本文介绍风险管控规则集中DML操作类型对应的规则,该种规则会匹配DMS用户的一切DML操作并识别出风险等级,进而决定该操作是否需要进行审批。 前提条件 组织版本为企业版。 目前只对MySQL和PostgreSQL实例的DML操作进行风险管控。 用户需要具有进入SQL风险页面的菜单权限。菜单权限请参考权限说明。 操作步骤 用户以超级管理员身份登录DMS系统。 在左侧菜单栏依次点击 安全协作 > SQL风险 。 在规则集列表界面点击编辑 按钮，在规则集配置界面点击DML按钮。 注意事项 数据导入工单会被认为是一种DML操作。 功能介绍 DML类型的风险识别规则会拦截用户一切的DML操作，包括在查询窗口执行DML类型的SQL语句、SQL变更工单中的DML语句、数据导入工单中的DML语句，并识别出其中的风险等级，匹配到对应的审批模板，走工单审批流程。若该行为不需要进行审批，则可以直接执行。用户可以自定义DML类型不同风险等级需要通过的审批流程。DML类型支持的风险管控因子如下： 影响行数 影响行数支持的运算符为，!，>， >，<，<。 因子值为正整数，由用户输入。 库/模式名称 库/模式支持的运算符为，!，in， contain，startWith，endWith。 因子值为字符串，由用户输入。 pg系实例会匹配模式名称，其他类型实例匹配库名称。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的组网和资源规划。 数据规划 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 VPN网关 HA模式 双活 VPN网关 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE/IPsec策略 IKE策略 版本：v2 认证算法：SHA2256 加密算法：AES128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IKE/IPsec策略 IPsec策略 认证算法：SHA2256 加密算法：AES128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

本文向您介绍企业版VPN中监控类常见问题。 VPN监控可以监控哪些内容？ VPN网关 可以监控网关IP的带宽信息，包含入网流量、入网带宽、出网流量、出网带宽及出网带宽使用率。 查询VPN网关监控状态，请在VPN网关“网关IP”列中单击EIP后面的进行查看。 VPN连接 可以监控连接的状态信息，包括VPN连接状态、链路往返平均时延、链路往返最大时延、链路丢包率、隧道往返平均时延、隧道往返最大时延、隧道丢包率。 其中，链路往返平均时延、链路往返最大时延、链路丢包率、隧道往返平均时延、隧道往返最大时延、隧道丢包率需要单击VPN连接，在“基本信息”页签通过添加健康检查项进行添加；私网相关指标仅VPN连接使用静态路由模式，且开启NQA检测机制场景下支持配置。 查询VPN连接监控状态，请在VPN连接“监控”列中单击进行查看。 VPN连接中断后会通知我吗？ VPN连接的状态监控功能已上线，VPN连接创建后即会向云监控服务CES上报状态信息，但是并不会自动向用户发送告警通知，需要在服务列表中选择“管理与监管＞云监控”创建告警规则。 VPN连接状态请在VPN连接“监控”列中单击进行查看。

本节介绍了安装原生的XEN和KVM驱动的方法。 操作场景 在优化Linux私有镜像过程中，需要在云主机上安装原生的XEN和KVM驱动。 注意： 如果不安装XEN驱动，弹性云主机的网络性能很差，并且安全组和防火墙也不会生效； 如果不安装KVM驱动，弹性云主机的网卡可能无法检测到，无法与外部通信。因此，请您务必安装XEN和KVM驱动。 本节介绍安装原生XEN和KVM驱动的具体方法。 前提条件 对于使用Linux系统原生的XEN和KVM驱动的Linux云主机，其内核版本必须高于2.6.24。 建议您禁用任何防病毒软件或入侵检测软件，安装原生的XEN和KVM驱动完成后，您可以再次启用这些软件。 操作步骤 请根据操作系统版本，修改不同的配置文件： CentOS/EulerOS系列操作系统 以CentOS 7.0为例，请修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv以及virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/dracut.conf”文件，执行dracut f命令，重新生成initrd。 操作方法可参见下文“CentOS/EulerOS系列操作系统相关操作”。 Ubuntu/Debian系列系统 请修改“/etc/initramfstools/modules”文件，添加xenpv以及virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/initramfstools/modules”文件，执行updateinitramfs u命令，重新生成initrd。 操作方法可参见“Ubuntu/Debian系列操作系统相关操作”。 SUSE和openSUSE系列系统，根据操作系统版本不同，修改不同的配置文件。 − 当操作系统版本低于SUSE 12 SP1或低于openSUSE 13时，请修改“/etc/sysconfig/kernel”文件，在INITRDMODULES""添加xenpv以及virtio的驱动（xenpv驱动：xenvnif、xenvbd、xenplatformpci；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，执行mkinitrd命令，重新生成initrd。 − 当操作系统版本为SUSE 12 SP1时，修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv以及virtio的驱动（xenpv驱动：xenvnif、xenvbd、xenplatformpci；virtio驱动：virtioblk、virtioscsi、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，执行命令dracut f，重新生成initrd。 − 当操作系统版本高于SUSE 12 SP1或高于openSUSE 13版本时，修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv和virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/dracut.conf”文件，执行dracut f命令，重新生成initrd。 操作方法可参见下文“SUSE/openSUSE系列操作系统相关操作”。 说明： SUSE系列操作系统首先应确认OS是否已经安装了xenkmp包（xenpv的驱动包），执行以下命令： rpm qa grep xenkmp 回显类似如下： xenkmpdefault4.2.2043.0.760.110.7.5 如果没有安装xenkmp的包，请到ISO装机文件中获取并安装。 如果误将builtin形式的驱动添加到initrd或initramfs文件中，不会影响云主机正常使用。

