本页为您介绍数据库专家服务的产品优势。 数据库专家服务产品优势主要体现在下面几个方面： 团队技术实力雄厚 天翼云数据库内核研发专家及MySQL、PostGreSQL、HBase、Clickhouse、MongoDB等技术专家直接提供一站式服务，解决客户各类疑难问题。 团队经验丰富 数据库专家服务团队成员深耕数据库领域，在数据库架构规划设计、性能调优、应急响应等方面有丰富经验。 大厂级别护航 天翼云数据库专家服务团队参与中国电信核心系统大型流量业务护航，同时对政务、物联网、新能源、医疗等业务提供支持。 对各类大、中、小型业务数据库的设计、实施、运维、优化拥有丰富的解决方案。 全方位的售后服务 全网节点实时监控，724小时技术支持，保障服务高可用。

弹性云主机(CTECS,Elastic Cloud Server)是一种可随时获取、弹性可扩展的计算服务。云主机由 CPU、内存、镜像、云硬盘组成,同时结合VPC、安全组、数据多副本保存等能力,打造一个既高效又可靠安全的计算环境,确保服务持久稳定运行。

系统角色/策略名称 描述 类别 CBH FullAccess 运维安全中心实例的所有权限（支付权限除外）。 系统策略 CBH ReadOnlyAccess 运维安全中心实例只读权限，拥有该权限的用户仅能查看运维安全中心服务，不具备服务配置和操作权限。 系统策略

本文介绍安全加速如何退订。 产品支持退订服务，登录官网订单管理产品产品视图退订管理，找到您要退订的订单，进行退订；客户套餐退订后，扩展服务也会一起退订。 产品退订页面

天翼云提供统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 您通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对KMS资源的访问控制、权限分配等。 说明 IAM 权限作用于KMS产品控制台的功能访问以及KMS服务的OpenAPI接口调用。 权限管理 默认情况下，主账号创建的IAM用户没有任何权限，需要将其加入特定的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），授权后IAM用户就能获得策略中定义的KMS产品的使用权限。 KMS产品支持企业项目管理，若您需要对KMS服务中的资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 权限配置 IAM权限管理：进入天翼云IAM权限配置界面，可以进行IAM用户及用户组的创建，并在用户组列表中点击“授权”，为用户组添加KMS产品对应的权限策略。KMS权限策略分为系统策略和自定义策略，系统策略默认提供，您也可以在“策略管理”界面创建自定义策略。用户组授权记录均可在“授权管理”界面查看并管理。 企业项目管理：进入天翼云IAM权限 配置界面，在“企业项目”界面可以创建并管理企业项目，创建企业项目后可进行资源的迁入迁出，绑定用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略）。

本文主要介绍域名DNS类问题。 一、为什么CCE集群的容器无法通过DNS解析？ 问题描述 某客户在DNS服务中做内网解析，将自有的域名绑定到DNS服务中的内网域名中，并绑定到特定的VPC中，发现本VPC内的节点（ECS）可以正常解析内网域名的记录，而VPC内的容器则无法解析。 适用场景 VPC内的容器无法进行正常DNS解析的情况。 解决方案 由于本案例涉及的是内网域名解析，按照内网域名解析的规则，需要确保VPC内的子网DNS设置成的云上DNS，具体以内网DNS服务的控制台界面提示为准。 本案例的子网中已经完成该设置，其中用户可以在该VPC子网内的节点（ECS）进行域名解析，也说明已完成该设置，如下图： 但是在容器内进行解析却提示bad address无法解析域名返回地址，如下图： 登录CCE控制台查看该集群的插件安装情况。 如果已安装插件列表中没有coredns插件，可能是用户卸载了该插件等原因导致。 安装coredns插件，并添加相应的域名及对应的DNS服务地址，即可进行域名解析。 二、如何设置容器内的DNS策略？ CCE支持通过dnsPolicy标记每个Pod配置不同的DNS策略： None： 表示空的DNS设置，这种方式一般用于想要自定义DNS配置的场景，而且，往往需要和dnsConfig配合一起使用达到自定义DNS的目的。 Default： 有人说Default的方式，是使用宿主机的方式，这种说法并不准确。 这种方式其实是让kubelet来决定使用何种DNS策略。而kubelet默认的方式，就是使用宿主机的 /etc/resolv.conf，但是kubelet是可以灵活来配置使用什么文件来进行DNS策略的，我们完全可以使用kubelet的参数：–resolvconf/etc/resolv.conf来决定您的DNS解析文件地址。 ClusterFirst： 这种方式表示Pod内的DNS使用集群中配置的DNS服务，简单来说，就是使用Kubernetes中kubedns或coredns服务进行域名解析。如果解析不成功，才会使用宿主机的DNS配置进行解析。 如果未明确指定dnsPolicy，则默认使用“ClusterFirst”： 如果将dnsPolicy设置为“Default”，则名称解析配置将从运行pod的工作节点继承。 如果将dnsPolicy设置为“ClusterFirst”，则DNS查询将发送到kubedns服务。 对于以配置的集群域后缀为根的域的查询将由kubedns服务应答。所有其他查询（例如，www.kubernetes.io）将被转发到从节点继承的上游名称服务器。在此功能之前，通常通过使用自定义解析程序替换上游DNS来引入存根域。但是，这导致自定义解析程序本身成为DNS解析的关键路径，其中可伸缩性和可用性问题可能导致集群丢失DNS功能。此特性允许用户在不接管整个解析路径的情况下引入自定义解析。 如果某个工作负载不需要使用集群内的coredns，可以使用kubectl命令或API将此策略设置为dnsPolicy: Default。

