本文介绍了各个存储产品适用的场景以提供选型建议。 选型概述 在进行存储产品选型时，需要考虑实际的应用场景，除成本之外，首先要考虑性能和功能是否符合需求场景。以下是针对常见场景出具的选型建议，供您参考。 如果是数据库场景，建议选用云硬盘。 如果是AI训练场景，建议选用HPFS。 如果是万核大规模HPC集群，建议选用HPFS。 如果是小规模HPC集群，建议选用OceanFS 容量型或者SFS Turbo。 如果需要PB级NAS存储时，建议选用OceanFS 容量型。 如果业务对时延要求较高，建议考虑SFS Turbo 性能型或者HPFS。 如果是归档场景，建议选用对象存储。 各存储规格场景说明 产品规格 适用场景 相关文档 OceanFS 容量型 新一代NAS文件存储服务，数据节点采用HDD，元数据节点采用SSD，带宽和IOPS高于SFS 标准型，适用于对时延不敏感的多客户端共享访问场景，如共享配置文件、企业办公文件共享、备份等。该服务覆盖各大中心池。不适用于AI训练、渲染、数据库、Kafka等高吞吐、对时延要求较高的场景。 产品规格 产品价格 产品能力地图 SFS Turbo 标准型 上一代NAS文件存储服务，存储介质采用HDD，带宽和IOPS低于OceanFS容量型，适用于对时延不敏感的多客户端共享访问场景，如共享配置文件、企业办公文件共享、备份等。该服务覆盖公有云30+资源池。不适用于AI训练、渲染、数据库、Kafka等高吞吐、对时延要求较高的场景。 产品规格 产品价格 产品能力地图 SFS Turbo 性能型 上一代NAS文件存储服务，存储介质采用SSD，时延优于OceanFS容量型，带宽和IOPS低于OceanFS容量型，适用于对时延敏感的多客户端共享访问场景，如研发CI/CD等。不适用于对吞吐和并发要求较高的场景。 产品规格 产品价格 产品能力地图 HPC 性能型 高性能并行文件系统，提供多种基线规格，支持POSIX和NFS协议挂载访问。支持全 NVMe 闪存、RDMA 技术，性能随容量线性扩展，最高提供千万 IOPS 和 TBps 吞吐，同时保证亚毫秒级时延。适用于影视渲染、气象分析、石油勘探、EDA 仿真、基因分析、AI 训练、自动驾驶等数据密集型场景的需求。 产品规格 产品价格 产品能力地图 对象存储 通过HTTP或HTTPS等传输协议进行访问，适用于视频监控存储、大数据分析、数据湖、数据备份和归档等大规模数据存储和分析场景、静态网站托管解决方案存储。 产品规格 计费模式 产品能力地图 云硬盘 云硬盘类似于PC机的硬盘，无法单独使用，通常通过挂载的方式来使用，如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化、数据库、大规模数据处理与分布式计算等高性能计算场景。 产品规格 计费模式 功能清单

