本文介绍了云防火墙提供的数据保护技术。 数据保护手段 简要说明 传输中的数据保护 日志数据采用安全协议HTTPS传输到日志服务，防止数据被窃取；用户的配置数据传输采用安全协议HTTPS，防止数据被窃取。 配置数据完整性 CFW会和配置管理中心检验配置一致性，实时确保配置的准确性和完整性。 数据销毁机制 考虑到残留数据导致的用户信息泄露问题，保留期到期仍未续订或充值，存储在云服务中的数据将被删除，云服务资源将被释放。CFW会清除用户数据，避免用户数据残留造成信息泄露。 数据存储安全 对静态数据进行透明加密，可以保护数据免受可以访问底层文件系统的攻击者的影响。

概述 默认情况下，ZooKeeper集群不会对客户端进行强制身份认证，任何客户端都可以访问ZooKeeper数据，存在安全隐患。目前，MSE ZooKeeper支持SASL身份认证，通过用户名和密码对客户端进行身份认证，提升Zookeeper数据的安全性。 前提条件 创建微服务引擎MSE，参考章节：创建ZooKeeper引擎； 开通引擎版本为3.8.1.9及以上的ZooKeeper实例，并且实例状态正常； 操作步骤 1.登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2.在左侧导航栏，选择注册配置中心 > 实例列表； 3.在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4.在左侧导航栏，选择权限管理> SASL认证； 5.在用户管理页面，单击创建用户。在创建用户面板中输入用户名、密码和确认密码，然后单击确定即可增加新的用户身份信息配置； 6.单击对应用户操作列中的复制配置，以下内容会被复制到粘贴板，密码需要手动补充，然后将其保存在客户端的任意文件中（如jaas.conf）； java Client { org.apache.zookeeper.server.auth.DigestLoginModule required usernametest password""; }; 7.对于Java使用Zookeeper原生SDK或者Apache Curator框架的应用时，需要进行以下操作： 假设之前已经保存的配置文件路径为/path/to/jaas.conf，在Java应用启动的时候，指定以下系统属性。 Djava.security.auth.login.config/path/to/jaas.conf // 填写配置保存的文件的路径 重启客户端应用后，客户端会自动读取认证信息配置并向Zookeeper服务端进行身份认证。 8.客户端配置完成之后，在左侧导航栏，选择参数管理。在参数管理页面，将requireClientSASLAuth的值设置为true，即可强制要求客户端连接服务端时进行SASL身份认证； 9.用户创建成功后，可以在用户列表的操作列，按需执行如下操作； 重置密码：点击重置密码，在密码重置面板中输入用户名、新密码和确认密码。当用户密码发生变更后，以该用户身份连接服务端的客户端将会断开连接； 删除用户：单击删除，弹出框提示确认需要删除的用户名称，点击确认即可删除用户。当用户被删除后，以该用户身份连接服务端的客户端将会断开连接；

本章节介绍注册配置中心常见配置问题 注册配置中心监控支持Prometheus动态读取Nacos的服务列表而获取metrics吗？ 支持，但在MSE里面不支持展示。 部署了Spring Cloud应用，但是使用的是Consul注册中心，如何实现注册中心的托管呢？ MSE目前已上线了Consul引擎，诚邀您开通试用。 如何退订服务？退订后资源会立刻释放吗？ 1. 在实例列表页面选择目标实例退订。 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心> 实例列表。 3. 在实例列表页面，选择目标实例所在行，点击操作列“更多”下面的“退订”按钮，跳转至确认页面。 4. 在退订确认页面请确认需要退订的实例信息，无误后点击确认即可退订。 5. 退订后实例无法再提供服务。 2. 退订后实例会被停止，无法访问，但资源不会立即释放，一般情况下数据会保留15天，准确保留时间以系统为准。 可以续订服务吗？服务能自动续期吗？ 包周期的实例可随时进行续订，续订后，到期时间将后延您所续订的时间。服务在购买时可以设置自动续期，您只需要选中“自动续费”按钮即可。 购买的实例性能无法满足实际需求怎么办？ 1. 购买实例前建议您先评估实际需求，然后参考产品规格章节 ，预留30%左右的容量，然后订购对应能力规格的产品。 2. 如果购买的实例无法随着业务发展无法满足实际需求可以使用扩容操作，对订购的实例进行扩容，扩容操作包括三种类型节点扩容（最高支持扩至9节点）、规格扩容（增加实例节点内存容量和CPU数量）、磁盘扩容（增加实例节点数据盘容量）。具体的操作可以参考如下步骤： 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心> 实例列表。 3. 在实例列表页面，选择目标实例所在行，点击操作列扩容按钮，跳转至扩容页面。 4. 在扩容页面选择扩容的类型以及目标规格，点击确认后提交订单，支付完毕后可在控制台实例列表页面查看扩容状态。 说明 1. 节点扩容限制只能3>5>7>9逐步扩容，不能一次增加超过半数的节点。 2. 规格扩容只能选择相同架构和类型下的2C4G、4C8G、8C16G等既定规格扩容，不能自定义规格。 3. 磁盘扩容必须是步长(50G)的整数倍，不能随意指定数字。

本节介绍了元数据获取的操作场景、使用须知、弹性云主机元数据类别支持列表、前提条件、Metadata(OpenStack元数据API)、User data(OpenStack元数据API)等内容。 操作场景 弹性云主机元数据包含了弹性云主机在云平台的基本信息，例如云服务ID、主机名、网络信息等。弹性云主机元数据支持两种风格，可以分别通过兼容Openstack和兼容EC2的API获取，如表 61所示。对于支持的元数据类型，本节详细介绍了其URI和使用方法。 使用须知 如果元数据中包含了敏感数据，您应当采取适当的措施来保护敏感数据，比如限制访问范围、加密等。 防火墙配置示例如下所示： Windows 如果您不希望管理员之外的用户访问自定义用户数据，请以管理员身份开启防火墙后，在PowerShell 中执行下面的命令，阻止非管理员用户访问自定义用户数据： PS C:>$RejectPrincipal NewObject TypeName System.Security.Principal.NTAccount ("Everyone") PS C:>$RejectPrincipalSID $RejectPrincipal.Translate([System.Security.Principal.SecurityIdentifier]).Value PS C:>$ExceptPrincipal NewObject TypeName System.Security.Principal.NTAccount ("Administrator") PS C:>$ExceptPrincipalSID $ExceptPrincipal.Translate([System.Security.Principal.SecurityIdentifier]).Value PS C:>$PrincipalSDDL "O:LSD:(D;;CC;;;$ExceptPrincipalSID)(A;;CC;;;$RejectPrincipalSID)" PS C:>NewNetFirewallRule DisplayName "Reject metadata service for $($RejectPrincipal.Value), exception: $($ExceptPrincipal.Value)" Action block Direction out Protocol TCP RemoteAddress 169.254.169.254 LocalUser $PrincipalSDDL Linux 如果您不希望root之外的用户访问自定义用户数据，请以root用户权限执行下面的命令，阻止非root用户访问自定义用户数据： iptables append OUTPUT proto tcp destination 169.254.169.254 match owner ! uidowner root jump REJECT

