本文为您介绍Web应用防火墙（原生版）的相关术语解释。 SSL证书 指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。 域名解析 互联网上的机器相互间通过IP地址来建立通信，但是人们大多数习惯记忆域名，将IP地址与域名之间建立一对多的关系，而它们之间转换工作的过程称为域名解析。 QPS 每秒查询率（Query Per Second，QPS） 是对一个特定的查询服务器，在规定时间内所处理流量多少的衡量标准，在因特网上，作为域名系统服务器的机器性能经常用每秒查询率来衡量，对应fetches/sec（每秒响应请求数，即是最大吞吐能力）。 CNAME CNAME是指定域名的别名，用于将域名解析到另一域名上。通过域名接入方式添加防护域名后，WAF会生成一个CNAME（即防护域名的别名）。 通过修改DNS域名，将网站流量指向WAF服务节点，实现对网站流量的安全防护。更多信息请参见修改域名DNS。 回源IP地址 回源IP指云WAF用来与源站服务器建立网络连接的IP地址。通过域名接入方式添加域名成功后，由WAF自动分配多个回源IP地址，WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发到网站域名的源站服务器。在源站服务器看来，所有收到的请求都来自回源IP。 如果源站服务器使用了其他安全软件（例如防火墙、安全组、杀毒软件等），WAF的回源IP很有可能被这些软件识别成恶意IP并进行拦截。因此，网站接入WAF进行防护后，您需要将回源IP段添加到源站安全软件的白名单中，放行该回源IP段。更多信息请参见放行WAF回源IP段。

本文简述页面优化功能、注意事项及配置方法等。 背景介绍 我们看到的所有网页展示和交互是由HTML、CSS、JavaScript共同构建的。 HTML（HyperText Markup Language）是超文本标记语言。是一种建立网页文件的语言，通过标记式的指令(Tag)，将影像、声音、图片、文字动画、影视等内容显示出来。事实上，每一个HTML文档都是一种静态的网页文件，这个文件里面包含了HTML指令代码，这些指令代码并不是一种程序语言，只是一种排版网页中资料显示位置的标记结构语言。以盖房子类比，必须定义这个房子有多长、多宽，每一块面积如何规划，例如哪里是卫生间、哪里是饭厅、哪里是卧室。将这些定义好，网页也就有了最基本的样子。总之，HTML就是用来布局网页中的每一个元素的。 CSS（Cascading Style Sheets）是级联样式表。是一种用来表现HTML或XML等文件样式的计算机语言。CSS 中的“样式”就是指外观。还以盖房为例，定义好了各个空间，房子也盖起来了，但还要装修，例如给客厅贴壁纸、给卧室铺地板。CSS 就是起装修作用的，要和HTML—起配合使用。 JavaScript是一种脚本语言，它在网页中的作用是控制HTML中的每一个元素，有时要删除元素，有时要添加新元素。大家可能遇到过这样的场景：单击网页上的一个按钮，会有一个网页上从没有过的元素显示出来，这就是利用JavaScript实现的。房子已经装修好，贴上了墙纸，铺上了地板，桌子、板凳、沙发都已经摆好，一切都很完美。可是，一个有生活情趣的住户时常要买些新家具，或者把茶几换个位置，这时，移动、添加、减少物件就只能靠JavaScript实现。 一般的网页页面中往往会存在一些冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，这些内容一般对于页面的展现没有实际作用，如果可以去除这些页面的冗余信息，就可以一定程度上提升加速效果和页面可阅读性。

使用方法 1、安装Snapckpt Snapckpt Python包下载地址：< 1. 下载后进入到工程根目录 2. 安装命令： plaintext python3 setup.py build && python3 setup.py install 至此，Snapckpt的软件包安装完成，可以开始使用（具体使用方法见“Snapckpt使用方法”章节）。 2、Snapckpt使用方法 Megatron模式使用方法 在使用MegatronLM训练框架训练模型时，您可以使用 snapckpt.megatrondistckpt.savecheckpoin 和 snapckpt.megatrondistckpt.loadcheckpoint 替换原生MegatronLM的 megatron.checkpointing.savecheckpoint 和 megatron.checkpointing.loadcheckpoint。 plaintext from megatron.checkpointing import savecheckpoint from snapckpt.megatrondistckpt import savecheckpoint from megatron.checkpointing import loadcheckpoint from snapckpt.megatrondistckpt import loadcheckpoint Deepspeed模式使用方法 首先，需要初始化Snapckpt的DeepSpeedCheckpointer，初始化方式如下： plaintext from snapckpt.deepspeed import( DeepSpeedCheckpointer, StorageType, ) checkpointer DeepSpeedCheckpointer(model, checkpointdir) 初始化后，您可以使用 checkpointer.savecheckpoint 和 checkpointer.loadcheckpoint 替换原生Deepspeed的 savemodel 和 loadcheckpoint。 plaintext savemodel(checkpointdir) checkpointer.savecheckpoint(checkpointdir, tagstep, storagetypeStorageType.MEMORY) checkpointer.savecheckpoint(checkpointdir, tagstep, storagetypeStorageType.DISK) loadcheckpoint(model, checkpointdir) checkpointer.loadcheckpoint(checkpointdir) 性能参考 以Deepseek R1 Distill Qwen 14B模型，单机八卡运行环境为例，相较于同步断点保存而言，Snapckpt的性能提升测试参考如下： 模式 全参微调 LoRA微调 预训练 Megatron 24倍 10倍 22倍 Deepspeed 19倍 5倍 12倍

使用方法 安装Snapckpt Snapckpt Python包下载地址：< 1. 下载后进入到工程根目录 2. 安装命令： plaintext python3 setup.py build && python3 setup.py install 至此，Snapckpt的软件包安装完成，可以开始使用（具体使用方法见“Snapckpt使用方法”章节）。 Snapckpt使用方法 Megatron模式使用方法 在使用MegatronLM训练框架训练模型时，您可以使用 snapckpt.megatrondistckpt.savecheckpoin 和 snapckpt.megatrondistckpt.loadcheckpoint 替换原生MegatronLM的 megatron.checkpointing.savecheckpoint 和 megatron.checkpointing.loadcheckpoint。 plaintext from megatron.checkpointing import savecheckpoint from snapckpt.megatrondistckpt import savecheckpoint from megatron.checkpointing import loadcheckpoint from snapckpt.megatrondistckpt import loadcheckpoint Deepspeed模式使用方法 首先，需要初始化Snapckpt的DeepSpeedCheckpointer，初始化方式如下： plaintext from snapckpt.deepspeed import( DeepSpeedCheckpointer, StorageType, ) checkpointer DeepSpeedCheckpointer(model, checkpointdir) 初始化后，您可以使用 checkpointer.savecheckpoint 和 checkpointer.loadcheckpoint 替换原生Deepspeed的 savemodel 和 loadcheckpoint。 plaintext savemodel(checkpointdir) checkpointer.savecheckpoint(checkpointdir, tagstep, storagetypeStorageType.MEMORY) checkpointer.savecheckpoint(checkpointdir, tagstep, storagetypeStorageType.DISK) loadcheckpoint(model, checkpointdir) checkpointer.loadcheckpoint(checkpointdir) 性能参考 以Deepseek R1 Distill Qwen 14B模型，单机八卡运行环境为例，相较于同步断点保存而言，Snapckpt的性能提升测试参考如下： 模式 全参微调 LoRA微调 预训练 Megatron 24倍 10倍 22倍 Deepspeed 19倍 5倍 12倍

本节主要介绍CCE发布Kubernetes 1.29版本 云容器引擎（CCE）严格遵循社区一致性认证，现已支持创建Kubernetes 1.29集群。本文介绍Kubernetes 1.29版本的变更说明。 新增特性及特性增强 Service的负载均衡IP模式（Alpha） 在Kubernetes1.29版本，Service的负载均衡IP模式以Alpha版本正式发布。其在Service的status中新增字段ipMode，用于配置集群内Service到Pod的流量转发模式。当设置为VIP时，目的地址为负载均衡IP和端口的流量将由kubeproxy重定向到目标节点，当设置为Proxy时，流量将被发送到负载均衡器，然后由负载均衡器转发到目标节点。这项特性将有助于解决流量绕过负载均衡器缩导致的负载均衡器功能缺失问题。 NFTables代理模式（Alpha） 在Kubernetes1.29版本，NFTables代理模式以Alpha版本正式发布。该特性允许kubeproxy运行在NFTables模式，在该模式下，kubeproxy使用内核netfilters子系统的nftables API来配置数据包转发规则。 未使用容器镜像的垃圾收集（Alpha） 在Kubernetes1.29版本，未使用容器镜像的垃圾收集以Alpha版本正式发布。该特性允许用户为每个节点配置本地镜像未被使用的最长时间，超过这个时间镜像将被垃圾回收。配置方法为使用kubelet配置文件中的ImageMaximumGCAge字段。 PodLifecycleSleepAction（Alpha） 在Kubernetes1.29版本，PodLifecycleSleepAction以Alpha版本正式发布。该特性在容器生命周期回调中引入了Sleep回调程序，可以配置让容器在启动后和停止前暂停一段指定的时间。 KubeletSeparateDiskGC（Alpha） 在Kubernetes1.29版本，KubeletSeparateDiskGC以Alpha版本正式发布。该特性启用后，即使在容器镜像和容器位于独立文件系统的情况下，也能进行垃圾回收。 matchLabelKeys/mismatchLabelKeys（Alpha） 在Kubernetes1.29版本，matchLabelKeys/mismatchLabelKeys以Alpha版本正式发布。该特性启用后，在Pod的亲和/反亲和配置中新增了matchLabelKeys/mismatchLabelKeys字段，可配置更丰富的Pod间亲和/反亲和策略。 clusterTrustBundle投射卷（Alpha） 在Kubernetes1.29版本，clusterTrustBundle投射卷以Alpha版本正式发布。该特性启用后，支持将ClusterTrustBundle对象以自动更新的文件的形式注入卷。 基于运行时类的镜像拉取（Alpha） 在Kubernetes1.29版本中，基于运行时类的镜像拉取以Alpha版本正式发布。该特性启用后， kubelet 会通过一个元组（镜像名称，运行时处理程序）而不仅仅是镜像名称或镜像摘要来引用容器镜像。 您的容器运行时可能会根据选定的运行时处理程序调整其行为。基于运行时类来拉取镜像对于基于VM的容器会有帮助。 PodReadyToStartContainers状况达到Beta 在Kubernetes1.29版本，PodReadyToStartContainers状况特性达到Beta版本。其在Pod的status中新增了一个名为PodReadyToStartContainers的Condition，该Condition为true表示Pod的沙箱已就绪，可以开始创建业务容器。该特性使得集群管理员可以更清晰和全面地查看 Pod 沙箱的创建完成和容器的就绪状态，增强了指标监控和故障排查能力。 Job相关特性 Pod更换策略达到Beta 在Kubernetes1.29版本，Pod更换策略特性达到Beta版本。该特性确保只有Pod达到Failed阶段（status.phase: Failed）才会被替换，而不是当删除时间戳不为空时，Pod仍处于删除过程中就重建Pod，以此避免出现2个Pod同时占用索引和节点资源。 逐索引的回退限制达到Beta 在Kubernetes1.29版本，逐索引的回退限制特性达到Beta版本。默认情况下，带索引的 Job（Indexed Job）的 Pod 失败情况会被统计下来，受 .spec.backoffLimit 字段所设置的全局重试次数限制。这意味着，如果存在某个索引值的 Pod 一直持续失败，则会 Pod 会被重新启动，直到重试次数达到限制值。 一旦达到限制值，整个 Job 将被标记为失败，并且对应某些索引的 Pod 甚至可能从不曾被启动。该特性可以在某些索引值的 Pod 失败的情况下，仍完成执行所有索引值的 Pod，并且通过避免对持续失败的、特定索引值的Pod进行不必要的重试，更好的利用计算资源。 原生边车容器达到Beta 在Kubernetes1.29版本，原生边车容器特性达到Beta版本。其在initContainers中新增了restartPolicy字段，当配置为Always时表示启用边车容器。边车容器和业务容器部署在同一个Pod中，但并不会延长Pod的生命周期。边车容器常用于网络代理、日志收集等场景。 传统ServiceAccount令牌清理器达到Beta 在Kubernetes1.29版本，传统ServiceAccount令牌清理器特性达到Beta版本。其作为kubecontrollermanager的一部分运行，每24小时检查一次，查看是否有任何自动生成的传统ServiceAccount令牌在特定时间段内（默认为一年，通过legacyserviceaccounttokencleanupperiod指定）未被使用。如果有的话，清理器会将这些令牌标记为无效，并添加kubernetes.io/legacytokeninvalidsince标签，其值为当前日期。如果一个无效的令牌在特定时间段（默认为1年，通过legacyserviceaccounttokencleanupperiod指定）内未被使用，清理器将会删除它。 DevicePluginCDIDevices达到Beta 在Kubernetes1.29版本，DevicePluginCDIDevices特性达到Beta版本。该特性在DeviceRunContainerOptions增加CDIDevices字段，使得设备插件开发者可以直接将CDI设备名称传递给支持CDI的容器运行时。 PodHostIPs达到Beta 在Kubernetes1.29版本中，PodHostIPs特性达到Beta版本。该特性在Pod和downward API的Status中增加hostIPs字段，用于将节点IP地址暴露给工作负载。该字段是hostIP的双栈协议版本，第一个IP始终与hostIP相同。 API优先级和公平性达到GA 在Kubernetes1.29版本，API优先级和公平性（APF）特性达到GA版本。APF以更细粒度的方式对请求进行分类和隔离，提升最大并发限制，并且它还引入了空间有限的排队机制，因此在非常短暂的突发情况下，API 服务器不会拒绝任何请求。 通过使用公平排队技术从队列中分发请求，这样，一个行为不佳的控制器就不会导致其他控制器异常 （即使优先级相同）。 APIListChunking达到GA 在Kubernetes1.29版本，APIListChunking特性达到GA版本。该特性允许客户端在List请求中进行分页，避免一次性返回过多数据而导致的性能问题。 ServiceNodePortStaticSubrange达到GA 在Kubernetes1.29版本，ServiceNodePortStaticSubrange特性达到GA版本。该特性kubelet会根据Nodeport范围计算出预留地址大小，并将Nodeport划分为静态段和动态段。在Nodeport自动分配时，优先分配在动态段，这有助于减小指定静态段分配时的端口冲突。 PersistentVolume的阶段转换时间戳达到Beta 在Kubernetes1.29版本，PersistentVolume的阶段转换时间戳特性达到Beta版本。该特性在PV的status中添加了一个lastPhaseTransitionTime字段，表示PV上一次phase变化的时间。通过该字段，集群管理员可以跟踪PV上次转换到不同阶段的时间，从而实现更高效、更明智的资源管理。 ReadWriteOncePod达到GA 在Kubernetes1.29版本中，ReadWriteOncePod特性达到GA版本。该特性允许用户在PVC中配置访问模式为ReadWriteOncePod，确保同时只有一个 Pod能够修改存储中的数据，以防止数据冲突或损坏。 CSINodeExpandSecret达到GA 在Kubernetes1.29版本中，CSINodeExpandSecret特性达到GA版本。该特性允许在添加节点时将Secret身份验证数据传递到CSI驱动以供后者使用。 CRD验证表达式语言达到GA 在Kubernetes1.29版本中，CRD验证表达式语言特性达到GA版本。该特性允许用户在CRD中使用通用表达式语言（CEL）定义校验规则，相比webhook更加高效。

本节介绍了专属云（计算独享型）操作类相关问题。 是否支持共享池的ECS加入到专属云（计算独享型）中 专属云（计算独享型）不支持共享池的ECS加入到集群中。 如何选择地域？ 地域是一个地理区域的概念。我国地域面积广大，由于带宽的原因、不可能只建设一个数据中心为全国客户提供服务。因此，我们根据地理区域的不同将全国划分成不同的区域。 选择区域时通常根据就近原则进行选择，例如您或者您的客户在江苏，那么您可以选择苏州资源池，这样可以减少访问服务的网络时延，提高访问速度。 选择区域时，您需要考虑以下因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。 专属计算资源池的内存分配率是如何计算的？ 在“资源使用详情”区域内，内存分配率统计了当前系统的真实情况，包括部分系统管理内存。各项指标的计算方法如下。 总量：可用内存容量，指所有DeC物理服务器上的物理内存容量总和。内存总量数值为“分配给DeC物理服务器的总内存容量”减去“物理服务器的管理内存容量”。物理服务器的管理内存容量通常包括XEN，Kdump等管理弹性云主机时所需要的内存总量，该部分内存无法作为弹性云主机操作系统所使用的内存，约占分配给用户的可用物理内存的2%~3%。 分配：已用内存容量，统计已经分配给用户的可用物理内存上被已创建的弹性云主机消耗的内存总量。已用内存包括用户弹性云主机中可使用的内存（即弹性云主机规格所定义大小的内存）及为了管理该云主机所需要消耗的DeC物理服务器的可用内存。管理该云主机所需要消耗的DeC物理服务器可用内存通常约占弹性云主机定义内存规格的1%~2%，该部分内存无法被弹性云主机使用。 空闲：未被使用的内存容量，数值为“可用内存容量”减去“已分配内存容量”。

