本文为您介绍资源编排ROS的功能特性。 统一管理资源 通过统一的管理平面，可实现对分布在不同地域资源池中的各类云资源进行全局掌控，实现单一控制台完成状态监控与配置调整，打破资源孤岛，实现跨池资源的统一调度与协同管理，大幅简化复杂多云环境下的运维复杂度。 模板管理 提供灵活且强大的模板定义能力，支持通过声明式语法对云资源的类型、规格、配置参数及关联关系进行精确描述，同时允许用户自定义模板以适配个性化需求。 针对模板全生命周期，提供完善的版本控制机制，可追溯每一次模板修改记录，确保不同团队、不同环境使用的模板版本一致，避免因模板差异导致的资源配置偏差。 自动化管理资源生命周期 以资源栈为管理单元，将一组关联资源视为整体进行全生命周期的自动化管理。流程中嵌入预览执行计划、询价与配额校验环节，通过预览执行计划明确资源的变更，通过询价明确资源组合的成本预估，再校验对应资源的配额是否充足，可实现资源栈生命周期全程自动化：创建、更新、删除、回滚等操作。 智能编排资源、处理资源依赖 通过内置的依赖分析引擎，能够自动识别模板中各资源（如 “云主机依赖于虚拟私有云”“数据库依赖于安全组”）的层级关系与关联规则，生成最优部署拓扑与执行顺序。同时，通过分布式锁与状态同步机制，确保多节点并行部署时的数据一致性。

选择系统防护页签，可对终端设置防护。 参数 说明 病毒防护 针对网络中流行的病毒、木马进行全面查杀。 系统登录防护 配置登录权限。 配置病毒防护 病毒查杀用于对网络中流行的病毒、木马进行全面查杀。适用于需要自定义修改配置策略模板病毒防护场景。 1. 选择病毒查杀页签。 2. 配置检测引擎、实时防护等参数。 详细配置请参见下表： 参数 说明 通用设置 检测引擎 检测引擎选项： 默认引擎（高性能跨平台通用引擎，建议开启）。 深度扫描引擎（开启后将占用200MB磁盘空间，深度扫描引擎占用内存更多，但扫描速度更快（进行压缩包扫描时需要选择“深度扫描引擎”）。 网马引擎（网马专用引擎，根据网马特征扫描）。 通用设置 检测提升 扫描缓存加速（建议开启）。 病毒扫描 扫描模式 极速扫描。 低资源扫描，CPU使用率低于限额（默认50%，建议不低于20%）。 实时防护 扫描时机 默认全部勾选，用户可根据实际场景进行勾选。 当文件被执行时，将会触发实时防护功能。 当文件被修改时，将会触发实时防护功能。 当存储介质被连接时，将会触发实时防护功能。 实时防护 处理方式 发现病毒（文件执行、文件修改、存储介质连接时）后的处理方式： 自动处理（优先进行文件修复，修复失败后再隔离）。 仅记录。由用户自行选择。 删除（删除病毒文件）。

本文介绍天翼云AOne会议云录制相关问题。 什么是云录制？ 云录制是指将会议内容（包括音视频、共享内容等）在云端进行录制，并自动上传至云录制存储空间的功能。用户可在会议结束后下载、回放或分享录制内容。 云录制需要额外收费吗？ 不需要。AOne会议基础套餐默认提供云录制功能，并赠送一定的免费云录制存储空间。不同套餐的赠送容量不同。如果超出赠送的云录制空间额度，云录制可能失败。建议定期清理无效录制文件以释放空间，或及时增配云录制空间。 如何开启云录制？ 会议“主持人”或“联席主持人”具有发起云录制的权限，其他参会人可在会议中点击“录制”按钮，选择“云录制”，进行邀请“主持人”或“联席主持人”进行录制。同时AOne会议支持在预定会议时，配置自动开启云录制。 云录制内容都包括哪些？ 云录制内容默认包含：音频（发言人语音）、视频画面（包括发言人画面）、屏幕共享内容。 注：受不同模板限制，视频画面可能无法录制所有参会人。最多可录制16名发言人的视频画面。 云录制存储多久？可以下载吗？ 云录制文件目前未设置清理策略，默认永久存储，需要用户手动进行清理。支持用户从AOne会议客户端下载云录制文件。 谁可以查看和管理录制文件？ 云录制文件归属于会议创建者，由其管理并设置观看权限。默认情况下，同企业的参会者可查看云录制文件。

配置项 说明 对象组 指定规则所匹配的对象组。支持“包含任一对象则满足”或“包含所有对象才满足”。 说明 对象组、数据级别、敏感数据类型间是“或”的关系，与其他规则配置是“与”的关系。 数据级别 多选项，可选一级、二级、三级、四级、五级。 敏感数据类型 多选项，可选内置类型或后续新增的类型。 支持“包含任一类型则满足”或“包含所有类型才满足”。 操作类型 指定SQL语句的操作类型，如Select、Update、Delete等。可根据DDLDMLDCL来选择。 SQL模板ID 可填多值，多个值间以逗号“,”分隔。在审计日志详情中可查看。 SQL关键字 SQL关键字：支持以正则表达式方式匹配报文。单击<正则验证>输入表达式和校验内容，单击<提交>，验证输入内容与SQL关键字中的正则表达式是否匹配。可单击“添加条件”可添加多个关键字。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)。条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2 个SQL关键字条件，且两个关键字都要满足才能告警。 SQL长度 取值范围1B~64KB。 WHERE子句 是否包含WHERE，支持三个选项：不判断、有WHERE子句、没有WHERE子句。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname; FROM tablename; WHERE columnname operator value;

