协议服务提供标准NFS协议访问HPFS文件系统的能力，本文介绍创建协议服务的场景说明和操作步骤。 场景说明 当创建文件系统后，如您需要使用弹性云主机ECS或CPU物理机来挂载该文件系统，您需要创建协议服务，使用VPC或VPCE挂载地址挂载到云服务器上。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务HPFS”，进入并行文件服务的控制台页面。 3. 点击目标文件系统，进入文件系统详情页，点击协议服务页签，即可进入协议服务页面。 4. 单击“创建协议服务”按钮，进入创建页面，根据需求及界面提示进行选择并点击创建： 参数 说明 文件系统 所属文件系统的ID。 协议服务规格 只支持通用型。 协议类型 导出协议类型NFS，默认支持NFSv3和NFSv4。 注意 这里的协议类型选择，不影响文件系统本身协议类型为HPFSPOSIX，相当于同时提供两种协议访问通道。 选择网络 选择协议服务使用的虚拟私有云（VPC），需要与要挂载的云服务器VPC网络相同，才能保证网络互通，实现文件的挂载访问。 创建后不可修改，若当前地域没有虚拟私有云，点击“创建虚拟私有云”，创建完成后刷新可选择新建的VPC。 如您是在地域资源池使用，则还需选择NFS协议使用的子网（SUBNET）网络。 注意 一个文件系统可以创建多个协议服务； 同一个文件系统，创建的不同协议服务，不能绑定同一个vpc； 不同的文件系统，创建的不同协议服务，可以绑定同一个vpc。 终端节点 开启后本服务将为您创建免费的终端节点（VPCE），自动连接并行文件的协议服务。 创建VPCE后将返回该VPC专属的挂载地址，通常需要1~3分钟。如果您删除了终端节点，则VPCE的挂载地址将会失效。 开启终端节点后，需选择NFS协议使用的子网（SUBNET）网络，仅支持选择普通子网。 描述 协议服务的描述信息，可根据需求添加备注。 5. 协议服务为异步创建，创建完成后，可在协议服务列表页刷新，即可看到对应的协议服务信息。

本文介绍了如何通过数据管理服务将数据从天翼云关系数据库MySQL版导入和导出。 前提条件 操作用户拥有目标数据库的导入、导出权限。 目标数据库已是登录状态。 数据导入、导出功能支持的资源池请参考数据管理服务的资源池约束。 约束限制 数据导入功能支持的数据库类型：支持MySQL、PostgreSQL等数据库类型。 数据导入功能支持本地上传SQL文件、CSV文件（逗号分隔值）、TXT文件（逗号分隔值）。 数据导入功能支持的写入方式： INSERT INTO：插入数据，数据库会检查主键（PrimaryKey），如果出现重复会报错。 INSERT IGNORE INTO：插入数据，数据库会检查主键（PrimaryKey），如果表中已经存在相同的记录，则忽略当前新数据。 REPLACE INTO：插入替换数据，数据库会检查主键（PrimaryKey），如果数据库已经存在数据，则用新数据替换，如果没有数据效果则和INSERT INTO一样。 数据导出功能支持多种常见的数据格式：CSV（逗号分隔值）、SQL文件、TXT文件。 数据导出功能支持整表导出，也可以输入SQL语句进行定制导出确保只导出您所需的数据。 数据导出功能当前支持最大数据量100万行。 详细信息请参考数据导入介绍文档、 数据导出介绍文档。 操作步骤 数据导入 1. 登录数据管理服务的管理控制台。 2. 在左侧导航栏，单击 开发空间 > 数据导入，进入数据导入管理页面。 3. 单击数据导入按钮，弹出数据导入工单填写弹窗，工单需要输入的内容说明如下： 1. 目标数据库：数据库实例选择列表，数据来源于数据资产元数据管理中添加的数据库实例，支持MySQL、PostgreSQL。 2. 文件类型：可以选择csv、sql、txt文件类型其中之一。 3. 目标表：在选择目标数据库下，筛选导入的目标表。 4. 写入方式：可以选择INSERT INTO、INSERT IGNORE INTO、REPLACE INTO三种写入方式其中之一。 5. 附件上传：上传对应文件类型的文件。 6. 工单说明：描述工单备注内容。 4. 填写完数据导入工单后，单击提交按钮，即完成工单的提交，进入数据导入后台执行阶段。

本文为您介绍如何设置SSL数据加密，提升实例连接的安全性。 注意 仅V5.1.9.6020.2531及以后版本的实例，支持该功能。 前提条件 实例状态为运行中。 背景信息 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 开启SSL加密 在使用SSL加密功能前，您需要开启SSL加密，操作步骤如下： 注意 开启SSL后，您需要手动重启全部节点，才能生效。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击连接加密页签，进入SSL加密管理页面。 5. 单击SSL设置。 6. 在SSL设置 对话框中，打开SSL链路加密 开关，并配置验证模式。 标准模式：仅开启SSL加密但不使用SSL自带的二次验证，主要兼容历史应用系统配置。 CA模式：需要下载CA证书并上传客户端进行验证，CA证书存在有效期（默认为10年）需定期更换。 7. 单击提交。 如果您不再需要使用SSL加密，只需在SSL设置 对话框中，关闭SSL链路加密开关即可。 8. 如果您的SSL加密验证模式 为CA模式，则您还需要在控制台下载自动生成的SSL自签名证书包。 在SSL加密管理页面，单击CA证书 参数右侧的下载证书，系统自动下载证书包（包含ca、server和client证书），请妥善保存。 注意 证书默认有效期为10年，您可以根据实际情况，单击证书到期时间 参数右侧的重新生成证书，重新生成证书并下载到本地。