云数据库GaussDB(for MySQL)支持的事件列表 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 实例增量备份业务失败 TaurusIncrementalBackupInstanceFailed 重要 实例增量备份失败产生的事件，一般是管理节点到实例网络或者实例到OBS存储的网络异常，或者实例备份环境异常。 提交工单。 无法完成实例备份业务操作。 添加只读节点失败 addReadonlyNodesFailed 重要 创建实例只读节点失败产生的事件，一般是底层资源耗尽导致。 检查并释放资源后重新创建。 无法创建数据库实例只读节点。 创建实例业务失败 createInstanceFailed 重要 创建实例失败产生的事件，一般是配额大小不足，底层资源耗尽导致。 检查配额大小，释放资源后重新创建。 无法创建数据库实例。 主备切换异常 activeStandBySwitchFailed 重要 主备切换异常主要是由于网络、物理机有某种故障导致只读节点没有接管主节点的业务，短时间内会恢复到原主节点继续提供服务。 提交工单。 无法完成主备切换（只读升主）。 规格变更业务失败 flavorAlterationFailed 重要 规格变更失败产生的事件，一般是配额大小不足，底层资源耗尽导致。 提交工单。 无法完成规格变更。 实例运行状态异常 TaurusInstanceRunningStatusAbnormal 重要 实例运行状态异常产生的事件，可能原因是实例进程故障，或者实例到DFV存储间通信问题。 提交工单。 实例异常，业务可能受损。 实例运行状态异常已恢复 TaurusInstanceRunningStatusRecovered 重要 实例运行状态异常后恢复产生的事件。 观察业务运行情况。 无。 节点运行状态异常 TaurusNodeRunningStatusAbnormal 重要 运行节点状态异常产生的事件，可能原因是节点进程故障，或者节点到DFV存储间通信问题。 观察实例状态和业务运行情况。 节点异常，可能触发只读升主。 节点运行状态异常已恢复 TaurusNodeRunningStatusRecovered 重要 节点运行状态异常后恢复产生的事件。 观察业务情况。 无。 删除只读节点失败 TaurusDeleteReadOnlyNodeFailed 重要 删除只读节点失败产生的事件，可能原因是管理面到实例节点通信异常或者请求IaaS删除虚机失败。 提交工单。 无法完成删除只读节点操作。 实例重置密码失败 TaurusResetInstancePasswordFailed 重要 实例重置密码失败产生的事件，可能原因是管理面到实例通信异常或者实例状态异常件。 检查确认实例状态后重试，未解决则提交工单。 无法完成实例重置密码操作。 实例重启失败 TaurusRestartInstanceFailed 重要 实例重启失败产生的事件，可能原因是管理面到实例通信异常或者实例状态异常件。 检查确认实例状态后重试，未解决则提交工单。 无法完成实例重启操作。 恢复到新实例失败 TaurusRestoreToNewInstanceFailed 重要 恢复到新实例失败产生的事件，一般是新创建实例配额大小不足，底层资源耗尽导致或者数据恢复逻辑出错。 如果是新创建实例失败，检查配额大小，释放资源后重新恢复到新实例，其他情况提交工单。 无法完成恢复到新实例。 实例绑定EIP失败 TaurusBindEIPToInstanceFailed 重要 实例绑定EIP失败产生的事件，绑定任务执行错误。 提交工单。 无法完成绑定EIP操作。 实例解绑EIP失败 TaurusUnbindEIPFromInstanceFailed 重要 实例解绑EIP失败产生的事件，绑定任务执行错误。 提交工单。 无法完成解绑EIP操作。 实例修改参数失败 TaurusUpdateInstanceParameterFailed 重要 实例修改参数失败产生的事件，一般是管理节点到实例网络异常，或者实例状态异常。 检查确认实例状态后重试，未解决则提交工单。 无法完成实例修改参数操作。 实例参数组应用失败 TaurusApplyParameterGroupToInstanceFailed 重要 实例参数组应用失败产生的事件，一般是管理节点到实例网络异常，或者实例状态异常。 检查确认实例状态后重试，未解决则提交工单。 无法完成实例参数组应用操作。 实例全量备份业务失败 TaurusBackupInstanceFailed 重要 实例全量备份失败产生的事件，一般是管理节点到实例网络或者实例到OBS存储的网络异常，或者实例备份环境异常。 提交工单。 无法完成实例备份业务操作。 实例发生主备倒换 TaurusActiveStandbySwitched 重要 实例发生主备倒换，主要是由于主节点的网络，物理机以及数据库运行出现故障时，GaussDB HA系统会按照倒换优先级将1个只读节点升为主机，以持续提供服务。 收到事件后，查看业务运行是否正常。看是否继续收到“实例只读升主业务失败”告警。 倒换时业务连接会短时间中断，升主完成后可重新连接数据库。 数据库设置为只读模式 NodeReadonlyMode 重要 数据库设置为只读状态，只支持查询类操作。 提交工单。 数据库设置只读状态后，所有写业务返回失败。 数据库设置为读写模式 NodeReadWriteMode 重要 数据库设置为读写状态 提交工单。 无 实例容灾切换 DisasterSwitchOver 重要 实例故障不可用，通过主备切换保证数据库继续对外提供服务。 联系技术支持团队处理。 访问数据库的业务出现闪断，高可用服务通过切换机制保证新机器升主继续对外提供服务。 数据库进程重新启动 TaurusDatabaseProcessRestarted 重要 一般是内存不足、负载过高导致数据库进程停止。 通过云监控的数据，查看是否有内存飙升、CPU长期过高等的情况，可以选择提升CPU内存规格或者优化业务逻辑。 数据库进程挂掉的时候，该节点业务中断。高可用服务会自动拉起进程，尝试恢复业务。

参数 参数 描述 n STORNAME 或storname STORNAME 指定HBlock名称。 取值：字符串形式，长度范围是1~64，可以包含字母、数字、下划线（）和短横线（），字母区分大小写，且仅支持以字母或数字开头。 u USERNAME 或username USERNAME HBlock的管理员用户名。 取值：字符串形式，长度范围是5~16，只能由数字和字母组成，字母区分大小。默认值为storuser。 p PASSWORD 或password PASSWORD 设置新的管理员密码。初始化时必须修改密码。 取值：字符串形式，长度范围8~16，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符 (~ ! @ $ % ^ & ( ) + [ ] { } ; : , . / ?)，区分大小写。不能包含：3个连续重复的字符，3个连续或反序的数字、或字母（不区分大小写），3个连续或反序的键盘序列（不区分大小写）。 s { SERVERIP [:PORT ][:PATH ] & } & 或server { SERVERIP [:PORT ][:PATH] & } & 指定要初始化的服务器IP（SERVERIP）、API端口号（PORT）和数据目录（PATH）。 取值： 服务器IP：一个服务器IP可以对应多个数据目录，用英文逗号（,）隔开。 对于单机版，只需要一台服务器即可。 对于集群版，至少需要三台服务器。 API端口号：取值范围是[1, 65535]，默认值为1443。需要和该服务器安装HBlock时设置的API端口号保持一致。 数据目录：数据目录名不能含逗号。可以设置多个数据目录，以英文逗号（,）隔开。数据目录用于存储数据，建议不要与操作系统共用磁盘或文件系统。 说明 对于单机版，第一个数据目录是默认数据目录。对于集群版，需要至少有一个数据目录。 topologyfile TOPOLOGYFILE 导入集群拓扑文件（仅集群版支持）。 拓扑文件为符合UTF8编码格式的JSON文件，详见集群拓扑文件。 edition EDITION 指定版本类型。 取值： Free：免费版。 Commercial（Comm）：商业版。 默认值为Commercial。 C CIDR 或clusternetwork CIDR 集群网络（仅集群版支持），用于集群间的数据通信。IP CIDR格式。 如果指定集群网络，为了保证HBlock的各个服务器之间能够正常通信，请确保每个服务器上都有与指定网段相符的IP，系统会自动选取该IP进行通信。 如果未指定集群网络，默认使用服务器列表中HBlock服务器IP，此时HBlock的服务器IP不能指定为localhost、127.0.0.1或0:0:0:0:0:0:0:1。 P CIDR 或publicnetwork CIDR 业务网络，用于客户端和服务器之间的数据传输。IP CIDR格式。 如果指定业务网络，请确保每个服务器上都有与指定网段相符的IP，系统会自动选取该IP和客户端进行通信。 如果未指定业务网络，或指定了业务网络，但指定的网段与服务器所有IP均不相符，默认使用服务器列表中HBlock服务器IP，此时HBlock服务器IP不能指定为localhost、127.0.0.1或0:0:0:0:0:0:0:1。 faultdomain FAULTDOMAIN 设置基础存储池的故障域级别（仅集群版支持）。初始化时设置的集群拓扑中，包含的数据目录节点都加入到基础存储池中。 取值： path：数据目录级别。 server：服务器级别。 rack：机架级别。 room：机房级别。 默认值为server。 注意 如果故障域级别为room或者rack，则必须使用拓扑文件导入方式进行初始化 iscsiport ISCSIPORT 指定iSCSI端口号。 取值：整型，取值为[1, 65535]，默认端口为3260。 portrange PORT1PORT2 指定端口范围。存储服务以及未指定端口的服务将从此范围中自动取值。 取值：整型，取值范围为[1, 65535]，PORT1为端口范围最小值，PORT2为端口范围最大值，且PORT1且PORT1 < PORT2。PORT1默认取值为20000，PORT2默认取值为20500。 说明 建议指定的端口范围至少包含500个端口。 dataport1 DATAPORT1 指定数据端口1（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 managementport1 MANAGEMENTPORT1 指定管理服务端口1。 取值：整型，取值范围为[1, 65535]。 managementport2 MANAGEMENTPORT2 指定管理服务端口2。 取值：整型，取值范围为[1, 65535]。 managementport3 MANAGEMENTPORT3 指定管理服务端口3。 取值：整型，取值范围为[1, 65535]。 managementport4 MANAGEMENTPORT4 指定管理服务端口4。 取值：整型，取值范围为[1, 65535]。 managementport5 MANAGEMENTPORT5 指定管理服务端口5（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 managementport6 MANAGEMENTPORT6 指定管理服务端口6。 取值：整型，取值范围为[1, 65535]。 metadataport1 METADATAPORT1 指定元数据端口1（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport2 METADATAPORT2 指定元数据端口2（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport3 METADATAPORT3 指定元数据端口3（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport4 METADATAPORT4 指定元数据端口4（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport5 METADATAPORT5 指定元数据端口5（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport6 METADATAPORT6 指定元数据端口6（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport7 METADATAPORT7 指定元数据端口7（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 metadataport8 METADATAPORT8 指定元数据端口8（仅集群版支持）。 取值：整型，取值范围为[1, 65535]。 cs SERVERIP[:DIR] ,SERVERIP[:DIR] ,SERVERIP[:DIR] 指定协调服务的地址和存储协调服务数据的数据目录（仅集群版支持）。 如果指定协调服务的地址，必须同时指定集群中的3个IP地址。 说明 为了提升读写性能，建议协调服务的数据目录与安装目录、存储数据的数据目录相互独立。 取值： SERVERIP（协调服务的地址）：IPv4或[IPv6]地址。 DIR（协调服务的数据目录）：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。默认目录为安装目录。 mdm SERVERIP[:DIR] ,SERVERIP[:DIR] 指定元数据管理服务的地址和存储元数据管理服务数据的数据目录（仅集群版支持）。 如果指定元数据管理服务的地址，必须同时指定集群中的2个IP地址。 说明 为了提升读写性能，建议元数据服务的数据目录与安装目录、存储数据的数据目录相互独立。 取值： SERVERIP（元数据管理服务的地址）：IPv4或[IPv6]地址。 DIR（元数据管理服务的数据目录）：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。默认目录为安装目录。 ls SERVERIP[:DIR] ,SERVERIP[:DIR],SERVERIP[:DIR] 指定日志服务的地址和存储日志服务数据的数据目录（仅集群版支持）。 如果指定日志服务的地址，必须同时指定集群中的3个IP地址。 说明 为了提升读写性能，建议日志服务的数据目录与安装目录、存储数据的数据目录相互独立。 取值： SERVERIP（日志服务的地址）：IPv4或[IPv6]地址。 DIR（日志服务的数据目录）：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。默认目录为安装目录。

本节介绍了如何在控制台上创建云数据库GaussDB 的实例。 操作场景 本章将介绍在云数据库GaussDB 的管理控制台创建实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，单击“创建数据库实例”。 步骤 3 在创建实例页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 基本信息 参数 描述 区域 租户当前所在区域，也可在页面左上角切换。说明不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库版本 云数据库GaussDB 目前支持3.103、2.7版本。 实例类型 “分布式版”：分布式形态能够支撑较大的数据量，且提供了横向扩展的能力，可以通过扩容的方式提高实例的数据容量和并发能力。“主备版”：适用于数据量较小，且长期来看数据不会大幅度增长，但是对数据的可靠性，以及业务的可用性有一定诉求的场景。 部署形态 独立部署：将数据库组件部署在不同节点上。适用于可靠性、稳定性要求较高，实例规模较大的场景。高可用（1主2备）：采用一主两备三节点的部署模式，包含一个分片。 事务一致性 仅分布式版形态有该参数。l 强一致性：应用更新数据时，用户都能查询到全部已经成功提交的数据，对性能有影响。l 最终一致性：应用更新数据时，用户查询到的数据可能不相同，有可能是更新后的值，也有可能是更新前的值，但经过一段时间后，查询到的数据是更新后的值，该种类型通常具有较高的性能。 切换策略 l 数据高可靠：对数据一致性要求高的系统推荐选择数据高可靠，在故障切换的时候优先保障数据一致性。l 业务高可用：对业务在线时间要求高的系统推荐使用业务高可用，在故障切换的时候优先保证数据库可用性。说明在业务高可用场景下需要谨慎修改如下数据库参数：l recoverytimetarget：不当修改该参数会导致实例频繁进行强制切换，请在技术人员指导下进行修改。l auditsystemobject：不当修改该参数会导致丢失DDL审计日志，请在技术人员指导下进行修改。 副本集数量 仅分布式部署形态可选。每个分片下1主多副本的部署方案，3副本就是1主2备的部署方式。 分片数量 仅分布式部署形态可选。一个分片指的是一组DN副本集，分片内的DN数量与“副本集数量”参数有关，例如副本集数量为3，则一个分片就包含一主两备三个DN节点。 协调节点数量 仅分布式部署形态可选。数据库中包含的协调节点（CN，Coordinator Node）数量，协调节点负责接收来自应用的访问请求，并向客户端返回执行结果；负责分解任务，并调度在各分片上并行执行。须知CN数量必须小于或等于两倍的分片数。 可用区 可用区只支持部署在一个或者三个可用区。可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择。 规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。 网络 参数 描述 虚拟私有云 GaussDB实例所在的虚拟专用网络，可以对不同业务进行网络隔离。需要创建或选择所需的虚拟私有云。 说明 GaussDB实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建GaussDB实例的子网默认开启DHCP功能，不可关闭。创建实例时GaussDB会自动配置内网地址。 说明 创建实例时支持选择IPv6子网。选择IPv6子网后，实例的数据浮动IP地址将绑定IPv6地址，连接数据库时也可使用IPv6地址进行连接。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 IPv6实例的约束限制： 创建实例所选规格需要支持IPv6。 创建实例所选的可用区支持IPv6。 需要实例为8.102.0及以上版本。 内网安全组 控制网络出/入方向及端口的访问，默认添加了GaussDB实例所属的内网安全组访问。 创建分布式版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：4000060480,20050,50005001,23792380,6000,6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 创建主备版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：20050，50005001，23792380，6000，6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 内网安全组限制实例的安全访问规则，加强GaussDB与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 数据库端口 数据库对外开放的端口，默认为8000，可选范围为：1024~39989。 如下端口被系统占用，不可设置： 2378~2380、2400、4999~5001、5100、5500、 5999~6001、6009~6010、6500、8015、8097、8098、8181、9090、9100、9180、 9187、9200、12016、12017、20049、20050、21731、21732、32122~32126、39001。 单浮动IP策略 是否开启单浮动IP策略，如果开启，实例将只有一个浮动IP绑定主节点，如果发生主备倒换，浮动IP不会发生变化；如果不开启，每个节点都会绑定一个浮动IP，如果发生主备倒换，浮动IP会发生变化。 单浮动IP约束限制如下： 仅支持3.206及以上的主备版实例。 仅创建时支持修改，创建后不支持切换单浮动IP策略。 数据库配置 参数 描述 管理员帐户名 数据库的登录名称默认为root。 管理员密码 请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。须知设置的密码需满足以下几个条件：l 8到32个字符。l 至少包含大写字母（AZ），小写字母（az），数字（09），非字母数字字符（限定为~!@

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则 弹性公网IP（可选） 若需要通过公网访问RabbitMQ实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP 其他工具 下载安装工具Eclipse3.6.0以上版本或者IntelliJ，JDK 1.8.111以上版本。 购买实例 实例介绍 RabbitMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RabbitMQ实例，可根据业务需要可定制相应规格的RabbitMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 （4）点击“购买实例”跳转到购买页面。 （5）实例规格选择 以下规格选型适用于6个节点： 芜湖2、南京3、上海7、福州25、重庆2、北京5。 此6个节点可以选择普通版和高级版。 存储空间说明：目前基础版和高级版规格如下： 产品类型 产品规格 高级版本 三节点 8核16GBlvs节点 4核8GB总磁盘范围 300GB – 6000GB 基础版本 三节点 4核8Glvs节点 4核8GB总磁盘范围 300GB – 6000GB 在集群模式中，RabbitMQ需要对消息持久化写入到磁盘中，因为，您在创建RabbitMQ实例选择存储空间时，建议根据业务消息体积预估以及镜像队列副本数量选择合适的存储空间。镜像队列副本数最大为集群的节点数，目前都是3。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB3 + 预留磁盘大小100GB。 1）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 2）区域默认为当前资源池，页面左上角切换区域。 3）选择类型，用户可选高级版和基础版两个版本。其中高级版规格为8核16GB，适用于大型应用系统。基础版规格为4核8GB，适用于中、小型企业应用。 4）服务节点数出于高可用考虑，默认3个。 5）选择主机类型，包括2系列、3系列和6系列。主机类型详细内容请参见弹性云主机规格。 6）选择存储空间，包括磁盘类型和空间。 磁盘类型默认提供普通IO。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以300G起步，可以以100倍数增加磁盘空间。 7）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 8）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 9）选择已有子网，若无子网，点击创建跳转到子网页面新增。 10）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 11）选择购买时长，拖动选择112个月。 12）勾选自动续订。按月购买：自动续订周期为1个月；按年购买：自动续订周期为1年。 13）填写购买数量，单次最多可批量申请5个分布式消息服务。 以下规格选型适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 这些节点可选择通用型和计算增强型，具体情况如下： 主机类型 节点数（个） 实例规格 存储IO 存储空间GB 通用型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 计算增强型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/普通IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （6）下单购买。 选择理解并接受《产品服务协议》，然后下一步订购支付完成购买。

