云数据库ClickHouse已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。本文为您详细介绍云数据库ClickHouse实例的策略与权限管理。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明，请参见统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本节主要介绍Redis实例CPU使用率高问题排查和解决 问题现象 Redis实例CPU使用率短时间内冲高。 可能原因 1. 客户的业务负载过重，qps过高，导致CPU被用满，排查方法请参考排查QPS是否过高。 2. 使用了keys等消耗资源的命令，排查及处理措施请参考查找并禁用高消耗命令。 3. 发生Redis的持久化重写操作，排查及处理措施请参考是否存在Redis的持久化重写操作。 排查QPS是否过高 在分布式缓存服务控制台的缓存管理页面，单击实例进入实例详情界面，单击左侧的性能监控，进去性能监控页面，可以查询实例级别的每秒并发操作数（qps）。 查找并禁用高消耗命令 使用了keys等消耗资源的命令，高消耗资源的命令即时间复杂度为O(N)或更高的命令，通常情况下，命令时间复杂度越高，在执行时消耗的资源越高，这会导致CPU使用率超高，容易触发主备倒换。关于各命令对应的时间复杂度信息请参见Redis官网。例如，使用了keys等消耗资源的命令，导致CPU超高，建议客户改成scan命令或者禁用keys命令。 步骤 1 通过性能监控功能，确认CPU使用率高的具体时间段。 步骤 2 通过下述方法，找出高消耗的命令。 慢查询功能会记录执行超过指定时间阈值的命令，通过分析慢查询的语句和执行时长可帮助您找出高消耗命令，具体操参见查询Redis实例慢查询。 通过实例诊断功能，选择CPU冲高的时间点进行诊断后，可以看到报告中的对应时间段命令的执行情况以及CPU耗时百分比，具体操作参见实例诊断。 步骤 3 处理措施。 评估并禁用高风险命令和高消耗命令，例如 FLUSHALL 、 KEYS 、HGETALL等。 优化业务，例如避免频繁执行数据排序操作。 可选： 根据业务情况，选择下述方法对实例进行调整： 调整实例为读写分离实例，对高消耗命令或应用进行分流。 扩容实例增强实例处理能力。

本文介绍表详情，表详情中展示了表的基本信息、表的字段信息和索引信息，您可以在表详情中，全面地了解并高效地使用表数据。 背景信息 表详情中引入表的元数据，可以帮助用户更好地理解数据的含义，提高开发和管理效率，元数据包括：表所属库和实例、表名、字段、索引、注释、环境等。 前提条件 已经录入实例并登录实例。 操作的库或者模式下拥有建好的表数据。 拥有该表的查询权限。 操作步骤 平台提供了多个进入表详情页面的入口，包括： 通过 数据资产 >实例管理 > 库/模式列表 > 对象列表 >表tab ，点击详情操作进入。 通过查询窗口 操作页，表tab右键表名称 选择表详情进入。 功能介绍 表详情页面旨在为用户提供关于特定数据库表的详细信息和管理功能。该页面汇总了表的结构、元数据、索引等多方面的信息，使用户能够深入了解和管理数据库表。 在表详情页面，主要功能如下表所示： 表1. 表详情介绍 区域 说明 菜单栏 新建表 ：点击新建表 按钮，跳转到对应页面，详情请参考查询和新建/编辑表结构。 同步元数据 ：点击同步元数据按钮，能同步当前表的元数据信息。 查询窗口 ：点击查询窗口按钮，能打开对应的查询窗口。 表概览 当前所在表：显示当前表的名称，可以下拉选择其他表，打开其他表的表详情。 实例地址：显示当前表所在实例的实例地址，包括IP和端口信息。 数据库类型：显示当前表所在实例的实例类型，比如MySQL、PostgresSQL、SQLServer、DRDS等。 环境 ：显示当前表所在实例所对应的环境，比如开发、测试等。 基本信息 表名称：显示表的名称。 行：显示当前表有几条行记录。 主键：显示当前表的主键信息。 数据长度：显示当前表中数据的总大小。 索引长度：显示当前表中索引的总大小。 字符集：显示当前表的字符集信息。 排序规则：显示当前表的排序规则信息。 创建时间：显示当前表的创建时间。 修改时间：显示当前表的修改时间。 注释 ：显示当前表的注释。 列信息 字段名：表中字段的名称。 类型：表中字段的类型。 描述：表中字段的描述。 可空：表中字段是否可以为空。 自增：表中字段是否自增。 默认值 ：表中字段的默认值。 索引信息 索引名：表中索引的名称。 索引类型：表中索引的类型，比如BTREE、HASH等。 包含列：表中索引包含的列字段的名称。 备注 ：表中索引的备注。 通过提供这个综合的表详情页面，我们的目标是简化用户对数据库表的管理任务，提高操作效率，同时为用户提供丰富的信息，以便更好地理解和利用数据库中的数据。

