操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 2. 进入【账号安全防护】页面； 3. 进入新增撞库防护规则页面。 撞库防护配置说明 配置项 说明 开关 可以选择开启或者关闭撞库防护策略 处理动作 设置触发撞库策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的URL地址（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录post包 （1）用户Key：一般是username，具体看您的网站是怎么定义key 加解密方式：不加密/base64/md5值的加密方式，用以解密 （2）密码Key: 一般是password，具体看您的网站是怎么定义key 加解密方式：不加密/base64/md5值的加密方式，用来解密 触发条件 在【统计周期】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】。其中，作用域支持CI、IP+UA、IP （1）CI：客户端ID，订购扩展服务BOT管理后支持该作用域 （2）IP+UA：客户端IP与客户端UA （3）IP：客户端IP 密码有泄露风险 判断密码存在泄露的处理方式,日志告警/重置密码/正常访问 请求内容类型 支持选择”application/xwwwformurlencoded"或"application/json"；指正常post包的请求方式 白名单 针对误拦设置白名单，可选粒度：URI、支持配置多条，多个粒度为“且”的逻辑，多个范围为“或”的关系

本章节为您介绍数据库审计遇见的一些日志类问题。 备份的数据库审计日志可以下载到本地吗？ 可以。 您可在对应的日志页面，在“日志列表”的上方单击下载按钮下载日志。 数据库审计的操作日志是否可以迁移？ 不支持。数据审计当前不支持迁移数据库操作日志。 数据库审计日志可以保存多久？ 数据库审计支持将在线和归档的审计日志至少保存180天的功能。根据实际的磁盘大小，会优先删除存储日期较早的审计日志。 若您需要更多的磁盘空间，可选择买更高级的数据库审计实例规格或者购买磁盘存储容量。 如何查看数据库审计的用户操作日志？ 1.在菜单栏选择“查询分析 > 审计日志”进入“审计日志”页面。 2.选择“审计日志”页签，设置查询条件（时间范围、报文、资产、数据库账号、客户端IP、服务端IP、操作类型、执行状态等），单击“搜索”即可查询审计日志。 数据库审计的日志处理机制是什么？ 数据库审计的审计日志存放在日志数据库中，日志的处理机制说明如下： 当日志数据库的磁盘空间使用率达到85%及以上时，系统将自动循环删除存放时间最久的审计日志（每次删除一天的审计日志），直至磁盘空间使用率为85%以下。 当日志数据库的磁盘空间使用率达到90%及以上时，数据库安全审计将停止审计功能，系统将不保存新生成的审计日志。

MySQL双向实时同步时，若源库和目标库同时变更同一个表的同一条数据，会怎么样？ 数据库双写问题是业界难题，DTS的双向同步无法完全解决数据双写引发的数据冲突问题。在使用双向同步时，您需要在业务层面配合进行相应的改造，保证同一个主键或唯一键的记录只在双向同步的某个节点进行更新。 若短时间内业务对源库、目标库中同一条记录发生变更，DTS采用以下策略来保证数据的最终一致性： TaskFailed（遇到冲突，任务报错退出）。 当数据同步遇到冲突时，同步任务直接报错并退出，同步任务进入失败状态，需要您介入修复任务。 Ignore（遇到冲突，直接使用目标实例中的冲突记录）。 当数据同步遇到冲突时，直接跳过当前同步语句，继续往下执行，选择使用目标库中的冲突记录。 Overwrite（遇到冲突，直接覆盖目标实例中的冲突记录）。 当数据同步遇到冲突时，直接覆盖目标库中的冲突记录。 正向和反向都可以选择以上一种冲突修复策略，DTS根据用户配置的冲突修复策略进行冲突的检测和处理。 PostgreSQL双向实时同步时，若源库和目标库同时变更同一个表的同一条数据，会怎么样？ 数据库双写问题是业界难题，DTS的双向同步无法完全解决数据双写引发的数据冲突问题。在使用双向同步时，您需要在业务层面配合进行相应的改造，保证同一个主键或唯一键的记录只在双向同步的某个节点进行更新。 若短时间内业务对源库、目标库中同一条记录发生变更，DTS采用以下策略来保证数据的最终一致性： TaskFailed（遇到冲突，任务报错退出）。 当数据同步遇到冲突时，同步任务直接报错并退出，同步任务进入失败状态，需要您介入修复任务。 Ignore（遇到冲突，直接使用目标实例中的冲突记录）。 当数据同步遇到冲突时，直接跳过当前同步语句，继续往下执行，选择使用目标库中的冲突记录。 Overwrite（遇到冲突，直接覆盖目标实例中的冲突记录）。 当数据同步遇到冲突时，直接覆盖目标库中的冲突记录。 正向和反向都可以选择以上一种冲突修复策略，DTS根据用户配置的冲突修复策略进行冲突的检测和处理。

本文主要介绍转发策略(共享型)。 您可以通过给共享型负载均衡添加转发策略，将来自不同域名或者不同URL的请求转发到不同的后端主机组处理。 转发策略由转发规则和动作两部分组成： 支持的转发规则有：域名、URL。 支持的动作类型有：转发至后端主机组。 此功能目前仅支持协议类型为HTTP、HTTPS的监听器。 配置转发策略时，请注意以下事项： 1. 每个URL路径需要存于后端云主机（即必须是后端云主机上真实存在的路径），否则访问后端云主机时，后端云主机会返回404。 2. 不能配置转发策略完全一样的两条路径。 3. 因为正则匹配采用顺序匹配的方式，只要任意规则匹配成功就结束匹配。所以配置“URL匹配规则”为“正则匹配”的多个匹配规则时，规则之间不能重叠。 在添加了转发策略后，负载均衡器将按以下规则转发前端请求： 1. 如果能匹配到监听器的转发策略，则按该转发策略将请求转发到对应的后端主机组。 2. 如果不能匹配到监听器的转发策略，则按照默认转发策略将请求转发到监听器默认的后端主机组（创建监听器时配置的后端主机组）。 注意 如果创建了相同的转发策略（出现转发策略冲突），则会出现转发策略故障，此时即使把前面创建的转发策略删除，后面的转发策略依然会显示故障。将出现冲突的转发策略都删除后重新添加，即可恢复正常。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。 适用计费项 根据所选购买区域，计费项略有不同： 在“一类节点”区域，通过数据库审计版本、数据盘扩容量大小进行计费： 计费项 说明 数据库审计版本 购买的数据库审计版本，目前可选标准版、高级版、企业版和旗舰版。 数据盘扩容 购买数据盘扩容的存储大小。 在“二类节点”区域，通过数据库审计实例个数、配套的云主机进行计费： 计费项 说明 数据库审计实例个数 购买的数据库审计实例个数。 云主机 开通数据库审计需要同步开通云主机，涉及购买云主机的规格、系统盘及数据盘。 在购买云服务页面底部，您将看到所需费用的明细。

参数名 参数描述 必须满足 即硬约束，设置必须要满足的条件，对应于requiredDuringSchedulingIgnoredDuringExecution，多条规则间是一种“或”的关系，即只需要满足一条规则即会进行调度。 尽量满足 即软约束，设置尽量满足的条件，对应于preferredDuringSchedulingIgnoredDuringExecution，无论是满足其中一条或者是都不满足都会进行调度。