客户域名可能会因为恶意攻击、网站恶意盗刷等各种恶意访问行为产生突发流量或带宽，进而在DDoS 高防（边缘云版）产生超出日常正常加速的服务费用。本文侧重介绍如何避免因恶意攻击带来的高额账单风险。 方法一：设置可用额度预警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 方法二：开通安全防护功能 DDoS 高防（边缘云版）是针对游戏、互联网及金融等业务遭受大流量 DDoS 攻击导致用户服务不可用的情况而推出的付费防护服务，如果客户的业务存在潜在的被恶意访问风险，需要抗DDoS和抗CC攻击的安全防护功能，建议开通DDoS高防（边缘云版），详情请见：DDoS高防（边缘云版）；如果客户的网站既需要进行流量型DDoS攻击的防护，同时也需要对精巧的Web应用层攻击时进行防御，建议叠加Web应用防火墙（边缘云版）进行联合防御。详情请见：叠加Web应用防火墙（边缘云版）。

开通Bot管理功能后，提供BOT管理防护方案，协助客户管控恶意Bot流量，对抗Bot流量背后的黑灰产产业链，解决恶意爬虫“薅羊毛”、竞争比价、黑产、业务数据抓取分析带来的垃圾流量和营销失败的问题。 glmoscodeexplain 如何开通Bot管理的功能？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如何使用Bot管理功能？ 具体功能介绍和使用请参考Bot管理功能介绍：Bot管理 注意 暂时不支持单独退订Bot管理，如果需要单独退订，请

本文介绍什么是ARM架构与X86架构。 弹性云主机实例主要包含两种架构，X86 CPU架构和ARM CPU架构。 X86 CPU架构 采用复杂指令集CISC（Complex Instruction Set Computer），CISC是一种计算机体系结构，其中每个指令可以执行一些较低阶的硬件操作，指令数目多而且复杂，每条指令的长度并不相同。由于指令执行较为复杂所以每条指令花费的时间较长。 ARM CPU架构 采用精简指令集RISC（Reduced Instruction Set Computer），RISC是一种微处理器，旨在执行较少类型计算机指令，以便能够以更高的速度执行操作，使计算机的结构更加简单、合理地提高运行速度。 ARM CPU架构包含鲲鹏云主机和飞腾云主机。海光云主机属于X86 CPU架构。目前可以在央企北京1资源池购买鲲鹏、飞腾、海光云主机，可以在佛山3购买鲲鹏云主机。

本节介绍如何配置API自动发现任务，并将发现的API资产添加到API资产列表中。 API自动发现主要用于帮助用户自动或半自动发现API资产。 当API资产规模较小时（不超过100条），可选择开启“确认为API资产”，自动将发现的API确认为API资产。 当API资产规模校大时（超过100条），API自动发现任务可发现API资产，用户需进行人工识别和确认后，添加为API资产。 前提条件 已开通Web应用防火墙（原生版）实例企业版或旗舰版。 已完成防护域名接入，并正常防护。 配置API自动发现任务 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 选择“API资产发现”页签，单击“API自动发现”，进入API自动发现任务页面。 6. 在弹出的API自动发现任务页面中，配置任务参数。 任务参数说明如下： 参数 说明 识别范围 通过设置识别范围可限定API的发现范围。单次识别API资产不超过10000个。 支持输入长度为1256字符，支持通配符，最多可输入10个条件，多个条件之间是或关系。 排除条件 通过设置排除条件排除在识别范围内不属于API的其他路径，从而提升API识别的准确性。 支持输入长度为1256 字符，支持通配符，最多可输入10个条件，多个条件之间是或关系。 执行周期过期时间 通过设置执行周期过期时间可设置单次任务的运行周期，任务运行最长支持30天，最短支持5分钟。 任务到期或发现API接口超过10000后将自动结束任务。 业务用途识别 开启“业务用途识别”，可基于API接口的路径特征和参数名特征，与自定义的业务用途字段进行匹配，自动判断识别到的API接口业务用途。自定义业务用途请参见[新增业务用途规则](

功能介绍支持配置暴力破解防护策略防范攻击者通过撞库盗取用户的信息。 功能介绍 支持配置暴力破解防护策略，防范攻击者通过暴力破解盗取用户的信息。 暴力破解是什么？ 暴力破解是指攻击者通过脚本等方式实现原有的尝试登录流程，不断重复尝试登录的一个过程，从理论上来看只要时间足够，所有的账号都有被暴力破解找到口令的可能，对普通用户爆破可以造成个人的财产损失，对网站管理员的账号爆破则可以危害公司资产。 暴力破解的防护原理 边缘云WAF主要通过爆破行为监控来防护。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持暴力破解防护相关功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 2. 进入【账号安全防护】页面； 3. 进入新增暴力破解防护规则页面。 暴力破解防护配置说明 配置项 说明 开关 可以选择开启或者关闭暴力破解防护策略 处理动作 设置触发暴力破解策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的url地址。（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录失败跳转URI 设置登录失败后需要跳转的URI 触发条件 在【防护统计频率】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】，处理动作持续时间【拦截时间】。其中，作用域支持CI、IP+UA、IP （1）CI:客户端ID，订购扩展服务BOT管理后支持该作用域 （2）IP+UA：客户端IP与客户端UA （3）IP：客户端IP 白名单 针对误拦设置白名单，可选粒度：IP、IPS、IPR等多个粒度，支持配置多条白名单规则，多个粒度为“且”的逻辑，多个范围为“或”的关系

