参数名称 说明 示例 数据库引擎 选择需要新增登录信息的数据库引擎。 MySQL 数据来源 目前支持如下数据来源： MySQL5.5、5.6、5.7、8.0版本实例。 PostgreSQL9.5、9.6、10、11、12版本实例。 SQL Server 2008、2012、2014、2016、2017版本实例，暂不支持HA集群。 ECS 端口 当数据来源选择ECS的时候，需要输入用户自建实例的端口，请以实际的数据库端口为准。 同时需要确保ECS所对应的安全组允许此端口被访问，为避免与系统保留端口冲突，建议实例端口范围为1024~65535。 3306 登录用户名 登录数据库的用户名。 该用户需要具有允许DAS的IP连接数据库的权限。 root 密码 登录数据库的用户密码。 您可以勾选记住密码，后续登录时不用重复输入密码。 描述 非必填项。 SQL执行记录 开启SQL执行记录后，允许DAS将您在SQL窗口中执行的SQL语句保存下来。 建议您开启SQL执行记录，开启后，便于在“SQL操作 > SQL执行记录”中查看，并可再次执行，无需重复输入。 开启

本文主要介绍权限类问题。 如果不配置集群管理权限，是否可以使用kubectl命令呢？ 使用kubectl命令无需经过IAM认证，因此理论上不配置集群管理（IAM）权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件（kubeconfig），以下场景认证文件传递过程中均存在安全泄露风险，应在实际使用中注意。 场景一 如果某IAM子用户先配置了集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。后面再删除集群管理权限（保留命名空间权限），依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限，必须同时删除该用户的集群管理权限和命名空间权限。 场景二 如果某IAM用户拥有一定范围的集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。此时CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源，即哪个用户获取的kubeconfig文件，kubeconfig中就拥有哪个用户的认证信息，任何人都可以通过这个kubeconfig文件访问集群

本节将介绍如何查看模型。 操作场景 模型列表中，可查看当前已有模型的严重程度、名称/ID、管道名称、模型类型、更新时间和创建时间等信息。 前提条件 已新增模型，详细操作请参见新建/编辑模型。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析 > 智能建模”，进入智能建模的可用模型页面。 5. 在可用模型页面，查看已有模型。 参数名称 参数说明 模型统计 显示可用模型 和活跃模型数量。 严重程度 显示当前已有模型的严重程度统计情况，包含致命、高危、中危、低危、提示级别。 模型列表 模型列表中，显示当前已有模型的严重程度、名称/ID、管道名称、模型类型、更新时间和创建时间等信息。

本节指导用户通过密钥管理界面对指定的自定义密钥进行禁用，以紧急保护数据。 自定义密钥被禁用后，用户将不能使用该密钥进行加解密任何数据。如果要使用该密钥进行加解密数据，用户需将该密钥重新启用，具体操作请参见启用密钥。 前提条件 待禁用的密钥需处于“启用”状态。 约束条件 默认密钥为密钥管理自动创建，不支持禁用操作。 密钥被禁用后，仍然会计费。只有删除密钥，才会停止计费。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要禁用的密钥所在行，单击“禁用”。 步骤 5 在弹出窗口中，勾选“我已知晓禁用以上密钥产生的影响”，单击“是”，完成禁用单个密钥操作。 说明 如果您想批量禁用密钥，可以勾选所有需要禁用的密钥，然后在列表左上角，单击“禁用”。

本小节介绍如何进行手动DNS验证。 根据CA中心的规范要求，如果您申请了SSL证书，则必须完成域名验证来证明待申请证书要绑定的域名属于您或您所属的组织。 手动DNS验证，是指您需要在域名的DNS解析服务商手动修改域名的DNS解析记录，在解析记录中添加一条用于验证的记录。CA机构验证添加的记录能被解析，则表示验证通过。 如果您在申请证书时域名验证方式选择了手动DNS验证，请参照本章节进行处理。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行DNS验证的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 提交证书申请后，单击“证书验证”，获取证书验证信息。 说明 域名型（DV）证书无需经过人工审核，可直接在控制台查阅域名DNS验证信息。 企业型（OV）/增强型（EV）证书需在确认函进入预审流程后（约提交确认函1~2个工作日左右），才可以在控制台查阅域名DNS验证信息。 2. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 3. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

本页介绍了天翼云关系数据库MySQL版告警规则的设置方法。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 操作场景 管理控制台支持设置告警规则，用户可自定义监控目标与通知策略，及时了解MySQL数据库服务运行状况，从而起到预警作用。 说明 针对部分告警（比如存储空间或者备份空间满）默认推送给对应的租户，如果租户下面有多个用户，则所有用户都会收到对应的告警信息。 如果某个用户不希望收到告警，则需要使用该用户的账号登录天翼云官网进入数据库管理平台 > 消息中心 > 消息订阅，在告警信息设置中取消该用户的邮件、短信、企业微信和钉钉等。 新建指标告警策略 1.在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2.在左侧导航栏，选择管理中心 > 告警中心 > 告警设置。 3.单击新建告警策略，设置告警规则，您也可以对已创建的策略进行编辑修改。 参数名 参数解释 策略名称 告警策略的名称，一个告警策略可以包含多个告警规则。 资源池 告警策略对应的资源池。 备注 告警策略的备注信息。 告警对象 可选择天翼云数据库组件，并选择对应的告警实例。 以MySQL为例，可在单击实例MySQL后，单击资源池旁的选择实例。 模板类型 支持手动创建告警规则，用户也可使用默认模板的告警规则。 阈值告警 支持选择实例内存使用率、磁盘使用率、CPU使用率、连接数和活跃连接数比例、全部会话、活跃会话、备份空间使用量、实例TPS、QPS等告警指标，备份空间使用率等，具体以实际页面展示为准。 状态告警 支持选择实例状态，即实例状态异常时将发出告警。 沉默周期 指告警发生后如果未恢复正常，间隔多久重复发送一次告警通知。 告警级别 支持选择紧急、告警、普通三种告警级别。 通知方式 支持选择邮箱、短信、企业微信、钉钉等多种方式，支持同时选择多种告警方式进行告警。填写后将以选定的通知方式进行告警通知。 告警联系人 目前可选择主账号和该主账号下的子账号，不可选择其他用户。选择后会将告警信息推送至用户绑定的邮箱和短信。 4.填写对应参数后，单击确认。

