日志触发器能够为您提供增量日志的触发事件，您可以及时感知到指定的日志单元产生了新的日志，结合日志服务提供的SDK，您可以消费到最新的增量日志，完成定制化的任务。 使用场景 监控关键日志并告警。通过配置日志触发器，您可以及时消费到增量日志，通过编排工作流，可以监听捕捉日志内容，并发出告警。 实现日志数据的ETL。通过配置日志触发器，您可以持续消费指定日志单元的日志（Extract），通过编排工作流，可以对日志数据进行清洗、脱敏等一系列处理，并投递到新的日志单元（Transform，Load）。 触发机制 事件的基本传递机制请参考概述。 增量日志事件的上报：日志单元会持续监听日志数据写入，如果没有新增日志，不会上报事件；如果有新增日志，且最近60秒内日志量少于25MB，那每60秒会上报一次；如果日志量大于25MB，则在日志量达到25MB时上报一次。 Event事件的data部分格式如下。 plaintext { "beginCursor":7256969395249872970, // 日志数据起始游标，标识增量日志的开始位置 "endCursor":7256969395249872981, // 日志数据结束游标，标识当次上报日志结束为止 "unitCode":"0fc54abd09aa8c" // 日志单元ID } 日志触发器只会推送日志事件的元数据信息，不包括日志内容，如果需要消费日志内容，请使用云日志提供的SDK并结合Event事件data字段进行日志消费，具体用法可参考文档。

本节介绍了：云容器引擎发布 Kubernetes 1.25版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.25 Changelog 1. PodSecurityPolicy 弃用，Pod Security Admission 升级为稳定版本，迁移指引可参见从 PodSecurityPolicy迁移到内置的 PodSecurity Admission控制器。 2. 临时容器升级为稳定版本，临时容器是在 Pod中存在有限时长的容器。临时容器可用于排障，特别是检查另一个容器的时候，该容器已奔溃无法使用 kubectl exec进入。 3. 对 cgroups v2的支持达到稳定状态，cgroups v2相对于 cgroups v1 进行了多项改进，更多信息请参阅cgroup v2。 4. Windows 支持得到了改进。 5. SeccompDefault 升级为 Beta，清参阅教程使用 seccomp限制容器系统调用。 6. 网络策略（NetworkPolicy）中的 endPort GA，该特性支持设置端口范围。请注意，endPort依赖网络策略提供商支持。 7. CSI 临时卷升级到稳定状态，该功能允许在 Pod spec中为临时用例直接指定 CSI卷。它们可用于注入配置、密钥、身份标志、变量等类似信息。 8. CRD 校验表达式语言升级到 Beta版，该特性允许使用通用表示式语言（CEL）声明式地验证自定义资源。更多信息见[校验规则指南](

Service 与 kubeproxy Service是Kubernetes抽象出来的网络组件，它对外提供统一的IP，屏蔽后端 Pod 的变化，将请求负载到后端的容器 Pod。 kubeproxy是 Kubernetes 的核心组件之一，负责维护节点上 Service 到 Pod 的网络规则。云容器引擎的 kubeproxy 支持 iptables 和 IPVS 两种模式。 iptables iptables 是 Linux 用于过滤和处理数据包的内核功能，其原理是通过 Hook 机制挂载的一系列规则对路径上的数据包进行处理。在使用 iptables 模式时，kubeproxy 会为每一个 Service 添加一条 iptables 规则。通过这些规格流向 Service 的数据包将被随机转发到后端的容器 Pod上。适用的场景： 成熟稳定的kubeproxy代理模式，性能一般，适用于Service数量较少（小于3000）的场景 随机平等的负载均衡算法能满足需求的场景 IPVS IPVS（IP Virtual Server）是构建在传输层上的负载均衡，其原理是将客户端的 TCP 和 UDP 请求根据预设的调度算法分配到后端的真实服务器上，从而实现服务器集群的负载均衡。采用 IPVS 模式时，kubeproxy 会使用 IPVS 提供的高效查找算法将请求转发到后端的容器 Pod上，且处理效率与集群规模无关。适用的场景： 高性能的kubeproxy代理模式，适用于集群规模较大或Service数量较多的场景 有轮询、最短期望延迟、最少连接以及各种哈希方法等负载均衡算法需求的场景

本小节介绍镜像基线检查。 基线检查功能自动检测您私有镜像仓库中存在的配置风险，针对所发现的问题为您提供加固建议，帮助您正确地处理镜像内的各种风险配置信息，降低入侵风险并满足安全合规要求。 检测周期 企业主机安全每天凌晨自动进行一次全面的检查。 前提条件 已开启容器节点防护。 约束限制 仅支持检测Linux镜像存在的配置风险。 检测项 确保系统中不存在账号名或UID相同的账号 UID为0的非root账号检查 代码中的口令检查 确保系统中不存在相同密码哈希值的账号 禁止使用弱密码哈希算法 确保帐户密码不为空 确保系统中不存在相同组名或GID 确保没有非特权账号加入特权组 确保/etc/passwd中不存在旧的"+"条目 确保/etc/shadow中不存在旧的"+"条目 确保/etc/group中不存在旧的"+"条目 确保/etc/passwd中的所有组都存在于/etc/group中 确保配置了密码有效期 确保所有用户的密码更改日期都是过去日期 禁用建立host信任 禁止建立预置的root级别的信任关系 确保root帐户的默认组为GID 0 确保shadow组为空 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航树中，选择“风险预防 > 容器镜像安全”。 4、 选择“镜像基线检查”页签，查看镜像中存在的配置风险。 5、单击检测项前的，查看该检测项的详情、存在的问题及加固建议，并根据加固建议修复有风险的配置信息。

本文为您介绍容器安全卫士的基本概念。 容器 容器（Container）是一个视图隔离、资源可限制、独立文件系统的进程集合。它类似于虚拟机，但更轻量，可以在应用程序之间共享操作系统。 “视图隔离”是指能够看到部分进程以及具有独立的主机名等；控制资源使用率则是可以对内存大小以及CPU 使用个数等进行限制。常见的容器引擎包括Docker、Containerd等。 镜像 镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源等文件外，还包含了一些为运行准备的配置参数（如环境变量）。 镜像是容器的模板，而容器是镜像的实例。镜像是静态的，而容器是动态的。 仓库镜像是指存储在镜像仓库内的镜像，节点镜像是指存储在集群节点上的镜像。 仓库 仓库（Repository）是集中存储和分发容器镜像文件的场所，分为公共仓库和私有仓库。 集群 集群特指容器集群，即Kubernetes（简称k8s）集群或基于Kubernetes衍生的企业定制版（例如Openshift集群），由一套Kubernetes系统管理的多台服务器形成一个集群。 Kubernetes是一个容器的编排和管理系统，提供服务发现、弹性伸缩、负载均衡、故障自愈等功能。 Kubernetes将集群中的服务器划分为Master（控制节点）和Node（计算节点）： Master节点上运行着集群管理相关的一组进程，例如etcd、kubeapiserver、kubecontrollermanager和kubescheduler，这些进程实现了整个集群的资源管理、Pod调度、弹性伸缩、安全控制、系统监控和纠错等管理能力，并且都是全自动完成的。 Node作为集群中的计算节点，运行上层业务应用程序，在Node上Kubernetes管理的最小运行单元是Pod。Node上运行着Kubernetes的kubelet、kubeproxy服务进程，这些服务进程负责Pod的创建、启动、监控、重启、销毁以及实现软件模式的负载均衡器。

