WAF转发和Nginx转发有什么区别？ WAF转发和Nginx转发的主要区别为Nginx是直接转发访问请求到源站服务器，而WAF会先检测并过滤恶意流量，再将过滤后的访问请求转发到源站服务器，详细说明如下： WAF转发：网站接入WAF后，所有访问请求将先经过WAF，WAF通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击流量后，将正常流量返回给源站，从而确保Web应用安全、稳定、可用。 Nginx转发：即反向代理（Reverse Proxy）方式转发。反向代理服务器接受客户端访问请求后，直接将访问请求转发给Web服务器，并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房，代理Web服务器接收访问请求，并对访问请求进行转发。 反向代理可以防止外网对内网服务器的恶性攻击，缓存以减少内网服务器压力，还可以实现访问安全控制和负载均衡。 Web应用防火墙可以配置会话Cookie吗？ WAF不支持配置会话Cookie。 WAF可以通过配置CC攻击防护规则，限制单个Cookie字段特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。例如，您可以通过配置CC攻击规则，使Cookie标识为name的用户在60秒内访问域名的“/admin”页面超过10次时，封禁该用户访问域名600秒。 什么是Cookie Cookie是网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），Cookie由Web服务器发送到浏览器，可以用来记录用户个人信息。 Cookie由一个名称（Name）、一个值（Value）和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成。Cookie分为会话Cookie和持久性Cookie两种类型，详细说明如下： 会话Cookie 临时的Cookie，不包含到期日期，存储在内存中。当浏览器关闭时，Cookie将被删除。 持久性Cookie 包含到期日期，存储在磁盘中，当到达指定的到期日期时，Cookie将从磁盘中被删除。

本文将介绍如何查询网络层攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过网络层安全报表查询网络层防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 说明 网络层防护根据内置的智能识别算法进行攻击判断，未开放控制台配置。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【网络层攻击事件】页面。 查询功能 您可以在网络层攻击事件表头部指定您要查询的时间范围。默认将展示最近7天。 攻击详情 攻击事件列表将展示攻击开始时间、攻击结束时间、攻击峰值带宽、攻击峰值时间、被攻击域名和攻击类型。 点击单条攻击事件的操作【详情】按钮，即可查看网络层攻击事件的攻击趋势、TOP攻击源IP。 注意 TOP攻击源IP的统计功能默认关闭，攻击详情中将不进行展示。如需开通，请

本文介绍如何在天翼云函数计算控制台创建、查看、编辑和删除应用。 创建应用 应用中心以下2种方式创建应用。 应用模板：应用中心提供了Web框架、人工智能、文件处理等多种场景的应用模板，用户可以选择从模板快速初始化应用实例。 代码托管：通过导入用户已有的符合Serverless Devs规范的托管代码仓创建应用。 从预置的应用模板创建应用 在函数计算控制台 ，点击左上角导航栏选择应用 ，单击创建应用 按钮。在应用创建引导页面，选择应用模板 ，然后从中选择一个应用模板，您可以点击详情 查看应用的详细介绍，或点击立即创建以创建应用实例。 在应用创建详细页面，选择如下任一种部署类型。 通过代码仓库部署 为您创建一个远程代码仓库，默认配置Push Webhook，然后初始化应用模板应用、Push至远程代码仓库。后续您进行二次开发时，可以直接将代码Push到远程仓库，由Webhook自动发布应用。 当您选择通过代码仓库部署时，您需要选择仓库用户、新建仓库名称，若首次使用，您需要点击前往授权赋予远程代码托管平台的用户账号授权。 直接部署 从应用模板构建部署应用，后续您进行二次开发时，需要再配置远程仓库、CICD等能力。该选项用于快速体验应用的部署效果。 然后，您需要配置地域、函数名、自定义域名信息，配置流水线，点击创建并部署默认环境。