本文介绍了各个存储产品适用的场景以提供选型建议。 选型概述 在进行存储产品选型时，需要考虑实际的应用场景，除成本之外，首先要考虑性能和功能是否符合需求场景。以下是针对常见场景出具的选型建议，供您参考。 如果是数据库场景，建议选用云硬盘。 如果是AI训练场景，建议选用HPFS。 如果是万核大规模HPC集群，建议选用HPFS。 如果是小规模HPC集群，建议选用OceanFS 容量型或者SFS Turbo。 如果需要PB级NAS存储时，建议选用OceanFS 容量型。 如果业务对时延要求较高，建议考虑SFS Turbo 性能型或者HPFS。 如果是归档场景，建议选用对象存储。 各存储规格场景说明 产品规格 适用场景 相关文档 OceanFS 容量型 新一代NAS文件存储服务，数据节点采用HDD，元数据节点采用SSD，带宽和IOPS高于SFS 标准型，适用于对时延不敏感的多客户端共享访问场景，如共享配置文件、企业办公文件共享、备份等。该服务覆盖各大中心池。不适用于AI训练、渲染、数据库、Kafka等高吞吐、对时延要求较高的场景。 产品规格 产品价格 产品能力地图 SFS Turbo 标准型 上一代NAS文件存储服务，存储介质采用HDD，带宽和IOPS低于OceanFS容量型，适用于对时延不敏感的多客户端共享访问场景，如共享配置文件、企业办公文件共享、备份等。该服务覆盖公有云30+资源池。不适用于AI训练、渲染、数据库、Kafka等高吞吐、对时延要求较高的场景。 产品规格 产品价格 产品能力地图 SFS Turbo 性能型 上一代NAS文件存储服务，存储介质采用SSD，时延优于OceanFS容量型，带宽和IOPS低于OceanFS容量型，适用于对时延敏感的多客户端共享访问场景，如研发CI/CD等。不适用于对吞吐和并发要求较高的场景。 产品规格 产品价格 产品能力地图 HPC 性能型 高性能并行文件系统，提供多种基线规格，支持POSIX和NFS协议挂载访问。支持全 NVMe 闪存、RDMA 技术，性能随容量线性扩展，最高提供千万 IOPS 和 TBps 吞吐，同时保证亚毫秒级时延。适用于影视渲染、气象分析、石油勘探、EDA 仿真、基因分析、AI 训练、自动驾驶等数据密集型场景的需求。 产品规格 产品价格 产品能力地图 对象存储 通过HTTP或HTTPS等传输协议进行访问，适用于视频监控存储、大数据分析、数据湖、数据备份和归档等大规模数据存储和分析场景、静态网站托管解决方案存储。 产品规格 计费模式 产品能力地图 云硬盘 云硬盘类似于PC机的硬盘，无法单独使用，通常通过挂载的方式来使用，如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化、数据库、大规模数据处理与分布式计算等高性能计算场景。 产品规格 计费模式 功能清单

本文将重点介绍企业访问安全相关策略。 使用场景 边缘安全加速平台的零信任服务秉承“持续验证，永不信任”的原则，在基于身份认证和应用授权构建的访问信任基础之上，持续验证每个网络请求，及时识别并拦截攻击行为，全方位地保障您的企业资源安全，本文将重点介绍企业访问安全相关策略。 操作限制 进行相关安全策略前提需购买零信任服务，且产品服务处于服务中。 安全策略 重点介绍常用的企业办公安全所需的安全策略，主要策略如下： 身份识别与登录认证：通过密码强校验、二次认证等策略进行强化登录过程中的安全系数。 细粒度的应用资源管控：针对应用、身份进行最小权限限制，避免越权。 持续认证的高级安全防护：通过横向扫描防护、准入管控、终端环境感知来持续动态评估接入内容的访问请求的安全性，如有异常及时进行相关处置。 灵活的访问控制：可针对用户、IP、应用等进行灵活组合限制，满足企业安全管控需求。 身份识别与登录认证 您可以在控制台的身份管理模块为企业员工创建对应的零信任用户账号。企业员工通过零信任客户端登录鉴权后才能访问相关应用资源。零信任服务支持您自定义配置密码合规策略、密码校验失败锁定、二次认证等策略，来加强用户登录过程的安全系数，详情请见身份管理。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

会前设置 1. 创建者预定会议时，在预定会议页面点击“更多安全设置”。 2. 进入“安全设置”>“参会者管理”页面，根据需求调整参会者权限。 会中设置 1. 点击底部工具栏 “安全”按钮。 2. 进入“安全设置”>“参会者管理”页面，根据需求调整参会者权限。

