简述IPv6功能和配置规则。 功能介绍 天翼云边缘安全加速平台安全与加速服务已经支持接收IPv6协议的请求，开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘节点。 配置说明 新增域名时，开启IPv6，操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名域名管理页面，点击“新增域名”。 3.在域名的基本信息中找到IPv6解析开关，按需开启IPv6。 域名添加完成后，如果需要变更IPv6开关的状态，操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名域名管理页面，在列表中找到目标域名。 3.变更列表中IPv6解析开关，从“停用”改为“启用”，或者从“启用”改为“停用”。 注意 当DDoS防护开关(非中国内地区域)为开启时，暂不支持开启IPv6。 配置界面 新增域名，开启IPv6： 变更IPv6状态：

本章介绍使用同一VPC内弹性云主机ECS上的Lettuce连接Cluster集群的方法。 介绍使用同一VPC内弹性云主机ECS上的Lettuce连接Redis实例的方法。更多的客户端的使用方法请参考Redis客户端。 在springboot类型的项目中，springdataredis中已提供了对jedis、lettuce的集成适配。另外，在springboot1.x中默认集成的是jedis，springboot2.x中改为了lettuce，因此在springboot2.x及更高版本中想集成使用jedis，无需手动引入lettuce依赖包。 前提条件 已成功申请Redis实例，且状态为“运行中”。 查看并获取待连接Redis实例的IP地址和端口。 具体步骤请参见查看实例信息。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》。 如果弹性云主机为Linux系统，该弹性云主机必须已经安装java编译环境。 Pom配置 org.springframework.boot springbootstarterdataredis 基于application.properties配置 单机、主备、读写分离、Proxy集群实例配置 redis host spring.redis.host redis 端口号 spring.redis.port redis 数据库下标 spring.redis.database0

Cookie签名 针对Cookie进行签名，会新增一个Cookie签名字段，原始Cookie内容正常发送给用户，当客户端Cookie内容进行了修改，请求在WAF端签名校验不通过，该请求将被拦截。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通专业版及以上版本支持使用Cookie防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“Cookie防护”页面，可以配置Cookie防护策略； 配置说明 配置项 说明 开关 控制策略的处理动作，可以选择开启或关闭 防护模式 触发Cookie防护后的执行动作，可以选择告警或拦截 Cookie key 值 设置需要防护的Cookie名称，Cookie必须有参数值，例如：setcookie: SFcookie11ENCRYPTCOOKIE1988262423afZ5ZEIzbEL%3D; Secure; SameSiteStrict, 只有SFcookie11、SameSite可配置为key 防护方式 支持选择加密与签名两种防护方式，需要配置防护动作与防护过渡期 （1）加密：对Cookie值进行加密，客户端查看到的值为加密后的内容 （2）签名：给Cookie值加签名字段，签名方式可选 UA：使用该方式签名，客户UA变换后，Cookie签名验证将不通过 IP+HOST+UA：泛域名模式下，加签HOST字段 IP+UA：使用该方式签名，客户IP或使用浏览器改变后，使用之前Cookie防护验证不通过 IP：使用该方式签名，客户ip变换后，Cookie签名验证将不通过 防护动作 拦截/清除 拦截：Cookie值检测不通过将拦截请求，并清除Cookie； 清除：Cookie检测不通过清除该Cookie回源，总开关为拦截，防护动作为清除，最终效果仍为清除 防护过渡期 在过渡期内（即在配置的时间之前），检测失败不会进行拦截，只会清除Cookie值，重新登录后将下发新的Cookie值 Cookie属性 支持选择HTTPonly和secure 设置后Cookie不允许js读取，有效防止xss盗取客户Cookie，配置后，Cookie响应头部增加值HttpOnly，若源站响应已存在HttpOnly，会同时存在 secure：Cookie设置为secure的时候，客户端只能通过https协议发送Cookie，无法通过http发送 白名单 如果有特殊的业务无法通过Cookie防护策略，可以不同粒度的请求进行加白，则符合加白条件的请求不会进行Cookie防护策略

本节为您介绍云迁移服务CMS中数据库迁移工具提供迁移对象选择。 数据库迁移工具提供迁移对象选择，用户可自行选择要迁移的表对象。 操作步骤： 1. 在可选对象方框中勾选要迁移的表或者结构对象，可以进行全选、取消全选、表名搜索操作。 2. 点击“>”箭头按钮，将选中的对象放置已选对象方框中，可进行全选、取消全选。 3. 点击“<”箭头按钮，可将选中的对象移回可选对象方框，不进行迁移。

本文介绍接入DDoS高防（边缘云版）域名无法访问的问题现象及问题原因。 问题现象 1、使用DDoS高防（边缘云版）后网站访问出现异常状态码，例如，403，404，5XX。 2、使用DDoS高防（边缘云版）后网站访问URL时出现空白页面。 3、使用DDoS高防（边缘云版）后网站出现其他异常错误。 问题原因 使用DDoS高防（边缘云版）后网站无法访问可能有多种原因。以下是一些常见的原因： 1、DNS解析问题：将域名解析到CDN时出现CNAME错误。 2、网站配置问题：域名的网站配置可能存在问题，导致无法正常访问网站。 3、SSL证书问题：如果您的网站启用了HTTPS协议，请确保域名在DDoS高防（边缘云版）控制台上正确配置了HTTPS证书，并且证书没有过期或损坏。 4、防火墙或安全策略限制：某些源站防火墙或安全策略可能会干扰DDoS高防（边缘云版）的正常回源。 解决方案 1、DNS解析问题：您可以通过ping、nslookup、dig等命令检查域名的DNS解析设置，确保解析结果和DDoS高防（边缘云版）控制台上该加速域名的CNAME值一致。 2、网站配置问题：您可以在DDoS高防（边缘云版）控制台–【域名接入】【网站配置】中检查您的域名配置是否正确。 3、SSL证书问题：您可以在DDoS高防（边缘云版）控制台–【证书管理】中上传更新您的证书。 4、防火墙或安全策略限制：您可以检查您的服务器设置、CDN配置以及网络设备设置，确保没有任何阻止DDoS高防（边缘云版）回源访问的规则或策略。 如果您不确定是边缘节点还是源站的问题，可参考文档：如何确认访问异常是边缘节点问题还是源站问题 进行排查。 除以上可能的原因，您还可以参考以下操作进行处理： 如果访问防护域名返回403状态码，详情请见：访问防护域名响应403状态码。 如果访问防护域名返回404状态码，详情请见：访问防护域名响应404状态码。 如果访问防护域名返回5XX状态码，详情请见：访问防护域名响应5XX状态码。 在使用CDN加速后网站访问URL时出现空白页面，详情请见：访问URL时出现空白页面。 如果以上解决方法均无效，建议您通过提交工单联系天翼云客服帮助您解决问题。

