参数 是否必填 参数类型 说明 示例 下级对象 vpcId 是 String 虚拟节点所在Vpc ID vpcctt6yag121 vSwitchId 是 String 虚拟节点所在的子网ID subnety9n723knrg securityGroupId 是 String 虚拟节点所在的安全组ID sg5bvqyvrmch azInfo 是 Array of Objects 区域信息 azInfo virtualNodeName 否 String 虚拟节点名称 test kubeConfig 是 String 虚拟节点要连接的 K8s 集群的 KubeConfig。需进行 Base64 编码 YXBpdmVyc2lvb tags 否 Array of Objects 标签 tag taints 否 Array of Objects 污点 taint 表 azInfo

本小节介绍日志审计(原生版)应用场景,主要是响应合规性要求、日志审计监管、日志关联分析等场景。 场景一：响应合规场景 采用日志审计监测、记录和存储网络运行状态和安全事件等信息，实现对系统的全面监控和细致记录，配合多种审计策略，快速定位溯源，全面提升系统服务水平以及网络安全管理水平，满足网络安全法规及等级保护的相关要求。 产品优势能力 产品具备海量日志存储能力，并可以长时间地保存大量日志信息，同时采用了多种技术手段，实现高效地日志数据处理和存储，降低性能负担，确保用户在实现合规性的同时，仍能维持系统的服务水平。 通过深度分析安全设备的日志信息，可以及时检测潜在的安全威胁，并结合溯源分析追踪攻击者的行为路径和攻击手法，更好地了解攻击者的意图和方法，帮助快速发现并阻止潜在的攻击，减少安全事件造成的损失。 场景二：运维分析场景 针对中大型企业设备多，系统多，难以统一监管问题，采用日志审计将所有设备、用户行为日志统一监管，贯穿从边界到核心资产的全流程运维监控，以及扩展对关键数据等资产的保护。 产品优势能力 提供实时流的日志分析监控，通过邮件方式及时通知用户，提高运维的响应及时率。 仪表盘灵活查看不同设备的整体运行情况，通过定时任务，统计一天到一周、月、季度的业务数据运维情况。 借助统计报表掌握业务趋势，通过接口调用统计为扩容、性能问题排查提供参考信息。 场景三：审计分析场景 基于大数据架构的日志审计系统，针对各类系统的日志进行集中采集、管理、存储、统计，分析的系统，实现高效统一管理资产日志并提供实时检索，可视化交互分析，聚合分析，实时告警，报表等功能。

软件资产的合规管控 服务器上运行着各种应用系统，应用系统由不同的开发框架、中间件和开发类库等组成。在企业的安全管理规范下，实施黑名单管控机制，有些框架、中间件不可使用。 使用服务器安全卫士的资产清点分级视图，找出不合规的软件资产。如Nginx版本号小于<1.10.3属于不合规版本。 快速定位受影响的资产 新的漏洞出来以后，没有PoC检测，也没有漏洞的编号，如何在企业范围内查找受影响的资产范围，即定位该漏洞的影响范围。 通过资产清点查找受影响的资产范围，进一步查询该资产的管理员信息，进行下一步处置动作。

物理机服务为您提供优质的服务体验,本文带您了解产品优势。 安全稳定 天翼云物理机提供硬件隔离，确保敏感数据物理隔离，避免与其他租户共享计算资源，提供了更高的安全性和隔离性。 性能可靠 用户可以在无虚拟化层的情况下直接访问物理硬件资源，获得更高的性能和更低的延迟。这使用户可以将自己的操作系统、虚拟化软件和应用程序部署到物理机上，获得与传统物理机相似的性能。 高吞吐低时延 结合天翼云全新分布式4.0架构及深度学习智能调度引擎，实现超大规模部署，云网络访问性能带宽最高可达50Gbps，支持高带宽、低时延云存储，满足企业数据库、大数据、容器、HPC、AI等关键业务部署密度和性能诉求。 灵活可控 天翼云物理机允许用户根据需求选择硬件配置、存储选项和网络设置，并根据需要进行动态调整。用户可以定制适合自己业务需求的物理机环境，提供灵活的部署和管理选项。

