服务测试功能可以让您在控制台填写调用参数、发起服务调用,并得到服务调用的结果 服务测试 在日常开发中，开发人员或测试人员需要临时调用线上服务来调试已经部署的服务或查询线上数据。服务测试功能可以让您在控制台填写调用参数、发起服务调用，并得到服务调用的结果。 登录微服务治理中心控制台，在左侧导航栏选择微服务治理中心>开发测试治理>服务测试，在测试列表可以查看已开启的微服务应用的相关信息，包括服务名称、应用名称、实例数量等。 选择需要测试的服务，点击测试，在选择测试方法面板中设置测试相关参数，包括调用IP、Path、请求方法、测试参数，然后单击执行，在结果区域查看测试是否成功。 参数说明： 参数 说明 调用IP 选中服务的提供者ip。 Path 方法请求路径。 请求方法 支持GET、POST、PUT和DELETE。 测试参数 方法请求携带的请求数据，包含headers和params。示例：{"headers": {"source":"inner"},"params": {"username":"test"}} GET：headers代表请求头、params代表请求参数。 POST：headers代表请求头、params代表请求体。 PUT：headers代表请求头、params代表请求体。 DELETE：headers代表请求头、params代表请求参数。

本文向您介绍如何排查企业版VPN云上云下无法Ping通的问题。 故障现象 云下数据中心服务器无法Ping通VPC上的ECS服务器。 VPC上的ECS服务器无法Ping通云下数据中心服务器。 可能原因 安全组配置不正确 客户设备侧放通策略配置不正确 客户设备侧路由配置不正确 处理步骤 检查安全组配置 确认default安全组已经放通去往对端子网数据流。 default安全组查看步骤如下： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击关联的VPC名称。 2. 单击VPC对应的路由表。 3. 单击路由表的名称。 4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。 5. 在“关联安全组”页签，检查端口放通情况。 确认default安全组已经放通来自对端子网数据流。 确认default安全组已经放通去往本端子网数据流。 确认default安全组已经放通来自本端子网数据流。 确认ECS所在的安全组已经放通去往对端子网数据流。 ECS安全组可以选择“计算 > 弹性云主机”，单击“更多 > 安全组规则配置”查看。 确认ECS所在的安全组已经放通来自对端子网数据流。 检查客户设备侧放通策略 确认客户设备侧已经放通去往VPN本端子网的数据流。 确认客户设备侧已经放通来自VPN本端子网的数据流。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。 检查客户设备侧路由配置 确认公网路由配置正确：目的地址为VPN网关EIP地址，下一跳为设备出口地址。 确认私网路由配置正确：目的地址为VPN本端子网，下一跳为设备出口地址。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。

本文主要介绍弹性负载均衡的入门流程。 1. 开始。 2. 创建弹性云主机：在弹性云主机控制台界面创建两台ECS。 3. 搭建后端服务：在两台ECS实例上部署业务。 4. 新建负载均衡器：在弹性负载均衡控制台界面创建ELB。 5. 添加监听器：在创建的ELB中添加监听器。 6. 验证负载均衡服务：验证是否可以实现访问到不同的后端云主机。 7. 结束。

本节介绍了准备实例依赖资源的相关内容。 使用DCS服务前，若采用VPC内连接的方式，您需要创建虚拟私有云（Virtual Private Cloud，以下简称VPC），并且配置安全组与子网。VPC为DCS服务提供一个隔离的、您可以自主配置和管理的虚拟网络环境，提升资源的安全性，简化网络部署。 如果您已有以下依赖资源，可重复使用，不需要多次创建。 创建VPC和子网 步骤 1 登录管理控制台。 步骤 2 在管理控制台左上角单击，选择区域和项目。 步骤 3 单击“创建虚拟私有云”。 步骤 4 根据界面提示创建虚拟私有云。如无特殊需求，界面参数均可保持默认。 关于创建VPC的详细信息可以参考 虚拟私有云帮助文档中的“快速入门”。 创建虚拟私有云时，会同时创建子网，若需要额外创建子网，请参考步骤5和步骤6；如果不需要额外创建子网，请执行创建安全组。 说明 在创建虚拟私有云时，配置参数“网段”，即为VPC的地址范围，若配置该参数，则VPC内的子网地址必须在VPC的地址范围内。 若创建虚拟私有云用于发放DCS实例时，可不用配置虚拟私有云的“网段”。 步骤 5 在左侧导航栏选择“虚拟私有云 > 子网”，进入子网页面。 步骤 6 单击“创建子网”。根据界面提示创建子网。如无特殊需求，界面参数均可保持默认。 结束

