信息字段 说明 是否可修改 用户名 DMS用户显示名。 是 用户角色 显示DMS用户角色名称，当前版本系统角色包括普通用户、运维管理员、审计管理员、配置管理员、系统管理员，超级管理员六种，其中运维管理员、审计管理员、配置管理员、系统管理员为企业版系统角色。 否 手机号码 显示用户在天翼云登记的手机号码。 否 邮箱 显示用户在天翼云登记的电子邮箱地址。 否 当前组织 显示用户所在当前组织。 否

本文为您介绍组成TeleDB管控数据管理服务的元数据管理、查询窗口、数据导入导出、慢查询分析、容量评估、会话管理和锁分析功能等模块。 TeleDB管控数据管理服务由元数据管理、查询窗口、数据导入导出、慢查询分析、容量评估、会话管理和锁分析功能等模块组成。它旨在为企业提供一套全面的数据管理解决方案，包括数据的存储、访问、分析和安全等核心环节。通过TeleDB管控数据管理模块，企业可以实现对数据的集中式管理和存储，从而简化了数据的访问和检索过程。 元数据管理模块 ：提供对实例、数据库、模式、表和可编程对象等各级数据库对象的元数据管理，在数据库的创建、编辑、删除等常规操作需提供界面化操作支持，可以实时同步数据库的元数据信息。 查询窗口模块 ：数据库开发者常用功能，提供功能丰富的SQL输入框，包括语法提示、脚本保存以及结果集的返回，支持对结果集进行界面可视化编辑进行数据更新。 数据导入导出模块 ：支持多种文件格式的数据导入到数据库，以及从数据库中导出数据。支持的文件格式为：sql、txt和csv。支持不同层级的数据导入导出，分别支持库/模式以及表级的数据导出。同时，也支持不同层级数据库对象的结构导出。 慢查询分析 ：慢查询统计、索引推荐主要和管控实例交互获取，慢查询分析、语句优化主要和业务实例交互获取，性能容量评估操作建议可联动慢查询分析，进行服务调用，实例元数据为服务入口，Agent代理主要用作网络跨区服务，ZooKeeper主要负责服务注册及发现的功能。 性能容量评估 ：性能容量评估的监控指标数据主要和管控实例交互获取，实例元数据为服务入口，Agent代理主要用作网络跨区服务，ZooKeeper主要负责服务注册及发现的功能。 会话管理 ：会话管理通过业务实例获取全局会话和异常会话的信息，并提供部分会话、全部会话的终止功能，实例元数据为服务入口，Agent代理主要用作网络跨区服务，ZooKeeper主要负责服务注册及发现的功能。 锁分析： 锁分析通过管控实例获取到业务实例最近一次发生死锁的信息，获取到死锁的事务环信息和回滚的事务信息并展示说明，实例元数据为服务入口，Agent代理主要用作网络跨区服务，ZooKeeper主要负责服务注册及发现的功能。

功能 说明 缓存过期时间指源站资源在全站加速节点缓存的最大时长，超过该时长，资源将会被全站加速节点标记为已过期。如果客户端请求的资源在全站加速节点上已过期，全站加速节点会回源获取最新资源缓存到全站加速节点上，供其他请求使用。全站加速产品支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 当全站加速节点从源站获取资源时，源站会返回响应状态码，您可在客户控制台上配置状态码过期时间，全站加速节点会将源站返回的状态码缓存在本地，在状态码过期前，客户端若再次向全站加速节点发起相同资源的请求，全站加速节点将直接响应缓存的状态码，不会回源请求，可有效减轻源站服务器的压力。当状态码在全站加速节点上的缓存时间过期后，客户端再次请求该资源将回源请求。 当客户希望在源站响应特殊状态码并携带相关缓存头的情况下，特殊状态码缓存规则按照源站相关缓存头生效，无相关缓存头时才按CDN设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 缓存key是一个文件缓存在全站加速节点上时的唯一标识，缓存文件和缓存key是一对一的关系。通常默认情况下，缓存key为客户端请求的原始URL（带参数）。通过缓存key设置，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。

提交流程版本 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程“操作”列，单击“版本管理”，弹出流程版本管理页面。 6. 在流程版本管理页面中，单击“版本信息”栏中目标流程所在行的“操作”列的“提交”，弹出提交确认框。 7. 在确认框中，单击“确认”，提交流程版本。 说明 流程版本提交后“版本状态”更新为“待审核”。 流程版本提交后不可以再编辑，如果需要编辑可以新建版本，或者在审核中驳回提交。 激活/失活流程版本 说明 只有版本状态为未激活的流程版本才能激活。 每个流程只允许存在一个激活版本。 激活当前版本后，之前激活的版本将会失活。例如，此次激活V2版本，则处于已激活状态的V1版本将被取消激活，更新为未激活状态。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程“操作”列，单击“版本管理”，弹出流程版本管理页面。 6. 在流程版本管理页面中，单击“版本信息”栏中目标流程版本所在行的“操作”列的“激活”或者“取消激活”。 7. 在弹出确认框中，单击“确认”，完成激活/失活操作。

