本文介绍云间高速(标准版)国际连接模式的计费项和产品计费方式。 场景说明 面向有国际组网 需求的用户，支持国际多云组网 与混合组网方案；多云组网所支持的资源池范围，以产品开通页面展示信息为准。 使用限制 本服务仅支持线下受理开通，如需办理，请联系您所在目标省份的电信客户经理进行申请开通。 仅限企业账号办理本服务开通业务，申请人需按要求提交五真实信息表、网络安全承诺书，经合规审核通过后，方可开通服务。 计费项及计费方式 计费项目 计费项目 计费说明 计费模式 计费规则 最小计费周期 国际通道带宽费 国际跨域链路带宽资源 包周期（包年/包月） 阶梯累进计费 单价(元/Mbps/月) × 带宽值(Mbps) × 包月时长(月) 月 国际多云端口带宽费 面向云侧接入端口的带宽使用费 包周期（包年/包月） 阶梯累进计费 单价(元/Mbps/月) × 带宽值(Mbps) × 包月时长(月) 月 国际入云端口费 云下线路对接设备的端口占用费 包周期（包年/包月） 固定规格计费 端口规格单价(元/月) × 包月时长(月) 月 国际路由增值服务费 接入设备默认提供 20 条路由条目，超出部分按条目数量及使用时长计费 包周期（包年/包月） 固定规格计费 超额路由条目数 × 路由增值服务费单价 × 包月时长(月) 月

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件和本地存储，这里选择并行文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动 计费模式 可以选择按需计费或者包年包月 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。

配置项 说明 名称 PV的名称。 持久卷类型 前支持云盘、弹性文件、对象存储、并行文件、海量文件和本地存储，这里选择本地存储。 具体创建页中展示的存储类型由当前资源池支持情况决定。 容量 根据业务需求自定义容量。 访问模式 ReadWriteOnce：卷可以被一个节点以读写方式挂载。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 参数 类型：包括NFS、Local，这里选择Local； 方式：包括指定节点、指定节点标签，可以根据业务需求选择； LocalPV的目录：要求指定节点或者指定标签节点中目录存在，否则会出现挂载失败。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 以将 local 卷作为原始块设备暴露出来。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。

本章节介绍云原生网关的插件配置 概述 云原生网关中提供了丰富的插件功能，可以满足用户特定的流量管理、可观测性、安全性能、请求/响应转换等需求，从而提高了网关的可扩展性，使得用户能够根据具体的应用场景进行灵活配置，实现高度个性化的云原生网关服务。 插件配置 目前云原生网关支持全局和路由级别两种粒度的插件配置： 1. 全局插件 ：应用于整个网关实例，对所有的路由都生效。一种插件类型只能有一个全局插件配置，应用于全体路由上。 2. 路由级插件 ：可灵活绑定在某一条路由上，只对特定的路由生效，允许根据具体的路由定制化功能。一种插件类型可以有多个不同的路由级插件配置，每个路由级插件配置可灵活应用于多条路由上。 3. 路由策略 ：也是由插件配置实现的，支持限流、重写等策略，应用在具体路由上。 当在路由上同时配置了某一种插件类型的全局插件、路由级插件和路由策略时，插件生效的优先级为：全局插件> 路由策略 路由级插件，即以全局插件中的配置为准。若在路由上只同时配置同一插件类型的路由级插件和路由策略，则以最新的插件配置为准。

云硬盘广泛应用于多种场景,如企业应用上云、云上虚拟化和核心数据库。 场景一：企业应用上云 场景说明 企业应用上云是企业数字化转型的重要举措，是指将企业的应用程序迁移到云平台上的过程，在此过程中，企业的内部办公系统以及企业外部业务系统都将进行上云搬迁部署。那么企业应用以及企业核心数据库所承载的业务及数据都会应用到云硬盘。 场景架构 产品优势 按需弹性扩展，性能线性增长，满足企业规模增长带来的容量和性能诉求。 提供规格丰富的多种云硬盘，满足不同企业应用对性能的不同诉求。 云硬盘可以挂载至弹性云主机，也可以应用于物理机中，可以匹配不同企业在算力资源不同情况下的存储诉求。 提供云硬盘备份与快照功能，满足企业对数据安全性与可靠性的诉求。 场景二：云上虚拟化 场景说明 采用弹性云主机或物理机构建虚拟化的公有云/私有云平台，结合天翼云自研虚拟化技术，提高IT基础架构业务支撑灵活度，降低系统管理复杂性。高IOPS、低延迟的SSD资源池顺利解决业务高峰期性能瓶颈问题。云硬盘在线扩容实现容量和性能的线性扩展，满足业务增长诉求。

本文介绍云主机快照相关操作。 注意 因业务调整，不再推荐使用云主机快照。详情请查看公告，点击公告链接。 云主机快照属于公测产品，公司将不对任何服务可用性、可靠性做出承诺，公司有权根据运营情况对功能做出调整。您选择使用云主机快照功能代表您同意了公测协议。 云主机快照 概述 天翼云云主机快照是一种云主机数据备份方式，云主机快照服务可以备份或者恢复云主机所有云硬盘的数据，常用于重要变更前的数据临时备份、数据恢复等。云主机快照不支持跨可用区，跨地域使用。相关需求请使用云主机备份，镜像服务等功能。 云主机快照主要适用于系统配置变更时的临时备份场景。鉴于其特性，并不推荐将其用于日常数据备份。若需进行日常数据备份操作，建议优先选择云主机备份或云硬盘备份方案，以保障数据的安全性与完整性。 云主机快照能够记录云主机在某个时刻的数据，通过回滚将数据恢复至快照时间点。还可以通过快照快速创建出多个具有相同数据的云主机用于业务部署。 云主机快照依赖原云主机，退订删除云主机需要先删除快照，所以快照数据不能单独保留。

对象存储各资源池的服务地址是什么？ 各资源池的具体服务地址详见域名（Endpoint）列表。 如何修改存储桶的属性？ 可以通过下列方式修改Bucket属性： 在控制台“存储桶列表”>“操作”>“属性”中可以修改存储桶属性，详见查看/修改存储桶属性。 使用API修改存储桶属性，详见PUT Bucket。 可以修改存储桶的数据位置吗？ 可以。存储桶创建后，可以通过下列方式进行修改数据位置： 在控制台“存储桶列表”>“操作”>“属性”>“区域属性”中可以修改数据位置，详见区域属性。 使用API修改存储桶的数据位置，详见PUT Bucket。 每个用户最多可以建立多少个存储桶（Bucket）？ 每个用户最多可以建立10个Bucket。具体怎么创建存储桶（Bucket），详见创建存储桶（Bucket）。 对象存储单个存储桶的容量上限是多少？ 对象存储单个存储桶的容量没有上限。 如何设置禁止外网访问存储文件？ 可以通过在Bucket Policy中使用条件运算符中的IP Address设置IP地址或范围的白名单、IP地址或范围的黑名单。详见安全策略或PUT Bucket Policy。

