批量导入资产访问授权规则 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 资产访问授权”，进入“资产访问授权”页面。 3. 单击“导入”，在弹出的对话框中下载导入模板。 4. 打开模板，配置相关内容。 参数 参数说明 取值样例 基本信息 授权规则名 自定义资产访问授权的规则名称。 Test 基本信息 启用状态 选择授权规则创建完成后的启用状态，可选择“启用”或“禁用”。 启用 登录名 登录名 （可选）填写需要配置访问授权的用户名，用户名请保持和系统中添加用户名保持一致。 登录名 用户组 （可选）填写需要配置访问授权的用户组，用户组请保持和系统中添加用户组名保持一致。 若您填写的用户和用户组存在重合部分，取两者最大的合集。 资产 资产 （可选）填写需要配置访问授权的资产，资产名称请保持和系统中添加的资产名保持一致。 资产 资产组 （可选）填写需要配置访问授权的资产，资产组名称请保持和系统中添加的资产名保持一致。 若您填写的资产和资产组存在重合，默认取最大的合集。 账号 资产账号 （可选）选择资产授权规则中允许使用的资产账号，添加资产账号请参见：资产账号章节。 root 协议 协议 选择该授权规则支持访问的协议，协议可填写：SSH、TELNET、SFTP、FTP、X11、RDP、数据库、VNC。 SSH 授权时间 授权生效日期 选择规则生效的日期，日期填写格式为yyyy/mm/dd。 20231001 授权时间 授权失效日期 选择规则失效的日期，日期填写格式为yyyy/mm/dd。 20241001 授权时间 授权生效时间 填写规则生效的时间段，时间段填写格式为00:00:00。 9:00:00 授权时间 授权失效时间 填写规则失效的时间段，时间段填写格式为00:00:00。 18:00:00 5. 填写完成后，保存文件并上传。

本章节向您介绍什么是安全组与安全组规则。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 您在创建实例时（比如云主机），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组，多个安全组按照优先级顺序依次匹配流量。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。 以下图为例，在区域A内，某客户有一个虚拟私有云VPCA和子网SubnetA，在子网SubnetA中创建一个云主机ECSA，并为ECSA关联一个安全组SgA来保护ECSA的网络安全。 安全组SgA的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECSA。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECSA。 当ECSA需要通过EIP访问公网时，由于安全组SgA的出方向规则允许所有流量从实例流出，因此ECSA可以访问公网。 说明 您可以免费使用安全组资源，当前不收取任何费用。

本文为您介绍已过期备份集的相关功能。 已过期备份集页面支持汇总所有通过备份规则或备份集复制等产生的过期备份集信息，且支持过期备份集多条件组合搜素，方便对过期备份集进行统一的管理。 1. 已过期备份集列表说明如下： 备份ID：显示该备份集对应的备份ID。 客户端：显示该备份集对应的客户端。 实例名：显示该备份集对应的实例名字，一般仅数据库才显示。 对象：当前版本显示为空，作为后续数据源备份集管理预留字段使用。 备份时间：显示该备份集的备份时间。 过期时间：显示该备份集何时过期（备份时间+保留时间） 状态：显示当前备份集的状态。 文件数量：显示当前备份集的文件数量。 大小：显示备份集的大小。 磁盘池：显示备份集所属的磁盘池名称。 磁带池：显示备份集所属的磁带池名称。 备份规则：现在该备份集对应的备份规则名称。 副本数：显示该备份集的副本数量，当副本数>1时，为超链接形式，可以点击查看该备份集的所有副本。 主副本：显示该备份集是否为主副本，即第一次产生的备份副本。 存储单元：显示该备份集备份时的目标存储单元。 规则类型：显示该备份集对应的规则类型。 备份类型：显示该备份集对应的备份类型。 备份计划：现在该备份集对应的备份计划名称。 备份服务器：显示该备份集所属的备份服务器。 存储介质：显示该备份集对应的存储介质。 磁带条形码：显示该备份集对应的磁带条形码。 备份集清理次数：显示备份集过期清理的次数。 2. 操作列说明如下： 查看：查看备份集详细信息。 3. 操作栏说明如下： 导出：导出备份集过期任务。 删除：删除备份集过期任务。 刷新：刷新当页备份集过期任务。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅企业版云堡垒机支持自动运维功能。 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能。 用户自动化运维可执行的命令和脚本受到命令权限的限制。 新建自动运维策略 1. 使用“管理角色”或“运维角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3. 单击“新增”，开始新增自动运维策略。 4. 在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略。 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式。 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5. 单击“确认”，弹出“验证用户身份”窗口。 6. 在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

操作步骤 1. 购买数据安全中心DSC。 2. 在左侧导航树中，选择“安全 > 数据安全中心”。 3. 点击左侧导航树中的“资产列表”，单击页面右上角的“云资产委托授权”。 4. 在对象存储OBS资产所在行的“操作”列，单击开启授权。 5. 添加对象存储OBS资产，具体的操作请参见添加OBS资产。 6. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，单击“新建任务”，配置敏感数据的扫描任务。 “数据类型”选择步骤5中添加的OBS资产，其他配置请参见创建敏感数据识别任务。 7. 在左侧导航树中选择“敏感数据识别 > 识别任务”，进入识别任务页面。 8. 单击目标任务“操作”列的“识别结果”查看识别结果。 在页面左上角，识别任务名称选择dsctest、资产类型选择OBS、资产名称选择全部资产，筛选OBS敏感数据识别结果，识别结果如下图所示。 9. 单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框。 在“安全总览”页面查看“数据存储安全”模块，如果风险数据库中存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 在异常告警列表中，根据风险等级查看异常情况，排查是否存在高风险事件。具体操作请参见查看风险行为检测事件详情和查看Access Key泄露检测事件详情。 在OBS控制台，为了解决存在风险的桶或文件，可以修改其读写权限。