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本节为您介绍天翼云 CTRDS SQL Server迁移至中国电信TeleDB配置。 限制条件 中国电信TeleDB for MySQL在使用Udal组件的情况下，全量迁移阶段无法自动迁移表定义。您需要提前手动创建表。 目标端配置请参照自建SQL Server迁移至自建MySQL。

本节为您介绍天翼云CTRDS MySQL迁移至中国电信TeleDB任务配置。 限制条件 中国电信TeleDB for MySQL在使用Udal组件的情况下，全量迁移阶段无法自动迁移表定义。您需要提前手动创建表。目标端配置请参照自建MySQL迁移至自建MySQL。

快照恢复 控制台提供了快照恢复功能，即每隔一段时间对生产数据生成一个快照。当生产数据发生异常时，可通过灾备端的快照副本来执行数据恢复。此快照功能针对Windows灾备机；Linux灾备机不支持此快照配置，建议使用CDP功能。 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步”“资源同步管理”，进入资源同步管理页面。 5. 点击左侧菜单栏“持续数据保护”，点击“CDP恢复”，进入CDP恢复页面。 6. Tab栏选择“快照恢复”，点击“新建”按钮，进入快照恢复页面。 7. 基础设置页面中，选择快照项用户可选择当前所有可用快照副本并锁定恢复时间。其他配置项、压缩页面各配置项与CDP恢复一致。 8. 点击“确定”按钮，完成快照恢复规则创建。 上述内容详情可参见多活容灾服务用户帮助手册持续数据保护。

本节介绍漏洞扫描服务的权限管理。 系统默认提供两种权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 如果您需要对您所拥有的VSS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用VSS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 如果云帐号已经能满足您的要求，则不需要创建独立的IAM用户，不影响您使用VSS服务的其它功能。

本文主要介绍创建私网NAT网关的中转子网和中转IP 操作场景 私网NAT网关创建成功后，您需要创建中转子网与中转IP。 通过创建中转子网与中转IP，使虚拟私有云内多个云主机可以共享中转IP访问用户本地数据中心（IDC）或其他虚拟私有云，或面向私网提供服务。 前提条件 中转VPC、中转子网已创建成功。 云专线接入的用户，云专线的虚拟网关中，“VPC网段”参数建议设置为"0.0.0.0/0"。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在私网NAT网关页面，单击“中转IP > 创建中转IP”，进入创建中转IP页面。 5. 根据界面提示，配置中转IP参数，详情请参见下表。 表中转IP参数说明 参数 说明 中转VPC 中转IP所在的VPC。 中转子网 中转子网相当于一个中转网络，是中转IP所属的子网。 子网至少有一个可用的IP地址。 中转IP 中转IP的分配方式有以下两种。 自动分配：由系统自动分配中转IP地址。 手动分配：手动指定中转IP地址。 IP地址 当中转IP的分配方式选择“手动分配”时，需要指定中转IP地址。 单击下方“查看已使用IP地址”可以查看所选子网中已使用的IP地址。 6. 单击“确定”，完成中转IP创建。

服务器安全卫士（原生版）企业版到期回归基础版后，历史安全事件记录是否仍可查看？ 服务器安全卫士（原生版）企业版、旗舰版回归基础版后，以往安全事件记录仍可在主机详情中查看。 天翼云服务器安全卫士（原生版）支持跨区域使用吗？ 支持。天翼云服务器安全卫士（原生版）是平台级服务，您通过控制台可以查看所有资产情况和风险情况，不需要切换资源池。 服务器安全卫士（原生版）与非云原生的主机安全软件有何区别？ 服务器安全卫士（原生版）与非云原生的主机安全软件相比不需要用户自己安装控制中心，即开即用。 灵活授权，根据用户业务安全性需要选择不同版本客户端。 实时更新，保持最新版本、最新安全能力。 服务器安全卫士（原生版）购买后遇到问题如何解决？ 天翼云为客户提供7天×24小时客服服务，包括客服的售后热线（4008109889）咨询服务和在线工单服务，解答、处理客户在使用天翼云服务过程中遇到的问题，《专用服务条款》另有约定的，适用《专用服务条款》的约定。 服务器安全卫士（原生版）软件版本、病毒库、漏洞库等需要手动更新吗？ 不需要，在购买服务周期内，系统检测到最新库版本，自动进行更新，用户无需额外操作。 服务器安全卫士（原生版）漏洞库多久更新一次？ 漏洞规则库每月更新一次。

