介绍分布式消息服务Kafka认证与访问控制方式 分布式消息服务Kafka支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务Kafka实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务Kafka实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务Kafka构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Kafka实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Kafka实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见配置安全组

本章介绍SaltStack远程命令执行漏洞。 近日，天翼云关注到国外安全研究人员披露SaltStack存在两个严重的安全漏洞。Saltstack是基于python开发的一套C/S自动化运维工具，此次被爆当中存在身份验证绕过漏洞（CVE202011651）和目录遍历漏洞（CVE202011652），攻击者利用漏洞可实现远程命令执行、读取服务器上任意文件、获取敏感信息等。 天翼云提醒使用SaltStack的用户尽快安排自检并做好安全加固。 漏洞编号 CVE202011651 CVE202011652 漏洞名称 SaltStack远程命令执行漏洞 影响范围 影响版本 ： 低于SaltStack 2019.2.4的版本 低于SaltStack 3000.2的版本 安全版本 ： SaltStack 2019.2.4 SaltStack 3000.2 官网解决方案 目前官方已在最新版本中修复了这两处漏洞，请受影响的用户及时升级到安全版本。下载地址： Salt Master默认监听端口为“4505”和“4506”，用户可通过配置安全组，禁止将其对公网开放，或仅对可信对象开放。 检测与修复建议 天翼云企业主机安全服务对该漏洞的便捷检测与修复。检测相关系统的漏洞，并查看漏洞详情，详细的操作步骤请参见漏洞管理。 漏洞修复与验证，详细的操作步骤请参见漏洞管理。 手动检测漏洞 检测主机是否开放了“4505”和“4506”端口。 如果检测到开放了“4505”和“4506”端口，建议关闭该端口，或者仅对可信对象开放。 开放端口检测 检测利用此漏洞的挖矿木马，并通过控制台隔离查杀挖矿木马。 隔离查杀挖矿木马。 隔离查杀

产品优势： 1、支持数据库应用—云硬盘支持多挂载，满足主流数据库需求 2、高安全—专属存储物理隔离，支持数据加密 3、高性能—专属云分布式存储保证存储资源免抢占

参数 参数类型 说明 示例 下级对象 name String 操作名称 添加白名单 label String 操作标签 ADDWHITE添加白名单 ISOLATE隔离 DELETE删除 IGNORE忽略 ADDWHITE

基于iptables，阻止已知的恶意IP地址，如那些属于僵尸网络或已知攻击者的地址；点击 可以取消当前IP的隔离。

参数 描述 虚拟私有云 实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您可根据需要创建或选择所需的虚拟私有云。 如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“ 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 内网安全组 安全组限制安全访问规则，加强GeminiDB Influx实例与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果没有可用的安全组，系统自动为您分配资源。

参数 参数类型 说明 示例 下级对象 name String 操作名称 添加白名单 label String 操作标签 ADDWHITE添加白名单 ISOLATE隔离 DELETE删除 IGNORE忽略 ADDWHITE 表 riskInfo

事中举措 当一个入侵者绕过防御机制时，如果您能及时发现并阻断，便可避免灾难的发生。 建议按照如下处理方式开展事中勒索防护： 迅速隔离感染设备： 确保在遭受勒索攻击后，立即采取断网、断电等方式切断勒索病毒外联扩散行为。及时修改感染设备的密码及同一局域网其他设备密码。 及时处置告警入侵事件： 确保对业务资源进行实时安全检测，可及时隔离阻断勒索病毒运行、拦截勒索主控端恶意IP及尝试爆破攻击源IP，阻断其运行、通信及联接行为。 事后举措 当前勒索攻击发展迅速，任何工具都无法提供100%防护。所以，在事后应及时恢复业务、开展网络安全加固以减弱勒索攻击带来的影响。 建议按照如下处理方式开展事后勒索恢复： 利用备份数据恢复数据： 根据遭受勒索攻击的设备备份情况，确认数据恢复范围、顺序及备份版本，利用备份副本恢复数据。 排查修复网络风险： 根据勒索攻击路径识别系统薄弱点，重点排查并修复系统薄弱项。

