本文提供天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK 儿童个人信息保护政策及监护人须知 儿童个人信息保护政策及监护人须知发布日期：【2025年5月13日】 本须知仅适用于由天翼云科技有限公司提供的天翼云边缘安全加速平台零信任服务天翼云AOne SDK服务。 版本生效日期：【2025年5月13日】 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件：service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电话：4008109889 天翼云门户：管理中心新建工单；智能客服 为了更好地在您使用我们服务的过程中保障您的个人信息，我们对《 天翼云AOne SDK儿童个人信息保护政策及监护人须知 》进行了更新，此版本主要更新内容包括： 1、更新天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK产品由天翼云科技有限公司（“天翼云”）运营，是一款为移动应用开发者（以下简称“开发者”）提供调用零信任内网连接等能力服务的软件开发工具包（SDK）。我们致力于保护儿童个人信息，本须知中的“儿童”，是指满14周岁的未成年人。为此，我们专门制定了《天翼云AOne SDK儿童个人信息保护政策及监护人须知》（简称“本须知”），向您说明我们处理儿童个人信息的规则。您作为儿童的父母或其他监护人（统称“监护人”），请在您或您所监护的儿童（简称“被监护人”）使用本应用前务必仔细阅读并充分理解本须知，特别是以粗体标识的条款应重点阅读，在确认充分理解并同意全部条款后再开始使用或允许您的孩子使用。 本须知为在《天翼云AOne SDK隐私和信息处理规则》基础上制定的特别规则，除另有约定外，本须知所用术语和缩略词与《天翼云AOne SDK隐私和信息处理规则》中的术语和缩略词具有相同的涵义；与《天翼云AOne SDK隐私和信息处理规则》如有不一致之处，以本须知为准；本须知未载明之处，适用《天翼云AOne SDK隐私和信息处理规则》。为了维护儿童的合法权益，儿童应当在其监护人的指导下使用我们的服务。 《天翼云AOne SDK隐私和信息处理规则》详见天翼云AOne SDK隐私和信息处理规则 监护人特别说明： 您的理解和配合对我们保护被监护人的个人信息和隐私安全非常必要，为了维护被监护人的合法权益，我们希望您可以协助我们，确保被监护人在您的同意和指导下使用本应用和向我们提交个人信息。我们将根据本须知采取特殊措施保护我们获得的被监护人的个人信息。请您仔细阅读和选择是否同意本声明。如果您不同意本须知的内容，请您要求被监护人立即停止访问/使用我们的产品及服务。 儿童特别说明： 任何儿童参加网上活动都应事先取得监护人的同意。如果您是儿童，请务必通知您的监护人共同阅读本须知，并在您使用我们的产品及服务、提交个人信息之前，寻求您的监护人的同意和指导。 我们严格按照《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》 《 电信和互联网用户个人信息保护规定》（工业和信息化部令第 24 号）《儿童个人信息网络保护规定》等法律法规的相关要求，在业务活动中处理儿童的个人信息。 本部分向您告知以下内容： 一、我们如何收集和使用儿童的个人信息 二、我们如何共享、转让和公开披露儿童的个人信息 三、我们如何存储儿童的个人信息 四、我们如何保护儿童的个人信息 五、我们如何管理儿童的个人信息 六、本须知的适用 七、本须知的修订 八、如何联系我们 一、我们如何收集和使用儿童的个人信息 1.1 在儿童使用我们的产品及服务过程中，我们会严格履行法律法规规定的儿童个人信息保护义务与责任，遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则，在征得监护人的同意后收集和使用儿童个人信息。具体请查阅《天翼云AOne SDK隐私和信息处理规则》“各业务功能中的用户信息收集使用规则”章节，详细了解我们收集和使用的儿童个人信息。 1.2 此外，我们也会通过Cookie等同类技术自动收集您或被监护人的个人信息，具体请您查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何使用 Cookie和同类技术”章节进行详细了解。 1.3 我们提供的与儿童有关的服务是不断发展的。如我们需要超出上述收集范围收集您或被监护人的个人信息，我们将再次告知您，并征得您的同意。 1.4 根据相关法律法规规定，以下情形中收集儿童的信息无需征得儿童监护人的授权同意： （1）与我们履行法律法规规定的义务相关的； （2）与国家安全、国防安全、公共安全、公共卫生、重大公共利益有关的； （3）与犯罪侦查、起诉、审判和判决执行等有关的； （4）出于维护儿童的生命、财产等重大合法权益但又很难得到监护人同意的； （5）所收集的信息是儿童或监护人自行向社会公众公开的； （6）从合法公开披露的信息中收集信息的，如合法的新闻报道、政府信息公开等渠道； （7）根据与您或被监护人签订和履行相关协议或其他书面文件所必需的； （8）法律法规规定的其他情形。 请您理解，您可以选择是否填写或向我们提供特定的信息，但您如果不填写或提供某些特定的信息，将可能导致我们的产品及服务无法正常运行，或者无法达到我们拟达到的服务效果，您和被监护人可能无法正常使用我们的产品、服务或相关的具体业务功能。 二、我们如何共享、转让和公开披露儿童的个人信息 我们承诺对儿童个人信息进行严格保密，我们遵照法律法规的规定，严格限制共享、转让、披露儿童个人信息的情形，仅在《天翼云AOne SDK隐私和信息处理规则》约定和您明确授权同意的情况下对外提供儿童信息。 除了《天翼云AOne SDK隐私和信息处理规则》“我们如何共享、转让、公开披露您的个人信息”章节部分所述的内容外，对于儿童个人信息，我们还将会采取如下措施来保护儿童个人信息在共享、转让和公开披露过程中的安全： 2.1 如果为了本须知所述目的而需要将儿童信息共享至第三方，我们将评估该第三方收集儿童个人信息的合法性、正当性、必要性，并采用加密、匿名化、去标识化处理等手段保障您和被监护人的信息安全。 2.2 我们将要求第三方对儿童个人信息采取保护措施，并且严格遵守相关法律法规与监管要求。我们会要求接收儿童个人信息的第三方遵守严格的保密义务及采取有效的保密措施，禁止其将这些儿童个人信息用于未经儿童及其监护人授权的用途，并要求受托公司依法履行以下义务： （1）按照法律、行政法规的规定和我们的要求处理儿童个人信息； （2）协助我们回应儿童监护人提出的申请； （3）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向我们反馈； （4）委托关系解除时及时删除儿童个人信息； （5）不得转委托； （6）其他依法应当履行的儿童个人信息保护义务。 2.3 另外，我们会按照法律法规的要求征得您的同意，或确认第三方已经征得您同意。 三、我们如何储存儿童的个人信息 3.1 我们在中华人民共和国境内运营中收集和产生的儿童个人信息，将存储在中国境内（为本须知之目的，不含香港、澳门、台湾地区）。 3.2 我们会采取合理可行的措施，尽力避免收集和处理无关的儿童的个人信息。我们只会在达成本须知所述目的所需的期限内保留儿童的个人信息，除非法律有强制的留存要求。关于我们如何确定儿童个人信息存储期限请参见《天翼云AOne SDK隐私和信息处理规则》“我们如何保存您的个人信息或关联组织信息”章节。如我们终止服务或运营，我们将及时停止继续收集儿童个人信息的活动，同时会遵守相关法律法规要求提前向您通知，并在终止服务或运营后对儿童的个人信息进行删除或匿名化处理，但法律法规或监管部门另有规定的除外。 四、我们如何保护儿童的个人信息 我们非常重视儿童的隐私安全，并采取一切合理可行的措施保护儿童个人信息： 4.1 我们会严格控制儿童个人信息的访问权限，对可能接触到儿童个人信息的工作人员采取最小够用授权原则，并采取技术措施对处理儿童个人信息的行为进行记录和管控，避免违法复制、下载儿童个人信息。 4.2 我们会定期组织内部相关人员进行培训，使其掌握岗位职责和应急处置策略和规程。在不幸发生儿童个人信息安全事件后，我们将按照法律法规的要求，及时向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您及被监护人可自主防范和降低风险的建议、对您及被监护人的补救措施等。我们将及时将事件相关情况以APP推送通知、发送邮件/短消息等方式告知您。难以逐一告知时，我们会采取合理、有效的方式发布相关警示信息。同时，我们还将按照监管部门要求，主动上报儿童个人信息安全事件的处置情况。若被监护人的合法权益受损，我们将承担相应的法律责任。 4.3 如您希望了解更多，请查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何保护您的个人信息或关联组织信息”章节，详细了解上述措施外，我们还采取了哪些措施保护儿童个人信息。 五、我们如何管理儿童的个人信息 5.1 为了您或被监护人在使用我们的产品及服务期间可以更加便捷地访问和管理被监护人的个人信息，同时保障注销账户的权利，我们在产品及服务中为您和被监护人提供了相应的操作设置，您和被监护人可以按照《天翼云AOne SDK隐私和信息处理规则》中的“您的权利及如何管理您的个人信息”章节指引进行操作。 5.2 如存在以下情况，您和被监护人可以请求我们删除收集、使用和处理的儿童个人信息。我们会在完成身份验证后，及时采取措施予以删除。 （1）若我们违反法律、行政法规的规定或者本须知的约定收集、存储、使用、转让、披露儿童个人信息； （2）若我们超出本须知目的范围或者必要期限收集、存储、使用、转让、披露儿童个人信息； （3）您撤回同意； （4）您或被监护人通过注销等方式终止使用产品或者服务的。 但请注意，若您和被监护人要求我们删除特定儿童个人信息，可能导致被监护人无法继续使用我们的产品和服务或产品和服务中的某些具体业务功能。 如您发现在未事先征得您同意的情况下收集了被监护人的个人信息，请及时联系我们，我们会设法尽快删除相关数据。 六、本须知的适用 绝大多数情形下我们无法识别且不会判断收集和处理的个人信息是否属于儿童个人信息，我们将按照《天翼云AOne SDK隐私和信息处理规则》收集和处理用户的个人信息。 七、本须知的修订 我们可能会根据我们的产品及服务的更新情况及法律法规的相关要求适时修改本须知的条款，该等修改构成本须知的一部分，我们会在专门页面上展示最新修改版本。当本须知的条款发生变更时，我们会以APP弹窗方式进行提示并再次取得您的同意，详见《天翼云AOne SDK隐私和信息处理规则》“本隐私和信息处理规则如何更新”章节的规定。 八、如何联系我们 8.1 如您对本隐私和信息处理规则或您信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云提交工单、联系智能客服、或拨打我们的客服电话4008109889与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn或ctpip.ctyun@chinatelecom.cn，与天翼云边缘安全加速平台零信任服务的个人信息保护负责人进一步沟通。 8.2 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过15个工作日做出答复。 8.3 如果您对我们的回复不满意，特别是我们的信息处理行为损害了您的合法权益，您还可以通过以下外部途径寻求解决方案：向被告所在地有管辖权的人民法院提起诉讼。

