本文介绍回源加密算法的配置方法。 功能介绍 回源协议为HTTPS协议时，天翼云边缘安全加速平台安全与加速服务默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 配置说明 1. 登录边缘安全加速平台控制台。 2. 进入安全与加速工作台域名基础配置页面，点击目标域名。。 3. 进入源站设置页面，单击“编辑配置”。 4. 当【回源协议】选择HTTPS回源或者协议跟随时，可选择【回源加密算法】，支持选择国密加密回源、国际加密回源、跟随客户端加密算法回源。 5. 单击【保存】，完成配置。 参数名 说明 国密加密回源 国密算法，即国家商用密码算法，是由国家密码管理局认定和公布的密码算法标准及其应用规范。国密加密回源，即回源时的HTTPS协议采用国密加密算法。 国际加密回源 国际加密回源，即采用国际标准的密码算法回源，如果没有特殊配置，我们通常回源时使用的加密算法都是国际加密算法。 跟随客户端加密算法回源 若客户端使用国际加密算法接入天翼云AOne安全与加速平台，则回源时也使用国际加密算法回源；若客户端使用国密加密算法接入天翼云AOne安全与加速平台，则回源时也使用国密加密算法回源。

本章节会介绍如何修改数据库内网安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 步骤 6 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

本章节介绍如何修改数据库内网安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 步骤 6 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

回退独享引擎实例版本 仅支持回退到升级前的版本。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 5. 在目标实例所在行的“操作”列，单击“更多 > 回退”。 6. 在弹出的对话框中，确认满足并勾选以下三个条件后单击“确认”。 必须满足以下条件，才支持回退实例： 实例所在的ELB后端服务器组中存在多个活动实例，或该实例未接入业务。 ELB已开启HTTP/HTTPS健康检查。 ELB已关闭会话保持。 切换独享引擎实例安全组 当“实例类别”为“资源租户类”时，您可以切换独享引擎所属的安全组。切换安全组后，实例将受到该安全组访问规则的保护。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 5. 在目标实例所在行的“操作”列，单击“更多 > 切换安全组”。 6. 在弹出的对话框中，选择目标安全组后，单击“确认”，切换独享引擎实例安全组。

本文介绍如何为桶配置自定义域名。 使用场景 文件预览：如果您不想强制下载文件，可以通过将自定义域名绑定至桶实现在线预览文件。 访问.apk或.ipa文件：出于安全考虑，ZOS禁止通过桶的外网域名访问后缀为.apk或者.ipa的文件。您可使用自定义域名访问此类文件。 提升品牌形象和专业度：提供固定的个性化的企业域名，可以增强品牌形象和专业度，增加用户信任。 约束与限制 不支持绑定中文域名。 每个桶最多可以绑定100个域名。 一个自定义域名只能配置到一个桶上。 操作步骤 步骤一：配置自定义域名 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，单击Bucket名称进入“概览”页面。 5. 选择“基础设置”页面，找到“自定义域名”，点击“设置”按钮。 6. 点击“添加域名”按钮，输入您的域名。 7. 添加域名成功后，您添加的域名信息将会展示在自定义域名列表中。 8. （可选）您可以在自定义域名列表中点击“绑定证书”， 以绑定您的HTTPS证书。 注意 1. 请确保您添加的域名已经完成工信部备案。添加域名时会验证您的备案情况。如域名尚未备案，请完成备案后再执行添加域名操作。 2. 如您的域名是新备案的域名，域名的备案情况由于同步时间较长，可能会出现较长时间无法通过验证，请您耐心等待。 步骤二：添加CNAME记录 1. 您可以在“配置CNAME”页面复制您添加的自定义域名对应的CNAME值。请注意，“配置CNAME”页面是为了提示您需要为自定义域名添加CNAME记录。无论您是否在此时配置CNAME，自定义域名都已经添加成功了。 2. 您也可以在自定义域名列表页面，复制您添加的自定义域名对应的CNAME值。 3. 前往您的域名解析（DNS）服务商（如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等），添加该CNAME记录。 4. 验证自定义域名是否生效。配置CNAME后，不同的服务商CNAME生效的时间不同，一般新增的CNAME记录会立即生效，修改的CNAME记录需要较长时间生效。您可以ping或dig您所添加的自定义域名，如果被指向ZOS系统域名，即表示CNAME配置已经生效，自定义域名也已生效。

Hive常用端口 表中涉及端口的协议类型均为：TCP。 配置参数 默认端口 端口说明 templeton.port 9111 WebHCat提供REST服务的端口。 该端口用于： WebHCat客户端与WebHCat服务端之间的通信。 安装时是否缺省启用：是 安全加固后是否启用：是 hive.server2.thrift.port 10000 HiveServer提供Thrift服务的端口。 该端口用于： HiveServer客户端与HiveServer之间的通信。 安装时是否缺省启用：是 安全加固后是否启用：是 hive.metastore.port 9083 MetaStore提供Thrift服务的端口。 该端口用于： MetaStore客户端与MetaStore之间的通信，即HiveServer与MetaStore之间通信。 安装时是否缺省启用：是 安全加固后是否启用：是 hive.server2.webui.port 10002 Hive的Web UI端口。 该端口用Web请求与Hive UI服务器进行HTTPS/HTTP通信。 Hue常用端口 表中涉及端口的协议类型均为：TCP。 配置参数 默认端口 端口说明 HTTPPORT 8888 Hue提供HTTPS服务端口。 该端口用于：HTTPS方式提供Web服务，支持修改。 安装时是否缺省启用：是 安全加固后是否启用：是 Kafka常用端口 表中涉及端口的协议类型均为：TCP。 配置参数 默认端口 端口说明 port 9092 Broker提供数据接收、获取服务。 ssl.port 9093 Broker提供数据接收、获取服务的SSL端口。 sasl.port 21007 Broker提供SASL安全认证端口，提供安全Kafka服务。 saslssl.port 21009 Broker提供SASL安全认证和SSL通信的端口，提供安全认证及通信加密服务。 表中涉及端口的协议类型均为：TCP。

本页为数据传输服务DTS的安全白皮书。 天翼云DTS是一种集数据迁移和数据实时同步于一体的数据传输服务。它支持关系型数据库间的数据传输，致力于解决远距离、毫秒级异步数据传输难题。 DTS秉承天翼云对用户的安全承诺，通过完善的账号权限体系、网络隔离与防护、数据加密传输、断点续传、数据校验，保障用户在进行数据迁移、同步过程中的安全性、可用性和数据一致性。 完善的账号权限体系 DTS在天翼云完善的账号权限体系的基础上，为用户提供严格的租户隔离，以及对各种资源进行了精细的权限控制，保障了用户的账号、数据和进行各项操作的安全性。 网络隔离与防护 DTS借助天翼云的Web应用防火墙和主机安全，以及基于HTTPS加密传输，实现了可靠的网络防护和Web访问的安全性。DTS实例通过VPC实现不同用户资源的网络隔离，以及通过网络ACL和安全组实现了资源粒度，如ECS、数据库实例的严格、精细的出入流量控制，保障了资源访问的安全性。 数据加密传输 DTS对于数据传输的源端和目标端之间的连接，提供了可选的SSL加密传输的连接方式，保障了数据迁移、同步过程中数据传输的安全性。 断点续传 DTS实现了断点续传功能，保障了数据迁移、同步的稳定性和高效性。

