命名空间保密字典用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在 云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 创建保密字典功能入口 1. 登录 CAE 控制台。 2. 在左侧导航栏选择配置管理 > 保密字典，进入保密字典管理页面。 3. 单击创建 ，在弹出的创建保密字典 面板，根据需求选择不同的保密字典类型，并根据下表说明完成参数配置 ，然后单击确认。 说明 在创建保密字典时，您可以根据需要存放的信息选择不同的类型： Opaque类型：Opaque 是默认的 Secret 类型，适用于存储各类没有特定格式的敏感信息，如密码或API密钥。当您需要存储一些自定义格式的敏感信息时，Opaque 类型提供了灵活性，让您可以以键值对的形式自由地保存所需的数据。 TLS证书类型：这种类型专门用于存储 TLS 证书相关的数据，当您的服务需要启用 HTTPS 访问时，可以使用这种类型的 Secret 来保存和管理 TLS 证书，以确保在 CAE 环境中的 Pod 中使用，确保数据传输的安全性。 私有镜像仓库登录密钥类型：这种类型适用于存储访问私有容器镜像仓库的凭证，使得 Kubernetes 在拉取私有镜像时能够进行身份验证。如果您的应用使用的容器镜像存储在私有仓库中，您需要提供凭证才能访问这些镜像。在这种情况下，该类型的 Secret 用于存储仓库用户名和密码或访问令牌，确保 CAE 在部署应用时能够拉取到私有镜像。

本文介绍如何通过日志下载功能查看对应域名的相关日志。 日志文件延迟时间：一般情况下延迟在24小时之内，但是也有可能超过24小时； 日志每隔一小时生成一次。具体分割成的文件数量根据该小时生成的日志量动态调整； 您可以下载最近15天的日志数据； 日志命名规则：log加速域名年月日时开始时间结束时间，例如： logwww.ctyun.cn202001010100005959.gz 图 日志下载

本节介绍了如何绑定和解绑云数据库TaurusDB实例的弹性公网IP。 操作场景 TaurusDB数据库实例创建成功后（默认未绑定“读写公网地址”），您可根据业务需要，绑定“读写公网地址”。 TaurusDB服务支持用户绑定弹性IP，用于在公共网络访问数据库实例，绑定后也可根据需要解绑。 注意 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是3306，那么需确保安全组开通了3306端口的访问。 绑定弹性IP时无可选的EIP，原因可能是该EIP已被其他应用绑定，TaurusDB绑定的EIP需要是未绑定状态才可以绑定，请重新购买弹性IP。 前提条件 用户需要在VPC申请一个“读写公网地址”。 对于已绑定“读写公网地址”的实例，需解绑后，才可重新绑定其他“读写公网地址”。 注意事项 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的TaurusDB在同一区域的弹性云主机上。 绑定弹性IP 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在网络信息模块，单击“读写公网地址”后面的“绑定”。 步骤 6 在弹出框的弹性公网IP地址列表中，选择目标弹性IP，单击“确定”，提交绑定任务。 如果没有可用的弹性IP，您可单击“查看弹性IP”，跳转到网络控制台创建弹性IP，创建完成后请返回实例的基本信息页面绑定弹性IP。 注意 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。 步骤 7 在“网络信息”模块“读写公网地址”处查看绑定成功的弹性IP。

本页介绍规格缩容相关步骤。 注意 仅II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 实例状态为运行中。 约束限制 仅华北2、西南1资源池只读实例支持规格缩容。 当规格已为最低规格（2C4G）则不支持缩容。 操作步骤 注意 实例规格缩容期间数据库服务将不可用，时间为5分钟左右（时间可能会根据网络等原因有所变化，以实际为准），建议您合理安排业务，并谨慎操作。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在操作 列选择更多 > 规格缩容。 4. 在规格缩容 页面，选择目标实例规格，确认退还费用，然后单击提交，对实例进行缩容。 等待实例重回运行中状态，即可正常使用低规格的实例。

本文为您介绍演练大屏的相关内容。 概要 演练大屏是容灾演练的指挥中枢，通过集中可视化和实时态势感知，实现全局监控、快速定位、高效协同，旨在达成演练过程可控、风险前置的核心目标，全面提升容灾管理效能。 使用条件 仅当演练整体状态为执行中/终止中/已暂停/暂停中可进入演练大屏。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾切换”“容灾演练”，进入容灾演练列表页。 5. 在列表上方下拉菜单中选择需要进行容灾演练的命名空间。 6. 点击列表操作列“演练管理”按钮，进入演练管理详情页。 7. 点击右上角“演练大屏”按钮，进入演练大屏页面。

