云工作流支持创建标准和快速两种模式的工作流。 本文主要介绍快速工作流和标准工作流的特点和差异， 用户可根据这些内容的介绍针对业务流程选择不同模式的工作流。 基本概念 标准（Standard）工作流具备执行步骤状态的持久化存储，支持运行长时间的工作流执行状态流转，适用于传统意义上的离线业务流程编排执行场景 快速（Express）工作流适用于流程结构简单、需要低延迟执行的工作流场景， 适用于常见的在线业务流程编排和准实时业务流程编排场景，例如微服务API编排、流式数据处理等低延迟和大负载业务场景。 工作流模式对比 执行指标 标准工作流 快速工作流 最长执行时长 365天 5分钟 执行语义 异步执行，遵循至少执行一次（At least once）语义，支持持久化，但是在特殊条件下可能会导致数据被重复处理。 同步执行 执行历史 可通过API查询指定工作流执行历史、工作流执行详情。 可通过API查询指定工作流执行历史、工作流执行详情。 服务集成 云服务集成调用模式支持如下三种集成模式。更多信息，请参见服务集成模式。 请求响应模式（RequestComplete） 等待系统回调（WaitForSystemCallback） 等待任务令牌（WaitForTaskToken） 仅支持请求响应模式（RequestComplete）

本文主要介绍云工作流的一些基本概念， 方便在在云工作流使用过程中能够理解对应的术语。 一、云工作流 二、标准工作流 三、快速工作流 四、工作流集成 五、流程定义语言 六、数据传递 七、输入输出 八、错误处理 一、云工作流 云工作流（CloudFlow）是一种用于协调、管理和执行多个分布式任务的服务。在使用时， 可以基于Workflow Studio进行可视化的方式设计、编排工作流程，将不同的服务、API调用或者数据处理步骤组织成有序的工作流程。 二、标准工作流 标准（Standard）工作流具备执行步骤状态的持久化存储，支持运行长时间的工作流执行状态流转，适用于传统意义上的离线业务流程编排执行场景。更多信息，请参见标准工作流和快速工作流。 三、快速工作流 快速（Express）工作流适用于流程结构简单、需要低延迟执行的工作流场景， 适用于常见的在线业务流程编排和准实时业务流程编排场景，例如微服务API编排、流式数据处理等低延迟和大负载业务场景。 更多信息，请参见标准工作流和快速工作流。

参数 参数说明 云存储类型 极速文件存储：适用于多种使用场景，主要面向DevOps、容器微服务、企业办公等场景。 分配方式 使用已有存储 云存储名称：选择已创建的存储。 添加容器挂载 配置如下参数： 1. 子路径：输入文件存储的子路径，如：tmp。 Kubernetes中数据卷挂载的subpath，指引用卷内的子路径而不是其根，不填写时默认为根。现只支持文件存储，必须是相对路径，且不能以“/”或“../”开头。 2. 挂载路径：输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径，请不要挂载在系统目录下，如“ / ”、“ /var/run ” 等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限。 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。

如果您需要对天翼云上购买的运维安全中心实例资源进行管理，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并使用策略来控制对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有运维安全中心实例的使用权限，但是不希望员工拥有创建、变更规格、升级实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用实例，但是不允许创建、变更规格、升级CBH实例的权限策略，控制员工对实例资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用运维安全中心的其它功能。 运维安全中心实例权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBH实例部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北北京1）对应的项目（cnnorth1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBH实例时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对运维安全中心实例，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了运维安全中心实例的部分系统权限。 系统角色/策略名称 描述 类别 CBH FullAccess 运维安全中心实例的所有权限（支付权限除外）。 系统策略 CBH ReadOnlyAccess 运维安全中心实例只读权限，拥有该权限的用户仅能查看运维安全中心服务，不具备服务配置和操作权限。 系统策略 说明 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 如下表列出了CBH实例常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 CBH FullAccess CBH ReadOnlyAccess 创建运维安全中心 √ x 变更运维安全中心规格（变更规格） √ x 查询运维安全中心列表 √ √ 升级运维安全中心软件版本 √ x 查询ECS配额 √ x 绑定或解绑EIP √ x 重启运维安全中心 √ x 启动运维安全中心 √ x 关闭运维安全中心 √ x 查看运维安全中心可用区 √ x 检测当前配置是否支持创建IPv6运维安全中心 √ x 检测运维安全中心与License中心之间网络是否连通 √ x 修改运维安全中心网络，确保与License中心网络连通 √ x

本文介绍云容器引擎的产品优势。 云容器引擎是基于业界主流的Docker和Kubernetes开源技术构建的容器服务，提供众多契合企业大规模容器集群场景的功能，在系统可靠性、高性能、开源社区兼容性等多个方面具有独特的优势，满足企业在构建容器云方面的各种需求。云容器引擎的优点有：大幅提高线上业务的运维、弹性伸缩能力；大幅提高资源、设备及人力的利用率，降低成本；大幅提升产品、业务应用的研发效率。 管理简单 帮助用户屏蔽了底层技术架构，云容器引擎具有强大的集群管理功能，简单的操作流程。用户可自定义集群应用，只需进行简单的单击操作，即可完成业务部署，无需参与底层网络、存储等的技术设计，无需手动搭建docker及kubernetes集群，并进行证书、密钥等配置，减少技术人员的投入，节约人力成本。 云容器引擎平台为集群、应用、容器、网络、配置项、命名空间等丰富的集群资源提供了直观的界面化管理，简化了用户操作。用户可随时随地登陆，进行应用容器的生命周期管理，灵活的安排运行的应用业务，浏览当前具备的资源及业务运行状态，大幅降低了用户的管理成本、运维成本。 安全稳定 云容器引擎服务提供3个master主节点的高可用集群，去中心化式的集群架构，确保当单个主控节点出现问题时，集群也能够无中断的继续运行。相比用户自建的单主控节集群，业务稳定性与连续性大大提高。 云容器服务基于天翼云优秀的IAAS层基础架构搭建，成熟的虚拟化技术、优质的网络架构，以及多层次的安全防护能力，从底层确保了上层容器服务的稳定可靠性。用户可自定义安全组规则，进一步提高隔离水平。 伴随业务版本的快速迭代，云容器引擎服务提供了渐进式的滚动升级策略，搭配容器镜像服务，通过web界面一键完成应用版本升级，无忧实现业务平滑替换，提高业务连续性，保障优质的用户体验感。 云容器引擎提供集群、节点、容器多层面的状态监控，支持全时段的事件监控，应用日志查看，容器健康检查等功能，用户只需登陆容器引擎平台总览页面，即可将集群、网络、CPU、内存资源等信息尽收眼底，时刻把握集群情况，并快速定位故障发生原因，减少运维人力，提高运维效率。 轻松应对 云容器引擎提供了应用层级别的水平伸缩能力，即Horizontal Pod Autoscaling（HPA），支持用户自定义Pod伸缩策略，根据容器资源使用情况，自动快速调整Pod数量，及时应对用户业务流量变化，保障业务对外能力可用。 云容器引擎支持应用与节点、应用间的亲和、反亲和性质的调度策略配置，帮助用户实现节点负载的合理安排和组织，提高系统的稳定性、扩展性。提高各节点的资源利用效率。支持Pod级别迁移策略配置，当节点出现故障时可快速迁移应用。 开放兼容 云容器引擎服务深度整合了天翼云平台成熟的计算、存储、网络、安全等云产品功能，提高了系统的可扩展性。用户可集合平台提供的其它云产品能力，如云主机监控、存储管理等，进一步构建完善云上业务系统。 云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。云容器引擎基于业界主流Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区最新版本保持紧密同步，完全兼容Kubernetes API和Kubectl。 特色功能 镜像仓库：容器引擎为用户提供了配套的镜像仓库管理服务，支持创建仓库及镜像管理等基础功能，并为用户提供了丰富的官方镜像资源，覆盖面广，满足用户不同的业务需求，保障了镜像的可靠性与安全性。用户无需自行搭建和运维仓库，即可一键快速完成业务容器化部署，提高业务容器化效率。 天翼云平台为用户提供了专业的售后运营团队，全天候724小时服务。用户可通过工单、电话等渠道，对产品故障进行反应。团队将及时响应，并快速定位问题，解决客户的疑难杂症。

