信息项 描述 类型 API类型： l 公开：选择“公开”类型时，API支持上架。 l 私有：选择“私有”类型时，当该API所在分组上架时，该API不会上架。 安全认证 API认证方式： l APP认证：表示由API网关服务负责接口请求的安全认证。推荐使用APP认证方式。 l IAM认证：表示借助IAM服务进行安全认证。 l 自定义认证：用户有自己的认证系统或服务（如使用OAuth认证），可选择“自定义认证”。 l 无认证：表示不需要认证。 注意 须知 认证方式为IAM认证时，任何API网关租户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为无认证时，任何公网用户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为自定义认证时，需要在函数服务中写一段函数，对接用户自己的认证系统或服务。如果当前Region没有上线 函数工作流服务 ，则不支持自定义认证。 支持简易认证 仅当“安全认证”选择“APP 认证”时可配置 。 简易认证指APP认证方式下调用API时，在HTTP请求头部消息增加一个参数XApigAppCode，而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 注意仅支持HTTPS方式调用，不支持HTTP方式。 说明 如果首次创建API未开启简易认证，那么之后开启简易认证，需要重新发布API。 支持双重认证 仅当“安全认证”选择“APP 认证”或“IAM 认证”时可配置 。 是否对API的调用进行双重安全认证。如果选择启用，则在使用APP认证或IAM认证对API请求进行安全认证时，同时使用自定义的函数API对API请求进行安全认证。 自定义认证 仅当“安全认证”选择“自定义认证”时需要配置 。 自定义认证需要提前创建，可单击右侧的“新建自定义认证”链接创建。 支持跨域CORS 是否开启跨域访问CORS（crossorigin resource sharing）。 CORS允许浏览器向跨域服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 CORS请求分为两类： l 简单请求：头信息之中，增加一个Origin字段。 l 非简单请求：在正式通信之前，增加一次HTTP查询请求。 开启CORS（非简单请求）时，您需要单独创建一个“请求方法”为“OPTIONS”的API。

本节介绍了云数据库TaurusDB的读写分离最佳实践。 用户认证 用户账号如果需要使用数据库代理登录，则必须赋予账号远程登录权限，否则无法通过数据库读写分离访问。 操作步骤 1、连接TaurusDB实例。 通过DAS连接TaurusDB实例 通过内网连接TaurusDB实例 通过公网连接TaurusDB实例 2、实例连接成功后，执行下列SQL语句，查看使用的账号的host是否包含数据库读写分离地址。 SELECT user,host FROM mysql.user; 读写分离地址获取方式： 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在左侧导航栏，单击“数据库代理”。 方法一：在“数据库代理”页面中，在“代理地址”模块“链接地址”，获取当前实例的数据库读写分离地址。 方法二：在“读写分离”页面中，在“读写分离信息”模块“读写分离地址”处，获取当前实例的数据库读写分离地址。 3、如果查询的host不包含数据库代理所在网段，则需要赋予远程访问权限。例如root用户从192.168.0网段连接到TaurusDB数据库： GRANT ALL PRIVILEGES ON . TO 'root'@'192.168.0.%' IDENTIFIED BY password WITH GRANT OPTION; flush privileges; 4、当修改安全组时，确保入方向规则和出方向规则允许读写分离的地址访问，读写分离默认端口号为3306。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“基本信息”页面中，在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 在入方向规则页签下，默认允许3306端口访问。如果没有该条规则，单击“快速添加规则”，弹框页面中勾选“MySQL（3306）”，单击“确定”。 图 放通3306端口 图 快速添加3306端口 说明 当您使用MySQL8.0客户端访问数据库读写分离时，可能会报错auth user failed。 在连接数据库时添加 defaultauthmysqlnativepassword。