步骤四：在Kafka控制台绑定弹性公网IP地址 步骤 1 在管理控制台左上角单击，选择“应用服务 > 分布式消息服务 Kafka”，进入分布式消息服务Kafka专享版页面。 步骤 2 单击Kafka实例名称，进入实例详情页面。 步骤 3 在“基本信息”页面的“高级配置”区域，单击“修改”。 步骤 4 将“advertised.listeners IP/域名”改为DNAT规则中的弹性公网IP，内网连接地址和弹性公网IP的对应关系与添加DNAT规则中记录的对应关系保持一致，单击“保存”。 图修改advertised.listeners IP（使用DNAT访问） 步骤五：验证接口连通性 参考连接未开启SASL的Kafka实例或者连接已开启SASL的Kafka实例，测试是否可以生产和消费消息。 测试接口连通性时，注意以下几点： 连接Kafka实例的地址为“advertised.listeners IP:9011”，以上图为例，连接Kafka实例的地址为“124.xxx.xxx.167:9011,124.xxx.xxx.174:9011,124.xxx.xxx.57:9011”。 在Kafka实例安全组的入方向规则中放通9011端口。 连接Kafka实例的客户端已开启公网访问功能。

本节介绍AccessKey的管理操作说明。 AccessKey 是调用 AIuse 云电脑 SDK 和 MCP 能力的身份凭证。调用方需要使用 AccessKey ID、AccessKey Secret 和桌面编码建立连接，并在授权范围内操作云电脑。 创建 AccessKey 操作步骤如下： 1. 登录 AIuse 云电脑控制台。 2. 进入“协同套件 AIuse 云电脑”功能专区。 3. 在服务管理页面单击“创建 AccessKey”。 4. 输入 AccessKey 名称等信息。 5. 确认创建。 创建完成后，请妥善保存 AccessKey ID 和 AccessKey Secret。AccessKey Secret 属于敏感凭证，不应通过截图、聊天工具、工单附件或公开仓库传播。 命名建议 建议 AccessKey 名称包含业务含义，便于后续管理和排查。 名称示例 说明 demodevkey 演示环境使用 projectatestkey 项目 A 测试环境使用 financebatchprodkey 财务批处理生产任务使用 关联云电脑 AccessKey 创建后，需要关联指定云电脑才可使用。 操作步骤如下： 1. 在服务管理页面找到目标 AccessKey。 2. 单击“关联云电脑”。 3. 在弹窗中搜索并选择需要绑定的云电脑。 4. 单击确认，完成绑定。 AccessKey 只能操作已关联的云电脑。若调用时返回“指定桌面不属于当前用户”或类似错误，请优先检查 AccessKey 与云电脑的关联关系。 查看与复制密钥 在 AccessKey 列表中，可以查看 AccessKey ID、AccessKey Secret 和关联云电脑数量。复制密钥时，请确认当前环境安全，避免在录屏、投屏或共享屏幕场景下展示 Secret。

运算符类型 说明 包含运算符 算术运算符 操作数和结果都为数字类型 、（减法）、、/、%、（负数） 关系运算符 操作数为任意类型，结果为布尔值 、! 比较运算符 操作数为数字类型，结果为布尔值 >、>、<、< 逻辑运算符 操作数和结果都为布尔类型 、&&、!

本章介绍云监控的权限管理。 如果您需要对云服务平台上的云监控服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云监控服务的使用权限，但是不希望他们拥有删除其他云服务资源等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云监控服务，但是不允许删除其他云服务资源的权限策略，控制他们对其他云服务资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云监控服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《统一身份认证服务》。 云监控服务权限 默认情况下，新建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云监控服务部署时通过物理区域划分，为项目级服务，需要在各区域对应的项目中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问云监控服务时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云监控服务，管理员能够控制IAM用户仅能对某一类云监控资源进行指定的管理操作。 如下表所示，包括了云监控服务的所有系统权限。 表 云监控服务系统权限 系统角色/策略名称 描述 类别 依赖关系 CES FullAccessPolicy 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用，支持细粒度授权的云服务列表请参考:统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccessPolicy 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用 CES AgentAccess CES Agent正常运行所需的必要权限。 系统策略 无。 CES Administrator 云监控服务的管理员权限。 系统角色 依赖Tenant Guest策略。 Tenant Guest：全局级策略，在全局项目中勾选。 CES FullAccess 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 说明 CES FullAccess不满足权限最小化原则，后续不推荐使用，建议使用CES FullAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccess 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 说明 CES ReadOnlyAccess不满足权限最小化原则，后续不推荐使用，建议使用CES ReadOnlyAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 下表列出了云监控服务常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 功能 操作 CES FullAccessPolicy CES ReadOnlyAccessPolicy CES Administrator （需同时添加Tenant Guest策略） Tenant Guest 监控概览 查看监控概览 √ √ √ √ 监控概览 查看监控大屏 √ √ √ √ 监控大盘 创建监控大盘 √ × √ × 监控大盘 查看监控大盘 √ √ √ √ 监控大盘 查看监控大屏 √ √ √ √ 监控大盘 添加监控视图 √ × √ × 监控大盘 查看监控视图 √ √ √ √ 监控大盘 修改监控视图 √ × √ × 监控大盘 删除监控视图 √ × √ × 监控大盘 调整监控视图位置 √ × √ × 监控大盘 删除监控大盘 √ × √ × 我的看板 创建我的看板 √ × √ × 我的看板 查看监控大屏 √ √ √ √ 我的看板 查看我的看板 √ √ √ √ 我的看板 删除我的看板 √ × √ × 我的看板 添加监控视图 √ × √ × 我的看板 查看监控视图 √ √ √ √ 我的看板 修改监控视图 √ × √ × 我的看板 删除监控视图 √ × √ × 我的看板 调整监控视图位置 √ × √ × 资源分组 创建资源分组 √ × √ × 资源分组 查看资源分组列表 √ √ √ √ 资源分组 查看资源分组（资源概览） √ √ √ √ 资源分组 查看资源分组（告警规则） √ √ √ √ 资源分组 修改资源分组 √ × √ × 资源分组 删除资源分组 √ × √ × 告警规则 创建告警规则 √ × √ × 告警规则 修改告警规则 √ × √ × 告警规则 启用告警规则 √ × √ × 告警规则 停用告警规则 √ × √ × 告警规则 删除告警规则 √ × √ × 告警规则 导出告警规则 √ √ √ × 告警规则 查看告警规则列表 √ √ √ √ 告警规则 查看告警规则详情 √ √ √ √ 告警规则 查看监控图表 √ √ √ √ 告警记录 查看告警记录 √ √ √ √ 告警记录 查看监控详情 √ √ √ √ 告警记录 屏蔽告警 √ × √ × 告警记录 手动恢复告警记录 √ × √ × 告警模板 查看默认告警模板 √ √ √ √ 告警模板 查看自定义告警模板 √ √ √ √ 告警模板 创建自定义告警模板 √ × √ × 告警模板 修改自定义告警模板 √ × √ × 告警模板 删除自定义告警模板 √ × √ × 主机监控 查看主机列表 √ √ √ √ 主机监控 查看主机监控指标 √ √ √ √ 主机监控 安装Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 修复插件配置 √（需同时拥有Security Administrator、ECS FullAccess权限） × √（需同时拥有Security Administrator、ECS FullAccess权限） × 主机监控 卸载Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 配置进程监控 √ × √ × 主机监控 配置自定义进程监控 √ × √ × 云服务监控 查看云服务列表 √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √ √ 云服务监控 查看云服务监控指标 √ √ √ √ 自定义监控 添加自定义监控数据 √ × √ × 自定义监控 查看自定义监控列表 √ √ √ √ 自定义监控 查看自定义监控数据 √ √ √ √ 事件监控 添加自定义事件 √ × √ × 事件监控 查看事件列表 √ √ √ √ 事件监控 查看事件详情 √ √ √ √ 数据转储到DMS Kafka 创建数据转储任务 √ × √ × 数据转储到DMS Kafka 查询数据转储任务列表 √ √ √ √ 数据转储到DMS Kafka 查询指定数据转储任务 √ √ √ √ 数据转储到DMS Kafka 修改数据转储任务 √ × √ × 数据转储到DMS Kafka 启动数据转储任务 √ × √ × 数据转储到DMS Kafka 停止数据转储任务 √ × √ × 数据转储到DMS Kafka 删除数据转储任务 √ × √ × 其他 配置数据转储 √（需同时拥有OBS Bucket Viewer权限） × √（需同时拥有Tenant Administrator权限） × 其他 导出监控数据 √ √ √ × 其他 发送告警通知 √ × √ ×