本章节通过简单的命名空间授权方法，将CCE服务的用户和用户组授予操作不同命名空间资源的权限，从而使用户和用户组在拥有对应的CCE集群标准权限的同时，又可以拥有对集群中命名空间的操作权限。设置流程如示例流程所示。 配置说明 您需要拥有一个帐号，有一个或若干个用户组和IAM用户。 本例将对用户和用户组授予操作不同命名空间资源的权限，在您的实际业务中，您可根据业务需求仅对用户或用户组授予不同的权限。 本例仅用于给用户或用户组在未授权过的命名空间下新增权限，已授权的用户或用户组的权限可以在“权限管理 > 命名空间权限”的列表“操作”栏中单击“编辑权限”进行修改。 当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）；为用户组设置的权限将作用于用户组下的全部用户。 约束与限制 kubernetes RBAC的授权能力支持1.13及以上版本集群。 在v1.11.7r2版本的集群中默认开启RBAC功能，若需使用RBAC功能请将集群升级至v1.11.7r2或以上版本。升级方法请参见升级集群。 示例流程 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离，使得它们既可以共享同一个集群的服务，也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群，用于多种工作用途，满足多用户的使用需求。 本章节将沿用创建用户并授权使用CCE中创建的IAM用户“James”和用户组“开发人员组”进行示例，为IAM用户“James”和用户组“开发人员组”添加命名空间权限，可以参考如下操作： 步骤一：为IAM用户/用户组添加命名空间权限 本步骤将在CCE控制台中为IAM用户“James”以及用户组“开发人员组”授予某个集群命名空间下资源的操作权限，设置如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“权限管理”，进入权限管理页面。 步骤 2 单击“命名空间权限”页签，在命名空间权限列表右上方选择要添加授权的集群，单击“添加授权”按钮，进入添加授权页面。 步骤 3 在添加授权页面，确认集群名称，选择该集群下要授权使用的命名空间，此处选择“default”。 步骤 4 单击“添加用户权限”，为“开发人员组”增加“admin”权限，在展开的选项中进行如下配置： 用户/用户组：选择“用户组”，并在二级选项中选择“开发人员组”。 权限：选择“admin”。 单击“添加用户权限”可继续增加其他用户或用户组，并赋予相应的权限。 步骤 5 单击下方的“添加命名空间权限”，为用户“James”增加在另一个命名空间“monitoring”的权限，在展开的选项中进行如下配置： 命名空间：选择“monitoring”。 用户/用户组：选择“用户”，并在二级选项中选择“James”增加。 权限：选择“view”。 步骤 6 单击“创建”，完成以上用户和用户组在命名空间中的相应权限设置。 说明： 经过以上操作，授权结果如下： 由于“开发人员组”包含IAM用户“James”，因此IAM用户“James”也同时获得了在命名空间“default”的“admin”权限。 为IAM用户“James”增加了在命名空间“monitoring”的“view”权限。 步骤二：用户登录并验证权限 使用IAM用户“James”登录云容器引擎控制台，验证授予的命名空间权限，验证步骤如下： 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户James时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，进入CCE控制台，对IAM用户James的命名空间权限进行验证。

本章节介绍ECS应用实例的全生命周期管理 概述 本章节介绍ECS应用实例的发布、回滚、启动、停止、重启、重置、删除应用等全生命周期管理。 发布应用 在ECS应用实例创建或ECS应用实例需要重新发布后，您可以点击应用总览页面上的发布应用实例进行部署发布。 如果您发布的应用实例需要升级，您可以点击版本信息页签的操作列发布来升级应用版本。 回滚应用 如果应用实例在升级之后发现有异常，需将应用回滚之前的部署版本时，需在应用总览页面右上角单击回滚应用来回滚应用版本。 启停应用 当应用处于运行状态时，可以根据业务需求停止应用，应用停止后将暂停应用实例的计费和计量 。应用内必须至少包含 1 个应用实例时，才能进行应用启停操作。 启停应用会使所有应用实例都随之一起启停。当应用实例大于1个时，启停应用实例只会影响本应用实例的运行状态；当应用实例只有1个时，启停应用实例会使应用随之启停。 注意 应用停止时，如果应用已绑定私网/公网负载均衡或接入微服务治理和应用监控，所依赖的产品或者服务依然处于计费状态。 启停应用 在应用总览页面右上角单击启动/停止来启停应用。 启停应用实例 您可以在应用总览页面的实例部署信息页签内，单击单个应用实例的启动/停止来启停应用实例。 您可以在应用总览页面的实例部署信息页签内，先勾选多个应用实例，然后单击批量启动/批量停止来批量启停应用实例。