NAT网关产品广泛应用云上VPC公网统一出口和面向Internet提供公网服务场景，本文带您更快了解NAT网关经典应用场景。 公网NAT网关 应用场景一：云上网络入口，面向Internet提供服务 场景说明 当VPC内的云主机需要面向公网提供服务时，可以使用NAT网关的DNAT功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络安全。 推荐配置 DNAT功能绑定弹性IP，可通过端口映射方式，NAT网关会将会把访问该弹性IP的请求转换成指定的IP和端口转发到目标云主机实例上。 一个云主机配置一条DNAT规则，如果有多个云主机需要为公网提供服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。实现多个云主机共享弹性IP和带宽，精确的控制带宽资源，节省公网带宽资源。 组网架构 使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机、物理机的任何一个。例如： 弹性IP1的80端口，映射到云主机ECS 1的10080端口。 弹性IP1的8080端口，映射到云主机ECS 2的20080端口。 弹性IP2的443端口，映射到云主机ECS 3的30443端口。

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件和本地存储，这里选择并行文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动 计费模式 可以选择按需计费或者包年包月 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。

本文带您了解弹性负载均衡入网流量路径和出网流量路径。 入网流量路径 对于入网流量，在负载均衡器使用四层协议TCP/UDP时，可以通过LVS集群进行转发。LVS集群的节点会根据负载均衡器的流量分配策略，将接收到的访问请求直接分发到后端主机上，从而实现负载均衡。 而当负载均衡器使用七层协议HTTP/HTTPS时，通常涉及到两个层次的负载均衡。首先，请求会经过LVS集群，LVS会将请求平均分发到Nginx集群的所有节点。然后，Nginx集群的节点再根据负载均衡器的转发策略，将接收到的请求最终分发到主机。 对于七层协议HTTPS的流量，在最终分发到后端服务器之前，通常需要在Nginx集群内进行证书验证和数据包解密操作。这是为了确保安全性。然后，通过HTTP协议将请求转发到后端服务器进行处理。 出网流量路径 出网流量的路径取决于数据请求进入网络的方式。对于通过负载均衡器进入的访问流量，相应的响应流量也会通过负载均衡器返回。负载均衡器通过绑定的弹性公网IP接收来自公网的流量，并在EIP上进行计费。从负载均衡器到后端云主机之间的通信通过VPC内网进行，不会产生额外费用。

漏洞描述 Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器。 Apache HTTP Server 存在环境问题漏洞，该漏洞源于 Apache HTTP Server 在丢弃请求正文时无法关闭入站连接，从而导致请求夹带（request smuggling）。 基本信息 · CVE编号：CVE202222720 · 漏洞类型：敏感信息泄露 · 危险等级：高危 · 受影响应用版本：Apache HTTP Server < 2.4.52 · 检测方式：版本对比 · 公布时间： 20220314 · CVSS评分： 8 · CVSS详情： AV:N/AC:L/Au:N/C:P/I:P/A:P 修复建议 1.将 httpd 升级到 2.4.53 及以上版本，下载地址： 2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为 RedHat 7，软件包名称为 httpd，当前安装版本为 2.4.680.el7，对应漏洞修复版本为 2.4.697.el79.5，则漏洞修复命令为 sudo yum update y httpd

可管理自动处理的设置和病毒引擎的设置。本小节介绍服务器安全卫士设置管理。 自动处理设置 可设置全局的自动处理配置，也可针对某些主机进行特殊的设置，特殊设置后的主机配置结果将展示在列表中。 具体操作： 1.全局设置：用于控制全部主机的自动处理，该配置为长期生效的状态，对全部主机持续生效，包含新安装的主机。如果单独设置了某主机上的自动处理操作，则以单独设置的处理为准。 2.批量设置：用于批量下发主机上的特殊设置，该配置下发为一次生效的机制，设置的对象为下发时刻的主机范围，不持续生效。设置后的结果会展示在列表中，支持对全部主机、业务组和主机三种类型的范围进行下发。 3.设置：用于修改主机上的特殊设置。 杀毒引擎设置 可设置各病毒引擎的开关状态，方便用户管理杀毒引擎。目前支持小红伞病毒引擎、ClamAV病毒引擎、TSec反病毒引擎和青藤自研病毒引擎。

本实践介绍使用云备份将您创建的帕鲁服务器存档数据进行定时备份,以便存档出现异常时能够及时恢复。 实践场景 在帕鲁游戏过程中，由于各种异常事件引发的存档出错、存档丢失的情况时有发生，给玩家造成困扰，玩家往往需要定时手动对存档进行备份以防意外。天翼云云备份针对上述场景提供了简单易用、安全可靠的一键式存档备份能力，将您创建的帕鲁服务器存档数据进行定时备份，以便存档出现异常时能够及时恢复，随时拯救您的帕鲁伙伴。让您安心游玩帕鲁世界，无惧存档异常。 进入云备份控制台，即可轻松使用云备份服务。 约束与限制 该实践仅适用于“幻兽帕鲁（Palworld） Ubuntu”镜像的云主机。 计费说明 使用云备份服务会产生备份存储库费用和备份客户端费用。 计费项 计费模式 价格 ::: 备份存储库费用 仅支持包年包月，按照备份存储库容量和购买周期计费。 包月标准价格：0.2664元/GB/月； 还可享受包年一次性付费折扣，请参见存储库计费说明。 备份客户端费用 仅支持按需计费，根据客户端数量和使用时长计费。 0.06944元/台/小时

本文将为您介绍云硬盘备份的入门操作流程。 天翼云云硬盘备份可以为用户提供备份服务，并在磁盘故障、用户误删数据、遭到黑客攻击等情况下，使用云硬盘备份恢复数据或创建新盘，最大限度保证用户数据的安全性，云硬盘备份的使用流程如下图： 1. 首先进行准备工作，注册天翼云，确保账户余额充足，具体流程参见准备工作。 2. 在备份前，用户需要购买存储库，便于后续创建备份，存储库创建步骤请参见创建存储库。 3. 用户在创建存储库时可以选择云硬盘资源，并对其进行立即备份或设置自动备份，不选择云硬盘资源则代表仅创建存储库。存储库创建好，即可对云硬盘资源进行备份，后续产生的备份会放置于存储库中，创建备份的操作步骤请参见创建云硬盘备份。 4. 备份创建成功之后，用户可以根据业务实际需要，使用备份恢复云硬盘的数据，恢复数据的步骤请参见使用备份恢复源云硬盘以及使用备份创建新的云硬盘。

本文为您介绍IPsec VPN常见的应用场景。 IPsec VPN支持在企业本地数据中心或企业办公网络与天翼云VPC（Virtual Private Cloud）之间建立安全可靠的网络连接。 混合组网 您可以通过IPsec VPN隧道连接用户的数据中心和天翼云资源池的VPC网络，快速便捷地利用云上的弹性资源。 通过采用加密的IPsec VPN隧道将用户本地网络和云上VPC互联，利用VPC的弹性伸缩功能，扩展应用计算能力。 云上网络互联 通过IPsec VPN连接不同区域的VPC，使用户的数据和服务在不同地域能够互联互通。 您可以通过IPsec VPN连接天翼云不同区域资源池的VPC，也可以连接天翼云与其他云服务商的网络（前提是对方也具备同等IPsec VPN能力）。 多站点互联 通过IPsec VPN连接，可将多个站点的流量进行汇聚和转发。 您可以通过VPN网关建立多个IPsec连接通道，与企业的多个站点进行连接。 每个站点都可以访问云上VPC资源，实现多站点上云流量的汇聚。 每个站点可以通过VPN网关实现多个站点网络之间的互通。