本节介绍了灰度升级的相关内容。 操作场景 当涉及新功能或问题修复等需要进行版本升级时，云数据库GaussDB提供了灰度升级的方式，灰度升级支持升级自动提交和升级待观察两种操作方式。 升级自动提交是先升级所有备DN，再升级主DN，最后升级CN，升级完成后会自动提交升级。 升级待观察又名滚动升级。升级待观察方式升级完成后进入观察状态，可以在此期间观察业务状态，根据业务情况选择提交或回退本次升级。 − 分布式版实例按照分片进行滚动，操作请参见分布式版实例升级。 − 集中式版实例按照AZ进行滚动，操作参见集中式版实例升级。 操作流程 操作步骤 说明 步骤一：升级前检查 版本升级前需要检查实例状态和实例的CPU使用率、内存使用率、磁盘使用率等监控指标是否正常。 步骤二：升级操作 支持两种升级方式：升级自动提交和升级待观察。用户可以根据需要选择单个实例升级，也可以选择批量升级多个实例。 步骤三：升级后验证 升级完成后需要检查升级后的实例状态、备份创建、连接实例是否正常，能否进行正常的增加、删除、修改、查询操作。 注意事项 DN磁盘使用率不得高于设置磁盘使用率阈值减去10%的值。 说明 DN磁盘使用率可以通过管理控制台监控指标查看。 磁盘使用率阈值可以联系技术支持人员获取。 实例节点状态异常，不支持版本升级。 升级待观察方式支持手动回退操作，升级自动提交不支持手动回退操作。 版本升级/回退过程中不支持磁盘扩容、规格变更、备份、重置密码、重启实例、删除实例等操作。 建议在业务较小的时候执行版本升级操作，以确保CPU，磁盘，内存使用率等都有较大的空闲。 在大版本升级时如果使用升级自动提交方式，在执行升级前会关闭归档日志，用户无法通过归档日志进行PITR恢复，可能会造成数据丢失。 在大版本升级时如果使用升级待观察方式，升级过程中全量备份将无法触发，差量备份可能失败。升级观察期间待所有AZ都升级完成后才允许执行手动全量备份，在提交升级前仍会进行归档日志，用户可以通过归档日志进行PITR恢复，保证数据不会丢失。提交升级时会关闭归档日志。 如果升级过程中出现异常导致升级失败，系统会自动对实例进行回退，您可以联系技术支持，由工程师给出分析评估后重新执行升级。 在升级主DN和CN的过程中分别会有一次10秒左右的业务中断。 升级结束后会触发自动备份，开启关闭的归档日志。需要注意的是小版本升级不会触发自动备份。仅V2.02.2以上版本的实例才能进行归档日志。 说明 小版本升级，例如：从V2.01.a.x升级到V2.01.a.y或者V2.02.a.x升级到V2.02.a.y。 大版本升级，例如：V2.01.x升级V2.02.x或者V2.02.x到V2.02.y等。

功能项 功能说明 标准版 专业版 身份认证 用户账号双因子认证 支持手机令牌、手机短信、USBKey、动态令牌等多因子认证形式。 √ √ 身份认证 用户账号远程认证 支持AD域、RADIUS、LDAP、Azure AD远程认证。 √ √ 权限控制 系统访问权限 通过划分组织部分结构、分配用户角色、设置用户登录限制，控制用户登录和访问系统权限。 √ √ 权限控制 资源访问权限 按照用户、用户组、资源账户、账户组，建立用户对资源的访问控制授权，通过配置访问控制策略、双人授权、命令控制策略，实现对资源不同维度的控制。 √ √ 权限控制 双人授权 通过配置“双人授权”实现双人或多人权限审核，保障核心资源安全。 √ √ 权限控制 字符命令拦截 通过配置命令控制策略，对字符协议资源关键操作，进行动态授权。 √ √ 权限控制 数据库命令拦截 通过配置数据库控制策略，对数据库资源敏感、危险等操作，进行精确限制、二次复核。 说明：数据库命令拦截功能不区分云数据库还是自建的数据库。 × √ 账户管理 用户账号全生命周期管理 用户账号单个创建、批量导入、批量管理，以及划分用户组管理。 √ √ 账户管理 资源账户全生命周期管理 资源和资源账户的单个添加、批量导入、批量管理，以及资源账户的划分账户组管理。 √ √ 账户管理 纳管主机资源 支持纳管SSH、RDP、VNC、TELNET、FTP、SFTP、Rlogin协议类型的Linux和Windows资源。 √ √ 账户管理 纳管应用资源 支持通过Windows应用服务器，纳管Chrome、Edge、Firefox、Oracle Tool 、MySQL等浏览器或客户端应用资源。 √ √ 账户管理 纳管数据库资源 支持纳管DB2、MySQL、SQL Server和Oracle引擎类型数据库。 × √ 账户管理 资源账户自动改密 通过配置改密策略，定期修改资源账户密码，管控资源账户及登录密码。 √ √ 账户管理 资源账户自动同步 通过配置账户同步策略，及时发现僵尸账户或未被管控账户。 × √ 操作审计 系统登录和操作全程记录 支持导出系统日志、生成系统报表，以及配置告警通知。 √ √ 操作审计 资源运维操作全程审计 支持多种审计技术和审计形式，会话实时监控，历史会话可生成视频、导出文本报表的双重审计，并支持日志远程备份。 √ √ 操作审计 数据库行为审计 基于操作命令审计数据库运维全程。 × √ 高效运维 Web浏览器一站式运维 远程登录资源，无需安装客户端，一键登录运维资源，并集成批量登录、协同会话、文件传输、命令群发等功能。 √ √ 高效运维 第三方客户端运维 一键接入多种运维工具，支持多种运维形式，包括SSH客户端运维、FTP/SFTP客户端运维等。 √ √ 高效运维 数据库运维 通过SSO单点登录工具调用客户端，一键登录目标数据库。 × √ 高效运维 自动化运维 在线管理脚本，以及定时执行预置运维任务。 × √ 工单申请 访问授权工单、命令授权工单申请 系统用户为获取资源控制权限，通过手动或自动方式触发系统工单，提交工单给系统管理人员审批，获取权限的全程。 √ √ 工单申请 数据库授权工单申请 系统用户可触发数据库敏感操作，自动生成授权工单，系统用户需提交工单申请，由管理人员审批通过才能获取继续操作权限。 × √

