您可以为已绑定标签的资源解绑标签,本文帮助您了解解绑标签的流程。 前提条件 实例资源已绑定标签。 操作步骤 解绑单个实例的标签 1. 登录“控制中心”，管理控制台顶部菜单左侧 ，选择地域。 2. 选择 “存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在文件系统列表中，点击待添加标签的文件系统所在行的“操作>更多>编辑标签”。 4. 弹出“编辑标签”窗口，点击标签键值后面的“删除”，可同时删除多个标签。 5. 单击弹窗下方“确定”，完成标签的解绑操作。 批量解绑多个实例的标签 1. 登录“控制中心”，管理控制台顶部菜单左侧 ，选择地域。 2. 选择 “存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在文件系统列表中，勾选需要批量绑定标签的文件系统实例，点击列表上方按钮“批量解绑标签”。 4. 在“批量绑定标签”弹窗中，找到想要为已选资源解绑的标签项，勾选左侧复选框。 5. 点击弹窗下方“确定”按钮，完成批量解绑操作。

本页介绍了文档数据库服务复制参数模板。 文档数据库服务产品支持对参数模板的复制 复制自定义参数组 步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击左侧“DDS”>“参数组管理”菜单，点击“自定义参数模板”页签，进入到自定义参数模板列表页。 3. 选中需要复制的参数模板，在“操作”列，点击“更多”>“复制”按钮。 4. 在“复制参数模板”弹窗中，输入新参数组名和描述，点击“确定”按钮，即可进行自定义参数模板的复制。 复制系统参数组 步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击左侧“DDS”>“参数组管理”菜单，点击“系统参数模板”页签，进入到系统参数模板列表页。 3. 选中需要复制的参数组，在“操作”列，点击“更多”>“复制至自定义”按钮。 4. 在“复制至自定义模板”弹窗中，输入新参数组名和描述，点击“确定”按钮，即可进行系统参数模板的复制。 说明 新参数组名称在1位到64位之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 描述不能超过256位，且不能包含回车和特殊字符 > ! < " & ' 。

操作步骤 1. 登录控制台。 2. 选择“ 镜像服务”。 进入镜像服务页面。 3. 单击右上角的“创建私有镜像”，进入创建私有镜像页面。 4. 根据界面要求填写如下信息： 包含“镜像类型和来源”和“配置信息”两个信息块，各参数说明参见表镜像类型和来源和表配置信息。 镜像类型和来源 参数 说明 :: 创建方式 选择“创建私有镜像”。 镜像类型 选择“系统盘镜像”。 选择镜像源 选择“云主机”，然后从列表中选择已完成相关配置的云主机。 配置信息 参数 说明 :: 名称 设置一个便于您识别的镜像名称。 标签 可选参数，为镜像设置标签键和标签值，便于识别和管理。 描述 可选参数，对镜像进行描述。 5. 阅读并勾选协议，单击“立即创建”。 6. 确认镜像参数，单击“提交申请”。 7. 返回私有镜像列表，查看镜像状态。 镜像创建时间取决于云主机系统盘大小，也与网络状态、并发任务数有关，请耐心等待。当镜像的状态为“正常”时，表示创建完成。 说明 在创建镜像过程中，请勿对所选择的云主机及其相关联资源进行其他操作。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到网络包乱序动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务平均响应时间指标。 2、业务应用验证： 观察应用，特别是那些对网络延时和顺序敏感的服务（如视频流、实时通信、大规模数据传输），是否出现性能下降、卡顿或功能异常。 检查应用日志，确认是否有因超时或数据完整性问题而产生的错误。

