本节介绍云容器引擎的最佳实践:使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统一定能通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

本节介绍云容器引擎的最佳实践:使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统一定能通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

本文向您介绍标签管理服务的权限管理方法。 如果您需要对云服务平台上创建的云资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您希望您的部分员工拥有标签管理服务的查看权限，但是不希望他们拥有删除预定义标签等操作的权限，那么您可以使用IAM为员工创建用户，通过授予标签管理服务的只读权限（TMS ReadOnlyAccess），控制员工对TMS的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用标签管理服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《统一身份认证用户指南》。 TMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 TMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问TMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对TMS服务，管理员能够控制IAM用户仅能对TMS服务进行指定的操作，如仅给IAM用户授予查看预定义标签的细粒度授权项，那么此IAM用户仅能查看预定义标签但不能创建和删除预定义标签。 如下表所示，包括了TMS的所有系统策略和系统角色。由于云服务平台各服务之间存在业务交互关系，标签管理服务的策略依赖其他服务的策略实现功能。因此给用户授予标签管理服务的权限时，需要同时授予依赖的权限，标签管理服务的权限才能生效。

本文带您了解VPC终端节点的功能特性。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。当前支持“接口”类型终端节点服务。 “接口”类型：包括系统配置的云服务、用户自己创建的私有服务和云服务商已创建的云服务。 用户可以通过终端节点服务快速的把服务发布到私网连接上，通过白名单授权管理可以灵活的管理可连接的用户信息，在保证安全的前提下灵活的通过私网共享服务 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。 在同一区域中，通过购买终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。 终端节点与终端节点服务一一对应，访问不同类型终端节点服务的终端节点存在差异： 访问“接口”型终端节点服务的终端节点：是具备私有IP地址的弹性网络接口，作为“接口型”终端节点服务的通信入口。

分布式消息服务RabbitMQ引擎类型云原生引擎调整为白名单特性，更多了解请查看快速入门购买实例引擎类型说明。 调整时间 2024年7月5日 影响范围 所有区域 调整影响 新用户默认不开放云原生引擎订购开通，如需要该特性，请联系技术支持开通后使用。 已购买云原生引擎实例的用户，原实例仍可正常使用，续费、扩容等操作不受影响。

