本章节主要介绍了什么是物理机和物理机产品架构,以及与自建物理机、云主机的功能对比。 天翼云物理机服务（CTDPS，Dedicated Physical Server）是一款兼具弹性云主机和物理机性能的计算类服务，为您及您的企业提供专属独享的物理机服务，为核心数据库、关键应用系统、高性能计算、大数据等业务提供卓越的计算性能以及数据安全，满足核心应用对高性能及稳定性的需求。同时，可实现与弹性云主机混合组网，为用户提供灵活的业务部署方案。 产品架构 天翼云物理机通过和其他服务组合，可以实现计算、存储、网络、镜像安装等功能： 在不同可用区中部署（可用区之间通过内网连接）物理机，部分可用区发生故障后不会影响同一区域内的其他可用区。 可以通过虚拟私有云建立专属的网络环境，设置子网、安全组，并通过弹性公网IP实现外网链接。 通过镜像服务，可以对物理机安装镜像，也可以通过私有镜像批量创建物理机，实现快速部署业务。 通过云硬盘服务实现数据存储，并通过云硬盘备份服务实现数据的备份和恢复。 云监控是保持物理机服务器可靠性、可用性和性能的重要部分，通过云监控，用户可以观察物理机服务器资源。 云备份提供对云硬盘和物理机的备份保护服务，支持基于快照技术的备份服务，并支持利用备份数据恢复服务器和磁盘的数据。

功能配置相关 花卷慧办客户端如何快速查看或导出日志？ 客户端异常时将获取错误情况进行上报，主动并实时关注客户端情况，同时终端用户使用花卷慧办客户端的导出功能：右键点击客户端图标，弹出托盘，通过“日志>导出日志”菜单即可导出客户端日志。 GUI日志：主要是页面交互相关若出现问题可查看。 Client日志：主要针对客户端引擎相关问题可查看。 客户端打开后要求输入的企业标识如何获取？ 企业认证标识是登录客户端的重要凭证，建议采用自身公司身份相关的进行定义。 可登录花卷慧办控制台企业服务进行获取。 问题故障分析 客户端短信验证码收不到如何解决？ 若您选择将手机号直接设置为登录账号，发送账号新增通知时，短信会携带手机号则短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含 "手机号”的短信进行严格校验，易触发拦截规则。 其他情况下若未收到短信，您可按以下方式排查： 检查平台手机号填写准确性，若填写错误可修正后尝试； 检查手机系统的「骚扰拦截箱」或「垃圾短信箱」（如华为手机在【安全中心 骚扰拦截】中查看，小米手机在【手机管家 骚扰拦截】中查询）； 查看第三方安全软件（如手机管家）的拦截记录，确认是否存在误拦截情况； 联系手机号所属运营商（移动 10086 / 联通 10010 / 电信 10000）查询短信发送状态。

本文通过完全开源的RAGFlow服务与云搜索服务的OpenSearch向量数据库与搜索大模型快速构建智能知识问答(RAG)服务。 RAGFlow 是一款基于深度文档理解的开源RAG（检索增强生成）引擎。它为企业级用户提供了一套端到端的 RAG 解决方案，通过结合大语言模型（LLM） 的能力，实现对多样化复杂格式数据的精准解析与知识检索，为用户提供依据充分、真实可靠的问答服务，并确保所有回答均附带可追溯的引用来源。 RAG（Retrieveraugmented Generation）是一种结合了信息检索和生成的自然语言处理（NLP）技术，特别适用于需要从大量数据中检索信息并生成自然语言文本的场景。它在处理复杂任务时能够提升生成模型的性能，尤其是在模型缺乏足够上下文或知识的情况下。 RAG的优势 RAG通过检索外部知识库或数据库中的相关信息，能够在生成过程中动态地补充实时或特定领域的知识，弥补了生成模型的“知识盲区”。这使得模型能够在没有训练时直接获得的信息基础上进行更加准确的回答或内容生成。针对企业内部包含的敏感数据（如薪资标准、客户资料等）以及大量专有信息（包括产品文档、客户案例、流程手册等），RAG提供了安全的解决方案。由于这些非公开信息无法直接预置到大模型中，RAG通过外部知识调用的方式，既满足了信息需求，又确保了数据安全性。

本页介绍了如何通过合理分片用户权限，保障数据库安全。 用户在控制台上创建文档数据库服务实例成功之后，默认会分配 root 用户进行数据库操作。root 用户具备超级权限，可以对整个实例的库表进行读写，以及创建删除等管理操作。 如果文档数据库服务实例被多个业务使用，建议按照数据库和读写操作类型再创建独立的用户。通过对不同类型的业务分配最小最合适的操作权限，避免出现用户权限过大带来的安全风险。 文档数据库服务实例支持的所有操作都是基于 role 进行权限校验的，role 定义了操作行为，比如是否读写，是否能进行管理或者监控类的操作等。一个 用户可以包含1 个或者多个 role。 可以执行下面的命令，创建一个只对 db1 数据库有读权限的用户 user1： db.createUser({user:"user1", pwd: , roles:[{role:"read", db:"db1"}]}) 创建成功后通过 user1 登录，则只能看到 db1 数据库下面的表，并只能执行读数据操作。 如果希望创建一个能读 db1, 能读写 db2 的用户 user2, 可以在使用 root 登录后执行下面的命令： db.createUser({user:"user2", pwd: , roles:[{role:"read", db:"db1"}, {role:"readWrite", db:"db2"}]}) 创建成功后通过 user2 登录，则可以看到 db1 和 db2 数据库下面的表，对 db1 的表只能执行读操作，对 db2 可以执行建表和删表操作以及表的读写操作。