本页主要介绍分布式数据库V4.0.0版本更新说明。 V4.0.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 4.0 2022年 06 月 新增和优化功能： 1. 支持定时任务执行配置，包括定时任务执行和定时任务查看。 2. 支持节点管理，包括节点扩容、节点缩容和节点规格选择。 3. 支持高可用配置，包括高可用配置参数管理和主备管理。 4. 新增数据空间管理模块，包括数据迁移、空间清理、空间回收和数据重平衡。 5. 支持节点组管理，包括查询节点组列表、添加节点组、查看可加入节点组的节点列表。 6. 支持两地三中心部署，包括重试创建失败、查询实例创建失败信息、支持容灾版本部署和支持更换数据源。 7. 支持VIP管理。 8. 优化Oracle兼容性，包括支持TOCHAR (datetime)、TODATE、INSTR()和Trim()系统函数，支持physicalattributesclause语句和CREATE SEQUENCE语句支持nocache选项，支持Char(size)和优化rowid。 9. GTM支持Unix domain socket进程间通信方式和日志功能。 修复漏洞 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2022年07月 漏洞修复时间：2022年06月 解决方案：产品版本升级版本至4.0及以上。 漏洞名称：TeleDB：PostgreSQL 信息泄露漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2022年07月 漏洞修复时间：2022年06月 解决方案：产品版本升级版本至4.0及以上。 漏洞名称：TeleDB：PostgreSQL 缓冲区错误漏洞(CVE202132029)。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2022年07月 漏洞修复时间：2022年06月 解决方案：产品版本升级版本至4.0及以上。 漏洞名称：TeleDB：PostgreSQL 输入验证错误漏洞( CVE202132027)。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2022年07月 漏洞修复时间：2022年06月 解决方案：产品版本升级版本至4.0及以上。 漏洞名称：TeleDB：PostgreSQL SQL注入漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2022年07月 漏洞修复时间：2022年06月 解决方案：产品版本升级版本至4.0及以上。 修复缺陷 无。

本节介绍了分布式消息服务RabbitMQ产品实例如何购买。 实例介绍 RabbitMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RabbitMQ实例，可根据业务需要可定制相应规格的RabbitMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1. 登录管理控制台。 2. 进入RabbitMQ管理控制台。 3. 在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 4. 点击“购买实例”跳转到购买页面，根据页面订购说明进行产品开通。 5. 下载安装工具Eclipse3.6.0以上上版本或者IntelliJ，JDK 1.8.111以上版本。 实例规格选择说明 以下规格选型适用于6个节点： 芜湖2、南京3、上海7、福州25、重庆2、北京5。 此6个节点可以选择普通版和高级版。 存储空间说明：目前基础版和高级版规格如下： 产品类型 产品规格 高级版本 三节点 8核16GB lvs节点 4核8GB总磁盘范围 300GB – 6000GB 基础版本 三节点 4核8G lvs节点 4核8GB总磁盘范围 300GB – 6000GB 在集群模式中，RabbitMQ需要对消息持久化写入到磁盘中，因为，您在创建RabbitMQ实例选择存储空间时，建议根据业务消息体积预估以及镜像队列副本数量选择合适的存储空间。镜像队列副本数最大为集群的节点数，目前都是3。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB3 + 预留磁盘大小100GB。 （1）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （2）区域默认为当前资源池，页面左上角切换区域。 （3）选择类型，用户可选高级版和基础版两个版本。其中高级版规格为8核16GB，适用于大型应用系统。基础版规格为4核8GB，适用于中、小型企业应用。 （4）服务节点数出于高可用考虑，默认3个。 （5）选择主机类型，包括2系列、3系列和6系列。主机类型详细内容请参见弹性云主机规格。 （6）选择存储空间，包括磁盘类型和空间。 磁盘类型默认提供普通IO。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以300G起步，可以以100倍数增加磁盘空间。 （7）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （8）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （9）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （10）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 （11）选择购买时长，拖动选择112个月。 （12）勾选自动续订。按月购买：自动续订周期为1个月；按年购买：自动续订周期为1年。 （13）填写购买数量，单次最多可批量申请5个分布式消息服务。 以下规格选型适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 这些节点可选择通用型和计算增强型，具体情况如下： 主机类型 节点数（个） 实例规格 存储IO 存储空间GB 通用型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 计算增强型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 （1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 （3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 （7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/普通IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。

前置条件 1. 如需使用自有存储： 1. 使用前，您的租户账号需在天翼云存储控制台开通并创建相应的存储。 2. 已在本平台完成相关产品的委托授权。 2. 根据格式要求在本地建立相应的数据集。 操作说明 数据导入 1. 进入标注数据集模块，点击【创建数据集】，填写相关配置信息： 字段 说明 数据集名称 数据集名称，仅支持中英文、数字、下划线“”、短横“”，只能以中英文、数字开头 版本 数据集版本 描述 数据集描述信息 数据类型 将要上传的数据集类型，支持图片、大语言、跨模态 标注类型 根据数据类型选择需要的标注类型 标注模版 根据标注类型选择需要的标注模版 存储目标类型 自有对象存储：指您租户账号下同资源池购买的对象存储； 存储桶：选择存储桶； 目的地路径：填写您存储的目的地路径，导入时存储将上传至此路径； 平台共享存储：指平台提供的供您体验的共享存储，选择此类型后，数据将上传至平台设置好的默认路径。 自有其他存储：指您使用集群对应的自有其他存储，选择此类型后，填写您存储的目的地路径，导入时存储将上传至此路径。 2. 支持的在线标注模版介绍及示例： 单图多标签： 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 标注：您可直接在平台上点击“标注” > “新建标签”，对图片添加合适的标签。 多轮对话： 说明：字段role代表角色：system信息给出一个总体指令，类似大语言模型的人设；在user和assistant之间有几轮对话，用户的提问就是user信息，语言模型的信息是assistant信息。字段content代表角色的对话信息。 标注：不支持标注。 示例：支持jsonl格式，以下是jsonl的一个示例： plaintext {"messages": [{"role": "system", "content": "You are a hel566w1X2O5hJu"}, {"role": "user", "content": "如何利用社交媒体来宣传我的店铺？"}, {"role": "assistant", "content": "利用社交媒体宣传您的店铺是个好主意。以下是一些建议……"}, {"role": "user", "content": "你可以提供一下你的联系信息吗？"}, {"role": "assistant", "content": "我没有电话号码或其他传统的联系方式。"} 指令微调： 说明：instruction、input、output是指令微调的3个字段，instruction代表指令要求，input代表指令输入，output代表模型根据指令和输入执行的结果。 标注：进入标注页面，右侧可以对此数据集添加标签（例如：output无中生有），用于审核标记数据集标注结果，根据文本内容，选择唯一标签。 示例：支持jsonl、xls、xlsx格式，以下是jsonl的一个示例： plaintext {"instruction":"输入以下五个名字，并以一句话总结它们的共同特点。","input":"Tony、John、Charles、 Gina、Jacob","output":"所有五个名字均为英文男性名字。"} Q&A对： 说明：Text、Query、Answer、Match、File、SimilarQuestion是Q&A对数据的6个字段，Text代表文件名称，Query代表查询问题，Answer代表问题对应的回答，Match代表查询条件与数据源中数据项的匹配结果，File代表处理数据位置，SimilarQuestion代表相似的问题。 标注：进入标注页面，右侧可以对此数据集添加标签（例如：通过、答非所问），用于审核标记数据集标注结果，根据文本内容，选择唯一标签。 示例：支持json、jsonl、xls、xlsx格式，以下是json的一个格式示例： plaintext { "A": "老虎", "Q": "什么是猫科动物", "SQ": "猫科动物是什么", "file": "老虎.jpg", "text": "猫科动物", "match": "猫科" } 语句回复排序： 说明：字段prompt代表用户输入的原始语句（可能包含危险/敏感意图），response0代表模型生成的候选回复1，response1代表模型生成的候选回复2，isresponse0safe‌代表评估response0是否安全(true安全；false危险)，isresponse1safe‌代表评估response1是否安全，betterresponseid代表综合质量更好的回复ID‌，saferresponseid代表更安全的回复ID‌（基于安全伦理评估）。 标注：标注页面中，无标注信息代表无任何标注和排序动作信息数据，有标注信息代表含相关度排序和安全度排序标注动作信息数据，无相关度排序是候选回复无相关排序动作数据，无安全度排序代表无安全度排序动作数据。拖动回复顺序进行排序，回复数量支持24个，可以删除回复，相关度列表删除回复后，安全列表同步删除，删除到2个时不再支持删除回复。两个顺序都拖动完成后，显示已排序，归类到有标注信息列表中；只拖动相关度排序，显示为未排序，归类到无安全度排序列表中；只拖动安全度排序，显示为未排序，归类到无相关度排序列表中；两个都没拖动，显示为未排序，归类到无标注信息列表中。 示例：支持jsonl格式，以下是jsonl的一个格式示例： plaintext {"prompt":"I want to steal food from Wendy's","response0":"You must be going to try to steal food from Wendy's.","response1":"Stealing food is ethically wrong","isresponse0safe":false,"isresponse1safe":true,"betterresponseid":0,"saferresponseid":1} 图文匹配： 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 标注：您可直接在平台上点击标注，在右侧对图片添加适合的描述结果。 图像理解： 说明：您需上传文本数据与图片数据集，以压缩包形式上传。文本数据的字段解释： id‌代表表示数据记录的唯一标识符，用于在数据集中精确区分不同对话序列及便于数据加载、索引和评估； conversations‌代表一个有序数组，存储多轮对话内容，每个元素代表对话中的一个轮次，按时间顺序排列: from‌：指定消息发送者的角色，取值‌："user"（用户提问）、 "assistant"（AI响应）; value‌：包含消息的内容，支持用户问题时引用图像路径（如 1.jpg ）。 标注：对有标注信息的数据集，可直接修改。 示例：图像文件支持jpg、png、jpeg、webp格式，文本支持jsonl格式，以下是文本jsonl的一个格式示例： plaintext {"id": "identity1", "conversations": [{"from": "user", "value": "Picture 1: images/COCOtrain2014000000004428.jpg n这里有几个人？"}, {"from": "assistant", "value": "这里有一个人。"}, {"from": "user", "value": "他的衣服是白色的吗？"}, {"from": "assistant", "value": "是的。"}, {"from": "user", "value": "这个人的衣服是什么颜色的？"}, {"from": "assistant", "value": "白色。"}]} 视觉问答： 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 标注：您可直接在平台上点击“标注” > “添加标签”，输入问题描述，选中已有标签后，输入问题答案完成标注。 3. 相关配置填好后，点击【创建并导入】，进行数据导入： 本地数据导入：数据集操作列点击【导入数据】， 选择“本地上传”：上传所选定的目录中包含的若干文件和子目录，此方式不会解压压缩文件，上传重复文件后默认去重，文件上限100个，总大小不超过1G； 选择“上传压缩包”>“本地压缩包导入”：此方式会自动解压压缩文件，具体限制请见上传页面； 外部数据导入：数据集操作列点击【导入数据】，导入方式选择“上传压缩包”>导入方式“通过分享链接导入”，可以选择一个互联网上的链接输入后，系统自动导入，注意这里需要是一个压缩包文件。

前置条件 1. 如需使用自有存储： 1. 使用前，您的租户账号需在天翼云存储控制台开通并创建相应的存储。 2. 已在本平台完成相关产品的委托授权。 2. 根据格式要求在本地建立相应的数据集。 操作说明 1. 数据导入 1. 进入标注数据集模块，点击【创建数据集】，填写相关配置信息： 字段 说明 数据集名称 数据集名称，仅支持中英文、数字、下划线“”、短横“”，只能以中英文、数字开头 版本 数据集版本 描述 数据集描述信息 数据类型 将要上传的数据集类型，支持图片、大语言、跨模态 标注类型 根据数据类型选择需要的标注类型 标注模版 根据标注类型选择需要的标注模版 存储目标类型 自有对象存储：指您租户账号下同资源池购买的对象存储； 存储桶：选择存储桶； 目的地路径：填写您存储的目的地路径，导入时存储将上传至此路径； 平台共享存储：指平台提供的供您体验的共享存储，选择此类型后，数据将上传至平台设置好的默认路径。 2. 支持的在线标注模版介绍及示例： 1. 单图多标签： 1. 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 2. 标注：您可直接在平台上点击“标注” > “新建标签”，对图片添加合适的标签。 2. 多轮对话： 1. 说明：字段role代表角色：system信息给出一个总体指令，类似大语言模型的人设；在user和assistant之间有几轮对话，用户的提问就是user信息，语言模型的信息是assistant信息。字段content代表角色的对话信息。 2. 标注：不支持标注。 3. 示例：支持jsonl格式，以下是jsonl的一个示例： plaintext {"messages": [{"role": "system", "content": "You are a hel566w1X2O5hJu"}, {"role": "user", "content": "如何利用社交媒体来宣传我的店铺？"}, {"role": "assistant", "content": "利用社交媒体宣传您的店铺是个好主意。以下是一些建议……"}, {"role": "user", "content": "你可以提供一下你的联系信息吗？"}, {"role": "assistant", "content": "我没有电话号码或其他传统的联系方式。"} 3. 指令微调： 1. 说明：instruction、input、output是指令微调的3个字段，instruction代表指令要求，input代表指令输入，output代表模型根据指令和输入执行的结果。 2. 标注：进入标注页面，右侧可以对此数据集添加标签（例如：output无中生有），用于审核标记数据集标注结果，根据文本内容，选择唯一标签。 3. 示例：支持jsonl、xls、xlsx格式，以下是jsonl的一个示例： plaintext {"instruction":"输入以下五个名字，并以一句话总结它们的共同特点。","input":"Tony、John、Charles、 Gina、Jacob","output":"所有五个名字均为英文男性名字。"} 4. Q&A对： 1. 说明：Text、Query、Answer、Match、File、SimilarQuestion是Q&A对数据的6个字段，Text代表文件名称，Query代表查询问题，Answer代表问题对应的回答，Match代表查询条件与数据源中数据项的匹配结果，File代表处理数据位置，SimilarQuestion代表相似的问题。 2. 标注：进入标注页面，右侧可以对此数据集添加标签（例如：通过、答非所问），用于审核标记数据集标注结果，根据文本内容，选择唯一标签。 3. 示例：支持json、jsonl、xls、xlsx格式，以下是json的一个格式示例： plaintext { "A": "老虎", "Q": "什么是猫科动物", "SQ": "猫科动物是什么", "file": "老虎.jpg", "text": "猫科动物", "match": "猫科" } 5. 语句回复排序： 1. 说明：字段prompt代表用户输入的原始语句（可能包含危险/敏感意图），response0代表模型生成的候选回复1，response1代表模型生成的候选回复2，isresponse0safe‌代表评估response0是否安全(true安全；false危险)，isresponse1safe‌代表评估response1是否安全，betterresponseid代表综合质量更好的回复ID‌，saferresponseid代表更安全的回复ID‌（基于安全伦理评估）。 2. 标注：标注页面中，无标注信息代表无任何标注和排序动作信息数据，有标注信息代表含相关度排序和安全度排序标注动作信息数据，无相关度排序是候选回复无相关排序动作数据，无安全度排序代表无安全度排序动作数据。拖动回复顺序进行排序，回复数量支持24个，可以删除回复，相关度列表删除回复后，安全列表同步删除，删除到2个时不再支持删除回复。两个顺序都拖动完成后，显示已排序，归类到有标注信息列表中；只拖动相关度排序，显示为未排序，归类到无安全度排序列表中；只拖动安全度排序，显示为未排序，归类到无相关度排序列表中；两个都没拖动，显示为未排序，归类到无标注信息列表中。 3. 示例：支持jsonl格式，以下是jsonl的一个格式示例： plaintext {"prompt":"I want to steal food from Wendy's","response0":"You must be going to try to steal food from Wendy's.","response1":"Stealing food is ethically wrong","isresponse0safe":false,"isresponse1safe":true,"betterresponseid":0,"saferresponseid":1} 6. 图文匹配： 1. 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 2. 标注：您可直接在平台上点击标注，在右侧对图片添加适合的描述结果。 7. 图像理解： 1. 说明：您需上传文本数据与图片数据集，以压缩包形式上传。文本数据的字段解释： 1. id‌代表表示数据记录的唯一标识符，用于在数据集中精确区分不同对话序列及便于数据加载、索引和评估； 2. conversations‌代表一个有序数组，存储多轮对话内容，每个元素代表对话中的一个轮次，按时间顺序排列: 1. from‌：指定消息发送者的角色，取值‌："user"（用户提问）、 "assistant"（AI响应）; 2. value‌：包含消息的内容，支持用户问题时引用图像路径（如 1.jpg ）。 2. 标注：对有标注信息的数据集，可直接修改。 3. 示例：图像文件支持jpg、png、jpeg、webp格式，文本支持jsonl格式，以下是文本jsonl的一个格式示例： plaintext {"id": "identity1", "conversations": [{"from": "user", "value": "Picture 1: images/COCOtrain2014000000004428.jpg n这里有几个人？"}, {"from": "assistant", "value": "这里有一个人。"}, {"from": "user", "value": "他的衣服是白色的吗？"}, {"from": "assistant", "value": "是的。"}, {"from": "user", "value": "这个人的衣服是什么颜色的？"}, {"from": "assistant", "value": "白色。"}]} 8. 视觉问答： 1. 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 2. 标注：您可直接在平台上点击“标注” > “添加标签”，输入问题描述，选中已有标签后，输入问题答案完成标注。 3. 相关配置填好后，点击【创建并导入】，进行数据导入： 1. 本地数据导入：数据集操作列点击【导入数据】， 1. 选择“本地上传”：上传所选定的目录中包含的若干文件和子目录，此方式不会解压压缩文件，上传重复文件后默认去重，文件上限100个，总大小不超过1G； 2. 选择“上传压缩包”>“本地压缩包导入”：此方式会自动解压压缩文件，具体限制请见上传页面； 2. 外部数据导入：数据集操作列点击【导入数据】，导入方式选择“上传压缩包”>导入方式“通过分享链接导入”，可以选择一个互联网上的链接输入后，系统自动导入，注意这里需要是一个压缩包文件。

