注解名称 描述 示例 支持的CCM版本 service.beta.kubernetes.io/ctyunloadbalancerid 指定已有负载均衡，取值为负载均衡实例的ID。删除service时该 ELB不会被删除 lb v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalancerspec 指定新建负载均衡的规格，如elb.s2.small elb.s2.small v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalanceraddresstype 指定新建负载均衡的公网私网类型，取值： intranet：负载均衡地址类型为私网，intranet为默认值 internet：负载均衡地址类型为公网 internet v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalancerprotocolport 指定负载均衡监听HTTP协议或HTTPS协议，可指定多个监听，多个监听之间以逗号“,”分割 https:443,http:80 v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancersslcert 指定SSL证书，取值为SSL证书ID，可在负载均衡控制台的证书管理页面查看证书ID。 仅监听协议为HTTPS协议时需要指定 cert v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancerxforwardedfor 指定负载均衡监听器附加XForwardedFor头字段，通过开启该参数，后端服务可获取客户端源IP。取值为“true”或“false” 仅支持监听协议为HTTP和HTTPS协议 "true" v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancerchargetype 指定创建公网负载均衡时，公网的计费类型，取值： bandwidth：按带宽计费 traffic：按流量计费，traffic为默认值 traffic v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerbandwidth 计费类型为“bandwidth”时，可指定带宽的大小，值为数字类型，默认为1 Mbps 5 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancercyclecount 指定负载均衡的计费周期，值为数字类型，表示购买月数，默认为1个月 1 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancereipid 指定新建公网负载均衡时，可指定绑定已有的弹性IP，取值为弹性IP的ID，可在网络控制台的弹性IP详情页面查看ID eip v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerprojectid 指定新建负载均衡所属的企业项目，取值为企业项目ID，可在IAM控制台中企业项目详情查看ID 0 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerenableipv6 指定新建负载均衡时，可指定开启负载均衡的ipv6 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6bandwidthid 指定新建支持ipv6的公网负载均衡时，需指定IPv6带宽ID，可在网络控制台的IPv6带宽详情页面查看ID。如果没有IPv6带宽，请先创建一个 v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalancerenablelistenernat64 指定支持ipv6的负载均衡时，可指定开启监听器的nat64，支持负载均衡将ipv6流量转发到ipv4的后端 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6address 指定新建支持ipv6的负载均衡时，可指定负载均衡的ipv6地址（该地址为负载均衡所在子网的ipv6地址段中未被分配的ip），未指定则由系统随机分配 v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceroverridelisteners 指定已有负载均衡时，可指定是否强制覆盖已有监听 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckflag 健康检查开关，取值off或on。off：不启用；on：启用 on v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoption 配置全局健康检查的选项，对service下所有端口配置起作用。内容为json类型数据，数据结构见下表“健康检查字段数据结构说明” 注意 使用该字段，需确保service下端口配置的protocol协议一致 v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoptions 配置健康检查的选项，支持为service下单个端口或部分端口配置健康检查。内容为数组形式的json数据，数据结构参考表“健康检查字段数据结构说明” 注意 该字段不能与“service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoption”同时使用 v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclflag 指定访问控制的类型，取值： inherit：继承已有ELB配置； all：允许所有IP访问； white：白名单； black：黑名单 white v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclstatus 访问控制开关，值为on或off，只有为on时，黑/白名单才会生效 on v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclid 指定访问策略组的ID，可在负载均衡控制台的访问策略组页面查看策略ID ac v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerestablishtimeout 指定建立连接超时时间，只用于TCP监听 "30" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceridletimeout 指定空闲超时时间，只作用于HTTP/HTTPS监听 "30" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerresponsetimeout 指定响应超时时间，只作用于HTTP/HTTPS监听 "5" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerproxyprotocolflag 指定是否开启后端主机组的Proxy Protocol，ProxyProtocol协议会携带客户端源地址到后端服务器。取值： on：开启 off：关闭 注意 该功能不支持在线平滑开启，切换到ProxyProtocol需要业务停服升级，请谨慎配置。 on v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalanceripmode 指定Service的External IP模式，值为 vip 或 proxy vip：集群内访问Service不会经过ELB，直接经由ipvs/iptables转发到Service对应的后端Pod proxy：集群内访问Service会先经过ELB，最终再转发到对应后端Pod 注意 该特性要求Kubernetes集群版本大于v1.29 proxy v1.2.0及以上 service.beta.kubernetes.io/ctyunloadbalanceriptype 指定Service的External IP地址类型，值为 private 或 public private：设置ELB的私网IP为Service的External IP public：设置ELB的公网IP为Service的External IP public v1.2.0及以上 service.beta.kubernetes.io/ctyunloadbalancerpreservesourceip 指定是否开启客户端源地址保持，值为 true 或 false true：开启 false：关闭 注意 客户端源地址保持要求Service的ExternalTrafficPolicy必须为Local。开启该特性，需确保集群节点的弹性网卡对应的安全组已放通客户端源IP，避免影响网络连通 true v1.5.0及以上

本文帮助您快速熟悉如何配置HTTPS监听 TLS安全策略 操作场景： 安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性，您可以在创建和修改HTTPS监听时，配置选择TLS安全策略，提高应用的安全性。仅部分集群模式资源池的性能保障型负载均衡实例支持设置安全策略，主备模式资源池以及经典型负载均衡不支持设置，主备、集群模式资源池列表见 产品简介>产品类型和规格, 实际情况以控制台展现为准。 操作步骤： 添加HTTPS监听器时配置安全策略 具体操作如下： 1.登录弹性负载均衡控制台。 2.在顶部左侧选择弹性负载均衡所属区域。 3.选择以下一种方法打开监听器配置向导。 在负载均衡器列表页面，找到目标实例，在操作列单击“监听器配置向导”。 在ip类型/监听器端口/健康检查/服务器组列下方单击“开始配置”。 在负载均衡器列表页面，找到目标实例，单击实例名称进入实例详情页，单击“添加监听器”。 4.在高级配置中可见安全策略选择，默认选中策略为“TLSpolicy12”，可以根据实际应用需要选择不同策略。可选策略如下： 安全策略名称 支持TLS版本 支持加密算法套件 说明 TLSpolicy10with13 TLS v1.0/TLS v1.1/TLS v1.2//TLSv1.3 TLSAES128GCMSHA256、TLSAES256GCMSHA384、TLSCHACHA20POLY1305SHA256、TLSAES128CCMSHA256、TLSAES128CCM8SHA256、ECDHEECDSACHACHA20POLY1305、ECDHERSACHACHA20POLY1305、ECDHEECDSAAES128GCMSHA256、ECDHERSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHERSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHERSAAES128SHA256、ECDHEECDSAAES128SHA、ECDHERSAAES256SHA384、ECDHERSAAES128SHA、ECDHEECDSAAES256SHA384、ECDHEECDSAAES256SHA、ECDHERSAAES256SHA、AES128GCMSHA256、AES256GCMSHA384、AES128SHA256、AES256SHA256、AES128SHA、AES256SHA 支持TLS1.0、TLS1.1、TLS1.2、TLS1.3版本与相关加密套件，兼容性好，安全性低。当前安全策略包含低于TLS 1.2版本的协议，存在安全风险，建议选择高版本安全策略。 TLSpolicy10 TLS v1.0/TLS v1.1/TLS v1.2 ECDHEECDSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHEECDSAAES256SHA384、ECDHERSAAES128GCMSHA256、ECDHERSAAES256GCMSHA384、ECDHERSAAES128SHA256、ECDHERSAAES256SHA384、AES128GCMSHA256、AES256GCMSHA384、AES128SHA256、AES256SHA256、ECDHEECDSAAES128SHA、ECDHEECDSAAES256SHA、ECDHERSAAES128SHA、ECDHERSAAES256SHA、AES128SHA、AES256SHA 支持TLS1.0、TLS1.1、TLS1.2版本与相关加密套件，兼容性好，安全性低。当前安全策略包含低于TLS 1.2版本的协议，存在安全风险，建议选择高版本安全策略。 TLSpolicy11 TLS v1.1/TLS v1.2 ECDHEECDSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHEECDSAAES256SHA384、ECDHERSAAES128GCMSHA256、ECDHERSAAES256GCMSHA384、ECDHERSAAES128SHA256、ECDHERSAAES256SHA384、AES128GCMSHA256、AES256GCMSHA384、AES128SHA256、AES256SHA256、ECDHEECDSAAES128SHA、ECDHEECDSAAES256SHA、ECDHERSAAES128SHA、ECDHERSAAES256SHA、AES128SHA、AES256SHA 支持TLS1.1、TLS1.2版本与相关加密套件，兼容性较好，安全性中。当前安全策略包含低于TLS 1.2版本的协议，存在安全风险，建议选择高版本安全策略。 TLSpolicy12 TLS v1.2 ECDHEECDSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHEECDSAAES256SHA384、ECDHERSAAES128GCMSHA256、ECDHERSAAES256GCMSHA384、ECDHERSAAES128SHA256、ECDHERSAAES256SHA384、AES128GCMSHA256、AES256GCMSHA384、AES128SHA256,AES256SHA256、ECDHEECDSAAES128SHA、ECDHEECDSAAES256SHA、ECDHERSAAES128SHA、ECDHERSAAES256SHA、AES128SHA、AES256SHA 支持TLS1.2版本与相关加密套件，兼容性较好，安全性高。 TLSpolicy12Strict TLS v1.2 ECDHEECDSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHEECDSAAES256SHA384、ECDHERSAAES128GCMSHA256、ECDHERSAAES256GCMSHA384、ECDHERSAAES128SHA256、ECDHERSAAES256SHA384、ECDHEECDSAAES128SHA、ECDHEECDSAAES256SHA、ECDHERSAAES128SHA、ECDHERSAAES256SHA 支持TLS1.2版本与相关加密套件，兼容性一般，安全性高。 TLSpolicy12strict1.3 TLSv1.2/TLSv1.3 TLSAES128GCMSHA256、TLSAES256GCMSHA384、TLSCHACHA20POLY1305SHA256、TLSAES128CCMSHA256、TLSAES128CCM8SHA256、ECDHEECDSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHEECDSAAES256SHA384、ECDHERSAAES128GCMSHA256、ECDHERSAAES256GCMSHA384、ECDHERSAAES128SHA256、ECDHERSAAES256SHA384、ECDHEECDSAAES128SHA、ECDHEECDSAAES256SHA、ECDHERSAAES128SHA、ECDHERSAAES256SHA 支持TLS1.2和TLS1.3版本与相关加密套件，兼容性较好，安全性很高 5.配置其他参数， 添加后端主机组，并配置HTTPS监听器负载方式和健康检查，完成监听创建。详见 添加HTTPS监听器。

参数 类型 描述 控制台默认取值 支持的集群版本 kubernetes.io/elb.class String 请根据不同的应用场景和功能需求选择合适的负载均衡器类型。取值如下： union：共享型负载均衡。 performance：独享型负载均衡，仅支持1.17及以上集群 performance v1.9及以上 kubernetes.io/elb.id String 为负载均衡实例的ID，取值范围：1100字符。在关联已有ELB时：必填。获取方法：在控制台的“服务列表”中， 单击“网络 > 弹性负载均衡 ELB”，单击ELB的名称，在ELB详情页的“基本信息”页签下找到“ID”字段复制即可。 无 v1.9及以上 kubernetes.io/elb.protocolport String Service使用7层能力配置端口。详细使用请参见 无 v1.19.16及以上 kubernetes.io/elb.certid String Service使用7层能力配置HTTPS证书。详细使用请参见 无 v1.19.16及以上 kubernetes.io/elb.subnetid String 为集群所在子网的ID，取值范围：1100字符。l Kubernetes v1.11.7r0及以下版本的集群自动创建时：必填l Kubernetes v1.11.7r0以上版本的集群：可不填。 无 v1.11.7r0以下必填v1.11.7r0以上该字段废弃 kubernetes.io/elb.enterpriseID String v1.15及以上版本的集群支持此字段，v1.15以下版本默认创建到default项目下。 为ELB企业项目ID，选择后可以直接创建在具体的ELB企业项目下。该字段不传（或传为字符串'0'），则将资源绑定给默认企业项目。 获取方法：登录控制台后，单击顶部菜单右侧的“企业 > 项目管理”，在打开的企业项目列表中单击要加入的企业项目名称， 进入企业项目详情页，找到“ID”字段复制即可。 无 v1.15及以上 kubernetes.io/elb.autocreate 自动创建service关联的ELB示例： 公网自动创建：值为'{"type":"public","bandwidthname":"ccebandwidth1551163379627","bandwidthchargemode": "bandwidth","bandwidthsize":5,"bandwidthsharetype":"PER","eiptype":"5bgp","name":"james"}'l 私网自动创建： 值为'{"type":"inner", "name": "Alocationdtest"}' 无 v1.9及以上 kubernetes.io/elb.adaptiveweight String 根据Pod动态调整ELB后端云主机的权重。每个Pod收到的负载请求更加均衡。 开启：truel 关闭：false该参数仅1.21及以上集群适用，且ELB直通Pod场景下无效。 无 v1.21及以上 kubernetes.io/elb.lbalgorithm String 后端云主机组的负载均衡算法。取值范围： ROUNDROBIN：加权轮询算法。 LEASTCONNECTIONS：加权最少连接算法。 SOURCEIP：源IP算法。当该字段的取值为SOURCEIP时，后端云主机组绑定的后端的weight字段无效。云主机 ROUNDROBIN v1.9及以上 kubernetes.io/elb.healthcheckflag String 是否开启ELB健康检查功能。 开启：“（空值）”或“on” 关闭：“off”开启时需同时填写kubernetes.io/elb.healthcheckoption字段。 off v1.9及以上 kubernetes.io/elb.healthcheckoption ELB健康检查配置选项。 无 v1.9及以上 kubernetes.io/elb.passthrough String 集群内访问Service是否经过ELB。 无 v1.19及以上 kubernetes.io/elb.sessionaffinitymode String 负载均衡监听是基于IP地址的会话保持，即来自同一IP地址的访问请求转发到同一台后端服务器上。 不启用：不填写该参数。 开启会话保持：需增加该参数，取值“SOURCEIP”，表示基于源IP地址。 无 v1.9及以上 kubernetes.io/elb.aclid String 为ELB设置IP地址黑名单或白名单时需填写，参数值为ELB的IP地址组ID。 该参数仅独享型ELB生效，且仅在新建Service或指定新的服务端口（监听器）时生效。 无 v1.19.16v1.21.4 kubernetes.io/elb.aclstatus String 为ELB设置IP地址黑名单或白名单时需填写，取值为'on'，表示开启访问控制。 无 v1.19.16v1.21.4 kubernetes.io/elb.acltype String 为ELB设置IP地址黑名单或白名单时需填写。l black：表示黑名单，所选IP地址组无法访问ELB地址。 white：表示白名单，仅所选IP地址组可以访问ELB地址。 该参数仅独享型ELB生效，且仅在新建Service或指定新的服务端口（监听器）时生效。 无 v1.19.16v1.21.4 kubernetes.io/elb.sessionaffinityoption ELB会话保持配置选项，可设置会话保持的超时时间。 无 v1.9及以上 kubernetes.io/hwshostNetwork Boolean 为标记工作负载服务是否使用主机网络模式。如果Pod使用的主机网络，开启这个annotation会ELB转发到主机网络的方式对接。 取值范围：“true”或者“false”默认是“false”，表示未使用主机网络。 无 v1.9及以上

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

插件简介 Prometheus是一套开源的系统监控报警框架。它启发于Google的borgmon监控系统，由工作在SoundCloud的Google前员工在2012年创建，作为社区开源项目进行开发，并于2015年正式发布。2016年，Prometheus正式加入Cloud Native Computing Foundation，成为受欢迎度仅次于Kubernetes的项目。 在云容器引擎CCE中，支持以插件的方式快捷安装Prometheus。 插件官网： 开源社区地址： 插件特点 作为新一代的监控框架，Prometheus具有以下特点： 强大的多维度数据模型： a. 时间序列数据通过metric名和键值对来区分。 b. 所有的metrics都可以设置任意的多维标签。 c. 数据模型更随意，不需要刻意设置为以点分隔的字符串。 d. 可以对数据模型进行聚合，切割和切片操作。 e. 支持双精度浮点类型，标签可以设为全unicode。 灵活而强大的查询语句（PromQL）：在同一个查询语句，可以对多个metrics进行乘法、加法、连接、取分数位等操作。 易于管理：Prometheus server是一个单独的二进制文件，可直接在本地工作，不依赖于分布式存储。 高效：平均每个采样点仅占 3.5 bytes，且一个Prometheus server可以处理数百万的metrics。 使用pull模式采集时间序列数据，这样不仅有利于本机测试而且可以避免有问题的服务器推送坏的metrics。 可以采用push gateway的方式把时间序列数据推送至Prometheus server端。 可以通过服务发现或者静态配置去获取监控的targets。 有多种可视化图形界面。 易于伸缩。 需要指出的是，由于数据采集可能会有丢失，所以Prometheus不适用对采集数据要100%准确的情形。但如果用于记录时间序列数据，Prometheus具有很大的查询优势，此外，Prometheus适用于微服务的体系架构。 约束与限制 1.11及以上版本的CCE集群支持此插件功能。 安装插件 步骤 1 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件市场”页签下，单击Prometheus下的“安装插件”按钮。 步骤 2 在安装插件页面，选择安装的集群和插件版本，单击“下一步：规格配置”。 步骤 3 在“规格配置”步骤中，配置以下参数： 表Prometheus配置参数说明 参数 参数说明 插件规格 根据业务需求，选择插件的规格，包含如下选项： 演示规格（100容器以内）：适用于体验和功能演示环境，该规模下prometheus占用资源较少，但处理能力有限。建议在集群内容器数目不超过100时使用。 小规格（2000容器以内）：建议在集群中的容器数目不超过2000时使用。 中规格（5000容器以内）：建议在集群中的容器数目不超过5000时使用。 大规格（超过5000容器）：建议集群中容器数目超过5000时使用此规格。 实例数 选择上方插件规格后，显示插件中的实例数，此处仅作显示。 容器 选择插件规格后，显示插件容器的CPU和内存配额，此处仅作显示。 监控数据保留期 自定义监控数据需要保留的天数，默认为15天。 存储 按照界面提示配置如下参数： 类型：支持云硬盘。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 子类型：支持普通IO、高IO和超高IO三种类型。 容量：请根据业务需要输入存储容量，默认10G。 说明： 若命名空间monitoring下已存在pvc，将使用此存储作为存储源。 步骤 4 单击“安装”。 待插件安装完成后，单击“返回”，在“插件实例”页签下，选择对应的集群，可查看到运行中的实例，这表明该插件已在当前集群的各节点中安装。 步骤 5 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件实例”中，单击“Prometheus”进入详情页，可以查看插件实例的详细情况。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击“Prometheus”下的“ 升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级“Prometheus”插件时，会替换原先节点上的旧版本的“Prometheus”插件，安装最新版本的“Prometheus”插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 参考安装插件中参数说明配置参数后，单击“升级”即可升级“Prometheus”插件。 卸载插件 步骤 1 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件实例”页签下，选择对应的集群，单击Prometheus下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。 参考资源 Prometheus概念及详细配置请参阅Prometheus 官方文档 Node exporter安装请参考nodeexporter github 仓库

本章节介绍如何通过自建网关实现全链路灰度 概述 您可以基于微服务治理在不修改任何业务代码的情况下，实现全链路灰度的流量控制。本文介绍用户如何通过自建网关实现全链路灰度功能。 前提条件 1、用户已开通微服务治理中心企业版。 2、用户已开通云容器引擎。 背景信息 在微服务架构下，一次需求可能会同时修改多个微服务应用。在发布应用时，通常将这些应用划分为同一个分组，使灰度流量始终在灰度应用中流转。当上游有灰度流量时，会通过引流的方式将灰度流量引导至灰度分组，在此次链路调用过程中，如果存在一些微服务没有灰度环境，那这些请求在下游时依然能回到灰度环境中，以此实现全链路灰度。 通过使用微服务治理中心，可以在不修改业务代码的情况下，轻松实现全链路灰度。本文介绍如何通过自建网关实现全链路灰度。 部署Demo应用 准备自建入口网关msgczuul，准备应用msgcappa，msgcappb和msgcappc。调用过程是msgcappa –> msgcappb > msgcappc。 步骤1：在云容器引擎集群中安装微服务治理插件： 1. 登录云容器引擎控制台。 2. 在左侧菜单栏选择集群，点击目标集群。 3. 在集群管理页面点击插件插件市场，选择cubems插件安装。 步骤2：为应用开启微服务治理能力： 1. 登录云容器引擎控制台。 2. 左侧菜单栏选择集群，点击目标集群。 3. 在集群管理页面点击工作负载无状态，选择目标命名空间。 4. 在Deployment列表页选择指定Deployment，并点击全量替换，进入Deployment编辑页。 5. 在Deployment编辑页点击显示高级设置，新增Pod标签: mseCubeMsAutoEnable:on。 6. 在发布应用时，配置指定环境变量，可指定注入微服务治理中心的应用名、命名空间和标签等信息。 环境变量配置如下： 环境变量名 环境变量值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSESERVICETAG 应用标签信息，如灰度应用可配置gray。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。 7. 完成编辑后点击提交，重新发布容器即可接入。 appa应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appb应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appc应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" zuul应用的配置： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "zuul" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "zuul" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "zuul" spec: containers: env: name: "MSEAPPNAME" value: "zuul" image: "镜像仓库域名/xxx/zuul:latest" imagePullPolicy: "Always" name: "zuul" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi"

操作场景 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。 集群内部域名格式为“ . .svc.cluster.local: ”，例如“nginx.default.svc.cluster.local:80”。 访问通道、容器端口与访问端口映射如下图所示。 图集群内访问 工作负载创建时设置 您可以在创建工作负载时通过CCE控制台设置Service访问方式，如下： 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“集群内访问 ( ClusterIP )”。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 2 单击“下一步”进入“高级设置”页面，直接单击“创建”。 步骤 3 单击“查看工作负载详情”，在“访问方式”页签下获取访问地址，例如10.247.74.100:8080。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“集群内访问 ( ClusterIP )”。 步骤 4 设置集群内访问参数。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 5 单击“创建”。工作负载已添加“集群内访问 ( ClusterIP )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 登录工作负载所在集群的任意节点。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。您可以通过IP或者域名的方式来验证。 方式一：通过IP 地址验证。 curl 10.247.74.100:8080 其中10.247.74.100:8080为步骤3中获取的访问地址。 回显如下表示工作负载可正常访问。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 方式二：进入容器，在容器内通过域名验证。 curl nginx.default.svc.cluster.local:8080 其中nginx.default.svc.cluster.local为步骤3中获取的域名访问地址。 回显如下表示工作负载可正常访问。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在“更新Service”页面，访问类型选择“集群内访问 ( ClusterIP )”。 步骤 3 更新集群内访问参数。 Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 4 单击“更新”，工作负载已更新Service。