本文主要介绍应用服务网格日志采集。 应用服务网格支持采集控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志，您可以在控制台日志中心查看日志。 前提条件 1. 天翼云账号已经开通了云日志服务，如果没有开通可以通过服务网格控制台>网格实例>自定义配置>创建云日志服务。 2. 网格控制面和数据面集群已经安装了日志采集插件logoperator。可以通过ccse控制台>插件>插件市场安装。 启用服务网格日志采集 1. 登录服务网格控制台，在左侧的导航栏中选择网格实例>自定义配置。 2. 选择启用日志服务，可以选择已有的日志项目或者新建日志项目，支持为数据面、控制面和网关分别创建日志单元，您可以参考云日志服务管理日志项目查看已有的项目。如果需要新建项目，应用服务网格控制台会自动为您创建对应名称的项目。 日志中心日志查询 您可以在日志服务控制台查询服务网格控制面和数据面的日志，更多详情可参考云日志服务日志查询。 数据面日志输出格式 目前服务网格的数据面日志访问格式采用Envoy默认格式： plaintext [%STARTTIME%] "%REQ(:METHOD)% %REQ(XENVOYORIGINALPATH?:PATH)% %PROTOCOL%" %RESPONSECODE% %RESPONSEFLAGS% %BYTESRECEIVED% %BYTESSENT% %DURATION% %RESP(XENVOYUPSTREAMSERVICETIME)% "%REQ(XFORWARDEDFOR)%" "%REQ(USERAGENT)%" "%REQ(XREQUESTID)%" "%REQ(:AUTHORITY)%" "%UPSTREAMHOST%"n 以下是一个日志格式的例子： plaintext [20160415T20:17:00.310Z] "POST /api/v1/locations HTTP/2" 204 154 0 226 100 "10.0.35.28" "nsq2http" "cc21d9b0cf5c432b8c7e98aeb7988cd2" "locations" "tcp://10.0.2.1:80" 以下是日志样式字段的说明： 参数 描述 STARTTIME 请求开始时间。 REQ(:METHOD) 请求方法。 REQ(XENVOYORIGINALPATH?:PATH) 请求的原始路径，若无则使用标准路径。 PROTOCOL 请求所使用的协议。 RESPONSECODE 服务器对请求的响应状态码。 RESPONSEFLAGS 响应的标志，提供关于响应的特性信息。 BYTESRECEIVED 接收到的字节数，指示请求消息的大小。 BYTESSENT 发送出去的字节数，指示响应消息的大小。 DURATION 请求处理的持续时间，包括接收到请求到发送响应的时间。 RESP(XENVOYUPSTREAMSERVICETIME) 上游服务的响应时间，表示上游服务处理请求所花费的时间。 REQ(XFORWARDEDFOR) 请求的xff头部。 REQ(USERAGENT) 请求的用户代理，标识发起请求的软件。 REQ(XREQUESTID) 请求的唯一标识符，用于跟踪请求的生命周期。 REQ(:AUTHORITY) 请求的主机名，在HTTP/2中对应请求的authority字段。 RESPONSEFLAGS说明： 完整名称 短名 说明 NoHealthyUpstream UH 没有健康的上游服务，返回503状态码。 UpstreamConnectionFailure UF 连接上游失败，返回503状态码。 UpstreamOverflow UO 上游服务被熔断，返回503状态码。 NoRouteFound NR 找不到路由或者找不到过滤器链，返回404状态码。 UpstreamRetryLimitExceeded URX 超过上游重试次数。 NoClusterFound NC 找不到上游集群。 DurationTimeout DT 请求超时。 DownstreamConnectionTermination DC 下游连接中断。 FailedLocalHealthCheck LH 集群健康检查失败，返回503状态码。 UpstreamRequestTimeout UT 上游服务超时，返回504状态码。 LocalReset LS 连接被本地重置，返回503状态码。 UpstreamRemoteReset UR 连接被上游重置，返回503状态码。 UpstreamConnectionTermination UC 上游连接中断，返回503状态码。 DelayInjected DI 请求被注入了延迟。 FaultInjected FI 请求被注入了错误。 RateLimited RL 请求被限流，返回429错误码。 UnauthorizedExternalService UAEX 请求被外部授权服务拒绝。 RateLimitServiceError RLSE 由于限流服务报错导致请求被拒绝。 InvalidEnvoyRequestHeaders IH 请求头部异常，返回400错误码。 StreamIdleTimeout SI 请求空闲超时，返回408或者504错误。 DownstreamProtocolError DPE 下游请求HTTP协议错误。 UpstreamProtocolError UPE 上游返回的HTTP协议错误。 UpstreamMaxStreamDurationReached UMSDR 请求上游超时。 ResponseFromCacheFilter RFCF 请求通过envoy缓存插件支撑。 NoFilterConfigFound NFCF 由于没有在时间期限内收到filter配置导致请求被中断。 OverloadManagerTerminated OM 请求被过载管理器中断。 DnsResolutionFailed DF DNS解析失败。 DropOverload DO 请求被上游过载保护机制中断，返回503状态码。

本页介绍天翼云TeleDB数据库中透明存储加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。 透明加密的方案 透明加密是由自动加密与解密和加密密钥管理两部分机制组成。 自动加密与解密：当数据写入磁盘，TDE会自动对数据进行加密。当数据从磁盘读取时, TDE会自动对数据进行解密。整个加密与解密过程，用户和应用程序将不会感知。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密密钥管理：TDE通常使用对称加密算法（如AES）。加密密钥被存储在数据库管理系统外部或安全位置，加密算法的由数据库维护，包括加密算法的选择、秘钥管理，都可以由安全员独立操作完成，以确保数据安全。 开启透明存储加密 TeleDB数据库支持提供TDE功能。当用户需要对磁盘上存储的数据进行加密和解密来实现对数据的保护时，可以对该功能进行开启。 注意 TDE功能仅能在实例开通时开启，且开启后无法关闭。 支持加密功能的内核版本为：5.1.5。 您可参考如下操作开启透明加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 说明 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建⽴关联。同时⽀持，将已经绑定的算法从schema，表和列上解绑，从⽽取消加密算法和数据库对象之间的关联关系。 1. 创建加密算法 SELECT MLSTRANSPARENTCRYPTCREATEALGORITHM(algoname, password) 2. 注销加密算法 SELECT MLSTRANSPARENTCRYPTDROPALGORITHM(algoid) 3. 加密算法绑定 (1) 绑定到Schema SELECT MLSTRANSPARENTCRYPTALGORITHMBINDSCHEMA(schemaname, algoid) (2) 绑定到表 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, algoid) (3) 绑定到列 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, attrname, algoid) 4. 加密算法解绑 SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDSCHEMA(schemaname) SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDTABLE(schemaname, tablename, needcascade) 使用示例 创建管理插件 CREATE EXTENSION teledbxmls; 切换为安全管理员⽤⼾ c mlsadmin 注册内置的加密算法和对应密钥（此处使⽤国测sm4加密算法进⾏注册），获得对应的algo id select MLSTRANSPARENTCRYPTCREATEALGORITHM('SM4','0123456789012345'); select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES128','0123456789012345'); c xieyuecreate table t1(id int,content int); c mlsadmin 将加密算法绑定到表上 select MLSTRANSPARENTCRYPTALGORITHMBINDTABLE('public','t1',1); insert into t1 values(1,0), (2,0), (3,0); insert into t1 values(7, 0), (8,0), (9,0);