本节介绍如何查看API资产数及防护情况。 API总览页面展示API防护整体情况，包括API资产统计、API风险统计等。 前提条件 已开通Web应用防火墙（原生版）实例企业版或旗舰版。 防护对象列表 页面左侧展示所有防护对象信息，统计已接入的对象个数（不包括泛域名、ELB防护对象）。 支持选择“所有防护对象”或选择单个域名站点，查看统计信息： 选择“所有防护对象”，页面右侧展示全局防护统计信息。 选择单个域名站点，页面右侧展示单个域名站点统计信息。 资产统计 统计单个域名/所有域名下的资产统计信息，包含总资产数、活跃API接口分布、近七天访问IP数、近七天威胁事件数。 总资产数：展示总资产个数和七日内新增资产数。 活跃API接口分布：展示所选域名下活跃访问、低频访问、失活的API资产分布占比情况（饼状图）。 近七天访问IP数：展示所选域名近7天访问IP总数和近14天的访问趋势（柱状图），并统计日访问量。 近七天威胁事件数：统计所选域名下近7天威胁涉及API的威胁事件数量和近14天威胁事件日趋势（柱状图），并统计攻击占比（攻击占比指所有攻击事件数/正常业务事件数，不包含因为带宽原因被屏蔽的部分）。

本文介绍精准访问控制如何设置生效时间。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 为了保证用户业务使用的灵活性，例如部分敏感地址仅允许在系统维护时间范围内短暂的访问等，从而对业务的访问策略能够进行精细化的防护和控制，系统允许创建精准访问控制规则时，可以选择让该规则永久生效，或定义失效时间。可以通过规则列表控制规则是否开启，自定义控制规则生效的时间段。 设置精准访问控制策略的流程和步骤如下： 操作流程 操作步骤 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防护配置 > 对象防护配置”。 3. 在“安全防护”页签定位到“精准访问控制”模块，选择自定义防护规则，单击“前去配置”。 4. 新建/编辑防护规则。 5. 设置过期时间。 6. 单击“保存”，保存配置。 即可完成精准访问控制的生效时间设置。

本节介绍如何使用内容安全检测服务。 Web应用防火墙提供内容安全检测服务，基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、涉政、惊悚、违禁广告等敏感违规内容，并提供文本内容纠错审校（错别字、生僻字、语法表述不当等有违准确性内容）。并提供专业检测报告助您自纠自查，降低内容违规风险。 使用须知 购买内容安全检测服务后，系统立即执行检测。 检测过程中，不支持修改检测域名、暂停任务、退费等操作。 确定网站检测配额。 “检测类型”选择“内容安全单次检测（按需）”时，下单后的7个工作日内出报告。 “检测类型”选择“文本安全监测（按月/按年）”时，下单后的检测周期（1个月）后的7个工作日内出报告。 10个工作日内检测完成。 步骤一：购买内容安全检测 购买内容安全检测，配置“检测类型”和“检测对象”，可对“检测对象”对应的文本类型进行安全检测。 支持批量购买内容安全检测，可一次输入一个或多个“检测对象”进行安全检测。购买步骤详见订购内容安全检测。 注意 检测任务创建后，一次性扣费，不支持修改和暂停任务，请您仔细核对检测信息。

本文介绍如何下载日志。 当日志超过热日志分析上限时，系统将自动对超出部分执行归档操作。 日志归档周期：每日凌晨2点自动归档一次。 归档日志存储时间：180天。 下载归档日志 说明 文件生成时间与文件中日志起始时间可能存在较大差异，若选择文件时间内未找到目标时间日志，可下载与目标时间相邻的文件。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理归档日志”。 5. 查询日志： 选择模式：支持选择“云SAAS模式”、独享型实例。 日志文件名称：支持模糊搜索文件名称。 归档时间：根据选择的时间范围过滤文件归档时间。 6. 查看日志文件列表。 参数 说明 日志文件名称 根据归档文件生成时间命名的文件。 日志时间 显示该归档文件内日志的起止时间。 归档时间 显示文件的归档时间。 日志条数 当前文件内归档的日志条数。 文件大小 显示文件的大小。 文件类型 显示文件的类型，攻击日志或访问日志。 7. 下载日志：单击操作列的“下载”，下载对应日志文件。 选择“云SAAS模式”，支持下载对应归档文件。 说明 归档日志文件类型目前仅有“攻击日志”提供下载。 选择独享型实例，仅支持查看日志归档记录，不支持下载归档文件。

本节介绍如何为防护域名开启IPv6防护。 如果需要对网站的IPv6请求流量进行防护，可以在域名接入WAF时开启IPv6功能。开启IPv6功能后，所有IPv6请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量转发给源站，实现恶意流量的拦截。 约束限制 IPv6功能仅支持在添加域名时配置，完成域名接入后IPv6配置无法修改，若需要修改，需要先删除已接入的域名，然后再重新接入域名。 若您的域名接入时未开启IPv6功能，后续需要开启IPv6请求防护时，需要重新接入域名。 若您的域名接入时开启了IPv6功能，如需关闭IPv6请求防护，需要重新接入域名。 基础版不支持开启IPv6功能，若需要防护IPv6流量，请购买标准版、企业版或旗舰版。 开启IPv6防护 域名首次接入WAF防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 点击“添加防护对象”进入域名接入信息配置页，打开IPv6开关，其余参数说明及操作请参见添加防护对象。

本小节介绍Web应用防火墙产品优势。 灵活的部署与应用方式 通过DNS解析方式接入，不需要安装任何软件，更不需要修改网站的任何代码，光速生效，一键启停，方便快捷。 灵活回源支持 WAF可以在云防护节点将HTTPS业务流量转化为HTTP业务流量回源，降低源站负载消耗，优化业务性能。 实时更新、智能学习的安全资料库 中国电信每天都在主动收集来自全世界的网站攻击手段、最新漏洞、补丁信息等安全资料，会比用户网站更早发现各类安全问题和攻击手段。一旦被认定为未知的安全问题和新型攻击手段，云防护平台将会自动更新所有安全节点的防护规则和监测范围，使所有加入云防护的网站免受未知攻击、漏洞等的危害。另外还会定期学习用户网站访问日志，不断细化为每一个网站量身定制的安全规则，无需用户人工干预，完善用户网站安全。 服务应急响应指标 网站安全防护服务为您提供7×24小时的专家团队技术支持，具备完善的故障监控、自动告警、快速响应等一系列应急响应机制。 专家级定制化安全报告 权威规则库，覆盖各类主流Web入侵类型，专业攻防团队实时更新防护系统。 特殊行为防护主动激励 主动识别绕过标准检测方法的恶意程序，在它们造成破坏之前减轻威胁。

