本文为您介绍实例开通时，勾选备份机导致开通实例失败的问题现象、原因和解决方案。 问题现象 提交工单后，在工单管理中显示实例施工失败。 原因分析 勾选备份机导致开通实例失败。 解决方案 去勾选备份机，重新提交工单。

本文为您介绍实例开通时，勾选备份机导致开通实例失败的问题现象、原因和解决方案。 问题现象 提交工单后，在工单管理中显示实例施工失败。 原因分析 勾选备份机导致开通实例失败。 解决方案 去勾选备份机，重新提交工单。

本文为您介绍实例开通时，勾选备份机导致开通实例失败的问题现象、原因和解决方案。 问题现象 提交工单后，在工单管理中显示实例施工失败。 原因分析 勾选备份机导致开通实例失败。 解决方案 去勾选备份机，重新提交工单。

本章节介绍如何删除、编辑云原生API网关的服务 概述 云原生API网关支持将请求转发的预定义的目标服务，本章节介绍云原生网关中的服务生命周期管理。 服务详情 1. 进入云原生API网关控制台。 2. 在顶部菜单栏选择资源池。 3. 单击左侧导航栏实例 > 进入实例概览。 4. 单击左侧导航栏服务 > 服务标签页。 5. 点击目标服务的名称，进入服务详情页。 1. 固定地址服务类型等服务详情页包括，服务基本信息、服务地址、服务策略、服务健康检查等信息。 2. 容器服务来源类型、MSE注册配置中心服务来源类型的服务，详情页包含服务的版本管理，可新增、删除服务版本。 编辑服务 云原生API网关支持对已添加的服务进行编辑，本章节介绍服务编辑功能。 操作步骤 1. 进入云原生API网关控制台。 2. 在顶部菜单栏选择资源池。 3. 单击左侧导航栏实例 > 进入实例概览。 4. 单击左侧导航栏服务 > 服务标签页。 5. 点击目标服务的编辑操作，在编辑配置页按需修改。 当前允许编辑的服务选项包括： 固定地址服务节点的地址、端口、权重、优先级 请求协议 mTLS配置 DNS域服务的域名、端口 容器服务安装、卸载Ingress Controller 删除服务 前提条件 没有路由在引用要删除的服务（先删除引用当前服务的路由） 操作步骤 1. 进入云原生API网关控制台。 2. 在顶部菜单栏选择资源池。 3. 单击左侧导航栏实例 > 进入实例概览。 4. 单击左侧导航栏服务 > 服务标签页。 5. 点击目标服务的删除操作，点击确认。

本章节介绍CNI插件的使用 背景 sidecar模式下，服务网格默认通过给业务pod注入一个istioinit容器配置iptabels规则，实现业务无感的流量拦截，但是这种配置方式需要较高的权限（NETADMIN 和 NETRAW），在对安全较为敏感的场景，这种配置方式可能带来安全风险。通过CNI插件方式，不需要用户提权的情况完成和istioinit相同的能力，实现容器流量拦截配置功能。CNI插件以DaemonSet方式部署在集群中，创建pod时完成容器网络配置。 操作 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，您可以选择对应的istio版本和相关配置，开启或关闭CNI插件，配置说明如下 配置 说明 版本 升级过程中可能同时存在多个版本，您可以选择一个版本开启CNI插件 排除的命名空间 排除的命名空间下的pod不会被CNI插件处理，一般配置为一些不希望注入网格sidecar的命名空间。请勿将需要注入sidecar的命名空间添加到CNI排除的命名空间列表中，可能导致pod启动失败。 使用CNI插件实现sidecar流量拦截配置 1. 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，开启网格CNI插件，完成后可以看到云容器引擎中已经部署了网格CNI 2. 部署应用服务，确保pod所在的命名空间及pod的标签满足sidecar注入规则，且pod所在的命名空间不在网格CNI插件的排除命名空间里；部署完成后可以看到pod注入了sidecar plaintext

本章节介绍云原生网关管理类常见问题 云原生网关支持哪些服务来源？ 云原生网关当前支持从天翼云Nacos注册中心或者云容器引擎集群发现服务；添加完服务来源之后，可以从Nacos或者云容器引擎指定命名空间中发现服务，配置为网关代理转发的目标服务；网关通过监听指定namespace下的服务，实时动态感知服务节点列表变化，实现网关的动态路由转发能力。 为什么添加服务来源的时候只能看到部分Nacos或者云容器引擎实例？ 云原生网关属于某一个指定的vpc网络，选择Nacos或者云容器引擎作为服务来源时会过滤集群列表，只能选择和当前网关同一vpc下的集群作为服务发现来源。 云原生网关如何支持https访问？ 通过域名管理功能可以配置访问域名，对于有https访问需求的场景，可以配置域名的https证书；通过网关节点的27154端口或者外部ELB的https端口（需要配置转发规则转发到网关的27154端口）访问，实现https加密通信。 路由配置支持哪些匹配规则？ 当前路由支持根据请求的域名、路径、HTTP方法、header、query匹配；路径匹配支持精确匹配和前缀匹配，对于前缀匹配/abc可以匹配请求/abc，/abcd/ef，/abc/def/cc。 一个请求同时匹配到多个路由时，最终会使用哪条路由规则？ uri精确匹配优先级最高；对于多个uri前缀匹配同时命中的情况，匹配深度较高的优先；相同uri的路由，如果存在其他匹配条件，则优先按其他条件匹配；其他条件也都同时匹配的情况下，优先级数字较大的路由优先匹配。