本节主要介绍容器镜像服务的API中资源池ID列表。 容器镜像服务的资源池列表 资源池 资源池ID（Region ID） 华东1 bb9fdb42056f11eda1610242ac110002 华北2 200000001852 西南1 200000002368 华南2 200000002530 上海36 200000001790 青岛20 200000001703 长沙42 200000002401 南昌5 200000002527 武汉41 200000001781 杭州7 200000003329 太原4 200000002689 郑州5 200000002586 西安7 200000001851 芜湖4 200000003327 呼和浩特3 200000003573 乌鲁木齐7 200000004098 庆阳2 200000003664 西南2贵州 200000002927

路由 您可以在默认路由表和自定义路由表中添加路由，路由包括目的地址、下一跳类型、下一跳地址等信息，可以决定网络流量的走向。路由分为系统路由和自定义路由。 系统路由：系统路由一般为VPC服务或者其他服务（比如VPN、DC等）自动在路由表添加的路由，无法删除或修改。 创建路由表时，VPC服务会自动在路由表中添加下一跳为Local的路由，通常情况下，路由表中有以下Local的路由： 目的地址是100.64.0.0/10，该路由用于子网内实例访问云上公共服务，比如访问DNS服务器等。 目的地址是198.19.128.0/20，表示系统内部服务使用的网段地址，比如VPCEP等服务。 目的地址是127.0.0.0/8，表示本地回环地址。 目的地址是子网网段，该路由用于当前VPC内，不同子网的内网网络互通。 您在创建子网时，开启IPv6功能，系统将自动为当前子网分配IPv6网段，就可以在路由表中看到IPv6路由。子网网段目的地址示例如下： IPv4地址：192.168.2.0/24。 IPv6地址：240e:c080:802:be7::/64 自定义路由：路由表创建完成后，您可以添加自定义路由来控制网络流量的走向，需要指定路由的目的地址和下一跳等信息。除了手动添加自定义路由，当您使用其他云服务时（比如云容器引擎CCE或者NAT网关），其他服务会自动在VPC路由表中添加自定义路由。 路由表包括默认路由表和自定义路由表，不同路由表中支持添加自定义路由的下一跳类型有差异。 下表是默认路由表支持的下一跳类型。 下一跳类型 下一跳说明 云主机实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 下表是自定义路由表支持下一跳类型。 下一跳类型 说明 云主机实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 物理机自定义网络 将指向目的地址的流量转发到一个物理机自定义网络。 VPN网关 将指向目的地址的流量转发到一个VPN网关。 云专线网关 将指向目的地址的流量转发到一个云专线网关。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 说明 个别由系统下发的路由可供用户修改和删除，这取决于创建对端服务时是否已设置目的地址。 例如，创建NAT网关时，系统会自动下发一条自定义类型的路由，没有明确指定目的地址（默认为0.0.0.0/0）,此时用户可修改该目的地址。如果在路由表页面更改路由将会导致与对端数据不一致，您可以前往对端服务页面修改远端子网来调整路由表中的路由规则。 不支持手动在VPC路由表中添加下一跳类型为“VPC终端节点”或者“云容器引擎”的路由，通常您在配置VPC终端节点或者云容器引擎服务时，由该服务自动添加在VPC路由表中。

登录系统，报IP/MAC地址不在登录范围怎么办？ 问题现象 通过Web浏览器登录云堡垒机系统，上报“您的IP地址不在允许登录的范围内！”错误。 通过Web浏览器登录云堡垒机系统，上报“您的MAC地址不在允许登录的范围内！”错误。 可能原因 云堡垒机系统限制了用户IP地址或MAC地址登录，用户登录IP地址或MAC地址被设置了登录黑名单，不能登录云堡垒机系统。 解决办法 请管理员排查用户登录限制配置，查看是否配置“登录IP地址限制”和“登录MAC地址限制”白名单或黑名单。 若配置了白名单，请根据配置的IP/MAC地址，使用配置范围内的服务器登录。 若配置了黑名单，请根据配置的IP/MAC地址，使用未被限制的服务器登录。 登录系统，系统提示“404：服务错误”怎么办？ 问题现象 通过Web浏览器登录云堡垒机系统，弹出系统提示框，提示“/3.0/AUTHSERVICE/CONFIG404：服务错误”。 可能原因 云堡垒机系统网盘空间满了，可使用数据盘空间不足。 解决办法 单独挂载系统数据盘，并重启云堡垒机即可恢复。 变更云堡垒机规格，提高系统整体规格性能。 不允许对原有的系统盘或数据盘进行扩充，只能单独挂载数据盘，重启云堡垒机自动挂载。 登录系统，系统提示“499：服务错误”怎么办？ 问题现象 通过Web浏览器登录云堡垒机系统，弹出系统提示框，提示“/3.0/profileService/freshProfile 499：服务错误，请稍后重试”。