服务网段 Service也是Kubernetes内的概念，每个Service都有自己的地址，在CCE中创建集群时，可以指定service的地址段（即服务网段）。同样，服务网段也不能和子网网段重合，而且服务网段也不能和容器网段重叠。服务网段只在集群内使用，不能在集群外使用。 容器网段、服务网段、子网网段和VPC网段关系请参见下图： 单VPC+单集群场景 这是最简单的情形。VPC网段在创建VPC的时候就已经确定，创建CCE集群时，选择目标VPC网段即可。 单VPC+多集群场景 一个VPC下创建多个CCE集群。 在“VPC网络”模式下，Pod的报文需要通过VPC路由转发，CCE会自动在VPC路由上配置到每个容器网段的路由表。 注意 • VPC地址还是创建VPC时确定的，当创建集群时，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段不能重叠，但服务网段可以重叠。在此情况下CCE集群部分互通，一个集群的Pod可以直接访问另外一个集群的Pod，但不能访问另外一个集群的Service。 • VPC网络模式下每个节点占用一条VPC路由规则，组网规模受限于VPC路由表配额。 在“容器隧道网络”模式下，容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，获得了通用性强、互通性强、高级特性支持全面（例如Network Policy网络隔离）的优势，可以满足大多数应用需求。 注意 • VPC地址还是创建VPC时确定的，创建集群时，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段可以重叠，服务网段也可以重叠。 • 跨集群的容器之间访问，建议通过ELB实现。 VPC互联场景 两个VPC网络互联的情况下，可以通过路由表配置哪些报文要发送到对端VPC里。 在“VPC网络”模式下，创建对等连接后，需要在两端VPC内添加对等连接路由信息，才能使两个VPC互通。 注意 • VPC地址是在创建VPC的时候确定的，创建集群的时候，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段不能重叠，但服务网段可以重叠。 • 对等连接的路由表中需要添加对端容器网段的地址。示例操作如下： 同样，在“容器隧道网络”模式下，创建对等连接后，您需要在两端VPC内添加对等连接路由信息，才能使两个VPC互通。 注意 • VPC地址是在创建VPC的时候确定的，创建集群的时候，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段可以重叠，服务网段也可以重叠。 • 对等连接的路由表中需要添加对端集群节点子网网段的地址。 VPC网络到IDC的场景 和VPC互联场景类似，同样存在VPC里部分地址段路由到IDC，则CCE集群的Pod地址就不能和这部分地址重叠。IDC里如果需要访问集群里的Pod地址，同样需要在IDC端配置到专线VBR的路由表。

弃用和移除 Kubernetes 1.27版本 在Kubernetes 1.27版本，针对卷扩展 GA 特性的以下特性门禁将被移除，且不得再在 featuregates 标志中引用。（ ExpandCSIVolumes，ExpandInUsePersistentVolumes，ExpandPersistentVolumes ） 在Kubernetes 1.27版本，移除masterservicenamespace 命令行参数。该参数支持指定在何处创建名为kubernetes的Service来表示API服务器。自v1.26版本已被弃用，1.27版本正式移除。 在Kubernetes 1.27版本，移除 ControllerManagerLeaderMigration 特性门禁。Leader Migration 提供了一种机制，让 HA 集群在升级多副本的控制平面时通过在 kubecontrollermanager 和 cloudcontrollermanager 这两个组件之间共享的资源锁，安全地迁移“特定于云平台”的控制器。特性自 v1.24 正式发布，被无条件启用， 在 v1.27 版本中此特性门禁选项将被移除。 在Kubernetes 1.27版本，移除 enabletaintmanager 命令行参数。该参数支持的特性基于污点的驱逐已被默认启用， 且在标志被移除时也将继续被隐式启用。 在Kubernetes 1.27版本，移除podevictiontimeout 命令行参数。弃用的命令行参数 podevictiontimeout 将被从 kubecontrollermanager 中移除。 在Kubernetes 1.27版本，移除 CSI Migration 特性门禁。CSI migration 程序允许从树内卷插件移动到树外 CSI 驱动程序。 CSI 迁移自 Kubernetes v1.16 起正式发布，关联的 CSIMigration 特性门禁将在 v1.27 中被移除。 在Kubernetes 1.27版本，移除 CSIInlineVolume 特性门禁。CSI Ephemeral Volume 特性允许在 Pod 规约中直接指定 CSI 卷作为临时使用场景。这些 CSI 卷可用于使用挂载的卷直接在 Pod 内注入任意状态，例如配置、Secret、身份、变量或类似信息。 此特性在 v1.25 中进阶至正式发布。因此，此特性门禁 CSIInlineVolume 将在 v1.27 版本中移除。 在Kubernetes 1.27版本，移除 EphemeralContainers 特性门禁。对于 Kubernetes v1.27，临时容器的 API 支持被无条件启用；EphemeralContainers 特性门禁将被移除。 在Kubernetes 1.27版本，移除 LocalStorageCapacityIsolation 特性门禁。Local Ephemeral Storage Capacity Isolation 特性在 v1.25 中进阶至正式发布。此特性支持 emptyDir 卷这类 Pod 之间本地临时存储的容量隔离， 因此可以硬性限制 Pod 对共享资源的消耗。如果本地临时存储的消耗超过了配置的限制，kubelet 将驱逐 Pod。 特性门禁 LocalStorageCapacityIsolation 将在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 NetworkPolicyEndPort 特性门禁。Kubernetes v1.25 版本将 NetworkPolicy 中的 endPort 进阶至正式发布。 支持 endPort 字段的 NetworkPolicy 提供程序可用于指定一系列端口以应用 NetworkPolicy。 在Kubernetes 1.27版本，移除 StatefulSetMinReadySeconds 特性门禁。对于作为 StatefulSet 一部分的 Pod，只有当 Pod 至少在 minReadySeconds 中指定的持续期内可用（并通过检查）时，Kubernetes 才会将此 Pod 标记为只读。 该特性在 Kubernetes v1.25 中正式发布，StatefulSetMinReadySeconds 特性门禁将锁定为 true，并在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 IdentifyPodOS 特性门禁。启用该特性门禁，您可以为 Pod 指定操作系统，此项特性支持自 v1.25 版本进入稳定。 IdentifyPodOS 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 DaemonSetUpdateSurge 特性门禁。Kubernetes v1.25 版本还稳定了对 DaemonSet Pod 的浪涌支持， 其实现是为了最大限度地减少部署期间 DaemonSet 的停机时间。 DaemonSetUpdateSurge 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 containerruntime 命令行参数。kubelet 接受一个已弃用的命令行参数 containerruntime， 并且在移除 dockershim 代码后，唯一有效的值将是 remote。 Kubernetes v1.27 将移除该参数，该参数自 v1.24 版本以来已被弃用。

代理的限制与约束 额度限制 1. 代理的任务数量限制 ：每个代理上最多可以下发50个迁移任务，超过限额请新建代理或删除不需要的任务后，再下发新任务。 2. 代理的并发任务数量限制 ：每个代理最多可同时执行12个迁移任务（zmsmaster服务配置文件中修改），超过限制的任务将会排队。 使用限制 1. 工作节点数量 ：建议单个迁移集群内worker节点的数量不超过10个为最佳。 2. 失败对象列表文件的存放限制 ：失败对象列表文件最多存放10万个失败对象，但任务重试可重试所有失败对象。例如：您本次任务有失败对象12万个，您在失败对象列表文件中只能查询到10万个失败对象，但您对该任务进行失败重试，迁移任务会重试迁移失败的全部12万个对象。 3. 运行代理的资源占用 ：代理执行迁移任务时，会占用部署机器的CPU、内存、网络带宽等资源，请确保部署机器上没有您的其他业务系统，避免影响业务。 注意事项 1. zmsmaster服务第一次启动时必须在配置文件中填写注册码，后续填不填均可。 2. 半托管Agent服务启动后，ZMS服务的控制台需要12min时间才能同步状态，您可以在“对象存储迁移迁移任务代理列表”中查看已部署代理的状态。 3. 修改半托管Agent服务配置文件后，需要重启对应的服务，配置才能生效。 4. 若代理某个工作节点始终处于“错误”状态，请按如下步骤排查： 1. 检查该节点zmsworker服务状态 2. 检查该节点与zmsmaster服务节点网络联通性（注意是否有安全组、防火墙阻止相关端口访问） 5. 为了防止非预期的任务自动执行，zmsmaster服务重启后，该半托管Agent上所有正在执行的任务状态（包含：“排队中”、“迁移中”）都会被置为 “暂停” 状态。 6. 任务状态变为 “任务结束 存在失败对象” 后，失败对象列表的文件上传到目的桶中需要一定耗时。若长时间后目的桶中仍没有失败对象列表的文件，可能有如下两种情况： 1. 生成成功但上传失败 ：失败列表文件可以在代理的zmsmaster服务节点安装目录ZMSfailedfiles文件夹下找到； 2. 生成失败 ：本地与目的桶均没有该任务的失败列表文件。 无论何种情况，该任务均可重试，重试仅上传上次执行失败的对象。 7. 请勿随意删除zmsagent安装目录下的文件，否则可能造成该代理不可用。 8. 若出现zmsmaster服务启动失败，报错为网络问题造成的 “Error when starting ZMSMaster: Connect to RabbitMQ failed.”，可稍等两分钟后进行重新启动，若长时间后重启仍失败，请联系天翼云技术人员处理。 9. 若出现zmsworker服务长时间占用内存过高的情况，可以通过重启zmsworker服务解决。 10. 迁移服务传输信息都会进行加密处理，但为了避免其他人伪造您的Agent登录造成信息被恶意盗用的情况，每次下发任务前，请确保您自己部署的Agent在正常运行。 11. 运行日志：代理运行日志保存在安装目录log文件夹下，联系天翼云技术人员处理问题时请提供该目录。 12. 部署代理节点时，请务必正确配置 masteraddr 与 workaddrs 两个核心参数，参数配置错误将直接导致 zmsmaster 与 zmsworker 间的通信链路异常，进而影响整个集群的正常运行。若 workaddrs 参数配置有误，zmsworker 节点将无法与主节点 zmsmaster 建立连接，导致主从节点通信彻底中断；若 masteraddr 参数配置错误，即使 zmsworker 节点完成数据迁移任务，也无法向主节点上报任务的实际执行状态，造成任务状态丢失或同步异常。