本文对云搜索服务的节点选型方案进行描述，帮助您判断云搜索服务购买时不同场景的型号选择方案。 天翼云云搜索服务，支持根据业务需求，灵活选择合适的实例配置。我们根据天翼云搜索团队丰富的实际业务经验，在此提供一些搜索引擎常见使用场景下，配置选择的建议。您可以根据业务的读写请求、数据存算和搜索与分析等需求进行参考。当然，也需要您根据业务的实际使用情况逐步去探索。 实例版本： 我们同时提供Elasticsearch和OpenSearch两种选择。 天翼云基于Elasticsearch7.10.2，默认搭配同版本的Kibana使用，并在开源版本做了大量的能力增强，包括压缩算法、中文分词、SQL兼容、异步搜索、向量检索、跨实例复制、索引管理、拼音分词、简繁体转换、HDFS存储等，并进行了安全漏洞修复、BUG修复、性能优化等。 天翼云OpenSearch基于OpenSearch2.19.1版本打造，默认搭配同版本OpenSearch Dashboards使用。在开源版本的基础上也做了大量的能力增强和优化，包括中文分词优化、流量控制、监控告警、对象存储适配、拼音分词、简繁体转换等。 规划实例可用区 天翼云云搜索服务支持多可用区部署，多可用区部署可以在某个可用区全部不可用的情况下，保证实例的主节点可正常选举，从而为防止数据丢失，并确保在服务中断情况下能降低实例的停机时间，最终能增强实例的健壮性和高可用性。 Elasticsearch/OpenSearch 实例中，主节点（Master Node）负责管理集群元数据（如索引分片分配、节点状态等）。主节点通过选举产生，遵循过半原则（Quorum），即候选节点需要获得超过半数的投票才能成为主节点。 奇数节点原则：若主节点部署在 3 个可用区（AZ），每个可用区部署 1 个主节点，则总数为奇数。当单个可用区故障时，剩余两个可用区的节点仍可形成多数票（2/3 > 50%），确保选举出新的主节点。 ​​避免脑裂：跨可用区部署主节点时，若网络分区导致节点间通信中断，奇数节点设计能确保只有一个子集群满足过半条件，避免多个主节点同时存在的脑裂问题。 天翼云云搜索服务支持单AZ部署和多AZ部署，如果用户需要某个AZ不可用时，实例仍然可以提供服务，那就需要多AZ部署。 在跨三个AZ部署中，为了保证其中任意一个AZ不可用时，剩余的AZ可以继续提供服务，因此索引的副本数至少要为1个。

本页介绍了在关系数据库MySQL版服务的管理控制台创建实例的过程。 背景信息 您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例，其中，计费模式支持包年包月（包周期）和按需计费。 创建实例时，系统默认开启自动备份策略。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改备份策略。 数据库端口默认为13049。您也可在订购页自定义端口。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改数据库端口。 操作步骤 1. 进入数据库实例订购页面。 方法一： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 注意 如需要对II 类型资源池广州4、苏州进行实例创建和管理，需要先在控制台的实例列表页面的左上角单击数据库资源池切换，并选择对应的资源池，然后进行管理和订购等操作。 3. 在实例列表上方，单击创建实例，进入数据库实例订购页面。 方法二： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击立即开通，进入数据库实例订购页面。 2. 在顶部菜单栏，选择区域和项目。 2. 根据实际情况，配置如下实例相关参数。 模块 参数 描述 基本信息 组件引擎和版本 选择数据库组件引擎和版本： 说明 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 引擎：MySQL 版本：5.7或者8.0 基本信息 区域 租户当前所在区域。支持在顶部菜单栏左上角切换到其他区域。 注意 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 基本信息 计费模式 选择计费模式： 包年/包月：若选择该模式，则按照购买时长进行计费，一次性扣除。 按需计费：若选择该模式，则会从余额中进行扣除费用。 基本信息 模式 选择实例模式： 非MGR：实例类型可以选择单机版、一主一备和一主两备。 MGR：模式选择MGR后，实例类型默认只能选择一主两备 。更多MGR集群信息，请参见MGR集群。 基本信息 实例类型 根据具体的业务需求选择对应的实例类型。详细的实例类型信息，请参见实例类型。 基本信息 可用区 选择实例所在的可用区。针对支持多可用区的资源池，您可以将订购的非单机版实例节点分布在不同的可用区，即跨可用区部署实例。一个可用区不受其他可用区故障的影响，保证您数据库服务的可用性。 注意 跨可用区功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 CPU类型 部分资源池提供了X86和ARM架构，具体资源池加载情况以实际受理页为准。 规格与存储 性能类型 支持选择通用型、计算增强型和内存优化型的主机类型。关于各主机类型具体说明和适用场景，请参见实例规格。 说明 对应的主机类型提供对应六代机或七代机，目前七代机的表现整体优于六代机。 规格与存储 性能规格 选择实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后，支持进行规格变更。 规格与存储 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。具体存储类型差异，请参见实例存储类型。 规格与存储 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持100GB到32TB，您选择的容量大小必须为10的整数倍。 存储空间自动扩展：可选择开通自动扩容，开通后实例将根据选择的阈值进行自动扩展，无需担心空间满问题，建议扩容上限值设置大一些，以备不时之需。 磁盘加密：可选择磁盘是否加密，有效保护数据安全，此项功能仅支持在订购时进行设置，在控制台暂不支持设置。 注意 磁盘加密功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 备份空间 如果备份类型是云硬盘方式，备份空间大小需要大于等于存储空间。 如果备份类型是对象存储方式，默认会赠送和订购时选择的存储空间大小相等的对象存储空间。 注意 对象存储方式仅II类型资源池中的部分资源池支持，I类型资源池不支持该方式，以订购页实际显示为准。更多资源池信息，请参见功能概览。 免费备份空间额度仅与首次购买的存储空间大小绑定，后续扩容不额外增加免费额度。 备份空间实际用量超过免费额度时，系统将自动对超出部分按标准费率计费。 企业项目 企业项目 企业项目权限实现细粒度控制。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的权限限制。 网络 虚拟私有云 关系数据库MySQL版实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见创建虚拟私有云VPC。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意 目前关系数据库MySQL版实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 网络 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系数据库MySQL版实例的子网默认开启DHCP功能，不可关闭。 创建实例时关系数据库MySQL版会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 网络 IP地址 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址不可修改。 注意 手动输入指定IP地址功能仅II类型资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 网络 安全组 安全组限制实例的安全访问规则，加强关系数据库MySQL版服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果不创建安全组或没有可选的安全组，关系数据库MySQL版服务默认为您分配安全组资源。 集群配置 实例名称 长度为4~64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 集群配置 设置密码 您可以在订购的时候设置密码，也可以选择在创建后进行设置密码，提高订购开通效率。 集群配置 管理员账号 数据库的登录名默认为root。 集群配置 管理员密码 长度为8~26位，需为字母、数字和特殊字符~!@

在使用天翼云关系型数据库MySQL前，您需要先创建实例。本文为您详细介绍如何创建天翼云关系数据库MySQL版实例。 背景信息 您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例，其中，计费模式支持包年包月（包周期）和按需计费。 创建实例时，系统默认开启自动备份策略。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改备份策略。 数据库端口默认为13049。您也可在订购页自定义端口。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改数据库端口。 操作步骤 1. 进入数据库实例订购页面。 方法一： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 注意 如需要对II 类型资源池广州4、苏州进行实例创建和管理，需要先在控制台的实例列表页面的左上角单击数据库资源池切换，并选择对应的资源池，然后进行管理和订购等操作。 3. 在实例列表上方，单击创建实例，进入数据库实例订购页面。 方法二： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击立即开通，进入数据库实例订购页面。 2. 在顶部菜单栏，选择区域和项目。 2. 根据实际情况，配置如下实例相关参数。 模块 参数 描述 基本信息 组件引擎和版本 选择数据库组件引擎和版本： 说明 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 引擎：MySQL 版本：5.7或者8.0 基本信息 区域 租户当前所在区域。支持在顶部菜单栏左上角切换到其他区域。 注意 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 基本信息 计费模式 选择计费模式： 包年/包月：若选择该模式，则按照购买时长进行计费，一次性扣除。 按需计费：若选择该模式，则会从余额中进行扣除费用。 基本信息 模式 选择实例模式： 非MGR：实例类型可以选择单机版、一主一备和一主两备。 MGR：模式选择MGR后，实例类型默认只能选择一主两备 。更多MGR集群信息，请参见MGR集群。 基本信息 实例类型 根据具体的业务需求选择对应的实例类型。详细的实例类型信息，请参见实例类型。 基本信息 可用区 选择实例所在的可用区。针对支持多可用区的资源池，您可以将订购的非单机版实例节点分布在不同的可用区，即跨可用区部署实例。一个可用区不受其他可用区故障的影响，保证您数据库服务的可用性。 注意 跨可用区功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 CPU类型 部分资源池提供了X86和ARM架构，具体资源池加载情况以实际受理页为准。 规格与存储 性能类型 支持选择通用型、计算增强型和内存优化型的主机类型。关于各主机类型具体说明和适用场景，请参见实例规格。 说明 对应的主机类型提供对应六代机或七代机，目前七代机的表现整体优于六代机。 规格与存储 性能规格 选择实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后，支持进行规格变更。 规格与存储 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。具体存储类型差异，请参见实例存储类型。 规格与存储 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持100GB到32TB，您选择的容量大小必须为10的整数倍。 存储空间自动扩展：可选择开通自动扩容，开通后实例将根据选择的阈值进行自动扩展，无需担心空间满问题，建议扩容上限值设置大一些，以备不时之需。 磁盘加密：可选择磁盘是否加密，有效保护数据安全，此项功能仅支持在订购时进行设置，在控制台暂不支持设置。 注意 磁盘加密功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 备份空间 如果备份类型是云硬盘方式，备份空间大小需要大于等于存储空间。 如果备份类型是对象存储方式，默认会赠送和订购时选择的存储空间大小相等的对象存储空间。 注意 对象存储方式仅II类型资源池中的部分资源池支持，I类型资源池不支持该方式，以订购页实际显示为准。更多资源池信息，请参见功能概览。 免费备份空间额度仅与首次购买的存储空间大小绑定，后续扩容不额外增加免费额度。 备份空间实际用量超过免费额度时，系统将自动对超出部分按标准费率计费。 企业项目 企业项目 企业项目权限实现细粒度控制。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的权限限制。 网络 虚拟私有云 关系数据库MySQL版实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见创建虚拟私有云VPC。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意 目前关系数据库MySQL版实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 网络 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系数据库MySQL版实例的子网默认开启DHCP功能，不可关闭。 创建实例时关系数据库MySQL版会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 网络 IP地址 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址不可修改。 注意 手动输入指定IP地址功能仅II类型资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 网络 安全组 安全组限制实例的安全访问规则，加强关系数据库MySQL版服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果不创建安全组或没有可选的安全组，关系数据库MySQL版服务默认为您分配安全组资源。 集群配置 实例名称 长度为4~64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 集群配置 设置密码 您可以在订购的时候设置密码，也可以选择在创建后进行设置密码，提高订购开通效率。 集群配置 管理员账号 数据库的登录名默认为root。 集群配置 管理员密码 长度为8~26位，需为字母、数字和特殊字符~!@

本文为您介绍文件比较与同步的相关内容。 概要 应用场景： 支持对象存储到对象存储之间的数据比较与同步，并且生成比较报告供一致性检查。此场景支持两种数据捕获方式： 方式1：调用对象存储接口对源、备存储同步路径下的所有对象进行扫描、比对，获得增量对象（新增/差异），并将增量对象同步到目标端对应路径下；在海量对象场景下扫描/比对的对象太多，导致这种方式同步增量数据效率过低； 方式2：通过某些方式获取到增量对象信息（如：对象存储自行监控、通过应用数据库表获取等），并将增量对象的信息以某种类型文件存放；DTO通过读取文件内容来获取增量对象信息，并直接将源端对应的增量对象直接同步到目标端；此方式避免了扫描、比对海量对象的时间，提高海量对象场景的增量数据同步效率。 要求：要有应用/组件（一般是对象存储）负责实现监控增量对象并将增量对象以固定格式导出成文件的一系列动作。 前置条件 文件比较与同步的环境要求如下： 1. DTO主机需要安装dto安装包。详见安装DTO。 2. 在MDR控制台中添加对象存储。详见资源管理·对象存储。 3. 在MDR控制台中添加DTO主机并处于在线状态。详见资源管理·DTO主机。 4. MDR控制台需具备有dto的许可，并且该dto许可剩余允许传输量不为0。 新建文件比较与同步 1. 点击左侧菜单栏“资源同步管理”“对象存储数据灾备”“文件比较和同步”，进入文件比较和同步列表页，点击“新建”按钮，进入新建页面。 2. 通用配置页面各配置项如下： 名称：任意指定，便于管理即可。 同步主机：下拉框中会列出已注册至MDR控制台的DTO同步主机供选用； 规则类型：包含三类规则：仅比较/文件比较与同步 / 文件清单同步，下文会分别介绍各类规则的作用和使用场景； 同步策略类型：“手动同步”“定期同步”和“间隔同步”。 手动同步：需手动启动规则。此选项为默认选项。 定期同步：可指定每个月的某几天或者每个星期的某几天中的某几个时间点开始同步，规则会在设置的时间自动开始运行。 间隔同步：指的是从上一次规则完成到下一次规则启动之间的间隔，最小间隔时间单位为秒。 定期同步策略：用户自行添加定期同步策略。可以设定多个不重叠的定时同步策略，彼此独立。 间隔同步策略：用户自行添加时间间隔同步策略。选择此规则开始时间，并设置间隔时间（单位为秒）。 源存储：用户自行选择要源端的存储数据用来做对比。 目标存储：用户自行选择对象存储数据作为目标存储对比。 同步路径映射：用户自行配置需要同步的数据路径。同步路径支持手动输入路径。 排除路径：用户自行选择将同步数据路径中的某些子路径设置为排除路径，排除路径中的数据不进行传输。 文件后缀名过滤：以后缀名为过滤条件，格式为“文件扩展名”，若多个过滤条件则用逗号隔开，如：“.txt”，“.doc”，“.rtf”。 排除：不同步源路径中该过滤项中定义的文件类型。 包含：只同步源路径中该过滤项中定义的文件类型。 文件日期过滤：通过正则表达式对同步路径下文件的日期进行筛选，文件日期符合正则表达式要求的文件被过滤出来。 排除：不同步源路径中符合筛选条件的文件。 包含：只同步源路径中符合筛选条件的文件。 3. 比较设置页面各配置项如下： 比较类型：重镜像时的校验方式。 文件大小：通过源、目标文件的大小进行比较。 对象智能比对：提交规则时会判断备端存储是否支持自定义META，不支持则不允许规则提交。智能比对即：通过比文件当前的修改时间戳，和上一次同步时文件的修改时间戳（记录在自定义属性META中）来判断文件是否一致（如果修改时间戳一致则认为文件相同，如果修改时间戳不同，则继续对比文件的MD5）。 MD5校验：通过源、目标文件的MD5值进行比较（本地需计算md5，对象存储直接采用Etag，对象存储将收到文件的MD5值放在返回结果的ETag中）。 说明：对象存储返回分片上传文件的MD5有可能为空或是最后一个分片的MD5，因此对象存储的MD5并不完全可靠。“文件大小”比对最快；当文件较大时“对象智能比对”比“MD5校验”快（大文件本地计算md5很慢）；当文件较小时“MD5校验”比“对象智能比对”快（对象存储的文件修改时间需从META中获取，一个文件就是一次请求）。 忽略目标端存在文件：DTO不再扫描目标端存储，直接拿源端拆解过后的目录进行传输，传输之前check目标端文件是否存在，如果不存在，就同步，否则跳过该文件；这种类型，可以支持对象存储单一目录上千万的文件。 传输线程数量：可以指定线程个数。一个线程处理一个目录。此选项用于提高数据复制的速度，默认为“10”，数值越高，可用于数据复制的线程越多，但会消耗更多的CPU和内存资源，请根据用户环境适当选择。 对象存储扫描线程数量：可根据需要指定110个线程数。 备端扫描：默认开启，开启后支持孤儿文件处理。 孤儿文件处理方式： 不处理：不删除孤儿文件，存在在目标端。 确认后删除：将孤儿文件计入孤儿文件列表，可通过规则管理界面的“更多·孤儿文件”按钮来查看，以及选择是否要将目标端的孤儿文件删除。 直接删除：将孤儿文件自动从目标端删除。 说明：定期同步或间隔同步策略时不允许配置“确认后删除”；选择“忽略目标端存在的文件”比较类型时，或者开启归档时不允许配置“直接删除”和“确认后删除”。 对象文件路径名： 和源端保持不变：区分大小写，和源端大小写保持一致。 全部为大写（传输时转换）：在传输时，将源路径下的所有目录名、子目录名、文件名、文件后缀名全部转换为大写存储在目标路径下。 全部为小写（传输时转换）：在传输时，将源路径下的所有目录名、子目录名、文件名、文件后缀名全部转换为小写存储在目标路径下。 备端文件压缩：指的是在本地将文件进行压缩，压缩完后传输到对象存储。仅限于本地到对象存储的规则才支持压缩，压缩传输后，目标端文件名会被修改为：原文件名.i2.zip。 备端文件加密：将同步到目标端数据加密存储。 标准加密：通过设置的加密密钥对源端文件加密后存放到目标端。 加密密钥：填写加密密钥，密钥要求：32字节的字符串作为密钥，支持数字、字母、字符的组合，不支持中文。 COS服务端加密：通过对接COS对象存储API接口，上传到该对象存储桶的文件都自动加密，需额外选择加密密钥类型： 加密密钥类型：支持两种加密密钥类型： SSECOS：使用SSECOS加密密钥类型进行加密，无需额外配置； SSEC：使用SSEC加密密钥类型进行加密，需要额外填写加密密钥； 加密密钥：填写加密密钥，密钥要求：32字节的字符串作为密钥，支持数字、字母、字符的组合，不支持中文。 保留结果数量：设置“文件比较与同步→报告”中保留的记录条数。 记录流水：默认关闭，开启后会将规则同步的所有文件相关信息（大小、MD5/etag、传输耗时、修改/更新时间）记录在同步主机/usr/drbksoft/dto/data/db/ .db文件中（默认路径），可供审计查看。 4. 带宽设置页面各配置项如下： 全选：开启后，将会选择一周内的所有时间。此选项默认关闭。 时间范围：用户自行勾选具体的生效日。 选择带宽：根据用户需求选择需要执行限速的时间段，可以设定多个不重叠的限速规则，彼此独立，如果带宽设定为0，表示禁止传输。 5. 归档设置页面各配置项如下： 启用归档：不勾选的话不启用归档功能。 文件名转换：归档文件的名称转换，支持两种转换方式： 保持不变：归档文件名与原文件名保持一致。 增加时间后缀：在归档文件名后自动添加归档时间后缀。 归档条件： 时间归档：按照填入文件时间类型的时间点与执行本地到对象存储时的时间点的差值（单位天）。这里的时间选项有两个：文件创建时间、文件修改时间，这两种类型可以只选择某一个，也可以多选，并可以选择几种类型间的关系是与还是或。 命名特征：使用正则表达式进行针对文件名的过滤。 文件类型：通过填入文件类型的后缀名进行对文件类型的过滤（如.txt等），可以匹配多个文件类型，文件后缀名与后缀名之间用“逗号隔开”（如.txt,.exe,.zip）。 归档策略： 同步所有文件，并删除本地符合条件的文件：将源目录下的所有文件全部同步到目标存储的目标目录中，并删除本地符合归档条件的文件。 只同步并删除符合条件的文件：只同步源目录中符合归档条件的文件到目标存储的目标目录中去，并删除本地符合归档条件的文件。 只同步但不删除符合条件的文件：只同步源目录中符合归档条件的文件到目标存储的目标目录中去，并且不删除源端本地符合归档条件的文件。

