本章节介绍如何使用云容器引擎快速接入云原生网关 概述 云原生网关体验流程如下： 创建网关实例 > 绑定ELB > 添加服务来源 > 添加服务 > 配置路由规则 > 测试验证 > 查看监控 前置条件 1. 已创建云原生网关实例； 2. 已创建ELB实例； 3. 已开通天翼云日志服务（LTS）和应用性能监控服务（APM），网关实例开启了指标监控、链路追踪和日志服务； 绑定ELB 实例开通成功后，需要绑定到ELB提供外部访问；当前支持私网ELB和公网ELB；可以到ELB开通页面在网关同VPC下创建ELB实例； 从网关列表页选择指定网关进入网关详情页，在基础信息页可以看到网关入口选项，选择绑定ELB，在下拉列表中选择已经开通的公网或者私网ELB实例及端口，绑定即可。 绑定完成后可以看到当前绑定的ELB列表及访问地址。 添加服务来源 通过网关列表页面选择网关实例进入对应实例的详情页，在服务来源子菜单下可以添加云原生网关的服务来源，当前支持将与网关同vpc下的nacos实例和云容器引擎集群作为服务来源 添加服务 在网关实例服务列表菜单下可以创建服务，当前支持从容器、Nacos服务来源创建服务，或者创建固定地址的服务； 选择从容器创建服务时需要指定： （1）服务所在的命名空间； （2）在服务列表栏可以看到选择的命名空间下的服务信息（K8s Service），每个服务可能有多个端口，在云原生网关中，每个端口都可以创建为一个服务； （3）根据需求可以配置后端服务的请求协议（HTTP、HTTPS、GRPC、GRPCS）、websocket选项、MTLS选项等；

本节介绍云下一代防火墙变更配置。 云下一代防火墙变更配置仅支持从单节点升配为主备部署和增加可选功能，不支持变更版本，也不支持去勾选可选功能： 主备部署模式变更 云下一代防火墙支持从单节点升配为主备部署，主备部署的防火墙可形成高可用，避免单点故障风险。 在实例监控页面点击升配按钮。 在升配页面的主备部署模式选择“主备部署”即可。 注意 云一代防火墙升配为主备部署模式会自动部署一套防火墙，如有需要可提工单联系售后人员完成相关网络配置。 云下一代防火墙升配主备模式后不可恢复，升级前请核实需求。 增加可选功能模块 云下一代防火墙支持补充订购扩展功能模块，扩展功能订购做功能升级处理，资费按照每月每功能模块计算。 1.在实例监控页面，点击升配按钮。 2.在升配页面，勾选需要增加的可选功能模块即可。

本节介绍如何为日志审计v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 日志审计开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的日志审计、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 登录日志审计系统 在云等保专区左侧导航栏，选择“日志审计”，在目标资源右侧操作列单击“配置”，进入日志审计系统。 开启IPv6防护 开通日志审计v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

当您需要从外部系统或客户端访问部署在CCE中的服务时,可以通过在云原生API网关中创建HTTP API,从而实现访问CCE里应用提供的服务,提升了服务的可访问性和外部集成能力。本文介绍如何通过配置HTTP API来访问CCE应用中的服务。 前提条件 1. 已具备云容器引擎CCE实例，参见 创建一个CCE应用集群。 2. 部署微服务demo到云容器引擎CCE实例，参见 创建工作负载及服务 或者 使用容器镜像服务发布容器应用。 3. 已经创建云原生API网关实例，具体操作请参见 创建网关实例。 方案概览 1. 创建HTTP API：配置API的基本信息。 2. 创建路由： 配置路由规则：定义API与CCSE服务的映射关系，确保请求能够准确地被路由到正确的目标服务。 所属实例：选择对应的云原生网关实例，确保路由配置在实际部署时能够正确应用。 关联服务：将服务实例与路由规则关联，实现服务的动态发现与调用，提升系统的灵活性和扩展性。 3. 路由调试：通过模拟请求和分析响应，验证云原生API网关与CCSE服务的集成是否符合预期，确保服务调用的高效性和稳定性。 步骤一：创建HTTP API 1. 登录云原生API网关控制台。 2. 在左侧导航栏，选择 "API"，并在顶部菜单栏选择地域。 3. 在API页面单击"创建API">类型选择"HTTP API">单击"创建"，在创建HTTP API页面填写API名称和描述。