本文为您介绍创建容灾演练的具体操作。 概述 容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务，涉及的演练任务来源于相应的预案流程，演练时演练任务为实战演练。 使用条件 进行容灾演练前，需提前购买容灾演练包，并完成命名空间创建、容灾管理中心配置、应用接入（可选）、预案编排。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾切换”“容灾演练”，进入容灾演练列表页。 5. 在列表上方下拉菜单中选择需要进行容灾演练的命名空间。 6. 点击列表上方的“创建容灾演练”按钮，弹出创建容灾演练弹窗。 7. 填写创建容灾演练信息，各配置项信息如下： 参数 是否必填 配置说明 演练名称 √ 填写演练名称，同命名空间下演练名称需唯一。 长度为263字符。 关联预案 √ 选择当前命名空间下已发布状态的预案名称。 涉及容灾管理中心 × 显示选择关联预案后容灾管理中心。 演练超时时间 √ 填写演练超时时间，单位为分钟。 系统将在执行“开始演练”操作后计时，超时所填时间系统将自动终止该演练，最新演练状态更新为“已终止”且无法恢复。 时间范围为10分钟6小时。 单个任务超时时间 √ 填写单个任务超时时间，单位为分钟。 单个任务超时时间指任务执行时间超出后系统自动将该任务状态置为“已超时”，需人工介入处理。 该超时时间仅对脚本任务及资源操作类的内置任务有效，人工任务及流程控制类的内置任务不受此超时时间影响。 时间范围为1分钟2小时。 描述 × 填写容灾演练描述。 长度为0100个字符。 8. 点击“确定”按钮，完成容灾演练创建。成功创建后，列表新增一条相关记录，演练状态为“正常”，最近演练执行状态为“未开始”。

在新版事件列表查看审计事件 1. 登录管理控制台。 2. 单击左上角，选择“管理与监管 > 云审计服务 CTS”，进入云审计服务页面。 3. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 4. 事件列表支持通过高级搜索来查询对应的操作事件，您可以在筛选器组合一个或多个筛选条件： 1. 事件名称：输入事件的名称。 2. 事件ID：输入事件ID。 3. 资源名称：输入资源的名称，当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时，该字段为空。 4. 资源ID：输入资源ID，当该资源类型无资源ID或资源创建失败时，该字段为空。 5. 云服务：在下拉框中选择对应的云服务名称。 6. 资源类型：在下拉框中选择对应的资源类型。 7. 操作用户：在下拉框中选择一个或多个具体的操作用户。 8. 事件级别：可选项为“normal”、“warning”、“incident”，只可选择其中一项。 1. normal：表示操作成功。 2. warning：表示操作失败。 3. incident：表示比操作失败更严重的情况，例如引起其他故障等。 9. 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近1周内任意时间段的操作事件。 5. 在事件列表页面，您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 1. 在搜索框中输入任意关键字，单击按钮，可以在事件列表搜索符合条件的数据。 2. 单击“导出”按钮，云审计服务会将查询结果以.xlsx格式的表格文件导出，该.xlsx文件包含了本次查询结果的所有事件，且最多导出5000条信息。 3. 单击按钮，可以获取到事件操作记录的最新信息。 4. 单击按钮，可以自定义事件列表的展示信息。启用表格内容折行开关，可让表格内容自动折行，禁用此功能将会截断文本，默认停用此开关。 6. 关于事件结构的关键字段详解，请参见事件结构和事件样例。 7. （可选）在新版事件列表页面，单击右上方的“返回旧版”按钮，可切换至旧版事件列表页面。

介绍配置文件解压缩的具体步骤。 功能说明 媒体存储提供压缩文件自动解压功能，配置规则后，符合规则的压缩文件都会进行自动解压后上传到对象存储中。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 前提条件 已完成新建Bucket操作，具体可参考 新建Bucket 。 操作步骤 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要配置文件解压缩的存储桶，并点击【基础配置】页签。 3. 在【压缩包解压设置】模块，点击【添加规则】。 说明 一个Bucket可创建10条解压规则。 4. 在弹窗填写相关规则内容，并勾选“我知晓并同意授予天翼云媒体存储服务访问存储桶资源的权限”完成配置。 配置参数说明 参数 是否必填 说明 规则名称 是 规则名称需在当前桶唯一，不能超过255个字符。 前缀 是 填写触发解压规则的资源前缀。不支持首个字符为"/"或包含“//”。配置前缀后，上传带有该前缀的ZIP包会触发在线解压。 为避免触发循环执行，因此文件前缀为必填项。 后缀 否 如需要解压的文件后缀与解压格式不一致，则需填写此项。您可根据实际情况填写。 解压格式 是 支持zip、rar、tar，一条规则仅支持一种解压格式。上传的文件后缀与解压格式一样的，将优先解压。如后缀与解压格式不一致，您可通过“后缀”字段进行配置。 目标前缀 是 填写解压文件保存的目标前缀。 1.只能以字母或数字开头。 2.可用数字、中英文和可见字符的组合。 3.用 / 分割路径，可快速创建子目录。 4.不允许：连续 / ；以 / 开头； 以空格开头；包含 “..” 或 “+”。 5.不超过100个字符。 保留源文件 是 选择解压完成后，是否还保留源文件。 回调地址 否 如您需要接受解压完成的回调信息，可填写回调服务地址，包括协议头。 回调鉴权 是 根据业务情况选择回调地址是否需要鉴权，如需鉴权，选择【是】，并填写鉴权所需的Access Key和Secret access key信息。

历史处置记录 呈现漏洞的处置历史。 表118 历史处置记录功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 历史处置记录 提供漏洞的历史处置记录，方便您查看相关处理时间和处理人等信息。 × √ √ √ √ √ Linux、Windows 安全报告 HSS支持以天、周、月的形式输出用户资产的安全报告。 表119 安全报告功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 安全报告 呈现每周或每月的主机安全趋势以及关键安全事件与风险。 × √ √ √ √ √ Linux、Windows 安全配置 支持配置常用登录地、常用登录IP、SSH登录IP白名单、恶意程序自动隔离查杀等，可满足不同应用场景的主机/容器安全需求。 表120 安全配置功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 Agent管理 可查看所有服务器的Agent状态，可进行升级、卸载、安装等操作。 √ √ √ √ √ √ Linux、Windows 实时检测 常用登录地 配置常用登录地后，服务将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。 √ √ √ √ √ √ Linux、Windows 实时检测 常用登录IP 配置常用登录IP，服务将对非常用IP登录主机的行为进行告警。 √ √ √ √ √ √ Linux、Windows 实时检测 配置SSH登录IP白名单 SSH登录IP白名单功能是防护账户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。 √ √ √ √ √ √ Linux 实时检测 恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助用户自动识别处理系统存在的安全风险。 × √ √ √ √ √ Linux、Windows 实时检测 双因子认证 通过密码+短信/邮件认证的方式，彻底防范账号暴力破解行为。 按需：×包年/包月：√ √ √ √ √ √ Linux、Windows 告警配置 开启告警通知功能后，您能接收到企业主机安全发送的告警通知，及时了解主机/容器/网页内的安全风险。 √ √ √ √ √ √ Linux、Windows