天翼云搜索服务的OpenSearch实例支持多种访问方式，本文将对各种访问方式适用场景进行简单介绍。 OpenSearch Dashboards访问 OpenSearch实例支持通过OpenSearch Dashboards可视化界面进行连接。用户可以通过登录页面输入用户名和密码访问实例，默认用户名为admin，密码为创建实例时设置的管理员密码。Dashboards提供了强大的数据可视化和管理功能。 Curl命令行方式 用户可以使用Curl命令行与OpenSearch实例进行通信。Curl命令允许执行多种操作，如创建索引、查询数据、更新和删除文档，适合用于快速测试和管理实例。 Python客户端访问 OpenSearch提供官方Python客户端（opensearchpy），允许开发者通过API与OpenSearch实例交互。该客户端适用于数据索引、复杂查询和自动化脚本，适合大规模数据处理和分析场景。 Java客户端访问 Java客户端提供对OpenSearch实例的深度集成，使用RestHighLevelClient等API与OpenSearch通信。Java客户端非常适合在企业级应用中进行复杂搜索、实时数据处理等操作，能够与Spring等框架很好地结合。 Go客户端访问 Go客户端支持与OpenSearch REST API高效交互，特别适合需要高并发、低延迟的应用。通过Go客户端，可以实现对OpenSearch实例的快速连接和操作，常用于高性能、可扩展的云搜索服务场景。

为什么调用 GLM5.1、GLM5 和 GLM5Turbo 时额度消耗更快？有没有节省额度的方式？ GLM5.1、GLM5、GLM5Turbo 作为高阶模型，调用时用量将按照 “高峰期 3 倍，非高峰期 2 倍” 进行计算抵扣； 我们推荐您在复杂任务上切换至 GLM5.1 处理，普通任务上继续使用 GLM4.7，以避免套餐用量额度消耗过快。（作为限时福利，GLM5.1、GLM5Turbo 将在非高峰期仅作为 1 倍抵扣，持续到 6 月底，注：高峰期为每日的 14:00～18:00 ） 更节省额度的使用建议: GLM4.7 对标 Claude 的 Sonnet 级模型，日常开发与常规任务使用 GLM4.7 即可。 GLM5.1 对标 Claude 的 Opus 级模型，复杂推理、大型工程任务等高难度场景再切换至 GLM5.1 通过合理搭配不同模型能力层级，可以在保证效果的同时，更高效地控制额度消耗。 套餐使用量如何查询？ 不同等级套餐的额度参见套餐概述，暂不支持使用量查询。 套餐额度耗尽后，可否继续使用Token按量、Tokens量包等服务？ 不可以。当套餐额度耗尽后，需要等待下一个周期恢复额度或者套餐过期失效后再次购买，不会继续消耗Token按量/Tokens量包等资源，也不会扣除账号余额。

本章节介绍Ranger的基本原理。 简介 Ranger提供一个集中式安全管理框架，提供统一授权和统一审计能力。它可以对整个Hadoop生态中如HDFS、Hive、HBase、Kafka、Storm等进行细粒度的数据访问控制。用户可以利用Ranger提供的前端WebUI控制台通过配置相关策略来控制用户对这些组件的访问权限 。 Ranger主要由RangerAdmin、RangerUserSync、RangerPlugin三个组件构成。其中，RangerAdmin和RangerUserSync都是独立的JVM进程，而RangerPlugin需要根据不同组件的部署方式安装在对应节点上。 名称 描述 RangerAdmin Ranger的管理角色，拥有策略管理、用户管理、审计管理等功能，提供WebUI和RestFul接口。 UserSync 负责周期从外部同步用户和用户组信息并写入RangerAdmin中。 组件Ranger插件 Ranger为各大数据组件提供了基于PBAC的权限管理插件，用于接管或替换组件原生的鉴权能力。 Ranger插件通常基于组件侧已有的鉴权接口进行扩展和适配。管理员可在Ranger WebUI中针对指定Service配置访问控制策略。组件侧Ranger插件会周期性从RangerAdmin拉取最新策略，并将策略缓存在组件本地。当客户端请求访问组件资源时，Ranger插件会根据请求中的用户、用户组、访问资源、操作类型等信息，与本地缓存的策略进行匹配，并最终返回允许或拒绝的鉴权结果。

撞库的防护原理 边缘安全加速平台安全与加速服务针对撞库的防护方式主要是以下两种： 频率限速：由于攻击者需要不断访问登录接口，因此可以通过异常速率来限制撞库。 用户登录信息与泄露信息库比对：将用户信息与实时更新的泄露信息库做相关数据对比，查看用户是否正在使用已暴露的密码，根据结果采取对应措施。 暴力破解是什么？ 暴力破解是指攻击者通过脚本等方式实现原有的尝试登录流程，不断重复尝试登录的一个过程，从理论上来看只要时间足够，所有的账号都有被暴力破解找到口令的可能，对普通用户爆破可以造成个人的财产损失，对网站管理员的账号爆破则可以危害公司资产。 暴力破解的防护原理 边缘安全加速平台安全与加速服务主要通过爆破行为监控来防护。 批量注册是什么？ 批量注册是指通过脚本实现原有的正式注册流程，不断重复执行注册的一个过程，可以短时间内得到目标大量的新用户，用作于ddos攻击、业务利用等非法行为。 批量注册的防护原理 注册行为监控：由于批量注册需要不断访问注册接口，因此可以通过一些基本粒度（如ip等）去统计访问行为并设置对应触发值。 注册行为挑战：通过交互方式挑战达到防护纯机器注册的效果（如验证码、行为挑战）。