查询分析结果可以通过柱状图形式进行展示。 柱状图是一种由矩形表示类别的数据显示方法，可以在多个数据和趋势分析之间进行清晰比较。态势感知（专业版）中，柱状图默认采用垂直柱子（即矩形块的宽度一定，高度代表数值大小）来展示数据。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”。 7. 选择“图表统计”页签，并在图表统计页面右侧的“图表类型”中单击。 8. 配置柱状图参数。 参数类别 参数名称 参数说明 基本配置 标题 自定义线图标题名称。 图表配置 X轴标题 自定义X轴标题名称。 图表配置 Y轴标题 自定义Y轴标题名称。 图表配置 X轴字段 选择X轴显示字段。 图表配置 Y轴字段 选择Y轴显示字段。 图例配置 显示图例 确认是否显示图例。 图例配置 图例位置 开启显示图例时须配置。 图例在图表中的位置，可以配置为上、下、左和右。 图表设置完成后，左侧可预览配置后的数据分析情况。

参数 是否必填 参数类型 说明 示例 下级对象 RecordType 是 Integer 录制类型。取值：1：全天录制；2：循环定时录制；3：指定时间录制；5：手动录制。 1 StorageTime 是 Integer 存储时长，单位秒，最小不少于30天。例：2592000表示30天。 2592000 WeekTimeSections 否 Array of Objects 定时录制的时间段，当RecordType为2时，该字段必选。 WeekTimeSection SpecTimeSections 否 Array of Objects 指定时间录制的时间段，当RecordType为3时，该字段必选。 SpecTimeSection

参数 是否必填 参数类型 说明 示例 下级对象 RecordType 是 Integer 录制类型。取值：1：全天录制；2：循环定时录制；3：指定时间录制；5：手动录制。 1 StorageTime 是 Integer 存储时长，单位秒，最小不少于30天。例：2592000表示30天。 2592000 WeekTimeSections 否 Array of Objects 循环定时录制的时间段，当RecordType为2时，该字段必选。 WeekTimeSection SpecTimeSections 否 Array of Objects 指定时间录制的时间段，当RecordType为3时，该字段必选。 SpecTimeSection

参数名 说明 生效日期 调度任务的生效日期。 调度周期 选择调度任务的执行周期，并配置相关参数。 分钟 小时 天 周 说明 调度周期选择分钟/小时，需配置调度的开始时间、间隔时间和结束时间。 调度周期选择天，需要配置调度时间，即确定了调度任务于每天的几时几分启用。 调度周期选择周，需要配置生效时间和调度时间，即确定了调度任务于周几的几时几分启用。

参数名 类型 是否必填 名称 说明 productcode string 否 产品类型 产品类型，“007”（安全加速） domain string 是 域名

本节介绍云等保专区产品的专用术语。 术语 说明 :: cURL cURL是一个利用URL语法在命令行下工作的文件传输工具，可用于检测系统是否可以访问目标站点。 Dig Dig是一个在类Unix命令行模式下查询DNS信息（包括NS记录、A记录、MX记录等）的工具。 基线核查 基线核查是指对主机操作系统、数据库、软件和容器的配置进行安全检测，并提供检测结果说明和加固建议。 基线核查可以帮您进行系统安全加固，降低入侵风险并满足安全合规要求。 漏洞扫描 漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。 引擎 本文的“引擎”为扫描核心技术，即最终进行漏洞扫描工作的服务。 资产 即扫描器所扫描的主机、数据库、网站等。 DDoS 分布式拒绝服务攻击（Distributed Denial of Service Attack，DDoS）是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。 EDR 端点检测与响应（Endpoint Detection & Response，EDR）是一种主动的安全方法，可以实时监控端点，并搜索渗透到防御系统中的威胁。EDR是一种新兴的技术，可以更好地了解端点上发生的事情，提供关于攻击的上下文和详细信息。 认证 是一种信用保证形式。按照国际标准化组织（ISO）和国际电工委员会（IEC）的定义，由国家认可的认证机构证明一个组织的产品、服务、管理体系符合相关标准、技术规范（TS）或其强制性要求的合格评定活动。 虚拟机 虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。 在实体计算机中能够完成的工作在虚拟机中都能够实现。 在计算机中创建虚拟机时，需要将实体机的部分硬盘和内存容量作为虚拟机的硬盘和内存容量。每个虚拟机都有独立的CMOS、硬盘和操作系统，可以像使用实体机一样对虚拟机进行操作。 AES 密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES（Data Encryption Standard），已经被多方分析且广为全世界所使用。 Apache Apache是一款Web服务器软件。它可以运行在几乎所有广泛使用的计算机上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。 CC攻击 CC攻击（Challenge Collapsar Attack，挑战黑洞攻击）是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量假冒合法的请求，造成被攻击服务器资源耗尽，一直到宕机崩溃。 DES DES（Data Encryption Standard，数据加密标准）是一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来。 HA 高可靠性（High Availability，简称HA）能够在通信线路或设备发生故障时提供备用方案，防止由于单个产品故障或链路故障导致网络中断，保证网络服务的连续性。 LACP LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种基于IEEE802.3ad标准的协议。 LACP协议通过LACPDU（Link Aggregation Control Protocol Data Unit，链路聚合控制协议数据单元）与对端交互信息。链路聚合往往用在两个重要节点或繁忙节点之间，既能增加互联带宽，又提供了连接的可靠性。 LDAP LDAP（Lightweight Directory Access Protocol，是轻量目录访问协议）是互联网上目录服务的通用访问协议。 LDAP服务可以有效解决众多网络服务的用户账户问题，LDAP服务器是用于查询和更新LDAP目录的服务器，包括用户账号目录。 MTU 最大传输单元（Maximum Transmission Unit，MTU）用来通知对方所能接受服务单元的最大尺寸，说明发送方能够接受的有效荷载大小。 SSL SSL（Secure Sockets Layer，安全套接字协议）及TLS（Transport Layer Security，继任者传输层安全）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。 VRRP 虚拟路由冗余协议（Virtual Router Redundancy Protocol，简称VRRP）是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，它是一种路由容错协议，也可以叫做备份路由协议。 WebShell Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称为一种网页后门。 黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器Web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP（Simple Network Management Protocol，简单网络管理协议）是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL（Structured Query Language，结构化查询语言）是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。 Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