注意事项 1. 最多支持创建5条定时策略或1条监控指标策略，两种策略不能同时使用。 2. 弹性策略启用时，请勿进行手动管理应用生命周期操作，请停用弹性策略后，再执行。 3. 执行应用变更（如应用扩缩、变更规格等）时，无法添加弹性策略。 4. 单条定时策略内的两个邻近时间间隔须大于5分钟。 5. 缩容时，会有5分钟的冷却时间。 6. 短期策略的周期与长期策略的周期有交集时，短期策略覆盖长期策略。非交集部分执行各自逻辑。 功能入口 1. 登录CAE控制台，选择目标地域，在左侧导航栏选择应用管理 > 应用列表，然后选择目标命名空间，最后单击目标应用名称。 2. 在目标应用的基础信息页面，单击弹性伸缩页签，进入弹性伸缩功能页。 创建定时策略 1. 在弹性伸缩功能页，点击“添加弹性策略”。 2. 在弹窗中，策略类型选择“定时策略”。 3. 填写定时策略相关配置，点击“确定”完成创建。 4. 在定时策略列表页，找到刚才创建的定时策略，点击“启用”，完成弹性策略的启用。 配置项 说明 示例 规则名称 自定义。 testcron 策略类型 选择定时策略。 定时策略 是否长期 根据业务需求选择。 短期 选择时间 策略生效的起始日期，短期时需要选择。 20260203 至 20270203 时区 选择策略生效的时区。 Asia/Shanghai 周期 策略生效周期。支持每天、每周、每月。 每天。 单天触发时间 有效期内、周期内，单天触发的扩缩容时间。 08:00 目标实例数：10

本节介绍如何查看API列表及API详情。 在API列表页面，可查看已添加的API资产。 查看API列表 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在页面左侧，展示了所有防护对象信息（不包括泛域名、ELB防护对象），支持选择“所有防护对象”或选择单个域名站点，在右侧API列表中查看对应防护对象的详细数据列表。 选择“所有防护对象”，页面右侧展示所有的API资产。 选择单个域名站点，页面右侧展示选中的域名站点API资产。 6. API列表页面上方展示了所选防护对象的API资产统计信息。 API数：统计已识别的API资产数量。 今日新增：统计自然时间今日新增的API数量。 活跃API：统计活跃API数量。 失活API：统计失活API数量。 7. 搜索目标API资产：可通过最近活跃时间、请求方法、生命周期、来源、业务用途、API路径进行搜索。 最近活跃时间：根据API资产最近活跃时间对API资产进行过滤，支持昨天、今天、近3天、近30天，或自定义时间范围。默认选中今天。 请求方法：支持多选。 生命周期：支持多选。 来源：单选。 业务用途：支持多选。 API路径：支持模糊匹配。 8. 查看API列表，列表中字段说明如下。 参数 说明 API名称 API的自定义名称。单击API名称链接，可[查看API详情](

API网关提供环境变量功能，通过创建环境变量，实现在不同的环境定义不同的API调用路径。 环境变量是指在环境上创建可管理的一种变量，该变量固定在环境上。通过创建环境变量，实现同一个API，在不同环境中调用不同的后端服务。 当创建API时定义了变量标识，则需要在环境中添加变量。例如创建API时定义了变量名为“Path”，在环境1中创建了变量名“Path”，变量值“/Stage/test”，则API在发布到环境1时，使用“/Stage/test”代替“Path”，API调用者在环境1中调用此API时，后端服务请求Path为“/Stage/test”。在环境2中创建了变量名“Path”，变量值“/Stage/AA”，则API在发布到环境2时，使用“/Stage/AA”代替“Path”，API调用者在环境2中调用此API时，后端服务请求Path为“/Stage/AA”。 图 环境变量示意图 操作步骤 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API分组”。 步骤 4 单击 分组名称 。 步骤 5 单击“分组信息”页签。 步骤 6 在“环境变量”区域，选择环境。如果未创建环境，可单击“创建环境”创建。 步骤 7 单击“添加环境变量”，填写变量信息。 注意 在实际发送API请求中，环境变量名称与变量值会明文传递，请勿携带隐私信息。 表 新增变量 信息项 描述 变量名 变量的名，称必须与创建API时定义的变量标识完全相同。 变量值 变量路径。 步骤 8 单击“确定”，创建完成。

使用限制 请在低业务负载时间段进行滚动重启操作。 −例如：在滚动重启kafka服务时候， 如果kafka服务业务吞吐量很高（100M/s以上的情况下），会出现kafka服务滚动重启失败的情况。 −例如：在滚动重启HBase服务时候，如果原生界面上每个RegionServer上每秒的请求数超过1W，需要增大handle数来预防重启过程中负载过大导致的RegionServer重启失败。 重启前需要观察当前hbase的负载请求数（原生界面上每个rs的请求数如果超过1W，需要增大handle数来预防到时候负载不过来） 在集群Core节点个数小于6个的情况下，可能会出现业务短时间受影响的情况。 请优先使用滚动重启操作来重启实例或服务，并勾选“仅重启配置过期的实例”。 滚动重启服务 1.选择“集群列表 > 现有集群”，单击集群名称进入集群详情页面。 2.单击“组件管理”，选择需要滚动重启的服务，进入服务页面。 3.在“服务状态”页签单击“更多”，选择“滚动重启服务”。 4.弹出“滚动重启服务”页面，勾选“仅重启配置过期的实例”，单击确定，开始滚动重启服务。 5.滚动重启任务完成后，单击“完成”。 滚动重启实例 1.选择“集群列表 > 现有集群”，单击集群名称进入集群详情页面。 2.单击“组件管理”，选择需要滚动重启的服务，进入服务页面。 3.在“实例”页签，勾选要重启的实例，单击“更多”，选择“滚动重启实例”。 4.弹出“滚动重启实例”页面，勾选“仅重启配置过期的实例”，单击确定，开始滚动重启实例。 5.滚动重启任务完成后，单击“完成”。