本节介绍Hermes云电脑的使用方式。 产品核心优势 Hermes云电脑内置Hermes环境，开箱即用。Hermes具备模块化架构和丰富的工具生态，让开发者能够快速构建复杂的AI应用。同时也是拥有内置学习循环的智能体，它从经验中创建技能，在使用过程中持续改进，形成持久化知识。支持微信、飞书、QQ等IM工具接入使用。 体验指引 1. 支持天翼AI云电脑移动端、PC客户端进行切换Hermes镜像； 2. 切换方式：登录云电脑>工具栏>设置>系统重装>更换系统，选择Hermes镜像。 注意 不支持跨系统切换，如Windows不支持切换至Ubuntu。 使用指引（以Ubuntu云电脑为例） 1. 开机后系统会自动启动Hermes后台服务，在云智助手中生成ApiKey并自动将模型信息注入到Hermes中，用户无需再配置模型即可直接使用。 2. 双击【Hermes】图标，首次打开会有安全提示弹窗，系统自动打开默认浏览器并跳转到聊天页面，可以发送指令和查看对话历史。 3. 双击【Hermes助手】图标，可以进入大模型配置界面，这里可以检测模型的连通性，有自行购买的第三方模型（例如息壤）可以配置以切换当前使用的大模型（填写API Key，Base URL和模型等信息）。 4. 在IM设置界面，可以配置微信，飞书和QQ三种IM通道，需要扫描界面上的二维码或者填写所需的信息，保存后静待片刻即可生效。

本节介绍Hermes云电脑的使用方式。 产品核心优势 Hermes云电脑内置Hermes环境，开箱即用。Hermes具备模块化架构和丰富的工具生态，让开发者能够快速构建复杂的AI应用。同时也是拥有内置学习循环的智能体，它从经验中创建技能，在使用过程中持续改进，形成持久化知识。支持微信、飞书、QQ等IM工具接入使用。 体验指引 1. 支持天翼AI云电脑移动端、PC客户端进行切换Hermes镜像； 2. 切换方式：登录云电脑>工具栏>设置>系统重装>更换系统，选择Hermes镜像。 注意 不支持跨系统切换，如Windows不支持切换至Ubuntu。 使用指引（以Ubuntu云电脑为例） 1. 开机后系统会自动启动Hermes后台服务，在云智助手中生成ApiKey并自动将模型信息注入到Hermes中，用户无需再配置模型即可直接使用。 2. 双击【Hermes】图标，首次打开会有安全提示弹窗，系统自动打开默认浏览器并跳转到聊天页面，可以发送指令和查看对话历史。 3. 双击【Hermes助手】图标，可以进入大模型配置界面，这里可以检测模型的连通性，有自行购买的第三方模型（例如息壤）可以配置以切换当前使用的大模型（填写API Key，Base URL和模型等信息）。 4. 在IM设置界面，可以配置微信，飞书和QQ三种IM通道，需要扫描界面上的二维码或者填写所需的信息，保存后静待片刻即可生效。

广泛重复的使用加密密钥，会对加密密钥的安全造成风险。建议您定期轮换密钥，更改原密钥的密钥材料。 为什么需要轮换密钥 广泛重复的使用加密密钥，会对加密密钥的安全造成风险。为了确保加密密钥的安全性，建议您定期轮换密钥，更改原密钥的密钥材料。 定期轮换密钥有如下优点： 减少每个密钥加密的数据量：一个密钥的安全性与被它加密的数据量呈反比。数据量通常是指同一个密钥加密的数据总字节数或总消息数。 增强应对安全事件的能力：在系统安全设计的初期，设计密钥轮换功能并将其作为日常运维手段。这样可以使系统在特定安全事件发生时具备实际执行能力。 加强对数据的隔离能力：轮换密钥使得轮换前后产生的密文数据形成隔离效果。特定密钥的安全事件可以被快速定义影响范围，从而采取进一步措施。 密钥轮换的两种方法 云服务提供了两种密钥轮换方法： 手动轮换密钥 使用一个新的密钥替换使用中的密钥。即创建一个新的密钥B，并使用密钥B替代当前使用的密钥A，当密钥B使用的加密材料与密钥A使用的加密材料不相同时，使用密钥B与更改密钥A的密钥材料具有相同效果。 示例： 以OBS服务为例：需要手动轮换密钥时，用户先在KMS界面创建一个新的自定义密钥，后在OBS界面将原自定义密钥替换为新的自定义密钥。 手动轮换密钥工作原理

