oldsnapshotthreshold (integer) 设置在使用快照时，一个快照可以被使用而没有发生snapshot too old 错误风险的最小时间。这个参数只能在服务器启动时设置。如果超过该阈值，旧数据将被清理掉。这可以有助于阻止长时间使用的快照造成的快照膨胀。 为了阻止由于本来对该快照可见的数据被清理导致的不正确结果， 当快照比这个阈值更旧并且该快照被用来读取一个该快照建立以来被修改过的页面时， 将会产生一个错误。值为1会禁用这个特性，并且这个值是默认值。 对于生产工作有用的值可能从几个小时到几天。该设置将被转换成分钟粒度， 并且小数字（例如0或者1min） 被允许只是因为它们有时对于测试有用。虽然允许高达60d的设置， 但是请注意很多负载情况下，很短的时间帧里就可能发生极大的膨胀或者事务 ID 回卷。当这个特性被启用时，关系末尾的被清出的空间不能被释放给操作系统， 因为那可能会移除用于检测snapshot too old情况所需的信息。 所有分配给关系的空间还将与该关系关联在一起便于重用， 除非它们被显式地释放（例如，用VACUUM FULL）。这个设置不会尝试保证在任何特殊情况下都会生成错误。事实上，如果（例如） 可以从一个已经物化了一个结果集的游标中生成正确的结果， 即便被引用表中的底层行已经被清理掉也不会生成错误。 某些表不能被过早地安全清除，并且因此将不受这个设置的影响， 比如系统目录。对于这些表， 这个设置将不能降低膨胀，也不能降低在扫描时产生 snapshot too old错误的可能性。

本文介绍如何在天翼云APP注册或登录天翼云账号。 如何在APP注册天翼云账号 短信注册 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择切换至短信注册方式 3、若该手机号已经注册过天翼云账号，可选择继续注册或选择已有账号登录 注意 一个手机号最多可注册5个天翼云账号，超出则不再支持注册新的天翼云账号 通过短信注册的账号默认开启短信登录功能，若关闭此功能，请确保已设置登录密码，便于后期使用账号登录 账号注册 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，填写账号信息 3、注册成功后可可返回登录界面进行账号登录 如何在APP登录天翼云账号 短信登录 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择其他方式 3、填写手机号及验证码 账号登录 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择其他方式 3、填写账号及密码 如何使用天翼云APP扫码登录 用户可以在PC端和APP端使用同一个天翼云账号，支持通过天翼云APP扫码登录PC端。 1、在PC端选择扫码登录 2、使用天翼云APP【扫一扫】功能，扫描PC端的二维码 注意 天翼云APP需要为已登录状态 3、在天翼云APP的安全提示界面，选择【确认登录】 4、PC端登录成功

DDoS高防（边缘云版）是否对接入端口有限制？ 接入端口因国家备案要求，所以不支持80，8080，443，8443端口接入，有该端口需求可使用域名接入。 此外端口有预留部分内部端口，详情可见控制台实时更新。 DDoS高防（边缘云版）支持对非域名业务进行防护么？ HTTP、HTTPS协议接入的域名，必须使用域名接入。 如果没有域名，可选择TCP、UDP协议端口接入（80，8080，443，8443及因安全问题而限制的端口除外）。 DDoS高防（边缘云版）源站IP可以填写内网IP吗？ 不可以。DDoS高防（边缘云版）通过公网进行回源，不支持在源站IP填写内网IP，必须要求天翼云节点到源站IP可达，否则业务将无法正常转发到源站。 DDoS高防（边缘云版）配置多个源站时如何进行负载均衡？ 针对域名接入的回源配置，支持设置源站的权重，根据权重及IPHASH的方式进行负载均衡。具体配置可详见新增域名。 针对端口接入的回源配置，多个源站将通过轮询的方式进行转发。具体配置可详见新增规则。 接入DDoS高防（边缘云版）业务时，业务会中断吗？ 业务接入DDoS高防（边缘云版）时，需要把域名解析从源站IP替换成天翼云的CNAME，该过程因为有Local DNS缓存的影响， 修改DNS解析后仍然会有部分请求未经过天翼云节点直接访问到源站IP。 为避免域名解析生效过程中业务中断，建议您的源站继续提供服务，直到域名解析全部生效，再调整源站的访问策略，如黑白名单等。

本节介绍网页防篡改（原生版）产品咨询相关常见问题。 什么是网页防篡改（原生版）？ 网页防篡改（原生版）是一款全方位保障云上网站安全的产品，可对网站文件进行监控，若发生篡改时，实时对客户进行告警；同时通过备份恢复被篡改的文件或目录，保障客户系统的网站信息不被恶意篡改。 网页防篡改（原生版）都支持哪些资源池？ 支持的一类节点区域如下： 资源池大区 资源池名称 华东地区 上海7/上海15/上海36/杭州2/合肥2/芜湖2/芜湖4/南京2/南京3/南京4/南京5/华东1/九江/南昌5/杭州7 华南地区 福州3/福州4/福州25/厦门3/佛山3/佛山7/广州6/南宁2/南宁23/郴州2/长沙3/海口2/武汉3/武汉4/武汉41/长沙42/华南2 西北地区 西安3/西安4/西安5/西宁2/兰州2/乌鲁木齐27/乌鲁木齐7/乌鲁木齐4/中卫5/中卫2/西安7/庆阳2 西南地区 贵州3/重庆2/成都4/昆明2/拉萨3/西南1/西南2贵州 北方地区 青岛20/北京5/北京9/晋中/石家庄20/内蒙6/华北2/辽阳1/郑州5/太原4/呼和浩特3/沈阳8 国际地区 香港1 支持的二类节点区域如下： 资源池大区 资源池名称 华东地区 上海4/杭州（AZ1）/杭州（AZ2）/苏州（AZ1）/苏州（AZ2）/苏州（AZ3）/芜湖/南昌 华南地区 福州（AZ1）/福州（AZ2）/深圳/南宁/长沙2（AZ1）/长沙2（AZ2）/海口（AZ1）/武汉2（AZ1）/广州4 西北地区 西安2（AZ1）/西安2（AZ2）/西安2（AZ3）/中卫/乌鲁木齐/西宁/兰州 西南地区 贵州/重庆/成都3/昆明 北方地区 郑州/青岛（AZ1）/青岛（AZ2）/北京2/太原/石家庄（AZ1）/石家庄（AZ2）/天津/长春/哈尔滨/沈阳3/内蒙3/华北（AZ3）

