本节介绍了：CSI的常见问题。 存储FAQCSI 本文主要介绍天翼云存储插件cstorcsi，其安装及使用过程中常见的问题及分析流程。 安装失败 失败原因查看 在“插件”——“插件市场”——选择“cstorcsi”插件安装，完成相关参数配置后点击“安装”；安装详情可以在“插件”——“插件实例”中看到cstorcsi实例，在状态栏查看实例运行状态，如果实例安装失败，可以通过查看状态栏的日志获取部署失败详情。 常见问题 查阅日志报 “no matches for kind “PodSecurityPolicy” in version“policy/v1beta1” 该报错见于在kubernetes v1.25集群上安装cstorcsi v3.1.0版本报错，报错原因是cstorcsi插件安装会部署PodSecurityPolicy资源，但该资源在k8s v1.25中被移除。该问题解决方案为： 1、将cstorcsi升级至3.2.0，按原参数安装即可； 2、如不希望进行组件升级，可以将cstorcsi v3.1.0 value.yaml中，将参数podSecurityPolicy.enabled配置为false，卸载后重新安装即可。 使用cstorcsi创建存储卷错误 通用分析流程 1、在“插件”——“插件实例”查看cstorcsi实例，运行是否异常； 2、进入“工作负载”——“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1、Can not get AK 该报错是由于cstorcsi安装过程中，未进行AK、SK配置。解决方案为：在”账号中心”——”安全设置”——”用户AccessKey”中查看AK、SK。 卸载cstorcsi后，选择重新安装该插件，在安装配置窗口中根据获得的 AK、SK值，分别填入AuthConfig.AK和AuthConfig.SK字段中，点击安装即可完成插件部署。 2、用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2、can not support RWX in filesystem mode for disk 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”——”持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。 如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。 目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3、failed to create disk volume, message: disk size should be in range [10G ,32T] 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为： failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。

安全管理员点击左侧导航栏的【系统管理】，进入【用户管理】页面可进行账号管理。

接口功能介绍 将安全组复制到账号的其它资源池下。 接口约束 无 URI POST /v3/securityGroup/copySecurityGroup 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 securityGroupOidList 是 Array of Strings 要复制的安全组ID列表 targetRegionIdList 否 Array of Strings 复制的目标资源池ID列表, 非必传, 不传默认复制到账号下所有资源池 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据结构体。 returnObj 枚举参数 无 请求示例 请求url 请求头header 无 请求体body { "securityGroupOidList":["sgxxxa","sgxxxb"], "targetRegionIdList":["region1","region2"] } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":{ } }

立即执行某个检查计划 本部分将介绍如何立即执行某个检查计划，配置后，系统将立即执行已选择的检查计划，开始检查遵从包中的检查项目。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在待执行立即手动检查的检查计划所在栏的上方单击“立即检查”。 系统将立即执行已选择的基线检查计划。 立即检查某个或某些检查项目 本部分介绍如何立即检查某个或某些检查项。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，默认进入检查结果页面。 5. 立即检查某个或某些检查项目。 某个检查项目 1. 在检查结果页面下方检查项目列表中，单击目标自动检查项所在行操作列的“立即检查”。 2. 在弹出的确认框中，单击“确认”。 刷新页面，查看“最新扫描时间”，即可确认是否为最新的扫描结果。 某些检查项目 1. 在检查结果页面下方检查项目列表中，勾选多个待检查的自动检查项目，并单击列表左上方的“立即检查”。 2. 在弹出的确认框中，单击在弹出的确认框中，单击“确认”。 刷新页面，查看“最新扫描时间”，即可确认是否为最新的扫描结果。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云全站加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在全站加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给全站加速节点。 4. 全站加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与全站加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与全站加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国际标准证书、国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。

