本节介绍了：节点容器运行时的用户指南。 容器运行时介绍 容器运行时是负责管理节点上容器的生命周期。Kubernetes通过 Kubelet 的 Container Runtime Interface（CRI）与容器运行时交互，控制容器的创建与管理。 基于 Containerd性能更好、更稳定、占用资源更少等优点，云容器引擎选择 Containerd作为容器运行时的解决方案。 云容器引擎早期在 Kubernetes v1.23上还支持选择 Docker，当前则需提工单申请，未来会移除对 Docker的支持，强烈建议您使用 Containerd或迁移到 Containerd。 云容器引擎选择 Containerd作为容器运行时的解决方案，对比 Docker，Containerd的优点如下： 1. 调用链更短 Containerd： Kubelet > CRI plugin（在 Containerd中）> Containerd Docker： K8s v1.23及以下版本：Kubelet > Dockershim（在 Kubelet中）> Docker > Containerd K8s v1.24及以上版本：Kubelet > cridockerd > Docker > Containerd 2. CPU和内存占用更少 3. 稳定性和安全性更好 4. Pod 启动更快 Containerd 和 Docker的常用命令对比 Containerd 支持两种命令行工具：ctr和 crictl。其中，ctr是 Containerd 的客户端工具，crictl是兼容 CRI 的容器运行时的命令行工具。crictl 可以用来检查和调试 Kubernetes节点上容器运行时和应用程序。 操作 Docker crictl ctr 上传镜像 docker push crictl push ctr n k8s.io i push 拉取镜像 docker pull crictl pull ctr n k8s.io i pull 查看镜像详情 docker inspect crictl inspecti 无 列出本地镜像列表 docker images crictl images ctr n k8s.io i ls 删除本地镜像 docker rmi crictl rmi ctr n k8s.io i rm 创建容器 docker create crictl create crt n k8s.io c create 启动容器 docker start crictl start crt n k8s.io run 连接容器 docker attach crictl attach 无 进入容器 docker exec crictl exec 无 查看容器详情 docker inspect crictl inspect crt n k8s.io c info 查看容器日志 docker logs crictl logs 无 查看容器资源使用情况 docker stats crictl stats 无 更新容器资源限制 docker update crictl update 无 停止容器 docker stop crictl stop 无 列出容器列表 docker ps crictl ps crt n k8s.io c ls 删除容器 docker rm crictl rm crt n k8s.io c del 启动 Pod 无 crictl start 无 运行 Pod 无 crictl runp 无 查看 Pod详情 无 crictl inspectp 无 停止 Pod 无 crictl stopp 无 列出 Pod列表 无 crictl pods 无 删除 Pod 无 crictl rmp 无

本页介绍了文档数据库服务管理角色相关操作。 创建 创建自定义角色需要使用 createRole 命令或 db.createRole() 方法，并指定角色的名称、权限和其他属性。下面是创建角色的模板： db.createRole(role, writeConcern)。 参数role为必选参数，类型为文档；参数writeConcern ：用来指定命令的write concern的等级 。 db.createRole( { role: " ", privileges: [ { resource: { }, actions: [ " ", ... ] }, ... ], roles: [ { role: " ", db: " " } " ", ... ], authenticationRestrictions: [ { clientSource: [" " " ", ...], serverAddress: [" " " ", ...] }, ... ] } ) 参数说明： 字段 类型 说明 role string 角色名称。 privileges 数组 必选参数，数组元素表示角色所具备的权限。如果该参数设置为空集合，表示该角色没有任何权限。 resource 文档 该参数用于指定数据库名称或集合名称。 actions 数组 该参数对应的是资源可用的操作列表，其中常见的操作包括find、count、getMore、listDatabases、listCollections、listIndexes、insert、update、remove等。 roles 数组 必选参数，数组元素用于指定角色继承的角色名。这可以是系统预设的角色，例如read或readWrite，也可以是用户自定义的角色。 authenticationRestrictions 数组 该参数用于指定角色可以接受的IP地址或IP地址范围。 更新 在文档数据库服务中，可以使用 updateRole 命令或 db.updateRole() 方法来更新自定义角色的内容。更新自定义角色通常包括以下两个步骤： 1. 获取要更新的自定义角色的当前配置信息。 可以使用 db.getRole() 命令或 db.runCommand({ getRole: "", rolesInfo: 1 }) 方法来获取要更新的自定义角色的当前配置信息。例如，下面的命令获取名为 myrole 的自定义角色的当前配置信息： db.runCommand({ getRole: "myrole", rolesInfo: 1 }) 2. 更新自定义角色的配置信息。 可以使用 updateRole 命令或 db.updateRole() 方法来更新自定义角色的配置信息。例如，下面的命令将名为 myrole 的自定义角色的权限更新为 read 权限： db.updateRole("myrole", { privileges: [{ actions: ["read"], resource: { db: "", collection: "" } }] }) 需要留意的是，更新自定义角色的配置信息需要谨慎操作，因为错误的操作可能会导致数据库的安全性问题。因此，在更新自定义角色之前，建议先备份数据库，并在测试环境中测试更新操作的效果。

本节主要介绍导入导出 数据导入 操作场景 数据管理服务支持用户本地导入及OBS桶导入数据进行数据的备份和迁移。 操作说明 当需要进行数据备份或迁移时，您可将数据导入目标数据表，目标CSV表数据类型须与待导入表数据类型保持一致，SQL文件同理。 约束限制 导入单文件大小最大可达1GB。 可以支持导入的数据文件类型包括CSV格式和SQL文件格式。 暂不支持BINARY、VARBINARY、TINYBLOB、BLOB、MEDIUMBLOB、LONGBLOB等二进制类型字段的导入。 操作步骤 1. 在顶部菜单栏选择“导入·导出 > 导入”。 2. DAS支持从本地选取文件导入，同时也支持从OBS桶中直接选择文件进行导入操作。 说明 上传文件 在导入页面单击左上角的“新建任务”，在弹出框选择导入类型，选择文件来源为“上传文件”、附件存放位置等信息并上传文件，选择导入数据库，设置字符集类型，按需勾选选项设置及填写备注信息。 为了保障数据安全，DAS将文件保存在OBS桶中。 出于数据隐私性保护目的，DAS需要您提供一个您自己的OBS存储，用来接收您上传的附件信息，DAS会自动连接到该OBS文件，进行内存式读取，整个过程您的数据内容不会存储在DAS的任何存储介质上。 导入完成后若勾选删除上传的文件选项，则该文件导入目标数据库成功后，将从OBS桶中自动删除。 从OBS桶中选择：在导入页面单击左上角的“新建任务”，在弹出框设置导入类型，选择文件来源为“从OBS中选择”，在OBS文件浏览器弹窗中选择待导入文件，选择导入数据库，设置字符集类型，按需勾选选项设置及填写备注信息。 从OBS桶中直接选择文件导入，导入目标数据库成功后，OBS桶不会删除该文件。 3. 导入信息设置完成后，单击“创建导入任务”即可。由于导入任务可能会覆盖您原有的数据，需再次确认无误后单击“确定”。 4. 您可在导入任务列表中查看导入进度等信息，在操作栏单击“查看详情”，您可在任务详情弹出框中，了解本次导入任务成功、失败等执行情况及耗时。

操作场景 您可以通过云容器引擎管理控制台快速升级到Kubernetes最新版本或者bugfix版本，以支持新特性的使用。 升级前，请先了解CCE各集群版本能够升级到的目标版本，以及升级方式和升级影响，详情请参见集群版本升级说明。 注意事项 集群升级属于不可逆操作，升级后无法回滚到之前版本，请谨慎进行。 请在升级集群前，请查看集群状态是否均为健康状态。若集群不正常，您可以自行修复，若仍有问题请提交工单联系我们协助您进行修复。 为了您的数据安全，强烈建议您先备份数据然后再升级，升级过程中不建议对集群进行任何操作。 升级前，请在CCE控制台中确认您的集群是否可以进行升级操作，确认方法：单击“资源管理 > 集群管理”，查看待升级集群右上角是否存在“可升级”提示，若存在则该集群支持升级，若不存在，则该集群不支持升级。更多详细信息请参见集群版本升级说明。 前提条件 请在集群升级前检查集群和节点的健康状况，确保集群和节点正常可用。 检查方式一：控制台查看 在CCE控制台中，单击左侧栏目树的“资源管理”，分别单击“集群管理”和“节点管理”，查看集群和节点的状态是否正常。 检查方式二：Kubectl命令查看 步骤 1 配置Kubectl命令，具体请参见通过kubectl操作CCE集群。 步骤 2 执行如下命令，确保集群的所有模块都处于健康状态。 kubectl get cs 命令行终端显示如下信息： NAME STATUS MESSAGE ERROR scheduler Healthy ok controllermanager Healthy ok etcd0 Healthy {"health": "true"} etcd1 Healthy {"health": "true"} etcd2 Healthy {"health": "true"} 步骤 3 执行如下命令，确保所有节点都处于Ready状态。 kubectl get nodes 说明：所有节点只能Ready状态，不能包含其他状态。 NAME STATUS ROLES AGE VERSION region01axxx Ready master 38d v1.9.7r1 region01axxx Ready 38d v1.9.7r1 region01axxx Ready 38d v1.9.7r1 region01axxx Ready 38d v1.9.7r1 region01axxx Ready master 38d v1.9.7r1 region01axxx Ready master 38d v1.9.7r1