本节主要介绍NAT的约束与限制。 公网NAT网关 关于公网NAT网关的使用，您需要注意以下几点： 公共限制 同一个公网NAT网关下的多条规则可以复用同一个弹性公网IP，不同网关下的规则必须使用不同的弹性公网IP。 一个VPC支持关联多个公网NAT网关。 SNAT、DNAT可以共用同一个弹性公网IP，节省弹性公网IP资源。但是在选用全端口模式下，DNAT优先占用全部端口，这些端口不能被 SNAT 使用。因此SNAT规则不能和全端口的DNAT规则共用EIP，以免出现业务相互抢占问题。 公网NAT网关支持转换的资源类型不包括企业型VPN。 当云主机同时配置弹性公网IP服务和公网NAT网关服务时，数据均通过弹性公网IP转发。 出于安全因素考虑，部分运营商会对下列端口进行拦截，导致无法访问。建议避免使用下列端口： 协议 不支持端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 4790 5554 5800 5900 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 4790 5554 9996 NAT 网关支持 TCP、UDP 和 ICMP 协议，暂不支持ALG 相关技术，且GRE 隧道和 IPSec 使用的 ESP、AH无法使用 NAT 网关，这是由NAT网关本身的特性决定的。 SNAT限制 VPC内的每个子网只能添加一条SNAT规则。 SNAT规则中添加的自定义网段，对于云专线的配置，必须是云专线侧网段，且不能与虚拟私有云侧的网段冲突。 公网NAT网关支持添加的SNAT规则的数量没有限制。 DNAT限制 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个EIP，不能映射到多个EIP。 公网NAT网关支持添加的DNAT规则的数量为200个。

参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 bucket名称 桶的名称，注意以下命名规则: 桶名称全局唯一，在任何集群，都不能与已有的任何桶名称重复，包括其他用户创建的桶。 存储桶一旦创建成功，名称不能修改且不支持重命名。 长度范围为3到63个字符，支持小写字母、数字、中划线（）、英文句号（.）。 禁止两个英文句号（.）或英文句号（.）和中划线（）相邻，禁止以英文句号（.）和中划线（）开头或结尾。 禁止使用IP地址。 如果名称中包含英文句号（.），访问桶或对象时可能会进行安全证书校验。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考 服务端加密 开启服务端加密功能，上传的对象将以加密的方式存储在ZOS中。下载对象时，ZOS会自动将加密文件解密后再提供给用户。选择加密方式，取值范围如下： 关闭 :不启用服务器端加密。 ZOS完全托管 : 使用ZOS托管的密钥进行加密。 KMS: 使用KMS默认托管的CMK或指定CMK ID进行加解密操作 。 2种加密方式的对比见 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。

本章主要介绍翼MapReduce的备份HBase业务数据功能。 操作场景 为了确保HBase日常数据安全，或者系统管理员需要对HBase进行重大操作（如升级或迁移等），需要对HBase业务数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份HBase任务并备份数据。支持创建任务自动或手动备份数据。 HBase备份业务数据时，可能存在以下场景： 用户创建HBase表时，“KEEPDELETEDCELLS”属性默认值为“false”，备份该HBase表时会将已经删除的数据备份，可能导致恢复后出现垃圾数据。请根据业务需要，在创建HBase表时手动修改参数值为“true”。 用户在HBase表写入数据时手动指定了时间戳，且时间早于上一次该HBase表的备份时间，则在增量备份任务中可能无法备份新数据。 HBase备份功能不支持对HBase的global或者命名空间的读取、写入、执行、创建和管理权限的访问控制列表（ACL）进行备份，恢复HBase数据后需要管理员在FusionInsight Manager上重新设置角色的权限。 已创建的HBase备份任务，如果本次备份任务在备集群的备份数据丢失，当下次执行增量备份时备份任务将失败，需要重新创建HBase的备份任务。若下次执行全量则备份正常。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份任务的类型、周期、备份对象、备份目录和备份任务需要使用的Yarn队列等策略规格。 检查备集群HDFS是否有充足的空间，备份文件保存的目录建议使用用户自定义的目录。 使用HDFS客户端，以hdfs用户执行hdfs lsSnapshottableDir检查当前集群中已创建HDFS快照的目录清单，确保待备份的数据文件所在HDFS路径的父目录或子目录不存在HDFS快照，否则无法创建备份任务。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 HBase的“fs.defaultFS”配置参数需要与Yarn，HDFS的配置保持一致。

本章节主要介绍MapReduce如何创建集群。 使用翼MR的首要操作就是创建集群，本章节为您介绍如何在翼MR管理控制台创建一个新的集群。 操作步骤 1.登录翼MR管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 说明 创建集群时需要注意配额提醒。当资源配额不足时，建议按照提示申请足够的资源，再创建集群 。 3.在创建集群页面，选择“自定义创建”页签。 4 .配置集群软件信息。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20180321”。 集群版本：默认最新版本即可。 集群类型：默认选择“分析集群”即可。 组件选择：分析集群勾选Spark2x、HBase和Hive等组件。流式集群勾选Kafka和Storm等组件。混合集群可同时勾选分析集群流式集群的组件。 元数据：默认即可。 说明 针对翼MR 3.x之前版本，分析集群勾选Spark、HBase和Hive等组件 。 5.单击“下一步”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 安全组：选择“自动创建”。 弹性公网IP：选择“暂不绑定”。 实例规格：Master和Core节点都选择“通用计算型S3>8核16GB(s3.2xlarge.2 )”。 系统盘：存储类型选择“普通IO”，存储空间默认即可。 数据盘：存储类型选择“普通IO”，存储空间默认即可，数据盘数量默认即可。 实例数量：Master节点数量默认为2，Core节点数量配置为3。 注意 上述“实例规格”示例，实际可选规格请以各资源池可用规格为准。 6.单击“下一步”进入高级配置页签，配置参数，其他参数保持默认。 Kerberos认证： −Kerberos认证：关闭Kerberos认证。 −用户名：Manager管理员用户，目前默认为admin用户。 −密码：Manager管理员用户的密码。 登录方式：选择登录ECS节点的登录方式。 −密码：设置登录ECS节点的登录密码。 −密钥对：从下拉框中选择密钥对，如果已获取私钥文件，请勾选“我确认已获取该密钥对中的私钥文件 SSHkeyxxx ，否则无法登录弹性云主机”。如果没有创建密钥对，请单击“查看密钥对”创建或导入密钥，然后再获取私钥文件。 通信安全授权：勾选确认授权。 7.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 8.单击“返回集群列表”，可以查看到集群创建的状态。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。

