本文主要讲解移动应用使用临时凭证直传文件的最佳实践。 实践背景 在移动互联网时代，从手机里的照片到各类文件，移动端APP需要上传到服务器的文件越来越多。开发者可以使用媒体存储来保存这些文件，媒体存储提供的SDK接口可以支持直接在移动端进行文件上传。 访问媒体存储需要使用密钥（AK/SK），但是如果在移动端直接使用长期密钥访问对象存储，遭受黑客攻击就可能会暴露长期密钥，导致对象存储中的文件泄露或被篡改，存在很大的风险。 媒体存储提供STS角色管理功能，可以为移动端颁发一个自定义时效和权限的访问凭证，无需在移动端暴露长期密钥。使用STS授权访问时，请务必按照业务情况，以最细粒度的权限原则进行授权，避免放大临时用户的权限，保证资源访问安全。 应用流程 使用临时凭证直传时，具体应用流程如下： 实践步骤 创建用于获取STS访问凭证的角色 通过媒体存储控制台，创建STS角色，并获取对应的arn信息，具体可参考 STS角色管理 。 对应角色授权并且获取STS临时密钥 具体可参照如下java示例： // STS endPoint String endPoint " "; // 在对象存储控制台访问密钥AccessKey和SecretKey。 String accessKey " "; String secretKey " "; // 填写步骤一获取的角色ARN。 String roleArn " "; // 设置临时访问凭证的名称. String roleSessionName " "; // 设置 Policy 允许上传对象 String policy "{"Version":"20121017"," + ""Statement":[" + "{"Effect":"Allow"," ""Action":["s3:PutObject"]," ""Resource":["arn:aws:s3::: /"]}" + "]}"; // 创建STS Client BasicAWSCredentials basicAWSCredentials new BasicAWSCredentials(accessKey, secretKey); AwsClientBuilder.EndpointConfiguration endpointConfiguration new AwsClientBuilder.EndpointConfiguration(endPoint, ""); AWSSecurityTokenService stsClient AWSSecurityTokenServiceClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(basicAWSCredentials)) .withEndpointConfiguration(endpointConfiguration) .build(); AssumeRoleRequest assumeRoleRequest new AssumeRoleRequest(); assumeRoleRequest.setRoleArn(roleArn); assumeRoleRequest.setRoleSessionName(roleSessionName); assumeRoleRequest.setPolicy(policy); AssumeRoleResult assumeRoleRes stsClient.assumeRole(assumeRoleRequest); Credentials stsCredentials assumeRoleRes.getCredentials(); System.out.println("Expiration: " + stsCredentials.getExpiration()); System.out.println("Access Key Id: " + stsCredentials.getAccessKeyId()); System.out.println("Access Key Secret: " + stsCredentials.getSecretAccessKey()); System.out.println("Security Token: " + stsCredentials.getSessionToken());

此接口用以获取存储桶的加密规则。 接口功能介绍 此接口用以获取存储桶的加密规则。 接口约束 如果存储桶没有设置过加密规则，则返回404状态码。 URI GET /{bucket}?encryption 路径参数 参数 是否必填 参数类型 说明 示例 bucket 是 String 桶名称 testBucket Query参数 参数 是否必填 参数类型 说明 示例 下级对象 encryption 是 String 固定参数 encryption 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 Authorization 是 String 用于验证请求合法性的认证信息 请求体body参数 无 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 ServerSideEncryptionConfiguration 是 Array of Objects 服务器端加密配置 ServerSideEncryptionConfiguration 表 ServerSideEncryptionConfiguration 参数 是否必填 参数类型 说明 示例 下级对象 Rule 是 Array of Objects 设置加密规则配置 Rule 表 Rule 参数 是否必填 参数类型 说明 示例 下级对象 ApplyServerSideEncryptionByDefault 是 Array of Objects 设置服务端默认加密规则的容器 ApplyServerSideEncryptionByDefault 表 ApplyServerSideEncryptionByDefault 参数 是否必填 参数类型 说明 示例 下级对象 SSEAlgorithm 是 String 设置加密算法，支持AES256算法机密 AES256 请求示例 http GET /testbucket?encryption HTTP/1.1

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj

本节主要介绍如何创建于管理账号 Redis管理控制台支持创建多个Redis账号并赋予相应权限。帮助您灵活地管理Redis实例，可以最大限度地避免误操作，有效提升数据安全性。当前支持的权限控制包括读写权限、只读权限。 只读权限：仅拥有读取数据的权限，不允许修改数据。 读写权限：拥有读写数据的权限。 前提条件 只有当分布式缓存Redis缓存实例处于“运行中”状态，才能执行此操作。 Redis6.0/7.0及经典集群实例支持创建与管理账号。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情页面。 4. 左侧菜单点击账号管理，进入账号管理页面。 5. 点击创建账号按钮。 6. 在弹窗的创建账号对话框中设置相关信息即可创建Redis账号；点击保存后即可创建账号 7. 账户创建完后，立即会展示在当前页面。针对已创建的账户，可进行重置密码、修改权限、删除账户等操作。

