本节介绍了如何设置云数据库TaurusDB实例的自动备份策略。 操作场景 创建TaurusDB数据库实例时，系统默认开启自动备份策略，暂不支持关闭。实例创建成功后，您可根据业务需要设置自动备份策略。TaurusDB按照用户设置的自动备份策略对数据库进行备份。 TaurusDB的备份操作是实例级的，而不是数据库级的。当数据库故障或数据损坏时，可以通过备份恢复数据库，从而保证数据可靠性。由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段启动自动备份。 开启自动备份策略后，会自动触发一次全量备份。之后仍然会按照策略中的备份时间段和备份周期进行全量备份。实例在执行备份时，会将数据从实例上拷贝并上传到OBS备份空间，按照策略中的保留天数进行存放，备份时长和实例的数据量有关。 在进行全量备份的同时系统每5分钟会自动生成增量备份，用户不需要设置。生成的增量备份可以用来将库表数据恢复到指定时间点。 查看或修改自动备份策略 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航栏，单击“备份恢复”，单击“修改备份策略”。您可以查看到已设置的备份策略，如需修改备份策略，请调整以下参数的值。 保留天数：保留天数是指自动备份可保留的时间，默认为7天，可选择范围为1～732天。对于系统中最近一个全量备份文件，如果在新的全量备份未超过保留天数前系统会一直保留，直至新的全量备份超过保留天数后才会删除。 增加保留天数，可提升数据可靠性，请根据需要设置。 减少保留天数，会针对已有的备份文件生效，即超出备份保留天数的已有备份文件（包括全量备份和增量备份）会被自动删除，但手动备份不会自动删除，请您谨慎选择。 备份时间段：默认为24小时中，间隔一小时的随机的一个时间段 ，例如01:00～02:00，12:00～13:00等。 说明 建议根据业务情况，选择业务低峰时段。备份时间段以UTC时区保存。如果碰到夏令时/冬令时切换，备份时间段会因时区变化而改变。备份时间段内如果有其他任务长时间运行，可能会导致自动全备重试多次依然发起不了，最终跳过本次全备任务。 备份周期：默认全选，可修改，且至少选择一周中的1天。 若实例的备份策略被开启，则会立即触发一个全量的自动备份。 步骤 6 单击“确定”，确认修改。

本节介绍了如何配置频率控制防护策略。 使用场景 频率控制通过配置IP,URL,ARGS,HEADER,COOKIE,UA等粒度，进行访问次数限制。针对访问频次较高的请求进行处置，防止客户资源被过度消耗。 例如，您可以限制源IP的访问频率，以防御HTTP Flood攻击（即CC攻击）。频率控制功能具备高度灵活性，提供细粒度的匹配粒度，同时支持自由组合。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要配置的域名，在操作栏点击【防护配置】按钮，进入【访问控制】页面。 新增规则 在频率控制列表右侧，单击【新增】按钮，在弹框中完成规则配置后，点击新增。 针对满足匹配条件的请求报文，按照所选粒度去统计请求次数，当统计次数达到处理条件，则对该粒度的所有请求执行相应处理动作。 例如：选择IP统计粒度，在满足匹配条件的请求内，以客户端IP为粒度统计请求次数，当某个IP的请求次数超过处理条件，则对该IP的后续所有请求执行相应处理动作。 配置项 说明 处理动作 支持跳转、丢弃、告警、拦截。 告警：达到阈值后只记录攻击日志。 跳转：达到阈值后进行Cookie挑战验证。 拦截：达到阈值后拦截请求。 丢弃：达到阈值后拦截请求但不会响应页面，减少带宽。 规则名称 自定义规则名称。 匹配条件 支持配置多条，同一规则下多条匹配条件同时满足进行处理。 匹配字段： PATH：目录路径，比如：/qr/;/app/verifyCode/ IP：客户端IP，比如：192.168.1.1;192.168.1.2 IPS：客户端ip段,比如：192.168.1.0/24;192.168.2.0/24 IPR：客户端ip范围，比如：192.168.1.1192.168.1.10;192.168.1.12192.168.1.20 URI：URI不包括问号后参数，比如：/login.php REQUESTURI：URI包括问号后参数，比如：login.php?id1 METHOD：请求方式，比如：GET;POST ARGS：问号后参数名 GEO：地理位置 HEADER：请求头部 统计粒度 根据选择的统计粒度进行统计，多选则按照多个粒度统计。 统计粒度允许缺失 开启时，若统计粒度缺失则按照单粒度统计。 处理条件 按照所配置的统计粒度进行数量统计，当达到处理条件则执行处理动作。 处理动作持续时间 单位：秒。 调整优先级 在规则列表中的优先级一列，可通过箭头符号对规则优先级顺序进行调整。 说明 越往前的优先级越高，优先匹配规则处理。最新增加的规则放在最末，优先级最低。 查看规则 在规则列表操作栏，点击【查看】按钮，可查看规则的详细配置。 编辑规则 在规则列表操作栏，点击【编辑】按钮，可修改规则配置。 删除规则 在规则列表操作栏，点击【删除】按钮，可删除规则。 注意 新增规则、调整规则优先级、编辑规则、删除规则后需要点击【提交部署】，否则变更将无法下发。