本文为您介绍分布式消息服务MQTT的产品优势。 分布式消息服务MQTT（Message Queuing Telemetry Transport）是一种轻量级的、发布/订阅模式的消息传递协议，通常用于分布式消息服务和物联网（IoT）应用。以下是MQTT的一些优势： 轻量级协议： MQTT是一种非常轻量级的协议，适用于各种网络环境，包括低带宽、高延迟或不稳定的网络。这使得它非常适合在IoT设备之间传递消息，因为这些设备通常有限的资源和能源。 发布/订阅模式： MQTT采用发布/订阅模式，允许客户端订阅感兴趣的主题，以接收与这些主题相关的消息。这种模式具有灵活性，能够支持多对多的通信，而不需要直接点对点的连接。 异步通信： MQTT允许异步通信，客户端可以发布消息而不必等待接收方的响应。这有助于提高系统的响应速度和吞吐量。 保留消息： MQTT支持保留消息，这意味着最新的消息可以保留在主题中，以便新订阅者可以立即获取到最新数据，而不必等待下一个消息发布。 服务质量（QoS）： MQTT允许设置不同级别的服务质量，从不保证消息送达（QoS 0）到确保消息送达且不重复传递（QoS 2）。这使得可以根据应用的需求选择适当的传递质量。 可伸缩性： MQTT协议可以在大规模分布式系统中轻松扩展，支持成千上万的客户端同时连接到Broker，使其适用于大型IoT解决方案。 消息过滤： MQTT支持使用通配符来订阅主题，这允许客户端根据特定模式匹配多个主题，以接收相关消息。 支持遗愿消息： MQTT支持遗愿消息（Will Messages），允许客户端指定在异常断开连接时发送一条预定义消息。这对于检测设备在线状态非常有用。 跨平台和多语言支持： MQTT具有广泛的跨平台和多语言支持，因此可以在各种设备和编程语言上使用，使得它非常灵活。 安全性： MQTT可以与安全机制（如TLS/SSL）结合使用，确保消息在传输过程中的安全性和隐私。 总的来说，MQTT是一种高效、灵活和可靠的协议，特别适用于分布式消息传递和IoT应用，因此在物联网、远程监控、实时通信等领域得到广泛应用。它的轻量级特性和异步通信使得它成为连接数众多的设备的理想选择。

本文主要介绍WAF功能。 高级访问控制 可针对IP, IP段, URI, CI, METHOD, 请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 高级访问限速 通过配置IP, URL, ARGS, HEADER, COOKIE, UA, CI等粒度，进行访问次数限制，防止客户资源被过度消耗。 请求合规检测 请求方法检测：只允许指定请求方法访问网站。 请求协议检测：只允许指定协议版本访问网站。 请求头部缺失检测：请求缺少指定头部禁止访问网站。 数据重复检测：针对头部重复，参数重复进行拦截，禁止访问网站。 请求数据长度限制：针对请求URL,头部参数进行长度限制，禁止访问网站。 Web漏洞防护 针对请求数据进行漏洞检测，对异常数据进行拦截，防止攻击请求到达源站。 批量注册 通过对注册URL访问数量统计，进行阈值拦截，防止网站注册链接被恶意请求，造成正常客户无法使用。 暴力破解 对采用暴利破解的防护连接进行请求量统计，达到阈值数量后进行拦截，避免用户密码被破解，造成信息泄露。 Web挖矿 通过检测网页上的挖矿信息，进行清理，移除异常数据，保证客户机器安全。 广告防护 通过对页面插入js进行检测，并对检测到的广告进行清除或者记录告警日志处理，使展示给用户的界面没有广告，同时可以针对检测出来的广告进行离线分析。 支持对广告配置白名单功能，针对特定的广告不进行清除与告警处理，满足客户的定制需求。

本文将为您介绍如何复制伸缩配置来新增一条配置。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 单击“伸缩配置”，进入“伸缩配置”页签，在待复制的伸缩配置行，单击“操作”列的“复制”。 5. 在“复制伸缩配置”页面，您可以修改配置名称、云主机规格和镜像等参数，如需保持相同配置，可直接点击右下角“确认”按钮。 6. 系统会自动刷新列表，您可以看到新增的伸缩配置。

Q1：在线测试与正式 API 调用有什么区别？ 在线测试是控制台提供的免配置体验功能，无需鉴权信息，每月有 10 次免费额度；正式 API 调用需要在请求 Header 中携带完整的签名鉴权信息，按实际调用次数计费，额度不受限制。两者的检测能力与检测结果完全一致。 Q2：调用失败（如参数错误、鉴权失败）是否计费？ 不计费。只有接口成功响应（code200，successtrue）的调用才计入计费次数。 Q3：词库更新后多久生效？ 词库创建或修改后，约5 分钟内全量生效。生效前的调用仍使用旧的词库内容，请在等待生效后再进行验证。 Q4：一个应用可以同时关联多个词库吗？ 可以。一个应用可以同时关联多个黑名单词库和多个白名单词库，所有关联词库会合并生效。 Q5：图片检测支持哪些图片格式和大小限制？ 目前支持 JPEG、PNG 等常见图片格式。建议单张图片大小不超过5MB，以确保检测响应速度。 Q6：Eopdate 的有效期是多久？超期了怎么处理？ Eopdate的有效期为15 分钟。超过有效期后，服务端将拒绝该请求并返回鉴权失败（401）。请确保请求方服务器的系统时钟与标准时间保持同步（建议使用 NTP 同步），每次请求时动态生成Eopdate。 Q7：如何区分是大模型安全护栏的问题还是业务代码的问题？ 可通过以下方法排查：在控制台在线测试页面使用相同的输入内容进行测试，若在线测试结果与 API 调用结果不一致，则可能是 API 调用的鉴权或参数问题；若一致，则为检测能力层面的问题，可通过控制台提交工单反馈。

