功能项 说明 安全隔离 提供虚拟机级别的安全和资源隔离能力，每个容器实例都运行在独占内核中，不与其它负载和Pod共享基础设施资源。同时针对容器运行环境进行了深度优化，具备比虚拟机更快的启动速度和运行效率 CPU/Memory资源或规格配置 ECI Pod默认使用按需计费模式进行费用收取。支持指定CPU和Memory资源或者指定ECS规格创建实例 镜像拉取与缓存 镜像拉取：ECI Pod在每次启动时，会自动从远程仓库获取容器镜像。对于公共镜像的获取，建议配置VPC的NAT网关或为ECI Pod配置弹性公网IP (EIP)。为优化镜像拉取效率，我们推荐您使用天翼云容器镜像服务，加速镜像的下载 镜像缓存：ECI提供镜像缓存功能，镜像缓存是为了加速拉取镜像以减少ECI启动时间而设计的。镜像拉取是容器实例启动的主要耗时，而制作镜像缓存可以通过预先获取、存储和管理已经拉取的镜像，实现对容器实例启动时间的显著减少。考虑到网络和镜像大小等因素的影响，构建镜像缓存可以通过连续使用相同的镜像实现快速部署，从而加速容器实例的启动并提高系统的可用性 存储 支持使用多种存储方式： CSI：CSI插件是目前Kubernetes社区推荐的插件实现方案，Serverless集群所提供的 CSI 存储插件与社区 CSI 特性兼容。该插件由以下两个组件组成：CSIPlugin：提供挂载和卸载数据卷的能力，Serverless集群默认支持云硬盘和弹性文件服务两种存储服务；CSIProvisioner：提供自动挂载数据卷的能力 PV/PVC：PV提供长期存储资源，而PVC允许用户以抽象的方式请求这些存储资源，实现存储的分配和管理 EmptyDir：该数据卷是一种用于容器实例中临时存放数据的目录，以便于容器之间共享数据。但是需要注意的是，当容器实例被删除时，EmptyDir数据卷中的数据也会被清空 网络 ECI Pod默认采用Host网络模式，并会占用交换机vSwitch的一个弹性网卡ENI资源。在Kubernetes集群环境中，ECI Pod与云主机节点上的Pod可以相互访问。具体方法如下： 创建类型为LoadBalancer的Service对象，并与ECI Pod进行关联；也支持Service同时关联ECI Pod和云主机上的Pod 创建类型为ClusterIP的Service对象，ECI Pod可以直接访问集群中的clusterIP地址 配置相应的 NAT 网关或弹性公网 EIP，并为 ECI Pod绑定指定EIP，或者将 NAT 网关绑定到 ECI 实例所属的 VPC 网络中 日志采集 通过安装日志采集服务插件，一般情况无需再额外部署sidecar容器

云应用引擎 CAE（Cloud App Engine）具有广泛的应用场景，帮助您的企业极速上云、从容应对突发性流量洪流和灵活启停应用环境，降低资源成本。 应用托管 在企业生产环境中，通过合理拆分微服务，将每个微服务应用压缩为 ZIP 包、Docker 镜像存储在天翼云镜像仓库。您只需基于 Spring Cloud 或 Dubbo 等框架开发规范迭代每个微服务应用，由 CAE 提供底层资源调度、部署、灰度发布、微服务治理和监控诊断等能力。同时提供丰富的高级应用配置项，实现业务快速迁移上云。 零改造：CAE 能够平滑迁移应用，零改造地完成 Spring Cloud 或 Dubbo 应用快速上云。 免运维：CAE 能够免运维底层基础设施，例如 IaaS、K8s、微服务组件和 APM 组件等，无需自建注册中心，极大降低开发运维成本。 低门槛：CAE 能够一站式开箱使用全套微服务能力，提供自动构建镜像、灰度发布、流量控制、环境隔离、应用监控等企业级高级特性。 任务托管 聚焦于泛互联网、新零售、电商、文化传媒、制造、 IoT、物流、金融证券、医疗卫健和保险等行业。主要场景如下： 定时任务：定时拉取数据、爬虫。 批处理数据：数据清洗、转换、分析，对实时性要求低。 异步执行解耦：异步状态刷新以及离线查询。 微服务架构：与原有的微服务架构进行调用通信、流程解耦。 相比开源的分布式框架，其优点在于全托管免运维的用户体验，开箱即用的完备功能以及白屏化管控，任务运行完立即释放资源，不会浪费闲置资源成本。

天翼云为您提供安全的弹性云主机产品,通过多种技术手段来保障您的主机安全。但是如果云主机没有进行相应的安全设置,仍然可能收到外部的攻击或者遭到病毒入侵。 您可以参考以下内容,提升云主机安全。 账号安全 天翼云账号注册时要求您设置复杂度极高的密码。您应该妥善保管天翼云的账号密码并定期对密码进行更换。 同时天翼云还支持账号二次认证，您可以在个人中心安全设置中开启安全验证。开启后每次登录均需要短信验证码进行登录。 主机密码安全 主机密码是弹性云主机访问时最常用的安全验证。您在创建时输入的主机密码应该确保复杂度满足要求，并且妥善保管密码。 主机密码的复杂度应满足如下要求： 不少于8个字符。 必须同时包含大写字母、小写字母、数字、符号中的三项。 符号支持： [()~!@ %^& +{}[]:;'<>,.?/](mailto:()%60~!@ %^& +{}[]:;'<>,.?/)。 密码不能以斜线号（/）开头。 密钥对 密钥对，也称为SSH密钥对，是一种用于远程登录云主机的身份验证方式，与传统的用户名和密码登录方式有所区别。通过使用密钥对，您可以提升云主机的安全性，并避免因密码被拦截或破解导致的密码泄露问题。 密钥对由公钥和私钥组成，如果用户将公钥配置在Linux云主机中，便可以使用私钥登录Linux云主机，无需输入密码。通过使用密钥对登录Linux云主机，可以防止密码被拦截或破解导致帐户密码泄露，从而提高Linux云主机的安全性。 更多内容请参见密码和密钥对。

本章节介绍云原生网关管理类常见问题 云原生网关支持哪些服务来源？ 云原生网关当前支持从天翼云Nacos注册中心或者云容器引擎集群发现服务；添加完服务来源之后，可以从Nacos或者云容器引擎指定命名空间中发现服务，配置为网关代理转发的目标服务；网关通过监听指定namespace下的服务，实时动态感知服务节点列表变化，实现网关的动态路由转发能力。 为什么添加服务来源的时候只能看到部分Nacos或者云容器引擎实例？ 云原生网关属于某一个指定的vpc网络，选择Nacos或者云容器引擎作为服务来源时会过滤集群列表，只能选择和当前网关同一vpc下的集群作为服务发现来源。 云原生网关如何支持https访问？ 通过域名管理功能可以配置访问域名，对于有https访问需求的场景，可以配置域名的https证书；通过网关节点的27154端口或者外部ELB的https端口（需要配置转发规则转发到网关的27154端口）访问，实现https加密通信。 路由配置支持哪些匹配规则？ 当前路由支持根据请求的域名、路径、HTTP方法、header、query匹配；路径匹配支持精确匹配和前缀匹配，对于前缀匹配/abc可以匹配请求/abc，/abcd/ef，/abc/def/cc。 一个请求同时匹配到多个路由时，最终会使用哪条路由规则？ uri精确匹配优先级最高；对于多个uri前缀匹配同时命中的情况，匹配深度较高的优先；相同uri的路由，如果存在其他匹配条件，则优先按其他条件匹配；其他条件也都同时匹配的情况下，优先级数字较大的路由优先匹配。

