配置 说明 API名称 支持中文、英文、数字、下划线，且只能以英文或中文开头，364个字符。 API目录 一个特定功能或场景的API集合，类似文件夹，是数据服务中API的最小组织单元，也是API网关中的最小管理单元。 您可单击“新建”进行新建，也可选择新建API目录已创建的API分组。 请求Path API访问路径，例如：/v2/{projectid}/streams。 请求Path即完整的url中，域名之后、查询参数之前的部分，如下图中的“/blogs/188138”。 统一资源定位符url说明 在请求路径中，可以使用大括号{}标识路径中的参数作为通配符。如“/blogs/{blogid}”表示/blogs后可以携带任何参数，例如“/blogs/188138”和“/blogs/0”均会匹配至/blogs/{blogid}，由此API统一处理。 此外，相同域名下，不允许重复的请求路径出现。路径参数作为通配符时，名称不具备唯一性，例如“/blogs/{blogid}”和“/blogs/{xxxx}”，会被视作相同路径。 参数协议 用于传输请求的协议，支持HTTP和HTTPS协议。 HTTP属于基础的网络传输协议，无状态、无连接、简单、快速、灵活、使用明文传输，在使用上较为便捷，但是安全性欠佳。 HTTPS是在HTTP协议上进行了SSL或TLS加密校验的协议，能够有效验证身份以及保护数据完整性。相对的，访问HTTPS的API，需要配置相关的SSL证书或跳过SSL校验，否则将无法访问。 请求方式 HTTP请求方式，表示请求什么类型的操作，包含GET、POST等，遵循resultful风格。 GET：请求服务器返回指定资源，推荐使用GET请求。 POST：请求服务器新增资源或执行特殊操作，仅在注册API时使用。POST请求当前不支持body体，而是直接透传。 描述 对API进行简要描述。 标签 对API设置标签。用于标记当前API的属性，创建后可以通过标签快速检索定位API。单个API最多可设置20个标签。 审核人 拥有API的审核权限。 单击“新建”，进入“审核中心>审核人管理”页面，新建审核人。 安全认证 API认证方式： APP认证：表示由API网关服务负责接口请求的安全认证，安全级别最高。 IAM认证：表示借助IAM服务进行安全认证，安全级别中等。 无认证：属于无防护的模式，无需认证即可访问，安全级别低，不推荐使用。 服务目录可见性 发布后，所选范围内的用户均可以在服务目录中看到此API。 当前工作空间可见 当前项目可见 当前租户可见 访问日志 勾选，则此API的查询结果将会产生记录并被保留7天，可以在“运营管理>访问日志”处通过选择“请求日期”的方式查看对应日期的日志。 最低保留期限 API解绑前预留的最低期限。0表示不设限制。 API进行停用/下线/取消授权时，会通知已授权用户，并为用户预留至少X小时，直到所有授权用户均完成解除或处理，或者到达截止时间，API才会停用/下线/取消授权。 入参定义 配置API请求中的参数，包含资源路径中的动态参数，请求URI中的查询参数和Header参数。 添加入参定义时，如果参数设定为必填，则API在访问时，必须传入指定参数；如果非必填，则在API访问时，未传入的参数，会使用默认值进行代替。 参数大小限制如下： query+path，url最大32KB header，最大128KB body， 最大128KB 以配置资源路径中的动态参数为例进行说明，例如资源路径（请求Path）设置为： /v2/{projectid}/streams，资源路径中的{projectid}为动态参数，需要在此进行配置。 1. 单击“添加”，参数名配置为projectid。 2. 参数位置选择PATH。 3. 类型设置为STRING。 4. 选择性配置示例值和描述。

数据库实例绑定公网IP与网络安全策略的配置流程 申请公网IP并绑定到源数据库实例。 具体可参考天翼云数据库绑定公网IP相关文档绑定和解绑弹性公网IP。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档，区别的点是放通源数据库实例的公网IP和DTS实例的公网IP。 数据库添加白名单。 数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本节介绍了数据库安全设置的相关内容。 账户密码复杂度设置 RDS for MySQL Console端数据库密码复杂度，请参见购买中的数据库配置表格。 RDS for MySQL对在客户端新创建的数据库用户，设置了密码安全策略： 口令长度至少8个字符。 口令至少包含大写字母、小写字母、数字和特殊字符各一个。 创建实例时，为用户提供了密码复杂度校验，由于root用户可以修改密码复杂度，安全起见，建议修改后的密码复杂度不低于RDS for MySQL的初始化设置。 账户说明 您在创建RDS for MySQL数据库实例时，系统会自动为实例创建如下系统账户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 删除、重命名、修改这些账户的密码和权限信息，会导致实例运行异常，请谨慎操作。 rdsAdmin：管理账户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl：复制账户，用于备实例或只读实例在主实例上同步数据。 rdsBackup：备份账户，用于后台的备份。 rdsMetric：指标监控账户，用于watchdog采集数据库状态数据。 rdsProxy：数据库代理账户，该账户在开通读写分离时才会自动创建，用于通过读写分离地址连接数据库时鉴权使用。

本小节介绍服务器安全卫士的功能使用。 Agent安装完成后，您可使用服务器安全卫士相关功能。 1.您可以在资产清点页面，查看对应操作系统服务器资产清点信息，包括：账号、进程、端口、web服务、数据库等信息。 2.您可以在风险发现总览界面，查看您 服务器风险概览情况 ，包括风险项统计、风险分布、风险趋势等。 3.您可以在风险发现下， 使用安全补丁、漏洞检测、弱密码检查、应用风险、系统风险、账号风险功能 。支持从风险维度和主机维度两种视图下，查看风险信息。 安全补丁：对安全补丁进行周期性自动检测，提供详细补丁说明和修复方案。 漏洞检测：精准本地分析漏洞，包含精准POC探测和版本漏洞探测；支持CVSS等漏洞信息详细描述，支持漏洞修复影响检查；提供命令级漏洞修复建议。 弱密码检查：弱口令自动检测，自动匹配账号名相关易猜解密码，支持弱口令字典自定义。 应用风险：检测Linux关键攻击路径上常用应用的配置型风险。 系统风险：检测linux上由于系统配置的产生的安全风险 账号风险：检测linux系统中的由于账号的配置产生的安全风险。 4.您可以在入侵检测下， 使用暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行功能 。 暴力破解：实时监控主机上发生的爆破行为，并提供封停爆破来源IP的能力，支持自动封停和手动封停，可设置白名单。 异常登录：实时异常登录监控，发现异常IP、区域、时间等的异常登录，在使用前，必须先设置正常登录规则，否则异常登录功能不起作用，无法进行监控。支持封停和解封。 反弹shell：实时监控主机上反向连接的行为，并提供详细的攻击记录，支持设置白名单规则，支持对反弹shell行为进行阻断。 本地提权：支持实时进程提权监测，支持进程提权过程详细记录。 后门检测：精准发现系统内后门程序，提供详细后门程序分析报告与修复建议。 Web后门：多维度Web后门识别，支持规则匹配、相似度匹配、沙箱检测、模式分析引擎检测等多种机制检测，具备实时监测能力。 可疑操作：实时对Bash命令进行审计，发现可疑的黑客操作，支持自定义审计规则 Web命令执行：能够发现Web RCE和进程异常的执行事件 5.您可以在病毒查杀下， 设置查杀引擎和处置方式 ，支持对单台或多台服务器产生的病毒进行自动处置和手动处置。 6.您可以在合规基线下，根据等保、CIS的基线要求 设置基线检查任务 ，支持定时检查，可导出检查结果。