返回结果 GetObject返回的结果如下： 参数 类型 说明 BucketName string 对象所在桶的名称 ContentLength long 对象数据的长度，单位为字节 ETag string 对象的Entity Tag LastModified DateTime 最后修改对象的时间 TagCount int 对象标签的数量 VersionId string 对象的version id 复制对象 功能说明 CopyObject操作用于根据一个已存在的对象创建新的对象。使用CopyOoject可以复制单个最大为5GB的对象，如果需要复制更大的对象，可以使用UploadPartCopy操作。执行CopyObject操作，必须具有对被拷贝对象的READ权限和对目标桶的WRITE权限。 拷贝生成的对象默认保留原对象的元数据信息，也可以才CopyObject操作中指定新的元数据。拷贝生成的对象不会保留原来的ACL信息，该对象默认是发起CopyObject操作的用户私有的。 CopyObject操作默认拷贝原对象的当前版本数据，如果需要拷贝原对象的指定版本，可以在CopySource中加入version id来拷贝指定的Object版本，如果原对象的version id为删除标记，则不会被拷贝。 代码示例 plaintext using System; using System.Threading.Tasks; using Amazon.Runtime; using Amazon.S3; using Amazon.S3.Model; ​ namespace DotNetSDK.ObjectOperation { public class CopyObjectExample { public static async Task CopyObject() { var accessKey " "; var secretKey " "; var endpoint " "; var sourceBucket " "; var sourceKey " "; var destinationBucket " "; var destinationKey " "; try { var credentials new BasicAWSCredentials(accessKey, secretKey); var conf new AmazonS3Config { ServiceURL endpoint }; var s3Client new AmazonS3Client(credentials, conf); var copyObjectRequest new CopyObjectRequest() { SourceBucket sourceBucket, SourceKey sourceKey, DestinationBucket destinationBucket, DestinationKey destinationKey }; var result await s3Client.CopyObjectAsync(copyObjectRequest); if (result.HttpStatusCode ! System.Net.HttpStatusCode.OK) { Console.WriteLine("fail to copy object, HttpStatusCode:{0}, ErrorCode:{1}.", (int) result.HttpStatusCode, result.HttpStatusCode); return; } ​ Console.WriteLine("copy object from {0}/{1} to {2}/{3}.", sourceBucket, sourceKey, destinationBucket, destinationKey); } catch (Exception e) { Console.WriteLine(e.Message); } } } }

返回结果 GetObjectOutput返回的属性如下： 参数 类型 说明 Body io.ReadCloser 对象的数据。 ContentLength int64 对象数据的长度，单位为字节。 ContentType string 数据的标准MIME类型。 ETag string 对象的Entity Tag。 LastModified time.Time 最后修改对象的时间。 TagCount int64 对象标签的数量。 VersionId string 对象的版本ID。 StorageClass string 对象的存储类型。 复制对象 功能说明 复制对象操作用于创建一个已经在对象存储中的对象。复制对象可以拷贝单个最大为5GB的对象，如果需要拷贝更大的对象，可以使用复制段操作。执行复制对象操作，必须具有对被拷贝对象的READ权限和对目标桶的WRITE权限。 拷贝生成的对象默认保留原对象的元数据信息，也可以在复制对象操作中指定新的元数据。拷贝生成的对象不会保留原来的ACL信息，该对象默认是发起复制对象操作的用户私有的。 复制对象操作默认拷贝原对象的当前版本数据，如果需要拷贝原对象的指定版本，可以在复制对象时加入version id来拷贝指定的对象版本，如果原对象的version id为删除标记，则不会被拷贝。如果目标bucket开启了版本控制，那么拷贝生成的对象会有一个与原对象不同的唯一的version id，并且会在响应头部字段 xamzversionid中返回该version id。 代码示例 plaintext func CopyObject(svc s3.S3) { copyObjectInput : &s3.CopyObjectInput{ Bucket: aws.String(" "), CopySource: aws.String(" "), Key: aws.String(" "), } ​ copyObjectOutput, err : svc.CopyObject(copyObjectInput) if err ! nil { fmt.Printf("fail to copy object. %vn", err) } fmt.Println(copyObjectOutput) } 通过CopyObjectRequest操作： CopyObjectRequest操作首先生成一个"request.Request"对象，该对象是一个执行CopyObject操作的请求。通过调用Request对象的Send方法来完成拷贝对象操作。该方法可以生成定制化的请求，例如自定义请求头部请求超时重试设置。 plaintext func CopyObjectRequest(svc s3.S3) { copyObjectInput : &s3.CopyObjectInput{ Bucket: aws.String(" "), CopySource: aws.String(" "), Key: aws.String(" "), } req, copyObjectOutput : svc.CopyObjectRequest(copyObjectInput) ​ err : req.Send() if err ! nil { fmt.Printf("fail to copy object. %vn", err) } else { fmt.Println(copyObjectOutput) } }

