本文介绍RDSPostgreSQL安全白皮书内容。 关系数据库PostgreSQL版（以下简称RDSPostgreSQL）是天翼云为用户打造的一款安全可信赖的数据库产品。 为了保障用户数据安全，高效支撑客户业务运行，天翼云禁止非客户授权人员操作用户实例与数据，禁止运维人员未经授权接入用户实例，禁止任何人非法处理客户数据。 另外，RDSPostgreSQL支持包括VPC、安全组、自动备份和跨可用区部署在内的多种特性，帮助用户更好管理数据，保障用户数据安全。 网络隔离 VPC（Virtual Private Cloud，即虚拟私有云）是一种运行在公有云上，专为某个用户私有使用的资源集合。在天翼云上，用户开通的RDSPostgreSQL实例运行在独立的VPC内，可以通过配置VPC控制连接数据库的IP地址段，量身定制网络访问策略。在网络层面，VPC配合安全组，用户即可便捷实现RDSPostgreSQL实例的网络隔离，从而保障RDSPostgreSQL实例的高安全性。 数据隔离 RDSPostgreSQL实例存储的所有数据都是以用户维度来分配和管理的，不同用户之间的数据相互独立、资源隔离，不会受到彼此的干扰与影响。另外，多可用区部署更提升了用户数据安全性。 访问控制 用户创建RDSPostgreSQL实例时，系统会默认会为用户分配一个独享的数据库主账户，该账户允许用户操作其所创建的数据库，且账户密码只能由用户保存，保障用户数据仅供用户本身访问。另外，用户还可以根据自身业务需要，创建其他权限的账户，从而实现权限分离。用户还可以通过安全组设置RDSPostgreSQL实例的出入访问策略，控制实例的网络访问范围。

定义 按照时间范围进行分片，超过分片数量后从第一个分片再次循环分片。 特点 适用日志数据等按时间范围进行存储的数据。 枚举分组取模分片 定义 枚举+取模的组合分片方式，包含枚举键和取模键两个分片键，先通过枚举键将数据分配到不同的分组，再在分组里通过取模键对应到具体的分片。 适用条件： 枚举键可以是整数也可以是字符串，取模键必须是整数，取模键求余后的值均匀分布。如: 数据库的数据需要按区域进行隔离，但隔离后的数据量依然巨大需要按取模方式进行再次分片，可以选择此算法。 特点 支持枚举键和取模键结合进行二次分片。 取模键为自增型或随机分布的整数时能保证数据的均匀分片。 算法简单，性能高。 对多值、范围的查询支持较差（分散在不同的分片上）。 扩容时需要数据迁移。 较好的分散一些时间、机构、id峰值带来的数据热点问题。 枚举分组字符串HashCode取模分片 定义 枚举+字符串HashCode取模的组合分片方式，包含枚举键和取模键两个分片键，先通过枚举键将数据分配到不同的分组，再在分组里通过取模键对应到具体的分片。 适用条件：枚举键可以是整数也可以是字符串，取模键是字符串，取模键字符串HashCode求余后的值均匀分布。如: 数据库的数据需要按区域进行隔离，但隔离后的数据量依然巨大需要按取模方式进行再次分片，可以选择此算法。

本文介绍内外网隔离的适用场景和配置方法。 基本概念 内网：即局域网，是指在某一区域内由多台计算机互联成的计算机组。局域网内的IP是可以自定义分配管理，局域网是封闭型的，仅局域网内进行互联互通。 外网：即广域网，又称公网。是连接不同地区局域网或城域网计算机通信的远程网。公网的IP是固定分配的，一般不会随意变更，且公网IP是需要进行相关报备。 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 功能说明 可针对常用的互联网域名、ip设定黑白名单进行互联网行为控制，主要差异如下： 互联网流量白名单设置：适用于重保、企业安全要求等级较高的场景，需要牺牲一定的客户体验。设置需访问、且安全的域名或IP为白名单，连接内网时仅放行白名单内的互联网流量，其他均不可访问；断开内网才可访问互联网流量。 互联网流量黑名单设置：仅设置已识别到的攻击域名或IP，访问该域名或IP时进行阻断，比如企业内部已识别该域名为钓鱼网站，则可直接配置禁用。