本节介绍科研助手的使用指南。 产品功能 功能介绍 相关链接 开发机 创建开发机 科研服务 科研服务 数据存储 数据存储

本文主要介绍镜像服务产品镜像删除类的常见问题。 云主机 退订或删除后，使用该云主机创建的私有镜像是否自动删除？ 使用云主机创建的私有镜像存储在OBS中，退订或删除云主机不会对私有镜像造成影响，您仍可以继续使用。 我的镜像配额不够了，想删除其中一个镜像，但是这个镜像曾共享给了其他人，能删除吗？ 可以删除，并且无需镜像的接受方进行相关操作，您执行删除后，镜像接受方的共享镜像也同步删除。因此，为避免影响对方正常业务，请在删除前通知对方做好备份。 如何删除共享镜像，删除后对已创建好的云主机或云硬盘有无影响？ 可以通过“拒绝”操作删除共享镜像。删除后对已创建好的云主机或云硬盘没有影响。

集群扩容和缩容 不支持自动扩缩容集群中的 Master 节点，仅对集群的node工作节点进行自动扩容缩容。 用户在扩容集群规模时必须满足用户配额（ECS节点、弹性IP等）的前提，如果用户配额不满足，需要提交工单，申请扩大配额。 存储卷 云硬盘存储卷使用约束： 云硬盘不支持跨可用区挂载，且不支持被多个工作负载、同一个工作负载的多个实例或多个任务使用。由于CCE集群各节点之间暂不支持共享盘的数据共享功能，多个节点挂载使用同一个云硬盘可能会出现读写冲突、数据缓存冲突等问题，所以创建无状态工作负载时，若使用了EVS云硬盘，建议工作负载只选择一个实例。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 文件存储卷使用约束： 支持多个PV挂载同一个SFS或SFS Turbo，但有如下限制： 1. 多个不同的PVC/PV使用同一个底层SFS或SFS Turbo卷时，如果挂载至同一Pod使用，会因为PV的volumeHandle参数值相同导致无法为Pod挂载所有PVC，出现Pod无法启动的问题，请避免在同一个Pod中挂载相同的SFS或SFS Turbo。 2. PV中persistentVolumeReclaimPolicy参数建议设置为Retain，否则可能存在一个PV删除时级联删除底层卷，其他关联这个底层卷的PV会由于底层存储被删除导致使用出现异常。 3. 重复用底层存储时，建议在应用层做好多读多写的隔离保护，防止产生的数据覆盖和丢失。 对象存储卷使用约束如下： 使用对象存储时，挂载点不支持修改属组和权限。 使用PVC挂载对象存储时，负载每挂载一个对象存储卷，后端会产生一个常驻进程。当负载使用对象存储数过多或大量读写对象存储文件时，常驻进程会占用大量内存，为保证负载稳定运行，建议负载使用的对象存储卷数量不超过其申请的内存GiB数量，如负载的申请的内存规格为4GiB，则建议其使用的对象存储数不超过4。 安全容器不支持使用对象存储。 挂载普通桶时不支持硬链接（Hard Link）。 在工作负载中挂载OBS存储卷声明时，不支持只读模式（readonly）。 本地持久卷使用约束： 本地持久卷仅在集群版本> v1.21.2r0 时支持，且需要everest插件版本>2.1.23，推荐使用>2.1.23版本。 移除节点、删除节点、重置节点和缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。移除节点、删除节点、重置节点和缩容节点时使用了本地持久存储卷的Pod会从待删除、重置的节点上驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为该PVC对应的底层逻辑卷已不存在。 请勿在节点上手动删除对应的存储池或卸载数据盘，否则会导致数据丢失等异常情况。 本地持久卷不支持被多个工作负载或多个任务同时挂载。 本地临时卷使用约束： 本地临时卷仅在集群版本> v1.21.2r0 时支持，且需要everest插件版本>1.2.29。 请勿在节点上手动删除对应的存储池或卸载数据盘，否则会导致数据丢失等异常情况。 请确保节点上Pod不要挂载/var/lib/kubelet/pods/目录，否则可能会导致使用了临时存储卷的Pod无法正常删除。 快照与备份使用约束： 快照功能仅支持v1.15及以上版本的集群，且需要安装基于CSI的everest插件才可以使用。 基于快照创建的云硬盘，其子类型（普通IO/高IO/超高IO）、是否加密、磁盘模式（VBD/SCSI）、共享性(非共享/共享)、容量等都要与快照关联磁盘保持一致，这些属性查询和设置出来后不能够修改。 只有可用或正在使用状态的磁盘能创建快照，且单个磁盘最大支持创建7个快照。 创建快照功能仅支持使用everest插件提供的存储类（StorageClass名称以csi开头）创建的PVC。使用Flexvolume存储类（StorageClass名为ssd、sas、sata）创建的PVC，无法创建快照。 加密磁盘的快照数据以加密方式存放，非加密磁盘的快照数据以非加密方式存放。 LVM 配置约束： 节点中LVM的backup功能已修改默认配置（位于/etc/lvm/lvm.conf路径）：安装存储插件Everest（> 2.4.98）后，Archive保留时间会被约束为1天，以防止大量LVM操作的历史元数据侵占磁盘空间。