说明 运维安全中心（云堡垒机）仅支持二类节点部署的云审计服务。 开启了云审计服务后，系统开始记录运维安全中心（云堡垒机）实例的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 在页面左上角单击，选择“管理与部署> 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： “事件来源”、“资源类型”和“筛选类型”。 在下拉框中选择查询条件，例如：依次选择“CBH”>“cbh”>“按事件名称”>“createInstance”，单击“查询”，查询所有创建CBH实例的操作。 事件名称：选择具体的事件名称，例如createInstance。 资源ID：选择或者手动输入需要查看审计日志的CBH实例ID。 资源名称：选择或手动输入需要查看审计日志的CBH实例名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 “起始时间”、“结束时间”：可通过选择时间段查询操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息。 7. 在需要查看的记录右侧，单击“查看事件”，查看该操作事件结构的详细信息。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本节介绍安全云应用的产品介绍。 产品简介 安全云应用是一种基于天翼云托管的应用程序流式传输服务，通过天翼云自研的clink传输协议，将音视频、图像、外设等信息传输到用户的远程设备上，实现跨平台、安全、易用的应用程序访问。 注意 目前安全云应用功能仅在部分资源池（石家庄3、郴州2、佛山3）开放，如当前资源池的AI云电脑（政企版）控制台没有安全云应用的功能菜单，请联系运维客服进行开通（运维客服邮箱：clouddesktop@chinatelecom.cn）。 应用场景 国产化转型 在国产操作系统上无缝运行Windows应用，确保用户业务系统的连续性，轻松实现国产化转型。 安全办公场景 远程访问应用，内外网隔离，兼顾外网访问需求的同时，最大限度保证用户数据安全。 支持的操作系统 服务桌面：承载云应用运行的AI云电脑，支持Windows Server 2019 用户桌面：用户使用的国产化AI云电脑，统信V20, 麒麟V10，中科方德 产品规格 规格类型 功能适用 规格参数 系统支持 基础版 适用于简单办公、文档编辑、客户服务等场景 2C4G 80G系统盘 Windows 标准版 适用于视频娱乐，在线会议，OA办公等场景 4C8G 80G系统盘 Windows 旗舰版 适用于高效办公，开发设计，视频监控等场景 8C16G 80G系统盘 Windows

云日志服务当前支持按需计费。 产品价格 产品名称 计费项 标准资费（元/GB） 云日志服务 日志读写流量 0.18 云日志服务 日志索引流量 0.32 云日志服务 计费项 标准资费（元/GB/小时） 云日志服务 日志存储空间 0.000479 说明 每个用户针对每个计费项，每个月拥有500MB的免费额度。 计费项说明 日志读写流量 日志读写流量包括写流量和读流量，详细说明如下： 写流量 ：数据（压缩后）被上传到日志服务时，按照传输的数据量计算写流量费用。例如：原始数据量为5GB，则上传到云日志服务会产生1GB（压缩率20%）的写流量。 读流量 ：读流量暂未统计和收费。 日志索引流量 日志索引流量，详细说明如下： 原始日志数据会构建全文索引，按照日志（未压缩）被构建索引所产生的索引数据量计算索引流量。 在写入数据时一次性收取索引流量费用。 日志存储空间 日志存储量为压缩后的日志数据、索引数据、副本数据之和，这些空间约等于原始日志数据大小。

本文主要介绍云数据库GaussDB 能否赋予用户权限 云数据库GaussDB 如何赋予用户SUPER权限？ 云数据库GaussDB 不能赋予用户SUPER权限。 如果无法导入存储过程，是因为存储过程语句中有部分需要super权限的语句，去掉这些语句后，即可正常导入存储过程。

本章节主要介绍ALM24015 Flume MonitorServer证书文件已过期的告警。 告警解释 MonitorServer每隔一个小时健康检查时，检查当前系统中的证书文件是否已过期。如果服务端证书已过期，产生该告警。服务端证书恢复的有效期内，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24015 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 MonitorServer证书文件已过期，功能受限，Flume客户端将无法访问Flume服务端。 可能原因 MonitorServer证书文件已过期。 处理步骤 查看告警信息 1.登录FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM24015 MonitorServer证书文件已过期 > 定位信息”。查看告警上报的实例的IP地址。 检查系统中合法证书文件的有效期，重新生成证书文件 2.以root用户登录告警所在节点主机，并执行su omm切换用户。 3.执行以下命令进入MonitorServer证书目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/conf 4.执行以下命令查看用户证书的生效时间与失效时间，查看目前时间是否在有效期内。 openssl x509 noout text in mssChat.crt 是，执行步骤9。 否，执行步骤5。 5.执行以下命令进入Flume脚本目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/bin 6.执行以下命令重新生成证书，等待1小时，观察此告警是否被清除。 sh geneJKS.sh m sKitty12@ n cKitty12@ 是，执行步骤8。 否，执行步骤7。 7.使用omm用户在Flume实例产生告警的节点，重复执行步骤5~步骤6，等待1小时，观察此告警是否被清除。 是，执行步骤8。 否，执行步骤9。 8.查看系统在定时检查时是否会再次产生此告警。 是，执行步骤9。 否，处理完毕。