状态码 错误码 错误信息 400 InvalidArgument 请求参数错误 400 InvalidRequest 请求无效 400 InvalidDigest 内容摘要无效 400 BadDigest 错误摘要 400 InvalidLocationConstraint 区域限制无效 400 ZonegroupDefaultPlacementMisconfiguration 默认放置策略配置错误 400 InvalidTargetBucketForLogging 日志目标桶无效 400 InvalidBucketName 桶名无效 400 InvalidObjectName 对象名无效 400 UnresolvableGrantByEmailAddress 无法通过邮箱解析授权 400 InvalidPart 无效的分片 400 InvalidPartOrder 分片顺序无效 400 RequestTimeout 请求超时 400 EntityTooLarge 实体过大 400 EntityTooSmall 实体过小 400 TooManyBuckets 桶数量过多 400 MalformedXML 错误的 XML 400 XAmzContentSHA256Mismatch SHA256 校验失败 400 MalformedPolicyDocument 错误的策略文档 400 InvalidTag 标签无效 400 MalformedACLError 错误的 ACL 400 InvalidEncryptionAlgorithmError 加密算法无效 400 InvalidPrefix 前缀无效 400 InvalidRetentionPeriod 保留期无效 400 InvalidBackToSourceOrigin 回源设置无效 400 InvalidLCConfiguration 生命周期配置错误 400 MissingContentLength 缺失内容长度 400 InvalidSecretKey 无效的 Secret Key 400 InvalidKeyType 密钥类型无效 400 InvalidCapability 权限能力值无效 400 InvalidTenantName 租户名无效 400 InvalidKMSEncryptionKeyId KMS 密钥 ID 无效 400 InvalidRenameAlgorithm 重命名算法无效 400 InvalidHashAlgorithm 哈希算法无效 400 CallBackRequestFailed 回调请求失败 400 NotSymlink 不是符号链接 400 InvalidTargetType 目标类型无效 400 ExtzoneSyncUnreachable 跨区同步不可达 400 NotMainSubRelation 非主子账号关系 400 InvalidStorageClass 存储类别无效 400 AccessMonitorDisableNotAllowed 不允许禁用访问监控 403 AccessDenied 拒绝访问 403 ObjectLocked 对象处于合规保留状态 403 SignatureDoesNotMatch 签名不匹配 403 InvalidAccessKeyId Access Key 无效 403 UserSuspended 用户已暂停 403 RequestTimeTooSkewed 请求时间与服务器偏差过大 403 QuotaExceeded 超出配额 404 NoSuchKey 对象不存在 404 NoSuchBucket 桶不存在 404 NoIvtDestBucket 目标桶不存在 404 NoSuchWebsiteConfiguration 网站配置不存在 404 NoSuchUpload 上传任务不存在 404 Not Found 找不到资源 404 NoSuchLifecycleConfiguration 生命周期配置不存在 404 NoSuchBucketInventory 桶清单不存在 404 NoSuchUnzipTask 解压任务不存在 404 InvalidUnzipTaskState 解压任务状态无效 404 NoSuchBucketPolicy 桶策略不存在 404 NoSuchUser 用户不存在 404 NoSuchEntity 实体不存在 404 NoSuchCORSConfiguration CORS 配置不存在 404 ObjectLockConfigurationNotFoundError 对象锁配置不存在 404 NoSuchSubUser 子用户不存在 404 NoSuchTagSetError 标签集合不存在 404 NoSuchEncryptionSetError 加密配置不存在 404 SymlinkTargetNotExist 符号链接目标不存在 404 MainUserNotExist 主账号不存在 404 NoSuchSubaccount 子账户不存在 405 MethodNotAllowed 方法不被允许 409 EntityAlreadyExists 实体已存在 409 BucketAlreadyExists 桶已存在 409 UserAlreadyExists 用户已存在 409 EmailExists 邮箱已存在 409 KeyExists 密钥已存在 409 PartExists 分片已存在 409 OperationAborted 操作中止 409 PositionNotEqualToLength 上传位置与长度不符 409 ObjectNotAppendable 对象不可追加写入 409 InvalidBucketState 桶状态无效 409 InvalidObjectState 对象状态无效 409 RestoreAlreadyInProgress 正在恢复中 409 GlacierObjectNotRestore Glacier 对象尚未恢复 409 NotGlacierObject 非 Glacier 对象 409 GlacierObjectNotExtzoneSync Glacier 对象未进行跨区同步 409 ObjectAlreadyExists 对象已存在 409 BucketNotEmpty 桶非空 409 SubaccountAlreadyExists 子账户已存在 409 InvalidBucketVersions 桶版本不匹配 412 PreconditionFailed 前提条件失败 416 InvalidRange 范围请求无效 422 UnprocessableEntity 实体无法处理 423 Locked 资源被锁定 500 InternalError 内部错误 500 InvalidStoragePool 存储池无效 501 NotImplemented 功能未实现 503 ServiceUnavailable 服务不可用 503 SlowDown 请求过于频繁，请稍后重试

参数 插件版本 参数说明 节点总数 所有版本 可扩容的最大节点总数。 cpu总数（核） 所有版本 可扩容的最大cpu总数（核）。 内存总数（GB） 所有版本 可扩容的最大内存总数（GB）。 自动扩容 部分版本无此参数 未调度实例扩容： 默认选中。 启用集群使用率扩容： 可选，扩容能力增强。 cpu扩容使用率：当节点池CPU达到所设置的使用上限，将扩容当前预置节点池的节点数。 内存扩容使用率：当节点池内存达到所设置的使用上限，将扩容当前预置节点池的节点数。 磁盘 部分版本无此参数 系统盘和数据盘：设置节点磁盘空间。 系统盘：规格为[40,1024]GB，用户可以配置，缺省值为40GB。 数据盘：规格为[100,32678]GB，用户可以配置，缺省值为100GB。 勾选“资源分配自定义”后，您可以对数据盘中的Docker和Kubelet资源占比进行自定义设置。 须知 磁盘使用directlvm模式，移除将使用looplvm模式，有影响系统稳定性的风险。 Docker资源包含Docker镜像数据以及镜像元数据，Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 数据盘：单击“新增数据盘”，您可以增加一块数据盘。 系统盘和数据盘均可提供以下性能规格的云硬盘： 普通IO：是指由SATA存储提供资源的磁盘类型。提供可靠的块存储，单个云硬盘的最大IOPS可达到1000，可运行关键应用程序。 高IO：是指由SAS存储提供资源的磁盘类型。提供可达到3000的高IO和低至1 ms的读写延时，支持NoSQL/关系型数据库，数据仓库，文件系统等应用。 超高IO：是指由SSD存储提供资源的磁盘类型。提供可达到20000的超高IO和低至1 ms超低读写时延，支持NoSQL/关系型数据库，数据仓库等应用。 命令行注入 部分版本无此参数 请输入脚本命令。 说明： 脚本命令大小限制：0~1000字符。