本文介绍边缘接入服务IP应用加速Gzip压缩功能。 背景介绍 在一些大文件传输业务场景，尤其在业务高峰期，会占用很多宝贵的带宽资源且增加发送时间，降低加速体验效果。在此背景下，我们提出对上下行传输内容同时进行压缩，提升中间节点传递速度，同时降低带宽成本。 Gzip基于DEFLATE算法，它是LZ77和霍夫曼编码的组合，最早用于UNIX系统的文件压缩。HTTP协议上的Gzip编码是一种用来增进Web应用程序性能的技术，Web服务器和客户（浏览器）必须共同支持Gzip，当下主流的浏览器都是支持Gzip压缩，包括IE6、IE7、IE8、IE9、FireFox、Google Chrome、Opera 等。 功能介绍 开启Gzip压缩功能后，可以减少平台中传输的内容，能够带来两个明显的好处，一是降低节点带宽，二是通过网络传输文件时，可以减少传输的时间。 IP应用加速会对传输在IP应用加速上行和下行的数据同时进行压缩： 对于上行而言，传输内容在边缘节点压缩后，在回源节点进行解压缩后传给源站。 对于下行而言，回源节点进行压缩，在边缘节点进行解压缩后返回给客户端。 注意事项 常用的视频类型（MP4、WMV、AVI等）和图片类型（JPG、PNG、JPEG等）一般已进行压缩处理，无需再开启Gzip压缩。 建议仅针对大文件传输开启压缩功能。

本章节介绍注册配置中心RCC子产品应用场景 分布式协同 提供分布式系统中服务注册发现及协同调度能力，确保系统状态一致性并完成预期的功能请求，包括状态管理，分布式锁，服务发现，监控检查等。助力用户轻松构建稳定、高可用的分布式服务。 分布式系统中一个绕不过去的问题是如何协同系统中各个分布的模块，确保系统状态的一致性并完成预期的功能，包括状态管理，分布式锁，服务发现等；将分布式系统这一核心必备能力抽象成为组件对外提供服务，使得开发者不用过多了解分布式细节，即可基于这列组件轻松构建稳定、高可用的分布式服务。 分布式配置管理 提供分布式应用配置集中管理能力，包括配置热生效、配置历史查看、配置数据回滚等，支持主流的Nacos 配置中心，支持原生数据无缝迁移，帮助您高效解决分布式环境下多应用的配置管理问题。 在分布式服务架构中，当系统从一个单体应用，被拆分成分布式系统上一个个服务节点后，配置文件也必须跟着迁移分割，这样配置就分散了，不仅如此，分散中还包含着冗余，而配置中心将配置从各应用中剥离出来，对配置进行统一管理，应用自身不需要自己去管理配置。

本文为您介绍注销受保护的服务器的操作流程。 操作场景 当您添加的受保护服务器不再需要保护时，可以从保护组中注销该服务器。 注销受保护服务器仅仅是将服务器移出保护组，该云主机资源仍存在，您可以在云主机控制台下查看该资源。 注意 受保护的服务器处于“客户端安装中”、“启动复制中”、“故障切换中”等中间状态，无法执行注销操作。 前提条件 已经添加受保护服务器。 受保护的服务器处于“全量复制停止”、“实时复制停止”、“故障切换完成”、“确认故障切换完成”等正常状态。 受保护的服务器处于“客户端安装失败”、“复制出错”等异常状态。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞服务器操作＞注销”，进入确认对话框。 7. 在确认对话框，单击“确定”，完成注销操作。

本小节介绍态势感知应用场景，态势感知主要用于边界安全应用场景。 重点行业信息系统 能源、金融、交通、教育、医疗、市政、电信与互联网、政府部门等支撑关键业务的信息系统。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。 电子政务和门户 各级党政军门户网站，教育类网站，重大活动及会议保障， 重点新闻网站等。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。 大型互联网平台 注册用户、订单额或交易额较大，一旦发生网络安全事故，产生较严重影响，如敏感信息泄露、基础数据泄露等。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击信息泄露安全事件，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。

采集参数 每个监控项的对应的采集器会定义一些采集参数，用户可以在页面更改采集参数，并且随着心跳参数下发到agent，更改采集行为。比如默认情况，出于安全考虑APM不会采集redis指令里面的内容，如果用户有需求，可以更改监控项的采集参数，实现具体指令数据内容的采集。采集参数也可以定义在环境标签上面，这样打了对应的环境标签自动继承属性，实现配置自动化。 指标集 一个采集器会采集多个指标集的数据。比如Url的采集器会采集Url详情信息，总体调用情况，状态维度的统计等多种维度的统计值，每一种统计值对应一个指标集。同时每一种指标集又包含多种指标，比如Url详情的指标集，会包含url，method，调用次数，错误次数，最慢调用等多种指标，并且每一种指标都对应一种数据类型。 APM指标支持的数据类型包含如下几种： 表 APM指标数据类型 数据类型 描述 说明 ENUM 枚举类型 代表字段为主键类型比如Url监控的url、method指标属于主键，其他调用次数等指标都是与url和method相对应 INT 整数类型 最大支持8字节长整类型 DOUBLE 浮点数据 8字节浮点数 STRING 字符串类型 最大长度1024 CLOB 大字符串类型 最大支持1M DATETIME 时间类型 在显示界面自动展示成时间格式