问题描述 外网访问“弹性云主机1”的弹性IP和某个端口，可以自动跳转到“弹性云主机2”的弹性IP和某个端口。 Windows操作系统 假定需要通过“弹性云主机1”（192.168.10.43）的8080端口连接“弹性云主机2”（192.168.10.222）的18080端口，则需要在弹性云主机1执行如下操作。 请确保云主机的安全组、防火墙已放通对应的端口。 请确保已关闭“源/目的检查”。 1. 在云主机详情页面，选择“网卡”页签，并展开，将“源/目的检查”选项设置为“OFF”。 默认情况下，“源/目的检查”状态为“启用”，系统会检查弹性云主机发送的报文中源IP地址是否正确，否则不允许弹性云主机发送该报文。这有助于防止伪装报文攻击，提升安全性。但在该场景中，这种保护机制会导致报文的发送者无法接收到返回的报文。因此，需设置“源/目的检查”状态为禁用。 2. 打开cmd窗口执行命令。本例以Windows 2012操作系统云主机为例。 netsh interface portproxy add v4tov4 listenaddress192.168.10.43 listenport8080 connectaddress192.168.10.222 connectport18080 如果想取消上面配置的端口转发，可执行如下命令。 netsh interface portproxy delete v4tov4 listenaddress192.168.10.43 listenport8080 3. 执行如下命令可查看服务器配置的全部端口映射。 netsh interface portproxy show v4tov4 图 Windows操作系统云主机端口映射 4. 打开IP转发功能。 a. 在“运行”输入字母“regedit”打开注册表编辑器。 b. 定位以下注册表项： HKEYLOCALMACHINESYSTEMCurrentControlSetServicesTcpipParameters c. 选择项目IPEnableRouter，设置值为1 默认为0表示未开启IP转发功能，设置为1表示打开IP转发功能。 d. 在cmd命令窗口执行gpupdate/force更新组策略。 Linux操作系统 以登录为例，登录“弹性云主机1”的1080端口自动跳转访问“弹性云主机2”的22端口。 弹性云主机1的私网IP：192.168.72.10；弹性IP：123.xxx.xxx.456。 弹性云主机2的私网IP：192.168.72.20。 步骤 1登录Linux弹性云主机1。 1. 执行如下命令，修改文件。 vi /etc/sysctl.conf 2. 在文件中添加 net.ipv4.ipforward 1 3. 执行如下命令，完成修改。 sysctl p /etc/sysctl.conf 步骤 2在“iptables”的“nat”表中添加规则，执行如下命令，通过弹性云主机1的1080端口映射到弹性云主机2的22端口。 iptables t nat A PREROUTING d 192.168.72.10 p tcp dport 1080 j DNAT todestination 192.168.72.20:22 iptables t nat A POSTROUTING d 192.168.72.20 p tcp dport 22 j SNAT to 192.168.72.10 步骤 3验证配置是否生效，执行如下命令，登录弹性云主机1的1080端口。 ssh p 1080 123.xxx.xxx.456 图 Linux操作系统云主机端口映射 输入密码后登录到弹性云主机2，弹性云主机2的主机名为ecsinner。 图 登录到弹性云主机2

添加授权地址操作步骤 本章节介绍如何通过控制台完成添加授权地址进行权限管理。 如果您想通过API调用完成文件系统权限管理，请参考《弹性文件服务API参考》的“创建权限规则”章节。 1. 登录弹性文件服务管理控制台。 2. 在SFS Turbo文件系统列表中，找到待添加授权地址的SFS Turbo文件系统并单击目标文件系统名称，进入文件系统详情界面。 3. 在“权限列表”页签，单击“添加”。 4. 在“添加授权地址”弹窗内，参考下表完成授权地址的添加。 说明 一个文件系统最多可以配置64条权限规则，单次最多可新增5个授权地址。 5. 参数 说明 授权地址 只能输入一个的IPv4/IPv6的IP或网段。 关于IPv4和IPv6的说明如下： IPv4：输入的IPv4地址/地址段必须合法，且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段，其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时，不能为127以及224~255开头的IP地址或地址段，例如127.0.0.1，224.0.0.1，255.255.255.255，因为以224239开头的IP地址或地址段是属于D类地址，用于组播；以240255开头的IP地址或地址段属于E类地址，用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。 如果要表示一个地址段，如192.168.1.0192.168.1.255的地址段应使用掩码形式：192.168.1.0/24，不支持192.168.1.0255等其他地址段表示形式。掩码位数的取值为0到31的整数，且只有为0.0.0.0/0时掩码位数可取0，其他情况均不合法。 IPv6：输入的IPv6地址/地址段必须合法。例如2407:c080:1200:2075::/64是一个IPv6地址段，2001:db8:a583:6e::5c是一个IPv6地址。 网段类型请参见[网段类型](