操作步骤 1.检查待纳管的云主机是否具备独立数据盘，且首块数据盘未被分区或格式化。独立数据盘非强制要求，但若缺失，容器数据将默认存储于系统盘。 2.若首块数据盘已被分区或格式化，可先备份数据，再使用以下命令擦除磁盘： plaintext wipefs a 3.登录云容器引擎控制台，进入要纳管节点的集。 4.在集群控制台左侧导航栏中选择“节点 ”，切换至“节点”页签并点击“纳管节点”。 5.点击选择“已有的服务器 ”，选择待纳管的云服务器，点击"确定"。 6. 选择“操作系统 ”，填写“登录密码 ”以及“确认密码 ”，再根据需要填写高级配置：节点标签 、节点污点 、部署前/后执行脚本. 7. 单击“下一步 ”，并单击“提交”。 重复纳管 出于数据安全考虑，节点纳管时会跳过已格式化或分区的磁盘。当对主机执行"纳管移除再次纳管"操作时，容器数据将直接存储于系统盘，而非数据盘。 可通过以下步骤使容器数据落于数据盘。 1.登录云主机控制台访问云主机。 2.定位云容器引擎使用的数据盘： 若主机仅有一块数据盘，直接执行步骤3。 若有多块磁盘，容器引擎一般会选择位于系统盘之上（即倒数第二块）的磁盘作为容器数据盘，或通过磁盘类型、容量信息定位磁盘的盘符。 云盘列表中显示的是云盘的名称和id，云盘挂载到os时会自动分配磁盘设备名称，可以使用云盘id前缀查找到云盘的设备名称。 登录到操作系统，可通过如下指令查到云盘在os中的设备名称。 3.检查云盘是否已经被格式化。 可以使用步骤2找到的磁盘设备名称，使用blkid指令检查结果。 plaintext blkid grep nvme1n1 若发现磁盘已经被格式化，则执行wipefs a指令擦除。 4.在云容器引擎控制台执行节点纳管操作。

本文介绍产品中的对象存储，已删除的数据是否可以恢复。 天翼云媒体存储无法恢复您主动删除、覆盖、配置规则自动删除或服务协议到期自动删除的数据，请您谨慎操作。 可能导致数据被删除或覆盖的场景： 通过控制台、API、SDK、XstorBrowser方式删除对象。详情请参见删除对象。 通过控制台、API、SDK、XstorBrowser方式上传同名文件到媒体存储，会导致桶内已有文件被覆盖。 若您在生命周期规则中配置了定期删除文件的规则，会根据生命周期的配置定期删除符合条件的文件。详情请参见生命周期。 若您配置了跨区域复制规则，且选择的是增/删/改同步，则对源存储空间（桶）进行文件修改或删除操作时，操作会同步到目标Bucket。详情请参见存储桶复制。 没有正确的配置桶的访问权限，导致文件被他人恶意删除或覆盖。访问权限相关说明请参见访问权限概述。 如果购买的存储资源到期后未及时续费，会为用户保留一段时间的数据。进入保留期后您在媒体存储中存储的数据会予以保留，对应资源会处于受限状态。保留期满仍未缴清欠款，存储在媒体存储中的数据将被销毁且无法恢复。详情请参见欠费说明。 您可通过以下方式防止误删除或误覆盖： 权限控制：正确使用媒体存储 提供的访问控制能力防止数据被删除或覆盖。详情请参见数据安全应用场景。 开启多版本控制：利用多版本控制，您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。详情请参见版本控制。 跨区域复制到异地备份：您可以使用跨区域复制功能将数据复制到其他区域资源池进行备份。详情请参见存储桶复制。 WORM保护对象：您可以通过WORM功能保护对象，在保护期内阻止删除或覆盖对象。详情请参见合规保留。

功能 说明 Referer防盗链是基于HTTP请求头中Referer字段来设置访问控制规则，实现对用户来源的识别和过滤，防止网站资源被非法盗用。 客户端IP是客户端与CDN节点建立连接时所使用的IP，通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 UserAgent（简称UA）是HTTP请求头的一部分，可体现用户使用的终端标识。通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可配置URL鉴权功能。配置URL鉴权后，CDN会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 可以通过配置远程同步鉴权功能，在CDN节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，CDN节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 带宽控制功能可通过设置总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 IP访问限频功能可以限制单个用户IP在天翼云CDN单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 单请求限速功能可以限制CDN节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。

