本节包含了通用计算增强型弹性云主机的实例特点。 通用计算增强型弹性云主机是CPU独享型实例，实例间无CPU资源争抢，性能强劲稳定，搭载全新网络加速引擎，以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更高的网络性能，满足不同场景需求。 在售：C6s、C6、C6nl、C7n、C7t、C7、C9 表 通用计算增强型实例特点 规格名称 计算 磁盘类型 网络 :::: 通用计算增强型C6s CPU/内存配比：1:2/1:4 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：850万PPS 最大内网带宽：30Gbps 通用计算增强型C6 CPU/内存配比：1:2/1:4 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：1000万PPS 最大内网带宽：40Gbps 通用计算增强型C3 CPU/内存配比：1:2/1:4 vCPU数量范围：260 处理器：英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：500万PPS 最大内网带宽：17Gbps 通用计算增强型C3s CPU/内存配比：1:2/1:4 vCPU数量范围：260 处理器：英特尔® 至强® 可扩展处理器 基频/睿频：2.2GHz/3.0GHz 高IO 超高IO 通用型SSD 极速型SSD 不支持IPv6 CPU独享、性能稳定 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：400万PPS 最大内网带宽：14.5Gbps 通用计算增强型C6nl CPU/内存配比：1:2/1:4 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.5GHz 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：800万PPS 最大内网带宽：40Gbps 通用计算增强型C7n CPU/内存配比：1:2/1:4 vCPU数量范围：296 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.4GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 全面配套eVS 5.0网络，所有实例均支持TrunkPort能力. 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：850万PPS 最大内网带宽：40Gbps 通用计算增强型C7t CPU/内存配比：1:2/1:4 vCPU数量范围：2128 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.8GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：3000万PPS 最大内网带宽：90Gbps 最大网络连接数：1000万 通用计算增强型C9 CPU/内存配比：1:2/1:4 vCPU数量范围：2128 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.8GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：1200万PPS 最大内网带宽：42Gbps 最大网络连接数：1000万 通用计算增强型C9 CPU/内存配比：1:2/1:4 vCPU数量范围：2192 基频/睿频：3.1GHz/3.6GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：4000万PPS 最大内网带宽：120Gbps 最大网络连接数：1000万 说明 对于Linux系统的弹性云主机，当v7代系以下规格的操作系统内核为5.16及以上版本时，不支持AVX指令，如需支持AVX指令，需使用低内核版本的操作系统，或变更为v7代系及以上版本的规格。 您可以通过 uname r 命令查看操作系统内核版本，也可以参考

操作场景 弹性裸金属可挂载云硬盘，在退订/删除弹性裸金属时可以提供不同的云盘处理手段。如果云盘开启了随实例释放，那么释放弹性裸金属时云盘会自动一起释放；如果未开启随实例释放，已挂载数据盘会先解除与弹性裸金属的绑定关系并保留。 和弹性裸金属同一个订单购买的云盘（创建弹性裸金属时挂载的系统盘、数据盘），默认随实例释放，不可修改设置。 和弹性裸金属不同订单购买的云盘（弹性裸金属创建后才挂载的数据盘），默认不随实例释放，按需云盘可修改为随实例释放。 约束与限制 该功能适用于所有可挂载云硬盘的弹性裸金属； 共享盘默认不支持随实例释放； 同一台弹性裸金属可挂载多块云盘，不同云盘随实例释放的设置可不相同； 从弹性裸金属卸载云盘后，为云盘设置的是否随实例释放属性就会失效； 关闭随实例释放时，以下情况也可能导致云盘保留失败： 用户未开启按需权限 用户未完成实名认证 用户的账号余额小于100元 保留下来的云盘正常计费，会产生账单，用户可以在费用中心查看对应消费详情。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 物理机服务”，进入物理机服务的控制台。 4. 点击指定弹性裸金属的名称，系统跳转至该弹性裸金属详情页面，点击“云硬盘”标签页即可查看当前弹性裸金属已挂载的云硬盘。 5. 点击云硬盘列表操作栏“释放设置”，按照弹窗提示即可设置是否随实例释放。

本节主要介绍弹性文件服务的应用场景。 SFS容量型文件系统为用户提供一个完全托管的共享文件存储，能够弹性伸缩至PB规模，具备高可用性和持久性，为海量数据、高带宽型应用提供有力支持。适用于多种应用场景，包括HPC、媒体处理、文件共享、内容管理和Web服务等。 SFS Turbo文件系统为用户提供一个完全托管的共享文件存储，能够弹性伸缩至320TB规模，具备高可用性和持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。适用于高性能网站、日志存储、压缩解压、DevOps、企业办公、容器应用等场景。为多个业务节点提供共享的日志输出目录，方便分布式应用的日志收集和管理。

本章介绍函数工作流如何给不同的用户做权限隔离。 如果您需要对FunctionGraph的函数资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制公有云资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有FunctionGraph的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用FunctionGraph，但是不允许删除的权限策略，控制他们对FunctionGraph资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用FunctionGraph服务的其它功能。 FunctionGraph权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 FunctionGraph资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在各区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问FunctionGraph时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了FunctionGraph的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 FunctionGraph FullAccess 函数工作流服务所有权限 系统策略 无 FunctionGraph ReadOnlyAccess 函数工作流服务只读权限 系统策略 无 FunctionGraph CommonOperations 函数工作流（FunctionGraph）调用者，具有查询函数和触发器，以及调用函数的权限 系统策略 无 说明 当添加了FunctionGraph FullAccess权限的子帐号在创建触发器或使用其他功能时仍没有操作权限，是因为该服务或功能不支持细粒度鉴权，因此需要您单独添加对应服务或功能的Admin权限。具体详情如下： APIG、当前不支持细粒度鉴权，需要添加对应admin权限。 更多触发器及相关功能需要的权限，请参见下表所示。 表 触发器及相关功能的权限 触发器/服务功能 权限 APIG专享版 apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate DDS dds:instance:get dds:instance:list DMS/Kafka dms:instance:get dms:instance:list LTS lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get 下表列出了FunctionGraph常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 FunctionGraph ReadOnlyAccess FunctionGraph CommonOperations FunctionGraph FullAccess 创建函数 × × √ 查询函数 √ √ √ 修改函数 × × √ 删除函数 × × √ 调用函数 × √ √ 查看函数日志 √ √ √ 查看函数指标数据 √ √ √

