名称 描述 Users.member.UserName IAM用户名。 Users.member.UserId IAM用户ID。 Users.member.Arn IAM用户的资源名称。 Users.member. MFADeviceCount IAM用户关联的MFA数量。 Users.member.CreateDate 创建IAM用户的时间，采用ISO 8601日期时间格式。 Users.member.PasswordLastUsed 上次使用用户密码登录OOS网站的时间，采用ISO 8601日期时间格式。 说明 如果从未使用密码登录，不返回此字段。 如果用户当前没有密码，但过去有密码，则此字段包含最近使用密码的时间。 Users.member.AccessKeyCount 用户的AK数量。 Users.member.PasswordCreateDate 密码的创建时间。 说明 如果更新过密码，返回密码的最近一次更新的时间。 若无密码，则不返回此项。 IsTruncated 用户是否已经都返回： true：有未返回的用户。 false：已经返回所有的用户。 Marker 分页标识。当IsTruncated是true时，该项存在，并且包含要用于后续分页请求的参数Marker值。

方向 授权策略 类型 优先级 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 100 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 100 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 99 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的IPv4地址通讯状况 入方向 允许 IPv6 99 ICMP Any ::/0 使用ping程序测试云服务器之间的IPv6地址通讯状况 入方向 允许 IPv4 99 TCP 22 0.0.0.0/0 允许所有IPv4地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv6 99 TCP 22 ::/0 允许所有IPv6地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 99 TCP 3389 0.0.0.0/0 允许所有IPv4地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv6 99 TCP 3389 ::/0 允许所有IPv6地址通过RDP远程连接到Windows云服务器。 入方向 拒绝 IPv4 100 Any Any 0.0.0.0/0 禁止所有IPv4类型的入站流量的数据报文通过。 入方向 拒绝 IPv6 100 Any Any ::/0 禁止所有IPv6类型的入站流量的数据报文通过。

参数 参数类型 说明 示例 下级对象 clusterId String 实例id OpenSearchUTLGQLHQPJNJSDCRPPJBP clusterName String 实例名称 ostest state String 健康状态： GREEN/YELLOW/RED GREEN enableIpv6 String OPEN：开启ipv6访问 CLOSE：关闭ipv6 访问 NOTDISPLAY：不展示ipv6 OPEN regionId String 资源池编码 bb9fdb42056f11eda1610242ac110002 regionName String 资源池名称 华东1 availableZoneId String 可用区编码 cnhuadong1jsnj1Apublicctcloud azName String 可用区名称 可用区1 vpcName String vpc名称 vpcipv6 vpcId String vpcId vpc8p9hpn4o8g subnetName String 子网名称 subnetipv6 subnetId String 子网id subnetmp6a3hce8q securityGroupId String 安全组id sga0k8e4nvre securityGroupnName String 安全组名称 DefaultSecurityGroup cpuInfo String cpu架构 x86 osType String 操作系统类型 CTyun clusterType Integer 实例类型： 1：表示OpenSearch 2：表示Elasticsearch 1 clusterTypeName String 类型名称 OpenSearch/Elasticsearch clusterTypeVersion String 实例版本 2.9.0 payType String 付费类型 包年包月 clusterDueTime Integer 实例到期时间 1745033321000 createTime Integer 创建时间 1742353726000 userName String 访问控制用户名 admin osVmSpecName String 映射的主机名称（节点规格名称） esearch4c16g clusterMessage String 错误原因：异常撤单的会有原因 实例开通失败，已自动退单，失败原因：后端服务部署失败 cpuNum Integer cpu大小 4 memory Integer 内存大小 16 hostNum Integer 主机数量 3 diskVolumn Integer 存储空间 40 componentName String 组件名称 kibana/dashboard loadBalancerName String 负载均衡器名称 targetGroupName String 后端主机组名称 routerHostInfo Object 组件节点信息 表routerHostInfo dataHostInfos Array of Objects 数据节点组类型信息 表dataHostInfos exclusiveMasterHostInfos Array of Objects 专属MASTER数据节点组类型信息 表exclusiveMasterHostInfos coordinateHostInfos Array of Objects 协调节点组类型信息 表coordinateHostInfos coldHostInfos Array of Objects 冷数据节点组类型信息 表coldHostInfos