本章节主要介绍如何创建CSS类型跨源认证。 操作场景 通过在DLI控制台创建的CSS类型的跨源认证，将CSS安全集群的认证信息存储到DLI，无需在SQL作业中配置帐号密码，安全访问CSS安全集群。 本节操作介绍在DLI控制台创建CSS安全集群的跨源认证的操作步骤。 操作须知 已创建CSS安全集群，且集群满足以下条件： CSS集群版本选择“6.5.4”或“6.5.4”以上版本。 CSS集群已开启“安全模式”。 操作步骤 1. 下载CSS安全集群的认证凭证。 a.登录CSS服务管理控制台，单击“集群管理”。 b.在“集群管理”页面中，单击对应的集群名称，进入“基本信息”页面。 c.单击“安全模式”后的下载证书，下载CSS安全集群的证书。 2. 将认证凭证上传到OBS桶。 3. 创建跨源认证。 a.登录DLI管理控制台。 b.选择“跨源管理 > 跨源认证”。 c.单击“创建”。 填写CSS认证信息，详细参数说明请参考下表。 参数说明 参数 参数说明 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 建议名称中包含CSS安全集群的名称，便于区分不同集群的安全认证信息。 类型 选择CSS。 用户名 安全集群的登录用户名。 用户密码 安全集群的登录密码。 Certificate路径 上传“安全证书”的OBS路径。即步骤2的OBS桶地址。 4. 访问CSS的表。 跨源认证创建成功后，在创建访问CSS的表时只需关联跨源认证即可安全访问数据源。 例如在使用Spark SQL来创建访问CSS的表时使用es.certificate.name字段配置跨源认证信息名称，配置连接安全CSS集群。

VPC终端节点(VPC Endpoint)使您能够将 VPC 私密地连接到终端节点服务(天翼云服务、 用户私有服务) VPC终端节点（VPC Endpoint）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。分为“网关”和“接口”两种类型。 网关型：由系统配置的受VPC终端节点支持的云服务，用户可直接使用。 接口型：包括系统配置的云服务和用户自己创建的私有服务。 说明 云服务：指云平台上的一些服务被配置为终端节点服务，默认由系统直接配置。用户没有权限配置云服务，您在创建终端节点时可以根据区域直接选择系统中相应的云服务。 用户私有服务：指用户将自己VPC中的服务资源配置为终端节点服务，这些服务资源为增强型负载均衡或者云服务器。 终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。包括“接口终端节点”和“网关终端节点”两种类型。 接口终端节点：是指具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 网关终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。

本文介绍了如何配置对WebSocket应用进行加速。 功能介绍 天翼云边缘安全加速平台安全与加速服务支持对WebSockett协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有WebSocket加速，您无需拆分域名，使用天翼云边缘安全加速平台安全与加速服务就可以实现对域名下http/https协议的应用和WebSocket协议的应用同时加速。全站加速节点会自动识别客户端与边缘节点通信使用的协议，自动切换协议。通常情况下，WebSocket协议的应用多为动态业务，对实时性要求很高，天翼云边缘安全加速平台安全与加速服务的动态探测选路能力可以为WebSocket应用选择最快的回源路径，提升WebSocket业务的访问效果。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通基础版以及以上版本。 配置说明 1.登录边缘安全加速平台控制台。 2.在【域名】【基础配置】页面，点击目标域名。 3.进入WebSocket页面，单击“编辑配置”。 4.开启WebSocket功能开关，开启后默认连接超时时间5秒、请求超时时间15秒。 配置页面 参数名 说明 WebSocket回源连接超时时间 WebSocket回源连接超时时间的配置范围支持1~300秒。