本文主要介绍物理机的权限管理。 如果您需要对天翼云上购买创建的物理机服务器资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有物理机的使用权限，但是不希望他们拥有删除物理机等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用物理机，但是不允许删除物理机的权限，控制他们对物理机资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用物理机服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 物理机权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 物理机部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如江苏苏州）对应的项目（cnjssz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问物理机时，需要先切换至授权区域。 根据授权精度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对物理机服务，管理员能够控制IAM用户仅能对某一类物理机资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 物理机常用操作与系统权限的关系 如下表： 操作 物理机 FullAccess 物理机 CommonOperations 物理机 ReadOnlyAccess 创建物理机 √ x x 查看物理机列表 √ √ √ 查询物理机详情 √ √ √ 修改物理机名称 √ x x 启动物理机 √ √ x 关闭物理机 √ √ x 重启物理机 √ √ x 物理机挂载数据卷 √ √ x 物理机卸载数据卷 √ √ x 重装裸物理机操作系统 √ x x 一键重置物理机的密码 √ x x

本节主要介绍权限管理 如果您需要对已购买的软件开发生产线资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对资源的访问范围。例如对于负责软件开发的员工，您希望他们拥有软件开发生产线控制台的使用权限，但是不希望他们拥有购买开通软件开发生产线等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能查看软件开发生产线资源使用量，但是不允许购买开通软件开发生产线的权限，控制开发人员对软件开发生产线资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用软件开发生产线的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见IAM帮助中心。 软件开发生产线控制台权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 软件开发生产线部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问软件开发生产线时，需要先切换至授权区域。 软件开发生产线控制台权限采用细粒度授权方式（即策略）。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对软件开发生产线服务，管理员能够控制IAM用户仅能对软件开发生产线资源进行指定的管理操作。 如下表所示，包括了软件开发生产线控制台的所有系统权限。 表 软件开发生产线控制台系统权限 策略名称 描述 类别 DevCloud Console FullAccess 软件开发生产线控制台管理员权限，拥有该权限的用户可以购买软件开发生产线资源。 系统策略 DevCloud Console ReadOnlyAccess 软件开发生产线控制台只读权限，拥有该权限的用户仅能查看软件开发生产线资源使用情况。 系统策略 下表列出了软件开发生产线控制台常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 DevCloud Console FullAccess DevCloud Console ReadOnlyAccess 在控制台查看需求管理资源列表详情 √ √ 在控制台查看代码托管资源列表详情 √ √ 在控制台查看编译构建资源列表详情 √ √ 在控制台查看代码检查资源列表详情 √ √ 在控制台查看测试计划测试管理资源列表详情 √ √ 在控制台查看制品仓库资源列表详情 √ √

本节主要介绍安全编排的定义和相关概念。 安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁，实现安全事件的高效、自动化响应处置。 安全编排的主要功能如下： 剧本管理：内置自动响应的剧本，支持按需定义扩展。 流程管理：绘制流程图响应剧本触发。 实例管理：支持对运行的实例进行监控管理及记录查看。 安全事件自动化响应：对需要处理的安全事件以及可疑事件，通过安全编排实现自动化处置及事件调查。 基本概念说明 在安全编排中，剧本和流程是两个核心元素，它们相互关联、依赖，并协同工作以确保安全运营的有效性和高效性。 剧本 剧本（Playbook）：是安全运营流程在安全编排系统中的形式化表述，它是将安全运营流程和规程转换为机读工作流的过程，剧本是一个预定义的、结构化的响应计划，用于处理特定类型的事件或威胁。剧本详细列出了在某些触发条件（如检测到特定安全事件）下应采取的步骤和操作。 剧本体现了安全防护的逻辑，指示如何调度安全能力。剧本具有灵活性和可扩展性，可以根据实际需求进行修改和扩展，以适应不断变化的安全威胁和业务需求。 一个剧本中有且仅有一个流程。 流程 流程（Workflow）：是将安全运营相关的工具、技术、流程和人员等各种能力整合到一起，形成一种协同工作方式。它由多个相连接的组件构成，流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布，定义每个节点的组件动作。 流程是剧本触发时响应的方式，它负责将剧本中的指令和规程转化为具体的操作和执行步骤。 剧本与流程的联系 剧本提供了安全运营的指导和规则，而流程则负责将这些规则转化为具体的执行步骤和操作。剧本和流程相互依赖，剧本指导流程的执行，而流程则实现了剧本的意图和要求。 剧本与流程的区别 剧本和流程之间也存在一定的区别。首先，剧本更侧重于定义和描述安全运营的流程和规程，它关注的是整体的框架和策略；而流程则更侧重于具体的操作和执行步骤，它关注的是如何将剧本中的要求转化为实际的行动。其次，剧本具有较大的灵活性和可扩展性，可以根据需要进行修改和扩展；而流程则相对固定，一旦设计完成，就需要按照规定的步骤执行。 示例 以一个具体的网络安全事件响应案例为例，当组织遭受到一次网络攻击时，安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后，系统会根据剧本中定义的流程，自动触发相应的安全措施，如隔离被攻击的系统、收集攻击数据、通知安全团队等。在这个过程中，剧本和流程紧密配合，确保安全响应的准确性和及时性。

