本文介绍Redis主子账号和IAM权限管理 分布式缓存服务Redis版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本文介绍了如何通过数据管理服务将数据从天翼云关系数据库MySQL版导入和导出。 前提条件 操作用户拥有目标数据库的导入、导出权限。 目标数据库已是登录状态。 数据导入、导出功能支持的资源池请参考数据管理服务的资源池约束。 约束限制 数据导入功能支持的数据库类型：支持MySQL、PostgreSQL等数据库类型。 数据导入功能支持本地上传SQL文件、CSV文件（逗号分隔值）、TXT文件（逗号分隔值）。 数据导入功能支持的写入方式： INSERT INTO：插入数据，数据库会检查主键（PrimaryKey），如果出现重复会报错。 INSERT IGNORE INTO：插入数据，数据库会检查主键（PrimaryKey），如果表中已经存在相同的记录，则忽略当前新数据。 REPLACE INTO：插入替换数据，数据库会检查主键（PrimaryKey），如果数据库已经存在数据，则用新数据替换，如果没有数据效果则和INSERT INTO一样。 数据导出功能支持多种常见的数据格式：CSV（逗号分隔值）、SQL文件、TXT文件。 数据导出功能支持整表导出，也可以输入SQL语句进行定制导出确保只导出您所需的数据。 数据导出功能当前支持最大数据量100万行。 详细信息请参考数据导入介绍文档、 数据导出介绍文档。 操作步骤 数据导入 1. 登录数据管理服务的管理控制台。 2. 在左侧导航栏，单击 开发空间 > 数据导入，进入数据导入管理页面。 3. 单击数据导入按钮，弹出数据导入工单填写弹窗，工单需要输入的内容说明如下： 1. 目标数据库：数据库实例选择列表，数据来源于数据资产元数据管理中添加的数据库实例，支持MySQL、PostgreSQL。 2. 文件类型：可以选择csv、sql、txt文件类型其中之一。 3. 目标表：在选择目标数据库下，筛选导入的目标表。 4. 写入方式：可以选择INSERT INTO、INSERT IGNORE INTO、REPLACE INTO三种写入方式其中之一。 5. 附件上传：上传对应文件类型的文件。 6. 工单说明：描述工单备注内容。 4. 填写完数据导入工单后，单击提交按钮，即完成工单的提交，进入数据导入后台执行阶段。

用户使用手册 天翼云安全专区终端安全EDR用户使用指南.pdf 天翼云安全专区云防火墙用户使用指南.pdf 天翼云安全专区云堡垒机用户手册使用指南.pdf 天翼云安全专区云数据库审计用户使用指南.pdf 天翼云安全专区云日志审计用户使用指南.pdf 天翼云安全专区安全管理中心用户使用指南.pdf

本章节主要介绍数据治理中心的新建连接功能。 操作场景 用户在创建数据迁移的任务前，需要先创建连接，让CDM集群能够读写数据源。一个迁移任务，需要建立两个连接，源连接和目的连接。不同的迁移方式（表或者文件迁移），哪些数据源支持导出（即作为源连接），哪些数据源支持导入（即作为目的连接），详情请参见支持的数据源。 不同类型的数据源，创建连接时的配置参数也不相同，本章节指导用户根据数据源类型创建对应的连接。 约束限制 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 前提条件 已具备CDM集群。 CDM集群与目标数据源可以正常通信。 1. 如果目标数据源为云下的数据库，则需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP、CDM云上安全组出方向放通云下数据源所在的主机、数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 2. 如果目标数据源为云上服务（如DWS、MRS及ECS等），则网络互通需满足如下条件： ①CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 ②CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 ③此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 已获取待连接数据源的地址、用户名和密码，且该用户拥有数据导入、导出的操作权限。 使用Agent时需用主账户给子账户赋予CDM操作权限。

本小节介绍SSL VPN的应用场景。 企业核心业务安全接入场景 存在问题： 业务系统身份认证方式易被仿造；权限限制不明确，容易被黑客发起跳板攻击；访问业务系统时，终端同时访问互联网，引发泄密问题。 解决方案： 多种认证组合方式，增加身份验证的安全性。 严格限定系统访问权限；使用SSL VPN专线功能，访问内部业务时，同一个终端无法访问互联网，避免泄密事件发生及黑客利用。 第三方用户安全接入场景 存在问题： 接入终端系统、浏览器版本多样及安全状态不可控，除运维人员外，接入用户IT水平普遍不高。 解决方案： 提供更简单的VPN安装、使用环境；对接入终端进行严格安全检查，保证终端的合法合规性；业务系统统一发布、统一运维。 移动办公 存在问题： 出差和在家接入公司业务办公，网络安全状态不受控，数据传输容易被监听。 解决方案： 增加终端用户认证复杂度；严格限定系统访问权限；对接入终端进行严格安全检查；业务系统统一发布、统一运维。