本页面介绍云数据库ClickHouse如何通过控制台查看慢查询语句。 我们提供了强大的慢查询监控功能，让您能够深入了解和优化长时间运行的查询。通过这个功能，您可以查看在指定时间段内执行时间超过特定阈值（以毫秒为单位）的慢查询： 慢查询监控功能提供了以下关于慢查询的详细信息： 返回信息 描述 用户 执行慢查询的用户。这可以帮助您识别哪些用户的查询较慢，并可能需要进行性能调优或优化。 访问源地址 执行慢查询的客户端的IP地址或主机名。这个信息可以帮助您追踪慢查询的来源，并定位潜在的网络或连接问题。 起始时间 慢查询的开始时间。这个时间戳可以让您了解慢查询发生的具体时间，以便进行更精确的分析和对比。 持续时间 慢查询的执行时间，以毫秒为单位。这个指标反映了查询的耗时，让您可以找出执行时间较长的查询，并进行性能优化。 查询ID 每个查询都有一个唯一的查询ID。这个ID可以用于标识和跟踪慢查询，便于日志记录和调试。 内存使用量 慢查询执行期间使用的内存量。了解查询的内存消耗情况可以帮助您优化内存配置和调整查询的资源需求。 异常码 如果慢查询期间发生了异常或错误，会显示相应的异常码。这可以帮助您排查和解决慢查询过程中出现的问题。 SQL语句 慢查询的具体SQL语句。您可以查看查询的详细语句，从而深入分析查询逻辑和优化查询性能。 读取行数 查询期间读取的行数。这个指标可以帮助您了解查询的数据访问情况，并针对性地进行数据读取的优化。 读取数据大小 查询期间读取的数据量。这个指标可以帮助您评估查询的数据规模，并根据需要进行存储和网络资源的优化。 结果集行数 查询返回的结果集中的行数。这个指标可以帮助您了解查询结果的规模，并进行结果集处理的优化。 通过这些返回的信息，您可以全面了解慢查询的性能指标和查询细节，从而更好地分析、调优和优化您的系统。 通过监控慢查询，您可以及时发现执行时间较长的查询，识别可能存在的性能问题，并采取相应的优化措施。这可以提高系统的响应速度、减少查询的执行时间，并提升用户体验。 慢查询监控功能是优化云数据库ClickHouse性能的有力工具，它使您能够更好地了解系统中的查询行为，从而针对性地进行性能调优和优化。通过监控慢查询，您可以提升系统的整体性能，并确保高效处理大量查询请求。

云点播主要功能介绍。 音视频上传 支持控制台、API、SDK等多种方式直接上传，同时支持多端上传、并发上传、断点续传，满足不同场景的上传需求。 类型 支持格式 视频 wmv,mpg,mts,webm,m4v,mp4,flv,rmvb,avi,mov,mpeg,mkv,3gp,ts等格式文件。 音频 wma,mp3,aac,m4a,flac,ogg,wav等。 更多支持类型以控制台页面提示为准。 音视频存储 多设备冗余存储，支持资源隔离，保证用户可随时访问音视频数据。 媒资管理 支持通过控制台或SDK管理媒资，包括： 列表式视频管理：名称、媒资ID、点播实例、媒资状态等。 查看视频参数，并在线预览视频（H.264）。 媒资信息编辑：名称、标签、描述、封面设置等。 视频转码、水印、封面设置。 查看原始视频和转码视频的地址。 媒体处理 支持对视频文件进行处理，以适应不同场景、不同网络、不同设备的播放业务。 音视频转码，覆盖主流常用格式，支持多分辨率、多码率，灵活可配置转码模板，支持自定义水印。 支持H.264/H.265（HEVC）等常见编码类型的相互转码。 视频封面截图。 支持自动截取视频首帧作为封面图。 资源屏蔽 支持对音视频进行屏蔽，及时下线违规内容，规避不良影响。

本节介绍了云数据库TaurusDB实例的只读节点。 产品简介 TaurusDB实例支持只读节点。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读节点，利用只读节点满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读节点的连接地址，才能实现将写请求发往主节点，而将读请求发往只读节点。 功能特点 规格与实例一致。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。 功能限制 单个“包年/包月”和“按需计费”实例最多可以创建15个只读节点。 实例恢复：不支持通过任意时间点创建临时节点，不支持通过备份集覆盖节点。 数据迁移：不支持将数据迁移至只读节点。 数据库管理：不支持创建和删除数据库。 帐号管理：只读节点不提供创建帐号权限，如需增加只读实例帐号，请在主实例上操作。

迁移日志中提示 [ERROR]xxx Permission denied是什么原因？ 通常是由于当前用户缺少执行该文件或文件夹的权限而导致的： 文件或文件夹的权限不够。 当前用户不是文件或文件夹的所有者。 文件或文件夹不存在。 如何重启Agent？ 迁移源显示离线，表明CMSAgent未有效在迁移源运行。 您需先修复迁移源状态为在线后，再新建迁移任务，修复方法如下： Linux系统中： 1. 查看服务进程：ps ef grep moveCloud 或 movecloud status。 2. 重启进程服务：movecloud restart。 Windows系统中： 1. 查看服务进程：任务管理器中查看movecloudManage进程。 2. 重启进程服务：moveCloud。 迁移日志中提示 [ERROR]No space left on device该如何解决? 问题描述 用户正常启动CMS进行迁移后，日志提示： ERROR：No space left on device 问题分析 迁移源端本身存储不合理存在空间不足情况造成报错； 迁移过程中会存在一定空间占用，windows建议预留总据量10%空间； linux注意源机使用率即可，无需特意预留。 解决方案 1. 登录迁移源端云主机，在迁移源端检查存储空间使用情况。 2. 如果可用存储空间剩余不多，可删除部分无用的文件或者扩容迁移源端存储空间。

问题描述 Nouveau驱动是Linux系统中用于支持NVIDIA显卡的开源驱动程序。然而，当Nouveau驱动未被禁用时，可能会导致一系列问题，特别是在使用NVIDIA的专有驱动程序时。以下是一些常见的问题： 图形性能下降：Nouveau驱动通常不如NVIDIA的专有驱动性能优越。 驱动冲突：Nouveau和NVIDIA专有驱动之间可能会发生冲突，导致驱动安装失败或者系统无法正常识别显卡。 解决方法 1.执行命令： 输入以下命令来检查Nouveau驱动的状态： lsmod grep nouveau 2.检查输出： 无输出：如果命令没有返回任何内容，或者输出中不包含“nouveau”关键字，这说明Nouveau驱动已经被禁用，请排查是否有其他问题。 有输出：如果输出中包含“nouveau”关键字，表示Nouveau驱动仍然安装并启用，请继续执行步骤3。 3.文件中写入下面两行内容 echo 'blacklist nouveau' > /etc/modprobe.d/blacklistnouveau.conf echo 'options nouveau modeset0' >> /etc/modprobe.d/blacklistnouveau.conf 4.Nouveau模块卸载 RedHat系（CentOS）系统执行 dracut force rmmod nouveau Debian类（Ubuntu）系统执行 updateinitramfs u rmmod nouveau 5.卸载后确认，以下命令没有打印内容则为禁用成功 lsmod grep nouveau 6.执行以下命令重启云主机（可选） reboot

