本节主要介绍开启和关闭SSL安全连接。 GeminiDB Influx实例支持实例创建成功后，开启或关闭SSL安全连接。 使用须知 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 开启或关闭SSL安全连接时需要重启实例。 开启SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，开启SSL安全连接。 图 开启SSL安全连接 关闭SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，关闭SSL安全连接。 图 关闭SSL安全连接

VPC网络采用VPC路由方式与底层网络深度整合，适用于高性能场景，节点数量受限于虚拟私有云VPC的路由配额。每个节点将会被分配固定大小的IP地址段。VPC网络由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 VPC网络 说明如下： 节点内容器间通信：通过ipvlan子接口分配给各个的容器，同节点的容器间通信直接通过ipvlan直接转发。 跨节点容器间通信：借助VPC的路由器的转发能力，所有跨节点容器间的通信全部默认路由到默认网关，借助VPC的路由能力，转发到对端节点上。 优缺点 优点：可利用VPC原生的网络功能，性能较高、功能丰富。 缺点：节点数量受限于虚拟私有云VPC的路由配额。每个节点将会被分配固定大小的IP地址段。 应用场景 适用于对网络时延、带宽要求高的高性能场景。

本节介绍了如何创建云数据库GaussDB 的告警规则。 操作场景 通过设置数据库告警规则，用户可自定义监控目标与通知策略，及时了解数据库运行状况，从而起到预警作用。 设置的告警规则包括设置告警规则名称、资源类型、维度、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数。 设置告警规则 步骤 1 登录管理控制台。 步骤 2 选择“管理与监管 > 云监控服务 CES”。 步骤 3 在左侧导航树栏，选择“告警 > 告警规则”。 步骤 4 在“告警规则”界面，单击“创建告警规则”进行添加。

本文主要介绍存储池类型及性能介绍 根据IO性能划分存储池类型，各种类型的存储池具体介绍如下。不同类型存储池的性能和价格有所不同，您可根据业务需求选择您所需的存储池。 磁盘类型必须与存储池类型保持一致。 应用场景 高IO：高IO存储池中只能创建高IO的磁盘，其最大IOPS为1500 IOPS/TB，最低读写时延为1 ms，适用于主流的高性能、高可靠应用场景，例如企业应用、大型开发测试以及Web服务器日志等。 超高IO：超高IO存储池中只能创建超高IO的磁盘，其最大IOPS为8000 IOPS/TB，最低读写时延为1 ms，适用于读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。 存储池性能 存储池性能的主要指标有IO读写延时、IOPS和吞吐量。 IOPS：每秒进行读写的操作次数。 吞吐量：每秒成功传送的数据量，即读取和写入的数据量。 IO读写延时：连续两次进行读写操作所需的最小时间间隔。 表 存储池性能数据表 参数 高IO 超高IO IOPS 1500 IOPS/TB 8000 IOPS/TB IO读写时延 1 ms ~ 3 ms 1 ms 典型应用场景 普通开发测试 转码类业务。 I/O密集型场景。 NoSQL Oracle SQL Server PostgreSQL 时延敏感型场景。 Redis Memcache

本节介绍了云硬盘的续订规则。 续订规则详情请见天翼云帮助中心费用中心续订管理（< 自动续订规则详情请见天翼云帮助中心费用中心续订管理自动续订（<

日志下载说明 1、登录DDoS高防（边缘云版）控制台。 2、筛选对应域名和时间后，单击对应域名日志记录的下载图标，具体如下图示：

本节主要介绍关系型数据库服务的关键操作列表 关系型数据库服务（Relational Database Service，以下简称RDS）是一种基于云计算平台的可即开即用、稳定可靠、按需扩展、便捷管理的在线关系型数据库服务。 通过云审计服务，您可以记录与关系型数据库服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的RDS操作列表 操作名称 资源类型 事件名称 ::: 创建实例、恢复到新实例（Console、OPENAPI、TROVEAPI） instance createInstance 创建只读 （Console、OPENAPI、TROVEAPI） instance createReadReplicate 实例重启、扩容、规格变更、恢复到原有实例操作（Console、OPENAPI 、TROVEAPI） instance instanceAction 重置密码（Console） instance resetPassword 设置数据库版本配置参数（OPENAPI） instance setDBParameters 重置实例的数据库版本配置参数（OPENAPI） instance resetDBParameters 设置备份策略打开,关闭,修改（Console、OPENAPI） instance setBackupPolicy 修改数据库端口号（Console） instance changeInstancePort 绑定解绑EIP（Console） instance setOrResetPublicIP 修改安全组（Console） instance modifySecurityGroup 创建标签（Console、OPENAPI） instance createTag 删除标签（Console、OPENAPI） instance deleteTag 修改标签（Console、OPENAPI） instance modifyTag 删除集群下的实例（Console、OPENAPI、TROVEAPI） instance deleteInstance 创建快照（Console、OPENAPI） backup createManualSnapshot 复制快照（Console） backup copySnapshot 删除快照（Console、OPENAPI） backup deleteManualSnapshot 创建参数组（Console、TROVEAPI） config createParameterGroup 修改参数组（Console、TROVEAPI） config updateParameterGroup 删除参数组（Console、TROVEAPI） config deleteParameterGroup 复制参数组（Console） config copyParameterGroup 重置参数组（Console） config resetParameterGroup 比较参数组（Console） config compareParameterGroup 应用参数组（Console） config applyParameterGroup