本节主要介绍欠费说明。 用户在使用实例时，账户的可用额度小于待结算的账单，即被判定为账户欠费。欠费后，可能会影响实例资源的正常运行，请及时充值。 欠费原因 未购买包年包月实例，在按需计费模式下账户的余额不足。 欠费影响 包年/包月 对于包年/包月GeminiDB Influx资源，用户已经预先支付了资源费用，因此在账户出现欠费的情况下，已有的包年/包月GeminiDB Influx资源仍可正常使用。然而，对于涉及费用的操作，如新购GeminiDB Influx、升级规格、续费订单等，用户将无法正常进行。 按需计费 当您的账号因按需GeminiDB Influx资源自动扣费导致欠费后，账号将变成欠费状态。欠费后，按需资源不会立即停止服务，资源进入宽限期。您需支付按需资源在宽限期内产生的费用，相关费用可在管理控制台 > 费用中心 ＞ 总览“欠费金额”查看，天翼云将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的按需计费资源执行任何操作。 保留期到期后，若您仍未支付账户欠款，那么计算资源（vCPU和内存）和弹性公网IP都将被释放，数据无法恢复。 图1 按需计费资源生命周期

本节介绍文件存储概念和使用。 简介 文件存储提供了可扩展的共享文件存储服务，它具有如下优势：支持多个ECX实例共享访问、支持弹性扩展、储存速度快、数据储存可靠性高等。ECX文件存储已支持NFS和SMB两种协议。 开通文件存储 1. 登录ECX控制台。 2. 点击【边缘存储>文件存储】进入到文件存储页面，点击【购买文件存储】按钮跳转至购买文件存储页面。 3. 参数如下表所示，核对信息无误后，点击【下单购买】完成支付，即可开通成功。 参数 说明 计费模式 使用的计费模式，可选择【包年包月】或者【按需计费】 地域 选择使用哪个地域用于创建文件存储 可用区 选择使用哪个可用区用于创建文件存储 文件存储名称 自定义名称，由中英文、数字、中划线''或下划线''组成，1~20个字符 IO类型 所使用的IO类型 容量大小 创建的大小，范围为10～32768GB 协议类型 支持的协议类型为【NFS】或【SMB】 接入网络 选择文件存储需要接入的vpc，若当前集群未创建过vpc，可跳转至开通vpc页面进行创建 查看文件存储 1. 登录ECX控制台。 2. 单击左侧导航栏【边缘存储>文件存储】进入文件存储列表，在文件存储列表可查看文件存储的ID、类型、协议等信息，支持通过文件存储的实例名称或实例ID搜索查找文件存储实例。 3. 点击文件存储列表中文件存储的名字，进入到详情页面可以查看对应的文件存储详情信息。

本文将为您介绍如何修改标签。 操作场景 用户可以对存储库中已有的标签进行修改。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘备份”，进入云硬盘备份主页面。 4. 在云硬盘备份页面中，点击待添加标签的云硬盘备份所在行的“操作>更多>编辑标签” 5. 此时弹出“编辑标签”窗口，在此窗口中已存在原始标签，用户可选择将其删除，新添加标签，也可以选择修改标签，在这里我们将原始的“test：1”改为“test：2”，如图： 6. 点击“确定”，即可将标签修改成功，回到云硬盘备份列表，点击标签图标，可看到已修改过的“test：2”的标签信息。

本章节指导如何创建备份策略。 当需要定期备份云硬盘时，首先需要创建一个备份策略，系统根据您的备份策略决定何时执行备份任务。您可以使用系统提供的默认备份策略，也可以结合实际情况，创建新的自定义备份策略。 通过使用备份策略对云硬盘进行备份，仅当启用备份策略后，系统会在设置的时间自动备份云硬盘数据并删除过期的备份数据。 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 云硬盘备份”。 3. 在“云硬盘备份”界面，单击“策略”页签，进入管理备份策略页面。 该页面显示了已创建的备份策略。展开备份策略，可以看到已绑定到该策略的云硬盘。 4. 单击“创建备份策略”展开设置项，如下图所示。可设置备份策略相关参数。 5. 单击可设置的备份策略相关参数说明如下： 名称： 备份名称只能由中文、英文字母、数字、下划线、中划线组成。长度范围为164个字符，且命名不能以“default”开头。 备份时间： 已绑定备份策略的云硬盘执行备份的备份时间点。只支持在整点进行备份，同时支持选择多个整点进行备份。 备份周期： 按周：每周按照选中的星期进行备份。可以全选。按天：备份周期可选每114天，并可设置在备份当天任意整点开始备份操作。当选择按天备份时，第一次备份的时间与备份策略创建的时间无关。备份策略在创建当月生效。设置了相同备份周期的备份策略的执行备份的时间相同。例如：在某月2日创建备份周期为“每3天”的备份策略，则第一次备份日期为当月4日。"每3天"表示执行备份的日期为每月1日、4日、7日，以此类推。请选择无业务或者业务量较少的时间对云硬盘进行备份。 保留规则： 按时间：可以在下拉菜单选择1个月、3个月、6个月、一年和自定义。自定义天数范围为299999天。按数量：单个云硬盘执行备份策略保留的自动备份总份数。云硬盘备份的越频繁，保留的备份份数越多，对数据的保护越充分，但是占用的存储空间也越大。请根据数据的重要级别和业务量综合考虑选择，重要的数据采用较高的备份频率，且保留较多备份份数。 当备份的份数超过设置的保存数量时，会自动删除最早的备份。删除的备份不会影响其他备份用于恢复。 6. 单击“确定”即成功创建备份策略。