本页介绍了文档数据库服务白名单分组的添加。 文档数据库服务产品支持对可用实例进行白名单分组进行添加，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 点击选择“白名单管理”页，点击“添加白名单分组”按钮，填写分组名、IP类型、业务访问类型、允许访问IP名单等信息，点击“确定”按钮即可完成白名单分组添加。 说明 IPv4白名单支持IP段格式（如X.X.X.X/X）。 IPv6白名单支持IP段格式（xxxx:xxxx:xxxx:xxxx:xxxx:xxxx::/xx） 白名单组ip数量上限是60个。 设置为127.0.0.1表示禁止客户所有地址（含内网和公网地址）访问（默认）。 设置为0.0.0.0/0表示对访问的IP地址不作限制，不区分内外网。 业务访问类型当选择“内网访问”，则无法进行公网访问。 当使用公网访问实例，需要将公网IP添加至业务访问类型为“公网访问”的分组。

本章节介绍了如何修改分布式消息服务RocketMQ实例的Topic。 操作场景 Topic创建成功后，您可以根据业务需要修改以下参数：读队列个数、写队列个数、权限和添加关联代理。 操作步骤 1. 登录分布式消息服务RocketMQ控制台。 2. 单击RocketMQ实例的名称，进入实例详情页面。 3. 在左侧导航栏，单击“Topic管理”，进入“Topic管理”页面。 4. 选择以下任意一种方法修改Topic参数。 在待修改的Topic所在行，单击“编辑”，弹出“编辑Topic”页面。 单击待修改的Topic名称，进入Topic详情页面。在页面右上角，单击“编辑”，弹出“编辑Topic”页面。 5. 修改如表1所示配置信息。 表 Topic参数说明 参数 说明 权限 Topic的权限，包括发布+订阅、发布和订阅。 关联代理 修改读队列个数或写队列个数。 lic读数读队列个数：Top据可用的总队列数。 写队列个数：Topic写数据可用的总队列数。 如果创建Topic时未关联所有代理，单击“添加关联代理”，可以在其他代理上创建Topic，并设置读队列个数和写队列个数。 6. 修改完成后，单击“确定”。

本页介绍了文档数据库服务下载备份文件操作。 文档数据库服务产品支持对可用实例进行备份文件下载操作，步骤如下： 方式一： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 点击选择“备份恢复”页，在“操作”列点击“下载”按钮，复制生成的下载链接或者点击下载箭头，即可直接下载备份文件。 方式二： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“备份管理”，进入到“备份管理”菜单页。 3. 点击选择“数据库同区域备份”标签页，点击“备份记录”子页，可见所有备份记录。 4. 选中需要下载的备份记录，在“操作”列点击“下载”按钮，复制生成的下载链接或者点击下载箭头，即可直接下载备份文件。 注意 备份下载链接有效期为5分钟。 仅备份空间类型为“对象存储”的实例支持备份下载功能。 集群版实例备份下载内容为shard节点、config节点全量及增量备份内容。 单机版、副本集实例备份下载内容为实例节点全量备份内容。

本文主要介绍查看监控数据。 操作场景 云监控对Kafka实例的运行状态进行日常监控，可以通过控制台直观的查看Kafka实例各项监控指标。 前提条件 已创建Kafka实例，且实例中有可消费的消息。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 通过以下任意一种方法，查看监控数据。 在Kafka实例名称后，单击。跳转到云监控页面，查看实例、节点、队列和消费组的监控数据，数据更新周期为1分钟。 单击Kafka实例名称，进入实例详情页。在左侧导航栏单击“监控”，进入监控页面，查看实例、节点、队列和消费组的监控数据，数据更新周期为1分钟。

文档数据库服务DDS是兼容MongoDB协议的云数据库服务，DDS的大版本会选择社区未EOL并且有新的重大功能的版本作为候选版本进行兼容。DDS的版本号并不是与社区版本号一一对应。为了便于理解DDS与兼容社区版本之间的对应关系，DDS采用了与之兼容的社区版本号进行命名，详情请参见图1。 图1 DDS版本与社区版本的关系图 DDS 3.4和4.0版本分别以社区对应的版本为基线进行开发，相同的接口实现方案与社区一致。相比社区版本的DDS具有更高的安全性、更加丰富的操作维护功能，因此更能满足商业应用需求。 DDS 4.0版本在2018年10月16日之后，继续以社区4.0.3版本为基线，独立开发新特性并自主演进。 DDS 4.2以及后续高版本，是以社区4.0.3版本为基线，独立开发新特性并自主演进，同时将存储引擎切换为RocksDB，提供更好的体验。