本章节介绍在关系型数据库服务的管理控制台创建实例的过程。 操作场景 您可以通过关系型数据库服务的管理控制台或API创建关系型数据库实例。关于如何通过API创建的信息，请参见《关系型数据库API参考》中实例管理章节的“创建实例”的内容。本节将介绍在关系型数据库服务的管理控制台创建实例的过程。 目前，RDS for SQL Server支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击“购买数据库实例”。 步骤 5 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 计费模式 包年/包月 若选择该模式，跳过步骤1，执行步骤2。 按需 计费 若选择该模式，继续执行步骤6。 表 基本信息 参数 描述 : 区域 租户当前所在区域，也可在页面左上角切换。说明不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 Microsoft SQL Server。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用Microsoft SQL Server数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况：− 相同，主机和备机会部署在同一个可用区。− 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 单机：只创建一个主实例。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区仅可在创建实例时选择，一旦选定无法修改。 实例字符集 定义数据库或表列的排序规则，或应用于字符串表达式时的排序规则强制转换操作。用于设置当前实例的字符集。 表 规格与存储 参数 描述 : 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 关于性能规格详情，请参见数据库实例规格。创建成功后可进行规格变更，请参见变更实例的CPU和内存规格。 存储类 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量50MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 创建成功后可进行扩容，具体请参见扩容磁盘。 表 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟网络环境，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云和子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 说明 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址暂不可修改。 安全组 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 创建实例时，可以选择多个安全组（为了更好的网络性能，建议不超过5个）。此时，实例的访问规则遵循几个安全组规则的并集。 如果没有可选的安全组，关系型数据库服务默认为您分配安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“创建IPv4/IPv6双栈子网”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表 数据库配置 参数 描述 :: 管理员帐户名 数据库的登录名称默认为rdsuser。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~!@

函数计算权限管理通过天翼云的访问控制IAM实现。使用访问控制IAM可以让您避免与其他用户共享云账号密钥，即AccessKey（包含AccessKey ID和AccessKey Secret），按需为IAM用户分配最小权限。本文介绍函数计算的权限策略，包括系统策略、自定义策略及自定义策略示例。 策略类型 在访问控制中，权限策略是用语法和结构描述的一组权限的集合，可以精确地描述被授权的Resource（资源集）、Action（操作集）以及授权条件。函数计算包含以下权限策略： 系统策略：统一由天翼云创建，您只能使用不能修改，策略的版本更新由天翼云维护。 自定义策略：您可以自主创建、更新和删除，策略的版本更新由您自己维护。 系统策略 当您首次使用IAM用户登录函数计算控制台时，不仅需要通过天翼云账号给您的IAM用户添加访问函数计算的系统权限策略，也需要给IAM用户添加访问其他云服务的系统权限策略。成功授权后，您的IAM用户才可以正常访问函数计算服务及其他云产品服务。 系统策略包含以下类型： 权限策略名称 描述 CtyunFCReadOnlyAccess 表示允许对函数计算所有的资源进行读操作。 CtyunFCInvocationAccess 表示允许对所有函数的资源进行执行操作。 CtyunFCFullAccess 表示允许对所有函数计算资源进行所有执行操作。 自定义策略 除了函数计算默认提供的系统策略外，您也可以通过自定义策略进行更细粒度的权限管理。 Action Resource 描述 cf:inst:ListFunctions ctrn:cf:{region}:{uid}:functions/ 函数列表 cf:inst:GetFunction ctrn:cf:{region}:{uid}:functions/{functionName} 查询函数 cf:inst:CreateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 创建函数 cf:inst:DeleteFunction ctrn:cf:{region}:{uid}:functions/{functionName} 删除函数 cf:inst:UpdateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 更新函数 cf:inst:InvokeFunction ctrn:cf:{region}:{uid}:functions/{functionName} 调用函数 您可以通过以上自定义的权限策略设置具有调用华东1（杭州）地域下demo函数的权限，具体策略如下所示： json { "Version": "1", "Statement": [ { "Action": [ "fc:InvokeFunction" ], "Resource": "ctrn:cf:{region}:{uid}:functions/demo", "Effect": "Allow" } ] }