说明 在Console上添加服务会自动同步到Manager页面。 删除服务 MRS 3.1.2LTS.3及之后版本支持添加和删除服务。 步骤 1 在集群详情页，单击“组件管理”。 步骤 2 在指定服务所在行，单击“删除”操作。  如果需要删除的服务存在上层依赖，则不可删除，每次只能删除一个服务。  不支持删除Hadoop（HDFS、Yarn、MapReduce）、Ranger、DBService、KrbServer、LdapServer和meta服务，其他已安装服务可删除。 步骤 3 在弹出的对话框中单击“是”，删除该服务。 注意  在Console上删除服务会自动同步到Manager页面。  删除服务前，请先备份该服务的数据，避免数据丢失。 启动、停止和重启服务 步骤 1 在集群详情页，单击“组件管理”。 步骤 2 在指定服务所在行，单击“启动”、“停止”和“重启”执行启动、停止和重启操作。 服务之间存在依赖关系。对某服务执行启动、停止和重启操作时，与该服务存在依赖关系的服务将受到影响。 具体影响如下： 启动某服务，该服务依赖的下层服务需先启动，服务功能才可生效。 停止某服务，依赖该服务的上层服务将无法提供功能。 重启某服务，依赖该服务且启动的上层服务需重启后才可生效。

参数 插件版本 参数说明 节点总数 所有版本 可扩容的最大节点总数。 cpu总数（核） 所有版本 可扩容的最大cpu总数（核）。 内存总数（GB） 所有版本 可扩容的最大内存总数（GB）。 自动扩容 部分版本无此参数 未调度实例扩容： 默认选中。 启用集群使用率扩容： 可选，扩容能力增强。 cpu扩容使用率：当节点池CPU达到所设置的使用上限，将扩容当前预置节点池的节点数。 内存扩容使用率：当节点池内存达到所设置的使用上限，将扩容当前预置节点池的节点数。 磁盘 部分版本无此参数 系统盘和数据盘：设置节点磁盘空间。 系统盘：规格为[40,1024]GB，用户可以配置，缺省值为40GB。 数据盘：规格为[100,32678]GB，用户可以配置，缺省值为100GB。 勾选“资源分配自定义”后，您可以对数据盘中的Docker和Kubelet资源占比进行自定义设置。 须知 磁盘使用directlvm模式，移除将使用looplvm模式，有影响系统稳定性的风险。 Docker资源包含Docker镜像数据以及镜像元数据，Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 数据盘：单击“新增数据盘”，您可以增加一块数据盘。 系统盘和数据盘均可提供以下性能规格的云硬盘： 普通IO：是指由SATA存储提供资源的磁盘类型。提供可靠的块存储，单个云硬盘的最大IOPS可达到1000，可运行关键应用程序。 高IO：是指由SAS存储提供资源的磁盘类型。提供可达到3000的高IO和低至1 ms的读写延时，支持NoSQL/关系型数据库，数据仓库，文件系统等应用。 超高IO：是指由SSD存储提供资源的磁盘类型。提供可达到20000的超高IO和低至1 ms超低读写时延，支持NoSQL/关系型数据库，数据仓库等应用。 命令行注入 部分版本无此参数 请输入脚本命令。 说明： 脚本命令大小限制：0~1000字符。