本章节主要提供数据治理中心DataArts Studio产品服务协议的预览和下载。 点此预览：《数据治理中心 DataArts Studio产品服务协议》

如何检查后端主机网络配置？ 1. 确认安全组配置是否放通 100.89.0.0/16 地址。在弹性云主机详情页，查看安全组规则，检查是允许 100.89.0.0/16 地址段的流量。如果没有，则需要根据具体情况添加或调整安全组规则，对100.89.0.0/16 地址段的流量放行。 2. 确认网络ACL是否放通 100.89.0.0/16地址。在弹性云主机所在子网的详情页，查看ACL规则，检查是允许 100.89.0.0/16 地址段的流量。如果没有，则需要根据具体情况添加或调整ACL规则，对100.89.0.0/16 地址段的流量放行。 如何检查通过EIP访问后端主机？ 1. 首先搭建后端主机上的服务，完成弹性负载均衡和后端主机配置。 2. 如果是内网负载均衡，需要先为弹性负载均衡绑定EIP。 3. 通过访问EIP的IP地址检查服务是否正常。Linux系统下可通过 curl 命令进行测试，Windows系统下可用浏览器访问进行测试。

本文为您介绍云防火墙（原生版）的权限管理能力，支持通过IAM实现对云防火墙（原生版）的访问控制、权限分配。 云防火墙（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云防火墙（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 IAM策略说明 天翼云为云防火墙（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 CFW admin 管理员，拥有云防火墙（原生版）全部操作权限。 系统策略 全局级 CFW viewer 仅拥有云防火墙（原生版）查看权限。 系统策略 全局级

此小节介绍关闭实例。 当实例的“运行状态”为“运行”时，可以关闭实例。关闭实例后，将不能登录云堡垒机系统。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击云堡垒机，进入云堡垒机实例界面。 5. 在需要关闭的实例所在行，单击“操作”列中的“更多 > 关闭”。 6. 在弹出的关闭实例对话框中，单击“确定”。实例成功关闭后，实例的“运行状态”变为“关闭”。 说明 在关闭实例对话框，可选择“强制关机”，强制关闭实例可能会造成数据丢失，请确保数据文件已全部保存。

本章节主要提供数据治理中心DataArts Studio故障排除文档的预览和下载。 点此预览、下载：《数据治理中心 DataArts Studio 故障排除》

本章节主要提供数据治理中心DataArts Studio服务等级协议的预览和下载。 点此预览：《数据治理中心 DataArts Studio 服务等级协议》

本文主要介绍使用限制 为了提高实例的稳定性和安全性，文档数据库服务在使用上有一些固定限制。 功能使用限制 操作 使用限制 :: 访问实例 若文档数据库实例未开通公网访问，则必须与弹性云主机在同一个虚拟私有云子网内才能访问。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务安全组添加一条“入”的访问规则。文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 部署 实例所部署的弹性云主机，对用户不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的rwuser权限 创建实例页面只提供管理员帐户rwuser权限。 修改数据库参数设置 用户创建的参数组中大部分数据库参数可以修改。 数据迁移 可以使用mongoexport和mongoimport命令行工具等方式迁移数据，具体请参见数据迁移。 存储引擎 支持WiredTiger存储引擎。 重启实例或节点 必须通过管理控制台操作重启实例。 查看备份文件 文档数据库服务在对象存储服务上的备份文件，对用户不可见。