本节介绍了如何重置云数据库GaussDB 的管理员密码。 操作场景 在使用云数据库GaussDB 过程中，如果忘记数据库root帐号密码，可以重新设置密码。 注意事项 如果数据库实例处于“异常”状态，则无法重置管理员密码。 重置密码生效时间取决于该实例当前执行的业务数据量。 请定期修改用户密码，以提高系统安全性，防止出现密码被暴力破解等安全风险。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择指定的实例，单击“更多 > 重置密码”。 您也可以在“基本信息”页签，在“数据库信息”模块的“管理员帐户名”处，单击“重置密码”。 步骤 3 在“重置密码”弹框，输入新密码及确认密码。 须知： 重置的密码需满足以下几个条件： 8到32个字符。 至少包含大写字母（AZ），小写字母（az），数字（09），非字母数字字符（限定为~!@%^+?,）四类字符中的三类字符。 不能与旧密码重复。 单击“确定”，提交重置。 单击“取消”，取消本次重置。

本节介绍如何对网站进行域名认证。 执行以下步骤进行域名认证： 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描服务”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，单击“去认证”。 4. 进入域名认证入口。 5. 在弹出的“认证域名”对话框中，选择域名认证方式完成域名认证。 免认证，仔细阅读下图中的使用须知，确认符合条件后，完成域名认证。 一键认证，如下图所示。

本节主要介绍OOS与其他服务的关系。 云存储网关 用户可以使用云存储网关将本地数据上传到OOS，云存储网关通过标准 iSCSI 协议提供块存储服务，帮助用户将全量数据自动同步到OOS中，实现存储空间的弹性扩展。 CDN OOS提供低成本的存储，CDN可以将网站、视频和应用等文件内容分发至用户附近的节点，使用户可以快速和安全地获取所需内容。将数据存放在OOS中然后通过配置CDN加速，可以帮助降低存储成本，同时提高用户体验。

调用API 以下三种认证方式区别仅在于认证的内容不同，调用API的方式是相同的。 “IAM认证”：需要借助IAM服务进行安全认证。 “无认证”：不需要认证，直接调用API即可。 “APP认证方式”：API调用者通过APP认证方式调用API。 −使用APP认证时，需要通过SDK访问。 −其中SDK访问提供了基于Java、Go、Python、JavaScript、C 、PHP、C++、C、Android等多种语言的SDK包。 −各个语言调用API示例请参考《数据治理中心 SDK参考》“使用APP认证调用API”的Java、Go、Python、C 、JavaScript、PHP、C++、C、Android、curl章节。

本节指导用户通过密钥管理界面删除标签。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标自定义密钥的别名，进入密钥详细信息页面。 步骤 5 单击“标签”，进入标签管理页面。 步骤 6 单击目标标签所在行的“删除”，弹出删除标签对话框。 步骤 7 在弹出的删除标签对话框中单击“确定”，完成标签的删除。

场景痛点 企业人员众多且分散各地，访问便利性和数据安全需着重考虑。 业务增长过程中，数据量和日志量不断增长，要求可扩展的存储空间。 建议搭配产品及架构 弹性云主机、云监控 产品优势 多协议支持：提供标准的NFS和CIFS访问协议，支持主流系统挂载，便于访问。 安全可信：基于VPC认证保证数据隔离，支持权限管理，保护数据安全。 按需扩展：需弹性扩展，性能线性增长，满足企业规模增长带来的容量和性能诉求。 场景三：Web应用 场景说明 高性能网站需要将服务组成集群，将代码文件、配置文件或图片等业务数据放在NAS存储上共享访问，通过多级Cache等技术，在海量小文件场景下，满足高并发、低时延的存储需求。 场景痛点 业务操作连续性高，加载缓慢将影响处理效率。 大量访问时，加载缓慢、卡顿。 建议搭配产品及架构 弹性负载均衡、弹性云主机、Serverless云容器 产品优势 超高性能：单文件系统支持10亿+文件，访问时延低至1~3ms。 超高并发：能处理突发的高峰流量，有效解决网站动态数据加载慢和业务卡顿问题。

本页介绍什么是关系数据库MySQL版。 MySQL是全球流行的开源关系型数据库管理系统之一，具有良好的跨平台能力。天翼云关系数据库MySQL版（CTRDS MySQL）是一款基于云计算平台的在线关系型数据库服务，完全兼容MySQL 5.7、MySQL 8.0，提供单机、主备、一主两备和只读四种实例类型，并具备完善的安全防护措施和性能监控体系，提供了专业的数据库管理控制台，方便用户使用数据库。通过关系数据库MySQL版服务的管理控制台，用户可以方便快捷地执行所有必需任务，有效降低运营难度和运维成本，只需专注开发应用和业务发展。关系数据库MySQL版优势如下： 资源弹性调度：支持根据业务需求对实例资源进行弹性调度。用户可以根据需要进行升级或降级，以满足不同业务场景下的需求，提高资源的利用效率。 管理简单：通过简单易用的控制台和API，提供丰富的管理功能，包括备份和恢复、性能监控、访问控制等，为用户提供高效的管理体验。 高可扩展性：支持只读实例，从而将读请求分担到只读实例上，提高服务的可扩展性。 高可用性和容错性：支持主备架构，保证数据的备份和在主库故障情况下的无缝切换，提高服务的可用性和容错性。 安全可靠：提供全面的安全性支持，包括数据加密和网络隔离等，保障数据的安全可靠。 当前关系数据库MySQL版支持版本，请参见存储引擎和版本。