本章节介绍应用容灾多活的基线推送。 概述 应用容灾多活采用控制面和数据面分离的架构，当控制面上的资源管理数据发生变化时，需要通过基线推送将更新的数据同步至数据面。 如果变更涉及数据层和接入层配置调整，多活系统将自动编排数据检查和数据禁写等步骤，以确保数据一致性。 图 基线推送 前提条件 已创建应用系统。 已完成系统架构配置以及路由规则配置。 已完成接入层配置。 已完成数据层配置。 已完成服务层配置。 创建推送任务 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页面。 4. 在左侧导航栏选择容灾配置 ，在容灾配置菜单下单击总览 ，在总览 页面单击基础配置推送按钮进入基础配置推送列表页面。 5. 在基础配置推送列表 页面，点击左侧推送配置按钮，查看下方各个单元组配置变更。 6. 输入任务名称 ，单击确定按钮，自动跳转到基础配置推送任务列表页面。 7. 选择刚刚创建的任务，点击状态列，可以查看任务的各个步骤详情以及任务进度。 8. 在任务处理结果列，点击任务结果，可以查看任务详情信息。

事件规则用于监控特定类型的事件。当发生与事件规则相匹配的事件时，事件会被路由到与事件规则关联的目标。事件规则可以与一个或多个目标关联。本文介绍如何在事件总线EventBridge管理控制台管理事件规则，包括创建、查看和删除事件规则等操作。 前提条件 开通事件总线EventBridge并委托授权。 创建规则 1. 登录事件总线管理控制台。 2. 在左侧导航栏，单击事件总线。 3. 在事件总线页面，单击目标总线名称。 4. 在左侧导航栏，单击事件规则。 5. 在事件规则 页面，单击创建规则。 6. 在创建规则页面，完成以下操作。 1. 在配置基本信息 配置向导，在名称 文本框输入规则名称，在描述 文本框输入规则的描述，然后单击下一步。 2. 在配置事件模式 配置向导，完成对应配置，然后单击下一步。 3. 在配置事件目标 配置向导，配置事件目标，然后单击创建。 注意 1个事件规则最多可以添加5个事件目标。 查看规则 在事件规则 页面，找到目标事件规则，在其右侧操作 列单击详情。 在规则详情页面查看规则的基础信息、事件模式和事件目标。 禁用规则 在事件规则 页面，找到目标事件规则，在其右侧操作 列选择更多 > 禁用。 启用规则 在事件规则 页面，找到目标事件规则，在其右侧操作 列选择更多 > 启用。 编辑事件目标 1. 在事件规则 页面，找到目标事件规则，在其右侧操作 列单击编辑事件目标。 2. 在编辑规则 页面，修改事件目标配置，然后单击确认。

事件总线EventBridge是天翼云提供的一款Serverless事件总线服务，支持事件在总线中路由、过滤与转换，支持天翼云服务与自定义应用以标准化、中心化的方式接入，兼容CloudEvents 1.0协议，助力分布式事件驱动架构的快速构建。 核心概念 事件总线EventBridge涉及的核心概念如下： 事件：事件源状态变化的数据记录。 事件源：事件的来源，负责生产事件。 事件目标：事件的处理终端，负责消费事件。 事件总线：事件的中转站，负责事件的中间转储。 事件规则：用于匹配特定类型的事件。当事件成功匹配时，事件会被路由到与事件规则关联的事件目标。 事件总线总体架构 事件总线EventBridge的总体架构如下图所示： 事件源：事件的来源，将天翼云服务、自定义应用、SaaS应用等应用程序产生的事件消息投递至事件总线。 事件总线：存储接收到的事件消息，并根据事件规则将事件消息路由到事件目标。 事件目标：消费事件消息。 应用场景 事件总线EventBridge的典型应用场景如下： 构建事件驱动型架构：借助事件总线EventBridge，您无需了解事件源，就可以直接筛选并发布事件。 函数计算触发器：事件总线提供了统一的事件源接入方式，为函数计算服务提供SaaS应用事件或云服务事件的标准化接入。 应用事件流转：应用产生的事件可以通过事件总线触发其它相关联的应用，从而实现事件在应用与应用之间的流转。

本页介绍天翼云TeleDB数据库存储过程开发的变量使用实例。 变量声明语法 plaintext name [ CONSTANT ] type [ COLLATE collationname ] [ NOT NULL ] [ { DEFAULT : } expression ]; 如果给定DEFAULT子句，它会指定进入该块时分配给该变量的初始值。如果没有给出 DEFAULT子句，则该变量被初始化为SQL空值。 CONSTANT选项阻止该变量在初始化之后被赋值，这样它的值在块的持续期内保持不变。 COLLATE选项指定用于该变量的一个排序规则。如果指定了NOT NULL，对该变量赋值为空值会导致一个运行时错误。所有被声明为NOT NULL的变量必须被指定一个非空默认值。等号（）可以被用来代替 PL/SQL兼容的:。 定义一个普通变量 plaintext teledb CREATE OR REPLACE PROCEDURE ordinaryvar() AS $$ DECLARE 所有变量的声明都要放在这里,建议变量以v开头,参数以a开头 vint integer : 1; vtext text; BEGIN vtext 'teledbpg'; RAISE NOTICE 'vint %',vint; RAISE NOTICE 'vtext %',vtext; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL ordinaryvar(); NOTICE: vint 1 NOTICE: vtext teledbpg CALL teledb 定义CONSTANT 变量 plaintext teledb CREATE OR REPLACE PROCEDURE pconstant() AS $$ DECLARE vint CONSTANT integer : 1; BEGIN RAISE NOTICE 'vint %',vint; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL pconstant(); NOTICE: vint 1 CALL CONSTANT 不能再次赋值 plaintext teledb