本文解释域名解析相关的概念。 什么是域名解析？ 域名解析是指将域名映射为服务器IP的过程。互联网上用户访问某个网站时，通常要定位到具体的目标服务器。由于目标服务器均为IP，不便于用户记忆，也不易调整和维护，因此引入域名概念，用户仅记住域名即可。而由域名映射到IP的过程，就是域名解析。例如www.ctyun.cn就是一个域名，它对应一个IP地址。有了域名，网站调整服务器ip，只需要调整域名解析记录即可。 为什么要解析域名？ 为了确保外部用户能通过域名访问到正确的服务器IP地址，从而访问到正确的网站内容，需要网站先完成域名解析。 如何进行域名解析？ 中国内地的域名注册商基本都有自己的DNS服务器。客户可以在自己的域名注册商完成域名解析配置。 域名解析中的几种常见记录类型有哪些？ CNAME记录：CNAME记录即别名记录，一个域名在具体某个地区一般只会有一个CNAME记录，代表该域名在该地区的解析权将授权给另一个域名。CDN加速原理中，即是通过CNAME记录，完成客户域名到CDN厂商域名的解析授权过程，详情请见：天翼云CDN加速简介 中的“加速原理”部分。 A记录：A (Address) 记录是用来指定域名对应的IP地址记录，是最常见的域名解析记录类型，一个域名可以有多个A记录，即指向多个服务器IP。如果网站未进行CDN加速，则其域名解析结果直接为A记录。 CNAME记录与A记录的关系：CNAME记录只是一个别名的过程记录，最终仍需要通过A记录解析到具体服务器IP，因此用户访问CDN加速后的域名，往往要先经过CNAME记录再到A记录后，才能完成整个DNS解析过程。使用CNAME后，如果网站未进行CDN加速，也可以通过将多个域名均CNAME至同个地址，调整服务器IP时只需调整该CNAME域名A记录即可，运营维护会更为简单方便；如果网站有通过CNAME将域名解析授权至CDN，则可以起到隐藏真实网站IP（即CDN的源站）的作用，更好的保护源站不受外部攻击。

本文概括介绍天翼云HTTPS相关的功能及使用场景。 功能简介 HTTPS相关功能主要包括：HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、配置加密套件等，可满足客户不同场景的使用需求。 功能 说明 配置HTTPS 开启HTTPS功能，实现客户端和CDN节点之间使用HTTPS加密传输。 HTTP2.0配置 相对于HTTP1.1，HTTP2.0新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决HTTP1.1中存在的一些问题，优化请求性能。 强制跳转 用户到CDN节点的请求需要强制跳转为HTTP或者HTTPS时，可以配置强制跳转功能。 OCSP装订 开启OCSP装订功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中，提升HTTPS响应性能。 国密HTTPS 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。 TLS版本配置 TLS即安全传输层协议，目的是为互联网通信提供安全及数据完整性保障，您可以按需对不同加速域名配置不同的TLS协议版本。 批量HTTPS证书配置 CDN支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 配置HSTS HSTS是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。 网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 配置加密套件 加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。在Client Hello和Server Hello消息交换之后，客户端发送密码支持套件列表，服务器从列表中选择密码套件进行响应。

本文介绍认证鉴权内容。 信息的获取 获取AccessKey(ak)和SecurityKey(sk)： 登录天翼云门户，在“控制台”>“账号中心”>“安全设置”>“登录保护”>“用户AccessKey”点击“查看”获取。 注意：SecurityKey信息只在创建的时候展示，请务必留存好信息。 EopAuthorization签名认证信息： 可参考调用示例Python3调用示例、Java调用示例 步骤一：构造代签字符串 sigture sigture 需要进行签名的Header排序后的组合列表+ " n " + encode的query + " n " + toHex(sha256(原封的body)) 名称 描述 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn encode的query query以&作为拼接，key和value以连接，值需要encode，query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture示例1（ 假设query为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture示例2（ 假设query不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Zn”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

接口功能介绍 支持按照协议、运营商、省份、流名等不同维度查询直播带宽。 使用说明 单个用户一分钟限制调用10000次，并发不超过100。 可查询历史数据时间范围为最近14天。 单次可查询的时间跨度为3小时，时间延时为5分钟。 单次查询输入域名的个数不能超过100个。 最大返回记录50000条记录。 该接口查询的数据不作为计费依据。 接口详情 请求方式：post 请求路径：/live/statistics/querybandwidthdata 请求参数 参数名 类型 名称 是否必填 说明 :::: starttime long 开始时间戳 是 起始时间，时间戳(秒)。不传或者传小于等于0是默认取当前时间3分钟 endtime long 结束时间戳 是 结束时间，时间戳(秒)。不传或者传小于等于0默认取starttime + 1分钟 interval string 时间粒度 否 时间粒度，目前限制1m，不传默认1m domain list（string） 域名列表 否 域名，不传默认名下所有域名，可多个域名，且域名的个数不超过100个 app list（string） 应用名列表 否 应用名，默认名下所有应用名，可多个应用名 stream list（string） 流名列表 否 流名，默认名下所有流名，可多个流名 province list（int） 省编码列表 否 省编码列表，不传默认所有省份，点击查看省份及对应的省编码。 isp list（string） 运营商编码列表 否 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商及对应的运营商编码。 protocol list（string） 应用层协议列表 否 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为rtmp、http、https livetype list（string） 播放协议列表 否 播放协议，支持rtmp，flv，hls，other，不传默认所有播放协议，作为统计过滤项。 groupby list（string） 聚合维度 否 该指标统计结果的聚合维度，支持在时间颗粒度外叠加多种聚合维度。目前支持domain，app，province，isp，stream，province，isp，protocol，livetype。不传默认统计结果按时间颗粒维度聚合。