接口描述 删除数据库账号。调用该接口时，实例状态需要为运行中，否则将操作失败。 请求方法 POST URI /v1/instuser/drop 请求参数 名称 位置 类型 必选 说明 prodInstId body Long 是 实例id username body String 是 用户账号 force body Boolean 否 是否强制删除，默认为false。 当用户存在某对象的权限或者其他依赖关系时，删除账号会失败； 此参数为true时，账号拥有的对象以及拥有写权限的对象（包括table，schema等） 均会被强制删除，请谨慎用此选项 响应参数 名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 返回结果 示例 请求示例 /v1/instuser/drop { "force": true, "prodInstId": "165776586159600008", "username": "test1" } 响应示例 { "message": "SUCCESS", "returnObj": {}, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

本文将为您介绍天翼云短信服务的产品功能特性，方便您快速了解短信服务。 天翼云短信服务的功能有短信通知、短信验证码、异步通知、数据统计，群发助手。 短信通知 99%到达率，电信级运维保障，实时监控自动切换。大容量高并发，智能调度。 短信验证码 3秒可达，三网合一专属通道，与工信部携号转网平台实时互联。变量灵活，支持带入变量，内容灵活，适用于各业务场景。 异步通知 可在后端服务处理完成任务时，回调通知用户。进而减少用户、Web前端和后端服务之间大量不必要的轮询请求。 数据统计 可查看请求量、发送成功量、失败量等统计数据；通过日期、手机号等维度查看发送详情。 群发助手 SaaS工具，支持在短信控制台中发送所有模板消息，以可视化的方式提供短信发送服务，适合初次接触短信服务的新手，非研发类人员使用。

同一天翼云账号已商用，后期是否拥有试用权限？ 没有试用权限。商用订单一旦开始，该天翼云账号不再享有试用权限。 解决方案选择： 如果您需要继续测试产品或服务，但不希望立即进行商用订单，您可以考虑与我们的销售团队或客户经理合作，探讨其他解决方案。 业务影响： 试用权限的取消可能对您的业务测试和决策过程产生一定的影响。因此，在进行商用订单之前，请确保您已经完成了充分的评估和试用，以避免可能的问题。 注意 在进行商用订单之前，请确保您已充分评估和测试所需的产品，以避免购买后后悔或发现与业务需求不匹配的情况。商用订单一旦生效，将被视为最终的购买决策。 受理单一直处于开通状态，可以正常使用云下一代防火墙？ 开通状态仅表示订单目前的处理状态，并不影响客户正常使用云下一代防火墙安全产品。 开通状态：开通状态是指您的受理单正在处理中，可能涉及到云下一代防火墙的部署、授权导入以及其他相关的操作。这是一个中间状态，与您正常使用产品的权限没有直接关系。 使用云下一代防火墙： 客户在受理单处于开通状态时，仍然可以正常使用云下一代防火墙安全产品。在完成相应的部署、授权导入以及业务割接等操作后，产品将会被正确配置并生效。 业务割接： 如果您的订单涉及到业务割接，可能需要特别注意相关操作，以确保在切换过程中不影响到您的正常业务运行。我们建议在割接前仔细计划，并可能在非业务高峰期执行。 注意 在使用过程中，如果您遇到任何技术或操作方面的问题，请随时联系我们的技术支持团队。我们将全力支持您解决任何可能影响您正常使用的问题。

步骤二：激活智能网关（vCPE） 激活设备前，需要先完成设备部署：用智能网关（vCPE）镜像启动天翼云和友商云的云主机实例。在智能网关详情页，“基本信息”页签下获取SN号，将智能网关（vCPE）的SN号写入到镜像中，用于实例和智能网关（vCPE）的绑定。 完成部署后，登录天翼云控制台，进行激活： 1. 登录天翼云SDWAN控制台。 2. 选择“智能网关”，单击目标智能网关实例“操作”列的“更多激活”。激活前，请确保vCPE状态为“在线”。 3. 根据页面提示，选择设备接入方式，并配置网络。 4. 单击“确定”，开始激活操作。 5. 激活成功后，业务状态变为“已激活”。 步骤三：绑定天翼云SDWAN实例 完成以下操作，通过将智能网关实例加载到SDWAN网络中，实现组网。 1. 登录天翼云SDWAN控制台。 2. 选择“智能网关”，单击目标智能网关实例“操作”列的“所属云服务”。 3. 根据页面提示，选择要加入的天翼云SDWAN实例。 4. 单击“确定”，完成智能网关绑定天翼云SDWAN实例。 步骤四：设置设备互联 完成以下操作，实现总部分支互联。 1. 登录天翼云SDWAN控制台。 2. 选择“天翼云SDWAN”，单击目标SDWAN实例名称。 3. 进入“设备互联”页签，单击“添加设备互联”按钮。 4. 根据页面提示，选择要建立互联关系的两个智能网关实例。 5. 单击“确定”，完成在两个vCPE智能网关之间建联。