本文介绍更新知识库内容。 接口描述 更新知识库名称 请求方法 POST 接口要求 无 URI /openapi/v1/infobases/update 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json tenantId 是 String 租户ID 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 kqaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 Int 知识库ID 100 name 是 String 知识库名称 工业设计 请求代码示例 plaintext Curl X POST " H "ContentType: application/json" H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" data '{ "id": 100, "name": "工业设计" }' 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 返回状态，返回200表示成功 200 message String 返回Success Success returnObj Object 接口返回结果 returnObj表 returnObj表 参数 参数类型 说明 示例 下级对象 id Int 知识库ID 100 name String 知识库名称 工业设计 type String 知识库类型 1 categoryId Int 类目ID 20 createTime String 创建时间 20230508T15:14:00Z updateTime String 更新时间 20230508T15:14:00Z 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": "200", "error": null, "message": "Success", "returnObj": { "type": 1, "id": 100, "name": "工业设计", "categoryId": 20, "createTime": "20250918T16:23:57+08:00", "updateTime": "20250918T16:24:47+08:00" } } 2.请求失败返回值示例 plaintext { "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 错误码 错误信息 错误描述 40005 知识库不存在 未查询到可用知识库 40006 知识库名称重复 知识库不可重名

本章节介绍如何查看云原生API网关的实例详情 操作步骤 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择实例，点击目标实例名称或实例id，进入实例详情。 3. 跳转至实例概览页，查看实例信息、接入点、可观测信息、策略配置等。 实例信息 基本信息 查看实例ID、名称、付费类型、创建时间、更新时间等信息 运行信息 查看实例的业务状态、运行状态、实例规格等信息 网络信息 查看实例的可访问端口、地区、可用区、VPC、子网、安全组等信息 实例节点 查看实例节点列表，包括vpc的ipv4、ipv6、http端口、https端口、分布可用区等信息 接入点 可查看当前实例绑定的弹性负载均衡ELB实例列表 可观测信息 查看实例的链路追踪、日志投递配置项 策略配置 查看实例的策略配置项，如限流、跨域等策略 消费者认证 查看实例授权的消费者列表 网关自定义响应 查看实例配置的响应类型详情

本章节介绍故障演练服务的产品优势。 产品优势 故障演练服务深度融合云原生应用产品体系，固化组织流程，标准化应用接入、流程编排、故障注入、指标观测、系统保护等混沌工程实验管理，帮助用户及时发现业务潜在风险、验证高可用处置预案，提高系统的可靠性和韧性。 相比于业务自建的或采用开源方案实现故障演练面临的易用性差 、故障类型少 、观测能力弱 及缺乏生态整合等核心痛点，产品具备如下多种优势。 简单易用 白屏化操作，系统零改造，可视化流程编排，支持故障分组定义与串/并行工作流模式。 场景丰富 覆盖从基础设施到应用层与云服务的原子故障注入能力，提供具备业务含义的故障场景组合。 安全高效 多维度数据与权限管理，关联系统运行指标，实现隔离与熔断双重防护。 一站整合 深度整合云原生应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

本节将介绍密码及其使用场景,让您了解如何创建密码并了解相关约束限制。 密码 密码指使用设置初始密码方式作为云主机的鉴权方式，此时，您可以通过用户名密码方式登录云主机，Linux操作系统时用root用户和初始密码，Windows操作系统时用Administrator用户和初始密码。 使用场景 密码在弹性云主机系统中用于保护客户重要私人信息，为确保账户安全，建议妥善保管密码。在使用弹性云主机服务过程中，您会在以下场景遇到密码相关设置： 创建弹性云主机时设置密码。 如果您在购买弹性云主机进行高级配置时选择“密码”作为登录方式，可以单击“立即创建”创建密码。具体步骤可参见创建弹性云主机。 重置弹性云主机的登录密码。 如果您忘记密码或密码已过期，可通过“重置密码”进行密码重置。具体步骤可参见在控制台重置弹性云主机密码。

本小节介绍DDoS基础防护的应用场景。 DDoS 基础防护产品依托天翼云资源池网络，为公网 IP 分配免费的基础 DDoS 防护阈值，在阈值内提供监测和防护。当 IP 入向流量峰值超出防护阈值时，会影响该 IP 关联服务器与网络的稳定性，波及其他租户的业务，为维护多租户公平安全的使用环境，依据用户服务协议，系统将对该 IP 触发 DDoS 封堵。 应用场景如图所示，假设 IP1 和 IP2 带宽均为 100Mbps，基础 DDoS 防护阈值为 5Gbps。此时 IP1 遭受 4Gbps 的 DDoS 流量攻击，流量未超出防护阈值，因此 IP1 不会触发封禁；IP2 遭受 20Gbps 的超阈值 DDoS 攻击，系统会将 IP2 置为封堵状态。随后 DDoS 基础防护产品会向客户通知 IP2 的封堵信息，客户可在产品文档中清晰了解封堵的背景逻辑与防护初衷，同时参考文档建议及时部署对应的 DDoS 防护手段。