本节主要介绍云存储网关使用的缓存盘怎么自动挂载。 应用场景 服务器已使用mount命令挂载云存储网关缓存盘，需要开机后自动挂载缓存盘。 前提条件 服务器已使用mount命令挂载云存储网关缓存盘。 具体操作 1. 使用命令lsblk f查看缓存盘的文件系统信息，找到文件系统对应的UUID。 [root@server ~] lsblk f NAME FSTYPE LABEL UUID MOUNTPOINT vda ├─vda1 swap 9e33bd6fc68c41c795c8703f4fe8c3d4 [SWAP] └─vda2 xfs a83f4fdc2ea14feca1e2a42016ce0afe / vdb └─vdb1 ext4 c62d513ec3cf4719b15c4366e4b52664 vdc └─vdc1 ext4 1c47025a602842ce90aa59d6f5106818 /mnt/storage01 2. 在/etc/fstab文件中新增挂载缓存盘的信息，下次开机启动时会自动挂载该缓存盘。 UUID1c47025a602842ce90aa59d6f5106818 /mnt/storage01 ext4 defaults 1 1

本文为您介绍KMS集成云产品提供服务端加密能力详情。 密钥管理服务（KMS）与云硬盘、对象存储、弹性文件、关系型数据库MYSQL版等产品实现了服务端集成，在使用这些云服务时，可通过密钥管理服务实现对数据的加解密，并集中使用密钥管理服务（KMS）对密钥进行管理。 支持服务端加密的密钥类型 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 云产品 默认密钥 AES256（默认） 用户自行创建 用户主密钥软件 AES256 用户自行创建 用户主密钥硬件 AES256 SM4 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品在每个资源池支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、计划删除、自定义别名等操作。 用户主密钥 云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS服务标准资费进行计费，请您确保账户余额充足，避免因KMS服务冻结导致云产品无法正常调用KMS服务进行加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非未被用于云产品加密，避免删除后导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云产品加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云产品加密使用。若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。

本节主要介绍怎么调整PV的服务端连接位置。 通过调整PV的服务端连接位置信息，优化Pod中计算资源和存储资源的连接信息，一方面可以提升数据的读写性能，另一方面也可以提升连接的可靠性和容错能力。 前提条件：HBlock的存储池级别为room，rack，server，才能调整PV的服务端连接位置信息。 调整的步骤如下： 1. 停止PV关联的所有Pod。 注意 此步骤不能省略，否则会导致异常。 plaintext kubectl delete f pod1.yaml f pod2.yaml f podN.yaml 2. 调整PV的服务端连接位置。 如果是第一次调整PV的服务端连接位置，使用下列命令： plaintext kubectl annotate pv pvname faultDomainsfaultDomain1，faultDomain2，faultDomainN 如果先前已经调整过PV的服务端连接位置，使用下列命令： plaintext kubectl annotate pv pvname faultDomainsfaultDomain1，faultDomain2，faultDomainN overwrite pvname：需要调整服务端连接位置的PV名称。 faultDomains：卷的服务端连接位置信息。根据存储池的故障域，修改Target所在服务器的列表（仅集群版支持），LUN关联的Target优先从该服务器列表中选择所在服务器。例如存储池为rack级别，其拓扑图涵盖rack1、rack2、rack3、rack4中的节点，且faultDomains指定rack1、rack2，那么修改LUN的Target时，LUN关联的Target优先从rack1、rack2所包含的此存储池的服务器列表里进行选择。可以配置重复节点，如果一个节点出现的次数过多导致节点内的全部server都被选择，则系统会忽略此节点，从后面的节点中继续选择。 注意 对于同一 PV，其faultDomains的取值必须限定在HBlock集群的同一存储池内。 faultDomains的取值应低于或等于HBlock集群存储池的故障域等级。例如，若存储池default的故障域等级为rack，则faultDomains只能配置为rack或server等级的节点，不得配置高于rack等级的节点，如room1。 3. 启动PV关联的所有Pod。 plaintext Kubectl apply f pod1.yaml f pod2.yaml f podN.yaml

本章介绍通过内网使用弹性云主机连接云数据库GaussDB 实例。 准备工作 云数据库GaussDB 提供gsql工具帮助您在命令行下连接数据库，您需要提前创建一台弹性云主机用于安装gsql工具。具体请参见《弹性云主机用户指南》。 须知 操作系统需要选择Euler操作系统。gsql支持的操作系统版本如下： X86：EulerOS V2.0SP5。 设置安全组规则 在访问数据库前，您需要将访问数据库的IP地址，或者IP段加入安全组入方向的访问规则，操作请参见设置安全组规则。 远程连接数据库 步骤 1 登录申请的弹性云主机。 步骤 2 在申请的弹性云主机上，上传客户端工具包并配置gsql的执行环境变量。 1. 以root用户登录客户端机器。 2. 创建“/tmp/tools”目录。 mkdir /tmp/tools 3. 获取云数据库GaussDB 软件包并解压。 unzip GaussDBopengaussclienttools.zip 4. 根据申请的弹性云主机的操作系统架构进入不同目录，获取“GaussDBKernelxxxEULER64bitgsql.tar.gz”，并上传到申请的弹性云主机“/tmp/tools”路径下。 说明 软件包相对位置为安装时所放位置，根据实际情况填写。 5. 解压文件。 cd /tmp/tools tar zxvf GaussDBKernelxxxEULER64bitgsql.tar.gz xxx为版本号，请根据实际情况替换。 6. 设置环境变量。 打开“~/.bashrc”文件。 vi ~/.bashrc 按下i键进入INSERT模式，在其中输入如下内容后，单击“ESC”退出编辑模式，使用“:wq!”命令保存并退出。 export PATH/tmp/tools/bin:$PATH export LDLIBRARYPATH/tmp/tools/lib:$LDLIBRARYPATH 使环境变量配置生效。 source ~/.bashrc 步骤 3 执行如下指令，根据提示输入密码，连接数据库。 数据库创建成功后，会默认生成名称为postgres的数据库，此处以postgres库为例。 gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: postgres为需要连接的数据库名称，10.0.0.0分布式为CN的IP地址，主备版为主DN的IP地址，root为登录数据库的用户名，8000为CN的端口号。