本文介绍云SSO支持的SCIM 2.0接口 使用说明 SCIM 2.0接口的实现遵循RFC 7644，具体请求说明请参见RFC文档，具体的结构实现请参见SCIM Schemas。 接入点 SCIM服务对应的接入点（Endpoint）： 认证方式 使用OAuth Bearer Token方式进行认证。在请求头中添加： plaintext Authorization: Bearer SCIM 2.0接口总览 SCIM 2.0接口如下表所示。调用SCIM接口时，请将 替换为您的SCIM凭证。 分类 SCIM 2.0接口 支持情况 功能描述 Discovery Endpoint /ServiceProviderConfig 支持 获取服务端支持的功能。 /ResourceTypes 支持 获取服务端支持的资源类型，返回User和Group。 /Schemas 支持 获取服务端支持的Schema，返回User和Group的详细Schema。 /Users POST /Users 支持 同步用户。 GET /Users/{id} 支持 查询指定ID的用户。 [GET /Users](

计费模式 包年/包月 按需计费 付费方式 预付费按照订单的购买周期结算。 后付费按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 按小时结算。 实例升级 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容 更改计费模式 支持变更为按需资源。 支持变更为包周期资源。 注意：目前仅部分资源池支持，支持资源池清单见 。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于消息资源需求波动的场景，可以随时开通，随时删除。

概述 服务网格CSM支持包括HTTP、HTTPS、gRPC、TCP等流量的代理，默认会自动检测协议类型。对于无法识别的协议，将被当做TCP或者UDP流量处理。本文介绍网格中的服务端口定义规范。 端口协议定义 方式1：通过端口名定义 服务的端口必须有名字，命名满足[协议][后缀]格式，协议字段可以是http、http2、grpc、mongo、redis等，主要用于服务网格的路由特性，例如name: http2foo或者不加后缀name: http都是合法的格式，但是name: http2foo是非法的。如果端口名称不按照上述格式定义，该端口上的流量将被当做TCP流量或者UDP（显示指定UDP端口的情况）。 方式2：通过服务端口的appProtocol字段定义 当前云容器引擎集群Service端口支持使用appProtocol字段显式指定协议。 服务共享工作负载的情况 多个Service选中相同工作负载的情况下，Service中同一个端口的协议必须一致。

本文介绍使用天翼云产品前的账号准备工作。 注册天翼云账号 在创建和使用弹性文件服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接使用海量文件服务。 1. 打开天翼云门户网站，点击“注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 进行实名认证，请参考会员服务实名认证。 为账户充值 使用海量文件服务之前，请保证你的账户有充足的余额。 关于如何为账户充值，请参考费用中心账户充值。 海量文件服务计费标准，请参考产品价格。

本文介绍如何开启应用市场内的应用。 应用市场提供丰富的云应用和工具，无需本地复杂安装，通过一键部署的模式，即可快速高效的搭建数字化服务。 操作步骤 1.进入【应用市场】，可通过查询条件筛选列表中的应用。 2.选择应用点击对应的【开启应用】按钮，进入应用详情页。以Dify1.9.1为例： 3.设置管理员密码（请记住本次设置的密码），选择访问策略，是否允许公网访问，并勾选相关协议，点击【开启应用】按钮。 4.应用购买成功后，可在【应用】【应用实例】中，查看已购买的应用实例。 5.待应用处于运行中状态时，可点击【访问】操作，点击访问地址进行应用使用。

公共传输通道是否计费？ 公共传输通道在天翼云官网为免费产品。如需开通公共传输通道服务，请联系客户经理咨询具体价格及计费方式，客户经理会与您沟通商务内容。签署合同后，客户经理将协助您开通公共传输通道业务，并跟进后续公共传输通道业务的变更和退订等相关业务。 公共传输通道的计费规则是什么？ 公共传输通道收费项分为网络使用费和路由条目增强服务费；其中网络使用费分为三类：一是天翼云资源池站点网络使用费，二是客户站点网络使用费，三是第三方云站点使用费。 路由条目如何收费？ 如果客户VPN站点的路由条目数超过该站点的默认标准，对超出部分按月以每条20元的标准收取路由条目增强服务费。 站点实例如何停止收费？ 站点实例默认自动续订，若有意终止公共传输通道服务的使用，请您务必执行退订操作。

本节为您介绍解除OSPF路由主备的操作场景、前提条件、操作步骤。 操作场景 用户解除OSPF路由主备关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建，且完成OSPF路由主备的设置。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“OSPF路由备份”，单击目标主备关系“操作”列的“解除”。 5. 单击“确定”，解除目标主备关系。 说明 支持批量删除OSPF路由主备关系，勾选待删除的主备关系条目，单击列表上方的“解除”。在“解除主备关系”弹框中，单击“确定”，即可删除选中的所有主备关系条目。

