本文为您介绍删除跨域连接的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，单击“跨域连接管理”页签。 5. 在跨域连接管理页签的列表中，找到目标跨域连接，在操作列，单击“删除”，进入删除页面。 6. 在删除页面，单击“确定”，完成删除操作。

本文介绍了如何查看RDSPostgreSQL实例SSL链路加密。 操作场景 客户从内外网连接实例时使用SSL链路加密通信，防止实例数据被泄露。 前提条件 当前实例状态为运行中。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在实例详情页，选择SSL设置栏中，点击最右侧的开启按钮，选择云端证书或自定义证书开启SSL。 7. 开启成功后，可在实例详情页查看SSL开启状态，以及其证书有效期。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

本页介绍RDSPostgreSQL如何删除白名单分组。 通过“删除白名单组”操作，可以将白名单分组删除。 操作场景 删除白名单组，会将白名单分组删除，同时也将分组的的白名单ip列表清除。 注意 删除白名单不会影响实例的正常运行。 删除白名单不允许删除默认分组（default）。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 操作方式 1. 登录天翼云官网。 2. 点击右上角的控制中心，跳转到控制中心页面。 3. 点击左上角的，选择区域。 4. 在数据库的分类中，找到【关系数据库PostgreSQL 版】，点击进入到RDSPostgreSQL控制台。 5. 在实例管理页，点击目标实例行中的“管理”按钮，进入实例详情页。 6. 点击白名单管理，进入到白名单管理页面。 7. 点击需要操作的白名单组操作列的“删除”按钮。 8. 点击“确定”，删除白名单组，点击“取消”，放弃操作。

参数 是否必填 参数说明 策略名称 是 带宽伸缩策略的名称，用户可自定义，也可以选择保持系统默认分配名称。 带宽类型 是 需要管理的带宽类型，支持选择“独享带宽”、“共享带宽”。 弹性公网IP 是 当带宽类型为独享带宽时，需配置。可指定需要管理的IP资源。 带宽资源 是 当带宽类型为共享带宽时，需要配置。可指定需要管理的共享带宽资源。 策略类型 是 支持配置告警策略、定时策略、周期策略。

创建队列 第一次提交Spark作业，需要先创建队列，例如创建名为“sparktest”的队列，队列类型选择为“通用队列”。 1.登录DLI管理控制台。 2.在DLI管理控制台的左侧导航栏中，选择“资源管理 > 队列管理”。 3.单击“队列管理”页面右上角“创建队列”进行创建队列。 4.创建名为“sparktest”的队列，队列类型选择为“通用队列”。创建队列详细介绍请参考《数据湖探索用户指南》>《创建队列》。 5.单击“立即创建”，完成队列创建。 创建程序包 提交Spark作业之前需要创建程序包，例如“sparkexamples.jar”。 1.在管理控制台左侧，单击“数据管理”>“程序包管理”。 2.在“程序包管理”页面，单击右上角“创建”可创建程序包。 3.在“创建程序包”对话框，“包类型”选择“JAR”，“OBS路径”选择步骤2：上传数据至OBS中“sparkexamples.jar”的包路径，“分组设置”参数选择为“不分组”。 4.单击“确定”，完成创建程序包。 程序包创建成功后，您可以在“程序包管理”页面查看和选择使用对应的包。 创建程序包详细介绍请参考《数据湖探索用户指南》>《创建程序包》。 提交Spark作业 1.在DLI管理控制台，单击左侧导航栏中的“作业管理”>“Spark作业”，单击“创建作业”，进入创建Spark作业页面。 2.在Spark作业编辑页面中，“所属队列”选择步骤4：创建队列中创建的队列，“应用程序”选择步骤5：创建程序包创建的程序包。 其他参数请参考《数据湖探索用户指南》>《创建Spark作业》中关于Spark作业编辑页面的说明。 3.单击Spark作业编辑页面右上方“执行”，阅读并同意隐私协议，单击“确定”。提交作业，页面显示“作业提交成功”。 4.（可选）可到“作业管理”>“Spark作业”页面查看提交作业的状态及日志。 说明 在DLI管理控制台第一次单击“执行”操作时，需要阅读隐私协议，同意确定后，后续操作将不会再提示。

本章节主要介绍数据湖探索（DLI）如何创建用户并授权使用。 如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DLI服务的其它功能。 本章节介绍创建IAM用户并授权使用DLI的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您先了解用户组可以添加的DLI权限，并结合实际需求进行选择。DLI支持的系统权限，请参见权限管理概述章节中的“DLI系统权限”。 示例流程 给用户授权DLI权限流程 1.创建用户组并授权。 在IAM控制台创建用户组，并授予DLI服务普通用户权限“DLI ReadOnlyAccess”。 2.创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3.用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据湖探索，进入DLI主界面。如果在“队列管理”页面可以查看队列列表，但是单击右上角“购买队列”，无法购买DLI队列（假设当前权限仅包含DLI ReadOnlyAccess），表示“DLI ReadOnlyAccess”已生效。 在“服务列表”中选择除数据湖探索外（假设当前策略仅包含DLI ReadOnlyAccess）的任一服务，若提示权限不足，表示“DLI ReadOnlyAccess”已生效。如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。