本文为您介绍脚本编写最佳实践。 概述 多活容灾服务支持使用 Shell 与 Python2 脚本语言。您可以在数据库或非天翼云云主机上执行这些脚本。 脚本管理提供多种创建方式： 上传本地脚本：直接上传您已有的脚本文件。 手工录入：在平台提供的编辑器中直接编写脚本内容。 克隆现有脚本：基于一个已有脚本快速复制并修改。 脚本功能强大，支持以下高级特性： 定义脚本参数：通过参数化提升脚本的灵活性。 使用系统环境变量：内置平台提供的环境变量。 设计输入与输出：明确脚本的请求参数与返回结果。 设置成功标准：根据返回参数自定义脚本执行成功的判定条件。 使用介绍 一、脚本参数说明 通过定义脚本参数，可以极大增强脚本的灵活性和复用性。单个脚本可作为模板，通过为不同资源配置不同的参数值，轻松适配多种场景，无需重复编写。 脚本参数包含两种类型： 1. 此类参数由多活容灾平台预定义，例如 HostIP、HostPort、HostUser、DBIP 等（共12个）。脚本执行时，平台会自动获取 指定资源的对应信息并注入环境变量，无需用户手动设置。 说明 查看方法：目前支持HostIP、HostPort、HostUser、HostPwd、HostAuthKeyPath、HostOtherUser、HostOtherPwd、DBIP、DBPort、DBName、DBName、DBPwd。具体适用对象和备注等内容可通过左侧菜单栏的“系统环境变量”查看。 2. 用户可根据脚本逻辑自定义所需的参数，每个参数需配置参数名 、参数类型 和参数Key。 参数名：仅为便于管理界面识别和填写，不会在脚本执行过程中出现。 参数Key：脚本执行时实际使用的变量名。 用户自定义参数分为两种用途： 请求参数：作为脚本的输入，在执行前由用户配置具体值，用于初始化脚本中的变量。 返回参数：作为脚本的输出结果，平台将捕获此参数的值，并用于判断脚本执行是否达到用户定义的成功标准。

本文通过图文介绍如何停用域名和删除域名。 背景说明 如果客户的网站因业务变更需要停止CDN加速服务，客户可以通过CDN控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”，且天翼云CDN会立即将加速域名的CNAME解析至不可用地址。 删除域名 对域名进行删除操作后，天翼云CDN会直接删除加速域名在CDN节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至CDN节点，则会响应403。 注意事项 停用CDN加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云CDN入口，调整为解析至其他CNAME或A记录。该调整完成后，客户可以通过CDN加速控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用CDN加速域名 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，选择对应域名，单击【操作】列下的【更多】，可看到【停用】按钮。 4. 单击【停用】按钮，单击【确认停用】。 如您需要删除已停用域名，等待停用域名工单完成后继续按如下删除CDN加速域名的流程进行操作。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能 用户自动化运维可执行的命令和脚本受到命令权限的限制 新建自动运维策略 1.使用“管理角色”或“运维角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3.单击“新增”，开始新增自动运维策略。 4.在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5.单击“确认”，弹出“验证用户身份”窗口。 6.在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。

本节介绍了云容器引擎的最佳实践:集群网络地址段规划实践。 在云容器引擎创建集群时，需要根据具体业务需求规划VPC大小和数量、子网大小和数量、容器网段和服务网段。本文介绍集群各类地址作用，以及如何规划地址段。 约束与限制 使用VPN方式访问集群时，需注意VPN网络与集群所在的VPC网段、容器网段和服务网段不能冲突。 集群各网段基本概念 VPC网段 虚拟私有云（Virtual Private Cloud，VPC）是隔离的、私密的网络环境，可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 子网网段 云资源（例如云服务器、数据库服务等）须部署在子网内，同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改，请合理规划网络。 下图所示，VPC网段结构： 容器网段（Pod网段） 订购集群时，可指定容器网段（即Pod网段）。针对选择的网络插件，容器网段有不同限制： 1、Calico IPIP隧道网络： 可指定一个私有地址段作为容器网段，该地址段仅在集群内有效。网段大小影响后续可添加节点数及可创建Pod数上线，建议使用大网段，例如172.16.0.0/16，如下所示： VPC网段 容器网段 Service网段 最大可分配Pod地址数 192.168.0.0/16 172.16.0.0/16 10.96.0.0/16 65536 容器网段不能与节点所在的VPC网段重叠。例如节点使用子网网段192.168.1.0/24，所属VPC网段为192.168.0.0/16，则不能使用与192.168.0.0/16重叠的网段作为容器网段。

本文为您介绍云硬盘的磁盘模式以及不同磁盘模式的主要应用场景以及使用注意事项。 磁盘模式的定义与分类 云硬盘的磁盘模式分为三种，分别是： VBD（Virtual Block Device）：虚拟块存储设备。 SCSI （Small Computer System Interface）：小型计算机系统接口。 FCSAN（Fibre Channel SAN）：光纤通道协议的SAN网络。 根据其是否支持高级的SCSI命令来判断划分磁盘模式。其中，VBD为默认模式，相较于SCSI，只支持较简单的读写命令。而SCSI类型的磁盘则可以提供一些高级特性，如命令队列、多点访问、热插拔等，支持更高级的SCSI指令。 磁盘模式在订购完成后不能修改，在购买时请谨慎选择。 说明 FCSAN协议仅支持物理机使用，当前仅支持在上海7开通。 VBD模式是所有资源池默认的磁盘模式。 选择的资源池和磁盘类型同时决定了创建的云硬盘是否支持SCSI模式，逻辑如下： HDD磁盘选择SCSI模式的资源池为：拉萨3/西南2贵州/西宁2/庆阳2/呼和浩特3。 SSD磁盘选择SCSI模式的资源池为：西南2贵州/庆阳2/呼和浩特3/华北2/郑州5/上海36/西南1/西宁2。 不同磁盘模式的主要应用场景 VBD模式：作为云硬盘的默认磁盘模式，VBD可以应用于绝大多数业务场景，作为云主机的驱动器，提供持久化存储，用于操作系统、应用程序和数据的安装和存储，也可以作为数据库服务器的存储设备等等。 SCSI模式：天翼云共享盘需要在集群环境下使用，多数集群在配置使用过程中是需要使用SCSI锁的，例如Windows MSCS集群等，因此在集群应用场景中推荐使用SCSI模式共享盘。 FCSAN模式：目前仅支持物理机使用。