本节主要介绍管理IAM用户访问密钥 访问密钥即AK/SK（Access Key ID/Secret Access Key），是您通过开发工具（API、SDK）访问部分云服务平台时的身份凭证，不能登录控制台。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 说明 目前支持通过AK/SK访问的云服务包括对象存储OBS。 如果IAM用户不能登录控制台，在需要使用访问密钥或者访问密钥遗失的情况下，可以由管理员在IAM中管理IAM用户的访问密钥。 管理员在IAM用户列表中，单击用户名称进入用户详情页，然后单击右侧的“安全设置”页签，新增或者删除用户的访问密钥。 说明 IAM提供的“安全设置”功能，适用于管理员管理IAM用户的访问密钥。在我的凭证中也可以管理访问密钥，我的凭证适用于所有用户在可以登录控制台的情况下，自行管理访问密钥。 帐号和IAM用户的访问密钥是单独的身份凭证，即帐号和IAM用户仅能使用自己的访问密钥进行API调用。 新增访问密钥并下载 单击“新增访问密钥”。 若开启操作保护，则管理员需输入验证码或密码。 单击“确定”，生成并下载访问密钥后，将访问密钥提供给用户。 说明 每个用户最多可以拥有2个访问密钥，有效期为永久。为了帐号安全性，建议管理员定期给用户更换访问密钥。 删除访问密钥 单击“删除”。 若开启操作保护，则管理员需输入验证码或密码。 单击“确定”。 启用、停用访问密 新创建的访问密钥默认为启用状态，如需停用该访问密钥，步骤如下： 在“访问密钥”页签中，在需要停用的访问密钥右侧单击“停用”。 若开启操作保护，则需输入验证码或密码。然后单击“是”，停用访问密钥。 启用访问密钥方式与停用类似，请参考以上步骤。

本页为使用数据传输服务DTS将SQL Server数据同步到SQL Server的详细介绍,包括数据同步支持的源库、目标库,支持的同步对象及SQL,数据库账号权限说明,操作须知,操作步骤等。 支持的源和目标数据库 支持的源和目标数据库如下表： 源数据库 目标数据库 自建SQL Server、RDS for SQL Server 2008企业版/2012企业版/2014企业版/2016 标准版/2016 企业版/2019 标准版/2019 企业版/2022 标准版/2022 企业版 RDS for SQL Server 2016 标准版/2016 企业版 /2019 标准版/2019 企业版 /2022 标准版/2022 企业版 说明 源数据库版本不得高于目标数据库版本。 内存数据库（InMemory OLTP）冲突：由于 SQL Server 中 InMemory OLTP 特性和 Mirroring（镜像）技术不兼容，如果源库开启了内存数据库，目标端绝对不能选择高可用版（主备架构）的云数据库实例。 特殊云厂商限制（如Azure SQL）：因为部分 SQL Server（例如 Azure SQL）不支持 use 语法，所以无法在一个任务中实现多库同步，必须每个库单独建立同步任务；Azure SQL 数据库的连接策略暂不支持 Redirect，如果是 Redirect 请修改成默认值或者 Proxy 选项。若源库为 Azure SQL Database，一个实例仅支持迁移一个数据库。 CDC 开启的版本红线：若源库待同步的表需要开启 CDC，源库为企业版时必须为 2008 及以上版本；源库为标准版时必须为 2016 SP1 及以上版本。

本页为使用数据传输服务DTS将SQL Server数据迁移到SQL Server的详细介绍,包括数据迁移支持的源库、目标库,支持的迁移对象及SQL,数据库账号权限说明,操作须知,操作步骤等。 支持的源和目标数据库 支持的源和目标数据库如下表： 源数据库 目标数据库 自建SQL Server、RDS for SQL Server 2008企业版/2012企业版/2014企业版/2016 标准版/2016 企业版/2019 标准版/2019 企业版/2022 标准版/2022 企业版 RDS for SQL Server 2016 标准版/2016 企业版/2019 标准版/2019 企业版/2022 标准版/2022 企业版 说明 源数据库版本不得高于目标数据库版本。 内存数据库（InMemory OLTP）冲突：由于 SQL Server 中 InMemory OLTP 特性和 Mirroring（镜像）技术不兼容，如果源库开启了内存数据库，目标端绝对不能选择高可用版（主备架构）的云数据库实例。 特殊云厂商限制（如Azure SQL）：因为部分 SQL Server（例如 Azure SQL）不支持 use 语法，所以无法在一个任务中实现多库同步，必须每个库单独建立同步任务；Azure SQL 数据库的连接策略暂不支持 Redirect，如果是 Redirect 请修改成默认值或者 Proxy 选项。若源库为 Azure SQL Database，一个实例仅支持迁移一个数据库。 CDC 开启的版本红线：若源库待同步的表需要开启 CDC，源库为企业版时必须为 2008 及以上版本；源库为标准版时必须为 2016 SP1 及以上版本。

fromcollapselimit (integer) 如果生成的FROM列表不超过这么多项，规划器将把子查询融合到上层查询。较小的值可以减少规划时间，但是可能 会生成较差的查询计划。默认值是 8。将这个值设置为geqothreshold或更大，可能触发使用 GEQO 规划器，从而产生非最优计划。 joincollapselimit (integer) 如果得出的列表中不超过这么多项，那么规划器将把显式JOIN（除了FULL JOIN）结构重写到 FROM项列表中。较小的值可减少规划时间，但是可能会生成差些的查询计划。默认情况下，这个变量被设置成和fromcollapselimit相同，这样适合大多数使用。把它设置为 1 可避免任何显式JOIN的重排序。因此查询中指定的显式连接顺序就是关系被连接的实际顺序。因为查询规划器并不是总能 选取最优的连接顺序，高级用户可以选择暂时把这个变量设置为 1，然后显式地指定他们想要的连接顺序。将这个值设置为geqothreshold或更大，可能触发使用 GEQO 规划器，从而产生非最优计划。 forceparallelmode (enum) 允许为测试目的使用并行查询，即便是并不期望在性能上得到效益。forceparallelmode的允许值是off （只在期望改进性能时才使用并行模式）、on （只要查询被认为是安全的，就强制使用并行查询）以及 regress（和on相似， 但是有如下文所解释的额外行为改变）。更具体地说，把这个值设置为on 会在任何一个对于并行查询安全的查询计划顶端增加一个 Gather节点，这样查询会在一个并行工作者中运行。即便当一个并行工作者不可用或者不能被使用时，诸如开始一个子事务等在并行查询环境中会被禁止的操作将会被禁止，除非规划器相信这样做会导致查询失败。 当这个选项被设置时如果出现失败或者意料之外的结果， 查询使用的某些函数可能需要被标记为PARALLEL UNSAFE （或者可能是PARALLEL RESTRICTED）。把这个值设置为regress具有设置成on 所有相同的效果，外加一些有助于自动回归测试的额外的效果。一般来说，来自于一个并行工作者的消息会包括一个上下文行指出这一点，但是设置为regress会消除这一行，这样输出就和非并行执行完全一样。同样，被这个设置加到计划上的 Gather节点在EXPLAIN输出终会被隐藏起来，这样产生的输出匹配设置为off时产生的输出。