网络模式 优点 缺点 建议场景 公网 方便快捷、成本低廉。 稳定性及安全性差，不适合对网络质量及带宽高要求的场景，例如：云上云下一体化组网等混合云场景。 建议只功能验证场景使用，不建议应用于生产环境。 专线内网 基于天翼云专业的云间网络产品，将用户云下集群网络与云上VPC网络内网打通。 具备高安全性、高带宽低延时、高稳定性等特点。 成本相对公网略高，建设周期相对公网方式略长。 建议用户生产环境，或对云上云下网络稳定性、安全性等有较高要求的场景使用。

常见问题 Q：代金券的有效期是多久？ A：代金券有效期以实际情况为准。 Q：代金券购买的云资源使用范围？仅能用于申报的软件产品使用？ A：您申请获赠的代金券购买的云资源仅限用于申报的软件产品，不得转让或提现，不得从事违法违规活动，否则天翼云有权直接释放已领取并开通的云产品，并永久取消该用户参加本次认证计划的所有扶持政策及天翼云各类试用、优惠或其他活动的资格。 Q：“天翼云合作伙伴认证”的复核？ A： “天翼云合作伙伴认证”对认证合作伙伴进行年度复核。

云原生API网关支持REST、HTTP和 WebSocket 三种 API 设计、开发、测试、发布、下线等生命周期管理。 REST API 云原生 API 网关提供的 REST API 支持 API 设计、开发、测试、发布、下线的全生命周期管理，通过标准的 HTTP 方法对资源进行操作，适用于 API First、API 精细化管控等场景。 HTTP API 云原生API网关支持创建HTTP API。HTTP API是基于HTTP协议的接口，以路由为中心。适用于K8s Ingress、微服务架构等场景，实现服务的对外快速暴露。 WebSocket API 云原生API网关支持创建WebSocket API。WebSocket API主要适用于即时交互的业务场景。

本文介绍弹性容器实例自定义权限策略参考。 如果系统权限策略不能满足您的要求，您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控，是提升资源访问安全的有效手段。本文介绍ECI使用自定义权限策略的场景和策略示例。 什么是自定义权限策略 在基于IAM的访问控制体系中，自定义权限策略是指在系统权限策略之外，您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。 创建自定义权限策略后，需为IAM用户或用户组绑定权限策略，这些IAM身份才能获得权限策略中指定的访问权限。 已创建的权限策略支持删除，但删除前需确保该策略未被引用。如果该权限策略已被引用，您需要在该权限策略的引用记录中移除授权。 自定义权限策略支持版本控制，您可以按照IAM规定的版本管理机制来管理您创建的自定义权限策略版本。 操作文档参考 创建自定义策略 编辑策略 删除策略 常见自定义权限策略场景及示例 如果您使用IAM子账号或委托账号操作ECI资源（如虚拟节点），需要为其添加以下自定义权限策略。 shell { "Version": "1.1", "Statement": [ { "Action": [ "eci:containers:describeContainerGroup", "eci:containers:describeContainerGroups", "eci:containers:deleteContainerGroup", "eci:virtualNode:describeVirtualNodes", "eci:virtualNode:createVirtualNode", "eci:virtualNode:deleteVirtualNode", "eci:virtualNode:updateVirtualNode" ], "Resource": [ "" ], "Effect": "Allow" } ] }

网络模式 优点 缺点 建议场景 公网 方便快捷、成本低廉。 稳定性及安全性差，不适合对网络质量及带宽高要求的场景。 例如云上云下一体化组网等混合云场景。 建议只功能验证场景使用。 不建议应用于生产环境。 专线内网 基于天翼云专业的云间网络产品，将用户云下集群网络与云上VPC网络内网打通。 具备高安全性、高带宽低延时、高稳定性等特点。 成本相对公网略高。 建设周期相对公网方式略长。 建议用户生产环境，或对云上云下网络稳定性、安全性等有较高要求的场景使用。