本页介绍了 connect failed 连接报错的处理方法。 问题描述 使用客户端连接文档数据库服务实例时报错 "Authentication failed", 使用的连接命令如下： mongo "mongodb://root: @ , /admin?authSourceadmin&replicaSet " 报错信息如下： 20230719T12:42:13.281+0800 W NETWORK [js] Unable to reach primary for set DDS 20230719T12:42:13.281+0800 I NETWORK [js] Cannot reach any nodes for set DDS. Please check network connectivity and the status of the set. This has happened for 2 checks in a row. 20230719T12:42:13.284+0800 E QUERY [js] Error: connect failed to replica set DDS/ : , : : connect@src/mongo/shell/mongo.js:257:13 @(connect):1:6 exception: connect failed 原因分析 从报错信息来看，是客户端到文档数据库服务之间的网络访问不通导致的。 可能的原因有： 文档数据库服务实例的端口错误，不可用。 文档数据库服务实例与客户端云主机不在同一个区域或子网。 服务端开启了 SSL 模式，但是客户端没有使用 SSL 模式访问。 处理方法 1. 检查文档数据库服务实例与ECS是否在同一个区域、同一个安全组和子网内。 首先登录文档数据库服务控制台，单击实例名称，在基本信息页面查看文档数据库服务实例所在的区域、VPC、安全组和子网信息。然后弹性云服务器控制台，单击云服务器名称，在基本信息页面，查看当前云主机所在的区域、VPC、安全组和子网信息。确保 2 者的配置信息相同。 2. 检查实例的端口是否正确，并通过 curl/telnet 命令检查端口是否可用。 登录到文档数据库服务控制台，单机实例名称，在基本信息页面查看实例的 IP 和端口信息，然后使用 curl 或者 telnet 命令测试端口的连通性。 示例如下： curl 检查 $ curl : It looks like you are trying to access MongoDB over HTTP on the native driver port. telnet 检查 $ telnet Trying ... Connected to . Escape character is '^]'. ^] telnet> 3. 检查实例是否开启了 SSL 模式。 登录到文档数据库服务控制台，单机实例名称，在基本信息页面上查看是否开启了 SSL 模式。如果开启了 SSL 模式，则下载证书后使用 SSL 模式访问，命令示例如下： ./mongo "mongodb://root: @ , /admin?authSourceadmin&replicaSet " ssl sslCAFile sslAllowInvalidHostnames

本节介绍如何使用的公共接入点接入Kafka的方法，文档以Java代码为例。 前提条件 已配置正确的安全组。 已获取连接Kafka实例的地址。 如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 已创建弹性云服务器，如果使用内网同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。 使用内网同一个VPC访问，实例端口为8090，实例连接地址从控制台实例详情菜单处获取，如下图所示。 Maven中引入Kafka客户端 java Kafka实例基于社区版本2.8.2/3.6.2，推荐客户端保持一致。 org.apache.kafka kafkaclients 2.8.2/3.6.2 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); 生产者代码示例 java package com.justin.kafka.service.gw.plain; import org.apache.kafka.clients.producer.Callback; import org.apache.kafka.clients.producer.KafkaProducer; import org.apache.kafka.clients.producer.ProducerConfig; import org.apache.kafka.clients.producer.ProducerRecord; import org.apache.kafka.clients.producer.RecordMetadata; import org.apache.kafka.common.serialization.StringSerializer; import java.util.Properties; public class Producer { private final KafkaProducer producer; public final static String TOPIC "testtopic"; public final static String BROKERADDR "192.168.0.11:8090,192.168.0.9:8090,192.168.0.10:8090"; public Producer() { Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.ACKSCONFIG, "all"); props.put("retries",3); producer new KafkaProducer<>(props); } public void produce() { try { for (int i 0; i (TOPIC, data), new Callback() { public void onCompletion(RecordMetadata metadata, Exception exception) { if (exception ! null) { // TODO: 异常处理 exception.printStackTrace(); return; } System.out.println("produce msg completed, partition id " + metadata.partition()); } }); } } catch (Exception e) { // TODO: 异常处理 e.printStackTrace(); } producer.flush(); producer.close(); } public static void main(String[] args) { Producer producer new Producer(); producer.produce(); } }

通过IAM用户控制资源访问操作步骤 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对云硬盘资源的访问。 步骤一：创建IAM子用户 具体操作，请参见统一身份认证IAM创建用户。 步骤二：创建自定义策略 天翼云提供了访问云硬盘EVS资源的系统策略，更多信息，请参见上方的“权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证IAM创建自定义策略。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version，标识策略结构的版本号。目前为1.1。 策略授权语句：Statement，包括了基本元素：作用（Effect）和授权项（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）：对资源的具体操作权限，支持单个或多个操作权限。 a) 脚本配置策略示例一：为IAM子用户配置云硬盘查看者权限。 plaintext { "Version":"1.1", "Statement":[ { "Effect":"Allow", "Action":[ "evs:volumes:list", "evs:volumes:get" ], "Resource":[ "" ] } ] } b) 脚本配置策略示例二：为IAM子用户配置云硬盘所有操作权限，以及云主机的所有操作权限。（代表取所有值） plaintext { "Version":"1.1", "Statement":[ { "Effect":"Allow", "Action":[ "evs::", "ecs::" ], "Resource":[ "" ] } ] }