本文介绍非天翼云用户数据如何迁移至云上弹性文件服务。 应用场景 在第三方云厂商存储大量数据的用户，如果想要将数据迁移至天翼云弹性文件服务，若使用传统的方法，需要先将存储在第三方云厂商上的数据下载到本地，再手动将数据上传到弹性文件服务，整个过程耗时又耗力，容易存在漏传、误传等问题。 本文推荐您配置一个弹性云主机实例挂载文件系统作为数据传输的中转节点，然后通过迁移工具迁移数据至天翼云弹性文件服务，迁移工具可以选择SFTP客户端。仅需简单配置，即可把数据从第三方云厂商轻松、平滑地迁移至SFS。 工具介绍 本实践以FileZilla作为SFTP客户端作为指导示例。 迁移工具 特点 应用场景 SFTP客户端 支持众多操作系统平台，提供图形化操作界面。 少量文件需要一次性上传至NFS文件系统。 将NFS文件系统内的数据下载到本地。 前提条件 具备一个NFS协议弹性文件系统，且务必确认文件系统容量高于待迁移的数据总量。若此时未购买弹性文件服务，则需新购。 具备一台与文件系统在同一VPC网络下的Linux弹性云主机，上传下载文件数据需要占用弹性云主机公网带宽，因此需要为弹性云主机配置弹性IP。 准备工作 下载安装迁移客户端工具，根据页面提示安装即可。 文件系统为接收数据的目标文件系统，应根据实际需求选择容量规格，具体操作参考创建文件系统。 本次操作实践中，需要创建弹性云主机作为非天翼云数据迁移至天翼云弹性文件服务的中转节点。建议配置如下： 说明 本操作中的云主机仅作为数据迁移的“中转站”，而非用于业务实际使用，为节省成本，建议订购按量付费的弹性云主机和弹性IP进行数据中转，计费说明参见 高规格高带宽的云主机迁移速率更快，相应的费用也略高，请根据实际情况酌情选择。整体迁移速率同时受文件系统性能影响，详见 参数 说明 付费方式 按量付费。 规格 通用型。高规格的云主机迁移速率较快，例如4C8G的迁移速率大于1C1G的迁移速率，根据实际情况选择即可。 镜像 CentOS 7.8 弹性IP 自动分配 IP版本 IPv4 带宽 5M。高带宽的迁移速率较快，例如10M的迁移速率大于5M的迁移速率，根据实际情况选择即可。 登录方式 密码>立即创建

本文为您介绍如何对已经开启的云搜索服务OpenSearch实例进行备份。 天翼云云搜索服务支持使用对象存储保留实例在指定时间的快照信息 约束限制 备份管理功能上线前创建的实例无此功能。 实例快照会导致CPU、磁盘IO上升等影响，建议在业务低峰期进行操作。 实例异常时，不可创建快照，仅能查看已创建的快照，恢复时请确保目标实例状态正常。 手动快照和自动快照不可同时进行。 前提条件 1. 快照功能依赖天翼云对象存储服务（ZOS），请确保您已开通与云搜索服务实例同资源池的对象存储服务，并创建存储桶。存储快照会产生费用，具体收费请参见对象存储计费说明。 2. 已获取自身天翼云账号的AK/SK。通过“账号中心>安全设置>用户AccessKey”中查看您的AccessKey、SecurityKey信息。如果忘记SecurityKey请工单联系客服重置。 创建及关闭自动备份 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要创建备份的实例，进入实例详情页。 2. 在备份管理页面，点击开关开启备份能力，根据页面提示输入您天翼云的AK/SK，如果验证通过，即可点击下一步进行备份功能开通。 3. 开通成功进入快照列表页面，点击“自动备份设置”，在弹出的弹层上选择快照目标存储的存储桶，设置备份周期和备份对象，并选择备份期望的保留时间，最长可以保留30天。 4. 选择备份对象是索引时，需要填写备份的索引名称，支持使用“”匹配多个索引，例如“index”表示备份名称前缀时index的所有索引数据。您可通过“索引管理”功能先行查看实例内的索引名称。 5. 如您需要修改自动快照的创建规则，再次点击“自动创建备份”按钮进行修改，修改后立即生效，按照新设定的规则生成、删除相应快照，已生成部分的存量快照清理时长按原规则执行。 6. 如您不再需要自动备份，则可在快照列表页点击关闭自动备份，并在弹出的确认弹窗中选择是否保留快照信息，如不保留，则系统会自动删除从本次开启至本次结束期间自动备份产生的所有快照信息，如果选择保留，则本次开启至本次结束期间的快照信息得以保留，再次开启时将不再由系统进行删除，您可根据需要，手动在控制台进行删除。 7. 关闭自动备份期间快照自动清理不会执行。