本文主要介绍如何查看弹性网卡基本信息。 操作场景 您可以在控制台查看您所拥有的弹性网卡基本信息，包括名称、ID、类型、所属VPC、绑定的实例及关联的安全组等信息。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在弹性网卡列表页，单击需要查看详情的弹性网卡名称。 其他操作 在弹性网卡详情页可以修改以下信息： 根据页面提示修改弹性网卡名称、服务地址信息、绑定解绑实例等。 设置中止时删除功能： 关闭：系统默认关闭中止时删除功能，当弹性网卡与对应实例解绑，或对应实例被删除时，弹性网卡不会被同步删除，您可以将该弹性网卡绑定至其他实例。 开启：中止时删除功能开启时，解绑实例后将默认删除弹性网卡。

本节介绍了测试连通相关问题与处理方法。 场景排查 1. 排查安全组规则。 2. 排查网络ACL。 3. 排查弹性云主机内部网卡信息。 4. 排查不通端口。 解决方案 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面，在“连接信息”模块查看TaurusDB实例的虚拟私有云。 步骤 5 查看加入分布式事务的TaurusDB或ECS是否有相同VPC。 相同，请查看《虚拟私有云用户指南》中的连接类常见问题排查。 不相同 公网访问：需要通过EIP建立连接。请参考绑定弹性IP为TaurusDB实例绑定EIP。 内网访问：为两个不同的虚拟私有云建立对等连接，实现内网互通。 将ECS的虚拟私有云切换为与TaurusDB相同的虚拟私有云。

查看权限详情 点击权限列表中某个资源的“详情”按钮后，弹出数据权限详情对话框，可以查看用户拥有该资源的权限详情。 对话框上方展示了该资源的基本信息。 对话框下方展示了用户拥有该资源的哪些权限，列表的信息字段及说明如下： 信息字段 说明 权限 权限的类型，包括查询、DDL、DML、DCL、导出、导入 权限获取方式 权限的来源，分为数据权限工单、某个用户授权 开通时间 权限开通的时间 到期时间 权限到期的时间，权限到期后会自动失效并删除 所有权限按照到期时间从早到晚排序，第一条权限即最近到期的权限。 申请数据权限 点击页面上方的“申请数据权限”按钮，即可进入申请数据权限页面。申请数据权限的具体操作流程参考申请数据权限。 数据权限工单 点击页面上方的“权限工单”按钮，即可进入 安全协作 > 工单列表 > 权限申请工单工单页面，查看用户提交的数据权限工单。

本文主要介绍调试事务 新增或修改事务后，可通过调试快速发现语法或配置错误。 前提条件 确保资源组状态为“运行中”。 确保资源组的调试节点上的32001和32002端口在安全组被开启。 确保资源组的调试节点和被压测的应用之间网络互通。 操作步骤 1、 登录性能测试控制台，在左侧导航栏中选择“测试工程”。 2、在待编辑性能测试测试工程所在行，单击编辑事务库。 3、在“事务库”页签中，单击待调试事务后的“调试”。 4、在弹出的对话框中，选择资源组后单击“启动调试”。 5、在“调试日志”页签，查看调试的操作日志。 6、调试完成后，在“结果”页签，查看事务调试的具体内容。 如果调试结果报错，可根据错误日志信息，修改相应的事务请求信息，重新进行调试。

本节介绍删除/批量删除应急策略。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 策略管理”，进入策略管理页面后选择“策略视图”页签，进入应急策略策略管理页面。 5. 在应急策略管理页面的“策略视图”界面，单击待删除策略所在行“操作”列的“删除”。 6. 如果需要删除多条策略，可以在策略列表中勾选需要删除的策略，并单击列表上方“批量删除”。 7. 在弹出的删除确认框中，确认无误后单击“确定”。操作完成后，参考查看策略，界面无已经删除的策略信息则表示删除策略执行成功。

使用限制 限制内容 限制 单实例系统盘数量 1块 单实例数据盘数量 23块 单块数据盘容量 10GB~32TB，其中1GB 10亿Byte，1TB1万亿Byte，格式化之后的实际容量可能较小 单共享盘挂载实例数量 16台 未挂载实例云盘数量 20块 储存安全 读写稳定性 在同一集群中，您的业务数据以三副本的形式分布存储在集群中，保证读写过程中的数据稳定性。 数据备份 支持使用手动创建或自动创建快照，保护云盘历史数据。同时支持采用虚拟机备份和云盘备份来保护数据，备份需额外购买对象储存资源来存放数据。 数据删除 您删除的数据将无法找回，分布式存储系统中已删除的数据会被完全擦除，如想找回建议提前创建快照。当您释放云盘时，存储系统会销毁源数据，所有数据将无法找回，该云盘对应的物理存储空间会被回收。

SQL设计 查询时指定返回需要的字段，不要返回用不到的字段。 查询或比较字段是否为NULL时，只能使用IS NULL或IS NOT NULL条件。 查询条件中，尽量使用NOT EXISTS替代NOT IN。 聚合数据时，尽量使用UNION ALL代替UNION。 删除数据时，尽量使用TRUNCATE代替全表DELETE。 分批提交大事务中对数据的修改，防止事务提交或回滚时压力集中。 创建函数时，应该定义函数易变性分类为对它们合法的分类中最严格的种类，而不是选择默认的VOLATILE。VOLATILE类函数调用并发过高可能导致新连接无法接入。 安全 禁止将应用数据库对象所有者赋予“public”，必须赋予某个特定角色。 数据库密码应具备一定复杂度，禁止使用简单密码。 应该为每个业务分配不同的数据库账号，禁止多个业务共用一个数据库帐号。 访问对象时，显式指定对象所在的模式，避免误访问到其他模式下的同名对象。