本文主要介绍应用拓扑 调用链可以展示单次调用的拓扑关系，同时APM系统可以通过采集的指标数据，形成各个服务之间调用的总体拓扑关系。应用拓扑主要分两种： 单组件拓扑：是单个组件下的单个环境的拓扑，同时可以展开直接或间接上下游的组件的拓扑关系。 全局应用拓扑：可以查看这个应用下面全部或者部分组件的全局拓扑关系。 拓扑图的每根线条代表服务之间一段时间的调用关系，可以是从调用方统计的，也可以是从被调用方统计的。单击线条，右边可以查看这个调用关系的趋势图。同时拓扑图也会标示中间件的调用关系。通过拓扑图，一方面可以自动梳理服务之间的调用关系，同时也可以从全局视角查看服务之间调用是否正常，快速定位问题。 查看单组件拓扑 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击待查看拓扑的环境后的。 步骤 5 单击“拓扑”，查看该组件下的调用及依赖关系。 单击组件之间的连线，会在右侧显示详细的数据。 可以打开“只显示组件之间调用”开关，屏蔽非应用内部调用关系；也可以单击“展开全部”，展示与除中心节点外其他组件之间的调用关系。 图 查看单组件拓扑

本文罗列了使用数据管理服务时可能遇到的一些问题。 实例列表怎么使用？ 数据管理服务DMS为了让用户更迅速、轻松地管理数据库实例，推出了实例列表功能，此列表将帮助用户快速访问所需的数据库实例。 您可以点击菜单实例列表查看您当前拥有权限的所有实例，也可以点击实例列表中的收藏标签查看您已经收藏的实例。 可通过收藏实例的路径有以下几种： 点击菜单实例列表，在实例列表页点击右上角添加实例按钮。 点击菜单数据资产 >实例管理，在实例列表页点击列表中的/，对实例进行收藏或取消收藏。 用户如何查看/使用实例？ 用户可以在以下几个页面中查看当前可查看/使用的实例： 点击菜单数据资产 >实例管理查看/使用实例。 点击菜单实例列表查看/使用实例。 点击菜单安全协作>团队管理，切换团队实例管理标签页，查看/使用实例。 点击个人中心>我的团队，切换团队实例标签页，查看/使用实例。 需要注意的是，数据管理服务DMS为了保障数据安全，进行了资源权限的控制，这包括了组织资源隔离、团队资源隔离，用户获取查看/使用某个实例权限的方法有以下几种： 加入实例所在的组织，并且加入实例所在的团队。 获得某个实例的数据授权。此操作需要实例所在组织/团队的管理员/团队管理员在数据资产 >实例管理页面，点击实例列表中的数据权限管理按钮进行操作。

网关代理的作用是在大模型防护系统开启一个代理端口，原请求大模型的请求需主动请求代理端口，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。 主要用于无法使用透明代理的场景，如 非自建大模型，如使用的云厂商提供的API接口。 大模型节点使用严格，禁止安装其他服务。 配置内容安全网关代理 内容安全代理主要用于代理大模型的对话接口，如“/v1/chat/completions”接口，从而对用户的提问和大模型的回答进行合规性检查。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 网关代理”，单击“新建代理”。 3. 配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 描述 （可选）填写代理的描述信息。 监听地址 默认“0.0.0.0”即可。 监听端口 选择一个未被占用的端口（例如：11436）。 大模型API地址 根据实际情况填写被代理模型的地址。 模型Key （可选）默认的模型名称。 策略 按需选择如“默认策略” ，更多关于策略的内容见内容安全。 心跳检测 （可选）周期性检查被代理模型的存活状态，推荐开启。 启用API Key （可选）按需选择是否启用大模型防护系统的API认证机制。 当启用API Key时，还需配置API Key标签 。API Key标签为模型认证配置中配置的标签。 4. 单击“确定”。

分类 对象 使用限制 仪表盘 仪表盘 1个区域中最多可创建50个仪表盘。 仪表盘 仪表盘中的图表 1个仪表盘中最多可添加20个图表。 仪表盘 仪表盘中图表可选资源、阈值规则、组件或主机的个数 1个曲线图中最多可添加100个资源，且资源可跨集群选择。 1个数字图只能添加1个资源。 1个阈值状态图表最多可添加10个阈值规则。 1个主机状态图表最多可添加10个主机。 1个组件状态图表最多可添加10个组件。 指标 指标数据 基础规格：指标数据最多保存7天。 指标 指标项 资源（例如，集群、组件、主机等）被删除后，其关联的指标项在数据库中最多保存30天。 指标 维度 每个指标的维度最多为20个。 指标 指标查询接口 单次最大可同时查询20个指标。 指标 统计周期 最大统计周期为1小时。 指标 单次查询返回指标数据 单个指标单次查询最大返回1440个数据点。 指标 上报自定义指标 单次请求数据最大不能超过40KB。 指标 应用指标 JOB指标 每个主机的容器个数超过1000个时，ICAgent将停止采集该主机应用指标，并发送“ICAgent停止采集应用指标”告警（告警ID：34105）。 每个主机的容器个数缩减到1000个以内时，ICAgent将恢复该主机应用指标采集，并清除“ICAgent停止采集应用指标”告警 。 由于JOB在完成任务之后，会自动退出。如果您需要监控JOB指标，要保证存活时间大于90秒才能采集到指标数据。 指标 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30M内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 阈值规则 阈值规则 一个项目下最多可创建1000个阈值规则。 阈值规则 发送通知可选择主题数 每个阈值规则最多可选择5个主题。 日志 单条日志大小 每条日志最大10KB，超出后ICAgent将不会采集该条日志，即该条日志会被丢弃 日志 日志流量 每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 日志 历史日志 历史日志存储空间免费额度为500MB 日志 日志文件 只支持采集文本类型日志文件，不支持采集其他类型日志文件（例如二进制文件）。 日志 每个通过卷挂载日志的路径下，ICAgent最多采集20个日志文件。 日志 每个ICAgent最多采集1000个容器标准输出日志文件，容器标准输出日志只支持jsonfile类型。 日志 采集日志文件的资源消耗 日志文件采集采集时消耗的资源和日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。 日志 日志丢失 采集器使用多种机制保证日志采集的可靠性，尽可能保证数据不丢失，但在如下场景可能导致日志丢失。 日志文件未使用CCE提供的logPolicy轮转策略。 日志文件轮转速度过快，如1秒轮转一次。 系统安全设置或syslog自身原因导致无法转发日志。 容器运行时间过短，例如小于30s。 单节点总日志产生速度过快，超过了单节点网络发送带宽或日志采集速度，建议单节点总日志产生速度<5M/s。 日志 日志丢弃 当单行日志长度超过10240字节时，此行会被丢弃。 日志 日志重复 当采集器被重启后，重启时间点附近可能会产生一定的数据重复。 日志 统计规则 一个日志桶下最多可创建5条统计规则。 告警中心 告警 您最多可查询最近30天的告警。 告警中心 事件 您最多可查询最近30天的事件。

接口功能介绍 告警中心告警统计接口 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/instrusion/event/statistics 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 timeType 是 String 时间类型 LASTONEDAY最近一天 LASTTHREEDAY最近三天 LASTONEWEEK最近一周 LASTONEMONTH最近一月 LASTTHREEMONTH最近三月 SELFTIME自定义时间 LASTONEDAY startTime 否 String 开始时间 timeTypeSELFTIME时必填 20230101 00:00:00 endTime 否 String 结束时间 timeTypeSELFTIME时必填 20230101 00:00:00 eventCategoryIds 否 Array of Integers 告警类型 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他 [1] eventTypeIds 否 Array of Integers 事件名称 [8200] 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 0 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 emergencyHandleRiskNum Integer 需要紧急处理的告警数量 11 unHandleRiskNum Integer 待处理告警数 11 handledRiskNum Integer 已处理告警数 11 riskHostNum Integer 存在告警的服务器数量 11 isloateFileNum Integer 已隔离文件数 11 interceptIpNum Integer 已拦截ip数 11