CCE通过云审计服务（Cloud Trace Service，简称CTS）为您提供云服务资源的操作记录，记录内容包括您从云管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 表 云审计服务支持的CCE操作列表 操作名称 资源类型 事件名称 创建集群 cce createCluster 更新集群 cce updateCluster 删除集群 cce deleteCluster/claimCluster 创建节点 cce createNode 添加静态节点 cce addStaticNode 更新节点 cce updateNode 删除一个主机 cce deleteOneHost 删除所有主机 cce deleteAllHosts 挂起用户资源 cce suspendUserResource 创建ConfigMap cce createConfigmaps 创建DaemonSet cce createDaemonsets 创建Deployment cce createDeployments 创建Event cce createEvents 创建Ingress cce createIngresses 创建Job cce createJobs 创建namespace cce createNamespaces 创建Node cce createNodes 创建PersistentVolumeClaim cce createPersistentvolumeclaims 创建Pod cce createPods 创建ReplicaSet cce createReplicasets 创建ResourceQuota cce createResourcequotas 创建密钥 cce createSecrets 创建服务 cce createServices 创建StatefulSet cce createStatefulsets 创建卷 cce createVolumes 删除ConfigMap cce deleteConfigmaps 删除DaemonSet cce deleteDaemonsets 删除Deployment cce deleteDeployments 删除Event cce deleteEvents 删除Ingress cce deleteIngresses 删除Job cce deleteJobs 删除Namespace cce deleteNamespaces 删除Node cce deleteNodes/claimOneHost 删除Pod cce deletePods 删除ReplicaSet cce deleteReplicasets 删除ResourceQuota cce deleteResourcequotas 删除Secret cce deleteSecrets 删除Service cce deleteServices 删除StatefulSet cce deleteStatefulsets 删除卷 cce deleteVolumes 替换指定的ConfigMap cce updateConfigmaps 替换指定的DaemonSet cce updateDaemonsets 替换指定的Deployment cce updateDeployments 替换指定的Event cce updateEvents 替换指定的Ingress cce updateIngresses 替换指定的Job cce updateJobs 替换指定的Namespace cce updateNamespaces 替换指定的Node cce updateNodes 替换指定的PersistentVolumeClaim cce updatePersistentvolumeclaims 替换指定的Pod cce updatePods 替换指定的Replicaset cce updateReplicasets 替换指定的ResourceQuota cce updateResourcequotas 替换指定的Secret cce updateSecrets 替换指定的Service cce updateServices 替换指定的Statefulset cce updateStatefulsets 替换指定的状态 cce updateStatus 上传组件模板 cce uploadChart 更新组件模板 cce updateChart 删除组件模板 cce deleteChart 创建模板应用 cce createRelease 更新模板应用 cce updateRelease 删除模板应用 cce deleteRelease

订购NAS共享盘 1. 进入“AI云电脑（政企版）”控制台； 2. 选择“翼共享”“翼共享管理”菜单，点击右上角“创建共享盘”； 3.类型选择”NAS共享盘”； 4.填写共享盘名称，选择资源包； 注意：目前翼共享盘仅支持通过资源包抵扣方式进行开通，详情可查看资源包订购 5.选择企业所需开通的共享盘总容量，以及配置分配至个人的容量； 注意：NAS共享盘个人容量默认为平均分配独享容量配额，支持在容量管理模块中设置共享模式。 6.选择抵扣方式（可通过自由选择资源包中的计算包或存储包进行抵扣）； 注意：NAS共享盘需要默认4C8G计算包资源作为翼服务端主机，开通容量支持计算包资源包混合支付。 7.选择AI云电脑的“vpc”和“业务子网”； 注：选择翼共享所需的VPC和对应子网，会自动给翼共享盘分配内网ip，AI云电脑会使用该内网ip访问翼共享盘。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 8. 确认配置信息后，点击“立即开通”即可。 说明 1. 翼共享NAS的共享盘和网络共享盘之间不支持升级。 2. 创建翼共享盘时，如果设置个人容量默认为0GB，则表示关闭个人盘并不分配挂载盘。如设置个人容量后，租户下的AI云电脑将会新增挂载个人盘，NAS盘可以按照桌面分配实际挂载。 3.开通的共享盘有效期跟随资源包的有效期，如资源过期，请前往资源包进行续订操作。

本文介绍海量文件服务配额相关限制及操作。 目录 什么是服务配额？ 配额说明 如何查看服务配额？ 如何申请扩大配额？ 常见问题 什么是服务配额？ 服务配额是指天翼云账号在使用云资源时的最大限制。为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如用户最多可以创建多少台弹性云主机、多少块云硬盘、多少个文件系统等。 配额说明 对于海量文件服务，一般情况下您需要关注以下3个配额： 配额项 说明 文件系统总容量配额 单用户单地域默认分配500TB配额用于创建文件系统，所有的文件系统都使用这500TB。 若不满足使用需求，例如需要创建1PB的文件系统，则可以提交工单申请调整此配额。 文件系统数量配额 默认10个，即默认情况下，在某资源池您可以创建10个文件系统。在多可用区资源池，各可用区共用该资源池总数量配额。 如不满足使用需求，可以申请调整至20个，见下方场景示例。 若需要创建20+个文件系统，请提交工单进行资源评估。 说明 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若实际剩余资源不足，可能无法调整至预期配额。 单个文件系统容量上限 单文件系统默认容量上限为1PB。如不满足使用需求，可以申请调整，最大可调整至4PB。 说明 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若实际剩余资源不足，可能无法调整至预期配额。 海量文件服务容量和性能不是线性相关，性能不会随容量增大线性增长，最大性能详见产品规格。