本小节介绍云防火墙N100型号计费类常见问题。 N100是否可以按月计费？ N100支持按月/按年计费，最低订购时长为1个月。 云主机和N100计费是否重复？ 云主机订购费用和N100的计费是不同步的，云主机计算属于资源计算，需要按照平台云主机计费标准；N100属于服务计费，会根据使用规格、时长、功能等项目进行计费。 我已经购买了云N100，是否意味着已开启安全防护？ 不是。购买成功后还需要一系列的配置才能开启安全防护，例如准备承载机资源、导入授权、配置引流、开启安全防护策略、设置告警通知等配置。

本章节会介绍如何使用MySQL命令行内网连接实例 当应用部署在弹性云主机上，且该弹性云主机与RDS for MySQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与RDS for MySQL实例。 提供两种连接方式通过MySQL客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性，该能力白名单开放，如有需求可联系客服提供。 前提条件 1. 登录弹性云主机。 通过弹性云主机连接关系型数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为 默认安全组 （default），则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 2. 使用客户端连接实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本高于已创建的RDS实例中数据库版本。 SSL连接（白名单能力开放） 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 4、单击实例名称进入“基本信息”页面。 5、在“数据库信息”模块的“SSL”处，查看SSL开关状态。 开关打开。 6、单击“SSL”处的，下载“Certificate Download”压缩包，解压后获取根证书（ca.pem）和根证书捆绑包（cabundle.pem）。 将根证书（ca.pem）导入弹性云主机Linux操作系统。 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 参数说明 参数 说明 内网地址。在目标实例的“基本信息”页面，“连接信息”模块的“内网地址”。 数据库端口，默认3306。在目标实例的“基本信息”页面，“连接信息”模块的“数据库端口”。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 CA证书路径，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password:

此小节介绍云堡垒机的系统部门。 “部门”是用于划分组织结构，标识用户和资源的组织。系统默认有一个部门“总部”，仅可在“总部”基础上创建部门分支，且“总部”不可删除。根据部门划分用户组织结构后，下级部门用户不能查看上级部门信息，包括上级部门组织结构、用户、主机资源、应用资源、应用发布服务器、资源账户，以及上级部门配置的策略信息和运维审计数据。 不同部门的用户，仅同部门和上级部门管理员可管理用户。 仅系统管理员admin或拥有“部门”模块权限的用户，可管理系统部门组织结构，包括新建部门、编辑部门、删除部门、查询部门用户和查询部门资源等。 新建部门 云堡垒机默认“总部”为系统最上级部门，仅可在“总部”基础上创建部门分支。 前提条件 已获取“部门”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 在左侧导航树中，选择“部门”，进入部门管理页面。 3 单击页面右上角的“新建”，弹出“新建部门”窗口。 4 选择“上级部门”，输入待新建的“部门名称”，并根据需要输入简要“部门描述”。 说明 系统内自定义的“部门名称”不能重复； 上级部门仅能在已有部门目录树中选择。 5 单击“确定”，返回部门管理页面，查看新建的部门。

本章主要介绍翼MapReduce的恢复DBService数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对DBService进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对DBService进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复DBService任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的DBService数据。 MRS集群中默认使用DBService保存Hive、Hue、Loader、Spark、Oozie的元数据。恢复DBService的数据将恢复全部相关组件的元数据。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，依赖DBService的组件可能配置过期，需要重启配置过期的服务。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。