本节介绍云容器引擎的最佳实践：容器升级业务不中断。 应用场景 在 Kubernetes 集群中，常见的应用部署模式是使用 Deployment 与 LoadBalancer 类型的Service 对外提供访问。在进行应用更新或升级时，Deployment 会创建新的 Pod 并逐步替换旧的 Pod，但在这个过程中可能会出现服务中断的情况。 解决方案 为了最大程度的减少服务中断，我们可以采取一系列措施： 设置滚动更新策略：通过设置Deployment的滚动更新策略来控制更新的速度，可以指定更新期间的最大不可用副本数（maxUnavailable）和同时可用的最大副本数（maxSurge），通过合理设置这些参数，可以确保在更新过程中保持足够的可用性。 健康检查和就绪探针：在容器中配置健康检查和就绪探针，确保新Pod在完全就绪之前不会接收流量，从而减少中断。 外部负载均衡器配置：如果使用LoadBalancer类型的Service对外提供访问，可以配置服务对外部请求的负载均衡行为，主要包括以下两种： 1. Cluster：默认模式，外部流量可以转发到其它节点上的Pod，转发时会替换掉报文的源IP为上一个转发节点的地址。 2. Local：外部流量只会发给本机的Pod，转发时会保留源IP。 实践 登录云容器引擎控制台，单击集群名称进入集群 左侧菜单栏选择工作负载，在工作负载列表中，单击无状态进入Deployment列表页，单击创建新Deployment，进入Deployment配置页面。 单击显示 高级设置，升级策略处可以自定义MaxSurge与MaxUnavailable。本示例中配置最大不可用副本数为25%，同时可用的最大副本数为25%，用于控制工作负载的滚动步长。 在实例内容器选框位置，单击显示 高级设置，容器健康检查选区可以设置存活检查与就绪检查。本示例为TCP端口检查，请根据应用实际情况进行设置，配置就绪检查的启动延时探测时间为20s，用于控制工作负载滚动更新的时间间隔。 在实例内容器选框位置，单击显示 高级设置，对容器进行停止前处理，可以设置为工作负载收到删除请求后休眠30s，使其具备充足的时间来处理剩余请求，保证服务正常运行。 左侧菜单栏选择网络，在网络列表中，单击服务进入Service列表，单击创建服务，进入Service配置页面。 服务类型选择负载均衡，下方访问设置处会出现外部流量策略选框，用户可以自行选择Cluster类型流量策略或Local类型流量策略。 单击显示 高级设置，可以选择Session Affinty方式。 1. None：Kubernetes不会保持与特定客户端的会话状态，每个请求都根据负载均衡算法独立地路由到后端Pod，意味着即使是来自同一客户端的连续请求，也可能被发送到不同的后端Pod上，从而不会保持会话状态。 2. 客户端IP：Kubernetes将使用客户端的IP地址来决定将请求路由到哪个后端Pod，同一个客户端的请求始终转发至同一个后端的Pod对象。 设置完成后，进入Deployment列表页，选择某个工作负载，单击右侧重新部署，重启方式选择滚动重启，可以看到新实例被首先创建出来，然后停止旧的实例，确保始终有实例正在运行。

本节介绍了云容器引擎的最佳实践： 通过配置kubeconfig文件实现集群权限精细化管理。 集群权限精细化管理的背景 云容器引擎默认给用户的kubeconfig文件对集群操作的权限相当于root级别，这样的权限级别对于某用户来说过大，很不便于对集群的精细化管理。为了达到对集群精细化管理的目标，我们可以通过kubeconfig设置特定的用户，然后给用户赋予集群的部分操作权限（如：增、查、改）。 注意事项 下面配置步骤操作前，请先确保您的机器上有kubectl工具，若没有请到社区下载与集群版本对应的或者最新的kubectl。 基于Role实现集群权限精细化管理的配置步骤 说明 下述示例创建一个用户，并且该用户只能查看default下的Pod，不能查看其他namespace下的Pod且不能删除default下的任何Pod。 1. 配置ServiceAccount，名称为testsa，命名空间为default kubectl create sa testsa n default 3. 创建Role，并配置针对不同资源相对应的操作权限 vi addRole.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: testrole namespace: default rules: apiGroups: "" resources: pods verbs: get list watch apiGroups: apps resources: pods verbs: get list watch kubectl create f addRole.yaml 4. 配置RoleBinding，将sa绑定到Role上，让sa获取相应权限 vi addRoleBinding.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: myrolebinding namespace: default roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: testrole subjects: kind: ServiceAccount name: testsa namespace: default kubectl create f addRoleBinding.yaml 5. 配置集群访问信息 4.1 通过sa的名称testsa获取sa对应的密钥，第一列testsatokennttvl即为密钥名 kubectl get secret n default grep testsa 4.2 将密钥中的ca.crt解码后导出 kubectl get secret testsatokend6b4q n default oyaml grep ca.crt: awk '{print $2}' base64 d > ca.crt 4.3 设置集群访问方式，其中dev 为需要访问的集群名称，10.50.208.30为集群ApiServer地址，test.config为配置文件的存放路径 （1）如果通过内部ApiServer地址，执行命令如下： kubectl config setcluster dev server certificateauthorityca.crt embedcertstrue kubeconfigtest.config （2）如果通过公网ApiServer地址，执行命令如下： kubectl config setcluster dev server kubeconfigtest.config insecureskiptlsverifytrue 集群ApiServer地址为内网ApiServer地址，绑定弹性IP后也可为公网ApiServer地址。如下图： 5. 配置集群认证信息 5.1 获取集群的token信息 token$(kubectl describe secret testsatokend6b4q n default awk '/token:/{print $2}') 5.2 设置使用集群的用户uiadmin kubectl config setcredentials uiadmin token$token kubeconfigtest.config 7. 配置集群认证访问的上下文信息，uiadmin@test为上下文的名称 kubectl config setcontext uiadmin@test clusterdev useruiadmin kubeconfigtest.config 8. 设置上下文 kubectl config usecontext uiadmin@test kubeconfigtest.config

本节介绍云等保专区产品的上线配置概览。 云等保专区整合了多个原子能力，部分原子能力需要进行安装配置后，才能正常使用。 原子能力 安装内容及步骤 参考文档 主机安全v1.0 Agent下载安装 请参考主机安全 主机安全v1.0 资产管理配置 请参考主机安全 主机安全v1.0 安全策略编辑 请参考主机安全 主机安全v1.0 日志查看 请参考主机安全 Web应用防火墙v1.0 绑定弹性IP 请参考Web应用防火墙 Web应用防火墙v1.0 全局配置 请参考Web应用防火墙 Web应用防火墙v1.0 添加站点 请参考Web应用防火墙 Web应用防火墙v1.0 配置策略 请参考Web应用防火墙 Web应用防火墙v1.0 验证URL 请参考Web应用防火墙 下一代防火墙v1.0 绑定弹性IP 请参考下一代防火墙 下一代防火墙v1.0 配置子网路由 请参考下一代防火墙 下一代防火墙v1.0 设置安全策略 请参考下一代防火墙 下一代防火墙v1.0 安全日志查看 请参考下一代防火墙 堡垒机v1.0 绑定弹性IP 请参考堡垒机 堡垒机v1.0 创建部门 请参考堡垒机 堡垒机v1.0 创建用户 请参考堡垒机 堡垒机v1.0 创建主机 请参考堡垒机 堡垒机v1.0 创建运维规则 请参考堡垒机 堡垒机v1.0 审计规则设置 请参考堡垒机 堡垒机v1.0 数据归档设置 请参考堡垒机 漏洞扫描v1.0 资产管理 请参考漏洞扫描 漏洞扫描v1.0 扫描策略设置 请参考漏洞扫描 漏洞扫描v1.0 创建扫描任务 请参考漏洞扫描 漏洞扫描v1.0 扫描报告查看 请参考漏洞扫描 日志审计v1.0 设置日志上传 请参考日志审计 日志审计v1.0 添加资产 请参考日志审计 日志审计v1.0 查询自查信息 请参考日志审计 日志审计v1.0 创建解决方案包 请参考日志审计 日志审计v1.0 订阅告警 请参考日志审计 日志审计v1.0 查看审计结果 请参考日志审计 数据库审计v1.0 安装Agent 请参考数据库审计 数据库审计v1.0 添加资产 请参考数据库审计 数据库审计v1.0 配置规则 请参考数据库审计 数据库审计v1.0 订阅报表和告警 请参考数据库审计