若需配置钉钉群接收告警，或在联系人模块中添加钉钉机器人，需先在目标钉钉群内获取自定义机器人的 Webhook 地址。本文将详细介绍获取该地址的具体操作流程。 前提条件 已在钉钉中创建需要接受告警的钉钉群。 操作步骤 1. 进入PC版钉钉，打开所需要添加报警机器人的钉钉群，并单击右上角的群设置图标。 2. 在群设置 面板中点击机器人添加机器人。 3. 选择添加自定义。 4. 在机器人详情 对话框单击添加。 5. 在添加机器人对话框中执行以下操作。 1. 设置机器人头像和名字。 2. 安全设置 选中自定义关键词，可设置关键词为告警。 3. 选中我已阅读并同意《自定义机器人服务及免责条款》。 4. 单击完成。 6. 完成后即可复制机器人webhook地址。 相关文档 获取到自定义机器人Webhook地址之后，您可以参考【钉钉机器人】，创建接收告警的钉群对象。

本章节主要介绍天翼云物理机的物理网络。 物理机有四种网络类型，分别是VPC网络、高速网络（HB）、自定义vlan网络(QINQ)和IB网络，四种网络之间相互隔离不互通。其中，VPC网络接口和高速网络接口是基于系统维护vlan网卡组建bond后创建的vlan子接口。自定义vlan网络网卡和IB网络网卡由用户进行自定义管理配置。 说明 图中的ToR表示服务器机柜的布线方式，接入交换机放在机架顶部，服务器放在下方。HB表示高速网络。QinQ表示802.1Q隧道。 VPC网络接口和HB高速网络接口由系统生成，租户不可修改。这两个网络接口属于同一个网卡Bond。 弹性云主机和物理机之间可以通过VPC网络通信，只有VPC网络支持安全组、弹性IP和弹性负载均衡能力。 对于高速网络和自定义vlan网络，同一网络中的物理机实例之间仅提供2层连接。

名词 说明 环境 用于隔离不同应用的逻辑单元。 应用 一组资源的逻辑集合，通常代表一个业务系统。应用是进行演练和管理的核心对象。 资源 构成应用的组件节点，例如云主机、容器、分布式缓存服务Redis版、分布式消息服务Kafka等实例。 演练 通过向应用的特定资源注入指定故障，并观察其影响，从而验证系统稳定性与韧性的过程。 动作 注入到目标资源上的一个原子性故障，例如“CPU高负载”或“网络延迟”。用户可以在一次演练中对多个动作进行自由组合和编排。 动作组 一个或多个动作的逻辑分组，通常代表一个完整的故障场景。在一个演练任务中，不同的动作组之间可以并行执行。 探针 安装在目标资源（如云主机）上，用于执行具体故障注入动作的代理程序（Agent）。 保护策略 一种自动化的安全机制，用于控制演练的“爆炸半径”。当触发预设条件时，系统会依据此策略自动中止演练并回滚故障。

本章节介绍故障演练服务的产品优势。 产品优势 故障演练服务深度融合云原生应用产品体系，固化组织流程，标准化应用接入、流程编排、故障注入、指标观测、系统保护等混沌工程实验管理，帮助用户及时发现业务潜在风险、验证高可用处置预案，提高系统的可靠性和韧性。 相比于业务自建的或采用开源方案实现故障演练面临的易用性差 、故障类型少 、观测能力弱 及缺乏生态整合等核心痛点，产品具备如下多种优势。 简单易用 白屏化操作，系统零改造，可视化流程编排，支持故障分组定义与串/并行工作流模式。 场景丰富 覆盖从基础设施到应用层与云服务的原子故障注入能力，提供具备业务含义的故障场景组合。 安全高效 多维度数据与权限管理，关联系统运行指标，实现隔离与熔断双重防护。 一站整合 深度整合云原生应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

本章节主要介绍修改操作用户密码]。 操作场景 出于MRS集群安全的考虑，“人机”类型系统用户密码必须定期修改。该任务指导用户通过MRSManager完成修改自身密码工作。 如需对用户修改的密码使用新的密码策略，请先修改密码策略，再参考本章节修改密码。 对系统的影响 修改MRS集群用户密码后，如果以前下载过用户认证文件，则需要重新下载并获取keytab文件。 前提条件 从管理员获取当前的密码策略。 从管理员获取MRS Manager访问地址。 操作步骤 在MRS Manager，移动鼠标到界面右上角的。 在弹出菜单，选择“修改密码”。 1. 分别输入“旧密码”、“新密码”、“确认新密码”，单击“确定”完成修改。 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@$%^&()+[{}];:'", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。

问题现象 请求KMS报错或使用云服务加密功能报错。 报错信息为：httpcode401,codeAPIGW.0301,MsgIncorrect IAM authentication information: current ip:xx.xx.xx.xx refused。 可能原因 用户在IAM服务中设置了访问控制。 IAM控制策略默认范围为全地址访问，若用户设置了允许访问的IP地址或者网段，则未允许的IP地址/网段均无法访问KMS，或无法使用云服务加密特性。 解决方法 通过云服务控制台访问KMS（如OBS加密）：需要开放10.0.0.0/8、11.0.0.0/8、26.0.0.0/8网段。 通过API调用KMS接口：根据访问的源IP地址设置开放。 开放IP地址操作步骤 步骤 1 登录管理控制台。 步骤 2 单击页面左侧，选择“管理与监督 > 统一身份认证服务 IAM”，默认进入“用户”界面。 步骤 3 选择“安全设置 > 访问控制”，查看“允许访问的IP地址区间”和“允许访问的IP地址或网段”是否包含请求的源IP地址。 说明 需在“控制台访问”和“API访问”中都包含请求的源IP地址。