本页介绍天翼云TeleDB数据库存储过程开发的变量使用实例。 变量声明语法 plaintext name [ CONSTANT ] type [ COLLATE collationname ] [ NOT NULL ] [ { DEFAULT : } expression ]; 如果给定DEFAULT子句，它会指定进入该块时分配给该变量的初始值。如果没有给出 DEFAULT子句，则该变量被初始化为SQL空值。 CONSTANT选项阻止该变量在初始化之后被赋值，这样它的值在块的持续期内保持不变。 COLLATE选项指定用于该变量的一个排序规则。如果指定了NOT NULL，对该变量赋值为空值会导致一个运行时错误。所有被声明为NOT NULL的变量必须被指定一个非空默认值。等号（）可以被用来代替 PL/SQL兼容的:。 定义一个普通变量 plaintext teledb CREATE OR REPLACE PROCEDURE ordinaryvar() AS $$ DECLARE 所有变量的声明都要放在这里,建议变量以v开头,参数以a开头 vint integer : 1; vtext text; BEGIN vtext 'teledbpg'; RAISE NOTICE 'vint %',vint; RAISE NOTICE 'vtext %',vtext; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL ordinaryvar(); NOTICE: vint 1 NOTICE: vtext teledbpg CALL teledb 定义CONSTANT 变量 plaintext teledb CREATE OR REPLACE PROCEDURE pconstant() AS $$ DECLARE vint CONSTANT integer : 1; BEGIN RAISE NOTICE 'vint %',vint; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL pconstant(); NOTICE: vint 1 CALL CONSTANT 不能再次赋值 plaintext teledb

本节介绍如何管理威胁情报类型。 约束与限制 系统内置威胁情报类型已默认关联已有布局，暂不支持自定义关联布局。 系统内置威胁情报类型默认处于启用状态，暂不支持进行编辑、启用、禁用、删除操作。 自定义威胁情报类型新增成功后，不支持修改类型标识。 查看已有威胁情报类型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，查看已有威胁情报的详细信息，参数说明如下表所示。 参数名称 参数说明 类型名称/类型标识 威胁情报的名称和标识。 关联布局 威胁情报已关联的布局。 启用状态 威胁情报的启用状态。 启用：当前类型已启用。 禁用：当前类型已被禁用。 失效时间 威胁情报的失效时间。 内置 是否为系统内置的威胁情报。 描述 威胁情报的描述信息。 操作 可以对威胁情报进行编辑、删除等操作。

本节介绍如何管理分类映射，如启用、禁用、删除操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“分类&映射”页签，进入分类映射管理页面。 5. 在分类映射管理页面中，对分类映射进行管理。 参数名称 参数说明 启用 说明 自定义新增的分类映射暂不支持启用操作。 在分类映射管理页面中，单击目标分类映射所在行“启用状态”列的禁用按钮。 当“启用状态”更新为“启用”时，表示启用成功。 禁用 说明 自定义新增的分类映射暂不支持禁用操作。 在分类映射管理页面中，单击目标分类映射所在行“启用状态”列的启用按钮。 当“启用状态”更新为“禁用”时，表示禁用成功。 删除 说明 暂不支持删除系统内置分类映射。 删除分类映射时，与待删除分类映射关联的插件、连接等都将立即停止。 分类映射删除后，无法恢复，请谨慎操作。 1.在分类映射管理页面中，单击目标分类映射所在行“操作”列的“删除”。 2.在弹出的删除映射确认页面中，确认无误后，单击“删除”。

本节介绍如何管理事件类型。 约束与限制 系统内置事件类型已默认关联已有布局，暂不支持自定义关联布局。 系统内置事件类型默认处于启用状态，暂不支持进行编辑、启用、禁用、删除操作。 自定义事件类型新增成功后，不支持修改“类型名称”、“类型标识”、“子类型标识”参数信息。 查看已有事件类型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“事件类型”页签，进入事件类型管理页面。 6. 在事件类型管理页面中，查看已有事件类型的详细信息，参数说明如下表所示。 参数名称 参数说明 类型名称 事件类型的名称。 子类型/子类型标识 事件子类型的名称和标识。 关联布局 事件类型已关联的布局。 启用状态 事件类型的启用状态。 启用：当前类型已启用。 禁用：当前类型已被禁用。 SLA 事件类型的SLA处理时间。 描述 事件类型的描述信息。 操作 可以对事件类型进行编辑、删除等操作。