本文介绍在局域网内部,Windows云主机之间进行文件夹共享的方法。 约束限制 有些网络服务供应商可能会限制139、445端口的访问，这会导致外部网络无法访问共享文件夹。因此，建议将Windows云主机文件共享方案仅用于内部环境中。 注意安全组的设置，放行对应的端口号。 操作步骤 1. 确保两台需要共享文件夹的Windows云主机的设置是正确的，包括以下几个方面： 确认已开启名为“TCP/IP NetBIOS Helper”的服务。你可以通过打开命令提示符窗口（cmd）并输入 services.msc，然后在服务清单中找到“TCP/IP NetBIOS Helper”服务，检查该服务的运行状态。 图1 TCP/IP NetBIOS Helper 在网络适配器设置中开启TCP/IP上的NetBIOS功能。你可以通过以下步骤完成：右键点击任务栏中的网络图标并选择“打开网络和共享中心”；然后点击“更改适配器设置”；在适配器列表中选择你的以太网连接，右键点击并选择“属性”；双击“Internet协议版本4（TCP/IPv4）”项目；点击“高级”按钮，然后切换到“WINS”选项卡；在这里，选择“启用通过TCP/IP传输NetBIOS（N）”。 图2 启用TCP/IP上的NetBIOS服务 Windows云主机的防火墙已经设置了入站访问策略139和445端口。 2. 修改网络和共享中心。 进入网络和共享中心”，点击“更改高级共享设置”。 图3 更改高级共享设置 a. 确保两台Windows云主机所属的网络应一致，例如均为“公用”或均为“专用”的网络，并勾选“启用网络发现”、“启用共享，以便可以访问网络的用户可以读取和写入公用文件夹中的文件”。 图4 启动网络发现 图5 启用共享，以便可以访问网络的用户可以读取和写入公用文件夹中的文件。 如果无法启用网络发现功能，你可以通过打开“服务”管理器（运行 services.msc命令）来解决，启动“服务”管理器。请检查网络发现功能依赖的服务是否均已启用。网络发现功能依赖的服务包括： Function Discovery Resource Publication、SSDP Discovery Resource Publication、UPnP Device Host。 b. 在“服务”管理器中，开启Workstation服务。 c. 这个服务需要依赖其他部件的支持，开启workstation服务时，必须启动依赖组件Computer Browser和Remote Desktop Configuration。 图6 开启Workstation服务 3. 在需要允许磁盘共享访问的云主机上，进行磁盘共享的设置，点击鼠标右键磁盘，然后选择“属性”选项。切换到“共享”选项卡，接着点击“高级共享”按钮。 图7 设置磁盘共享 设置“共享名”，并单击“确定”。给共享文件夹自定义一个名称。 图8 设置共享文件夹名称 4. 使用位于相同地域的另一台云主机，通过内部网络访问共享文件夹。打开“运行”窗口。输入"内网IP地址share"，并点击确定，即可打开共享文件夹. 图9 访问共享文件夹 5. （可选）为了更加方便的访问共享文件夹，您可以将共享路径文件，创建一个网络驱动器映射。 a. 选择共享的文件夹，右键单击“映射网络驱动器”。 b. 创建映射网络驱动器。 图10 映射网络驱动器 c. 点击选择要映射的网络驱动器名称，接着点击“创建快捷方式”并将其发送到桌面。这样，你就能通过双击桌面上的新快捷方式，方便快速地访问共享文件夹。 图11 创建快捷方式