本文介绍了分布式关系型数据库DRDS实例计费方式变更。 分布式关系型数据库DRDS计费方式变更包括：按需实例转包周期和包周期实例到期转按需，您可以根据业务需要灵活变更计费方式。 前提 执行计费方式变更前，实例运行状态需为“运行中”。 DRDS实例绑定的资源，例如MySQL实例、弹性IP，不支持随着DRDS实例变更计费方式，同步变更。如需要变更绑定资源的计费方式，请前往对应产品的控制台进行变更操作，具体操作请参见关系数据库MySQL版计费说明计费方式计费变更和 弹性IP计费说明 计费方式转换。 用户账户余额需大于0元，才能变更计费方式。 如果您操作的DRDS实例，存在未支付的变更计费方式订单，需先完成未支付订单支付，否则会提示有在途订单。 注意 包周期实例转按需，需要等实例原计费周期到期后，计费方式才会变更成按需计费。计费方式变更不会影响业务。 按需实例转包周期 分布式关系型数据库DRDS支持按需实例转为包周期（包年/包月）实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在目标实例【操作】列，选择【更多 > 转包周期】。 4. 在【按需转包周期】页面，您可选择转包周期的续订时长，并看到转包周期实例后的配置费用。确认无误后，单击【确认】后，进入转包周期流程。 5. 返回实例管理列表页面，可查看到按需转包周期完成后，实例状态显示为“运行中”，“计费模式”显示为“包年/包月”。 包周期实例到期转按需 分布式关系型数据库DRDS支持包周期（包年/包月）实例到期转为按需实例，方便业务灵活使用。

本节为您介绍数据安全中心服务标准版和专业版两个服务版本差异。 数据安全中心提供了标准版和专业版两个版本，支持通过升级版本和规格增加数据库扩展包和OBS扩展包的数量。 服务版本 规格版本 支持添加的数据库数量 OBS体量 API调用额度 支持的功能 标准版 2个 100GB 不支持 数据安全总览 敏感数据识别 数据使用审计 安全体检 专业版 2个 100GB 100W次 数据安全总览 敏感数据识别 数据使用审计 数据脱敏 数据水印注入/提取 安全体检 API接口的调用 说明 若当前版本支持的数据库数量和OBS体量不能满足业务需求时，可以增加数据库扩展包和OBS扩展包的数量，具体操作见规格与版本升级。

监控云主机 监控是保持弹性云主机可靠性、可用性和性能的重要部分，通过监控，用户可以观察弹性云主机资源。为使用户更好地掌握自己的弹性云主机运行状态，公有云平台提供了云监控。您可以使用该服务监控您的弹性云主机，执行自动实时监控、告警和通知操作，帮助您更好地了解弹性云主机的各项性能指标。 主机监控分为基础监控和操作系统监控。 基础监控 基础监控无需安装Agent，是ECS自动上报的监控指标。基础监控指标的监控周期为5分钟（KVM实例）。 操作系统监控 操作系统监控需要在弹性云主机中安装Agent插件，为用户提供服务器的系统级、主动式、细颗粒度监控服务。操作系统监控的监控周期为1分钟（KVM实例）。 增加登录密码的强度 “密钥对”方式创建的弹性云主机安全性更高，建议选择“密钥对”方式。如果您习惯使用“密码”方式，请增强密码的复杂度，如下表所示，保证密码符合要求，防止恶意攻击。 系统不会定期自动修改弹性云主机密码。为安全起见，建议您定期修改密码。 密码设置建议： 密码应该长度不少于10位。 建议不要使用有一定特征和规律容易被破解的常用口令的密码（如：在常用彩虹表中的密码、滚键盘密码等），且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种。 密码尽量不要包含账户名如：adminstrator/administrator，test/test，root/root，oracle/oracle，mysql/mysql。 建议至少每90天更改一次密码。 建议不要重复使用最近5次（含5次）内已使用的密码。 建议根据不同应用设置不同的账号密码，不建议多个应用使用同一密码。 创建云主机时密码的设置规则 参数 规则 样例 ::: 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种： 大写字母 小写字母 数字 特殊字符，包括“$”、“!”、“@”、“%”、“”、“”、“”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?” 密码不能包含用户名或用户名的逆序。 Windows系统的云主机，不能包含用户名中超过两个连续字符的部分。 YNbUwp!dUc9MClnv 说明 样例密码随机生成，请勿复制使用样例。