本页介绍了关系数据库MySQL版资源池和产品功能概览。 针对关系数据库MySQL版帮助文档中“一类节点”的资源池进行说明。“一类节点”中的资源池分为I类型资源池和II类型资源池。推荐使用II类型资源池。 表1 资源池说明 I 类型资源池 北京5、晋中、辽阳1、内蒙古6、石家庄20、杭州2、合肥2、九江、南京3、上海7、芜湖2、郴州2、佛山3、福州4、福州25、广州X节点（仅省内可见）、海口2、衡阳3、武汉4、乌鲁木齐4、乌鲁木齐27、西安3、西安4、西安5、中卫2、成都4、贵州3、昆明2、拉萨3、重庆2、帆豫智联、中卫5、西宁2 说明 所有I 类型资源池自2025年6月17日起已不再支持新购实例，如有问题，请提单咨询。 II 类型资源池 全域可见：西南1、南宁23、长沙42、华北2、南昌5、青岛20、上海36、华南2、华东1、太原4、武汉41、郑州5、西安7、西南2贵州、杭州7、广州4、苏州、芜湖4、呼和浩特3、庆阳2、乌鲁木齐7、上海15、佛山7、沈阳8 仅当地省内可见：河北张家口IT上云1、长春3、湖南永州一城一池1、宁波2、北京行业云20、广州x节点xc可用区 国际站资源池 香港2（区分国内站和国际站），澳门（国内站），印度尼西亚1（国内站） 说明 1. Ⅰ类型资源池和Ⅱ类型资源池通过管理控制台，点击控制中心右侧的区域框进行选择。 2. 广州4、苏州资源池可以通过实例管理页签的“Ⅱ类型资源池切换”按钮进行选择。 3. 关于香港2节点，国内站可以正常访问关系数据库MySQL版控制台左上角选择香港2节点，国际站可以通过点击国际站官网，选择关系数据库MySQL产品，享受数据库服务。您需要注意的是国际站和非国际站资源池的账号系统是彼此独立的。 4. Ⅱ类型资源池中，华南2、西南1、广州4、华东1、华北2等资源池均加载了国产化系列实例类型。具体加载类型可参见实例规格，关于国产化云主机相关情况可参考国产化云主机，以了解不同系列区别。 5. Ⅱ类型资源池中，自2024年12月30日起，已完成架构升级的资源池有：西南1、华东1、华北2、长沙42、上海36、太原4、武汉41、郑州5、广州4、西南2贵州、南昌5、华南2等所有Ⅱ类型资源池。 表2 功能说明 功能模块 产品功能 I 类型资源池 II 类型资源池 计费模式 按需 支持 支持 计费模式 包周期 支持 支持 数据库工具 智能问答助手 不支持 部分资源池支持 数据库工具 智能运维与实例画像 不支持 部分资源池支持 数据库工具 支持DMS登录数据库 不支持 部分资源池支持 数据库工具 数据库克隆 不支持 支持 部署方式 跨可用区 不支持 部分资源池支持 规格 单机实例 支持 支持 规格 主备实例 支持 支持 规格 一主两备实例 支持 支持 规格 只读实例 仅部分资源池支持 支持 实例管理 备份空间扩容 支持 支持 实例管理 存储空间扩容 支持 支持 实例管理 规格扩容 支持 支持 实例管理 规格缩容 不支持 支持 实例管理 存储空间自动扩容 不支持 支持 实例管理 性能自动扩容 不支持 支持 实例管理 性能自动缩容 不支持 仅华东1、华北2、西安7支持 实例管理 系列升级 支持 支持 实例管理 参数模板 支持 支持 实例管理 参数模板导入导出 不支持 支持 实例管理 标签管理 支持 支持 实例管理 主备切换 支持 支持 实例管理 修改切换策略 不支持 支持 实例管理 修改数据复制方式 不支持 支持 实例管理 迁移可用区 不支持 支持 实例管理 重启实例 支持 支持 实例管理 修改数据库端口 支持 支持 实例管理 设置可维护时间段 不支持 支持 实例管理 续订实例 支持 支持 实例管理 释放实例 支持 支持 实例管理 修改实例名称 支持 支持 实例管理 开启和关闭实例释放保护 不支持 支持 实例管理 MGR集群 不支持 仅西南1支持 实例管理 表名大小写 不支持 支持 实例管理 设置只读复制延迟 不支持 支持 实例管理 实例回收站 不支持 支持 实例管理 购买相同配置实例 不支持 支持 实例管理 只读转单机 不支持 西南1、华北2支持 实例管理 事件定时器 不支持 部分资源池支持 实例管理 设置数据库只读 不支持 支持 实例版本 升级内核小版本 不支持 支持 实例版本 升级数据库版本 不支持 支持 密码设置 自定义密码策略 不支持 支持 密码设置 修改密码 支持 支持 密码设置 密码锁定插件 不支持 支持 账号管理 创建账号 支持 支持 账号管理 修改账号权限 支持 支持 账号管理 重置高权限账号 不支持 支持 账号管理 基于数据库代理创建只读账号 不支持 支持 账号管理 禁用root账号 不支持 支持 数据库管理 创建数据库 支持 支持 数据库管理 删除数据库 支持 支持 监控告警 查看监控 支持 支持 监控告警 设置查看监控频率 不支持 支持 监控告警 设置报警规则 不支持 支持 问题诊断 死锁分析 不支持 仅西南1支持 问题诊断 空闲连接管理 不支持 支持 安全 透明数据加密TDE 不支持 仅华东1、西南1、华南2、杭州7支持 安全 SQL审计 不支持 支持 安全 SQL拦截 不支持 支持 安全 SSL加密 支持 支持 安全 云盘加密 不支持 仅华北2、华东1、西南1支持 安全 SQL限流 不支持 支持 安全 动态脱敏 不支持 支持 安全 IP白名单 不支持 支持 日志记录 日志管理 支持 支持 日志记录 任务列表 支持 支持 日志记录 操作记录 不支持 支持 日志记录 云审计 不支持 支持 备份 自动备份 支持 支持 备份 库表备份 不支持 支持 备份 手动备份 支持 支持 备份 对象存储 不支持 除广州4、苏州外其他均支持 备份 下载数据备份 不支持 未加载对象存储资源池不支持 备份 下载日志备份 不支持 未加载对象存储资源池不支持 备份 高频物理备份 支持 支持 备份 快照备份 不支持 仅西南1支持 备份 binlog本地设置 不支持 支持 备份 跨域备份 不支持 仅华东1、华北2、西南1支持 备份 备份类型转换 不支持 支持 备份 逻辑备份 不支持 支持 恢复 恢复至原实例 支持 支持 恢复 恢复至新实例 不支持 支持 恢复 多库表恢复 不支持 支持 恢复 快照恢复 不支持 白名单用户支持 恢复 跨域恢复 不支持 仅华东1、华北2、西南1支持 恢复 SQL闪回 不支持 支持 访问 数据库代理 不支持 支持 访问 IPv4 支持 支持 访问 IPv6 不支持 支持 访问 弹性IP 部分资源池支持 支持 访问 开通指定IP地址 不支持 支持 访问 实例内网域名 不支持 支持 访问 修改内网连接地址（IPV4） 不支持 支持 访问 切换实例VPC 不支持 除广州4、苏州外其他均支持 计费变更 按需实例转包周期 支持 支持 计费变更 包周期实例转按需 支持 支持 其他 主子账号/账号委托 部分资源池支持 支持

关键操作列表 事件名称 级别 创建用户委托 normal 删除用户委托 warning 授权企业项目 normal 创建集群 normal 节点扩容 normal 节点缩容 warning 节点升规格 normal 节点重置 warning 节点磁盘扩容 normal 节点磁盘缩容 warning 集群退订 warning 集群销毁 warning 集群复机 normal 更新集群描述 normal 升级集群 normal 暂停升级集群 normal 取消升级集群 warning 恢复升级集群 normal 删除集群 warning 获取kubeconfig warning 获取临时kubeconfig warning 吊销用户证书 warning 集群API Server绑定/解绑eip warning 集群节点绑定eip normal 集群节点解绑eip warning 创建节点池 normal 更新节点池 normal 删除节点池 warning 批量删除节点池 warning 发布插件实例 normal 升级插件实例 normal 重新发布插件实例 normal 回滚插件实例 warning 删除插件实例 warning 创建工作负载 normal 工作负载扩缩容 normal 全量替换工作负载 warning 克隆工作负载 normal 删除工作负载 warning 快速重新部署工作负载 warning 滚动重新部署工作负载 warning 停止工作负载 warning 启动工作负载 normal 回滚工作负载到上一版本 warning 回滚工作负载到指定版本 warning 重启工作负载指定Pod warning 设置工作负载自动伸缩 normal 关闭工作负载自动伸缩 normal 批量删除工作负载 warning 批量启动工作负载 warning 批量停止工作负载 warning 批量快速重新部署工作负载 warning 批量滚动部署工作负载 warning 批量水平伸缩工作负载 warning 创建ConfigMap normal 删除ConfigMap warning 批量删除ConfigMap warning 新增ConfigMap Item normal 删除ConfigMap Item warning 更新ConfigMap Item normal 创建Secret normal 删除Secret warning 批量删除Secret warning 新增Secret Item normal 删除Secret Item warning 更新Secret Item normal 创建TLS凭证 normal 更新TLS凭证 normal 创建Ingress normal 删除Ingress warning 批量删除Ingress warning 全量替换Ingress warning 创建Service normal 删除Service warning 批量删除Service warning 全量替换Service warning 创建namespace normal 删除namespace warning 设置 namespace 资源配额 normal 更新 namespace 资源配额 normal 取消设置 namespace 资源配额 warning 创建PVC normal PVC扩容 normal 删除PVC warning 批量删除PVC warning 新增存储池 normal 更新存储池 normal 删除存储池 warning 删除Role warning 批量删除Role warning 删除ClusterRole warning 批量删除ClusterRole warning 子账号RBAC授权 warning 创建策略实例 normal 更新策略实例 normal 删除策略实例 warning 创建/配置巡检任务 normal 执行巡检检查 normal 删除巡检任务 warning 删除巡检报告 warning 创建ETCD备份任务 normal 删除ETCD备份任务 warning 更新ETCD备份任务 normal 触发ETCD备份 normal ETCD备份还原 normal 下载ETCD备份文件 normal 创建备份任务 normal 下载集群备份文件 normal 上传集群备份文件 normal 删除集群备份任务 warning 集群备份还原 warning 删除集群还原任务 warning 创建集群定时备份任务 normal 更新集群定时备份任务 normal 删除集群定时备份任务 warning 立即执行集群定时备份任务 normal 下发命名空间级别Resource normal 下发集群级别Resource normal 更新命名空间级别Resource normal 更新集群级别Resource normal 删除命名空间级别Resource warning 删除集群级别Resource warning 上传模板 normal 删除模板 warning 删除模板版本 warning 批量删除模板版本 warning 修改模板 normal 发布模板实例 normal 删除模板实例 warning 更新模板实例 normal 升级模板实例 normal 回滚模板实例 warning