功能名称 功能描述 发布区域 当前云硬盘提供了三类API，分别为云硬盘API、云硬盘快照API、云硬盘自动快照API。 详细的提供了API的描述、语法、参数说明及示例等内容。 云硬盘API：全部 云硬盘快照API：华东1/华北2 云硬盘自动快照API：华东1/华北2 云硬盘支持多种配置规格，可挂载至云主机用作数据盘和系统盘，根据性能将其分为XSSD3、XSSD2、XSSD1、XSSD0、极速型SSD、超高IO、通用型SSD、高IO、普通IO几种规格。 您可以在实际使用中可以选择符合业务需求与成本预算的规格进行购买。 不同地域支持的磁盘类型不同，您可以通过 云硬盘的磁盘模式分为三种，分别是： VBD（Virtual Block Device）：虚拟块存储设备。 SCSI （Small Computer System Interface）：小型计算机系统接口。 FCSAN（Fibre Channel SAN）：光纤通道协议的SAN网络。 VBD：全部 SCSI： HDD类型：拉萨3/北京9/西宁2/庆阳2/呼和浩特3 SSD类型：华北2/郑州5/上海36/西南1/西宁2/庆阳2/呼和浩特3/沈阳8/华东1 FCSAN：上海7 系统盘在创建云主机或物理机时自动添加，无需单独创建。数据盘可以在创建云主机或物理机时创建，由系统自动挂载给云主机或物理机，也可以在创建了云主机或物理机之后，单独创建云硬盘并挂载给云主机或物理机。 全部 创建云硬盘后，需要将云硬盘挂载给云主机或物理机，供云主机或物理机作为数据盘使用。 挂载云硬盘通常分为两种，一种是挂载非共享云硬盘，另一种为挂载共享云硬盘。 全部 当卸载数据盘时，支持离线卸载或在线卸载，即可在挂载该数据盘的云主机处于“运行中”或“关机”状态时进行卸载。 只有数据盘支持卸载操作，系统盘不支持卸载。 全部 一块新创建的数据盘在挂载至云主机后，还不能直接存储数据，您需要为这块数据盘创建分区、格式化等初始化操作后才可以正常使用。 全部 当云硬盘空间不足时，您可以扩大云硬盘的容量，也就是云硬盘扩容。云硬盘扩容可以有如下两种处理方式： 申请一块新的云硬盘，并挂载给云主机。 扩容原有云硬盘空间。系统盘和数据盘均支持扩容。 全部 当您不再使用包年/包月的云硬盘时，可以退订云硬盘以释放存储空间资源。退订云硬盘后，将停止对云硬盘收取费用。 当云硬盘被退订后，云硬盘的数据将无法被访问。同时，该云硬盘对应的物理存储空间会被回收，对应的数据会被覆盖。在数据被覆盖之前，该存储空间不会被再次分配。 全部 当您不再使用按量付费的云硬盘时，可以删除云硬盘以释放存储空间资源。 删除云硬盘后，将停止对云硬盘收取费用。当云硬盘被删除后，云硬盘的数据将无法被访问。同时，该云硬盘对应的物理存储空间会被回收，对应的数据会被覆盖。在数据被覆盖之前，该存储空间不会被再次分配。 全部 云硬盘快照是云硬盘数据在特定时间点的完整副本或镜像。作为一种主要的灾难恢复方法，您可以使用快照将数据完全恢复到创建快照时的时间点。 您可以通过管理控制台或者API接口创建云硬盘快照。 华东1/华北2 天翼云云硬盘支持自动快照功能，您可以通过自动快照策略周期性地为云硬盘创建快照，可同时适用于系统盘和数据盘。 自动快照服务便于您灵活设置快照创建任务，提高数据安全和操作容错率。 华东1/华北2 天翼云云硬盘回收站支持将删除的云硬盘资源保存至回收站中，是一种数据保护的方式。在一定时间内，您可以在回收站内恢复云硬盘数据，以防止误删除导致的云硬盘数据丢失。 回收站功能默认为关闭状态，如需使用，需要您手动开启，保留时间最多为7天。 华东1/南宁23/上海36/青岛20/武汉41/华北2/长沙42/西南1/南昌5/西安7/太原4/郑州5/西南2贵州/华南2/杭州7/庆阳2/呼和浩特3/佛山7 云硬盘备份是指将云硬盘中的数据备份到其他存储介质或位置的操作。 云硬盘备份是一种数据保护措施，旨在应对数据损坏、误删除、恶意操作或主存储系统故障等风险，以确保数据的可靠性和可恢复性。 芜湖4/合肥2/芜湖2/北京5/重庆2/厦门3/福州3/福州4/福州25/兰州2/庆阳2/佛山3/广州6/南宁23/南宁2/贵州3/海口2/石家庄20/郑州5/华北2/华东1/华南2/武汉3/武汉4/武汉41/郴州2/长沙3/长沙42/南京2/南京4/南京3/南京5/九江/南昌5/沈阳8/辽阳1/呼和浩特3/内蒙6/中卫5/中卫2/西宁2/西安7/西安4/西安5/西安3/青岛20/上海15/上海7/上海36/太原4/晋中/成都4/西南1/西南2贵州/乌鲁木齐7/乌鲁木齐27/拉萨3/昆明2/杭州7/杭州2 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 南宁23/华东1/南昌5/华南2/西安7/太原4/华北2/郑州5/西南2贵州/杭州7/庆阳2/呼和浩特3/长沙42/芜湖4/西南1/上海36/上海15/北京9/上海17/佛山7/长春3/宁波2 共享云硬盘允许多个云主机并发访问同一个云硬盘，实现多个实例之间的数据共享和协作。对云硬盘的共享访问通常应用于数据集群应用系统、分布式文件系统和高可用性架构等场景。 一块共享云硬盘支持同时挂载到最多16台云主机，其中云主机包括弹性云主机和物理机两种，目前共享云硬盘只支持共享数据盘，不支持共享系统盘。 重庆2/南宁2/成都4/芜湖2/九江/西宁2/拉萨3/海口2/佛山3/贵州3/福州3/上海7/杭州2/北京5/南京3/南京4/西安4/内蒙6/晋中/郴州2/武汉4/福州4/昆明2/西安5/南京5/华东1/南宁23/上海36/石家庄20/辽阳1/青岛20/武汉41/福州25/乌鲁木齐27/华北2/西南1/长沙42/中卫5/南昌5/华南2/西安7/太原4/郑州5/西南2贵州/杭州7/西安3/庆阳2/乌鲁木齐7/中卫2/厦门3/乌鲁木齐4/上海15/芜湖4/北京9/上海17/呼和浩特3/沈阳8/上海20/佛山7/广州9/长春3/宁波2 当您开通云硬盘服务后，即可通过云监控来查看云硬盘的性能指标。 云硬盘支持的监控指标包括：磁盘读速率、磁盘写速率、磁盘读请求速率、磁盘写请求速率、平均写操作大小、平均读操作大小、平均写操作耗时、平均读操作耗时 。 全部 包年包月采用包周期预付费的计费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 如果您需要更灵活的计费方式，按照云硬盘的实际使用时长计费，您可以将云硬盘的计费方式转为按需付费。 全部 天翼云提供多种云硬盘类型，满足不同场景的存储性能和价格需求，您可以根据业务需求变更云硬盘的类型。 例如，创建云硬盘时选择了通用型SSD，但后期需要更高的IOPS，则可以将该盘变配为超高IO型云硬盘。 普通IO、高IO、通用型SSD、超高IO：南宁23/上海36/青岛20/武汉41/华北2/西南1/南昌5/西安7/太原4/华南2/郑州5/西南2贵州/杭州7/庆阳2/呼和浩特3/长沙42/乌鲁木齐7/华东1/上海15/佛山7 X系列：已上线的地域， 除华北2均支持修改磁盘类型，已上线区域请参见 针对按需计费云硬盘，您可以手动释放云硬盘，也可以设置随实例释放云硬盘（如果云硬盘开启了随实例释放，则在释放云主机实例时云硬盘会自动一起释放）。 云硬盘的快照默认不随云硬盘自动释放，如果您不再需要某些云硬盘快照，可以将其手动释放。您还可以通过设置云硬盘释放策略，选择在释放云硬盘的同时释放该盘的全部快照。 随实例释放按需计费云硬盘：华东1/华北2 随云硬盘释放快照：华东1/华北2

