本章节以SuSE 11 SP3操作系统下MySQL 5.5单机版为例，介绍如何通过自定义脚本来冻结、解冻MySQL数据库，以实现对于MySQL数据库的数据库备份。 场景介绍 某企业购买了云主机，并在云主机中安装了MySQL 5.5数据库用于存放业务数据。随着数据量的增加，之前的崩溃一致性保护已经满足不了RTO、RPO的要求，决定采用应用一致性备份，减小RTO与RPO。 数据准备 准备项 说明 示例 ::: MySQL用户名 连接MySQL数据库时使用的用户名 root MySQL密码 连接MySQL数据库时使用的密码 Example@123 详细步骤 步骤1、加密MySQL密码，供自定义脚本使用 1.登录MySQL服务器，输入 cd /home/rdadmin/Agent/bin/ ，进入Agent目录。 2.执行 /home/rdadmin/Agent/bin/agentcli encpwd ，回显如下： Enter password: 输入MySQL密码，并按“Enter”，屏幕上就会打印出加密后的密码，将其拷贝到剪贴板中。 步骤2、执行 cd /home/rdadmin/Agent/bin/thirdparty/ebkuser ，进入自定义脚本目录，然后执行 vi mysqlfreeze.sh ， 打开MySQL示例冻结脚本。 步骤3、将下图所示的MYSQLUSER与MYSQLPASSWORD修改为实际值，其中MYSQLPASSWORD为步骤1的屏幕输出。 也可以使用sed命令来直接进行修改： sed i 's/^MYSQLPASSWORD./MYSQLPASSWORD"XXX"/' mysqlfreeze.sh mysqlunfreeze.sh 其中XXX为步骤1中打印出的密码。 此操作会同时修改冻结解冻脚本，所以无需再执行步骤3。 步骤4、执行 vi mysqlunfreeze.sh ，打开MySQL示例解冻脚本，修改此脚本中的用户名和密码。 mysqlunfreeze.sh与mysqlfreeze.sh脚本实现了基本的数据库冻结与解冻操作，如果你在冻结、解冻时有其它额外步骤需要执行，可以自行在其中进行修改。 注意 MySQL的冻结是通过FLUSH TABLES WITH READ LOCK指令来实现的，此指令不会触发bin log刷盘操作，如果开启了bin log，且syncbinlog参数不为1，则可能出现保存的备份映像中部分SQL操作未记录到bin log的情况，如果bin log也需要完整保护，请设置syncbinlog1。

本节主要介绍Redis实例CPU使用率高问题排查和解决 问题现象 Redis实例CPU使用率短时间内冲高。 可能原因 1. 客户的业务负载过重，qps过高，导致CPU被用满，排查方法请参考排查QPS是否过高。 2. 使用了keys等消耗资源的命令，排查及处理措施请参考查找并禁用高消耗命令。 3. 发生Redis的持久化重写操作，排查及处理措施请参考是否存在Redis的持久化重写操作。 排查QPS是否过高 在分布式缓存服务控制台的缓存管理页面，单击实例进入实例详情界面，单击左侧的性能监控，进去性能监控页面，可以查询实例级别的每秒并发操作数（qps）。 查找并禁用高消耗命令 使用了keys等消耗资源的命令，高消耗资源的命令即时间复杂度为O(N)或更高的命令，通常情况下，命令时间复杂度越高，在执行时消耗的资源越高，这会导致CPU使用率超高，容易触发主备倒换。关于各命令对应的时间复杂度信息请参见Redis官网。例如，使用了keys等消耗资源的命令，导致CPU超高，建议客户改成scan命令或者禁用keys命令。 步骤 1 通过性能监控功能，确认CPU使用率高的具体时间段。 步骤 2 通过下述方法，找出高消耗的命令。 慢查询功能会记录执行超过指定时间阈值的命令，通过分析慢查询的语句和执行时长可帮助您找出高消耗命令，具体操参见查询Redis实例慢查询。 通过实例诊断功能，选择CPU冲高的时间点进行诊断后，可以看到报告中的对应时间段命令的执行情况以及CPU耗时百分比，具体操作参见实例诊断。 步骤 3 处理措施。 评估并禁用高风险命令和高消耗命令，例如 FLUSHALL 、 KEYS 、HGETALL等。 优化业务，例如避免频繁执行数据排序操作。 可选： 根据业务情况，选择下述方法对实例进行调整： 调整实例为读写分离实例，对高消耗命令或应用进行分流。 扩容实例增强实例处理能力。

本节介绍了应用服务网格的订购计费类常见问题 应该如何选择资源池？ 一般情况下我们建议选择和您目标用户所在地域最为接近的数据中心，可以进一步提升用户访问速度。 订购应用服务网格有什么限制？ 应用服务网格依赖云容器引擎部署控制面，您在开通之前需先开通云容器引擎。

配置项 描述 计费模式 支持包年包月和按需计费方式，费用说明请参照购买指南>计费说明。 购买时长 可以根据实际需求进行选择，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 自动续期 您可以选择开启自动续期，避免云原生API网关到期后无法使用。 自动续期购买时长 开启自动续期，可以选择续期时长，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 部署方式 实例节点将按单可用区、多可用区部署方式，分布在单个或者多个可用区中。多可用区部署可增强实例的容灾能力。注意：基础版规格不具备高可用、多AZ容灾能力。 可用区 选择单可用区部署方式时，可用区可任选其一；选择多可用区部署时，必须选择至少3个可用区。 CPU架构 部署实例的主机架构。 主机类型 部署实例的主机类型。 网关规格 参见产品简介产品规格介绍 虚拟私有云 选择虚拟私有云，若您还没有虚拟私有云，请参照创建虚拟私有云。 所在子网 择所在子网，若您还没有所在子网，请参照创建所在子网。 启用ipv6 若子网已开启ipv6访问，在此处可选择启用ipv6。未启用ipv6时，将通过ipv4访问。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 指标监控 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息。您可通过委托授权的方式开通此服务。 云日志服务 启用后，可在控制台观测分析中查看访问日志。您可通过委托授权的方式开通此服务。

子网 云资源（例如云服务器、物理机等）必须部署在子网内。您可以在虚拟私有云内创建一个或多个子网，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改，请合理规划网络。 路由表 路由表用于控制虚拟私有云的流量走向，路由表分为默认路由表和自定义路由表两种类型。默认路由表随着VPC自动创建，所有新建子网与默认路由表关联，不能创建也不能删除默认路由表，但可以在默认路由表中创建自定义路由规则。您可以选择创建自定义路由表，并将子网手动关联到自定义路由表中。对于部分可用区资源池，在VPC内创建自定义路由表，通过绑定自定义路由表和子网，实现子网内的云主机或物理机通信，从而更灵活地进行流量管理。在VPC内创建网关类型的自定义路由表，将其与IPv4网关绑定，这种路由表被称为网关路由表。网关路由表用来控制进入VPC的公网流量，可以将公网流量引流到VPC中的安全设备（例如虚拟防火墙）做统一安全防护。更多信息，请参考路由表概述。 访问控制 在虚拟私有云中，访问控制是保护云资源（云主机、物理机）免受未授权访问和攻击的关键配置之一。访问控制主要包括以下几个方面： 安全组是一种虚拟防火墙，用于控制云资源（云主机、物理机）的流量进出。在虚拟私有云中，您可以为每个安全组定义相应的规则，以允许或禁止特定IP地址或端口的流量进出。将适当的安全组规则应用于云资源（云主机、物理机）可以显著提高其安全性。更多信息，请参考安全组概述。 网络ACL是一种虚拟私有云中子网级别的流量防护策略，网络ACL可以通过为子网关联一个特定的ACL规则集来提供网络资源的安全性。更多信息，请参考网络ACL简介。安全组和ACL的区别，请参考安全组和网络ACL的区别。