本页介绍天翼云TeleDB数据库中强制访问控制。 强制访问是基于自定义的安全策略最终通过标签实现对用户和表的行级安全加密。安全策略(Policy)是等级(Level)和隔离区(Compartment)，组(Group)和标签(Label)的集合，最终通过绑定标签实现行级安全。其实现原理是将表和用户绑定到标签上，再由标签关联等级(必选)，隔离区(可选)和安全组(可选)，形成了一个多级的行级安全加密体系。 安全策略(Policy)：是指创建等级(Level)，隔离区(Compartment)，组(Group)和标签(Label)必须指定所属的安全策略。 等级(Level)：提供第二等级的安全控制，标签必须指定等级。 隔离区(Compartment)：提供第二等级的安全控制，可选。 组(Group)：提供第三等级的安全控制，一种树状的结构，可选。 标签(Label)：最终通过标签绑定体现行级安全。仅当用户被赋予的标签比此行标签有相同或更高等时，该行才可以被用户存取。 注意 分号(:)和逗号(,)保留用于多级安全体系的表达，安全策略中组件的名字不要使用。 在Teledb中，创建安全策略需要通过teledbxmls插件，需要创建插件 SQL CREATE EXTENSION teledbxmls; 安全策略 通过MLSCLSCREATEPOLICY()函数创建安全策略 SQL SELECT MLSCLSCREATEPOLICY(policyname, policyid) 参数描述： policyname(策略名称): 要创建的策略的名称，大小写敏感，不可以空。 policyid(策略ID): 用于标识策略的唯一ID，取值范围[1, 100]。 安全等级(Level) 通过函数MLSCLSCREATELEVEL()函数创建安全等级。 SQL SELECT MLSCLSCREATELEVEL(policyname, levelid, shortname, longname) 参数描述： policyname（策略名称）: 指定要添加安全级别的策略名称，不可以为空。 levelid（级别ID）: 用于标识安全级别的唯一ID，取值范围[0, 32767]。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 longname（完整名称）: 安全级别的描述。 通过MLSCLSALTERLEVELDESCRIPTION()函数修改等级的标签描述。 SQL SELECT MLSCLSALTERLEVELDESCRIPTION(policyname, levelid, longname) 安全隔离区(Compartment) 通过MLSCLSCREATECOMPARTMENT()函数创建安全隔离区(Compartment)。 SQL SELECT MLSCLSCREATECOMPARTMENT(policyname, compartmentid, shortname, longname) 参数 描述 ： policyname（策略名称）: 指定要添加安全隔离区的策略名称。 compartmentid（隔离区ID）: 用于标识安全隔离区的唯一ID，取值范围[0, 32767]。 shortname（简称）: 安全隔离区的简称。 longname（完整名称）: 安全隔离区的完整名称。 安全组(Group) 通过MLSCLSCREATEGROUPROOT()函数创建新的安全组根节点（Group Root） SQL SELECT MLSCLSCREATEGROUPROOT(policyname, rootid, shortname, longname) 参数描述： policyname（策略名称）: 指定要创建安全组根节点的策略名称。 rootid（根节点ID）: 用于标识安全组根节点的唯一ID。 shortname（简称）: 安全组根节点的简称。 longname（完整名称）: 安全组根节点的完整名称。 通过MLSCLSCREATEGROUPNODE()函数在数据库中创建新的安全组子节点（Group Node）并将其设置为指定父节点的子节点。 SQL SELECT MLSCLSCREATEGROUPNODE(policyname, childid, shortname, longname, parentshortz) 参数描述： policyname（策略名称）: 指定要创建安全组子节点的策略名称。 childid（子节点ID）: 用于标识安全组子节点的唯一ID。 shortname（简称）: 安全组子节点的简称。 longname（完整名称）: 安全组子节点的完整名称。 parentshortname（父节点简称）: 安全组子节点所属的父节点的简称。 标签(LABEL) 通过MLSCLSCREATELABEL()函数创建或替换MLS 策略的标签（label），并将其存储到数据库中。 SQL SELECT MLSCLSCREATELABEL(policyname, labelid, labelstr) 参数描述： policyname（策略名称）: 指定要添加标签的策略名称。 labelid（标签ID）: 用于标识标签的唯一ID，取值范围[0, 32767]。 labelstr（标签名）: 标签，不可为空，长度不超过256。由 ，其compartmentids和groupids由1到N个ID构成，ID间用,分割。有效的表达形式如下： levelid:compartmentid1,compartmentid2,...compartmentidN:groupid1,groupid2,...groupidN levelid:compartmentid:groupid levelid:compartmentid: levelid::groupid levelid:: 表标签绑定 通过MLSCLSCREATETABLELABEL()函数将指定标签绑定到指定的表(Table)，并将相关数据存储到pgclstable系统表。 SQL SELECT MLSCLSCREATETABLELABEL(policyname labelid, schemaname, tablename) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 labelid（标签ID）: 要应用于表的标签ID，取值范围[0, 32767]。 schemaname（模式名称）: 表所在的模式名。 tablename（表格名称）: 要应用标签的表名。 通过MLSCLSDROPTABLELABEL()函数删除绑定到表上的标签并更新pgclstable系统表数据。 SQL MLSCLSDROPTABLELABEL(policyname, schemaname, tablename) 用户标签绑定/删除 通过MLSCLSCREATEUSERLABEL()函数为指定的用户创建一个带有默认标签的用户账户，并将其存储到 pgclsuser 表中。 SQL SELECT MLSCLSCREATEUSERLABEL(policyname, username name, defreadlabel, defwritelabel, defrowlabel) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 username（用户名）: 要创建标签的用户账户名称。 defreadlabel（默认读标签）: 为用户定义的默认读标签ID。 defwritelabel（默认写标签）: 为用户定义的默认写标签ID。 defrowlabel（默认行标签）: 为用户定义的默认行标签ID。 通过MLSCLSDROPUSERLABEL()函数为指定用户删除标签，并将pgclsuser 表中指定用户的标签删除，且断开指定用户当前所有的数据库连接。 SQL SELECT MLSCLSDROPUSERLABEL(username) 参数描述： username（用户名）: 要删除指定用户标签的用户账户名称。 示例： 初始化环境 SQL c mlsadmin 创建安全策略 select MLSCLSCREATEPOLICY('rlspolicy', 66); 创建安全等级 select MLSCLSCREATELEVEL('rlspolicy', 10, 'defaultlevel', 'default Level'); select MLSCLSCREATELEVEL('rlspolicy', 10, 'userlevel', 'user Level'); select MLSCLSCREATELEVEL('rlspolicy', 9, 'badlevel', 'bad Level'); select MLSCLSCREATELEVEL('rlspolicy', 100, 'goodlevel', 'good Level'); 创建隔离区 select MLSCLSCREATECOMPARTMENT('rlspolicy', 30, 'rlscom0', 'RLS compartment 0'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 31, 'rlscom1', 'RLS compartment 1'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 32, 'rlscom2', 'RLS compartment 2'); 创建安全组 select MLSCLSCREATEGROUPROOT('rlspolicy', 50, 'root', 'group root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 51, 'child1', 'child of root node 1', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 52, 'child2', 'child of root node 2', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 511, 'child11', 'child of child1 node 1', 'child1'); select MLSCLSCREATEGROUPNODE('rlspolicy', 512, 'child12', 'child of child1 node 2', 'child1'); 创建安全标签，此时和安全等级，隔离区以及安全组进行绑定 select MLSCLSCREATELABEL('rlspolicy', 1024, 'defaultlevel:rlscom0:child12'); 将标签绑定到表 alter table public.tbl1 add column cls clsitem default '99:1024'; select MLSCLSCREATETABLELABEL('rlspolicy', 1024, 'public', 'tbl1'); 安全等级 SQL select MLSCLSCREATELABEL('rlspolicy', 1025, 'userlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1026, 'badlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1027, 'goodlevel::'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 1024, 1024, 1024); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 1025, 1025, 1025); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 1026, 1026, 1026); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 1027, 1027, 1027); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户不在隔离区，无法看到godlike1用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 (3 rows） SQL c badgodlike1 低优先级的用户无法看到高优先级的用户插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) SQL insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 低优先级用户可以看到自己创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:1026 8 8 66:1026 9 9 66:1026 (3 rows) SQL c goodgodlike1 高优先级用户可以看到低优先级用户创建的数据 同时无法看到隔离区的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (6 rows) SQL insert into public.tbl1 select generateseries(10,12), generateseries(10,12); select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 10 10 66:1027 11 11 66:1027 12 12 66:1027 (9 rows) SQL c godlike1 高优先级用户可以看到比自己低优先级用户创建的数据 无法看到比自己优先级高的用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (9 rows) SQL c commonuser0 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) 安全隔离区 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定隔隔离区 select MLSCLSCREATELABEL('rlspolicy', 2048, 'defaultlevel:rlscom0:'); select MLSCLSCREATELABEL('rlspolicy', 2049, 'defaultlevel:rlscom0,rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2050, 'defaultlevel:rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2051, 'defaultlevel:rlscom0,rlscom2:'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 2048, 2048, 2048); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 2049, 2049, 2049); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 2050, 2050, 2050); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 2051, 2051, 2051); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户所在隔离区含godlike1用户隔离区，可以看到godlike1的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 (6 rows) SQL c badgodlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 当前用户所在隔离区无法包含前面用户的隔离区，无法看到他们插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:2050 8 8 66:2050 9 9 66:2050 (3 rows) SQL c goodgodlike1 insert into public.tbl1 select generateseries(10,12), generateseries(10,12); 相同等级，godlike1的隔离区是当前的子集，当前用户可以看到godlike1插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 10 10 66:2051 11 11 66:2051 12 12 66:2051 (6 rows) SQL c godlike2 当前用户含rlscom0,rlscom1,rlscom2三个隔离区可以看到之前插入的所有数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 7 7 66:2050 8 8 66:2050 9 9 66:2050 10 10 66:2051 11 11 66:2051 12 12 66:2051 (12 rows) 安全组 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定用户组 select MLSCLSCREATELABEL('rlspolicy', 4096, 'defaultlevel:rlscom0:root'); select MLSCLSCREATELABEL('rlspolicy', 4097, 'defaultlevel:rlscom0:child1'); select MLSCLSCREATELABEL('rlspolicy', 4098, 'defaultlevel:rlscom0:child11,child12'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 4096, 4096, 4096); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 4097, 4097, 4097); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 4098, 4098, 4098); SQL c badgodlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 安全组根节点可以看到子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 (6 rows) SQL c godlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 安全组根节点可以看到所有子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 7 7 66:4096 8 8 66:4096 9 9 66:4096 (9 rows) SQL c badgodlike1 子节点 无法看到根节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows)

本实践介绍跨账号同区域迁移云主机的相关操作。 操作场景 本节操作以Linux操作系统为例，为您详细介绍在同一区域内，跨帐号迁移系统环境数据（只迁移系统盘数据）的操作流程。 用户的系统、应用环境数据一般保存在系统盘中，要想实现系统环境数据跨帐号迁移，需要用到镜像服务的创建系统盘镜像、共享镜像等功能。 方案介绍 跨帐号迁移系统环境数据的方案为：帐号A将云主机A上挂载的系统盘A做成系统盘镜像，将此镜像共享给帐号B；帐号B接受帐号A的共享镜像后，将其挂载至自己的云主机上，实现系统环境、应用环境迁移。操作流程如下： 跨帐号迁移系统环境数据流程图 步骤一：创建系统盘镜像 1. 账号A登录天翼云控制中心。 2. 单击控制中心顶部的选择区域，此处我们选择“北京5”为例。 3. 在左侧导航栏选择“计算>镜像服务”。 4. 在“镜像”列表页面，单击右上角“创建私有镜像”。 5. 进入创建私有镜像页面，镜像类型选择“系统盘镜像”，镜像源选择“云主机”。 6. 选择对应的云主机，选择对应系统盘。 7. 填写剩余的信息，企业项目、名称为必填，描述可选填。 企业项目：选择默认项目“default” 镜像名称：输入系统盘镜像名称，如“diskimagesys” 8. 单击“下一步”，进入配置信息确认页面。 9. 勾选“我已阅读并同意相关协议”，单击“确认下单”完成数据盘镜像的创建。 10. 返回私有镜像列表，等待几分钟后，数据盘镜像创建成功。

本章节为您介绍如数据加密网关的相关内容。 数据加密网关是一种专门为保护数据库数据存储安全而设计的高性能密码设备。它基于数据加密技术，能够在数据进入数据库之前对其进行加密处理，从而确保数据的机密性和完整性。这款创新设备在当今数据安全需求日益增长的环境下，扮演着至关重要的角色。 注意 在正式接入生产环境前，强烈建议您使用测试环境配合数据加密网关进行充分调试验证，确保通过后再切换至生产环境。 若因未遵循此操作流程导致的系统故障或数据风险，相关责任需由接入方自行承担。 核心功能与优势 数据加密：数据库加密网关采用先进的加密算法，对数据进行实时加密。无论是静态数据还是传输中的数据，都能得到有效保护，防止未经授权的访问和数据泄露。 高性能处理：作为一款高性能密码网关设备，它具备出色的处理能力，能够在保证数据安全的同时，不降低数据库的读写性能。这使得它在处理大量数据时依然能够保持高效稳定。 密钥管理：内置完善的密钥管理系统，能够安全地生成、存储和管理加密密钥。密钥的严密管理是数据安全的重要保障，防止密钥泄露导致的数据风险。 透明加密：提供透明的加密服务，应用程序无需改动即可享受数据加密保护。数据库加密网关在后台自动完成加密和解密操作，简化了数据安全管理。 兼容性强：支持多种数据库系统和应用程序，无需对现有系统进行大规模改造即可部署。这使得它能够快速融入企业现有的IT架构，提供即时的数据安全防护。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype string 是 产品类型 产品类型，仅支持单个产品类型，支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain string 否 域名 域名，仅支持单个域名，作为统计筛选项，不传默认名下所有域名。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，quic，other。 abroad int 否 区域 区域，国内(0)，国外(1)，不传或为空默认返回全部区域 groupby string 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，传参增加返回结果的聚合维度，支持busitype，province，isp，networklayerprotocol，applicationlayerprotocol，abroad。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list< string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain list< string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list< int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list< string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，quic，other。 groupby list< string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