本文主要介绍 JMeter工程使用类问题 性能测试的JMeter引擎和开源JMeter有什么异同？ 性能测试的JMeter引擎，基于开源Apache JMeter实现，默认版本为5.4，可以兼容5.2、5.3版本（需用户自行上传）。 性能测试的JMeter引擎，相对于本地开源JMeter，主要有以下优势： 自动化的分布式调度。 测试结果的汇聚能力和可视化。 分布式的多阶段能力。 性能测试的JMeter引擎支持哪些脚本？ 未使用任何第三方插件的5.2版本5.4版本的JMeter创建的jmx脚本。 使用了第三方插件，但是插件可以以jar包形式上传，且未修改ThreadGroup实现的大部分脚本（性能测试不确保此类脚本可以正常使用，需要在性能测试平台进行调试）。 性能测试的JMeter引擎不支持脚本中哪些操作？ 性能测试不支持日志输出，仅支持请求日志。 性能测试不支持线程组配置页面使用变量。 上传JMeter脚本/CSV/第三方jar包/安装包等出错怎么办？ 如果上传时出错，请确保是在公网中使用性能测试工具，不是在内网中使用性能测试工具。 应用于性能测试的脚本，有哪些使用建议？ 性能测试不建议脚本中有各种结果查看器。 因为性能测试不使用结果查看器，且结果查看器会对压测性能造成影响，不同结果查看器对性能的影响也不一致，若使用，请自行评估。 使用性能测试压测，当脚本的并发总和大于1000，或在“任务 > 高级配置 > 执行器数”配置中配置了执行器数，需要考虑脚本中的各类属性能否应用于分布式场景（即多台机器同时运行脚本）。 不建议使用常数吞吐量定时器。 JMeter的常数吞吐量定时器性能较差，会影响压测执行机的性能，造成压测结果不准确。建议使用JMeter的准确的吞吐量定时器来进行替代。若一定使用常数吞吐量定时器，其对执行机性能的影响需用户自行考虑，评估。 使用各类吞吐量控制器时，性能测试的JMeter工程的调试功能，结果可能不符合预期。 其原因是性能测试的调试只执行脚本一次，此场景建议使用一定数量的并发，小规模短时间的执行替代调试。

提升口令安全IAM账号 您可以通过以下方法提升IAM账号的口令安全性： 提升密码复杂度。密码复杂度建议同时满足以下要求： 密码长度至少8个字符； 密码至少包含以下三种字符种类： 大写字母（AZ） 小写字母（az） 数字（0~9） 特殊字符 同一字符连续出现的最大次数为1次； 不要重复使用最近5次（含5次）内已使用的密码。 不使用有一定特征和规律容易被破解的常用弱口令。 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份 数字或字母连排或混排，常用彩虹表中的密码、滚键盘密码 短语密码 公司名称、admin、root等常用词汇 定期修改密码。建议每隔90天更改一次密码。 提升口令安全主机 您可以通过以下方法提升主机的口令安全性： 使用复杂度高的密码。建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合： 大写字母（AZ） 小写字母（az） 数字（0~9） 特殊字符 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令。 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份 数字或字母连排或混排，常用彩虹表中的密码、滚键盘密码。 短语密码 公司名称、admin、root等常用词汇 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

脱敏模板 脱敏模板给数据标签配置默认的脱敏算法，模板应用后通过敏感数据发现识别出来后，自动应用脱敏算法。 新增自定义模板 1.登录API安全网关。 2.在左侧导航栏选择“数据脱敏 > 脱敏模板”，进入脱敏模板列表页面。 3.单击页面上的“新增”按钮，即可开始新增脱敏模板。 4.配置完成后，单击“提交”即可完成脱敏模板的新增。 新增脱敏规则 1.登录API安全网关。 2.在左侧导航栏选择“数据脱敏 > 脱敏规则”，进入脱敏规则列表页面。 3.单击页面上的“新增”按钮，即可开始新增脱敏规则。 选项 说明 名称 自定义规则名称，名称不允许重复。 启用 默认启用，禁用后规则不生效。 规则描述 输入规则描述信息。 服务 默认选择全部服务，可指定一个服务。 API 默认选择全部API，可指定多个API。 动作 仅警告：产生告警日志，不阻断请求。 告警并阻断：阻断请求并且产生告警日志。 告警等级 选择告警等级：警告、一般、重要、严重。 规则条件 内置条件 至少配置以下一项条件，每个条件至多添加一次。运算符支持：等于、不等于、正则匹配、正则匹配（不区分大小写） 客户端IP：匹配/不匹配客户端IP，支持IP和子网掩码格式； 请求URL：设置请求URL规则条件，如/get； 请求方法：设置请求方法条件，如GET、POST、PUT……； 请求体：设置请求体条件； HOST：设置HOST条件； UA：设置UA条件； Referer：设置Referer条件； 请求头 配置自定义请求头表达式，如：”ContentType”, ””, ”application/json”。 响应体 输入响应体内容，返回的响应体满足条件时，请求会执行对应动作。 API调用者 指定服务时选择，对指定API调用者生效，支持选择自定义API调用者或提取到的API调用者。 拒绝码 动作选择告警并阻断时填写，返回阻断的拒绝码。 拒绝描述信息 动作选择告警并阻断时填写，配置阻断后返回的信息。 生效时间 可选择任意时间，以及每天、每周、每月指定时间，超出生效时间规则无效。 有效期 可选择永久有效、自定义时间。过期后规则不生效。 4.填写完成后，单击“提交”即可完成脱敏规则