本节主要介绍NAT64服务组成、产品特性、应用场景和使用限制。 NAT64服务可实现公网IPv6和公网IPv4的网络地址和协议转换，为部署在IPv4网络环境下的业务提供IPv6访问能力，支持通过 IPv6 网络侧用户发起连接访问 IPv4 网络侧的资源。 NAT64实例创建成功后，可以自主添加多个公网IP，快速进行NAT64转换，为原有的服务提供对应的IPv6访问能力。可以在一个NAT64实例中按需配置多个NAT64转换关系，同时还提供了细粒度的IP黑白名单能力，保证网络安全。 产品特性 NAT服务转换，每个公网IPv4地址在做NAT64后会有一个唯一的公网IPv6地址。 快速部署，只需要把已有的公网IPv4做NAT64映射，即可实现业务的IPv6访问能力。 支持添加白名单或者黑名单实现访问控制。 应用场景 部署在云上的服务，其通过对公网IPv4地址做NAT64后，原有的服务可以同时为IPv4和IPv6网络提供服务访问能力。 使用限制 限制 说明 IPv4公网地址 当前支持的IPv4公网地址为云上的公网IP。 单向访问 在做NAT64后，只支持从公网单向访问转换后的IPv6地址。

恢复操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 进入备份任务，选择相应的备份任务，在操作中单击恢复，选择相应的目标进行恢复。选中了目标实例，会根据备份库表所在节点的top结构自动匹配目标实例下对应的恢复top节点，如果分片和副本top没有匹配，将无法支持恢复任务。 3. 创建恢复任务后，会在源备份和目标恢复实例的恢复任务列表下都显示此次恢复任务。为了数据安全，数据恢复操作会先把数据恢复到目标集群临时库下，通过后台和人工check，由用户自主确定是否做临时库的数据切换。 4. 数据检查可通过恢复任务里的详情来check源目标节点相应表下的数据是否一致。 说明 因为对象存储中表备份数据还有一个额外文件，所以会比目标备份节点实际临时表数据多100多KB数据。 5. 人工核对恢复数据没有问题，可点击数据切换 按钮，会秒级把数据从临时表切换到正式表里。如果核对数据有问题，也可以点击取消按钮，暂停并删除此次目标集群的恢复任务。 注意 无论元数据还是数据恢复操作，都会把目标集群下相应恢复表的数据删除（如果有），请谨慎操作。

为确保您的天翼云文档数据库服务DDS实例正常运行，当您的DDS实例出现异常，天翼云的技术支持人员在支持过程中，在必要时候，需要登录您的DDS实例进行相关操作。全程保障信息安全。 在没有经过您授权的情况下，天翼云的技术支持人员只能查看DDS实例资源、资费和性能相关的信息。例如，DDS实例的购买时间、到期时间、CPU、内存、存储空间的容量以及备份空间、公网流量等信息等。 若您需要天翼云的技术支持人员对您的DDS实例进行日常运维或者遇到故障时候排查问题并尽快修复，您可以对他们进行如下授权： 常规配置授权：在获得您的授权后，在日常运维的时候，天翼云的技术支持人员可以查看您的DDS实例常规配置信息，包括白名单、备份策略及数据库参数等信息。通常情况下，天翼云的技术支持人员不会擅自更改您的DDS实例配置信息。 故障排查授权：在获得您的授权后，在遇到故障的时候，天翼云的技术支持人员可以登录您的DDS实例，查看DDS实例相关数据。包括DDS实例的库表结构、索引字段等信息。通常情况下，天翼云的技术支持人员不会擅自更改您的DDS实例的库表结构、索引字段等数据。

为确保DRDS高效、稳定运行，需对应用可能运行的SQL语句进行审计，找出不符合规范的语句，拒绝语句执行或者对用户提示警告，即通过DML审计规则可以实现SQL黑名单的功能。本文为您介绍如何开启或关闭已有的审计规则。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击数据库审计 页签，进入DML审计页面。 您可以在审计日志列表中查看目标分组和分片的审计日志，包括时间、数据库、语句、用户、客户端、审计方式和审计信息。 5. 选中目标分组，单击查看或修改审计 规则，进入DML审计规则面板。 6. 在DML审计规则列表中，找到目标审计规则，然后在开启列打开或关闭该审计规则。 系统默认配置了常用的审计规则，您可以根据需要进行启停操作。也可以根据实际情况新增DML审计规则，并对其进行启停操作。

相关参数 项目 说明 DB数限制 非Cluster版实例支持256个DB，范围[0,255]Cluster版本支持1个DB, 范围[0]。 数据持久化策略 自研的rdb+aof结合的持久化方式，落盘策略“everysec”。 数据过期删除策略 主动过期，系统周期性的检测，发现已过期的key时，会将其删除。惰性删除，当个key被访问时，如果已经过期，则将其删除。 备份数据保留策略 手动备份和周期备份副本数不超过3。 强一致性配置 若开启，发生主从切换会检查主从数据同步延时情况，若延时大这不进行切换，降低了节点可用性增加了数据可靠性，按应用需求是否开启。 Redis引擎版本 支持2.8、4.0、5.0、6.0、7.0版本。其中5.0版向下兼容4.0、2.8版。 实例名限制 实例名在开通页填好确认之后不能修改；在认证鉴权过程中对实例名做了关联性认证处理，提升实例安全性和隔离性。 规格变更 规格变更分为扩容和类型变更。扩容发生在同系列间，比如单机2G变单机4G；类型变更同规格的标准版单机升级为标准版主备，集群版单机升级为集群版主备；规格变更期间会出现抖动，尽量在业务低峰进行操作。规格变更后，手工备份和周期备份产生的备份副本将不可用，可重新执行备份操作。

本节介绍漏洞扫描最佳实践。 什么是漏洞？ 漏洞也被称为软件漏洞或安全漏洞，是指在软件或系统的设计和实现过程中存在的未被发现或被忽视的缺陷，可以被攻击者利用来获取未授权的访问、修改或删除敏感数据，或对系统进行破坏。 漏洞的危害 主要体现在以下几个方面： 对企业的危害 经济损失：漏洞可导致企业遭受不同程度的经济损失。攻击者可以通过恶意代码或其他手段窃取敏感数据、财务信息和客户信息，导致企业面临巨大财务损失。 品牌声誉受损：一旦遭受漏洞攻击，企业的品牌声誉不可避免地会遭受影响。如果数据泄露或其他风险引起公众关注，相应的负面宣传会对企业造成巨大的损害。 对用户的危害 个人信息泄露：攻击者可以通过利用漏洞窃取用户的个人信息，如姓名、地址、手机号、信用卡信息等，导致用户面临财务损失和其他风险。 盗用身份信息：通过漏洞，攻击者可以盗用他人的身份，访问用户的账号、甚至是社交媒体等，对用户造成心理困扰和隐私泄露的问题。 对社会的危害 因为漏洞的存在，攻击者可以轻松地进行各种网络犯罪行为，如网络诈骗、恶意软件植入、网络钓鱼等，给用户、企业、甚至是整个社会带来不可挽回的后果。