修改内网域名 对于创建完成的实例，支持更改内网域名。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤 5 在“基本信息”页“节点信息”模块“操作”列，单击“更多 > 修改内网域名”。 您也可以在左侧导航栏，单击“连接管理”，在“内网连接”页面中，在“基本信息”模块下方“操作”列，单击“更多 > 修改内网域名”。 步骤 6 在“修改内网域名”弹出框中进行修改。单击“确定”，保存修改内容。内网域名修改完成后，大约5分钟生效。 说明 内网域名只允许修改前缀部分。 内网域名前缀部分长度为8~56个字符，包含字母或数字。 新的内网域名不可与当前已存在的有效域名重复。

一级分类 二级分类 功能点 功能点描述 核心功能 集群 一键快速部署 支持界面化订购，自动开通Kubernetes集群，兼容原生Kubernetes 核心功能 集群 节点管理 支持界面化进行扩缩容，支持节点标签、调度设置 核心功能 集群 命名空间 支持资源配额设置、支持网络隔离设置 核心功能 集群 运行时 支持Docker、Containerd 核心功能 工作负载 生命周期管理 支持应用创建、启停、扩缩容、注销等生命周期操作 核心功能 工作负载 工作负载 支持界面化发布有状态、无状态、守护进程、任务、定时任务等工作负载 核心功能 工作负载 多容器 支持一个Pod中发布多个容器，支持设置特权级容器 核心功能 工作负载 探针 支持界面化自定义策略检测应用的可用性 核心功能 工作负载 滚动升级 支持业务不中断平滑升级 核心功能 工作负载 亲和性/反亲和 支持主机及应用的亲和性与反亲和性调度 核心功能 工作负载 资源管控 支持容器级别的资源需求和限额设置，防止资源的浪费 核心功能 弹性调度 Pod弹性伸缩 支持自动伸缩规则设置，基于CPU/内存等资源自动伸缩应用，支持HPA、CronHPA和基于事件的弹性策略 核心功能 弹性调度 节点弹性伸缩 支持节点弹性伸缩 核心功能 弹性调度 负载感知调度 支持调度Pod时考虑节点的实际负载 核心功能 路由 多协议支持 支持TCP、UDP、HTTP以及HTTPS等协议 核心功能 路由 Service支持 支持NodePort、ClusterIP，LB等对外提供访问、支持无头服务 核心功能 路由 Ingress支持 支持Nginx Ingress 核心功能 路由 灰度/蓝绿发布 支持支持灰度/蓝绿发布，支持应用的多个版本在线运行 核心功能 配置管理 配置项 支持配置项 核心功能 配置管理 Secret 支持保密字典、凭证等 核心功能 网络 网络插件 支持高性能网络插件Calico 核心功能 网络 网络插件 支持自研网络插件CubeCNI实现容器与虚拟机网络直通 核心功能 网络 网络策略 支持容器访问策略和流控限制 核心功能 存储 多类型存储 支持Local、NFS、Ceph常见持久存储类；支持csi驱动程序，集成天翼云的云硬盘、弹性文件、对象存储等云存储 核心功能 存储 持久卷声明 支持界面化创建持久卷声明，支持监控存储使用量 核心功能 存储 持久卷 支持界面化创建持久卷，支持持久卷的动态生成 核心功能 日志管理 日志中心 支持容器日志的采集、存储和检索，支持集成三方开源日志解决方案 核心功能 监控与告警 监控中心 支持集群、节点、容器多级别的监控与告警配置，支持审计日志，支持集成三方开源监控解决方案 核心功能 系统管理 接入平台 作为平台组件对外提供服务，支持订单方式进行集群的开通、扩缩容、删除等 核心功能 系统管理 权限管理 多租户支持，租户资源隔离，用户角色授权，支持集群和命名空间的授权 高级功能 应用 插件市场 支持通过Chart对插件打包发布到插件市场，界面化一键部署监控等插件，通过插件与其他产品集成 高级功能 应用 模板市场 支持通过Chart对应用打包发布到模板市场，界面化安装部署等 高级功能 应用 有状态应用 支持挂载持久化存储，实现有状态应用容器化部署 高级功能 能力开放 OpenAPI 支持开放API，对接持续集成和私有部署系统 高级功能 高可用部署 Kubernetes高可用 支持Kubernetes高可用部署 容器镜像服务 镜像 镜像仓库 支持对接多镜像中心，支持界面化创建仓库 容器镜像服务 镜像 租户隔离 支持公开仓库的可见性及私有仓库的不可见性 容器镜像服务 镜像 镜像管理 支持管理海量镜像，支持多版本镜像 容器镜像服务 镜像 镜像收藏 支持快速检索镜像并收藏 容器安全 授权 权限管理 支持基于k8s RBAC授权 容器安全 配置安全 容器安全策略 支持SecurityContext配置