本文主要介绍应用场景 性能测试具备强大的分布式压测能力，应用十分广泛，适合互联网、数字化营销平台、车联网、金融等各行业。 电商抢购测试 电商抢购已成为当前互联网应用的普遍需求，有并发用户高、突发请求大、失败用户反复重试等特征，如何保证在高负载运行情况下网站的可用性已经成为运维保障的重点。 优势 真实场景模拟：秒级百万并发能力，瞬间发起大量并发压力，可在一个测试模型里面模拟全网站高负载。 专业测试报告：提供按时延响应区间的统计，客观反映用户体验。 失败用户重试：多种表达式的自定义结果比对，未正常进入网站的可以重试。 电商抢购测试 游戏高峰测试 游戏行业业务波峰波谷明显，具备弹性伸缩的能力，一方面需要验证弹性伸缩是否可以正常工作，另一方面需要验证在流量突发高峰场景下，时延等关键KPI是否达标。 优势 多场景组合模拟：通过多事务组合、事务元素多样性、报文自定义功能模拟真实场景。 波峰波谷模拟：针对每个单事务根据时间段定义压测曲线，模拟波峰波谷。 KPI度量：通过自定义响应超时时间，验证高峰场景游戏KPI满足度。 游戏高峰测试

此小节介绍云堡垒机产品优势。 HTML5一站式管理 无需安装特定客户端，无需安装任何插件，任意终端的主流浏览器，包括移动端APP浏览器登录，用户随时随地打开即可进行运维。 系统HTML5管理界面简洁易用，集中管理用户、资源和权限，支持批量创建用户、批量导入资源、批量授权运维、批量登录资源等高效运维管理方式。 操作指令精准拦截 针对资源敏感操作进行二次复核，系统预置标准Linux字符命令库或自定义命令，对运维操作指令和脚本的精准拦截，并可通过异步“动态授权”，实现对敏感操作的动态管控，防止误操作或恶意操作的发生。 核心资源二次授权 借鉴银行金库授权机制，针对重要资源的运维权限设置多人授权，若需登录此类资源，需多位授权候选人进行“二次授权”，加强对核心资源数据的保护，提升数据安全防护能力和管理能力，保障核心资产数据的绝对安全。 应用发布扩展 针对数据库类、Web应用类、客户端程序类等不同应用资源，提供统一访问入口，并可提高对应用操作的图形化审计。 数据库运维审计 针对DB2、MySQL、SQL Server和Oracle等云数据库，支持统一资源运维管理，以及SSO单点登录工具一键登录数据库，提供对数据库操作的全程记录，实现对云数据库的操作指令进行解析，100%还原操作指令。

本节介绍如何使用内容安全检测服务。 Web应用防火墙提供内容安全检测服务，基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、涉政、惊悚、违禁广告等敏感违规内容，并提供文本内容纠错审校（错别字、生僻字、语法表述不当等有违准确性内容）。并提供专业检测报告助您自纠自查，降低内容违规风险。 使用须知 购买内容安全检测服务后，系统立即执行检测。 检测过程中，不支持修改检测域名、暂停任务、退费等操作。 确定网站检测配额。 “检测类型”选择“内容安全单次检测（按需）”时，下单后的7个工作日内出报告。 “检测类型”选择“文本安全监测（按月/按年）”时，下单后的检测周期（1个月）后的7个工作日内出报告。 10个工作日内检测完成。 步骤一：购买内容安全检测 购买内容安全检测，配置“检测类型”和“检测对象”，可对“检测对象”对应的文本类型进行安全检测。 支持批量购买内容安全检测，可一次输入一个或多个“检测对象”进行安全检测。购买步骤详见订购内容安全检测。 注意 检测任务创建后，一次性扣费，不支持修改和暂停任务，请您仔细核对检测信息。

本文介绍DRDS性能优化建议。 默认开通的DRDS及MySQL实例的相关配置并不一定适合所有业务场景，当出现某些性能瓶颈时，可以针对以下方面进行优化。 应用优化 建议应用侧使用连接池连接DRDS实例，可以避免大量短连接，提升应用效率。 SQL优化 建议应用侧经常关注TOP语句包括广播语句、慢SQL等，及时优化SQL语句。SQL语句尽量携带分片键，SQL尽量简单并且使用索引。尽量控制事务边界，减少分布式事务。 DRDS优化 建议用户控制好应用程序到DRDS的前端连接数量，连接数是保证系统稳定运行的一个关键因素，用户可根据实际需要调整DRDS前端连接数。DRDS到MySQL提供可配置的连接池，用户可根据实际需要调整DRDS后端连接池配置，以发挥MySQL的性能。 注意 由于DRDS有多个节点，每个节点都有到MySQL的后端连接池，因此DRDS后端连接总数不能超过RDS的最大连接数。比如MySQL最大连接数是3000，以中级版3节点的DRDS为例，则DRDS后端连接配置最大连接数不能超过1000。 MySQL优化 建议用户从内存（bufferpool等）、线程数、连接数、IO等方面优化MySQL参数配置。 规格扩容 必要情况下考虑扩容MySQL规格及磁盘、扩容DRDS的规格、增加MySQL实例数量。