true表示允许扩容 超高I/O类型StorageClass，这里取名为csidiskssd，指定云硬盘类型为SSD，即超高I/O。 apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: csidiskssd 超高I/O StorageClass名字，用户可自定义 parameters: csi.storage.k8s.io/csidrivername: disk.csi.everest.io csi.storage.k8s.io/fstype: ext4 everest.io/diskvolumetype: SSD 云硬盘超高I/O类型，用户不可自定义 everest.io/passthrough: "true" provisioner: everestcsiprovisioner reclaimPolicy: Delete volumeBindingMode: Immediate allowVolumeExpansion: true reclaimPolicy：底层云存储的回收策略，支持Delete、Retain回收策略。 Delete ：删除PVC，PV资源与云硬盘均被删除。 Retain ：删除PVC，PV资源与底层存储资源均不会被删除，需要手动删除回收。PVC删除后PV资源状态为“已释放（Released）”，不能直接再次被PVC绑定使用。 说明 此处设置的回收策略对SFS Turbo类型的存储无影响，因此删除集群或删除PVC时不会回收包周期的SFS Turbo资源。 如果数据安全性要求较高，建议使用Retain以免误删数据。 定义完之后，使用kubectl create命令创建。 kubectl create f sas.yaml storageclass.storage.k8s.io/csidisksas created kubectl create f ssd.yaml storageclass.storage.k8s.io/csidiskssd created 再次查询StorageClass，回显如下，可以看到多了两个类型的StorageClass。

preventdestroy 当您将 preventdestroy 参数设置为true时，Terraform将会阻止对此资源的删除操作并返回错误。这个元参数可以作为一种防止因意外操作而重新创建成本较高实例的安全措施，例如数据库实例。如果要删除此资源，需要将这个配置删除后再执行 destroy 操作。 java lifecycle { preventdestroy true } ignorechanges 默认情况下，Terraform plan/apply 操作将检测云上资源的属性和本地资源块中的差异，如果不一致将会调用更新或者重建操作来匹配配置。您可以用 ignorechanges 来忽略某些参数不进行更新或重建。ignorechanges 的值可以是属性的相对地址列表，对于 Map 和 List 类型，可以使用索引表示法引用，如 tags["Name"]，list[0] 等。 java resource "ctyunecs" "ecsexamples" { ... lifecycle { ignorechanges [ instancename, ] } } 此时，Terraform 将会忽略对 instancename 参数的修改。除了列表之外，您也可以使用关键字 all 忽略所有属性的更新。 java resource "ctyunecs" "ecsexamples" { ... lifecycle { ignorechanges all } } replacetriggeredby Terraform 1.2版本新增，当任何引用项发生更改时，替换资源。 java resource "ctyunecs" "ecsexamples" { ... lifecycle { replacetriggeredby [ ctyunvpc.vpcexample.id ] } }

如何查看每个备份的大小？ 暂无法查看每个备份的大小。 但您可以查看每个资源的所有备份的大小。在“备份副本”页签中单击该资源的目标备份名称查看详情，即可获取到信息。 如何对资源进行周期性全备？ 默认情况下，云服务备份对一个新的资源第一次进行全量备份，后续进行永久增量备份。 云服务备份现支持在资源非第一次备份的情况下进行定期进行全量备份。您可以通过策略设置，配置每进行N次增量备份后，进行一次全量备份。相较于之前的策略配置，将更进一步提升备份数据的安全性，满足您定期进行全量备份的需求。 操作步骤：登录云服务备份控制台，选择“备份策略”页签，单击右上角“创建策略”，创建自定义策略。设置备份策略信息。勾选“全量备份”参数为启用状态，并配置全量备份的频率。系统会自动判断设置的周期是否合理，是否能够正常执行。如无法执行，请根据提示进行相应的修改。设置完成后，单击“立即创建”，完成备份策略的创建。找到目标存储库，单击“更多 > 绑定备份策略”，绑定创建好的备份策略。可以在存储库详情中查看已配置的备份策略。 绑定成功后，存储库将按照备份策略进行周期性全量备份。 备份时会对云主机性能造成影响吗？ 云服务备份不会对云主机性能造成影响。

本节介绍了查看任意数据库权限变更的相关内容。 操作场景 存储过程可以对指定登录账号设置允许查看任意数据库权限，禁止查看任意数据库后，只能看到master和tempdb数据库，无法看到其他数据库。 注意事项 存储过程只允许rdsuser或者创建出的主账号执行，创建的主账号具有和rdsuser相同的权限。创建主账号的存储过程详情请参见创建主账号。 默认情况下，所有用户都为public角色，可以看到实例上所有的数据库，但无法对没有权限的数据库进行访问或编辑。 不允许对rdsuser和其他内置账户进行查看数据库权限变更。内置账户详细信息请参考数据库安全设置。 前提条件 成功连接RDS for SQL Server实例。通过SQL Server客户端连接目标实例。 操作步骤 执行以下命令，设置用户是否可以看到所有数据库（不包含master和tempdb数据库）。 EXEC master.dbo.rdsviewanydatabase @user, @action ; @user: 指定用户。 @action: 指定操作。 − 'deny'：拒绝用户看到所有数据库。 − 'revoke'：允许用户看到所有数据库。 示例 拒绝用户testuser看到所有数据库，示例如下： EXEC master.dbo.rdsviewanydatabase 'testuser','deny' ; 允许用户testuser看到所有数据库，示例如下： EXEC master.dbo.rdsviewanydatabase 'testuser','revoke' ;