本文介绍了RDSPostgreSQL的功能概览。 RDSPostgreSQL产品功能概览帮助您快速了解产品功能的支持情况。单机实例、主备实例、只读实例介绍请您参考产品介绍实例说明实例系列。 表1 产品功能概览 功能模块 产品功能 单机实例 主备实例 一主两备实例 规格 节点数 1 2 3 规格 规格配置 CPU：最高64核 内存大小：最高512 GB 数据盘：最高32768 GB CPU：最高64核 内存大小：最高512 GB 数据盘：最高32768 GB CPU：最高64核 内存大小：最高512 GB 数据盘：最高32768 GB 计费模式 自助开通 支持 支持 支持 计费模式 计费模式类型 按需、包年/包月 按需、包年/包月 按需、包年/包月 计费模式 按需、包年/包月互转 支持 支持 支持 实例操作 开通实例 支持 支持 支持 实例操作 注销实例 支持 支持 支持 实例操作 暂停 支持 支持 支持 实例操作 续期 支持 支持 支持 实例操作 重启 支持 支持 支持 实例操作 主备切换 不支持 支持 支持 实例操作 小版本升级 支持 支持 支持 实例操作 修改端口 支持 支持 支持 实例操作 系列升级 仅支持升级 仅支持升级 不支持 实例操作 配置变更 CPU和内存支持升规格、降规格 云盘仅支持扩容 CPU和内存支持升规格、降规格 云盘仅支持扩容 CPU和内存支持升规格、降规格 云盘仅支持扩容 实例操作 实例回收站 支持 支持 支持 实例操作 标签设置 支持 支持 支持 实例设置 修改管理员密码 支持 支持 支持 实例设置 内核参数 支持200多个内核参数修改 支持200多个内核参数修改 支持200多个内核参数修改 实例设置 空闲连接查杀 支持 支持 支持 实例设置 清理在线表 支持 支持 支持 实例设置 账号管理 支持 支持 支持 实例设置 数据库管理 支持 支持 支持 数据库代理 数据库代理 不支持 支持 支持 只读实例 只读实例 支持，单实例最多可订购5个只读实例 支持，单实例最多可订购5个只读实例 支持，单实例最多可订购5个只读实例 访问 安全组 支持 支持 支持 访问 云主机访问 仅支持同一VPC访问 仅支持同一VPC访问 仅支持同一VPC访问 访问 ipv4/ipv6 支持 支持 支持 访问 公网访问（绑定与解绑弹性IP） 支持 支持 支持 备份 全量/增量备份 支持 支持 支持 备份 自动/手动备份 支持 支持 支持 备份 跨域备份 支持 支持 支持 备份 数据同步方式修改 不支持 支持 支持 恢复 备份集恢复 支持 支持 支持 恢复 指定时间点恢复 支持 支持 支持 恢复 跨域恢复 支持 支持 支持 指标监控 仪表盘 支持 支持 支持 指标监控 资源监控 支持 支持 支持 指标监控 引擎监控 支持 支持 支持 日志监控 慢日志 支持 支持 支持 日志监控 错误日志 支持 支持 支持 操作监控 操作监控 支持 支持 支持 告警 监控告警 支持 支持 支持 数据安全 白名单管理 支持 支持 支持 数据安全 SQL审计 支持 支持 支持 数据安全 SSL链路加密 支持 支持 支持 参数组管理 参数组管理 支持 支持 支持 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 。

访问控制 访问控制策略是API网关提供的API安全防护组件之一，主要用来控制访问API的IP地址和帐户，您可以通过设置IP地址或帐户的黑白名单来允许/拒绝某个IP地址或帐户访问API。 VPC通道 在API网关中创建VPC通道来访问VPC环境中的资源，并将部署在VPC中的后端服务开放API。同时VPC通道具有负载均衡功能，从而实现后端服务的负载均衡。 签名密钥 签名密钥是由一对Key和Secret组成，签名密钥需要绑定到API才能生效。签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。