为确保您的天翼云文档数据库服务DDS实例正常运行，当您的DDS实例出现异常，天翼云的技术支持人员在支持过程中，在必要时候，需要登录您的DDS实例进行相关操作。全程保障信息安全。 在没有经过您授权的情况下，天翼云的技术支持人员只能查看DDS实例资源、资费和性能相关的信息。例如，DDS实例的购买时间、到期时间、CPU、内存、存储空间的容量以及备份空间、公网流量等信息等。 若您需要天翼云的技术支持人员对您的DDS实例进行日常运维或者遇到故障时候排查问题并尽快修复，您可以对他们进行如下授权： 常规配置授权：在获得您的授权后，在日常运维的时候，天翼云的技术支持人员可以查看您的DDS实例常规配置信息，包括白名单、备份策略及数据库参数等信息。通常情况下，天翼云的技术支持人员不会擅自更改您的DDS实例配置信息。 故障排查授权：在获得您的授权后，在遇到故障的时候，天翼云的技术支持人员可以登录您的DDS实例，查看DDS实例相关数据。包括DDS实例的库表结构、索引字段等信息。通常情况下，天翼云的技术支持人员不会擅自更改您的DDS实例的库表结构、索引字段等数据。

安全体检产品采用预付费模式，默认购买周期为一年。 计费模式 安全体检产品采用预付费。 计费周期 支持包月、包年订购，享受包年实付10个月折扣价。 用户可自订单生效之日起享受购买期限内的服务，当购买的服务到期后，服务自动停止。 计费项 服务为按照IP数量定价。 产品价格 单个互联网安全体检规格包含5个互联网IP授权，详细价格参考如下表格（本服务当前仅支持按年购买、不支持按月付费）： 产品规格 产品描述 标准价格（元/月） 年付价格（元/年） 互联网安全体检 提供5个及以内互联网IP安全体检服务，发现IP风险暴露情况、漏洞开放情况，推送安全体检报告。 280 2800 试用版 试用授权IP数量5个，试用次数为1次。 免费 免费 说明 试用仅对未开通过商用资源的用户有权限，若您已经购买过安全体检付费版本，无论商用资源是否还在有效期内，均无试用权限。试用结束后，您仍然可以通过产品控制台预览、下载体检报告。如您希望继续使用本产品，请您及时完成订购。

节点池计费 节点池本身不收费，但节点池使用的节点实例等由对应的云产品计费。 节点池相关术语 术语 描述 伸缩组 节点池当开启自动弹性伸缩时，底层使用伸缩组管理节点，一个伸缩组包含节点规格及弹出的实例集合，用于自动扩展和管理用途。 伸缩配置 伸缩组中的配置被称为伸缩配置。 伸缩活动 节点池的每次扩缩容、添加节点、移除节点都会触发伸缩活动。触发伸缩活动后，所有扩张和收缩动作都交由系统自动完成，并留下相关记录，您可以通过节点池的伸缩活动查看节点池的历史伸缩活动记录。 节点池生命周期 状态 说明 已激活 成功创建节点池。 扩容中 扩容或添加节点池节点中。 缩容中 移除节点池节点中。 已删除（该状态用户不可见） 成功删除节点池。

节点池计费 节点池本身不收费，但节点池使用的节点实例等由对应的云产品计费。 节点池相关术语 术语 描述 伸缩组 节点池当开启自动弹性伸缩时，底层使用伸缩组管理节点，一个伸缩组包含节点规格及弹出的实例集合，用于自动扩展和管理用途。 伸缩配置 伸缩组中的配置被称为伸缩配置。 伸缩活动 节点池的每次扩缩容、添加节点、移除节点都会触发伸缩活动。触发伸缩活动后，所有扩张和收缩动作都交由系统自动完成，并留下相关记录，您可以通过节点池的伸缩活动查看节点池的历史伸缩活动记录。 节点池生命周期 状态 说明 已激活 成功创建节点池。 扩容中 扩容或添加节点池节点中。 缩容中 移除节点池节点中。 已删除（该状态用户不可见） 成功删除节点池。

本文介绍为云主机配置内网域名的最佳实践概述。 背景 内网域名是指仅在VPC内生效的虚拟域名，无需购买和注册，无需备案。云解析服务提供的内网域名功能，可以让您在VPC中拥有权威DNS，且不会将您的DNS记录暴露给互联网，解析性能更高，时延更低，并且可以防护解析劫持。我们可以将VPC内承担内网域名解析功能的DNS称为内网DNS。 内网域名功能支持为VPC内每个云主机创建一个内网域名，实现： 通过内网域名访问VPC内的云主机，无需经过Internet，访问速度更快、安全性更高。 在代码中使用内网域名代替内网IP。当需要进行云主机切换时，只需通过修改内网域名解析记录即可，无需修改代码。 操作场景 本实践为内网DNS典型应用场景，如图所示。 图逻辑组网 方案优势 上图展示了某网站的逻辑组网，在一个VPC内，部署了ECS和RDS。其中： ECS：作为主业务站点和业务入口。 ECS1：作为公共接口。 RDS1：作为数据库，存储业务数据。 ECS2和RDS2：作为备份服务器和数据库。 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 假如在部署该网站时，我们为云主机申请了内网域名，且代码中设置的是云主机的内网域名，则仅需要通过修改内网域名解析记录即可实现云主机的切换，无需中断业务，也不需要重新发布网站。

弹性伸缩服务提供以下相关API接口。 类型 描述 伸缩服务开通验证 验证用户是否已开通弹性伸缩服务 伸缩资源配额查询 查询用户的弹性伸缩组、伸缩配置、伸缩策略配额 查询伸缩组 查询伸缩组列表 创建伸缩组 创建一个弹性伸缩组 删除伸缩组 删除一个弹性伸缩组 修改伸缩组 修改一个弹性伸缩组 停用伸缩组 停用一个弹性伸缩组 启用伸缩组 启用一个弹性伸缩组 修改伸缩组最大云主机数 修改伸缩组最大云主机数 修改伸缩组最小云主机数 修改伸缩组最小云主机数 查询负载均衡器 查询伸缩组的负载均衡列表 添加负载均衡器 添加一个或多个负载均衡 删除负载均衡器 删除一个或多个负载均衡实器 修改伸缩组云主机回收方式 修改弹性伸缩组的云主机回收方式 修改伸缩组健康检查方式 修改弹性伸缩组的健康检查方式 修改伸缩组健康检查间隔 修改一个弹性伸缩组的健康检查间隔 检查伸缩组云防火墙 用于检查该账户下，哪些安全组被伸缩配置所使用 检查伸缩组是否可以修改 检查弹性伸缩组是否可以修改 修改弹性伸缩组的一个伸缩配置 修改弹性伸缩组的伸缩配置 修改弹性伸缩组的伸缩配置列表 修改弹性伸缩组的伸缩配置列表 开启伸缩组保护 开启伸缩组保护，不可删除该伸缩组 关闭伸缩组保护 关闭伸缩组保护，可以删除该伸缩组 移入云主机 将一台或多台云主机移入伸缩组 移出云主机 将一台或多台云主机移出伸缩组 移出云主机并释放 将一台或多台云主机移出伸缩组并释放 设置云主机保护 开始保护或者停止保护伸缩组内的一台或者多台云主机 关闭云主机保护 关闭云主机保护 开启云主机保护 开启云主机保护 设置云主机移出规则 设置云主机移出规则 获取伸缩组主机数量监控数据 获取弹性伸缩云主机数量监控数据 查询伸缩组不健康主机 查询伸缩组内不健康云主机信息 查询伸缩组云主机信息 查询伸缩组内云主机的列表，并列出云主机的信息 查询伸缩组云主机可用区分布 查询伸缩组内的云主机的可用区分布 创建伸缩策略 创建一个弹性伸缩策略 删除伸缩策略 删除一条伸缩策略 修改伸缩策略 修改一条伸缩策略 执行伸缩策略 执行一条伸缩策略 创建告警策略 创建一个告警策略 删除告警策略 删除一个告警策略 修改告警策略 修改弹性伸缩告警策略 启用告警策略 启用一个告警策略 停用告警策略 停用一个告警策略 创建周期策略 在伸缩组中创建一个周期策略 创建定时策略 在伸缩组中创建一个定时策略 删除定时策略 删除一个定时策略 修改定时策略 修改一个定时策略 启用伸缩组中指定策略 启用伸缩组中的指定策略 停用伸缩组中指定策略 停用伸缩组中的指定策略 查询伸缩组策略表 查询弹性伸缩组内的策略列表 查询定时策略信息表 查询定时策略信息列表 查询周期策略信息表 查询周期策略信息列表 查询伸缩组告警策略 查询弹性伸缩的告警策略 修改一个周期策略 修改一个周期策略 启用一个周期策略 启用一个周期策略 删除一个周期策略 删除一个周期策略 停用一个周期策略 停用一个周期策略 查询伸缩配置 查询弹性伸缩配置 创建伸缩配置 创建一个弹性伸缩配置 删除伸缩配置 删除一个弹性伸缩配置 修改伸缩配置 修改一个弹性伸缩配置 查询伸缩活动ID 查询伸缩活动ID列表 查询伸缩活动详细信息 根据一个伸缩活动的ID查询一个伸缩活动的详细信息 查询伸缩活动列表 查询伸缩组的伸缩活动，并列出伸缩活动的全部信息