本节主要介绍应用发现最佳实践 概述 应用发现是指AOM通过配置的规则发现和收集云主机上部署的应用和关联的指标。可在“应用监控”界面和“监控概览”界面查看发现的应用和应用对应的指标数据。 应用和组件的对应关系如下： 组件: 完成某项业务的最小工作单元（可以是微服务、容器进程或者普通进程）。 应用: 一个完整的业务模块，由多个组件组成。 在配置完应用发现之后，可以使用AOM监控应用的各项指标，关联应用对应的资源告警等，主要特性与场景如下： 提供应用与组件、组件与组件实例、应用与主机的关联关系。 提供组件与日志的关联搜索能力。 提供组件级别的指标汇聚查询能力（获取所有组件实例汇聚后的结果）。 配置步骤 1.配置应用发现规则 点击左侧导航栏>配置管理>应用发现>右上角点击添加自定义应用发现规则。 2.查看应用状态 a)在左侧导航栏中选择“监控 > 应用监控”。 b)单击应用名称查看应用下面相关资源与组件信息。 c)在“组件列表”页签查看应用下面组件列表。 d)单击“主机列表”可以查看当前应用所关联的主机信息。 e)单击“告警分析”查看当前应用相关告警内容。

本节主要介绍应用场景 巡检与问题定界 日常运维中，遇到异常难定位、日志难获取等问题，需要一个监控平台对资源、日志、应用性能进行全方位的监控。 AOM深度对接应用服务，一站式收集基础设施、中间件和应用实例的运维数据，通过指标监控、日志分析、服务异常报警等功能，支持日常巡检资源、应用整体运行情况，及时发现并定界应用与资源的问题。 优势 应用自动发现：自动部署采集器，针对应用的运行环境，主动发现应用并进行监控。 跨云服务的分布式应用监控：对于同时使用了多种云服务的分布式应用，提供统一的运维平台，便于您对业务进行立体排查。 告警灵活通知：提供多种异常检测策略并支持丰富的异常告警触发方式。 巡检与问题定界 立体化运维 您需全方位掌控系统的运行状态，并快速响应各类问题。 AOM提供从云平台到资源，再到应用的监控和微服务调用链的立体化运维分析能力。 优势 体验保障：实时掌控业务KPI健康状态，对异常事务根因分析。 故障快速诊断：分布式调用追踪，快速找到异常故障点。 资源运行保障：实时监控容器、磁盘、网络等上百种资源运维指标 集群>虚机>应用>容器异常关联分析。

1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、单击待操作的Nacos引擎实例名称。 4、在左侧导航栏选择“配置管理 > 配置列表”。 5、在“命名空间”下拉框中选择命名空间，在“命名空间ID”框中自动填充ID。 说明 当选择的命名空间为“public”即保留空间，其命名空间ID默认为空。 6、单击“创建配置”在弹出框中输入如下配置项参数，带的参数项为必填参数。 表 配置项参数 配置项 参数说明 配置集ID 配置集ID是组织划分配置的维度之一。Data ID通常用于组织划分系统的配置集。一个系统或者应用可以包含多个配置集，每个配置集都可以被一个有意义的名称标识。Data ID通常采用类Java包的命名规则保证全局唯一性。此命名规则非强制。 配置分组 Nacos中的一组配置集，是组织配置的维度之一。 命名空间 创建配置所属的命名空间。 配置格式 Nacos支持YAML、Properties、TEXT、JSON、XML、HTML等常见配置格式在线编辑。默认为：TEXT。 配置内容 输入配置内容。 说明 配置内容不大于100KB，如配置内容过大，请将此配置拆分成多个小配置。 描述 可自定义输入描述。 所属应用 输入所属应用名称。 标签 输入标签。 7、单击“发布”创建完成。

排查思路 确认数据库实例状态 ： 通过文档数据库服务控制台检查文档数据库服务实例是否运行正常。 验证连接字符串 ： 检查连接字符串是否正确，包含正确的主机名（或IP地址）、端口号、用户名和密码等信息。 检查网络连接 ： 确保你的网络连接正常，尝试访问其他网站或服务来验证网络是否工作正常。 检查安全组和防火墙规则 ： 确保安全组和防火墙规则允许与DDS实例相关的端口通过，特别是如果涉及公网访问。 验证SSL配置（如果使用） ： 如果连接使用SSL方式，首先通过文档数据库服务控制台基本信息查看SSL是否开启，并且上传证书到ECS。 连接命令如下: sh ./mongo ssl host port u p authenticationDatabase sslCAFile sslAllowInvalidHostnames 其中，各参数的含义如下： ssl: 启用 SSL 连接。 host : 指定 MongoDB 数据库的主机名或 IP 地址。 port : 指定 MongoDB 数据库的端口号。 u : 指定用于认证的 MongoDB 用户名。 p: 表示在命令行中输入密码。在输入该命令后，系统会提示您输入 MongoDB 用户的密码。 authenticationDatabase : 指定认证所使用的数据库。在这里指定为认证用户所在的数据库。 sslCAFile : 指定 SSL 连接时的 CA（Certificate Authority）文件的路径。该文件用于验证服务器端证书的合法性。 sslAllowInvalidHostnames: 允许连接到 SSL 服务器时不验证服务器的主机名。这个选项用于在连接时忽略 SSL 证书中的主机名不匹配错误。 需要将 、 、 、 和 替换为实际的 MongoDB 数据库的主机名、端口号、用户名、认证数据库和 SSL CA 文件的路径。 确认用户权限 ： 确保使用的用户名和密码具有连接到文档数据库服务实例的权限。 尝试使用其他客户端工具 ： 如果连接失败是由于客户端工具问题，尝试使用其他客户端工具进行连接，以排除客户端工具本身的问题。 查看错误日志 ： 检查连接失败时产生的错误日志或错误消息，这些信息可能有助于找到问题的原因。 检查连接数和资源使用情况 ： 确认文档数据库服务实例的连接数是否达到上限，以及磁盘和CPU的使用情况是否正常。 验证内网/公网访问配置 ： 对于内网访问，确认文档数据库服务和ECS实例是否在同一区域和VPC，且正确配置安全组和白名单，如果不在同一VPC，检查VPC对等连接配置。 对于公网访问，确保ECS和文档数据库服务实例的安全组、白名单以及网络ACL规则允许相应端口通过，并验证ECS是否能够ping通文档数据库服务实例地址的端口。 排除其他因素 ： 排除可能影响连接的其他因素，例如阻塞的进程、资源竞争等。

本节主要介绍智能视图服务的网关接入功能概述。 网关概述 功能特性 方便快捷，批量接入：局域网内设备无需修改设备网络配置，可通过网关批量上云。 更加广泛的接入适配：视频监控网关支持主流视频厂商私有SDK协议、ONVIF标准协议的视频设备接入。 使用流程 智能视图服务网关功能的使用流程如下图所示： 本地网关部署 环境要求 网关软件当前只支持X86架构服务器，环境要求如下： 配置要求 接入规格 CPU 内存 硬盘 操作系统 Docker服务 出网带宽 推荐配置 可接入100路视频通道 4核 8GB 200GB 系统内核版本不低于：Linux 3.10.01160.83.1.el7.x8664 Docker 版本不低于：version 20.x.x 1000Mbps（按10Mbps/路估算，以实际需求为准） 部署机器网络配置要求：可以访问公网，如果存在防火墙且双向流量存在限制，则需进行放行，允许边缘接入网关可以访问公网。已开通智能视图的客户如有接入需求，请联系客户经理进行线下沟通申请。