本文为您介绍弹性高性能计算产品相关名词的主要含义。 集群 集群指由一组计算机和必要的管理软件组成的计算机系统，能够提供单节点无法提供的强大计算能力，集群中通常包含管理节点、计算节点、调度器、应用软件等。用户可以根据实际业务需求对集群进行扩容、缩容。 节点 节点是集群的组成单元，在集群中通常分为管理节点、计算节点。在EHPC中，每个节点对应一台实例，用户可以根据实际业务和作业情况对集群节点进行扩容、缩容。 作业 作业指通过调度器提交的承载业务逻辑的运算单元，在调度器的管理下，一个集群中可运行多个作业，并根据多种调度策略进行作业编排。在EHPC中，支持通过命令行、Portal页面提交作业。 调度器 调度器指负责监控和管理集群中资源和作业的软件系统，当前版本支持Slurm调度器。 镜像 镜像是一个包含了软件及必要配置的主机模板，至少包含操作系统，还可以包含应用软件和私有软件。 用户 用户指使用弹性高性能计算平台运行业务的用户，包含管理员及普通用户，管理员与普通用户具有不同的权限。 队列 队列指一组具有相同或相似架构、性能的节点，一个集群中支持配置多个队列。用户可根据需求对计算节点进行分类，配置为不同的队列，便于运行相应的作业、配置相应的权限。 自动伸缩 自动伸缩是一种自动伸缩策略，可以根据您配置的伸缩策略动态分配计算节点，系统可以根据调度器感知到的集群负载自动增加或减少计算节点。可以帮您合理利用资源，优化使用成本。

域名信息模板创建：在新域名服务界面点击“控制台”进入到创建模板页面。具体有如下两种方式： 在天翼云官网搜索“新域名服务”，找到新域名服务产品，点击“控制台”进入控制台页面 在天翼云官网点击“产品” → “企业应用” → “新域名服务”进入新域名服务产品界面，并点击“控制台”进入控制台页面 在控制台模版界面，点击“域名信息模版管理” → “创建模版”进入创建模版页面 在创建模板页面输入域名服务需要的相关信息。并点击“提交”，即可完成域名信息模板创建，等待模版实名认证通过后即可购买域名（ 请注意域名所有者证件类型和上传的证件扫描件保持一致，若模版实名被拒绝，请修改或者新建模版 ）。 查找要注册的域名，有两种方式如下： 在天翼云官网搜索“新域名服务”，找到新域名服务产品，点击“域名注册”进入域名查询页面 在天翼云官网点击“产品” → “企业应用” → “新域名服务”进入新域名服务产品界面，并点击“域名注册”进入域名查询页面，在域名查询页面输入想要注册的域名，显示“可注册”状态的域名为可注册和购买的域名。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list< string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain list< string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list< int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list< string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list< string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list< string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain list< string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list< int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list< string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，quic，other。 groupby list< string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list< string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain list< string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list< int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list< string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，quic，other。 groupby list< string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List< string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain list< string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list< int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list< string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，quic，other。 groupby list< string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

本节主要介绍创建IAM用户 如果您是管理员，在云服务平台创建了多种资源，例如弹性云主机、云硬盘、物理机等，您需要将资源分配给企业中不同的员工或者应用程序使用，为了避免分享自己的帐号密码，您可以使用天翼云官网的用户管理功能，给员工或应用程序创建IAM用户。 默认情况下， 新创建的IAM用户没有任何权限 ，管理员需要为其授予权限，或将其加入用户组，并给用户组授权，用户组中的用户将获得用户组的权限。IAM用户拥有权限后，IAM用户就可以基于权限对云服务进行操作。 注意 “admin”为缺省用户组，具有所有云服务资源的操作权限。将用户加入该用户组后，用户可以操作并使用所有云服务资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 如果删除并重新创建同名用户，则需要重新授权。 操作步骤 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户界面中，输入用户名、手机号、用户组等用户信息。 用户组：在下拉菜单中选择已创建好的用户组，新用户将具备此用户组的全部权限，这一过程即给用户授权。 用户基本信息：依次输入新用户的“邮箱”、“用户名”等基本信息，并为用户设置初始登录密码。 步骤 7 单击“确定”，完成IAM用户创建，返回子用户列表，将显示新创建的IAM用户。

本节为您介绍云迁移服务分阶段迁移策略相关内容。 分阶段迁移策略是一种将系统、应用程序或数据分成多个阶段进行迁移的策略。它可以帮助组织、企业或个人逐步迁移到新的环境，以降低风险、减少中断，并提供更好的控制和可管理性。通过采用分阶段迁移策略，可以将迁移过程分解为可控制、可管理和可验证的小步骤，降低了风险，并提供了更好的灵活性。这种策略允许组织逐步迁移，同时保持业务连续性，最终实现平稳的迁移过程。

本节主要介绍存储桶的生命周期规则。 在“存储桶列表”页面点击“属性”>“生命周期”，进入“生命周期”页面。在该页面，用户可以配置生命周期规则。 通过设置存储桶（Bucket）的生命周期规则，可以： 删除与生命周期规则匹配的文件。当文件的生命周期到期时，OOS会异步删除它们。生命周期中配置的到期时间和实际删除时间之间可能会有一段延迟。文件到期被删除后，用户将不需要为到期的文件付费。OOS删除到期文件后，会在Bucket log中记录一条日志，操作项是"OOS.EXPIRE.OBJECT"。 注意 如果文件的生命周期规则设置的是到期后删除，文件到期后将被永久删除，无法恢复。 将与生命周期规则匹配的文件由标准存储转换为低频访问存储，可以根据需要设置生命周期规则从文件最后一次修改生效，还是从文件最后一次访问时间生效。OOS转换存储类型为低频访问存储后，会在Bucket log中记录一条日志，操作项是"OOS.TRANSITIONSIA.OBJECT"。 项目 描述 :: 规则名称 生命周期规则名称。 适用范围 生命周期规则适用的范围。 规则 生命周期规则详情。 状态 生命周期规则的状态： 启用。 禁用。 操作 可以启用/禁用、编辑、删除指定的生命周期规则。 点击“添加规则”后，在弹窗中添加新的生命周期规则。 添加规则描述 项目 描述 :: 规则名称 生命周期规则名称。 文件转换策略 文件按生命周期规则转换的策略： 天数：生命周期规则在匹配文件最后一次修改时间或最后一次访问时间多少天后生效。 日期：生命周期规则生效日期，对于最后一次修改时间在此日期之前的文件执行生命周期规则。 适用范围 生命规则适用的范围： 按前缀匹配：输入生命周期规则匹配前缀，符合该前缀的文件执行生命周期规则。不符合的不执行生命周期规则。 整个存储桶：创建的生命周期规则适用该Bucket内的所有文件。 前缀 输入生命周期规则要匹配的文件名字的前缀。 前缀设置为example，表示匹配名字以example开头的所有文件，如example1.txt、example/test.png等。 前缀设置为example/，表示匹配名字以example/开头的所有文件，如example/test.png、example/abc/1.txt等。 转换到低频访问型文件 匹配生命周期规则的文件，到期后转换成低频访问型文件。 如果“文件转换策略”为“天数”，可以选择文件： 最后一次修改时间：指定在文件最后一次修改后多少天，根据生命周期规则，文件转为低频访问存储。 最后一次访问时间：指定在文件最后一次访问后多少天，根据生命周期规则，文件转为低频访问存储。 如果“文件转换策略”为“日期”，则在此日期之前修改的文件，将在此日期转换为低频访问存储。 删除文件 匹配生命周期规则的文件，到期后删除。 如果“文件转换策略”为“天数”，指定在文件最后一次修改后多少天，文件被删除。 如果“文件转换策略”为“日期”，则在此日期之前修改的文件，将在此日期被删除。 注意 如果存储桶没有配置过生命周期规则，执行该操作将创建新的生命周期规则。 如果存储桶内的生命周期规则正在执行时被修改配置，则修改后的配置并不立即生效，需等原生命周期规则执行完成后才能生效。 每个存储桶最多创建1000条生命周期规则。 同一存储桶，同一类型（到期删除或者到期转成低频访问存储）的生命周期规则不能存在叠加前缀，例如已创建到期删除文件的生命周期规则的前缀是ABC，则无法再创建前缀为ABCD或AB或A的到期删除文件的生命周期规则。 当用户为存储桶设置了生命周期规则，这些规则将同时应用于已有文件和后续新创建的文件。例如，用户今天增加了一个生命周期，指定过期时间为30天，那么OOS将会将最后修改时间在30天前的文件都加入到待删除队列中。 OOS通过将文件的最后一次修改时间或者最后一次访问时间加上生命周期时间来计算到期时间，并且将时间近似到下一天的GMT零点时间。例如，一个文件的最后修改时间为GMT 2016年1月15日10:30，生命周期为3天，那么文件的到期时间是GMT 2016年1月19日00:00。如果文件在上传之后没有修改过，则最后修改时间为该文件的上传时间。

