本页介绍天翼云TeleDB数据库实例监控相关操作。 操作场景 TelePG支持资源监控，主要包含CPU、内存、磁盘、网络等硬件资源状态监控。 操作步骤 1. 进入关系型数据库PostgreSQL控制台。 2. 在左侧导航树上选择监控 > 资源监控，进入资源监控页面。 3. 在实例和节点下拉框，选择对应的实例和节点，即可查看该实例的相关资源信息。 CPU使用率 内存使用量 内存使用率 IO操作数 IO吞吐量 ioutil 磁盘空闲空间 磁盘空闲率 磁盘已用空间 磁盘使用率 网络吞吐量

参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。只读实例的存储空间大小默认与主实例一致。

如何同时备份多个资源？ 1. 前往“云服务备份 > 云主机备份”或“云服务备份 > 云硬盘备份”页面，创建备份存储库，建议存储库容量大于等于所需要备份资源的容量总和的2倍。 2. 创建存储库时或创建存储库后，绑定所需要备份的多个资源。 3. 绑定资源完成后，在目标存储库的“操作”列下，选择“更多 > 立即备份”。可以同时手动备份多个资源。 或者可以将存储库绑定至备份策略中，系统会自动在设置的时间备份多个资源。 如何永久保留备份？ 手动备份 如果希望将手动执行产生的备份进行永久保留，则只要不手动删除备份，保证账户中的费用充足，即可实现永久保留备份。 自动备份 在设置策略时，将备份保留规则设置为“永久保留”或按时间保留自定义输入“99999天”。策略执行时，则不会自动删除策略产生的备份。只要保证账户中的费用充足，即可实现永久保留备份。 如何取消自动备份？ 如果需要取消自动备份，你可以将策略从存储库中解绑，或将该策略的启用状态设置为关闭。恢复自动备份，将备份存储库绑定至备份策略。系统将在设定的时间点，对存储库上绑定的资源进行备份，并自动按照保留规则保留备份。 如何自动删除过期备份？ 1. 前往云服务备份控制台，购买备份存储库，建议提前计算好需要的存储库容量。 2. 购买存储库时或购买存储库后，绑定所需要备份的资源。 3. 绑定云主机完成后，前往“云服务备份 > 策略”页面配置备份策略，建议备份时间选择凌晨业务较少的时间。根据需要设置存储库保留备份数量，如果存储库容量较小，建议保留备份的份数和天数减少。需要确保存储库空间能够存放保留规则生效前，所有策略产生的自动备份。否则出现自动备份失败后，按数量保留的规则可能不会生效。保留规则不会删除手动备份。 4. 设置完成后，将备份存储库绑定至备份策略。系统将在设定的时间点，对存储库上绑定的资源进行备份，并自动按照保留规则删除过期的备份。

空对象，表示匹配所有Namespace effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 优先级 在创建Selector后，所有新创建的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为s7.small.1(1C1G)。 说明 如果配置了大于规格的资源请求，则 Pod 创建会失败。如果不需要修改ECI Pod的配置，则可以不配置annotations。 此外，还可以为不同的命名空间创建不同的Selector，可批量对不同命名空间下的Pod配置不同的ECI功能特性。 例如，可以创建如下Selector启用镜像缓存： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: enableimagecache spec: namespaceLabels: matchLabels: namespace: imagecache 指定命名空间 effect: annotations: k8s.ctyun.cn/eciimagecache: "true" 设置Pod启用镜像缓存 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，只有命名空间为imagecache的Pod才会自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod启用镜像缓存。 2、Pod标签匹配 假设想让带有指定标签的Pod使用1C1G的规格，则可以创建如下Selector： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gmatchlabels spec: objectLabels: matchLabels: app: nginx 指定标签 effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，带有app: nginx标签的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为1C1G。 优先级 Selector 支持通过priority字段指定优先级，优先级数值越大，优先级越高。如果某个 Pod 同时匹配多个 Selector，则优先级最高的 Selector 生效。 说明 若不配置priority字段，则默认优先级为0。

本章节介绍如何通过自建网关实现全链路灰度 概述 您可以基于微服务治理在不修改任何业务代码的情况下，实现全链路灰度的流量控制。本文介绍用户如何通过自建网关实现全链路灰度功能。 前提条件 1、用户已开通微服务治理中心企业版。 2、用户已开通云容器引擎。 背景信息 在微服务架构下，一次需求可能会同时修改多个微服务应用。在发布应用时，通常将这些应用划分为同一个分组，使灰度流量始终在灰度应用中流转。当上游有灰度流量时，会通过引流的方式将灰度流量引导至灰度分组，在此次链路调用过程中，如果存在一些微服务没有灰度环境，那这些请求在下游时依然能回到灰度环境中，以此实现全链路灰度。 通过使用微服务治理中心，可以在不修改业务代码的情况下，轻松实现全链路灰度。本文介绍如何通过自建网关实现全链路灰度。 部署Demo应用 准备自建入口网关msgczuul，准备应用msgcappa，msgcappb和msgcappc。调用过程是msgcappa –> msgcappb > msgcappc。 步骤1：在云容器引擎集群中安装微服务治理插件： 1. 登录云容器引擎控制台。 2. 在左侧菜单栏选择集群，点击目标集群。 3. 在集群管理页面点击插件插件市场，选择cubems插件安装。 步骤2：为应用开启微服务治理能力： 1. 登录云容器引擎控制台。 2. 左侧菜单栏选择集群，点击目标集群。 3. 在集群管理页面点击工作负载无状态，选择目标命名空间。 4. 在Deployment列表页选择指定Deployment，并点击全量替换，进入Deployment编辑页。 5. 在Deployment编辑页点击显示高级设置，新增Pod标签: mseCubeMsAutoEnable:on。 6. 在发布应用时，配置指定环境变量，可指定注入微服务治理中心的应用名、命名空间和标签等信息。 环境变量配置如下： 环境变量名 环境变量值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSESERVICETAG 应用标签信息，如灰度应用可配置gray。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。 7. 完成编辑后点击提交，重新发布容器即可接入。 appa应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appb应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appc应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" zuul应用的配置： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "zuul" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "zuul" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "zuul" spec: containers: env: name: "MSEAPPNAME" value: "zuul" image: "镜像仓库域名/xxx/zuul:latest" imagePullPolicy: "Always" name: "zuul" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi"