MySQL实例连接数满 1. 请及时排查业务侧连接是否有效，优化实例连接，释放不必要的连接。 2. 规格偏小，请对数据库进行规格扩容。 3. 修改最大连接数。 数据库实例默认最大数据连接数为3000，您可以通过下述命令查看当前实例设置的最大连接数： show global variables like 'maxconnections'; 如果您需要对最大数据连接数进行调整，您可以通过调整数据库实例参数maxconnections进行调整，修改方式参见修改参数组。 如果ECS和数据库部署在了不同的VPC，无法连接怎么办 您可以采用如下任一方式处理该问题： 1. 可以将ECS的虚拟私有云切换为与数据库相同的虚拟私有云。具体操作，请参考虚拟私有云虚拟私有云VPC管理修改虚拟私有云。 2. 为两个不同的虚拟私有云建立对等连接，实现内网互通。具体操作，请参考创建对等连接申请对等连接（同账号）。 MySQL实例状态是否异常 排查数据库实例是否异常，可以在管理控制台上查看实例的状态。如果实例因欠费或者到期而处于不可用的状态，或者因实例本身因某些原因导致异常，也会导致客户端无法连接到实例。

本文介绍天翼云AOne会议产品计费概述信息，帮助您快速了解AOne会议的计费构成与使用规则。 计费构成 AOne会议的计费体系由基础套餐（必选） 与增值服务（可选）两部分构成，用户可根据业务场景灵活选择。 基础套餐 套餐为会议使用的基础能力包，按高级账号数量计费： 高级账号支持加入会议、快速会议、预定会议等会前控制能力，同时支持发起云录制、会议安全管控等能力。 每个账号可独立创建和管理会议，满足日常办公与协作需求。 增值服务 针对更高规格会议或者对会议转直播观看等场景，AOne会议支持按需订购以下增值服务： 大型会议室：支持发起超大规模会议接入，按并发参会人数选购不同规格的大型会议室。 直播观看时长：支持将会议内容直播给未参会人员观看，按直播观看总时长（单位：分钟）计费。 计费说明 AOne会议采用预付费计费模式，基础套餐（必选）和增值服务（可选）均需提前订购并支付费用，订购规则和使用限制如下： 基础套餐订购规则 AOne会议提供免费版、标准版、旗舰版多种套餐版本，包周期计费，支持包月或包年订购。 用户可根据实际使用需求选择周期，系统按周期一次性收取费用。 套餐订购成功后即刻生效，有效期内可正常使用对应会议能力。

本节介绍什么是云安全中心。 云安全中心（CTCSC，Cloud Security Center，简称云CSC）作为用户侧的安全中心，通过对各个主机资产、安全设备告警日志等数据的采集对数据进行应用，通过安全数据的统一汇聚进行安全数据的统一融合化处理，通过平台整体整合形成数据汇聚、威胁检测、告警响应的业务能力，对业务进行应急处置和统计分析，满足态势感知、响应处置拦截、威胁预警和攻击行为溯源等目标，最终实现统一的前台展示，帮助用户实现威胁检测、溯源、响应的自动化安全运营闭环。 云安全中心系统主要包含应用中心、安全分析中心、安全数据汇聚以及安全响应中心四大模块。 应用中心：提供各类安全数据的展示、资产以及风险管理，对各类安全指标进行统计分析，出具安全运营报告，实现安全系统数据的统一管理、统一运营。 安全分析中心：实现安全分析和数据分析，构建各类威胁模型，深度检测安全威胁，智能分析辅助安全决策，感知整体安全态势。 安全数据汇聚：实现各类数据源的数据收集，实现数据服务、数据存储、数据处理以及数据采集等。 安全响应中心：实现工单、剧本以及插件工具的管理，安全编排与自动化响应处置，提升安全威胁检测能力和处置效率。

基本概念 模板：态势感知（专业版）内置了多种分析规则模板（包括场景说明、模型原理、处置建议、使用约束等信息），用户可利用内置的模板快速创建模型。 模型：模型是基于模板创建的，态势感知（专业版）支持利用模型对管道中的日志数据进行扫描，如果检测到有满足模型中设置触发条件的内容时，系统将产生告警提示。 操作场景 本文介绍模型模板的管理操作。 查看模型模板：态势感知（专业版）根据常用场景内置了多种模型模板（包括场景说明、模型原理、处置建议、使用约束等信息），支持查看模板的详情信息。 新建或编辑模型：态势感知（专业版）支持利用模型对管道中的日志数据进行监控，如果检测到有满足模型中设置触发条件的内容时，将产生告警提示。新建模型可以使用使用已有模型模板创建告警模型，也支持自定义新建告警模型。当模型的信息发生变化需要更新时可编辑模型。 查看模型：可查看模型的严重程度和模型列表信息。模型列表中，可查看当前已有模型的严重程度、名称/ID、管道名称、模型类型、更新时间和创建时间等信息。 管理模型：介绍如何启用、停用、删除模型。

