本节介绍DCS Redis4.0和Redis5.0实例的产品规格，包括内存规格、实例可使用内存、连接数上限、最大带宽/基准带宽、参考性能（QPS）等。 实例各项指标如下： 实例已使用内存：您可以通过查看监控指标“内存利用率”和“已用内存”查看实例内存使用情况。 连接数上限：表示允许客户端同时连接的个数，即连接并发数。具体实例的连接数，可查看监控指标“活跃的客户端数量”。 QPS：即Query Per Second，表示数据库每秒执行的命令数。 带宽：您可以查看监控指标“流控次数”，确认带宽是否超过限额。其中，带宽还涉及监控指标“带宽使用率”，该指标仅供参考，可能会出现超过100%的情况，具体原因，可查看带宽使用率指标会超过100%的原因。 说明 Redis 4.0和Redis 5.0实例支持“单机”、“主备”、“Proxy集群”、“Cluster集群”和“读写分离”类型。 支持x86和Arm架构。 单机实例 Redis 4.0和Redis 5.0单机实例产品规格 内存规格 （ GB ） 实例可使用内存 （ GB ） 连接数上限 （默认 / 可配）（个） 基准 / 最大带宽 (Mbit/s) 参考性能 （ QPS ） 产品规格编码 （对应API的 speccode ） 1 1 10,000/50,000 80/80 80,000 x86:redis.single.xu1.large.1 Arm:redis.single.au1.large.1 2 2 10,000/50,000 128/128 80,000 x86:redis.single.xu1.large.2 Arm:redis.single.au1.large.2 4 4 10,000/50,000 192/192 80,000 x86:redis.single.xu1.large.4 Arm:redis.single.au1.large.4 8 8 10,000/50,000 192/192 100,000 x86:redis.single.xu1.large.8 Arm:redis.single.au1.large.8 16 16 10,000/50,000 256/256 100,000 x86:redis.single.xu1.large.16 Arm:redis.single.au1.large.16 24 24 10,000/50,000 256/256 100,000 x86:redis.single.xu1.large.24 Arm:redis.single.au1.large.24 32 32 10,000/50,000 256/256 100,000 x86:redis.single.xu1.large.32 Arm:redis.single.au1.large.32 48 48 10,000/50,000 256/256 100,000 x86:redis.single.xu1.large.48 Arm:redis.single.au1.large.48 64 64 10,000/50,000 384/384 100,000 x86:redis.single.xu1.large.64 Arm:redis.single.au1.large.64

配置项 说明 示例 资源规格CPU 智能体实例分配的CPU，可以选择：0.5、1、2、4、8核。与内存联动，CPU和内存比值在1:1~1:4之间。 1核 资源规格内存 智能体实例分配的内存大小，可以选择：512M，1G、2G、4G、8G、16G。 1G 资源规格磁盘 智能体实例分配的磁盘大小，可以选择：512M、10GB、20GB。只有CPU>4核时，才可以选择20GB磁盘。 512M 会话配置单实例并发会话数 智能体默认是会话亲和的，相同session的请求会路由到相同的智能体实例进行处理。 该配置定义了一个智能体实例并发处理的会话数量，超出此值，系统会拉起新的实例处理请求。 该配置的有效取值范围是1~200。 20 会话配置会话空闲超时 智能体在处理完一个请求后，不会直接销毁，而是空闲等待一段时间，若超出此时间仍然没有新请求，实例才会销毁。 该配置的有效取值范围是60~3600秒。 1800 网络配置允许访问VPC 配置智能体是否可以访问 VPC 中的资源（例如 RDS 和 NAS 等）。 选择是：则需要填写允许访问的VPC及子网。 选择否：智能体不能访问VPC中的资源。 是 网络配置专有网络 下拉选择VPC。若没有VPC可选，可以点击 创建新的专有网络 进行创建。 vpcxxx 网络配置子网 下拉选择子网。若没有子网可选，可以点击 创建新的子网 进行创建。 subnetxxx 固定公网IP 通过 NAT 网关+弹性公网 IP 获得一个固定的公网出口 IP，开启固定公网 IP 需开启“允许访问VPC”和关闭“允许智能体访问公网”。 113.xx.xx.xx 允许智能体默认网卡访问公网 配置智能体是否可以通过默认网卡访问互联网。提示：如果您配置了 VPC，并且该 VPC 可以访问外网，那么智能体仍然可以通过和 VPC 绑定的网卡访问互联网。 是 ZOS挂载ZOS挂载点 下拉选择要挂载的ZOS Bucket。若没有可选的BUCKET，可点击 创建新的ZOS Bucket 进行创建。 bucket3hbc ZOS挂载BUCKET子目录 填写要挂载的ZOS Bucket的子目录，留空或 / 代表挂载 Bucket 的根目录。 /folderA/folderB ZOS挂载智能体本地目录 填写挂载到的智能体本地目录，建议使用 /home/ 、/mnt/ 或 /data/ 的 子目录 。 /home/app 智能体本地目录权限 可选：只读、读写 读写 NAS挂载NAS来源 可选项： 自定义：自定义NAS，用户自己搭建的NAS服务，需要自己填写正确的VPCE挂载地址。 天翼云：天翼云官网NAS产品，VPCE挂载地址可以下拉选择。 天翼云。 NAS挂载自定义NAS名称 NAS来源选择 自定义 时填写。 nasabc NAS挂载VPCE挂载地址 NAS来源选择 自定义 时手动填写。 NAS来源选择 天翼云 时，下拉选择。若无可用的NAS，可以点击 创建弹性文件服务 进行创建。 sfsxxx NAS挂载远端目录 填写挂载的NAS远端目录，通用型NAS以/开头，若您配置的目录在远端NAS中不存在，智能体引擎会为您自动创建该目录。 /mntdemo NAS挂载智能体本地目录 填写要挂载到的智能体本地目录，建议使用 /home/ 、/mnt/ 或 /data/ 的 子目录 。 /home/app 日志配置配置方式 选择 自动配置 ，系统自动创建日志项目和日志单元。选择自动配置的智能体，日志会存放在相同的日志项目和日志单元。 选择 自定义配置 ，用户自己选择日志项目和日志单元，可以给不同的智能体配置不同的日志项目或日志单元，这样不同的智能体日志是分开的。 自动配置 日志项目 下拉选择已有的日志项目，若无可用的日志项目，可点击 创建新的日志项目 进行创建。 ctyuncffunctionxxx 日志单元 下拉选择已有的日志单元，若无可用的日志单元，可点击 创建新的日志库 进行创建。 functionlogxxx

配置项 说明 示例 资源规格CPU 智能体实例分配的CPU，可以选择：0.5、1、2、4、8核。与内存联动，CPU和内存比值在1:1~1:4之间。 1核 资源规格内存 智能体实例分配的内存大小，可以选择：512M，1G、2G、4G、8G、16G。 1G 资源规格磁盘 智能体实例分配的磁盘大小，可以选择：512M、10GB、20GB。只有CPU>4核时，才可以选择20GB磁盘。 512M 会话配置单实例并发会话数 智能体默认是会话亲和的，相同session的请求会路由到相同的智能体实例进行处理。 该配置定义了一个智能体实例并发处理的会话数量，超出此值，系统会拉起新的实例处理请求。 该配置的有效取值范围是1~200。 20 会话配置会话空闲超时 智能体在处理完一个请求后，不会直接销毁，而是空闲等待一段时间，若超出此时间仍然没有新请求，实例才会销毁。 该配置的有效取值范围是60~3600秒。 1800 网络配置允许访问VPC 配置智能体是否可以访问 VPC 中的资源（例如 RDS 和 NAS 等）。 选择是：则需要填写允许访问的VPC及子网。 选择否：智能体不能访问VPC中的资源。 是 网络配置专有网络 下拉选择VPC。若没有VPC可选，可以点击 创建新的专有网络 进行创建。 vpcxxx 网络配置子网 下拉选择子网。若没有子网可选，可以点击 创建新的子网 进行创建。 subnetxxx 固定公网IP 通过 NAT 网关+弹性公网 IP 获得一个固定的公网出口 IP，开启固定公网 IP 需开启“允许访问VPC”和关闭“允许智能体访问公网”。 113.xx.xx.xx 允许智能体默认网卡访问公网 配置智能体是否可以通过默认网卡访问互联网。提示：如果您配置了 VPC，并且该 VPC 可以访问外网，那么智能体仍然可以通过和 VPC 绑定的网卡访问互联网。 是 ZOS挂载ZOS挂载点 下拉选择要挂载的ZOS Bucket。若没有可选的BUCKET，可点击 创建新的ZOS Bucket 进行创建。 bucket3hbc ZOS挂载BUCKET子目录 填写要挂载的ZOS Bucket的子目录，留空或 / 代表挂载 Bucket 的根目录。 /folderA/folderB ZOS挂载智能体本地目录 填写挂载到的智能体本地目录，建议使用 /home/ 、/mnt/ 或 /data/ 的 子目录 。 /home/app 智能体本地目录权限 可选：只读、读写 读写 NAS挂载NAS来源 可选项： 自定义：自定义NAS，用户自己搭建的NAS服务，需要自己填写正确的VPCE挂载地址。 天翼云：天翼云官网NAS产品，VPCE挂载地址可以下拉选择。 天翼云。 NAS挂载自定义NAS名称 NAS来源选择 自定义 时填写。 nasabc NAS挂载VPCE挂载地址 NAS来源选择 自定义 时手动填写。 NAS来源选择 天翼云 时，下拉选择。若无可用的NAS，可以点击 创建弹性文件服务 进行创建。 sfsxxx NAS挂载远端目录 填写挂载的NAS远端目录，通用型NAS以/开头，若您配置的目录在远端NAS中不存在，智能体引擎会为您自动创建该目录。 /mntdemo NAS挂载智能体本地目录 填写要挂载到的智能体本地目录，建议使用 /home/ 、/mnt/ 或 /data/ 的 子目录 。 /home/app 日志配置配置方式 选择 自动配置 ，系统自动创建日志项目和日志单元。选择自动配置的智能体，日志会存放在相同的日志项目和日志单元。 选择 自定义配置 ，用户自己选择日志项目和日志单元，可以给不同的智能体配置不同的日志项目或日志单元，这样不同的智能体日志是分开的。 自动配置 日志项目 下拉选择已有的日志项目，若无可用的日志项目，可点击 创建新的日志项目 进行创建。 ctyuncffunctionxxx 日志单元 下拉选择已有的日志单元，若无可用的日志单元，可点击 创建新的日志库 进行创建。 functionlogxxx