请求参数 PutACL可设置的参数如下： 参数 类型 说明 是否必要 CannedACL S3CannedACL 配置对象的预定义的标准ACL信息 否 AccessControlList S3AccessControlList 配置自定义的ACL信息 否 BucketName string 桶的名称 是 Key string 对象的key 是 VersionId string 设置对象的version id 否 S3CannedACL包含了一组预定义的访问控制权限，可以应用于对象的访问权限如下： 权限 说明 NoACL 默认访问权限，对象的所有者拥有FULLCONTROL权限，其他用户没有访问权限 Private 对象的所有者拥有FULLCONTROL权限，其他用户没有访问权限 PublicRead 对象的所有者拥有FULLCONTROL权限，其他用户拥有READ权限 PublicReadWrite 对象的所有者拥有FULLCONTROL权限，其他用户拥有READ和WRITE权限 BucketOwnerRead 对象的所有者拥有FULLCONTROL权限，桶的所有者拥有READ权限 BucketOwnerFullControl 对象的所有者和桶的所有者拥有FULLCONTROL权限 获取对象访问权限 功能说明 GetACL操作可以获取对象的access control list（ACL）信息。对象的ACL可以在上传对象的时候设置并且通过API查看，用户需要具有READACP（读取桶ACL信息）权限才可以查询对象的ACL信息。 代码示例 plaintext using System; using System.Threading.Tasks; using Amazon.Runtime; using Amazon.S3; using Amazon.S3.Model; ​ namespace DotNetSDK.ObjectOperation { public class GetObjectACLExample { public static async Task GetObjectACL() { var accessKey " "; var secretKey " "; var endpoint " "; var bucketName " "; var key " "; try { var credentials new BasicAWSCredentials(accessKey, secretKey); var conf new AmazonS3Config { ServiceURL endpoint }; var s3Client new AmazonS3Client(credentials, conf); var getAclRequest new GetACLRequest() { BucketName bucketName, Key key }; var result await s3Client.GetACLAsync(getAclRequest); if (result.HttpStatusCode ! System.Net.HttpStatusCode.OK) { Console.WriteLine("fail to get ACL of bucket {0}, HttpStatusCode:{1}, ErrorCode:{2}.", bucketName, (int) result.HttpStatusCode, result.HttpStatusCode); return; } ​ foreach (var grant in result.AccessControlList.Grants) { Console.WriteLine("Type:{0}, CanonicalUser:{1}, DisplayName:{2}, EmailAddress:{3}, URI:{4}, Permission:{5}", grant.Grantee.Type, grant.Grantee.CanonicalUser, grant.Grantee.DisplayName, grant.Grantee.EmailAddress, grant.Grantee.URI, grant.Permission.Value); } ​ Console.WriteLine("OwnerId:{0}, OwnerDisplayName:{1}.", result.AccessControlList.Owner.Id, result.AccessControlList.Owner.DisplayName); } catch (Exception e) { Console.WriteLine(e.Message); } } } }

此小节介绍数据库运维高危操作的复核审批。 云堡垒机支持通过执行命令运维数据库，包括数据删除、修改、查看等运维操作。为确保数据库敏感信息的安全，避免关键信息的丢失和泄露，本文针对运维用户访问和运维数据库关键信息，详细介绍了如何设置数据库高危操作的复核审批，以及如何实现关键信息的重点监控。 本文以管理员adminA 授权运维用户 UserA ，针对MySQL数据库资源RDSA高危操作的二次授权为例。 应用场景 云堡垒机（CloudBastion Host，CBH），通过设置数据库控制策略，设置预置命令执行策略，动态识别并拦截高危命令（包括删库、修改关键信息、查看敏感信息等），中断数据库运维会话。同时自动生成数据库授权工单，发送给管理员进行二次审批授权。只有管理员审批工单授权执行操作后，运维用户才能执行该高危操作，继续数据库运维会话。 约束限制 目前仅支持二次审核MySQL或Oracle数据库的执行命令。 前提条件 云堡垒机所在已放开相应数据库访问端口，数据库与云堡垒机之间网络连接畅通。 资源RDSA已被纳管为主机运维方式资源。 运维用户UserA 已获取资源RDSA的访问控制权限。 配置二次审核策略 为实现高危操作的复核审批，需在“数据库控制策略”中预置命令规则，并开启“动态授权”执行方式。 步骤 1 adminA登录云堡垒机系统。 步骤 2 选择“策略 > 数据库控制策略”，进入数据库控制策略页面。 步骤 3 配置数据库规则集，选择预置高危操作命令。 1. 选择“规则集”页签。 2. 单击“新建”，创建一个MySQL数据库的规则集。以新建DBtest规则集为例。 3. 单击“添加规则”，在DBtest 规则集中添加“库”、“表”或“命令”规则。以添加DELETE删除表内容的命令为例。 说明 “命令”为必填项，至少需选择一个命令，可同时选择多个命令； 设置“库”或“表”，表示对数据库中库或表操作的命令限制； 未设置“库”或“表”，表示对数据库中全部操作的命令限制。

功能说明 浏览器操作能力用于在 Agent 沙箱中启动浏览器实例，并通过自动化调试地址完成页面访问和程序化控制。 典型应用场景 页面自动化测试：在隔离沙箱中执行页面打开、点击、输入、断言等操作。 任务流程编排：在业务流程中通过代码驱动浏览器完成网页访问与信息采集。 可视化调试排障：通过控制台的 VNC 调试观察浏览器状态，复现和定位问题。 前提条件 已完成 SDK 运行环境与环境变量配置。 已在 Agent 沙箱服务控制台创建可用的浏览器沙箱模板，并记录模板 templateid。 本地已安装 Python 及 Playwright 依赖，并具备网络访问目标页面的权限。 使用限制 template 参数必须填写已创建且可用的浏览器沙箱 templateid。 cdpurl 依赖访问令牌，请妥善保管，避免泄露。 浏览器实例的可用时长受沙箱生命周期和配额策略限制。 当页面需要额外认证（如登录态、验证码）时，自动化脚本可能需要配套处理逻辑。 操作步骤 步骤一：在控制台创建浏览器沙箱模板并记录 templateid 登录 Agent 沙箱服务控制台创建浏览器沙箱模板，创建完成后记录该模板的 templateid，用于代码中创建实例。 步骤二：运行代码并通过 VNC 监控浏览器 运行下列代码后，在 Agent 沙箱控制台进入对应实例，打开 VNC 调试 查看浏览器实时画面；代码中使用 cdpurl 进行自动化操作。 python from e2b import Sandbox from playwright.syncapi import syncplaywright 请替换为您在控制台记录的templateid templateid "4xxxx3e9xxxxxxxxxxxf22xxx50xxxx" 创建浏览器沙箱实例 sandbox Sandbox.create(templatetemplateid) 拼接 cdp url，用于通过 Playwright 操作浏览器 cdpurl f" print("cdpurl:", cdpurl) with syncplaywright() as playwright: 连接到沙箱浏览器实例 browser playwright.chromium.connectovercdp( cdpurl, headers{"XAccessToken": str(sandbox.envdaccesstoken)} ) 获取第一个上下文与页面并访问目标站点 context browser.contexts[0] page context.pages[0] page.goto(" 输出页面标题，确认操作成功 print("title:", page.title())

本节介绍注册集群控制台用户指南。 注册集群控制台 分布式容器云平台 注册集群控制台 说明 1. 天翼云注册集群控制台，提供与云容器引擎CCE相同的功能体验。 2. 其他注册集群控制台，提供与云容器引擎CCE高度一致的功能体验。 产品功能 与云容器引擎基本一致的运维体验：通过分布式容器云平台控制台统一管理云容器引擎集群和本地自建Kubernetes集群，体验一致的运维能力，统一管理集群和应用，统一的日志、监控和告警体系，以及集群巡检和故障诊断能力。 备份容灾：提供云上备份、还原的能力，支持ETCD和集群的云容灾，全面提升企业的业务连续性。 文档使用指引 注册集群控制台功能包括：集群信息、命名空间、工作负载、网络、配置管理、存储、插件、安全管理、运维管理等。 命名空间、工作负载、网络、配置管理、安全管理、运维管理等相同功能请参考 云容器引擎产品文档。 功能模块 功能项 相关文档 注册集群 注册集群 天翼云注册集群 本地注册集群 三方云注册集群 AnyWhere注册集群 节点管理 节点池 混合集群网络 节电池管理 节点伸缩 节点管理 云下节点池 云下节点池 节点管理 虚拟节点 虚拟节点 权限配置 授权 授权概述 IMA授权 RBAC授权 存储 对象存储 对象存储 运维 监控 Prometheus 监控 运维 备份 ETCD 备份 集群备份 集群定时备份 运维 集群巡检 集群巡检 运维 日志中心 日志 运维 故障诊断 故障诊断

对等连接是在相同地域内建立的两个VPC之间的网络连接,可以实现多个VPC之间的互通。本文将为您详细介绍对等连接的常见使用示例,帮助您更好地了解其应用场景和优势。 通过VPC对等连接实现多个VPC网络互通 两个VPC网络互通 为了实现VPCA和VPCB之间的互通，可以创建一个VPC对等连接，并在各自的路由表中配置相应的路由规则。具体操作如下： 1. 在VPCA和VPCB之间创建一个名为PeeringAB的VPC对等连接。 2. 在VPCA的路由表中，添加一条目的地址为VPCB网段的路由规则，并将下一跳指向PeeringAB的路由。 3. 在VPCB的路由表中，添加一条目的地址为VPCA网段的路由规则，并将下一跳指向PeeringAB的路由。 通过以上配置，VPCA和VPCB之间的流量可以通过VPC对等连接直接传输，实现私有和安全的网络通信。 多个VPC网络互通 为了实现多个VPC之间的互通，可以通过对等连接直接传输流量。具体操作如下： 1. 分别在VPCA和VPCB、VPCA和VPCC、VPCB和VPCC之间创建名为PeeringAB、PeeringAC和PeeringBC的VPC对等连接。 2. 在VPCA的路由表中，添加两条目的地址分别为VPCB和VPCC的路由规则，并将下一跳分别指向PeeringAB和PeeringAC的路由。 3. 在VPCB的路由表中，添加两条目的地址分别为VPCA和VPCC的路由规则，并将下一跳分别指向PeeringAB和PeeringBC的路由。 4. 在VPCC的路由表中，添加两条目的地址为VPCA和VPCB的路由规则，并将下一跳分别指向PeeringAC和PeeringBC的路由。 通过以上配置，多个VPC之间的流量可以通过对等连接直接传输，实现无障碍的流量传输。