本页介绍天翼云TeleDB数据库安全认证相关参数。 authenticationtimeout (integer) 完成客户端认证的最长时间，以秒计。如果一个客户端没有在这段时间里完成认证协议，服务器将关闭连接。这样就避免了出问题的客户端无限制地占有一个连接。默认值是1分钟（1m）。这个参数只能在服务器命令行上或者在postgresql.conf文件中设置。 ssl (boolean) 启用SSL连接。这个选项只能在postgresql.conf文件或服务器命令行上设置。默认是off。 sslcafile (string) 指定包含SSL 服务器证书颁发机构（CA）的文件名。 相对路径是相对于数据目录。该参数只能在postgresql.conf 文件或服务器命令行上设置。默认值为空，表示不载入 CA 文件， 并且不执行客户端证书验证。 sslcertfile (string) 指定包含SSL 服务器证书的文件名。相对路径是相对于数据目录的。 这个参数只能在postgresql.conf文件或服务器命令行上设置。 默认值是server.crt。 sslcrlfile (string) 指定包含SSL 服务器证书撤销列表（CRL）的文件名。 相对路径是相对于数据目录。这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值为空，意味着不载入 CRL 文件。相对路径是相对于数据目录。这个参数只能在服务器启动时设置。 sslkeyfile (string) 指定包含SSL 服务器私钥的文件名。 相对路径是相对于数据目录。这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值为server.key。 sslciphers (string) 指定一个SSL密码列表，用于安全连接。 这个设置的语法和所支持的值列表可以 参见OpenSSL包中的 ciphers手册页。 这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值是 HIGH:MEDIUM:+3DES:!aNULL。默认值通常是合理的选择， 除非你有特别的安全性需求。默认值的解释：HIGH使用来自HIGH组的密码的密码组（例如 AES, Camellia, 3DES）MEDIUM使用来自MEDIUM组的密码的密码组（例如 RC4, SEED）+3DESOpenSSL 对HIGH的默认排序是有问题的，因为它认为 3DES 比 AES128 更高。这是错误的，因为 3DES 提供的安全性比 AES128 低，并且它也更加慢。 +3DES把它重新排序在所有其他HIGH和 MEDIUM密码之后。!aNULL禁用不做认证的匿名密码组。这类密码组容易收到中间人攻击，因此不应被使用。可用的密码组细节可能会随着 OpenSSL 版本变化。可使用命令 openssl ciphers v 'HIGH:MEDIUM:+3DES:!aNULL'来查看 当前安装的OpenSSL版本的实际细节。注意这个列表是根据服务器密钥类型 在运行时过滤过的。

本章主要介绍翼MapReduce的更换HA证书功能。 操作场景 HA证书用于主备进程与高可用进程的通信过程中加密数据，实现安全通信。该任务指导系统管理员FusionInsight Manager完成主备管理节点的HA证书替换工作，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 说明 不适用于未安装主备管理节点的场景。 证书文件和密钥文件可向企业证书管理员申请或由系统管理员生成。 对系统的影响 更换过程中FusionInsight Manager需要重启，此时系统无法访问且无法提供服务。 前提条件 获取需要更换的HA根证书文件“rootca.crt”和密钥文件“rootca.pem”。 准备一个访问密钥文件的密码 password ，例如“Userpwd@123”用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。 操作步骤 1.以omm用户通过主管理节点IP登录主管理节点。 2.选择证书和密钥文件的生成方式： 若由证书管理员生成，请在主备管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录保存申请的证书文件与密钥文件。 说明 若获取的证书文件格式不是“.crt”，密钥文件格式不是“.pem”，执行以下命令修改： mv证书名称.证书格式rootca.crt mv密钥名称.密钥格式rootca.pem 例如，将证书文件命名为“rootca.crt”，密钥文件命名为“rootca.pem”： mv server.cer rootca.crt mv serverkey.key rootca.pem 若由系统管理员生成，执行以下命令在主管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录生成“rootca.crt”和“rootca.pem”： sh ${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootca countryCN state state city city company company organize organize commonname commonname email 管理员邮箱 说明 生成的证书文件有效期为10年，在系统证书文件即将过期时，系统将产生告警“ALM12055 证书文件即将过期”。 例如，执行以下命令： sh ${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootca countryCN stateguangdong cityshenzhen companyxxx organizeIT commonnameHADOOP.COM emailabc@xxx.1com 根据提示信息输入 password ，并按回车键确认。 Enter pass phrase for /opt/xxx/Bigdata/omserver/OMS/workspace/ha/local/cert/rootca.pem: 提示以下信息表示命令执行成功： Generate rootca pair success. 3.在主管理节点以omm用户执行以下命令，复制“rootca.crt”和“rootca.pem”到“${BIGDATAHOME}/omserver/om/security/certHA”目录。 cp arp ​{OMSRUNPATH}/workspace0/ha/local/cert/rootca. OMSR​UNP​ATH/workspace0/ha/local/cert/root−ca.∗​{BIGDATAHOME}/omserver/om/security/certHA 4.使用omm用户将主管理节点生成的“rootca.crt”和“rootca.pem”复制到备管理节点“${BIGDATAHOME}/omserver/om/security/certHA”目录。 scp ​ ​{OMSRUNPATH}OMSRUNPATH}/workspace0/ha/local/cert/rootca. omm@备管理节点IP:${BIGDATAHOME}/omserver/om/security/certHA 5.执行以下命令，生成HA用户证书并自动替换。 sh ${BIGDATAHOME}/omserver/om/sbin/replacehaSSLCert.sh 根据提示信息输入 password ，并按回车键确认。 Please input ha ssl cert password: 界面提示以下信息表示HA用户证书替换成功： [INFO] Succeed to replace ha ssl cert. 说明 如果用户需要更新HA密码加密套件，可以带u参数。 6.执行以下命令，重启OMS。 sh ${BIGDATAHOME}/omserver/om/sbin/restartoms.sh 界面提示以下信息： start HA successfully. 7.以omm用户通过备管理节点IP登录备管理节点，重复56。 执行 sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh 查看管理节点的“HAAllResOK”是否为“Normal”，并可以重新登录FusionInsight Manager表示操作成功。