参数 参数类型 说明 示例 下级对象 name String 操作名称 添加白名单 label String 操作标签 ADDWHITE添加白名单 ISOLATE隔离 DELETE删除 IGNORE忽略 ADDWHITE 表 riskInfo

参数 参数类型 说明 示例 下级对象 name String 操作名称 添加白名单 label String 操作标签 ADDWHITE添加白名单 ISOLATE隔离 DELETE删除 IGNORE忽略 ADDWHITE 表 checkDetailInfo

场景二：天翼云官网3D模式的云电脑 1. 打开并登录天翼云门户； 2. 在产品列表选择“天翼云电脑（公众版）”, 打开天翼云电脑（公众版）产品详情页； 3. 点击“立即订购”前往订购页面； 4. 在增值服务区域选择“增配3D模式”； 5. 选择3D模式套餐（按小时/包月）； 6. 确认订单并完成支付； 7. 云电脑创建成功后自动开通3D模式。 场景三：存量用户的云电脑开通3D模式 1. 用户登录云电脑客户端； 2. 点击工具栏【3D模式】按钮； 3. 未开通用户开通：系统检测未开通，弹出开通引导； 4.已开通用户增购：点击订购按钮，进入订购页面； 5. 用户选择套餐并完成支付，选择按需小时付费需要支持； 6. 选择合适方法支付，支持支付宝、翼支付和微信支付； 7. 开通成功后立即使用。 开通入口： 客户端工具栏【3D模式】按钮 移动端悬浮球菜单 快捷应用【3D模式】启动项 付费订购（政企版） 天翼AI 云电脑政企版的3D模式订购支持管理台批量开通和企业员工自主开通两种场景。

本章节介绍Spring Cloud应用的标签路由功能 概述 标签路由通过标签将一个或多个服务的提供者划分到同一个分组，从而约束流量只在指定分组中流转，实现流量隔离的目的。标签路由可以作为多版本开发测试、同应用的多版本流量隔离以及A/B Testing等场景的能力基础。 查看标签路由列表 在左侧导航栏， Spring Cloud治理 > 标签路由。查看当前账号下的标签路由。标签路由展示了发布应用的标签记录，如果服务较多，可以通过环境、应用名进行筛选或搜索，应用名大小写不敏感。 添加流量规则 在标签路由页面选择一个标签路由，然后单击添加流量规则。 1. 路由名称：标签路由规则名称，例如lableA。 2. 是否链路传递：如果需要使用全链路流控，请打开是否链路传递开关。 3. 框架类型：被调用的应用所使用的框架，选择Spring Cloud。 4. Path：HTTP的相对路径。 5. 条件模式：包含同时满足下列条件和满足下列任一条件，根据实际需求选择。 6. 条件列表：可以分别设置Parameter、Cookie、Header和Body Content四种类型的参数。例如：Parameter：namectyun Cookie：userId 1 或 2。

此小节介绍如何进行安全配置。 通过添加常用登录地、常用IP、白名单IP以及开启恶意程序隔离查杀进一步保障服务器的安全运行。 操作详情请参见安装与配置。

本文介绍RDSPostgreSQL实例的安全保障措施。 网络 RDSPostgreSQL数据库支持设置VPC（Virtual Private Cloud，即虚拟私有云）, 可以实现与其他业务网络安全隔离。 RDSPostgreSQL数据库支持网络安全组。

本节介绍了虚拟私有云、子网、安全组、弹性IP等内容。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 子网 子网是用来管理弹性云主机网络平面的一个网络，可以提供IP地址管理、DNS服务，子网内的弹性云主机IP地址都属于该子网。 默认情况下，同一个VPC的所有子网内的弹性云主机均可以进行通信，不同VPC的弹性云主机不能进行通信。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的弹性云主机无需添加规则即可互相访问。 图 默认安全组 默认安全组规则如下表所示。 表 默认安全组规则 方向 协议 端口范围 目的地址/源地址 说明 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。