本节介绍创建应用组的相关步骤。 操作场景 应用管理功能支持管理系统应用和用户自定义应用，应用需属于一个应用组。系若统应用组无法满足用户需求，用户可添加一个新的自定义应用组。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“应用管理”，单击 “应用组管理>创建应用组”。 5. 根据页面提示填写应用组名称。 6. 单击“确定”，完成应用组创建。

本节主要介绍触发器管理 操作步骤 1. 在顶部导航栏选择“库管理”，在对象列表页签下选择“触发器”。 2. 您可以单击页面操作栏的“查看触发器详情”查看创建触发器的SQL语句。

云点播密钥管理功能介绍。 综述 云点播采用了AK/SK的认证机制，对SDK、API、回调通知等交互入口进行了安全强化。AK（又称Access key），用于标识用户身份。SK（又称Secret access key）是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥，其中SK必须保密。AK/SK使用对称加解密算法，其原理是当云点播侧接收到用户的请求后，系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串，并与用户请求中包含的认证字符串进行比对。如果认证字符串相同，系统认为用户拥有指定的操作权限，并执行相关操作；如果认证字符串不同，系统将忽略该操作并返回错误码。云点播提供了统一入口，对涉及到的相关AK/SK密钥对进行管理。 查看密钥配置列表 前提条件 已开通云点播产品。 账号属性为主账号。 操作步骤 进入云点播控制台，选择左侧导航栏的【开发配置】–【密钥管理】可打开密钥管理配置页面。在该页面，您可以看到【原生密钥】、【OpenAPI密钥】两个标签卡，适用于在不同场景下密钥生成和管理。 功能 说明 :: 原生密钥 用于在调用原生API、SDK时的身份和校验信息生成，该密钥由云点播（存量）或CTIAM（增量）生成。 OpenAPI密钥 用于在调用天翼云OpenAPI接口时的身份和校验信息生成。 原生密钥

本章节主要介绍操作类问题中有帐号权限的问题。 如果不开启Kerberos认证，MRS集群能否支持访问权限细分？ MRS 2.1.0及之前版本：在MRS Manager页面选择“系统设置”>“配置”>“权限配置”查询。 MRS 3.x及之后版本：在FusionInsight Manager页面选择“系统 > 权限”查询。 如何给集群内用户添加租户管理权限？ 分析集群和混合集群支持添加租户管理权限，流式集群不支持添加租户管理权限。给新建帐号添加租户管理权限方法如下： MRS3.x之前版本 1.登录MRS Manager。 2.在“系统设置 > 用户管理”中选择新建的用户，单击“操作”列中的“修改”。 3.在“分配角色权限”中单击“选择并绑定角色”。 绑定Managertenant角色，则该帐号拥有租户管理的查看权限。 绑定Manageradministrator角色，则该帐号拥有租户管理的查看和操作权限。 4.单击“确定”完成修改。 MRS3.x及之后版本 1.登录FusionInsight Manager，选择“系统 > 权限 > 用户”。 2.在要修改信息的用户所在行，单击“修改”。 根据实际情况，修改对应参数。 绑定Managertenant角色，则该帐号拥有租户管理的查看权限。绑定Manageradministrator角色，则该帐号拥有租户管理的查看和操作权限。 说明 修改用户的用户组，或者修改用户的角色权限，最长可能需要3分钟时间生效。 3.单击“确定”完成修改操作。 为什么在Manager中找不到用户管理页面？ 当前登录用户没有Manageradministrator角色权限，所以在MRS Manager中无法查看“用户管理”相关内容，请使用admin用户或者其他具有Manager管理权限的用户重新登录Manager。 Hue有配置帐号权限的功能吗？ Hue服务没有配置帐号权限的功能。 可以通过在Manager的“系统设置”中配置用户角色和用户组来配置帐号权限，从而实现Hue权限的配置。

本章节主要介绍队列相关问题中有关使用咨询的问题。 DLI队列管理是否支持修改描述内容 不支持修改描述内容。 目前已经创建完成的队列不支持修改描述内容，只能在购买队列时进行添加。 删除队列会导致数据库中的表数据丢失吗? 删除队列不会导致您数据库中的表数据丢失。 队列异常时，DLI怎么保证Spark作业的可靠性？ 应用侧调用DLI提交作业，需要有重试机制来保证Spark作业的可靠性。 如果队列发生异常时，在后续队列恢复后，通过应用侧重试来保证作业的正常提交。 DLI如何进行队列异常监控？ DLI为用户提供了作业失败的topic订阅功能。 1. 登录DLI控制台。 2. 单击左侧“队列管理”，进入队列管理页面。 3. 在队列管理页面，单击左上角“创建消息通知主题”进行配置。