本章节介绍云原生网关的计费项、计费方式和计费规则。本产品计费不包含负载均衡和容器服务等IaaS层资源的费用。 计费项 MSE云原生网关的计费项包含MSE托管的网关实例费用和数据盘费用，其中数据盘费用单独计算。 计费方式 目前云原生网关提供包年包月和按需付费两种付费模式。 按需付费：按需付费是后付费模式，您只需按实际情况进行使用，然后按照使用账单付费即可。 为避免造成您的损失，如果您不想再使用此产品，则需要您在应用管理页面内删除应用，系统才会正式停止计费。 包年包月：包年包月是预付费模式，按照包年包月的方式进行付费购买。 只要您实际接入的实例数不超过您购买的实例数，不会造成额外的费用。 包年包月的模式下，您需要在到期前进行续费或选择自动续费的方式，确保产品持续可用。 计费规则 实例计费规则 云原生网关实例计费规则如下： 版本类型 主机类型 CPU(核） 内存（GB） 按需（元/节点/小时） 包月（元/节点/月） 云原生网关基础版 X86通用型 2 4 0.84 422 云原生网关基础版 X86通用型 4 8 1.68 844 云原生网关基础版 X86通用型 8 16 3.35 1688 云原生网关基础版 X86通用型 16 32 6.7 3376 云原生网关集群版 X86通用型 2 4 0.84 422 云原生网关集群版 X86通用型 4 8 1.68 844 云原生网关集群版 X86通用型 8 16 3.35 1688 云原生网关集群版 X86通用型 16 32 6.7 3376 云原生网关集群版(鲲鹏系列主机) ARM鲲鹏 2 4 1.764 886.2 云原生网关集群版(鲲鹏系列主机) ARM鲲鹏 4 8 3.528 1772.4 云原生网关集群版(鲲鹏系列主机) ARM鲲鹏 8 16 7.035 3544.8 云原生网关集群版(鲲鹏系列主机) ARM鲲鹏 16 32 14.07 7089.6 云原生网关集群版(飞腾系列主机) ARM飞腾 2 4 1.176 590.8 云原生网关集群版(飞腾系列主机) ARM飞腾 4 8 2.352 1181.6 云原生网关集群版(飞腾系列主机) ARM飞腾 8 16 4.69 2363.2 云原生网关集群版(飞腾系列主机) ARM飞腾 16 32 9.38 4726.4 云原生网关集群版(海光系列主机) X86海光 2 4 1.26 633 云原生网关集群版(海光系列主机) X86海光 4 8 2.52 1266 云原生网关集群版(海光系列主机) X86海光 8 16 5.025 2532 云原生网关集群版(海光系列主机) X86海光 16 32 10.05 5064 以订购云原生网关集群版2C4G为例，若订购3节点，则价格为：42231266元/月。

任务实例 基于任务模板创建的执行业务逻辑的具体实例，SAE单个任务中的单个实例是调度的最小单位。 任务模板 可以自动创建具体任务的模板。 可以对任务模板进行创建、修改、复制、停止和删除等操作。任务模板中可以对任务执行时间、实例规格、并发数等配置项进行配置。任务模板和任务的关系，类似面向对象程序设计中的类和对象的关系，任务模板是静态的概念，任务是动态的概念，可以根据单个任务模板批量创建多个任务。 任务记录 任务执行的记录。 可以查看和删除创建过的任务的执行记录，并支持通过状态筛选，状态分为：未执行、执行成功、执行失败、执行中。任务记录列表可以查看任务ID、执行状态、创建时间、完成时间、正在运行的实例数、成功运行的实例数和运行失败的实例数。 启动命令 设置容器启动和运行时所需要的命令。 启动容器就是启动主进程。在制作镜像时请在 Dockerfile 文件中设置 ENTRYPOINT 或 CMD。例如在 Dockerfile 中设置了 ENTRYPOINT ["top", "b"]，则在容器启动时执行该命令。 容器 镜像运行时的实体。 可以对容器进行创建、启动、停止、删除和暂停等操作。镜像和容器的关系，类似面向对象程序设计中的类和实例的关系，镜像是静态的概念，而容器是动态的概念。实例与容器是一对一的关系。 容器镜像 容器镜像是一种容器化标准交付件，用于打包应用程序及其依赖的环境。可以基于 Dockerfile 文件将应用构建为容器镜像并上传到容器镜像仓库中，然后您可以在测试或者生产环境中拉取容器镜像并启动容器。

计算加速型GPU云主机在深度学习、科学计算、高性能并行运算等场景中,需搭配适配的NVIDIA Tesla驱动、CUDA工具包与cuDNN加速库版本,才能充分发挥GPU算力性能。本文为您介绍上述组件的版本选择方法。 推荐稳定版本组合 下表为天翼云实测验证的各主流操作系统对应的NVIDIA Tesla驱动、CUDA与cuDNN稳定兼容版本，覆盖CTyunOS、主流CentOS、Ubuntu系列，无定制化需求的用户可直接按操作系统匹配使用，无需额外调整。 操作系统 内核版本 推荐CUDA版本 推荐驱动版本 推荐cuDNN版本 CTyunOS 2.0.1 4.19.90系列 12.8.1 570.133.20 9.8.0.87 CTyunOS 22.06 4.19.90系列 12.8.1 570.133.20 9.8.0.87 CTyunOS 23.01 5.10.0系列 12.8.1 570.133.20 9.8.0.87 CentOS 7.X 3.10.0系列 12.4.1 550.90.07 9.2.0.82 CentOS 8.X 4.18.0系列 12.8.1 570.133.20 9.8.0.87 CentOS 9.X 5.14.0系列 12.8.1 570.133.20 9.8.0.87 Ubuntu 18.04 4.15.0系列 12.4.1 550.90.07 9.2.0.82 Ubuntu 20.04 5.4.0系列 12.8.1 570.133.20 9.8.0.87 Ubuntu 22.04 5.15.0系列 12.8.1 570.133.20 9.8.0.87 Ubuntu 24.04 6.8.0系列 12.8.1 570.133.20 9.8.0.87 Kylin V10 4.19.90系列 12.8.1 570.133.20 9.8.0.87

本节介绍了主备复制时延瞬间飚高回落的相关内容。 场景描述 只读实例的CES监控上，出现只读复制时延会在某个瞬间升高并回落，如下图： 原因分析 此类问题与复制时延（SecondsBehindMaster）的计算方式相关，关于复制时延的计算方式，详见MySQL主备复制原理简介。 出现复制时延尖峰是因为：只读节点IO线程刚好接收到了一个新的Binlog文件，而其SQL线程还没开始回放新的Binlog。导致计算复制时延的lastmastertimestamp值还停留在上一个Binlog事务在主机的执行时间，与当前只读节点系统时间time(0)存在时间差，从而出现复制时延尖峰。当SQL线程开始解析新的Binlog时，复制时延立刻回落。 此类问题为偶现现象，不影响实际业务。 下载复制时延飚高回落时间段的Binlog，会发现如下现象： 新的Binlog的第一个事务执行时间与上一个Binlog最后一个事务的结束时间刚好与突增回落的时间差匹配。 解决方案 无需解决。该场景为RDS for MySQL主备复制机制中的正常行为，为偶现现象。