本章节介绍Dubbo应用Mock服务功能 概述 您可以通过微服务云应用平台创建Mock服务，系统自动根据请求参数返回不同的结果，并且随机生成返回数据，能够真实地模拟后端服务，支持系统联调。例如部署了2个应用：生产者Provider和消费者Consumer，Consumer依赖了Provider的接口，由于Provider的代码还没准备就绪，可以选择Consumer应用创建Mock规则，模拟Provider的接口返回值。 服务Mock列表 在左侧导航栏，Dubbo治理 > 服务Mock。查看当前账号下的服务Mock列表。服务Mock列表展示了规则名称、应用、状态等信息，如果服务Mock较多，可以通过环境、规则名称进行筛选或搜索。 创建服务Mock 在服务Mock列表页面，单击创建服务Mock按钮,进行服务Mock规则创建。 ● 环境：选择一个环境。 ● 规则名称：自定义规则名称。 ● 描述：规则描述。 ● 调用方：选择需要Mock应用。 ● Mock规则列表： 框架类型：选择dubbo框架。 服务：输入需要测试的服务。 方法：dubbo服务中对应的方法。 条件模式：选择服务Mock规则的条件策略，包括同时满足下列条件和满足下列任一条件，请根据实际需求进行选择。 条件列表：单击添加新的规则条件，设置规则条件。Dubbo应用支持RpcContextParameter参数输入方式。 Mock策略：默认支持返回自定义JSON数据策略。 返回延迟：自定义请求的响应时间，单位：ms。

本章介绍天翼云文件系统子目录权限隔离操作方法。 应用场景 弹性文件服务支持大规模共享访问，通过将文件系统在弹性云主机上挂载后可划分多个子目录并分配给不同用户，设置子目录读写权限，可实现多用户之间的访问权限隔离。客户可根据业务需求对子目录或者子目录下的文件进行权限访问控制，适用于安全级别较高的应用场景。 前提条件 购买一台弹性云主机，具体操作请参考创建弹性云主机。 购买一个文件系统，具体操作请参考创建文件系统。 操作步骤 步骤一：使用root帐号登录弹性云主机并添加两个普通用户帐号 1. 以root帐号登录弹性云主机，如何登录请参考登录Linux弹性云主机。 2. 添加一个普通用户帐号，如账号sfsuser1。执行以下命令: useradd sfsuser1 passwd sfsuser1 根据回显提示修改普通用户sfsuser1的密码，创建成功后会自动创建账号sfsuser1的主目录“/home/sfsuser1”。 3. 重复第2步继续添加账号sfsuser2。 步骤二：挂载文件系统至弹性云主机 将文件系统挂载到弹性云主机上的一个本地路径上，具体操作请参考使用弹性云主机挂载文件系统，如已经挂载可忽略此步骤。

本章主要介绍微服务云应用平台审核管理功能 概览 审核配置是平台用于保障发布安全、规范发布流程的核心控制项，主要用于实现发布单的人工审核能力。当在指定环境开启审核配置后，该环境内所有应用的发布单将自动触发人工审核流程，发布任务将处于待审核状态；只有在审核人员完成审批并通过后，发布单才能继续执行后续的部署、发布操作，有效避免未经审批的风险发布直接上线。 审核配置 审核配置用于提供人工审核相关的自定义能力，支持配置审批方式、审批人、WebHook 通知等核心规则，用户可根据业务场景与管理要求灵活配置。 在审核配置管理页面，系统以列表形式展示当前已创建的所有审核配置，包含配置名称、审批方式、审批人、WebHook 通知、创建时间等信息。用户可根据实际需求，新增、编辑、删除审核配置，实现对发布审核流程的精细化管控。 配置项 说明 名称 配置名称，字符长度范围为350。 审批方式 仅支持或签，即任一审批人通过表示任务完成，发布单可继续执行。 审批人 选择目标审批人，支持多选。发布单运行至人工卡点任务时会进入暂停状态，待审批人通过审批后，方可继续运行。 Webhook通知 当发布单进入待审批状态时，系统将通过Webhook方式主动推送通知，告知相关方当前发布单已处于待审批环节。Webhook 地址由用户根据业务需求自行配置。