本文主要介绍通过Mongo Shell连接集群实例（内网连接） Mongo Shell是MongoDB自带的Shell客户端，您可以使用Mongo Shell连接数据库实例、对数据库进行数据查询和更新、执行管理等操作。 Mongo Shell是MongoDB客户端的一部分，您需要先下载和安装MongoDB客户端，再使用Mongo Shell连接数据库实例。 DDS实例默认提供内网IP地址，当应用部署在弹性云主机上，且该弹性云服务器与文档数据库实例处于同一区域，同一VPC时，可以使用内网连接文档数据库实例，该方式可以获得更快的传输速率和更高的安全性。 本章节以部署在弹性云主机上的应用场景为例，介绍如何使用Mongo Shell通过内网的方式连接集群实例。 连接集群实例的方式有SSL连接和非SSL连接两种方法，其中SSL连接通过了加密功能，具有更高的安全性。为了提升数据在网络传输过程中的安全性，建议采用SSL方式。 前提条件 创建并登录弹性云主机，请参见《弹性云主机用户指南》中“创建弹性云服务器”的内容。 在弹性云主机上，安装MongoDB客户端。为了保障鉴权成功，请安装与目标实例版本一致的MongoDB客户端版本。 已确保弹性云主机和DDS实例实现网络互通，详情请参见设置安全组规则。 非SSL方式 步骤 1 连接弹性云主机。 步骤 2 在客户端工具mongo所在的目录下，连接数据库实例。 方式一：内网高可用连接（推荐） 命令格式： ./mongo 相关参数说明如下： 内网高可用连接地址： 您可以在实例管理页面，单击目标实例名称，进入基本信息页面。单击“连接管理 > 内网连接”，在“内网高可用连接地址”处即可获取到当前实例的连接地址，该连接地址格式为固定格式，不可修改。 获取到的内网高可用地址格式如下： mongodb://rwuser: @192.168.xx.xx:8635,192.168.xx.xx:8635 /test?authSourceadmin 您需要关注内网高可用地址中的如下参数信息： 表 参数信息 参数名称 说明 :: rwuser 表示数据库帐号名。 password 表示数据库帐号对应的密码，需要替换为真实密码。 如果密码中包含特殊字符“@”、“!”和“%”需要分别替换为对应的十六进制的URL编码（ASSCII码）“%40”、“%21”和“%25”。 示例：密码为@%!，对应的URL编码为 %40%25%21。 192.168.xx.xx:8635,192.168.xx.xx:8635 待连接集群实例的mongos节点IP地址及端口号。 test 表示测试库名。 authSourceadmin 表示高可用链接地址中的认证数据库必须为“admin”，即“authSourceadmin”为固定格式不可改变。 连接命令示例： ./mongo mongodb://rwuser: @192.168.xx.xx:8635,192.168.xx.xx:8635 /test?authSourceadmin 方式二：内网IP地址连接 命令格式： ./mongo host port u p authenticationDatabase admin 相关参数说明如下： DBHOST：待连接集群实例的mongos节点IP地址。 您可以单击实例名称，进入基本信息页面，选择“连接管理 > 内网连接”，在“节点信息 > mongos”页签下获取mongos节点的内网IP地址即可。 DBPORT：待连接实例的端口，默认端口为8635。 您可以单击实例名称，进入基本信息页面，选择“连接管理 > 内网连接”页签，在“基本信息 > 数据库端口”处获取当前端口信息。 DBUSER：帐号名，即数据库帐号，默认为rwuser。 出现如下提示时，输入数据库帐号对应的密码： Enter password: 连接命令示例： ./mongo host 192.168.1.6 port 8635 u rwuser p authenticationDatabase admin 步骤 3 检查连接结果。出现如下信息，说明连接成功。 mongos>

就近访问 用户上传对象时，可以选择就近存储。OOS通过系统自动调度，将数据写入距离客户较近的资源池，以实现较低的访问延迟。 用户下载对象时，可以从距离较近的资源池中获取数据，提高下载速度。 全国统一管理 OOS将多个地区的存储资源池连为一体，为用户提供了具有统一名字空间的对象存储服务。用户可以通过一个域名地址，访问全国的所有对象，数据可以在各个资源池间流动。 简单易用 OOS提供标准REST API、丰富的SDK、数据迁移工具，并可通过云存储网关支持iSCSI协议 ，让用户业务快速上云。OOS不限制存储空间大小，用户可根据所需存储量无限扩展存储空间；还可以通过设置生命周期规则，将到期数据批量删除或者转储为更低成本的低频访问型存储。 精准控制 OOS提供统一身份认证、Bucket权限、Bucket策略、签名验证等多种访问控制方式，对数据资源进行精准控制。支持操作跟踪和Bucket日志管理，实时记录访问请求的详细信息。

本小节介绍如何进行手动DNS验证。 根据CA中心的规范要求，如果您申请了SSL证书，则必须完成域名验证来证明待申请证书要绑定的域名属于您或您所属的组织。 手动DNS验证，是指您需要在域名的DNS解析服务商手动修改域名的DNS解析记录，在解析记录中添加一条用于验证的记录。CA机构验证添加的记录能被解析，则表示验证通过。 如果您在申请证书时域名验证方式选择了手动DNS验证，请参照本章节进行处理。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行DNS验证的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 提交证书申请后，单击“证书验证”，获取证书验证信息。 说明 域名型（DV）证书无需经过人工审核，可直接在控制台查阅域名DNS验证信息。 企业型（OV）/增强型（EV）证书需在确认函进入预审流程后（约提交确认函1~2个工作日左右），才可以在控制台查阅域名DNS验证信息。 2. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 3. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

本节介绍了从Oracle迁移到云数据库GaussDB 的场景说明、架构图、迁移原理、以及所解决的问题。 场景描述 本实践使用DRS的实时同步功能将本地Oracle数据库实时迁移至云数据库GaussDB 。通过全量+增量同步，实现源数据库Oracle和目标数据库GaussDB 的数据长期同步。 解决问题 企业业务高速发展，传统数据库扩容性差，迫切需要分布式化改造。 传统数据库需要自购并安装服务器、系统、数据库等软件，运维成本高、难度大。 传统数据库性能瓶颈问题，复杂查询性能较差。 如何不中断业务并且平滑的实现数据迁移。 迁移架构图 迁移原理 本次实践使用全量+增量同步功能，原理如下： 1. 全量同步阶段，先进行结构迁移，例如表、主键、唯一键的迁移。 2. 结构迁移完成后，启动增量数据抽取，以确保全量数据同步期间的增量数据完整的抽取到DRS实例。 3. 启动全量迁移任务。 4. 全量迁移完成后自动进入增量同步，从全量迁移开始抽取的位点开始回放。 5. 当增量回放全部完成后，启动比对任务进行一致性检查，支持实时比对。 6. 实时比对数据一致时，可以启动业务割接。 服务列表 虚拟私有云VPC 云数据库GaussDB 数据复制服务DRS 数据管理服务DAS