本节介绍了设置网卡属性为DHCP(Windows)的操作场景、前提条件、操作步骤。 操作场景 通过云主机或者外部镜像文件创建私有镜像时，如果云主机或镜像文件所在虚拟机的网络配置是静态IP地址时，您需要修改网卡属性为DHCP，以使私有镜像发放的新云主机可以动态获取IP地址。 本节以Windows Server 2008 R2操作系统为例。其他操作系统配置方法略有区别，请参考对应操作系统的相关资料进行操作，文档中不对此进行详细说明。 说明： 使用外部镜像文件创建私有镜像时，设置网卡属性操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 已登录创建Windows私有镜像所使用的云主机。 登录云主机的详细操作请参见《弹性云主机用户指南》。 操作步骤 1. 在云主机上选择“开始 > 控制面板”。 2. 单击“网络和Internet”。 3. 单击“网络和共享中心”，如下图所示。 网络和共享中心 4. 选择您已经设置为静态IP的连接。以单击“本地连接 2”为例，如下图所示。 本地连接 2状态 5. 单击“属性”，选择您配置的协议版本。 6. 在“常规”页签中勾选“自动获得IP地址”和“自动获得DNS服务器地址”，单击“确定”，如下图所示。 说明： 建议您记录原有网络信息，以便后续可以修改回原有配置。 配置网络获取IP方式 7. 系统会自动获取IP地址。建议您保存原有的地址信息，方便后续修改回原有配置。

本文介绍弹性文件服务配额相关限制及操作。 什么是服务配额？ 服务配额是指天翼云账号在使用云资源时的最大限制。为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如用户最多可以创建多少台弹性云主机、多少块云硬盘、多少个文件系统等。 配额说明 对于弹性文件服务，一般情况下您需要关注以下3个配额： 配额项 说明 文件系统总容量配额 单用户单地域默认分配50TB配额用于创建文件系统，所有的文件系统容量之和不能超过此配额。 如不满足使用需求，可以申请调整，见下方场景示例。 文件系统数量配额 默认10个，即默认情况下，在某资源池您可以创建10个文件系统。在多可用区资源池，各可用区共用该资源池总数量配额。 如不满足使用需求，可以申请调整至20个，见下方场景示例。 若需要创建20+个文件系统，请提交工单进行资源评估。 说明 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若实际剩余资源不足，可能无法调整至预期配额。 单个文件系统容量上限 单文件系统默认容量上限为32TB。如不满足使用需求，可以申请调整，通常情况下可以调整至320TB。 说明 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若实际剩余资源不足，可能无法调整至预期配额。 弹性文件服务容量和性能不是线性相关，性能不会随容量增大线性增长，最大性能详见产品规格。

本文为您介绍弹性高性能计算产品相关名词的主要含义。 集群 集群指由一组计算机和必要的管理软件组成的计算机系统，能够提供单节点无法提供的强大计算能力，集群中通常包含管理节点、计算节点、调度器、应用软件等。用户可以根据实际业务需求对集群进行扩容、缩容。 节点 节点是集群的组成单元，在集群中通常分为管理节点、计算节点。在EHPC中，每个节点对应一台实例，用户可以根据实际业务和作业情况对集群节点进行扩容、缩容。 作业 作业指通过调度器提交的承载业务逻辑的运算单元，在调度器的管理下，一个集群中可运行多个作业，并根据多种调度策略进行作业编排。在EHPC中，支持通过命令行、Portal页面提交作业。 调度器 调度器指负责监控和管理集群中资源和作业的软件系统，当前版本支持Slurm调度器。 镜像 镜像是一个包含了软件及必要配置的主机模板，至少包含操作系统，还可以包含应用软件和私有软件。 用户 用户指使用弹性高性能计算平台运行业务的用户，包含管理员及普通用户，管理员与普通用户具有不同的权限。 队列 队列指一组具有相同或相似架构、性能的节点，一个集群中支持配置多个队列。用户可根据需求对计算节点进行分类，配置为不同的队列，便于运行相应的作业、配置相应的权限。 自动伸缩 自动伸缩是一种自动伸缩策略，可以根据您配置的伸缩策略动态分配计算节点，系统可以根据调度器感知到的集群负载自动增加或减少计算节点。可以帮您合理利用资源，优化使用成本。

自 2025 年 12 月 28 日起，函数计算升级按需计费项：将函数调用次数、vCPU、GPU、内存、磁盘、公网出流量等各项资源用量按比例统一转换为 CU用量（自动为您开通CU用量新计费项，若访问控制台异常，请按页面提示操作即可），并按照 CU用量 单价进行计费。同时平台设计了全新的 CU资源包（资源包升级中，敬请期待），继续为首次开通服务的新用户赠送试用资源包；对于试用资源包尚未失效的老用户，也会直接重置更新为新版试用资源包（旧试用资源包失效）。 函数计算的旧版计费项 函数调用次数、vCPU使用量、GPU使用量、内存使用量、磁盘使用量、公网出流量 将不再分别上报计费账单，但相关资源用量仍会展示在函数计算控制台首页。 计费模式升级 计费项 计费说明 计费方式 计费单价 CU用量 将函数调用次数、vCPU、GPU、内存、磁盘、公网出流量等各项资源用量按比例统一转换为 CU用量，汇总后的 CU 用量按月累积阶梯计费。 按量计费 资源包抵扣 CU用量按月累积，阶梯计价： 阶梯1：（0，1 亿 ]，0.00011 元/CU 阶梯2：（1 亿，10 亿]，0.00010 元/CU 阶梯3：>10 亿，0.00009 元/CU 资源用量转换 将各类计算资源的使用量乘以转换系数，得到转换后的 CU用量；例如：函数调用次数 1 万次转换为 75 CU，转换系数参考如下： 计算资源 函数调用次数 vCPU 使用量 内存使用量 GPU 使用量 磁盘使用量 公网出流量 转换系数 75 CU/万次 1.0 CU/(vCPU秒) 0.15 CU/(GB秒) 1.85 CU/(GB秒) 0.05 CU/(GB秒) 7200 CU/GB