参数名称 子参数名称 参数说明 取值样例 区域 必选参数。 不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 可用区 必选参数。 云硬盘所在的可用区。 说明 云硬盘只能挂载至同一个可用区的云主机上。 可用区在云硬盘创建完成后不支持修改。 磁盘规格 磁盘类型 必选参数。 当前可供选择的磁盘类型如下： 普通IO（部分区域售罄） 高IO 通用型SSD 超高IO 极速型SSD（部分区域支持） 超高IO 磁盘规格 容量 (GB) 必选参数。 云硬盘的容量。通过当前界面只能创建数据盘，容量范围为：10 GB~32768 GB 说明 通过备份创建云硬盘时，容量大小不能低于备份大小。当您未指定云硬盘的容量时，当备份大小低于10GB，默认容量为10GB，当备份大小高于10GB，默认容量和备份大小保持一致。 通过快照创建云硬盘时，容量大小不能低于快照大小。当您未指定云硬盘的容量时，当快照大小容量低于10GB，默认容量为10GB，当快照大小高于10GB，默认容量和快照大小保持一致。 100GB 磁盘规格 选择数据源： 从备份创建 从快照创建 可选参数。 从备份创建：选择备份数据来创建新的云硬盘。 在“选择数据源”下方， 单击“从备份创建”，会弹出云硬盘备份数据列表，选择云硬盘备份数据并单击“确定”。 说明 对于同一个备份，不支持并发创建多个云硬盘。若此时正通过备份创建云硬盘A，那么需要等A创建完成后，才可以使用该备份创建新的云硬盘。 通过系统盘备份数据创建的云硬盘，只能用作数据盘，不支持用作系统盘。 从快照创建：选择快照数据来创建新的云硬盘。 在“选择数据源”下方，单击“从快照创建”，会弹出云硬盘快照列表，选择云硬盘快照并单击“确定”。 说明 通过快照创建云硬盘时，磁盘类型和快照源云硬盘保持一致。 关于从快照创建云硬盘的更多信息，请参见 从备份创建：autobackup001 从快照创建：snapshot001 更多 高级配置： 共享盘 SCSI 可选参数。 共享盘： 勾选“共享盘”，则创建的是共享云硬盘，共享云硬盘最多可同时挂载至16台云主机。如果不勾选“共享盘”，则默认为非共享云硬盘，只能挂载至1台云主机。 如果同时选择“SCSI”和“共享盘”，则创建的是SCSI共享云硬盘。 说明 云硬盘的共享属性在创建完成后不支持更改。 关于共享云硬盘更多详细信息，请参见 磁盘名称 必选参数。 创建单个云硬盘：磁盘名称是云硬盘名称。 最大支持64个字符。 批量创建云硬盘：一次创建多个云硬盘时，磁盘名称为云硬盘名称的前缀，最终云硬盘名称组成为“磁盘名称四位数字”。 最大支持59个字符。 例如创建两个云硬盘，设置磁盘名称为“volume”，云硬盘的名称为“volume0001”和“volume0002”。 数量 可选参数。 创建云硬盘的数量，默认为“1”，表示只创建一个云硬盘。目前最多可批量创建100个云硬盘。 说明 从备份创建云硬盘时，不支持批量创建，数量只能为“1”。 从快照创建云硬盘时，不支持批量创建，数量只能为“1” 1

基础配置 1. 选择计费模式： 包年包月：一种预付费模式，即先付费再使用。一般适用于固定业务应用，例如网站服务。需要先支付包年包月资源账单，才能开始使用包年包月资源。 按量付费： 一种后付费模式，即先使用再付费。一般适用于有业务变化的应用，例如临时扩展、临时测试。可以先开通并使用按量付费资源，系统在每个结算周期生成账单并从账户中扣除相应费用。 此处我们选择按量付费。 2. 选择地域，默认为控制台左上角所设置的区域，可根据实际需求进行选择。 3. 选择可用区，请根据实际需求进行选择。如果您需要购买多台云主机，建议选择不同可用区，实现容灾效果。 4. 设置企业项目，该参数针对企业用户使用。如需使用该功能，请联系客服申请开通。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 5. 设置虚拟私有云，您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。 6. 设置“实例名称”和“主机名称”。其命名规则为： 参数 命名规则 实例名称 长度为263字符。 主机名称 Windows 系统，长度为 2～15 个字符，允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字。其他操作系统（Linux 等），长度为 2～64 个字符，允许使用点号（.）分隔字符成多段，每段允许使用大小写字母、数字或连字符（），但不能连续使用点号（.）或连字符（）。不能以点号（.）或连字符（）开头或结尾。修改主机名称需要重启生效。 7. （可选）设置云主机描述：您可以为云主机添加描述，方便备注和区分云主机。在云主机创建后，您可以通过“编辑云主机属性”对云主机描述进行修改。 8. 选择CPU架构，天翼云提供X86和ARM两种CPU架构，可以根据您的业务需求进行选择。 9. 选择规格，天翼云提供了多种类型的弹性云主机供您选择，针对不同的应用场景，可以选择不同内存和CPU核数的弹性云主机。如果您对自身业务需要购买的云主机规格不明确，可以点击“常见业务场景选型推荐”，在帮助文档中查看不同场景所应该购买的主机规格。 10. 选择镜像 公共镜像：常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有镜像：用户基于弹性云主机创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建弹性云主机，可以节省您重复配置弹性云主机的时间。 共享镜像：您将接受其他用户共享的私有镜像，作为自己的镜像进行使用。 安全产品镜像：仅用于加载部分安全产品服务。 应用镜像：与基础的公共镜像相比，应用镜像预装了一些常见应用，可以实现快速部署特殊应用的目的。 说明 选择公有镜像时，用户可选择是否开启安全防护功能，关于安全防护功能的具体介绍可参考服务器安全卫士介绍。当前所有资源池云主机创建页支持开启免费版本安全防护，部分资源池支持开启企业版本安全防护，具体请以资源池实际情况为准。 弹性云主机创建成功后，将自动安装服务器安全卫士的Agent并开启防护，这个过程需要一定的时间，请耐心等待。 11. 设置“存储”。您可以为弹性云主机添加多块数据盘，系统盘大小目前默认为40GB。系统盘和数据盘可提供“普通IO”、“高IO”、“通用型SSD”、“超高IO”及“极速型SSD”等存储类型（不同资源池提供不同的存储类型）。 12. 单击“下一步：网络配置”。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络延迟动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 延迟时间(毫秒)：为每个数据包增加的固定延迟时长。 延迟浮动值(毫秒)：在固定延迟时长上的随机浮动范围。最终延迟为延迟时间 ± 延迟浮动值，用于模拟更真实的网络抖动。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