本节介绍云安全中心的威胁建模功能，通过关联分析规则，匹配威胁源是否满足告警条件。 可以通过关键字、快捷方式、规则类型和标签查询威胁建模规则。 用户初次订购时会复制所有的威胁建模模板，并开启对应的威胁建模规则（如：租户订购了Web应用防火墙原生版，集成配置开启开关，则会开启对应的威胁建模规则）。 新建规则 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“威胁运营 > 威胁检测 > 威胁建模”。 3. 单击“新建”。 4. 基本信息填写，带有的为必填项。 5. 选择规则类型和规则模板后，还需要配置原始告警源、时间窗口、告警配置等。其中时间窗口需要在2小时以内。 6. 配置完成后，单击“保存”。列表中可以看到新建的规则。

本文教你如何停用域名。 背景说明 如果客户的网站因业务变更需要停止防火墙服务，客户可以通过控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云边缘云会将加速域名的CNAME解析至客户源站地址；3天后，天翼云边缘云会将加速域名的CNAME解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地边缘节点址失效，此时域名请求如果仍访问至，则会响应403。 注意事项 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

参数 类型 是否必传 名称 描述 producttype list< string > 否 产品类型列表 默认全部产品，作为统计过滤项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list< string > 否 域名列表 默认名下所有域名，可多个域名 starttime int 是 开始时间戳 单位秒 endtime int 是 结束时间戳 单位秒 interval string 否 时间粒度 目前仅支持5分钟 province list< int > 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看 isp list< string > 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看

本文介绍准入管控的功能和配置方法。 功能说明 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 配置说明 主要常用策略条件如下： 是否开启指定软件：如内置防火墙是否开启、是否运行指定的杀毒软件等。 访问行为是否异常：根据用户平时行为进行记录分析，判断是否存在异常，如是否在异常时间登录、异常地点、异常的访问IP地址等。 终端环境是否符合企业要求：根据设定的终端环境条件进行判断，如mac地址、IP地址、访问地点、访问时间等。 支持配置对应的策略生效范围，可选按用户范围，按组织范围，按用户组范围三种模式进行范围圈选。 支持配置对应的策略处置动作，若检测到策略范围内的账号匹配到对应的准入管控策略，将实时下发处置动作到对应账号设备。 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服进行处理。

本节介绍跨区域互联的开通说明和开通步骤。 产品定义 跨域互联可为客户提供同租户下不同VPC相同资源池或跨资源池互通的能力。 应用场景 场景1：同一租户下A资源池VPC1与VPC2互通。 场景2：同一租户下A资源池VPC1与B资源池VPC1互通（需要开通跨域带宽）。 使用限制 在开通跨域互联前需确认：需互通的资源池和虚拟私有云（vpc）的相关信息。VPC开通详情可查看“管理虚拟私有云”的相关操作指引。 注意 所有互通的VPC子网不可重叠，且跨域互联只能绑定同一个租户下的VPC。 跨域互联开通步骤 （1）创建跨域互联 （2）加载其他VPC或者子网 （3）开通跨域带宽并设置域间带宽 （4）设置桌面安全组与Windows防火墙

服务名称 服务类别 关联与区别 防护对象 态势感知（专业版） 安全管理 态势感知（专业版）着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 AntiDDoS流量清洗（AntiDDoS） 网络安全 AntiDDoS集中于异常DDoS攻击流量的检测和防御，相关攻击日志、防护等数据同步给态势感知（专业版）。 保障企业业务稳定性。 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略，相关告警、防护等数据同步给态势感知（专业版）。 保障主机整体安全性。 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。相关入侵日志、告警数据等同步给态势感知（专业版），呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计，相关审计日志、告警数据等同步给态势感知（专业版）。 保障云上数据库安全和资产安全。

本章节介绍如何配置熔断规则 配置熔断规则 熔断规则可以监控应用程序内部或下游依赖的响应时间或异常情况，并在达到指定的阈值时立即降低下游依赖的优先级。在指定的时间内，系统将不会调用该不稳定的资源，以确保应用程序的高可用性。当指定时间过后，再重新恢复对该资源的调用。这样可以保证应用程序的稳定性和可靠性。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用之后，新建熔断规则：在左侧导航栏，单击流量防护，在流量防护 规则管理 熔断规则页，单击新增熔断规则按钮。 5. 在新增熔断规则或新增规则的对话框中配置规则信息。 使用场景 常用场景 1 ：慢调用熔断示例 为了保证当前接口的性能，如果出现第三方服务的响应时间过慢，则会对其进行熔断操作。 常用场景 2 ：异常熔断示例 为了保证更好的用户体验，如果第三方内容展示出现异常，且异常比例较高，则会对其进行熔断操作。 常用场景 3 ：熔断个数 如第三方异常个数达到指定数量，则会对其进行熔断操作。

本文主要介绍云日志服务的售前常见问题。 什么是云日志服务？ 云日志服务是天翼云打造的一款云原生日志观测分析平台产品，可为应用的海量日志数据提供大规模、低成本、集中式的平台化服务，具备一站式的日志采集、加工、查询分析、可视化、告警、投递消费等能力，全面满足应用研发、运维、服务监控与业务分析等应用场景。 云日志服务包含什么功能? 日志采集：支持从云主机、容器应用、微服务应用以及其他组件中采集日志。采集规则支持动态配置，提供单行/多行全文、正则、分隔符、JSON等日志结构化解析方式。 日志检索：对于采集到的日志数据，支持模糊查询、全文查询、字段查询、时间范围、上下文查询。 统计分析：支持各类统计分析场景。 数据加工：支持对日志数据进行加工，包括数据的规整、脱敏和过滤。 日志转储：支持日志数据投递转储至对象存储。 日志告警：支持对一个或多个日志单元设置自定义告警规则，告警规则将按照设定的周期执行监控任务。 如何开始使用云日志服务？ 在使用云日志服务前，您需要完成天翼云账号注册并实名认证。完成实名认证后，打开产品详情页，点击【立即开通】，按照指引开通云日志服务。详情请查看快速入门。