DTS CONTAINERALL; GRANT EXECUTE ON DBMSLOGMNRD TO C DTS CONTAINERALL; oracle 12c关闭CDB模式 如果仅作测试用可直接赋予最高权限，用SYS用户登录Oracle，如下创建DTS迁移用户： CREATE USER DTS IDENTIFIED BY " " DEFAULT TABLESPACE USERS QUOTA UNLIMITED ON USERS; GRANT DBA TO DTS; GRANT SELECT ON SYS.OBJ$ TO DTS; GRANT SELECT ON SYS.COL$ TO DTS; 如果需要授予数据迁移用户的精准权限，用SYS用户登录Oracle，如下创建DTS迁移用户： 要求该用户必须是CDB下的用户，且授权的权限必须在所有容器内都具备 CREATE USER DTS IDENTIFIED BY " " DEFAULT TABLESPACE USERS QUOTA UNLIMITED ON USERS; GRANT CREATE SESSION TO DTS; GRANT SET CONTAINER TO DTS; GRANT FLASHBACK ANY TABLE TO DTS; GRANT SELECT ANY TABLE TO DTS; GRANT INSET ANY TABLE TO DTS; GRANT UPDATE ANY TABLE TO DTS; GRANT DELETE ANY TABLE TO DTS; GRANT CREATE ANY TABLE TO DTS; GRANT DROP ANY TABLE TO DTS; GRANT COMMENT ANY TABLE TO DTS; GRANT LOCK ANY TABLE TO DTS; GRANT CREATE SEQUENCE TO DTS; GRANT SELECT ANY SEQUENCE TO DTS; GRANT SELECT ANY TRANSACTION TO DTS; GRANT SELECT ANY DICTIONARY TO DTS; GRANT SELECT ON SYS.OBJ$ TO DTS; GRANT SELECT ON SYS.COL$ TO DTS; GRANT SELECTCATALOGROLE TO DTS; GRANT EXECUTECATALOGROLE TO DTS; GRANT LOGMINING TO DTS; GRANT EXECUTE ON DBMSLOGMNR TO DTS; GRANT EXECUTE ON DBMSLOGMNRD TO DTS; 2. 创建目标库DTS用户 如果仅作测试，可直接使用TeleDB最高权限的用户root。 如果需要使用精准权限的用户，用root用户登录TeleDB，如下创建DTS迁移用户： CREATE USER dts WITH ENCRYPTED PASSWORD ' '; GRANT CREATE, TEMPORARY, CONNECT ON DATABASE TO dts; 如果要做增量迁移且迁移的表包含外键，那么除了上述权限外，还要保证该用户具有在会话级别执行SET sessionreplicationrole 'replica'的权限。可登录TeleDB控制台，将该参数设置并重启。 3. 如果有增量迁移，需按照如下方法开启Oracle的归档日志 非RAC模式： SELECT name,logmode from V$DATABASE; 如果没有开启，使用sqlplus且用SYS用户以sysdba方式登录后，依次执行以下命令： SHUTDOWN IMMEDIATE; STARTUP MOUNT; ALTER DATABASE ARCHIVELOG; ALTER DATABASE OPEN; RAC模式： 在RAC ORACLE 的某一个节点的 shell 中，关闭、启动、挂载某一个数据库： srvctl stop database d srvctl start database d o mount 使用DBA 权限账号登陆该数据库，并开启归档日志： alter database archivelog; 在RAC ORACLE 的某一个节点的 shell 中, 重启数据库： srvctl stop database d srvctl start database d 4. 如果有增量迁移，需开启Oracle的详细补充日志 使用以下命令，确认supplemental logging 是否开启： SELECT supplementallogdatamin, supplementallogdatapk, supplementallogdataall FROM V$DATABASE; 如果三列存在NO，那么先开启补充最小日志supplementallogdatamin： ALTER DATABASE ADD SUPPLEMENTAL LOG DATA; 开启全补充日志，增加ALL、主键、Unique Index： ALTER DATABASE ADD SUPPLEMENTAL LOG DATA(ALL, PRIMARY KEY, UNIQUE) COLUMNS; 5. 确保所有容器处于打开状态 如果有增量迁移，且CDB模式开启，且有多个容器数据库，则要保证这写可插拔的容器数据库处于打开状态，不然无法启动增量迁移。 注意必须用SYS用户执行 SELECT conid, name, openmode, restricted FROM v$pdbs; 以上查询结果中，除了SEED容器外，OPENMODE字段的值必须为READ WRITE。 6. 确认迁移对象中是否存在无主键表 如果勾选增量迁移，迁移对象中不能包含无主键表: 替换 YOURSCHEMANAME 为你的模式名 SELECT t.tablename FROM alltables t LEFT JOIN allconstraints c ON t.owner c.owner AND t.tablename c.tablename AND c.constrainttype 'P'WHERE t.owner ' 使用以上查询语句可以筛选出某个schema下的所有无主键表，将这些表排除于增量迁移之外。 7. 确认归档日志保留时间 如果勾选增量迁移，为了避免增量迁移过程中由于一些故障导致同步中断的情况，需要至少保留37天的归档日志来确保处理这些情况的窗口期。否则，可能导致无法将同步从故障中恢复。 RMAN> SHOW RETENTION POLICY; 8. 确认待迁移对象中是否包含触发器 如果将触发器作为结构的一部分，在DTS的调度逻辑上，触发器会先于全量迁移被迁移到TeleDB。这样可能会影响到全量迁移，导致数据不一致。 建议将触发器放到全量迁移之后，再新建一个迁移任务进行迁移。 9. 数据及业务信息统计 如果为非测试任务，需要在迁移之前统计业务以及迁移信息，方便进行迁移任务规划。 资源信息： 源库规格信息，例如4C8G + 500G + SSD 目标库磁盘信息，例如4C8G + 500G + SSD 网络情况，例：为测试环境纯内网传输，无复杂的网络拓补结构 数据信息： 总数据量，例如30GB 总库表数量，例：40个库，8000张表，2000个视图，5个触发器 每日新增数据量级，例如：一天的归档日志新增大概100GB 是否所有表都有主键，建议迁移前完善主键，提高性能，方便运维。如果存在无主键的表，则增量阶段源端对应表的增、删、改操作不会同步至目标端，可能导致数据不一致，请谨慎评估。 业务类： 数据迁移是否可停业务，例：能/不能 增量迁移情况，例：开启增量迁移，持续时间5天 可停业务时间长度，例：服务停机时间预计48小时 业务中是否存在百万级别的大事务，例：存在，涉及对表CLOUD.LOGS进行大事务操作，存在一个存储过程用不带where条件的delete语句定期清理该表。 操作步骤 1. 订购DTS数据迁移实例。 2. 进入实例配置页面。DTS实例创建成功后，进入【数据迁移】实例列表页面，上一步骤购买成功的实例在实例列表中显示状态为“待配置”，进入实例配置页面进行配置： 3. 配置源库及目标库信息。 1. 进入实例配置第一个步骤的【配置源库及目标库信息】页面，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。 2. 完成上述信息的填写后，单击源数据库和目标数据库的测试连接按钮进行数据库连接测试，检查数据库能否正常连接。 3. 注意 ORACLE如果要进行增量同步，不能使用SYS/SYSTEM系统用户。 4. 配置迁移对象及高级配置。 源库和目标库连通性测试成功后，点下一步按钮，进入实例配置第二个步骤的【配置迁移对象及高级配置】页面，在“源库对象”中选择要迁移的源库对象，选中后单击“>”按钮，将待迁移对象移动到“已选择对象”中。 5. 预检查和启动迁移。 完成迁移对象和高级配置后，单击“下一步预检查”，进入实例配置第三个步骤的【预检查】页面。预检查会检查如下列表信息，并给出检查结果，用户可以依据检查结果进行下一步操作。 检查内容 检查点 检查源库连通性 源库网络能够连通 检查目标库连通性 目标库网络能够连通 检查源库用户权限 若不包含增量，检查提供的源库账号是否具有以下权限: CREATE SESSION；CATALOGROLE、ANY DICTIONARY、待迁移表的select权限若包含增量，还需要检查以下权限：SET CONTAINER,FLASHBACK ANY TABLE,SELECT ANY TABLE,SELECTCATALOGROLE,EXECUTECATALOGROLE,SELECT ANY TRANSACTION,LOGMINING,CREATE TABLE,LOCK ANY TABLE,CREATE SEQUENCE,EXECUTE ON DBMSLOGMNR,EXECUTE ON DBMSLOGMNRD,SELECT ANY DICTIONARY,SELECT ON SYS.OBJ,SELECT ON SYS.COL,CREATE ANY TABLE,COMMENT ANY TABLE,DROP ANY TABLE 检查目标库用户权限 检查提供的目标库账号是否具有登录信息database下创建schema的权限。 检查目标库PostgreSql版本 目标库的PostgreSql版本是否不低于9.2 检查待迁移表是否存在主键 检查待迁移表是否都存在主键，只有全量迁移时，如果发现存在没有主键的表，将提出警告（无主键的表可能会导致数据不一致）；勾选了增量迁移，如果发现存在没有主键的表，预检查将不通过（增量迁移功能依赖主键） 检查待迁移表约束完整性 检查待迁移表依赖的表对象是否包含在待迁移对象中，若存在依赖的对象未被选择，检查不通过 检查源库最大连接数 检查源库最大连接数是否不小于300，若最大连接数小于300，给出告警 检查目标库最大连接数 检查目标库最大连接数是否不小于300，若最大连接数小于300，给出告警 检查同名对象存在性 检查目标库中是否存在和待迁移库同名的库（映射后），若存在，检查该库下面是否存在同名的表（映射后）。如果有，将提出警告。 检查源数据库Oracle的表字段的数据类型能否都迁移到目标库 待迁移表中不能存在Oracle的独有的字段类型，ROWID、UROWID、XMLTYPE、BFILE、SDOGEOMETRY等类型 检查源库对象是否仅大小写不同 迁移对象中是否包含仅大小写不同的对象时，预检查不通过 检查待迁移库名合法性 若待迁移库名中包含非法字符，检查不通过 检查待迁移表名合法性 若待迁移表名中包含非法字符，检查不通过 检查源库字符集是否为支持的字符集 源库字符集支持以下字符集：ZHS16GBK,AL32UTF8,UTF8,US7ASCII,WE8MSWIN1252若源库字符集不属于以上字符集，预检查将不通过 检查当前登录账号是否个人账号 勾选增量时，检查源库的迁移用户是否为个人账号，若账号为系统用户，检查不通过 检查源库是否开启归档日志 勾选增量时，检查源库是否开启归档日志，若未开启，检查不通过 检查源库是否开启补充日志 勾选增量时，检查源库是否开启补充日志，若未开启，检查不通过 如果预检查通过，可单击【预检查】页面底部的“启动迁移”按钮，开始迁移任务。或者直接单击”数据迁移“列表，返回数据迁移主界面，任务将显示为”未启动“状态。 勾选任务，单击 开始任务 ，任务将变为 运行中 ，直到全量迁移完成，或者进入增量迁移状态。

