本章节进行网格安全能力概述 概述 单体应用发展成微服务架构带来了诸多便利，业务迭代更加敏捷，扩展性更好，同时为服务架构也带了新的安全考虑，如： 微服务之间通信安全问题，如何防止中间人攻击。 微服务之间的访问控制问题，对于敏感服务和信息，如何限制微服务之间的访问。 微服务之间访问频繁且关系复杂，如何追溯服务之间的调用情况，需要具备审计能力。 服务网格的安全机制提供了零信任的安全机制，很好地解决了以上问题。 服务网格安全架构 服务身份及证书管理 身份是安全的基础，只有给每个服务赋予一个身份才能在服务相互访问时对各方的身份进行认证以及对操作进行鉴权。服务网格使用证书作为网格内工作负载的身份标识，服务网格负载网格内工作负载的身份证书颁发、轮换等，为网格安全提供基础能力。 身份认证 服务网格提供两种认证机制： 对等身份认证：用于sidecar代理之间通信时的身份认证，解决sidecar之间身份认证和通信加密问题，支持基于工作负载证书的mTLS双向认证。 请求身份认证：用于外部请求进入网格内的身份认证，支持JWT及OIDC的认证方式。 授权 在微服务通信中，确定了双方的身份之后，我们还需要对客户端是否有权限访问服务端的资源进行权限检查。当前服务网格支持全局、命名空间和工作负载级别的授权策略控制，同时支持集成外部授权服务能力。

此小节介绍企业主机安全查看安全报告。 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 注意 勾选订阅报告后，第二天即可查看、下载。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 安全报告概览 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“获取报告”，跳转至报告预览页，可查看报告信息、下载、发送报告。 查看报告发送记录 发送记录存储了邮件发送报告的发送详情。 1、单击安全报告概览页右上角的“报告发送记录”查看报告发送记录。 2、在弹窗中查看报告发送记录，参数说明如表所示。 报告发送详情 报告发送记录参数 参数名称 参数说明 报告名称 已发送报告的名称。 统计周期 目标发送报告内容的统计周期。 报告类型 目标发送报告的统计周期类型。 安全周报 安全月报 安全日报 自定义报告 邮件发送时间 目标报告发送的时间。 3、单击“操作”列的“获取报告”可查看历史发送的报告信息，同时可预览和下载报告。

本页介绍天翼云TeleDB数据库定时任务管理。 操作场景 TeleDB支持对数据库实例执行定时任务，该功能主要通过内置如下函数对数据库实例执行定时任务管理。用户可自行调整对定时任务的执行频率以及查看执行记录。 TeleDBX内置了如下函数，所有函数会根据执行频率自动执行任务。 collectdbstatistic：用于数据库实例更新统计信息。 pgcleantwophase：用于数据库实例清理两阶段残留事务。 deleteossstatistics：用于删除配置库存储过期的节点监控数据。 checkxlogbkp：用于检查备份的增量日志的连续性。 checkfgaaudit：用于检查细粒度审计是否采集到数据。 deletesnapshot：用于删除管控的实例配置库中存储过期的实例运行快照数据。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例列表。 2. 单击目标实例所在行的详情 ，进入实例详情页面。 3. 进入实例详情页面，单击定时任务 。 4. 您可通过控制定时任务开关管理是否定时执行该任务。 5. 单击实例详情操作列的配置 ，出现配置执行频率对话框。 6. 在配置执行频率对话框，输入频率 和周期 ，单击确定 ，完成执行频率的修改。 7. 单击历史记录 可以查看以往执行该任务详情。 8. 单击立即执行 ，出现提示信息对话框。 9. 在提示对话框中，单击确定 可立即执行定时任务。

本页介绍天翼云TeleDB数据库定时任务管理。 操作场景 TeleDB支持对数据库实例执行定时任务，该功能主要通过内置如下函数对数据库实例执行定时任务管理。用户可自行调整对定时任务的执行频率以及查看执行记录。 TeleDBX内置了如下函数，所有函数会根据执行频率自动执行任务。 collectdbstatistic：用于数据库实例更新统计信息。 pgcleantwophase：用于数据库实例清理两阶段残留事务。 deleteossstatistics：用于删除配置库存储过期的节点监控数据。 checkxlogbkp：用于检查备份的增量日志的连续性。 checkfgaaudit：用于检查细粒度审计是否采集到数据。 deletesnapshot：用于删除管控的实例配置库中存储过期的实例运行快照数据。 操作步骤 1. 以用户名和密码登录分布式数据库 TeleDB控制台，在左侧导航单击实例列表。 2. 单击目标实例所在行的详情，进入实例详情页面。 3. 进入实例详情页面，单击定时任务。 4. 您可通过控制定时任务开关管理是否定时执行该任务。 5. 单击实例详情操作列的配置，出现配置执行频率对话框。 6. 在配置执行频率对话框，输入频率 和周期 ，单击确定，完成执行频率的修改。 7. 单击历史记录可以查看以往执行该任务详情。 8. 单击立即执行，出现提示信息对话框。 9. 在提示对话框中，单击确定可立即执行定时任务。

本文介绍了RDSPostgreSQL的功能概览。 RDSPostgreSQL产品功能概览帮助您快速了解产品功能的支持情况。单机实例、主备实例、只读实例介绍请您参考产品介绍实例说明实例系列。 表1 产品功能概览 功能模块 产品功能 单机实例 主备实例 一主两备实例 规格 节点数 1 2 3 规格 规格配置 CPU：最高64核 内存大小：最高512 GB 数据盘：最高32768 GB CPU：最高64核 内存大小：最高512 GB 数据盘：最高32768 GB CPU：最高64核 内存大小：最高512 GB 数据盘：最高32768 GB 计费模式 自助开通 支持 支持 支持 计费模式 计费模式类型 按需、包年/包月 按需、包年/包月 按需、包年/包月 计费模式 按需、包年/包月互转 支持 支持 支持 实例操作 开通实例 支持 支持 支持 实例操作 注销实例 支持 支持 支持 实例操作 暂停 支持 支持 支持 实例操作 续期 支持 支持 支持 实例操作 重启 支持 支持 支持 实例操作 主备切换 不支持 支持 支持 实例操作 小版本升级 支持 支持 支持 实例操作 修改端口 支持 支持 支持 实例操作 系列升级 仅支持升级 仅支持升级 不支持 实例操作 配置变更 CPU和内存支持升规格、降规格 云盘仅支持扩容 CPU和内存支持升规格、降规格 云盘仅支持扩容 CPU和内存支持升规格、降规格 云盘仅支持扩容 实例操作 实例回收站 支持 支持 支持 实例操作 标签设置 支持 支持 支持 实例设置 修改管理员密码 支持 支持 支持 实例设置 内核参数 支持200多个内核参数修改 支持200多个内核参数修改 支持200多个内核参数修改 实例设置 空闲连接查杀 支持 支持 支持 实例设置 清理在线表 支持 支持 支持 实例设置 账号管理 支持 支持 支持 实例设置 数据库管理 支持 支持 支持 数据库代理 数据库代理 不支持 支持 支持 只读实例 只读实例 支持，单实例最多可订购5个只读实例 支持，单实例最多可订购5个只读实例 支持，单实例最多可订购5个只读实例 访问 安全组 支持 支持 支持 访问 云主机访问 仅支持同一VPC访问 仅支持同一VPC访问 仅支持同一VPC访问 访问 ipv4/ipv6 支持 支持 支持 访问 公网访问（绑定与解绑弹性IP） 支持 支持 支持 备份 全量/增量备份 支持 支持 支持 备份 自动/手动备份 支持 支持 支持 备份 跨域备份 支持 支持 支持 备份 数据同步方式修改 不支持 支持 支持 恢复 备份集恢复 支持 支持 支持 恢复 指定时间点恢复 支持 支持 支持 恢复 跨域恢复 支持 支持 支持 指标监控 仪表盘 支持 支持 支持 指标监控 资源监控 支持 支持 支持 指标监控 引擎监控 支持 支持 支持 日志监控 慢日志 支持 支持 支持 日志监控 错误日志 支持 支持 支持 操作监控 操作监控 支持 支持 支持 告警 监控告警 支持 支持 支持 数据安全 白名单管理 支持 支持 支持 数据安全 SQL审计 支持 支持 支持 数据安全 SSL链路加密 支持 支持 支持 参数组管理 参数组管理 支持 支持 支持 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 。