本页介绍如何开始或续传数据迁移实例。 开始任务 已完成实例配置的数据迁移实例，点击“开始任务”可以启动迁移任务。操作步骤如下： 1. 在【数据迁移】实例列表页面，选择状态为“未启动”的实例ID进入【实例管理】页面。 2. 在【实例管理】页面，点击底部的“开始任务”按钮。 3. 在弹出信息提示窗中，点击“确定”，确认开始实例任务。 4. 提交成功后，在【数据迁移】实例列表页面，检查对应实例的状态已变为“运行中”。 续传任务 DTS在完成任务配置后运行过程中，可能会需要暂停任务，或任务运行遇到异常、此时任务会停止运行，状态变为“未启动”。用户可以在处理完成需要处理的问题后，点击“开始任务”重新启动。操作步骤具体如下： 1. 在【数据迁移】实例列表页面找到需要启动的实例，点击实例ID，进入【实例管理】页面。 2. 在【实例管理】页面，点击底部的“开始任务”按钮。 3. 在弹出信息提示窗中，点击“确定”。 4. 提交成功后，DTS会在之前停止的位点开始续传，在【数据迁移】实例列表页面，检查对应实例的状态已变为“运行中”。

本页介绍如何开始或续传数据同步实例。 开始任务 已完成实例配置的数据迁移实例，状态为“未启动”，点击“开始任务”可以启动同步任务。 1. 在【数据同步】实例列表页面，选择状态为“未启动”的实例ID进入【实例管理】页面。 2. 在【实例管理】页面，点击底部的“开始任务”按钮。 3. 在弹出信息提示窗中，点击“确定”，确认开始实例任务。 4. 提交成功后，在【数据同步】实例列表页面，检查对应实例的状态已变为“运行中”。 续传任务 DTS在完成任务配置后运行过程中，可能会需要暂停任务，或任务运行遇到异常、此时任务会停止运行，状态变为“未启动”。用户可以在处理完成需要处理的问题后，点击“开始任务”重新启动。操作步骤具体如下： 1. 在【数据同步】实例列表页面找到需要启动的实例，点击实例ID，进入【实例管理】页面。 2. 在【实例管理】页面，点击底部的“开始任务”按钮。 3. 在弹出信息提示窗中，点击“确定”。 4. 提交成功后，DTS会在之前停止的位点开始续传，在【数据同步】实例列表页面，检查对应实例的状态已变为“运行中”。

修改资源组 在资源组管理页面，找到需要修改的资源组，点击操作→修改，打开资源组修改页面，除资源组名不可修改，其他属性可以根据您的需要修改。 删除资源组 在资源组管理页面的资源组列表，找到待删除的资源组，点击操作→删除，就可以删除资源组。 绑定资源组 实例的数据库用户通过绑定资源组实现资源限制，每个用户只可绑定一个资源组。在资源组管理页面，找到想要绑定的资源组，点击操作→用户绑定，打开用户绑定资源组页面。 绑定用户 在用户下拉栏选择想要绑定的用户，点击绑定用户按钮，确认后完成绑定。已绑定到其他资源组的用户绑定新资源组时，会自动解除与原资源组的绑定。 解绑用户 在用户绑定资源组页面的用户列表中，选择想要解绑的用户，点击解绑按钮，确认后完成解绑。解绑用户会自动绑定到系统默认”default”资源组。 RU用量监控 在资源组管理页面，点击资源总览按钮，可以查看当前各个资源组的RU使用情况。

分类 功能点 功能说明 总览 资源概览 可视化资源概览，全局资源统计和审计日志 注册集群 天翼云集群 一键关联天翼云容器集群，支持跨区域、跨地域集群 注册集群 三方云集群 纳管三方公有云上的 Kubernetes 集群，如阿里云(ACK)、腾讯云(TKE)、GCP (GKE)、AWS(EKS)等 注册集群 本地集群 纳管本地满足CNCF标准的IDC自建或私有云上的 Kubernetes 集群 集群管理 接入配置 通过应用 YAML 文件到目标集群，快速实现云上纳管 集群管理 操作日志 注册集群的业务日志、施工日志等关键日志信息 集群管理 集群控制台 统一管理控制台，云上云下一致性操作体验 容器舰队 集群编排 根据业务自定义舰队，一键编排，实现多集群批量管理 集群联邦 负载分发 标准 Kubernetes 及CDR的多集群动态分发 集群联邦 联邦伸缩 集群联邦可根据业务负载进行弹性伸缩

本节主要介绍操作跟踪相关问题。 什么是OOS 操作跟踪 (CloudTrail)？ 操作跟踪用于记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中。记录的信息包括用户的身份，请求时间，源IP地址，请求参数以及服务返回的响应元素等，便于您实时了解账户的操作情况及合规性审查。 为什么要使用 CloudTrail？ CloudTrail 可记录每个管理类操作的信息，包括请求的发出方、请求的时间、使用的服务、执行的操作等，这些信息能够帮助您实时跟踪 OOS 资源的变更情况，帮助您确认操作性问题。具体记录内容，详见管理事件记录。 CloudTrail支持查询多久的操作事件？ 通过CloudTrail可以查看近6个月内的管理事件记录，同时您可以对账户内的敏感操作设置跟踪日志，CloudTrail会将账户活动以日志的方式发送到您指定的OOS存储桶进行持久化存储。详见管理事件记录。 单个账户最多支持创建几个跟踪？ 单个账户最多支持创建10个跟踪，创建操作跟踪可以参考跟踪列表或CreateTrail。

