本文为您介绍算力专网的计费项和计费组成等相关信息。 如需开通算力专网服务，请联系专属客户经理咨询具体价格及计费方式，客户经理会与您沟通商务内容。签署合同后，客户经理将协助您开通算力专网业务，并跟进后续算力专网业务的变更和退订等相关业务。 算力专网产品收费项目分为网络使用费和路由条目增强服务费： 收费项目 收费标准 备注 网络使用费 按客户站点收费 按月收取，必选 网络使用费 按天翼云站点收费 按月收取，必选 网络使用费 按第三方站点收费 按月收取，必选 路由条目增强服务费 20元/条/月 超出部分，按月收取 网络使用费 网络使用费分为三类：一是客户站点网络使用费，二是天翼云资源池站点网络使用费，三是第三方云资源池站点网络使用费。 客户站点网络使用费 接入方式：IPRAN 客户站点网络使用费按照单、双路由区分收取。当客户采用双路由IPRAN方式接入CN2时，根据其接入模式来确定IPRAN双接入线路的网络使用费，具体如下： IPRAN双接入模式 网络使用费 :: 主备接入 主线路按IPRAN单路由接入方式标准资费收取；备用线路按照IPRAN单路由接入方式标准资费的40%收取； 负载分担 每条接入线路均按IPRAN单路由接入方式标准资费收取。

本文向您介绍企业版VPN中监控类常见问题。 VPN监控可以监控哪些内容？ VPN网关 可以监控网关IP的带宽信息，包含入网流量、入网带宽、出网流量、出网带宽及出网带宽使用率。 查询VPN网关监控状态，请在VPN网关“网关IP”列中单击EIP后面的进行查看。 VPN连接 可以监控连接的状态信息，包括VPN连接状态、链路往返平均时延、链路往返最大时延、链路丢包率、隧道往返平均时延、隧道往返最大时延、隧道丢包率。 其中，链路往返平均时延、链路往返最大时延、链路丢包率、隧道往返平均时延、隧道往返最大时延、隧道丢包率需要单击VPN连接，在“基本信息”页签通过添加健康检查项进行添加；私网相关指标仅VPN连接使用静态路由模式，且开启NQA检测机制场景下支持配置。 查询VPN连接监控状态，请在VPN连接“监控”列中单击进行查看。 VPN连接中断后会通知我吗？ VPN连接的状态监控功能已上线，VPN连接创建后即会向云监控服务CES上报状态信息，但是并不会自动向用户发送告警通知，需要在服务列表中选择“管理与监管＞云监控”创建告警规则。 VPN连接状态请在VPN连接“监控”列中单击进行查看。

本节介绍了各种备份类型的相关内容。 RDS for MySQL支持的备份有很多种，根据不同维度，有如下分类。 按照数据量：分为全量备份和增量备份 表 全量备份和增量备份对比 备份类型 全量备份 增量备份 描述 全量备份是备份数据库所有数据。 增量备份是备份某个时间段内变化的数据。 是否默认开启 是 是 保留时长 自动备份为设置的保留天数。减少保留天数，会针对已有的备份文件生效。 手动备份会一直保存，不会随着RDS实例的删除而释放，直到用户手动删除。 增量备份随自动全量备份一起删除。 特点 对当前状态下的数据库实例中的所有数据进行一次完整的备份。 用户可在任意时刻使用全量备份恢复创建备份时的完整数据。 包含自动备份和手动备份。 系统自动每5分钟或一定数据量时会对上一次自动备份或增量备份后更新的数据进行备份。 全部为自动备份。 利用增量备份恢复数据时会依赖最近一次的全量备份，如下图所示，因此自动删除时仍然会保留最近的一次超出保留天数的全量备份，保证在保留天数内的数据可正常恢复。 图 增量数据恢复 查看备份大小 单击实例名称，在“备份恢复”的“全量备份”页签查看备份大小。 单击实例名称，在“备份恢复”的“Binlog备份”页签查看备份大小。

本节介绍了停售公告、停售范围、停售影响、常见问题等内容 停售公告 天翼云计划于2025/10/10 00:00（北京时间）正式停售关系数据库MySQL 5.6版本。具体可参考关于天翼云二类节点关系数据库 MySQL 5.6版本于2025年10月10日00:00（北京时间）停售的公告。 停售范围 西宁、海口、太原、南昌、郑州、乌鲁木齐、内蒙3、兰州、福州、北京2、长沙2、广州4、苏州、杭州、成都3、芜湖、上海4、深圳、武汉2、中卫、重庆、石家庄、青岛、贵州、西安2、华北、南宁、昆明、天津、沈阳3、长春、哈尔滨。 停售影响 停售后，用户将无法新购关系数据库MySQL 5.6版本，已购买的存量实例仍可正常使用。该版本将于停售6个月后（即2026年4月10日）停止服务。 常见问题 关系数据库MySQL 5.6版本停售后，正在使用中的该版本实例怎么办？ 对于存量用户，存量5.6版本实例仍可正常使用。由于该5.6版本将于停售6个月后（即2026年4月10日）停止服务（可参考关系数据库MySQL 产品生命周期），请尽快将您的存量关系数据库 MySQL 5.6版本实例升级到5.7版本，具体可参考版本升级。 关系数据库MySQL 5.6版本停售后，对于新购客户会有什么影响？ 对于新购用户，可直接选购关系数据库MySQL 5.7版或更高版本实例，享受更完善的功能与性能。