本页介绍了公网连接实例如何设置安全组规则。 安全组 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和文档数据库服务实例提供访问策略。 为了保障文档数据库服务的安全性和稳定性，在使用文档数据库服务实例之前，您需要设置相应的安全组规则，开通需访问数据库的IP地址和端口。 使用公网连接文档数据库服务实例时，需要为文档数据库服务所在安全组配置相应的“入方向”规则。 白名单 白名单是在安全组之上，针对单个文档数据库实例更细粒度的IP地址访问安全管理。 入方向规则配置步骤 1. 进入TeleDB数据库控制台。 2. 在“DDS”>“实例管理”页面，选择指定的目标实例，单击实例名称，进入“基本信息”页面。 3. 在“基本信息 > 网络 > 安全组”处，单击编辑，选择安全组。 4. 单击vpc名称，进入网络控制台，选择“访问控制 > 安全组”。 5. 在安全组页面，选择指定安全组，单击名称，进入安全组详情页面。 6. 在入方向规则页签下，单击“添加规则”，弹出添加入方向规则窗口。 7. 根据界面提示配置安全组规则。 8. 单击“确定”。 白名单公网访问设置 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 点击选择“白名单管理”页，点击“添加白名单分组”按钮，或者对已有的白名单分组，点击操作栏的“修改”按钮。 5. 在弹窗页中，业务访问类型选择“公网访问”、再配置允许访问的公网IP名单信息，点击“确定”按钮即可完成白名单分组添加或修改。具体可参考白名单管理。

本文将从CC攻击的含义以及Web应用防火墙（边缘云版）提供的防护能力来介绍CC安全防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为标准版及以上版本，支持使用CC防护功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入安全配置页面。 3. 进入“CC配置”页面，可以配置CC防护策略。 配置说明 配置项 说明 CC防护 CC防护的功能开关 CC防护模式 1、【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 2、【CC防护模式】设置为长久，则域名的每次访问都进行防护校验 阈值 即厨房防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 统计频率 即设定时长内达到防护阈值，将触发防护。满足防护时长后，将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 在【统计周期】内达到【阈值】则接下来【防护时长】内符合条件的请求均进行防护校验。

本文介绍如何处理“不小心将CentOS根目录权限设置成777”的问题。当您出现类似问题时可参考本文。 问题描述 当您不小心执行了chmod R 777 /命令，导致CentOS云主机根目录以及下边的所有文件权限均被设置成了对所有用户都是可读、可写和可执行的。本文操作介绍如何修复该问题，但为了避免安全风险，建议您在进行完操作后立即备份数据并重装系统。 操作步骤 以下操作在CentOS8.0操作系统中进行了测试验证。 1. 不要退出故障云主机，在故障云主机上执行以下命令，修改ssh以及su相关的文件权限。 cd /etc chmod 644 passwd group shadow chmod 400 gshadow cd /etc/ssh chmod 600 moduli sshkey chmod 644 sshconfig ssh.pub chmod 640 R sshdconfig sshconfig.d chmod 711 /var/empty/sshd chmod u+s 'which su' 2. 执行systemctl status sshd 查看sshd状态，如果为错误状态，请查看错误原因，修改相关文件权限，直到sshd状态正常，然后进入下一步。 3. 创建一台权限正常的临时云主机：Linux操作系统，内核版本与故障云主机相同。 4. 执行以下命令，将所有文件的权限记录下来。 getfacl R / >systemp.bak 5. 使用scp命令将systemp.bak文件上传到故障云主机中，或者在故障云主机中下载该文件。 6. 在故障云主机中进行权限恢复操作。 setfacl restoresystemp.bak 7. 执行reboot命令重启操作系统。绝大多数系统文件的权限已经被恢复，但为了安全，请及时备份数据并重装系统。

本节介绍了用户数据注入的使用场景、使用限制、使用方法、关于Linux云主机的用户数据脚本、关于Windows弹性云主机的用户数据脚本等内容。 使用场景 当您有如下需求时，可以考虑使用用户数据注入功能来配置弹性云主机： 需要通过脚本简化弹性云主机配置 通过脚本初始化系统 已有脚本，在创建弹性云主机的时候一并上传到服务器 其他可以使用脚本完成的功能 使用限制 Linux： 用于创建弹性云主机的镜像安装了Cloudinit组件。 用户数据大小限制：小于等于32KB。 如果通过文本方式上传用户数据，数据只能包含ASCII码字符；如果通过文件方式上传用户数据，可以包含任意字符，同时，要求文件大小小于等于32KB。 必须是公共镜像，或继承于公共镜像的私有镜像，或自行安装了Cloudinit组件的私有镜像。 必须满足相应Linux弹性云主机自定义脚本类型的格式要求。 使用的VPC网络必须开启DHCP，安全组出方向规则保证80端口开放。 选择“密码”登录方式时，不支持用户数据注入功能。 Windows 用于创建弹性云主机的镜像安装了Cloudbaseinit组件。 用户数据大小限制：小于等于32KB。 如果通过文本方式上传用户数据，数据只能包含ASCII码字符；如果通过文件方式上传用户数据，可以包含任意字符，同时，要求文件大小小于等于32KB。 必须是公共镜像，或继承于公共镜像的私有镜像，或自行安装了Cloudbaseinit组件的私有镜像。 使用 VPC网络必须开启DHCP，安全组出方向规则保证80端口开放。