本页介绍如何通过数据管理服务DMS登录DRDS数据库实例。 操作场景 创建DRDS实例后，可以通过登录数据管理服务DMS对实例进行数据管理、用户授权、SQL审计、数据可视化等管理操作。 前提条件 已购买DRDS实例，具体操作，请参见步骤一：购买DRDS实例。 已购买MySQL实例，具体操作，请参见步骤二：购买MySQL实例。 已为DRDS实例关联MySQL实例，具体操作，请参见步骤三：DRDS关联MySQL实例。 已创建登录数据库实例的用户，具体操作，请参见创建用户。 已为用户设置权限，具体操作，请参见设置权限。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择如下任意一种方式，进入数据管理服务DMS。 方式一：在实例列表上方，单击进入数据管理服务，进入到DMS的首页，根据提示信息填写相关信息，即可进入DMS控制台。 方式二：在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息 页面。单击登录数据库，即可进入该实例的DMS登录页面。 方式三：在实例列表中，找到目标实例，在操作 列选择更多 > 登录数据库，即可进入该实例的DMS登录页面。 4. 对目标实例的数据库进行管理。

本文帮助您了解对象存储日志管理相关的概念、作用及Log文件格式。 概述 出于分析或审计等目的，用户可以开启日志管理功能。通过访问日志记录，桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。 当用户开启一个桶的日志记录功能后，ZOS会自动对该桶的访问请求记录日志，并生成日志文件写入用户指定的桶中，可作为桶中的对象被长期保存。同时，日志文件保存在存储桶中也会占用存储空间，即意味着将产生相应的存储费用。默认情况下，ZOS不会为用户开启日志管理功能。 日志文件信息说明 开启日志管理后生成的访问日志包含以下信息： 名称 例子 含义 ownerid testuser 源存储桶ownerid bucket sbucket 源存储桶名字 time [23/Aug/2020:10:00:42+0800] 访问时间 remoteaddr 192.168.56.xxx 请求发起的IP地址 user testuser 执行用户 requestid tx00000000000000000001c005f41cdcaa222fdefault 用于唯一标识该请求的id operation REST.GET.ACL 请求类型 oname objname 对象名字 uri GET/sbucket?aclHTTP/1.1 用户请求的uri httpstatus 200 返回的http状态码 errorcode 返回的错误码 bytessent 441 用户下载的流量 objsize 0 对象大小 totaltime 1 处理本次请求所花的时间（毫秒） referrer 请求的httpreferer useragent Boto3/1.4.6Python/2.7.5Linux/3.10.01062.el7.x8664Botocore/1.8.35 http的useragent头 oversionid 版本id 注意 Log文件的格式组成：名称从左至右，以空格分隔。 Log中的任何一个字段都可能出现“”，用于表示未知数据或对于当前请求该字段无效。

介绍分布式消息服务Kafka业务迁移内容。 应用场景 Kafka的业务迁移可以应用在多个领域和场景中，包括但不限于以下几个方面： 数据集成和数据仓库：Kafka可以用作数据集成的中间件，将分散的数据源集中到一个统一的平台上。通过使用Kafka的生产者和消费者，可以实现数据的可靠传输和消费，支持实时的数据集成和数据仓库的建设。 实时数据处理和流处理：Kafka提供了流处理功能，可以对实时数据流进行处理和分析。通过使用Kafka Streams、Apache Flink等流处理框架，可以对数据流进行实时的计算、转换、聚合等操作，实现实时数据处理和实时决策。 异步通信和消息队列：Kafka作为消息队列，可以用于异步通信和解耦系统之间的依赖关系。通过将同步的请求和响应转换为异步的消息，可以提高系统的可伸缩性和响应性能，实现松耦合的系统架构。 日志收集和分析：Kafka可以用作日志收集和分析的中间件，用于接收和传递系统和应用程序的日志数据。通过将日志数据发送到Kafka中，可以实现日志的集中存储和分发。同时，可以使用Kafka的消费者来实时消费和分析日志数据，帮助进行故障排查、性能监控和安全审计等工作。 数据同步和复制：在多个数据中心或分布式系统之间进行数据同步和复制时，可以使用Kafka作为数据的中间传输通道。通过使用Kafka的生产者和消费者，可以实现数据的可靠传输和复制，保证数据的一致性和可用性。 这些只是Kafka业务迁移的一部分应用场景，实际应用中还有很多其他的需求和场景。Kafka的高性能、可靠性和可扩展性使其成为业务迁移的理想选择。