本文介绍内外网隔离的适用场景和配置方法。 基本概念 内网：即局域网，是指在某一区域内由多台计算机互联成的计算机组。局域网内的IP是可以自定义分配管理，局域网是封闭型的，仅局域网内进行互联互通。 外网：即广域网，又称公网。是连接不同地区局域网或城域网计算机通信的远程网。公网的IP是固定分配的，一般不会随意变更，且公网IP是需要进行相关报备。 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 功能说明 可针对常用的互联网域名、ip设定黑白名单进行互联网行为控制，主要差异如下： 互联网流量白名单设置：适用于重保、企业安全要求等级较高的场景，需要牺牲一定的客户体验。设置需访问、且安全的域名或IP为白名单，连接内网时仅放行白名单内的互联网流量，其他均不可访问；断开内网才可访问互联网流量。 互联网流量黑名单设置：仅设置已识别到的攻击域名或IP，访问该域名或IP时进行阻断，比如企业内部已识别该域名为钓鱼网站，则可直接配置禁用。

本文介绍如何使用Robocopy工具实现两个CIFS文件系统的数据迁移。 应用场景 本文适用于同地域同一VPC不同文件系统之间的数据迁移。Robocopy是Windows系统自带的目录复制命令，该功能可以创建两个文件结构完全相同的镜像副本而不用复制任何不需要的重复文件，同时还允许您保留所有相关文件信息，包括日期、时间戳等。 前提条件 已拥有两个CIFS协议文件系统，并且准备一台与源文件系统在同一VPC网络下的Windows弹性云主机。两个文件系统分别作为源文件系统和目标文件系统，源文件系统指含业务数据的旧文件系统，目标文件系统指即将投入使用的新文件系统。 准备工作 1. 注册天翼云官网账号，并完成实名认证，具体操作请参考注册天翼云账号。 2. 登录天翼云官网页面，找到控制中心，具体操作请参考天翼云控制中心。 3. 分别创建一个文件系统和一台弹性云主机，具体操作请参考创建弹性文件系统、创建弹性云主机。 4. 挂载文件系统至弹性云主机，具体操作请参考使用弹性云主机挂载文件系统。 操作步骤 两个CIFS文件系统之间的数据迁移可以分为几个关键步骤： 挂载文件系统>迁移数据>迁移应用 。具体操作步骤如下

本文介绍CDN缓存节点的分类。 背景说明 使用天翼云CDN加速以后，用户访问网站域名的请求，将会由客户网站权威DNS通过CNAME的方式授权给天翼云权威DNS，由天翼云权威DNS进行全局负载均衡调度，将用户请求引导至最近的边缘节点。本文主要介绍CDN节点的分类。 详细信息 CDN节点分为边缘节点和中间节点，边缘节点分布在全国各省市，用于与终端用户直接交互，中间节点位于各大区，用于将所有边缘节点请求收敛，以降低回源量。 相关节点架构如下图示： 1. 客户端首先经由DNS的牵引，向天翼云CDN边缘节点发起请求；边缘节点有缓存，则直接返回给用户。 2. 若CDN边缘节点无此内容，则边缘节点向中间节点发起请求。 3. 若中间节点无此内容，则回客户源站获取内容并缓存，同时响应给边缘节点。 4. 边缘节点最终响应给客户端，并按照配置的策略缓存该文件。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP通过弹性云主机连接文档数据库实例。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务所属安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 安全性高，可实现DDS的较好性能。 公网连接 弹性IP 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于不同区域时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。

您可以根据实际需要对连接访问终端节点进行服务白名单管理。本文带您了解如何对终端节点服务白名单进行配置和管理。 操作场景 服务白名单可以控制允许访问服务资源的用户范围。创建终端节点服务后，系统自动将服务所有者的天翼云账号ID添加到服务白名单中。服务白名单中的用户可以查询到该终端节点服务，也可以创建与该终端节点服务连接的终端节点。如果您希望其他账号下的VPC访问服务，您需要将该天翼云账号ID添加到服务白名单中。 对连接访问终端节点进行服务白名单管理，具体分为添加至白名单内和从白名单内删除。 约束及限制 一次只能添加一个白名单。 删除白名单账号后，被删除账号创建终端节点时，无法搜索到此终端节点服务。 操作步骤 添加白名单 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”。 5. 选择相应的终端节点服务，点击其名称进入详情页面。 6. 在终端节点服务详情页面，选择“服务白名单”页签，点击“添加白名单”。 7. 根据提示配置参数，填写指定的天翼云账号邮箱，添加白名单。