本小节介绍支持云审计的HSS操作列表 企业主机安全通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的HSS操作列表 操作名称 资源类型 事件名称 取消忽略端口 hss notIgnorePortStatus 忽略端口 hss ignorePortStatus 取消忽略配置检测项 hss notIgnoreCheckRuleStat 忽略配置检测项 hss ignoreCheckRuleStat 重新进行基线检测 hss runBaselineDetect 解绑配额 hss cancelHostsQuota 关闭容器防护 hss closeContainerProtectStatus 开启容器防护 hss openContainerProtectStatus 解除已拦截IP hss changeBlockedIp 处理事件状态 hss changeEvent 恢复已隔离文件 hss changeIsolatedFile 删除告警白名单 hss removeAlarmWhiteList 添加登录白名单 hss addLoginWhiteList 删除登录白名单 hss removeLoginWhiteList 新增服务器组 hss addHostsGroup 分配到服务器组 hss associateHostsGroup 修改服务器组 hss changeHostsGroup 删除服务器组 hss deleteHostsGroup 关闭主机防护 hss closeHostsProtectStatus 开启主机防护 hss openHostsProtectStatus 卸载agent hss uninstallAgents 运行镜像扫描 hss runImageScan 从SWR服务同步镜像列表 hss runImageSynchronizeTask 更新并扫描SWR镜像 hss runSwrImageScan 重新体检 hss resetRiskScore 添加策略组 hss addPolicyGroup 删除策略组 hss deletePolicyGroup 部署策略组 hss deployPolicyGroup 修改策略内容 hss modifyPolicyDetail 修改策略组 hss modifyPolicyGroup 关闭自动隔离查杀 hss closeAutoKillVirusStatus 开启自动隔离查杀 hss openAutoKillVirusStatus 设置常用登录IP hss modifyLoginCommonIp 设置常用登录地 hss modifyLoginCommonLocation 设置SSH登录白名单 hss modifyLoginWhiteIp 修复漏洞 hss changeVulStatus 添加防护目录 hss addHostProtectDirInfo 添加特权进程 hss addPrivilegedProcessInfo 添加定时关闭防护配置 hss addTimingOffConfigInfo 删除远端备份服务器 hss deleteBackupHostInfo 删除防护目录 hss deleteHostProtectDirInfo 删除特权进程 hss deletePrivilegedProcessInfo 删除定时关闭防护配置 hss deleteTimingOffConfigInfo 设置定时关闭防护周期 hss setDateOffConfigInfo 修改防护目录开启状态 hss setProtectDirSwitchInfo 修改动态网页防篡改状态 hss setRaspSwitch 设置远端备份服务器 hss setRemoteBackupInfo 修改定时关闭防护状态 hss setTimingOffSwitchInfo 关闭网页防篡改防护 hss closeWtpProtectionStatusInfo 开启网页防篡改防护 hss openWtpProtectionStatusInfo 修改远端备份服务器 hss updateBackupHostInfo 修改防护目录 hss updateHostProtectDirInfo 修改特权进程 hss updatePrivilegedProcessInfo 修改Tomcat bin目录 hss updateRaspPathInfo 修改定时关闭防护时间段 hss updateTimingOffConfigInfo

本文将介绍如何自定义控制台创建您的用户与组织列表,用于您的企业员工登录花卷慧办客户端进行身份认证。 背景说明 企业员工在登录客户端时需要进行身份认证，本文主要介绍服务控制台创建用户与组织信息。 功能介绍 支持通过手动创建进行用户与组织关系构建。 支持通过表格模板批量导入进行用户与组织关系构建。 用户与组织列表管理，支持对用户重置密码，禁用账号，查看用户具备的应用系统权限等。 完成企业用户与组织信息构建后 ，您可以基于用户与组织关系进行差异化的应用权限管理和零信任策略下发。 操作步骤 登录花卷慧办控制台。 在左侧导航栏身份用户与组织，查看并处理用户与组织配置。 用户与组织 用户配置 用户信息字段说明 注意 建议账号不与手机号、邮箱重复，若重复，则以账号为主（如账号A为手机号1 , 账号B的手机号也为手机号1，则登录时采用手机号1则以账号A进行身份认证）。 若您选择将手机号直接设置为登录账号，账号新增时发送短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含“手机号”的短信进行严格校验，易触发拦截规则。 字段 字段说明 备注 姓名 非必填，可填写员工姓名用于身份标识。 账号 必填，用于登录和唯一标识的账号，不可修改，可包含数字、符号（仅支持“” 、“.”、“”、“·”），不允许企业内账号重复。 归属组织 勾选归属组织，默认位置为您的根组织节点，组织信息来源于组织分页管理的组织列表。 若使用批量导入用户功能，则此字段需要填写组织全路径，不同级别组织之间使用“”分隔，例如xx一级组织xx二级组织。 状态 用户状态分为正常、禁用和锁定。 若被锁定，则用户账号状态显示为“锁定”，若想将用户进行解锁正常登录，请点击更多的解锁按钮 。 用户组 非必填，勾选适合的用户组，用户组信息来源于用户组管理栏目配置的用户组列表。 手机号 非必填，默认不允许企业内员工手机号重复，手机号可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 邮箱 非必填，默认不允许企业内员工邮箱重复，邮箱可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 初始密码 非必填，支持自定义填写密码，也支持点击自动生成按钮随机生成密码。若未设置则默认初始化密码，设置的密码均需满足登录策略密码策略配置的要求。 出于安全考虑，首次采用初始化密码必须修改密码，建议可采用“忘记密码”直接重置密码。 若使用批量导入用户功能，则无此字段，系统会根据密码策略自动生成用户初始密码。 是否审批负责人 非必填，定义其是否为审批负责人，仅定义是审批负责人的人员，才可被其他员工选中为其审批负责人。 审批负责人 非必填，主要用于权限申请环节，若配置需要审批负责人审核，则员工对应的审批负责人将进行审批。 员工属性 非必填，可定义员工属性，如外协、正式，其他。 备注 非必填，填写用户备注的一些信息。 账号有效期 非必填，若未选择，则默认是永久有效，可选择账号到期时间，在到期时间之后，该账号将被设置为禁用状态，被禁用的账号在登录后将进行拦截，需重新设置有效期，其账号状态才变成启用。若是被手动禁用的账号，在账号有效期过期后，除重新设置有效期外，还需手动进行账号启用。 通知方式 批量新增用户或单用户新增时可进行选择是否通知用户。 目前仅支持短信通知，若未配置手机号则不进行发送通知。 通知内容：出于安全考虑可以默认仅通知账号，员工可通过“忘记密码”进行重置密码后登录；若同时勾选密码，则会发送初始密码+账号，首次登录将强制要求进行修改密码。

本节主要接受权限管理 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ServiceStage的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ServiceStage，但是不允许删除的权限策略，控制他们对ServiceStage资源的使用范围。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ServiceStage服务的其它功能。 IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见帮助中心 > 统一身份认证服务 > 用户指南 > 产品简介。 ServiceStage权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 ServiceStage资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ServiceStage时，需要先切换至授权区域。 根据授权精细程度分为角色和策略： 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各云服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了ServiceStage的所有系统权限。推荐使用系统策略，系统角色仅用于兼容已有的权限配置。 表 ServiceStage系统权限说明 系统角色/策略名称 描述 类别 依赖系统权限 ServiceStage FullAccess 微服务云应用平台所有权限。 系统策略 无 ServiceStage ReadOnlyAccess 微服务云应用平台只读权限。 系统策略 无 ServiceStage Developer 微服务云应用平台开发者权限。 拥有应用、组件、环境的操作权限，但无基础设施创建权限。 系统策略 无 CSE Admin 微服务引擎服务管理员权限。 系统策略 无 CSE Viewer 微服务引擎服务查看权限。 系统策略 无 ServiceStage Admin 微服务云应用平台管理员，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Operator 微服务云应用平台操作员，拥有该服务下的只读权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Developer 微服务云应用平台开发者，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 如果所列的这些权限不满足实际需求，您可以参考下表，在这个基础上自定义策略。 表 ServiceStage常用操作与系统权限之间的关系 操作 ServiceStage ReadOnlyAccess ServiceStage Developer ServiceStage FullAccess 创建应用 x √ √ 修改应用 x √ √ 查询应用 √ √ √ 删除应用 x √ √ 创建组件 x √ √ 查询组件 √ √ √ 部署组件 x √ √ 维护组件 x √ √ 删除组件 x √ √ 创建构建工程 x √ √ 修改构建工程 x √ √ 查询构建工程 √ √ √ 启动构建工程 x √ √ 删除构建工程 x √ √ 创建流水线 x √ √ 修改流水线 x √ √ 查询流水线 √ √ √ 启动流水线 x √ √ 克隆流水线 x √ √ 删除流水线 x √ √ 新建仓库授权 x √ √ 修改仓库授权 x √ √ 查询仓库授权 √ √ √ 删除仓库授权 x √ √ 表 CSE常用操作与系统权限之间的关系 操作 CSE Viewer CSE Admin 创建微服务引擎 x √ 维护微服务引擎 x √ 查询微服务引擎 √ √ 删除微服务引擎 x √ 创建微服务 x √ 查询微服务 √ √ 维护微服务 x √ 删除微服务 x √ 创建微服务配置 x √ 查询微服务配置 √ √ 编辑微服务配置 x √ 删除微服务配置 x √ 创建微服务治理策略 x √ 查询微服务治理策略 √ √ 编辑微服务治理策略 x √ 删除微服务治理策略 x √