15. 查询出来的时间戳数据与写入时不一致 往表中写入时间戳数据时，可能由于时区的影响导致查询结果与实际数据不一致。这可能是因为写入数据时的时区设置与查询数据时的时区设置不匹配。 16. 如何操作列相关的DDL操作 进行DDL操作以增加、删除或修改列时，可以按照以下步骤进行： 1. 增加列（ADD COLUMN）： 使用 ALTER TABLE语句指定要修改的表名。 使用 ADD COLUMN关键字后跟新列的名称和数据类型，以及任何其他列属性（如默认值、约束等）。 执行DDL语句以将新列添加到表中。 2. 删除列（DROP COLUMN）： 使用 ALTER TABLE语句指定要修改的表名。 使用 DROP COLUMN关键字后跟要删除的列的名称。 执行DDL语句以从表中删除指定的列。 3. 修改列（ALTER COLUMN）： 使用 ALTER TABLE语句指定要修改的表名。 使用 ALTER COLUMN关键字后跟要修改的列的名称和要进行的修改操作。 根据需要，可以修改列的数据类型、默认值、约束等。 执行DDL语句以对指定的列进行修改。 在操作DDL时请关注： DDL操作可能会导致表的重建或重组，因此在执行DDL操作时，请确保对表的影响和潜在的数据重排。 在进行DDL操作之前，建议先进行备份或测试，以确保数据的完整性和正确性。 以上是一般的DDL操作示例，具体操作可能会根据您使用的数据库管理工具或客户端的不同而有所变化。请参考您所使用的具体工具或文档以了解更详细的操作步骤。 17. DDL执行慢 数据库负载过高：如果数据库正在执行其他耗时的操作或有大量并发查询，DDL操作可能会受到影响。解决方案是在执行DDL操作时确保数据库负载较低，可以暂停其他耗时的操作或限制并发查询。 数据库锁定：DDL操作可能需要锁定表或表的部分数据，以确保数据一致性。如果有其他会话正在锁定相同的表或数据，DDL操作可能会等待锁释放。解决方案是确保没有其他会话正在使用需要锁定的表或数据，或者根据需要调整锁定策略。 大表操作：如果要对大表执行DDL操作，例如增加或删除大量列，操作可能会耗费较长的时间。这是因为DDL操作可能需要重建表或重组数据。解决方案是在执行DDL操作时进行适当的计划和预估时间，并确保有足够的系统资源来处理大表操作。 索引重建：某些DDL操作可能会导致索引的重新构建。如果表中有大量数据或复杂的索引结构，索引重建可能需要较长的时间。解决方案是在执行DDL操作之前评估索引的重建成本，并根据需要进行调整。 阻塞和死锁：如果DDL操作与其他会话之间存在阻塞或死锁情况，操作可能无法继续执行。解决方案是检查并解决任何阻塞或死锁问题，例如通过调整事务隔离级别、优化查询等。 系统资源不足：DDL操作可能需要大量的系统资源，例如CPU、内存和磁盘。如果系统资源不足，DDL操作可能会变慢或卡住。解决方案是确保系统具有足够的资源来执行DDL操作，可以考虑增加硬件资源或优化系统配置。

本节介绍漏洞扫描的使用约束。 网站扫描域名/IP VSS是通过公网访问域名/IP地址进行扫描的，请确保该目标域名/IP地址能通过公网正常访问。 扫描IP加入网站扫描白名单 如果您的网站设置了防火墙或其他安全策略，将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此，在使用VSS前，请您将以下VSS的扫描IP添加至网站访问的白名单中：114.217.39.79，222.93.127.109。

本节介绍翼甲控制台监控首页内容。 监控首页 用户进入翼甲卫士控制台后，可在监控首页页面对防护概览进行了解。 基础信息总览：可看到当前防火墙的各组件版本信息及资源使用率。 防护总览：可看到按照不同时间维度查（最近一小时、一天、一周）询流量趋势以及桌面防护情况。 告警监控总览：可以按照不同时间维度（最近一小时、一天、一周）查阅告警事件详情及处理结果。

参数 是否必填 参数类型 说明 示例 下级对象 days 否 int 多少天内证书即将过期的域名个数,不传默认30 10 producttype 否 string 产品类型列表,多个用英文逗号隔开，不传默认所有产品类型，产品类型支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）),“018”(爬虫管理) 006

本节介绍域名以IPv4接入防护后，如何升级到IPv6防护。 WAF支持IPv4和IPv6双栈防护，若已接入IPv4防护，可以在“更新WAF防护配置”页选择NAT66，再添加源站IP、协议类型、端口，即可直接升级IPv6。 注意事项 更新WAF防护配置前，需要先关闭防护。 操作步骤 1. 登录Web应用防火墙（企业版）控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入防护配置页面。 3. 单击防护域名操作列的“更多 > 关闭防护”。 4. 单击防护域名操作列的“更多 > 修改”，进入更新WAF防护配置页面。 5. 配置防护参数：IP代理选择“NAT66”，再添加源站IP（配置IPv6地址）、协议类型、端口。 6. 单击防护域名操作列的“更多 > 开启防护”。

本文介绍如何设置监控告警规则。 通过设置WAF告警规则，用户可自定义监控目标与通知策略，设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数，帮助您及时了解WAF防护状况，从而起到预警作用。 前提条件 防护网站已接入WAF。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台顶部的区域选择框，选择区域。 3. 单击页面左上方的“服务列表”，选择“管理与部署> 云监控服务”。 4. 在左侧导航栏，选择“告警> 告警规则”，进入“告警规则”页面。 5. 在页面右上方，单击“创建告警规则”，进入“创建告警规则”界面。 6. 设置告警规则名称。 7. 在“资源类型”下拉列表框中选择“Web应用防火墙”，选择“维度”、“监控范围”，设置告警模板、是否发送通知。 8. 单击“立即创建”，在弹出的提示框中，单击“确定”，告警规则创建成功。

操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在菜单中，选择权限控制黑白名单管理，点击黑白名单配置右侧的编辑图标。 5. 在白名单配置中，输入允许访问的IP地址段，并点击确定。 如果白名单配置内容为空，表示所有地址均可禁止Nacos实例。 如果填写的IP地址加掩码，表示允许所设置的IP地址段访问实例。 6. 在黑名单配置中，输入禁止访问的IP地址段，并点击确定。 如果黑名单配置内容为空，表示所有地址均可访问Nacos实例。 如果填写的IP地址加掩码，表示禁止所设置的IP地址段访问实例。 说明 Nacos引擎黑白名单当前仅对1.X客户端生效。

本章节介绍云原生网关的审计日志功能 概述 您可以在云原生网关控制台上查看审计日志。如果当前帐号为主帐号，则可以查询当前帐号及其所有子账号在控制台上的操作日志；如果当前帐号为某个主账号下的子账号，则可以查询该子账号在控制台的操作日志。审计日志用于收集云原生网关实例的相关操作日志，记录资源的变动情况。其中资源主要包括实例、安全认证、路由、服务、服务来源、插件、应用管理、域名、ELB和观测分析。变动情况包括增加、删除和修改。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 在左侧导航栏，选择审计日志。 4. 可选择开始结束时间，资源类型，操作类型，操作人，操作详情进行过滤。

