本页介绍天翼云TeleDB数据库新建/编辑可编程对象。 新建可编程对象 1. 新建视图 > (1) 在视图上右键，选择 新建视图 ，打开新建视图页面。 > (2) 在新建视图 页面按要求输入视图名称、检查选项、视图定义等信息后，单击提交按钮即可创建视图。 2. 新建存储过程 > (1) 在存储过程上右键，选择新建存储过程，打开新建存储过程页面。 > (2) 在新建存储过程 页面按要求输入存储过程名称、过程语言、注释、存储过程定义等信息后，单击提交按钮即可创建存储过程。 3. 新建函数 > (1) 在函数上右键，选择 新建函数 ，打开新建函数页面。 > (2) 在新建函数 页面按要求输入函数名、函数的入参、函数的返回值类型、函数定义等信息后，单击提交按钮即可创建函数。 4. 新建触发器 > (1) 在触发器上右键，选择 新建触发器 ，打开新建触发器页面。 > (2) 在页面按要求输入触发器名称、触发表、触发时机、触发事件、触发器定义等信息后，单击提交按钮即可创建触发器。 5. 新建触发器函数 > (1) 在触发器上右键，选择新建触发器 函数 ，打开新建触发器函数页面。 > (2) 在页面按要求输入函数名称、返回值类型、函数定义等信息后，单击提交按钮即可创建触发器函数。 6. 新建序列 > (1) 在序列上右键，选择新建 序列 ，打开新建序列页面。 > (2) 在页面按要求输入序列名称、递增值、起始值、最小值、最大值等信息后，单击提交按钮即可创建序列。 编辑可编程对象 1. 在视图名称上右键 ，选择 编辑视图 ，打开编辑视图页面。 2. 可以对视图名称、视图定义等进行修改，修改完成后，单击提交按钮即可。 > 以编辑视图为例，其他可编程对象操作类似。 删除可编程对象 1. 在视图名称上右键，选择删除视图操作，在删除确认弹窗上单击确定按钮即可。 > 以删除视图为例，其他可编程对象操作类似。

本章节介绍如何使用云服务备份完成ECS的整机备份和恢复。 场景描述 如果您的业务数据同时保存在数据盘和系统盘中，当ECS整机发生系统故障或者错误操作时，您可以通过云服务备份的备份和恢复功能，实现业务应用版本回退。本文详细介绍整机恢复场景的相关内容。 方案优势 · 当发生病毒入侵、人为误删除、软硬件故障等事件，支持将数据恢复到任意备份点，使系统正常运行。 · 备份的同一个ECS主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题。 前提条件 在进行本文操作之前，您需要完成以下准备工作： · 请确保弹性云主机在备份前已完成如下操作： Linux弹性云主机优化并安装Cloudinit工具 Windows弹性云主机优化并安装Cloudbaseinit工具 · 创建镜像前备份的状态必须为“可用”，或者状态为“创建中”并在备份状态列显示“可用于创建镜像”时，才允许执行创建镜像操作。 · 用于数据恢复的备份必须包含系统盘的备份。 解决方案 步骤1：创建云主机备份 1、参照云服务备份操作指导章节，完成存储库的创建，用于创建云主机备份。 2、假设云主机A的数据盘中存放了数据：datadisk.txt，系统盘中存放了数据：systemdisk.txt，如下图所示 3、将需要迁移的云主机A绑定至存储库，参照云主机备份创建指导完成该云主机的全量备份。 4、执行备份成功后，在“备份副本”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。 步骤2：删除/新增数据，模拟灾难场景 1、登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。 2、删除系统盘和数据盘中准备的数据，新增文件和数据如下图所示： 步骤3：整机恢复 1、登录天翼云管理控制台。选择“存储 > 云服务备份”。进入云主机备份页面。 2、在“备份副本”页签下，选中创建成功的备份副本，单击操作列“恢复数据”，进入恢复云主机的向导页面，按需选择对应选项，点击确定。 3、在备份控制台的“任务”页签下，查看恢复任务状态，状态成功后即恢复完成。 步骤4：数据验证 1.登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。查看对应数据，如下图所示，已恢复至对应时间点数据状态：

本节介绍了查看Top SQL的相关内容。 操作场景 GaussDB支持通过WDR快照查询指定时间内的Top SQL，从多个维度的资源监控、诊断SQL运行情况。 约束限制 Top SQL数据是从指定时间区间内，两个可用快照生成的性能报告中获取的，两次快照之间内不能有内核重置事件（节点重启、主备切换、DROP DATABASE等）。 查询期间，指定时间区间内至少要有两个可以对比的快照，才可能会有Top SQL的数据，默认一个小时生成一次快照。 查看Top SQL 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 单击“诊断优化 > SQL诊断”。 步骤 6 在“Top SQL”页签，用户可按需选择指定节点，时间范围，组合过滤SQL文本、归一化SQL ID以及其他扩展字段，单击查询按钮，获取Top SQL列表。 用户可自行选择时间区间，最大时间跨度为一天，可按照节点维度展示数据。 过滤系统用户：开启后，将会跳过系统用户所执行的SQL记录。默认开启。 用户可以选择"OR"或者"AND"查询，筛选框中可以填入需要组合过滤的多个SQL文本（不超过5个）。 表 Top SQL字段说明 字段名称 描述 归一化SQL ID 归一化SQL ID。 节点名称/ID SQL执行节点的ID及名称。 用户名 执行SQL的用户。 SQL 文本 归一化SQL文本。 调用频率占比 查询时间区间内某条SQL的调用次数占总调用次数的比例。 CPU开销占比 查询时间区间内某条SQL的CPU开销占总CPU开销的比例。 IO开销占比 查询时间区间内某条SQL的IO开销占IO总开销的比例。 调用次数 查询时间区间内某条SQL的调用次数。 返回元组数 查询时间区间内某条SQL的SELECT返回的结果集行数的差值。 读取元组数 查询时间区间内某条SQL的顺序扫描行的差值。 平均时间开销 查询时间区间内某条SQL的平均时间开销。单位：ms。 总时间开销 查询时间区间内某条SQL的总时间开销。 单位：ms。 CPU开销 查询时间区间内某条SQL的CPU开销。 单位：ms。 IO开销 查询时间区间内某条SQL的IO开销。 单位：ms。 最小执行时间 查询时间区间内某条SQL的最小执行时间。 单位：ms。 最大执行时间 查询时间区间内某条SQL的最大执行时间。 单位：ms。 SQL命中率 查询时间区间内某条SQL命中率（命中行数/扫描行数）。 结束

本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

Agent安装以后会访问哪些地址？ Agent安装后会访问的IP、端口如下表所示： 源IP 源端口 目的设备 目的IP 目的端口 协议 Agent云主机IP 随机 服务器安全卫士服务端 169.254.169.254 5661及16463 TCP 访问说明：Agent访问服务器安全卫士服务端，主要是获取服务端下发的策略/配置/指令，上报安全告警事件及资产指纹。 服务器安全卫士（原生版）和网页防篡改（原生版）共用Agent？ 共用一个Agent，在天翼云控制台上统一下发管理防护策略，Agent执行监控与处置。 已开通安全卫士，服务器防护状态显示未防护，如何解决？ 1. 查看Agent是否启动。 Windows: 点击部署目录下的 ctwin32ui.exe ，查看ui界面显示的 agent status 应为 Running，last keepalive 是否更新（与当前系统时间相差应不超过1分钟） Linux: centos 6 使用 service ctcss status 查看agent服务状态是否为 Running 其他Linux发行版使用 systemctl status ctcss 查看Agent服务状态是否为active 查看 /var/ctcss/var/run/eShieldagent.state 文件中 last keepalive 是否更新（与当前系统时间相差应不超过1分钟） 2. Agent未启动，请按如下方式启动： Windows： 点击部署目录下的ctwin32ui.exe ，在弹出的ui界面中点击左上角Manage选项，可控制Agent的启停。 Linux: centos 6 使用 service ctcss start/stop 启停 Agent； 其他Linux发行版使用 systemctl start/stop ctcss 启停 Agent。 3. 检查安全卫士Agent配置。 若Agent处于running状态，但 last keepalive时间未更新，则可能为配置文件错误。查看Agent配置文件，由于Agent版本差异,配置文件路径不同: Linux路径为 /var/ctcss/etc/ctcss.conf 或 /var/ctcss/etc/ctcss.yml ； Windows路径为 C:Program Files (x86)ctcssagentctcss.conf 或C:Program Files (x86)ctcssagentetcctcss.yml 。 其中服务器IP应为 169.254.169.254 ，端口分别为5661 和 16463。（非公有云场景下，服务端IP地址可能有变化，以实际部署信息为准）。 配置修改完成后需按前述“步骤1”中最后一段描述重新启动Agent。 4. 检查Agent的激活文件中的信息。 先检查client.keys中guid与机器真实guid是否一致。 1. 执行【 cat /var/ctcss/etc/client.keys 】获取key信息，包含四段数据，第二段为guid，如下图第一个红框。 2. 执行 【 /usr/sbin/dmidecode s systemuuid grep v '