本文介绍零信任网络服务计费。 零信任网络服务适用场景 零信任网络服务由电信云公司自主研发，依托中国电信优质的网络资源，是旨在为企业提供安全、高效、智能的网络连接和加速服务，满足移动办公、海外访问国内应用、跨境加速、多云互联等多种场景。 计费模式： 包周期 计费区域： 中国内地、香港、亚太、美洲、欧洲、中东非 计费周期： 按月结算 折扣规则：不享受包年折扣 网络服务、远程办公、办公组网的关系： 网络服务提供区域带宽给远程办公和办公组网使用，支持订购后分配两个场景的带宽值。 远程办公包括零信任主套餐、扩展服务、按需订购项，带宽计费模式下可以叠加网络服务的区域带宽。 办公组网连接模式通过平台授权服务费来订购，加速模式通过网络服务的区域带宽进行订购。 注意 网络服务远程办公/办公组网不支持官网自助开通，请联系您的客户经理或者提交工单进行咨询。 网络服务区域带宽支持给远程办公和办公组网使用，并支持订购范围内按照场景分配带宽，请联系您的客户经理进行咨询。 计费项 计费类型 区域 阶梯区间 标准价格（元/Mbps/月） 备注 网络服务远程办公/办公组网带宽 包周期 中国内地 (0Mbps,100Mbps] 40 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中国内地 (100Mbps,+] 35 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (0Mbps,10Mbps] 230 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (10Mbps,20Mbps] 220 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (20Mbps,50Mbps] 210 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (50Mbps,100Mbps] 200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (100Mbps,200Mbps] 190 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (200Mbps,500Mbps] 150 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (500Mbps,1Gbps] 140 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (1Gbps,+] 135 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (20Mbps,50Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (50Mbps,100Mbps] 620 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (100Mbps,200Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (200Mbps,500Mbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (500Mbps,1Gbps] 500 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (1Gbps,+] 490 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (20Mbps,50Mbps] 675 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (50Mbps,100Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (100Mbps,200Mbps] 560 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (200Mbps,500Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (500Mbps,1Gbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (1Gbps,+] 510 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (0Mbps,10Mbps] 720 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (10Mbps,20Mbps] 710 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (20Mbps,50Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (50Mbps,100Mbps] 670 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (100Mbps,200Mbps] 580 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (200Mbps,500Mbps] 555 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (500Mbps,1Gbps] 535 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (1Gbps,+] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (0Mbps,10Mbps] 1375 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (10Mbps,20Mbps] 1330 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (20Mbps,50Mbps] 1200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (50Mbps,100Mbps] 1110 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (100Mbps,200Mbps] 1090 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (200Mbps,500Mbps] 940 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (500Mbps,1Gbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (1Gbps,+] 680 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 计费项 计费类型 标准价格（元/实例/月） 备注 平台授权服务费 包周期 100 用于办公组网连接模式，按照连接器个数收费 按照连接器实例带宽扣费： （0，100Mbps]占用1个平台授权服务 （100，300Mbps]占用2个平台授权服务 （300，500Mbps]占用3个平台授权服务 500Mbps以上带宽占用5个平台授权服务 说明 远程办公/办公组网/全球加速服务，非中国内地带宽可进行叠加共享。如订购远程办公香港带宽10Mbps，办公组网香港带宽5Mbps，全球加速香港带宽1Mbps，则该客户在香港区域可共享16Mbps带宽。 远程办公的中国内地带宽用于限制中国内地客户端接入的带宽，远程办公连接器中国内地带宽为免费赠送。 当远程办公中国内地连接器复用办公组网/全球加速已有的稳定隧道时，属于网络能力升级。为保障整条隧道链路的稳定性与公平性，同时满足统一计费与带宽管控要求，当远程办公连接器与办公组网/全球加速共用时，需按照已订购的带宽规格统一限速与计费。

关闭公网访问 1. 登录分布式消息服务RocketMQ控制台。 2. 单击RocketMQ实例的名称，进入实例详情页面。 3. 在“公网访问”后，单击。 4. 关闭，单击，关闭公网访问。 关闭公网访问后，需要修改对应的安全组规则，才能成功连接RocketMQ实例。 表2 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 VPC内访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口

原因 解决方案 后端服务地址错误。 在编辑API中修改后端服务地址。如果是域名，请确认域名能正确解析到后端服务IP地址。 后端超时时间设置不合理。当后端服务没有在设置的后端超时时间内返回时，API网关提示后端服务调用失败。 在编辑API中增加后端超时时间。 如果“后端服务地址”在ECS（Elastic Cloud Server），ECS的安全组的出/入方向规则可能拦截了请求。 检查后端服务所在ECS的安全组，确保出/入方向端口规则和协议都设置正确。 请求协议配置错误，如后端服务为HTTP，在API网关配置为HTTPS。 注册的API与后端服务配置相同的协议。

视频点播的播放地址过期如何解决。 视频点播的播放地址过期。 云点播底层依赖于对象存储的相关签名机制对文件访问权限进行保护。 如果将相关存储桶的权限默认设置为私有，任何访问请求需要经过签名校验才能通过。出于安全性考虑，该签名的有效期最长不超过7天（控制台生成的签名地址有效期为24小时），因此当携带签名的地址对外暴露超过7天后需要重新签名才可正常访问。用户可使用SDK或通过API接口对视频文件进行签名获取新的签名。

低门槛容器化，全套微服务治理 CAE 让您免运维 K8s 基础设施，秒级完成从代码包、Docker 镜像部署任意语言的在线应用（如微服务、Web 服务），并自动弹性伸缩按量计费。平台内置免费 Nacos 注册中心，支持 Spring Cloud 无侵入迁移，开箱即用服务注册发现、限流降级、无损上下线及全链路灰度等全套微服务治理能力，极简助力业务容器化转型。 开放标准，自主无忧 基于标准容器与Kubernetes生态构建，避免厂商锁定。您的应用可平滑迁移至任意兼容K8s的平台，保障业务长期发展的灵活性与自主权。 安全可靠，专注业务 底层采用安全容器技术，网络层通过VPC实现租户级强隔离，为您的应用与数据提供从基础设施到网络的双重安全保障，让您安心专注于业务创新。 生态集成，开箱即用 深度集成天翼云负载均衡（ELB）、文件存储（SFS）、对象存储（ZOS）等IaaS服务，以及微服务引擎（MSE）、应用监控（ARMS）等PaaS生态，提供一站式、高内聚的完整解决方案，大幅提升开发和运维效率。