本文为您介绍了短信服务的使用流程。 前提条件 注册并登录天翼云账号。注册链接，请参见账号注册。 确保账号已完成实名认证，实名认证的类型包括个人认证和企业认证，个人认证表示账号持有者是个人；企业认证表示账号持有者是企业或政府部门。目前仅支持企业用户使用。更多信息，请参见认证。 开通短信服务 请联系当地省公司客户经理通过CRM系统进行开通订购或通过点击申请开通，填写需求单，相应客服经理会联系您并为您开通服务。 资质申请 在创建短信之前需要先创建资质，方可创建短信内容。 添加资质是为了满足工信部和基础运营商对于短信发送方实名制的管控要求。 创建短信内容 一个完整的短信包括短信签名和短信模板。短信签名是短信发送者的署名，表示发送方的身份；短信模板包含短信发送内容、场景、变量信息。 使用短信签名和短信模板前必须提交短信服务审核，审核通过的签名和模板才能使用在短信中。 短信包括验证码短信、短信通知。下表以验证码为例： 名称 示例 短信签名 天翼云 短信模板 您正在申请手机注册，验证码为：${code}，5分钟内有效！ 完整的短信【短信签名】+短信模板 【天翼云】您正在申请手机注册，验证码为：{code}，5分钟内有效！ 说明： {code}为模板变量。 1. 申请资质。 1)登录云通信控制台。 2)在左侧导航栏，单击资质管理 页签，在页面左侧单击 创建资质 。 3)填写资质申请信息，等待审核。具体信息，请参见添加资质。 2. 申请短信签名。 1)登录云通信控制台。 2)在左侧导航栏，单击签名管理 页签，在页面左侧单击 创建签名 。 3)填写签名申请信息，等待审核。具体信息，请参见添加签名。 3. 申请短信模板。 1)登录云通信控制台。 2)在左侧导航栏，单击模板管理 页签，在页面左侧单击 创建模板 。 3)填写模板申请信息，等待审核。具体信息，请参见创建模板。 说明： 您在申请短信签名和模板时，需要遵循相关的规范要求，保证签名或模板能快速通过审核。具体说明，请参见签名审核和模板审核。

步骤一：创建云主机并绑定EIP 开通创建云主机，绑定弹性EIP操作流程请参考： < ● 华东1云主机A购买公网带宽：10Mbps ● 西南1云主机B购买公网带宽：10Mbps 步骤二：安装iperf3 检查云主机上的安全组及网络ACL配置，确保云主机能够正常访问公网。 分别在华东1、西南1的云主机上安装iperf3 执行命令：yum install iperf3 说明：CentOS、CTyunOS镜像环境下执行命令为yum install iperf3，如果是其他操作系统，请以操作系统实际命令为准。 步骤三：打流测试 以华东1 云主机作为客户端，西南1云主机做为服务端，从华东1向西南1进行打流测试，查看华东1的出云带宽。 本次测试以iperf udp方式打流，指定带宽为客户购买带宽10Mbps 服务端：西南1 执行命令：iperf3 s （启动服务） 注意：iperf3在不指定端口的情况下，默认使用端口5201，请在客户端和服务端云主机上，注意安全组的配置，放行该端口；如果指定其他端口，也注意要在安全组中放行。 客户端：华东1 执行命令：iperf3 c XX.XX.XX.XX(西南1 EIP地址) t 30 b 10M i 15 u 参数说明： t 30 : 发送报文持续时间为30秒 b 10M：指定发送报文带宽10Mbps i 15：测试结果的输出周期为15秒 u：使用UDP协议打流 通过以上测试，可以看到华东1出云带宽符合购买带宽10Mbps，丢包为0，基本无抖动。 在西南1查看入云带宽及丢包情况： 入云带宽10Mbps，0丢包，无抖动。 如果想让服务端向客户端打流，查看服务端的出云带宽，可在客户端执行如下命令： iperf3 c XX.XX.XX.XX(西南1 EIP地址) t 30 b 10M i 15 u R 增加R 表示反向测试，则可查看服务端向客户端的打流情况及出云带宽等信息。 通过采用iperf打流的方式，可以辅助您验证实际的公网带宽是否符合业务所需。

本文介绍全站加速是否支持跨域资源共享。 全站加速支持跨域资源共享。 什么是跨域资源共享 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 配置说明详见：跨域资源共享。 注意事项 若您的源站与客户控制台同时配置CORS跨域头，则全站加速平台的配置将覆盖源站CORS跨域头。

本文为您介绍存储管理的相关操作。 前置条件 对象存储优势在于不需要文件系统的介入，存储的数据可以直接通过URL进行访问，便于扩容，存储空间更大，存储成本更低。一般常见于各种云厂商提供的对象存储服务、存储厂商的存储设备等。对象存储的环境要求如下： 1. 可用的对象存储资源。 2. 对象存储的访问地址，即对象存储的访问域名endpoint；（如果对象存储endpoint使用https协议，则可以额外选择开启证书认证来增加访问安全性，但需要对应证书）。 3. 访问对象存储的账户的用户名/密码（Access Key/Access Secret）。 新建对象存储 1. 点击左侧菜单栏“资源同步管理”“存储管理”“存储介质”“对象存储”，进入对象存储列表页。单击“新建”按钮，进入对象存储新建页面。 名称：自定义的对象存储的名称，便于管理，支持中文和英文字符。 存储类型：支持LocalFS、AWS S3、S3 Compatible、天翼云OSS、OBS、Aliyun OSS、Baidu BOS、MS Azure File、MS Azure Blob、Jingdong OSS、Emc Atmos和Swift、。 管理地址：对象存储的访问域名endpoint，需要写明协议类型（https/http），以天翼云为例，可填写终端节点（endpoint）地址。 数据地址：填写对象存储的数据地址，以天翼云为例，若内网打通，可使用同资源池内网访问地址，若其他方式打通网络，可填写终端节点（endpoint）地址。 证书校验：用于控制机访问对象存储时校验认证使用，此配置默认开启。此功能仅在对象存储使用HTTPS协议且拥有对应证书的前提下可开启使用，如果对象存储环境不满足要求，直接关闭此配置项即可。 Access Key：对象存储的访问账户对应的Access Key（也叫Secret ID）。 Access Secret：对象存储的访问账户对应的Access Secret（也叫Secret Key）。 大文件分片大小：用于将大文件分成小文件，加速传输效率的一个选项。默认值为：200，单位为MiB。输入框内右侧有增加和减少的按钮。 签名版本：访问对象存储发出请求时使用的签名版本；共两个版本：V2、V4；在实际配置时建议使用V4版本（目前对象存储一般默认为V4）。 地域：非必填项，对象存储所属地域，如果对象存储有地域区分时需要填写；常见需要填写地域的对象存储例如：天翼云、阿里云、华为云、腾讯云、亚马逊、联通云、青云等云存储。 访问模式：对象存储提供两种访问模式：Path、Virtual Hosting；在实际配置时建议先使用Path方式。 备注：用户自定义此对象存储的备注内容。 2. 所有信息输入完成后，单击“确定”，即可完成对象存储的添加。 3. 点击左侧菜单栏“资源同步管理”“存储管理”“存储介质”“对象存储”，进入对象存储列表页。Tab栏中选择对象桶，单击“新建”按钮，进入对象桶新建页面，新建前需要对象存储的用户具有创建桶权。 桶名称：自定义桶名称，使用设置的桶名称在指定对象存储中创建桶；名称中不能包含/:?"<>,%等非法字符。 对象存储：选择已经添加到控制台的对象存储。 使用配额：设置对象桶的使用配额大小，单位GiB。 4. 所有信息输入完成后，单击“确定”，即可完成对象桶的添加。