本文主要介绍云审计服务支持的DMS for Kafka操作列表。 通过云审计服务，您可以记录与分布式消息服务Kafka相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的DMS for Kafka操作列表 操作名称 资源类型 事件名称 创建DMS实例订单成功 kafka createDMSInstanceOrderSuccess 创建DMS实例任务执行成功 kafka createDMSInstanceTaskSuccess 创建DMS实例订单失败 kafka createDMSInstanceOrderFailure 创建DMS实例任务执行失败 kafka createDMSInstanceTaskFailure 删除创建失败的DMS实例成功 kafka deleteDMSCreateFailureInstancesSuccess 删除创建失败的DMS实例失败 kafka deleteDMSCreateFailureInstancesFailure 删除DMS实例任务执行成功 kafka deleteDMSInstanceTaskSuccess 删除DMS实例任务执行失败 kafka deleteDMSInstanceTaskFailure 批量删除DMS实例任务 kafka batchDeleteDMSInstanceTask 提交批量删除DMS实例请求成功 kafka batchDeleteDMSInstanceSuccess 批量删除DMS实例任务执行成功 kafka batchDeleteDMSInstanceTaskSuccess 提交批量删除DMS实例请求失败 kafka batchDeleteDMSInstanceFailure 批量删除DMS实例任务执行失败 kafka batchDeleteDMSInstanceTaskFailure 提交修改DMS实例订单请求成功 kafka modifyDMSInstanceOrderSuccess 提交修改DMS实例订单请求失败 kafka modifyDMSInstanceOrderFailure 提交扩容实例请求成功 kafka extendDMSInstanceSuccess 扩容DMS实例任务执行成功 kafka extendDMSInstanceTaskSuccess 提交扩容实例请求失败 kafka extendDMSInstanceFailure 扩容DMS实例任务执行失败 kafka extendDMSInstanceTaskFailure 提交重置DMS实例密码请求成功 kafka resetDMSInstancePasswordSuccess 提交重置DMS实例密码请求失败 kafka resetDMSInstancePasswordFailure 提交重启DMS实例请求成功 kafka restartDMSInstanceSuccess 重启DMS实例任务执行成功 kafka restartDMSInstanceTaskSuccess 提交重启DMS实例请求失败 kafka restartDMSInstanceFailure 重启DMS实例任务执行失败 kafka restartDMSInstanceTaskFailure 提交批量重启DMS实例请求成功 kafka batchRestartDMSInstanceSuccess 批量重启DMS实例任务执行成功 kafka batchRestartDMSInstanceTaskSuccess 提交批量重启DMS实例请求失败 kafka batchRestartDMSInstanceFailure 批量重启DMS实例任务执行失败 kafka batchRestartDMSInstanceTaskFailure 提交修改DMS实例信息请求成功 kafka modifyDMSInstanceInfoSuccess 修改DMS实例信息任务执行成功 kafka modifyDMSInstanceInfoTaskSuccess 提交修改DMS实例信息请求失败 kafka modifyDMSInstanceInfoFailure 修改DMS实例信息任务执行失败 kafka modifyDMSInstanceInfoTaskFailure 删除后台任务成功 kafka deleteDMSBackendJobSuccess 删除后台任务失败 kafka deleteDMSBackendJobFailure 冻结DMS实例任务执行成功 kafka freezeDMSInstanceTaskSuccess 冻结DMS实例任务执行失败 kafka freezeDMSInstanceTaskFailure 解冻DMS实例任务执行成功 kafka unfreezeDMSInstanceTaskSuccess 解冻DMS实例任务执行失败 kafka unfreezeDMSInstanceTaskFailure Kafka专享实例创建Topic成功 kafka KafkacreatetopicSuccess Kafka专享实例创建Topic失败 kafka KafkacreatetopicFailure Kafka专享实例删除Topic成功 kafka KafkadeletetopicsSuccess Kafka专享实例删除Topic失败 kafka KafkadeletetopicsFailure 开启自动创建Topic成功 kafka enableautotopicSuccess 开启自动创建Topic失败 kafka enableautotopicFailure 重置消费组偏移量成功 kafka KafkaresetconsumeroffsetSuccess 重置消费组偏移量失败 kafka KafkaresetconsumeroffsetFailure 创建用户成功 kafka createUserSuccess 创建用户失败 kafka createUserFailure 删除用户成功 kafka deleteUserSuccess 删除用户失败 kafka deleteUserFailure 更新用户策略成功 kafka updateUserPoliciesTaskSuccess 更新用户策略失败 kafka updateUserPoliciesTaskFailure

本页介绍天翼云TeleDB数据库的应用批量数据写入最佳实践。 首推使用copy批量写入数据，JDBC等驱动也支持copy方式，如copyManager方法；其次推荐batch insert批量提交，或insert 多values方式，可以减少应用至CN、DN节点交互的网络开销；不推荐单条insert提交写法，效率最差。 例如，在虚拟机上，模拟写入200000行记录测试结果，结果显示：copy写入是单条insert的2000倍以上。 表结构： create table teledb(id int, info varchar(32), crttime timestamp); 写入方式 效率 耗时 语法示例 说明 single insert 最慢 438s for (int i0; i < totalrow; i++){ String sql String.format("insert into test values(%d, 'init', now())", i); stmt.executeUpdate(sql); } 每插入一条数据需要提交一次，数据库交互较多。 batch insert 较快 3.16s for (int i 0; i < totalrow; i++) { stmt.setInt(1, i); stmt.setString(2, "testprepared"); stmt.addBatch(); if (i % gbatch 0) { stmt.executeBatch(); stmt.clearBatch(); } } 批量插入类似于多值插入，减少了数据库交互： insert into test values(1,'test'),(2,'test2') .... copy insert 最快 0.21s for (int i0; i < totalrow; i++){ buf.append(i + delimiter+ "test" + delimiter + "20210525" + "rn" ); } StringReader reader new StringReader(buf.toString()); copyManager.copyIn("COPY public.test FROM STDIN WITH DELIMITER ';'", reader); copy 将插入的数据组合为二进制流，通过流的方式导入表。走 copy 协议，数据库交互最少。

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b endpointServiceID String 是 节点服务id endpserlj481rwlqf subnetID String 是 子网id subnet2qn52joqz9 transitIP String 否 中转地址 192.168.0.4

