通过 NPM 方式接入 1. 访问 前端监控控制台。 2. 左侧导航栏选择 设置 > 接入步骤。 3. 根据需要修改所需的配置项，下方的接入代码会相应改变。 4. 根据指示，安装 @ctyun/femonitor 依赖，在项目里构建当前工程的 npm 库文件，并引入和实例化 SDK。 5. 根据页面提示将上报域名添加到小程序的安全域名中。 配置项说明 选项 说明 开启 API 自动全量上报 开启后，会自动监听并上报小程序应用发起的所有网络请求。 开启静态资源上报 开启后，会自动监听并上报小程序应用所有静态资源（js/css/图片等）的加载结果。 开启 setData 上报 开启后，会自动监听并上报小程序应用 setData 操作。 注意 1. 配置项只是下方 SDK 接入代码的快捷修改方式，并不会马上产生作用，每次修改后需要更新接入的代码重新部署才会生效。 2. API请求，静态资源上报与 setData 上报的数据量可能较大。可根据实际情况选择开启。

资源类型 计费说明 计费方式 计算资源（vCPU和内存） 以实例规格的形式提供计算资源，包括vCPU和内存，收取实例规格费用。 包年/包月、按量计费 镜像 镜像当前分为公共镜像、私有镜像、共享镜像与安全产品镜像。 根据镜像类型及使用情况决定 云硬盘 针对不同云硬盘类型与容量计费。购买云主机实例时会默认购买40GiB的系统盘，用户可以根据需要调整该容量。 包年/包月、按量计费 弹性IP 如有互联网访问需求，您需要购买弹性公网IP。弹性IP可根据带宽、流量进行计费。 按带宽包年包月、按带宽按量付费、按实际流量付费

如何从第三方云厂商将日志搬迁到天翼云。 若您在其他第三方云厂商使用日志服务，且已有大量的日志数据在第三方云厂商对象存储上，希望将日志搬迁到天翼云，对于不同的日志类型，请参考如下方法： 标准日志（搜索分析）：保存714天，主要用于应用运维等场景，该日志不需要搬迁到天翼云云。您可直接开通使用天翼云云日志服务，在运行14天后，第三方云厂商保存的日志将自然就老化删除。详细请参考云日志服务快速入门。 归档日志（等保合规）：保存180天以上，主要用于安全合规等场景，该日志一般转储存放到对象存储中。您使用对象存储的迁移功能，将第三方云厂商保存在对象存储中的文件迁移到天翼云对象存储服务中。详细操作请参考迁移第三方云厂商数据至天翼云对象存储。

本章节主要介绍使用Hbase的操作指导。 操作场景 该任务指导用户在运维场景或业务场景中使用HBase客户端。 前提条件 已安装客户端。例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 非root用户使用HBase客户端，请确保该HBase客户端目录的属主为该用户，否则请参考如下命令修改属主。 plaintext chown user:group R客户端安装目录/HBase 使用HBase客户端 1. 安装客户端，具体请参考安装客户端章节。 2. 用户登录安装客户端的节点。 3. 执行以下命令切换到客户端目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 直接执行HBase组件的客户端命令。 7. plaintext hbase shell

本文介绍如果不配置集群管理权限，是否可以使用kubectl命令。 如果不配置集群管理权限，是否可以使用kubectl命令呢？ 使用kubectl命令无需经过IAM认证，因此理论上不配置集群管理（IAM）权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件（kubeconfig），以下场景认证文件传递过程中均存在安全泄露风险，应在实际使用中注意。 场景一：如果某IAM子用户先配置了集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。后面再删除集群管理权限（保留命名空间权限），依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限，必须同时吊销该子用户的kubeconfig文件。 场景二：如果某IAM用户拥有一定范围的集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。此时云容器引擎根据用户信息的权限判断用户对应kubeconfig文件，相当于kubeconfig中就拥有这个用户的认证信息，若其他人获取了这个kubeconfig，则可以通过这个kubeconfig文件访问集群。

场景举例 如果您在轻量型云主机上部署了网站，即轻量型云主机作Web服务器用，希望用户能通过HTTP或HTTPS服务访问到您的网站，您需要给轻量型云主机添加以下防火墙规则。 防火墙配置方法 方向 协议 / 应用 端口 源地址 入方向 HTTP（80） 80 0.0.0.0/0 入方向 HTTPS（443） 443 0.0.0.0/0 轻量型云主机作DNS服务器 场景举例 如果您将轻量型云主机设置为DNS服务器，则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要给轻量型云主机添加以下防火墙规则。 安全组配置方法 方向 协议 / 应用 端口 源地址 入方向 TCP 53 0.0.0.0/0 入方向 UDP 53 0.0.0.0/0 使用FTP上传或下载文件 场景举例 如果您需要使用FTP软件向轻量型云主机上传或下载文件，您需要添加防火墙规则。 防火墙配置方法 方向 协议 / 应用 端口 源地址 入方向 TCP 2021 0.0.0.0/0

对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

对比项 单实例单并发 单实例多并发 日志打印 Node.js Runtime使用console.info()函数，Python Runtime使用print()函数，Java Runtime使用System.out.println()函数打印日志， 该方式会把当前请求的Request ID包含在日志内容中。 当多请求在同一个实例并发处理时，当前请求可能有很多个，继续使用这些函数打印日志会导致Request ID错乱。 此时应该使用context.getLogger()，获取一个日志输出对象，通过这个日志输出对象打印日志， 例如Python Runtime：log context.getLogger()log.info("test") 共享变量 不涉及 单实例多并发处理时，修改共享变量会导致错误。这要求您在编写函数时，对于非线程安全的变量修改要进行互斥保护。 监控指标 按实际情况进行监控。 相同负载下，函数的实例数明显减少。 流控错误 不涉及 太多请求时，body中的errorcode为“FSS.0429” ，响应头中的status为429 ， 错误信息提示：Your request has been controlled by overload sdk, please retry later。