本节主要介绍数据库连接类问题 如何接入GeminiDB Redis 目前GeminiDB Redis提供使用内网、公网、程序代码等方式接入GeminiDB Redis，具体方法请参见连接方式介绍。 如何使用GeminiDB Redis提供的多个节点IP地址 GeminiDB Redis提供多个IP地址供客户连接，连接任何一个IP地址都可以访问整个集群，其目的是为了提供负载均衡和容灾能力。 您可以通过以下两种方法使用多个IP。 1. 业务侧实现连接池，实现负载均衡和故障检测处理。 2. 联系客服，为您配置ELB（Elastic Load Balance，弹性负载均衡）服务，提供唯一IP供客户使用。 GeminiDB Redis提供的ELB的实现方式是怎样的 详情请参见弹性负载均衡。 如何创建和连接弹性云主机 1. 创建弹性云主机，请参见《弹性云主机快速入门》。 该弹性云主机用于连接GeminiDB Redis的实例，需要与目标实例处于同一虚拟私有云和子网内。 正确配置目标实例安全组，使得弹性云主机处于目标实例所属安全组允许访问的范围内。 2. 连接弹性云主机，请参见《弹性云主机快速入门》中“登录弹性云主机”的内容。 GeminiDB Redis实例购买成功后是否支持更换VPC GeminiDB Redis实例创建完成后暂不支持直接通过控制台更换VPC。 但您可以通过已有的全量备份恢复到新实例的方法切换到目标VPC。具体操作请参考恢复备份到新实例。

本文主要介绍云原生网络2.0。 云原生网络2.0网络模型 云原生网络2.0是CCE的新一代容器网络模型，深度整合了虚拟私有云VPC的弹性网卡（Elastic Network Interface，简称ENI）和辅助弹性网卡（Sub Network Interface，简称SubENI）的能力，直接从VPC网段内分配容器IP地址，支持ELB直通容器，绑定安全组，绑定弹性公网IP，享有高性能。 图 云原生网络2.0 说明 物理机节点上Pod使用ENI网卡；ECS节点上Pod使用SubENI网卡，SubENI网卡通过VLAN子接口挂载在ENI上。 节点内Pod间通信：直接通过VPC的弹性网卡/弹性辅助网卡进行流量转发。 跨节点Pod间通信：直接通过VPC的弹性网卡/弹性辅助网卡进行流量转发。 约束与限制 仅CCE Turbo集群支持使用云原生网络2.0。 优缺点 优点 容器网络直接使用的VPC，网络问题易排查、性能最高。 支持VPC内的外部网络与容器IP直通。 可直接利用VPC提供的负载均衡、安全组、弹性公网IP等能力。 缺点 由于容器网络直接使用的VPC，消耗VPC的地址空间，创建集群前需要合理规划好容器网段。 适用场景 性能要求高，需要使用VPC其他网络能力的场景：由于云原生网络2.0直接使用的VPC网络，性能与VPC网络的性能几乎一致，所以适用于对带宽、时延要求极高的业务场景，比如：线上直播、电商秒杀等。 大规模组网：云原生网络2.0当前最大可支持2000个ECS节点，10万个容器。