经验赋能，全程无忧 依托丰富的重大保障服务实践案例，深度剖析客户业务特性与保障需求，运用专业分析模型与行业经验沉淀，为客户量身定制精准化保障方案。通过对服务案例的多维数据挖掘与风险研判，提前规避潜在风险点，有效降低客户在保障策略制定与实施过程中的试错成本，助力客户实现高效、稳健的业务运营。 经济效益 一方面，客户无需组建专属保障团队，可有效规避人员招聘、培训及管理等人力成本支出。另一方面，产品依托服务方成熟的技术体系与风险管控机制，在业务敏感时期，能够精准识别并快速处置潜在风险，降低因系统故障、网络攻击等因素引发的业务中断风险，从而显著减少由此带来的直接与间接经济损失，实现降本增效与风险防控的双重目标。

本章节主要向您介绍企业路由器的权限管理相关内容。 如果您需要对云服务平台上的ER资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ER的使用权限，但是不希望他们拥有删除ER等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ER，但是不允许删除ER的权限，控制他们对ER资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ER服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 ER权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ER部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ER时，需要先切换至授权区域。 下表介绍了ER的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 ER FullAccess 企业路由器的管理员权限，拥有该权限的用户可以操作并使用所有企业路由器。 系统策略 无 ER ReadOnlyAccess 企业路由器只读权限，拥有该权限的用户仅能查看企业路由器数据。 系统策略 无 下表介绍了ER常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 Tenant Administrator Tenant Guest ER FullAccess ER ReadOnlyAccess 创建企业路由器 √ × √ × 修改企业路由器配置 √ × √ × 查看企业路由器 √ √ √ √ 删除企业路由器 √ × √ × 在企业路由器中添加“虚拟私有云（VPC）”连接 √ × √ × 删除“虚拟私有云（VPC）”连接 √ × √ × 查看连接（所有类型） √ √ √ √ 创建路由表 √ × √ × 修改路由表名称 √ × √ × 查看路由表 √ √ √ √ 删除路由表 √ × √ × 创建关联将连接关联至路由表中 √ × √ × 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ × √ × 在路由表中创建连接的传播 √ × √ × 查看路由表中连接的传播 √ √ √ √ 删除路由表中连接的传播 √ × √ × 创建静态路由 √ × √ × 修改静态路由 √ × √ × 查看路由 √ √ √ √ 删除静态路由 √ × √ × 创建流日志 √ × √ × 查看流日志 √ √ √ √ 关闭流日志 √ × √ × 开启流日志 √ × √ × 删除流日志 √ × √ × 添加资源的标签 √ × √ × 修改资源的标签 √ × √ × 查看资源的标签 √ √ √ √ 删除资源的标签 √ × √ ×

介绍如何修改实例安全组。 操作场景 RDSPostgreSQL支持修改实例的安全组，从而变更实例的流量进出规则，适配客户的需求变化。 操作步骤 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在实例详情页中，点击在“网络”>“安全组”中的编辑按钮，即可进行安全组的修改。 7. 在弹出框中选择需要变更的安全组，点击确定提交变更任务，点击取消不进行变更。 注意 用户可以变更实例安全组，但不能解绑安全组，也就是实例必须要和一个安全组绑定。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本文介绍了实例监控/仪表盘功能。 功能说明 RDSPostgreSQL产品提供了实例监控页面，用户可以快速查看当前账号下所有实例的部分关键指标以及历史监控数据。 实例监控查看方式 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例监控】，点击进入产品实例监控页。 5. 点击对应节点图表列中的按钮，可以查看各个节点的历史详细监控信息。并可通过页面右上角搜索框，输入实例名称准确筛选出您需要查看的实例。 Ⅱ类资源池实例实例监控界面如下：您可查看实例连接状态、角色、CPU使用率、内存使用率、磁盘容量、磁盘读写速率、磁盘util、延迟、连接数、tps/qps等核心指标。 ![789166381815402496[1].png]( Ⅰ类资源池实例仪表盘：您可查看实例节点信息、连接状态、连接数、CPU使用率、磁盘使用率、磁盘读写速率、延迟等核心指标。 ![736569923882938368[1].png](

Ⅱ类资源池操作步骤 1. 登录天翼云门户。 2. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 3. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 4. 在【实例管理】的实例列表中选择需要磁盘扩容的实例，点击"操作"列的"更多"选项。 5. 在"更多"选项中点击选择"磁盘扩容"，跳转到"磁盘容量扩容"页面。 6. 在"磁盘容量扩容"界面，您只需要选择当前实例需要扩容到的"磁盘容量"。确认最新实例磁盘容量大小无误后，点击"提交"。 7. 跳转到"订单支付详情"界面，请您确认订单信息无误后，点击"立即支付"。 8. 订单支付完成后，系统开始执行磁盘扩容操作，您可以在控制台的"实例列表"中查看"状态"为"扩缩容中"。当实例磁盘扩容完成后刷新页面，"状态"显示"运行中"，点击对应的"实例名称/实例ID"，在"实例详情"页面的"产品规格"中，查看"产品规格数据存储大小"，确认扩容是否成功。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

Ⅱ类资源池操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中，选择需要规格扩容的实例，点击"操作"列的"更多"选项。 6. 在"更多"选项中点击选择"规格变更"，跳转到"规格变更"页面。 7. 在"规格变更"界面，您只需要选择当前实例需要变更到的"规格代码"。确认最新实例CPU/内存规格，点击"提交"。 8. 跳转到"订单支付详情"界面，请您确认订单信息无误后，点击"立即支付"。 9. 订单支付完成后，系统开始执行规格变更操作，您可以在控制台的"实例列表"中查看"状态"为"扩缩容中"。当实例规格变更完成后刷新页面，"状态"显示"运行中"，点击"实例名称/实例ID"，在"实例详情"页面的"产品规格"中，查看"规格名称"，确认变更是否成功。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

li1979812511478 " ")。 端口映射 终端节点服务与终端节点建立连接关系，进行通信，协议可选择TCP。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明 通过“终端端口→ 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。 可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器：作为服务器使用。 此处选择“弹性负载均衡”。 说明： 安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的“添加安全组规则”。 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。 说明 弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。 5. 单击“立即创建”。 6. 返回终端节点服务列表可查看创建的终端节点服务。

