1. 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。NAT网关相关的系统策略包含如下： nat admin：NAT网关服务的管理者权限，包含NAT网关所有控制权限（不含订单类权限）； nat viewer: NAT网关服务的观察者权限，包含NAT网关服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1.2 创建自定义策略“。

本节主要介绍通过kubectl对接多个集群。 使用场景 客户想使用同一个kubectl客户端工具，通过切换当前用户的方式达到切换集群的效果。 图 kubectl对接多集群示意 配置前提 kubectl命令客户端工具所在的ECS云主机，能够curl通集群A和集群B的vip地址+5443端口。 以下配置仅供参考，为了方便，直接在A集群的一个节点作为客户端（节点绑定了EIP）。 为了方便访问，给B集群的VIP地址绑定了公网IP（假设为：1.2.3.4），理论上如果A、B在同一VPC，可以不这样操作。 客户端配置对A的访问 直接参考《CCE用户指南》中的“通过kubectl连接CCE集群”。 客户端上配置对B的访问 我们要用访问B的集群，要知道B的地址，还要带上认证去访问，那么必须要把相应的信息补齐。 步骤如下： 步骤 1 录入B集群的集群信息 kubectl config setcluster clusterk8s server insecureskiptlsverifytrue insecureskiptlsverifytrue这个参数一定要带上，这是忽略校验客户端证书 步骤 2 录入去B集群的认证信息 首先在B上操作： 方式一：将B集群的证书传入到客服端使用，在客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin clientcertificateclient.crt embedcertstrue 方式二：在集群B上获取认证token 1.创建一个sa用户 kubectl create sa mysa 2.给sa用户授权 kubectl create clusterrolebinding myrolebinding serviceaccountdefault:mysa clusterroleclusteradmin 3.获取用户的token kubectl describe secret mysatokenxxx awk '/token:/{print $2}' > token 将获取的token传入到客户端。 4.客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin token$token 步骤 3将集群B的上下文详细信息添加到配置文件中 kubectl config setcontext uiadmin@cyd clusterclusterk8s useruiadmin 此时在客户端上： Kubectl config usecontext internal 切换到集群A Kubectl config usecontext uiadmin@cyd 切换到集群B 步骤 4验证配置 其他情况： 如果配置完报X509错误，应该是忘记传入参数 insecureskiptlsverifytrue 可在使用时带上该参数即可，例如：kubectl get pod insecureskiptlsverifytrue

本节介绍如何确认入侵账号是否登录成功。 若已开启入侵检测告警通知，当有帐号被破解，或有帐号破解风险时，您会立即收到告警通知。 也可以在“入侵检测”页面在线查看攻击IP的拦截情况。 若想进一步确定，可以在Linux主机上的“/var/log/secure”和“/var/log/message”查看日志，或使用last命令查看是否有异常登录记录。

名称 二级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Array resId Integer 数据库资源唯一标识 databaseName String 数据库名称 querySql String 查询的语句 userName String 用户名 clientAddress String 客户端ip clientPort Integer 客户端端口 queryStart String 查询开始时间 queryEnd String 查询结束时间 queryPlan String 查询计划 queryCost Integer 耗时，单位:ms

本文内容主要介绍通过公网连接集群实例概述 操作场景 本章介绍如何在控制台创建集群实例，以及购买后如何设置安全组、绑定弹性公网IP，并通过公网连接集群实例。 使用流程 初次创建实例到可以开始使用实例，您需要完成如下操作： 公网访问数据库实例

前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建路径分析实例。 操作步骤 1. 登录控制中心，进入网络控制台页面。 2. 在控制中心页面左上角选择对应区域，本文我们选择庆阳2。 3. 在左侧导航栏，选择“路径分析”选项，进入路径分析列表页。 4. 在路径分析列表页面，选定要删除的路径分析实例，点击“删除”按钮，即可删除对应路径分析实例。 注意 删除路径分析实例时，会同步删除路径分析实例下所有的路径分析报告，且无法恢复。

本节主要介绍修改/启用/停用企业项目 当您的业务发生变化时，可以对已存在的企业项目进行修改、启用、停用操作。 为了保证您的资源安全，目前暂不支持删除企业项目。如果您不再使用企业项目，您可以停用企业项目。 说明 已停用企业项目无法使用修改功能。 停用后的企业项目仍会占用企业项目配额，如果您的企业项目配额不足，建议您提交工单让后台运维人员为您提供企业项目删除功能，或提升企业项目数量配额。 企业项目停用后在云服务创建页的“企业项目”中将不可见，无法迁入资源和添加用户组，如需再次使用，请重新启用该企业项目。 默认企业项目（default）无法编辑和停用。 修改企业项目 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击左侧功能菜单“项目管理”，进入企业项目列表页面，单击待修改企业项目右侧的“更多”，单击更多下拉菜单中的“修改”。 步骤 4 在修改企业项目信息弹出框中，输入新的“名称”和“描述”。 步骤 5 单击“确定”完成企业项目修改。 启用/停用企业项目 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击左侧功能菜单“项目管理”，进入企业项目列表页面，单击待启用/停用企业项目右侧的“更多”，单击更多下拉菜单中的“启用”/“停用”。 步骤 4 在企业项目启用/停用确认框中，单击“是”完成企业项目启用/停用。