本节介绍如何创建数据空间。 操作场景 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 当您需要使用态势感知（专业版）提供的 安全分析 、 数据分析 、智能建模等功能时，需要新增数据空间。 前提条件 已新增工作空间，具体操作请参见新增工作空间。 约束与限制 一个工作空间中最多可创建5个数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在数据空间列表左上角，单击“新增”，系统从右侧弹出新增数据空间界面。 6. 在新增数据空间页面中，配置新建数据空间参数，参数说明如下表所示。 参数名称 参数说明 数据空间 输入数据空间名称。命名规则如下： 名称长度取值范围为563个字符。 可包含英文字母、数字和。其中，不能出现在开头和结尾，且不能连续出现。 名称须为全局唯一，不能与其他数据空间名称相同。 描述 可选参数，设置该数据空间的备注信息。 7. 单击“确定”，完成数据空间的新增。 新增完成后，可以在数据空间列表中查看已新增的数据空间。

本文介绍如何查看容器审计事件。 容器审计提供正常和异常的容器事件统计，包括容器进程事件、文件事件、网络事件。 前提条件 容器集群已开启审计功能。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表内的容器名称，进入容器详情页面。 4. 选择“容器审计”页签，进入审计详情页面。可查看容器的正常事件和异常事件的数量随时间变化的折线图（默认统计最近15分钟内的事件），又分类统计了容器的进程事件、文件事件、网络事件的数量，可通过选择时间或拖拽下方进度条来查看不同时间段内，容器发生的事件信息。 5. 查看事件列表：在统计图下方以列表展示了容器中发生的事件信息，单击列表中某行，可展开查看对应事件的详细信息。 容器审计事件参数说明： 参数 说明 进程名称 进程的名称。 用户 执行用户。 路径 执行命令所在路径。 进程命令行 具体执行的命令行。 事件类型 容器的事件类型，分为进程事件、文件事件和网络事件。 进程事件：指在容器中运行进程的事件； 文件事件：指容器中对文件的读操作和写操作产生的事件； 网络事件：指访问、监听等网络活动产生的事件。 安全状态 安全状态分为“正常”和“异常”这两种状态。 时间 事件发生的时间，事件列表中以时间倒序的顺序进行展示。

SMS自定义策略 目前天翼云支持以下两种方式创建自定义权限策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 如果需要将主机迁移至企业项目，请参见企业项目进行权限配置。 SMS自定义策略样例如下。 { "Version": "1.1", "Statement": [ { "Action": [ "vpc:securityGroups:create", "vpc:securityGroupRules:create", "vpc:vpcs:create", "vpc:publicIps:create", "vpc:subnets:create", "ecs:cloudServers:create", "ecs:cloudServers:attach", "ecs:cloudServers:detachVolume", "ecs:cloudServers:start", "ecs:cloudServers:stop", "ecs:cloudServers:delete", "ecs:cloudServers:reboot", "ecs:cloudServers:updateMetadata", "ecs:serverPasswords:manage", "ecs:serverKeypairs:delete", "ecs:diskConfigs:use", "ecs:CloudServers:create", "ecs:servers:setMetadata", "ecs:serverVolumes:use", "ecs:serverKeypairs:create", "ecs:serverInterfaces:use", "ecs:serverGroups:manage", "ecs:securityGroups:use", "ecs:servers:unlock", "ecs:servers:rebuild", "ecs:servers:lock", "ecs:servers:reboot", "evs:volumes:use", "evs:volumes:create", "evs:volumes:update", "evs:volumes:delete", "evs:volumes:attach", "evs:volumes:detach", "evs:snapshots:create", "evs:snapshots:delete", "evs:snapshots:rollback", "ecs::get", "ecs::list", "evs::get", "evs::list", "vpc::list", "vpc::get", "ims::get", "ims::list" ], "Effect": "Allow" } ] } SMS策略权限说明参见下表 策略 权限说明 sms:server:queryServer 只读权限，可以查看源端服务器 sms:server:registerServer 操作权限，可以注册源端服务器 sms:server:migrationServer 操作权限，可以迁移源端服务器

本文为您介绍Serverless集群的域名DNS解析异常常见问题。 域名解析失败，如何定位处理？ 问题现象：域名解析失败。 可能原因：域名解析失败可能有如下4种情况：Serverless集群内是否已经安装了coreDNS插件、coreDNS服务是否正常、集群使用的安全组是否已经放开udp规则、pod容器到coreDNS网络是否连通。 解决方法： 1. 判断当前的异常原因。 2. 检查业务Pod的DNS配置，是否已经接入CoreDNS。 3. 检查CoreDNS Pod运行状态进行诊断。 4. 检查CoreDNS运行日志进行诊断。 5. 检查pod是否能访问CoreDNS。 6. 检查安全组是否已经放开UDP协议的53端口。 CoreDNS插件已安装但是在pod内部无法解析 kubernetes等service域名 问题现象：在容器内部是可以ping通coredns pod的ip，查看容器内部的/etc/resolv.conf也是正常的，但是nslookup kubernetes就是不能解析出ip。 可能原因：在nslookup kubernetes的时候，容器先通过/etc/resolv.conf中的nameserver写的coredns的serviceIP找到dns服务器，再通过dns服务器解析内部service域名。首先得确保coredns的service正常工作，使用curl 10.96.0.10:9153测试coredns的service明显不通。 解决方法：需要排查kubeproxy是否正常。 安装CoreDNS插件后并没有修改容器内部的/etc/resolv.conf 问题现象：查看随便一个pod，进入容器内部查看cat /etc/resolv.conf，发现并没有被coredns修改。 可能原因：可能是CoreDNS工作不正常。检查coredns pod是否有事件报错健康检查失败。 解决方法：检查coredns日志是否正常，重启coreDNS。