本节主要介绍OBS服务协议。 自2021年11月11日起，新版对象存储服务协议生效，详情请参见这里。 中国电信天翼对象存储系统服务协议 历史版本（2012年11月10日）

本节介绍如何对您所拥有的DEW进行精细的权限管理。 如果您需要对您所拥有的DEW进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DEW资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DEW资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DEW服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的DEW权限，并结合实际需求进行选择，DEW支持的系统权限如表所示。 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 示例流程 步骤 1 在IAM控制台创建用户组，并授予加密密钥所有权限“KMS CMKFullAccess”。 步骤 2 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 步骤 3 新创建的用户登录控制台，切换至授权区域，验证权限。 在“服务列表”中选择除数据加密服务外的任一服务，若提示权限不足，表示“KMS CMKFullAccess”已生效。

查看镜像详情 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表中的“镜像名称”，进入镜像详情页面查看镜像的基本信息、关联信息、漏洞、软件、文件、环境变量、安全溯源等相关信息。 查看镜像安全概览 镜像安全概览页面可以查看镜像的基本信息、风险分数、安全问题、镜像命中的安全策略、安全建议等信息。 查看镜像关联容器 在“关联容器”页面，可查看与镜像相关联的容器的信息，包括容器名称、容器所在Pod名称、所属集群名称、运行所在节点的名称。 查看镜像漏洞详情 在“漏洞”页面，可查看该镜像中各个危险级别的漏洞统计情况，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 单击漏洞详情中的“命中安全策略”，可以查看漏洞命中的安全策略。 单击漏洞详情操作列的“加入白名单”可忽略此漏洞。添加完成后，扫描该镜像将不再展示已加入白名单的漏洞。

本章节介绍云容器集群Pod Java方法调用延迟故障演练。 背景介绍 在 CCE 环境中，Java 应用可能因外部依赖变慢、数据库压力、线程池耗尽、锁竞争或 GC 停顿等原因导致方法调用变慢，引发接口延迟和请求堆积。本演练通过在资源 Pod 内注入 Java 方法延迟，模拟生产中的慢调用故障。 基本原理 通过Java Agent拦截指定JVM进程内方法，增加sleep操作模拟调用延迟。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群Pod Java方法调用延迟故障演练。 背景介绍 在 CCE 环境中，Java 应用可能因外部依赖变慢、数据库压力、线程池耗尽、锁竞争或 GC 停顿等原因导致方法调用变慢，引发接口延迟和请求堆积。本演练通过在资源 Pod 内注入 Java 方法延迟，模拟生产中的慢调用故障。 基本原理 通过Java Agent拦截指定JVM进程内方法，增加sleep操作模拟调用延迟。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