管理下级租户资源 （1）登录主账号：使用主账号登录云电脑管理平台； （2）进入“资源总览”菜单：找到“资源总览”菜单并点击进入，进行下级租户资源管理。 4. 解除下级管理员关系 （1）登录主账号：使用主账号登录AI云电脑管理平台； （2）解除下级管理：点击删除按钮。 注意事项 1. 在“子账号管理”菜单中创建的子账号，默认为协同管理员； 2. 上级管理员、下级管理员、协同管理员之间的限制如下： 说明：箭头方向为管理方向 1. A是B、C的上级管理员，具有管理B、C的所有权限； 2. A和I是C的上级管理员，即同一个租户可以有多个上级管理员； 3. A是H的协同管理员，可以管理到H的资源； 4. F是A的协同管理员，F只能管理到A，无法管理到A的子管理员； 5. C是G的协同管理员，则C可以管理到G的资源，A可管理到G的资源。 6. 多级限制： （1）若B已经是D、E的上级管理员，则A不能添加B为下级管理员； （2）若B已经是A的下级管理员，则B不能再添加D、E作为下级管理员。

本页介绍RDSPostgreSQL如何删除手动备份。 操作场景 RDSPostgreSQL支持对存在的实例删除手动备份，用户可以通过删除手动备份，将多余的手动备份删除，节省磁盘资源。 注意 手动备份删除后，不可恢复，请谨慎操作。 操作步骤 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击指定的实例，进入单个实例管理详情页。 6. 在详情页中点击备份恢复页签，进入备份恢复功能页，点击目标备份记录后的【删除】按钮。 7. 在弹出的页面中，点击确定进行删除，点击取消，则不进行删除。 注意 如下备份不可被删除： 自动备份。 恢复中的备份。 复制中的备份。 不同资源池因IaaS资源能力等原因，加载版本有所差异，操作步骤有细微差异，请以实际界面为准，功能加载情况详见

本文介绍了如何查看RDSPostgreSQL实例SSL链路加密。 操作场景 客户从内外网连接实例时使用SSL链路加密通信，防止实例数据被泄露。 前提条件 当前实例状态为运行中。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在实例详情页，选择SSL设置栏中，点击最右侧的开启按钮，选择云端证书或自定义证书开启SSL。 7. 开启成功后，可在实例详情页查看SSL开启状态，以及其证书有效期。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