规格名称 CPU 内存（GB） 处理器 处理器主频（GHz） 本地磁盘 内网带宽（Gbps） 是否支持挂载云硬盘 physical.s5.2xlarge19 2路20核 256 Intel 4316 2.3 无 25 支持 physical.s5.2xlarge24 2路26核 384 Intel 5320 2.2 无 25 支持

本小节介绍安全专区防御能力及安全评分。 防御能力 防御能力展示已部署的安全能力及组件信息。 安全评分 展示云资产整体安全水平，掌握资产的安全分值，发现资产安全风险数量。

本文为您介绍数据库审计的权限管理能力,支持通过IAM实现对数据库审计的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对数据库审计资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 数据库审计支持企业项目管理，若您需要对数据库审计资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予数据库审计产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 数据库审计IAM策略说明 天翼云为数据库审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 数据库审计admin策略 数据库审计admin策略，拥有产品所有操作权限。 系统策略 全局级 数据库审计系统管理员策略 数据库审计系统管理员策略。 系统策略 全局级 数据库审计审计员策略 数据库审计审计员策略，只具备查看权限。 系统策略 全局级 数据库审计安全员策略 数据库审计安全员策略。 系统策略 全局级 数据库审计业务管理员策略 数据库审计业务员管理员策略，仅支持使用数据库审计实例，不支持订购相关操作。 系统策略 全局级

如何使用 在配置窗口页以YAML格式填写 配置示例 下面是一个示例，开启 limitconn 插件，并设置 keytype 为var: conn: 1 burst: 0 defaultconndelay: 0.1 rejectedcode: 503 keytype: "var" key: "remoteaddr" 下面是一个示例，开启了 limitconn 插件，并设置 keytype 为varcombination: conn: 1 burst: 0 defaultconndelay: 0.1 rejectedcode: 503 keytype: "varcombination" key: "$consumername $remoteaddr" 停用/启用 在配置页面设置生效开关 验证插件 上面启用的插件的参数表示只允许一个并发请求。当收到多个并发请求时，将直接返回 503 拒绝请求。 curl i 503 Service Temporarily Unavailable 503 Service Temporarily Unavailable openresty 这就表示 limitconn 插件已经生效了。 限流limitcount插件 描述 在指定的时间范围内，限制总的请求个数。并且在 HTTP 响应头中返回剩余可以请求的个数，支持本地限流和全局限流两种限流方式。 当前配置模版中配置了三种模版可供选择： 基础配置为本地限流策略，云原生网关每个节点单独计算限流次数。整个集群的限流计数为配置的count 节点数。 Redis单节点配置和Redis集群配置两种配置都是云原生网关的全局限流配置，此时count配置为集群全局限流计数。 作用范围 该插件即可用于全局插件，也可用于路由级插件。全局插件配置的优先级高于路由级插件配置，当同时在某一路由上配置了limitcount的全局插件和路由级插件时，以全局插件配置中设置的属性值为准。

本文主要介绍云日志服务的时序图。 时序（折线）图是一种用于趋势分析的图表，通常用于展示一组数据在有序数据类别（通常是连续时间间隔）上的变化趋势。它能够直观地显示数据的变化趋势。在线图中，可以清晰地观察到数据在特定周期内的波动情况，主要体现在： 递增性、递减性 增减速率情况 增减规律（如周期变化） 峰值、谷值 因此，时序图是分析数据随时间变化趋势的最佳工具选择。 前提条件 已完成日志采集配置，并成功采集到日志。 操作步骤 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 在语句搜索模式下，输入查询语句与SQL分析语句，具体语法请参考SQL统计分析章节。 5. 点击【查询】按钮，结果将默认以表格形式呈现。右侧图表类型选择点击时序图。 6. 结果将以时序图的形式展示，x轴默认为表格模式下的第一列数据，y轴默认为表格模式下的第二列数据。 配置参数 图表配置参数如下： 查询分析配置 参数 说明 图表名称 自定义图表名称 X轴字段 在下拉框中选择字段数据作为X轴，仅可选择一个字符数据 Y轴字段 在下拉框中选择字段数据作为Y轴，可选择一个或多个字段数据

本文介绍了云防火墙（原生版）互联网边界防火墙配置访问控制策略最佳实践。 原理：在互联网到所有云上资产的公网出入路径进行统一访问控制。 默认策略：默认全部放行。 推荐配置步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“访问控制 >互联网边界规则”。 3. 在互联网边界规则页面，配置互联网入向流量。 放行所有在互联网开放的必要端口，比如http（80）、https（443）服务等。 有限放行运维或高安全风险的端口，比如ssh（22）、mysql（3306）等端口。 默认禁止互联网的高危服务端口，比如smb（445）端口等。 配置Any到Any的默认放行策略，启用状态为开，配合流量日志观察无误后再切换启用状态为关。 4. 验证策略是否满足需求。 在左侧导航栏，选择“日志审计 > 流量日志”，查询所有流量放行、阻断，可以结合实际测试结果验证策略是否满足要求。 5. 完善互联网边界访问控制策略。 验证没有误拦截情况后，可以考虑将Any到Any的默认策略的启用状态从开切换到关。 注意 此步骤需要评估风险后再操作。 6. 检查所有业务的可用性。 在左侧导航栏，选择“日志审计 > 流量日志”，查询所有流量放行、阻断情况，可以结合实际测试结果验证策略是否满足要求。 7. 配置主动外联访问控制策略（出向规则）。 请参考以下配置逻辑：对主动外联有访问控制需求时，可以在“访问控制 > 互联网边界规则 > 出向规则”处配置。 推荐只放行到特定目的IP的请求。默认拦截其它所有主动外联流量（可以先观察一段时间确认所有外联需求）。