本文介绍全站加速支持的加密套件及对应套件支持的最低版本的SSL/TLS协议及配置方法。 功能介绍 加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。在Client Hello和Server Hello消息交换之后，客户端发送密码支持套件列表，服务器从列表中选择密码套件进行响应。 天翼云全站加速在域名配置完HTTPS证书后，可选择加密套件类型：全部加密套件、强加密套件、自定义加密套件。 选择全部加密套件后，默认支持如下加密套件： 加密算法 最低版本的SSL/TLS协议 TLSAES256GCMSHA384 TLSv1.3 TLSCHACHA20POLY1305SHA256 TLSv1.3 TLSAES128GCMSHA256 TLSv1.3 ECDHEECDSAAES256GCMSHA384 TLSv1.2 ECDHERSAAES256GCMSHA384 TLSv1.2 DHEDSSAES256GCMSHA384 TLSv1.2 DHERSAAES256GCMSHA384 TLSv1.2 ECDHEECDSACHACHA20POLY1305 TLSv1.2 ECDHERSACHACHA20POLY1305 TLSv1.2 DHERSACHACHA20POLY1305 TLSv1.2 ECDHEECDSAAES256CCM8 TLSv1.2 ECDHEECDSAAES256CCM TLSv1.2 DHERSAAES256CCM8 TLSv1.2 DHERSAAES256CCM TLSv1.2 ECDHEECDSAARIA256GCMSHA384 TLSv1.2 ECDHEARIA256GCMSHA384 TLSv1.2 DHEDSSARIA256GCMSHA384 TLSv1.2 DHERSAARIA256GCMSHA384 TLSv1.2 ECDHEECDSAAES128GCMSHA256 TLSv1.2 ECDHERSAAES128GCMSHA256 TLSv1.2 DHEDSSAES128GCMSHA256 TLSv1.2 DHERSAAES128GCMSHA256 TLSv1.2 ECDHEECDSAAES128CCM8 TLSv1.2 ECDHEECDSAAES128CCM TLSv1.2 DHERSAAES128CCM8 TLSv1.2 DHERSAAES128CCM TLSv1.2 ECDHEECDSAARIA128GCMSHA256 TLSv1.2 ECDHEARIA128GCMSHA256 TLSv1.2 DHEDSSARIA128GCMSHA256 TLSv1.2 DHERSAARIA128GCMSHA256 TLSv1.2 ECDHEECDSAAES256SHA384 TLSv1.2 ECDHERSAAES256SHA384 TLSv1.2 DHERSAAES256SHA256 TLSv1.2 DHEDSSAES256SHA256 TLSv1.2 ECDHEECDSACAMELLIA256SHA384 TLSv1.2 ECDHERSACAMELLIA256SHA384 TLSv1.2 DHERSACAMELLIA256SHA256 TLSv1.2 DHEDSSCAMELLIA256SHA256 TLSv1.2 ECDHEECDSAAES128SHA256 TLSv1.2 ECDHERSAAES128SHA256 TLSv1.2 DHERSAAES128SHA256 TLSv1.2 DHEDSSAES128SHA256 TLSv1.2 ECDHEECDSACAMELLIA128SHA256 TLSv1.2 ECDHERSACAMELLIA128SHA256 TLSv1.2 DHERSACAMELLIA128SHA256 TLSv1.2 DHEDSSCAMELLIA128SHA256 TLSv1.2 RSAPSKAES256GCMSHA384 TLSv1.2 DHEPSKAES256GCMSHA384 TLSv1.2 RSAPSKCHACHA20POLY1305 TLSv1.2 DHEPSKCHACHA20POLY1305 TLSv1.2 ECDHEPSKCHACHA20POLY1305 TLSv1.2 DHEPSKAES256CCM8 TLSv1.2 DHEPSKAES256CCM TLSv1.2 RSAPSKARIA256GCMSHA384 TLSv1.2 DHEPSKARIA256GCMSHA384 TLSv1.2 AES256GCMSHA384 TLSv1.2 AES256CCM8 TLSv1.2 AES256CCM TLSv1.2 ARIA256GCMSHA384 TLSv1.2 PSKAES256GCMSHA384 TLSv1.2 PSKCHACHA20POLY1305 TLSv1.2 PSKAES256CCM8 TLSv1.2 PSKAES256CCM TLSv1.2 PSKARIA256GCMSHA384 TLSv1.2 RSAPSKAES128GCMSHA256 TLSv1.2 DHEPSKAES128GCMSHA256 TLSv1.2 DHEPSKAES128CCM8 TLSv1.2 DHEPSKAES128CCM TLSv1.2 RSAPSKARIA128GCMSHA256 TLSv1.2 DHEPSKARIA128GCMSHA256 TLSv1.2 AES128GCMSHA256 TLSv1.2 AES128CCM8 TLSv1.2 AES128CCM TLSv1.2 ARIA128GCMSHA256 TLSv1.2 PSKAES128GCMSHA256 TLSv1.2 PSKAES128CCM8 TLSv1.2 PSKAES128CCM TLSv1.2 PSKARIA128GCMSHA256 TLSv1.2 AES256SHA256 TLSv1.2 CAMELLIA256SHA256 TLSv1.2 AES128SHA256 TLSv1.2 CAMELLIA128SHA256 TLSv1.2 ECDHEECDSAAES256SHA TLSv1 ECDHERSAAES256SHA TLSv1 ECDHEECDSAAES128SHA TLSv1 ECDHERSAAES128SHA TLSv1 ECDHEPSKAES256CBCSHA384 TLSv1 ECDHEPSKAES256CBCSHA TLSv1 RSAPSKAES256CBCSHA384 TLSv1 DHEPSKAES256CBCSHA384 TLSv1 ECDHEPSKCAMELLIA256SHA384 TLSv1 RSAPSKCAMELLIA256SHA384 TLSv1 DHEPSKCAMELLIA256SHA384 TLSv1 PSKAES256CBCSHA384 TLSv1 PSKCAMELLIA256SHA384 TLSv1 ECDHEPSKAES128CBCSHA256 TLSv1 ECDHEPSKAES128CBCSHA TLSv1 RSAPSKAES128CBCSHA256 TLSv1 DHEPSKAES128CBCSHA256 TLSv1 ECDHEPSKCAMELLIA128SHA256 TLSv1 RSAPSKCAMELLIA128SHA256 TLSv1 DHEPSKCAMELLIA128SHA256 TLSv1 PSKAES128CBCSHA256 TLSv1 PSKCAMELLIA128SHA256 TLSv1 DHERSAAES256SHA SSLv3 DHEDSSAES256SHA SSLv3 DHERSACAMELLIA256SHA SSLv3 DHEDSSCAMELLIA256SHA SSLv3 DHERSAAES128SHA SSLv3 DHEDSSAES128SHA SSLv3 DHERSACAMELLIA128SHA SSLv3 DHEDSSCAMELLIA128SHA SSLv3 SRPDSSAES256CBCSHA SSLv3 SRPRSAAES256CBCSHA SSLv3 SRPAES256CBCSHA SSLv3 RSAPSKAES256CBCSHA SSLv3 DHEPSKAES256CBCSHA SSLv3 AES256SHA SSLv3 CAMELLIA256SHA SSLv3 PSKAES256CBCSHA SSLv3 SRPDSSAES128CBCSHA SSLv3 SRPRSAAES128CBCSHA SSLv3 SRPAES128CBCSHA SSLv3 RSAPSKAES128CBCSHA SSLv3 DHEPSKAES128CBCSHA SSLv3 AES128SHA SSLv3 CAMELLIA128SHA SSLv3 PSKAES128CBCSHA SSLv3 DHERSAAES256GCMSHA384 TLSv1.2 DHERSACHACHA20POLY1305 TLSv1.2 DHERSAAES256CCM8 TLSv1.2 DHERSAAES256CCM TLSv1.2 DHERSAARIA256GCMSHA384 TLSv1.2 DHERSAAES128GCMSHA256 TLSv1.2 DHERSAAES128CCM8 TLSv1.2 DHERSAAES128CCM TLSv1.2 DHERSAARIA128GCMSHA256 TLSv1.2 DHERSAAES256SHA256 TLSv1.2 DHERSACAMELLIA256SHA256 TLSv1.2 DHERSAAES128SHA256 TLSv1.2 DHERSACAMELLIA128SHA256 TLSv1.2 DHERSAAES256SHA SSLv3 DHERSACAMELLIA256SHA SSLv3 DHERSAAES128SHA SSLv3 DHERSAAES128SHA SSLv3 ECCSM2SM4GCMSM3 GMTLS1.1 ECDHESM2SM4GCMSM3 GMTLS1.1 ECCSM2SM4CBCSM3 GMTLS1.1 ECDHESM2SM4CBCSM3 GMTLS1.1 选择强加密套件后，默认支持如下加密套件： 加密算法 最低版本的SSL/TLS协议 TLSAES256GCMSHA384 TLSv1.3 TLSCHACHA20POLY1305SHA256 TLSv1.3 TLSAES128GCMSHA256 TLSv1.3 ECDHEECDSACHACHA20POLY1305 TLSv1.2 ECDHERSACHACHA20POLY1305 TLSv1.2 ECDHEECDSAAES256GCMSHA384 TLSv1.2 ECDHERSAAES256GCMSHA384 TLSv1.2 ECDHEECDSAAES256CCM8 TLSv1.2 ECDHEECDSAAES256CCM TLSv1.2 ECDHEECDSAARIA256GCMSHA384 TLSv1.2 ECDHEARIA256GCMSHA384 TLSv1.2 ECDHEECDSAAES128GCMSHA256 TLSv1.2 ECDHERSAAES128GCMSHA256 TLSv1.2 ECDHEECDSAAES128CCM8 TLSv1.2 ECDHEECDSAAES128CCM TLSv1.2 ECDHEECDSAARIA128GCMSHA256 TLSv1.2 ECDHEARIA128GCMSHA256 TLSv1.2 选择自定义加密套件后，可从如下列表中自定义选择1个或多个加密套件： 加密算法 最低版本的SSL/TLS协议 TLSAES256GCMSHA384 TLSv1.3 TLSCHACHA20POLY1305SHA256 TLSv1.3 TLSAES128GCMSHA256 TLSv1.3 ECDHEECDSAAES256GCMSHA384 TLSv1.2 ECDHERSAAES256GCMSHA384 TLSv1.2 ECDHEECDSACHACHA20POLY1305 TLSv1.2 ECDHERSACHACHA20POLY1305 TLSv1.2 ECDHEECDSAAES256CCM8 TLSv1.2 ECDHEECDSAAES256CCM TLSv1.2 ECDHEECDSAARIA256GCMSHA384 TLSv1.2 ECDHEARIA256GCMSHA384 TLSv1.2 ECDHEECDSAAES128GCMSHA256 TLSv1.2 ECDHERSAAES128GCMSHA256 TLSv1.2 ECDHEECDSAAES128CCM8 TLSv1.2 ECDHEECDSAAES128CCM TLSv1.2 ECDHEECDSAARIA128GCMSHA256 TLSv1.2 ECDHEARIA128GCMSHA256 TLSv1.2 ECDHEECDSAAES256SHA384 TLSv1.2 ECDHERSAAES256SHA384 TLSv1.2 ECDHEECDSACAMELLIA256SHA384 TLSv1.2 ECDHERSACAMELLIA256SHA384 TLSv1.2 ECDHEECDSAAES128SHA256 TLSv1.2 ECDHERSAAES128SHA256 TLSv1.2 ECDHEECDSACAMELLIA128SHA256 TLSv1.2 ECDHERSACAMELLIA128SHA256 TLSv1.2 AES256GCMSHA384 TLSv1.2 AES256CCM8 TLSv1.2 AES256CCM TLSv1.2 ARIA256GCMSHA384 TLSv1.2 AES128GCMSHA256 TLSv1.2 AES128CCM8 TLSv1.2 AES128CCM TLSv1.2 ARIA128GCMSHA256 TLSv1.2 AES256SHA256 TLSv1.2 CAMELLIA256SHA256 TLSv1.2 AES128SHA256 TLSv1.2 CAMELLIA128SHA256 TLSv1.2 DHERSAAES256GCMSHA384 TLSv1.2 DHERSACHACHA20POLY1305 TLSv1.2 DHERSAAES256CCM8 TLSv1.2 DHERSAAES256CCM TLSv1.2 DHERSAARIA256GCMSHA384 TLSv1.2 DHERSAAES128GCMSHA256 TLSv1.2 DHERSAAES128CCM8 TLSv1.2 DHERSAAES128CCM TLSv1.2 DHERSAARIA128GCMSHA256 TLSv1.2 DHERSAAES256SHA256 TLSv1.2 DHERSACAMELLIA256SHA256 TLSv1.2 DHERSAAES128SHA256 TLSv1.2 DHERSACAMELLIA128SHA256 TLSv1.2 DHERSAAES256SHA SSLv3 DHERSACAMELLIA256SHA SSLv3 DHERSAAES128SHA SSLv3 DHERSACAMELLIA128SHA SSLv3 ECCSM2SM4GCMSM3 GMTLS1.1 ECDHESM2SM4GCMSM3 GMTLS1.1 ECCSM2SM4CBCSM3 GMTLS1.1 ECDHESM2SM4CBCSM3 GMTLS1.1

本文带您熟悉备份恢复的操作步骤,您可根据该步骤恢复主机数据。 操作场景 当云主机中的云硬盘发生故障或由于人为误操作导致云主机数据丢失时，您可以使用已经成功创建的备份来恢复云主机。 注意 执行云主机数据恢复操作后，备份时间点的数据将会覆盖云主机上的现有数据。一旦执行云主机数据恢复操作并覆盖了现有数据，则无法撤消或回退。 约束与限制 云主机备份通常支持将整个云主机（包括系统盘和所有数据盘）作为一个整体进行备份和恢复，因此备份会包含所有挂载在云主机上的云硬盘数据。目前备份系统不支持对云主机中的部分云硬盘进行备份和恢复操作。 云主机备份不支持将数据盘数据恢复到系统盘中。 仅“可用”状态的备份允许恢复。 前提条件 需要恢复的云主机至少存在一个备份，且状态为“可用”。 在恢复前，备份绑定的云主机需处于关机状态。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份副本”页签，找到云主机所对应的备份，点击备份所在行的“恢复数据”。 注意 恢复云主机数据之后，原云主机数据将被覆盖，恢复操作无法终止，为数据安全考虑，您可以事先做好备份。 如果备份后用户添加了云硬盘，再使用备份进行恢复，则添加的云硬盘数据不会改变。 如果备份后用户删除了云硬盘，再使用备份进行恢复，则删除的云硬盘不会被恢复。 云主机切换操作系统后不支持恢复数据至原云主机。 如果使用备份恢复云主机后，云主机密码被随机修改，用户不知道新密码，可以使用密码重置功能 5. 在弹出的页面，确认恢复数据信息，并点击“确定”。 6. 您可以在备份副本列表中，查看备份恢复的执行状态。 7. 直到备份的备份状态恢复为“可用”，表示恢复成功。

本文帮助您快速熟悉ACL规则的修改操作流程。 使用场景 当您的应用场景发生变化时，可以修改ACL规则帮助您更好地控制网络访问，您需谨慎修改规则，确保修改后的规则能够满足实际需求并提高网络的安全性和可控性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击操作列的“修改”按钮。 7. 根据页面相关提示可以对ACL规则的配置信息进行修改。 8. 具体参数配置如下： 参数 说明 优先级 网络ACL规则的优先级，优先级的数值越小，表示优先级越高。为默认的规则，优先级最低。默认规则仅多可用区资源池适用。 策略 选择入方向规则的授权策略：允许：允许访问子网中云服务器。拒绝：拒绝访问子网中云服务器。 协议 选择协议类型，支持以下几种协议：ALL：所有协议。ICMP：网络控制报文协议。TCP：传输控制协议。UDP：用户数据报协议。 源地址 此方向允许的源地址，默认值为0.0.0.0/0，代表支持所有的IP地址。 目的地址 此方向允许的目的地址，默认值为0.0.0.0/0，代表支持所有的IP地址。 源端口范围 源端口范围，取值范围是1～65535的数字。选择TCP或UDP协议时必须填写。 目的端口范围 目的端口范围，取值范围是介于1～65535的数字。选择TCP或UDP协议时必须填写。 描述 网络ACL规则的描述信息，非必填项。 注意 1. 对于地域资源池来说，创建ACL时需要指定子网与ACL的关联关系。修改规则时，入方向规则不支持自定义目的地址，出方向规则不支持自定义源地址。 2. 对于可用区资源池来说，修改规则时，出/入方向均支持自定义源/目的端口。