集群内资源迁移 源集群应用备份 注意 以下命令在源集群的master上运行。 Velero可以实现多个粒度的集群备份及恢复，如集群级、命名空间级、资源对象级等。Velero备份集群命令基本格式为：velero backup create RESTORENAME [flags]，它有多种参数，以下举一些例子： 备份集群所有资源 velero backup create clusterbackup 备份一个namespace，如命名空间demo velero backup create namespacebackup includenamespaces demo 备份一个namespace下的一种资源，如命名空间demo下的deployments velero backup create namespacedeploybackup includenamespaces demo includeresources deployments 备份过程中可以通过以下命令查看备份情况： velero backup get 目标集群应用恢复 注意 以下命令在目标集群的master上运行。 Velero恢复/同步数据的命令基本格式为velero restore create RESTORENAME [frombackup BACKUPNAME] [flags]。以同步上面的namespacedeploybackup为例，以下命令可以将源集群已备份的数据（即demo命名空间下的deployments），同步到目标集群上，实现集群数据的迁移： velero restore create frombackup namespacedeploybackup 恢复过程中可以通过以下命令查看恢复情况： velero restore get 资源更新适配 由于基础设施或环境信息的改变，迁移后的资源配置需要针对新环境进行适配。以下列举一些常见的需要适配的资源及对应的处理方法。 镜像更新适配 一般情况下，集群内的应用使用的镜像都会保存在一个镜像仓库中，如果目标集群可以直接访问源集群使用的镜像仓库，那么不需要针对容器镜像做任何适配。 如果原有的镜像仓库无法访问或者有网络性能的问题，就需要在集群外资源迁移时进行镜像仓库迁移，并将应用中的镜像名称更改为新的镜像名称。

就近访问 用户上传对象时，可以选择就近存储。OOS通过系统自动调度，将数据写入距离客户较近的资源池，以实现较低的访问延迟。 用户下载对象时，可以从距离较近的资源池中获取数据，提高下载速度。 全国统一管理 OOS将多个地区的存储资源池连为一体，为用户提供了具有统一名字空间的对象存储服务。用户可以通过一个域名地址，访问全国的所有对象，数据可以在各个资源池间流动。 简单易用 OOS提供标准REST API、丰富的SDK、数据迁移工具，并可通过云存储网关支持iSCSI协议 ，让用户业务快速上云。OOS不限制存储空间大小，用户可根据所需存储量无限扩展存储空间；还可以通过设置生命周期规则，将到期数据批量删除或者转储为更低成本的低频访问型存储。 精准控制 OOS提供统一身份认证、Bucket权限、Bucket策略、签名验证等多种访问控制方式，对数据资源进行精准控制。支持操作跟踪和Bucket日志管理，实时记录访问请求的详细信息。

本章节介绍应用总览界面相关功能 概述 应用总览界面可以查看应用基本信息、访问方式、容器组、工作负载等信息。 应用总览 在左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。点击应用实例进入到应用详情界面。 基本信息 基本信息中展示了运行状态、资源池、环境、部署单元、微服务空间、K8s命名空间、集群名称、所属应用、规格等信息。部署单元可进行编辑，编辑后下次发布可选择已编辑的部署单元。规格信息可进行编辑，编辑后应用会立刻重启。 访问方式 访问方式展示了已邦定的负载均衡（公网）、负载均衡（私网）、服务（service）信息，可以通过+按钮进行新增，负载均衡需要先导入到环境才可进行绑定。 容器组 容器组列表展示了当前应用的pod信息，通过容器组列表可查看pod状态、ip、部署单元、节点等信息。通过操作栏可查看应用日志、pod事件、进入pod终端、删除pod等操作。 工作负载 容工作负载列表展示了当前应用的deployment信息，通过工作负载列表可查看负载名称、镜像、命名空间、创建时间等信息。通过操作栏可查看工作负载事件。

本页面主要介绍快照备份的使用方法。 注意 快照备份功能为邀测功能，邀测功能不承诺SLA，详情可见天翼云关系数据库服务协议，且仅西南1 II类型资源池支持该功能，I类型资源池不支持该功能，如有需要，可提单咨询。 使用场景 数据保护和恢复：快照可以用作数据的备份和恢复手段。当云硬盘的数据发生意外删除、损坏或错误修改时，可以使用快照来恢复到之前的状态。 数据恢复测试：可以使用快照来进行数据恢复测试。在进行关键操作之前，先创建一个快照，然后在测试过程中可以随时回滚到快照状态，以确保操作的安全性和可靠性。 数据备份和归档：通过创建快照，可以定期备份云硬盘的数据，并将快照存档用于长期数据保留、合规要求或法律需求。 约束限制 由于快照备份的数据都是存在云硬盘存储库中的，所以进行快照备份需要先开启云硬盘备份的存储库，具体操作，请参见本文档的步骤1：开通云硬盘存储库。 快照备份仅支持全量备份，不支持库表的快照备份。 步骤1：开通云硬盘存储库 注意 无论是手动快照备份还是自动快照备份，都需要先开通云硬盘存储库，且一个存储库可供多个实例使用。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，然后单击备份策略页签。 5. 单击快照备份策略 右侧的编辑。 6. 在快照备份策略 面板中，单击选择存储库 旁的开启云硬盘备份。 进入存储控制台，您可以根据界面提示，开通云硬盘存储库。 7. 在快照备份策略 面板中，单击选择存储库旁的刷新图标，可以选择新创建的存储库。 注意 在实例退订后，存储库不会自动退订，且实例退订后存储库中的数据将无法使用，建议在退订时将该实例的数据一起清理，以免占用不必要的空间。 如果所有实例都无需使用存储库，则您可以在存储控制台退订存储库，以免不必要的扣费。