本文介绍如何根据实际需求重启天翼云云搜索服务的Elasticsearch实例或节点。 实例出现异常，或您有其他需要时，可以通过控制台重启实例尝试恢复运行，有实例重启与角色重启、单节点重启三种方式，建议在业务空闲时进行重启操作。 前提条件 实例处于运行中或异常状态，未处于其他操作引起的重启中，未被冻结。 注意 当实例处于运行中时，确认已停止数据写入、检索操作，否则重启实例可能会带此时写入的数据丢失、搜索不到数据等情况。 实例重启同时全量节点重启，耗时短，实例全程不可用；滚动重启仅重启节点不可用，但节点较多时重启耗时比较久。 使用限制 实例滚动重启、按角色重启、按节点重启仅限云搜索1.2.0版本及以上实例使用。 操作步骤 1. 登录云搜索服务管理控制台，在左侧导航栏，选择对应的实例类型，进入管理列表界面。 2. 在对应实例的“操作”列中单击“更多>重启”。 3. 在重启选项中根据需要选择： 选项 说明 实例重启 全量重启：实例全部节点重启，重启过程实例暂不可 用 滚动重启：滚动重启会一个一个重启节点，在索引数量比较多的情况下耗时较长 角色重启 可以根据实例角色（如master节点、协调节点等）单选或多选重启范围，角色重启也支持全量/滚动重启 节点重启 可以单选实例中的某一个节点进行重启，节点重启仅可单选， Kibana或Cerebro节点重启请在此选择 4. 重启实例后，请刷新页面，观察状态。重启过程中，实例状态为“处理中（重启）”，如果实例状态变更为“运行中”，表示实例已重启成功。

本文介绍如何通过指定CPU和内存创建ECI Pod。 您可以通过指定vCPU和内存来创建ECI Pod，系统会尝试使用多种云主机规格来支撑您的实例，以提供比单一云主机规格更好的弹性和资源供应能力。本文将分别介绍如何指定ECI实例的容器规格和ECI Pod的规格。 规格说明 在创建ECI Pod时，如果指定的vCPU和内存大小不符合ECI支持的规格要求，系统将会进行自动规整。在规整时，系统会将申请的实例规格向最接近的可支持的规格进行调整，同时需要确保所需的资源量不超过ECI的规格限制，以获得最佳的性能和资源利用率。例如：在创建ECI实例时声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。 注意 如果没有指定 vCPU 和内存规格，系统将默认使用 2 vCPU 和 4 GiB 内存的规格来创建 ECI Pod。 使用示例 在创建ECI Pod时，通过定义容器中的limits，可以指定Pod内容器的vCPU和内存。 注意 在Serverless集群中，requests会被忽略。 您可以通过直接定义容器的limits来指定该容器的 vCPU 和内存。具体的配置示例如下： apiVersion: apps/v1 kind: Deployment metadata: name: nginxtest namespace: default labels: app: nginxtest spec: replicas: 2 selector: matchLabels: app: nginxtest template: metadata: labels: app: nginxtest spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 resources: limits: cpu: "1" memory: "2Gi"

本章节主要介绍云搜索服务如何操作冷热数据存储。 云搜索服务提供了冷数据节点供企业选择，企业可以将部分现查要求秒级返回的数据放在高性能机器上面，对于历史数据要求分钟级别返回的数据放在大容量低规格节点。 说明 创建集群时，数据节点为必选，只有当选择了冷数据节点后，数据节点才会变成热节点。 选择冷数据节点的同时，支持独立选择Master和Client节点。 冷数据节点支持节点和磁盘扩容，前提是冷节点规格支持（本地盘不支持磁盘扩容）。 冷热数据切换 选择冷数据节点后，冷数据节点将会打上“cold”标签，用来表示冷节点。同时，数据节点将会上升为热节点，会被打上“hot”标签。用户可以通过配置指定索引，将数据分配到冷热节点。 通过设置template，可以通过模板将相应的index存储到指定冷热节点。 如下，登录集群的Kibana Console页面，配置myindex开头的索引，储存在冷节点上面。 这样可以通过模板在创建的时候把myindex的数据存储在冷数据节点上面。 PUT template/test { "order": 1, "template": "myindex", "settings": { "index": { "refreshinterval": "30s", "numberofshards": "3", "numberofreplicas": "1", "routing.allocation.require.boxtype": "cold" } } } 同时也可以单独对已经创建好的索引进行操作。 PUT myindex/settings { "index.routing.allocation.require.boxtype": "cold" } 也可以去掉冷热数据配置，不受冷热数据标签影响。 PUT myindex/settings { "index.routing.allocation.require.boxtype": null }