身份凭证 身份凭证是识别用户身份的依据，您通过控制台或者API访问云服务时，需要使用身份凭证来进行系统的认证鉴权。身份凭证包括密码和访问密钥，您可以在IAM中管理自己以及帐号中IAM用户的身份凭证。 密码：常见的身份凭证，密码可以用来登录控制台。 访问秘钥：即AK/SK（Access Key ID/Secret Access Key），调用云服务API接口的身份凭证，不能登录控制台。访问密钥中具有验证身份的签名，通过加密签名验证可以确保机密性、完整性和请求双方身份的正确性。 IAM项目 每个资源池默认对应一个IAM项目，目前这个项目由系统预置，用来隔离各资源池的资源（计算资源、存储资源和网络资源等），以该默认项目为范围进行授权，用户可以访问您帐号中该资源节点（即该默认IAM项目）的所有资源。 企业项目 可将企业分布在不同区域的云资源迁入同一个逻辑隔离的企业项目，并对企业项目进行统一管理，同时可为每个企业项目设置拥有不同权限的用户组和用户。

本页介绍了关系数据库MySQL版的故障恢复。 备份恢复 关系数据库MySQL版的支持多种备份恢复策略，为您的数据库实例提供多种故障恢复能力。 关系数据库MySQL版会根据用户自定义备份策略自动创建数据库实例的备份。系统根据您指定的备份保留期保存数据库实例的自动备份数据。关系数据库MySQL版提供了多种恢复实例数据的方式，用以满足不同的使用场景： 关系数据库MySQL版用户指南备份与恢复通过全量备份文件恢复到实例 。 关系数据库MySQL版用户指南备份与恢复将实例的数据恢复到指定时间点 。 多可用区 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。关系数据库MySQL版支持在同一个可用区内或者跨可用区部署数据库主备实例，以提供故障切换能力和高可用性。 支持多可用区功能区域可参考：关系数据库MySQL版产品简介功能概览。

本文介绍区域和可用区的区别。 区域 区域指文档数据库服务所在的物理位置。 同一区域内可用区之间内网互通，不同区域之间内网不互通。 公有云在不同地区有数据中心，与此相应，文档数据库服务可用于不同地区。通过在不同地区开通文档数据库服务，可以将应用程序设计的更接近特定客户的要求，或满足不同地区的法律或其他要求。 可用区 每个区域包含许多不同的称为“可用区”的位置，即在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。每个可用区都被设计成不受其他可用区故障的影响，并提供低价、低延迟的网络连接，以连接到同一地区其他可用区。通过使用独立可用区内的文档数据库服务，可以保护您的应用程序不受单一位置故障的影响。DDS也支持将副本集实例跨3个可用区部署，即副本集主节点、备节点和隐藏节点分别部署在3个可用区内，可以实现跨可用区容灾。