海量文件服务 OceanFS 是天翼云推出的全托管、可扩展海量文件系统,满足海量数据、高带宽型应用场景的需求。OceanFS 能够弹性扩展至PB规模,具备高可用性和持久性,适用于多种应用场景,包括HPC、媒体处理、文件共享、内容管理和Web服务等。

参数 说明 开发机名称 实例标识，点击可进入详情页，可设置开发机别名。 可见范围 权限控制：仅创建者可见/企业项目内可见。 计费模式 按需计费 / 包年包月，明确成本计费方式。 运行状态 开发机状态，包含的状态有： 1、待创建； 2、启动中：包括资源调度，拉取镜像，启动容器流程等流程； 3、运行中：在线IDE实例正常运行中，可以进行“打开”和“停止”； 4、停止：在线IDE实例处于不可用状态，可点击“启动”重新开启在线IDE；此处鼠标悬浮可展示开发机在何时由何人停止； 6、运行失败：在线IDE因某种因素而启动不成功； 7、快照中：用户在运行中状态时， 可点击保存镜像，则状态变为快照中，同时会展示快照进度条。 资源配置 计算资源规格。 · 通用计算型。包括CPU（核），内存(GB)。 · GPU/NPU/DCU加速型。包括CPU（核），内存(GB)，显卡数量（块） 可用区 开发机所在可用区 队列 开发机关联队列信息 镜像版本 开发机框架版本。显示开发机类型，AI开发框架类型和版本，CUDA版本。 例如：“pytorchjupyter:cuda11.1torch1.8.1”，“pytorch”表示AI开发框架，“jupyter”表示开发机类型，” cuda11.1”表示cuda版本，“torch1.8.1”表示AI开发框架版本。 创建人 开发机创建人 创建时间 开发机创建时间 闲时关机 启用闲时关机功能，开发机实例满足所有规则条件时，将会自动关闭实例，支持用户手动取消关机。 ""代表当前未开启闲时关机功能或开发机处于停止状态； "正常"代表已开启闲时关机但当前并未达到闲时关机条件； "闲置”代表当前开发机已处于闲时状态；当达到闲置状态时，您也可以点击“延迟设置”重新进入闲时状态判断。 显卡使用率 运行中实例的显卡利用率（如10%），监控资源负载.点击数字可查看近半小时显卡使用率趋势变化图。 运行时长 开发机已运行的时间，以分钟计算。 剩余运行时长 开发机剩余运行时间，以分钟计算。 自动停止 如开启自动停止，展示开发机剩余运行时间，以分钟计算。支持用户修改。 操作列表 打开：打开开发机，将会跳转到一个新窗口，显示对应开发机的界面，用户可在新界面内进行代码开发和调试。该功能只有在开发机运行中状态下才能点击。 启动：启动开发机。该功能只有在开发机是暂停的状态下才能点击。点击“启动”后，开发机的状态将变成启动中。 停止：停止开发机。停止开发机将使开发机变成不可用的状态。 保存镜像：保存开发机机镜像。 变更存储：在开发机停止状态下，支持变更挂载的科研文件、数据集。 变更规格：变更计算资源规格，可自由选择GPU加速型和通用计算型，再选择符合需求的计算资源即可。当前仅支持增配、升配，不支持降配。 变更镜像：变更开发机目前镜像。 公开实例：公开实例后，开发机可在企业范围内可见，仅创建人和主账号可点击。 私有实例：私有实例后，开发机仅创建者及主账号可见，仅创建人和主账号可点击。 删除：删除开发机。

本节主要介绍OBS的按需计费。 OBS服务默认为按需计费模式，即按实际使用的时长收费，以小时为单位，每小时整点结算，不设最低消费标准。 资费标准 目前OBS提供标准、低频访问、归档三种存储类型，计费项和具体资费如下： 1）标准型 资费项 计费项 标准资费 ::: 存储空间（元/GB/月） 数据存储(单AZ) 0.1 存储空间（元/GB/月） 数据存储(多AZ) 0.139 流量费用（元/GB） 内网流出/流入流量 免费 流量费用（元/GB） 公网流入流量 免费 流量费用（元/GB） 公网流出流量 0.5 流量费用（元/GB） 跨域复制流量 0.5 请求费用（元/万次） 请求次数 0.01 数据处理（元/GB） 图片处理空间 0.025 2）低频访问型 资费项 计费项 标准资费 ::: 存储容量（元/GB/月） 数据存储(单AZ) 0.08 存储容量（元/GB/月） 数据存储(多AZ) 0.11 流量费用（元/GB） 内网流出/流入流量 免费 流量费用（元/GB） 公网流入流量 免费 流量费用（元/GB） 公网流出流量 0.4 请求费用（元/万次） 请求次数 0.1 数据取回（元/GB） 数据读取流量 0.0325 数据取回（元/万次） 数据读取次数 0.1 3）归档型 资费项 计费项 标准资费 ::: 存储容量（元/GB/月） 数据存储(单AZ) 0.033 流量费用（元/GB） 内网流出/流入流量 免费 流量费用（元/GB） 公网流入流量 免费 流量费用（元/GB） 公网流出流量 0.4 请求费用（元/万次） 请求次数 0.1 数据取回（元/GB） 数据读取流量（标准） 0.06 数据取回（元/GB） 数据读取流量（直读） 0.2 数据取回（元/万次） 数据读取次数 0.1

本章节主要介绍关联质量规则操作。 当您完成表的新建和发布后，您可以在表中关联质量规则。在“配置中心 > 功能配置”页面中的“模型设计业务流程步骤 > 创建质量作业”勾选的情况下，完成质量规则的关联后，表发布后就会在DataArts Studio数据质量中自动创建质量作业，如果当前表已经发布，则系统会自动更新质量作业。 关联质量规则并查看质量作业 1.在DataArts Studio数据架构控制台，单击左侧导航栏的“关系建模”进入关系建模页面。 2.在页面选择所需要的模型单击进入，在右侧的列表中将显示该模型下面所有的表。您也可以展开主题结构，选中一个对象，右侧的列表中将显示该对象下所有的表。 3.在列表中，找到所需要的表，单击表名称进入表详情页面。 4.在详情页的表字段区域，选中需要关联质量规则的的字段，然后单击“关联质量规则”按钮。 异常数据输出配置：勾选此项，并勾选生成异常数据，表示异常数据将按照配置的参数存储到规定的库中。 5.在弹出的“关联质量规则”对话框中，单击“添加规则”。 此时，系统将弹出“添加规则”对话框，在规则列表中将显示DataArts Studio数据质量中默认的质量规则，选中所需要的规则，然后单击“确定”。如果列表中的规则不满足业务需求，您也可以创建自定义规则，单击“新建规则”可以跳转到DataArts Studio数据质量页面，请参考新建规则模板新建规则。 添加规则完成后，将返回“关联质量规则”对话框，在“规则名称”列表中，选中一条规则，然后设置告警条件，设置完所有规则的告警条件后单击“确定”。 在“告警条件”输入框中，请输入告警条件表达式，在质量作业运行时，系统将计算出告警条件表达式的结果，并根据表达式的结果是否为真来判断是否触发告警。如果表达式的结果为真则触发质量告警，结果为假则不触发质量告警。 告警条件表达式由告警参数和逻辑运算符组成。 每个规则的告警参数会在“告警参数”中以按钮形式列出。单击这些按钮，在“告警条件”中将按告警参数的排列顺序显示为{1}、{2}、{3}等变量名称，以此类推，变量名即代表告警参数。也就是说，在设置“告警条件”时，使用变量{1}代表第一个告警参数，${2}代表第二个告警参数，以此类推。 6.（可选）如需要将质量作业中不符合设定规则的异常数据存储在异常表中，可以打开“异常数据输出配置”开关。 点击开关，并打开“生成异常数据”按钮，表示异常数据将按照配置的参数存储到规定的库中。 各参数具体含义如下： 数据库或Schema：表示存储异常数据的数据库或Schema。 表前缀：表示存储异常数据的表的前缀。 表后缀：表示存储异常数据的表的后缀。 配置完成后点击保存配置。 7.（可选）质量规则的检查范围默认是全表，如需要精确定位分区查询数据，请填写where条件。 8.查看关联质量规则的结果，如果显示成功，单击“确定”。如果显示失败，请查看失败原因，等问题处理后，再重新关联质量规则。 9.返回关系模型列表页面，找到已关联质量规则的表，在“同步状态”列中，鼠标移至创建质量作业的图标上，单击“查看”进入质量作业页面查看已添加的质量规则。 10.进入质量作业的“规则配置”页面，可以查看刚才添加的质量规则。 此外，在建表时已关联的数据标准，在表发布后也会在上图中生成相应的质量规则，您可以在质量作业中进行查看。 字段关联的数据标准生成的质量规则，示例如下： 字段关联了数据标准，数据标准关联的码表生成的质量规则，示例如下：