参数 描述 IP地址或域名 源数据库的IP地址或域名。说明对于RAC集群，建议使用SCAN IP接入，提高访问性能。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库服务名 数据库服务名（Service Name/SID），客户端可以通过其连接到Oracle，具体查询方法请参照界面提示。 PDB名称 PDB同步仅在Oracle12c及以后的版本支持，该功能为选填项，当需要迁移PDB中的表时开启。PDB功能开启后，只能迁移该PDB中的表，并且需要提供CDB的service name/sid及用户名和密码，不需要PDB的用户名和密码。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。

海量文件服务OceanFS产品为您提供优质的服务体验，本文带您了解产品优势。 共享访问 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 支持NFSv3/v4.1、CIFS(SMB2.1/SMB3.0)。 支持IPv4和IPv6网络协议。 海量可扩展 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 支持PB级存储空间。 安全可信 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

本文主要介绍了RDSPostgreSQL产品的极致可靠优势，主要体现为：同城容灾、数据备份、数据恢复、存储可靠。 同城容灾 RDSPostgreSQL采用热备架构，这种技术可以实现故障自动切换，并且可以在短时间内完成切换过程，确保数据库服务的高可用性和可靠性，保障您对数据的访问需求。 数据备份 RDSPostgreSQL能够根据您的备份策略自动备份数据。备份文件会根据设置保留，最长支持保留180天，同时也支持一键式恢复，让您可以非常方便地进行数据的恢复操作。此外，还提供了灵活的备份策略设置，您可以根据自身业务特点选择备份周期、修改备份策略，保证数据备份和恢复的高效性和可靠性。 数据恢复 RDSPostgreSQL支持按备份集和指定时间点进行数据恢复，您可以方便地将保留天数内的任意时间点的数据恢复到新的数据库实例或者已有实例上，您可以通过验证数据的准确性来完成数据回溯操作。此外，还支持将退订后的包年包月实例和删除的按需实例进行保留，当您需要重新建立实例的时候，可以通过提交工单的方式来恢复1~15天内删除的实例，让您在数据管理过程中更加灵活和高效。 存储可靠 RDSPostgreSQL实例数据由云硬盘承载，云硬盘SLA见云硬盘服务等级条款，保证数据安全可靠，保护您的业务免受故障影响。

创建用户并授权使用云监控服务 如果您需要对您所拥有的云监控服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用云监控服务。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将云监控服务的相关操作委托给更专业、高效的其他账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用云监控服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的云监控服务系统策略，并结合实际需求进行选择。 示例流程 图 给用户授权CES权限流程 1. 创建用户组并授权，在IAM控制台创建用户组，并授予云监控服务权限“CES Administrator”、“Tenant Guest”和“Server Administrator”。 说明 云监控服务是区域级别的服务，通过物理区域划分，授权后只在授权区域生效，如果需要所有区域都生效，则所有区域都需要进行授权操作。针对全局设置的权限不会生效。 以上权限为云监控服务的全部权限，如您期望更精细化的云监控服务功能的权限，请参见云监控权限管理介绍，对用户组授予对应权限。 2. 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录云监控服务管理控制台，验证云监控服务的“CES Administrator”权限：使用相关功能过程中，如果没有出现用户鉴权失败的提示信息，表示用户授权成功。

本节介绍如何创建管道。 操作场景 数据传输消息主题和存储索引组合为数据管道。 当您需要使用态势感知（专业版）提供的 安全分析 、 数据分析 、智能建模功能时，需要创建管道。 前提条件 已新建工作空间，具体操作请参见新增工作空间。 已新增数据空间，具体操作请参见新增数据空间。 约束与限制 一个数据空间中最多可创建20个数据管道。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称右侧的，并在下拉选项中选择的“创建管道”，系统从右侧弹出创建管道页面。 6. 在创建管道页面中，配置管道参数，参数说明如下表所示。 参数名称 参数说明 数据空间 该管道所属的数据空间，系统默认生成。 管道名称 自定义管道的名称。命名规则如下： 名称长度取值范围为564个字符。 名称须为工作空间内唯一，不能与工作空间内的其他管道名称相同。 必须以小写英文字母开头，且只能包含小写英文字母、数字和''，且''不能在结尾，也不能连续出现。 不能以系统预留的前缀isap、csb、secmaster、sec、ssec、isec、lsec、security开头。 Shard数 该管道的Shard数量。取值范围为：164。 索引可以存储数据量超过1个节点硬件限制的数据。为满足这样的需求，Elasticsearch提供了一个能力，将一个索引拆分为多个，称为Shard。当您创建一个索引时，您可以根据实际情况指定Shard的数量。每个Shard托管在集群中的任意一个节点中，且每个Shard本身是一个独立的、全功能的“索引”。 生命周期 该管道内数据的生命周期。取值范围为：7180。 描述 可选参数，设置该管道的备注信息。 7. 单击“确定”。 创建成功后，可单击数据空间名称或数据空间栏后的，展开查看已创建的管道。