访问控制日志 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“日志审计”。 4.选择“访问控制日志”页签，可查看近一周的访问控制情况。若需要修改指定IP访问控制的响应动作，请参照添加防护规则或添加黑/白名单。 “访问控制日志”的参数说明： 参数 说明 命中时间 访问发生的时间。 源IP 访问的源IP地址。 源国家/地区 访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 目的IP 访问的目的IP。 目的网址 访问的域名地址。 目的国家/地区 访问目的IP所属的地理位置。 目的端口 访问控制的目的端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 协议 访问控制的协议类型。 响应动作 包括观察者模式（“观察”）和拦截模式（“阻断”或“放行”）。 规则 访问控制的规则类型，包括黑名单、白名单。

section8ccc98d65a593df2)。 反弹Shell检测防御：防御网络上通过反弹Shell方式进行的网络攻击，配置方式请参见开启反弹Shell检测防御。 病毒防御（AV）：通过病毒特征检测来识别和处理病毒文件，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生，支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 病毒防御功能请参见拦截病毒文件。 防护动作介绍 观察：防火墙对匹配当前规则的流量，记录至攻击事件日志中，不做拦截。 拦截：防火墙对匹配当前规则的流量，记录至攻击事件日志中并进行拦截。 禁用：防火墙对匹配当前规则的流量，不记录、不拦截。 相关文档 整体防护概况请参见通过安全看板查看攻击防御信息，详细日志信息请参见攻击事件日志。

本节为您介绍迁移专家服务的产品定义、服务优势等内容。 什么是迁移专家服务？ 天翼云迁移专家服务，包含：云迁移专家服务和存储数据迁移专家服务。 本服务针对客户迁移上云需求，开展迁移方案设计、组织迁移实施，向客户提供一站式上云业务迁移服务，满足客户迁移上云需求。 迁移专家服务的收费标准 该人工服务的服务定价如下： 服务项目 计费模式 价格 ::: 迁移专家服务 包周期 9000元/人天 迁移专家服务的优势 更专业的服务：由技术专家提供专业迁移服务，安全省心。 更快捷的响应：专属技术专家可以更快速地响应客户需求，更快处理问题，提升效率。 更多样的方案：针对客户业务需要定制化提供迁移实施方案，迁移实施更可靠。 更全面的保障：技术专家服务与自研迁移工具为方案落地提供保障，助力客户上云无忧。 服务场景： 云迁移服务（现场/远程）： 提供云主机的迁移咨询和实施服务，提供远程或现场支持。 存储数据迁移服务（远程）： 提供对象存储数据上云迁移的咨询和实施服务，提供远程支持。

参数名称 说明 示例 数据库引擎 选择需要新增登录信息的数据库引擎。 MySQL 数据来源 目前支持如下数据来源： MySQL5.5、5.6、5.7、8.0版本实例。 PostgreSQL9.5、9.6、10、11、12版本实例。 SQL Server 2008、2012、2014、2016、2017版本实例，暂不支持HA集群。 ECS 端口 当数据来源选择ECS的时候，需要输入用户自建实例的端口，请以实际的数据库端口为准。 同时需要确保ECS所对应的安全组允许此端口被访问，为避免与系统保留端口冲突，建议实例端口范围为1024~65535。 3306 登录用户名 登录数据库的用户名。 该用户需要具有允许DAS的IP连接数据库的权限。 root 密码 登录数据库的用户密码。 您可以勾选记住密码，后续登录时不用重复输入密码。 描述 非必填项。 SQL执行记录 开启SQL执行记录后，允许DAS将您在SQL窗口中执行的SQL语句保存下来。 建议您开启SQL执行记录，开启后，便于在“SQL操作 > SQL执行记录”中查看，并可再次执行，无需重复输入。 开启

本文主要介绍权限类问题。 如果不配置集群管理权限，是否可以使用kubectl命令呢？ 使用kubectl命令无需经过IAM认证，因此理论上不配置集群管理（IAM）权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件（kubeconfig），以下场景认证文件传递过程中均存在安全泄露风险，应在实际使用中注意。 场景一 如果某IAM子用户先配置了集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。后面再删除集群管理权限（保留命名空间权限），依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限，必须同时删除该用户的集群管理权限和命名空间权限。 场景二 如果某IAM用户拥有一定范围的集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。此时CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源，即哪个用户获取的kubeconfig文件，kubeconfig中就拥有哪个用户的认证信息，任何人都可以通过这个kubeconfig文件访问集群

本节将介绍如何查看模型。 操作场景 模型列表中，可查看当前已有模型的严重程度、名称/ID、管道名称、模型类型、更新时间和创建时间等信息。 前提条件 已新增模型，详细操作请参见新建/编辑模型。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析 > 智能建模”，进入智能建模的可用模型页面。 5. 在可用模型页面，查看已有模型。 参数名称 参数说明 模型统计 显示可用模型 和活跃模型数量。 严重程度 显示当前已有模型的严重程度统计情况，包含致命、高危、中危、低危、提示级别。 模型列表 模型列表中，显示当前已有模型的严重程度、名称/ID、管道名称、模型类型、更新时间和创建时间等信息。