本文主要介绍 节点磁盘检查。 检查项内容 当前检查项包括以下内容： 检查节点关键数据盘使用率是否超过95% 检查/tmp目录是否存在500MB可用空间 解决方案 节点升级过程中需要使用磁盘存储升级组件包，使用/tmp目录存储临时文件。 (1) 问题场景一：磁盘使用率超过95% 请执行以下检查命令，检查当前各关键磁盘的空间使用情况，删除整理确保各空间使用率均小于95%后，重试检查。 docker容器运行时磁盘分区 df h /var/lib/docker contianerd容器运行时磁盘分区 df h /var/lib/containerd kubelet磁盘分区 df h /var/lib/docker 系统盘 df h / (2) 问题场景二：/tmp目录空间不足 请执行以下检查命令，检查当前/tmp目录所在文件系统的空间使用情况，删除整理确保空间大于500MB后，重试检查。 df h /tmp

本文主要介绍登录节点。 约束与限制 SSH方式登录时要求该节点（弹性云主机 ECS）已绑定弹性公网IP。 只有运行中的弹性云主机才允许用户登录。 Linux操作系统用户名为root。 登录方式概述 登录节点（弹性云主机ECS）的方式有如下两种： 管理控制台远程登录（VNC方式） 未绑定弹性公网IP的弹性云主机可通过管理控制台提供的远程登录方式直接登录。 详细操作请参考：Linux云主机远程登录（VNC方式）。 SSH方式登录 仅适用于Linux弹性云主机。您可以使用远程登录工具（例如PuTTY、Xshell、SecureCRT等）登录弹性云主机。如果普通远程连接软件无法使用，您可以使用云主机ECS管理控制台的管理终端连接实例，查看云主机操作界面当时的状态。 说明 SSH方式登录包括SSH密钥和SSH密码两种方式。 本地使用Windows操作系统登录Linux节点时，输入的镜像用户名（Autologin username）为：root。 CCE控制台不提供针对节点的操作系统升级，也不建议您通过yum方式进行升级，如果您在节点上通过yum update升级了操作系统，会导致容器网络的组件不可用。

本页介绍了文档数据库服务版本相关常见问题。 文档数据库服务是否支持版本升级 文档数据库服务目前暂不支持通过控制台进行版本升级。

参数 说明 计费模式 支持“包年/包月”和“按需付费”两种模式，购买后同时支持计费模式互转。 包年/包月：用户选购完服务配置后，可以根据需要设置购买时长，系统会一次性按照购买价格对账户余额进行扣费。 按需计费：用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 区域 DRDS实例所在区域，可根据需要直接切换区域。 项目 DRDS实例所在的项目。 实例名称 DRDS实例的名称。 名称不能为空。 只能以英文字母开头。 长度为4到64位的字符串。 可包含英文字母、数字、下划线（）和中划线（）。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。 节点个数 实例所含有节点个数，最多支持32个节点数。 说明 单节点存在高可用风险，建议至少创建2节点。 DRDS实例单个节点的磁盘使用情况：系统盘40G + 数据盘1G。 可用区 可选择的可用区。 为了避免单个物理机故障影响多台云主机的情况发生，相同可用区内，DRDS支持不同虚拟机反亲和性部署，即集群里不同虚拟机部署在不同物理主机上。 DRDS支持跨可用区部署，以增强DRDS实例高可用性，达到跨可用区的容灾。 如果您的实例需要跨可用区部署，可以选择多个可用区，DRDS实例的节点将部署在不同的可用区中。 说明 跨可用区部署会产生一定的网络时延，建议将应用程序和数据库服务（DRDS、RDS）配置在相同可用区，减少网络时延。 节点规格 DRDS实例的规格，支持“通用增强型”。 说明 为了使所购买的DRDS实例能更好地满足应用需求，您需要先评估应用所需的计算能力和存储能力，结合业务类型及服务规模，选择合适的实例规格，主要包括：CPU、内存。 设置密码 可以选择“现在设置”、“创建后设置” 说明 设置的是管理员账号信息。选择“创建后设置”，可以在需要的时候，根据新增管理员账号操作步骤进行设置。 管理员账号 设置密码选择“现在设置”时，必填。管理员账号，不能与账号管理中的账号重复，创建后不能删除。 密码 设置密码选择“现在设置”时，必填。管理员账号的密码。 说明 可以在需要的时候，根据重新设置密码操作步骤进行重置。 确认密码 设置密码选择“现在设置”时，必填。管理员账号的密码。 虚拟私有云 DRDS实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。 单击“查看虚拟私有云”，系统跳转到虚拟私有云界面，可以查看相应的虚拟私有云，以及安全组的出方向规则和入方向规则。 说明 创建DRDS实例选择的虚拟私有云要与RDS for MySQL实例保持一致。 DRDS实例必须与应用程序、RDS for MySQL实例处于相同的VPC，以保证网络连通。 目前DRDS实例创建后不支持切换虚拟私有云，请谨慎选择。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，来提高网络安全性。创建DRDS实例时会自动为您配置内网地址，实例创建成功后该内网地址可修改。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“IPv4/IPv6双栈管理”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 内网安全组 已创建的内网安全组。 建议DRDS实例与应用程序、RDS for MySQL实例选择相同的安全组，三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 企业项目 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理。 参数模板 您可以选择已有参数；同时支持单击查看参数模板，在参数模板页面，进行设置参数信息。 标签 可选配置。使用标签可以方便识别和管理您拥有的分布式数据库中间件服务资源。 您可以为DRDS实例添加标签，每个DRDS实例最多支持添加20个标签。 新建标签 您可以在DRDS控制台新建标签。新建标签时，需要设置相应的标签“键”和“值”。 键：该项为必选参数，不能为空。 − 对于每个实例，每个标签的键唯一。 − 长度为1~36个字符。 − 不能为空字符串，不能以“ sys ”开头和以空格开头、结尾。 − 不能包含下列字符： 非打印字符ASCII(031)，“”，“<”，“>”，“”，“,”，“”，“/”。 值：该项为必选参数。 − 可以不填值，此时默认为空字符串。 − 长度为0~43个字符。 − 不能包含下列字符： 非打印字符ASCII(031)，“”，“<”，“>”，“”，“,”，“”。 实例创建成功后，您可以单击实例名称，在“标签”页签下查看对应标签，也可以修改或删除标签。同时，您还可以通过标签快速筛选指定实例。 如果您在申请实例时未添加标签，可以待实例创建成功后，再为实例添加标签。 购买时长 购买DRDS实例的时长，该参数仅当“计费模式”为“包年/包月”时才显示。 您可选择1个月、2个月、3个月、4个月、5个月、6个月、7个月、8个月、9个月和1年。