本章介绍函数工作流的常用概念和名词解释。 函数 函数是处理事件的自定义代码。 事件源 事件源是发布事件的公有云服务或自定义应用程序。 同步调用 同步调用指的是客户端请求需要明确等到响应结果，也就是说这样的请求必须得调用到用户的函数，并且等到调用完成才返回。 异步调用 异步调用是指客户端不关注请求调用的结果，服务端收到请求后将请求排队，排队成功后请求就返回，服务端在空闲的情况下会逐个处理排队的请求。 触发器 触发函数执行的事件。 函数流 用户通过在UI界面拖拽组件、配置组件和连接组件进行可视化编排，创建函数流任务，完成复杂场景的编排。 单实例多并发 单实例多并发是指单个实例可以同时处理的请求数量。 自定义镜像函数 用户直接打包上传容器镜像，由平台加载并启动运行。 自定义运行 自定义函数执行的脚本和文件。 函数日志 函数调用过程中产生的日志信息。 函数监控 函数执行过程中的监控信息。 函数版本 函数从开发、测试、生产过程中发布一个或多个版本，实现对函数代码的管理。对于发布的每个版本的函数、环境变量会另存为相应版本的快照，函数代码发布后，可以根据实际需要修改版本配置信息。 函数别名 用户可以创建别名，指向特定函数版本。别名的优势在于：如果需要回滚到之前的函数版本，则可以将相应别名指向该版本，不再需要修改代码信息。 函数别名支持绑定两个版本，一个对应版本和开启灰度版本，并且支持配置同一个别名下两个不同版本分流权重。

2. 通过IAM用户控制资源访问 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对NAT网关资源的访问。 2.1 操作步骤 2.1.1 创建IAM子用户 具体操作，请参见< 2.1.2 创建自定义策略 天翼云提供了访问NAT网关资源的系统策略，更多信息，请参见“1.2权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见< 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version，标识策略结构的版本号。目前为1.1. 策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 a) 脚本配置策略示例一：为IAM子用户配置NAT网关查看者权限, 以及vpc的部分查看权限（代表取所有值）。 b) 脚本配置策略示例二：为IAM子用户配置NAT网关所有操作权限，以及vpc、ecs的部分操作权限（代表取所有值）

本章节主要介绍数据仓库服务的术语解释。 DWS的管理概念 集群 表示由多个节点组成的服务器群组。DWS以集群为单位进行组织，一个DWS集群由多个在相同子网中的相同规格的节点组成，共同提供服务。 节点 每个DWS集群部署节点取值范围为3~256，其中实时数仓（单机模式）取值为1，每个节点都支持存储与分析数据。 规格 用户创建DWS集群时需要指定集群节点的规格，不同规格节点使用的CPU、内存和存储资源不同。 快照 快照是用户根据需要创建的DWS集群备份，用于还原创建快照时的集群数据。快照会一直保存，直到用户使用管理控制台将此快照删除（自动快照不支持手动删除）。快照会占用用户使用的OBS配额。 Project Project用于将OpenStack的资源（计算资源、存储资源和网络资源）进行分组和隔离。Project可以是一个部门或者一个项目组。一个帐户中可以创建多个Project。 DWS的数据库概念 数据库 一个DWS集群实际上是一个支持联机分析处理方式的数据库平台，属于分析性的关系型数据库。 联机分析处理 联机分析处理（Online Analytical Processing，简称OLAP），是DWS集群的主要工作方式，支持复杂的分析操作，侧重决策支持，并且提供直观易懂的查询结果。 大规模并行处理 大规模并行处理（Massive Parallel Processing，简称MPP，也可称为无共享架构），是指在DWS集群的每个节点中，都有独立的内存计算和磁盘存储系统，DWS根据数据库模型和应用特点，将业务数据划分到不同节点上，通过节点间的网络彼此连接协同计算，使集群作为整体提供数据库服务以满足业务需要。

3、安全设置 连接安全性：该设置决定服务器连接是否加密。无：不加密；SSL/TLS：加密（推荐）；STARTTLS：连接以不加密开始，如果服务器支持，那么尝试加密。 验证方式：该设置是认证连接账号的方式。邮箱账户提供商会决定使用何种方式进行认证，您可以登录邮箱服务器端查看。 4.完成以上邮箱配置即登录成功 验证过程可能会持续1分钟左右，当出现“尝试常用服务器名称后找到配置”即完成账密即服务器验证，点击“完成”即登录成功。 说明 IMAP和POP有什么区别？ POP允许电子邮件客户端下载服务器上的邮件，但是您在电子邮件客户端的移动邮件、标记已读、删除邮件等操作，是不会反馈到服务器上的。比如：您通过AOneMail客户端收取了邮箱中的5封邮件并移动到了其他文件夹，这些移动动作是不会反馈到服务器上的，也就是说，邮箱服务器上的这些邮件是没有同时被移动的。 但是IMAP就不同了，电子邮件客户端的操作都会反馈到服务器上，您对邮件进行的移动邮件、标记已读、删除邮件等操作服务器上的邮件也会做相应的动作。即，IMAP是“双向”的。 同时，IMAP可以只下载邮件的主题，只有当您真正需要的时候，才会下载邮件的所有内容。 如何导入AOneMail旧数据 1.进入AOneMail主界面，点击导入。 2.点击从另一个AOneMail安装导入，点击下一步。 3.选择配置文件目录或ZIP文件作为配置文件导入，点击下一步。 4.选择需要导入的内容并点击继续。 5.点击开始导入，确认导入成功后需要重启AOneMail。

本小节介绍安全告警事件概述。 企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵检测能力，用户可通过事件管理全面了解告警事件类型，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 约束限制 未开启防护不支持告警事件相关操作。 主机告警事件支持情况说明 事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

本节介绍了用户指南： 海量文件概述。 云容器引擎支持挂载天翼云海量文件存储卷。cstorcsi插件支持使用海量文件动态存储卷和静态存储卷，通过将海量文件存储卷挂载到容器指定目录下，以满足数据持久化需求。 海量文件服务OceanFS为全托管、可扩展的海量文件系统，适用于海量数据及高带宽应用场景。OceanFS支持弹性扩展至PB级别，具备高可用性与数据持久性，适用于高性能计算、媒体处理、文件共享、内容管理及Web服务等多种场景。 使用限制 插件版本 使用海量文件存储功能，需要cstorcsi插件版本 >3.6.0 文件协议 当前cstorcsi插件仅支持NFS协议 容量 单个文件系统最小容量为100GB subpath模式 在subpath模式下，暂不支持目录配额，subpath使用的容量实际上是整个海量文件的容 其他限制 参见 海量文件使用限制 产品优势 共享访问 1. 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 2. 支持NFSv3/v4.1。 3. 支持IPv4和IPv6网络协议。 海量可扩展 1. 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 2. 支持PB级存储空间。 安全可信 1. 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 2. 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 1. 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 2. 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