本章节主要提供数据治理中心DataArts Studio用户操作指南的预览和下载。 点此预览、下载：《数据治理中心 DataArts Studio 用户操作指南》

安全体检连通性检测说明。网络不可达将导致体检失败，请您根据以下提示对体检IP展开全面检测。 体检IP连通性检测是开始体检任务前的一项重要工作。体检IP与体检引擎互联网IP网络不通将会导致体检失败。 您可以点击体检IP列表右上角“检测联通性”，检测所有体检IP与体检引擎互联网IP的网络连通性。 当单个体检IP网络不可达时，您可以点击此体检IP的刷新按钮，完成单个IP的检测。 注意 当前体检引擎IP到此IP地址网络不可达，建议您检查： 1. 安全组策略是否限此IP访问。 2. 防火墙配置是否限制此IP访问。 3. 体检引擎互联网IP是否添加至白名单。 4. 此弹性IP是否正确绑定云主机。 5. 云主机是否正常开机。

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关分布式消息服务MQTT实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务MQTT实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务MQTT构建隔离、私密的虚拟网络环境，提升消息队列的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。

本章节主要介绍翼MapReduce服务的多租户功能。 简介 现代企业的数据集群化正在逐步向中心化、云计算方向发展，多用户在多个集群上执行不同的应用（分析、查询、流式处理等），存储不同类型与格式的数据。受业务性质等因素影响，部分用户（如银行、政府机构等）对数据安全问题非常重视，无法容忍自己的数据和他人数据放在一起。 翼MapReduce提供多租户功能，将大数据集群资源分割为相互独立的资源集合，用户可“租用”所需的资源集合，用于执行应用、工作、存储数据。在大数据集群中，提供多个资源集合满足多个用户的不同需求。 优势 合理配置和隔离资源： 租户之间的资源是隔离的，一个租户对资源的使用不影响其他租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费： 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，对用户资源消费进行测量和统计。 保证数据安全和访问安全： 多租户场景下，分开存放不同租户的数据、控制用户对租户资源的访问权限，以保证数据安全和访问安全。

最佳实践概述 场景描述 概述：用户在天翼云的不同区域中创建了多个VPC，区域1的VPC通过VPN连接至区域2的其中一个VPC。区域2的VPC之间两两通过PPC互联，使得不同区域的VPC之间的网络数据互联互通。 典型行业：所有公有云行业应用。 适配场景：区域间业务、数据互联。 方案优势 提供IPSec加密通道，传输安全性高 区域间安全互联通道快速建立 云上业务、数据快速安全备份 不同云商间业务、数据安全互通

等保咨询适用于系统未开展测评和已开展测评的情况。 客户部署在天翼云上的系统有等级保护需求，可采购云等保咨询服务，轻松过等保。 系统未开展测评 等保测评技术指导：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 差距分析评估：提供系统差距的安全风险分析，并输出《差距分析评估》。 差距整改方案：提供差距整改安全方案。 系统已开展测评 差距分析评估：提供系统差距的安全风险分析，并输出《差距分析评估》。 差距整改方案：提供差距整改安全方案，指导整改。

本页介绍了文档数据库服务的实例退订。 操作说明 退订操作涉及实例中断服务，请确认您是否需要退订。 更多退订信息及规则，请参考费用中心的订单管理退订管理相关章节。 管理控制台进行退订 用户可以在TeleDB数据库控制台的“实例管理”页面的实例列表中，进行实例退订。 1. 登录TeleDB数据库控制台。 2. 在“DDS”>“实例管理”页面，在需要退订的目标实例上，单击“更多>退订"，跳转到退订页面。 3. 在退订页面中，您可以确认你的订单信息是否无误。 4. 单击“确定”按钮（部分资源池为“确认”按钮），即可发起退订，即进入到订单详情页面。 5. 在订单详情页，稍等片刻，点击刷新，即可看到实例已完成退订。 费用中心进行退订 用户可以登录天翼云用户个人费用中心，进行实例退订。 1. 登录天翼云官网。 2. 当您处于天翼云官网页面时，点击右上角“我的”，在下拉中点击“费用心中”，进入到个人费用中心页面。 3. 当您处于TeleDB数据库控制台页面时，点击右上角的“费用”，进入到个人费用中心页面。 4. 在“费用中心”页面依次点击“订单管理”“退订管理”，进入到退订管理页面。 5. 在“退订管理”页面，勾选您要退订的实例，点击右侧的“退订”按钮。 6. 在点击“退订”按钮后弹出确认框，点击“确定”按钮即可完成退订。