本章节主要介绍发布API。 本文将为您介绍如何将数据服务中的API发布到服务目录。 操作场景 数据服务是数据对外开放的最后一道防线，为了安全起见，在数据服务中生成的API以及注册的API，都需要发布到服务目录中才能对外提供服务。 操作步骤 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.进入“数据服务 > 总览 > 开发API > API管理”页面，在API服务列表操作列中，选择“更多 > 发布”。 4.在确认发布界面，您可以点击“更多”，选择发布详情。 详见下图： 发布详情 −专享版默认发布到数据服务专享版集群上，发布成功后API调用者可以通过内网调用该API。您也可以选择“更多”，将API发布到APIG专享版或ROMA Connect实例上。 APIG专享版：如果您需要将API发布到APIG专享版上，则您需要提前在API网关服务上创建一个APIG实例。实例创建后，有一个默认API分组，系统为分组自动分配一个内部测试用的调试域名，此调试域名唯一且不可更改，每天最多可以访问1000次。如果您不希望与其他API共享此规格，可以在APIG控制台新建一个API分组（详情请参考“API网关APIG用户指南> API分组管理> 创建API分组”章节），然后在数据服务发布时选择对应API分组，独享每天最多访问1000次的规格。另外，您还可以为API分组绑定一个或多个独立域名（详情请参考“API网关APIG用户指南>API分组管理> 绑定域名”章节），API调用者通过访问独立域名来调用您开放的API，这样即可不受每天最多访问1000次的规格限制。 ROMA Connect实例：如果您需要将API发布到ROMA Connect实例上，则您需要提前在ROMA Connect服务上创建一个ROMA实例，并创建API分组（详情请参考“应用与数据集成平台 ROMA Connect用户指南> 服务集成指导> 开放API> 创建API分组”章节）。API分组创建后，系统为分组自动分配一个内部测试用的子域名，此子域名每天最多可以访问1000次。为了不受此规格限制，您可以为API分组绑定独立域名（详情请参考“应用与数据集成平台 ROMA Connect用户指南> 服务集成指导> 开放API> 绑定域名”章节），API调用者通过访问独立域名来调用您开放的API。 5.在发布API时，会触发审核，审核机制如下： 当发布人不具备审核人权限时，发布API时需要提交给审核人审核。 当发布人具备审核人权限时，可无需审批直接发布API。工作空间管理员角色的用户默认具备审核人权限。 如果非审核人权限的用户发布API时，待审核人审核通过后，即可发布完成。

本文主要介绍可信数据空间场景总体流程。 低密可信数据接入、开发、交易流程指引，分为四个主要模块：数据接入、数据开发、产品上架、产品购买。 数据接入 提供方申请连接器，运营方审批并监管，提供方上传数据并发布资源，运营方审核后同步至平台资源目录。 数据开发 开发方申请资源，运营方审核，提供方会签，开发方进行数据开发并发布服务，平台同步API至要素管理中心。 产品上架 提供方创建数据要素，运营方审核并制定策略，提供方发布产品，平台同步至产品市场。 产品购买 产品购买流程包括购买方申请、运营方审核、合同签订、资料审核、交付确定及售后服务。 整个流程涉及多方协作，确保数据可信流通与交易。 总体流程图如下：

本页介绍天翼云TeleDB数据库集群监控。 操作场景 集群监控页面展示整个集群监控指标，可以从实例的整体全局上了解实例的运行状态。 操作步骤 1. 切换至TeleDB控制台，在左侧导航树单击实例监控 ，选择集群监控页签。 2. 选择需要查看的时间范围。 集群监控页面包含了以下指标信息： 容量占用率：所有节点数据目录大小之和 / 所有节点磁盘总量之和。 总请求数：所有DN节点总请求数之和。 读请求数：所有DN节点读请求数之和。 写请求数：所有DN节点写请求数之和。 其他请求数：所有DN节点其他请求数之和。 总连接数：所有DN节点连接数之和。

本文站在新手的角度,从了解安全与加速基本概念开始,到基础的开通和域名接入,再深入到安全策略配置,递进式指引帮助零基础用户快速上手和使用安全与加速服务。 安全与加速基本概念 面向对象：首次使用边缘安全加速平台—安全与加速服务的客户。 初识WAF 说明 相关文档 ::: 什么是边缘安全加速平台？ 通过介绍边缘安全加速平台，主要功能和应用场景，帮助首次使用边缘安全加速平台的客户全面认识产品。 什么是边缘安全加速平台 为什么需要边缘安全加速平台？ 通过详细介绍产品优势，帮助客户全面了解边缘安全加速平台能解决的业务问题。 产品优势 安全与加速服务如何计费？ 详细介绍天翼云边缘安全加速平台—安全与加速服务支持的计费方式，指导客户如何选择合适的计费方式。 产品计费 基本概念 为帮助客户在浏览相关文档时能更快更准确理解相关功能及流程，专门提炼相关专业术语并提供解释说明。 基本概念