前置网络协议与安全环境限制 协议与认证强制要求 ：不支持 Windows 身份认证方式，仅支持 SQL Server 身份认证。不支持 TLS 1.0 和 TLS 1.1 协议的同步，必须将源库升级到 TLS 1.2 及以上版本。 TDE透明数据加密 ：不支持迁移源数据库中开启了 TDE（透明数据加密）的数据库，若需迁移，必须在配置迁移任务前将其彻底关闭。同时，也不支持列加密。 操作须知 DTS迁移过程一般包含四个阶段：预检查阶段、结构迁移阶段、全量阶段、增量阶段。为了确保数据迁移各个阶段的平顺，在创建迁移任务前，请务必阅读以下使用须知。 如迁移对象为表级别，则单次迁移任务仅支持迁移最多3000张表。当超出数量限制，任务会在提交后会请求报错。如果遇到这种情形，建议您拆分待迁移的表，分批配置成多个任务，或者配置为整库迁移。 目标库关联RDS数据库的字符集必须与源数据库一致。 目标库若已存在行数据，DTS在增量迁移过程中源库相同主键的数据将覆盖目标库已存在的数据，因此在迁移前需要用户自行判断数据是否需要清除，建议用户在迁移前自行清空目标库。 目标实例及关联RDS实例的运行状态必须正常，若关联RDS实例是主备实例，复制状态也必须正常。 目标库关联RDS实例必须有足够的磁盘空间，建议至少为待迁移数据量的2.5倍。（全量数据迁移会并发执行 INSERT 操作，导致目标数据库的表产生碎片，因此全量迁移完成后目标数据库的表存储空间会比源实例的表存储空间大）。 SQL Server的TIMESTAMP类型字段不能显式赋值，只能自动生成，所以目标库库的TIMESTAMP值自动生成，跟源库的字段值存在差异。 增量迁移时，CDC机制会在源库的cdc这个schema下产生一些数据库对象，请勿操作，否则影响增量迁移/同步。 在任务启动、任务全量迁移阶段，不建议对源数据库做删除类型的DDL操作，这样可能会引起任务迁移失败。 迁移过程中，不允许修改、删除连接源和目标数据库的用户的用户名、密码、权限，或修改源和目标数据库的端口号。 迁移过程中，不允许对源库需要迁移的表结构进行修改。 选择表级对象迁移时，增量迁移过程中不建议对表进行重命名操作。 增量迁移场景下，不支持源数据库进行恢复操作。 增量迁移场景下，不支持无主键表的数据增量迁移，因为无主键表的增量迁移性能远低于有主键的表，而且不能保证数据的一致性。 如果开启 CDC 的表需要写入的单字段数据长度超过 64KB，由于 CDC 作业默认最大处理长度限制，必须提前在源库执行 exec spconfigure 'max text repl size', 1; 命令进行配置调整，否则会导致同步失败或截断。 CDC 组件默认仅保留 3 天数据，若源库单表日均变更超千万条，建议使用 spcdcchangejob 命令将保留时间调整为 1440 分钟（24小时）或更长。 极端场景下，开启 CDC 的表数量不建议超过 1000 张，否则极易导致任务延迟或运行不稳定。聚集列存储索引表不支持开启 CDC。 待同步的表不仅需要有主键，还需要具备聚集索引且包含主键列；已经开启 CDC 的表不支持进行任何主键相关的变更，增量同步期间不支持重建索引操作，否则会造成数据丢失。 切勿使用 sprename 命令修改对象名称，应直接使用 ALTER 命令，否则会导致任务运行失败。 全量迁移运行期间，建议将源库的事务处理模式启用 READCOMMITTEDSNAPSHOT（已提交读隔离），防止产生的共享锁影响业务正常写入。 在业务正式切换到目标实例前，务必手动结束该同步任务，或者回收 DTS 账号在目标库的写权限。避免任务意外自动恢复后用旧数据覆盖目标端新业务数据。 sys.sysservers视图的srvname字段与SERVERPROPERTY函数返回值保持一致。 若单次同步任务中开启CDC的表数量大于1000，则预检查会失败。 日志备份模式与全量物理备份前提：为保证增量同步正常进行，源库的数据日志必须开启，且备份模式必须设置为 Full。

本文帮助您快速熟悉虚拟私有云VPC的创建。 操作场景 当需要为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境时，首先要申请虚拟私有云。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在“虚拟私有云列表”界面，单击“创建虚拟私有云”。 5. 在“申请虚拟私有云”页面，根据界面提示配置参数。 参数 说明 取值样例 资源类型 创建VPC支持两种资源类型： （1）VPC：包含VPC、子网、网关等基本网络要素配置 （2）VPC和扩展选项：除了VPC基本网络要素配置之外还可以创建ZOS终端节点、关联DHCP选项集。通过ZOS终端节点可以实现内网对ZOS的便捷访问。 VPC 名称 VPC名称 VPC001 VPC网段(IPv4) VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。建议使用网段：10.0.0.0/828、172.16.0.0/1228、192.168.0.0/1628。如果要使用其他网段，请参考VPC网段和扩展网段。 192.168.0.0/16 VPC网段（IPv6） 是否分配虚拟私有云VPC的IPv6地址，仅部分可用区资源池支持为VPC开启IPv6，不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 开启 IPv6地址类型 开启IPv6的情况下，显示此选项，默认仅支持中国电信单线。 中国电信单线 VPC IPv6地址段 开启IPv6的情况下，显示此选项。 自动分配: 系统会在客户选定的IPv6地址类型中自动分配一个56位的可用网段。 手动分配：您可以输入十进制数字，来自定义VPC的IPv6网段。 IPv6地址类型为中国电信单线时，仅支持自动分配。 自动分配 企业项目 可以为VPC实例关联企业项目 project1 VPC描述 备注信息 测试VPC 子网配置 子网类型 普通子网：默认选项，此类子网中可以用于创建除标准裸金属服务器外的资源，推荐选择； 标准裸金属子网：仅支持创建标准裸金属服务器和虚拟IP，仅部分可用区资源池支持此选项；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 普通子网 子网名称 子网的名称 Subnet001 子网网段(IPv4) 子网的地址范围，需要在VPC的地址范围内 192.168.0.0/24 网关(IPv4) 子网的网关，默认为子网内第一个可用IP。 对于可用区资源池，网关地址默认为.1,不可以指定其他地址（部分可用区资源池指定其他地址；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准）。 对于地域资源池，网关地址默认为.1,可以指定其他地址。 192.168.0.1 DHCP(IPv4) 子网的DHCP地址，仅部分可用区资源池支持指定；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 192.168.0.2 子网IPv6网段 开启IPv6功能后，将自动为子网分配IPv6网段，但您不能选择IPv6地址范围 开启 子网IPv6地址段 子网开启IPv6的情况下，显示此选项。 自动分配: 系统会在客户选定的IPv6地址类型中自动分配一个56位的可用网段。 手动分配：您可以输入十进制数字，来自定义VPC的IPv6网段。 IPv6地址类型为中国电信单线时，仅支持自动分配。 仅部分可用区资源池支持此选项；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 自动分配 DNS服务器地址 部分可用区资源池默认值为100.95.0.1，该地址为天翼云DNS服务的地址，支持解析内网域名和公网域名；其他资源池默认值为114.114.114.114、8.8.8.8 100.95.0.1 子网描述 备注信息 测试子网

