操作步骤： 1. 加载网络实例时，若选择的网络实例类型为云专线、 VPN 网关或 SDWAN，可开启 “链路冗余” 开关。 加载云专线（CDA）网络实例 加载VPN网络实例 加载SDWAN网络实例 2. 点击开关下面的单选框，选择目标冗余组。如果没有冗余组，可点击单选框下面的“新建冗余组”链接，在创建冗余组弹窗页面完成新建。 3. 单击“确定”，完成冗余网络实例加载。 注意 互为冗余链路的网络实例，需绑定至同一个冗余组。 查看已加载的冗余链路 操作步骤： 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“冗余组 ”页签，查看已经创建的冗余组。 5. 找到目标冗余组，在“冗余成员 ”列，单击“查看”，在弹出框中，即可查看目前已经加载的冗余链路。 删除冗余链路 如果需要删除冗余链路，可以在目标云企业路由器上，直接卸载目标网络实例。 具体请参见：卸载网络实例 删除冗余组

本章主要介绍翼MapReduce的更换HA证书功能。 操作场景 HA证书用于主备进程与高可用进程的通信过程中加密数据，实现安全通信。该任务指导系统管理员FusionInsight Manager完成主备管理节点的HA证书替换工作，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 说明 不适用于未安装主备管理节点的场景。 证书文件和密钥文件可向企业证书管理员申请或由系统管理员生成。 对系统的影响 更换过程中FusionInsight Manager需要重启，此时系统无法访问且无法提供服务。 前提条件 获取需要更换的HA根证书文件“rootca.crt”和密钥文件“rootca.pem”。 准备一个访问密钥文件的密码 password ，例如“Userpwd@123”用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。 操作步骤 1.以omm用户通过主管理节点IP登录主管理节点。 2.选择证书和密钥文件的生成方式： 若由证书管理员生成，请在主备管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录保存申请的证书文件与密钥文件。 说明 若获取的证书文件格式不是“.crt”，密钥文件格式不是“.pem”，执行以下命令修改： mv证书名称.证书格式rootca.crt mv密钥名称.密钥格式rootca.pem 例如，将证书文件命名为“rootca.crt”，密钥文件命名为“rootca.pem”： mv server.cer rootca.crt mv serverkey.key rootca.pem 若由系统管理员生成，执行以下命令在主管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录生成“rootca.crt”和“rootca.pem”： sh ${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootca countryCN state state city city company company organize organize commonname commonname email 管理员邮箱 说明 生成的证书文件有效期为10年，在系统证书文件即将过期时，系统将产生告警“ALM12055 证书文件即将过期”。 例如，执行以下命令： sh ${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootca countryCN stateguangdong cityshenzhen companyxxx organizeIT commonnameHADOOP.COM emailabc@xxx.1com 根据提示信息输入 password ，并按回车键确认。 Enter pass phrase for /opt/xxx/Bigdata/omserver/OMS/workspace/ha/local/cert/rootca.pem: 提示以下信息表示命令执行成功： Generate rootca pair success. 3.在主管理节点以omm用户执行以下命令，复制“rootca.crt”和“rootca.pem”到“${BIGDATAHOME}/omserver/om/security/certHA”目录。 cp arp ​{OMSRUNPATH}/workspace0/ha/local/cert/rootca. OMSR​UNP​ATH/workspace0/ha/local/cert/root−ca.∗​{BIGDATAHOME}/omserver/om/security/certHA 4.使用omm用户将主管理节点生成的“rootca.crt”和“rootca.pem”复制到备管理节点“${BIGDATAHOME}/omserver/om/security/certHA”目录。 scp ​ ​{OMSRUNPATH}OMSRUNPATH}/workspace0/ha/local/cert/rootca. omm@备管理节点IP:${BIGDATAHOME}/omserver/om/security/certHA 5.执行以下命令，生成HA用户证书并自动替换。 sh ${BIGDATAHOME}/omserver/om/sbin/replacehaSSLCert.sh 根据提示信息输入 password ，并按回车键确认。 Please input ha ssl cert password: 界面提示以下信息表示HA用户证书替换成功： [INFO] Succeed to replace ha ssl cert. 说明 如果用户需要更新HA密码加密套件，可以带u参数。 6.执行以下命令，重启OMS。 sh ${BIGDATAHOME}/omserver/om/sbin/restartoms.sh 界面提示以下信息： start HA successfully. 7.以omm用户通过备管理节点IP登录备管理节点，重复56。 执行 sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh 查看管理节点的“HAAllResOK”是否为“Normal”，并可以重新登录FusionInsight Manager表示操作成功。

本节主要介绍使用限制 网络访问使用限制 在使用分布式关系型数据库（简称DRDS）过程中，对于网络访问存在一些使用限制。 用户申请的数据节点、部署应用程序的ECS、DRDS实例必须属于同一个VPC。 当用户需要在自己电脑访问DRDS服务时，需要为DRDS开通EIP服务，然后通过EIP访问DRDS。 MySQL实例使用限制 在使用DRDS过程中，对于MySQL实例存在一些使用限制。 目前支持5.7及8.0系列版本的MySQL实例。 DRDS暂不支持MySQL实例配置SSL连接。 禁止MySQL实例开启区分大小写。 对已经被DRDS关联的MySQL实例进行修改配置等操作时，可能导致使用异常。修改后需要在DRDS的DN管理页面，单击“同步DN信息”，将修改的配置进行同步，保证功能可用性。 不支持的特性和使用限制 不支持的特性 不支持存储过程； 不支持触发器； 不支持视图； 不支持事件； 不支持自定义函数； 不支持外键约束、外键关联； 不支持全文索引和空间函数； 不支持临时表； 不支持 BEGIN…END、LOOP…END LOOP、REPEAT…UNTIL…END REPEAT、WHILE…DO…END WHILE 等复合语句； 不支持类似 IF ，WHILE 等流程控制类语句； 不支持RESET、FLUSH语句； 不支持BINLOG语句； 不支持HANDLER语句； 不支持INSTALL/UNINSTALL PLUGIN语句； 不支持非 ascii/latin1/binary/utf8/utf8mb4 的字符集； 不支持SYS schema； 不支持MySQL追踪优化器； 不支持XProtocol； 不支持CHECKSUM TABLE 语法； 不支持表维护语句，包括ANALYZE/CHECK/CHECKSUM/OPTIMIZE/REPAIR TABLE； 不支持session变量赋值与查询，如set @rowid0;select @rowid:@rowid+1,id from user； 不支持SQL语句中包含单行注释 ' ' 或者多行（块）注释 ' /.../'； 不完整支持系统变量查询，系统变量查询语句返回值为RDS实例相关变量值，而非DRDS引擎内相关变量值。例如select @@autocommit返回的值，并不代表DRDS当前事务状态； 不支持SET Syntax修改全局变量； 不支持PARTITION 语法，建议不要使用partition表； 不支持LOAD XML语句； 不支持的运算符 不支持“:”赋值运算符； 不支持“>”运算符； 不支持“>>”运算符； 暂不支持“ ”运算符； 暂不支持“IS UNKNOWN”表达式； 不支持的函数 DRDS计算层暂不支持如下函数，如果无法确认函数是否能下推到RDS，请不要使用该函数。 不支持XML函数； 不支持ANYVALUE()函数； 不支持ROWCOUNT()函数； 不支持COMPRESS()函数； 不支持SHA()函数； 不支持SHA1()函数； 不支持MD5()函数； 不支持AESENCRYPT()函数； 不支持AESDECRYPT()函数； 不支持JSONOBJECTAGG()聚合函数； 不支持JSONARRAYAGG()聚合函数； 不支持STD()聚合函数； 不支持STDDEV()聚合函数； 不支持STDDEVPOP()聚合函数； 不支持STDDEVSAMP()聚合函数； 不支持VARPOP()聚合函数； 不支持VARSAMP()聚合函数； 不支持VARIANCE()聚合函数； SQL语法使用限制 SELECT 不支持DISTINCTROW; 不支持[HIGHPRIORITY]、[STRAIGHTJOIN]、 [SQLSMALLRESULT]、 [SQLBIGRESULT] 、[SQLBUFFERRESULT] 、[SQLNOCACHE] [SQLCALCFOUNDROWS]等选项放在DRDS实例下面。 不支持SELECT ... GROUP BY ... WITH ROLLUP语句； 不支持SELECT ... ORDER BY ... WITH ROLLUP语句； 不支持WITH语句； 不支持窗口函数； SELECT FOR UPDATE仅支持简单查询，不支持join、group by、order by、limit等语句。用于修饰FOR UPDATE的[NOWAIT SKIP LOCKED]选项对于DRDS无效； 对于UNION中的每个SELECT, DRDS暂不支持使用多个同名的列。如下SQL的SELECT中存在重复的列名。 SELECT id, id, name FROM t1 UNION SELECT pk, pk, name FROM t2； 排序与Limit LIMIT/OFFSET参数支持范围为02147483647； 聚合 不支持group by语句后添加asc/desc函数来实现排序语义； 说明 DRDS自动忽略group by后的asc/desc关键字。MySQL 8.0.13以下版本支持group by后添加asc/desc函数来实现排序语义，8.0.13及以上版本已废弃该用法，使用时会报语法错误。推荐使用order by语句来保证排序语义。 子查询 不支持孙子和爷爷存在关联关系的子查询； 不支持HAVING子句中的子查询，JOIN ON 条件中的子查询； Derived Tables 必须拥有一个别名； Derived Tables 不可以成为 Correlated Subqueries，即不能包含子查询外部表的引用； LOAD DATA语法限制 ESCAPED BY只支持''； 不支持PARTITION (partitionname [, partitionname] ...)； 不支持LINES STARTING BY 'string'； INSERT 和 REPLACE 不支持INSERT DELAYED...； 不支持不包含拆分字段的INSERT； 暂不支持PARTITION语法，建议不要使用partition表； INSERT操作不支持“datetime”字段取值1582年及之前年份； INSERT不支持ON DUPLICATE KEY UPDATE 关联子查询列； INSERT INTO t1(a, b) SELECT FROM(SELECT c, d FROM t2 UNION SELECT e, f FROM t3) AS dt ON DUPLICATE KEY UPDATE b b + c; 示例ON DUPLICATE KEY UPDATE语句中引用了子查询列c。 INSERT和REPLACE不支持拆分键值为DEFAULT关键字； UPDATE和DELETE 不支持更新拆分键值为DEFAULT的关键字； 不支持在一个语句中对同一字段重复更新； 不支持关联更新拆分键； UPDATE tbl1 a,tbl2 b set a.nameb.name where a.idb.id; 示例中“name”为tbl1的拆分键。 不支持通过INSERT ON DUPLICATE KEY UPDATE更新拆分键； 不支持自关联更新； UPDATE tbl1 a,tbl1 b set a.tinyblobcolconcat(b.tinyblobcol,'aaabbb'); 不支持不带关联条件的关联更新； UPDATE tbl3,tbl4 SET tbl3.varcharcol'dsgfdg'; 关联更新不支持在目标列的赋值语句或表达式中引用其它目标列； UPDATE tbl1 a,tbl2 b SET a.nameconcat(b.name,'aaaa'),b.nameconcat(a.name,'bbbb') ON a.idb.id； 对拆分字段的更新，将转换成delete+insert两个阶段操作，操作中间不保证其它涉及到这张表中的拆分字段值的查询语句的一致性； DDL 库名不可修改，拆分字段的名称和类型都不可以变更； 不支持通过SQL直接创建、删除逻辑库； 不支持FULLTEXT索引； 不支持 CREATE TABLE tblName AS SELECT stmt 语法； 不支持 CREATE TABLE tblName LIKE stmt 语法； 不支持单条语句中DROP多张表； DDL语句不支持多语句； 广播表、拆分表不支持创建外键； 不支持创建以“drds”为前缀的表； 不支持创建TEMPOPARY类型的拆分表、广播表； create table中的unique key只能保证物理表内唯一，无法保证全局唯一； 索引 不支持全局二级索引； 不支持全局唯一索引, unique keyprimary key无法保证全局唯一； 表回收站 不支持hint； 不支持按逻辑库清除回收表； 不支持按逻辑表清除回收表； 表恢复后不保证全局唯一序列无缝衔接递增，只确保递增； 数据不支持分片变更； 不支持无限期保留副本； 不支持恢复到任意表名； 不支持不限量副本数； 事务 不Savepoints； 不支持XA语法（DRDS内部已经通过XA实现了分布式事务，不需要用户层再处理这个语义）； 不支持自定义事务隔离级别，目前DRDS只支持READ COMMITTED隔离级别。考虑到兼容性因素，对于设置数据库隔离级别的语句（如SET GLOBAL TRANSACTION ISOLATION LEVEL REPEATABLE READ），DRDS不会报错，但会忽略对事务隔离级别的修改； 不支持设置事务为只读（START TRANSACTION READ ONLY），考虑到兼容性因素，DRDS会将只读事务的开启自动转换为开启读写事务； 权限 不支持列级权限； 不支持子程序层级权限； 数据库管理语句 不支持SHOW TRIGGERS语法； 不支持SHOW PROFILES、SHOW ERRORS、show warnings等多数运维SHOW语句； 下列的SHOW指令会随机发到某个物理分片，每个物理分片如果在不同的RDS for MySQL实例上，查得的变量或者表信息可能不同： SHOW TABLE STATUS； SHOW VARIABLES Syntax； SHOW WARNINGS Syntax 不支持 LIMIT/COUNT 的组合； SHOW ERRORS Syntax 不支持 LIMIT/COUNT 的组合； INFORMATIONSCHEMA 仅支持SCHEMATA、TABLES、COLUMNS、STATISTICS、PARTITIONS的简单查询（没有子查询、JOIN、聚合函数、ORDER BY、 LIMIT);