本文介绍Nginx Ingress概述。 本文将介绍Ingress基本概念、Ingress Controller工作原理以及Nginx Ingress Controller的使用说明。 Ingress基本概念 Ingress是Kubernetes集群中一种API对象，属于网络路由和负载均衡中的一个概念。它的主要作用是将外部的流量路由到集群内部的服务，您可以通过Ingress资源来配置不同的转发规则，从而根据不同的规则设置访问集群内不同的Service所对应的后端Pod。Ingress可以看作是在Service的基础上提供了更高级别的负载均衡和路由规则控制。与Service不同的是，Service只提供了基础的负载均衡和服务发现功能。 Ingress Controller工作原理 Ingress API对象的创建需要使用Ingress Controller，它是一个独立于Kubernetes集群之外的组件。Ingress Controller会不断地监视Ingress对象的变化，当检测到Ingress对象的变化时，它会自动更新代理服务器的配置信息。通常情况下，Ingress Controller会将请求代理到运行在同一集群内的Service中，但它也可以被配置为代理到集群外部的其他服务。Ingress Controller 常见的工作流程如下： 1. Kubernetes集群中的Ingress Controller通过API Server监控Ingress的创建、删除和更新。 2. 当有新的Ingress创建时，Ingress Controller会解析Ingress的规则，并将其实现为代理服务器的转发规则。 3. 当有新的Service创建或修改时，Ingress Controller会读取对应的Service的信息，例如其IP和端口等，并将其添加到代理服务器的配置中，实现对后端服务的指向。 4. 当新的Pod创建、修改或删除时，Ingress Controller会读取每个Pod上的Service的信息，并将其添加到代理服务器的配置中，实现对后端服务的指向。 5. 当有Ingress被删除时，Ingress Controller会删除代理服务器上对应的路由规则。

本章节为您介绍如何快速使用API安全网关 使用前准备 首先您需要准备一个可访问的服务端，此处示例使用 服务； 确保您已经登录 API安全网关系统，并修改相应用户配置，如登录密码、登录超时时间。 创建服务 1. 填写服务名称、目标节点主机名和端口，其余字段默认，点击下一步。 2. 插件配置不启用，点击下一步。 3. 预览保存服务。 创建API 1. 单击服务列表的“API”进入 API页面，创建一个 API。 2. 设置 API信息，填写 API名称、路径，其余字段默认，点击下一步。 3. 请求配置处理直接点击下一步。 4. 插件配置直接点击下一步。 5. 预览保存API。 访问API网关 发送请求 http:IP地址/get（此处 IP地址需替换为网关 IP）

本文为您介绍通过KMS非对称密钥实现签名验签的最佳实践。 数字签名技术是非对称加密算法的另一种典型应用。数字签名分为签名和验证两个过程，消息发送者使用私钥对数据签名，消息接收者使用公钥进行签名验证。 通过密钥管理服务（KMS）创建的非对称密钥可以实现签名验签功能，签名者通过调用密码运算API使用私钥计算消息签名，同时获取公钥并分发至消息接收者，接收者使用公钥对消息进行签名验证。 场景特点 用于信任程度不对等的系统之间，实现敏感信息的安全传递。 优势 应用广泛：通过非对称密钥实现签名验签，广泛用于数据防篡改、身份认证等相关技术领域。 安全保障：支持主流的非对称密钥算法并且提供足够的安全强度，保证数字签名的安全性。 场景示意图 操作流程 1. 信息发送者通过KMS控制台或者调用CreateKey接口，创建一个非对称的用户主密钥（CMK）。 2. 信息发送者通过调用KMS的getPublicKey接口获取到公钥，并将公钥分发给消息接收者。 3. 信息发送者通过调用KMS的asymmetricSign接口，使用创建的CMK私钥对需要传输的数据生成签名。 4. 信息发送者将签名和数据传递给信息接收者。 5. 信息接收者拿到签名和数据之后，在本地通过gmssl、openssl、密码库、KMS 的国密 Encryption SDK 等验签方法，使用信息发送者分发的公钥进行验证。特殊需求场景下，也可调用KMS的asymmetricVerify接口，使用CMK进行签名校验。