动态内容 指用户多次访问某一内容或者多个用户访问某一内容，源站响应返回的数据均不相同。例如：.jsp、.asp、.php、.perl、.cgi文件和API接口等，常见于需要数据库查询且会动态变化的场景，例如余票查询，支付信息，动态会话等场景。动态内容一般不可缓存，需要使用全站加速得到加速效果。 缓存Key 缓存Key是一个文件在节点上缓存时唯一的身份ID，每个在节点上缓存的文件都会对应一个缓存Key。通常默认情况下，文件的缓存Key为客户端请求的原始URL（带参数）。通过自定义缓存Key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 去问号缓存 对于可缓存的文件，节点通常会将用户请求的原始URL作为缓存key。如果原始URL中携带问号后参数，且不同参数实际指向同一份文件时，可以配置开启去问号缓存，此时节点会将问号后参数去掉的内容作为缓存key，以提升缓存命中率，降低回源量。 用户自定义脚本 用户自定义脚本（User Defined Script，简称UDFScript）是一个可供客户快速实现全站加速定制化配置的工具箱，当客户控制台上的标准配置无法满足客户的业务需求时，可以使用UDFScript通过简单地编程实现定制化业务需求。 内容刷新 节点缓存源站文件后，如果需要在设置的过期时间之前进行内容刷新，则需要在客户控制台上提交刷新任务。内容刷新支持URL刷新、目录刷新、正则刷新，提交刷新任务后，节点的缓存内容将会被删除或置为过期，此时用户向节点请求资源时，节点会回源获取最新资源返回给用户，并将其缓存。刷新功能会降低缓存命中率。

本章节向您介绍如何导出子网列表与查看子网内IP地址的用途。 导出子网列表 操作场景 您可以将当前账号下拥有的所有虚拟私有云子网信息，以Excel文件的形式导出至本地。该文件记录了子网的名称、ID、所属VPC、网段、关联路由表等信息。 操作步骤 登录管理控制台。 在管理控制台左上角选择区域和项目。 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 在左侧导航栏，选择“虚拟私有云 > 子网”，进入子网列表页面。 在子网列表页面，单击列表左上方的“导出”。系统会将子网信息自动导出为Excel文件，并下载至本地。 说明 导出已选中数据到XLSX：勾选一个或多个子网，导出所选子网的信息。 导出全部数据到XLSX：导出当前区域内所有子网的信息。 查看子网内IP地址的用途 操作场景 子网是VPC内划分的一个地址块，包含若干个IP地址，本章节指导用户查看子网内已被占用的IP地址用途，具体如下： 1. 虚拟IP地址。 2. 私有IP地址：用作其他资源的私有IP地址。 子网自身占用，比如网关、系统接口、DHCP等。 分配给云服务资源，比如弹性云主机ECS、弹性负载均衡ELB、云数据库RDS等。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在左侧导航栏，选择“虚拟私有云 > 子网”，进入子网列表页面。 5. 在子网列表中，找到目标子网，并单击子网名称超链接，进入子网详情页面。 6. 选择“IP地址管理”页签，查看子网内的IP地址信息。 说明 在页面上方的虚拟IP地址列表中，可以查看子网内分配的虚拟IP地址。 在页面下方的私有IP列表中，可以查看占用子网的私有IP地址、用途及占用子网的资源ID。

分析处理 在您采取措施处理问题前，首先需要判断影响CPU或带宽占用率高的进程是正常进程还是异常进程。不同类型的进程状态需要做不同处理。 正常进程分析处理建议 1. 如果您的操作系统是Windows 2008/Windows 2012，请检查内存大小，建议内存配置在2GB或以上。 2. 检查后台是否有执行Windows Update的行为。 3. 检查杀毒软件是否正在后台执行扫描操作。 4. 核对云主机运行的应用程序中是否有对网络和CPU要求高的需求，如果是，建议您变更云主机配置或修改带宽。 5. 如果云主机配置已经比较高，建议考虑云主机上应用场景的分离部署，例如将数据库和应用分开部署。 异常进程分析处理建议 如果CPU或带宽利用率高是由于病毒、木马入侵导致的，那么需要手动结束进程。建议的处理顺序如下： 1. 使用商业版杀毒软件或安装微软安全工具Microsoft Safety Scanner，在安全模式下扫描病毒。 2. 安装Windows最新补丁。 3. 使用MSconfig禁用所有非微软自带服务驱动，检查问题是否再次发生。 Linux云主机卡顿怎么办？ 当您发现云主机的运行速度变慢或云主机突然出现网络断开现象，则可能是云主机的带宽和CPU使用率过高导致。如果您已经通过云监控服务创建过告警任务，当CPU或带宽利用率高时，系统会自动发送告警给您。 Linux实例带宽流量过高或CPU使用率高，您可以按如下步骤进行排查： 1. 问题定位：定位影响云主机带宽和CPU使用率高的进程。 2. 问题处理：排查进程是否正常，并分类进行处理。 − 正常进程：优化程序，或变更云主机配置。 − 异常进程：建议您手动关闭进程，或者借助第三方工具关闭进程。

本文为您介绍已过期备份集的相关功能。 已过期备份集页面支持汇总所有通过备份规则或备份集复制等产生的过期备份集信息，且支持过期备份集多条件组合搜素，方便对过期备份集进行统一的管理。 1. 已过期备份集列表说明如下： 备份ID：显示该备份集对应的备份ID。 客户端：显示该备份集对应的客户端。 实例名：显示该备份集对应的实例名字，一般仅数据库才显示。 对象：当前版本显示为空，作为后续数据源备份集管理预留字段使用。 备份时间：显示该备份集的备份时间。 过期时间：显示该备份集何时过期（备份时间+保留时间） 状态：显示当前备份集的状态。 文件数量：显示当前备份集的文件数量。 大小：显示备份集的大小。 磁盘池：显示备份集所属的磁盘池名称。 磁带池：显示备份集所属的磁带池名称。 备份规则：现在该备份集对应的备份规则名称。 副本数：显示该备份集的副本数量，当副本数>1时，为超链接形式，可以点击查看该备份集的所有副本。 主副本：显示该备份集是否为主副本，即第一次产生的备份副本。 存储单元：显示该备份集备份时的目标存储单元。 规则类型：显示该备份集对应的规则类型。 备份类型：显示该备份集对应的备份类型。 备份计划：现在该备份集对应的备份计划名称。 备份服务器：显示该备份集所属的备份服务器。 存储介质：显示该备份集对应的存储介质。 磁带条形码：显示该备份集对应的磁带条形码。 备份集清理次数：显示备份集过期清理的次数。 2. 操作列说明如下： 查看：查看备份集详细信息。 3. 操作栏说明如下： 导出：导出备份集过期任务。 删除：删除备份集过期任务。 刷新：刷新当页备份集过期任务。