本节介绍了自定义可自动扩容root分区的Linux私有镜像的方法。 约束条件 根分区文件系统为xfs的镜像不支持自动扩容。 有LVM分区的镜像不支持自动扩容。 推荐使用文件系统为ext3、ext4的单分区镜像。 说明： 版本太老的OS分区扩容成功后需要重启，文件系统才能刷新。 不同OS的growpart安装方式 为了支持私有镜像自动扩容root分区，需要安装growpart工具，不同操作系统的安装方式如下。 不同操作系统growpart安装包 操作系统 工具包 :: Debian/Ubuntu cloudinit、cloudutils、cloudinitramfsgrowroot Fedora/CentOS cloudinit、cloudutils、cloudutilsgrowpart SUSE/openSUSE cloudinit、growpart 说明： Debian 9请优先使用“方法一”安装growpart，如安装失败，请参考“方法二”的操作步骤完成安装。 方法一： Debian 9请执行如下命令安装growpart工具。 aptget install y f cloudinit cloudutils cloudinitramfsgrowroot 方法二： 如使用“方法一”安装失败，可能是由于Debian 9.0.0的安装源有问题，故需自行下载依赖包cloudutils和cloudinitramfsgrowroot后安装。 1. 执行以下命令下载依赖包： wget 包下载地址 可从如下地址获取依赖包： < 2. 执行以下命令修复依赖： apt fixbroken install 3. 执行以下命令进行安装： dpkg i cloudutils包路径 cloudinitramfsgrowroot包路径 例如：dpkg i /root/cloudutils0.291all.deb /root/cloudinitramfsgrowroot0.18.debian5all.deb Debian其他系列请执行以下命令安装： aptget update;aptget install cloudutils cloudinitramfsgrowroot 操作步骤 私有镜像磁盘分区方式以如下两种场景为例： 当root分区在最末尾分区的情况请参考root分区在末尾分区。 当root分区在非末尾分区的情况请参考root分区在非末尾分区。 说明： parted命令无法使用时，请确保OS已经安装parted工具，请按照如下方式安装： CentOS系列，请执行以下命令： yum install parted Debian系列，请执行以下命令： aptget install parted root 分区在末尾分区（例如：/dev/xvda1: swap ，/dev/xvda2: root ） 以CentOS 6.5 64bit系统盘为40GB为例，介绍root分区在末尾分区时如何自定义可自动扩容root分区的Linux私有镜像的配置方法。 a. 执行如下命令查看/dev/xvda的磁盘分区。 parted l /dev/xvda 回显信息如下所示，此时root分区为第二分区，大小为38.7GB。 Model: Xen Virtual Block Device (xvd) Disk /dev/xvda: 42.7GB Sector size (logical/physical): 512B/512B Partition Table: msdos Number Start End Size Type File system Flags 1 1049kB 4296MB 4295MB primary linuxswap(v1) 2 4296MB 42.9GB 38.7GB primary ext4 boot b. 为了支持镜像自动扩容到root分区，请安装growpart工具。 执行以下命令完成growpart安装。 yum install cloud 说明： growpart可能集成在cloudutilsgrowpart/cloudutils/cloudinitramfstools/cloudinit包里，可以直接执行上述命令并确保growpart命令可用。 c. 执行如下命令，获取文件系统类型和UUID。 blkid 回显信息如下所示。 /dev/xvda1: UUID"25ec3bdbba244561bcdc802edf42b85f" TYPE"swap" /dev/xvda2: UUID"1a1ce4dee56a4e1f864d31b7d9dfb547" TYPE"ext4" d. 关闭云主机转成私有镜像。 [root@sluoecse6dcresizefs ~]