kubectl get deploy nginxNAME READY UPTODATE AVAILABLE AGE nginx 1/1 1 1 66s[root@cluster1] kubectl get podNAME READY STATUS RESTARTS AGE nginx6799fc88d8sqjj4 1/1 Running 0 2m12s 我们可以基于联邦控制面kubectl方式，执行以下命令来将其提升到联邦控制面管理： shell [root@master1] karmadactl promote deployment nginx n default c member1Resource "apps/v1, Resourcedeployments"(default/nginx) is promoted successfully 此时，再在联邦控制面中查询该工作负载，可看到已经可以查询到，说明已被联邦实例接管： shell [root@master1] kubectl get deployNAME READY UPTODATE AVAILABLE AGE nginx 1/1 1 1 7m25s 检查成员集群中对应nginx无状态工作负载，对应Pod并未重启： shell [root@cluster1] kubectl get podNAME READY STATUS RESTARTS AGE nginx6799fc88d8sqjj4 1/1 Running 0 15m 方式二：批量提升接管，源集群中工作负载Pod可能会重启； 对于希望批量提升到联邦控制面接管，以及对Pod重启无感知的的服务或资源，可考虑采用本方式，其执行效率相对更高。 在成员集群中已部署服务非常多或应用较复杂情况下，该方式更适合。可基于更大的粒度，来做资源的接管和提升，例如： 以资源为粒度，迁移某种类型的全部资源 以应用为粒度，迁移某个应用涉及的所有类型的资源 此时，就需要资源模板结合集群联邦的调度策略PropagationPolicy，来接管相应资源，可以按如下方式操作。 a.将所有资源的 YAML 配置应用到 集群联邦控制面, 作为集群联邦的 ResourceTemplate。此时，资源模板只会存在联邦控制面，并不会下发任何成员集群； b.编写 PropagationPolicy 调度策略, 并将其应用到集群联邦控制面。 您需要注意以下两个字段： spec.conflictResolution: Overwrite：该字段的值必须是 Overwrite。 spec.resourceSelectors：指定哪些资源需要被迁移。 如果你希望的是将所有Deployment资源提升到联邦控制面管理，则可以配置类似如下的调度策略： shell apiVersion: policy.karmada.io/v1alpha1kind: PropagationPolicymetadata: name: deploymentsppspec: conflictResolution: Overwrite placement: clusterAffinity: clusterNames: member1 priority: 0 resourceSelectors: apiVersion: apps/v1 kind: Deployment schedulerName: defaultscheduler 当前，除了YAML方式创建外，也支持基于前端页面的引导创建。可进入联邦控制台>策略管理>调度策略>创建调度策略页面进行配置； 在以上调度策略配置完成后，联邦实例将进行联邦资源模板与底层的同步与覆盖。一段时间后即可观测到相关工作负载已被联邦实例接管； 3. 基于集群联邦，将服务逐步迁移到目标集群中 已接管的工作负载，支持按需调整其调度策略及差异化策略，来实现工作负载多集群之间的灵活调度。此时，您可以在联邦控制面中编辑需要迁移工作负载的实例数或调度策略，使其复制分发到目标成员集群中去。 点击进入工作负载>无状态，选在对应的工作负载实例后，点击后侧“全量替换”操作按钮进行编辑： 在编辑页面中，直接跳过模板配置步骤，进入调度与差异化配置页面。通过设置调整集群调度策略，可将工作负载复制分发到目标集群，或按权重拆分部分副本到新集群。如下： 如上图配置，提交更新后，工作负载将在源集群和目标集群中1：1比例部署。 4. 服务验证及终端灰度切流 该步骤中，用户可基于应用实际架构及服务需求，在验证目标成员服务正常后，实施真实用户流量的逐步切流。 切流过程中，可配合通过调度策略逐步调整工作负载Pod副本在源集群与目标集群之间的分布，并最终全部迁移到天翼云上CCE集群，以实现完整的切流。