本章介绍Windows内核特权提升漏洞。 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 为了利用此漏洞，在本地经过身份验证的攻击者可能会运行经特殊设计应用程序。 漏洞编号 CVE20201027 漏洞名称 Windows内核特权提升漏洞 漏洞描述 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

使用可信云主机 查看实例可信信息 1. 登录弹性云主机控制台。 2. 在云主机列表中： 可信状态图标为绿色：表示已开启可信系统。 可信状态图标为灰色：表示未开启可信系统。 3. 单击已开启可信系统的实例名称/ID，进入详情页： 在主机信息区域，通过 可信实例 字段可查看开启状态。 选择可信计算页签，查看详细可信信息。 可信信息说明 资产启动概况：以圆圈表示各PCR（平台配置寄存器），每个PCR对应启动过程中的一个特定环节。圆圈颜色含义： 全部绿色：启动过程正常，实际度量值与标准值一致。 红色（当前环节）+ 灰色（后续环节）：表示当前环节出错。 资产中组件可信状态：与上方的PCR圆圈一一对应。 PCR度量对象说明： pcr0：表征SRTM、BIOS、嵌入式可选ROM、PI驱动等。 pcr1：表征主机平台配置。 pcr2：表征UEFI驱动、应用代码。 pcr3：表征UEFI驱动、应用配置、应用数据。 pcr4：表征UEFI启动管理代码（通常是MBR）。 pcr5：表征UEFI启动管理代码（通常是MBR）、启动相关数据（由UEFI启动管理代码使用的数据）、GPT分区表。 pcr6：表征平台生产厂商定义的特定UEFI固件。 pcr7：表征安全启动策略。 pcr8：表征在grub.cfg等配置文件中规定执行的关键命令（不会度量非关键命令，例如定义启动菜单标题的命令），以及传递给Linux内核的命令行信息。 pcr9：表征GRUB模块、Linux内核和initramfs。 说明 PCR即平台配置寄存器（Platform Configuration Register），是可信安全设备的存储单元，能够可靠地存储启动过程中收集的状态信息。每个PCR对应启动过程中的一个特定环节，PCR值表征各环节中度量对象的状态。如果PCR中存储的实际度量值与预期的标准值一致，则认为该环节符合预期。

服务授权 当您寻求天翼云的技术支持（不限于官网工单、线下咨询、电话等渠道）时默认运维人员已获得您的授权，技术支持过程中可能需要登陆您的数据库实例所在的主机执行一些运维命令，或者对您的数据库实例进行简单运维操作，但是都不会擅自更改您的数据。 当您向天翼云寻求技术支持（包括但不限于官网工单、线下咨询、电话等渠道）时，您默认已授权运维人员进行必要的操作。在技术支持过程中，运维人员可能需要登录您数据库实例所在的主机执行相关运维命令，或对数据库实例进行操作。但请注意，运维人员不会擅自更改您的数据。 若您需要天翼云的售后团队和DBA团队查看您实例的其它问题，您可以在工单或者其他渠道对他们进行如下书面授权： 配置权限 当您授权了该权限后，天翼云的售后团队和DBA团队可以在用户自定义的时间段内查看和修改RDS实例的配置信息。例如，RDS实例的白名单、数据复制模式、备份策略和数据库参数。但是在所有情况下，天翼云的售后团队和DBA团队都不会擅自更改RDS实例的连接信息（含连接地址和数据库账号）。 数据权限 当您授权了该权限后，天翼云的售后团队和DBA团队可以在用户自定义的时间段内查看RDS实例内的用户数据。例如，RDS实例的库表结构、索引字段、数据样本和SQL历史。但是在所有情况下，天翼云的售后团队和DBA团队都不会擅自更改RDS实例的库表结构、索引字段、数据。 我们始终致力于为您提供高效、安全的技术支持服务，同时严格遵守您的授权范围，确保您的数据安全和隐私不受侵犯。