本文带您了解什么是模型推理服务。 模型推理服务是面向企业开发者的模型推理服务平台，提供功能全面、安全可靠且具有价格优势的模型调用服务。 功能模块 模型体验：提供多场景模型展示与试用，支持开发者在模型广场快速体验主流AI模型，体验中心可零门槛测试基础推理能力。 模型服务：主流大模型提供标准化API接口，支持高并发在线推理服务，内置调用量监控与延迟分析功能，保障企业级应用稳定高效运行。 插件服务：支持接入私有知识库增强领域应答，集成联网搜索获取实时信息，通过插件组合扩展模型边界，应对复杂业务需求。

创建文件涉及到“为新文件分配磁盘空间”和“将新文件加入目录”至少2个IO指令： “为新文件分配磁盘空间”可以并发执行，并发程度受文件系统大小影响，文件系统越大，并发程度越高。 “将新文件加入目录”如果修改的是同一目录，不能并发执行。修改速度受IO时延影响较大，如文件系统时延为1ms，无并发的情况下1秒内能完成1000次IO，单目录的创建性能就不会超过1000文件/秒。 解决方案： 避免单个目录包含过多的文件，建议单目录下文件数量不超过1万个。 扩容文件系统，可以提升文件系统的读写性能。

计费项 说明 计算计费 按照“CU时”收取计算费用。 CU是队列的计价单位。1CU 1Core 4GMem。不同规格的队列对应的计算能力不一样，规格越高计算能力越好。当前支持Spark、Flink、OpenLookeng计算。 存储计费 按照存储在DLI服务中的表数据存储量（单位为“GB”）收取存储费用。 在估算存储费用时，请特别注意，DLI采用压缩存储，通常能压缩到原文件大小的1/5。DLI存储按照压缩后的大小计费。 如果数据存储在OBS服务中，则DLI服务不收取存储费用，对应的费用由OBS服务收取。

本文为您介绍科研助手相关协议。 科研助手服务协议详情请参见天翼云科研助手服务协议。 科研助手服务等级协议请参见天翼云科研助手服务等级协议。 科研助手计费协议请参见科研助手计费协议。 科研助手社区镜像用户服务协议请参见科研助手镜像服务协议.pdf。 科研助手服务条款请参见科研助手服务条款.pdf。 科研助手SSH服务使用协议科研助手SSH服务使用协议.docx。

参数 说明 规则名称 您可以自定义敏感数据规则名称。 规则名称需要满足以下要求：1~255个字符。字符可由中文、英文字母、数字、下划线、中划线和括号组成。规则名称不能与已有的规则名称重复。 描述（可选） 请输入规则描述。 添加到模板 在下拉框中依次选择“模板名称”、“模板规则分类”、“级别”将规则添加到规则模板中进行分类管理。单击 可添加到多个模板。单击 删除模板，至少保留一条模板。 匹配类型 可选择“规则匹配”和“关键字匹配”。 关键字匹配：通过关键字来执行该条敏感规则。规则匹配：用于指定和识别文本字符串（如特定字符，单词或字符模式）的一种简洁而灵活的方式。 对于MRS中的HIVE数据，在敏感数据识别时，当前仅支持“匹配类型”为“规则匹配”、“规则”为“内容>包含”的方式。 匹配逻辑 选择匹配逻辑：AND：关键字都需要包含。OR：仅需要包含其中一个关键字。 规则 “匹配类型”设置为“规则匹配”时，显示该参数。单击 添加多条规则。单击 删除规则，至少保留一条规则。 对于MRS中的HIVE数据，在敏感数据识别时，当前仅支持“匹配类型”为“规则匹配”、“规则”为“内容>包含”的方式。 内容 “匹配类型”设置为“关键字匹配”时，显示该参数。 通过回车换行分隔多个关键字。 识别阈值配置 适用于非结构化数据，可单击 选择低、中、高三种阈值，阈值越高要求命中的次数越多。 命中率 适用于结构化数据，可拖动滑块设置。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 dmslink 服务类型 选择DMS Kafka版本，目前只有专享版。 专享版 Kafka Broker Kafka专享版实例的地址，格式为host:port。 Kafka SASLSSL 选择是否打开客户端连接Kafka专享版实例时SSL认证的开关。 开启Kafka SASLSSL，则数据加密传输，安全性更高，但性能会下降。 是 用户名 开启Kafka SASLSSL时显示该参数，表示连接DMS Kafka的用户名。 密码 开启Kafka SASLSSL时显示该参数，表示连接DMS Kafka的密码。