套餐规格 标准资费（元/月/端点） 套餐主要内容 套餐版本能力 基础版 10 端点数授权数10个起购，每次购买步长为10，基础版10元/端点/月 支持终端资产管理、终端防病毒、合规检测、外设管控、漏洞检测及修复、上网行为管理、效能分析、软件管理、弹窗拦截、问题软件检测能力 企业版 25 端点数授权数10个起购，每次购买步长为10，企业版25元/端点/月 支持终端资产管理、终端态势大屏、终端防病毒、合规检测、外设管控、漏洞检测及修复、上网行为管理、效能分析、软件管理、弹窗拦截、问题软件检测、威胁检测与响应、AI 安全检测、勒索专项防护、网络攻击防护能力

本小节介绍安全专区云堡垒机登录运维方法。 安装插件 从互联网通过云堡垒机设置的“运维员”账号访问云堡垒机端口（ 根据提示完成安装插件。 测试登录 点击【运维操作】→【SSO】，可看到本账号在（详情参考资产管理授权）授权需要运维的资源，即可选择相应的运维方式进入单点登录。

本页介绍了文档数据库服务如何创建并登录弹性云主机。 创建并登录弹性云主机，请参见弹性云主机快速入门创建弹性云主机和弹性云主机快速入门登录弹性云主机。 该弹性云主机用于连接文档数据库实例，需要与待连接的实例处于同一虚拟私有云子网内。 创建弹性云主机时，要选择操作系统，例如centos7.6，并为其绑定EIP。 正确配置安全组，使弹性云主机可以直接连接文档数据库服务。

本页介绍了排查实例CPU使用率高问题的方法。 CPU使用率过高的一般排查步骤如下： 1. 在DDS控制台找到目标实例，单击监控图标， 然后在CPU页签下，查看CPU使用率较高的时间段。 2. 登录对应的实例机器查看系统资源使用情况：首先使用Linux的系统监控工具（如top、htop）或Windows的任务管理器，查看系统整体的CPU使用率和其他资源使用情况。确认是否只有MongoDB进程占用大量CPU资源，还是其他进程也在竞争CPU资源。 3. 文档数据库服务查询性能分析工具与方式： 1. MongoDB Compass等工具来查看当前正在执行的查询(MongoDB Compass 的下载与使用请参见Mongodb的官网下载)。 2. 使用MongoDB shell的db.currentOp()命令,检查是否有某个查询或操作占用了大量CPU资源。 db.currentOp()命令解析： 例如：连接上Mongodb shell 执行以下操作： > db.users.find({ age: { $gte: 18 } }).limit(10) > db.currentOp() { "inprog" : [ { "opid" : 1290, // 操作的唯一标识符 "op" : "query", // 操作类型：查询 "ns" : "exampledb.users", // 操作涉及的命名空间 "query" : { "age" : { "$gte" : 18 } }, // 查询条件 "client" : "127.0.0.1:57852", // 客户端IP地址和端口 "desc" : "conn211", // 操作的描述信息 "active" : true, // 操作是否活动中 "secsrunning" : 5, // 操作已经运行的时间（以秒为单位） "oplog" : false, "numYields" : 0, "locks" : { "Global" : "r", // 全局读锁 "MMAPV1Journal" : "r" // MMAPv1引擎的日志读锁 }, "waitingForLock" : false, "msg" : "", "numYieldOps" : 0, "database" : "exampledb", "command" : { "find" : "users", // 执行的命令：查找操作 "filter" : { "age" : { "$gte" : 18 } }, // 过滤条件 "limit" : 10 // 限制结果数 }, "planSummary" : "COLLSCAN", // 查询执行计划摘要 "lsid" : { "id" : { "UUID" : "e45ea9176c614a5e86812da4af89aa29" }, // 会话ID "uid" : ObjectId("ea6a1a2570a062f88eac10f5") // 用户ID }, "$clusterTime" : { "clusterTime" : Timestamp(1657796621, 1), "signature" : { "hash" : { "BsonData" : "wDUTByvnZXjN+MJB/M9Rlg", "Length" : 28 }, "keyId" : 6963168194386045953 } }, "stale" : false, "txnNumber" : 11, "startAt" : ISODate("20230721T15:57:01.246Z"), "autocommit" : false, "lastWrite" : { "opTime" : { "ts" : Timestamp(1657796621, 1), "t" : 1 }, "lastWriteDate" : ISODate("20230721T15:57:01Z"), "majorityOpTime" : { "ts" : Timestamp(1657796621, 1), "t" : 1 }, "majorityWriteDate" : ISODate("20230721T15:57:01Z") }, "activeShards" : {}, "numShards" : 0, "shardName" : "", "hashed" : false, "batchSize" : 0, "mode" : "scanned" } ] } 4. 确认索引使用情况：检查数据库中的索引是否被有效使用。缺少索引或索引使用不当可能导致查询性能下降，从而导致高CPU使用率。 5. 长时间运行的查询：检查是否有长时间运行的查询，这些查询可能会占用大量CPU资源。优化查询性能或者对长时间运行的查询进行调整可能有助于降低CPU使用率。 6. 调整Write Concern：写操作的Write Concern设置会影响数据写入的确认方式，使用较高级别的Write Concern可能会导致CPU开销增加。根据应用需求，选择合适的Write Concern。 7. 硬件性能：确认文档数据库运行在性能良好的硬件上，包括CPU、内存和磁盘。如果硬件性能不足，可能会导致CPU使用率过高。 8. 日志记录级别：考虑降低文档数据的日志记录级别，减少日志输出对CPU的影响。 9. 压力测试：进行压力测试以模拟生产环境的负载，并观察CPU使用率的变化。通过压力测试可以更好地理解系统的瓶颈和性能问题。 10. 数据分片：如果数据量较大，可以考虑使用文档数据库服务的分片集群，将数据分散到多个节点上，以实现水平扩展和负载均衡。 11. 数据库版本和配置：确保使用的文档数据库服务版本是较新的稳定版本，并根据硬件资源和负载情况合理配置文档数据库服务的参数。 注意 高CPU使用率可能是复杂的问题，可能有多个因素共同导致。在进行问题排查时，建议先在测试环境中进行实验和测试，逐步排查可能的原因。如果问题持续存在，可以考虑寻求专业的文档数据库技术支持。