本节介绍如何查看扫描任务和下载任务。 任务中心页面提供统一的任务管理窗口，包括扫描任务队列和下载任务管理，在该页面可以查看各项任务的扫描状态或下载生成状态，并且在下载任务管理页面可将报表下载到本地。 查看扫描任务 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“任务中心”，进入任务中心页面。 3. 在“扫描任务队列”页面，可以查看镜像扫描任务、IaC安全扫描任务、安全合规扫描任务、弱口令检测扫描任务。 4. 扫描完成后，单击操作列的“生成扫描结果”，开始生成对应的报表任务。可在“下载任务管理”页签，查看任务状态并下载报表。 相关操作：单击任务操作列的“删除”，可以删除扫描任务。 查看并下载报表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“任务中心”，进入任务中心页面。 3. 选择“下载任务管理”页签，可以查看下载任务状态。 4. 当任务状态为“生成完成”时，单击任务操作列的“下载”，可以下载已生成的报表。 相关操作：单击任务操作列的“删除”，可以删除下载任务。

本小节介绍数据加密术语解释。 密钥管理 当前数据加密服务的子服务，是一种安全、可靠、简单易用的密钥托管服务，帮助您轻松创建和管理密钥，保护密钥的安全。 专属加密 当前数据加密服务的子服务，可为用户提供加解密、签名、验签、产生密钥和密钥安全存储等操作能力。 专属加密实例 硬件密码机虚拟化形成的加密资源实例，具有与硬件加密机相同的加密签名等能力。 USB Key 专属加密实例的唯一身份识别，配合安装在虚机中的管理工具对专属加密实例的设备、权限等进行管理。 专属加密管理工具 配合Ukey，远程管理专属加密实例。 安全代理软件 配合用户业务虚机与专属加密实例建立安全通道。

本小节主要介绍RDSPostgreSQL实例的同步方式。 操作场景 RDSPostgreSQL实例支持修改主备实例、一主两备实例的数据同步方式，以满足您实际的业务需求。同步方式可选择项为“同步"，“半同步"和“异步"三种模式。 同步：确认一个事务的数据变更至少同步到一个备库上，提升数据的可靠性。 半同步（默认）：介于同步模式和异步模式之间，系统会根据集群状态对同步级别进行升降级。 异步：主库执行完立即向客户端返回，通常有较高的性能。 操作步骤 高级版操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击指定的实例，进入单个实例管理详情页。 6. 在单个实例管理页面的"基本信息"中，点击“数据同步方式"的“修改"项。 7. 在弹出框界面，选择您想要修改的同步方式，并点击"确定"。 8. 等待系统修改数据库同步完成后，到单个实例管理页查看修改后的"数据同步方式"。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

比较项 Redis 5.0 （基础版） Redis 6.0 Redis 7.0 Redis 2.8 / 4.0 / 5.0 (经典版) 兼容开源版本 Redis 5.0 兼容开源5.0.5版本 Redis 6.0兼容开源6.2.12版本 Redis 7.0兼容开源7.0.14版本 Redis 5.0 兼容开源5.0.5版本 实例类型 单机、主备 Cluster单机、Cluster主备 单机、主备 Cluster单机、Cluster主备读写分离 单机、主备 Cluster单机、Cluster主备 读写分离 单机、主备 集群单机、集群主备 版本类型 基础版 基础版、增强版 基础版、增强版 经典版 实例部署模式 云主机 云主机 云主机 云主机 QPS 单节点约10万QPS 基础版单节点约10万QPS 增强版单节点约22万~30万QPS 基础版单节点约10万QPS 增强版单节点约22万~30万QPS 单节点约10万QPS 公网访问 支持 支持 支持 支持 域名连接 支持 支持 支持 支持 可视化数据管理 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 离线全量key分析 支持 支持 不支持 支持 账号管理 不支持 支持 支持 仅集群支持 SSL管理 不支持 仅基础版支持 仅基础版支持 不支持 扩容/缩容 支持 支持 支持 支持 实例数据迁移 支持 支持 支持 支持 支持多数据库（DB） Cluster集群仅支持1 其他256 Cluster集群仅支持1 其他256 Cluster集群仅支持1 其他256 支持256 备份恢复 支持 支持 支持 支持