天翼云公网NAT网关产品采用包年包月和按需计费两种方式订购，详细说明如下表所示： 包年包月： 产品规格 最大并发连接数 标准资费（元/月） ::: 小型 1万 306 中型 5万 586.5 大型 20万 1147.5 超大型 100万 2040 定制型 千万级 官网内测中，联系客户经理询价并开启白名单 按需计费： 产品规格 最大并发连接数 标准资费（元/天） ::: 小型 1万 12 中型 5万 23 大型 20万 45 超大型 100万 80 定制型 千万级 官网内测中，联系客户经理询价并开启白名单 注 ：1、中型，大型，超大型规格和按需计费仅部分资源池支持，具体支持资源池以购买页面展示为准。 2、公网NAT网关可支持千万级并发连接专属定制型实例，专属定制型实例1年起售，仅支持多可用区的资源池支持售卖，如需购买请联系客户经理。 3、一次性购买时长达到1年及以上享受资费85折优惠。 4、公网NAT网关按需计费按天计费出账，不满一天按一天计费。

项目 描述 卷名称 包括卷名称和卷编号，括号内容是卷编号。 卷编号：LUN在target下的编号，由存储系统分配，对应客户端挂载存储设备时设备地址中的LUN ID。如果target下只有一个LUN，LUN的编号一般为0。 状态 卷目前处于的状态： 正常。 删除中。 删除失败。 还原中。 还原失败。 回滚中。 断开链接中。 导入数据中。 清空数据中。 清空数据失败。 挂起中，同时显示待上传数据。 挂起。 挂起失败。 容量 卷的容量 存储模式 卷的存储模式： 本地模式：数据全部保留在本地。 缓存模式：本地保留部分热数据，全部数据异步存储到对象存储中。 存储模式：本地保留全部数据，并异步存储到对象存储中。 冗余模式 卷冗余模式（仅集群版支持）： 单副本。 两副本。 三副本。 EC N+M。 最小副本数 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。 对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 折叠副本数 卷的折叠副本数（仅集群版支持）。 缓存存储池 卷的缓存存储池（仅集群版支持），如果指定了缓存存储池，卷数据首先写入缓存存储池，然后再存入存储池。 存储池 卷的最终存储池（仅集群版支持），卷数据最终落在该存储池内。 快照数量 卷的快照个数。 快照大小 卷关联的快照大小的总和，即快照记录的数据量。 注意 卷异常或上游快照删除等因素可能导致快照大小波动。 克隆卷 卷是否为克隆卷。 唯一标识 卷的唯一标识符。 如果客户端连接卷的时候，HBlock端有多个卷，可以通过卷的唯一标识符来确认所要连接的卷。 iSCSI目标 IQN名称 卷关联iSCSI目标对应的IQN名称。 iSCSI目标 服务器ID IQN所在的服务器ID。 iSCSI目标 状态 iSCSI目标状态： 主：主target。 热备：热备target。 冷备：冷备target。 离线：离线target。 iSCSI目标 IP:Port iSCSI目标对应的IP地址和端口。 iSCSI目标 门户IP iSCSI目标门户IP和端口。 若服务器与客户端不在同一网段（如服务器位于内网，客户端位于外网），通过NAT设备（如路由器）进行连接，则需要将NAT设备的外网地址和端口添加到服务器，从而使得外网的客户端可以正常与该服务器的target建立iSCSI连接。

参数名称 说明 取值样例 数据库名称 您可以自定义添加的数据库的名称。 test1 IP地址 添加的数据库的IP地址。IP必须为内网IP地址，支持IPv4和IPv6格式。 IPv4：192.168.1.1 IPv6：fe80:0000:0000:0000:0000:0000:0000:0000 数据库类型 支持的数据库类型，您可以选择以下类型： MYSQL ORACEL POSTGRESQL SQLSERVER DWS TAURUS GaussDB DAMENG KINGBASE MongoDB Hbase SHENTONG GBase 8a GBase XDM Custer Greenpum HighGo Mariadb说明当数据库类型选择ORACE时，待审计的应用程序需重启，重新登录数据库。 MySQL 端口 添加的数据库的端口。 3306 数据库版本 支持的数据库版本。 当“数据库类型”选择“MYSQL”时，您可以选择以下版本： 当“数据库类型”选择“ORACEL”时，您可以选择以下版本：− 11g − 12c − 19c 当“数据库类型”选择“POSTGRESQL”时，您可以选择以下版本：− 7.4 − 8.0 8.0、8.1、8.2、8.3、8.4 − 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 − 10.0 10.0、10.1、10.2、10.3、10.4、10.5 − 11.0 − 12.0 − 13.0 当“数据库类型”选择“SQLSERVER”时，您可以选择以下版本：− 2008 − 2012 − 2014 − 2016 − 2017