接口功能介绍 创建对象存储迁移任务 接口约束 1、支持的线上资源池 ：华东1 2、配额限制：默认单个用户可创建最多5个全托管迁移任务、10个半托管迁移任务。若您已调整了配额，则以调整后的配额为准 3、若您创建任务为半托管迁移模式，单个agent上最多下发50个任务，且单个agent上同时最多执行12个任务 URI POST /v4/zms/createmigration 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池 ID 81f7728xxxxx0155d307d5b migrationName 是 String 任务名称，必须为大小写字母、数字、横线或下划线，长度在432个字符之间，且名称不能重复 cxxhkpblzbbt migrationMode 否 String 迁移模式，①fullymanaged：全托管模式；②semimanaged：半托管模式。若不指定该参数，则默认创建全托管模式任务 fullymanaged migrationAgent 否 String 执行本任务的代理ID，当选择migrationMode为semimanaged时必须指定，指定的代理应处于“已连接”状态，且指定的代理下至少存在一个“可用”状态的worker节点 111agt76f7dc8b012xxxxf6ed082db55d08 sourceInfo 是 Array of Objects 源端信息 sourceInfo destinationInfo 是 Array of Objects 目的端信息 destinationInfo storageType 否 String 迁移到目的端存储类型，默认为标准存储，①MATCHRESOURCE：匹配源端，匹配源端存储类型时，仅能自动匹配源端的“标准”和“低频”类型；匹配源端的“归档”或“深度归档”类型，请您务必提前对源端归档数据进行手动解冻，并确保迁移任务完成前数据保持解冻状态，否则该部分数据会迁移失败；②STANDARD：标准存储；③STANDARDIA：低频存储；④GLACIER：归档存储 STANDARD aclConf 否 String 目的端ACL配置，默认为匹配源端，①matchresource：匹配源端；②private：私有；③publicread：公共读 matchresource conflictMode 否 String 同名文件处理选项，默认为IGNORE，①OVERWRITE：同名文件进行覆盖； ②IGNORE：同名文件进行忽略；③COMPARE：同名文件按最后修改时间(即LastModified)比较，若源端LastModified小于目的端LastModified，则此文件被执行跳过；若源端LastModified大于目的端LastModified，则执行覆盖；若源端与目的端文件LastModified一致，则判断两者的文件大小，大小一致则执行跳过，大小不一致则执行覆盖。 IGNORE migrateStartTime 否 String 迁移晚于起始时间的对象，该选项会迁移最后修改时间(即LastModified)晚于指定时间的对象。可以设置两种格式"yearmonthday hour:minute:second"或"yearmonthday"。可填时间范围限制为[19700102 00:00:00,20371231 23:59:59]，若同时填入migrateStartTime和migrateEndTime，则migrateStartTime值应小于migrateEndTime。 19700104 08:00:00 migrateEndTime 否 String 迁移早于终止时间的对象，该选项会迁移最后修改时间(即LastModified)早于指定时间的对象。可以设置两种格式"yearmonthday hour:minute:second"或"yearmonthday"，默认为当前任务创建时间加10年，可填时间范围限制为[19700102 00:00:00,20371231 23:59:59]，若同时填入migrateStartTime和migrateEndTime，则migrateStartTime值应小于migrateEndTime。 20250101 08:00:00 表 sourceInfo 参数 是否必填 参数类型 说明 示例 下级对象 sourceType 否 String 迁移源类型，默认为S3，①S3：AWS及S3适配；②OSS：阿里云OSS；③COS：腾讯云COS；④OBS：华为云OBS；⑤OOS：天翼云OOS；⑥ZOS：天翼云对象存储ZOS S3 sourceEndpoint 是 String 迁移资源池地址，支持输入IP或域名，以 sourceBucket 是 String 迁移源桶，输入限制不超过1024字符 bucketkpblz sourceAccessKey 是 String 迁移源资源池ak，输入限制不超过1024字符 7Hj9Kp2QXXXm5Nv3RfX sourceSecretKey 是 String 迁移源资源池sk，输入限制不超过1024字符 bL8yT4wXXXG6dS1xE9P sourceBucketType 否 String 源资源池迁移模，默认为Bucket。①Bucket：整桶迁移；②Folder：文件夹迁移；③Files：文件迁移；④Prefix：前缀迁移 Bucket migrateFolder 否 Array of Strings 指定源资源池迁移的文件夹列表，仅当sourceBucketType为Folder时有效，当前仅支持指定单个文件夹，单个文件夹名输入限制不超过1024字符 ["folder1"] migrateFiles 否 Array of Strings 指定源资源池迁移的文件名列表，仅当sourceBucketType为Files时有效，当前指定文件上限为100个，单个对象名输入限制不超过1024字符 ["files1","files2"] migratePrefix 否 Array of Strings 指定源资源池迁移的前缀列表，仅当sourceBucketType为Prefix时有效，当前只支持指定单个前缀，单个前缀名输入限制不超过1024字符 ["prefix1"] 表 destinationInfo 参数 是否必填 参数类型 说明 示例 下级对象 destinationType 否 String 目的端类型，目前默认且仅支持ZOS ZOS destinationEndpoint 是 String 目的资源池地址，支持输入IP或域名，以 destinationBucket 是 String 目的资源池桶，输入限制不超过1024字符 buckethaha destinationAccessKey 是 String 目的资源池ak，输入限制不超过1024字符 3qA5zW7cVXXX4nM8kY2 destinationSecretKey 是 String 目的资源池sk，输入限制不超过1024字符 rT6fB9uJXXX2mK4pD7L

开源对比 相较于开源自建RocketMQ，分布式消息服务RocketMQ在自动化部署、运维监控、增强能力、延迟消息/定时消息、ACL访问控制等方面更具优势。更多信息请参见开源对比。 支持的消息类型 分布式消息服务RocketMQ支持的消息类型包括普通消息、顺序消息、事务消息与延时消息。 普通消息：RocketMQ中无特性的消息，普通消息主要包含同步消息和异步消息两种。 顺序消息：指消费消息的顺序要同发送消息的顺序一致，在RocketMQ中，主要有两种有序消息：全局有序消息和局部有序消息（又叫普通有序消息、分区有序消息）。 事务消息：提供类似X/Open XA的分布式事务功能来确保业务发送方和MQ消息的最终一致性，其本质是通过半消息(prepare消息和commit消息)的方式把分布式事务放在MQ端来处理。 延时消息：生产者将消息发送到消息队列RocketMQ服务端，设计消费时延，在预设的时间后才可以被消费者消费。 更多信息请参见功能特性。 功能特性 分布式消息服务RocketMQ的功能特性主要体现在以下几个方面： 访问接口 支持通过API调用，创建队列、查询消息监控指标、查询消息内容等。 队列能力 支持多种消息类型，包括普通队列（高并发场景）、FIFO有序队列（顺序消息场景）、严格有序队列。 消息能力 支持消息过滤、消息复用、消息重试、消息回溯、消息数据主动删除以及消息广播等能力。 安全防护 提供云审计进行租户管理操作的记录。 运维监控 提供主题、订阅组、生产者、消费者、队列的管理；同时支持集群、主题、队列多维度指标监控。 更多信息请参见功能特性。