关系数据库MySQL版服务支持设置透明数据加密TDE，在数据落盘时对数据进行加密，从而保证数据的安全性，用户业务对此加密过程无感知。本文介绍关系数据库MySQL版服务如何设置透明数据加密TDE。 注意 仅西南1、华东1、杭州7、华南2II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 注意 开启非默认密钥管理服务将会产生扣费，具体扣费详情可见账单。具体计费信息，请参见计费说明。 如果您退订了数据库实例，记得退订相关的密钥管理服务，否则密钥管理服务会一直进行扣费。 开启TDE的实例，无论恢复到新实例，还是已有实例，表都会解密，可以重新为实例的库表数据进行加密操作（前提已开启TDE）。 主实例开启TDE后，主实例的所有只读实例会跟随开启TDE。 只读实例不支持单独开启TDE。 开启TDE需要用户已开启天翼云KMS服务，请确保已开启天翼云KMS服务。 开启TDE后，若用户首次首个实例开启TDE，会帮用户创建一个用户主密钥，该用户主密钥不可删除，否则会导致TDE不可用，数据丢失！ 开启TDE后，可能会影响内核大版本升级，内核小版本升级，迁移可用区等功能。

本文介绍弹性文件服务安全权限组管理方面的内容。 什么是权限组 在弹性文件服务中，权限组是一个白名单机制。您可以创建权限组和规则，允许指定的IP地址或网段访问文件系统，并给不同的IP地址或网段授予不同的访问权限。仅部分资源池支持权限组，具体功能以控制台为准。 默认权限组 初始情况下，每个弹性文件服务会自动生成一个默认权限组，默认权限组允许任何IP地址以最高权限访问文件系统。默认权限组不支持删除或修改。 自定义权限组 如果默认权限组不符合您的业务需求，您也可以自定义权限组和规则，为IP地址或网段授予不同的访问权限，以满足不同的访问场景。 使用限制 一个天翼云账号在单个地域内最多可以创建20个权限组。 一个权限组最多支持添加400个规则。 仅支持创建专有网络类型的权限组。 具体操作步骤详见权限组管理。

本文帮助您了解海量文件服务OceanFS产品的退订。 注意 （非常重要）在删除/退订文件系统前必须先解绑文件系统所绑定的所有VPC。 按量付费（按需计费）的文件系统可随时执行删除，删除后数据无法恢复，请谨慎操作。 包年包月付费的新购资源支持7天内无理由全额退订（不包含进行了扩容、续订操作的实例），7天后退订将扣除相应的使用费用，具体请参考 操作步骤 1. 登录“控制中心”，切换到服务所在地域。 2. 进入“存储>海量文件服务OceanFS”控制台，在文件系统列表处找到需要进行退订的目标文件系统，进入文件系统详情页。 3. 逐一解绑该文件系统所绑定的所有VPC，进行下一步。 4. 退订按钮有两处入口： 1. 文件系统列表页面，找到“操作>更多>退订”，根据界面提示操作即可。 2. 点击文件系统名称，进入文件系统详情页，右上方点击“退订”，根据界面提示操作即可。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b deviceUUID 否 String 设备UUID xxxaadasd name 否 String 告警黑名单名称 告警黑名单lyc123 service 否 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ ecs dimension 否 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs contactGroupID 否 String 联系人组ID 234bee0616f65b0aadb8c0903d480a58 contactGroupName 否 String 联系人组名称 test createTimeFrom 否 Integer 创建告警黑名单起始时间，精确到毫秒 1690428579920 createTimeTill 否 Integer 创建告警黑名单截止时间，精确到毫秒 1690855839000 pageNo 否 Integer 页码，默认为1 1 pageSize 否 Integer 每页大小，默认为20 10

使用条件 仅未被容灾管理中心关联的云主机允许删除。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入天翼云云主机列表页。 5. 在列表上方下拉菜单中选择需要进行同步云主机操作的命名空间。 6. 选中天翼云云主机列表中需删除的云主机，点击列表上方“删除”按钮，弹出删除云主机弹窗。 7. 确认需删除的云主机和相关信息后，若存在不可进行删除操作的云主机实例时，可点击“点击查看”按钮查看实例及不可删除原因。点击“确认”按钮，完成云主机实例删除操作。

本章节介绍如何重置管理员密码 操作场景 文档数据库服务支持重置数据库管理员密码，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。以下情况不可重置密码： 重启中 节点扩容中 切换SSL中 修改端口号中 规格变更中 删除节点中 方式一 步骤 1 登录文档数据库服务。 步骤 2 在“实例管理”页面，选择指定的实例，选择“更多 > 重置密码”。 步骤 3 输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@%^+?的组合。 方式二 步骤 1 登录文档数据库服务。 步骤 2 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 3 在“基本信息”页面“数据库信息”区域的“管理员帐户名”处，单击“重置密码”。 步骤 4 输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@%^+?的组合。