本文为认证鉴权介绍。 具体应用可参考调用示例。 信息的获取 获取AccessKey(ak)和SecurityKey(sk)： 登录天翼云门户，在“控制台”>“账号中心”>“安全设置”>“登录保护”>“用户AccessKey”点击“查看”获取。 注意：SecurityKey信息只在创建的时候展示，请务必留存好信息。 EopAuthorization签名认证信息： 可参考调用示例Python3调用示例、Java调用示例 步骤一：构造代签字符串 sigture sigture 需要进行签名的Header排序后的组合列表+ " n " + encode的query + " n " + toHex(sha256(原封的body)) 名称 描述 需要进行签名的header排序后的组合列表（排序的header） 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn encode的query query以&作为拼接，key和value以连接，值需要encode，query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture示例1（ 假设query为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture示例2（ 假设query不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Zn”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

本章介绍函数工作流如何配置委托权限。 概述 大部分场景下，FunctionGraph都需要与其他云服务协同工作，通过创建云服务委托，让FunctionGraph以您的身份使用其他云服务，代替您进行一些资源运维工作。 应用场景 若您在FunctionGraph服务中使用如下场景，请先配置委托权限，对应授权项参见下表进行选择。 常见授权项选择 场景 授权项 说明 使用自定义镜像 SWR Admin SWR Admin：容器镜像服务（SWR）管理员，拥有该服务下的所有权限。 如何创建自定义镜像，请参见 使用容器镜像部署函数。 挂载sfs turbo文件系统 SFS Administrator或Tenant administrator SFS Administrator：弹性文件服务（SFS）管理员，拥有该服务下的所有权限。 Tenant administrator：全部云服务管理员（除IAM管理权限），拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。 挂载ECS共享目录 Tenant Guest及VPC Administrator Tenant Guest：全部云服务只读权限（除IAM权限）VPC Administrator：网络管理员需要给函数设置委托至少拥有Tenant Guest以及VPC Administrator权限。 配置跨域VPC访问 VPC Administrator 拥有VPC Administrator权限的用户可以对VPC内所有资源执行任意操作。 在函数配置跨VPC访问时，则函数必须配置具备VPC管理权限的委托。 创建委托 按照如下参数设置委托。 1. 登录统一身份认证服务（IAM）控制台。 2. 在统一身份认证服务（IAM）的左侧导航窗格中，选择“委托”页签，单击右上方的“+创建委托”。 创建委托 3. 开始配置委托。 填写基本信息 委托名称：serverlesstrust。 委托类型：选择“云服务”。 云服务：选择“函数工作流 FunctionGraph”。 持续时间：选择“永久”。 描述：填写描述信息。 4. 单击“下一步”，进入委托选择页面，在右方搜索框中搜索需要添加的权限并勾选。此处以添加Tenant Administrator权限为例。 选择策略 委托权限示例 权限名称 使用描述/场景 Tenant Administrator 全部云服务管理员（除IAM管理权限），拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。 5. 单击“下一步”，选择权限的作用范围。

本节介绍如何通过安全看板查看IPS防护信息。 您可通过安全看板快速查看攻击防御功能（IPS、反弹Shell、敏感目录扫描、病毒防御）的防护信息，及时调整IPS防护。 通过安全看板查看IPS防护信息 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 安全看板”，进入“安全看板”页面。 5. 在页面上方，选择“互联网边界”或“VPC边界”页签。 6. 查看防火墙实例下防护规则的统计信息，您可以在下拉框中选择查询时间。 安全看板：IPS检测到的攻击总数、放行/拦截的总数、被攻击的端口个数。 攻击趋势：IPS阻断或放行的流量次数。 可视化统计：IPS检测/拦截到的攻击参数TOP 5的排行，参数说明如下。单击单条数据查看攻击事件详情。 参数名称 参数说明 攻击类型 攻击的类型。 TOP内部攻击来源IP 云内资产攻击外部IP时，云内资产的IP。 TOP外部攻击来源IP 外部IP攻击云内资产时，外部的IP。 TOP外部攻击来源地区 外部IP攻击云内资产时，外部IP的来源地区。 TOP攻击目的IP 攻击事件中的目的IP。 TOP被攻击端口 攻击事件中受到攻击的端口。 TOP攻击统计： 查看指定时间段内IPS检测/拦截中攻击次数TOP 50信息。 TOP攻击来源统计：来源IP、来源类型等信息。 TOP攻击目的统计：目的IP、目的端口、目的应用等信息。 说明 该IP地址是正常数据：单击“操作”列的“加白名单”，快速将该IP地址加入至白名单中，后续CFW将直接放行该IP地址的流量。 该IP地址是恶意攻击：单击“创建为地址组”或“添加到地址组”快速将多个IP地址添加至地址组中，添加后手动配置阻断的防护规则拦截恶意攻击，配置防护规则请参见“通过添加防护规则拦截/放行流量”。

本章节主要介绍函数管理 新建函数 函数能提高应用的模块性，和代码的重复利用率。您可以在数据管理服务界面新建函数。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 4、在左侧导航栏中，单击“开发工具”，进入开发工具页面。 5、选择需要登录的目标数据库实例，单击操作列表中的“登录”，登录目标数据库实例。 6、在顶部导航栏选择“库管理”， 7、在页面右上方“当前所在库”右侧单击“切换库”，切换目标数据库。 8、在对象列表页签下选择“函数”，选择Schema后，单击页面“新建函数”。 9、在新建函数弹出框中选择函数类型，单击“确定”。 10、在新建函数编辑页面，单击“设置模板参数”，在弹窗中设置参数信息，单击“确定”。 11、您可“保存”当前新建函数，也可单击“执行”调用该对象，并在页面下方结果栏查看运行情况。 修改或执行函数 您可以在数据管理服务界面修改函数信息，或者执行函数。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 4、在左侧导航栏中，单击“开发工具”，进入开发工具页面。 5、选择需要登录的目标数据库实例，单击操作列表中的“登录”，登录目标数据库实例。 6、在顶部导航栏选择“库管理”， 7、在页面右上方“当前所在库”右侧单击“切换库”，切换目标数据库。 8、在对象列表页签下选择“函数”，单击页面操作栏的“修改或执行”。 9、在函数详情页面修改函数信息，按需设置选项，单击“保存”保存修改信息，或者您可直接单击“执行”调用该对象。 10、在结果栏查看执行情况。 删除函数 如果您不再需要某个函数，可以手动删除该函数。

本页介绍天翼云TeleDB数据库扩容实例、规格扩容和磁盘扩容。 本章节用于指导如何在依赖统一PaaS平台的环境上对telepg实例扩容。 前提条件 1. 已部署好telepg后端控制台。 2. 已在统一PaaS平台上配置了Postgresql数据库应用的资源池版本。 操作步骤 1. 扩容实例 1. 使用租户管理员(租户拥有者) 登录到统一PaaS平台，进入Telepg控制台，选择对应实例 ，单击更多 > 扩容。 2. 跳转进入云翼平台，显示对应待操作的实例，单击更多 > 扩容。 3. 根据扩容需要选择对应列表页，其中telepg支持按规格扩容和磁盘扩容。 按规格扩容是根据当前实例规格信息及其配置的可扩容规格，进行节点扩容。 例如：机器规格扩容：从实例规格2核4G扩容为4核8G,节点数保持不变。 4. 磁盘扩容是对当前实例的机器挂载磁盘进行扩容，常用于云硬盘扩容。 2. 按规格扩容实例机器规格扩容 若当前实例规格为高可用版2核4G，扩容目标实例规格为高可用版4核8G 。您可参考如下步骤实现： 1. 选择按规格扩容 页签，扩容规格选择为高可用版4核8G。 2. 单击检测 ，检测当前资源池是否有相应资源支持该规格扩容。 3. 单击预览 ，查看待扩容信息。 4. 单击扩容，即可完成机器规格扩容。 3. 磁盘扩容 若当前实例磁盘规格大小为50G，扩容目标实例磁盘规格大小为100G。 1. 选择磁盘扩容 页签，在对应节点中，分区大小扩容后选择目标磁盘规格为100G。 2. 单击预览，查看待扩容信息。 3. 单击提交，即可完成磁盘扩容。 4. 查看扩容工单 在云翼平台中，进入我的订购 菜单页面，在我的订单中查询对应的扩容工单。

该任务用于指导用户对实例节点进行扩容。 本章节用于指导如何在依赖统一PaaS平台的环境上对telepg实例扩容。 前提条件 1. 已部署好telepg后端控制台。 2. 已在统一PaaS平台上配置了Postgresql数据库应用的资源池版本。 3. 扩容实例 1. 使用租户管理员(租户拥有者) 登录到统一PaaS平台，进入Telepg控制台，选择对应实例 ，单击更多 > 扩容。 2. 跳转进入云翼平台，显示对应待操作的实例，单击更多> 扩容。 3. 根据扩容需要选择对应列表页，其中telepg支持按规格扩容和磁盘扩容。 按规格扩容是根据当前实例规格信息及其配置的可扩容规格，进行节点扩容。 4. 例如：机器规格扩容：从实例规格2核4G扩容为4核8G,节点数保持不变。 5. 磁盘扩容是对当前实例的机器挂载磁盘进行扩容，常用于云硬盘扩容。 4. 按规格扩容机器规格扩容 若当前实例规格为高可用版2核4G，扩容目标实例规格为高可用版4核8G 。您可参考如下步骤实现： 1. 选择按规格扩容 页签，扩容规格选择为高可用版4核8G。 2. 单击检测 ，检测当前资源池是否有相应资源支持该规格扩容。 3. 单击预览 ，查看待扩容信息。 4. 单击扩容 ，即可完成机器规格扩容。 5. 磁盘扩容 若当前实例磁盘规格大小为50G，扩容目标实例磁盘规格大小为100G。 1. 选择磁盘扩容 页签，在对应节点中，分区大小扩容后选择目标磁盘规格为100G。 2. 单击预览，查看待扩容信息。 3. 单击提交，即可完成磁盘扩容。 6. 查看扩容工单 在云翼平台中，进入我的订购 菜单页面，在我的订单中查询对应的扩容工单。