本章节主要介绍典型应用场景，以满足客户多样性的防护需求。 主机安全 统一安全管理 企业主机安全提供统一的主机安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。 安全风险评估 对主机系统进行安全评估，将系统存在的各种风险（帐户、端口、软件漏洞、弱口令等）进行展示，提示用户及时加固，消除安全隐患。 主动安全防御 通过清点主机安全资产，管理主机漏洞与不安全配置，预防安全风险；通过网络、应用、文件主动防护引擎主动防御安全风险。 黑客入侵检测 提供主机全攻击路径检测能力，能够实时、准确地感知黑客入侵事件，并提供入侵事件的响应手段，对业务系统“零”影响，有效应对APT攻击等高级威胁。 容器安全 容器镜像安全 即使在Docker Hub下载的官方镜像中也常常包含了漏洞，而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描，将镜像中存在的各种风险（镜像漏洞、账号、恶意文件等）进行展示，提示用户及时修改，消除安全隐患。 容器运行时安全 通常容器的行为是固定不变的，容器安全服务帮助企业制定容器行为的白名单，确保容器以最小权限运行，有效阻止容器安全风险事件的发生。

本文介绍业务告警功能以及如何提交告警需求。 功能介绍 天翼云CDN加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。当告警规则被触发时，天翼云监控系统会根据客户设定的手机短信、电子邮件、企业微信、钉钉等通知方式发送告警信息，通知客户及时介入并处理相关问题。 目前已支持的常用监控/告警指标，包括但不限于： 带宽/流量：上限/下限监控、突增突降监控。 请求数：上限/下限监控、突增突降监控。 状态码：异常状态码（5xx/4xx）次数监控、异常状态码（5xx/4xx）比例监控。 适用场景 如您的业务是大文件下载或音视频点播业务，经常涉及带宽/流量突增突降等，可以重点考虑设置带宽/流量相关的监控指标，并设置合适的阈值进行监控和告警。 如您的业务是静态小文件，例如，政企官网、金融证券、电子商务和新闻媒体等各类网站，更关注用户访问量及QPS的变化，可重点考虑设置请求数/QPS相关的监控指标，并设置合适的阈值进行监控和告警。 如您的业务对服务可用性比较敏感，您可以设置状态码相关的监控指标，设置合适的阈值实时监控业务的运营状态，确保异常时可及时告警并人工介入处理。

本节主要介绍应用场景 巡检与问题定界 日常运维中，遇到异常难定位、日志难获取等问题，需要一个监控平台对资源、日志、应用性能进行全方位的监控。 AOM深度对接应用服务，一站式收集基础设施、中间件和应用实例的运维数据，通过指标监控、日志分析、服务异常报警等功能，支持日常巡检资源、应用整体运行情况，及时发现并定界应用与资源的问题。 优势 应用自动发现：自动部署采集器，针对应用的运行环境，主动发现应用并进行监控。 跨云服务的分布式应用监控：对于同时使用了多种云服务的分布式应用，提供统一的运维平台，便于您对业务进行立体排查。 告警灵活通知：提供多种异常检测策略并支持丰富的异常告警触发方式。 巡检与问题定界 立体化运维 您需全方位掌控系统的运行状态，并快速响应各类问题。 AOM提供从云平台到资源，再到应用的监控和微服务调用链的立体化运维分析能力。 优势 体验保障：实时掌控业务KPI健康状态，对异常事务根因分析。 故障快速诊断：分布式调用追踪，快速找到异常故障点。 资源运行保障：实时监控容器、磁盘、网络等上百种资源运维指标 集群>虚机>应用>容器异常关联分析。

本文介绍全站加速高额账单出现的场景，潜在风险提示及应对方案。 当您的网站举行大型推广营销活动、域名受到恶意攻击或者网站被盗刷时，易产生突发的超出日常使用的带宽及流量，而由于这部分流量及带宽实际消耗了天翼云全站加速的带宽资源，所以需要您自行承担因此产生的流量、带宽、请求数的费用。 天翼云全站加速是面向公共的内容加速服务，不承担防止网络攻击的义务。当前仅具备基础的访问控制等防护能力，包括：IP黑/白名单、Referer防盗链、UA黑/白名单、URI黑/白名单、URL鉴权配置、全网带宽控制、有序回源等，不具备高阶的安全防护能力，无法防护所有的攻击行为。如果您的加速域名有被攻击风险或正在遭受攻击，建议购买天翼云边缘安全加速平台的相关产品保证域名的正常使用。 高额账单出现场景 场景一：特殊营销推广活动 某些金融网站经常不定期承办一些推广营销活动，如纪念币发行、优惠券发放等，客户往往无法预估活动期间的实际用户访问量级，易产生突发带宽。 场景二：网站受到恶意攻击 当网站域名受到恶意攻击时，天翼云全站加速会在边缘侧先进行一层防护，抵挡攻击流量，但是也因此消耗了部分带宽资源，易产生突发带宽。

客户价值 翼MR的自动弹性伸缩可以帮助用户实现以下价值。 降低使用成本 部分企业在进行批量分析时，并不是时时刻刻都在进行分析，例如一般都存在数据持续接入，而到了特定时间段（例如凌晨3点）进行批量分析，可能仅需要消耗2小时。 翼MR提供的弹性伸缩能力，可以帮助客户，在晚上的时候，将分析节点扩容到指定规模，而计算完毕后，则自动释放计算节点，尽可能的降低使用成本。 平衡突发查询 大数据集群上，由于有大量的数据，企业会经常面临临时的分析任务，例如支撑企业决策的临时数据报表等，都会导致对于资源的消耗在极短时间内剧增。翼MR提供的弹性伸缩能力，可以让突发大数据分析时，可以及时的补充计算节点，避免因为计算能力不足，导致业务宕机，使用户无需创建额外资源，当突发事件结束后，翼MR会自动判断缩容时机，自动完成缩容。 聚焦核心业务 大数据作为二次开发平台，开发人员非常难判断具体的资源消耗，因为查询分析的条件复杂性（例如全局排序，过滤，合并等）以及数据的复杂性，例如增量数据的不确定性等，都会导致预估多少计算量是非常困难的行为，而使用弹性伸缩能力，可以让业务人员专注于业务开发，无需分心再做各种资源评估。