本章节向您介绍什么是网络ACL。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同，安全组对云主机、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。 网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。 以下图为例， 如下图所示。 图 安全组与网络ACL在区域A内，某客户的虚拟私有云VPCX有两个子网，子网SubnetX01关联网络ACL FwA，SubnetX01内部署的实例面向互联网提供Web服务。子网SubnetX02关联网络ACL FwB，基于对等连接连通SubnetX02和SubnetY01的网络，通过SubnetY01内的实例远程登录SubnetX02内的实例。 FwA的规则说明： 入方向自定义规则，允许外部任意IP地址，通过TCP (HTTP)协议访问SubnetX01内实例的80端口。如果流量未匹配上自定义规则，则匹配默认规则，无法流入子网。 网络ACL是有状态的，允许入站请求的响应流量出站，不受规则限制，因此SubnetX01内实例的响应流量可流出子网。非响应流量的其他流量则匹配默认规则，无法流出子网。 FwB的规则说明： 入方向自定义规则，允许来自SubnetY01的流量，通过TCP (SSH)协议访问子网SubnetX02内实例的22端口。 出方向自定义规则，放通ICMP协议全部端口，当在SubnetX02内实例ping测试网络连通性时，允许去往SubnetY01的流量流出子网。 说明 图中提供的示例仅为您展示了网络ACL对出入子网的流量控制。在实际业务中，除了网络ACL，实例上绑定的安全组也会影响出入实例的流量。

本节介绍了用户指南：使用LocalPV静态存储卷。 使用LocalPV静态存储卷，即：使用kubernetes原生本地存储能力，将本地存储设备，例如磁盘、分区或者目录挂载至Pod中。通过手动在控制台创建PV，创建PVC时使用已有PV的方式，实现容器内挂载本地存储。 该模式下需要用户自建PV资源，一定程度上增加操作和管理复杂性，一般推荐使用动态创建存储的方式。 使用限制 本地存储卷取决于底层节点的可用性，如果节点变得不健康，那么存储卷也将变得不可被 Pod 访问，影响Pod运行。 请勿对本地存储卷或者上层目录自行执行删除操作，否则带来数据丢失风险。 使用LocalPV静态存储卷支持节点调度，但不支持自动创建目录，使用前需保证指定节点配置目录已存在。 通过控制台使用LocalPV静态存储卷 1、创建持久卷（PV） 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“持久卷”，单击左上角“创建持久卷”； 配置项 说明 名称 PV的名称。 持久卷类型 前支持云盘、弹性文件、对象存储、并行文件、海量文件和本地存储，这里选择本地存储。 具体创建页中展示的存储类型由当前资源池支持情况决定。 容量 根据业务需求自定义容量。 访问模式 ReadWriteOnce：卷可以被一个节点以读写方式挂载。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 参数 类型：包括NFS、Local，这里选择Local；方式：包括指定节点、指定节点标签，可以根据业务需求选择； LocalPV的目录：要求指定节点或者指定标签节点中目录存在，否则会出现挂载失败。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 以将 local 卷作为原始块设备暴露出来。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 说明 静态导入场景下，回收策略均默认Retain，cstorcsi不会删除数据。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷列表查看，此时PV状态为“可用”。