本页介绍了网络安全。 文档数据库服务采取了哪些措施来确保数据安全 文档数据库服务是虚拟私有云，从而确保实例与其它业务实现网络安全隔离。 为什么在虚拟私有云中使用文档数据库服务 安全性：在虚拟私有云中部署文档数据库服务可以提供更高的安全性。VPC 提供了网络隔离和访问控制，可以限制数据库实例只对特定的私有网络或子网可见，从而降低了公网暴露的风险。 性能：在虚拟私有云中部署文档数据库服务可以获得更好的性能。VPC 提供了低延迟的网络连接，使得应用程序可以快速地与数据库实例进行通信，从而提高了响应速度和吞吐量。 隔离：使用虚拟私有云可以将文档数据库服务实例隔离在私有网络中，这样其他云资源或虚拟机不会直接访问数据库，避免了资源竞争和干扰，提高了数据库的稳定性和可靠性。 在虚拟私有云中运行文档数据库服务时，如何确保其安全性 网络隔离将文档数据库服务部署在私有网络中，限制数据库实例只对特定的私有网络或子网可见，避免公网暴露，减少外部攻击的风险。 文档数据库服务是否支持选择创建IPV6子网 目前不支持选择IPV6网段的子网，建议您在使用时创建并选择IPV4网段的子网。 怎样在Windows和Linux操作系统中导入根证书 导入Windows操作系统 登陆文档数据库服务控制台，点击实例管理，点击需要证书的实例id进入基本信息，点击下载证书即可。

弹性云主机是一种可以根据需求进行弹性扩展和收缩的虚拟机实例。本文介绍如何进行弹性云主机配置。 背景介绍 为了帮助用户最大程度地安全、可靠地使用弹性云主机，通常可以从以下几个方面进行弹性云主机配置的最佳实践： 考虑业务负载需求 网络与安全 数据备份与恢复策略 系统监控与告警 考虑业务负载需求 在选择弹性云主机时，需要根据应用程序的需求选择适当的实例类型和规格，考虑性能需求、应用需求以及成本效益等因素。 性能需求 性能需求是选择弹性云主机配置的首要考虑因素。性能需求包括计算性能、存储性能和网络性能。 计算性能越强，服务器能够同时处理的请求就越多。如果应用需要大量计算资源，比如进行大规模数据分析、科学计算等，就需要选择配置较高的CPU和内存。 存储性能是指服务器对数据的读写速度。对于需要频繁读写大量数据的应用，如数据库、视频处理等，需要选择配置较高的存储设备。 网络性能是指服务器的网络带宽和延迟。对于需要大量数据传输的应用，如视频直播、游戏等，需要选择具有较高网络带宽的配置。此外，延迟也是一个重要指标，特别是对于对实时性要求较高的应用，如在线交易、远程会议等。 应用需求 不同的应用有不同的特点和需求，因此需要选择适合应用的配置。 操作系统：弹性云主机支持多种操作系统，如Windows、Linux等。选择操作系统需要根据应用的实际需求来决定，比如是否支持特定软件、是否需要特定的开发环境等。 数据库：如果应用需要使用数据库，需要考虑数据库的类型和规模。对于大型数据库，需要选择配置较高的服务器，以保证数据库的性能和稳定性。 应用软件：如果应用需要运行特定的软件，比如Web服务器、应用服务器、大数据平台等，需要选择配置适合运行这些软件的服务器。

到期是针对“包年/包月”的产品而言的，“按需计费”的产品没有到期的概念。 SFS容量型的资源包到期后会自动转为按需计费。 SFS Turbo的包周期资源到期后会冻结，冻结期为15天。如果在冻结期结束时您没有续费，将终止服务，文件系统中的数据也将被永久删除。

本章节指导如何通过周期性备份实现云主机备份。 通过创建云主机备份策略，您可以按照一定的策略要求对云主机数据进行周期性备份，以便云主机在数据丢失或损坏时快速恢复数据，保证业务正常运行。 说明 通过备份策略的方式对云主机进行周期性备份，仅当启用备份策略后，系统才会自动备份所关联的云主机，并定期删除过期的备份。 新创建的备份策略默认为“启用”状态。 周期性备份产生的备份名称为“autobkxxxx”。 每个用户最多只能创建32个备份策略。 一个备份策略中最多可以绑定64个云主机。 启用数据库服务器备份特性前，已成功安装客户端。该能力仅在部分资源池支持。 如果您想使用弹性云主机的备份创建镜像，请确保弹性云主机在备份前已完成如下操作： 注意 建议在业务量较小的时间段执行应用一致性备份。 操作步骤 1. 登录天翼云官网，注册天翼云账号。 2. 登录云主机备份管理控制台。 登录管理控制台。 选择“存储 > 云主机备份”。 3. 在界面右上角单击“创建云主机备份”。 4. 在服务器列表中勾选需要备份的主机以及或磁盘，勾选后将在已勾选服务器列表区域展示。 注意 考虑到恢复后数据的一致性问题，我们推荐您对整个服务器进行备份。若您希望选择部分磁盘备份以节省成本，请尽量确保这些磁盘的数据不受其他未备份磁盘的数据影响，否则可能会导致数据不一致问题。例如，Oracle应用的数据分散在不同磁盘上，如果只备份了部分磁盘，会导致恢复后数据不一致（已备份磁盘恢复到历史时间点数据，未备份磁盘仍保留当前数据），甚至导致应用无法启动。 所选云主机的状态必须为“运行中”或“已停止”。 5. 在下方的“备份配置”区域为已选择的云主机配置备份方式为自动备份，如下图所示。 需要在“备份策略”的下拉菜单中，选择一个已有的备份策略，或者单击右侧的“创建策略”创建一个新的备份策略。在备份创建完成后，所选云主机会绑定到该备份策略中，按照备份策略进行周期性备份。 说明 如果选择的云主机已经绑定到其他备份策略，在选择新的备份策略后，云主机会自动从原备份策略解绑，并绑定到新的备份策略。 需要输入备份的“名称”和“描述”，如下表所示。 参数 说明 备注 名称 输入待创建的备份的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于255个字符。 说明：也可以采用默认的名称，默认的命名规则为“manualbkxxxx”。 备份多个云主机时，系统自动增加后缀，例如：备份0001，备份0002。 manualbkcbf0 描述 输入待创建的备份的描述。描述长度小于等于255个字符。 说明 使用数据库服务器备份前，需先更改安全组和成功安装客户端。相关操作请参见 6. 选择是否启用“数据库服务器备份”（立即备份时可选）。启用后，系统将执行数据库服务器备份（应用一致性备份）。若同时勾选“数据库服务器备份失败后继续备份”，数据库服务器备份失败后系统将执行崩溃一致性备份，若不勾选，数据库服务器备份失败后将直接产生失败备份。如下图所示。 图 数据库服务器备份 7. 单击“立即申请”。 8. 在“规格确认”页面上，查看“详情”，单击“提交申请”。 9. 根据页面提示，返回云主机备份页面。