本文向您介绍如何排查企业版VPN流量丢包的问题。 故障现象 云下数据中心服务器对VPC上的ECS服务器执行Ping操作时，存在流量丢包。 VPC上的ECS服务器对云下数据中心服务器执行Ping操作时，存在流量丢包。 处理步骤 检查客户侧组网和带宽情况 确认客户网络的组网是否多出口，是否因为负载分担组网将流量分配到非VPN连接出口导致流量丢包，确保数据流恒定走特定出口访问云侧。 使用客户侧VPN网关地址Ping云侧VPN网关IP以及其他公网（例如：114.114.114.114），检查公网时延、丢包率。 如果公网网络质量存在问题，建议向所在网络提供运营商进行求助。 检查客户出口设备带宽是否超限。 检查云侧组网和带宽情况 检查VPN网关的带宽是否超限。 1. VPN网关主/备EIP带宽规格大小，可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称查看。 2. VPN网关实际带宽使用情况可以选择“虚拟专用网络 > 企业版VPN网关”，单击公网IP栏主/备EIP对应的，查看带宽是否达到上限。 如果超限，可以通过扩容VPN网关的带宽进行解决。

本节介绍了如何创建云数据库TaurusDB实例的手动备份。 操作场景 TaurusDB支持对运行正常的主节点创建手动备份，用户可以通过手动备份恢复数据，从而保证数据的可靠性。 当数据库实例被删除时，TaurusDB数据库实例的自动备份将被同步删除，手动备份不会被删除。 当删除帐号时，自动备份和手动备份的数据将被同步删除。 方式一 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，在操作列选择“更多 > 创建备份”。 步骤 5 在创建备份弹出框中，命名该备份，并添加描述，单击“确定”，提交备份创建，单击“取消”，取消创建。 备份名称的长度在4~64个字符之间，必须以字母开头，区分大小写，可以包含字母、数字、中划线或者下划线，不能包含其他特殊字符。 备份描述不能超过256个字符，且不能包含回车和! &特殊字符。 创建手动备份所需时间，由实例的数据量大小决定。 实例在执行备份时，会将数据从实例上拷贝并上传到OBS备份空间，备份时长和实例的数据量有关。 步骤 6 手动备份创建成功后，用户可在“备份恢复管理”页面，对其进行查看并管理。

轻量型云主机提供以下相关API接口。 产品/功能 类型 描述 API（公测中） 创建轻量型云主机 该接口提供用户创建一台包年包月的轻量型云主机。 API（公测中） 开启一台轻量型云主机 该接口提供用户开启一台轻量型云主机功能。 API（公测中） 续订一台包周期的轻量型云主机 该接口提供用户续订一台包年或者包月的轻量型云主机功能。 API（公测中） 查询轻量型云主机列表 该接口提供用户多台轻量型云主机信息查询功能，用户可以根据此接口的返回值得到多轻量型台云主机信息。 API（公测中） 关闭一台轻量型云主机 该接口提供用户关闭一台轻量型云主机功能。 API（公测中） 查询轻量型主机详细信息 该接口提供用户轻量型云主机信息查询功能，用户可以根据此接口的返回值了解自己轻量型云主机的详细信息。 API（公测中） 查询一台轻量型云主机的Web管理终端地址 该接口提供用户查询一台轻量型云主机的Web管理终端地址。 API（公测中） 查询轻量型云主机的规格套餐资源 该接口提供用户可用规格列表查询功能，可返回轻量型云主机规格的详细信息，用户可以根据此接口的返回值了解自己可使用的云主机规格有哪些。 API（公测中） 更新一台轻量型云主机密码 该接口提供用户更新轻量型云主机的密码功能，此接口为同步接口。 API（公测中） 轻量型云主机规格套餐升级 该接口提供用户升级一台轻量型云主机规格套餐。 API（公测中） 释放轻量型云主机 该接口提供用户退订一台轻量型云主机功能。 API（公测中） 重启一台轻量型云主机 该接口提供用户重启一台轻量型云主机功能。 API（公测中） 重装一台轻量型云主机 该接口提供用户重装一台轻量型云主机功能，通过填写相应云主机ID、镜像ID对轻量云主机进行重装。 API（公测中） 轻量型云主机新建云硬盘 该接口提供用户轻量型云主机新建云硬盘的能力。 API（公测中） 轻量型云主机退订数据盘 该接口提供用户退订一台轻量型云主机数据盘功能。

本文将带您简要了解同地域“同帐号”的多个VPC中的云资源实现跨VPC通信的操作场景和具体流程。 操作场景 通过VPC终端节点，同地域“同帐号”的多个VPC中的云资源可实现跨VPC通信。 通常情况下，不同VPC中的云资源是相互隔离的，无法通过私有IP地址进行访问。通过使用VPC终端节点，您可以在两个VPC之间使用私有IP地址进行通信，就好像这两个VPC在同一个网络中一样。 在同一帐号、同一地域的情况下，如果您希望VPC1中的弹性云主机（CTECS）实例通过私网IP访问VPC2中的ELB，实现了跨VPC的私网通信，可以通过以下方式： 1. 在VPC2中，将您希望VPC1中的资源访问的后端资源（例如内网负载均衡ELB）创建为终端节点服务。 2. 在VPC1中，购买终端节点，通过“按名称查找服务”关联VPC2中已创建的终端节点服务。 操作流程