本页介绍了天翼云关系数据库MySQL版查看监控数据的方法。 关系数据库MySQL版管理控制台查看实例监控数据的方法如下。 操作场景 管理控制台提供的云监控，可以对关系数据库MySQL版的运行状态进行日常监控。您可以通过管理控制台，直观地查看关系数据库MySQL版的各项监控指标。您可以查看实例监控。 由于监控数据的获取与传输会花费一定时间并且具有一定的采集频率，因此，云监控显示的是当前时间1～10分钟前的数据库的状态。如果您的数据库刚创建完成，请等待1～10分钟后查看监控数据。 前提条件 关系数据库MySQL版实例正常运行。异常状态的实例，无法在监控中查看其监控指标。当关系数据库MySQL版实例再次启动或恢复后，即可正常查看。 查看实例监控 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的监控。 4. 在监控图表页面，可以查看实例监控信息。 您可选择您在页面中要展示的指标名称及数据库节点。 监控视图不能拖动和调整顺序。 监控支持的性能指标监控时间窗包括：10分钟、30分钟、60分钟、3小时、6小时、12小时、1天、2天和3天。 单击右上角的问号，可以查看指标含义。

本文主要介绍使用CDN加速后出现访问异常如何初步排查。 问题概述 当使用CDN加速后出现访问异常如何初步排查是CDN造成的异常还是源站自身异常导致的。 排查步骤 步骤一：确认客户端网络环境是否正常 例如，通过浏览器访问百度页面，或者使用在线诊断工具，确认客户端自身网络环境是否正常。 可以通过搜索引擎搜索在线诊断工具，来获取方便定位客户端自身信息的工具。如客户端网络环境正常，则继续查看下一步。 步骤二：确认是否为CDN节点异常 通过浏览器F12开发者工具，我们可以轻松得到访问到的节点IP。 得到节点IP后，判断此IP是否归属于天翼云，详情请见：如何验证IP地址是否属于天翼云CDN节点IP。 如果IP不属于天翼云，进一步判断域名解析是否正常：可以通过nslookup（Windows）或者dig（Linux）来验证域名解析是否正常。 如果解析不符合预期情况且您域名的DNS配置无误，那么大概率遭遇DNS劫持。推荐您使用公共的DNS规避此问题。 如果IP归属于天翼云，那么进一步确认源站情况是否正常。

计费样例 智能边缘虚拟机的“按需计费”模式，是按照秒级计算费用，您可以在资源开通页面或帮助文档的价格中了解每小时的价格。您可以将每小时价格除以3600，得到每秒的价格。 示例，某一按需资源实例价格为0.18元/小时，则购买一台此资源实例，根据实际使用时长，按秒计费，按小时结算。 使用1小时30分钟，根据实际使用时长按秒计算：（0.18/3600）x 90 x 60 0.27 元。 续订 如需续订，请在【天翼云官网>我的>费用中心>订单管理>续订管理】页面进行操作，可以查看余额、充值、对包年或包月资源进行续订。 计费方式为包年包月的资源，在订购时支持选择【启用自动续费】，订购成功后，当资源距离到期日期还有10天时，系统会发起自动续订。每次会自动续订一个月，续订的价格以按月订购的价格为准，请在资源到期前10天，确保账号余额充足，可以自动扣费成功完成续订。如需取消自动续订，请在【天翼云官网>我的>费用中心>订单管理>续订管理】页面进行修改。 到期与欠费 包年/包月计费资源到期后，若不续订，将冻结对应实例，并在15天后释放资源。 欠费后，按需计费的资源将会被冻结，请在费用中心查看欠费详情、充值以解冻资源。为防止相关资源因欠费被冻结、释放，请及时充值，保持账户余额充足。若持续欠费超过15天，按需计费的资源实例将会被释放。 到期或欠费后，资源的释放时间以客户收到的邮件或短信提示为准。

本文为您介绍科研助手相关协议。 科研助手服务协议详情请参见天翼云科研助手服务协议。 科研助手服务等级协议请参见天翼云科研助手服务等级协议。 科研助手计费协议请参见科研助手计费协议。 科研助手社区镜像用户服务协议请参见科研助手镜像服务协议.pdf。 科研助手服务条款请参见科研助手服务条款.pdf。 科研助手SSH服务使用协议科研助手SSH服务使用协议.docx。

本节介绍云等保专区产品的日志审计。 日志审计具备信息资产的综合性管理能力，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。为管理人员提供全局的视角，确保客户业务的不间断运营安全。通过采集网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息。根据设置的规则，智能判断出各种风险行为，对风险行为进行报警。 功能 描述 全面日志采集 全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。 实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合。 同时可将收集的日志通过转发功能转发到其它网管平台。 大规模安全存储 内置TB级别存储设备，可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分适合等保、密保等行业的应用要求。 智能关联分析 实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，可轻松实现各资产间的关联分析。 脆弱性管理 能够收集和管理来自各种Web漏洞扫描工具、主机漏洞扫描工具、网络漏洞扫描工具产生的扫描结果，并实时和用户资产收到的攻击危险进行风险三维关联分析。 数据挖掘和数据预测 支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。 可视化展示 实现对信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。 通过各种事件的归化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力。 事后的合规性统计分析处理，可对数据进行二次挖掘分析。 分布式部署和管理 平台支持分布式部署，可以在中心平台管理规则、配置策略自动分发、远程自动升级等，极大地降低了分布式部署的难度，提高了可管理性。 灵活的可扩展性 提供多种定制接口，实现强大的二次开发能力以及与第三方平台对接和扩展的能力。 了解更多日志审计相关操作内容，请下载阅读《云等保专区日志审计 v1.0 用户指南》。