参数 是否必填 参数类型 说明 示例 下级对象 exportType 否 String 导出类型 HOSTS主机资产 VIRUS病毒查杀 TAMPERPROOF网页防篡改 SCA基线扫描 WEAKPW弱口令 ASSERTFINGERPRINT资产指纹 ASSERTHISTORY资产变动历史 VULHOSTS含漏洞的服务器列表导出 INSTRUSION告警中心 ANNOUNCEMENTLIST漏洞公告导出 NETACCESSCONTROLRULE网络访问控制规则 HOSTS param 否 Object 查询参数,导出所属模块的列表查询参数 HOSTS:{"currentPage":1,"pageSize":10,"quotaVersion":1,"param":"1","paramType":8,"agentState":1,"regionId":"200000001781","riskLevel":1,"guardStatus":1,"bgGroupId":"BGROOTc07960e2659b486e8d48ab7e6022645d","serverStatus":4,"agentNeedUpgrade":1} VIRUS:{"currentPage":1,"pageSize":10,"osType":3,"timeType":"LASTONEWEEK","status":0,"param":"1","paramType":1} TAMPERPROOF:{"currentPage":1,"pageSize":10,"timeType":"LASTONEWEEK","custName":"1"} SCA:{"scaRuleId":4897,"scaName":"2"} WEAKPW:{"currentPage":1,"pageSize":10,"param":"1","paramType":"1","checkType":1} ASSERTFINGERPRINT:{"currentPage":1,"pageSize":10,"sysType":1,"sendCommand":1,"param":"1","paramType":1,"port":"1"} ASSERTHISTORY:{"currentPage":1,"pageSize":10,"sysType":3,"timeType":"LASTONEWEEK","userName":"1","param":"1","paramType":1} INSTRUSION:{"currentPage":1,"pageSize":10,"timeType":"LASTONEWEEK","alarmType":"1","attckType":"TA0009","handleStatus":"UNHANDLED","severityCode":3,"likeQueryType":1,"likeQueryParam":"1","eventTypeId":"2700"} ANNOUNCEMENTLIST:{"fixLevel":"HIGH","currentPage":1,"pageSize":10,"vulType":["LINUX"],"osType":"LINUX","handleStatus":"UNHANDLED","rebootRequired":"true","paramType":1,"param":"1","bgGroupId":["BG202502141415100000000000029991"],"title":"1","riskStatus":""} NETACCESSCONTROLRULE:{"currentPage":1,"pageSize":10,"likeQueryType":1,"likeQueryParam":"1","direction":"INPUT","protocol":"ALL","status":0} param中传入tabName导出数据所在的标签页面，生成文件名时使用此字段，tabName定义如下 "ALLHOST": "全部主机", "RISKHOST": "风险主机", "ENTHOST": "企业版主机", "BASEHOST": "基础版主机", "ULTIMATE": "旗舰版主机", "NOGUARDHOST": "未防护主机", "OFFLINEHOST": "离线主机", "LINUX": "linux漏洞", "WINDOWS": "windows漏洞", "WEBCMS": "webcms漏洞", "EMERGENCYVUL": "应急漏洞", "APPLICATION": "应用漏洞", "SYSWEAKPW": "系统弱口令", "APPWEAKPW": "应用弱口令", "PORT": "端口", "ACCOUNT": "账户", "PROCESS": "进程", "PROGRAM": "程序", "SELFSTART": "自启动程序", "WEBSERVER": "web服务", "ACCOUNTHISTORY": "账户信息历史变动", "PROGRAMHISTORY": "程序历史变动", "SELFSTARTHISTORY": "自启动程序历史变动", "SCHEDULE": "计划任务", "DATABASE": "数据库", "WEBFRAME": "Web框架", "KERNELMODULE": "内核模块", "ENVIRONMENTVAR": "环境变量", "MIDDLEWARE": "中间件", "WEBSITE": "web站点", "WEBAPP": "web应用" {} 表 param 表 param

本文主要介绍跨帐号迁移业务数据(迁移系统盘+数据盘) 操作场景 如果您的业务数据同时保存在数据盘和系统盘中，要想实现业务数据跨帐号迁移，需要用到镜像服务的创建整机镜像、共享镜像等功能。本节操作以Windows操作系统为例，为您详细介绍在同一区域内，跨帐号迁移业务数据（包括系统盘和数据盘数据）的操作流程。 说明： 只有通过云服务备份，或云主机（未通过旧版CSBS服务生成备份）创建的整机镜像，才支持共享。 不允许共享加密镜像、已冻结的镜像以及创建中的镜像。 方案介绍 跨帐号迁移业务数据的方案为：帐号A将云主机A做成整机镜像，将此镜像共享给帐号B；帐号B接受帐号A的共享镜像后，将其创建为新的云主机，实现数据迁移。操作流程如下： 图 跨帐号迁移业务数据流程图 步骤一： 创建整机镜像 假设帐号A的云主机数据盘中存放了数据：data disk.txt，系统盘中存放了数据：system disk.txt。 图 数据盘数据 图 系统盘数据 1、帐号A登录管理控制台，在左上角切换区域为“广东广州4”。 2、选择“ 镜像服务”。 进入镜像列表页面。 3、单击右上角的“创建私有镜像”。 进入创建私有镜像页面。 4、填写如下参数： 图 创建整机镜像 创建方式：创建私有镜像 镜像类型：整机镜像 选择镜像源：云主机，并选择云主机“ecsxxxx” 名称：输入整机镜像名称，如“fullimageecsxxxx” 企业项目：选择默认项目“default” 说明： 使用云主机制作整机镜像时，云主机应处于关机状态。如果镜像中包含数据库，请在关机状态下制作。 整机镜像创建过程中，请勿卸载系统盘，不要关闭、开启或者重启云主机，避免创建失败。 了解更多通过云主机创建整机镜像的约束限制，请查看约束与限制。 5、单击“立即创建”。 6、确认无误后，阅读并勾选协议，单击“提交”。 返回私有镜像列表，等待几分钟后，整机镜像创建成功。 图 查看私有镜像

本章节向您介绍什么是网络ACL。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同，安全组对云主机、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。 网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。 以下图为例， 如下图所示。 图 安全组与网络ACL在区域A内，某客户的虚拟私有云VPCX有两个子网，子网SubnetX01关联网络ACL FwA，SubnetX01内部署的实例面向互联网提供Web服务。子网SubnetX02关联网络ACL FwB，基于对等连接连通SubnetX02和SubnetY01的网络，通过SubnetY01内的实例远程登录SubnetX02内的实例。 FwA的规则说明： 入方向自定义规则，允许外部任意IP地址，通过TCP (HTTP)协议访问SubnetX01内实例的80端口。如果流量未匹配上自定义规则，则匹配默认规则，无法流入子网。 网络ACL是有状态的，允许入站请求的响应流量出站，不受规则限制，因此SubnetX01内实例的响应流量可流出子网。非响应流量的其他流量则匹配默认规则，无法流出子网。 FwB的规则说明： 入方向自定义规则，允许来自SubnetY01的流量，通过TCP (SSH)协议访问子网SubnetX02内实例的22端口。 出方向自定义规则，放通ICMP协议全部端口，当在SubnetX02内实例ping测试网络连通性时，允许去往SubnetY01的流量流出子网。 说明 图中提供的示例仅为您展示了网络ACL对出入子网的流量控制。在实际业务中，除了网络ACL，实例上绑定的安全组也会影响出入实例的流量。

本节主要介绍如何查看资产信息。 操作场景 在资产管理页面，可以查看资产的名称、类型、防护状态等信息。 前提条件 已完成资产订阅。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. （可选）首次查看需要设置资产订阅，如果已订阅，请跳过该步骤。 态势感知（专业版）只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后，资产信息将在每天自动晚上进行更新。 说明 仅支持订阅和同步云上资产。同时，不建议同一个区域的资产订阅至多个工作空间。 1. 在资产管理页面中，单击页面右上角“资产订阅设置”，右侧弹出订阅资产设置页面。 2. 在订阅资产设置页面中，在需要订阅资产所在的region所在行“是否开通”列开启订阅。 3. 单击页面右下角的“确认”。 订阅后，资产信息将在每天晚上自动进行更新。 6. 在资产管理页面查看资产的详细信息。 如需查看指定类型资产信息，如主机资产，请选择“主机资产”页签进行查看。当前支持分类查看的资产类别有“主机资产”、“网站”、“数据库”、“VPC”、“EIP”、“设备”。“全部资产”页签查看所有资产。 部门及业务系统：该页签汇聚了资产所对应的“部门”及“业务系统”信息。 在资产列表中下方可以查看资产总条数。其中，使用翻页查看时最多可查看10000条资产信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 如果需要查看某个资产的更多详细信息，可以先选择待查看资产所属类型，然后再在对应资产类型页面中单击资产名称，进入资产详情页面进行查看。 例如，需要查看某个主机资产的详细信息，请选择“主机资产”页签，再在主机资产页面中，单击目标主机资产名称，进入目标主机资产详情页面。 在资产详情页面，可以查看资产相关的环境信息、资产信息和网络信息等信息。 在资产详情页面，可以对资产的责任人、业务系统和部门信息进行编辑，还可以绑定或解绑资产。