本文带您了解什么是配额、怎样查看配额以及如何申请扩大配额。 什么是配额？ 配额是指为了防止资源滥用，平台对服务资源的数量和容量进行限制。每个用户在使用云服务时都有一定的资源配额限制，例如可创建的弹性云主机数量、云硬盘容量等。 通过合理设置配额，平台可以保护其资源的可持续性，并确保公平的资源分配。同时，配额也是一种安全措施，可以限制恶意用户或异常行为对系统造成的影响。 如果当前的资源配额无法满足您的需求，您可以申请扩大配额，并说明您的使用需求以及合理的理由。 怎样查看配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 6. 如果某个资源的已使用量接近或达到配额限制，可能需要考虑申请扩大配额，请参考后续操作，申请扩大配额。 如何申请扩大配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 在页面右上角，单击“申请扩大配额”。 6. 在“新建工单”页面，选择“配额类”问题点击“提问”。 7. 点击“配额申请”。 8. 根据您的需求及提示，填写相关参数。 9. 填写完毕后，勾选“承诺所提交工单内容不包括敏感信息”并点击“确认提交”完成申请。

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择弹性文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，提供了一些建议参数，用户可根据自己的情况实际定制相关参数。 比如设置挂载参数为： vers：表示指定 NFS 协议的版本 wsize：表示指定了 NFS 协议中用于写入的数据块大小（以字节为单位），设置较大的写入块大小可以提高写入性能 rsize：类似于 wsize，但用于读取的数据块大小 注意 请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 参数 弹性文件存储类型：参数键为type，支持参数值如下： capacity：SFS Turbo标准型 performance：SFS Turbo性能型 可用区：选择随机，或者指定具体的某个可用区。建议与存储产品确认，哪些可用区有并行文件，再进行选择。 存储加密：选择加密后，需要选择具体的秘钥。用户需要提前创建好秘钥，供ccse控制台调用，当前仅支持默认秘钥和按需秘钥。

DRDS支持字段级别的加解密功能，本文为您介绍该功能的具体使用方法。 注意 本功能尚在小范围公测中，请注意评估功能可能带来的风险并谨慎使用。 前提条件 已创建库表。 目标库表为分片表，且已设置分片规则。设置分片规则的操作，请参见库表管理。 背景信息 DRDS支持字段级别的加解密，通过该功能，可以为您的库表字段进行加密，提高数据安全性。 开启字段加密后，DRDS根据用户配置的字段，将DML类型的SQL语句中对应的字段重写为加密内容后写入到底层数据中。对DQL类型的SQL，如果用户有解密权限，会根据字段解密被加密的字段内容。适用于需要对用户身份证、电话号码等敏感信息加密的场景。 使用限制 仅V5.1.20.0.4及以后版本创建的实例，支持字段加密功能。 仅支持字符串类型的字段进行加密。 开启、关闭或修改字段均对存量数据不生效，仅对新增数据生效。 只支持对表的字段进行加密。 注意事项 开启加密功能后，仅对增量数据进行加密。因此您需要自行处理数据库中原始的存量数据。 开启加密功能后，如果您执行的SQL语句含有加密字段，则存在如下限制： 注意 如果您执行的SQL语句不含有加密字段，则不影响SQL语句执行结果。 支持进行like 和等值查询，比如name是加密字段时，您可以执行如下操作： plaintext select id , name from student where student.name 'xxx'； select id , name from student where 'xxx 'student.name ； SQL语句中涉及加密的字段，只支持单表的查询，包括包含单表自身的子查询，比如 select name from (select name from student ) a ，加密字段的条件只能放到子查询语句中。 不支持join语句里含有加密字段。 不支持对加密字段进行函数计算。 不支持加密字段作为查询条件时不区分大小写功能。如果设置了不区分大小写功能，则加密后大小写对应的加密数据没有大小写对应关系，不区大小写功能将会失效。 加密字段不支持比较操作，如：大于、小于、ORDER BY、BETWEEN 等。 加密字段不支持计算操作，如：AVG、SUM 以及计算表达式。 加密字段只支持字符类型。 不支持udpate 加密字段A 字段B 语法。

本页主要介绍分布式数据库V4.0.0版本更新说明。 V4.0.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 4.0 2022年 06 月 新增和优化功能： 1. 支持定时任务执行配置，包括定时任务执行和定时任务查看。 2. 支持节点管理，包括节点扩容、节点缩容和节点规格选择。 3. 支持高可用配置，包括高可用配置参数管理和主备管理。 4. 新增数据空间管理模块，包括数据迁移、空间清理、空间回收和数据重平衡。 5. 支持节点组管理，包括查询节点组列表、添加节点组、查看可加入节点组的节点列表。 6. 支持两地三中心部署，包括重试创建失败、查询实例创建失败信息、支持容灾版本部署和支持更换数据源。 7. 支持VIP管理。 8. 优化Oracle兼容性，包括支持TOCHAR (datetime)、TODATE、INSTR()和Trim()系统函数，支持physicalattributesclause语句和CREATE SEQUENCE语句支持nocache选项，支持Char(size)和优化rowid。 9. GTM支持Unix domain socket进程间通信方式和日志功能。 修复漏洞 漏洞名称：TeleDB：PostgreSQL 安全漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2022年07月 漏洞修复时间：2022年06月 解决方案：产品版本升级版本至4.0及以上。 漏洞名称：TeleDB：PostgreSQL 信息泄露漏洞。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2022年07月 漏洞修复时间：2022年06月 解决方案：产品版本升级版本至4.0及以上。 漏洞名称：TeleDB：PostgreSQL 缓冲区错误漏洞(CVE202132029)。 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2022年07月 漏洞修复时间：2022年06月 解决方案：产品版本升级版本至4.0及以上。 漏洞名称：TeleDB：PostgreSQL 输入验证错误漏洞( CVE202132027)。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2022年07月 漏洞修复时间：2022年06月 解决方案：产品版本升级版本至4.0及以上。 漏洞名称：TeleDB：PostgreSQL SQL注入漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2022年07月 漏洞修复时间：2022年06月 解决方案：产品版本升级版本至4.0及以上。 修复缺陷 无。

本文介绍零信任网络服务计费。 零信任网络服务适用场景 零信任网络服务由电信云公司自主研发，依托中国电信优质的网络资源，是旨在为企业提供安全、高效、智能的网络连接和加速服务，满足移动办公、海外访问国内应用、跨境加速、多云互联等多种场景。 计费模式： 包周期 计费区域： 中国内地、香港、亚太、美洲、欧洲、中东非 计费周期： 按月结算 折扣规则：不享受包年折扣 网络服务、远程办公、办公组网的关系： 网络服务提供区域带宽给远程办公和办公组网使用，支持订购后分配两个场景的带宽值。 远程办公包括零信任主套餐、扩展服务、按需订购项，带宽计费模式下可以叠加网络服务的区域带宽。 办公组网连接模式通过平台授权服务费来订购，加速模式通过网络服务的区域带宽进行订购。 注意 网络服务远程办公/办公组网不支持官网自助开通，请联系您的客户经理或者提交工单进行咨询。 网络服务区域带宽支持给远程办公和办公组网使用，并支持订购范围内按照场景分配带宽，请联系您的客户经理进行咨询。 计费项 计费类型 区域 阶梯区间 标准价格（元/Mbps/月） 备注 网络服务远程办公/办公组网带宽 包周期 中国内地 (0Mbps,100Mbps] 40 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中国内地 (100Mbps,+] 35 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (0Mbps,10Mbps] 230 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (10Mbps,20Mbps] 220 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (20Mbps,50Mbps] 210 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (50Mbps,100Mbps] 200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (100Mbps,200Mbps] 190 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (200Mbps,500Mbps] 150 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (500Mbps,1Gbps] 140 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (1Gbps,+] 135 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (20Mbps,50Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (50Mbps,100Mbps] 620 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (100Mbps,200Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (200Mbps,500Mbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (500Mbps,1Gbps] 500 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (1Gbps,+] 490 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (20Mbps,50Mbps] 675 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (50Mbps,100Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (100Mbps,200Mbps] 560 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (200Mbps,500Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (500Mbps,1Gbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (1Gbps,+] 510 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (0Mbps,10Mbps] 720 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (10Mbps,20Mbps] 710 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (20Mbps,50Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (50Mbps,100Mbps] 670 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (100Mbps,200Mbps] 580 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (200Mbps,500Mbps] 555 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (500Mbps,1Gbps] 535 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (1Gbps,+] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (0Mbps,10Mbps] 1375 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (10Mbps,20Mbps] 1330 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (20Mbps,50Mbps] 1200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (50Mbps,100Mbps] 1110 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (100Mbps,200Mbps] 1090 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (200Mbps,500Mbps] 940 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (500Mbps,1Gbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (1Gbps,+] 680 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 计费项 计费类型 标准价格（元/实例/月） 备注 平台授权服务费 包周期 100 用于办公组网连接模式，按照连接器个数收费 按照连接器实例带宽扣费： （0，100Mbps]占用1个平台授权服务 （100，300Mbps]占用2个平台授权服务 （300，500Mbps]占用3个平台授权服务 500Mbps以上带宽占用5个平台授权服务 说明 远程办公/办公组网/全球加速服务，非中国内地带宽可进行叠加共享。如订购远程办公香港带宽10Mbps，办公组网香港带宽5Mbps，全球加速香港带宽1Mbps，则该客户在香港区域可共享16Mbps带宽。 远程办公的中国内地带宽用于限制中国内地客户端接入的带宽，远程办公连接器中国内地带宽为免费赠送。 当远程办公中国内地连接器复用办公组网/全球加速已有的稳定隧道时，属于网络能力升级。为保障整条隧道链路的稳定性与公平性，同时满足统一计费与带宽管控要求，当远程办公连接器与办公组网/全球加速共用时，需按照已订购的带宽规格统一限速与计费。