本页介绍天翼云TeleDB数据库中强制访问控制。 强制访问是基于自定义的安全策略最终通过标签实现对用户和表的行级安全加密。安全策略(Policy)是等级(Level)和隔离区(Compartment)，组(Group)和标签(Label)的集合，最终通过绑定标签实现行级安全。其实现原理是将表和用户绑定到标签上，再由标签关联等级(必选)，隔离区(可选)和安全组(可选)，形成了一个多级的行级安全加密体系。 安全策略(Policy)：是指创建等级(Level)，隔离区(Compartment)，组(Group)和标签(Label)必须指定所属的安全策略。 等级(Level)：提供第二等级的安全控制，标签必须指定等级。 隔离区(Compartment)：提供第二等级的安全控制，可选。 组(Group)：提供第三等级的安全控制，一种树状的结构，可选。 标签(Label)：最终通过标签绑定体现行级安全。仅当用户被赋予的标签比此行标签有相同或更高等时，该行才可以被用户存取。 注意 分号(:)和逗号(,)保留用于多级安全体系的表达，安全策略中组件的名字不要使用。 在Teledb中，创建安全策略需要通过teledbxmls插件，需要创建插件 SQL CREATE EXTENSION teledbxmls; 安全策略 通过MLSCLSCREATEPOLICY()函数创建安全策略 SQL SELECT MLSCLSCREATEPOLICY(policyname, policyid) 参数描述： policyname(策略名称): 要创建的策略的名称，大小写敏感，不可以空。 policyid(策略ID): 用于标识策略的唯一ID，取值范围[1, 100]。 安全等级(Level) 通过函数MLSCLSCREATELEVEL()函数创建安全等级。 SQL SELECT MLSCLSCREATELEVEL(policyname, levelid, shortname, longname) 参数描述： policyname（策略名称）: 指定要添加安全级别的策略名称，不可以为空。 levelid（级别ID）: 用于标识安全级别的唯一ID，取值范围[0, 32767]。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 longname（完整名称）: 安全级别的描述。 通过MLSCLSALTERLEVELDESCRIPTION()函数修改等级的标签描述。 SQL SELECT MLSCLSALTERLEVELDESCRIPTION(policyname, levelid, longname) 安全隔离区(Compartment) 通过MLSCLSCREATECOMPARTMENT()函数创建安全隔离区(Compartment)。 SQL SELECT MLSCLSCREATECOMPARTMENT(policyname, compartmentid, shortname, longname) 参数 描述 ： policyname（策略名称）: 指定要添加安全隔离区的策略名称。 compartmentid（隔离区ID）: 用于标识安全隔离区的唯一ID，取值范围[0, 32767]。 shortname（简称）: 安全隔离区的简称。 longname（完整名称）: 安全隔离区的完整名称。 安全组(Group) 通过MLSCLSCREATEGROUPROOT()函数创建新的安全组根节点（Group Root） SQL SELECT MLSCLSCREATEGROUPROOT(policyname, rootid, shortname, longname) 参数描述： policyname（策略名称）: 指定要创建安全组根节点的策略名称。 rootid（根节点ID）: 用于标识安全组根节点的唯一ID。 shortname（简称）: 安全组根节点的简称。 longname（完整名称）: 安全组根节点的完整名称。 通过MLSCLSCREATEGROUPNODE()函数在数据库中创建新的安全组子节点（Group Node）并将其设置为指定父节点的子节点。 SQL SELECT MLSCLSCREATEGROUPNODE(policyname, childid, shortname, longname, parentshortz) 参数描述： policyname（策略名称）: 指定要创建安全组子节点的策略名称。 childid（子节点ID）: 用于标识安全组子节点的唯一ID。 shortname（简称）: 安全组子节点的简称。 longname（完整名称）: 安全组子节点的完整名称。 parentshortname（父节点简称）: 安全组子节点所属的父节点的简称。 标签(LABEL) 通过MLSCLSCREATELABEL()函数创建或替换MLS 策略的标签（label），并将其存储到数据库中。 SQL SELECT MLSCLSCREATELABEL(policyname, labelid, labelstr) 参数描述： policyname（策略名称）: 指定要添加标签的策略名称。 labelid（标签ID）: 用于标识标签的唯一ID，取值范围[0, 32767]。 labelstr（标签名）: 标签，不可为空，长度不超过256。由 ，其compartmentids和groupids由1到N个ID构成，ID间用,分割。有效的表达形式如下： levelid:compartmentid1,compartmentid2,...compartmentidN:groupid1,groupid2,...groupidN levelid:compartmentid:groupid levelid:compartmentid: levelid::groupid levelid:: 表标签绑定 通过MLSCLSCREATETABLELABEL()函数将指定标签绑定到指定的表(Table)，并将相关数据存储到pgclstable系统表。 SQL SELECT MLSCLSCREATETABLELABEL(policyname labelid, schemaname, tablename) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 labelid（标签ID）: 要应用于表的标签ID，取值范围[0, 32767]。 schemaname（模式名称）: 表所在的模式名。 tablename（表格名称）: 要应用标签的表名。 通过MLSCLSDROPTABLELABEL()函数删除绑定到表上的标签并更新pgclstable系统表数据。 SQL MLSCLSDROPTABLELABEL(policyname, schemaname, tablename) 用户标签绑定/删除 通过MLSCLSCREATEUSERLABEL()函数为指定的用户创建一个带有默认标签的用户账户，并将其存储到 pgclsuser 表中。 SQL SELECT MLSCLSCREATEUSERLABEL(policyname, username name, defreadlabel, defwritelabel, defrowlabel) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 username（用户名）: 要创建标签的用户账户名称。 defreadlabel（默认读标签）: 为用户定义的默认读标签ID。 defwritelabel（默认写标签）: 为用户定义的默认写标签ID。 defrowlabel（默认行标签）: 为用户定义的默认行标签ID。 通过MLSCLSDROPUSERLABEL()函数为指定用户删除标签，并将pgclsuser 表中指定用户的标签删除，且断开指定用户当前所有的数据库连接。 SQL SELECT MLSCLSDROPUSERLABEL(username) 参数描述： username（用户名）: 要删除指定用户标签的用户账户名称。 示例： 初始化环境 SQL c mlsadmin 创建安全策略 select MLSCLSCREATEPOLICY('rlspolicy', 66); 创建安全等级 select MLSCLSCREATELEVEL('rlspolicy', 10, 'defaultlevel', 'default Level'); select MLSCLSCREATELEVEL('rlspolicy', 10, 'userlevel', 'user Level'); select MLSCLSCREATELEVEL('rlspolicy', 9, 'badlevel', 'bad Level'); select MLSCLSCREATELEVEL('rlspolicy', 100, 'goodlevel', 'good Level'); 创建隔离区 select MLSCLSCREATECOMPARTMENT('rlspolicy', 30, 'rlscom0', 'RLS compartment 0'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 31, 'rlscom1', 'RLS compartment 1'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 32, 'rlscom2', 'RLS compartment 2'); 创建安全组 select MLSCLSCREATEGROUPROOT('rlspolicy', 50, 'root', 'group root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 51, 'child1', 'child of root node 1', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 52, 'child2', 'child of root node 2', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 511, 'child11', 'child of child1 node 1', 'child1'); select MLSCLSCREATEGROUPNODE('rlspolicy', 512, 'child12', 'child of child1 node 2', 'child1'); 创建安全标签，此时和安全等级，隔离区以及安全组进行绑定 select MLSCLSCREATELABEL('rlspolicy', 1024, 'defaultlevel:rlscom0:child12'); 将标签绑定到表 alter table public.tbl1 add column cls clsitem default '99:1024'; select MLSCLSCREATETABLELABEL('rlspolicy', 1024, 'public', 'tbl1'); 安全等级 SQL select MLSCLSCREATELABEL('rlspolicy', 1025, 'userlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1026, 'badlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1027, 'goodlevel::'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 1024, 1024, 1024); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 1025, 1025, 1025); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 1026, 1026, 1026); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 1027, 1027, 1027); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户不在隔离区，无法看到godlike1用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 (3 rows） SQL c badgodlike1 低优先级的用户无法看到高优先级的用户插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) SQL insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 低优先级用户可以看到自己创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:1026 8 8 66:1026 9 9 66:1026 (3 rows) SQL c goodgodlike1 高优先级用户可以看到低优先级用户创建的数据 同时无法看到隔离区的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (6 rows) SQL insert into public.tbl1 select generateseries(10,12), generateseries(10,12); select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 10 10 66:1027 11 11 66:1027 12 12 66:1027 (9 rows) SQL c godlike1 高优先级用户可以看到比自己低优先级用户创建的数据 无法看到比自己优先级高的用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (9 rows) SQL c commonuser0 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) 安全隔离区 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定隔隔离区 select MLSCLSCREATELABEL('rlspolicy', 2048, 'defaultlevel:rlscom0:'); select MLSCLSCREATELABEL('rlspolicy', 2049, 'defaultlevel:rlscom0,rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2050, 'defaultlevel:rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2051, 'defaultlevel:rlscom0,rlscom2:'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 2048, 2048, 2048); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 2049, 2049, 2049); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 2050, 2050, 2050); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 2051, 2051, 2051); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户所在隔离区含godlike1用户隔离区，可以看到godlike1的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 (6 rows) SQL c badgodlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 当前用户所在隔离区无法包含前面用户的隔离区，无法看到他们插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:2050 8 8 66:2050 9 9 66:2050 (3 rows) SQL c goodgodlike1 insert into public.tbl1 select generateseries(10,12), generateseries(10,12); 相同等级，godlike1的隔离区是当前的子集，当前用户可以看到godlike1插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 10 10 66:2051 11 11 66:2051 12 12 66:2051 (6 rows) SQL c godlike2 当前用户含rlscom0,rlscom1,rlscom2三个隔离区可以看到之前插入的所有数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 7 7 66:2050 8 8 66:2050 9 9 66:2050 10 10 66:2051 11 11 66:2051 12 12 66:2051 (12 rows) 安全组 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定用户组 select MLSCLSCREATELABEL('rlspolicy', 4096, 'defaultlevel:rlscom0:root'); select MLSCLSCREATELABEL('rlspolicy', 4097, 'defaultlevel:rlscom0:child1'); select MLSCLSCREATELABEL('rlspolicy', 4098, 'defaultlevel:rlscom0:child11,child12'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 4096, 4096, 4096); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 4097, 4097, 4097); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 4098, 4098, 4098); SQL c badgodlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 安全组根节点可以看到子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 (6 rows) SQL c godlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 安全组根节点可以看到所有子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 7 7 66:4096 8 8 66:4096 9 9 66:4096 (9 rows) SQL c badgodlike1 子节点 无法看到根节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows)