SaaS部署模式架构： 混合部署： 混合部署模式下，零信任中心SaaS化提供，零信任安全网关独立部署在客户机器，支持网关集群化部署，实现高可用以及稳定性提升。 连接器（可选）：若企业只有一个数据中心，则无需部署连接器，部署连接器能支持跨数据中心统一接入。 部署说明： 客户端：企业员工下载部署。 零信任安全中心：天翼云部署管理。 零信任网关：企业部署管理。 连接器：企业部署（按需，如有多数据中心场景进行部署）。 混合部署模式方案1：无需连接器场景 单数据中心仅部署零信任网关进行内部转发，建议部署至少2台进行主备。 混合部署模式方案2：使用连接器场景 零信任服务SaaS模式和混合部署模式对比 特性维度 SaaS化部署模式（使用天翼云边缘节点网关能力） 混合部署模式（独享网关） 核心架构 使用天翼云共享的全球边缘节点作为网关。 客户本地私有化部署独享网关。 业务数据流访问链路 用户 > 天翼云边缘节点 内网应用。 1、未启用连接器： 独享网关直接访问到内网，无需安装连接器，适用于只有一个数据中心的场景。 数据流：用户 > 独享网关（客户网络机器） > 内网应用。 2、启用连接器场景： 连接器反向连接到独享网关，不同数据中心，通过连接器集群的关联应用功能，管理不同的网络数据中心访问内网的链路。 用户 > 独享网关（客户网络机器） 内网应用。 控制数据链路 经过天翼云（仅用于认证和策略下发）。 经过天翼云（仅用于认证和策略下发）。 业务数据流链路差异 业务流量经过天翼云节点（数据加密、不同客户的网络空间严格隔离）。 业务流量完全不经过天翼云，直达客户内网，保障客户数据隐私安全。 网络要求 客户侧无需暴露公网IP和端口对外开放，通过连接器反向代理，连接器需放行出口方向流量。 客户需为独享网关提供公网接入IP和端口开放，用于不同网络区域的客户端接入。 独享访问出方向流量需放行访问天翼云AOne中心的流量，用于对接AOne零信任中心获取配置和策略，作为控制面管理。 部署连接器场景，独享网关需放行连接器建连的流量。 SPA单包认证 SaaS模式对客户侧无端口暴露，天翼云边缘节点支持SPA单包认证机制。 支持SPA，客户侧公网开放的IP和端口遵循SPA单包认证机制，需要客户端完成可信认证后，网关才允许客户端方对该IP端口进行连接请求。 说明 若外部使用扫描工具对客户侧公网接入点进行扫描时，独享网关开放IP和端口不会响应扫描器，端口开放标识为DOWN。 时延性能 依托天翼云全球2800+边缘节点，智能调度能力，保障不同区域接入天翼云节点的网络质量，整体接入效果更佳。 无天翼云边缘节点加速效果，时延根据客户提供的享网关节点链路和客户端接入距离有不同差异，若客户端接入地点和独享网关属于同区域同运营商，可达到本地本网直连的最佳效果。 安全性与合规 依托天翼云高等级安全保障。 满足对数据不出域、金融场景、政务监管的合规要求。 运维成本 轻运维，天翼云负责网关运维、高可用和迭代更新。 客户需负责独享网关的运维、高可用、安全补丁等。 适用客户 适用于众多场景客户，使用天翼云安全、加速、连接能力。需要标准、快速交付、对远程安全性办公要求较高的企业 。 对数据业务流向有要求的客户； 本地直连场景的客户，且客户可提供公网接入点的设备，可满足对本地时延敏感性极高的客户使用需求。

本节为您介绍云迁移服务CMS使用向导相关内容。 步骤引导 云迁移服务CMS主要分为三个步骤，迁移评估、资源规划、迁移管理。 迁移评估 主要涉及迁移系统、成本评估、资源管理、拓扑分析整理。流程如图所示； 迁移系统 迁移系统涉及两种操作模式，您可以根据自身需迁移资源数量进行选择。 多台多种类型情况下迁移建议使用资源规划与管理功能 单台或资源少情况可直接使用对应迁移工具进行迁移 成本分析 云迁移服务平台提供全面的企业上云成本分析，包括自建IDC上云与从其他云厂商迁移至天翼云场景。此功能旨在帮助用户或企业快速进行天翼云产品映射与成本分析比较，通过成本角度比较不同云服务提供商之间的优势和劣势，进而辅助用户做出符合其需求的上云选择。 资源管理 云迁移服务平台提供资源发现管理功能，此功能旨在帮助用户或企业快速进行资源发现采集，平台提供两种采集方式。 在线资源发现 离线资源发现 拓扑分析 用户或企业完成源端信息调研后，可以在资源管理页面中对已完成调研的相关资源，包括云主机、数据库、对象存储，进行自定义的拓扑绘制。同时拓扑中可联动迁移计划等信息，帮助用户进一步梳理待迁移资源，明细迁移规划。 资源规划 云迁移服务中资源规划是在云迁移项目开始之前进行的一项综合性资源规划工作，它旨在帮助用户或企业合理地分配和利用资源，辅助降低迁移使用门槛。它主要涵盖了以下几个方面： 创建迁移组、迁移计划、资源匹配、资源创建拓扑分析整理流程如图所示：