设置账号策略 完成基本信息设置后，可对当前子用户，进行策略绑定，默认继承当前部门的策略，并且支持自定义权限绑定和复用权限。 自定义权限包含了系统策略及自定义策略，也支持从当前页面跳转至编辑策略模块，详细说明见【访问管理策略管理】。 复用权限支持选择其他子用户已绑定的权限，并同步至当前创建的子用户进行生效。 创建完成子账户后，将显示用户名和密码，用户可以复制或下载登录信息。 注意 下图页面只显示一次。 子用户列表 子用户管理页面可以在左侧树状目录查看当前的部门结构，支持对部门及子部门进行添加、修改和合并等操作。选中部门或子部门后在右侧展示目录层级下的用户列表，可查看用户的关联信息、权限及绑定关系，并且支持编辑、重置密码和删除等操作。 点击【查看权限】可查看子用户权限/资源映射关系。 点击【查看绑定关系】可查看子用户与策略的绑定关系，支持解绑和编辑操作。 点击【更多详情】可查看子用户的详细信息，包含手机、邮箱、访问方式和登录链接等。 点击【复制登录链接】可复制子用户的登录链接提供给对应人员使用。 点击【更多重置密码】可通过输入新的密码重置该子用户的密码。 支持删除子用户。

本节介绍管理员可以在安全组中定义各种访问规则，以及管理安全诅。 操作场景 云手机如果需要加强安全防护，实现访问控制，则需要管理员在安全组中定义各种访问规则，当云手机加入该安全组后，即受到这些访问规则的保护。 新增安全组 1.进入“云手机”控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.单击“新增安全组”，弹出“添加安全组”对话框； 4.设置出方向和入方向的访问控制； 5.确认相关的配置信息，点击“确定”，即完成安全组的新增。 删除安全组 当需要删除指定安全组时，如果该安全组已绑定策略使用，则需要先从策略管理中解除该安全组的绑定。 1.进入“云手机”控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要删除的安全组所在行，单击“删除”。弹出“安全组删除”对话框； 4.单击“确定”，安全组即删除成功。 配置规则 当需要修改定安全组配置规则时，可以进行安全组规则的添加、修改、删除。 1.进入“云手机”控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要修改的安全组所在行，单击“配置规则”。进入“安全组详情”页面； 4.在“安全组详情”页面，管理员可以对已有规则进行”修改“或”删除“； 5.在“安全组详情”页面，管理员可以单击”添加规则“，弹出“添加方向规则”对话框，进行规则配置； 6.单击“确定”，即可以完成安全组规则修改。

本节主要介绍怎么退订OOS资源包。 资源包退订的步骤： 1. 进入资源包退订页面。 2. 资源包退订。 进入资源包退订页面 进入资源包退订页面有两种方式： 方式1：通过官网管理中心 点击“管理中心”>“资源管理”>“资源包”>“OOS资源包”，选择需要退订的资源包，点击“操作”列的“退订”，即可跳转到退订页。 方式2：通过OOS控制台 登录OOS控制台，点击“资源包管理”按钮，即可看到已订购的资源包。选择需要退订的资源包，点击“操作”列的“退订”，即可跳转到退订页。 资源包退订 进入退订页后，核对需要退订的资源包，选择退订原因，并勾选“我已确认本次退订金额和相关费用”，点击“退订”。 点击“退订”后，弹出提示框，可以根据提示框，点击“查看订单”或者“返回列表”。

本节介绍了使用最新版本数据库的相关内容。 MySQL社区有新发CVE漏洞时，会及时分析漏洞的影响，依据漏洞实际风险的影响大小决定补丁发布计划。建议及时升级修复，避免漏洞影响数据的安全。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击主实例名称。 步骤 5 在“基本信息”页面的“数据库引擎版本”处，单击“补丁升级”。 步骤 6 在弹出框中，选择升级方式，单击“确定”。 立即升级：系统会立即升级您的数据库内核版本到当前最新版本。 可维护时间段内升级：系统会在您设置的可维护时间段内，升级您的数据库内核版本到当前最新版本。 结束

本节主要介绍产品优势 数据管理服务支持MySQL等类型主流版本实例管理。提供优质的可视化操作界面，大幅提高工作效率，让数据管理变得既安全又简单。 随时随地 使用Web界面呈现，无需安装本地客户端，随时随地可用。 内核源码优化 围绕运维痛点，对内核进行优化和加强，提供了诸如连接被打满时的数据库紧急运维能力、全量SQL语句的记录和分析能力等。 操作安全保障 内置安全保护措施，有效保障数据库的稳定运行，让用户操作起来更安心。例如：用户执行一个慢SQL时，DAS会自动设置超时机制，防止因慢SQL执行时间过久而导致的数据库性能抖动。 特性丰富 DAS提供更多高级特性，例如：SQL语句诊断、SQL任务定时执行、10G容量的数据导入导出、跨实例的数据库表结构同步，支持MySQL等多种数据库类型。

安全管理中心将自动检测系统中是否存在可疑或恶意登录，对未出现在白名单中的用户登录进程进行拦截提示。 查看方法 1.点击【系统管理】→【白名单列表】，创建白名单策略后，选择在需要重点防御的服务器中应用该策略。 2.点击【白名单列表】→【添加IP】，在弹出的编辑框中填上IP地址、用户账号，确认提交，自动同步加载更新时间。 3.可点击右侧【操作】→【编辑】，对白名单用户进行编辑，更改账号信息，同步更新时间。 4.可选择【批量删除】，对白名单进行管理，点击【确定】即可删除（删除后该账号不被IP地址所限制）。