本文主要介绍应用场景 镜像生命周期管理 提供镜像构建、镜像上传、下载、同步、删除等完整的生命周期管理能力。 优势 •高可靠的存储：依托专业存储服务，确保镜像存储的超高可靠性。 •更安全的存储：细粒度的授权管理，让用户更精准的控制镜像访问权限。 建议搭配使用 云容器引擎CCE

策略名称 策略描述 类别 授权范围 lasadmin 日志审计（原生版）系统管理员策略。 系统策略 全局级 lasaudit 日志审计（原生版）审计管理员策略。 系统策略 全局级 lassecurity 日志审计（原生版）安全管理员策略。 系统策略 全局级 lasbusiness 日志审计（原生版）业务员策略，仅支持使用日志审计实例，不支持订单操作相关操作。 系统策略 全局级

查看连接信息 单击连接信息页签，可以获取公网以及内网环境下的KubeConfig文件的配置内容，用于配置Kubectl客户端对集群的访问。 查看集群资源 单击集群资源页签，可以查看集群的虚拟专有网络VPC以及安全等信息。

本小节介绍云下一代防火墙配置网络接口属性。 1.登录云下一代防火墙，打开【网络→接口→编辑】 2.为新增网卡配置地址、安全域，管理权限等信息，关闭网卡逆向路由等配置。 网卡信息如下显示：

本文汇总了使用弹性IP连接类的问题。 同时拥有自定义路由和弹性公网IP的访问外网的优先级是什么？ 弹性IP的优先级高于VPC路由表中的自定义路由。示例如下： 假如VPC路由表中存在一条自定义路由，目的地址为默认路由（0.0.0.0/0），下一跳为NAT网关。 如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于VPC路由表中的自定义路由，此时会导致流量转发至EIP出公网，无法抵达NAT网关。 EIP连接出现问题时，如何排查？ 问题描述：用户的弹性云主机已绑定EIP，但是无法连接到Internet。 排查思路：弹性云主机通过EIP访问Internet的流程如下图所示： 图 EIP网络示意图 本问题请按照以下思路进行排查处理。 图排查思路 1.查看弹性云主机运行是否正常 2.查看弹性云主机内部网络配置是否正确 3.查看EIP是否创建并绑定弹性云主机 4.查看EIP是否绑定弹性云主机主网卡 5.查看是否放通针对连接的安全组 6.查看弹性云主机子网是否设置拦截 步骤一：查看弹性云主机运行是否正常 检查您的弹性云主机是否正常运行。 弹性云主机运行状态如果不是运行状态，请尝试启动/重启弹性云主机。 步骤二：查看弹性云主机内部网络配置是否正确 1.确认弹性云主机网卡已经正确分配到IP地址。 登录弹性云主机内部，使用命令ifconfig或ip address查看网卡的IP信息。 注：Windows弹性云主机可以在命令行中执行ipconfig查看。 2.确认虚拟IP地址已经正确配置在网卡上。 当您使用了虚拟IP，需要确认虚拟IP是否正确配置在网卡上。 登录弹性云主机内部，使用命令ifconfig或ip address查看网卡的IP信息。如果没有虚拟IP地址，可以使用命令ip addr add 虚拟IP地址 eth0给弹性云主机添加正确的配置。 图查看网卡的虚拟IP地址 查看是否有默认路由信息，如果没有，则可以通过ip route add添加路由。 图查看默认路由 步骤三：查看EIP是否创建并绑定弹性云主机 检查您的EIP是否已经创建并绑定到该弹性云主机，若未创建&绑定，请先完成创建&绑定。 步骤四：查看EIP是否绑定弹性云主机主网卡 检查您的EIP是否绑定在弹性云主机的主网卡。若未绑定主网卡，需绑定至弹性云主机的主网卡上。 您可以在弹性云主机详情页的网卡页签下进行查看，默认列表第一条为主网卡。 步骤五：查看是否放通弹性云主机所在的安全组 检查您的安全组规则是否已经配置。 请根据实际需求，选择性配置安全组规则（Remote IP指的是放行的IP地址，0.0.0.0/0表示放通所有的IP地址，请谨慎使用）。 步骤六：查看弹性云主机子网是否设置拦截 检查您弹性云主机使用的网卡所在子网的网络ACL是否会对流量进行拦截。 您可以在虚拟私有云页面左侧导航栏选择网络ACL进行配置，请确认弹性云主机涉及的子网已放通。

检查HDFS服务状态 5.在告警列表中，查看是否有“ALM14000 HDFS服务不可用”告警产生。 是，执行步骤6。 否，执行步骤8。 6.参考“ALM14000 HDFS服务不可用”的处理步骤处理该故障。 7.等待几分钟后检查本告警是否恢复。 是，处理完毕。 否，执行步骤8。 8.在FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > HDFS”，查看HDFS“安全模式”是否为“ON”。 是，执行步骤9。 否，执行步骤12。 9.以root用户登录HDFS客户端。执行cd命令进入客户端安装目录，然后执行 source bigdataenv 。 如果集群采用安全版本，要进行安全认证。预先向管理员获取hdfs用户的密码，执行kinit hdfs命令，按提示输入密码。 10.执行以下命令手动退出安全模式。 hdfs dfsadmin safemode leave 11.等待几分钟后检查本告警是否恢复。 是，处理完毕。 否，执行步骤12。 检查HBase服务状态 12.在FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > HBase”。 13.查看2个HMaster的状态是否为一“主”一“备”。 是，执行步骤15。 否，执行步骤14。 14.单击“实例”，选择非主状态的HMaster实例，单击“更多 > 重启实例”重启HMaster，再次查看2个HMaster的状态是否为一“主”一“备”。 是，执行步骤15。 否，执行步骤21。 15.选择“集群 > 待操作集群的名称 > 服务 > HBase > HMaster(主)”，进入HMaster的WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 16.查看Region Servers下是否存在至少一个RegionServer。 是，执行步骤17。 否，执行步骤21。 17.查看“Tables > System Tables”，如下图，查看该标签的“Table Name”列下是否存在“hbase:meta”、“hbase:namespace”和“hbase:acl”。 是，执行步骤18。 否，执行步骤19。 HBase系统表 18.如上图，分别单击“hbase:meta”、“hbase:namespace”和“hbase:acl”超链接，查看所有页面是否能正常打开。如果页面能正常打开，说明表都正常。 是，执行步骤19。 否，执行步骤23。 说明 由于普通模式下的HBase默认未开启ACL权限控制，只有在手动开启ACL权限控制后才会存在“hbase:acl”表，需要检查该表，否则不需要检查该表。 19.查看HMaster的启动状态。 如下图在“Tasks” 下有“RUNNING”的状态表示HMaster正在启动，“State”列有HMaster处于“RUNNING”状态的时间。如下图中的“COMPLETE”状态表示HMaster启动完成。 查看HMaster是否持续了很长一段时间处于“RUNNING”状态。 HMaster正在启动的状态 HMaster启动完成的状态 是，执行步骤20。 否，执行步骤21。 20.查看HMaster页面是否有hbase:meta长时间处于“Region in Transition”的状态。 详见下图：Region处于Region in Transition的状态 是，执行步骤21。 否，执行步骤22。 21.确认在不影响业务的情况下，登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > HBase > 更多 > 重启服务”，输入密码，单击“确定”。 是，执行步骤22。 否，执行步骤23。 22.等待几分钟后检查本告警是否恢复。 是，处理完毕。 否，执行步骤23。