本页介绍天翼云TeleDB数据库存储过程开发的循环语句。 LOOP 循环 plaintext teledb CREATE OR REPLACE PROCEDURE ploop() AS $$ DECLARE vid INTEGER : 1; BEGIN LOOP RAISE NOTICE '%',vid; EXIT WHEN random()>0.8; vid : vid + 1; END LOOP ; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL ploop(); NOTICE: 1 NOTICE: 2 NOTICE: 3 CALL teledb WHILE 循环 plaintext teledb CREATE OR REPLACE PROCEDURE pwhile() AS $$ DECLARE vid INTEGER : 1; vrandom float8 ; BEGIN LOOP RAISE NOTICE '%',vid; vid : vid + 1; vrandom : random(); IF vrandom > 0.8 THEN RETURN; END IF; END LOOP ; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL pwhile(); NOTICE: 1 CALL FOR 循环 plaintext teledb CREATE OR REPLACE PROCEDURE pfor() AS $$ BEGIN FOR i IN 1..3 LOOP RAISE NOTICE 'i %',i; END LOOP; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL pfor(); NOTICE: i 1 NOTICE: i 2 NOTICE: i 3 CALL teledb CREATE OR REPLACE PROCEDURE pforreverse() AS $$ BEGIN FOR i IN REVERSE 3..1 LOOP RAISE NOTICE 'i %',i; END LOOP; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL pforreverse(); NOTICE: i 3 NOTICE: i 2 NOTICE: i 1 CALL 使用REVERSE 递减。 plaintext teledb CREATE OR REPLACE PROCEDURE pforby() AS $$ BEGIN FOR i IN 1..8 BY 2 LOOP RAISE NOTICE 'i %',i; END LOOP; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb

本页介绍天翼云TeleDB数据库的DELETE语法。 带条件删除 plaintext teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 3 123 4 4 4 (4 rows) teledb delete from tupdate where id 3; DELETE 1 null 条件的表达方式。 plaintext teledb delete from tupdate where name is null; DELETE 1 teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 (2 rows) 多表关联删除数据 plaintext teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 (2 rows) teledb select from teledbserial; id nickname + 1 returning (1 row) teledb delete from tupdate using teledbserial where tupdate.id teledbserial.id; DELETE 1 teledb select from tupdate ; id name age ++ 2 test 3 (1 row) 返回删除数据 plaintext teledb delete from tupdate returning ; id name age ++ 2 test 3 (1 row) DELETE 1 returning 特性可以返回 DML（insert、update、delete）修改的数据，降低应用复杂度。 删除所有数据 plaintext teledb insert into tupdate select t,random()::text from generateseries(1,100000) as t; INSERT 0 100000 Time: 235.715 ms teledb delete from tupdate; DELETE 100000 Time: 44.429 ms 使用truncate 方法是全表删除更高效的方法。 plaintext teledb

本页介绍天翼云TeleDB数据库的DELETE语法。 带条件删除 plaintext teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 3 123 4 4 4 (4 rows) teledb delete from tupdate where id 3; DELETE 1 null 条件的表达方式。 plaintext teledb delete from tupdate where name is null; DELETE 1 teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 (2 rows) 多表关联删除数据 plaintext teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 (2 rows) teledb select from teledbserial; id nickname + 1 returning (1 row) teledb delete from tupdate using teledbserial where tupdate.id teledbserial.id; DELETE 1 teledb select from tupdate ; id name age ++ 2 test 3 (1 row) 返回删除数据 plaintext teledb delete from tupdate returning ; id name age ++ 2 test 3 (1 row) DELETE 1 returning 特性可以返回 DML（insert、update、delete）修改的数据，降低应用复杂度。 删除所有数据 plaintext teledb insert into tupdate select t,random()::text from generateseries(1,100000) as t; INSERT 0 100000 Time: 235.715 ms teledb delete from tupdate; DELETE 100000 Time: 44.429 ms 使用truncate 方法是全表删除更高效的方法。 plaintext teledb