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 磁盘模式 当前仅支持VBD。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 参数 云盘类型：参数键为type，支持参数值如下： SATA：普通IO SAS：高IO SSDgenric：通用型SSD SSD：超高IO FASTSSD：极速型SSD XSSD0：XSSD0 XSSD1：XSSD1 XSSD1：XSSD1 挂载类型：参数键为csi.storage.k8s.io/fstype，支持参数值包括ext4、xfs 共享盘：当选中打勾时表示使用共享盘，不打勾表示使用非共享盘 可用区：选择随机，或者指定具体的某个可用区。建议与存储产品确认，哪些可用区有对应的云硬盘类型，再进行选择。 存储加密：选择加密后，需要选择具体的秘钥。用户需要提前创建好秘钥，供ccse控制台调用，当前仅支持默认秘钥和按需秘钥。 存储标签：创建存储资源时，给存储资源添加对应的标签，注意，该标签不是K8S的label，而是存储侧的资源标签，需要在存储控制台或者云资源视图查看。 挂载选项 挂载参数支持用户根据实际需求进行自定义配置。 例如，设置挂载参数为 discard ：表示在挂载文件系统时启用 discard 功能。当文件系统中删除文件后，系统会自动触发 discard 操作，通知底层块设备释放未使用的存储块。

参数 参数说明 存储类型 设置为“容器路径”。 日志仅输出到容器路径，无需挂载主机路径。此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 添加容器挂载 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“ / ”、“ /var/run” 等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见 为Pod或容器配置安全性上下文 。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。

本章节主要介绍 备份与恢复简介 。 概述 MRS Manager提供对系统内的用户数据及系统数据的备份恢复能力，备份功能按组件提供，支持备份管理系统Manager的数据（需要同时备份OMS和LdapServer）、Hive用户数据、DBService中保存的组件元数据和HDFS元数据备份。 备份恢复任务的使用场景如下： 用于日常备份，确保系统及组件的数据安全。 当系统故障导致无法工作时，使用已备份的数据完成恢复操作。 当主集群完全故障，需要创建一个与主集群完全相同的镜像集群，可以使用已备份的数据完成恢复操作。 详见下表：根据业务需要备份元数据 备份类型 备份内容 OMS 默认备份集群管理系统中的数据库数据（不包含告警数据）以及配置数据。 LdapServer 备份用户信息，包括用户名、密码、密钥、密码策略、组信息。 DBService 备份DBService管理的组件（Hive）的元数据。 NameNode 备份HDFS元数据。 原理 任务 在进行备份恢复之前，需要先创建备份恢复任务，并指定任务的参数，例如任务名称、备份数据源和备份文件保存的目录类型等等。通过执行备份恢复任务，用户可完成数据的备份恢复需求。在使用Manager执行恢复HDFS、Hive和NameNode数据时，无法访问集群。 每个备份任务可同时备份不同的数据源，每个数据源将生成独立的备份文件，每次备份的所有备份文件组成一个备份文件集，可用于恢复任务。备份任务支持将备份文件保存在Linux本地磁盘、本集群HDFS与备集群HDFS中。备份任务提供全量备份或增量备份的策略，增量备份策略支持HDFS和Hive备份任务，OMS、LdapServer、DBService和NameNode备份任务默认只应用全量备份策略。 说明 任务运行规则： 某个任务已经处于执行状态，则当前任务无法重复执行，其他任务也无法启动。 周期任务自动执行时，距离该任务上次执行的时间间隔需要在120秒以上，否则任务推迟到下个周期启动。手动启动任务无时间间隔限制。 周期任务自动执行时，当前时间不得晚于任务开始时间120秒以上，否则任务推迟到下个周期启动。 周期任务锁定时无法自动执行，需要手动解锁。 OMS、LdapServer、DBService和NameNode备份任务开始执行前，若主管理节点“LocalBackup”分区可用空间小于20GB，则无法开始执行。 用户在规划备份恢复任务时，请严格根据业务逻辑、数据存储结构、数据库或表关联关系，选择需要备份或者恢复的数据。系统默认创建了一个间隔为24小时的周期备份任务“default”，支持全量备份OMS、LdapServer、DBService和NameNode数据到Linux本地磁盘。

本节介绍了容器镜像服务:创建自定义策略管理子账号权限。 操作场景 用户需要对子账号的CRS相关权限进行细粒度控制，通过创建自定义策略，提高管理CRS实例的灵活性和安全性。 前提条件 拥有主账号权限 已开通容器镜像服务CRS实例 操作步骤 创建自定义策略 方式一：使用IAM策略助手创建自定义策略（推荐） 1. 登录容器镜像服务控制台，选择左侧导航栏的 IAM策略助手功能。 2. 选择创建方式:。 1. 基于系统策略自定义：如果您需要在系统策略的基础上进行修改，可以选择所需的系统策略，然后点击【克隆】。 2. 从零创建自定义策略：如果您需要完全自定义策略，请点击【创建权限策略】。 3. 以从零创建自定义策略为例，在创建策略页面，输入策略的【 策略名称】 和【 策略备注】。 4. 权限语句分为三个部分，配置完成后，点击保存权限语句： 1. 权限效力：允许（允许策略中配置的权限和资源），拒绝（拒绝策略中配置的权限和资源）。 2. 操作权限：勾选您需要配置的操作权限。您可以在列表中搜索和选择需要的 CRS 操作。 3. 操作权限的资源：根据所选的操作权限，部分权限支持配置限定资源范围，例如实例、命名空间、镜像仓库等。具体可配置的资源类型请参考文档配置IAM权限CRS资源权限控制。 5. 完成权限语句配置后，点击【 下一步】，进入策略预览页面。 1. 推荐勾选CTIAM同步生效， 默认情况下，IAM同步生效 选项会被勾选。 强烈建议您保持勾选此选项，以便在IAM控制台同步生成对应的自定义策略，方便统一管理。 2. 如果您不勾选此选项，您可以在策略预览页面复制JSON格式的策略内容，然后登录IAM控制台手动创建自定义策略。 6. 在 IAM 策略助手页面，您可以对已保存的自定义策略进行克隆、编辑和删除等管理操作。 7. 状态栏会显示自定义策略在IAM的生效状态。 例如，如果策略在IAM控制台中被修改，导致与IAM策略助手中的策略内容不一致，状态栏将显示未生效。 为了保持策略的一致性和可管理性，强烈建议您使用IAM策略助手统一管理您的CRS相关自定义策略。

修改用户 支持的语法： plaintext [UDAL] ALTER USER [IF EXISTS] 'username' IDENTIFIED BY '' SET manageCommand 'true' 'false' AND profile 'profilename' AND whitelist 'true' 'false' AND freeFrontConnection 'true' 'false' AND groups '{ "setAll": "true" "false", "groupList": "..." }' AND canhint 'true' 'false' AND role 'rolename [, rolename2, ...]'; 其中，用户名必填，其余参数选填，填写的参数值将直接覆盖原来的设置，其余未填写参数将不做覆盖保持原样。 语法说明： username：需要修改的用户名称。 IDENTIFIED BY：需要修改的用户密码。 manageCommand：是否有管理命令权限（true/false）。 profile：密码策略，设定用户的安全策略或权限等级（如 复杂度高长期有效）。可以填写中文或者英文，所填的值大小写敏感： 中文 英文 复杂度低临时有效 Low complexity temporary effective 复杂度中短期有效 Medium complexity short term effective 复杂度高长期有效 High complexity long term effective 复杂度高永久有效 High complexity permanent whitelist：是否有过载保护白名单权限（true/false）。 freeFrontConnection：是否前端连接不受限（true/false）。 canhint：是否具有Hint权限（true/false）。 role：赋予用户的角色，可以是多个角色，如果是同时赋予多个角色，需要用逗号分开并用单引号或双引号包括起来。 groups：指定用户所拥有权限的分组信息以及对应分组的连接数限制信息，JSON格式，包含setAll和groupList。 setAll表示是否拥有所有分组权限，groupList表示拥有哪些分组权限以及对应的分组的连接数限制。当设置groups参数时必须包含这两个值，否则报错。 其中，groups指定用户所拥有的分组权限时，根据是否前端连接不受限有以下组合： 不设置分组权限，则不需要设置groups参数。 当该用户的前端连接不受限，即设置freeFrontConnectiontrue，或者原本就设置了freeFrontConnectiontrue，本次alter没有修改这个参数时，并拥有所有的分组权限，则设置groups'{ "setAll": "true", "groupList": "" }'。 当前端连接不受限，即设置freeFrontConnectiontrue，或者原本就设置了freeFrontConnectiontrue，本次alter没有修改这个参数时，并拥有部分分组权限，则设置groups'{ "setAll": "false", "groupList": "group1,group2" }'。 当前端连接受限，即设置freeFrontConnectionfalse，或者原本就设置了freeFrontConnectionfalse，本次alter没有修改这个参数时，需要设置分组权限时，如果对某分组不设置连接数限制则直接填写分组名称，如果对某分组设置连接数限制则填写分组名:连接数。 例如， groups '{ "setAll": "false", "groupList":"r1,r2:100,r3" }' 意为拥有部分分组的权限，具体为r1，r2，r3这三个分组的权限，其中r1，r3的前端连接数不受限制， r2的前端连接数限制为100。