本章节主要介绍云搜索服务的集群列表。 集群列表显示云搜索服务所有的集群，集群数量较多时，可采用翻页显示，您可以查看任何状态下的集群。 集群列表默认按时间顺序排列，时间最近的集群显示在最前端。在集群列表的表头，您可以单击对应参数的按钮，修改集群的排序。集群列表参数说明如下表所示。 在集群列表右上角，您可以指定集群名称或集群ID，然后单击进行查找。也可以单击右上角的，刷新集群列表。 集群列表说明 参数 描述 名称/ID 表示集群的名称和ID。单击集群名称可进入集群“基本信息”页面，展现了集群的基本信息。集群ID是系统自动生成的，是集群在服务中的唯一标示。 集群状态 展示集群当前的状态。集群状态说明请参见集群状态和存储容量状态说明。 任务状态 展示重启集群、扩容集群、备份集群、恢复集群等任务的状态。 版本 表示此集群中Elasticsearch的版本号。 创建时间 表示集群的创建时间。 内网访问地址 集群的内网访问地址和端口号，您可以使用此参数接入集群。集群有多个节点时，此处显示多个节点的内网访问地址和端口号。 操作 展示集群可执行的操作入口，包含Kibana、监控信息、更改规格、重启、删除、自定义词库、备份与恢复、集群迁移、Cerebro。当某一操作无法执行时，显示为灰色链接。

本节介绍了初始化容量大于2TB的Windows数据盘(Windows 2012)的操作场景、前提条件、操作指导。 操作场景 本文以云主机的操作系统为“Windows Server 2012 R2 Standard 64bit”、磁盘容量为3 TB举例，提供容量大于2 TB的Windows数据盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见初始化容量大于2TB的Windows数据盘（Windows 2008）。关于磁盘分区形式的更多介绍，请参见场景及磁盘分区形式介绍。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 操作指导 步骤 1 在云主机桌面，单击桌面下方的。 弹出“服务器管理器”窗口，如下图所示。 图 服务器管理器(Windows 2012) 步骤 2 在“服务器管理器”页面右上方选择“工具 > 计算机管理”。 弹出“计算机管理”窗口，如下图所示。 图 计算机管理窗口(Windows 2012) 步骤 3 选择“存储 > 磁盘管理”。 进入磁盘列表页面，如下图所示。 图 磁盘列表(Windows 2012) 步骤 4 （可选）在页面右侧可以查看磁盘列表，若新增磁盘处于脱机状态，需要先进行联机，再进行初始化。 在磁盘1区域，右键单击菜单列表中的“联机”。 如下图所示，当磁盘1由“脱机”状态变为“没有初始化”，表示联机成功。 图 联机成功(Windows 2012) 步骤 5 （可选）在磁盘1区域，右键单击菜单列表中的“初始化磁盘”。 弹出“初始化磁盘”窗口，如下图所示。 图 初始化磁盘(Windows 2012) 步骤 6 在“初始化磁盘”对话框中显示需要初始化的磁盘，对于大于2 TB的磁盘，此处请选择“GPT（GUID分区表）”，单击“确定”。 返回“计算机管理”窗口，如下图所示。 图 计算机管理(Windows 2012) 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 步骤 7 在磁盘1右侧的未分配的区域，右键单击选择“新建简单卷”。 弹出“新建简单卷向导”窗口，如下图所示。 图 新建简单卷向导(Windows 2012) 步骤 8 根据界面提示，单击“下一步”。 进入“指定卷大小”页面，如下图所示。 图 指定卷大小(Windows 2012) 步骤 9 指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。 进入“分配驱动器号和路径”页面，如下图所示。 图 分配驱动器号和路径(Windows 2012) 步骤 10 分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。 进入“格式化分区”页面，如下图所示。 图 格式化分区(Windows 2012) 步骤 11 格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。 进入“完成新建卷”页面，如下图所示。 图 完成新建卷(Windows 2012) 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 步骤 12 单击“完成”。 需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功(Windows 2012) 步骤 13 新建卷完成后，单击，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。 若如下图所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图 文件资源管理器(Windows 2012)

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 否 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 storagetest backupStorageID 是 String 存储库ID 770fb5e77f84423c9dd42eaf7912d5bc regionID 是 String 资源池ID 41f64827f25f468595ffa3a5deb5d15d cycleType 是 String 续订类型，year/month。 month cycleCount 是 Integer 续订周期数。[111]月，[13]年 1

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 否 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 storagetest backupStorageID 是 String 存储库ID 770fb5e77f84423c9dd42eaf7912d5bc regionID 是 String 资源池ID 41f64827f25f468595ffa3a5deb5d15d cycleType 是 String 续订类型，year/month。 month cycleCount 是 Integer 续订周期数。[111]月，[13]年 1