操作名称 授权项 备注 创建数据库实例 rds:instance:create rds:param:list 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 创建加密实例需要在项目上配置KMS Administrator权限。 变更数据库实例的规格 rds:instance:modifySpec 无。 扩容数据库实例的磁盘空间 rds:instance:extendSpace 无。 单机转主备实例 rds:instance:singleToHa 若原单实例为加密实例，需要在项目上配置KMS Administrator权限。 重启数据库实例 rds:instance:restart 无。 删除数据库实例 rds:instance:delete 无。 查询数据库实例列表 rds:instance:list 无。 实例详情 rds:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc::get和vpc::list。 修改数据库实例密码 rds:password:update 无。 修改端口 rds:instance:modifyPort 无。 修改内网IP rds:instance:modifyIp 界面查询剩余IP列表需要： vpc:subnets:get vpc:ports:get 修改实例名称 rds:instance:modify 无。 修改运维时间窗 rds:instance:modify 无。 手动主备倒换 rds:instance:switchover 无。 修改同步模式 rds:instance:modifySynchronizeModel 无。 切换策略 rds:instance:modifyStrategy 无。 修改实例安全组 rds:instance:modifySecurityGroup 无。 绑定/解绑公网IP rds:instance:modifyPublicAccess 界面列出公网IP需要： vpc:publicIps:get vpc:publicIps:list 设置回收站策略 rds:instance:setRecycleBin 无。 查询回收站 rds:instance:list 无。 开启、关闭SSL rds:instance:modifySSL 无。 开启、关闭事件定时器 rds:instance:modifyEvent 无。 读写分离操作 rds:instance:modifyProxy 无。 申请内网域名 rds:instance:createDns 无。 备机可用区迁移 rds:instance:create 备机迁移涉及租户子网下的IP操作，若为加密实例，需要在项目上配置KMS Administrator权限。 表级时间点恢复 rds:instance:tableRestore 无。 透明数据加密（Transparent Data Encryption，TDE）权限 rds:instance:tde 仅用于RDS for SQL Server数据库实例。 修改主机权限 rds:instance:modifyHost 无。 查询对应账号下的主机 rds:instance:list 无。 获取参数模板列表 rds:param:list 无。 创建参数模板 rds:param:create 无。 修改参数模板参数 rds:param:modify 无。 应用参数模板 rds:param:apply 无。 修改指定实例的参数 rds:param:modify 无。 获取指定实例的参数模板 rds:param:list 无。 获取指定参数模板的参数 rds:param:list 无。 删除参数模板 rds:param:delete 无。 重置参数模板 rds:param:reset 无。 对比参数模板 rds:param:list 无。 保存参数模板 rds:param:save 无。 查询参数模板类型 rds:param:list 无。 设置自动备份策略 rds:instance:modifyBackupPolicy 无。 查询自动备份策略 rds:instance:list 无。 创建手动备份 rds:backup:create 无。 获取备份列表 rds:backup:list 无。 获取备份下载链接 rds:backup:download 无。 删除手动备份 rds:backup:delete 无。 复制备份 rds:backup:create 无。 查询可恢复时间段 rds:instance:list 无。 恢复到新实例 rds:instance:create 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 恢复到已有或当前实例 rds:instance:restoreInPlace 无。 获取实例Binlog清理策略 rds:binlog:get 无。 合并Binlog文件 rds:binlog:merge 无。 下载Binlog文件 rds:binlog:download 无。 删除Binlog文件 rds:binlog:delete 无。 设置Binlog清理策略 rds:binlog:setPolicy 无。 获取数据库备份文件列表 rds:backup:list 无。 获取历史数据库列表 rds:backup:list 无。 查询数据库错误日志 rds:log:list 无。 查询数据库慢日志 rds:log:list 无。 下载数据库错误日志 rds:log:download 无。 下载数据库慢日志 rds:log:download 无。 开启、关闭审计日志 rds:auditlog:operate 无。 获取审计日志列表 rds:auditlog:list 无。 查询审计日志策略 rds:auditlog:list 无。 生成审计日志下载链接 rds:auditlog:download 无。 获取主备切换日志 rds:log:list 无。 创建数据库 rds:database:create 无。 查询数据库列表 rds:database:list 无。 查询指定用户的已授权数据库 rds:database:list 无。 删除数据库 rds:database:drop 无。 创建数据库账户 rds:databaseUser:create 无。 查询数据库账户列表 rds:databaseUser:list 无。 查询指定数据库的已授权账户 rds:databaseUser:list 无。 删除数据库账户 rds:databaseUser:drop 无。 授权数据库账户 rds:databasePrivilege:grant 无。 解除数据库账户权限 rds:databasePrivilege:revoke 无。 任务中心列表 rds:task:list 无。 删除任务中心任务 rds:task:delete 无。

源数据库类型 数据量 一次性或持续 应用程序停机时间 迁移方式 文档链接 RDS for SQL Server 中 一次性 一段时间 使用DAS导出数据，再导入到RDS for SQL Server数据库。 RDS for SQL Server 任何 一次性或持续 最低 使用DRS将源库数据备份迁移到RDS for SQL Server数据库。 其他云上SQL Server数据库 任何 一次性或持续 最低 使用DRS将其他云上SQL Server备份迁移到RDS for SQL Server数据库。

本文帮助您了解如何操作跨账号网络实例授权。 使用说明 账号 A（授权方） 1. 在授权前，请从账号 B 处获取以下两项信息： 账号 B 的 唯一账号 ID 账号 B 的 云间高速 ID 2. 执行授权：将 VPC1 与 云专线 授权给账号B。 账号 B（被授权方） 1. 等待授权：确认账号A已完成授权。 2. 加载实例：在区域A的云企业路由器中加载网络实例，务必选择 “资源归属”为“跨账号”，然后加载已授权的VPC1和云专线。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“跨账号授权管理”，进入“跨账号授权管理”页面。 3. 在“已授权网络实例 ”页签中，点击“授权 ”按钮，进入“跨账号网络实例授权”页面。 4. 在“跨账号网络实例授权 ”页面，根据页面提示填写对应参数，单击“确定”，完成授权。 参数 说明 您的账号ID 当前登录账号的唯一标识符，用于授权查询与身份验证。 区域 需授权网络资源所在的区域（资源池）。 网络类型 需授权的网络资源类型。 网络实例 需要授权的网络实例，一次只能授权一个。 对方账号ID 被授权方的账号标识符，需对方登录天翼云，并在云间高速跨账号授权管理页面确认。 对方云间高速实例ID 被授权方需先创建的云间高速ID，用于组网授权与连接建立。 备注 输入关于授权资源的说明或备注信息。

本节介绍了扩展磁盘分区和文件系统(Windows 2008)的相关内容。 操作场景 通过云服务管理控制台扩容成功后，仅扩大了云硬盘的存储容量，因此需要参考本章节操作扩展分区和文件系统。 对于Windows操作系统而言，需要登录云主机将扩容部分的容量划分至已有的分区中，或者为扩容部分的容量分配新的分区。 本文以“Windows Server 2008 R2 企业版 64bit”操作系统为例。提供以下扩容方法： 系统盘： 已有C盘的情况下，将扩容部分的容量增加到C盘中，用作系统盘。请参见系统盘（将扩容部分的容量增加到C盘）。 已有C盘的情况下，为扩容部分的容量新创建一块F盘，用作数据盘。请参见系统盘（将扩容部分的容量新增到F盘）。 数据盘： 已有D盘的情况下，将扩容部分的容量增加到D盘中，用作数据盘。请参见数据盘（将扩容部分的容量增加到D盘）。 已有D盘的情况下，为扩容部分的容量新创建一块E盘，用作数据盘。请参见数据盘（将扩容部分的容量新增到E盘）。 不同操作系统的操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应操作系统的产品文档。 注意 扩容时请谨慎操作，误操作可能会导致数据丢失或者异常，建议扩容前对数据进行备份，可以使用CBR或者快照功能，CBR请参见

本文向您介绍企业版VPN中连接故障或无法PING通类常见问题。 VPN配置完成了，为什么连接一直处于未连接状态？ 可能存在信息配置错误，请从以下方面进行排查： 1. 确认两端的预共享密钥和协商信息一致，云上与用户侧数据中心的本端子网/对端子网、本端网关/对端网关互为镜像。 2. 确认用户侧数据中心设备的路由、NAT和安全策略配置无误。 如何防止VPN连接出现中断情况？ VPN连接在正常的使用过程中会存在重协商情况，触发重协商的条件有IPsec SA的生命周期即将到期和VPN传输的流量超过20GB，重协商一般不造成连接中断。 大多数的连接中断都是因为两端的配置信息错误造成的，或公网异常导致重协商失败造成的。 常见的连接中断原因有： 两端的ACL不匹配； SA生命周期不匹配； 用户侧数据中心未配置DPD； VPN使用过程中修改了配置信息； 运营商网络抖动。 因此请在配置VPN时确保操作和配置，以进行连接状态保活： 两端的子网配置互为镜像； SA生命周期信息一致； 用户侧数据中心网关开启DPD配置，探测次数不少于3次； 连接过程中修改参数两侧同步修改； 设置用户侧数据中心设备TCP MAXMSS为1300； 确保用户侧数据中心出口有足够的带宽可被VPN使用； 确认VPN连接可被两端触发协商，开启用户侧数据中心设备的主动协商配置；