本节介绍了查看Top SQL的相关内容。 操作场景 GaussDB支持通过WDR快照查询指定时间内的Top SQL，从多个维度的资源监控、诊断SQL运行情况。 约束限制 Top SQL数据是从指定时间区间内，两个可用快照生成的性能报告中获取的，两次快照之间内不能有内核重置事件（节点重启、主备切换、DROP DATABASE等）。 查询期间，指定时间区间内至少要有两个可以对比的快照，才可能会有Top SQL的数据，默认一个小时生成一次快照。 查看Top SQL 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 单击“诊断优化 > SQL诊断”。 步骤 6 在“Top SQL”页签，用户可按需选择指定节点，时间范围，组合过滤SQL文本、归一化SQL ID以及其他扩展字段，单击查询按钮，获取Top SQL列表。 用户可自行选择时间区间，最大时间跨度为一天，可按照节点维度展示数据。 过滤系统用户：开启后，将会跳过系统用户所执行的SQL记录。默认开启。 用户可以选择"OR"或者"AND"查询，筛选框中可以填入需要组合过滤的多个SQL文本（不超过5个）。 表 Top SQL字段说明 字段名称 描述 归一化SQL ID 归一化SQL ID。 节点名称/ID SQL执行节点的ID及名称。 用户名 执行SQL的用户。 SQL 文本 归一化SQL文本。 调用频率占比 查询时间区间内某条SQL的调用次数占总调用次数的比例。 CPU开销占比 查询时间区间内某条SQL的CPU开销占总CPU开销的比例。 IO开销占比 查询时间区间内某条SQL的IO开销占IO总开销的比例。 调用次数 查询时间区间内某条SQL的调用次数。 返回元组数 查询时间区间内某条SQL的SELECT返回的结果集行数的差值。 读取元组数 查询时间区间内某条SQL的顺序扫描行的差值。 平均时间开销 查询时间区间内某条SQL的平均时间开销。单位：ms。 总时间开销 查询时间区间内某条SQL的总时间开销。 单位：ms。 CPU开销 查询时间区间内某条SQL的CPU开销。 单位：ms。 IO开销 查询时间区间内某条SQL的IO开销。 单位：ms。 最小执行时间 查询时间区间内某条SQL的最小执行时间。 单位：ms。 最大执行时间 查询时间区间内某条SQL的最大执行时间。 单位：ms。 SQL命中率 查询时间区间内某条SQL命中率（命中行数/扫描行数）。 结束

本章节主要介绍准备工作 在开始之前，您需要完成如下的准备工作。 步骤 1 创建虚拟私有云和子网。 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 1. 登录虚拟私有云VPC控制台。 2. 单击右上角“创建虚拟私有云”。 3. 根据界面提示完成参数填写，单击“立即创建”。 步骤 2 创建密钥对。 新建一个密钥对，用于远程登录节点时的身份认证。 1. 登录弹性云服务器ECS控制台。 2. 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 3. 输入密钥对名称后，单击“确定”。 4. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 步骤 3 创建负载均衡。 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 1. 登录弹性负载均衡ELB控制台。 2. 单击右上角的“创建弹性负载均衡”。 3. 所属VPC、子网请选择步骤1中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。 步骤 4 创建集群。 1. 登录云容器引擎CCE控制台。 2. 选择左侧导航中的“资源管理 > 集群管理”，单击右上角“创建CCE集群”。 3. 在“服务选型”页面设置如下参数，其余参数均采用默认值。 集群名称：用户自行输入，此处设置为“cceasm”。 虚拟私有云、所在子网：选择步骤1中创建的虚拟私有云和子网。 4. 单击“下一步：创建节点”，配置添加节点的参数。除节点规格和登录方式外，其余参数保持默认。 节点规格：vCPUs为4核，内存为8GB。 说明 此规格为部署Bookinfo应用所需的最小资源。 如果在创建网格中创建的网格版本为1.3.0，则此处的节点规格需要选择8核16GB。为了保证sidecar的稳定性，1.3.0版本网格默认每个sidecar的CPU限制为1核，内存限制为512M，因此需要更多资源。 登录方式：选择步骤2中创建的密钥对，用于远程登录节点时的身份认证。 5. 单击“下一步：安装插件”，在“安装插件”步骤中选择要安装的插件。 “系统资源插件”为必装插件，“高级功能插件”可根据实际需求进行选择性安装。 6. 单击“下一步：配置确认”，阅读使用说明并勾选“我已知晓上述限制”，确认所设置的服务选型参数、规格等信息。 7. 确认订单无误后，单击“提交”，集群开始创建。 集群创建预计需要610分钟，您可以单击“返回集群管理”进行其他操作或单击“查看集群事件列表”后查看集群详情。

态势感知的数据来源。 态势感知基于云上威胁数据和云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。 一方面采集全网流量数据，以及安全防护设备日志等信息，通过大数据智能AI分析采集的信息，呈现资产的安全状况，并生成相应的威胁告警。 另一方面汇聚企业主机安全（Host Security Service，HSS）等安全防护服务上报的告警数据，从中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时呈现完整的全网攻击态势。

本节介绍了云容器引擎的产品功能。 功能特性 强大的集群管理 单集群支持数千节点规模 高性能自研网络插件，VM与容器直连互通，性能提升20% 丰富的集群插件，开箱即用 一站式容器应用管理 支持原生5种类型工作负载 内置应用模板，支持一键部署Helm应用 支持灰度发布，蓝绿发布，应用弹性伸缩 极致弹性&高效调度 支持HPA/CronHPA伸缩策略 支持基于历史指标/事件驱动的弹性伸缩 提供负载感知调度，解决原生k8s调度不均问题 企业级的安全稳定 支持3Master高可用，镜像服务高可用能力 提供集群备份恢复插件，支持多种存储介质 支持安全容器，提供镜像签名和镜像扫描 功能列表 一级分类 二级分类 功能点 功能点描述 核心功能 集群 一键快速部署 支持界面化订购，自动开通Kubernetes集群，兼容原生Kubernetes 核心功能 集群 节点管理 支持界面化进行扩缩容，支持节点标签、调度设置 核心功能 集群 命名空间 支持资源配额设置、支持网络隔离设置 核心功能 集群 运行时 支持Docker、Containerd 核心功能 工作负载 生命周期管理 支持应用创建、启停、扩缩容、注销等生命周期操作 核心功能 工作负载 工作负载 支持界面化发布有状态、无状态、守护进程、任务、定时任务等工作负载 核心功能 工作负载 多容器 支持一个Pod中发布多个容器，支持设置特权级容器 核心功能 工作负载 探针 支持界面化自定义策略检测应用的可用性 核心功能 工作负载 滚动升级 支持业务不中断平滑升级 核心功能 工作负载 亲和性/反亲和 支持主机及应用的亲和性与反亲和性调度 核心功能 工作负载 资源管控 支持容器级别的资源需求和限额设置，防止资源的浪费 核心功能 弹性调度 Pod弹性伸缩 支持自动伸缩规则设置，基于CPU/内存等资源自动伸缩应用，支持HPA、CronHPA和基于事件的弹性策略 核心功能 弹性调度 节点弹性伸缩 支持节点弹性伸缩 核心功能 弹性调度 负载感知调度 支持调度Pod时考虑节点的实际负载 核心功能 路由 多协议支持 支持TCP、UDP、HTTP以及HTTPS等协议 核心功能 路由 Service支持 支持NodePort、ClusterIP，LB等对外提供访问、支持无头服务 核心功能 路由 Ingress支持 支持Nginx Ingress 核心功能 路由 灰度/蓝绿发布 支持支持灰度/蓝绿发布，支持应用的多个版本在线运行 核心功能 配置管理 配置项 支持配置项 核心功能 配置管理 Secret 支持保密字典、凭证等 核心功能 网络 网络插件 支持高性能网络插件Calico 核心功能 网络 网络插件 支持自研网络插件CubeCNI实现容器与虚拟机网络直通 核心功能 网络 网络策略 支持容器访问策略和流控限制 核心功能 存储 多类型存储 支持Local、NFS、Ceph常见持久存储类；支持csi驱动程序，集成天翼云的云硬盘、弹性文件、对象存储等云存储 核心功能 存储 持久卷声明 支持界面化创建持久卷声明，支持监控存储使用量 核心功能 存储 持久卷 支持界面化创建持久卷，支持持久卷的动态生成 核心功能 日志管理 日志中心 支持容器日志的采集、存储和检索，支持集成三方开源日志解决方案 核心功能 监控与告警 监控中心 支持集群、节点、容器多级别的监控与告警配置，支持审计日志，支持集成三方开源监控解决方案 核心功能 系统管理 接入平台 作为平台组件对外提供服务，支持订单方式进行集群的开通、扩缩容、删除等 核心功能 系统管理 权限管理 多租户支持，租户资源隔离，用户角色授权，支持集群和命名空间的授权 高级功能 应用 插件市场 支持通过Chart对插件打包发布到插件市场，界面化一键部署监控等插件，通过插件与其他产品集成 高级功能 应用 模板市场 支持通过Chart对应用打包发布到模板市场，界面化安装部署等 高级功能 应用 有状态应用 支持挂载持久化存储，实现有状态应用容器化部署 高级功能 能力开放 OpenAPI 支持开放API，对接持续集成和私有部署系统 高级功能 高可用部署 Kubernetes高可用 支持Kubernetes高可用部署 容器镜像服务 镜像 镜像仓库 支持对接多镜像中心，支持界面化创建仓库 容器镜像服务 镜像 租户隔离 支持公开仓库的可见性及私有仓库的不可见性 容器镜像服务 镜像 镜像管理 支持管理海量镜像，支持多版本镜像 容器镜像服务 镜像 镜像收藏 支持快速检索镜像并收藏 容器安全 授权 权限管理 支持基于k8s RBAC授权 容器安全 配置安全 容器安全策略 支持SecurityContext配置