本章节主要介绍Flink对接OBS文件系统 。 使用本章节前已参考配置存算分离集群（委托方式）或配置存算分离集群（AKSK方式）完成存算分离集群配置。 1. 使用安装客户端的用户登录Flink客户端安装节点。 2. 执行如下命令初始化环境变量。 source ${clienthome}/bigdataenv 3. 需要配置好Flink客户端。具体配置参考安装客户端（3.x及之后版本）。 4. 如果是安全集群，使用以下命令进行用户认证，如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit 用户名 5. 在Flink命令行显式添加要访问的OBS文件系统。 ./bin/flink run class com.xxx.bigdata.flink.examples.FlinkProcessingTimeAPIMain ./config/FlinkCheckpointJavaExample.jar chkPath obs:// OBS并行文件系统名称 说明 由于Flink作业是On Yarn运行，在配置Flink对接OBS文件系统之前需要确保Yarn对接OBS文件系统功能是正常的。

本章节为您介绍如何升级云堡垒机的实例版本。 新版本的云堡垒机对系统进行了功能优化或添加了新功能，请及时升级版本。 注意 在堡垒机升级至1.3.0版本后，需要卸载旧的访问插件，在“运维设置 > 访问插件”中下载最新版本插件进行安装。 堡垒机在升级失败后会自动回退版本。 前提条件 已获取管理控制台的登录账号与密码。 已绑定EIP，且EIP可用。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需变更升级的实例，单击所在行“操作”列中“更多 > 升级版本”，或单击实例名称旁的提示框中“升级”。 4. 在弹出的对话框中单击“确定”，堡垒机开始进行自动升级并且堡垒机的状态会变为“升级中”。 5. 待堡垒机状态变为“运行中”即表示升级已经结束，可正常使用堡垒机。

本章节主要介绍翼MapReduce的权限管理。 如果您需要对上创建的MapReduce服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有MapReduce服务的使用权限，但是不希望他们拥有删除MRS集群等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用MRS，但是不允许删除MRS集群的权限策略，控制他们对MRS集群资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用MRS服务的其它功能。 IAM是提供权限管理的基础服务。 MRS权限说明 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 MRS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问MRS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对MRS服务，管理员能够控制IAM用户仅能对集群进行指定的管理操作。如不允许某用户组删除集群，仅允许操作MRS集群基本操作，如创建集群、查询集群列表等。多数细粒度策略以API接口为粒度进行权限拆分。 如下表所示，包括了MRS的所有系统策略。 MRS系统策略 策略名称 描述 策略类别 MRS FullAccess MRS管理员权限，拥有该权限的用户可以拥有MRS所有权限。 细粒度策略 MRS CommonOperations MRS服务普通用户权限，拥有该权限的用户可以拥有MRS服务使用权限，无新增、删除资源权限。 细粒度策略 MRS ReadOnlyAccess MRS服务只读权限，拥有该权限的用户仅能查看MRS的资源。 细粒度策略 MRS Administrator 操作权限： 对MRS服务的所有执行权限。 拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。 RBAC策略 下表列出了MRS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统策略的授权关系 操作 MRS FullAccess MRS CommonOperations MRS ReadOnlyAccess MRS Administrator 创建集群 √ x x √ 调整集群 √ x x √ 升级节点规格 √ x x √ 删除集群 √ x x √ 查询集群详情 √ √ √ √ 查询集群列表 √ √ √ √ 设置弹性伸缩策略 √ x x √ 查询主机列表 √ √ √ √ 查询操作日志 √ √ √ √ 创建并执行作业 √ √ x √ 停止作业 √ √ x √ 删除单个作业 √ √ x √ 批量删除作业 √ √ x √ 查询作业详情 √ √ √ √ 查询作业列表 √ √ √ √ 新建文件夹 √ √ x √ 删除文件 √ √ x √ 查询文件列表 √ √ √ √ 批量操作集群标签 √ √ x √ 创建单个集群标签 √ √ x √ 删除单个集群标签 √ √ x √ 按照标签查询资源列表 √ √ √ √ 查询集群标签 √ √ √ √ 访问Manager页面 √ √ x √ 查询补丁列表 √ √ √ √ 安装补丁 √ √ x √ 卸载补丁 √ √ x √ 运维通道授权 √ √ x √ 运维通道日志共享 √ √ x √ 查询告警列表 √ √ √ √ 订阅告警消息提醒 √ √ x √ 提交SQL语句 √ √ x √ 查询SQL结果 √ √ x √ 取消SQL执行任务 √ √ x √

接口功能介绍 按天统计最近7日、14天、30天内入侵检测、漏洞风险、安全基线、网页防篡改、病毒查杀风险个数。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/index/trend 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 type 是 Integer 时间类型 1:7天;2:14天;3:30天 1 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 vulnerabilityCount Array of Objects 漏洞扫描未处理按天统计 vulnerabilityCount sshCount Array of Objects 入侵检测事件未处理按天统计 sshCount wpCount Array of Objects 弱密码按天统计 wpCount scaCount Array of Objects 基线按天统计 scaCount virusCount Array of Objects 病毒文件按天统计 virusCount 表 virusCount 参数 参数类型 说明 示例 下级对象 id String 时间 20250110 sum Integer 数量 1 表 scaCount 参数 参数类型 说明 示例 下级对象 id String 时间 20250110 sum Integer 数量 1 表 wpCount 参数 参数类型 说明 示例 下级对象 id String 时间 20250110 sum Integer 数量 1 表 sshCount 参数 参数类型 说明 示例 下级对象 id String 时间 20250110 sum Integer 数量 1 表 vulnerabilityCount 参数 参数类型 说明 示例 下级对象 id String 时间 20250110 sum Integer 数量 1