事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

日志详情 在区间查看中，单击目标命令模板右侧操作列中的详情，滑出弹框对指定命令模板进行模板统计和明细查询与下载。 选择统计页签，可查看SQL模板以及该模板对应的各维度数据统计，包括SQL明细耗时分布、Top命名空间统计，以及命名空间的索引优化建议。 选择明细页签，可查看对应模板的操作明细，支持条件筛选和自定义列展示，并支持日志明细的xlsx格式文件下载到本地查看，也可查看对应模板的索引优化建议。

本章节介绍天翼云关系型数据库如何创建新实例。 操作场景 您可以通过关系型数据库服务的管理控制台或API创建关系型数据库实例。关于如何通过API创建的信息，请参见《关系型数据库API参考》中实例管理章节的“创建实例”的内容。本节将介绍在关系型数据库服务的管理控制台创建实例的过程。 目前，RDS for SQL Server支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击“购买数据库实例”。 步骤 5 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 表 基本信息 参数 描述 :: 区域 租户当前所在区域，也可在页面左上角切换。说明不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 Microsoft SQL Server。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用Microsoft SQL Server数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况：相同，主机和备机会部署在同一个可用区。不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 单机：只创建一个主实例。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区仅可在创建实例时选择，一旦选定无法修改。 实例字符集 定义数据库或表列的排序规则，或应用于字符串表达式时的排序规则强制转换操作。用于设置当前实例的字符集。 表 规格与存储 参数 描述 :: 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更，请参见变更实例的CPU和内存规格。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量90MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 表 网络 参数 描述 :: 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址暂不可修改。 内网安全组 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 表 数据库配置 参数 描述 :: 管理员帐户名 数据库的登录名称默认为rdsuser。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、数字、特殊字符三种字符的组合，其中允许输入 ~！@

本文介绍如何查看IaC告警信息及如何处置相关告警。 在IaC告警页面，用户可以查看IaC告警信息，并对告警进行处理。 查看告警列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > IaC告警”，进入IaC告警页面。 3. 查看告警数据统计：显示未处理的告警数量，并分别按不同级别进行数量统计。 4. 单击数据统计中某一级别的告警，下方报警列表将根据选择的级别进行筛选。 5. 告警列表内，支持按照“报警级别”、“文件名称/路径”、“文件类型”、“集群名称”、“命名空间”、“状态”进行筛选查询。 告警信息参数说明： 参数 说明 报警名称 报警的原因。单击报警名称可查看报警详情。 报警级别 报警分为紧急、异常、提示这三种类型。 集群名称 存在报警的镜像所属集群的名称。 受影响的命名空间 受影响的命名空间名称。 文件名称/路径 告警的文件名称。单击可查看文件详情及文件告警详情。 文件类型 告警的文件类型。 处理状态 状态分为已处理和未处理。 最近发现时间 最近一次发现报警事件的时间。

本节主要介绍创建手动备份 文档数据库服务支持对可用的实例创建备份，用户可以通过备份恢复数据，保证数据可靠性。 手动备份说明 备份类型： 全量备份：全量备份表示对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 备份方式： 物理备份：通过物理拷贝磁盘文件的方式进行备份。 DDS支持的手动备份方法如下表所示。 备份方法 实例类型 备份方式 备份类型 集群 物理备份 全量备份 副本集 物理备份 全量备份 计费说明 购买实例存储空间后，文档数据库服务将同比例赠送备份存储空间，用于存储备份数据。当备份数据超出赠送的免额空间时，将按需进行收费。例如，您购买的实例存储空间为100GB时，会得到赠送的100GB备份存储空间。当备份数据没有超出100GB，将免费存储在OBS上；当备份数据超出100GB，超出部分将按需计费，具体收费请参见价格详情。 您可以在“费用中心 > 费用账单”页面，选择产品为“DDS云备份”来查看备份产生的费用。 使用须知 备份过程，对业务无影响。 当文档数据库实例被删除时，该实例下的自动备份将被同步删除，手动备份不会被删除。 账户余额大于等于0元，才可以创建手动备份。

本节介绍如何使用加速数据集。 以创建离线训练应用为例，说明如何使用加速数据集。 前提条件 已完成AI套件安装，弹性数据集组件运行正常 确保存储插件cstorcsi运行正常 数据集加速状态为已加速或已预热 约束与限制 当前使用加速数据集仅限default命名空间 如数据集加速状态为已加速或已预热，训练应用默认使用加速PVC；其他状态下，训练应用默认使用非加速PVC 操作步骤 1、加速数据集开启预热 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用列表 > 离线训练 > 创建AI应用； 进入离线训练应用创建页面，进行相关信息配置，详细参考？？？？ ； 配置训练数据： 点击“选择数据集”，在弹出页面选择“私有数据集”，选择已加速的数据集名称： 点击“选择数据集版本”，在弹出页面选择“私有数据集”，选择已加速的数据集名称： 训练应用创建完成，将默认使用加速PVC。以PyTorchJob为例，可以在yaml中查看挂载信息：