参数 描述 n TARGETNAME 或 name TARGETNAME iSCSI target名称。 a ACTION 或 action ACTION 设置iSCSI target的允许访问列表。 取值： add：添加一组或多组允许访问列表。 delete：删除一组或多组允许访问列表。 replace：替换现有允许访问列表。 q IQNNAME &<1 n > 或 iqn IQNNAME &<1 n > 指定target IQN名称。可以指定多个target IQN名称，以英文逗号分隔。 如果指定了target IQN名称，则代表对target下指定的IQN设置访问权限；如果未指定target IQN名称，则代表对target下所有IQN进行设置访问权限。 initiator [ IP &<1 n >][: NAME &<1 n > ] 设置iSCSI发起方（initiator）允许访问列表。可以设置多组initiator允许访问列表，组与组之间以空格分隔，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和initiator名称，二者为“与”的关系。 说明 已挂载的卷，即使其客户端和target后续被移出允许访问列表，仍保持读写能力；断开连接后，则禁止允许访问列表外的客户端再次挂载。 IP&<1 n >：根据initiator IP地址设置iSCSI发起方的允许访问列表，支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 NAME &<1 n >：根据initiator名称设置iSCSI发起方的允许访问列表。取值：字符串形式，长度范围是1~223，只能由字母、数字、句点( . )、短横线( )、冒号( : )组成，字母区分大小写。支持通配符和?。可以设置多个，以英文逗号分隔。 说明 Initiator和target至少指定一个。 target [ IP &<1 n >][: NIC &<1 n > ] 设置目标端（target）的允许访问列表。可以设置多组target允许访问列表，组与组之间以空格分隔，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和NIC名称，二者为“与”的关系。 IP &<1 n >：通过target端IP进行设置targe允许访问列表，表示只允许通过target端的指定IP访问target。支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 NIC &<1 n >：通过target端的网卡名称设置target允许访问列表，表示只允许通过target端的指定网卡访问target。取值：target端的网卡名称，可包含字母、数字、句点(.)、短横线()和下划线()，最多100个字符。支持通配符和?。可以设置多个，以英文逗号分隔。 说明 Initiator和target至少指定一个。 allowfile ALLOWFILE 允许访问列表文件，包含iSCSI发起方（initiator）允许访问列表和目标端（target）允许访问列表。 允许访问列表文件为符合UTF8编码格式的JSON文件，详见 。 说明 如果输入了允许访问列表文件，则会忽略参数 initiator 和 target。

项目 描述 目标名称 iSCSI目标名称。 字符串形式，长度范围1~16，只能由小写字母、数字、句点(.)和短横线()组成，且仅支持以字母或数字开头。 注意 一个iSCSI目标可以关联多个卷，但是一个卷只能关联一个iSCSI目标。 最大会话数 iSCSI目标下每个IQN允许建立的最大会话数。 取值：[0, 1024]，默认值为1。0表示客户端无法发现该target。 注意 如果多个客户端连接同一target IQN，客户端可以同时读，但不能同时写。 CHAP验证 是否开启CHAP认证。如果启用CHAP验证，需要填写CHAP名称和CHAP密码。 默认禁用。 CHAP名称 客户端CHAP认证名称。 字符串形式，长度范围是3~64，只能由字母、数字、句点( . )、短横线( )、下划线( )、冒号( : )组成，字母区分大小写，且仅支持以字母或数字开头。 CHAP密码 客户端CHAP认证密码。 字符串形式，长度范围是12~16，必须包含大写字母、小写字母、数字、下划线()中的至少两种字符，字母区分大小写。 服务器数量 target所在的服务器数量（仅集群版支持）。 服务器ID iSCSI目标对应的服务器ID（仅集群版支持）。 回收策略 指定iSCSI目标的回收策略。 取值： 删除：当iSCSI目标关联的卷全部删除后，iSCSI目标自动删除。 保留：当iSCSI目标关联的卷全部删除后，iSCSI目标仍然保留。 默认值为保留。 说明 如果创建卷时指定不存在的iSCSI目标，那么同时创建iSCSI目标，新创建iSCSI目标的回收策略默认为删除。 允许访问列表 设置允许访问列表： 说明 关闭状态表示允许所有访问。 发起方：设置发起方（initiator）的允许访问列表，可以在发起方设置下列访问权限： 允许所有访问。 禁止所有访问。 设置允许访问列表：指定iSCSI发起方允许访问列表。可以设置多组发起方允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和initiator名称，二者为“与”的关系。 IPs：根据initiator IP地址设置iSCSI发起方的允许访问列表，支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 名称：根据initiator名称设置iSCSI发起方的允许访问列表。取值：字符串形式，长度范围是1~223，只能由字母、数字、句点( . )、短横线( )、冒号( : )组成，字母区分大小写。支持通配符和?。可以设置多个，以英文逗号分隔。 目标：设置目标端（target）的允许访问列表，可以在目标端设置下列访问权限： 允许所有访问。 禁止所有访问。 设置允许访问列表：指定目标端（target）的允许访问列表。可以设置多组target允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和网路设备（NIC）名称，二者为“与”的关系。 IPs：通过target端IP进行设置target允许访问列表，表示只允许通过target端的指定IP访问target。支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 网卡名称：通过target端的网卡名称设置target允许访问列表，表示只允许通过target端的指定网卡访问target。取值：target端的网卡名称，可包含字母、数字、句点(.)、短横线()和下划线()，最多100个字符。支持通配符和?。可以设置多个，以英文逗号分隔。

功能 使用限制 部署 数据库实例所部署的弹性云主机，用户不可见，只允许应用程序通过IP和端口访问数据库。 数据库访问 对于没有开通公网访问的数据库实例，只能通过同一个虚拟私有云内的弹性云服务器进行访问。 弹性云主机必须处于SQL Server实例所属安全组允许访问的范围内。 当数据库实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 数据库版本 支持以下版本： 2022 企业版 2022 标准版 2022 WEB版 2019 企业版 2019 标准版 2019 WEB版 2017 企业版 2017 标准版 2017WEB版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 数据库的超级管理员权限 超级管理员权限一旦开启无法关闭。且一旦实例创建过超级管理员账号后，将不再享受SLA保障。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。部分参数可能要重启才能生效，请谨慎操作。 搭建数据库复制 SQL Server本身提供主备复制架构的双节点集群，无需用户手动搭建。主备节点间数据复制方式默认使用异步复方式，暂不支持修改。其中备节点不对用户开放，应用不可直接访问。 重启实例 无法通过命令行重启，必须通过SQL Server服务的管理控制台操作重启实例。