此章节为你介绍如何进行数据库审计的规则配置。 规则配置 规则配置是指根据一些特征（如客户端、服务端、SQL语句）定义危险行为（安全规则）、可以信任的行为（信任规则）和不审计的行为（过滤规则）。当系统审计到对数据库的操作匹配过滤规则的行为则不进行审计，对应匹配信任规则时不会触发告警，对应匹配安全规则时会触发告警。 系统匹配规则的顺序为： 1. 过滤规则 2. 信任规则 3. 安全规则 配置过滤规则 过滤规则的功能是根据某些特定的条件过滤一些操作，系统对这些操作不审计，从而节省设备的磁盘空间，将有限的资源用来存储更有价值的审计数据。 过滤规则的过滤方式有三种： 按IP过滤：设置某些IP地址为信任的IP地址，系统对这些IP地址发起的SQL请求不审计。 按SQL模板过滤：设置SQL模板为可信任的模板，当访问的SQL语句的模板是设置的过滤模板，则不进行审计。 按规则过滤：指按照特定的条件进行审计过滤，规则包括客户端信息、服务端信息、SQL请求和SQL结果等条件。 具体操作步骤请参考过滤规则章节。 配置信任规则 1. 在左侧菜单栏中选择“规则配置 > 信任规则”进入“信任规则”页面。 2. 单击“新增”，在弹出的新增规则对话框中编辑相关信息，具体参数请参考信任规则章节。 3. 配置完成后，单击“保存”即可完成信任规则的配置。

设置serviceclient 使用SDK访问对象存储服务，首先需要提供正确的AccessKey和SecretAccessKey以及服务端地址EndPoint，用于设置一个service client。 创建session 配置service client首先需要创建一个session， session包含了service client的配置信息，例如AccessKey、SecretAccessKey以及发送请求的附加信息等。一个session可以被用于创建多个service client。 代码示例： plaintext import ( "github.com/aws/awssdkgo/aws" "github.com/aws/awssdkgo/aws/credentials" "github.com/aws/awssdkgo/aws/session" "github.com/aws/awssdkgo/service/s3" ) ​ const ( Endpoint " " AccessKey " " SecretAccessKey " " ) ​ // BuildSession 创建并返回一个session func BuildSession() session.Session { conf : &aws.Config{ Endpoint: aws.String(Endpoint), // Set this to true to force the request to use pathstyle addressing, // i.e., By default, the S3 client // will use virtual hosted bucket addressing when possible // ( S3ForcePathStyle: aws.Bool(false), //Set this to true to disable SSL when sending requests. Defaults to false DisableSSL: aws.Bool(true), Credentials: credentials.NewStaticCredentials(AccessKey, SecretAccessKey, ""), LogLevel: aws.LogLevel(aws.LogDebug)} sess : session.Must(session.NewSessionWithOptions(session.Options{Config: conf})) return sess } 创建service client 代码示例： plaintext // BuildClient 创建并返回一个service client func BuildClient() s3.S3 { conf : &aws.Config{ Endpoint: aws.String(Endpoint), S3ForcePathStyle: aws.Bool(false), DisableSSL: aws.Bool(true), Credentials: credentials.NewStaticCredentials(AccessKey, SecretAccessKey, ""), LogLevel: aws.LogLevel(aws.LogDebug)} sess : session.Must(session.NewSessionWithOptions(session.Options{Config: conf})) svc : s3.New(sess) return svc }

本文将介绍如何拉取自建仓库的镜像。 ECI默认不提供公网资源的访问，因此ECI默认是不能拉取自建镜像仓库的镜像，如果您需要从自建镜像仓库等公网镜像仓库拉取镜像来创建ECI实例时需要实例具备公网访问的能力。本文介绍在自建镜像仓库使用自签发证书的情况下，如何拉取自建镜像仓库中的镜像来创建ECI Pod。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 当拉取公网镜像时，确保集群所在VPC已经开启公网NAT网关，能访问公网拉取镜像。 确保kubectl工具已经连接目标集群。 操作步骤 1. 创建镜像拉取凭证。 构造镜像拉取凭证，并且进行base64编码： shell echo "yourname:yourpassword" base64 echo '{"auths":{"harborxxxxx.xxx.com":{"username":"yourname","password":"yourpassword","email":"test@tel.com","auth":"xxxxx"}}}' base64 镜像拉取凭证保密字典testinternetimage.yaml示例如下： shell apiVersion: "v1" kind: "Secret" metadata: labels: serviceAccountName: "default" name: "testinternetimage" namespace: "default" data: ".dockerconfigjson": "xxxxxxxxxxxx" 填写base64编码后的镜像拉取凭证 type: "kubernetes.io/dockerconfigjson" 创建镜像拉取凭证保密字典： shell kubectl crate f testinternetimage.yaml 2. 创建工作负载。 构建工作负载podinternetimage.yaml，填写镜像拉取凭证，示例如下： shell apiVersion: "apps/v1" kind: "Deployment" metadata: name: "testinternetimage" namespace: "default" spec: replicas: 1 selector: matchLabels: app: "test" version: "v1" template: metadata: labels: app: "test" version: "v1" spec: containers: image: "harborxxxxx.xxx.com/test/nginx:latest"