本章节介绍Nacos引擎的常见问题 Nacos引擎的命名空间怎么使用 ？ 命名空间是Nacos引擎内部的逻辑数据隔离分区概念。命名空间的常用场景之一是不同环境的配置和服务的区分隔离，例如开发环境、测试环境和生产环境的资源隔离等。不同的命名空间下，可以存在相同的Group、DataId或服务名称。命名空间创建完成后，将命名空间ID配置在应用中。服务注册时会根据配置注册到指定的命名空间中，如果没有指定命名命名空间，会默认注册到public。如果注册到一个不存在的命名空间ID，也能够提示注册成功，但是在控制台无法可视化操作该服务，创建对应的命名空间后就可以正常操作了。 配置代码：Spring Cloud yml方式（properties方式同理）。 spring: cloud: nacos: config: serveraddr: ${NACOSSERVERADDRESS} namespace: ${NACOSCONFIGNAMESPACE} discovery: serveraddr: ${NACOSSERVERADDRESS} namespace: ${NACOSNAMINGNAMESPACE} Dubbo yml方式（properties方式同理）。 dubbo: registry: address: nacos://Nacos地址 parameters[namespace]: 命名空间ID 生产环境下Nacos引擎设置多少个节点比较好呢？ 1. 购买实例前建议您先评估实际需求，然后参考章节：产品规格 ，预留30%左右的容量，然后订购对应能力规格的产品。 2. Nacos提供单机版和集群版，单机版只有一个节点，不建议生产使用。集群版提供3、5、7、9节点集群，集群节点数量越多，对故障节点数量的容错能力就越强，只要查过半数的节点正常就能正常提供服务例如9节点集群，即使同时有4个节点宕机或故障，依然能正常提供服务。建议您根据实际的需要以及服务的可用性要求订购对应的实例。 3. 如果购买的实例无法随着业务发展无法满足实际需求可以使用扩容操作。具体的操作可以参考章节：管理实例。

未登录通过人工客服解绑 如果无法通过自助流程解绑虚拟 MFA，您可联系人工客服申请解绑，并提交账号相关证明资料。人工审核一般需要3个工作日，工作人员确认身份后，将解绑虚拟 MFA设备。 个人账号提交资料 账号名 身份证正反面+身份证信息（姓名、身份证号） 手持身份证照片 企业账号提交资料 1）企业法人身份 账号名 企业营业执照照片 法人信息（姓名、身份证号）、身份证正反面 手持身份证照片 2）企业资料（非法定代表人） 账号名 企业营业执照照片 法人信息（姓名、身份证号） 授权书（盖公章）（授权委托书.docx） 被授权人身份信息（姓名、身份证号）、身份证正反面 被授权人手持身份证照片 说明 企业状态发生变更，如注销/吊销/变更主体/名称变更时需要提供辅助资料。若企业注销提供支付记录，如微在线支付、银行转账等；若企业名称或主体变更，提供企业名称或主体变更核准通知。 MFA如何开启 1. 登录：打开账号中心安全设置页面，在登录保护登录认证，开启二次认证 2. 操作保护：在账号中心安全设置操作保护，开启操作保护

基于iptables，将特定域名列入黑名单。当用户尝试访问这些域名时，请求将被拒绝，实现恶意域名访问及回连的阻断；点击 可以取消当前域名的隔离。

本文介绍了文档数据库服务的安全性。 网络隔离 运行于私有网络（Virtual Private Cloud，简称VPC）内，与其他租户保持隔离，确保数据安全性。 身份认证 在文档数据库服务管理控制台或者使用数据库管理员帐号连接实例后，可以为数据库设置访问其它用户和对其设置独立密码，并可设置读、写等权限。在访问数据库实例时，所有用户都必须携带身份认证信息进行连接。 访问控制 可以为文档数据库服务实例设置单独的访问安全组，配置后，只有白名单内IP可访问文档数据库服务实例。 数据保护 文档数据库服务支持SSL安全访问链路。支持数据自动备份机制。内嵌敏感保护操作。 安全监控 文档数据库服务提供主机维度、实例维度如IO，连接数，慢链接等监控，并可自由配置告警策略，帮助您了解数据实例的实时状态。 故障恢复 副本集实例，集群实例的Shard、ConfigServer节点拥有主节点故障后，从节点自动接管成为主节点的能力。部分拥有多可用区（AZ）的资源池，具备跨AZ部署的能力，实现跨AZ的容灾能力。