本章节介绍故障演练服务中应用资源管理功能。 概述 应用资源 是构成应用 的组件节点，例如云主机 、云容器引擎 、分布式缓存服务Redis版 、分布式消息服务Kafka等实例。应用需要先纳管资源，才能对其进行故障演练。 添加应用资源 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，然后单击其下的应用资源 选项，进入应用资源管理页面。 3. 在页面上方的资源类型 页签中，选择希望添加的资源类型（如云主机），然后单击添加资源按钮。 4. 在弹出的对话框中，选择资源池等筛选条件 ，单击搜索，系统将列出符合条件的、当前用户有权访问的资源清单。 5. 从列表中勾选 一个或多个资源，然后单击确认完成添加。 6. 返回应用资源列表，可以看到新添加的资源对象。 注意 列表中显示的资源状态可能存在一定延迟，如需获取最实时的信息，以该资源对应的云产品控制台为准。 删除应用资源 1. 进入目标应用的应用资源管理页面。 2. 在应用资源 列表中，找到希望删除的资源对象，单击其对应的删除按钮。 3. 在弹出的确认对话框中完成删除操作。 4. 返回应用资源列表，确认该资源对象已被成功移除。 注意 若目标资源被演练任务引用，则无法直接删除；必须先解除所有关联任务对该资源的引用，才能进行删除操作。

本节为您介绍云迁移服务CMS中数据库迁移工具迁移评估配置工作,包括注意事项,操作步骤。 注意事项 本文仅简单介绍迁移评估的通用配置流程，不同数据库类型在配置时略有不同。具体配置步骤请阅读迁移评估源库配置。 操作步骤 1. 进入迁移评估的任务列表界面。 2. 单击“创建评估”按钮，进入迁移评估配置界面。 源库地址可以填写私有地址，只要安装迁移工具的节点能访问到即可，需要数据库开通白名单。 如果数据库部署在安装迁移agent的同一节点，填写数据库ip时不可填写127.0.0.1而要用本机的ip地址，因为迁移agent安装在docker中，使用127.0.0.1无法访问本地其他服务端口。 3. 填写好评估参数和目标数据库连接后，单击测试连接按钮。 4. 通过连接测试后点击“下一步：启动评估”，即可查看评估结果。

本章节介绍云容器集群节点网络包损坏故障演练。 背景介绍 由于物理链路噪声、网络设备故障或恶意攻击，数据包在云容器引擎（CCE）集群的节点间传输过程中可能被篡改。接收端的 TCP/IP 协议栈会通过校验和检查发现这种损坏，丢弃该数据包并请求重传。虽然这确保了数据的完整性，但频繁的重传会显著增加网络延迟、降低有效吞吐量，并可能导致应用层超时。本演练模拟此场景，帮助您评估应用在恶劣网络条件下的鲁棒性。 基本原理 通过增加TC和Netem规则模拟Node内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本节介绍了删除快照的操作场景、约束与限制、操作步骤。 操作场景 当快照不再使用时，可以删除快照以释放虚拟资源。删除快照有以下约束： 约束与限制 ● 当快照状态为“可用”或者“错误”时，才可以删除快照。 ● 如果将创建快照的云硬盘删除，那么对应的快照也会被同时删除。 ● 删除快照时，从快照回滚的数据以及从快照新建的云硬盘不受影响。 ● 重装操作系统或切换操作系统后，系统盘快照会自动删除；数据盘快照不受影响，可以照常使用。 ● 开头为“autobksnapshotvbs”、“manualbksnapshotvbs”、“autobksnapshotcsbs”、“manualbksnapshotcsbs”的快照，是创建备份时系统自动生成的快照。您只可以查看该快照的详细信息，无法删除该快照。 操作步骤 步骤 1 登录管理控制台。 步骤 2 选择“存储 > 云硬盘”。 步骤 3 在左侧导航栏，选择“云硬盘 > 快照”。 进入“快照”页面。 步骤 4 在快照列表中，找到目标快照并单击快照所在行的“操作”列下的“删除”。 步骤 5 (可选) 如果需要删除多个快照，可勾选选中多个快照，单击快照列表左上方的“删除”按钮。 步骤 6 在弹出对话框中，确认删除信息后，单击“确定”进行删除。

隔离规则 隔离规则通过控制接口或依赖的并发线程数，来保证系统的稳定性。适用于在调用第三方服务时，防止过多的慢调用挤占正常调用的资源，避免服务不可用。 1. 在应用总览页面，选择限流降级规则管理，进入规则管理页面 2. 选择隔离规则页签，点击新增进入规则配置页面 3. 选择防护场景 配置项 描述 接口名称 待流控的资源名称 4. 配置防护规则 参数 描述 是否开启 打开开关表示启用该规则，关闭开关表示禁用该规则。 并发数阈值 资源的并发线程数（即该资源正在执行的线程数）阈值。 来源应用 该规则针对的来源应用，默认来源应用设为default，代表不区分来源应用。 统计维度 选择资源调用关系进行流控。 1，当前接口 ：直接控制来自来源应用中调用来源的访问流量，如果来源应用为default则不区分调用来源。通常应用于流量匀速通过的场景。 2，关联接口 ：控制当前资源的关联资源的流量。通常应用于资源争抢时，留足资源给优先级高接口的场景。 3，链路入口 ：控制该资源所在的调用链路的入口流量。选择链路入口后需要继续配置入口资源，即该调用链路入口的上下文名称。通常应用于预热启动避免大流量冲击的场景。 5. 配置限流行为 配置行为主要是配置Fallback行为。Fallback行为定义某个埋点资源触发了某种规则（如流控、熔断、降级）后的处理行为。目前Fallback行为仅支持Web和RPC两种资源类型。如果您不需要自定义限流后的Fallback行为，则选择默认行为即可。 配置成功后，新的隔离规则将出现在隔离规则列表中。