本章节介绍DDS的自定义策略。 如果系统预置的DDS权限，不满足您的授权要求，可以创建自定义策略。 目前天翼云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 本章为您介绍常用的DDS自定义策略样例。 DDS自定义策略样例 示例1：授权用户创建文档数据库实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dds:instance:create" ] } ] } 示例2：拒绝用户删除文档数据库实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循 Deny优先原则 。 如果您给用户授予DDS FullAccess的系统策略，但不希望用户拥有DDS FullAccess中定义的删除文档数据库实例权限，您可以创建一条拒绝删除文档数据库实例的自定义策略，然后同时将DDS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对DDS执行除了删除文档数据库实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny" "Action": [ "dds:instance:deleteInstance" ], } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "dds:instance:create", "dds:instance:modify", "dds:instance:deleteInstance", "vpc:publicIps:list", "vpc:publicIps:update" ], "Effect": "Allow" } ] } 实例4：授权资源策略 一个自定义策略可以设置资源策略，表示在当前的action下面，拥有哪些资源的操作权限，目前支持实例名称的配置，可以用来表示通配符。授权资源策略的描述如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dds:instance:list" ] }, { "Effect": "Allow", "Action": [ "dds:instance:modify" ], "Resource": [ "DDS:::instanceName:dds" ] } ] }

介绍分布式消息服务MQTT实例详情。 实例详情包含基本的实例基本信息、当前性能指标信息以及各MQTT Broker节点信息。 基本信息 实例基本信息包括实例ID、实例名称、实例类型、专有网络、子网、安全组、创建时间、服务端连接地址、内网终端连接地址等，各字段释义如下： 实例ID：MQTT实例ID通常用于标识和管理不同的MQTT实例。每个MQTT实例都有一个唯一的实例ID，以确保在MQTT Broker上进行识别和区分。实例ID通常是一个字符串，由系统自动生成。 实例名称：MQTT实例名称通常用于标识和描述特定的MQTT实例。它是一个可读性高的字符串，用于方便用户在管理和监控中识别不同的MQTT实例。实例名称可以由用户自定义，也可以由MQTT服务根据用户指定的规则自动生成。通常情况下，实例名称是唯一的，以确保在一个MQTT服务中区分不同的实例。 实例类型：包含MQTT主机规格和节点数信息。 专有网络：即VPC，为分布式消息服务MQTT提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。 子网：构建在云基础设施上的网络分段，用于划分和管理云资源的网络连接。 安全组：网络安全控制机制，用于在云计算环境中管理虚拟机实例、容器实例或其他云资源的网络访问规则。 创建时间：购买并成功创建MQTT实例时间。 服务器连接地址：MQTT服务器的主机名或IP地址。 内网终端连接地址：在局域网或内部网络中使用的地址，用于设备之间在相同网络环境下进行通信。 内网终端SSL连接地址：内网终端之间建立SSL连接，使用MQTT over TLS/SSL（通常称为MQTTS）来保护通信。 公网IP：可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。

本文主要介绍弹性文件服务的基本概念。 什么是NFS？ NFS（Network File System），即网络文件系统。一种使用于分散式文件系统的协议，通过网络让不同的机器、不同的操作系统能够彼此分享数据。 Linux系统建议使用NFS协议类型的文件系统。 什么是CIFS？ CIFS（Common Internet File System），通用Internet文件系统，是一种网络文件系统访问协议。CIFS是公共的或开放的SMB协议版本，由微软公司使用，它使程序可以访问远程Internet计算机上的文件并要求此计算机提供服务。通过CIFS协议，可实现Windows系统主机之间的网络文件共享。 CIFS类型的文件系统不支持使用Linux操作系统的云主机进行挂载。 Windows系统建议使用CIFS协议类型的文件系统。 文件系统 文件系统通过标准的NFS协议和CIFS协议为客户提供文件存储服务，用于网络文件远程访问，用户通过管理控制台创建挂载地址后，即可在多个云主机上进行挂载，并通过标准的POSIX接口对文件系统进行访问。 POSIX 可移植操作系统接口（Portable Operating System Interface，POSIX），是IEEE为要在各种UNIX操作系统上运行软件而定义API的一系列互相关联的标准的总称。POSIX标准意在期望获得源代码级别的软件可移植性。也就是为一个POSIX兼容的操作系统编写的程序，可以在任何其它的POSIX操作系统上编译执行。 DHCP 动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下，DHCP作为Windows Server的一个服务组件不会被系统自动安装，还需要管理员手动安装并进行必要的配置。

本章节介绍对等身份认证 概述 对等身份认证（PeerAuthentication）策略定义了sidecar之间通信的TLS模式，当前支持三种模式： PERMISSIVE：宽松模式，该模式下，sidecar将接受明文和双向TLS加密通信。 STRICT：严格模式，该模式下，sidecar只接受双向TLS加密通信。 DISABLE：禁用双向TLS；一般情况下不应该使用该模式。 如下PeerAuthentication策略定义了访问foo命名空间下的服务都必须采用双向TLS认证模式： apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: name: default namespace: foo spec: mtls: mode: STRICT 创建对等身份认证 1. 从控制台选择菜单 网格安全中心 > 对等身份认证。 2. 选择命名空间，默认展示当前命名空间下的对等身份认证策略，选择左上角 创建对等身份认证。 3. 根据模板编辑，保存即可。 修改对等身份认证 1. 从控制台选择菜单 网格安全中心 > 对等身份认证。 2. 选择命名空间，默认展示当前命名空间下的对等身份认证策略，选择操作栏的编辑功能。 3. 编辑保存即可。 删除对等身份认证 1. 从服务网格控制台选择菜单 网格安全中心 > 对等身份认证。 2. 选择命名空间，默认展示当前命名空间下的对等身份认证策略，选择操作栏的删除功能删除指定的策略配置。 PeerAuthentication配置说明： 字段 类型 必选 说明 selector WorkloadSelector No 工作负载选择器，根据标签选择策略生效的工作负载。 mtls MutualTLS No Mtsl配置，MutualTLS.mode可选值： 1，UNSET：未定义，默认继承父层级配置（命名空间级或者全局），如果父层级不存在则默认为PERMISSIVE。 2，DISABLE：禁用mTLS认证，采用明文传输。 3，PERMISSIVE：同时支持mTLS和明文。 4，STRICT：只支持mTLS模式。 portLevelMtls map No 端口级对等身份认证策略。