方案介绍 当您购买了一台物理机后，了解其运行状态一定是您的迫切需求，天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。 本手册基于天翼云物理机和云监控服务实践所编写，指导您完成物理机的主机监控配置。 应用场景 新创建物理机场景 当您新建一台物理机时，可以利用CloudInit自动安装Agent，实现主机监控。 已有物理机场景 对于已有的物理机，您需要手动安装并配置Agent以实现主机监控。 约束和限制 Agent插件目前仅支持64位Linux操作系统的物理机实例。 用户私有镜像不在支持范围内。

您可以通过监控大盘查看业务整体情况。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏 “监控大盘”，进入监控大盘页面。 5. 监控大盘页面可查看多活容灾服务平台的流程指导和资源概览、命名空间汇总等信息。同时，可选择不同命名空间，查看应用端口状态、预案/容灾切换/应急演练/脚本情况和趋势。

本文为您介绍容器安全卫士的产品优势。 容器安全卫士对云原生应用进行多维度检测和防护，产品优势如下： 一键管理便捷 贴合云原生特点，全组件采用容器化部署，实现客户端一键部署、一键卸载。安全能力随业务集群变动自动跟随防御，无需人工干预。 全面完整专业 集成国际、国内、官方等多种漏洞源，基于ClamAV、自研等多种病毒引擎，为您提供专业的安全风险检测。 动静结合智能 采用静态动态双结合的检测方式，自动形成业务行为基线，基于学习引擎，实时发现未知安全风险，实现智能化防护。 全链加密安全 容器安全卫士各个组件交互过程中，全链采用加密传输，敏感数据加密存储，客户端不暴漏任何端口，保护您的同时也注重自身安全。

本节主要介绍删除参数模板 您可删除废弃的参数模板。 使用须知 默认参数模板和应用在实例中的参数模板不可被删除。 参数模板删除后不可恢复，请谨慎操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航树，单击“参数模板管理”。 步骤 5 在“参数模板管理”页面，选择对应实例类型下需要删除的参数模板，选择“更多 > 删除”。 步骤 6 在弹出框中单击“是”，删除该参数模板。

本文介绍天翼云AOne会议计费相关问题。 使用 AOne会议是否必须订购套餐？ 不是。 AOne会议支持两类账号使用方式： 个人账号：注册后即可使用，可免费加入会议，无需订购AOne会议基础套餐。 企业账号：需由企业订购开通AOne会议基础套餐后创建，企业管理员分配的高级账号支持预定会议、加入会议、快速会议等功能。 如需使用会议完整功能，建议订购AOne会议套餐。 AOne会议免费版、标准版、旗舰版有什么区别？ 三种版本适用于不同用户场景，核心功能区别如下： 功能项 免费版 标准版 旗舰版 最大会议并发人数 10人 100人 300人 支持会议云录制 ✅ ✅（中等云录制存储空间） ✅（更大云录制存储空间） 会议直播功能 ❌ ✅（可选） ✅（可选） 可开通增值服务 ❌ ✅ ✅ 如需查看更多，请查看套餐版本。 AOne会议基础套餐是按月还是按年计费？是否可以中途退订？ AOne会议基础套餐支持包月 和包年两种订购方式，按周期预付费。订购成功后支持中途退订。 AOne会议增值服务可以单独购买吗？ 不可以。增值服务必须依附于AOne会议基础套餐存在，仅在订购了标准版或旗舰版套餐后，才可订购对应的增值服务（如大型会议室、直播观看时长等）。

本文主要介绍日志主题的使用方式。 云日志服务支持通过设置不同的日志主题（Topic），对所采集文本日志进行分类。完成配置后，日志主题将以topic字段展示在日志内容中。 操作步骤 1. 在日志“采集配置”流程中，选择日志主题类型。 2. 若选择为文件路径提取，则需要在下方配置相应的正则表达式，用于完整匹配文件路径，并将表达式匹配的结果（用户名或应用名）作为日志主题（Topic）上传至云日志服务中。 3. 若选择自定义模式，则需要在下方输入自定义主题名，使用自定义的静态日志主题。 4. 完成配置后，在日志查询页面中，输入对应生成的日志主题即可查询相应主题的日志，如topic: userA。