本章节介绍自定义授权服务 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 创建测试命名空间 kubectl create ns foo 打开sidecar自动注入 kubectl label ns foo istioinjectionenabled 部署sleep和httpbin应用 apiVersion: v1 kind: ServiceAccount metadata: name: sleep apiVersion: v1 kind: Service metadata: name: sleep labels: app: sleep service: sleep spec: ports: port: 80 name: http selector: app: sleep apiVersion: apps/v1 kind: Deployment metadata: name: sleep spec: replicas: 1 selector: matchLabels: app: sleep template: metadata: labels: app: sleep spec: terminationGracePeriodSeconds: 0 serviceAccountName: sleep containers: name: sleep image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/curl command: ["/bin/sleep", "infinity"] imagePullPolicy: IfNotPresent volumeMounts: mountPath: /etc/sleep/tls name: secretvolume volumes: name: secretvolume secret: secretName: sleepsecret optional: true 部署外部授权服务 apiVersion: v1 kind: Service metadata: name: extauthz labels: app: extauthz spec: ports: name: http port: 8000 targetPort: 8000 name: grpc port: 9000 targetPort: 9000 selector: app: extauthz apiVersion: apps/v1 kind: Deployment metadata: name: extauthz spec: replicas: 1 selector: matchLabels: app: extauthz template: metadata: labels: app: extauthz spec: containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/extauthz:1.16.2 imagePullPolicy: IfNotPresent name: extauthz ports: containerPort: 8000 containerPort: 9000 apiVersion: v1 kind: ServiceAccount metadata: name: httpbin apiVersion: v1 kind: Service metadata: name: httpbin labels: app: httpbin service: httpbin spec: ports: name: http port: 8000 targetPort: 80 selector: app: httpbin apiVersion: apps/v1 kind: Deployment metadata: name: httpbin spec: replicas: 1 selector: matchLabels: app: httpbin version: v1 template: metadata: labels: app: httpbin version: v1 spec: serviceAccountName: httpbin containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/httpbin imagePullPolicy: IfNotPresent name: httpbin ports: containerPort: 80

本节主要介绍步骤二：设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1. 登录管理控制台。 步骤 2. 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3. 在左侧导航树选择“访问控制 > 安全组”。 步骤 4. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6. 根据界面提示配置安全组规则。 步骤 7. 单击“确定”。

本文将为您介绍管理企业资金账单等财务信息的操作流程。 完成企业主子关联关系绑定后，即可使用财务管理模块进行子账号资金拨款、查看组织及账号的消费信息以及管理子账号的发票。 为子账号划拨资金 适用于天翼云云公司、云省分线上客户，企业资金统一由主账号管理，按需将主账号现金余额分配给实名认证一致的财务独立子账号。 1. 进入“财务管理>资金拨款”页面。 2. 选择需要划拨资金的子账号，点击操作栏的“拨款”。 3. 确认出账方（主账号）、可拨款余额、入账方（子账号），设置拨款金额后，点击“确认”。 查看组织及账号的消费信息 1. 进入“财务管理>消费汇总与发票”页面。 2. 查看组织/账号的应付金额、实付金额、资源消费金额等。 说明 最多支持查询近12个月的消费汇总数据。 3. 查看账号的消费详情：选择需要查看账号，点击操作栏的“消费详情”，进入详情页可查看账号按产品类型、企业项目、计费模式和资源归属账号的消费分布情况。 管理子账号的发票 适用于天翼云云公司、云省分线上客户，天翼云云公司、云省分线下客户发票联系客户经理开具。 代财务独立子账号开票 1. 进入“财务管理>消费汇总与发票”页面。 2. 选择需要开具发票的账号，点击操作栏的“代开发票”。 3. 进入发票开具流程页面，按页面提示申请开票。 说明 1. 当月产生的按需产品账单在下个月3日后可以开具发票。 2. 若独立子账号也具有开票权限，主账号开票发起后，子账号不可对已开票的订单进行二次开票。 3. 发票申请流程与普通账号发票流程一致，具体操作请参见发票申请文档

本小节介绍安装与配置。 开启防护后，您可配置常用登录地、常用登录IP、SSH登录IP白名单，以及开启恶意程序自动隔离查杀，进一步提升云服务器的安全。 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 配置常用登录地 配置常用登录地后，企业主机安全将对非常用地登录主机的行为进行告警。每个主机可被添加在多个登录地中。 1、 选择“安装与配置 > 安全配置 > 常用登录地”，单击“添加常用地登录”。 2、在弹出的对话框中依次选择地理位置、国家名称、城市名称，选择后勾选需要生效登录地信息的云服务器，可勾选多个服务器，确认无误单击“确认”，添加操作完成。 3、返回“安装与配置 > 安全配置 > 常用登录地”页面查看是否已新增，出现新增表示添加成功。 配置常用登录IP 配置常用登录IP，企业主机安全将对非常用IP登录主机的行为进行告警。 1、选择“安装与配置 > 安全配置 > 常用登录IP”，单击“添加常用登录IP”。 2、在弹出的对话框中输入“常用登录IP”，勾选需要生效的云服务器，可勾选多个服务器，确认无误单击“确认”，添加操作完成。 说明 “常用登录IP”必须填写公网IP或者IP段。如果设置的非公网IP地址，您将无法SSH远程登录您的服务器。 单次只能添加一个IP，若需添加多个IP，需重复操作添加动作，直至全部IP添加完成，且最多可添加20个登录IP。 3、返回“安装与配置 > 安全配置 > 常用登录IP”页面查看是否已新增，出现新增表示添加成功。