查看数据库拖库检测规则 您可以在“审计规则 >风险操作”中查看数据库慢SQL检测规则，并根据需要执行以下操作： 启用 在数据库拖库检测规则所在行的“操作”列，单击“启用”，数据库安全审计将对该规则进行审计。 编辑 在数据库拖库检测规则所在行的“操作”列，单击“编辑”，在风险操作界面，您可以修改数据库拖库检测规则。 禁用 在数据库拖库检测规则所在行的“操作”列，单击“禁用”，在弹出的对话框中，单击“确定”，可以禁用该数据库拖库检测规则。禁用数据库拖库检测规则后，该规则将不在审计中执行。 删除 在数据库拖库检测规则所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，可以删除该规则。删除数据库拖库检测规则后，如果需要对该规则进行安全审计，请重新添加数据库拖库检测规则。

本章节介绍如何重置管理员密码 操作场景 文档数据库服务支持重置数据库管理员密码，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。以下情况不可重置密码： 重启中 节点扩容中 切换SSL中 修改端口号中 规格变更中 删除节点中 方式一 步骤 1 登录文档数据库服务。 步骤 2 在“实例管理”页面，选择指定的实例，选择“更多 > 重置密码”。 步骤 3 输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@%^+?的组合。 方式二 步骤 1 登录文档数据库服务。 步骤 2 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 3 在“基本信息”页面“数据库信息”区域的“管理员帐户名”处，单击“重置密码”。 步骤 4 输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@%^+?的组合。