介绍配置生命周期具体步骤。 功能说明 媒体存储支持基于对象的生命周期配置，您可通过控制台配置相关规则，实现定时删除指定的对象、碎片，管理对象的当前版本或历史版本等。 前提条件 已完成新建Bucket操作，具体可参考 新建Bucket 。 使用限制 如果一个对象同时命中多条生命周期规则，对象存储会以最短过期时间为准执行。 生命周期支持管理历史版本，但目前对象版本控制能力仅部分资源池支持，具体可参考：版本控制 。 操作步骤 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要配置生命周期的存储桶，并点击【基础配置】页签。 3. 在【生命周期】模块点击【添加规则】。 4. 根据弹窗指引填写相关的规则信息，包括状态、规则名称、应用范围、管理当前版本文件的时间、删除碎片时间。点击【确定】完成操作。 配置参数说明 参数 参数说明 状态 选择规则是否启用。 规则名称 规则名称不能为空，且在当前桶唯一。 规则名称不能超过255个字符。 应用范围 选择该规则适用的对象范围。 整个存储桶：规则对整个存储桶的对象生效。 指定范围：可选择对象前缀，或对象标签，对指定的对象生效。 管理当前版本 填写当前版本对象的规则，对于未开启版本控制的存储桶，则适用于桶里所有对象。 管理历史版本 填写历史版本对象的规则，对于未开启版本控制的存储桶，此填写项不展示。 删除碎片 填写碎片的规则。

本页介绍分布式融合数据库HTAP的资源管控功能。 资源管控简介 使用资源管控特性，您可以定义资源组 (Resource Group)，资源组是实现资源规划的逻辑单元，通过控制读写请求的流量和优先级，实现应用资源的隔离，满足服务质量要求。使用资源组可以保证即使个别应用过度使用资源，也不会影响其他应用的资源需求，从而实现应用间的有效资源分配和隔离。 使用场景 资源管控特性将一个分布式融合数据库HTAP实例划分成多个逻辑单元（资源组），即使个别单元对资源过度使用，也不会挤占其他单元所需的资源。合理利用资源管控特性可以减少实例数量，降低运维难度及管理成本。利用该特性： 您可以将多个中小型业务合入一个实例中，并为之分配不同的资源组，形成资源隔离的效果，当个别应用的负载升高，也不会影响其他业务的正常运行。 当系统中存在多种类型的负载时，可以将不同的负载分别放入各自的资源组。利用资源管控技术，确保实时类业务的响应时间不受数据分析或批量业务的影响。 使用限制 资源管控将带来额外的调度开销。因此，开启该特性后，分布式融合数据库HTAP实例的性能可能会有轻微下降（低于 5%）。 基本资源单位RU Request Unit (RU) 是分布式融合数据库HTAP实例对 CPU、IO 等系统资源的统一抽象的计量单位，用于表示对数据库的单个请求消耗的资源量。

本文介绍启用CDN后同名文件如何进行更新。 使用天翼云CDN加速后，如果需要对同名文件进行更新，可以参照以下方法进行操作： 1. 建议源站内容不使用同名更新文件。将更新后的文件重命名为一个新的文件名，确保与原文件名称不同。例如，videov1.0.mp4、videov2.0.mp4；之后在您的网站代码或应用程序中更新链接或引用，将指向原文件的URL更改为指向更新后的文件的URL。这样，访问您的网站或应用程序时将获取到最新的文件。 2. 如果必须使用同名更新文件，可以从控制台或API接口提交刷新请求，参考控制台刷新指引：刷新，或对外API接口案例：创建刷新任务。 3. 使用CDN刷新功能后，访问的资源如没有更新，可能的原因及解决方案如下： 使用CDN刷新虽然清除了CDN缓存，但是受到浏览器缓存的影响，导致访问到旧的资源。此时可尝试清理浏览器缓存，然后刷新页面，查看资源是否更新。 源站的资源没有更新，本身就是旧的资源。可将域名直接绑定源站（通过修改本地host的方式），直接访问源站，检查源站的资源是否更新。如果资源没有更新，请更新源站的资源，再在CDN加速控制台提交刷新任务。 刷新任务没有执行完毕。可检查刷新预取任务是否执行完毕，如果没有执行完毕，建议等任务执行成功后再进行测试。

如果您需要防护的域名数超过了套餐默认支持数量，可通过购买域名扩展包进行补充。1个域名扩展包1个主域名及该主域名下的9个子域名防护 glmoscodeexplain glmoscodeexplain 怎么判断需要订购的域名扩展包个数？ 例如：套餐版本默认支持1主域名和该主域名下的9个子域名数量（支持泛域名）。您可以接入1个主域名（ctyun.cn）以及该主域名下的9个子域名（www.ctyun.cn、.ctyun.cn、.ctyun.cn、www.等）。如果您还需要接入新的主域名，这时您需要购买1个域名扩展包来补充。 怎么查看您当前的域名数量？ 您可以登陆天翼云官网，在首页右上角点击【控制中心】在控制中心页面点击安全点击【Web应用防火墙（边缘云版）】跳转至Web应用防火墙（边缘云版）用户控制台； 在用户控制台页面点击【计费详情】查看您当前可使用的总主域名数量套餐主域名数量+域名扩展的主域名数量。 如何购买域名扩展包？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 注意 暂时不支持单独退订域名扩展包，如果需要单独退订，请