Fork源码 步骤1 登录个人GitHub帐号，并Fork Demo源码。 Demo源码地址： 组织管理”。 2、单击“创建组织”，在弹出的页面中填写“组织名称”。 3、单击“确定”。 创建环境 1、登录ServiceStage，选择“环境管理”，单击“创建环境” 。 2、设置环境信息。 1. “环境名称”:输入本实例的环境名称，如“testenv”。 2. “虚拟私有云(VPC)”:在下拉列表选择已创建的虚拟私有云VPC。 3. “基础资源”:单击“新增基础资源”，选择该VPC下的基础资源，本例使用云容器引擎(CCE)。 4. “可选资源”:单击“新增可选资源”，选择该VPC下可选资源，本例使用名称为“Cloud Service Engine”的专业版微服务引擎。 说明 选定VPC后，会加载该VPC下的基础资源和可选资源供选择，不在该VPC下的资源无法选择。 3、单击“立即创建”，完成环境创建。 新建应用 1、登录ServiceStage，选择“应用管理 > 应用列表”，单击“创建应用”。 2、设置应用基本信息，输入“应用名称”、“描述”等信息。 3、单击“确定”，完成应用创建。 新建组件 步骤1 登录ServiceStage，选择“应用管理 > 应用列表”。 步骤2 选择上一步创建的应用，在“操作”栏单击“新增组件”。 步骤3 “配置方式”选择“自定义配置”，“选择组件类型”选择“微服务”，单击“下一步”。 步骤4 “选择运行时”选择“Java8”，单击“下一步”。 步骤5 “选择框架/服务网格”选择“Java Chassis”，单击“下一步”。 步骤6 设置组件信息： 1. “组件名称”:输入名称，如“javatest”。 2. “源码/软件包”:选择“源码仓库”。选择“GitHub”。然后选择“授权信息”、“用户名/组织”、“仓库名称（ServiceCombSpringMVC）”及“master分支”。 步骤7 打开“开启构建”开关并设置。 • “组织”:选择创建组织时创建的组织名称。 • “选择集群”:选择创建环境时选择的CCE集群 步骤8 单击“立即创建”，创建静态组件。

本章节会介绍如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的 入方向规则 。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本文向您介绍标签管理服务的权限管理方法。 如果您需要对云服务平台上创建的云资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您希望您的部分员工拥有标签管理服务的查看权限，但是不希望他们拥有删除预定义标签等操作的权限，那么您可以使用IAM为员工创建用户，通过授予标签管理服务的只读权限（TMS ReadOnlyAccess），控制员工对TMS的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用标签管理服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《统一身份认证用户指南》。 TMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 TMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问TMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对TMS服务，管理员能够控制IAM用户仅能对TMS服务进行指定的操作，如仅给IAM用户授予查看预定义标签的细粒度授权项，那么此IAM用户仅能查看预定义标签但不能创建和删除预定义标签。 如下表所示，包括了TMS的所有系统策略和系统角色。由于云服务平台各服务之间存在业务交互关系，标签管理服务的策略依赖其他服务的策略实现功能。因此给用户授予标签管理服务的权限时，需要同时授予依赖的权限，标签管理服务的权限才能生效。

本节介绍天翼AI云电脑(政企版)在订购方面的常见问题。 是否需要自行购买瘦终端？ 是的，瘦终端设备需要自行购买，您可以查询终端适配列表获取天翼AI云电脑兼容的瘦终端型号。 是否支持购买带宽？ 天翼AI云电脑（政企版）支持单独购买或分配带宽，带宽大小以分配到子网的带宽为准。订购带宽请参考上网带宽 天翼AI云电脑（公众版）不支持单独购买，默认情况下，天翼AI云电脑基础版包含下行带宽为50M，上行带宽为2M。标准版和精英版AI云电脑包含下行带宽为50M，上行带宽为4M。 是否支持单独购买数据盘？ 支持，用户在订购天翼AI云电脑过程中可以选择数据盘进行加购。AI云电脑创建成功后，也可以单独对天翼AI云电脑进行数据盘扩容。 天翼AI云电脑到期前有提醒吗？ 通过天翼云门户订购天翼AI云电脑，在即将到期前有3次到期提醒，分别为到期前7天、到期前3天，到期前一天和到期当天，以短信和邮件形式进行通知。