参数 说明 源端使用自定义域名下载 当默认域名不能满足您的迁移需求，比如您需要一个自定义域名以便使用CDN降低源端出口下载流量的费用，且您的源端云服务提供商支持自定义域名时，可以勾选此选项。说明当源端云服务提供商是七牛云时，因其对默认域名的使用做了限制，为确保您的迁移顺利进行，系统已为您自动勾选此参数。勾选此选项后，进行如下设置：在“自定义域名传输协议”中选择传输协议。说明HTTP协议安全级别低于HTTPS协议，推荐使用HTTPS协议。填写“桶自定义域名”。如果您使用了源端云服务提供商提供的CDN鉴权，则选择“启用CDN鉴权校验”，并配置校验类型和秘钥。说明l您需要参见源端云服务提供商的相关资料配置CDN后，才能使用CDN相关功能。l使用源端CDN产生的费用遵从源端云服务提供商的计费规则，费用由源端云服务提供商向您收取。l不支持URl重定向。单击“检查”，检查配置是否正确。l如果检查未通过，请单击“详情”查看未通过的原因。l如果检查通过，则可继续进行其他迁移配置。 解冻归档数据 归档类型的对象存储要实现迁移，必须预先解冻。当您的源端云服务提供商支持自动解冻归档类型数据时，可以勾选此选项。l勾选：如果遇到归档类型对象，则自动解冻该对象并进行迁移。如果解冻失败，则判定该对象迁移失败并跳过，继续迁移其余对象。l不勾选：如果遇到归档类型对象，则直接判定该对象迁移失败并跳过，继续迁移其余对象。说明l目前支持以下云服务提供商的归档数据的自动解冻：华为云、阿里云、金山云、腾讯云。l解冻预计耗时1分钟及以上，对象越大解冻耗时越长，超过3分钟默认解冻失败。各云服务提供商的解冻耗时可能存在差异，具体请参考各云服务提供商的相关文档。l解冻归档数据的过程中会产生两种费用，一是API调用费用，二是归档数据取回费用，这些均由源端云服务提供商向您收取。l归档数据的解冻状态会持续一段时间，在此时间内支持对象的下载/访问，超过此时间后需要重新解冻。解冻状态持续时间请参考各云服务提供商的相关文档。l对象存储数据从源端云服务提供商迁移到天翼云后，存储类型和目的端桶的存储类型保持一致，与源端对象存储类型无关。

本文为您介绍如何通过Kibana向天翼云云搜索服务Elasticsearch实例导入数据。 Kibana 提供的Dev Tools控制台允许直接在浏览器中通过REST API向Elasticsearch发出查询和数据操作请求。 Kibana可视化界面提供了简单的数据导入功能，适用于小规模数据的手动导入场景，特别是在测试和快速验证场景中非常实用。 适用场景 快速测试与调试：适用于开发阶段测试查询语句、创建索引、插入和更新数据等操作。 简单数据管理：如果只是少量数据操作，如插入、更新、删除数据或查看结果，Kibana提供了方便的Web界面操作。 无需编程环境：不需要安装额外的客户端工具，只要能访问Kibana即可操作Elasticsearch。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 查看Kibana的终端可以访问到云搜索实例，设置好5601端口的网络安全策略。 实际操作 点击Kibana输入用户名登录后，进入首页。 右上角可以点击开发工具进入开发工具界面。 如果没有索引，可以创建一个测试索引名为testindex： plaintext PUT /testindex { "mappings": { "properties": { "mytest": { "type": "text" } } } } 执行创建索引操作会返回如下信息： plaintext { "acknowledged" : true, "shardsacknowledged" : true, "index" : "testindex" } 如果有索引可以使用已有的索引。 往索引中写入数据，以上面创建的索引为例。 1. 写入单条数据，可以使用下面命令写入一条id为1的数据： plaintext POST /testindex/doc/1 { "mytest": "xiaoming" } 执行上面的命令，返回下面的结果即导入数据成功。 plaintext { "index" : "testindex", "type" : "doc", "id" : "1", "version" : 1, "result" : "created", "shards" : { "total" : 2, "successful" : 2, "failed" : 0 }, "seqno" : 0, "primaryterm" : 1 } 2. 批量写数据，可以使用下面命令写入一批数据： plaintext POST /testindex/bulk {"index":{"id": 1}} {"mytest": "xiaoming"} {"index":{"id": 2}} {"mytest": "xiaohong"} {"index":{"id": 3}} {"mytest": "xiaoli"} {"index":{"id": 4}} {"mytest": "xiaozhang"} {"index":{"id": 5}} {"mytest": "xiaowang"} 执行上面的命令，返回下面的结果即导入数据成功。 plaintext { "took" : 10, "errors" : false, "items" : [ { "index" : { "index" : "testindex", "type" : "doc", "id" : "1", "version" : 1, "result" : "created", "shards" : { "total" : 2, "successful" : 2, "failed" : 0 }, "seqno" : 0, "primaryterm" : 1, "status" : 201 } }, .... { "index" : { "index" : "testindex", "type" : "doc", "id" : "5", "version" : 1, "result" : "created", "shards" : { "total" : 2, "successful" : 2, "failed" : 0 }, "seqno" : 4, "primaryterm" : 1, "status" : 201 } } ] }

介绍CIFS协议挂载具体步骤。 挂载说明 本章节挂载操作除天津资源池2区、天津资源池3区外适用。 Linux系统挂载 Linux使用CIFS文件资源需要使用CIFS客户端连接。以下是在 centos 7 上安装 CIFS客户端并且挂载的过程。操作步骤如下： 1. 安装CIFS客户端：yum install cifsutils。 2. 执行以下命令，在主机上创建挂载目录：mkdir 本地挂载目录。 3. 执行以下命令进行资源连接：sudo mount v t cifs o username"cifsUser",password"password" //直连模式资源挂载地址/媒体存储控制台用户名文件系统名称 本地挂载目录。 4. 在本地挂载目录下可以进行正常的文件操作。 5. 如需卸载，可使用以下命令：sudo umount 本地挂载目录。 温馨提示：步骤3的连接命令中，“媒体存储控制台用户名”可在对应的文件系统点击 【查看】 ，从“用户标识“字段获取。 Windows系统挂载 通过直连模式使用的CIFS文件资源需要使用Windows系统内置的客户端。以下是在 win10 上连接 CIFS文件资源的示例。操作步骤如下： 1. 出于安全性考虑，直连文件系统使用了非默认的CIFS服务端口，因此需要在您的电脑上进行一些设置方可进行正常的连接与使用。 2. 关闭445端口，services.msc中找到Server的服务，属性禁用，然后停止服务（必要时可重启电脑）。 3. 设置端口转发，打开cmd窗口执行下列命令：netsh interface portproxy add v4tov4 listenport445 connectaddressxxx.xxx.xxx.xxx connectport9445。 其中connectaddress是对应文件空间的网关地址，可在对应的文件空间详情中获取，具体可参考：文件空间管理。 4. 右键点击"此电脑"，选择"映射网络驱动器"，在文件夹一项中按图例填写，勾选"登录时重新连接"和"使用其他凭证连接"，点击"完成"。 5. 输入网络凭证窗口，输入创建文件系统时设定的账号和密码，点击"确定"。 6. 连接成功后能够在此电脑网络位置中查看到文件系统。 7. 在连接成功的文件系统中可以进行正常的文件操作。 8. 如需卸载，可在磁盘上点击右键，选择"断开连接"。

本文介绍如何基于Serverless集群快速部署FastChat应用。 在这篇文章中，我们将介绍如何在Serverless集群上快速部署FastChat应用。您可以选择使用控制台或kubectl来完成应用部署，随后即可通过外部端点访问FastChat。 前提条件 已开通Serverless集群，并且能通过公网访问集群。 背景信息 Serverless集群兼容原生Kubernetes语义和API，您可以在Serverless集群中轻松创建Deployment、StatefulSet、Service、Ingress、PersistentVolume、ConfigMap或CRD等资源。此外，您也可以使用Helm部部署和管理复杂的Kubernetes应用程序的生命周期。 FastChat介绍 FastChat是一个用于训练、部署和评估基于大型语言模型的聊天机器人的开放平台。其核心功能包括：最先进模型的权重、训练代码和评估代码（例如Vicuna、FastChatT5）；基于分布式多模型的服务系统，具有Web界面和与OpenAI兼容的RESTful API。 注意 天翼云不对第三方模型“FastChat”的合法性、安全性、准确性进行任何保证，天翼云不对由此引发的任何损害承担责任。 您应自觉遵守第三方模型“FastChat”的用户协议、使用规范和相关法律法规，并就使用第三方模型的合法性、合规性自行承担相关责任。 操作步骤 创建FastChat应用 您可以通过控制台部署FastChat应用，也可以通过kubectl工具连接Serverless集群来创建FastChat应用。 1. 登录管理控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏，选择“工作负载 ”下的“无状态”，选择“创建Deployment”。 3. 在创建Deployment页面，填写负载类型、负载名称、命名空间、实例数量等。 4. 在容器配置的基本信息中填写容器名称、镜像、镜像版本、CPU/内存配额限制等。 注意 FastChat镜像要提前上传到容器镜像服务的镜像仓库中，点击选择镜像选择FastChat镜像即可。 5. 在容器配置的生命周期中点击“启动命令”，添加启动执行命令。 6. 在容器配置的健康检查中点击“就绪探针”并开启，按需进行相应配置。 7. 在访问设置项，点击“开启Service”，设置服务相关参数，通过该服务公开FastChat应用。 注意 需要提前手工创建ELB。 8. 点击“提交”，返回到如下页面表示创建成功，等待Deployment的副本Pod运行起来即可。