本文为您介绍分布式消息服务MQTT续订和退订内容。 场景描述 分布式消息服务MQTT为用户提供全面周到的服务，支持用户续订和退订的需求。 续订：针对包周期消息实例服务，用户可在到期前进行服务周期延长操作，即续订操作。 退订：用户如不需要继续使用该分布式消息服务MQTT实例，可进行删除实例操作，即退订操作。 续订 1、登录MQTT消息控制台，可以看到当前租户下面的实例列表。 2、点击需要变更实例栏 > 更多 > 续订。 3、 进入到续订页面，在弹出来的确认窗口选择续订时长，点击确认即可。 退订 1、登录MQTT消息控制台，可以看到当前租户下面的实例列表。 2、点击需要变更实例栏 > 更多 > 退订。 3、 进入到退订页面，在弹出来的确认窗口点击确认即可。 注意 退订的实例处于冻结状态，请务必在实例退订前停止全部的应用。 在申请退订前，请做好数据备份工作，退订后数据将保留15个自然日，15天后相关数据将不予保留，且不会进行备份，务必谨慎操作。

本页介绍了文档数据库服务DDS如何开启存储空间自动扩容。 操作场景 文档数据库服务DDS支持实例存储空间的自动扩容，方便用户在实例存储空间达到一定阈值时由后台自动发起扩容，无需人工操作确认。 约束限制 实例状态非运行中时，自动扩容不会进行。 备份类型为云硬盘的集群版实例最大可自动扩容至2TB，备份类型为对象存储的所有实例最大可自动扩容至32TB。 操作步骤 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击需要开启扩容存储空间实例的实例名称，进入到该实例详情页。 4. 在“配置信息”区域，单击“存储自动扩容”参数右侧的 “设置” 。 5. 在“设置存储空间自动扩容”对话框中，开启自动扩容，配置“存储扩容触发阈值”和 “存储自动扩容上限” 。 6. 点击“确定”完成存储空间自动扩容设置。 说明 当存储空间大于备份空间，备份空间也会进行自动扩容。 自动扩容变更将产生额外计费，如实例有只读从节点，会跟随主节点一起扩容。 当已用存储空间到达触发阈值时，存储空间按照当前存储空间的20%进行扩容。 当超过触发阈值不会马上触发扩容操作，需等几分钟后台才会进行扩容，如有急用，请手动进行存储空间扩容。

步骤三：创建工作负载 示例yaml文件podpvcdisk.yaml： shell apiVersion: apps/v1 kind: StatefulSet metadata: name: nginxpvcdisk labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginxpvcdisk serviceName: "" template: metadata: labels: app: nginxpvcdisk spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" volumeMounts: mountPath: "/mnt/data" name: "volume1" volumes: name: "volume1" persistentVolumeClaim: claimName: "testpvc" 执行以下命令创建工作负载： shell kubectl apply f podpvcdisk.yaml 查看pv和pvc绑定状态： shell kubectl get pv kubectl get pvc 可以看到已经自动创建出了pv，并且pvc已绑定pv： 步骤四：验证数据持久化 1. 登录弹性容器服务管理控制台。 2. 在容器组列表页点击刚才创建的实例。 3. 点击“远程连接”页签，进入到容器内。 4. 向/mnt/data 目录下写一个文件，执行： shell echo "Hello World" > /mnt/data/test.log 5. 查看/mnt/data 目录下文件，执行： shell cat /mnt/data/test.log 预期结果如下： 6. 退出“远程连接”，使用kubectl删除pod，会触发pod自动重建，等待Pod重新运行正常。 shell kubectl delete po nginxpvcdisk0 7. 对新建Pod，登录弹性容器服务管理控制台，继续执行“远程连接”，进入到容器内查看数据。执行： shell cat /mnt/data/test.log 预期结果如下： 8. 以上步骤说明，pod删除重建后，重新挂载云盘，数据仍然存在，说明云硬盘中的数据可持久化保存。

参数 参数类型 说明 示例 下级对象 productType String 本参数表示产品类型。取值范围：vm：云主机。根据以上范围取值。 vm inspectionType Integer 本参数表示巡检类型。取值范围：1：资源健康评估。2：资源风险识别。根据以上范围取值。 1 inspectionItem Integer 本参数表示巡检项。取值范围：1：云主机性能评估。2：监控数据健康评估。3：云主机闲置资源检查。4：云主机磁盘使用预警评估根据以上范围取值。 1 level Integer 本参数表示重要等级。取值范围：1：低。2：中。3：高。根据以上范围取值。 2 description String 巡检项描述 云主机磁盘空间耗尽风险 inspectionResult Boolean 本参数表示巡检结果。取值范围：true：正常。false：异常。根据以上范围取值。 true anomalyCount Integer 异常数量 10