本节指导用户通过密钥管理界面对指定的自定义密钥进行禁用，以紧急保护数据。 自定义密钥被禁用后，用户将不能使用该密钥进行加解密任何数据。如果要使用该密钥进行加解密数据，用户需将该密钥重新启用，具体操作请参见启用密钥。 前提条件 待禁用的密钥需处于“启用”状态。 约束条件 默认密钥为密钥管理自动创建，不支持禁用操作。 密钥被禁用后，仍然会计费。只有删除密钥，才会停止计费。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要禁用的密钥所在行，单击“禁用”。 步骤 5 在弹出窗口中，勾选“我已知晓禁用以上密钥产生的影响”，单击“是”，完成禁用单个密钥操作。 说明 如果您想批量禁用密钥，可以勾选所有需要禁用的密钥，然后在列表左上角，单击“禁用”。

本节主要介绍设置应用健康检查 健康检查是指应用组件在运行过程中，根据需要，定时检查应用健康状况。 平台提供了两种健康检查的方式： 组件存活探针：该检查方式用于检测应用组件是否存活，类似于执行ps命令检查进程是否存在。如果应用组件的存活检查失败，集群会对该应用组件执行重启操作；若应用组件的存活检查成功则不执行任何操作。 组件业务探针：该检查方式用于检测应用组件是否准备好开始处理用户请求。一些程序的启动时间可能很长，比如要加载磁盘数据或者要依赖外部的某个模块启动完成才能提供服务。这时候程序进程存在，但是并不能对外提供服务。这种场景下该检查方式就非常有用。如果应用组件的就绪检查失败，集群会屏蔽请求访问该组件；若检查成功，则会开放对该应用组件的访问。 健康检查方式 HTTP请求检查 HTTP请求方式针对的是提供HTTP/HTTPS服务的应用组件，集群周期性地对该应用发起HTTP/HTTPS GET请求，如果HTTP/HTTPS response返回码属于200~399范围，则证明探测成功，否则探测失败。使用HTTP请求探测必须指定应用监听的端口和HTTP/HTTPS的请求路径。 例如：提供HTTP服务的应用组件，端口为80，HTTP检查路径为/healthcheck，主机地址为containerIP，那么集群会周期性地对应用发起如下请求： GET 说明 HTTP请求检查中的主机地址，如果不填写，默认为实例IP。 TCP端口检查 对于提供TCP通信服务的应用，集群周期性地对该应用建立TCP连接。如果连接成功，则证明探测成功，否则探测失败。选择TCP端口探测方式，必须指定应用监听的端口。比如有一个nginx应用组件，它的服务端口是80，对该应用组件配置了TCP端口探测，指定探测端口为80，那么集群会周期性地对该应用组件的80端口发起TCP连接，如果连接成功则证明检查成功，否则检查失败。 执行命令检查 命令检查方式要求用户指定一个应用组件内的可执行命令，集群会周期性地在应用组件内执行该命令，如果命令的返回结果是0则检查成功，否则检查失败。 对于上面提到的TCP端口检查和HTTP请求检查，都可以通过执行命令检查的方式来替代： −对于TCP端口探测，可以使用程序来对应用组件的端口进行connect，如果connect成功，脚本返回0，否则返回1。 −对于HTTP请求探测，可以使用脚本来对应用组件进行wget： wget 并检查response的返回码，如果返回码在200~399的范围，脚本返回0，否则返回1。 注意 必须把要执行的程序放在应用组件的镜像里面，否则会因找不到程序而执行失败。 如果执行的命令是一个shell脚本，由于集群在执行应用组件里的程序时，不在终端环境下，因此不能直接指定脚本为执行命令，需要加上脚本解释器。比如脚本是/data/scripts/healthcheck.sh，那么使用执行命令检查时，指定的程序应该是sh /data/scripts/healthcheck.sh。究其原因是集群在执行应用组件里的程序时，不在终端环境下。

敏感数据规则创建完成后，可根据需要编辑规则，对规则组的名称、类型、描述等进行修改。 前提条件 已添加敏感数据规则。 约束条件 DSC内置的敏感数据规则不可编辑。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，进入敏感数据规则列表。 5. 在敏感数据规则列表中，在需要编辑的规则所在行的“操作”列，单击“编辑”，系统弹出“编辑规则”的对话框。 6. 在“编辑规则”对话框中，根据您的需求，编辑规则参数，如下图所示，相关参数说明如下表所示。 参数 参数说明 取值样例 规则名称 您可以自定义敏感数据规则名称。 规则名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 规则名称不能与已有的规则名称重复。 规则类型 可选择“关键字”和“正则表达式”。 关键字：通过关键字来执行该条敏感规则。 正则表达式：用于指定和识别文本字符串（如特定字符，单词或字符模式）的一种简洁而灵活的方式。 关键字 关键字包含 “规则类型”设置为“关键字”时，显示该参数。 逻辑：需要选择关键字的逻辑： AND：关键字都需要包含。 OR：仅需要包含其中一个关键字。 内容：输入关键字。单击可添加关键字，最多可添加10项关键字。 and，张三 正则表达式 “规则类型”设置为“正则表达式”时，显示该参数。 风险等级 选择该条规则的风险等级。 风险等级分为110级。13级属于低风险，47级属于中风险。810级属于高风险。 5（中风险） 最小匹配次数 规则命中次数。同一个规则达到命中次数，则被标记为敏感信息。 2 规则描述 可选参数。该规则的备注信息，用于区别其他规则。 7. 单击“确定”，完成敏感数据规则的编辑。