%^+?特殊字符。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 单击“确定”，提交重置。 单击“取消”，取消本次重置。 方式二 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例“基本信息”页面。 步骤 5 在“实例信息”模块的“管理员帐户名”处，单击“重置密码”，输入新管理员密码及确认密码。 注意 请妥善管理您的密码，因为系统将无法获取您的密码信息。 所设置的密码，最小长度为8个字符，最大长度为32个字符，至少包含大写字母、小写字母、数字、特殊字符中的3种，其中，可输入~!@ %^+?特殊字符。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 单击“确定”，提交重置。 单击“取消”，取消本次重置。

本章节主要介绍数据治理中心的配置Hive连接功能。 目前CDM支持连接的Hive数据源有以下几种： MRS Hive FusionInsight Hive Apache Hive MRS Hive 用户具有MRS Hive连接的表的访问权限时，才能在字段映射时看到表。 MRS Hive连接适用于云上的MapReduce服务。MRS Hive的连接参数如下表所示。 说明 l 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 l 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 l 由于当前CDM Hive连接是从MRS HDFS组件获取coresite.xml配置信息，所以在MRS侧使用的是Hive over OBS场景时，在创建Hive连接前，需要用户在MRS管理界面的HDFS组件中配置OBS的AK、SK信息。 l 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： l DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 l DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见 > 添加安全组规则”章节。 l 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS Hive连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对应组件的进行库、表、数据的操作，还需要添加对应组件的用户组权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式或者配置不同的Agent。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

操作场景 本节操作介绍在Windows和Linux环境中使用SSH密码方式远程登录Linux云主机的操作步骤。 前提条件 Linux云主机状态处于“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 如果创建Linux云主机时登录方式设置的为密钥，请通过重置密码功能，设置Linux云主机的登录密码后执行本节操作。重置密码请参考：在控制台重置弹性云主机密码。 您所使用的SSH登录工具（例如PuTTY）已经正确配置，并且与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 本地使用Windows操作系统 如果本地主机为Windows操作系统，可以按照以下方式登录云主机。下面的步骤以PuTTY为例： 1. 您可通过官方途径下载PuTTY和PuTTYgen。 2. 运行PuTTY。 3. 在PuTTY的配置界面中，填写以下信息： Host Name (or IP address)：输入Linux云主机的弹性IP。 Port：输入 22。 Connection Type：选择 SSH。 Saved Sessions：为任务设置一个名称，以便下次使用PuTTY时可以直接打开该任务。 4. 单击"Window"，在"Translation"下的"Received data assumed to be in which character set:"选择"UTF8"。 5. 单击“Open”。如果首次登录服务器，PuTTY会显示安全警告对话框，询问是否接受服务器的安全证书。单击"是"将证书保存到本地注册表中。 6. 建立到Linux云主机的SSH连接后，根据提示输入用户名和密码登录云主机。

本文汇总了云等保专区各原子能力的常见应用场景，并提供详细的方案描述和操作指导。 原子能力名称 版本 最佳实践文档 主机安全 v1.0 主机勒索病毒有效防护 主机安全 v2.0 主机安全防护最佳实践 云上勒索病毒防护实践 弱口令安全最佳实践 漏洞扫描最佳实践 等级保护测评合规最佳实践 二类节点资产纳管最佳实践 Web应用防火墙 v1.0 Web应用防火墙高可用部署方案 Web应用防火墙 v2.0 WAF接入配置最佳实践 防护配置最佳实践 Web基础防护规则引擎配置最佳实践 CC攻击防护最佳实践 下一代防火墙 v1.0 下一代防火墙高可用部署方案 下一代防火墙 v2.0 IPv6切换方案 双向访问控制 SSL VPN远程拨入 堡垒机 v2.0 数据库运维实名审计 收敛资产运维暴露面 资产运维细粒度权限管控 数据库审计 v2.0 审计云上自建数据库 审计云数据库 日志审计 v2.0 程序定位日志采集异常 程序日志定位告警异常