本文主要介绍DRDS的产品价格。 注意 包年预付费优惠政策：一年85折，两年7折，三年5折。 本文价格仅作参考，具体以购买页实际下单价格为准。 2025年9月 从2025年9月发布上线的V5.1.20.0.13版本开始，DBProxy与GiServer合并部署，不再区分DBProxy和Giserver两种实例，即购买DRDS实例时，将自动为该实例部署Giserver与DBProxy，且两者之间底层服务与进程互相隔离、故障互相隔离，更具安全性和性价比。 DRDS实例价格如下，存量实例的续费、扩缩容价格不变。 CPU（核） 内存（GB） 标准资费（元/小时） 标准资费（元/月） 1 4 0.56 268.75 2 4 0.90 430.00 2 8 1.12 537.50 4 8 1.79 860.00 4 16 2.24 1075.00 8 16 3.58 1720.00 8 32 4.48 2150.00 12 24 5.37 2,580.00 16 32 7.16 3440.00 16 64 8.95 4,300.00 24 48 10.74 5,160.00 32 64 14.33 6,880.00 32 128 17.91 8,600.00 48 96 21.49 10,320.00 64 128 28.65 13,760.00

参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址暂不可修改。 内网安全组 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。

在服务开发、服务上线前,您需要创建一个环境,本章节介绍环境管理相关内容 概述 在服务开发、服务上线前，您需要创建一个环境。一个环境可以导入包括云容器引擎、ECS、注册配置中心、弹性负载均衡、云原生网关、关系数据库、分布式缓存、分布式消息等资源。 环境列表 左侧导航栏，选择环境管理，可以查看当前资源池下环境列表。通过上方选择环境类型可以筛选出对应类型的环境列表。也可输入环境名称，模糊匹配对应名称的环境。 环境创建 左侧导航栏，选择环境管理，在环境列表左上方点击创建环境按钮。 环境名称：输入合法环境名称。 环境编码：输入环境名称后自动带出，可手动进行修改。 环境类型：选择对应的环境类型。 资源池：选择资源池。 VPC：选择环境对应的VPC，没有VPC可点击创建虚拟私有云按钮进行创建。 可用区：选择当前环境对应的可用区，可多选。每个可用区下会自动创建一个部署单元，后续发布应用选择部署单元后，会匹配对应的可用区，将应用调度到对应可用区的节点。 企业项目：选择对应的企业项目。 输入以上信息后，点击保存按钮，会弹出授权微服务云应用平台创建VPCE的弹窗，VPCE为打通网络组件所需，需授权创建才能保证应用功能正常。 环境详情 左侧导航栏，选择环境管理，点击环境名称，进入到环境详情页面。在环境详情页面展示了VPC、可用区、应用实例数、资源数、资源列表、部署单元等信息。

本文介绍如何在基于最新一代海光安全加密虚拟化CSV(China Secure Virtualization)3.0技术的云主机(下文简称为CSV云主机)中构建CSV3.0加密计算环境,并演示如何验证CSV功能,以及CSV云主机存在的一些功能限制。 概述 海光安全加密虚拟化CSV是一项基于国产海光CPU硬件的云主机保护技术，CSV云主机的运行时状态（如CPU寄存器、内存数据及中断处理等）均受到CPU硬件的隔离和加密保护，云厂商和外部攻击者均无法窃取或篡改CSV云主机的内部运行状态（如计算中的数据等）。关于海光CSV技术的更多信息，请参见Hygon Arch。 CSV云主机关键特性 内存隔离：通过处理器硬件机制，为每个云主机构建独立的、受保护的执行环境，实现云主机之间、云主机和宿主机之间的硬件级逻辑隔离。即使宿主机系统或管理员拥有最高权限，也无法读取或篡改虚拟机内的数据，从根本上杜绝了“从内部”被窥视的风险，实现数据在处理过程中的“可用不可见”。 内存加密：数据在内存中全程以密文形式存在，仅能在 CPU 内部解密使用。即使机房被入侵，攻击者通过物理手段也难以探测到或篡改内存中的数据内容。 远程证明：支持远程证明功能，允许信任域所有者验证其虚拟机是否在可信的硬件环境中启动，并且没有被篡改，增强了对基础设施的信任。 安全启动：确保虚拟机仅从经过签名和验证的引导加载程序启动，进一步加强了启动过程的安全性。 体验一致：提供与普通云主机完全一致的管理接口和操作体验，通过控制台、API 等，像创建和管理任何一台普通云主机一样，轻松创建和管理机密云主机，运维习惯无需任何改变。 应用无损：海光CSV可以为您的云主机和应用提供默认的安全保护，您的现有应用系统，无论是传统的 Java 还是现代的 Python 应用，均无需进行改造，可直接运行在机密云主机。