路由 您可以在默认路由表和自定义路由表中添加路由，路由包括目的地址、下一跳类型、下一跳地址等信息，可以决定网络流量的走向。路由分为系统路由和自定义路由。 系统路由：系统路由一般为VPC服务或者其他服务（比如VPN、DC等）自动在路由表添加的路由，无法删除或修改。 创建路由表时，VPC服务会自动在路由表中添加下一跳为Local的路由，通常情况下，路由表中有以下Local的路由： 目的地址是100.64.0.0/10，该路由用于子网内实例访问云上公共服务，比如访问DNS服务器等。 目的地址是198.19.128.0/20，表示系统内部服务使用的网段地址，比如VPCEP等服务。 目的地址是127.0.0.0/8，表示本地回环地址。 目的地址是子网网段，该路由用于当前VPC内，不同子网的内网网络互通。 您在创建子网时，开启IPv6功能，系统将自动为当前子网分配IPv6网段，就可以在路由表中看到IPv6路由。子网网段目的地址示例如下： IPv4地址：192.168.2.0/24。 IPv6地址：240e:c080:802:be7::/64 自定义路由：路由表创建完成后，您可以添加自定义路由来控制网络流量的走向，需要指定路由的目的地址和下一跳等信息。除了手动添加自定义路由，当您使用其他云服务时（比如云容器引擎CCE或者NAT网关），其他服务会自动在VPC路由表中添加自定义路由。 路由表包括默认路由表和自定义路由表，不同路由表中支持添加自定义路由的下一跳类型有差异。 下表是默认路由表支持的下一跳类型。 下一跳类型 下一跳说明 云主机实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 下表是自定义路由表支持下一跳类型。 下一跳类型 说明 云主机实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 物理机自定义网络 将指向目的地址的流量转发到一个物理机自定义网络。 VPN网关 将指向目的地址的流量转发到一个VPN网关。 云专线网关 将指向目的地址的流量转发到一个云专线网关。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 说明 个别由系统下发的路由可供用户修改和删除，这取决于创建对端服务时是否已设置目的地址。 例如，创建NAT网关时，系统会自动下发一条自定义类型的路由，没有明确指定目的地址（默认为0.0.0.0/0）,此时用户可修改该目的地址。如果在路由表页面更改路由将会导致与对端数据不一致，您可以前往对端服务页面修改远端子网来调整路由表中的路由规则。 不支持手动在VPC路由表中添加下一跳类型为“VPC终端节点”或者“云容器引擎”的路由，通常您在配置VPC终端节点或者云容器引擎服务时，由该服务自动添加在VPC路由表中。

本章节介绍了云主机备份产品的相关计费说明,包含产品规格和价格,以及对应的使用说明。 说明 该服务目前仅提供给部分存量用户使用，云服务备份（CBR）服务融合了云主机备份（CSBS），新用户请前往 资源节点 当前已在如下资源池节点支持，具体包括： 贵州、福州、杭州、深圳、广州4、苏州、郑州、青岛、西安2、上海4、芜湖、南宁、长沙2、南昌、成都3、乌鲁木齐、昆明、海口、重庆、武汉2、兰州、西宁、石家庄、中卫、长春、天津、北京2、哈尔滨、内蒙3，沈阳3节点 详情参考：天翼云产品服务资源看板 产品价格 适用于贵州、福州、杭州、深圳、广州4、苏州、郑州、青岛、西安2、上海4、芜湖、南宁、长沙2、南昌、成都3、乌鲁木齐、昆明、海口、重庆、武汉2、兰州、西宁、石家庄、中卫、长春、天津、北京2、哈尔滨、内蒙3，沈阳3节点 订购须知： 只有开通了云主机备份服务后，才能使用资源包；开通云主机备份服务需满足账号余额大于100; 购买的资源包在生效期内，扣费方式是先扣除已购买的资源包内的额度后，超出部分以按量付费方式进行结算。 资源包请按节点购买，同一节点下同一类型的多个资源包可以累加后进行费用抵扣； 备份功能费按照备份云主机的系统盘、数据盘空间总和进行收取，可根据本节点下所有待备份云主机的磁盘空间进行资源包大小评估；存储资源费用根据备份数据实际占用的存储空间收费。 说明 上海 4/ 苏州（ AZ1 ） / 苏州（ AZ2 ） / 苏州（ AZ3 ） / 杭州（ AZ1 ） / 杭州（ AZ2 ） / 芜湖 / 福州（ AZ1 ） / 福州（ AZ2 ） / 深圳 / 广州 4/ 长沙 2 （ AZ1 ） / 长沙 2 （ AZ2 ） / 武汉 2 （ AZ1 ） / 武汉 2 （ AZ2 ） / 西安 2 （ AZ1 ） / 西安 2 （ AZ2 ） / 西安 2 （ AZ3 ） / 贵州 / 成都 3/ 北京 2/华北， 功能升级完成。备份策略的执行不再校验账号的按需权限（账户余额大于100元），备份策略会正常执行，以最大限度保障您的数据安全性，确保业务安全。

本文帮助您了解无需访问公网的弹性云主机VPC配置方式。 当弹性云主机无需访问公网时，例如用于搭建网站的数据库节点或服务器节点的弹性服务器无需连接公网，虚拟私有云的配置流程如下图所示。 图 配置网络功能 表 配置流程说明 任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升弹性云主机访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的弹性云主机无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。默认规则是在出方向上的数据报文全部放行， 安全组内的弹性云主机无需添加规则即可互相访问。当默认访问规则可以满足需求时， 则无需单独再为该安全组添加安全组规则。

本节主要介绍OBS的权限管理。 如果您需要对OBS资源，为企业中的员工设置不同的用户访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有OBS的使用权限，但是不希望他们拥有删除OBS资源等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用OBS，但是不允许删除OBS资源的权限，控制他们对OBS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用OBS的其它功能。 IAM是云平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《天翼云统一身份认证服务用户指南》“产品介绍”章节。 OBS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。IAM系统预置了各服务的常用权限，例如完全控制权限、只读权限，您可以直接使用这些系统策略。 OBS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问OBS时，不需要切换区域。 RBAC策略：RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限，如访问整个服务、管理整个服务，RBAC策略无法针对服务中的具体操作做权限控制。 说明 由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待10~15分钟策略才能生效。 下表为OBS的所有系统策略。 策略名称 描述 策略类别 Tenant Administrator 操作权限：对帐号拥有的所有云资源执行任意操作。OBS策略在“全局服务>对象存储服务”下配置。 RBAC策略 Tenant Guest 操作权限：对帐号拥有的所有云资源的只读权限。OBS策略在“全局服务>对象存储服务”下配置。 RBAC策略 用户拥有OBS资源权限后，对应在OBS上可以执行的具体操作下表所示。 操作名称 Tenant Administrator权限 Tenant Guest权限 列举桶 可以 可以 创建桶 可以 不可以 删除桶 可以 不可以 获取桶基本信息 可以 可以 管理桶访问权限 可以 不可以 管理桶策略 可以 不可以 修改桶存储类别 可以 不可以 列举对象 可以 可以 列举多版本对象 可以 可以 上传文件 可以 不可以 新建文件夹 可以 不可以 删除文件 可以 不可以 删除文件夹 可以 不可以 下载文件 可以 可以 删除多版本文件 可以 不可以 下载多版本文件 可以 可以 修改对象存储类别 可以 不可以 恢复文件 可以 不可以 取消删除文件 可以 不可以 删除碎片 可以 不可以 管理对象访问权限 可以 不可以 设置对象元数据 可以 不可以 获取对象元数据 可以 不可以 管理多版本控制 可以 不可以 管理日志记录 可以 不可以 管理标签 可以 不可以 管理生命周期规则 可以 不可以 管理静态网站托管 可以 不可以 管理CORS规则 可以 不可以 管理防盗链 可以 不可以 管理跨区域复制 可以 不可以 管理图片处理 可以 不可以 设置对象ACL 可以 不可以 设置指定版本对象ACL 可以 不可以 获取对象ACL 可以 可以 获取指定版本对象ACL 可以 可以 多段上传 可以 不可以 列举已上传段 可以 可以 取消多段上传任务 可以 不可以