如何使用CTIAM创建子账号进行分权管理。 场景说明 有些客户在开通天翼云云点播产品后，出于分工管理或者多部门共用的需要，希望可以开通多个子用户共同使用云点播。其中的角色分工可能包含管理员、各项目的运营方等。其中各角色的主要职能如下： 管理员：拥有全局管理权利。 运营方：负责配置转码工作流，上传媒资内容，并获取播放链接地址发布在点播网站上。但运营方只能操作自己存储桶的文件，配置自己的专属工作流，不能修改其他运营方的转码配置。 多人开发如果使用同样的权限和账号密码，很容易造成误删、误操作的动作影响整体的业务安全。同时多人分享账号密码也容易造成密码泄露。因此需要有一套主子账号机制，给每个角色分配不同的权限，以实现各自职能并保障安全。 前提条件 已经在天翼云完成实名注册认证，获得了天翼云账号。 已经开通天翼云云点播产品。 当前配置人员具备主账号权限。 总体实施步骤 总体实施步骤一共分为三步： 1. 创建资源。 2. 创建子用户。 3. 为子用户赋予相对应的权限。 创建资源 1. 首先，具备主账号权限的管理员（以下简称“管理员”）需要首先登录云点播控制台。新建一个点播实例。 创建子用户 1. 打开统一身份认证服务，使用您在天翼云官网注册的登录凭证作为主账号进行登录。如下图所示： 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。点击【创建用户】可创建一个新的子用户。如下图所示： 说明 CTIAM创建的子用户同时可能拥有多个产品的操作权限。因此，您可以为每个子用户配置多个天翼云产品的管理权限，而无需按照为每个产品的单独设置一个子用户。 3. 在创建用户的页面，您可根据界面提示设置子用户的名称、联系方式等。需要注意的是：（1）如您需要后续授权该子用户使用云点播控制台，则应将【控制台访问】的选项选中。（2）子用户可使用手机号码、邮箱（如有）作为登录凭证，请确保这两项凭证在当前天翼云租户下的唯一性。（3）云点播尚未对接CTIAM的用户组能力，建议在创建新的子用户时，暂不要将该子用户纳入用户组，以免造成后续不可预知的问题。相关要点如下图所示： 4. 至此，您已在CTIAM下创建了一个新的子用户。但该子用户尚未具备云点播产品的任何权限，因此无法登录和使用云点播任何能力。您还需对该子用户赋予云点播相关权限，详情可查看本文【子用户授权】章节。 5. 关于创建子用户的更多详细操作可以查看教程创建IAM用户。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见“支持云审计的CFW操作列表”。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见“支持云审计的CFW操作列表”。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

以IAM用户的方式访问OOS 一个账户可以建立多个子用户，您可以通过IAM为不同的操作人员创建独立的IAM子用户。根据操作人员的职能范围，授予相应的管理权限。同时建议您也为根用户创建子用户，并授予该子用户管理权限，使用该用户进行日常管理工作，保护账户安全。 创建IAM用户详见IAM用户、或用户管理接口。 创建IAM用户后，您可以根据IAM用户进行分组及附加权限，可以参考用户管理。 对子用户启用多因子认证（MFA） 多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。 启用多因子认证可以参考MFA。 STS临时授权访问OOS STS（Security Token Service）是为云计算用户提供临时访问令牌的Web服务。通过STS，可以为第三方应用或用户颁发一个自定义时效的访问凭证。第三方应用或用户可以使用该访问凭证直接调用OOS API，或者使用OOS提供的SDK来访问OOS API。 OOS可以为用户提供临时访问密钥，详见GetSessionToken。 Bucket Policy Bucket Policy用于定义OOS资源的访问权限。通过Bucket Policy，您可以授权另一个账号访问或管理整个Bucket或Bucket内的部分资源，或者对同账号下的不同IAM用户授予访问或管理Bucket资源的不同权限。 配置Bucket Policy时，建议遵循权限最小化原则，降低数据的安全风险： 避免授权整个Bucket 资源授权过大容易导致用户数据被非法访问，所以请避免授权整个Bucket。 不授权匿名访问 允许匿名访问意味着用户只需要知道Endpoint和Bucket名称就可以访问OOS数据，而Endpoint是可以枚举的，Bucket名称也可以从已授权的访问文件URL中提取。由此可见，授权允许匿名访问会带来极大的安全风险。 设置合理的Action 通过控制台Bucket“属性”>“安全策略”配置Bucket Policy，在Action中授权您业务需求中必须的接口权限，给予授权用户最小的权限。 使用HTTPS访问 使用HTTPS访问可以解决网络中间人攻击以及域名劫持等问题，使访问更加安全。 限定源IP 如果访问OOS资源的IP地址是固定的，强烈建议配置Condition中IP Address的ctyun:SourceIp条件键，设置访问IP的白名单/黑名单。 对Bucket设置防盗链 通过对访问来源设置白名单/黑名单的机制，避免OOS资源被其他人盗用。 防盗链通过请求Header中的Referer地址判断访问来源。当浏览器向Web服务器发送请求的时候，请求Header中将包含Referer，用于告知Web服务器该请求的页面链接来源。OOS根据浏览器附带的Referer与用户配置的Referer规则来判断允许或拒绝此请求，如果Referer一致，则OOS将允许该请求的访问；如果Referer不一致，则OOS将拒绝该请求的访问。 示例1：examplebucket的权限为私有，通过Bucket Policy授予名为username1的IAM用户，仅能使用IP地址192.168.143.0/24、Referer为< { "Version":"20121017", "Id":"http referer policy example", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "CTYUN":"arn:ctyun:iam::accountId:user/username1"}, "Action":"oos:GetObject", "Resource":"arn:ctyun:oos:::examplebucket/1", "Condition":{ "StringLike":{ "ctyun:Referer":[ " " ] }, "Bool": { "ctyun:SecureTransport": "true" }, "IpAddress" : { "ctyun:SourceIp":"192.168.143.0/24" } } } ] } 示例2：如果examplebucket的权限为公共读写，通过Bucket Policy限制：仅Referer为< { "Version":"20121017", "Id":"", "Statement":[ { "Sid":"", "Effect":"Deny", "Principal":{ "CTYUN": [""] }, "Action":"oos:", "Resource":"arn:ctyun:oos:::examplebucket/", "Condition":{ "StringNotLike":{ "ctyun:Referer":[ " " ] } } } ] }