本章节介绍如何创建敏感数据识别任务。 数据安全中心DSC将根据您创建的识别任务，自动识别敏感数据并生成识别数据和结果，自动识别的范围在选定的OBS桶、数据库、大数据或MRS。 在创建任务时，可以选择多个场景的规则组，实现为同一资产配置多个场景的扫描任务。 前提条件 已添加OBS、数据库或大数据源资产，具体操作请参见资产列表。 已创建敏感数据规则组，具体操作请参见新增敏感数据规则组。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。 4. 在敏感数据任务列表的左上角，单击“新建任务”。 5. 在弹出的“新建任务”对话框中，配置任务基本信息，相关参数说明如下表所示。 参数 参数说明 取值样例 开启任务 是否开启敏感数据识别任务，系统默认开启任务。 任务名称 您可以自定义敏感数据识别任务名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 任务名称不能与已有的任务名称重复。 数据类型 选择识别的数据类型。可多选。 OBS，添加OBS资产，参考添加OBS资产章节。 数据库，添加云数据库资产，参考添加云数据库章节。 大数据，添加大数据源资产，参考添加大数据源资产章节。 MRS，添加Hive资产，参考添加MRS资产。 数据库 识别规则组 选择识别任务需要使用的规则组，可多选。可参考新增敏感数据规则组章节创建规则组。 识别模式 选择检测任务的扫描模式： 快速识别：根据规则组进行扫描，实现数据分布快速识别。 全量识别：在规则组的基础上加入自然语义处理NLP能力，扫描速度相对较慢，识别率更高。 快速扫描 识别周期 选择任务的识别周期： 单次：根据设置的执行计划，在设定的时间执行一次该识别任务。 每天：选择该选项，需要设置“启动时间”，即在每天的固定时间执行该识别任务。 每周：选择该选项，需要设置“启动时间”，即在设定的时间以及每周这一时间点执行该识别任务。 每月：选择该选项，需要设置“启动时间”，即在设定的时间以及每月这一时间点执行该识别任务。 单次 执行计划 “扫描周期”选择“单次”时，显示该参数。 立即执行：选择该选项，保存后，可以在当前立即执行一次该识别任务。 定时启动：在指定时间执行一次该识别任务。 立即执行 启动时间 “扫描周期”选择“每天”、“每周”、“每月”时，显示该参数。 设置识别任务的具体启动时间。设置后，会在指定时间以及每天或者每周或者每月的该时间点执行一次识别任务。 通知主题 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题，用于配置接收告警通知的终端。 告警通知的具体操作请参见告警通知。 6. 单击“确定”，完成敏感数据识别任务的创建。

本节为您介绍自建Oracle迁移至自建Oracle配置。 前提条件 自建Oracle数据库的目标端版本为10g、11g、12c、18c或19c版本。且版本高于或等于源端。 目标端权限要求 迁移模式 所需权限 基础权限 SELECT ANY TABLE, SELECT ANY DICTIONARY，CONNECT, SELECTCATALOGROLE, CREATE SESSION，DELETE ANY TABLE, INSERT ANY TABLE，UPDATE ANY TABLE 全量迁移 需具备基础权限 结构迁移 COMMENT ANY TABLE, ALTER ANY TABLE, CREATE ANY VIEW, CREATE ANY PROCEDURE, CREATE ANY TRIGGER, CREATE ANY SEQUENCE, CREATE ANY INDEX, CREATE ANY SYNONYM, CREATE ANY TYPE, CREATE ANY TABLE, CREATE ANY MATERIALIZED VIEW, DROP ANY TABLE, DROP ANY VIEW, DROP ANY PROCEDURE, DROP ANY TRIGGER, DROP ANY SEQUENCE, DROP ANY INDEX, DROP ANY SYNONYM, DROP ANY TYPE 增量迁移 需具备基础权限 稽核修复 需具备基础权限 目标端配置 数据源类型 选定为Oracle，可将源端迁移至版本范围内的Oracle数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 服务名 Oracle数据库的service name CDB服务名 Oracle CDB的service name，当oracle为12C以上版本时需填写该字段，以便采集系统信息 迁移用户名 实际传输至的目标库的Oracle模式（schema），一般与用户名一致。

本节为您介绍自建Oracle迁移至自建MySQL任务配置。 前提条件 （1）自建MySQL目标端版本为5.6、5.7、8.0版本。 （2）MySQL实例对表名的英文大小写不敏感，如果使用大写英文建表，MySQL会先把表名转为小写再执行建表操作。 （3）如果您的自建Oracle版本为12c及以上，待迁移表的名称长度需不超过30个字节。 （4）如果源Oracle数据库中存在表名相同仅大小写不同的表，可能会导致迁移对象重名并在结构迁移中提示“对象已经存在”。如果出现这种情况，请在配置迁移对象的时候，使用对象名重命名功能对重名的对象进行重命名。 （5）MySQL需要关闭大小写敏感。 目标端权限要求 迁移模式 所需权限 基础权限 SELECT, DELETE, INSERT 全量迁移 需具备基础权限，且具备ALTER权限 增量迁移 需基本基础权限 结构迁移 CREATE, REFERENCES, INDEX, TRIGGER, CREATE VIEW, DROP, CREATE ROUTINE, EXECUTE 稽核修复 需基本基础权限 目标端配置 数据源类型 选定为MySQL，可将源端迁移至版本范围内的MySQL数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 数据库 目标端用于接收源端数据的数据库名称