本页面主要介绍动态脱敏规则的场景与设置步骤。 注意 仅西南1资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 使用场景 动态脱敏是数据库在发送给客户端的时候，对数据进行脱敏的一种安全技术手段。关系数据库MySQL版的动态脱敏功能支持通过添加脱敏规则实现库、表、列对数据进行脱敏。 约束限制 当前仅支持select语句数据脱敏。 策略中配置的库名，表名，列名，用户名的空格等目前不会被忽略。 单个库名，表名，列名不超过64bytes， 用户名不超过32bytes。 所有数据类型的脱敏均处理为字符串。 有额外函数或者运算则不生效，如select sum(x) ...。 仅支持基本表中的列，不支持视图。 不支持内层子查询insert select或replace into ..select。 操作步骤 新增动态脱敏规则 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击左侧二级目录数据安全 ，进入数据加密页面。 5. 选择动态脱敏页签，可以查看到脱敏规则列表。 6. 点击新增动态脱敏规则，输入策略名称，选择脱敏规则，以及脱敏开关选项，可设置不脱敏的账号。 全脱敏：即所有字符都处理为字符串形式； 部分字符脱敏：可设置脱敏开始和结束位； 部分字符外脱敏：即设置开始和结束位之外的字符位进行处理。 7. 设置完毕规则，点击确定即可。 8. 对于已经设置的规则，可以点击对应规则右侧的编辑 操作对规则进行修改或者删除。

6. 常见的第三方库有哪些？ 以下为部分常见第三方库示例： JDBC驱动：支持Java语言访问云数据库ClickHouse。常用的如yandex/clickhousejdbc。 Python客户端：如clickhousedriver等,提供了云数据库ClickHouse的Python接口。 Go客户端:如Vertamedia/clickhouse、infinitbyte/goclickhouse等,提供Go对云数据库ClickHouse的访问接口。 7. 当客户端工具连接集群时出现连接超时错误，应该如何处理？ 检查网络连接：确保客户端工具所在的机器能够正常与云数据库ClickHouse 实例通信。检查网络连接是否稳定，确保网络配置正确，并且防火墙或安全组设置不会阻止连接。 检查集群状态：确认云数据库ClickHouse 实例处于运行状态。可以通过控制台或命令行工具查看集群的状态信息，确保集群正常运行并可供客户端连接。 检查连接参数：确保客户端工具使用了正确的连接参数，包括主机名、端口号、用户名和密码等。与集群管理员或文档进行确认，确保连接参数的准确性。 调整连接超时设置：如果连接超时时间过短，可以尝试增加连接超时设置。在客户端工具中查找相关的连接超时参数，并将其调整为更大的值，以便给予足够的时间进行连接。 检查集群负载：连接超时错误可能是由于云数据库ClickHouse 实例过载或负载过高导致的。检查集群的负载情况，包括 CPU 使用率、内存占用和磁盘 I/O 等指标，确保集群有足够的资源处理连接请求。 8. 为什么无法连接到MySQL、Kafka等外部表？ 网络连接问题：请确保您的网络连接正常，并且能够与目标数据库或服务进行通信。检查防火墙、路由器或安全组设置，确保网络配置没有阻止与外部系统的连接。 配置错误：检查您的配置文件或连接参数，确保正确地指定了外部表的主机名、端口号、用户名、密码等信息。请与外部系统的管理员或文档联系，获取正确的连接配置。 授权问题：确认您具有正确的权限来连接和访问外部系统。对于MySQL、Kafka等系统，您可能需要提供适当的授权访问权限，例如正确的用户名、密码、表级或主题级权限等。 外部系统状态：确保外部系统正常运行，并且可供连接。检查MySQL、Kafka等系统的状态，确保它们处于可访问的状态，且服务正在运行。 版本兼容性：确保您使用的云数据库ClickHouse版本与外部系统兼容。某些功能可能需要特定版本的驱动程序或适配器才能与外部系统进行连接。

本文介绍边缘接入服务IP应用加速用量的用量分析、热门分析、用户分析。 用量分析 功能说明 该模块可供客户查看带宽、流量、连接数、地区运营商统计等指标。 操作指引 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【运营管理】【数据分析】【IP应用加速用量】【用量分析】页面。 3. 选择需要查看的带宽、流量、连接数、地区运营商等统计指标，进行查询。 带宽 界面中展示的是您所选域名/实例、运营商、地区、带宽类型（总带宽/上行带宽/下行带宽）、时间范围内的带宽统计图表，带宽图中包括了带宽峰值和95带宽峰值，同时给出了查询时间范围内每日的流量值、带宽峰值、峰值时间点。 流量 界面中展示的是您所选域名/实例、运营商、地区、流量类型（总流量/上行流量/下行流量）时间范围内的流量统计图表，流量图中包括了查询范围内的总流量，同时给出了查询时间范围内每日的流量值、带宽峰值、峰值时间点。

本页介绍天翼云TeleDB数据库租户管理相关操作。 只有超管账号才有权创建、删除租户，租户管理员可查看、编辑租户，其他用户无租户管理权限。同一租户下的资源是逻辑隔离的，所有操作都是在当前租户下操作，可在头部右上角切换租户。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 租户管理 ，进入租户管理页面。 > 您可以在租户里列表中查看租户信息，包括租户ID、名称、创建时间，和租户下的主机实例数量。 3. 在租户列表上方，单击创建租户 。 > 添加租户时，可选择已新建的用户，或后续再加入用户。 4. 单击确定 。 5. 编辑租户。 > (1) 在租户列表中，找到目标租户，然后单击操作 列的编辑 。 > (2) 在编辑租户对话框中，根据实际情况修改租户名称、增加或删除用户、添加描述信息。 6. 删除租户。 > (1) 在租户列表中，找到目标租户，然后单击操作 列的删除 。 > (2) 在删除确认 对话框中，单击确定。