本页为您介绍IAM相关概念及权限管理。 数据传输服务DTS已对接天翼云统一身份认证服务（IAM），可实现控制台功能、OpenAPI维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对DTS的只读权限、对 DTS的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限是实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本节主要介绍弹性文件服务的服务等级协议。 自2021年11月11日起，新版弹性文件服务等级协议（SLA）生效。详情请参见这里。 中国电信天翼云弹性文件服务等级条款 历史版本（20141111）

本文介绍如何处理Windows云主机卡顿问题。 问题原因 当您发现云主机的运行速度变慢或云主机突然出现网络断开的现象，则可能是由以下原因导致的： 1. 云主机使用共享型实例：共享型实例在云计算中是指多个虚拟机共享同一台物理服务器的资源，这会导致资源争用，可能导致服务器卡顿问题。 2. 云主机受到恶意软件或病毒的感染：恶意软件可能执行各种恶意任务，占用大量计算资源，增加云主机网络带宽和资源消耗，影响正常的服务运行等，可能导致服务器卡顿问题。 3. 云主机系统资源利用率异常：资源包括CPU、内存、磁盘和网络等，当其中一个或多个资源受到过度使用或不合理分配时，可能导致服务器卡顿问题。 问题处理 云主机使用资源共享型实例 步骤一：问题定位 检查当前云主机的规格类型，共享资源型和独享资源型实例的说明请参见规格类型。 步骤二：问题处理 独享资源型实例在云计算中独享物理服务器的资源，可以提供更稳定和可预测的性能。如果您对业务稳定性有较高要求，建议您将共享型实例变更为独享资源型实例，请参见变更规格。 云主机受到恶意软件或病毒的感染 步骤一：问题定位 定位云主机是否受到恶意软件感染，您可以运行受信任的杀毒软件或安全扫描工具，对服务器进行全面扫描。此外，您还可以检查操作系统、应用程序和安全软件是否为最新版本，并已应用最新的安全更新和补丁。 步骤二：问题处理 如果服务器受到恶意软件感染，及时采取行动非常重要。隔离服务器、运行安全扫描工具、清除恶意软件、更新系统等都是确保服务器安全的关键步骤。

根据业务的需要，配置目的IP转换策略，允许外网用户通过防火墙访问业务云主机服务。 配置方法： 在【策略】→【地址转换】→【IPV4地址转换】→【新增】→【服务器映射】。 原始数据包 源区域：选择“L3untrustA”。 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）。 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：选择网络对象。 网络对象：业务云主机对象。 端口转换为：业务云主机提供的服务端口。

指标体系 第一级 第二级 第三级 第四级 技术要求 物理和环境安全 身份鉴别 可 宜 宜 应 技术要求 物理和环境安全 视频监控记录数据存储完整性 — — 宜 应 技术要求 物理和环境安全 密码服务 应 应 应 应 技术要求 物理和环境安全 密码产品 — 一级及以上 二级及以上 三级及以上 技术要求 网络和通信安全 身份鉴别 可 宜 应 应 技术要求 网络和通信安全 通信数据完整性 可 可 宜 应 技术要求 网络和通信安全 通信过程中重要数据的机密性 可 宜 应 应 技术要求 网络和通信安全 网络边界访问控制信息的完整性 可 可 宜 应 技术要求 网络和通信安全 安全接入认证 — — 可 宜 技术要求 网络和通信安全 密码服务 应 应 应 应 技术要求 网络和通信安全 密码产品 — 一级及以上 二级及以上 三级及以上 技术要求 设备和计算安全 身份鉴别 可 宜 应 应 技术要求 设备和计算安全 远程管理通道安全 — — 应 应 技术要求 设备和计算安全 系统资源访问控制信息完整性 可 可 宜 应 技术要求 设备和计算安全 重要信息资源安全标记完整性 — — 宜 应 技术要求 设备和计算安全 日志记录完整性 可 可 宜 应 技术要求 设备和计算安全 重要可执行程序完整性、重要可执行程序来源真实性 — — 宜 应 技术要求 设备和计算安全 密码服务 应 应 应 应 技术要求 设备和计算安全 密码产品 — 一级及以上 二级及以上 三级及以上 技术要求 应用和数据安全 身份鉴别 可 宜 应 应 技术要求 应用和数据安全 访问控制信息完整性 可 可 宜 应 技术要求 应用和数据安全 重要信息资源安全标记完整性 — — 宜 应 技术要求 应用和数据安全 重要数据传输机密性 可 宜 应 应 技术要求 应用和数据安全 重要数据存储机密性 可 宜 应 应 技术要求 应用和数据安全 重要数据传输完整性 可 宜 宜 应 技术要求 应用和数据安全 重要数据存储完整性 可 宜 宜 应 技术要求 应用和数据安全 不可否认性 — — 宜 应 技术要求 应用和数据安全 密码服务 应 应 应 应 技术要求 应用和数据安全 密码产品 — 一级及以上 二级及以上 三级及以上

本节主要介绍怎么通过专线联通OOS和云存储网关服务。 应用场景 云存储网关将用户将本地数据轻松上传到天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS）中，实现存储空间的弹性扩展。云存储网关作为本地与云端存储之间的桥梁，通过标准 iSCSI 协议（Internet小型计算机系统接口）提供块存储服务，帮助用户将全量数据自动同步到OOS中。 如果将云存储网关部署在和OOS专线联通的服务器上，可以提高数据的读写速度，同时不必支付从OOS读取数据时产生的下行流量费用，为用户节省成本。 前提条件 已经开通专线、OOS服务，已经安装云存储网关。 具体操作 可以按照下列操作步骤进行部署： 1. 查看云存储网关所在服务器和OOS进行专线连接时，分配给OOS的IP地址。 2. 配置云存储网关所在服务器/etc/hosts，将OOS的域名指向到该IP地址。以对象存储网络为例： vim /etc/hosts 192.x.x.x ooscn.ctyunapi.cn 3. 在创建卷的时候，使用该OOS域名作为Endpint地址，即可确保云存储网关所在服务器和OOS通过专线互联。