本节主要介绍相关术语解释。 使用云容器引擎服务，会涉及到以下基本概念： 集群： 是指容器运行所需云资源的集合，包含了若干台云主机、负载均衡器等云资源。 实例（Pod）： 由相关的一个或多个容器构成一个实例，这些容器共享相同的存储和网络空间。 工作负载： Kubernetes资源对象，用于管理Pod副本的创建、调度以及整个生命周期的自动控制。 Service： 由多个相同配置的实例（Pod）和访问这些实例（Pod）的规则组成的微服务。 Ingress： Ingress是用于将外部HTTP（S）流量路由到服务（Service）的规则集合。 Helm应用 ：Helm是管理Kubernetes应用程序的打包工具，提供了Helm Chart在指定集群内图形化的增删改查。 镜像仓库 ：用于存放Docker镜像，Docker镜像用于部署容器服务。 您在使用前可以了解更多Kubernetes相关知识，具体请参见：<

概述 本章节介绍MSE ZooKeeper引擎的黑白名单功能，在实例开通完毕后，可以通过设置ZooKeeper实例黑白名单来限制一定范围内的IP地址（可以单个或者多个，可以是IP或者是IP段）访问实例。当白名单和黑名单配置存在冲突时，以黑名单规则优先。 前提条件 1. 已开通微服务引擎MSE ZooKeeper引擎实例，参考章节：创建ZooKeeper实例； 2. 已开通ZooKeeper实例并且状态正常。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 点击右侧权限控制 > 黑白名单管理，点击页面“黑白名单配置”标题后面的编辑按钮，进入编辑模式； 5. 打开“白名单配置 ”后面的开关按钮，开启白名单，在白名单配置输入框中，输入允许访问的IP地址段，并点击确定； 1. 如果白名单配置内容为空，表示所有地址均不可访问ZooKeeper实例； 2. 如果填写了IP地址加掩码，表示允许所设置的IP地址段访问实例； 3. 如果开关状态为关闭，则配置内容不生效 6. 打开“黑名单配置 ”后面的开关按钮，在黑名单配置输入框中，输入禁止访问的IP地址段，并点击确定； 1. 如果黑名单配置内容为空，表示所有地址均可访问ZooKeeper实例； 2. 如果填写的IP地址加掩码，表示禁止所设置的IP地址段访问实例； 3. 如果开关状态为关闭，则配置内容不生效； 注意 如果您绑定了ELB，并使用ELB访问，则这部分流量不受黑白名单控制；可以去ELB控制台设置相关规则； 黑白名单认证时通过访问的请求头部中获取客户端IP，可能与公网地址不同，请确保配置的IP与请求携带的IP相同； 即使配置了白名单,仍然需要通过其他类型的认证才能访问，如ACL、SASL认证； IP地址格式支持IPv4及IPv6：X.X.X.X/X或X:X:X:X:X:X:X:X/X，斜杠后为掩码。若白名单设置为空，表示禁止所有地址的访问，请谨慎设置。多个公网IP地址或地址段，每个地址或地址段之间用英文半角逗号（,）分隔。

此小节介绍云堡垒的续费。 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，可以通过“续费”操作继续使用云堡垒机。若未及时续费，则进入“保留期”，将冻结云堡垒机，不能登录云堡垒机系统。“保留期”到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 前提条件 已获取管理控制台的登录帐号与密码。 已“一键放通”云堡垒机网络限制。 云堡垒机所在安全组允许访问出方向9443端口。 云堡垒机所在子网未关联防火墙ACL，或关联的防火墙ACL为“开启”状态且允许访问出方向9443端口。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击，进入云堡垒机实例界面。 实例列表 5. 单击待续费的实例，“操作”列的“更多 > 续费”，进入“续费”配置页面。 6. 根据需要选择续费时长。 7. 单击“去支付”，在支付页面完成付款。 8. 返回云堡垒机实例列表页面，在“计费模式”列查看授权后最新到期时间。 9. 大约5分钟后可正常登录云堡垒机系统。续费后，新的License许可证大约需5分钟自动下发授权并部署，请耐心等待。

本章节主要介绍翼MapReduce服务的产品定义、架构与优势。 产品定义 翼MapReduce（简称：“翼MR”），是基于当前开源新版本大数据组件进行产品化封装，可以为客户提供快速部署、便捷维护的HDFS、YARN、Spark、Flink、Hive、Doris、Kafka、HBase等高性能的大数据组件以及运维管理平台，同时产品默认提供强安全验证能力，具备高安全、高扩展、快捷运维等特色，支持批量数据处理、流式数据处理、离线数据分析、在线查询等场景。 产品架构 翼MR集群各个版本组件情况请参见版本概述。 详见下图：翼MR架构图 翼MR架构包括了基础设施和大数据处理流程各个阶段的能力。 ● 基础设施 基于天翼云弹性云主机CTECS构建的大数据集群，整体集群的高可靠和高安全能力可以得到虚拟化底层的充分保证。 虚拟私有云（CTVPC）为每个租户提供虚拟的内部网络，默认与其他网络隔离，同时通过配套的安全组访问控制确保网络层面的安全性。 云硬盘（CTEVS）提供不同规格和性能表现的高可靠存储能力。 弹性云主机（CTECS）提供的弹性可扩展虚拟服务器，结合上述的CTVPC、安全组、CTEVS数据多副本和灾备能力为客户打造一个高效、可靠、安全的业务集群环境。 物理机服务（CTDPS）是基于天翼云软硬结合技术研发的一款拥有极致性能的裸金属服务器，兼具云主机的灵活弹性、物理机的稳定，提供算力强劲的计算类服务，提供专属的云上物理服务器，为大数据、核心数据库、高性能计算等业务提供服务稳定、数据安全、性能卓越的算力服务。 ● 数据集成 数据集成层提供了客户的数据集成进翼MR集群的能力，包括：Kafka、Logstash、SeaTunnel、Flume，支持各种数据源导入数据到翼MR大数据集群中。 ● 数据存储 翼MR支持结构化和非结构化数据在集群中的存储，并且支持多种高效的格式来满 足不同计算引擎的要求。 – HDFS是大数据上通用的分布式文件系统。 – Doris是实时数据仓库服务，具有高并发、低延迟的特点。 – HBase支持带索引的数据存储，适合高性能基于索引查询的场景。 – Elasticsearch支持结构化/非结构化数据的检索、分析场景。 ● 数据调度和计算处理 – 翼MR提供多种主流计算引擎：MapReduce（批处理）、 Spark（内存计算）、Flink（流计算），满足多种离线或实时大数据应用场景，将数据进行结构和逻辑的转换，转化成满足业务目标的数据模型。 – 基于预设的数据模型，使用易用SQL的数据分析，用户可以选择Hive（数据仓库），SparkSQL以及Trino交互式查询引擎。 ● 翼MR Manager 为确保大数据组件服务的高可用性，以Hadoop为基础的大数据生态的各种组件均需要以分布式的方式进行部署，涉及其中的部署、管理和运维复杂度要求较高。翼MR提供了统一的运维管理平台翼MR Manager，包括可视化引导式部署集群能力。同时翼MR Manager还提供了租户与资源管理能力，以及翼MR中各类大数据组件的运维，并提供监控、告警、配置等一站式运维能力。