本文介绍GPU云主机相关的名词概念。 概念 介绍 GPU 图形处理器（Graphics Processing Unit）。相比CPU具有众多计算单元和更多的流水线，适合用于大规模并行计算等场景。 CUDA NVIDIA推出的通用并行计算架构，帮助您使用NVIDIA GPU解决复杂的计算问题。 cuDNN NVIDIA推出的用于深度神经网络的GPU加速库。 镜像 提供了运行实例所需的信息，包括操作系统、初始化应用数据等。 地域和可用区 实例和其他资源的部署物理位置。 SSH密钥对 一种安全便捷的登录认证方式，由公钥和私钥组成，仅支持Linux实例。 安全组 一种虚拟防火墙，您可以基于安全组控制实例的入流量和出流量。 弹性网卡 一种独立的虚拟网卡，可以绑定到弹性云主机或从弹性云主机解绑，实现业务的灵活扩展和迁移。 云硬盘 可弹性扩展的块存储设备，可以用作实例的系统盘或可扩展数据盘使用。 快照 某一时间点云盘数据状态的备份文件，用于备份或者恢复整个云盘。 VPC 虚拟私有云（Virtual Private Cloud）。为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助用户灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。

本文主要介绍 网络策略（NetworkPolicy）。 网络策略（NetworkPolicy） NetworkPolicy是Kubernetes设计用来限制Pod访问的对象，通过设置NetworkPolicy策略，可以允许Pod被哪些地址访问（即入规则Ingress）、或Pod访问哪些地址（即出规则Egress）。这相当于从应用的层面构建了一道防火墙，进一步保证了网络安全。 NetworkPolicy支持的能力取决于集群的网络插件的能力，如CCE的集群只支持设置Pod的入规则。 默认情况下，如果命名空间中不存在任何策略，则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的规则可以选择如下3种： namespaceSelector：根据命名空间的标签选择，具有该标签的命名空间都可以访问。 podSelector：根据Pod的标签选择，具有该标签的Pod都可以访问。 ipBlock：根据网络选择，网段内的IP地址都可以访问。（CCE当前不支持此种方式） 约束与限制 当前仅容器隧道网络模型的集群支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置出方向（egress）。 不支持对IPv6地址网络隔离。 使用Ingress规则 使用podSelector设置访问范围 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: testnetworkpolicy namespace: default spec: podSelector: 规则对具有roledb标签的Pod生效 matchLabels: role: db ingress: 表示入规则 from: podSelector: 只允许具有rolefrontend标签的Pod访问 matchLabels: role: frontend ports:

事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 ::: GPU SRAM存在 Uncorrectable ECC告警 SRAMUncorrectableEccError 重要 GPU卡SRAM出现Uncorrectable ECC Error硬件故障。 如果业务受损，请提交工单。 可能GPU硬件问题导致SRAM故障，导致业务异常退出 主机重启 osReboot 重要 物理机实例重启。 包括： 1. 在管理控制台进行重启操作 2. 通过API接口下发重启指令 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 异常重启 serverReboot 重要 物理机实例异常重启。 包括： 1. 操作系统异常导致重启 2. 主机硬件故障导致重启 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 主机关机 osShutdown 重要 物理机实例关机。 包括： 1. 在管理控制台进行关机操作 2. 通过API接口下发关机指令 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 异常关机 serverShutdown 重要 物理机实例异常关机。 包括： 1. 主机异常下电 2. 主机硬件故障导致关机 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 网络中断 linkDown 重要 物理机网络中断。 包括： 1. 主机异常关机、重启 2. 交换机故障引起的网络中断 3. 网关节点故障引起的中断 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 PCIE异常 pcieError 重要 物理机PCIe设备硬件故障。 包括： 1. 主板故障 2. PCIe设备故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响网络或硬盘读写业务 硬盘故障 diskError 重要 物理机磁盘故障。 包括： 1. 硬盘背板故障 2. 硬盘本身故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响数据读写业务或主机无法启动 云存储连接异常 storageError 重要 物理机云硬盘链接异常。 包括： 1. SDI卡故障 2. 远端存储故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响数据读写业务或主机无法启动 GPU存在infoROM告警 gpuInfoROMAlarm 重要 GPU可能存在硬件问题，导致驱动读取不到inforom信息。 业务可以继续使用该GPU卡，不敏感业务可以继续使用，敏感业务请提交工单处理。 对业务暂时没有影响，当GPU硬件出现ECC故障时，可能无法自动完成故障页隔离，导致业务受损。 GPU发生double bit ECC告警 doubleBitEccError 重要 GPU硬件存在double bit ECC故障。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离后业务可继续正常使用GPU。 GPU隔离页过多告警 gpuTooManyRetiredPagesAlarm 重要 GPU硬件存在过多ECC隔离页。 如果业务受损，请提交工单。 GPU硬件存在过多ECC故障，可能频繁影响业务运行。 GPU A100 硬件发生ECC告警 gpuA100EccAlarm 重要 GPU卡出现ECC硬件故障。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离后业务可继续正常使用GPU。 GPU ECC内存页隔离失败告警 eccPageRetirementRecordingFailure 重要 GPU硬件存在ECC故障，驱动自动隔离这些页时失败。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离隔离失败，可能导致业务无法使用GPU。 GPU ECC页隔离告警 eccPageRetirementRecordingEvent 一般 存在ECC硬件错误，发生内存页自动隔离。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 一般随ECC故障告警出现，单独出现不影响业务。 GPU single bit ECC过多告警 highSingleBitEccErrorRate 重要 ECC硬件存在过高ECC single bit错误。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 single bit的错误能够自动恢复，一般不影响GPU相关应用程序。 GPU驱动掉卡告警 gpuDriverLinkFailureAlarm 重要 GPU链路正常，NVIDIA驱动找不到GPU硬件。 建议尝试重启虚拟机恢复业务。如果业务仍然无法恢复，请提交工单。 一般驱动问题导致找不到对应位置的GPU。 GPU卡链路故障告警 gpuPcieLinkFailureAlarm 重要 GPU链路异常，通过lspci无法查看GPU硬件信息。 如果业务受损，请提交工单。 硬件问题导致GPU卡链路异常，驱动无法使用GPU。 虚拟机GPU丢卡告警 vmLostGpuAlarm 重要 虚拟机实际有的GPU卡数量比规格里应分配的GPU卡数量少。 如果业务受损，请提交工单。 虚拟机GPU卡丢失。 GPU显存页告警 gpuMemoryPageFault 重要 GPU显存页发生故障，故障可能由应用、驱动或硬件引起。 如果业务受损，请提交工单。 可能GPU硬件问题导致显存故障，导致业务异常退出 GPU图像引擎异常告警 graphicsEngineException 重要 GPU图像引擎发生故障，可能由应用、驱动或硬件引起。 如果业务受损，请提交工单。 可能GPU硬件问题导致图像引擎故障，导致业务异常退出。 GPU温度过高告警 highTemperatureEvent 重要 GPU硬件温度过高。 如果业务受损，请提交工单。 GPU温度超过温度阈值，可能会引起GPU卡性能下降 GPU NVLINK链路错误告警 nvlinkError 重要 NVLINK的链路出现硬件故障。 如果业务受损，请提交工单。 NVLINK链路故障，影响业务使用GPU nvlink能力。 nvidiasmi命令卡住 nvidiaSmiHangEvent 重要 nvidiasmi命令超时，该命令可能卡住 如果业务受损，请提交工单。 可能是命令执行过程中，触发驱动问题，导致命令卡住，同时可能出现业务使用驱动报错问题。

Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 正则防护 经验规则集，自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何Web应用防火墙防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 0day漏洞 0day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC安全防护 根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。

本认主要对资金管理字段进行简要说明，帮助客户理解资金管理功能。 资金管理常见字段有充值、充值金额、账户余额、现金余额、可提现金额等等。 字段 说明 充值 客户通过在线支付、转账汇款方式向天翼云账户增加可消费金额的过程 充值金额 客户通过充值的方式向天翼云账户增加的可消费金额 账户余额 天翼云账户现有的可消费金额 欠费金额 天翼云账户预支消费金额超过账户金额的部分 在线充值 客户通过线上支付渠道（支付宝、微信支付、翼支付）进行余额充值 转账汇款 客户通过银行将款项从银行帐户转到天翼云账户的过程 专属汇款账号 客户申请专属汇款账号后，通过专属汇款账号进行转账汇款时，系统会自动充值到客户的天翼云账户 现金余额 天翼云账户的现金余额 提现 客户将天翼云账户的余额提取至银行账户或支付平台的过程 可提现金额 当前客户账户中可提现的金额。可提现金额现金余额欠票金额

本章节介绍注册配置中心常见的资源权限问题 MSE集群提供的ZooKeeper、Nacos、Eureka是独立实例还是共享实例？ 各引擎都是物理隔离的网络实例，为每一个客户提供了物理隔离的独立实例，客户之间不共享。 MSE提供的ZooKeeper实例和开源版本完全一致吗？ 在版本兼容性上和Apache开源的ZooKeeper完全一致，API使用方式相同，无需修改代码即可开始使用，不影响现有有实例。在功能上MSE提供了额外的商业化能力，增强了可视化、安全管控、便捷运维等方面的能力。 Nacos集群支持配置管理吗 ？ MSE控制台左侧菜单栏提供配置管理功能，支持包括配置创建、修改、订阅查询、删除等操作。 MSE能进行扩缩容吗？升降配吗？ 支持实例集群节点扩容，实例规格升配，实例节点磁盘扩容；支持实例集权节点缩容。 MSE中Nacos命名空间怎么使用？ 命名空间命的使用场景之一是对不同环境的配置和服务进行粗粒度的隔离。在不同的命名空间下，可以存在相同的配置或者服务名。例如开发环境和测试环境的隔离。命名空间创建完成后，将命名空间ID配置在应用中。服务注册时，命名空间ID会注册到命名空间中。 配置代码示例： Spring Cloud： spring.cloud.nacos.discovery.namespace5cbb70a588b84fd984c1d43479a Dubbo： Properties方式： dubbo.registry.parameters.namespace5cbb70a588b84fd984c1d43479a 增加了配置中心的配置后，服务启动时会自动监听命名空间ID下匹配的配置项。 配置代码： Spring Cloud： spring.cloud.nacos.config.namespace5cbb70a588b84fd984c1d43479ae Dubbo： dubbo.dubbo.configcenter.namespace5cbb70a588b84fd984c1d43479ae