本节为您介绍迁移管理相关问题。 迁移管理工具列表有哪些？ 服务器迁移服务（CMSSMS）、 数据库迁移服务（CMSDMS）、数据迁移工具（CMSZMS）。 迁移管理工具是否区分同构与异构迁移工具？ 区分。 云迁移服务提供工具中心管理功能，您可以在工具管理中心选择对应工具通过相应概述作为工具结构区分，也可以直接帮助中心查看对应相关引导。 迁移管理工具兼容性如何？ 云迁移管理工具，具备高效、稳定、易用等特点；支持阿里云、腾讯云、华为云多家云厂商，拥有迁移一体化平台、生命周期可视化界面表达。 云迁移各工具是否具备使用说明书？ 具备。 云迁移服务平台提供工具管理中心功能，你可以根据迁移工具概述选择，您也可以在云迁移服务工具中心中选择对应工具的帮助中心查阅信息。 调度管理中心调度任务能否支持显示调度状态？ 支持。 进入迁移中心调度管理页面详情中，调度任务列表可以显示调度状态信息。 创建调度任务需要几步操作？ 基本信息填写包括（调度名称、调度时间、重复规则、调度规则、问题错误处理）； 调度规则选项（继续任务、暂停任务、带宽限制、CPU限制、停止增量、开始核查、引导修复、取消何查） 错误处理（继续并发资源调度、中止并发资源调度） 资源选取，在列表中选择对应资源信息； 资源确认； 调度任务如何查看是否成功？ 查看调度任务具体步骤： 1. 左菜单栏进入调度管理； 2. 进入调度页，选择创建调度计划任务； 3. 查看计划任务调度状态； 4. 查看错误处理报告； 5. 点击操作栏中“日志”可以进入查看；

场景四：端口不匹配问题 域名配置的端口与访问请求到的端口不匹配时，会导致出现403。具体报错如下： 解决方案：如果是访问时指定了错误的端口，请调整为正确端口后，再发起请求。如果是域名配置的端口不准确，请在控制台进行端口配置调整，配置生效后，再重新发起请求。 场景五：安全与加速服务的安全策略，被边缘节点拦截。 网站接入安全与加速服务之后，当访问请求有可能对网站造成安全威胁时，安全防护节点拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案：当请求响应403拦截时，您可以通过边缘安全加速控制台查看具体的攻击拦截信息，其中事件ID跟拦截请求响应内容中的RequestID对应，具体查看方式WAF攻击日志。 若存在误拦截等情况，可进行修改相应的安全策略或进行规则加白。

高负载处理和负载均衡 业务挑战：热门活动、新闻爆发等可能导致突发的高流量，需要确保网站和应用程序的高可用性。 方案优势：AOne的负载均衡和智能路由技术可以分配流量到最优的服务器，确保网站和应用在高流量情况下仍然保持稳定运行。 内容安全与防护 业务挑战：传媒行业网站可能受到DDoS攻击、恶意流量和数据泄露的威胁，需要保护内容和用户数据的安全。 方案优势：AOne提供强大的安全防护，如DDoS防护、Web应用防火墙等，确保内容和用户数据免受攻击，维护平台的安全性。 用户数据保护场景 业务挑战：传媒公司需要确保用户的个人数据和隐私受到保护，以满足隐私合规要求。 方案优势：AOne提供数据加密和安全传输，帮助传媒公司保护用户数据的隐私，遵循隐私法规和合规性要求。 客户收益 优化用户体验：通过加速内容传递和减少加载时间，用户能够更快速地访问和消费媒体内容，提升用户体验，降低因加载缓慢导致的用户流失率。 强化内容安全：通过AOne的安全防护功能，客户可以保护内容免受恶意攻击、盗链和数据泄露的威胁，提升内容的安全性。 灵活应对高并发：通过弹性扩展和负载均衡技术，自动调整系统资源，确保平台的稳定性和可用性。 接入便捷成本可控：SaaS化服务无需改变源站架构，一站式操作平台界面清晰操作简单，功能按需计费降低运营成本。

本文主要介绍ELB的权限。 如果您需要对云上创建的弹性负载均衡资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云上资源的访问。详请请参见统一身份认证。 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云上资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ELB的使用权限，但是不希望他们拥有删除负载均衡器等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用负载均衡器，但是不允许删除负载均衡器的权限策略，控制他们对ELB资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ELB服务的其它功能。 ELB权限 默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ELB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该策略仅对此项目生效，如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ELB时，需要先切换至授权区域。 根据授权精度程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云上各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 ELB系统权限表 系统角色/策略名称 描述 类型 ELB FullAccess 操作权限：对弹性负载均衡服务的所有执行权限。作用范围：项目级服务。 系统策略 ELB ReadOnlyAccess 操作权限：对弹性负载均衡服务的只读权限。作用范围：项目级服务。 系统策略 常用操作与系统策略的关系 操作 ELB FullAccess ELB ReadOnlyAccess 创建负载均衡器 √ × 查询负载均衡器 √ √ 查询负载均衡器状态树 √ √ 查询负载均衡器列表 √ √ 更新负载均衡器 √ × 删除负载均衡器 √ × 创建监听器 √ × 查询监听器 √ √ 修改监听器 √ × 删除监听器 √ × 创建后端主机组 √ × 查询后端主机组 √ √ 修改后端主机组 √ × 删除后端主机组 √ × 创建后端主机 √ × 查询后端主机 √ √ 修改后端主机 √ × 删除后端主机 √ × 创建健康检查 √ × 查询健康检查 √ √ 修改健康检查 √ × 关闭健康检查 √ × 创建弹性公网IP × × 绑定弹性公网IP × × 查询弹性公网IP √ √ 解绑弹性公网IP × × 查看监控指标 × × 查看访问日志 × ×

本小节介绍证书管理服务权限管理。 如果您需要对天翼云上购买的证书管理服务（CCMS）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有证书管理服务（CCMS）的使用权限，但是不希望他们拥有删除CCMS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CCMS，但是不允许删除CCMS的权限策略，控制他们对天翼云CCMS资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CCMS服务的其它功能。IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 CCMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组/用户授予策略或角色，才能使得用户组/用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置权限，访问CCMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM提供的一种细粒度授权的能力，可以具体到服务的操作。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CCMS服务，管理员能够控制IAM用户仅能对CCMS进行指定的管理操作。 如下表所示，包括了CCMS所有系统角色。 角色名称/策略名称 描述 类别 依赖关系 ccms admin SSL证书管理服务管理员权限，拥有服务的所有权限。 系统策略 购买证书需要依赖bss admin策略、mkt admin策略。 bss admin策略：系统策略，订单费用中心（BSS）管理员，拥有该服务下的所有权限。 mkt admin策略：系统策略，营服中心管理员，拥有该服务下的所有权限。 ccms viewer SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书、csr、联系人、公司进行增删改权限。 系统策略 无 说明 如需购买SSL证书，账号除了必须拥有“ccms admin”之外，还需要拥有“bss admin”权限和“mkt admin”权限。