一级能力 二级能力 功能介绍 病毒查杀 周期查杀 企业管理员可以周期性对员工设备进行病毒检测并自动查杀，有效发现和清除终端已存在的病毒 下发查杀 企业管理员可以立即对员工设备进行病毒检测并自动查杀，立即对员工设备进行风险摸底 右键查杀 企业员工快捷对文件、文件夹进行查杀 自定义扫描 企业员工自定义选择本机文件夹、局域网文件夹进行查杀 隔离区 把检测出的病毒文件备份至隔离区 信任区 为了防止误杀，把一些确认安全的文件、文件夹加进信任区，病毒查杀将跳过这些文件 黑白名单 企业管理员可以把误报的文件快速全租户加白；把漏报的文件快速全租户加黑 实时防护 文件实时防护 查杀任务只能指定时间触发，做不到实时防护，因此需要对即将进入设备的病毒进行实时监控。比如文件下载、复制、落地、文件读写等所有文件操作 U盘防护 U盘是携带病毒的常见外设，因此插入U盘时，需要进行病毒防护 局域网共享防护 局域网共享路径是病毒常见的横向扩散手段，因此本机电脑对局域网共享路径进行操作时需要实时监控，比如文件上传、执行等 漏洞补丁 漏洞修复 企业员工对设备进行漏洞扫描和补丁修复，有效发现和修复设备存在的紧急漏洞，加固操作系统的安全性 补丁管理 企业员工对已安装补丁进行查看和卸载 周期扫描 企业管理员可以周期性对员工设备进行漏洞扫描并自动修复，有效发现和修复终端存在的系统漏洞 下发扫描 企业管理员可以立即对员工设备进行漏洞扫描并自动修复，立即对员工设备进行漏洞风险摸底 处置能力 对于企业员工自行扫描但暂未处理的漏洞，企业管理员支持在控制台一键修复 外设管控 U盘 企业管理员对员工的U盘、SD卡、外接硬盘进行禁用、只读、审计管控，有效阻止风险入侵，有效防止文件外泄 便携设备 企业管理员对员工的便携设备进行禁用、审计管控，有效阻止风险入侵，有效防止文件外泄 外设白名单 对于企业的特殊外设，比如老板的U盘往往不需要管控，可以提前置为白名单，白名单设备不受策略管控 弹窗拦截 广告弹窗拦截 对于已安装软件，支持自动拦截广告、骚扰、恶意弹窗。为⽤⼾提供⽆⼲扰的纯净操作环境，赋能绿色上网诉求 问题软件防护 对于正在安装的软件，支持阻止捆绑、静默、强制的安装行为 接入DeepSeek 接入DeepSeek 凭借DeepSeek先进的自然语言处理与推理能力，帮助企业精准分析终端安全威胁并提供优化策略，无需登录也可以轻松使用 防钓鱼 IM防钓鱼 面向办公网钓鱼防护场景，支持检测IM工具下载的文件是否带毒、是否为伪装文件，工具包括（钉钉、企业微信、飞书、QQ、微信、TIM（腾讯）） 邮件防钓鱼 面向办公网钓鱼防护场景，支持检测邮件附件是否带毒、是否为伪装文件，邮箱客户端包括（AOnemail、Outlook（微软）、Thunderbird（Mozilla）、FoxMail（腾讯）、网易邮箱大师（网易）、Windows Mail（微软）） AI安全检测 应用发现 支持盘点Windows、MAC设备上运行的大模型组件，包括应用名称、版本、应用描述、所属设备和用户等，高效构建AI应用资产全景 应用漏洞 支持超过 30+种 AI 应用组件漏洞检测，通过多视图查看及标记能力实现漏洞高效管理 适配信创 病毒查杀 与Windows系统类似，麒麟/统信终端支持全盘扫描、快速扫描、自定义扫描、周期扫描、下发扫描、隔离区、信任区、黑白名单 软件管理 软件分析 通过周期性采集上报软件资产，统计最新的终端设备软件安装总数量，范围包括系统安装软件，运行软件 软件管控 企业管理员支持对员工电脑里的软件下发黑名单管控策略，即选中的软件禁止运行 风险软件 企业管理员支持一键禁止员工使用黑客工具、远程控制工具（这两类软件，通常容易被攻击者利用） 上网行为管控 上网分析 上网行为分析将采集员工互联网上网行为 上网管控 通过配置管控策略限制员工的上网行为 合规检测 合规检测 针对企业员工终端合规基线情况进行检测，不符合终端合规检测要求则进行相关处置

操作步骤 1. 用户登录DMS系统。 2. 在左侧菜单栏依次点击 SQL治理 > SQL风险。 注意事项 超级管理员、系统管理员、审计管理员可以进入SQL风险界面对风险管控规则集进行创建、删除、编辑、管理实例操作，也可以在实例管理界面编辑实例绑定的规则集。 系统内置规则集不可删除。 组织版本由基础版切换为企业版时，需要超级管理员补充托管的账密，且生产环境和预发环境的实例会绑定系统内置的严格规则集，开发测试环境的实例会绑定系统内置的宽松规则集。 团队管理员可以在实例管理界面编辑团队内实例绑定的规则集。 功能介绍 创建管控规则集 用户可以根据不同的需求，创建多个风险管控规则集。目前有两种创建规则集的方式，一种是基于内置模板创建，创建规则集时需指定严格规则集模板或者宽松规则集模板。另一种是基于现有的规则集进行复制创建。创建规则集时需要用户输入规则集名称，规则集备注为可选参数。 删除管控规则集 在管控规则集列表界面点击删除按钮即可对规则集进行删除操作，删除成功的前提是当前规则集没有与任一实例绑定，且系统内置规则集不支持删除操作。 应用管控规则集 DMS有两种将管控规则集与实例进行绑定的方式，可参考如下步骤。 SQL风险界面关联实例： 1. 用户以超级管理员身份登录DMS系统。 2. 在左侧菜单栏依次点击 SQL治理 > SQL风险。 3. 在规则集列表界面点击关联实例 按钮，在弹出的实例列表中勾选与当前规则集绑定的实例，然后点击确定按钮。

本节主要介绍数据方案 自动生成测试数据 操作场景 在进行程序的功能测试时，通常需要在数据库中插入大量符合特定规则的测试数据。自动生成测试数据，可高效的生成测试数据，根据生成规则可以很方便生成所需数据。 操作步骤 1. 在顶部菜单栏选择“数据方案”>“自动生成测试数据”打开自动生成测试数据页面。 2. 在“自动生成测试数据”页面，单击“新建任务”，在弹出窗口选择编辑任务信息。 生成行数 生成测试数据的行数，最大支持100万。 冲突处理 设置成“遇到数据冲突则跳过”，即数据冲突时可继续生成数据；当设置成“遇到数据冲突则替换”，将以主键相同时，替换原来数据的规则进行处理。 生成方式 选择目标列，您可根据列设置情况，设置随机生成数据的规则，如列为time时，您可以设置开始时间、结束时间、格式；或者直接勾选“根据当前时间生成”。 3. 设置完生成任务信息，您可单击“预览数据”查看生成的数据是否符合预期，然后做出调整；您也可直接单击“生成数据”，可获取该规则下的测试数据。 4. 在任务列表中，也单击“查看任务”，获取已生成的自动测试数据任务详情。也可根据需要，勾选任务并单击“删除任务”，删除该任务。 数据追踪与回滚 操作场景 核心数据变更审计，统计变更数量及查看敏感变更信息。例如，查询银行流水查看收支情况、订单表统计新增订单、配置表关键配置变更历史时，可以使用该功能。 误操作数据回滚，找回误删除数据，恢复变更前数据状态。例如，DBA更新配置未加where条件、误删除配置数据、程序bug生成大量脏数据及其连锁反应时，可以使用该功能。