省份/国家中文 省份/国家英文 省份/国家编码 省份/国家英文编码 安徽 AnHui 340000 CNanhui 浙江 ZheJiang 330000 CNzhejiang 上海 ShangHai 310000 CNshanghai 江苏 JiangSu 320000 CNjiangsu 福建 FuJian 350000 CNfujian 山东 ShanDong 370000 CNshandong 广东 GuangDong 440000 CNguangdong 广西 GuangXi 450000 CNguangxi 海南 HaiNan 460000 CNhainan 江西 JiangXi 360000 CNjiangxi 河南 HeNan 410000 CNhenan 湖南 HuNan 430000 CNhunan 湖北 HuBei 420000 CNhubei 辽宁 LiaoNing 210000 CNliaoning 吉林 JiLin 220000 CNjilin 黑龙江 HeiLongJiang 230000 CNheilongjiang 陕西 ShaanXi 610000 CNshaanxi 甘肃 GanSu 620000 CNgansu 青海 QingHai 630000 CNqinghai 宁夏 NingXia 640000 CNningxia 新疆 XinJiang 650000 CNxinjiang 北京 BeiJing 110000 CNbeijing 天津 TianJin 120000 CNtianjin 河北 HeBei 130000 CNhebei 山西 ShanXi 140000 CNshanxi 内蒙古 NeiMengGu 150000 CNneimenggu 重庆 ChongQing 500000 CNchongqing 四川 SiChuan 510000 CNsichuan 贵州 GuiZhou 520000 CNguizhou 云南 YunNan 530000 CNyunnan 西藏 XiZang 540000 CNxizang 香港 HongKong,China 810000 HK 澳门 Macao,China 820000 MO 台湾 Taiwan,China 710000 TW 中国其他 China 0 CNqita 中国 CN 中国东北其他省 CNdongbei 中国华北其他省 CNhuabei 中国华东其它省 CNhuadong 中国华南其它省 CNhuanan 中国华中其它省 CNhuazhong 中国西北其它省 CNxibei 中国西南其它省 CNxinan 文莱 Brunei 1000000 BN 日本 Japan 1000001 JP 泰国 Thailand 1000002 TH 约旦 Jordan 1000003 JO 越南 Vietnam 1000005 VN 阿曼 Oman 1000006 OM 韩国 South Korea 1000007 KR 叙利亚 Syria 1000008 SY 新加坡 Singapore 1000009 SG 阿富汗 Afghanistan 1000010 AF 阿联酋 United Arab Emirates 1000011 AE 塞浦路斯 Cyprus 1000012 CY 巴基斯坦 Pakistan 1000013 PK 尼泊尔 Nepal 1000014 NP 哈萨克斯坦 Kazakhstan 1000015 KZ 喀麦隆 Cameroon 1000016 CM 巴拿马 Panama 1000017 PA 几内亚 Guinea 1000019 GN 立陶宛 Lithuania 1000020 LT 科威特 Kuwait 1000021 KW 伊朗 Iran 1000022 IR 墨西哥 Mexico 1000023 MX 瑞士 Switzerland 1000024 CH 匈牙利 Hungary 1000025 HU 土耳其 Turkey 1000026 TR 奥地利 Austria 1000027 AT 意大利 Italy 1000028 IT 比利时 Belgium 1000029 BE 葡萄牙 Portugal 1000030 PT 西班牙 Spain 1000031 ES 库克群岛 Cook Islands 1000034 CK 萨摩亚 Samoa 1000035 WS 瑙鲁 Nauru 1000036 NR 汤加 Tonga 1000037 TO 瓦努阿图 Vanuatu 1000038 VU 格林纳达 Grenada 1000039 GD 科摩罗 Comoros 1000040 KM 毛里塔尼亚 Mauritania 1000041 MR 塞拉利昂 Sierra Leone 1000042 SL 坦桑尼亚 Tanzania 1000043 TZ 乍得 Chad 1000044 TD 斐济 Fiji 1000045 FJ 密克罗尼西亚联邦 Micronesia 1000046 FM 卡塔尔 Qatar 1000047 QA 卢森堡 Luxembourg 1000048 LU 智利 Chile 1000049 CL 秘鲁 Peru 1000050 PE 哥伦比亚 Colombia 1000051 CO 保加利亚 Bulgaria 1000052 BG 白俄罗斯 Belarus 1000053 BY 罗马尼亚 Romania 1000054 RO 加纳 Ghana 1000055 GH 加蓬 Gabon 1000056 GA 南非 South Africa 1000057 ZA 埃及 Egypt 1000058 EG 苏丹 Sudan 1000059 SD 贝宁 Benin 1000060 BJ 利比亚 Libya 1000061 LY 吉布提 Djibouti 1000062 DJ 安哥拉 Angola 1000063 AO 摩洛哥 Morocco 1000064 MA 尼日利亚 Nigeria 1000066 NG 毛里求斯 Mauritius 1000067 MU 亚美尼亚 Armenia 1000068 AM 加拿大 Canada 1000069 CA 多米尼加 Dominican Republic 1000071 DM 乌拉圭 Uruguay 1000072 UY 厄瓜多尔 Ecuador 1000073 EC 阿尔及利亚 Algeria 1000074 DZ 刚果(布) Congo 1000075 CG 肯尼亚 Kenya 1000076 KE 伊拉克 Iraq 1000077 IQ 埃塞俄比亚 Ethiopia 1000078 ET 斯里兰卡 Sri Lanka 1000079 LK 印度尼西亚 Indonesia 1000081 ID 沙特阿拉伯 Saudi Arabia 1000084 SA 丹麦 Denmark 1000086 DK 德国 Germany 1000087 DE 挪威 Norway 1000088 NO 法国 France 1000089 FR 委内瑞拉 Venezuela 1000091 VE 朝鲜 North Korea 1000092 KP 老挝 Laos 1000093 LA 菲律宾 Philippines 1000094 PH 澳大利亚 Australia 1000095 AU 塔吉克斯坦 Tajikistan 1000096 TJ 土库曼斯坦 Turkmenistan 1000097 TM 巴巴多斯 Barbados 1000099 BB 波兰 Poland 1000101 PL 瑞典 Sweden 1000102 SE 多米尼克 Dominica 1000103 苏里南 Suriname 1000104 SR 圣卢西亚 Saint Lucia 1000105 LC 特立尼达和多巴哥 Trinidad and Tobago 1000106 TT 牙买加 Jamaica 1000107 JM 巴哈马 Bahamas 1000108 BS 博茨瓦纳 Botswana 1000109 BW 布基纳法索 Burkina Faso 1000110 BF 赤道几内亚 Equatorial Guinea 1000111 GQ 多哥 Togo 1000112 TG 厄立特里亚 Eritrea 1000113 ER 冈比亚 Gambia 1000115 GM 刚果(金) DR Congo 1000116 CD 几内亚比绍 GuineaBissau 1000117 GW 科特迪瓦 Cote d’Ivoire 1000118 CI 莱索托 Lesotho 1000119 LS 卢旺达 Rwanda 1000120 RW 马达加斯加 Madagascar 1000121 MG 马里 Mali 1000122 ML 尼日尔 Niger 1000123 NE 塞舌尔 Seychelles 1000124 SC 安道尔 Andorra 1000125 AD 阿尔巴尼亚 Albania 1000126 AL 爱沙尼亚 Estonia 1000127 EE 克罗地亚 Croatia 1000129 HR 拉脱维亚 Latvia 1000130 LV 列支敦士登 Liechtenstein 1000131 LI 北马其顿 North Macedonia 1000132 MK 马耳他 Malta 1000133 MT 摩纳哥 Monaco 1000134 MC 摩尔多瓦 Moldova 1000135 MD 斯洛文尼亚 Slovenia 1000137 SI 巴勒斯坦 Palestine 1000138 PS 巴林 Bahrain 1000139 BH 不丹 Bhutan 1000140 BT 吉尔吉斯斯坦 Kyrgyzstan 1000142 KG 黎巴嫩 Lebanon 1000143 LB 马尔代夫 Maldives 1000144 MV 马来西亚 Malaysia 1000145 MY 缅甸 Myanmar 1000146 MM 印度 India 1000147 IN 巴布亚新几内亚 Papua New Guinea 1000148 PG 巴西 Brazil 1000149 BR 阿根廷 Argentina 1000150 AR 新西兰 New Zealand 1000151 NZ 阿塞拜疆 Azerbaijan 1000152 AZ 蒙古 Mongolia 1000153 MN 圭亚那 Guyana 1000155 GY 洪都拉斯 Honduras 1000156 HN 美国 United States 1000157 US 荷兰 Netherlands 1000158 NL 乌克兰 Ukraine 1000159 UA 关岛 Guam 1000160 GU 危地马拉 Guatemala 1000161 GT 格恩西或根西岛 Guernsey 1000162 海地 Haiti 1000163 HT 马恩岛 Isle of Man 1000164 IM 泽西 Jersey 1000165 基里巴斯 Kiribati 1000166 KI 马拉维 Malawi 1000167 MW 马绍尔群岛 Marshall Islands 1000168 MH 马提尼克 Martinique 1000169 MQ 马约特 Mayotte 1000170 YT 黑山 Montenegro 1000171 ME 蒙特塞拉特 Montserrat 1000172 MS 新喀里多尼亚 New Caledonia 1000174 NC 纽埃 Niue 1000175 NU 帕劳 Palau 1000176 PW 巴拉圭 Paraguay 1000178 PY 皮特凯恩 Pitcairn 1000179 PN 波多黎各 Puerto Rico 1000180 PR 圣赫勒拿 Saint Helena 1000181 圣皮埃尔和密克隆 Saint Pierre and Miquelon 1000182 PM 圣文森特和格林纳丁斯 Saint Vincent and the Grenadines 1000183 VC 索马里 Somalia 1000184 SO 南乔治亚岛和南桑德韦奇岛 South Georgia and the South Sandwich Islands 1000185 GS 斯瓦尔巴群岛和扬马延岛 Svalbard and Jan Mayen Islands 1000186 SJ 斯威士兰 Eswatini 1000187 SZ 东帝汶 TimorLeste 1000188 TL 特克斯和凯科斯群岛 Turks and Caicos Islands 1000189 TC 英属维尔京群岛 British Virgin Islands 1000190 VG 圣多美和普林西比 Sao Tome and Principe 1000191 ST 塞尔维亚 Serbia 1000192 RS 斯洛伐克 Slovakia 1000193 SK 所罗门群岛 Solomon Islands 1000194 SB 美属萨摩亚 American Samoa 1000195 AS 安圭拉 Anguilla 1000196 AI 阿鲁巴 Aruba 1000197 AW 伯利兹 Belize 1000198 BZ 百慕大 Bermuda 1000199 BM 波黑 Bosnia and Herzegovina 1000200 BA 开曼群岛 Cayman Islands 1000201 KY 中非 Central African Republic 1000202 CF 哥斯达黎加 Costa Rica 1000203 CR 萨尔瓦多 El Salvador 1000204 SV 福克兰群岛（马尔维纳斯） Falkland Islands 1000205 FK 法罗群岛 Faroe Islands 1000206 FO 法属圭亚那 French Guiana 1000207 GF 法属波利尼西亚 French Polynesia 1000208 PF 直布罗陀 Gibraltar 1000209 GI 格陵兰 Greenland 1000210 GL 瓜德罗普 Guadeloupe 1000211 GP 美属维尔京群岛 United States Virgin Islands 1000212 VI 西撒哈拉 Western Sahara 1000213 EH 捷克 Czechia 1000214 CZ 英国 United Kingdom 1000215 GB 梵蒂冈 Holy See 1000216 VA 诺福克岛 Norfolk Island 1000217 NF 圣基茨和尼维斯 Saint Kitts and Nevis 1000218 KN 突尼斯 Tunisia 1000219 TN 利比里亚 Liberia 1000220 LR 图瓦卢 Tuvalu 1000221 TV 古巴 Cuba 1000222 CU 安提瓜和巴布达 Antigua and Barbuda 1000223 AG 圣诞岛 Christmas Island 1000224 CX 莫桑比克 Mozambique 1000226 MZ 冰岛 Iceland 1000227 IS 圣马力诺 San Marino 1000228 SM 孟加拉 Bangladesh 1000229 BD 南极洲 Antarctica 1000230 AQ 芬兰 Finland 1000231 FI 爱尔兰 Ireland 1000232 IE 俄罗斯 Russia 1000233 RU 希腊 Greece 1000235 GR 乌兹别克斯坦 Uzbekistan 1000236 UZ 尼加拉瓜 Nicaragua 1000237 NI 玻利维亚 Bolivia 1000238 BO 格鲁吉亚 Georgia 1000239 GE 赞比亚 Zambia 1000241 ZM 南苏丹 South Sudan 1000242 SS 以色列 Israel 1000243 IL 乌干达 Uganda 1000244 UG 塞内加尔 Senegal 1000245 SN 布隆迪 Burundi 1000246 BI 津巴布韦 Zimbabwe 1000247 ZW 纳米比亚 Namibia 1000248 NA 留尼汪 Reunion 1000249 RE 佛得角 Cabo Verde 1000250 CV 也门 Yemen 1000251 YE 柬埔寨 Cambodia 1000252 KH 英属印度洋领土 British Indian Ocean Territory 1000258 IO 奥兰群岛 Aland Islands 1000261 AX 布维岛 Bouvet Island 1000262 BV 欧盟 European Union 1000263 EU 科索沃 Kosovo 1000264 XK 法属南方领地 French Southern Territories 1000265 博纳尔，圣俄斯塔休斯和萨巴 Bonaire, Sint Eustatius and Saba 1000266 库拉索 Curaçao 1000267 CW 圣巴泰勒米 Saint Barthelemy 1000268 BL 圣马丁（法属） Saint Martin (French Part) 1000269 MF 圣马丁（荷属） Sint Maarten (Dutch part) 1000270 SX 美国本土外小岛屿 United States Minor Outlying Islands 1000271 科科斯（基林）群岛 Cocos (Keeling) Islands 1000272 CC 赫德岛和麦克唐纳岛 Heard Island and McDonald Islands 1000273 HM 北马里亚纳群岛 Northern Mariana Islands 1000274 MP 托克劳 Tokelau 1000275 TK 瓦利斯群岛和富图纳群岛 Wallis and Futuna Islands 1000276 WF 未知国家 unknown 1000277 XX 海外其他 1 海外 2