本页介绍天翼云TeleDB数据库空间管理相关操作。 操作场景 您可按照百分比或分片形式对数据节点上的数据进行迁移。数据迁移需要实例集群内部至少有两个数据节点组。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树上，单击数据空间管理 ，进入数据空间管理页面。 2. 数据迁移 1. 选择数据迁移 页签，单击创建任务 ，出现创建迁移任务对话框。 2. 在创建迁移任务对话框，输入任务名称 、源节点 、目标节点 和迁移类型。 任务名称：根据自己的需求填写，可自定义。 源节点：根据实际情况选择。 目标节点：根据自己的实际情况选择。 迁移类型：分为shard迁移 和百分比迁移 。 Shard迁移：按照分片迁移，需要选择分片，单次可迁移的分片最大为1000。选择分片迁移需移动分片至已选shard。 百分比迁移：按照源节点上的数据百分比进行迁移，需要输入1100的整数。 3. 单击确定完成任务迁移。 3. 空间清理 说明 当数据被删除或更新时，TeleDB将其标记为无效，但并不立即回收相关的存储空间。需要定期执行空间清理操作，以检查并释放被标记为无效的数据所占用的空间。这样可以确保数据库在长时间运行后不会因为无效数据的积累而占用过多的磁盘空间。 1. 选择空间清理 页签，单击创建任务，出现创建清理任务 对话框。 2. 选择源节点 、清理开始时间 和清理结束时间 ，单击确定。 4. 空间回收 说明 经过空间清理任务后的实例并没有立即释放空间，用户可以通过空间回收任务对实例进行重建表和索引，自动释放被空间清理回收的空间。 1. 选择空间回收 页签，单击创建任务 ，出现创建回收任务 对话框。 2. 选择回收节点、设置回收开始时间和回收结束时间，单击确定完成空间回收。 5. 数据重平衡 说明 用户可以通过数据重平衡，依据磁盘使用率，把节点组原有的数据平均分布到节点组内各个节点上。该功能会自动生成迁移任务以及空间清理任务，用户可以在任务详情或者在对应功能页面查看任务具体执行情况。 1. 选择重平衡任务页签，单击创建任务，出现创建数据重平衡任务对话框。 2. 输入任务名称，选择节点组，单击确定，完成数据重平衡。 6. 表空间管理 说明 用户通过对表空间进行管理，以组织数据存储，在物理设备上合理分配数据。 1. 创建表空间 1. 选择表空间管理 页签，单击创建表空间，出现创建表空间对话框。 2. 在创建空间表对话框，填写表空间名称 ，选择归属账号 ，填写挂载目录 ，并检测目录有效性 ，单击确定完成表空间的创建。 说明 表空间名字请参照以下格式： 1.不能以pg开头。 2.只支持大小写字母、数字和下划线。 3.只能以字母开头。 2. 修改表空间 单击编辑按钮，在弹出的编辑表空间可修改表空间或查看表空间。 3. 删除表空间 单击删除 按钮，在出现的警告提示框，单击确定即可删除表空间。

本页介绍天翼云TeleDB数据库的数据空间管理相关操作。 操作场景 您可按照百分比或分片形式对数据节点上的数据进行迁移。数据迁移需要实例集群内部至少有两个数据节点组。 操作步骤 1. 切换至TeleDB控制台 ，在左侧导航树上，单击数据空间管理 ，进入数据空间管理页面。 2. 数据迁移 1. 选择数据迁移 页签，单击创建任务 ，出现创建迁移任务对话框。 2. 在创建迁移任务对话框，输入任务名称 、源节点 、目标节点 和迁移类型。 任务名称：根据自己的需求填写，可自定义。 源节点：根据实际情况选择。 目标节点：根据自己的实际情况选择。 迁移类型：分为shard迁移和百分比迁移。 Shard迁移：按照分片迁移，需要选择分片，单次可迁移的分片最大为1000。选择分片迁移需移动分片至已选shard。 百分比迁移：按照源节点上的数据百分比进行迁移，需要输入1100的整数。 3. 单击确定完成任务迁移。 3. 空间清理 说明 当数据被删除或更新时，TeleDB将其标记为无效，但并不立即回收相关的存储空间。需要定期执行空间清理操作，以检查并释放被标记为无效的数据所占用的空间。这样可以确保数据库在长时间运行后不会因为无效数据的积累而占用过多的磁盘空间。 1. 选择空间清理 页签，单击创建任务，出现创建清理任务 对话框。 2. 选择源节点 、清理开始时间 和清理结束时间 ，单击确定。 4. 空间回收 说明 经过空间清理任务后的实例并没有立即释放空间，用户可以通过空间回收任务对实例进行重建表和索引，自动释放被空间清理回收的空间。 1. 选择空间回收 页签，单击创建任务 ，出现创建回收任务 对话框。 2. 选择回收节点、设置回收开始时间和回收结束时间，单击确定完成空间回收。 5. 数据重平衡 说明 用户可以通过数据重平衡，依据磁盘使用率，把节点组原有的数据平均分布到节点组内各个节点上。该功能会自动生成迁移任务以及空间清理任务，用户可以在任务详情或者在对应功能页面查看任务具体执行情况。 1. 选择重平衡任务页签，单击创建任务，出现创建数据重平衡任务对话框。 输入任务名称，选择节点组，单击确定，完成数据重平衡。 6. 表空间管理 说明 用户通过对表空间进行管理，以组织数据存储，在物理设备上合理分配数据。 1. 创建表空间 1. 选择表空间管理 页签，单击创建表空间 ，出现创建表空间对话框。 2. 在创建空间表对话框，填写表空间名称 ，选择归属账号 ，填写挂载目录 ，并检测目录有效性 ，单击确定完成表空间的创建。 说明 表空间名字请参照以下格式： 1.不能以pg开头。 2.只支持大小写字母、数字和下划线。 3.只能以字母开头。 2. 修改表空间 单击编辑按钮，在弹出的编辑表空间可修改表空间或查看表空间。 3. 删除表空间 单击删除 按钮，在出现的警告提示框，单击确定即可删除表空间。

本文介绍域名管理模块所涉及的功能。 概述 通过对域名管理相关的功能模块进行概括性介绍，方便您全面了解当前天翼云CDN加速已支持的相关功能以及指引您快速找到对应功能的介绍入口，更快上手。 模块简介 相关管理模块简介如下： 域名管理模块 说明 批量配置域名 介绍当客户多个域名需要配置，而配置值又是相同的情况，这时可以使用批量配置域名功能。 域名操作日志 介绍CDN域名操作记录，它是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 标签管理 介绍标签组和标签的用途和用法，包括创建，删除，关联域名等。 基础配置 介绍域名基础配置，包括域名归属权验证、加速类型选定、加速区域选定、IPv6开关。 回源配置 介绍CDN回源相关的功能和配置，包括源站配置、回源协议、回源端口、默认回源HOST、指定源站回源HOST、回源SNI、回源HTTP请求头、回源URI改写、回源302/301跟随、区分IPv4/IPv6回源、分区域分运营商回源、回源参数改写、Common Name白名单、私有Bucket回源、高级回源、回源超时时间等。 头部修改 介绍头部修改相关配置，包括HTTP响应头，回源HTTP请求头，回源HTTP响应头。 HTTPS配置 介绍HTTPS相关的功能，包括HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、CDN支持的SSL/TLS加密套件等。 缓存配置 介绍缓存相关功能，包括缓存过期时间、状态码过期时间、状态码过期时间（源站优先）、缓存key设置、跨域资源共享等。 访问控制 介绍访问控制相关的功能，包括Referer防盗链、IP黑白名单、UA黑白名单、URL黑白名单、URL鉴权、远程同步鉴权、带宽控制、IP访问限频、单请求限速等策略。 文件处理 介绍文件处理相关的功能，包括文件压缩、html页面优化、html禁止操作、图片处理。 HTTP3.0(QUIC)协议 介绍HTTP3.0(QUIC)协议的适用场景和配置方法。 视频相关 介绍视频有关的功能，包括视频拖拉、视频试看、分片回源、HLS标准加密改写。 高级配置 介绍天翼云CDN加速平台高级配置，包括访问URL重定向，错误页面重定向。 业务告警 介绍天翼云CDN加速平台的业务监控指标和告警功能及其配置方法。 云备源 介绍云备源的适用场景及使用说明。 CDN镜像源 介绍镜像源功能原理及配置说明。 防攻击处理预案说明 介绍安全攻击发生时CDN平台的应急处理机制。 增值服务 介绍CDN增值服务的适用场景和申请方法。

身份认证与访问控制 IAM身份认证 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。 企业项目 企业项目管理（Enterprise Project Management Service，简称“EPS”），为客户提供与企业组织架构和业务管理模型匹配的云治理能力。以面向企业资源管理为出发点，帮助企业以部门、项目等组织架构分级管理和项目业务结构来实现企业在云上的人、物、权管理，提供企业人员管理、项目管理、资源管理等能力。 企业项目服务申请开通后免费使用，您只需要为您账号中的资源进行付费。 企业项目更多相关内容请参见： 创建用户 创建用户组 创建企业项目 企业项目资源迁出/迁入 管理用户组 创建自定义策略 重点操作短信验证 重点操作验证，是天翼云平台为了保障安全，在用户进行重点操作前增加的二次认证，二次认证通过后系统才能执行用户操作。可避免因误操作引起严重后果，提供更高的安全性。 “重点操作”是可能引起服务运行中断、网络中断、数据丢失等情况的操作。 目前二次认证仅支持短信验证码方式认证。若您开启短信验证能力，在控制台进行重点操作时，系统会向您的手机号（绑定天翼云账号的手机号）发送短信验证码，需输入正确的验证码才能执行该重点操作。从而避免您进行误操作，造成云产品数据的丢失；另一方面，确保操作人身份，避免影响业务运行。 更多内容请参见重点操作短信验证。 数据擦除机制 数据擦除机制是指分布式块存储系统中已删除的数据一定会被完全擦除，不会被其他用户通过任何途径访问，也无法通过其他方式恢复，进而确保数据的完整性。 当您删除/退订云硬盘时，存储系统立即销毁元数据，确保无法继续访问数据。同时，该云盘对应的物理存储空间会被回收。物理空间再次被分配前一定是清零过的，在首次写入数据前，所有新建的云盘的读取返回全部是零。