本章节介绍使用OPA策略引擎实现访问控制 前提条件 开通实例后，系统默认生成OPA相关的ServiceEntry和opaextauthgrpc。 验证opaextauthgrpc 在服务网格控制台>网格安全中心>自定义授权服务。 可以看到产生了一个GRPC协议的授权服务，端口为19191。 验证ServiceEntry 在服务网格控制台>集群与工作负载>服务条目中，选定istiosystem命名空间，可以看到产生了extauthz，点击编辑可以查看详情。 详情中可以看到端口为19191端口，指向127.0.0.1。 全局放行18181和18282端口 在sidecar管理>sidecar代理配置菜单下选择命名空间tab，选择我们验证功能要用的命名空间，这里选择default，配置sidecar入流量不拦截18181和18282端口（OPA agent的配置端口和健康检查端口）。 开启OPA功能 操作步骤 1. 在控制台>网格管理>OPA功能开关菜单下打开OPA开关，主要是安装OPA控制面组件。 2. 给default命名空间打上标签，自动注入istio sidecar和OPA sidecar。 kubectl label namespace default opaistioinjection"enabled" kubectl label namespace default istioinjection"enabled" 3. 部署bookinfo应用和sleep应用，可以看到pod里除了业务容器之外还有两个容器，分别是istio sidecar和OPA sidecar，OPA sidecar用于实现外部授权服务。 4. 定义AuthorizationPolicy授权策略，注意引用的外部授权服务需要和上面定义的外部授权服务名称一致，可以根据业务的需要执行OPA外部授权策略，如下示例对匹配标签app: productpage的： apiVersion: istio.ctyun.cn/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: productpage action: CUSTOM provider:

本章节主要介绍数据治理中心的配置Kafka连接功能。 MRS Kafka 连接MRS上的Kafka数据源时，相关参数详见下表：MRS Kafka连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 kafkalink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 用户名 需要配置MRS Manager的用户名和密码。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 是 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

对于支持IAM配置，不支持企业项目配置的操作，若没有配置过IAM权限将默认不具备相应操作权限，操作将被拦截，对于这种场景，该如何处理？ 支持IAM配置，不支持企业项目配置的操作在没有配置过IAM权限时，将默认不具备相应操作权限，操作将被拦截，如下图创建快照，前端提示权限不足，操作被拦截。此时，您需要在IAM中为此用户新增创建快照的IAM操作权限以解除限制。 操作步骤 1.登陆统一身份认证服务平台。 2.创建或修改自定义策略，在该策略中需添加创建快照的三元组“evs:snapshot:create”，具体创建或修改策略的操作请参见统一身份认证IAM中“策略管理”章节。 3.为待授权的子账号所归属的用户组配置上述具有“evs:snapshot:create”三元组的策略。具体授权策略的操作请参见统一身份认证IAM中“用户组授权”章节。 4.完成上述配置后，用已授权创建快照权限的子用户登陆天翼云控制台，创建快照操作将不再被拦截，能够进入创建快照页面。 为什么子用户订购云硬盘跳转到订单中心时，显示“抱歉，您没有访问该页面的权限”？ 若您的子用户需要实现下单类操作，如创建、扩容等，您需要为子用户所在用户组设置“订单与云网账号管理员权限”，即授权“bss admin”策略。 具体操作可参考子用户如何创建和下单一类节点资源。

约束与限制 请确保云主机所在的子网已开启IPv6功能。 请确保云主机规格支持IPv6功能。 请确保创建云主机时已选择“自动分配IPv6地址”。 同一个网卡上，只能绑定一个IPv6地址。 Windows 操作系统操作步骤 1. 右键单击网络连接图标（通常位于任务栏右下角），选择“打开网络和共享中心”。 2. 在左侧面板中，选择“更改适配器设置”。 3. 找到您要配置IPv6地址的网络适配器，右键单击并选择“属性”。 4. 在属性窗口中，找到“Internet 协议版本 6 (TCP/IPv6)”并选中它，然后点击“属性”。 5. 在弹出的窗口中，选择“使用以下 IPv6 地址”，并在“IPv6 地址”字段中输入您希望配置的IPv6地址。 6. 输入子网前缀长度（通常为64位），并可以选择是否使用默认网关等选项。 7. 确认设置后，点击“确定”来应用更改使您的IPv6地址配置生效。 Linux 操作系统操作步骤 1. 打开终端。 2. 输入以下命令来配置IPv6地址，其中INTERFACENAME是您要配置的网络接口名称，IPv6ADDRESS是您希望配置的IPv6地址，PREFIXLENGTH是子网前缀长度。 plaintext sudo ip addr add IPv6ADDRESS/PREFIXLENGTH dev INTERFACENAME 例如： plaintext sudo ip addr add 2001:db8::1/64 dev eth0 3. 输入以下命令以激活网络接口： plaintext sudo ip link set INTERFACENAME up 4. 您可以使用以下命令来验证IPv6地址是否配置成功： plaintext ip addr show INTERFACENAME 或者 plaintext ifconfig INTERFACENAME 创建私有镜像前云主机、物理机或镜像文件需要完成哪些初始化配置？

本文介绍IPv6地址管理。 IPv6地址管理会展示IPv6网关关联VPC下所有已分配给虚拟机VPC网卡的IPv6地址，以及IPv6地址关联带宽实例的情况。关联了带宽实例的IPv6地址可作为公网IP与外网通信，未关联带宽实例的IPv6地址只支持内网通信。 分配给虚拟机直通网卡的IPv6和SLB的IPv6地址在公网IP列表展示，不会在IP地址管理列表展示。 查看已分配的VPC IPv6地址 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>IPv6网关】。 3. 选择列表上方的地域即可查看指定地域的IP网关列表。 4. 选择要查看的IPv6网关，单击【操作>IPv6地址管理】进入IPv6详情页，在【IPv6地址管理】页签可以查看分配给虚拟机的IPv6地址以及带宽实例关联情况。 VPC IPv6地址开启公网访问能力 VPC IPv6地址默认只能内网通信，如需开启公网访问可以在【IPv6网关列表>IPv6地址管理】列表开通公网带宽，亦或将IPv6地址加入共享带宽。 IPv6地址开通公网带宽 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>IPv6网关】。 3. 选择列表上方的地域即可查看指定地域的IP网关列表。 4. 选择要操作的IPv6网关，单击【操作>IPv6地址管理】进入IPv6详情页，在【IPv6地址管理】页签选择要开通公网带宽的IPv6地址，单击【操作>开通公网带宽】进入开通页。 5. 选择计费模式和设置带宽大小，计费模式支持包年包月和按需计费。 6. 勾选协议，单击【立即购买】进入订单中心完成支付，完成创建。

本文介绍了数据管理服务使用DMS操作审计有效记录了用户进行的操作，数据管理服务DMS会对用户的操作行为做出高风险、中风险、低风险三种等级的风险评估。DMS操作审计功能只对超级管理员和管理员开放。 前提条件 登录用户的角色为超级管理员、系统管理员、审计管理员。 对组织内的实例、用户角色、组织信息、团队信息进行变更以生成操作审计记录。 操作步骤 1. 用户登录DMS系统。 2. 在左侧菜单栏依次点击 安全协作 > 操作审计 。 3. 点击DMS操作审计标签，进入审计界面。 注意事项 DMS操作审计的日志记录基础版可保存7天，企业版可保存180天。 DMS操作审计不会审计所有的用户操作，例如查看团队内的实例列表、查看/更改个人用户信息等常规系统操作，不具备风险威胁，将不会被审计。 仅超级管理员、系统管理员、审计管理员可以进入DMS操作审计界面，查看操作审计的相关记录。 功能介绍 DMS操作审计记录了用户于何时对DMS系统的哪个菜单进行了某个事件操作，并对该事件操作给出高风险、中风险、低风险三种等级的风险评估。同时也会对实例信息、工单信息、操作内容、操作结果进行记录。 DMS操作审计搜索 DMS操作审计支持的搜索项包括执行时间、操作风险、操作用户、实例名称、实例地址、工单号、功能菜单、事件类型、操作结果。其中操作用户、实例名称、实例地址、工单号等搜索项支持模糊搜索。功能菜单是一个二级搜索框，用户需要先在数据资产、开发空间、SQL治理、安全协作、智能运维、个人中心 选择一项，进而在弹出的选项中选择二级菜单。若用户想清除已经选择的搜索项，可以点击重置按钮。