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一,164 regionID 是 String 区域ID loadBalanceID 是 String 负载均衡实例ID name 是 String 唯一。支持拉丁字母、中文、数字，下划线，连字符，中文 / 英文字母开头，不能以 http: / https: 开头，长度 2 32 acl11 description 否 String 支持拉丁字母、中文、数字, 特殊字符：~~!@$%^&()+ <>?:{},./;'[]·~~！@￥%……&（） —— +{}《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 protocol 是 String 监听协议。取值范围：TCP、UDP、HTTP、HTTPS protocolPort 是 Integer 负载均衡实例监听端口。取值：165535 8080 certificateID 否 String 证书ID。当protocol为HTTPS时,此参数必选 caEnabled 否 Boolean 是否开启双向认证。false（不开启）、true（开启） false clientCertificateID 否 String 双向认证的证书ID targetGroup 是 Array of Objects 后端服务组 targetGroup accessControlID 否 String 访问控制ID accessControlType 否 String 访问控制类型。取值范围：Close（未启用）、White（白名单）、Black（黑名单） forwardedForEnabled 否 Boolean x forward for功能。false（未开启）、true（开启） true

本文主要介绍了RDSPostgreSQL产品的高性能优势，主要体现为：深度性能优化、高质量的硬件基础、慢SQL检测和高效访问。 深度性能优化 天翼云多年的数据库研发、搭建和维护经验，结合RDSPostgreSQL的云化改造技术，大幅优化传统数据库，为您打造更高可用、更高可靠、更高性能、更高安全、弹性伸缩、便捷运维的天翼云数据库服务。 高质量的硬件基础 通过多年的研究、创新和开发，天翼云对RDSPostgreSQL进行了优化。在经过了多重考验的服务器硬件的支持下，RDSPostgreSQL变得更加稳定、高性能，能为您提供更加优质的数据库服务。 慢SQL检测 RDSPostgreSQL提供了慢SQL检测功能，您可以根据关系数据库服务检测到的慢SQL进行相应的优化，进一步提高数据库服务的性能和效率。 高效访问 通过内网通信，RDSPostgreSQL可以与同一地域的弹性云主机配合使用，缩短应用响应时间，同时节省公网流量费用。

本文为您介绍创建应急切换的具体操作。 概述 应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的切换任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。 使用条件 应急切换主要用于突发故障下切换工作，为单次执行，不可重复执行。若需定时多次演练，可在容灾演练模块进行相关操作。 进行应急切换前，需完成命名空间创建、容灾管理中心配置、应用接入（可选）、预案编排。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾切换”“应急切换”，进入应急切换列表页。 5. 在列表上方下拉菜单中选择需要进行应急切换的命名空间。 6. 点击列表上方的“创建应急切换”按钮，弹出创建应急演练弹窗。 7. 填写创建应急切换信息，各配置项信息如下： 参数 是否必填 配置说明 切换名称 √ 填写切换名称，同命名空间下切换名称需唯一。 关联预案 √ 选择当前命名空间下已发布状态的预案名称。 涉及容灾管理中心 × 显示选择关联预案后容灾管理中心。 切换超时时间 √ 填写切换超时时间，单位为分钟。 系统将在执行“开始切换”操作后计时，超时系统将自动终止该切换，最新切换状态更新为“已终止”且无法恢复。 时间范围为10分钟6小时。 单个任务超时时间 √ 填写单个任务超时时间，单位为分钟。 单个任务超时时间指任务执行时间超出后系统自动将该任务状态置为“已超时”，需人工介入处理。 该超时时间仅对脚本任务及资源操作类的内置任务有效，人工任务及流程控制类的内置任务不受此超时时间影响。 时间范围为1分钟2小时。 描述 × 填写容灾切换描述。 长度为0100个字符。 8. 点击“确定”按钮，完成应急切换创建。成功创建后，列表新增一条相关记录，状态为“未开始”。

对等连接支持创建同账号对等连接连通同账号的两个VPC,本文帮助您快速熟悉如何创建同账号对等连接。 操作场景 当遇到不同VPC之间网络需要互通的情况时，您可以通过创建对等连接来实现同一资源池不同VPC之间的连通。同账户内同资源池VPC创建对等连接，默认自动接受。 约束与限制 两个VPC之间只能建立一个对等连接。 对等连接只能在同一资源池VPC之间建立，不支持跨资源池的对等连接。 要实现不同资源池VPC内网互通，可以使用云间高速。 在配置对等连接时，如果本端VPC和对端VPC存在网段重叠，可能出现在VPC中部分或全部子网不能通过对等连接互通的情况。具体请参考对等连接使用示例。 前提条件 已分别创建同一资源池内的两个VPC。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”。 参数 说明 选择本端VPC 名称 对等连接名称，由汉字、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接。 此处选择当前账户。 选择对端VPC 对端VPC 对端VPC：显示已选择的对端VPC，可在下拉框中选择。 选择对端VPC 对端VPC网段 显示对端VPC网段。 对端VPC网段选择的子网网段不能和本端VPC的子网网段相同或有重叠网段，否则对等连接路由可能无法连通。 6. 配置完成后，点击“确定”。

资费项 计费项 含义 适用的计费模式 流量费用 内/公网流入流量 通过内网或互联网上传数据到OBS所产生的流入流量。 免费 流量费用 内网流出流量 通过同区域天翼云ECS、CCE、BMS等下载OBS的数据所产生的流出流量。 若想使用内网访问OBS，需要提前进行相关配置，配置方法请参见 免费 流量费用 公网流出流量 通过互联网从OBS下载标准存储类型的数据所产生的流出流量。 说明 只要通过互联网下载OBS的数据，无论是否成功，均会产生公网的流量。 下载低频访问存储、归档存储和深度归档存储类别的对象产生的公网流出流量，将无法使用公网流出流量包进行抵扣。 按需计费 包年包月 流量费用 跨区域复制流量 使用跨区域复制功能将源桶数据复制到另一个区域的目标桶时所产生的流出流量。 按需计费

本节介绍如何购买智算安全专区。 前提条件 已注册天翼云账号并完成实名认证。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 智算安全专区”。 4. 在页面右上角，单击“立即购买”。 5. 在产品订购页面，配置区域 、可用区 、虚拟私有云 、子网、CPU架构 。 6. 选择规格和购买数量。 7. 选择“购买时长”，拖动时间轴设置购买时长。 说明 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 8. 确认参数配置无误后，阅读《天翼云智算安全专区服务协议》，并勾选“我已阅读，理解并接受《天翼云智算安全专区服务协议》”，单击“立即购买”。 9. 进入“付款”页面，完成付款。