SpringCloud应用接入Nacos配置中心 将Spring Cloud应用快速接入Nacos配置中心，集成Nacos配置管理功能，可遵循如下步骤。 前提条件 下载Maven并设置Maven环境变量。 已有Spring Cloud应用。 已创建MSE Nacos引擎。 在控制台创建配置 1. 进入MSE注册配置中心控制台，点击实例ID进入您创建的Nacos实例，点击配置管理>配置列表，选定命名空间如prod，点击创建配置。填写配置的Data ID、Group和配置内容，示例如下： Data ID：nacosprovider Group：testgroup 配置内容：config1abc 2. 选定配置格式为Properties，点击发布。 3. 接下来为prod命名空间建立读写权限用户。 4. 点击权限控制>用户管理，点击创建用户，填写您的用户名密码，点击确认。 5. 点击权限控制>角色管理，点击添加角色，填写角色名为PRODADMIN，用户名下拉框选中您刚才所创建的用户，点击确认。 6. 点击权限控制>权限管理，点击添加权限，角色名选择PRODADMIN，命名空间选择prod，动作选择“读写”，点击确认。 客户端接入配置中心 在您的Spring Cloud应用中引入如下依赖，替换其中￥{springcloudstarter.version}为与当前应用SpringBoot、SpringCloud版本适配的springcloudstarteralibabanacosconfig版本，替换其中{nacosclient.version}为当前开源nacosclient的最新稳定版，推荐替换为版本2.3.2。 com.alibaba.cloud springcloudstarteralibabanacosconfig ${springcloudstarter.version} com.alibaba.nacos nacosclient com.alibaba.nacos nacosclient ${nacosclient.version} 在应用配置bootstrap.properties（或yml）中添加Nacos相关参数，其中{yournacosaddr}填写ip:port格式的Nacos服务端节点地址，多个节点用英文逗号分隔。 spring.application.namenacosprovider spring.cloud.nacos.config.serveraddr{yournacosaddr} spring.cloud.nacos.config.namespaceprod spring.cloud.nacos.config.username{yournacosusername} spring.cloud.nacos.config.password{yournacospassword} 注意 若您的SpringBoot版本大于等于2.4，还需要额外添加依赖springcloudstarterbootstrap以使能bootstrap.properties： org.springframework.cloud springcloudstarterbootstrap 在应用代码中添加如下Controller，通过访问/getConfig1路径来获取config1动态配置： @RestController @RefreshScope public class ProviderController { @Value("${config1:default}") private String config1; @GetMapping("/getConfig1") public String getConfig1() { log.info("/getConfig1"); return config1; } } 启动应用。应用启动成功后，会自动连接到Nacos配置中心。

本文介绍DDoS高防（边缘云版）弹性防护相关问题。 弹性防护该如何选购？ 最大防护能力套餐内防护能力+弹性防护能力。防护能力需要考虑防护带宽峰值（单位：Gbps）及CC防护能力（单位：QPS）。 需要根据您自身业务希望防护的最高防护带宽来评估。弹性防护是按天按需进行收费，数据统计标准为每天的0:0024:00期间遭受的最大弹性峰值，具体计费表可参考计费模式。 例如：比如您希望防护100Gbps带宽、100000QPS的CC攻击；选购的基础套餐版本为DDOSM4，包含20Gbps防护带宽和80000QPS的CC防护能力，则弹性防护可选择购买80Gbps弹性防护，同时还能弹性支持320000QPS的CC防护能力。 若您遭受的攻击频繁超出基础套餐的防护带宽，建议升级为更大的套餐，若您仅是偶尔被攻击且攻击量不确定，可以购买弹性防护作为保险。 弹性防护如何出账？ 购买时选定弹性防护最高防护峰值，若攻击超出套餐防护规格，则超出部分按照弹性防护阶梯按日收费。 每日计费值以当天（0:00~24:00）攻击的最大攻击峰值为计费标准。 弹性防护当日最大DDoS攻击峰值套餐保底防护带宽，超出CC防护攻击值当日最大CC攻击峰值套餐内CC防护能力，再找到超出防护带宽、超出CC防护值在弹性防护计费列表中对应的计费区间，二者取其高，即可算出弹性防护超出费用。 例如：基础套餐购买的版本为DDOSM3，包含10Gbps、50000QPS，弹性防护购买20Gbps 、80000QPS。以下仅以带宽部分超出的情况为例： 若当前遭受攻击为10Gbps以内（如8Gbps）不进行额外收费； 若当前遭受攻击为超过10Gbps（如15Gbps），超出的部分为5Gbps，参考弹性防护计费标准，落在第一阶梯[010Gbps]以内，按照860元/天收费。 若当前遭受攻击为25Gbps，则超出的部分为15Gbps，落在第二阶梯[1020Gbps]以内，按照1760元/天收费。 若当前遭受攻击为35Gbps，则超出的部分为25Gbps，但最高弹性防护仅购买20Gbps，则不进行防护，直接解析回源，2小时后再恢复服务，不产生任何弹性防护费用。 弹性防护计费具体计费表可参考计费模式。

操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击左侧导航栏中的“云硬盘快照”，进入云硬盘快照页面。 5. 在云硬盘快照页面，单击待回滚快照所在行“操作>回滚”，进入“回滚数据”窗口。 6. 根据界面提示，确定回滚操作信息后，单击“确定”，云硬盘开始进行数据回滚。注意云硬盘回滚至目标时刻之后，该目标时刻到回滚操作时刻之间的数据将被删除，请谨慎操作。 7. 在云硬盘快照页面，查看快照状态。待快照状态由“回滚中”变为“可用”时，表示回滚命令下发成功。 8. 登录云主机查看数据是否回滚成功。 注意 云硬盘数据是否回滚成功请以云硬盘实际数据为准。 验证回滚快照功能 用一个实际案例来确认快照回滚功能。 1. 登录弹性云主机实例查看当前云硬盘中的数据。比如此时文件夹/mnt/sdc中具有一个文件a.txt。 2. 在执行操作删除文件a.txt之前可以对云硬盘创建快照用于备份数据。您可在控制台创建快照。具体操作详见创建快照。 3. 您可根据业务需求继续使用云硬盘，在业务使用过程中为云硬盘创建快照可降低数据误操作的风险。比如本例中，在创建快照之后，再进行“删除文件夹/mnt/sdc中的a.txt文件” 的操作。 4. 若想将云硬盘数据恢复数据至快照时刻，您可在控制台对快照进行回滚操作，具体操作详见快照回滚。注意回滚时，云硬盘若处于挂载状态，其所挂载的云主机需要处于关机状态，现在我们进行关机及回滚。 5. 执行回滚操作后，在云主机实例中查看云硬盘数据恢复，则表明回滚操作成功。此时文件夹/mnt/sdc中恢复了a.txt文件。

本文介绍天翼云云工作流的流程定义语言。 通过基础知识和相关使用示例， 可达到基本了解构建和管理业务流程的过程。 基本概述 流程（workflow）基本架构 状态（state）通用结构 transtion字段 stateDataFilter字段 相关文档 基本概述 天翼云云工作流流程定义基于CNCF ServerlessWorkflow Specification 0.8版本进行适配优化的。其主要特征是一种基于YAML的声明式工作流规范，用于定义由事件驱动的无服务器应用编排逻辑。它通过状态（State）组织任务流，支持顺序/并行执行（Parallel状态）、条件分支（Switch状态）、暂停（Sleep状态）等控制逻辑，并能通过错误捕获（Catch策略）和重试机制（Retry策略）实现容错处理。其核心特点包括与云服务事件源的无缝集成、状态间数据传递（Data Input/Output）等。所有状态（State）共享基础属性：名称(name)、类型(type)、输入输出(Data Input/output)。通过组合这些状态类型，可以构建出复杂的业务流程。 流程通常包含若干状态（State），这些状态可以是简单的执行类状态，例如任务（Operation）、暂停（Sleep）、传递（Noop）和失败（Fail）等；也可以是复杂的流程控制类状态，例如选择（Switch）、并行（Parallel）和迭代（Foreach）。其作用列举如下： 操作（Operation） ：主要是用于调用集成服务API来完成特定任务， 利用任务类型状态可以执行一个函数调用，调用天翼云云服务API，也可以通过HTTP/HTTPS等通用协议发起第三方服务调用。 传递（Noop） ：是一种特殊的Operation类型状态， 它主要利用场景是用于在流程编排过程中的一种占位符作用的存在。可当作空白节点或者作为数据预处理节点将输入数据结构转换成期望的输出。 失败（Fail）：是一种特殊的Operation类型状态。Fail状态会返回失败结果，可用于提前结束工作流执行并将执行结果置为失败。 暂停（Sleep）：用于暂停工作流执行， 可将工作流按照指定时长等待或者暂停至特定时间点后继续执行。 条件分支（Switch）：根据条件表达式选择执行路径，类似编程中的switchcase，灵活控制流程方向。 并行（Parallel）：并行执行多个分支，合并各分支结果，适用于需要同时处理多项任务的场景。 迭代（Foreach）：并行遍历输入数组，对每个元素执行处理器逻辑，类似foreach循环，高效处理批量数据。 状态（State）是工作流的基本执行单元，每个状态代表流程中的一个步骤，包含输入处理、业务逻辑执行和输出传递功能。状态之间通过转换（transition）形成有向关系，共同构成完整的工作流。