本文为您介绍如何评估迁移任务时间及测试传输速度。 介绍说明 迁移时长总数据量÷(带宽大小/8)1.25。 1.25为时间冗余量；由于云主机性能瓶颈、存在大文件改动多、小文件多等情况，可能存在无法跑满带宽与保持高速率传输，留存冗余，避免由于时间预估导致项目仓促；可根据情况自由调整误差系数。 说明 数据量与带宽单位需统一（GB/MB）。 数据量单位为Byte。 带宽单位（K/M/Gbps）。 iperf3测试结果bandwidth单位（Gbits/sec）等同于带宽Gbps，千兆比特每秒。 迁移带宽以迁移源出口带宽、目的端入口带宽、CMS平台中限制带宽中最小带宽为准。 操作步骤 若需要较为严格的时间预估建议通过软件进行测试： 1. 根据源端云主机的OS类型下载对应iperf版本。 2. 在源端云主机和目的端云主机（或者目的端云主机同一Region下的其他弹性云云主机）某一个目录下解压iperf工具。例如在Windows操作系统的iperf工具： 3. 在目的端云主机上，以命令行方式运行iperf（服务端模式运行，以Windows操作系统为例）： 执行以下命令，进入iperf目录。 cd /d path 其中，path指步骤2中iperf工具解压后在目的端云主机中的路径。 执行以下命令，以服务端运行iperf。 iperf3 p port s 其中，port表示iperf工具的服务端监听端口，建议Windows操作系统使用8900端口（8900为目的端云主机使用的数据传输端口），Linux操作系统使用22端口（22为目的端云主机使用的数据传输端口）。您测试的时候也可以使用其他端口，但要保证目的端云主机安全组规则允许开放该TCP或者UDP端口。更多的参数使用说明，请使用iperf h查看。 以Windows操作系统使用8900端口为例，当回显信息为Server listening on 8900时，表明服务端已经运行就绪。 4. 在源端云主机上，以命令行方式运行iperf（客户端模式运行），测试TCP带宽和UDP的抖动、丢包率和带宽（以Windows操作系统为例）。 执行以下命令，进入iperf目录 cd /d path 其中，path指步骤2中iperf工具解压后在源端云主机中的路径。 执行以下命令，运行iperf工具，测试TCP带宽。 iperf3 c targetIP p port t time 其中，c是客户端模式运行。 targetIP 表示目的端云主机（即以服务端模式运行iperf的云主机）的IP地址。 port表示连接目的端云主机的端口（即3.b中 iperf监听端口）。 time表示测试总时间，默认单位为秒。 以Windows操作系统使用8900端口为例，iperf客户端连接到iperf服务端成功后会进行带宽（Bandwidth）测试，测试结束后查看结果即可： 执行以下命令，运行iper测试UDP的抖动、丢包率和带宽。 iperf3 c targetIP p port u t time 其中，u表示测试UDP的抖动、丢包率和带宽。 targetIP 表示目的端云主机（即以服务端模式运行iperf的云主机）的IP地址。 port表示连接目的端云主机的端口（即3.b中 iperf监听端口）。 time表示测试总时间，默认单位为秒。 以Windows操作系统使用8900端口为例，iperf客户端连接到iperf服务端成功后会测试UDP的抖动（Jitter）、丢包率（Lost/Total Datagrame）和带宽（Bandwidth），测试结束后查看结果即可。 若需要测试网络时延，可以使用ping命令。 ping targetiP targetIP 表示目的端云主机（即以服务端模式运行iperf的云主机）的IP地址。 需要配置目的端云主机所在的VPC的安全组规则，允许ICMP协议报文通过。 5. 执行以下命令，获取更多的iperf的使用帮助。或者参照官网指导获取相应的使用帮助。 iperf3 h

分布式缓存服务（Distributed Cache Service，简称DCS）是一款内存数据库服务，兼容Redis内存数据库引擎，为您提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力，满足用户高并发及数据快速访问的业务诉求。 即开即用 DCS提供单机、主备和集群三种类型的缓存实例，拥有从128MB到1024GB的丰富内存规格。您可以通过控制台直接创建，无需单独准备服务器资源。 其中Redis4.0/5.0/6.0版本采用容器化部署，秒级完成创建。 安全可靠 借助统一身份认证、虚拟私有云、云监控与云审计等安全管理服务，全方位保护实例数据的存储与访问。 灵活的容灾策略，主备/集群实例从单AZ（可用区）内部署，到支持跨AZ部署。 弹性伸缩 DCS提供对实例内存规格的在线扩容与缩容服务，帮助您实现基于实际业务量的成本控制，达到按需使用的目标。 便捷管理 可视化Web管理界面，在线完成实例重启、参数修改、数据备份恢复等操作。DCS还提供基于RESTful的管理API，方便您进一步实现实例自动化管理。 在线迁移 提供可视化Web界面迁移功能，支持备份文件导入和在线迁移两种方式，您可以通过控制台直接创建迁移任务，提高迁移效率。 DCS Redis Redis是一种支持KeyValue等多种数据结构的存储系统。可用于缓存、事件发布或订阅、高速队列等典型应用场景。Redis使用ANSI C语言编写，提供字符串（String）、哈希（Hash）、列表（List）、集合结构（Set、Sorted Set）、流（Stream）等数据类型的直接存取。数据读写基于内存，同时可持久化到磁盘。 DCS Redis拥有灵活的实例配置供您选择： DCS Redis灵活的实例配置 实例类型 提供单机、主备、Proxy集群、Cluster集群、读写分离类型，分别适配不同的业务场景。 单机：适用于应用对可靠性要求不高、仅需要缓存临时数据的业务场景。单机实例支持读写高并发，但不做持久化，实例重启后原有缓存数据不会加载。 主备：包含一个主节点，一个备节点，主备节点的数据通过实时复制保持一致，当主节点故障后，备节点自动升级为主节点。 Proxy集群：在Cluster集群的基础上，增加挂载Proxy节点和ELB节点，通过ELB节点实现负载均衡，将不同请求分发到Proxy节点，实现客户端高并发请求。每个Cluster集群分片是一个双副本的主备实例，当主节点故障后，同一分片中的备节点会升级为主节点来继续提供服务。 Cluster集群：通过分片化分区来增加缓存的容量和并发连接数，每个分片是一个主节点和0到多个备节点，分片本身对外不可见。分片中主节点故障后，同一分片中备节点会升级为主节点来继续提供服务。用户可通过读写分离技术，在主节点上写，从备节点读，从而提升缓存的整体读写能力。 读写分离：在主备实例的基础上，增加挂载Proxy节点和ELB节点，通过ELB节点实现负载均衡，将不同请求分发到Proxy节点，Proxy节点识别用户读写请求，将请求发送到主节点或备节点，从而实现读写分离。 :: 规格 Redis提供128MB~1024GB的多种规格。 兼容开源Redis版本 DCS提供不同的实例版本，分别兼容开源Redis的3.0、4.0、5.0、6.0。 底层架构 基于虚拟机的标准版 ，单节点QPS达10万/秒。 高可用与容灾 主备与集群实例提供Region内的跨可用区部署，实现实例内部节点间的电力、网络层面物理隔离。 有关开源Redis技术细节，您可以访问Redis官方网站