本章节主要介绍创建DataArts Studio基础包。 背景信息 只有拥有DAYU Administrator 或Tenant Administrator权限的用户才可以创建DataArts Studio实例或DataArts Studio增量包。如需创建，您需要给用户授予所需的权限。 说明 Tenant Administrator策略具有所有云服务的管理员权限（除IAM管理权限之外），为安全起见，一般不建议给IAM用户授予该权限，请谨慎操作。 只有拥有Security Administrator权限的用户才创建云服务委托。云服务委托可将相关云服务的操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 前提条件 已申请VPC、子网和安全组，您也可以在创建DataArts Studio实例过程中申请VPC、子网和安全组。 登录DataArts Studio控制台 1. 登录云控制台。 2. 在控制台左上方，单击“服务列表”按钮，选择“数据治理中心”，进入DataArts Studio控制台。 创建DataArts Studio基础包 步骤 1 在DataArts Studio控制台页面，单击“创建实例”，进入创建DataArts Studio实例界面。 步骤 2 配置DataArts Studio实例参数，各参数说明如表1 所示。 表1 DataArts Studio实例参数 参数名称 样例 说明 区域 选择实例的区域，不同区域的资源之间内网不互通。 企业项目 default DataArts Studio实例默认工作空间关联的企业项目。 如果已经创建了企业项目，这里才可以选择。当DataArts Studio实例需连接云上服务（如DWS、MRS、RDS等），还必须确保DataArts Studio工作空间的企业项目与该云服务实例的企业项目相同。 l 一个企业项目下只能创建一个DataArts Studio实例。 l 需要与其他云服务互通时，需要确保与其他云服务的企业项目一致。 版本 企业版 选择需要购买的DataArts Studio版本。 计费方式 包年包月 当前DataArts Studio基础包仅支持包年包月计费方式。 实例名称 DataArts Studiotest 自定义DataArts Studio实例名称。实例名称不支持修改，请提前合理规划。 可用区 可用区1 选择DataArts Studio实例可用区，即数据集成CDM集群所在可用区。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 第一次购买DataArts Studio实例或增量包时，可用区无要求。再次购买DataArts Studio实例或增量包时，是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 l 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 l 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 虚拟私有云 vpc1 DataArts Studio实例中的数据集成CDM集群所属的VPC、子网、安全组。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 子网 subnet1 DataArts Studio实例中的数据集成CDM集群所属的VPC、子网、安全组。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 安全组 sg1 DataArts Studio实例中的数据集成CDM集群所属的VPC、子网、安全组。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 购买时长 1年 按您的需求选择购买的时长。 自动续费 勾选自动续费前的复选框，可实现自动按月或者按年续费。 购买时长为按月购买时，自动续费周期为1个月；购买时长为按年购买时，自动续费周期为1年。 步骤 3 查看当前配置，确认无误后单击“立即创建”。 步骤 4 返回DataArts Studio控制台首页时，系统会自动弹出“云资源访问授权”的对话框，提示您对所列出的服务进行委托授权。DataArts Studio与这些云服务之间存在业务交互关系，需要与这些云服务协同工作，因此需要您创建云服务委托，将操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 说明 只有拥有Security Administrator权限的用户才创建云服务委托。云服务委托可将相关云服务的操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 云服务委托包含DWS、MRS、RDS、OBS、SMN、KMS等服务的相关权限，作用范围可以访问IAM的委托界面查看。 另外子账号以主账号的委托为准，不需要额外申请委托。 勾选所有服务并单击“同意授权”，系统会在IAM服务自动创建dlgagency默认委托。 完成了委托授权后，下次再进入DataArts Studio控制台首页时，系统不会再弹出访问授权的对话框。 如果您只勾选了其中的某几个服务进行委托授权，下次进入DataArts Studio控制台首页时，系统仍会弹出访问授权的对话框，提示您对未授权的云服务进行访问授权。 步骤 5 在已创建的实例中单击“进入控制台”，进入DataArts Studio控制台。

本节主要介绍如何查看事件信息。 操作场景 通过查看事件列表，您可以了解近360天的事件的统计信息列表，列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如事件名称、事件等级和发生时间等，快速查询到相应事件的统计信息。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面。 5. 在事件管理页面上方，查看事件统计情况。 急需处理事件 ：呈现事件等级为致命或高危，且状态为非关闭的事件总数。 超期事件 ：呈现已超过事件设置的计划关闭时间，且还未关闭的事件总数。 事件状态 ：呈现“打开”、“阻塞”、“关闭”状态的事件总数及对应状态下事件数量。 事件数量 ：当前工作空间内的事件总数，以及各个等级对应的事件数量。 6. 在事件列表中，查看事件详细信息。 页面最多可查看9999条事件信息。 参数 说明 事件名称 事件名称。 事件ID 事件对应的ID。 事件等级 事件严重等级，分为以下等级：提示、低危、中危、高危、致命。 类型 事件类型。 状态 事件状态，分为以下状态：打开、阻塞、关闭。 影响资产 受此事件影响的资产。 验证状态 此事件的验证状态，即事件的准确性。分为以下状态：未知、确认、误报。 责任人 此事件的主要责任人。 创建时间 此事件的创建时间。 首次发生时间 此事件首次发生时间。 最近发生时间 此事件最近一次发生的具体时间。 计划关闭时间 此事件的计划关闭时间。 描述 事件的描述信息。 数据源产品名称 事件来源产品的名称。 标签 事件的标签信息 操作 可对事件进行编辑、关闭等操作。 7. 如需查看某个事件详概览，可单击告警名称，页面右侧将展示事件的概览信息。 在事件概览页面可以查看事件的处置建议、基本信息和关联信息（包括关联的威胁指标、告警、事件、攻击信息等）。 如果需要查看事件详情，可以在事件概览页面右下角单击“事件详情”，进入事件详情页面。 在详情页面除了可以查看概览页面的信息外，还可以查看事件的时间线和攻击信息。例如：事件首次发生时间、检测时间、攻击进程ID等。 在事件概览/详情页面可以在事件等级和状态的下拉箭头中修改事件等级、状态。 在事件概览/详情页面可以关联或取消关联告警、事件、情报，还可以查看受影响资产相关信息。