本节主要介绍添加服务类问题 添加的对外访问方式不能生效，如何排查？ 出现上述问题可能是访问相关的资源配置有缺失或错误，请按照如下方法进行排查： 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群，使用kubectl get gateway n istiosystem命令查看使用的gateway是否配置好使用的IP/域名和端口。使用kubectl get svc n istiosystem命令查看使用的ingressgateway是否有对应的IP和端口，且未处于pending状态。 核实加入服务网格的内部访问协议和添加网络配置的外部访问协议一致。 如果通过浏览器访问出现“ERRUNSAFEPORT”错误，是因为该端口被浏览器识别为危险端口，此时应更换为其他外部端口。 一键创建体验应用为什么启动很慢？ 体验应用包含productpage、details、ratings和reviews 4个服务，需要创建所有相关的工作负载和Istio相关的资源（DestinationRule、VirtualService、Gateway）等，因此创建时间较长。 一键创建体验应用部署成功以后，为何不能访问页面？ 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建，后端服务器健康状态是否正常。 添加路由时，为什么选不到对应的服务？ 添加路由时，目标服务会根据对应的网关协议进行过滤。过滤规则如下： HTTP协议的网关可以选择HTTP协议的服务 TCP协议的网关可以选择TCP协议的服务 GRPC协议的网关可以选择GRPC协议的服务 HTTPS协议的网关可以选择HTTP、GRPC协议的服务 TLS协议的网关如果打开了TLS终止，只能选择TCP协议的服务；关闭了TLS终止，只能选择TLS协议的服务

步骤一：创建虚拟私有云和子网 在创建VPC之前，您需要根据具体的业务需求规划VPC的数量、子网的数量和IP网段划分等。 说明 IPv4/IPv6双栈网络的基本操作与之前的IPv4网络相同。只有部分页面的配置参数会略有差异，具体请以管理控制台显示为准。 如需了解IPv6收费策略、支持的ECS类型及支持的区域等信息，请参见IPv4/IPv6双栈网络。 请按如下操作，创建一个VPC“vpcipv6”和一个IPv6默认子网“subnetipv6”。 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 选择“网络>虚拟私有云 VPC”。 4. 单击“创建虚拟私有云”。 5. 根据界面提示配置虚拟私有云和子网参数。 子网配置时，请务必勾选“开启IPv6”，将自动为子网分配IPv6网段。该功能一旦开启，将不能关闭。暂不支持自定义设置IPv6网段。 6. 单击“立即创建”。 步骤二：创建集群 1. 登录CCE控制台，创建一个CCE集群。 网络配置请按如下设置，其余配置可参考购买CCE集群： 网络模型：选择“容器隧道网络”。 虚拟私有云：选择已创建的“vpcipv6”。 控制节点子网：请务必选择已开启了IPv6的子网。 IPv6双栈：选择开启，开启后将支持通过IPv6地址段访问集群资源，包括节点，工作负载等。 容器网段：容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。 2. 创建节点。 CCE控制台会过滤出支持IPv6的机型，可直接选择。 创建完成后，您可以进入集群，单击节点名称进入ECS详情页查看自动分配的IPv6地址。

RabbitMQ专享实例是否支持公网访问？ RabbitMQ专享实例支持公网访问。 在创建RabbitMQ实例时开启“公网访问”，或创建完后，在实例详情页中将公网访问开关打开。 RabbitMQ实例 是否支持跨Region部署 ？ 当前支持跨AZ（可用区），不支持跨Region部署。 RabbitMQ实例 是否支持跨VPC访问 ？ RabbitMQ实例支持跨VPC和子网访问，可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问实例。 RabbitMQ专享实例是否支持不同的子网 ？ 支持。 客户端与实例在相同VPC内，可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 客户端与实例在不同VPC时，可通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问实例。 此外，可以为实例绑定公网地址，客户端访问实例公网地址即可。 SSL方式连接RabbitMQ实例失败？ 首先排查安全组的入方向规则，是否放开了端口5671（SSL方式访问）或5672（非SSL访问）。 其次，参考如下内容配置SSL单向认证： ConnectionFactory factory new ConnectionFactory(); factory.setHost(host); factory.setPort(port); factory.setUsername(user); factory.setPassword(password); factory.useSslProtocol(); Connection connection factory.newConnection(); Channel channel connection.createChannel(); 客户端是否可以通过DNAT方式访问RabbitMQ实例？ 不可以。客户端可以使用代理、VPN、专线、FullNAT或者反向代理等方式访问RabbitMQ实例。 RabbitMQ实例的Web管理页面无法打开？ 可能原因：实例安全组配置不正确。 解决方案：重新配置安全组，具体步骤如下。 1. 在实例详情页面的“基本信息 > 网络”，单击安全组名称，跳转到安全组页面。 2. 选择“入方向规则”，查看安全组入方向规则。 实例未开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5672的访问。 如果是公网访问，需要允许端口15672的访问。 实例已开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5671的访问。 如果是公网访问，需要运行端口15671的访问。

已创建的实例能否被添加至弹性伸缩组内？ 能。 弹性伸缩支持将已购买的云主机实例手动添加至伸缩组。但是在添加时需要满足以下条件： 待添加的弹性云主机实例尚未关联其他弹性伸缩组。 待添加的弹性云主机实例必须处于运行状态。 待添加的弹性云主机实例必须与伸缩组处于同一个VPC内。 已经创建的包年包月云主机实例可以被添加至弹性伸缩组吗？ 可以。 当包年包月的云主机满足上一问题中的条件时，可以通过手动移入伸缩组的操作，将付费方式为包年包月的云主机实例添加至指定伸缩组。具体操作可参考帮助文档将实例移入伸缩组。 弹性云主机实例是否可以加入到多个伸缩组中？ 不可以。 弹性云主机实例在同一时间只能被加入一个伸缩组中。针对此问题，有以下两种解决方案： 方案一：若您希望将云主机移入其他伸缩组，可先在原伸缩组中对云主机进行“移出伸缩组”操作后，再将该云主机移入新的伸缩组。 方案二：您可以再创建一台一样的云主机关联其他伸缩组，可通过云主机克隆功能创建一个新的云主机实例并移入新的伸缩组。 伸缩组如何自动移出实例？ 用户可设置实例移出策略，实例移出策略共有以下四种方式： 较早创建的配置且较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置且较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例（FIFO）：根据时间筛选较早创建的实例，与是否是伸缩配置创建的无关。 较晚创建的实例（LIFO）：根据时间筛选较晚创建的实例，与是否是伸缩配置创建的无关。