本节主要介绍优化数据库语句方法 文档数据库属于NoSQL数据库，提供了可扩展的高性能数据解决方案，与关系型数据库（例如MySQL、SQLServer、Oracle）一样，在数据库设计、语句优化、索引创建等方面都会影响数据库的使用性能。 下面从不同维度，给出提升DDS使用性能的建议。 数据库和集合的创建 使用 短字段名 ，以节约存储空间。文档数据库与关系型数据库不同，集合中的每个文档都存储字段名，使用短字段名可以有效的节约存储空间。 有效的控制集合中的文档数量，避免影响查询性能。如果有必要，可以进行定期归档。 每条文档都提供默认的“id”值， 禁止向“id”中保存自定义值 。 固定集合相较其他集合，插入速度快，并且能够自动删除旧数据。用户可以根据业务需要，选择创建固定集合以提高性能。 查询操作 索引 根据业务需求，对经常查询的数据字段创建适当的索引。需注意，索引会占用一些空间，并且插入操作和索引更新会消耗资源。因此，建议每个集合的索引数量不超过5个。 案例：出现数据查询缓慢，如果没有创建索引，建议对经常查询的数据字段创建适当的索引，优化查询速度。 对于包含多个键的查询，建议创建包含这些键的复合索引。复合索引的键值顺序很关键，需遵循索引最左前缀原则，查询应包含最左索引字段，以索引创建顺序为准，与查询字段顺序无关。 给索引添加TTL属性，自动筛选过期文档并删除。创建TTL的索引必须是日期类型。TTL索引是单字段索引，而非复合索引。 需要在集合中某个字段上创建索引，但当集合中大量文档不包含该键值时，建议创建稀疏索引。 创建文本索引时，字段指定text，而不是1或者1。每个集合只有一个文本索引，但它可以为任意多个字段建立索引。

策略名称 描述 策略类别 Tenant Administrator 操作权限：对帐号拥有的所有云资源执行任意操作。OBS策略在“全局服务>对象存储服务”下配置。 RBAC策略 Tenant Guest 操作权限：对帐号拥有的所有云资源的只读权限。OBS策略在“全局服务>对象存储服务”下配置。 RBAC策略

参数 参数类型 说明 示例 下级对象 firewallEdtion String 防火墙版本Advanced 高级版 protectionIpNum Integer 防护公网ip配额 flowProcessingCapacity Integer 互联网边界带宽规格 vpcQuota Integer 配额数量 vpcFlowProcessingCapacity Integer VPC边界带宽规格 expireTime Long 到期时间

返回存储桶所在的区域，区域在创建存储桶时设置。 接口功能介绍 返回存储桶所在的区域，区域在创建存储桶时设置。 接口约束 无 URI GET /{bucket}?location 路径参数 参数 是否必填 参数类型 说明 示例 bucket 是 String 桶名称 testBucket Query参数 参数 是否必填 参数类型 说明 示例 下级对象 location 是 String 固定参数 location 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 Authorization 是 String 用于验证请求合法性的认证信息 请求体body参数 无 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 LocationConstraint 是｜String 存储桶所在的区域 请求示例 http GET /testBucket?location HTTP/1.1 请求头header http Authorization: authorization string 请求体body 无 响应示例 xml HTTP/1.1 200 状态码 状态码 错误码 描述 200 操作成功 403 AccessDenied 用户没有权限执行操作 错误码 请参考 请求错误码（原生接口）。

本文带您快速熟悉通过管理控制台使用对象存储的入门流程。 对象存储（简称ZOS）基础使用流程包括开通ZOS服务、资源包管理、接入管理(VPC)、创建桶、上传文件、下载文件、删除文件、删除桶，以下是ZOS的基础入门使用流程：