本章节以Linux操作系统为例，指导您通过弹性云主机公网方式连接GeminiDB Influx实例。 前提条件 GeminiDB Influx实例需要绑定弹性公网IP并设置安全组规则，确保可以通过弹性云主机访问弹性公网IP，具体操作请参见绑定弹性公网IP和设置安全组规则。 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机快速入门》中购买弹性云主机的内容。 下载InfluxDB客户端，以Linux 64bit为例。 操作步骤 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 通过如下命令，进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 使用SSL方式连接数据库 ./influx ssl unsafeSsl host port 示例： ./influx ssl unsafeSsl host 10.xx.xx.xx port 8635 使用非SSL方式连接数据库 ./influx host port 示例： ./influx host 10.xx.xx.xx port 8635 表1 参数说明 参数 说明 待连接节点的弹性公网IP。您可以在“实例管理”页面，单击实例名称，进入“基本信息”页面，在节点信息列表中获取“弹性IP”。 如果您购买的实例有多个节点，选择其中任意一个节点的弹性公网IP即可。 若当前节点尚未绑定弹性公网IP，请参见绑定弹性公网IP 为当前实例绑定弹性公网IP后，再根据本章节操作连接实例。 待连接实例的端口，默认为8635，且不可修改。 您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 数据库端口”处获取当前GeminiDB Influx实例的端口信息。 输入auth命令，进行身份验证。 auth 根据提示输入用户名和密码。 username： password： 表2 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 5. 验证身份通过后，再输入命令 show databases 。 show database 出现如下信息，表示示例连接成功： name: databases name internal

本文主要介绍跨区域复制简介。 跨区域复制能够为用户提供跨区域数据容灾的能力，满足用户数据复制到异地进行备份的需求。 跨区域复制是指通过创建跨区域复制规则，将一个桶（源桶）中的数据自动、异步地复制到不同区域的另外一个桶（目标桶）中，源桶和目标桶必须属于同一个帐号，暂不支持跨帐号复制。 在配置跨区域复制规则时，您可以按前缀匹配请求复制部分对象，也可以请求复制桶中的所有对象。复制到目标桶的对象是源桶中对象的精确副本。它们具有相同的对象名称和元数据，包括：对象内容、大小、最后修改时间、创建者、版本号、用户定义的元数据以及ACL。默认情况下复制对象的存储类别，与源对象保持一致。您也可以为复制对象指定一个存储类别。 复制的内容 启用跨区域复制规则后，符合以下条件的对象会复制到目标桶中： 新上传的对象（归档存储对象除外）。 有更新的对象，比如对象内容有更新，或者某一对象跨区域复制成功后源桶对象ACL设置有更新。 适用场景 客户需要在多地访问相同的OBS资源。为了最大限度缩短访问对象时的延迟，您可以使用跨区域复制，在离客户较近的区域中创建对象副本。 由于业务原因，您需要将OBS数据从一个区域的数据中心迁移至另一个区域的数据中心。 出于对数据安全性以及可用性的考虑，您希望对所有写入OBS的数据，都在另一个区域的数据中心显式地创建一个备份，以防止在数据发生不可逆损毁时，有安全、可用的备份数据。

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 可用区 是 多可用区资源池可选择伸缩组绑定的伸缩配置，在指定可用区扩缩容。当伸缩配置绑定的伸缩组使用优先级扩容策略时，可用区选择顺序将决定优先级。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格 > 请选择云主机” 创建配置，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，接下来根据实际业务需求配置主机类型、 vCPU、内存、镜像、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址与互联网互通。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能对外提供访问服务，仅可在虚拟私有云内部进行内网互通。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。 密钥对指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。说明： 如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件且可以登录云主机，否则，将影响您正常登录弹性云主机。 账户密码指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码，并确认密码，确保能够成功登录云主机。 云监控 否 是否开启详细监控。开启后，在云主机创建成功后35分钟将完成详细监控Agent安装，启用云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

Kafka Manager是开源的Kafka集群管理工具，需要通过浏览器才能访问Kafka Manager的地址。在Kafka Manager页面，您可以查看Kafka集群的监控、节点等信息。 前提条件 已正确配置安全组。 登录Kafka Manager 创建一台与Kafka专享实例相同VPC和相同安全组的Windows服务器。 获取Kafka Manager地址。 在实例详情信息页面，获取Kafka Manager的地址。 在浏览器中输入Kafka Manager的地址，进入Kafka Manager登录页面。 输入创建实例时设置的Kafka Manager用户名和密码，即可管理Kafka集群。 查看Kafka Manager 在进入Kafka Manger集群管理页面后，您可以查看Kafka集群的监控、节点等信息。 集群信息页 单击Clusters中的集群列表，即可进入集群信息页。如图所示。 − 图中①区域表示功能导航栏 Cluster: 集群，统计集群列表和集群详情。 Brokers: 节点，统计当前集群中各节点的状态信息。 Topic: 队列，统计当前集群中的kafka队列。 Preferred Replica Election: 强制进行一次队列leader的最优选举（不建议用户操作）。 Reassign Partitions: 进行分区副本的重分配（不建议用户操作）。 Consumers: 统计集群中的消费组状态。 − 图中②区域表示集群信息统计，包含集群的Topic数和集群的节点数。 集群信息页 集群所有节点统计页 单击功能导航栏中的Brokers，即可进入节点统计页。如图54所示。 − 图中①区域节点列表，包含总的字节流入和字节流出。 − 图中②集群监控信息。 所有节点统计页 具体节点统计页 单击id列表中具体的Broker，即可查看对应节点的统计信息。如图55所示。 − 图中①区域表示对应节点总的统计信息，包括队列数、分区数、分区leader数、消息速率占比、写入字节占比以及流出字节占比。 − 图中②区域表示节点监控信息。 具体Broker信息 查看实例的Topic 在导航栏选择Topic，并在下拉列表中选择List。页面如图56所示，展示了队列列表以及分区数等。 列表中以“”开头的队列为内部队列，严禁操作，否则可能导致业务问题。 查看实例的Topic 队列详情页 单击具体的Topic名称，进入如图57所示页面。 − 图中①区域表示队列基本信息，包括副本数(Replication)，分区数(Number of Partitions)，消息数(Sum of partition offsets)等。 − 图中②区域表示节点与队列分区的对应关系。 − 图中③区域表示该队列的消费组列表。单击消费组名称可进入该消费组的详情页。 − 图中④区域表示队列的配置信息。详情参考kafka队列官方配置文档(