DNAT规则 通过设置DNAT规则，对进入翼甲卫士的业务流量做目的地址端口映射。 在实际应用中，内网中的服务器可能需要对外部网络提供一些服务，例如给外部网络提供Web服务，或是FTP服务。这种情况下，NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器。 该规则适用于，外网主动访问内网的情况。满足特定条件的报文将被转发到对应的内网主机。 （1）规则添加：点击“添加规则”按键，可添加新的DNAT规则，添加规则所需字段包括：描述，源IP，源端口，目的IP，目的端口，协议（支持ICMP,TCP,UDP三种协议），新目的地址，新目的端口，启用状态。（新目的地址是指内网中提供服务的主机的IP地址） （2）规则删除等操作与SNAT规则操作一致。 旁路规则 旁路规则用于控制符合条件的流量是否需要被应用（如入侵防御系统、防病毒、网站审计和管控等）进行处理。默认情况所有流量都会经过应用处理，如果希望符合条件的流量不被应用处理，添加规则的时候动作选择“绕过”。 （1）规则添加：点击“添加规则”按键，可添加新的旁路规则，添加规则所需字段包括：描述，源IP，源端口，目的IP，目的端口，协议（支持ICMP,TCP,UDP三种协议），是否绕行，启用状态。 如果希望符合条件的流量不被应用处理，添加规则的时候应启用“绕过”。 （2）规则删除等操作与SNAT规则操作一致。

一级分类 二级分类 功能点 功能点描述 核心功能 集群 一键快速部署 支持界面化订购，自动开通Kubernetes集群，兼容原生Kubernetes 核心功能 集群 节点管理 支持界面化进行扩缩容，支持节点标签、调度设置 核心功能 集群 命名空间 支持资源配额设置、支持网络隔离设置 核心功能 集群 运行时 支持Docker、Containerd 核心功能 工作负载 生命周期管理 支持应用创建、启停、扩缩容、注销等生命周期操作 核心功能 工作负载 工作负载 支持界面化发布有状态、无状态、守护进程、任务、定时任务等工作负载 核心功能 工作负载 多容器 支持一个Pod中发布多个容器，支持设置特权级容器 核心功能 工作负载 探针 支持界面化自定义策略检测应用的可用性 核心功能 工作负载 滚动升级 支持业务不中断平滑升级 核心功能 工作负载 亲和性/反亲和 支持主机及应用的亲和性与反亲和性调度 核心功能 工作负载 资源管控 支持容器级别的资源需求和限额设置，防止资源的浪费 核心功能 弹性调度 Pod弹性伸缩 支持自动伸缩规则设置，基于CPU/内存等资源自动伸缩应用，支持HPA、CronHPA和基于事件的弹性策略 核心功能 弹性调度 节点弹性伸缩 支持节点弹性伸缩 核心功能 弹性调度 负载感知调度 支持调度Pod时考虑节点的实际负载 核心功能 路由 多协议支持 支持TCP、UDP、HTTP以及HTTPS等协议 核心功能 路由 Service支持 支持NodePort、ClusterIP，LB等对外提供访问、支持无头服务 核心功能 路由 Ingress支持 支持Nginx Ingress 核心功能 路由 灰度/蓝绿发布 支持支持灰度/蓝绿发布，支持应用的多个版本在线运行 核心功能 配置管理 配置项 支持配置项 核心功能 配置管理 Secret 支持保密字典、凭证等 核心功能 网络 网络插件 支持高性能网络插件Calico 核心功能 网络 网络插件 支持自研网络插件CubeCNI实现容器与虚拟机网络直通 核心功能 网络 网络策略 支持容器访问策略和流控限制 核心功能 存储 多类型存储 支持Local、NFS、Ceph常见持久存储类；支持csi驱动程序，集成天翼云的云硬盘、弹性文件、对象存储等云存储 核心功能 存储 持久卷声明 支持界面化创建持久卷声明，支持监控存储使用量 核心功能 存储 持久卷 支持界面化创建持久卷，支持持久卷的动态生成 核心功能 日志管理 日志中心 支持容器日志的采集、存储和检索，支持集成三方开源日志解决方案 核心功能 监控与告警 监控中心 支持集群、节点、容器多级别的监控与告警配置，支持审计日志，支持集成三方开源监控解决方案 核心功能 系统管理 接入平台 作为平台组件对外提供服务，支持订单方式进行集群的开通、扩缩容、删除等 核心功能 系统管理 权限管理 多租户支持，租户资源隔离，用户角色授权，支持集群和命名空间的授权 高级功能 应用 插件市场 支持通过Chart对插件打包发布到插件市场，界面化一键部署监控等插件，通过插件与其他产品集成 高级功能 应用 模板市场 支持通过Chart对应用打包发布到模板市场，界面化安装部署等 高级功能 应用 有状态应用 支持挂载持久化存储，实现有状态应用容器化部署 高级功能 能力开放 OpenAPI 支持开放API，对接持续集成和私有部署系统 高级功能 高可用部署 Kubernetes高可用 支持Kubernetes高可用部署 容器镜像服务 镜像 镜像仓库 支持对接多镜像中心，支持界面化创建仓库 容器镜像服务 镜像 租户隔离 支持公开仓库的可见性及私有仓库的不可见性 容器镜像服务 镜像 镜像管理 支持管理海量镜像，支持多版本镜像 容器镜像服务 镜像 镜像收藏 支持快速检索镜像并收藏 容器安全 授权 权限管理 支持基于k8s RBAC授权 容器安全 配置安全 容器安全策略 支持SecurityContext配置

操作步骤 注意 迁移前的SQL审计日志（如开启）、慢查询日志、错误日志等均不随之迁移。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击可用区信息 区域右侧的迁移可用区 ，进入迁移可用区页面。 5. 配置如下迁移相关参数，单击提交。 参数 说明 可用区 选择迁移的目标可用区。 说明 主备实例选择不同可用区，可以具备跨可用区故障容灾的能力。 切换时间 选择迁移时间，取值范围如下： 立即切换 在可维护时间段内进行切换 用户指定时间段生效 注意 默认的迁移时间为可维护时间段迁移，若您未设置可维护时间段则迁移可用区订购页在可维护时间段迁移不可选。若实例准备完成时间距离可维护时间段结束时间不足一小时，则迁移任务会在下一个可维护时间段完成。 若您选择在指定时间段迁移，您可以指定的时间距离当前时间最长不超过72小时，若您指定的时间距离当前时间小于1小时则会立即触发迁移。 我需要变更配置 在迁移可用区时，您可以根据实际需要，变更实例规格和存储空间。 注意 仅支持升配，且您需要支付相关的费用。 6. 若您选择了同时变更配置则会跳转至订单支付页，您需要按照页面提示完成支付。 您可以在MySQL > 任务列表页面，查看迁移可用区任务的进度。