本文为您介绍创建容灾演练的具体操作。 概述 容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务，涉及的演练任务来源于相应的预案流程，演练时演练任务为实战演练。 使用条件 进行容灾演练前，需提前购买容灾演练包，并完成命名空间创建、容灾管理中心配置、应用接入（可选）、预案编排。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾切换”“容灾演练”，进入容灾演练列表页。 5. 在列表上方下拉菜单中选择需要进行容灾演练的命名空间。 6. 点击列表上方的“创建容灾演练”按钮，弹出创建容灾演练弹窗。 7. 填写创建容灾演练信息，各配置项信息如下： 参数 是否必填 配置说明 演练名称 √ 填写演练名称，同命名空间下演练名称需唯一。 长度为263字符。 关联预案 √ 选择当前命名空间下已发布状态的预案名称。 涉及容灾管理中心 × 显示选择关联预案后容灾管理中心。 演练超时时间 √ 填写演练超时时间，单位为分钟。 系统将在执行“开始演练”操作后计时，超时所填时间系统将自动终止该演练，最新演练状态更新为“已终止”且无法恢复。 时间范围为10分钟6小时。 单个任务超时时间 √ 填写单个任务超时时间，单位为分钟。 单个任务超时时间指任务执行时间超出后系统自动将该任务状态置为“已超时”，需人工介入处理。 该超时时间仅对脚本任务及资源操作类的内置任务有效，人工任务及流程控制类的内置任务不受此超时时间影响。 时间范围为1分钟2小时。 描述 × 填写容灾演练描述。 长度为0100个字符。 8. 点击“确定”按钮，完成容灾演练创建。成功创建后，列表新增一条相关记录，演练状态为“正常”，最近演练执行状态为“未开始”。

此小节介绍如何安装Agent。 指导您在console对目标服务器安装Agent，Agent安装后HSS才能对服务器进行正常检测和防护。 约束限制 未开启防护不支持安装与配置相关操作。 安装须知 您的云服务器安全组出方向的设置允许访问100.125.0.0/16网段的10180端口（默认允许访问，如做了改动请修正）。 安装成功后，需要等待5~10分钟左右才会刷新Agent状态。请前往“资产管理>主机管理>云服务器”界面查看。 如果您的主机安全未设置过告警通知，初次安装agent后还需进行告警通知设置才能及时接收告警信息。 Linux安装Agent需远程登录服务器通过目标Agent命令执行下载安装。 Windows安装Agent需要通过浏览器打开目标链接下载，对下载包进行解压后再执行安装。 公网无法下载，下载前需配置内网DNS地址。 由于主机的性能差异，其他云的主机与主机安全服务的兼容性可能较差，为使您获得良好的服务体验，建议您使用天翼云弹性云主机。 安装Agent时，请暂时清理主机中可能干扰主机安装的应用进程和配置信息，防止Agent安装失败。 单服务器安装Agent 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树选择“安装与配置 > Agent 管理”，进入Agent管理页面。 5、选择“Agent不在线（X）”，查看Agent未安装或离线的服务器列表，详情请参见表。 查看Agent不在线列表 Agent列表参数说明 参数名称 参数说明 服务器名称/ID 服务器的名称和ID。 IP地址 目标服务器所属的公网IP或私网IP。 操作系统 目标服务器的操作系统。 linux windows Agent状态 目标服务器的Agent状态。 离线 未安装 安装失败 6、单击目标服务器“操作”列的“离线原因”，查看目标服务器Agent离线原因。 7、单击目标服务器“操作”列的“安装Agent”，选择不同架构以及不同系统的链接进行下载安装，linux系统安装详情请参见Linux版本，windows系统安装详情请参见Windows版本。

本章主要介绍API网关跨VPC开放后端服务的实施步骤。 创建VPC 1. 登录网络控制台。 2. 在“虚拟私有云”页面，单击“创建虚拟私有云”，请参考表1和表2配置信息。 3. 单击“立即创建” 4. 重复2~3 步骤，创建“VPC2（后端应用所在VPC）”。 表1 配置信息 参数 配置说明 :: 区域 选择所在的区域，此处选择“广州4”。 名称 VPC1（API网关所在VPC）。 企业项目 选择所属的企业项目，此处选择“default”。 可用区 选择子网所属可用区，此处选择“可用区1”。 名称 创建虚拟私有云的同时创建一个默认子网。 表2 VPC网段规划 VPC1 APIG实例系统VPC VPC2 ::: 10.X 172.31.0.0/16 不能与VPC1和APIG实例系统VPC重复。 172.X 192.168.0.0/16 不能与VPC1和APIG实例系统VPC重复。 192.X 172.31.0.0/16 不能与VPC1和APIG实例系统VPC重复。 创建API实例 1. 进入API网关控制台。 2. 在左侧导航栏选择“实例管理”。 3. 单击“购买实例”。 表3 实例信息 参数 配置说明 :: 计费模式 选择实例的计费模式，此处选择“按需计费”。 区域 选择实例所在的区域，且与VPC1同区域。 可用区 选择实例所在的可用区，此处选择“可用区1”。 实例名称 填写实例的名称，根据规划自定义。建议您按照一定的命名规则填写实例名称，方便您快速识别和查找。 实例规格 选择实例的容量规格，实例创建后规格不可修改，此处选择“专业版”。 可维护时间窗 选择技术支持对实例进行维护的时间段，建议选择业务量较少的时间段，保持默认设置“22:00:0002:00:00”。 企业项目 选择实例所属的企业项目，保持默认设置“default”。 网络 选择已创建的虚拟私有云“VPC1”和子网。 安全组 单击“管理安全组”，创建安全组，企业项目选择“default”后，即可创建。 描述 填写实例的描述信息。 4. 单击“立即购买”。 5. 规格确认无误后，勾选用户协议和隐私政策的阅读并同意声明。开始创建实例，界面显示创建进度。

本章主要介绍翼MapReduce的恢复OMS数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对FusionInsight Manager系统进行重大数据调整等操作后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，需要对Manager进行恢复数据操作。 管理员可以通过FusionInsight Manager创建恢复Manager任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的Manager数据。 对系统的影响 恢复过程中需要重启Controller，重启时FusionInsight Manager无法登录和操作。 恢复过程中需要重启所有集群，集群重启时无法访问。 Manager数据恢复后，会丢失从备份时刻到恢复时刻之间的数据，例如系统设置、用户信息、告警信息或审计信息。可能导致无法查询到数据，或者某个用户无法访问集群。 Manager数据恢复后，系统将强制各集群的LdapServer从OLadp同步一次数据。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查OMS资源状态是否正常，检查各集群的LdapServer实例状态是否正常。如果不正常，不能执行恢复操作。 检查集群主机和服务的状态是否正常。如果不正常，不能执行恢复操作。 检查恢复数据时集群主机拓扑结构与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 检查恢复数据时集群中已添加的服务与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 停止依赖集群运行的上层业务应用。

本节介绍翼加密在管理员使用过程的的常见问题。 加密策略中没有找到需要加密的文件类型怎么办？ 如有其他文件类型的加密需求，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多文件类型的加密管控。 加密策略中配置的应用程序有什么用？ 策略中配置的是加密授权的应用程序。加密文件只能被授权的应用软件明文打开和编辑（如下图所示）。未经加密授权或适配的第三方应用软件打开加密文件为密文数据。 备注：如果需要适配其他应用软件，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多应用软件的加密授权。 为什么给AI云电脑开启加密时，提示版本过低？ (1) 开启加密的AI云电脑需要agent版本高于1.31，并且安装加密驱动。 (2) agent和加密驱动版本在加密桌面管理处能看到版本号，如果提示“！”则说明版本过低或未安装。发现这种情况请联系运维处理。 批量全盘加密/解密AI云电脑时，提示无法提交 目前每个资源池可同时进行AI云电脑全盘加密/解密的上限是30个，如果您有大规模的AI云电脑全盘加密或解密需求，请提交工单联系运维专项处理。