本章节主要介绍物理机的安全。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于设置弹性云主机、物理机服务器、负载均衡、数据库等实例的网络访问控制，是重要的网络安全隔离手段。 您可以通过配置安全组规则，允许安全组内的实例对公网或私网的访问。 安全组是一个逻辑上的分组，您可以将同一区域内具有相同安全保护需求的物理机服务器加入到同一个安全组内。 同一安全组内的BMS实例之间默认内网网络互通，不同安全组内的实例之间默认内网不通。 您可以随时修改安全组的规则，新规则立即生效。 密钥对 密钥对概述 密钥对，也称SSH密钥对，是区别于用户名+密码的远程登录Linux实例的认证方式。通过加密算法生成一对密钥，一个对外界公开，称为公钥，另一个由用户自己保留，称为私钥。公钥和私钥组成密钥对。密钥对的工作原理是使用公钥加密某个数据（例如一个密码），用户可以使用私钥解密数据。 天翼云只会存储公钥，您需要存储私钥。拥有您的私钥的任何人都可以解密您的登录信息，因此将您的私钥保存在一个安全的位置非常重要。 密钥对的功能优势 相比用户名+密码认证方式，密钥对在安全性和便捷性上都更具优势，如下表所示。 表 密钥对与密码对比 对比项 密钥对 用户名 + 密码 安全性 安全强度远高于常规用户口令，可以杜绝暴力破解威胁。 可能通过公钥推导出私钥。 安全性较低。 便捷性 便于远程登录大量Linux实例，方便管理。 一次只能登录一台Linux实例，不利于批量维护。

本章节主要介绍天翼云物理机的使用场景。 对安全和监管高要求的场景 金融、证券等行业对业务部署的合规性，以及某些客户对数据安全有苛刻的要求。采用物理机部署，通过网络隔离、专线接入等方式确保独享资源，数据安全隔离，保障用户数据的安全。 核心数据库 泛政务、金融、互联网等行业客户的关键业务系统的核心数据库，其业务压力大、安全隔离要求高，可通过资源专享、网络隔离、性能有保障的物理机承载，满足业务需求。尤其类似Oracle等数据库，其部署复杂，对性能要求高，推荐采用物理机部署。 大数据场景 互联网、汽车、交通、政务等行业的大数据存储、大数据分析等相关业务，客户在云上自建大数据平台，推荐采用性能更强、兼容性更高的物理机服务器承载。同时，天翼云物理机服务器支持结合对象存储服务的存算分离方案。 容器场景 电商平台、游戏、疫情核酸平台等业务弹性要求较高，性能要求更高的场景，可采用物理机容器方案，相比虚机容器，物理机容器提供更高的部署密度、更低的资源开销、更加敏捷的部署效率。基于云原生技术帮助客户实现降低云化成本目标。 高性能计算 科研、基因测序、天气预测、能源勘探、影视渲染、人工智能等高性能计算场景下，对计算能力要求高、处理的任务多、并行数据量大。天翼云物理机采用高规格物理服务与本地SAS存储进行部署，提供强大的计算能力和存储性能。高计算性能、稳定性和实时性，避免虚拟化带来的性能损耗，满足业务对服务器的高计算性能、高稳定性、高实时性的诉求。

本文汇总了使用天翼云弹性高性能计算产品时常见的操作类问题。 创建集群需要哪些步骤？ 首先在天翼云官网选择“计算”——“弹性高性能计算”，进入弹性高性能计算控制台。在控制台首页点击“创建集群”后，根据创建流程配置集群、管理节点、队列与计算节点，详细的操作步骤请参考“创建集群”章节。 集群从开始创建到可用预计需要多长时间？ 创建集群所需时间与您所选的机型和配置有关，通常几分钟内即可创建完成，但创建完成后集群还需要进行自动初始化，在此过程中请不要进行关机、重启等操作，请您在集群状态变为“可用”后再进行操作。 能否自己安装或者升级操作系统？ 不能。 天翼云弹性高性能计算产品在集群创建时已为您集成默认镜像中的操作系统，为保证集群能够正常使用，请您不要自行安装或升级操作系统，自行操作风险不可控，可能会导致您的业务无法进行。 正在运行的集群是否支持增删节点？ 支持。 您可以在节点列表中对计算节点进行增删操作，但在删除节点前请确认是否有在该节点上正在运行的作业，如果强行删除节点会导致作业终止。 暂不支持增删管理节点，在物理机列表中删除管理节点会导致集群不可用。 可以使用物理机控制台对弹性高性能计算集群的节点进行操作吗？ 如果您需要对节点进行操作，请直接在弹性高性能计算控制台操作，在物理机控制台进行开关机、重启、重装系统等操作可能会造成集群或部分节点状态异常以及集群相关资源不可使用等问题。

本文介绍了Windows Server 操作系统停止支持应对计划。 微软已经于2020年01月14日停止对Windows Server 2008/2008 R2操作系统提供支持，并于2023年10月10日停止对Windows Server 2012/2012 R2操作系统提供支持。如果您有使用上述操作系统的弹性云主机，建议您采取相应的措施以持续获得软件更新和安全补丁，以避免操作系统停止维护EOL（End of Life）带来影响。本文主要介绍Windows Server 2008/2008 R2/2012/2012 R2操作系统EOL的应对方案。 注意 如果您因业务需求需要继续使用Windows Server 2008/2008 R2/2012/2012 R2，请您仔细评估操作系统EOL带来的风险。 Windows Server EOL 如何应对 推荐您将Windows Server 2008/2008 R2/2012/2012 R2迁移到替代的操作系统，以继续获取软件更新和安全补丁。 迁移前，请先评估： 1、需要迁移到哪种目标操作系统。 您可以综合考虑安全合规、稳定性、操作系统兼容性、预算、长期OS策略等因素，决定具体的迁移方案。 2、根据需求评估操作系统的迁移方式。 （推荐）重新部署环境：重新部署环境指重新购买新实例以替换原实例或者针对已有实例切换操作系统。 注意 更换操作系统后，原来的旧系统盘会被释放且所有数据会被清空，请务必在更换操作系统前备份数据。 优缺点：该方式可以使用最新的操作系统，同时可以清除历史遗留问题，更有利于长期的系统健康和可维护性。但是在重新部署业务期间可能需要暂停服务，影响业务的连续性。 适用场景：如果您希望利用操作系统EOL的时机重新部署环境，可以选择此方案。 适用的目标操作系统：无限制。