场景描述 TaurusDB存储过程执行很慢，处理少量数据耗时1min以上，而单独执行存储过程中的SQL语句却很快。 原因分析 存储过程和相关表、库的字符集不一致，导致查询结果存在大量字符转换，从而执行缓慢。 排查过程： 使用如下命令查看存储过程和相关表的定义，观察存储过程和表的字符集是否一致。 SHOW CREATE PROCEDURE xxx; SHOW CREATE TABLE xxx 示例： mysql> SHOW CREATE PROCEDURE testProc G 1. row Procedure: showstuscore sqlmode: STRICTTRANSTABLES,NOAUTOCREATEUSER,NOENGINESUBSTITUTION Create Procedure: xxx charactersetclient: utf8mb4 collationconnection: utf8mb4generalci Database Collation: utf8generalci 1 row in set (0.01 sec) 可以看出，上述存储过程collation为utf8mb4generalci，而所在库collation默认为utf8generalci，collation值不一致，容易导致性能问题。 解决方案 将存储过程和相关表、库的字符集改成一致后，执行缓慢问题解决。 报错ERROR [1412]的解决方法 场景描述 连接TaurusDB执行SQL时，出现如下报错： ERROR[1412]:Table definition has changed, please retry transaction 原因分析 启动一致性快照事务后，其他会话（session）执行DDL语句导致。问题复现步骤： 1. 会话1启动一致性快照事务。 2. 会话2执行DDL操作，修改表结构。 3. 会话1执行普通的查询语句。 也可以通过Binlog或者审计日志，分析业务侧是否有同一个表DDL和一致性快照事务一起执行的情况。

本文介绍为通过应用托管应用市场体验OpenClaw的使用说明。 前置说明 1.该文档为通过应用托管应用市场体验OpenClaw的说明。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

本文介绍OpenClaw(原 Clawdbot)更改厂商模型配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw更改厂商模型配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

适用场景 高并发查询（如电商大促、实时监控）。 复杂聚合请求（如多维度分析、嵌套查询）。 部署策略​​ 独立部署：与数据节点分离，避免请求分发占用数据节点的CPU/内存资源。 负载均衡：如果开通了ELB服务，可将ELB服务配置到专属协调节点，从而将流量均匀分配至多个协调节点。 协调节点规格建议购买较高规格的机型，比如esearch8c32g。 冷数据节点 冷数据节点是面向历史数据存储的专用节点类型，用于存储访问频率低、响应时效要求较宽松的冷数据（如超过30天的日志、归档业务数据等）。通过将冷热数据分离，可实现存储成本优化与查询效率的平衡。 适用场景 历史数据归档（如超过半年的交易记录、审计日志）。 低频访问数据（如季度/年度报表、备份索引）。 存储成本敏感型业务（需降低高性能节点资源占比）。 存储介质选择 建议选择大容量较低规格的存储类型，适合冷数据长期保存。 容量规划 冷节点存储容量建议为热节点的35倍，例如： 热节点配置500GB SSD存储，冷节点配置2TB HDD存储。 可通过生命周期管理策略自动迁移超期索引。 标签管理 冷节点默认携带node.attr.tag: stale标签，支持指定新创建索引到冷数据节点或者对已创建索引动态迁移： xml PUT /historicallogs/settings { "index.routing.allocation.require.tag": "stale" } 规划实例安全模式 实例的安全模式主要分为http模式和https模式。 http模式：适合通过内网访问实例的场景，通过http协议明文传输数据。 https模式：适合需要公网访问实例的场景。 实例订购时默认开通https模式。如果需要使用http模式，可在实例开通完成后，在安全设置页面修改为http访问。 不管http模式还是https模式，都必须通过用户名密码才能访问Elasticsearch/OpenSearch集群。 管理员账户名默认为admin，密码为创建集群时设置的管理员密码。 规划索引分片数

本文介绍OpenClaw(原 Clawdbot)更改厂商模型配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw更改厂商模型配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

功能 功能描述 创建函数 当前支持三种函数的创建： 1. 标准运行时函数：按照函数计算内置的标准运行时及内置定义的接口，编写程序来处理事件请求或HTTP请求 2. 自定义运行时函数：迁移框架应用或基于各种流行框架如 Flask、Express、SpringBoot 等编写程序 3. 容器函数：迁移容器应用或 GPU应用，使用容器镜像方式部署函数 版本管理 函数具有版本快照的属性，不同的版本可以有不同的业务逻辑或者实现方式，用于函数功能迭代的一种重要管理手段。 别名管理 可以为函数创建别名，它是一个指向特定版本的指针，用于简化发布、回滚和灰度发布过程。别名解析至其指向的版本，使得调用方无需关心具体版本。可以通过别名实现灰度发布。通过线上新旧版本共存的方式，可以先小范围验证新版本，再逐步切换流量至新版本，实现平滑过渡。 配置环境变量 环境变量可以作为一类特殊的配置，配置环境变量支持在不修改代码的情况下，实现配置的变更，从而支持业务新特性或者新逻辑。 配置网络 默认情况下，函数可以通过公网调用或者访问公网。若需访问VPC资源或允许VPC调用函数，可以通过配置网络来实现。 配置日志 配置日志项目和库，并授权函数访问日志服务。函数日志可以配置存储到日志服务中，便于分析和排查问题，或者用于统计或审计的需要。 配置存储 可为函数配置NAS或ZOS挂载，使得函数能像使用本地文件系统一样访问这些存储服务。 管理函数层 层提供公共依赖库、运行时环境和函数扩展，减少函数部署或更新时的代码包体积，节省存储，提高函数构建部署速度。 配置权限 可以给函数授权角色和角色策略，决策策略定义了函数能访问哪些资源。

创建关系数据库MySQL版实例后，可以通过登录数据库管理服务DMS对数据库实例进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据管理服务DMS登录MySQL实例。 背景信息 数据管理服务（Data Management Service，DMS）是异构数据库（支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS等数据库类型）的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前置条件 创建数据库实例可参考：创建关系数据库MySQL版实例。 创建数据库用户：已创建数据库用户。 操作步骤 注意 目前并非所有资源池都支持RDS直接登录数据管理服务DMS的功能，当前支持该功能的资源池，请参见 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，单击实例名称，进入实例基本信息 页面，然后在右上角单击登录数据库，即可进入该实例的DMS登录页面。 方法三：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。 4. 登录DMS，根据实际情况对数据库实例进行管理。