本文主要介绍工作负载概述。 工作负载是在Kubernetes上运行的应用程序。无论您的工作负载是单个组件还是协同工作的多个组件，您都可以在Kubernetes上的一组Pod中运行它。在Kubernetes中，工作负载是对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Daemonset、Job、CronJob等多种类型。 云容器引擎CCE提供基于Kubernetes原生类型的容器部署和管理能力，支持容器工作负载部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等生命周期管理。 Pod Pod是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器（container）、存储资源（volume）、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式： Pod中运行一个容器。这是Kubernetes最常见的用法，您可以将Pod视为单个封装的容器，但是Kubernetes是直接管理Pod而不是容器。 Pod中运行多个需要耦合在一起工作、需要共享资源的容器。通常这种场景下应用包含一个主容器和几个辅助容器（SideCar Container），例如主容器为一个web服务器，从一个固定目录下对外提供文件服务，而辅助容器周期性的从外部下载文件存到这个固定目录下。 图 Pod 实际使用中很少直接创建Pod，而是使用Kubernetes中称为Controller的抽象层来管理Pod实例，例如Deployment和Job。Controller可以创建和管理多个Pod，提供副本管理、滚动升级和自愈能力。通常，Controller会使用Pod Template来创建相应的Pod。

本节介绍使用集群联邦实现应用多活容灾。 CCE One集群联邦支持将工作负载的实例分发至多个集群中，避免单集群故障引发业务中断，保障业务连续性。 前提条件 1. 已创建两个及以上的注册集群，具体操作参见 订购注册集群 章节。若已有集群，无需重复操作。 2. 已开通CCE One集群联邦实例。 环境搭建 1. 登录CCE One控制台，在左侧导航栏选择“集群资源” > “集群管理”，进入集群管理界面，确认待操作集群均处于“运行中”状态。 2. 在CCE One控制台左侧导航栏选择“舰队联邦” > “舰队管理”，新建一个容器舰队，并将待操作集群添加至舰队中。 3. 在CCE One控制台左侧导航栏选择“舰队联邦” > “联邦管理”，选择待操作联邦实例，进入联邦管理界面，查看“成员信息”，确认舰队及其下集群已接入联邦。 4. 在联邦管理界面左侧导航栏选择“工作负载” > “无状态”，创建一个nginx无状态负载。 填写负载名称、命名空间、实例数量、容器镜像等信息后，点击”下一步：调度与差异化“。 调度与差异化配置中，调度方式选择“集群权重”，并将两个集群权重设置为1:1。 注意 1. 如果待操作的多个集群位于不同资源池，建议打开“差异化配置”，按集群所在的资源池配置对应容器镜像，避免镜像拉取失败。 2. 配置完成后，点击“创建工作负载”进行创建，等待工作负载运行。

参数 说明 < user > 用户名，即关系型数据库帐号（默认管理员帐号为root）。 < host > 主机IP，在“实例管理”页面单击实例名称，进入“基本信息”页面。在“弹性公网IP”页签查看弹性公网IP（通过连接了公网的设备访问）。 < port > 端口，默认5432，当前端口，即在“实例管理”页面单击实例名称，进入“基本信息”页面，“连接信息”模块的“数据库端口”。 < datastore > 需要连接的数据库名，默认的管理数据库是postgres。

本节介绍如何订阅资产。 操作场景 态势感知（专业版）只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后，资产信息将在每天晚上进行更新。 说明 仅支持订阅和同步云上资产。同时，不建议同一个区域的资产订阅至多个工作空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. 在资产管理页面中，单击页面右上角“资产订阅设置”，右侧弹出订阅资产设置页面。 6. 在订阅资产设置页面中，在需要订阅资产所在的region所在行“是否开通”列开启订阅。 7. 单击页面右下角的“确认”。 订阅后，资产信息将在每天晚上进行更新。

节点类型 功能 master节点 翼MR集群管理节点，负责管理和监控集群。在翼MR管理控制台选择“我的集群”，选中一个运行中的集群并单击集群名，进入集群信息页面。在“节点管理”中查看节点信息。 节点可以通过点击”远程登录“选择界面的VNC方式登录，也可以通过SSH方式登录。 core节点 翼MR集群工作节点，负责处理和分析数据，并存储过程数据。 task节点 翼MR集群计算节点，主要负责计算数据，不存储数据（如HDFS 数据）。默认不开启，按需使用。

本节介绍XstorBrowser简介和功能概述。 XstorBrowser简介 XstorBrowser是媒体存储提供的对象存储图形化管理工具，提供类似Windows资源管理器的功能，支持完善桶管理和对象管理操作。 XstorBrowser对PC机要求如下表所示。 规格项 规格要求 备注 操作系统 Windows 7 Pro SP1 64bit Windows 10 Pro 64bit Windows Server 2008 R2 Enterprise 64bit Windows Server 2016 standard 64bit Mac OS 暂时不支持Linux平台，Windows用户建议使用Windows7及以上版本。 XstorBrowser功能概述 XstorBrowser支持的功能如列表所示。 功能 描述 桶的基本操作 支持对象存储桶的基本操作，包括创建桶、查看桶的基本信息、碎片管理、删除桶等操作。 对象的基本操作 支持对象存储中对象的基本操作，包括新建文件夹、上传对象、列举对象、下载对象、删除对象等。 桶的ACL权限 支持修改桶的访问权限及添加其他用户对该桶的访问权限。 任务管理 主要是对执行的任务按状态进行展示，并提供暂停、删除、继续、重试等基本操作。