本文提供天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK 儿童个人信息保护政策及监护人须知 儿童个人信息保护政策及监护人须知发布日期：【2025年5月13日】 本须知仅适用于由天翼云科技有限公司提供的天翼云边缘安全加速平台零信任服务天翼云AOne SDK服务。 版本生效日期：【2025年5月13日】 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件：service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电话：4008109889 天翼云门户：管理中心新建工单；智能客服 为了更好地在您使用我们服务的过程中保障您的个人信息，我们对《 天翼云AOne SDK儿童个人信息保护政策及监护人须知 》进行了更新，此版本主要更新内容包括： 1、更新天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK产品由天翼云科技有限公司（“天翼云”）运营，是一款为移动应用开发者（以下简称“开发者”）提供调用零信任内网连接等能力服务的软件开发工具包（SDK）。我们致力于保护儿童个人信息，本须知中的“儿童”，是指满14周岁的未成年人。为此，我们专门制定了《天翼云AOne SDK儿童个人信息保护政策及监护人须知》（简称“本须知”），向您说明我们处理儿童个人信息的规则。您作为儿童的父母或其他监护人（统称“监护人”），请在您或您所监护的儿童（简称“被监护人”）使用本应用前务必仔细阅读并充分理解本须知，特别是以粗体标识的条款应重点阅读，在确认充分理解并同意全部条款后再开始使用或允许您的孩子使用。 本须知为在《天翼云AOne SDK隐私和信息处理规则》基础上制定的特别规则，除另有约定外，本须知所用术语和缩略词与《天翼云AOne SDK隐私和信息处理规则》中的术语和缩略词具有相同的涵义；与《天翼云AOne SDK隐私和信息处理规则》如有不一致之处，以本须知为准；本须知未载明之处，适用《天翼云AOne SDK隐私和信息处理规则》。为了维护儿童的合法权益，儿童应当在其监护人的指导下使用我们的服务。 《天翼云AOne SDK隐私和信息处理规则》详见天翼云AOne SDK隐私和信息处理规则 监护人特别说明： 您的理解和配合对我们保护被监护人的个人信息和隐私安全非常必要，为了维护被监护人的合法权益，我们希望您可以协助我们，确保被监护人在您的同意和指导下使用本应用和向我们提交个人信息。我们将根据本须知采取特殊措施保护我们获得的被监护人的个人信息。请您仔细阅读和选择是否同意本声明。如果您不同意本须知的内容，请您要求被监护人立即停止访问/使用我们的产品及服务。 儿童特别说明： 任何儿童参加网上活动都应事先取得监护人的同意。如果您是儿童，请务必通知您的监护人共同阅读本须知，并在您使用我们的产品及服务、提交个人信息之前，寻求您的监护人的同意和指导。 我们严格按照《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》 《 电信和互联网用户个人信息保护规定》（工业和信息化部令第 24 号）《儿童个人信息网络保护规定》等法律法规的相关要求，在业务活动中处理儿童的个人信息。 本部分向您告知以下内容： 一、我们如何收集和使用儿童的个人信息 二、我们如何共享、转让和公开披露儿童的个人信息 三、我们如何存储儿童的个人信息 四、我们如何保护儿童的个人信息 五、我们如何管理儿童的个人信息 六、本须知的适用 七、本须知的修订 八、如何联系我们 一、我们如何收集和使用儿童的个人信息 1.1 在儿童使用我们的产品及服务过程中，我们会严格履行法律法规规定的儿童个人信息保护义务与责任，遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则，在征得监护人的同意后收集和使用儿童个人信息。具体请查阅《天翼云AOne SDK隐私和信息处理规则》“各业务功能中的用户信息收集使用规则”章节，详细了解我们收集和使用的儿童个人信息。 1.2 此外，我们也会通过Cookie等同类技术自动收集您或被监护人的个人信息，具体请您查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何使用 Cookie和同类技术”章节进行详细了解。 1.3 我们提供的与儿童有关的服务是不断发展的。如我们需要超出上述收集范围收集您或被监护人的个人信息，我们将再次告知您，并征得您的同意。 1.4 根据相关法律法规规定，以下情形中收集儿童的信息无需征得儿童监护人的授权同意： （1）与我们履行法律法规规定的义务相关的； （2）与国家安全、国防安全、公共安全、公共卫生、重大公共利益有关的； （3）与犯罪侦查、起诉、审判和判决执行等有关的； （4）出于维护儿童的生命、财产等重大合法权益但又很难得到监护人同意的； （5）所收集的信息是儿童或监护人自行向社会公众公开的； （6）从合法公开披露的信息中收集信息的，如合法的新闻报道、政府信息公开等渠道； （7）根据与您或被监护人签订和履行相关协议或其他书面文件所必需的； （8）法律法规规定的其他情形。 请您理解，您可以选择是否填写或向我们提供特定的信息，但您如果不填写或提供某些特定的信息，将可能导致我们的产品及服务无法正常运行，或者无法达到我们拟达到的服务效果，您和被监护人可能无法正常使用我们的产品、服务或相关的具体业务功能。 二、我们如何共享、转让和公开披露儿童的个人信息 我们承诺对儿童个人信息进行严格保密，我们遵照法律法规的规定，严格限制共享、转让、披露儿童个人信息的情形，仅在《天翼云AOne SDK隐私和信息处理规则》约定和您明确授权同意的情况下对外提供儿童信息。 除了《天翼云AOne SDK隐私和信息处理规则》“我们如何共享、转让、公开披露您的个人信息”章节部分所述的内容外，对于儿童个人信息，我们还将会采取如下措施来保护儿童个人信息在共享、转让和公开披露过程中的安全： 2.1 如果为了本须知所述目的而需要将儿童信息共享至第三方，我们将评估该第三方收集儿童个人信息的合法性、正当性、必要性，并采用加密、匿名化、去标识化处理等手段保障您和被监护人的信息安全。 2.2 我们将要求第三方对儿童个人信息采取保护措施，并且严格遵守相关法律法规与监管要求。我们会要求接收儿童个人信息的第三方遵守严格的保密义务及采取有效的保密措施，禁止其将这些儿童个人信息用于未经儿童及其监护人授权的用途，并要求受托公司依法履行以下义务： （1）按照法律、行政法规的规定和我们的要求处理儿童个人信息； （2）协助我们回应儿童监护人提出的申请； （3）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向我们反馈； （4）委托关系解除时及时删除儿童个人信息； （5）不得转委托； （6）其他依法应当履行的儿童个人信息保护义务。 2.3 另外，我们会按照法律法规的要求征得您的同意，或确认第三方已经征得您同意。 三、我们如何储存儿童的个人信息 3.1 我们在中华人民共和国境内运营中收集和产生的儿童个人信息，将存储在中国境内（为本须知之目的，不含香港、澳门、台湾地区）。 3.2 我们会采取合理可行的措施，尽力避免收集和处理无关的儿童的个人信息。我们只会在达成本须知所述目的所需的期限内保留儿童的个人信息，除非法律有强制的留存要求。关于我们如何确定儿童个人信息存储期限请参见《天翼云AOne SDK隐私和信息处理规则》“我们如何保存您的个人信息或关联组织信息”章节。如我们终止服务或运营，我们将及时停止继续收集儿童个人信息的活动，同时会遵守相关法律法规要求提前向您通知，并在终止服务或运营后对儿童的个人信息进行删除或匿名化处理，但法律法规或监管部门另有规定的除外。 四、我们如何保护儿童的个人信息 我们非常重视儿童的隐私安全，并采取一切合理可行的措施保护儿童个人信息： 4.1 我们会严格控制儿童个人信息的访问权限，对可能接触到儿童个人信息的工作人员采取最小够用授权原则，并采取技术措施对处理儿童个人信息的行为进行记录和管控，避免违法复制、下载儿童个人信息。 4.2 我们会定期组织内部相关人员进行培训，使其掌握岗位职责和应急处置策略和规程。在不幸发生儿童个人信息安全事件后，我们将按照法律法规的要求，及时向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您及被监护人可自主防范和降低风险的建议、对您及被监护人的补救措施等。我们将及时将事件相关情况以APP推送通知、发送邮件/短消息等方式告知您。难以逐一告知时，我们会采取合理、有效的方式发布相关警示信息。同时，我们还将按照监管部门要求，主动上报儿童个人信息安全事件的处置情况。若被监护人的合法权益受损，我们将承担相应的法律责任。 4.3 如您希望了解更多，请查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何保护您的个人信息或关联组织信息”章节，详细了解上述措施外，我们还采取了哪些措施保护儿童个人信息。 五、我们如何管理儿童的个人信息 5.1 为了您或被监护人在使用我们的产品及服务期间可以更加便捷地访问和管理被监护人的个人信息，同时保障注销账户的权利，我们在产品及服务中为您和被监护人提供了相应的操作设置，您和被监护人可以按照《天翼云AOne SDK隐私和信息处理规则》中的“您的权利及如何管理您的个人信息”章节指引进行操作。 5.2 如存在以下情况，您和被监护人可以请求我们删除收集、使用和处理的儿童个人信息。我们会在完成身份验证后，及时采取措施予以删除。 （1）若我们违反法律、行政法规的规定或者本须知的约定收集、存储、使用、转让、披露儿童个人信息； （2）若我们超出本须知目的范围或者必要期限收集、存储、使用、转让、披露儿童个人信息； （3）您撤回同意； （4）您或被监护人通过注销等方式终止使用产品或者服务的。 但请注意，若您和被监护人要求我们删除特定儿童个人信息，可能导致被监护人无法继续使用我们的产品和服务或产品和服务中的某些具体业务功能。 如您发现在未事先征得您同意的情况下收集了被监护人的个人信息，请及时联系我们，我们会设法尽快删除相关数据。 六、本须知的适用 绝大多数情形下我们无法识别且不会判断收集和处理的个人信息是否属于儿童个人信息，我们将按照《天翼云AOne SDK隐私和信息处理规则》收集和处理用户的个人信息。 七、本须知的修订 我们可能会根据我们的产品及服务的更新情况及法律法规的相关要求适时修改本须知的条款，该等修改构成本须知的一部分，我们会在专门页面上展示最新修改版本。当本须知的条款发生变更时，我们会以APP弹窗方式进行提示并再次取得您的同意，详见《天翼云AOne SDK隐私和信息处理规则》“本隐私和信息处理规则如何更新”章节的规定。 八、如何联系我们 8.1 如您对本隐私和信息处理规则或您信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云提交工单、联系智能客服、或拨打我们的客服电话4008109889与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn或ctpip.ctyun@chinatelecom.cn，与天翼云边缘安全加速平台零信任服务的个人信息保护负责人进一步沟通。 8.2 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过15个工作日做出答复。 8.3 如果您对我们的回复不满意，特别是我们的信息处理行为损害了您的合法权益，您还可以通过以下外部途径寻求解决方案：向被告所在地有管辖权的人民法院提起诉讼。