本章节主要介绍新建MySQL连接。 前提条件 在创建数据连接前，请确保您已创建所要连接的数据湖（如DataArts Studio所支持的数据库、云服务等）。 1. 在创建DWS类型的数据连接前，您需要先在DWS服务中创建集群，并且具有KMS密钥的查看权限。 2. 在创建MRS HBase、MRS Hive、MRS Kafka、MRS Ranger、MRS Spark、MRS Presto类型的数据连接前，需确保您已创建MRS集群，并且在创建数据链接时已创建选择所需要的组件。 3. 在创建RDS类型的数据连接前，请确保您已创建RDS数据库实例。DataArts Studio平台目前仅支持RDS中的MySQL和PostgreSQL数据库引擎。 在创建数据连接前，请确保待连接的数据湖与DataArts Studio实例之间网络互通。 1. 如果数据湖为云下的数据库，则需要通过公网或者专线打通网络，确保数据源所在的主机可以访问公网，并且防火墙规则已开放连接端口。 2. 如果数据湖为云上服务（如DWS、MRS等），则网络互通需满足如下条件： ①DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。 ②DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档有关“添加路由信息”的章节，配置安全组规则请参见《虚拟私有云》帮助文档中有关“ 添加安全组规则”的章节。 ③此外，您还必须确保该云服务的实例与DataArts Studio工作空间所属的企业项目必须相同，如果不同，您需要修改工作空间的企业项目。

Pod状态为ImagePullBackOff 问题现象: Pod的状态为ImagePullBackOff。 问题原因: Pod使用的镜像拉取失败，可能因镜像地址错误，或者遇到网络问题，导致镜像无法拉取。 解决方案: 查看Pod的事件描述，找到无法拉取的镜像地址，确认容器镜像地址是否正确。若地址无误，登录到Pod所在的节点，手动执行docker pull 命令看镜像是否能正常拉取。 Pod状态为CrashLoopBackOff 问题现象: Pod的状态为CrashLoopBackOff。 问题原因: Pod中的应用负载启动失败所致。 解决方案: 1、查看Pod的日志，定问题原因。2、查看Pod的存活探针和就绪探针配置是否正确。 Pod状态为Completed 问题现象: Pod的状态为Completed。 问题原因: Pod中的应用程序正常执行后退出，若应用行为不符合预期则需要排查。 解决方案: 1、查看Pod配置，检查Pod中容器的启动命令是否正确。2、通过Pod日志定位问题。 Pod状态为Running但没正常工作 问题原因: 部署使用的YAML文件有问题。 问题现象: Pod状态为Running但没正常工作。 解决方案: 1、查看Pod的配置，确定应用的启动参数是否存在问题。2、检查Pod的环境变量配置是否存在问题。3、查看Pod的日志，通过日志内容排查问题。4、通过控制台提供的远程登陆功能进入到容器内部排查 Pod状态为Terminating 问题现象：Pod状态为Terminating。 问题原因：Pod正处于关闭状态。 解决方案：若Pod一直停留在Terminating状态，可执行如下命令强制删除： kubectl delete pod n graceperiod0 force

说明：本章节会介绍在关系型数据库服务的管理控制台创建实例的过程 操作场景 本节将介绍在关系型数据库服务的管理控制台创建实例的过程。 RDS for MySQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击“创建数据库实例”。 步骤 5 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 计费模式： 包年/包月：若选择该模式，跳过步骤6，执行步骤7。 按需计费：若选择该模式，继续执行步骤6。 表1 基本信息 参数 描述 区域 租户当前所在区域，也可在页面左上角切换。 说明 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 MySQL。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 l 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： − 相同，主机和备机会部署在同一个可用区。 − 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 l 单机：只创建一个主实例。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 表2 规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 l 普通I/O：磁盘类型SATA，最大吞吐量90MB/s l 高I/O：磁盘类型SAS，最大吞吐量150MB/s l 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 表3 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“IPv4/IPv6双栈管理”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表4 数据库配置 参数 描述 管理员帐户 数据库的登录名默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@

部署快捷，适配广泛 集成分布式算力调度、模型并行推理和多种运算加速能力，提升模型推理性能，实现推理服务的快捷部署。同时，适配多种模型结构，灵活支持用户各类复杂推理应用需求。 集成多种AI框架 集成多种AI框架，包括国产AI框架，支持各种主流大模型。 安全可信 符合数据监管要求，不设置数据埋点，不收集存储用户的入参和出参数据，从根本上保证了用户的数据隐私安全。 卓越的客户服务 31省本地化的销售网络体系，提供“家门口”的精细化客户服务。724小时的免费运维服务，全力保障客户业务稳定运行。

本小节介绍云下一代防火墙配置登录方式指导。 云下一代防火墙需要云主机承载，如需正常被外网访问，需在安全组下放行云下一代防火墙web登录访问端口。 注意 图例安全组做了any放行，后期具体配置还请根据业务需求做端口放行，不建议开启any。 打开浏览器，地址栏输入 说明 该用户名密码与后台登录用户名密码一致。 初始用户名密码请提交工单咨询。