本文主要介绍健康检查概述。 负载均衡器会定期向后端云主机发送请求以测试其运行状态，这些测试称为健康检查。通过健康检查来判断后端云主机是否可用。负载均衡器如果判断后端云主机健康检查异常，就不会将流量分发到异常后端云主机，而是分发到健康检查正常的后端云主机，从而提高了业务的可靠性。当异常的后端云主机恢复正常运行后，负载均衡器会将其自动恢复到负载均衡服务中，承载业务流量。 如果您的业务对负载比较敏感，过于频繁的健康检查报文可能会对您的正常业务产生影响。您可以根据实际的业务情况，通过增大健康检查间隔，或者将七层健康检查改为四层健康检查等方式来降低对业务的影响。如果您的业务系统自身有健康检查机制，也可以关闭负载均衡器的健康检查，但是为了保障业务的持续可用，不建议这样做。 对于四层监听器，健康检查适用的版本是HTTP 1.1；对于七层监听器，共享型负载均衡健康检查适用的版本是HTTP 1.1，独享型适用HTTP 1.0。 TCP健康检查的机制如下： 1. ELB节点根据健康检查配置，向后端云主机（IP+健康检查端口）发送TCP SYN报文。 2. 后端云主机收到请求报文后，如果相应的端口已经被正常监听，则会返回SYN+ACK报文。 如果在超时时间内没有收到后端云主机的SYN+ACK报文，则判定健康检查失败。然后发送RST报文给后端云主机中断TCP连接。 如果在超时时间内收到了SYN+ACK报文，则发送ACK给后端云主机，判定健康检查成功，并发送RST报文给后端云主机中断TCP连接。 注意 正常的TCP三次握手后，会进行数据传输，但是在健康检查时会发送RST中断建立的TCP连接。该实现方式可能会导致后端云主机中的应用认为TCP连接异常退出，并打印错误信息，如“Connection reset by peer”。解决方案如下： 采用HTTP方式进行健康检查。 后端云主机忽略健康检查的连接错误。

查看漏洞详情 约束限制 未开启防护不支持漏洞相关操作。 目标服务器“Agent状态”为“在线”，“服务器状态”为“运行中”，“防护状态”为“防护中”。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将会根据后续版本迭代上线。 Linux漏洞/Windows漏洞/WebCMS漏洞/应用漏洞 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航树中，选择“风险预防 > 漏洞管理”，进入漏洞管理界面。 5、在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”、“WebCMS漏洞”、“应用漏洞”任意一个页签，进入对应漏洞管理页面。 查看漏洞检测结果 6、在漏洞页面，单击“漏洞名称”，查看漏洞信息，包括漏洞基本信息、解决方案、漏洞CVE描述。 漏洞信息 7、选择“受影响服务”页签，查看漏洞影响的服务器，在该页面，您可以对漏洞进行处理。 影响服务器 单击目标漏洞“操作”列的“修复”，您可修复目标漏洞。 单击“忽略”，您可忽略该漏洞，HSS将不再上报并告警此服务器上的这个漏洞。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 若提示修复失败，可以单击“查看原因”了解具体原因并处理。 漏洞批量操作，可勾选多个漏洞。 单击列表上方“忽略”，可以批量忽略漏洞。 单击列表上方“取消忽略”，可以批量取消已忽略的漏洞。 单击列表上方“一键修复”，可以批量修复漏洞。 单击列表上方“验证”，可以批量验证漏洞。

本节介绍了如何创建云数据库GaussDB 的参数模板。 您可以使用数据库参数模板中的参数来管理数据库引擎配置，数据库参数模板可应用于一个或多个数据库实例。 如果您在创建数据库实例时未指定客户创建的数据库参数模板，系统将会为您的数据库实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算规格及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 须知： 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见“复制参数模板”。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 某些参数需要重启才能生效，这些参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，禁止对参数组进行边界测试，否则会导致实例异常，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明： 每个项目最多可以创建100个云数据库GaussDB 数据库参数模板，各云数据库GaussDB 引擎共享该配额。

介绍分布式消息服务Kafka扩容相关内容。 场景描述 当需要处理大量消息时，Kafka实例的扩容是一种常见的解决方案。扩容可以增加Kafka集群的吞吐量、存储能力和高可用性。分布式消息服务Kafka提供三类扩容方案，分别为节点、规格和磁盘扩容，更好满足用户不同场景下的扩容需求。 ● 代理数量扩容：指向Kafka集群中添加更多的节点以增加系统的吞吐量和可靠性。通过扩容，可以将消息的发送和消费负载分摊到更多的节点上，从而提高系统的并发处理能力。 ● 规格扩容：指通过增加Kafka的资源配置来提升系统的处理能力和性能。 ● 磁盘扩容：指增加磁盘的存储容量，以满足更多消息的存储需求。 变更实例规格的影响 变更配置类型 影响 磁盘扩容 磁盘扩容不会影响业务。 代理数量扩容 1.代理数量扩容不会影响原来的代理，业务也不受影响（如果实例已配置分区自动重平衡，会触发重平衡，客户端会触发重连）。 2.新创建的Topic才会分布在新代理上，原有Topic还分布在原有代理上。通过修改Kafka分区平衡，实现将原有Topic分区的副本迁移到新代理上。 规格扩容缩容 1.若Topic为单副本，扩容/缩容期间会出现无法对该Topic生产消息或消费消息，会造成业务中断。 2.若Topic为多副本，代理会滚动重启，代理滚动重启造成分区Leader切换，会发生秒级连接闪断，Leader切换时长一般为1分钟以内。建议您在业务低峰期扩容/缩容，并且再生产客户端配置重试机制，方法如下： (1).生产客户端为Kafka开源客户端时，检查是否配置retries和retry.backoff.ms参数。建议参数值分别配置为：retries10，retry.backoff.ms1000。 (2).生产客户端为Flink客户端时，检查是否配置重启策略，配置重启策略可以参考如下代码。 StreamExecutionEnvironment env StreamExecutionEnvironment.getExecutionEnvironment(); env.setRestartStrategy(RestartStrategies.fixedDelayRestart(10, Time.seconds(20)));