调用API接口加解密 以保护服务器HTTPS证书为例，采用调用KMS的API接口方式进行说明，如图所示。 保护服务器HTTPS证书 流程说明如下： 1. 用户需要在KMS中创建一个用户主密钥。 2. 用户调用KMS的“encryptdata”接口，使用指定的用户主密钥将明文证书加密为密文证书。 3. 用户在服务器上部署密文证书。 4. 当服务器需要使用证书时，调用KMS的“decryptdata”接口，将密文证书解密为明文证书。 由于控制台输入的加密原文会经过一次Base64转码后才传至后端，所以当调用API接口解密密文的时候，返回的明文就是加密原文经过Base64转码得到的字符串，故API加密密文后需要调用API进行解密，若使用控制台解密API加密密文则会产生乱码。 加解密大量数据 场景说明 当有大量数据（例如：照片、视频或者数据库文件等）需要加解密时，用户可采用信封加密方式加解密数据，无需通过网络传输大量数据即可完成数据加解密。 加密和解密原理 大量数据加密 说明 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的“createdatakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 用户使用明文的数据加密密钥来加密明文文件，生成密文文件。 用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 大量数据解密 说明 用户从持久化存储设备或服务中读取密文的数据加密密钥和密文文件。 用户调用KMS的“decryptdatakey”接口，使用对应的用户主密钥（即生成密文的数据加密密钥时所使用的用户主密钥）来解密密文的数据加密密钥，取得明文的数据加密密钥。 若对应的用户主密钥被误删除，会导致解密失败。因此，需要妥善管理好用户主密钥。 用户使用明文的数据加密密钥来解密密文文件。

什么是云监控服务？ 云监控服务为用户提供一个针对弹性云主机、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。云监控服务架构图如图1所示。 图 1 云监控服务架构图 云监控服务主要具有以下功能： 自动监控： 云监控服务不需要开通，在创建弹性云主机等资源后监控服务会自动启动，您可以直接到云监控服务查看该资源运行状态并设置告警规则。 主机监控： 通过在弹性云主机或物理机中安装云监控服务Agent插件，用户可以实时采集ECS或BMS 1分钟级粒度的监控数据。已上线CPU、内存和磁盘等40余种监控指标。有关主机监控的更多信息，请参阅主机监控简介。 灵活配置告警规则： 对监控指标设置告警规则时，支持对多个云服务资源同时添加告警规则。告警规则创建完成后，可随时修改告警规则，支持对告警规则进行启用、停止、删除等灵活操作。有关告警规则的更多信息，请参阅告警规则管理。 实时通知： 通过在告警规则中配置告警通知，当云服务的状态变化触发告警规则设置的阈值时，系统通过短信、邮件通知等多种方式实时通知用户，让用户能够实时掌握云资源运行状态变化。 监控面板： 为用户提供在一个监控面板跨服务、跨维度查看监控数据，将用户关注的重点服务监控指标集中呈现，既能满足您总览云服务的运行概况，又能满足排查故障时查看监控详情的需求。有关监控面板的更多信息，请参阅监控看板简介。 资源分组： 资源分组支持用户从业务角度集中管理其业务涉及到的弹性云服务器、云硬盘、弹性IP、带宽、数据库等资源。从而按业务来管理不同类型的资源、告警规则、告警记录，可以迅速提升运维效率。 事件监控： 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。

全量迁移完成后，系统弹窗提示可进行下一步操作。 若您迁移时启用了增量，迁移程序会在全量迁移完成后，自动进入循环增量模式。每5分钟向目标机同步上一个时间段内的增量文件。 操作 您可在“操作“选项卡，对不同任务进度进行操作。包括手动增量、停止增量、开始核查、取消核查、开始修复、取消修复、引导修复等操作。 手动增量 手动增量功能，可手动触发单次增量同步，进行手动增量操作。 在“任务追踪”页签，“操作”下拉单击“手动增量”。 需再次确认弹框，单击确定后才可进行手动增量。 单击确认后，自动进入增量同步状态，该状态只会执行一次，执行完成后回到定时增量状态。 停止增量 若您迁移时配置了增量，迁移程序在全量迁移完成后，进行循环增量。睡眠等待指定时间后，向目标端同步增量文件。您可以使用停止增量功能，结束增量。 1. 在“操作”下拉单击“停止增量”，进行最后一次增量同步，同步完毕后，进入后续的迁移步骤。 2. 此时需要停止所有源机应用程序、数据库后，再单击“确定”，进行最后一次增量同步。 3. 源机处若存在运行Oracle、MySQL、MariaDB、SQL Server、Redis、Docker应用程序时，CMS控制台的停止增量检测功能会展示如下提示： 4. 点击查看需要关闭的应用，进行对应的应用关闭： 5. 操作完毕后，等待最后一次增量完成。

功能 功能概述 基础版 企业版 旗舰版 增值服务 安全概览 多维度统计待处理风险、防护状态、风险趋势与实时动态，通过可视化直观呈现整体安全态势 ✓ ✓ ✓ 资产概览 清点主机资产，统计资产分布、Agent 状态、资产指纹等信息，实现资产全局掌控 仅支持资产清点 ✓ ✓ 资产管理 集中查看主机资产与风险资产，支持检索筛选、防护启停、版本切换，高效管理服务器 ✓ ✓ ✓ 资产指纹 采集账号、端口、进程、软件应用、自启动项、Web服务等关键指纹信息 采集2种指纹信息 采集14种资产指纹 支持记录资产指纹变更历史 采集14种资产指纹 支持记录资产指纹变更历史 基线检测 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项 × ✓ ✓ 漏洞扫描 支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞、应急漏洞，并提供漏洞的修复建议和一键修复功能 仅支持扫描Win/Linux漏洞，不支持配置扫描策略，不支持一键修复 ✓ ✓ 弱口令检测 通过与弱口令库对比，检测系统账号和应用账号口令是否属于常用的弱口令，提示用户修改不安全的口令 × ✓ ✓ 入侵检测 实时监测入侵行为，识别暴力破解、异常登录、进程提权、恶意命令执行等攻击并告警 仅支持系统暴力破解、异常登录告警 ✓ ✓ 白名单管理 提供告警白名单配置能力，用户可自定义信任规则，过滤误报安全事件 × ✓ ✓ 网页防篡改 对网站目录下的文件进行实时监测，发生异常篡改行为实时告警，并通过备份自动恢复被篡改的文件或目录 × × × ✓ 病毒查杀 融合本地 + 云端双引擎检测技术，精准识别挖矿木马、蠕虫、勒索病毒等各类恶意程序 × ✓ ✓ 文件完整性保护 实时监控主机上的文件，对创建文件、修改文件、删除文件及文件提权操作进行监测和告警 × × ✓ 勒索诱饵防护 在系统关键位置投放诱饵文件，实时捕捉勒索行为，阻止勒索病毒对数据的加密 × × ✓ 主动防御 自动隔离恶意文件、封禁恶意 IP，提供精准 / 全面双防御模式 × × ✓ 端口蜜罐 通过部署蜜罐，监听攻击者对蜜罐端口的扫描行为，记录攻击者的扫描行为 × × ✓ 检测规则管理 自定义检测规则，异常行为命中自定义规则实时告警 × ✓ ✓ 配额管理 展示配额使用的情况 ✓ ✓ ✓ 告警通知 发生入侵实时发送告警通知 ✓ ✓ ✓ 报表管理 周期性自动生成安全风险报告 仅周报 ✓ ✓ 数据外发 告警外发至Syslog服务器或日志服务 ✓ ✓ ✓

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络延迟动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 延迟时间(毫秒)：为每个数据包增加的固定延迟时长。 延迟浮动值(毫秒)：在固定延迟时长上的随机浮动范围。最终延迟为延迟时间 ± 延迟浮动值，用于模拟更真实的网络抖动。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