数据源简介 数据源简介 数据源类型 简介 数据仓库服务（DWS） DWS是基于Sharednothing分布式架构，具备MPP大规模并行处理引擎，兼容标准ANSI SQL 99和SQL 2003，同时兼容PostgreSQL/Oracle数据库生态，为各行业PB级海量大数据分析提供有竞争力的解决方案。 数据湖探索（DLI） DLI是完全兼容Apache Spark和Apache Flink生态，实现批流一体的Serverless大数据计算分析服务。DLI支持多模引擎，企业仅需使用SQL或程序就可轻松完成异构数据源的批处理、流处理、内存计算、机器学习等，挖掘和探索数据价值。 MapReduce服务（MRS HBase） HBase是一个开源的、面向列（ColumnOriented）、适合存储海量非结构化数据或半结构化数据的、具备高可靠性、高性能、可灵活扩展伸缩的、支持实时数据读写的分布式存储系统。 使用MRS HBase可实现海量数据存储，并实现毫秒级数据查询。选择MRS HBase可以实现物流数据毫秒级实时入库更新，并支持百万级时序数据查询分析。 MapReduce服务（MRS Hive） Hive是一种可以存储、查询和分析存储在Hadoop中的大规模数据的机制。Hive定义了简单的类SQL查询语言，称为HiveQL，它允许熟悉SQL的用户查询数据。 使用MRS Hive可实现TB/PB级的数据分析，快速将线下Hadoop大数据平台（CDH、HDP等）迁移上云，业务迁移 “0”中断，业务代码 “0”改动。 MapReduce服务（MRS Kafka） MapReduce服务可提供专属MRS Kafka集群。Kafka是一个分布式的、分区的、多副本的消息发布订阅系统，它提供了类似于JMS的特性，但在设计上完全不同，它具有消息持久化、高吞吐、分布式、多客户端支持、实时等特性，适用于离线和在线的消息消费，如常规的消息收集、网站活性跟踪、聚合统计系统运营数据（监控数据）、日志收集等大量数据的互联网服务的数据收集场景。 MapReduce服务（MRS Ranger） Ranger提供一个集中式安全管理框架，提供统一授权和统一审计能力。它可以对整个Hadoop生态中如HDFS、Hive、HBase、Kafka、Storm等进行细粒度的数据访问控制。用户可以利用Ranger提供的前端WebUI控制台通过配置相关策略来控制用户对这些组件的访问权限。 MySQL MySQL是目前最受欢迎的开源数据库之一，其性能卓越，架构成熟稳定，支持流行应用程序，适用于多领域多行业，支持各种WEB应用，成本低，中小企业首选。 MapReduce服务（MRS Spark） Spark是一个开源的，并行数据处理框架，能够帮助用户简单的开发快速、统一的大数据应用，对数据进行协处理、流式处理、交互式分析等等。 Spark提供了一个快速的计算、写入以及交互式查询的框架。相比于Hadoop，Spark拥有明显的性能优势。Spark提供类似SQL的Spark SQL语言操作结构化数据。 云数据库RDS RDS是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。 注意，DataArts Studio平台目前仅支持RDS中的MySQL和PostgreSQL数据库。 主机连接 通过主机连接，用户可以在DataArts Studio数据开发中连接到指定的主机，通过脚本开发和作业开发在主机上执行Shell或Python脚本。主机连接保存连接某个主机的连接信息，当主机的连接信息有变化时，只需在主机连接管理中编辑修改，而不需要到具体的脚本或作业中逐一修改。 MapReduce服务（MRS Presto） Presto是一个开源的用户交互式分析查询的SQL查询引擎，用于针对各种大小的数据源进行交互式分析查询。其主要应用于海量结构化数据/半结构化数据分析、海量多维数据聚合/报表、ETL、AdHoc查询等场景。 Presto允许查询的数据源包括Hadoop分布式文件系统（HDFS），Hive，HBase，Cassandra，关系数据库甚至专有数据存储。一个Presto查询可以组合不同数据源，执行跨数据源的数据分析。

此章节为您介绍数据库审计如何设置告警通知。 邮件方式通知告警 1. 在菜单栏选择“通知外送 > 告警通知”进入“告警通知”页面，选择“邮件”页签。 2. 单击“编辑”，在弹出的“邮箱配置”对话框中编辑相关信息。具体参数说明可参考下表。 配置项 说明 SMTP服务器 SMTP服务器的IP或域名。 SMTP服务器端口 SMTP服务器所用端口。 发件人 发件人的邮箱。 SMTP验证 邮箱是否开启SMTP验证。 用户名 邮箱的用户名。 密码 与邮箱用户名对应的用户密码。 是否加密 邮箱是否进行加密。 编码 服务器支持的编码方式，主要为：UTF8、GBK。以上SMTP服务器相关配置与服务器端设置保持一致即可。 实时告警模板 发送实时告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 聚合告警模板 发送聚合告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 统计告警模板 发送统计告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 系统告警模板 发送系统告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 3. 配置邮件发送接口后，可对需要通过邮件发送接口发送通知的资产配置发送方式。单击“添加”。 4. 在弹出的对话框中编辑相关信息，编辑完成后单击“保存”。具体参数说明可参考下表。 配置项 说明 资产 选择要发送告警信息的资产，可选择多项。 接收者 接收告警信息的邮箱，可设置多个邮箱。 告警等级 选择要发送的告警信息的告警等级。 通知周期 同一个规则在通知周期内多次触发告警时只通知第一次触发的告警。 取值范围：0~86400，单位为秒。 0表示发送全部告警。如果设置为0，聚合通知功能将无法开启。 聚合通知 开启聚合通知功能后，系统会在通知周期结束后发送一条聚合告警信息。 聚合消息示例：在过去秒，总计触发条告警（“”为具体数值）。 告警统计 选择是否开启发送告警统计信息的功能。 发送时间 每天在设定的时间点发送前一天的告警统计信息。

本小节介绍使用堡垒机实现资产运维细粒度权限管控最佳实践。 背景 传统的权限网格比较粗放，围城内的大部分用户默认具有超范围的权限，外围用户通过VPN连接企业网络后，也默认具备“围城内用户”的身份和权限，越权访问、敏感操作比比皆是且无从管控，发生数据泄露等安全事故后也难以审计追溯具体详情。 天翼云堡垒机提供完善的用户访问授权和精细的操作权限管控，非授权用户无法访问指定资产，授权用户访问资产后无法执行未授权的指定敏感操作。 解决方案 一、访问授权 1、管理员登录堡垒机。 2、左侧菜单选择“授权管理>资产访问授权”。 3、选择“资产访问授权”标签页，点击“新增”切换至授权配置页，在基本属性模块支持配置访问的协议、访问的端口以及授权有效期；维度属性模块可配置主账号(组)和资产(组)以及资产从账号的关联关系。 4、配置完成后，表示主账号(人员账号)可以在指定有效期内，使用指定的资产账户访问指定的资产。 二、命令授权 1、左侧菜单选择“授权管理 > 字符命令授权”。 2、在“命令组”标签页，点击【新增】，在属性中添加需要管控的命令集以及针对性的响应动作。支持以正则表达式的方式匹配相关命令。 3、在“命令授权”标签页，点击【新增】，填写指定用户和资产属性，选择创建的命令组提交。 在维度属性模块中，可配置命令管控策略需要关联生效的“用户 资产账户 资产”场景。 4、配置完成后，表示指定的用户使用指定的资产账户登录资产后，在资产上执行指定的命令时，将会触发策略中指定的响应动作。 5、文件传输配置原理同字符指令，可匹配具体的上传、下载等操作触发相关响应动作。 6、数据库指令配置原理同字符指令，可匹配sql类型、表名及条件去触发阻断或脱敏等动作。