CloudFlow Studio编辑页 当在顶部菜单栏 选中CloudFlow Studio 按钮时， 在工作流编辑区即可出现状态浏览器 、流程画布区 以及参数配置区方便用户对工作流流程进行可视化编排。 状态浏览区 操作tab 包含集成优化后的常用操作 以及包含网络与CDN、计算、存储、容器与中间件、数据库以及人工智能在内的天翼云云产品的OpenAPI列表；状态浏览器顶部的搜索栏可进行模糊搜索API， 即可展示匹配到的API列表。可以将操作tab 、流程tab下 所需状态节点拖拽到流程画布区。 目前常用操作中集成优化后的包含函数调用（InvokeFunction）、工作流执行（ExecuteWorkflow）、Http请求、发送信息（SendMsg）、CheckObject、LLMTextGeneration等。其中SendMsg支持基于webhook发送信息到飞书、企业微信、钉钉。CheckObject支持检查目标对象存储object是否存在并生成临时共享下载链接方便用户在任务中使用。LLMTextGeneration可以调用天翼云息壤和阿里云百炼平台支持的部分比较流行的开源通用大模型。 流程画布区 选择状态浏览区 的Operation类状态或流程控制类状态并拖曳至右侧的画布，待出现一条横线或竖线时放开鼠标，将其放至所需位置，编排和定制完全符合用户业务的流程图。生成流程图的同时将自动生成工作流流程定义，无需手动编写。 拖拽放入流程画布区前状态 拖拽放入流程画布区后状态 另外， 还可以点击流程画布区左上角的功能按钮进行撤销上一步动作、删除选中的状态节点、缩放画布、居中流程图等操作。

为了控制成本并保护后端资源,函数计算提供了并发实例数上限的配置功能。此功能限制了每个账户在特定地域中同时运行的实例数量,以及单个函数的实例数,从而避免因过度调用导致的预期外的费用开销。 应用场景 保护函数正常并发度：对于共享账号级别实例限制的函数，如funca和funcb，可以通过设置实例限制来确保关键业务funca的请求得到满足，同时防止funcb的过度调用。 保护下游服务：当函数计算需要频繁访问处理能力有限的下游服务（如RDS数据库）时，设置实例限制可以防止下游服务被打垮。 防止过度调用函数：对于可能因用户操作行为而产生大量请求的函数，设置实例数限制可以避免费用失控 禁止异常函数调用：如果发现某个函数存在调用异常，可以将该函数的最大实例数设置为0，以禁止其进一步调用。 通过配额管理配置 1. 登录到函数计算控制台。 2. 在左侧导航栏中选择函数。 3. 在顶部菜单栏中选择相应的地域。 4. 在函数列表页面中，点击目标函数以进入其详情页。 5. 选择配额 页签，点击编辑按钮。 6. 在编辑并发实例数上限 面板中，输入新的并发实例数上限，然后点击确定。 通过弹性管理配置 1. 登录到函数计算控制台。 2. 在左侧导航栏中，选择高级功能 弹性管理。 3. 在顶部菜单栏中选择相应的地域。 4. 在弹性管理页面中，选择并发实例数上限页签。 5. 点击创建并发实例数上限按钮。 6. 在创建面板中，选择需要配置的函数名称，设置并发实例数上限，然后点击确定。

本文介绍我的权限功能，使用户可以快速熟悉我的权限页面的相关操作。 前提条件 用户需要具有进入我的权限 页面的菜单权限。菜单权限请参考权限说明。 注意事项 我的权限功能仅限企业版。 用户实际拥有的数据权限并不局限于本页面中所展示的数据权限。 在基础版中，超级管理员、管理员直接拥有组织内所有实例 的数据权限，团队内成员直接拥有团队内所有实例的数据权限。 在企业版中，超级管理员、管理员直接拥有组织内所有实例 的数据权限，团队管理员直接拥有团队内所有实例的数据权限。 不同资源粒度的我的权限功能基本相同，本文以库/模式授权为例进行介绍。 查看权限列表 页面上方展示了权限列表的筛选、搜索条件，筛选条件包括实例所属团队、数据库类型、环境类型，搜索条件包括实例名称、实例地址、库/模式名称、表名称，用户可以在此对权限列表进行筛选、搜索。 页面下方展示了当前资源粒度下用户拥有哪些资源的权限，列表的信息字段及说明如下： 信息字段 说明 权限信息 该资源的信息，一般格式为：表名@模式名@库名@实例地址【实例名】，根据资源粒度的不同，实际展示的格式有所差异 所属团队 该资源所属实例的所属团队的名称 环境 该资源所属实例的环境类型，分为开发、测试、预发、生产 开通时间 用户拥有该资源的所有权限中，最早的一个权限的开通时间 到期时间 用户拥有该资源的所有权限中，最早的一个权限的到期时间 操作 包括详情按钮，可查看权限详情 权限列表按照到期时间从早到晚排序，第一条权限信息中包含了最近到期的权限。

本章节为您介绍风险监测的相关内容。 您在数据源管理页面新增数据源后，将自动生成同名的风险检测任务。风险检测主要针对包含数据库的数据源中的漏洞风险、配置基线风险、弱口令风险以及敏感数据。 风险监测结果概况 可视化报表 可视化图表直观展示了数据源中存在的漏洞、配置基线、弱口令风险数，并分别指出风险数最多的前5项数据源。点击数据源名称，可以跳转至对应的风险检测详情界面。 风险数量统计基于所有已完成风险扫描任务的数据源，不包括扫描失败的任务。当未成功扫描到特定类型的风险时，对应图表区域显示“暂无数据”。 报表导出 1.登录数据分类分级实例。 2.在左侧导航栏选择“安全评估 > 风险监测”，进入“风险监测”页面。 3.单击页面右上角的“导出”即可导出报表。 风险监测任务管理 新增数据源后，本页面将自动生成同名的风险检测任务。 当数据源被删除时，对应的风险检测任务也将自动删除。 风险监测任务列表 任务列表的展示字段包括：任务名称、数据源名称、数据源主机、风险评分、风险数、状态、更新时间。 风险评分：指在对数据源进行扫描后，基于漏洞风险、基线风险、弱口令以及数据源的分类分级结果综合计算后得出的分数；数据源的分类分级结果会影响其风险评分，具体来说，分类分级后，数据源中的敏感表、敏感字段越多，其风险评分就越高； 风险数：漏洞、基线、弱口令等三类漏洞的数量； 状态：分为已完成、扫描中、失败、待扫描。 列表默认按照风险评分降序排序，您可以单击表头的“风险评分”和“更新时间”，使表格切换为按该列降序或升序排序。