省份/国家中文 省份/国家英文 省份/国家编码 省份/国家英文编码 安徽 AnHui 340000 CNanhui 浙江 ZheJiang 330000 CNzhejiang 上海 ShangHai 310000 CNshanghai 江苏 JiangSu 320000 CNjiangsu 福建 FuJian 350000 CNfujian 山东 ShanDong 370000 CNshandong 广东 GuangDong 440000 CNguangdong 广西 GuangXi 450000 CNguangxi 海南 HaiNan 460000 CNhainan 江西 JiangXi 360000 CNjiangxi 河南 HeNan 410000 CNhenan 湖南 HuNan 430000 CNhunan 湖北 HuBei 420000 CNhubei 辽宁 LiaoNing 210000 CNliaoning 吉林 JiLin 220000 CNjilin 黑龙江 HeiLongJiang 230000 CNheilongjiang 陕西 ShaanXi 610000 CNshaanxi 甘肃 GanSu 620000 CNgansu 青海 QingHai 630000 CNqinghai 宁夏 NingXia 640000 CNningxia 新疆 XinJiang 650000 CNxinjiang 北京 BeiJing 110000 CNbeijing 天津 TianJin 120000 CNtianjin 河北 HeBei 130000 CNhebei 山西 ShanXi 140000 CNshanxi 内蒙古 NeiMengGu 150000 CNneimenggu 重庆 ChongQing 500000 CNchongqing 四川 SiChuan 510000 CNsichuan 贵州 GuiZhou 520000 CNguizhou 云南 YunNan 530000 CNyunnan 西藏 XiZang 540000 CNxizang 香港 HongKong,China 810000 HK 澳门 Macao,China 820000 MO 台湾 Taiwan,China 710000 TW 中国其他 China 0 CNqita 中国 CN 中国东北其他省 CNdongbei 中国华北其他省 CNhuabei 中国华东其它省 CNhuadong 中国华南其它省 CNhuanan 中国华中其它省 CNhuazhong 中国西北其它省 CNxibei 中国西南其它省 CNxinan 文莱 Brunei 1000000 BN 日本 Japan 1000001 JP 泰国 Thailand 1000002 TH 约旦 Jordan 1000003 JO 越南 Vietnam 1000005 VN 阿曼 Oman 1000006 OM 韩国 South Korea 1000007 KR 叙利亚 Syria 1000008 SY 新加坡 Singapore 1000009 SG 阿富汗 Afghanistan 1000010 AF 阿联酋 United Arab Emirates 1000011 AE 塞浦路斯 Cyprus 1000012 CY 巴基斯坦 Pakistan 1000013 PK 尼泊尔 Nepal 1000014 NP 哈萨克斯坦 Kazakhstan 1000015 KZ 喀麦隆 Cameroon 1000016 CM 巴拿马 Panama 1000017 PA 几内亚 Guinea 1000019 GN 立陶宛 Lithuania 1000020 LT 科威特 Kuwait 1000021 KW 伊朗 Iran 1000022 IR 墨西哥 Mexico 1000023 MX 瑞士 Switzerland 1000024 CH 匈牙利 Hungary 1000025 HU 土耳其 Turkey 1000026 TR 奥地利 Austria 1000027 AT 意大利 Italy 1000028 IT 比利时 Belgium 1000029 BE 葡萄牙 Portugal 1000030 PT 西班牙 Spain 1000031 ES 库克群岛 Cook Islands 1000034 CK 萨摩亚 Samoa 1000035 WS 瑙鲁 Nauru 1000036 NR 汤加 Tonga 1000037 TO 瓦努阿图 Vanuatu 1000038 VU 格林纳达 Grenada 1000039 GD 科摩罗 Comoros 1000040 KM 毛里塔尼亚 Mauritania 1000041 MR 塞拉利昂 Sierra Leone 1000042 SL 坦桑尼亚 Tanzania 1000043 TZ 乍得 Chad 1000044 TD 斐济 Fiji 1000045 FJ 密克罗尼西亚联邦 Micronesia 1000046 FM 卡塔尔 Qatar 1000047 QA 卢森堡 Luxembourg 1000048 LU 智利 Chile 1000049 CL 秘鲁 Peru 1000050 PE 哥伦比亚 Colombia 1000051 CO 保加利亚 Bulgaria 1000052 BG 白俄罗斯 Belarus 1000053 BY 罗马尼亚 Romania 1000054 RO 加纳 Ghana 1000055 GH 加蓬 Gabon 1000056 GA 南非 South Africa 1000057 ZA 埃及 Egypt 1000058 EG 苏丹 Sudan 1000059 SD 贝宁 Benin 1000060 BJ 利比亚 Libya 1000061 LY 吉布提 Djibouti 1000062 DJ 安哥拉 Angola 1000063 AO 摩洛哥 Morocco 1000064 MA 尼日利亚 Nigeria 1000066 NG 毛里求斯 Mauritius 1000067 MU 亚美尼亚 Armenia 1000068 AM 加拿大 Canada 1000069 CA 多米尼加 Dominican Republic 1000071 DM 乌拉圭 Uruguay 1000072 UY 厄瓜多尔 Ecuador 1000073 EC 阿尔及利亚 Algeria 1000074 DZ 刚果(布) Congo 1000075 CG 肯尼亚 Kenya 1000076 KE 伊拉克 Iraq 1000077 IQ 埃塞俄比亚 Ethiopia 1000078 ET 斯里兰卡 Sri Lanka 1000079 LK 印度尼西亚 Indonesia 1000081 ID 沙特阿拉伯 Saudi Arabia 1000084 SA 丹麦 Denmark 1000086 DK 德国 Germany 1000087 DE 挪威 Norway 1000088 NO 法国 France 1000089 FR 委内瑞拉 Venezuela 1000091 VE 朝鲜 North Korea 1000092 KP 老挝 Laos 1000093 LA 菲律宾 Philippines 1000094 PH 澳大利亚 Australia 1000095 AU 塔吉克斯坦 Tajikistan 1000096 TJ 土库曼斯坦 Turkmenistan 1000097 TM 巴巴多斯 Barbados 1000099 BB 波兰 Poland 1000101 PL 瑞典 Sweden 1000102 SE 多米尼克 Dominica 1000103 苏里南 Suriname 1000104 SR 圣卢西亚 Saint Lucia 1000105 LC 特立尼达和多巴哥 Trinidad and Tobago 1000106 TT 牙买加 Jamaica 1000107 JM 巴哈马 Bahamas 1000108 BS 博茨瓦纳 Botswana 1000109 BW 布基纳法索 Burkina Faso 1000110 BF 赤道几内亚 Equatorial Guinea 1000111 GQ 多哥 Togo 1000112 TG 厄立特里亚 Eritrea 1000113 ER 冈比亚 Gambia 1000115 GM 刚果(金) DR Congo 1000116 CD 几内亚比绍 GuineaBissau 1000117 GW 科特迪瓦 Cote d’Ivoire 1000118 CI 莱索托 Lesotho 1000119 LS 卢旺达 Rwanda 1000120 RW 马达加斯加 Madagascar 1000121 MG 马里 Mali 1000122 ML 尼日尔 Niger 1000123 NE 塞舌尔 Seychelles 1000124 SC 安道尔 Andorra 1000125 AD 阿尔巴尼亚 Albania 1000126 AL 爱沙尼亚 Estonia 1000127 EE 克罗地亚 Croatia 1000129 HR 拉脱维亚 Latvia 1000130 LV 列支敦士登 Liechtenstein 1000131 LI 北马其顿 North Macedonia 1000132 MK 马耳他 Malta 1000133 MT 摩纳哥 Monaco 1000134 MC 摩尔多瓦 Moldova 1000135 MD 斯洛文尼亚 Slovenia 1000137 SI 巴勒斯坦 Palestine 1000138 PS 巴林 Bahrain 1000139 BH 不丹 Bhutan 1000140 BT 吉尔吉斯斯坦 Kyrgyzstan 1000142 KG 黎巴嫩 Lebanon 1000143 LB 马尔代夫 Maldives 1000144 MV 马来西亚 Malaysia 1000145 MY 缅甸 Myanmar 1000146 MM 印度 India 1000147 IN 巴布亚新几内亚 Papua New Guinea 1000148 PG 巴西 Brazil 1000149 BR 阿根廷 Argentina 1000150 AR 新西兰 New Zealand 1000151 NZ 阿塞拜疆 Azerbaijan 1000152 AZ 蒙古 Mongolia 1000153 MN 圭亚那 Guyana 1000155 GY 洪都拉斯 Honduras 1000156 HN 美国 United States 1000157 US 荷兰 Netherlands 1000158 NL 乌克兰 Ukraine 1000159 UA 关岛 Guam 1000160 GU 危地马拉 Guatemala 1000161 GT 格恩西或根西岛 Guernsey 1000162 海地 Haiti 1000163 HT 马恩岛 Isle of Man 1000164 IM 泽西 Jersey 1000165 基里巴斯 Kiribati 1000166 KI 马拉维 Malawi 1000167 MW 马绍尔群岛 Marshall Islands 1000168 MH 马提尼克 Martinique 1000169 MQ 马约特 Mayotte 1000170 YT 黑山 Montenegro 1000171 ME 蒙特塞拉特 Montserrat 1000172 MS 新喀里多尼亚 New Caledonia 1000174 NC 纽埃 Niue 1000175 NU 帕劳 Palau 1000176 PW 巴拉圭 Paraguay 1000178 PY 皮特凯恩 Pitcairn 1000179 PN 波多黎各 Puerto Rico 1000180 PR 圣赫勒拿 Saint Helena 1000181 圣皮埃尔和密克隆 Saint Pierre and Miquelon 1000182 PM 圣文森特和格林纳丁斯 Saint Vincent and the Grenadines 1000183 VC 索马里 Somalia 1000184 SO 南乔治亚岛和南桑德韦奇岛 South Georgia and the South Sandwich Islands 1000185 GS 斯瓦尔巴群岛和扬马延岛 Svalbard and Jan Mayen Islands 1000186 SJ 斯威士兰 Eswatini 1000187 SZ 东帝汶 TimorLeste 1000188 TL 特克斯和凯科斯群岛 Turks and Caicos Islands 1000189 TC 英属维尔京群岛 British Virgin Islands 1000190 VG 圣多美和普林西比 Sao Tome and Principe 1000191 ST 塞尔维亚 Serbia 1000192 RS 斯洛伐克 Slovakia 1000193 SK 所罗门群岛 Solomon Islands 1000194 SB 美属萨摩亚 American Samoa 1000195 AS 安圭拉 Anguilla 1000196 AI 阿鲁巴 Aruba 1000197 AW 伯利兹 Belize 1000198 BZ 百慕大 Bermuda 1000199 BM 波黑 Bosnia and Herzegovina 1000200 BA 开曼群岛 Cayman Islands 1000201 KY 中非 Central African Republic 1000202 CF 哥斯达黎加 Costa Rica 1000203 CR 萨尔瓦多 El Salvador 1000204 SV 福克兰群岛（马尔维纳斯） Falkland Islands 1000205 FK 法罗群岛 Faroe Islands 1000206 FO 法属圭亚那 French Guiana 1000207 GF 法属波利尼西亚 French Polynesia 1000208 PF 直布罗陀 Gibraltar 1000209 GI 格陵兰 Greenland 1000210 GL 瓜德罗普 Guadeloupe 1000211 GP 美属维尔京群岛 United States Virgin Islands 1000212 VI 西撒哈拉 Western Sahara 1000213 EH 捷克 Czechia 1000214 CZ 英国 United Kingdom 1000215 GB 梵蒂冈 Holy See 1000216 VA 诺福克岛 Norfolk Island 1000217 NF 圣基茨和尼维斯 Saint Kitts and Nevis 1000218 KN 突尼斯 Tunisia 1000219 TN 利比里亚 Liberia 1000220 LR 图瓦卢 Tuvalu 1000221 TV 古巴 Cuba 1000222 CU 安提瓜和巴布达 Antigua and Barbuda 1000223 AG 圣诞岛 Christmas Island 1000224 CX 莫桑比克 Mozambique 1000226 MZ 冰岛 Iceland 1000227 IS 圣马力诺 San Marino 1000228 SM 孟加拉 Bangladesh 1000229 BD 南极洲 Antarctica 1000230 AQ 芬兰 Finland 1000231 FI 爱尔兰 Ireland 1000232 IE 俄罗斯 Russia 1000233 RU 希腊 Greece 1000235 GR 乌兹别克斯坦 Uzbekistan 1000236 UZ 尼加拉瓜 Nicaragua 1000237 NI 玻利维亚 Bolivia 1000238 BO 格鲁吉亚 Georgia 1000239 GE 赞比亚 Zambia 1000241 ZM 南苏丹 South Sudan 1000242 SS 以色列 Israel 1000243 IL 乌干达 Uganda 1000244 UG 塞内加尔 Senegal 1000245 SN 布隆迪 Burundi 1000246 BI 津巴布韦 Zimbabwe 1000247 ZW 纳米比亚 Namibia 1000248 NA 留尼汪 Reunion 1000249 RE 佛得角 Cabo Verde 1000250 CV 也门 Yemen 1000251 YE 柬埔寨 Cambodia 1000252 KH 英属印度洋领土 British Indian Ocean Territory 1000258 IO 奥兰群岛 Aland Islands 1000261 AX 布维岛 Bouvet Island 1000262 BV 欧盟 European Union 1000263 EU 科索沃 Kosovo 1000264 XK 法属南方领地 French Southern Territories 1000265 博纳尔，圣俄斯塔休斯和萨巴 Bonaire, Sint Eustatius and Saba 1000266 库拉索 Curaçao 1000267 CW 圣巴泰勒米 Saint Barthelemy 1000268 BL 圣马丁（法属） Saint Martin (French Part) 1000269 MF 圣马丁（荷属） Sint Maarten (Dutch part) 1000270 SX 美国本土外小岛屿 United States Minor Outlying Islands 1000271 科科斯（基林）群岛 Cocos (Keeling) Islands 1000272 CC 赫德岛和麦克唐纳岛 Heard Island and McDonald Islands 1000273 HM 北马里亚纳群岛 Northern Mariana Islands 1000274 MP 托克劳 Tokelau 1000275 TK 瓦利斯群岛和富图纳群岛 Wallis and Futuna Islands 1000276 WF 未知国家 unknown 1000277 XX 海外其他 1 海外 2

安全边缘节点 在天翼云所有文档中，边缘节点、CDN节点、Cache节点、缓存节点、加速节点、天翼云节点等都是指天翼云边缘节点。边缘节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用Cache设备上，以此来提高网站访问的速度和质量。 分布式监测集群 分布式结构就是将一个完整的系统，按照业务功能，拆分成一个个独立的子系统，在分布式结构中，每个子系统就被称为“服务”。这些子系统能够独立运行在web容器中，它们之间通过RPC方式通信。因此按照微服务的思想，网站安全监测产品的功能模块可拆分成多个独立的服务，即：安全事件监测、漏洞监测、可用性监测、DNS监测、内容安全监测。每个服务都是独立的项目，可以独立运行。如果服务之间有依赖关系，那么通过RPC方式调用。单机处理到达瓶颈的时候，就把单机复制几份，这样就构成了一个“集群”。集群中每台服务器就叫做这个集群的一个“节点”，所有节点构成了一个集群。每个节点都提供相同的服务，那么这样系统的处理能力就相当于提升了好几倍（有几个节点就相当于提升了这么多倍）。分布式监测集群可以在实现网站安全监测产品完整、系统化的同时，能够解决访问速度和质量的问题。 网站可用性 网站可用性(web usability)是衡量用户体验的指标, 是对用户使用网站达成目标是否顺利、以及在这个过程中用户是否满意的综合衡量，反应在具体指标上关注的有目标站点的响应速度、可访问性等。 Web漏洞 Web漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的Web漏洞有Sql注入、Xss漏洞、上传漏洞等。如果网站存在Web漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步提权获取网站服务器权限，控制整个服务器。主要有以下几种攻击方法：SQL注入、XSS跨站点脚本、跨目录访问、缓冲区溢出、cookies修改、Http方法篡改、CSRF、CRLF、命令行注入。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成为220.181.112.143。 Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何网站安全监测防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 网页挂马 网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，而后加代码使得木马在打开网页时运行。 暗链攻击 暗链就是看不见的网站链接，其在网站中做得非常隐蔽，短时间内不易被搜索引擎察觉。暗链攻击，是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链，这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

监控Agent状态 在“Agent管理”页面，在已安装Agent列表的操作列下点击“监控”进入“Agent监控信息”页面，用户可以根据需要设置监控的时段，或者选择不同的监控指标（CPU占用、内存占用、转发速率、丢包数量、磁盘读写）。 修改Agent配置 1. 在“Agent管理”页面，选择需要修改配置的Agent，在列表中单击“操作”列中的“配置”。 2. 弹出修改配置对话框，可根据需要修改相关参数，修改完成后单击“确定”。 各配置项参数请参见下表。 配置项 配置项说明 CPU亲和性 启用后，Agent将仅在单颗CPU核心上工作。 CPU亲和性指的是进程在指定的CPU上尽量长时间运行而不被迁移到其他处理器，也称为CPU关联性。在多核运行的机器上，每个CPU会有缓存，缓存着进程使用信息，如果进程被调度到其他CPU上，CPU缓存命中率会降低，导致处理性能降低。 一旦修改配置，Agent会自动重启生效。 CPU使用上限 默认值为100%，取值范围：0%~100%，填0表示不限制。 内存使用上限 Agent缓存数据包所用的内存，默认值200MB，不能超过设备的最大内存。 系统CPU使用阈值 默认值100%，取值范围：0%~100%，填0表示不限制。 系统内存使用阈值 默认值100%，取值范围：0%~100%，填0表示不限制。 系统磁盘读IO阈值 默认值0，表示不限制。不能超过系统磁盘的最大读速率。 系统磁盘写IO阈值 默认值0，表示不限制。不能超过系统磁盘的最大写速率。 抓包网口 配置后将只抓取指定网口上的流量，为空时抓取全部网口上的流量，多个网口请用空格分隔。 抓包过滤串 配置后，抓包网口将只抓取匹配该过滤串（通常设置为指定主机的指定端口流量，例如：host 192.168.0.1 and port 3306）的流量。一旦配置，将不再根据配置的资产自动抓包。 按工具过滤 填写后将不再转发指定客户端工具的流量，可填写多个，多个值请用逗号分隔。 按账号过滤 填写后将不再转发指定数据库账号的流量，可填写多个，多个值请用逗号分隔。 本地回环配置 系统支持本地回环审计功能，此功能可以实现不通过TCP/IP连接的本地数据库访问审计。 本地回环审计是指Agent为客户端工具注入.so程序，客户端工具与服务端的通信流量客户端工具会复制一份发送给Agent，Agent转发给天翼云数据库审计。 Agent安装成功后，需要在Web界面开启“本地审计”功能。 回环网口 回环网口的名称，为空时会自动识别，不建议配置此项。 回环抓包过滤串 配置后回环网口将只抓取匹配该过滤串的流量。一旦配置，将不再根据配置的资产自动抓包。 回环网口替换IP(v4/v6) 将流量中本地回环的IPv4或IPv6地址改为设置的值，为空则不替换。 远程登录审计 默认关闭。 启用后，本地流量中的IP端口会被远程连接的IP端口所替换。需要在资产界面添加被远程连接的服务器IP地址，若没有远程连接，则不做替换。 一旦开启，性能会明显下降。 本地审计 支持审计非网络形式（进程间通信等）的数据库通信数据，目前仅支持Oracle，PostgreSQL，MySQL，SQL Server ，DB2的特定版本。 调试模式 默认关闭。开启后会记录下更详细的调试日志。 数据传输加密 默认关闭。开启后会对Agent转发的数据进行加密。 CPU异常保护阈值 当Agent的CPU使用超过该值时，Agent将自动修复异常。 正常情况下，Agent的CPU使用不会超出所配的上限，该配置可作为兜底保护，防止特殊情况发生。默认值100%，填0表示关闭CPU异常保护功能。 内存异常保护阈值 当Agent的内存使用超过该值时，Agent将自动修复异常。该配置可作为兜底保护，防止特殊情况发生。默认值300M，填0表示关闭内存异常保护功能。