本节主要介绍OOS API错误码。 状态码 错误码 错误信息 描述 400 AuthorizationHeaderMalformed The authorization header is malformed. 签名头格式不正确。 400 AuthorizationHeaderMalformed The authorization header is malformed, missing Credential. 签名头格式不正确，需补充Credential。 400 AuthorizationHeaderMalformed The authorization header is malformed, missing SignedHeaders. 签名头格式不正确，需补充SignedHeaders。 400 AuthorizationHeaderMalformed The authorization header is malformed, missing Signature. 签名头格式不正确，需补充Signature。 400 AuthorizationHeaderMalformed The authorization header is malformed, the Credential is malformed, expecting 'YOURAKID/YYYYMMDD/REGION/SERVICE/aws4request'. 签名头中Credential格式不正确，格式应该为'YOURAKID/YYYYMMDD/REGION/SERVICE/aws4request'。 400 AuthorizationHeaderMalformed The authorization header is malformed, the date format 'date' is wrong, expecting 'YYYYMMDD'. 签名头中date格式不正确，应该为'YYYYMMDD'。 400 AuthorizationHeaderMalformed The authorization header is malformed, the region'region' is wrong, expecting 'region'. 签名头中区域名不正确。 400 AuthorizationHeaderMalformed The authorization header is malformed, incorrect service 'service '. This endpoint belongs to 'endpoint'. 签名头不正确，服务域名不对。 400 AuthorizationHeaderMalformed The authorization header is malformed, incorrect terminal 'terminal'. This endpoint uses 'aws4request'. 签名头不正确，endpoint应使用服务aws4request。 400 AuthorizationPostFormFieldsError Form Post authentication version 4 requires the policy, xamzalgorithm, xamzcredential, xamzsignature, xamzdate form fields. V4签名中policy、xamzalgorithm、xamzcredential、xamzsignature、xamzdate不能为空。 400 AuthorizationPostFormFieldsError Xamzalgorithm only supports 'AWS4HMACSHA256'. v4签名算法仅支持AWS4HMACSHA256。 400 AuthorizationPostFormFieldsError Xamzdate must be in the ISO8601 Long Format "yyyyMMdd'T'HHmmss'Z'". xamzdate必须是ISO8601时间格式yyyyMMdd'T'HHmmss'Z'。 400 AuthorizationQueryParametersError XAmzAlgorithm only supports 'AWS4HMACSHA256'. V4预签名签名算法仅支持AWS4HMACSHA256。 400 AuthorizationQueryParametersError Querystring authentication version 4 requires the XAmzAlgorithm, XAmzCredential, XAmzSignature, XAmzDate, XAmzSignedHeaders, and XAmzExpires parameters. V4预签名需要下列参数：XAmzAlgorithm, XAmzCredential, XAmzSignature, XAmzDate, XAmzSignedHeaders, and XAmzExpires。 400 AuthorizationQueryParametersError XAmzExpires must be less than a week (in seconds); that is, the given XAmzExpires must be less than 604800 seconds. V4预签名生成时间不能超过7天。 400 AuthorizationQueryParametersError XAmzExpires must be nonnegative. V4预签名过期时间不能为负数。 400 AuthorizationQueryParametersError XAmzDate must be in the ISO8601 Long Format "yyyyMMdd'T'HHmmss'Z'". V4预签名XAmzDate必须是ISO8601时间格式yyyyMMdd'T'HHmmss'Z'。 400 AuthorizationQueryParametersError Invalid credential date"date". This date is not the same as XAmzDate:"date". V4预签名credential date与XAmzDate的日期需要保持一致。 400 BadDigest The ContentMD5 you specified did not match what we received. ContentMD5不正确。 400 BadRequest Advance cut's position is out of image. 剪切图片时起始坐标超过原图片尺寸。 400 CanNotModifyMetadataLocation Can not modifiy bucket metadata location. 不能修改元数据位置。 400 IdMismatch Document ID does not match the specified configuration ID. 请求头和请求体中清单ID输入不一致。 400 IncompleteBody You did not provide the number of bytes specified by the ContentLength HTTP header. ContentLength配置的长度与实际收到的数据长度不符，请检查后重发。 400 InvalidArgument User key must have a length greater than 0. 表单上传文件时Key项的值不能为空。 400 InvalidArgument The authorization header is invalid. Expected AccessKeyId:signature. v2签名格式不正确，应该为“AccessKeyId :signature”。 400 InvalidArgument xamzcontentsha256 must be UNSIGNEDPAYLOAD, STREAMINGAWS4HMACSHA256PAYLOAD, or a valid sha256 value. v4签名xamzcontentsha256必须是UNSIGNEDPAYLOAD, STREAMINGAWS4HMACSHA256PAYLOAD或者有效的sha256值。 400 InvalidArgument Unsupported authorization type. v4签名Authentication标头只支持AWS4HMACSHA256算法。 400 InvalidArgument Bucket POST must contain a field named 'AWSAccessKeyId'. If it is specified, please check the order of the fields. 必须包含字段AWSAccessKeyId。 400 InvalidArgument Bucket POST must contain a field named 'policy'. If it is specified, please check the order of the fields. 必须包含字段policy。 400 InvalidArgument Bucket POST must contain a field named 'signature'. If it is specified, please check the order of the fields. 必须包含字段signature。 400 InvalidArgument POST requires exactly one file upload per request. POST请求每次只能上传一个文件。 400 InvalidArgument Bucket POST must contain a field named 'key'. If it is specified, please check the order of the fields. 表单上传中必须指定key。如果已指定，请检查字段顺序。 400 InvalidArgument If the TargetBucket element does not exist, the TargetPrefix element cannot exist either. 在配置日志规则时，如果TargetBucket元素不存在，则TargetPrefix也不能存在。 400 InvalidArgument The target prefix exceeds 900 bytes. 配置日志记录规则时，TargetPrefix的长度不能超过900字节。 400 InvalidArgument ID length should not exceed allowed limit of 255. 配置生命周期规则时，Rule ID长度不能超过255。 400 InvalidArgument At least one action needs to be specified in a rule. 配置生命周期规则时，必须配置过期时间，Days或Date。 400 InvalidArgument 'Days' for [TransitionExpiration] action must be a positive integer. 配置生命周期规则时，Days必须为正整数。 400 InvalidArgument Only one action can be specified in the rule. 配置生命周期规则时，Days或Date只能存在一个。 400 InvalidArgument 'Date' must be at midnight GMT. 配置生命周期规则时，Date必须为ISO8601格式，并且为UTC的零点。 400 InvalidArgument Invalid target Storage class for Transition action. 指定的存储类型无效。 400 InvalidArgument Default retention period must be a positive integer value. 合规保留日期取值必须是正整数。 400 InvalidArgument Object lock configuration has been enabled and can not be disabled. 合规保留已经开启，不能关闭。 400 InvalidArgument Default retention period cannot be less than previously value. 设置的合规保留时长不能短于上次设置的时长。 400 InvalidArgument MaxUploads should be between 1~1000. maxuploads的取值范围为[1,1000]。 400 InvalidArgument The length of delimiter must be 1. delimiter长度不能超过1。并且只能是‘/’或空。 400 InvalidArgument MaxKeys should be between 1~1000. 参数maxKeys取值范围为[1,1000]。 400 InvalidArgument Maxparts should be between 1~1000. maxparts取值范围为[1,1000]。 400 InvalidArgument Partnumbermarker must be an integer between 0 and 2147483647. partnumbermarker必须是整数，取值范围是(0, 2147483647)。 400 InvalidArgument xamzlimitrate invalid. The input should be positive integer. xamzlimitrate取值必须为正整数。 400 InvalidArgument Invalid request parameter: value. 参数无效。 400 InvalidArgument The object size should be less than 5TiB. 文件大小不能超过5TiB。 400 InvalidArgument The 'Expires' field format invalid. The 'Expires' header format invalid. Expires格式不正确。 400 InvalidArgument The metadata size should be less than 2KiB. 用户自定义元数据不能超过2KiB。 400 InvalidArgument Insufficient information. Origin request header needed. 跨域预检时，请求头不正确。 400 InvalidArgument Please enter an integer not less than 1. CORS配置中MaxAgeSeconds取值为不小于1的整数。 400 InvalidArgument Invalid AccessControlRequestMethod:value . AccessControlRequestMethod无效。 400 InvalidArgument The xamzcopysourcerange value must be of the form bytesfirstlast where first and last are the zerobased offsets of the first and last bytes to copy. xamzcopysourcerange形式必须为bytesfirst last，其中第一个和最后一个都是以零为基础开始的偏移量。 400 InvalidArgument Invalid protocol, protocol can be http or https. If not defined the protocol will be selected automatically. 指定的http协议值不正确。 400 InvalidArgument The provided host name contains N characters. The maximum allowed redirect page size is 1024 characters. HostName包含的字符个数大于1024。 400 InvalidArgument The provided home page contains N characters. The maximum allowed home page size is 1024 characters. 首页包含的字符个数大于1024。 400 InvalidArgument The provided error page contains N characters. The maximum allowed error page size is 1024 characters. 错误页包含的字符个数大于1024。 400 InvalidArgument The provided replacement contains N characters. The maximum allowed replacement size is 1024 characters. 重定向规则中ReplaceKeyPrefixWith或者ReplaceKeyWith包含的字符个数大于1024。 400 InvalidArgument The provided prefix contains N characters.The maximum allowed prefix size is 1024 characters. 重定向规则中KeyPrefixEquals包含的字符个数大于1024。 400 InvalidArgument RedirectAllRequestsTo cannot be provided in conjunction with other Routing Rules. 重定向所有请求不能与其他规则同时存在。 400 InvalidArgument The IndexDocument Suffix cannot contain the "/" character. 索引页配置不能包含斜杠“/”。 400 InvalidArgument The IndexDocument Suffix cannot be blank. 索引页配置不能为空。 400 InvalidArgument Missing required key 'Redirect'. 缺少必需的参数Redirect。 400 InvalidArgument The ErrorDocument Key cannot be blank. 错误页配置不能为空。 400 InvalidArgument The HostName cannot be blank. HostName配置不能为空。 400 InvalidArgument The HostName cannot contain the "/" character. HostName不能包含斜杠“/”。 400 InvalidArgument The provided HTTP error code (value) is not valid. Valid codes are 4XX or 5XX. 重定向条件中的HttpErrorCodeReturnedEquals不是有效值。 400 InvalidArgument Missing required key 'HostName'. 缺少必需的参数HostName。 400 InvalidArgument The HostName cannot contain spaces. HostName配置不能包含空格。 400 InvalidArgument A value for IndexDocument Suffix must be provided if RedirectAllRequestsTo is empty. 重定向所有请求未配置时，索引文件必须配置。 400 InvalidArgument The destination bucket does not belong to you. 目的Bucket为他人的Bucket。 400 InvalidArgument Invalid Format value. 清单的格式不正确，取值只能为CSV。 400 InvalidArgument Invalid Field value. Field值填写错误。 400 InvalidArgument The maximum size of a Destination/Prefix is 512. Prefix最大长度为512。 400 InvalidArgument The maximum size of a Filter/Prefix is 1024. Prefix最大长度为1024。 400 InvalidArgument IsEnabled value expects true or false. IsEnabled的取值只能为true或false。 400 InvalidArgument Frequency value expects Daily or Weekly. Frequency的取值只能为Daily或Weekly。 400 InvalidArgument Schedule/Frequency missing. Frequency未填写。 400 InvalidArgument InventoryConfiguration/Destination/OOSBucketDestination/Bucket missing. 清单的目的Bucket未填写。 400 InvalidArgument IsEnabled missing. IsEnabled缺失。 400 InvalidArgument InventoryConfiguration/Destination/OOSBucketDestination/Format missing. 清单的输出格式缺失。 400 InvalidArgument Invalid id. Id无效。 400 InvalidArgument Id missing. 请求体中的id缺失。 400 InvalidArgument The type of 'IsAccessTime' must be Boolean. IsAccessTime取值应为布尔型，true或者false。 400 InvalidArgument 'Days' in the Expiration action for prefix 'prefix ' must be greater than 'Days' in the Transition action. 两生命周期规则重叠时，过期删除天数必须大于过期转储天数。 400 InvalidBucketCorsConfigure The XML you provided is not valid. XML无效。 400 InvalidBucketName The bucket name is:name . Bucket名字无效。 400 InvalidConfigurationId The specified configuration id is invalid. 请求头的清单ID未填写。 400 InvalidLocationConstraint The specified location constraint is not valid. 指定的数据位置无效。 400 InvalidObjectName The object name is:name . 文件名字无效。 400 InvalidOOSDestinationBucket Invalid Bucket ARN. Bucket ARN的格式不正确。 400 InvalidOOSDestinationBucket Invalid Bucket Name:bucketname . 清单输出的目的Bucket不存在。 400 InvalidPart One or more of the specified parts could not be found. The part may not have been uploaded, or the specified entity tag may not match the part's entity tag. 一个或者多个指定片段无法找到，片段可能没有被上传，或者指定的ETag值跟片段的ETag值不匹配。 400 InvalidPartNumber Part number must be an integer between 1 and 10000. 参数PartNumber的取值是[1, 10000]。 400 InvalidPartOrder The list of parts was not in ascending order. The parts list must be specified in order by part number. 分片片段列表没有按升序排列。片段列表必须根据分片号按顺序排列。 400 InvalidPartSize Your proposed upload is smaller than the minimum allowed object size. Each part must be at least 5 MiB in size, except the last part. 合并分片文件时，只允许最后一片小于5MiB，其他分片至少5MiB。 400 InvalidPolicyDocument Invalid Policy: JSON invalid:value . 策略无效，不是标准的json格式。 400 InvalidPolicyDocument Invalid according to Policy: Extra input fields:value . 策略无效，输入了额外的字段。 400 InvalidPolicyDocument Policy could not be parsed as a valid JSON string. 策略必须是json格式。 400 InvalidPolicyDocument Policy is missing required element Statement. 策略必须配置Statement。 400 InvalidPolicyDocument Policy is missing required element Principal. 策略必须配置Principal。 400 InvalidPolicyDocument Policy element has invalid value Principal. 策略配置的Principal值无效。 400 InvalidPolicyDocument Policy is missing required element Resource. 策略必须配置Resource元素。 400 InvalidPolicyDocument Policy is missing required element Resource content. 策略的Resource元素必须赋值。 400 InvalidPolicyDocument Policy has invalid resource resource . 策略配置的Resource无效。 400 InvalidPolicyDocument Policy has an invalid condition key key . 策略配置的condition key无效。 400 InvalidPolicyDocument No such condition type type. 策略配置的condition type无效。 400 InvalidPolicyDocument Action does not apply to any resource(s) in statement. 策略配置的Action无效。 400 InvalidPolicyDocument Policy is missing required element Effect. 策略必须配置Effect。 400 InvalidPolicyDocument Policy element has invalid value Effect :Effect . 策略配置的Effect无效。 400 InvalidPolicyDocument Policy element has invalid value Version :Version . 策略配置的Version无效。 400 InvalidRedirectLocation The website redirect location must be nonempty. xamzwebsiteredirectlocation头不能为空。 400 InvalidRedirectLocation The website redirect location must have a prefix of ' or ' or '/'. xamzwebsiteredirectlocation必须有前缀' 400 InvalidRedirectLocation The length of website redirect location cannot exceed 2,048 characters. xamzwebsiteredirectlocation长度不能超过2048。 400 InvalidRequest Missing required header for this request: xamzcontentsha256. v4签名必须携带xamzcontentsha256。 400 InvalidRequest Missing required header for this request: ContentMD5. 请求头必须包含ContentMD5。 400 InvalidRequest Please reduce your request rate. 请降低您的请求频率。 400 InvalidRequest The operation failed, please change a resource pool and try again. 请换其他资源池或者重试。 400 InvalidRequest This copy request is illegal because it is trying to copy an object to itself without changing the object's metadata or storage class. 复制文件时必须修改元数据或者存储类型。 400 InvalidRequest xamzlimitrate invalid.The input should be positive integer. xamzlimitrate只能是正整数。 400 InvalidRequest The source object size cannot be smaller than 5 GiB. 如果源文件取range进行拷贝，源文件大小不能小于5G。 400 InvalidRequest You can only define ReplaceKeyPrefix or ReplaceKey but not both. ReplaceKeyPrefix或者ReplaceKey不能同时存在。 400 InvalidRequest Condition cannot be empty. To redirect all requests without a condition, the condition element shouldn't be present. Condition配置不能为空。不带条件的情况下，重定向所有请求不应该出现condition元素。 400 InvalidRequest The maximum size of a prefix is 1024. 配置生命周期规则时，前缀的最大长度为1024。 400 InvalidRequest Number of lifecycle rules should not exceed allowed limit of 1000 rules. 同一Bucket配置的生命周期规则不能超过1000条。 400 InvalidRequest Rule ID must be unique. Found same ID for more than one rule. 配置生命周期规则时，Rule ID必须唯一。 400 InvalidRequest Found two rules with same prefix 'prefix ' for same action type [TransitionExpiration]. 同一Bucket的两条生命周期规则不能有相同的prefix。 400 InvalidRequest Found overlapping prefixes 'prefix ' and ' prefix ' for same action type [TransitionExpiration]. 同一Bucket的两条生命周期规则不能有前缀重叠的情况。 400 InvalidRequest Found overlapping prefixes 'prefix ' and '' for same action type [TransitionExpiration]. 同一Bucket的两条生命周期规则不能同时存在有前缀和无前缀规则。 400 InvalidStorageClass The storage class you specified is not valid. xamzstorageclass无效。 400 InvalidStorageClass Can not specify the storage class. 未合并的分段文件不能指定xamzstorageclass进行拷贝。 400 InvalidTargetBucketForLogging The target bucket name is:name. 日志记录规则时，目标Bucket不存在或者无目标Bucket的权限。 400 MalformedPOSTRequest The body of your POST request is not wellformed multipart/formdata. POST表单请求中contenttype配置的boundary格式不规范。 400 MalformedXML CORS Rule is empty. CORS Rule不能为空。 400 MalformedXML The number of CORS Rules you provided cannot exceed 100. CORS Rules个数不能超过100。 400 MalformedXML The length of CORS Rule ID you provided cannot exceed 255 characters. CORS Rule ID长度不能超255个字符。 400 MalformedXML AllowedOrigin does not exist. CORS配置中AllowedOrigin不存在。 400 MalformedXML AllowedMethod does not exist. CORS配置中AllowedMethod不存在。 400 MalformedXML AllowedOrigin "value" can not have more than one wildcard. CORS配置中AllowedOrigin最多只能携带一个通配符。 400 MalformedXML AllowedHeader "value" can not have more than one wildcard. CORS配置中AllowedHeader最多只能携带一个通配符。 400 MalformedXML ExposeHeader "value" contains wildcard. We currently do not support wildcard for ExposeHeader. CORS配置中ExposeHeader不能携带通配符。 400 MalformedXML CORS Rule ID is not unique. CORS Rule ID必须是唯一的。 400 MalformedXML The XML you provided was not wellformed or did not validate against our published schema. XML格式不正确。 400 MaxRequestBodyLengthExceeded Your request was too big, the maximum size is %s . 请求体长度太长。 400 MissingRequestBodyError Request Body is empty. 请求body体为空。 400 NoSuchUpload The specified upload does not exist. The uploadId may be invalid, or the upload may have been aborted or completed. 指定的分片上传过程不存在，上传ID可能非法，分片上传过程可能被终止或者已经完成。 400 PutObjectTooFast Upload:value is updated too fast. 同一文件并发上传过快。 400 TooManyBuckets You have attempted to create more buckets than allowed. Bucket数量已经到达上限。 400 TooManyConfigurations You are attempting to create a new configuration but have already reached the 10configuration limit. 超出清单配置规则的数量限制，每个Bucket最多配置10条清单。 403 InvalidAccessKeyId InvalidAccessKeyId. AccessKeyId无效。 403 InvalidAccessKeyId The AccessKeyId is invalid. AccessKeyId被禁用。 403 InvalidAccessKeyId The specified accessKey:accessKey does not exist. 临时密钥不存在，需重新申请。 403 AccessDenied Please use primary access key. 需要使用主密钥。 403 AccessDenied Nonprimary key can not list without prefix or prefix is not start with access key. 非主密钥只能list以自己access key为前缀的文件。 403 AccessDenied Nonprimary key can not operate bucket. 非主密钥，不能操作该Bucket。 403 AccessDenied Nonprimary key can not operate object that not start with access key. 非主密钥只能操作以自己access key为前缀的文件。 403 AccessDenied The secret token is expired, expiration:value . secret token过期。 403 AccessDenied The OOS service has been closed due to overdue payment. If the overdue payment exceed 15 days, the data will be deleted. Please recharge it in time. 由于逾期付款，OOS服务已关闭。如果逾期付款超过15天，数据将被删除。请及时充值。 403 AccessDenied OOS authentication requires a valid Date or xamzdate header. OOS 签名头中需要携带Date或xamzdate。 403 AccessDenied OOS authentication requires a valid Date or xamzdate header, expecting" YYYYMMDD'T'HHMMSS'Z'". OOS 签名头需要携带正确格式的Date或xamzdate，格式为YYYYMMDD'T'HHMMSS'Z'。 403 AccessDenied Invalid according to Policy: Policy expired. v4签名的xamzdate时间不能超过7天。 403 AccessDenied Invalid according to Policy: Policy Condition failed:xxx 签名策略不对。 403 AccessDenied Querystring authentication requires the Signature, Expires and AWSAccessKeyId parameters. V2预签名需要携带以下参数：Signature、Expires、AWSAccessKeyId。 403 AccessDenied Invalid date (should be seconds since epoch):date . 过期时间需要精确到秒。 403 AccessDenied Request has expired. 请求过期。 403 AccessDenied Anonymous access is forbidden for this operation. 匿名用户禁止此操作。 403 AccessDenied The user's permission is not enough. 用户权限不足。 403 AccessDenied You do not have permission to this resource pool, please try another resource pool. 没有该资源池的权限，请使用其他资源池。 403 AccessDenied CORSResponse: This CORS request is not allowed. This is usually because the evalution of Origin, request method / AccessControlRequestMethod or AccessControlRequestHeaders are not whitelisted by the resource's CORS spec. 跨域预检请求没有通过CORS规则校验。请检查Origin、AccessControlRequestMethod、AccessControlRequestHeaders是否在CORS列表的白名单中。 403 AccessDenied CORSResponse: CORS is not enabled for this bucket. 此Bucket未配置CORS。 403 AccessDenied Access denied by bucket policy. 受Bucket Policy的规则影响，被显示拒绝。 403 AccessDenied Access denied by bucket policy or anonymous access is forbidden. 匿名访问被拒绝，或者被Bucket Policy规则隐式拒绝。 403 AccessDenied User:user is not authorized to perform:action on resource: resource . 没有权限访问此资源。 403 AccessDenied The user does not belong to the region. 没有此资源池的上传权限，请更换其他资源池重试。 403 AccessDenied You do not have permission to request the value data region. Please change the data region for the bucket and try again. Bucket下配置的数据位置都已失效，请重新配置，或者修改为可以自动调度。 403 AccessDenied You are not allowed to set the publicreadwrite permission for the bucket. 您不具备将容器设置为公有的权限，请联系天翼云客服协助开通此功能。 403 AccessDenied You are not allowed to grant publicwrite permission to anonymous users. 您不可以向匿名用户授予写权限，请联系天翼云客服协助开通此功能。 403 AccessDenied Make sure that bucket's permissions are not private before using the static website hosting feature. 在使用静态网站托管功能之前，请确保Bucket权限不是私有。 403 Forbidden CORSResponse: Bucket not found. 如果是preflight CORS请求，Bucket必须存在。 403 IllegalObject The object "bucket/object " is illegal, forbid copy. 源文件是非法文件，不允许拷贝。 403 RequestTimeTooSkewed The difference between the request time and the server's time is too large. 客户端时间和服务器端时间相差超过15分钟。 403 SignatureDoesNotMatch The request signature we calculated does not match the signature you provided. Check your key and signing method. 签名计算错误，需按OOS的签名规则，请检查客户端签名计算方法。 403 SignatureDoesNotMatch The authorization type is malformed. V2签名头不是AWS开头，或者V4签名头不是AWS4HMACSHA256。 403 SignatureDoesNotMatch Invalid order of SignedHeaders. V4签名SignedHeasers需按字典序排序 404 MalformedContinuationToken The continuationtoken you provided invalid. continuationtoken的值不正确。 404 NoSuchBucket The resource you requested does not exist. 请求的Bucket不存在。 404 NoSuchBucket The request bucketname is name. 复制文件时源Bucket不存在。 404 NotSuchBucketPolicy The bucket policy configuration does not exist. 此Bucket Policy配置不存在。 404 NoSuchCORSConfiguration The CORS configuration does not exist. Bucket下没有配置CORS。 404 NoSuchLifecycleConfiguration The lifecycle configuration does not exist. 生命周期规则配置不存在。 404 NoSuchKey The resource you requested does not exist. 请求文件不存在。 404 NoSuchKey An Error Occurred While Attempting to Retrieve a Custom Error Document. 尝试检索自定义错误文档时发生错误。 404 NoSuchWebsiteConfiguration The specified bucket does not have a website configuration. Bucekt未开启website功能。 404 ObjectLockConfigurationNotFoundError Object lock configuration does not exist for this bucket. 此Bucket不存在合规保留配置。 405 MethodNotAllowed The specified location constraint is not valid. 指定的数据位置无效。 405 MethodNotAllowed The specified method is not allowed against this resource. 此资源不允许使用该方法。 409 BucketAlreadyExists BucketAlreadyExists. Bucket名字已存在，请更换名字。 409 BucketNotEmpty The bucket you tried to delete is not empty. Bucket非空，不能删除。 411 MissingContentLength You must provide the ContentLength HTTP header. 需要提供ContentLength消息头。 412 PreconditionFailed Bucket post must be of the enclosuretype multipart/formdata. POST表单的contenttype请求头不正确。 412 PreconditionFailed The preconditions xamzcopysourceifmodifiedsince you specified did not hold. 预处理条件下，指定的xamzcopysourceifmodifiedsince不匹配。 503 ServiceUnavailable Service is busy.Please try again. 服务器繁忙，请重试。 503 SlowDown Please reduce your request rate. 请降低请求频率。