本节介绍智算集群部署Pytorch分布式训练任务。 前提条件 已开通包含GPU/NPU的Kubernetes集群。 已安装智算套件。 背景信息 本文演示如何提交一个PyTorch的分布式训练任务，相关的数据已经包含在容器镜像中。若用户自有模型或训练任务可自行下载数据集，通过使用CSI hpfs文件存储，通过PVC方式挂载进容器中使用。 操作步骤 进入云容器引擎控制台。 点击左侧【集群】进入集群列表。 点击使用的集群名称，进入集群。 点击左侧【工作负载】>【自定义资源】，选择资源浏览器，找到kubeflow.org/v1/PyTorchJob ，选择命名空间，点击新增。 在创建yaml中，填入以下信息后点击【创建】。 注意 1.GPU和昇腾NPU申请资源类型不一样，请使用对应的模板； 2.修改对应的镜像仓库地址前缀为对应资源池，可在容器镜像控制台查看，如武汉41，则修改{imagerepo}为registryvpccrswuhan41.ctyun.cn； 3. namespace: 要和界面选择的一致。 GPU模板 xml apiVersion: "kubeflow.org/v1" kind: PyTorchJob metadata: name: pytorchsamplegpu01 namespace: default spec: pytorchReplicaSpecs: Master: replicas: 1 restartPolicy: OnFailure template: spec: containers: name: pytorch image: {imagerepo}/icce/kubeflowexamplespytorchdistmnist:multi

参数 参数说明 插件规格 根据业务需求，选择插件的规格，包含如下选项： 演示规格（100容器以内）：适用于体验和功能演示环境，该规模下prometheus占用资源较少，但处理能力有限。建议在集群内容器数目不超过100时使用。 小规格（2000容器以内）：建议在集群中的容器数目不超过2000时使用。 中规格（5000容器以内）：建议在集群中的容器数目不超过5000时使用。 大规格（超过5000容器）：建议集群中容器数目超过5000时使用此规格。 实例数 选择上方插件规格后，显示插件中的实例数，此处仅作显示。 容器 选择插件规格后，显示插件容器的CPU和内存配额，此处仅作显示。 监控数据保留期 自定义监控数据需要保留的天数，默认为15天。 存储 按照界面提示配置如下参数： 类型：支持云硬盘。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 子类型：支持普通IO、高IO和超高IO三种类型。 容量：请根据业务需要输入存储容量，默认10G。 说明： 若命名空间monitoring下已存在pvc，将使用此存储作为存储源。

访问控制 通过主/子帐号和安全组实现访问控制。创建关系型数据库实例时，关系型数据库服务会为租户同步创建一个数据库主帐户，根据需要创建数据库实例和数据库子帐户，将数据库对象赋予数据库子帐户，从而达到权限分离的目的。可以通过虚拟私有云对关系型数据库实例所在的安全组入站、出站规则进行限制，从而控制可以连接数据库的网络范围。 传输加密 通过TLS加密、SSL加密实现传输加密。使用从服务控制台上下载的CA根证书，并在连接数据库时提供该证书，对数据库服务端进行认证并达到加密传输的目的。 存储加密 通过静态加密、表空间加密、同态加密对数据进行加密。关系型数据库服务支持对存储到数据库中的数据加密后存储，加密密钥由KMS进行管理。 数据删除 删除关系型数据库实例时，存储在数据库实例中的数据都会被删除，任何人都无法查看及恢复数据。安全删除不仅包括数据库实例所挂载的磁盘，也包括备份数据的存储空间（通常为廉价的对象存储系统）。 防DDoS攻击 当用户使用外网连接和访问关系型数据库实例时，可能会遭受DDoS攻击。当关系型数据库安全体系认为用户实例正在遭受DDoS攻击时，会首先启动流量清洗的功能，如果流量清洗无法抵御攻击或者攻击达到黑洞阈值时，将会进行黑洞处理，保证关系型数据库整体服务的可用性。 安全防护 关系型数据库处于多层防火墙的保护之下，可以有力地抗击各种恶意攻击，保证数据安全，防御DDoS攻击、防SQL注入等。建议用户通过内网访问关系型数据库实例，可使关系型数据库实例免受DDoS攻击风险。 高可靠性

参数 参数类型 说明 示例 下级对象 alive Integer 实例是否存活,0:存活，1:异常 0 createTime String 创建时间，格式为：yyyy:MM:dd HH:mm:ss 20230505 17:56:18 diskRated Integer 磁盘使用率 0 diskSize Integer 实例数据最大磁盘空间，单位G 0 diskTotal String 磁盘总大小 24G diskType String 磁盘类型，例如：SATA，SSD SATA diskUsed String 已使用磁盘 12G expireTime String 过期时间，格式：yyyyMMdd HH:mm:ss 20230505 17:56:18 machineSpec String 实例机器规格 netName String VPC名称 orderId Integer 订单id 1 outerProdInstId String 对外的实例ID，对应PaaS平台 prodDbEngine String 数据库实例引擎 prodInstFlag String 实例标识 prodInstId String 实例id prodInstName String 实例名称 prodInstSetName String 实例集群名称 prodOrderStatus Integer 订单状态，0：正常，1：冻结，2：删除，3：操作中，4：失败,2005:扩容中 0 prodRunninStatus Integer 实例状态： 0:运行中 1:重启中 2:备份中 3:恢复中 1001:已停止 1006:恢复失败 1007:VIP不可用 1008:GATEWAY不可用 1009:主库不可用 1010:备库不可用 1021:实例维护中 2000:开通中 2002:已退订 2005:扩容中 2011:冻结 0 prodType Integer 实例部署方式 0：单机，1：一主一备，2：一主两备，3：只读实例 1 readPort Integer 读端口 5432 securityGroup String 安全组名称 subnet String 子网名称 userId Long 用户ID 147 vip String 虚拟ip地址 vip6 String vip6 vpcId String VPCID writePort Integer 写端口 6543 parameterGroupUsed String 参数配置所使用的名称，对应PaaS平台 spuCode String 规格id 10003011 toolType Integer 备份工具类型，1：pgbaseback，2：pgbackrest，3：s3 1 subnetId String 子网id securityGroupId String 安全组id hostSeries String 性能类型 鲲鹏通用型(一代机) backupDiskType String 备份空间类型 backupDiskSize String 备份空间大小,当为对象存储时，不返回值 backupUsageDiskSize String 备份已使用空间 10G backupFreeSpace String 备份免费空间 100G billMode Integer 计费模式,1包周期,2按需