Web应用防火墙（边缘云版）适用于天翼云以及天翼云外所有用户，包含但不限于网站类业务广泛应用于政府门户、金融证券、电子商务、新闻媒体、游戏、教育等行业的Web应用类安全防护。 应用场景 业务特点 Web应用防火墙（边缘云版）可解决的业务痛点 政企网站 作为政府、企业的互联网信息服务的重要渠道，保障网站的稳定运行是服务提供的关键。 集成各类业务平台，业务接口多。 信息数据量大，用户信息价值高。 对Web类攻击进行多维度识别和防御，防止网站被挂马、篡改影响网站声誉。 智能AI与大数据协同，在现有的防护体系上扩充防护规则，提高防护效果。 降低硬件防护压力，利用边缘云安全、算力优势，减少硬件维护成本。 0day虚拟补丁第一时间生成防护策略，避免漏洞被利用带来负面影响。 金融行业 网站上存在大量的用户敏感信息，非法者利用刷库、撞库等手段获取用户账号信息。 常收到境外攻击团队勒索邮件，遭受攻击较多。 受行业监管要求，金融机构每年定期组织安全演练。 信用卡中心的各种推广活动，引来“羊毛党”通过恶意程序、软件等工具进行营销欺诈。 “云端+本地”双重保障，对攻击进行层层识别和防御，避免数据泄漏造成负面影响。 行业情报共享，不断优化安全防护模板。 爬虫防护，精准的人机识别，在拦截爬虫的同时，保障业务的正常进行。 新闻媒体 对外服务站点多，暴露面广，容易成为黑客突破口。 站点脆弱性未知，存在大量的漏洞未修复。 舆论、监管压力大，受主管、监管单位严格监管。 爬虫、钓鱼重灾区，竞争对手恶意竞争。 CNAME接入防御，自助配置，隐藏并保护源站，保障网站内容不被黑客入侵篡改。 通过业务分析及攻击分析定制防护策略，有效提升防护的精准度。 情报共享，全网攻击数据分析入库，反哺优化护网期间的攻击策略。 提供爬虫和 IP 情报特征，快速识别恶意爬虫行为。 教育行业 大量用户集中访问，高并发易卡顿。 跨区域运营商访问慢。 站点脆弱性未知，漏洞利用风险高。 挂马、数据篡改等事件高发时段。 域名CNAME接入，不改变源站架构，快速接入防护策略。 智能选路，分布式部署，资源弹性扩容，从容应对高并发。 0day漏洞快速修复，避免漏洞被利用带来负面影响。 支持防篡改，以及网站安全监测，提前预警防患于未然。

本章节会介绍如何创建数据库只读实例。 操作场景 只读实例用于增强主实例的读能力，减轻主实例负载。 关系型数据库单实例或主备实例创建成功后，您可根据业务需要，创建只读实例。 约束限制 1个主实例最多可以创建5个只读实例。 创建只读时，需要保证实例所在子网的可用私有IP数量≥ 2。 建议创建只读实例时，设置实例规格不低于主实例，否则可能导致创建只读失败和复制延迟升高。 创建只读实例时不要有DDL操作，否则可能会导致创建只读失败。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击操作列的“创建只读”，进入“服务选型”页面。 您也可在实例的“基本信息”页面，单击实例拓扑图中，主实例下方的添加按钮，创建只读实例。 步骤 5 在“服务选型”页面，填选实例相关信息后，单击“立即创建”。 表 基本信息 参数 描述 计费模式 支持包年/包月和按需计费两种模式。 当前区域 只读实例默认与主实例在同一区域。 实例名称 实例名称长度最小为4字符，最大为64个字符，如果名称包含中文，则不超过64字节（注意：一个中文字符占用3个字节），必须以字母或中文开头，区分大小写，可以包含字母、数字、中划线、下划线或中文，不能包含其他特殊字符。 数据库引擎 默认与主实例的数据库引擎一致，不可更改。 数据库版本 默认与主实例的数据库版本一致，不可更改。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 可用区 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主实例和只读实例，只读实例的选择和主实例可用区对应情况： 相同，主实例和只读实例会部署在同一个可用区。 不同，主实例和只读实例会部署在不同的可用区，提高可靠性。 表 规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。创建成功后可进行规格变更，请参见变更实例的CPU和内存规格。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。只读实例的存储空间大小默认与主实例一致。 磁盘加密 不加密：未开启加密功能。 加密：提高数据安全性，对性能有一定影响。 密钥名称：选择或创建密钥，该密钥是最终租户密钥。 说明： RDS购买磁盘加密后，在实例创建成功后不可修改磁盘加密状态，且无法更改密钥。 关系型数据库实例创建成功后，请勿禁用或删除正在使用的密钥，否则会导致关系型数据库服务不可用，数据无法恢复。 表 网络 参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同。 IPv4地址：创建只读实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 IPv6地址：选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。创建只读实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 内网安全组 和主实例相同。 表 高级配置 参数 描述 企业项目 对于已成功关联企业项目的用户，仅需在“企业项目”下拉框中选择目标项目。 标签 可选配置，对只读实例的标识。使用标签可以方便识别和管理您拥有的只读实例资源。每个只读实例最多支持20个标签配额。 只读实例创建成功后，您可以单击只读实例名称，在标签页签下查看对应标签。 表 包年/包月 参数 描述 购买时长 选择所需的时长，系统会自动计算对应的配置费用，时间越长，折扣越大。 自动续费 默认不勾选，不进行自动续费。 勾选后实例自动续费，自动续费周期与原订单周期一致。 步骤 6 在“规格确认”页面，进行信息确认。 如果需要重新选择，单击“上一步”，回到服务选型页面修改基本信息。 对于按需计费的实例，信息确认无误后，单击“提交”，下发新增只读实例请求。 对于包年/包月的实例，订单确认无误后，单击“去支付”，进入“付款”页面。 步骤 7 只读实例创建成功后，您可以对其进行查看和管理。 管理只读实例操作，请参见管理只读实例。 您可以通过“任务中心”查看详细进度和结果。 结束