本文主要介绍通过自定义脚本实现MySQL一致性备份。 准备工作 本章节以SuSE 11 SP3操作系统下MySQL 5.5单机版为例，介绍如何通过自定义脚本来冻结、解冻MySQL数据库，以实现对于MySQL数据库的应用一致性备份。 场景介绍 某企业购买了云主机，并在云主机中安装了MySQL 5.5数据库用于存放业务数据。随着数据量的增加，之前的崩溃一致性保护已经满足不了RTO、RPO的要求，决定采用应用一致性备份，减小RTO与RPO。 数据准备 数据准备 准备项 说明 示例 MySQL用户名 连接MySQL数据库时使用的用户名 root MySQL密码 连接MySQL数据库时使用的密码 Example@123 详细步骤 步骤1、加密MySQL密码，供自定义脚本使用 登录MySQL服务器，输入cd /home/rdadmin/Agent/bin/ ，进入Agent目录。 执行 /home/rdadmin/Agent/bin/agentcli encpwd ，回显如下： Enter password: 输入MySQL密码，并按“Enter”，屏幕上就会打印出加密后的密码，将其拷贝到剪贴板中。 步骤2、执行cd /home/rdadmin/Agent/bin/thirdparty/ebkuser ，进入自定义脚本目录，然后执行 vi mysqlfreeze.sh， 打开MySQL示例冻结脚本。 步骤3、将下图所示的MYSQLUSER 与MYSQLPASSWORD 修改为实际值，其中MYSQLPASSWORD为步骤1的屏幕输出。 也可以使用sed命令来直接进行修改： sed i 's/^MYSQLPASSWORD./MYSQLPASSWORD" XXX "/' mysqlfreeze.sh mysqlunfreeze.sh ，其中XXX为步骤1中打印出的密码。 此操作会同时修改冻结解冻脚本，所以无需再执行步骤3。 步骤4、执行 vi mysqlunfreeze.sh ，打开MySQL示例解冻脚本，修改此脚本中的用户名和密码。 mysqlunfreeze.sh 与mysqlfreeze.sh脚本实现了基本的数据库冻结与解冻操作，如果你在冻结、解冻时有其它额外步骤需要执行，可以自行在其中进行修改。 注意 MySQL的冻结是通过FLUSH TABLES WITH READ LOCK指令来实现的，此指令不会触发bin log刷盘操作，如果开启了bin log，且syncbinlog参数不为1，则可能出现保存的备份映像中部分SQL操作未记录到bin log的情况，如果bin log也需要完整保护，请设置syncbinlog1。

VPC终端节点(VPC Endpoint)使您能够将 VPC 私密地连接到终端节点服务(天翼云服务、 用户私有服务) VPC终端节点（VPC Endpoint）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。分为“网关”和“接口”两种类型。 网关型：由系统配置的受VPC终端节点支持的云服务，用户可直接使用。 接口型：包括系统配置的云服务和用户自己创建的私有服务。 说明 云服务：指云平台上的一些服务被配置为终端节点服务，默认由系统直接配置。用户没有权限配置云服务，您在创建终端节点时可以根据区域直接选择系统中相应的云服务。 用户私有服务：指用户将自己VPC中的服务资源配置为终端节点服务，这些服务资源为增强型负载均衡或者云服务器。 终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。包括“接口终端节点”和“网关终端节点”两种类型。 接口终端节点：是指具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 网关终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。

账户安全 学术加速企业版服务包括二次登录验证和密码策略管理功能，支持企业根据安全需求自定义登录认证和密码策略。企业可以设定符合自身安全标准的密码规则和用户登录验证流程，从而提升账户安全和数据保护。 具体账号安全的功能及详细介绍，详细见：账户安全。 终端管理 终端资产 终端资产管理功能允许企业记录和收集员工使用学术加速客户端时的设备信息和登录状态。这有助于企业对员工的终端设备进行有效管理和监控，确保设备安全和合规使用。 具体终端资产的功能及详细介绍，详细见：终端资产终端设备管理。 设置管理 企业服务 企业服务主要是展示企业服务过程中的关键信息，比如企业认证标识、服务状态等。 具体企业服务的功能及详细介绍，详细见：企业服务。 客户端限速 可根据企业场景进行单客户端访问限速，限速仅针对学术加速资源进行限速，不影响其他互联网访问。 具体客户端限速功能及详细介绍，详细见：客户端限速。 日志分析 日志分析日志分析功能专为企业设计，用于高效管理用户终端的登录日志、访问资源网站的记录以及控制台的操作记录。 具体日志分析的功能及详细介绍，详细见：日志分析。

本文介绍SQL Server的实例类型。 SQL Server提供了稳定可靠的云数据库服务，以实例为最小管理单元，一个数据库实例代表了一个独立运行的数据库，并且拥有唯一标识。实例类型是衡量数据库服务质量的一个重要属性，您可以根据业务需求，选择合适的实例类型，在业务运行中也可以根据实际情况，随时变更实例类型。 实例分类如下： 实例类型 简介 使用说明 单机版 采用单个数据库节点部署架构，具有高性价比。 适用于小型应用场景或开发测试环境，成本较低。但存在单点故障的风险，故障恢复方面需要自行负责，无法保障及时恢复。 一主一备 采用一主一备的高可用架构，具备高可靠性，支持故障中断后自动切换。不支持访问备实例。 适用于大中型企业的生产场景，例如企业IT、政府、金融和医疗等行业。