本页介绍天翼云TeleDB数据库中强制访问控制。 强制访问是基于自定义的安全策略最终通过标签实现对用户和表的行级安全加密。安全策略(Policy)是等级(Level)和隔离区(Compartment)，组(Group)和标签(Label)的集合，最终通过绑定标签实现行级安全。其实现原理是将表和用户绑定到标签上，再由标签关联等级(必选)，隔离区(可选)和安全组(可选)，形成了一个多级的行级安全加密体系。 安全策略(Policy)：是指创建等级(Level)，隔离区(Compartment)，组(Group)和标签(Label)必须指定所属的安全策略。 等级(Level)：提供第二等级的安全控制，标签必须指定等级。 隔离区(Compartment)：提供第二等级的安全控制，可选。 组(Group)：提供第三等级的安全控制，一种树状的结构，可选。 标签(Label)：最终通过标签绑定体现行级安全。仅当用户被赋予的标签比此行标签有相同或更高等时，该行才可以被用户存取。 注意 分号(:)和逗号(,)保留用于多级安全体系的表达，安全策略中组件的名字不要使用。 在Teledb中，创建安全策略需要通过teledbxmls插件，需要创建插件 SQL CREATE EXTENSION teledbxmls; 安全策略 通过MLSCLSCREATEPOLICY()函数创建安全策略 SQL SELECT MLSCLSCREATEPOLICY(policyname, policyid) 参数描述： policyname(策略名称): 要创建的策略的名称，大小写敏感，不可以空。 policyid(策略ID): 用于标识策略的唯一ID，取值范围[1, 100]。 安全等级(Level) 通过函数MLSCLSCREATELEVEL()函数创建安全等级。 SQL SELECT MLSCLSCREATELEVEL(policyname, levelid, shortname, longname) 参数描述： policyname（策略名称）: 指定要添加安全级别的策略名称，不可以为空。 levelid（级别ID）: 用于标识安全级别的唯一ID，取值范围[0, 32767]。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 longname（完整名称）: 安全级别的描述。 通过MLSCLSALTERLEVELDESCRIPTION()函数修改等级的标签描述。 SQL SELECT MLSCLSALTERLEVELDESCRIPTION(policyname, levelid, longname) 安全隔离区(Compartment) 通过MLSCLSCREATECOMPARTMENT()函数创建安全隔离区(Compartment)。 SQL SELECT MLSCLSCREATECOMPARTMENT(policyname, compartmentid, shortname, longname) 参数 描述 ： policyname（策略名称）: 指定要添加安全隔离区的策略名称。 compartmentid（隔离区ID）: 用于标识安全隔离区的唯一ID，取值范围[0, 32767]。 shortname（简称）: 安全隔离区的简称。 longname（完整名称）: 安全隔离区的完整名称。 安全组(Group) 通过MLSCLSCREATEGROUPROOT()函数创建新的安全组根节点（Group Root） SQL SELECT MLSCLSCREATEGROUPROOT(policyname, rootid, shortname, longname) 参数描述： policyname（策略名称）: 指定要创建安全组根节点的策略名称。 rootid（根节点ID）: 用于标识安全组根节点的唯一ID。 shortname（简称）: 安全组根节点的简称。 longname（完整名称）: 安全组根节点的完整名称。 通过MLSCLSCREATEGROUPNODE()函数在数据库中创建新的安全组子节点（Group Node）并将其设置为指定父节点的子节点。 SQL SELECT MLSCLSCREATEGROUPNODE(policyname, childid, shortname, longname, parentshortz) 参数描述： policyname（策略名称）: 指定要创建安全组子节点的策略名称。 childid（子节点ID）: 用于标识安全组子节点的唯一ID。 shortname（简称）: 安全组子节点的简称。 longname（完整名称）: 安全组子节点的完整名称。 parentshortname（父节点简称）: 安全组子节点所属的父节点的简称。 标签(LABEL) 通过MLSCLSCREATELABEL()函数创建或替换MLS 策略的标签（label），并将其存储到数据库中。 SQL SELECT MLSCLSCREATELABEL(policyname, labelid, labelstr) 参数描述： policyname（策略名称）: 指定要添加标签的策略名称。 labelid（标签ID）: 用于标识标签的唯一ID，取值范围[0, 32767]。 labelstr（标签名）: 标签，不可为空，长度不超过256。由 ，其compartmentids和groupids由1到N个ID构成，ID间用,分割。有效的表达形式如下： levelid:compartmentid1,compartmentid2,...compartmentidN:groupid1,groupid2,...groupidN levelid:compartmentid:groupid levelid:compartmentid: levelid::groupid levelid:: 表标签绑定 通过MLSCLSCREATETABLELABEL()函数将指定标签绑定到指定的表(Table)，并将相关数据存储到pgclstable系统表。 SQL SELECT MLSCLSCREATETABLELABEL(policyname labelid, schemaname, tablename) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 labelid（标签ID）: 要应用于表的标签ID，取值范围[0, 32767]。 schemaname（模式名称）: 表所在的模式名。 tablename（表格名称）: 要应用标签的表名。 通过MLSCLSDROPTABLELABEL()函数删除绑定到表上的标签并更新pgclstable系统表数据。 SQL MLSCLSDROPTABLELABEL(policyname, schemaname, tablename) 用户标签绑定/删除 通过MLSCLSCREATEUSERLABEL()函数为指定的用户创建一个带有默认标签的用户账户，并将其存储到 pgclsuser 表中。 SQL SELECT MLSCLSCREATEUSERLABEL(policyname, username name, defreadlabel, defwritelabel, defrowlabel) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 username（用户名）: 要创建标签的用户账户名称。 defreadlabel（默认读标签）: 为用户定义的默认读标签ID。 defwritelabel（默认写标签）: 为用户定义的默认写标签ID。 defrowlabel（默认行标签）: 为用户定义的默认行标签ID。 通过MLSCLSDROPUSERLABEL()函数为指定用户删除标签，并将pgclsuser 表中指定用户的标签删除，且断开指定用户当前所有的数据库连接。 SQL SELECT MLSCLSDROPUSERLABEL(username) 参数描述： username（用户名）: 要删除指定用户标签的用户账户名称。 示例： 初始化环境 SQL c mlsadmin 创建安全策略 select MLSCLSCREATEPOLICY('rlspolicy', 66); 创建安全等级 select MLSCLSCREATELEVEL('rlspolicy', 10, 'defaultlevel', 'default Level'); select MLSCLSCREATELEVEL('rlspolicy', 10, 'userlevel', 'user Level'); select MLSCLSCREATELEVEL('rlspolicy', 9, 'badlevel', 'bad Level'); select MLSCLSCREATELEVEL('rlspolicy', 100, 'goodlevel', 'good Level'); 创建隔离区 select MLSCLSCREATECOMPARTMENT('rlspolicy', 30, 'rlscom0', 'RLS compartment 0'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 31, 'rlscom1', 'RLS compartment 1'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 32, 'rlscom2', 'RLS compartment 2'); 创建安全组 select MLSCLSCREATEGROUPROOT('rlspolicy', 50, 'root', 'group root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 51, 'child1', 'child of root node 1', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 52, 'child2', 'child of root node 2', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 511, 'child11', 'child of child1 node 1', 'child1'); select MLSCLSCREATEGROUPNODE('rlspolicy', 512, 'child12', 'child of child1 node 2', 'child1'); 创建安全标签，此时和安全等级，隔离区以及安全组进行绑定 select MLSCLSCREATELABEL('rlspolicy', 1024, 'defaultlevel:rlscom0:child12'); 将标签绑定到表 alter table public.tbl1 add column cls clsitem default '99:1024'; select MLSCLSCREATETABLELABEL('rlspolicy', 1024, 'public', 'tbl1'); 安全等级 SQL select MLSCLSCREATELABEL('rlspolicy', 1025, 'userlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1026, 'badlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1027, 'goodlevel::'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 1024, 1024, 1024); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 1025, 1025, 1025); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 1026, 1026, 1026); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 1027, 1027, 1027); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户不在隔离区，无法看到godlike1用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 (3 rows） SQL c badgodlike1 低优先级的用户无法看到高优先级的用户插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) SQL insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 低优先级用户可以看到自己创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:1026 8 8 66:1026 9 9 66:1026 (3 rows) SQL c goodgodlike1 高优先级用户可以看到低优先级用户创建的数据 同时无法看到隔离区的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (6 rows) SQL insert into public.tbl1 select generateseries(10,12), generateseries(10,12); select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 10 10 66:1027 11 11 66:1027 12 12 66:1027 (9 rows) SQL c godlike1 高优先级用户可以看到比自己低优先级用户创建的数据 无法看到比自己优先级高的用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (9 rows) SQL c commonuser0 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) 安全隔离区 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定隔隔离区 select MLSCLSCREATELABEL('rlspolicy', 2048, 'defaultlevel:rlscom0:'); select MLSCLSCREATELABEL('rlspolicy', 2049, 'defaultlevel:rlscom0,rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2050, 'defaultlevel:rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2051, 'defaultlevel:rlscom0,rlscom2:'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 2048, 2048, 2048); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 2049, 2049, 2049); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 2050, 2050, 2050); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 2051, 2051, 2051); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户所在隔离区含godlike1用户隔离区，可以看到godlike1的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 (6 rows) SQL c badgodlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 当前用户所在隔离区无法包含前面用户的隔离区，无法看到他们插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:2050 8 8 66:2050 9 9 66:2050 (3 rows) SQL c goodgodlike1 insert into public.tbl1 select generateseries(10,12), generateseries(10,12); 相同等级，godlike1的隔离区是当前的子集，当前用户可以看到godlike1插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 10 10 66:2051 11 11 66:2051 12 12 66:2051 (6 rows) SQL c godlike2 当前用户含rlscom0,rlscom1,rlscom2三个隔离区可以看到之前插入的所有数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 7 7 66:2050 8 8 66:2050 9 9 66:2050 10 10 66:2051 11 11 66:2051 12 12 66:2051 (12 rows) 安全组 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定用户组 select MLSCLSCREATELABEL('rlspolicy', 4096, 'defaultlevel:rlscom0:root'); select MLSCLSCREATELABEL('rlspolicy', 4097, 'defaultlevel:rlscom0:child1'); select MLSCLSCREATELABEL('rlspolicy', 4098, 'defaultlevel:rlscom0:child11,child12'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 4096, 4096, 4096); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 4097, 4097, 4097); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 4098, 4098, 4098); SQL c badgodlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 安全组根节点可以看到子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 (6 rows) SQL c godlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 安全组根节点可以看到所有子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 7 7 66:4096 8 8 66:4096 9 9 66:4096 (9 rows) SQL c badgodlike1 子节点 无法看到根节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows)