本节介绍了用户指南： 并行文件概述。 云容器引擎支持使用天翼云并行文件存储卷。cstorcsi插件支持使用并行文件动态存储卷和静态存储卷，通过将并行文件存储卷挂载到容器指定目录，可满足数据持久化需求。 并行文件服务提供高性能并行文件存储，支持全NVMe闪存与RDMA技术，最高可实现百万级IOPS和百GBps吞吐量，同时保障亚毫秒级延迟。该服务具备高性能、高可靠性和高可扩展性特点，能够充分满足影视渲染、AI训练及自动驾驶等数据密集型场景的需求。 使用限制 插件版本 使用并行文件存储功能，需要cstorcsi插件版本 >3.3.2 容器集群 当前并行文件服务功能仅智算集群可见 文件协议 当前cstorcsi插件仅支持HPFSPOSIX协议 容量 单个文件系统最小容量为512GB 可用区 协议类型为hpfs时，不支持跨可用区挂载。 使用并行文件存储PVC的Pod将会被强制调度到该PVC创建时指定的的可用区内 其他限制 参见 并行文件使用限制 产品优势 共享访问 1. 支持上千台客户端挂载同一文件系统，实现共享访问。 2. 支持 NFS、HPFSPOSIX 协议类型，用户能够在创建文件系统时指定协议类型，通过标准 POSIX 接口访问数据，无缝适配主流应用程序进行数据读写。 3. 支持 MPII/O 并行计算接口，满足多客户端并行计算场景。 弹性扩展 1. 采用可扩展的元数据架构，单个文件系统可支持几十亿级别的文件数量，在海量文件场景下，仍然保持稳定持续的高效访问性能。 2. 分钟级别快速扩容，用户可根据实际需要对文件系统进行在线扩容，扩容过程 IO 不中断，保障业务连续性。 安全可信 1. 支持使用 VPC 用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 2. 使用多种 EC 方式、热备盘备份保证数据的可靠性。 3. 支持 HA，故障时自动切换，服务可用性在99.90%及以上。 性能优越 1. 可支持高性能100GE 以太网、IB、RoCE 网络。 2. 带宽、IOPS 性能可以随文件系统容量线性提升，最高提供百万 IOPS 和百 GBps 吞吐，同时保证亚毫秒级时延，使得数据访问更加高效。

DRDS已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对DRDS的只读权限、对DRDS的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

此章节为您介绍数据库审计用户管理相关的功能。 用户管理主要是指对用户权限及用户认证等进行管理。包括用户管理、远程认证配置、角色管理、用户安全配置以及授权数据库。 角色管理 角色可以看作是具有相同权限的用户的集合。系统将权限分配给角色，然后为用户指定角色。配置用户时通过设定用户所属角色，限制用户的操作权限范围。 用户的操作权限包括菜单显示和功能权限。只有赋予操作权限，用户才能进行相应的操作。 创建角色操作步骤 1.在菜单栏选择“系统管理 > 用户管理”，选择“角色管理”页签，进入“角色管理”页面。 2.单击“添加”进入“新增角色”页面，编辑名称（必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符），选择权限后，单击“保存”。 用户管理 添加角色后即可增加该角色的用户。 系统内置了以下四个默认用户： 说明 admin初始密码请联系天翼云技术支持获取。 admin：超级管理员，具备系统所有权限。系统只有一个超级管理员。 security：具备安全管理员权限，可配置数据库与规则、查看各类告警报告、管理安全员。 system：具备系统管理员权限，进行系统权限的配置和维护。 audit：具备审计管理员权限，查看其他用户的操作日志、管理审计员。 添加用户操作步骤 1.在左侧菜单栏选择“系统管理 > 用户管理”进入“用户管理”页面，单击“添加用户”。 2.进入添加用户页面，编辑相关信息，完成后单击“保存”。 配置项 说明 用户名 必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，最大长度64字符。 启用 单击“启用”后的开关，设置添加用户后是否立即启用用户。 角色 指定用户角色，包括内置角色和用户自定义角色，必填。 密码/确认密码 创建并确认新建用户的登录密码。密码长度6~64位，当启用强密码功能后需符合密码强度要求。修改密码时新旧密码不能相同。 手机号 设置用户的手机号。 邮箱 设置用户的邮件地址。 认证方式 用户登录系统时的认证方式。 登录IP/MAC限制 对用户登录系统时使用的IP/MAC进行限制。包括不限制、黑名单和白名单三种模式。 登录时间限制 限制用户登录系统的时间。

本章主要介绍资源池管理 新建资源池 背景介绍 通过资源池，用户可以接入自己的执行资源，在执行任务时，可以选择接入的资源池中的代理机来执行任务，提高任务执行效率，不再依赖产品预置的公共执行资源。 操作步骤 步骤 1 进入软件开发生产线首页，单击页面右上角用户名，在下拉菜单中选择“租户设置”。 步骤 2 单击“资源池管理 > 资源池”，进入“资源池管理”页面，单击“新建资源池”，完成资源池配置，单击“保存”。 资源池配置 配置项 说明 资源池名称 资源池的名称，根据需要自定义。 资源池类型 支持容器、虚拟机和MAC。 容器：执行任务时将拉起一个docker容器，任务在容器中运行。 虚拟机：执行任务时，任务会在虚拟机上运行。 MAC：注册代理的时候需要在MAC主机上执行注册代理命令。 资源池描述 根据需要输入自定义描述。 资源池可以被租户下所有子用户使用 勾选后，此资源池可以被当前租户下所有子用户使用。 步骤 3 新建成功后，列表查看新增一条记录。 新建代理 概述 通过在代理机上安装Agent并接入注册到软件开发生产线，可以实现自定义的执行资源接入。 前提条件 安装代理的主机必须安装JAVA8+、Git和Docker17.06+，只能使用root帐号安装执行命令。 请确保安装代理的主机可以访问公网。 同一台主机不可以安装相同名称的代理，同一台主机的不同代理不可以使用同样的代理工作空间。 使用代理机功能，需要配备1台4U8G或以上规格、磁盘>80GB的主机。