本文简述回源HTTP请求头的用途和配置方法。 功能介绍 当边缘节点请求回源站拉取资源时，源站可获取到回源请求头中携带的信息。您可以通过该功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。例如，通过XForwardFor头部携带真实客户端IP至源站。 配置说明 1.登录边缘安全加速控制台，选择【域名】【基础配置】，在域名列表中选中需要配置的域名。 2.进入域名配置详情页面后，选择【头部修改】，单击【编辑配置】按钮。 3.选择【回源HTTP请求头】后单击【增加规则】按钮。 4.添加HTTP请求头，填入参数和取值，详细规则请参考： 参数 说明 参数 请求头参数，仅支持大小写字母、数字、下划线、中划线。 取值 取值不支持空格及中文文字及字符。 若需要添加/修改对应请求头，请输入取值。 若需要删除对应请求头，取值不填，置为空。 配置界面

本文介绍如何查看连接器集群的带宽趋势。 功能介绍 连接器管理数据监控模块，提供可视化的集群粒度带宽趋势统计。方便用户查询不同集群的上行或下行带宽。 操作步骤 1. 登录边缘安全加速平台控制台，在首页产品能力选择零信任进入工作台。 2. 在左侧导航栏选择AOne零信任网络连接器管理。 3. 根据主导览进行切换管理“数据监控”。 4. 选择需要查看连接器集群名称。 数据监控 展示所选连接器集群的带宽趋势。 支持查询最近6个月的数据。 查询时间跨度最长为1个月。 支持查看上行、下行、上行+下行的带宽趋势。 针对包含多个使用场景的连接器集群，支持查看不同场景的带宽趋势。 场景名称 说明 办公组网（加速模式）&远程办公&全球加速 即连接器集群报文经过AOne加速网络的部分，包括办公组网（加速模式）、远程办公、全球加速三个场景的带宽之和。 办公组网（连接模式） 即连接器集群报文未经过AOne加速网络的部分，该场景仅包含办公组网（连接模式）。

后续操作 修改用户数据：选择需要修改的用户数据，单击“操作”列中“编辑”，按照需求进行用户数据的修改，单击“提交”完成用户数据更新。 修改用户密码：管理员可以修改对应账户的密码，选择需要修改的用户密码，单击“操作”列的“更多 > 改密”，在弹出的对话框中根据密码规则修改密码。 说明 您可以根据自身需求自定义密码规则，具体修改密码规则请参考安全设置章节。 批量导入用户 云堡垒机（原生版）支持批量导入用户信息。 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3.单击“导入”按钮，弹出“账号导入”对话框。 4.单击“下载导入文件模板”，在线下文件模板中填写内容。 参数 参数说明 登录名 （必填）填写该账户的使用者的姓名（非登录账号）。 姓名 （必填）填写该账户的用户名称（登录账号）。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 手机号 （必填）填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 密码 （必填）输入该账户的密码，密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 角色 （必填）选择该账户所属的角色，可填写“管理角色”、“审计角色”和“访问角色”，需要选择多个角色请使用英文“,”分隔。 用户组 填写该账户所属的用户组，用户组操作请参见：用户组章节。若填写多个用户组请使用英文“,”分隔。 认证方式 （必填）选择认证方式，可选“静态认证”，“令牌认证”和“短信认证”，多个认证方式请使用英文“,”分隔。 授权生效日期 填写该用户生效的日期，日期格式支持：YYYYMMDD或YYYY/MM/DD。 授权失效日期 填写该用户失效的日期，日期格式支持：YYYYMMDD或YYYY/MM/DD。 授权生效日期 填写生效日期的具体时间点，填写范围：023，例如需要早上10点生效，就填写：10。 授权失效日期 填写失效日期的具体时间点，填写范围：023，例如需要晚上10点失效，就填写：22。 准入IP 选择可登录的IP地址。 说明 若不填写生失效日期，则新建的账号默认永久生效。 4.填写完成后，上传模板文件后选择重复用户导入策略。 注意 导入后，用户登录名不可修改。 5.完成后单击“提交”即可完成用户导入。

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格 > 请选择云主机“快速创建伸缩配置。创建配置时，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，根据实际业务需求配置云主机类型、vCPU、内存、镜像、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址对外提供访问服务。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可在虚拟私有云内部使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽大小可以根据您的业务需要设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。 密钥对：指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 密码：指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码用于登录云主机。 云监控 否 是否开启详细监控。若开启，在云主机创建成功后35分钟将自动执行详细监控Agent安装，可获取云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则通过该伸缩配置创建的云主机无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

本章节主要介绍设置分布式消息服务实例的公网访问。 操作场景 当您需要通过公网访问RabbitMQ实例时，需要开启该实例的公网访问功能。当业务不再使用公网访问功能时，也可以关闭实例的公网访问功能。 说明 公网访问与VPC内访问相比，可能存在网络丢包和抖动等情况，且访问时延有所增加，因此建议仅在业务开发测试阶段开启公网访问RabbitMQ实例。 前提条件 仅状态为“运行中”的实例，可以开启公网访问功能。 开启公网访问 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 此处请选择RabbitMQ实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”>“分布式消息服务”>“RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤 4 单击待开启公网访问的实例名称，进入实例详情页面。 步骤 5 单击“公网访问”右侧的，打开公网访问开关。 步骤 6 从“弹性IP地址”下拉列表中选择一个弹性IP，然后单击，开启公网访问功能。 如果“弹性IP地址”下拉列表没有值，可单击“创建弹性IP”，跳转到弹性IP页面，您可以申请一个新的弹性IP。弹性IP申请完后，返回RabbitMQ控制台，单击“弹性IP地址”后的，然后在下拉列表中选择新申请的弹性IP。 开启公网访问功能大约需要10~30秒，请耐心等待。开启公网访问后，页面会自动跳转到“后台任务管理”页签，当任务状态为“成功”时，表示开启公网访问成功。 说明 开启公网访问后，有如下注意事项： 如果实例未开启SSL，修改实例的安全组策略，增加入方向规则，允许端口5672和15672的访问。访问RabbitMQ管理面：输入地址 如果实例开启SSL，修改实例的安全组策略，增加入方向规则，允许端口5671和15671的访问。访问RabbitMQ管理面：输入地址