参数名 参数解释 取值范围 默认值 timeout 客户端空闲N秒（timeout参数的取值）后将关闭连接。当N0时，表示禁用该功能。Proxy集群实例不支持该参数。 0~7200，单位：秒。 0 appendfsync 操作系统的fsync函数刷新缓冲区数据到磁盘，有些操作系统会真正刷新磁盘上的数据，其他一些操作系统只会尝试尽快完成。Redis支持三种不同的调用fsync的方式： no：不调用fsync,由操作系统决定何时刷新数据到磁盘，性能最高。 always：每次写AOF文件都调用fsync，性能最差，但数据最安全。 everysec：每秒调用一次fsync。兼具数据安全和性能。单机实例不支持该参数。 l nol alwaysl everysec no appendonly 指定是否在每次更新操作后进行日志记录，Redis在默认情况下是异步的把数据写入磁盘，如果不开启，可能会在断电时导致一段时间内的数据丢失。有2个取值供选择：yes：开启。no：关闭。单机实例不支持该参数。 l yesl no yes clientoutputbufferlimitslavesoftseconds slave客户端outputbuffer超过clientoutputbufferslavesoftlimit设置的大小，并且持续时间超过此值（单位为秒），服务端会主动断开连接。单机实例不支持该参数。 0~60 60 clientoutputbufferslavehardlimit 对slave客户端outputbuffer的硬限制（单位为字节），如果slave客户端outputbuffer大于此值，服务端会主动断开连接。单机实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 clientoutputbufferslavesoftlimit 对slave客户端outputbuffer的软限制（单位为字节），如果outputbuffer大于此值并且持续时间超过clientoutputbufferlimitslavesoftseconds设置的时长，服务端会主动断开连接。单机实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 maxmemorypolicy 在达到内存上限（maxmemory）时DCS将如何选择要删除的内容。有8个取值供选择： volatilelru：根据LRU算法删除设置了过期时间的键值。 allkeyslru：根据LRU算法删除任一键值。 volatilerandom：删除设置了过期时间的随机键值。 allkeysrandom：删除一个随机键值。 volatilettl：删除即将过期的键值，即TTL值最小的键值。 noeviction：不删除任何键值，只是返回一个写错误。 volatilelfu:根据LFU算法删除设置了过期时间的键值。 allkeyslfu:根据LFU算法删除任一键值。 取值范围与实例的版本有关 默认值与实例的版本及类型有关 luatimelimit Lua脚本的最长执行时间，单位为毫秒。读写分离实例不支持设置该参数。 100～5,000 5,000 masterreadonly 设置实例为只读状态。设置只读后，所有写入命令将返回失败。Proxy集群、读写分离实例不支持该参数。 l yesl no no maxclients 最大同时连接的客户端个数。Proxy集群、读写分离实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 protomaxbulklen Redis协议中的最大的请求大小，单位为字节。读写分离实例不支持设置该参数。 1,048,576～536,870,912 536,870,912 replbacklogsize 用于增量同步的复制积压缓冲区大小（单位为字节）。这是一个用来在从节点断开连接时，存放从节点数据的缓冲区，当从节点重新连接时，如果丢失的数据少于缓冲区的大小，可以用缓冲区中的数据开始增量同步。单机实例不支持该参数。 16,384～1,073,741,824 1,048,576 replbacklogttl 从节点断开后，主节点释放复制积压缓冲区内存的秒数。值为0时表示永不释放复制积压缓冲区内存。单机实例不支持该参数。 0～604,800 3,600 repltimeout 主从同步超时时间，单位为秒。单机实例不支持该参数。 30～3,600 60 hashmaxziplistentries 当hash表中只有少量记录时，使用有利于节约内存的数据结构来对hashes进行编码。 1~10000 512 hashmaxziplistvalue 当hash表中最大的取值不超过预设阈值时，使用有利于节约内存的数据结构来对hashes进行编码。 1~10000 64 setmaxintsetentries 当一个集合仅包含字符串且字符串为在64位有符号整数范围内的十进制整数时，使用有利于节约内存的数据结构对集合进行编码。 1~10000 512 zsetmaxziplistentries 当有序集合中只有少量记录时，使用有利于节约内存的数据结构对有序序列进行编码。 1~10000 128 zsetmaxziplistvalue 当有序集合中的最大取值不超过预设阈值时，使用有利于节约内存的数据结构对有序集合进行编码。 1~10000 64 latencymonitorthreshold 延时监控的采样时间阈值（最小值），单位为毫秒。阈值设置为0：不做监控，也不采样；阈值设置为大于0：将记录执行耗时大于阈值的操作。可以通过LATENCY等命令获取统计数据和配置、执行采样监控。Proxy集群实例不支持该参数。 0~86400000，单位：毫秒。 0 notifykeyspaceevents notifykeyspaceevents选项的参数为空字符串时，功能关闭。另一方面，当参数不是空字符串时，功能开启。 notifykeyspaceevents的参数可以是以下字符的任意组合，它指定了服务器该发送哪些类型的通知： K：键空间通知，所有通知以keyspace@为前缀。 E：键事件通知，所有通知以keyevent@为前缀。 g：DEL、EXPIRE、RENAME等类型无关的通用命令的通知。 $ ：字符串命令的通知。 l：列表命令的通知。 s：集合命令的通知。 h：哈希命令的通知。 z：有序集合命令的通知。 x：过期事件：每当有过期键被删除时发送。 e：驱逐(evict)事件：每当有键因为maxmemory政策而被删除时发送。 A：参数glshzxe的别名。输入的参数中至少有一个K或者E，A不能与g$lshzxe同时出现，不能出现相同字母。举个例子，如果只想订阅键空间中和列表相关的通知，那么参数就应该设为Kl。将参数设为字符串"AKE"表示发送所有类型的通知。Proxy集群实例不支持该参数。 请参考该参数的描述。 Ex slowloglogslowerthan Redis慢查询会记录超过指定执行时间的命令。slowloglogslowerthan用于配置记录到慢查询的命令执行时间阈值，单位为微秒。 0～1,000,000 10,000 slowlogmaxlen 慢查询记录的条数。注意慢查询记录会消耗额外的内存。可以通过执行SLOWLOG RESET命令清除慢查询记录。 0～1,000 128 multidb 开启或关闭多DB特性。要求先清除已有数据。清除数据之前请先手动备份生成备份文件。若要恢复已清除的数据请通过数据迁移页面的备份导入功能进行数据恢复。有2个取值供选择：yes：开启。no：关闭。仅Redis 4.0及以上版本的Proxy集群实例支持该参数。 l yesl no no

参数名 参数解释 取值范围 默认值 timeout 客户端空闲N秒（timeout参数的取值）后将关闭连接。当N0时，表示禁用该功能。Proxy集群实例不支持该参数。 0~7200，单位：秒。 0 appendfsync 操作系统的fsync函数刷新缓冲区数据到磁盘，有些操作系统会真正刷新磁盘上的数据，其他一些操作系统只会尝试尽快完成。 Redis支持三种不同的调用 fsync的方式： no：不调用fsync,由操作系统决定何时刷新数据到磁盘，性能最高。 always：每次写AOF文件都调用fsync，性能最差，但数据最安全。 everysec：每秒调用一次fsync。兼具数据安全和性能。单机实例不支持该参数。 l nol alwaysl everysec no appendonly 指定是否在每次更新操作后进行日志记录，Redis在默认情况下是异步的把数据写入磁盘，如果不开启，可能会在断电时导致一段时间内的数据丢失。有2个取值供选择：yes：开启。no：关闭。单机实例不支持该参数。 l yesl no yes clientoutputbufferlimitslavesoftseconds slave客户端outputbuffer超过clientoutputbufferslavesoftlimit设置的大小，并且持续时间超过此值（单位为秒），服务端会主动断开连接。单机实例不支持该参数。 0~60 60 clientoutputbufferslavehardlimit 对slave客户端outputbuffer的硬限制（单位为字节），如果slave客户端outputbuffer大于此值，服务端会主动断开连接。单机实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 clientoutputbufferslavesoftlimit 对slave客户端outputbuffer的软限制（单位为字节），如果outputbuffer大于此值并且持续时间超过clientoutputbufferlimitslavesoftseconds设置的时长，服务端会主动断开连接。单机实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 maxmemorypolicy 在达到内存上限（maxmemory）时DCS将如何选择要删除的内容。 有8个取值供选择： volatilelru：根据LRU算法删除设置了过期时间的键值。 allkeyslru：根据LRU算法删除任一键值。 volatilerandom：删除设置了过期时间的随机键值。 allkeysrandom：删除一个随机键值。 volatilettl：删除即将过期的键值，即TTL值最小的键值。 noeviction：不删除任何键值，只是返回一个写错误。 volatilelfu:根据LFU算法删除设置了过期时间的键值。 allkeyslfu:根据LFU算法删除任一键值。 取值范围与实例的版本有关 默认值与实例的版本及类型有关 luatimelimit Lua脚本的最长执行时间，单位为毫秒。读写分离实例不支持设置该参数。 100～5,000 5,000 masterreadonly 设置实例为只读状态。设置只读后，所有写入命令将返回失败。Proxy集群、读写分离实例不支持该参数。 l yesl no no maxclients 最大同时连接的客户端个数。Proxy集群、读写分离实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 protomaxbulklen Redis协议中的最大的请求大小，单位为字节。读写分离实例不支持设置该参数。 1,048,576～536,870,912 536,870,912 replbacklogsize 用于增量同步的复制积压缓冲区大小（单位为字节）。这是一个用来在从节点断开连接时，存放从节点数据的缓冲区，当从节点重新连接时，如果丢失的数据少于缓冲区的大小，可以用缓冲区中的数据开始增量同步。单机实例不支持该参数。 16,384～1,073,741,824 1,048,576 replbacklogttl 从节点断开后，主节点释放复制积压缓冲区内存的秒数。值为0时表示永不释放复制积压缓冲区内存。单机实例不支持该参数。 0～604,800 3,600 repltimeout 主从同步超时时间，单位为秒。单机实例不支持该参数。 30～3,600 60 hashmaxziplistentries 当hash表中只有少量记录时，使用有利于节约内存的数据结构来对hashes进行编码。 1~10000 512 hashmaxziplistvalue 当hash表中最大的取值不超过预设阈值时，使用有利于节约内存的数据结构来对hashes进行编码。 1~10000 64 setmaxintsetentries 当一个集合仅包含字符串且字符串为在64位有符号整数范围内的十进制整数时，使用有利于节约内存的数据结构对集合进行编码。 1~10000 512 zsetmaxziplistentries 当有序集合中只有少量记录时，使用有利于节约内存的数据结构对有序序列进行编码。 1~10000 128 zsetmaxziplistvalue 当有序集合中的最大取值不超过预设阈值时，使用有利于节约内存的数据结构对有序集合进行编码。 1~10000 64 latencymonitorthreshold 延时监控的采样时间阈值（最小值），单位为毫秒。阈值设置为0：不做监控，也不采样；阈值设置为大于0：将记录执行耗时大于阈值的操作。可以通过LATENCY等命令获取统计数据和配置、执行采样监控。Proxy集群实例不支持该参数。 0~86400000，单位：毫秒。 0 notifykeyspaceevents notifykeyspaceevents选项的参数为空字符串时，功能关闭。另一方面，当参数不是空字符串时，功能开启。 notifykeyspaceevents的参数可以是以下字符的任意组合，它指定了服务器该发送哪些类型的通知： K：键空间通知，所有通知以keyspace@为前缀。 E：键事件通知，所有通知以keyevent@为前缀。 g：DEL、EXPIRE、RENAME等类型无关的通用命令的通知。 $ ：字符串命令的通知。 l：列表命令的通知。 s：集合命令的通知。 h：哈希命令的通知。 z：有序集合命令的通知。 x：过期事件：每当有过期键被删除时发送。 e：驱逐(evict)事件：每当有键因为maxmemory政策而被删除时发送。 A：参数glshzxe的别名。输入的参数中至少有一个K或者E，A不能与g$lshzxe同时出现，不能出现相同字母。举个例子，如果只想订阅键空间中和列表相关的通知，那么参数就应该设为Kl。将参数设为字符串"AKE"表示发送所有类型的通知。 Proxy集群实例不支持该参数。 请参考该参数的描述。 Ex slowloglogslowerthan Redis慢查询会记录超过指定执行时间的命令。slowloglogslowerthan用于配置记录到慢查询的命令执行时间阈值，单位为微秒。 0～1,000,000 10,000 slowlogmaxlen 慢查询记录的条数。注意慢查询记录会消耗额外的内存。可以通过执行SLOWLOG RESET命令清除慢查询记录。 0～1,000 128 multidb 开启或关闭多DB特性。要求先清除已有数据。清除数据之前请先手动备份生成备份文件。若要恢复已清除的数据请通过数据迁移页面的备份导入功能进行数据恢复。有2个取值供选择：yes：开启。no：关闭。仅Redis 4.0及以上版本的Proxy集群实例支持该参数。 l yesl no no

本文主要介绍如何配置增强高速网卡(RedHat系列,CentOS系列,Oracle Linux系列,Euler系列)。 下面以CentOS 6.9 (x8664)操作系统为例，举例介绍物理机增强高速网卡的配置方法。 说明 RedHat系列、Oracle Linux系列、Euler系列及CentOS系列操作系统的配置方法类似。 增加网卡： 以“root”用户，使用密钥或密码登录物理机。执行如下命令： blkid grep config2 如果输出结果为空，请采用 配置方式二 ；如果输出结果如下图所示，请采用 配置方式一 。 配置方式一 步骤1 登录物理机服务器。 以“root”用户，使用密钥或密码登录物理机。 步骤2 进入物理机的命令行界面，查询网卡信息。 ip link 返回信息示例如下： 说明 其中，“eth0”和“eth1”为承载VPC网络的网络设备，“eth2”和“eth3”为承载增强高速网络的网络设备。 步骤3 检查udev规则配置文件。 执行以下命令，查看“/etc/udev/rules.d/”目录下是否有“80persistentnet.rules”配置文件。 ll /etc/udev/rules.d/ grep 80persistentnet.rules 如果存在“80persistentnet.rules”，且该配置文件中已存在步骤 2中查询到的除“bond0”和“lo”以外的其它所有网卡和对应的MAC地址，请执行步骤6。 否则，继续执行 步骤4 。 步骤4 拷贝udev规则配置文件。 执行以下命令，将“/etc/udev/rules.d/70persistentnet.rules”文件拷贝一份（文件名为“/etc/udev/rules.d/80persistentnet.rules”）。 cp p /etc/udev/rules.d/70persistentnet.rules /etc/udev/rules.d/80persistentnet.rules 说明 如果没有“/etc/udev/rules.d/70persistentnet.rules”文件，请直接创建“/etc/udev/rules.d/80persistentnet.rules”文件，按如下格式填写内容： SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"4c:f9:5d:d9:e8:ac", NAME"eth0" SUBSYSTEM"net", ACTION"add", DRIVERS"? ", ATTR{address}"4c:f9:5d:d9:e8:ad", NAME"eth1" 步骤5 设置udev规则。 将步骤2中查询到的除“eth0”和“eth1”以外的网卡（即“/etc/udev/rules.d/70persistentnet.rules”中未体现的网卡MAC地址和名称），写入“/etc/udev/rules.d/80persistentnet.rules”文件中，使得物理机重启复位后，网卡名称和顺序不会发生改变。 说明 网卡的MAC地址和名称中的字母，请使用小写字母。 vi /etc/udev/rules.d/80persistentnet.rules 修改后的示例如下： 修改完成后，按“Esc”，输入":wq"保存并退出。 步骤6 配置网络配置文件。 执行以下命令，将网络配置文件“/etc/sysconfig/networkscripts/ifcfgbond0”拷贝为“/etc/sysconfig/networkscripts/ifcfgbond1”，将网络配置文件“/etc/sysconfig/networkscripts/ifcfgeth0”拷贝为“/etc/sysconfig/networkscripts/ifcfgeth2”和“/etc/sysconfig/network/ ifcfgeth3”。 cp p /etc/sysconfig/networkscripts/ifcfgbond0 /etc/sysconfig/networkscripts/ifcfgbond1 cp p /etc/sysconfig/networkscripts/ifcfgeth0 /etc/sysconfig/networkscripts/ifcfgeth2 cp p /etc/sysconfig/networkscripts/ifcfgeth0 /etc/sysconfig/networkscripts/ifcfgeth3 步骤7 修改网络配置文件。 执行以下命令，编辑“/etc/sysconfig/networkscripts/ifcfgeth2”和“/etc/sysconfig/networkscripts/ifcfgeth3”，配置“eth2”设备和“eth3”设备的网络配置文件。 vi /etc/sysconfig/networkscripts/ifcfgeth2 “eth2”按以下格式编辑： USERCTLno MTU8888 NMCONTROLLEDno BOOTPROTOstatic DEVICEeth2 TYPEEthernet ONBOOTyes MASTERbond1 SLAVEyes 其中，“BOOTPROTO”参数取值修改为“static”，“DEVICE”为对应的网络设备名称，取值即为“eth2”，“MASTER”为对应的增强高速网卡bond的名称，取值如“bond1”，其他参数可保持不变。 vi /etc/sysconfig/networkscripts/ifcfgeth3 “eth3”按以下格式编辑（格式和规则和“eth2”一致）： USERCTLno MTU8888 NMCONTROLLEDno BOOTPROTOstatic DEVICEeth3 TYPEEthernet ONBOOTyes MASTERbond1 SLAVEyes 步骤8 执行以下命令，编辑“/etc/sysconfig/networkscripts/ifcfgbond1”。 vi /etc/sysconfig/networkscripts/ifcfgbond1 按以下格式编辑： MACADDR40:7d:0f:52:e3:a5 BONDINGMASTERyes USERCTLno ONBOOTyes NMCONTROLLEDno BOOTPROTOstatic BONDINGOPTS"mode1 miimon100" DEVICEbond1 TYPEBond IPADDR10.10.10.101 NETMASK255.255.255.0 MTU8888 其中， “MACADDR”参数取值修改为增强高速网卡“eth2”或者“eth3”设备的MAC地址。 “BOOTPROTO”参数取值修改为“static”。 “DEVICE” 参数取值修改为“bond1”。 “IPADDR” 参数取值修改为待给“bond1”分配的IP地址（为增强高速网络规划的IP地址在没有与VPC网段冲突的情况下可任意规划，需要通过增强高速网络通信的物理机须将增强高速网络配置在同一个网段），如“10.10.10.101”。 “NETMASK”参数为给增强高速网络“bond1”配置的IP的子网掩码。 其他参数可保持不变。 修改完成后，按“Esc”，输入":wq"保存并退出。 步骤9 执行以下命令，启动增强高速网络端口组“bond1”。 首先启动增强高速网卡“eth2”和“eth3”设备。 ifup eth2 ifup eth3 ifup bond1 步骤10 参见上述步骤，完成其他物理机的配置。 步骤11 待其他物理机配置完成后，互相ping对端增强高速网络配置的同网段IP，检查是否可以ping通。

前提条件 已创建存储库。 客户端状态为已激活。 操作步骤 方法1：在备份计划页面创建备份计划 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。单击左侧“ECS文件备份”或“本地文件备份”按钮，进入文件备份控制台。 4. 单击“备份计划”按钮，进入备份计划页面。单击“创建备份计划”按钮，在弹出页面配置如下内容： 参数 说明 详细说明 参考取值 备份计划名称 您可自定义计划名称 可不填，系统自动生成。只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 backuptest ECS名称/客户端名称 ECS文件备份为云主机名称，本地文件备份为客户端名称 备份计划绑定的云主机或本地客户端名称。 ecmxxxx 存储库名称 计划绑定存储库的名称 存储库和备份的ECS/本地服务器需在同一区域。 test 备份目录规划 备份计划中设置的备份目录。显示计划中指定、排除文件目录或文件的规则信息 可选择全部目录 、指定目录或高级规则 。 全部目录：选择全部目录后，备份系统会自动过滤系统特殊目录，这些目录将不会加入备份计划，如/dev、/proc、/sys。 指定目录：选择指定目录后，需要指定备份文件路径。单击新增目录可自定义多个备份目录，最多可以添加10条。 路径输入规则： 不能包含/dev、/proc、/sys或子目录； 不支持通配符，且必须为绝对路径； 单条备份路径的字符最长为4095。 高级规则：您可以指定目录加入备份计划。同时可以通过“备份文件规则”选择文件加入备份计划。提供包括所有文件 、 包含下列文件 、排除下列文件三种规则。包含和排除文件需要用户手动输入路径或者文件。路径输入规则同上。 注意 : 1.不建议对系统路径进行备份，具体请参考上方约束与限制 2.包含和排除文件文件所输入的文件列表路径必须在备份文件路径之下。 全部目录 备份周期 配置备份计划执行的时间间隔 间隔时间单位为每月、每周、每天、每小时。 每月：指定在每月的几日几时进行备份。 每周：指定在每周的周几几时进行备份。 每天：指定在每天的几时进行备份。 每小时：每小时进行一次备份。 每天 00：00时 全量备份配置 配置是否启用定期全量备份 启用： 启用此选项后可按配置的频次定期进行全量备份，频次的设置范围为0100，设置0表示每次备份都执行全量备份，两次全量备份的间隔时间不可小于1天，建议合理设置备份周期与全量备份频次。 不启用： 备份策略不会定期执行全量备份操作，默认在绑定的存储库的首次备份进行全量备份，后续进行永久增量备份。 说明：若保留规则选择按数量保留，全量备份配置频次需要小于保留的备份数量，否则不会按配置的全量备份频次进行定期全量备份。 每执行10次增量备份后，执行一次全量备份 保留规则 配置保留备份副本的时间 提供按时间、按数量和永久保留三种规则。 按时间：当选择按时间保留时，需要配置保留该备份的时间。时间单位：天、周、月、年。 注意：最小保留周期为1天，最大输入9999年。 按数量：该备份计划产生的备份副本保留的总份数，取值范围为12000 永久保留：系统不会自动删除备份，直至您手动删除。 按时间：30天 高级保留选项 若选择了按数量保留，还可以配置高级保留选项进行备份副本的长期保留 高级保留选项与按数量保留规则共同生效。 保留天备份：取值范围为0100，保留指定周期内每天最新的一个备份副本，例如设置为10，则会保留前10天每天最新的备份副本 保留周备份：取值范围为0100，保留指定周期内每周最新的一个备份副本，例如设置为5，则会保留前5周每周最新的备份副本 保留月备份：取值范围为0100，保留指定周期内每月最新的一个备份副本，例如设置为3，则会保留前3月每月最新的备份副本 保留年备份：取值范围为0100，保留指定周期内每年最新的一个备份副本，例如设置为2，则会保留前2年每年最新的备份副本 说明：可同时设置天备份、周备份、月备份和年备份，会取并集进行保留。即设置保留天备份为10，周备份为2时，总共会保留12份备份。长期保留规则与按数量保留可以同时执行，不会产生冲突。 保留前5周每周最新的备份副本 备份流量限制 配置指定时间段的备份流量速度上限 限速时间段：配置需要进行流量限制的起止时间 流量限制：配置该时间段的流量速度上限 注意：使用备份流量限制的客户端版本需不低于v2.4.0，最多可配置4个时间段。 9：00到18：00进行5MB/s的流量速度限制 5. 单击“确定”，备份计划状态为“创建中”，等待状态变为“正常运行”，即完成备份计划的创建。 6. 备份计划创建成功时默认开始执行，在下一个备份时间点会自动备份数据，若需暂停计划请参考“暂停备份计划”。若需立即执行一次备份，请单击“立即执行”。