功能特性 说明 SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云主机一起使用，通过弹性云主机内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。 参数配置 控制台支持在线修改并生效配置参数，以及参数组配置管理功能。

本小节介绍Web应用防火墙产品优势。 灵活的部署与应用方式 通过DNS解析方式接入，不需要安装任何软件，更不需要修改网站的任何代码，光速生效，一键启停，方便快捷。 灵活回源支持 WAF可以在云防护节点将HTTPS业务流量转化为HTTP业务流量回源，降低源站负载消耗，优化业务性能。 实时更新、智能学习的安全资料库 中国电信每天都在主动收集来自全世界的网站攻击手段、最新漏洞、补丁信息等安全资料，会比用户网站更早发现各类安全问题和攻击手段。一旦被认定为未知的安全问题和新型攻击手段，云防护平台将会自动更新所有安全节点的防护规则和监测范围，使所有加入云防护的网站免受未知攻击、漏洞等的危害。另外还会定期学习用户网站访问日志，不断细化为每一个网站量身定制的安全规则，无需用户人工干预，完善用户网站安全。 服务应急响应指标 网站安全防护服务为您提供7×24小时的专家团队技术支持，具备完善的故障监控、自动告警、快速响应等一系列应急响应机制。 专家级定制化安全报告 权威规则库，覆盖各类主流Web入侵类型，专业攻防团队实时更新防护系统。 特殊行为防护主动激励 主动识别绕过标准检测方法的恶意程序，在它们造成破坏之前减轻威胁。

带宽超限导致连接问题 当实例已使用带宽达到实例规格最大带宽，可能会导致部分Redis连接超时现象。 您可以查看监控指标“流控次数”，统计周期内被流控的次数，确认带宽是否已经达到上限。 然后，检查实例是否有大Key和热Key，如果存在大Key或者单个Key负载过大，容易造成对于单个Key的操作占用带宽资源过高。大Key和热Key操作，请参考缓存分析。 性能问题导致连接超时 使用了keys等消耗资源的命令，导致CPU使用率超高；或者实例没有设置过期时间、没有清除已过期的Key，导致存储的数据过多，一直在内存中，内存使用率过高等，这些都容易出现访问缓慢、连接不上等情况。 建议客户改成scan命令或者禁用keys命令。 查看监控指标，并配置对应的告警。监控项和配置告警步骤，可查看必须配置的告警监控。 例如，可以通过监控指标“内存利用率”和“已用内存”查看实例内存使用情况、“活跃的客户端数量”查看实例连接数是否达到上限等。 检查实例是否存在大Key和热Key。 DCS控制台提供了大Key和热Key的分析功能，具体使用，请参考缓存分析

高安全性 起源于金融系统，分布式消息服务RabbitMQ主要支持权限控制和SSL协议实现高安全性。 支持权限控制 用户（User）：在RabbitMQ中，用户用于标识连接RabbitMQ的客户端。每个用户都分配了一个用户名和密码。 虚拟主机（Virtual Host）：虚拟主机是RabbitMQ中的逻辑隔离单位，用于将不同的应用程序或服务隔离开。每个虚拟主机都有一个名称，并且可以有不同的权限设置。 权限（Permission）：权限定义了对RabbitMQ资源的操作权限。这些资源可以是交换机、队列、绑定等。权限包括读写、发布、接收等操作。 角色（Role）：角色是一组权限的集合。通过为用户分配角色，可以简化权限管理。 支持SSL协议 SSL协议：SSL（Secure Sockets Layer）是一种用于安全传输数据的协议，其目标是通过使用加密技术来保护网络通信的安全性。 RabbitMQ的SSL支持：RabbitMQ可以配置为使用SSL协议来保护数据传输。它支持使用自签名证书或由受信任的证书颁发机构（CA）签名的证书。 配置SSL证书：要在RabbitMQ中启用SSL协议，需要为服务器和客户端生成SSL证书。可以使用openssl工具生成自签名证书或请求一个CA签名的证书。 RabbitMQ服务器配置：在RabbitMQ服务器上，需要在配置文件中指定SSL相关的参数，如证书路径、私钥路径、密码等。还可以配置是否要求客户端验证证书以及是否启用TLS版本的选择。 客户端配置：在连接RabbitMQ服务器之前，客户端也需要配置SSL相关的参数，包括证书路径、私钥路径、密码等。客户端还可以配置是否验证服务器的证书。 客户端连接：一旦RabbitMQ服务器和客户端都配置好了SSL相关的参数，客户端可以使用SSL连接RabbitMQ服务器。客户端通过指定SSL选项来建立SSL连接。 数据传输加密：通过SSL协议建立的连接可以保证数据传输的安全性。所有通过SSL连接发送和接收的数据都将通过加密算法进行加密和解密，以防止中间人攻击和数据泄漏。

本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。