VPC名称 VPC网段 子网名称 子网网段 关联VPC路由表 ECS名称 安全组 私有IP地址 VPCA 172.16.0.0/16 SubnetA01 172.16.0.0/24 rtbVPCA01 ECSA01 sgweb：通用Web服务器 172.16.0.111 VPCA 172.16.0.0/16 SubnetA02 172.16.1.0/24 rtbVPCA02 ECSA02 sgweb：通用Web服务器 172.16.1.91 VPCB 10.0.0.0/16 SubnetB01 10.0.0.0/24 rtbVPCB ECSB01 sgweb：通用Web服务器 10.0.0.139 VPCC 10.0.0.0/16 SubnetC01 10.0.0.0/24 rtbVPCC ECSC01 sgweb：通用Web服务器 10.0.0.71

参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同。 IPv4地址：创建只读实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 IPv6地址：选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。创建只读实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 内网安全组 和主实例相同。

本节介绍创建网站扫描任务或重启任务不成功时如何处理。 请执行以下步骤进行处理。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 在“资产列表”界面，查看目标网址是否已完成域名认证。 如果是，请联系技术支持。 如果否，请执行步骤5～步骤6完成域名认证。 5. 在目标域名的“认证状态”列，单击“前往认证”。 6. 在弹出的“认证域名”对话框中，选择域名认证方式完成域名认证。

云等保的测评要求 等保工作是一个持续的工作，等保测评也是一个周期性的工作，三级系统要求每年做一次，四级系统每半年做一次，二级系统部分行业明确要求每两年做一次，没有明确要求的行业一般是建议两年做一次测评。 定期等保合规基线检查 合规基线覆盖等级保护二级、三级技术要求主机安全检查330项。涵盖系统基线、应用基线、等保合规检查和CIS合规检查。 使用合规基线功能，无需任何人工干预，全自动高效清点，一旦安全配置被修改迅速响应并可定位到具体的主机及负责人，最大限度减少风险暴露的同时有效降低员工再犯可能。 选择合规基线模版 点击某个基线任务，可查看该任务中的基线检查列表，也可对单个基线进行检查。 检查合规基线扫描结果 根据选定的基线检查任务，检查结果按照每个检查项的维度展示了该检查项的基本信息，和在主机范围内检查结果的通过率。

本节主要介绍如何通过公网连接Redis实例 当您的本地设备需要管理或测试Redis实例时，您可以本地设备上通过公网连接至Redis实例，需要先为Redis实例申请公网IP地址。 注意事项 通过公网连接首先需要申请弹性IP，具体操作请参见购买弹性IP。注意使用弹性IP服务会产生流量费用，并且会增加网络延迟，影响分布式缓存Redis服务的性能，且存在一定的安全风险。因此更推荐通过专有网络连接，可获得更低的网络延迟和更高的安全性。 若实例为Cluster集群架构，则不支持申请公网连接，无法通过公网连接Redis实例，请通过专有网络连接实例。 操作步骤 1. 申请公网连接地址，具体操作，请参见购买弹性IP。 2. 为Redis实例绑定公网IP地址，具体操作，请参见绑定公网IP。 3. 通过获取到的公网连接地址，使用rediscli或客户端程序连接Redis实例。具体可参考以下文档： 通过客户端连接方式。 rediscli连接方式。

本文主要介绍实例问题。 为什么可用区不能选择2个？ 如果您需要提高Kafka实例的可靠性，在创建实例时，建议选择3个或以上的可用区，不支持选择2个可用区。原因如下： 每个Kafka实例包含3个Zookeeper节点，Zookeeper集群用来管理Kafka实例的配置，如果Zookeeper集群出现问题，Kafka实例将无法正常运行。至少2个Zookeeper节点正常运行，才能保证Zookeeper集群正常运行。 假设选择2个可用区，可用区1有1个Zookeeper节点，可用区2有2个Zookeeper节点。如果可用区1故障，则Kafka实例能正常使用；如果可用区2故障，则不能正常使用。Kafka实例可用的场景只有50%，所以不支持选择2个可用区。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户的用户组无Server Administrator和VPC Administrator权限。增加用户组权限的详细步骤，请参考《统一身份认证服务 用户指南》的“用户指南 > 用户组及授权 > 查看或修改用户组”章节。 如何选择Kafka实例的存储空间？ 存储空间主要是指用于存储消息（包括副本中的消息）、日志和元数据所需要的空间。选择存储空间时，需要选择磁盘类型和磁盘大小。更多磁盘信息，请参考《云硬盘用户指南》的“简介 > 磁盘类型及性能介绍”章节 假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为 100GB副本数 + 预留磁盘大小100GB 。Kafka集群中，每个Kafka节点会使用33GB的磁盘作为日志和Zookeeper数据的存储，因而实际可用存储会小于购买存储。 其中，副本数在创建Topic时可以选择，默认为3副本存储。如果开启了Kafka自动创建Topic功能，自动创建的Topic默认为3副本，副本数可以通过“配置参数”页签中的“default.replication.factor”修改。