本节介绍专属加密服务的优势。 云上使用 专属加密旨在满足用户将线下加密设备能力转移到云上的要求，降低运维成本。 弹性扩容 灵活调整专属加密的数量，满足不同业务的加解密运算要求。 安全管理 专属加密实例设备管理与内容（敏感信息）管理权限分离，用户作为设备使用者完全控制密钥的产生、存储和访问授权，Dedicated HSM只负责监控和管理设备及其相关网络设施。即使Dedicated HSM的运维人员也无法获取到用户的密钥。 权限认证 敏感指令支持分类授权控制，有效防止越权行为。支持用户名口令认证、数字证书认证等多种权限认证方式。 可靠性 专属加密实例之间独享加密芯片，即使部分硬件芯片损坏也不影响使用。 安全合规 Dedicated HSM为您提供专属加密实例，帮助您保护弹性云服务器上数据的安全性和隐私性要求，满足监管合规要求。 应用广泛 Dedicated HSM可提供认证合规的金融加密机、服务器加密机以及签名验签服务器等，灵活支撑用户业务场景。

本小节介绍渗透测试操作类常见问题。 购买天翼云渗透测试业务后如何填写受理单内容？ 客户应如实填写以下信息： 被检测的IP主机信息。 域名备案信息比对，必须为客户本人真实、合法信息。 客户为天翼云托管用户，用户提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 客户提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，客户需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 客户如有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，乙方不承担任何责任。） 客户需签订渗透测试授权书。

本页介绍天翼云TeleDB数据库V5.1.5版本更新说明。 版本说明 本章节主要介绍TeleDB版本更新说明。 V5.1.5版本说明 组件名称 版本号 发布时间 TeleDB Core 5.1.5 2024年 11 月 说明 该版本适配的DCP版本为V3.10.1p1。 新增和优化功能： 1. 支持分布式远程数据访问框架RDA。 管控侧：在实例发放页面新增RDA端口输入框，实例开通页面增加内部通信端口。 内核侧：基于RDA实现了TeleDB分布式数据库实例内部，节点间数据的高效传输，解决了原生PGXL架构在处理复杂查询时连接数暴涨的问题。 2. 支持获取和配置全局数据变化的CDC订阅能力。 管控侧：支持部署CDC插件工具，配置CDC运行参数。 内核侧：用于捕获、处理和同步TeleDB分布式数据库实例数据变化的工具，允许将 TeleDB分布式数据库中的变更数据实时地同步到下游系统，例如其他数据库、消息队列、数据仓库等。 3. 新增对接内核跨版本升级工具，支持用户在界面操作跨版本升级。 管控侧：在实例升级流程中，主动识别升级路径，并对接跨版本升级工具。 内核侧：在实例升级过程中，支持通过升级工具对系统表加列、支持新建系统表、支持增删系统函数和支持升级版本管理。 4. 磁盘只读增加开关，支持Agent定时监控磁盘空间使用率和支持磁盘满的时候只允许查询数据，不允许写入数据。 管控侧：支持定时检测节点磁盘容量，当如果任一节点所在机器的数据目录或者表空间目录磁盘达到阈值，则管控侧将自动修改defaulttransactionreadonly参数值。 内核侧：通过识别defaulttransactionreadonly参数值，来设置只允许查询，不允许执行插入更新语句。 5. 支持分布式死锁检测DDS特性。 管控侧：不涉及。 内核侧：用于实时检测分布式死锁，并按优先级终止事务解除死锁。将opentenbase社区pgunlock插件的死锁检测实效性从分钟级提升到秒级。 6. 支持分区表全局索引。 管控侧：不涉及。 内核侧：支持创建节点内跨分区表的全局索引，分区表在非分片键上的查询性能明显提升。 7. 支持GlobalCache特性。 管控侧：不涉及。 内核侧：支持各进程共享PlanCache数据、SysCache 数据和RelCache 数据，全局元数据缓存，实现节点内表、执行计划等对象的全局缓存，减少大并发场景下的内存消耗。 8. 支持列存储引擎Pax。 管控侧：不涉及。 内核侧：通过表访问方法Table Access Method（简称为 Table AM）提供一种可插拔存储引擎机制，用于实现不同的表访问方式，它允许通过实现自定义的 Table AM，来定义新的表访问方式，并将其集成到数据库中。基于这种机制使得 TeleDB 数据库内核可以支持列存储引擎。 9. 支持XCopy实现集群间数据拷贝。 管控侧：不涉及。 内核侧：支持通过XCopy工具实现集群间数据拷贝。 10. 支持全局统计信息搜集。 管控侧：不涉及。 内核侧：支持在1个CN执行analyze后，其它CN统计信息同步更新。 11. 支持索引优化建议。 管控侧：定时任务中内置Queryindexadvice函数和慢SQL查询增加索引优化建议按钮。 内核侧：采样用户SQL，通过创建虚拟索引对比执行计划，给出索引方面的优化建议。 12. 支持表级降冷存储。 管控侧：不涉及。 内核侧：支持数据表整体降冷和重新转热。 13. 支持透明加密对接KMS、全密态对接KMS、审计用户和RDA加密等。 管控侧：实例开通时增加KMS开关、SSL开关。 内核侧：支持按规则、对象等维度，记录DDL、DML、SQL等独立设计的MLSADMIN账号体系和支持行级访问控制，和磁盘数据加密对接KMS、接入KMS管理密钥，密钥不落盘。 修复漏洞 1. prof调试信息泄露漏洞【原理扫描】。 2. Xlake插件相关漏洞修复。 CVE201910164 漏洞名称：TeleDB：PostgreSQL 缓冲区错误漏洞。 风险等级：高危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网访问，或开放风险端口；梳理高危用户权限，避免使用弱密码；pghba.conf认证方式选用md5，暂时规避使用scramsha256的方式。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20222625 漏洞名称：TeleDB：PostgreSQL 安全漏洞 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网可访问，或开放风险端口；禁止使用不受信任第三方插件；扫描并卸载不受信或未使用插件；插件安装禁用CREATE OR REPLACE、 CREATE IF NOT EXISTS。 正式解决方案：产品版本升级到5.1.5及以上。 CVE202339417 漏洞名称：TeleDB：redhat software collectionsSQL注入漏洞 风险等级：中危漏洞 漏洞详情： 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 历史版本临时解决方案：数据库禁止互联网可访问，或开放风险端口；业务系统前端配置WAF防火墙；业务系统启用SQL防注入能力；严格检查extension的安装sql文件是否存在：@extowner@等特殊非法语句否则应调整或禁止安装。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20247348 漏洞名称：TeleDB：PostgreSQL pgdump竞争条件漏洞 风险等级：高危漏洞 漏洞发布时间：2024年11月 漏洞修复时间：2024年08月 漏洞详情： 历史版本临时解决方案：在pgdump 工具中存在TOCTOU竞争条件漏洞，pgdump是PostgreSQL用于备份数据库的工具，它通常由具有较高权限（如超级用户）的用户运行。由于pgdump 在检查对象类型和实际使用这些对象之间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞，威胁者可利用该漏洞来替换某些数据库对象。 正式解决方案：产品版本升级到5.1.5及以上。 CVE20221552 漏洞名称：TeleDB：PostgreSQL 权限许可和访问控制问题漏洞 风险等级：高危漏洞 漏洞发布时间：2024年11月 漏洞修复时间：2024年10月 漏洞详情： PostgreSQL 存在权限许可和访问控制问题漏洞，该漏洞源于autovacuum 功能和多个命令可以逃脱“安全限制操作”沙箱。 正式解决方案：产品版本升级到5.1.5及以上。 修复缺陷 1. 内核特性适配。 2. 备份策略的加密配置可修改。 3. 和DCP联调RDA内核开通。 4. 兼容四位版本解析。 5. 禁用dbusernamespace参数。 6. 扩容撤销工单对接。 7. 内存监控指标调整。 8. 配合前端做接口调整。 9. 升级golang sdk为1.11。 10. 实例名称修改。 11. 提供内核版本接口给DCP调用。 12. 通过DCP开通实例失败返回有用错误日志。 13. 修改DCP和x实例列表中的实例系列。 14. pgclean定时任务需针对每个database都执行。 15. RDA版本内核和非RDA版本内核之间的备份恢复。 16. 参数管理增加允许值和描述。 17. 详情页实例名称支持修改。 18. 修改DCP和x实例列表中的实例系列。 19. 强制升级按钮屏蔽。 20. DCP工单以及任务管理中显示具体的扩容失败原因。 21. 备份策略与增量日志定时检测任务优化。 22. 回收资源时，不处理DCP创建的资源。 23. 修改密码页面增加提示。 24. 修改密码页面增加提示。 25. 修复实例运维相关问题，如主从切换、备份恢复、实例启停等。 26. 修复数据空间管理相关问题。 27. 修复监控采集脚本不执行、计算错误等问题。 28. 修复Xcopy无法执行问题。 29. 修复审计相关问题。 30. 界面易用性优化。