自动备份： 需要在“备份策略”的下拉菜单中，选择一个已有的备份策略，或者单击右侧的“创建策略”创建一个新的备份策略。在备份创建完成后，所选云主机会绑定到该备份策略中，按照备份策略进行周期性备份。 说明 如果选择的云主机已经绑定到其他备份策略，在选择新的备份策略后，云主机会自动从原备份策略解绑，并绑定到新的备份策略。 立即备份： 在备份创建完成后，会对所有云主机立即执行一次性备份。 需要输入备份的“名称”和“描述”，如下表所示。 参数 说明 备注 名称 输入待创建的备份的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于255个字符。 说明： 也可以采用默认的名称，默认的命名规则为“manualbkxxxx”。 备份多个云主机时，系统自动增加后缀，例如：备份0001，备份0002。 manualbkcbf0 描述 输入待创建的备份的描述。描述长度小于等于255个字符。 可同时选择两种备份方式，即立即执行一次备份，后续按照备份策略进行周期性备份。 6. 选择是否启用“数据库服务器备份”（立即备份时可选）。启用后，系统将执行数据库服务器备份（应用一致性备份）。若同时勾选“数据库服务器备份失败后继续备份”，数据库服务器备份失败后系统将执行崩溃一致性备份，若不勾选，数据库服务器备份失败后将直接产生失败备份。如下图所示。 说明 使用数据库服务器备份前，需先更改安全组和成功安装客户端。相关操作请参见 图 数据库服务器备份 7. 单击“立即申请”。 8. 在“规格确认”页面上，查看“详情”，单击“提交申请”。 9. 根据页面提示，返回云主机备份页面。

此小节介绍数据库审计的应用场景。 响应合规需求 应等保及其他行业政策要求，产品可以覆盖对于数据库系统的安全审计工作，内置丰富报表，快速轻松通过合规审查。 防范数据泄露 产品内置900多条安全规则，可精准识别拖库、撞库、暴力破解、大流量返回等容易导致数据泄露的安全问题，双向审计功能保证对于数据库的请求和返回全面审计，在数据泄露发生的初始阶段进行告警和遏制。 监测SQL注入事件 天翼云数据库审计内置丰富的SQL注入规则，可以精准识别包括布尔盲注、OR注入、SLEEP时间盲注、BENCHMARK时间盲注、GENERATESERIES时间盲注、RECEIVEMESSAGE时间盲注、WAITFOR时间盲注、GETLOCK时间盲注、CTXSYSDRITHSXSN报错注入等在内的SQL注入，及时告警，有效切断持续的外部攻击。 监测漏洞攻击事件 外部不法分子可能会利用漏洞扫描设备探测到数据库存在的漏洞，进而利用漏洞窃取数据，天翼云数据库审计内置漏洞攻击安全规则，可监测缓冲区溢出、存储过程滥用、隐通道攻击、拒绝服务攻击等多类型的漏洞攻击。 监测账号安全隐患 数据库账号安全隐患同样会导致数据安全事件，天翼云数据库审计能够监测数据库账号异常登录的行为，例如撞库、暴力破解、口令失效等，杜绝因数据库账号存在安全隐患导致的恶性事件。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mylink 用户名 待连接数据库的用户。 仅当“数据源列表”中某个后端数据库A未配置用户名密码时，该配置对A生效。如果后端数据库B已配置用户名密码，此处配置不对B生效。 cdm 密码 待连接数据库的用户密码。 仅当“数据源列表”中某个后端数据库A未配置用户名密码时，该配置对A生效。如果后端数据库B已配置用户名密码，此处配置不对B生效。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择管理Agent中已创建的Agent。 后端数据源 输入后端数据库的类型，当前仅支持MYSQL。 MYSQL 数据源列表 输入后端数据库的IP、端口、数据库名称、账户名、密码，以“:”隔开。即ip:port:dbs:username:password，其中username:password可以不填，此时以“用户名”、“密码”配置为准。 如果此处有多个后端数据库，需要确保表结构一致，并使用“l”分隔数据源。如果密码包含“l”或者“:”，可使用“”转义。 例如 “ 192.168.2.1:3306:cdm192.168.2.2:3306:cdm:user:password ”表示，第一个后端数据库IP为192.168.2.1，端口为3306，数据库名称为cdm，账户名密码以“用户名”、“密码”处配置为准；第二个后端数据库IP为192.168.2.2，端口为3306，数据库名称为cdm，账户名为“user”、密码为“password”。 192.168.2.1:3306:cdm192.168.2.2:3306:cdm:user:password 一次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 1000 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 sslmoderequire 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 '

本节主要介绍数据库连接类问题。 如何创建和连接弹性云主机 创建弹性云主机，请参见《弹性云主机快速入门》中的“创建弹性云主机”内容。 该弹性云主机用于连接GeminiDB Influx的实例，需要与目标实例处于同一虚拟私有云和子网内。 正确配置目标实例安全组，使得弹性云主机处于目标实例所属安全组允许访问的范围内。 连接弹性云主机，请参见《弹性云主机快速入门》中的“登录弹性云主机”内容。 GeminiDB Influx实例购买成功后是否支持更换VPC GeminiDB Influx实例创建完成后暂不支持直接通过控制台更换VPC。 但您可以通过已有的全量备份恢复到新实例的方法切换到目标VPC。具体操作请参考恢复备份到新实例。 如何通过本地连接GeminiDB Influx 目前GeminiDB Influx提供使用内网、公网、程序代码等方式接入GeminiDB Influx，具体方法请参见连接方式介绍。 如何通过Grafana连接GeminiDB Influx Grafana是一个跨平台、开源的数据可视化平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。 本小节主要介绍通过Grafana连接GeminiDB Influx的方法。 操作步骤 1. 服务端启动Grafana后，通过浏览器访问： 说明 上述IP可以是云上服务器的弹性IP，也可以是本地自建服务器的IP地址。 2. 登录Grafana的首页。 图 登录Grafana首页 3. 创建数据源。 图 创建数据源 4. 选择“InfluxDB”。因为GeminiDB Influx完全兼容InfluxDB。 图 选择InfluxDB 5. 配置参数。 图 配置参数 表 参数信息说明 参数名称 说明 URL URL的格式为： Auth 打开选项“Basic auth”和“skip TSL Verify”。 Basic Auth Details User：rwuserl Password：购买GeminiDB Influx数据库实例时设置的密码。 InfluxDB Details Database：已创建的数据库名称，例如：telegraf。l User：rwuserl Password：购买GeminiDB Influx数据库实例时设置的密码。 6. 单击“save”。 7. 连接成功后您就可以根据业务需求创建相应的数据看板。

本页面介绍云数据库ClickHouse的产品优势。 强大的性能、便捷的运维、安全可靠性和灵活的架构是云数据库ClickHouse的关键优势。 高性能 分布式大规模并行处理（MPP）架构，支持大规模数据的高速处理，应用延时更低；SIMD 高效指令集、向量化执行引擎、列式存储和索引优化，充分利用硬件资源，单个查询的处理性能可达每秒TB级别；数据秒级入仓，数据极速加载。 便捷运维 可视化的集群监控和运维能力，便于运维人员快速发现和处理问题；集群最佳实践配置，一键交付上线 安全可靠 提供多租户资源隔离，企业级安全防护及网络隔离，以及针对人为错误的故障安全机制，访问使用更加安全；多副本、集群高可用能力，提供自动容灾服务，确保业务连续性 架构灵活 单副本、多副本架构，支持在线扩展节点，提升计算和存储能力；支持存储按需扩容，有效应对业务增长 综上所述，云数据库ClickHouse以其卓越的性能、便捷的运维、安全可靠性和灵活的架构为用户提供了强大的数据分析解决方案。无论是大规模数据处理还是复杂分析查询，云数据库ClickHouse都能够满足用户的要求并提供卓越的性能和可靠性。