参数 描述 数据流动方向 选择出云。 出云指源端数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 目前支持公网网络、VPC网络和VPN、专线网络类型，您可以根据具体的业务场景进行设置，此处场景以VPC网络为示例。 VPC网络：适合云上数据库之间的迁移。 VPN、专线网络：适合通过VPN、专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 公网网络：适合将其他云下或其他平台的数据库迁移到目标数据库。 源数据库实例 用户需要迁移的数据库实例。 迁移实例所在子网 选择迁移实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保迁移实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 标签 可选配置，对迁移任务的标识。使用标签可方便管理您的迁移任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见标签管理。

本章节会介绍针对MySQL数据库的参数调优建议。 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明，更多参数详细说明，请参见MySQL官网。 修改敏感参数 若干参数相关说明如下： “lowercasetablenames” 云数据库默认值：“1”。 作用：该参数表示创建数据库及表时，表存储是否大小写敏感。设置为默认值“1”，表示创建数据库及表时，默认小写，不区分大小写，设置为“0”时，则存储与查询均区分大小写。 说明 8.0版本不支持修改该参数。 影响：修改数据库主实例默认参数值时，用户需要手动同步修改只读实例、通过备份恢复至目标实例的参数。当主实例区分大小写，而只读实例、通过备份恢复至目标实例不区分大小写时，比如主实例先后创建两张表，表名分别为 “abc”、“Abc ”时，会导致数据同步、数据恢复异常，原因为“abc”表名已存在。 “innodbflushlogattrxcommit” 云数据库默认值：“1”。 作用：该参数控制提交操作在严格遵守ACID合规性和高性能之间的平衡。设置为默认值“1”，是为了保证完整的ACID，每次提交事务时，把事务日志从缓存区写到日志文件中，并刷新日志文件的数据到磁盘上；当设为“0”时，每秒把事务日志缓存区的数据写入日志文件，并刷新到磁盘；如果设为“2”，每次提交事务都会把事务日志从缓存区写入日志文件，每隔一秒左右会刷新到磁盘。 影响：参数设置为非默认值“1”时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。 “syncbinlog” 云数据库默认值：“1”。 作用：该参数控制MySQL服务器将二进制日志同步到磁盘的频率。设置为默认值“1”，表示MySQL每次事务提交，binlog同步写入磁盘，是最安全的设置；设置为“0”时，表示MySQL不控制binlog的刷新，由文件系统自己控制其缓存的刷新。此时的性能最好，但风险最大，因为一旦断电或操作系统崩溃，在“binlogcache”中的所有binlog信息都会被丢失。 影响：参数设置为非默认值“1”时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。

本文将介绍如何创建WebSocket API。 概述 WebSocket API基于WebSocket协议，允许客户端和服务器之间进行双向通信，可用于聊天等场景。 操作步骤 1. 登录云原生API网关控制台。顶部菜单栏选择 "地域"，然后再左侧导航栏选择 "API"。 2. 单击 "创建API" ，然后单击WebSocket API卡片中的 "创建" 。 3. 在 "创建WebSocket API" 面板中配置相关参数，单击 "确定"。 配置项 说明 API名称 定义创建的API名称，API名称需要保证唯一。 描述 填写API相关的描述

本文将为您介绍如何修改云主机的VPC网段和子网的网段。 操作场景 VPC、子网创建好后，网段是不支持修改的。 如需修改VPC网段可以通过切换子网来实现，如需修改子网网段可以通过切换子网来实现。 VPC网段、子网的网段一旦创建，不能进行修改。 操作步骤 您可以通过切换子网或者更换VPC来实现，具体参考如何修改内网IP、切换VPC。

本节主要介绍重置参数模板。 操作场景 您可根据自己的业务需求，重置自己创建的参数模板对应的所有参数，使其恢复到默认值。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧导航栏，单击“参数模板管理”。 4. 在参数模板管理页面的“自定义”页签，选择需要重置的参数模板，单击““更多>重置”。 5. 单击“是”，将当前参数模板中的所有参数恢复到默认值。

本文向您介绍如何通过标签搜索企业版VPN对端网关。 场景描述 用户在使用VPN服务时，根据使用场景不同，可以将VPN资源按照特定规则进行分类，便于资源管理与费用计算。 VPN支持对接标签管理服务（Tag Management Service，简称TMS），通过给账号下VPN资源添加标签，可以对VPN资源进行自定义标记，实现资源的分类。已添加标签的VPN资源，用户可以在控制台对应位置，按照标签进行搜索。 前提条件 已为VPN资源添加标签。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 3. 单击右上角“标签搜索”，选择对应标签键值，然后单击“搜索”。 此查询功能仅支持选择下拉列表中已存在的键和值。 支持最多20个不同标签的组合搜索。

本文向您介绍如何通过标签搜索企业版VPN网关。 场景描述 用户在使用VPN服务时，根据使用场景不同，可以将VPN资源按照特定规则进行分类，便于资源管理与费用计算。 VPN支持对接标签管理服务（Tag Management Service，简称TMS），通过给账号下VPN资源添加标签，可以对VPN资源进行自定义标记，实现资源的分类。已添加标签的VPN资源，用户可以在控制台对应位置，按照标签进行搜索。 前提条件 已为VPN资源添加标签。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 单击右上角“标签搜索”，选择对应标签键值，然后单击“搜索”。 此查询功能仅支持选择下拉列表中已存在的键和值。 支持最多20个不同标签的组合搜索。