定义敏感数据识别规则组操作将多个零散的规则组合成为一个有业务逻辑的规则组，该操作是用户后续进行敏感数据发现任务操作的前提。 约束条件 敏感数据规则分为自定义的规则和内置的规则，内置的规则不可新增、编辑和删除。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，进入敏感数据规则列表。 5. 在规则列表的左上角，单击“新增规则”，进入“新增规则”页面。 6. 在“新增规则”对话框中配置规则基本信息，如下图所示，相关参数说明如下表所示。 参数 参数说明 取值样例 规则名称 您可以自定义敏感数据规则名称。 规则名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 规则名称不能与已有的规则名称重复。 规则类型 可选择“关键字”和“正则表达式”。 关键字：通过关键字来执行该条敏感规则。 正则表达式：用于指定和识别文本字符串（如特定字符，单词或字符模式）的一种简洁而灵活的方式。 关键字 关键字包含 “规则类型”设置为“关键字”时，显示该参数。 逻辑：需要选择关键字的逻辑： AND：关键字都需要包含。 OR：仅需要包含其中一个关键字。 内容：输入关键字。单击可添加关键字，最多可添加10项关键字。 and，张三 正则表达式 “规则类型”设置为“正则表达式”时，显示该参数。 风险等级 选择该条规则的风险等级。 风险等级分为110级。47级属于中风险，8~10级属于高风险。 5（中风险） 最小匹配次数 规则命中次数。同一个规则达到命中次数，则被标记为敏感信息。 2 规则描述 可选参数。该规则的备注信息，用于区别其他规则。 7. 单击“确定”，完成敏感数据规则的创建。

本文主要介绍权限管理。 如果您需要对云服务平台上购买的DMS for Kafka资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DMS for Kafka的使用权限，但是不希望他们拥有删除Kafka实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用Kafka实例，但是不允许删除Kafka实例的权限策略，控制他们对DMS for Kafka资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DMS for Kafka的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 说明 DMS for Kafka的权限与策略基于分布式消息服务DMS，因此在IAM服务中为Kafka分配用户与权限时，请选择并使用“DMS”的权限与策略。 DMS for Kafka权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DMS for Kafka部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DMS for Kafka时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DMS for Kafka服务，管理员能够控制IAM用户仅能对实例进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，DMS for Kafka支持的API授权项请参见《分布式消息服务Kafka API参考》的“权限策略和授权项”章节。 如下表所示，包括了DMS for Kafka的所有系统权限。 表 DMS for Kafka系统权限 系统角色/策略名称 描述 类别 依赖关系 DMS FullAccess 分布式消息服务管理员权限，拥有该权限的用户可以操作所有分布式消息服务的功能。 系统策略 无 DMS UserAccess 分布式消息服务普通用户权限（没有实例创建、修改、删除、扩容）。 系统策略 无 DMS ReadOnlyAccess 分布式消息服务的只读权限，拥有该权限的用户仅能查看分布式消息服务数据。 系统策略 无 DMS VPCAccess 分布式消息服务租户委托时需要授权的VPC操作权限。 系统策略 无 DMS KMSAccess 分布式消息服务租户委托时需要授权的KMS操作权限。 系统策略 无 DMS Administrator 分布式消息服务的管理员权限。 系统角色 依赖Tenant Guest和VPC Administrator。 说明 系统策略有包含OBS授权项，由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的系统策略后，大概需要等待5分钟系统策略才能生效。 下表列出了DMS for Kafka常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表常用操作与系统策略的关系 操作 DMS FullAccess DMS UserAccess DMS ReadOnlyAccess 创建实例 √ × × 修改实例 √ × × 删除实例 √ × × 变更实例规格 √ × × 重启实例 √ √ × 查询实例信息 √ √ √

该任务指导用户通过漏洞扫描服务添加主机。 说明 漏洞扫描服务的基础版不支持主机扫描功能，如果您是基础版用户，请通过以下方式使用主机扫描功能： 购买专业版或企业版 按次购买主机扫描功能 按次一次性扣费，每次最多可以扫描20台主机。 操作场景 漏洞扫描服务支持添加Linux操作系统和Windows操作系统的主机。 Linux主机扫描支持主机漏洞扫描、基线检测、等保合规检测。 Windows主机扫描目前仅支持主机漏洞扫描。 前提条件 已获取管理控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 单击“添加主机”，进入“添加主机”页面。 5. 在“添加主机”页面，执行以下操作。 单个添加主机：单击“添加主机”，如下图所示。 添加主机配置参数说明： 参数名称 参数说明 主机名称 用户需要添加的主机名称。 IP地址 添加主机的公网IP地址。 操作系统类型 支持Linux操作系统和Windows操作系统。 是否使用跳板机 如果用户的主机需要通过代理IP才能访问，需要使用跳板机。 跳板机只支持Linux操作系统。 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 操作 可单击“克隆”复制主机信息。 可单击“删除”删除主机信息。 批量添加主机 1. 单击“批量添加主机”，在“批量添加主机”对话框中，配置IP地址。多个IP地址，使用换行分开。 2. 单击“添加主机”。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，如下图所示，配置说明如下表所示。 跳板机配置参数说明： 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 6. 单击“下一步”，添加主机完成，请参见配置Linux主机授权和配置Windows主机授权执行主机授权的操作。