实例概览与实例画像功能，支持对目标实例进行诊断并给出健康评分，本文介绍评分规则。 注意事项 健康度评分实行多维度评分制 ，每个评分维度采用百分制，存在告警直接扣分，得分不低于0分。 实例健康度评分取五个维度评分中的最低分。 阈值类告警扣分项需满足条件持续60秒进行触发，事件类告警扣分项需满足条件持续90秒进行触发。 评分规则表 天翼云RDS MySQL： 扣分项 含义 扣分子项 条件 所扣分数 评分维度 服务状态异常 mysqld服务心跳检测不通过。 严重 serviceDown1 50 数据库可用性 主从GTID不一致 当前主从GTID不一致。 警告 GTID0 5 数据库可用性 主从复制延迟 主从复制发生长时间延迟。 警告 30 min>replDelayTime>10 min 10 数据可靠性 主从复制延迟 主从复制发生长时间延迟。 严重 replDelayTime>30 min 15 数据可靠性 复制IO线程中断 主从中断，复制 IO 线程中断。 严重 slaveIORunningNO 10 数据可靠性 复制SQL线程中断 主从中断，复制 SQL 线程中断。 严重 slaveSQLRunningNO 10 数据可靠性 备份失败 当前实例备份失败。 严重 BACKUP0 10 数据可靠性 备份超时 备份超时，耗时3小时以上 严重 BACKUP0 10 数据可靠性 CPU使用率 当前CPU使用率，多核CPU换算成单核计算。 警告 80%>cpuUsage>70% 5 数据库性能 CPU使用率 当前CPU使用率，多核CPU换算成单核计算。 严重 cpuUsage>80% 10 数据库性能 内存使用率 当前内存使用率。 警告 90%>memUsage>80% 5 数据库性能 内存使用率 当前内存使用率。 严重 memUsage>90% 10 数据库性能 连接使用率 当前连接使用数 / 最大允许连接数 100%。 警告 80%>connectionRate>70% 5 数据库性能 连接使用率 当前连接使用数 / 最大允许连接数 100%。 严重 connectionRate>80% 10 数据库性能 IO使用率 当前IO值 / 最大允许IO值 100%。 警告 90%>ioUsage>70% 5 数据库性能 IO使用率 当前IO值 / 最大允许IO值 100%。 严重 ioUsage>90% 10 数据库性能 活动线程数 当前活跃会话数。 警告 min(4cpuCores+8,96)>threadRunning>min(2cpuCores+8,64) 10 数据库性能 活动线程数 当前活跃会话数。 严重 maxConnections>threadRunning>min(4cpuCores+8,96) 50 数据库性能 慢SQL 当前慢SQL总数相较前一采集时间点慢SQL总数的增量。 提示 10>slowSqlCount>0 5 数据库性能 慢SQL 当前慢SQL总数相较前一采集时间点慢SQL总数的增量。 警告 50>slowSqlCount>10 20 数据库性能 慢SQL 当前慢SQL总数相较前一采集时间点慢SQL总数的增量。 严重 slowSqlCount>50 50 数据库性能 行锁等待 当前发生行锁等待。 严重 rowLockWait>0 5 数据库性能 元数据锁 近一分钟存在waitingfortablemetadatalock 严重 waitingfortablemetadatalock>0 10 数据库性能 磁盘使用率 当前磁盘空间实际使用率。 警告 90%>usedSpaceUtil>80% 10 数据库可维护性 磁盘使用率 当前磁盘空间实际使用率。 严重 usedSpaceUtil>90% 50 数据库可维护性

广泛重复的使用加密密钥，会对加密密钥的安全造成风险。建议您定期轮换密钥，更改原密钥的密钥材料。 为什么需要轮换密钥 广泛重复的使用加密密钥，会对加密密钥的安全造成风险。为了确保加密密钥的安全性，建议您定期轮换密钥，更改原密钥的密钥材料。 定期轮换密钥有如下优点： 减少每个密钥加密的数据量：一个密钥的安全性与被它加密的数据量呈反比。数据量通常是指同一个密钥加密的数据总字节数或总消息数。 增强应对安全事件的能力：在系统安全设计的初期，设计密钥轮换功能并将其作为日常运维手段。这样可以使系统在特定安全事件发生时具备实际执行能力。 加强对数据的隔离能力：轮换密钥使得轮换前后产生的密文数据形成隔离效果。特定密钥的安全事件可以被快速定义影响范围，从而采取进一步措施。 密钥轮换的两种方法 云服务提供了两种密钥轮换方法： 手动轮换密钥 使用一个新的密钥替换使用中的密钥。即创建一个新的密钥B，并使用密钥B替代当前使用的密钥A，当密钥B使用的加密材料与密钥A使用的加密材料不相同时，使用密钥B与更改密钥A的密钥材料具有相同效果。 示例： 以OBS服务为例：需要手动轮换密钥时，用户先在KMS界面创建一个新的自定义密钥，后在OBS界面将原自定义密钥替换为新的自定义密钥。 手动轮换密钥工作原理

产品功能 功能介绍 功能描述 基础版 企业版 旗舰版 资产清点 资产清点 自动清点主机内部资产如进程、端口、账号、应用等，实时掌握主机内部资产变化，为安全分析提供数据基础。 X √ √ 风险发现 安全补丁 对安全补丁进行周期性自动检测，提供详细补丁说明和修复方案。 X √ √ 风险发现 漏洞检测() 精准本地分析漏洞，包含精准 POC探测和版本漏洞探测；支持 CVSS等漏洞信息详细描述，支持漏洞修复影响检查；提供命令级漏洞修复建议。 √ √ √ 风险发现 弱密码检查 弱口令自动检测，自动匹配账号名相关易猜解密码，支持弱口令字典自定义。 √ √ √ 风险发现 应用风险() 检测Linux关键攻击路径上常用应用的配置型风险。 X X √ 风险发现 系统风险() 检测Linux上由于系统配置的产生的安全风险。 X X √ 风险发现 账号风险() 检测Linux系统中的由于账号的配置产生的安全风险。 X X √ 入侵检测 暴力破解 实时监控主机上发生的爆破行为，并提供封停爆破来源IP的能力。 √ √ √ 入侵检测 异常登录 实时异常登录监控，发现异常IP、区域、时间等的异常登录。 √ √ √ 入侵检测 反弹shell 实时监控主机上反向连接的行为，并提供详细的攻击记录。 X √ √ 入侵检测 后门检测 精准发现系统内后门程序，提供详细后门程序分析报告与修复建议。 √ √ √ 入侵检测 本地提权() 支持实时进程提权监测，支持进程提权过程详细记录。 X √ √ 入侵检测 Web后门 多维度Web后门识别，支持规则匹配、相似度匹配、沙箱检测、模式分析引擎检测等多种机制检测，具备实时监测能力。 √ √ √ 入侵检测 可疑操作() 实时对Bash命令进行审计，发现可疑的黑客操作，支持自定义审计规则。 X √ √ 入侵检测 Web命令执行 能够发现Web RCE和进程异常的执行事件。 X √ √ 病毒查杀 病毒查杀 结合多个病毒检测引擎，能够实时准确地发现主机上的病毒进程，并提供多⻆度分析结果，以及相应的病毒处理能力，对病毒能够快速、准确、高效地实现从检测分析到处理修复的安全工作闭环。 X √ √ 合规基线 系统基线 对各版本的Linux系统、Windows 系统按照等保、CIS的基线要求检测，覆盖主流操作系统的检测。 X √ √ 合规基线 应用基线 支持对常用应用的等保、CIS基线的检测。 √ √ √ 合规基线 数据库基线 支持对主流数据库的等保、CIS基线的检测。 √ √ √ 合规基线 自定义基线 支持自定义基线，对于不同的检查基准，灵活制定不同检查强度的标准。 X √ √ 快速任务 快速任务 提供一些特定的安全任务，方便用户在日常安全工作中快速执行。 X X √ 其他功能 主机管理 提供对所有安全服务器的管理功能，可设置主机分组，标签，运维管理信息，方便用户管理主机。 √ √ √ 其他功能 报表系统 提供各类实用美观的安全报表，供汇报时使用，可支持Html，Word格式。 X X √ 其他功能 通知系统 可灵活配置接收的通知类型、通知方式及通知人。 √ √ √