个性化数据访问 细粒度权限管控允许为不同用户或角色定制数据访问视图。例如，在一个销售系统中，销售人员可能只需要访问客户的基本信息，而经理则可以查看更详细的销售记录和分析数据。这种个性化的权限配置提高了工作效率。 多租户环境 在多租户环境中，细粒度权限管控能够有效隔离不同租户的数据，确保每个租户只能访问自己的数据。即使多个租户共享同一个搜索引擎集群，他们的数据依然能够得到严格的保护。 最小权限原则 细粒度权限控制支持最小权限原则（Principle of Least Privilege），确保用户仅能访问其工作所需的最小数据范围，从而减少潜在的安全风险。 技术实现与应用 管理员可以通过 OpenSearch 的安全模块，使用文档级别安全（DocumentLevel Security, DLS）和字段级别安全（FieldLevel Security, FLS）配置细粒度权限。DLS 允许基于查询条件限制用户对特定文档的访问，而 FLS 则允许管理员指定哪些字段对特定用户可见或不可见。 这些权限配置可以通过 OpenSearch 的 REST API 或管理工具来实现和管理。管理员还可以结合角色和用户组的概念，为不同用户群体配置统一的权限策略，从而简化权限管理流程。 操作示例 我们创建一个role publicrole，创建一个user publicuser1，目标是让这个user只能查看pub开头的索引里public字段为true的文档。 创建角色： PUT plugins/security/api/roles/publicrole { "clusterpermissions": [ "" ], "indexpermissions": [{ "indexpatterns": [ "pub" ], "dls": "{"term": { "public": "true"}}", "allowedactions": [ "read" ] }] } 创建用户： PUT plugins/security/api/internalusers/publicuser1 { "password": "" } 创建Mapping： PUT plugins/security/api/rolesmapping/publicrole { "users" : [ "publicuser1" ] } 创建索引： pub索引，插入两条数据 POST pubindex/doc/ { "name": "robert", "age": "30", "public": "true" } POST pubindex/doc/ { "name": "mike", "age": "55", "public": "false" } 非pub索引 POST secindex/doc/ { "name": "jane", "age": "18", "public": "true" } 我们开始搜索，预期是publicuser1搜索pubindex可以返回一条结果，搜索secindex无结果。而admin用户搜索pubindex可以返回两条结果，搜索secindex可以返回一条结果。 GET pubindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 4, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 1, "relation" : "eq" }, "maxscore" : 2.0, "hits" : [ { "index" : "pubindex", "id" : "xBnh0okBxCORqeQrGobf", "score" : 2.0, "source" : { "name" : "robert", "age" : "30", "public" : "true" } } ] } } GET pubindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 1, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 2, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "pubindex", "id" : "xBnh0okBxCORqeQrGobf", "score" : 1.0, "source" : { "name" : "robert", "age" : "30", "public" : "true" } }, { "index" : "pubindex", "id" : "xRnh0okBxCORqeQrMobq", "score" : 1.0, "source" : { "name" : "mike", "age" : "55", "public" : "false" } } ] } } GET secindex/search {"size": 10,"query": {"matchall": {}}} { "error" : { "rootcause" : [ { "type" : "securityexception", "reason" : "no permissions for [indices:data/read/search] and User [namepublicuser1, backendroles[], requestedTenantnull]" } ], "type" : "securityexception", "reason" : "no permissions for [indices:data/read/search] and User [namepublicuser1, backendroles[], requestedTenantnull]" }, "status" : 403 } GET secindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 1, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 1, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "secindex", "id" : "xhnh0okBxCORqeQrTYbM", "score" : 1.0, "source" : { "name" : "jane", "age" : "18", "public" : "true" } } ] } } 搜索引擎的细粒度权限管控功能通过支持文档级别和字段级别的权限控制，为企业提供了强大的数据安全和管理能力。 这种精确的权限配置不仅帮助企业保护敏感信息，还能够在多租户环境和个性化数据访问需求下提供高效的解决方案。通过细粒度的权限管控，企业可以确保数据的安全性、隐私性和合规性，同时实现灵活的业务支持。

本节介绍当正常内容被拦截时，如何解除拦截。 操作场景 对于系统内置规则，解除误报功能可以处理规则误判的情况，当系统将正常内容误判为敏感内容时，可以通过此功能屏蔽内置规则处理误报问题。 操作步骤 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 内容规则库 > 规则列表”。 3. 在敏感内容列表右上方，单击“解除误报”。 4. 在弹框中配置解除拦截的信息。 5. 配置完成后，单击“解除误报”即可。 配置示例 如果发现某条合规的问题被拦截，如下图，可以看到提示检测引擎为“关键字引擎”，违规原因中有提到违规关键词。 则在解除误报弹窗中配置如下信息： 规则内容：填写在上述拦截信息中“违规原因”提到的关键词信息。 规则类型：上述拦截信息中“检测引擎”为关键字引擎，则选择 “关键词”。

本节介绍如何配置集群策略。 在集群策略页面内，支持配置集群审计策略、告警策略、告警规则。 前提条件 已开启集群审计功能，具体操作请参见开启集群审计。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群策略”，进入集群策略页面。 3. 配置审计策略：进入“审计策略”页面，可配置审计事件保留周期、审计事件类型。 4. 配置告警策略：进入“告警策略”页面，默认内置日常运营、重保模式、高级防护对应策略。 点击添加按钮，进入策略添加页面，输入策略名称（必填）、策略描述（非必填）、选择对象、开启规则，点击保存。 5. 配置告警规则：进入“告警规则”页面，点添加按钮，进入规则添加页面，输入规则名称（必填）、规则描述（非必填）、风险等级、att&ck战术、att&ck技术、标签、配置规则组，点击保存。