虚拟私有云接口对应权限表 如下是虚拟私有云服务控制台相关权限三元组及生效范围： 控制台接口 权限三元组 配置支持 控制台接口 IAM（资源池/全局） 企业项目（资源组） 权限三元组 VPC VPC 创建VPC vpc vpcs create √ √ VPC VPC 创建VPC vpc subnets create √ √ VPC VPC 创建VPC vpc vpcs list √ √ VPC VPC VPC列表获取 vpc vpcs list √ √ VPC VPC VPC详情获取 vpc vpcs get √ √ VPC VPC 查看拓扑图 vpc vpcs getTopology √ √ VPC VPC 删除 vpc vpcs delete √ √ VPC VPC 修改 vpc vpcs update √ √ VPC 子网 创建子网 创建子网 vpc subnets create √ √ VPC 子网 创建子网 VPC列表获取 vpc vpcs list √ √ VPC 子网 子网列表 子网列表获取 vpc subnets list √ √ VPC 子网 子网详情 子网详情获取 vpc subnets get √ √ VPC 子网 子网详情 云主机列表获取 ecs cloudServers list √ √ VPC 子网 子网详情 云主机详情获取 ecs cloudServers get √ √ VPC 子网 子网详情 物理机列表获取 dps physicalserver list √ √ VPC 子网 子网详情 虚拟IP列表获取 vpc vips list √ √ VPC 子网 子网详情 ACL列表获取 vpc firewallPolicies list √ √ VPC 子网 子网详情 ACL详情获取 vpc firewallPolicies get √ √ VPC 子网 子网详情 路由列表获取 vpc route list √ √ VPC 子网 子网详情 路由详情获取 vpc route get √ √ VPC 子网 修改子网 vpc subnets update √ √ VPC 子网 删除子网 vpc subnets delete √ √ VPC 弹性网卡 创建弹性网卡 创建弹性网卡 vpc cloudServerNics create √ √ VPC 弹性网卡 创建弹性网卡 子网列表获取 vpc subnets list √ √ VPC 弹性网卡 创建弹性网卡 安全组列表获取 vpc securityGroups list √ √ VPC 弹性网卡 创建弹性网卡 VPC列表获取 vpc vpcs list √ √ VPC 弹性网卡 弹性网卡列表获取 vpc cloudServerNics list √ √ VPC 弹性网卡 弹性网卡详情获取 vpc cloudServerNics get √ √ VPC 弹性网卡 绑定云主机 ecs cloudServerNics binding √ √ VPC 弹性网卡 解绑云主机 ecs cloudServerNics unbinding √ √ VPC 弹性网卡 绑定弹性裸金属 dps physicalServer binding √ √ VPC 弹性网卡 解绑弹性裸金属 dps physicalServer unbinding √ √ VPC 弹性网卡 修改弹性网卡 vpc cloudServerNics change √ √ VPC 弹性网卡 删除弹性网卡 vpc cloudServerNics delete √ √ VPC 路由表 创建路由表 vpc route create √ √ VPC 路由表 路由表列表获取 vpc route list √ √ VPC 路由表 路由表详情 路由表详情获取 vpc route get √ √ VPC 路由表 路由表详情 创建路由规则 vpc routeRules create √ √ VPC 路由表 路由表详情 路由规则列表 vpc routeRules list √ √ VPC 路由表 路由表详情 修改规则 vpc routeRules change √ √ VPC 路由表 路由表详情 删除规则 vpc routeRules delete √ √ VPC 路由表 路由表详情 更换路由表 vpc route binding √ √ VPC 路由表 修改路由表 vpc route modify √ √ VPC 路由表 删除路由表 vpc route delete √ √ VPC 路由表 关联子网 vpc route binding √ √ VPC 路由表 关联网关 vpc route binding √ √ VPC 路由表 解关联网关 vpc route unbinding √ √ VPC 安全组 创建安全组 vpc securityGroups create √ √ VPC 安全组 创建安全组 vpc vpcs list √ √ VPC 安全组 安全组列表获取 vpc securityGroups list √ √ VPC 安全组 安全组详情获取 vpc securityGroups get √ √ VPC 安全组 安全组详情获取 vpc securityGroupRules list √ √ VPC 安全组 修改安全组名称及描述 vpc securityGroups update √ √ VPC 安全组 添加弹性服务器 vpc cloudServerNics change √ √ VPC 安全组 移除弹性服务器 vpc cloudServerNics change √ √ VPC 安全组 添加辅助网卡 vpc cloudServerNics change √ √ VPC 安全组 移除辅助网卡 vpc cloudServerNics change √ √ VPC 安全组 删除安全组 vpc securityGroups delete √ √ VPC 安全组 克隆安全组 vpc securityGroups copy √ √ VPC 安全组 克隆安全组 vpc securityGroups create √ √ VPC 安全组 安全组规则列表 安全组规则列表 vpc securityGroupRules list √ √ VPC 安全组 安全组规则列表 添加/快速添加安全组规则 vpc securityGroupRules create √ × VPC 安全组 安全组规则列表 修改安全组规则 vpc securityGroupRules update √ × VPC 安全组 安全组规则列表 复制安全组规则 vpc securityGroupRules create √ × VPC 安全组 安全组规则列表 删除安全组规则 vpc securityGroupRules delete √ × VPC IPv4网关 查询IPv4网关列表 vpc ipv4Gateways list √ √ VPC IPv4网关 查询IPv4网关详情 vpc ipv4Gateways get √ √ VPC IPv4网关 修改IPv4网关名称描述 vpc ipv4Gateways update √ √ VPC IPv4网关 绑定路由表 vpc route binding √ √ VPC IPv4网关 解绑路由表 vpc route unbinding √ √ VPC IPv6网关 创建IPv6网关 vpc ipv6Gateways create √ √ VPC IPv6网关 删除IPv6网关 vpc ipv6Gateways delete √ √ VPC IPv6网关 查询IPv6网关详情 vpc ipv6Gateways get √ √ VPC IPv6网关 查询IPv6网关列表 vpc ipv6Gateways list √ √ VPC IPv6网关 IPv6网关操作 修改IPv6网关名称 vpc ipv6Gateways update √ √ VPC IPv6网关 IPv6网关操作 绑定IPv6带宽 vpc ipv6Bandwidths addipv6 √ √ VPC IPv6网关 IPv6网关操作 解绑IPv6带宽 vpc ipv6Bandwidths removeipv6 √ √ VPC ACL 创建网络ACL vpc firewallPolicies create √ √ VPC ACL 创建网络ACL vpc vpcs list √ √ VPC ACL ACL列表获取 vpc firewallPolicies list √ √ VPC ACL ACL详情获取 vpc firewallPolicies get √ × VPC ACL 停用ACL vpc firewallPolicies stop √ √ VPC ACL 启用ACL vpc firewallPolicies start √ √ VPC ACL 删除ACL vpc firewallPolicies delete √ √ VPC ACL ACL关联子网 vpc firewallPolicies attach √ √ VPC ACL ACL取消关联 vpc firewallPolicies detach √ √ VPC ACL ACL规则列表 ACL规则列表 vpc firewallRules list √ √ VPC ACL ACL规则列表 添加ACL规则 vpc firewallRules create √ √ VPC ACL ACL规则列表 修改/配置/停用ACL规则/调整优先级 vpc firewallRules update √ √ VPC ACL ACL规则列表 删除ACL规则 vpc firewallRules delete √ √ VPC 虚拟IP 创建虚拟IP vpc vips create √ √ VPC 虚拟IP 查询虚拟IP列表 vpc vips list √ √ VPC 虚拟IP 查询虚拟IP详情 vpc vips get √ √ VPC 虚拟IP 修改虚拟IP名称描述 vpc vips update √ √ VPC 虚拟IP 绑定服务器 vpc vips binding √ √ VPC 虚拟IP 解绑服务器 vpc vips unbinding √ √ VPC 虚拟IP 绑定弹性IP vpc vips binding √ √ VPC 虚拟IP 解绑弹性IP vpc vips unbinding √ √ VPC 虚拟IP 删除虚拟IP vpc vips delete √ √ VPC dhcp选项集 创建dhcp选项集 vpc dhcpOption create √ √ VPC dhcp选项集 查询dhcp选项集列表 vpc dhcpOption list √ √ VPC dhcp选项集 查询dhcp选项集详情 vpc dhcpOption list √ √ VPC dhcp选项集 修改dhcp选项集配置 vpc dhcpOption update √ √ VPC dhcp选项集 关联VPC vpc dhcpOption binding √ √ VPC dhcp选项集 解关联VPC vpc dhcpOption unbinding √ √ VPC dhcp选项集 删除dhcp选项集 vpc dhcpOption delete √ √ VPC 前缀列表 创建前缀列表 vpc prefixList create √ √ VPC 前缀列表 查询前缀列表 vpc prefixList list √ √ VPC 前缀列表 查询前缀列表详情 vpc prefixList get √ √ VPC 前缀列表 修改前缀列表 vpc prefixList update √ √ VPC 前缀列表 克隆前缀列表 vpc prefixList clone √ √ VPC 前缀列表 删除前缀列表 vpc prefixList delete √ √ VPC 二层连接网关 创建二层连接网关 vpc l2gw create √ √ VPC 二层连接网关 查询二层连接网关列表 vpc l2gw list √ √ VPC 二层连接网关 查询二层连接网关详情 vpc l2gw list √ √ VPC 二层连接网关 修改二层连接网关 vpc l2gw update √ √ VPC 二层连接网关 删除二层连接网关 vpc l2gw delete √ √ VPC 二层连接网关 二层连接网关续订 vpc l2gw create √ √ VPC 二层连接网关 二层连接网关退订 vpc l2gw delete √ √ VPC 二层连接网关 创建二层连接 vpc l2gwConnection create √ √ VPC 二层连接网关 修改二层连接 vpc l2gwConnection update √ √ VPC 二层连接网关 删除二层连接 vpc l2gwConnection delete √ √ VPC 组播 创建组播域 vpc multicast create √ √ VPC 组播 查询组播域列表 vpc multicast list √ √ VPC 组播 组播转发展示 vpc multicast get √ √ VPC 组播 修改组播域 vpc multicast update √ √ VPC 组播 删除组播域 vpc multicast delete √ √ VPC 路径分析 创建路径分析 vpc pathAnalyzer create √ × VPC 路径分析 查询路径分析列表 vpc pathAnalyzer list √ × VPC 路径分析 查询路径分析详情 vpc pathAnalyzer get √ × VPC 路径分析 发起路由分析 vpc pathAnalyzer run √ × VPC 路径分析 删除历史分析 vpc pathAnalyzerHistory delete √ × VPC 路径分析 删除路径分析 vpc pathAnalyzer delete √ × VPC 对等连接 查询对等连接详情 vpc peering list √ √ VPC 对等连接 vpc peeringRoute list √ √ VPC 对等连接 修改对等连接 vpc peering update √ √ VPC 对等连接 修改对等连接 vpc vpc list √ √ VPC 对等连接 删除对等连接 vpc peering delete √ √ VPC 对等连接 创建对等连接 vpc peering create √ √ VPC 对等连接 连接请求接受/拒绝 vpc peeringConnectRequest list √ √ VPC 对等连接 建立对等连接 vpc peeringConnectRequest update √ √ VPC 对等连接 查询对等连接路由 vpc peeringRoute list √ √ VPC 对等连接 删除对等连接路由 vpc peeringRoute delete √ √ VPC 对等连接 添加对等连接路由 vpc peeringRoute create √ √ 以下是虚拟私有云服务openapi接口相关权限三元组及生效范围： 子产品 openapi描述 openapi url 权限三元组 配置支持IAM（资源池/全局） 配置支持企业项目（资源组） VPC 创建vpc /v4/vpc/create vpc:vpcs:create √ × VPC 删除VPC /v4/vpc/delete vpc:vpcs:delete √ × VPC 新查询VPC列表 /v4/vpc/newlist vpc:vpcs:list √ × VPC 查询用户vpc信息 /v4/vpc/query vpc:vpcs:get √ × VPC 查询用户vpc列表 /v4/vpc/list vpc:vpcs:list √ × VPC vpc绑定ipv6网段 /v4/vpc/associateipv6cidrs vpc:vpcs:update √ × VPC vpc解绑ipv6网段 /v4/vpc/disassociateipv6cidrs vpc:vpcs:update √ × VPC 查看ipv6cidr /v4/ipv6/listcidrs vpc:vpcs:getIpv6Cidr √ × VPC VPC绑定扩展网段 /v4/vpc/associatesecondarycidrs vpc:vpcs:update √ × VPC VPC解绑扩展网段 /v4/vpc/disassociatesecondarycidrs vpc:vpcs:update √ × VPC 修改VPC属性 /v4/vpc/update vpc:vpcs:update √ × VPC 修改VPC的IPv6状态 /v4/vpc/updateipv6status vpc:vpcs:update √ × 子网 修改子网属性 /v4/vpc/updatesubnet vpc:subnets:update √ × 子网 创建子网 /v4/vpc/createsubnet vpc:subnets:create √ × 子网 新查询子网列表 /v4/vpc/newlistsubnet vpc:subnets:list √ × 子网 查询用户子网列表 /v4/vpc/listsubnet vpc:subnets:list √ × 子网 删除子网 /v4/vpc/deletesubnet vpc:subnets:delete √ × 子网 查询用户子网信息 /v4/vpc/querysubnet vpc:subnets:get √ × 子网 子网开启IPv6 /v4/vpc/subnetenableipv6 vpc:subnets:enable √ × 子网 修改子网的IPv6状态 /v4/vpc/updatesubnetipv6status vpc:subnets:update √ × 子网 子网更换ACL /v4/vpc/replacesubnetacl vpc:subnets:attach √ × 子网 子网更换路由表 /v4/vpc/replacesubnetroutetable vpc:subnets:binding √ × 子网 子网解绑ACL /v4/vpc/disassociatesubnetacl vpc:subnets:detach √ × 子网 查看子网已使用IP /v4/vpc/listusedips vpc:subnets:get √ × 路由表 修改单条路由规则 /v4/vpc/routetable/modifyrule vpc:routeRules:change √ × 路由表 修改路由表属性 /v4/vpc/routetable/modify vpc:route:modify √ × 路由表 创建单条路由规则 /v4/vpc/routetable/createrule vpc:routeRules:create √ × 路由表 创建网关路由 /v4/vpc/routetable/creategatewayroutetable vpc:route:create √ × 路由表 创建路由表 /v4/vpc/routetable/create vpc:route:create √ × 路由表 删除单条路由规则 /v4/vpc/routetable/deleterule vpc:routeRules:delete √ × 路由表 删除路由表 /v4/vpc/routetable/delete vpc:route:delete √ × 路由表 新查询路由表列表 /v4/vpc/routetable/newlist vpc:route:list √ × 路由表 新查询路由表规则列表 /v4/vpc/routetable/newlistrules vpc:routeRules:list √ × 路由表 查询路由表列表 /v4/vpc/routetable/list vpc:route:list √ × 路由表 查询路由表规则列表 /v4/vpc/routetable/listrules vpc:routeRules:list √ × 路由表 查询路由表详情 /v4/vpc/routetable/show vpc:route:get √ × 路由表 批量创建路由表规则 /v4/vpc/routetable/createrules vpc:route:create √ × 路由表 批量修改路由表规则 /v4/vpc/routetable/modifyrules vpc:routeRules:change √ × 路由表 批量删除路由表规则 /v4/vpc/routetable/deleterules vpc:route:delete √ × IPv4网关 IPv4网关解绑网关路由表 /v4/vpc/ipv4gw/removeroutetablebinding vpc:ipv4Gateways:unbinding √ × IPv4网关 获取IPv4网关列表 /v4/vpc/ipv4gw/list vpc:ipv4Gateways:list √ × IPv4网关 IPv4网关绑定网关路由表 /v4/vpc/ipv4gw/addroutetablebinding vpc:ipv4Gateways:binding √ × IPv4网关 查看IPv4网关详情 /v4/vpc/ipv4gw/show vpc:ipv4Gateways:get √ × IPv6网关 新查询IPv6列表 /v4/ipv6/newipv6list vpc:ipv6Address:list √ × IPv6网关 查询ipv6网关详情 /v4/vpc/getipv6gatewayattribute vpc:ipv6Gateways:get √ × IPv6网关 查询ipv6网关列表 /v4/vpc/listipv6gateway vpc:ipv6Gateways:list √ × IPv6网关 删除ipv6网关 /v4/vpc/deleteipv6gateway vpc:ipv6Gateways:delete √ × IPv6网关 创建ipv6网关 /v4/vpc/createipv6gateway vpc:ipv6Gateways:create √ × IPv6网关 查询IPv6详情 /v4/ipv6/ipv6show vpc:ipv6Address:get √ × IPv6网关 查询IPv6列表 /v4/ipv6/ipv6list vpc:ipv6Address:list √ × 弹性网卡 更换子网 /v4/ports/changeprivateip vpc:cloudServerNics:change √ × 弹性网卡 修改网卡属性 /v4/ports/update vpc:cloudServerNics:update √ × 弹性网卡 创建弹性网卡 /v4/ports/create vpc:cloudServerNics:create √ × 弹性网卡 删除弹性网卡 /v4/ports/delete vpc:cloudServerNics:delete √ × 弹性网卡 单个网卡关联多个IPv6地址 /v4/ports/assignipv6 vpc:cloudServerNics:assign √ × 弹性网卡 单个网卡解绑多个IPv6地址 /v4/ports/unassignipv6 vpc:cloudServerNics:unassign √ × 弹性网卡 多个网卡关联IPv6地址 /v4/ports/batchassignipv6 vpc:cloudServerNics:assign √ × 弹性网卡 多个网卡解绑IPv6地址 /v4/ports/batchunassignipv6 vpc:cloudServerNics:unassign √ × 弹性网卡 新查询网卡列表 /v4/ports/newlist vpc:cloudServerNics:list √ × 弹性网卡 更换VPC /v4/ports/changevpc vpc:cloudServerNics:change √ × 弹性网卡 查询网卡信息 /v4/ports/show vpc:cloudServerNics:get √ × 弹性网卡 检查网卡的状态 /v4/ports/checkstatus vpc:cloudServerNics:get √ × 弹性网卡 批量检查网卡的状态 /v4/ports/checkstatusbatch vpc:cloudServerNics:get √ × 弹性网卡 网卡关联辅助私网IPs /v4/ports/assignsecondaryprivateips vpc:cloudServerNics:assign √ × 弹性网卡 网卡绑定实例（云主机） /v4/ports/attach vpc:cloudServerNics:binding √ × 弹性网卡 网卡解绑实例（云主机） /v4/ports/detach vpc:cloudServerNics:unbinding √ × 弹性网卡 网卡解绑辅助私网IPs /v4/ports/unassignsecondaryprivateips vpc:cloudServerNics:unassign √ × 弹性网卡 查询网卡列表 /v4/ports/list vpc:cloudServerNics:list √ × 弹性网卡 网卡绑定物理机（弹性裸金属） /v4/ports/asyncattachbm dps:physicalServer:binding √ × 弹性网卡 网卡解绑物理机（弹性裸金属） /v4/ports/asyncdetachbm dps:physicalServer:unbinding √ × 虚拟IP 创建虚拟IP /v4/vpc/havip/create vpc:vips:create √ × 虚拟IP 删除虚拟IP /v4/vpc/havip/delete vpc:vips:delete √ × 虚拟IP 查看虚拟IP列表 /v4/vpc/havip/list vpc:vips:list √ × 虚拟IP 绑定虚拟IP /v4/vpc/havip/bind vpc:vips:attach √ × 虚拟IP 查看虚拟IP /v4/vpc/havip/show vpc:vips:get √ × 虚拟IP 解绑虚拟IP /v4/vpc/havip/unbind vpc:vips:detach √ × dhcp选项集 vpc替换dhcp选项集 /v4/dhcpoptionsets/dhcpreplacevpc vpc:dhcpOption:replace √ × dhcp选项集 dhcp选项集取消关联vpc /v4/dhcpoptionsets/dhcpdisassociatevpc vpc:dhcpOption:unbinding √ × dhcp选项集 dhcp选项集关联vpc /v4/dhcpoptionsets/dhcpassociatevpc vpc:dhcpOption:binding √ × dhcp选项集 获取未绑定dhcp的vpc列表 /v4/dhcpoptionsets/dhcplistunbindvpc vpc:dhcpOption:listUnbindVpc √ × dhcp选项集 查询dhcp选项集 /v4/dhcpoptionsets/query vpc:dhcpOption:list √ × dhcp选项集 创建dhcp选项集 /v4/dhcpoptionsets/create vpc:dhcpOption:create √ × dhcp选项集 获取绑定的vpc列表 /v4/dhcpoptionsets/dhcplistvpc vpc:dhcpOption:listBindVpc √ × dhcp选项集 更新dhcp选项集 /v4/dhcpoptionsets/update vpc:dhcpOption:update √ × dhcp选项集 删除dhcp选项集 /v4/dhcpoptionsets/delete vpc:dhcpOption:delete √ × dhcp选项集 查询dhcp选项集详情 /v4/dhcpoptionsets/show vpc:dhcpOption:get √ × 前缀列表 修改前缀列表属性 /v4/prefixlist/update vpc:prefixList:update √ × 前缀列表 删除前缀列表 /v4/prefixlist/delete vpc:prefixList:delete √ × 前缀列表 克隆前缀列表 /v4/prefixlist/clone vpc:prefixList:clone √ × 前缀列表 查询前缀列表 /v4/prefixlist/query vpc:prefixList:list √ × 前缀列表 修改前缀列表规则 /v4/prefixlistrule/update vpc:prefixList:update √ × 前缀列表 删除前缀列表规则 /v4/prefixlistrule/delete vpc:prefixList:update √ × 前缀列表 创建前缀列表 /v4/prefixlist/create vpc:prefixList:create √ × 前缀列表 创建前缀列表规则 /v4/prefixlistrule/create vpc:prefixList:update √ × 前缀列表 查询前缀列表详情 /v4/prefixlist/show vpc:prefixList:get √ × 前缀列表 查询前缀列表关联资源 /v4/prefixlist/getassociations vpc:prefixList:get √ × 安全组 修改安全组入方向规则 /v4/vpc/modifysecuritygroupingress vpc:securityGroupRules:update √ × 安全组 修改安全组出方向规则 /v4/vpc/modifysecuritygroupegress vpc:securityGroupRules:update √ × 安全组 更新安全组 /v4/vpc/modifysecuritygroupattribute vpc:securityGroups:update √ × 安全组 创建安全组出方向规则 /v4/vpc/createsecuritygroupegress vpc:securityGroupRules:create √ × 安全组 创建安全组入方向规则 /v4/vpc/createsecuritygroupingress vpc:securityGroupRules:create √ × 安全组 删除安全组入方向规则 /v4/vpc/revokesecuritygroupingress vpc:securityGroupRules:delete √ × 安全组 删除安全组出方向规则 /v4/vpc/revokesecuritygroupegress vpc:securityGroupRules:delete √ × 安全组 安全组批量绑定网卡 /v4/vpc/batchattachsecuritygroupports vpc:securityGroups:bindEni √ × 安全组 安全组批量解绑网卡 /v4/vpc/batchdetachsecuritygroupports vpc:securityGroups:unbindEni √ × 安全组 安全组支持批量绑定 /v4/vpc/batchjoinsecuritygroup vpc:securityGroups:bind √ × 安全组 新查询用户安全组列表 /v4/vpc/newquerysecuritygroups vpc:securityGroups:list √ × 安全组 查询用户安全组详情 /v4/vpc/describesecuritygroupattribute vpc:securityGroups:get √ × 安全组 绑定安全组 /v4/vpc/joinsecuritygroup vpc:securityGroups:bind √ × 安全组 获取安全组绑定机器列表 /v4/vpc/getsgassociatevms vpc:securityGroups:get √ × 安全组 解绑安全组 /v4/vpc/leavesecuritygroup vpc:securityGroups:unbind √ × 安全组 创建安全组 /v4/vpc/createsecuritygroup vpc:securityGroups:create √ × 安全组 删除安全组 /v4/vpc/deletesecuritygroup vpc:securityGroups:delete √ × 安全组 获取安全组规则详情 /v4/vpc/describesecuritygrouprule vpc:securityGroupRules:get √ × 安全组 安全组规则检查 /v4/vpc/prechecksgrule vpc:securityGroupRules:check √ × 安全组 查询用户安全组列表 /v4/vpc/querysecuritygroups vpc:securityGroups:list √ × 安全组 获取安全组规则列表 /v4/vpc/describesecuritygrouprules vpc:securityGroupRules:list √ × ACL 查看Acl规则列表 /v4/aclrule/list vpc:firewallPolicies:list √ × ACL 查看Acl列表信息 /v4/acl/list vpc:firewallPolicies:list √ × ACL 查看Acl的详细信息 /v4/acl/query vpc:firewallPolicies:get √ × ACL 修改Acl属性 /v4/acl/update vpc:firewallPolicies:update √ × ACL 修改Acl规则列表属性 /v4/aclrule/update vpc:firewallPolicies:update √ × ACL 创建Acl /v4/acl/create vpc:firewallPolicies:create √ × ACL 创建Acl规则列表 /v4/aclrule/create vpc:firewallPolicies:create √ × ACL 删除Acl /v4/acl/delete vpc:firewallPolicies:delete √ × ACL 删除Acl规则列表 /v4/aclrule/delete vpc:firewallPolicies:delete √ × ACL 新acl列表 /v4/acl/newlist vpc:firewallPolicies:list √ × ACL 克隆acl规则 /v4/acl/clone vpc:firewallPolicies:create √ × 二层连接网关 创建二层连接网关 /v4/l2gw/create vpc:l2gw:create √ × 二层连接网关 删除二层连接网关 /v4/l2gw/delete vpc:l2gw:delete √ × 二层连接网关 更新二层连接网关 /v4/l2gw/update vpc:l2gw:update √ × 二层连接网关 查询二层连接网关列表 /v4/l2gw/query vpc:l2gw:list √ × 二层连接网关 创建二层连接 /v4/l2gwconnection/create vpc:l2gwConnection:create √ × 二层连接网关 删除二层连接 /v4/l2gwconnection/delete vpc:l2gwConnection:delete √ × 二层连接网关 更新二层连接 /v4/l2gwconnection/update vpc:l2gwConnection:update √ × 二层连接网关 查询二层连接列表 /v4/l2gwconnection/query vpc:l2gwConnection:list √ × 二层连接网关 查询云专线或VPN网关 /v4/l2gw/gwquery vpc:l2gw:get √ × 二层连接网关 校验tunnel /v4/l2gwconnection/tunnelcheck vpc:l2gw:check √ × 二层连接网关 二层连接网关续订询价 /v4/l2gw/queryrenewprice vpc:l2gw:renew √ × 二层连接网关 二层连接网关订购询价 /v4/l2gw/querycreateprice vpc:l2gw:create √ × 二层连接网关 二层连接网关续订 /v4/l2gw/renew vpc:l2gw:renew √ × 对等连接 同意建立对等连接 /v4/vpc/vpcpeer/agreerequest vpc:peeringConnectRequest:update √ × 对等连接 拒绝建立对等连接 /v4/vpc/vpcpeer/rejectrequest vpc:peeringConnectRequest:update √ × 对等连接 查询对等连接详情 /v4/vpc/getvpcpeerconnectionattribute vpc:peering:get √ × 对等连接 查询对等连接列表 /v4/vpc/listvpcpeerconnection vpc:peering:list √ × 对等连接 修改对等连接属性 /v4/vpc/modifyvpcpeerconnection vpc:peering:update √ × 对等连接 删除对等连接 /v4/vpc/deletevpcpeerconnection vpc:peering:delete √ × 对等连接 创建对等连接 /v4/vpc/createvpcpeerconnection vpc:peering:create √ × 对等连接 获取待处理的对等连接请求 /v4/vpc/vpcpeer/requests vpc:peeringConnectRequest:list √ × 对等连接 对等链接绑定标签 /v4/vpc/vpcpeer/bindlabel vpc:peering:bindLabel √ × 对等连接 对等链接解绑标签 /v4/vpc/vpcpeer/unbindlabel vpc:peering:unbindLabel √ × 对等连接 获取对等链接绑定的标签 /v4/vpc/vpcpeer/listlabels vpc:peering:listLabel √ × 对等连接 创建对等链接路由 /v4/vpc/vpcpeer/createroute vpc:routeRules:create √ × 对等连接 删除对等链接路由 /v4/vpc/vpcpeer/deleteroute vpc:routeRules:delete √ × 对等连接 获取对等链接路由 /v4/vpc/vpcpeer/queryroute vpc:routeRules:list √ × 筛选条件 创建入方向过滤规则 /v4/mirrorflow/createfilterinrule vpc:mirrorFilterRules:create √ × 筛选条件 创建出方向过滤规则 /v4/mirrorflow/createfilteroutrule vpc:mirrorFilterRules:create √ × 筛选条件 创建过滤条件 /v4/mirrorflow/createfilter vpc:mirrorFilter:create √ × 筛选条件 删除过滤条件 /v4/mirrorflow/deletefilter vpc:mirrorFilter:delete √ × 筛选条件 删除过滤规则 /v4/mirrorflow/deletefilterrule vpc:mirrorFilterRules:delete √ × 筛选条件 更新过滤规则 /v4/mirrorflow/updatefilterrule vpc:mirrorFilterRules:update √ × 筛选条件 更新过滤条件 /v4/mirrorflow/updatefilter vpc:mirrorFilter:update √ × 筛选条件 查看过滤条件列表 /v4/mirrorflow/listfilter vpc:mirrorFilter:list √ × 筛选条件 查看过滤规则列表 /v4/mirrorflow/listfilterrule vpc:mirrorFilterRules:list √ × 筛选条件 查看过滤条件详情 /v4/mirrorflow/showfilter vpc:mirrorFilter:get √ × 筛选条件 调整过滤规则优先级 /v4/mirrorflow/changefilterrulepriority vpc:mirrorFilterRules:update √ × 镜像会话 创建流量会话 /v4/flowsession/create vpc:trafficMirror:create √ × 镜像会话 删除流量会话 /v4/flowsession/delete vpc:trafficMirror:delete √ × 镜像会话 启动流量会话 /v4/flowsession/start vpc:trafficMirror:start √ × 镜像会话 暂停流量会话 /v4/flowsession/stop vpc:trafficMirror:stop √ × 镜像会话 更新流量会话 /v4/flowsession/update vpc:trafficMirror:update √ × 镜像会话 查看流量会话列表 /v4/flowsession/list vpc:trafficMirror:list √ × 镜像会话 查看流量会话详情 /v4/flowsession/show vpc:trafficMirror:get √ × 镜像会话 购买流量会话 /v4/flowsession/buy vpc:trafficMirror:create √ × 镜像会话 退订流量会话 /v4/flowsession/refund vpc:trafficMirror:delete √ × 镜像会话 添加流量会话源 /v4/flowsession/addsource vpc:trafficMirror:increase √ × 镜像会话 移除流量会话源 /v4/flowsession/removesource vpc:trafficMirror:decrease √ × 镜像会话 修改流量会话目的 /v4/flowsession/updatetarget vpc:trafficMirror:change √ × 流日志 修改vpc流日志 /v4/log/modifyvpcaccesslog vpc:flowlogs:update √ × 流日志 删除vpc流日志 /v4/log/deletevpcaccesslog vpc:flowlogs:delete √ × 流日志 查询vpc流日志 /v4/log/listvpcaccesslog vpc:flowlogs:list √ × 流日志 创建vpc流日志 /v4/log/addvpcaccesslog vpc:flowlogs:create √ × 路径分析 创建网络路径 /v4/vnia/createnetworkpath vpc:pathAnalyzer:create √ × 路径分析 创建网络路径分析 /v4/vnia/createnetworkpathanalysis vpc:pathAnalyzer:run √ × 路径分析 删除网络路径分析 /v4/vnia/deletenetworkpathanalysis vpc:pathAnalyzer:delete √ × 路径分析 获取网络路径分析列表 /v4/vnia/listnetworkpathanalysis vpc:pathAnalyzer:get √ × 路径分析 获取网络路径分析详情 /v4/vnia/shownetworkpathanalysis vpc:pathAnalyzer:get √ × 路径分析 删除网络路径 /v4/vnia/deletenetworkpath vpc:pathAnalyzer:delete √ × 路径分析 获取网络路径列表 /v4/vnia/listnetworkpath vpc:pathAnalyzer:list √ × 路径分析 获取网络路径详情 /v4/vnia/shownetworkpath vpc:pathAnalyzer:get √ × 路径分析 删除网络路径分析报告 /v4/vnia/deletenetworkpathreport vpc:pathAnalyzerHistory:delete √ × 路径分析 获取网络路径分析报告列表 /v4/vnia/listnetworkpathreport vpc:pathAnalyzer:get √ × 路径分析 获取网络路径分析报告详情 /v4/vnia/shownetworkpathreport vpc:pathAnalyzer:get √ × 天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。