本文介绍了如何通过数据传输服务DTS跨账号迁移天翼云关系数据库MySQL版数据。 前提条件 源端 账号权限要求： 对MySQL库的查询权限。 对待迁移库的查询权限。 部分全局权限：RELOAD、LOCK TABLES、REPLICATION CLIENT、REPLICATION SLAVE、SHOW VIEW、PROCESS。 如果是整实例迁移，需要对所有数据库的查询权限。 其他要求： 已绑定公网eip。 目标端 账号权限要求： 需要以下全局权限：ALTER、ALTER ROUTINE、CREATE、CREATE ROUTINE、CREATE TEMPORARY TABLES、CREATE USER、CREATE VIEW、DELETE、DROP、EVENT、EXECUTE、INDEX、INSERT、LOCK TABLES、PROCESS、RELOAD、SELECT、SHOW DATABASES、SHOW VIEW、TRIGGER、UPDATE。 其他要求： 已创建关系数据库MySQL版。 已绑定公网eip。 注意 这里的源端是指需要跨账号迁移的源天翼云数据库。 约束限制 如迁移对象为表级别，则单次迁移任务仅支持迁移最多600张表。当超出数量限制，任务会在提交后会请求报错。如果遇到这种情形，建议您拆分待迁移的表，分批配置成多个任务，或者配置为整库迁移。 源数据库GTID状态建议为开启状态，源数据库实例没有开启GTID的情况下DTS不支持主备HA切换，因为DTS任务会因为位点不续接而中断导致无法恢复。 目标库关联RDS数据库的字符集必须与源数据库一致。 目标库若已存在行数据，DTS在增量迁移过程中源库相同主键的数据将覆盖目标库已存在的数据，因此在迁移前需要用户自行判断数据是否需要清除，建议用户在迁移前自行清空目标库。 MySQL源数据库的binlog日志必须打开，且binlog日志格式必须为Row格式。 在磁盘空间允许的情况下，建议源数据库binlog保存时间越长越好，建议为7天。否则DTS在增量迁移时可能因无法获取Binlog而导致任务失败。由于您所设置的Binlog日志保存时间低于DTS要求的时间进而导致的问题，不在DTS的SLA保障范围内。 目标实例及关联RDS实例的运行状态必须正常，若关联RDS实例是主备实例，复制状态也必须正常。 目标库关联RDS实例必须有足够的磁盘空间。（全量数据迁移会并发执行 INSERT 操作，导致目标数据库的表产生碎片，因此全量迁移完成后目标数据库的表存储空间会比源实例的表存储空间大，且会产生大量的BINLOG，占用大量空间）。 目标库实例若选择将时间戳类型（TIMESTAMP，DATETIME）的列作为分片键，则源库数据在迁移到目标库之后，作为分片键的该时间戳类型列的秒精度将被丢弃。 由于DTS不迁移USER信息，因此在调用目标库的视图、存储过程和函数时需要对调用者授予读写权限。 在任务启动、任务全量迁移阶段，不建议对源数据库做删除类型的DDL操作，这样可能会引起任务迁移失败。 迁移过程中，不允许修改、删除连接源和目标数据库的用户的用户名、密码、权限，或修改源和目标数据库的端口号。 迁移过程中，不允许对源库需要迁移的表结构进行修改。 选择表级对象迁移时，增量迁移过程中不建议对表进行重命名操作。 增量迁移场景下，不支持源数据库进行恢复操作。 增量迁移场景下，不支持无主键表的数据增量迁移，因为无主键表的增量迁移性能远低于有主键的表，而且不能保证数据的一致性。 说明 详细信息请参考

本文介绍了如何通过数据传输服务DTS将数据从其他云数据库迁移至天翼云关系数据库MySQL版。 前提条件 源端 账号权限要求： 对MySQL库的查询权限。 对待迁移库的查询权限。 部分全局权限：RELOAD、LOCK TABLES、REPLICATION CLIENT、REPLICATION SLAVE、SHOW VIEW、PROCESS。 如果是整实例迁移，需要对所有数据库的查询权限。 其他要求： 已开通公网访问，并能获取外网连接地址。 目标端 账号权限要求： 需要以下全局权限：ALTER、ALTER ROUTINE、CREATE、CREATE ROUTINE、CREATE TEMPORARY TABLES、CREATE USER、CREATE VIEW、DELETE、DROP、EVENT、EXECUTE、INDEX、INSERT、LOCK TABLES、PROCESS、RELOAD、SELECT、SHOW DATABASES、SHOW VIEW、TRIGGER、UPDATE。 其他要求： 已创建关系数据库MySQL版。 已绑定弹性公网IP。 约束限制 如迁移对象为表级别，则单次迁移任务仅支持迁移最多600张表。当超出数量限制，任务会在提交后会请求报错。如果遇到这种情形，建议您拆分待迁移的表，分批配置成多个任务，或者配置为整库迁移。 源数据库GTID状态建议为开启状态，源数据库实例没有开启GTID的情况下DTS不支持主备HA切换，因为DTS任务会因为位点不续接而中断导致无法恢复。 目标库关联RDS数据库的字符集必须与源数据库一致。 目标库若已存在行数据，DTS在增量迁移过程中源库相同主键的数据将覆盖目标库已存在的数据，因此在迁移前需要用户自行判断数据是否需要清除，建议用户在迁移前自行清空目标库。 MySQL源数据库的binlog日志必须打开，且binlog日志格式必须为Row格式。 在磁盘空间允许的情况下，建议源数据库binlog保存时间越长越好，建议为7天。否则DTS在增量迁移时可能因无法获取Binlog而导致任务失败。由于您所设置的Binlog日志保存时间低于DTS要求的时间进而导致的问题，不在DTS的SLA保障范围内。 目标实例及关联RDS实例的运行状态必须正常，若关联RDS实例是主备实例，复制状态也必须正常。 目标库关联RDS实例必须有足够的磁盘空间。（全量数据迁移会并发执行 INSERT 操作，导致目标数据库的表产生碎片，因此全量迁移完成后目标数据库的表存储空间会比源实例的表存储空间大，且会产生大量的BINLOG，占用大量空间）。 目标库实例若选择将时间戳类型（TIMESTAMP，DATETIME）的列作为分片键，则源库数据在迁移到目标库之后，作为分片键的该时间戳类型列的秒精度将被丢弃。 由于DTS不迁移USER信息，因此在调用目标库的视图、存储过程和函数时需要对调用者授予读写权限。 在任务启动、任务全量迁移阶段，不建议对源数据库做删除类型的DDL操作，这样可能会引起任务迁移失败。 迁移过程中，不允许修改、删除连接源和目标数据库的用户的用户名、密码、权限，或修改源和目标数据库的端口号。 迁移过程中，不允许对源库需要迁移的表结构进行修改。 选择表级对象迁移时，增量迁移过程中不建议对表进行重命名操作。 增量迁移场景下，不支持源数据库进行恢复操作。 增量迁移场景下，不支持无主键表的数据增量迁移，因为无主键表的增量迁移性能远低于有主键的表，而且不能保证数据的一致性。 说明 详细信息请参考