节点名称 系统权限 权限描述 CDM Job DAYU Administrator 数据治理中心服务的所有执行权限。 Import GES GES Administrator 图引擎服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL（通过MRS API方式连接MRS集群的） MRS Administrator KMS Administrator MRS Administrator：MapReduce服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 KMS Administrator：数据加密服务加密密钥的管理员权限。 MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client（通过代理方式连接集群） DAYU Administrator KMS Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 KMS Administrator：数据加密服务加密密钥的管理员权限。 DLI Flink Job、DLI SQL、DLI Spark DLI Service Admin 数据湖探索的所有执行权限。 DWS SQL、Shell、RDS SQL（通过代理方式连接数据源） DAYU Administrator KMS Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 KMS Administrator：数据加密服务加密密钥的管理员权限。 CSS DAYU Administrator Elasticsearch Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 Elasticsearch Administrator：云搜索服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 Create OBS、Delete OBS、OBS Manager OBS OperateAccess 查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限 SMN SMN Administrator 消息通知服务的所有执行权限。

查看作业任务列表 用户可以查看作业运行时每个任务的详细信息，例如任务的开始时间、收发字节数和运行时长等。 说明 如果数据为零，表示没有从数据源接收到数据。 1.在DLI管理控制台的左侧导航栏中，单击“作业管理”>“Flink作业”，进入Flink作业管理页面。 2.单击需要查看的作业名称，进入“作业详情”页面。 3.在“任务列表”页签，可以查看任务的节点信息。 查看算子任务列表，具体参见下表： 参数 说明 名称 算子名称。 持续时间 算子运行的持续时间。 最大并行数 算子中并行的Task的个数。 任务 算子的任务有以下几种： 红色数字表示已失败的Task个数。 浅灰色数字表示已取消的Task个数。 黄色数字表示取消中的Task个数。 绿色数字表示已完成的Task个数。 蓝色数字表示运行中的Task个数。 天蓝色数字表示部署中的Task个数。 深灰色数字表示排队中的Task个数。 状态 算子任务对应的状态。 反压状态 算子的工作负荷状态。包含如下几种状态： OK：表示工作负荷正常。 LOW：表示工作负荷略高。DLI处理数据的速度比较快。 HIGH：表示工作负荷高。源端输入数据的速度比较慢。 时延 指事件从源端算子到达本算子的过程中消耗的时间，单位为毫秒（ms）。 发送的记录数 算子发送数据的记录。 发送的字节数 算子发送的字节数。 接受的字节数 算子接收的字节数。 接受的记录数 算子收到数据的记录。 开始时间 算子运行开始时间。 结束时间 算子运行结束时间。

命名空间可以实现不同环境的配置的区分隔离，例如开发测试环境和生产环境的资源（如配置、服务）隔离等。不同的命名空间下，可以存在相同的Group或Data ID的配置。 前提条件 已创建Nacos引擎实例，具体操作可参考创建注册配置中心。 创建命名空间 说明 当创建实例时，会自动生成一个默认的命名空间public（保留空间），该命名空间不可编辑和删除。您可以直接使用此命名空间实现资源和服务的隔离。一共可以创建50个命名空间。 1、登录微服务引擎控制台，在左侧导航栏选择“注册配置中心”。 2、单击待操作的Nacos引擎实例名称。 3、在左侧导航栏选择“命名空间”，单击“创建命名空间”。 4、在弹出的创建命名空间对话框中设置参数如下，其中带的配置项为必填。 表 命名空间参数 参数 说明 命名空间名称 必填，可自定义填写命名空间名称，支持非@、 、$、%、^、&和，且不超过128个字符。 命名空间ID 可选，仅支持大小写字母、数字、短划线（）和下划线（）,且不超过128个字符。命名空间ID必须唯一。 5、单击“确定”，命名空间创建完成。 编辑命名空间 1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、单击待操作的Nacos引擎实例名称。 4、在左侧导航栏选择“命名空间”。 5、单击待编辑的命名空间名称后“操作”列的“编辑”，可编辑“命名空间名称”。 说明 自动生成的命名空间public不可编辑。 6、单击“确定”编辑完成。

本节介绍如何管理边缘虚拟机实例，包括实例状态管理、灾备和高可用设置等。 重置密码 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，选择需要操作的实例。 3. 在操作列点击【重置密码】，可进行虚拟机密码重置。 4. 用户也可以点击实例名称，进入实例详情，点击【重置密码】进行密码重置。 5. 也支持批量选中多个实例，点击【批量操作>实例状态>重置密码】进行批量密码重置。 注意 仅运行中的虚拟机支持密码重置。 密码长度要求8～26位，需包含大小写字母、数字、特殊字符的组合。 若为Windows操作系统，密码中不能包含关键字administrator（不区分大小写）。 开机 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，选择需要操作的实例。 3. 在操作列点击【更多>实例状态>开机】，可启动关机状态下的虚拟机。 4. 用户也可以点击实例名称，进入实例详情，点击【更多>实例状态>开机】对虚拟机进行开机操作。 5. 也支持批量选中多个实例，点击【批量操作>实例状态>开机】进行批量开机。 关机 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，选择需要操作的实例。 3. 在操作列点击【更多>实例状态>关机】，可对运行中的虚拟机进行关机操作。 4. 用户也可以点击实例名称，进入实例详情，点击【更多>实例状态>关机】对虚拟机进行关机操作。 5. 也支持批量选中多个实例，点击【批量操作>实例状态>关机】进行批量关机。 注意 若选择强制关机，未保存的数据可能会丢失，请谨慎操作。