本节介绍了文档数据库各版本的生命周期规划。 版本说明 目前文档数据库DDS兼容社区3.4、4.0、4.2、4.4和5.0版本，详情请参见文档数据库服务版本与社区版本的对应关系说明。 DDS各版本的生命周期规划 说明 在正式EOM/EOS前会发布公告，在此期间客户可以通过数据库复制DRS将文档数据库DDS版本在EOS之前切换到高版本。 EOM：End of Marketing，停止该版本的销售。 EOS：End of Service&support，停止该版本的服务，建议您在执行作业时选择最新版本的引擎。在该日期之后，不再提供该软件版本的任何技术服务支持。 表1 DDS各版本生命周期规划表 版本 当前状态 计划EOM时间 计划EOS时间 3.4 商用 2023年7月 2025年7月 4.0 商用 2026年4月 2028年4月 4.2 商用 2027年4月 2029年4月 4.4 商用 2028年4月 2030年4月 5.0 商用 暂无计划 暂无计划

本节主要介绍相关术语解释。 使用云容器引擎服务，会涉及到以下基本概念： 集群： 是指容器运行所需云资源的集合，包含了若干台云主机、负载均衡器等云资源。 实例（Pod）： 由相关的一个或多个容器构成一个实例，这些容器共享相同的存储和网络空间。 工作负载： Kubernetes资源对象，用于管理Pod副本的创建、调度以及整个生命周期的自动控制。 Service： 由多个相同配置的实例（Pod）和访问这些实例（Pod）的规则组成的微服务。 Ingress： Ingress是用于将外部HTTP（S）流量路由到服务（Service）的规则集合。 Helm应用 ：Helm是管理Kubernetes应用程序的打包工具，提供了Helm Chart在指定集群内图形化的增删改查。 镜像仓库 ：用于存放Docker镜像，Docker镜像用于部署容器服务。 您在使用前可以了解更多Kubernetes相关知识，具体请参见：<

本章节主要介绍数据治理中心DataArts Studio如何创建IAM用户并授予DataArts Studio权限。 创建IAM用户并授予DataArts Studio权限 如果您需要对您所拥有的DataArt Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DataArts Studio资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如操作步骤所示。 背景信息 给用户组授权之前，请您了解用户组可以添加的DataArts Studio工作空间角色权限，并结合实际需求进行选择。 约束与限制 DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 − IAM角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 − IAM策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

本节介绍AntiDDoS流量清洗相关术语解释。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击，利用获取信息的标准的GET/POST请求，如请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。 带宽 通过带宽展示网络的使用情况，作为服务计费的依据。 分布式拒绝服务攻击 拒绝服务攻击（ Denial of Service Attack，简称DoS）亦称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时，称为分布式拒绝服务攻击（Distributed Denial of Service Attack，简称DDoS）。 黑洞状态 黑洞状态是指服务器的外网访问被屏蔽，从服务器内部看到访问流量为零的状态。 流量清洗 流量清洗是用于准确识别网络中的异常流量并将其丢弃，保证正常流量通行的网络安全服务。流量清洗的主要对象是DDoS攻击。 SYN Flood攻击 SYN Flood攻击是指通过伪造的SYN报文（其源地址是伪造地址或不存在的地址），向目标服务器发起连接，目标服务器用SYNACK应答，而此应答不会收到ACK报文，导致目标服务器保持了大量的半连接，直到超时。这些半连接可以耗尽服务器资源，使目标服务器无法建立正常TCP连接，从而达到攻击的目的。

本节介绍网络的用户指南：服务发现DNS概述。 创建集群时会自动安装CoreDNS插件，用来提供集群内部域名解析。在kubesystem命名空间下，可以查看到CoreDNS相关Pod： kubectl nkubesystem get po l k8sappkubedns NAME READY STATUS RESTARTS AGE coredns84f6584c855rmgq 1/1 Running 0 41h coredns84f6584c85rs4n6 1/1 Running 0 41h 作为集群内部DNS服务器，CoreDNS会将Service域名与Service的IP记录起来，Pod可以向CoreDNS查询Service域名获取对应IP地址。Pod访问的Service域名格式为..svc.，其中为Service名称，为命名空间名称，为集群内部域名，默认为cluster.local。若客户端和服务端在同一个命名空间下，可通过直接访问。建议在集群内部使用Service域名访问Pod，无需感知具体Service地址。 默认情况下，会将Coredns Service的地址作为域名解析服务地址写在Pod的/etc/resolv.conf kubectl nkubesystem get svc kubedns NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE kubedns ClusterIP 10.96.0.10 53/UDP,53/TCP,9153/TCP 9d kubectl exec it nginxdemo748fb499d78f2t5 cat /etc/resolv.conf search default.svc.cluster.local svc.cluster.local cluster.local nameserver 10.96.0.10 options ndots:5 Pod内通过Service域名访问后端Pod的DNS解析过程，如下图所示：