本文介绍标签管理的应用场景和使用说明。 标签通常用于标识云服务资源，基于标签，您可以实现对资源的便捷搜索和整理。 标签由键值对（KeyValue）组成，您可以为资源绑定和删除标签，可以在控制台中通过标签筛选快速查找资源。 应用场景 当项目中云资源较多，或当前资源信息不足以有效地为资源分组归类时，可以通过为资源添加不同维度（例如所属业务、开发团队等）的标签，实现资源分类。 基于标签筛选功能，您还可以快速查找一组资源，进行批量管理。 例如： 在团队管理中，为资源添加团队标签（如department: R&D），标识所属开发部门，方便企业快速定位云资源所属部门。 在项目管理中，批量为业务1中所有文件系统实例绑定业务标签business:service1，并通过标签筛选，快速完成对业务1中文件系统实例的日常维护。 使用说明 每个资源最多可绑定50个标签。 每个资源下的标签键是唯一的，不可绑定相同标签键。 每个资源下的标签键对应的标签值唯一，如修改已有标签键对应的标签值，新标签值将会覆盖旧标签值。例如，将文件系统实例的business:service1的标签值service1，修改为service2，则新标签business: service2将覆盖旧标签business:service1。 标签键值命名规则： 字段 规则 标签键 不能为空 首字符不能为空格 长度不超过128个字符 标签值 不能为空 首字符不能为空格 长度不超过128个字符

本节介绍RBAC授权。 RBAC 介绍 Kubernetes RBAC能力的授权，可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。Kubernetes RBAC API定义了四种类型：Role、ClusterRole、RoleBinding与ClusterRoleBinding，这四种类型之间的关系和简要说明如下： Role：角色，其实是定义一组对Kubernetes资源（命名空间级别）的访问规则。 RoleBinding：角色绑定，定义了用户和角色的关系。 ClusterRole：集群角色，其实是定义一组对Kubernetes资源（集群级别，包含全部命名空间）的访问规则。 ClusterRoleBinding：集群角色绑定，定义了用户和集群角色的关系。 Role和ClusterRole指定了可以对哪些资源做哪些动作，RoleBinding和ClusterRoleBinding将角色绑定到特定的用户、用户组或ServiceAccount上。如下图所示。 在分布式容器云平台控制台可以授予用户或用户组命名空间权限，可以对某一个命名空间或全部命名空间授权，产品控制台提供如下预置的ClusterRole。 受限人员：对集群命名空间级别控制台可见资源对象的只读权限。 开发人员：对集群命名空间级别控制台可见资源对象的读写权限。 运维人员：对集群命名空间级别资源对象的读写权限，对其他资源对象的只读权限。 管理员权限：对所有集群资源对象的读写权限。 服务资源权限（IAM授权）与Kubernetes RBAC权限的关系 服务资源权限（IAM授权）主要覆盖分布式云容器平台系统功能 和 系统资源（比如注册集群、舰队、集群联邦）的权限管理，而Kubernetes RBAC权限仅针对该集群的Kubernetes资源生效。