本文主要介绍WAF功能。 高级访问控制 可针对IP, IP段, URI, CI, METHOD, 请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 高级访问限速 通过配置IP, URL, ARGS, HEADER, COOKIE, UA, CI等粒度，进行访问次数限制，防止客户资源被过度消耗。 请求合规检测 请求方法检测：只允许指定请求方法访问网站。 请求协议检测：只允许指定协议版本访问网站。 请求头部缺失检测：请求缺少指定头部禁止访问网站。 数据重复检测：针对头部重复，参数重复进行拦截，禁止访问网站。 请求数据长度限制：针对请求URL,头部参数进行长度限制，禁止访问网站。 Web漏洞防护 针对请求数据进行漏洞检测，对异常数据进行拦截，防止攻击请求到达源站。 批量注册 通过对注册URL访问数量统计，进行阈值拦截，防止网站注册链接被恶意请求，造成正常客户无法使用。 暴力破解 对采用暴利破解的防护连接进行请求量统计，达到阈值数量后进行拦截，避免用户密码被破解，造成信息泄露。 Web挖矿 通过检测网页上的挖矿信息，进行清理，移除异常数据，保证客户机器安全。 广告防护 通过对页面插入js进行检测，并对检测到的广告进行清除或者记录告警日志处理，使展示给用户的界面没有广告，同时可以针对检测出来的广告进行离线分析。 支持对广告配置白名单功能，针对特定的广告不进行清除与告警处理，满足客户的定制需求。

测试场景 本章节主要测试RocketMQ不同产品规格在发送1KB大小的消息，实例的网络入流量、网络出流量、消息生产速率、消息消费速率、CPU核均负载和内存使用率。 测试环境 购买实例 名称 规格 存储空间 rocketmq01 c7.xlarge.2 4C8G 超高I/O 500GB rocketmq02 c7.2xlarge.2 8C16G 超高I/O 500GB rocketmq03 c7.4xlarge.2 16C32G 超高I/O 500GB 控制台创建主题 名称 权限 关联代理 队列个数 topic01 发布+订阅 broker1 8 控制台创建消费组 名称 关联代理 最大重试次数 是否允许以广播模式消费 group01 broker1 16 否 测试工具准备 购买1台ECS服务器（区域、可用区、虚拟私有云、子网、安全组与RocketMQ实例保持一致，Linux系统），安装jdk，并配置环境变量 tar zxvf jdk8u131linuxx64.tar.gz vi /etc/profile 追加以下内容 export JAVAHOME/root/jdk1.8.0131 export PATH$JAVAHOME/bin:$PATH 生效配置 source /etc/profile 下载测试工具 wget 解压测试工具 unzip rocketmqall5.1.4binrelease.zip 测试命令

参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 姓名 填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见： 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选“管理角色”、“审计角色”和“访问角色”。 用户组 选择该账户所属的用户组，用户组相关操作请参见 认证方式 填写认证方式，可选“跟随系统”和“自定义”： 跟随系统：沿用系统认证方式的设置，并且动态更新同步。 自定义：自定义选择认证源、双因子认证。 生效时间 选择该账户可登录的时间段。 准入IP 选择可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。

如何安装PostgreSQL客户端 PostgreSQL官网提供了针对不同操作系统的不同版本的客户端安装包，用户可以根据自己的需要选择适合自己的客户端并使用。此处以CentOS弹性云主机（ECS）为例，介绍如何在ECS上安装下PostgreSQL 12版本客户端，并访问实例数据库。 1.打开PostgreSQL官网客户端下载页面。 2.选择数据库版本、操作系统、操作系统架构，在弹性云服务器上执行以下命令安装PostgreSQL客户端。 sudo yum install y PostgreSQL官网地址/pub/repos/yum/reporpms/EL7x8664/pgdgredhatrepolatest.noarch.rpm sudo yum install y postgresql12server 3.登录连接实例。 在连接数据库之前，请确保您的ECS和RDSPostgreSQL实例在同一VPC下且配置安全组放通数据库对应端口，确保网络通畅。 在ECS上执行以下命令登录连接实例，其中username是实例的用户名、host是实例的ip、port是实例的连接端口和dbname是实例的数据库。在执行该命令后按照提示输入数据库账号的密码即可登录连接实例。 psql U username h host p port d dbname