参数 参数类型 说明 示例 下级对象 alive Integer 实例是否存活,0:存活，1:异常 0 createTime String 创建时间，格式为：yyyy:MM:dd HH:mm:ss 20230505 17:56:18 diskRated Integer 磁盘使用率 0 diskSize Integer 实例数据最大磁盘空间，单位G 0 diskTotal String 磁盘总大小 24G diskType String 磁盘类型，例如：SATA，SSD SATA diskUsed String 已使用磁盘 12G expireTime String 过期时间，格式：yyyyMMdd HH:mm:ss 20230505 17:56:18 machineSpec String 实例机器规格 netName String VPC名称 orderId Integer 订单id 1 outerProdInstId String 对外的实例ID，对应PaaS平台 prodDbEngine String 数据库实例引擎 prodInstFlag String 实例标识 prodInstId String 实例id prodInstName String 实例名称 prodInstSetName String 实例集群名称 prodOrderStatus Integer 订单状态，0：正常，1：冻结，2：删除，3：操作中，4：失败,2005:扩容中 0 prodRunninStatus Integer 实例状态： 0:运行中 1:重启中 2:备份中 3:恢复中 1001:已停止 1006:恢复失败 1007:VIP不可用 1008:GATEWAY不可用 1009:主库不可用 1010:备库不可用 1021:实例维护中 2000:开通中 2002:已退订 2005:扩容中 2011:冻结 0 prodType Integer 实例部署方式 0：单机，1：一主一备，2：一主两备，3：只读实例 1 readPort Integer 读端口 5432 securityGroup String 安全组名称 subnet String 子网名称 userId Long 用户ID 147 vip String 虚拟ip地址 vip6 String vip6 vpcId String VPCID writePort Integer 写端口 6543 parameterGroupUsed String 参数配置所使用的名称，对应PaaS平台 spuCode String 规格id 10003011 toolType Integer 备份工具类型，1：pgbaseback，2：pgbackrest，3：s3 1 subnetId String 子网id securityGroupId String 安全组id hostSeries String 性能类型 鲲鹏通用型(一代机) backupDiskType String 备份空间类型 backupDiskSize String 备份空间大小,当为对象存储时，不返回值 backupUsageDiskSize String 备份已使用空间 10G backupFreeSpace String 备份免费空间 100G billMode Integer 计费模式,1包周期,2按需

概述 EnvoyFilter提供了定制化修改服务网格数据面配置的能力，通过EnvoyFilter可以实现修改某个数据面配置字段、添加或修改过滤器、监听器、集群等配置，功能十分强大，所以在使用改功能时必须小心，确保对数据面配置有比较深入的理解；错误的配置可能影响网格数据面的稳定性。 对于任何数据面，允许存在多个EnvoyFilter匹配该数据面，位于根命名空间的EnvoyFilter优先级最高，其次是位于数据面所在的命名空间的EnvoyFilter。 注意 1. EnvoyFilter API和服务网格底层实现耦合较为紧密，在升级网格版本的时候需要关注已经定义的EnvoyFilter版本和新版本的网格是否存在兼容性问题 2. 多个EnvoyFilter匹配同一个数据面时，生效的优先级为根命名空间下的EnvoyFilter优先级最高，其他的按照创建时间顺序生效；如果EnvoyFilter之间存在冲突，结果是未定义的 3. 需要配置EnvoyFilter匹配不同的工作负载时（比如网关和sidecar），可以考虑在根命名空间下定义，且不配置workloadselector 配置示例 配置示例一 在根命名空间下创建全局生效的EnvoyFilter，在sidecar outbound方向9307端口的tcp proxy插件之前插入mongo的代理配置；为所有数据面（网关和sidecar）的HttpConnectionManager插件配置HTTP空闲连接时间为30秒。 apiVersion: networking.istio.io/v1alpha3 kind: EnvoyFilter metadata: name: customprotocol namespace: istiosystem as defined in meshConfig resource. spec: configPatches: applyTo: NETWORKFILTER match: context: SIDECAROUTBOUND will match outbound listeners in all sidecars listener: portNumber: 9307 filterChain: filter: name: "envoy.filters.network.tcpproxy" patch: operation: INSERTBEFORE value: This is the full filter config including the name and typedconfig section. name: "envoy.extensions.filters.network.mongoproxy" typedconfig: "@type": "type.googleapis.com/envoy.extensions.filters.network.mongoproxy.v3.MongoProxy" ... applyTo: NETWORKFILTER http connection manager is a filter in Envoy match: context omitted so that this applies to both sidecars and gateways listener: filterChain: filter: name: "envoy.filters.network.httpconnectionmanager" patch: operation: MERGE value: name: "envoy.filters.network.httpconnectionmanager" typedconfig: "@type": "type.googleapis.com/envoy.extensions.filters.network.httpconnectionmanager.v3.HttpConnectionManager" commonhttpprotocoloptions: idletimeout: 30s

空对象，表示匹配所有Namespace effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 优先级 在创建Selector后，所有新创建的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为s7.small.1(1C1G)。 说明 如果配置了大于规格的资源请求，则 Pod 创建会失败。如果不需要修改ECI Pod的配置，则可以不配置annotations。 此外，还可以为不同的命名空间创建不同的Selector，可批量对不同命名空间下的Pod配置不同的ECI功能特性。 例如，可以创建如下Selector启用镜像缓存： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: enableimagecache spec: namespaceLabels: matchLabels: namespace: imagecache 指定命名空间 effect: annotations: k8s.ctyun.cn/eciimagecache: "true" 设置Pod启用镜像缓存 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，只有命名空间为imagecache的Pod才会自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod启用镜像缓存。 2、Pod标签匹配 假设想让带有指定标签的Pod使用1C1G的规格，则可以创建如下Selector： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gmatchlabels spec: objectLabels: matchLabels: app: nginx 指定标签 effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，带有app: nginx标签的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为1C1G。 优先级 Selector 支持通过priority字段指定优先级，优先级数值越大，优先级越高。如果某个 Pod 同时匹配多个 Selector，则优先级最高的 Selector 生效。 说明 若不配置priority字段，则默认优先级为0。