隔离规则 隔离规则通过控制接口或依赖的并发线程数，来保证系统的稳定性。适用于在调用第三方服务时，防止过多的慢调用挤占正常调用的资源，避免服务不可用。 1. 在应用总览页面，选择限流降级规则管理，进入规则管理页面 2. 选择隔离规则页签，点击新增进入规则配置页面 3. 选择防护场景 配置项 描述 接口名称 待流控的资源名称。 4. 配置防护规则 参数 描述 是否开启 打开开关表示启用该规则，关闭开关表示禁用该规则。 并发数阈值 资源的并发线程数（即该资源正在执行的线程数）阈值。 来源应用 该规则针对的来源应用，默认来源应用设为default，代表不区分来源应用。 统计维度 选择资源调用关系进行流控。 1.当前接口 ：直接控制来自来源应用中调用来源的访问流量，如果来源应用为default则不区分调用来源。通常应用于流量匀速通过的场景。 2.关联接口 ：控制当前资源的关联资源的流量。通常应用于资源争抢时，留足资源给优先级高接口的场景。 3.链路入口 ：控制该资源所在的调用链路的入口流量。选择链路入口后需要继续配置入口资源，即该调用链路入口的上下文名称。通常应用于预热启动避免大流量冲击的场景。 5. 配置限流行为 配置行为主要是配置Fallback行为。Fallback行为定义某个埋点资源触发了某种规则（如流控、熔断、降级）后的处理行为。目前Fallback行为仅支持Web和RPC两种资源类型。如果您不需要自定义限流后的Fallback行为，则选择默认行为即可。 配置成功后，新的隔离规则将出现在隔离规则列表中。

容器监控 Prometheus监控服务和云容器引擎默认实现了产品能力集成，可将您创建的容器集群无缝接入到Prometheus监控平台中，实现集群及工作负载的一体化监测。 自定义监控 支持添加自定义服务发现集成，实现自定义采集接入，并可查看相关指标、监控大盘及告警信息。同时，提供Remote Write标准接口，允许通过该接口远程接入开源Prometheus的监控数据，从而在Prometheus监控服务上收集和展示这些自定义数据。 服务发现 提供默认服务发现、ServiceMonitor、PodMonitor和自定义服务发现。使用这些服务发现机制，可以优化用户对容器集群的监控范围控制，确保采集到所需的指标数据，以便对不同的服务和Pod进行监控和分析。 聚合实例 聚合实例能够将当前地域内的所有Prometheus实例整合为一个虚拟聚合视图。通过该实例，用户可以集中执行统一的指标查询和告警管理。 告警规则 通过创建Prometheus监控告警规则，用户可以设定针对特定Prometheus实例的告警规则。当告警规则设置的条件满足后，系统会产生对应的告警事件。如果想要收到通知，需要进一步配置对应的通知策略以生成告警并且以短信、邮件、或Webhook等方式发送通知。 告警规则模板 当用户需要为多个Prometheus实例统一配置相同告警规则时，可通过Prometheus告警规则模板功能实现标准化管理。

背景信息 分布式消息服务RabbitMQ为用户提供全面周到的服务，支持用户退订需求。用户如不需要继续使用该分布式消息服务RocketMQ实例，可进行删除实例操作，即退订操作。 操作步骤 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）当前页面会列出所购买的RabbitMQ实例。选择需要退订的实例，点击更多退订。 注意： 退订的实例处于冻结状态，请务必在实例退订前停止全部的应用。 在申请退订前，请做好数据备份工作，退订后数据将保留15个自然日，15天后相关数据将不予保留，且不会进行备份，务必谨慎操作。

本节主要介绍如何在智能视图服务控制台查询和检索视图数据。 点击左侧菜单栏【视图服务视图查询】进入该功能模块，用户可以快捷查询和检索接入到平台的视图数据，支持切换人脸、人员、机动车和非机动车分类。 添加条件 点击【添加条件】，用户可在弹窗中配置筛选查询视图数据的条件。 单个属性支持添加多个值，如同时添加姓名张三和姓名李四的查询条件，即查询姓名张三或李四的视图数据。 支持添加多个属性，如同时添加性别男和上衣颜色黑的查询条件，即查询上衣颜色为黑色的男性的视图数据。 查询结果 查询结果以视图卡片形式展示，支持用户切换查询时间以及输入设备ID或视图ID进行搜索。

本页介绍了文档数据库服务DDS如何开启存储空间自动扩容。 操作场景 文档数据库服务DDS支持实例存储空间的自动扩容，方便用户在实例存储空间达到一定阈值时由后台自动发起扩容，无需人工操作确认。 约束限制 实例状态非运行中时，自动扩容不会进行。 备份类型为云硬盘的集群版实例最大可自动扩容至2TB，备份类型为对象存储的所有实例最大可自动扩容至32TB。 操作步骤 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击需要开启扩容存储空间实例的实例名称，进入到该实例详情页。 4. 在“配置信息”区域，单击“存储自动扩容”参数右侧的 “设置” 。 5. 在“设置存储空间自动扩容”对话框中，开启自动扩容，配置“存储扩容触发阈值”和 “存储自动扩容上限” 。 6. 点击“确定”完成存储空间自动扩容设置。 说明 当存储空间大于备份空间，备份空间也会进行自动扩容。 自动扩容变更将产生额外计费，如实例有只读从节点，会跟随主节点一起扩容。 当已用存储空间到达触发阈值时，存储空间按照当前存储空间的20%进行扩容。 当超过触发阈值不会马上触发扩容操作，需等几分钟后台才会进行扩容，如有急用，请手动进行存储空间扩容。