本文帮助您了解如何使用对象存储列举文件的功能。 操作场景 ZOS桶中文件列表默认按照文件名称来列举文件。您可查看文件的名称、存储类型、更新时间、文件大小等信息。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台，点击Bucket名称进入“概览”页面。 5. 选择“文件管理”页签，当前页面将分页显示桶内的所有文件夹和文件。

本节介绍了跟踪标记的相关内容。 操作场景 使用存储过程进行跟踪标记，跟踪标记的主要用途如下： 获取比较深入的RDS for SQL Server信息，如Lock Manager的各种锁定操作。 改变某些RDS for SQL Server预设定的行为，如停止查询优化器寻找执行计划的超时时间。 改变某些命令当前的行为，如终止使用查询提示。 前提条件 成功连接RDS for SQL Server实例。关于连接关系型数据库实例， 约束 执行此存储过程的必须是拥有[CREATE ANY DATABASE]权限的用户。如果不具备此权限的用户尝试执行该存储过程，系统将会如下提示： plaintext Database restores can only be performed by database logins with [CREATE ANY DATABASE] permissions. 当前版本仅支持的跟踪标记为“1117, 1118, 1204, 1211, 1222, 1224, 3604”，如果对其他标记进行操作，系统将会如下提示： plaintext Current version just open 1117, 1118, 1204, 1211, 1222, 1224, 3604 permission. 跟踪标记操作仅包括1，0，1，若出现其他操作，系统将会如下提示： plaintext Just support Open:1 Close:0 Check:1 操作步骤 执行以下命令，进行跟踪标记。 EXEC msdb.dbo.rdsdbcctrace @TraceFlag, @TraceAction; @ TraceFlag：指定跟踪标记序号，当前仅支持 1117, 1118, 1204, 1211, 1222, 1224, 3604。 @ TraceAction：指定跟踪标记操作，1为打开跟踪标记，0为关闭跟踪标记，1为查看跟踪标记。 打开跟踪标记1117，示例如下： EXEC msdb.dbo.rdsdbcctrace 1117, 1;

本文介绍媒体存储是否支持通过HTTPS访问。 产品中的对象存储支持通过HTTPS访问。 可直接在浏览器中输入https:+桶域名/自定义域名进行访问，或在使用对媒体存储控制台分配的域名进行访问时，直接在浏览器中将桶或对象的URL的协议头从http替换成https即可。 具体HTTPS访问地址的获取方式，可参考基础信息查看。

参数 参数类型 说明 示例 下级对象 ListPartsResult Container 结果列表 Bucket String 将会接收对象的存储桶 Key String 对象的key UploadId String UploadId用于标识分段上传 ID String Owner的ID DisplayName String Owner的显示名 Owner Container 上传对象拥有者的ID和显示名 DisplayName, ID StorageClass String 用于存储结果对象 PartNumberMarker String 如果IsTruncated 为true，在后续序列中被使用，为序列的开始标识 NextPartNumberMarker String 如果IsTruncated为true，在后续序列中被使用，为序列的结束标识 MaxParts Integer 响应中允许返回的最大分段数 IsTruncated Boolean 如果为true，返回上载对象的子集 Part Container 包含LastModified, PartNumber, ETag和Size元素的容器 LastModified、PartNumber、ETag、Size LastModified Date 分段被上传的时间 PartNumber Integer 分段的编号 ETag String 分段的实体标识 Size Integer 分段的大小