本文介绍了虚拟私有云的权限内容。 如果您需要对天翼云上创建的VPC资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权来控制员工对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有VPC的使用权限，但是不希望员工拥有删除VPC等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPC，但是不允许删除VPC的权限，控制员工对VPC资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可忽略本章节，不影响您使用VPC服务的其他功能。 VPC权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPC部署时通过物理区域划分。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPC服务，管理员能够控制IAM用户仅能对某一类网络资源进行指定的管理操作。 下表是VPC的所有系统权限。 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖云日志服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 下表是VPC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 VPC ReadOnlyAccess VPC Administrator VPC FullAccess 创建VPC × √ √ 修改VPC × √ √ 删除VPC × √ √ 查看VPC √ √ √ 创建子网 × √ √ 查看子网 √ √ √ 修改子网 × √ √ 删除子网 × √ √ 创建安全组 × × √ 查看安全组 √ × √ 修改安全组 × × √ 删除安全组 × × √ 添加安全组规则 × × √ 查看安全组规则 √ × √ 修改安全组规则 × × √ 删除安全组规则 × × √ 创建网络ACL × √ √ 查看网络ACL √ √ √ 修改网络ACL × √ √ 删除网络ACL × √ √ 添加网络ACL规则 × √ √ 修改网络ACL规则 × √ √ 删除网络ACL规则 × √ √ 创建对等连接 × √ √ 修改对等连接 × √ √ 删除对等连接 × √ √ 查询对等连接 √ √ √ 接受对等连接 × √ √ 拒绝对等连接 × √ √ 创建路由表 × √ √ 删除路由表 × √ √ 修改路由表 × √ √ 将路由表关联至子网 × √ √ 添加路由 × √ √ 修改路由 × √ √ 删除路由 × √ √ 创建VPC流日志 × √ √ 查看VPC流日志 √ √ √ 开启/关闭VPC流日志 × √ √ 删除VPC流日志 × √ √ 创建IP地址组 × √ √ 将IP地址组关联至资源 × √ √ 将IP地址组和资源解除关联 × √ √ 在IP地址组内添加IP地址条目 × √ √ 删除IP地址组内的IP地址条目 × √ √ 修改IP地址组 × √ √ 删除IP地址组 × √ √ 说明 对于企业项目用户，您可以对属于该企业项目的资源进行权限范围内的操作。

个性化数据访问 细粒度权限管控允许为不同用户或角色定制数据访问视图。例如，在一个销售系统中，销售人员可能只需要访问客户的基本信息，而经理则可以查看更详细的销售记录和分析数据。这种个性化的权限配置提高了工作效率。 多租户环境 在多租户环境中，细粒度权限管控能够有效隔离不同租户的数据，确保每个租户只能访问自己的数据。即使多个租户共享同一个搜索引擎集群，他们的数据依然能够得到严格的保护。 最小权限原则 细粒度权限控制支持最小权限原则（Principle of Least Privilege），确保用户仅能访问其工作所需的最小数据范围，从而减少潜在的安全风险。 技术实现与应用 管理员可以通过 OpenSearch 的安全模块，使用文档级别安全（DocumentLevel Security, DLS）和字段级别安全（FieldLevel Security, FLS）配置细粒度权限。DLS 允许基于查询条件限制用户对特定文档的访问，而 FLS 则允许管理员指定哪些字段对特定用户可见或不可见。 这些权限配置可以通过 OpenSearch 的 REST API 或管理工具来实现和管理。管理员还可以结合角色和用户组的概念，为不同用户群体配置统一的权限策略，从而简化权限管理流程。 操作示例 我们创建一个role publicrole，创建一个user publicuser1，目标是让这个user只能查看pub开头的索引里public字段为true的文档。 创建角色： PUT plugins/security/api/roles/publicrole { "clusterpermissions": [ "" ], "indexpermissions": [{ "indexpatterns": [ "pub" ], "dls": "{"term": { "public": "true"}}", "allowedactions": [ "read" ] }] } 创建用户： PUT plugins/security/api/internalusers/publicuser1 { "password": "" } 创建Mapping： PUT plugins/security/api/rolesmapping/publicrole { "users" : [ "publicuser1" ] } 创建索引： pub索引，插入两条数据 POST pubindex/doc/ { "name": "robert", "age": "30", "public": "true" } POST pubindex/doc/ { "name": "mike", "age": "55", "public": "false" } 非pub索引 POST secindex/doc/ { "name": "jane", "age": "18", "public": "true" } 我们开始搜索，预期是publicuser1搜索pubindex可以返回一条结果，搜索secindex无结果。而admin用户搜索pubindex可以返回两条结果，搜索secindex可以返回一条结果。 GET pubindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 4, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 1, "relation" : "eq" }, "maxscore" : 2.0, "hits" : [ { "index" : "pubindex", "id" : "xBnh0okBxCORqeQrGobf", "score" : 2.0, "source" : { "name" : "robert", "age" : "30", "public" : "true" } } ] } } GET pubindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 1, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 2, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "pubindex", "id" : "xBnh0okBxCORqeQrGobf", "score" : 1.0, "source" : { "name" : "robert", "age" : "30", "public" : "true" } }, { "index" : "pubindex", "id" : "xRnh0okBxCORqeQrMobq", "score" : 1.0, "source" : { "name" : "mike", "age" : "55", "public" : "false" } } ] } } GET secindex/search {"size": 10,"query": {"matchall": {}}} { "error" : { "rootcause" : [ { "type" : "securityexception", "reason" : "no permissions for [indices:data/read/search] and User [namepublicuser1, backendroles[], requestedTenantnull]" } ], "type" : "securityexception", "reason" : "no permissions for [indices:data/read/search] and User [namepublicuser1, backendroles[], requestedTenantnull]" }, "status" : 403 } GET secindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 1, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 1, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "secindex", "id" : "xhnh0okBxCORqeQrTYbM", "score" : 1.0, "source" : { "name" : "jane", "age" : "18", "public" : "true" } } ] } } 搜索引擎的细粒度权限管控功能通过支持文档级别和字段级别的权限控制，为企业提供了强大的数据安全和管理能力。 这种精确的权限配置不仅帮助企业保护敏感信息，还能够在多租户环境和个性化数据访问需求下提供高效的解决方案。通过细粒度的权限管控，企业可以确保数据的安全性、隐私性和合规性，同时实现灵活的业务支持。