本文介绍如何在天翼云函数计算控制台创建、查看、编辑和删除应用环境。 创建环境 在函数计算控制台，点击对应的应用进入应用详情页面，您可以点击创建环境按钮，进入环境创建页面。 填写字段说明： 环境名称：一个应用不能出现两个相同的环境名称。 环境类型 ：根据实际的业务诉求选择合适的环境类型，支持测试环境 、预发环境 、生产环境三种环境类型。 描述：环境的描述。 流水线配置 ：环境对应的流水线配置，请见管理流水线。 查看环境 在函数计算控制台，点击对应的应用进入应用详情页面，可以看到当前应用关联的环境列表。 点击对应的环境名称，进入环境详情页面，该页面包含环境详情、流水线管理等2个页签。 环境详情 环境详情页签主要包含应用和环境的基本信息、环境绑定的代码源、部署构建历史以及部署的资源。 流水线管理 您可以在此处配置当前环境的构建流水线，请见管理流水线。 编辑环境 您可以在环境详情页面环境详情页签处，点击环境信息旁的编辑链接，进行编辑环境的描述、分支绑定以及流水线触发方式。 删除环境 您可以在应用详情页，点击对应环境操作列的删除链接，然后您需要确认选择需要删除环境相关的资源，进行删除指定环境。

参数 参数类型 说明 示例 下级对象 custName String 主机名称 testhostname displayName String 实例名称 testinstancename publicIp String 公网ip 192.168.1.1 agentIp String agent ip 192.168.1.1 agentGuid String agentguid 1234567890 userName String 用户名 testusername findTime String 首次发现时间 20220614 10:00:00 timestamp String 最后发现时间 20220614 10:00:00 docId String 事件id testid path String 文件路径 /bin/test.sh virusName String 病毒名称 testvirusname severity String 威胁等级 1低危 2中危 3高危 1 status Integer 状态 0未处理 1已隔离 2已加白 3已删除 7已忽略 99处理中 1 osType String 操作系统类型 Linux/Windows Linux md5 String 文件md5 1234567890 virusHandleType String 病毒处理方式 HANDLE收手动处理 AUTO自动处理 HANDLE quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 virusType String 病毒类型 普通木马 pivotalDoc Integer 是否关键文件 1关键文件 0非关键文件 0 sha256 String sha256 1234567890 pid Integer 进程id 1212 cmd String 进程命令行 /bin/test.sh checkModel Integer 检测模式 1快速检测 2全盘检测 3自定义检测 8实时监测 9文件落盘检测 10进程启动检测 1 taskId Integer 任务id 1 checkWay Integer 检测模式 1快速检测 2全盘检测 3自定义检测 8实时监测 9文件落盘检测 10进程启动检测 1 handleRules Array of Objects handleList 操作列表 handleRules whiteData Object 白名单数据 whiteData eventCategoryId String 告警类型 2 eventTypeId String 告警名称id 4400 virusEngine String 病毒查杀引擎 1:"云查引擎" 2:"本地查杀引擎" 3:"本地查杀引擎" 1 isAutoIsolate String 处理类型 0手动 1自动 为空展示 0 表 whiteData

本章介绍天翼云关系型数据库的一些常用概念解释。 实例 关系型数据库的最小管理单元是实例，一个实例代表了一个独立运行的数据库。用户可以在关系型数据库系统中自助创建及管理各种数据库引擎的实例。实例的类型、规格、引擎、版本和状态。 数据库引擎 关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 实例类型 云数据库RDS的实例分为：单机实例、主备实例等。不同类型支持的引擎类型和实例规格不同，请以实际界面为准。 实例规格 数据库实例各种规格（vCPU个数、内存（GB）、对应的数据库引擎）。 自动备份 创建实例时，关系型数据库默认开启自动备份策略，实例创建成功后，您可对其进行修改，关系型数据库会根据您的配置，自动创建数据库实例的全量备份。 手动备份 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 区域和可用区

1. 引言 服务网格接入虚机是为了让传统应用在不改造架构的前提下，也能获得服务网格的治理能力，例如统一的服务发现、流量控制、故障治理与安全通信，从而支撑平滑上云和系统演进。 2. 架构 3. 准备工作 3.1 创建网格实例 确保在控制面中已创建好可用的 服务网格实例，并确认网格状态为 Running。 后续步骤中的虚拟机将加入此网格实例以实现统一流量管理与安全控制。 注意 确保目标虚拟机和网格实例之间网络互通。 3.2. 创建接入网格的虚拟机 准备一台或多台计划纳入网格的虚拟机； 说明 权限要求：具备 root 或具有 sudo 权限的用户； 网络要求：可以访问到 容器集群 API Server 的地址； 3.3 上传 istioctl 与 kubectl 工具 下载并将以下二进制文件上传至虚拟机（例如存放于 /usr/local/bin）： istioctl kubectl 执行以下命令添加到系统环境变量： plaintext export PATH$PATH:/usr/local/bin 验证： plaintext kubectl version client istioctl version 3.4 配置 kubeconfig 文件 将容器集群的 kubeconfig 文件拷贝至虚拟机，使 kubectl 可正常访问主集群。 文件路径： ～/.kube/config 验证连接是否成功 kubectl get ns 若能列出命名空间列表，说明连接正常。 3.5 创建istioproxy用户 在虚拟机中创建 istioproxy 用户及用户组，用于运行 Sidecar 代理进程。 sudo useradd r M s /sbin/nologin istioproxy r 表示创建系统用户； M 不创建 home 目录； s /sbin/nologin 表示该用户不可直接登录； Sidecar 启动将以该用户身份运行。

本页介绍了天翼云关系数据库MySQL安全组规则的设置方法。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

本页介绍了关系数据库MySQL版产品如何设置安全组规则。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