参数 描述 数据库类型 备份文件的数据库类型，选择Microsoft SQL Server。 备份文件来源 选择OBS自建桶。 桶名 选择备份文件所在的桶名，以及该桶目录下的备份文件。 说明 Microsoft SQL Server的备份文件需要选择OBS桶目录下“.bak”格式的文件名，且可以同时选择多个备份文件。不支持将一个库分割成不同文件上传。该桶的桶名、备份文件名或者路径中不能包含中文。 标签 可选配置，对迁移任务的标识。使用标签可方便管理您的迁移任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见3.5 标签管理。

主机组是为了便于分类管理、提升配置多个主机日志采集的效率，对主机进行虚拟分组的单位。云日志服务支持通过一个接入配置来采集多台主机上的日志，您可以将这些主机加入到同一个主机组，并将该主机组关联至对应的接入配置中，方便您对多台主机日志进行采集。 当用户扩容主机时，只需在主机组中添加主机，该主机会自动继承关联的日志路径，无需为每台主机重复配置路径。 当用户修改多个主机采集路径时，只需修改对应的主机组关联的路径，无需为每台主机重复配置路径。 创建主机组（IP地址） 1. 登录云日志服务管理控制台，单击“主机管理”，进入主机管理页面，单击右上角“新建主机组”。 2. 在弹出的新建主机组页面，输入“主机组名称”，选择主机类型“Linux主机”或“Windows主机”。 3. 在列表中选择需要加入该主机组的主机，单击“确定”，完成主机组的创建。 可以通过主机名称或主机IP对列表进行过滤，也可以单击，并在弹出的搜索框中输入多个主机IP，进行批量搜索。 当列表中没有所需主机时，单击“安装ICAgent”，在弹出的页面安装指引完成主机安装。 创建主机组（自定义标识） 1. 在主机管理页面，单击右上角“新建主机组”。 2. 在弹出的新建主机组页面，输入“主机组名称”，选择主机组类型“自定义标识”。 说明 1. 自定义标识的主机组仅支持Linux类型的主机。 2. 单击“了解采集路径填写规则”，可查看详细的采集路径规则。 3. 单击，添加自定义标识。 说明 最多可添加10个自定义标识。 4. 完成后，单击“确定”。 5. 执行以下操作创建customtag文件。 1. 执行“cd /opt/cloud”命令，在cloud目录下，执行mkdir lts 创建lts目录。 2. 继续执行“chmod 750 lts”，修改lts目录权限。 3. 在lts目录下执行“touch customtag”，创建customtag文件 。 4. 继续执行“chmod 640 customtag;vi customtag”命令，修改customtag权限并打开该文件。 5. 按i进入insert模式，键入自定义标识后，按ESC键，“:wq!”保存退出即可。 说明 执行5之后，支持以下两种方式将主机加入到自定义标识主机组： 第一种（推荐使用）： Linux主机 在主机里/opt/cloud/lts目录下的customtag文件中，查看该主机的标识，然后将该主机的标识，添加为主机组自定义标识，就可以将主机加入到该主机组下。例如：在主机里/opt/cloud/lts目录下的customtag文件中，查看该主机的标识为test1，创建主机组的自定义标识为test1，即将该主机加入到主机组下。 第二种： Linux主机 1. 在主机里/opt/cloud/lts目录下的customtag文件中，添加主机组自定义标识，可以将主机加入到该主机组下。例如：主机组的自定义标识为test，则在customtag文件中填写test，就可以将主机加入到该主机组下。 2. 当添加了多个自定义标识时，在主机里/opt/cloud/lts目录下的customtag文件中，任意填写一个自定义标识，就可以将主机加入到该主机组下。

本文介绍RDSPostgreSQL实例数据被损坏的可能场景。 主机损坏或异常 在数据盘损坏的场景下，实例数据库可能会被损坏以至数据丢失。 数据库主机服务器断电，可能会导致数据页损坏，可能会导致数据库发生异常。 数据遭恶意篡改 在一些安全漏洞被利用的场景下，可能数据会遭到恶意篡改。为了防止这种情况发生，建议严格权限管理，避免非授权用户操作数据库。

本文为您介绍云容灾的产品优势。 简单易用 集中管理：系统自动安装容灾客户端，保护组、受保护云主机、复制任务集中配置管理。 配置简单：支持容灾演练、一键切换，轻松完成云主机容灾管理。 经济高效 数据持续保护：采用CDP（Continue Data Protection）技术，提供IO级复制，RPO可达秒级。 业务连续性保护：支持通过任意恢复点进行容灾演练以及切换，容灾云主机快速拉起，RTO可达分钟级。 高性价比：利用公有云弹性优势构建容灾中心，初始投资低、建设周期短。 安全可靠 安全合规：秒级RPO、分钟级RTO，可满足国标容灾等级5级要求。 稳定可靠：首次全量数据复制支持断点续传，保证复制任务可靠性。 灵活的故障切换 可针对生产中心出现的中断或者针对意外灾难执行故障切换操作，可以在云上迅速恢复业务。 在不中断业务的情况下进行容灾演练 在不影响正常业务的情况进行容灾演练。当真实故障发生时，通过预案快速恢复业务，提高业务连续性。