本页介绍了排查实例CPU使用率高问题的方法。 CPU使用率过高的一般排查步骤如下： 1. 在DDS控制台找到目标实例，单击监控图标， 然后在CPU页签下，查看CPU使用率较高的时间段。 2. 登录对应的实例机器查看系统资源使用情况：首先使用Linux的系统监控工具（如top、htop）或Windows的任务管理器，查看系统整体的CPU使用率和其他资源使用情况。确认是否只有MongoDB进程占用大量CPU资源，还是其他进程也在竞争CPU资源。 3. 文档数据库服务查询性能分析工具与方式： 1. MongoDB Compass等工具来查看当前正在执行的查询(MongoDB Compass 的下载与使用请参见Mongodb的官网下载)。 2. 使用MongoDB shell的db.currentOp()命令,检查是否有某个查询或操作占用了大量CPU资源。 db.currentOp()命令解析： 例如：连接上Mongodb shell 执行以下操作： > db.users.find({ age: { $gte: 18 } }).limit(10) > db.currentOp() { "inprog" : [ { "opid" : 1290, // 操作的唯一标识符 "op" : "query", // 操作类型：查询 "ns" : "exampledb.users", // 操作涉及的命名空间 "query" : { "age" : { "$gte" : 18 } }, // 查询条件 "client" : "127.0.0.1:57852", // 客户端IP地址和端口 "desc" : "conn211", // 操作的描述信息 "active" : true, // 操作是否活动中 "secsrunning" : 5, // 操作已经运行的时间（以秒为单位） "oplog" : false, "numYields" : 0, "locks" : { "Global" : "r", // 全局读锁 "MMAPV1Journal" : "r" // MMAPv1引擎的日志读锁 }, "waitingForLock" : false, "msg" : "", "numYieldOps" : 0, "database" : "exampledb", "command" : { "find" : "users", // 执行的命令：查找操作 "filter" : { "age" : { "$gte" : 18 } }, // 过滤条件 "limit" : 10 // 限制结果数 }, "planSummary" : "COLLSCAN", // 查询执行计划摘要 "lsid" : { "id" : { "UUID" : "e45ea9176c614a5e86812da4af89aa29" }, // 会话ID "uid" : ObjectId("ea6a1a2570a062f88eac10f5") // 用户ID }, "$clusterTime" : { "clusterTime" : Timestamp(1657796621, 1), "signature" : { "hash" : { "BsonData" : "wDUTByvnZXjN+MJB/M9Rlg", "Length" : 28 }, "keyId" : 6963168194386045953 } }, "stale" : false, "txnNumber" : 11, "startAt" : ISODate("20230721T15:57:01.246Z"), "autocommit" : false, "lastWrite" : { "opTime" : { "ts" : Timestamp(1657796621, 1), "t" : 1 }, "lastWriteDate" : ISODate("20230721T15:57:01Z"), "majorityOpTime" : { "ts" : Timestamp(1657796621, 1), "t" : 1 }, "majorityWriteDate" : ISODate("20230721T15:57:01Z") }, "activeShards" : {}, "numShards" : 0, "shardName" : "", "hashed" : false, "batchSize" : 0, "mode" : "scanned" } ] } 4. 确认索引使用情况：检查数据库中的索引是否被有效使用。缺少索引或索引使用不当可能导致查询性能下降，从而导致高CPU使用率。 5. 长时间运行的查询：检查是否有长时间运行的查询，这些查询可能会占用大量CPU资源。优化查询性能或者对长时间运行的查询进行调整可能有助于降低CPU使用率。 6. 调整Write Concern：写操作的Write Concern设置会影响数据写入的确认方式，使用较高级别的Write Concern可能会导致CPU开销增加。根据应用需求，选择合适的Write Concern。 7. 硬件性能：确认文档数据库运行在性能良好的硬件上，包括CPU、内存和磁盘。如果硬件性能不足，可能会导致CPU使用率过高。 8. 日志记录级别：考虑降低文档数据的日志记录级别，减少日志输出对CPU的影响。 9. 压力测试：进行压力测试以模拟生产环境的负载，并观察CPU使用率的变化。通过压力测试可以更好地理解系统的瓶颈和性能问题。 10. 数据分片：如果数据量较大，可以考虑使用文档数据库服务的分片集群，将数据分散到多个节点上，以实现水平扩展和负载均衡。 11. 数据库版本和配置：确保使用的文档数据库服务版本是较新的稳定版本，并根据硬件资源和负载情况合理配置文档数据库服务的参数。 注意 高CPU使用率可能是复杂的问题，可能有多个因素共同导致。在进行问题排查时，建议先在测试环境中进行实验和测试，逐步排查可能的原因。如果问题持续存在，可以考虑寻求专业的文档数据库技术支持。

本节主要介绍创建灰度任务 基本概念 灰度版本 一个服务仅支持发布一个灰度版本，可以对灰度版本配置相应的灰度策略。 灰度策略 当您需要在生产环境发布一个新的待上线版本时，您可以选择添加一个灰度版本，并配置相应的灰度策略，将原有的生产环境的默认版本的流量引流一部分至待上线版本。经过评估稳定后，可以将此灰度版本接管所有流量，下线原来的版本，从而接管原有的生产环境的版本上的流量。 创建灰度发布 步骤 1 登录应用服务网格控制台，使用以下任意一种方式进入创建灰度任务页面。 （快捷方式）在网格右上方，单击图标。 （快捷方式）在网格中心位置，单击“创建灰度任务”。 在网格详情页创建。 a.单击网格名称，进入网格详情页，单击左侧导航栏的“灰度发布”。 b.如果当前不存在发布中的灰度任务，请在金丝雀发布或蓝绿发布中单击“立即发布”；如果当前存在发布中的灰度任务，请单击右上角“灰度发布”。 步骤 2 配置灰度发布基本信息。 灰度类型 选择创建灰度发布的类型，可根据实际需求选择金丝雀发布和蓝绿发布。 灰度任务名称 自定义灰度任务的名称。输入长度范围为4到63个字符，包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 命名空间 服务所在的命名空间。 灰度发布服务 在下拉列表中选择待发布的服务。正在进行灰度任务的服务不可再进行选择，列表中已自动过滤。 工作负载 选择服务所属的工作负载。 版本号 当前服务版本号，版本号不支持修改。 图 灰度发布基本信息 步骤 3 部署灰度版本信息。 部署集群 灰度发布服务所属的集群。 版本号 输入服务的灰度版本号。 实例数量 灰度版本的实例数量。灰度版本可以有一个或多个实例，用户可根据实际需求进行修改。每个灰度版本的实例都由相同的容器部署而成。 镜像名称 默认为该服务的镜像。 镜像版本 请选择灰度版本的镜像版本。 图 灰度版本信息 步骤 4 单击“发布”，灰度版本开始创建。 请确保灰度版本的实例状态正常，且启动进度为100%时，再开始下一步进行流量策略的配置。发布之后进入观察灰度状态页面，可查看Pod监控，包括启动日志和性能监控信息。 步骤 5（仅金丝雀发布涉及）单击“配置灰度策略”，进行灰度策略配置。 策略类型：分为“基于流量比例”和“基于请求内容”两种类型，通过页签选择确定。 基于流量比例 根据流量比例配置规则，从默认版本中切分指定比例的流量到灰度版本。例如75%的流量走默认版本，25%的流量走灰度版本。实际应用时，可根据需求将灰度版本的流量配比逐步增大并进行策略下发，来观测灰度版本的表现情况。 图 基于流量比例 流量配比：可以为默认版本与灰度版本设置流量配比，系统将根据输入的流量配比来确定流量在两个版本间分发的比重。 基于请求内容 目前支持基于Cookie内容、自定义Header、Query、操作系统和浏览器的规则约束，只有满足规则约束的流量才可访问到灰度版本。例如，仅Cookie满足“UserInternal”的HTTP请求才能转发到灰度版本，其余请求仍然由默认版本接收。 图 基于请求内容 −Cookie内容 正则匹配：此处需要您使用正则表达式来匹配相应的规则。 −自定义Header 完全匹配：只有完全匹配上才能生效。例如：设置Header的KeyUser，VauleInternal，那么仅当Header中包含User且值为Internal的请求才由灰度版本响应。 正则匹配：此处需要您使用正则表达式来匹配相应的规则。 可以自定义请求头的key和value，value支持完全匹配和正则匹配。 −Query 完全匹配：只有完全匹配上才能生效。例如：设置Query的KeyUser，VauleInternal，那么仅当Query中包含User且值为Internal的请求才由灰度版本响应。 正则匹配：此处需要您使用正则表达式来匹配相应的规则。 可以自定义Query的key和value，value支持完全匹配和正则匹配。 −允许访问的操作系统：请选择允许访问的操作系统，包括iOS、Android、Windows、macOS。 −允许访问的浏览器：请选择允许访问的浏览器，包括Chrome、IE。 −流量管理Yaml信息：根据所设置的参数自动生成规则YAML。 说明 基于请求内容流量策略只对直接访问的入口服务有效。如果希望对所有服务有效，需要业务代码对HTTP请求的Header信息进行传播。 例如：如果您基于reviews服务，配置了基于请求内容的灰度发布策略，通过访问productpage服务的界面，是无法看到效果的。 原因是，您的客户端访问productpage服务携带了HTTP请求的Header信息，而productpage服务请求reviews服务时，将这些Header信息丢失了（详情可参考如何使用Istio调用链埋点），从而失去了基于请求内容的灰度发布效果。 步骤 6 设置完成后，单击“策略下发”。 灰度策略的生效需要几秒时间，您可以查看服务的流量监控，以及对原始版本及灰度版本的健康监控。

分布式消息服务RocketMQ是一款低成本、高可靠、高性能的消息中间件产品,兼容开源RocketMQ客户端,提供高效可靠的消息传递服务,解决分布式应用系统之间的消息数据通信难题,用于系统间的解耦,用户只需专注业务,无需部署运维,适用于电商、金融、政企等多样业务场景。