本页介绍了关系数据库MySQL版产品的高级防护优势。 关系数据库MySQL版产品的高级防护主要体现为：访问控制、数据传输加密、网络隔离、数据销毁、防DDoS攻击、安全保护。 访问控制 关系数据库MySQL版实例创建时，可以在虚拟私有云中对实例所在的安全组入站和出站规则进行限制，从而实现基于安全组的访问控制。这样就能够控制可以连接数据库的网络范围，从而提升数据库的安全性。 数据传输加密 通过TLS加密和SSL加密，可以实现对数据传输过程的加密保护。此外，可以使用从服务控制台下载的CA根证书来验证和认证数据库服务端，在连接数据库时提供该证书，从而保证数据传输的安全性和可靠性。 网络隔离 为了实现对数据库服务的网络隔离，可以利用虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组等网络安全技术。使用虚拟私有云可以让租户配置入站IP地址范围，这样就能够控制可以连接数据库的IP地址段。同时，关系数据库MySQL版实例可以运行在租户独立的虚拟私有云内，这样就能够提升数据库实例的安全性。通过综合运用子网和安全组的配置，可以进一步实现对关系数据库实例的网络隔离。 数据销毁 在删除关系数据库MySQL版实例时，存储在数据库实例中的数据都会被删除，并且不会被恢复或重新创建。安全删除不仅包括数据库实例所挂载的磁盘，同时还包括备份数据的存储空间。这样可以确保数据得到完全的清除和保护，防止数据被不当使用或者泄露给未经授权的人员。

checkfunctionbodies (boolean) 这个参数通常为打开。当设置为off时，它禁用CREATE FUNCTION期间对函数体字符串的验证。禁用验证避免了验证处理的副作用并且避免了如向前引用导致的伪肯定。在代表其他用户载入函数之前设置这个参数为off；pgdump会自动这样做。 defaulttransactionisolation (enum) 每个SQL 事务都有一个隔离级别，可以是“读未提交”、“读已提交”、“可重复读”或者“可序列化”。这个参数控制每个新事务的默认隔离级别。默认是“读已提交”。 defaulttransactionreadonly (boolean) 一个只读的SQL 事务不能修改非临时表。这个参数控制每个新事务的默认只读状态 。默认是off（读/写）。更多信息请参考SET TRANSACTION。 defaulttransactiondeferrable (boolean) 当运行在可序列化隔离级别时，一个可延迟只读SQL 事务可以在它被允许继续之前延迟一段时间。但是，一旦它开始执行就不会产生任何用来保证可序列化性的负荷；因此序列化代码将没有任何理由因为并发更新而强制它中断，使得这个选项适合于长时间运行的只读事务。这个参数控制每个新事务的默认可延迟状态。目前它对读写事务或者那些操作在低于可序列化隔离级别上的事务无效。默认值是off。详情请参阅SET TRANSACTION。 sessionreplicationrole (enum) 为当前会话控制复制相关的触发器和规则的触发。需要超级用户权限才能设置这个变量，并且会导致丢弃任何之前缓存下来的查询计划。可能的值有origin（默认）、replica和local。详见ALTER TABLE。

概述 API分组支持绑定域名。绑定域名后，可通过该域名访问分组下的API，但前提是该域名需指向该云原生网关实例。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > 分组管理。 绑定域名 点击对应分组右侧省略号中的绑定域名，即可进入绑定域名弹窗。也可以在分组详情页中，点击域名模块的修改按钮进入。 云原生网关的API支持多环境隔离，提供两种路由方式：请求头路由环境和域名路由环境。两种方式可独立配置，也可同时使用。 请求头路由环境 ：启用后，通过在请求头中传入 XCaStagePROD/TEST/DEV，即可将请求路由到相应的环境。 域名路由环境 ：绑定域名到特定环境后，可通过该域名访问API，网关会自动将请求路由至对应的环境。 > 绑定域名也存在一定的约束： > > 基于请求头部区分环境时，每个环境可以不关联域名或者关联相同的域名； > 不基于请求头部区分环境时，每个环境必须关联至少一个域名且域名不能有重复； > 同一个分组最多支持5个域名 > 基于请求头部区分环境时，使用XCaStage请求头确定环境。其中环境名称分别为：生产PROD；测试TEST；开发DEV