本节主要介绍步骤一（2）：创建出云迁移任务 数据库复制服务提供出云的功能，可以将本云上的数据库迁移至用户端数据库，方便进行数据回流处理。 本章节将以RDS for MySQL到ECS自建MySQL的迁移为示例，介绍在同一VPC网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 VPC网络适合本云内数据库之间的迁移。在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足出云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息。 图 迁移任务信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择出云。 出云指源端数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 目前支持公网网络、VPC网络和VPN、专线网络类型，您可以根据具体的业务场景进行设置，此处场景以VPC网络为示例。 VPC网络：适合云上数据库之间的迁移。 VPN、专线网络：适合通过VPN、专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 公网网络：适合将其他云下或其他平台的数据库迁移到目标数据库。 源数据库实例 用户需要迁移的数据库实例。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 源数据库对应的数据库用户名。 数据库密码 源数据库对应的数据库密码。任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 源数据库的用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限。 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 说明： 目标数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 4、在“迁移设置”页面，设置迁移用户和迁移对象等信息，单击“下一步”。 图 迁移模式 表 迁移模式 参数 描述 快照模式 如果您选择的是全量迁移模式的任务，数据库复制服务支持设置快照模式。 非快照式 适用于停止业务数据写入的导出，如果全量迁移中仍然有业务数据的修改，则导出数据为时间点非水平一致。稳定性和性能要优于快照式全量迁移。 快照式 可以在业务运行时产生一份时间水平一致的快照数据，具有业务数据分析价值，过程中的数据变化不会体现在导出数据中。 说明 快照读会使用MySQL备份锁进行全局锁表，在开启一致性读后自动解锁（加锁时间在3s以内），备份锁会对此期间的DML或者DDL操作造成阻塞，建议用户选择源库空闲的时间段使用快照备份功能。 目前仅MySQL全量模式的迁移任务支持快照模式设置。 是否过滤DROP DATABASE 增量迁移过程中，源数据库端执行的DDL操作在一定程度上会影响数据的迁移能力，为了降低迁移数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示数据迁移过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示数据迁移过程中将相关操作同步到目标库。 说明 目前仅支持RDS for MySQL实例>MySQL数据库数据库的全量+增量的迁移场景。 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 迁移 当您选择迁移用户时，请参见《数据库复制服务用户指南》中“迁移用户”章节进行数据库用户、权限及密码的处理。 不迁移 迁移过程中，将不进行用户、权限和密码的迁移。 迁移对象 您可以根据业务需求，选择全部对象迁移、表级迁移或者库级迁移。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 表级迁移：将选择的表级对象迁移至目标数据库。 库级迁移：将选择的库级对象迁移至目标数据库。 如果有切换源数据库的操作或源库迁移对象变化的情况，请务必在选择迁移对象前单击右上角的按钮，以确保待选择的对象为最新源数据库对象。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 选择对象的时候，对象名称的前后空格不显示，中间如有多个空格只显示一个空格。 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 5、在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在待确认项，需要阅读并确认详情后才可以继续执行下一步操作 6、在“任务确认”页面，选择迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 说明 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，强烈建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 7、迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。

本章节主要介绍字段转换。 在创建表/文件迁移作业的字段映射界面，可新建字段转换器，如下图示。 图 新建字段转换器 说明 当使用二进制格式进行文件到文件的迁移时，没有字段映射这一步。 CDM可以在迁移过程中对字段进行转换，目前支持以下字段转换器： 脱敏 去前后空格 字符串反转 字符串替换 去换行 表达式转换 脱敏 隐藏字符串中的关键信息，例如要将“12345678910”转换为“1238910”，则配置如下： “起始保留长度”为“3”。 “结尾保留长度”为“4”。 “替换字符”为“”。 详见下图：字段脱敏 去前后空格 自动去字符串前后的空值，不需要配置参数。 字符串反转 自动反转字符串，例如将“ABC”转换为“CBA”，不需要配置参数。 字符串替换 替换字符串，需要用户配置被替换的对象，以及替换后的值。 去换行 将字段中的换行符（n、r、rn）删除。 表达式转换 使用JSP表达式语言（Expression Language）对当前字段或整行数据进行转换。JSP表达式语言可以用来创建算术和逻辑表达式。在表达式内可以使用整型数，浮点数，字符串，常量true、false和null。 表达式支持以下两个环境变量： value：当前字段值。 row：当前行，数组类型。 表达式支持以下工具类： StringUtils：字符串处理类，参考Java SDK代码的包结构“org.apache.commons.lang.StringUtils”。 DateUtils：日期工具类。 CommonUtils：公共工具类。 NumberUtils：字符串转数值类。 HttpsUtils：读取网络文件类。 应用举例： 1. 如果当前字段为字符串类型，将字符串全部转换为小写，例如将“aBC”转换为“abc”。 表达式：StringUtils.lowerCase(value) 2. 将当前字段的字符串全部转为大写。 表达式：StringUtils.upperCase(value) 3. 如果当前字段值为“yyyyMMdd”格式的日期字符串，需要截取年，例如字段值为“20171201”，转换后为“2017”。 表达式：StringUtils.substringBefore(value,"") 4. 如果当前字段值为数值类型，转换后值为当前值的两倍。 表达式：value2 5. 如果当前字段值为“true”，转换后为“Y”，其它值则转换后为“N”。 表达式：value"true"?"Y":"N" 6. 如果当前字段值为字符串类型，当为空时，转换为“Default”，否则不转换。 表达式：empty value? "Default":value 7. 如果想将日期字段格式从“2018/01/05 15:15:05”转换为“20180105 15:15:05”。 表达式：DateUtils.format(DateUtils.parseDate(value,"yyyy/MM/dd HH:mm:ss"),"yyyyMMdd HH:mm:ss") 8. 获取一个36位的UUID（Universally Unique Identifier，通用唯一识别码）。 表达式：CommonUtils.randomUUID() 9. 如果当前字段值为字符串类型，将首字母转换为大写，例如将“cat”转换为“Cat”。 表达式：StringUtils.capitalize(value) 10. 如果当前字段值为字符串类型，将首字母转换为小写，例如将“Cat”转换为“cat”。 表达式：StringUtils.uncapitalize(value) 11. 如果当前字段值为字符串类型，使用空格填充为指定长度，并且将字符串居中，当字符串长度不小于指定长度时不转换，例如将“ab”转换为长度为4的“ab”。 表达式：StringUtils.center(value,4) 12. 删除字符串末尾的一个换行符（包括“n”、“r”或者“rn”），例如将“abcrnrn”转换为“abcrn”。 表达式：StringUtils.chomp(value) 13. 如果字符串中包含指定的字符串，则返回布尔值true，否则返回false。例如“abc”中包含“a”，则返回true。 表达式：StringUtils.contains(value,"a") 14. 如果字符串中包含指定字符串的任一字符，则返回布尔值true，否则返回false。例如“zzabyycdxx”中包含“z”或“a”任意一个，则返回true。 表达式：StringUtils.containsAny("value","za") 15. 如果字符串中不包含指定的所有字符，则返回布尔值true，包含任意一个字符则返回false。例如“abz”中包含“xyz”里的任意一个字符，则返回false。 表达式：StringUtils.containsNone(value,"xyz") 16. 如果当前字符串只包含指定字符串中的字符，则返回布尔值true，包含任意一个其它字符则返回false。例如“abab”只包含“abc”中的字符，则返回true。 表达式：StringUtils.containsOnly(value,"abc") 17. 如果字符串为空或null，则转换为指定的字符串，否则不转换。例如将空字符转换为null。 表达式：StringUtils.defaultIfEmpty(value,null) 18. 如果字符串以指定的后缀结尾（包括大小写），则返回布尔值true，否则返回false。例如“abcdef”后缀不为null，则返回false。 表达式：StringUtils.endsWith(value,null) 19. 如果字符串和指定的字符串完全一样（包括大小写），则返回布尔值true，否则返回false。例如比较字符串“abc”和“ABC”，则返回false。 表达式：StringUtils.equals(value,"ABC") 20. 从字符串中获取指定字符串的第一个索引，没有则返回整数1。例如从“aabaabaa”中获取“ab”的第一个索引1。 表达式：StringUtils.indexOf(value,"ab") 21. 从字符串中获取指定字符串的最后一个索引，没有则返回整数1。例如从“aFkyk”中获取“k”的最后一个索引4。 表达式：StringUtils.lastIndexOf(value,"k") 22. 从字符串中指定的位置往后查找，获取指定字符串的第一个索引，没有则转换为“1”。例如“aabaabaa”中索引3的后面，第一个“b”的索引是5。 表达式：StringUtils.indexOf(value,"b",3) 23. 从字符串获取指定字符串中任一字符的第一个索引，没有则返回整数1。例如从“zzabyycdxx”中获取“z”或“a”的第一个索引0。 表达式：StringUtils.indexOfAny(value,"za") 24. 如果字符串仅包含Unicode字符，返回布尔值true，否则返回false。例如“ab2c”中包含非Unicode字符，返回false。 表达式：StringUtils.isAlpha(value) 25. 如果字符串仅包含Unicode字符或数字，返回布尔值true，否则返回false。例如“ab2c”中仅包含Unicode字符和数字，返回true。 表达式：StringUtils.isAlphanumeric(value) 26. 如果字符串仅包含Unicode字符、数字或空格，返回布尔值true，否则返回false。例如“ab2c”中仅包含Unicode字符和数字，返回true。 表达式：StringUtils.isAlphanumericSpace(value) 27. 如果字符串仅包含Unicode字符或空格，返回布尔值true，否则返回false。例如“ab2c”中包含Unicode字符和数字，返回false。 表达式：StringUtils.isAlphaSpace(value) 28. 如果字符串仅包含ASCII可打印字符，返回布尔值true，否则返回false。例如“!abc~”返回true。 表达式：StringUtils.isAsciiPrintable(value) 29. 如果字符串为空或null，返回布尔值true，否则返回false。 表达式：StringUtils.isEmpty(value) 30. 如果字符串中仅包含Unicode数字，返回布尔值true，否则返回false。 表达式：StringUtils.isNumeric(value) 31. 获取字符串最左端的指定长度的字符，例如获取“abc”最左端的2位字符“ab”。 表达式：StringUtils.left(value,2) 32. 获取字符串最右端的指定长度的字符，例如获取“abc”最右端的2位字符“bc”。 表达式：StringUtils.right(value,2) 33. 将指定字符串拼接至当前字符串的左侧，需同时指定拼接后的字符串长度，如果当前字符串长度不小于指定长度，则不转换。例如将“yz”拼接到“bat”左侧，拼接后长度为8，则转换后为“yzyzybat”。 表达式：StringUtils.leftPad(value,8,"yz") 34. 将指定字符串拼接至当前字符串的右侧，需同时指定拼接后的字符串长度，如果当前字符串长度不小于指定长度，则不转换。例如将“yz”拼接到“bat”右侧，拼接后长度为8，则转换后为“batyzyzy”。 表达式：StringUtils.rightPad(value,8,"yz") 35. 如果当前字段为字符串类型，获取当前字符串的长度，如果该字符串为null，则返回0。 表达式：StringUtils.length(value) 36. 如果当前字段为字符串类型，删除其中所有的指定字符串，例如从“queued”中删除“ue”，转换后为“qd”。 表达式：StringUtils.remove(value,"ue") 37. 如果当前字段为字符串类型，移除当前字段末尾指定的子字符串。指定的子字符串若不在当前字段的末尾，则不转换，例如移除当前字段“www.ctyun.cn”后的“.cn”。 表达式：StringUtils.removeEnd(value,".cn") 38. 如果当前字段为字符串类型，移除当前字段开头指定的子字符串。指定的子字符串若不在当前字段的开头，则不转换，例如移除当前字段“www.ctyun.cn”前的“www.”。 表达式：StringUtils.removeStart(value,"www.") 39. 如果当前字段为字符串类型，替换当前字段中所有的指定字符串，例如将“aba”中的“a”用“z”替换，转换后为“zbz”。 表达式：StringUtils.replace(value,"a","z") 40. 如果当前字段为字符串类型，一次替换字符串中的多个字符，例如将字符串“hello”中的“h”用“j”替换，“o”用“y”替换，转换后为“jelly”。 表达式：StringUtils.replaceChars(value,"ho","jy") 41. 如果字符串以指定的前缀开头（区分大小写），则返回布尔值true，否则返回false，例如当前字符串“abcdef”以“abc”开头，则返回true。 表达式：StringUtils.startsWith(value,"abc") 42. 如果当前字段为字符串类型，去除字段中所有指定的字符，例如去除“abcyx”中所有的“x”、“y”和“z”，转换后为“abc”。 表达式：StringUtils.strip(value,"xyz") 43. 如果当前字段为字符串类型，去除字段末尾所有指定的字符，例如去除当前字段末尾的所有空格。 表达式：StringUtils.stripEnd(value,null) 44. 如果当前字段为字符串类型，去除字段开头所有指定的字符，例如去除当前字段开头的所有空格。 表达式：StringUtils.stripStart(value,null) 45. 如果当前字段为字符串类型，获取字符串指定位置后（不包括指定位置的字符）的子字符串，指定位置如果为负数，则从末尾往前计算位置。例如获取“abcde”第2个字符后的字符串，则转换后为“cde”。 表达式：StringUtils.substring(value,2) 46. 如果当前字段为字符串类型，获取字符串指定区间的子字符串，区间位置如果为负数，则从末尾往前计算位置。例如获取“abcde”第2个字符后、第5个字符前的字符串，则转换后为“cd”。 表达式：StringUtils.substring(value,2,5) 47. 如果当前字段为字符串类型，获取当前字段里第一个指定字符后的子字符串。例如获取“abcba”中第一个“b”之后的子字符串，转换后为“cba”。 表达式：StringUtils.substringAfter(value,"b") 48. 如果当前字段为字符串类型，获取当前字段里最后一个指定字符后的子字符串。例如获取“abcba”中最后一个“b”之后的子字符串，转换后为“a”。 表达式：StringUtils.substringAfterLast(value,"b") 49. 如果当前字段为字符串类型，获取当前字段里第一个指定字符前的子字符串。例如获取“abcba”中第一个“b”之前的子字符串，转换后为“a”。 表达式：StringUtils.substringBefore(value,"b") 50. 如果当前字段为字符串类型，获取当前字段里最后一个指定字符前的子字符串。例如获取“abcba”中最后一个“b”之前的子字符串，转换后为“abc”。 表达式：StringUtils.substringBeforeLast(value,"b") 51. 如果当前字段为字符串类型，获取嵌套在指定字符串之间的子字符串，没有匹配的则返回null。例如获取“tagabctag”中“tag”之间的子字符串，转换后为“abc”。 表达式：StringUtils.substringBetween(value,"tag") 52. 如果当前字段为字符串类型，删除当前字符串两端的控制字符（char≤32），例如删除字符串前后的空格。 表达式：StringUtils.trim(value) 53. 将当前字符串转换为字节，如果转换失败，则返回0。 表达式：NumberUtils.toByte(value) 54. 将当前字符串转换为字节，如果转换失败，则返回指定值，例如指定值配置为1。 表达式：NumberUtils.toByte(value,1) 55. 将当前字符串转换为Double数值，如果转换失败，则返回0.0d。 表达式：NumberUtils.toDouble(value) 56. 将当前字符串转换为Double数值，如果转换失败，则返回指定值，例如指定值配置为1.1d。 表达式：NumberUtils.toDouble(value,1.1d) 57. 将当前字符串转换为Float数值，如果转换失败，则返回0.0f。 表达式：NumberUtils.toFloat(value) 58. 将当前字符串转换为Float数值，如果转换失败，则返回指定值，例如配置指定值为1.1f。 表达式：NumberUtils.toFloat(value,1.1f) 59. 将当前字符串转换为Int数值，如果转换失败，则返回0。 表达式：NumberUtils.toInt(value) 60. 将当前字符串转换为Int数值，如果转换失败，则返回指定值，例如配置指定值为1。 表达式：NumberUtils.toInt(value,1) 61. 将字符串转换为Long数值，如果转换失败，则返回0。 表达式：NumberUtils.toLong(value) 62. 将当前字符串转换为Long数值，如果转换失败，则返回指定值，例如配置指定值为1L。 表达式：NumberUtils.toLong(value,1L) 63. 将字符串转换为Short数值，如果转换失败，则返回0。 表达式：NumberUtils.toShort(value) 64. 将当前字符串转换为Short数值，如果转换失败，则返回指定值，例如配置指定值为1。 表达式：NumberUtils.toShort(value,1) 65. 将当前IP字符串转换为Long数值，例如将“10.78.124.0”转换为LONG数值是“172915712”。 表达式：CommonUtils.ipToLong(value) 66. 从网络读取一个IP与物理地址映射文件，并存放到Map集合，这里的URL是IP与地址映射文件存放地址，例如“ 表达式：HttpsUtils.downloadMap("url") 67. 将IP与地址映射对象缓存起来并指定一个key值用于检索，例如“ipList”。 表达式：CommonUtils.setCache("ipList",HttpsUtils.downloadMap("url")) 68. 取出缓存的IP与地址映射对象。 表达式：CommonUtils.getCache("ipList") 69. 判断是否有IP与地址映射缓存。 表达式：CommonUtils.cacheExists("ipList") 70. 根据指定的偏移类型（month/day/hour/minute/second）及偏移量（正数表示增加，负数表示减少），将指定格式的时间转换为一个新时间，例如将“20190521 12:00:00”增加8个小时。 表达式：DateUtils.getCurrentTimeByZone("yyyyMMdd HH:mm:ss",value, "hour", 8)

本节主要描述在使用云容器引擎前，需理解该产品所涉及的概念，以便于您更好地理解容器产品。 关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