本节主要介绍分布式消息服务Kafka常用的应用场景 分布式消息服务Kafka主要适用于以下几种场景： 日志收集 构建应用系统和分析系统的桥梁，并将它们之间的关联解耦。 支持实时在线分析系统和类似于 Hadoop 的离线分析系统。 Kafka本身的性能是非常高效的，同时Kafka的特性决定它非常适合作为"日志收集中心"，这是因为Kafka在采集日志的时候业务是无感知的，其能够兼容自己的上游，能够直接地通过配置加密消息。当日志数据发送到Kafka集群里面，其实对于业务而言是完全无侵入的。同时其在下游又能够直接地对接Hadoop/ODPS等离线仓库存储和Strom/Spark等实现实时在线分析。在这样的情况之下，使用Kafka，只需要用户去关注整个流程里面的业务逻辑，而无需做更多的开发就能够实现统计、分析以及报表。 流计算处理 构建应用系统和分析系统的桥梁，并将它们之间的关联解耦。 通过支持流计算引擎，可对接开源 Storm/Samza/Spark 流计算引擎。 Kafka能够做到流计算处理，比如股市走向分析、气象数据测控、网站用户行为分析等领域，由于在这些领域中数据产生快、实时性强、数据量大，所以很难统一采集并入库存储后再做处理，这便导致传统的数据处理架构不能满足需求。而Kafka Stream以及Storm/Samza/Spark等流计算引擎的出现，可以根据业务需求对数据进行计算分析，最终把结果保存或者分发给需要的组件。

本小节介绍安全专区资产管理服务器主机资产风险分析。 功能说明 资产风险分析页面把所筛选的资产相关的未处理的告警、漏洞、基线、补丁、病毒五类安全数据整合在一个页面展示，方便安全管理员分析。 配置方法 1.进入【资产管理】→【服务器】，点击【资产风险分析】，可查询分析指定服务器的各类安全漏洞、威胁、报警。 在左侧分组选定需要分析的指定服务器分组及服务器，进行资产信息筛选。页面右边栏实时同步更新所选择资产的展示，其中根据告警分析、安全告警、系统漏洞、基线合规、系统补丁及病毒感染等几大模块。 安全告警模块，实时更新服务器所出现问题，展示服务器IP地址、出现告警的问题、出现问题的服务设施以及告警的风险等级。 2.点击右上角【详情】，即进入【告警中心】，可查询更详细的告警信息。 3.系统漏洞展示具体IP地址所发生的具体漏洞信息，分类漏洞等级情况。点击【详情】，即进入【威胁分析】→【待办告警】进行详细处理。 4.基线合规、系统补丁及病毒感染等模块都展示了系统风险状态、漏洞所属类型、漏洞所属风险等级。 5.点击【基线合规】→【详情】，即页面跳转进入【风险分析】→【基线合规】进行分析、处理。 6.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【补丁漏洞】进行分析、处理。 7.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【主机漏洞】进行分析、处理。

约束条件 对于主备实例，复制延迟大于300秒无法升级小版本。 升级主备实例时，升级顺序依次是备实例、主实例。 实例中存在异常节点，无法升级小版本。 云数据库RDS for MySQL暂不支持已开启事件定时器功能的实例升级内核小版本，若您想使用该功能，请先关闭事件定时器。具体操作请参考开启或关闭事件定时器。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击主实例名称。 步骤 5 在“基本信息”页面的“数据库引擎版本”处，单击“补丁升级”。 步骤 6 在弹出框中，选择升级方式，单击“确定”。 立即升级：系统会立即升级您的数据库内核版本到当前最新版本。 可维护时间段内升级：系统会在您设置的可维护时间段内，升级您的数据库内核版本到当前最新版本。 结束 后续操作 返回实例列表，在左侧导航栏，选择“任务中心”，查看版本升级任务的执行进度。 对于升级方式为“立即升级”的任务： 在“即时任务”页签，搜索“MySQL实例版本升级”任务，查看执行进度。即时任务不支持取消。 对于升级方式为“可维护时间段内升级”的任务： 在“定时任务”页签，搜索实例ID，查看该实例下版本升级的任务执行情况。 如果任务为“待执行”状态，单击“取消”，取消执行该升级任务。 更多操作，请参见查看任务。

本章介绍函数工作流如何配置函数单实例多并发， 说明 该特性仅FunctionGraph v2版本支持。 概述 默认情况下，每个函数实例同一时刻只处理一个请求，多并发时，例如并发三个请求，FunctionGraph会启动三个函数实例处理请求。FunctionGraph推出的单实例多并发能力，可以让您在一个实例上并发处理多个请求。 应用场景 单实例多并发适合函数处理逻辑中有较长时间等待下游服务响应的场景，也适合函数逻辑中初始化时间较长的场景，具备以下优势： 降低冷启动概率，优化函数处理时延：例如并发三个请求，不配置单实例多并发，FunctionGraph默认启动三个实例处理请求，会有三次冷启动。若配置了单实例支持三并发，三个并发请求，FunctionGraph只启动一个实例处理请求，减少了两次冷启动。 减少总请求处理时长，节省费用：单实例单并发下，多个请求的总处理时长为每个请求的处理时长相加。 单实例单并发与单实例多并发的对比 当一个函数执行需要花费5秒，若配置为单实例单并发，三次函数调用请求分别在三个函数实例执行，总执行时长为15秒。 若配置为单实例多并发，设置单实例并发数为5，即单个实例最多支持5个并发请求，如果有三次函数调用请求，将在一个实例内并发处理，总执行时间为5秒。 说明 单实例并发数大于1，在您设置的“单函数最大实例数”范围内，超过单实例并发处理能力时会自动扩容新实例。 单并发与多并发对比 对比项 单实例单并发 单实例多并发 日志打印 Node.js Runtime使用console.info()函数，Python Runtime使用print()函数，Java Runtime使用System.out.println()函数打印日志， 该方式会把当前请求的Request ID包含在日志内容中。 当多请求在同一个实例并发处理时，当前请求可能有很多个，继续使用这些函数打印日志会导致Request ID错乱。 此时应该使用context.getLogger()，获取一个日志输出对象，通过这个日志输出对象打印日志， 例如Python Runtime：log context.getLogger()log.info("test") 共享变量 不涉及 单实例多并发处理时，修改共享变量会导致错误。这要求您在编写函数时，对于非线程安全的变量修改要进行互斥保护。 监控指标 按实际情况进行监控。 相同负载下，函数的实例数明显减少。 流控错误 不涉及 太多请求时，body中的errorcode为“FSS.0429” ，响应头中的status为429 ， 错误信息提示：Your request has been controlled by overload sdk, please retry later。