本文介绍如何实现同地域跨AZ挂载文件系统。 目录 操作场景 前提条件 操作步骤 操作场景 针对企业而言，业务上云越来越关注服务的稳定和连续性，海量文件通过支持同地域跨AZ挂载文件系统，实现业务的服务高可用，降低不可抗力因素对服务提供造成的影响。通过为文件系统添加不同的VPC，即可将文件系统挂载至不同可用区的云主机上，实现跨AZ访问。 前提条件 已有1个海量文件系统。 在同一个地域已创建2个不同的VPC。 在同一个地域不同的可用区已有2台云主机，分别归属于以上2个VPC。 操作步骤 1. 登录天翼云控制中心，在管理控制台左上角选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机弹性云主机快速入门。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 将文件系统分别挂载至两台不同可用区云主机，具体操作方法请参考挂载NFS文件系统到弹性云主机(Linux)。 5. 挂载成功后，可以在Linux 云主机上访问文件系统，执行读取或写入操作。您可以把文件系统当作一个普通的目录来访问和使用。依次执行如下命令在两个文件系统中创建文件、文件夹。 6. 依次执行如下命令读取文件内容。 plaintext cat /mnt/localpath/file2 cat /mnt/azpath/file2 7. 依次执行如下命令删除文件。

本页为您介绍从天翼云数据库迁移/同步数据到天翼云数据库,同资源池不同VPC情况下,通过对等连接接入的方法。 在同资源池，不同VPC之间，网络默认不通，需要通过VPC打通的方式来实现网络互通。目前支持通过VPC对等连接的方式实现VPC间子网级的互通，注意需要保证源数据实例所在子网与目标数据库实例所在子网的网段不冲突。 以下分别介绍网络通信方式，DTS实例的配置流程和不同VPC间通过对等连接进行互通的配置流程。 网络通信方式 网络通信方式，见下图： DTS实例的配置流程 DTS实例订购成功后，选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“打通网络配置”将会自动识别，源端将显示“当前数据库不在同一个虚拟私有云(VPC)，需要配置对等连接打通⽹络”，点击“创建虚拟私有云(VPC)对等连接”将跳转到VPC控制台，可按VPC相关流程处理“创建对等连接”，具体页面如下： 不同VPC间通过对等连接互通的配置流程 创建VPC对等连接。 具体可参考天翼云对等连接相关文档进行配置。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档进行配置。 数据库添加白名单。 源数据库需要添加DTS实例的私网IP访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本页面主要介绍天翼云数据传输服务DTS对接的云审计服务使用和查看方法。 操作场景 数据传输服务DTS现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建实例 dtsCreateInstance 删除实例 dtsDeleteInstance 任务启动 dtsStartJob 任务暂停 dtsStopJob 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表页，根据需要选择时间段、设置筛选条件，如：读写类型、事件级别、操作用户、事件来源、资源类型、资源名称、事件名称等。点击查询即可。 4. 在审计事件查询结果列表右侧操作列点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

功能项 RocketMQ Kafka RabbitMQ 优先级队列 不支持 不支持 支持。建议优先级大小设置在010之间。 延迟队列 支持 不支持 不支持 死信队列 支持 不支持 支持 消息重试 支持 不支持 不支持 消费模式 支持客户端主动拉取和服务端推送两种方式 客户端主动拉取 支持客户端主动拉取以及服务端推送两种模式 广播消费 支持 支持 支持 消息回溯 支持 支持。Kafka支持按照offset和timestamp两种维度进行消息回溯。 不支持。RabbitMQ中消息一旦被确认消费就会被标记删除。 消息堆积 支持 支持。考虑吞吐因素，Kafka的堆积效率比RabbitMQ总体上要高。 支持 持久化 支持 支持 支持 消息追踪 支持 不支持 支持。RabbitMQ中可以采用Firehose或者rabbitmqtracing插件实现，但开启rabbitmqtracing插件会影响性能，建议只在定位问题过程中开启。 消息过滤 支持 支持 不支持，但可以自行封装。 多租户 支持 不支持 支持 多协议支持 兼容RocketMQ协议 只支持Kafka自定义协议。 RabbitMQ基于AMQP协议实现，同时支持MQTT、STOMP等协议。 跨语言支持 支持多语言的客户端 采用Scala和Java编写，支持多种语言的客户端。 采用Erlang编写，支持多种语言的客户端。 流量控制 待规划 支持client和user级别，通过主动设置可将流控作用于生产者或消费者。 RabbitMQ的流控基于CreditBased算法，是内部被动触发的保护机制，作用于生产者层面。 消息顺序性 单队列（queue）内有序 支持单分区（partition）级别的顺序性。 不支持。需要单线程发送、单线程消费并且不采用延迟队列、优先级队列等一些高级功能整体配合，才能实现消息有序。 安全机制 支持SSL认证 支持SSL、SASL身份认证和读写权限控制。 与Kafka相似 事务性消息 支持 支持 支持

自动备份： 需要在“备份策略”的下拉菜单中，选择一个已有的备份策略，或者单击右侧的“创建策略”创建一个新的备份策略。在备份创建完成后，所选云主机会绑定到该备份策略中，按照备份策略进行周期性备份。 说明 如果选择的云主机已经绑定到其他备份策略，在选择新的备份策略后，云主机会自动从原备份策略解绑，并绑定到新的备份策略。 立即备份： 在备份创建完成后，会对所有云主机立即执行一次性备份。 需要输入备份的“名称”和“描述”，如下表所示。 参数 说明 备注 名称 输入待创建的备份的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于255个字符。 说明： 也可以采用默认的名称，默认的命名规则为“manualbkxxxx”。 备份多个云主机时，系统自动增加后缀，例如：备份0001，备份0002。 manualbkcbf0 描述 输入待创建的备份的描述。描述长度小于等于255个字符。 可同时选择两种备份方式，即立即执行一次备份，后续按照备份策略进行周期性备份。 6. 选择是否启用“数据库服务器备份”（立即备份时可选）。启用后，系统将执行数据库服务器备份（应用一致性备份）。若同时勾选“数据库服务器备份失败后继续备份”，数据库服务器备份失败后系统将执行崩溃一致性备份，若不勾选，数据库服务器备份失败后将直接产生失败备份。如下图所示。 说明 使用数据库服务器备份前，需先更改安全组和成功安装客户端。相关操作请参见 图 数据库服务器备份 7. 单击“立即申请”。 8. 在“规格确认”页面上，查看“详情”，单击“提交申请”。 9. 根据页面提示，返回云主机备份页面。