本文说明如何上传资产。 定义 资产是您发布在云端的应用包体的别称，云渲染支持自助上传XR/3D渲染应用，您只需将ZIP/RAR/7z格式的应用包体上传至云渲染平台即可。 资产说明 在上传资产前，请保证您的应用运行不需要依赖修改注册表等其他系统配置，是 绿色免安装应用 。 云端运行的XR/3D应用程序需要以EXE格式运行 ，XR应用需支持适配Pico、Oculus、HTC Focus等终端。 若您需要支持多点触控、应用双向通信 等功能，在上传应用包体至云渲染平台前，需要在应用做相关的配置，具体参见应用配置交互说明。 若应用安装时有其他特殊要求，请联系客户经理为您后台配置。 打包方式 如果遇到闪退情况：使用某些插件时，容易有闪退的情况出现，如视频播放类插件、摄像头相关插件等。这是Mono自身的运行环境未考虑到云渲染时的挂载磁盘运行方式，导致插件在Mono环境中运行时报错并闪退。 说明 强烈建议使用IL2CPP打包，解决这个问题的同时，性能方面也更加友好。 使用IL2CPP打包： 上传资产 您可通过租户控制台上传您的渲染资产，详细操作流程如后文所示。

本章节介绍如何开启网关调用链配置 概述 云原生网关集成了天翼云链路追踪，提供链路数据采集上报、查询及分析能力。帮助您分析微服务调用拓扑，快速发现系统问题点和瓶颈。您可以根据需要配置观测能力，如下图所示： 监控分析 云原生网关集成了天翼云应用性能监控 ，提供系统、路由两个维度的QPS、成功率、延迟等监控能力。帮助您实时监控系统和路由的关键指标，快速发现系统问题点和瓶颈。 启用流程 1. 开通并进入网关实例的控制台； 2. 左侧导航栏点击基础信息 ； 3. 单击左上角功能设置按钮； 4. 若您还没有开通应用性能监控产品，需先点击功能设置面板上的提示链接前往开通； 5. 已开通应用性能监控产品，可在功能设置面板上，启用监控分析切换到启用，然后单击左下角确认按钮； 6. 页面会自动刷新，也可点击刷新按钮，查看启用情况； 停用流程 1. 左侧导航栏点击基础信息 ； 2. 单击左上角功能设置按钮； 3. 启用监控分析切换到不启用，然后单击左下角确认按钮； 4. 页面会自动刷新，也可点击刷新按钮，查看停用情况； 系统监控结果验证 1. 单击左侧导航栏 观测分析> 监控分析 ； 2. 页面能正常进入并显示数据，则说明开启成功；

计算加速型GPU云主机在深度学习、科学计算、高性能并行运算等场景中,需搭配适配的NVIDIA Tesla驱动、CUDA工具包与cuDNN加速库版本,才能充分发挥GPU算力性能。本文为您介绍上述组件的版本选择方法。 推荐稳定版本组合 下表为天翼云实测验证的各主流操作系统对应的NVIDIA Tesla驱动、CUDA与cuDNN稳定兼容版本，覆盖CTyunOS、主流CentOS、Ubuntu系列，无定制化需求的用户可直接按操作系统匹配使用，无需额外调整。 操作系统 内核版本 推荐CUDA版本 推荐驱动版本 推荐cuDNN版本 CTyunOS 2.0.1 4.19.90系列 12.8.1 570.133.20 9.8.0.87 CTyunOS 22.06 4.19.90系列 12.8.1 570.133.20 9.8.0.87 CTyunOS 23.01 5.10.0系列 12.8.1 570.133.20 9.8.0.87 CentOS 7.X 3.10.0系列 12.4.1 550.90.07 9.2.0.82 CentOS 8.X 4.18.0系列 12.8.1 570.133.20 9.8.0.87 CentOS 9.X 5.14.0系列 12.8.1 570.133.20 9.8.0.87 Ubuntu 18.04 4.15.0系列 12.4.1 550.90.07 9.2.0.82 Ubuntu 20.04 5.4.0系列 12.8.1 570.133.20 9.8.0.87 Ubuntu 22.04 5.15.0系列 12.8.1 570.133.20 9.8.0.87 Ubuntu 24.04 6.8.0系列 12.8.1 570.133.20 9.8.0.87 Kylin V10 4.19.90系列 12.8.1 570.133.20 9.8.0.87

本文主要介绍 示例：某部门权限设计及配置示例：某部门权限设计及配置。 概述 随着容器技术的快速发展，原有的分布式任务调度模式正在被基于Kubernetes的技术架构所取代。云容器引擎（Cloud Container Engine，简称CCE）是高度可扩展的、高性能的企业级Kubernetes集群，支持社区原生应用和工具。借助云容器引擎，您可以在云上轻松部署、管理和扩展容器化应用程序，快速高效的将微服务部署在云端。 为方便企业中的管理人员对集群中的资源权限进行管理，CCE后台提供了多种维度的细粒度权限策略和管理方式。CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，分别从集群和命名空间两个层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限： 是基于IAM系统策略的授权，可以让用户组拥有“集群管理”、“节点管理”、“节点池管理”、“模板市场”、“插件管理”权限。 命名空间权限： 是基于Kubernetes RBAC能力的授权，可以让用户或用户组拥有Kubernetes资源的权限，如“工作负载”、“网络管理”、“存储管理”、“命名空间”等的权限。 基于IAM系统策略的“集群权限”与基于Kubernetes RBAC能力的“命名空间权限”，两者是完全独立的，互不影响，但要配合使用。同时，为用户组设置的权限将作用于用户组下的全部用户。当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）。