本章节主要介绍新建质量作业的操作。 质量作业可将创建的规则应用到建好的表中进行质量监控。 前提条件 在DataArts Studio控制台数据质量模块，“数据质量监控 > 质量作业”页面创建归属目录。基于某个数据连接创建质量作业，需要选择作业归属目录，请参见下图创建归属目录。 新建质量作业的归属目录 下表是导航栏按键说明 序号 说明 1 新建目录。 2 刷新目录。 3 选择目录，单击右键，可新建目录、删除目录和对目录重命名。 配置流程 1. 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据质量”模块，进入数据质量页面。 详见下图：选择数据质量 2. 选择“数据质量监控 > 质量作业”。 3. 单击“新建”，在弹出的对话框中，参见下表配置相关参数。 序号 说明 1 新建目录。 2 刷新目录。 3 选择目录，单击右键，可新建目录、删除目录和对目录重命名。 4. 单击“下一步”，进入规则配置页面。您需要点击规则卡片中的，然后参见下表配置数据质量规则。默认规则配置完成后，您也可选择继续添加更多的质量规则，创建完成后单击下一步，即可将创建的所有规则应用到已建好的库或表中。 详见下图：打开质量作业规则配置 下表是配置模板规则 添加方式 配置 说明 基本信息 子作业名称 在作业的执行结果中，每条规则对应一个子作业。为便于结果查看和日志定位，建议您补充子作业信息。 基本信息 描述 为更好的识别子作业，此处加以描述信息。 来源对象 规则类型 包括库级规则、表级规则、字段级规则、跨字段级规则和自定义规则，自定义规则可针对表中的具体字段配置监控规则。 来源对象 数据连接 来源对象/目的对象支持的数据源类型：DWS，MRS Hive，DLI，ORACLE、RDS（MySQL、PostgreSQL）。 从下拉列表中选择已创建的数据连接。 说明 规则都是基于数据连接的，所以在建立数据质量规则之前需要先到管理中心模块中建立数据连接。 针对通过代理连接的MRS HIVE，需要选择MRS API方式或者代理方式提交： MRS API方式：通过MRS API的方式提交。历史作业默认是MRS API提交，编辑作业时建议不修改。 代理方式：通过用户名、密码访问的方式提交。新建作业建议选择代理提交，可以避免权限问题导致的作业提交失败。 来源对象 数据库 选择配置的数据质量规则所应用到的数据库。 说明 数据库基于已建立的数据连接。 当“规则类型”选择“库级规则”，数据对象选择对应的数据库即可。 来源对象来源对象 数据表 选择配置的数据质量规则所应用到的表。 说明 数据表与数据库强相关，基于已选择的数据库。 当“规则类型”选择“表级规则”，数据对象选择对应的数据表。 来源对象 SQL 当“规则类型”选择“自定义规则”时，需要配置该参数。此处需输入完整的SQL语句，定义如何对数据对象进行数据质量监控。 来源对象 失败策略 选择是否勾选“忽略规则错误”。 来源对象 选择字段 当“规则类型”选择“字段级规则”，需要配置该参数。此处选择对应数据表中的字段。 说明 数据质量字段级别校验不支持对字段名为单个字母（例如：a,b,c,d...等）的字段进行校验。 来源对象 参考数据对象 当“规则类型”选择“跨字段级规则”，需要配置该参数。此处选择参考的数据字段。 来源对象 维度 当“规则类型”选择“自定义规则”时，需要配置该参数。将该自定义规则与质量六性（完整性、有效性、及时性、一致性、准确性、唯一性）进行关联。 计算引擎 集群名称 选择运行质量作业的引擎。仅数据连接为DLI类型时，此参数有效。 规则模板 模板名称 选择系统内置的或者用户自定义的规则模板。 说明 模板类型与规则类型强相关，详情请参见新建规则模板章节中的 系统内置的规则模板一览表。除去系统内置规则模板外，您也可关联在新建规则模板中新建的自定义模板。 规则模板 版本 仅“模板名称”选择为自定义的规则模板时，需要配置该参数。自定义的规则模板发布后，会产生对应的版本号，此处选择所需的版本。 规则模板 权重 设置规则的权重，支持按照字段级别设置权重。权重范围：【19】，整数。默认值为5。 计算范围 选择扫描区域 支持选择“全表扫描”或“条件扫描”，默认为全表扫描。 当仅需计算一部分数据，或需周期性按时间戳运行质量作业时，建议通过设置where条件进行条件扫描。 计算范围 where条件 输入where子句，系统会选择符合条件的数据进行扫描。 例如需要筛选数据表中“age”字段在(18, 60]区间范围内的数据时，where条件可设置为如下内容：age > 18 and age (datetrunc('hour', now()) interval '24 h') and time ：大于 ：大于等于 10”，其中“{1}”为通过告警参数配置的“空值行数”。 需要配置有字段空值率大于80%时告警，则此处可设置为“{3}>0.8”，其中“{3}”为通过告警参数配置的“空值率”。 需要配置字段空值大于10或字段空值率大于80%时告警，则此处可设置为“({1}>10)ll ({3}>0.8)”，其中“{1}”和“{3}”分别为通过告警参数配置的“空值行数”和“空值率”，“ll”表示满足两个条件之一即会告警。 告警条件 告警参数 此参数来源于规则模板的输出结果。您可以单击界面显示的参数从而输入告警表达式中的告警参数，单击后系统会在“告警表达式”输入框给出参数的表达式。 例如“规则模板”为“字段空值”时，点击告警参数“空值行数”，在“告警表达式”输入框会显示为“${1}”。 告警条件 逻辑运算符 可选，本参数支持将单一告警表达式的结果进行逻辑运算，组成更复杂的告警条件。 您可以将鼠标光标放在“告警表达式”输入框处需要进行逻辑运算的两个告警表达式之间，然后单击输入如下之一运算符。另外，您也可以手动输入，当前表达式中支持如下逻辑运算符，且可以通过“(”和“)”进行包围： +：相加 ：相减 ：相乘 /：相除 ：等于 !：不等于 >：大于 ：大于等于 10)ll ({3}>0.8)”，其中“{1}”和“{3}”分别为通过告警参数配置的“空值行数”和“空值率”，“ll”表示满足两个条件之一即会告警。 告警条件 质量评分 当“规则类型”选择“自定义规则”时，需要配置该参数。 告警条件 生成异常数据 开启“生成异常数据”开关，单击“选择库表”可将质量作业中不符合设定规则的异常数据存储在异常表中。 说明 自定义模板不支持生成异常数据，自定义规则可通过自定义异常表SQL生成异常数据。 系统内置模板，“表级规则”中的“表行数”模板。“字段级规则”中的“字段平均值”、“字段汇总值”、“字段最大值”、“字段最小值”模板不支持生成异常数据。 当质量作业设置周期调度或重跑时，每次实例运行的扫描的异常数据会持续插入该异常表。建议您定期到该数据湖中清理异常表数据，避免异常数据表超大带来的成本与性能问题。 告警条件 异常表 单击选择库表，可以配置输出表名的前后缀。 告警条件 输出配置 输出规则配置：勾选，则可在异常表中显示质量作业的配置信息，方便查看异常数据产生的源头。 输出空值：勾选，则当空值不满足设定规则时，可在异常表中输出空值。 告警条件 异常数据数量 可选择输出全部的异常数据，或者设定数量的异常数据。 告警条件 异常表SQL 当“规则类型”选择“自定义规则”时，需要配置该参数。此处需输入完整的SQL语句，指定输出哪些数据是异常数据。 告警条件 查看相同规则 单击，创建质量作业时， 能够根据表和字段判断规则的重复性。 提示已存在相关子规则和质量作业，您可看到已有规则。 计算范围 选择扫描区域 用来确定所配置的某条规则应检查的范围。 勾选全表扫描，则遍历所有表。 勾选条件扫描，输入where条件后，精确定位分区查询数据，不需要全表扫描查询。 5. 单击“下一步”，设置告警配置信息。如果您在上一步的规则配置中已配置告警表达式，此处会自动带出已配置的表达式；如果未配置，则您可在此进行配置。多条（2条及以上）子规则时，则可以选择如下两种告警配置方式之一进行配置： a.支持通过子规则的告警条件，分别上报告警。 b.将子规则之间的告警参数值通过数学运算和逻辑运算，设置一个统一的告警条件表达式来表示作业是否告警。 当前表达式中支持如下逻辑运算符，且可以通过“(”和“)”进行包围： − +：相加 − ：相减 − ：相乘 − /：相除 − ：等于 − !：不等于 − >：大于 − ：大于等于 − <：小于等于 − !：非 − ：或 − &&：与 6. 单击“下一步”，设置订阅配置信息，如果需要接收SMN通知，打开通知状态，选择通知类型和SMN服务主体。 7. 单击“下一步”，选择调度方式，支持单次调度和周期调度两种方式，周期调度的相关参数配置请参见表下表。配置完成后单击“提交”。 说明 1. 单次调度会产生手动任务的实例，手动任务的特点是没有调度依赖，只需要手动触发即可。 2. 周期调度会产生周期实例，周期实例是周期任务达到启用调度所配置的周期性运行时间时，被自动调度起来的实例快照。 3. 周期任务每调度一次，便生成一个实例工作流。您可以对已调度起的实例任务进行日常的运维管理，如查看运行状态，对任务进行终止、重跑等操作。 4. 只有支持委托提交作业的MRS集群，才支持质量作业周期调度。支持委托方式提交作业的MRS集群有： MRS的非安全集群。 MRS的安全集群，集群版本大于 2.1.0，并且安装了MRS 2.1.0.1以上的补丁。 下表是配置周期调度参数 参数名 说明 生效日期 调度任务的生效日期。 调度周期 选择调度任务的执行周期，并配置相关参数。 分钟 小时 天 周 说明 调度周期选择分钟/小时，需配置调度的开始时间、间隔时间和结束时间。开始时间目前支持设置到分钟级别，进行错峰调度。 调度周期选择天，需要配置调度时间，即确定了调度任务于每天的几时几分启用。 调度周期选择周，需要配置生效时间和调度时间，即确定了调度任务于周几的几时几分启用。