对比维度 弹性文件服务 对象存储服务 云硬盘 概念 提供按需扩展的高性能文件存储，可为云上多个云服务器提供共享访问。弹性文件服务就类似Windows或Linux中的远程目录。 提供海量、安全、高可靠、低成本的数据存储能力，可供用户存储任意类型和大小的数据。 可以为云服务器提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求。云硬盘就类似PC中的硬盘。 存储数据的逻辑 存放的是文件，会以文件和文件夹的层次结构来整理和呈现数据。 存放的是对象，可以直接存放文件，文件会自动产生对应的系统元数据，用户也可以自定义文件的元数据。 存放的是二进制数据，无法直接存放文件，如果需要存放文件，需要先格式化文件系统后使用。 访问方式 在ECS/BMS中通过网络协议挂载使用，支持NFS和CIFS的网络协议。需要指定网络地址进行访问，也可以将网络地址映射为本地目录后进行访问。 可以通过互联网或专线访问。需要指定桶地址进行访问，使用的是HTTP和HTTPS等传输协议。 只能在ECS/BMS中挂载使用，不能被操作系统应用直接访问，需要格式化成文件系统进行访问。 使用场景 如高性能计算、媒体处理、文件共享和内容管理和Web服务等。 说明： 高性能计算：主要是高带宽的需求，用于共享文件存储，比如基因测序、图片渲染这些。 如大数据分析、静态网站托管、在线视频点播、基因测序和智能视频监控等。 如高性能计算、企业核心集群应用、企业应用系统和开发测试等。 说明： 高性能计算：主要是高速率、高IOPS的需求，用于作为高性能存储，比如工业设计、能源勘探这些。 容量 PB级别 EB级别 TB级别 时延 3~10ms 10ms 亚毫秒级

Prometheus监控服务支持将Prometheus实例的监控数据导出，以进行自定义业务处理。您可以根据业务需求，选择相应的投递目标。本文介绍如何创建Kafka数据投递任务。 前提条件 已接入Prometheus实例。 已部署目标的分布式消息服务Kafka实例，并创建Topic等资源。 开通事件总线EventBridge服务。 注意 1. 数据投递功能依赖事件总线EventBridge，事件总线EventBridge目前公测中，费用详情请参考计费说明。 2. 仅支持从创建任务开始后的实时数据导出，不支持历史数据的投递。 操作步骤 1. 登录应用性能监控控制台。在左侧菜单栏点击Prometheus监控 数据投递菜单。 2. 进入数据投递页面后，点击左上角【创建任务】按钮。 3. 在对话框中输入任务名称和任务描述后，单击确定。将自动跳转至任务编辑页面。 4. 在任务编辑页面，配置数据源和投递目标： 1. 点击【+ 添加数据源】按钮，配置以下参数，然后单击确定。 配置项 说明 示例 Prometheus实例 Prometheus数据源所在实例。 ccexxxxxx 数据过滤 设置需要过滤的指标标签，黑名单机制代表符合条件的指标将不会被投递。白名单机制代表符合条件的指标才会被投递。 支持正则表达式。多个条件需要换行，条件之间为且的关系。 plaintext name~xxxxx regionIdhuadong1 idixxxxxx 数据打标 设置需要新增的标签，设置后将在投递的指标数据增加对应的label。多个标签需要换行。 plaintext testkey1aaaaa testkey2bbbbb 2. 点击【添加目标】按钮，选择目标类型为分布式消息服务Kafka，并选择目标kafka实例与Topic，点击确定，即可完成任务的创建。 注意 在使用kafka数据投递前，需要先在对应kafka实例安全组中允许VPC内访问Kafka实例服务端口，具体操作请查看操作指引。 5. 投递任务启动后，数据经过2~5分钟的延迟即可到达投递目标。

参数 说明 示例 名称 监听器名称。 listenerpnqy 前端协议/端口 负载分发的协议和端口。 协议选择HTTP，端口取值范围[165535]。 HTTP/80 重定向 重定向开关是否开启。 协议类型为HTTP时，可根据需要设置该项。需要保证业务建立安全连接时，若同时创建了HTTPS监听器和HTTP监听器，可以通过重定向功能，将HTTP监听器访问重定向至HTTPS监听器。 HTTP监听器被重定向后，会返回301返回码。 重定向至 选择需要重定向HTTPS监听器的名称。 listener9ecd（HTTPS/443） 高级配置 访问策略 支持通过白名单和黑名单进行访问控制： 允许所有IP访问 黑名单 白名单 白名单 IP地址组 设置白名单或者黑名单时，必须选择一个IP地址组。如果还未创建IP地址组，需要先创建IP地址组。 ipGroupb2 空闲超时时间（秒） 如果在超时时间内一直没有访问请求，负载均衡会中断当前连接，直到下一次请求到来时再重新建立新的连接。 时间取值范围[04000]。 60 请求超时时间（秒） 客户端向负载均衡发起请求，如果在超时时间内客户端没有完成整个请求的传输，负载均衡将放弃等待关闭连接。 时间取值范围[1300]。 60 响应超时时间（秒） 负载均衡向后端云主机发起请求，如果超时时间内接收请求的后端云主机无响应，负载均衡会向其他后端云主机重试请求。如果重试期间后端云主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。 时间取值范围[1300]。 说明： 当开启了会话保持功能时，响应超时时间内如果对应的后端云主机无响应，则直接会返回HTTP 504错误码。 60 描述 对于监听器描述。 字数范围：0/255。 标签 可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的，其中“键”值是唯一的。

本文主要介绍云服务操作日志以及审计日志如何接入 云日志服务支持存储各云服务产品上报至云审计的操作日志，可用于长时间存储操作事件日志，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前置条件 1. 已开通云审计服务，详情请见云审计产品介绍。 2. 已开通对象存储服务，详情请见对象存储产品介绍。 注意 1. 当前仅支持华北2资源池进行配置。 2. 接入操作事件日志，将产生相关存储费用与流量费用，详情请查看云日志服务计费说明。 3. 云审计提供的事件文件转储功能需要使用对象存储服务，会产生对象存储服务费用，相关费用信息请参考对象存储服务文档。 操作方式 1. 开通云审计后，登录云审计控制台。 2. 在云审计控制台左侧菜单栏点击"事件跟踪"，点击"创建跟踪任务"。 3. 根据指引配置，勾选“启用状态”，配置“ZOS存储桶”以及“目录前缀”，完成事件跟踪任务的创建，详情请参考云审计帮助文档。 4. 进入云日志服务控制台，在左侧菜单栏点击“日志接入”，在接入中心的“云服务操作日志”中选择对应的云服务产品。 5. 选择需要存储日志数据的日志项目与日志单元。点击下一步进入日志配置页面。 6. 在日志配置页面中，选择上述第三步已配置的ZOS存储桶以及目录前缀，点击“下一步”，即可完成配置