对等连接支持灵活可靠的跨VPC互联服务,本文帮助您了解创建对等连接的操作场景和操作流程。 操作场景 要解决不同VPC之间网络不通的问题，您可以通过创建对等连接来实现同一资源池下不同VPC之间的连通。同账户内同资源池的VPC创建对等连接，默认自动接受。 准备工作 环境准备 已创建相同资源池内的两个VPC，具体操作参见创建VPC。 每个VPC下已创建１台弹性云主机。具体操作参见创建弹性云主机。 步骤一：创建对等连接 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”,相关参数如下表所示： 参数 说明 选择本端VPC 名称 对等连接名称，名称由数字、字母、中文、、组成，不能以数字、和开头，长度范围为232个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。长度范围为1200个字符。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接 此处选择当前账户。 选择对端VPC 对端VPC 对端VPC：显示已选择的对端VPC，可在下拉框中选择。 选择对端VPC 对端VPC网段 显示对端VPC网段。 对端VPC网段选择的子网网段不能和本端VPC的子网网段相同。当两端VPC网段重叠时，要注意两端VPC中要互通的子网网段不要重叠，否则无法通过路由互通。 6. 配置完成后，点击“确定”。

本文主要介绍对象存储的定义。 服务简介 对象存储（Object Storage Service，OBS），简称天翼云OBS，是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力，包括：创建、修改、删除桶，上传、下载、删除对象等。支持S3协议，部分节点支持文件语义、HDFS协议。OBS系统和单个桶都没有总数据容量和对象/文件数量的限制，为用户提供了超大存储容量的能力，适合存放任意类型的文件，适合普通用户、网站、企业和开发者使用。 OBS是一项面向Internet访问的服务，提供了基于HTTP/HTTPS协议的Web服务接口，用户可以随时随地连接到Internet的电脑上，通过OBS管理控制台或各种OBS工具访问和管理存储在OBS中的数据。此外，OBS支持SDK和OBS API接口，可使用户方便管理自己存储在OBS上的数据。OBS实现了在多区域部署基础设施，具备高度的可扩展性和可靠性，用户可根据自身需要指定区域使用OBS，由此获得更快的访问速度和实惠的服务价格。 产品架构 OBS的基本组成是桶和对象。 桶是OBS中存储对象的容器，每个桶都有自己的存储类别、访问权限、所属区域等属性，用户在互联网上通过桶的访问域名来定位桶。 对象是OBS中数据存储的基本单位，一个对象实际是一个文件的数据与其相关属性信息的集合体，包括Key、Metadata、Data三部分： Key：键值，即对象的名称，为经过UTF8编码的长度大于0且不超过1024的字符序列。一个桶里的每个对象必须拥有唯一的对象键值。 Metadata：元数据，即对象的描述信息，包括系统元数据和用户元数据，这些元数据以键值对（KeyValue）的形式被上传到OBS中。 系统元数据由OBS自动产生，在处理对象数据时使用，包括Date，Contentlength，Lastmodify，ETag等。 用户元数据由用户在上传对象时指定，是用户自定义的对象描述信息。 Data：数据，即文件的数据内容。 天翼云针对OBS提供的REST API进行了二次开发，为您提供了控制台、SDK和各类工具，方便您在不同的场景下轻松访问OBS桶以及桶中的对象。当然您也可以利用OBS提供的SDK和OBS API，根据您业务的实际情况自行开发，以满足不同场景的海量数据存储诉求。

本节主要介绍桶ACL和对象ACL。 访问控制列表（Access Control List，ACL）是一个指定被授权用户和所授予权限的授权列表，它可以帮助您管理桶和对象的访问权限。每一个桶和对象都有其对应的ACL，它定义了哪些帐号或群组被授予访问权限以及其拥有的权限类型。当收到对资源的请求时，OBS会检查资源的ACL来验证请求者是否具有必要的访问权限。 默认情况下，创建桶和对象时会同步创建ACL，授予资源拥有者对桶和对象的完全控制权限（FULLCONTROL）。 一个桶的ACL最多支持100条授权，一个对象的ACL也最多支持100条授权。 谁是被授权用户 被授权用户可以是使用云服务的帐号或OBS预定义的群组，详细信息如下表所示。 被授权用户 描述 :: 特定用户 ACL支持通过帐号授予桶/对象的访问权限。授予帐号权限后，帐号下所有具有OBS资源权限的IAM用户都可以拥有此桶/对象的访问权限。当需要为不同IAM用户授予不同的权限时，可以通过桶策略配置， 拥有者 桶的拥有者是指创建桶的帐号。桶拥有者默认拥有所有的桶访问权限，其中桶ACL的读取和写入这两种权限永远拥有，且不支持修改。对象的拥有者是上传对象的帐号，而不是对象所属的桶的拥有者。对象拥有者默认永远拥有对象读取权限、ACL的读取和写入权限，且不支持修改。 匿名用户 未注册云服务的普通访客群组。如果匿名用户被授予了访问桶/对象的权限，则表示所有人都可以访问对应的桶/对象，并且不需要经过任何身份认证。 日志投递用户组 说明 仅桶ACL支持。 日志投递用户组用于投递OBS桶及对象的访问日志。由于OBS本身不能在帐号的桶中创建或上传任何文件，因此在需要为桶记录访问日志时，只能由帐号授予日志投递用户组一定权限后，OBS才能将访问日志写入指定的日志存储桶中。该用户组仅用于OBS内部的日志记录。须知：当日志记录开启后，目标存储桶的日志投递用户组会同步开启桶的写入权限和ACL读取权限。若手动将日志投递用户组的桶写入权限和ACL读取权限关闭，桶的日志记录会失败。

本节主要介绍IAM策略。 通过IAM，您可以在云帐号中创建IAM用户，并使用策略来控制IAM用户对云资源的访问范围。 IAM策略是作用于云资源的，IAM策略定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。 对于OBS，IAM策略的OBS权限是作用于OBS所有的桶和对象的。如果要授予IAM用户操作OBS资源的权限，则需要向用户所属的用户组授予一个或多个OBS权限集。 IAM策略应用场景 IAM策略主要面向对同帐号下IAM用户授权的场景： 使用策略控制帐号下整个云资源的权限时，使用IAM策略授权。 使用策略控制帐号下OBS所有的桶和对象的权限时，使用IAM策略授权。 策略结构&语法 策略结构包括：Version（策略版本号）和Statement（策略权限语句），其中Statement可以有多个，表示不同的授权项。 参数 说明 :: Version 标识策略的版本号： 1.0：RBAC策略。RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限。 Statement 策略授权语句，描述策略的详细信息，包含Effect（作用）和Action（授权项）。 Effect（作用） 作用包含两种：Allow（允许）和Deny（拒绝），系统预置策略仅包含允许的授权语句。 Action（授权项） 对资源的具体操作权限，支持单个或多个操作权限，支持通配符号，通配符号表示所有。 Resource（资源） 策略所作用的资源，格式为：服务名:region:domainId:资源类型:资源路径，支持通配符号，通配符号表示所有。在JSON视图中，不带Resource表示对所有资源生效。 Resource支持以下字符：09azAZ./，如果Resource中包含不支持的字符，请采用通配符号。 OBS是全局级服务，region填“”；domainId表示资源拥有者的帐号ID，建议填写“”简单地表示所填资源的帐号ID。 示例： − "obs:::bucket:": 表示所有的OBS桶。 − "obs:::object:mybucket/myobject/": 表示桶mybucket中“myobject”目录下的所有对象。 Condition（条件） 使策略生效的特定条件，可选。格式为：条件运算符: {条件名:[条件值1, 条件值2]} 条件包含全局条件名和云服务条件名，OBS支持的条件名与桶策略中的Condition一致，在IAM配置时，需要加上“obs:”。详细的Condition介绍如条件所示。 Condition的条件值仅支持以下字符：,./ azAZ09@

本文带您熟悉备份恢复的操作步骤,您可根据该步骤恢复主机数据。 操作场景 当云主机中的云硬盘发生故障或由于人为误操作导致云主机数据丢失时，您可以使用已经成功创建的备份来恢复云主机。 注意 执行云主机数据恢复操作后，备份时间点的数据将会覆盖云主机上的现有数据。一旦执行云主机数据恢复操作并覆盖了现有数据，则无法撤消或回退。 约束与限制 云主机备份通常支持将整个云主机（包括系统盘和所有数据盘）作为一个整体进行备份和恢复，因此备份会包含所有挂载在云主机上的云硬盘数据。目前备份系统不支持对云主机中的部分云硬盘进行备份和恢复操作。 云主机备份不支持将数据盘数据恢复到系统盘中。 仅“可用”状态的备份允许恢复。 前提条件 需要恢复的云主机至少存在一个备份，且状态为“可用”。 在恢复前，备份绑定的云主机需处于关机状态。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份副本”页签，找到云主机所对应的备份，点击备份所在行的“恢复数据”。 注意 恢复云主机数据之后，原云主机数据将被覆盖，恢复操作无法终止，为数据安全考虑，您可以事先做好备份。 如果备份后用户添加了云硬盘，再使用备份进行恢复，则添加的云硬盘数据不会改变。 如果备份后用户删除了云硬盘，再使用备份进行恢复，则删除的云硬盘不会被恢复。 云主机切换操作系统后不支持恢复数据至原云主机。 如果使用备份恢复云主机后，云主机密码被随机修改，用户不知道新密码，可以使用密码重置功能 5. 在弹出的页面，确认恢复数据信息，并点击“确定”。 6. 您可以在备份副本列表中，查看备份恢复的执行状态。 7. 直到备份的备份状态恢复为“可用”，表示恢复成功。