本文主要介绍事件总线EventBridge提供的开源CloudEvents SDK示例，以简化您的开发工作。 前提条件 若想使用开源CloudEvents SDK示例，需提前准备以下信息： 天翼云账号的aksk，确保该账号已授权事件总线的发布权限，详见主子账号和IAM权限管理。 需要发送事件的对应自定义事件总线，可在事件总线EventBridge管理控制台中查看事件总线列表。 发送SDK的接入点地址，可在事件总线EventBridge管理控制台中点击对应事件总线，进入概览页，在接入点一栏中得到。 确认事件格式。详见事件概述，若事件格式不符合CloudEvents 1.0协议，会导致事件发送失败。 若使用内网域名接入，请确保内网域名已添加访问端点，详见创建私网访问端点。 发送事件 使用CloudEvents SDK发送事件，请参见各语言版本的SDK示例。

3. 常用系统表 云数据库ClickHouse中有许多常用的系统表，用于存储和管理关于集群、表、列、查询等各种信息。以下是一些常用的系统表： 1. system.tables: 存储所有表的元数据信息，如表名、列名、数据类型等。 2. system.columns: 存储所有表的列信息，包括列名、数据类型、默认值等。 3. system.databases: 存储所有数据库的信息，包括数据库名、创建时间等。 4. system.settings: 存储云数据库ClickHouse的配置参数及其当前值。 5. system.processes: 存储当前正在运行的查询进程的信息，如查询ID、用户、查询语句等。 6. system.querylog: 存储执行的查询日志，包括查询语句、执行时间、读写行数等。 7. system.metrics: 存储ClickHouse的性能指标信息，如CPU利用率、内存使用量等。 8. system.replicas: 存储分布式表的副本信息，包括副本节点、副本状态等。 9. system.mutations: 存储分布式DDL操作的进度和状态信息。 10. system.parts: 存储分布式表的分区信息，包括分区ID、分区状态等。 这些系统表可以通过查询系统表名来访问，以获取有关集群、表、列、查询等方面的详细信息，用于管理和监控云数据库ClickHouse的运行状态。 4. 用户级别参数的修改 要修改用户级别的参数，您可以按照以下步骤进行操作： 1. 使用管理员账号登录到云数据库ClickHouse。 2. 执行以下示例语句来修改用户级别的参数： SET GLOBAL ON CLUSTER ${clustername} ${key}${value}; 将 ${key} 替换为要修改的参数名，${value} 替换为要设置的参数值。 例如，要将用户 user1 的 maxmemoryusage 参数设置为 100000000，可以执行以下命令： SET GLOBAL ON CLUSTER ${clustername} maxmemoryusage100000000; 3. 提交命令后，参数的修改将立即生效。用户将使用新的参数值执行其后续的查询和操作。 只有具有管理员权限的账号才能修改用户级别的参数。此外，不同的参数可能具有不同的生效范围和影响范围，请参考文档或官方指南以了解特定参数的详细信息。

本章节主要介绍数据治理中心DataArts Studio的续订操作。 数据治理中心 DataArts Studio （基础包） 对于数据治理中心 DataArts Studio基础包，请在所购买的套餐包时长用完前进行续费。 数据治理中心 DataArts Studio基础包支持自动续费，自动续费的默认续费周期为： 按月购买：自动续费周期为1个月。 您可以通过以下两种方式开通自动续费： 登录数据治理中心控制台，在购买DataArts Studio实例的页面中，勾选“自动续费”选项。 如果您已购买DataArts Studio实例，请在实例列表中查找所需续费的DataArts Studio实例，单击其所在行的“续费”跳转到“续费管理”页面，然后请根据页面提示选择续订周期，并按提示完成自动续费的开通。 您也可以进行手动续费，通过主页进入“管理中心”“续费管理”页面，在列表中查找所需续费的DataArts Studio实例，单击其所在行的“手动续订”，进行手动续费操作。 DataArts Studio增量包CDM DataArts Studio增量包CDM目前仅支持按需计费，不支持续订。 按需计费是按每小时扣费，当余额不足时，就会导致欠费，因此在欠费前请及时充值。 欠费后，按需资源进入保留期。保留期满，若您仍未支付账户欠款，相应的云服务资源将被释放，您资源中的数据也会被删除。 如需充值，请从官网进入“管理中心”页面，在左侧导航树单击“ 总览 ”，在总览页面单击“充值”对账户进行充值。

本章节主要介绍通过专线访问。 MRS为您提供云专线（Direct Connect）方式访问MRS集群。云专线用于搭建用户本地数据中心与线上云VPC之间高速、低时延、稳定安全的专属连接通道，充分利用线上云服务优势的同时，继续使用现有的IT设施，实现灵活一体，可伸缩的混合云计算环境。 前提条件 云专线服务可用，并已打通本地数据中心到线上VPC的连接通道。 通过专线访问MRS集群 1. 登录MRS管理控制台。 2. 单击集群名称进入集群详情页。 3. 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的“前往Manager”。 4. “访问方式”选择“专线访问”，并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”。 浮动IP为MRS为您访问MRS Manager页面自动分配的IP地址，使用专线访问MRS Manager之前您确保云专线服务已打通本地数据中心到线上VPC的连接通道。 5. 单击“确定”，进入MRS Manager登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 切换MRS Manager访问方式 为了便于用户操作，浏览器缓存会记录用户所选择的访问Manager的方式，如需切换访问Manager方式，参考如下步骤操作。 1. 登录MRS管理控制台。 2. 单击集群名称进入集群详情页。 3. 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的按钮。 4. 在弹出页面重新选择“访问方式”即可。 若由“EIP访问”切换为“专线访问”，请在专线网路互通的前提下，在弹出页面的“访问方式”选择“专线访问”并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”后单击“确定”。 若由“专线访问”切换为“EIP访问”，在弹出页面的“访问方式”选择“EIP访问”并参考访问MRS Manager（MRS 2.x及之前版本）中的通过弹性公网IP访问Manager配置EIP。若集群已配置过公网IP，直接单击“确定”以EIP方式访问Manager。