功能 功能描述 企业路由器 您可以将企业路由器看作一个支持路由学习的高性能集中路由器，创建企业路由器时，您可以设置部署区域、可用区、名称等参数。 企业路由器创建完成后，您可以根据业务使用情况灵活调整部分参数。 连接 为企业路由器添加网络实例对应的连接，即表示将网络实例接入企业路由器中。 路由表 路由表是企业路由器发送报文的依据，包含连接的关联关系、传播关系以及路由信息。 一个企业路由器可以拥有多个路由表，您可以将连接关联至不同的路由表，从而实现网络实例的灵活互通或者隔离。 关联 关联是将连接关联至ER路由表中，您可以通过以下方法创建关联： 手动创建：选择任意路由表，并在路由表中为连接创建关联。 自动创建：开启“默认路由表关联”功能，指定默认路由表，系统会自动为连接在默认路由表中创建关联。 传播 传播是企业路由器和连接的路由学习关系，您可以通过以下方法创建传播： 手动创建：选择任意路由表，并在路由表中为连接创建传播。 自动创建：开启“默认路由表传播”功能，指定默认路由表，系统会自动为连接在默认路由表中创建传播。 路由 路由是目的地址、下一跳以及路由类型等信息组成。路由分为两种： 自动学习的传播路由。 手动添加的静态路由。 企业路由器支持IPv4和IPv6路由。 共享 所有者可以将自己的企业路由器同时共享给多个其他帐号，称为接受者。 接受者可以在共享企业路由器中添加连接，将自己名下的网络实例加入该企业路由器中，实现多个帐号内的网络实例接入同一个企业路由器构建组网的需求。 对于“虚拟私有云（VPC）”连接，通过共享功能，可以在同一个企业路由器中接入不同帐号下的虚拟私有云，构建云上同区域组网。 流日志 通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息，您可以监控连接的网络流量、进行网络攻击分析等，帮助您实现高效的网络运维。 监控 通过云监控服务，您可以监控企业路由器实例以及企业路由器连接的网络情况。 审计 通过云审计服务，您可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 权限 针对位于云上的企业路由器资源，您可以通过IAM进行精细的权限管理，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，从而实现资源的安全管控。 标签 标签用于标识云资源，可通过标签实现对云资源的分类和搜索。你可以为企业路由器和路由表添加标签。 配额 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少个企业路由器、每个企业路由器添加多少个连接、每个路由表可以添加多少条路由等。

环境要求 实时同步对环境有一些特定的要求，请确保环境配置满足以下条件。该类型的要求系统会自动检查，并给出处理建议。 表 环境要求 类型名称 使用限制 （DRS自动检查） 数据库权限设置 源数据库帐户需要具备如下权限： SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 提供的目标数据库帐号必须拥有如下权限： SELECT、CREATE、DROP、DELETE、INSERT、UPDATE。 RDS for MySQL实例的root帐户默认已具备上述权限。 同步对象约束 支持表、主键索引、唯一索引、普通索引、存储过程、视图、函数的同步，不支持事件、触发器的同步。 库映射时源库中不允许存在存储过程、视图、函数对象。 映射的库中不允许存在除表外的对象且在同步过程中不允许创建这些对象，否则会导致同步任务失败。 不支持非MyISAM和非InnoDB表的同步。 不支持已选择的表与未选择的表之间互相rename的DDL操作，否则会导致同步任务失败。 源数据库要求 MySQL源数据库的binlog日志必须打开，且binlog日志格式必须为Row格式。 在磁盘空间允许的情况下，建议源数据库binlog保存时间越长越好，建议为3天。 源数据库expirelogsdays参数值为0，可能会导致同步失败。 增量同步时，必须设置MySQL源数据库的serverid。如果源数据库版本小于或等于MySQL5.6，serverid的取值范围在2－4294967296之间；如果源数据库版本大于或等于MySQL5.7，serverid的取值范围在1－4294967296之间。 源数据库中的库名不能包含：' /"以及非ASCII字符。 源数据库中的表名、视图名不能包含：'<>/"以及非ASCII字符。 源数据库中的库名和库映射的名称不允许为iblogfile。 不支持非MyISAM和非InnoDB的表同步到RDS。 数据库映射时，源库中存在视图、存储过程等对象，可能会导致实时同步失败。 目标数据库要求 目标数据库实例的运行状态必须正常，若数据库实例是主备实例，复制状态也必须正常。 目标数据库实例必须有足够的磁盘空间。 除了MySQL系统数据库之外，当目标库和源库同名时，目标数据库中若存在与源库同名的表，则表结构必须与源库保持一致。 目标数据库的字符集必须与源数据库一致。 目标数据库的时区设置必须与源数据库一致。 DRS同步时会有大量数据写入目标库，目标库maxallowedpacket 参数过小会导致无法写入，建议将目标库maxallowedpacket参数值设置为大于100MB。 同步的对象中包含引擎为MyISAM的表，则目标数据库sqlmode不能包含noenginesubstitution参数，否则可能会导致同步失败。 映射到目标库中的库名不能包含：“.”、 “ ”、“”、和“'”。

态势感知的数据来源。 态势感知（专业版）基于云上威胁数据和云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。 一方面采集全网流量数据，以及安全防护设备日志等信息，通过大数据智能AI分析采集的信息，呈现资产的安全状况，并生成相应的威胁告警。 另一方面汇聚企业主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务上报的告警数据，从中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知（专业版）通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时呈现完整的全网攻击态势。

数据集配置 针对不同场景下，以下是数据量级的建议： 简单文本分类任务：对于基础的分类任务，如判断文本情感倾向（积极、消极、中性）或对新闻文章进行简单类别划分（体育、科技、娱乐等），若用户使用较小规模模型（如 7B及以下），通常5k20k条的数据量即可取得不错效果；若使用更大参数模型（如30B及以上），由于模型学习能力更强，对数据量要求相对降低，2k10k条也可能实现较好微调。但数据量的大小也与分类数以及任务难易度强相关，类别较多/任务较难的场景可能需要20k条以上的数据，且要做到类别均衡。 信息抽取任务：像从文本中抽取人名、地名、组织机构名等实体，或抽取事件的时间、地点、参与者等关键信息这类任务，任务难易度更大，因此对数据量需求相对较高。若用户使用13B及以下模型时，建议有30k80k的数据量；若使用30B及以上模型时，20k60k的数据量较为合适。这是因为信息抽取任务复杂，模型需学习多种实体和关系模式，足够数据量才能让模型有效捕捉这些模式。例如，在医疗领域的实体抽取微调中，50k条的高质量医疗文本数据，能使13B模型的F1值达到75%左右。 生成任务（如文本续写、文案生成）：生成任务对模型创造力和语言理解能力要求高，数据量需求更大。对于7B及以下的模型，一般需要100k300k条以上数据；而13B30B的模型，50k 200k条数据较为适宜；30B以上模型，30k150k数据可能满足需求。数据不仅要量大，还应多样化，涵盖不同风格、主题和语境文本。如在小说续写微调中，200k条包含各种题材小说片段的数据，可让7B模型生成更连贯、富有想象力的续写内容。 复杂问答任务：如开放域问答、专业领域深度问答、领域内长思考链生成问答，数据量要求与生成任务相近甚至更高。7B的模型可能需要50k150k条数据；13B30B的模型，40k100k条数据；30B及以上的模型，则需要50k80k数据。这类任务需模型理解复杂问题语义，检索知识并生成准确回答，大量的数据帮助模型学习各类问题模式和答案逻辑。但是如果数据中带有思考推理过程，也即cot数据集，则各类模型所需的数据量可以相对应减少50%80%。在医疗领域的带思考过程的问答微调中，10k数量的含各类疾病的治疗方式的数据，便能让14B的模型在开源医疗问题测评集上提点。 需注意，以上数据量仅为经验参考范围，实际微调中最佳数据量受数据质量、模型架构、任务复杂度及训练方法等多种因素影响。例如，若数据质量极高且与任务高度相关，可能用较少数据量就能取得好效果。在微调前，可通过小规模实验评估不同数据量对模型性能影响，确定适合特定任务和模型的最优数据量。