使用限制 模型推理限制 当前对模型设置了 RPM（Requests Per Minute，每分钟请求数）及 TPM（Tokens Per Minute，每分钟 token 数量）的调用限制，具体限制可在模型广场模型详情页中查看。 如何下单 通过【天翼云官网—产品—人工智能— 一站式智算服务平台】路径或直接访问一站式智算服务平台，点击“立即体验”。 登录状态下，可通过【在线服务—预置服务—开通付费】路径下单。

URI POST /v2/emr/openapi/order/new 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clustername 是 String 集群名称： 大写字母、小写字母、数字和特殊符号 : /组成，最多支持28个字符 sjfwtest1 clustertype 是 String 集群类型： datalake：数据湖 dataanalysis：数据分析 dataservice：数据服务 cloudsearch：云搜索 realtimedataprocessing：实时数据流 customize：自定义 datalake components 是 String 组件信息： 多个组件“,”隔开 OpenLDAP,Kerberos,ZooKeeper,HDFS,YARN,Hive,Tez,Spark,Hudi,Iceberg,Ranger regionid 是 String 资源池ID bb9fdb42056f11eda1610242ac110002 availablezoneid 是 String 可用区ID cnhuadong1jsnj3Apublicctcloud vpcId 是 String VPC ID vpcn83zi9vuo0 subnetid 是 String 子网ID subnet8hzbyype9r securitygroupsid 是 String 安全组ID sgzfh4pgydhe enableipv6 否 Boolean 开启IPv6： true：开启 false：关闭 VPC支持时默认true false noderootpassword 是 String 节点的root密码： 长度为1226字符，需包含大写字母、小写字母、数字和特殊符号（仅包括：~!@

关系数据库MySQL版产品的性能优异主要体现为：优化性能、高质量的硬件基础、慢SQL检测、高效访问和SLA。 优化性能 天翼云多年的数据库研发、搭建和维护经验，结合关系数据库MySQL版的云化改造技术，大幅优化传统数据库，为您提供更高可用、更高可靠、更高性能、更高安全、弹性伸缩、便捷运维的天翼云数据库服务。 高质量的硬件基础 通过多年的研究、创新和开发，天翼云对MySQL版数据库进行了优化。在经过了多重考验的服务器硬件的支持下，MySQL版数据库服务变得更加稳定、高性能，为您提供更加优质的数据库服务。 慢SQL检测 关系数据库MySQL版服务提供了慢SQL检测功能，您可以根据关系数据库服务检测到的慢SQL进行相应的优化，进一步提高数据库服务的性能和效率。 高效访问 通过内网通信，关系数据库MySQL版可以与同一地域的弹性云主机配合使用，这样可以缩短应用响应时间，并同时节省公网流量费用。 SLA SLA内容，请参见关系数据库服务等级协议。

本章节主要介绍物理机实例概述。 实例概述 物理机实例即您创建的一台物理机服务器。不同实例类型提供不同的计算能力、存储空间、网络性能，您可以基于业务需求选择不同类型的实例。当天翼云向您交付一个实例时，您将获得这台服务器完整的控制权限，包括开机、关机、带内管理等。 实例类型 目前天翼云提供的物理机CPU，均为x86架构，根据业务需求选购不同配置的物理机服务器。 x86 V4实例（CPU采用Intel Broadwell架构） x86 V5实例（CPU采用Intel Skylake架构） x86 V6实例（CPU采用Intel Cascade Lake架构） 其他说明 基于本地盘的物理机服务器，系统盘默认RAID 1，数据盘默认直通盘。如果需要更改数据盘RAID配置，可以联系管理员变更。系统盘RAID不支持变配。 常用的RAID级别 RAID 0 RAID 0又称为条带化（Stripe）或分条（Striping），代表了所有RAID级别中最高的存储性能。RAID 0提高存储性能的原理是把连续的数据分散到多个硬盘上存取。这样，当系统有数据请求时就可以在多个硬盘上并行执行，每个硬盘执行属于它自己的那部分数据请求。这种数据上的并行操作可以充分利用总线的带宽，显著提高硬盘整体读写性能。但由于其没有数据冗余，无法保护数据的安全性，只能适用于I/O要求高，但数据安全性要求低的场合。 图1 RAID 0数据存储原理 RAID 1 RAID 1又称镜像（Mirror或Mirroring），即每个工作盘都有一个镜像盘，每次写数据时必须同时写入镜像盘，读数据时同时从工作盘和镜像盘读出。当更换故障盘后，数据可以重构，恢复工作盘正确数据。RAID 1可靠性高，但其有效容量减小到总容量一半以下，因此常用于对容错要求较高的应用场合，如财政、金融等领域。 图2 RAID 1数据存储原理 RAID 5 RAID 5是一种存储性能、数据安全和存储成本兼顾的存储解决方案。为保障存储数据的可靠性，采用循环冗余校验方式，并将校验数据分散存储在RAID的各成员盘上。当RAID的某个成员盘出现故障时，通过其他成员盘上的数据可以重新构建故障硬盘上的数据。RAID 5既适用于大数据量的操作，也适用于各种小数据的事务处理，是一种快速、大容量和容错分布合理的磁盘阵列。 图3 RAID 5数据存储原理 其中，PA为A0、A1和A2的奇偶校验信息，PB为B0、B1和B2的奇偶校验信息，以此类推。 RAID 6 在RAID 5的基础上，RAID 6增加了第二个独立的奇偶校验信息块。两个独立的奇偶系统使用不同的算法，数据的可靠性非常高，即使两块磁盘同时失效也不会影响数据的使用。但RAID 6需要分配给奇偶校验信息更大的磁盘空间，相对于RAID 5有更大的“写损失”，因此“写性能”较差。 图4 RAID 6数据存储原理 其中，PA为A0、A1和A2的第一个校验信息块，QA为第二个校验信息块；PB为B0、B1和B2的第一个校验信息块，QB为第二个校验信息块，以此类推。 RAID 10 RAID 10是将镜像和条带进行两级组合的RAID级别，即RAID 0＋RAID 1的组合形式，第一级是RAID 1，第二级是RAID 0。RAID 10是存储性能和数据安全兼顾的方案。它在提供与RAID 1一样的数据安全保障的同时，也提供了与RAID 0近似的存储性能。 图5 RAID 10数据存储原理 RAID 50 RAID 50被称为镜像阵列条带，即RAID 5 + RAID 0的组合形式。像RAID 0一样，数据被分区成条带，在同一时间内向多块磁盘写入；像RAID 5一样，也是以数据的校验位来保证数据的安全，且校验条带均匀分布在各个磁盘上。 图6 RAID 50数据存储原理 其中，PA为A0、A1和A2的奇偶校验信息，PB为B0、B1和B2的奇偶校验信息，以此类推。 RAID 60 RAID 60同RAID 50类似，数据采用镜像阵列条带分布方式，即RAID 6 + RAID 0的组合形式。像RAID 0一样，数据被分区成条带，在同一时间内向多块磁盘写入；像RAID 6一样，以两个数据校验模块来保证数据的安全，且校验条带均匀分布在各个磁盘上。 图7 RAID 60数据存储原理 其中，PA为A0、A1和A2的第一个校验信息块，QA为第二个校验信息块；PB为B0、B1和B2的第一个校验信息块，QB为第二个校验信息块，以此类推。