参数类型 参数名 说明 基本信息 任务名称 必填，训练任务名称。 基本信息 描述 非必填，输入128个字符的描述。 数据集配置 训练数据集 最多可添加10个，选择基础数据集或者标注数据集。 模型配置 模型来源 我的模型：最多5个，将模型管理中的模型文件挂载到容器内路径。 预置模型：最多5个，将预置模型挂载到容器内路径。 模型配置 模型文件 选择我的模型具体的模型文件及版本。 选择预置模型文件及具体版本。 存储配置 ZOS对象存储 最多选择5个，如果没有提前创建，可以点击“去创建对象存储”完成创建。 存储配置 HPFS并行文件系统 最多选择5个，如果没有提前创建，可以点击“去创建HPFS”完成创建。 结果可视化工具 TensorBoard 可对TensorBoard进行配置。 开启TensorBoard将会占用您少量资源（约1核CPU+1G内存），您可按需开启。 开启后，您需要对日志的输出路径进行配置： 存储类型：选择需要的存储类型。 输出路径：日志实际的输出路径，建议您在自有存储中创建空文件夹专用于TensorBoard日志的输出。 容器内挂载路径：即训练代码中您指定的TensorBoard Summary日志文件存储位置。平台会默认读取任务训练输出路径下Summary路径中数据，该路径需与代码中的TensorBoard日志路径一致，否则TensorBoard无法获取数据。 环境配置 文件目录 平台可持久化的挂载目录，后续可以在该目录下读写文件，是用户间隔离的。 环境配置 训练代码 非必填，可以选择目标代码包。 环境配置 启动命令 必填。如果您的代码包是文件夹，则需要填写python xx.py，其中xx.py是您的训练代码；如果您的代码中有启动参数，可以直接填写；若您使用的代码包是压缩包文件，需要在启动命令中添加解压命令zip。 资源配置 镜像来源 支持选择系统预置镜像、自定义镜像、他人分享镜像以及镜像地址输入。 资源配置 集群 支持公共集群和专属集群两种类型，其中专属集群需要提前购买。 资源配置 资源配额 选择目标资源配额，展示当前总资源及使用情况。 资源配置 资源规格 选择当前任务所需要的资源规格。 资源配置 训练模式 默认为DDP（分布式训练），如果在单一计算设备上进行机器学习模型训练选择单机训练。 资源配置 容错训练 启动容错训练后，如果训练过程中节点异常，系统会自动重新启用一个新的节点来替换异常节点，从上一个checkpoint开始继续训练。 高级配置 断点续训 支持昇腾NPU以及英伟达系列GPU的断点续训。 开启后，如因为节点故障导致训练任务异常，会封锁故障节点，重新调度训练任务；同时可以配置断点续训策略，支持设置【每次错误的最大重启次数】【容错重启策略】【容错策略】等参数。 高级配置 算力健康检查 检查昇腾机器节点的显卡状态、显卡通信状态和交换机状态，以及带宽的压测值。可训练任务详情页查看具体信息。

本节介绍IAM授权。 概述 如果您需要针对不同资源，对用户设置不同的访问权限，以达到用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云资源的访问。 通过IAM，您可以为其他账号创建IAM用户，并使用策略来控制他们对云资源的访问范围。IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费，关于IAM的详细介绍，参见：统一身份认证。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用分布式容器云平台的其他功能。 注意 服务资源权限（IAM授权）仅针对注册集群、联邦、等系统资源有效，如果您需操作Kubernetes资源（如Deployment、Configmap和Service等），您还需配置Kubernetes集群内的RBAC权限，方可获得对应Kubernetes资源的操作能力。 概念 术语 说明 主账号 用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作，“拒绝”的优先级大于“允许”。 系统策略 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 数据权限 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。具体授权请参考：用户组授权统一身份认证。

本节主要介绍弹性文件服务的网络类常见问题。 是否支持跨VPC访问文件系统？ 支持。 SFS容量型文件系统：支持为SFS容量型文件系统配置多个VPC，以使归属于不同VPC的云服务器，只要所属的VPC被添加到文件系统的VPC列表下，或云服务器被添加到了VPC的授权地址中，则实际上归属于不同VPC的云服务器也能共享访问同一个文件系统。具体操作请参见配置多VPC。 SFS Turbo文件系统：支持通过虚拟私有云VPC的对等连接功能，将同区域的两个或多个VPC互连以使这些VPC互通，则实际上不同的VPC便处于同一个网络中，归属于这些VPC下的云服务器也能共享访问同一个文件系统。更多关于VPC对等连接功能信息请参见VPC对等连接。 弹性文件服务支持跨区域挂载吗？ 暂时不支持。文件系统只能挂载至同一区域的弹性云服务器上。例如：苏州的文件系统无法挂载至贵州的弹性云服务器上，只能挂载至苏州的弹性云服务器上。 VPC的安全组是否影响弹性文件服务的使用？ 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 为了确保SFS Turbo能够被您的弹性云服务器访问，在成功创建SFS Turbo后，系统将自动放通SFS Turbo中NFS协议需要的安全组端口，以免文件系统挂载失败。NFS协议所需要入方向的端口号为111、2049、2051、2052、20048。如您需要修改开放的端口，可以前往“网络控制台 > 访问控制 > 安全组”找到目标安全组进行修改即可。 推荐SFS Turbo实例使用单独的安全组，与业务节点隔离。 SFS容量型文件系统的安全组需要用户自行添加对应的入方向和出方向访问规则。SFS容量型文件系统中的NFS协议所需要入方向的端口号为111、2049、2051、2052。CIFS协议所需要的端口号为445，DNS服务器所需的端口号为53。 配置规则 入方向规则 方向 协议 端口范围 源地址 说明 :::::: 入方向 TCP&UDP 111 IP地址 0.0.0.0/0（可配置） 一个端口对应一条访问规则，所有端口信息需逐条添加。 出方向规则 方向 协议 端口范围 源地址 说明 :::::: 出方向 TCP&UDP 111 IP地址 0.0.0.0/0（可配置） 一个端口对应一条访问规则，所有端口信息需逐条添加。 说明 端口号111需要配置双向访问规则。入方向可配置为弹性文件服务的前端业务IP网段，可以通过ping 文件系统域名或IP 或dig 文件系统域名或IP 获取。 端口号445、2049、2050、2051和2052仅需要添加出方向访问规则，其规则同端口111的出方向规则。