数据集配置 针对不同场景下，以下是数据量级的建议： 简单文本分类任务：对于基础的分类任务，如判断文本情感倾向（积极、消极、中性）或对新闻文章进行简单类别划分（体育、科技、娱乐等），若用户使用较小规模模型（如 7B及以下），通常5k20k条的数据量即可取得不错效果；若使用更大参数模型（如30B及以上），由于模型学习能力更强，对数据量要求相对降低，2k10k条也可能实现较好微调。但数据量的大小也与分类数以及任务难易度强相关，类别较多/任务较难的场景可能需要20k条以上的数据，且要做到类别均衡。 信息抽取任务：像从文本中抽取人名、地名、组织机构名等实体，或抽取事件的时间、地点、参与者等关键信息这类任务，任务难易度更大，因此对数据量需求相对较高。若用户使用13B及以下模型时，建议有30k80k的数据量；若使用30B及以上模型时，20k60k的数据量较为合适。这是因为信息抽取任务复杂，模型需学习多种实体和关系模式，足够数据量才能让模型有效捕捉这些模式。例如，在医疗领域的实体抽取微调中，50k条的高质量医疗文本数据，能使13B模型的F1值达到75%左右。 生成任务（如文本续写、文案生成）：生成任务对模型创造力和语言理解能力要求高，数据量需求更大。对于7B及以下的模型，一般需要100k300k条以上数据；而13B30B的模型，50k 200k条数据较为适宜；30B以上模型，30k150k数据可能满足需求。数据不仅要量大，还应多样化，涵盖不同风格、主题和语境文本。如在小说续写微调中，200k条包含各种题材小说片段的数据，可让7B模型生成更连贯、富有想象力的续写内容。 复杂问答任务：如开放域问答、专业领域深度问答、领域内长思考链生成问答，数据量要求与生成任务相近甚至更高。7B的模型可能需要50k150k条数据；13B30B的模型，40k100k条数据；30B及以上的模型，则需要50k80k数据。这类任务需模型理解复杂问题语义，检索知识并生成准确回答，大量的数据帮助模型学习各类问题模式和答案逻辑。但是如果数据中带有思考推理过程，也即cot数据集，则各类模型所需的数据量可以相对应减少50%80%。在医疗领域的带思考过程的问答微调中，10k数量的含各类疾病的治疗方式的数据，便能让14B的模型在开源医疗问题测评集上提点。 需注意，以上数据量仅为经验参考范围，实际微调中最佳数据量受数据质量、模型架构、任务复杂度及训练方法等多种因素影响。例如，若数据质量极高且与任务高度相关，可能用较少数据量就能取得好效果。在微调前，可通过小规模实验评估不同数据量对模型性能影响，确定适合特定任务和模型的最优数据量。

系统策略 Redis默认提供三种系统策略供用户选择，策略仅包括管理控制台内的相关功能权限，涉及订单下单等非管理控制台的权限还需进行相应的权限配置。Redis的三种默认策略分别是管理员策略（admin），使用者策略（user），浏览者策略（reviewer），三种策略的权限模型具体如下： 权限名称 权限类型 IAM角色 权限名称 权限类型 admin user reviewer 计费模式 读 Y Y Y 实例缩容 写 Y 集群备份 写 Y Y 监控查询 读 Y Y Y 查询 读 Y Y Y 还原点删除 写 Y Y 接入机集详情 读 Y Y Y 修改接入机配置 写 Y Y 接入机地址 写 Y Y 接入机节点更多按钮 读 Y Y Y 接入机节点管理 读 Y Y Y 接入机启动 写 Y Y 接入机停止 写 Y Y 查看接入机配置 读 Y Y Y 创建账号 写 Y Y 账号删除 写 Y Y 账号备注修改 写 Y Y 账号管理 读 Y Y Y 账号权限修改 写 Y Y 账号重置密码 写 Y Y 账号使用说明 读 Y Y Y 告警管理 读 Y Y Y 告警事件历史 读 Y Y Y 通知组 写 Y Y 通知策略 写 Y Y 告警规则 写 Y Y 告警发送历史 读 Y Y Y 应用管理 写 Y Y 备份策略 写 Y Y 下载证书 读 Y Y Y 更新证书 写 Y Y 客户端会话 写 Y Y 自动刷新 读 Y Y Y 控制台切换 读 Y Y Y 分布式缓存 读 Y Y Y 清除分组数据 写 Y Y 命令窗口 写 Y Y 删除 写 Y Y 查询 读 Y Y Y 修改 写 Y Y 实例管理 读 Y Y Y 包周期互转 写 Y Y 实例参数设置 写 Y Y 接入机监控 读 Y Y Y 客户端监控 读 Y Y Y 实例 读 Y Y Y 一键检测readonly 读 Y Y Y 数据闪回 写 Y Y 备份对象存储 写 Y Y 批量主从切换 写 Y Y Redis集群详情 读 Y Y Y 实例配置 写 Y Y 强一致性配置 写 Y Y 新增 写 Y Y 应用数据管理 读 Y Y Y 重新同步数据 写 Y Y 运行日志 读 Y Y Y 清空实例数据 写 Y Y 节点监控 读 Y Y Y Redis更多按钮 读 Y Y Y Redis集群节点管理 读 Y Y Y 一键还原管理 读 Y Y Y redis资源监控 读 Y Y Y 克隆 写 Y Y 一键还原 写 Y Y 慢查询 读 Y Y Y redis启动 写 Y Y redis停止 写 Y Y 主从切换 写 Y Y 静默策略 写 Y Y 清除慢日志 写 Y Y 历史慢日志 读 Y Y Y 慢日志 读 Y Y Y ssl连接说明 读 Y Y Y ssl加密 写 Y Y topkey分析 读 Y Y Y 实时 读 Y Y Y 新增实例账户 写 Y Y 实例账号 读 Y Y Y 监控告警 读 Y Y Y 修改实例账户 写 Y Y 命令窗口 写 Y Y 分组管理 写 Y Y 删除实例账户 写 Y Y 新增分组 写 Y Y 新增账号 写 Y Y 变更维护时间 写 Y Y 弹性ip 写 Y Y 重置密码 写 Y Y 对应的接入机 写 Y Y 查询实例账户 读 Y Y Y 查看key详情 读 Y Y Y 查询key数量 读 Y Y Y 删除分组 写 Y Y 清除数据 写 Y Y 续订 写 Y 退订 写 Y 添加白名单分组 写 Y Y 白名单删除 写 Y Y 白名单设置 写 Y Y 实例配置修改 写 Y Y 到期时间 读 Y Y Y 扩容 写 Y 白名单修改 写 Y Y 删除实例数据 写 Y Y 管理 读 Y Y Y 新增实例 写 Y 创建实例 写 Y 删除实例 写 Y 实例扩容 写 Y

数据库SQL开发规范 在程序中，建议使用预编译语句进行数据库操作。预编译只编译一次，以后在该程序中就可以调用多次，比SQL效率高。 避免数据类型的隐式转换，隐式转换会导致索引失效。禁止在where从句中对列进行函数转换和计算，会导致索引失效。 避免使用双%号或前置%号的查询条件，这样无法利用到索引。 禁止在查询中使用 select 语句。原因如下： 1. 使用 select 会消耗更多的CPU和IP以及网络带宽资源。 2. 使用 select 无法使用覆盖索引。 3. 不使用 select 可以减少表结构变更对代码带来的影响。 避免使用子查询，子查询会产生临时表，临时表没有任何索引，数据量大时严重影响效率。建议把子查询转化成关联查询。 避免使用JOIN关联太多的表，建议不要超过5个表的JOIN操作。需要JOIN的字段，数据类型必须绝对一致。每JOIN一个表会多占用一部分内存（由“joinbuffersize”控制），会产生临时表操作，影响查询效率。避免使用自然连接（natural join）。 尽量减少同数据库的交互次数，数据库更适合处理批量操作。 使用IN代替OR IN操作可以有效的利用索引，IN的值不要超过500个。 不使用反向查询，如：NOT IN、NOT LIKE 禁止使用 ORDER BY RAND() 进行随机排序。该操作会把表中所有符合条件的数据装载到内存中进行排序，消耗大量的CPU和IO及内存资源。推荐在程序中获取一个随机值，然后根据随机值从数据库获取数据。 在不需要去重的情况下，要使用UNION ALL代替UNION。UNION ALL不需要对结果集再进⾏行排序。 合并多个相同操作到一起，可以提高处理效率，数据库更适合处理批量操作。通过批量操作减少同数据库交互次数。 超过100万行的批量写操作，要分批多次进行操作。大批量写操作可能会造成严重的主从延迟。 如果有ORDER BY的场景，请注意利用索引的有序性。ORDER BY最后的字段是组合索引的一部分，并且放在索引组合顺序的最后。避免出现filesort的情况，影响查询性能。正例： where a? and b? order by c; ，索引：abc反例：索引中有范围查找，那么索引有序性无法利用，如： WHERE a>10 ORDER BY b; ，索引ab无法排序。 尽量使用ANSI SQL标准语法进行DML操作，而不是用MySQL扩展的SQL语法。常见的MySQL扩展SQL语法有： 1. REPLACE INTO 2. INSERT ... ON DUPLICATE KEY UPDATE 不建议使用存储过程，存储过程难以调试和扩展，更没有移植性。 不建议使用触发器，事件调度器（event scheduler）和视图实现业务逻辑，这些业务逻辑应该在业务层处理，避免对数据库产生逻辑依赖。 不建议使用大事务，业务允许的情况下，事务里包含SQL语句越少越好，尽量不超过5个。因为过长的事务会导致锁数据较久，以及MySQL内部缓存、连接消耗过多等问题。 TRUNCATE TABLE比DELETE速度快，且使用的系统和日志资源少，如果删除的表上没有TRIGGER，且进行全表删除，建议使用TRUNCATE TABLE。