本文主要介绍使用NodeLocal DNSCache提升DNS性能。 应用现状 集群在做DNS解析时，如果请求量大，那CoreDNS将承受压力，会有如下影响。 查询变慢，影响业务性能。 为保证性能，CoreDNS需要更高规格的配置。 解决方案 NodeLocal DNSCache 通过在集群节点上运行 DNS缓存代理来提高集群 DNS 性能。 启用NodeLocal DNSCache之后，DNS查询所遵循的路径如下图所示。 NodeLocal DNSCache查询路径 插件安装 CCE提供了nodelocaldns插件，可以方便的安装NodeLocal DNSCache。 说明 nodelocaldns插件仅支持1.19及以上版本集群。 NodeLocal DNSCache不提供Hosts、Rewrite等插件能力，仅作为CoreDNS的透明缓存代理。如有需要，可在CoreDNS配置中修改。 kubesystem命名空间下的Pod不支持自动注入。 步骤 1 （可选）修改CoreDNS配置，让CoreDNS优先采用UDP协议与上游DNS服务器通信。 NodeLocal DNSCache采用TCP协议与CoreDNS进行通信，CoreDNS会根据请求来源使用的协议与上游DNS服务器进行通信。当使用了NodeLocal DNSCache时，访问上游DNS服务器时会使用TCP协议，而云上DNS服务器对TCP协议支持有限，如果您使用了NodeLocal DNSCache，您需要修改CoreDNS配置，让其总是优先采用UDP协议与上游DNS服务器进行通信，避免解析异常。 执行如下命令修改。 kubectl edit configmap coredns nkubesystem 在forward插件中指定请求上游的协议为perferudp，修改之后CoreDNS会优先使用UDP协议与上游通信。 forward . /etc/resolv.conf { preferudp } 步骤 2 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件管理”，在右侧找到 nodelocaldns ，单击“安装”。 步骤 3 在安装插件页面，选择插件规格，并配置相关参数。 enablednsconfigadmission ：是否自动注入DNSConfig至新建的Pod中。默认为 false ，设置为true表示支持自动注入，避免您手工配置Pod YAML进行注入。 步骤 4 完成以上配置后，单击“安装”。

本节介绍安全分析的使用约束与限制，以及支持接入的云产品和日志。 态势感知（专业版）的安全分析功能是一种云原生安全信息和事件管理（SIEM）解决方案，支持采集多产品的安全日志及告警，并基于预定义和自定义的安全检测规则对多来源的告警及日志进行聚合分析，旨在帮助企业快速发现和响应安全事件，实现对云负载、各类应用及数据的安全保护。 支持接入的云产品和日志 态势感知（专业版）支持集成多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 具体支持接入的云服务日志请参见支持接入的云服务日志。 使用流程 子流程 说明 新增工作空间 新增工作空间，用于资源隔离和控制。 云服务接入 配置需要接入的数据。 态势感知（专业版）支持集成存储、管理与监管、安全等多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 （可选）新增数据空间 创建用于存储收集日志数据的数据空间。 通过控制台接入的数据，系统将创建默认数据空间，无需再进行创建。 （可选）创建管道 创建用于日志数据的采集、存储和查询的数据管道。 通过控制台接入的数据，系统将创建默认数据管道，无需再进行创建。 配置索引 配置索引条件，缩小查询范围。 查询与分析 对接入的数据进行查询、分析。 下载日志 支持将原始日志或查询分析后的日志下载到本地。 查看图表统计结果 当您执行了查询分析语句后，态势感知（专业版）支持通过图表统计的形式对查询和分析的结果进行可视化展示。 目前支持表格、折线图、柱状图和饼图方式进行展示。

本文介绍访问请求响应403状态码如何排查和处理。 问题描述 网站接入Web应用防火墙（边缘云版）之后，当访问请求有可能对网站造成安全威胁时，WAF防护引擎会拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案 当请求响应403拦截时，您可以通过Web应用防火墙（边缘云版）控制台查看具体的攻击拦截信息： 在Web应用防火墙（边缘云版）控制台，通过安全分析 > WAF攻击报表，查看WAF攻击数据的多维度统计分析。也可以通过日志管理 > WAF攻击日志查看每条拦截请求的攻击详细信息，其中事件ID跟拦截请求响应内容中的RequestID对应。 通过分析攻击日志详情后，如果您认为该拦截的请求是正常业务请求，可通过点击日志详情页面的"添加白名单"按钮，进入添加白名单页面添加对应的白名单规则。

本章节主要介绍数据集成概述。 DataArts Studio数据集成是一种高效、易用的数据集成服务，围绕大数据迁移上云和智能数据湖解决方案，提供了简单易用的迁移能力和多种数据源到数据湖的集成能力，降低了客户数据源迁移和集成的复杂性，有效的提高您数据迁移和集成的效率。 数据集成即云数据迁移（Cloud Data Migration，后简称CDM）服务，本文中的“云数据迁移”、“CDM”均指“数据集成”。 您可以通过以下方式之一进入CDM主界面： 登录CDM控制台，单击“集群管理”，进入到CDM主界面。 登录DataArts Studio控制台。选择对应工作空间的“数据集成”模块，进入CDM主界面。 选择数据集成详见下图 云数据迁移简介 云数据迁移基于分布式计算框架，利用并行化处理技术，支持用户稳定高效地对海量数据进行移动，实现不停服数据迁移，快速构建所需的数据架构。 数据集成定位详见下图 产品功能 表/ 文件/ 整库迁移 支持批量迁移表或者文件，还支持同构/异构数据库之间整库迁移，一个作业即可迁移几百张表。 增量数据迁移 支持文件增量迁移、关系型数据库增量迁移、HBase/CloudTable增量迁移，以及使用Where条件配合时间变量函数实现增量数据迁移。 事务模式迁移 支持当CDM作业执行失败时，将数据回滚到作业开始之前的状态，自动清理目的表中的数据。 字段转换 支持去隐私、字符串操作、日期操作等常用字段的数据转换功能。 文件加密 在迁移文件到文件系统时，CDM支持对写入云端的文件进行加密。 MD5校验一致性 支持使用MD5校验，检查端到端文件的一致性，并输出校验结果。 脏数据归档 支持将迁移过程中处理失败的、被清洗过滤掉的、不符合字段转换或者不符合清洗规则的数据单独归档到脏数据日志中，便于用户查看。并支持设置脏数据比例阈值，来决定任务是否成功。