本页介绍天翼云TeleDB数据库节点扩容。 操作场景 随着业务的增长，数据库在运行性能及存储上逐渐会达到瓶颈。此时，需要通过增加节点来提升集群的性能及存储能力。该任务用于指导对协调节点（CN）和数据节点（DN）进行扩容。协调节点和数据节点都是按组添加。每组数量与创建实例时选择的实例系列相关联。机器规格和原实例规格保持一致。用户可自定义新增节点所在服务器。 注意事项 主备节点所在服务器不能为同一台服务器。 增加节点前请检查所有表都已设置主键或设置表级别参数REPLICA IDENTITY为FULL，否则数据无法完成迁移导致新增节点失败。 扩容数据节点后请手动使用数据重平衡功能。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树中，选择实例管理 > 实例列表 ，右侧页面可查看实例列表。 3. 在实例列表页面，单击目标实例所在行的更多 > 扩容 ，出现节点扩容对话框。 4. 进入节点扩容 对话框，根据以下内容填写基本信息，单击确定完成扩容。 扩容节点类型：可根据实际情况填写协调节点或数据节点。 节点名称：默认不可更改。 VIP：可选参数，可根据实际需求选择vip。 说明 只有协调节点才支持配置该参数。 安装端口:必选参数，可根据实际需求填写，确保端口未被占用。 内部端口：必选参数，可根据实际需求填写，确保端口未被占用。 节点组信息：如果期望新加的节点归属于已存在的节点组，则该参数必填。 说明 只有扩容数据节点才支持配置该参数。 主节点节点信息：可选参数，可根据实际需求选择主节点ip。 备节点节点信息：可选参数，可根据实际需求选择备节点ip。 5. 弹出提示 对话框。可单击立即前往 ，在任务管理页面查看执行详情。

HTTP鉴权有什么作用。 HTTP鉴权有什么作用？ HTTP鉴权是在回调过程增加特殊HTTP头，供回调地址提供方进行校验（防止非云点播服务调用该接口，造成安全问题）。具体是否校验可由用户自行判断。请注意接收回调的鉴权需要遵循云点播的鉴权规则，详情可查看【点播模式】【回调通知】。

本页介绍了关系数据库MySQL版资源池和产品功能概览。 针对关系数据库MySQL版帮助文档中“一类节点”的资源池进行说明。“一类节点”中的资源池分为I类型资源池和II类型资源池。推荐使用II类型资源池。 表1 资源池说明 I 类型资源池 北京5、晋中、辽阳1、内蒙古6、石家庄20、杭州2、合肥2、九江、南京3、上海7、芜湖2、郴州2、佛山3、福州4、福州25、广州X节点（仅省内可见）、海口2、衡阳3、武汉4、乌鲁木齐4、乌鲁木齐27、西安3、西安4、西安5、中卫2、成都4、贵州3、昆明2、拉萨3、重庆2、帆豫智联、中卫5、西宁2 说明 所有I 类型资源池自2025年6月17日起已不再支持新购实例，如有问题，请提单咨询。 II 类型资源池 西南1、南宁23、长沙42、华北2、南昌5、青岛20、上海36、湖南永州一城一池1、华南2、华东1、太原4、武汉41、郑州5、西安7、西南2贵州、杭州7、广州4、苏州、芜湖4、呼和浩特3、庆阳2、广州x节点xc可用区、乌鲁木齐7、北京行业云20、上海15、佛山7、沈阳8、河北张家口IT上云1（省内可见） 国际站资源池 香港2（区分国内站和国际站），澳门（国内站），印度尼西亚1（国内站） 说明 1. Ⅰ类型资源池和Ⅱ类型资源池通过管理控制台，点击控制中心右侧的区域框进行选择。 2. 广州4、苏州资源池可以通过实例管理页签的“Ⅱ类型资源池切换”按钮进行选择。 3. 关于香港2节点，国内站可以正常访问关系数据库MySQL版控制台左上角选择香港2节点，国际站可以通过点击国际站官网，选择关系数据库MySQL产品，享受数据库服务。您需要注意的是国际站和非国际站资源池的账号系统是彼此独立的。 4. Ⅱ类型资源池中，华南2、西南1、广州4、华东1、华北2等资源池均加载了国产化系列实例类型。具体加载类型可参见实例规格，关于国产化云主机相关情况可参考国产化云主机，以了解不同系列区别。 5. Ⅱ类型资源池中，自2024年12月30日起，已完成架构升级的资源池有：西南1、华东1、华北2、长沙42、上海36、太原4、武汉41、郑州5、广州4、西南2贵州、南昌5、华南2等所有Ⅱ类型资源池。 表2 功能说明 功能模块 产品功能 I 类型资源池 II 类型资源池 计费模式 按需 支持 支持 计费模式 包周期 支持 支持 数据库工具 智能问答助手 不支持 部分资源池支持 数据库工具 智能运维与实例画像 不支持 部分资源池支持 数据库工具 支持DMS登录数据库 不支持 部分资源池支持 数据库工具 数据库克隆 不支持 支持 部署方式 跨可用区 不支持 部分资源池支持 规格 单机实例 支持 支持 规格 主备实例 支持 支持 规格 一主两备实例 支持 支持 规格 只读实例 仅部分资源池支持 支持 实例管理 备份空间扩容 支持 支持 实例管理 存储空间扩容 支持 支持 实例管理 规格扩容 支持 支持 实例管理 规格缩容 不支持 支持 实例管理 存储空间自动扩容 不支持 支持 实例管理 性能自动扩容 不支持 支持 实例管理 性能自动缩容 不支持 仅华北2、西安7支持 实例管理 系列升级 支持 支持 实例管理 参数模板 支持 支持 实例管理 参数模板导入导出 不支持 支持 实例管理 标签管理 支持 支持 实例管理 主备切换 支持 支持 实例管理 修改切换策略 不支持 支持 实例管理 修改数据复制方式 不支持 支持 实例管理 迁移可用区 不支持 仅西南1、华南2、华东1、华北2支持 实例管理 重启实例 支持 支持 实例管理 修改数据库端口 支持 支持 实例管理 设置可维护时间段 不支持 支持 实例管理 续订实例 支持 支持 实例管理 暂停实例 不支持 仅西南1支持 实例管理 释放实例 支持 支持 实例管理 修改实例名称 支持 支持 实例管理 开启和关闭实例释放保护 不支持 支持 实例管理 MGR集群 不支持 仅西南1支持 实例管理 表名大小写 不支持 支持 实例管理 设置只读复制延迟 不支持 支持 实例管理 实例回收站 不支持 支持 实例管理 购买相同配置实例 不支持 支持 实例管理 只读转单机 不支持 西南1、华北2支持 实例管理 事件定时器 不支持 部分资源池支持 实例管理 设置数据库只读 不支持 支持 实例版本 升级内核小版本 不支持 支持 实例版本 升级数据库版本 不支持 仅华北2、西安7、长沙42、武汉41、杭州7支持 密码设置 自定义密码策略 不支持 支持 密码设置 修改密码 支持 支持 密码设置 密码锁定插件 不支持 支持 账号管理 创建账号 支持 支持 账号管理 修改账号权限 支持 支持 账号管理 重置高权限账号 不支持 支持 账号管理 基于数据库代理创建只读账号 不支持 仅西南1支持 账号管理 禁用root账号 不支持 仅西南1支持 数据库管理 创建数据库 支持 支持 数据库管理 删除数据库 支持 支持 监控告警 查看监控 支持 支持 监控告警 设置查看监控频率 不支持 支持 监控告警 设置报警规则 不支持 支持 问题诊断 死锁分析 不支持 仅西南1支持 问题诊断 空闲连接管理 不支持 支持 安全 透明数据加密TDE 不支持 仅华东1、西南1、华南2、杭州7支持 安全 SQL审计 不支持 支持 安全 SQL拦截 不支持 支持 安全 SSL加密 支持 支持 安全 云盘加密 不支持 仅华北2、华东1、西南1支持 安全 SQL限流 不支持 仅西南1支持 安全 动态脱敏 不支持 仅西南1支持 安全 IP白名单 不支持 支持 日志记录 日志管理 支持 支持 日志记录 任务列表 支持 支持 日志记录 操作记录 不支持 支持 日志记录 云审计 不支持 支持 备份 自动备份 支持 支持 备份 库表备份 不支持 支持 备份 手动备份 支持 支持 备份 对象存储 不支持 除广州4、苏州外其他均支持 备份 下载数据备份 不支持 未加载对象存储资源池不支持 备份 下载日志备份 不支持 未加载对象存储资源池不支持 备份 高频物理备份 支持 支持 备份 快照备份 不支持 白名单用户支持 备份 binlog本地设置 不支持 支持 备份 跨域备份 不支持 仅华东1、华北2、西南1支持 备份 备份类型转换 不支持 仅西南1、河北张家口IT上云1支持 备份 逻辑备份 不支持 仅华北2、西安7支持 恢复 恢复至原实例 支持 支持 恢复 恢复至新实例 不支持 支持 恢复 多库表恢复 不支持 支持 恢复 快照恢复 不支持 白名单用户支持 恢复 跨域恢复 不支持 仅华东1、华北2、西南1支持 恢复 SQL闪回 不支持 仅华东1支持 访问 数据库代理 不支持 支持 访问 IPv4 支持 支持 访问 IPv6 不支持 支持 访问 弹性IP 部分资源池支持 支持 访问 开通指定IP地址 不支持 支持 访问 实例内网域名 不支持 仅西南1、华东1、武汉41支持 访问 修改内网连接地址（IPV4） 不支持 仅部分资源池支持 访问 切换实例VPC 不支持 除广州4、苏州外其他均支持 计费变更 按需实例转包周期 支持 支持 计费变更 包周期实例转按需 支持 支持 其他 主子账号/账号委托 部分资源池支持 支持