本节主要介绍关系型数据库服务的关键操作列表 关系型数据库服务（Relational Database Service，以下简称RDS）是一种基于云计算平台的可即开即用、稳定可靠、按需扩展、便捷管理的在线关系型数据库服务。 通过云审计服务，您可以记录与关系型数据库服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的RDS操作列表 操作名称 资源类型 事件名称 ::: 创建实例、恢复到新实例（Console、OPENAPI、TROVEAPI） instance createInstance 创建只读 （Console、OPENAPI、TROVEAPI） instance createReadReplicate 实例重启、扩容、规格变更、恢复到原有实例操作（Console、OPENAPI 、TROVEAPI） instance instanceAction 重置密码（Console） instance resetPassword 设置数据库版本配置参数（OPENAPI） instance setDBParameters 重置实例的数据库版本配置参数（OPENAPI） instance resetDBParameters 设置备份策略打开,关闭,修改（Console、OPENAPI） instance setBackupPolicy 修改数据库端口号（Console） instance changeInstancePort 绑定解绑EIP（Console） instance setOrResetPublicIP 修改安全组（Console） instance modifySecurityGroup 创建标签（Console、OPENAPI） instance createTag 删除标签（Console、OPENAPI） instance deleteTag 修改标签（Console、OPENAPI） instance modifyTag 删除集群下的实例（Console、OPENAPI、TROVEAPI） instance deleteInstance 创建快照（Console、OPENAPI） backup createManualSnapshot 复制快照（Console） backup copySnapshot 删除快照（Console、OPENAPI） backup deleteManualSnapshot 创建参数组（Console、TROVEAPI） config createParameterGroup 修改参数组（Console、TROVEAPI） config updateParameterGroup 删除参数组（Console、TROVEAPI） config deleteParameterGroup 复制参数组（Console） config copyParameterGroup 重置参数组（Console） config resetParameterGroup 比较参数组（Console） config compareParameterGroup 应用参数组（Console） config applyParameterGroup

本文主要介绍云防火墙的相关概念，帮助您快速了解产品。 防护流量 入云流量：从Internet流入云防火墙方向的流量，例如，从公网下载资源到云内服务器。 出云流量：从云防火墙流出到Internet方向的流量，例如，云内服务器对外提供服务，外部用户下载云内的资源。 防护带宽：所有经过云防火墙防护的业务带宽。 互联网边界的流量峰值：所有经过云防火墙防护的EIP的流量总和最大值，按照入云流量（入流量）或出云流量（出流量）的最大值取值。 VPC边界的流量峰值：所有经过云防火墙防护的VPC的流量总和最大值。 边界防火墙 边界防火墙EdgeFW（Edge Firewall），位于内、外部网络的边界处，是连接内网与外网的桥梁。边界防火墙针对云数据中心与外部网络之间的南北向流量，为用户提供边界安全防护功能，支持以弹性IP为防护对象的入侵检测防御（IPS）和网络防病毒（AV）功能。 Internet访问 Internet访问是指互联网IP访问云主机的行为，通过对Internet访问防护，可以帮助您及时防御外部入侵。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