本文主要介绍通过模板部署应用。 在CCE控制台上，您可以上传Helm模板包，然后在控制台安装部署，并对部署的实例进行管理。 注意 云容器引擎各region将逐步切换至Helm v3。模板管理未来将不再支持Helm v2版本的模板，若您在短期内不能切换至Helm v3，可通过Helm v2 客户端在后台管理v2版本的模板。 约束与限制 单个用户可以上传模板的个数有限制，请以各个Region控制台界面中提示的实际值为准。 CCE使用的Helm版本为v3.8.2，支持上传Helm v3版本语法的模板包。 模板若存在多个版本，则消耗对应数量的模板配额。 由于模板的操作权限同时具有较高的集群操作权限，因此租户应当谨慎授予用户对于模板生命周期管理的权限，包括上传模板的权限，以及创建、删除和更新模板实例的权限。 模板包规范 以下以redis为例，在准备redis模板包时根据模板包规范制作模板包。 命名要求 模板包命名格式为： {name}{version} .tgz，其中 {version} 为版本号，格式为“主版本号.次版本号.修订号”，如redis0.4.2.tgz。 说明 模板名称{name}的长度不能超过64个字符。 版本号需遵循语义化版本规则。 主版本号、次版本号为必选，修订号为可选。 主版本号、次版本号、修订号的数值为整数，均需要≥0，且≤99。 目录结构 模板包的目录结构如下所示： redis/ templates/ values.yaml README.md Chart.yaml .helmignore 目录说明如下表所示，带的为必选项： 表 模板包目录说明 参数 参数说明 templates 用于存放所有的template（模板）文件。 values.yaml 用于描述template文件所需的配置参数。 须知 定义template文件配置参数时，请注意此处定义的“镜像地址”务必和容器镜像仓库中对应的镜像地址保持一致。否则创建工作负载会异常，提示镜像拉取失败。 镜像地址获取方法如下：在CCE控制台，单击左侧导航栏的“镜像仓库”，进入容器镜像服务控制台。在“我的镜像 > 自有镜像”中，单击已上传镜像的名称，在“镜像版本 ”页签的“下载指令”栏中即可获取镜像地址，单击 按钮即可复制该指令。 README.md 一个markdown文件，包括： 描述Chart提供的工作负载或服务。 运行Chart的前提。 解释values.yaml文件中的配置 安装和配置Chart的相关信息。 Chart.yaml 模板的基本信息说明。注：Helm v3版本apiVersion从v1切换到了v2。 .helmignore 设定在工作负载安装时不需要读取templates的某些文件或数据。

本节为您介绍云迁移服务CMS异构迁移组件应用程序任务搜索相关内容。 云迁移服务提供组件应用程序搜索功能，您可以在左侧导航栏选择迁移评估点击【异构评估】按钮，进入 [ 组件应用程序 ] 界面，选择检索时间或通过任务名称进行搜索，如图所示。

本节介绍如何在云审计服务事件列表查看Web应用防火墙(原生版)审计事件。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件名称 读写类型 租户管理获取ICP状态 读类型 租户的所有实例详情 读类型 独享版租户节点实时信息 读类型 独享版租户查询实例列表 读类型 独享版租户详情 读类型 独享版租户修改实例信息 读类型 独享版租户查询用户可用的eip列表 写类型 独享版租户绑定eipipv4 写类型 独享版租户解绑eipipv4 写类型 独享版防护对象新增 写类型 独享版防护对象更新 写类型 独享版防护对象查询 读类型 独享版防护对象详情 读类型 独享型和saas型的防护对象查询 读类型 ELB防护对象查询ELB防护对象的可用资源池 读类型 安全策略详情 读类型 安全策略更新 写类型 规则组查询 读类型 增强型bot规则查询统计 读类型 增强型bot规则查询 读类型 精准防护查询统计 读类型 精准防护查询 读类型 访问规则新增 写类型 访问规则查询统计 读类型 访问规则查询 读类型 访问规则详情 读类型 访问规则查询加密套件 读类型 访问规则获取可用端口 读类型 访问规则API安全获取防护对象 读类型 访问规则查询WAF回源IP段 读类型 访问规则查询域名是否备案 读类型 访问规则根据资源池id获取cname 读类型 API列表查询 读类型 API安全业务用途查询 读类型 全局规则表对应非全局配置的policy表详情 读类型 管理归档日志查询 读类型 管理归档日志获取当前实例已使用的归档空间 读类型

本文主要介绍弹性负载均衡监听器常见问题。 监听器中分配算法和会话保持算法是什么关系？ 会话保持功能，目的是将同一个用户的会话分发到相同的后端节点，共享型与独享型负载均衡支持情况如下表内容所示。 表独享型负载均衡会话保持支持情况 表共享型负载均衡会话保持支持情况 分配策略 会话保持类型 TCP/UDP HTTP/HTTPS :::: 加权轮询算法 源IP地址 支持 不支持 加权轮询算法 负载均衡器cookie 不涉及 支持 加权轮询算法 应用程序cookie 不涉及 不支持 加权最少连接 源IP地址 支持 不支持 加权最少连接 负载均衡器cookie 不涉及 支持 加权最少连接 应用程序cookie 不涉及 不支持 源IP地址 源IP地址 不涉及 不支持 源IP地址 负载均衡器cookie 不涉及 不支持 源IP地址 应用程序cookie 不涉及 不支持 表 共享型负载均衡会话保持支持情况 分配策略 会话保持类型 TCP/UDP HTTP/HTTPS :::: 加权轮询算法 源IP地址 支持 不支持 加权轮询算法 负载均衡器cookie 不涉及 支持 加权轮询算法 应用程序cookie 不涉及 不支持 加权最少连接 源IP地址 支持 不支持 加权最少连接 负载均衡器cookie 不涉及 支持 加权最少连接 应用程序cookie 不涉及 不支持 源IP地址 源IP地址 不涉及 不支持 源IP地址 负载均衡器cookie 不涉及 不支持 源IP地址 应用程序cookie 不涉及 不支持 一般建议：算法可以使用轮询算法，四层会话保持使用源IP地址，七层使用负载均衡器cookie方式。