VPC名称 VPC网段 子网名称 子网网段 关联VPC路由表 ECS名称 安全组 私有IP地址 VPCA 172.16.0.0/16 SubnetA01 172.16.0.0/24 rtbVPCA ECSA01 sgweb：通用Web服务器 172.16.0.111 VPCA 172.16.0.0/16 SubnetA02 172.16.1.0/24 rtbVPCA ECSA02 sgweb：通用Web服务器 172.16.1.91 VPCB 10.0.0.0/16 SubnetB01 10.0.0.0/24 rtbVPCB ECSB01 sgweb：通用Web服务器 10.0.0.139 VPCC 10.0.0.0/16 SubnetC01 10.0.0.0/24 rtbVPCC ECSC01 sgweb：通用Web服务器 10.0.0.71

云容器引擎通过将Kubernetes网络和VPC深度集成，提供了稳定高性能的容器网络，能够满足多种复杂场景下工作负载间的互相访问。 约束与限制 每个命名空间下，创建的服务数量不能超过6000个。此处的服务对应kubernetes的service资源，即工作负载所添加的服务。 容器开启hostPort或hostNetwork网络模式后，若需对外提供服务，则需要给容器所在节点开启对应端口的安全组(containerPort)。 Service基本概念 Kubernetes中每一个工作负载会有一个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了Service这个资源对象。 Service是一种资源，提供了我们访问单个或多个容器应用的能力。每个服务在其生命周期内，都拥有一个固定的IP地址和端口。每个服务对应了后台的一个或多个Pod，通过这种方式，客户端就不需要关心Pod所在的位置，方便后端进行方便的Pod扩容、缩容等操作。 用户在Kubernetes中可以部署各种容器，其中一部分是通过HTTP、HTTPS协议对外提供七层网络服务，另一部分是通过TCP、UDP协议提供四层网络服务。而Kubernetes定义的Service资源就是用来管理集群中四层网络的服务访问。 根据创建Service的type类型不同，可分成如下模式： ClusterIP ：默认类型，为服务分配集群虚拟IP，此时集群内部的pod可以通过服务名称寻址到服务的集群虚拟IP地址，集群外无效。 NodePort ：在每个节点上为服务分配静态端口号，此时如果在集群外部访问任何一个节点的IP地址加指定的端口号，kubeproxy会将流量转发到服务的集群虚拟IP，再由虚拟IP寻址到Pod。 LoadBalancer ：通过云服务供应商提供的load balancer向外部暴露服务，由指定的load balancer负责对NodePort与ClusterIP服务的路由。 ClusterIP和NodePort类型的Service，在不同云服务商或是自建集群中的行为表现通常情况下相同。而LoadBalancer类型的Service，由于使用了云服务商的负载均衡进行服务暴露，云服务商会围绕其负载均衡的能力提供不同的额外功能。例如，控制负载均衡的网络类型，后端绑定的权重调节等，详情请参见本章相关文档。 服务访问方式 在CCE中，支持以下类型的互联互通： 集群内访问（ClusterIP ） 工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。集群内部域名格式为“ . .svc.cluster.local”，例如“nginx.default.svc.cluster.local”。详细请参见集群内访问(ClusterIP)。 节点访问（NodePort ） 节点访问 ( NodePort）是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 : ，可以从集群的外部访问一个NodePort服务。详细请参见节点访问(NodePort)。 负载均衡 ( LoadBalancer ) 通过弹性负载均衡从公网访问工作负载，与弹性IP方式相比提供了高可靠的保障，一般用于系统中需要暴露到公网的服务。访问方式由公网弹性负载均衡ELB服务地址以及设置的访问端口组成，例如“10.117.117.117:80”。详细请参见负载均衡(LoadBalancer)。 七层负载均衡（Ingress） 通常情况下，service和pod的IP仅可在集群内部访问。集群外部的请求需要通过负载均衡转发到service在Node上暴露的NodePort上，然后再由kubeproxy通过边缘路由器 (edge router) 将其转发给相关的Pod或者丢弃，而Ingress就是为进入集群的请求提供路由规则的集合。 Ingress可以给service提供集群外部访问的URL、负载均衡、SSL终止、HTTP路由等。为了配置这些Ingress规则，集群管理员需要部署一个Ingress controller，它监听Ingress和service的变化，并根据规则配置负载均衡并提供访问入口。 Ingress的组成部分： Nginx：实现负载均衡到pod的集合。 Ingress Controller：从集群api获取services对应pod的ip到nginx配置文件中。 Ingress：为nginx创建虚拟主机。 Ingress的创建与管理请参见Ingress概述。 网络策略（NetworkPolicy） 网络策略（NetworkPolicy）是一种关于pod间及pod与其他网络端点间所允许的通信规则的规范。 NetworkPolicy资源使用标签选择pod，并定义选定pod所允许的通信规则，详细请参见NetworkPolicy。 网络底层基础设施 VPC 虚拟私有云（Virtual Private Cloud，以下简称VPC），是基于创建的自定义私有网络，不同的专有网络之间彻底逻辑隔离。可以为云服务器、云数据库和负载均衡等构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 ELB 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据转发策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。 弹性负载均衡支持经典型、共享型两种负载均衡： − 经典型负载均衡：适用于访问量较小，应用模型简单的web业务。 − 共享型负载均衡：适用于访问量较大的web业务，提供基于域名和URL的路由均衡能力，实现更加灵活的业务转发。