本文主要介绍如何创建伸缩带宽策略。 操作场景 用户可以通过伸缩带宽策略对购买的弹性公网IP带宽和共享带宽进行调整。本章节介绍如何创建伸缩带宽策略。 您可以通过创建伸缩带宽策略来实现自动调整带宽。创建伸缩带宽策略时，需要配置对应的基本信息，系统支持告警策略、定时策略、周期策略三种伸缩带宽策略。 创建伸缩带宽策略的基本信息，包括配置策略名称、策略类型、触发条件等。 创建伸缩带宽告警策略 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务 > 弹性伸缩 > 伸缩带宽”。 3. 单击“创建伸缩带宽策略”。 4. 配置策略名称、策略类型、触发条件等参数，请参考下表进行配置。 5. 参数配置完成后，单击“立即创建”。 在“伸缩带宽”页面中可查看新创建的伸缩带宽策略，新创建的策略默认的状态为“已启用”。 表 “告警策略”参数说明 参数 解释 取值样例 区域 创建的伸缩带宽策略所在的区域。 策略名称 创建的伸缩带宽策略的名称。策略名称只能由中文、英文字母、数字、下划线、和中划线组成。 弹性IP 需要进行伸缩管理的公网IP。 策略类型 选择“告警策略”。 告警策略 执行动作 设置伸缩策略执行动作。执行动作包括： 1. 增加：当执行伸缩活动时，增加带宽大小； 2. 减少：当执行伸缩活动时，减少带宽大小； 3. 设置为：将带宽大小设置为固定值。 说明： 由于带宽在不同的取值范围内步长（即可调整的最小单位）不同，最终调整后的带宽会根据实际步长自动调整为就近值。 小于等于300Mbit/s：默认步长为1Mbit/s。 冷却时间 冷却时间是指冷却伸缩活动的时间，单位为秒。在每次伸缩活动完成之后，系统开始计算冷却时间。伸缩组在冷却时间内，会拒绝告警策略的触发，其他类型的伸缩策略（如定时策略和周期策略）及手动触发不受限制。 300秒 表 告警策略监控指标说明 指标名称 解释 入网带宽 该指标用于统计测量对象入云平台的网络速度。 入网流量 该指标用于统计测量对象入云平台的网络流量。 出网带宽 该指标用于统计测量对象出云平台的网络速度。 出网流量 该指标用于统计测量对象出云平台的网络流量。 出网带宽使用率 该指标用于统计测量对象出云平台的带宽使用率，以百分比为单位。

本节介绍了连接类相关问题与处理方法。 root账号的ssltype修改为ANY后无法登录、 场景描述 在控制台以root帐号通过DAS登录实例时，报错Access denied。 原因分析 1. 查看mysql.user表中的root帐号信息，排查客户端IP范围是否正确、是否使用SSL。 SELECT FROM mysql.user WHERE User'root'; 如果发现root帐号的ssltype 被设置为 ANY ，表明root帐号需要使用SSL连接。 2. 查看SSL开启情况。 show variables like '%ssl%'; 发现该实例未开启SSL： 因此，问题原因是自行修改root帐号的ssltype 为ANY后，导致无法登录。 解决方案 将root帐号的ssltype修改为空即可，参考命令： update mysql.user set ssltype'' where user 'root'; 如果要将其他所有用户帐号的ssltype修改为空，参考命令： update mysql.user set ssltype'' where user not like 'mysql%'; SSL使用与介绍 场景描述 使用SSL无法连接上数据库。 原因分析 优先检查网络是否已经连通，如果不带SSL的连接方式可以连接，则可能是mysql client或对应的数据库驱动的版本不兼容。 解决方案 TaurusDB是兼容社区8.0以上版本的，需要使用8.0及以上版本的mysql client或数据库驱动。 SSL(Secure Socket Layer：安全套接字层)使用数据加密、身份校验和消息完整性校验，为连接提供安全性保证。 SSL提供的功能主要包含 ： 1. 加密数据传输：利用对称密钥算法对传输的数据进行加密。 2. 身份校验：基于证书使用数字签名的方法对客户端与服务器进行身份验证。 3. 消息完整性校验：消息传输过程中使用MAC算法来检验消息的完整性。 注意 当服务端的SSL开启时，客户端的身份验证是可选的，即：即使服务端开启了SSL，客户端也可以不通过SSL的方式连接服务端，此时也可以正常通信，只是数据不会被加密。 如果不是通过SSL的方式，那么其在网络中的传输数据会以明文进行，存在安全隐患。 TaurusDB数据库服务端会默认开启服务端会默认开启SSL，客户业务使用时可以在客户端自行选择是否使用SSL。

本节介绍网络的用户指南：集群网络概述。 集群网络分为主机和容器两个维度，主机位于VPC中使用VPC网络，容器网络则使用容器网络插件来管理。 节点网络 VPC为集群内主机分配IP地址，订购集群时选择VPC中的子网用于集群的主机网络，子网可用IP数量直接限制了集群节点规模。 容器网络 约束条件 容器网络CNI插件为Pod分配IP地址，云容器引擎提供的CNI插件均符合kubernetes容器网络模型，具体约束如下： 1.每个Pod都拥有一个独立IP地址，Pod内容器均共享一个网络命名空间； 2.任意Pod之间均可直接通信，无需NAT； 3.任意Pod与节点间均可直接通信，无需NAT。 网络插件 当前云容器引擎提供如下CNI插件： calico容器网络：使用calico IPIP模式。该模式下，calico依旧使用BGP分发节点的容器路由信息，但在节点网络基础上通过IPIP隧道技术构建独立于节点网络平面的容器网络平面，IPIP将发给容器的IP报文封装成发给目的节点的IP报文进行隧道传输； cubecni容器网络：是云原生网络方案，直接基于VPC网络中的弹性网卡和IP资源构建容器网络。Pod通过弹性网卡资源直接分配VPC的子网IP地址，无需额外指定虚拟Pod地址段。 Cubecni和Calico对比如下： 。 对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择弹性文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，提供了一些建议参数，用户可根据自己的情况实际定制相关参数。 比如设置挂载参数为： vers：表示指定 NFS 协议的版本 wsize：表示指定了 NFS 协议中用于写入的数据块大小（以字节为单位），设置较大的写入块大小可以提高写入性能 rsize：类似于 wsize，但用于读取的数据块大小 注意 请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 参数 弹性文件存储类型：参数键为type，支持参数值如下： capacity：SFS Turbo标准型 performance：SFS Turbo性能型 可用区：选择随机，或者指定具体的某个可用区。建议与存储产品确认，哪些可用区有并行文件，再进行选择。 存储加密：选择加密后，需要选择具体的秘钥。用户需要提前创建好秘钥，供ccse控制台调用，当前仅支持默认秘钥和按需秘钥。

本章节介绍了如何查看分布式消息服务RocketMQ实例。 操作场景 本节介绍如何在分布式消息服务RocketMQ控制台查看RocketMQ实例的详细信息。例如，连接RocketMQ实例时，需要获取的连接IP地址和端口号。 操作步骤 1. 登录分布式消息服务RocketMQ控制台。 2. RocketMQ实例支持通过筛选来查询对应的RocketMQ实例。当前支持的筛选条件为“状态”、“名称”、“连接地址”和“ID”。RocketMQ实例状态请参见表1。 表1 RocketMQ实例状态说明 状态 说明 创建中 创建RocketMQ实例后，在RocketMQ实例状态进入运行中之前的状态。 运行中 RocketMQ实例正常运行状态。在这个状态的实例可以运行您的业务。 故障 RocketMQ实例处于故障状态。 启动中 实例从已冻结到运行中的中间状态。 重启中 RocketMQ实例正在进行重启操作。 变更中 RocketMQ实例正在进行公网访问变更或规格变更操作。 变更失败 RocketMQ实例处于公网访问变更失败或规格变更失败的状态。 已冻结 实例处于已冻结状态。 冻结中 实例从运行中到已冻结的中间状态。 升级中 RocketMQ实例正在进行升级操作。 回滚中 RocketMQ实例正在进行回滚操作。 3. 单击RocketMQ实例的名称，进入该RocketMQ实例的基本信息页面，查看RocketMQ实例的详细信息。 表2为连接实例的相关参数，其他参数，请查看页面显示 表2 实例参数 参数 说明 元数据连接地址 未开启公网访问时，实例元数据管理节点的地址，大部分场景下客户端只需要配置此地址即可。 业务连接地址 未开启公网访问时，实例业务处理节点的地址，当需要对单一业务节点进行操作时，可以使用其中某一地址。 公网访问 公网访问状态。单击“公网访问”后的，开启/关闭公网访问。 元数据公网连接地址 仅开启公网访问后可见。开启公网访问后，实例元数据管理节点的地址，大部分场景下客户端只需要配置此地址即可。 业务公网连接地址 仅开启公网访问后可见。开启公网访问后，实例业务处理节点的地址。 SSL 实例的SSL状态。 ACL访问控制 实例的ACL访问状态。单击“ACL访问控制”后的，开启ACL访问。 说明：仅2021年8月21号后购买的实例，支持设置此参数。