监控总览是在某个项目,某个环境下所有已发布应用实例的Top10统计数据 概述 监控总览是在某个项目，某个环境下所有已发布应用实例的Top10统计数据，主要包括请求，错误数,延迟，cpu利用率，内存利用率，网络入口流量这些指标的Top10统计。 1. 登录微服务云应用控制台，左侧菜单栏选择“应用监控 > 监控总览”，进入监控总览查看监控数据。 2. 右侧筛选框可以切换选择“当前环境”，选择项目和统计时间过滤。 1. 请求Top10 当前租户在指定环境、项目下一定时间范围内应用实例服务请求量前 10 名的排名情况。 1. 实例名称：应用实例名。 2. 项目名称：应用实例所属项目名。 3. 请求量：应用实例服务请求量。 2. 错误数Top10 当前租户在指定环境、项目下一定时间范围内应用实例服务错误数前 10名的排名情况。 1. 实例名称：应用实例名。 2. 项目名称：应用实例所属项目名。 3. 错误数：应用实例服务请求错误数量。 3. 延迟Top10 当前租户在指定环境、项目下一定时间范围内应用实例服务请求延迟数前 10名的排名情况。 1. 实例名称：应用实例名。 2. 项目名称：应用实例所属项目名。 3. 延迟数：应用实例服务请求延迟数量。 4. cpu利用率Top10 当前租户在指定环境、项目下一定时间范围内应用实例服务CPU 利用率前 10名的应用排名情况。 1. 实例名称：应用实例名。 2. 项目名称：应用实例所属项目名。 3. 使用率%：应用实例服务Cpu使用率。 5. 内存利用率Top10 当前租户在指定环境、项目下一定时间范围内应用实例服务内存使用率前 10名的应用排名情况 1. 实例名称：应用实例名 2. 项目名称：应用实例所属项目名 3. 使用率%：应用实例服务内存使用率 6. 网络入口流量Top10 当前租户在指定环境、项目下一定时间范围内应用实例服务网络入口流量前 10名的应用排名情况 1. 实例名称：应用实例名 2. 项目名称：应用实例所属项目名 3. 字节数byte：应用实例服务网络入口字节数大小

关系数据库SQL Server版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对SQL Server的只读权限、对SQL Server的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本文介绍了关系数据库PostgreSQL版在主子账号和IAM管理实现的相关功能说明。 关系数据库PostgreSQL版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由天翼云产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

问题现象 当用户通过TeleCloudShell远程登录方式登录云主机，登录界面报错提示“服务连接失败，请检查用户名、密码、端口是否正确”。 可能原因 出现以上现象，有可能由于以下原因造成： ● 用户名输入有误。 ● 密码输入有误。 ● 安全组入方向规则未配置。 排查步骤 当出现该现状时，用户可首先通过重新连接TeleCloudShell远程登录界面进行排查，操作步骤如下： 1. 关闭当前云主机的TeleCloudShell连接界面。 2. 在TeleCloudShell远程登录的弹窗界面，选择需要重新登录的云主机。 3. 检查用户名、密码、端口三个信息是否正确。 4. 在云主机详情页检查安全组规则是否正确配置。 5. 若您排查还是未能成功登录云主机，请联系我们。

此章节为您介绍密码服务的各计费项。 密码服务主要包含三大类计费内容，分别为密码产品、国密套件和密评服务。 说明 密码服务目前支持购买及部署的区域请参考使用限制。 密码产品 密码产品目前包含综合安全网关、数据加密网关、数字证书认证系统、密钥管理服务、协同签名服务、时间戳服务共六个产品，具体计费价格参考下表。 说明 密钥管理购买后保存的密钥请在密钥管理服务中查询。 产品名称 规格/版本 计费模式 标准版价格（元/月） 一年付价格（元/年） 二年付价格（元/2年） 三年付价格（元/3年） 综合安全网关 标准版 包周期 6000 61200 122400 183600 数字证书认证系统 标准版 包周期 5000 51000 102000 153000 密钥管理服务 企业版 包周期 9699 98929.8 197859.6 296789.4 数据加密网关 标准版 包周期 6000 61200 122400 183600 协同签名服务 标准版 包周期 4000 40800 81600 122400 时间戳服务 标准版 包周期 2000 20400 40800 61200