本章节将介绍如何创建MRS脱敏任务。 创建MRS脱敏任务后，可以对指定数据的敏感信息脱敏。 前提条件 已在“资产列表”中完成了云资源委托授权。 已添加MRS资产，具体请参见添加MRS资产章节。 已在“敏感数据识别”中完成了敏感数据识别，具体操作请参见创建敏感数据识别任务章节。 创建数据库脱敏 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据脱敏”，并选择“MRS脱敏”页签，进入“MRS脱敏”页面。 4. 在“MRS脱敏”页签中，单击，将“MRS脱敏”设置为，开启MRS脱敏。 5. 单击“新建任务”，进入“数据源配置”页面，如下图所示，具体参数说明如下表所示。 参数名称 参数说明 任务名称 您可以自定义脱敏任务的名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 数据源选择 选择数据来源。仅支持“MRSHIVE”。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据库实例：选择脱敏数据所在的数据库实例。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据库名：选择脱敏数据所在的数据库名称。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据表名：选择脱敏数据所在的数据表名称。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据类型：勾选后将该列数据拷贝到目标数据库。 此处还显示数据列的“目标数据类型”，“风险等级”。 6. 单击“下一步”，进入“脱敏算法配置”页面。 1. 勾选需要脱敏的数据列。 2. 选择脱敏算法。脱敏算法更多详细信息请参见配置脱敏规则章节。 7. 单击“下一步”，进入“脱敏周期”页面，配置脱敏周期。 选择并设置脱敏任务的执行周期： 手动：由用户自行启动的，且基于脱敏规则执行脱敏任务。 每小时：每几个小时执行一次脱敏任务。 示例：如果需要每2小时执行一次脱敏任务，则此处设置为：02:00 每天：每天几点几分执行一次脱敏任务。 示例：如果需要每天12:00执行一次脱敏任务，则此处设置为：12:00:00 每周：每周几的几点几分执行一次脱敏任务。 示例：如果需要每周一的12:00执行一次脱敏任务，则此处设置为：每周一12:00:00 每月：每月几日几时执行一次脱敏任务。 示例：如果需要每月12日的12:00执行一次脱敏任务，则此处设置为：每月12日12:00:00 说明 如果设置每月31日执行一次脱敏任务，在当月日期少于31日的情况下，系统自动在当月最后一日执行任务。 8. 单击“下一步”，进入“数据目标配置”页面。 1. 选择数据库实例、数据库名，并输入数据表名。 如果输入的数据表名已存在，系统将刷新目标数据库中该数据表中的数据。 如果输入的数据表名不存在，系统将自动在目标数据库中新建该名称的数据表。 注意 如果需要填写已有的数据表，请勿选择业务数据表，以免影响业务。 2. 设置数据目标列名。 系统默认将生产与数据源列相同的名称，您可以保持默认名称，也可以根据需要进行修改。 9. 单击“完成”。

本文主要介绍应用服务网格日志采集。 应用服务网格支持采集控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志，您可以在控制台日志中心查看日志。 前提条件 1. 天翼云账号已经开通了云日志服务，如果没有开通可以通过服务网格控制台>网格实例>自定义配置>创建云日志服务。 2. 网格控制面和数据面集群已经安装了日志采集插件logoperator。可以通过ccse控制台>插件>插件市场安装。 启用服务网格日志采集 1. 登录服务网格控制台，在左侧的导航栏中选择网格实例>自定义配置。 2. 选择启用日志服务，可以选择已有的日志项目或者新建日志项目，支持为数据面、控制面和网关分别创建日志单元，您可以参考云日志服务管理日志项目查看已有的项目。如果需要新建项目，应用服务网格控制台会自动为您创建对应名称的项目。 日志中心日志查询 您可以在日志服务控制台查询服务网格控制面和数据面的日志，更多详情可参考云日志服务日志查询。 数据面日志输出格式 目前服务网格的数据面日志访问格式采用Envoy默认格式： plaintext [%STARTTIME%] "%REQ(:METHOD)% %REQ(XENVOYORIGINALPATH?:PATH)% %PROTOCOL%" %RESPONSECODE% %RESPONSEFLAGS% %BYTESRECEIVED% %BYTESSENT% %DURATION% %RESP(XENVOYUPSTREAMSERVICETIME)% "%REQ(XFORWARDEDFOR)%" "%REQ(USERAGENT)%" "%REQ(XREQUESTID)%" "%REQ(:AUTHORITY)%" "%UPSTREAMHOST%"n 以下是一个日志格式的例子： plaintext [20160415T20:17:00.310Z] "POST /api/v1/locations HTTP/2" 204 154 0 226 100 "10.0.35.28" "nsq2http" "cc21d9b0cf5c432b8c7e98aeb7988cd2" "locations" "tcp://10.0.2.1:80" 以下是日志样式字段的说明： 参数 描述 STARTTIME 请求开始时间。 REQ(:METHOD) 请求方法。 REQ(XENVOYORIGINALPATH?:PATH) 请求的原始路径，若无则使用标准路径。 PROTOCOL 请求所使用的协议。 RESPONSECODE 服务器对请求的响应状态码。 RESPONSEFLAGS 响应的标志，提供关于响应的特性信息。 BYTESRECEIVED 接收到的字节数，指示请求消息的大小。 BYTESSENT 发送出去的字节数，指示响应消息的大小。 DURATION 请求处理的持续时间，包括接收到请求到发送响应的时间。 RESP(XENVOYUPSTREAMSERVICETIME) 上游服务的响应时间，表示上游服务处理请求所花费的时间。 REQ(XFORWARDEDFOR) 请求的xff头部。 REQ(USERAGENT) 请求的用户代理，标识发起请求的软件。 REQ(XREQUESTID) 请求的唯一标识符，用于跟踪请求的生命周期。 REQ(:AUTHORITY) 请求的主机名，在HTTP/2中对应请求的authority字段。 RESPONSEFLAGS说明： 完整名称 短名 说明 NoHealthyUpstream UH 没有健康的上游服务，返回503状态码。 UpstreamConnectionFailure UF 连接上游失败，返回503状态码。 UpstreamOverflow UO 上游服务被熔断，返回503状态码。 NoRouteFound NR 找不到路由或者找不到过滤器链，返回404状态码。 UpstreamRetryLimitExceeded URX 超过上游重试次数。 NoClusterFound NC 找不到上游集群。 DurationTimeout DT 请求超时。 DownstreamConnectionTermination DC 下游连接中断。 FailedLocalHealthCheck LH 集群健康检查失败，返回503状态码。 UpstreamRequestTimeout UT 上游服务超时，返回504状态码。 LocalReset LS 连接被本地重置，返回503状态码。 UpstreamRemoteReset UR 连接被上游重置，返回503状态码。 UpstreamConnectionTermination UC 上游连接中断，返回503状态码。 DelayInjected DI 请求被注入了延迟。 FaultInjected FI 请求被注入了错误。 RateLimited RL 请求被限流，返回429错误码。 UnauthorizedExternalService UAEX 请求被外部授权服务拒绝。 RateLimitServiceError RLSE 由于限流服务报错导致请求被拒绝。 InvalidEnvoyRequestHeaders IH 请求头部异常，返回400错误码。 StreamIdleTimeout SI 请求空闲超时，返回408或者504错误。 DownstreamProtocolError DPE 下游请求HTTP协议错误。 UpstreamProtocolError UPE 上游返回的HTTP协议错误。 UpstreamMaxStreamDurationReached UMSDR 请求上游超时。 ResponseFromCacheFilter RFCF 请求通过envoy缓存插件支撑。 NoFilterConfigFound NFCF 由于没有在时间期限内收到filter配置导致请求被中断。 OverloadManagerTerminated OM 请求被过载管理器中断。 DnsResolutionFailed DF DNS解析失败。 DropOverload DO 请求被上游过载保护机制中断，返回503状态码。

本章节介绍如何进行日志查看 概述 云原生网关对接天翼云日志服务（LTS）实现了访问日志采集、上报和查询能力；使用此功能前需要先开通云日志服务，同时在云原生网关控制台开启日志功能。 每个云原生网关实例在云日志服务中会创建一个日志项目，项目名称为MSEGW${网关实例名称}，项目内有一个日志单元对应访问日志，单元名称为网关实例名称，您可以在云原生网关控制台 观测分析 > 日志中心 菜单 或者在云日志服务控制台查看网关访问日志。 访问日志格式说明 网关访问日志示例 {"starttime":1725411921254,"request":{"size":335,"method":"POST","uri":"/foo/bar","headers":{"accept":"text/plain, application/json, application/+json, /","contentlength":"0","ubertraceid":"b32bce4ff1f00f7b:899a1fd65c39be02:1c3372663d9eae03:0","connection":"keepalive","useragent":"Java/1.8.0212","host":"foo.ctyun.com","contenttype":"application/json"},"url":" alb/v3.4.5","contentlength":"427","date":"Wed, 04 Sep 2024 01:05:21 GMT","connection":"close","server":"MSEGW/3.2.2","contenttype":"application/json;charsetUTF8"},"status":400},"upstream":{"upstreamaddr":"10.121.x.x:80","upstreamstatus":"400","upstreamlatency":25,"upstreamname":"fooservice"},"routeid":"ddd342a2a3f34405bb8650ad4e","routename":"testroute"} 访问日志字段说明如下 字段 说明 starttime 请求开始时间 request 请求信息 serviceid 服务id server 网关节点信息 apisixlatency 网关自身处理耗时（不包括上游服务耗时） latency 总请求耗时（网关处理耗时和上游服务耗时之和） clientip 客户端IP response 应答信息 upstream 上游信息，包括上游地址，上游返回的HTTP状态码，上游耗时；当服务访问异常时可以重点关注此字段，确认是否时上游服务出了问题。 routeid 路由id routename 路由名称