OOS兼容部分Amazons S3 Bucket、Object API，兼容的API如下： 操作类型 支持的S3 API :: Bucket操作 ListBuckets CreatetBucket GetBucketACL GetBucket DeleteBucket PutBucketPolicy GetBucketPolicy DeleteBucketPolicy PutBucketWebsite GetBucketWebsite DeleteBucketWebsite ListMultipartUploads PutBucketLogging GetBucketLogging HeadBucket PutBucketLifecycle GetBucketLifecycle DeleteBucketLifecycle PutBucketCORS GetBucketCORS DeleteBucketCORS PutObjectLockConfiguration GetObjectLockConfiguration PutBucketInventoryConfiguration GetBucketInventoryConfiguration ListBucketInventoryConfigurations DeleteBucketInventoryConfiguration Object操作 PutObject PostObject GetObject DeleteObject DeleteObjects CopyObject CreateMultipartUpload UploadPart CompleteMultipartUpload AbortMultipartUpload ListParts UploadPartCopy HeadObject 说明 OOS仅支持S3中的私有、公共读和公共读写三种ACL模式。OOS不支持文件级别的ACL。详见下表： 级别 S3标准ACL S3权限说明 OOS ACL OOS权限说明 Bucket private 所有者将获得FULLCONTROL。其他人没有访问权限 (默认)。 private 私有。 只有根用户和具有相应权限的子用户可以对该存储桶内的文件进行读/写/删除操作（包括Get、Put和Delete Object），其他人（包括匿名访问）只有通过Bucket Policy授权或分享链接才可访问该存储桶内的文件。 Bucket publicread 所有者将获得 FULLCONTROL。AllUsers组将获得READ访问权限。 publicread 公共读。 只有根用户和具有相应权限的子用户可以对该存储桶内的文件进行写/删除操作（包括Put和Delete Object）。任何人（包括匿名访问）都可以对该存储桶内的文件进行读操作，这有可能造成您数据的外泄以及费用激增，请慎用该权限。 Bucket publicreadwrite 所有者将获得FULLCONTROL。AllUsers组将获得READ和WRITE 访问权限。通常不建议在存储桶上授予该权限。 publicreadwrite 公共读写。 任何人（包括匿名访问）都可以对该存储桶内的文件进行读/写/删除操作（包括Get、Put和Delete Object）。 Bucket awsexecread 所有者将获得FULLCONTROL。Amazon EC2从 Amazon S3获取对READ Amazon Machine Image (AMI)服务包的GET访问权限。 OOS不支持。 Bucket authenticatedread 所有者将获得FULLCONTROL。AuthenticatedUsers组将获得READ访问权限。 OOS不支持。 Bucket logdeliverywrite LogDelivery组将获得针对存储桶的WRITE和READACP许可。 OOS不支持。 说明 OOS支持标准（STANDARD）、低频访问（STANDARDIA）两种存储类型，分别对应Amazon S3中的STANDARD、STANDARDIA。您可以根据需要转换OOS文件的存储类型。

场景2：构造大量畸形报文的请求进行CC攻击 攻击者在进行CC攻击时构造的请求常常与正常请求的特征不相符，安全与加速服务可通过识别不合理请求的特征对CC攻击进行防护。例如： Cookie不合理。Cookie是一种在客户端（通常是Web浏览器）和服务器之间传输和存储数据的机制，正常请求往往会携带网站本身业务集的Cookie。CC攻击请求常常不会携带cookie或者携带伪造的cookie。针对此种场景您可以开启cookie防护功能进行防护。 HTTP请求头部缺失或不正确的请求方法。通过指定网站接口正常请求所需的请求头部及允许的请求方法，可以拦截缺少某些HTTP请求头部或不正确请求方法的攻击，您可以通过合规检测配置实现该防护功能。 场景3：利用海外或公有云IP发起CC攻击 在CC攻击中，经常出现攻击来源于海外IP、公有云IP和IDC机房IP的情况。我们可以通过识别这些IP防止CC攻击。 您可以使用访问控制功能，限制指定地理位置的IP对网站访问，如：限制除中国地区外的其他地区不可访问，从而阻止来自海外IP的攻击。 此外，WAF提供的Bot防护功能，可针对常见IDC IP库的IP进行访问拦截。