本文介绍了企业交换机服务协议 天翼云企业交换机服务协议详情请参见这里。

本章节内容主要介绍通过ECS内网连接DDS实例 场景描述 文档数据库实例创建成功后，可通过内网访问数据库实例。本章节以Linux系统为例，介绍从购买到内网连接集群实例的操作步骤。 步骤1：创建ECS 步骤2：创建集群实例 步骤3：连接集群实例 方案正文 本章节以Linux系统为例，介绍从购买到内网连接集群实例的操作步骤。具体操作步骤如下： 步骤1：创建ECS 1.登录管理控制台。 2.选择“计算 > 弹性云主机”，单击“购买弹性云主机”。 3.配置基础信息后，单击“下一步：网络配置”。ECS与待连接的集群实例的区域及可用区一致。 图1 基础配置 图2 选择镜像 4.配置网络信息后，单击“下一步：高级配置”。ECS与待连接的集群实例的VPC和安全组一致。 图3 网络配置 5.配置密码等信息后，单击“下一步：确认配置”。 图4 高级配置 6.确认配置信息后，单击“立即购买”。 图5 确认配置 7.查看购买成功的ECS。 图6 购买成功 步骤2 创建集群实例 1.登录管理控制台。 2.选择“数据库 > 文档数据库服务 DDS”，单击“购买数据库实例”。 3.填选实例信息后，单击“立即购买”。ECS与待连接的集群实例的区域、可用区、VPC和安全组一致。 图7 基础配置 图8 设置密码 图9 网络设置 查看购买成功的DDS实例。 图10 购买成功 步骤3 连接DDS实例 1.本地使用Linux远程连接工具登录ECS。“Remote host”为ECS绑定的弹性公网IP。 图11 新建会话 2.输入创建ECS时设置的密码。 图12 输入密码 图13 登录成功 3.打开 图14 下载客户端 4.上传客户端安装包到ECS。 图15 上传客户端 图16 上传成功 5.在弹性云服务器上，解压安装包。 tar zxvf mongodblinuxx8664rhel704.0.27.tgz 6.进入安装包的“bin”文件夹下，获取客户端工具。 cd mongodblinuxx8664rhel704.0.27/bin 其中，常用工具包含如下： MongoDB客户端mongo。 数据导出工具mongoexport。 数据导入工具mongoimport。 7.使用客户端工具前，需要对工具赋予执行权限。 执行chmod +x mongo，赋予连接实例的权限。 执行chmod +x mongoexport，赋予导出数据的权限。 执行chmod +x mongoimport，赋予导入数据的权限。 8.连接DDS实例。 ./mongo mongodb://rwuser:@ : , : /test?authSourceadmin，实例地址可在控制台直接复制。 图17 连接成功 常用创建数据库和集合的操作。 图18 创建数据库 图19 创建集合

功能 功能描述 企业路由器 您可以将企业路由器看作一个支持路由学习的高性能集中路由器，创建企业路由器时，您可以设置部署区域、可用区、名称等参数。 企业路由器创建完成后，您可以根据业务使用情况灵活调整部分参数。 连接 为企业路由器添加网络实例对应的连接，即表示将网络实例接入企业路由器中。 路由表 路由表是企业路由器发送报文的依据，包含连接的关联关系、传播关系以及路由信息。 一个企业路由器可以拥有多个路由表，您可以将连接关联至不同的路由表，从而实现网络实例的灵活互通或者隔离。 关联 关联是将连接关联至ER路由表中，您可以通过以下方法创建关联： 手动创建：选择任意路由表，并在路由表中为连接创建关联。 自动创建：开启“默认路由表关联”功能，指定默认路由表，系统会自动为连接在默认路由表中创建关联。 传播 传播是企业路由器和连接的路由学习关系，您可以通过以下方法创建传播： 手动创建：选择任意路由表，并在路由表中为连接创建传播。 自动创建：开启“默认路由表传播”功能，指定默认路由表，系统会自动为连接在默认路由表中创建传播。 路由 路由是目的地址、下一跳以及路由类型等信息组成。路由分为两种： 自动学习的传播路由。 手动添加的静态路由。 企业路由器支持IPv4和IPv6路由。 共享 所有者可以将自己的企业路由器同时共享给多个其他帐号，称为接受者。 接受者可以在共享企业路由器中添加连接，将自己名下的网络实例加入该企业路由器中，实现多个帐号内的网络实例接入同一个企业路由器构建组网的需求。 对于“虚拟私有云（VPC）”连接，通过共享功能，可以在同一个企业路由器中接入不同帐号下的虚拟私有云，构建云上同区域组网。 流日志 通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息，您可以监控连接的网络流量、进行网络攻击分析等，帮助您实现高效的网络运维。 监控 通过云监控服务，您可以监控企业路由器实例以及企业路由器连接的网络情况。 审计 通过云审计服务，您可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 权限 针对位于云上的企业路由器资源，您可以通过IAM进行精细的权限管理，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，从而实现资源的安全管控。 标签 标签用于标识云资源，可通过标签实现对云资源的分类和搜索。你可以为企业路由器和路由表添加标签。 配额 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少个企业路由器、每个企业路由器添加多少个连接、每个路由表可以添加多少条路由等。