本章节主要介绍创建开通物理机。 1. 登录天翼云，进入控制中心。 2. 在系统首页，单击“计算 >物理机服务”。 3. 在“物理机”界面，单击“申请物理机”。 4. 选择“区域”。不同区域的云服务产品之间内网互不相通。建议您选择最靠近您业务的区域，这样可以减少网络时延、提高访问速度。 5. 选择“可用区”。可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高应用的高可用性，建议您将物理机创建在不同的可用区。 如果您需要较低的网络时延，建议您将物理机创建在相同的可用区。 说明 物理机创建成功后，不可更改区域和可用区。 6. 选择“规格”。 包括规格名称、CPU、内存、本地磁盘和扩展配置。当您选择规格列表中的一个规格后，列表下方会展示该规格的名称、组网、用途等信息，以便您根据业务场景进行选择。 其中，扩展配置描述了所选机型的网卡信息。例如：2 x 210GE表示1块双网口的10GE网卡接入VPC网络，1块双网口的10GE扩展网卡支持物理机间的高速互联。 规格中的CPU、内存、本地磁盘等配置为固定值，不可更改。 不同规格的物理机带宽能力不同，请您根据实际业务慎重选择。 某些规格的物理机支持快速发放能力，选择后，界面会提供“系统盘”参数（在“磁盘”配置项中展示），物理机操作系统直接安装在云硬盘，实现快速发放。 7. 选择“镜像”。 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用（SDI卡驱动、bmsnetworkconfig网络配置程序、cloudinit初始化工具等）。请根据您的实际需要自助配置应用环境或相关软件。 私有镜像 用户基于外部镜像文件或物理机创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建物理机，可以节省您重复配置物理机的时间。 共享镜像 您将接受公有云其他用户共享的私有镜像，作为自己的镜像进行使用。 8. 选择“许可类型”。 在云平台上使用操作系统或软件的许可证类型。如果您选择的镜像为免费的，则系统不会展示该参数。如果您选择的镜像为计费镜像，此时系统会展示该参数。 使用平台许可证 使用云平台提供的许可证，申请许可证需要支付一定的费用。 使用自带许可证（BYOL） 使用用户已有操作系统的许可证，无需重新申请。 9. 设置“磁盘”。 有SDI卡的物理机可以使用云硬盘，云硬盘盘包括系统盘和数据盘。您可以为物理机添加多块数据盘，系统盘大小可以根据需要自定义。 是否能为物理机挂载云硬盘，由您所选的规格和镜像共同决定，以界面提示为准。 系统盘 如果选择支持快速发放的规格，界面会提供系统盘配置项，可以根据需要设置磁盘类型和大小。 数据盘 您可以为物理机添加多块数据盘，并设置数据盘的共享功能。 注意 物理机仅支持SCSI磁盘模式。 共享盘：勾选后，数据盘为共享云硬盘。该共享盘可以同时挂载给多台物理机使用。 10. 设置“网络”，包括“虚拟私有云”、“安全组”、“网卡”等信息。 第一次使用云服务时，系统将自动为您创建一个默认的虚拟私有云，包括安全组、网卡。其中，默认虚拟私有云支持的地址范围为192.168.1.0/24，子网网关为192.168.1.1，并为子网开启DHCP功能。 参数 解释 虚拟私有云 您可以选择使用已有的虚拟私有云，或者单击“查看虚拟私有云”创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间物理机的访问控制，加强物理机的安全保护。 用户可以在安全组中定义各种访问规则，当物理机加入该安全组后，即受到这些访问规则的保护。 创建物理机时，仅支持选择一个安全组。 但是物理机创建成功后，可以为物理机关联多个安全组。 说明 物理机初始化需要确保安全组出方向规则至少满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。 默认安全组出方向规则为： 协议：Any 端口范围：Any 远端地址：0.0.0.0/16 网卡 包括主网卡和扩展网卡。您可以添加多张扩展网卡，并指定网卡（包括主网卡）的 IP 地址。 注意 主网卡用于系统的默认路由，不允许删除。 如果您选择自动分配 IP 地址，请不要在物理机发放完成后修改私有IP 地址，避免和其他物理机 IP 冲突。 为网卡分配固定 IP 地址后，不能批量创建物理机 高速网卡 物理机之间的高速互联网络，为物理机提供更高的带宽。 一台物理机最多有两块高速网卡，并且依赖于扩展网卡总带宽（可以在规格的“扩展配置”列查看）。 例如，扩展网卡总带宽为 2 10GE，如果第一块高速网卡的带宽为 2 10GE，那么您不能再添加第二块高速网卡。 说明 同一台物理机的多张高速网卡不能选择同一个高速网络 弹性 IP 弹性 IP 是指将公网 IP 地址和路由网络中关联的物理机绑定，以实现虚拟私有云内的物理机通过固定的公网 IP 地址对外提供访问服务。 您可以根据实际情况选择以下三种方式： 不使用：物理机不能与外部网络互通，仅可以在私有网络中部署业务或构建集群。 自动分配：自动为物理机分配独享带宽的弹性 IP，带宽值由您设定。 使用已有：为物理机分配已有弹性 IP。 说明 选择已有弹性 IP 后，不能批量创建物理机 规格 选择您需要的物理机规格 计费方式 弹性 IP 选择“自动分配”时，需配置该参数。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。 按流量计费：按照实际使用的流量来计费。 带宽 弹性 IP 选择“自动分配”时，需配置该参数。 带宽大小，单位 Mbit/s。 11. 设置物理机登录方式。 “密钥对”方式创建的物理机安全性更高，建议选择“密钥对”方式。如果您习惯使用“密码”方式，请增强密码的复杂度，如下表所示，保证密码符合要求，防止被恶意攻击。 密钥对 指使用密钥对作为登录物理机的鉴权方式。您可以选择使用已有的密钥，或者单击“查看密钥对”创建新的密钥。 如果选择使用已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录物理机。 密码 指使用设置初始密码方式作为物理机的鉴权方式，此时，您可以通过用户名密码方式登录物理机。Linux操作系统时为root用户的初始密码，Windows操作系统时为Administrator用户的初始密码。密码复杂度需满足要求。 注意 Windows操作系统不支持选择密码登录方式。 参数 规则 样例 : 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种： 大写字母小写字母数字特殊字符，包括!@%^+[]{}:,./? 密码不能包含用户名或用户名的逆序。 Windows系统的物理机，不能包含用户名中超过两个连续字符的部分。 Test12@ 12. 设置“物理机名称”。 名称可自定义，但需符合命名规则：只能由中文字符、英文字母、数字及“”、“”、“.”组成。 一次创建多台物理机，系统会自动按序增加后缀。例如：输入bms，服务器名称为bms0001，bms0002，……。再次购买多台服务器时，命名从上次最大值连续增加，例如：输入bms，已有服务器bms0010，新创服务器名称为bms0011、bms0012、……，命名达到9999时，从0001开始。 设置您创建的物理机数量，最多为24台。 设置完成后，您可以通过单击“价格计算器”，查询当前配置的费用。 说明 当配额充足时，一次最多可以创建24台物理机；若配额不足24台，一次最多可创建数量为配额余量。 在设置网络信息时，若您选择自定义网卡或高速网卡的IP地址，或者选择已有弹性IP，则一次只能创建一台物理机。 13. 单击“立即申请”。 14. 在确认规格页面，单击“提交”。 注意 开通需要拥有物理机自助开通权限，如没有自助开通权限可以联系天翼云客户经理协助开通。