类别 说明 告警转事件原因 当告警的严重性达到一定程度，或者持续出现，或者其影响范围广泛时，它可能不再仅仅是一个需要关注的信号，也可能表明系统或网络中存在一个持续性的问题，此时，它已经演变成了一个需要立即处理的事件，这种情况下，可以将告警转化为事件来处理，以便深入调查问题的根源，并采取相应的措施来彻底解决。通常告警转事件的原因有以下几个方面： 信息聚合与分类 告警通常是对某个特定条件或阈值被违反的即时响应。随着时间的推移，大量的告警可能会被触发，如果直接处理这些独立的告警，可能会变得非常混乱和低效。将这些告警聚合成事件，可以帮助相关人员根据告警的类型、来源、影响等维度进行分类，从而更有效地处理它们。 简化工作流程 告警到事件的转换过程，通常伴随着对告警的过滤、去重、聚合等处理。这些处理使得原本可能触发多个相似告警的情况，被整合为一个更具代表性的事件。这样不仅减少了处理单个告警的工作量，也使得处理过程更加条理清晰，便于跟踪和记录。 提升问题解决效率 将告警转换为事件后，由于事件通常提供了比单个告警更全面的上下文信息，因此相关人员可以更容易地识别出问题的根本原因，有助于更快地定位问题，并采取有效的解决措施。 便于历史回顾与趋势分析 事件记录了问题的发生、发展、解决的全过程，这为后续的问题预防、系统优化等提供了宝贵的历史数据。通过对事件进行趋势分析，可以发现系统中潜在的薄弱环节，提前采取措施进行改进。 增强跨部门协作 在大型组织中，不同的部门可能需要共同参与问题的处理。将告警转换为事件后，可以更容易地在不同部门之间共享相关信息，促进跨部门协作，提高问题解决的效率。 总而言之，将告警转换为事件助于简化工作流程、提升问题解决效率、便于历史回顾与趋势分析。 告警关联事件原因 告警关联事件是监控和故障管理中的一个重要环节，它涉及到将多个独立但可能相互关联的事件或告警组合起来，以便更好地理解问题的根源和范围，从而更有效地进行故障排查和响应。通常告警关联事件的原因有以下几个方面： 依赖关系 在复杂的系统中，各个组件之间往往存在复杂的依赖关系。当一个组件出现故障时，可能会影响依赖它的其他组件的正常工作，进而引发一系列告警。例如，在微服务架构中，一个服务的崩溃可能导致调用该服务的其他服务也出现问题。 资源共享 当多个系统或服务共享同一资源（如服务器、数据库、网络设备等）时，该资源的问题可能导致多个系统或服务同时发出告警。例如，共享数据库服务器的性能下降可能会触发多个依赖该数据库的应用程序的性能告警。 连锁反应 某些情况下，一个初始的故障可能触发一系列连锁反应，导致更多的组件或系统受到影响。这种连锁反应可能由于系统设计不当、错误处理机制不完善或资源限制（如内存泄漏导致的性能下降）等原因引起。 配置错误 配置错误或不一致的配置可能导致系统行为异常，进而触发多个看似不相关的告警。例如，错误的路由配置可能导致流量被错误地路由到不稳定的服务器，从而引发多个与性能相关的告警。 软件缺陷 软件中的缺陷（如bug）可能导致程序在特定条件下表现异常，并触发告警。如果这些缺陷影响了多个组件或系统，则可能引发多个关联告警。 外部因素 外部因素如自然灾害（如地震、洪水）、网络攻击、基础设施故障（如电力中断、网络中断）等也可能导致多个系统或组件同时出现问题，并触发大量告警。

规格 表 kc2型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 网卡个数上限 辅助网卡个数上限 虚拟化类型 kc2.large.2 2 4 10/2 90 2 3 16 基于QingTian架构的极简虚拟化 kc2.xlarge.2 4 8 10/4 100 4 3 32 基于QingTian架构的极简虚拟化 kc2.2xlarge.2 8 16 15/8 200 8 4 64 基于QingTian架构的极简虚拟化 kc2.3xlarge.2 12 24 20/10 300 12 4 96 基于QingTian架构的极简虚拟化 kc2.4xlarge.2 16 32 30/15 400 16 6 128 基于QingTian架构的极简虚拟化 kc2.6xlarge.2 24 48 40/20 600 24 6 192 基于QingTian架构的极简虚拟化 kc2.8xlarge.2 32 64 50/25 800 32 6 256 基于QingTian架构的极简虚拟化 kc2.10xlarge.2 40 80 60/30 1000 40 6 256 基于QingTian架构的极简虚拟化 kc2.12xlarge.2 48 96 80/40 1200 48 6 256 基于QingTian架构的极简虚拟化 kc2.16xlarge.2 64 128 90/50 1600 64 6 256 基于QingTian架构的极简虚拟化 kc2.20xlarge.2 80 160 102/60 2000 64 8 256 基于QingTian架构的极简虚拟化 kc2.24xlarge.2 96 192 102/80 2400 64 8 256 基于QingTian架构的极简虚拟化 kc2.32xlarge.2 128 256 102/90 3200 64 8 256 基于QingTian架构的极简虚拟化 kc2.40xlarge.2 160 320 102/102 4000 64 15 256 基于QingTian架构的极简虚拟化 kc2.large.4 2 8 10/2 90 2 3 16 基于QingTian架构的极简虚拟化 kc2.xlarge.4 4 16 10/4 100 4 3 32 基于QingTian架构的极简虚拟化 kc2.2xlarge.4 8 32 15/8 200 8 4 64 基于QingTian架构的极简虚拟化 kc2.3xlarge.4 12 48 20/10 300 12 4 96 基于QingTian架构的极简虚拟化 kc2.4xlarge.4 16 64 30/15 400 16 6 128 基于QingTian架构的极简虚拟化 kc2.6xlarge.4 24 96 40/20 600 24 6 192 基于QingTian架构的极简虚拟化 kc2.8xlarge.4 32 128 50/25 800 32 6 256 基于QingTian架构的极简虚拟化 kc2.10xlarge.4 40 160 60/30 1000 40 6 256 基于QingTian架构的极简虚拟化 kc2.12xlarge.4 48 192 80/40 1200 48 6 256 基于QingTian架构的极简虚拟化 kc2.16xlarge.4 64 256 90/50 1600 64 6 256 基于QingTian架构的极简虚拟化 kc2.20xlarge.4 80 320 102/60 2000 64 8 256 基于QingTian架构的极简虚拟化 kc2.24xlarge.4 96 384 102/80 2400 64 8 256 基于QingTian架构的极简虚拟化 kc2.32xlarge.4 128 512 102/90 3200 64 8 256 基于QingTian架构的极简虚拟化 kc2.40xlarge.4 160 640 102/102 4000 64 15 256 基于QingTian架构的极简虚拟化 表 kc1s型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 网卡个数上限 虚拟化类型 kc1s.large.2 2 4 2/0.4 30 2 2 KVM kc1s.xlarge.2 4 8 3/0.8 50 2 3 KVM kc1s.2xlarge.2 8 16 4/1.5 80 4 4 KVM kc1s.3xlarge.2 12 24 5/2 110 4 5 KVM kc1s.4xlarge.2 16 32 7/3 140 4 6 KVM kc1s.6xlarge.2 24 48 8/4 200 8 6 KVM kc1s.8xlarge.2 32 64 10/5 260 8 6 KVM kc1s.12xlarge.2 48 96 15/8 350 16 6 KVM kc1s.15xlarge.2 60 120 18/10 400 16 6 KVM kc1s.large.4 2 8 2/0.4 30 2 2 KVM kc1s.xlarge.4 4 16 3/0.8 50 2 3 KVM kc1s.2xlarge.4 8 32 4/1.5 80 4 4 KVM kc1s.3xlarge.4 12 48 5/2 110 4 5 KVM kc1s.4xlarge.4 16 64 7/3 140 4 6 KVM kc1s.6xlarge.4 24 96 8/4 200 8 6 KVM kc1s.8xlarge.4 32 128 10/5 260 8 6 KVM kc1s.12xlarge.4 48 192 15/8 350 16 6 KVM