本章节主要介绍故障演练服务技术类问题。 故障演练的实现原理是什么？ 不同类型的故障动作实现原理各不相同，详细说明请参考故障动作库中的具体文档，下表简要概述了各类动作的核心原理： 分类 资源类型 动作类型 动作 简介 原理描述 计算 云主机 主机资源 主机宕机 使用云主机接口对实例进行关机 通过调用云主机关机OpenAPI触发关机 计算 云主机 CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序，空跑for循环来消耗CPU时间片 计算 云主机 内存资源 内存高负载 使用内部自研工具实施内存高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 计算 云主机 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 计算 云主机 磁盘资源 IO Hang 模拟磁盘产生IO Hang效果 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过fsfreeze命令模拟磁盘夯死表现 注意：设置磁盘夯死故障注入后，可能会导致应用无法读写文件产出异常，请谨慎使用 计算 云主机 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过dd命令将数据写入文件 计算 云主机 网络资源 网络丢包 使用TC和Netem模拟主机内网络丢包 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络延迟 使用TC和Netem模拟主机内网络延迟 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包重复 使用TC和Netem模拟主机内网络包重复 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包乱序 使用TC和Netem模拟主机内网络包乱序 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包损坏 使用TC和Netem模拟主机内网络包损坏 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 端口占用 模拟指定端口占用 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序， 创建Socket对象并绑定到指定端口 计算 云主机 网络资源 DNS篡改 篡改指定域名解析到指定IP 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过修改本地DNS解析文件实现 计算 云主机 网络资源 DNS不可用 DNS解析不可用 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过修改本地DNS解析文件或防火墙规则实现 注意：该动作风险较大，请谨慎操作 计算 云主机 JVM故障 JVM延迟 向特定JVM进程注入方法调用延迟故障 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过Java Agent在JVM进程内插入sleep代码来实现 中间件 Redis 集群资源 主从切换 Redis主从切换 通过调用Redis主从切换OpenAPI，触发Redis集群实例进行主从切换 中间件 Redis 节点资源 Redis节点故障 Redis节点发生故障 通过调用Redis停止Redis服务OpenAPI，模拟Redis节点故障，故障会触发Redis HA机制进行自动恢复 中间件 Redis 节点资源 Proxy节点故障 Proxy节点发生故障 通过调用Redis停止Proxy服务OpenAPI，模拟Proxy节点不可用 中间件 Redis 节点资源 节点主机宕机 Redis节点关机 通过关闭节点主机，模拟节点宕机 中间件 Redis 节点资源 CPU高负载 Redis节点CPU高负载 在节点启动自定义程序，空跑for循环来消耗CPU时间片 中间件 Redis 节点资源 内存高负载 Redis节点内存高负载 在节点启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 中间件 Redis 节点资源 磁盘IO高负载 Redis节点磁盘IO高负载 在节点先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 中间件 Redis 节点资源 磁盘IO Hang Redis节点磁盘IO Hang 在节点通过fsfreeze命令模拟磁盘夯死表现 中间件 Redis 节点资源 网络丢包 Redis节点网络丢包 在节点通过增加TC和Netem规则模拟主机内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 中间件 Kafka 节点资源 Broker节点主机宕机 Broker节点关机 指定或随机一个Broker节点进行关机 中间件 Kafka 节点资源 Broker节点CPU高负载 Broker节点CPU高负载 指定或随机一个Broker节点启动自定义程序，空跑for循环来消耗CPU时间片 中间件 Kafka 节点资源 Broker节点磁盘IO高负载 Broker节点磁盘IO高负载 指定或随机一个Broker节点先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 中间件 Kafka 节点资源 分区Leader不可用 分区Leader发生故障 指定一个或多个分区Leader，通过调用Kafka模拟Leader故障OpenAPI，触发Leader重新选举 中间件 RCC 集群资源 停止服务 注册配置中心集群服务故障 通过调用RCC停止集群OpenAPI，模拟RCC集群服务故障 中间件 RCC 节点资源 停止节点 注册配置中心节点故障 通过调用RCC停止节点OpenAPI，模拟RCC节点故障 云容器 容器集群 节点资源 托管Master节点宕机 关闭云容器引擎Master节点主机 通过关闭云容器引擎Master节点主机，模拟Master节点宕机（支持托管版本和智算版） 云容器 容器集群 节点资源 节点宕机 关闭云容器引擎纳管的节点主机 通过关闭云容器引擎纳管的节点主机，模拟节点宕机（支持Worker节点或专有版容器Master节点） 云容器 容器集群 节点资源 Etcd节点宕机 停止Etcd服务，模拟Etcd节点宕机 通过停止Etcd节点上的服务，模拟Etcd节点宕机 云容器 集群Node CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 启动自定义程序，空跑for循环来消耗CPU时间片 云容器 集群Node 内存资源 内存高负载 使用内部自研工具实施内存高负载 启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 云容器 集群Node 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 云容器 集群Node 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 通过dd命令将数据写入文件 云容器 集群Node 网络资源 网络丢包 使用TC和Netem模拟Node内网络丢包 通过增加TC和Netem规则模拟Node内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络延迟 使用TC和Netem模拟Node内网络延迟 通过增加TC和Netem规则模拟Node内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包重复 使用TC和Netem模拟Node内网络包重复 通过增加TC和Netem规则模拟Node内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包乱序 使用TC和Netem模拟Node内网络包乱序 通过增加TC和Netem规则模拟Node内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包损坏 使用TC和Netem模拟Node内网络包损坏 通过增加TC和Netem规则模拟Node内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 DNS篡改 篡改指定域名解析到指定IP 通过修改本地DNS解析文件实现 云容器 集群Node 应用进程 进程停止 终止节点上的指定进程 通过kill 9停止节点上的指定进程 云容器 集群Node 应用进程 进程挂起 挂起节点上的指定进程 通过kill STOP挂起节点上的指定进程 云容器 集群Pod CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 启动自定义程序，空跑for循环来消耗CPU时间片 云容器 集群Pod 内存资源 内存高负载 使用内部自研工具实施内存高负载 启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 云容器 集群Pod 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 云容器 集群Pod 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 通过dd命令将数据写入文件 云容器 集群Pod 网络资源 网络丢包 使用TC和Netem模拟Pod内网络丢包 通过增加TC和Netem规则模拟Pod内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络延迟 使用TC和Netem模拟Pod内网络延迟 通过增加TC和Netem规则模拟Pod内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包重复 使用TC和Netem模拟Pod内网络包重复 通过增加TC和Netem规则模拟Pod内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包乱序 使用TC和Netem模拟Pod内网络包乱序 通过增加TC和Netem规则模拟Pod内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包损坏 使用TC和Netem模拟Pod内网络包损坏 通过增加TC和Netem规则模拟Pod内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 DNS篡改 篡改指定域名解析到指定IP 通过修改本地DNS解析文件实现 云容器 集群Pod Pod资源 Pod删除 删除指定Pod 调用云容器引擎K8S API删除Pod 云容器 集群Pod 应用进程 进程停止 终止节点上的指定进程 通过kill 9停止节点上的指定进程 云容器 集群Pod 应用进程 进程挂起 挂起节点上的指定进程 通过kill STOP挂起节点上的指定进程 云容器 集群Pod JVM故障 JAVA方法调用延迟 指定JVM进程与方法增加调用延迟 通过Java Agent拦截指定JVM进程内方法，增加sleep操作模拟调用延迟 云容器 集群Pod JVM故障 JAVA方法抛自定义异常 指定JVM进程与方法抛出自定义异常 通过Java Agent拦截指定JVM进程内方法，增加thow操作模拟抛出异常 云容器 容器镜像 Harbor服务 Harbor服务不可用 停止Harbor服务，模拟容器镜像仓库不可用 通过调用容器镜像服务OpenAPI，停止Harbor服务，模拟容器镜像仓库不可用

本文主要介绍弹性伸缩服务相关术语解释。 最大或最小实例数 当伸缩策略条件满足时，根据最大实例数和最小实例数自动调整需要添加或移除的云主机数量。例如，按照伸缩策略要求，需要将云主机数量增加到 10 台，但最大实例数是 8，那么系统会按照 8 台云主机数量进行弹性伸缩活动。 期望实例数 默认的云主机数量，当没有伸缩规则满足时，系统保留的云主机数量。手工修改该值，会触发一次弹性伸缩活动。 伸缩组 伸缩组是具有相同属性和应用场景的云服务器和伸缩策略的集合。伸缩组是启停伸缩策略和进行伸缩活动的基本单位。 伸缩配置 伸缩配置即伸缩活动中添加的云服务器的规格。 伸缩策略 触发伸缩活动的条件和执行的动作，当满足条件或者执行的动作时，会触发一次伸缩活动。 伸缩活动 伸缩活动是指在伸缩组内由于伸缩条件满足而触发的云服务器实例数量变更的活动，可能是增加或减少几台云服务器实例。 冷却时间 冷却时间是指冷却伸缩活动的时间，在每次触发伸缩活动之后，系统开始计算冷却时间。伸缩组在冷却时间内，会拒绝由告警策略触发的伸缩活动。其他类型的伸缩策略（如定时策略和周期策略等）触发的伸缩活动不受限制。