本页介绍天翼云TeleDB数据库自主访问权限控制。 权限管理 TeleDB采用三权分立体系，将数据库系统角色分为安全员、审计员和管理员。每个角色都被赋予不同的权限，三个角色相互独立、相互制约，从而消除系统中的超级权限，从系统角色设计上保障数据安全。 安全员 负责独立完成安全策略制定，包括强制访问、脱敏和加密策略。 审计员 负责独立完成审计策略制定，所有操作都可以被审计，包括审计员操作记录。 管理员 具备自主访问控制权限、运维权限，但不可干预安全员和审计员的操作。 TeleDB管控台用户账号密码管理 TeleDB支持对管控台账号进行定期检查，检查内容包括： 兼容四位版本解析。 账号名命名的规范性。 离职用户账号、临时账号是否有及时删除或禁止。 角色权限设置是否合理。 导出近3个月控制台日志，查阅是否有未预估的操作。 独立设置账号权限的，权限范围。 密码设置要求：禁止使用弱密码，密码必须超过8个字符，包含大小写英文字母、数字、特殊字符，其中特殊字符至少3个。 说明 安装完成后，为了确保数据库安全，建议删除管理系统和内核初始账号或修改初始密码。 TeleDB管控台角色管理 您可通过如下操作对角色权限进行管理。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 角色管理 ，进入角色管理页面 3. 创建角色 (1) 在角色管理页面，单击创建角色，出现创建角色弹框。 (2) 在创建角色弹框，输入角色名称，权限类型选择TeleDB，勾选对应的权限，单击确定，完成权限的添加。 4. 编辑角色 单击目标角色所在的编辑按钮，修改对应的权限。 5. 删除角色 单击目标角色所在行的删除按钮，即可删除对应的权限。 6. 查看角色详情 单击目标角色所对应的详情，即可查看该角色所对应的具体权限。 7. 查看角色列表。 您可根据权限名称和角色进行搜索。 说明 权限包括超级管理员、租户管理员、操作员、管理员、只读和自定义。 数据库账号密码管理 账户和密码是连接数据库实例的凭证，客户端凭据账户和密码连接数据库实例时，服务器会判断用户身份，并分发对应的权限给客户端，与管控的账号和密码没有必然联系。 为保证连接实例的账户和密码安全性，有如下安全限制： 账号最多16个字符长度，建议由字母、数字、下划线组成，字母开头，字母或数字结尾。 如设置账号为临时账号，支持设置账号的过期时间，支持限制周期1天、7天、31天、90天以及永不过期。 密码应由864个字符组成，必须包含大小写英文字母、数字、特殊字符，其中特殊字符至少3个。 密码用password()函数转换成长度为40的字符串后存入系统表中，使用安全Hash算法。 系统根据规则提供随机密码。支持切换为弱密码模式，弱密码模式为不存在上述限制要求，该模式开启后存在安全风险，不建议开启。 密码最长使用期限不超过90天，建议每3个月更换一次账号密码。 限制客户端的IP连接方式，支持 IP、IP 段、%三种形式。 限制账户的最大并发连接数，0代表无限制。 限制账号读写方式，根据业务场景选择正常账号、只读账号、DCN读写分离账号。

说明：本章节会介绍关系型数据库的定义以及包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。专属云关系型数据库目前支持以下引擎： MySQL PostgreSQL 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台， 让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 专属云数据库MySQL 专属云（RDSMySQL）是在物理上隔离的专属虚拟化资源池上搭建的RDS服务，专属云内，用户独享专用的服务器/集群，可选择独享存储/网络资源，并可在管理控制台统一管理。 MySQL是目前最受欢迎的开源数据库之一，其性能卓越，搭配LAMP（Linux + Apache + MySQL + Perl/PHP/Python），成为WEB开发的高效解决方案。 云数据库拥有即开即用、稳定可靠、安全运行、弹性伸缩、轻松管理、经济实用等特点。 架构成熟稳定，支持流行应用程序，适用于多领域多行业支持各种WEB应用，成本低，中小企业首选。 管理控制台提供全面的监控信息，简单易用，灵活管理，可视又可控。 随时根据业务情况弹性伸缩所需资源，按需开支，量身订做。