前提条件 云主机的状态为“运行中”。 需保证根目录可写入，且剩余空间大于300MB。 使用SUSE 11 SP4镜像创建的云主机，内存需要大于等于4G时才能支持一键式重置密码功能。 云主机使用的VPC网络DHCP不能禁用。 云主机网络正常通行。 云主机安全组出方向规则满足如下要求： − 协议：TCP − 端口范围：80 − 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： − 协议：ALL − 端口范围：ALL − 远端地址：0.0.0.0/16 操作步骤 1. 检查云主机是否已安装密码重置插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。 提供如下两种方法供您检查。 方法一：在管理控制台查询 a. 登录管理控制台。 b. 选择“计算 > 弹性云主机”。 c. 选中待检查的弹性云主机，并选择“重置密码”。 如果界面弹窗提示用户给云主机重置密码，表示已安装一键式重置密码插件，结束。 如果界面弹窗提示下载重置密码脚本并安装，表示未安装一键式重置密码插件，请继续执行步骤2进行安装。 方法二：登录弹性云主机查询 a. 以root用户登录弹性云主机。 b. 执行以下命令，查询是否已安装CloudResetPwdAgent和CloudResetPwdUpdateAgent。 ls lh /Cloud 查询是否已安装一键式重置密码插件 检查结果是否如上图所示。 是，表示已安装一键式重置密码插件，结束。 否，表示未安装一键式重置密码插件，请继续执行步骤2进行安装。 2. 下载一键式重置密码插件CloudResetPwdAgent。 说明： 弹性云主机需要绑定弹性公网IP才能自动更新一键式重置密码插件。 下载并解压软件包CloudResetPwdAgent.zip。 请参考获取一键式重置密码插件，下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 执行以下命令，解压软件包CloudResetPwdAgent.zip。 安装一键式重置密码插件对插件的解压目录无特殊要求，请您自定义。 unzip o d 插件解压目录 CloudResetPwdAgent.zip 示例： 假设插件解压的目录为/home/linux/test，则命令行如下： unzip o d /home/linux/test CloudResetPwdAgent.zip 3. 安装一键式重置密码插件。 a. 执行以下命令，进入文件CloudResetPwdUpdateAgent.Linux。 cd CloudResetPwdAgent/CloudResetPwdUpdateAgent.Linux b. 执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh c. 执行以下命令，安装插件。 sudo sh setup.sh d. 执行以下命令，检查密码重置插件是否安装成功。 service cloudResetPwdAgent status service cloudResetPwdUpdateAgent status 如果服务CloudResetPwdAgent和CoudResetPwdUpdateAgent的状态均不是“unrecognized service”，表示插件安装成功，否则安装失败。 说明： 您也可以根据步骤1，检查密码重置插件是否安装成功。 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。

迁移过程中指标 迁移指标解释 总数据量 待迁移的所有分区已用空间之和，可以通过磁盘管理工具查看。 已迁数据量 已迁移的数据的大小，只计算分区中已用空间的数据。 已迁移时间 开始迁移的时间，从任务开始时间计算 剩余时间 （总数据量已迁数据量）/ 迁移速率 迁移速率 平台迁移速率数据支撑来源是根据5s内迁移数据量，进行实时速率计算；迁移速率不等于网卡速率，会因文件大小、压缩、网络传输损耗等情况进行改变，时快时慢。

参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。

“日审总览”页面呈现统计周期内当前工作空间中整体日志审计状况。 查看日审总览 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 日审总览”，进入日审总览页面。 5. 在日审总览页面查看整体日志审计状况，具体展示信息如下： 参数模块 参数说明 统计周期 日志审计的统计周期，可以在右上角设置显示周期。可以选择周期范围： 昨天 上一周 上一月 自定义：自定义日志审计报告的开始日期和结束日期。 日志存储 展示统计周期内日志总览和日志流速情况，包含以下信息： 总览 日志源数及其较上期变化 当前日志存储量及其较上期变化 日志记录总条数及其较上期变化 日志流速 日志平均每秒流入速率 日志平均每秒流入吞吐 日志平均日记录数 日志平均日存储量 日志记录数变化趋势 日志源接入流量TOP5 日志源接入数量分布TOP5 主机安全审计 统计周期内，HSS的安全日志和告警日志审计情况，包含以下信息： 活跃主机数及其较上期变化 主机登录源IP数及其较上期变化 主机告警次数及其较上期变化 活跃主机Top5 主机登录源IP分布 Top5 主机告警源IP分布 Top5 主机告警类型Top5分布 主机稀有告警类型Top5分布 公网网络审计 统计周期内，NDR的攻击日志和流量日志、DDoS的攻击日志审计情况，包含以下信息： NDR审计 公网来访流量（源IP） Top5 访问公网流量（源IP） Top5 公网来访范围（源IP） Top5 访问公网范围（源IP） Top5 网络攻击类型Top5 DDoS审计 DDoS攻击次数及其较上期变化 DDoS攻击源IP数及其较上期变化 DDoS攻击次数变化趋势 DDOS攻击来源IP Top5 应用访问审计 统计周期内，WAF的攻击日志和访问日志审计情况（核心审计对象为：应用、网络和域名），包含以下信息： 活跃域名数量及其较上期变化 WAF访问源IP数及其较上期变化 WAF攻击次数及其较上期变化 WAF拦截次数及其较上期变化 WAF访问源IP Top5 WAF攻击源IP Top5 WAF拦截源IP Top5 WAF攻击类型 Top5 活跃域名访问频次Top5 数据库访问审计 统计周期内，DBSS的告警日志审计情况（核心审计对象为：用户、数据库和操作），包含以下信息： 活跃数据库数及其较上期变化 数据库活跃用户数及其较上期变化 数据库告警源IP数及其较上期变化 SQL执行种类数及其较上期变化 活跃数据库IP Top5 数据库活跃用户Top5 SQL执行类型 Top5 数据库用户源IP数 Top5