本文为您介绍密钥管理服务相关的基本概念。 对称密钥加密 又称私钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据。 非对称密钥加密 非对称密钥由一对互相关联的公钥和私钥组成，其中的公钥可以被分发给任何人，而私钥必须被安全保护起来，只有受信任者可以使用。非对称密钥通常用于在信任程度不对等的系统之间，实现数字签名验签或者加密传递敏感信息。 用户主密钥（Customer Master Key，CMK） 用户主密钥包括对称密钥及非对称密钥，主要用于加密保护数据密钥，也可直接用于加密少量的数据。用户可以调用KMS的产品控制台或CreateKey接口创建一个用户主密钥。 默认主密钥（Default CMK） 用户使用云产品加密功能时，由云产品触发KMS系统自动生成的并托管在用户账号下的服务密钥。 信封加密（Envelope Encryption） 信封加密是类似数字信封技术的一种加密手段。这种技术将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥（CMK）直接加密和解密数据。当需要加密业务数据时，可以调用KMS的GenerateDataKey或GenerateDataKeyWithoutPlaintext接口生成一个对称密钥，同时使用指定的用户主密钥加密该对称密钥（被密封的信封保护）。 数据加密密钥（Data Encryption Key，DEK） 信封加密技术中用于加密业务数据的密钥，受用户主密钥CMK加密保护。

本文向您介绍弹性IP服务的基本概念。 独享带宽 当您购买EIP时，无论是哪种计费模式，只要没有加入共享带宽，那么您的EIP使用的是独享带宽。 您可以根据业务需求随时调整独享带宽大小，带宽大小的修改即时生效。 独享带宽支持对单个EIP进行限速，该EIP只能被一个云资源（弹性云主机、NAT网关、弹性负载均衡等）使用。一般情况下，如果所有IP业务都是同时间进行公网访问，建议使用独享带宽。 共享带宽 共享带宽可以实现多个EIP共同使用一条带宽，针对多个EIP进行集中限速。 同一区域下的所有已绑定EIP的ECS、ELB等实例共用一条带宽资源，实现VPC和区域级别的带宽统一管理，同时方便运维统计和运营成本结算。 区域和可用区 什么是区域、可用区 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。

本章节介绍故障演练服务的产品定义。 产品定义 故障演练服务是云原生混沌工程平台，深度融合云原生应用产品体系，提供标准化引导、正确性约束和自动化运行的实验管理，支持大规模、低成本、影响可控、形式多样的应用故障演练，帮助企业增强应用系统的容错能力和恢复能力，提升客户应用云上运行的稳定性。 为什么需要故障演练 应用高可用建设往往是基于先验设计的具体实施，描绘一幅全面但静态的蓝图。而问题在于，随着部署环境、流量模式和调用依赖的日益复杂，系统运行时的动态变化远超预设，没人能预判所有潜在问题。每一次故障都是独特的，但故障的成因是可枚举的，从基础设施到上层服务，功能趋同形成内聚的节点，这有限的故障归因，是高可用建设的结果能够预期的基础。 每一种容灾手段就像针对某类疾病的靶向药，从实验室开发到药品上市，要经过一期又一期的临床实验，才能勉力对抗人类基因的无限性，确保药品在广泛的病患群体中取得符合预期的疗效。异常是不可避免的，高可用建设不是消灭异常，而是消化异常。故障演练就是应用高可用的临床实验，在生产的可控范围内进行可预期的异常暴露和处理，随着不断迭代改进，演练形成的风险处置预案就像给系统注入的疫苗，随时应对真实的生产故障。

本节介绍如何处理暴力破解告警事件。 暴力破解是一种常见的入侵攻击行为，攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制，严重危害资产的安全。 态势感知联动企业主机安全服务（HSS），接收HSS检测到的暴力破解行为，集中呈现和管理告警事件，提升运维效率。 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 1. 请立即确认登录主机的源IP的可信情况。 2. 请立即修改被暴力破解的系统账户口令。 3. 请立即执行检测入侵风险账户，排查可疑账户并处理。 4. 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 1. 请及时确认登录主机的源IP的可信情况。 2. 请及时登录主机系统，全面排查系统风险。 3. 请根据实际需求升级HSS防护能力。 4. 请根据实际情况加固主机安全组、防火墙配置。

Agent已经安装，系统仍将重复安装 问题现象 当日志出现如下图所示信息时，则表示Agent已经安装。 Agent重复安装： 解决方法 1. （可选）方法一：通过管理控制台注销该节点。 1. 登录态势感知（专业版）管理控制台。 2. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 3. 在左侧导航栏选择“设置> 组件管理”，进入节点管理页面后，单击目标节点所在行“操作”列的“注销”。 4. 在弹出的确认框中，单击“确认” 2. （可选）方法二：通过脚本命令卸载Agent。 1. 通过远程管理工具（如：SecureFX、WinSCP）远程登录目标云服务器。 2. 执行sh /opt/cloud/agentcontrollereuler.sh uninstall命令，卸载Agent。 3. 检查是否已完成卸载。 1. 通过远程管理工具（如：SecureFX、WinSCP）远程登录目标云服务器。 2. （可选）方法一：执行 ls a /opt/cloud/ 查看“/opt/cloud”目录下的文件，当提示如下图所示信息（只有脚本文件）时，则表示已完成卸载。 脚本文件： 3. （可选）方法二：执行saltminion version命令，当提示如下图所示信息时，则表示已卸载完成。 检查Agent信息： 注意 节点注销需要一定的时间，不建议点完注销立刻安装。