VPN网关类型 IPse连接： 认证类型 IPsec连接： 认证选择 是否需要证书 应用场景 国密 证书认证 上传的证书 需要上传国密证书，参见上传证书。 仅适用于支持国密算法的企业本地数据中心、企业办公网络与天翼云云VPC之间建立网络连接。 普通 密钥认证 适用于在企业本地数据中心、企业办公网络、互联网客户端与天翼云VPC之间建立网络连接。 普通 证书认证 自签（默认） 不需要上传证书，系统自动创建一套证书。 适用于在企业本地数据中心、企业办公网络、互联网客户端与天翼云VPC之间建立网络连接。 普通 证书认证 上传的证书 需要上传证书，参见上传证书。 适用于在企业本地数据中心、企业办公网络、互联网客户端与天翼云VPC之间建立网络连接。

天翼AI云电脑是不是和正常电脑用起来一样的？ 天翼AI云电脑和正常电脑的使用体验接近，使用天翼云电脑客户端登录您的帐号，可以快速登录使用了，所有软件及文件数据存在云端，更安全便捷。 其他运营商的网络能否接入？ 只要能接入互联网，不管是手机、宽带、WIFI都可以接入，但是建议您优先使用中国电信的网络，质量和体验更有保障。 是否可以设置计算机账户和密码？ 您可以在天翼AI云电脑“控制面板”中的“用户帐户”中设置计算机账户和密码。但天翼AI云电脑连接时默认选择administrator帐户登录。 移动客户端APP是否支持指纹识别安全登录？ 可以在“我”页面中的“账号与安全”，进入账号与安全页面。 开通指纹识别的设置后，退出应用后再次打开则需要指纹识别安全登录。

本章主要介绍翼MapReduce的安全声明功能。 JDK使用声明 MRS是一个大数据集群，为用户提供分布式的数据分析计算能力。本产品自带的JDK为OpenJDK，主要使用场景如下： 平台服务运行及维护使用。 Linux客户端运行时使用（主要为业务提交、应用运维等）。 JDK风险说明 系统对自带的JDK进行了权限控制，只有属于FusionInsight平台相关群组的用户才有权限访问，且平台部署在客户内网，安全风险较低。 JDK加固 JDK加固相关操作请参考加固策略的“加固JDK”部分。 Hue组件包含公网IP的说明 Hue组件使用的ipadrress，requests，Django等第三方包的测试用例及其注释包含的公网IP，组件在提供服务时不涉及这些IP，Hue组件的配置文件中不涉及公网IP。

用户可以配置Bucket的网站托管属性，并通过Bucket域名访问该静态网站。 注意 如果配置静态网站托管后，当匿名用户直接访问Bucket的域名，会将静态网站文件下载到本地。如果要实现访问静态网站时是预览网站内容，而非下载静态网站文件，静态网站域名须是Bucket绑定的已备案自定义域名，为Bucket绑定自定义域名请联系天翼云客服申请。 OOS自有网站托管域名不支持HTTPS访问，用户自定义域名支持HTTPS访问。如果需要支持通过HTTPS访问，请联系天翼云客服，提供域名证书，证书支持格式：crt+key或者PEM，请确保提供的证书在有效期内，建议证书有效期至少1年及以上，避免使用免费证书。 尽量避免目标Bucket名中带有“.”，否则通过HTTPS访问时可能出现客户端校验证书出错。 网站托管配置步骤如下： 1. 创建一个公共读属性的Bucket。 2. 向天翼云客服提交工单，申请客户自定义域名添加白名单。 3. 在域名管理系统（DNS服务器）中添加别名： 如果不使用CDN加速，将Bucket的CNAME Record Value（BucketName.ooswebsitecn.oosxx.ctyunapi.cn）作为别名添加到域名管理系统中。 如果使用CDN加速，将CDN厂商提供的别名添加到域名管理系统中，然后在CDN回源地址中配置OOS侧的CNAME Record Value，并将回源host配置为您的自定义域名（如yourdomain.com）。 4. 上传文件：将网站的所有文件（html、CSS、js、图片等）上传到之前创建的Bucket中，注意保持文件之间的相对路径。 5. 配置Bucket网站属性： 使用控制台配置，详见网站 。 使用API配置，详见PUT Bucket WebSite。

本节主要介绍相关术语解释 指标 指标是对资源性能的数据描述或状态描述，指标由命名空间、维度、指标名称和单位组成。 其中，命名空间特指指标的命名空间，可将其理解为存放指标的容器，不同命名空间中的指标彼此独立，因此来自不同应用程序的指标不会被错误地聚合到相同的统计信息中。维度是指标的分类，每个指标都包含用于描述该指标的特定特征，可以将维度理解为这些特征的类别。下图以集群指标为例，介绍了命名空间、维度和指标的关系。 主机 AOM的每一台主机对应一台虚拟机或物理机。主机可以是您自己的虚拟机或物理机，也可以是您通过天翼云购买的虚拟机或物理机，只要主机的操作系统满足AOM支持的操作系统（AOM支持的操作系统详见操作系统使用限制）且主机已安装ICAgent，即可将主机接入到AOM中进行监控。 ICAgent ICAgent是AOM的采集器，运行在每台主机上用于实时采集指标、日志和应用性能数据。安装ICAgent是使用AOM的前提，否则将无法正常使用AOM。 告警 告警是指AOM自身或ECS、ServiceStage、CCE等外部服务在异常情况或在可能导致异常情况下上报的信息，告警会引起业务异常，您需要对告警进行处理。 告警清除方式包括自动清除和手动清除两种。 自动清除：产生告警的故障消除后，AOM会自动清除告警，您不需要做任何操作，例如：阈值告警。 手动清除：产生告警的故障消除后，AOM不会自动清除告警，您需要手动清除告警，例如：ICAgent安装失败告警。