参数名 参数解释 取值范围 默认值 timeout 客户端空闲N秒（timeout参数的取值）后将关闭连接。当N0时，表示禁用该功能。Proxy集群实例不支持该参数。 0~7200，单位：秒。 0 appendfsync 操作系统的fsync函数刷新缓冲区数据到磁盘，有些操作系统会真正刷新磁盘上的数据，其他一些操作系统只会尝试尽快完成。Redis支持三种不同的调用 fsync的方式： no：不调用fsync,由操作系统决定何时刷新数据到磁盘，性能最高。 always：每次写AOF文件都调用fsync，性能最差，但数据最安全。 everysec：每秒调用一次fsync。兼具数据安全和性能。单机实例不支持该参数。 l nol alwaysl everysec no appendonly 指定是否在每次更新操作后进行日志记录，Redis在默认情况下是异步的把数据写入磁盘，如果不开启，可能会在断电时导致一段时间内的数据丢失。有2个取值供选择：yes：开启。no：关闭。单机实例不支持该参数。 l yesl no yes clientoutputbufferlimitslavesoftseconds slave客户端outputbuffer超过clientoutputbufferslavesoftlimit设置的大小，并且持续时间超过此值（单位为秒），服务端会主动断开连接。单机实例不支持该参数。 0~60 60 clientoutputbufferslavehardlimit 对slave客户端outputbuffer的硬限制（单位为字节），如果slave客户端outputbuffer大于此值，服务端会主动断开连接。单机实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 clientoutputbufferslavesoftlimit 对slave客户端outputbuffer的软限制（单位为字节），如果outputbuffer大于此值并且持续时间超过clientoutputbufferlimitslavesoftseconds设置的时长，服务端会主动断开连接。单机实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 maxmemorypolicy 在达到内存上限（maxmemory）时DCS将如何选择要删除的内容。有8个取值供选择： volatilelru：根据LRU算法删除设置了过期时间的键值。 allkeyslru：根据LRU算法删除任一键值。 volatilerandom：删除设置了过期时间的随机键值。 allkeysrandom：删除一个随机键值。 volatilettl：删除即将过期的键值，即TTL值最小的键值。 noeviction：不删除任何键值，只是返回一个写错误。 volatilelfu:根据LFU算法删除设置了过期时间的键值。 allkeyslfu:根据LFU算法删除任一键值。 取值范围与实例的版本有关 默认值与实例的版本及类型有关 luatimelimit Lua脚本的最长执行时间，单位为毫秒。读写分离实例不支持设置该参数。 100～5,000 5,000 masterreadonly 设置实例为只读状态。设置只读后，所有写入命令将返回失败。Proxy集群、读写分离实例不支持该参数。 l yesl no no maxclients 最大同时连接的客户端个数。Proxy集群、读写分离实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 protomaxbulklen Redis协议中的最大的请求大小，单位为字节。读写分离实例不支持设置该参数。 1,048,576～536,870,912 536,870,912 replbacklogsize 用于增量同步的复制积压缓冲区大小（单位为字节）。这是一个用来在从节点断开连接时，存放从节点数据的缓冲区，当从节点重新连接时，如果丢失的数据少于缓冲区的大小，可以用缓冲区中的数据开始增量同步。单机实例不支持该参数。 16,384～1,073,741,824 1,048,576 replbacklogttl 从节点断开后，主节点释放复制积压缓冲区内存的秒数。值为0时表示永不释放复制积压缓冲区内存。单机实例不支持该参数。 0～604,800 3,600 repltimeout 主从同步超时时间，单位为秒。单机实例不支持该参数。 30～3,600 60 hashmaxziplistentries 当hash表中只有少量记录时，使用有利于节约内存的数据结构来对hashes进行编码。 1~10000 512 hashmaxziplistvalue 当hash表中最大的取值不超过预设阈值时，使用有利于节约内存的数据结构来对hashes进行编码。 1~10000 64 setmaxintsetentries 当一个集合仅包含字符串且字符串为在64位有符号整数范围内的十进制整数时，使用有利于节约内存的数据结构对集合进行编码。 1~10000 512 zsetmaxziplistentries 当有序集合中只有少量记录时，使用有利于节约内存的数据结构对有序序列进行编码。 1~10000 128 zsetmaxziplistvalue 当有序集合中的最大取值不超过预设阈值时，使用有利于节约内存的数据结构对有序集合进行编码。 1~10000 64 latencymonitorthreshold 延时监控的采样时间阈值（最小值），单位为毫秒。阈值设置为0：不做监控，也不采样；阈值设置为大于0：将记录执行耗时大于阈值的操作。可以通过LATENCY等命令获取统计数据和配置、执行采样监控。Proxy集群实例不支持该参数。 0~86400000，单位：毫秒。 0 notifykeyspaceevents notifykeyspaceevents选项的参数为空字符串时，功能关闭。另一方面，当参数不是空字符串时，功能开启。notifykeyspaceevents的参数可以是以下字符的任意组合，它指定了服务器该发送哪些类型的通知： K：键空间通知，所有通知以keyspace@为前缀。 E：键事件通知，所有通知以keyevent@为前缀。 g：DEL、EXPIRE、RENAME等类型无关的通用命令的通知。 $ ：字符串命令的通知。 l：列表命令的通知。 s：集合命令的通知。 h：哈希命令的通知。 z：有序集合命令的通知。 x：过期事件：每当有过期键被删除时发送。 e：驱逐(evict)事件：每当有键因为maxmemory政策而被删除时发送。 A：参数glshzxe的别名。输入的参数中至少有一个K或者E，A不能与g$lshzxe同时出现，不能出现相同字母。举个例子，如果只想订阅键空间中和列表相关的通知，那么参数就应该设为Kl。将参数设为字符串"AKE"表示发送所有类型的通知。Proxy集群实例不支持该参数。 请参考该参数的描述。 Ex slowloglogslowerthan Redis慢查询会记录超过指定执行时间的命令。slowloglogslowerthan用于配置记录到慢查询的命令执行时间阈值，单位为微秒。 0～1,000,000 10,000 slowlogmaxlen 慢查询记录的条数。注意慢查询记录会消耗额外的内存。可以通过执行SLOWLOG RESET命令清除慢查询记录。 0～1,000 128 multidb 开启或关闭多DB特性。要求先清除已有数据。清除数据之前请先手动备份生成备份文件。若要恢复已清除的数据请通过数据迁移页面的备份导入功能进行数据恢复。有2个取值供选择：yes：开启。no：关闭。仅Redis 4.0及以上版本的Proxy集群实例支持该参数。 l yesl no no

参数名 参数解释 取值范围 默认值 timeout 客户端空闲N秒（timeout参数的取值）后将关闭连接。当N0时，表示禁用该功能。Proxy集群实例不支持该参数。 0~7200，单位：秒。 0 appendfsync 操作系统的fsync函数刷新缓冲区数据到磁盘，有些操作系统会真正刷新磁盘上的数据，其他一些操作系统只会尝试尽快完成。Redis支持三种不同的调用 fsync的方式： no：不调用fsync,由操作系统决定何时刷新数据到磁盘，性能最高。 always：每次写AOF文件都调用fsync，性能最差，但数据最安全。 everysec：每秒调用一次fsync。兼具数据安全和性能。单机实例不支持该参数。 l nol alwaysl everysec no appendonly 指定是否在每次更新操作后进行日志记录，Redis在默认情况下是异步的把数据写入磁盘，如果不开启，可能会在断电时导致一段时间内的数据丢失。有2个取值供选择：yes：开启。no：关闭。单机实例不支持该参数。 l yesl no yes clientoutputbufferlimitslavesoftseconds slave客户端outputbuffer超过clientoutputbufferslavesoftlimit设置的大小，并且持续时间超过此值（单位为秒），服务端会主动断开连接。单机实例不支持该参数。 0~60 60 clientoutputbufferslavehardlimit 对slave客户端outputbuffer的硬限制（单位为字节），如果slave客户端outputbuffer大于此值，服务端会主动断开连接。单机实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 clientoutputbufferslavesoftlimit 对slave客户端outputbuffer的软限制（单位为字节），如果outputbuffer大于此值并且持续时间超过clientoutputbufferlimitslavesoftseconds设置的时长，服务端会主动断开连接。单机实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 maxmemorypolicy 在达到内存上限（maxmemory）时DCS将如何选择要删除的内容。有8个取值供选择： volatilelru：根据LRU算法删除设置了过期时间的键值。 allkeyslru：根据LRU算法删除任一键值。 volatilerandom：删除设置了过期时间的随机键值。 allkeysrandom：删除一个随机键值。 volatilettl：删除即将过期的键值，即TTL值最小的键值。 noeviction：不删除任何键值，只是返回一个写错误。 volatilelfu:根据LFU算法删除设置了过期时间的键值。 allkeyslfu:根据LFU算法删除任一键值。 取值范围与实例的版本有关 默认值与实例的版本及类型有关 luatimelimit Lua脚本的最长执行时间，单位为毫秒。读写分离实例不支持设置该参数。 100～5,000 5,000 masterreadonly 设置实例为只读状态。设置只读后，所有写入命令将返回失败。Proxy集群、读写分离实例不支持该参数。 l yesl no no maxclients 最大同时连接的客户端个数。Proxy集群、读写分离实例不支持该参数。 取值范围与实例的类型及规格有关 默认值与实例的类型及规格有关 protomaxbulklen Redis协议中的最大的请求大小，单位为字节。读写分离实例不支持设置该参数。 1,048,576～536,870,912 536,870,912 replbacklogsize 用于增量同步的复制积压缓冲区大小（单位为字节）。这是一个用来在从节点断开连接时，存放从节点数据的缓冲区，当从节点重新连接时，如果丢失的数据少于缓冲区的大小，可以用缓冲区中的数据开始增量同步。单机实例不支持该参数。 16,384～1,073,741,824 1,048,576 replbacklogttl 从节点断开后，主节点释放复制积压缓冲区内存的秒数。值为0时表示永不释放复制积压缓冲区内存。单机实例不支持该参数。 0～604,800 3,600 repltimeout 主从同步超时时间，单位为秒。单机实例不支持该参数。 30～3,600 60 hashmaxziplistentries 当hash表中只有少量记录时，使用有利于节约内存的数据结构来对hashes进行编码。 1~10000 512 hashmaxziplistvalue 当hash表中最大的取值不超过预设阈值时，使用有利于节约内存的数据结构来对hashes进行编码。 1~10000 64 setmaxintsetentries 当一个集合仅包含字符串且字符串为在64位有符号整数范围内的十进制整数时，使用有利于节约内存的数据结构对集合进行编码。 1~10000 512 zsetmaxziplistentries 当有序集合中只有少量记录时，使用有利于节约内存的数据结构对有序序列进行编码。 1~10000 128 zsetmaxziplistvalue 当有序集合中的最大取值不超过预设阈值时，使用有利于节约内存的数据结构对有序集合进行编码。 1~10000 64 latencymonitorthreshold 延时监控的采样时间阈值（最小值），单位为毫秒。阈值设置为0：不做监控，也不采样；阈值设置为大于0：将记录执行耗时大于阈值的操作。可以通过LATENCY等命令获取统计数据和配置、执行采样监控。Proxy集群实例不支持该参数。 0~86400000，单位：毫秒。 0 notifykeyspaceevents notifykeyspaceevents选项的参数为空字符串时，功能关闭。另一方面，当参数不是空字符串时，功能开启。notifykeyspaceevents的参数可以是以下字符的任意组合，它指定了服务器该发送哪些类型的通知： K：键空间通知，所有通知以keyspace@为前缀。 E：键事件通知，所有通知以keyevent@为前缀。 g：DEL、EXPIRE、RENAME等类型无关的通用命令的通知。 $ ：字符串命令的通知。 l：列表命令的通知。 s：集合命令的通知。 h：哈希命令的通知。 z：有序集合命令的通知。 x：过期事件：每当有过期键被删除时发送。 e：驱逐(evict)事件：每当有键因为maxmemory政策而被删除时发送。 A：参数glshzxe的别名。输入的参数中至少有一个K或者E，A不能与g$lshzxe同时出现，不能出现相同字母。举个例子，如果只想订阅键空间中和列表相关的通知，那么参数就应该设为Kl。将参数设为字符串"AKE"表示发送所有类型的通知。Proxy集群实例不支持该参数。 请参考该参数的描述。 Ex slowloglogslowerthan Redis慢查询会记录超过指定执行时间的命令。slowloglogslowerthan用于配置记录到慢查询的命令执行时间阈值，单位为微秒。 0～1,000,000 10,000 slowlogmaxlen 慢查询记录的条数。注意慢查询记录会消耗额外的内存。可以通过执行SLOWLOG RESET命令清除慢查询记录。 0～1,000 128 multidb 开启或关闭多DB特性。要求先清除已有数据。清除数据之前请先手动备份生成备份文件。若要恢复已清除的数据请通过数据迁移页面的备份导入功能进行数据恢复。有2个取值供选择：yes：开启。no：关闭。仅Redis 4.0及以上版本的Proxy集群实例支持该参数。 l yesl no no

本章节介绍如何基于消息队列RocketMQ实现全链路灰度 概述 本文介绍在使用消息队列（RocketMQ）这种异步场景下，可以在不修改业务代码的情况下，实现异步场景的灰度，从而实现全链路灰度。本文介绍基于消息队列RocketMQ实现全链路灰度。 背景介绍 在大多数业务场景中对于消息的灰度并没有RPC调用那么严格，但是当全链路灰度调用中涉及到消息消费时，如果消息消费没有按照全链路流量规则路由，则会导致通过消息产生的流量逃逸，从而破坏全链路规则，导致出现一些不符合预期的情况。 如下图所示，本文分别部署网关、appa、appagray、appb、appbgray、appc、appcgray以及RocketMQ，模拟一个真实的全链路灰度场景。 通过网关调用appa应用的接口，当满足路由规则后，灰度流量会被路由到appagray，appagray又会调用appbgray，随后由appbgray发送灰度消息，appcgray将会收到灰度消息，而appc不会收到灰度消息。 前提条件 1. 用户已开通微服务治理中心企业版。 2. 用户已开通云容器引擎。 3. 用户已部署RocketMQ，且RocketMQ版本在4.5.0以上，broker.conf中已配置enablePropertyFiltertrue。 部署Demo应用 准备自建入口网关msgczuul，准备应用msgcappa，msgcappb和msgcappc。调用过程是msgcappa –> msgcappb > msgcappc。 步骤1：在云容器引擎中安装微服务治理插件： 1. 登录“云容器引擎”控制台。 2. 在左侧菜单栏选择“集群”，点击目标集群。 3. 在集群管理页面点击“插件”“插件市场”，选择“cubems”插件安装。 步骤2：为应用开启微服务治理能力： 1. 登录“云容器引擎”控制台。 2. 左侧菜单栏选择“集群”，点击目标集群。 3. 在集群管理页面点击“工作负载”“无状态”，选择目标命名空间。 4. 在Deployment列表页选择指定Deployment，并点击“全量替换”，进入Deployment编辑页。 5. 在Deployment编辑页点击“显示高级设置”，新增“Pod标签”: mseCubeMsAutoEnable:on。 6. 在发布应用时，配置指定环境变量，可指定注入微服务治理中心的应用名、命名空间和标签等信息。 环境变量配置如下： 环境变量名 环境变量值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSESERVICETAG 应用标签信息，如灰度应用可配置gray。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。 7. 完成编辑后点击“提交”，重新发布容器即可接入。 appa应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appb应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appc应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" zuul应用的配置： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "zuul" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "zuul" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "zuul" spec: containers: env: name: "MSEAPPNAME" value: "zuul" image: "镜像仓库域名/xxx/zuul:latest" imagePullPolicy: "Always" name: "zuul" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi"

开启binlog并设置格式 binlogformatrow binlogrowimagefull expirelogsdays7 binlog日志保留时间 gtidmode on 开启gtid enforcegtidconsistency 1 defaulttimezone '+8:00' 设置时区，解决CST夏令时的问题 maxconnections 1000 设置最大连接数 4. 重启MySQL。 5. 确认待迁移对象中是否包含触发器。 > 如果将触发器作为结构的一部分，在DTS的调度逻辑上，触发器会先于全量迁移被迁移到TeleDB。这样可能会影响到全量迁移，导致数据不一致。 > 建议将触发器放到全量迁移之后，再新建一个迁移任务进行迁移。 6. 数据及业务信息统计 > 如果为非测试任务，需要在迁移之前统计业务以及迁移信息，方便进行迁移任务规划。 资源信息： 源库规格信息，例：4C8G + 500G + SSD 目标库磁盘信息：例：4C8G + 500G + SSD 网络情况：例：为测试环境纯内网传输，无复杂的网络拓补结构 数据信息： 总数据量，例如30GB 总库表数量：例：40个库，8000张表，2000个视图，5个触发器 每日新增数据量级，例：一天的binlog日志新增大概100GB 是否所有表都有主键，建议迁移前完善主键，提高性能，方便运维。 注意 如果存在无主键的表，则增量阶段源端对应表的增、删、改操作不会同步至目标端，可能导致数据不一致，请谨慎评估。 业务类 规划迁移批次，例：规划分3次进行迁移，迁移时间每天晚上20:0006:00，日期为20230918至20230920。 注意 实际迁移操作请与数据库全量备份操作错开，以免交叉影响，否则可能会导致备份失败，同时影响迁移效率。 数据迁移是否可停业务，例：能/不能 增量迁移情况，例：开启增量迁移，持续时间5天 可停业务时间长度，例：服务停机时间预计48小时 业务中是否存在百万级别的大事务，例：存在，涉及对表CLOUD.LOGS进行大事务操作，存在一个存储过程用不带where条件的delete语句定期清理该表。 操作步骤 1. 进入迁移页面单击TeleDBDCP数据库管理平台左上角，可跳转到DTS管理服务页面。 2. 数据页面列表实例开通后，存在待配置 状态实例，单击操作 列的 实例配置 ，进入配置页面。 3. 配置源库及目标库信息 1. 进入实例配置第一个步骤的配置源库及目标库信息 页面，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。TeleDB的连接信息可以从TeleDB管理控制台看到，选择协调节点的主节点信息进行连接。在测试环境下，源库所在主机可通过连接网线到测试样品内网，并指定IP地址后，填写相应信息。 2. 完成上述信息的填写后，单击源数据库和目标数据库的检测联通性并进行下一步按钮进行数据库连接测试，检查数据库能否正常连接。 4. 配置迁移对象及高级配置 源库和目标库连通性测试成功后，进入实例配置第二个步骤的配置迁移对象及高级配置页面，在“源库对象”中展开库后，选择要迁移的源库对象，选中后单击“>”按钮，将待迁移对象移动到“已选择对象”中。 5. 预检查并启动。 完成迁移对象和高级配置后，单击 下一步预检查 ，进入实例配置第三个步骤的预检查并启动页面。预检查会检查如下列表信息，并给出检查结果，用户可以依据检查结果进行下一步操作。 > 检查项 检查内容 > > 待迁移表主键检查 检查待迁移表是否都存在主键。 > 存储引擎检查 检查源库中待迁移表的存储引擎是否满足要求。 > 源库binlog存在性检查 查看源库的binlog文件是否被误删除。 > 源库binlog影像类型检查 查看源库的binlogrowimage参数是不是FULL。 > 源库binlog是否开启检查 查看源库的logbin参数是不是ON。 > 源库binlog模式检查 查看源库的binlogformat参数是不是ROW。 > 源库binlog保留时间检查 检查源库的binlog保留时间是否满足要求 > 源库和目标库字符集一致性检查 检查源库和目标库的字符集是否一致。 > 源库用户权限检查 检查源库用于DTS任务的用户是否具有相应的权限。 > 源库连通性检查 检查数据传输服务能否连通源数据库。 > 目标库用户权限检查 检查目标库用于DTS任务的用户是否具有相应的权限。 > 目标库连通性检查 检查数据传输服务器能否连通目标数据库。 > 约束完整性检查 检查待迁移对象中所有表的约束外键所属对象是否被选中。 > 如果预检查通过，可单击【预检查】页面底部的“启动迁移”按钮，开始迁移任务。也可以直接单击 “数据迁移”页签，返回数据迁移列表。注意，如果预检查中有错误项，数据迁移将无法开始；如果有警告项，数据迁移任务可以运行，但可能会出现一些问题。 直接返回迁移列表，迁移任务将处于未启动状态。 勾选实例，然后单击 开始任务 ，直到数据迁移实例完成（没有增量迁移），或者处于增量迁移状态。运行到增量迁移后，如果显示未运行，稍等一会会进入增量运行中。