用户使用手册 天翼云安全专区终端安全EDR用户使用指南.pdf 天翼云安全专区云防火墙用户使用指南.pdf 天翼云安全专区云堡垒机用户手册使用指南.pdf 天翼云安全专区云数据库审计用户使用指南.pdf 天翼云安全专区云日志审计用户使用指南.pdf 天翼云安全专区安全管理中心用户使用指南.pdf

迁移方案 说明 自建Redis，指的是在本服务、其他云厂商、本地数据中心自行搭建的Redis。 自建Redis，指的是在本服务、其他云厂商、本地数据中心自行搭建的Redis。 表 迁移方案 迁移场景 工具 迁移案例 迁移说明 自建Redis迁移至DCS DCS控制台界面一键式迁移 如果自建Redis和DCS Redis实例网络连通，推荐使用迁移任务在线迁移自建Redis。 如果自建Redis和DCS Redis实例网络不通，推荐使用备份文件离线迁移自建Redis。 自建Redis迁移至DCS Rediscli 使用Rediscli迁移自建Redis（AOF文件） 自建Redis迁移至DCS Rediscli 使用Rediscli迁移自建Redis（RDB文件） 自建Redis迁移至DCS RedisShake 使用RedisShake工具在线迁移自建Redis Cluster集群 DCS实例间迁移 DCS控制台界面一键式迁移 低版本Redis实例迁移到高版本Redis实例，例如Redis 3.0迁移至Redis 6.0： 如果源Redis实例和目标Redis实例的网络连通，推荐使用迁移任务在线迁移Redis实例，如果网络不连通，推荐使用备份文件离线迁移DCS Redis实例。 由于Redis不同版本存在数据兼容问题，建议高版本不要迁移到低版本，否则迁移失败。 DCS实例间迁移 DCS控制台界面一键式迁移 不同Region的Redis实例迁移，推荐使用备份文件离线迁移DCS Redis实例。 由于DCS Redis实例默认是禁用了SYNC和PSYNC命令，在相同Region执行在线迁移时，会默认放通SYNC和PSYNC命令，但是在不同Region迁移时，没有放通该命令操作，所以无法使用在线迁移，推荐使用备份文件迁移。 DCS实例间迁移 DCS控制台界面一键式迁移 不同帐号的Redis实例迁移，例如从帐号A迁移到帐号B： 推荐使用备份文件离线迁移DCS Redis实例。 如果可以打通网络，也可以使用迁移任务在线迁移DCS Redis实例。 其他云厂商Redis服务迁移至DCS DCS控制台界面一键式迁移 如果其他云厂商Redis服务，没有禁用SYNC和PSYNC命令，推荐使用迁移任务在线迁移其他云厂商Redis。 如果其他云厂商Redis服务，禁用了SYNC和PSYNC命令，推荐使用备份文件离线迁移其他云厂商Redis。 如果需要使用在线迁移，建议联系其他云厂商运维人员放通SYNC和PSYNC命令。 其他云厂商Redis服务迁移至DCS Rump 使用Rump在线迁移其他云厂商Redis 其他云厂商Redis服务迁移至DCS RedisShake 使用RedisShake工具离线迁移其他云厂商Redis 其他云厂商Redis服务迁移至DCS RedisShake 使用RedisShake工具在线迁移其他云厂商Redis