本章主要介绍权限管理 如果您需要对云服务平台上创建的DCS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在云服务帐号中给员工创建IAM用户，并使用策略来控制IAM用户对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DCS的使用权限，但是不希望他们拥有删除DCS实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DCS，但是不允许删除DCS实例的权限策略，控制他们对DCS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DCS服务的其它功能。 DCS权限 默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DCS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DCS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DCS服务，帐号管理员能够控制IAM用户仅能对DCS实例进行指定的管理操作。权限策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 如下表所示，包括了DCS的所有系统权限。 DCS系统策略 系统角色/策略名称 描述 类别 依赖关系 DCS FullAccess 分布式缓存服务所有权限，拥有该权限的用户可以操作所有分布式缓存服务的功能。 系统策略 无 DCS UserAccess 分布式缓存服务普通用户权限（无实例创建、修改、删除、扩容和缩容的权限）。 系统策略 无 DCS ReadOnlyAccess 分布式缓存服务的只读权限，拥有该权限的用户仅能查看分布式缓存服务数据。 系统策略 无 DCS AgencyAccess 分布式缓存服务申请创建租户委托时需要授权的操作权限。该权限为租户委托权限，用于租户在需要时委托DCS服务对租户资源做以下相关操作，与授权用户操作无关。 查询子网 查询子网列表 查询端口 查询端口列表 更新端口 创建端口 系统策略 无 由于DCS UserAccess策略和DCS FullAccess策略存在差异，如果您同时配置了这两个系统策略，由于DCS UserAccess策略存在Deny，根据Deny优先原则，您无法执行实例创建、修改、删除、扩容和缩容操作。 下表列出了DCS常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 常用操作与系统策略的关系 操作 DCS FullAccess DCS UserAccess DCS ReadOnlyAccess 修改实例配置参数 √ √ × 删除实例后台任务 √ √ × Web CLI √ √ × 修改实例运行状态 √ √ × 缓存实例扩容 √ × × 修改实例访问密码 √ √ × 修改缓存实例 √ × × 实例主备倒换 √ √ × 备份实例数据 √ √ × 分析实例的大key或者热key √ √ × 创建缓存实例 √ × × 删除实例数据备份文件 √ √ × 恢复实例数据 √ √ × 重置实例访问密码 √ √ × 迁移实例数据 √ √ × 下载备份实例数据 √ √ × 删除缓存实例 √ × × 查询实例配置参数 √ √ √ 查询实例数据恢复日志 √ √ √ 查询实例数据备份日志 √ √ √ 查询缓存实例信息 √ √ √ 查询实例后台任务 √ √ √ 查询实例列表 √ √ √ 查看实例性能监控 √ √ √ 修改参数模板 √ √ × 删除参数模板 √ √ × 创建参数模板 √ √ × 参数模板列表 √ √ √ 查询参数模板 √ √ √

本文为您介绍如何使用Logstash组件将数据导入至天翼云云搜索服务Elasticsearch实例。 Logstash是一个开源的服务器端实时数据处理工具，支持从多个数据源中提取数据，经过处理后将数据导入到Elasticsearch中。它非常适合处理流数据，如日志、监控数据和指标数据。 适用场景 日志数据、监控数据、流数据等。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 已经部署Logstash且打通和Elasticsearch实例之间的网络。 Logstash配置 Logstash可以接收很多数据源，可以根据实际的需求配置。 这里使用Filebeat作为Logstash的输入。 配置yourlogstash.conf管道文件。 Logstash需要接收Filebeat的输出并进行处理，示例配置如下： input { beats { port > 5044 } } 对数据进行处理。 filter { mutate { removefield > ["@version"] } } output{ elasticsearch{ Elasticsearch实例的访问地址。 hosts > [" " " 访问Elasticsearch实例的用户名和密码，如无安全机制可不配置。 user > "" password > "" 配置写入的索引名,示例如下。 index > "filebeatlogstashes%{+YYYY.MM.dd}" } } 启动Logstash导入数据 可以使用下面的命令在命令行来启动Logstash导入数据： ./bin/logstash f yourlogstash.conf