AI应用绑定 AI应用创建成功后，需要将其绑定至设备并启用后才可对摄像头画面进行智能AI分析。点击左侧菜单栏的【设备管理】，在目录树中点击想要使用AI应用的设备，切换到【配置信息】页面，点击服务配置右侧的【配置】后切换到AI并点击【绑定AI应用】。 在弹出的窗口中，下拉选择计费模式并勾选需要绑定的AI应用，点击【确定】完成绑定。 绑定成功后，即可在设备的【配置信息】看到已配置的AI应用，单个设备可以配置多个AI应用，支持用户对AI应用进行启用/停用或删除等操作。 AI算法配置 对于一些需要用户额外提供和视频画面相关的配置信息的算法，如危险区域需要用户绘制视频画面内的区域，完成应用创建后，可以在设备详情中进行设置。 以危险区域检测算法为例，当设备视频流在线时，可以点击AI应用右侧的【算法配置】按钮进入到配置页面。 在算法配置弹窗中，会展示当前AI应用的名称和生效时段，同时提供一张设备视频画面的截图，用户可以点击【画矩形】或【画多边形】在视频画面内绘制危险区域范围，当前仅允许配置单个区域，点击【清除】即可重新绘制。 完成危险区域配置后，在操作栏点击【启用】AI应用即可开始对设备的实时视频流画面进行AI分析，当有人员出现在危险区域内，将会生成AI告警信息。

背景介绍 VPC内计算实例访问某些线下IDC私网服务时，因访问服务方安全监管需要，要求VPC内所有计算实例使用同一固定私网地址进行访问，您可以通过私网NAT网关的SNAT功能，构建VPC统一私网出口。 准备工作 环境准备 已创建VPC，具体操作参见创建VPC。 该VPC下已创建１台弹性云主机。具体操作参见创建弹性云主机。 已创建云专线，并与此VPC连通。 操作步骤 步骤一：创建中转子网 步骤二：购买私网NAT网关 步骤三：创建中转IP地址(可选) 步骤四：配置路由 步骤五：配置SNAT规则 步骤六：测试连通性 步骤一：创建中转子网 步骤说明 提前规划好中转子网，在虚拟私有云中创建中转子网，要求与线下IDC互访网段无重叠；此子网用于创建私网NAT网关，且此子网会成为私网NAT网关默认的中转网段。 操作步骤 具体操作参见创建子网。 步骤二：购买私网NAT网关 步骤说明 购买私网NAT网关必须指定所在VPC、子网。此处指定私网NAT网关所在的VPC及已创建的中转子网。 操作步骤 1. 登录天翼云控制台，选择”网络>NAT网关>私网NAT网关”。 2. 进入NAT网关控制台，点击右上角“创建私网NAT网关”。 3. 选择付费方式，填写名称，选择可用区，VPC、子网，选择规格，点击“下一步”。 4. 确认规格，选择我已阅读并同意相关协议，单击“确认下单”，完成私网NAT网关的创建。 步骤三：创建中转IP地址(可选)

本文主要介绍入门指引。 本文将为您介绍分布式消息服务Kafka入门的基本流程，主要包括控制台创建Kafka专享版实例、使用弹性云主机连接实例的操作，帮助您快速上手Kafka。 您还可以通过API方式创建Kafka实例、在业务代码中连接Kafka实例。 操作流程 图Kafka使用流程 1. 环境准备 Kafka实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 Kafka实例创建后，您需要在弹性云主机中下载和安装Kafka开源客户端，然后才能进行生产消息和消费消息。 2. 创建Kafka实例 在创建实例时，您可以选择是否开启SASL访问，开启后，数据加密传输，安全性更高。同时，SASL开关只能在创建实例时设置，实例创建成功后，不支持修改。 3. （可选）创建Topic Kafka实例创建成功后，如果没有开启“Kafka自动创建Topic”，需要手动创建Topic，然后才能进行生产消息和消费消息。 4. 连接实例 针对实例是否开启SASL开关，在连接时是否需要下载证书，区分以下两种场景： 未使用SASL：包含内网访问和公网访问。 使用SASL：包含内网访问和公网访问。 5. 配置告警 配置Kafka实例监控告警策略，监控实际业务运行状态。 说明 关于Kafka的相关概念，请参考

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

本文介绍媒体存储如何保证我的数据不会被盗用。 在存储桶和文件是私有权限的前提下，只有桶或对象的拥有者才能访问，访问时需要提供访问密钥（AK/SK），即使用（AK/SK）加密的方法来验证某个请求发送者身份，并可通过用户控制台进行对密钥的管理。 另外还有ACL、桶策略、防盗链等多种访问控制机制保证数据的访问安全，所以不用担心您存储在媒体存储的数据会被盗用。 关于管理密钥可参考：密钥管理。 关于访问安全ACL、桶策略可参考：访问权限。 关于设置防盗链可参考：防盗链。