本小节介绍下载并安装Agent，在数据库端或应用端安装Agent。 下载Agent Agent添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择需要下载Agent的数据库所属的实例。 6. 单击数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图所示。将Agent安装包下载到本地。 请根据安装Agent节点的操作系统类型，选择下载相应的Agent安装包。 Linux操作系统 在“操作系统”为“LINUX64”的数据库中下载Agent安装包 Windows操作系统 在“操作系统”为“WINDOWS64”的数据库中下载Agent安装包 安装Agent（Linux操作系统） 安装Agent后，您才能开启数据库安全审计。通过本节介绍，您将了解如何在Linux操作系统的节点上安装Agent。 1. 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 2. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 3. 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。cd Agent安装包所在目录 4. 执行以下命令，解压缩“xxx.tar.gz”安装包。tar xvf xxx.tar.gz 5. 执行以下命令，进入解压后的目录。cd解压后的目录 6. 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。如果有安装脚本的执行权限，请执行步骤7。如果没有安装脚本的执行权限，请执行以下操作：a.执行以下命令，添加安装脚本执行权限。chmod +x install.shb.确认有安装脚本执行权限后，请执行步骤7。 7. 执行以下命令，安装Agent。sh install.sh 说明 用户系统是Ubuntu时，执行以下命令安装Agent。 界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 start agent starting audit agent audit agent started start success install dbss audit agent done! 注意 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 8. 执行以下命令，查看Agent程序的运行状态。service auditagent status，如果界面回显以下信息，说明Agent程序运行正常，audit agent is running。

本小节介绍云防火墙(原生版)SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云防火墙（原生版）N100型实例的SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPN地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】。 配置内容 配置VPN地址池 打开【网络→VPN→SSL VPN】，单击“新建”，进入SSL VPN配置页面。 配置名称/接入用户： 配置“接入接口/隧道接口”： 新增地址池：新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 隧道路由配置：

本节介绍了数据库存储常见问题。 RDS使用的什么存储 RDSPostgreSQL数据存储、备份存储均采用采用云硬盘的方式。 其中备份存储为新的存储空间，不占用用户的数据库空间。 数据存储支持普通IO、高IO、通用型SSD、超高IO、极速型SSD、XSSD系列（XSSD0、XSSD1、XSSD2）六种存储类型，备份存储目前支持普通IO、高IO、超高IO、对象存储存储类型，资源池实际可订购的存储类型及备份存储类型见订购页。 如何查看RDS的存储空间使用情况 1.登录RDSPostgreSQL版控制台页面。 2.点击左侧菜单栏中的【实例监控/仪表盘】，选择想要查看的实例。 3.在其信息展示中的磁盘容量，可以查看实例的存储空间的大小和使用情况。 注意 不同资源池菜单名称、支持的存储类型有所差异，请以资源池实际情况为准。

操作步骤2：在资源端侧授权 1. 登录 云原生API网关控制台。 2. 找到不同资源端的消费者管理页面。 3. 点击授权，选择消费者列表>"确定"。 对于实例，在左侧导航栏，选择 "实例"，进入实例概览页>消费者认证页签。 对于API，在左侧导航栏，选择 "API"，进入"REST API"详情页>消费者认证页签。 对于接口，在左侧导航栏，选择 "API"，进入"REST API"详情页，单击接口>消费者认证页签。 对于路由，在左侧导航栏，选择 "API"，进入"HTTP/WebSocket API"详情页，单击路由>消费者认证页签。 解除授权 操作步骤1：在消费者管理侧解除授权 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "消费者"，并在顶部菜单栏选择地域。 3. 在消费者页面，单击目标消费者进入详情页>消费者授权页签。 4. 在已授权列表中，支持批量勾选后点击"解除授权"，也支持对单个资源右侧操作栏点击"解除授权"。 操作步骤2：在资源端侧解除授权 1. 登录 云原生API网关控制台。 2. 找到不同资源端的"消费者管理页面"。 3. 已授权消费者列表右侧操作栏中点击"解除授权"。 对于实例，在左侧导航栏，选择 "实例"，进入实例概览页>消费者认证页签。 对于API，在左侧导航栏，选择 "API"，进入"REST API"详情页>消费者认证页签。 对于接口，在左侧导航栏，选择 "API"，进入"REST API"详情页，单击接口>消费者认证页签。 对于路由，在左侧导航栏，选择 "API"，进入"HTTP/WebSocket API"详情页，单击路由>消费者认证页签。 资源端开启消费者认证 注意 在资源端开启消费者认证后，需为当前路由/接口绑定消费者授权关系，否则无法访问。

避免Web应用防火墙（边缘云版）资源到期后，域名会自动发起停用，防护服务终止服务，您可以在资源到期前为资源手动续订，或者设置自动续订服务。针对Web应用防火墙（边缘云版）续费情况，为您进行说明，请在续费前务必阅读以下内容。 续订规则 只有通过实名认证的客户，才可以执行续订操作。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 资源处于服务中且过期时长大于7天可以设置自动续订。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 需要满足续订的规则，具体规则详见续订规则说明。 手动续订 满足续订规则的资源您可以随时手动续Web应用防火墙（边缘云版）服务，本文介绍手动续订操作方式。 登陆天翼云官网右上角我的产品视图中找到需要续订的产品，点击“续订”，根据需求调整续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣。