功能介绍 对于某些行业客户，在大模型训练时会涉及到保密数据的处理问题，比如需要避免用户下载到本地造成数据泄漏。针对这一问题，平台推出了特色的数据保密功能，以应对用户下载或拷贝保密数据的行为。 平台主要从数据集限制+操作审计两方面进行限制： 数据集限制：保密数据相关的实现依赖平台数据集功能，将需要保密的数据集打上保密标签，对此数据集进行限制。 容器外，根据用户身份严格限制平台的数据操作权限； 容器内，创造断外网的沙箱环境防止下载到本地，并严格限制读写，任务执行者仅可写入到管理员可控的安全存储中。 云审计：将用户的所有命令操作记录到云审计，并对可能涉及拷贝的敏感操作进行标识，给到客户主管人审核确认。 前置条件 1. 存储准备：已在天翼云开通对象存储或HPFS，并在本平台完成委托授权。 2. 其他限制：您是管理员用户（包括主账号、IAM管理员、工作空间管理员）。 操作说明 1. 创建仅管理员可控的安全存储 保密数据集可工作的一个重要前提是限制写操作仅写入到保密输出路径中，这就要求输出路径是智算平台管理员完全可控的存储。 管理员（需有存储控制台相应权限）首先登录存储控制台，根据所使用的存储类型（ZOS或HPFS），创建保密数据集与保密输出路径。保密数据集是指您含有保密信息的数据集；保密输出路径是指当用户使用保密数据时，您指定的写入路径，建议您创建一个空文件夹专用于输出，并对不同的任务创建不同的输出路径。 注意：主账号天然是各产品的管理员，拥有所有权限。但对于子账号，在本平台拥有管理员权限不代表在存储控制台拥有管理员权限，子账号如需存储控制台权限，需要主账号进入IAM授予相应的权限。建议您只给信任的用户授予存储控制台的操作权限，否则可能造成数据泄漏等事故。

该任务指导用户通过漏洞扫描服务开启主机扫描。 操作场景 开启主机扫描后，漏洞扫描服务将对主机进行漏洞扫描与基线检测。 说明 漏洞扫描服务的基础版不支持主机扫描功能，如果您是基础版用户，请通过以下方式使用主机扫描功能： 购买专业版或企业版。 按次购买主机扫描功能。 按次一次性扣费，每次最多可以扫描20台主机。 前提条件 已获取管理控制台的登录账号和密码。 已添加主机。 说明 为了确保扫描成功，在开启主机扫描前，请参照配置Linux主机授权和配置Windows主机授权完成主机授权。 开启主机扫描（专业版/企业版） 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 单击主机信息“操作”列的“扫描”，进入主机扫描入口。 说明 您可以选中需要扫描的主机，在主机列表上方单击“一键扫描”，对选中的多台主机批量进行扫描。 5. 在弹出的对话框中，单击“确认”。 开启主机扫描（基础版） 漏洞扫描服务的基础版不支持主机扫描功能，如果您是基础版用户，请通过以下方式使用主机扫描功能： 购买专业版或企业版 按次购买主机扫描功能 按次一次性扣费，每次最多可以扫描20台主机。 请参照以下操作步骤，按需购买主机扫描功能。 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 勾选需要扫描的主机，单击“一键扫描”，进入主机扫描入口。 5. 在弹出的对话框中，选中“我已了解并同意支付该笔费用”，单击“确定”。 当账户余额充足时，系统在自动扣费后，将执行主机扫描任务。 说明 当主机扫描任务成功时，请查看主机扫描详情。 当主机扫描任务失败时，请在扫描详情页面单击“重新扫描（免费）”，系统将重新执行扫描任务。

对比类 对比项 分布式消息服务Kafka 开源Kafka 简单易用 立等可用 即开即用，可视化操作，自助创建，自动化部署，分钟级创建实例，立即使用，实时查看和管理消息实例。 自行准备服务器资源，安装配置必要的软件并进行配置，等待时间长。 易出错。 简单API 提供简单的实例管理RESTFul API，使用门槛低。 无 成本低廉 按需使用 提供多种规格，按需使用，支持一键式在线进行实例代理个数、磁盘存储空间和代理规格扩容。 搭建消息服务本身需要费用，而且即使没有使用，所占用资源本身依旧要收费。 成本低廉 完全托管 租户不需要单独采购硬件资源，直接使用就绪的服务，无需额外成本。 需要购买硬件资源，自行搭建整个消息服务，使用和维护成本高。 实践验证 成熟度高 经受电商网站大规模访问考验，并且已经在云服务平台许多产品中使用，广泛部署运行在分布于世界各地的电信级客户云业务系统里。满足严苛的电信级故障模式库标准。紧随社区主流版本，修复开源bug，持续上线新功能，进行版本升级。 使用开源软件成熟度低，无法保证关键业务，商业案例少；自研周期长，并需要长时间进行验证。 实践验证 能力强大 100%兼容开源，支持一键扩容，深度优化开源代码提升性能和可靠性，支持消息查询等高级特性。 功能不完善，需额外投入进行开发。 稳定可靠 稳定高可用 支持跨AZ部署，提升可靠性。故障自动发现并上报告警，保证用户关键业务的可靠运行。 需要自己开发或基于开源实现，开发成本高昂，无法保证业务可靠运行。 稳定可靠 无忧运维 后台运维对租户完全透明，整个服务运行具有完备的监控和告警功能。有异常可以及时通知相关人员。避免724小时人工值守。 需要自行开发完善运维功能，尤其是告警及通知功能，否则只能人工值守。 稳定可靠 安全保证 VPC隔离，支持SSL通道加密。 需要自行进行安全加固。