参数 参数说明 系统盘 节点云主机使用的系统盘，供操作系统使用。 您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为50GB。 加密：数据盘加密功能可为您的数据提供强大的安全防护，加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。 目前仅在部分Region显示此选项，具体以界面为准。 默认不加密。 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。 数据盘 节点云主机使用的数据盘，供容器运行时和Kubelet组件使用。 您可以设置数据盘的规格为100GB32768GB之间的数值，缺省值为100GB。 至少需要一块数据盘 ，供容器运行时和Kubelet组件使用，该数据盘不能被删除卸载，否则会导致节点不可用。 单击后方的“展开高级设置”可进行如下设置： 自定义空间分配：勾选后可定义容器运行时在数据盘上占用的空间比例，容器运行时的空间用于存放容器运行时工作目录、容器镜像数据以及镜像元数据。数据盘空间分配详细说明请参见数据盘空间分配说明。 加密：数据盘加密功能可为您的数据提供强大的安全防护，加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。 目前仅在部分Region显示此选项，具体以界面为准。 − 默认不加密。 − 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。 添加多个数据盘 最多可以添加4个，默认情况直接创建为裸盘，不做任何处理。您也可以展开高级配置，选择如下配置。 默认：默认情况直接创建为裸盘，不做任何处理。 挂载到指定目录：将数据盘挂载到指定目录。 作为持久存储卷：适用于对PV有性能要求的场景。持久存储卷的节点会添加上node.kubernetes.io/localstoragepersistent标签，取值为linear或striped。 作为临时存储卷：适用于对EmptyDir有性能要求的场景。说明持久存储卷和临时存储卷仅在集群版本 > v1.21.2r0 时支持创建，且临时存储卷需要Everest插件版本>1.2.29，持久存储卷需要Everest插件版本>1.2.31。持久存储卷和临时存储卷支持如下两种写入模式。 线性（linear）：线性逻辑卷是将一个或多个物理卷整合为一个逻辑卷，实际写入数据时会先往一个基本物理卷上写入，当存储空间占满时再往另一个基本物理卷写入。 条带化（striped）：创建逻辑卷时指定条带化，当实际写入数据时会将连续数据分成大小相同的块，然后依次存储在多个物理卷上，实现数据的并发读写从而提高读写性能。条带化模式的存储池不支持扩容。多块存储卷才能选择条带化。 本地盘说明 节点规格为“磁盘增强型”或“超高I/O型”时，有一块数据盘可以是本地盘。本地磁盘实例有宕机风险，不保证数据可靠性，建议您使用云硬盘存储您的业务数据。

配置暴力破解规则 说明 Agent 版本低于 5.1.0，不支持配置自定义规则功能，使用此功能需升级 Agent 版本。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在暴力破解模块，单击“规则配置”按钮，开始暴力破解规则设置。 4. 配置暴力破解规则参数。 参数说明如下： 参数 说明 检查阈值 配置服务器在一段时间内连续登录失败超过的次数。 时间配置限制：11440分钟。 登录失败次数限制：1100次。 封禁时长 选择封禁时长，支持选择：不封禁、5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时。 防护场景 选择需要配置的防护场景，默认选择RDP暴力破解 、SSH暴力破解 ，支持选择FTP暴力破解 、MySQL暴力破解 、SQLServer暴力破解。 5. 当所有字段都设置完成后，单击“确认”。 配置勒索诱饵防护 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在勒索诱饵防护模块，单击“配置规则”，开始配置勒索诱饵防护。 4. 在页面右侧弹出的防护设置页面，配置防护参数。 参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动隔离。 手动处理：人工手动对勒索病毒文件进行处理。 自动隔离：检测出勒索病毒文件自动隔离。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。 指定防护目录 根据用户的特定防护场景，可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 5. 配置完成后，单击“确认”。 绑定存储库：选择一个可用状态的存储库，备份数据大小应小于存储库剩余容量。