本文介绍自动备份策略规则及如何设置备份策略及备份清理策略。 自动备份策略规则 开通SQL Server实例后，系统会设置默认自动备份策略。您可根据业务需要设置自动备份策略，系统会按照您设置的自动备份策略对数据库实例进行备份。出于安全考虑，不可以关闭自动备份。 默认自动备份策略为：备份周期为星期一至星期日（即每天），备份保留天数为7天，默认不开启增量备份。如果实例开通时间点在当前时段的前45分钟内，则备份时间为当前时间段，否则为当前时段的下一个时段，比如开通时间为14:30:00，则备份时段为14:0015:00，如果开通时间为15:46:00，则备份时段为16：0017:00。您可以设置自动备份策略。 备份周期默认为每天，可选范围包括星期一至星期日。至少选择一周中的2天。 保留天数为数据备份和日志的保留时长，默认为7天，范围为1~730天，请根据需要设置。保留天数过大，将占用较大备份空间。减少保留天数，会针对已有的备份文件生效，但手动备份不会自动删除。 备份时间段默认为24小时中，间隔一小时中的一个时间段 ，例如01:00～02:00，12:00～13:00等。备份时间段并不是指整个备份任务完成的时间，指的是备份的开始时间，备份时长和实例的数据量有关。由于开启备份会损耗数据库读写性能，建议根据业务情况，选择业务低峰时段作为备份时间段。自动备份只会在备份时间段内执行。 增量备份默认不开启，您可以根据需要选择是否打开增量备份开关。开启增量备份后，一个备份周期内将按照首次全量，其余增量的循环进行备份。 日志备份策略不支持修改。日志备份频率默认为每30分钟备份一次，日志备份保留天数同数据备份保留天数。

本文介绍关系数据库SQL Server版在天翼云云审计中支持的相关功能。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 创建实例、恢复到新实例 重启实例 删除实例 节点扩容 磁盘扩容 规格变更 数据备份、删除备份 数据恢复 参数修改 主备切换 绑定公网IP 解绑公网IP 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“数据库”，资源类型选择“关系数据库SQL Server版”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本章节会介绍函数工作流的购买时常见问题。 在创建函数时创建失败，并提示“您当前的权限不足，请联系您的管理员为您开通相关权限”时该如何处理？ 使用FunctionGraph是否需要开通计算、存储、网络等服务？ 使用FunctionGraph开发程序之后是否需要部署？ FunctionGraph函数支持哪些编程语言？ FunctionGraph函数分配磁盘空间有多少？ FunctionGraph函数是否支持版本控制？ 在创建函数时创建失败，并提示“您当前的权限不足，请联系您的管理员为您开通相关权限”时该如何处理？ 用户在未进行实名认证或者账号余额不足100元时，会弹出“您当前的权限不足，请联系您的管理员为您开通相关权限”的提示，且无法开通按需资源。请用户进行实名认证并保障账号余额大于100元。 使用FunctionGraph是否需要开通计算、存储、网络等服务？ 用户使用FunctionGraph时，不需要开通或者预配置计算、存储、网络等服务，由FunctionGraph提供和管理底层计算资源，包括服务器CPU、内存、网络和其他配置/资源维护、代码部署、弹性伸缩、负载均衡、安全升级、资源运行情况监控等，用户只需要按照FunctionGraph支持的编程语言提供程序包，上传即可运行。 使用FunctionGraph开发程序之后是否需要部署？ 用户在本地开发程序之后打包，必须是ZIP包（Java、Node.js、Python、Go）或者JAR包（Java），上传至FunctionGraph即可运行，无需其它的部署操作。 制作ZIP包的时候，单函数入口文件必须在根目录，保证解压后，直接出现函数执行入口文件，才能正常运行。 对于Go runtime，必须在编译之后打zip包，编译后的动态库文件名称必须与函数执行入口的插件名称保持一致，例如：动态库名称为testplugin.so，则“函数执行入口”命名为testplugin.Handler。

生效条件 设置误报处理后，1分钟左右生效，防护事件详情列表中将不再出现此误报。您可以刷新浏览器缓存，重新访问设置了误报处理的页面，如果访问正常，说明配置成功。 Web基础防护检测项说明 Web基础防护覆盖OWASP（Open Web Application Security Project）常见安全威胁，内置语义分析+正则双引擎，可以对恶意扫描器、IP、网马等威胁进行检测并拦截。请根据业务使用场景开启相应的检测项，详细的检测项说明如下表所示。 检测项 说明 常规检测 防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。 说明 开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。 Webshell检测 防护通过上传接口植入网页木马。 说明 开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。 深度检测 防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。 说明 开启“深度检测”后，WAF将对深度反逃逸进行检测防护。 header全检测 默认关闭。关闭状态下WAF会检测常规存在注入点的header字段，包含UserAgent、Contenttype、AcceptLanguage和Cookie。 说明 开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。 Shiro解密检测 默认关闭。开启后，WAF会对Cookie中的rememberMe内容做AES，Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。 说明 如果您的网站使用的是Shiro 1.2.4及之前的版本，或者升级到了Shiro 1.2.5及以上版本但是未配置AES，强烈建议您开启“Shiro解密检测”，以防攻击者利用已泄露的密钥构造攻击。

天翼云学堂（ 注册 在天翼云官网没有账号的用户，请先注册一个账号，注册地址为[]( 登录 1) 在天翼云官网已经登录成功的用户，访问天翼云学堂时将会自动跳转并登录。 2) 没有在天翼云官网登录的用户，点击进入天翼云学堂后系统会跳转至天翼云官网登录页面，登录成功后将会返回天翼云学堂首页，此时天翼云学堂已经自动登录。 第一次进入天翼云学堂系统会跳转至身份认证页面，如下图所以： 1) 个人学习用户：点击【下一步】按钮直接进入首页，无需验证； 2) 中国电信员工： 点击【下一步】按钮需要进行企业邮箱验证，验证通过后进入首页；(员工务必选择准确所属公司，以免对学习数据统计造成影响) 3) 天翼云代理商：点击【下一步】按钮需要输入对应的企业邮箱和编号进行验证，验证通过后进入首页。 用户可以选择不进行验证，直接点击网页左上角的“天翼云学堂”logo进入首页，后期想要进行身份验证的时候，可以在[个人设置安全设置修改](

步骤二：开通云服务器 使用镜像市场“标准VCPE镜像CTyunOS2.0.1X86 64位”镜像开通云主机。云主机配置要求：配置要求2c4g以上，推荐计算型云主机，网卡使用自动分配内网IPv4地址，并有用弹性IP，带宽大小根据需要设置。 注：目前华东1、青岛20、南宁23、上海7、上海36、北京5、上海15已完成VCPE镜像加载，可直接开通。如您有其他区域的部署需求，请联系客户经理申请。 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的选择区域。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面。 5. 进行基础配置。 a. 根据业务需求配置“计费模式”、“地域”、“企业项目”、“虚拟私有云”、“实例名称”、“主机名称”等。 b. 选择规格。此处选择“CPU架构”为“X86计算”、分类可以选 “通用型”或“计算型”，推荐选用计算型。规格为2c4G以上。 c. 选择镜像。“镜像类型”选择“云镜像市场”，在云镜像市场中选择预置了vCPE的“标准VCPE镜像CTyunOS2.0.1X86 64位”镜像。 d. 设置云盘类型和大小。此处选择“系统盘”为“通用型SSD”，40GB。 6. 网络配置 设置网络，此处“网卡”选择“单网卡”，设置“自动分配内网地址”；“安全组”根据客户需求自行配置； “弹性IP”用于连通SDWAN POP接入点，带宽根据客户网络需求进行配置。 7. 高级配置 设置高级配置，包括“登录方式”、“云主机组”、“用户数据”。用户数据需配置为vCPE实例的SN号。vCPE SN号信息可通过“天翼云SDWAN控制台>目标智能网关详情页>基本信息模块”查看，操作步骤可参考：查看基本信息。 用户数据填写格式如下： 其中，CTCEXXXXXXXXXSN根据客户订购的vCPE实例SN号进行替换。 plaintext