本文主要介绍ELB的权限。 如果您需要对云上创建的弹性负载均衡资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云上资源的访问。详请请参见统一身份认证。 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云上资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ELB的使用权限，但是不希望他们拥有删除负载均衡器等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用负载均衡器，但是不允许删除负载均衡器的权限策略，控制他们对ELB资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ELB服务的其它功能。 ELB权限 默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ELB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该策略仅对此项目生效，如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ELB时，需要先切换至授权区域。 根据授权精度程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云上各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 ELB系统权限表 系统角色/策略名称 描述 类型 ELB FullAccess 操作权限：对弹性负载均衡服务的所有执行权限。作用范围：项目级服务。 系统策略 ELB ReadOnlyAccess 操作权限：对弹性负载均衡服务的只读权限。作用范围：项目级服务。 系统策略 常用操作与系统策略的关系 操作 ELB FullAccess ELB ReadOnlyAccess 创建负载均衡器 √ × 查询负载均衡器 √ √ 查询负载均衡器状态树 √ √ 查询负载均衡器列表 √ √ 更新负载均衡器 √ × 删除负载均衡器 √ × 创建监听器 √ × 查询监听器 √ √ 修改监听器 √ × 删除监听器 √ × 创建后端主机组 √ × 查询后端主机组 √ √ 修改后端主机组 √ × 删除后端主机组 √ × 创建后端主机 √ × 查询后端主机 √ √ 修改后端主机 √ × 删除后端主机 √ × 创建健康检查 √ × 查询健康检查 √ √ 修改健康检查 √ × 关闭健康检查 √ × 创建弹性公网IP × × 绑定弹性公网IP × × 查询弹性公网IP √ √ 解绑弹性公网IP × × 查看监控指标 × × 查看访问日志 × ×

本章节主要介绍如何快速创建一个云搜索集群。 云搜索集群为结构化/非结构化数据提供低成本、高性能及可靠性的检索、分析服务能力。在创建云搜索集群前，需要先创建虚拟私有云。 操作步骤 1、进入集群创建页面 方法一：登录翼MapReduce产品详情页，直接点击“立即开通”。 方法二：进入翼MapReduce产品一类节点资源池的产品控制台，点击“+创建集群”。 2、软件配置 进入“创建集群”页面进行配置与订购，软件配置页面如下图所示，参数说明如下： 区域集群与可用区：集群节点所在的物理位置，根据需要选择区域及可用区，也可以使用默认值。 业务场景：选择“云搜索”场景。 产品版本：选择使用的产品版本，默认值即可。 服务高可用：翼MapReduce默认启用服务高可用且不可关闭高可用模式。 可选服务：由可选组件和必选组件组成，根据业务场景而定。您可根据自身业务场景对可选组件进行选择。云搜索集群场景下默认可选组件如上图所示，浅蓝色表示必选。 3、硬件配置 软件配置选择完成后，点击“下一步”进入硬件配置页面。硬件配置页面如下图所示，参数说明如下： 计费模式：可选择计费模式，默认为包年/包月。 购买时长：可按需选择订购时长。 自动续费：可按需开启自动续费功能。 操作系统：可按需选择CTyunOS或麒麟系统。 注意 当前麒麟镜像为不提供license的免费公共镜像，license需要用户自行购买。天翼云将为客户辅助提供技术支持。 主机类型：可按需选择云主机或物理机。 CPU类型：可按需选择X86或ARM。 规格类型：可按需选择通用主机或国产化主机。 节点组：根据您自身需要选择集群节点规格及数量，包括对节点组类型、选项配置、云盘参数和性能的选择，可根据需要对core节点进行增加/删除。 企业项目：企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择翼MR集群的企业项目归属。仅支持选择用户有权限的企业项目。 虚拟私有云：不同虚拟私有云（VPC）网络之间的逻辑彻底隔离。请按需选择需要使用的虚拟私有云。如果目前没有VPC可以点击“创建虚拟私有云”跳转到虚拟私有云页面创建。 注意 1）集群和虚拟私有云需在同一企业项目下。 2）为保障网络互通，请选择与软件配置中所填数据库相同的虚拟私有云（VPC）。 子网：选择虚拟私有云后，子网可以根据需要进行选择。若所选子网已开通IPv6，可按需选择是否开启IPv6访问实例资源的功能。 安全组：设置集群内实例的网络访问控制。当前天翼云虚拟私有云安全组策略强安全要求，默认服务器内网互相不通，需要客户勾选安全组规则自动配置授权，翼MR会默认添加下述安全组中相关的规则。