本页介绍了如何在内网通过Mongo Shell连接副本集实例只读节点。 Mongo Shell是MongoDB自带的Shell客户端，您可以使用Mongo Shell连接数据库实例、对数据库进行数据查询和更新、执行管理等操作。 Mongo Shell是MongoDB客户端的一部分，您需要先下载和安装MongoDB客户端，再使用Mongo Shell连接数据库实例。 文档数据库服务实例默认提供内网IP地址，当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库服务实例处于同一区域，同一VPC时，可以使用内网连接文档数据库服务实例，该方式可以获得更快的传输速率和更高的安全性。 本文以部署在弹性云服务器上的应用场景为例，介绍如何使用Mongo Shell通过内网的方式连接实例。 连接实例的方式有SSL连接和非SSL连接两种方法，其中SSL连接进行了加密，具有更高的安全性。为了提升数据在网络传输过程中的安全性，建议采用SSL方式。 前提条件 1. 创建并登录弹性云服务器。 2. 在弹性云服务器上，安装MongoDB客户端。为了保障鉴权成功，请安装与目标实例版本一致的MongoDB客户端版本。 3. 设置安全组规则，确保弹性云服务器和文档数据库服务实例实现网络互通。 非SSL连接 1. 进入“TeleDB数据库控制台”。 2. 在“DDS”>“实例管理”页面，选择指定的副本集实例，单击实例名称，进入“基本信息”页面。 3. 在实例信息中关闭SSL。 4. 连接弹性云服务器。 5. 在客户端工具mongo所在的目录下，连接数据库实例。 内网高可用只读从连接 命令格式： ./mongo > 内网高可用只读从连接地址：您可以在“基本信息>只读从连接”处获取。

参数类型 参数名 说明 取值样例 基本参数 桶名 待迁移数据所在的桶名。 BUCKET2 基本参数 源目录或文件 “列表文件”选择为“否”时，才有该参数。 待迁移数据的目录或单个文件路径。文件路径支持输入多个文件（最多50个），默认以“l”分隔，也可以自定义文件分隔符。 该参数支持配置为时间宏变量，且一个路径名中可以有多个宏定义变量。使用时间宏变量和定时任务配合，可以实现定期同步新增数据。 FROM/example.csv 基本参数 文件格式 文件格式指CDM以哪种格式解析数据，可选择以下格式： CSV格式：以CSV格式解析源文件，用于迁移文件到数据表的场景。 二进制格式：选择“二进制格式”时不解析文件内容直接传输，不要求文件格式必须为二进制。适用于文件到文件的原样复制。 JSON格式：以JSON格式解析源文件，一般都是用于迁移文件到数据表的场景。 CSV格式 基本参数 列表文件 当“文件格式”选择为“二进制格式”时，才有该参数。 打开列表文件功能时，支持读取OBS桶中文件（如txt文件）的内容作为待迁移文件的列表。该文件中的内容应为待迁移文件的绝对路径（不支持目录），例如直接写为如下内容： /052101/DAY20211110.data /052101/DAY20211111.data 是 基本参数 列表文件源连接 当“列表文件”选择为“是”时，才有该参数。可选择列表文件所在的OBS连接。 OBStestlink 基本参数 列表文件OBS桶 当“列表文件”选择为“是”时，才有该参数。该参数表示列表文件所在的OBS桶名。 01 基本参数 列表文件或目录 当“列表文件”选择为“是”时，才有该参数。该参数表示列表文件所在的OBS桶中的绝对路径或目录。 此处建议选择为文件的绝对路径。当选择为目录时，也支持迁移子目录中的文件，但如果目录下文件量过大，可能会导致集群内存不足。 /0521/Lists.txt 基本参数 JSON类型 当“文件格式”选择为“JSON格式”时，才有该参数。JSON文件中存储的JSON对象的类型，可以选择“JSON对象”或“JSON数组”。 JSON对象 基本参数 记录节点 当“文件格式”选择为“JSON格式”并且“JSON类型”为“JSON对象”时，才有该参数。对该JSON节点下的数据进行解析，如果该节点对应的数据为JSON数组，那么系统会以同一模式从该数组中提取数据。多层嵌套的JSON节点以字符“.”分割。 data.list 高级属性 换行符 文件中的换行符，默认自动识别“n”、“r”或“rn”。当“文件格式”选择为“CSV格式”时，才有该参数。 n 高级属性 字段分隔符 文件中的字段分隔符，使用Tab键作为分隔符请输入“t”。当“文件格式”选择为“CSV格式”时，才有该参数。 , 高级属性 使用包围符 选择“是”时，包围符内的字段分隔符会被视为字符串值的一部分，目前CDM默认的包围符为："。 否 高级属性 使用正则表达式分隔字段 选择是否使用正则表达式分隔字段，当选择“是”时，“字段分隔符”参数无效。当“文件格式”选择为“CSV格式”时，才有该参数。 是 高级属性 正则表达式 分隔字段的正则表达式。 ^(d. d) (w ) [(. )] ([w.] ) (w. ). 高级属性 首行为标题行 “文件格式”选择“CSV格式”时才有该参数。在迁移CSV文件到表时，CDM默认是全部写入，如果该参数选择“是”，CDM会将CSV文件的第一行数据作为标题行，不写入目的端的表。 否 高级属性 编码类型 文件编码类型，例如：“UTF8”或“GBK”。只有文本文件可以设置编码类型，当“文件格式”选择为“二进制格式”时，该参数值无效。 GBK 高级属性 压缩格式 当“文件格式”为“CSV格式”或“JSON格式”时该参数才显示。选择对应压缩格式的源文件： 无：表示传输所有格式的文件。 GZIP：表示只传输GZIP格式的文件。 ZIP：表示只传输ZIP格式的文件。 TAR.GZ：表示只传输TAR.GZ格式的文件。 无 高级属性 压缩文件后缀 压缩格式非无时，显示该参数。 该参数需要解压缩的文件后缀名。当一批文件中以该值为后缀时，才会执行解压缩操作，否则则保持原样传输。当输入或为空时，所有文件都会被解压。 高级属性 源文件处理方式 作业执行成功后对源端文件的处理方式： 不处理。 重命名：作业执行成功后将源文件重命名，添加用户名和时间戳的后缀。 删除：作业执行成功后将源文件删除。 不处理 高级属性 启动作业标识文件 选择是否开启作业标识文件的功能。当源端路径下存在启动作业的标识文件时才启动作业，否则会挂起等待一段时间，等待时长在下方“等待时间”中配置。 否 高级属性 标识文件名 选择开启作业标识文件的功能时，需要指定启动作业的标识文件名。指定文件后，只有在源端路径下存在该文件的情况下才会运行任务。该文件本身不会被迁移。 ok.txt 高级属性 等待时间 选择开启作业标识文件的功能时，如果源路径下不存在启动作业的标识文件，作业挂机等待的时长，当超时后任务会失败。 等待时间设置为0时，当源端路径下不存在标识文件，任务会立即失败。 单位：秒。 10 高级属性 文件分隔符 “源目录或文件”参数中如果输入的是多个文件路径，CDM使用这里配置的文件分隔符来区分各个文件，默认为 。 高级属性 过滤类型 满足过滤条件的路径或文件会被传输，该参数有“无”、“通配符”和“正则表达式”三种选择。 通配符 高级属性 目录过滤器 “过滤类型”选择“通配符”时，用通配符过滤目录，符合过滤器规则的目录，允许进行迁移。支持配置多个路径，中间使用“,”分隔。 input 高级属性 文件过滤器 “过滤类型”选择“通配符”时，用通配符过滤目录下的文件，符合过滤器规则的文件，允许进行迁移。支持配置多个文件，中间使用“,”分隔。 .csv, .txt 高级属性 时间过滤 选择“是”时，可以根据文件的修改时间，选择性的传输文件。 是 高级属性 起始时间 “过滤类型”选择“时间过滤器”时，可以指定一个时间值，当文件的修改时间大于该时间才会被传输，输入的时间格式需为“yyyyMMdd HH:mm:ss”。 该参数支持配置为时间宏变量，例如${timestamp(dateformat(yyyyMMdd HH:mm:ss,90,DAY))} 表示：只迁移最近90天内的文件。 20190601 00:00:00 高级属性 终止时间 “过滤类型”选择“时间过滤器”时，可以指定一个时间值，当文件的修改时间小于该时间才会被传输，输入的时间格式需为“yyyyMMdd HH:mm:ss”。 该参数支持配置为时间宏变量，例如${timestamp(dateformat(yyyyMMdd HH:mm:ss))} 表示：只迁移修改时间为当前时间以前的文件。 20190701 00:00:00 高级属性 加密方式 如果源端数据是被加密过的，则CDM支持解密后再导出。这里选择是否对源端数据解密，以及选择解密算法： 无：不解密，直接导出。 AES256GCM：使用长度为256byte的AES对称加密算法，目前加密算法只支持AES256GCM（NoPadding）。该参数在目的端为加密，在源端为解密。 AES256GCM 高级属性 忽略不存在原路径/文件 如果将其设为是，那么作业在源路径不存在的情况下也能成功执行。 否 高级属性 数据加密密钥 “加密方式”选择“AES256GCM”时显示该参数，密钥由长度64的十六进制数组成，且必须与加密时配置的“数据加密密钥”一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 DD0AE00DFECD78BF051BCFDA25BD4E320DB0A7AC75A1F3FC3D3C56A457DCDC1B 高级属性 初始化向量 “加密方式”选择“AES256GCM”时显示该参数，初始化向量由长度32的十六进制数组成，且必须与加密时配置的“初始化向量”一致。如果不一致系统不会报异常，只是解密出来的数据会错误。 5C91687BA886EDCD12ACBC3FF19A3C3F 高级属性 MD5文件名后缀 “文件格式”选择“二进制格式”时，该参数才显示。 校验CDM抽取的文件，是否与源文件一致。 .md5