本文主要介绍产品优势 性能测试提供一站式性能测试解决方案，帮用户提前识别性能瓶颈。 低成本的超高并发模拟 能够为用户提供单执行机支持万级并发、整体百万级并发的私有性能测试集群。 秒级百万并发能力，模拟瞬间发起大量并发，不仅可让企业提前识别高并发场景下应用的性能瓶颈，防止上线后访问过大导致系统崩溃，而且易于操作，极大的缩短了测试时间。 支持多任务并发执行，让用户可以同时完成多个应用服务的性能测试，大幅提升测试效率。 性能测试灵活快捷，助力应用快速上线 协议灵活自定义：支持HTTP/HTTPS测试，适应基于HTTP/HTTPS协议开发的各类应用和微服务接口性能测试；支持TCP/UDP/WEBSOCKET测试，支持字符串负载与16进制码流两种模式，满足各类非HTTP类协议的数据构造；支持HLS/RTMP/HTTPFLV测试。 多事务元素与测试任务阶段的灵活组合：提供灵活的数据报文、事务定义能力，结合多事务组合，测试任务波峰波谷，可模拟多用户多个操作的组合场景，轻松应对复杂场景的测试；支持针对每个事务指定时间段定义并发用户数，模拟突发业务流量。 性能测试压测资源管理，按需使用 私有资源组：用户按需创建测试集群，实现租户间流量隔离和内/外网压测能力，完成测试后可以随时删除集群。同时，提供测试集群的实时扩容、缩容、升级能力。 共享资源组：不需要用户创建，直接使用，调试和小并发压测更方便。

适用时间 媒体存储自2024年11月13日对天翼云统一身份认证IAM的主子账号权限体系对接互通，该实践方案生效于2024年11月13日后。 适用场景 通过对子用户进行桶级别的权限隔离的实践方案，可实现以下场景需求： 子用户级别的权限隔离，每个存储桶仅能由指定的子用户操作。 对于ACL为“私有”的存储桶或对象，则只有该Bucket的主账号或被授权者可以对相应资源进行读写操作。通过子用户授权隔离，可向指定的子用户授予相应资源的读或写权限。 操作步骤 对子用户进行桶级别的权限授权操作步骤如下： 登录媒体存储控制台 登录媒体存储控制台，具体可参考：登录控制台 。 创建存储桶 主账号通过媒体存储控制台，完成存储桶的创建，具体可参考：新建Bucket 。 授权子用户 主账号通过媒体存储控制台，完成子用户授权，具体可参考：子用户授权 。 登录IAM控制台 主账号使用天翼云账号登录IAM控制台。 新建子用户 主账号登录IAM控制台，选择【用户】页签，再右上角点击【创建用户】，根据页面表单信息填写，点击【确认】即可完成子用户创建。具体可参考：新建子用户 。 操作界面如下：

本章节指导您根据实际业务需求创建注册配置中心类型为Nacos的引擎。 前提条件 Nacos运行于虚拟私有云，创建前，需保证有可用的虚拟私有云和子网。创建虚拟私有云和子网，请参考《虚拟私有云用户指南》中“虚拟私有云VPC管理>创建虚拟私有云VPC”和“子网管理>创建子网”章节。 创建Nacos需要保证用户具有CSE Admin、DNS FullAccess权限。 操作步骤 1、登录微服务引擎控制台。 2、单击“购买注册配置中心”，进入购买注册配置中心页面。 3、参考下表设置参数，参数前面带号的是必须设置的参数。 参数 说明 计费模式 选择计费方式，目前支持： 包年/包月 按需计费 企业项目 选择Nacos所在的项目，可在下拉框中搜索和选择需要的企业项目。 引擎名称 输入Nacos引擎的名称。 注册配置中心类型 选择注册配置中心类型“Nacos”。 选择实例数 选择需要的容量规格。 版本 只能创建最新版本。 网络 选择已创建的虚拟私有云及子网，可在下拉框中搜索和选择合适的虚拟私有云和子网。 虚拟私有云可以为您的引擎构建隔离的、用户自主配置和管理的虚拟网络环境。 说明 当Nacos引擎创建完成后，不支持变更虚拟私有云。 购买时长 计费模式选择“包年/包月”时需要设置。可设置是否开通自动续费。 4、单击“立即购买”，引擎开始创建，当“运行状态”为“可用”时，引擎创建完成。 说明 Nacos引擎创建成功后，“运行状态”为“可用”。

接口功能介绍 文件隔离箱处理文件隔离箱记录 接口约束 无 URI POST /v1/fileQuarantine/handle 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 handleType 否 String 处理类型 CANCELISOLATE恢复 CANCELISOLATE ids 是 Array of Strings 操作id列表 ["ALT001021213131"] 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