资产管理

ctcsscnglobal.ctapi.ctyun.cn

常见风险暴露 高危端口暴露：系统暴露高危端口，攻击事件涉及端口暴露最多的如：3389、445、135、139、3306、5800、5900等。 系统存在弱口令：系统或应用密码复杂度低，未定期更新密码，使用统一的密码等，能够被攻击者成功爆破。 高危漏洞未修复：系统或者第三方软件存在漏洞，勒索软件利用已知的漏洞实施攻击。 社工钓鱼：发送伪装的电子邮件引诱用户下载恶意程序或访问恶意URL链接。

参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改

提升员工安全意识 禁止随便点击邮件中的不明附件或快捷方式，网站链接等。 禁止从来历不明的网站下载的一些文档。 重要文件或信息（如密码口令等）需要加密，防止泄露。 重要文件定期备份 用户自行对重要文档数据与数据库文件做备份。 使用备份产品对主机、硬盘、文件目录或数据库进行备份。 定期系统安全巡检 对可疑文件/进程或应用进行清理，如后缀名异常文件、来源不明的应用等。 系统/软件即时更新补丁 及时修复系统漏洞，定期更新。 上线前进行主机安全加固 关闭不必要的端口，减少暴露面。 关闭不必要的网络访问，减少暴露面。 系统安全配置检查：核查系统配置，如设置密码策略、设置用户锁定策略、禁用Guest账户、限制匿名用户连接等。 不设置弱密码 设置复杂口令： 长度为8～26个字符；包含大小写字母、数字及符号3种。 不能包含与账号名相关的信息。 不能使用连续3个及以上键位排序字符，如123，Qwe。 不能使用常用的具有特殊含义的字符串等。

本章节主要介绍配置OBS目的端参数。 作业中目的连接为配置OBS连接时，即导入数据到云服务OBS时，目的端作业参数如下表所示。 高级属性里的参数为可选参数，默认隐藏，单击界面上的“显示高级属性”后显示。 表 OBS作为目的端时的作业参数 参数类型 参数名 说明 取值样例 基本参数 桶名 写入数据的OBS桶名。 bucket2 基本参数 写入目录 写入数据到OBS服务器的目录，目录前面不加“/”。 该参数支持配置为时间宏变量，且一个路径名中可以有多个宏定义变量。使用时间宏变量和定时任务配合，可以实现定期同步新增数据。 directory/ 基本参数 文件格式 写入后的文件格式，可选择以下文件格式： CSV格式：按CSV格式写入，适用于数据表到文件的迁移。 二进制格式：选择“二进制格式”时不解析文件内容直接传输，CDM会原样写入文件，不改变原始文件格式，适用于文件到文件的迁移。 如果是文件类数据源（FTP/SFTP/HDFS/OBS）之间相互迁移数据，此处的“文件格式”只能选择与源端的文件格式一致。 CSV格式 基本参数 重复文件处理方式 只有文件名和文件大小都相同才会判定为重复文件。写入时如果出现文件重复，可选择如下处理方式： 替换重复文件 跳过重复文件 停止任务 跳过重复文件 高级属性 加密方式 选择是否对上传的数据进行加密，以及加密方式： 无：不加密，直接写入数据。 KMS：使用数据加密服务中的KMS进行加密。如果启用KMS加密则无法进行数据的MD5校验。 AES256GCM：使用长度为256byte的AES对称加密算法，目前加密算法只支持AES256GCM（NoPadding）。该参数在目的端为加密，在源端为解密。 KMS 高级属性 KMS ID 写入文件时加密使用的密钥，“加密方式”选择“KMS”时显示该参数。单击输入框后面的，可以直接选择在数据加密服务中已创建好的KMS密钥。 当使用与CDM集群相同项目下的KMS密钥时，不需要修改下面的“项目ID”参数。 当用户使用其它项目下的KMS密钥时，需要修改下面的“项目ID”参数。 53440ccb3e73470098b571ff5476e621 高级属性 项目ID KMS ID所属的项目ID，该参数默认值为当前CDM集群所属的项目ID。 当“KMS ID”与CDM集群在同一个项目下时，这里的“项目ID”保持默认即可。 当“KMS ID”使用的是其它项目下的KMS ID时，这里需要修改为KMS所属的项目ID。 9bd7c4bd54e5417198f9591bef07ae67 高级属性 数据加密密钥 “加密方式”选择“AES256GCM”时显示该参数，密钥由长度64的十六进制数组成。 请您牢记这里配置的“数据加密密钥”，解密时的密钥与这里配置的必须一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 DD0AE00DFECD78BF051BCFDA25BD4E320DB0A7AC75A1F3FC3D3C56A457DCDC1B 高级属性 初始化向量 “加密方式”选择“AES256GCM”时显示该参数，初始化向量由长度32的十六进制数组成。 请您牢记这里配置的“初始化向量”，解密时的初始化向量与这里配置的必须一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 5C91687BA886EDCD12ACBC3FF19A3C3F 高级属性 复制ContentType属性 “文件格式”为“二进制”，且源端、目的端都为对象存储时，才有该参数。 选择“是”后，迁移对象文件时会复制源文件的ContentType属性，主要用于静态网站的迁移场景。 归档存储的桶不支持设置ContentType属性，所以如果开启了该参数，目的端选择写入的桶时，必须选择非归档存储的桶。 否 高级属性 换行符 文件中的换行符，默认自动识别“n”、“r”或“rn”。“文件格式”为“二进制格式”时该参数值无效。 n 高级属性 字段分隔符 文件中的字段分隔符。“文件格式”为“二进制格式”时该参数值无效。 , 高级属性 写入文件大小 源端为数据库时该参数才显示，支持按大小分成多个文件存储，避免导出的文件过大，单位为MB。 1024 高级属性 校验MD5值 使用“二进制格式”传输文件时，才能校验MD5值。选择校验MD5值时，无法使用KMS加密。 计算源文件的MD5值，并与OBS返回的MD5值进行校验。如果源端已经存在MD5文件，则直接读取源端的MD5文件与OBS返回的MD5值进行校验。 是 高级属性 记录校验结果 当选择校验MD5值时，可以选择是否记录校验结果。 是 高级属性 校验结果写入连接 可以指定任意一个OBS连接，将MD5校验结果写入该连接的桶下。 obslink 高级属性 OBS桶 写入MD5校验结果的OBS桶。 cdm05 高级属性 写入目录 写入MD5校验结果的目录。 /md5/ 高级属性 编码类型 文件编码类型，例如：“UTF8”或“GBK”。“文件格式”为“二进制格式”时该参数值无效。 GBK 高级属性 使用包围符 “文件格式”为“CSV格式”，才有该参数，用于将数据库的表迁移到文件系统的场景。 选择“是”时，如果源端数据表中的某一个字段内容包含字段分隔符或换行符，写入目的端时CDM会使用双引号（"）作为包围符将该字段内容括起来，作为一个整体存储，避免其中的字段分隔符误将一个字段分隔成两个，或者换行符误将字段换行。例如：数据库中某字段为hello,world，使用包围符后，导出到CSV文件的时候数据为"hello,world"。 否 高级属性 首行为标题行 从关系型数据库导出数据到OBS，“文件格式”为“CSV格式”时，才有该参数。 在迁移表到CSV文件时，CDM默认是不迁移表的标题行，如果该参数选择“是”，CDM在才会将表的标题行数据写入文件。 否 高级属性 作业成功标识文件 当作业执行成功时，会在写入目录下生成一个标识文件，文件名由用户指定。不指定时默认关闭该功能。 finish.txt 高级属性 自定义目录层次 选择“是”时，支持迁移后的文件按照自定义的目录存储。即只迁移文件，不迁移文件所归属的目录。 是 高级属性 目录层次 自定义迁移后文件的存储路径，支持时间宏变量。 ${dateformat(yyyyMMdd HH:mm:ss, 1, DAY)} 高级属性 自定义文件名 从关系型数据库导出数据到OBS，且“文件格式”为“CSV格式”时，才有该参数。 用户可以通过该参数自定义OBS端生成的文件名，支持以下自定义方式： 字符串，支持特殊字符。例如“cdm

本章节主要介绍创建DataArts Studio基础包。 背景信息 只有拥有DAYU Administrator 或Tenant Administrator权限的用户才可以创建DataArts Studio实例或DataArts Studio增量包。如需创建，您需要给用户授予所需的权限。 说明 Tenant Administrator策略具有所有云服务的管理员权限（除IAM管理权限之外），为安全起见，一般不建议给IAM用户授予该权限，请谨慎操作。 只有拥有Security Administrator权限的用户才创建云服务委托。云服务委托可将相关云服务的操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 前提条件 已申请VPC、子网和安全组，您也可以在创建DataArts Studio实例过程中申请VPC、子网和安全组。 登录DataArts Studio控制台 1. 登录云控制台。 2. 在控制台左上方，单击“服务列表”按钮，选择“数据治理中心”，进入DataArts Studio控制台。 创建DataArts Studio基础包 步骤 1 在DataArts Studio控制台页面，单击“创建实例”，进入创建DataArts Studio实例界面。 步骤 2 配置DataArts Studio实例参数，各参数说明如表1 所示。 表1 DataArts Studio实例参数 参数名称 样例 说明 区域 选择实例的区域，不同区域的资源之间内网不互通。 企业项目 default DataArts Studio实例默认工作空间关联的企业项目。 如果已经创建了企业项目，这里才可以选择。当DataArts Studio实例需连接云上服务（如DWS、MRS、RDS等），还必须确保DataArts Studio工作空间的企业项目与该云服务实例的企业项目相同。 l 一个企业项目下只能创建一个DataArts Studio实例。 l 需要与其他云服务互通时，需要确保与其他云服务的企业项目一致。 版本 企业版 选择需要购买的DataArts Studio版本。 计费方式 包年包月 当前DataArts Studio基础包仅支持包年包月计费方式。 实例名称 DataArts Studiotest 自定义DataArts Studio实例名称。实例名称不支持修改，请提前合理规划。 可用区 可用区1 选择DataArts Studio实例可用区，即数据集成CDM集群所在可用区。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 第一次购买DataArts Studio实例或增量包时，可用区无要求。再次购买DataArts Studio实例或增量包时，是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 l 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 l 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 虚拟私有云 vpc1 DataArts Studio实例中的数据集成CDM集群所属的VPC、子网、安全组。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 子网 subnet1 DataArts Studio实例中的数据集成CDM集群所属的VPC、子网、安全组。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 安全组 sg1 DataArts Studio实例中的数据集成CDM集群所属的VPC、子网、安全组。DataArts Studio实例通过数据集成CDM集群与其他服务实现网络互通。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS等），则您需要确保CDM集群与该云服务网络互通。同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《虚拟私有云用户指南》。 购买时长 1年 按您的需求选择购买的时长。 自动续费 勾选自动续费前的复选框，可实现自动按月或者按年续费。 购买时长为按月购买时，自动续费周期为1个月；购买时长为按年购买时，自动续费周期为1年。 步骤 3 查看当前配置，确认无误后单击“立即创建”。 步骤 4 返回DataArts Studio控制台首页时，系统会自动弹出“云资源访问授权”的对话框，提示您对所列出的服务进行委托授权。DataArts Studio与这些云服务之间存在业务交互关系，需要与这些云服务协同工作，因此需要您创建云服务委托，将操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 说明 只有拥有Security Administrator权限的用户才创建云服务委托。云服务委托可将相关云服务的操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 云服务委托包含DWS、MRS、RDS、OBS、SMN、KMS等服务的相关权限，作用范围可以访问IAM的委托界面查看。 另外子账号以主账号的委托为准，不需要额外申请委托。 勾选所有服务并单击“同意授权”，系统会在IAM服务自动创建dlgagency默认委托。 完成了委托授权后，下次再进入DataArts Studio控制台首页时，系统不会再弹出访问授权的对话框。 如果您只勾选了其中的某几个服务进行委托授权，下次进入DataArts Studio控制台首页时，系统仍会弹出访问授权的对话框，提示您对未授权的云服务进行访问授权。 步骤 5 在已创建的实例中单击“进入控制台”，进入DataArts Studio控制台。

本文主要介绍如何创建物理机备份策略。 1. 登录管理控制台。 2. 选择“存储 > 云服务备份”。 进入“云服务备份控制台”。 3. 在左侧导航树选择“策略”，进入“备份策略”页签，单击右上角“创建策略”，创建自定义策略。 4. 设置备份策略信息。各参数说明如下表所示。 参数 说明 备注 策略名称 设置备份策略的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。 backuppolicy 是否启用 设置备份策略的启用状态。 仅当启用备份策略后，系统才会自动备份所绑定的存储库的服务器和磁盘，并定期删除过期的备份。 备份周期 设置备份任务的执行日期。 按周 指定备份策略在每周的周几进行备份，可以多选。 按天 指定备份策略每隔几天进行一次备份，可设置130天。 每1天 当选择按天备份时，理论上第一次备份的时间为备份策略创建当天。如果当天备份策略创建的时间已经晚于设置的备份时间，那么将会等到第二个备份周期再进行第一次备份。 建议选择无业务或者业务量较少的时间进行备份。 备份时间 设置备份任务在一天之内的执行时间点。 只支持在整点进行备份，同时支持选择多个整点进行备份。 说明 设定的备份时间和控制台实际创建备份的时间可能存在差异。 如需要备份的资源总数据量较大，建议备份执行时间点不宜设置过于紧密。如果单个资源执行备份的时长超过两个备份执行时间间隔，则会跳过第二个备份时间点不进行备份。 例如：某磁盘的备份策略设置的备份时间点为00：00，01:00，02:00。在00:00时，磁盘开始进行备份，由于磁盘此次备份增量数据较大，或者该时间段同时执行的备份任务较多，该次备份任务耗时90分钟，在01:30时完成备份。则01:00的备份时间点会跳过，在02:00时再执行备份，将只会产生两个备份。 备份时间指的是客户端所在的本地时间，并不是指region所在的时区时间。 00:00，02:00 建议选择无业务或者业务量较少的时间进行备份。 备份的业务高峰期在0点到早上6点，建议客户评估业务类型，分散时间备份，如果指定的策略在业务高峰时段，可能会有一定的调度延迟。 全量备份 设置是否定期执行全量备份操作。 开启 开启全量备份可以进一步提高备份数据的安全性，全量备份所占用存储容量也会相应增加。 需要配置全量备份的备份频次，取值范围为0100。0表示每次执行备份均为全量备份。 不开启 备份策略执行增量备份。 说明 全量备份一般耗时较长，全量备份期间由于该资源处于备份中，如有针对该资源的策略或手动执行的备份任务，则会跳过，不会产生其他备份。建议您选择业务闲时再进行备份。 按数量保留备份时，全量备份配置个数需要小于保留的备份数才会进行全量备份，否则不会生成全量备份。 7次 保留规则 设置备份产生后的保留规则。 按数量 单个物理机执行备份策略保留的备份总份数。取值范围为199999个。 按时间 可选择1个月、3个月、6个月、1年的固定保留时长或根据需要自定义保留时长。取值范围为299999天。 高级配置 同时你还可以设置长期保留规则，且长期保留配置与按数量保留之间没有相互影响，共同有效： 保留日备份：取值范围为0100。 保留周备份：取值范围为0100。 保留月备份：取值范围为0100。 保留年备份：取值范围为0100。 例如：日备份，即系统会每天保留最新的一份备份。在本日内，对磁盘进行多次备份后，则只会取本日最后一个备份进行保留。如果选择保留5个日备份，则会选取最新的5个日备份进行保留。超过5个后，系统会自动删除最老的备份。同时设置日备份、周备份、月备份和年备份，则会取并集备份进行保留。即设置保留日备份为5份，周备份1份时，会保留5份备份。长期保留规则与按数量保留可以同时执行，不会产生冲突。 永久保留 说明 当保留的备份数超过设置的数值时，系统会自动删除最早创建的备份，当保留的备份超过设定的时间时，系统会自动删除所有过期的备份；系统默认每隔一天自动清理，删除的备份不会影响其他备份用于恢复。 保留的备份可能将不会在备份策略设置的时间点按时自动删除，将会存在一定的延迟。备份在到期时间后的12点至0点的时间段，进行分批删除。 保留规则仅对备份策略自动调度生成的备份有效。手动执行备份策略生成的备份不会统计在内，且不会自动删除。如需删除，请在备份页签的备份列表中手动删除。 周期性备份产生的失败的备份最多保留10个，保留时长1个月，可手动删除。 在已有某备份的情况下，若下一个备份任务正在进行中，此时删除前一个已有备份的操作将会被拦截，需要等待下一个备份任务结束后，再进行删除操作。 6个月 说明 物理机备份越频繁，保留的备份份数越多或时间越长，对数据的保护越充分，但是占用的存储库空间也越大。请根据数据的重要级别和业务量综合考虑选择，重要的数据采用较短的备份周期，且保留较多的备份份数或较长时间。 5. 设置完成后，单击“立即创建”，完成备份策略的创建。 备份策略列表中增加一条记录。

本文主要介绍如何通过CDN控制台添加加速域名。 前提条件 1. 客户已经搭建完成或已有稳定运营的源站服务器，以及用作加速的域名。 说明 在天翼云CDN控制台添加加速域名时，域名需要满足的条件，详情请见：使用限制的加速域名准入条件和加速域名使用限制。 2. 已经开通CDN加速服务。如未开通，请参考产品开通的文档指引进行开通。 操作步骤说明 1. 登录CDN控制台，选择【域名管理】【域名列表】，您可以在该页面查看已添加的域名信息，包括加速域名、CNAME、加速类型、加速区域、状态、创建时间、标签以及可支持的相关操作等信息。单击【添加域名】。 2. 【加速类型】选择【CDN加速】，并完成基础信息、源站设置、Https配置及证书上传、缓存配置、访问控制等内容配置后，单击【添加域名】。 相关功能说明如下： 类别 功能 说明 对应说明文档 基础信息 加速域名 1.加速域名为需要使用加速服务的域名，具体要求为： 域名类型：支持具体域名（例如，abc.ctyun.cn）或泛域名（例如，.ctyun.cn域名）。 域名长度：长度不超过128字节。 支持的字符：小写英文字母（az）、数字（09）、短划线（），如为泛域名，支持以 开头，例如 .ctyun.cn域名。 天翼云CDN在开通CDN服务后接入域名时，会进行二级域名的信用度检查。例如：您的二级域名在天翼云账号中曾产生过影响信用度的违规行为，如产生大量欠款未结清，二级域名将被列入黑名单，天翼云CDN会禁止新增二级域名黑名单匹配的所有加速域名。例如，ctyun.cn被列入黑名单，A.ctyun.cn、B.ctyun.cn均会被限制新增。 2.在添加加速域名环节，需您先通过域名归属权验证，证明您拥有该域名的使用权，才能完成域名添加。 1.使用限制 2.验证域名归属权 基础信息 加速类型 依据业务特性，选取合适的加速类型。CDN加速产品通常选择加速类型为“CDN加速”。 加速类型 基础信息 加速区域 支持选定期望的加速区域，或切换加速区域，达到变更CDN服务区域的目的。 注意 只有当“加速类型”选定某种加速服务时（如CDN加速），CDN控制台才会展示“加速区域”选项。 加速区域 基础信息 IPv6开关 开启IPv6功能后，您可以在客户端通过IPv6协议访问CDN节点。 IPv6配置 回源配置 源站 支持IP或域名，最多可添加60个。 源站配置 回源配置 回源协议 支持设置CDN在回源时遵循的协议类型。 回源协议 回源配置 回源端口 支持设置您特定的源站端口，HTTP默认80，HTTPS默认443。 回源端口 回源配置 默认回源HOST 当您的源站的同一个IP地址上绑定了多个域名或站点时需配置回源HOST，CDN在回源时根据HOST信息去对应站点获取资源。 默认回源HOST HTTPS配置 HTTPS开关 开启HTTPS协议，将实现客户端和天翼云CDN节点之间请求的HTTPS安全加密传输。 HTTPS配置 HTTPS配置 HTTPS证书上传 您可以选择已经上传过的证书，或者“点击上传”新证书再选用该新证书。 新增证书 HTTPS配置 HTTP2开关 如果您的业务中需要用到多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，可启用HTTP2。 HTTP2.0配置 HTTPS配置 TLS版本 您可以按需选择具体的TLS版本。 TLS版本配置 HTTPS配置 HSTS开关 您可以按需开启HSTS功能。 配置HSTS 缓存配置 缓存配置 合理配置缓存规则，可以提高您的文件加速效果。 缓存过期时间设置 访问控制 IP黑白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 IP黑白名单 访问控制 Referer防盗链 配置Referer黑白名单后，CDN会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，CDN会返回资源；拒绝访问请求，CDN会返回403响应码。 Referer防盗链 访问控制 UA黑白名单 配置UA黑白名单后，CDN会识别HTTP请求中的UserAgent字段中包含的部分信息（标志访客访问时所使用的工具），允许或拒绝访问请求。允许访问请求，CDN会返回资源；拒绝访问请求，CDN会返回403响应码。 UA黑白名单 访问控制 URL黑白名单 配置URL黑白名单后，CDN会识别HTTP请求URL是否为黑白名单，是黑名单则拒绝访问并返回403响应码，是白名单则只允许白名单访问。 URL黑白名单 3. 完成新增域名操作后，可通过【域名列表】查看该域名所处的状态等信息。 4. 【操作】列可查看、编辑域名信息、以及停用/启用域名。 5. 加速域名添加后，会出现在【域名管理】【域名列表】中，状态为正常。如显示审核不通过，您需确认域名备案号，然后重新添加此域名。 注意 添加完加速域名后，天翼云CDN会给您分配对应的CNAME地址，还需要配置CNAME后CDN服务才生效，详情请见：配置CNAME。