操作场景 命名空间（Namespace）是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。 例如可以将开发环境、测试环境的业务分别放在不同的命名空间。 前提条件 至少已创建一个集群，请参见购买混合集群。 约束与限制 每个命名空间下，创建的服务数量不能超过6000个。此处的服务对应kubernetes的service资源，即工作负载所添加的服务。 命名空间类别 命名空间按创建类型分为两大类：集群默认创建的、用户创建的。 集群默认创建的：集群在启动时会默认创建default、kubepublic、kubesystem、kubenodelease命名空间。 − default：所有未指定Namespace的对象都会被分配在default命名空间。 − kubepublic：此命名空间下的资源可以被所有人访问（包括未认证用户），用来部署公共插件、容器模板等。 − kubesystem：所有由Kubernetes系统创建的资源都处于这个命名空间。 − kubenodelease：每个节点在该命名空间中都有一个关联的“Lease”对象，该对象由节点定期更新。NodeStatus和NodeLease都被视为来自节点的心跳，在v1.13之前的版本中，节点的心跳只有NodeStatus，NodeLease特性从v1.13开始引入。NodeLease比NodeStatus更轻量级，该特性在集群规模扩展性和性能上有明显提升。 用户创建的：用户可以按照需要创建命名空间，例如开发环境、联调环境和测试环境分别创建对应的命名空间。或者按照不同的业务创建对应的命名空间，例如系统若分为登录和游戏服务，可以分别创建对应命名空间。 创建命名空间 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。单击“创建命名空间”。 步骤 2 参照下表设置命名空间参数，其中带“”标志的参数为必填参数。 表命名空间基本信息 参数 参数说明 命名空间 新建命名空间的名称，命名必须唯一。 集群 新建命名空间属于哪个集群。 节点亲和 开启后，当前命名空间下所创建的工作负载只能调度到拥有特定标签的节点上。您可以在节点管理中通过标签管理为节点添加标签。 该参数仅在v1.13.10r0及以上版本的集群中显示。 命名空间描述 输入对命名空间的描述信息。 资源配额设置 资源配额可以限制命名空间下的资源使用，进而支持以命名空间为粒度的资源划分。 须知：建议根据需要在命名空间中设置资源配额，避免因资源过载导致集群或节点异常。 例如：在集群中每个节点可以创建的实例（Pod）数默认为110个，如果您创建的是50节点规格的集群，则最多可以创建5500个实例。因此，您可以在命名空间中自行设置资源配额以确保所有命名空间内的实例总数不超过5500个，以避免资源过载。 可设置配额的资源类型如下： CPU（Core） 内存（MiB） 有状态工作负载（StatefulSet） 无状态工作负载（Deployment） 普通任务（Job） 定时任务（CronJob） 实例（Pod） 服务（Service） 请输入整型数值，"0"表示不限制该资源的使用。 若您需要限制CPU或内存的配额，则创建工作负载时必须指定CPU或内存请求值。 步骤 3 配置完成后，单击“确定”。

本小节介绍证书管理服务权限管理。 如果您需要对天翼云上购买的证书管理服务（CCMS）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有证书管理服务（CCMS）的使用权限，但是不希望他们拥有删除CCMS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CCMS，但是不允许删除CCMS的权限策略，控制他们对天翼云CCMS资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CCMS服务的其它功能。IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 CCMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组/用户授予策略或角色，才能使得用户组/用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置权限，访问CCMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM提供的一种细粒度授权的能力，可以具体到服务的操作。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CCMS服务，管理员能够控制IAM用户仅能对CCMS进行指定的管理操作。 如下表所示，包括了CCMS所有系统角色。 角色名称/策略名称 描述 类别 依赖关系 ccms admin SSL证书管理服务管理员权限，拥有服务的所有权限。 系统策略 购买证书需要依赖bss admin策略、mkt admin策略。 bss admin策略：系统策略，订单费用中心（BSS）管理员，拥有该服务下的所有权限。 mkt admin策略：系统策略，营服中心管理员，拥有该服务下的所有权限。 ccms viewer SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书、csr、联系人、公司进行增删改权限。 系统策略 无 说明 如需购买SSL证书，账号除了必须拥有“ccms admin”之外，还需要拥有“bss admin”权限和“mkt admin”权限。

自动数据备份 支持将集群快照自动备份到EB级对象存储服务OBS（Object Storage Service）中，方便利用业务空闲期对集群做周期备份以保证集群异常后的数据恢复。 快照是DWS集群在某一时间点的完整备份，记录了这一时刻指定集群的所有配置数据和业务数据。 工具链 提供了数据并行加载工具GDS（General Data Service）、SQL语法迁移工具DSC（Database Schema Convertor）、SQL开发工具Data Studio，并支持通过控制台对集群进行运维监控。 集群逻辑架构 DWS集群逻辑架构如下图所示。实例的详细介绍请参见下表“集群架构说明”。 集群架构说明 名称 描述 说明 GTM 全局事务管理器（Global Transaction Manager），负责生成和维护全局事务ID、事务快照、时间戳等全局唯一的信息。 整个集群只有一组GTM：主、备GTM各一个。 WLM 工作负载管理器（Workload Manager）。控制系统资源的分配，防止过量业务负载对系统的冲击而导致业务拥塞和系统崩溃。 不同于集群中的实例（GTM、CM、CN、DN）模块，不需要在安装过程中指定主机名称。安装程序会自动在各主机上安装此模块。 CN 协调节点（Coordinator）。负责接收来自应用的访问请求，并向客户端返回执行结果；负责分解任务，并调度任务分片在各DN上并行执行。 集群中，CN有多个并且CN的角色是对等的（执行DML语句时连接到任何一个CN都可以得到一致的结果）。只需要在CN和应用程序之间增加一个负载均衡器，使得CN对应用是透明的。CN故障时，由负载均衡自动路由连接到另外一个CN。 当前分布式事务框架下无法避免CN之间的互连，为了减少GTM上线程过多导致负载过大，建议CN配置数目≤10个。 DWS通过CCN（Central Coordinator）负责集群内的资源全局负载控制，以实现自适应的动态负载管理。CM在第一次集群启动时，通过集群部署形式，选择编号最小的CN作为CCN。若CCN故障之后，由CM选择新的CCN进行替换。 DN 数据节点（Datanode）。负责存储业务数据（支持行存、列存、混合存储）、执行数据查询任务以及向CN返回执行结果。 在集群中，DN有多个。每个DN存储了一部分数据。集群部署常用方式为主备从高可用模式，若DN故障时导致该实例上的数据无法访问，可进行集群高可用操作，详情请参见。 Storage 服务器的本地存储资源，持久化存储数据。 集群的每个DN上负责存储数据，其存储介质也是磁盘。下图“数据库逻辑结构图”从逻辑上介绍了每个DN上都有哪些对象，以及这些对象之间的关系，其中： Database，即数据库，用于管理各类数据对象，各数据库间相互隔离。 Datafile Segment，即数据文件，通常每张表只对应一个数据文件。如果某张表的数据大于1GB，则会分为多个数据文件存储。 Table，即表，每张表只能属于一个数据库。 Block，即数据块，是数据库管理的基本单位，默认大小为8KB。 数据有三种分布方式，可以在建表的时候指定：REPLICATION、ROUNDROBIN 、HASH。 数据库逻辑结构图