支持审计的关键操作列表 操作事件 字段 同步资产 SYNCASSETS 卸载agent UNINSTALLAGENT 切换版本 SWITCHVERSION 开启防护 OPENPROTECT 关闭防护 CLOSEPROTECT 基线检测 BASELINEDETECT 基线策略管理 BASELINERULEMANAGEMENT 基线白名单管理 BASELINEWHITELISTMANAGEMENT 弱口令检测 WEAKPASSDETECTION 弱口令定时检测设置 WEAKPASSTIMINGDETECTIONSETTING 病毒检测 VIRUSDETECTION 病毒文件操作 VIRUSFILEOPERATION 病毒定时检测设置 PERIODICVIRUSDETECTIONSETTING 漏洞扫描 VULNERABILITYSCANNING 漏洞操作 VULNERABILITYOPERATION 漏洞白名单管理 VULNERABILITYWHITELISTMANAGEMENT 漏洞定时扫描设置 VULNERABILITYTIMINGSCANSETTINGQUERY 异常登录操作 ILLEGALLOGINOPERATION 异常登录白名单管理 ILLEGALLOGINWHITELIST 暴力破解白名单管理 BRUTEFORCEWHITELIST 后门检测操作 BACKDOORDETECTIONOPERATION 后门检测白名单管理 BACKDOORDETECTIONwhitelistmanagement 可疑操作审核 SUSPECTOPERATIONAUDIT 可疑操作自定义规则配置 SUSPECTOPERATIONUSERDEFINEDRULES 网页防篡改告警忽略 TAMPERPROOFALARMIGNORE 网页防篡改防护管理 TAMPERPROOFPROTECTIONMANAGEMENT 网页防篡改配额管理 TAMPERPROOFQUOTAMANAGEMENT 服务器安全卫士配额管理 QUOTAMANAGEMENT 同步资产设置 SYNCASSETSSETTING 用户登录 USERLOGIN 用户下线 USERLOGOUT 修改基本信息 MODIFYBASICINFO 修改密码 MODIFYPASS 用户管理操作 USERMANAGEMENT 资产收集 ASSERTCOLLECTION 安全配置开关配置 SECURITYCONFIGSWITCH 告警中心告警处理 ALERTCENTERHANDLE 告警中心白名单处理 ALERTCENTERWHITE 安全配置异常登录规则配置 SECURITYCONFIGSSH 安全配置暴力破解规则配置 SECURITYCONFIGBRUTE 业务分组配置 BUSINESSGROUP 主机业务分组修改 BUSINESSGROUPMOVE 主机私有IP修改 HOSTIPUPDATE 自动绑定配额开关配置 AUTOBINDQUOTA 主机实例名称修改 EDITDISPLAYNAME 主机删除 HOSTDELETE 告警通知配置 ALERTCONFIG 安全配置防勒索配置 SECURITYCONFIGBLACKMAIL 安全配置自定义检测规则配置 SECURITYCONFIGCHECKRULE 通知联系人配置 ALERTUSERCONFIG 发送联系人验证信息 SENDVERIFYCODE 验证联系人验证信息 CHECKVERIFYCODE 云安全中心配置 CSCLOGCONFIG 文件隔离箱操作 FILEQUARANTINEHANDLE 文件一致性保护配置 INTEGRITYPROTECTIONCONFIG 文件一致性保护事件处理 INTEGRITYPROTECTIONHANDLE 安全配置端口蜜罐配置 SECURITYCONFIGPORTSCAN 安全配置webshell配置 SECURITYCONFIGWEBSHELL 基线检测应用凭证配置 APPPROOFRULE IP拦截记录处理 IPBLOCKHANDLE

本章节主要介绍如何跨源认证权限管理。 操作场景 通过跨源认证的用户授权，可设置分配不同的跨源认证，且不同用户的作业不影响跨源认证的使用。 使用须知 管理员用户和跨源认证的所有者拥有所有权限，不需要进行权限设置且其他用户无法修改其跨源认证权限。 给新用户设置跨源认证权限时，该用户所在用户组具有Tenant Guest权限。 跨源认证用户授权 1. 登录DLI管理控制台。 2. 单击“跨源管理 > 跨源认证”。 3. 选择要进行授权的跨源认证，单击操作列“权限管理”进入开源认证的用户权限信息页面。 4. 单击页面右上角“授权”可对当前的跨源认证新增用户授权。 用户授权参数说明 参数名称 描述 用户名 被授权的IAM用户的名称。 说明 该用户名称是已存在的IAM用户名称。 权限设置 使用：使用该跨源认证。 更新：更新该跨源认证。 删除：删除该跨源认证。 赋权：当前用户可将跨源认证的权限赋予其他用户。 回收：当前用户可回收其他用户具备的该跨源认证的权限，但不能回收该跨源认证所有者的权限。 查看其他用户具备的权限：当前用户可查看其他用户具备的该跨源认证的权限。 修改当前用户的权限 1. 登录DLI管理控制台。 2. 单击“跨源管理 > 跨源认证”。 3. 选择要进行授权的跨源认证，单击操作列“权限管理”进入开源认证的用户权限信息页面。 4. 单击操作列的“权限设置”，修改当前用户的权限。详细权限描述如上表所示。 说明 当“权限设置”中的选项为灰色时，表示您不具备修改此跨源认证权限的权限。可以向管理员用户、组所有者等具有赋权权限的用户申请“跨源认证的赋权”和“跨源认证权限的回收”权限。 如需回收当前用户的全部权限，可单击操作列的“回收”，该子用户将不具备该跨源认证的任意权限。