本文介绍HTTP3.0的工作原理和使用说明。 功能介绍 QUIC全称：Quick UDP Internet Connections，是一种实验性传输层网络协议，提供与TLS/SSL相当的安全性，同时具有更低的连接和传输延迟。QUIC目前主要应用于HTTP协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 握手建连更快 QUIC建连时间大约0~1 RTT，在两方面做了优化： 1. 传输层使用UDP，减少1个RTT三次握手的延迟。 2. 加密协议采用TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流的数据传输和应用层处理，所以这个方案并不会造成队首阻塞。 支持连接迁移 当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现瞬间卡顿。这是因为，TCP采用四元组（包括源站IP、源站端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态地增加一些FEC数据包，可以减少重传次数，提升传输效率。

本文简述QUIC协议在短视频场景下的最佳实践。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC协议的优势 握手建连更快：QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 避免队首阻塞的多路复用：QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 支持连接迁移：什么是连接迁移？举个例子，当您用手机使用蜂窝网络参加远程会议，当您把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源地址、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 可插拔的拥塞控制：QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 前向纠错（FEC）：QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

本章节主要介绍安装客户端。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。MRS针对不同服务提供了Shell脚本，供开发维护人员在不同场景下登录其对应的服务维护客户端完成对应的维护任务。 说明 通过Manager界面修改服务端配置或系统升级后，建议重新安装客户端，否则客户端与服务端版本将不一致。 前提条件 安装目录可以不存在，会自动创建。但如果存在，则必须为空。目录路径不能包含空格。 客户端节点为集群外部服务器时，必须能够与集群业务平面网络互通，否则安装会失败。 客户端必须启用NTP服务，并保持与服务端时间一致，否则安装会失败。 对于下载所有组件客户端的情况，HDFS与Mapreduce是合一目录（“ 客户端目录 /HDFS/”）。 安装和使用客户端可以使用任意用户进行操作，用户名和密码请从管理员处获取，本章节以“userclient”进行举例。要求“userclient”用户为服务器文件目录（如“/opt/Bigdata/client”）和客户端安装目录（如“/opt/Bigdata/hadoopclient”）的“owner”，两个目录的权限为“755”。 使用客户端需要已从管理员处获取“组件业务用户”（默认用户或新增用户）和“密码”。 使用omm 和root以外的用户安装客户端时，若“/var/tmp/patch”目录已存在，需将此目录权限修改为“777”，将此目录内的日志权限修改为“666”。 操作步骤 1. 获取软件包。 登录FusionInsight Manager，具体请参考访问FusionInsight Manager（MRS 3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 待操作集群的名称 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. 选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： x8664：可以部署在x86平台的客户端软件包。 aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须和待安装节点的架构匹配，否则客户端会安装失败。 3. 是否在集群的节点中生成客户端文件？ 是，勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件，文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。然后执行步骤5。 说明 当用户无法获取root用户权限，需要用omm用户操作。 否，单击“确定”指定本地的保存位置，开始下载完整客户端，等待下载完成，执行步骤4。 4. 上传软件包。 使用WinSCP工具，以准备安装客户端的用户（如“userclient”），将获取的软件包上传到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 客户端所在主机可以是集群内节点，也可以是集群外节点。当该节点为集群外部服务器时，必须能够与集群网络互通，并启用NTP服务以保持与服务端时间一致。 例如可以为外部服务器配置与集群一样的NTP时钟源，配置之后可以执行ntpq np命令检查时间是否同步。 如果显示结果的NTP时钟源IP地址前有“”号，表示同步正常，如下： remote refid st t when poll reach delay offset jitter 10.10.10.162 .LOCL. 1 u 1 16 377 0.270 1.562 0.014 如果显示结果的NTP时钟源IP前无“”号，且“refid”项内容为“.INIT.”，或者回显异常，表示同步不正常，请联系技术支持。 remote refid st t when poll reach delay offset jitter 10.10.10.162 .INIT. 1 u 1 16 377 0.270 1.562 0.014 也可以为外部服务器配置与集群一样的chrony时钟源，配置之后可以执行chronyc sources命令检查时间是否同步。 如果显示结果的主OMS节点chrony服务IP地址前有“”号，表示同步正常，如下： MS Name/IP address Stratum Poll Reach LastRx Last sample ^10.10.10.162 10 10 377 626 +16us[ +15us] +/ 308us 如果显示结果的主OMS节点NTP服务IP前无“”号，且“ Reach ”项内容为“0”，表示同步不正常。 MS Name/IP address Stratum Poll Reach LastRx Last sample ^? 10.1.1.1 0 10 0 +0ns[ +0ns] +/ 0ns 5. 以userclient用户登录将要安装客户端的服务器。 6. 解压软件包。 进入安装包所在目录，例如“/opt/Bigdata/client”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 7. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar: OK 8. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 9. 配置客户端网络连接。 a.确保客户端所在主机能与解压目录下“hosts”文件（例如“/opt/Bigdata/client/FusionInsightCluster ServicesClientConfig/hosts”）中所列出的各主机在网络上互通。 b.当客户端所在主机不是集群中的节点时，需要在客户端所在节点的“/etc/hosts”文件（更改此文件需要root用户权限）中设置集群所有节点主机名和业务平面IP地址映射，主机名和IP地址请保持一一对应，可执行以下步骤在hosts文件中导入集群的域名映射关系。 切换至root用户或者其他具有修改hosts文件权限的用户。 su root 进入客户端解压目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行 cat realm.ini >>/etc/hosts ，将域名映射关系导入到hosts文件中。 说明 当客户端所在主机不是集群中的节点时，配置客户端网络连接，可避免执行客户端命令时出现错误。 如果采用yarnclient模式运行Spark任务，请在“ 客户端安装目录 /Spark/spark/conf/sparkdefaults.conf”文件中添加参数“spark.driver.host”，并将参数值设置为客户端的IP地址。 当采用yarnclient模式时，为了Spark WebUI能够正常显示，需要在Yarn的主备节点（即集群中的ResourceManager节点）的hosts文件中，配置客户端的IP地址及主机名对应关系。 10. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/hadoopclient”目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/hadoopclient命令，等待客户端安装完成（以下只显示部分屏显结果）。 The component client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/hadoopclient”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/hadoopclient o命令安装客户端。 如果安装NTP服务器为chrony模式，请在安装时加“chrony”参数，即执行./install.sh /opt/hadoopclient ochrony命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。 客户端节点为集群外部服务器且此节点无法与主oms节点的业务平面IP互通时或者无法访问主节点的20029端口时，客户端可以正常安装成功，但无法注册到集群中，无法在界面上进行展示。 a.执行cd /opt/hadoopclient命令进入客户端安装目录。 b.执行source bigdataenv命令配置客户端环境变量。 c.如果集群为安全模式，执行以下命令，设置kinit认证，输入客户端用户登录密码；普通模式集群无需执行用户认证。 kinit admin Password for admin@HADOOP.COM:

SA（System Admin）角色是SQL Server中具有最高权限的服务器级固定角色，该角色能够绕过所有的安全检查，在服务器上执行任何活动。您可以在SQL Server控制台上为实例创建具备SA（System Admin）权限的数据库账号。 前提条件 需要SQL Server控制台开启System Admin权限，如已开启请忽略。 System Admin权限默认不开启，首次启用时，您需要在SQL Server控制台【实例详情 > 账号管理】界面中单击【开放System Admin权限】按钮，确认注意事项上的要点信息后，选择【确定】来开放System Admin权限。 注意事项 SA功能目前仅对白名单用户提供，如果您需要创建SA账号，请在天翼云官网提交工单申请针对特定实例放开SA功能。 实例一旦开放System Admin权限后，不支持关闭。 开放System Admin权限后，您可以在控制台的账号管理中创建超级权限账号（SA账号）。SA账号一旦创建后不支持删除。 一旦实例创建过SA账号，该实例将不再享受SLA保障，未创建SA账号的数据库实例不受影响。 您创建的SA账户名称不能是以下示例中的任何一个： root sa ddmsa certuser innersa 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。然后单击【账号管理 > 创建账号】，并完成如下设置后，单击【确定】完成账号创建。 参数 是否必填 说明 账号名称 是 由小写字母、数字或下划线（）组成。以字母开头，字母或数字结尾，长度为2~50位。 账号类型 是 选择【超级账号权限】。 新密码 是 密码长度8位~32位，且必须含有“小写字母”、“大写字母”、“数字”、“特殊符号”中的任意三种。 确认密码 是 与新密码保持一致。 说明 如果当前没有显示【超级账号权限】选项，请检查实例是否满足前提条件。 如果当前【超级账号权限】按钮被置灰无法选择，表明当前SA权限账户已经存在，无法再新建SA权限账户。 其他类型的账号说明参考 4. （可选）重置SA权限账户密码。 在账号管理界面，在SA账号对应操作列选择【重置密码】可重置账号密码。具体操作可参考重置密码。 5. （可选）禁用/激活SA权限账号。 在SA账号对应操作列选择【禁用账号】按钮可禁用当前SA账号，禁用后该SA账号将无法登录SQL Server实例。禁用后选择【激活账号】按钮可恢复被禁用的SA账号。