天翼云监控为您提供优质的服务体验，本文带您了解云监控的产品优势。 免费服务自动开通 云监控服务在云资源创建成功后自动开通，不收取费用，监控视图开箱即用。云服务开通后，即可通过云监控服务管理控制台方便直观地查看云产品运行状态，并可设置个性化的告警规则。 实时指标全面覆盖 指标监控数据分钟级获取，全面涵盖多产品多维度，方便客户体系化监控能力建设。目前针对云主机、云硬盘、弹性伸缩等产品提供二十多项指标监控，为客户提供性能历史曲线，多维度监控资源动态。 策略分组配置灵活 客户可对实例根据业务实际需要进行分组，通过创建告警模板，将不同分组配置在不同监控告警策略下，以及时了解各组使用和运行情况，并可随时启停，灵活方便。 及时告警智能通知 实时监控各项资源，提供自动资源告警，及时触发告警通知。用户可按需对告警规则进行设置，当监控项达到设置的告警阈值时，告警通知将立即发送给用户设定的联系人或联系组，从而能够使资源异常情况被及时获知并得到处理，避免发生损失。 关键指标重点掌控 用户可在监控面板页设置重点关注指标，方便每次登陆云监控平台及时查看关键性能，掌握云资源对业务的承载能力。

本页介绍了文档数据库服务白名单分组的删除。 文档数据库服务产品支持对可用实例进行白名单分组进行删除，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 点击选择“白名单管理”页，点击“删除”按钮，点击“确定”按钮即可完成白名单分组删除。 说明 1. 只能对默认白名单分组 “default” 进行修改，不能删除。

本小节介绍使用堡垒机实现资产运维细粒度权限管控最佳实践。 背景 传统的权限网格比较粗放，围城内的大部分用户默认具有超范围的权限，外围用户通过VPN连接企业网络后，也默认具备“围城内用户”的身份和权限，越权访问、敏感操作比比皆是且无从管控，发生数据泄露等安全事故后也难以审计追溯具体详情。 天翼云堡垒机提供完善的用户访问授权和精细的操作权限管控，非授权用户无法访问指定资产，授权用户访问资产后无法执行未授权的指定敏感操作。 解决方案 一、访问授权 1、管理员登录堡垒机。 2、左侧菜单选择“授权管理>资产访问授权”。 3、选择“资产访问授权”标签页，点击“新增”切换至授权配置页，在基本属性模块支持配置访问的协议、访问的端口以及授权有效期；维度属性模块可配置主账号(组)和资产(组)以及资产从账号的关联关系。 4、配置完成后，表示主账号(人员账号)可以在指定有效期内，使用指定的资产账户访问指定的资产。 二、命令授权 1、左侧菜单选择“授权管理 > 字符命令授权”。 2、在“命令组”标签页，点击【新增】，在属性中添加需要管控的命令集以及针对性的响应动作。支持以正则表达式的方式匹配相关命令。 3、在“命令授权”标签页，点击【新增】，填写指定用户和资产属性，选择创建的命令组提交。 在维度属性模块中，可配置命令管控策略需要关联生效的“用户 资产账户 资产”场景。 4、配置完成后，表示指定的用户使用指定的资产账户登录资产后，在资产上执行指定的命令时，将会触发策略中指定的响应动作。 5、文件传输配置原理同字符指令，可匹配具体的上传、下载等操作触发相关响应动作。 6、数据库指令配置原理同字符指令，可匹配sql类型、表名及条件去触发阻断或脱敏等动作。

本文简述页面优化功能、注意事项及配置方法等。 背景介绍 我们看到的所有网页展示和交互是由HTML、CSS、JavaScript共同构建的。 HTML（HyperText Markup Language）是超文本标记语言。是一种建立网页文件的语言，通过标记式的指令(Tag)，将影像、声音、图片、文字动画、影视等内容显示出来。事实上，每一个HTML文档都是一种静态的网页文件，这个文件里面包含了HTML指令代码，这些指令代码并不是一种程序语言，只是一种排版网页中资料显示位置的标记结构语言。以盖房子类比，必须定义这个房子有多长、多宽，每一块面积如何规划，例如哪里是卫生间、哪里是饭厅、哪里是卧室。将这些定义好，网页也就有了最基本的样子。总之，HTML就是用来布局网页中的每一个元素的。 CSS（Cascading Style Sheets）是级联样式表。是一种用来表现HTML或XML等文件样式的计算机语言。CSS 中的“样式”就是指外观。还以盖房为例，定义好了各个空间，房子也盖起来了，但还要装修，例如给客厅贴壁纸、给卧室铺地板。CSS 就是起装修作用的，要和HTML—起配合使用。 JavaScript是一种脚本语言，它在网页中的作用是控制HTML中的每一个元素，有时要删除元素，有时要添加新元素。大家可能遇到过这样的场景：单击网页上的一个按钮，会有一个网页上从没有过的元素显示出来，这就是利用JavaScript实现的。房子已经装修好，贴上了墙纸，铺上了地板，桌子、板凳、沙发都已经摆好，一切都很完美。可是，一个有生活情趣的住户时常要买些新家具，或者把茶几换个位置，这时，移动、添加、减少物件就只能靠JavaScript实现。 一般的网页页面中往往会存在一些冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，这些内容一般对于页面的展现没有实际作用，如果可以去除这些页面的冗余信息，就可以一定程度上提升加速效果和页面可阅读性。