本节介绍了智能语音交互使用限制类问答。 语音合成服务对于文本格式是否有要求？ 具体语音合成服务文本格式要求也可以参考语音合成API。 目前仅支持 base64 编码方式请求，暂不支持 url 方式请求。 一次请求仅支持一条数据。 智能语音交互产品是HTTP GET请求还是HTTP POST请求？ 智能语音交互产品以API的方式提供服务，支持HTTP POST请求。 HTTP POST提供了加密传输、身份验证和授权以及请求参数验证和过滤等机制，从而可以更好的保障用户的数据安全。 智能语音交互能否提供100%识别准确率？ 智能语音交互准确率与上传的文本内容质量相关，同时也存在一定概率的误差，无法做到100%识别准确率。 如您对当前使用的智能语音交互产品服务有识别准确率相关问题，您可通过提交天翼云官网工单或者拨打客服电话【4008109889转1】联系我们。 QPS不够用怎么办？ 默认支持5个QPS，建议您在程序中可以进行一定的请求限制，避免收到大量限流报错。 注意：如果您的程序在失败时有重试机制，当您扩大并发量后接口返回错误码时，请不要重试，否则可能加重限流报错情况。 智能语音交互服务是否支持私有化部署？ 智能语音交互支持公有云、私有化部署。 您可通过提交天翼云官网工单或者拨打客服电话【4008109889转1】沟通私有化部署相关合作。

本节介绍了初始化Linux数据盘（parted）的相关内容。 操作场景 本文以云主机的操作系统为“CentOS 7.4 64位”为例，采用Parted分区工具为数据盘设置分区。 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，因此当您初始化容量大于2 TB的磁盘时，分区形式请采用GPT。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 划分分区并挂载磁盘 本操作以该场景为例，当云主机挂载了一块新的数据盘时，采用parted分区工具为数据盘设置分区，分区形式设置为GPT，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 1.执行以下命令，查看新增数据盘。 lsblk 回显类似如下信息： root@ecstest0001 ~]

本节介绍了初始化Linux数据盘（fdisk）的相关内容。 操作场景 本文以云主机的操作系统为“CentOS 7.4 64位”为例，采用fdisk分区工具为数据盘设置分区。 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，因此当您初始化容量大于2 TB的磁盘时，分区形式请采用GPT。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》 物理机服务器请参见《物理机用户指南》。 划分分区并挂载磁盘 本操作以该场景为例，当云主机挂载了一块新的数据盘时，使用fdisk分区工具将该数据盘设为主分区，分区形式默认设置为MBR，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 1.执行以下命令，查看新增数据盘。 fdisk l 回显类似如下信息： [root@ecstest0001 ~]

本章主要介绍调用API。 API提供者在API网关开放自己的API后，API调用者从API网关中调用API。 调用限制 如果您使用调试域名（创建API分组时系统分配的调试域名）访问API，该调试域名每天最多可以访问1000次。 如果在API网关控制台“API管理 > API策略 > SSL证书管理”界面的“创建SSL证书”窗口中显示有“CA”参数，那么在调用API时，请注意以下限制。 − 使用HTTP/1.0协议调用API时，不允许请求头中存在"TransferEncoding"参数。 − 不允许使用CONNECT请求方法。 − 不允许请求头中同时存在参数"ContentLength"和"TransferEncoding"。 − 不允许请求行中存在空格或控制符。 − 不允许header name中存在空格或控制符。 − 不允许请求头"Host"中存在空格或控制符。 − 不允许请求头中存在多个"Host"。 前提条件 在调用API前，确保您的业务系统所在网络与API的访问域名或地址互通。 如果业务系统与API网关在相同VPC内时，可直接访问API。 如果业务系统与API网关在同一区域的不同VPC内时，可通过创建VPC对等连接，将两个VPC的网络打通，实现同一区域跨VPC访问API。 如果业务系统与API网关在不同区域的不同VPC内时，可通过创建云连接实例并加载需要互通的VPC，将两个VPC的网络打通，实现跨区域跨VPC访问API。 如果业务系统与API网关通过公网互通，请确保API网关已绑定弹性IP。

本小节介绍数据库安全审计功能类常见问题。 数据库安全审计可以应用于哪些场景？ 数据库安全审计采用数据库旁路部署方式，在不影响用户业务的提前下，可以对管理控制台上的RDS、ECS/BMS自建的数据库进行灵活的审计。 基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。 提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。 支持的数据库类型 数据库安全审计支持数据库类型及版本如表所示。 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 Orace (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Custer V8.0 Greenpum V6.0 HighGo V6.0 TAURUS MySQL 8.0 DAMENG DM8 KINGBASE V8 MongoDB V5.0