本页为您介绍IAM相关概念及权限管理。 数据传输服务DTS已对接天翼云统一身份认证服务（IAM），可实现控制台功能、OpenAPI维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对DTS的只读权限、对 DTS的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限是实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

声明与协议 声明 百川智能的开发团队并未基于 Baichuan 2 模型开发任何应用，无论是在 iOS、Android、网页或任何其他平台。强烈呼吁所有使用者，不要利用 Baichuan 2 模型进行任何危害国家社会安全或违法的活动。另外，百川智能也要求使用者不要将 Baichuan 2 模型用于未经适当安全审查和备案的互联网服务。希望所有的使用者都能遵守这个原则，确保科技的发展能在规范和合法的环境下进行。 百川智能已经尽可能确保模型训练过程中使用的数据的合规性。但由于模型和数据的复杂性，仍有可能存在一些无法预见的问题。因此，如果由于使用 Baichuan 2 开源模型而导致的任何问题，包括但不限于数据安全问题、公共舆论风险，或模型被误导、滥用、传播或不当利用所带来的任何风险和问题，百川智能不承担任何责任。 协议 使用 Baichuan 2 模型需要遵循 Apache 2.0 和《Baichuan 2 模型社区许可协议》。Baichuan 2 模型支持商业用途，如果您计划将 Baichuan 2 模型或其衍生品用于商业目的，请您确认您的主体符合以下情况： 您或您的关联方的服务或产品的日均用户活跃量（DAU）低于100万。 您或您的关联方不是软件服务提供商、云服务提供商。 您或您的关联方不存在将授予您的商用许可，未经百川许可二次授权给其他第三方的可能。 在符合以上条件的前提下，您需要通过以下联系邮箱 opensource@baichuaninc.com，提交《Baichuan 2 模型社区许可协议》要求的申请材料。审核通过后，百川将特此授予您一个非排他性、全球性、不可转让、不可再许可、可撤销的商用版权许可。 免责声明 Baichuan27B模型来源于第三方，本平台不保证其合规性，请您在使用前慎重考虑，确保合法合规使用并遵守第三方的要求。

本文介绍Redis主子账号和IAM权限管理 分布式缓存服务Redis版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本章节会介绍如何使用MySQL命令行公网连接实例 当不满足通过内网IP地址访问RDS实例的条件时，可以使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与RDS for MySQL实例。 提供两种连接方式通过MySQL客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 公网连接时支持弹性公网IP或NAT访问，当同时设置NAT和弹性公网IP时，会优先使用弹性公网IP访问。 前提条件 1. 绑定弹性公网IP并设置安全组规则 。 1. 对目标实例绑定弹性公网IP。 2. 获取本地设备的IP地址。 3. 设置安全组规则。 4. 使用ping命令连通绑定的弹性公网IP，确保本地设备可以访问该弹性公网IP。 2. 使用客户端连接实例 。 在Linux操作系统中，您需要在弹性云主机上安装MySQL客户端。建议您下载的MySQL客户端版本高于已创建的RDS实例中数据库版本。 SSL连接 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 4、单击实例名称进入“基本信息”页面。 5、在“数据库信息”模块的“SSL”处，查看SSL开关状态。 开关打开。 6、单击“SSL”处的，下载“Certificate Download”压缩包，解压后获取根证书（ca.pem）和捆绑包（cabundle.pem）。 将根证书（ca.pem）导入弹性云主机Linux操作系统。 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 参数说明 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 CA证书路径，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 说明 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