本文为您介绍当容量大于2TB时,如何在Windows2012环境下初始化数据盘。 操作场景 本示例以“Windows Server 2012标准版64位中文版”操作系统为例，介绍云硬盘容量大于2TB时在Windows中的数据盘初始化操作，当容量大于2TB时，需要使用GPT分区进行磁盘划分。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考。 前提条件 数据盘已挂载至云主机，且此数据盘没有被初始化。 操作步骤 当新增云硬盘的容量大于2TB，初始化Windows数据盘的操作共分为两步，具体步骤如下： 登录弹性云主机。 初始化磁盘：根据界面提示完成磁盘初始化，当新增云硬盘的容量大于2TB时，分区形式请选择GPT（GUID分区表）。 登录弹性云主机 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击选择“计算>弹性云主机”，进入云主机列表页面。 4. 单击需要初始化数据盘的云主机所在行的“操作>远程登录”，登录此台云主机，具体操作可参见登录Windows弹性云主机。 初始化磁盘（GPT分区） 1. 登录成功之后，单击开始图标，在弹出菜单中选择 “服务器管理器”。跳转至“服务器管理器>仪表板”窗口。 2. 在此页面中，单击右上角的“工具”，在下拉菜单栏中选择“计算机管理”。 3. 在“计算机管理”页面左侧导航栏中，选择“存储>磁盘管理”，进入“磁盘管理”页面。进入磁盘管理页面后，若存在没有初始化的磁盘，系统会自动弹出“初始化磁盘”的窗口，可以看到“磁盘1”处于“没有初始化”状态。因未初始化的磁盘容量大于2TB，因此磁盘分区形式勾选“GPT（GUID分区表）”，点击“确定”。 4. 在磁盘区域，当前有两个磁盘，一个为“磁盘0”，一个为“磁盘1”，经过上一步的“初始化磁盘”后，“磁盘1”的状态已更新为“联机”。右键单击磁盘上空白的未分配的区域，选择“新建简单卷”。 5. 在弹出的“新建简单卷向导”窗口，根据界面提示，点击“下一步”。 6. 用户根据需要指定卷大小（建议用户在初始化之前就计算好磁盘分区的容量），默认为最大值，单击“下一步”。 7. 进入“分配驱动器号和路径”页面，勾选分配驱动器号，单击“下一步”。 8. 进入“格式化分区”窗口，勾选“按下列设置格式化这个卷”，并根据实际情况设置参数，格式化新分区，这里保持默认值，单击“下一步”窗口跳转至完成页面。 9. 单击“完成”，等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功。 10. 验证初始化，可以回到桌面，点击下方任务栏中文件管理器的图标打开文件资源管理器查看“E卷”是否创建成功，如图所示，当有E卷时，证明初始化磁盘已成功。

背景信息 为避免监控服务对您的资源使用造成影响，当监控Agent占用资源超过阈值时，监控Agent将自动退出。本文将介绍当主机监控Agent自动退出时的解决方法。 操作步骤 Linux系统 1. 以root用户登录云主机。 2. 执行以下命令，在dmesg日志中，查看telegraf相关日志。 plaintext dmesg grep telegraf 如果文件dmesg中的日志出现Memory cgroup out of memory字样，则说明资源消耗超过阈值，例如： 3. 在云主机监控Agent服务所在目录/usr/lib/systemd/system/（ubuntu系列发行版 /etc/systemd/system/）中，修改文件telegraf.service中资源限制相关参数。 1. 执行以下命令，修改目录/usr/local/cloudmonitor/localdata中的文件agent.properties。 plaintext cd /usr/lib/systemd/system/ vi telegraf.service 请您根据实际资源占用情况设置资源限制参数，以下数据仅做参考： CPU限制为单核10%。CPUShares1024 内存限制，单位为MB。MemoryLimit200M 2. 按Esc键，输入：wq，再按Enter键，保存并退出文件telegraf.service。 4. 执行以下命令，重新加载云主机监控Agent服务配置文件telegraf.service。 plaintext systemctl daemonreload 5. 执行以下命令，重启云主机监控Agent。 plaintext systemctl restart telegraf

注意事项 如果仅授予子账户系统策略 CRS admin ，可能存在订购企业版实例后无法支付和查询订单的情况，需要配置订单相关系统策略： mktadmin（优惠券相关权限）、bss admin（订单相关权限）、acctadmin（账单相关权限）。详情参考相关文档：子用户如何查看账单管理界面和子用户如何创建和下单一类节点资源。 系统策略说明 CRS默认设置三种系统策略，您可以直接使用系统权限策略为子账号授权，提供的三种系统策略如下： CRS admin：容器镜像服务CRS管理员权限策略，拥有CRS所有资源的读写权限。 CRS user：容器镜像服务CRS普通用户权限策略，拥有除了订单相关操作之外的所有读写权限。 CRS viewer：容器镜像服务CRS只读用户权限策略，拥有CRS所有资源的只读权限。 子账户授权系统权限 以授权子账户管理员权限策略为例说明： 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择"用户"授权子账户。 3. 选择"操作" "查看"，进入用户界面，选择"权限管理"标签页，选择 "个人权限" "新增权限"。 4. 搜索框输入CRS，搜索CRS系统权限策略，勾选CRS admin系统策略。 5. 点击下一步，由于CRS系统权限为全局服务资源，无需设置资源池。 6. 点击确定按钮，即可完成为子账户授权。

注意事项 如果仅授予子账户系统策略 CRS admin ，可能存在订购企业版实例后无法支付和查询订单的情况，需要配置订单相关系统策略： mktadmin（优惠券相关权限）、bss admin（订单相关权限）、acctadmin（账单相关权限）。详情参考相关文档：子用户如何查看账单管理界面和子用户如何创建和下单一类节点资源。 系统策略说明 CRS默认设置三种系统策略，您可以直接使用系统权限策略为子账号授权，提供的三种系统策略如下： CRS admin：容器镜像服务CRS管理员权限策略，拥有CRS所有资源的读写权限。 CRS user：容器镜像服务CRS普通用户权限策略，拥有除了订单相关操作之外的所有读写权限。 CRS viewer：容器镜像服务CRS只读用户权限策略，拥有CRS所有资源的只读权限。 子账户授权系统权限 以授权子账户管理员权限策略为例说明： 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择"用户"授权子账户。 3. 选择"操作" "查看"，进入用户界面，选择"权限管理"标签页，选择 "个人权限" "新增权限"。 4. 搜索框输入CRS，搜索CRS系统权限策略，勾选CRS admin系统策略。 5. 点击下一步，由于CRS系统权限为全局服务资源，无需设置资源池。 6. 点击确定按钮，即可完成为子账户授权。

本文介绍SQL风险管控规则集中DDL操作类型对应的规则，该种规则会匹配DMS用户的一切DDL操作并识别出风险等级，进而决定该操作是否需要进行审批。 前提条件 组织版本为企业版。 目前只会对MySQL和PostgreSQL实例的DDL操作进行SQL风险管控。 用户需要具有进入SQL风险页面的菜单权限。菜单权限请参考权限说明。 操作步骤 用户以超级管理员身份登录DMS系统。 在左侧菜单栏依次点击 SQL治理 > SQL风险 。 在规则集列表界面点击编辑 按钮，在规则集配置界面点击DDL按钮。 功能介绍 DDL类型的风险识别规则会拦截用户一切的DDL操作，包括在查询窗口执行DDL类型的SQL语句、查询窗口的表编辑、实例列表的库/模式创建与删除、SQL变更工单中的DDL语句，并识别出其中的风险等级，匹配到对应的审批模板，执行工单审批流程。若该行为不需要进行审批，则可以直接执行。用户可以自定义DDL类型不同风险等级需要通过的审批流程。DDL类型支持的风险管控因子如下： 影响行数 影响行数支持的运算符为，!，>， >，<，<。 因子值为正整数，由用户输入。 库/模式名称 库/模式支持的运算符为，!，in， contain，startWith，endWith。 因子值为字符串，由用户输入。 pg系实例会匹配模式名称，其他类型实例匹配库名称。

操作步骤 规格扩容 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“更多”，点击“扩容”。 （4）点击“扩容”后，会打开新页面，默认展示就是“规格扩容”，选择需要的规格，会计算出对应价格，点击“提交订单”，后可到订单中支付 磁盘扩容 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“更多”，点击“扩容”。 （4）点击“扩容”后，会打开新页面，选择“磁盘扩容”，修改新磁盘空间大小，会计算出对应价格，点击“提交订单”，后可到订单中支付 代理数量扩容 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“更多”，点击“扩容”。 （4）点击“扩容”后，会打开新页面，选择“代理数量扩容”，选择需要扩容的节点数，会计算出对应价格，点击“确定”，后可到订单中支付。 注意：单机版实例不支持代理数量扩容。

Agent已经安装，系统仍将重复安装 问题现象 当日志出现如下图所示信息时，则表示Agent已经安装。 Agent重复安装： 解决方法 1. （可选）方法一：通过管理控制台注销该节点。 1. 登录态势感知（专业版）管理控制台。 2. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 3. 在左侧导航栏选择“设置> 组件管理”，进入节点管理页面后，单击目标节点所在行“操作”列的“注销”。 4. 在弹出的确认框中，单击“确认” 2. （可选）方法二：通过脚本命令卸载Agent。 1. 通过远程管理工具（如：SecureFX、WinSCP）远程登录目标云服务器。 2. 执行sh /opt/cloud/agentcontrollereuler.sh uninstall命令，卸载Agent。 3. 检查是否已完成卸载。 1. 通过远程管理工具（如：SecureFX、WinSCP）远程登录目标云服务器。 2. （可选）方法一：执行 ls a /opt/cloud/ 查看“/opt/cloud”目录下的文件，当提示如下图所示信息（只有脚本文件）时，则表示已完成卸载。 脚本文件： 3. （可选）方法二：执行saltminion version命令，当提示如下图所示信息时，则表示已卸载完成。 检查Agent信息： 注意 节点注销需要一定的时间，不建议点完注销立刻安装。

本文向您介绍通过企业版VPN实现云上云下网络互通（主备模式）的组网和资源规划。 数据规划 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 VPN网关 HA模式 主备 VPN网关 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 备EIP：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE/IPsec策略 IKE策略 版本：v2 认证算法：SHA2256 加密算法：AES128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IKE/IPsec策略 IPsec策略 认证算法：SHA2256 加密算法：AES128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