服务类型 计费项说明 适用的计费模式 计费公式 SSL证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 私有（内网）证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 个人证书 个人证书是由权威CA机构颁发的数字身份证，用于身份认证、数据签名和加密通信等场景。 按个计费 个人证书单价 ×购买数量 × 有效期（购买年份） 证书托管服务 对于天翼云上云产品，实现证书更新后的自动替换能力。 按次计费 托管证书服务单价 × 购买数量 第三方证书部署服务 上传证书一键部署到云产品的服务，将证书部署到一个云产品资源，需要消耗一次部署服务。 按次计费 部署服务单价 × 购买数量 域名监控服务 开启域名监控后，可帮助监测多个站点的HTTPS业务状态，并及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 按次计费 域名监控服务单价 × 购买数量

本章节主要介绍ALM14028 待补齐的块数超过阈值的告警。 告警解释 系统每30秒周期性检测待补齐的块数量，并把待补齐的块数量和阈值相比较。需补齐的块数量指标默认提供一个阈值范围。当检测到丢失的块数量超出阈值范围时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群名称 > HDFS > 文件和块 > 需要复制副本的块总数（NameNode）”修改阈值。 平滑次数为1，待补齐的块数量小于或等于阈值时，告警恢复；平滑次数大于1，待补齐的块数量小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14028 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 NameService名 产生告警的NameService名称。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 HDFS存储数据丢失，HDFS可能会进入安全模式，无法提供写服务。丢失的块数据无法恢复。

本章节主要介绍 ALM14003 丢失的HDFS块数量超过阈值。 告警解释 系统每30秒周期性检测丢失的块数量，并把丢失的块数量和阈值相比较。丢失的块数量指标默认提供一个阈值范围。当检测到丢失的HDFS块数量超出阈值范围时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > HDFS”修改阈值。 平滑次数为1，丢失的HDFS块数量小于或等于阈值时，告警恢复；平滑次数大于1，丢失的HDFS块数量小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14003 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 NameService名 产生告警的NameService名称。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 HDFS存储数据丢失，HDFS可能会进入安全模式，无法提供写服务。丢失的块数据无法恢复。 可能原因 DataNode实例异常。 数据被删除。 处理步骤