关系数据库SQL Server版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对SQL Server的只读权限、对SQL Server的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本页介绍分布式融合数据库HTAP的主子账号和IAM权限管理功能。 操作场景 分布式融合数据库HTAP产品已对接天翼云统一身份认证服务（IAM），可实现在控制台按钮、菜单功能、OpenAPI等维度上对用户访问、操作资源的权限控制， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明请参见：统一身份认证。 IAM涉及主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本文介绍数据管理服务的优势和特点,帮助您快速了解数据管理服务。 支持多源异构数据库 数据管理服务DMS致力于构建企业级一站式数据管理平台，为各行业在异构、多云、多环境下的数据库提供统一的管理、运维和研发支持。 支持多种数据库类型，如MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS、ClickHouse等。 支持公网、天翼云RDS等来源的数据库。 安全可靠 数据管理服务DMS采用了一系列安全措施，以保障数据和元数据的安全，为企业数据库核心资产保驾护航。 提供了角色权限管理功能，允许企业为不同用户分配不同的权限，确保数据的访问和操作符合企业的安全策略。 支持元数据按团队隔离，大型组织可将实例和人员进行划分并归属不同团队，实现管理域分割，降低跨域越权访问风险。 全员、全生命周期的数据库审计，支持DMS操作审计和数据库内核全量SQL审计，确保数据库操作可追溯。 支持按实例、库/模式、表级进行细粒度的数据权限管控，保障企业数据安全。 提供账密托管能力，普通用户使用数据库不直接接触账密，减少数据库账密泄漏的概率，进一步保障数据库安全。 支持高危操作审批，通过定义不同操作对应的风险等级，可支撑高危操作下强制进行审批的场景，减少操作风险。 脚本和可视化操作双重支持 数据管理服务DMS支持用户编写SQL操作数据库，并支持将常用SQL保存为脚本。此外还支持对表、视图、存储过程、函数、事件、触发器等主要对象的可视化管理功能。 这些功能让用户可以通过直观的图形界面对数据库对象进行创建、修改、删除等操作，无需编写复杂的SQL语句，在满足用户数据库操作的灵活性之余，大大降低了操作门槛，使得非专业数据库管理员也能轻松地进行数据库管理。

此小节介绍设置告警通知。 通过设置告警通知，当数据库发生设置的告警事件时，您可以收到告警的通知邮件。您可以开启或关闭告警通知、设置告警的风险等级以及系统资源的告警信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置告警通知的实例。 6. 选择“告警通知”页签。 7. 设置告警通知，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 告警通知 开启或关闭告警通知。数据库安全审计默认开启告警通知，当数据库发生设置的告警事件时，数据库安全审计将发送告警通知邮件。：开启：关闭 告警方式 当前支持邮件通知的告警方式。 邮件通知 每天发送告警总条数 每天允许发送的告警总条数。须知如果每天的告警数超出该参数值，超出部分的告警信息将不会发送通知。 30 告警风险等级 选择产生告警通知的风险日志告警风险等级，可以选择：高中 低 高 CPU告警阈值(%) 设置审计实例系统资源CPU告警的阈值。当超过该阈值时，产生告警通知。 80 内存告警阈值(%) 设置审计实例系统资源内存告警的阈值。当超过该阈值时，产生告警通知。 80 磁盘告警阈值(%) 设置审计实例系统资源磁盘告警的阈值。当超过该阈值时，产生告警通知。 80 8. 单击“应用”。

本章节介绍如何查看敏感数据规则。 前提条件 已添加敏感数据规则。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，进入敏感数据规则列表。 说明 在“全部规则类型”、“全部风险等级”搜索栏选择敏感规则的类型、等级，敏感数据规则列表界面将只显示对应状态的规则。 输入规则名称或规则名称的关键字，单击或按“Enter”，可以搜索指定的敏感数据规则。 规则参数说明： 参数名称 参数说明 规则名称 敏感数据规则的名称。 规则类型 规则类型说明如下： 关键字：通过关键字来执行敏感规则。 正则表达式：通过正则表达式来执行敏感规则。 风险等级 敏感数据规则的风险等级。 风险等级分为110级。13级属于低风险，47级属于中风险。810级属于高风险。 规则描述 该规则的备注信息。