本小节介绍使用堡垒机实现资产运维细粒度权限管控最佳实践。 背景 传统的权限网格比较粗放，围城内的大部分用户默认具有超范围的权限，外围用户通过VPN连接企业网络后，也默认具备“围城内用户”的身份和权限，越权访问、敏感操作比比皆是且无从管控，发生数据泄露等安全事故后也难以审计追溯具体详情。 天翼云堡垒机提供完善的用户访问授权和精细的操作权限管控，非授权用户无法访问指定资产，授权用户访问资产后无法执行未授权的指定敏感操作。 解决方案 访问授权 1.管理员登录堡垒机。 2.左侧菜单选择“授权管理>资产访问授权”。 3.选择“资产访问授权”标签页，点击“新增”切换至授权配置页，在基本属性模块支持配置访问的协议、访问的端口以及授权有效期；维度属性模块可配置主账号(组)和资产(组)以及资产从账号的关联关系。 4、配置完成后，表示主账号(人员账号)可以在指定有效期内，使用指定的资产账户访问指定的资产。 命令授权 1.左侧菜单选择“授权管理>字符命令授权”。 2.在“命令组”标签页，点击【新增】，在属性中添加需要管控的命令集以及针对性的响应动作。支持以正则表达式的方式匹配相关命令。 3.在“命令授权”标签页，点击【新增】，填写指定用户和资产属性，选择创建的命令组提交。 在维度属性模块中，可配置命令管控策略需要关联生效的“用户 资产账户 资产”场景。 4.配置完成后，表示指定的用户使用指定的资产账户登录资产后，在资产上执行指定的命令时，将会触发策略中指定的响应动作。 5.文件传输配置原理同字符指令，可匹配具体的上传、下载等操作触发相关响应动作。 6.数据库指令配置原理同字符指令，可匹配sql类型、表名及条件去触发阻断或脱敏等动作。

本文介绍裸金属Kickstart模板、如何创建私有模板及使用模板。 概述 Kickstart模板是裸金属服务器运行环境的模板，模板中定义了操作系统的初始密码、SSH端口、系统盘分区配置等内容。 用户可以选择系统默认模板配置进行装机，也可选择私有模板，私有Kickstart模板仅对用户自己可见，选择私有Kickstart模板创建裸金属服务器可节省用户重复配置裸金属服务器的时间。 创建私有模板 1. 登录ECX控制台。 2. 单击导航栏【边缘裸金属>镜像服务>Kickstart模板>私有模板】，点击【+新增Kickstart模板】。 3. 填写Kickstart模板信息后提交，即可创建私有模板。 通过复制快速创建私有模板 1. 登录ECX控制台。 2. 单击导航栏【边缘裸金属>镜像服务>Kickstart模板>私有模板】。 3. 点击操作列【更多>复制】，即在原有模版的基础进行修改。 4. 确认信息无误后，点击【保存】创建新的私有模版。