本章节为您介绍数据安全专区的数据对比任务。 “数据对比任务”页面用于比较生产源和对比目标，轻松发现目标数据是否脱敏；也可用于验证数据脱敏处理效果，即对比脱敏前后的数据差异。 注意 目前，系统仅支持对比同构数据库中的敏感字段，自动跳过非敏感字段，且表名及表所含字段名完全相同才算匹配上。 不支持对比主键经过脱敏的数据。 新增数据对比任务 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“数据对比 > 数据对比任务 ”，进入“数据对比任务”页面。 3.单击页面左上角的“新增”按钮，即可开始新增数据对比任务。 参数 参数说明 填写样例 任务名称 自定义数据对比的任务名称，在您创建的时候系统会生成一个随机名称。 Test 生产源 选择数据对比任务的生产源。 生产数据 选择数据对比任务的生产数据。 对比名称 选择需要对比的数据。 目标数据 选择目标数据。 采样数据 可根据您需求是否开启，若开启可选择： 采样行数 采样比例 采样比例 特殊处理 选择单表超过一定行数时，自动完成对比任务。 500 4.配置完成后，单击“报告”即可生成数据对比报告。 后续操作： 单击报告末尾的“一键创建敏感数据发现任务”，界面将跳转至敏感数据发现的任务创建页，自动生成一个结构化发现任务，并自动填入输入源（对应“生产源”）、输入数据、任务名称等参数； 单击“一键创建脱敏任务”，界面将跳转至脱敏/水印任务的任务创建页，自动生成一个脱敏任务，并自动填入输入源、输入数据、输出目标（对应“对比目标”）、任务名称等参数。

本章节为您介绍数据安全专区的计费模式。 数据安全专区目前仅支持包年包月计费和一次性计费两种形式 数据脱敏与水印、数据分类分级支持包年包月计费。 数据安全咨询规划服务、数据分类分级服务支持一次性计费。 包年包月适用场景 包年包月是一种计费模式，适用于多种场景，尤其是需要稳定资源并长期使用的情况： 1.长期稳定使用 常驻服务： 适用于需要长期稳定运行的服务，如网站托管、数据库服务器、企业应用等。 2.成本可控和节约 成本控制： 对于需要长期使用的资源，包年包月可以降低长期成本，相比按需付费更为经济。 预算规划： 有助于企业预算规划，避免长期高额的变动费用，提供更稳定的费用支出。 3.稳定资源需求 资源保障： 对于有稳定资源需求的业务，如特定配置的服务器、存储或计算资源，包年包月提供稳定的资源保障。 包年包月约束与限制 包年包月的计费模式虽然有其优势，但也存在一些约束和限制，这些限制可能因服务提供商和具体服务套餐而异： 1.长期绑定 合约期限： 通常需要按照一定期限购买，可能是一年或更长时间的合约，无法随时更改或取消。 费用一次性支付： 一次性支付包年包月费用，无法根据实际使用情况灵活调整费用。 2.非弹性和限制 固定资源： 购买后资源固定，无法根据实际需求灵活调整，可能导致资源过剩或不足。 限制升级： 一些服务可能在包年包月期间限制资源的升级，只能在合同到期后进行。 3.限制服务范围 部分服务限制： 某些服务或特性可能无法包含在包年包月套餐内，需要额外付费或选择其他计费模式。 4.资费约束 费用固定性： 购买后的费用是固定的，无法根据实际使用情况进行变动或调整。

本节介绍如何导入/导出资产。 操作场景 态势感知（专业版）支持导入云外各种资产，导入后，可以呈现资产的安全状态。同时，还可以将资产信息导出。 约束与限制 仅支持导入.xlsx格式的文件，且单次导入文件大小不超过5MB。 最多支持导出9999条资产信息。 导入资产 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. 在资产管理页面中，选择对应资产页签，如主机资产、网站、数据库等。 例如，需要导入主机资产，则选择“主机资产”页签。 需要导入部门或业务系统，则选择“部门及业务系统”页签。 6. 导入资产，在资产列表左上方，单击“导入”，弹出导入资产对话框。 导入部门，单击“部门”下方的导入按钮，弹出导入部门对话框。 导入业务系统，单击“业务系统”下方的“导入”按钮，弹出导入业务系统对话框。 7. 在导入资产对话框中，单击“下载模板”，并根据模板填写要求填写待导入资产信息。 在导入部门对话框中，单击“下载模板”，并根据模板填写要求填写待导入部门信息。 在导入业务系统对话框中，单击“下载模板”，并根据模板填写要求填写待导入业务系统信息。 8. 待导入文件信息填写完成后，在导入对话框中，单击“添加文件”，并选择需要导入的Excel文件。 9. 选择完成后，单击“确定”，完成导入。 10. 导入完成后，在左侧导航栏选择“资产管理> 资产管理”，在资产管理页面选择导入资产对应的资产页签，即可在资产列表中查看已导入的资产。

本章节主要介绍数据治理中心的配置Elasticsearch/云搜索服务（CSS）连接功能。 Elasticsearch Elasticsearch连接适用于Elasticsearch服务，以及用户在本地数据中心或ECS上自建的Elasticsearch。 说明 Elasticsearch连接器只支持非安全模式。 连接Elasticsearch时，相关参数详见下表：Elasticsearch连接参数。 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 csslink Elasticsearch服务器列表 配置为一个或多个Elasticsearch服务器的IP地址或域名，包括端口号，格式为“ip:port”，多个地址之间使用“;”分隔。 192.168.0.1:9200;192.168.0.2:9200 云搜索服务（CSS） 云搜索服务基于Elasticsearch引擎，该连接适用于将各类日志文件或数据库记录迁移到Elasticsearch引擎进行搜索和分析。 连接云搜索服务(CSS)时，相关参数详见下表：云搜索服务(CSS)连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 csslink Elasticsearch服务器列表 配置为一个或多个Elasticsearch服务器的IP地址或域名，包括端口号，格式为“ip:port”，多个地址之间使用“;”分隔。 192.168.0.1:9200;192.168.0.2:9200 安全模式认证 是否开启安全模式认证。 如果所需连接的CSS集群在创建时开启了“安全模式”，该参数需设置为“是”，否则设置为“否”。 是 用户名 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的用户名。 admin 密码 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的密码。 https访问 CSS集群开启安全认证模式时显示此参数。该参数表示开启https访问，https访问相较于http访问更安全。 是

