本章介绍如何使用主子账号体系管理子账号权限。 概述 分布式消息服务RocketMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制（注意：一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中）。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

为什么对等连接创建完成后不能互通？ 1. 检查对等连接的两个VPC是否已创建对等连接，主要检查对等连接的VPC ID。 2. 检查对等连接下的两个VPC是否都已添加到对端的路由信息。 3. 检查对等连接下的路由信息是否正确，当两个VPC网段重叠时，要配置对端子网的路由。 4. 检查对等连接的两个VPC的所有子网网段，是否有重叠的。 5. 检查对等连接两端要互通的弹性云服务器是否开放了安全组规则，弹性云服务器的iptables或防火墙是否加了限制规则。 6. 如果添加对等连接路由时，报错“路由已存在”，请检查：VPN、对等连接等路由的目的地址是否已存在。 7. 对等连接的路由VPN路由的目的地址有重叠，此时路由有可能失效。 对等连接的配额是多少？ 通过对等连接连通同一个区域VPC时，一个租户在一个区域内的对等连接默认配额是50个。 同帐户的VPC对等连接：在一个区域内，您可以创建50个VPC对等连接。 跨账户的VPC对等连接：在一个区域内，已接受的VPC对等连接会占用双方帐户内的配额。处于待接受状的VPC对等连接占用发起方的配额，不占用接受方的配额。 您可以在配额范围内创建多个帐户下的VPC对等连接，比如帐号A和帐号B的VPC对等连接，帐号A和帐号C的VPC对等连接，帐号A和帐号D的VPC对等连接等，不受帐号数量限制。 同时拥有自定义路由和弹性公网IP的访问外网的优先级是什么？ 弹性IP的优先级高于VPC路由表中的自定义路由。示例如下： 假如VPC路由表中存在一条自定义路由，目的地址为默认路由（0.0.0.0/0），下一跳为NAT网关。 如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于VPC路由表中的自定义路由，此时会导致流量转发至EIP出公网，无法抵达NAT网关。

本文向您介绍如何修改弹性云主机(Windows)的SID。 操作场景 Windows操作系统是通过安全标识符（SID）对计算机和用户的识别。由于基于同一镜像生产的云服务器实例 SID 相同，会引起无法入域的问题。如果您需要搭建 Windows 域环境，则需要通过修改 SID 以达到入域的目的。本文档以 Windows Server 2012 操作系统云服务器为例，介绍如何使用系统自带sysprep 以及 sidchg 工具修改 SID。 注意 本说明仅适用于 Windows Server 2008 R2 、Windows Server 2012 以及Windows Server 2016及更高版本。 如果有批量修改 SID 的需求，可通过制作自定义镜像（选择 “执行 sysprep 制作镜像”）解决。 修改云主机SID可能导致数据丢失或系统损坏，建议您提前做好数据备份。 操作步骤 使用sysprep修改SID 注意 1. 使用 sysprep 修改 SID 后，系统参数很多都被重新设置，包括 IP 配置信息等，您必须手动重新设置。 2. 使用 sysprep 修改 SID 后，C:UsersAdministrator 将会被重置，系统盘部分数据将被清理，请注意做好数据备份。 1. 使用远程登录方式登录云主机。 2. 在操作系统界面，点击运行，输入cmd，按Enter，打开管理员命令行工具。 在管理员命令行工具中，执行以下命令，保存当前网络配置。 ipconfig /all 3. 以管理员身份使用 PowerShell 执行以下命令。 $unattendContent @" true Work 3 true true "@ $unattendContent OutFile FilePath C:WindowsSystem32Sysprepunattend.xml Encoding UTF8 Force C:WindowsSystem32Sysprepsysprep.exe /generalize /oobe /shutdown /unattend:C:WindowsSystem32Sysprepunattend.xml 4. 执行完成后，系统会自动关机。此时，您可在云平台制作私有镜像。 5. 启动云主机进入操作系统后执行下方命令，验证SID是否已修改，返回类似如下信息，则表示SID已完成修改。 whoami /user 6. 根据步骤2保存的网络配置信息，重新设置网卡相关信息(如IP地址、网关地址、DNS等)。

本文主要介绍搭建可自动伸缩的web服务操作步骤。 请根据您的业务架构评估业务模块，并执行以下操作实现指定业务模块的自动扩缩容： 步骤一：使用私有镜像创建ECS实例 步骤二：创建并启用伸缩组 步骤三：设置自动伸缩策略 步骤一：使用私有镜像创建ECS实例 创建指定数量的ECS实例，用于添加到伸缩组，满足业务模块的日常业务要求。 1.登录ECS管理控制台。 2.在左侧导航栏，选择 “计算” > 弹性云主机。 3.单击 “创建弹性云主机”。 4.选择“计费模式”：“包年/包月”或“按需付费”。 5.配选择区域、可用区、规格。 6.镜像选择已创建好的“私有镜像”。 7.下一步网络配置：选择规划的VPC 及子网、安全组，设置密码等。 请根据需要配置其它信息，详细信息请参见创建弹性云主机。 步骤二：创建并启用伸缩组 为需要弹性扩缩容的业务模块创建伸缩组，并为伸缩配置选择Web应用实例的自定义镜像，确保自动创建出的ECS实例符合Web应用的要求。 1.登录弹性伸缩控制台。 2.选择控制中心，选择区域。 3.创建一个弹性伸缩组。 可用区依据业务诉求选择可用区。 最小实例数设置为2。 期望实例数设置为3。 最大实例数设置为5。 网络选择规划的VPC网段。 负载均衡选择不使用。 实例移除策略设置为释放模式。 弹性IP选择释放。 请根据需要配置其它信息，详细信息请参见创建伸缩组。 4.点击下一步，创建伸缩配置。 5.创建一个伸缩配置。 名称可以自定义。 配置模板选择为使用已有主机规格为模板。 登录方式设置为密码。 密码设置为xxx。 请根据需要配置其它信息，详细信息请参见创建伸缩配置。 6.点击立即创建

本章介绍如何使用主子账号体系管理子账号权限 概述 MSE注册配置中心已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本节提供使用Flink运行wordcount作业的操作指导。 前提条件 翼MR集群中已安装Flink组件。 集群正常运行，已安装集群客户端，例如安装目录为“/user/local/flink”。以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Flink客户端 1. 安装客户端，具体请参考安装客户端章节。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/user/local/flink”。 plaintext cd /user/local/flink 4. 执行如下命令初始化环境变量。 plaintext source bigdataenv 5. 集群默认开启Kerberos认证，需要将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 同时，应配置安全认证。在“/usr/local/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 plaintext security.kerberos.login.useticketcache: true security.kerberos.login.keytab: security.kerberos.login.principal: user security.kerberossecurity.login.contexts: Client,KafkaClient 例如 plaintext security.kerberos.login.keytab: /etc/security/keytabs/hdfs.keytab security.kerberos.login.principal: hdfs 6. 运行wordcount作业。 1. 首先启动Flink集群。 plaintext /usr/local/flink/bin/startcluster.sh 2. Session模式：执行如下命令在session中提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext yarnsession.sh nm "sessionname" detachedflink run /usr/local/flink/examples/streaming/WordCount.jar 3. PerJob模式：执行如下命令以PerJob方式提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext flink run t yarnperjob detached /usr/local/flink/examples/streaming/WordCount.jar 4. Application模式：执行如下命令以Application方式提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext flink runapplication t yarnapplication/usr/local/flink/examples/streaming/WordCount.jar

入云流量页面展示当前防火墙实例防护的互联网访问云上EIP的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 查看入云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 入云流量”，进入“入云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：互联网访问内部服务器时最大流量的相关信息。 入云流量：入方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内入方向流量中指定参数的TOP 5 排行，参数说明请参见表350。单击单条数据查看流量详情，每个详情支持查看50条数据。 入云流量可视化统计参数说明： 参数名称 参数说明 TOP访问源IP 入方向流量的源IP地址。 TOP访问来源地区 入方向流量的源IP所属的地理位置， TOP访问目的IP 入方向流量的目的IP地址。 TOP开放端口 入方向流量的目的端口。 应用分布 入方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 公开IP分析：目的IP的流量信息。 访问源IP分析：源IP的流量信息。

本页介绍了在关系数据库MySQL版产品修改数据库端口的方法。 操作场景 关系数据库MySQL版服务支持修改主实例、只读实例、数据库代理实例的数据库端口，对于主备实例或者一主两备实例，修改主节点的数据库端口，该实例下备节点的数据库端口会被同步修改。 说明 仅架构升级后的只读实例支持修改端口。 存量只读实例不支持修改端口，您可以新建一个只读实例进行修改。 约束条件 端口修改中，不可进行以下操作： 绑定弹性公网IP。 删除实例。 创建备份。 操作步骤 主实例、只读实例修改方法 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在实例信息 区域，单击数据库端口 参数右侧的修改端口。 5. 在对话框中，输入新端口，单击检测。 6. 单击确定 即可修改， 您可以在实例基本信息页面，查看修改结果。 数据库代理实例修改方法 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 二级目录选择数据库代理，并选择对应需要修改端口的代理页签。 5. 找到连接地址 栏的端口信息，并点击修改端口。 6. 在对话框中，输入新端口，单击检测。 7. 单击确定 即可修改，您可以在连接地址栏端口处，查看修改结果。 注意 MySQL数据库端口设置范围有一定的限制，具体以控制台为准。 修改主实例数据库端口，对应的备节点均会被修改且重启。 修改端口的过程，需要1~5分钟左右。 修改数据库端口后，需要在安全组设置中放开新修改端口，以免影响使用。

本页介绍了文档数据库服务的产品定义。 文档数据库服务（Document Database Service，后文简称：CTDDS、DDS）是一款基于云计算平台的在线非关系型数据库服务，具有即开即用、稳定可靠、安全运行、弹性伸缩等特点。其完全兼容MongoDB协议，在容灾、备份、恢复、监控、告警等方面提供全套数据库解决方案。可降低管理维护成本，使用户能专注于应用开发和业务发展。文档数据库服务有如下基础特性： 文档数据库服务是一种非关系型数据库，它采用文档型的方式来存储数据，每个文档都是一个JSON格式的数据结构，可以包含任意数量和类型的字段。这种方式比传统的关系型数据库更加灵活，可以适应不同类型和规模的数据。 提供高可用性、高性能和可扩展性，支持从单节点部署到分布式集群的不同场景。它采用了分布式的数据存储和查询方式，可以水平扩展集群规模，提高系统的负载能力和容错性。同时，文档数据库服务还支持数据复制和故障恢复，确保数据的可靠性和持久性。 在查询方面提供了多种方式，包括基本的CRUD操作、聚合框架、文本搜索、地理空间查询等。这些功能可以满足各种不同的查询需求，使得文档数据库服务在数据分析和处理领域得到广泛应用。 文档数据库服务提供多项性能监控指标及告警功能，以及数据库性能可视化管理。 文档数据库服务支持灵活的部署架构，提供单节点、副本集（支持三节点、五节点、七节点共三种副本集类型）、分片集群三种实例类型，副本集实例类型还提供只读从节点的扩展服务，能够满足不同的业务场景。 单节点实例：单节点适用于开发、测试及其他非企业核心数据存储的场景。 副本集实例：副本集的高可用架构，提供了数据冗余与高可靠性的节点集合。副本集之间数据自动同步，保证数据的高可靠性。并支持自动容灾切换。 集群实例：分片集群架构，提供了副本集具备的数据冗余与高可靠的特性，同时拥有数据分片存储与处理能力，轻松适用于高并发场景。

本文主要为您介绍如何开启隐私屏蔽功能，以及如何配置隐私屏蔽防护规则。 网站域名接入Web应用防火墙后，您可以选择开启隐私屏蔽功能。通过配置隐私屏蔽规则，可以避免用户的密码等隐私信息出现在事件日志中。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持隐私屏蔽功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“隐私屏蔽”模块，可以选择开启/关闭防护。 7. 单击防护规则右侧的“前去配置”，进入隐私屏蔽规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置隐私屏蔽规则。 参数说明如下： 配置项 说明 域名 此处不可修改。可返回防护规则页面，在页面右上角进行域名切换。 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 网页地址 输入网站静态页面路径。 路径格式为：协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如“ 路径不支持通配符或参数，支持输入端口。 字段范围 设置屏蔽的字段。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Body：请求体参数。 URI：URI参数。 屏蔽关键词 根据字段范围设置屏蔽关键词，被屏蔽的关键词将不会出现在日志中。 默认已勾选银行卡、手机、身份证等关键词，也可以单击“自定义屏蔽关键词正则表达式”手动输入正则表达式，根据正则表达式对匹配的数据进行隐私屏蔽。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍如何使用ECI加载DeepSeek R1。 DeepSeek R1介绍 DeepSeekR1 是一款强化学习（RL）驱动的推理模型，解决了模型中的重复性和可读性问题。在 RL 之前，DeepSeekR1 引入了冷启动数据，进一步优化了推理性能。它在数学、代码和推理任务中与 OpenAIo1 表现相当，并且通过精心设计的训练方法，提升了整体效果。 使用限制 模型 推荐规格(云主机) 支持资源池 DeepSeekR1:1.5b 内存：4GB起 所有ECI已上线资源池 DeepSeekR1:7b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:8b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:14b 内存：32GB起 所有ECI已上线资源池 DeepSeekR1:32b 内存：64GB起 起临时存储空间：100GB起 所有ECI已上线资源池 DeepSeekR1:70b 内存：128GB起 临时存储空间：150GB起 所有ECI已上线资源池 ECI弹性容器实例接入DeepSeek R1最佳实践 1. 订购弹性容器实例，以最小模型1.5b为例。 2. 选择开源容器镜像(opensource/openwebuideepseekr1) 。 3. 打开容器高级设置，自定义环境变量。 其中PORT代表Open WebUI服务暴露的端口，ENABLEOPENAIAPI代表是否启用OpenAI的API，RAGEMBEDDINGENGINE代表RAG（Retrieval Augmented Generation：检索增强生成）使用的嵌入式引擎。 说明 国内环境建议按照示例配置。 4. 点击下一步，绑定弹性IP。支持自动创建或绑定已有EIP。 5. 确认订单，等待容器实例Running。 6. 检查端口连通性。 7. 安全组放开指定端口(PORT环境变量)。 8. 通过浏览器访问Open WebUI，如 EIP:PORT，点击Get started。 9. 创建管理员帐号/密码登入。 10. 进入主界面。 11. 模型验证。

本章节主要介绍资源迁移。 当您需要将一个工作空间中的资源迁移至另一个工作空间，可使用数据治理中心DataArts Studio的资源迁移功能，对资源进行导入导出。 资源迁移支持迁移的资源包含数据服务、元数据分类、元数据标签、元数据采集任务和管理中心数据连接。 前提条件 资源导入导出功能依赖于OBS服务。 系统中存在可迁移的资源，参见创建数据连接章节中的 创建数据连接表，标签管理对元数据进行分类和标签的添加，任务管理完成采集任务的创建和 发布API中发布的API。 约束条件 名称相同的采集任务不支持被重复迁移。 名称相同的分类和标签不支持被重复迁移。 导入导出的资源以json格式存储。 由于安全原因，导出连接时没有导出连接密码，需要在导入时自行输入。 导出资源 1.在DataArts Studio控制台首页，选择对应工作空间的“管理中心”模块，进入管理中心页面。详见下图选择管理中心。 2.在管理中心页面，单击“资源迁移”，进入资源迁移页面。详见下图资源迁移。 3.单击“新建导出”，配置文件的OBS存储位置和文件名称。如无OBS服务，仅需设置导出文件名即可。详见下图选择导出文件。 4.单击“下一步”，勾选导出的模块。详见下图勾选导出的模块。 5.单击“下一步”，等待导出完成，资源包导出到步骤3所设置的OBS存储位置。如无OBS服务，则导出完成后可在资源迁移的对应迁移任务行中，单击“下载”获取导出的资源包。 详见下图：导出完成 导出资源耗时1分钟仍未显示结果则表示导出失败，请重试。如果仍然无法导出，请联系客服或技术支持人员协助解决。

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低了HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由全站加速进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，全站加速服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高了TLS握手效率，提升了HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国际标准证书、国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 打开【OCSP Stapling】功能，配置完毕单击【保存】。

本小节介绍Web应用防火墙管理类常见问题。 什么情况下产品会误拦截？ CNAME记录多长时间可以生效？ CNAME解析变更提示冲突怎么办？ 修改CNAME后发现界面有拦截信息 修改CNAME后发现访问变慢 修改CNAME后发现网站无法访问 源站服务器侧响应异常怎么办？ Web应用防火墙是否可以防御自动化工具发起的攻击？ 如何知道我的域名解析服务商是谁？ 云WAF更换证书长连接会话是否会断开？ 更改云WAF配置后需要多久生效？ 云WAF高级访问控制是否支持填写网段？ 什么情况下产品会误拦截？ 网站代码不规范导致拦截 当网站代码不规范时，可能会因为触发防护策略而产生被拦截情况，云WAF启用了实时更新的恶意威胁规则集，针对Webshell上传、SQL注入、XSS等常见的 Web攻击行为特征（如iniset(、javascript:）进行检测。同时会将请求中部分直接传递的原始SQL语句、JAVASCRIPT代码判定为潜在的安全风险，进行封禁。此外，URL中含有敏感路径（如/root、/temp、/admin），以及可能导致路径遍历的特殊字符（如../、.%5c../）也会被判定为高危访问进行封禁，因此，规范的网站代码编写会大幅减少被拦截的概率。 网站接口数据传输规则导致拦截 网站存在接口的情况下，当产生调用时，因该行为非人工访问行为，可能会被云WAF判定为非浏览器或程序化访问，从而产生拦截，此情况下需要将发起接口调用的源地址加白名单解决。 用户端行为疑似人工 DDoS攻击导致拦截 用户频繁点击某一个URL，或者频繁下载同一个文件等行为，均可能会被判定为DDoS攻击，进而会产生拦截。此种情况下，须由用户确认是否正常操作后，加入 CC防护白名单。 国际流量整体拦截 云WAF支持针对IP地址的国家地理位置限制，当开启该限制后，国际流量将被阻断，只有国内流量才能通过。该策略主要用于客户的网站使用对象全部为国内的情况下，可以避免来自国际的各类攻击、渗透行为。

本章节主要介绍Redis缓存类型的主备实例。 DCS Redis缓存类型都支持主备实例，本章节主要介绍Redis缓存类型的主备实例，有四个版本选择，Redis3.0、Redis4.0、Redis5.0和Redis6.0。 主备实例特点 DCS的主备实例在单机实例基础上，增强服务高可用以及数据高可靠性。 主备实例具有以下特性： 1.持久化，确保数据高可靠 实例默认包含一个主节点和一个备节点，都默认开启数据持久化。 Redis主备实例的备节点对用户不可见，不支持客户端直接读写数据。 2.数据同步 主备节点通过增量数据同步的方式保持缓存数据一致。 说明 当网络发生异常或有节点故障时，主备实例会在故障恢复后进行一次全量同步，保持数据一致性。 3.故障后自动切换主节点，服务高可用 当主节点故障后，连接会有秒级中断、不可用，备节点在30秒内自动完成主备切换，切换完成后恢复正常访问，无需用户操作，业务平稳运行。 4.容灾策略 跨AZ部署（可用区）：DCS支持将主备实例的主备副本部署在不同的AZ内，节点间电力与网络均物理隔离。您可以将应用程序也进行跨AZ部署，从而达到数据与应用全部高可用。 Redis 3.0实例架构设计 DCS的Redis主备实例架构，如下图所示。 主备实例示意图 示意图说明： VPC 虚拟私有云。实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与主备实例处于相同VPC，并且配置安全组访问规则。 客户应用 运行在ECS上的客户应用程序，即Redis的客户端。 Redis实例兼容开源协议，可直接使用开源客户端进行连接，关于客户端连接示例，请参考连接实例。 DCS缓存实例 DCS主备实例包含了Master和Slave两个节点。默认开启数据持久化功能，同时保持节点间数据同步。 DCS实时探测实例可用性，当主节点故障后，备节点升级为主节点，恢复业务。 Redis 3.0的访问端口默认为6379，不支持定义端口。

本文主要介绍流量镜像应用场景。 网络流量检查： 当您需要进行网络入侵检测时，通过流量镜像功能可以镜像您所需的网络流量。获取到流量后，您可以使用安全软件对流量进行全面分析检查，快速查找安全漏洞，确保网络安全。 网络流量审计： 通过流量镜像功能，您可以将流量镜像到指定的平台进行审计分析，适用于金融等对安全性要求比较高的业务场景。 网络问题定位： 通过流量镜像功能，运维工程师直接查看镜像的流量来排查问题，而不用通过业务服务器抓取报文，避免了运维期间可能对业务造成的影响。

本小节介绍服务器安全卫士的控制台登录方法。 登录步骤 登录云平台后， 进入控制中心“服务器安全卫士”，点击订单对应的“控制台”按钮，可登录服务器安全卫士控制台。

本小节介绍服务器安全卫士的控制台登录方法。 登录步骤 登录云平台后， 进入控制中心“服务器安全卫士”，点击订单对应的“控制台”按钮，可登录服务器安全卫士控制台。

该任务指导用户如何在购买的数据安全中心服务即将过期时进行续费。续费后，用户可以继续使用数据安全中心服务。 服务到期前，系统会以短信或邮件的形式提醒您服务即将到期，并提醒您续费。 服务到期后，如果没有按时续费，公有云平台会提供一定的保留期。 保留期的时长由客户等级而定，详细信息请参见“保留期”。 为了防止造成不必要的损失，请您及时续费。如果未续费，您将不能使用DSC服务。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，找到并选择“数据安全中心”。 4. 在界面右上角，单击“续费”。 5. 在“续费管理”界面，根据页面提示完成续费。

本章节主要向您介绍如何创建IP地址组。 操作场景 本章节指导用户创建IP地址组，IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL中，用于简化网络架构中IP地址的配置和管理。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“IP地址组”。 4. 单击页面右侧“创建IP地址组”。 5. 根据界面提示设置IP地址组参数，IP地址组参数如下表所示。 参数 参数说明 取值样例 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 IP地址组只能关联至同区域的资源。 名称 必选参数。 此处填写IP地址组的名称。 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 您可以自定义IP地址组名称，IP地址组的唯一性由系统分配的ID号保证。 ipGroupA 最大条目数 必选参数。 此处设置IP地址组内支持添加的IP地址条目数量，系统默认显示当前支持的最大条目数，您可以自行减少最大条目数。 20 IP类型 必选参数。 此处设置IP地址组内支持的IP类型，具体如下： IPv4 IPv6 IPv4 IP地址 可选参数。 您可以在IP地址组内添加多个不同格式的IP地址，每个IP地址输入完成后，按回车键换行。 IPv4网段：IP地址/掩码，例如192.168.0.0/16。 单个IPv4地址：IP地址，例如192.168.10.10。 IPv6网段：IP地址/掩码，例如2001:db8:a583:6e::/64 单个IPv6地址：IP地址，例如2001:db8:a583:6e::5c 192.168.0.0/16 企业项目 必选参数。 创建IP地址组时，可以将IP地址组加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 描述 可选参数。 您可以根据需要在文本框中输入IP地址组的描述信息。 6. 基本信息设置完成后，单击“立即创建”。返回IP地址组列表，创建成功的IP地址组状态为“正常”。 说明 IP地址组无法独立使用，需要将IP地址组关联至对应的资源。

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

本章节将介绍如何创建MRS脱敏任务。 创建MRS脱敏任务后，可以对指定数据的敏感信息脱敏。 前提条件 已在“资产列表”中完成了云资源委托授权。 已添加MRS资产，具体请参见添加MRS资产章节。 已在“敏感数据识别”中完成了敏感数据识别，具体操作请参见创建敏感数据识别任务章节。 创建数据库脱敏 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据脱敏”，并选择“MRS脱敏”页签，进入“MRS脱敏”页面。 4. 在“MRS脱敏”页签中，单击，将“MRS脱敏”设置为，开启MRS脱敏。 5. 单击“新建任务”，进入“数据源配置”页面，如下图所示，具体参数说明如下表所示。 参数名称 参数说明 任务名称 您可以自定义脱敏任务的名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 数据源选择 选择数据来源。仅支持“MRSHIVE”。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据库实例：选择脱敏数据所在的数据库实例。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据库名：选择脱敏数据所在的数据库名称。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据表名：选择脱敏数据所在的数据表名称。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据类型：勾选后将该列数据拷贝到目标数据库。 此处还显示数据列的“目标数据类型”，“风险等级”。 6. 单击“下一步”，进入“脱敏算法配置”页面。 1. 勾选需要脱敏的数据列。 2. 选择脱敏算法。脱敏算法更多详细信息请参见配置脱敏规则章节。 7. 单击“下一步”，进入“脱敏周期”页面，配置脱敏周期。 选择并设置脱敏任务的执行周期： 手动：由用户自行启动的，且基于脱敏规则执行脱敏任务。 每小时：每几个小时执行一次脱敏任务。 示例：如果需要每2小时执行一次脱敏任务，则此处设置为：02:00 每天：每天几点几分执行一次脱敏任务。 示例：如果需要每天12:00执行一次脱敏任务，则此处设置为：12:00:00 每周：每周几的几点几分执行一次脱敏任务。 示例：如果需要每周一的12:00执行一次脱敏任务，则此处设置为：每周一12:00:00 每月：每月几日几时执行一次脱敏任务。 示例：如果需要每月12日的12:00执行一次脱敏任务，则此处设置为：每月12日12:00:00 说明 如果设置每月31日执行一次脱敏任务，在当月日期少于31日的情况下，系统自动在当月最后一日执行任务。 8. 单击“下一步”，进入“数据目标配置”页面。 1. 选择数据库实例、数据库名，并输入数据表名。 如果输入的数据表名已存在，系统将刷新目标数据库中该数据表中的数据。 如果输入的数据表名不存在，系统将自动在目标数据库中新建该名称的数据表。 注意 如果需要填写已有的数据表，请勿选择业务数据表，以免影响业务。 2. 设置数据目标列名。 系统默认将生产与数据源列相同的名称，您可以保持默认名称，也可以根据需要进行修改。 9. 单击“完成”。

本节主要介绍迁移用户 操作场景 数据库的迁移过程中，迁移用户需要进行单独处理。 MySQL数据库操作 在MySQL迁移过程中，常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。 可完整迁移的用户：可完整迁移的用户指满足目标数据库权限要求的用户，该类用户在进行迁移时不需要做任何处理，系统默认会将对应的数据库用户权限迁移至目标数据库。 需要降权处理的用户：需要降权的用户指具有不满足目标数据库权限要求的部分高权限的用户，比如具有：super、file、shutdown等高权限的用户。该类用户在进行迁移时需要进行降权处理，否则会导致迁移失败。 对于该类账号不支持的高权限，将会由DRS自动进行降权处理，您可以通过单击备注列的“查看”按钮查看具体的降权处理信息，依据该信息，可以帮助您评估降权是否对其业务程序造成相关影响。 不可迁移的用户：不可迁移的用户指由于某些原因，DRS不支持该类数据库用户的迁移。该类账号将在目标数据库中缺失，请先确保业务不受该类账号影响。同时，任务启动后，所有针对该类账号进行的权限密码操作，将会导致增量迁移失败。 您可以根据业务需求选择“迁移”或者“不迁移”这些用户，当您选择“迁移”数据库用户时。可按照如下操作步骤进行数据库用户、权限和密码的处理，此处以勾选所有可以迁移的数据库用户为例。 迁移用户模块主要由账号名称、账号权限和账号密码三部分构成。 步骤 1 一般账号名称的组成格式为：'账号名'+@+'host'，其中host表示具体允许访问源端数据库的目标库IP地址，您可以根据具体的业务场景选择是否需要修改账号的host地址，对目标库IP进行重规划。 步骤 2 账号权限一般默认不可修改，对于支持迁移的账号（可完整迁移的用户和需要降权的用户），系统也将默认支持对应用户权限的迁移。 迁移成功后，存储在目标数据库中的对应用户（需要降权的用户）是经过降权处理的用户。 步骤 3 DRS支持数据库用户密码的迁移。 数据库用户密码的迁移可通过如下两种方式来处理。 由于DRS在迁移时不会分析您的密码数据和强度，源系统密码复杂度过弱则存在安全风险，为了确保迁移过程中数据的安全性，您可以根据业务需求，选择是否需要重新设置数据库用户密码，通过设置较高的密码复杂度来持续保护数据库。 方式一：密码迁移。 您可以选择在迁移的过程中，直接迁移源数据库系统当前的密码，此时不需要通过勾选“重置密码”来设置新密码。数据库用户密码迁移至目标库后，您如果担心用户密码强度较弱，为了确保数据库的安全性，此时也可以选择在目标库端重新设置强度较高的源系统密码。 方式二：重置密码。 您可以通过勾选“重置密码”选择立即重新设置源系统密码后再继续进行用户密码迁移。 您可以选择某个指定支持迁移的用户，在“输入密码”列直接设置新密码或者选择所有支持迁移的用户，勾选右下角“统一输入密码”，批量将所选用户密码设置为相同的密码，以便快速完成迁移。使用批量方法设置的密码，待迁移成功后，可以在目标数据库端通过执行DDL语句，进行密码重置。 步骤 4 对于需要降权处理的用户和不支持迁移的用户，在备注列的查看详情中会提示具体的原因，您需要单击对应用户备注列的“查看”，确认详情后才可进行下一步操作。如果存在多个需要查看备注详情的用户，您也可以单击“确认所有备注”按钮，一键查看备注信息。 数据库用户已存在是不支持迁移到目标数据库的常见情形，此时您可以根据实际情况，决定是否需要删除目标端已存在的数据库用户，并单击“刷新”按钮，刷新当前数据库迁移用户的分类。 说明 目前仅MySQL支持迁移用户功能。 以上重新设置的密码强度必须满足目标数据库的密码复杂度要求。

通过NAT网关实现公网访问裸金属实例 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 ，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置DNAT规则】进入网关详情。 4. 在【添加DNAT规则】页面，端口类型可选择【指定端口】或【所有端口】，【弹性公网IP】选择已绑定的弹性IP，私网IP选择裸金属实例，单击【提交】完成规则设置。 5. 在【DNAT】页签可以查看已添加的规则。 6. 单击左侧【子网ACL】导航栏，选择未绑定任何规则的子网ACL实例，在其列表页点击【操作>关联子网】进入到子网ACL详情页面。 8. 在【入/出方向规则】页签，点击【添加入/出方向规则】对裸金属实例与公网之间互访的规则进行添加。 9. 登录裸金属，输入账号密码，在命令行测试公网IP+端口的联通性。 注意： 1. SNAT 规则不能和全端口的 DNAT 规则共用弹性公网IP。 2. SNAT 规则和 DNAT 规则一般面向不同的业务，如果使用相同的弹性公网IP，会面临业务互相抢占问题，请尽量避免。 3. 配置 DNAT 规则后，一定需要放通对应的子网ACL规则。 入方向规则：如裸金属实例部署了对应服务（如TCP 8080）且第4步选择了所有端口，则需要严格限制公网至裸金属实例的规则。可配置只允许外部地址访问部署了服务的端口，如只放通公网0.0.0.0/0至裸金属IP的8080端口，其余端口可全部拒绝；从而避免过多端口暴露至公网引发安全问题。 出方向规则：可放通裸金属IP至0.0.0.0/0公网地址，协议为全部的规则。

本文介绍云硬盘存储卷概述。 Serverless集群支持使用天翼云云硬盘存储卷。当前cstorcsi插件支持使用云盘动态存储卷和静态存储卷，通过将云硬盘存储卷挂载到容器指定目录下，以实现数据持久化需求。 云硬盘挂载可以实现当容器在同一可用区内进行迁移时，挂载的云硬盘也将随之迁移。 通过云硬盘挂载，可以将远端存储系统中的数据直接映射到容器中，即使容器被删除，数据卷中的数据仍然会保存在存储系统中，从而确保数据的安全和持久性。 使用限制 共享存储 如果选择非共享盘存储，则同时只能被一个节点挂载，访问模式不能为ReadWriteMany；如果选择共享盘存储，则可以被多个节点挂载，卷模式仅支持块设备（Block），不能为文件系统（Filesystem）。 卷模式与访问模式 卷模式 访问模式 Block ReadWriteOnce/ReadWriteMany/ReadOnlyMany Filesystem ReadWriteOnce 跨可用区 非共享盘不支持跨可用区挂载。当Pod重建时，会重新挂载原云盘。若由于其他限制无法调度到原可用区，则Pod将会处于Pending状态。 容量 单个数据盘最小容量10GB，最大容量为32TB，最小扩容容量为1GB，扩容步长为1GB。 挂载数量 单个节点最多允许挂载8个数据盘，如果需要更多，可以通过提工单方式将上限提到22个。 磁盘模式 当前仅支持云硬盘磁盘模式为VBD。 云盘加密 当前暂不支持使用加密盘。 与ECS挂载关系 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的通用计算增强型和内存优化型云主机，并且一台云主机只允许挂载最多3块极速型SSD云硬盘。 挂载应用类型 推荐使用有状态应用通过PVC模版方式挂载使用云盘。 无状态应用挂载使用云盘有诸多限制，比如当选择卷模式为Filesystem的存储卷时，无法为每个Pod配置独立的存储卷，所以要求Replica需要配置为1或者保证Pod均调度到同一节点上。此外，由于Deployment的升级策略，重启Pod时新的Pod可能一直无法挂载，故不推荐使用。 应用参数配置 创建工作负载时，如果配置了securityContext.fsgroup参数，kubelet在存储卷挂载完成后会执行chmod和chown操作，导致挂载时间延长。

本章节会介绍MySQL读写分离的功能 读写分离是指通过一个读写分离的连接地址实现读写请求的自动转发。创建只读实例后，您可以开通读写分离功能，通过RDS的读写分离连接地址，写请求自动访问主实例，读请求按照读权重设置自动访问各个实例。 Proxy负载均衡基于负载的自动调度策略，实现多个只读节点间的负载均衡。 备注：目前支持的局点有华北、广州4、苏州、深圳。 功能限制 注意 由于开启读写分离时，系统会自动删除已有的帐户rdsProxy，然后自动创建新的rdsProxy帐户，关闭读写分离时，系统也会自动删除已有的帐户rdsProxy。因此，建议您不要创建rdsProxy帐户，防止被系统误删除。 开启读写分离功能，需要RDS for MySQL为主备实例，并且主实例规格大于或等于4U8GB。 读写分离地址都是内网地址，只能通过内网连接。 开通读写分离时必须保证至少有一个只读实例，且主实例和只读实例必须处于同一Region。 开启读写分离功能后，删除RDS for MySQL主实例，会同步删除只读实例，并关闭读写分离功能。 开启读写分离功能后，主实例和只读实例均不允许修改数据库端口、安全组和内网地址，建议先修改完端口或内网地址后再启用读写分离。 读写分离功能不支持SSL加密。 读写分离功能不支持压缩协议。 读写分离不支持事务隔离级别READUNCOMMITTED。 如果执行了MultiStatements，当前连接的后续请求会全部路由到主节点，需断开当前连接并重新连接才能恢复读写分离。 使用读写分离的连接地址时，事务请求都会路由到主实例，不保证非事务读的一致性，业务上有读一致性需求可以封装到事务中。 使用读写分离的连接地址时， LASTINSERTID() 函数仅支持在事务中使用。 使用读写分离的连接地址时，show processlist命令的执行结果不具有一致性。 使用读写分离的连接地址时，不支持使用show errors和show warnings命令。 使用读写分离的连接地址时，不支持用户自定义变量，如SET @variable语句。 使用读写分离的连接地址时，如果存储过程(procedure)和函数(function)中依赖了用户变量，即@variable，则运行结果可能不正确。

本节介绍翼加密的脱密审计功能使用。 点击“文件加密”—“脱密审计”，管理员可查看一定时间内的文件脱密申请/审批记录，方便回溯追责。 脱密审计记录可以批量导出excel格式到本地。也可以下载脱密记录内的脱密文件，确定脱密文件内包含的具体内容。