本文介绍控制台管理REST API的关键步骤,包括发布、导入导出、下线API等操作。 发布API 前提条件 在发布API之前，确保API中已经定义并创建了接口。 操作步骤 1. 登录云原生API网关控制台。顶部菜单栏选择 "地域"，然后再左侧导航栏选择 "API"。 2. 单击目标API。单击右上方的 "发布API" 。 3. 在发布API弹出框中配置相关参数，然后单击 "发布" 。 配置项 说明 域名 选择域名进行发布，发布后，可以通过域名访问API。 所属实例 选择所创建的云原生API网关实例。不同的业务环境可用不同的实例区分，实现API在多环境上的发布。 使用场景 使用场景包括基础场景和灰度场景两类。 基础场景 Mock：接口响应将返回接口定义中的Mock配置，若接口未定义Mock配置，则将无法访问该接口。 说明 发布Mock场景时，要求当前API中至少有一个接口开启了Mock配置，否则将发布失败。 单服务：所有流量请求将转发到某一具体的后端服务，这个场景为最常使用的场景。 灰度场景 按比例（多服务）：流量将按比例分发到对应的后端服务中，常用于切流及灰度发布场景。 说明 要求服务权重之和等于100。 后端服务 关联该网关实例下的后端服务。 发布描述 填写API的发布描述。 添加API版本

容器监控 Prometheus监控服务和云容器引擎默认实现了产品能力集成，可将您创建的容器集群无缝接入到Prometheus监控平台中，实现集群及工作负载的一体化监测。 自定义监控 支持添加自定义服务发现集成，实现自定义采集接入，并可查看相关指标、监控大盘及告警信息。同时，提供Remote Write标准接口，允许通过该接口远程接入开源Prometheus的监控数据，从而在Prometheus监控服务上收集和展示这些自定义数据。 服务发现 提供默认服务发现、ServiceMonitor、PodMonitor和自定义服务发现。使用这些服务发现机制，可以优化用户对容器集群的监控范围控制，确保采集到所需的指标数据，以便对不同的服务和Pod进行监控和分析。 聚合实例 聚合实例能够将当前地域内的所有Prometheus实例整合为一个虚拟聚合视图。通过该实例，用户可以集中执行统一的指标查询和告警管理。 告警规则 通过创建Prometheus监控告警规则，用户可以设定针对特定Prometheus实例的告警规则。当告警规则设置的条件满足后，系统会产生对应的告警事件。如果想要收到通知，需要进一步配置对应的通知策略以生成告警并且以短信、邮件、或Webhook等方式发送通知。 告警规则模板 当用户需要为多个Prometheus实例统一配置相同告警规则时，可通过Prometheus告警规则模板功能实现标准化管理。

基本信息 “概览”的基本信息包含该服务的基本状态数据，即运行状态、配置状态、版本，还包含各个服务自身关键信息。如果服务支持开源WebUI，则在基本信息区域可通过WebUI的链接访问开源WebUI。 说明 当前版本“admin”用户没有权限访问服务的开源WebUI完整功能。请另外创建组件业务管理员并访问WebUI地址。 角色列表 “概览”页面的角色列表包含了该服务中所有的角色。角色列表可显示每个角色的运行状态和角色的实例个数。 依赖关系表 “概览”页面的依赖关系表支持展示该服务依赖的服务，以及依赖此服务的其他服务。 告警和事件的历史记录 告警和事件的历史记录区显示了当前服务上报的关键告警与事件记录，系统最大可显示20条历史记录。 图表 “概览”页面的右侧展示图表区，包含该服务的各个关键监控指标报表。用户可以自定义在图表区展示的监控报表、可以打开监控指标的解释说明或导出监控数据。对于定制类别为资源贡献类的图表，支持放大后切换趋势图和分布图。 说明 集群中部分服务提供服务级别的资源监控项，具体请参考