如果已添加的数据库服务器的用户名和密码已修改或者访问数据库的用户名和密码配置有误，您可以参考本章节进行重新配置。 前提 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已添加数据库资产。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“数据库 > 已授权”，进入已授权数据库资产列表页面。 5.在需要编辑的数据库资产所在行的“操作”列，单击“编辑”。 6.在系统弹出编辑数据库对话框中，修改数据库服务器的用户名或密码。 7.点击“确定”。修改完成后，数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的数据库。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

本节介绍如何进行模型认证配置，配置后，被代理模型必须进行认证才可访问。 企业内部基于开源大模型进行二次开发时，通常未内置标准化认证机制。容易导致未授权访问与资源滥用、数据泄露与敏感信息暴露、提示注入与恶意指令执行等风险。大模型防护系统通过对被代理模型的强制认证，以OpenAI标准核验API key，解决未开启认证模型存在的未授权访问、数据泄露等风险，实现标准化兼容、全链路审计及抗 DDoS 等安全优势。 操作步骤 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“系统管理 > 模型设置 > 模型认证配置”。 3. 单击“新增认证”。 4. 输入认证名称 和标签（标签请牢记）。 5. 在菜单栏选择“资产中心 > 模型代理 > 网关代理”，单击“新建代理”。 如果已经创建代理，点击“编辑”代理（如果代理正在运行请先关闭）。 6. 在新建代理时“启用API Key”，并在API Key标签栏输入第4步在模型认证配置中配置的标签。 7. 此时被代理模型必须进行认证才可访问，可进入“系统管理 > 模型设置 > 模型认证配置”页面，查看代理密钥。

本文主要介绍开机自动启用的配置说明。 功能说明 开机自动启用（自启动）是指设备开机或用户登录系统后，应用程序或系统服务无需手动触发，即可自动在前台或后台运行的功能。该功能可提升使用效率，让常用工具、业务应用即时就绪；在企业管理场景中，还能保障安全类软件、终端管理服务持续在线，实现设备合规管控与安全防护。 开机自动启用AOne是面向企业 / 组织用户的终端管理功能，用于统一控制 PC 客户端的自动启动状态，并支持精细化权限配置，帮助管理员实现设备策略的集中管控，同时兼顾用户自主调整的灵活性。 配置说明 管理员设置 管理员可在管理后台一键设置 PC 客户端的自动启动默认状态以及用户修改权限控制。 注意 管理员设置暂未上线控制台自助配置，如有需求可联系我们。 提供相关配置： 自动启用AOne客户端：开启/关闭（控制初始化配置） 是否允许用户修改：是/否 （若是则提供可修改的用户范围（组织/用户/全部）） 1. 全局开关控制 管理员可在管理后台一键设置 PC 客户端的自动启动默认状态： 开启：所有受控 PC 客户端将默认随系统启动自动运行，无需用户手动启动。 关闭：所有受控 PC 客户端默认不会随系统启动，需用户手动打开。 该开关为全局基准策略，决定了终端的初始状态。