补充说明 预留模式下，只要实例未释放，系统都会为其分配资源以保证后台任务正常运行；因此都会进行计费 详细的实例模式，请参考 实例类型及使用模式 计费周期 函数计算平台以每小时为计费周期，每小时计算用户资源用量，推送至费用中心结算费用并生成账单，稍后自动从账户余额中扣除实际消费金额。 欠费说明 系统会在每个计费周期后的一段时间对按需计费资源进行扣费。当您的帐户欠费时，将无法使用函数计算。具体请参考欠费说明 退订说明 如果您不再需要使用函数计算服务，直接删除函数和应用即可释放/销毁函数实例，无需额外退订函数计算服务。

删除自动备份 自动备份策略关闭后，支持用户删除已保存的自动备份，从而释放相关存储空间。 自动备份策略开启后，对于过期的自动备份，系统会检测并删除，用户不可删除自动备份。 注意 备份删除后，不可恢复，请谨慎操作。 方式一 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“实例管理”页面，单击目标实例，进入实例的“基本信息”页面 在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“删除”。 在“删除备份”弹出框中，确认目标备份信息，单击“是”。 方式二 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“备份管理”页面，单击目标备份对应操作列中的“删除”。 在“删除备份”弹出框中，确认目标备份信息，单击“是”。

本文介绍容器安全卫士扩容规则及操作步骤。 扩容说明 扩容节点不支持独立购买，必须在购买主套餐的基础上进行叠加购买；扩容的节点与主套餐绑定，资源到期时间与主套餐一致，不支持单独退订或单独续订。 扩容步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“订单中心”，进入订单信息页面。 3. 单击“立即扩容”，进入扩容页面。 4. 选择扩容的防护节点数。到期时间为主套餐到期时间，扩容时不能更改。 5. 阅读《天翼云容器安全卫士服务协议》后，勾选“我已阅读理解并同意《天翼云容器安全卫士服务协议》”，单击“立即购买”。 6. 进入付款页面，完成付款。