跨账号接入 当您选择了跨账号接入日志流映射方式时，通过创建委托，您可以将委托账号的日志流映射到被委托方账号，即就是将委托账号的日志流映射到当前云日志服务账号的日志流下。 跨账号接入成功后，如果账号A在IAM上删除委托，则云日志服务无法感知到该委托被删除，配置的跨账号接入依然生效；如果您不再使用跨账号接入功能，可直接通知账号B删除接入配置。 前提条件 已创建委托关系。 限制条件 日志清洗的日志，无法进行日志流映射。 数据未同步完成前，目标日志流数据与源日志流可能会有一定偏差。建议1小时后，查看接入数据。 操作步骤 日志服务接入方式选择跨账号接入时，按照如下操作完成接入配置。 步骤 1 登录云日志服务控制台。 步骤 2 在左侧导航栏中，选择“日志接入”，单击“跨账号接入日志流映射”进行跨账号接入配置。 步骤 3 或者在左侧导航栏中，选择“日志管理”，单击目标日志流的名称进入日志详情页面，单击右上角，在弹出页面中，选择“采集配置”页面，单击“新建采集配置”，在新打开的页面，选择“跨账号接入日志流映射”进行跨账号接入配置。 步骤 4 选择委托。 配置相关参数，请参见下表，完成后，单击“下一步：日志流映射”。 表11 委托参数配置 参数 说明 委托名称 填写委托人在IAM中创建的委托名称。委托人账号可通过创建委托将资源管理权限委托给其他账号。 委托人账号名称 填写委托人账号名称，以验证委托关系。 步骤 5 日志流映射。 在日志流映射页面，配置接入规则，有两种方式：自动配置和手动配置。 自动配置 1. 在日志流映射页面，单击“自动配置”。 2. 在弹出的自动配置页面中，配置相关参数信息，完成后，单击“确定”。 表12 自动配置接入规则 参数 说明 规则名称前缀 填写规则名称前缀，自动配置将使用您配置的规则名称前缀，产生多条接入规则。 只支持输入英文、数字、中文、中划线、下划线及小数点，且不能以小数点、下划线开头或以小数点结尾。可不填写，默认规则名称前缀为rule。 从委托账号中选择您希望接入的日志组/日志流 选择希望接入的日志组/日志流，最多支持选择20条。 说明 通过自动配置的接入规则，被委托方中的目标日志组、目标日志流名称默认同委托方中源日志组、源日志流名称保持一致，也支持手动修改。 3. 单击“预览”，查看预览结果。 说明 预览结果有两种： 将创建新的目标日志流 ：被委托方中新建的目标日志组/日志流。 接入已存在的目标日志流 ：被委托方中已存在的目标日志组/日志流。 预览报错情况如下： 源日志流xxx，已配置为目标日志流 目标日志流xxx，已配置为源日志流 目标日志流xxx，已存在于其它日志组 目标日志流xxx，存在于不同目标日志组 规则名称重复 源日志流xxx，已存在映射关系 日志组/日志流超过最大创建条 当提示以上报错时，须删除日志流对应的接入规则。 4. 预览完成后，单击“提交”。 手动配置 1. 在日志流映射页面，单击“添加规则”。 表13 参数 参数 说明 规则名称 默认为rulexxx，也可根据您的需要进行自主命名。 只支持输入英文、数字、中文、中划线、下划线及小数点，且不能以小数点、下划线开头或以小数点结尾。 委托方 源日志组 源日志流 委托方的日志流，在原有的日志流中进行选择。 被委托方 目标日志组 目标日志流 被委托方的日志流，可在原有的日志流中进行选择或直接输入名称进行新建日志流。 2. 单击“预览”，查看预览结果。 说明 预览结果有两种： 将创建新的目标日志流：被委托方中新建的目标日志组/日志流。 接入已存在的目标日志流：被委托方中已存在的目标日志组/日志流。 预览报错情况有五种： 源日志流xxx，已配置为目标日志流。 目标日志流xxx，已配置为源日志流。 目标日志流xxx，已存在于其它日志组。 目标日志流xxx，存在于不同目标日志组。 规则名称重复。 源日志流xxx，已存在映射关系。 日志组/日志流超过最大创建条数。 当提示以上报错时，须删除日志流对应的接入规则。 3. 预览完成后，单击“提交”，等待创建日志接入成功。 步骤 6 完成。

本文为您介绍VPC终端节点产品的定义、产品架构及其访问方式。 VPC终端节点（VPC Endpoint）是一种能够将VPC私密地连接到终端节点服务（云服务、用户私有服务）的解决方案。通过使用VPC终端节点，VPC中的云资源无需使用弹性IP就可以直接访问终端节点服务，从而提高了访问效率。这种灵活、安全的组网方式为用户提供了更高效的连接方式，保障了数据的安全性和隐私。 产品架构 VPC终端节点由两种资源实例组成：终端节点服务和终端节点。 终端节点服务：将云服务或用户私有服务配置为VPC终端节点支持的服务，允许终端节点连接和访问这些服务。 终端节点：用于建立VPC和终端节点服务之间便捷、安全、私密的连接通道。 通过访问已连接到服务的终端节点的地址，服务使用方主机可方便地访问该终端节点连接的服务，同时利用私有网络通信的优势来确保数据的安全性和隔离性。 如何访问VPC终端节点 VPC终端节点提供了方便的Web化管理控制台，供用户直接使用。同时，也提供了API方式，以便用户可以将终端节点集成到自己的系统中进行二次开发和自动化管理。 控制台方式：用户可以直接登录管理控制台来访问VPC终端节点。 如果用户已经注册了帐户，可以直接登录管理控制台，并从主页选择“网络 > VPC终端节点”来访问。 如果用户尚未注册，需要先在天翼云官网进行注册，然后再登录管理控制台。 API方式： 如果用户需要将VPC终端节点集成到第三方系统，以进行二次开发，可以使用API方式访问VPC终端节点。具体可参考VPC终端节点API参考。 这种方式允许用户通过基于HTTPS的请求来管理VPC终端节点，从而实现对终端节点的各种操作。