参数项 描述 默认值 名称 资源池的名称。 CPU资源（%） 共享配额：关联在当前资源池的用户在执行作业时可以使用的CPU时间比例，取值范围为199的整数。 专属限额：限定资源池中数据库用户在执行作业时可使用的最大CPU核数占总核数的百分比，取值范围为0100的整数，0表示不限制。 所有资源池的总和不能超过99%。当配置CPU共享配额后，如果当前只有一个资源池时，该参数不生效。 共享配额非绝对限制，只有在发生CPU竞争时才生效。例如，资源池A和B被绑定在CPU1运行，当A和B均运行时参数生效，只有A运行则参数不生效。 所有资源池的CPU专属限额总和最大不能超过100%，系统默认的CPU专属限额（%）为0。 l CPU专属限额仅8.1.3及以上集群版本支持。 内存资源（%） 资源池所占用的内存百分比。 内存和查询并发支持单独管控和联合管控，联合管控时必须同时满足并发和内存要求时作业才能下发。 0（不限制） 存储资源（MB） 可使用的永久表空间大小。 该值是资源池下所有DN的表空间总值，单DN 节点可用空间 设置值/ DN节点数。 1（不限制） 复杂语句并发 资源池中的最大查询并发数。 内存和查询并发支持单独管控和联合管控，联合管控时必须同时满足并发和内存要求时作业才能下发。 10 网络带宽权重 网络调度时权重值。取值范围为1~2147483647的整数，默认配置为1。 网络带宽权重仅8.2.1及以上集群版本支持。 1（不限制）

本节介绍边缘虚拟机支持的装机镜像类型及操作系统。 简介 镜像是一个包含了软件及必要配置的虚拟机模板，至少包含操作系统，还可以包含应用软件（例如：数据库软件）和私有软件。您可以使用镜像创建虚拟机。 镜像分为公共镜像和自定义镜像，公共镜像为系统默认提供的镜像，自定义镜像为用户自己创建的镜像。 用户可以灵活便捷的使用公共镜像或者自定义镜像申请虚拟机。同时，用户还能通过已有的虚拟机创建私有镜像，这样能快速轻松地启动能满足您一切需求的新虚拟机。例如，如果您的应用程序是网站或Web服务，您的自定义镜像可能会包含Web服务器、相关静态内容和动态页面代码，您通过这个镜像创建虚拟机之后，您的Web服务器将启动。 镜像类型 公有镜像：常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，用户也可以根据实际需求自助配置应用环境或相关软件。目前ECX公有镜像也支持不同的国产化镜像，部分常见操作系统及支持的版本等信息见下表，具体清单可登录边缘虚拟机控制台，进入【镜像>公有镜像】进行查看。 操作系统 系统位数 版本 CentOS 64 8.2 CentOS 64 8.1 CentOS 64 7.9 CentOS 64 7.8 CentOS 64 7.7 CentOS 64 7.6 CentOS 64 7.4 CentOS 64 6.5 Ubuntu 64 22.04 Ubuntu 64 20.04 Windows Server 64 2019 Datacenter Windows Server 64 2016 Datacenter Windows Server 64 2016 Standard Windows Server 64 2012 R2 Datacenter Debian 64 10.12 Debian 64 10.9 Debian 64 9.13 KylinServer 64 10 CTyunOS 64 3.0 x86 CTyunOS 64 3.0 ARM UOSServer 64 20 自定义镜像：包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。

本章节主要介绍翼MapReduce服务的变更操作。 规格变更 在开通MRS前有多种实例供您选择，您可根据业务需要选择合适的Master和Core节点实例。当集群启动后，MRS提供如下几种变更配置的方式。 配置Task节点：新增Task节点，请参见“扩容集群”中的相关任务。 扩容：手动扩容Core或Task节点，请参见“扩容集群”。 弹性伸缩：根据业务数据量的变化动态调整集群节点数量以增减资源，请参见用户操作指南“配置弹性伸缩规则”。 若MRS提供的变更配置方式不满足您的要求，您也可以通过重建集群，做数据迁移的方式实现集群配置变更。 说明 MRS包周期集群暂不支持缩容及弹性伸缩。 扩容 翼MR的扩容不论在存储还是计算能力上，都可以简单地通过增加Core节点或者Task节点来完成，不需要修改系统架构，降低运维成本。集群Core节点不仅可以处理数据，也可以存储数据。可以在集群中添加Core节点，通过增加节点数量处理峰值负载。集群Task节点主要用于处理数据，不存放持久数据。 背景信息 翼MR集群支持Core与Task节点总数最大为500个。如果用户需要的Core/Task节点数大于500，可以联系支持人员或者调用后台接口修改数据库。 目前支持扩容Core节点和Task节点，不支持扩容Master节点。此处扩容的最大Core/Task节点数为（500 集群Core/Task节点数）。例如：当前集群Core节点数为3，此处扩容的Core节点数必须小于等于497。如果集群扩容失败，用户可重新进行扩容操作。 如果在创建集群时，没有扩容节点，用户可以在扩容时添加节点个数，但不能指定具体节点扩容。 选择的版本不同，扩容集群的操作也不同。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