本文对对等连接产品计费进行说明。 对等连接免费提供服务。

本章节向您介绍如何为虚拟私有云创建新的子网。 操作场景 子网是虚拟私有云内的IP地址集，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。 创建VPC的同时，您至少需要创建一个子网，当一个子网无法满足需求时，您可以参考以下操作为VPC创建新的子网。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在左侧导航栏，选择“虚拟私有云 > 子网”。 5. 单击“创建子网”，进入“创建子网”页面。 6. 根据界面提示配置参数。 7. 参数设置完成后，单击“立即创建”。返回子网列表，可以查看新创建的子网。 下表是子网参数说明表。 参数 说明 取值样例 区域 子网必须归属于某个VPC，请选择目标VPC所在的区域。 广州4 虚拟私有云 请选择待创建子网的VPC。 vpctest 子网名称 输入子网的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 subnet01 子网IPv4网段 设置子网的IPv4网段范围，子网是VPC内的IP地址块，可以将VPC的网段分成若干块。 10.0.0.0/24 子网IPv6网段 开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 关联路由表 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。创建VPC时会创建一个默认路由表，子网自动关联至默认路由表。默认路由表可以确保VPC内子网之间网络互通。 高级配置 网关 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 子网的网关，如果没有特殊需求，建议保持系统默认设置。 高级配置 DNS服务器地址 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 此处默认填写天翼云的DNS服务器地址，可实现云主机在VPC内直接通过内网域名互相访问。同时，还支持不经公网，直接通过内网DNS访问云上服务。 若您由于业务原因需要指定其他DNS服务器地址，您可以修改默认的DNS服务器地址。如果您删除默认的DNS服务器地址，可能会导致您无法访问云上其他服务，请谨慎操作。 您也可以通过“DNS服务器地址”右侧的“重置”将DNS服务器地址恢复为默认值。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 高级配置 域名 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 此处填写DNS域名后缀，支持填写多个域名，不同的域名之间以空格分隔，单个域名长度不超过63个字符，并且域名总长度不超过254个字符。 访问某个域名时，只需要输入域名前缀，子网内的云主机会自动匹配设置的域名后缀。 域名设置完成后，子网内新创建的云主机会自动同步该配置。 子网内的存量云主机，需要更新DHCP配置使域名生效，您可以重启云主机、重启DHCP Client服务或者重启网络服务。 test.com 高级配置 NTP服务器地址 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 如果您需要为当前子网新增NTP服务器地址，则需要填写该地址。此处填写的地址不会影响默认NTP服务器地址。 新增或修改原有子网的NTP服务器地址后，需要子网内的ECS重新获取一次DHCP租约，或者重启ECS，才能生效。 清空NTP服务器地址时，需要子网内的ECS重新获取一次DHCP租约，重启ECS无法生效。 192.168.2.1 高级配置 IPv4 DHCP租约时间 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以设置IPv4地址的DHCP租约时间。 DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限。超过租约时间，IP地址将被收回，需要重新分配。 期限租约：设置DHCP租约期限，单位为天或者小时。 无限租约：设置DHCP不过期。 DHCP租约时间修改后，对于子网内的实例（比如ECS）来说，当实例下一次续租时，新的租约时间将会生效。实例续租分为自动更新租约和手动更新租约两种，续租不会改变实例当前的IP地址。如果需要DHCP租约立即生效，请在实例中手动更新租约或者重启实例。 高级配置 标签 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以在创建子网的时候为子网绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 键：subnetkey1 值：subnet01 高级配置 描述 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以根据需要在文本框中输入对该子网的描述信息。描述信息内容不能超过255个字符，且不能包含“ ”。 约束与限制 子网创建成功后，有以下系统保留地址您不能使用。以子网网段是192.168.0.0/24为例，默认的系统保留地址如下： 192.168.0.0：网络标识符，私有IP地址范围的开始，不作分配。 192.168.0.1：子网的网关地址。 192.168.0.253：系统接口，用于VPC对外通信。 192.168.0.254：DHCP服务地址。 192.168.0.255：广播地址。 以上默认地址仅为示例，系统会根据您子网的实际参数设置，分配系统保留地址。

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

参数 描述 IP地址或域名 源数据库的IP地址或域名。说明对于RAC集群，建议使用SCAN IP接入，提高访问性能。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库服务名 数据库服务名（Service Name/SID），客户端可以通过其连接到Oracle，具体查询方法请参照界面提示。 PDB名称 PDB同步仅在Oracle12c及以后的版本支持，该功能为选填项，当需要迁移PDB中的表时开启。PDB功能开启后，只能迁移该PDB中的表，并且需要提供CDB的service name/sid及用户名和密码，不需要PDB的用户名和密码。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 如启用SSL安全连接，请在源库开启SSL，并确保相关配置正确后上传SSL证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。