本文介绍使用Rediscli迁移自建Redis（AOF文件） 迁移介绍 Rediscli 是 Redis 自带的命令行客户端工具，它允许用户通过命令行与 Redis 服务器进行交互。 在本章节中，我们将重点介绍如何使用 Rediscli 工具以 AOF 文件的方式，将自建的 Redis 数据迁移到 DCS 缓存实例。 说明 进行迁移操作前，建议暂停相关业务，以避免数据丢失或不完整。 建议业务空闲时间进行迁移操作。 步骤1：生成AOF文件 使用以下命令来开启缓存持久化并生成 AOF 持久化文件： ./rediscli h {redisaddress} p {redisport} a {password} config set appendonly yes 如果 AOF 文件的大小不再变化，说明AOF文件为全量缓存数据。 说明 使用 Rediscli 工具登录 Redis 实例，输入命令“config get dir”可以查找生成的AOF文件保存路径。如果没有进行特殊指定，该文件的文件名默认为 appendonly.aof。 如果需要关闭同步，可以使用 Rediscli 工具登录 Redis 实例，并输入命令 “config set appendonly no” 来关闭同步。 步骤2：上传AOF文件至天翼云ECS 为节省传输时间，请先压缩AOF文件再传输。 将压缩文件（如以SFTP/SCP等方式）上传到天翼云ECS。 说明 ECS需保证有足够的磁盘空间，供数据文件存储，同时需要与缓存实例网络互通，通常要求相同VPC和相同子网，且安全组规则不限制访问端口。 步骤3：导入数据 ./rediscli h {redisaddress} p {redisport} a {password} pipe < appendonly.aof 步骤4：迁移后验证 数据导入成功后，连接DCS缓存实例，通过dbsize命令，确认数据是否导入成功 如果导入不成功，需要分析原因，修正导入语句，然后使用flushall或者flushdb命令清理实例中的缓存数据，并重新导入。

介绍分布式缓存服务Redis版的到期与欠费规则 到期前续费 手动续订：对于包年/包月订购的分布式缓存服务，用户在资源到期前进行续费操作，可以延长原有资源到期时间，避免资源到期后冻结或超过保留期后被系统回收。详细操作请参考费用中心续订管理手动续订。 自动续订：自动续订仅针对采用包月、包年计费模式的资源，详细操作请参考费用中心续订管理自动续订。 到期处理 到期后，分布式缓存服务进入保留期，您将不能正常访问及使用天翼云分布式缓存服务Redis版，但对于您存储在分布式缓存服务中的数据予以保留。 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用； 若到期15天后您仍未续费，存储在分布式缓存服务中的数据将被删除 欠费原因 在按需计费的模式下帐号的余额不足。 欠费停服说明 欠费后分布式缓存服务Redis版服务会自动停止。 您所占用的存储空间资源仍会继续扣费，因此欠费余额会累计。 如果您在15天内充值补足欠款，服务会自动启用。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云分布式缓存服务Redis版的全部数据将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 若您确认不再使用分布式缓存服务Redis版，请务必及时删除存储于分布式缓存服务Redis版上的数据。

本文介绍AOne会议服务到期与续订。 服务到期 AOne会议的基础套餐为包年包月的销售品，在资源到期前第7天、第3天、第1天会以邮件的方式向您发送资源到期提醒。在到期当天会以邮件、站内信和短信的方式再次进行通知。 服务到期后，平台将暂停向您提供服务，并冻结相关资源，冻结期15天。冻结期间，您的用户数据（包含用户组织信息、会议数据、云录制文件等）会保留15天，但无法正常访问和使用。15天后资源将被系统自动释放，所有数据将被永久清除且不可恢复。 如果您希望在服务期满后继续使用，请在到期前及时完成套餐续订。您也可以选择开通自动续订，避免服务终端。 续订规则 只有通过实名认证的客户，才可以执行续订操作。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 资源处于服务中且到期剩余时长大于7天可以设置自动续订。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2025年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 需要满足续订的规则，具体规则详见续订规则说明。

实践 描述 命名空间是一个逻辑租户的概念，实现对MDR管控配置和数据的逻辑隔离，承载整个多活项目的资源集合，包括了流量入口，多活分区，数据同步，数据监控等内容。用户可以创建多个命名空间，用于逻辑隔离不同的资源。 在多活容灾服务控制台创建容灾管理中心，容灾管理中心以实例的形式独立运行，所有的操作都是在实例内进行，不同实例间的资源相互隔离。 帮助用户将应用接入到已经创建好的云主机中，并可对用户的应用端口和绑定的数据库、存储等资源进行监控告警。 用户以预案阶段为单位进行编排，形成完整的预案流程。容灾切换模块中通过关联预案创建容灾演练或应急切换以实现容灾的日常演练或故障发生后的应急响应。 容灾切换包括容灾演练和应急切换。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。 在多活容灾服务平台使用资源之前，用户需通过资源管理模块对当前资源进行同步操作，以便MDR侧能够实现统一管理。

本章节主要介绍数据目录相关问题。 数据目录组件有什么用？ 数据目录的核心是通过元数据采集任务，采集并展示企业的数据资产地图，包括所有的元数据信息和数据血缘关系。 数据目录支持采集哪些对象的资产？ 数据目录目前支持采集的资产有：数据仓库服务（DWS）、MapReduce服务（MRS HBase）、MapReduce服务（MRS Hive）、MySQL、云数据库 RDS（DataArts Studio仅支持MySQL和PostgreSQL数据库）。 什么是数据血缘关系？ 大数据时代，数据爆发性增长，海量的、各种类型的数据在快速产生。这些庞大复杂的数据信息，通过联姻融合、转换变换、流转流通，又生成新的数据，汇聚成数据的海洋。 数据的产生、加工融合、流转流通，到最终消亡，数据之间自然会形成一种关系。我们借鉴人类社会中类似的一种关系来表达数据之间的这种关系，称之为数据的血缘关系。与人类社会中的血缘关系不同，数据的血缘关系还包含了一些特有的特征： 归属性 ：一般来说，特定的数据归属特定的组织或者个人，数据具有归属性。 多源性 ：同一个数据可以有多个来源（多个父亲）。一个数据可以是多个数据经过加工而生成的，而且这种加工过程可以是多个。 可追溯性 ：数据的血缘关系，体现了数据的生命周期，体现了数据从产生到消亡的整个过程，具备可追溯性。 层次性 ：数据的血缘关系是有层次的。对数据的分类、归纳、总结等对数据进行的描述信息又形成了新的数据，不同程度的描述信息形成了数据的层次。 如图所示数据血缘关系示例

本章节主要介绍数据仓库服务的产品定义。 数据仓库服务(Data Warehouse Service) 是一种基于公有云基础架构和平台的在线数据处理数据库，提供即开即用、可扩展且完全托管的分析型数据库服务。数据仓库服务兼容标准ANSI SQL 99和SQL 2003，同时兼容PostgreSQL/Oracle数据库生态，为各行业PB级海量大数据分析提供有竞争力的解决方案。 产品架构 DWS基于Sharednothing分布式架构，具备MPP (Massively Parallel Processing)大规模并行处理引擎，由众多拥有独立且互不共享的CPU、内存、存储等系统资源的逻辑节点组成。在这样的系统架构中，业务数据被分散存储在多个节点上，数据分析任务被推送到数据所在位置就近执行，并行地完成大规模的数据处理工作，实现对数据处理的快速响应。 产品架构 应用层 数据加载工具、ETL（ExtractTransformLoad）工具、以及商业智能BI工具、数据挖掘和分析工具，均可以通过标准接口与DWS 集成。DWS兼容PostgreSQL生态，且SQL语法进行了兼容Oracle和Teradata的处理。应用只需做少量改动即可向DWS平滑迁移。 接口 支持应用程序通过标准JDBC 4.0和ODBC 3.5连接DWS 。 DWS （MPP大规模并行处理集群） 一个DWS集群由多个在相同子网中的相同规格的节点组成，共同提供服务。集群的每个DN负责存储数据，其存储介质是磁盘。协调节点（Coordinator）负责接收来自应用的访问请求，并向客户端返回执行结果，此外，协调节点还负责分解任务，并调度任务分片在各DN上并行执行。