参数 描述 计费模式 支持包年包月和按需计费方式，费用说明请参照购买指南>计费说明。 购买时长 可以根据实际需求进行选择，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 自动续期 您可以选择开启自动续期，避免云原生网关到期后无法使用。 自动续期购买时长 当开启自动续期，可以选择续期时长，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 系列 支持基础版和集群版。 基础版：只支持单可用区部署，且节点数量为1。 集群版：自动将控制节点以及工作节点平均分配部署至各可用区，且节点数量不少于2。 实例规格 架构支持X86（通用、海光）、ARM（通用、鲲鹏、飞腾），具体以当前资源池提供的选项为准。 实例规格支持2C4G 、4C8G 、8C16G 、16C32G规格，规格支撑能力说明请参照 数据盘 支持超高IO ，最低大小50G，可根据实际需求自定义填写，填写值必须为50的倍数。 节点数量 基础版固定1个节点，无需填写；集群版您可以根据实际需求填写节点数量，节点数量不少于2。 部署方式 用户无需修改，基础版固定选中单可用区部署。 集群版时，如果当前资源池支持多可用区且节点数量大于2时，则默认为多可用区部署，单可用区部署置灰，否则为单可用区部署。 可用区 基础版需要选择任意一个可用区进行部署。 集群版会自动将控制节点以及工作节点平均分配部署至各可用区。 虚拟私有云 选择虚拟私有云，若您还没有虚拟私有云，请参照创建虚拟私有云。 所在子网 选择所在子网，若您还没有所在子网，请参照创建所在子网。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，最长40字符，只能包含小写字母、数字及分隔符()，且必须以小写字母开头，数字或小写字母结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 启用监控指标 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用访问日志采集 启用后，可在控制台观测分析中查看访问日志，若您还没有开通云日志服务，可先点击提示链接前往开通。

本章节主要向您介绍什么是企业路由器。 什么是企业路由器 企业路由器（Enterprise Router，ER）可以连接虚拟私有云（Virtual Private Cloud，VPC）或本地网络来构建中心辐射型组网，是云上大规格、高带宽、高性能的集中路由器。企业路由器支持路由学习、动态选路以及链路切换，极大的提升网络的可扩展性及运维效率，从而保证业务的连续性。 架构对比 下图为不使用企业路由器构建网络的示意图。 下图为使用企业路由器构建网络的示意图。 通过对比是否使用企业路由器，如下表格中总结了在构建云上网络时网络拓扑差异及使用企业路由器后的价值。 对比项 不使用企业路由器 使用企业路由器 企业路由器价值 同区域多个VPC互通 同区域4个VPC需要建立6个对等连接实现互通。 4个VPC路由表中各需要配置3条对端VPC的路由，共需要配置12条路由。 将同区域4个VPC接入ER中，ER可以在接入的所有VPC中路由流量。 ER可以自动学习VPC网段到路由表中，只需要在4个VPC路由表中配置到ER的路由。 免去大量的对等连接配置。 减少路由条目配置及维护工作量。 线下IDC和云上多个VPC互通 需要为每个和IDC互通的VPC建立专线。 将专线接入ER，多个VPC可以共享专线。 支持路由学习，免去繁复配置，降低维护难度。 多条链路之间联动，实现负载分担或互为主备。 可以看出，使用企业路由器构建的网络拓扑更简洁，可扩展性更高，同时网络维护工作也更简单。

下载取证 威胁事件支持下载数据包取证，单击列表右侧操作列的“下载取证”。 忽略 威胁事件支持针对事件和规则的忽略，单击列表右侧操作列的“忽略”。 忽略规则，包括忽略此条检测规则和此资产IP相关的事件。 忽略事件，仅忽略当前一条事件日志。 取消忽略 忽略的规则，通过“系统管理 > 系统设置 > 忽略规则管理”页面管理，将已经忽略的规则删除后，规则将继续生效。 警告配置 攻击源警告 “威胁检测 > 警告配置”页面的攻击源警告，用于对攻击源警告。当系统检测到远端IP地址存在恶意入侵或者探测行为时，可以对相应的IP进行告警，对其推送告警界面，以做警示，并记录告警事件时间和攻击源IP地址。 恶意网站警告 “威胁检测 > 警告配置”页面的恶意网站警告，用于对系统用户警告。当系统用户访问恶意网站时，对自己的用户推送提示页面，可以使用默认的提示内容，也可以自定义提示页面，自定义页面仅支持上传html的文件包。 恶意网站的数据，来源于国家能力中心。也支持用户自定添加，用户将自己整理的恶意网站的名称、域名添加到系统中，系统支持对自定义添加的恶意网站进行编辑、删除、停用、启用。 恶意网站检测通过开关控制，开关在“系统管理 > 功能配置 > 威胁检测”配置，默认关闭。

本章节介绍MSAP管理类常见问题 MSAP系统中可以自定义创建成员？ 添加子账号请访问 控制台。所有操作云容器引擎命名空间（创建环境绑定云容器引擎命名空间或部署应用）的子账号需要先被主账号授予云容器引擎集群命名空间权限，才可以将已授权的集群命名空间权限授予给其他子账号。账号同步需要子账号用户先登录天翼云官网并访问MSAP控制台才可同步成功。 MSAP系统是否支持无限量的创建项目？ 不允许无限量创建项目，因为此数据受租户配额管理，最多允许租户创建100个项目，如确实需要增加项目数，可以联系客服人员进行合理增加。 跳转到日志服务后，检索不到日志内容？ 出现此问题先按照如下方式进行检查。 1. 检查日志插件是否正常安装，可以在日志收集配置处，点击如何收集日志按钮，按照指引跳到对应的插件界面进行检查和安装。 2. 检查日志路径是否配置正确，配置的路径需要是有日志输出的路径才能正确收集到日志，修改了日志路径，需要再次部署应用才能生效。 应用发布成功后，没有注册到环境中添加的注册配置中心？ 程序中能识别的配置要与官方配置内容格式一致。 Springcloud配置： spring.cloud.nacos.discovery.serveraddr: 127.0.0.1:8859 spring.cloud.nacos.discovery.namespace: default spring.cloud.nacos.discovery.username: xxxxx spring.cloud.nacos.discovery.password: xxxxx Dubbo配置:： dubbo.registry.address: 127.0.0.1:8859 dubbo.registry.username: xxxxx dubbo.registry.password: xxxxx dubbo.registry.parameters.namespace: default

如果您需要对天翼云上购买的存储容灾服务（Storage Disaster Recovery Service）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用SDRS的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品帮助中心。 SDRS系统策略 策略是以JSON格式描述权限集的语言。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。IAM系统预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些系统策略。 SDRS部署时通过物理区域划分，为项目级服务，需要在各区域（如江苏苏州）对应的项目（cnjssz1）中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问SDRS时，需要先切换至授权区域。

本节主要介绍创建ServiceStage自定义策略 如果系统预置的ServiceStage权限，不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：“帮助中心 > 统一身份认证服务 > 用户指南 > 用户指南 > 权限管理 > 自定义策略 > 创建自定义策略”。本章为您介绍常用的ServiceStage自定义策略样例。 自定义策略样例 如下以定制一个IAM用户禁止创建及删除微服务引擎的策略为例。 { "Version": "1.1", "Statement": [ { "Action": [ "cse::" ], "Effect": "Allow" }, { "Action": [ "cse:engine:create", "cse:engine:delete" ], "Effect": "Deny" } ] } 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 权限授予成功后，用户可以通过控制台以及REST API等多种方式验证。 此处以上述自定义策略为例，介绍用户如何通过登录ServiceStage控制台验证自定义禁止创建微服务引擎的权限： 1. 使用新创建的用户登录云服务，登录方法选择为“IAM用户”。 租户名为该IAM用户所属云服务帐号的名称。 IAM用户名和IAM用户密码为以租户名在IAM创建用户时输入的用户名和密码。 2. 在“微服务引擎 CSE”页面，创建微服务引擎，返回403错误，表示权限配置正确并已生效。