弃用和移除 Kubernetes 1.27版本 在Kubernetes 1.27版本，针对卷扩展 GA 特性的以下特性门禁将被移除，且不得再在 featuregates 标志中引用。（ ExpandCSIVolumes，ExpandInUsePersistentVolumes，ExpandPersistentVolumes ） 在Kubernetes 1.27版本，移除masterservicenamespace 命令行参数。该参数支持指定在何处创建名为kubernetes的Service来表示API服务器。自v1.26版本已被弃用，1.27版本正式移除。 在Kubernetes 1.27版本，移除 ControllerManagerLeaderMigration 特性门禁。Leader Migration 提供了一种机制，让 HA 集群在升级多副本的控制平面时通过在 kubecontrollermanager 和 cloudcontrollermanager 这两个组件之间共享的资源锁，安全地迁移“特定于云平台”的控制器。特性自 v1.24 正式发布，被无条件启用， 在 v1.27 版本中此特性门禁选项将被移除。 在Kubernetes 1.27版本，移除 enabletaintmanager 命令行参数。该参数支持的特性基于污点的驱逐已被默认启用， 且在标志被移除时也将继续被隐式启用。 在Kubernetes 1.27版本，移除podevictiontimeout 命令行参数。弃用的命令行参数 podevictiontimeout 将被从 kubecontrollermanager 中移除。 在Kubernetes 1.27版本，移除 CSI Migration 特性门禁。CSI migration 程序允许从树内卷插件移动到树外 CSI 驱动程序。 CSI 迁移自 Kubernetes v1.16 起正式发布，关联的 CSIMigration 特性门禁将在 v1.27 中被移除。 在Kubernetes 1.27版本，移除 CSIInlineVolume 特性门禁。CSI Ephemeral Volume 特性允许在 Pod 规约中直接指定 CSI 卷作为临时使用场景。这些 CSI 卷可用于使用挂载的卷直接在 Pod 内注入任意状态，例如配置、Secret、身份、变量或类似信息。 此特性在 v1.25 中进阶至正式发布。因此，此特性门禁 CSIInlineVolume 将在 v1.27 版本中移除。 在Kubernetes 1.27版本，移除 EphemeralContainers 特性门禁。对于 Kubernetes v1.27，临时容器的 API 支持被无条件启用；EphemeralContainers 特性门禁将被移除。 在Kubernetes 1.27版本，移除 LocalStorageCapacityIsolation 特性门禁。Local Ephemeral Storage Capacity Isolation 特性在 v1.25 中进阶至正式发布。此特性支持 emptyDir 卷这类 Pod 之间本地临时存储的容量隔离， 因此可以硬性限制 Pod 对共享资源的消耗。如果本地临时存储的消耗超过了配置的限制，kubelet 将驱逐 Pod。 特性门禁 LocalStorageCapacityIsolation 将在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 NetworkPolicyEndPort 特性门禁。Kubernetes v1.25 版本将 NetworkPolicy 中的 endPort 进阶至正式发布。 支持 endPort 字段的 NetworkPolicy 提供程序可用于指定一系列端口以应用 NetworkPolicy。 在Kubernetes 1.27版本，移除 StatefulSetMinReadySeconds 特性门禁。对于作为 StatefulSet 一部分的 Pod，只有当 Pod 至少在 minReadySeconds 中指定的持续期内可用（并通过检查）时，Kubernetes 才会将此 Pod 标记为只读。 该特性在 Kubernetes v1.25 中正式发布，StatefulSetMinReadySeconds 特性门禁将锁定为 true，并在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 IdentifyPodOS 特性门禁。启用该特性门禁，您可以为 Pod 指定操作系统，此项特性支持自 v1.25 版本进入稳定。 IdentifyPodOS 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 DaemonSetUpdateSurge 特性门禁。Kubernetes v1.25 版本还稳定了对 DaemonSet Pod 的浪涌支持， 其实现是为了最大限度地减少部署期间 DaemonSet 的停机时间。 DaemonSetUpdateSurge 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 containerruntime 命令行参数。kubelet 接受一个已弃用的命令行参数 containerruntime， 并且在移除 dockershim 代码后，唯一有效的值将是 remote。 Kubernetes v1.27 将移除该参数，该参数自 v1.24 版本以来已被弃用。

服务网段 Service也是Kubernetes内的概念，每个Service都有自己的地址，在CCE中创建集群时，可以指定service的地址段（即服务网段）。同样，服务网段也不能和子网网段重合，而且服务网段也不能和容器网段重叠。服务网段只在集群内使用，不能在集群外使用。 容器网段、服务网段、子网网段和VPC网段关系请参见下图： 单VPC+单集群场景 这是最简单的情形。VPC网段在创建VPC的时候就已经确定，创建CCE集群时，选择目标VPC网段即可。 单VPC+多集群场景 一个VPC下创建多个CCE集群。 在“VPC网络”模式下，Pod的报文需要通过VPC路由转发，CCE会自动在VPC路由上配置到每个容器网段的路由表。 注意 • VPC地址还是创建VPC时确定的，当创建集群时，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段不能重叠，但服务网段可以重叠。在此情况下CCE集群部分互通，一个集群的Pod可以直接访问另外一个集群的Pod，但不能访问另外一个集群的Service。 • VPC网络模式下每个节点占用一条VPC路由规则，组网规模受限于VPC路由表配额。 在“容器隧道网络”模式下，容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，获得了通用性强、互通性强、高级特性支持全面（例如Network Policy网络隔离）的优势，可以满足大多数应用需求。 注意 • VPC地址还是创建VPC时确定的，创建集群时，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段可以重叠，服务网段也可以重叠。 • 跨集群的容器之间访问，建议通过ELB实现。 VPC互联场景 两个VPC网络互联的情况下，可以通过路由表配置哪些报文要发送到对端VPC里。 在“VPC网络”模式下，创建对等连接后，需要在两端VPC内添加对等连接路由信息，才能使两个VPC互通。 注意 • VPC地址是在创建VPC的时候确定的，创建集群的时候，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段不能重叠，但服务网段可以重叠。 • 对等连接的路由表中需要添加对端容器网段的地址。示例操作如下： 同样，在“容器隧道网络”模式下，创建对等连接后，您需要在两端VPC内添加对等连接路由信息，才能使两个VPC互通。 注意 • VPC地址是在创建VPC的时候确定的，创建集群的时候，为每个集群选择一个不重叠的地址段，不仅不能和VPC地址重叠，也不和其他容器网段重叠。 • 所有集群的容器网段可以重叠，服务网段也可以重叠。 • 对等连接的路由表中需要添加对端集群节点子网网段的地址。 VPC网络到IDC的场景 和VPC互联场景类似，同样存在VPC里部分地址段路由到IDC，则CCE集群的Pod地址就不能和这部分地址重叠。IDC里如果需要访问集群里的Pod地址，同样需要在IDC端配置到专线VBR的路由表。

本章节介绍如何使用SDK操作istio资源 Go语言版本 准备工作 1. 创建应用服务网格实例。 2. 到云容器引擎控制台找到应用服务网格控制面部署所在的集群，创建命名空间demo。 3. 获取网格控制面云容器引擎集群的kubeconfig信息，保存到本地文件中。 4. 准备一个VirtualService资源，保存到vs.yaml文件中。 具体操作 使用go在default命名空间创建VirtualService资源并列举default命名空间下所有的VirtualService资源，代码示例： package main import ( "context" "flag" "gopkg.in/yaml.v2" "istio.io/clientgo/pkg/apis/networking/v1beta1" "istio.io/clientgo/pkg/clientset/versioned" v1 "k8s.io/apimachinery/pkg/apis/meta/v1" "k8s.io/clientgo/tools/clientcmd" "log" "os" ) var ( ns flag.String("namespace", "demo", "namespace to deploy") vsFile flag.String("vs", "vs.yaml", "virtual service yaml") kubeConf flag.String("kubeconfig", "", "kube config file") ) func main() { flag.Parse() rc, err : clientcmd.BuildConfigFromFlags("", kubeConf) if err ! nil { panic(err) } clientset, err : versioned.NewForConfig(rc) if err ! nil { panic(err) } bytes, err : os.ReadFile(vsFile) if err ! nil { panic(err) } vs : &v1beta1.VirtualService{} err yaml.Unmarshal(bytes, vs) if err ! nil { panic(err) } log.Println(vs) , err clientset.NetworkingV1beta1().VirtualServices(ns).Create(context.TODO(), vs, v1.CreateOptions{}) if err ! nil { panic(err) } vsList, err : clientset.NetworkingV1beta1().VirtualServices(ns).List(context.TODO(), v1.ListOptions{}) if err ! nil { panic(err) } for , vsItem : range vsList.Items { log.Println(vsItem) } }

分布式消息服务RocketMQ是一款低成本、高可靠、高性能的消息中间件产品,兼容开源RocketMQ客户端,提供高效可靠的消息传递服务,解决分布式应用系统之间的消息数据通信难题,用于系统间的解耦,用户只需专注业务,无需部署运维,适用于电商、金融、政企等多样业务场景。