在开通了专属云（计算独享型）基础上，再购买专属云Kafka，对产品各服务规格收取服务费。具体价格如下： 专属云Kafka中，队列实例各规格价格： 规格 标准资费(元/月) 100 MB/s 650 300 MB/s 1050 600 MB/s 2002.5 1200 MB/s 3635 对于专属云Kafka的存储部分，有2种可选。 1）选择公有云中云硬盘来承载存储，则此部分存储价格按公有云收费标准收取； 2）购买专属云（存储独享型）后，以专属存储承载Kafka存储，则收费服务费，价格如下： 专属存储部分服务费 存储类型 标准资费（元/GB/月） 高IO 0.3 超高IO 0.75

本节主要介绍修改迁移信息 数据迁移过程中，您可能修改了源数据库或者目标数据库的密码信息，导致数据迁移任务失败，此时您需要通过数据复制服务控制台更新为正确的信息，然后续传任务。 对于如下的迁移信息，您可以进行修改。 源库密码 目标库密码 说明 以上信息修改后，将实时生效，不会清空目标数据库的数据。 前提条件 已登录数据复制服务控制台。 操作步骤 步骤 1 在“实时迁移管理”界面，选中指定迁移任务，单击任务名称。 步骤 2 进入“基本信息”页签，在“迁移信息”模块下，单击“修改连接信息”。 步骤 3 在“修改连接信息”弹出框中对源库和目标库的密码进行更新，更新完成后，单击“确认”即可。

本小节介绍云解析的续费与退订。 续费 用户可以通过续费延长产品使用时限。 登录控制中心找到云解析产品列表，点击需要续费域名后的“续订”按钮，弹出续订页面。选择续订时间、续订版本，确认续订信息并完成支付。续订是在原订单到期时间点开始进行计算的。 退订 无特殊情况云解析不支持退订。 到期效果 产品到期后，配置的解析记录会失效。如果不继续使用本产品，建议提前做好解析调整以免影响业务访问。 变更配置 用户可以通过“变更”更换服务周期内域名。 登录控制中心找到云解析产品列表，点击需要修改域名后的“变更”按钮，弹出变更页面。输入变更后的新域名，确认变更信息。变更操作只修改域名，不更改服务周期。

本文介绍科研助手的欠费说明。 欠费原因 购买了按需计费的资源实例，账户余额不足以抵扣实例结算费用时，会造成欠费。 欠费停服说明 用户欠费后，边缘节点用于实例占用的计算资源将进入冻结状态。 进入冻结状态时，科研助手服务会自动停止，开发机、作业等占用的CPU、内存和GPU资源将会被释放。无法在平台新建计费实例，也无法启动已有实例。 如果在15天内充值补足欠款，实例将自动解冻。 欠费超过15天后，将视为您主动放弃该服务，计费实例将会被释放，具体时间以短信及邮件通知为准，资源释放后将不可恢复。 续费说明 请在欠费15天内，完成账号充值补足欠款，保证账号中的余额充足。

本节主要介绍OBS如何停止计费。 考虑到一键关停会导致您的业务受到影响，因此OBS暂未提供此功能。 在按需计费的模式下，如您确实不想再使用该服务，可以删除“桶”下所有“对象”，再删除“桶”，即可在下一个账期（OBS按量付费1小时出一次账单）不产生扣费信息。推荐您通过设置生命周期来自动批量删除对象。 在资源包计费的模式下，资源包仅用于抵扣且不支持退订。如您确实不想再使用该服务，需要先删除“桶”下所有“对象”，再删除“桶”，即可在下一个账期（OBS按量付费1小时出一次账单）不产生话单，待资源包到期后可以停止计费。

本章节主要介绍翼MR Manager的集群服务重新同步的操作。 操作场景 支持对同步失败的配置或配置状态不一致的进行重新同步。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务。 6. 单击“查看配置状态”按钮，出现配置同步状态弹框，如图所示： 7. 勾选需要操作主机前的复选框，单击“操作已选项 > 重新同步”，即可支持配置同步操作。如图所示：