本文介绍标签管理的应用场景和使用说明。 标签通常用于标识云服务资源，基于标签，您可以实现对资源的便捷搜索和整理。 标签由键值对（KeyValue）组成，您可以为资源绑定和删除标签，可以在控制台中通过标签筛选快速查找资源。 说明 目前仅部分地域支持标签管理功能，请参考产品能力地图。 应用场景 当项目中云资源较多，或当前资源信息不足以有效地为资源分组归类时，可以通过为资源添加不同维度（例如所属业务、开发团队等）的标签，实现资源分类。 基于标签筛选功能，您还可以快速查找一组资源，进行批量管理。 例如： 在团队管理中，为资源添加团队标签（如department: R&D），标识所属开发部门，方便企业快速定位云资源所属部门。 在项目管理中，批量为业务1中所有文件系统实例绑定业务标签business:service1，并通过标签筛选，快速完成对业务1中文件系统实例的日常维护。 使用说明 每个资源最多可绑定50个标签。 每个资源下的标签键是唯一的，不可绑定相同标签键。 每个资源下的标签键对应的标签值唯一，如修改已有标签键对应的标签值，新标签值将会覆盖旧标签值。例如，将文件系统实例的business:service1的标签值service1，修改为service2，则新标签business: service2将覆盖旧标签business:service1。 标签键值命名规则： 字段 规则 标签键 不能为空 首字符不能为空格 长度不超过128个字符 标签值 不能为空 首字符不能为空格 长度不超过128个字符

边缘安全加速平台—安全与加速服务的计费项有哪些？ 边缘安全加速平台安全与加速计费由三个部分构成：基础套餐+套餐外超量费用+扩展服务。 基础套餐（必选）：您可以根据需求，购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速基础套餐资费。 套餐外超量费用（超量计费）：如果套餐内流量/带宽等用尽，可订购资源包或者开通按需，具体计费请参考安全与加速套餐超出资费。 扩展服务（可选）：如果套餐内包含的能力不能满足您的需求，如需要增加域名数等，您可以选择订购扩展服务，具体计费请参考安全与加速扩展服务资费。 如何申请免费试用边缘安全加速平台？ 边缘安全加速平台暂时不支持官网自助开通试用，如果您需要开通试用，请通过提交工单给天翼云客服，天翼云技术支持将会为您开通。 如何关闭边缘安全加速平台安全与加速服务或停止计费？ 开通边缘安全加速平台安全与加速服务后，只要不添加域名，就不会产生计费。 如果您已经添加了域名，您可以登录边缘安全加速控制台，进入接入管理域名接入域名管理页面，可参考以下方式停止计费： 停用域名：对域名进行停用操作后，天翼云接入层CNAME将立刻解析至不可访问地址。请参见停用域名。 删除域名：删除按钮只能在域名状态为“已停止”时可见，请参见删除域名。

本章节主要围绕以自行部署的网关应用为入口，介绍全链路灰度的最佳实践 概述 本文以consumer和provider应用为例，分别发布consumerv1，providerv1和 consumerv2，providerv2两个版本的应用。同时以微服务云应用平台部署的网关作为入口应用，泳道规则设置为参数version2时，请求路由到consumerv2，providerv2。 前提条件 需开通微服务治理中心企业版。 操作流程 创建并发布V1版本应用实例 创建providerv1 和 consumerv1 应用实例，需勾选上接入微服务服务治理中心。 发布网关应用 创建并发布gateway应用实例，需勾选上接入微服务服务治理中心。 通过网关访问consumer和provider 进入gateway应用终端，通过curl命令访问网关，curl podip:27180/nacos/consumer/callProvider。 根据返回信息可以看到providerv1应用pod的IP，到这可以确定 gateway>consuerv1>providerv1 链路是通的。 创建泳道组及泳道 1. 创建泳道组 在左侧导航栏，选择服务治理 > 全链路流量控制，点击创建泳道组及泳道。 入口类型选择：在MSAP部署的应用/网关，入口应用选择：msegateway 2. 创建分流泳道 路由规则选择上面步骤在云原生网关中创建的路由规则，条件列表中，参数类型选择Query，参数填version，条件选择等于，值填写2。 创建完成后，可以看到泳道状态是关闭的。此时规则还未生效。

本章节介绍HSS授权项说明。 如果您需要对您所拥有的HSS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），如果登录帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用HSS服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 主机安全（HSS）支持的自定义策略授权项如下所示： 授权列表，包含HSS对应的授权项，如查询主机安全防护列表、云服务器开启或关闭防护、手动检测等。

介绍安全加速产品中常用术语。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用www.ctyun.cn访问，您又希望通过www.example.ctyun.cn1也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将www.example.ctyun.cn1指向www.ctyun.cn，添加该条CNAME记录后，所有访问www.example.ctyun.cn1的请求都会被转到www.ctyun.cn，获得相同的内容。 CNAME域名 接入CDN时，在天翼云控制台添加完加速域名后，您会得到一个天翼云CDN给您分配的CNAME域名，（该CNAME域名一定是. ctdns.cn）， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个. ctdns.cn的CNAME域名，这样该域名所有的请求才会都将转向天翼云CDN的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。