说明：本章会介绍关系型数据库的相关术语解释，对常见的相关名词进行详细解答 什么是 实例 ？ 关系型数据库的最小管理单元是实例，一个实例代表了一个独立运行的关系型数据库。用户可以在关系型数据库系统中自助创建及管理各种数据库引擎的实例。实例的类型、规格、引擎、版本和状态，请参考实例说明。 什么是数据库引擎？ 专属云关系型数据库支持以下引擎： MySQL PostgreSQL 什么是 实例类型 ？ 云数据库RDS的实例分为两个类型，即单机实例和主备实例。不同系列支持的引擎类型和实例规格不同。 各系列产品的详细介绍请参考产品类型简介和产品功能对比。 什么是 实例规格 ？ 数据库实例各种规格（vCPU个数、内存（GB）、对应的数据库引擎）请参考数据库实例规格。 什么是 自动备份 ？ 创建实例时，关系型数据库服务默认开启自动备份策略，实例创建成功后，您可对其进行修改，关系型数据库会服务根据您的配置，自动创建数据库实例的全量备份。 什么是 手动备份 ？ 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。 什么是 区域和可用区 ？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 什么是 项目 ？ Project用于将OpenStack的资源（计算、存储和网络资源）进行分组和隔离。Project可以是一个部门或者一个项目组。一个帐户中可以创建多个Project。

本章节会介绍通用类的常见问题有哪些及解决办法。 使用RDS要注意些什么 1. 实例的操作系统，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 2. 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及关系型数据库服务使用的弹性云服务器（Elastic Cloud Server，简称ECS），都对用户不可见，它们只对关系型数据库服务的后台管理系统可见。 3. 查看实例列表时请确保与购买实例选择的区域一致。 4. 申请关系型数据库实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 1. 关系型数据库实例的CPU、IOPS、空间是否足够，如果不够需要变更规格或者扩容。 2. 关系型数据库实例是否存在性能问题，是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。 什么是RDS实例可用性 关系型数据库实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 关系型数据库支持跨AZ高可用吗 RDS支持跨AZ高可用。当用户创建实例的时候，选择主备实例类型，可以选择主可用区和备可用区不在同一个可用区（AZ）。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 相同，主机和备机会部署在同一个可用区，出现可用区级故障无法保障高可用性。