前提条件 由于该操作会在源实例上新生成恢复后的库表，请确保您的源实例磁盘空间充足。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏，选择“备份恢复”，单击“库表时间点恢复”。 步骤 6 填选恢复信息，单击“下一步：确认恢复信息”。 为了方便您操作，所需恢复的数据库和表名支持搜索。 系统会自动生成以时间戳为后缀的库表名，如果需要，您也可以自定义恢复后的库表名。 表名不能重复且满足：名称长度在1~64个字符之间，只能包含字母、数字、下划线、中划线或$，不能包含其他特殊字符并且不能与同库下的表名重名。 不支持含json虚拟列的库表进行库级和表级时间点恢复。 库级恢复过程中库中包含的冷表不会恢复；表级恢复不支持冷表恢复。 库级时间点恢复过程中，如果创建同名库，可能会导致新创建库被覆盖，造成数据丢失。 表级时间点恢复过程中，如果创建同名表，可能会导致新创建表被覆盖，造成数据丢失。 步骤 7 信息确认无误后，单击“立即恢复”。 步骤 8 在“实例管理”页面，可查看该实例状态为“恢复中”，恢复过程中该实例业务不中断。 同时，您可在“任务中心”页面，查看库表时间点恢复任务的执行进度及结果。 恢复成功后，您可根据实际情况对库表进行数据处理。 结束 说明 恢复时长和实例的整体数据量有关，平均速度约为35MB/s。 通过库表时间点恢复备份，不会影响新增数据。恢复出来是一个带有时间戳后缀的临时库表，用户可以根据实际情况对这个临时库表的数据进行处理。

本节介绍了新增SQL洞察任务的操作场景、约束限制等相关内容。 操作场景 SQL洞察支持全量SQL记录的查询的能力，还提供了访问、更新最频繁的表，锁等待时间最长的SQL等多维度的分析、搜索、过滤能力，帮助用户全面洞察SQL，快速找出异常，保障数据库稳定运行。 约束限制 全量SQL默认关闭，如需使用SQL洞察功能，请先开启全量SQL收集开关。 关闭全量SQL后，将不再采集新产生的SQL，已经收集的SQL也会被删除，请您谨慎操作。 当前全量SQL受内存缓冲区限制，业务量大的场景下，全量SQL有较小概率因缓冲区满，存在丢弃部分记录。 当前全量SQL单条记录超过4096字节时，会默认丢弃该条记录。 此限制在MySQL 5.7.33.3及以后小版本可以通过设置参数rdssqltracerreservebigrecords来选择是否丢弃，5.6和8.0版本不支持设置该参数。您可以在修改RDS实例参数界面，将该参数设为ON，即表示单条记录超过4096字节也不被丢弃。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏选择“智能DBA助手 > 历史诊断”。 步骤 6 选择“全量SQL > SQL洞察”。 步骤 7 如果未开启全量SQL收集开关，RDS无法获取全量SQL数据进行分析，如需使用，请单击 开启开关。 开启后如需关闭，在右上角单击“日志管理”，设置全量SQL开关后，单击“确定”。 说明 收集全量SQL，实例性能损耗5%以内。 步骤 8 单击“新增SQL洞察任务”，选择时间范围、维度，以及其他配置项，单击“确定”。 步骤 9 在任务列表，单击“任务详情”查看详细信息。 结束

开启公网访问并获取公网访问地址 1. 登录分布式缓存服务管理控制台。 2. 在管理控制台左上角单击，选择实例所在的区域。 3. 单击左侧菜单栏的“缓存管理”，进入缓存管理页面。 4. 单击需要开启公网访问的实例名称，进入该实例的基本信息页面。 5. 单击“公网访问”后的“开启”。 6. 在开启公网访问弹窗中勾选需要绑定的ELB，单击“确定”。 如果没有可选的ELB，单击页面提示的“弹性负载均衡”跳转链接，可前往ELB控制台页面进行创建。如果已经创建了ELB，未在ELB选择列表中，请参考前提条件中的说明排查ELB是否符合绑定条件。 注意 Redis实例绑定ELB期间，请勿删除绑定的ELB和监听器，并保证ELB可用，否则会影响Redis的正常公网连接。 如果需要删除ELB实例，请先在Redis实例详情页面解除绑定（关闭公网连接），再在ELB控制台删除ELB实例。 图1 绑定ELB 7. 开启公网状态显示“成功”后，表示开启公网访问成功。 8. 单击左侧菜单栏的“概览”，返回实例基本信息页面查看公网访问信息。如需关闭公网访问，单击“关闭”。 开启公网访问后，控制台中显示的“EIP”地址为Redis实例的公网访问地址，“监听器”后的端口号为公网访问的端口。 图2 公网访问连接地址 主备实例开启公网访问后，会生成两个监听器。一个主节点监听器（以listenermaster开头）和一个备节点监听器（以listenerslave开头），分别用于监听实例的主节点和备节点。公网连接主备实例时请使用主监听器后的端口用于连接主备实例的主节点。仅当需要配置主备实例读写分离时，需要同时使用主、备监听器端口，分别连接主、备节点。 图3 主备实例公网连接地址 连接信息中的“连接地址”及“IP地址”为相同VPC内客户端访问Redis时的“域名地址:端口”和“IP地址:端口”。