本节介绍了查看实例运行情况的相关内容。 数据管理服务提供的总览页面可以帮助您查看数据库实例的整体运行情况，包括告警统计、资源使用情况和重点性能指标，多方面实时展示实例的运行状态。基于运行数据结合智能算法对实例进行健康智能诊断，并对异常项提供解决方法与使用建议。 功能模块 总览页面从多个模块为用户展示实例的运行情况，各功能模块详情请参见下表。 表 功能说明 功能模块 说明 告警统计 查看实例运行中不同等级告警条数。单击告警数，可以跳转至告警规则页面，显示该告警等级下的所有告警规则。 健康智能诊断 基于运行数据结合智能算法对实例进行整体诊断，帮助您所见即所得了解实例的健康情况。 资源使用情况 查看实例的CPU利用率、内存利用率、磁盘空间利用率和磁盘IOPS指标数。 重点性能指标 查看实例的近一小时的重点性能指标，包括CPU和慢SQL数、连接数、内存使用率、硬盘读写吞吐量。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 单击页面左上角的 ，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 步骤 4 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 步骤 5 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 步骤 6 选择目标实例，单击“详情”，进入“总览”页面。 步骤 7 在总览页面，查看实例的运行情况。 告警统计 在“告警统计”模块，查看当前实例的告警信息。单击告警级别后的告警个数，可查看告警详情列表。 如果业务需要关注CPU使用率、磁盘利用率和连接数使用率等指标，您可以通过管理告警规则配置对应的指标和告警策略。 健康智能诊断 在“健康智能诊断”模块，可以实时查看实例的诊断结果。 例如：出现“高压力请求”异常情况时，可以单击“详情与优化”查看相关性能指标的使用情况，并根据优化建议对当前的业务SQL进行优化或者及时扩容CPU规格来满足业务需求。 资源使用情况 在“资源使用情况”模块，可以查看当前实例的资源使用情况。 重点性能指标 在“重点性能指标”模块，可以查看近一小时的重点性能指标。 结束

本文主要介绍RDSPostgreSQL实例修改参数操作。 操作场景 为了能让您的数据库实例的性能发挥最佳表现，您可以根据实际的业务场景和需求对创建的参数组的参数项进行调整，也可以在"实例列表"的"参数设置"进行参数项调整。 您仅可以修改自定义创建的参数模板，无法对默认参数组模板进行修改编辑。 注意 当您在Ⅱ类资源池的"实例管理"界面，点击选定"实例名称/实例ID"下的目标实例，并选择跳转到"参数设置"进行参数修改时，更改动态参数并保存修改后，系统将会立即同步修改后的参数值。若您修改静态参数并保存修改后，系统将会提示您是否立即重启实例，您可以点击"确定"按钮后，系统执行实例重启操作完成参数生效，或者点击"取消"按钮，待您后续手动重启数据库实例后，完成参数生效。动态参数、静态参数区分您可参考参数中【是否需要重启】列。 当您在Ⅱ类资源池的"参数模板"界面，修改用户自定义参数组时，需要执行"应用"操作，将修改后的参数模板应用到您指定的数据库实例。如您修改的参数包括静态参数，则在应用界面需要勾选重启实例，或者手动重启实例，完成数据库实例重启操作后静态参数生效。 操作步骤 Ⅰ类资源池操作步骤 方式一：修改当前实例的参数 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 点击"参数管理",进入"参数管理"页面。在"参数管理"页面，下拉框选择您需要操作的实例，在参数列表内选择您需要修改的参数名，或者在"请输入参数名"输入框内填写您需要修改的参数名后查询，并按照"允许值"来填写参数值取值。 单击"保存"，在弹出框中单击"确定"，保存修改。若修改的参数包括静态参数，则会提示需要重启才能生效，请您根据实际情况选择是否重启。 单击"取消"，放弃本次修改。 单击"预览"，可预览本次修改参数的原先值和修改值。 参数修改完成后，您可以在参数列表的右上侧点击"历史记录"，查看参数修改记录。

怎样测试域名解析是否生效？ 您可以在已经连接Internet的PC终端的DOS窗口使用如下三种命令测试域名解析是否生效，命令格式如下： ping 目标域名 nslookup [qt类型] 目标域名 权威DNS地址 dig 类型 目标域名 @权威DNS地址 说明 nslookup和dig命令中的“类型”可以输入解析记录类型（比如A，CNAME，TXT，MX等），用来查询指定类型的域名解析是否生效，如果不输入则默认查询A类型域名解析。如果PC终端的操作系统没有自带dig命令，需要手动安装后才能使用。 当记录值有多个IP地址时，域名是如何解析的？ 当解析记录的“值”包含多个IP地址时，域名解析会返回所有的IP地址，目前A类型、AAAA类型、TXT类型、MX类型支持解析设置记录集中包含多个值。以A记录为例，当用户在记录值中填写多个ip地址时，域名解析将随机返回所有已填写ip值，但顺序为随机，浏览器会选取其中一个ip地址作为解析的结果。 新增解析记录解析多久可以生效？ 内网DNS server配置实时生效。 添加记录是指首次为域名添加解析记录，客户端的本地DNS从未缓存过该域名的解析信息，会实时向内网DNS服务器请求解析结果，所以添加解析记录是实时生效的。完成内网域名解析记录配置后，您可以按照帮助文档中提供的生效检测方法来验证解析设置是否生效，操作步骤详见生效检测 删除/修改记录解析多久可以生效？ 内网DNS server配置实时生效。 用户客户端解析生效时间取决于本地DNS缓存的解析记录的TTL到期时间，一般默认为10分钟。在实际的域名解析流程中，客户端发起解析请求后，递归解析服务器会代替客户端进行全球递归查询，最终请求到负责该域名解析的权威解析服务器。递归解析服务器将权威解析结果告知客户端的同时，也会在自身缓存上一段时间，这就是DNS缓存。而TTL（全称是“Time To Live（生存时间）”）表示的是DNS记录在DNS服务器上的缓存时间。天翼云内网DNS记录TTL规格共四种：5分钟、1小时、12小时、1天（24小时），对应TTL值为5分钟（300s），1小时（3600s），12小时（43200s），1天（86400s）。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。

Q：如何选择适合我的域名？ A：您可以从以下4个方面构思： 单位名称的中英文缩写 企业的产品注册商标 与企业广告语一致的中英文关键词 比较有趣的名字，如： hello，cool，yes等等 域名命名原则 a) 容易记这是最重要的原则 b) 要同你的商业有直接关系 c) 长度要短 d) 正确拼写英文单词或拼音 e) 用你的商标或企业名称 f) 注册.com下的域名 g) 不要侵犯人家的商标 Q：域名注册可以实时完成吗？ A：应国家相关政策，域名注册前需要先完成实名制审核后才可以完成注册，域名注册前要现在后台完成实名制模板创建，创建模板后提交有关部门审核，审核时间大概需要13天。模板创建成功后，注册域名前先查询，若是未注册的域名，选择审核通过的模板后注册可以实时完成，先到先得，注册后其他人无法注册。域名注册成功后，还要通过实名制审核、命名审核，审核通过后才可使用。否则域名注册成功后是不可使用的状态，当然其他人也无法注册。 Q：域名的所有权是如何界定的？ A：在中国境内，域名注册成功后要进行实名制登记。可以是个人、企业、机构等等主体。实名制认证完成后，即认为是域名的所有人，拥有域名所有权。 Q：域名有什么用？ A：域名是互联网的基础寻址方式，打开任何互联网内容都需要用域名来进入引导，域名注册成功后要做相应的解析，才能在实现寻址功能。 Q：域名需要实名认证吗？ A：根据2017年颁布的《互联网域名管理办法》规定，域名注册后必须实名制才可以使用，实名制认证是中国地区本着网络安全和用户安全设立的规则。中国地区的注册局、注册商、代理商以及用户都要遵循实名制认证的规定。在中国以外的注册商注册域名，是不强制要求实名制的。 实名制认证需要用户提交跟持有人一致的证件，系统自动审核真实性和是否存在。核验成功后，域名的状态会置为OK，即可以正常解析使用。否则域名虽然能注册成功，但域名无法做解析。 Q：同一个域名可以注册多个扩展名吗？ A：可以，同一个域名注册多个扩展名，例如www.公司名.net和www.公司名.com，可用来确保公司品牌的唯一性，并保证其不被他人抢注。

本文主要介绍天翼云ECS实例间的迁移场景和操作步骤。 简介 当需要把不同天翼云账号下的主机资源整合到一个天翼云账号下时，可以采用主机迁移服务实现ECS实例间的快速迁移。主机迁移服务支持同一区域或者不同区域的源端到目的端的迁移。 操作步骤 1. 获取目的端服务器所在账号的AK/SK。 1. 如果您需要直接使用账号来进行主机迁移，具体步骤请参见获取AK/SK（账号）。 2. 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见获取AK/SK（IAM用户）。 2. 在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 3. 安装完成后，双击SMSAgent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 说明 迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 4. 迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 5. 创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。如果源端和目的端在天翼云的同一个VPC里面，“网络类型”可以私网，迁移时会使用目的端的私有IP建立数据连接，目的端不需要配置弹性IP。迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 说明 源端和目的端处于同一账号、同一region、不同VPC下时，需要创建同一帐户下的对等连接，然后“迁移网络类型”可以选择私网。 源端和目的端处于不同账号、同一region、不同VPC下时，需要创建不同帐户下的对等连接，然后“迁移网络类型”可以选择私网。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