/ EXEC master.dbo.spaddlinkedsrvlogin @rmtsrvnameN'DRSTESTREMOTE',@useselfN'False',@localloginNULL,@rmtuserN'sa',@rmtpassword' ' GO 以上脚本为范例，创建的脚本可能包含大量系统默认配置项，但是每个DBLink仅需保留以下两个关键脚本即可执行成功，同时需要注意重新输入账号连接密码。 Agent JOB Agent JOB又名SQL Server代理服务，可以方便用户快速的在实例上创建定时任务，帮助用户进行日常运维和数据处理工作，用户在本地的JOB需要手动进行脚本迁移。 步骤 4 通过微软提供的官方Microsoft SQL Server Management Studio客户端工具连接本地实例与云上实例，同时在“SQL Server代理 > 作业”下找到当前实例上的所有JOB任务。 图 查看作业 步骤 5 选择SQL Server代理下的作业，然后按F7，可以在对象资源管理器中看到所有的作业（JOB），全部选中后创建脚本到新窗口。 图 创建脚本 步骤 6 复制新窗口中的TSQL创建脚本到新实例上，然后注意修改如下几个关键项，以保障你的创建成功。 注意修改每个JOB上的Ower账号： 例如： @ownerloginnameN'rdsuser' 注意修改每个JOB上的实例名称： 例如： @serverN'实例IP' @servername N'实例IP' 新建JOB的Owner账号十分重要，在RDS SQL Server上，仅有该JOB的Owner可以看到实例上自己的JOB，别的Login账号是看不到无法操作的，所以建议所有的JOB Owner尽量是同一个账号方便管理。 关键配置 用户将数据库还原到RDS for SQL Server实例上之后，本地的一些重要配置项也需要进行同步确认，避免影响业务的正常使用。 1. tempdb：临时数据库的文件配置需要进行同步。 推荐配置为8个临时文件，注意路径一定要确保在D:RDSDBDATATemp 通过在目标数据库端执行如下脚本添加临时数据库的文件配置： USE [master] GO ALTER DATABASE [tempdb] ADD FILE ( NAME N'tempdb1', FILENAME N'D:RDSDBDATATemptempdb1.ndf' , SIZE 65536KB , FILEGROWTH 65536KB ) GO ALTER DATABASE [tempdb] ADD FILE ( NAME N'tempdb2', FILENAME N'D:RDSDBDATATemptempdb2.ndf' , SIZE 65536KB , FILEGROWTH 65536KB ) GO ALTER DATABASE [tempdb] ADD FILE ( NAME N'tempdb3', FILENAME N'D:RDSDBDATATemptempdb3.ndf' , SIZE 65536KB , FILEGROWTH 65536KB ) GO ALTER DATABASE [tempdb] ADD FILE ( NAME N'tempdb4', FILENAME N'D:RDSDBDATATemptempdb4.ndf' , SIZE 65536KB , FILEGROWTH 65536KB ) GO ALTER DATABASE [tempdb] ADD FILE ( NAME N'tempdb5', FILENAME N'D:RDSDBDATATemptempdb5.ndf' , SIZE 65536KB , FILEGROWTH 65536KB ) GO ALTER DATABASE [tempdb] ADD FILE ( NAME N'tempdb6', FILENAME N'D:RDSDBDATATemptempdb6.ndf' , SIZE 65536KB , FILEGROWTH 65536KB ) GO ALTER DATABASE [tempdb] ADD FILE ( NAME N'tempdb7', FILENAME N'D:RDSDBDATATemptempdb7.ndf' , SIZE 65536KB , FILEGROWTH 65536KB ) GO 图 检查临时文件 2. 数据库隔离级别：请确认原实例上数据库的隔离级别是否开启，并同步到RDS SQL Server实例，快照隔离参数有2个，分别是： − 读提交快照（Is Read Committed Snapshot On） − 允许快照隔离（Allow Snapshot Isolation） 若原实例上数据库的隔离级别是开启的，您可以通过在目标数据库端执行如下脚本开启数据库的隔离级别： USE [DBName] GO ALTER DATABASE [DBName] SET READCOMMITTEDSNAPSHOT ON WITH NOWAIT GO ALTER DATABASE [DBName] SET ALLOWSNAPSHOTISOLATION ON GO 3. 实例最大并行度：实例最大并行度在RDS for SQL Server实例上默认设置为0，用户也可以根据自己本地原来的设置项进行同步设置，避免不同环境下业务场景出现异常。 右击本地实例选择属性，在服务器属性弹出框中选择高级，然后在右侧找到最大并行度（max degree of parallelism）设置项，确认本地实例设置值，并同步在目标RDS for SQL Server实例管理的参数组中进行修改。 图 查看本地实例最大并行度值 登录本云实例控制台，在实例管理页，单击目标实例名称，进入基本信息页签，切换至“参数修改”，搜索最大并行度（max degree of parallelism）并进行修改。 图 修改目标RDS for SQL Server实例的最大并行度 4. 迁移上云的数据库恢复模式是否为完整（FULL）模式，如果不是需要进行修改。 右击数据库选择属性，在弹出数据库属性框中选择选项，并在右侧确认该数据库恢复模式为完整（FULL），保证该数据库高可用和备份策略可执行。 图 检查数据库恢复模式