本页介绍天翼云TeleDB数据库中强制访问控制。 强制访问是基于自定义的安全策略最终通过标签实现对用户和表的行级安全加密。安全策略(Policy)是等级(Level)和隔离区(Compartment)，组(Group)和标签(Label)的集合，最终通过绑定标签实现行级安全。其实现原理是将表和用户绑定到标签上，再由标签关联等级(必选)，隔离区(可选)和安全组(可选)，形成了一个多级的行级安全加密体系。 安全策略(Policy)：是指创建等级(Level)，隔离区(Compartment)，组(Group)和标签(Label)必须指定所属的安全策略。 等级(Level)：提供第二等级的安全控制，标签必须指定等级。 隔离区(Compartment)：提供第二等级的安全控制，可选。 组(Group)：提供第三等级的安全控制，一种树状的结构，可选。 标签(Label)：最终通过标签绑定体现行级安全。仅当用户被赋予的标签比此行标签有相同或更高等时，该行才可以被用户存取。 注意 分号(:)和逗号(,)保留用于多级安全体系的表达，安全策略中组件的名字不要使用。 在Teledb中，创建安全策略需要通过teledbxmls插件，需要创建插件 SQL CREATE EXTENSION teledbxmls; 安全策略 通过MLSCLSCREATEPOLICY()函数创建安全策略 SQL SELECT MLSCLSCREATEPOLICY(policyname, policyid) 参数描述： policyname(策略名称): 要创建的策略的名称，大小写敏感，不可以空。 policyid(策略ID): 用于标识策略的唯一ID，取值范围[1, 100]。 安全等级(Level) 通过函数MLSCLSCREATELEVEL()函数创建安全等级。 SQL SELECT MLSCLSCREATELEVEL(policyname, levelid, shortname, longname) 参数描述： policyname（策略名称）: 指定要添加安全级别的策略名称，不可以为空。 levelid（级别ID）: 用于标识安全级别的唯一ID，取值范围[0, 32767]。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 longname（完整名称）: 安全级别的描述。 通过MLSCLSALTERLEVELDESCRIPTION()函数修改等级的标签描述。 SQL SELECT MLSCLSALTERLEVELDESCRIPTION(policyname, levelid, longname) 安全隔离区(Compartment) 通过MLSCLSCREATECOMPARTMENT()函数创建安全隔离区(Compartment)。 SQL SELECT MLSCLSCREATECOMPARTMENT(policyname, compartmentid, shortname, longname) 参数 描述 ： policyname（策略名称）: 指定要添加安全隔离区的策略名称。 compartmentid（隔离区ID）: 用于标识安全隔离区的唯一ID，取值范围[0, 32767]。 shortname（简称）: 安全隔离区的简称。 longname（完整名称）: 安全隔离区的完整名称。 安全组(Group) 通过MLSCLSCREATEGROUPROOT()函数创建新的安全组根节点（Group Root） SQL SELECT MLSCLSCREATEGROUPROOT(policyname, rootid, shortname, longname) 参数描述： policyname（策略名称）: 指定要创建安全组根节点的策略名称。 rootid（根节点ID）: 用于标识安全组根节点的唯一ID。 shortname（简称）: 安全组根节点的简称。 longname（完整名称）: 安全组根节点的完整名称。 通过MLSCLSCREATEGROUPNODE()函数在数据库中创建新的安全组子节点（Group Node）并将其设置为指定父节点的子节点。 SQL SELECT MLSCLSCREATEGROUPNODE(policyname, childid, shortname, longname, parentshortz) 参数描述： policyname（策略名称）: 指定要创建安全组子节点的策略名称。 childid（子节点ID）: 用于标识安全组子节点的唯一ID。 shortname（简称）: 安全组子节点的简称。 longname（完整名称）: 安全组子节点的完整名称。 parentshortname（父节点简称）: 安全组子节点所属的父节点的简称。 标签(LABEL) 通过MLSCLSCREATELABEL()函数创建或替换MLS 策略的标签（label），并将其存储到数据库中。 SQL SELECT MLSCLSCREATELABEL(policyname, labelid, labelstr) 参数描述： policyname（策略名称）: 指定要添加标签的策略名称。 labelid（标签ID）: 用于标识标签的唯一ID，取值范围[0, 32767]。 labelstr（标签名）: 标签，不可为空，长度不超过256。由 ，其compartmentids和groupids由1到N个ID构成，ID间用,分割。有效的表达形式如下： levelid:compartmentid1,compartmentid2,...compartmentidN:groupid1,groupid2,...groupidN levelid:compartmentid:groupid levelid:compartmentid: levelid::groupid levelid:: 表标签绑定 通过MLSCLSCREATETABLELABEL()函数将指定标签绑定到指定的表(Table)，并将相关数据存储到pgclstable系统表。 SQL SELECT MLSCLSCREATETABLELABEL(policyname labelid, schemaname, tablename) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 labelid（标签ID）: 要应用于表的标签ID，取值范围[0, 32767]。 schemaname（模式名称）: 表所在的模式名。 tablename（表格名称）: 要应用标签的表名。 通过MLSCLSDROPTABLELABEL()函数删除绑定到表上的标签并更新pgclstable系统表数据。 SQL MLSCLSDROPTABLELABEL(policyname, schemaname, tablename) 用户标签绑定/删除 通过MLSCLSCREATEUSERLABEL()函数为指定的用户创建一个带有默认标签的用户账户，并将其存储到 pgclsuser 表中。 SQL SELECT MLSCLSCREATEUSERLABEL(policyname, username name, defreadlabel, defwritelabel, defrowlabel) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 username（用户名）: 要创建标签的用户账户名称。 defreadlabel（默认读标签）: 为用户定义的默认读标签ID。 defwritelabel（默认写标签）: 为用户定义的默认写标签ID。 defrowlabel（默认行标签）: 为用户定义的默认行标签ID。 通过MLSCLSDROPUSERLABEL()函数为指定用户删除标签，并将pgclsuser 表中指定用户的标签删除，且断开指定用户当前所有的数据库连接。 SQL SELECT MLSCLSDROPUSERLABEL(username) 参数描述： username（用户名）: 要删除指定用户标签的用户账户名称。 示例： 初始化环境 SQL c mlsadmin 创建安全策略 select MLSCLSCREATEPOLICY('rlspolicy', 66); 创建安全等级 select MLSCLSCREATELEVEL('rlspolicy', 10, 'defaultlevel', 'default Level'); select MLSCLSCREATELEVEL('rlspolicy', 10, 'userlevel', 'user Level'); select MLSCLSCREATELEVEL('rlspolicy', 9, 'badlevel', 'bad Level'); select MLSCLSCREATELEVEL('rlspolicy', 100, 'goodlevel', 'good Level'); 创建隔离区 select MLSCLSCREATECOMPARTMENT('rlspolicy', 30, 'rlscom0', 'RLS compartment 0'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 31, 'rlscom1', 'RLS compartment 1'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 32, 'rlscom2', 'RLS compartment 2'); 创建安全组 select MLSCLSCREATEGROUPROOT('rlspolicy', 50, 'root', 'group root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 51, 'child1', 'child of root node 1', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 52, 'child2', 'child of root node 2', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 511, 'child11', 'child of child1 node 1', 'child1'); select MLSCLSCREATEGROUPNODE('rlspolicy', 512, 'child12', 'child of child1 node 2', 'child1'); 创建安全标签，此时和安全等级，隔离区以及安全组进行绑定 select MLSCLSCREATELABEL('rlspolicy', 1024, 'defaultlevel:rlscom0:child12'); 将标签绑定到表 alter table public.tbl1 add column cls clsitem default '99:1024'; select MLSCLSCREATETABLELABEL('rlspolicy', 1024, 'public', 'tbl1'); 安全等级 SQL select MLSCLSCREATELABEL('rlspolicy', 1025, 'userlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1026, 'badlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1027, 'goodlevel::'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 1024, 1024, 1024); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 1025, 1025, 1025); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 1026, 1026, 1026); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 1027, 1027, 1027); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户不在隔离区，无法看到godlike1用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 (3 rows） SQL c badgodlike1 低优先级的用户无法看到高优先级的用户插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) SQL insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 低优先级用户可以看到自己创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:1026 8 8 66:1026 9 9 66:1026 (3 rows) SQL c goodgodlike1 高优先级用户可以看到低优先级用户创建的数据 同时无法看到隔离区的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (6 rows) SQL insert into public.tbl1 select generateseries(10,12), generateseries(10,12); select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 10 10 66:1027 11 11 66:1027 12 12 66:1027 (9 rows) SQL c godlike1 高优先级用户可以看到比自己低优先级用户创建的数据 无法看到比自己优先级高的用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (9 rows) SQL c commonuser0 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) 安全隔离区 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定隔隔离区 select MLSCLSCREATELABEL('rlspolicy', 2048, 'defaultlevel:rlscom0:'); select MLSCLSCREATELABEL('rlspolicy', 2049, 'defaultlevel:rlscom0,rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2050, 'defaultlevel:rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2051, 'defaultlevel:rlscom0,rlscom2:'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 2048, 2048, 2048); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 2049, 2049, 2049); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 2050, 2050, 2050); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 2051, 2051, 2051); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户所在隔离区含godlike1用户隔离区，可以看到godlike1的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 (6 rows) SQL c badgodlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 当前用户所在隔离区无法包含前面用户的隔离区，无法看到他们插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:2050 8 8 66:2050 9 9 66:2050 (3 rows) SQL c goodgodlike1 insert into public.tbl1 select generateseries(10,12), generateseries(10,12); 相同等级，godlike1的隔离区是当前的子集，当前用户可以看到godlike1插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 10 10 66:2051 11 11 66:2051 12 12 66:2051 (6 rows) SQL c godlike2 当前用户含rlscom0,rlscom1,rlscom2三个隔离区可以看到之前插入的所有数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 7 7 66:2050 8 8 66:2050 9 9 66:2050 10 10 66:2051 11 11 66:2051 12 12 66:2051 (12 rows) 安全组 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定用户组 select MLSCLSCREATELABEL('rlspolicy', 4096, 'defaultlevel:rlscom0:root'); select MLSCLSCREATELABEL('rlspolicy', 4097, 'defaultlevel:rlscom0:child1'); select MLSCLSCREATELABEL('rlspolicy', 4098, 'defaultlevel:rlscom0:child11,child12'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 4096, 4096, 4096); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 4097, 4097, 4097); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 4098, 4098, 4098); SQL c badgodlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 安全组根节点可以看到子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 (6 rows) SQL c godlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 安全组根节点可以看到所有子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 7 7 66:4096 8 8 66:4096 9 9 66:4096 (9 rows) SQL c badgodlike1 子节点 无法看到根节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows)