本章节主要介绍如何登录翼MR集群节点。 本章节介绍如何使用翼MR管理控制台上提供的节点远程连接（VNC方式）和如何使用密码方式（SSH方式）登录翼MR集群中的节点，远程连接主要用于紧急运维场景，远程登录主机进行相关维护操作。其他场景下，优先推荐用户使用SSH方式登录集群节点。 说明 如果需要使用SSH方式登录集群节点，需要在集群的安全组规则中手动添加入方向规则：其中源地址为“客户端公网IPV4地址/32”，端口为22，具体请参见“帮助中心>虚拟私有云>安全组>[ 登录主机（VNC方式） 1. 登录翼MapReduce服务管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“远程连接”。 5. 在VNC方式新标签页Web页面中，可以看到服务器的命令行界面，类似于Linux服务器登录模式，输入root账号，并输入密码。 说明 1、初始密码为创建集群时所设定的集群密码。 2、自2.16版本起，若忘记密码，可通过基础信息页的重置密码功能修改云主机密码，物理机暂不支持修改。 登录主机（SSH密钥方式） 本地使用Windows操作系统 如果您本地使用Windows操作系统登录Linux主机，可以按照下面方式登录主机。下面步骤以Xshell为例。 1. 登录翼MR服务管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“更多”，选择“绑定弹性IP”，可以为该节点选择一个已存在且未绑定使用的弹性公网IP或者可以单击“+创建弹性公网IP”跳转至弹性IP控制台完成弹性IP购买后，再完成弹性公网IP绑定操作，若已绑定弹性公网IP请跳过该步骤。 5. 运行Xshell。 6. 选择“新建会话”。 7. 名称：选择你认为合适的会话名称，用于方便管理。 8. 协议：使用默认的“SSH”。 9. 主机：输入主机所绑定的弹性公网IP。 10. 端口号：使用默认的“22”，详见下图： 单击“Session”。 11. 单击“连接”，按照提示步骤，分别完成登录用户（默认为root）、密码的输入并保存，即可完成远程登录操作。

云原生网关 云原生网关是天翼云微服务引擎的子产品，将传统的流量网关和业务网关合二为一，提供全局性和独立业务域级别的流量管理策略，与后端业务紧耦合策略配置。 弹性负载均衡 弹性负载均衡（Elastic Load Balancing）是天翼云产品，通过将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 应用服务网格 应用服务网格是天翼云产品，提供基于Sidecar技术的无侵入式服务治理能力，兼容开源istio服务网格，并基于开源实现做了功能增强，提供了丰富的流量治理、安全管控和观测能力，满足多语言、技术栈应用统一治理的需求，降低业务接入门槛。 资源池或区域 资源池或者区域指资源所在的物理位置。同一区域内可用区之间内网互通，不同区域之间内网不互通。 可用区 每个区域包含许多不同的称为“可用区”的位置，即在同一区域下，电力、网络隔离的物理区域，同一个可用区内网互通，不同可用区之间物理隔离。每个可用区都被设计成不受其他可用区故障的影响，并提供低价、低延迟的网络连接，以连接到同一区域其他可用区。 VPC 虚拟私有云(Virtual Private Cloud)为用户提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。专有网络由逻辑网络设备（如虚拟路由器，虚拟交换机）组成，可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境，实现应用的平滑迁移上云。

本文介绍弹性云主机实例删除类相关问题。 已删除的弹性云主机可以再开通吗？ 已经删除的云主机不能再次开通。所以请在执行删除操作前，确保将云主机上的数据已完成备份或者迁移，删除云主机后，数据无法找回，请谨慎操作。 为了确保您的数据安全，请在删除云主机之前按照确认以下操作： 1. 确认数据备份：您需要确保您的数据已经完整地备份到了另一个安全的位置，例如另一个云主机或已形成镜像或快照。 2. 确认数据迁移：如果您的数据需要迁移到另一个云主机或其他云产品上，您需要确保数据迁移已经完成并且数据已经成功同步。 3. 执行删除操作：一旦您确认数据已经备份或迁移并且您已经确认可以进行删除，您可以按照云主机控制台的指导执行删除操作。 4. 云主机备份与迁移可参考：备份云主机、迁移云主机。 如何删除弹性云主机？ 登录天翼云弹性云主机控制台，选中需要删除的弹性云主机。 只有按量计费类型弹性云主机支持删除操作，弹性云主机只有在关机状态才可以删除，首先点击弹性云主机列表左上角的关机按钮。 等待关机完成，点击云主机实例最右侧的更多删除 在弹出页面点击确定即可删除弹性云主机。