本文带您了解天翼云加密相关产品 天翼云支持以下方式，助您对弹性云主机资源进行加密，从而提升数据的安全性。 云硬盘加密 天翼云云硬盘支持系统盘加密和数据盘加密。 云硬盘加密功能 ：创建云硬盘时，用户可以选择是否加密此云硬盘，云硬盘创建完成后加密属性无法更改。 云主机系统盘加密 ：创建云主机时，支持在创建时直接设置系统盘加密。 云主机数据盘加密 ：创建云主机时，支持在创建时直接设置数据盘加密。 云硬盘加密与快照 ：加密云硬盘生成的快照及通过这些快照创建的云硬盘将自动继承加密功能属性。 云硬盘加密与备份 ：加密云硬盘生成的备份及通过这些备份创建的云硬盘将自动继承加密功能属性。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。KMS对密钥的所有操作都会进行访问控制及日志跟踪，并提供所有密钥的使用记录，满足审计和合规性要求。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥（Default CMK） ：用户第一次通过对应云服务使用KMS加密时，系统自动生成的并托管在用户账号下的服务密钥。 用户主密钥（Customer Master Key，CMK） ：用户主密钥包括对称密钥及非对称密钥，主要用于加密保护数据密钥并产生信封，也可直接用于加密少量的数据。用户可以调用KMS的API CreateKey创建一个用户主密钥。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。 每个地域的加密云硬盘，都需要通过256位数据密钥（DK）进行加密，此数据密钥（DK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

本小节介绍数据库安全数据库脏表检测最佳实践。 操作场景 数据库安全审计规则可增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”，无风险程序不会访问用户自建的“脏表”，用于检测访问“脏表”的可能的恶意程序。 通过数据库脏表检测，可以帮助您监控识别访问“脏表”的SQL语句，及时发现数据安全风险。 前提条件 用户需要在待审计的实例中添加无用的数据库、表或字段，作为脏表检测的对象。 配置数据库脏表检测 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。 3. 在左侧导航树中，选择“审计规则”，进入“审计规则”界面。 4. 在“选择实例”下拉列表框中，选择需要配置数据库脏表检测的实例。 5. 选择“风险操作”页签。单击“添加风险操作”增加脏表检测规则。 6. 基本信息中将“风险等级”配置为“高”。 7. （可选）配置“客户端IP/IP段”，不配置系统默认检测全部。 8. 配置操作类型，选择“操作”和“全部操作”。配置操作对象填写实例中添加无用的数据库、表或字段，如图所示。

此小节介绍数据库安全服务的产品定义。 产品介绍 数据库安全服务，即DBSS（Database Security Service），提供旁路模式数据库安全审计服务功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Custer V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 DAMENG DM8 KINGBASE V8 MongoDB V5.0