本文介绍视频拖拉的支持方式和配置建议。 功能介绍 视频点播网站或应用，通常都会提供视频拖拉能力，用户可以随意拖动播放器进度条到想要的位置。使用CDN加速后，您可以通过配置视频拖拉功能，支持用户的视频拖拉请求。 用户在点播网站对视频进行拖动时，会向服务器端发起形如： 格式的请求，此时CDN节点如开启了视频拖拉功能，则会返回离第5s最近的关键帧开始，到视频文件末尾的音视频数据文件。 适用场景 需支持flv或mp4视频拖拉功能的视频点播网站。 注意事项 源站视频必须带有meta信息以及关键帧，如无，则视频拖拉功能无效，返回原始文件。 如视频拖拉请求携带的起始参数越界，例如start参数对应的字节位置超过文件大小，默认返回4xx状态码。 如视频拖拉请求携带的结尾参数越界，mp4时间拖拉和flv时间拖拉默认返回从起始参数开始到文件结尾位置的内容，flv按字节拖拉默认返回416。 支持mp4文件moov头在尾部的视频拖拉。 在开启视频拖拉之前，请确认源站支持range请求，且能返回206状态码和对应range范围内的文件。 使用说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【视频拖拉】。 5. 在【mp4拖拉】模块，开启功能并根据需求填写配置信息。 6. 在【flv拖拉】模块，单击【增加规则】，弹出的对话框中，添加flv4拖拉。 7. 单击【确定】，点击【保存】，完成配置。 视频文件格式 拖拉参数 URL示例 mp4 1.支持按时间拖拉；请说明具体起始参数和结尾参数；默认起始和结尾参数为start和end，单位为s。 2.请说明拖拉时是前向还是后向查找起始参数的最近关键帧，默认是后向查找，如需前向查找，请具体说明；例如start5，则默认返回离第5s最近的后向关键帧。 flv 1.支持按字节或时间拖拉；请说明具体是按字节还是按时间拖拉。 2.请说明起始参数和结尾参数，其中起始参数是必须项；默认字节拖拉起始和结尾参数为begin和stop，对应区间为左闭右开（可按需调整为左闭右闭，如需调整请说明）；默认时间拖拉起始和结尾参数为start和end，对应区间为左闭右闭。 3.时间拖拉时，如用户请求携带时间拖拉参数的同时有range请求头，可支持忽略range头，或在时间拖拉范围内取相对range，即先基于时间拖拉参数得到新文件（包含meta头和拖拽区间），再在新文件基础上取range；默认为忽略range头，如需在时间拖拉范围内取相对range，请具体说明。 4.flv拖拉请求除返回拖拉对应的音视频外，还会返回flv媒体头，默认为flv header；如需返回flv header+script tag（metadata）+首个video tag+首个audio tag，请说明选择meta头作为flv媒体头；如需返回flv header+首个video tag+首个audio tag，请说明选择media头作为flv媒体头。 1.请求url： 2.请求url：

本章节主要介绍Logstash集群配置中心的相关操作。 Logstash类型的集群支持通过配置中心，修改logstash的配置文件，从不同的数据源（input）迁移数据到不同的目的端（output）。 连通性测试 在使用Logstash集群迁移数据时，可以先测试下数据源和Logstash集群的网络是否连通。用户也可以输入数据输出端（output）的IP地址或域名和端口号，测试该Logstash集群和数据输出端的网络是否连通。 1.登录云搜索服务管理控制台。 2.在“集群管理”页面，选择Logstash类型集群，单击需要配置数据导入导出文件的集群名称，进入集群基本信息页面，选择“配置中心”，或者直接单击目标集群操作列的“配置中心”，进入配置中心页面。 3.在配置中心页面，选择“连通性测试”。 4.输入数据来源的IP地址或域名和端口号，单击“测试”。 连通性测试 说明 连通性测试最多可一次性测试10个IP地址或域名。您可以单击“继续添加”，添加多个IP地址或域名，然后单击“批量测试”，进行一次性测试多个IP地址或域名的连通性。 创建配置文件 1.登录云搜索服务管理控制台。 2.在“集群管理”页面，选择Logstash类型集群，单击需要配置数据导入导出文件的集群名称，进入集群基本信息页面，选择“配置中心”页签，进入配置中心页面；或者直接单击目标集群操作列的“配置中心”，进入配置中心页面。 3.单击右上角“创建”，进入创建配置文件页面。 您可以选择系统模板或者自定义模板方式创建，也可以直接进行创建配置文件。 −如果选择模板方式，可以直接单击对应的模板操作列的“应用”，然后在“名称”、“配置文件内容”和“隐藏内容列表”中进行命名和修改。 目前支持的系统模板类型有： elasticsearch：从Elasticsearch类型集群导入数据到Elasticsearch类型集群。 −如果直接创建配置文件，在“名称”和“配置文件内容”参数中直接输入对应内容即可。创建的配置文件内容大小不能超过100k。支持创建配置文件个数不超过50个。 −隐藏内容列表：输入需要隐藏的敏感字串列表，按Enter创建；配置隐藏字符串列表后，在返回的配置内容中，会将所有在列表中的字串隐藏为（列表最大支持20条，单个字串最大长度512字节）。 4.配置完成后，单击“下一页”，配置参数。 配置文件在迁移数据时管道中的配置。 参数说明 参数 说明 pipeline.workers 并行执行管道的Filters+Outputs阶段的工作线程数，默认值为CPU核数，建议取值为120之间。 pipeline.batch.size 单个工作线程在尝试执行其Filters和Outputs之前将从inputs收集的最大事件数，该值较大通常更有效，但会增加内存开销，默认为125。 pipeline.batch.delay 创建管道事件批时，在将过小的批调度到管道工作线程之前，等待每个事件的时间（以毫秒为单位），默认值为50。 queue.type 用于事件缓冲的内部队列模型。memory为基于内存的传统队列，persisted为基于磁盘的ACKed持久化队列，默认值为memory。 queue.checkpoint.writes 如果使用持久化队列，则表示强制执行检查点之前写入的最大事件数，默认值为1024。 queue.maxbytes 如果使用持久化队列，则表示持久化队列的总容量，确保磁盘的容量大于该值，默认值为1024。 单位：MB。 5.配置完成后，单击“创建”。 在配置中心页面可以看到创建的配置文件，状态为“可用”，表示创建成功。您还可以在操作列对创建的配置文件进行编辑、添加到自定义模板、删除等操作。 −编辑：单击操作列的“编辑”，可以修改配置文件的内容及配置参数。 −添加到自定义模板：可以将当前创建的配置文件，作为模板添加到自定义模板中，方便下次创建配置文件时使用。 −删除：如果不需要此配置文件，可以通过操作列进行删除。 说明 您也可以单击“操作记录”或“运行日志”，查看配置文件的相关操作记录和运行日志信息。

本章节主要介绍物理机镜像概述。 镜像是一个至少包含操作系统，还可以包含应用软件（例如，数据库软件）及软件必要配置的物理机模板。 镜像分为公共镜像和私有镜像，公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，用户也可以提工单给天翼云运维团队协助您完成私有镜像的创建。您可以灵活便捷地使用公共镜像或者私有镜像申请物理机。同时，用户还能通过已有的物理机或者外部镜像文件创建私有镜像，这样可以快速轻松地创建能满足您一切需求的物理机。

本章节介绍工作负载身份 概述 应用服务网格中的工作负载都有一个身份信息，这个信息主要用于网格内服务之间通信时实现身份认证和基于身份的访问授权。工作负载身份信息由服务网格自动生成和维护，基于Service Account实现；CSM服务网格中的工作负载身份信息符合SPIFFE标准，格式如下： spiffe://{trustdomain}/ns/{namespace}/sa/{serviceaccount} 在服务网格控制台 网格安全中心> 工作负载身份菜单下，选择namespace可以看到该命名空间下的工作负载身份信息，如下图：

查找要注册的域名，有两种方式如下： 在天翼云官网搜索“新域名服务”，找到新域名服务产品，点击“域名注册”进入域名查询页面 在天翼云官网点击“产品” → “企业应用” → “新域名服务”进入新域名服务产品界面，并点击“域名注册”进入域名查询页面，在域名查询页面输入想要注册的域名，显示“可注册”状态的域名为可注册和购买的域名。

Kafka 是按分区一条一条消息顺序向前推进消费的，如果消费端拿到某条消息后执行消费逻辑失败，比如应用服务器出现了脏数据，导致某条消息处理失败，等待人工干预，那么有以下两种处理方式： 失败后一直尝试再次执行消费逻辑。这种方式有可能造成消费线程阻塞在当前消息，无法向前推进，造成消息堆积。 由于 Kafka 自身没有处理失败消息的设计，实践中通常会打印失败的消息、或者存储到某个服务（比如创建一个 Topic 专门用来放失败的消息），然后定时 check 失败消息的情况，分析失败原因，根据情况处理。