本页介绍天翼云TeleDB数据库存储过程开发的循环语句。 LOOP 循环 plaintext teledb CREATE OR REPLACE PROCEDURE ploop() AS $$ DECLARE vid INTEGER : 1; BEGIN LOOP RAISE NOTICE '%',vid; EXIT WHEN random()>0.8; vid : vid + 1; END LOOP ; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL ploop(); NOTICE: 1 NOTICE: 2 NOTICE: 3 CALL teledb WHILE 循环 plaintext teledb CREATE OR REPLACE PROCEDURE pwhile() AS $$ DECLARE vid INTEGER : 1; vrandom float8 ; BEGIN LOOP RAISE NOTICE '%',vid; vid : vid + 1; vrandom : random(); IF vrandom > 0.8 THEN RETURN; END IF; END LOOP ; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL pwhile(); NOTICE: 1 CALL FOR 循环 plaintext teledb CREATE OR REPLACE PROCEDURE pfor() AS $$ BEGIN FOR i IN 1..3 LOOP RAISE NOTICE 'i %',i; END LOOP; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL pfor(); NOTICE: i 1 NOTICE: i 2 NOTICE: i 3 CALL teledb CREATE OR REPLACE PROCEDURE pforreverse() AS $$ BEGIN FOR i IN REVERSE 3..1 LOOP RAISE NOTICE 'i %',i; END LOOP; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL pforreverse(); NOTICE: i 3 NOTICE: i 2 NOTICE: i 1 CALL 使用REVERSE 递减。 plaintext teledb CREATE OR REPLACE PROCEDURE pforby() AS $$ BEGIN FOR i IN 1..8 BY 2 LOOP RAISE NOTICE 'i %',i; END LOOP; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb

本页介绍天翼云TeleDB数据库的DELETE语法。 带条件删除 plaintext teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 3 123 4 4 4 (4 rows) teledb delete from tupdate where id 3; DELETE 1 null 条件的表达方式。 plaintext teledb delete from tupdate where name is null; DELETE 1 teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 (2 rows) 多表关联删除数据 plaintext teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 (2 rows) teledb select from teledbserial; id nickname + 1 returning (1 row) teledb delete from tupdate using teledbserial where tupdate.id teledbserial.id; DELETE 1 teledb select from tupdate ; id name age ++ 2 test 3 (1 row) 返回删除数据 plaintext teledb delete from tupdate returning ; id name age ++ 2 test 3 (1 row) DELETE 1 returning 特性可以返回 DML（insert、update、delete）修改的数据，降低应用复杂度。 删除所有数据 plaintext teledb insert into tupdate select t,random()::text from generateseries(1,100000) as t; INSERT 0 100000 Time: 235.715 ms teledb delete from tupdate; DELETE 100000 Time: 44.429 ms 使用truncate 方法是全表删除更高效的方法。 plaintext teledb

本页介绍天翼云TeleDB数据库的UPDATE语法。 单表更新 teledb update teledbserial set nickname 'random value' where id 2; UPDATE 1 teledb select from teledbserial; id nickname + 1 hello teledb 2 random value (2 rows) null 条件的表达方法。 teledb insert into teledbserial (id) values(3); INSERT 0 1 teledb select from teledbserial; id nickname + 1 hello teledb 2 random value 3 (3 rows) teledb update teledbserial set nickname 'random value' where nickname is null;; UPDATE 1 teledb select from teledbserial; id nickname + 1 hello teledb 2 random value 3 random value (3 rows) 多表关联更新 teledb update teledbserial set nickname 'updatefrom' from tupdate where tupdate.id teledbserial.id; UPDATE 1 teledb select from teledbserial; id nickname + 2 random value 1 updatefrom 3 random value (3 rows) 返回更新的数据 teledb update teledbserial set nickname 'returning' where id (random()2)::integer returning ; id nickname + 1 returning (1 row) 上面的语句随机更新了一些数据，然后返回更新过的记录，returning 机制旨在降低应用的复杂度。 多列匹配更新 teledb alter table tupdate add column age int; ALTER TABLE teledb update tupdate set (age , name) ((random()2)::integer, 'multicolumn'); UPDATE 1 teledb