本节介绍了云审计的相关内容。 支持审计的关键操作列表 操作场景 云审计服务（CTCloud Trace Service，CTS），是公有云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与镜像服务相关的操作事件，便于日后的查询、审计和回溯。 前提条件 使用云审计服务前需要先开通云审计服务，如果不开通云审计服务，则无法对资源操作进行记录。开通后CTS会自动创建一个追踪器，并将当前租户的所有操作记录在该追踪器中。CTS最多显示近7天的事件，为了长期保存操作记录，可以将事件文件保存至对象存储服务中。 支持审计的关键操作列表 云审计服务支持的IMS操作列表 操作名称 资源类型 事件名称 ::: 创建镜像 ims createImage 修改镜像 ims updateImage 批量删除镜像 ims deleteImage 复制镜像 ims copyImage 导出镜像 ims exportImage 新增成员 ims addMember 批量修改成员 ims updateMember 批量删除成员 ims deleteMemeber 由IMS触发的操作与OpenStack原生接口的关系 操作名称 事件名称 服务类型 资源类型 归属 ::::: 创建镜像 createImage IMS image glance 修改镜像信息/上传镜像 updateImage IMS image glance 删除镜像 deleteImage IMS image glance 添加标签 addTag IMS image glance 删除标签 deleteTag IMS image glance 添加镜像成员 addMember IMS image glance 修改镜像成员信息 updateMember IMS image glance 删除镜像成员 deleteMember IMS image glance

本文介绍容器集群网络规划最佳实践。 在创建云容器引擎集群时，您需要指定虚拟私有云VPC、子网、Pod CIDR和Service CIDR。因此建议您提前规划Worker节点地址、Pod地址和Service地址。本文将介绍云容器引擎下的网络规划的规则与策略。 各网段说明 虚拟私有云VPC：提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。可创建子网、设置安全组。VPC和子网需要提前在VPC的创建界面创建好，之后创建云容器引擎集群时，为集群指定VPC和子网。Worker节点的内网IP，最终为子网下的一个IP地址。 Pod CIDR：Pod是Kubernetes层的容器资源，每个Pod都具有一个容器网络IP地址。创建云容器引擎集群时可以指定Pod CIDR。 Service CIDR：Service是Kubernetes的网络资源，每个Service具有一个IP地址。创建云容器引擎集群时可以指定Service CIDR。 约束与限制 当前云容器引擎采用Calico和Flannel两种网络插件，所涉及的三个网段：虚拟私有云VPC的网段、Pod CIDR所在网段，以及Service CIDR所在网段，不可重复。 网络规划 场景 1 ： 单 VPC+ 单集群 这是最简单的场景，VPC和子网网段在创建时已明确，需要确认Pod CIDR、Service CIDR互不重叠，且和VPC不冲突即可。 场景 2 ： 单 VPC+ 多集群 VPC和子网网段在创建时已确定，不同集群可根据用户自己的网络规划，放置在同一个子网或者多个子网里。 多个集群之间Pod CIDR不可以重叠，但是Service CIDR可以重叠。

本文为您介绍如何通过非对称密钥实现数据的加解密。 非对称密钥加密通信的过程类似于对称加密，区别在于需要使用公钥进行数据加密，使用私钥进行数据解密。 由于密文只有通过私钥才可以解密，而私钥是不公开的，所以即使由于传输介质的安全性比较低而导致信息泄露，拿到密文的人也无法将其破译，从而保证了敏感信息的安全。这种敏感信息传递的方式，被广泛用于各类密钥交换场景。 操作流程 1. 信息接收者通过KMS控制台或者调用KMS的CreateKey接口，创建一个非对称的用户主密钥（CMK）。 2. 信息接收者通过调用KMS的getPublicKey接口获取到公钥，并将公钥分发给消息发送者。 3. 信息发送者使用公钥在本地通过OpenSSL等方式对数据进行加密。特殊需求场景下，也可通过调用KMS的asymmetricEncrypt接口，使用CMK进行加密。 4. 信息发送者将密文数据传递给信息接收者。 5. 信息接收者拿到密文数据之后，可调用KMS的asymmetricDecrypt接口，使用私钥进行数据解密。 相关API 您可以调用以下KMS API，完成对敏感数据传输中的加解密处理。 API名称 说明 createKey 创建用户主密钥（CMK）。 getPublicKey 获取非对称密钥的公钥，可用于离线验证数字签名，或者加密数据。 asymmetricEncrypt 非对称密钥的公钥运算：加密数据。 asymmetricDecrypt 非对称密钥的私钥运算：解密公钥加密的数据。

本章主要介绍备份与恢复说明 介绍如何通过管理控制台对DCS缓存实例进行数据备份，以及备份数据恢复。 备份缓存数据的必要性 业务系统日常运行中可能出现一些小概率的异常事件，比如异常导致缓存实例出现大量脏数据，或者在实例出现故障后持久化文件不能重新加载。部分可靠性要求非常高的业务系统，除了要求缓存实例高可用，还要求缓存数据安全、可恢复，甚至永久保存。 DCS支持将当前时间点的实例缓存数据备份并存储到对象存储服务（OBS）中，以便在缓存实例发生异常后能够使用备份数据进行恢复，保障业务正常运行。 备份方式 DCS缓存实例支持自动和手动两种备份方式。 自动备份 您可以通过管理控制台设置一个定时自动备份策略，在指定时间点将实例的缓存数据自动备份存储。 定时备份频率以天为单位，您根据需要，选择每周备份一次或多次。备份数据保留最多7天，过期后系统自动删除。 定时备份主要目的在于让实例始终拥有一个完整的数据副本，在必要时可以及时恢复实例数据，保证业务稳定，实例数据安全多一重保障。 手动备份 除了定时备份，DCS还支持由用户手动发起备份请求，将实例当前缓存数据进行备份，并存储到对象存储服务（OBS）中。 您在执行业务系统维护、升级等高危操作前，可以先行备份实例缓存数据。 缓存实例在使用过程中，备份数据不会自动清除，您可根据需要手动删除备份数据。当删除实例时，备份数据会随实例删除，如果需要保存备份数据，请提前将备份数据下载保存。