系统策略 Kafka默认提供三种系统策略供用户选择，策略仅包括管理控制台内的相关功能权限，涉及订单下单等非管理控制台的权限还需进行相应的权限配置。Kafka的三种默认策略分别是管理员策略（admin），使用者策略（user），浏览者策略（reviewer），三种策略的权限模型具体如下： 功能模块 权限名称 IAM角色 功能模块 权限名称 KAFKA admin KAFKA user KAFKA viewer 实例管理 实例列表 Y Y Y 实例管理 操作审计 Y Y Y 实例管理 集群迁移 Y Y 实例列表 创建实例 Y 实例列表 磁盘扩容 Y 实例列表 节点扩容 Y 实例列表 规格扩容 Y 实例列表 规格缩容 Y 实例列表 续订 Y 实例列表 退订 Y 实例列表 到期转按需 Y 实例列表 重启 Y 实例列表 设置公网IP Y 管理 实例详情 Y Y Y 管理 集群信息 Y Y Y 管理 主题管理 Y Y Y 管理 消费组管理 Y Y Y 管理 应用用户管理 Y Y Y 管理 命名空间管理 Y Y Y 管理 监控信息 Y Y Y 管理 消息查询 Y Y Y 管理 配置管理 Y Y Y 管理 告警管理 Y Y 主题管理 新建Topic Y Y 主题管理 删除Topic Y Y 主题管理 分区状态 Y Y Y 主题管理 生产拨测 Y Y 主题管理 删除消息 Y Y 主题管理 分区平衡 Y Y 主题管理 批量创建主题 Y Y 主题管理 修改 Y Y 消费组管理 新建消费组 Y Y 消费组管理 删除消费组 Y Y 消费组管理 消费拨测 Y Y 消费组管理 批量创建消费组 Y Y 消费组管理 添加主题 Y Y 消费组管理 批量订阅 Y Y 消费组管理 重置消费位置 Y Y 消费组管理 消息堆积 Y Y Y 命名空间管理 获取用户Token Y Y Y 命名空间管理 新建命名空间 Y Y 命名空间管理 修改命名空间 Y Y 应用用户管理 新建用户 Y Y 应用用户管理 删除用户 Y Y 应用用户管理 批量创建用户 Y Y 应用用户管理 添加消费者权限 Y Y 应用用户管理 添加生产者权限 Y Y 应用用户管理 修改用户 Y Y 实例管理 offset查询 Y Y Y 实例管理 时间戳查询 Y Y Y 配置管理 查询配置 Y Y Y 配置管理 修改配置 Y

安全分析中的索引是一种存储结构，用于对日志数据中的一列或多列进行排序。不同的索引配置，将会产生不同的查询和分析结果，请根据您的需求合理配置索引。 如果您需要使用分析功能，必须配置字段索引。配置字段索引后，您可以指定字段名称和字段值（Key:Value）进行查询，缩小查询范围。例如查询语句level:error，表示查询level字段值包含error的日志。 前提条件 已完成数据接入，详细操作请参见数据集成。 配置字段索引 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 在数据管道检索页面，单击右上角“索引配置”，页面右侧展示索引配置页面。 7. 在索引配置页面中，配置索引参数。 1. 开启索引状态。 索引状态默认开启，索引状态关闭时，将无法索引和查询采集到的日志。 2. 配置索引参数，参数配置说明如下表所示。 参数名称 参数说明 字段名称 日志字段名称（key）。 字段类型 日志字段值（value）的数据类型，可选值为text、keyword、long、integer、double、float、date和json。 包含中文 查询时是否区分中英文。当字段类型选择“text”时，需要设置该参数。 开启开关后，如果日志中包含中文，则按照中文语法拆分中文内容，按照分词符配置拆分英文内容。 关闭开关后，按照分词符配置拆分所有内容。 示例：日志内容为：user:WAF日志用户张三。 关闭“包含中文”开关后，按照分词符半角冒号（:）进行拆分，日志会被拆分为user、WAF日志用户张三，您可以通过user或WAF日志用户张先生查找该日志。 开启“包含中文”开关后，日志服务后台分词器将日志拆分为user、WAF、日志、用户和张三，您通过日志或张先生等词都可以查找到该日志。 8. 单击“确定”。

客户端打开后要求输入的企业标识如何获取？ 企业认证标识是登录客户端的重要凭证，建议采用自身公司身份相关的进行定义。 可登录边缘安全加速平台对应控制台企业服务进行获取。 问题故障分析 部署连接器后，仍然显示连接器“未激活”，如何定位排查？ 确认是否连接器能对外联网。 确认连接器是否对外网络出方向有进行防火墙限制，若有，需放开对应端口的网络出口访问。 客户端网络正常，但是客户端访问内部系统失败可能是什么原因？ 访问失败存在很多场景，以下列举几种常见情况，如未找到有效解决方式，请联系我们。 检查客户端是否处于在线状态，若非在线状态，则隧道连接已断开，无法访问内部系统。 检查应用是否针对该用户已授权，若未授权，则无法进行访问。 检查应用类型是否选择错误，如ssh 协议选择Web类型应用，则可能导致访问出现异常。 查询内网审计日志，判断是否被零信任网关拦截。 检查应用与连接器是否处于连通状态，可通过连接器机器telnet对应的应用ip和端口，确认是否是连接器与应用无法连通导致。 客户端短信验证码收不到如何解决？ 若您选择将手机号直接设置为登录账号，发送账号新增通知时，短信会携带手机号则短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含 "手机号”的短信进行严格校验，易触发拦截规则。 其他情况下若未收到短信，您可按以下方式排查： 检查平台手机号填写准确性，若填写错误可修正后尝试； 检查手机系统的「骚扰拦截箱」或「垃圾短信箱」（如华为手机在【安全中心 骚扰拦截】中查看，小米手机在【手机管家 骚扰拦截】中查询）； 查看第三方安全软件（如手机管家）的拦截记录，确认是否存在误拦截情况； 联系手机号所属运营商（移动 10086 / 联通 10010 / 电信 10000）查询短信发送状态。