虚拟私有云（Virtual Private Cloud，VPC）是您在天翼云上申请的隔离的、私密的网络环境。您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 更多内容请参见虚拟私有云产品介绍。

本文带您了解海量文件服务OceanFS的功能特性。 多客户共享 OceanFS提供NAS服务，可支持上千台客户端同时挂载访问。 多协议配置 支持NFSv3/v4.1、CIFS(SMB2.1/SMB3.0)协议，用户能够在创建文件系统时指定协议类型。通过标准POSIX接口访问数据，无缝适配主流应用程序进行数据读写。 基础管理 支持创建、挂载、搜索、查看、扩容、删除等基本文件系统管理操作，支持多台弹性云主机挂载同一文件系统，实现多台云主机共享访问同一个文件系统，满足多种场景需求。 在线扩容 分钟级别快速扩容，用户可根据实际需要对文件系统进行在线扩容，扩容过程IO不中断，保障业务连续性。 VPC隔离 云主机和文件系统须归属于同一VPC下，通过VPC保证租户间数据隔离，通过给文件系统添加多个VPC，可实现跨VPC访问文件系统。 权限管理 权限组是一种白名单机制，通过创建权限组和权限组规则，实现权限隔离，授予不同网段/IP的客户端不同的访问权限。 跨VPC访问 通过给文件系统添加多个VPC，可将文件系统挂载至不同VPC的计算实例上，实现同地域跨VPC访问、同地域跨AZ访问。

高安全 针对企业各部门间不同的密级，私网NAT支持暴露限定网段的IP和端口，隔离高安全等级的业务。因为安全受限等原因，行业监管部门要求各机构和单位按指定IP地址接入，私网NAT可满足行业监管要求，将私网IP映射为指定IP进行接入。 零冲突 企业多部门间业务隔离，常常使用同一个私网网段，迁移上云后极易冲突。基于私网NAT网关的大小网映射能力，可支持云上的重叠网段互通，助力客户上云后网络零冲突。

本节介绍在离线混部概述。 在离线混部是在多维资源调度与管控方面的核心能力，包括节点资源超卖调度与 BE 离线应用 CPU 压制、高优先级应用 CPU 独占与隔离、容器磁盘读写限速、容器网络限速等，帮助用户在保障关键业务性能的同时，实现资源的高效利用。 适用场景 资源利用率低，需提升集群资源使用效率。 在线关键业务（高优先级）需要稳定的性能保障。 离线批量任务（低优先级）需充分利用空闲资源。 需要自动调度和压制离线应用，兼顾在线与离线业务。 需对磁盘 IO 或网络带宽进行限速，防止单一业务占用过多。 功能概览 节点资源超卖调度与 BE 离线应用 CPU 压制：允许节点超卖资源，并根据在线负载动态压制离线应用 CPU 使用，提升资源利用并保证在线应用性能。 高优先级应用 CPU 独占与隔离：为高优先级应用分配独占 CPU 核心，通过 cgroup 隔离其他应用，确保关键业务性能稳定。 容器磁盘读写限速：通过注解为容器配置磁盘带宽与 IOPS 限制，防止单一容器影响整体磁盘性能。 容器网络限速：通过注解为容器配置入站/出站带宽及优先级，保障关键流量的网络体验。

参数 描述 实例名称 实例名称为4～64个字符，必须以字母开头，区分大小写，可包含字母、数字、中划线或下划线，不能包含其他特殊字符。 创建成功后，可修改实例名称。 版本类型 社区版。 实例类型 选择“集群”。 集群类型的实例包含mongos、shard和config节点。其中，shard和config节点均采用三节点副本集架构，保证高可用。 兼容MongoDB版本 4.0 3.4 存储类型 超高IO 存储引擎 WiredTiger。 可用区 可用区是指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。

专属云容器引擎采用独享的容器资源，为用户提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 资源独享 专属资源与公有云资源物理隔离，配套云服务部署在专属资源池，租户独享 灵活组合 专属云服务和天翼云基础云服务灵活搭配，满足行业安全合规要求，优化成本结构 安全合规 隔离且专属的物理资源，满足行业、组织对安全合规性的要求 简单易用 一键创建容器集群，一站式部署和运维容器应用，无需再自行搭建容器运行环境，真正实现开箱即用