类型名称 使用和操作限制 数据库权限设置 源数据库帐号需要具备如下权限： SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 提供的目标数据库帐号必须拥有如下权限： SELECT、CREATE、DROP、DELETE、INSERT、UPDATE、ALTER、CREATE VIEW、CREATE ROUTINE、REFERENCES，RDS for MySQL实例的root帐户默认已具备上述权限。当目标库为8.0.148.0.18版本时，还需要有SESSIONVARIABLESADMIN权限。 同步对象约束 支持表、主键索引、唯一索引、普通索引、存储过程、视图、函数的同步，不支持事件、触发器的同步。 视图、存储过程、函数依赖的表不支持做表名映射。 任务做表名映射时，不支持该表的外键约束同步。 任务做库名映射时，同步的对象中如果存在存储过程、视图、函数对象，全量阶段这些对象不会同步，会导致对象对比不一致。 使用非字母、非数字、非下划线等字符作为库表名称，或库表映射后名称包含中划线、井号时，名称的长度请不要超过42个字符 不支持非MyISAM和非InnoDB表的同步。 已选择的表与未选择的表之间互相rename的DDL操作，在任务同步中会被过滤掉，可能会导致任务失败或数据不一致。 对于一个DDL中存在一个rename的情况（例如：rename A TO B），只支持rename前后库表都在已选择库表中的rename操作（A和B都在已选择库表中），其他情况的rename DDL会被过滤 对于一个DDL中存在多个rename的情况（例如：rename A TO B, B TO C），只支持rename前后库表都在已选择库表中的部分rename操作 ，其他情况的rename DDL会被过滤（A和B在已选择库表中，C不在，仅执行rename A TO B） 不建议在多对一同步场景下的进行rename操作，可能会导致任务失败或数据不一致。 源数据库要求 源数据库中的库名不能包含：'<>/"以及非ASCII字符。 源数据库中的表名、视图名不能包含：'<>/"以及非ASCII字符 源数据库中的库名或映射后的名称不允许以iblogfile开头，也不能为ibbufferpool、ibdoublewrite、ibdata1、ibtmp1。 增量同步时，MySQL源数据库的binlog日志必须打开，且binlog日志格式必须为Row格式。 在磁盘空间允许的情况下，建议源数据库binlog保存时间越长越好，建议为3天。设置为0，可能会导致同步失败。 源数据库为自建MySQL时，通过设置expirelogsdays参数设置binlog保留时间。建议将expirelogsday参数设置在合理的范围，确保恢复时断点处的binlog尚未过期，以保证任务中断后的顺利恢复。 源数据库为RDS for MySQL时，设置binlog保留时间可参考《RDS用户指南》。 源数据库GTID状态必须为开启状态，源数据库实例没有开启GTID的情况下不支持主备倒换，DRS任务会因为位点不续接而中断导致无法恢复。 增量同步时，必须设置MySQL源数据库的serverid。如果源数据库版本小于或等于MySQL5.6，serverid的取值范围在2－4294967296之间；如果源数据库版本大于或等于MySQL5.7，serverid的取值范围在1－4294967296之间。 目标数据库要求 不支持从高版本同步到低版本。 目标数据库实例的运行状态必须正常，若数据库实例是主备实例，复制状态也必须正常。 目标数据库实例必须有足够的磁盘空间。 目标数据库的字符集必须与源数据库一致。 目标数据库的时区设置必须与源数据库一致。 除了MySQL系统数据库之外，当目标库和源库同名时，目标数据库中若存在与源库同名的表，则表结构必须与源库保持一致。 DRS同步时会有大量数据写入目标库，目标库maxallowedpacket 参数过小会导致无法写入，建议将目标库maxallowedpacket参数值设置为大于100MB。 同步的对象中包含引擎为MyISAM的表，则目标数据库sqlmode不能包含noenginesubstitution参数，否则可能会导致同步失败。 映射到目标库中的库名不能包含：“.”、 “<”、“>”、“”、和“'”。 操作须知 相互关联的数据对象要确保同时同步，避免因关联对象缺失，导致同步失败。常见的关联关系：视图引用表、视图引用视图、存储过程/函数/触发器引用视图/表、主外键关联表等。 当前仅MySQL>MySQL的同步支持多对一任务同步，进行表级多对一同步时，源库不允许存在无主键表。 进行多对一同步任务时，若多个同步任务同步同一张表，则在任务启动之后，系统会自动创建一个父任务来关联多个同步任务，父任务的命名规则为“DRSGroup(目标库实例名)”。 源库和目标库是相同的RDS实例时，不支持没有库映射的实时同步。 源库不允许存在与目标库同名的无主键表。 源数据库不支持reset master或reset master to命令，可能会导致DRS任务失败或者数据不一致。 源库和目标库为RDS for MySQL实例时，不支持带有TDE特性并建立具有加密功能表。 如果源库MySQL不支持TLS1.2协议，或者为版本较低的自建库（低于5.6.46或在5.7.05.7.28之间），需提交运维申请才能使用SSL测试连接 支持断点续传功能，但是对于无主键的表可能会出现重复插入数据的情况。 支持目标数据库中的表比源数据库多列场景，但是需要避免以下场景可能导致的任务失败。 目标端多的列要求非空且没有默认值，源端insert数据，同步到目标端后多的列为null，不符合目标端要求。 目标端多的列设置固定默认值，且有唯一约束。源端insert多条数据后，同步到目标端后多的列为固定默认值，不符合目标端要求。 不支持源数据库恢复到之前时间点的操作(PITR)。 不支持目标数据库恢复到全量同步时间段范围内的PITR操作。 不支持外键级联操作。当外键是普通索引的时候，可能会导致表结构创建失败，建议改成唯一索引。 不支持强制清理binlog，否则会导致同步任务失败。 不支持分区表的分区字段进行列映射 建议将expirelogday参数设置在合理的范围，确保恢复时断点处的binlog尚未过期，以保证服务中断后的顺利恢复。 任务创建后，目标库不能设置为只读。 实时同步过程中，如果修改了源库或者目标库的用户名、密码，会导致同步任务失败，需要在数据复制服务控制台将上述信息重新修改正确，然后重试任务可继续进行实时同步。一般情况下不建议在同步过程中修改上述信息。 实时同步过程中，如果修改了源库或者目标库端口，会导致同步任务失败。针对该情况，数据复制服务提供不同的处理机制。 对于源库端口，需要在数据复制服务控制台修改为正确的端口，然后重试任务可继续进行实时同步。 对于目标库端口，系统自动更新为正确的端口，需要重试任务即可进行同步。 一般情况下不建议在同步过程中修改端口。 实时同步过程中，如果源库为非本云关系型数据库实例，不支持修改IP地址。如果是本云关系型数据库实例，对于因修改IP地址导致同步任务失败的情况，系统自动更新为正确的IP地址，需要重试任务可继续进行同步。一般情况下，不建议修改IP地址。 为了保持数据一致性，不允许对正在同步中的目标数据库进行修改操作（包括但不限于DDL、DML操作）。 当在全量同步过程中，对MyISAM表执行修改操作时，可能造成数据不一致。 增量同步支持DDL语句。 增量同步支持表的重命名，源表和目标表必须都在对象选择里；全量同步不支持重命名的DDL。 增量同步支持任务再编辑追加同步对象。