环境要求 实时迁移对环境有一些特定的要求，请确保环境配置满足以下条件。该类型的要求系统会自动检查，并给出处理建议。 类型名称 使用限制 （DRS自动检查） 数据库权限设置 全量迁移最小权限要求： 源数据库帐户需要具备如下权限： SELECT、SHOW VIEW、EVENT。 目标数据库帐号必须拥有如下权限： SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、WITH GRANT OPTION。 全量+增量最小迁移权限要求： 源数据库帐户需要具备如下权限： SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 目标数据库帐号必须拥有如下权限： SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、WITH GRANT OPTION。 用户迁移最小权限要求： 用户迁移时，当源数据库为非阿里云数据库时，帐户需要有mysql.user的SELECT权限，源数据库为阿里云数据库，则帐户需要同时具有mysql.user和mysql.userview的SELECT权限。 目标数据库帐户需要有mysql库的SELECT，INSERT，UPDATE，DELETE权限。 迁移对象约束 支持数据库、表、视图、索引、约束、函数、存储过程、触发器（TRIGGER）和事件（EVENT）的迁移。 不支持系统库的迁移以及事件状态的迁移。 不支持非MyISAM和非InnoDB表的迁移。 源数据库要求 源数据库中的库名不能包含：' /"以及非ASCII字符。 源数据库中的表名、视图名不能包含：'<>/"以及非ASCII字符。 源数据库中的库名不允许为iblogfile。 MySQL源数据库的binlog日志必须打开，且binlog日志格式必须为Row格式。 在磁盘空间允许的情况下，建议源数据库binlog保存时间越长越好，建议为3天。 源数据库expirelogsdays参数值为0，可能会导致迁移失败。 增量迁移时，必须设置MySQL源数据库的serverid。如果源数据库版本小于或等于MySQL5.6，serverid的取值范围在2－4294967296之间；如果源数据库版本大于或等于MySQL5.7，serverid的取值范围在1－4294967296之间。 MySQL源数据库建议开启skipnameresolve，减少连接超时的可能性。 源数据库GTID状态建议为开启状态。 源库不支持mysql binlog dump命令。 源数据库和目标数据库字符集需保持一致，否则迁移失败。 源数据库logslaveupdates参数需设置为开启状态，否则会导致迁移失败。 源数据库的binlogrowimage参数需设置为FULL，否则会导致迁移失败。 源数据库MySQL8.0目前不支持参数lowercasetablenames等于0的迁移。 目标数据库要求 不支持从高版本迁移到低版本。 建议MySQL目标库的binlog日志格式为Row格式，否则增量迁移可能出错。 目标数据库实例的运行状态必须正常。 目标数据库实例必须有足够的磁盘空间。 除了MySQL系统数据库之外，目标数据库不能包含与源数据库同名的数据库。 建议目标库的事务隔离级别至少保证在已提交读。 DRS迁移时会有大量数据写入目标库，目标库maxallowedpacket 参数过小会导致无法写入，建议将目标库maxallowedpacket参数值设置大一点，使其大于100MB。 目标数据库GTID状态建议为开启状态。 源数据库和目标数据库的参数serveruuid相同, 将导致增量迁移失败。 源数据库和目标数据库的参数collationserver需保持一致，否则可能导致迁移失败。 所选迁移对象和外键依赖的表需一起进行迁移，否则会导致迁移失败。 源数据库和目标数据库的参数timezone需保持一致，否则可能导致迁移失败。 源数据库和目标数据库的sqlmode参数值需保持一致，否则可能导致迁移失败。 迁移的对象中包含引擎为MyISAM的表，则目标数据库sqlmode不能包含noenginesubstitution参数，否则可能会导致迁移失败。 源数据库和目标数据库的innodbstrictmode参数值需保持一致，否则可能导致迁移失败。 目标数据库和源数据库的lowercasetablenames参数需保持一致，否则可能导致迁移失败。 目标数据库的logbintrustfunctioncreators参数需设置为on，否则可能导致迁移失败。

本章节主要介绍翼MapReduce的权限管理。 如果您需要对上创建的MapReduce服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有MapReduce服务的使用权限，但是不希望他们拥有删除MRS集群等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用MRS，但是不允许删除MRS集群的权限策略，控制他们对MRS集群资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用MRS服务的其它功能。 IAM是提供权限管理的基础服务。 MRS权限说明 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 MRS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问MRS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对MRS服务，管理员能够控制IAM用户仅能对集群进行指定的管理操作。如不允许某用户组删除集群，仅允许操作MRS集群基本操作，如创建集群、查询集群列表等。多数细粒度策略以API接口为粒度进行权限拆分。 如下表所示，包括了MRS的所有系统策略。 MRS系统策略 策略名称 描述 策略类别 MRS FullAccess MRS管理员权限，拥有该权限的用户可以拥有MRS所有权限。 细粒度策略 MRS CommonOperations MRS服务普通用户权限，拥有该权限的用户可以拥有MRS服务使用权限，无新增、删除资源权限。 细粒度策略 MRS ReadOnlyAccess MRS服务只读权限，拥有该权限的用户仅能查看MRS的资源。 细粒度策略 MRS Administrator 操作权限： 对MRS服务的所有执行权限。 拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。 RBAC策略 下表列出了MRS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统策略的授权关系 操作 MRS FullAccess MRS CommonOperations MRS ReadOnlyAccess MRS Administrator 创建集群 √ x x √ 调整集群 √ x x √ 升级节点规格 √ x x √ 删除集群 √ x x √ 查询集群详情 √ √ √ √ 查询集群列表 √ √ √ √ 设置弹性伸缩策略 √ x x √ 查询主机列表 √ √ √ √ 查询操作日志 √ √ √ √ 创建并执行作业 √ √ x √ 停止作业 √ √ x √ 删除单个作业 √ √ x √ 批量删除作业 √ √ x √ 查询作业详情 √ √ √ √ 查询作业列表 √ √ √ √ 新建文件夹 √ √ x √ 删除文件 √ √ x √ 查询文件列表 √ √ √ √ 批量操作集群标签 √ √ x √ 创建单个集群标签 √ √ x √ 删除单个集群标签 √ √ x √ 按照标签查询资源列表 √ √ √ √ 查询集群标签 √ √ √ √ 访问Manager页面 √ √ x √ 查询补丁列表 √ √ √ √ 安装补丁 √ √ x √ 卸载补丁 √ √ x √ 运维通道授权 √ √ x √ 运维通道日志共享 √ √ x √ 查询告警列表 √ √ √ √ 订阅告警消息提醒 √ √ x √ 提交SQL语句 √ √ x √ 查询SQL结果 √ √ x √ 取消SQL执行任务 √ √ x √