本文主要介绍云日志服务Log4j2 SDK的使用方法。 Ctyun Log4j2 Appender概述 Log4j2 是 log4j 的升级版本。它支持将日志输出到各种目标，如文件、控制台等，并允许通过简单的配置文件自定义日志级别、格式和输出目的地。 通过Ctyun Log4j Appender，您可以将生成的日志信息异步发送到ctyun云日志服务，其样式如下： plaintext useragent : log4j2 level : INFO location : cn.ctyun.example.Log4j2AppenderExample.main(Log4j2AppenderExample.java:10) message : log4j2 info log thread : main time : 20240606T18:03:06+0800 message : 20240606T18:03:06+0800 [main] INFO cn.ctyun.example.Log4j2AppenderExample: log4j2 info log 其中： level：日志级别。 location：日志打印语句的代码位置 。 message：日志内容。 throwable：日志异常信息，只有当记录了异常信息，这个字段才会出现。 thread：线程名称。 time：日志打印时间（可以通过 timeFormat 或 timeZone 配置 time 字段呈现的格式和时区）。 ts：日志生成时的时间。 message ：日志信息。 useragent： 日志来源 功能优势 日志实时传输： 实时性增强： 日志数据不再依赖传统的磁盘写入，而是实时通过网络通道发送至服务端，确保数据的即时性。 无侵入性集成： 无缝对接： 对于已采用log4j2作为日志框架的应用，我们提供了简洁的配置方案，无需对应用代码进行大幅度修改，即可实现日志的采集与传输。 高效异步处理： 高并发设计： 系统采用高并发架构，后台异步处理日志发送任务，即使在大量日志数据产生的情况下，也能保证系统的稳定运行和高效处理。

此小节介绍数据库审计的产品术语。 Agent 本文中所述的Agent指的是审计代理插件，是安装在数据库系统或者业务系统上的插件，其功能是捕获访问数据库系统的数据包，并将数据包发送至数据库审计。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP是简单网络管理协议（Simple Network Management Protocol）的简称，是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL是结构化查询语言（Structured Query Language）的简称，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。 数据库 数据库（Database）是用于存放数据的仓库，按照一定的数据结构（即数据的组织形式或数据之间的联系）来组织、存储，用户可以通过数据库提供的多种方法来管理数据库中的数据。 规则 本文中所述的规则是指根据一些特征（如客户端、服务端、SQL语句）定义的危险行为（安全规则）及可以信任的行为（过滤规则）。当系统审计到对数据库的操作匹配安全规则时会触发告警，对于匹配过滤规则的行为则不进行审计。

检测与修复建议 天翼云企业主机安全服务对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，如下图所示，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 进行漏洞的修复与验证，详细的操作步骤请参见漏洞管理。 其他防护建议 若您暂时无法进行升级操作，也可以采用以下方式进行防护： 方式一：使用以下命令禁用credential helper git config unset credential.helper git config global unset credential.helper git config system unset credential.helper 方式二：提高警惕避免恶意URL 1. 使用git clone时，检查URL的主机名和用户名中是否存在编码的换行符（%0a）或者凭据协议注入的证据（例如：hostgithub.com）。 2. 避免将子模块与不受信任的仓库一起使用（不使用clone recursesubmodules；只有在检查gitmodules中找到url之后，才使用git submodule update）。 3. 请勿对不受信任的URL执行git clone。

本文介绍分布式缓存服务Redis Cluster主备 分布式缓存Redis Cluster集群实例，为直连集群版，兼容开源Redis的Cluster，基于去中心化集群部署架构，Cluster中每一个节点存储一部分数据。 Redis Cluster集群实例的特点如下： 支持智能客户端JedisCluster的使用方式。 对比主备规格，整体性能与Redis分片数近乎线性增长。 架构示意图 Cluster集群的去中心化架构中，数据存储和处理负载不再由单一中心节点来管理，而是由多个节点共同参与。这种架构设计旨在提高系统的可伸缩性、可用性和容错性。 数据分布在多个节点上，从而实现更好的性能和可靠性。 数据分片 在Cluster集群中，数据分片是指将整个数据集划分为多个片段，并分别存储在不同的节点上。这种分片机制带来了一系列好处，包括横向扩展性、负载均衡和提高系统性能。Cluster会预先分配16384个slot，每个Redis的server存储所有slot与redis server的映射关系。 特点 数据同步 通过增量数据同步的方式，保持缓存实例主备节点的数据一致性。 主备秒级自动切换 当主节点出现故障不可用，系统会自动在30秒内切换至备节点，备节点升级为主节点，接管业务数据访问。 多可用区部署 开通实例时支持多可用区部署，主备节点可部署在不同的AZ内，节点间电力与网络均物理隔离，当一个可用区不可用时，其他可用区中的节点可以继续提供服务，避免单点故障，进一步提高数据可靠性。

本章主要介绍备份与恢复说明 介绍如何通过管理控制台对DCS缓存实例进行数据备份，以及备份数据恢复。 备份缓存数据的必要性 业务系统日常运行中可能出现一些小概率的异常事件，比如异常导致缓存实例出现大量脏数据，或者在实例出现故障后持久化文件不能重新加载。部分可靠性要求非常高的业务系统，除了要求缓存实例高可用，还要求缓存数据安全、可恢复，甚至永久保存。 DCS支持将当前时间点的实例缓存数据备份并存储到对象存储服务（OBS）中，以便在缓存实例发生异常后能够使用备份数据进行恢复，保障业务正常运行。 备份方式 DCS缓存实例支持自动和手动两种备份方式。 自动备份 您可以通过管理控制台设置一个定时自动备份策略，在指定时间点将实例的缓存数据自动备份存储。 定时备份频率以天为单位，您根据需要，选择每周备份一次或多次。备份数据保留最多7天，过期后系统自动删除。 定时备份主要目的在于让实例始终拥有一个完整的数据副本，在必要时可以及时恢复实例数据，保证业务稳定，实例数据安全多一重保障。 手动备份 除了定时备份，DCS还支持由用户手动发起备份请求，将实例当前缓存数据进行备份，并存储到对象存储服务（OBS）中。 您在执行业务系统维护、升级等高危操作前，可以先行备份实例缓存数据。 缓存实例在使用过程中，备份数据不会自动清除，您可根据需要手动删除备份数据。当删除实例时，备份数据会随实例删除，如果需要保存备份数据，请提前将备份数据下载保存。