本节介绍分布式缓存服务Redis版购买与计费常见问题 如何订购分布式缓存服务Redis版？ 天翼云门户目前支持分布式缓存服务Redis版的按需计费与包年包月开通，具体可参考创建实例。 创建分布式缓存服务Redis时，根据实例规格和购买时长产生费用，支持包年包月、按量付费的计费方式。更多关于计费方式的信息，请参见计费模式。 分布式缓存服务的计费项为CTDCS实例 计费项 计费项说明 适用的计费模式 计费公式 :::: CTDCS实例 分布式缓存服务Redis按照您选择的实例规格进行计费。 包年/包月、按需计费 实例规格单价 购买时长实例规格单价请参见订购分布式缓存Redis。 什么场景适合应用使用Redis？ Redis最典型的应用场景是当做缓存使用，服务在处理请求时先从Redis获取结果，获取到结果则直接返回，Redis存储没有结果再从数据库里获取，然后存到Redis里以供下次使用。 具体应用场景描述，比如：热点数据的缓存、限时业务的运用、计数器相关问题、排行榜相关问题、分布式锁等，可参考应用场景。

打开MPIO工具添加存储阵列 1. 点击“管理工具”>“MPIO”。 2. 点击“发现多路径”，勾选添加对iSCSI设备的支持，点击“添加”>“确定”。 3. 重启Windows。 调整MPIO配置 1. 打开Powershell，开启路径检测和自定义路径恢复功能。 GetMPIOSetting 查看当前配置 SetMPIOSetting NewPathVerificationState Enabled 开启路径检测 SetMPIOSetting CustomPathRecovery Enabled 开启自定义路径恢复功能 2. 重启Windows 挂载的操作步骤 1. 运行iSCSI发起程序，在“开始”>“搜寻程序和文件”输入“iSCSI”，打开“iSCSI发起程序”，如下图所示： 2. 在“发现”>“发现目标门户”中输入存储卷对应Target所在的服务器IP和Port，如果是集群版，需要输入主备两个Target所在服务器的地址。如下图所示： 3. 在“目标”>“已发现的目标”中搜索到云存储网关发布的iSCSI Target，查看到状态是“不活动”，点击连接，如下图所示： 注意 集群版需要勾选“启用多路径”，单机版无需勾选。 4. 若您的iSCSI存储卷有开启CHAP认证，在弹出的连接到目标的对话框中，选择“高级”，如下图所示（没有开启请忽略此步骤直接连接即可）。 5. 勾选“启用CHAP登录”，在“名称”中输入在云存储网关系统中设置的iSCSI认证的用户名，在“目标机密”中输入设置的iSCSI认证的密码，然后点“确定 ”。如下图所示： 6. 客户端使用iSCSI共享磁盘打开“服务器管理器”>“存储”>“磁盘管理”，将刚刚连接成功的状态是“脱机”的磁盘“联机”。然后初始化，再新建卷，指定盘符并格式化，如下图所示： 注意 如果卷容量小于等于2TB时，可以使用MBR和GPT中的任意一种进行分区；如果卷容量大于2TB，只能使用GPT分区。 打开“计算机”，可以看到新增的磁盘的盘符和容量，自此就可以按使用本地磁盘的习惯使用云存储网关发布的iSCSI磁盘了。如下图所示： 注意 如果客户端需要重启，或者需要断开连接、删除磁盘等，需要先点击磁盘右键进行脱机，然后在iSCSI发起程序中断开iSCSI连接，请严格按照规范操作，以防引起文件损坏。