构建步骤 说明 制作Vote镜像并推送到SWR仓库 通过工作目录“./vote”及Dockerfile路径“./Dockerfile”找到“Dockerfile”文件，依据“Dockerfile”文件制作Vote功能镜像，并将镜像推送到容器镜像服务。 制作Result镜像并推送到SWR仓库 通过工作目录“./result”及Dockerfile路径“./Dockerfile”找到“Dockerfile”文件，依据“Dockerfile”文件制作并推送Result功能镜像，并将镜像推送到容器镜像服务。 使用Maven安装Worker依赖包 使用Maven安装Worker功能所需的依赖。 制作Worker镜像并推送到SWR仓库 通过工作目录“./worker”及Dockerfile路径“Dockerfile.j2”找到“Dockerfile”文件，依据“Dockerfile”文件制作并推送Worker功能镜像，并将镜像推送到容器镜像服务。 生成Postgres and Redis Dockerfile 通过shell命令生成制作Postgres（数据库）和Redis（缓存）镜像的Dockerfile文件。 制作Postgres镜像并推送到SWR仓库 依据“生成Postgres and Redis Dockerfile”所生成的Dockerfile文件制作并推送Postgres镜像，并将镜像推送到容器镜像服务。 制作Redis镜像并推送到SWR仓库 依据“生成Postgres and Redis Dockerfile”所生成的Dockerfile文件制作并推送Redis镜像，并将镜像推送到容器镜像服务。 替换DockerCompose部署文件镜像版本 为了将镜像部署到ECS时，能够可以拉取到正确的镜像，使用shell命令进行完成以下操作。首先，使用sed命令，依次将文件“dockercomposestandalone.yml”中的参数替换为构建任务的参数“dockerServer”、“dockerOrg”、“BUILDNUMBER”进行替换。然后，使用tar命令，将文件“dockercomposestandalone.yml”压缩为“dockerstack.tar.gz”，将部署所需文件进行打包，以便于后续步骤将该文件上传归档。 替换Kubernetes部署文件镜像版本 为了将镜像部署到CCE时，能够可以拉取到正确的镜像，使用shell命令进行完成以下操作。首先，使用sed命令，将目录“kompose”下所有以“deployment”结尾的文件中的参数“dockerserver”、“dockerorg”，替换为构建任务的参数“dockerServer”、“dockerOrg”。然后，使用sed命令，将“resultdeployment.yaml”、“votedeployment.yaml”、“workerdeployment.yaml”三个文件中的参数“imageversion”用构建任务参数“BUILDNUMBER”进行替换。 上传Kubernetes部署文件到软件发布库 将所有“.yaml”文件上传到软件发布库中归档。 上传dockercompose部署文件到软件发布库 将压缩好的“dockerstack.tar.gz”（构建包路径）上传到软件发布库中归档，包名命名为“dockerstack”，实现软件包的版本管理。

本页介绍天翼云TeleDB数据库高效的并行计算能力。 TeleDB支持两级并行，从而实现高效的并行计算能力。两级并行分别为多节点之间的并行和节点内的并行。 多节点之间并行执行：分布式事务需要多节点一起完成。多个节点之间是并行的，例如：所有DDL语句，涉及元数据变更，需在所有CN、DN节点上执行。批量INSERT语句、不带分布键的SELECT、UPDATE、DELETE语句，需在所有DN节点上执行。 节点内基于数据页的并行计算：对于大表查询，为充分利用服务器多核处理能力，在节点内同时启动多个进程并行计算，协同完成一个任务。 说明 TeleDB支持设置参数，通过参数来显示表的大小。当表的数据量超过一定阈值时，会启用并行。当需要并行计算的时候，优化器会根据表大小得出并行度，启动多个进程并行执行。如果有更多的资源，执行速度可以根据并行度实现线性扩展。 实际使用中常见的是join关联，和aggregate数据汇聚（也就是group by），下面以hash join和aggreagte为例，介绍TeleDB的并行计算能力。 hash join 仍以TBLA关联TBLB表查询为例，两表大小相当时，优化器会优先选择hash join方式关联，流程如下： 1. 获取TBLB表所有数据。 2. TBLB表的每一行计算哈希值，构建一张哈希表。 3. 访问TBLA表每一行数据。 4. TBLA表每一行计算哈希值。 5. TBLA表每一行哈希值，匹配哈希表，得到匹配结果。 并行hash join 对于大表关联，优化器根据资源估算，可以启动多个进程，并行扫描数据，然后并行hash join，流程如下： 1. 多个进程并行访问TBLB表的一部分数据。 2. 每个进程各自构建一张哈希表。 3. 合并所有进程的哈希表，构建出一张共享哈希表。 4. 多个进程并行访问TBLA表的一部分数据。 5. 多个进程并行计算出TBLA表每一行的哈希值。 6. 多个进程并行匹配共享哈希表，得到匹配结果。 相比没有开启并行hash join的查询，并行hash join的性能提升，主要有并行扫描和并行hash join，而在构建哈希表和哈希表匹配部分的并行计算能力，可以让查询性能随着并行度的提升而提升。 aggregate汇聚计算 例如：TBLA表的简单sum、avg等汇聚计算。 左图为没有开启并行时的执行流程，只需要查询、汇聚两步。 并行aggregate汇聚计算 右图为开启并行后的执行流程，流程如下： 1. 多个进程并行访问TBLA表的一部分数据。 2. 多个进程并行计算aggregate，得到一个中间结果。 3. 所有中间结果进行一次数据重分布，将相同group by汇聚列的数据分布在同一个进程中。 4. 多个进程并行再做一次最终的aggregate，然后汇总，得到汇聚结果。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包乱序动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 重排序概率：数据包被立即发送的百分比。 和上一包的相关性：控制数据包重排序的随机性和规律性之间的平衡，取值范围 0~100，例如，设置为 50 表示有 50% 的可能性下一个数据包的重排序决策会受到前一个数据包的影响。值越高，乱序模式越规律；值越低，越随机。 包序列大小：定义了重排序数据包之间的距离，即有多少个数据包会按照正常顺序发送后才会出现一个重排序的数据包，例如，当 gap 设置为 2 时，意味着每 2 个正常顺序的数据包之后会有一个数据包被重排序。 网络包延迟时间(毫秒)：对被选中的乱序数据包施加的延迟时长。

本章节主要介绍翼MapReduce的配置审计日志转储操作。 操作场景 Manager的审计日志默认保存在数据库中，如果长期保留可能引起数据目录的磁盘空间不足问题，管理员如果需要将审计日志保存到其他归档服务器，可以在FusionInsight Manager设置转储参数及时自动转储，便于管理审计日志信息。 若用户未配置审计日志转储，当审计日志达到十万条，系统自动将这十万条审计日志保存到文件中。保存路径为主管理节点“${BIGDATADATAHOME}/dbdataom/dumpData/iam/operatelog”，保存的文件名格式为“OperateLogstoreYYMMDDHHMMSS.csv”，保存的审计日志历史文件数最大为50。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“审计 > 配置”。 3. 单击“审计日志转储”右侧的开关。 “审计日志转储”默认为不启用，开关显示为表示启用。 4. 根据下表填写转储参数。 审计日志转储参数 参数名 参数解释 参数值 SFTP IP 模式 目标IP的IP地址模式，可选择“IPv4”或者“IPv6”。 IPv4 SFTP IP 指定审计日志转储后存放的SFTP服务器，建议使用基于SSH v2的SFTP服务，否则存在安全风险。 192.168.10.51（举例） SFTP端口 指定审计日志转储后存放的SFTP服务器连接端口。 22（举例） 保存路径 指定SFTP服务器上保存审计日志的路径。 /opt/omm/oms/auditLog（举例） SFTP用户名 指定登录SFTP服务器的用户名。 root（举例） SFTP密码 指定登录SFTP服务器的密码。 SFTP服务器的密码 SFTP公共秘钥 可选参数，指定SFTP服务器的公共密钥，建议配置SFTP的公共密钥，否则可能存在安全风险。 转储模式 指定转储模式 “按数量”：日志到达指定条数（默认10万条）时开始转储 “按时间”：指定某一日期开始转储，转储频率为一年一次。 按数量 按时间 转储日期 当选择“按时间”转储模式时可用。选择一个转储日期后，系统将在此日期开始转储。转储的日志范围为当前年份1月1日0时之前的所有审计日志。 1106（举例） 说明 SFTP公共密钥为空时，系统将进行安全风险提示，确定安全风险后再保存配置。 5. 单击“确定”，设置完成。 说明 审计日志转储文件关键字段参考： “USERTYPE”表示用户类型，“0”表示“人机”用户，“1”表示“机机”用户。 “LOGLEVEL”表示安全级别，“0”表示高危，“1”表示危险，“2”表示一般，“3”表示提示。 “OPERATERESULT”表示操作结果，“0”表示成功，“1”表示失败。