本页介绍天翼云TeleDB数据库如何查找对象列表相关操作。 1. 选择数据源管理 > 元数据管理，进入到实例列表页面。 2. 单击目标实例操作菜单栏的库列表按钮，进入到数据库管理页面。 3. 在数据库列表操作菜单单击对象列表 按钮，进入对象列表管理页面。 4. 单击同步元数据 按钮，获取数据库实时的元数据信息。 > 对象 说明 > > 表 支持新建表、编辑、删除等操作。 > 视图 支持视图的新建、编辑、删除等操作。 > 存储过程 支持存储过程的新建、编辑、删除等操作。 > 函数 支持函数的新建、编辑、删除等操作。 > 触发器 支持触发器的新建、编辑、删除等操作。 > 事件 支持事件的新建、编辑、删除等操作，仅存在于MySQL系列数据库。 > 触发器函数 支持触发器的新建、编辑、删除等操作，仅存在于PostgreSQL系列和TeleDB数据库。 > 序列 支持触发器的新建、编辑、删除等操作，仅存在于PostgreSQL系列和TeleDB数据库。 表管理 1. 新建表 1. 支持可视化编辑创建表，详见查询和新建/编辑表结构。 2. 同步元数据刷新当前库/模式的表元数据。 3. 表详情 1. 单击列表操作栏的详情 按钮，展示选中表的详情信息，包括列信息和索引信息： 1. 列信息：包括列名，主键等主要信息。 2. 索引：包括索引名，索引字段等主要信息。 4. 打开表单击列表操作栏的打开 按钮，打开表的视图信息，默认展示20行。 1. 单击打开表，则跳转至数据管理模块的查询窗口页面。 2. 在查询窗口页面会展示当前表的SELECT语句。 3. 并自动执行该SELECT语句，返回结果集。 5. 生成DDL 单击列表操作栏的DDL按钮，生成表的DDL信息，支持对生成的DDL语句进行复制。 6. 删除表 单击列表操作栏的删除按钮，二次确认无误后，单击确认按钮即可完成对表的删除。

尊敬的AOne安全与加速、开发者服务的客户： 您好！ 感谢您长期以来对天翼云安全与加速、开发者服务的关注与支持！为进一步优化产品服务质量，提升新用户体验，结合产品运营规划，计划对安全与加速、开发者服务的免费版订购规则进行调整。现将具体事宜说明如下： 【调整时间】 2026.5.10起。 【原服务说明】 本次调整前，天翼云安全与加速、开发者服务提供免费版服务，用户可长期使用免费版功能，部分高级功能受限制。 【新购规则调整内容】 自 2026年5月10日起，将停止安全与加速和开发者服务免费版的续订、升级，不再接受续费和升级申请，如果您想继续使用服务，可在5月09号起升级为付费版本。 【其他说明】 2026年4月08日0时前已订购并使用安全与加速、开发者服务免费版的用户，可继续使用至当前服务周期结束，服务权益不受本次调整影响。为了给您提供更全面的功能支持、更稳定的服务保障及专属技术支持，我们诚挚建议您升级至付费版本，付费版将涵盖更多高级功能、更长服务周期及优先问题响应等增值权益，更好地满足您的业务安全需求。 若您在订购过程中遇到问题，或需了解产品功能详情、升级方案等信息，可随时联系我们。 本次规则调整旨在更好地平衡产品服务资源，为用户提供更精准的服务支持。如有其他疑问，欢迎随时与我们联系。 再次感谢您的理解与支持！我们将持续迭代优化产品，为您提供更优质的安全与加速、开发者服务。

尊敬的AOne安全与加速、开发者服务的客户： 您好！ 感谢您长期以来对天翼云安全与加速、开发者服务的关注与支持！为进一步优化产品服务质量，提升新用户体验，结合产品运营规划，计划对安全与加速、开发者服务的免费版订购规则进行调整。现将具体事宜说明如下： 【调整时间】 2026.5.10起。 【原服务说明】 本次调整前，天翼云安全与加速、开发者服务提供免费版服务，用户可长期使用免费版功能，部分高级功能受限制。 【新购规则调整内容】 自 2026年5月10日起，将停止安全与加速和开发者服务免费版的续订、升级，不再接受续费和升级申请，如果您想继续使用服务，可在5月09号起升级为付费版本。 【其他说明】 2026年4月08日0时前已订购并使用安全与加速、开发者服务免费版的用户，可继续使用至当前服务周期结束，服务权益不受本次调整影响。为了给您提供更全面的功能支持、更稳定的服务保障及专属技术支持，我们诚挚建议您升级至付费版本，付费版将涵盖更多高级功能、更长服务周期及优先问题响应等增值权益，更好地满足您的业务安全需求。 若您在订购过程中遇到问题，或需了解产品功能详情、升级方案等信息，可随时联系我们。 本次规则调整旨在更好地平衡产品服务资源，为用户提供更精准的服务支持。如有其他疑问，欢迎随时与我们联系。 再次感谢您的理解与支持！我们将持续迭代优化产品，为您提供更优质的安全与加速、开发者服务。

本节介绍AI助手使用说明。 AI助手全面接入DeepSeek，在深度推理、数据分析、决策支持、智能化检索和推荐等方面能力均有大幅提升。通过自然交互语言进行智能会话，充当用户的专属助理，提供智能问答、信息检索、文字润色、翻译等功能。 注意：所有内容均由AI生成，无法确保内容的准确性和完整性，不代表我们的态度或观点。 使用DeepSeek对话式问答 提供畅享版、专业版、尊享版、满血版4个版本，覆盖办公、教育、娱乐、生活全场景的智能问答需求以及场景化内容生成需求。 【操作步骤】： 1.进入天翼AI云电脑，打开“云智助手”，默认进入“AI助手”，模型为【DeepSeek畅享版】，可在下拉框切换不同版本的DeepSeek模型； 2.在AI对话输入框，根据场景诉求输入对应指令词或描述，点击发送后，AI助手即为你输出带有深度思考过程的目标内容。 文字润色示例 提供优质答案，提高理解深度，提升学习办公效率。 【操作步骤】： 1.进入天翼AI云电脑，打开“云智助手”； 2.在云智助手的菜单选择“AI助手”“文字润色”； 3.在AI对话窗口，根据需求发送需优化的内容，点击发送后，AI助手即为你输出优化后的内容。