本文为您介绍jsonb应用的相关操作。 创建jsonb类型字段表 plaintext teledb create table tjsonb(id int,fjsonb jsonb); CREATE TABLE 插入数据 plaintext teledb insert into tjsonb values(1,'{"col1":1,"col2":"teledb"}'); INSERT 0 1 teledb insert into tjsonb values(2,'{"col1":1,"col2":"teledb","col3":"pgxz"}'); INSERT 0 1 teledb select from tjsonb; id fjsonb + 1 {"col1": 1, "col2": "teledb"} 2 {"col1": 1, "col2": "teledb", "col3": "pgxz"} (2 rows jsonb插入时会移除重复的键，如下所示。 plaintext teledb insert into tjsonb values(3,'{"col1":1,"col2":"teledb","col2":"pgxz"}'); INSERT 0 1 teledb select from tjsonb; id fjsonb + 1 {"col1": 1, "col2": "teledb"} 2 {"col1": 1, "col2": "teledb", "col3": "pgxz"} 3 {"col1": 1, "col2": "pgxz"} (3 rows) 更新数据 增加元素。 plaintext teledb update tjsonb set fjsonb fjsonb '{"col3":"pgxz"}'::jsonb where id1; UPDATE 1 teledb select from tjsonb; id fjsonb + 2 {"col1": 1, "col2": "teledb", "col3": "pgxz"} 1 {"col1": 1, "col2": "teledb", "col3": "pgxz"} 3 {"col1": 1, "col2": "pgxz"} (3 rows) 更新原来的元素。 plaintext teledb

本文为您介绍jsonb应用的相关操作。 创建jsonb类型字段表 plaintext teledb create table tjsonb(id int,fjsonb jsonb); CREATE TABLE 插入数据 plaintext teledb insert into tjsonb values(1,'{"col1":1,"col2":"teledb"}'); INSERT 0 1 teledb insert into tjsonb values(2,'{"col1":1,"col2":"teledb","col3":"pgxz"}'); INSERT 0 1 teledb select from tjsonb; id fjsonb + 1 {"col1": 1, "col2": "teledb"} 2 {"col1": 1, "col2": "teledb", "col3": "pgxz"} (2 rows jsonb插入时会移除重复的键，如下所示。 plaintext teledb insert into tjsonb values(3,'{"col1":1,"col2":"teledb","col2":"pgxz"}'); INSERT 0 1 teledb select from tjsonb; id fjsonb + 1 {"col1": 1, "col2": "teledb"} 2 {"col1": 1, "col2": "teledb", "col3": "pgxz"} 3 {"col1": 1, "col2": "pgxz"} (3 rows) 更新数据 增加元素。 plaintext teledb update tjsonb set fjsonb fjsonb '{"col3":"pgxz"}'::jsonb where id1; UPDATE 1 teledb select from tjsonb; id fjsonb + 2 {"col1": 1, "col2": "teledb", "col3": "pgxz"} 1 {"col1": 1, "col2": "teledb", "col3": "pgxz"} 3 {"col1": 1, "col2": "pgxz"} (3 rows) 更新原来的元素。 plaintext teledb

参数 参数说明 name 测试名称，用于在输出结果中区分不同的测试任务。例如 nametest read write 可以定义一个名为“test read write”的测试任务。 ioengine I/O引擎，用于指定产生I/O操作的底层机制。如 ioenginelibaio （Linux异步I/O库），不同的引擎会以不同的方式处理I/O请求，影响测试的效率和准确性。 rw 读写模式，用于确定测试是进行读操作、写操作还是混合读写操作。例如 rwrandwrite 表示随机写， rwrandread 表示随机读， rwread 表示顺序读， rwwrite 表示顺序写， rwrw 表示混合读写。 bs 块大小，指定I/O操作的数据块大小，单位可以是字节（如4096表示4KB）。例如 bs4k 表示数据块大小为4KB，它会影响测试的性能表现，不同的应用场景通常有对应的合适块大小。通常测试带宽时设置为1M，测试时延和IOPS时设置为4k。 size 测试文件大小，定义了测试所涉及的数据量大小。例如 size1G 表示测试文件大小为1GB，用于评估存储设备在不同数据量下的性能。 numjobs 作业数量，指定同时运行的I/O作业数量。例如 numjobs4 表示同时有4个I/O作业在运行，用于模拟多线程或多进程应用对存储设备的并发I/O操作。 runtime 运行时间，规定了测试的运行时长。例如 runtime60 表示测试将持续运行60秒，可用于在不同时间尺度下评估存储设备的性能。 groupreporting 分组报告，当有多个作业（由numjobs参数指定）同时运行时，会将所有作业的性能结果汇总报告，方便查看整体性能。 directory 测试文件所在目录，用于指定测试文件存放的位置。例如 directory/data/testdir 表示测试文件将在/data/testdir目录下进行操作，可针对特定存储路径进行性能评估。 rwmixwrite 在混合读写（rw）模式下，指定写操作所占的比例，范围是0 100。例如 rwmixwrite70 表示在混合读写测试中，写操作占总I/O操作的70%。