本文主要介绍了关系数据库SQL Server版扩容类型分类。 关系数据库SQL Server版配置变更能力包含实例规格扩容、扩容磁盘、备份空间扩容、实例类型升级。 变更类型 说明 :: 实例规格扩容 实例规格包含内存和cpu规格扩容。 扩容磁盘 在扩容磁盘时，最小增加量为10 GB，最大不能超过当前实例规格的存储空间限制。 备份空间扩容 在备份空间扩容时，最小增加量为10 GB，最大不能超过当前实例规格的存储空间限制。 实例类型升级 支持单机版到主备版的实例类型升级。

本章节介绍缓存容灾策略。 DCS缓存实例都存储着大量关键数据，不论是作为数据库前端缓存，还是作为数据存储引擎，数据的可靠性与服务的连续可用性是DCS服务设计上为客户考虑的核心因素，下图展示了DCS在数据和服务方面的容灾架构设计演进。 DCS灾备架构演进 根据对数据与服务的不同可靠性要求，您可以选择将缓存实例部署在单可用区内（单机房），或者跨可用区（同城灾备）。 实例单可用区高可用 同一机房即单可用区。单可用区灾备策略主要包括进程/服务高可用，数据持久化到磁盘，以及实例节点间热备三种不同层次。 在单可用区内，单机实例通过进程守护的方式确保服务高可用，当DCS监测到缓存实例进程故障，马上拉起一个新的进程继续提供服务。 单可用区内单机实例高可用 主备实例配置了数据持久化，数据持久化到主节点磁盘外，还会增量同步到备节点，同时备节点也会持久化一份数据。因此，主备实例实现了节点热备和持久化文件多个备份。 单可用区内主备实例高可用 集群版实例类似主备实例，每个条带（实例进程）有持久化文件，也都有对应的副本（备进程及其持久化文件。） 单可用区内集群版实例高可用

相关服务 功能交互 相关链接 云硬盘（CTEVS，Elastic Volume Service） 云硬盘备份对云硬盘进行数据备份，也支持使用备份来恢复数据或创建新盘，以便于在云硬盘数据丢失或损坏时自助快速恢复数据。 对象存储（CTZOS，Zettabyte Object Storage） 云硬盘备份底层与对象存储服务资源相结合，将云硬盘备份数据存储到对象存储中，高度保障用户的备份数据安全。

本文为您介绍地域访问控制功能说明，以及如何配置地域访问控制策略。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持地域访问控制功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“地域访问控制”模块，可以选择开启/关闭防护状态，并查看当前已封禁的地域。点击“前去配置”。 7. 进入地域访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、封禁区域、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 防护目标 需输入完整防护的网页路径或端口。 例如 为路径地址。 路径不支持通配符(例如 / )或参数(例如 /abc?xxxyyy 中，xxxyyy 为参数部分)。 支持输入端口，如 或 地理位置 IP访问来源的地理范围，可以选择“境内”和“境外”区域。支持多选。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 点击“确认”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文帮助您了解对象存储配置文件标签的操作步骤。 操作场景 存储桶内文件标签由标签的键（key）和标签的值（value）组成。您可以为已创建的文件配置标签，作为管理文件的一个标识，便于对文件进行分组管理。 约束与限制 标签键值长度为0128，合法字符集包括大小写字母、数字、空格和下列符号+ . : / 。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要设置标签的文件，点击文件所在行的“更多”按钮。在下拉选项中点击“标签”按钮。 6. 在弹出页面点击“添加”，输入您要添加的“标签键”和“标签值”，最后单击“确定”按钮，即可完成文件标签的设置。 说明 您也可以在“文件管理”点击要设置标签的文件名，在弹出的文件详情页中，单击“设置标签”完成标签设置。