场景二：资源相互隔离，没有共享，造成资源浪费的场景 某公司下有两个部门，两个部门的不同作业运行在DLI的两个队列上。部门A在上午8点到12点业务比较空闲，资源有剩余，部门B在这个时间段业务请求量大，原有资源规格满足不了，需要扩容时，请求不了部门A的队列资源，造成资源浪费。 资源隔离造成的资源浪费 弹性资源池通过“分时按需弹性”功能，支持按照不同时间段对资源进行动态的扩缩容，保证资源的利用率和应对资源洪峰等诉求。 弹性资源池对后端资源统一进行管理和调度，多个队列绑定弹性资源池后，资源池内资源共享，资源利用率高，解决了场景二的问题。 弹性资源池架构和优势 弹性资源池后端采用CCE集群的架构，支持异构，对资源进行统一的管理和调度。 弹性资源池的优势主要体现在以下几个方面： 统一资源管理 −统一管理内部多集群和调度作业，规模可以到百万核级别。 −多AZ部署，支持跨AZ高可用。（暂未实现，后续版本支持） 租户资源隔离 不同队列之间资源隔离，减少队列之间的相互影响。 分时按需弹性 −秒级动态扩容，从容应对流量洪峰和资源诉求。 −支持分时设置队列优先级和配额，提高资源利用率。 作业级资源隔离（暂未实现，后续版本支持） 支持独立Spark实例运行SQL作业，减少作业间相互影响。 自动弹性（暂未实现，后续版本支持） 基于队列负载和优先级实时自动更新队列配额。 弹性资源池解决方案主要解决了以下问题和挑战。 维度 原有队列，无弹性资源池时 弹性资源池 ::: 扩容时长 手工扩容时间长，扩容时长在分钟级别 不需要手工干预，秒级动态扩容。 资源利用率 不同队列之间资源不能共享。 例如：队列1当前还剩余10CU资源，队列2当前负载高需要扩容时，队列2不能使用队列1中的资源，只能单独对队列1进行扩容。 添加到同一个弹性资源池的多个队列，CU资源可以共享，达到资源的合理利用。 资源利用率 配置跨源时，必须为每个队列分配不重合的网段，占用大量VPC网段。 多队列通过弹性资源池统一进行网段划分，减少跨源配置的复杂度。 资源调配 多个队列同时扩容时不能设置优先级，在资源不够时，会导致部分队列扩容申请失败。 您可以根据当前业务波峰和波谷时间段，设置各队列在弹性资源池中的优先级，保证资源的合理调配。 弹性资源池主要包括如下基本操作： 创建弹性资源池 弹性资源池权限管理 弹性资源池添加队列 弹性资源池关联队列 弹性资源池队列管理 弹性资源池CU设置

本章节介绍数据库治理的基本详情 概述 数据库治理针对开发运维人员访问、使用数据库时的常见场景，提供SQL访问审计、数据库稳定性治理、数据流量治理三个方面的能力。MSE提供了SQL监控统计、SQL流量防护、连接池治理、数据库灰度、数据库读写路由等功能，可以从数据库服务维度进行开发提效和性能优化。 基本详情 基本详情页提供应用SQL访问流量和应用资源的实时统计数据。根据数据库相关的应用实时指标，可以及时发现由数据库访问引起的应用性能下降问题，并定位高并发或高RT的SQL以及异常的数据库连接，从而支撑后续SQL语句优化、SQL接口流量防护和连接池配置等系统调优操作。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 在左侧导航栏选择数据库治理，在基本详情页签下可以查看应用的SQL流量概览、应用事件、Top SQL洞察和Druid连接池统计数据。 SQL流量概览 可以查看应用在一定时间内SQL流量的通过QPS、限流QPS、异常QPS指标、RT、并发数据。 应用事件 可以查看SQL请求触发的应用防护事件。 Top SQL洞察 可以查看相对高RT的SQL语句及其QPS、RT和并发数据，快速定位SQL对应用业务的具体影响。并且可以通过单击操作下方的SQL防护，管理和配置SQL接口的流量控制和并发隔离规则。

本文主要介绍专属云（计算独享型）的功能 功能介绍 计算隔离 独享计算资源池，部署在独立的物理集群中，确保云主机资源运行在物理隔离的专属计算资源池内。 灵活部署 支持多区域，多可用区，多计算集群部署，集成对接专属分布式存储，用户可自配置网络，提供安全组策略，方便用户构建立体防护网络。 灵活创建 用户可指定不同专属计算池，不同专属物理机进行弹性云主机创建。 资源管控 用户可以查看专属计算集群下的物理机列表和计算资源总量和消耗量以及物理机上弹性云主机的列表，用户能直观的查看和管理计算资源。