本章节内容主要介绍通过SQL优化来提升DDS性能 文档数据库属于NoSQL数据库，提供了可扩展的高性能数据解决方案，与关系型数据库（例如MySQL、SQLServer、Oracle）一样，在数据库设计、语句优化、索引创建等方面都会影响数据库的使用性能。 下面从不同维度，给出提升DDS使用性能的建议： 数据库和集合的创建 1.使用短字段名，以节约存储空间。文档数据库与关系型数据库不同，集合中的每个文档都存储字段名，使用短字段名可以有效的节约存储空间。 2.有效的控制集合中的文档数量，避免影响查询性能。如果有必要，可以进行定期归档。 3.每条文档都提供默认的“id”值，禁止向“id”中保存自定义值。 4.固定集合相较其他集合，插入速度快，并且能够自动删除旧数据。用户可以根据业务需要，选择创建固定集合以提高性能。 查询操作 索引 1.根据业务需求，对经常查询的数据字段创建适当的索引。需注意，索引会占用一些空间，并且插入操作和索引更新会消耗资源。因此，建议每个集合的索引数量不超过5个。 案例：出现数据查询缓慢，如果没有创建索引，建议对经常查询的数据字段创建适当的索引，优化查询速度。 2.对于包含多个键的查询，建议创建包含这些键的复合索引。复合索引的键值顺序很关键，需遵循索引最左前缀原则，查询应包含最左索引字段，以索引创建顺序为准，与查询字段顺序无关。 3.给索引添加TTL属性，自动筛选过期文档并删除。创建TTL的索引必须是日期类型。TTL索引是单字段索引，而非复合索引。 4.需要在集合中某个字段上创建索引，但当集合中大量文档不包含该键值时，建议创建稀疏索引。 5.创建文本索引时，字段指定text，而不是1或者1。每个集合只有一个文本索引，但它可以为任意多个字段建立索引。

本章节会介绍关系型数据库在资源及磁盘管理时遇到的常见问题。 创建实例需要多长时间 对于RDS for MySQL和RDS for PostgreSQL实例： 正常情况下，无论是主备实例还是单机实例，创建时间都在57分钟之间。只读实例的创建时间与主实例的数据量有关，数据量越大，创建时间越长。如果是主实例是空实例，创建实例需78分钟。 对于RDS for SQL Server实例： 单机实例创建时间约1215分钟，主备实例创建时间约1518分钟。 如果超过这个时间，创建过程可能存在问题。 占用RDS磁盘空间的日志及文件有哪些 占用关系型数据库实例的磁盘空间的日志及文件如下表： MySQL数据库文件类型 数据库引擎 文件类型 :: MySQL 日志文件：数据库undolog、redolog和Binlog文件。 MySQL 数据文件：数据库内容文件和索引文件。 MySQL 其他文件：ibdata、iblogfile0和临时文件等。 PostgreSQL数据库文件类型 数据库引擎 文件类型 :: PostgreSQL 日志文件：数据库错误日志文件和事务日志文件。 PostgreSQL 数据文件：数据库内容文件、索引文件、复制槽数据文件、事务状态数据文件和数据库配置文件。 PostgreSQL 其他文件：临时文件。 Microsoft SQL Server数据库文件类型 数据库引擎 文件类型 :: Microsoft SQL Server 日志文件：数据库的错误日志、事务日志文件和跟踪文件。 Microsoft SQL Server 数据文件：数据库内容文件。 解决方案 1. 随着业务数据的增加，原来申请的数据库磁盘容量可能会不够用，您需要为关系型数据库实例进行扩容。 2. 针对数据空间过大，可以删除无用的历史表数据进行释放空间（DROP或TRUNCATE操作，如果是执行DELETE操作，需要使用OPTIMIZE TABLE来释放空间）；如果没有可删除的历史数据，需要进行磁盘扩容。 3. 针对大量排序查询导致的临时文件过大，建议进行优化SQL查询。 1. 应用中存在大量的排序查询，产生了大量的临时文件。 2. 短期内大量增、删、改，产生大量binlog文件占用空间。 3. 由于大量的事务和写入操作产生了大量的binlog日志文件。

本章节会介绍如何创建参数模板。 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 创建关系型数据库实例时，暂不支持您主动选择参数模板，系统会自动为您的实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算等级及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 注意 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见5.6.9 应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见5.6.7 复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您更改动态参数并保存数据库参数模板时，将立即应用更改。当您更改静态参数并保存数据库参数模板时，参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明 关系型数据库和文档数据库服务不共享参数模板配额。 每个用户最多可以创建100个关系型数据库参数模板，各关系型数据库引擎共享该配额。

本章节介绍如何创建参数模板。 操作场景 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 创建关系型数据库实例时，暂不支持您主动选择参数模板，系统会自动为您的实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算等级及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 注意 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您更改动态参数并保存数据库参数模板时，将立即应用更改。当您更改静态参数并保存数据库参数模板时，参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明 关系型数据库和文档数据库服务不共享参数模板配额。 每个用户最多可以创建100个关系型数据库参数模板，各关系型数据库引擎共享该配额。

本章节会介绍如何创建参数模板。 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 创建关系型数据库实例时，暂不支持您主动选择参数模板，系统会自动为您的实例适配默认的数据库参数模板。该默认组包含数据库引擎默认值和系统默认值，具体根据引擎、计算等级及实例的分配存储空间而定。您无法修改默认数据库参数模板的参数设置，您必须创建自己的数据库参数模板才能更改参数设置的默认值。 说明 并非所有数据库引擎参数都可在客户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您更改动态参数并保存数据库参数模板时，将立即应用更改。当您更改静态参数并保存数据库参数模板时，参数更改将在您手动重启数据库实例后生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明 关系型数据库和文档数据库服务不共享参数模板配额。 每个用户最多可以创建100个关系型数据库参数模板，各关系型数据库引擎共享该配额。