本文主要介绍开机自动启用的配置说明。 功能说明 开机自动启用（自启动）是指设备开机或用户登录系统后，应用程序或系统服务无需手动触发，即可自动在前台或后台运行的功能。该功能可提升使用效率，让常用工具、业务应用即时就绪；在企业管理场景中，还能保障安全类软件、终端管理服务持续在线，实现设备合规管控与安全防护。 开机自动启用AOne是面向企业 / 组织用户的终端管理功能，用于统一控制 PC 客户端的自动启动状态，并支持精细化权限配置，帮助管理员实现设备策略的集中管控，同时兼顾用户自主调整的灵活性。 配置说明 管理员设置 管理员可在管理后台一键设置 PC 客户端的自动启动默认状态以及用户修改权限控制。 注意 管理员设置暂未上线控制台自助配置，如有需求可联系我们。 提供相关配置： 自动启用AOne客户端：开启/关闭（控制初始化配置） 是否允许用户修改：是/否 （若是则提供可修改的用户范围（组织/用户/全部）） 1. 全局开关控制 管理员可在管理后台一键设置 PC 客户端的自动启动默认状态： 开启：所有受控 PC 客户端将默认随系统启动自动运行，无需用户手动启动。 关闭：所有受控 PC 客户端默认不会随系统启动，需用户手动打开。 该开关为全局基准策略，决定了终端的初始状态。

本小节包括配置手机短信登录和配置动态令牌登录。 配置手机短信登录 手机短信是以手机短信形式发送的6位随机数的动态密码，云堡垒机系统支持通过手机短信动态密码对用户登录身份进行认证。配置手机短信认证后，登录系统需同时输入静态密码和6位手机短信动态密码，才能通过身份认证，从而确保系统身份认证的安全性 。 约束限制 系统接发短信频率限制： 1分钟内发送短信不超过1条。 1小时内发送短信不超过5条 。 1天内发送短信不超过15条。 一个登录帐号仅能绑定一个可用手机号码。 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口，系统才能够访问短信网关。 绑定手机号码 用户帐号绑定的手机号码必须有效，可正常接收短信。 方式一：用户绑定个人手机号码 1. 用户通过静态密码方式登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心基本信息管理页面。 3. 单击“编辑”，弹出个人信息编辑窗口。 4. 在“手机”列框，输入有效手机号码。 5. 单击“确定”，绑定手机号码。 方式二：管理员修改用户手机号码 1. 管理员登录云堡垒机系统。 2. 选择“用户 > 用户管理 ”，进入用户列表管理页面。 3. 选择目标用户，单击登录名，进入用户详情页面。 4. 在“基本信息”区域，单击“编辑”，弹出用户基本信息管理窗口。 5. 在“手机”列框，输入新手机号码。 6. 单击“确定”，即修改用户手机号码。

本节介绍云容器引擎的最佳实践:容器升级业务不中断。 应用场景 在 Kubernetes 集群中，常见的应用部署模式是使用 Deployment 与 LoadBalancer 类型的Service 对外提供访问。在进行应用更新或升级时，Deployment 会创建新的 Pod 并逐步替换旧的 Pod，但在这个过程中可能会出现服务中断的情况。 解决方案 为了最大程度的减少服务中断，我们可以采取一系列措施： 设置滚动更新策略：通过设置Deployment的滚动更新策略来控制更新的速度，可以指定更新期间的最大不可用副本数（maxUnavailable）和同时可用的最大副本数（maxSurge），通过合理设置这些参数，可以确保在更新过程中保持足够的可用性。 健康检查和就绪探针：在容器中配置健康检查和就绪探针，确保新Pod在完全就绪之前不会接收流量，从而减少中断。 外部负载均衡器配置：如果使用LoadBalancer类型的Service对外提供访问，可以配置服务对外部请求的负载均衡行为，主要包括以下两种： 1. Cluster：默认模式，外部流量可以转发到其它节点上的Pod，转发时会替换掉报文的源IP为上一个转发节点的地址。 2. Local：外部流量只会发给本机的Pod，转发时会保留源IP。 实践 登录云容器引擎控制台，单击集群名称进入集群 左侧菜单栏选择工作负载，在工作负载列表中，单击无状态进入Deployment列表页，单击创建新Deployment，进入Deployment配置页面。 单击显示 高级设置，升级策略处可以自定义MaxSurge与MaxUnavailable。本示例中配置最大不可用副本数为25%，同时可用的最大副本数为25%，用于控制工作负载的滚动步长。 在实例内容器选框位置，单击显示 高级设置，容器健康检查选区可以设置存活检查与就绪检查。本示例为TCP端口检查，请根据应用实际情况进行设置，配置就绪检查的启动延时探测时间为20s，用于控制工作负载滚动更新的时间间隔。 在实例内容器选框位置，单击显示 高级设置，对容器进行停止前处理，可以设置为工作负载收到删除请求后休眠30s，使其具备充足的时间来处理剩余请求，保证服务正常运行。 左侧菜单栏选择网络，在网络列表中，单击服务进入Service列表，单击创建服务，进入Service配置页面。 服务类型选择负载均衡，下方访问设置处会出现外部流量策略选框，用户可以自行选择Cluster类型流量策略或Local类型流量策略。 单击显示 高级设置，可以选择Session Affinty方式。 1. None：Kubernetes不会保持与特定客户端的会话状态，每个请求都根据负载均衡算法独立地路由到后端Pod，意味着即使是来自同一客户端的连续请求，也可能被发送到不同的后端Pod上，从而不会保持会话状态。 2. 客户端IP：Kubernetes将使用客户端的IP地址来决定将请求路由到哪个后端Pod，同一个客户端的请求始终转发至同一个后端的Pod对象。 设置完成后，进入Deployment列表页，选择某个工作负载，单击右侧重新部署，重启方式选择滚动重启，可以看到新实例被首先创建出来，然后停止旧的实例，确保始终有实例正在运行。