迁移方案 说明 自建Redis，指的是在本服务、其他云厂商、本地数据中心自行搭建的Redis。 自建Redis，指的是在本服务、其他云厂商、本地数据中心自行搭建的Redis。 表 迁移方案 迁移场景 工具 迁移案例 迁移说明 自建Redis迁移至DCS DCS控制台界面一键式迁移 如果自建Redis和DCS Redis实例网络连通，推荐使用迁移任务在线迁移自建Redis。 如果自建Redis和DCS Redis实例网络不通，推荐使用备份文件离线迁移自建Redis。 自建Redis迁移至DCS Rediscli 使用Rediscli迁移自建Redis（AOF文件） 自建Redis迁移至DCS Rediscli 使用Rediscli迁移自建Redis（RDB文件） 自建Redis迁移至DCS RedisShake 使用RedisShake工具在线迁移自建Redis Cluster集群 DCS实例间迁移 DCS控制台界面一键式迁移 低版本Redis实例迁移到高版本Redis实例，例如Redis 3.0迁移至Redis 6.0： 如果源Redis实例和目标Redis实例的网络连通，推荐使用迁移任务在线迁移Redis实例，如果网络不连通，推荐使用备份文件离线迁移DCS Redis实例。 由于Redis不同版本存在数据兼容问题，建议高版本不要迁移到低版本，否则迁移失败。 DCS实例间迁移 DCS控制台界面一键式迁移 不同Region的Redis实例迁移，推荐使用备份文件离线迁移DCS Redis实例。 由于DCS Redis实例默认是禁用了SYNC和PSYNC命令，在相同Region执行在线迁移时，会默认放通SYNC和PSYNC命令，但是在不同Region迁移时，没有放通该命令操作，所以无法使用在线迁移，推荐使用备份文件迁移。 DCS实例间迁移 DCS控制台界面一键式迁移 不同帐号的Redis实例迁移，例如从帐号A迁移到帐号B： 推荐使用备份文件离线迁移DCS Redis实例。 如果可以打通网络，也可以使用迁移任务在线迁移DCS Redis实例。 其他云厂商Redis服务迁移至DCS DCS控制台界面一键式迁移 如果其他云厂商Redis服务，没有禁用SYNC和PSYNC命令，推荐使用迁移任务在线迁移其他云厂商Redis。 如果其他云厂商Redis服务，禁用了SYNC和PSYNC命令，推荐使用备份文件离线迁移其他云厂商Redis。 如果需要使用在线迁移，建议联系其他云厂商运维人员放通SYNC和PSYNC命令。 其他云厂商Redis服务迁移至DCS Rump 使用Rump在线迁移其他云厂商Redis 其他云厂商Redis服务迁移至DCS RedisShake 使用RedisShake工具离线迁移其他云厂商Redis 其他云厂商Redis服务迁移至DCS RedisShake 使用RedisShake工具在线迁移其他云厂商Redis

第三方云资源池站点双接入模式 网络使用费 主备接入 主线路按第三方云资源池站点单路由接入方式标准资费收取； 备线路按第三方云资源池站点单路由接入方式标准资费的40%收取。 负载分担 每条接入线路均按第三方云资源池站点单路由接入方式标准资费收取。

本文主要介绍 基本概念 追踪器 使用云审计服务前需要开通云审计服务，开通云审计服务时系统会自动创建一个追踪器。该追踪器会自动识别并关联当前租户所使用的所有云服务，并将当前租户的所有操作记录在该追踪器中。 目前，一个租户仅支持创建1个管理追踪器和100个数据追踪器。 事件 事件即云审计服务追踪并保存的云服务资源的操作日志。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 事件分为以下两类： 管理事件 指云服务上报的事件。 数据事件 指OBS服务上报的读写操作事件。 事件列表 事件列表记录了租户对云服务资源新建、修改、删除等操作的详细信息。事件列表最多显示近7天的事件。 事件文件 事件文件是系统自动生成的事件集，云审计服务将按照服务、转储周期两个维度，生成多个事件文件，同步保存至用户指定的OBS桶中。通常情况下，单个服务在单个转储周期内产生的所有事件仅会压缩生成一个事件文件，但在事件数量较多时，系统会根据当前负载情况调整每个事件文件包含的事件数。 事件文件的格式为json，呈现事件的原始内容如图所示。 事件文件示例

在同一区域中，VPC终端节点可以建立终端节点（VPC内云资源）到终端节点服务（用户私有服务、云服务）的便捷、安全、私密连接通道。 基于上述功能，VPC终端节点主要应用于以下场景。 高速上云 本地数据中心可以通过VPN或者云专线连通VPC，利用建立的终端节点通过内网访问终端节点服务（用户私有服务、云服务）。 如上图所示，本地数据中心通过VPN或者云专线与VPC 1连通，实现： 利用终端节点1，通过内网访问云服务（如OBS、DNS等）。 利用终端节点2，访问VPC 1的云资源（如ECS 1）。 利用终端节点3，跨VPC访问VPC 2的云资源（如ECS 2）。 这种场景具有以下优势： 简单快速 本地数据中心直连终端节点服务，无需经过公网，访问时延小，效率高。 成本低廉 本地数据中心访问云上资源不占用用户的公网资源，降低使用成本。 跨VPC连接 在同一区域中，由于VPC之间逻辑隔离，不同VPC内的云资源不能直接通信。利用在不同VPC间建立的终端节点到终端节点服务的连接通道，可以实现跨VPC的资源通信。 如上图所示，利用终端节点与终端节点服务建立的跨VPC连接通道，实现VPC 1中的云资源（如ECS）通过内网访问VPC 2中的云资源（如ELB）。 这种场景具有以下优势： 性能高效 每个网关节点可支持百万级会话。 简化操作 资源秒级创建，快速生效，操作简单。 具体示例请参考： 配置跨VPC通信的终端节点（同一帐号） 配置跨VPC通信的终端节点（不同帐号）