本文为您介绍如何通过虚拟节点使用L20 GPU。 主流的AI训练、推理等应用普遍采用容器化方式运行，这类任务对GPU算力需求大，且通常需要短时间内快速申请大量计算资源，并在任务完成后及时释放，以提升资源利用效率、控制成本。在已经创建云容器引擎集群的基础上，您可以通过部署虚拟节点（基于VK）来调用弹性容器实例，实现按需、弹性地调度GPU算力资源。 推荐您使用云容器引擎集群对接ECI GPU实例进行弹性扩容，从而高效、灵活地满足算力扩展需求。以下以扩容L20机型为例，指导您如何通过虚拟节点使用L20 GPU 弹性容器实例。 操作步骤 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页，确认 L20 资源可售卖的可用区以及规格名称。 3. 进入云容器引擎产品控制台，选择想要扩容L20 GPU弹性容器实例的集群。 4. 在左侧导航栏中选择“节点”，进入节点列表页，点击“创建虚拟节点”。 5. 在创建虚拟节点页面，选择第二步中仍未售罄的可用区。 6. 等待虚拟节点状态正常。 7. 进入工作负载页面，选择“新增YAML”，最后点击“确定”。 通过 annotations 指定 ECI 规格。例如下面的 k8s.ctyun.cn/eciusespecs: pn8i.4x.large.8 通过 nodeName 指定工作负载调度到虚拟节点。例如下面 nodeName: vnd4klpjmam8j8hf57mcnhuadong1jsnj2apublicctcloud 通过 resources 指定工作负载的资源需求。其中，GPU指定为 ctyun.cn/gpu: 1 plaintext apiVersion: apps/v1 kind: Deployment metadata: name: cudal20 namespace: default labels: app: cuda spec: replicas: 1 selector: matchLabels: app: cuda template: metadata: annotations: k8s.ctyun.cn/eciusespecs: pn8i.4xlarge.8 labels: app: cuda spec: containers: name: cuda image: docker.io/library/cuda:11.4.3baseubuntu20.04 imagePullPolicy: IfNotPresent command: /bin/bash 'c' args: nvidiasmi L; sleep infinity resources: requests: memory: "128Gi" cpu: "16" ctyun.cn/gpu: 1 limits: memory: "128Gi" cpu: "16" ctyun.cn/gpu: 1 nodeName: vnd4klpjmam8j8hf57mcnhuadong1jsnj2apublicctcloud 8. 等待工作负载 Running。

桶ACL权限 权限 选项 描述 ::: 公共权限 私有 只有主账号或被授权者可以访问该桶，其他用户没有权限访问该桶 公共权限 公共读 其他用户（包括匿名访问者）都可以对桶进行访问 公共权限 公共读写 其他用户（包括匿名访问者）都可以对桶进行读取、对象写入和对象删除操作 用户权限 数据读取 授权用户可以读取该桶 用户权限 数据写入 授权用户可以对该桶进行对象写入和对象删除操作 用户权限 权限读取 授权用户可以读取该桶的ACL权限配置信息 用户权限 权限写入 授权用户可以修改该桶的ACL权限配置策略 用户权限 完全控制 授权用户拥有该桶的全部权限 对象ACL权限 权限 选项 描述 ::: 公共权限 私有 只有主账号或被授权者拥有该对象的读写权限，其他用户没有权限操作该对象 公共权限 公共读 其他用户（包括匿名访问者）都可以对对象进行访问 用户权限 数据读取 授权用户可以读取该对象 用户权限 数据写入 无作用 用户权限 权限读取 授权用户可以读取该对象的ACL权限配置信息 用户权限 权限写入 授权用户可以修改该对象的ACL权限配置信息 用户权限 完全控制 授权用户拥有该对象的全部权限 预设ACL 用户通过接口对天翼云媒体存储进行操作的时候，可以通过预设ACL来快捷地进行权限管理。 例如，在创建桶和上传对象的时候，在请求头部中的XAmzAcl字段中描述预设的ACL。预设ACL可参考下表。 预设ACL 作用资源 描述 ::: private 桶、对象 资源的默认权限，资源的所有者拥有FULLCONTROL权限，其他用户对该资源不具有任何权限。 publicread 桶、对象 资源的所有者拥有FULLCONTROL权限，AllUsers用户组的用户（匿名用户）具有READ权限。 publicreadwrite 桶、对象 资源的所有者拥有FULLCONTROL权限，AllUsers用户组的用户（匿名用户）具有READ和WRITE权限。 bucketownerfullcontrol 桶、对象 资源的所有者和存储桶的所有者拥有FULLCONTROL权限。 authenticatedread 桶、对象 资源的所有者拥有FULLCONTROL权限，同一资源池的用户具有READ权限。 bucketownerread 桶、对象 资源的所有者拥有FULLCONTROL权限，存储桶的所有者具有READ权限。

本文介绍HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。例如： 当您的域名在CDN加速产品中配置HTTPS功能和HTTP强制跳转HTTPS的功能时，若用户在浏览器中输入HTTP协议的URL进行访问，CDN节点会将该HTTP请求强制跳转到HTTPS协议，此时： 若未启用HSTS功能，且用户是首次以HTTP协议访问CDN节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 若启用HSTS功能，CDN节点会响应一个强制HSTS的头（例如：StrictTransportSecurity：maxagexxxx;includeSubDomains）给客户端，告诉客户端只能使用HTTPS协议访问CDN节点，此后浏览器将直接使用HTTPS协议访问CDN节点，不再需要HTTP协议强制跳转HTTPS协议。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 在HSTS生效前，可参考：强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【HSTS】模块，开启功能并根据需求填写配置。 9. 单击【保存】，完成配置。 参数 说明 过期时间 即StrictTransportSecurity响应头中maxage的值，单位为s；如过期时间为2592000s，则代表一个月内，访问该网站均需要使用HTTPS协议。 包含子域名 即StrictTransportSecurity响应头中是否需要包括includeSubDomains；如包括，则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。

本节主要介绍自定义策略使用样例 配合较高权限系统策略使用 如果您给IAM用户授予较高权限的系统策略，例如“FullAccess” ，但不希望IAM用户拥有某个服务的权限，例如云审计服务。您可以创建一个自定义策略，并将自定义策略的Effect设置为Deny，然后将较高权限的系统策略和自定义策略同时授予用户，根据Deny优先原则，则授权的IAM用户除了云审计服务，可以对其他所有服务执行所有操作。 以下策略样例表示：拒绝IAM用户使用云审计服务。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cts::" ] } ] } 说明 Action为授权项，格式为：服务名:资源类型:操作。 "cts::"：表示对云审计的所有操作。其中cts为服务名；“”为通配符，表示对所有的资源类型可以执行所有操作。 Effect为作用，Deny表示拒绝，Allow表示允许。 配合单个服务系统策略使用 如果您给IAM用户授予单个服务系统策略，例如“BMS FullAccess”，但不希望用户拥有BMS FullAccess中的创建物理机权限（bms:servers:create），可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为Deny，然后将系统策略BMS FullAccess和自定义策略同时授予用户，根据Deny优先原则，则用户可以对BMS执行除了创建物理机外的所有操作。 以下策略样例表示：拒绝IAM用户创建物理机。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:create" ] } ] } 如果您给IAM用户授予“OBS ReadOnlyAccess”权限，但不希望部分用户查看指定OBS资源（例如，不希望用户名以“TestUser”开头的用户查看以“TestBucket”命名开头的桶），可以再创建一条自定义策略来指定特定的资源，并将自定义策略的Effect设置为Deny，然后将OBS ReadOnlyAccess和自定义策略同时授予用户。根据Deny优先原则，则用户可以对以“TestBucket”命名开头之外的桶进行查看操作。 以下策略样例表示：拒绝以TestUser命名开头的用户查看以TestBucket命名开头的桶。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:bucket:ListAllMybuckets", "obs:bucket:HeadBucket", "obs:bucket:ListBucket", "obs:bucket:GetBucketLocation" ], "Resource": [ "obs:::bucket:TestBucket" ], "Condition": { "StringStartWith": { "g:UserName": [ "TestUser" ] } } } ] } 说明 当前仅部分服务支持资源级授权，例如OBS 对象存储服务；对于不支持资源级别授权的服务，若自定义策略中含有资源类型，则无法创建成功。

参数 说明 作业名称 自定义作业的名称，只能包含英文字母、数字、中文、“”、“”、“.”，且长度为1～128个字符。 作业类型 选择作业的类型。 批处理作业：按调度计划定期处理批量数据，主要用于实时性要求低的场景。批作业是由一个或多个节点组成的流水线，以流水线作为一个整体被调度。被调度触发后，任务执行一段时间必须结束，即任务不能无限时间持续运行。批处理作业可以配置作业级别的调度任务，即以作业为一整体进行调度，具体请参见 创建方式 选择作业的创建方式。 创建空作业：创建一个空的作业。 基于模板创建：使用数据开发模块提供的模板来创建。 选择目录 选择作业所属的目录，默认为根目录。 责任人 填写该作业的责任人。 作业优先级 选择作业的优先级，提供高、中、低三个等级。 委托配置 配置委托后，作业执行过程中，以委托的身份与其他服务交互。若该工作空间已配置过委托，参见 说明 作业级委托优先于工作空间级委托。 日志路径 选择作业日志的OBS存储路径。日志默认存储在以dlflog{Projectid}命名的桶中。 说明 若您想自定义存储路径，请选择您已在OBS服务侧创建的桶。 请确保您已具备该参数所指定的OBS路径的读、写权限，否则系统将无法正常写日志或显示日志。