问题现象 Flink Jar作业运行异常，作业日志中有如下报错信息： org.apache.flink.shaded.curator.org.apache.curator.ConnectionState Authentication failed 问题原因 因为帐号没有在全局配置中配置服务授权，导致该帐号在创建跨源连接访问外部数据时因为权限不足而导致跨源访问失败。 解决方案 1.登录DLI管理控制台，选择“全局配置 > 服务授权”。 2.在服务授权界面，全选委托权限。 3.单击“更新委托授权”。界面会提示“委托权限更新成功”，表示修改成功。 4.委托授权完成后，重新创建跨源连接和运行作业。 Flink Jar作业设置backend为OBS，报错不支持OBS文件系统 问题现象 客户执行Flink Jar作业，通过设置checkpoint存储在OBS桶中，作业一直提交失败，并伴有报错提交日志，提示OBS桶名不合法。 原因分析 1.确认OBS桶名是否正确。 2.确认所用AKSK是否有权限。 3.设置依赖关系provided防止Jar包冲突。 4.确认客户esdkobsjava3.1.3.jar的版本。 5.确认是集群存在问题。 处理步骤 1.设置依赖关系provided。 2.重启clusteragent应用集群升级后的配置。 3.去掉OBS依赖，否则checkpoint会写不进OBS。 Hadoop jar包冲突，导致Flink提交失败 问题现象 Flink 提交失败，异常为： Caused by: java.lang.RuntimeException: java.lang.ClassNotFoundException: Class org.apache.hadoop.fs.obs.metrics.OBSAMetricsProvider not found at org.apache.hadoop.conf.Configuration.getClass(Configuration.java:2664) at org.apache.hadoop.conf.Configuration.getClass(Configuration.java:2688) ... 31 common frames omitted Caused by: java.lang.ClassNotFoundException: Class org.apache.hadoop.fs.obs.metrics.OBSAMetricsProvider not found at org.apache.hadoop.conf.Configuration.getClassByName(Configuration.java:2568) at org.apache.hadoop.conf.Configuration.getClass(Configuration.java:2662) ... 32 common frames omitted

云硬盘 弹性文件 对象存储 并行文件 海量文件 概念 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为弹性云主机和弹性裸金属服务器提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可为云上多个弹性云服务器、容器、裸金属服务器提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，通过S3协议和标准的服务接口，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 并行文件服务 HPFS（CTHPFS，High Performance File Storage）是由天翼云提供的高性能并行文件存储，具有高性能，高可靠性，高可扩展性的特点，充分满足影视渲染、自动驾驶等计算和数据密集型场景的需求。 海量文件服务OceanFS（）是天翼云推出的全托管、可扩展海量文件系统，满足海量数据、高带宽型应用场景的需求。OceanFS能够弹性扩展至PB规模，具备高可用性和持久性。 数据存储逻辑 存放的是二进制数据，无法直接存放文件，如果需要存放文件，需要先格式化文件系统后使用。 采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 将数据存储为独立的对象。每个对象由数据本身和与之相关的元数据（例如文件名、文件类型、大小等）组成。 采用文件存储方式，会以文件和文件夹的层次结构来整理和呈现数据。 采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 动态存储卷 支持 支持 支持 支持 支持 静态存储卷 支持 支持 支持 支持 支持 支持数据共享 共享盘支持 支持 支持，一般用于共享读场景，不建议用于写场景。 支持 支持 存储容量 10~ 32768GB 500~ 19480GB 不限制存储空间大小，理论上可无限扩容。 512GB~10PB 100GB~4PB 应用场景 如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化；大规模数据处理与分布式计算等高性能计算场景。 如应用程序的配置文件、日志文件等需要共享的文件数据以及在容器化应用中支持多个容器实例之间的数据共享和同步。 如大数据分析，数据湖，数据备份和归档等大规模数据存储和分析场景；静态网站托管解决方案存储。 如影视渲染、气象分析、石油勘探、EDA仿真、基因分析、AI训练、自动驾驶等计算和数据密集型场景的需求。 如HPC、媒体处理、文件共享、内容管理和Web服务等多种场景。 产品规格 参见： 参见： 参见： 参见： 参见： 计费说明 参见： 参见： 参见： 参见： 参见：

本小节介绍云堡垒机升级操作方法。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限。 注意 当前仅支持同实例规格内变更资产规格，不支持跨实例规格变更。 仅支持云堡垒机资产规格升级，暂不支持资产规格降级，若需要降级，请先备份相关数据，退订堡垒机实例后重新订购新实例。 只有2.0及以上版本的堡垒机支持提升规格。 前提条件 已获取管理控制台的登录账号与密码。 实例已绑定EIP，且EIP可用。 实例的状态为“运行中”时，支持变更规格。 步骤一：变更资产规格 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需变更规格的实例，单击“更多 > 变更规格”，跳转到“变更规格”页面。 4. 选择需变更的“资产规格”。 5. 阅读并同意相关协议后，单击“提交订单”。在订单详情页面根据提示完成支付。 后台自动进行变更规格操作，实例状态更新为“变配中”，整个变更规格过程需10分钟左右。 变更完成后，实例状态恢复为“运行中”。

本文将为您介绍动态资源背景与概念。 业务需求是动态变化的，在用户实际使用弹性伸缩的过程中，也需要依据业务变化来动态进行伸缩活动，即动态扩展资源。 当业务访问请求是无规律且频繁变化时，您可以选择告警策略，业务主机的性能指标达到告警策略的阈值，则可以开始动态伸缩。 例如社交平台、新闻网站社遇到热点事件时：当检测到CPU使用率达90%，自动扩容1台实例，以确保满足业务计算需求；当CPU使用率降至30%，自动缩容1台实例，减少资源成本的浪费。 根据以上业务场景，可以配置两条告警策略： 当CPU使用率大于90%且连续出现2次时，增加1台云主机实例。 当CPU使用率小于30%且连续出现2次时，减少1台云主机实例。

接口功能介绍 查询子网列表 接口约束 无 URI POST /v1/applicationAccessPointManage/listSubnet 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池id fecnjniakfkn2314ndekqldedcsadfg 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vpcId 是 String vpc id vpcw6sty9v8rr epId 是 String 企业项目id 1 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 取值范围：200 成功 200 message String 提示信息 Success returnObj Object 返回数据结构体 {} result error String 错误码 仅错误时返回 格式为{服务编码}.{错误编号} KMS.0269 表 result 参数 参数类型 说明 示例 下级对象 list Array of Objects 子网列表 subnetList 表 subnetList 参数 参数类型 说明 示例 下级对象 subnetID String 子网id subnetqc90zmk12u name String 名称 subnetldyopenapi34 description String 描述 ldyopenapitest vpcID String vpc id vpcw6sty9v8rr availabilityZones Array of Strings 子网所在的可用区名 ["az1", "az2"] routeTableID String 路由表id rtbudnix6dfg2 networkAclID String 子网acl id CIDR String 子网网段 172.16.14.0/24 gatewayIP String 网关ip 172.16.14.1 start String 子网网段起始IP 172.16.14.3 end String 子网网段结束IP 172.16.14.253 availableIPCount Integer 子网内可用ipv4数目 251 ipv6CIDR String ipv6子网列表 100:1:1f2:7206::/64 ipv6Start String 子网内可用的起始IPv6地址 100:1:1f2:7206::4 ipv6End String 子网内可用的结束IPv6地址 100:1:1f2:7206:ffff:ffff:ffff:fffd ipv6GatewayIP String ipv6网关ip fe80::f816:3eff:fe43:dcba dnsList Array of Strings DNS服务器地址 ["8.8.4.4","114.114.114.114"] ntpList Array of Strings NTP服务器地址 type Integer 子网类型 0 createdAt String 创建时间 20221008T04:09:40Z updatedAt String 更新时间 20221008T05:09:40Z