本节主要介绍使用规范。 本页面主要从业务设计、命令等方面介绍GeminiDB Redis的一些规范和建议，用于解决常见的使用错误，助力您高效使用GeminiDB Redis。 业务设计规范 使用建议 使用限制 命令执行超时或失败时，业务侧需要具有重传机制。 Key设计建议随机散列，尽量避免热点。 Pipeline建议一次执行的命令数不超过30。 使用Pub/Sub系列命令的连接上不能执行其他常规命令。 不允许不同数据类型使用同名key。（否则，诸如type等命令的执行效果将不符合预期。） 暂不支持事务相关操作。 命令使用规范 用户在连接到GeminiDB Redis后，为了更好的使用数据库，需要关注下表所示的使用建议和使用限制。 命令类型 使用建议 使用限制 String 使用mset、mget、msetnx命令时，建议为key增加hashtag来提高性能。如果不增加hashtag，则不同的key可能分散到不同的节点执行，会影响性能，并且不同节点的key无法保证原子性。 可以使用pipeline批量执行命令。 key的大小不超过100kB，value大小不超过1MB。 msetnx必须携带hashtag，否则命令会报错。 hash 使用hkeys、hvals、hgetall命令时，建议操作的元素数量限制在100以内, 建议使用hscan命令代替。 使用hmget、hmset、hscan命令时，建议单次操作的元素数量限制在100以内。 key+field大小不超过100KB，value大小不超过1MB。 在新建连接中首次执行hscan命令，需要从0开始扫描。如需分多次进行一轮完整扫描，需保持在同一个长连接中操作。 list 使用lrem、ltrim、lrange、linsert命令时，建议操作的元素数量限制在100以内。 建议仅在头部和尾部插入元素时使用linsert命令。 key大小不超过100KB，value大小不超过1MB。 不支持blpop、brpop、brpoplpush命令。 set 使用sdiff、sdiffstore、sinter、sinterstore、srandmember、sunion、sunionstore命令时，建议操作集合元素数量限制在100以内。 使用smembers命令时，建议操作集合元素数量限制在100以内，建议使用sscan替代。 key+member大小不超过100KB。 在新建连接中，首次执行sscan命令时，需要从0开始扫描。如果需要分多次进行一轮完整扫描，需保持在同一个长连接中操作。 smove、sunion、sinter、sdiff、sunionstore、sinterstore、sdiffstore命令需要给多key增加相同的hashtag。 zset 使用zcount、zinterstore、zlexcount、zrange、zrangebylex、zrangebyscore、zrank、zremrangebylex、zremrangebyrank、zremrangebyscore、zrevrange、zrevrangebylex、zrevrangebyscore、zrevrank、zunionstore命令时，建议操作集合元素数量限制在100以内。 由于zremrangebyscore命令不支持limit，因此建议使用“先执行zrangebyscore（加limit，count限制在100以内）查出符合条件的member，再执行zrem进行删除”的方式，控制每批删除的记录数。 key+member大小不超过100KB。 在新建连接中，首次执行zscan命令，需要从0开始扫描。如果需要分多次进行一轮完整扫描，需保持在同一个长连接中操作。 zunionstore、zinterstore命令需要给多key增加相同hashtag。 不支持bzpopmax、bzpopmin命令。 Stream 使用xinfo、xtrim命令时，建议操作的元素数量限制在100以内。 key大小不超过100KB。 xread命令需要给多key增加相同的hashtag。 xread、xreadgroup命令会占用内部有限连接资源，使用时必须搭配BLOCK选项设置超时时间，避免持续占用内部连接资源，影响其他命令的正常执行。 hyperloglog 使用pfmerge命令时，建议操作的元素数量限制在100以内。 key大小不超过100KB。 pfmerge、pfcount命令需要给多key增加相同hashtag。 不支持pfdebug、pfselftest命令。 geo 使用georadius、georadiusbymember命令时，建议操作的元素数量限制在100以内。 key+member大小不超过100KB。 如果georadius命令搭配store、storedist选项使用，相当于使用了多key，此时需要给多key增加相同hashtag。 不支持georadiusro、georadiusbymemberro命令。 bitop key大小不超过100KB。 bitop命令需要给多key增加相同hashtag。 key管理 scan操作搭配match pattern时，不建议使用后缀匹配，否则会影响性能。 使用del、exists命令时，建议为key增加hashtag，从而提高性能。如果不增加hashtag，则不同key可能分散到不同节点执行，影响性能，并且不同节点的key无法保证原子性。 可以使用pipeline批量执行命令。 使用sort命令时，建议操作的元素数量限制在100以内。 在新建连接中，首次执行scan命令，需要从0开始扫描。如需分多次进行一轮完整扫描，需保持在同一个长连接中操作。 sort命令需要给多key增加相同hashtag。 sort命令不支持store选项。 不支持debug、dump、migrate、move、object、rename、renamenx、restore、restoreasking、touch、unlink命令。 数据库管理 flushall命令会导致实例所有数据被清空，建议谨慎使用。 info命令返回的内存指标不代表数据量。如需查看数据量，请使用info capacity命令，该命令查询结果为数据量的预估值，非实时的准确值。 dbsize命令查询结果为key数量的预估值，非实时的准确值（由于采用MVCC机制）。在执行flushall之后，dbsize查询结果为0。 暂不支持通过config set命令调整参数l 由于目前还不支持多DB特性，因此select命令执行无效。 不支持bgrewriteaof、bgsave、client、command、flushdb、info keyspace、keys、lastsave、latency、lolwut、memory、module、monitor、post、psync、replconf、replicaof、role、save、shutdown、slaveof、slowlog、sync、swapdb命令。

本章节会介绍MySQL读写分离的功能 读写分离是指通过一个读写分离的连接地址实现读写请求的自动转发。创建只读实例后，您可以开通读写分离功能，通过RDS的读写分离连接地址，写请求自动访问主实例，读请求按照读权重设置自动访问各个实例。 Proxy负载均衡基于负载的自动调度策略，实现多个只读节点间的负载均衡。 备注：目前支持的局点有华北、广州4、苏州、深圳。 功能限制 注意 由于开启读写分离时，系统会自动删除已有的帐户rdsProxy，然后自动创建新的rdsProxy帐户，关闭读写分离时，系统也会自动删除已有的帐户rdsProxy。因此，建议您不要创建rdsProxy帐户，防止被系统误删除。 开启读写分离功能，需要RDS for MySQL为主备实例，并且主实例规格大于或等于4U8GB。 读写分离地址都是内网地址，只能通过内网连接。 开通读写分离时必须保证至少有一个只读实例，且主实例和只读实例必须处于同一Region。 开启读写分离功能后，删除RDS for MySQL主实例，会同步删除只读实例，并关闭读写分离功能。 开启读写分离功能后，主实例和只读实例均不允许修改数据库端口、安全组和内网地址，建议先修改完端口或内网地址后再启用读写分离。 读写分离功能不支持SSL加密。 读写分离功能不支持压缩协议。 读写分离不支持事务隔离级别READUNCOMMITTED。 如果执行了MultiStatements，当前连接的后续请求会全部路由到主节点，需断开当前连接并重新连接才能恢复读写分离。 使用读写分离的连接地址时，事务请求都会路由到主实例，不保证非事务读的一致性，业务上有读一致性需求可以封装到事务中。 使用读写分离的连接地址时， LASTINSERTID() 函数仅支持在事务中使用。 使用读写分离的连接地址时，show processlist命令的执行结果不具有一致性。 使用读写分离的连接地址时，不支持使用show errors和show warnings命令。 使用读写分离的连接地址时，不支持用户自定义变量，如SET @variable语句。 使用读写分离的连接地址时，如果存储过程(procedure)和函数(function)中依赖了用户变量，即@variable，则运行结果可能不正确。