值守保障 重保服务期间，天翼云资深专家将提供业务核心保障时段的7×24小时值守，严格按照重保方案开展业务巡检、数据报送、业务态势分析等主动服务工作。 应急响应 重保服务期间，天翼云重保团队实时监控业务情况，并实施分钟级监控告警、分钟级应急响应，7×24小时通报预警、组织应急处置、协助修复，提供突发事件初步分析。 成果汇报 重保结束后，天翼云重保团队将对保障工作进行总结，梳理保障期间的安全事件、响应过程、处理方案，复盘重保可优化事项，整理、汇总重保的完整过程资料，形成重保交付物并向客户做总结汇报。 客户确认无误后，重保服务结束。 注意 上述服务内容会根据客户所订购服务版本、具体产品、重保目标进行适当调整，实际提供的服务内容均以准备阶段客户方与天翼云方共同确认的定制服务方案内容为准。

本章节主要介绍如何查看告警列表。 告警列表显示了MRS集群中的所有告警信息，MRS界面显示需要用户及时处理的“告警”和标志事情发生的“事件。 MRS管理控制台“告警管理”只能查询MRS中未清除告警的基本信息，查看详细信息或管理告警具体请参见查看与手动清除告警。 告警列表默认按时间顺序排列，时间最近的告警显示在最前端。 告警信息中的各字段说明如下表所示。 参数 参数说明 告警ID 告警的ID。 告警名 告警的名称。 级别 告警级别。 MRS 3.x之前版本集群告警级别为： 致命 指集群服务不可用，节点故障、GaussDB主备数据不同步、LdapServer数据同步异常等影响集群正常运行的告警，需要根据告警及时检查集群情况并恢复。 严重 指集群部分功能不可用的告警，包括进程故障、周期备份任务失败、关键文件权限异常等，需要根据告警及时检查报告告警的对象并恢复。 一般 指不影响当前集群主要功能的告警，包括证书文件即将过期、审计日志转储失败、License文件即将过期等告警。 提示 指级别最低的一种告警，起到信息展示或信息提示的作用，标识这件事情的发生，一般包括：停止服务、删除服务、停止实例、删除实例、删除节点、重启服务、重启实例、Manager主备倒换、缩容主机、实例恢复、实例故障、作业执行成功、作业执行失败等。 MRS 3.x及之后版本集群告警级别为： 紧急 指集群服务不可用，节点故障、GaussDB主备数据不同步、LdapServer数据同步异常等影响集群正常运行的告警，需要根据告警及时检查集群情况并恢复。 重要 指集群部分功能不可用的告警，包括进程故障、周期备份任务失败、关键文件权限异常等，需要根据告警及时检查报告告警的对象并恢复。 次要 指不影响当前集群主要功能的告警，包括证书文件即将过期、审计日志转储失败、License文件即将过期等告警。 提示 指级别最低的一种告警，起到信息展示或信息提示的作用，标识这件事情的发生，一般包括：停止服务、删除服务、停止实例、删除实例、删除节点、重启服务、重启实例、Manager主备倒换、缩容主机、实例恢复、实例故障、作业执行成功、作业执行失败等。 生成时间 产生告警的时间。 定位信息 告警的详细信息。 操作 当告警可手动清除时，单击“清除告警”进行处理。 按钮说明 按钮 说明 在下拉框中选择刷新告警列表的周期。 每30s刷新一次 每60s刷新一次 停止刷新 在下拉框中选择告警级别，筛选告警。 MRS 3.x之前版本集群可筛选告警包括：全部、致命、严重、一般、提示。 MRS 3.x及之后版本集群可筛选告警包括：全部、紧急、重要、次要、提示。 单击，手动刷新告警列表。 高级搜索 单击“高级搜索”显示告警搜索区域，设置查询条件后，单击“搜索”，查看指定的告警信息。单击“重置”清除输入的搜索条件。

子账号使用流程 前置条件 子账号为IAM普通用户角色且已登录到一站式智算平台 主账号使用流程 若子账号为IAM管理员角色，则其拥有全部操作权限，操作流程和主账号别无二致，故角色为IAM管理员的子账号使用流程参见主账号使用流程章节；角色为IAM普通用户的子账号，使用流程如下： 子账号的使用流程主要是为了进行任务作业，具体步骤如下： 流程 子任务 说明 详细指导 数据集准备与处理 创建基础数据集 可上传基础数据集到ZOS或HPFS 基础数据集 数据集准备与处理 创建标注数据集 创建标注数据集，可对数据集进行标注，并发布为新的数据集 标注数据集 数据集准备与处理 数据清洗 可以对数据 数据处理 镜像准备 预置镜像 预置镜像即平台预先设置的完整镜像，可直接用于创建任务时使用 预置镜像 镜像准备 自定义镜像 可以通过开发机自主制作镜像或通过天翼云容器镜像服务将镜像服务内的容器共享给一体化智算平台 自定义镜像 镜像准备 他人分享镜像 可将自己的镜像分享给他人使用 镜像分享 代码准备 导入代码包 将代码上传到平台 我的代码包 模型准备 导入模型 可将用户自己的模型或在平台训练、精调好的模型导入到平台进行版本管理、评估及部署 我的模型 AI作业 模型开发 可通过启动和管理在线JupyterLab或VSCode集成开发环境在线编程进行模型开发 开发机 AI作业 模型训练 创建自定义创建训练任务，支持单机和多机分布式训练 训练任务 AI作业 模型精调 零代码快速创建和管理精调任务，提供全参微调和lora微调两种精调方式。基于平台的基础大模型，选择训练数据集和算力即可快速启动精调任务。 模型精调 AI作业 模型评估 可对模型进行评估，自动评估打分，生成评估报告 模型评估 AI作业 模型压缩 不减少模型效果的前提下压缩模型大小，进而提升模型在推理调用时的性能 模型压缩 AI作业 模型部署 部署模型，提供推理服务 模型服务 AI作业 体验模型 可以对预置模型和自己部署的模型进行体验 体验中心 综合管理 工作空间管理 查看工作空间相关信息，若是工作空间的管理员可以进行相关操作 工作空间 综合管理 操作审计 对平台操作事件进行跟踪 操作审计

创建数据集 1. 创建普通存储数据集：登录智算服务控制台，单击左侧菜单栏的“智算资产”>“我的数据集”菜单项进入我的数据集模块，点击“基础数据集“菜单，选择“普通/智算存储”，点击【+创建普通/智算存储数据集】，进入创建页面 2. 填写相关配置并提交。基础数据集创建目前仅支持使用自有存储，创建完成后，自动为您创建拼接此数据后缀的容器内挂载路径。 类型 字段 说明 存储基本信息 数据集名称 压缩任务名称，不超过20个字符 存储基本信息 描述 数据集描述信息 权限配置 可见范围 读写权限范围，支持设置仅文件所有者可见、指定工作空间内的算法开发角色可见两种权限策略 存储位置 存储桶/HPFS名称 您租户账号下的存储桶或HPFS名称；若您还未创建，您可点击【去创建】跳转到存储控制台进行创建 存储位置 ZOS/HPFS路径 您对应存储的具体的目录路径，您可根据提示示例进行填写，平台会对您填写路径的存在性进行校验，若校验不通过会进行提示，并禁止提交。 对于管理员用户，此项选填；对于普通子用户，此项必填。 特殊配置 设为保密数据集 对于某些行业客户，在大模型训练时会涉及到保密数据的处理问题，比如需要避免用户下载到本地造成数据泄漏，针对这类问题，平台推出了特色的数据保密功能，以应对用户下载或拷贝保密数据的行为。相关配置仅对管理员用户开放，且此功能会增加操作复杂度和资源占用，建议您只在需要的时候使用。 开启此按钮后，可将本数据集设置为保密数据集。开启保密后，此数据集将：1）仅支持读操作，禁止写操作，运行后的输出将单独写入到保密输出路径；2）数据挂载到容器时禁止访问外网。 特殊配置 设为保密数据集的输出路径 若您已设置保密数据集，您还需再创建一个保密输出数据集，专门用于存储保密数据集的输出，并谨慎设置相关权限：1）若您使用了自有存储，建议您只给自己或管理者读写权限（需前往对应存储控制台设置），即您需要确保这是由您完全可控的存储；2）此数据集的可见范围（在本页面的权限配置设置），建议您只对需要的用户设置。 特殊配置 云审计 您设置好保密输出路径后，会自动弹出云审计设置，此设置对使用了对应保密输出数据集的任务生效。开启云审计后，使用此保密输出数据集的任务在容器内的命令操作将会被记录并发送到云审计，并标识拷贝等高危操作。 特殊配置 审计频率 您开启云审计后，会弹出审计频率设置。审计频率是指审计上报的时间间隔，支持输入11440的整数。如果您设置的时间间隔太短，频繁扫描将会增加损耗，如时间太长，上报的事件信息较密集，建议您根据业务实际情况填写合适的时间。