方式二：通过OpenAPI创建告警规则 您可以通过OpenAPI使用云监控服务的告警功能： 告警规则：涉及告警规则的查询、创建、删除、修改等操作 告警模板：涉及告警模板的查询、创建、删除、修改、批量操作等功能 更多云监控OpenAPI参见API概览云监控服务。

接口功能介绍 查询桌面已绑定安全组v3 接口约束 无 URI GET /v3/securityGroup/desktop/bindSecurityGroupInfo 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx desktopOid 是 String 虚机ID 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 securityGroupInfoList Array of Objects 桌面已绑定安全组信息 securityGroupInfoList 表 securityGroupInfoList 参数 参数类型 说明 示例 下级对象 desktopOid String 桌面id securityGroupOid String 安全组id foreignGroupId String 安全组UUID securityGroupName String 安全组名称 portOid String 网卡id portName String 网卡名称 portNickName String 网卡别名 addDate Long 加入时间，unix时间戳（毫秒）

本文为您介绍如何通过注解实现ECI自动分配EIP、分配带宽大小。 操作步骤 1. 打开云容器引擎集群控制台，点击集群名称。 2. 选择工作负载菜单，点击无状态，进入无状态列表页。 3. 点击“新增YAML”按钮。 4. 为Pod 添加注解，以Deployment 为例： shell k8s.ctyun.cn/eciwitheip: "true" 可选，设置则自动分配 EIP k8s.ctyun.cn/eipbandwidth: "5" 可选，单位 Mbps，默认 5Mbps Deployment 完整模板 shell apiVersion: "apps/v1" kind: "Deployment" metadata: annotations: generation: 1 labels: app: "nginx" name: "testeip" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: app: "nginx" strategy: rollingUpdate: maxSurge: "25%" maxUnavailable: "25%" type: "RollingUpdate" template: metadata: annotations: k8s.ctyun.cn/eciwitheip: "true" k8s.ctyun.cn/eipbandwidth: "5" labels: app: "nginx" spec: containers: image: "registryxinan1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "nginx" ports: containerPort: 80 protocol: "TCP" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" dnsPolicy: "ClusterFirst" nodeName: "vndbsb398x4k2oz06kncnxinan1xn1apublicctcloud" restartPolicy: "Always" schedulerName: "defaultscheduler" terminationGracePeriodSeconds: 30 注意 通过yaml 创建，此处需要指定节点为 vnode： shell nodeName: "vndbsb398x4k2oz06kncnxinan1xn1apublicctcloud" 5. 创建完成可通过ECI 控制台查看生效。 注意 验证EIP 功能，如果不通，优先查看安全组设置。