本章节主要介绍云搜索服务如何进行插件管理。 云搜索服务支持查看系统默认插件功能。 1.登录云搜索服务管理控制台。 2.在集群管理页面，单击需要安装插件的集群名称。 系统跳转至该集群基本信息页面。 3.在集群基本信息页面，选择“插件管理”。 4.查看系统默认插件信息。 在“系统默认插件列表”页查看当前版本支持的系统默认插件信息。 系统默认插件支持的集群版本号 插件名称 支持的集群版本号 analysisdynamicsynonym 5.5.1、6.2.3、6.5.4、7.1.1、7.6.2、7.9.3 analysisicu 6.2.3、6.5.4、7.1.1、7.6.2、7.9.3 analysisik 5.5.1、6.2.3、6.5.4、7.1.1、7.6.2、7.9.3 analysispinyin 5.5.1、6.2.3、6.5.4、7.1.1、7.6.2、7.9.3 analysispoisson 6.2.3、7.1.1 analysisstconvert 5.5.1、6.2.3、6.5.4、7.1.1、7.6.2 lasthit 5.5.1、6.2.3、7.1.1 repositoryobs 5.5.1、6.2.3、6.5.4、7.1.1、7.6.2、7.9.3 vectorsearch 6.2.3 opendistrosecurity 6.5.4、7.1.1、7.6.2、7.9.3 opendistrosql 6.5.4、7.1.1、7.6.2、7.9.3 analysiskuromoji 6.5.4、7.1.1、7.6.2、7.9.3 analysisnori 6.5.4、7.1.1、7.6.2、7.9.3 ingestattachment 6.5.4、7.1.1、7.6.2、7.9.3

此小节介绍查看企业主机安全服务协议 天翼云企业主机安全服务协议

本节介绍了开启网卡多队列功能的操作场景、网卡多队列支持列表、将外部镜像文件导入镜像服务控制台、为镜像添加网卡多队列标签、使用私有镜像创建弹性云主机、执行网卡多队列的配置脚本、查看网卡队列数。 操作场景 随着网络IO的带宽不断提升，单核CPU处理网络中断存在瓶颈，不能完全满足网卡的需求，通过开启网卡多队列功能，您可以将弹性云主机中的网卡中断分散给不同的CPU处理，以满足网卡的需求，从而提升网络PPS和带宽性能。 假设以下场景所述的弹性云主机满足规格和虚拟化类型要求： 使用网卡多队列支持列表中的公共镜像创建的弹性云主机，默认已开启网卡多队列，无需执行本节操作。 对于私有镜像场景，如果您的外部镜像文件的操作系统在网卡多队列支持列表范围内，需要按照如下流程开启网卡多队列： a. 将外部镜像文件导入镜像服务控制台。 b. 为私有镜像添加网卡多队列标签。 c. 使用私有镜像创建弹性云主机。 d. 执行网卡多队列的配置脚本。 说明 云主机开启网卡多队列功能后，如果后续有新增或删除网卡，切换VPC等操作，需要重新对云主机设置网卡多队列，详细操作请参考

本文介绍DMS端云协同客户端(简称DMS客户端)的设计理念、关键名词和主要功能,帮助您快速了解和使用DMS客户端。 在云计算与AI时代，传统数据库客户端软件难以充分借助云平台的安全管控能力和AI的智能化优势，也无法适应对话式、命令行式等新一代交互方式。天翼云重磅推出DMS端云协同客户端——将本地客户端与云端安全管控、AI服务深度融合，重塑数据库管理体验。 产品理念 产品以端云协同架构为核心：客户端负责交互体验与本地数据处理，云端提供安全管控与团队协作服务，两者深度融合，让用户在熟悉的客户端操作体验中，获得企业级安全与协作能力加持。 核心特性 【统一管理】一套客户端，纳管全域数据库 打破云上云下的边界，统一管理天翼云RDS等云上数据库与本地自建数据库，同时支持MySQL、PostgreSQL等多种数据库类型。无需在云数据库Web控制台与传统客户端之间来回切换，所有实例一站管理。 【安全协作】私有数据库不上云，也能获得企业级安全增强 借助天翼云DMS安全管控能力——SQL规范审核、变更审批协作、敏感数据脱敏、操作审计等，为云下私有数据库注入安全防护。企业自有数据库无需迁移上云，即可实现细粒度权限管控与团队安全协作。 【智能管理】内置AI智能体，对话即可驾驭数据库 灵活接入大模型服务，内置数据库管理智能体。通过自然语言对话即可完成SQL编写、SQL优化、数据分析等操作，让AI成为你的数据库管理助手，显著降低操作门槛、提升工作效率。 【命令操作】内置dmscli，终端党的效率利器 提供命令行操作体验，支持shell、Python等脚本调用dmscli，轻松融入自动化运维流程，也便于与外部系统对接集成。 【生态对接】开放Skills接口，无缝接入主流智能体生态 提供数据管理Skills，可平滑接入OpenClaw、Claude Code等外部智能体框架，让数据库能力成为AI工作流中的原生一环。

本文介绍DMS端云协同客户端(简称DMS客户端)的设计理念、关键名词和主要功能,帮助您快速了解和使用DMS客户端。 在云计算与AI时代，传统数据库客户端软件难以充分借助云平台的安全管控能力和AI的智能化优势，也无法适应对话式、命令行式等新一代交互方式。天翼云重磅推出DMS端云协同客户端——将本地客户端与云端安全管控、AI服务深度融合，重塑数据库管理体验。 产品理念 产品以端云协同架构为核心：客户端负责交互体验与本地数据处理，云端提供安全管控与团队协作服务，两者深度融合，让用户在熟悉的客户端操作体验中，获得企业级安全与协作能力加持。 核心特性 【统一管理】一套客户端，纳管全域数据库 打破云上云下的边界，统一管理天翼云RDS等云上数据库与本地自建数据库，同时支持MySQL、PostgreSQL等多种数据库类型。无需在云数据库Web控制台与传统客户端之间来回切换，所有实例一站管理。 【安全协作】私有数据库不上云，也能获得企业级安全增强 借助天翼云DMS安全管控能力——SQL规范审核、变更审批协作、敏感数据脱敏、操作审计等，为云下私有数据库注入安全防护。企业自有数据库无需迁移上云，即可实现细粒度权限管控与团队安全协作。 【智能管理】内置AI智能体，对话即可驾驭数据库 灵活接入大模型服务，内置数据库管理智能体。通过自然语言对话即可完成SQL编写、SQL优化、数据分析等操作，让AI成为你的数据库管理助手，显著降低操作门槛、提升工作效率。 【命令操作】内置dmscli，终端党的效率利器 提供命令行操作体验，支持shell、Python等脚本调用dmscli，轻松融入自动化运维流程，也便于与外部系统对接集成。 【生态对接】开放Skills接口，无缝接入主流智能体生态 提供数据管理Skills，可平滑接入OpenClaw、Claude Code等外部智能体框架，让数据库能力成为AI工作流中的原生一环。