功能 相关服务 云服务器和文件系统归属于同一项目下，用于挂载共享路径实现数据共享。 弹性云主机（Elastic Cloud Server，ECS） VPC为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 云服务器无法访问不在同一VPC下的文件系统，使用弹性文件服务时需将文件系统和云服务器归属于同一VPC下。 虚拟私有云（Virtual Private Cloud，VPC） IAM是支撑企业级自助的云端资源管理系统，具有用户身份管理和访问控制的功能。当企业存在多用户访问弹性文件服务时，可以使用IAM新建用户，以及控制这些用户帐号对企业名下资源具有的操作权限。 统一身份认证服务（Identity and Access Management, IAM） 文件系统的加密功能依赖于密钥管理服务。您可以使用密钥管理服务提供的密钥来加密文件系统，从而提升文件系统中数据的安全性。 数据加密服务（Data Encryption Workshop, DEW）的密钥管理KMS功能 当用户开通了弹性文件服务后，无需额外安装其他插件，即可在云监控查看对应服务的性能指标，包括读带宽、写带宽和读写带宽等。 云监控服务（Cloud Eye Service） 为用户提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。通过云审计服务，您可以记录与弹性文件服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，CTS）

处理异常行为检测事件操作指导。 DSC服务根据敏感数据规则识别OBS存储桶中的数据，并对识别出的敏感数据进行监控。一旦监控到与敏感数据相关的异常事件操作，就会将监控结果展示在异常事件处理页面中，您可以根据需要处理异常事件。 前提条件 当前异常事件处理页面含有异常事件。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“数据风险检测 > 数据使用审计”。 5. 在异常事件列表中，在需要处理的异常事件所在行的“操作”列，单击“处理”。 6. 在弹出的对话框中，选择处理方式，并单击“确定”。 一共有以下2种处理方式： “确认该事件为违规事件”：若您确认该事件的识别结果确实为违规事件，请勾选该选项。一旦将异常事件设定为违规确认，DSC仍会继续对该事件进行警告提示，即该事件仍会在异常事件列表中显示。 “确认该事件为正常情况，无需进行处理”：若您确认该事件的识别结果为正常操作，无需进行处理，请勾选该选项。一旦将异常事件设定为正常确认，DSC将不再对该事件进行警告提示，即该事件将不会在异常事件列表中显示。

本小节介绍如何对创建成功的元数据采集任务进行查看并运行 前提条件 已完成数据库资产委托授权，参考云资产委托授权/停止授权进行操作。 已添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产目录 > 元数据任务”，进入“元数据采集任务”页面。 参数名称 参数说明 名称 元数据采集任务名称 启用/禁用任务 启用或禁用当前任务 子任务 子任务名称 调度策略 可选择“单次”、“每日”、“每周”或“每月” 创建人 任务的创建人ID 最后运行时间 任务的最后运行时间 5. 单击操作栏“运行”，开始运行当前创建的元数据采集任务。 6. 单击元数据采集任务左侧，可查看任务的运行详情，参数说明请参见下表。 参数名称 参数说明 开始时间 任务开始运行的时间 结束时间 任务运行结束的时间 执行方式 “单次”、“每日”、“每周”或“每月” 状态 当前任务运行的状态，任务状态分为： 已完成：已完成元数据采集任务。 运行中：正在运行元数据采集任务。 运行失败：元数据采集任务运行失败。 调度中：元数据采集任务已添加成功，待运行。 部分完成：已完成部分元数据采集任务。 运行时长 任务开始运行到结束运行用的时间

本页介绍了如何在公网通过Mongo Shell连接实例。 您可以为文档数据库服务实例绑定弹性公网IP，通过公网方式访问文档数据库服务实例。 当应用部署在天翼云弹性云服务器上，且该弹性云服务器与文档数据库服务实例处于不同区域时，或者应用部署在其他厂商的云服务器上时，建议通过弹性公网IP连接文档数据库服务实例。 本文以部署在弹性云服务器上的应用场景为例，介绍如何使用Mongo Shell通过公网方式连接实例。 连接实例的方式有SSL连接和非SSL连接两种方法，其中SSL连接进行了加密，具有更高的安全性。为了提升数据在网络传输过程中的安全性，建议采用SSL方式。 前提条件 创建并登录弹性云服务器。 实例绑定弹性公网IP，并设置安全组规则，确保可以通过弹性云服务器访问实例。 IPv6的实例需要提前绑定带宽 需要在白名单管理添加公网配置以及使用规则设置。 在弹性云服务器上，安装MongoDB客户端。 非SSL方式连接 1. 进入“TeleDB数据库控制台。 2. 在“DDS”>“实例管理”页面，选择指定的目标实例，单击实例名称，进入“基本信息”页面。 3. 在实例信息中关闭SSL。 4. 查看绑定弹性公网IP。 5. 连接弹性云服务器。 6. 在客户端工具mongo所在的目录下，连接数据库实例。 方式一：公网高可用连接（推荐） 命令格式： ./mongo > 公网高可用连接地址：您可以在“基本信息>数据库连接”处获取。

此章节为您介绍何为SSL网关服务。 网关服务管理：用于维护网关服务，提供开通网关服务，删除，配置，查询详情等功能。 网关服务器组：SSL网关服务功能的具体实现是由网关服务器实现的，而网关服务器则由网关服务器组统一管理，网关服务与网关服务器组是1对1的关系，提供服务器组的新增，编辑，删除，查看服务器列表，以及服务器的添加，修改，删除，启用/停用等功能。 网关服务证书：SSL网关服务使用网关服务证书来进行安全认证工作，使用SSL网关服务的前提是必须安装相关网关服务证书，提供新增，查看详情，启用，停用，可信证书链管理，CSR请求，证书应答，导入证书等功能。 网关服务优化策略：用于优化外部应用访问。

接口功能介绍 安全告警标记已处理 接口约束 传参规范 URI POST /vfw/v2alarmhandle 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 alarmIds 是 Array of Strings alarmIds ["110"] 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Integer 接口返回结果 1 枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body { "alarmIds": ["110"] } 响应示例 { "statusCode": "200", "error": "CFW0000", "message": "成功!", "returnObj": 1 } 状态码 请参考 状态码