本文主要介绍修改内网IP地址的方法与步骤。 注意 仅II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 使用场景 用户从线下或者其他云迁移到关系数据库MySQL版后可能会面临IP地址修改的问题，为减少业务变更，降低迁移难度，您可以通过本文操作修改内网连接地址。 约束限制 修改内网连接地址后，将会导致数据库连接中断，请在业务停止期间操作。 仅支持修改IPV4内网地址。 注意 如您已绑定弹性IP，在修改了连接地址后，连接地址会自动关联到弹性IP。 如您为该内网地址设置了内网域名，该域名不会自动绑定到新的内网连接地址，需要您手动重新为新的连接地址设置内网域名。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在实例信息 区域，单击IPv4地址栏的修改连接地址。 5. 在对话框中，输入新的IP地址。 为了防止输入重复的IP地址，您可单击已使用的IP列表排除重复IP地址后，输入新的IP地址。 6. 单击确定。

在创建文件系统时可以根据实际需要选择是否开启加密服务,本文帮助您了解文件系统加密服务的注意事项。 加密概述 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。加密文件存储使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，支持密钥全生命周期管理，包括密钥创建、自带密钥导入（BYOK）等，详细功能参见密钥管理。 使用限制 无法更改已有文件系统的加密属性，如需使用加密文件系统，请重新创建，并选择开启加密服务。 首次使用加密服务需要开通KMS密钥管理服务，开通无须额外费用，创建时选择“开启”即为您开通该服务。KMS密钥是付费服务，收费标准见密钥管理计费说明计费概述。 目前仅支持对称加密密钥。 说明 目前仅少数资源池支持KMS加密存储，具体见 创建加密文件系统 创建加密文件系统的具体操作请参见创建文件系统。 在KMS加密配置项中，选择开启，并选择KMS密钥，没有可用密钥可点击“查看密钥列表”进入密钥管理控制台进行密钥创建。 卸载加密文件系统 卸载文件系统的具体操作请参见卸载文件系统。 注意 如果加密文件系统使用的用户主密钥被执行禁用或计划删除操作，当操作生效后，加密文件系统使用会出现异常，请谨慎操作。

解绑 1. 登录公共算力服务控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【解绑】。 3. 点击【确定】，将已绑定弹性IP的实例进行解绑。 释放 1. 登录公共算力服务控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【释放】。已绑定的弹性IP需先解绑才可操作释放。 3. 点击【确定】，完成弹性IP的释放。 变配 1. 登录公共算力服务控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【变配】。 3. 对EIP带宽进行变配操作，点击【确定】将进入天翼云官网的订单页，完成支付后等待变配结束。 4.EIP带宽变配成功，列表带宽数值为新带宽值。

此小节介绍重启实例。 出于维护目的，当云堡垒机（CBH）系统的运行异常，用户可以尝试重启实例，使其恢复到可用状态。 当CBH实例的“运行状态”为“运行”时，可执行重启操作； 重启云堡垒机实例将导致系统业务中断约5min，在此期间实例“运行状态”将显示为“正在重启”； 重启过程中，CBH系统将不可用。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，选择“安全 > 运维安全中心（云堡垒机）”，进入云堡垒机实例界面。 5. 在需要重启的实例所在行，单击“操作”列中的“更多 > 重启”。 6. 在弹出的重启实例对话框中，单击“确定”。 7. 重启过程一般需要5分钟左右，且实例的运行状态将会变为“正在重启”。若是升级版本和变更规格后，重启所需时间可能会更久。 说明 若重启过程中出现堡垒机实例异常，请联系工程师解决。 8. 实例状态变为“运行”，即可正常使用云堡垒机。 说明 在重启实例对话框，可选择“强制重启”，强制重启实例可能会造成数据丢失，请确保数据文件已全部保存，且云堡垒机系统无操作。

本文简述按量产品计费管理的功能。 背景说明 视频直播支持客户在直播控制台查看已开通的服务详情，并支持开通全球（不含中国内地）加速、退订服务和流量包、变更计费方式和开通增值服务等操作。 操作步骤 1.登录直播控制台。 2.单击左侧菜单栏中的【计费详情】，进入页面后默认展示视频直播的相关信息，如下图展示。 菜单栏 说明 加速区域 展示已开通的加速区域。视频直播支持中国内地和全球（不含中国内地）加速，客户可以根据业务按需开通。 服务类型 展示已开通的基础服务和增值服务。 产品详情 展示计费方式等信息。 有效期 展示服务对应的生效时间和失效时间。 状态 展示当前服务的状态。 操作 支持开通全球（不含中国内地）加速、变更计费方式、退订视频直播服务、开通增值服务和减配增值服务等操作。 说明 如果要开通全球（不含中国内地），需同时开通中国内地或者确保中国内地已开通。 天翼云官网自助订购视频直播的按量计费仅支持流量、日峰值带宽两种计费方式。 视频直播流量和带宽均按照1000进制，例如：1Gbps1000Mbps，1GB1000MB。 默认只收取下行带宽费用。但当上行推流费用：下行播放费用大于1:50时，则同时会收取上行推流费用，单价与下行播放费用一致。