本章节主要介绍管理控制台审计日志。 本章节包含如下内容： 开启审计服务。 关闭审计日志。 支持审计的关键操作列表。 查看审计日志。 开启审计服务 使用云审计服务前需要开启云审计服务，开启云审计服务后系统会自动创建一个追踪器，系统记录的所有操作将关联在该追踪器中。目前，一个云账户系统仅支持创建一个追踪器。 1. 登录管理控制台，选择“服务列表 > 管理与监管 > 云审计服务”，进入云审计服务信息页面。 2. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 3. 开启云审计服务。 如果您是首次使用云审计服务，在追踪器列表中还没有已创建的追踪器，则请参考《云审计服务用户指南》中的“入门 > 开启云审计服务”开启云审计服务。 如果您已开通过云审计服务了，开通时系统已为您自动创建了一个管理事件追踪器，管理事件追踪器只能有一个且不可删除。您也可以自行创建数据事件追踪器，详细内容请参见《云审计服务用户指南》中的“管理追踪器 > 创建追踪器”。 关闭审计日志 如果用户想关闭审计日志，需要在云审计服务中停用追踪器。 1. 登录管理控制台，选择“服务列表 > 管理与监管> 云审计服务”，进入云审计服务信息页面。 2. 通过停用追踪器，关闭审计日志。如需重新开启审计日志，只要启用追踪器即可。 有关停用/启用追踪器的更多信息，请参考《云审计服务用户指南》中的“管理追踪器>停用/启用追踪器”章节。

操作说明 添加加速域名 登录客户控制台，在左侧导航栏单击【域名管理】【域名列表】，进入域名列表页面，单击【添加域名】。 第一部分：域名基础信息配置，请参考如下说明： 功能 说明 对应说明文档 加速域名 1.加速域名为需要使用加速服务的域名，支持泛域名。 2.在添加加速域名环节，需您先通过域名归属权验证，证明您拥有该域名的使用权，才能完成域名添加。 添加加速域名、验证域名归属权 加速类型 依据业务特性，选取合适的加速类型。 加速类型 域名类型 天翼云全站加速产品提供三种业务类型的加速：全站加速、上传加速、websocket加速，您可以在添加域名时选择不同的域名类型来对不同的业务进行加速。 域名类型 加速区域 支持选定期望的加速区域，或切换加速区域，达到变更CDN服务区域的目的。 加速区域 IPv6开关 开启IPv6功能后，您可以在客户端通过IPv6协议访问CDN节点。 IPv6配置 HTTPS开关 开启HTTPS协议，将实现客户端和天翼云CDN节点之间请求的HTTPS安全加密传输。 HTTPS配置 HTTPS证书上传 您可以选择已经上传过的证书，或者“点击上传”新证书再选用该新证书。 新增证书 HTTP2开关 如果您的业务中需要用到多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，可启用HTTP2。 HTTP2.0配置 配置TLS协议版本 您可以按需选择具体的TLS版本。 TLS协议版本 缓存设置 合理设置缓存规则，可以提高您的文件的加速效果。 缓存过期时间 IP黑白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 IP黑白名单 Referer防盗链 配置Referer黑白名单后，CDN会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，CDN会返回资源链接；拒绝访问请求，CDN会返回403响应码。 Referer防盗链 UA黑白名单 配置UA黑白名单后，CDN会识别HTTP请求中的UserAgent字段中包含的部分信息（标志访客访问时所使用的工具），允许或拒绝访问请求。允许访问请求，CDN会返回资源；拒绝访问请求，CDN会返回403响应码。 UA黑白名单 第二部分：源站配置 全站加速节点在无缓存时，会回源站（本实践中特指媒体存储【即对象存储（融合版）】）拉取资源并缓存。源站相关配置说明，请参考如下： 功能 说明 对应说明文档 源站 支持IP或域名，最多可添加60个。本实践中，源站类型请选择 【媒体存储源站】，否则配置私有Bucket回源功能将无效。 源站配置 回源协议 支持设置CDN在回源时遵循的协议类型。 回源协议 源站端口 支持设置您特定的源站端口，HTTP默认80，HTTPS默认443。 回源端口 回源HOST 当您的源站的同一个IP地址上绑定了多个域名或站点时配置回源HOST，CDN在回源时根据HOST信息去对应站点获取资源。 回源HOST 1. 在源站地址中填入已经配置好的存储桶 ，即Bucket域名（回源域名）。 2. 根据源站支持情况，选择回源请求协议。 3. 按需填写回源HOST。 4. 如新建Bucket时，【权限】选择的是私有，则只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。可通过客户控制台，在【域名管理】【域名列表】【编辑】【回源配置】【私有Bucket回源】添加AK(Access Key），SK(Secret Access Key)等信息。 注意 私有Bucket的AK、SK一旦授权给全站加速，用户可以通过全站加速访问到私有Bucket内容，如在媒体存储【即对象存储（融合版）】中的资源较为敏感，请单独为全站加速创建一个独立的AK/SK，仅授权全站加速可访问的内容，避免源站信息泄漏。 5. 当完成添加域名页面所有配置后，单击【保存】，请耐心等待域名配置下发部署至全网节点，自助配置生效时间约510分钟。