本节基于天翼云分布式缓存服务实践所编写，用于指导您在以下场景使用DCS实现排行榜功能。 场景介绍 在网页和APP中常常需要用到榜单的功能，对某个keyvalue的列表进行降序显示。当操作和查询并发大的时候，使用传统数据库就会遇到性能瓶颈，造成较大的时延。 使用分布式缓存服务（DCS）的Redis版本，可以实现一个商品热销排行榜的功能。它的优势在于： 数据保存在缓存中，读写速度非常快。 提供字符串（String）、链表（List）、集合（Set）、哈希（Hash）等多种数据结构类型的存储。 实践指导 1. 准备一台弹性云主机（ECS），选择Windows系统类型。 2. 在ECS上安装JDK1.8以上版本和Eclipse，下载jedis客户端（点此处直接下载jar包）。 3. 在天翼云控制台购买DCS缓存实例。注意和ECS选择相同虚拟私有云、子网以及安全组。 4. 在ECS上运行Eclipse，创建一个java工程，为示例代码创建一个productSalesRankDemo.java文件，并将jedis客户端作为library引用到工程中。 5. 将DCS缓存实例的连接地址、端口以及连接密码配置到示例代码文件中。 6. 编译并运行得到结果。 代码示例 package dcsDemo02; import java.util.ArrayList; import java.util.List; import java.util.Set; import java.util.UUID; import redis.clients.jedis.Jedis; import redis.clients.jedis.Tuple; public class productSalesRankDemo { static final int PRODUCTKINDS 30; public static void main(String[] args) { //实例连接地址，从控制台获取 String host "192.168.0.246"; //Redis端口 int port 6379; Jedis jedisClient new Jedis(host, port); try { //实例密码 String authMsg jedisClient.auth(""); if (!authMsg.equals("OK")) { System.out.println("AUTH FAILED: " + authMsg); } //键 String key "商品热销排行榜"; jedisClient.del(key); //随机生成产品数据 List productList new ArrayList<>(); for(int i 0; i sortedProductList jedisClient.zrevrangeWithScores(key, 0, 1); for(Tuple product : sortedProductList) { System.out.println("产品ID： " + product.getElement() + ", 销量： " Double.valueOf(product.getScore()).intValue()); } System.out.println(); System.out.println(" "+key); System.out.println(" 前五大热销产品"); //获取销量前五列表并输出 Set sortedTopList jedisClient.zrevrangeWithScores(key, 0, 4); for(Tuple product : sortedTopList) { System.out.println("产品ID： " + product.getElement() + ", 销量： " Double.valueOf(product.getScore()).intValue()); } } catch (Exception e) { e.printStackTrace(); } finally { jedisClient.quit(); jedisClient.close(); } } }

模块 特性名称 详细说明 直播推流 场景 支持主播/客户采用推流工具将直播流推至视频直播边缘节点。 直播推流 协议 支持RTMP和RTMPS。 直播拉流 场景 支持用户通过播放器从视频直播边缘节点进行拉流播放直播流。 直播拉流 协议 支持RTMP、FLV和HLS。 协议转换 场景 支持将推流或回源协议通过视频直播产品转换成多种直播协议。 协议转换 协议 支持将RTMP、RTMPS、FLV协议转换成FLV、RTMP和HLS协议。 访问控制 Referer防盗链 基于HTTP请求头中Referer字段来设置访问控制规则，实现对访客的身份识别和过滤，防止资源被非法盗用。 访问控制 IP黑/白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 访问控制 UA防盗链 通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 访问控制 URL鉴权 通过对访问URL中的加密串及时间戳进行校验，从而有效地保护用户站点资源。 访问控制 远程鉴权 将请求转发回提前设定的鉴权源站，视频直播节点依据源站返回的鉴权结果应答用户请求，从而实现用户鉴权规则由源站全权定义。 访问控制 HTTPS HTTPS是HTTP的安全版，通过开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。 访问控制 批量域名IP封禁 支持一次对多个域名批量进行IP黑名单配置。 媒体处理 直播转码 为适配不同用户终端或者不同网络环境，视频直播支持输出不同码率、帧率、分辨率等直播流，同时支持对原始流增加水印。 媒体处理 直播录制 支持将直播流录制为点播文件并存储在媒体存储中，实现直播转点播文件，便于客户进行二次传播。 媒体处理 直播时移 支持体育赛事/游戏赛事等直播场景下，通过时移回看精彩瞬间。 媒体处理 直播截图 支持对直播流进行截图，并将图片保存在媒体存储中。 流管理 禁推 当客户监控发现某主播推送非法内容，可通过禁推功能实时中止并封禁该直播，封禁时长支持自定义。 流管理 解禁 支持对封禁中的流进行解禁。 流管理 断流 支持通过自助操作断开正在推的直播流，但主播如果用相同流名再次推流时可以推流成功。 直播控制台 概览 展示今日或本月的流量/带宽、近七天流量/带宽趋势、证书统计、域名统计、信息中心。 直播控制台 域名管理 支持添加域名，并对域名进行编辑、停用、启用或删除等操作。 如果有开通全球（不含中国内地），支持变更加速区域。 支持HTTPS相关功能配置。 支持IP黑白名单、Referer防盗链和URL鉴权功能自助配置。 支持HLS切片配置。 直播控制台 证书管理 支持新增证书、查看证书、删除证书和替换过期证书等操作。 直播控制台 功能配置 支持自助创建转码、录制、截图和回调模板，并支持将模板绑定到域名上。 直播控制台 流管理 支持查询在线推流和历史推流。 支持禁推、解禁和断流自助操作。 直播控制台 统计分析 支持客户对日常关注的带宽流量、回源、请求数、状态码、地区运营商、在线人数等维度进行自定义查询，实时感知业务运营状态。 支持查看热门URL、域名排行、热门Referer、TOP客户端IP。 支持对转码、录制和截图使用量进行查询。 支持查看流粒度带宽、以及推流域名的平均码率和帧率。 直播控制台 日志下载 支持下载直播加速域名的访问日志。 直播控制台 计费详情 支持自助更新计费方式、查询资源包使用详情、查看历史记录和账单等相关信息。 直播控制台 地址生成器 支持自定义流名和发布点并生成URL示例；如果有配置URL鉴权，还可以生成鉴权URL示例。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包乱序动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 重排序概率：数据包被立即发送的百分比。 和上一包的相关性：控制数据包重排序的随机性和规律性之间的平衡，取值范围 0~100，例如，设置为 50 表示有 50% 的可能性下一个数据包的重排序决策会受到前一个数据包的影响。值越高，乱序模式越规律；值越低，越随机。 包序列大小：定义了重排序数据包之间的距离，即有多少个数据包会按照正常顺序发送后才会出现一个重排序的数据包，例如，当 gap 设置为 2 时，意味着每 2 个正常顺序的数据包之后会有一个数据包被重排序。 网络包延迟时间(毫秒)：对被选中的乱序数据包施加的延迟时长。

名词 说明 负载均衡服务 天翼云提供的一种网络负载均衡服务，提供四层和七层负载均衡服务。 负载均衡实例 负载均衡实例是一个运行的负载均衡服务。要使用负载均衡服务，必须先创建一个负载均衡实例。 监听器 监听器负责监听负载均衡器上的请求，规定了如何将请求转发给后端云主机处理。 后端服务器组 一组处理负载均衡分发的前端请求的云主机实例。 后端服务器 处理前端请求的云主机实例。 弹性公网带宽 弹性公网带宽是指对外提供服务，可以访问网络，网络其他计算机可以访问主机的流量。 负载均衡器协议/端口 指协议支持四层的TCP和七层的HTTP。端口可根据业务需求在165535 范围内任意设定。如需要使用80、8080、443、8443备案端口，请提前进行备案。4个备案端口默认是关闭状态，备案完成后将开通。 云主机协议/端口 用于指定与负载均衡绑定的云主机的协议及端口，协议支持四层的TCP和七层的HTTP。端口可根据业务需求在165535范围内任意设定。云主机端口不受备案限制。 会话保持 用户可以选择打开或关闭会话保持功能。如果打开会话保持，针对7层（HTTP）服务，提供基于Cookie的会话保持；针对4层（TCP）服务，提供基于IP地址的会话保持。 健康检查 健康检查用于检查后端主机的状态。用户可自定义健康检查方式和频率，负载均衡根据预设的健康检查规则定时检查后端云主机是否正常运行，一旦检测到云主机为非健康状态，则不会将访问流量分派到这些非健康云主机实例。 负载方式 负载方式即负载均衡算法，支持轮询、最小连接数和源地址三种算法。 轮询算法 轮询算法是依据后端主机的权重，将请求轮流发送给后端云主机，常用于短连接服务，例如HTTP等服务。 最小连接数算法 最小连接数算法是优先将请求发给拥有最小连接数的后端云主机，常用于长连接服务，例如数据库连接等服务。 源算法 源算法是将请求的源地址进行hash运算，并结合后端的云主机的权重派发请求至某匹配的云主机，这可以使得同一个客户端IP的请求始终被派发至某特定的云主机。该方式适合负载均衡无Cookie功能的TCP协议。 默认配额 默认配额是指每个用户在每个区域节点资源的数量，如默认配额无法满足用户需求，可通过控制台申请调整配额。