本页介绍天翼云TeleDB数据库内核资源相关参数。 maxfilesperprocess (integer) 设置每个服务器子进程允许同时打开的最大文件数目。默认是1000 个文件。如果内核强制一个安全的针对每个进程的限制，那么你不用操心这个设置。但是在 一些平台上（特别是大多数 BSD 系统），如果很多进程都尝试打开很多文件，内核将允许独立进程打开比个系统真正可以支持的数目大得多得文件数。如果你发现自己看到了“Too many open files”这样的失败，可尝试减小这个设置。这个参数只能在服务器启动时设置。 enableglobalplancache 是否开启global plancache，设置成on的时候，打开global plancache功能。设置成off的时候，关闭该功能。打开开关，表示打开全局执行计划缓存（global plancache）功能，能够让不同的连接共享同一份Plan Cache。这个参数改了之后需要重启生效。 enableglobalsyscache 是否开启global syscache，设置成on的时候，打开global syscache功能。设置成off的时候，关闭该功能。打开开关，表示打开全局元数据缓存功能，可以让所有进程共享同一个缓存条目，提高内存利用效率，降低因此发生OOM的风险。这个参数改了之后需要重启生效。 globalplancachesize 该参数表示可使用的global plancache的共享内存大小,单位MB，重启集群生效，不配置的话有默认参数。 globalcachesize 该参数表示可使用的元数据缓存的共享内存大小,单位MB，重启集群生效，不配置的话有默认参数。 enableremotedataaccessplan 是否开启RDA，默认off。设置成on的时候，打开RDA功能。设置成off的时候，关闭该功能。打开开关，表示打开远程数据访问（RDA）功能。参数类型：布尔。是否动态生效：是。

本文介绍在使用Web应用防火墙（边缘云版）可能出现的问题和排查方法。 上传文件的正常请求被Web应用防火墙（边缘云版）拦截了怎么办？ 正常的上传请求被Web应用防火墙（边缘云版）拦截一般分为以下两种情况 Web应用防火墙（边缘云版）防护节点最大支持300MB的文件上传，当上传大于300MB的文件时就可能会上传失败。建议使用未接入Web应用防火墙（边缘云版）防护的域名上传或者通过FTP攻击上传。 通过浏览器POST请求上传文件时，文件内容会被转码后放在POST请求的body中上传，当转码后的文件出现匹配Web应用防火墙（边缘云版）规则的关键字内容时就有可能被Web应用防火墙（边缘云版）认为有恶意代码触发拦截。遇到这种情况建议将该URL加入到访问控制白名单的放行规则中。 出现登录状态丢失的情况如何解决？ 当接入Web应用防火墙（边缘云版）的域名存在多个源站时，多个源站之间要做登录session同步，不然有可能出现同一个会话请求转发到不同的源站导致登录状态丢失的情况。另外，如果源站有基于访问IP做会话验证时要通过从请求头的xforwardedfor中获取到客户端请求的真实IP进行校验。 出现长连接请求超时如何处理？ 如果源站由于某种原因响应慢，超过边缘安全防护节点回源超时时间设置仍未向边缘节点返回内容，则会出现504报错。出现这种情况时，可先排查源站服务器是否有出现CPU或者带宽瓶颈，其次源站处理请求的逻辑入手看是否可以优化提升源站的处理速度，如果确认源站已经无法优化响应速度，可通过修改防护节点默认回源超时时长来缓解该问题，具体可提交工单联系天翼云客服进行配置。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mysqllink 数据库服务器 配置为要连接的数据库的IP地址或域名。 单击输入框后的“选择”，可获取用户的DWS、RDS等实例列表。 192.168.0.1 端口 配置为要连接的数据库的端口。 不同的数据库端口不同，请根据具体情况配置。例如： SQLServer默认端口：1433 PostgreSQL默认端口：5432 数据库名称 配置为要连接的数据库名称。 dbname 用户名 待连接数据库的用户。该数据库用户需要有数据表的读写权限，以及对元数据的读取权限。 cdm 密码 用户名密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择3.3.5.3管理Agent中已创建的Agent。 驱动版本 不同类型的关系数据库，需要适配不同的驱动。 一次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源端和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 1000 SSL加密 可选参数，支持通过SSL加密方式连接数据库，暂不支持自建的数据库。 RDS上的PostgreSQL数据库服务做了一些安全增强，在创建RDS上的PostgreSQL的连接时，该参数需要配置为“是”。 是 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 说明 CDM作业默认打开了useCursorFetch开关，即JDBC连接器与关系型数据库的通信使用二进制协议。 sslmoderequire 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 '

本章节主要介绍如何启停集群。 重启集群 当集群处于非均衡或不能正常工作时，可能需要通过重启集群进行恢复。当您修改完配置，例如修改集群安全设置、参数修改相关配置，未立即重启集群的情况下，您也可以通过手动重启集群使配置生效。 说明 若集群欠费，可能会导致该功能被限制不可用，请及时充值确保集群可正常使用。 对系统的影响 重启期间集群将无法提供服务。因此，在重启前，请确定集群中没有正在运行的任务，并且所有数据都已经保存。 如果集群正在处理业务数据，如导入数据、查询数据、创建快照或恢复快照时，一旦重启集群，有可能会导致文件损坏或重启失败。因此，建议停止所有集群任务后，再重启集群。 您可以参考Cloud Eye监控集群查看集群的“会话数”和“活跃SQL数”指标，查看是否有活跃事务。 重启集群所需时间与集群的规模和业务有关，正常情况下大约需要3分钟左右，不超过20分钟。 如果重启失败，将有可能会导致集群不可用，建议联系技术支持人员进行处理或稍后重试。 操作步骤 1. 登录DWS管理控制台。 2. 单击“集群 > 专属集群”。 3. 在需要重启的集群的“操作”列，单击“重启”。 4. 在弹出框单击“是”。 此时集群的“任务信息”变为“重启中”。当“集群状态”重新变为“可用”时，表示重启已成功。 停止集群 当用户的集群不再使用时，可通过停止集群功能来关闭集群，方便业务下线。 说明 如果当前控制台界面不支持该特性，请联系技术支持人员。集群启动后恢复计费。 集群停止后实例关机，ECS场景下基础资源（vCPU、内存）不再保留，当再次启动云服务时，可能由于资源不足无法正常开机，请耐心等待，稍后再试。