参数 参数类型 说明 示例 下级对象 status Integer 状态 1开启 其他关闭 1 day Integer 检测频率 1 hour Integer 扫描时间小时，1代表每间隔day天的凌晨1点minute分开始 1 minute Integer 扫描时间分钟，0代表每间隔day天的hour点的0分开始 0 checkType String 扫描类型，多个逗号分割 1：系统弱口令:2：应用弱口令 1,2 agentGuidList Array of Strings guid列表 scopeOPTIONAL时有效 ["guid1","guid2"] scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL

权限说明 如果您需要对LTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制LTS资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制其对LTS资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有LTS的使用权限，但是不希望员工拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制其对服务发现规则资源的使用范围。 如果账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用LTS的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见“统一身份认证服务 用户指南的产品简介章节”。 LTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对LTS进行操作。 LTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问LTS时，需要先切换至授权区域。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如[表1]所示，包括了LTS的所有系统权限。 表 1 LTS系统权限 策略名称 描述 策略类别 依赖关系 LTS FullAccess 云日志服务的所有权限，拥有该权限的用户可以操作并使用LTS。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS ReadOnlyAccess 云日志服务的只读权限，拥有该权限的用户仅能查看LTS数据。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS Administrator 云日志服务的管理员权限。 系统角色 Tenant Guest Tenant Administrator [表2]列出了LTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限 操作 LTS FullAccess LTS ReadOnlyAccess LTS Administrator 查询日志组 √ √ √ 创建日志组 √ × √ 修改日志组 √ × √ 删除日志组 √ × √ 查询日志流 √ √ √ 创建日志流 √ × √ 修改日志流 √ × √ 删除日志流 √ × √ 配置主机日志接入 √ × √ 查询过滤器 √ √ √ 禁用过滤器 √ × √ 启用过滤器 √ × √ 删除过滤器 √ × √ 查询告警规则 √ √ √ 创建告警规则 √ × √ 修改告警规则 √ × √ 删除告警规则 √ × √ 查看日志转储 √ √ √ 添加日志转储 √ × √ 修改日志转储 √ × √ 删除日志转储 √ × √ 开启周期性转储 √ × √ 暂停周期性转储 √ × √ 安装ICAgent √ × √ 升级ICAgent √ × √ 卸载ICAgent √ × √ 使用自定义细粒度策略，请使用管理员用户进入统一身份认证（IAM）服务，按需选择云日志服务的细粒度权限进行授权操作。 云日志服务细粒度权限依赖说明请参见[表3]。 表 3 云日志服务细粒度权限依赖说明 权限名称 权限描述 权限依赖 lts:agents:list 查询Agent列表 无 lts:buckets:get 查询指定桶 无 lts:groups:put 修改指定日志组 无 lts:transfers:create 创建日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket lts:groups:get 查询指定日志组 无 lts:transfers:put 修改日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket lts:resourceTags:delete 删除资源标签 无 lts:ecsOsLogPaths:list 查询指定镜像的系统日志路径 无 lts:structConfig:create 创建LTS结构化配置 无 lts:agentsConf:get 查询指定Agent配置 无 lts:logIndex:list 查询日志索引列表 无 lts:transfers:delete 删除日志转储 无 lts:regex:create 提取结构化字段 无 lts:subscriptions:delete 删除指定订阅 无 lts:overviewLogsLast:list 查询用户的最近日志 无 lts:logIndex:get 查询指定日志索引 无 lts:sqlalarmrules:create 添加告警相关 无 lts:agentsConf:create 创建Agent配置 无 lts:sqlalarmrules:get 查询告警相关 无 lts:datasources:batchdelete 批量删除datasource 无 lts:structConfig:put 修改LTS结构化配置 无 lts:groups:list 查询日志组列表 无 lts:sqlalarmrules:delete 删除告警相关 无 lts:transfers:action 启停日志转储 无 lts:datasources:post 创建datasource 无 lts:topics:create 创建日志主题 无 lts:resourceTags:get 查询资源标签 无 lts:filters:put 修改日志过滤器 无 lts:logs:list 查询日志列表 无 lts:subscriptions:create 创建订阅 无 lts:filtersAction:put 启停日志过滤器 无 lts:overviewLogsTopTopic:get 查询日志量最大的主题的数据指标 无 lts:datasources:put 修改datasource 无 lts:structConfig:delete 删除LTS结构化配置 无 lts:logIndex:delete 删除指定日志索引 无 lts:filters:get 查询指定日志过滤器 无 lts:topics:delete 删除指定日志主题 无 lts:agentSupportedOsLogPaths:list 查询Agent支持的操作系统日志的路径 无 lts:topics:put 修改指定日志主题 无 lts:agentHeartbeat:post 上传agent心跳 无 lts:logsByName:upload 根据日志组和日志主题的名字上传日志 无 lts:buckets:list 查询桶列表 无 lts:logIndex:post 创建日志索引 无 lts:logContext:list 查询日志上下文 无 lts:groups:delete 删除指定日志组 无 lts:filters:delete 删除日志过滤器 无 lts:resourceTags:put 更新资源标签 无 lts:structConfig:get 查询LTS结构化配置 无 lts:overviewLogTotal:get 查询当前用户的日志总量 无 lts:subscriptions:put 修改指定订阅 无 lts:subscriptions:list 查询订阅器列表 无 lts:datasources:delete 删除指定datasource 无 lts:transfersStatus:get 查询日志转储状态 无 lts:logIndex:put 修改指定日志索引 无 lts:sqlalarmrules:put 修改告警相关 无 lts:logs:upload 上传日志 无 lts:agentDetails:list 查询agent诊断日志 无 lts:agentsConf:put 修改Agent配置 无 lts:logstreams:list 筛选日志流资源 无 lts:subscriptions:get 查询指定订阅 无 lts:disStreams:list 查询DIS通道 无 lts:groupTopics:put 创建日志组和日志主题 无 lts:resourceInstance:list 查询资源实例 无 lts:transfers:list 查询日志转储列表 无 lts:topics:get 查询指定日志主题 无 lts:agentsConf:delete 删除指定Agent配置 无 lts:agentEcs:list 查询ECS列表 无 lts:indiceLogs:list 搜索日志 无 lts:topics:list 查询日志主题列表 无