本小节介绍安装Windows Server 2008 R2应用服务器。 安装环境介绍 以下为安装AD域环境的服务器信息： Windows Server版本：Windows Server 2008 R2（所有软件包已经全部安装完成） IP：192.168.X.X/X 网关：192.168.X.X DNS：192.168.X.X 域名：example.com 计算机名：server 安装AD域 修改计算机名和服务器静态IP 修改服务IP地址，并且将DNS地址指向本机，然后修改计算机名为server。安装AD域服务之后，机器名称会自动变成“主机名+域名”的形式。 说明 安装AD域 在命令行下输入 dcpromo.exe ，安装AD域和DNS服务器，不能使用添加角色向导的方式将AD域和DNS服务器安装在一起。 AD域服务安装向导 1 安装AD域，单击“下一步”。 2 单击“下一步”。 3 选择“在新林中新建域”，单击“下一步”。 4 单击“下一步”。 5 设置林功能级别，在下拉菜单中选择“Windows Server 2008 R2”，单击“下一步”。 6 勾选“DNS服务器”，单击“下一步”。 7 界面显示“无法创建DNS委派”，单击“是”，然后继续。 8 选择数据库文件和日志文件的目录，采用默认配置即可，单击“下一步”。 9 设置目录还原模式的密码，还原模式的Administrator密码不等于系统密码，单击“下一步”。 10 界面显示信息概要，单击“下一步”。 11 勾选“完成后重新启动”。 12 重启后，用域用户登录。 13 AD域环境安装完成。

本章节主要介绍权限模型。 基于角色的权限控制 FusionInsight通过采用RBAC（rolebased access control，基于角色的权限控制）方式对大数据系统进行权限管理，将系统中各组件零散的权限管理功能集中呈现和管理，对普通用户屏蔽掉了内部的权限管理细节，对管理员简化了权限管理的操作方法，提升权限管理的易用性和用户体验。 FusionInsight权限模型由“用户－用户组－角色－权限”四类对象构成。 权限模型 权限 由组件侧定义，允许访问组件某个资源的能力。不同组件针对自己的资源，有不同的权限。 例如： −HDFS针对文件资源权限，有读、写、执行等权限。 −HBase针对表资源权限，有创建、读、写等权限。 角色 组件权限的一个集合，一个角色可以包含多个组件的多个权限，不同的角色也可以拥有同一个组件的同一个资源的权限。 用户组 用户的集合，当用户组关联某个或者多个角色后，该用户组内的用户就将拥有这些角色所定义的组件权限。 不同用户组可以关联同一个角色，一个用户组也可以不关联任何角色，该用户组原则上将不具有任何组件资源的权限。 说明 部分组件针对特定的默认用户组，系统默认赋予了部分权限。 用户 系统的访问者，每个用户的权限由该用户关联的用户组和角色所对应的权限构成，用户需要加入用户组或者关联角色来获得对应的权限。 基于策略的权限控制 Ranger组件通过PBAC（policybased access control，基于策略的权限控制）方式进行权限管理，可对HDFS、Hive、HBase等组件进行更加细粒度的数据访问控制。 说明 组件同时只支持一种权限控制机制，当组件启用Ranger权限控制策略后，通过FusionInsight Manager创建的角色中关于该组件的权限将失效（HDFS与Yarn的组件ACL规则仍将生效），用户需通过Ranger管理界面添加策略进行资源的赋权。 Ranger的权限模型由多条权限策略组成，权限策略主要由以下几方面组成： 资源 组件所提供的可由用户访问的对象，例如HDFS的文件或文件夹、Yarn中的队列、Hive中的数据库/表/列等。 用户 系统的访问者，每个用户的权限由该用户关联的策略来获得。LDAP中的用户、用户组、角色信息会周期性的同步至Ranger。 权限 策略中针对资源可配置各种访问条件，例如文件的读写，具体可以配置允许条件、拒绝条件以及例外条件等。

本章节向您介绍如何快速添加多条安全组规则与在安全组中一键放通常见端口。 快速添加多条安全组规则 操作场景 通过安全组快速添加功能，您可以快速添加部分常用端口协议对应的规则，包括远程登录和ping测试、常用Web服务和数据库服务所需的端口协议。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列下的“配置规则”，进入安全组规则配置页面。 3. 在“入方向规则”页签，单击“快速添加规则”，弹出“快速添加入方向规则”对话框。 4. 根据界面提示，设置入方向规则参数。 5. 入方向规则设置完成后，单击“确定”，返回入方向规则列表，可以查看添加的入方向规则。 6. 在“出方向规则”页签，单击“快速添加规则”，弹出“快速添加出方向规则”页签。 7. 根据界面提示，设置出方向规则参数。 8. 出方向规则设置完成后，单击“确定”，返回出方向规则列表，可以查看添加的出方向规则。 下表是入、出方向规则参数说明表。 参数 说明 取值样例 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 常见协议端口 提供常用的协议端口供您快速设置，选择类型如下： 远程登录和ping Web服务 数据库 SSH（22） 入方向 策略 安全组规则策略，支持的策略如下：如果“策略”设置为允许，表示允许源地址访问安全组内云主机的指定端口。 如果“策略”设置为拒绝，表示拒绝源地址访问安全组内云主机的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略。 允许 出方向 策略 安全组规则策略，支持的策略如下：如果“策略”设置为允许，表示允许安全组内的云主机访问目的地址的指定端口。 如果“策略”设置为拒绝，表示拒绝安全组内的云主机访问目的地址的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略。 允许 类型 支持的IP地址类型，如下： IPv4 IPv6 IPv4 入方向 协议端 安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。 安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在入方向规则中，表示外部访问安全组内实例的指定端口。 端口填写支持下格式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535。 TCP 22或2230或20,2230 出方向 协议 安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。 安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在出方向规则中，表示安全组内实例访问外部地址的指定端口。 端口填写支持下格式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535。 TCP 22或2230或20,2230 源地址 在入方向规则中，用来匹配外部请求的源地址，支持以下格式： IP地址 ：表示源地址为某个固定的IP地址。当源地址选择IP地址时，您可以在一个框内同时输入或者粘贴多个IP地址，不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。 单个IP地址：IP地址/掩码。单个IPv4地址示例为192.168.10.10/32；单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。IPv4网段示例为192.168.52.0/24；IPv6网段示例为2407:c080:802:469::/64。 所有IP地址：0.0.0.0/0表示匹配所有IPv4地址；::/0表示匹配所有IPv6地址。 安全组 ：表示源地址为另外一个安全组，您可以在下拉列表中，选择同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A的入方向规则中，放通源地址为安全组B的流量，则来自实例b的内网访问请求被允许进入实例a。 IP地址组：表示源地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中，选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。 IP地址： 192.168.52.0/24，10.0.0.0/24 目的地址 在出方向规则中，用来匹配内部请求的目的地址。支持以下格式： IP地址 ：表示目的地址为某个固定的IP地址。当目的地址选择IP地址时，您可以在一个框内同时输入或者粘贴多个IP地址，不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。 单个IP地址：IP地址/掩码。单个IPv4地址示例为192.168.10.10/32；单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。IPv4网段示例为192.168.52.0/24；IPv6网段示例为2407:c080:802:469::/64。 所有IP地址：0.0.0.0/0表示匹配所有IPv4地址；::/0表示匹配所有IPv6地址。 安全组 ：表示源地址为另外一个安全组，您可以在下拉列表中，选择同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A的入方向规则中，放通源地址为安全组B的流量，则来自实例b的内网访问请求被允许进入实例a。 IP地址组 ：表示源地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中，选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。 IP地址： 192.168.52.0/24，10.0.0.0/24 描述 安全组规则的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