系统角色 角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 IAM中预置的CCE系统角色为 CCEAdministrator ，给用户组授予该系统角色权限时，必须同时勾选该角色依赖的其他策略才会生效，例如Tenant Guest、Server Administrator、ELB Administrator、OBS Administrator、SFS Administrator、SWR Admin、APM FullAccess。 系统策略 IAM中预置的CCE系统策略当前包含CCEFullAccess 和CCEReadOnlyAccess两种策略： CCE FullAccess ：系统策略，CCE服务集群相关资源的普通操作权限，不包括集群（启用Kubernetes RBAC鉴权）的命名空间权限，不包括委托授权、生成集群证书等管理员角色的特权操作。 CCE ReadOnlyAccess： 系统策略，CCE服务集群相关资源的只读权限，不包括集群（启用Kubernetes RBAC鉴权）的命名空间权限。 表 CCE FullAccess策略主要权限 操作（Action） Action详情 说明 cce:: cce:cluster:create 创建集群 cce:: cce:cluster:delete 删除集群 cce:: cce:cluster:update 更新集群，如后续允许集群支持RBAC，调度参数更新等 cce:: cce:cluster:upgrade 升级集群 cce:: cce:cluster:start 唤醒集群 cce:: cce:cluster:stop 休眠集群 cce:: cce:cluster:list 查询集群列表 cce:: cce:cluster:get 查询集群详情 cce:: cce:node:create 添加节点 cce:: cce:node:delete 删除节点/批量删除节点 cce:: cce:node:update 更新节点，如更新节点名称 cce:: cce:node:get 查询节点详情 cce:: cce:node:list 查询节点列表 cce:: cce:nodepool:create 创建节点池 cce:: cce:nodepool:delete 删除节点池 cce:: cce:nodepool:update 更新节点池信息 cce:: cce:nodepool:get 获取节点池 cce:: cce:nodepool:list 列出集群的所有节点池 cce:: cce:release:create 创建模板实例 cce:: cce:release:delete 删除模板实例 cce:: cce:release:update 更新升级模板实例 cce:: cce:job:list 查询任务列表（集群层面的job） cce:: cce:job:delete 删除任务/批量删除任务（集群层面的job） cce:: cce:job:get 查询任务详情（集群层面的job） cce:: cce:storage:create 创建存储 cce:: cce:storage:delete 删除存储 cce:: cce:storage:list 列出所有磁盘 cce:: cce:addonInstance:create 创建插件实例 cce:: cce:addonInstance:delete 删除插件实例 cce:: cce:addonInstance:update 更新升级插件实例 cce:: cce:addonInstance:get 获取插件实例 cce:: cce:addonTemplate:get 获取插件模板 cce:: cce:addonInstance:list 列出所有插件实例 cce:: cce:addonTemplate:list 列出所有插件模板 cce:: cce:chart:list 列出所有模板 cce:: cce:chart:delete 删除摸板 cce:: cce:chart:update 更新模板 cce:: cce:chart:upload 上传模板 cce:: cce:chart:get 获取模板信息 cce:: cce:release:get 获取模板实例信息 cce:: cce:release:list 列出所有模板实例 cce:: cce:userAuthorization:get 获取CCE用户授权 cce:: cce:userAuthorization:create 创建CCE用户授权 ecs:: ECS（弹性云主机）服务的所有权限。 evs:: EVS（云硬盘）的所有权限。 可以将云硬盘挂载到云主机，并可以随时扩容云硬盘容量 vpc:: VPC（虚拟私有云，包含二代ELB）的所有权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内。 sfs::get SFS（弹性文件存储服务）资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件存储服务）资源的扩容共享。 aom::get AOM（应用运维管理）资源详情的查看权限。 aom::list AOM（应用运维管理）资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）自动扩缩容规则的所有操作权限。 apm:icmgr: APM（应用性能管理服务）操作ICAgent权限。 lts:: LTS（云日志服务）的所有权限。 表 CCE ReadOnlyAccess策略主要权限 操作（Action） 操作（Action） 说明 cce::get cce:cluster:get 查询集群详情 cce::get cce:node:get 查询节点详情 cce::get cce:job:get 查询任务详情（集群层面的job） cce::get cce:addonInstance:get 获取插件实例 cce::get cce:addonTemplate:get 获取插件模板 cce::get cce:chart:get 获取模板信息 cce::get cce:nodepool:get 获取节点池 cce::get cce:release:get 获取模板实例信息 cce::get cce:userAuthorization:get 获取CCE用户授权 cce::list cce:cluster:list 查询集群列表 cce::list cce:node:list 查询节点列表 cce::list cce:job:list 查询任务列表（集群层面的job） cce::list cce:addonInstance:list 列出所有插件实例 cce::list cce:addonTemplate:list 列出所有插件模板 cce::list cce:chart:list 列出所有模板 cce::list cce:nodepool:list 列出集群的所有节点池 cce::list cce:release:list 列出所有模板实例 cce::list cce:storage:list 列出所有磁盘 cce:kubernetes: 操作所有kubernetes资源。 ecs::get ECS（弹性云主机）所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云主机 ecs::list ECS（弹性云主机）所有资源列表的查看权限。 bms::get BMS（物理机）所有资源详情的查看权限。 bms::list BMS（物理机）所有资源列表的查看权限。 evs::get EVS（云硬盘）所有资源详情的查看权限。可以将云硬盘挂载到云主机，并可以随时扩容云硬盘容量 evs::list EVS（云硬盘）所有资源列表的查看权限。 evs::count vpc::get VPC（虚拟私有云，包含二代ELB）所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内 vpc::list VPC（虚拟私有云，包含二代ELB）所有资源列表的查看权限。 sfs::get SFS（弹性文件服务）服务所有资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件服务）资源的扩容共享。 aom::get AOM（应用运维管理）服务所有资源详情的查看权限。 aom::list AOM（应用运维管理）服务所有资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）服务自动扩缩容规则的所有操作权限。 lts::get LTS（云日志服务）的所有资源详情的查看权限。 lts::list LTS（云日志服务）的所有资源列表的查看权限。