步骤一：升级前检查 版本升级前需要检查实例状态和实例的CPU使用率、内存使用率、磁盘使用率等监控指标是否正常。 1. 检查实例状态 a. 登录管理控制台。 b. 单击管理控制台左上角的 ，选择区域和项目。 c. 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 d. 在“实例管理”页面，查看实例的运行状态是否正常。 如果实例状态异常，您可以联系技术支持，由工程师给出分析评估后进行处理。 2. 检查监控指标 a. 在页面左上角单击 ，选择“管理与监管 > 云监控服务 CES”，进入“云监控”服务信息页面。 b. 在左侧导航栏选择“云服务监控 > 云数据库 GaussDB”，进入“云服务监控”页面。 c. 在云监控页面，单击需要查看监控的实例，进入“监控指标”页面。 在“实例”页面查看“实例数据磁盘已使用百分比”，查看是否有磁盘满使用率不足的情况。 在“节点”页面查看“CPU使用率”，查看是否有CPU长期过高的情况。 在“节点”页面查看“内存使用率”，查看是否有内存飙升的情况。 如果监控指标异常，您可以联系技术支持，由工程师给出分析评估后进行处理。

本小节介绍安全专区云堡垒机登录运维方法。 安装插件 从互联网通过云堡垒机设置的“运维员”账号访问云堡垒机端口（ 根据提示完成安装插件。 测试登录 点击【运维操作】→【SSO】，可看到本账号在（详情参考资产管理授权）授权需要运维的资源，即可选择相应的运维方式进入单点登录。

本小节介绍SSL VPN的计费模式。 SSL VPN 产品支持包年/包月（预付费）计费方式。 订购SSL VPN平台会自动匹配合适的云主机，并帮助用户合并下单，无需用户单独购买云主机，云主机和SSL VPN会同步计费，具体费用请以购买页面为准。 SSL VPN云主机需要绑定公网IP地址，并且SSL VPN云主机要可以实时联网，否则无法正常使用SSL VPN授权ID、序列号和SSL VPN的功能，若订购弹性IP，其带宽大小需根据用户实际业务量评估。 说明 本产品一经提供服务不支持退订。 计费项 SSL VPN服务根据用户所选产品规格以及使用时长进行收费，资费标准价格（该费用仅为软件授权费用）如下： 产品规格（SSL并发数） 产品定价（元/月） 产品定价（元/年） 活动价（元/月） 5并发 125 1425 75 10并发 250 2700 150 50并发 1250 9750 750 200并发 5000 30000 3000 500并发 12500 60000 7500 注意 活动价是产品定价的6折，具体以各版本的订购页面和控制台展示为准。 SSL VPN授权用于计算EasyConnect（SSL VPN客户端）、浏览器接入SSL VPN的并发用户数。 SSL VPN会根据用户选择的SSL VPN并发数及用户所属资源池云主机资源情况自动为用户匹配云主机规格，当最低要求规格不满足时，会选择满足当前并发数的其他规格云主机，具体云主机报价请以购买页面为准，各并发推荐的云主机规格如下： SSL并发数 最低推荐云主机规格 5并发 1c2g 10并发及以上并发 2c4g 有特殊要求的资源池 4c8g及以上 注意 云主机资源选择无明确类型要求，系统会根据资源池云主机剩余情况选择该资源池支持的云主机类型，通用型、增强型、计算型等云主机类型都在选择范围内。 SSL VPN云主机资源无特殊要求，默认选择40G系统盘配置。

本章为您介绍创建文件系统的步骤。 操作场景 创建文件系统，可以在多个计算服务如云主机、物理机中挂载使用，实现文件系统的共享访问。 前提条件 创建文件系统之前，请确认该地域已创建VPC，具体操作请参考创建VPC、子网搭建私有网络。 文件系统和云主机须归属于相同VPC，才能保证网络互通，实现文件的挂载访问。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 点击右上角“创建SFS Turbo实例”，进入创建文件系统页面。 4. 根据界面提示配置参数，参数说明如表所示： 参数 说明 计费方式 支持包年包月和按量付费。预付费用户选择按量计费请保证账户余额超过100元。 地域 从地理位置和网络时延维度划分，同一个地域内共享弹性计算、弹性文件服务、VPC网络、弹性公网IP、镜像等公共服务。 企业项目 选择归属的企业项目，默认为default，只能选择已创建的企业项目。启用企业项目管理功能后可进行企业项目迁移。 可用区 同一地域内，电力和网络互相独立的地理区域。文件系统可被同一地域不同可用区的云主机挂载访问。 名称 系统自动生成名称，支持用户自定义修改，不可重复。文件系统名称只能由数字、“”、字母组成，不能以数字和“”开头、且不能以“”结尾，2~255字符。 存储类型 支持SFS Turbo标准型、SFS Turbo性能型两种存储类型。存储类型区别详见产品规格。 注：不同资源池覆盖情况不同，以订购页面实际展示为准。 协议类型 支持CIFS协议、NFS协议。NFS协议仅支持Linux，CIFS协议仅支持Windows。 注：不同资源池覆盖情况不同，以订购页面实际展示为准。 选择网络 选择虚拟私有云（VPC），若当前地域没有虚拟私有云，点击“创建虚拟私有云”，创建完成后刷新可选择新建的虚拟私有云。 注：文件系统须与计算服务同属一个VPC，才能挂载成功。 IP地址 部分资源池支持通过VPC终端节点访问文件系统，系统为您自动分配普通子网的IP地址创建VPC终端节点自动连接文件存储服务，物理机必须通过终端节点挂载访问。VPC终端节点为免费服务。 注意 目前仅华东1 支持此功能，其它资源池陆续升级中。 您可以在[VPC终端节点控制台](