本文介绍了DDoS防护开关的配置。 功能介绍 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击。 背景信息 边缘安全加速平台安全与加速服务中的DDoS防护能力（中国内地区域）将默认开启，若站点受到DDoS攻击将为您提供防护并消耗DDoS防护次数。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台，进入【安全与加速】工作台。 2. 在左侧导航栏中选择【安全能力】，进入【DDoS防护】菜单，并在左侧域名列表选择您要防护的域名。 防护域名 为您展示接入安全与加速服务的域名，并支持查看域名的DDoS防护状态以及域名配置状态。点击防护域名数统计区域，可筛选域名列表已防护或未防护的域名，您也可以通过下方查询框对域名进行其他条件的筛选。 点击右上角【新增域名】可进入域名新增页面，点击支持收起域名列表。 注意 当域名为配置中、已停用状态，不支持编辑防护配置。

本文介绍终端管理。 AOne终端管理是什么 边缘安全加速平台提供终端安全管理能力，通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 AOne终端管理的优势 高效防护：病毒防护为基础，以主动实时防御为核心，联动漏洞自修复引擎自动闭环高危风险，形成‘监测阻断修复’的一体化防御链路，助力企业缩减终端暴露面，提升威胁响应速度。 身份追踪：终端安全身份追踪能精准锁定终端设备中每个身份的操作轨迹，基于身份与设备实时监测、深度溯源与高效防控，管理员可轻松识别风险设备和员工。 DeepSeek接入：凭借DeepSeek先进的自然语言处理与推理能力，帮助企业精准分析终端安全威胁并提供优化策略，无需登录也可以轻松使用。 持续生长：丰富的终端安全能力融合在一个轻量客户端中，可持续生长零信任访问、混合办公等能力，增强办公效率，无需替换客户端极简交付。