提升云主机的端口安全 安全组是云主机的守卫，是重要的网络安全隔离手段，可以保护云主机的网络安全。安全组可以控制进出云主机的网络流量。网络流量分为出方向和入方向，出方向是指您想访问别人，入方向就是别人想访问你。如果把云主机比作一个宫殿，那安全组就像是一个守卫者，谁能进出，都由安全组规则控制。 通过配置安全组规则，限定云主机出方向和入方向的访问端口，通常我们建议您关闭高危端口，仅开启必要的云主机端口。 常见的高危端口如表 93所示，建议您修改敏感端口为其它非高危端口来承载业务。 表 常见的高危端口 协议 端口 :: TCP 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9996 定期升级操作系统 云主机申请完成后，系统内的所有配置都是需要您自行维护，云平台不负责客户系统补丁的升级，对于官方发布的一些漏洞预警，我们会有安全公告，需要您自行升级维护。

创建LoadBalancer类型Service 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“服务发现”，在右上角单击“创建服务”。 步骤 3 设置参数。 Service名称： 自定义服务名称，可与工作负载名称保持一致。 访问类型 ：选择“负载均衡 LoadBalancer”。 命名空间： 工作负载所在命名空间。 服务亲和： 详情请参见externalTrafficPolicy（服务亲和）。 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 选择器： 添加标签，Service根据标签选择Pod，填写后单击“添加”。也可以引用已有工作负载的标签，单击“引用负载标签”，在弹出的窗口中选择负载，然后单击“确定”。 IPv6： 默认不开启，开启后服务的集群内IP地址（ClusterIP）变为IPv6地址。该功能仅在1.15及以上版本的集群创建时开启了IPv6功能才会显示。 负载均衡器： 选择对接的ELB实例，仅支持与集群在同一个VPC下的ELB实例。如果没有可选的ELB实例，请单击“创建负载均衡器”跳转到ELB控制台创建。 CCE控制台支持自动创建ELB实例，在下拉框选择自动创建，填写ELB实例名称、是否公网访问（将创建 5 Mbit/s 带宽的弹性公网 IP。默认按照流量计费），独享型ELB实例还需选择可用区、子网和规格。当前仅支持自动创建网络型（TCP/UDP）独享型ELB实例。 您可以单击“编辑”配置ELB实例的参数，在弹出窗口中配置ELB实例的参数。 分配策略：可选择加权轮询算法、加权最少连接或源IP算法。 说明 加权轮询算法：根据后端服务器的权重，按顺序依次将请求分发给不同的服务器。它用相应的权重表示服务器的处理性能，按照权重的高低以及轮询方式将请求分配给各服务器，相同权重的服务器处理相同数目的连接数。常用于短连接服务，例如HTTP等服务。 加权最少连接：最少连接是通过当前活跃的连接数来估计服务器负载情况的一种动态调度算法。加权最少连接就是在最少连接数的基础上，根据服务器的不同处理能力，给每个服务器分配不同的权重，使其能够接受相应权值数的服务请求。常用于长连接服务，例如数据库连接等服务。 源IP算法：将请求的源IP地址进行Hash运算，得到一个具体的数值，同时对后端服务器进行编号，按照运算结果将请求分发到对应编号的服务器上。这可以使得对不同源IP的访问进行负载分发，同时使得同一个客户端IP的请求始终被派发至某特定的服务器。该方式适合负载均衡无cookie功能的TCP协议。 会话保持类型：默认不启用，可选择“源IP地址”。负载均衡监听是基于IP地址的会话保持，即来自同一IP地址的访问请求转发到同一台后端服务器上。 健康检查：默认不启用。此处健康检查是设置负载均衡的健康检查配置。当端口配置协议为TCP时，支持TCP和HTTP协议，当端口配置协议为UDP时，支持UDP协议。健康检查默认使用业务端口（Service的NodePort和容器端口）作为健康检查的端口；您也可以重新指定端口用于健康检查，重新制定端口会为服务增加一个名为ccehealthz的服务端口配置。 端口配置： 协议：请根据业务的协议类型选择。 服务端口：Service使用的端口，端口范围为165535。 容器端口：工作负载程序实际监听的端口，需用户确定。例如nginx默认使用80端口。 步骤 4 单击“确定”，创建Service。

本节介绍如何查看WAF独享型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF独享型实例。 查看独享型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 5. 查看独享型实例列表。 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 实例ID 实例的ID。 运行状态 当前实例的运行状态，包括正常、异常、离线。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 节点个数 当前实例的节点个数。 资源池名称 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 实例IPv4 单机版：显示单机节点本身内网IPV4地址。 集群版：显示集群VIP的IPV4地址。 实例IPv6 单机版：显示单机节点本身内网IPV6地址。 集群版：显示集群VIP的IPV6地址。 公网代理IPv4 绑定在实例上的IPV4公网地址，用于互联网IPV4通信，需要手动绑定用户的IPV4地址。 公网代理IPv6 绑定在实例上的IPV6公网地址，用于互联网IPV6通信，需要手动绑定用户的IPV6地址。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 域名个数 当前实例支持防护的防护对象个数。 业务带宽 当前实例支持防护的业务带宽。 产品版本 实例的规格，单机版或集群版。 6. 单击目标实例操作列的“查看产品详情”。 7. 在产品信息页面，可以查看实例版本、实例名称、实例ID、到期时间、实例规格等信息，并支持对实例进行管理。

本实践介绍了使用CDN加速访问对象存储ZOS的操作场景、前提条件与操作步骤。 操作场景 文件、图片、视频等静态资源一般只存储在对象存储ZOS的一个地域。不同地域的用户通过URL访问这些静态资源，响应速度存在差异；在互联网上频繁访问，会消耗大量的公网流出流量。 CDN加速能将源站内容分发至最接近用户的节点，大部分网站的静态文件会被CDN边缘节点缓存，使用户可就近、快速获取所需内容。 使用CDN加速访问对象存储ZOS，可以提升访问资源的响应速度，降低流量费用。 前提条件 已开通对象存储服务。 已开通CDN加速，请参见CDN加速购买指南产品开通。 如果要访问的桶在中国内地，确保域名已备案且备案信息有效。 注意 CDN从ZOS源站获取数据时，支持CDN回源流量的资源池采用CDN回源流量计费，不支持CDN回源流量的资源池采用公网流出流量计费。支持CDN回源流量的资源池有：西南1、福州25、杭州7、华北2、合肥2、华东1、武汉41、长沙42、华南2、呼和浩特3。 操作步骤 第一步：添加加速域名 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台首页，选择“CDN与视频>CDN加速服务”。 3. 在CDN控制台，点击“域名管理>域名列表”。 4. 在域名列表点击右上角“添加域名”。 5. 填写配置信息。配置详情，请参见CDN加速快速入门添加加速域名。在“回源配置>源站>新增源站”中，按以下说明配置各项参数。 参数 说明 源站类型 选择对象存储源站 源站 源站地址，即对象存储桶的访问地址。例如，bucketname.jiangsu10.zos.ctyun.cn。 层级 支持主或备。 权重 回该源站的权重值。 6. 若对象存储桶的读写权限为私有，即除桶ACL授权外的其他用户无桶的访问权限，请参见CDN加速用户指南域名管理回源配置私有Bucket回源进行回源配置。 7. 完成添加加速域名的信息配置后，点击“提交”。配置生效时间约510分钟。 第二步：配置CNAME 1. 域名添加成功后，在“域名管理>域名列表”页面，复制分配到的CNAME值。 2. 前往您的域名解析服务商处，添加CNAME记录。验证CDN加速服务是否生效。详情请参见：CDN加速快速入门配置CNAME。 第三步：访问对象存储ZOS 使用CDN加速域名访问ZOS中的对象。由于“指定源站回源HOST”为ZOS的桶域名，使用CDN加速域名访问对象存储的URL无需携带桶名，即