本文介绍云渲染产品计费类常见问题。 实时云渲染按需计费带宽支持什么计费方法？ 实时云渲染支持按流量计费和带宽月95峰值计费，按需带宽月95峰值计费方式仅对线下客户开放，您可以向您的客户经理申请开通。 渲染服务里包年包月和按需计费，两种渲染服务有什么区别？ 包年包月服务可以选择开通路数，根据固定账单按月收费。 按需计费模式无法选择开通路数，按访问应用链接时产生的流量和带宽的使用情况收取相应费用。 欠费冻结后的如何计费？ 当用户账户余额不足导致扣费失败时，服务处于欠费状态，欠费后会以短信/邮件的方式提醒用户尽快支付账单，欠费1小时内云渲染服务可以正常使用并产生资费。 若欠费后24小时内未充值，云渲染服务将被关停。从用户发生欠费当日算起，用户的渲染服务购买信息将保留15天，超过15天后用户的渲染服务实例将被删除且不可恢复。 按需购买渲染服务时账户余额不足是否有提醒？ 您可在用户中心自助设置余额阈值，低于阈值即会短信提醒。 按需付费云渲染服务是否支持退款，如何退订？ 不支持，若需要退订云渲染按需服务，请在用户中心选择按需服务退订即可。

申请敏感列权限 普通用户可主动申请敏感列权限，具体操作流程如下： 1. 登录数据管理服务DMS。 2. 进入申请数据权限页面。在左侧菜单栏依次点击个人中心>我的权限 ，切换到敏感列权限 页面，点击申请数据权限 按钮进入申请数据权限页面；或者在左侧菜单栏依次点击安全协作>工单列表 ，切换到权限申请工单 页面，点击申请数据权限按钮进入申请数据权限页面。 3. 搜索需要申请的敏感列。切换到敏感列权限申请页面，先输入库/模式/实例关键字搜索指定库/模式，然后输入列名、表名关键字搜索敏感列，再点击查询。也可以选择指定的团队、数据库类型、敏感等级对敏感列进行筛选。 4. 选择需要申请的敏感列。在左侧”请选择“框内勾选想要申请的敏感列的复选框，然后点击中间的”>“按钮，即可将当前页选中的敏感列加入到右侧”已选择“框内。 5. 选择权限的类型。 6. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 7. 确定信息无误后，点击页面右下角的提交申请按钮即可完成申请。

本节介绍委托、IAM权限策略和RBAC权限关系,以及如何为服务账号授予相应权限。 根据权限类型，分布式云容器平台的权限包括服务角色、IAM权限策略和RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式云容器平台的功能。 权限类型 权限类型 是否必须授权 授权说明 委托 使用开通订购功能时必须授权，使用主账号或子账号授权一次即可。 授权后分布式云容器平台才能访问其他关联的云服务资源。 IAM系统权限策略 主账号默认拥有所有权限，无需额外授权。而子账号必须授权后才能访问分布式云容器平台。 授权后子账号才能使用分布式云容器平台系统功能。 RBAC权限 主账号默认拥有所有权限，无需额外授权。子账号可以根据需求授予权限，如果没有授权，则采用默认只读权限。 授权后，子账号才能对分布式云容器平台集群内的K8s资源进行操作。 委托 云服务委托是指，在特定业务场景下，云服务为实现特定功能目标，通过获取其他云服务的访问权限，自动化管理关联资源，从而优化整体服务质量的一种协作机制。 例如，分布式云容器平台上订购注册集群后，需要关联创建ELB、安全组等资源。分布式云容器平台通过委托机制获取关联服务权限，从而自动地完成配置和关联资源创建，提升订购功能的使用体验。 分布式云容器平台目前提供以下服务角色，具体的策略内容请参见IAM控制台。 委托名称 权限说明 CtyunAssumeRoleForCCEONE 分布式云容器平台在集群管控操作中使用该角色访问您在ELB、EIP、安全组等服务中的资源。