本节介绍了启用成本分析的用户指南。 通过成本分析功能，您可以从资源池、集群、节点池、节点及工作负载等多个维度直观掌握资源的成本分布与估算情况。该功能还支持将公共资源成本分摊至具体应用，助力企业实现精准的成本管控。 前提条件 您已经创建了一个天翼云的账号，并且有一个云容器引擎集群。 开通成本分析 方法一 1. 登录云容器引擎控制台。 2. 在左侧导航栏选择成本分析 接入管理。 3. 在目标集群的操作栏中点击接入。 方法二 1. 登录云容器引擎控制台。 2. 进入集群列表页面。 3. 选择目标集群，进入集群详情页。 4. 在左侧导航栏选择成本分析，按指引安装插件。 查看成本分析报表 成功开通成本分析功能约3~5分钟后，即可查看成本分析报表。当前支持从资源池、集群、节点池及应用维度查看资源成本。 查询资源池维度成本 1. 登录云容器引擎控制台。 2. 在左侧导航栏选择成本分析 成本洞察。 3. 重点数据和计算方法如下： 数据名称 数据说明 计算方法 至今成本本月 当前资源池中所有已接入成本分析的集群在本月截止当前时刻的IaaS资源成本。 当前资源池中，所有已接入成本分析集群的(集群管理费用+含云硬盘的节点费用+ApiServer ELB费用)。 环比上月同期数据 当前资源池中所有已接入成本分析的集群在上月截止同一天同一时刻的IaaS资源成本，跟本月截止当前时刻的总物理IaaS资源成本的比值。 上月至今成本 / 本月至今成本 100%。 已用成本 当前资源池中所有已接入成本分析的集群中所有pod在本月截止当前时刻的总估算成本。 当前资源池中，所有已接入成本分析的集群中所有pod估算成本总和。 闲置成本 至今成本减去已用成本。 至今成本 已用成本。 月末成本预测本月 当前资源池中所有已接入成本分析的集群截止月末的IaaS资源预测成本。 基于当前成本趋势，预测到达月末总成本。 成本分布 当前资源池中所有已接入成本分析的集群在本月截止当前时刻的IaaS资源成本分布。 各集群的集群管理费总和、各集群的含云硬盘的节点费用总和、各集群的ApiServer ELB费用总和。 成本趋势分析 当前资源池中所有已接入成本分析的集群在本月截止当前时刻的IaaS资源每小时的成本趋势。 当前资源池下，所有已接入成本分析的集群管理费 + 含云硬盘的节点费用 + ApiServer ELB费用每小时总和。 集群成本&资源消耗汇总 当前资源池下各接入成本分析的集群的至今成本、CPU利用率、内存利用率。 至今成本：单个集群在本月截止当前时刻的集群管理费用+含云硬盘的节点费用+ApiServer ELB费用总和。 CPU利用率：单个集群中，所有 pod CPU 总使用量 / pod CPU总申请量。 内存利用率：单个集群中，所有 pod 内存总使用量 / pod 内存总申请量。

本节介绍了启用成本分析的用户指南。 通过成本分析功能，您可以从资源池、集群、节点池、节点及工作负载等多个维度直观掌握资源的成本分布与估算情况。该功能还支持将公共资源成本分摊至具体应用，助力企业实现精准的成本管控。 前提条件 您已经创建了一个天翼云的账号，并且有一个云容器引擎集群。 开通成本分析 方法一 1. 登录云容器引擎控制台。 2. 在左侧导航栏选择成本分析 接入管理。 3. 在目标集群的操作栏中点击接入。 方法二 1. 登录云容器引擎控制台。 2. 进入集群列表页面。 3. 选择目标集群，进入集群详情页。 4. 在左侧导航栏选择成本分析，按指引安装插件。 查看成本分析报表 成功开通成本分析功能约3~5分钟后，即可查看成本分析报表。当前支持从资源池、集群、节点池及应用维度查看资源成本。 查询资源池维度成本 1. 登录云容器引擎控制台。 2. 在左侧导航栏选择成本分析 成本洞察。 3. 重点数据和计算方法如下： 数据名称 数据说明 计算方法 至今成本本月 当前资源池中所有已接入成本分析的集群在本月截止当前时刻的IaaS资源成本。 当前资源池中，所有已接入成本分析集群的(集群管理费用+含云硬盘的节点费用+ApiServer ELB费用)。 环比上月同期数据 当前资源池中所有已接入成本分析的集群在上月截止同一天同一时刻的IaaS资源成本，跟本月截止当前时刻的总物理IaaS资源成本的比值。 上月至今成本 / 本月至今成本 100%。 已用成本 当前资源池中所有已接入成本分析的集群中所有pod在本月截止当前时刻的总估算成本。 当前资源池中，所有已接入成本分析的集群中所有pod估算成本总和。 闲置成本 至今成本减去已用成本。 至今成本 已用成本。 月末成本预测本月 当前资源池中所有已接入成本分析的集群截止月末的IaaS资源预测成本。 基于当前成本趋势，预测到达月末总成本。 成本分布 当前资源池中所有已接入成本分析的集群在本月截止当前时刻的IaaS资源成本分布。 各集群的集群管理费总和、各集群的含云硬盘的节点费用总和、各集群的ApiServer ELB费用总和。 成本趋势分析 当前资源池中所有已接入成本分析的集群在本月截止当前时刻的IaaS资源每小时的成本趋势。 当前资源池下，所有已接入成本分析的集群管理费 + 含云硬盘的节点费用 + ApiServer ELB费用每小时总和。 集群成本&资源消耗汇总 当前资源池下各接入成本分析的集群的至今成本、CPU利用率、内存利用率。 至今成本：单个集群在本月截止当前时刻的集群管理费用+含云硬盘的节点费用+ApiServer ELB费用总和。 CPU利用率：单个集群中，所有 pod CPU 总使用量 / pod CPU总申请量。 内存利用率：单个集群中，所有 pod 内存总使用量 / pod 内存总申请量。

本文介绍如何更新仓库镜像。 镜像列表会定期自动更新，也可以通过手动更新列表，来更新节点和仓库中存在的镜像资产。 前提条件 已添加镜像仓库，详细操作请参见配置镜像仓库。 更新仓库镜像列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全”，进入镜像安全页面。 3. 选择“仓库镜像”页签，单击仓库镜像列表右上角的“更新镜像”，可拉取仓库中的所有仓库镜像。 4. 选择更新范围：支持更新全部仓库镜像、单个仓库内的镜像、单个仓库项目内的镜像三种更新方式。 5. 单击“确定”，完成更新操作。 更新节点镜像列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全”，进入镜像安全页面。 3. 选择“节点镜像”页签，单击节点镜像列表右上角的“更新镜像”，可拉取集群中的所有节点镜像。 4. 选择更新范围：支持更新全部节点镜像、更新集群内的镜像两种更新方式。 5. 单击“确定”，完成更新操作。