接口功能介绍 查询子网列表 接口约束 无 URI POST /v1/applicationAccessPointManage/listSubnet 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池id fecnjniakfkn2314ndekqldedcsadfg 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vpcId 是 String vpc id vpcw6sty9v8rr epId 是 String 企业项目id 1 regionToCheck 否 String regionId cnhangzhou 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 取值范围：200 成功 200 message String 提示信息 Success returnObj Object 返回数据结构体 result error String 错误码 仅错误时返回 格式为{服务编码}.{错误编号} KMS.0269 表 result 参数 参数类型 说明 示例 下级对象 list Array of Objects 子网列表 subnetList 表 subnetList 参数 参数类型 说明 示例 下级对象 subnetID String 子网id subnetqc90zmk12u name String 名称 subnetldyopenapi34 description String 描述 ldyopenapitest vpcID String vpc id vpcw6sty9v8rr availabilityZones Array of Strings 子网所在的可用区名 ["az1", "az2"] routeTableID String 路由表id rtbudnix6dfg2 networkAclID String 子网acl id cidr String 子网网段 172.16.14.0/24 gatewayIP String 网关ip 172.16.14.1 start String 子网网段起始IP 172.16.14.3 end String 子网网段结束IP 172.16.14.253 availableIPCount Integer 子网内可用ipv4数目 251 ipv6CIDR String ipv6子网列表 100:1:1f2:7206::/64 ipv6Start String 子网内可用的起始IPv6地址 100:1:1f2:7206::4 ipv6End String 子网内可用的结束IPv6地址 100:1:1f2:7206:ffff:ffff:ffff:fffd ipv6GatewayIP String ipv6网关ip fe80::f816:3eff:fe43:dcba dnsList Array of Strings DNS服务器地址 ["8.8.4.4","114.114.114.114"] ntpList Array of Strings NTP服务器地址 type Integer 子网类型 0 普通子网 1 裸金属子网 0 createdAt String 创建时间 20221008T04:09:40Z updatedAt String 更新时间 20221008T05:09:40Z

更新AIO沙箱模板 更新AIO沙箱模板和创建AIO沙箱模板最主要的区别在于模板名称，网络配置和内置环境变量配置是不可修改的，其余都相同，这里就不再赘述了。 AIO沙箱调试 前置操作 1. 登录智能体引擎控制台。 2. 左侧导航沙箱菜单下，创建AIO沙箱模板。 3. 进入AIO沙箱模板后，创建AIO沙箱实例。沙箱实例列表操作列点击调试，进入AIO沙箱实例调试页面。 代码操作浏览器 在AIO沙箱中，具备代码沙箱和浏览器沙箱两种类型的能力。AIO沙箱中预装了 puppeteercode(nodejs) 和 playwright(python)，您可以在沙箱中直接操作浏览器，也可以在代码解释器中执行如下的代码，操作内置的浏览器。 操作步骤 1. 选择AIO沙箱中内置的demo.py文件，该demo会导航到必应网站，点击运行。 2. 查看代码运行结果。

实例类型 简介 使用说明 适用场景 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。 单机版出现故障后，无法保障及时恢复。 个人学习。微型网站。中小企业的开发测试环境。 主备实例 采用一主一备的经典高可用架构，支持跨AZ高可用，选择主可用区和备可用区不在同一个可用区（AZ）。主实例和备实例共用一个IP地址。 备机提高了实例的可靠性，创建主机的过程中，会同步创建备机，备机创建成功后，用户不可见。当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 大中型企业的生产数据库。覆盖互联网、物联网、零售电商、物流、游戏等行业的应用。

本章介绍翼MapReduce的恢复HBase元数据功能。 操作场景 为了确保HBase元数据（主要包括tableinfo文件和HFile）安全，防止因HBase的系统表目录或者文件损坏导致HBase服务不可用，或者系统管理员需要对HBase系统表进行重大操作（如升级或迁移等）时，需要对HBase元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建恢复HBase任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的HBase数据。 建议一个恢复任务只恢复一个组件的元数据，避免因停止某个服务或实例影响其他组件的数据恢复。同时恢复多个组件数据，可能导致数据恢复失败。 HBase元数据不能与NameNode元数据同时恢复，会导致数据恢复失败。 对系统的影响 元数据恢复前，需要停止HBase服务，在这期间所有上层应用都会受到影响，无法正常工作。 元数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 元数据恢复后，需要重新启动HBase的上层应用。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 检查HBase元数据备份文件保存路径。 恢复HBase元数据需要先停止HBase服务。 登录FusionInsight Manager，请参见登录管理系统。

方向 授权策略 类型 优先级 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 100 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 100 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 99 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的IPv4地址通讯状况 入方向 允许 IPv6 99 ICMP Any ::/0 使用ping程序测试云服务器之间的IPv6地址通讯状况 入方向 允许 IPv4 99 TCP 22 0.0.0.0/0 允许所有IPv4地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv6 99 TCP 22 ::/0 允许所有IPv6地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 99 TCP 3389 0.0.0.0/0 允许所有IPv4地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv6 99 TCP 3389 ::/0 允许所有IPv6地址通过RDP远程连接到Windows云服务器。 入方向 拒绝 IPv4 100 Any Any 0.0.0.0/0 禁止所有IPv4类型的入站流量的数据报文通过。 入方向 拒绝 IPv6 100 Any Any ::/0 禁止所有IPv6类型的入站流量的数据报文通过。 入方向 允许 IPv4 99 Any Any 100.89.0.0/16 放通ELB内网IPv4地址段。（部分资源池default安全组支持） 入方向 允许 IPv6 99 Any Any 100:0:0:2::100.89.0.0/112 放通ELB内网IPv6地址段。（部分资源池default安全组支持） 推荐配置100:0:0:2:0:0:6459:0/112 入方向 允许 IPv4 99 Any Any 198.19.128.0/20 放通VPCE的内网IPv4地址段。（部分资源池default安全组支持） 入方向 允许 IPv6 99 Any Any 100::7:0:0:c613:8000/116 放通VPCE的内网IPv6地址段。（部分资源池default安全组支持）