本章节主要介绍配置升级后的服务配置修改建议。 操作场景 当节点组内ECS实例的规格（vCPU和内存）无法满足您的业务需求时，您可以使用配置升级功能提升ECS实例规格。升级配置后需要手动修改HDFS、YARN和Spark等服务的配置信息。本文为您介绍如何在翼MR Manager的“配置管理”页面修改配置项。 前提条件 已创建集群。 操作步骤 1. 在翼MR Manager中，单击“运维与配置”。 2. 单击“配置管理”。 3. 选择“所选集群服务”，点击查询，即可在当前页面修改配置信息。 配置修改建议说明 1. Doris：Doris所在节点配置升级后，Doris FE建议使用节点一半内存。 2. Elasticsearch：一个Elasticsearch节点，内存建议不超过64G。Elasticsearch所在节点配置升级后，Elasticsearch会自动根据节点情况设置内存值，一般无须用户手动修改，但需要重启集群。如果想手动设置，可以修改jvm.options文件配置Xms30g、Xmx30g参数，并重启集群。 3. HBase：HBase所在节点配置升级后，修改建议如下： hbasesite.xml：hbase.regionserver.handler.count 说明 ：一般跟CPU核数相同。 hbaseenv.sh：export HBASEMASTEROPTS ："Xmsg Xmxg" 说明 ：master不消耗很多内存，一般默认不添加或者分配2~8G左右。 hbaseenv.sh：export HBASEREGIONSERVEROPTS："Xmsg Xmxg " 说明 ：regionserver需要较多内存，一般配置内存配额的一半或更多。 4. HDFS：HDFS所在节点配置升级后，可以根据hadoopenv.sh 参数配置进行，通过调整服务的内存大小调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。NameNode 建议文件、目录、数据块之和1亿，配置50G。 5. Hive：Hive所在节点配置升级后，可以通过hiveenv.sh统一参数配置来进行，也可以在作业提交时使用额外参数指定来进行。通过调整服务的内存大小调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。内存大小可以根据机器的总内存而定，建议初始值为总内存大小的10%，后续根据性能需求调整。 6. Kafka：Kafka所在节点配置升级后，建议配置如下： kafkaenv.sh设置jvm配置参数：调整jvm堆大小，通过调整参数：export KAFKAHEAPOPTS"Xmx20G Xms20G Xmn4g"设置堆大小。 server.properties文件建议修改的配置项： num.io.threads：修改写磁盘的线程数，建议配置为CPU核数的50%； num.replica.fetchers：修改副本拉取线程数，建议配置为CPU核数50%的1/3； num.network.threads：修改数据传输线程数，建议配置为CPU核数的50%的2/3； replica.fetch.max.bytes：副本拉取数据量的大小。内存增加，可以适当加大该值； socket.send.buffer.bytes：调整socket发送的数据量。内存增加，可以适当加大该值； socket.receive.buffer.bytes：调整socke接受的数据量。内存增加，可以适当加大该值； socket.request.max.bytes：socket请求的数据量。内存增加，可以适当加大该值。 7. Kerberos：建议保持默认值，无需修改配置。 8. Kibana：Kibana是一个基于NodeJS的单页web应用，一般情况下，对内存CPU占用很少，无须修改内存、CPU等配置。 9. Kyuubi：Kyuubi一般情况下，对内存CPU占用很少，无须修改内存、CPU等配置。 10. OpenLDAP：建议保持默认值，无需修改配置。 11. Ranger：Ranger所在节点配置升级后，修改建议如下： rangeradmin通过{installdir}/ews/rangeradminservices.sh中变量 rangeradminmaxheapsize的值修改JMX，JAVAOPTS修改Xmx、Xmn等JVM参数，一般设置18g，1K policy建议设置为1G，1W policy建议设置为8G。 rangerusersync通过/{installdir}/rangerusersyncservices.sh中变量rangerusersyncmaxheapsize 的值修改JMX，JAVAOPTS修改Xmx Xmn等JVM参数，一般设置18g，1K policy建议设置为1G，1W policy建议设置为8G。 12. Spark：Spark所在节点配置升级后，修改建议如下： spark.history.kerberos.principal和spark.history.kerberos.keytab为spark读写eventLog的租户，用户如有特殊需求自行更改。 spark.yarn.historyServer.address：说明了history server的地址，用户如有特殊需求自行更改。 spark.dynamicAllocation.enabled 和 spark.dynamicAllocation.maxExecutors 分别控制动态和动态开启下能使用的最大资源，用户如有特殊需求自行更改。 spark.executor.cores 和 spark.executor.memory 确保spark.executor的每一个core分配到2~4g内存，标准是4g，具体视情况而定，设置core的memory设置过小executor容易oom。 13. Trino：Trino的服务包括coordinator和worker。Trino所在节点配置升级后，可以根据jvm.config参数配置进行，通过调整服务的内存大小调整服务的性能，如Xmx128g Xms128g，然后重启服务。 14. YARN：YARN所在节点配置升级后，可以根据yarnenv.sh 参数配置进行，通过调整服务的内存大小来调整服务的性能，如Xmx20g Xms20g Xmn4g，然后重启服务。NM用于集群中作业的内存和CPU，需要修改NM节点的yarnsite.xml中的yarn.nodemanager.resource.memorymb的值，该值用于所有作业的最多可用内存；以及yarn.nodemanager.resource.cpuvcores的值，该值用于所有作业的最多可用虚拟CPU核数。 15. ZooKeeper：ZooKeeper所在节点配置升级后，可通过配置java.env文件，在其中添加：export ZKSERVERHEAP2048（这里设置的单位默认是MB）。