弹性伸缩服务提供以下相关API接口。 类型 描述 伸缩服务开通验证 验证用户是否已开通弹性伸缩服务 伸缩资源配额查询 查询用户的弹性伸缩组、伸缩配置、伸缩策略配额 查询伸缩组 查询伸缩组列表 创建伸缩组 创建一个弹性伸缩组 删除伸缩组 删除一个弹性伸缩组 修改伸缩组 修改一个弹性伸缩组 停用伸缩组 停用一个弹性伸缩组 启用伸缩组 启用一个弹性伸缩组 修改伸缩组最大云主机数 修改伸缩组最大云主机数 修改伸缩组最小云主机数 修改伸缩组最小云主机数 查询负载均衡器 查询伸缩组的负载均衡列表 添加负载均衡器 添加一个或多个负载均衡 删除负载均衡器 删除一个或多个负载均衡实器 修改伸缩组云主机回收方式 修改弹性伸缩组的云主机回收方式 修改伸缩组健康检查方式 修改弹性伸缩组的健康检查方式 修改伸缩组健康检查间隔 修改一个弹性伸缩组的健康检查间隔 检查伸缩组云防火墙 用于检查该账户下，哪些安全组被伸缩配置所使用 检查伸缩组是否可以修改 检查弹性伸缩组是否可以修改 修改弹性伸缩组的一个伸缩配置 修改弹性伸缩组的伸缩配置 修改弹性伸缩组的伸缩配置列表 修改弹性伸缩组的伸缩配置列表 开启伸缩组保护 开启伸缩组保护，不可删除该伸缩组 关闭伸缩组保护 关闭伸缩组保护，可以删除该伸缩组 移入云主机 将一台或多台云主机移入伸缩组 移出云主机 将一台或多台云主机移出伸缩组 移出云主机并释放 将一台或多台云主机移出伸缩组并释放 设置云主机保护 开始保护或者停止保护伸缩组内的一台或者多台云主机 关闭云主机保护 关闭云主机保护 开启云主机保护 开启云主机保护 设置云主机移出规则 设置云主机移出规则 获取伸缩组主机数量监控数据 获取弹性伸缩云主机数量监控数据 查询伸缩组不健康主机 查询伸缩组内不健康云主机信息 查询伸缩组云主机信息 查询伸缩组内云主机的列表，并列出云主机的信息 查询伸缩组云主机可用区分布 查询伸缩组内的云主机的可用区分布 创建伸缩策略 创建一个弹性伸缩策略 删除伸缩策略 删除一条伸缩策略 修改伸缩策略 修改一条伸缩策略 执行伸缩策略 执行一条伸缩策略 创建告警策略 创建一个告警策略 删除告警策略 删除一个告警策略 修改告警策略 修改弹性伸缩告警策略 启用告警策略 启用一个告警策略 停用告警策略 停用一个告警策略 创建周期策略 在伸缩组中创建一个周期策略 创建定时策略 在伸缩组中创建一个定时策略 删除定时策略 删除一个定时策略 修改定时策略 修改一个定时策略 启用伸缩组中指定策略 启用伸缩组中的指定策略 停用伸缩组中指定策略 停用伸缩组中的指定策略 查询伸缩组策略表 查询弹性伸缩组内的策略列表 查询定时策略信息表 查询定时策略信息列表 查询周期策略信息表 查询周期策略信息列表 查询伸缩组告警策略 查询弹性伸缩的告警策略 修改一个周期策略 修改一个周期策略 启用一个周期策略 启用一个周期策略 删除一个周期策略 删除一个周期策略 停用一个周期策略 停用一个周期策略 查询伸缩配置 查询弹性伸缩配置 创建伸缩配置 创建一个弹性伸缩配置 删除伸缩配置 删除一个弹性伸缩配置 修改伸缩配置 修改一个弹性伸缩配置 查询伸缩活动ID 查询伸缩活动ID列表 查询伸缩活动详细信息 根据一个伸缩活动的ID查询一个伸缩活动的详细信息 查询伸缩活动列表 查询伸缩组的伸缩活动，并列出伸缩活动的全部信息

CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。当您配置完CC攻击防护规则并开启CC攻击防护后，WAF才能根据您配置的CC攻击防护规则进行CC攻击防护。 CC攻击防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用CC攻击防护规则的引用表。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“CC攻击防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤7 在“CC防护”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，根据表配置CC防护规则。 CC防护规则参数说明 参数 参数说明 取值样例 规则描述 可选参数，设置该规则的备注信息。 限速模式 “IP限速”：根据IP区分单个Web访问者。 “用户限速”：根据Cookie键值或者Header区分单个Web访问者。 “其他”：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。 说明 选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 例如：若用户不希望访问者从“www.test.com”访问网站，则“Referer”对应的“内容”设置为“ 用户标识 “限速模式”选择“用户限速”时，需要配置此参数： 选择Cookie时，设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。 例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以用name字段来区分Web访问者。 选择Header时，设置需要防护的自定义HTTP首部，即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。 name 限速条件 单击“添加”增加新的条件，至少配置一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 字段 子字段：当“字段”选择IPv4、IPv6、Cookie、Header、Params时，请根据实际需求配置子字段。子字段的长度不能超过2048字节。 内容：输入或者选择条件匹配的内容。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 “路径”包含“/admin/” 限速频率 单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。 10次/60秒 防护动作 当访问的请求频率超过“限速频率”时，可设置以下防护动作： 人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。 阻断：表示超过“限速频率”将直接阻断。 动态阻断：上一个限速周期内，请求频率超过“限速频率”将被阻断，那么在下一个限速周期内，请求频率超过“放行频率”将被阻断。 仅记录：表示超过“限速频率”将只记录不阻断。可下载防护事件数据数据查看域名的防护日志。 阻断 放行频率 当“防护动作”选择“动态阻断”时，可配置放行频率。 如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。 “放行频率”小于等于“限速频率”。 说明 当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。 8次/60秒 阻断时长 当“防护动作”选择“阻断”时，可设置阻断后恢复正常访问页面的时间。 600秒 阻断页面 当“防护动作”选择“阻断”时，需要设置该参数，即当访问超过限速频率时，返回的错误页面。 当选择“默认设置”时，返回的错误页面为系统默认的阻断页面。 当选择“自定义”，返回错误信息由用户自定义。 自定义 页面类型 当“阻断页面”选择“自定义”时，可选择阻断页面的类型“application/json”、“text/html”或者“text/xml”。 text/html 页面内容 当“阻断页面”选择“自定义”时，可设置自定义返回的内容。 不同页面类型对应的页面内容样式： text/html：Forbidden application/json：{"msg": "Forbidden"} text/xml： Forbidden 步骤9 单击“确认”，添加的CC攻击防护规则展示在CC规则列表中。 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。 若需要修改添加的CC攻击防护规则时，可单击待修改的CC攻击防护规则所在行的“修改”，修改CC攻击防护规则。 若需要删除用户自行添加的CC攻击防护规则时，可单击待删除的CC攻击防护规则所在行的“删除”，删除CC攻击防护规则。