本文主要介绍CCE容器存储（everest）插件。 插件简介 CCE容器存储（everest）是一个云原生容器存储系统，基于CSI（即Container Storage Interface）为Kubernetes v1.15.6及以上版本集群对接云存储服务的能力。 该插件为系统资源插件，kubernetes 1.15及以上版本的集群在创建时默认安装。 约束与限制 集群版本由v1.13升级到v1.15后，v1.13版本集群中的Flexvolume容器存储插件（storagedriver）能力将由v1.15的CSI插件（Everest，插件版本v1.1.6及以上）接管，接管后原有功能保持不变。 插件版本为1.2.0的Everest优化了使用OBS存储时的 密钥认证功能 ，低于该版本的Everest插件在升级完成后，需要重启集群中使用OBS存储的全部工作负载，否则工作负载使用存储的能力将受影响！ v1.15及以上版本的集群默认安装本插件，v1.13及以下版本集群创建时默认安装storagedriver插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，在右侧找到 everest ，单击“安装”。 步骤 2 该插件可配置“单实例”、“高可用”或自定义规格。 Everest插件包含以下容器，您可根据需求自定义调整规格： everestcsicontroller：由Deployment形式部署，Pod中含有一个everestcsicontroller容器，此容器负责存储卷的创建、删除、快照、扩容、attach/detach等功能。若集群版本大于等于1.19，everestcsidriver组件的Pod还会默认带有一个everestlocalvolumemanager容器，此容器负责管理节点上的lvm存储池及localpv的创建。 说明 选择自定义规格时，everestcsicontroller内存配置推荐如下。 Pod和PVC的数量均小于2000时，everestcsicontroller的内存上限推荐配置为600Mi。 Pod和PVC的数量均小于5000时，everestcsicontroller的内存上限推荐配置为1Gi。 everestcsidriver：由DaemonSet形式部署，Pod中含有一个基本容器everestcsidriver容器，负责PV的挂载、卸载、文件系统resize等功能。若集群所在区域支持nodeattacher，everestcsidriver组件的Pod还会带有一个everestnodeattacher的容器，此容器负责分布式attach EVS，该配置项在部分Region开放。 说明 选择自定义规格时，everestcsidriver内存限制推荐配置不低于300Mi。若该值太小可能导致插件实例容器启动异常，从而导致插件不可用的情况。 步骤 3 参数配置。 everest 1.2.26以上版本针对大批量挂EVS卷的性能做了优化，提供了如下3个参数供用户配置。 csiattacherworkerthreads：everest插件中同时处理挂EVS卷的worker数，默认值为“60”。 csiattacherdetachworkerthreads：everest插件中同时处理卸载EVS卷的worker数，默认值均为“60”。 volumeattachingflowctrl：everest插件在1分钟内可以挂载EVS卷的最大数量，此参数的默认值“0”表示everest插件不做挂卷限制，此时挂卷性能由底层存储资源决定。 上述三个参数由于存在关联性且与集群所在局点的底层存储资源限制有关，当您对大批量挂卷的性能有要求（大于500EVS卷/分钟）时，请联系后台工程师，在指导下进行配置，否则可能会因为参数配置不合理导致出现everest插件运行不正常的情况。 步骤 4 单击“安装”。 版本记录 CCE插件版本记录 插件版本 支持的集群版本 :: 1.3.28 /v1.(192123)./ 1.3.22 /v1.(192123)./ 1.3.20 /v1.(192123)./ 1.3.17 /v1.(192123)./ 1.3.8 /v1.23./ 1.3.6 /v1.23./ 1.2.55 /v1.(15171921)./ 1.2.53 /v1.(15171921)./ 1.2.51 /v1.(15171921)./ 1.2.44 /v1.(15171921)./ 1.2.42 /v1.(15171921)./ 1.2.30 /v1.(15171921)./ 1.2.28 /v1.(15171921)./ 1.2.27 /v1.(15171921)./ 1.2.13 /v1.(151719)./ 1.2.9 /v1.(151719)./ 1.2.5 /v1.(151719)./ 1.1.12 /v1.(1517)./ 1.1.11 /v1.(1517)./ 1.1.8 /v1.(1517)./ 1.1.7 /v1.(1517)./

WAF攻击类型 以下是常见的WAF 攻击类型及含义。 值 含义 WAFNONE 没有触发策略 WAFBOTHIC 人机挑战 WAFBOTTRAP 爬虫陷阱 WAFBOTCLASS 黑白BOT WAFBOTIDC 数据中心IP WAFBOTSC 静态客户端标识异常 WAFBOTJC 跳转挑战标识异常 WAFBOTTL 爬虫超阈值 WAFBOTDPT 客户端标识解析失败 WAFBOTMIS 客户端标识缺失 WAFBOTNONE 无客户端标识 WAFBOTCAL 节点资源变化异常 WAFBOTSIG 自动化工具识别 WAFBOTSOURCEMAPPING 防调试源映射检测 WAFBOTTIMEDEBUGGER 防调试时间差检测 WAFTCB 威胁管控 WAFATTCL 攻击挑战 WAFWEBSOCKETHIJACK websocket劫持 WAFMINERPROTECT 恶意挖矿防护 WAFXXE XXE WAFTF 第三方框架漏洞 WAFSQU SQUID WAFCOMI 命令注入 WAFWS WEBSHELL WAFINC 文件包含 WAFSCAN 扫描器 WAFRES 服务端回显 WAFSIL 敏感信息泄露 WAFXSS 跨站脚本攻击 WAFSQLI 数据库注入 WAFCOOKIEPROTECT Cookie防护 WAFCSRFDEFENCE CSRF防护 WAFBATCHREGISTERPROTECT 防批量注册 WAFACB 访问控制 WAFRATELIMIT 访问限速 WAFCOMPLIANCECHECK 合规检测 WAFBASEHIT 撞库防护 WAFADPROTECT 广告防护 WAFBRUTEFORCEPROTECT 防暴力破解 WAFSENSITIVEINFORMATIONFILTER 敏感词防护 WAFACW waf加白白名单 WAFOFL 离线分析 WAFCCX Web应用防火墙CC攻击字段为WAFCCX WAFCUSTOMIZE 全站指定响应资源，设置访问日志标记位为 WAFCUSTOMIZE WAFSPECIALCHAR 特殊字符识别 WAFTIP IP情报 WAFSCN 扫描器识别 WAFTPP 网页防篡改

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络延迟动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 延迟时间(毫秒)：为每个数据包增加的固定延迟时长。 延迟浮动值(毫秒)：在固定延迟时长上的随机浮动范围。最终延迟为延迟时间 ± 延迟浮动值，用于模拟更真实的网络抖动