本节主要介绍OBS的功能特性。 功能名称 功能描述 天翼云发布区域 备注 :::: 标准存储 访问时延低和吞吐量高，适用于有大量热点文件（平均1个月多次）或小文件（小于1MB），且需要频繁访问数据的业务场景，例如：大数据、移动应用、热点视频、社交图片等场景。 全部 低频访问存储 适用于不频繁访问（平均1年少于12次）但在需要时也要求快速访问数据的业务场景，例如：文件同步/共享、企业备份等场景。 苏州、广州4、武汉2 归档存储 适用于很少访问（平均1年访问1次）数据的业务场景，例如：数据归档、长期备份等场景。 归档存储安全、持久且成本极低，可以用来替代磁带库。 为了保持成本低廉，数据恢复时间可能长达数分钟到数小时不等。 苏州、广州4、武汉2、福州 桶管理 桶是OBS中存储对象的容器。 OBS提供创建、列举、搜索、查看、删除等基本功能，帮助您便捷的进行桶管理。 全部 对象管理 对象是OBS中数据存储的基本单位。 OBS提供上传、下载、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的对象管理需求。 全部 权限管理 OBS通过IAM权限、桶/对象策略和ACL三种方式配合进行权限管理。 您可以通过IAM自定义策略授予IAM用户细粒度的OBS权限，也可以对桶和对象设置不同的策略及ACL来控制桶和对象的读写权限。 全部 服务端加密 您可以将数据加密后存储到OBS中，提高数据的安全性。OBS提供SSEKMS服务端加密方式。 贵州、西安2、苏州、广州4、华北、成都3、北京2、武汉2、杭州、上海4、深圳、长沙2、芜湖、南昌、乌鲁木齐、福州 生命周期管理 您可以通过生命周期规则来管理对象的生命周期，例如定期将桶中的对象删除或者转换对象的存储类别。 全部 静态网站托管 您可以将静态网站文件上传至OBS桶中，并对这些文件赋予匿名用户可读权限，然后将该桶配置成静态网站托管模式，以实现在OBS上托管静态网站。 全部 须安全审批后加白 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。 而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。 OBS支持CORS规范，允许跨域请求访问OBS中的资源。 全部 防盗链 为了防止用户在OBS的数据被其他人盗链，OBS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 全部 自定义域名 您可以将自定义域名绑定到OBS桶，然后使用自定义域名访问桶中的数据。 例如，您需要将网站中的文件迁移到OBS，并且不想修改网页的代码，即保持网站的链接不变，此时可以使用自定义域名绑定功能。 全部 须安全审批后加白 桶清单 可以用来帮助您管理桶内对象，你可以配置一个清单规则，定期扫描桶中指定的对象或拥有相同前缀的对象，生成这些对象的元数据内容，如对象大小、修改时间、存储类别等，并以CSV格式保存到指定的桶中。 广州4、苏州、华北、贵州、成都3、西安2、杭州、福州、深圳、北京2、上海4、长沙2、芜湖、武汉2、兰州、南昌 图片处理 您可以使用图片处理功能对存放在OBS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 广州4、苏州、杭州、华北、福州、芜湖、兰州 并行文件系统 并行文件系统（Parallel File System）是OBS提供的一种经过优化的高性能文件系统，能够快速处理高性能计算（HPC）工作负载。 您可以按照标准的OBS接口读取并行文件系统中的数据，也可以利用obsfs工具（按照POSIX文件语义读写数据）将创建的并行文件系统挂载到云端Linux服务器上，并能像操作本地文件系统一样对并行文件系统内的文件和目录进行在线处理。 全部 日志管理 您可以通过日志管理功能获取桶的访问数据。开启日志管理功能后，桶的每次操作将会产生一条日志，并将多条日志打包成一个日志文件保存在目标桶中，您可以基于日志文件进行请求分析或日志审计。 全部 多版本控制 您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 全部 追加写对象 您可以通过AppendObject接口在指定桶内的一个Appendable对象尾追加上传数据。通过AppendObject创建的对象为Appendable对象，通过PutObject创建的对象是Normal对象。 全部 自定义元数据 您可以添加、修改或删除桶中已上传对象的元数据。 全部 桶配额 您可以设置桶空间配额，用以限制单个桶可存储的最大数据量，最大可设置为2631，单位Byte（字节）。新创建的桶默认不限制配额。 全部 碎片管理 您可以通过桶的碎片管理功能，对多段上传时某些特殊情况下产生的碎片进行清理，以节省存储空间。 全部 归档数据直读 默认情况下OBS中归档存储类别的对象需要恢复后才能下载，您也可以开启桶归档数据直读功能，开启后存储类别为归档存储的对象可以直接下载，无需提前恢复。归档数据直读会收取相应的费用。 苏州、广州4、武汉2 对象分享 您可以将存放在OBS中的文件或文件夹以临时URL的形式分享给所有用户。分享强调临时性，所有分享的URL都是临时URL，存在有效期。 您可以通过OBS控制台以及客户端工具OBS Browser+设置文件临时分享。如果想要设置永久的权限，请通过桶策略或对象策略实现。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、兰州、南昌、乌鲁木齐、内蒙3、西宁、中卫、郑州、青岛、海口、重庆 企业项目 您可以在创建桶时指定桶所属的企业项目，更方便的进行桶资源和权限管理。 全部 桶加密 您可以为桶配置默认加密，配置后，上传到桶中的对象都会自动进行加密。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、南昌、乌鲁木齐 桶标签 桶标签用于标识OBS中的桶，以此来达到对OBS中的桶进行分类的目的。当为桶添加标签时，该桶上所有请求产生的计费话单里都会带上这些标签，从而可以针对话单报表做分类筛选，进行更详细的成本分析。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、兰州、南昌 多AZ 您可以在创桶的时候选择将桶中数据冗余存储在多个可用区，以获得更高的数据可靠性。OBS采用Erasure Code（EC，纠删码）算法做数据冗余，不是以副本的形式存储。 苏州、广州4、华北 监控 您可以通过OBS控制台或者云监控服务（Cloud Eye）控制台监控桶的流量统计和请求次数等指标，方便您及时了解目前资源的使用状况、并合理规划使用计划。 苏州、广州4、西安2、华北、杭州 审计 您可以通过云审计服务（CTS）对OBS中桶和对象的各类事件操作记录进行收集、存储和查询，用于安全分析、合规审计、资源跟踪和问题定位等。 依赖云审计CTS 工具 OBS提供OBS Browser+、obsfs工具，满足不同场景下数据迁移和数据管理需求。 全部 API OBS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除桶，上传、下载、删除对象等操作。 全部 SDK OBS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、Go 全部 线下提供

测试场景 本章节主要测试RocketMQ不同产品规格在发送1KB大小的消息，实例的网络入流量、网络出流量、消息生产速率、消息消费速率、CPU核均负载和内存使用率。 测试环境 购买实例 名称 规格 存储空间 rocketmq01 c7.xlarge.2 4C8G 超高I/O 500GB rocketmq02 c7.2xlarge.2 8C16G 超高I/O 500GB rocketmq03 c7.4xlarge.2 16C32G 超高I/O 500GB 控制台创建主题 名称 权限 关联代理 队列个数 topic01 发布+订阅 broker1 8 控制台创建消费组 名称 关联代理 最大重试次数 是否允许以广播模式消费 group01 broker1 16 否 测试工具准备 购买1台ECS服务器（区域、可用区、虚拟私有云、子网、安全组与RocketMQ实例保持一致，Linux系统），安装jdk，并配置环境变量 tar zxvf jdk8u131linuxx64.tar.gz vi /etc/profile 追加以下内容 export JAVAHOME/root/jdk1.8.0131 export PATH$JAVAHOME/bin:$PATH 生效配置 source /etc/profile 下载测试工具 wget 解压测试工具 unzip rocketmqall5.1.4binrelease.zip 测试命令

参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 姓名 填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见： 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选“管理角色”、“审计角色”和“访问角色”。 用户组 选择该账户所属的用户组，用户组相关操作请参见 认证方式 填写认证方式，可选“跟随系统”和“自定义”： 跟随系统：沿用系统认证方式的设置，并且动态更新同步。 自定义：自定义选择认证源、双因子认证。 生效时间 选择该账户可登录的时间段。 准入IP 选择可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。