本章节演示一套全新6节点物理集群（无业务数据）划分为2套逻辑集群的操作。 场景介绍 本章节演示一套全新6节点物理集群（无业务数据）划分为2套逻辑集群的操作。 前提条件 创建6个节点的集群。 划分逻辑集群 1. 在集群管理页面，单击指定集群名称进入集群详情页面，左导航栏单击“逻辑集群管理”。 2. 进入逻辑集群页面，单击右上角“添加逻辑集群”，从右侧勾选1个主机环（3个节点）到左侧列表中，并输入逻辑集群名称lc1，单击“确定”。 等待约2分钟，逻辑集群添加成功。 3. 重复以上步骤，划分第二套逻辑集群lc2。 创建逻辑集群关联用户并跨逻辑集群查询数据 1. 以系统管理员dbadmin连接数据库，执行以下SQL语句查看逻辑集群创建成功。 SELECT groupname FROM PGXCGROUP; 2. 创建两个用户u1和u2，分别关联逻辑集群lc1和逻辑集群lc2。 CREATE USER u1 NODE GROUP "lc1" password ' {password} '; CREATE USER u2 NODE GROUP "lc2" password ' {password} '; 3. 切换到用户u1，创建表t1，并插入数据。 SET ROLE u1 PASSWORD ' {password} '; CREATE TABLE u1.t1 (id int); INSERT INTO u1.t1 VALUES (1),(2); 4. 切换到用户u2，创建表t2，并插入数据。 SET ROLE u2 PASSWORD ' {password} '; CREATE TABLE u2.t2 (id int); INSERT INTO u2.t2 VALUES (1),(2); 5. 同时使用u2查询u1.t1表。返回结果提示没有权限。 SELECT FROM u1.t1; 6. 切换回系统管理员dbadmin，查询表u1.t1和u2.t2分别创建到了集群lc1和lc2中，分别对应企业的两块业务，实现了基于逻辑集群的数据隔离。 SET ROLE dbadmin PASSWORD ' {password} '; SELECT p.oid,relname,pgroup,nodeoids FROM pgclass p LEFT JOIN pgxcclass pg ON p.oid pg.pcrelid WHERE p.relname 't1'; SELECT p.oid,relname,pgroup,nodeoids FROM pgclass p LEFT JOIN pgxcclass pg ON p.oid pg.pcrelid WHERE p.relname 't2'; 7. 将逻辑集群lc1的访问权限授予用户u2，同时将SCHEMA u1访问权限、表u1.t1访问权限授予用户u2。 GRANT usage ON NODE GROUP lc1 TO u2; GRANT usage ON SCHEMA u1 TO u2; GRANT select ON TABLE u1.t1 TO u2; 说明 划分逻辑集群后，相当于在原来物理集群的基础上，再增加一层逻辑集群（NODE GROUP）的权限隔离。所以跨逻辑集群访问数据，首先要授权用户有逻辑集群（NODE GROUP层）权限，其次是SCHEMA权限，最后是单张表TABLE权限。如果没有授予逻辑集群的权限，会提示类似permission denied for node group xx的错误信息。 8. 再次切换到u2用户，查询u1.t1表，查询成功，逻辑集群既实现了数据隔离，又可以在用户授权后进行跨逻辑集群访问。 SET ROLE u2 PASSWORD ' {password} '; SELECT FROM u1.t1;

本章节主要介绍如何扩容集群。 MRS的扩容不论在存储还是计算能力上，都可以简单地通过增加Core节点或者Task节点来完成，不需要修改系统架构，降低运维成本。集群Core节点不仅可以处理数据，也可以存储数据。可以在集群中添加Core节点，通过增加节点数量处理峰值负载。集群Task节点主要用于处理数据，不存放持久数据。 背景信息 MRS集群支持Core与Task节点总数最大为500个。如果用户需要的Core/Task节点数大于500，可以联系支持人员或者调用后台接口修改数据库。 目前支持扩容Core节点和Task节点，不支持扩容Master节点。此处扩容的最大Core/Task节点数为（500 集群Core/Task节点数）。例如：当前集群Core节点数为3，此处扩容的Core节点数必须小于等于497。如果集群扩容失败，用户可重新进行扩容操作。 如果在创建集群时，没有扩容节点，用户可以在扩容时添加节点个数，但不能指定具体节点扩容。 选择的版本不同，扩容集群的操作也不同。 操作步骤 1.登录MRS管理控制台。 2.选择 “集群列表 > 现有集群” ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.选择“节点管理”页签，在需要扩容的节点组的“操作”列单击“扩容”，进入扩容集群页面。 只有运行中的集群才能进行扩容操作。 4.设置“扩容节点数量”、“启动组件”和“执行引导操作”参数，并单击“确定”。 说明 若集群中没有Task节点组，请参考添加Task节点配置Task节点。 如果创建集群时添加了引导操作，则“执行引导操作”参数有效，开启该功能时扩容的节点会把创建集群时添加的引导操作脚本都执行一遍。 如果“新节点规格”参数有效，则表示与原有节点相同的规格已售罄或已下架，新扩容的节点将按照“新节点规格”增加。 扩容集群前需要检查集群安全组是否配置正确，要确保集群入方向安全组规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则。 5.进入“扩容节点”窗口，单击“确定”。 6.弹出扩容节点提交成功提示框。 集群扩容过程说明如下： 扩容中：集群正在扩容时集群状态为“扩容中”。已提交的作业会继续执行，也可以提交新的作业，但不允许继续扩容和删除集群，也不建议重启集群和修改集群配置。 扩容成功：集群扩容成功后集群状态为“运行中”。 扩容失败：集群扩容失败时集群状态为“运行中”。用户可以执行作业，也可以重新进行扩容操作。 扩容成功后，可以在集群详情的“节点管理”页签查看集群的节点信息。

虚拟私有云产品广泛应用于多种场景,本文带您更快了解虚拟私有云产品经典应用场景。 应用场景一：云上私有网络 场景说明 不同的VPC之间逻辑隔离。您可以将业务系统部署在天翼云上，构建云上的专属私有网络环境。如果您的实际应用中会有Web业务系统、APP业务系统、数据库服务器等各个不同的系统。这些系统之间通常需要做分层隔离，那么可以通过使用多个VPC进行业务隔离。当有互相通信的需求时，可以在两个VPC之间建立对等连接。 搭配使用 弹性云主机、对等连接。 应用场景二：Web应用或网站托管 场景说明 您可以将Web应用或网站等服务托管在 VPC 中的弹性云主机上，并通过弹性IP或NAT网关连接弹性云主机与Internet，运行弹性云主机上部署的Web应用程序。当您有较多服务器来部署复且公网流量较大的业务时，可以使用负载均衡CTELB。负载均衡CTELB可以实现自动分配云中多个弹性云主机实例间应用程序的访问流量，让您实现更高水平的应用程序容错能力。 VPC内的云资源连接公网（Internet），可以通过如下云产品实现。 云产品 应用场景 描述 相关操作 弹性IP 单个ECS连接公网 弹性IP是可以独立申请的公网IP地址，将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 云主机通过弹性IP 访问互联网 NAT网关（NAT Gateway） 多个ECS共享弹性IP连接公网 NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云（Virtual Private Cloud，VPC）内的计算实例提供网络地址转换（Network Address Translation），分为SNAT和DNAT两个功能。通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。NAT网关是 VPC 内的一个公网流量的出入口，保护私有网络信息不直接对公网暴露。 NAT网关操作指南 弹性负载均衡(CTELB, Elastic Load Balancing) 通过将访问流量均衡分发到多个ECS的方式对外提供服务，比如社交媒体等高并发访问场景 弹性负载均衡通过将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 弹性负载均衡快速入门

此小节介绍云堡垒机的运维任务。 支持分步骤同时对多个SSH协议资源批量执行多种运维操作，可同时运维操作包括执行命令、执行脚本、传输文件。 新建运维任务 云堡垒机支持自动运维任务功能，用户可按步骤自动执行命令和脚本方式运维多个目标资源，并可设置自动执行步骤将系统磁盘文件或本地文件快速上传到多个目标主机路径。此外，可设置执行周期和时间定期执行任务，并可同时执行多种任务步骤类型，实现多台资源设备自动化运维，提高运维效率。 运维任务执行后，按照步骤顺序依次自动执行操作，并返回执行结果。 约束限制 仅专业版云堡垒机支持快速运维功能。 仅支持对Linux主机（SSH协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 运维任务仅能由个人帐户管理，不能被系统内其他用户管理。 前提条件 已获取“运维任务”模块管理权限。 已获取资源访问控制权限，即已配置访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 运维任务 > 任务列表”，进入运维任务列表页面。 3 单击“新建”，弹出新建运维任务窗口。 4 配置任务基本信息。 运维任务基本信息参数说明 参数 说明 :: 任务名称 自定义的运维任务名称，系统内“任务名称”不能重复。 执行方式 选择运维任务执行的方式，包括“手动执行”、“定时执行”、“周期执行”。 “定时执行”和“周期执行”需同时配置动作执行时间或周期。 手动执行：手动触发执行任务。 定时执行：定期自动触发执行任务。仅执行一次。 周期执行：周期自动触发执行任务。可按周期执行多次。 执行时间 定期执行任务的日期。默认执行时刻为日期的凌晨零点。 执行周期 执行周期同步，需输入任务执行周期。 可选择每分钟、每小时、每天、每周、每月。 需同时选择“结束时间”，否则将无限期按周期执行任务。 更多选项 （可选）用户对资源账户执行任务权限不够时，需勾选上“提权执行”，用户需在该主机资源的Sudoers文件下执行任务。 任务描述 简要描述运维任务信息。 5 单击“下一步”，配置执行帐户或帐户组，选择已创建的SSH协议类型资源账户或帐户组。 配置执行资源账户 6 单击“下一步”，配置任务步骤。 单击“添加任务步骤”，选择添加任务类型“执行命令”、“执行脚本”或“传输文件”。 选择一个或多个任务类型，并配置任务参数。 运维任务步骤数不限制，一个任务可添加多个执行步骤。 7 单击“确定”，返回任务列表页面，查看新建的运维任务。 任务执行完成后，可以下载执行日志，获取任务执行结果。