本节主要介绍如何使用API 批量修改服务器属性。 此操作用来批量修改服务器属性。 说明 后续新增的数据服务端口会从修改后的端口范围中选择，已使用的端口值不变。 注意 修改端口范围（portRange）时，请避免和Linux系统的本地临时端口（iplocalportrange）范围重合，否则可能会导致HBlock服务所用的端口被占用。使用命令行cat /proc/sys/net/ipv4/iplocalportrange可以查看本地临时端口范围。 修改HBlock可使用内存（maxMemoryRatio或maxMemorySize）后，必须重启对应服务器上的HBlock服务cs、ps才能生效；HBlock可使用的内存由小于8 GiB调整为大于等于8 GiB，或反之，还需重启对应服务器上的HBlock服务ms： 若修改指定服务器的HBlock可使用内存，重启该服务器的对应服务。 若指定修改default或者all的HBlock可使用的内存，重启所有服务器上的对应服务。 请求语法 plaintext PUT /rest/v1/system/server HTTP/1.1 Date:date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization { "action": "setProperties", "serverIds": [serverId1, serverId2, … ], "targetPortalIP": { "ips":[ { "ip": ip, "port": port, } ], "status": status }, "defaultPath": defaultPath, "portRange": port1port2, "maxMemoryRatio": maxMemoryRatio, "maxMemorySize": maxMemorySize } 请求参数 参数 类型 描述 是否必须 action String 操作动作。 取值： setProperties：服务器配置。 是 serverIds Array of string 指定需要设置的服务器。 取值： SERVERID：需要修改的服务器ID。 all：指定修改所有HBlock服务器配置。 default：指定后续加入集群节点的HBlock默认占用内存和端口范围。 默认修改所有服务器的配置。 说明 一次可用指定多个参数。 否 targetPortalIP.ips Array of ip iSCSI目标门户IP属性集合，详见“表1 请求参数targetPortalIP.ip说明”。 说明 若服务器与客户端不在同一网段（如服务器位于内网，客户端位于外网），通过NAT设备（如路由器）进行连接，则需要将NAT设备的外网地址和端口添加到服务器，从而使得外网的客户端可以正常与该服务器的target建立iSCSI连接。 注意 指定目标门户时，建议仅指定一个服务器ID。 否 targetPortalIP.status String 是否启用iSCSI目标门户IP。 取值： Enabled：启用。 Disabled：禁用。 否 defaultPath String 设置默认的数据目录（仅单机版本支持）。 数据目录必须是已经添加到HBlock系统中，并且状态为Normal的数据目录。 否 portRange String 指定端口范围，用于相关服务。 取值：取值范围为[1, 65535]，port1 为端口范围最小值，port2 为端口范围最大值，且port1 超限将触发系统事件“内存不足（InsufficientMemory）”。 maxMemoryRatio和maxMemorySize同时设置时，取二者的最小值。 否 maxMemorySize Long 指定HBlock可使用的内存最大值。 取值：整数形式，取值范围[2147483648, 9223372036854775807]，单位是bytes。 说明 对于集群版，HBlock实际占用的内存与加入存储池的磁盘数量有关，可能会突破设置的比例上限，一旦超限将触发系统事件“内存不足（InsufficientMemory）”。 maxMemoryRatio和maxMemorySize同时设置时，取二者的最小值。 否 表1 请求参数targetPortalIP.ip说明 参数 类型 描述 是否必须 ip String iSCSI目标门户IP。 说明 ip和port必须同时存在，或者同时不存在。 否 port Integer iSCSI目标门户端口号。 说明 ip和port必须同时存在，或者同时不存在。 取值：[1, 65535]。 否

本章节主要介绍翼MapReduce服务的产品优势。 翼MapReduce（简称：“翼MR”）服务，历经集团和云公司的大规模集群和业务打磨，提供全年多级用户SLA保障。 翼MR具有如下优势： 高安全 翼MR服务拥有企业级的大数据多租户权限管理能力，拥有企业级的大数据安全管理特性；使用Kerberos和Ranger安全技术实现全组件的认证和授权；支持库、表、字段级数据权限管控。 优开源 基于Hadoop3.3.3等开源最新组件，保证版本性能的同时，优化了底层资源占用，对任务和引擎进行定制化管控。 高可靠 完成对开源组件100+次的代码及配置优化，实现高SLA；支持节点组采用反亲和技术，虚拟机分布在不同物理机上，以保证服务高可用。 易运维 翼MR提供可视化的大数据集群运维管理平台，全链路可视化操作降低运维门槛，助力实现90%日常运维场景便捷操作，提升运维效率。 低成本 翼MR集群基于多样化的云基础设施，提供了丰富的计算、存储设施的选择，可以用时再创建、用时再扩容，用完就销毁，确保成本最优。

本文介绍AOne边缘接入服务的服务概览页面。 整体概览 AOne边缘接入服务概览页，供您快速查看IP应用加速模块的整体情况，进行快速处理。 操作步骤 1. 登录 边缘安全加速平台控制台 。 2. 从平台服务总览页进入AOne边缘接入的控制台。 3. 在概览页面，提供数据概览、用量趋势、基础信息、套餐信息以及常见问题、文档资源等模块。 模块说明 数据概览 在数据概览模块，您可以查看所用到的总流量、带宽峰值、并发连接数峰值等指标。 点击查看详情即跳转至：IP应用加速用量模块。 用量趋势 在用量趋势模块，支持查看已接入域名的流量趋势、带宽趋势以及连接数趋势，默认统计今日的数据，支持统计昨日、近7日、本月、近30日、自定义时间范围的数据。 基础信息 在基础信息模块，可以查看当前不同加速区域（中国内地、全球（不含中国内地）、全球）使用的域名个数以及TCP/UDP端口数。

本节介绍了申请须知。 在购买DRDS实例之前，您需要先做一系列的准备操作，包括评估实例规格，确定VPC及可用区，申请账号等。 注册账号后，如果需要对资源进行精细管理，请使用IAM服务创建IAM用户及用户组，并授权为IAM用户分配具体的操作权限。 评估实例规格 为了使所申请的DRDS服务能更好地满足应用需求，您需要先评估应用所需的计算能力和存储能力，结合业务类型及服务规模，选择合适的实例规格，主要包括：CPU、内存。 确定虚拟私有云（VPC） VPC为网络访问提供了逻辑隔离。您可以在创建VPC时，定义安全组、VPN、子网等网络特性。通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。 DRDS实例必须与应用程序、RDS for MySQL实例处于相同的VPC，以保证网络连通。 建议DRDS实例与应用程序、RDS for MySQL实例选择相同的安全组，三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 确定可用区 建议将应用程序和数据库服务（DRDS、RDS）配置在相同可用区，减少网络时延。