订购存储 1. 登录应用托管控制台，在左侧导航栏单击【资产】>【存储】，单击【创建存储】按钮。 2. 在创建存储表单中，填写存储信息：存储名称、存储配置和可见范围。 字段 说明 存储名称 名称长度为 163个字符，支持小写字母、数字和中划线()。中划线不能出现在开头或结尾；不能连续出现多个中划线。 付费类型 当前为用户提供包年包月、按量付费 可用区 选择存储所在的可用区（注意要与OpenClaw相同可用区） 性能规格 选择所需要的性能规格 存储容量 需填写所需存储容量，存储创建完成后即按容量计费 可见范围 存储实例的可见范围： 仅自己可见：存储的创建人、项目空间所属人和开启“允许操作个人可见资源”权限的成员 可以查询到该资源 空间内公开可见：项目空间内所有成员都可以查询到该存储 3. 完成表单填写后，单击按钮【确认创建】，完成存储创建。

本节介绍了POD联网使用案例的用户指南。 本文介绍如何在容器集群创建的pod中，实现访问公网。 准备工作 已创建云服务引擎集群； 已在容器集群中创建pod，该pod需要进行公网访问。 操作步骤 步骤一：确定要访问公网的pod ip，确定其所属vpc的子网网段； 步骤二：购买弹性IP; 步骤三：购买NAT网关及配置路由； 步骤四：配置SNAT规则； 步骤五：pod内测试连通性。 步骤一：确定要访问公网的pod ip，确定其所属vpc的子网网段 1、首先确定容器集群部署所用网络插件类型，步骤如下 登录天翼云“云容器引擎”管理控制台； 选择指定资源池，进去集群列表； 点击进入指定集群； 在“集群信息”“基本信息”中查看网络插件； 2、确定访问公网的pod所属vpc子网网段 以无状态部署为例： “工作负载”“无状态”，选择命名空间，进入指定deployment； 进入deployment实例详情，查看pod列表； 如果网络插件是calico，那么记录实例所在节点ip： 如果网络插件是cubecni，那么记录pod ip： 在“虚拟私有云”“子网” 中，查看上述记录ip所属ip网段；

本文以自建Elasticsearch 7.10.2版本迁移至天翼云Elasticsearch实例为例子,介绍如何使用天翼云Logstash实现迁移Elasticsearch实例的数据。 Logstash 是一个开源的数据处理管道工具，广泛用于数据收集、处理和传输。它通常作为“ELK Stack”（Elasticsearch、Logstash、Kibana、Beats）的一个核心组件，用于处理结构化和非结构化数据。 天翼云Logstash可以实现将源Elasticsearch实例（如天翼云、自建或第三方Elasticsearch实例）中的数据迁移至天翼云Elasticsearch实例。在升级实例版本、实例架构调整、或跨区域的实例数据迁移时，可以选择使用天翼云Logstash迁移源Elasticsearch实例数据。 Logstash的方式迁移数据支持跨大版本，且迁移方式灵活，下表是支持的集群版本： 源目标 Elasticsearch7.10.2 OpenSearch Elasticsearch6.x √ √ Elasticsearch7.x小于7.10.2 √ √ Elasticsearch7.x大于7.10.2 √ √ Elasticsearch8.x √ √ 本文以自建Elasticsearch 7.10.2版本迁移至天翼云Elasticsearch实例为例子。 前提条件 已经创建天翼云Elasticsearch实例。 已经在创建的Elasticsearch实例中加装了Logstash实例。 加装Logstash能够通过内网或公网访问需要迁移的源Elasticsearch实例。 Logstash工作模型 Logstash工作模型核心部分为三部分：输入（Input）、过滤器（Filter）、输出（Output），按照配置管道文件的顺序对数据进行提取、处理转换、输出。 1.输入（Input）：Logstash支持多种数据输入源，如文件、数据库、消息队列以及Elasticsearch等。在我们的场景中，源Elasticsearch实例就是输入数据源。Logstash会批量提取源Elasticsearch实例中的数据。 2.过滤器（Filter）：过滤器是可选的，用于对输入数据进行实时处理和转换。它提供了一些强大的插件，可以对数据进行解析、变换、裁剪或其他操作。在我们的场景中，可以选择是否使用过滤器来处理迁移中的数据，例如删除源数据中不需要迁移的字段等操作。 3.输出（Output）：Logstash的输出插件负责将处理后的数据写入到目标位置，这可以是文件、数据库、消息队列，或者像本例中的天翼云Elasticsearch实例。

本文主要介绍统计分析概述。 云日志服务提供日志分析功能，支持通过自定义SQL语句与交互模式构造分析场景，本文介绍日志分析功能的基本操作。 通过SQL语句分析 云日志服务提供一套查询分析语句，由查询条件与SQL语句组成，两者通过管道符竖线 分割。 查询条件：通过查询条件指定日志内容需要匹配的条件，返回符合该条件的日志。例如使用 'status:404' 查询响应状态码为404的日志。检索条件为空代表无检索条件，即所有日志均可被查询出来。 SQL语句：通过SQL语句可针对符合检索条件的日志进行统计分析，返回统计分析结果。例如使用以下查询分析语句，统计响应状态码为404的日志数量 plaintext status:404 select count() as num SQL语法与使用说明请查看SQL语法。 操作步骤 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 查询框由查询语句和SQL分析语句组成，两者通过管道符联动。详情请见查询语句语法与SQL语法。 5. 选择需要查询分析日志的时间段范围，时间范围有两种方式，分别是相对时间和自定义时间。您可以根据自己的实际需求，选择时间范围。 1. 相对时间：表示查询距离当前时间5分钟、1小时等时间区间的日志数据。例如当前时间为20:10:05，设置相对时间1小时，表示查询19:10:05~20:10:05的日志数据，可在时间选择界面左侧直接选择相对时间。 2. 自定义时间：表示查询指定时间范围的日志数据，可在界面右侧设置自定义时间。