查看历史版本 MSE 注册配置中心提供了配置历史查询功能。目前默认仅保存30天以内的变更记录。本文介绍如何查看配置历史版本。 查看历史版本 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击配置管理>配置列表，选择命名空间，查看当前配置。 4. 在左侧导航栏，选择历史版本。 5. 在历史版本页面选择命名空间、分组、和Data ID，点击搜索，即可查看配置的历史。 字段 说明 Data ID 配置的Data ID Group 配置的Group 更新时间 配置更新发布的时间 所属应用 配置所属应用 操作类型 配置操作类型：插入、更新 6. 最右侧操作列提供查看和回滚的操作。点击查看可以查看所选的历史版本的配置的详细信息。 7. 点击回滚会弹出框对比所选历史版本和当前最新版本的对比信息。点击确认回滚，即可将配置回滚至历史版本。 监听查询 客户端注册监听配置，服务端在内存中维护一个监听客户端列表，当配置信息变更后，自动推送至客户端。 监听查询 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击配置管理> 监听查询，选择命名空间。 4. 可以根据需要选择查询维度：配置或则IP。配置维度查询需要输入或选择分组和Data ID，点击查询该配置推送到机器的状态。 5. IP维度查询该机器监听的所有配置，需要填入IP作为参数查询。 配置透视 MSE 注册配置中心提供了配置透视功能。支持查看配置监听客户端的信息以及客户端与服务端配置内容的对比。

介绍分布式缓存服务Redis版的到期与欠费规则 到期前续费 手动续订：对于包年/包月订购的分布式缓存服务，用户在资源到期前进行续费操作，可以延长原有资源到期时间，避免资源到期后冻结或超过保留期后被系统回收。详细操作请参考费用中心续订管理手动续订。 自动续订：自动续订仅针对采用包月、包年计费模式的资源，详细操作请参考费用中心续订管理自动续订。 到期处理 到期后，分布式缓存服务进入保留期，您将不能正常访问及使用天翼云分布式缓存服务Redis版，但对于您存储在分布式缓存服务中的数据予以保留。 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用； 若到期15天后您仍未续费，存储在分布式缓存服务中的数据将被删除 欠费原因 在按需计费的模式下帐号的余额不足。 欠费停服说明 欠费后分布式缓存服务Redis版服务会自动停止。 您所占用的存储空间资源仍会继续扣费，因此欠费余额会累计。 如果您在15天内充值补足欠款，服务会自动启用。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云分布式缓存服务Redis版的全部数据将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 若您确认不再使用分布式缓存服务Redis版，请务必及时删除存储于分布式缓存服务Redis版上的数据。

本节介绍了什么是云数据库TaurusDB。 产品定义 云数据库TaurusDB是最新一代企业级高扩展海量存储分布式数据库，完全兼容MySQL。采用计算存储分离架构，128TB的海量存储，故障秒级切换，既拥有商业数据库的高可用和性能，又具备开源低成本效益。 TaurusDB支持的版本请参见数据库引擎和版本。 产品架构 云数据库TaurusDB整体架构自下向上分为三层。 1. 存储层：基于DFV存储，提供分布式、强一致和高性能的存储能力，此层来保障数据的可靠性以及横向扩展能力，保证数据的可靠性不低于99.999999999%。DFV (Data Functions Virtualization)是提供的一套通过存储和计算分离的方式，构建以数据为中心的全栈数据服务架构的解决方案。 2. 存储抽象层（Storage Abstraction Layer）：将原始数据库基于表文件的操作抽象为对应分布式存储，向下对接DFV，向上提供高效调度的数据库存储语义，是数据库高性能的核心。 3. SQL解析层：与MySQL 8.0开源版100%兼容，客户业务从MySQL生态可以平滑迁移， 从其他数据库迁移也能使用MySQL生态的语法、工具，降低开发、学习成本。基于原生MySQL，在100%兼容的前提下进行大量内核优化，以及开源加固，开源生态，商用能力。 图 架构图