DMS客户端版与DMS Web控制台功能对比 功能类别 功能项 客户端版 Web控制台 说明 实例管理 云上数据库管理 ✅ ✅ 两者均支持 本地数据库管理 ✅ ❌ 客户端独有，可直接连接本地数据库 开发空间 SQL查询编辑 ✅ ✅ 两者均支持 数据导入导出 ✅ ✅ 两者均支持 结构/数据对比 ✅ ✅ 客户端独有 可视化编辑 ✅ ✅ 两者均支持 安全协作 团队与成员管理 ✅ ✅ 两者均支持 SQL审计 ✅ ✅ 两者均支持 操作审计 ✅ ✅ 两者均支持 AI智能 DMS助手（问答/生成/纠错） ✅ ✅ 两者均支持 SQL智能补全 ✅ ✅ 两者均支持 自定义大模型 ✅ ❌ 客户端独有，可接入私有模型 生态对接 dmscli命令行 ✅ ❌ 客户端独有 dms skill接口 ✅ ❌ 客户端独有 使用体验 离线可用 ✅ ❌ 客户端可离线使用部分功能 低延迟响应 ✅ ❌ 本地客户端响应更快 无需浏览器 ✅ ❌ 独立应用，不依赖浏览器 客户端版优势：支持本地数据库直连、离线可用、更灵活的AI生态对接能力。适合的场景有： 需要纳管访问本地数据库部署，或者需要本地特定网络环境才能访问的数据库部署，并且希望具备企业级的安全与协作能力。 作为AI产品（如OpenClaw、Claude Code等）访问数据库的入口，让AI操作数据库安全可控、可审计、可观测。 Web控制台优势：无需安装、跨平台访问、版本自动更新、功能丰富成熟，适合云数据库用户。

参数 类型 描述 是否必须 path String 指定要修改容量配额的数据目录。 是 capacityQuota Long 指定数据目录的容量配额，即针对加入到服务器中的每个数据目录，HBlock可写入的数据总量。当HBlock的使用空间一旦达到配额，就立刻阻止数据写入，不允许再使用超出配额的空间。 取值：小于数据目录所在磁盘的总容量，单位是bytes。负整数表示无限制写入，0表示禁止写入。默认不限制写入。 注意 如果相同的数据目录出现多次，以第一次出现的数据目录的容量配额为准。 是

本文为您介绍按量付费的计费方式。 计费说明 一种后付费模式，即先使用再付费。可0元开通和扩容资源，根据所选择的存储配置按小时计费。 如果账户欠费，资源将进入15天保留期，需要在保留期完成缴费，超过保留期，所使用资源将被关停并收回资源。 注意 根据天翼云服务开通规则，开通按量付费资源需保证账户余额大于100元。 适用场景 业务发展有较大波动性，且无法进行准确预测。 资源使用有临时性和突发性特点。 产品价格 请参考产品价格。 计费项 根据存储类型按照配置的容量空间大小计费，并非按照实际使用量计费。 注意 按量付费的文件系统在开通完成后即开始计费。 计费周期 按量付费的弹性文件服务每小时结算一次费用。 计费公式 弹性文件服务按照存储容量大小和时长计费，存储容量费用的价格单位为元/GB/小时，每小时存储费用计算公式为： 每小时存储费用 每小时单价 配置容量空间大小 实际使用时长。 例如：用户A创建完成一个500GB 标准型文件系统实例，则每次扣除的费用500（GB）0.000625（元/GB/小时） 0.3125 元。 扩容后计费 当您将已创建的按量付费的文件系统扩容之后，将按照新的扩容订单完成时间和新的文件系统容量大小进行计费，原订单失效。

本章节介绍使用OPA策略引擎实现访问控制 前提条件 开通实例后，系统默认生成OPA相关的ServiceEntry和opaextauthgrpc。 验证opaextauthgrpc 在服务网格控制台>网格安全中心>自定义授权服务。 可以看到产生了一个GRPC协议的授权服务，端口为19191。 验证ServiceEntry 在服务网格控制台>集群与工作负载>服务条目中，选定istiosystem命名空间，可以看到产生了extauthz，点击编辑可以查看详情。 详情中可以看到端口为19191端口，指向127.0.0.1。 全局放行18181和18282端口 在sidecar管理>sidecar代理配置菜单下选择命名空间tab，选择我们验证功能要用的命名空间，这里选择default，配置sidecar入流量不拦截18181和18282端口（OPA agent的配置端口和健康检查端口）。 开启OPA功能 操作步骤 1. 在控制台>网格管理>OPA功能开关菜单下打开OPA开关，主要是安装OPA控制面组件。 2. 给default命名空间打上标签，自动注入istio sidecar和OPA sidecar。 kubectl label namespace default opaistioinjection"enabled" kubectl label namespace default istioinjection"enabled" 3. 部署bookinfo应用和sleep应用，可以看到pod里除了业务容器之外还有两个容器，分别是istio sidecar和OPA sidecar，OPA sidecar用于实现外部授权服务。 4. 定义AuthorizationPolicy授权策略，注意引用的外部授权服务需要和上面定义的外部授权服务名称一致，可以根据业务的需要执行OPA外部授权策略，如下示例对匹配标签app: productpage的： apiVersion: istio.ctyun.cn/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: productpage action: CUSTOM provider: