本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本节主要介绍网络集群类问题 启用服务网格后，状态一直为安装中 问题描述 为CCE集群启用服务网格（即创建网格）后，网格状态一直显示为“安装中”，鼠标放上去提示“正在启用istio服务网格：开通用户安全组规则成功”。 问题定位 登录CCE控制台，在“资源管理 > 命名空间”中查看对应集群的istiosystem命名空间是否存在。 原因分析 存在istiosystem命名空间残留。 解决方法 删除已有的istiosystem命名空间后即可继续安装。 卸载服务网格后，状态一直为未就绪 问题描述 在ASM控制台卸载服务网格后，网格状态一直显示为“未就绪”。 问题定位 步骤 1 登录CCE控制台，在左侧导航栏选择“模板市场 > 示例模板”。 步骤 2 单击“模板实例”页签，在搜索框中选择对应集群，查看模板实例和卸载失败最新事件。 可以看到istiomaster模板实例的执行状态为“卸载失败”，并且最新事件提示如下信息： deletion failed with 1 error(s): clusterroles:rbac.authorization.k8s.io "istiocleanupsecretsistiosystem" already exists 原因分析 helm对中断状态支持不好，客户异常操作会导致istio的helm模板卡在中间状态，使卸载过程中留下残留资源，从而导致卸载失败。 解决方法 步骤 1 通过kubectl连接到CCE集群。 步骤 2 执行以下命令，清理istio相关资源。 kubectl delete ServiceAccount n istiosystem kubectl get ServiceAccount n istiosystem grep istio awk '{print $1}' kubectl delete ClusterRole n istiosystem kubectl get ClusterRole n istiosystem grep istio awk '{print $1}' kubectl delete ClusterRoleBinding n istiosystem kubectl get ClusterRoleBinding n istiosystem grep istio awk '{print $1}' kubectl delete job n istiosystem kubectl get job n istiosystem grep istio awk '{print $1}' kubectl delete crd n istiosystem kubectl get crd n istiosystem grep istio awk '{print $1}' kubectl delete mutatingwebhookconfigurations n istiosystem kubectl get mutatingwebhookconfigurations n istiosystem grep istio awk '{print $1}' 步骤 3 登录ASM控制台，重新执行卸载操作。

本页介绍RDSPostgreSQL如何创建白名单。 创建RDSPostgreSQL实例后，默认允许同VPC内的IP可访问实例。您可以通过创建白名单管理，进行设置可访问该实例的IP范围。 操作场景 白名单指允许访问RDSPostgreSQL实例的ip列表。设置白名单可以让实例得到高级别的访问安全保护。 注意 设置白名单不会影响实例的正常运行。 默认的白名单分组（default）不能删除，只能清空。 开通时如选择“将VPC加入白名单”为是，则默认的白名单分组包含实例VPC网段表示该网段下的IP均可访问实例；如选择为否，则只包含127.0.0.1;0:0:0:0:0:0:0:1，表示不允许任何ip访问该实例。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 操作方式 1. 登录天翼云官网。 2. 点击右上角的控制中心，跳转到控制中心页面。 3. 点击控制中心，进入控制中心后，选择目标资源池。 4. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 5. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 6. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 7. 点击白名单管理，进入到白名单管理页面>点击“创建白名单组”>在弹出的窗口填入分组名称和组内白名单。 1. 创建的白名单分组名称在同一个实例上具有唯一性。 2. 同一个实例，不同分组的白名单ip列表可以重复，所有分组的ip的并集起效果。 3. 若白名单设置了两个ip，其中一个ip作用范围包含了另一个ip，则以范围大的ip为准。例如：0.0.0.0/0;192.168.10.2，则以0.0.0.0/0的效果为准。 8. 点击“确定”，保存白名单，点击“取消”，放弃创建白名单。

本节介绍如何查看WAF独享型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF独享型实例。 查看独享型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 5. 查看独享型实例列表。 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 实例ID 实例的ID。 运行状态 当前实例的运行状态，包括正常、异常、离线。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 节点个数 当前实例的节点个数。 资源池名称 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 实例IPv4 单机版：显示单机节点本身内网IPV4地址。 集群版：显示集群VIP的IPV4地址。 实例IPv6 单机版：显示单机节点本身内网IPV6地址。 集群版：显示集群VIP的IPV6地址。 公网代理IPv4 绑定在实例上的IPV4公网地址，用于互联网IPV4通信，需要手动绑定用户的IPV4地址。 公网代理IPv6 绑定在实例上的IPV6公网地址，用于互联网IPV6通信，需要手动绑定用户的IPV6地址。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 域名个数 当前实例支持防护的防护对象个数。 业务带宽 当前实例支持防护的业务带宽。 产品版本 实例的规格，单机版或集群版。 6. 单击目标实例操作列的“查看产品详情”。 7. 在产品信息页面，可以查看实例版本、实例名称、实例ID、到期时间、实例规格等信息，并支持对实例进行管理。

本节主要介绍Agent管理 操作场景 使用对象存储迁移前需在一台或多台服务器上安装Agent用于迁移其他云服务商对象存储数据到天翼云。 约束限制 安装Agent的服务器必须为Linux系统，操作系统为X64，最低规格为4U8G。且必须与安装RDA的服务器处于同一个VPC、同一个安全组。（保证安装Agent的服务器能够访问安装RDA的服务器的5679端口） 安装Agent的服务器必须处于支持的目的端Endpoint中。 安装Agent的服务器必须加载弹性IP地址（用于访问源端） 操作步骤 步骤 1 在浏览器中输入 步骤 2 单击左侧导航栏的“配置管理”，在“OMS配置管理”页签，单击“Agent管理 > 添加节点”。 步骤 3 在弹出的“添加节点”页面，按照界面提示，配置参数。配置完成后，单击“确认”。 参数 说明 : 名称 用户自定义。 用户名 准备安装Agent服务器的SSH登录用户名。说明若使用云专线，请使用root账号。 密码 准备安装Agent服务器的SSH登录用户的密码。 IP地址 准备安装Agent服务器的私有IP地址。 端口 22 步骤 4 配置完成后，单击“确认”。 添加成功后，系统自动进行程序安装。状态列显示当前安装状态，如下图所示： 初始化 SSH检查中 下载中 上传中 安装中 安装成功离线 安装成功在线 程序安装状态说明 状态 说明 : 初始化 系统初始化 SSH检查中 SSH校验 下载中 下载Agent安装包 上传中 上传Agent安装包 安装中 安装部署Agent服务 安装成功 Agent安装成功离线 Agent安装成功在线

本文主要介绍 创建用户并授权使用DMS for Kafka。 如果您需要对您所拥有的DMS for Kafka服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DMS for Kafka资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DMS for Kafka资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DMS for Kafka服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的DMS for Kafka系统策略，并结合实际需求进行选择，DMS for Kafka支持的系统策略及策略间的对比，请参见：DMS for Kafka权限管理。 示例流程 图 给用户授权DMS for Kafka权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予DMS for Kafka的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入 1 中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务Kafka，进入Kafka实例主界面，单击右上角“购买Kafka实例”，尝试购买Kafka实例，如果无法购买Kafka实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

本章节主要介绍配置定时备份告警与审计信息。 操作场景 管理员可通过修改配置文件，实现定时备份FusionInsight Manager的告警信息、Manager审计信息以及所有服务的审计信息到指定的存储位置。 备份支持使用SFTP协议或FTP协议，FTP协议未加密数据可能存在安全风险，建议使用SFTP。 操作步骤 1.以omm用户登录主管理节点。 说明 用户只需在主管理节点执行此操作，不支持在备管理节点上配置定时备份。 2.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/sbin 3.执行以下命令，配置定时备份Manager告警、审计或者服务审计信息。 ./setNorthBound.sh t 信息类型 i 远程服务器IP p 服务器使用的SFTP或FTP 端口 u 用户名 d 保存信息的路径 c 时间间隔（分钟） m 每个保存文件的信息记录数 s 备份启停开关 e 指定的协议 例如： ./setNorthBound.sh t alarm i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改告警信息备份配置文件“alarmcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t audit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改审计信息备份配置文件“auditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t serviceaudit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改服务审计信息备份配置文件“serviceauditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 4.根据界面提示输入用户的密码。密码将加密保存在配置文件中。 Please input sftp/ftp server password: 5.显示如下结果，说明修改成功。备管理节点将自动同步配置文件。 execute command syncfile successfully. Config Succeed.

本章节主要介绍通过专线访问。 MRS为您提供云专线（Direct Connect）方式访问MRS集群。云专线用于搭建用户本地数据中心与线上云VPC之间高速、低时延、稳定安全的专属连接通道，充分利用线上云服务优势的同时，继续使用现有的IT设施，实现灵活一体，可伸缩的混合云计算环境。 前提条件 云专线服务可用，并已打通本地数据中心到线上VPC的连接通道。 通过专线访问MRS集群 1. 登录MRS管理控制台。 2. 单击集群名称进入集群详情页。 3. 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的“前往Manager”。 4. “访问方式”选择“专线访问”，并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”。 浮动IP为MRS为您访问MRS Manager页面自动分配的IP地址，使用专线访问MRS Manager之前您确保云专线服务已打通本地数据中心到线上VPC的连接通道。 5. 单击“确定”，进入MRS Manager登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 切换MRS Manager访问方式 为了便于用户操作，浏览器缓存会记录用户所选择的访问Manager的方式，如需切换访问Manager方式，参考如下步骤操作。 1. 登录MRS管理控制台。 2. 单击集群名称进入集群详情页。 3. 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的按钮。 4. 在弹出页面重新选择“访问方式”即可。 若由“EIP访问”切换为“专线访问”，请在专线网路互通的前提下，在弹出页面的“访问方式”选择“专线访问”并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”后单击“确定”。 若由“专线访问”切换为“EIP访问”，在弹出页面的“访问方式”选择“EIP访问”并参考访问MRS Manager（MRS 2.x及之前版本）中的通过弹性公网IP访问Manager配置EIP。若集群已配置过公网IP，直接单击“确定”以EIP方式访问Manager。

本小节介绍渗透测试价格，分为小型、中型和大型三类，客户可根据自身系统规模进行选择。 订购须知 1、渗透测试以电子报告形式提供一次性服务； 2、功能点指应用系统中可增删改查业务数据的入口或流程，针对多个页面有新增、上传等功能点且api接口、参数都相同，可计为一个功能点； 3、本产品一经订购立即生效，除不可抗力外不支持退订。渗透测试服务有效期为一个自然年，即从购买之日起一年内都可以联系我们进行实施。强烈建议您购买后尽快实施，解决安全问题宜早不宜迟，到期后渗透测试服务不可再使用。 资费说明 渗透测试资费标准价格如下： 描述 规格 单价 小型 小型系统渗透测试：测试对象功能点1~10个; 10,000元/次 中型 中型系统渗透测试：测试对象功能点1160个； 40,000元/次 大型 大型系统渗透测试：测试对象功能点61120个； 70,000元/次 例如： 展示类系统，如门户网站包含展示页面5个、反馈页面1个，页面中无其他增删改查功能点，功能点数量为6个≤10个，为1个小型系统。 交互查询类，如政务网站、订票、业务办理等系统，包含5个1级功能入口>共10个2级功能页面，每个页面包含增删改查4个功能点，则该系统功能点数量累计为40≤60个，为1个中型系统，可下单1个中型系统或者4个小型系统。 交易管理类，以交易、复杂管理系统为主，如OA、电商、网银、app、管理后台等系统，包含10个1级功能入口>共28个2/3级功能页面，每个页面包含增删改查下载上传6个功能点，则该系统功能点数量累计为168≥120个，等同于1个大型（120以内）+1个中型（60以内）系统，可下单1个大型系统和1个中型系统。 注意 具体以各版本的订购页面和控制台展示为准。

本章节介绍数据库安全续费。 数据库安全续费 续费说明 包年/包月数据库安全服务到期后会影响数据库安全服务正常运行。如果您想继续使用，需要在指定的时间内为数据库安全审计实例续费，否则实例会自动释放，数据丢失且不可恢复。 续费操作仅适用于包年/包月数据库安全服务。 数据库安全服务在到期前续费成功，所有资源得以保留，且实例的运行不受影响。 续费方式 续费分为手动续费和自动续费两种方式， 1. 一是手动续费，包年/包月数据库安全服务从购买到被自动删除之前，您可以随时在DBSS控制台为数据库安全服务续费，以延长数据库安全服务的使用时间。 2. 二是自动续费，开通自动续费后，数据库安全服务会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。

本章节介绍怎样开通、是否支持升级或降级等。 数据安全中心支持哪些资源池购买？ 数据安全中心目前支持广州4、苏州、深圳资源池，其他资源池陆续上线中。 怎样开通数据安全中心？ 数据安全中心的开通首先需要注册天翼云官网的账号，通过产品栏目找到数据安全中心，选择相应的版本和扩展包，点击开通，具体开通方法见购买DSC服务。 开通后，访问数据安全中心控制台，在控制台上开始使用天翼云的数据安全中心相关功能。 数据安全中心可以升级或降低版本吗？ 可以升级版本，但不支持降低版本。购买了数据安全中心服务后，您可以从较低版本（标准版）的DSC升级到更高版本（专业版），也可以根据需求增加数据库扩展包和OBS扩展包的数量。具体升级办法见规格与版本升级。但数据安全中心不支持降低购买版本的规格。如果您需要降低购买的DSC规格，可以先退订当前的DSC，再重新购买较低版本的DSC。 数据安全中心可以跨区域使用吗？ 数据安全中心不支持跨区域使用，即在本Region下购买的数据安全中心版本，只能在该Region下使用。 点击购买为何无法支付，且显示“账户受限”？ 此问题为账户余额不足导致，需要您先将购买账户的余额充值，账户余额大于100元即可购买，充值步骤详见账户充值。 该问题正在排期优化中，敬请期待。

数据库安全审计可以跨区域使用吗？ 数据库安全审计不支持跨区域（Region）使用。待审计的数据库和购买的数据库安全审计实例必须在同一区域，您才能使用数据库安全审计功能。 数据库安全审计可以跨可用区使用吗？ 待审计的数据库和购买的数据库安全审计实例必须在同一区域，您才能使用数据库安全审计。如果待审计的数据库和购买的数据库安全审计实例在同一区域，但不在同一可用区，则您可以使用数据库安全审计。 例如，您在某个区域的“可用区1”购买了数据库安全审计，如图所示，待审计的数据库部署在该区域的“可用区2”或“可用区3”，则您可以使用购买的数据库安全审计。 在“可用区1”购买数据库安全审计 数据库安全审计（旁路模式）是否会影响业务？ 不影响。数据库安全审计是数据库安全服务提供的旁路模式数据库审计功能，只对数据库进行审计，不影响用户业务，与本地审计工具不冲突。 数据库安全审计可以应用于哪些场景？ 数据库安全审计采用数据库旁路部署方式，在不影响用户业务的提前下，可以对管理控制台上的RDS、ECS/BMS自建的数据库进行灵活的审计。 基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。 提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。

应用 功能 功能说明 消息 1v1发送消息 支持发送文字、表情包、图片、文件等多种类型消息。 消息 群组创建与管理 支持创建群组，及群管理：群成员管理、解散、转让群组。 消息 消息状态展示 支持已读、未读状态展示。 消息 消息管理 支持消息撤回、引用回复、转发等高级消息操作。 消息 通知号 支持与端内各应用互联，消息直达通道，重要提醒不错过。 线上会议 会议创建与加入 支持创建/加入临时及预定会议，预定非周期/周期会议。 线上会议 会前管理 支持修改、删除、设定入会范围、设定会议密码、会议水印等多种管理。 线上会议 会中管理 支持会议锁定、参会人权限管控等多种管理。 线上会议 会议录制 支持屏幕共享、一键开启智能会议纪要。 线上会议 其他 美颜、虚拟背景、音频降噪等。 线上会议 直播 支持，如想开通请联系客户经理。 日程 日程创建与管理 支持快速创建日程事项，设置时间、地点、参与人等基本信息。 日程 日程提醒 日程开始前自动提醒。 待办 待办创建与管理 支持快速添加待办事项，记录工作任务和个人事务。 待办 待办提醒 设置自定义截止时间提醒。 空间 文件管理 支持文件新建、上传、下载、分享、版本回溯等功能。 空间 应用空间 用户存储客户端其他应用转存的文件。 空间 企业文件 用于管理企业级文件，支持设置文件的可见范围、设置文件夹管理员、配置颗粒度权限。 空间 在线文档 支持在线文档多人实时编辑，无缝多端同步。 空间 文件资产安全 支持落地即加密、外发即拦截。 知识库 知识创建 支持直接上传并管理Word、PDF、图片、音视频等各类文件。 知识库 知识问答 用于生成更精准的用户查询。 知识库 知识库管理 支持配置不同权限的知识库成员。 智能助手 自然语言交互 支持通过自然语言创建会议、日程和待办。 智能助手 智能日程管理 自动安排协调多方会议时间。 智能问答 智能问答 支持对问题进行AI检索生成回答。

本章介绍如何使用主子账号体系管理子账号权限 概述 MSE注册配置中心已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本文为您介绍如何使用ECI加载DeepSeek R1。 DeepSeek R1介绍 DeepSeekR1 是一款强化学习（RL）驱动的推理模型，解决了模型中的重复性和可读性问题。在 RL 之前，DeepSeekR1 引入了冷启动数据，进一步优化了推理性能。它在数学、代码和推理任务中与 OpenAIo1 表现相当，并且通过精心设计的训练方法，提升了整体效果。 使用限制 模型 推荐规格(云主机) 支持资源池 DeepSeekR1:1.5b 内存：4GB起 所有ECI已上线资源池 DeepSeekR1:7b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:8b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:14b 内存：32GB起 所有ECI已上线资源池 DeepSeekR1:32b 内存：64GB起 起临时存储空间：100GB起 所有ECI已上线资源池 DeepSeekR1:70b 内存：128GB起 临时存储空间：150GB起 所有ECI已上线资源池 ECI弹性容器实例接入DeepSeek R1最佳实践 1. 订购弹性容器实例，以最小模型1.5b为例。 2. 选择开源容器镜像(opensource/openwebuideepseekr1) 。 3. 打开容器高级设置，自定义环境变量。 其中PORT代表Open WebUI服务暴露的端口，ENABLEOPENAIAPI代表是否启用OpenAI的API，RAGEMBEDDINGENGINE代表RAG（Retrieval Augmented Generation：检索增强生成）使用的嵌入式引擎。 说明 国内环境建议按照示例配置。 4. 点击下一步，绑定弹性IP。支持自动创建或绑定已有EIP。 5. 确认订单，等待容器实例Running。 6. 检查端口连通性。 7. 安全组放开指定端口(PORT环境变量)。 8. 通过浏览器访问Open WebUI，如 EIP:PORT，点击Get started。 9. 创建管理员帐号/密码登入。 10. 进入主界面。 11. 模型验证。

本节提供使用Flink运行wordcount作业的操作指导。 前提条件 翼MR集群中已安装Flink组件。 集群正常运行，已安装集群客户端，例如安装目录为“/user/local/flink”。以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Flink客户端 1. 安装客户端，具体请参考安装客户端章节。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/user/local/flink”。 plaintext cd /user/local/flink 4. 执行如下命令初始化环境变量。 plaintext source bigdataenv 5. 集群默认开启Kerberos认证，需要将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 同时，应配置安全认证。在“/usr/local/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 plaintext security.kerberos.login.useticketcache: true security.kerberos.login.keytab: security.kerberos.login.principal: user security.kerberossecurity.login.contexts: Client,KafkaClient 例如 plaintext security.kerberos.login.keytab: /etc/security/keytabs/hdfs.keytab security.kerberos.login.principal: hdfs 6. 运行wordcount作业。 1. 首先启动Flink集群。 plaintext /usr/local/flink/bin/startcluster.sh 2. Session模式：执行如下命令在session中提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext yarnsession.sh nm "sessionname" detachedflink run /usr/local/flink/examples/streaming/WordCount.jar 3. PerJob模式：执行如下命令以PerJob方式提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext flink run t yarnperjob detached /usr/local/flink/examples/streaming/WordCount.jar 4. Application模式：执行如下命令以Application方式提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext flink runapplication t yarnapplication/usr/local/flink/examples/streaming/WordCount.jar

本章介绍如何使用主子账号体系管理子账号权限。 概述 分布式消息服务RocketMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制（注意：一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中）。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

为什么对等连接创建完成后不能互通？ 1. 检查对等连接的两个VPC是否已创建对等连接，主要检查对等连接的VPC ID。 2. 检查对等连接下的两个VPC是否都已添加到对端的路由信息。 3. 检查对等连接下的路由信息是否正确，当两个VPC网段重叠时，要配置对端子网的路由。 4. 检查对等连接的两个VPC的所有子网网段，是否有重叠的。 5. 检查对等连接两端要互通的弹性云服务器是否开放了安全组规则，弹性云服务器的iptables或防火墙是否加了限制规则。 6. 如果添加对等连接路由时，报错“路由已存在”，请检查：VPN、对等连接等路由的目的地址是否已存在。 7. 对等连接的路由VPN路由的目的地址有重叠，此时路由有可能失效。 对等连接的配额是多少？ 通过对等连接连通同一个区域VPC时，一个租户在一个区域内的对等连接默认配额是50个。 同帐户的VPC对等连接：在一个区域内，您可以创建50个VPC对等连接。 跨账户的VPC对等连接：在一个区域内，已接受的VPC对等连接会占用双方帐户内的配额。处于待接受状的VPC对等连接占用发起方的配额，不占用接受方的配额。 您可以在配额范围内创建多个帐户下的VPC对等连接，比如帐号A和帐号B的VPC对等连接，帐号A和帐号C的VPC对等连接，帐号A和帐号D的VPC对等连接等，不受帐号数量限制。 同时拥有自定义路由和弹性公网IP的访问外网的优先级是什么？ 弹性IP的优先级高于VPC路由表中的自定义路由。示例如下： 假如VPC路由表中存在一条自定义路由，目的地址为默认路由（0.0.0.0/0），下一跳为NAT网关。 如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于VPC路由表中的自定义路由，此时会导致流量转发至EIP出公网，无法抵达NAT网关。

本文主要介绍搭建可自动伸缩的web服务操作步骤。 请根据您的业务架构评估业务模块，并执行以下操作实现指定业务模块的自动扩缩容： 步骤一：使用私有镜像创建ECS实例 步骤二：创建并启用伸缩组 步骤三：设置自动伸缩策略 步骤一：使用私有镜像创建ECS实例 创建指定数量的ECS实例，用于添加到伸缩组，满足业务模块的日常业务要求。 1.登录ECS管理控制台。 2.在左侧导航栏，选择 “计算” > 弹性云主机。 3.单击 “创建弹性云主机”。 4.选择“计费模式”：“包年/包月”或“按需付费”。 5.配选择区域、可用区、规格。 6.镜像选择已创建好的“私有镜像”。 7.下一步网络配置：选择规划的VPC 及子网、安全组，设置密码等。 请根据需要配置其它信息，详细信息请参见创建弹性云主机。 步骤二：创建并启用伸缩组 为需要弹性扩缩容的业务模块创建伸缩组，并为伸缩配置选择Web应用实例的自定义镜像，确保自动创建出的ECS实例符合Web应用的要求。 1.登录弹性伸缩控制台。 2.选择控制中心，选择区域。 3.创建一个弹性伸缩组。 可用区依据业务诉求选择可用区。 最小实例数设置为2。 期望实例数设置为3。 最大实例数设置为5。 网络选择规划的VPC网段。 负载均衡选择不使用。 实例移除策略设置为释放模式。 弹性IP选择释放。 请根据需要配置其它信息，详细信息请参见创建伸缩组。 4.点击下一步，创建伸缩配置。 5.创建一个伸缩配置。 名称可以自定义。 配置模板选择为使用已有主机规格为模板。 登录方式设置为密码。 密码设置为xxx。 请根据需要配置其它信息，详细信息请参见创建伸缩配置。 6.点击立即创建

入云流量页面展示当前防火墙实例防护的互联网访问云上EIP的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 查看入云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 入云流量”，进入“入云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：互联网访问内部服务器时最大流量的相关信息。 入云流量：入方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内入方向流量中指定参数的TOP 5 排行，参数说明请参见表350。单击单条数据查看流量详情，每个详情支持查看50条数据。 入云流量可视化统计参数说明： 参数名称 参数说明 TOP访问源IP 入方向流量的源IP地址。 TOP访问来源地区 入方向流量的源IP所属的地理位置， TOP访问目的IP 入方向流量的目的IP地址。 TOP开放端口 入方向流量的目的端口。 应用分布 入方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 公开IP分析：目的IP的流量信息。 访问源IP分析：源IP的流量信息。

本页介绍了在关系数据库MySQL版产品修改数据库端口的方法。 操作场景 关系数据库MySQL版服务支持修改主实例、只读实例、数据库代理实例的数据库端口，对于主备实例或者一主两备实例，修改主节点的数据库端口，该实例下备节点的数据库端口会被同步修改。 说明 仅架构升级后的只读实例支持修改端口。 存量只读实例不支持修改端口，您可以新建一个只读实例进行修改。 约束条件 端口修改中，不可进行以下操作： 绑定弹性公网IP。 删除实例。 创建备份。 操作步骤 主实例、只读实例修改方法 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在实例信息 区域，单击数据库端口 参数右侧的修改端口。 5. 在对话框中，输入新端口，单击检测。 6. 单击确定 即可修改， 您可以在实例基本信息页面，查看修改结果。 数据库代理实例修改方法 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 二级目录选择数据库代理，并选择对应需要修改端口的代理页签。 5. 找到连接地址 栏的端口信息，并点击修改端口。 6. 在对话框中，输入新端口，单击检测。 7. 单击确定 即可修改，您可以在连接地址栏端口处，查看修改结果。 注意 MySQL数据库端口设置范围有一定的限制，具体以控制台为准。 修改主实例数据库端口，对应的备节点均会被修改且重启。 修改端口的过程，需要1~5分钟左右。 修改数据库端口后，需要在安全组设置中放开新修改端口，以免影响使用。

本页介绍了文档数据库服务的产品定义。 文档数据库服务（Document Database Service，后文简称：CTDDS、DDS）是一款基于云计算平台的在线非关系型数据库服务，具有即开即用、稳定可靠、安全运行、弹性伸缩等特点。其完全兼容MongoDB协议，在容灾、备份、恢复、监控、告警等方面提供全套数据库解决方案。可降低管理维护成本，使用户能专注于应用开发和业务发展。文档数据库服务有如下基础特性： 文档数据库服务是一种非关系型数据库，它采用文档型的方式来存储数据，每个文档都是一个JSON格式的数据结构，可以包含任意数量和类型的字段。这种方式比传统的关系型数据库更加灵活，可以适应不同类型和规模的数据。 提供高可用性、高性能和可扩展性，支持从单节点部署到分布式集群的不同场景。它采用了分布式的数据存储和查询方式，可以水平扩展集群规模，提高系统的负载能力和容错性。同时，文档数据库服务还支持数据复制和故障恢复，确保数据的可靠性和持久性。 在查询方面提供了多种方式，包括基本的CRUD操作、聚合框架、文本搜索、地理空间查询等。这些功能可以满足各种不同的查询需求，使得文档数据库服务在数据分析和处理领域得到广泛应用。 文档数据库服务提供多项性能监控指标及告警功能，以及数据库性能可视化管理。 文档数据库服务支持灵活的部署架构，提供单节点、副本集（支持三节点、五节点、七节点共三种副本集类型）、分片集群三种实例类型，副本集实例类型还提供只读从节点的扩展服务，能够满足不同的业务场景。 单节点实例：单节点适用于开发、测试及其他非企业核心数据存储的场景。 副本集实例：副本集的高可用架构，提供了数据冗余与高可靠性的节点集合。副本集之间数据自动同步，保证数据的高可靠性。并支持自动容灾切换。 集群实例：分片集群架构，提供了副本集具备的数据冗余与高可靠的特性，同时拥有数据分片存储与处理能力，轻松适用于高并发场景。

本文主要为您介绍如何开启隐私屏蔽功能，以及如何配置隐私屏蔽防护规则。 网站域名接入Web应用防火墙后，您可以选择开启隐私屏蔽功能。通过配置隐私屏蔽规则，可以避免用户的密码等隐私信息出现在事件日志中。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持隐私屏蔽功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“隐私屏蔽”模块，可以选择开启/关闭防护。 7. 单击防护规则右侧的“前去配置”，进入隐私屏蔽规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置隐私屏蔽规则。 参数说明如下： 配置项 说明 域名 此处不可修改。可返回防护规则页面，在页面右上角进行域名切换。 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 网页地址 输入网站静态页面路径。 路径格式为：协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如“ 路径不支持通配符或参数，支持输入端口。 字段范围 设置屏蔽的字段。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Body：请求体参数。 URI：URI参数。 屏蔽关键词 根据字段范围设置屏蔽关键词，被屏蔽的关键词将不会出现在日志中。 默认已勾选银行卡、手机、身份证等关键词，也可以单击“自定义屏蔽关键词正则表达式”手动输入正则表达式，根据正则表达式对匹配的数据进行隐私屏蔽。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本章节主要介绍资源迁移。 当您需要将一个工作空间中的资源迁移至另一个工作空间，可使用数据治理中心DataArts Studio的资源迁移功能，对资源进行导入导出。 资源迁移支持迁移的资源包含数据服务、元数据分类、元数据标签、元数据采集任务和管理中心数据连接。 前提条件 资源导入导出功能依赖于OBS服务。 系统中存在可迁移的资源，参见创建数据连接章节中的 创建数据连接表，标签管理对元数据进行分类和标签的添加，任务管理完成采集任务的创建和 发布API中发布的API。 约束条件 名称相同的采集任务不支持被重复迁移。 名称相同的分类和标签不支持被重复迁移。 导入导出的资源以json格式存储。 由于安全原因，导出连接时没有导出连接密码，需要在导入时自行输入。 导出资源 1.在DataArts Studio控制台首页，选择对应工作空间的“管理中心”模块，进入管理中心页面。详见下图选择管理中心。 2.在管理中心页面，单击“资源迁移”，进入资源迁移页面。详见下图资源迁移。 3.单击“新建导出”，配置文件的OBS存储位置和文件名称。如无OBS服务，仅需设置导出文件名即可。详见下图选择导出文件。 4.单击“下一步”，勾选导出的模块。详见下图勾选导出的模块。 5.单击“下一步”，等待导出完成，资源包导出到步骤3所设置的OBS存储位置。如无OBS服务，则导出完成后可在资源迁移的对应迁移任务行中，单击“下载”获取导出的资源包。 详见下图：导出完成 导出资源耗时1分钟仍未显示结果则表示导出失败，请重试。如果仍然无法导出，请联系客服或技术支持人员协助解决。

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低了HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由全站加速进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，全站加速服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高了TLS握手效率，提升了HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国际标准证书、国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 打开【OCSP Stapling】功能，配置完毕单击【保存】。

本小节介绍Web应用防火墙管理类常见问题。 什么情况下产品会误拦截？ CNAME记录多长时间可以生效？ CNAME解析变更提示冲突怎么办？ 修改CNAME后发现界面有拦截信息 修改CNAME后发现访问变慢 修改CNAME后发现网站无法访问 源站服务器侧响应异常怎么办？ Web应用防火墙是否可以防御自动化工具发起的攻击？ 如何知道我的域名解析服务商是谁？ 云WAF更换证书长连接会话是否会断开？ 更改云WAF配置后需要多久生效？ 云WAF高级访问控制是否支持填写网段？ 什么情况下产品会误拦截？ 网站代码不规范导致拦截 当网站代码不规范时，可能会因为触发防护策略而产生被拦截情况，云WAF启用了实时更新的恶意威胁规则集，针对Webshell上传、SQL注入、XSS等常见的 Web攻击行为特征（如iniset(、javascript:）进行检测。同时会将请求中部分直接传递的原始SQL语句、JAVASCRIPT代码判定为潜在的安全风险，进行封禁。此外，URL中含有敏感路径（如/root、/temp、/admin），以及可能导致路径遍历的特殊字符（如../、.%5c../）也会被判定为高危访问进行封禁，因此，规范的网站代码编写会大幅减少被拦截的概率。 网站接口数据传输规则导致拦截 网站存在接口的情况下，当产生调用时，因该行为非人工访问行为，可能会被云WAF判定为非浏览器或程序化访问，从而产生拦截，此情况下需要将发起接口调用的源地址加白名单解决。 用户端行为疑似人工 DDoS攻击导致拦截 用户频繁点击某一个URL，或者频繁下载同一个文件等行为，均可能会被判定为DDoS攻击，进而会产生拦截。此种情况下，须由用户确认是否正常操作后，加入 CC防护白名单。 国际流量整体拦截 云WAF支持针对IP地址的国家地理位置限制，当开启该限制后，国际流量将被阻断，只有国内流量才能通过。该策略主要用于客户的网站使用对象全部为国内的情况下，可以避免来自国际的各类攻击、渗透行为。

本章节主要介绍Redis缓存类型的主备实例。 DCS Redis缓存类型都支持主备实例，本章节主要介绍Redis缓存类型的主备实例，有四个版本选择，Redis3.0、Redis4.0、Redis5.0和Redis6.0。 主备实例特点 DCS的主备实例在单机实例基础上，增强服务高可用以及数据高可靠性。 主备实例具有以下特性： 1.持久化，确保数据高可靠 实例默认包含一个主节点和一个备节点，都默认开启数据持久化。 Redis主备实例的备节点对用户不可见，不支持客户端直接读写数据。 2.数据同步 主备节点通过增量数据同步的方式保持缓存数据一致。 说明 当网络发生异常或有节点故障时，主备实例会在故障恢复后进行一次全量同步，保持数据一致性。 3.故障后自动切换主节点，服务高可用 当主节点故障后，连接会有秒级中断、不可用，备节点在30秒内自动完成主备切换，切换完成后恢复正常访问，无需用户操作，业务平稳运行。 4.容灾策略 跨AZ部署（可用区）：DCS支持将主备实例的主备副本部署在不同的AZ内，节点间电力与网络均物理隔离。您可以将应用程序也进行跨AZ部署，从而达到数据与应用全部高可用。 Redis 3.0实例架构设计 DCS的Redis主备实例架构，如下图所示。 主备实例示意图 示意图说明： VPC 虚拟私有云。实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与主备实例处于相同VPC，并且配置安全组访问规则。 客户应用 运行在ECS上的客户应用程序，即Redis的客户端。 Redis实例兼容开源协议，可直接使用开源客户端进行连接，关于客户端连接示例，请参考连接实例。 DCS缓存实例 DCS主备实例包含了Master和Slave两个节点。默认开启数据持久化功能，同时保持节点间数据同步。 DCS实时探测实例可用性，当主节点故障后，备节点升级为主节点，恢复业务。 Redis 3.0的访问端口默认为6379，不支持定义端口。

3、创建快照（VolumeSnapshot） 进入主菜单“存储”——“快照与备份”，选择快照，单击左上角“创建快照”； 在创建对话框，配置快照的相关参数。配置项说明如下： 参数配置完成后，点击“确定”。创建成功后，可以在快照列表查看。 配置项 说明 名称 VolumeSnapshot 名称。 存储类型 这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 快照类 选择上一步创建的VolumeSnapshotClass 。 存储卷声明 选择要创建快照的PVC，仅能选择云硬盘类型PVC。 注意 只有当快照状态变为“就绪”时，才表示快照真正创建完成。 通过控制台使用云盘快照 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 “存储”——“快照与备份”，进入快照列表页，选择指定快照，点击操作“创建存储卷快照PVC”。 在创建对话框，配置PVC的相关参数。配置项说明如下： 配置项 说明 名称 PVC的名称。 存储声明类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 StorageClass名称 选择上一步创建的StorageClass。 容量 最小容量为快照大小。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。 说明：如果使用共享盘存储，卷模式仅支持块设备（Block）。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载 说明：如果使用非共享盘存储，访问模式不能为ReadWriteMany或者ReadOnlyMany。仅卷模式为块设备（Block）时，才可以使用共享盘，访问模式才可以为ReadWriteMany或者ReadOnlyMany。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷声明列表查看。 进入持久卷声明列表页，等待PVC状态为“已绑定” 。此时，进入主菜单“存储”——“持久卷“，可以看到对应的PV创建 。 如果PVC一直未绑定，可以查看进入对应PVC详情页查看事件，或者查看cstorcsi日志进行定位。 注意 当源盘PVC的卷模式与基于该源盘快照创建的新PVC的卷模式不一致时，可能导致数据层面的异常。 例如：当源盘PVC是Block的卷模式，而源盘快照创建的新PVC的卷模式为Filesystem，则新的PVC在pod使用时会格式化成用户想要的文件系统，由于源盘中的数据为非文件系统格式，外部组件无法识别其内容，可能将其视为无效数据并进行覆盖，从而导致原有数据丢失。 因此，用户需确保源盘PVC的卷模式与基于其快照创建的新PVC的卷模式保持一致。 此外，若源盘PVC使用的文件系统为非常规类型，或文件系统本身存在兼容性损耗，可能导致CSI调用Linux命令时无法正确识别该文件系统，进而触发文件系统重建，造成数据丢失风险。

3、创建快照（VolumeSnapshot） 进入主菜单“存储”——“快照与备份”，选择快照，单击左上角“创建快照”； 在创建对话框，配置快照的相关参数。配置项说明如下： 参数配置完成后，点击“确定”。创建成功后，可以在快照列表查看。 配置项 说明 名称 VolumeSnapshot 名称。 存储类型 这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 快照类 选择上一步创建的VolumeSnapshotClass 。 存储卷声明 选择要创建快照的PVC，仅能选择云硬盘类型PVC。 注意 只有当快照状态变为“就绪”时，才表示快照真正创建完成。 通过控制台使用云盘快照 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 “存储”——“快照与备份”，进入快照列表页，选择指定快照，点击操作“创建存储卷快照PVC”。 在创建对话框，配置PVC的相关参数。配置项说明如下： 配置项 说明 名称 PVC的名称。 存储声明类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 StorageClass名称 选择上一步创建的StorageClass。 容量 最小容量为快照大小。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。 说明：如果使用共享盘存储，卷模式仅支持块设备（Block）。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载 说明：如果使用非共享盘存储，访问模式不能为ReadWriteMany或者ReadOnlyMany。仅卷模式为块设备（Block）时，才可以使用共享盘，访问模式才可以为ReadWriteMany或者ReadOnlyMany。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷声明列表查看。 进入持久卷声明列表页，等待PVC状态为“已绑定” 。此时，进入主菜单“存储”——“持久卷“，可以看到对应的PV创建 。 如果PVC一直未绑定，可以查看进入对应PVC详情页查看事件，或者查看cstorcsi日志进行定位。 注意 当源盘PVC的卷模式与基于该源盘快照创建的新PVC的卷模式不一致时，可能导致数据层面的异常。 例如：当源盘PVC是Block的卷模式，而源盘快照创建的新PVC的卷模式为Filesystem，则新的PVC在pod使用时会格式化成用户想要的文件系统，由于源盘中的数据为非文件系统格式，外部组件无法识别其内容，可能将其视为无效数据并进行覆盖，从而导致原有数据丢失。 因此，用户需确保源盘PVC的卷模式与基于其快照创建的新PVC的卷模式保持一致。 此外，若源盘PVC使用的文件系统为非常规类型，或文件系统本身存在兼容性损耗，可能导致CSI调用Linux命令时无法正确识别该文件系统，进而触发文件系统重建，造成数据丢失风险。

本节介绍了弹性云主机的计费项、计费模式等内容。 计费项 天翼云ECS根据您选择ECS实例规格和使用时长计费。 计费项 计费说明 :: ECS实例 实例类型及规格（vCPU，内存），购买时长以及所购买的实例数量。 镜像 公共镜像免费。 云硬盘（必选） 默认系统盘40GB（需购买），支持按量或包周期购买方式，建议云硬盘购买周期与ECS保持一致。 公网IP（可选） 如有互联网访问需求，您需要购买公网IP 带宽（可选） 可按流量或带宽计费。 计费模式 提供包周期（包年/包月）、按需共2种计费模式供您灵活选择，使用越久越便宜。 按包周期实例计费：提供包月和包年的购买模式。 按需实例计费：即开即停，支持秒级计费。 下表列出了两种计费模式的区别。 表 计费模式 计费模式 包年/包月 按需计费 ::: 付费方式 预付费按照订单的购买周期结算。 后付费 按照云主机实际使用时长计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 关机计费 按订单的购买周期计费。云主机关机对包周期计费无影响。 ECS关机不收费：对于按需购买的普通实例（不含本地硬盘），用户关机后，ECS实例本身（vCPU，内存，镜像）不计费，其它所挂载的资源如云硬盘，或公网IP或带宽则正常计费。实例的vCPU和内存将不再保留，再次启动时会重新申请vCPU和内存，在资源不足时会有启动失败的风险，您可以通过稍后启动或更改实例规格的方式来恢复。特殊实例（包含本地硬盘，如超高IO型I3/Ir3和GPU加速型P1等），关机后仍然正常收费，同时vCPU和内存等资源也会保留。 变更规格 支持变更实例规格。 支持变更实例规格。 更改计费模式 支持变更为按需资源。但包周期资费模式到期后，按需的资费模式才会生效。包周期转按需 支持变更为包周期资源。按需转包周期 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于计算资源需求波动的场景，可以随时开通，随时删除。 包周期（包年/包月） ：天翼云提供包月和包年的购买模式。这种购买方式相对于按需付费则能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费按照订单的购买周期来进行结算。 按需计费： 这种购买方式比较灵活，可以即开即停，支持秒级计费。 实例从“开通”开启计费到“删除”结束计费，按实际购买时长（精确到秒）计费。 ECS关机不收费：对于按需购买的普通实例（不含本地硬盘），用户关机后，ECS实例本身（vCPU，内存，镜像）不计费，其它所挂载的资源如云硬盘，或公网IP或带宽则正常计费。实例的vCPU和内存将不再保留，再次启动时会重新申请vCPU和内存，在资源不足时会有启动失败的风险，您可以通过稍后启动或更改实例规格的方式来恢复。 特殊实例（包含本地硬盘，如超高IO型I3/Ir3和GPU加速型P1等），关机后仍然正常收费，同时vCPU和内存等资源也会保留。

本节介绍了使用故障类的问题描述和处理流程。 问题描述 您可以通过本节内容解决如下问题： 用户在管理控制台执行弹性云主机相关操作后出现异常，针对管理控制台提示的异常信息，应该如何处理？ 用户参见《弹性云主机接口参考》调用云主机相关的API接口时，如果返回错误码，应该如何处理？ 背景信息 用户通过管理控制台执行弹性云主机的相关操作后，弹性云主机列表页面将显示相应操作的申请状态。通过申请状态中显示的信息，用户可以获悉当前操作请求的执行状态。 如果操作请求正常执行完毕，则任务提示栏中的记录将自动清除。 如果操作请求在执行过程中出现异常，则任务提示栏将返回错误码及其说明。 处理方法 您可以通过下表中的处理建议进行下一步操作，处理相应的异常。 表 错误码处理建议 错误码 管理控制台提示信息 处理建议 Ecs.0000 请求错误，请稍后重试或联系客服。 请参见《弹性云主机接口参考》，按照要求调整请求结构体。 Ecs.0001 租户弹性云主机或云硬盘配额不足，请联系客服申请扩大云主机配额。 请联系客服申请扩大弹性云主机配额。说明您在申请云主机配额时，需评估待申请的云主机需要占用的云主机个数、CPU核数（vCPU）以及内存（RAM）容量，统一调整配额。 Ecs.0003 没有操作权限或费用不足，请联系客服检查帐户情况。 请联系客服检查帐户情况。 Ecs.0005 参数非法，请参考FAQ或联系客服。 请参见《服务器接口参考》，按照要求调整请求结构体。 Ecs.0010 私有IP地址已经被使用，请重新选择未使用的IP地址，进行云主机的创建。 重新选择未使用的IP地址，进行云主机的创建。 Ecs.0011 密码不符合规则，请调整对应的密码，使其满足密码复杂度要求，并重新执行操作请求。 调整对应设置的密码，使其满足密码复杂度要求，并重新执行操作请求。 Ecs.0012 子网IP地址不足，请清理所选子网内的空闲IP地址，或者选择新的子网进行云主机的创建。 清理所选子网内的空闲IP地址，或者选择新的子网进行云主机的创建。 Ecs.0013 弹性IP配额不足，请联系客服申请扩大弹性IP配额。 联系客服申请扩大EIP配额。 Ecs.0015 该类型磁盘不适用于该类型云主机。 重新选择合适类型的磁盘来执行挂载云主机操作。 Ecs.0100 云主机状态不符合要求，请将云主机变更至指定的状态后重试操作。 将云主机变更至指定的状态后重试操作。 Ecs.0103 云磁盘状态不可用 将云主机变更至指定的状态后重试操作。如果云磁盘状态故障，需要联系客服进行排障处理。 Ecs.0104 云主机可挂载云硬盘槽位不足 您需要调整该云主机挂载的云硬盘，以保证新云硬盘可以挂载到指定弹性云主机上 Ecs.0105 云主机无系统盘 您需要将系统盘挂载回云主机后，再次执行相应操作。 Ecs.0107 云主机可挂载共享云硬盘数量超过了可挂载的规格数量 您需要调整该云主机挂载的云硬盘，以保证新云硬盘可以挂载到指定云主机上。 其他异常编码 其他异常提示 您可以选择重新执行操作请求，或者记录当前异常返回的错误码信息，联系客服进行处理。

管理衍生指标 进入数据架构的“技术指标 > 衍生指标”页面，您可以对衍生指标进行编辑、发布、下线、查看发布历史或删除操作。 1. 在数据架构控制台，单击左侧导航树中的“技术指标”，选择“衍生指标”页签，进入衍生指标页面。 2. 您可以根据实际需要选择如下操作。 当需要... 则... 新建 执行新建衍生指标并发布。 编辑 执行3。 发布 执行4。 查看发布历史 执行5。 预览SQL 执行6。 下线 执行7。 查看汇总表 执行8。 删除 执行9。 导入 执行10。 导出 执行11。 3. 编辑 a. 在需要编辑的衍生指标右侧，单击“编辑”，进入编辑衍生指标页面。 b. 根据实际需要编辑相关内容。 c. 在页面下方，单击“试运行”按钮，然后在弹出框中单击“试运行”按钮，测试所设置的衍生指标是否可以正常运行。 如果试运行失败，请根据错误提示定位错误原因，将配置修改正确后，再单击“试运行”按钮进行重试。 d. 如果试运行成功，单击“发布”，提交发布审核。 4. 发布 a. 在需要发布的衍生指标右侧，单击“发布”，弹出“提交发布”对话框。 b. 在下拉菜单中选择审核人。 c. 单击“确认提交”。 5. 查看发布历史 a. 在列表中，找到需要查看的衍生指标，在右侧单击“更多 > 发布历史”，将显示“发布历史”页面。 b. 在“发布历史”中，您可以查看衍生指标的发布历史和版本对比信息。 6. 预览SQL a. 在列表中，找到所需要的衍生指标，在右侧单击“更多 > 预览SQL”，弹出“预览SQL”对话框。 b. 在“预览SQL”中，您可以查看SQL语句，也可以复制SQL。 7. 下线 说明 下线衍生指标的前提是无依赖引用，即无复合指标引用。 a. 在需要下线的衍生指标右侧，单击“更多 > 下线”，系统弹出“提交下线”对话框。 b. 在下拉菜单中选择审核人。 c. 单击“确认提交”。 8. 查看汇总表 当前仅支持查看自动汇聚的汇总表详情。在需要查看汇总表的指标右侧，选择“更多 > 查看汇总表”，跳转到汇总表详情页面。 9. 删除 说明 删除衍生指标的前提是无依赖引用，即无复合指标引用。 a. 在衍生指标列表中，勾选需要删除的衍生指标，单击页面上方“更多 > 删除”，系统弹出“删除”对话框。 b. 单击“是”。 10. 导入 可通过导入的方式将衍生指标批量快速的导入到系统中。 a. 在汇总表上方，单击“更多>导入”，进入“导入配置”页签。 b. 下载衍生指标导入模板，编辑完成后保存至本地。 c. 选择是否更新已有数据。 说明 如果系统中已有的编码和模板中的编码相同，系统则认为是数据重复。 不更新：当数据重复时，不会替换系统中原有的数据。 更新：当数据重复时 系统中的原有数据为草稿状态，则会覆盖生成新的草稿数据。 系统中的原有数据为发布状态，则会生成下展数据。 d. 单击“添加文件”，选择编辑完成的导入模板。 e. 单击“上传文件”，上传完成后，自动跳转到“上次导入”页签，查看已导入的数据。 f. 单击“关闭”。 11. 导出 可通过导出的方式将衍生指标导出到本地。 a. 在衍生指标列表选中待导出的指标。 b. 在列表上方，单击“更多>导出”，即可将系统中的衍生指标导出到本地。 说明 在左侧主题树中选中某个主题，可以导出该主题下的所有衍生指标； 当该空间下不超过500条衍生指标数据时可以全部导出。