本节主要介绍存储桶的生命周期规则。 在“存储桶列表”页面点击“属性”>“生命周期”，进入“生命周期”页面。在该页面，用户可以配置生命周期规则。 通过设置存储桶（Bucket）的生命周期规则，可以： 删除与生命周期规则匹配的文件。当文件的生命周期到期时，OOS会异步删除它们。生命周期中配置的到期时间和实际删除时间之间可能会有一段延迟。文件到期被删除后，用户将不需要为到期的文件付费。OOS删除到期文件后，会在Bucket log中记录一条日志，操作项是"OOS.EXPIRE.OBJECT"。 注意 如果文件的生命周期规则设置的是到期后删除，文件到期后将被永久删除，无法恢复。 将与生命周期规则匹配的文件由标准存储转换为低频访问存储，可以根据需要设置生命周期规则从文件最后一次修改生效，还是从文件最后一次访问时间生效。OOS转换存储类型为低频访问存储后，会在Bucket log中记录一条日志，操作项是"OOS.TRANSITIONSIA.OBJECT"。 项目 描述 :: 规则名称 生命周期规则名称。 适用范围 生命周期规则适用的范围。 规则 生命周期规则详情。 状态 生命周期规则的状态： 启用。 禁用。 操作 可以启用/禁用、编辑、删除指定的生命周期规则。 点击“添加规则”后，在弹窗中添加新的生命周期规则。 添加规则描述 项目 描述 :: 规则名称 生命周期规则名称。 文件转换策略 文件按生命周期规则转换的策略： 天数：生命周期规则在匹配文件最后一次修改时间或最后一次访问时间多少天后生效。 日期：生命周期规则生效日期，对于最后一次修改时间在此日期之前的文件执行生命周期规则。 适用范围 生命规则适用的范围： 按前缀匹配：输入生命周期规则匹配前缀，符合该前缀的文件执行生命周期规则。不符合的不执行生命周期规则。 整个存储桶：创建的生命周期规则适用该Bucket内的所有文件。 前缀 输入生命周期规则要匹配的文件名字的前缀。 前缀设置为example，表示匹配名字以example开头的所有文件，如example1.txt、example/test.png等。 前缀设置为example/，表示匹配名字以example/开头的所有文件，如example/test.png、example/abc/1.txt等。 转换到低频访问型文件 匹配生命周期规则的文件，到期后转换成低频访问型文件。 如果“文件转换策略”为“天数”，可以选择文件： 最后一次修改时间：指定在文件最后一次修改后多少天，根据生命周期规则，文件转为低频访问存储。 最后一次访问时间：指定在文件最后一次访问后多少天，根据生命周期规则，文件转为低频访问存储。 如果“文件转换策略”为“日期”，则在此日期之前修改的文件，将在此日期转换为低频访问存储。 删除文件 匹配生命周期规则的文件，到期后删除。 如果“文件转换策略”为“天数”，指定在文件最后一次修改后多少天，文件被删除。 如果“文件转换策略”为“日期”，则在此日期之前修改的文件，将在此日期被删除。 注意 如果存储桶没有配置过生命周期规则，执行该操作将创建新的生命周期规则。 如果存储桶内的生命周期规则正在执行时被修改配置，则修改后的配置并不立即生效，需等原生命周期规则执行完成后才能生效。 每个存储桶最多创建1000条生命周期规则。 同一存储桶，同一类型（到期删除或者到期转成低频访问存储）的生命周期规则不能存在叠加前缀，例如已创建到期删除文件的生命周期规则的前缀是ABC，则无法再创建前缀为ABCD或AB或A的到期删除文件的生命周期规则。 当用户为存储桶设置了生命周期规则，这些规则将同时应用于已有文件和后续新创建的文件。例如，用户今天增加了一个生命周期，指定过期时间为30天，那么OOS将会将最后修改时间在30天前的文件都加入到待删除队列中。 OOS通过将文件的最后一次修改时间或者最后一次访问时间加上生命周期时间来计算到期时间，并且将时间近似到下一天的GMT零点时间。例如，一个文件的最后修改时间为GMT 2016年1月15日10:30，生命周期为3天，那么文件的到期时间是GMT 2016年1月19日00:00。如果文件在上传之后没有修改过，则最后修改时间为该文件的上传时间。

操作名称 授权项 备注 创建数据库实例 rds:instance:create rds:param:list 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 创建加密实例需要在项目上配置KMS Administrator权限。 变更数据库实例的规格 rds:instance:modifySpec 无。 扩容数据库实例的磁盘空间 rds:instance:extendSpace 无。 单机转主备实例 rds:instance:singleToHa 若原单实例为加密实例，需要在项目上配置KMS Administrator权限。 重启数据库实例 rds:instance:restart 无。 删除数据库实例 rds:instance:delete 无。 查询数据库实例列表 rds:instance:list 无。 实例详情 rds:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc::get和vpc::list。 修改数据库实例密码 rds:password:update 无。 修改端口 rds:instance:modifyPort 无。 修改内网IP rds:instance:modifyIp 界面查询剩余IP列表需要： vpc:subnets:get vpc:ports:get 修改实例名称 rds:instance:modify 无。 修改运维时间窗 rds:instance:modify 无。 手动主备倒换 rds:instance:switchover 无。 修改同步模式 rds:instance:modifySynchronizeModel 无。 切换策略 rds:instance:modifyStrategy 无。 修改实例安全组 rds:instance:modifySecurityGroup 无。 绑定/解绑公网IP rds:instance:modifyPublicAccess 界面列出公网IP需要： vpc:publicIps:get vpc:publicIps:list 设置回收站策略 rds:instance:setRecycleBin 无。 查询回收站 rds:instance:list 无。 开启、关闭SSL rds:instance:modifySSL 无。 开启、关闭事件定时器 rds:instance:modifyEvent 无。 读写分离操作 rds:instance:modifyProxy 无。 申请内网域名 rds:instance:createDns 无。 备机可用区迁移 rds:instance:create 备机迁移涉及租户子网下的IP操作，若为加密实例，需要在项目上配置KMS Administrator权限。 表级时间点恢复 rds:instance:tableRestore 无。 透明数据加密（Transparent Data Encryption，TDE）权限 rds:instance:tde 仅用于RDS for SQL Server数据库实例。 修改主机权限 rds:instance:modifyHost 无。 查询对应账号下的主机 rds:instance:list 无。 获取参数模板列表 rds:param:list 无。 创建参数模板 rds:param:create 无。 修改参数模板参数 rds:param:modify 无。 应用参数模板 rds:param:apply 无。 修改指定实例的参数 rds:param:modify 无。 获取指定实例的参数模板 rds:param:list 无。 获取指定参数模板的参数 rds:param:list 无。 删除参数模板 rds:param:delete 无。 重置参数模板 rds:param:reset 无。 对比参数模板 rds:param:list 无。 保存参数模板 rds:param:save 无。 查询参数模板类型 rds:param:list 无。 设置自动备份策略 rds:instance:modifyBackupPolicy 无。 查询自动备份策略 rds:instance:list 无。 创建手动备份 rds:backup:create 无。 获取备份列表 rds:backup:list 无。 获取备份下载链接 rds:backup:download 无。 删除手动备份 rds:backup:delete 无。 复制备份 rds:backup:create 无。 查询可恢复时间段 rds:instance:list 无。 恢复到新实例 rds:instance:create 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 恢复到已有或当前实例 rds:instance:restoreInPlace 无。 获取实例Binlog清理策略 rds:binlog:get 无。 合并Binlog文件 rds:binlog:merge 无。 下载Binlog文件 rds:binlog:download 无。 删除Binlog文件 rds:binlog:delete 无。 设置Binlog清理策略 rds:binlog:setPolicy 无。 获取数据库备份文件列表 rds:backup:list 无。 获取历史数据库列表 rds:backup:list 无。 查询数据库错误日志 rds:log:list 无。 查询数据库慢日志 rds:log:list 无。 下载数据库错误日志 rds:log:download 无。 下载数据库慢日志 rds:log:download 无。 开启、关闭审计日志 rds:auditlog:operate 无。 获取审计日志列表 rds:auditlog:list 无。 查询审计日志策略 rds:auditlog:list 无。 生成审计日志下载链接 rds:auditlog:download 无。 获取主备切换日志 rds:log:list 无。 创建数据库 rds:database:create 无。 查询数据库列表 rds:database:list 无。 查询指定用户的已授权数据库 rds:database:list 无。 删除数据库 rds:database:drop 无。 创建数据库账户 rds:databaseUser:create 无。 查询数据库账户列表 rds:databaseUser:list 无。 查询指定数据库的已授权账户 rds:databaseUser:list 无。 删除数据库账户 rds:databaseUser:drop 无。 授权数据库账户 rds:databasePrivilege:grant 无。 解除数据库账户权限 rds:databasePrivilege:revoke 无。 任务中心列表 rds:task:list 无。 删除任务中心任务 rds:task:delete 无。

本节主要介绍Linux客户端挂载HBlock单机版的卷。 前置条件 HBlock服务器端，已经成功创建卷。 准备Linux客户端 注意 需要具有root权限才能配置initiator。 若您客户端为CentOS/RHEL，请安装iscsiinitiatorutils，安装命令如下： plaintext yum y install iscsiinitiatorutils 注意 安装iSCSI initiator 6.2.087410 或以上版本。 若您客户端为Ubuntu/Debian，安装命令如下： plaintext apt install openiscsi 操作步骤 HBlock服务器端 查询要连接的LUN及LUN对应iSCSI target的详细信息。 plaintext ./stor lun ls { n name } LUNNAME ./stor target ls { n name } TARGETNAME Linux客户端 1. 发现HBlock的target。 plaintext iscsiadm m discovery t st p SERVERIP 2. 登录 iSCSI 存储。 若您的 iSCSI target没有开启CHAP认证，请直接执行步骤d登录target。 1. 开启认证。 plaintext iscsiadm m node T iSCSITARGETIQN o update name node.session.auth.authmethod valueCHAP 2. 输入CHAP用户名。 plaintext iscsiadm m node T iSCSITARGETIQN o update name node.session.auth.username valueUSER 3. 输入CHAP密码。 plaintext iscsiadm m node T iSCSITARGETIQN o update name node.session.auth.password valuePASSWORD 4. 登录target。 plaintext iscsiadm m node T iSCSITARGETIQN p SERVERIP:port l port为iSCSI端口号 3. 显示会话情况，查看当前iSCSI链接。 plaintext iscsiadm m session 4. 查看 iSCSI 磁盘、磁盘对应的LUN（通过lsscsi i可以查看LUN的wwid） plaintext lsblk lsscsi i