statementtimeout (integer) 中止任何使用了超过指定毫秒数的语句，从命令到达服务器开始计时。如果logminerrorstatement被设置为ERROR或更低，语句如果超时也会被记录。一个零值（默认）将关闭这个参数。我们不推荐在postgresql.conf中设置statementtimeout，因为它会影响所有会话。 locktimeout (integer) 如果任何语句在试图获取表、索引、行或其他数据库对象上的锁时等到超过指定的毫秒数，该语句将被中止。该时间限制独立地应用于每一次锁获取尝试。该限制会应用到显式锁定请求（如LOCK TABLE或不带NOWAIT的SELECT FOR UPDATE）和隐式获得的锁。如果logminerrorstatement被设置为ERROR或更低，超时的语句会被记录。一个零值（默认）将关闭这个参数。与statementtimeout不同，这个超时只在等待锁时发生。注意如果statementtimeout为非零，设置locktimeout为相同或更大的值没有意义，因为事务超时将总是第一个被触发。我们不推荐在postgresql.conf中设置locktimeout，因为它会影响所有会话。 idleintransactionsessiontimeout (integer) 终止任何已经闲置超过这个参数所指定的时间（以毫秒计）的打开事务的会话。这使得该会话所持有的任何锁被释放，并且其所持有的连接槽可以被重用，它也允许只对这个事务可见的元组被清理。默认值0 会禁用这个特性。 vacuumfreezetableage (integer) 当表的pgclass.relfrozenxid域达到该设置指定的年龄时，VACUUM会执行一次全表扫描。 积极的扫描不同于常规的VACUUM，因为它会访问每个可能包含未冻结XID或MXID的页面，而不仅仅是那些可能包含死元组的页面。 默认值是 1.5 亿个事务。尽管用户可以把这个值设置为从 0 到 20 亿，VACUUM会悄悄地将有效值限制为autovacuumfreezemaxage值的95%，因此在表上启动一次反回卷自动清理之前有机会进行一次定期手动VACUUM。

本文介绍Redis 4.0支持的新特性说明 模块 Redis 4.0.0最大的功能之一是期待已久的模块系统。模块系统提供了一个API，用于扩展Redis，主要在C中动态加载模块。模块API提供了多个级别的API，供开发人员为Redis添加新的特性和功能。 使用Redis模块，开发人员可以在现有数据类型中添加新的操作，引入新的数据类型，如JSON，或使用搜索或神经网络等新流程扩展Redis。 新的API使开发人员能够构建在使用Lua构建时不切实际或性能不足的扩展。正如Redis.io上的模块文档中所提到的，“Redis模块使使用外部模块扩展Redis功能成为可能，以与核心内部类似的速度和功能实现新的Redis命令。” 缓存优化 4.0.0版本增加了最不频繁使用（LFU）的最大内存策略，为用户提供了另一种在Redis达到最大内存阈值时驱逐KEY的算法。LFU缓存为许多应用程序提供了比最近最少使用（LRU）缓存更好的命中率。 Redis中LFU缓存的实现是通过近似算法完成的，以提供对KEY访问频率的准确估计，而不添加大量的内存开销来跟踪访问计数。与当前的LRU缓存策略一样，LFU缓存只能应用于易失性KEY（过期KEY）或所有KEY 内存相关命令 新增MEMORY命令向用户提供Redis实例的内存消耗信息。MEMORY USAGE命令为用户提供给定KEY使用的精确内存量，而MEMORY DOCTOR提供了一个框架（类似于LATENCY DOCTOR命令），用于观察实例的总体内存消耗。

相关服务 功能交互 相关链接 弹性云主机（CTECS，Elastic Cloud Server） 弹性云主机是弹性伸缩中伸缩活动的主要对象，用户需要为伸缩组增加或减少弹性云主机来确保业务的稳定运行。 弹性负载均衡（CTELB ，Elastic Load Balancing） 弹性伸缩可联动负载均衡，当伸缩组中增加或减少弹性云主机时，会自动将其纳入负载均衡监听器的监听范围，并按照预设分发算法为其分发访问请求，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 虚拟私有云（CTVPC，Virtual Private Cloud） 为不同的伸缩组提供逻辑隔离，构建一个私密、安全的虚拟私有网络环境，用户可以为每一个伸缩组进行网络配置，包括子网、安全组等。 云监控 当用户通过弹性伸缩配置了告警策略或目标追踪策略，云监控会成为伸缩控制工具，监控预设的性能指标是否到达阈值，若达到则触发伸缩活动，若未达到则保持原样。