附：windows日志事件ID列表 事件ID 对应事件 35 更改时间源 36 时间同步失败 37 时间同步正常 41 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。 134 当出现时间同步源DNS解析失败时会出现此事件ID。 512 Windows启动事件 513 Windows关机事件 515 受信任的登录过程已经在本地安全机构注册 516 审核失败事件 517 清除安全事件日志事件 518 安全帐户管理器已加载通知数据包 519 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 520 更改系统时间事件 521 无法记录事件 528 登录成功事件 529 登录失败事件用户名未知或密码错误 530 登录失败事件时间限制 531 登录失败事件帐户当前已禁用 532 登录失败事件指定用户帐户已过期 533 登录失败事件不允许用户由此计算机登录 534 登录失败事件不允许该登录类型 535 登录失败事件指定帐户的密码已过期 536 登录失败事件NetLogon组件未激活 537 登录失败由于其他原因登录尝试失败 538 用户注销事件 539 登录失败试图登录时该帐户已锁定 540 登录成功事件 553 检测到重放攻击事件 560 准许对现有对象的访问 560 拒绝对现有对象的访问事件 562 指向对象的句柄已关闭 563 试图打开一个对象并打算将其删除 564 受保护对象已删除 565 访问权限已授予现有的对象类型 566 发生了一般对象操作 567 与使用的句柄关联的权限 568 尝试创建已审核文件的硬链接事件 574 对象权限被修改 576 对新登录指派特殊特权 592 创建新进程事件 592 创建新流程事件 600 对进程指派了主令牌事件 601 用户尝试安装服务事件 602 创建计划的作业事件 608 指派了用户帐户特权 609 移除了用户帐户特权 610 创建删除或修改了与另一域的信任关系 611 创建删除或修改了与另一域的信任关系 612 更改审核策略事件 613 更改IPsec策略事件 614 更改IPsec策略事件 615 更改IPsec策略事件 620 创建删除或修改了与另一域的信任关系 621 对帐户授予了系统访问权 622 从系统移除了系统访问权 623 更改审核策略事件 624 创建用户帐户事件 625 按用户刷新审核策略 626 启用了用户帐户 627 更改密码尝试事件 628 用户帐户密码设置或重置事件 630 删除用户帐户事件 631 启用了安全性的全局组更改事件 632 启用了安全性的全局组更改事件 633 启用了安全性的全局组更改事件 634 启用了安全性的全局组更改事件 635 启用了安全性的全局组更改事件 636 启用了安全性的全局组更改事件 637 启用了安全性的全局组更改事件 638 启用了安全性的全局组更改事件 639 启用了安全性的组更改事件 641 启用了安全性的组更改事件 642 更改用户帐户事件 643 更改域安全策略事件 644 帐户锁定尝试事件 644 用户帐户自动锁定事件 645 帐号及安全组策略更改事件 659 启用了安全性的通用组更改事件 660 启用了安全性的通用组更改事件 661 启用了安全性的通用组更改事件 662 启用了安全性的通用组更改事件 666 帐号及安全组策略更改事件 668 启用了安全性的组更改事件 672 已成功颁发和验证身份验证服务(AS)票证 675 预验证失败事件 680 帐户登录事件 681 登录失败尝试进行域帐户登录事件 682 用户已重新连接至已断开的终端服务器会话 683 用户未注销就断开终端服务器会话 685 更改用户帐户名称事件 698 更改目录服务还原模式密码事件 1074 查看计算机的开机、关机、重启的时间以及原因和注释。 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1102 日志清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4199 当发生TCP/IP地址冲突的时候出现此事件ID，用来排查用户IP网络的问题。 4608 Windows正在启动 4608 Windows启动事件 4609 Windows正在关闭 4609 Windows关机事件 4610 本地安全机构已加载身份验证包 4611 已向本地安全机构注册了受信任的登录进程 4611 受信任的登录过程已经在本地安全机构注册 4612 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。 4612 审核失败事件 4613 清除安全事件日志事件 4614 安全帐户管理器已加载通知包。 4614 安全帐户管理器已加载通知数据包 4615 LPC端口使用无效 4615 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 4616 系统时间已更改。 4616 更改系统时间事件 4617 无法记录事件 4618 已发生受监视的安全事件模式 4621 管理员从CrashOnAuditFail恢复了系统 4622 本地安全机构已加载安全包。 4624 帐户已成功登录 4624 登录成功事件 4625 帐户无法登录 4625 登录失败事件用户名未知或密码错误 4626 用户/设备声明信息 4626 登录失败事件时间限制 4627 集团会员信息。 4628 登录失败事件指定用户帐户已过期 4629 登录失败事件不允许用户由此计算机登录 4630 登录失败事件不允许该登录类型 4631 登录失败事件指定帐户的密码已过期 4632 登录失败事件NetLogon组件未激活 4633 登录失败由于其他原因登录尝试失败 4634 帐户已注销 4634 用户注销事件 4635 登录失败试图登录时该帐户已锁定 4636 登录成功事件 4646 IKE DoS防护模式已启动 4647 用户启动了注销 4648 使用显式凭据尝试登录 4649 检测到重播 4649 检测到重放攻击事件 4650 建立了IPsec主模式安全关联 4651 建立了IPsec主模式安全关联 4652 IPsec主模式协商失败 4653 IPsec主模式协商失败 4654 IPsec快速模式协商失败 4655 IPsec主模式安全关联已结束 4656 请求了对象的句柄 4656 准许对现有对象的访问 4656 拒绝对现有对象的访问事件 4657 注册表值已修改 4658 对象的句柄已关闭 4658 指向对象的句柄已关闭 4659 请求删除对象的句柄 4659 试图打开一个对象并打算将其删除 4660 对象已删除 4660 受保护对象已删除 4661 请求了对象的句柄 4661 访问权限已授予现有的对象类型 4662 对对象执行了操作 4662 发生了一般对象操作 4663 尝试访问对象 4663 与使用的句柄关联的权限 4664 试图创建一个硬链接 4664 尝试创建已审核文件的硬链接事件 4665 尝试创建应用程序客户端上下文。 4666 应用程序尝试了一个操作 4667 应用程序客户端上下文已删除 4668 应用程序已初始化 4670 对象的权限已更改 4670 对象权限被修改 4671 应用程序试图通过TBS访问被阻止的序号 4672 分配给新登录的特权 4672 对新登录指派特殊特权 4673 特权服务被召唤 4674 尝试对特权对象执行操作 4675 SID被过滤掉了 4688 已经创建了一个新流程 4688 创建新进程事件 4688 创建新流程事件 4689 一个过程已经退出 4690 尝试复制对象的句柄 4691 请求间接访问对象 4692 尝试备份数据保护主密钥 4693 尝试恢复数据保护主密钥 4694 试图保护可审计的受保护数据 4695 尝试不受保护的可审计受保护数据 4696 主要令牌已分配给进程 4696 对进程指派了主令牌事件 4697 系统中安装了一项服务 4697 用户尝试安装服务事件 4698 已创建计划任务 4698 创建计划的作业事件 4699 计划任务已删除 4700 已启用计划任务 4701 计划任务已禁用 4702 计划任务已更新 4703 令牌权已经调整 4704 已分配用户权限 4704 指派了用户帐户特权 4705 用户权限已被删除 4705 移除了用户帐户特权 4706 为域创建了新的信任 4706 创建删除或修改了与另一域的信任关系 4707 已删除对域的信任 4707 创建删除或修改了与另一域的信任关系 4708 更改审核策略事件 4709 IPsec服务已启动 4709 更改IPsec策略事件 4710 IPsec服务已禁用 4710 更改IPsec策略事件 4711 PAStore引擎（1％） 4711 更改IPsec策略事件 4712 IPsec服务遇到了潜在的严重故障 4713 Kerberos策略已更改 4714 加密数据恢复策略已更改 4715 对象的审核策略（SACL）已更改 4716 可信域信息已被修改 4716 创建删除或修改了与另一域的信任关系 4717 系统安全访问权限已授予帐户 4717 对帐户授予了系统访问权 4718 系统安全访问已从帐户中删除 4718 从系统移除了系统访问权 4719 系统审核策略已更改 4719 更改审核策略事件 4720 已创建用户帐户 4720 创建用户帐户事件 4721 按用户刷新审核策略 4722 用户帐户已启用 4722 启用了用户帐户 4723 尝试更改帐户的密码 4723 更改密码尝试事件 4724 尝试重置帐户密码 4724 用户帐户密码设置或重置事件 4725 用户帐户已被禁用 4725 帐户当前已禁用 4726 用户帐户已删除 4726 删除用户帐户事件 4727 已创建启用安全性的全局组 4727 启用了安全性的全局组更改事件 4728 已将成员添加到启用安全性的全局组中 4728 启用了安全性的全局组更改事件 4729 成员已从启用安全性的全局组中删除 4729 启用了安全性的全局组更改事件 4730 已删除启用安全性的全局组 4730 启用了安全性的全局组更改事件 4731 已创建启用安全性的本地组 4731 启用了安全性的全局组更改事件 4732 已将成员添加到启用安全性的本地组 4732 启用了安全性的全局组更改事件 4733 成员已从启用安全性的本地组中删除 4733 启用了安全性的全局组更改事件 4734 已删除已启用安全性的本地组 4734 启用了安全性的全局组更改事件 4735 已启用安全性的本地组已更改 4735 启用了安全性的组更改事件 4737 启用安全性的全局组已更改 4737 启用了安全性的组更改事件 4738 用户帐户已更改 4738 更改用户帐户事件 4739 域策略已更改 4739 更改域安全策略事件 4740 用户帐户已被锁定 4740 帐户锁定尝试事件 4740 用户帐户自动锁定事件 4741 已创建计算机帐户 4741 帐号及安全组策略更改事件 4742 计算机帐户已更改 4743 计算机帐户已删除 4744 已创建禁用安全性的本地组 4745 已禁用安全性的本地组已更改 4746 已将成员添加到已禁用安全性的本地组 4747 已从安全性已禁用的本地组中删除成员 4748 已删除安全性已禁用的本地组 4749 已创建一个禁用安全性的全局组 4750 已禁用安全性的全局组已更改 4751 已将成员添加到已禁用安全性的全局组中 4752 成员已从禁用安全性的全局组中删除 4753 已删除安全性已禁用的全局组 4754 已创建启用安全性的通用组 4755 启用安全性的通用组已更改 4755 启用了安全性的通用组更改事件 4756 已将成员添加到启用安全性的通用组中 4756 启用了安全性的通用组更改事件 4757 成员已从启用安全性的通用组中删除 4757 启用了安全性的通用组更改事件 4758 已删除启用安全性的通用组 4758 启用了安全性的通用组更改事件 4759 创建了一个安全禁用的通用组 4760 安全性已禁用的通用组已更改 4761 已将成员添加到已禁用安全性的通用组中 4762 成员已从禁用安全性的通用组中删除 4762 帐号及安全组策略更改事件 4763 已删除安全性已禁用的通用组 4764 组类型已更改 4764 启用了安全性的组更改事件 4765 SID历史记录已添加到帐户中 4766 尝试将SID历史记录添加到帐户失败 4767 用户帐户已解锁 4768 请求了Kerberos身份验证票证（TGT） 4768 已成功颁发和验证身份验证服务(AS)票证 4769 请求了Kerberos服务票证 4770 更新了Kerberos服务票证 4771 Kerberos预身份验证失败 4771 预验证失败事件 4772 Kerberos身份验证票证请求失败 4773 Kerberos服务票证请求失败 4774 已映射帐户以进行登录 4775 无法映射帐户以进行登录 4776 域控制器尝试验证帐户的凭据 4776 帐户登录事件 4777 域控制器无法验证帐户的凭据 4777 登录失败尝试进行域帐户登录事件 4778 会话重新连接到Window Station 4778 用户已重新连接至已断开的终端服务器会话 4779 会话已与Window Station断开连接 4779 用户未注销就断开终端服务器会话 4780 ACL是在作为管理员组成员的帐户上设置的 4781 帐户名称已更改 4781 更改用户帐户名称事件 4782 密码哈希帐户被访问 4783 创建了一个基本应用程序组 4784 基本应用程序组已更改 4785 成员已添加到基本应用程序组 4786 成员已从基本应用程序组中删除 4787 非成员已添加到基本应用程序组 4788 从基本应用程序组中删除了非成员。 4789 基本应用程序组已删除 4790 已创建LDAP查询组 4791 基本应用程序组已更改 4792 LDAP查询组已删除 4793 密码策略检查API已被调用 4794 尝试设置目录服务还原模式管理员密码 4794 更改目录服务还原模式密码事件 4797 试图查询帐户是否存在空白密码 4798 枚举了用户的本地组成员身份。 4799 已枚举启用安全性的本地组成员身份 4800 工作站已锁定 4801 工作站已解锁 4802 屏幕保护程序被调用 4803 屏幕保护程序被解雇了 4816 RPC在解密传入消息时检测到完整性违规 4817 对象的审核设置已更改。 4818 建议的中央访问策略不授予与当前中央访问策略相同的访问权限 4819 计算机上的中央访问策略已更改 4820 Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制 4821 Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制 4822 NTLM身份验证失败，因为该帐户是受保护用户组的成员 4823 NTLM身份验证失败，因为需要访问控制限制 4824 使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 用户被拒绝访问远程桌面。默认情况下，仅当用户是Remote Desktop Users组或Administrators组的成员时才允许用户进行连接 4826 加载引导配置数据 4830 SID历史记录已从帐户中删除 4864 检测到名称空间冲突 4865 添加了受信任的林信息条目 4866 已删除受信任的林信息条目 4867 已修改受信任的林信息条目 4868 证书管理器拒绝了挂起的证书请求 4869 证书服务收到重新提交的证书请求 4870 证书服务撤销了证书 4871 证书服务收到发布证书吊销列表（CRL）的请求 4872 证书服务发布证书吊销列表（CRL） 4873 证书申请延期已更改 4874 一个或多个证书请求属性已更改。 4875 证书服务收到关闭请求 4876 证书服务备份已启动 4877 证书服务备份已完成 4878 证书服务还原已开始 4879 证书服务恢复已完成 4880 证书服务已启动 4881 证书服务已停止 4882 证书服务的安全权限已更改 4883 证书服务检索到存档密钥 4884 证书服务将证书导入其数据库 4885 证书服务的审核筛选器已更改 4886 证书服务收到证书请求 4887 证书服务批准了证书请求并颁发了证书 4888 证书服务拒绝了证书请求 4889 证书服务将证书请求的状态设置为挂起 4890 证书服务的证书管理器设置已更改。 4891 证书服务中的配置条目已更改 4892 证书服务的属性已更改 4893 证书服务存档密钥 4894 证书服务导入并存档了一个密钥 4895 证书服务将CA证书发布到Active Directory域服务 4896 已从证书数据库中删除一行或多行 4897 启用角色分离 4898 证书服务加载了一个模板 4899 证书服务模板已更新 4900 证书服务模板安全性已更新 4902 已创建每用户审核策略表 4904 尝试注册安全事件源 4905 尝试取消注册安全事件源 4906 CrashOnAuditFail值已更改 4907 对象的审核设置已更改 4908 特殊组登录表已修改 4909 TBS的本地策略设置已更改 4910 TBS的组策略设置已更改 4911 对象的资源属性已更改 4912 每用户审核策略已更改 4913 对象的中央访问策略已更改 4928 建立了Active Directory副本源命名上下文 4929 已删除Active Directory副本源命名上下文 4930 已修改Active Directory副本源命名上下文 4931 已修改Active Directory副本目标命名上下文 4932 已开始同步Active Directory命名上下文的副本 4933 Active Directory命名上下文的副本的同步已结束 4934 已复制Active Directory对象的属性 4935 复制失败开始 4936 复制失败结束 4937 从副本中删除了一个延迟对象 4944 Windows防火墙启动时，以下策略处于活动状态 4945 Windows防火墙启动时列出了规则 4946 已对Windows防火墙例外列表进行了更改。增加了一条规则 4947 已对Windows防火墙例外列表进行了更改。规则被修改了 4948 已对Windows防火墙例外列表进行了更改。规则已删除 4949 Windows防火墙设置已恢复为默认值 4950 Windows防火墙设置已更改 4951 规则已被忽略，因为Windows防火墙无法识别其主要版本号 4952 已忽略规则的某些部分，因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则，因为它无法解析规则 4954 Windows防火墙组策略设置已更改。已应用新设置 4956 Windows防火墙已更改活动配置文件 4957 Windows防火墙未应用以下规则 4958 Windows防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目 4960 IPsec丢弃了未通过完整性检查的入站数据包 4961 IPsec丢弃了重放检查失败的入站数据包 4962 IPsec丢弃了重放检查失败的入站数据包 4963 IPsec丢弃了应该受到保护的入站明文数据包 4964 特殊组已分配给新登录 4965 IPsec从远程计算机收到一个包含不正确的安全参数索引（SPI）的数据包。 4976 在主模式协商期间，IPsec收到无效的协商数据包。 4977 在快速模式协商期间，IPsec收到无效的协商数据包。 4978 在扩展模式协商期间，IPsec收到无效的协商数据包。 4979 建立了IPsec主模式和扩展模式安全关联。 4980 建立了IPsec主模式和扩展模式安全关联 4981 建立了IPsec主模式和扩展模式安全关联 4982 建立了IPsec主模式和扩展模式安全关联 4983 IPsec扩展模式协商失败 4984 IPsec扩展模式协商失败 4985 交易状态已发生变化 5024 Windows防火墙服务已成功启动 5025 Windows防火墙服务已停止 5027 Windows防火墙服务无法从本地存储中检索安全策略 5028 Windows防火墙服务无法解析新的安全策略。 5029 Windows防火墙服务无法初始化驱动程序 5030 Windows防火墙服务无法启动 5031 Windows防火墙服务阻止应用程序接受网络上的传入连接。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows防火墙驱动程序无法启动 5037 Windows防火墙驱动程序检测到严重的运行时错 终止 5038 代码完整性确定文件的图像哈希无效 5039 注册表项已虚拟化。 5040 已对IPsec设置进行了更改。添加了身份验证集。 5041 已对IPsec设置进行了更改。身份验证集已修改 5042 已对IPsec设置进行了更改。身份验证集已删除 5043 已对IPsec设置进行了更改。添加了连接安全规则 5044 已对IPsec设置进行了更改。连接安全规则已修改 5045 已对IPsec设置进行了更改。连接安全规则已删除 5046 已对IPsec设置进行了更改。添加了加密集 5047 已对IPsec设置进行了更改。加密集已被修改 5048 已对IPsec设置进行了更改。加密集已删除 5049 IPsec安全关联已删除 5050 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙（FALSE 5051 文件已虚拟化 5056 进行了密码自检 5057 加密原语操作失败 5058 密钥文件操作 5059 密钥迁移操作 5060 验证操作失败 5061 加密操作 5062 进行了内核模式加密自检 5063 尝试了加密提供程序操作 5064 尝试了加密上下文操作 5065 尝试了加密上下文修改 5066 尝试了加密功能操作 5067 尝试了加密功能修改 5068 尝试了加密函数提供程序操作 5069 尝试了加密函数属性操作 5070 尝试了加密函数属性操作 5071 Microsoft密钥分发服务拒绝密钥访问 5120 OCSP响应程序服务已启动 5121 OCSP响应程序服务已停止 5122 OCSP响应程序服务中的配置条目已更改 5123 OCSP响应程序服务中的配置条目已更改 5124 在OCSP Responder Service上更新了安全设置 5125 请求已提交给OCSP Responder Service 5126 签名证书由OCSP Responder Service自动更新 5127 OCSP吊销提供商成功更新了吊销信息 5136 目录服务对象已修改 5137 已创建目录服务对象 5138 目录服务对象已取消删除 5139 已移动目录服务对象 5140 访问了网络共享对象 5141 目录服务对象已删除 5142 添加了网络共享对象。 5143 网络共享对象已被修改