本节介绍如何配置敏感信息泄露规则。 您可以添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“防敏感信息泄露”的配置框中，用户可根据自己的需要更改“状态”，单击“自定义防敏感信息泄露规则”，进入“防敏感信息泄露”规则配置页面。 步骤7 在“防敏感信息泄露”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框，添加防敏感信息泄露规则。 “防敏感信息泄露”规则既能防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露，也能够拦截指定的HTTP响应码页面。 敏感信息过滤：针对网站页面中可能存在的电话号码和身份证等敏感信息，配置相应的规则对其进行屏蔽处理。例如，您可以通过设置以下防护规则，屏蔽身份证号、电话号码和电子邮箱敏感信息。 响应码拦截：针对特定的HTTP请求状态码，可配置规则将其拦截，避免服务器敏感信息泄露。例如，您可以通过设置以下防护规则，拦截HTTP 404、502、503状态码。 参数说明： 参数名称 参数说明 取值样例 ::: 路径 需要过滤敏感信息（例如：身份证号、电话号码、电子邮箱等）或者拦截响应码的URL不包含域名的路径。 前缀匹配：填写的路径前缀与需要防护的路径相同即可。 如果防护路径为“/admin”，该规则填写为“/admin”，该规则生效。 精准匹配：需要防护的路径需要与此处填写的路径完全相等。 如果防护路径为“/admin”，该规则必须填写为“/admin”。 说明 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有多条斜线的配置，如“///admin”，访问时，引擎会将“///”转为“/”。 /admin 类型 敏感信息过滤：防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截：拦截指定的HTTP响应码页面。 敏感信息过滤 内容 防护“类型”对应的防护内容，支持多选。 身份证号码 规则描述 可选参数，设置该规则的备注信息。 步骤9 单击“确认”，添加的防敏感信息泄露规则展示在防敏感信息泄露规则列表中。

数据库SQL开发规范 在程序中，建议使用预编译语句进行数据库操作。预编译只编译一次，以后在该程序中就可以调用多次，比SQL效率高。 避免数据类型的隐式转换，隐式转换会导致索引失效。禁止在WHERE从句中对列进行函数转换和计算，会导致索引失效。 避免使用双%号或前置%号的查询条件，这样无法利用到索引。 禁止在查询中使用SELECT 语句。原因如下： 使用SELECT 会消耗更多的CPU和IP以及网络带宽资源。 使用SELECT 无法使用覆盖索引。 不使用SELECT 可以减少表结构变更对代码带来的影响。 避免使用子查询，子查询会产生临时表，临时表没有任何索引，数据量大时严重影响效率。建议把子查询转化成关联查询。 避免使用JOIN关联太多的表，建议不要超过5个表的JOIN操作。需要JOIN的字段，数据类型必须绝对一致。每JOIN一个表会多占用一部分内存（由 joinbuffersize 控制），会产生临时表操作，影响查询效率。避免使用自然连接（NATURAL JOIN）。 尽量减少同数据库的交互次数，数据库更适合处理批量操作。 使用IN代替OR IN操作可以有效的利用索引，IN的值不要超过500个。 不使用反向查询，如：NOT IN、NOT LIKE。 禁止使用 ORDER BY RAND() 进行随机排序。该操作会把表中所有符合条件的数据装载到内存中进行排序，消耗大量的CPU和IO及内存资源。推荐在程序中获取一个随机值，然后根据随机值从数据库获取数据。 在不需要去重的情况下，要使用UNION ALL代替UNION。UNION ALL不需要对结果集再进⾏行排序。 合并多个相同操作到一起，可以提高处理效率，数据库更适合处理批量操作。通过批量操作减少同数据库交互次数。 超过100万行的批量写操作，要分批多次进行操作。大批量写操作可能会造成严重的主从延迟。 如果有ORDER BY的场景，请注意利用索引的有序性： ORDER BY最后的字段是组合索引的一部分，并且放在索引组合顺序的最后。 避免出现filesort的情况，影响查询性能。 正例：WHERE a? and b? ORDER BY c;，索引：abc。 反例：索引中有范围查找，那么索引有序性无法利用，如：WHERE a>10 ORDER BY b;，索引ab无法排序。 尽量使用ANSI SQL标准语法进行DML操作，而不是用MySQL扩展的SQL语法。常见的MySQL扩展SQL语法有： REPLACE INTO。 INSERT ... ON DUPLICATE KEY UPDATE。 不建议使用存储过程，存储过程难以调试和扩展，更没有移植性。 不建议使用触发器，事件调度器（event scheduler）和视图实现业务逻辑，这些业务逻辑应该在业务层处理，避免对数据库产生逻辑依赖。 不建议使用大事务，业务允许的情况下，事务里包含SQL语句越少越好，尽量不超过5个。因为过长的事务会导致锁数据较久，以及MySQL内部缓存、连接消耗过多等问题。 TRUNCATE TABLE比DELETE速度快，且使用的系统和日志资源少，如果删除的表上没有TRIGGER，且进行全表删除，建议使用TRUNCATE TABLE。

本节主要介绍步骤二：查询迁移进度 迁移进度展示了迁移过程中，实时迁移任务的表迁移进度，可以帮助您了解迁移完成的情况。 DRS提供流式进度展示，帮助您在迁移过程中实时了解迁移进展。全量迁移过程中，展示迁移进度总览和迁移明细。 进度总览中，您可以查看结构、数据、索引迁移的进度，当显示为100%时，表示该项迁移完成。过程中，数据和索引的迁移相对较慢。 迁移明细中，您可以查看具体迁移对象的迁移进度，当“对象数目”和“已迁移数目”相等时，表示该对象已经迁移完成，可通过“查看详情”查看每个对象的迁移进度。增量迁移中，“进度明细”将不再显示，您可以使用“迁移对比”页签查看一致性情况。 说明 目前仅MySQL到MySQL迁移的白名单用户该支持查看迁移明细，需要提交工单申请才能使用。 在任务未结束前，不能修改源库和目标库的所有用户、密码和用户权限等。 全量、增量完成不代表任务结束，如果存在触发器和事件将会进行迁移。 前提条件 已登录数据库复制服务控制台。 已启动迁移任务。 操作步骤 1、在“实时迁移管理”界面，选中指定迁移任务，单击任务名称，进入“基本信息”页面。 2、单击“迁移进度”页签，查看迁移进度。 查看结构、数据、索引的迁移的百分比进度。 “全量迁移”模式：当全量迁移完成时，显示全量迁移各项指标完成进度100%。 “全量+增量”迁移模式：全量迁移完成后，开始进行增量迁移可，在“迁移进度”页签下，查看增量迁移同步时延。 图 迁移进度总览 增量迁移时延也可在“实时迁移管理”界面查看，当增量时延超过用户设置或系统默认的时延阈值时，任务管理界面增量时延显示为红色。 说明 时延 源库当前系统时间 成功同步到目标库的最新一个事务在源库的提交成功时间。 一个事务同步的完整过程如下： 源端数据库的抽取； 经过网络的传输； 由DRS进行日志解析； 最终在目标数据库上的执行完成。 这样完成了事务从源到目标的同步，时延为该事务最后在目标数据库上执行完成时的源库当前系统时间（currenttime）与该事务在源库的提交成功时间（committedtime）的时间差，时延为0代表源和目标瞬时一致，无新的事务需要同步。 注意 长时间未提交事务和频繁DDL操作均可以造成高时延。 查看迁移对象的进度。在“进度明细”下，单击目标迁移对象“详细信息”列的“查看详情”，查看对象的迁移进度，进入增量迁移后，该数据将不再显示，您可以使用“迁移对比”页签，进行一致性对比。 图 迁移进度明细 查看读写数据性能。单击“监控图表”查看读写数据性能，该图表展示了实时读取源库和写入目标库数据的速率，其单位为MB/s。 图 性能监控

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

组件 参数 详情 默认 修改限制 容器引擎Docker配置 nativeumask execopt native.umask normal 不支持修改 dockerbasesize storageopts dm.basesize 0 不支持修改 insecureregistry 不安全的镜像源地址 false 不支持修改 limitcore 核数限制，节点池中创建的节点总核数不能超过该值 5368709120 defaultulimitnofile 容器内句柄数限制 {soft}:{hard} 该值大小不可超过节点内核参数nropen的值，且不能是负数。 节点内核参数nropen可通过以下命令获取：sysctl a grep nropen kubeproxy组件配置 conntrackmin sysctl w net.nfconntrackmax 131072 支持在节点池生命周期中修改 conntracktcptimeoutclosewait sysctl w net.netfilter.nfconntracktcptimeoutclosewait 1h0m0s kubelet组件配置 cpumanagerpolicy cpumanagerpolicy none 支持在节点池生命周期中修改 kubeapiqps 与kubeapiserver通信的qps 100 kubeapiburst 与kubeapiserver通信的burst 100 maxpods kubelet管理的pod上限 4020 podpidslimit k8s 限制进程数 1 withlocaldns 是否使用本地IP作为该节点的ClusterDNS false eventqps 事件创建QPS限制 5 allowedunsafesysctls 允许使用的不安全系统配置。 CCE从 1.17.17 集群版本开始，kubeapiserver开启了pod安全策略， 需要在pod安全策略的allowedUnsafeSysctls中增加相应的配置才能生效（1.17.17以下版本的集群可不配置）。 [] kubereservedmemsystemreservedmem 节点内存预留。 随节点规格变动，具体请参见节点预留资源计算公式 kubereservedmem，systemreservedmem之和小于内存的一半 topologymanagerpolicy 设置拓扑管理策略。合法值包括： restricted：kubelet 仅接受在所请求资源上实现最佳 NUMA对齐的Pod。 besteffort：kubelet会优先选择在 CPU 和设备资源上实现NUMA对齐的Pod。 none（默认）：不启用拓扑管理策略。 singlenumanode：kubelet仅允许在 CPU和设备资源上对齐到同一NUMA节点的Pod。 none 支持在节点池生命周期中修改须知修改topologymanagerpolicy和topologymanagerscope会重启kubelet， 并且以更改后的策略重新计算容器实例的资源分配，这有可能导致已经运行的容器实例重启甚至无法进行资源分配。 topologymanagerscope 设置拓扑管理策略的资源对齐粒度。合法值包括： container （默认)：对齐粒度为容器级 pod：对齐粒度为pod级 container oversubscriptionresource 节点超卖特性。仅 弹性云主机物理机 类型的节点池可见，设置为true表示开启节点超卖特性。 nicminimumtarget 节点池级别的节点最少绑定容器网卡数 默认：10 nicmaximumtarget 节点池级别的节点预热容器网卡上限检查值 默认：0 nicwarmtarget 节点池级别的节点动态预热容器网卡数 默认：2 nicmaxabovewarmtarget 节点池级别的节点预热容器网卡回收阈值 默认：2 容器引擎Containerd配置（仅使用Containerd的节点池可见） devmapperbasesize 单容器可用数据空间 不支持修改 limitcore 核数限制 5368709120 defaultulimitnofile 容器内句柄数限制 1048576 该值大小不可超过节点内核参数nropen的值，且不能是负数。 节点内核参数nropen可通过以下命令获取：sysctl a grep nropen