管理脚本任务 云堡垒机支持快速运维功能，用户可通过脚本方式快速运维多个目标资源。通过将脚本在多个SSH协议主机资源上执行，并根据发起的脚本，返回相应执行结果。 本小节主要介绍如何管理脚本任务，包括创建脚本任务、执行脚本任务、中断脚本任务、查看任务执行结果等。 约束限制 仅专业版云堡垒机支持快速运维功能。 仅支持快速运维Linux主机（SSH协议类型）资源的任务。 暂不支持快速运维Windows主机资源、数据库资源和应用资源的任务。 前提条件 已获取“快速运维”模块管理权限。 已获取资源访问控制权限，即已配置访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 快速运维 > 脚本控制台”，进入快速脚本运维页面。 3 配置快速脚本运维信息。 快速脚本运维参数说明 参数 说明 :: 执行脚本 输入针对主机资源需执行的脚本。 可选择“脚本管理”中脚本内容，也可新上传本地脚本文件。 脚本参数 （可选）自定义脚本参数。 执行帐户 “选择”已创建的SSH协议类型资源账户或帐户组。 “重置”已选择的资源账户或帐户组。 说明 每个资源的执行帐户最多一个。 更多选项 （可选）用户对资源账户执行任务权限不够时，需勾选上“提权执行”，用户需在该主机资源的Sudoers文件下执行任务。 4 立即执行脚本任务。 单击“立即执行”，即可针对目标资源，执行当前脚本任务。 5 中断脚本任务。 任务正在执行时，单击“中断执行”，可中断脚本任务。 “中断执行”会将当前执行帐户完成后才停止任务，再立即终止未执行的帐户。 6 查看执行结果。 脚本任务执行完成后，查看当前脚本任务执行结果。查看更多历史任务执行结果，请参见：管理快速任务执行日志。 在执行结果区域，在搜索框中输入关键字，根据资源名称、执行结果、执行帐户，快速查询任务执行结果。 单击“展开”，即可查看目标任务执行结果。 单击“导出”，即可下载当前脚本任务执行结果的CSV格式文件保存到本地。

本文介绍访问请求响应403状态码如何排查和处理。 问题描述 网站接入Web应用防火墙（边缘云版）之后，当访问请求有可能对网站造成安全威胁时，WAF防护引擎会拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案 当请求响应403拦截时，您可以通过Web应用防火墙（边缘云版）控制台查看具体的攻击拦截信息： 在Web应用防火墙（边缘云版）控制台，通过安全分析 > WAF攻击报表，查看WAF攻击数据的多维度统计分析。也可以通过日志管理 > WAF攻击日志查看每条拦截请求的攻击详细信息，其中事件ID跟拦截请求响应内容中的RequestID对应。 通过分析攻击日志详情后，如果您认为该拦截的请求是正常业务请求，可通过点击日志详情页面的"添加白名单"按钮，进入添加白名单页面添加对应的白名单规则。

本章节主要介绍云搜索服务如何重启集群。 集群停止工作时，您可通过重启集群恢复运行。处于“可用”或“异常”状态集群能执行重启操作，“处理中”或“创建中”的集群不能进行重启操作。 快速重启 确保集群处于“可用”或“异常”状态。 确认集群无执行中的任务，如导入数据、搜索数据等。 须知 快速重启集群过程中会导致集群不可用。如果快速重启失败，将有可能会丢失数据或导致集群不可用，请谨慎操作。 当集群处于可用状态时，请排查集群没有正在处理业务数据的任务，再执行快速重启操作。如果集群正在处理业务数据，如导入数据、搜索数据时，一旦快速重启集群，有可能导致数据丢失，如传输的数据丢失等。所以，建议停止所有集群任务后，再快速重启集群。 1.登录云搜索服务管理控制台。 2.单击“集群管理”进入集群列表界面，在对应集群的“操作”列中单击“更多>重启>快速重启”。 快速重启过程中，集群不可用。 3.重启集群后，请刷新页面，观察集群状态。重启过程中，集群状态为“处理中”，任务状态为“重启中”。如果集群状态变更为“可用”，表示集群已重启成功。如果集群状态变更为“异常”，建议联系管理员排查故障。 滚动重启 须知 滚动重启过程中可能出现数据丢失，请谨慎操作。建议您在业务空闲时操作。 只有当集群节点数大于等于3个时，才能支持滚动重启。 当数据量比较大时，滚动重启耗时较长。 1.登录云搜索服务管理控制台。 2.单击“集群管理”进入集群列表界面，在对应集群的“操作”列中单击“更多>重启>滚动重启”。 滚动重启过程中，集群可以提供服务，只有正在重启的节点不可用。如果客户端访问某个节点失败，可以访问其他节点。 3.重启集群后，请刷新页面，观察集群状态。重启过程中，集群状态为“处理中”，任务状态为“重启中”。如果集群状态变更为“可用”，表示集群已重启成功。如果集群状态变更为“异常”，建议联系管理员排查故障。