本文介绍如何开启企业级安全会议。 使用前提 下载安装各类终端：Windows客户端、macOS客户端、iOS客户端、Android客户端。 预定会议时，进行“更多安全设置”。 注意事项 敏感会议建议启用水印功能。 高风险会议可启用“会议锁定”或者限定“入会范围”。 应用场景说明 适用于涉及敏感信息、客户隐私、公司战略的场景： 法务、财务、内控审计类会议。 战略汇报、高管决策会议。 涉密技术讨论与客户合作方案评审。 通过多层次安全控制，保障会议内容仅在授权范围内传播，避免泄密和信息风险。 操作步骤 会前，会议创建者在“预定会议”时可设置“入会密码”，并进行“更多安全设置”。 会中，主持人/联席主持人可点击“安全”>“会议管理”、“安全”>“参会者权限”进行锁定会议、限制入会范围、开启会议水印等管控操作。 会中，主持人/联席主持人可实时关注“成员管理”列表，密切关注参会成员，并对参会人员进行管控。 会后，会议创建者可通过“历史会议”>“详情”列表查看参会人进行审计。

定期的网络安全自我检测、评估 配备漏洞扫描系统，网络管理人员可以定期进行网络安全检测服务，安全检测可帮助客户最大可能地消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效地利用已有系统，优化资源，提高网络运行效率。 网络建设和网络改造前后的安全规划评估和成效检验 网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全规划评估和成效检验。 网络承担重要任务前的安全性测试 网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全性测试。 满足合规性需求（网络安全法、等保） 定期开展漏洞扫描发现主机风险，主动防御风险也是公安局主推的等保要求以及网络安全法要求中的合规要求，其主要目的是：消除与降低安全隐患、周期性地评估和加固工作相结合，尽可能避免安全风险的发生。

DTS服务等级协议变更说明。 尊敬的用户您好，我们将于2026年2月14日更新《天翼云数据传输服务DTS版服务等级协议》以期向您展示更加清晰完整的条款内容，帮助您更加清楚高效地了解我们的产品服务。 本次更新内容如下： 1. 将原协议第二条 服务承诺 和第三条 服务说明 的内容合并到新的第二条 服务说明与承诺，并更新关于服务不可用的定义，修改后内容如下： 服务不可用：指依照数据传输服务平台的系统日志，显示用户使用的数据迁移、数据同步功能因天翼云原因导致的从源数据库到目标数据库写入数据失败，且失败状态连续超过五分钟视为服务不可用，低于五分钟的不可用时间不视为服务不可用。 2. 将原协议第四条 赔偿方案 变更为 第三条服务补偿，并更新关于补偿申请时限的说明，新增关于补偿申请方法的说明，相关修改和新增内容如下： 补偿申请时限：用户可在每服务周期账单结清后对该服务周期没有达到服务可用性承诺的云服务提出补偿申请，且补偿申请必须在该云服务没有达到服务可用性承诺的服务周期结束后两个月内提出。超出申请时限的补偿申请将不被受理。天翼云将对用户的申请进行合理评估，并依据本SLA约定及诚信原则就是否适用补偿做出决定。 补偿申请方法：用户可以在天翼云用户中心提交工单申请补偿。 3. 将原协议第五条 不可抗力及免责 变更为第四条 限制，并新增如下条款： 以下原因导致的甲方数据传输服务不可用的情况不计在不可用时间内： 甲方的应用程序或安装活动所引起的； 任何天翼云所属设备以外的网络、设备故障或配置调整引起的； 系统或服务日常维护而引起的； 甲方使用DTS免费任务或处于收费任务的免费阶段的； 甲方未遵循天翼云产品官方使用文档或使用建议引起的； 甲方的源端数据库或目标端数据库自身原因导致的； 由于源端数据库或者目标端数据库用户名、密码修改后，甲方未及时在DTS控制台更新导致的； 由甲方操作所引起的不可用，包括但不限于实例被意外重启、源端数据库或者目标端数据库参数修改不当以及删改数据库账户、权限后未及时在DTS控制台更新等； 依照法律法规，应监管部门要求或依照协议及协议中援引的政策用户的服务被暂停或终止的。 4. 将原协议第五条 不可抗力及免责 中关于协议生效的内容放到新增的第五条 协议生效及其他并更新说明，修改后内容如下： 本服务等级协议自用户申请天翼云数据传输服务之日起生效并遵行。终止日期以《天翼云数据传输服务DTS版服务协议》的终止为准。 天翼云有权对本SLA条款作出修改。如本SLA条款有任何修改，天翼云将提前30天以网站公示或发送邮件的方式通知用户。如用户不同意天翼云对SLA所做的修改，用户有权停止使用DTS服务，如用户继续使用DTS服务，则视为用户接受修改后的SLA。 本次更新将于2026年2月14日正式更新至官网协议文档，请您务必认真阅读上述变更内容，若您不同意天翼云即将对SLA所做的修改，您有权停止使用DTS服务，如您继续使用DTS服务，则视为您接受修改后的SLA。

本节介绍如何使用文件检测功能。 步骤一：创建检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 检测规则”。 3. 点击“新增”, 举例自定义检测内容包含关键字“机密”等。 步骤二：上传验证文件 方式一：在客户代理模型上传包含步骤一中关键字内容的文件。 方式二：进入“内容安全 > 语料安全 > 文件检测”页面，点击“上传文件”上传包含步骤一中关键字内容的文件。 可以看到，上传的文件被成功拦截。

本小节介绍安全专区账号访问控制。 如需限制账号登录地址，可在【系统管理】→【白名单列表】进行操作，点击【添加IP】，设置白名单信息。 IP地址：可登录访问安全专区的客户IP地址， 用户账号：为登录安全专区的账号。