产品功能类 每个天翼云账号可同时购买几个Token Plan量包？ 每个天翼云账号在每个模型可同时存在2个使用中/未激活/购买中Token Plan。如果账号内没有使用中/未激活/购买中的量包，可购买2个。 Token Plan购买成功即刻生效吗？ 需要手动激活使用。为了不影响业务使用，购买量包后，请尽快前往服务详情页激活服务；若同时激活几个量包，请注意量包生效时间，避免资源浪费。 子账号如何购买/使用Token Plan量包？ 暂不支持子账号购买，请联系主账号购买Token Plan量包后即可在控制台>在线推理>服务详情页内查看。 如何查看Token Plan量包消耗信息？ 登录模型推理服务控制台，前往在线推理>预置服务，进入对应模型的服务详情页可查看。在该页面也可同步查看容量和速率限制信息等。 如何获取Token Plan量包的APP Key和BaseURL？ APP Key：前往控制台>服务接入，点击“创建服务组”并配置相应模型即可获得APP Key。支持用户在页面手动重置APP Key。 URL： 说明 APP Key重置后，约1min后生效，且需要在使用时将APP Key更新为最新的。 量包暂时售罄，什么时候可再次购买？ 为保障用户体验，于每日10：00定量释放库存。 DeepSeekv3.2（旗舰版）Token Plan量包支持的上下文长度是多少？ 支持上下文长度64K（输入32K，输出32K） 计费与额度类

本文为您介绍跨域VPC和云专线通过云间高速实现安全访问互联网的操作流程。 前提条件 客户在VPC网络中配置有安全管控服务。 安全管控服务具备互联网访问能力。 此场景仅限天翼云CTYUN4.0资源池 场景示例 在华北2和华东1资源池部署有云上资源。 在广州的IDC需要通过云专线接入华南2资源池，与华北2和华东1的云上资源互访。 三个区域的资源需要通过华东1部署的云上安全服务访问互联网。 组网拓扑 配置步骤 1. 创建云间高速和云企业路由器 创建云间高速 云间高速的创建，具体操作请参见：创建云间高速（标准版）实例云间高速 创建云企业路由器 在华北2、华东1、华南2三个资源池中分别创建云企业路由器。 具体操作请参见：创建云企业路由器实例云间高速 2. 加载网络实例 加载VPC网络实例 在已创建的华北2云企业路由器和华东1云企业路由器中，分别加载对应区域的VPC网络实例。 具体操作请参见：加载VPC网络实例云间高速 加载专线网络实例 在华南2云企业路由器中，加载云专线（CDA）网络实例。 具体操作请参见：加载云专线（CDA）网络实例云间高速

本节介绍了容器镜像服务常见问题:镜像加速。 开启镜像加速后，对象存储Bucket的使用量增加 由于加速镜像同样也是容器镜像，并存放在用户企业版实例中，因此也会产生存储开销，即用户上传了一个300MiB的普通镜像，经过转换后会产生一个约300MiB的加速镜像。 运行加速镜像失败 1. 运行镜像版本Tag带“accelerated”后缀的加速镜像，需要先在集群中安装好加速插件“cubeaccelerationsuite“，并等待插件正常运行后方可正常运行加速。 2. 运行加速镜像的集群对容器运行时有所限制，需要容器运行时是containerd且1.6.23ccse版本的节点方可运行。 安装镜像加速插件失败 1. 集群需要具备标签ctyun.cn/imageaccelerateenabledtrue的Worker节点方可安装。 2. 标签ctyun.cn/imageaccelerateenabledtrue不能打到Master节点上，否则会视为无效，本插件会跳过在所有Master节点上搭建加速环境。 镜像加速插件卸载 卸载插件包含运行环境的清理操作，因此凡是打了ctyun.cn/imageaccelerateenabledtrue标签的节点切莫提前取消标签 命名空间或者镜像仓库已开启镜像加速，但上传镜像后没有加速镜像生成 1. 加速镜像转换需要一定耗时，镜像容量越大，例如转换耗时越长，转换 40GiB 的镜像大约耗时 30 分钟。 2. 镜像容量控制在60GiB以内，否则会增大转换失败的风险，镜像转换重新触发可重新执行镜像push操作，由于镜像之前已上传，因此push可快速完成。

分布式消息服务Kafka提供全托管、免运维的迁移上云服务，用于自建实例或跨云云实例与分布式消息服务Kafka实例之间的数据同步。本文介绍迁移上云的源实例类型、使用限制、跨VPC数据同步以及使用流程。 背景信息 迁移上云可以把源云分布式消息服务Kafka集群的元数据（Topic和Group配置信息）、消息数据和点位信息同步到目标集群，迁移完成后目标集群的元数据与原集群的元数据保持一致，并且支持持续更新和完成后自动停止任务。 使用限制 1. 此功能不收费，会占用当前实例的服务器资源，请结合业务流量和服务器资源占用情况，在合理的情况下进行迁移。 2. 单机版不支持迁移。 计费说明 分布式消息服务Kafka的迁移上云组件处于公测阶段，不会在分布式消息服务Kafka侧产生费用。同时，天翼云不承诺迁移的SLA，使用迁移上云所依赖的其他产品的SLA和费用说明请以对应产品为准。 环境要求 如果您需要通过迁移上云功能将公网的自建实例的数据同步到分布式消息服务Kafka或者跨地域将某个VPC内的分布式消息服务Kafka的数据同步到另一个VPC的分布式消息服务Kafka，您需要为该实例绑定弹性IP开启公网访问，然后在公网上进行数据同步。 如果您需要将某个VPC内的数据通过迁移上云功能同步到另一个VPC的分布式消息服务Kafka，需要手动打通VPC。具体步骤，请参见：使用VPCEP实现跨VPC访问Kafka

本节介绍策略管理功能的使用约束与限制。 态势感知（专业版）的策略管理功能可以简化您在多个账户和资源上的管理和维护任务，支持统一展示所有策略信息、查看人工/自动化拦截记录等操作。 新增策略：策略作为告警一键阻断的止血手段，可根据告警来源选择相应的类型对攻击者进行阻断。 管理策略：介绍如何查看策略、编辑策略、删除策略。 约束与限制 策略目前仅支持CFW/WAF/VPC安全组的黑名单策略。 单用户单工作空间内容最多新增300条支持阻断老化的，全量最多新增2500条。同时，单次下发策略阻断对象数量限制如下： 当需要下发策略至CFW时，单用户单次最多可新增500个IP或域名作为阻断对象。 当需要下发策略至WAF时，单用户单次最多可新增500个IP作为阻断对象。 当需要下发策略至VPC时，单用户单次1分钟内最多可新增500个IP作为阻断对象。 将IP或IP地址段配置为黑名单后，来自该IP或IP地址段的访问，CFW/WAF/VPC将不会做任何检测，直接拦截。 为确保系统稳定性，同时执行的任务数量必须小于等于5个，若检测到已有5个任务正在执行，系统将禁止继续新增、重试或编辑操作。 基本概念 操作连接：应急策略的流程所绑定的资产连接，资产连接是流程中插件节点使用到的连接域名和鉴权参数，通过域名调用的方式可以访问其他云服务或者三方服务。

本文向您介绍通过企业版VPN实现数据中心和VPC互通的入门指引。 场景描述 由于业务发展，企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接，实现云上和云下数据互通。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，推荐VPN网关使用双活模式，组网如下图所示。 双活模式下，如果连接1链路故障，流量自动切换至连接2进行传输，企业业务不受影响；连接1恢复正常后，VPN仍使用连接2进行数据交互。 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，推荐VPN网关使用主备模式，组网下图所示。 主备模式下，连接1和连接2互为主备，主链路为连接1，备链路为连接2。默认情况下流量仅通过主链路进行传输，如果主链路故障，流量自动切换至备链路进行传输，企业业务不受影响；主链路恢复正常后，VPN回切至主链路进行数据交互。 约束与限制 对端网关需要支持标准IKE和IPsec协议。 本地数据中心和VPC间互通的子网需要没有重叠，且数据中心待互通的子网中不能包含100.64.0.0/10和214.0.0.0/8。 如果VPC使用云专线服务和其他VPC互通，则本地数据中心的子网也不能和其他VPC包含的子网存在重叠。

本章节介绍关于性能的常见问题有哪些及解决办法。 RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 为何使用了RDS后网站登录较慢 推荐您做如下两个处理： 通过关系型数据库服务的管理控制台查看关系型数据库实例的性能情况。 与应用程序有很大关系，使用命令查看当前数据库连接状态，比较本地数据库和关系型数据库的差异。

本章节会介绍关系型数据库查看性能时遇到的常见问题。 RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 为何使用了RDS后网站登录较慢 推荐您做如下两个处理： 通过关系型数据库服务的管理控制台查看关系型数据库实例的性能情况。 与应用程序有很大关系，使用命令查看当前数据库连接状态，比较本地数据库和关系型数据库的差异。