参数 类型 是否必填 名称 说明 xosorigin[].origin string 是 云存储XOS源站 xosorigin[].ak string 否 云存储XOS源站加密ak ak与sk必须同时填写 xosorigin[].sk string 否 云存储XOS源站加密sk ak与sk必须同时填写

本节主要介绍如何使用API删除卷。 此操作用来删除卷。 说明 卷禁用后，才能被删除（3.9之前的版本）。 对于上云卷，如果删除卷的时候未删除云上数据，后期可以使用卷还原功能进行卷数据还原。删除卷时，应确保卷不包含快照、一致性快照。 注意 对于上云卷，选择强制删除卷，且同时删除云上数据，可能会有云上数据残留，需要对云上数据进行手动删除。 如果卷存在关联克隆卷，且克隆卷未处于“Deleting”或“Flattening”状态，则禁止删除源卷。 如果卷有关联的快照或一致性快照，只能强制删除卷。强制删除卷时，将同时删除此卷的快照和一致性快照中的卷快照。同时也会产生数据残留风险，请谨慎操作。 请求语法 本地卷 plaintext DELETE /rest/v1/block/lun/lunName?forceforce HTTP/1.1 Date: date Host: ip:port Authorization: authorization 上云卷 plaintext DELETE /rest/v1/block/lun/lunName?forceforce&deleteCloudDatadeleteCloudData HTTP/1.1 Date: date Host: ip:port Authorization: authorization 请求参数 参数 类型 描述 是否必须 lunName String 要删除的卷名称。 取值：1~16位字符串，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 force Boolean 是否强制删除卷。 注意 强制删除卷，会产生数据残留风险，请谨慎操作。 取值： true：强制删除卷。 false：不强制删除卷。 默认值为false。 否 deleteCloudData Boolean 删除卷时，是否删除云上的数据。 取值： true：删除卷时，删除云上数据。 false：删除卷时，不删除云上数据。 默认值为false。 说明 如果删除Local模式的卷时携带此参数，会直接忽略。 如果卷状态为Suspended、Suspending或SuspendFailed，即使强制删除卷，也不能删除云上数据。 否

本文为您介绍VPN连接的产品定义和产品架构。 天翼云VPN连接是一款基于Internet的VPN网络连接服务，VPN（Virtual Private Network）即虚拟专用网络，用于在远端用户和VPC（Virtual Private Cloud）之间建立一条安全加密的通信隧道，使远端用户通过VPN直接使用VPC中的业务资源。 根据使用的加密协议不同，VPN连接可以提供IPsec VPN和SSL VPN两种连接方式。 IPsec VPN IPsec（IP Security）是一种IP层的隧道加密技术，通过使用加密算法在不同的网络之间建立加密的安全隧道。默认情况下，在VPC中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用IPsec VPN功能。 通过IPsec VPN连接可以实现企业数据中心、办公网络等与虚拟私有云（VPC）建立安全可靠的连接。假设您在天翼云中已经申请了VPC，并创建了2个子网（192.168.1.0/24, 192.168.2.0/24），您在自己的数据中心网络中也有2个子网（192.168.3.0/24, 192.168.4.0/24）。您可以通过IPsec VPN使VPC内的子网与数据中心的子网互相通信。 SSL VPN SSL VPN（Secure Sockets Layer VPN）是基于互联网线路，通过SSL加密通道将用户终端与天翼云VPC建立安全可靠连接的服务，满足客户便捷接入VPC的需求。 假设您在天翼云中已经申请了VPC，并创建了2个子网（192.168.1.0/24, 192.168.2.0/24），当您有移动终端访问VPC业务的需求时，您可以通过SSL VPN实现便捷安全的网络接入。

本节主要介绍步骤二：设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1. 登录管理控制台。 步骤 2. 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3. 在左侧导航树选择“访问控制 > 安全组”。 步骤 4. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6. 根据界面提示配置安全组规则。 步骤 7. 单击“确定”。

参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b 资源池ID alarmRuleID String 是 2c2472dff6335b4bbe459609fc9f8154 告警规则ID name String 是 告警规则test 规则名 desc String 是 描述 描述 notifyWeekdays Array of Integer 否 [0,1,2,3,4,5,6] 本参数表示通知周期。默认值[0,1,2,3,4,5,6]。取值范围：0：周日。1：周一。2：周二。3：周三。4：周四。5：周五。6：周六。根据以上范围取值。 notifyStart String 否 00:00:11 通知起始时段，默认值为全时段"00:00:00" notifyEnd String 否 23:59:59 通知结束时段，默认值为全时段"23:59:59" repeatTimes Integer 否 0 重复告警通知次数，默认为0 silenceTime Integer 否 300 静默时间，多久重复通知一次，单位为秒 recoverNotify Integer 否 0 本参数表示恢复是否通知。默认值0。取值范围：0：否。1：是。根据以上范围取值。 contactGroupList Array of String 是 ["7e6b4ac7cf07561db381fea74c401f50"] 告警接收策略通知人ID列表 notifyType Array of String 是 ["sms"] 本参数表示告警接收策略。取值范围：email：邮件告警。sms：短信告警。根据以上范围取值。 service String 是 ecs 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ dimension String 是 ecs 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ level Integer 是 1 本参数表示报警级别。取值范围：1：灾难告警。2：严重告警。3：一般告警。4：警告告警。根据以上范围取值。 rules Array of Objects 是 具体匹配规则 rule