操作场景 用户在不删除现有节点的情况下，将工作负载迁移到新的节点上。迁移流程如下图所示。 约束与限制 现有节点和工作负载待迁移的节点必须在同一集群。 当前仅支持在Kubernetes v1.13.10及以后集群版本执行此操作。 默认节点池DefaultPool不支持修改配置。 原有节点在默认节点池 步骤 1 创建新的节点。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 2. 在集群选择框中，选择现有节点所属的集群。 3. 单击“创建节点池”，设置节点池如下参数，其他参数根据需要进行修改，参数说明请参见节点池管理>创建节点池。 a. 节点池名称：新建节点池的名称，例如nodepooldemo。 b. 节点购买数量：本例添加一个节点。 c. 节点规格：请根据业务需求选择相应的节点规格。 d. 操作系统：选择节点对应的操作系统。 e. 登录方式：支持密码和密钥对。 选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 选择“密钥对”：在选项框中选择用于登录本节点的密钥对，并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 4. 单击“下一步：配置确认”。确认节点池配置后，单击“提交”。 单击“返回节点池管理”返回节点池列表。在节点列表中可查看到新建节点池已创建，且状态为“正常”。 步骤 2 单击节点池名称，在节点列表中可查看到新建节点的IP地址。 步骤 3 安装配置kubectl。 1. 在左侧导航栏中选择“资源管理 > 集群管理”，单击现有节点所在集群下的“命令行工具 > kubectl”。 2. 在集群详情页中的“kubectl”页签下，请参照界面中的提示信息完成集群连接。 步骤 4 迁移工作负载。 1. 给需要迁移工作负载的节点打上Taint（污点）。 kubectl taint node [node] keyvalue:[effect] 其中，[node]为待迁移工作负载所在节点的IP；[effect]取值为NoSchedule、PreferNoSchedule或NoExecute，此处必须设置为NoSchedule。 − NoSchedule：一定不能被调度。 − PreferNoSchedule：尽量不要调度。 − NoExecute：不仅不会调度，还会驱逐Node上已有的Pod。 说明： 若需要重新设置污点时，可执行kubectl taint node [node] key:[effect]命令去除污点。 2. 安全驱逐节点上的工作负载。 kubectl drain [node] 其中，[node]为待转移工作负载所在节点的IP。 3. 在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。在工作负载列表中，待迁移工作负载的状态由“运行中”变为“未就绪”。工作负载状态再次变为“运行中”，表示迁移成功。 说明： 迁移工作负载时，若工作负载配置了节点亲和性，则工作负载会一直提示“未就绪”等异常情况。请单击工作负载名称进入到负载详情页，在选择“调度策略”页签，删除原节点的亲和性配置，并单击“简易调度策略”配置新的节点亲和性和反亲和性策略，详情请参见“亲和反亲和调度>简易调度策略”。 工作负载迁移成功后，在工作负载详情页的“实例列表”页签，可查看到工作负载状已迁移到步骤1中所创建的节点上。 步骤 5 删除原有节点。 工作负载迁移成功且运行正常后，即可在“资源管理 > 节点管理”中删除原有节点。 原有节点不在默认节点池 步骤 1 拷贝节点池并添加节点。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 2. 在集群选择框中，选择现有节点所属的集群。 在节点池列表中，查找到原有节点所在的节点池。 3. 单击该节点池名称后的“更多 > 拷贝”，在“创建节点池”页面下设置如下参数，其他参数根据需要进行修改，参数说明请参见“节点管理>创建节点池”。 − 节点池名称：新建节点池的名称，例如nodepooldemo。 − 节点购买数量：本例添加一个节点。 − 节点规格：请根据业务需求选择相应的节点规格。 − 操作系统：选择节点对应的操作系统。 − 登录方式：支持密码和密钥对。 选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 选择“密钥对”：在选项框中选择用于登录本节点的密钥对，并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 4. 单击“下一步：配置确认”。确认节点池配置后，单击“提交”。 单击“返回节点池管理”返回节点池列表。在节点列表中可查看到新建节点池已创建，且状态为“正常”。 步骤 2 单击节点池名称，在节点列表中可查看到新建节点的IP地址。 步骤 3 迁移工作负载。 1. 单击节点池nodepooldemo后的“编辑”配置Taints参数。 2. 单击“Add Taint”，输入Key和Value值，Effect选项有NoSchedule、PreferNoSchedule或NoExecute，此处必须选择“NoExecute”。 − NoSchedule：一定不能被调度。 − PreferNoSchedule：尽量不要调度。 − NoExecute：不仅不会调度，还会驱逐Node上已有的Pod。 说明： 若需要重新设置污点时，可执行kubectl taint node [node] key:[effect]命令去除污点。 3. 单击“保存”。 4. 在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。在工作负载列表中，待迁移工作负载的状态由“运行中”变为“未就绪”。工作负载状态再次变为“运行中”，表示迁移成功。 说明： 迁移工作负载时，若工作负载配置了节点亲和性，则工作负载会一直提示“未就绪”等异常情况。请单击工作负载名称进入到负载详情页，在选择“调度策略”页签，删除原节点的亲和性配置，并单击“简易调度策略”配置新的节点亲和性和反亲和性策略，详情请参见“亲和反亲和调度>简易调度策略”。 工作负载迁移成功后，在工作负载详情页的“Pods”页签，可查看到工作负载状已迁移到步骤1中所创建的节点上。 步骤 4 删除原有节点。 工作负载迁移成功且运行正常后，即可在“资源管理 > 节点池管理”中删除原有节点。

本节主要介绍步骤一（2）：创建出云迁移任务 数据库复制服务提供出云的功能，可以将本云上的数据库迁移至用户端数据库，方便进行数据回流处理。 本章节将以RDS for MySQL到ECS自建MySQL的迁移为示例，介绍在同一VPC网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 VPC网络适合本云内数据库之间的迁移。在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足出云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息。 图 迁移任务信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择出云。 出云指源端数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 目前支持公网网络、VPC网络和VPN、专线网络类型，您可以根据具体的业务场景进行设置，此处场景以VPC网络为示例。 VPC网络：适合云上数据库之间的迁移。 VPN、专线网络：适合通过VPN、专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 公网网络：适合将其他云下或其他平台的数据库迁移到目标数据库。 源数据库实例 用户需要迁移的数据库实例。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 源数据库对应的数据库用户名。 数据库密码 源数据库对应的数据库密码。任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 源数据库的用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限。 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 说明： 目标数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 4、在“迁移设置”页面，设置迁移用户和迁移对象等信息，单击“下一步”。 图 迁移模式 表 迁移模式 参数 描述 快照模式 如果您选择的是全量迁移模式的任务，数据库复制服务支持设置快照模式。 非快照式 适用于停止业务数据写入的导出，如果全量迁移中仍然有业务数据的修改，则导出数据为时间点非水平一致。稳定性和性能要优于快照式全量迁移。 快照式 可以在业务运行时产生一份时间水平一致的快照数据，具有业务数据分析价值，过程中的数据变化不会体现在导出数据中。 说明 快照读会使用MySQL备份锁进行全局锁表，在开启一致性读后自动解锁（加锁时间在3s以内），备份锁会对此期间的DML或者DDL操作造成阻塞，建议用户选择源库空闲的时间段使用快照备份功能。 目前仅MySQL全量模式的迁移任务支持快照模式设置。 是否过滤DROP DATABASE 增量迁移过程中，源数据库端执行的DDL操作在一定程度上会影响数据的迁移能力，为了降低迁移数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示数据迁移过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示数据迁移过程中将相关操作同步到目标库。 说明 目前仅支持RDS for MySQL实例>MySQL数据库数据库的全量+增量的迁移场景。 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 迁移 当您选择迁移用户时，请参见《数据库复制服务用户指南》中“迁移用户”章节进行数据库用户、权限及密码的处理。 不迁移 迁移过程中，将不进行用户、权限和密码的迁移。 迁移对象 您可以根据业务需求，选择全部对象迁移、表级迁移或者库级迁移。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 表级迁移：将选择的表级对象迁移至目标数据库。 库级迁移：将选择的库级对象迁移至目标数据库。 如果有切换源数据库的操作或源库迁移对象变化的情况，请务必在选择迁移对象前单击右上角的按钮，以确保待选择的对象为最新源数据库对象。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 选择对象的时候，对象名称的前后空格不显示，中间如有多个空格只显示一个空格。 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 5、在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在待确认项，需要阅读并确认详情后才可以继续执行下一步操作 6、在“任务确认”页面，选择迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 说明 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，强烈建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 7、迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择对象存储。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。