本文主要介绍云原生网关访问日志。 云原生网关对接天翼云日志服务实现了访问日志采集、上报和查询能力；使用此功能前需要先开通云日志服务，同时在云原生网关控制台开启日志功能。 每个云原生网关实例在云日志服务中会创建一个日志项目，项目名称为MSEGW${网关实例名称}，项目内有一个日志单元对应访问日志，单元名称为网关实例名称，您可以在云原生网关控制台 观测分析 > 日志中心 菜单 或者在云日志服务控制台查看网关访问日志。 访问日志格式说明 网关访问日志示例 plaintext {"starttime":1725411921254,"request":{"size":335,"method":"POST","uri":"/foo/bar","headers":{"accept":"text/plain, application/json, application/+json, /","contentlength":"0","ubertraceid":"b32bce4ff1f00f7b:899a1fd65c39be02:1c3372663d9eae03:0","connection":"keepalive","useragent":"Java/1.8.0212","host":"foo.ctyun.com","contenttype":"application/json"},"url":" alb/v3.4.5","contentlength":"427","date":"Wed, 04 Sep 2024 01:05:21 GMT","connection":"close","server":"MSEGW/3.2.2","contenttype":"application/json;charsetUTF8"},"status":400},"upstream":{"upstreamaddr":"10.121.x.x:80","upstreamstatus":"400","upstreamlatency":25,"upstreamname":"fooservice"},"routeid":"ddd342a2a3f34405bb8650ad4e","routename":"testroute"} 访问日志字段说明如下 字段 说明 starttime 请求开始时间 request 请求信息 serviceid 服务id server 网关节点信息 apisixlatency 网关自身处理耗时（不包括上游服务耗时） latency 总请求耗时（网关处理耗时和上游服务耗时之和） clientip 客户端IP response 应答信息 upstream 上游信息，包括上游地址，上游返回的HTTP状态码，上游耗时；当服务访问异常时可以重点关注此字段，确认是否时上游服务出了问题。 routeid 路由id routename 路由名称

本节介绍了云数据库GaussDB 的产品优势。 高安全 云数据库GaussDB 拥有TOP级的商业数据库安全特性：数据动态脱敏，TDE透明加密，行级访问控制，密态计算。能够满足政企&金融级客户的核心安全诉求。 健全的工具与服务化能力 云数据库GaussDB 已经拥有云服务商用服务化部署能力，同时支持DAS、DRS等生态工具。有效保障用户开发、运维、优化、监控、迁移等日常工作需要。

从Spark导入详细示例 要通过Spark将本地存储的数据导入到云数据库ClickHouse，您可以按照以下步骤进行操作： 1. 准备工作： 确保您已经安装了Spark，并配置好了与云数据库ClickHouse的连接。 确保您已经在本地存储中准备好了要导入的数据文件。 2. 导入所需的依赖： 在Spark应用程序中添加所需的依赖项以支持与云数据库ClickHouse的连接。您需要使用ClickHouse JDBC驱动程序和Spark的相关依赖。例如，在Maven项目中，您可以添加以下依赖项： xml ru.yandex.clickhouse clickhousejdbc 0.4.1 根据您使用的构建工具和版本，请相应地配置依赖项。 3. 编写Spark应用程序： 创建一个Spark应用程序，通过Spark读取本地存储的数据文件，并将数据导入到云数据库ClickHouse中。下面是一个示例代码： scala import org.apache.spark.sql.{SparkSession, SaveMode} object ClickHouseDataImporter { def main(args: Array[String]): Unit { // 创建SparkSession val spark SparkSession.builder() .appName("ClickHouse Data Importer") .getOrCreate() // 读取本地存储的数据文件 val data spark.read.format("csv") .option("header", "true") // 如果数据文件包含头部，则设置为true .option("inferSchema", "true") // 自动推断列的数据类型 .load("/path/to/data/file.csv") // 替换为实际数据文件的路径 // 将数据保存到ClickHouse数据库中 data.write .mode(SaveMode.Append) // 指定保存模式，可以根据需求更改 .format("jdbc") .option("url", "jdbc:clickhouse://yourclickhousehost:port/database") // 替换为实际的云数据库ClickHouse连接URL和目标数据库 .option("dbtable", "yourtable") // 替换为目标表的名称 .option("user", "yourusername") // 替换为云数据库ClickHouse的用户名 .option("password", "yourpassword") // 替换为云数据库ClickHouse的密码 .save() } } 在上述代码中，您需要替换以下内容： "/path/to/data/file.csv"：实际的本地数据文件路径。 "jdbc:clickhouse://yourclickhousehost:port/database"：实际的云数据库ClickHouse连接URL和目标数据库信息。 "yourtable"：目标表的名称。 "yourusername"：云数据库ClickHouse的用户名。 "yourpassword"：云数据库ClickHouse的密码。 4. 运行Spark应用程序： 将您的Spark应用程序打包，并将其提交到Spark集群或本地运行。根据您的环境和需求，选择适当的方式来运行Spark应用程序。 例如，如果您使用的是Sparksubmit命令行工具，可以执行以下命令来提交应用程序： sparksubmit class ClickHouseDataImporter master local[] path/to/your/app.jar 这将启动Spark应用程序并开始将本地存储的数据导入到云数据库ClickHouse中。 说明 上述示例代码仅提供了一个基本的框架，您可能需要根据实际需求进行调整和优化。另外，还可以使用Spark的分布式计算能力和数据处理功能来进行更复杂的数据转换和导入操作。