本章节主要介绍数据治理中心的约束与限制。 浏览器限制 您需要使用支持的浏览器版本登录DataArts Studio。 表1 浏览器兼容性 浏览器版本 建议版本 建议操作系统 备注 Google Chrome 115，114，113 Windows 10 分辨率最佳可视范围为最小1366768px，最大为19201080px。其中19201080px为最佳显示分辨率，界面自适应为最优显示。 使用限制 使用DataArts Studio前，您需要认真阅读并了解以下使用限制。 表2 DataArts Studio使用限制一览表 组件 约束限制 公共 DataArts Studio基于数据湖底座提供数据一站式集成、开发、治理等能力，本身不具备存储和计算的能力，需要配合数据湖底座使用。 每个企业项目下最多绑定一个DataArts Studio实例。当企业项目下已绑定实例时，再次创建实例会失败。 DataArts Studio各组件对不同数据源的支持程度不一，您需要按照您的业务需求来选择数据湖底座。DataArts Studio平台当前支持的数据湖产品请参见“DataArts Studio用户指南 > 管理中心 > DataArts Studio支持的数据源”。 管理中心 由于管理中心的限制，数据治理各组件（如数据架构、数据质量、数据目录等）暂不支持包含中文和“.”字符的库表名。 建议为管理中心数据连接的Agent和CDM迁移作业规划相互独立的CDM集群，避免双方使用同一集群，导致业务高峰期时资源抢占引起业务不可用。 CDM集群作为管理中心数据连接Agent时，单集群无法连接多个MRS安全集群。建议您按照业务情况规划多个Agent与MRS安全集群一一映射。 CDM集群作为管理中心数据连接Agent时，单集群的并发活动线程最大为200。即当多个数据连接共用同一Agent时，通过这些数据连接提交SQL脚本、Shell脚本、Python脚本等任务的同时运行上限为200，超出的任务将排队等待。建议您按照业务量情况规划多个Agent分担压力。 单工作空间允许创建的数据连接个数最多200个。 管理中心相关开放API并发限制为100qps。 数据集成 CDM作业支持自动备份和恢复，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据集成 > 管理作业 > 作业配置管理”章节。 CDM作业本身无配额限制，但建议作业数不超过CDM集群的vCPU核数2，否则作业运行性能可能会受到一定影响。 数据集成CDM集群为单集群部署，集群故障可能会导致业务、数据损失。建议您使用数据开发作业CDM Job节点调用CDM作业，并选择两个CDM集群以提升可靠性。详情请参见用户指南中“数据开发 > 节点参考 > CDM Job”章节。 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 在驱动更新场景下，上传驱动后必须在CDM集群列表中重启集群才能更新生效。 单作业的抽取并发数取值范围为1300，集群的总抽取并发数取值范围为11000。其中集群最大抽取并发数的设置与CDM集群规格有关，并发数上限建议配置为vCPU核数2，作业的抽取并发数建议不超过集群的总抽取并发数，过高的并发数可能导致内存溢出，请谨慎修改。 关于数据集成中的更多约束限制，请参考用户指南中“数据集成> 约束与限制”章节。 数据开发 数据开发脚本、作业等资产支持备份管理，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据开发 > 运维调度 > 备份管理”章节。 脚本、作业或节点的历史运行记录依赖于OBS桶，如果未配置测试运行历史OBS桶，则无法查看历史运行的详细信息。 上传资源时，如果资源位置为HDFS，则只支持MRS Spark，MRS Flink Job，MRS MapReduce节点使用该资源。 单工作空间允许创建的脚本个数最多1万个，脚本目录最多5000个，目录层级最多为10层。 单工作空间允许创建的作业个数最多1万个，作业目录最多5000个，目录层级最多为10层。 RDS SQL、DWS SQL、HIVE SQL、SPARK SQL、DLI SQL脚本执行结果页面展示最多1千条，且数据量少于3MB。超过1千条数据可以使用转储功能，转储最多支持1万条。 实例监控、补数据监控只能展示最近6个月的数据。 通知记录只能展示最近30天的数据。 下载中心的下载记录会每7天做老化处理，老化时下载中心记录和已转储的OBS数据会同时被删除。 数据架构 数据架构当前支持关系建模和维度建模（仅支持星形模型）这两种建模方式。 数据架构支持最大导入文件大小为4Mb；支持最大导入指标个数为3000个；支持一次最大导出500张表。 码表和数据标准的根目录下禁止直接创建码表和数据标准。 单工作空间中创建各类对象的配额如下： l主题5000个。 l数据标准目录500条，个数20000个。 l业务指标100000个。 l原子指标、衍生指标、复合指标各5000条。 配置中心中各类对象的自定义项配额如下： l主题自定义项10条。 l表自定义项30条。 l属性自定义项10条。 l业务指标自定义项50条。 数据质量 数据质量作业执行时长依赖数据引擎，如果底层数据引擎资源不足，可能会导致运行速度变慢。 单个数据质量作业最多可以配置50条规则，如有需要可拆分为多个质量作业。 单个数据连接上的质量作业关联SQL的并发数默认为1000，如果超出则等待排队执行。可配置范围101000。 单Region内的质量作业关联SQL的并发数为10000，如果超出则等待排队执行。 业务指标监控模块总览中的实例运行状态和实例告警状态支持按照7天展示，告警趋势、业务看板、指标看板支持按照7天、15天和30天展示。 数据质量监控模块总览中的变化趋势支持按照30天展示，质量告警分类趋势和规则数量趋势支持按照7天展示。 质量报告采用T+1日定时批量生成，质量报告数据保留90天。 导出质量报告至OBS，会将质量报告导出到工作空间中配置的作业日志OBS路径中，导出记录保留3个月。 数据目录 单工作空间中元数据采集任务最多创建100个。 元数据采集任务通过执行引擎相关的DDL SQL获取，不建议单个任务采集超过1000张表。如有需要可拆分为多个采集任务，另外调度时间和频次也需要根据业务需要进行合理设置，避免对引擎造成较大的访问和连接压力，设置建议如下： l若业务对元数据时效性要求为1天，则设置调度周期max(1天，单次采集周期时间)，其他情况同理。 l若业务压力集中在白天，则设置调度时间在夜间，其他情况同理，选择数据源压力最小的时间段。 数据血缘的产生依赖于数据开发中调度运行的作业，测试运行的作业不会产生血缘。 元数据采集模块总览中的数据连接历史统计支持按照7天、15天和30天展示。 数据服务 数据服务共享版仅供开发测试使用，专享版性能优于共享版，推荐使用数据服务专享版。 DataArts Studio实例下最多支持创建5个数据服务专享版集群，且集群需要与某个工作空间绑定，不能多空间共用同一集群。 数据服务专享版集群创建后暂不支持修改规格或升级版本。 DataArts Studio实例下支持创建的专享版API最大数量由数据服务专享版API总分配配额（默认为5000）和当前实例下集群的API规格总和共同决定，取较小的作为限制。例如，某DataArts Studio实例下的数据服务专享版API总分配配额为5000，已分别创建了API规格为500和2000的两个集群，则当前实例下支持创建的专享版API最大数量为2500。 单工作空间下支持创建的专享版API最大数量由数据服务专享版API已分配配额（通过编辑工作空间信息分配）和当前空间下集群的API规格总和共同决定，取较小的作为限制。例如，某工作空间下的数据服务专享版API已分配配额为800，当前工作空间下已创建了API规格为500的两个集群，则当前工作空间下支持创建的专享版API最大数量为800。 单工作空间下支持创建的应用数量为1000。 单工作空间下支持创建的流控策略数量为500。 数据服务支持跟踪并保存事件。对于每个事件，数据服务会报告事件发生日期、说明、时间源（某个集群）等信息，事件保存时长为30天。 数据服务专享版日志信息仅查询集群最近100条访问记录，均分至集群全部所属节点中获取。 总览中的调用趋势、发布趋势、调用比率 top5、调用时间 top5和调用次数 top5支持按照近12小时、近1天、近7天和近30天展示，总调用数为前7天数据总和（不含当天）。