本文介绍通过查看历史离线分析数据，您可以了解安全加速的运行情况。 简介 可通过筛选项进行组合查询，筛选项包括域名、业务类型、覆盖范围和时间等，其中必选项为域名和时间。 时间选择跨度最长不能超过31天。 安全分析 1.在天翼云SCDN客户控制台的【安全分析】页面，客户可以查看waf、CC攻击日志和waf报表分析、CC报表分析情况。 2.界面中展示的是您所选域名、时间的攻击日志情况。 图 安全分析waf攻击日志 图 安全分析CC攻击日志 业务数据统计分析 1.带宽流量统计 1）在天翼云SCDN客户控制台的【统计分析用量查询】页面，客户可以查看业务的使用情况。 2）界面中展示了所选择域名、时间的流量和带宽统计图表，包括总流量和平均流量信息；带宽峰值和95带宽峰值。 图 统计分析流量带宽 图 回源统计 3.在天翼云SCDN客户控制台的【统计分析用量查询】页面，客户可以查看业务的回源情况。 4.界面中展示了所选择域名、时间的回源流量和回源带宽统计图。 图 统计分析回源流量带宽 图 请求数统计 5.在天翼云SCDN客户控制台的【统计分析请求数】页面，客户可以查看其在使用CDN。 6.界面中展示了所选择域名的总请求数、请求数峰值、请求数谷值等信息。 7.请求数统计包括：防护请求数、静态https请求数、动态请求数等。 图 请求数统计

本文帮助您了解海量文件服务OceanFS产品的到期提醒和数据保留。 到期提醒 在服务到期（指按周期计费）前7天、3天、1天时系统将向您发送到期提醒短信和邮件，请注意查看并及时处理。 数据保留 服务到期后您的存储资源将暂时被冻结，无法进行读写操作。资源保留期15天，若没有即时续订资源及数据将被销毁。

参数名 类型 是否必填 名称 说明 startTime string 是 开始时间 支持最近30天的时间数据 endTime string 是 结束时间 支持最近30天的时间数据 pageSize string 否 查询每页的数量 不传默认30条；pageSize以及pageNum的乘积不得超过2000 pageNum string 否 查询的页数 不传默认第一页；pageSize以及pageNum的乘积不得超过2000

参数名 类型 是否必填 名称 说明 startTime string 是 开始时间 支持最近30天的时间数据 endTime string 是 结束时间 支持最近30天的时间数据 pageSize string 否 查询每页的数量 不传默认30条；pageSize以及pageNumber的乘积不得超过2000 pageNumber string 否 查询的页数 不传默认第一页；pageSize以及pageNumber的乘积不得超过2000

更新日期 更新内容 20221027 第一次正式发布 本次更新说明如下： 新增账单服务、域名管理、刷新预热、统计分析、日志下载接口 20221130 第二次正式发布 本次更新说明如下： 查询域名攻击的攻击IP/被攻击URL/攻击来源/攻击类型分布、查询域名攻击概况、 批量域名配置增加/编辑/删除/启用/停用、更新bot防护配置、查询bot防护配置

天翼云为您提供模型推理服务协议,请您点击查看。 天翼云模型推理服务协议