本节介绍了弹性云主机的计费项、计费模式等内容。 计费项 天翼云ECS根据您选择ECS实例规格和使用时长计费。 计费项 计费说明 :: ECS实例 实例类型及规格（vCPU，内存），购买时长以及所购买的实例数量。 镜像 公共镜像免费。 云硬盘（必选） 默认系统盘40GB（需购买），支持按量或包周期购买方式，建议云硬盘购买周期与ECS保持一致。 公网IP（可选） 如有互联网访问需求，您需要购买公网IP 带宽（可选） 可按流量或带宽计费。 计费模式 提供包周期（包年/包月）、按需共2种计费模式供您灵活选择，使用越久越便宜。 按包周期实例计费：提供包月和包年的购买模式。 按需实例计费：即开即停，支持秒级计费。 下表列出了两种计费模式的区别。 表 计费模式 计费模式 包年/包月 按需计费 ::: 付费方式 预付费按照订单的购买周期结算。 后付费 按照云主机实际使用时长计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 关机计费 按订单的购买周期计费。云主机关机对包周期计费无影响。 ECS关机不收费：对于按需购买的普通实例（不含本地硬盘），用户关机后，ECS实例本身（vCPU，内存，镜像）不计费，其它所挂载的资源如云硬盘，或公网IP或带宽则正常计费。实例的vCPU和内存将不再保留，再次启动时会重新申请vCPU和内存，在资源不足时会有启动失败的风险，您可以通过稍后启动或更改实例规格的方式来恢复。特殊实例（包含本地硬盘，如超高IO型I3/Ir3和GPU加速型P1等），关机后仍然正常收费，同时vCPU和内存等资源也会保留。 变更规格 支持变更实例规格。 支持变更实例规格。 更改计费模式 支持变更为按需资源。但包周期资费模式到期后，按需的资费模式才会生效。包周期转按需 支持变更为包周期资源。按需转包周期 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于计算资源需求波动的场景，可以随时开通，随时删除。 包周期（包年/包月） ：天翼云提供包月和包年的购买模式。这种购买方式相对于按需付费则能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费按照订单的购买周期来进行结算。 按需计费： 这种购买方式比较灵活，可以即开即停，支持秒级计费。 实例从“开通”开启计费到“删除”结束计费，按实际购买时长（精确到秒）计费。 ECS关机不收费：对于按需购买的普通实例（不含本地硬盘），用户关机后，ECS实例本身（vCPU，内存，镜像）不计费，其它所挂载的资源如云硬盘，或公网IP或带宽则正常计费。实例的vCPU和内存将不再保留，再次启动时会重新申请vCPU和内存，在资源不足时会有启动失败的风险，您可以通过稍后启动或更改实例规格的方式来恢复。 特殊实例（包含本地硬盘，如超高IO型I3/Ir3和GPU加速型P1等），关机后仍然正常收费，同时vCPU和内存等资源也会保留。

本节介绍了使用故障类的问题描述和处理流程。 问题描述 您可以通过本节内容解决如下问题： 用户在管理控制台执行弹性云主机相关操作后出现异常，针对管理控制台提示的异常信息，应该如何处理？ 用户参见《弹性云主机接口参考》调用云主机相关的API接口时，如果返回错误码，应该如何处理？ 背景信息 用户通过管理控制台执行弹性云主机的相关操作后，弹性云主机列表页面将显示相应操作的申请状态。通过申请状态中显示的信息，用户可以获悉当前操作请求的执行状态。 如果操作请求正常执行完毕，则任务提示栏中的记录将自动清除。 如果操作请求在执行过程中出现异常，则任务提示栏将返回错误码及其说明。 处理方法 您可以通过下表中的处理建议进行下一步操作，处理相应的异常。 表 错误码处理建议 错误码 管理控制台提示信息 处理建议 Ecs.0000 请求错误，请稍后重试或联系客服。 请参见《弹性云主机接口参考》，按照要求调整请求结构体。 Ecs.0001 租户弹性云主机或云硬盘配额不足，请联系客服申请扩大云主机配额。 请联系客服申请扩大弹性云主机配额。说明您在申请云主机配额时，需评估待申请的云主机需要占用的云主机个数、CPU核数（vCPU）以及内存（RAM）容量，统一调整配额。 Ecs.0003 没有操作权限或费用不足，请联系客服检查帐户情况。 请联系客服检查帐户情况。 Ecs.0005 参数非法，请参考FAQ或联系客服。 请参见《服务器接口参考》，按照要求调整请求结构体。 Ecs.0010 私有IP地址已经被使用，请重新选择未使用的IP地址，进行云主机的创建。 重新选择未使用的IP地址，进行云主机的创建。 Ecs.0011 密码不符合规则，请调整对应的密码，使其满足密码复杂度要求，并重新执行操作请求。 调整对应设置的密码，使其满足密码复杂度要求，并重新执行操作请求。 Ecs.0012 子网IP地址不足，请清理所选子网内的空闲IP地址，或者选择新的子网进行云主机的创建。 清理所选子网内的空闲IP地址，或者选择新的子网进行云主机的创建。 Ecs.0013 弹性IP配额不足，请联系客服申请扩大弹性IP配额。 联系客服申请扩大EIP配额。 Ecs.0015 该类型磁盘不适用于该类型云主机。 重新选择合适类型的磁盘来执行挂载云主机操作。 Ecs.0100 云主机状态不符合要求，请将云主机变更至指定的状态后重试操作。 将云主机变更至指定的状态后重试操作。 Ecs.0103 云磁盘状态不可用 将云主机变更至指定的状态后重试操作。如果云磁盘状态故障，需要联系客服进行排障处理。 Ecs.0104 云主机可挂载云硬盘槽位不足 您需要调整该云主机挂载的云硬盘，以保证新云硬盘可以挂载到指定弹性云主机上 Ecs.0105 云主机无系统盘 您需要将系统盘挂载回云主机后，再次执行相应操作。 Ecs.0107 云主机可挂载共享云硬盘数量超过了可挂载的规格数量 您需要调整该云主机挂载的云硬盘，以保证新云硬盘可以挂载到指定云主机上。 其他异常编码 其他异常提示 您可以选择重新执行操作请求，或者记录当前异常返回的错误码信息，联系客服进行处理。

3、创建快照（VolumeSnapshot） 进入主菜单“存储”——“快照与备份”，选择快照，单击左上角“创建快照”； 在创建对话框，配置快照的相关参数。配置项说明如下： 参数配置完成后，点击“确定”。创建成功后，可以在快照列表查看。 配置项 说明 名称 VolumeSnapshot 名称。 存储类型 这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 快照类 选择上一步创建的VolumeSnapshotClass 。 存储卷声明 选择要创建快照的PVC，仅能选择云硬盘类型PVC。 注意 只有当快照状态变为“就绪”时，才表示快照真正创建完成。 通过控制台使用云盘快照 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 “存储”——“快照与备份”，进入快照列表页，选择指定快照，点击操作“创建存储卷快照PVC”。 在创建对话框，配置PVC的相关参数。配置项说明如下： 配置项 说明 名称 PVC的名称。 存储声明类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 StorageClass名称 选择上一步创建的StorageClass。 容量 最小容量为快照大小。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。 说明：如果使用共享盘存储，卷模式仅支持块设备（Block）。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载 多级只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载 说明：如果使用非共享盘存储，访问模式不能为ReadWriteMany或者ReadOnlyMany。仅卷模式为块设备（Block）时，才可以使用共享盘，访问模式才可以为ReadWriteMany或者ReadOnlyMany。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷声明列表查看。 进入持久卷声明列表页，等待PVC状态为“已绑定” 。此时，进入主菜单“存储”——“持久卷“，可以看到对应的PV创建 。 如果PVC一直未绑定，可以查看进入对应PVC详情页查看事件，或者查看cstorcsi日志进行定位。 注意 当源盘PVC的卷模式与基于该源盘快照创建的新PVC的卷模式不一致时，可能导致数据层面的异常。 例如：当源盘PVC是Block的卷模式，而源盘快照创建的新PVC的卷模式为Filesystem，则新的PVC在pod使用时会格式化成用户想要的文件系统，由于源盘中的数据为非文件系统格式，外部组件无法识别其内容，可能将其视为无效数据并进行覆盖，从而导致原有数据丢失。 因此，用户需确保源盘PVC的卷模式与基于其快照创建的新PVC的卷模式保持一致。 此外，若源盘PVC使用的文件系统为非常规类型，或文件系统本身存在兼容性损耗，可能导致CSI调用Linux命令时无法正确识别该文件系统，进而触发文件系统重建，造成数据丢失风险。

管理衍生指标 进入数据架构的“技术指标 > 衍生指标”页面，您可以对衍生指标进行编辑、发布、下线、查看发布历史或删除操作。 1. 在数据架构控制台，单击左侧导航树中的“技术指标”，选择“衍生指标”页签，进入衍生指标页面。 2. 您可以根据实际需要选择如下操作。 当需要... 则... 新建 执行新建衍生指标并发布。 编辑 执行3。 发布 执行4。 查看发布历史 执行5。 预览SQL 执行6。 下线 执行7。 查看汇总表 执行8。 删除 执行9。 导入 执行10。 导出 执行11。 3. 编辑 a. 在需要编辑的衍生指标右侧，单击“编辑”，进入编辑衍生指标页面。 b. 根据实际需要编辑相关内容。 c. 在页面下方，单击“试运行”按钮，然后在弹出框中单击“试运行”按钮，测试所设置的衍生指标是否可以正常运行。 如果试运行失败，请根据错误提示定位错误原因，将配置修改正确后，再单击“试运行”按钮进行重试。 d. 如果试运行成功，单击“发布”，提交发布审核。 4. 发布 a. 在需要发布的衍生指标右侧，单击“发布”，弹出“提交发布”对话框。 b. 在下拉菜单中选择审核人。 c. 单击“确认提交”。 5. 查看发布历史 a. 在列表中，找到需要查看的衍生指标，在右侧单击“更多 > 发布历史”，将显示“发布历史”页面。 b. 在“发布历史”中，您可以查看衍生指标的发布历史和版本对比信息。 6. 预览SQL a. 在列表中，找到所需要的衍生指标，在右侧单击“更多 > 预览SQL”，弹出“预览SQL”对话框。 b. 在“预览SQL”中，您可以查看SQL语句，也可以复制SQL。 7. 下线 说明 下线衍生指标的前提是无依赖引用，即无复合指标引用。 a. 在需要下线的衍生指标右侧，单击“更多 > 下线”，系统弹出“提交下线”对话框。 b. 在下拉菜单中选择审核人。 c. 单击“确认提交”。 8. 查看汇总表 当前仅支持查看自动汇聚的汇总表详情。在需要查看汇总表的指标右侧，选择“更多 > 查看汇总表”，跳转到汇总表详情页面。 9. 删除 说明 删除衍生指标的前提是无依赖引用，即无复合指标引用。 a. 在衍生指标列表中，勾选需要删除的衍生指标，单击页面上方“更多 > 删除”，系统弹出“删除”对话框。 b. 单击“是”。 10. 导入 可通过导入的方式将衍生指标批量快速的导入到系统中。 a. 在汇总表上方，单击“更多>导入”，进入“导入配置”页签。 b. 下载衍生指标导入模板，编辑完成后保存至本地。 c. 选择是否更新已有数据。 说明 如果系统中已有的编码和模板中的编码相同，系统则认为是数据重复。 不更新：当数据重复时，不会替换系统中原有的数据。 更新：当数据重复时 系统中的原有数据为草稿状态，则会覆盖生成新的草稿数据。 系统中的原有数据为发布状态，则会生成下展数据。 d. 单击“添加文件”，选择编辑完成的导入模板。 e. 单击“上传文件”，上传完成后，自动跳转到“上次导入”页签，查看已导入的数据。 f. 单击“关闭”。 11. 导出 可通过导出的方式将衍生指标导出到本地。 a. 在衍生指标列表选中待导出的指标。 b. 在列表上方，单击“更多>导出”，即可将系统中的衍生指标导出到本地。 说明 在左侧主题树中选中某个主题，可以导出该主题下的所有衍生指标； 当该空间下不超过500条衍生指标数据时可以全部导出。