如何配置加密模式。 注意 若Kubernetes集群中部署了多套HBlock CSI，需在各自对应的安装路径下，配置加密模式。 对于配置文件中的一些敏感信息，可以采用加密模式进行配置。当使用的卷在HBlock中配置了质询握手认证协议（ChallengeHandshake Authentication Protocol，CHAP），则需要配置CHAP认证的用户名和密码。为了确保数据安全，建议采用加密模式来配置CHAP密码。 在使用CHAP方式时，输入的chapUser和chapPassword为加密字符串。加密字符串可以使用下列方法生成：使用deploy/csipluginconf/csisecretdecrypt.yaml中的DecryptData配置的密钥对原来的字符串进行AES（ECP、paddingcs7）加密，加密后的结果进行base64编码。 配置步骤 1. 配置加密密钥。 修改deploy/csipluginconf/csisecretdecrypt.yaml配置文件中的decryptFlag和decryptData参数。 plaintext apiVersion: v1 kind: Secret metadata: name: csipluginstorsecretdecrypt namespace: @DRIVERNAMESPACE@ type: Opaque data: 是否启用加密，配置为true（启用）或false（不启用）的base64编码字符串 decryptFlag: decryptFlag 密钥的base64编码字符串，密钥长度必须为16位 decryptData: decryptData 密钥的base64编码 参数 参数 描述 是否必填 metadata.name Secret资源的资源名称。 取值csipluginstorsecretdecrypt，不可更改。 是 metadata.namespace 绑定的Kubernetes命名空间。 取值： 如果已经安装 HBlock CSI：命名空间已确定，直接将该字段值修改为对应命名空间值，保持完成csiconfigMap.yaml文件的修改、保存并应用后，相关配置即可自动生效。 如果还未安装HBlock CSI：此字段取值保持为@DRIVERNAMESPACE@，执行deploy安装脚本时，即可自动替换为对应的命名空间。 是 decryptFlag 是否启用加密模式，配置为true（启用）或false（不启用）的Base64编码字符串。 取值： dHJ1ZQ：启用加密，true的Base64编码。 ZmFsc2U：不启用加密，false的Base64编码。 默认不启用加密。 否 decryptData 加密的密钥。 说明 启用加密，此参数必填。 取值：源码为16位的字符串。需要对源码进行Base64编码。 条件 示例： 1. 启用加密模式。例如decryptFlag的源码为true，decryptData的源码为stor012345678901。 2. 使用Base64工具对decryptFlag、decryptData的源码进行编码。 对decryptFlag源码进行Base64编码，编码后的decryptFlag如下： plaintext dHJ1ZQ 对decryptData源码进行Base64编码，编码后的decryptData如下： plaintext c3RvcjAxMjM0NTY3ODkwMQ 3. 修改配置文件deploy/csipluginconf/csisecretdecrypt.yaml配置文件中的参数。 plaintext apiVersion: v1 kind: Secret metadata: name: csipluginstorsecretdecrypt namespace: defualt type: Opaque data: decryptFlag: dHJ1ZQ decryptData: c3RvcjAxMjM0NTY3ODkwMQ 2. 应用配置文件csisecretdecrypt.yaml。 plaintext [root@server csipluginconf]

HPFS通过FILESET管理功能实现对子目录的配额管理。本文介绍 FILESET管理的功能介绍、适用场景、使用限制和整体流程。 功能介绍 FILESET（文件集）是 HPFS 文件系统中的一种特殊子目录，具备独立的存储容量与文件数量管理能力，支持精细化的配额配置。用户可以在文件系统下创建多个 FILESET 实例，每个实例均可作为独立的存储空间，供不同业务系统挂载和使用。通过动态设置或调整配额策略，用户能够合理分配存储资源，有效避免资源抢占问题，提升资源利用效率。 说明 本文档中所述“目录”均指 HPFS 文件系统内目录结构，与外部挂载点的目录地址无关。 适用场景 精细化配额管理，避免资源抢占 如果企业或团队对数据安全要求较高，或者需要确保关键业务不受资源波动影响，可通过FILESET的配额，为不同的项目、部门或应用分配明确的存储资源上限。这样既能保证各自空间的独立性，又能防止某个业务过度消耗存储资源，影响其他的正常使用，从而实现资源的合理分配。 绑定数据流动功能 当用户需要使用数据流动功能时，需要创建FILESET子目录作为数据流动HPFS文件同步的基本单元，与对象存储ZOS进行数据同步。 使用限制 单文件系统最多可创建10个FILESET。 FILESET内的文件或目录数量上限是1亿。 创建FILESET会从文件系统总资源中划分独立的存储空间和文件数配额，因此将减少非FILESET目录的可用资源。 FILESET配额的默认上限说明如下： 容量不超过文件系统总容量，最小不低于已使用容量； 文件数量最大不超过文件系统总文件数量，最小不低于已写入文件数量； FILESET不支持跨FILESET移动（mv）操作，但其内部操作与普通目录一致，mv等文件系统操作均正常支持。但如FILESET绑定数据流动后，目录内将禁用mv操作。 FILESET目录无法在客户端改名或删除，仅能通过控制台或API删除。 FILESET内文件或目录达到配额上限，写入数据时会直接报错。受统计延迟影响，持续写入时FILESET的使用量可能短暂超出配额。 由于FILESET目录本身占用情况，FILESET的容量和设置的配额有+1GB的误差，文件数量有+1000的误差。同时，FILESET的容量统计为向上取整规则。 注意 通过HPFSPOSIX客户端挂载FILESET，请确保您的客户端版本为2.15.15及以上。查询和更新客户端安装包的详细步骤请参见：操作系统限制、HPFSPOSIX客户端挂载。

本页介绍了如何通过程序代码连接实例。 Java示例 通过Java连接实例的方式有无需下载SSL证书连接和用户下载SSL证书连接两种，其中使用SSL证书连接通过了加密功能，具有更高的安全性。文档数据库服务新实例默认关闭SSL数据加密。SSL连接实现了数据加密功能，但同时也会增加网络连接响应时间和CPU消耗。 参数说明。 参数 说明 username 当前用户名。 password 当前用户的密码。 instanceip 如果通过弹性云服务器连接，“instanceip”是主机IP，即“基本信息”页面该实例的“IPV4内网地址”。如果通过连接了公网的设备访问，“instanceip”为该实例已绑定的“弹性公网IP”。如果需要配置高可用地址，即“基本信息”页面该实例的“数据库连接”。 instanceport 端口，默认8030，集群默认9030。当前端口，参考“基本信息”页面该实例的“数据库端口”。 databasename 数据库名，即需要连接的数据库名。 authSource 鉴权用户数据库，取值为admin。 ssl 连接模式，值为true代表是使用ssl连接模式。 Maven配置。 org.mongodb mongojavadriver 3.12.10 无证书连接。 public class Connector { public static void main(String[] args) { try { ConnectionString connString new ConnectionString("mongodb:// : @ : / ?authSourceadmin"); MongoClientSettings settings MongoClientSettings.builder() .applyConnectionString(connString) .retryWrites(true) .build(); MongoClient mongoClient MongoClients.create(settings); MongoDatabase database mongoClient.getDatabase("admin"); BsonDocument command new BsonDocument("ping", new BsonInt64(1)); Document commandResult database.runCommand(command); System.out.println("Connect to database successfully"); } catch (Exception e) { e.printStackTrace(); System.out.println("Connect failed"); } } } 使用SSL证书连接。 使用keytool工具配置CA证书： keytool importcert trustcacerts file keystore storepass 在程序中设置JVM 系统属性以指向正确的信任库和密钥库： System.setProperty("javax.net.ssl.trustStore"," "); System.setProperty("javax.net.ssl.trustStorePassword"," "); Java Code： public class Connector { public static void main(String[] args) { try { System.setProperty("javax.net.ssl.trustStore", "./conf/certs.keystore"); System.setProperty("javax.net.ssl.trustStorePassword", "password"); ConnectionString connString new ConnectionString("mongodb:// : @ : / ?authSourceadmin&ssltrue"); MongoClientSettings settings MongoClientSettings.builder() .applyConnectionString(connString) .applyToSslSettings(builder > builder.enabled(true)) .applyToSslSettings(builder > builder.invalidHostNameAllowed(true)) .build(); MongoClient mongoClient MongoClients.create(settings); MongoDatabase database mongoClient.getDatabase("admin"); BsonDocument command new BsonDocument("ping", new BsonInt64(1)); Document commandResult database.runCommand(command); System.out.println("Connect to database successfully"); } catch (Exception e) { e.printStackTrace(); System.out.println("Connect failed"); } } }

云服务备份CBR与其他云服务的关系如下文介绍。 交互功能 相关服务 位置 ::: 云服务备份对弹性云主机中的云硬盘进行备份，支持将备份的数据恢复到弹性云主机的云硬盘中，以便于在弹性云主机数据丢失或损坏时自助快速恢复数据。同时支持将备份创建为镜像，以快速恢复业务运行环境。 弹性云主机 创建云主机备份 云服务备份对弹性云主机中的云硬盘进行备份，支持将备份的数据恢复到弹性云主机的云硬盘中，以便于在弹性云主机数据丢失或损坏时自助快速恢复数据。同时支持将备份创建为镜像，以快速恢复业务运行环境。 弹性云主机 创建云硬盘备份 云服务备份对弹性文件服务中的SFS Turbo文件系统进行备份，支持使用备份创建新的SFS Turbo文件系统，以便于在文件系统数据丢失或损坏时自助快速恢复数据。 弹性文件服务 创建SFS Turbo备份 云服务备份对物理机中的云硬盘进行备份，同时支持将备份的数据恢复到物理机的云硬盘中，以便于在物理机数据丢失或损坏时自助快速恢复数据。物理机与弹性云主机备份、管理等操作均一致。 物理机 什么是云服务备份 云服务备份对物理机中的云硬盘进行备份，同时支持将备份的数据恢复到物理机的云硬盘中，以便于在物理机数据丢失或损坏时自助快速恢复数据。物理机与弹性云主机备份、管理等操作均一致。 物理机 创建云主机备份 云服务备份通过服务器与对象存储服务的结合，将服务器的数据备份到对象存储中，高度保障用户的备份数据安全。 对象存储 什么是云服务备份 为云硬盘提供数据备份功能，同时，可以使用云硬盘备份创建新的云硬盘。 云硬盘 创建云硬盘备份 云服务备份支持通过云审计服务对备份服务资源的操作进行记录，以便用户可以查询、审计和回溯。 云审计 审计 IAM是支撑企业级自助的云端资源管理系统，具有用户身份管理和访问控制的功能。 统一身份认证 用户权限 当用户开通了云服务备份后，无需额外安装其他插件，即可在云监控查看对应存储库的性能指标，包括存储库使用率和存储库使用量。 云监控 监控指标说明