件传输或对实时性要求高的服务，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 与其他 Pod 或外部服务通信时，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 与其他 Pod 或外部服务通信时，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 与其他 Pod 或外部服务通信时，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包损坏动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的HTTP请求错误数、HTTP状态码统计指标。 2、业务应用验证： 观察应用，特别是那些进行大文件传输或对实时性要求高的服务，是否出现性能下降或连接中断。 检查应用日志，确认是否有因重传或超时导致的错误或警告信息。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络延迟动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务平均响应时间指标。 2、业务应用验证： 观察应用，确认依赖网络通信的模块（如调用外部API、数据库查询）是否出现响应缓慢或请求超时。 检查应用日志，确认是否有因超时而触发的重试、熔断或降级逻辑。