本文将介绍如何给公司员工授予零信任管理中心的权限，以及员工如何访问零信任管理中心。 背景说明 采用的是基于角色的访问控制（简称 RBAC）模型。指的是将多个用户所需的权限提取出来配置给角色，再将角色授予给多个用户。这种用户角色、角色权限的关联机制，使我们无需逐一管理单个用户的权限，用户通过被授予的角色自动继承相应的权限，从而简化了权限管理流程。若您想给某个用户赋予某些权限，您需要操作两个步骤：配置角色（基础信息及管理范围）、授予企业用户角色。 概念解释 概念 解释 数据范围 管理员对于指定菜单的数据权限，以实现更细粒度的分权管理，以下菜单支持配置： 身份用户与组织：可以分配不同的组织部门，实现一个部门一个管理员的管理模式。 应用应用配置：可以分配不同的应用，实现一个应用一个管理员的管理模式。 管理员 管理员是一类具有管理员角色的主体的总称，授权主体支持用户、用户组。 作为主体被授予管理员角色后，就成为管理员，将这一类主体统称为管理员。 管理员角色 管理员角色是连接用户与权限的桥梁。 给管理员角色配置权限的管理范围，再给主体（用户/用户组）赋予管理员角色，即可实现基于角色的权限管控。 您可以根据管理员角色分配权限，有助于管理员各司其职，大大降低权限管理、管理企业的成本。 管理范围 角色对应的权限，对于零信任服务来说，为管理中心的菜单，粒度到二级菜单。 角色类型 系统角色：为系统预设，无需自行创建，也不可删除/编辑，可直接添加管理员。零信任服务的系统管理员角色内置了四种： 超级管理员：管理范围为零信任管理中心所有菜单 组织管理员：管理范围为零信任管理中心身份用户与组织菜单 应用管理员：管理范围为零信任管理中心应用应用配置菜单 审计管理员：管理范围为零信任管理中心日志（包含子菜单）菜单 自定义角色：可创建自定义管理员角色，为每个角色赋予部分管理范围后，再为每个角色添加管理员。

本小节介绍使用堡垒机实现资产运维细粒度权限管控最佳实践。 背景 传统的权限网格比较粗放，围城内的大部分用户默认具有超范围的权限，外围用户通过VPN连接企业网络后，也默认具备“围城内用户”的身份和权限，越权访问、敏感操作比比皆是且无从管控，发生数据泄露等安全事故后也难以审计追溯具体详情。 天翼云堡垒机提供完善的用户访问授权和精细的操作权限管控，非授权用户无法访问指定资产，授权用户访问资产后无法执行未授权的指定敏感操作。 解决方案 访问授权 1.管理员登录堡垒机。 2.左侧菜单选择“授权管理>资产访问授权”。 3.选择“资产访问授权”标签页，点击“新增”切换至授权配置页，在基本属性模块支持配置访问的协议、访问的端口以及授权有效期；维度属性模块可配置主账号(组)和资产(组)以及资产从账号的关联关系。 4、配置完成后，表示主账号(人员账号)可以在指定有效期内，使用指定的资产账户访问指定的资产。 命令授权 1.左侧菜单选择“授权管理>字符命令授权”。 2.在“命令组”标签页，点击【新增】，在属性中添加需要管控的命令集以及针对性的响应动作。支持以正则表达式的方式匹配相关命令。 3.在“命令授权”标签页，点击【新增】，填写指定用户和资产属性，选择创建的命令组提交。 在维度属性模块中，可配置命令管控策略需要关联生效的“用户 资产账户 资产”场景。 4.配置完成后，表示指定的用户使用指定的资产账户登录资产后，在资产上执行指定的命令时，将会触发策略中指定的响应动作。 5.文件传输配置原理同字符指令，可匹配具体的上传、下载等操作触发相关响应动作。 6.数据库指令配置原理同字符指令，可匹配sql类型、表名及条件去触发阻断或脱敏等动作。

本文介绍OpenClaw结合知识库问答的使用说明。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw、天翼云知识库问答与企业级即时通讯软件相结合，实现高效智能的办公体验，大幅提升企业办公效率与协作能力。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。该应用默认内置天翼云知识库问答技能和通讯软件（企业微信、飞书、钉钉）。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

创建关系数据库MySQL版实例后，可以通过登录数据库管理服务DMS对数据库实例进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据库管理服务DMS登录关系数据库MySQL版实例。 注意 仅西南1、华东1、华南2、华北2等II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见使用限制或者功能概览。 背景信息 数据管理服务（Data Management Service，DMS）是异构数据库（支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS等数据库类型）的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前提条件 已快速创建关系数据库MySQL版实例。 已创建数据库用户。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，单击实例名称，进入实例基本信息 页签，然后在右上角单击登录数据库，即可进入该实例的DMS登录页面。 方法三：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。

本章节主要介绍数据仓库服务事件通知概述。 支持的事件类别和事件 事件是用户集群状态发生变化的记录。它可以是由用户操作触发的（比如审计事件），也有可能是集群服务状态变化引起的（比如集群修复成功或集群修复失败）。以下为当前DWS 支持的事件和事件类别列表。 下表显示了事件源类型为集群的事件 事件类别 事件名称 事件级别 事件 管理 createClusterFail 警告 集群创建失败 管理 createClusterSuccess 正常 集群创建成功 管理 createCluster 正常 开始创建集群 管理 extendCluster 正常 开始扩容集群 管理 extendClusterSuccess 正常 集群扩容成功 管理 extendClusterFail 警告 集群扩容失败 管理 deleteClusterFail 警告 集群删除失败 管理 deleteClusterSuccess 正常 集群删除成功 管理 deleteCluster 正常 开始删除集群 管理 restoreClusterFail 警告 集群恢复失败 管理 restoreClusterSuccess 正常 集群恢复成功 管理 restoreCluster 正常 开始恢复集群 管理 restartClusterFail 警告 集群重启失败 管理 restartClusterSuccess 正常 集群重启成功 管理 restartCluster 正常 开始重启集群 管理 configureMRSExtDataSources 正常 开始配置集群的MRS外部数据源 管理 configureMRSExtDataSourcesFail 警告 配置集群的MRS外部数据源失败 管理 configureMRSExtDataSourcesSuccess 正常 配置集群的MRS外部数据源成功 管理 deleteMRSExtDataSources 正常 开始删除集群MRS外部数据源 管理 deleteMRSExtDataSourcesFail 警告 删除集群MRS外部数据源失败 管理 deletedMRSExtDataSourcesSuccess 正常 删除集群MRS外部数据源成功 管理 bindEipToCluster 正常 集群绑定EIP 管理 bindEipToClusterFail 警告 集群绑定EIP失败 管理 unbindEipToCluster 正常 集群解绑EIP 管理 unbindEipToClusterFail 警告 集群解绑EIP失败 管理 refreshEipToCluster 正常 集群刷新EIP 管理 refreshEipToClusterFail 警告 集群刷新EIP失败 安全 resetPasswordFail 警告 集群密码重置失败 安全 resetPasswordSuccess 正常 集群密码重置成功 安全 updateConfiguration 正常 开始更新集群安全参数 安全 updateConfigurationFail 警告 更新集群安全参数失败 安全 updateConfigurationSuccess 正常 更新集群安全参数成功 监控 repairCluster 正常 节点故障，开始修复集群 监控 repairClusterFail 警告 集群修复失败 监控 repairClusterSuccess 正常 集群修复成功 下表显示了事件源类型为快照的事件 事件类别 事件名称 事件级别 事件 管理 deleteBackup 正常 快照删除成功 管理 deleteBackupFail 警告 快照删除失败 管理 createBackup 正常 开始创建快照 管理 createBackupSuccess 正常 快照创建成功 管理 createBackupFail 警告 快照创建失败