本文介绍SQL规范功能，DMS会对用户在查询窗口、SQL变更等模块中提交的SQL语句进行规范审核，符合规范要求的才可执行，这样可以提前识别一些错误或者不规范的SQL，降低异常SQL对数据库造成的风险。 前提条件 时间字段分区表须确定生命周期制定规则和数据清理表 新建索引需要加参 数initrans 时间字段分区表须确定生命周期制定规则和数据清理表 时间字段分区表须确定生命周期制定规则和数据清理表 规则类型 适用的数据库 适用的SQL语句 规则名称 在线/离线规则 库 MySQL、PostgreSQL CREATE DATABASE 限制创建库的字符集 离线 库 Oracle CREATE DBLINK 禁止所有用户拥有创建dblink权限 离线 表 MySQL、PostgreSQL、Oracle CREATE TABLE 表要有主键 离线 表 MySQL、PostgreSQL CREATE TABLE 表要有备注 离线 表 MySQL、PostgreSQL CREATE TABLE 限制表名大小写 离线 表 MySQL CREATE TABLE 限制表存储引擎 离线 表 MySQL、PostgreSQL CREATE TABLE 禁止使用分区表 离线 表 MySQL、PostgreSQL、Oracle CREATE TABLE 表要包含哪些列 离线 表 MySQL CREATE TABLE 限制表字符集 离线 表 MySQL、PostgreSQL、Oracle CREATE TABLE 表名不能是关键字 离线 表 MySQL、PostgreSQL、Oracle CREATE TABLE 限制表字段数量 离线 表 Oracle CREATE TABLE 新建表表名不能带有日期格式 离线 表 Oracle CREATE TABLE 建表时指定表空间名字前缀不能为关键字 离线 表 Oracle CREATE TABLE 时间字段分区表须确定生命周期制定规则和数据清理表 离线 表 Oracle CREATE TABLE 表名中带关键字的表必须进行分区 离线 表 Oracle CREATE TABLE 新建表需要加参数initrans 离线 列 MySQL、PostgreSQL、Oracle CREATE TABLE 字段名不能是关键字 离线 列 MySQL、PostgreSQL CREATE TABLE 限制字段名大小写 离线 列 MySQL CREATE TABLE 不能设置列的字符集 离线 列 MySQL、PostgreSQL、Oracle CREATE TABLE 限制列不能使用部分数据类型 离线 列 MySQL、PostgreSQL CREATE TABLE 列要有注释并限制长度 离线 列 MySQL、PostgreSQL、Oracle CREATE TABLE 限制char类型字段长度 离线 列 MySQL、PostgreSQL、Oracle CREATE TABLE 限制varchar类型字段长度 离线 索引 PostgreSQL CREATE INDEX 建议以create index concurrently方式创建索引 离线 索引 MySQL、PostgreSQL CREATE TABLE 限制单表中索引数量 离线 索引 Oracle CREATE INDEX 索引命名必须以关键字命名 离线 索引 Oracle CREATE INDEX 索引创建必须显式指定表空间，且指定的表空间为数据表空间 在线 索引 Oracle CREATE INDEX 索引创建不能nologging 离线 索引 Oracle CREATE INDEX 分区表创建的索引必须为LOCAL类型 在线 索引 Oracle CREATE INDEX 索引的表空间名称必须以关键字开头 离线 索引 Oracle CREATE INDEX 新建索引需要加参数initrans 离线 更新 MySQL、DRDS UPDATE/DELETE update/delete语句限制多表关联的数量 离线 更新 MySQL、DRDS、PostgreSQL UPDATE/DELETE update/delete语句建议指定where条件 离线 更新 MySQL、DRDS、PostgreSQL UPDATE/DELETE update/delete语句检测where条件是否包含子查询 离线 更新 MySQL、DRDS UPDATE/DELETE update/delete语句不能有order by子句 离线 更新 MySQL、DRDS、PostgreSQL UPDATE/DELETE update/delete语句检测涉及表/字段是否存在 在线（检测该规则需连接数据库实例） 更新 MySQL、DRDS、PostgreSQL UPDATE/DELETE 限制某些表UPDATE/DELETE单个语句的总影响行数 在线（检测该规则需连接数据库实例） 更新 MySQL、DRDS、PostgreSQL UPDATE/DELETE update语句检测是否更新了主键 在线（检测该规则需连接数据库实例） 更新 PostgreSQL UPDATE/DELETE update语句检测是否更新了唯一键 离线 更新 DRDS UPDATE/DELETE 禁止使用truncate table语句 离线 更新 DRDS UPDATE/DELETE update/delete语句不能带limit条件 离线 写入 MySQL、DRDS、PostgreSQL INSERT 插入语句建议指定insert字段列表 离线 写入 MySQL、DRDS、PostgreSQL INSERT 插入语句中insert字段名不能重复 离线 写入 MySQL、DRDS、PostgreSQL INSERT 插入语句中insert字段列表要和值列表匹配 离线 写入 MySQL、DRDS、PostgreSQL INSERT 插入语句限制一条insert values的总行数 离线 写入 MySQL、DRDS、PostgreSQL INSERT 插入语句检测insert的表/字段是否存在 在线（检测该规则需连接数据库实例） 写入 PostgreSQL INSERT 插入语句不能为not null列插入null值 在线（检测该规则需连接数据库实例） 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议group by或order by表达式或函数 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议order by多个字段使用不同方向排序 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议使用having子句 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议使用order by rand() 离线 查询 MySQL、DRDS、PostgreSQL、Oracle SELECT select语句不建议使用select 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议使用union 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句不建议对不同的表group by或order by 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句建议指定where条件 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句限制limit的offset大小 离线 查询 MySQL、DRDS、PostgreSQL SELECT select语句限制多表关联的数量 离线 查询 MySQL、DRDS SELECT 多表关联的select语句建议指定where条件 离线 查询 PostgreSQL SELECT 多表关联的select语句建议指定关联条件 离线 对象 PostgreSQL CREATE 对象名称禁止包含中文 离线 对象 PostgreSQL CREATE 对象名称禁止以pg、pgxc、sys、或者数字开头 离线 对象 PostgreSQL CREATE 对象名称禁止使用双引号 离线 对象 PostgreSQL CREATE 限制对象名长度 离线 对象 PostgreSQL CREATE 禁止使用触发器 离线 对象 PostgreSQL CREATE 禁止使用函数 在线（检测该规则需连接数据库实例） 对象 PostgreSQL CREATE 禁止使用存储过程 离线 对象 Oracle CREATE 新建序列需要设置cache 离线 系统 PostgreSQL ALTER 禁止关闭autovacuum 离线 语句 PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 禁止在where条件中使用前缀是%的like语法 离线 语句 PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 使用IS NULL判断是否为NULL值 离线 语句 PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 禁止在where条件中使用<>或者!操作符 离线 语句 PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 不建议使用cascade 离线 语句 MySQL、DRDS、PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 where条件中不建议使用反向查询（not in/not like） 离线 语句 MySQL、DRDS、PostgreSQL 包含WHERE条件子句的SELECT、UPDATE、DELETE语句等 where条件中检测是否通过“or”操作符连接过滤条件 离线 用户需要具有进入SQL规范 界面的菜单权限。菜单权限请参考权限说明。 SQL规范为企业版功能，目前支持MySQL、PostgreSQL、DRDS、Oracle三种数据库类型。

操作场景 节点访问 ( NodePort )是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 : ，可以从集群的外部访问一个NodePort服务。 约束与限制 “节点访问 ( NodePort )”默认为VPC内网访问，如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 创建service后，如果服务亲和从集群级别切换为节点级别，连接跟踪表将不会被清理，建议用户创建service后不要修改服务亲和属性，如需修改请重新创建servcie。 同一个节点内的容器不支持访问externalTrafficPolicy为local的service。 工作负载创建时设置 您可以在创建工作负载时通过控制台设置Service访问方式，本节以nginx为例进行说明。 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载实际监听的端口，取值范围为165535。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 2 完成配置后，单击“确定”。 步骤 3 单击“下一步：高级设置”进入高级设置页面，直接单击“创建”。 步骤 4 单击“查看工作负载详情”，在访问方式页签下获取访问地址，例如“192.168.0.160:30358”。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 说明： 如果当前Service被关联到Ingress，则更新Service的端口信息后Ingress将不可用，需要删除重建。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 步骤 4 设置节点访问参数： Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作 负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 5 单击“创建”。工作负载已添加“节点访问 ( NodePort )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 单击“远程登录”，弹出登录页面，输入用户密码登录。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。 说明： 节点访问(NodePort)会在集群内节点上分配一个虚拟IP，即可以在集群内部通过虚拟IP的验证方式验证。其中，虚拟IP访问端口默认与容器端口一致。 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 curl 192.168.0.160:30358 其中“192.168.0.160:30358”为步骤4中获取到的访问地址，即节点虚拟IP+访问端口。 回显如下表示访问成功。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在更新Service页面，访问类型选择“节点访问 ( NodePort )”。 步骤 3 更新节点访问参数： Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 4 单击“更新”。工作负载已更新Service。

本节主要介绍创建存储池命令。 ./stor storagepool add { n name } POOLNAME [ faultdomain FAULTDOMAIN ] [ [qosname QOSNAME ] [ iops IOPS ] [ readiops READIOPS ] [ writeiops WRITEIOPS ] [ bps BPS ] [ readbps READBPS ] [ writebps WRITEBPS ] [ iopsburst IOPSBURST ] [ readiopsburst READIOPSBURST ] [ writeiopsburst WRITEIOPSBURST ] [ bpsburst BPSBURST ] [ readbpsburst READBPSBURST ] [ writebpsburst WRITEBPSBURST ] [ iopsburstsecs IOPSBURSTSECS ] [ readiopsburstsecs READIOPSBURSTSECS ] [ writeiopsburstsecs WRITEIOPSBURSTSECS ] [ bpsburstsecs BPSBURSTSECS ] [ readbpsburstsecs READBPSBURSTSECS ] [ writebpsburstsecs WRITEBPSBURSTSECS] ] 此命令用来创建存储池。 说明 HBlock集群中最多可以创建32768个存储池。 参数 参数 描述 n POOLNAME 或 name POOLNAME 指定存储池名称。 取值：字符串形式，长度范围是1~16，只能由字母、数字、短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。 faultdomain FAULTDOMAIN 指定存储池的故障域级别。 取值： path：数据目录级别。 server：服务器级别。 rack：机架级别。 room：机房级别。 默认值为server。 qosname QOSNAME 指定QoS策略名称。 注意 创建存储池时，如果指定QoS策略名称不存在，那么同时创建QoS策略，新创建的QoS策略的回收策略默认为Delete。 取值：字符串形式，长度范围1~64，只能由字母、数字和短横线()组成，区分大小写，且仅支持以字母或数字开头。 注意 如果没有指定QOSNAME ，但是设置了IOPS/Bps中的任何一个参数，则根据IOPS/Bps自动创建一个QoS策略，系统为策略名赋值：poolpoolnameqostimestamp。 如果指定了QOSNAME 以及IOPS/Bps中的任何一个参数，则QOSNAME不能与已存在的QoS策略重名。 如果指定了QOSNAME ，没有设置IOPS/Bps中的任何一个参数，则QOSNAME需要为已存在的QoS策略名称。 iops IOPS 每秒能够进行读写操作次数的最大值。 取值：整数形式，取值为[1, 999999999]，默认值为1。1表示不限制。 readiops READIOPS 每秒能够进行读操作次数的最大值。 取值：整数形式，取值为[1, 999999999]，默认值为1。1表示不限制。 writeiops WRITEIOPS 每秒能够进行写操作次数的最大值。 取值：整数形式，取值为[1, 999999999]，默认值为1。1表示不限制。 bps BPS 每秒可传输数据量的最大值。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。 如果单位是B/s，取值为[1, 4096000000000]。 如果单位是KiB/s，取值为[1, 4000000000]。 如果单位是MiB/s，取值为[1, 3906250]。 如果单位是GiB/s，取值为[1, 3814]。 如果单位是TiB/s，取值为[1, 3]。 readbps READBPS 读带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。 如果单位是B/s，取值为[1, 4096000000000]。 如果单位是KiB/s，取值为[1, 4000000000]。 如果单位是MiB/s，取值为[1, 3906250]。 如果单位是GiB/s，取值为[1, 3814]。 如果单位是TiB/s，取值为[1, 3]。 writebps WRITEBPS 写带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。 如果单位是B/s，取值为[1, 4096000000000]。 如果单位是KiB/s，取值为[1, 4000000000]。 如果单位是MiB/s，取值为[1, 3906250]。 如果单位是GiB/s，取值为[1, 3814]。 如果单位是TiB/s，取值为[1, 3]。 iopsburst IOPSBURST 使用Burst功能时，每秒能够进行读写操作次数的最大值。 取值：整数形式。只有当iops IOPS 大于等于1时，此项设置为1或(IOPS, 999999999]内的正整数方可生效。默认值为1，表示不限制。 readiopsburst READIOPSBURST 使用Burst功能时，每秒能够进行读操作次数的最大值。 取值：整数形式。只有当readiops READIOPS 大于等于1时，此项设置为1或(READIOPS, 999999999]内的正整数方可生效。默认值为1，表示不限制。 writeiopsburst WRITEIOPSBURST 使用Burst功能时，每秒能够进行写操作次数的最大值。 取值：整数形式。只有当writeiops WRITEIOPS 大于等于1时，此项设置为1或(WRITEIOPS 999999999]内的正整数方可生效。默认值为1，表示不限制。 bpsburst BPSBURST 使用Burst功能时，每秒可传输的数据量最大值。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。只有当bps BPS大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，取值为1或(BPS, 4096000000000]内的正整数。 如果单位是KiB/s，取值为1或(BPS, 4000000000]内的正整数。 如果单位是MiB/s，取值为1或(BPS, 3906250]内的正整数。 如果单位是GiB/s，取值为1或(BPS, 3814]内的正整数。 如果单位是TiB/s，取值为1或(BPS, 3]内的正整数。 readbpsburst READBPSBURST 使用Burst功能时，读带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。只有当readbps READBPS大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，取值为1或(READBPS, 4096000000000]内的正整数。 如果单位是KiB/s，取值为1或(READBPS, 4000000000]内的正整数。 如果单位是MiB/s，取值为1或(READBPS, 3906250]内的正整数。 如果单位是GiB/s，取值为1或(READBPS, 3814]内的正整数。 如果单位是TiB/s，取值为1或(READBPS, 3]内的正整数。 writebpsburst WRITEBPSBURST 使用Burst功能时，写带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。只有当writebps WRITEBPS大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，取值为1或(WRITEBPS, 4096000000000]内的正整数。 如果单位是KiB/s，取值为1或(WRITEBPS, 4000000000]内的正整数。 如果单位是MiB/s，取值为1或(WRITEBPS, 3906250]内的正整数。 如果单位是GiB/s，取值为1或(WRITEBPS, 3814]内的正整数。 如果单位是TiB/s，取值为1或(WRITEBPS, 3]内的正整数。 iopsburstsecs IOPSBURSTSECS 使用Burst功能时，按照Burst上限的能力进行读写操作所能持续的时间。 注意 只有在IOPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 readiopsburstsecs READIOPSBURSTSECS 使用Burst功能时，按照Burst上限的能力进行读操作所能持续的时间。 注意 只有在Read IOPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 writeiopsburstsecs WRITEIOPSBURSTSECS 使用Burst功能时，按照Burst上限的能力进行写操作所能持续的时间。 注意 只有在Write IOPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 bpsburstsecs BPSBURSTSECS 使用Burst功能时，按照Burst上限的流量能力所能持续的时间。 注意 只有在BPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 readbpsburstsecs READBPSBURSTSECS 使用Burst功能时，按照Burst上限的读流量能力所能持续的时间。 注意 只有在Read BPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 writebpsburstsecs WRITEBPSBURSTSECS 使用Burst功能时，按照Burst上限的写流量能力所能持续的时间。 注意 只有在Write BPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。