当前开通应用服务网格CSM需要您先开通云容器引擎实例，开通服务网格时需要您先选择已经开通的云容器引擎集群，用于部署服务网格控制面。应用服务网格CSM架构图如下： 当前应用服务网格CSM支持多集群模式，主集群（Primary）用于部署网格控制面，通过ELB向其他从集群（Remote）暴露控制面服务（包括xDS、webhook等接口）。

本章节介绍消费者调用API签名计算 签名过程 客户端 1. 从原始请求中提取关键请求信息，构造签名字符串； 2. 利用加密算法和AppSecret对签名字符串进行加密处理，得到签名； 3. 将签名相关的头部信息加入到原始请求中，发送请求； 服务端 1. 从接收到的请求中提取关键请求信息，得到一个用来签名的签名串； 2. 从接收到的请求中读取APPKey，通过APPKey查询到对应的APPSecret； 3. 使用加密算法和APPSecret对关键请求信息签名串进行加密处理，得到签名； 4. 从接收到的请求中读取客户端签名，对比服务器端签名和客户端签名的一致性。 签名生成公式 签名的计算公式为signature HMACSHAxHEX(secretkey, signingstring)，从公式可以看出，想要获得签名需要得到 secretkey 和 signingstring 两个参数。其中 secretkey 为对应应用所配置的，signingstring 的计算公式为 signingstring HTTP Method + n + HTTP URI + n + canonicalquerystring + n + accesskey + n + Date + n + signedheadersstring。如果 signingstring 中的某一项不存在，也需要使用一个空字符串代替。 字段解释 1. HTTP Method：指 HTTP 协议中定义的 GET、PUT、POST 等请求方法，必须使用全大写的形式。 2. HTTP URI：要求必须以“/”开头，不以“/”开头的需要补充上，空路径为“/”。 3. Date：请求头中的 Date （ GMT 格式 ）。 4. canonicalquerystring：是对于 URL 中的 query（ query 即 URL 中 ? 后面的 key1valve1&key2valve2 字符串）进行编码后的结果。 5. signedheadersstring：是从请求头中获取客户端指定的字段，并按顺序拼接字符串的结果。 其中canonicalquerystring 编码步骤如下： 提取URL 中的 query 项，即 URL 中 ? 后面的 key1valve1&key2valve2 字符串。 将query 根据&分隔符拆开成若干项，每一项是 keyvalue 或者只有 key 的形式。 当该项只有key 时，转换公式为 urlencode(key) + "" 的形式。 当该项是keyvalue 的形式时，转换公式为 urlencode(key) + "" + urlencode(value) 的形式。这里 value 可以是空字符串。 将每一项转换后，以key 按照字典顺序（ ASCII 码由小到大）排序，并使用 & 符号连接起来，生成相应的 canonicalquerystring 。