section8c6788a810a43410)的内容说明判断需要屏蔽的事件。 5、选择事件告警的通知方式。 消息中心 告警通知默认发送给帐号联系人的消息中心，可登录系统在右上角查看。 消息主题 单击下拉列表选择已创建的主题，或者单击“查看消息通知服务主题”创建新的主题。 您可以根据运维计划和告警通知类型，创建多个“消息通知主题”，以接收不同类型的告警通知。更多关于主题和订阅的信息，请参见《消息通知服务用户指南》。 6、单击“应用”，完成配置主机安全告警通知的操作。界面弹出“告警通知设置成功”提示信息，则说明告警通知设置成功。 告警通知项说明 通知项 通知内容 通知内容说明 每日告警通知：每日凌晨检测主机中的风险，汇总并统计检测结果后，将检测结果于每日上午10：00发送给您添加的手机号或者邮箱。 资产管理 危险端口 检测开放了的危险端口或者不必要的端口，通知用户及时排查这些端口是否用于正常业务。 漏洞管理 需紧急修复漏洞 检测系统中的紧急漏洞，通知用户尽快修复，防止攻击者利用该漏洞会对主机造成较大的破坏。 基线检查 配置检查 检测系统中的关键应用，如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 基线检查 经典弱口令 检测MySQL、FTP及系统帐号的弱口令。 入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 入侵检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 入侵检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 入侵检测 文件提权 检测当前系统对文件的提权。 入侵检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 入侵检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 入侵检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 入侵检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 入侵检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 入侵检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 入侵检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 若在非常用登录地登录，则触发安全事件告警。 入侵检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 入侵检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 入侵检测 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 入侵检测 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数，对容器进行权限设置。如果没有正确设置，可能会导致权限过大，给攻击者留下可以利用的方式。 入侵检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 入侵检测 敏感文件访问 检测重要文件的提权或持久化等访问行为，对访问行为进行告警。 入侵检测 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 入侵检测 恶意扫描 检测对主机资产的异常扫描行为。 入侵检测 恶意挖矿 对在未经用户同意或知情的情况下使用设备（计算机、智能手机、平板电脑甚至服务器）挖掘加密货币进行检测，一旦发现立即报警上报。 入侵检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 实时告警通知：事件发生时，及时发送告警通知。 入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 入侵检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。 您可以根据网站后门信息忽略可信文件。您可以使用手动检测功能检测主机中的网站后门。 入侵检测 文件提权 检测当前系统对文件的提权。 入侵检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 入侵检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 入侵检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 入侵检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 入侵检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 入侵检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 入侵检测 非法系统帐号 检测主机系统中的帐号，列出当前系统中的可疑帐号信息，帮助用户及时发现非法帐号。 入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 入侵检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 入侵检测 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 入侵检测 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数，对容器进行权限设置。如果没有正确设置，可能会导致权限过大，给攻击者留下可以利用的方式。 入侵检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 入侵检测 敏感文件访问 检测重要文件的提权或持久化等访问行为，对访问行为进行告警。 入侵检测 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 入侵检测 恶意扫描 检测对主机资产的异常扫描行为。 入侵检测 恶意挖矿 对在未经用户同意或知情的情况下使用设备（计算机、智能手机、平板电脑甚至服务器）挖掘加密货币进行检测，一旦发现立即报警上报。 账户登录 登录成功 对登录成功的账户进行通知。

本文为您介绍DRDS实例的全局日志(全局Binlog),以及使用流程。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 全局Binlog介绍 DRDS实例的全局日志（全局Binlog）是一种二进制日志文件，内容包括该DRDS实例所有的DML操作以及DDL操作，同时为了便于一致性恢复，全局Binlog中也包含DRDS实例元数据和全局一致性位点信息。DRDS全局Binlog兼容MySQL Binlog格式，由CDC（Change Data Capture）节点生成。CDC节点完全兼容MySQL的Binlog dump协议，第三方程序可以像消费（即使用工具实时解析或处理全局Binlog，或进行数据同步等）单个MySQL实例的Binlog一样消费全局Binlog。 工作原理 DRDS由计算节点（Compute Node，简称CN）和存储节点（Data Node，简称DN）组成，存储节点为独立的RDS实例。CDC会存储DRDS实例的元信息，例如逻辑库和逻辑表的对应关系、物理库与物理表的对应关系、白名单表等。CDC使用dump协议，以slave的角色从各DN节点拉取Local Binlog（即RDS产生的Binlog），然后对Local Binlog进行整形、去重、合并等，最终生成全局Binlog。DRDS实例全局Binlog架构如下： 全局Binlog完全采用单机MySQL Binlog的格式，能够提供与单机MySQL数据库相同的使用体验。同时CDC支持dump协议，无论是将全局Binlog日志同步到下游的大数据系统，还是作为DRDS实例的的备份，均可通过直接订阅全局Binlog来实现。您只需在创建DRDS实例后，创建日志节点并完成初始化（也可以在创建DRDS实例时同步创建日志节点，待创建完毕后，再进行日志节点初始化操作），即可生成全局Binlog日志。 注意 开启日志节点后，当您续订或删除DRDS实例时，会同步续订或删除日志节点。