中国电信天翼云服务协议 特别提示： 《中国电信天翼云服务协议》（“本协议”）系客户与天翼云科技有限公司（“天翼云”，客户与天翼云合称为“双方”）签订的，关于客户通过中国电信天翼云网门户（包括天翼云官网：www.ctyun.cn，天翼云Wap站m.ctyun.cn，“天翼云APP”，合称“天翼云网门户”）向天翼云购买、由天翼云向客户提供的云计算服务（“天翼云服务”）的约定。 客户在订购和使用天翼云服务前，敬请认真阅读、充分理解本协议全部内容，包括但不限于免除或者限制天翼云责任的条款、对客户权利进行限制的条款等，该等条款将以加粗字体或其他醒目形式提示。 如果客户对本协议有疑问，请通过本协议载明的方式询问，天翼云将向客户进行解释和说明。如果客户不同意本协议的任何内容或者无法准确理解天翼云的解释，请不要订购或使用天翼云服务。 当客户通过网络页面点击确认、订购或以其他任何方式实际使用天翼云服务，均表示客户已阅读并充分理解本协议之全部内容，同意接受本协议的全部内容，受其约束。如果客户不同意接受本协议，请勿订购和使用天翼云服务。 I．说明 1.客户与天翼云之间的天翼云服务受到本协议以及客户已接受的《中国电信天翼云网门户用户协议》、《中国电信天翼云网门户隐私政策》、天翼云网门户《法律声明》及天翼云网门户不时发布的规则和政策（合称“天翼云服务合同及规则”）的约束。客户接受天翼云服务合同及规则的形式包括但不限于客户在天翼云网门户注册、订购服务时线上点击同意。 2.本协议未约定的事项，以天翼云服务合同及规则为准；本协议与天翼云服务合同及规则就同一事项的约定存在冲突的，以本协议约定为准。 3.本协议由如下各项文件组成： （1）I.本说明； （2）II.《通用服务条款》； （3）III.《专用服务条款》及其附件； （4）天翼云网门户中（包括但不限于天翼云网门户帮助文档页面中）展示的具体产品/服务的相关服务规则，包括但不限于服务说明、技术规范、使用流程、续订规则、退订规则，以及明确双方关于使用和提供天翼云服务权利义务的其它法律文件； （5）订单（仅适用于包年/包月服务）。 上述各文件彼此相互解释、相互补充，如上述文件之间就同一事项的约定、解释出现冲突，应以本条上述排列次序在后的文件所表述的意思为准；当同一顺序的多份文件之间发生内容冲突时，应以文件形成时间较后的为准。当不同产品或服务的《专用服务条款》就同一事项约定、解释不一致时，各产品或服务应分别以其各自的《专用服务条款》为准。 4.本协议签订后，如客户就购买的本协议项下服务需要天翼云另行出具书面确认文件的，天翼云向客户提供的订购确认文件仅应客户要求出具，不是订立合同的确认书，不影响本协议、天翼云服务合同及规则的效力，不对双方已确认的订单、本协议、天翼云服务合同及规则构成任何修订与补充，也不对其效力产生任何影响。 II． 通用服务条款 1. 服务类型 1.天翼云向客户提供、客户使用天翼云提供的天翼云服务的具体内容和费用由客户通过天翼云网门户提交、并经天翼云确定的订单或天翼云根据客户实际使用服务情况发出的账单确定。 1.1客户可以根据自身需求选择订购天翼云网门户提供的天翼云服务，其中： （1）包年/包月服务：具体服务项目、服务期限由客户通过天翼云网门户向天翼云提交并经天翼云确认的订单确定。 （2）按需计费服务：具体服务项目根据客户实际使用情况确定。 1.2 天翼云将按照相应的《专用服务条款》约定的服务等级向客户提供服务。 2.服务开通、变更和终止；服务流程 2.1服务开通 2.1.1 根据客户选择的服务类型，天翼云分别按照以下方式为客户开通服务： （1）包年/包月服务的开通：客户在天翼网门户向天翼云提交相应的订单，经天翼云确认并在客户按照订单约定付费后，服务开通。 （2）按需计费服务的开通： 客户向天翼云账户充值支付相应费用后，服务开通。如客户账户余额不足，服务暂停。客户向天翼云账户充值支付服务所需的足额费用后，服务恢复。 2.1.2 服务开通后，天翼云按照本协议约定向客户提供天翼云服务，客户可以登录天翼云网门户，在管理控制台完成相关服务相关配置和操作。 2.1.3 客户理解并认可，服务开通后，为技术升级、服务体系升级、或因经营策略调整或配合国家重大技术、法规政策等变化，天翼云不保证永久的提供某种服务，并有权更新所提供服务的形式、规格或其他方面（如服务的价格和计费模式），在终止该种服务或进行此种变更前，天翼云将尽最大努力且提前以网站公告、站内信、邮件或短信等一种或多种方式事先通知客户。 2.2天翼云为客户提供7天×24小时客服服务，包括客服的售后热线（4008109889）咨询服务和在线工单服务，解答、处理客户在使用天翼云服务过程中遇到的问题，《专用服务条款》另有约定的，适用《专用服务条款》的约定。 2.3天翼云收到客户遇到的问题后，根据具体情况和客户需求，为客户提供技术支持，但相关故障或问题系因客户人为原因和/或不可抗力、以及其他非天翼云控制范围内的事项造成的除外。 2.4 天翼云在本协议约定范围内提供可用性保障。如客户对可用性的要求高于本协议的约定，则需要客户主动对自身系统进行高可用性部署，天翼云可提供必要的协助。如果需要天翼云配合做方案规划设计，由双方另行协商确认。 2.5 为了提供更优化的服务，天翼云有权定期或不定期地对服务平台或相关设备、系统、软件等进行检修、维护、升级及优化等（统称“常规维护”），如因常规维护造成天翼云服务在合理时间内中断或暂停的，天翼云无需为此承担责任。但就该等常规维护事宜，天翼云承诺至少提前24小时以公告形式通知客户。如因不可抗力、第三方原因等导致的非常规维护，天翼云承诺在可能的情况下尽快通知客户。 2.6 天翼云有权根据自身运营安排不时调整服务的系统默认配置，相关调整不构成天翼云违约。但是，天翼云承诺提前至少三十（30）日通知客户。收到天翼云通知后，客户应当予以协助（包括但不限于客户及时做好相关数据的转移备份、进行业务调整，以及应天翼云的需求，对天翼云的调整作出授权等）。如客户在收到通知后未及时协助，或者天翼云无法与客户取得联系，由此产生的后果由客户自行承担。因不可抗力、第三方原因等导致的服务调整或终止，天翼云将及时通知客户。 2.7 服务终止 2.7.1 在下述情形下，天翼云有权在服务期限届满前终止向客户提供服务，且不承担违约责任： （1）依据法律法规或政府主管部门的要求； （2）天翼云认为继续向客户提供服务将会对天翼云造成巨大的经济或技术负担或重大安全风险的； （3）由于任何法律或政策变动原因造成天翼云继续向客户提供服务不实际可行的； （4）客户未按时足额支付相关费用的； （5）客户如出现经营亏损，或者因重大债务无法正常经营，或者因违法经营被有关部门责令停业整顿或吊销营业执照或经营所需的其他证照； （6）天翼云提前三十（30）日在天翼云网门户上以发布公告、向客户发送站内通知或书面通知的方式终止相关服务； （7）本协议其他条款或天翼云服务合同及规则约定天翼云有权提前终止服务的情形。 2.7.2 天翼云依据本协议终止服务的，对客户已支付但未使用的服务费用的退费规则，按照《专用服务条款》或天翼云网门户公示的相关退费规则执行。 2.8本协议《专用服务条款》对天翼云服务的服务开通、变更和终止规则及服务流程等事项另有约定的，适用《专用服务条款》的约定。 3. 服务费用及支付 3.1计费规则 3.1.1客户使用天翼云服务应当按照约定向天翼云按时、足额支付服务费用。 （1）包年/包月服务：客户应当向天翼云支付的服务费用以经天翼云确定的订单载明的金额为准。 （2）按需计费服务：客户应当向天翼云支付的服务费用以天翼云向客户发送的账单载明的金额为准。服务期限内，服务价格将根据天翼云价格调整相应变化，服务费用的结算应当以客户实际使用相应服务时天翼云公布的有效的价格为准。 3.1.2天翼云有权根据技术演进、技术架构调整、市场营销等客观因素调整天翼云服务的价格。天翼云调整天翼云服务价格时，至少提前十五（15）日在天翼云网门户发布通知，客户有权决定是否继续使用相应的服务。如客户不接受天翼云调整后的价格，客户应当立即停用天翼云服务，如客户继续使用服务，视为客户接受调整后的价格。 3.2 结算方式：天翼云提供的天翼云服务为预付费服务。 3.2.1天翼云在客户支付服务费用后开始为客户提供服务。客户可以使用账户余额或代金券或微信、支付宝、翼支付或其他方式向天翼云支付费用。其中，代金券的使用应当遵守客户获得代金券时天翼云通过天翼云网门户公示的代金券规则。 3.2.2如客户在服务期限届满后继续使用服务的，客户应当在服务期限届满前支付续订款项，或在保证账户内的余额充足的情况下开启自动续订功能（续订流程详见天翼云网门户公示的服务续订规则）。客户续订服务时，如天翼云对相关服务的服务体系、名称和价格进行调整的，客户同意按照届时有效的新的服务体系、名称和价格续订和计费。 3.2.3如客户需要天翼云就其订购的天翼云服务开具发票的，客户应当在服务订购完成并支付服务费用后，在天翼云网门户的服务订购界面上申请开具发票，并按格式和要求填写付款单位、款项、发票类型及邮寄地址。对于客户使用代金券支付部分对应的金额，天翼云不提供发票。 3.3 天翼云保留在客户未按照约定支付全部费用前不向客户提供服务和/或技术支持，或者终止服务和/或技术支持的权利。如客户欠费，在欠费期间天翼云有权不提供相应服务，且客户不得申请业务的新装、续用、变更等。 3.4 客户理解并同意所有的赠送服务项目、营销活动等优惠措施均为天翼云在标准服务价格之外的一次性、限制优惠，优惠内容不包括赠送服务项目的修改、更新及维护费用，并且赠送服务项目不可折价冲抵服务价格。 3.5 客户对其应当支付的服务费用有异议的，应当以书面方式向天翼云提出核对申请。经双方确认核对确有错误的，天翼云应对相应费用予以调整。 4. 服务使用规范 4.1 客户资质 4.1.1 客户承诺以其经天翼云网门户实名认证的本人身份开通和使用天翼云服务，自本协议签订时至履行中，客户应当持续具有合法有效的主体资格和业务资质，并向天翼云提供真实、合法、有效、完整的各类主体资格、业务资质文件，包括但不限于： （1）开办网站的，客户应当保证所开办的全部网站均获得国家有关部门的许可或批准； （2）提供非经营性互联网信息服务的，客户应当办理非经营性网站备案，并保证所提交的所有备案信息真实有效，在备案信息发生变化时及时在备案系统中提交更新信息；如因未及时更新而导致备案信息不准确，天翼云有权依法采取暂停或终止提供天翼云服务、断开网络接入等关闭处理措施； （3）网站提供经营性互联网信息服务的，客户应当自行在当地通信管理部门取得经营性网站许可证； （4）提供BBS等电子公告服务的，客户应当根据相关法规政策要求备案或获得相应批准； （5）经营互联网游戏网站的，客户应当依法获得网络文化经营许可证； （6）经营互联网视频网站的，客户应当依法获得信息网络传播视听节目许可证； （7）从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务，客户应当依照法律、行政法规以及国家规定经有关主管部门审核同意，在申请经营许可或者履行备案手续前，应当依法经有关主管部门审核同意。 除上述许可、批准外，如客户从事相关法律法规和监管要求应当具备的其他资质、许可和批准的，客户应当获得相应的资质、许可或批准。 4.1.2 自本协议签订时至履行中，如客户不具备本协议约定的资质条件，天翼云有权暂停提供天翼云服务、要求客户在限期内改正或直接解除本协议，并追究客户相应责任。如主体资格、资质证明文件所记载内容出现变更，客户应当在完成变更后尽快向天翼云提供最新的文件。 4.1.3 客户使用天翼云服务开展互联网信息服务等相关业务的，应当根据天翼云要求签订《网络及信息安全承诺书》（见《中国电信天翼云网门户用户协议》），并严格遵守该文件中的承诺。 4.2 账户安全 4.2.1 天翼云向客户提供天翼云服务时，将向客户提供在天翼云网门户中具有唯一识别性的账户，供客户通过该账户登陆天翼云网门户、使用天翼云服务。客户账号和密码是客户办理、使用天翼云服务的重要凭证，除非另有约定或说明，凡该账户所发出的指令及相关行为均视为客户或客户授权的行为，客户应承担由此造成的一切后果和责任。 4.2.2 客户负责其在天翼云网门户中的账号和密码的保密和使用安全，对于天翼云在天翼云服务中向客户提供相关账户的初始密码，客户应当第一时间重新设置密码，并妥善保管。 4.2.3 客户发现其账号或密码被他人非法使用或有使用异常情况的，应当及时根据天翼云公布的处理方式通知天翼云采取措施暂停该账号的登录和使用。天翼云在收到客户要求采取措施暂停其账号登录和使用的通知后，将要求客户提供客户的有效身份证明文件；经核实客户所提供身份证明文件信息与其注册的身份信息相一致的，天翼云应当及时采取措施暂停客户账号的登录和使用。客户没有提供其有效身份证明文件或者所提供身份证明文件所载信息与所注册的身份信息不一致的，天翼云有权拒绝客户前述请求，由此造成的损失由客户自行承担。因客户原因导致账号或密码泄露或为他人获取的，由客户自行承担损失和责任，但天翼云有义务协助客户或公安机关调查相关情况。 4.2.4 客户应当向天翼云提交执行本协议的联系人和管理客户在天翼云网门户中的账号和密码的人员名单和联系方式。如以上人员发生变动，客户应当自行将变动后的信息进行在线更新并及时通知天翼云，因客户提供的信息不真实、不准确、不完整，以及以上人员的行为或不作为而产生的结果，均由客户承担。 4.3 客户使用天翼云服务，应当满足本协议、天翼云服务合同及规则的要求。客户应当按照本协议约定（包括但不限于《专用服务条款》）向天翼云提供必要技术参数，包括但不限于IP地址段及对应的应用类型、服务器相关参数、组网结构和网络资源等情况，积极配合天翼云完成相关服务工程的实施、调测，以确保服务的正常运行。 4.4 客户对由天翼云分配的IP地址具有使用权，且不可以任何方式转由他人使用。客户不得私自使用天翼云未分配给客户的IP地址。客户不再使用天翼云服务时，相关IP地址使用权由天翼云收回。 4.5 未经天翼云事先书面同意，客户不得将本协议项下的服务以任何方式提供给其他第三方（双方对允许客户下属机构使用本协议项下服务事宜另有约定的除外）使用。否则，天翼云有权终止本协议，并追究客户相应责任。 4.6 如客户违反在本协议及附件中任一项保证的，包括但不限于在本协议签订时不具备开展业务所需的全部资质许可、未履行相关手续，或在服务期限内丧失全部或部分资质许可的，天翼云有权暂停提供天翼云服务，并要求客户在限期内改正；如客户在限期内未改正的，天翼云有权解除本协议，并不承担任何责任。客户应当承担违约责任，并赔偿天翼云的相应损失。 5.网络及数据安全 5.1 客户使用天翼云服务必须遵守《中华人民共和国网络安全法》（“《网络安全法》”）《中华人民共和国电信条例》《中华人民共和国计算机信息网络国际联网暂行规定》和其他有关法律、法规或相关规定，不得存在任何违法违规行为，不得侵犯天翼云以及任何第三方的合法权益。 5.2 客户使用天翼云服务以及通过天翼云服务所发布、传输或存储的信息内容应当符合《中国电信天翼云网门户用户协议》等相关规则以及《网络及信息安全承诺书》的要求，不得有任何危害或可能危害天翼云网门户、天翼云服务相关业务平台、以及天翼云网络安全和信息安全的行为。 5.3客户应当对其存放在天翼云网门户上的数据以及进入和管理天翼云网门户上各类产品与服务的口令、密码的完整性和保密性负责，并应采取必要、有效的保密和安全保护措施，包括但不限于规范数据访问和账号使用的权限管理、设置高强度密码并定期更换等。因客户维护不当或保密不当致使上述数据、口令、密码等丢失或泄漏所引起的损失和后果均由客户承担。 5.4 客户使用相关服务时，应当自行对云主机上的数据进行定期备份（包括不限于应用程序、数据库、系统配置文件等）并承担由其自身原因造成的数据丢失、遗漏、毁损的风险，天翼云对此无需承担责任。 5.5 对于客户使用天翼云服务所涉自身信息和资料、数据（包括但不限于商业秘密等）、最终用户及其他相关主体的信息和资料、数据等，客户负责保密并依法承担网络及信息安全责任，并自行承担由此产生的一切后果和责任。 5.6客户须依照《网络安全法》、《互联网信息服务管理办法》等法律法规的规定保留其网站的访问日志记录，包括发布的信息内容及其发布时间、互联网地址（IP）、域名等，国家有关机关依法查询时应当配合提供。未按规定保留相关记录而引起的相应法律责任由客户承担。 5.7对于客户通过天翼云提供的天翼云服务，加工、存储、上传、下载、分发以及通过其他方式处理的数据，天翼云承诺采取保密措施，不向第三方披露，不用于本协议之外的目的，但以下情况除外： （1）依据本协议或者用户与天翼云之间其他协议、合同等可以提供的； （2）依据法律法规的规定或行政、司法等职权部门要求应当提供的； （3）在不违反本协议约定的前提下，该保密信息已经公开或能从公开领域获得； （4）为提供客户所要求的软件或服务之需向第三方披露。 5.8客户可自行对其业务数据进行删除、更改等操作，但应谨慎操作。如客户释放服务或删除数据的，天翼云将按照客户的指令不再保留该数据。 5.9当服务期届满或服务因任何原因提前终止或客户发生欠费时，除法律法规明确规定、主管部门要求或双方另有约定外，天翼云仅在本协议约定的一定期限内继续存储客户的业务数据（如有），期限届满天翼云将删除客户的所有业务数据，包括所有缓存或者备份的副本。 5.10客户的业务数据一经删除，即不可恢复；客户应承担数据因此被删除所引发的后果和责任，客户理解并同意，天翼云没有继续保留、导出或者返还客户业务数据的义务。 5.11客户理解并同意，出于客户数据及系统安全的考虑，客户需要天翼云工程师直接对其相关服务进行操作时，客户应当以邮件、工单、电话等方式进行授权。客户应当指定唯一的联系人作为授权人（维护人）并由其在需要时指示天翼云进行相关操作，且仅有该授权人有权要求天翼云对相关服务进行操作。且天翼云仅负责操作系统以下的底层部分的运营维护，操作系统及之上部分（如客户在系统上安装的应用程序）由客户自行负责。此外，在授权期间客户未与天翼云沟通，自行进行操作而造成服务不可用等风险，由客户承担。 6. 知识产权 6.1客户使用天翼云服务时，对于客户自行提供并使用的软件、传输或存储的行为或内容，客户应保证该等软件、行为或内容的合法性和不侵权。如任何第三方主张客户的上述软件、行为或内容侵犯其所有权或者知识产权等合法权益，客户应当负责解决，并赔偿天翼云因此而承担的一切费用和损失；同时，天翼云有权视情况终止天翼云服务的全部或部分内容。 6.2 客户确认，天翼云向客户提供天翼云服务所涉相关软件、资料、数据等的知识产权属于天翼云或天翼云具有许可/使用权；未经天翼云同意，客户无权复制、传播、转让、许可或提供他人使用这些资源，否则应当承担相应的责任。对于天翼云提供的操作系统等软件，客户不得采取修改、翻译、改编、出租、转许可、在信息网络上传播或转让等方式，也不得逆向工程、反编译或试图以其他方式发现天翼云提供的软件的源代码。 7. 保密条款 7.1天翼云承诺对客户使用天翼云服务时提交或知悉的信息采取保密措施，不向第三方披露，除非： （1）依据本协议或者客户与天翼云之间其他协议、合同等可以提供的； （2）依据法律法规的规定或行政、司法等职权部门要求应当提供的； （3）在不违反本协议或者客户与天翼云之间其他协议、合同约定的前提下，该保密信息已经公开或能从公开领域获得。 但是，天翼云向其关联公司提供或披露与客户业务有关的资料和信息的，不受此限。天翼云的关联公司是指天翼云现在或将来控制、受控制或与其处于共同控制下的任何公司、机构以及上述公司或机构的合法继承人。其中“控制”是指直接或间接地拥有影响所提及公司管理的能力，无论是通过所有权、有投票权的股份、合同或其他被人民法院认定的方式。 7.2 未经天翼云书面许可，客户不得向第三方提供或者披露因本协议的签订和履行而得知的与天翼云业务有关的资料和信息，法律法规另有规定或本协议另有约定的除外。 7.3 本保密条款在本协议有效期内及终止后持续有效。 8.违约责任 8.1任何一方未履行本协议项下的义务均被视为违约。违约方应承担因违约给对方造成的损失。 8.2 如客户发生以下任一情形的，天翼云有权视情节严重程度采取中止或终止履行本协议、解除本协议等措施并不承担违约责任。如该情形导致第三方向天翼云提出法律或行政程序，客户应负责解决。如该情形给天翼云损失的，客户应全额赔偿： （1）被行政机关纳入“严重违法失信”名单； （2）被人民法院纳入“失信被执行人”名单； （3）被天翼云（含天翼云上级单位）纳入违规失信合作商名单； （4）如存在网络和信息安全违法、违规行为的，包括但不限于因网络和信息安全问题承担刑事责任或受到行政处罚，被列入各级公安机关的涉通讯信息诈骗违法犯罪高危自然人或法人名单、电信业务经营不良名单、失信名单等; （5）其他相关法律法规规定或有权机关认定的违法失信情形，以及可能导致合同履行风险或侵害天翼云合法权益或声誉的违规失信情形。 9.责任限制 9.1客户理解并充分认可，天翼云系按照“现状”和“可得到”的状态向客户提供天翼云服务。天翼云对天翼云服务不作任何明示或暗示的保证，包括但不限于服务的适用性、没有错误或疏漏、持续性、准确性、可靠性、适用于某一特定用途。同时，天翼云不对天翼云服务所涉及的技术及信息的有效性、准确性、正确性、可靠性、质量、稳定、完整和及时性做出任何承诺和保证。但天翼云承诺尽职尽责、诚实信用完成天翼云服务。 9.2 客户知悉并理解天翼云无法保证其所提供的服务毫无瑕疵，但天翼云承诺不断提升服务质量及服务水平。客户确认并同意：若天翼云提供的服务瑕疵是当时行业技术水平所无法避免的，将不视为天翼云违约，客户将配合天翼云共同合作解决上述瑕疵问题。 9.3 天翼云将依照法律法规要求对其系统、设备等采取基础的安全保护措施。若客户对安全保护措施的要求高于前述基础的安全保护措施标准的，应当根据自身需求购买配置更高的安全保护服务或另行配置其他安全防护软件、系统等。因客户未自行对使用的计算机信息系统、设备等采取必要的、有效的安全保护措施导致权益受损的，由客户自行承担责任。 9.4 客户理解并充分认可，虽然天翼云已经建立（并将根据技术的发展不断完善）必要的技术措施来防御包括计算机病毒、网络入侵和攻击破坏（包括但不限于DDOS）等危害网络安全事项或行为（以下统称该等行为），但鉴于网络安全技术的局限性、相对性以及该等行为的不可预见性，以及用户操作不当、或用户通过非天翼云网门户授权的方式使用服务，以及可能发生的不可抗力事件，对服务的持续性、准确性、可靠性、适用性等造成影响的，天翼云不对该等情形导致的任何损害赔偿承担责任，包括但不限于利润、商誉、数据财产等损失的损害赔偿。如因客户账户遭遇该等行为而给天翼云或者天翼云网络或服务器（包括但不限于本地及外地和国际的网络、服务器等）带来危害，或影响天翼云与国际互联网或者天翼云与特定网络、服务器及天翼云内部的通畅联系，天翼云有权决定暂停或终止服务，如因客户原因给天翼云带来重大网络事故，天翼云将保留向客户主张赔偿的权利，涉及犯罪的，客户应当依法承担刑事责任。 9.5 如政府管理部门提出要求的，天翼云将暂停或终止提供相应服务，且不承担任何责任。 9.6本协议（包括但不限于在《专用服务条款》、天翼云服务等级协议、天翼云网门户展示的具体产品/服务的相关服务规则中）约定了在特定的“服务不可用”情况下，天翼云的补偿责任（如有）。尽管有该等约定，客户同意并认可，以下原因导致天翼云提供的天翼云服务不可用的情况不计在不可用时间内： （1）天翼云事先通知客户后进行系统维护所引起的，包括割接、维修、升级和模拟故障演练等； （2）任何天翼云所属设备以外的网络、设备故障或配置调整引起的； （3）客户的应用程序或安装活动所引起的； （4）客户的应用程序或数据信息受到黑客攻击而引起的； （5）客户的疏忽或由客户授权的操作所引起的； （6）客户维护不当或保密不当致使数据、口令、密码等丢失或泄漏所引起的； （7）客户自行升级操作系统所引起的； （8）由于操作系统漏洞导致的； （9）其他非天翼云原因所造成的不可用。 9.7《专用服务条款》可能会对天翼云的责任限制有进一步约定，客户使用天翼云提供的服务同样受到该等责任限制的约束，敬请客户关注。 10.不可抗力 如由于战争、骚乱、恐怖主义、自然灾害、突发公共卫生事件、国家法律法规或规章变动、停电、通信线路被人为破坏，导致天翼云和客户双方或一方不能履行或不能完全履行本协议项下有关义务时，受影响方不承担违约责任，但应当于该等情形发生后十五（15）日内将情况书面告知对方，并提供有关部门的证明。在影响消除后的合理时间内，一方或双方应当继续履行合同。如因此导致本协议不能或者没有必要继续履行的，任何一方有权解除本协议。 11. 法律适用及争议解决 11.1本协议适用中华人民共和国法律。 11.2所有因本协议引起的或与本协议有关的任何争议，将通过双方友好协商解决。如果双方不能通过友好协商解决争议，则任何一方可以向被告所在地有管辖权的人民法院提起诉讼。诉讼进行中，双方将继续履行本协议未涉诉讼的其它部分。 12.附则 12.1 本协议的章节标题仅为行文方便而设，不具有法律或合同效力。 12.2 本协议任一条款被视为废止、无效或不可执行，该条款应视为可分的且不影响本协议及其他条款的有效性及可执行性。 12.3 天翼云有权通过在天翼云网门户上发布公告、发站内通知或邮件通知等本协议约定的方式将本协议的权利义务全部或者部分转移给天翼云的关联公司。 12.4 本协议项下之保密条款、法律适用与管辖条款以及性质上理应存续的其他条款（如客户对其向天翼云提交信息的真实性保证等），不因本协议的终止而失效。 12.5 附件为本协议不可分割的部分。如附件与本协议正文有任何冲突，以本协议正文为准。

本节主要介绍OBS的功能特性。 功能名称 功能描述 天翼云发布区域 备注 :::: 标准存储 访问时延低和吞吐量高，适用于有大量热点文件（平均1个月多次）或小文件（小于1MB），且需要频繁访问数据的业务场景，例如：大数据、移动应用、热点视频、社交图片等场景。 全部 低频访问存储 适用于不频繁访问（平均1年少于12次）但在需要时也要求快速访问数据的业务场景，例如：文件同步/共享、企业备份等场景。 苏州、广州4、武汉2 归档存储 适用于很少访问（平均1年访问1次）数据的业务场景，例如：数据归档、长期备份等场景。 归档存储安全、持久且成本极低，可以用来替代磁带库。 为了保持成本低廉，数据恢复时间可能长达数分钟到数小时不等。 苏州、广州4、武汉2、福州 桶管理 桶是OBS中存储对象的容器。 OBS提供创建、列举、搜索、查看、删除等基本功能，帮助您便捷的进行桶管理。 全部 对象管理 对象是OBS中数据存储的基本单位。 OBS提供上传、下载、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的对象管理需求。 全部 权限管理 OBS通过IAM权限、桶/对象策略和ACL三种方式配合进行权限管理。 您可以通过IAM自定义策略授予IAM用户细粒度的OBS权限，也可以对桶和对象设置不同的策略及ACL来控制桶和对象的读写权限。 全部 服务端加密 您可以将数据加密后存储到OBS中，提高数据的安全性。OBS提供SSEKMS服务端加密方式。 贵州、西安2、苏州、广州4、华北、成都3、北京2、武汉2、杭州、上海4、深圳、长沙2、芜湖、南昌、乌鲁木齐、福州 生命周期管理 您可以通过生命周期规则来管理对象的生命周期，例如定期将桶中的对象删除或者转换对象的存储类别。 全部 静态网站托管 您可以将静态网站文件上传至OBS桶中，并对这些文件赋予匿名用户可读权限，然后将该桶配置成静态网站托管模式，以实现在OBS上托管静态网站。 全部 须安全审批后加白 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。 而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。 OBS支持CORS规范，允许跨域请求访问OBS中的资源。 全部 防盗链 为了防止用户在OBS的数据被其他人盗链，OBS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 全部 自定义域名 您可以将自定义域名绑定到OBS桶，然后使用自定义域名访问桶中的数据。 例如，您需要将网站中的文件迁移到OBS，并且不想修改网页的代码，即保持网站的链接不变，此时可以使用自定义域名绑定功能。 全部 须安全审批后加白 桶清单 可以用来帮助您管理桶内对象，你可以配置一个清单规则，定期扫描桶中指定的对象或拥有相同前缀的对象，生成这些对象的元数据内容，如对象大小、修改时间、存储类别等，并以CSV格式保存到指定的桶中。 广州4、苏州、华北、贵州、成都3、西安2、杭州、福州、深圳、北京2、上海4、长沙2、芜湖、武汉2、兰州、南昌 图片处理 您可以使用图片处理功能对存放在OBS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 广州4、苏州、杭州、华北、福州、芜湖、兰州 并行文件系统 并行文件系统（Parallel File System）是OBS提供的一种经过优化的高性能文件系统，能够快速处理高性能计算（HPC）工作负载。 您可以按照标准的OBS接口读取并行文件系统中的数据，也可以利用obsfs工具（按照POSIX文件语义读写数据）将创建的并行文件系统挂载到云端Linux服务器上，并能像操作本地文件系统一样对并行文件系统内的文件和目录进行在线处理。 全部 日志管理 您可以通过日志管理功能获取桶的访问数据。开启日志管理功能后，桶的每次操作将会产生一条日志，并将多条日志打包成一个日志文件保存在目标桶中，您可以基于日志文件进行请求分析或日志审计。 全部 多版本控制 您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 全部 追加写对象 您可以通过AppendObject接口在指定桶内的一个Appendable对象尾追加上传数据。通过AppendObject创建的对象为Appendable对象，通过PutObject创建的对象是Normal对象。 全部 自定义元数据 您可以添加、修改或删除桶中已上传对象的元数据。 全部 桶配额 您可以设置桶空间配额，用以限制单个桶可存储的最大数据量，最大可设置为2631，单位Byte（字节）。新创建的桶默认不限制配额。 全部 碎片管理 您可以通过桶的碎片管理功能，对多段上传时某些特殊情况下产生的碎片进行清理，以节省存储空间。 全部 归档数据直读 默认情况下OBS中归档存储类别的对象需要恢复后才能下载，您也可以开启桶归档数据直读功能，开启后存储类别为归档存储的对象可以直接下载，无需提前恢复。归档数据直读会收取相应的费用。 苏州、广州4、武汉2 对象分享 您可以将存放在OBS中的文件或文件夹以临时URL的形式分享给所有用户。分享强调临时性，所有分享的URL都是临时URL，存在有效期。 您可以通过OBS控制台以及客户端工具OBS Browser+设置文件临时分享。如果想要设置永久的权限，请通过桶策略或对象策略实现。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、兰州、南昌、乌鲁木齐、内蒙3、西宁、中卫、郑州、青岛、海口、重庆 企业项目 您可以在创建桶时指定桶所属的企业项目，更方便的进行桶资源和权限管理。 全部 桶加密 您可以为桶配置默认加密，配置后，上传到桶中的对象都会自动进行加密。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、南昌、乌鲁木齐 桶标签 桶标签用于标识OBS中的桶，以此来达到对OBS中的桶进行分类的目的。当为桶添加标签时，该桶上所有请求产生的计费话单里都会带上这些标签，从而可以针对话单报表做分类筛选，进行更详细的成本分析。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、兰州、南昌 多AZ 您可以在创桶的时候选择将桶中数据冗余存储在多个可用区，以获得更高的数据可靠性。OBS采用Erasure Code（EC，纠删码）算法做数据冗余，不是以副本的形式存储。 苏州、广州4、华北 监控 您可以通过OBS控制台或者云监控服务（Cloud Eye）控制台监控桶的流量统计和请求次数等指标，方便您及时了解目前资源的使用状况、并合理规划使用计划。 苏州、广州4、西安2、华北、杭州 审计 您可以通过云审计服务（CTS）对OBS中桶和对象的各类事件操作记录进行收集、存储和查询，用于安全分析、合规审计、资源跟踪和问题定位等。 依赖云审计CTS 工具 OBS提供OBS Browser+、obsfs工具，满足不同场景下数据迁移和数据管理需求。 全部 API OBS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除桶，上传、下载、删除对象等操作。 全部 SDK OBS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、Go 全部 线下提供

本文将为您简要介绍边缘安全加速平台安全与加速服务目前支持的安全防护能力。 接入防护前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 DDoS防护 DDoS防护 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 Web防护 []( 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web防护 []( 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web防护 []( 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web防护 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web防护 []( 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫 可以防护Cookie盗用、Cookie篡改、Cookie信息泄露等攻击事件。需要客户端支持携带Cookie，通常小程序、APP、API可能不支持 Web防护 []( 支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web防护 []( 支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web防护 []( 支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未被网站所有者允许的广告内容）进行防护 Web防护 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot防护 设置高频爬虫限制 防止攻击者盗用合法Cookie进行大量请求，限制不同粒度的访问速率 当出现搜索引擎爬取粒度过大导致服务宕机时，可以通过此功能限制爬虫频率 Bot防护 设置爬虫陷阱 在页面里面嵌入不可见链接，当爬虫触碰链接时进行防护 防护网页爬虫 Bot防护 设置人机识别策略 通过cookie挑战、跳转挑战、人机挑战等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持； 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot防护 []( 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot防护 []( 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 []( 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 []( 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 访问控制/限流 设置频率控制 支持控制请求的访问频率 设置客户端IP访问域名首页的次数限制 防护白名单 []( 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 []( 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 设置Bot策略白名单 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 API安全 API自发现 API自发现功能能够帮助用户从访问日志中自动发现API接口的请求，并生成API资产，无需用户手动新增 梳理站点API资产 API安全 业务监测 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 协助用户识别API业务是否运行正常 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险 协助用户识别站点漏洞情况