功能特性 说明 SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云服务器一起使用，通过弹性云服务器内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。

本节主要介绍对象存储迁移 对象存储迁移服务的典型应用场景有： 对象数据搬迁：将典型Web应用搬迁到天翼云上时，把用户的对象存储数据搬迁到天翼云中。 云上容灾：出于灾备，把用户对象存储数据复制到天翼云中。 对象数据恢复：利用其他云服务提供商备份的数据，恢复用户在天翼云丢失的对象存储数据。 对象存储迁移流程图： 具体步骤： 背景需求收集，填写对象存储迁移信息收集表 控制端部署：天翼云目标资源池申请ECS资源，安装部署RDA工具和oms agent。 创建源端和目的端的访问密钥（AK/SK）。 源端：参见源端云服务提供商的相关资料。 目的端：参见天翼云官网创建访问密钥（AK/SK）。 创建目的端桶：在对象存储服务中创建用于存放迁移数据的桶。 参考天翼云官网帮助中心创建桶。 RDA工具基础资源配置。 RDA中创建迁移任务，开始迁移。 参见创建单个迁移任务。 在对象存储迁移服务中检查迁移任务的结果。 迁移任务成功，迁移完成。 迁移任务失败，查看失败详情并尝试重启。 参见查看迁移任务、管理迁移任务。 数据校验，业务验证。

本章主要介绍步骤六：部署应用（ECS篇） 本章节以应用“phoenixsamplestandalone”为例，介绍如何将发布件部署至主机。若您需要了解如何署至CCE，请参照步骤六：部署应用（CCE篇）操作。 购买并配置ECS 本文档使用的是ECS，您也可以使用自己的Linux主机（Ubuntu 16.04操作系统）。 步骤 1 登录云主机控制台，购买云主机。 购买时的必要配置参照下表，表中未列出的配置可根据实际情况选择。 步骤 2 配置安全组规则。 样例项目的验证需要用到端口5000与5001，因此添加一条允许访问5000以及5001端口的入方向规则。 操作步骤如下： 1. 登录ECS页面，在列表中找到步骤步骤1中购买的ECS，单击服务器名称。 2. 选择“安全组”页签，参考“《云主机用户指南》>安全>安全组>配置安全组规格”添加一条协议为TCP、端口为50005001的入方向规则。 添加目标主机至项目 部署应用到ECS之前，需要先将目标主机添加到项目基础资源中。 步骤 1 进入“凤凰商城”项目，单击导航栏“设置 > 通用设置 > 基础资源管理”。 步骤 2 单击“新建主机集群”，输入集群名称“hosts”、选择操作系统（Linux）、关闭“使用代理机接入”开关，单击“保存”。 步骤 3 单击“新增目标主机”，在弹框中配置以下信息，勾选同意声明后，单击“添加”。 添加主机 配置项 配置建议 主机名 输入自定义主机名称。为了方便辨认，可与在购买并配置ECS时配置的ECS的名称保持一致。 IP 输入在购买并配置ECS中购买的ECS的IP。 用户名 输入“root”。 密码 输入在购买并配置ECS中购买的ECS的密码。 ssh端口 输入“22”。 步骤 4 页面显示一条主机记录，当“连通性验证”列的值显示为“成功”，表示主机添加完成。 若主机添加失败，请根据页面提示信息排查主机配置。