配置暴力破解规则 说明 Agent 版本低于 5.1.0，不支持配置自定义规则功能，使用此功能需升级 Agent 版本。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在暴力破解模块，单击“规则配置”按钮，开始暴力破解规则设置。 4. 配置暴力破解规则参数。 参数说明如下： 参数 说明 检查阈值 配置服务器在一段时间内连续登录失败超过的次数。 时间配置限制：11440分钟。 登录失败次数限制：1100次。 封禁时长 选择封禁时长，支持选择：不封禁、5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时。 防护场景 选择需要配置的防护场景，默认选择RDP暴力破解 、SSH暴力破解 ，支持选择FTP暴力破解 、MySQL暴力破解 、SQLServer暴力破解。 5. 当所有字段都设置完成后，单击“确认”。 配置勒索诱饵防护 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在勒索诱饵防护模块，单击“配置规则”，开始配置勒索诱饵防护。 4. 在页面右侧弹出的防护设置页面，配置防护参数。 参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动隔离。 手动处理：人工手动对勒索病毒文件进行处理。 自动隔离：检测出勒索病毒文件自动隔离。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。 指定防护目录 根据用户的特定防护场景，可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 5. 配置完成后，单击“确认”。 绑定存储库：选择一个可用状态的存储库，备份数据大小应小于存储库剩余容量。

本章节主要介绍天翼云物理机的IB网络。 IB网络因其低延迟、高带宽的网络特性被用于很多高性能计算（High Performance Computing，HPC）项目，IB网络采用了100G Mellanox IB网卡，通过专用IB交换机和控制器软件UFM实现网络通信和管理。IB网络通过Partition Key实现网络隔离，不同租户的IB网络可通过不同的Partition Key来隔离，类似于以太网的vlan（如下图所示）。 说明 UFM（Unified Fabric Manager）是IB网络上IB交换机控制器，基于OpenSM软件，提供北向服务接口。UFM采用主备部署方式。

本节介绍了与区域可用区的相关内容。 用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现较大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。

云堡垒机可以跨区域或跨VPC网络管理主机吗？ 不建议。 云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。 虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。 云堡垒机支持在专属云上使用吗？ 支持。 专属云（Dedicated Cloud）是面向企业、政府、金融等客户，提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池，与公有云资源物理隔离，满足特定性能、应用及安全合规等要求。

本文介绍云容器引擎Serverless版的产品优势。 开箱即用 一键创建 Kubernetes 集群、直接部署应用程序，无需管理Kubernetes节点和服务器。 原生兼容 提供完善的Kubernetes兼容能力，支持原生Kubernetes应用和生态，可以轻松迁移已有的Kubernetes应用程序。 安全隔离 Pod基于弹性容器实例ECI服务运行，实现了安全隔离的容器运行环境，避免了容器实例间相互影响的问题。 降低成本 提供按需创建、按量计费的模式，避免了不必要的资源浪费和成本费用，同时Serverless也大大降低了运维成本。 服务集成 支持与天翼云基础服务无缝集成，可以使用一体化控制台高效操作。

参数 描述 实例名称 实例名称为4～64个字符，必须以字母开头，区分大小写，可包含字母、数字、中划线或下划线，不能包含其他特殊字符。 创建成功后，可修改实例名称。 版本类型 社区版。 实例类型 选择“副本集”。 副本集实例由主节点、备节点和隐藏节点组成。当主节点故障时，系统自动分配新的主节点；当备节点不可用时，隐藏节点接管服务，保证高可用。 兼容MongoDB版本 4.0 3.4 存储类型 超高IO 存储引擎 WiredTiger。 可用区 指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。

为什么配置的安全组规则不生效？ 问题现象 为云服务器配置的安全组规则未生效。 问题分析 当配置规则不生效时，建议从以下几个原因去排查问题，可以优先排查高频率原因。 安全组配置有误； 安全组规则与ACL规则的配置有冲突； 云服务器防火墙的限制。 安全组配置错误 当安全组规则配置有误时，无法满足期望的业务流量。您可以按照以下几点原因对安全组配置进行检查： 1. 安全组规则方向设置错误，例如将需要在入方向添加的规则添加到出方向规则下。 2. 安全组规则协议类型未选择正确。 3. 对应端口为高危端口，在部分地区部分运营商无法访问，建议您修改敏感端口为其他非高危端口来承载业务。 4. 对应端口未开通。在服务器中需要被正常监听的端口未放通。 例如，需要通过TCP（80端口）访问到您的服务器，可以在入方向规则放通TCP，80端口。您可以通过登录弹性云服务器查看安全组规则是否生效。 以Linux弹性云服务器为例，运行如下命令查看TCP 80端口是否被监听。 netstat an grep 80 5. 对于地域资源池来说，需要保证云服务器属于同一VPC。不同的VPC之间默认网络隔离，安全组需在网络互通的情况下生效。您可以使用对等连接等产品建立VPC连接互通，使得安全组能对不同VPC内云服务器的流量进行访问控制。 网络ACL规则与安全组规则冲突 安全组是一种虚拟防火墙，主要控制云服务器的进出流量，网络ACL是子网级别的安全防护，保障关联子网内的资源安全。 例如当您设置了安全组入方向规则放通80端口，同时设置的网络ACL规则包含拒绝80端口的规则，那么从结果上看80端口仍然无法访问。 具体配置细则您可以参考添加ACL规则或添加安全组规则。