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

创建新模板 1. 如没有可用的模板或版本，请选择获取模板方式为 创建新模板 2. 平台将自动为您生成模板名称，支持修改 3. 在模板内容部分，请先新增一个.tf文件，建议将文件命名为“main.tf”。您可继续添加多个文件、文件夹对您的模板进行结构化定义 4. 在文件中按照 terraform语法 定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等）的增删改查语句 5. 您在此编辑的模板内容，提交后将被保存为一个新模板 步骤2 配置参数 1. 请在步骤2完成模板的参数配置，具体见表格。 参数 是否必填 参数说明 参考样例 加密敏感参数 否 1. 如果您在模板中设置参数的“sensitive”值为“true”，平台将支持为您加密敏感参数。 2. 资源编排将使用天翼云云产品 密钥管理服务 对您的敏感参数（参数的“sensitive”值为“true”）进行加密，密钥管理服务会创建默认密钥“ros”。 该默认密钥免费，请放心使用。 配置模板参数 否 如果模板中定义了自定义变量，您还需要完成变量配置，变量的配置需要符合模板中定义的校验规则。 如您仍选择原有模板更新资源栈，平台将为您自动填充原先设置的参数值 如参数值与模板中设置的默认值不一致，平台将提示您两个值不一致，请在确认后提交 模板示例 2. 提交表单时，推荐选择单击创建执行计划，此时您还需要补充以下执行计划信息。 执行计划是一套资源栈配置的记录。部署资源栈前，您可通过浏览执行计划，提前评估部署动作对于当前资源的整体影响。 参数 是否必填 参数说明 参考样例 执行计划名称 是 自动填充默认值。 最长可输入128字符。 仅允许输入中英文、数字、下划线和中划线，且必须以字母或中文开头。 executionPlan202509281713sokRRg 执行计划说明 否 可简要说明资源栈的更新内容，最长可输入255字符 批量创建5台云主机 单击确认 ，平台将创建一个执行计划，待执行计划状态由“创建中”跳转为“创建成功，待部署”后，您可继续部署资源栈。部署资源栈前，您可在执行计划详情中，确认资源变更和价格变更内容后，再部署资源栈。 8. 提交表单时，您可选择单击直接部署资源栈 ，此时平台将直接部署资源栈，而不会创建执行计划，即不会记录您本次部署的变更内容。此时您可在资源栈详情的事件页面查看部署状态。部署资源栈请参考部署资源栈。 注意：直接部署将会立即创建资源并产生相关费用，该操作为危险操作，不建议执行，请谨慎确认后再操作。

创建新模板 1. 如没有可用的模板或版本，请选择获取模板方式为 创建新模板 2. 平台将自动为您生成模板名称，支持修改 3. 在模板内容部分，请先新增一个.tf文件，建议将文件命名为“main.tf”。您可继续添加多个文件、文件夹对您的模板进行结构化定义 4. 在文件中按照 terraform语法 定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等）的增删改查语句 5. 您在此编辑的模板内容，提交后将被保存为一个新模板 步骤2 配置参数 1. 请在步骤2完成模板的参数配置，具体见表格。 参数 是否必填 参数说明 参考样例 加密敏感参数 否 1. 如果您在模板中设置参数的“sensitive”值为“true”，平台将支持为您加密敏感参数。 2. 资源编排将使用天翼云云产品 密钥管理服务 对您的敏感参数（参数的“sensitive”值为“true”）进行加密，密钥管理服务会创建默认密钥“ros”。 该默认密钥免费，请放心使用。 配置模板参数 否 如果模板中定义了自定义变量，您还需要完成变量配置，变量的配置需要符合模板中定义的校验规则。 如您仍选择原有模板更新资源栈，平台将为您自动填充原先设置的参数值 如参数值与模板中设置的默认值不一致，平台将提示您两个值不一致，请在确认后提交 模板示例 2. 提交表单时，推荐选择单击创建执行计划，此时您还需要补充以下执行计划信息。 执行计划是一套资源栈配置的记录。部署资源栈前，您可通过浏览执行计划，提前评估部署动作对于当前资源的整体影响。 参数 是否必填 参数说明 参考样例 执行计划名称 是 自动填充默认值。 最长可输入128字符。 仅允许输入中英文、数字、下划线和中划线，且必须以字母或中文开头。 executionPlan202509281713sokRRg 执行计划说明 否 可简要说明资源栈的更新内容，最长可输入255字符 批量创建5台云主机 单击确认 ，平台将创建一个执行计划，待执行计划状态由“创建中”跳转为“创建成功，待部署”后，您可继续部署资源栈。部署资源栈前，您可在执行计划详情中，确认资源变更和价格变更内容后，再部署资源栈。 8. 提交表单时，您可选择单击直接部署资源栈 ，此时平台将直接部署资源栈，而不会创建执行计划，即不会记录您本次部署的变更内容。此时您可在资源栈详情的事件页面查看部署状态。部署资源栈请参考部署资源栈。 注意：直接部署将会立即创建资源并产生相关费用，该操作为危险操作，不建议执行，请谨慎确认后再操作。

3、创建快照（VolumeSnapshot） 进入主菜单“存储”——“快照与备份”，选择快照，单击左上角“创建快照”； 在创建对话框，配置快照的相关参数。配置项说明如下： 参数配置完成后，点击“确定”。创建成功后，可以在快照列表查看。 配置项 说明 名称 VolumeSnapshot 名称。 存储类型 这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 快照类 选择上一步创建的VolumeSnapshotClass 。 存储卷声明 选择要创建快照的PVC，仅能选择云硬盘类型PVC。 注意 只有当快照状态变为“就绪”时，才表示快照真正创建完成。 通过控制台使用云盘快照 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 “存储”——“快照与备份”，进入快照列表页，选择指定快照，点击操作“创建存储卷快照PVC”。 在创建对话框，配置PVC的相关参数。配置项说明如下： 配置项 说明 名称 PVC的名称。 存储声明类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 StorageClass名称 选择上一步创建的StorageClass。 容量 最小容量为快照大小。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。 说明：如果使用共享盘存储，卷模式仅支持块设备（Block）。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载 说明：如果使用非共享盘存储，访问模式不能为ReadWriteMany或者ReadOnlyMany。仅卷模式为块设备（Block）时，才可以使用共享盘，访问模式才可以为ReadWriteMany或者ReadOnlyMany。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷声明列表查看。 进入持久卷声明列表页，等待PVC状态为“已绑定” 。此时，进入主菜单“存储”——“持久卷“，可以看到对应的PV创建 。 如果PVC一直未绑定，可以查看进入对应PVC详情页查看事件，或者查看cstorcsi日志进行定位。 注意 当源盘PVC的卷模式与基于该源盘快照创建的新PVC的卷模式不一致时，可能导致数据层面的异常。 例如：当源盘PVC是Block的卷模式，而源盘快照创建的新PVC的卷模式为Filesystem，则新的PVC在pod使用时会格式化成用户想要的文件系统，由于源盘中的数据为非文件系统格式，外部组件无法识别其内容，可能将其视为无效数据并进行覆盖，从而导致原有数据丢失。 因此，用户需确保源盘PVC的卷模式与基于其快照创建的新PVC的卷模式保持一致。 此外，若源盘PVC使用的文件系统为非常规类型，或文件系统本身存在兼容性损耗，可能导致CSI调用Linux命令时无法正确识别该文件系统，进而触发文件系统重建，造成数据丢失风险。