1. 引言 服务网格接入虚机是为了让传统应用在不改造架构的前提下，也能获得服务网格的治理能力，例如统一的服务发现、流量控制、故障治理与安全通信，从而支撑平滑上云和系统演进。 2. 架构 3. 准备工作 3.1 创建网格实例 确保在控制面中已创建好可用的 服务网格实例，并确认网格状态为 Running。 后续步骤中的虚拟机将加入此网格实例以实现统一流量管理与安全控制。 注意 确保目标虚拟机和网格实例之间网络互通。 3.2. 创建接入网格的虚拟机 准备一台或多台计划纳入网格的虚拟机； 说明 权限要求：具备 root 或具有 sudo 权限的用户； 网络要求：可以访问到 容器集群 API Server 的地址； 3.3 上传 istioctl 与 kubectl 工具 下载并将以下二进制文件上传至虚拟机（例如存放于 /usr/local/bin）： istioctl kubectl 执行以下命令添加到系统环境变量： plaintext export PATH$PATH:/usr/local/bin 验证： plaintext kubectl version client istioctl version 3.4 配置 kubeconfig 文件 将容器集群的 kubeconfig 文件拷贝至虚拟机，使 kubectl 可正常访问主集群。 文件路径： ～/.kube/config 验证连接是否成功 kubectl get ns 若能列出命名空间列表，说明连接正常。 3.5 创建istioproxy用户 在虚拟机中创建 istioproxy 用户及用户组，用于运行 Sidecar 代理进程。 sudo useradd r M s /sbin/nologin istioproxy r 表示创建系统用户； M 不创建 home 目录； s /sbin/nologin 表示该用户不可直接登录； Sidecar 启动将以该用户身份运行。

区别项 云硬盘快照 云硬盘备份 存储位置 快照与云硬盘原始数据保存在同一套云存储集群中。 备份与云硬盘原始数据没有存储在同一套云存储集群中，以备份文件的形式存储在对象存储中，即使云硬盘损坏，也可以进行数据恢复。 数据同步 保存云硬盘指定时刻的数据。 可以设置自动快照策略。 如果将创建快照的云硬盘删除，那么对应的快照也会被同时删除或需用户手动删除。 重装操作系统或切换操作系统后，系统盘快照和数据盘快照不会被删除，其中数据盘快照可以照常使用。 系统盘保留单盘快照会导致主机重装/切换系统失败，建议主机重装/切换系统操作前先手动删除快照。 保存云硬盘指定时刻的数据，可以设置自动备份。 如果将创建备份的云硬盘删除，对应的备份不会被同时删除，还会独立存储于对象存储。 业务恢复 通过快照回滚来恢复云硬盘数据，或者以快照作为数据源来创建新的云硬盘，恢复业务。 用户可以恢复备份数据到云硬盘，或者以备份作为数据源来创建新的云硬盘，恢复业务。 使用场景 针对软硬件升级、系统变更等计划内操作场景，在执行升级/变更前可即时为数据创建快照，作为操作前的安全保护点，如升级异常、测试失败或变更出错，可通过快照快速回滚数据至变更前的精确状态，确保操作的安全性和可靠性。 针对误删、病毒感染、软硬件故障等突发风险场景，通过周期性定时备份为数据创建多个历史时间点的副本，出现故障时可将数据恢复到任意备份时间点的状态。