本文介绍了文档数据库服务与自建数据库服务的对比优势。 文档数据库服务与自建数据库对比，具有轻松易用、弹性扩容、丰富的运维监控等特征，同时在可用性、可靠性、安全性等方面也具有明显优势。 对比项 文档数据库服务 自建数据库 服务可用性 服务周期内服务可用率不低于99.95%。 需自行保障，需自行搭建主从复制，自行实现高可用能力。 数据可靠性 高可靠性。 底层多备份存储。 需自行保障数据的可靠性。 数据安全性 DDOS防护。 VPC私有网络访问。 VPC隔离数据库服务。 SSL安全链路访问。 需自行实现各类数据安全性功能，如购买安全防护软硬件。 一键开通 一键部署，分钟级开通文档数据库服务实例。 需购买主机等硬件，自行托管、搭建数据库服务，时间周期长，不可控。 弹性扩容 一键扩容，根据业务需求，分钟级完成规格、存储的弹性扩容。 需购买与原有实例同属性硬件等资源，自行维护数据库节点关系。 备份恢复 自动备份，支持自行配置自动备份策略。 手动备份，支持随时一键热备，不影响业务正常运行。 支持恢复到本实例及其它同属性实例。 需自行管理备份、自行维护备份数据集。 监控告警 支持数据库实例的主机、数据库服务、日志等多类监控指标。 支持自定义设置告警策略。 自行部署监控服务，自行实现告警服务。

本节主要介绍网络ACL的组成、功能特性、应用场景和使用限制。 网络ACL作为对子网可选的安全防护功能，基于网络ACL的规则对子网的出入方向数据流进行控制，实现子网粒度流量的精细化访问控制管理。网络ACL按需创建，其具有VPC属性，网络ACL只可关联其所属VPC下的子网，且每个子网只可关联一个网络ACL。通常可以将具有相同访问控制的多个子网关联到一个网络ACL。 网络ACL可以结合安全组一起使用实现对子网下的虚拟机的双重防护。 网络ACL的访问控制通过ACL规则实现，可以在网络ACL中按需添加ACL规则实现访问控制。 功能特性 网络ACL未配置策略规则时，出入方向均默认为允许，若需拒绝则需要添加对应的拒绝策略规则。 网络ACL是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。 子网可以按需关联到网络ACL，一个子网只能关联一个网络ACL，具有相同访问控制属性的多个子网可以关联到一个网络ACL。 默认放通同一子网内的流量。 网络ACL策略规则的优先级高于安全组的策略规则。 注意 网络ACL已从原来的有状态变更为无状态，对新关联的子网生效。建议出入方向配置相同的策略，同时允许或拒绝。 应用场景 对子网的出入流量做访问控制，可以通过网络ACL实现。

CCE权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于统一身份认证（IAM）的细粒度权限控制和IAM Token认证，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 如果您需要对已购买的CCE集群及相关资源进行精细的权限管理，例如限制不同部门的员工拥有部门内资源的细粒度权限，您可以使用CCE权限管理提供的增强能力进行多维度的权限管理。 本章节将介绍CCE权限管理机制及其涉及到的基本概念。如果当前帐号已经能满足您的要求，您可以跳过本章节，不影响您使用CCE服务的其它功能。 CCE支持的权限管理能力 CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，能够从集群和命名空间层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限：是基于IAM系统策略的授权，可以通过用户组功能实现IAM用户的授权。用户组是用户的集合，通过集群权限设置可以让某些用户组操作集群（如创建/删除集群、节点、节点池、模板、插件等），而让某些用户组仅能查看集群。 集群权限涉及CCE非Kubernetes API，支持IAM细粒度策略、企业项目管理相关能力。 命名空间权限：是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强，可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。 命名空间权限涉及CCE Kubernetes API，基于Kubernetes RBAC能力进行增强，支持对接IAM用户/用户组进行授权和认证鉴权，但与IAM细粒度策略独立。 注意：“集群权限”仅针对与集群相关的资源（如创建/删除集群、节点、节点池、模板、插件等）有效，您必须确保同时配置了“命名空间权限”，才能有操作Kubernetes资源（如工作负载、Service等）的权限。 统一身份认证服务（IAM） 统一身份认证（Identity and Access Management，简称IAM）是提供权限管理的基础服务，可以帮助您安全地控制服务和资源的访问权限。 IAM的优势：对资源可进行精细访问控制 您注册后，系统自动创建帐号，帐号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问所有的云服务。 如果您在购买了多种资源，例如弹性云主机、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 Kubernetes的角色访问控制（RBAC） Kubernetes基于角色的访问控制（RoleBased Access Control，即”RBAC”）使用”rbac.authorization.k8s.io” API Group实现授权决策，允许管理员通过Kubernetes API动态配置策略。详情请参见命名空间权限。