类型 操作限制 （需要人为配合） 注意事项 下表中的环境要求均不允许在灾备过程中修改，直至灾备结束。 业务数据库进行的参数修改不会记录在日志里，所以也不会同步至灾备数据库，请在灾备数据库升主后调整参数。 外部数据库创建的高权限用户若超出RDS MySQL支持范围，不会同步至灾备数据库，如super权限。 不支持外键级联操作。 不支持业务数据库恢复到之前时间点的操作(PITR)。 不支持强制清理binlog，否则会导致灾备任务失败。 网络中断在30秒内恢复的，不影响数据灾备，超过30秒，则可能会导致灾备任务失败。 若专属计算集群不支持4vCPU/8G或以上规格实例，则无法创建灾备任务。 支持断点续传功能，但对于无主键的表可能会出现重复插入数据的情况。 存在灾备任务时，不允许创迁移或者同步任务。 灾备不支持多写的多主模式，如果外部数据库没有提供superuser权限，则外部数据库为备时无法设置只读，请严格确保备节点的数据只来自主节点的同步，任何其他地方的写入将会导致备库数据被污染，使得灾备出现数据冲突而无法修复。 如果外部数据库为备且为只读，该只读只有superuser权限的账号可以写入数据，其他账号无法写入，但仍然需要确保备节点通过这个账号写入任何数据导致备库数据被污染，使得灾备出现数据冲突而无法修复。 业务数据库和灾备数据库为RDS for MySQL实例时，不支持带有TDE特性并建立具有加密功能表。 操作须知 数据灾备过程中，如果修改了业务库用于灾备的密码，会导致该灾备任务失败，需要在数据复制服务控制台将上述信息重新修改正确，然后重试任务可继续进行数据灾备。一般情况下不建议在灾备过程中修改上述信息。 数据灾备过程中，如果修改了业务库端口，会导致该灾备任务失败。一般情况下不建议在灾备过程中修改业务库端口。 数据灾备过程中，如果业务库为非本云关系型数据库实例，不支持修改IP地址。本云关系型数据库实例，对于因修改IP地址导致灾备任务失败的情况，系统自动更新为正确的IP地址，重试任务可继续进行同步。一般情况下，不建议修改IP地址。 数据灾备过程中，不建议做删除类型的DDL操作，可能会引起任务失败。 禁止源端在灾备任务执行主备倒换过程中进行写入操作，否则会出现数据污染或者表结构不一致，并最终导致业务端和灾备端数据不一致。

本章节进行网格安全能力概述 概述 单体应用发展成微服务架构带来了诸多便利，业务迭代更加敏捷，扩展性更好，同时为服务架构也带了新的安全考虑，如： 微服务之间通信安全问题，如何防止中间人攻击。 微服务之间的访问控制问题，对于敏感服务和信息，如何限制微服务之间的访问。 微服务之间访问频繁且关系复杂，如何追溯服务之间的调用情况，需要具备审计能力。 服务网格的安全机制提供了零信任的安全机制，很好地解决了以上问题。 服务网格安全架构 服务身份及证书管理 身份是安全的基础，只有给每个服务赋予一个身份才能在服务相互访问时对各方的身份进行认证以及对操作进行鉴权。服务网格使用证书作为网格内工作负载的身份标识，服务网格负载网格内工作负载的身份证书颁发、轮换等，为网格安全提供基础能力。 身份认证 服务网格提供两种认证机制： 对等身份认证：用于sidecar代理之间通信时的身份认证，解决sidecar之间身份认证和通信加密问题，支持基于工作负载证书的mTLS双向认证。 请求身份认证：用于外部请求进入网格内的身份认证，支持JWT及OIDC的认证方式。 授权 在微服务通信中，确定了双方的身份之后，我们还需要对客户端是否有权限访问服务端的资源进行权限检查。当前服务网格支持全局、命名空间和工作负载级别的授权策略控制，同时支持集成外部授权服务能力。

使用场景 针对使用多种云产品的用户，通过资源分组功能将同一业务相关的弹性云主机、物理机、云硬盘、弹性IP、带宽、数据库等资源添加到同一资源分组中。从分组角度查管理资源，管理告警规则，可以极大的降低运维复杂度，提高运维效率。 限制与约束 一个用户最多可创建10个资源分组。 一个资源分组可添加11000个云服务资源。 一个资源分组对不同类型资源有可选数量限制，具体请参见控制台提示。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控”。 4. 单击页面左侧的“资源分组”，进入“资源分组”页面。 5. 单击页面右上角的“创建资源分组”按钮。 6. 按照界面提示，填写分组名称并选择企业项目。 选择了企业项目后，只有拥有该企业项目权限的用户才可以查看并管理资源分组，权限划分更合理更细致。 7. 选择需要添加的云服务资源。 8. 单击“立即创建”，完成资源分组的创建。

为什么查看事件窗口中，有些事件的IP、code、request、response和message字段为空？ IP、code、request、response和message字段并非云审计服务规定的必备字段： IP：当trace type为SystemAction时，表示本次操作由服务内部触发，此时缺失IP字段为正常情况。 request/response/code：这三个字段是表示本次操作所对应的请求内容、请求结果及HTTP返回码，在有些情况下，这些字段本身为空，或不具备业务意义，产生该事件的云服务会根据实际情况选择某字段留空。 message：该字段为预留字段，若其他云服务基于业务需要，需要增加额外信息时，可附加在该字段内，缺失为正常情况。 为什么事件列表中有些事件的为超链接可以跳转，有些为非超链接？ 目前CTS仅支持部分ECS、EVS、VBS、IMS、AS、CES和VPC的操作通过跳转到对应云资源的详情页面，该功能正在逐步完善。 为什么事件列表中的某些操作被记录了两次？ 对于异步调用事件，会产生两条事件记录，其事件名称、资源类型、资源名称等字段相同。在事件列表中，看起来是重复记录了操作（例如，Workspace的deleteDesktop事件），但实际上，这两条事件是相互关联、但内容不同的两条记录，典型的异步调用场景时间如下： 第一条事件：记录用户发起的请求； 第二条事件：记录用户请求的操作结果，通常与第一条时间记录有数分钟的延迟，记录用户请求的实际响应结果。 两条事件需要结合在一起，才能反映用户本次操作的真实结果。 为什么在事件列表中按照操作用户进行筛选时，存在useraccount/opservice用户？ 当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时，可能存在用户自身的权限不足的问题，因此在确保符合安全要求的前提下，会临时对该请求中的用户身份进行提权，请求完成后提权结束，但会将提权行为记录到该请求发送到CTS的日志当中，此时的操作用户将记录为useraccount/opservice。

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例