本节主要介绍修改同步信息 数据同步过程中，您可能修改了源数据库或者目标数据库的密码信息，导致数据同步任务失败，此时您需要通过数据复制服务控制台更新为正确的信息，然后重试同步任务。 对于如下的同步信息，您可以进行修改。 源库密码 目标库密码 说明 以上信息修改后，将实时生效，不会清空目标数据库的数据。 前提条件 已登录数据复制服务控制台。 操作步骤 步骤 1 在“实时同步管理”界面，选中指定同步任务，单击任务名称。 步骤 2 进入“基本信息”页签，在“连接信息”模块下，单击“修改连接信息”。 步骤 3 在“修改连接信息”弹出框中对源库和目标库的密码进行更新，更新完成后，单击“确认”即可。

变更规格 软件开发生产线暂不支持规格变更，待服务版本升级后支持。

概述 OIDC全称为OpenID Connect，是一种基于OAuth 2.0协议的扩展。它允许客户端应用程序在获取访问令牌的同时也能获取关于最终用户身份的信息。OIDC的主要目的是为了进行用户身份验证，同时也可以传递用户属性。 OIDC协议中主要有四种角色 （1）资源所有者：这是指实际的用户，即系统中的真实个体，他们拥有访问受保护资源的权限。 （2）客户端：也被称为依赖方 (Relying Party)，是指希望访问资源的应用程序。客户端需要向认证服务器申请访问令牌和ID Token。 （3）认证服务器 (ID Provider)：负责处理用户的认证和授权请求。它会验证用户的身份，并在认证成功后发放访问令牌和ID Token给客户端。 （4）业务后端服务：存储受保护资源的服务器，这些资源只能通过有效的访问令牌访问。资源服务器会检查访问令牌的有效性，以决定是否允许客户端访问资源。 典型的OIDC工作流程通常如下： （1）客户端应用向认证服务器请求授权，提供其客户端ID和其他参数。 （2）请求被重定向到认证服务器并由用户进行登录。 （3）登录成功后，用户会被重定向回客户端应用，并附带一个授权码（Authorization Code）。 （4）客户端应用使用授权码向认证服务器请求访问令牌和ID Token。 （5）认证服务器返回访问令牌和ID Token给客户端应用。 （6）客户端应用可以使用访问令牌来访问受保护的资源，同时使用ID Token来进行用户身份验证。 OIDC广泛应用于单点登录（SSO）场景中，用户只需要在一个地方登录就可以访问多个不同的应用程序和服务。 在云原生网关中支持配置OIDC策略，云原生网关作为客户端实现OIDC认证，流程如下

本章节介绍如何配置追踪器。 操作场景 云审计服务管理控制台支持对已创建的数据类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置数据类事件追踪器。 前提条件 已开通云审计服务，且已创建一个数据类事件追踪器。 配置数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“配置”。 6. 在选择追踪对象页面，设置相关参数，参数详情见表 选择转储事件参数表，单击“下一步”。 7. 在配置转储页面可以修改该追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 8. 单击“下一步 > 配置”，完成配置数据类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 选择转储事件参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 默认为您创建数据类追踪器时设置的OBS桶名称，不可以修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

天翼云物理机服务器如何保证数据安全？ 天翼云物理机服务器具备物理机级的性能和隔离性，用户独占计算资源，并且无任何虚拟化开销。存储在高性能高可靠的服务器上的数据，自然也会很安全。 带有本地磁盘的物理机服务器，支持本地磁盘组RAID，磁盘数据冗余存储，提升容错能力，确保数据安全。 无本地磁盘的天翼云物理机服务器，支持从云硬盘启动（即系统盘为云硬盘，且称之为快速发放物理机服务器）。云服务器备份可以对物理机服务器提供备份保护，支持基于多块云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复服务器数据，最大限度保障用户数据的安全性和正确性，确保业务安全。

本节为您介绍云迁移服务资源创建操作。 1. 云迁移服务平台中内置资源创建，您可以根据迁移计划选择，选择创建资源。 前提条件： 已完成资源管理。 已完成迁移组创建。 已完成迁移计划。 操作步骤： 1.在左侧导航栏中选择资源规划，点击【资源创建】按钮，选择迁移计划，进入资源创建页面。