功能名称 功能描述 站点自动开通 22个人工环节优化为3个，在资源具备条件下（含本地接入段），IPRAN/STN/光纤直驱/OTN接入7个工作日开通，PON/SDWAN/5G切片专线接入1个工作日开通，具备自动化能力的云资源池分钟级开通。 差异化 QoS 分级 标准服务可提供“钻石、白金、金、银、铜、BE”6个 QoS 等级，保障客户不同应用的指标要求。 支持一线多用 PON接入站点客户可单独开通互联网业务或通过一条接入线路同时承载互联网业务与算力专网业务, SDWAN接入站点支持客户一点开通PON互联网业务和SDWAN业务，其中互联网业务支持拨号宽带或互联网专线。 支持多种接入方式 算力专网的网侧站点支持高达6种接入方式，包含：IPRAN、PON、光纤直驱、5G切片专线、OTN和SDWAN。（其中PON、光纤直驱、5G切片专线、OTN和SDWAN的接入能力正在研发中） 业务全流程可视化 实现客户自助查看业务开通进展、业务完整网络拓扑、电路运行状态、故障告警提醒、电路流量监测，提供多种产品增值功能，多维度持续提升客户满意度。 支持调整站点的接入电路速率 在创建完成算力专网站点后，可以在算力专网的控制台页面对指定站点的接入电路速率进行调整。 支持对站点接入电路速率的随选调整 在创建完成算力专网站点后，可以在算力专网的控制台页面对指定站点的接入电路速率在约定时间内进行变更。 支持查看站点的开通进度 用户在创建站点或发起站点变更功能后，可以在站点列表页的“状态”列中查看当前业务的开通进度。

本文为您介绍分布式消息服务MQTT的快速入门连接实例。 创建用户名和密码 终端设备连接MQTT队列需要先创建用户密码。 1、 天翼云官网点击控制中心，选择产品分布式消息服务MQTT。 2、 登录分布式消息服务MQTT控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入认证授权菜单，点击【新增】按钮，在弹出框输入认证用户名、用户密码、确认密码等信息。 主题授权 对用户名进行主题授权，客户端方可正常收发。 1、 选择需要授权的用户，点击【授权】按钮。 2、 在弹出框填写已创建的主题名称，主题权限包含3种：pub、sub、pubsub，支持通配符， 代表所有主题。 绑定公网IP 公网接入若未绑定弹性公网ip需先进行购买弹性ip并进行绑定。 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式消息服务MQTT动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式消息服务MQTT实例的需求，用户可开通弹性IP后，在MQTT实例页面进行绑定。 1、 进入实例列表，点击【管理】按钮进入管理菜单。 2、 在实例详情查看公网IP，点击【绑定】按钮，选择已购买的弹性IP。 弹性ip带宽大小计算规则可参照：带宽 报文大小TPS 120%，建议按120%购买，应对突发流程。如规格，报文大小1KB，TPS 2W/s，则带宽2000010008160Mb/s,建议200Mb/s。

本小节介绍微隔离防火墙创建工作组方法。 在接入工作负载之前，推荐先根据业务情况创建工作组，以便于后续工作负载直接接入对应的工作组（也可以先预设几个组，接入工作负载后，再根据业务进行组的划分）。 新建组标签 1.首先点击菜单栏的标签管理： 2.进入标签管理页面后，根据业务属性，创建对应的位置、环境、应用标签（用于后续定义工作组）。 3.标签分为名称及显示名称，名称支持英文、数字及下划线组合，且唯一。显示名称可以为中文，不唯一。 创建工作组 1.点击菜单栏的工作组，进入工作组管理页面： 2.点击新建，在弹出的对话框中输入此工作组的相关信息，根据业务情况选择事先创建的标签。每个工作组由03个组标签定义，若某一项无标签，可不选择。 注意 当工作组无标签时，无法匹配策略。 3.点击确定后，工作组建立完成，拓扑图中会出现该工作组。 安全风险说明 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护微隔离防火墙管理端口6443。 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 其次，点击【配置规则】下的【入方向规则】。在规则配置中，选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

如何将源数据库的用户与权限导出，再导入到目标数据库 步骤 1 选择一台可以访问源数据库的虚拟机。 步骤 2 执行如下命令后，输入密码并回车，将源库用户导出到临时文件“users.sql”中。 mysql h 'host' u 'user' p N $@ e "SELECT CONCAT('SHOW GRANTS FOR ''', user, '''@''', host, ''';') AS query FROM mysql.user" > /tmp/users.sql 其中的 'host' 替换为源数据库的访问IP地址，'user' 替换为源数据库的用户名。 步骤 3 执行如下命令，将源数据库中原有用户的授权信息导出到文件“grants.sql”中。 mysql h 'host' u 'user' p N $@ e " source /tmp/users.sql" > /tmp/grants.sql sed i 's/$/;/g' /tmp/grants.sql 其中的 'host' 替换为源数据库的访问IP地址，'user' 替换为源数据库的用户名。 步骤 4 命令运行成功后，打开“grants.sql”文件可以看到类似以下的结果。 Grants for root@% GRANT ALL PRIVILEGES ON . TO 'root'@'%'; Grants for testt@% GRANT SELECT, INSERT, UPDATE, DELETE ON . TO 'testt'@'%'; Grants for debiansysmaint@localhost GRANT ALL PRIVILEGES ON . TO 'debiansysmaint'@'localhost' WITH GRANT OPTION; Grants for mysql.session@localhost GRANT SUPER ON . TO 'mysql.session'@'localhost'; GRANT SELECT ON performanceschema. TO 'mysql.session'@'localhost'; GRANT SELECT ON mysql.user TO 'mysql.session'@'localhost'; Grants for mysql.sys@localhost GRANT USAGE ON . TO 'mysql.sys'@'localhost'; GRANT TRIGGER ON sys. TO 'mysql.sys'@'localhost'; GRANT SELECT ON sys.sysconfig TO 'mysql.sys'@'localhost'; Grants for root@localhost GRANT ALL PRIVILEGES ON . TO 'root'@'localhost' WITH GRANT OPTION; GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION; 步骤 5 在步骤 4 显示的结果中，可以看到源数据库中所有的用户以及对应的权限，请选择所有需要的用户，逐个添加到本云关系型数据库MySQL中。