参数 描述 数据库实例名称 默认为创建迁移任务时选择的已创建的本云DDS实例，不可进行修改。 数据库用户名 访问目标数据库本云DDS的用户名。 数据库密码 访问目标数据库本云DDS的用户名所对应的密码。

Apache HDFS 连接Apache Hadoop上的HDFS数据源时，相关参数详见下表：Apache HDFS连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 hadoophdfslink URI 表示NameNode URI地址。可以填写为：hdfs://namenode 实例的ip :8020。 hdfs://IP :8020 认证类型 访问集群的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 KERBEROS Principal 认证类型为“KERBEROS”时，需要填写Principal。Principal即Kerberos安全模式下的用户名，可以联系Hadoop管理员获取。此处填写的Principal需要与Keytab文件保持一致。 Keytab文件 认证类型为“KERBEROS”时，需要上传Keytab文件。Keytab文件为认证凭据文件，可以联系Hadoop管理员获取。获取Keytab文件前，需要在集群上至少修改过一次此用户的密码，否则下载获取的keytab文件可能无法使用。另外，修改用户密码后，之前导出的keytab将失效，需要重新导出。 运行模式 选择HDFS连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式或者配置不同的Agent。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 Agent：连接实例运行在Agent上。 STANDALONE IP与主机名映射 运行模式选择“EMBEDDED”、“STANDALONE”时，该参数有效。 如果HDFS配置文件使用主机名，需要配置IP与主机的映射。格式：IP与主机名之间使用空格分隔，多对映射使用分号或回车换行分隔。 10.1.6.9 hostname01 10.2.7.9 hostname02 Agent 运行模式选择“Agent”时，单击“选择”，选择连接Agent中已创建的Agent。 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hdfs01

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 hadoophbaselink ZK链接地址 HBase的Zookeeper链接地址。 格式： <host1>:<port>,<host2>:<port>,<host3>:<port> zk1.ctyun.cn:2181,zk2.ctyun.cn:2181,zk3.ctyun.cn:2181 认证类型 访问集群的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 KERBEROS Principal 认证类型为“KERBEROS”时，需要填写Principal。Principal即Kerberos安全模式下的用户名，可以联系Hadoop管理员获取。此处填写的Principal需要与Keytab文件保持一致。 Keytab文件 认证类型为“KERBEROS”时，需要上传Keytab文件。Keytab文件为认证凭据文件，可以联系Hadoop管理员获取。获取Keytab文件前，需要在集群上至少修改过一次此用户的密码，否则下载获取的keytab文件可能无法使用。另外，修改用户密码后，之前导出的keytab将失效，需要重新导出。 IP与主机名映射 如果配置文件使用主机名，需要配置IP与主机的映射。格式：IP与主机名之间使用空格分隔，多对映射使用分号或回车换行分隔。 10.3.6.9 hostname01 10.4.7.9 hostname02 HBase版本 HBase版本。 HBASE2X 运行模式 “HBASE2X”版本支持该参数。选择HBase连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 ：STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 STANDALONE 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hbase01

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 hivelink URI NameNode URI地址。 hdfs://hacluster Hive元数据地址 设置Hive元数据地址，参考hive.metastore.uris配置项。例如：thrift://host1921681212:9083 认证类型 访问集群的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。 HIVE3X IP与主机名映射 如果Hadoop配置文件使用主机名，需要配置IP与主机的映射。格式：IP与主机名之间使用空格分隔，多对映射使用分号或回车换行分隔。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 Principal 认证类型为“KERBEROS”时，需要填写Principal。Principal即Kerberos安全模式下的用户名，可以联系Hadoop管理员获取。此处填写的Principal需要与Keytab文件保持一致。 Keytab文件 认证类型为“KERBEROS”时，需要上传Keytab文件。Keytab文件为认证凭据文件，可以联系Hadoop管理员获取。获取Keytab文件前，需要在集群上至少修改过一次此用户的密码，否则下载获取的keytab文件可能无法使用。另外，修改用户密码后，之前导出的keytab将失效，需要重新导出。 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hive01 Hive JDBC连接串 连接Hive JDBC的url，默认使用匿名用户连接。