本文介绍查询知识库切分策略详情。 接口描述 获取某个知识库的切片策略 请求方法 GET 接口要求 无 URI /openapi/v1/infobases/chunkconfig 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json tenantId 是 String 租户ID 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 kqaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求头Query参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 Int 知识库id 143 请求代码示例 plaintext Curl X GET " H "ContentType: application/json" H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 返回状态，返回200表示成功 200 message String 返回Success Success returnObj Object 接口返回结果 returnObj表 returnObj表 参数 参数类型 说明 示例 下级对象 chunkConfigs Array[Object] 切分策略列表 详情见“创建知识库”接口的chunkConfig对象定义 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": 200, "error": null, "message": "Success", "returnObj": { "chunkConfigs": [ { "chunkMode": "length", "chunkSize": 2159, "chunkOverlap": 812, "separator": "nn", "enablecontextExpansion": true, "contextChunkMode": "length", "contextChunkSize": 406, "contextChunkOverlap": 38, "contextSeparator": "n", "supportFileTypes": ["all"] } ] } } 2.请求失败返回值示例 plaintext { "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 错误码 错误信息 错误描述 40004 业务异常 业务异常，详情见message 40005 知识库不存在

RDSPostgreSQL系统策略 RDSPostgreSQL默认提供三种系统策略供用户选择，策略仅包括数据库管理控制台内的相关功能权限，涉及订单下单等非管理控制台的权限还需进行相应的权限配置。RDSPostgreSQL的三种默认策略分别是PostgreSQL管理员策略（PostgreSQLadmin），普通用户策略（PostgreSQLuser），只读用户策略（PostgreSQLreviewer），三种策略的权限模型具体如下： 功能模块 权限名称 权限三元组 默认策略 功能模块 权限名称 产品编码 服务编码 操作标识 admin user reviewer 实例管理 PG查询实例列表 pgsql inst list Y Y Y 实例管理 PG数据库清理操作 pgsql remote clean Y 实例管理 PG实例操作 pgsql inst operate Y 实例管理 PG修改实例参数 pgsql params alter Y Y 实例管理 PG查询实例节点 pgsql node query Y Y Y 实例管理 PG实例节点相关操作 pgsql node operate Y Y 实例管理 PG exporter操作 pgsql exporter operate Y Y 备份恢复 PG全量备份 pgsql backup create Y Y 备份恢复 PG复制全量备份 pgsql backup copy Y Y 备份恢复 PG删除全量备份 pgsql backup delete Y 备份恢复 PG从备份恢复 pgsql backup recover Y Y 备份恢复 PG获取备份任务信息 pgsql backup tasklist Y Y 备份恢复 PG查看备份配置 pgsql backup settings Y Y 备份恢复 PG保存备份配置 pgsql backup save Y Y 数据库管理 PG查询数据库 pgsql database query Y Y Y 数据库管理 PG操作数据库 pgsql database operate Y Y 数据库管理 PG查询数据库编码方式 pgsql database encoding Y Y Y 账号管理 PG重置实例用户密码 pgsql user password Y 账号管理 PG查询实例用户列表 pgsql user list Y Y Y 账号管理 PG实例用户相关操作 pgsql user operate Y 参数模板管理 PG查询参数模板 pgsql template list Y Y Y 参数模板管理 PG查询模板具体参数 pgsql template detail Y Y Y 参数模板管理 PG操作参数模板 pgsql template operate Y Y 参数模板管理 PG应用参数模板 pgsql template apply Y Y 参数模板管理 PG修改模板内参数 pgsql template update Y Y 数据库审计 PG审计日志设置 pgsql audit set Y Y 数据库审计 PG查询审计日志设置 pgsql audit setting Y Y 数据库审计 PG查询审计日志 pgsql audit record Y Y Y 白名单管理 PG白名单查询 pgsql whitelist list Y Y Y 白名单管理 PG白名单操作 pgsql whitelist operate Y Y 企业项目管理 查看企业项目 ctiam project query Y Y Y

对比项 关系数据库MySQL版 自购服务器搭建数据库服务 服务可用性 提供高可用架构，支持主备架构，保证服务可用性和容错性。弹性云主机可用性请参见 自建数据库的可用性受到自身技术水平和硬件设备的限制，难以保证高可用性和容错性。 数据可靠性 提供数据备份和恢复，支持多种备份存储和备份策略，保障数据的可靠性和完整性。存储可靠性请参见 自建数据库需自行实现备份和恢复，备份存储和备份策略不够完善，存在数据丢失的风险。 系统安全性 提供多种安全措施，包括数据加密、访问控制、网络隔离等，保障数据的安全性。 自建数据库受开发人员技能、安全配置和风险管理等限制，安全性更难保障。 数据库备份 提供灵活的备份和恢复策略，支持自动备份、手动备份和增量备份，为用户提供高效的数据备份和恢复。 备份和恢复策略繁琐复杂，备份失败率高，难以保证数据备份和恢复的效率和完整性。 软硬件投入 用户无需购买数据库软硬件设备和托管设备，通过付费模式即可获得完善的数据库服务。 需要花费大量时间和成本购买软硬件设备和托管设备，并且需要承担维护设备、维护数据库等额外成本。 系统托管 天翼云提供完善的托管服务，包括应用部署、监控检测、资源调度和故障处理等，降低用户的运维成本。 需要用户自行承担系统托管和维护等工作，投入较大的人力资源和时间成本。 维护成本 天翼云提供高性能、高可用性、高安全性的MySQL云服务，用户只需关注业务需求，降低维护成本。 维护成本较高，需要购买和维护硬件设备、数据库软件，以及承担数据库的维护和升级等额外成本。 部署扩容 提供弹性扩容和收缩服务，根据业务需求自动分配和回收资源，避免资源浪费和运营成本增加。 需要用户自行实现部署和扩容，扩容过程繁琐，并且需要承担额外的硬件资源和运维成本。 资源利用率 提供可弹性调度的资源池，提高数据库资源的利用率并且降低成本。 资源利用率不尽如人意，容易造成资源浪费，增加成本。

对比项 RDSPostgreSQL 自建数据库 服务可用性 提供高可用架构，支持主备架构，保证服务可用性和容错性。 自建数据库的可用性受到自身技术水平和硬件设备的限制，难以保证高可用性和容错性。 数据可靠性 提供数据备份和恢复，支持多种备份存储和备份策略，保障数据的可靠性和完整性。 数据库存储采用分布式存储，每份数据在后台保存多份副本，多副本数据实时同步，不会因存储掉电、故障导致用户数据丢失，保证数据安全可靠。 自建数据库需自行实现备份和恢复，备份存储和备份策略不够完善，存在数据丢失的风险。 系统安全性 提供多种安全措施，包括安全组访问控制、白名单管理、网络隔离等。 支持数据库审计、用户关键操作记录等审计记录，保障数据的安全性。 自建数据库受开发人员技能、安全配置和风险管理等限制，安全性更难保障。 数据库备份 提供灵活的备份和恢复策略，支持自动备份、手动备份和增量备份，为用户提供高效的数据备份和恢复。 备份和恢复策略繁琐复杂，备份失败率高，难以保证数据备份和恢复的效率和完整性。 软硬件投入 用户无需购买数据库软硬件设备和托管设备，通过付费模式即可获得完善的数据库服务。 需要花费大量时间和成本购买软硬件设备和托管设备，并且需要承担维护设备、维护数据库等额外成本。 系统托管 天翼云提供完善的托管服务，包括应用部署、监控检测、资源调度和故障处理等，降低用户的运维成本。 需要用户自行承担系统托管和维护等工作，投入较大的人力资源和时间成本。 维护成本 天翼云提供高性能、高可用性、高安全性的PostgreSQL云服务，用户只需关注业务需求，降低维护成本。 维护成本较高，需要购买和维护硬件设备、数据库软件，以及承担数据库的维护和升级等额外成本。 部署扩容 提供弹性扩容和收缩服务，根据业务需求自动分配和回收资源，避免资源浪费和运营成本增加。 需要用户自行实现部署和扩容，扩容过程繁琐，并且需要承担额外的硬件资源和运维成本。 资源利用率 提供可弹性调度的资源池，提高数据库资源的利用率并且降低成本。 资源利用率不尽如人意，需保证业务高峰期的系统吞吐量，平时容易造成资源浪费，增加成本。