本页介绍天翼云TeleDB数据库的用户管理。 注意 用户管理模块只有DMS超级管理员才能进入，显示该组织下所有用户信息，支持编辑用户、删除用户。 1. 编辑用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击编辑 ，进入用户编辑 界面。 3. 在编辑界面可修改用户的用户名，所属团队信息。 2. 删除用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击删除 ，确认信息无误后，单击确定 即可将该用户从组织内移除。

步骤顺序 操作说明 步骤一：添加资产 添加系统需要审计的数据库，详情请参见 步骤二：安装Agent 安装Agent进行数据库审计，详情请参见 步骤三：配置规则 配置数据库的安全规则和过滤规则，详情请参见 步骤四：订阅报表的设置告警通知 便于管理员及时了解数据库的运行状态及安全告警信息，详情请参见

错误信息 说明 推荐的解决方案 日志中存在exit(0)。 容器中前台进程执行完毕正常退出。 非Job类型工作负载对应的Pod容器需要前台进程作为常驻进程，若前台进程执行完毕且无常驻进程，容器就会正常退出，kubelet检测到容器退出后重新拉起该容器，进而导致容器一直在重启。 修改容器主进程为常驻进程。 Event信息中存在Liveness probe failed:。 容器健康检查失败。 核查Pod中所配置的容器健康检查（Liveness Probe）策略是否符合预期，以及对应的健康检查条件是否满足。 Pod日志中存在no left space。 磁盘空间不足。 清理主机上不再需要的大文件或扩容磁盘。 启动失败，无Event信息。 可能是Pod中声明的Limit资源少于实际Pod进程启动所需资源。 检查Pod的资源配置是否正确。 Pod日志中出现Address already in use。 同一Pod中的Container端口存在冲突。 检查Pod是否配置了hostNetwork: true，这意味着Pod内的容器会直接与宿主机共享网络接口和端口空间。如果无需使用，请改为hostNetwork: false。 如果Pod需要使用hostNetwork: true，请配置Pod的反亲和性，确保同一副本集中的Pod被调度到不同节点。 检查并确保不存在也不会有两个或多个具有相同端口需求的Pod运行在同一台节点上。 检查主机上是否有主机进程占用了该端口，尽量避免在k8s节点主机上直接部署业务进程。 Pod日志中出现container init caused "setenv: invalid argument"": unknown。 工作负载中挂载了Secret，但Secret对应的值没有进行Base64加密。 通过控制台创建Secret，Secret对应的值会自动进行Base64加密。 通过YAML创建Secret，并执行echo n "xxxxx" base64命令手动对密钥值进行Base64加密。 无相关信息。 可能是业务Pod自身问题，如业务容器中进程启动参数有误。 查看Pod日志，通过业务日志内容排查问题。

本页介绍天翼云TeleDB数据库如何进行告警规则管理。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树上，单击告警管理 > 告警规则 管理，进入告警规则 页面。 2. 在当前实例下拉框选择目标实例。 3. 搜索事件告警或指标告警。 单击事件告警 或指标告警 ，您可在查询条件下拉框，选择开启 或关闭 ，输入告警名称，单击查询 ，搜索出事件告警或指标告警。 4. 新增、修改或删除事件告警。 1. 单击新增事件告警 ，出现新增事件告警对话框。 2. 在告警事件下拉框，选择告警事件，告警开启状态，单击确定 完成新增告警。 3. 单击编辑 ，可在编辑事件告警对话框中，修改告警开启状态。 4. 单击删除 ，在提示框中，单击确定 可删除事件告警。 5. 新增、修改或删除指标告警。 1. 单击新增指标告警 ，出现新增指标告警对话框。 2. 进入指标告警对话框，根据下表输入参数信息，单击确定 完成新增指标告警。 参数 说明 告警名称 自定义，可根据业务需求填写。 告警指标 您可根据业务需求选择节点告警或机器告警。 当选择节点告警 ，包含如下告警指标。 数据库磁盘占用量 Xlog文件数量 sql执行最长时间 sql执行平均时间 每分钟请求数 每分钟查询请求数 每分钟插入请求数 每分钟更新请求数 每分钟删除请求数 每分钟其他请求数 缓存命中率 当前连接数 剩余xid 当选择机器告警 ，包含如下告警指标。 CPU使用率 CPU负载 内存使用率 磁盘使用率 网络入流量 网络出流量 tcp连接数 指标维度 指标维度包含如下： 全部 GTM节点 CN 数据主节点 数据备节点 告警条件 可选择一个区间范围，大于0或小于0。 检测频率 1分钟 5分钟 10分钟 20分钟 告警开启状态 开启 关闭 3. 单击编辑 ，在编辑指标告警对话框，可修改参数信息。 4. 单击删除 ，在出现的提示框，单击确定 可删除指标告警。