本页介绍天翼云TeleDB数据库中强制访问控制。 强制访问是基于自定义的安全策略最终通过标签实现对用户和表的行级安全加密。安全策略(Policy)是等级(Level)和隔离区(Compartment)，组(Group)和标签(Label)的集合，最终通过绑定标签实现行级安全。其实现原理是将表和用户绑定到标签上，再由标签关联等级(必选)，隔离区(可选)和安全组(可选)，形成了一个多级的行级安全加密体系。 安全策略(Policy)：是指创建等级(Level)，隔离区(Compartment)，组(Group)和标签(Label)必须指定所属的安全策略。 等级(Level)：提供第二等级的安全控制，标签必须指定等级。 隔离区(Compartment)：提供第二等级的安全控制，可选。 组(Group)：提供第三等级的安全控制，一种树状的结构，可选。 标签(Label)：最终通过标签绑定体现行级安全。仅当用户被赋予的标签比此行标签有相同或更高等时，该行才可以被用户存取。 注意 分号(:)和逗号(,)保留用于多级安全体系的表达，安全策略中组件的名字不要使用。 在Teledb中，创建安全策略需要通过teledbxmls插件，需要创建插件 SQL CREATE EXTENSION teledbxmls; 安全策略 通过MLSCLSCREATEPOLICY()函数创建安全策略 SQL SELECT MLSCLSCREATEPOLICY(policyname, policyid) 参数描述： policyname(策略名称): 要创建的策略的名称，大小写敏感，不可以空。 policyid(策略ID): 用于标识策略的唯一ID，取值范围[1, 100]。 安全等级(Level) 通过函数MLSCLSCREATELEVEL()函数创建安全等级。 SQL SELECT MLSCLSCREATELEVEL(policyname, levelid, shortname, longname) 参数描述： policyname（策略名称）: 指定要添加安全级别的策略名称，不可以为空。 levelid（级别ID）: 用于标识安全级别的唯一ID，取值范围[0, 32767]。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 longname（完整名称）: 安全级别的描述。 通过MLSCLSALTERLEVELDESCRIPTION()函数修改等级的标签描述。 SQL SELECT MLSCLSALTERLEVELDESCRIPTION(policyname, levelid, longname) 安全隔离区(Compartment) 通过MLSCLSCREATECOMPARTMENT()函数创建安全隔离区(Compartment)。 SQL SELECT MLSCLSCREATECOMPARTMENT(policyname, compartmentid, shortname, longname) 参数 描述 ： policyname（策略名称）: 指定要添加安全隔离区的策略名称。 compartmentid（隔离区ID）: 用于标识安全隔离区的唯一ID，取值范围[0, 32767]。 shortname（简称）: 安全隔离区的简称。 longname（完整名称）: 安全隔离区的完整名称。 安全组(Group) 通过MLSCLSCREATEGROUPROOT()函数创建新的安全组根节点（Group Root） SQL SELECT MLSCLSCREATEGROUPROOT(policyname, rootid, shortname, longname) 参数描述： policyname（策略名称）: 指定要创建安全组根节点的策略名称。 rootid（根节点ID）: 用于标识安全组根节点的唯一ID。 shortname（简称）: 安全组根节点的简称。 longname（完整名称）: 安全组根节点的完整名称。 通过MLSCLSCREATEGROUPNODE()函数在数据库中创建新的安全组子节点（Group Node）并将其设置为指定父节点的子节点。 SQL SELECT MLSCLSCREATEGROUPNODE(policyname, childid, shortname, longname, parentshortz) 参数描述： policyname（策略名称）: 指定要创建安全组子节点的策略名称。 childid（子节点ID）: 用于标识安全组子节点的唯一ID。 shortname（简称）: 安全组子节点的简称。 longname（完整名称）: 安全组子节点的完整名称。 parentshortname（父节点简称）: 安全组子节点所属的父节点的简称。 标签(LABEL) 通过MLSCLSCREATELABEL()函数创建或替换MLS 策略的标签（label），并将其存储到数据库中。 SQL SELECT MLSCLSCREATELABEL(policyname, labelid, labelstr) 参数描述： policyname（策略名称）: 指定要添加标签的策略名称。 labelid（标签ID）: 用于标识标签的唯一ID，取值范围[0, 32767]。 labelstr（标签名）: 标签，不可为空，长度不超过256。由 ，其compartmentids和groupids由1到N个ID构成，ID间用,分割。有效的表达形式如下： levelid:compartmentid1,compartmentid2,...compartmentidN:groupid1,groupid2,...groupidN levelid:compartmentid:groupid levelid:compartmentid: levelid::groupid levelid:: 表标签绑定 通过MLSCLSCREATETABLELABEL()函数将指定标签绑定到指定的表(Table)，并将相关数据存储到pgclstable系统表。 SQL SELECT MLSCLSCREATETABLELABEL(policyname labelid, schemaname, tablename) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 labelid（标签ID）: 要应用于表的标签ID，取值范围[0, 32767]。 schemaname（模式名称）: 表所在的模式名。 tablename（表格名称）: 要应用标签的表名。 通过MLSCLSDROPTABLELABEL()函数删除绑定到表上的标签并更新pgclstable系统表数据。 SQL MLSCLSDROPTABLELABEL(policyname, schemaname, tablename) 用户标签绑定/删除 通过MLSCLSCREATEUSERLABEL()函数为指定的用户创建一个带有默认标签的用户账户，并将其存储到 pgclsuser 表中。 SQL SELECT MLSCLSCREATEUSERLABEL(policyname, username name, defreadlabel, defwritelabel, defrowlabel) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 username（用户名）: 要创建标签的用户账户名称。 defreadlabel（默认读标签）: 为用户定义的默认读标签ID。 defwritelabel（默认写标签）: 为用户定义的默认写标签ID。 defrowlabel（默认行标签）: 为用户定义的默认行标签ID。 通过MLSCLSDROPUSERLABEL()函数为指定用户删除标签，并将pgclsuser 表中指定用户的标签删除，且断开指定用户当前所有的数据库连接。 SQL SELECT MLSCLSDROPUSERLABEL(username) 参数描述： username（用户名）: 要删除指定用户标签的用户账户名称。 示例： 初始化环境 SQL c mlsadmin 创建安全策略 select MLSCLSCREATEPOLICY('rlspolicy', 66); 创建安全等级 select MLSCLSCREATELEVEL('rlspolicy', 10, 'defaultlevel', 'default Level'); select MLSCLSCREATELEVEL('rlspolicy', 10, 'userlevel', 'user Level'); select MLSCLSCREATELEVEL('rlspolicy', 9, 'badlevel', 'bad Level'); select MLSCLSCREATELEVEL('rlspolicy', 100, 'goodlevel', 'good Level'); 创建隔离区 select MLSCLSCREATECOMPARTMENT('rlspolicy', 30, 'rlscom0', 'RLS compartment 0'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 31, 'rlscom1', 'RLS compartment 1'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 32, 'rlscom2', 'RLS compartment 2'); 创建安全组 select MLSCLSCREATEGROUPROOT('rlspolicy', 50, 'root', 'group root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 51, 'child1', 'child of root node 1', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 52, 'child2', 'child of root node 2', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 511, 'child11', 'child of child1 node 1', 'child1'); select MLSCLSCREATEGROUPNODE('rlspolicy', 512, 'child12', 'child of child1 node 2', 'child1'); 创建安全标签，此时和安全等级，隔离区以及安全组进行绑定 select MLSCLSCREATELABEL('rlspolicy', 1024, 'defaultlevel:rlscom0:child12'); 将标签绑定到表 alter table public.tbl1 add column cls clsitem default '99:1024'; select MLSCLSCREATETABLELABEL('rlspolicy', 1024, 'public', 'tbl1'); 安全等级 SQL select MLSCLSCREATELABEL('rlspolicy', 1025, 'userlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1026, 'badlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1027, 'goodlevel::'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 1024, 1024, 1024); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 1025, 1025, 1025); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 1026, 1026, 1026); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 1027, 1027, 1027); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户不在隔离区，无法看到godlike1用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 (3 rows） SQL c badgodlike1 低优先级的用户无法看到高优先级的用户插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) SQL insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 低优先级用户可以看到自己创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:1026 8 8 66:1026 9 9 66:1026 (3 rows) SQL c goodgodlike1 高优先级用户可以看到低优先级用户创建的数据 同时无法看到隔离区的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (6 rows) SQL insert into public.tbl1 select generateseries(10,12), generateseries(10,12); select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 10 10 66:1027 11 11 66:1027 12 12 66:1027 (9 rows) SQL c godlike1 高优先级用户可以看到比自己低优先级用户创建的数据 无法看到比自己优先级高的用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (9 rows) SQL c commonuser0 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) 安全隔离区 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定隔隔离区 select MLSCLSCREATELABEL('rlspolicy', 2048, 'defaultlevel:rlscom0:'); select MLSCLSCREATELABEL('rlspolicy', 2049, 'defaultlevel:rlscom0,rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2050, 'defaultlevel:rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2051, 'defaultlevel:rlscom0,rlscom2:'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 2048, 2048, 2048); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 2049, 2049, 2049); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 2050, 2050, 2050); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 2051, 2051, 2051); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户所在隔离区含godlike1用户隔离区，可以看到godlike1的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 (6 rows) SQL c badgodlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 当前用户所在隔离区无法包含前面用户的隔离区，无法看到他们插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:2050 8 8 66:2050 9 9 66:2050 (3 rows) SQL c goodgodlike1 insert into public.tbl1 select generateseries(10,12), generateseries(10,12); 相同等级，godlike1的隔离区是当前的子集，当前用户可以看到godlike1插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 10 10 66:2051 11 11 66:2051 12 12 66:2051 (6 rows) SQL c godlike2 当前用户含rlscom0,rlscom1,rlscom2三个隔离区可以看到之前插入的所有数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 7 7 66:2050 8 8 66:2050 9 9 66:2050 10 10 66:2051 11 11 66:2051 12 12 66:2051 (12 rows) 安全组 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定用户组 select MLSCLSCREATELABEL('rlspolicy', 4096, 'defaultlevel:rlscom0:root'); select MLSCLSCREATELABEL('rlspolicy', 4097, 'defaultlevel:rlscom0:child1'); select MLSCLSCREATELABEL('rlspolicy', 4098, 'defaultlevel:rlscom0:child11,child12'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 4096, 4096, 4096); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 4097, 4097, 4097); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 4098, 4098, 4098); SQL c badgodlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 安全组根节点可以看到子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 (6 rows) SQL c godlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 安全组根节点可以看到所有子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 7 7 66:4096 8 8 66:4096 9 9 66:4096 (9 rows) SQL c badgodlike1 子节点 无法看到根节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows)

参数 参数说明 计费模式 包年/包月：预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。包年/包月集群创建后不能删除。 按需计费：后付费模式，按资源的实际使用时长计费，可以随时开通/删除资源。 本节以“按需计费”类型为例进行讲解。 区域 不同区域的云服务产品之间内网互不相通；请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 集群名称 新建集群的名称，创建后不可修改。 集群名称长度范围为4128个字符，以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾。 版本 Kubernetes社区基线版本，建议选择最新的版本。版本升级请参见集群版本升级说明。 若有 Beta 版本时，您可以选择试用，但不建议您将该版本用于商用场景。 集群管理规模 集群管理规模是指当前集群的控制节点可以管理的最大工作节点规模，您可以选择50节点、200节点、1000节点三种管理规模，请根据您的业务需求选择，该规模在集群创建后不可更改，请慎重选择。 若选择“1000节点”，表示当前集群的控制节点最多可管理1000个工作节点。由于不同管理规模的控制节点规格不同，因此配置费用会有差异。 任何一个集群中均包含“Master Node”和“Worker Node”，每一个Node对应一台云服务器。 Master Node：集群的控制节点，在创建集群时会自动创建控制节点，负责整个集群的管理和调度。 Worker Node：集群的工作节点，即用户购买或纳管的节点。工作负载是由控制节点分配的，当某个工作节点宕机时，控制节点会将工作负载转移到其他工作节点上。 控制节点数 多控制节点模式开启后将创建三个控制节点，在单个控制节点发生故障后集群可以继续使用，不影响业务功能。 多控制节点模式开关在集群创建完成后不可变更。 商用场景建议选择多控制节点模式集群。 虚拟私有云 新建集群所在的虚拟私有云，集群创建后不可更改。 虚拟私有云是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 若没有虚拟私有云可选择，请单击“创建虚拟私有云”进行创建，完成创建后单击刷新按钮。 所在子网 节点虚拟机运行的子网环境，集群创建后不可更改。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 若没有子网可选择，请单击“创建子网”进行创建，完成创建后单击刷新按钮。虚拟私有云、子网、集群的关系请参见集群概述。 请确保子网下的DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 集群创建后子网无法修改，请谨慎选择。 网络模型 集群创建成功后，网络模型不可更改，请谨慎选择。 容器隧道网络 容器隧道网络下只能添加同一类型的节点，即全部为虚拟机节点或全部为裸金属节点。 基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。 VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面等优势，可以满足大多数应用需求。 VPC 网络 VPC网络模式下每个节点占用一条VPC路由规则，Console界面中可显示当前局点支持的VPC路由规则条数，以及每个节点可供分配的容器IP个数（即可创建的Pod实例数目上限）， VPC路由方式与底层网络深度整合，适用于高性能场景，但每个节点占用一条VPC路由规则，节点数量受限于虚拟私有云VPC的路由配额。 VPC网络集群下的每个节点将会被分配固定大小的IP地址段，由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 容器网段 请根据业务需求选择容器网段，确定容器网段后，容器实例将在规划的网段内分配IP，集群创建后该网段不可更改。 未勾选“自动选择”：请手动选择网段。若与子网网段有冲突时将有红色文字提示，请重新选择。建议使用网段：10.0.0.0/8~18，172.16.0.0/16~18，192.168.0.0/16~18。 不同集群使用相同的容器网段，会导致容器IP 冲突，应用访问异常。 勾选“自动选择”：系统将自动分配与子网网段无冲突的网段。 容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。设置掩码后，选项下方会有当前网段最多支持的实例估算值，请作参考。 服务网段 服务网段为kubernetes service ip网段，集群创建后该网段不可更改。服务网段与已创建的路由不能冲突，如果冲突，请重新选择。 使用默认网段：默认设置为10.247.0.0/16网段。 手动设置网段：请根据业务需求设置合理的网段和掩码，掩码决定集群内可用service ip数量。 认证方式 认证机制主要用于对集群下的资源做权限控制。例如A用户只能对某个命名空间下的应用有读写权限，B用户对集群下的资源只有读权限等。角色权限控制的操作请参见集群管理权限控制。 默认状态下不选定“认证能力增强”，此时默认开启X509认证模式，X509是一种非常通用的证书格式。 若需要对集群进行权限控制，请勾选“认证能力增强”，选择“认证代理”。 单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书，并 勾选“我已确认上传的证书合法” 。 证书若不合法，集群将无法创建成功。请上传小于1MB的文件，上传格式支持.crt或.cer格式。 集群描述 选填，请输入新建容器集群相应的描述信息。 高级设置 单击“高级设置”后展开详细项目，支持的功能如下（当前可用区中不支持的功能将隐藏）： 服务转发模式： iptables：社区传统的kubeproxy模式，完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则，非增量式更新会引入一定的时延，大规模情况下有明显的性能问题。 ipvs：在社区获得广泛支持的kubeproxy模式，采用增量式更新，吞吐更高，速度更快，并可以保证service更新期间连接保持不断开，适用于大规模场景。 ipvs模式下，ingress和service使用相同的ELB实例时，无法在集群内的节点和容器中访问ingress。 说明 ipvs为大型集群提供了更好的可扩展性和性能。 ipvs支持比iptables更复杂的负载平衡算法（最小负载，最少连接，位置，加权等）。 ipvs支持服务器健康检查和连接重试等。 CPU 管理策略： 开启：支持给工作负载实例配置CPU独占，适用于对CPU缓存和调度延迟敏感的工作负载。 关闭：关闭工作负载实例独占CPU核的功能，优点是CPU共享池的可分配核数较多。 购买时长 若选择创建“包年/包月”的集群，请设置购买时长。

本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.2.0/24 (SubnetB02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetB02子网网段，下一跳为PeeringAB。 RouterB（VPCB） 10.0.0.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.2.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/24 (SubnetA01) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为SubnetA01子网网段，下一跳为PeeringAB。

情况 配置示例 VPC网段和子网网段均不重叠 通过对等连接实现两个VPC全地址段互通。具体请参考 VPC网段重叠且部分子网网段重叠 通过对等连接实现两个VPC中指定子网互通，对等连接两端VPC中需要互通的子网网段不用重叠。具体请参考 VPC网段和全部子网网段均重叠 无法通过创建对等连接来实现VPC之间的通信。具体请参考

资源规划 VPC名称 VPC网段 子网名称 子网网段 关联VPC路由表 弹性云主机名称 私有IP地址 VPCA 10.0.0.0/16 SubnetA011 10.0.1.0/24 RouterA A011 10.0.1.10 VPCA 10.0.0.0/16 SubnetA011 10.0.1.0/24 RouterA A012 10.0.1.11 VPCB 192.168.0.0/16 SubnetB01 192.168.1.0/24 RouterB B01 192.168.1.10 VPCC 192.168.0.0/16 SubnetC01 192.168.1.0/24 RouterC C01 192.168.1.20 对等连接关系 VPC对等关系 对等连接名称 本端VPC 对端VPC VPCA内的弹性云主机A011和VPCB内弹性云主机B01对等 PeeringAB VPCA VPCB VPCA内弹性云主机A012和VPCC内的弹性云主机C01对等 PeeringAC VPCA VPCC 路由表配置说明 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 110.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.10 (弹性云主机B01) PeeringAB 自定义路由 在VPCA的路由表中，添加一条路由规则，使其目的地址为弹性云主机B01的私有IP地址，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.20 (弹性云主机C01) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为弹性云主机C01的私有IP地址，下一跳为PeeringAC。 RouterB（VPCB） 192.168.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.1.10 (弹性云主机A011) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为弹性云主机A011的私有IP地址，下一跳为PeeringAB。 RouterC（VPCC） 192.168.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 10.0.2.10(弹性云主机A012) PeeringAC 自定义路由 在VPCC的路由表RouterC中，添加一条路由规则，使其目的地址为弹性云主机A012的私有IP地址，下一跳为PeeringAC。 配置完成后，VPCA内A011和VPCB内B01能够互相通信，VPCA内弹性云主机A012和VPCC内弹性云主机C01也将能够互相通信。