本文主要介绍 修改DNS与添加安全组（Windows） 操作场景 本章节指导用户为Windows系统的ECS主机添加域名解析并添加安全组，防止下载Agent安装包与采集监控数据时出现异常。 修改ECS的DNS配置有两种方式：Windows图形化界面和管理控制台。您可以根据自己的使用习惯选择其中一种方式进行配置。 注：添加DNS服务解析和配置安全组针对的是主网卡。 修改DNS（Windows图形化界面） 本节介绍使用Windows图形化界面方式添加域名解析地址的操作步骤和方法。 1. 选择“服务列表 > 计算 > 弹性云主机”。通过VNC方式登录Windows弹性云主机。 2. 打开“控制面板 > 网络与共享中心”，单击“更改适配器配置”。 3. 右键单击使用的网络，打开设置，配置DNS。 图 添加域名解析地址（Windows） 注：100.125.0.250为示例说明，具体DNS请联系管理员获取。 修改DNS（管理控制台方式） 本节介绍登录管理控制台后修改ECS的DNS配置的操作步骤和方法。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 1. 在管理控制台左上角选择区域和项目。 2. 选择“服务列表 > 计算 > 弹性云主机”。 弹性云主机列表中，单击ECS名称查看详情。 3. 在“虚拟私有云”项单击虚拟私有云名称，进入“虚拟私有云”界面。 4. 在“VPC名称/ID”列表中，单击“vpc328c”。 5. 在“子网”列表中，单击“subnet328d”所在行“修改”。 弹出“修改子网”对话框，修改“DNS服务器地址1”为正确的DNS服务器IP地址。 注：subnet328d为该ECS的子网。 6. 单击“确定”，保存设置。 注：在控制台修改DNS需重启ECS或BMS后生效。

本节为您介绍数据库迁移的使用限制。 项目 约束和限制 多版本数据库数据传输 建议源库和目标库版本保持一致，或者从低版本传输至 高版本以保证兼容性，不支持高版本传输至低版本。 任务限制 请根据您的操作类型查阅对应章节下各类任务配置中描述的前提和要求。例如：您需要从自建MySQL迁移至自建MySQL，请查阅“ 用户指南 > 数据库迁移服务模块 > 数据传输 > 数据迁移 > 任务创建 >自建MySQL为源的迁移任务配置 > 自建MySQL迁移至自建MySQL ”目录下的相关约束条件。 迁移速度 迁移速度受源端表数量、大小，带宽、数据库磁盘IO以及公网传输距离等因素影响。 复杂业务拉起、支撑限制 传输复杂业务时，需要记录业务关联信息，并根据需求按业务系统进行迁移、切换、测试； 应用切换时，需要停止相关业务进程，以保持一致性。切换完成后，也需相关熟悉业务人员进行测试验证，以此减少业务停机时间。 特定需求限制 如果存在涉密文件、需要保持IP不变等特定需求，需要通过工单进行技术咨询，以满足相应需求。 单任务和迁移任务数量限制 每个任务单次可处理的表上限为500张；每个用户可并发执行的任务数量为50个。每个任务只能迁移一个数据库，如需迁移/同步/订阅多个数据库，您需要为每个数据库配置任务。 迁移节点配置限制 迁移节点所在主机最低配置为4核CPU，8GB内存，Linux内核大于3.1.0。请根据实际数据库体量和迁移需求提升主机配置。为避免迁移执行影响业务系统性能，请勿将迁移节点安装在业务系统或数据库主机。 迁移网络限制 仅支持独享IP。为避免迁移执行影响业务系统性能，请勿将业务系统的访问带宽、业务系统与数据库的传输带宽用于数据迁移。建议数据迁移使用独享带宽。 源库限制 暂不支持库、模式名、表、列名、结构名中带短划线“”，例如“testdb”； 请确保源库和目标库的字符集兼容或一致，否则可能会导致数据不一致或失败； 暂不支持无主键、多主键表进行增量迁移、同步、订阅和稽核修复。 迁移/同步/订阅任务限制 同步/订阅仅适用于数据变更小于1000record/s场景，请勿应用于中大型密集业务间同步、灾备等场景； 迁移/同步/订阅暂只支持任务启动之后传输数据的UPDATE、INSERT、DELETE变化，不支持任务过程结构变化传输； 任务运行过程中，请勿变更库、表或列结构变更的DDL操作，否则任务会失败； 不支持迁移系统库、系统模式、系统表、临时表； 迁移过程中请保证数据库不发生主备切换，否则会导致迁移失败； 迁移过程请保证数据库的信息（IP、端口、用户名和密码）不发生变化，否则会导致迁移失败； 如仅执行全量数据迁移，请勿向源端数据库写入新的数据，否则会导致源和目标数据不一致； 数据一致性的保持需要用户业务配合，请勿两个业务节点上对同一个主键数据进行更新，避免主键冲突或相互覆盖。 迁移源端和目标端配置限制 由于数据迁移会并发执行INSERT操作，导致目标数据库的表产生碎片，因此目标数据库磁盘空间应为源数据库1.2倍以上； 由于传输过程中会对源库和目标库产生一定资源占用，因此源库和目标库所在服务器的CPU和磁盘使用率应小于90%； 源库和目标库需保持时区一致。 详情查阅帮助中心 > 云迁移服务> CMS 用户指南 > 数据库迁移服务模块 >数据传输 > 数据迁移 > 任务创建 章节下各类任务配置中描述的前提和要求 详情查阅帮助中心 > 云迁移服务> CMS 用户指南 > 数据库迁移服务模块 >数据传输 > 数据迁移 > 任务创建 章节下各类任务配置中描述的前提和要求

自动续订周期 包月产品默认自动续订周期为1个月，包年产品默认自动续订周期为1年，用户可按需调整自动续订周期。 自动续订价格 自动续订下单扣费时按当时的标准价自动续订，续订1年或以上可享受包年折扣。 0元、秒杀等特价促销活动产品订购后，自动续订下单扣费时将恢复标准价。 预付费用户暂不支持代金券支付，仅支持余额支付，用户需确保账户余额充足。 自动续订扣费规则 支付方式及支付时间：将在资源到期前10天或前7天进行自动续订下单及扣费。 自动续订订单出账后不可取消。客户如有问题，可发起退订，自动续订订单的退订与退订规则保持一致，退订的同时，该资源的自动续订自动关闭。 自动续订和手动续订的关系 在7天或更短时间内到期的资源，或已到期资源，需手动续订，无法设置自动续订。 开通自动续订功能后，也可以进行手动续订。在自动续订扣费日前进行手动续订，系统将按照手动续订后的到期日期，重新计算下一次自动续订的下单时间。 自动续订操作流程 1、开通自动续订 步骤1 进入“续订管理”页面。 步骤2 设置查询条件。 可综合利用到期时间、产品类型、是否开通自动续订查询资源。 由于自动续订两次下单时间为到期前10天和前7天，建议您选择“到期时间≥10天”，选择未开通自动续订功能的云主机、云硬盘、带宽、RDS资源开通自动续订。 步骤3 单个自动续订与批量自动续订可使用不同的操作方式： 单个自动续订：在资源页面找到待续订的资源，单击操作列的“开通自动续订”。 批量自动续订：在资源页面勾选需要续订的资源，单击资源列表下方的“设置自动续订”。 步骤4 设置“自动续订周期”，仔细阅读《天翼云自动续订服务协议》，如果同意全部约定，则勾选“我已阅读并同意遵守《天翼云自动续订服务协议》的约定”，单击“确定提交”。 说明 开通自动续订功能并不会直接下单扣费，系统将在资源到期前第10天、第7天下单扣费。 自动续订页面的续订金额目的在于提醒用户，预付费用户的账户余额需至少大于等于此处续订金额（如案例中为145元）才可自动续订成功，后付费用户则需了解账单（如案例中为3月出账）将增加一笔资源续订费用（如案例中为145元）。 批量开通自动续订，操作后续订周期相同，用户可随时对其中任意资源的自动续订周期进行调整。