本页介绍天翼云TeleDB数据库备份恢复相关操作。 操作场景 备份恢复包括了备份机管理和备份管理相关操作。 备份机管理是指通过管理平台进行发布，启动，停止，重启，删除操作对备份机进程进行管理。 备份管理是指包含了全量备份，日志备份，数据恢复，任务列表等操作。 操作步骤 1. 登录TelePG控制台。 2. 在左侧导航树上单击实例列表，进入实例详情页面。 3. 将当前实例切换至目标实例，单击备份恢复 页签。 4. 在备份恢复页签，您可创建备份、修改备份策略、恢复到指定时间点和绑定备份机。 5. 创建备份 1. 单击创建备份 页签，出现创建备份对话框。 2. 在创建备份对话框，填写备份名称 和描述 ，单击确定，完成创建备份。 6. 修改备份策略 1. 单击修改备份策略页签，出现修改备份策略对话框。 2. 在备份策略对话框填写基本信息。 参数 说明 开启备份 您可根据业务需求选择开启或关闭。 备份周期 您可根据业务需求选择星期一、星期二、星期三、星期四、星期五、星期六和星期天。 备份开始时间 您可根据业务需求选择备份开始时间。 全量备份保留 您可根据业务需求选择全量备份天数。 日志备份 您可根据业务需求选择开启或关闭。 日志备份保留 您可根据业务需求选择日志备份保留天数。 3. 确认信息无误后，单击确定 完成修改备份策略。 注意 如果开启增量备份，那么WAL日志的保留时长必须大于全量备份的保留时长，避免无法恢复到指定的时间点。开关默认关闭，如果需要使用自动备份清理的功能，请及时开启。 7. 恢复到指定时间点 1. 单击恢复到指定时间点 页签，出现恢复到指定时间点对话框。 2. 在恢复到指定时间点 对话框，选择恢复的时间点 、在目标实例下拉框选择需要恢复的目标实例 。 3. 单击确定 ，即可恢复到指定的时间点。系统会根据恢复的时间点拷贝最相近的全量备份数据，再将相关的WAL日志拷贝到目标实例。 注意 目前只支持恢复到其他实例，不支持恢复到本实例。目标实例最终的实例配置文件包括postgresql.conf,pghba.conf等是不会改变的。 8. 绑定备份机 1. 单击绑定备份机 页签，出现绑定备份机 对话框。 2. 在绑定备份机 对话框，绑定新备份机下拉框选择新备份机 。 3. 确认信息无误后，单击确定 ，实例的备份数据包括全量数据以及WAL日志数据都将保存到备份机指定的data目录中。 9. 恢复实例 1. 单击目标实例所在行的恢复 ，出现恢复备份对话框。 2. 在恢复备份对话框的目标实例下拉框选择需恢复的实例。 3. 确认信息无误后，单击确定 完成恢复实例。 注意 目前只支持恢复到其他实例，不支持恢复到本实例。 10. 复制实例 1. 单击目标实例所在行的复制 ，出现复制备份 对话框。 2. 在复制备份对话框，填写备份名称 和描述 ，确认信息无误后，单击确定 完成复制备份。 3. 通过复制实例可手动创建所选备份的一个副本，备份名称默认为原有备份名称backup,备份类型为手动 ，手动的备份，不会被自动清理。 11. 删除实例 1. 单击目标实例所在行的删除 ，出现删除备份对话框。 2. 单击确定 ，即可删除备份。 3. 通过删除实例可手动删除，备份类型为手动 或者状态异常 的备份数据。

本章节主要介绍数据治理中心DataArts Studio如何创建IAM用户并授予DataArts Studio权限。 创建IAM用户并授予DataArts Studio权限 如果您需要对您所拥有的DataArt Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DataArts Studio资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如操作步骤所示。 背景信息 给用户组授权之前，请您了解用户组可以添加的DataArts Studio工作空间角色权限，并结合实际需求进行选择。 约束与限制 DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 − IAM角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 − IAM策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

本节为您介绍如何查看预定义服务组。 云防火墙为您提供预定义服务组，包括“常用Web服务”、“常用数据库”和“常用远程登录和ping”，适用于防护Web、数据库和服务器。 预定义服务组仅支持查看，不支持添加、修改、删除操作。 查看预定义服务组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“服务组”页签，选择“预定义服务组”页签，单击目标服务组的名称，进入详细信息页面，查看服务组信息。

本文主要介绍弹性负载均衡的入门流程。 1. 开始。 2. 创建弹性云主机：在弹性云主机控制台界面创建两台ECS。 3. 搭建后端服务：在两台ECS实例上部署业务。 4. 新建负载均衡器：在弹性负载均衡控制台界面创建ELB。 5. 添加监听器：在创建的ELB中添加监听器。 6. 验证负载均衡服务：验证是否可以实现访问到不同的后端云主机。 7. 结束。

本节介绍了准备实例依赖资源的相关内容。 使用DCS服务前，若采用VPC内连接的方式，您需要创建虚拟私有云（Virtual Private Cloud，以下简称VPC），并且配置安全组与子网。VPC为DCS服务提供一个隔离的、您可以自主配置和管理的虚拟网络环境，提升资源的安全性，简化网络部署。 如果您已有以下依赖资源，可重复使用，不需要多次创建。 创建VPC和子网 步骤 1 登录管理控制台。 步骤 2 在管理控制台左上角单击，选择区域和项目。 步骤 3 单击“创建虚拟私有云”。 步骤 4 根据界面提示创建虚拟私有云。如无特殊需求，界面参数均可保持默认。 关于创建VPC的详细信息可以参考 虚拟私有云帮助文档中的“快速入门”。 创建虚拟私有云时，会同时创建子网，若需要额外创建子网，请参考步骤5和步骤6；如果不需要额外创建子网，请执行创建安全组。 说明 在创建虚拟私有云时，配置参数“网段”，即为VPC的地址范围，若配置该参数，则VPC内的子网地址必须在VPC的地址范围内。 若创建虚拟私有云用于发放DCS实例时，可不用配置虚拟私有云的“网段”。 步骤 5 在左侧导航栏选择“虚拟私有云 > 子网”，进入子网页面。 步骤 6 单击“创建子网”。根据界面提示创建子网。如无特殊需求，界面参数均可保持默认。 结束

编号 操作 相关文档 1 在线测试，了解产品能力 2 配置防护策略（可选） 3 创建应用，获取调用凭证 4 API 接入 5 日志监控

Agent安装 登录控制台 1. 登录服务器安全卫士（原生版）或网页防篡改（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，单击“安装Agent”。 Linux主机安装Agent 1. 切换到“Linux系统”选项卡。 2. 复制“云外主机”安装命令，将安装命令中的ctcssextap2.ctyun.cn 替换成VPC内指定终端节点提供服务的IP。 注意 需要复制客户自己页面的命令后修改关键地址，请勿直接复制控制台或文档中的命令进行执行，否则可能导致Agent安装失败。 3. 在Linux云主机中，以管理员权限执行修改后的安装命令进行安装。 Windows主机安装Agent 1. 切换到“Windows系统”选项卡。 2. 复制“云外主机”安装命令，将安装命令中的ctcssextap2.ctyun.cn 替换成VPC内指定终端节点提供服务的IP。 注意 需要复制客户自己页面的命令后修改关键地址，请勿直接复制控制台或文档中的命令进行执行，否则可能导致Agent安装失败。 3. 在Windows云主机中打开CMD程序（Win+R组合键，输入cmd）。 4. 在打开的CMD.exe中以管理员权限执行安装命令进行安装。