功能名称 功能描述 发布区域 当前云硬盘提供了三类API，分别为云硬盘API、云硬盘快照API、云硬盘自动快照API。 详细的提供了API的描述、语法、参数说明及示例等内容。 云硬盘API：全部 云硬盘快照API：华东1/华北2 云硬盘自动快照API：华东1/华北2 云硬盘支持多种配置规格，可挂载至云主机用作数据盘和系统盘，根据性能将其分为XSSD3、XSSD2、XSSD1、XSSD0、极速型SSD、超高IO、通用型SSD、高IO、普通IO几种规格。 您可以在实际使用中可以选择符合业务需求与成本预算的规格进行购买。 不同区域支持的磁盘类型不同，以控制台为准 云硬盘的磁盘模式分为三种，分别是： VBD（Virtual Block Device）：虚拟块存储设备。 SCSI （Small Computer System Interface）：小型计算机系统接口。 FCSAN（Fibre Channel SAN）：光纤通道协议的SAN网络。 VBD：全部 SCSI： HDD类型：拉萨3/西南2贵州/西宁2/庆阳2/呼和浩特3 SSD类型：西南2贵州/庆阳2/呼和浩特3/华北2/郑州5/上海36/西南1/西宁2 FCSAN：上海7 系统盘在创建云主机或物理机时自动添加，无需单独创建。数据盘可以在创建云主机或物理机时创建，由系统自动挂载给云主机或物理机，也可以在创建了云主机或物理机之后，单独创建云硬盘并挂载给云主机或物理机。 全部 创建云硬盘后，需要将云硬盘挂载给云主机或物理机，供云主机或物理机作为数据盘使用。 挂载云硬盘通常分为两种，一种是挂载非共享云硬盘，另一种为挂载共享云硬盘。 全部 当卸载数据盘时，支持离线卸载或在线卸载，即可在挂载该数据盘的云主机处于“运行中”或“关机”状态时进行卸载。 只有数据盘支持卸载操作，系统盘不支持卸载。 全部 一块新创建的数据盘在挂载至云主机后，还不能直接存储数据，您需要为这块数据盘创建分区、格式化等初始化操作后才可以正常使用。 全部 当云硬盘空间不足时，您可以扩大云硬盘的容量，也就是云硬盘扩容。云硬盘扩容可以有如下两种处理方式： 申请一块新的云硬盘，并挂载给云主机。 扩容原有云硬盘空间。系统盘和数据盘均支持扩容。 全部 当您不再使用包年/包月的云硬盘时，可以退订云硬盘以释放存储空间资源。退订云硬盘后，将停止对云硬盘收取费用。 当云硬盘被退订后，云硬盘的数据将无法被访问。同时，该云硬盘对应的物理存储空间会被回收，对应的数据会被覆盖。在数据被覆盖之前，该存储空间不会被再次分配。 全部 当您不再使用按量付费的云硬盘时，可以删除云硬盘以释放存储空间资源。 删除云硬盘后，将停止对云硬盘收取费用。当云硬盘被删除后，云硬盘的数据将无法被访问。同时，该云硬盘对应的物理存储空间会被回收，对应的数据会被覆盖。在数据被覆盖之前，该存储空间不会被再次分配。 全部 云硬盘快照是云硬盘数据在特定时间点的完整副本或镜像。作为一种主要的灾难恢复方法，您可以使用快照将数据完全恢复到创建快照时的时间点。 您可以通过管理控制台或者API接口创建云硬盘快照。 华东1/华北2 天翼云云硬盘支持自动快照功能，您可以通过自动快照策略周期性地为云硬盘创建快照，可同时适用于系统盘和数据盘。 自动快照服务便于您灵活设置快照创建任务，提高数据安全和操作容错率。 华东1/华北2 天翼云云硬盘回收站支持将删除的云硬盘资源保存至回收站中，是一种数据保护的方式。在一定时间内，您可以在回收站内恢复云硬盘数据，以防止误删除导致的云硬盘数据丢失。 回收站功能默认为关闭状态，如需使用，需要您手动开启，保留时间最多为7天。 郑州5/武汉41/华东1/南宁23/华南2/华北2/南昌5/青岛20/上海36/西南1/杭州7/长沙42/西安7/太原4/西南2贵州/庆阳2/呼和浩特3/乌鲁木齐7 云硬盘备份是指将云硬盘中的数据备份到其他存储介质或位置的操作。 云硬盘备份是一种数据保护措施，旨在应对数据损坏、误删除、恶意操作或主存储系统故障等风险，以确保数据的可靠性和可恢复性。 上海7/上海36/杭州2/合肥2/芜湖2/南京2/南京3/南京4/南京5/华东1/九江/南昌5/杭州7/福州3/福州4/厦门3/福州25/佛山3/广州6/南宁23/南宁2/郴州2/长沙3/海口2/武汉3/武汉4/武汉41/长沙42/华南2/西安3/西安4/西安5/西宁2/兰州2/乌鲁木齐27/中卫5/西安7/庆阳2/乌鲁木齐7/贵州3/重庆2/成都4/昆明2/拉萨3/西南1/西南2贵州/青岛20/北京5/晋中/石家庄20/内蒙6/华北2/辽阳1/郑州5/太原4/呼和浩特3 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 南宁23/华东1/南昌5/华南2/西安7/太原4/华北2/郑州5/西南2贵州/杭州7/庆阳2/呼和浩特3/长沙42/芜湖4/西南1 共享云硬盘允许多个云主机并发访问同一个云硬盘，实现多个实例之间的数据共享和协作。对云硬盘的共享访问通常应用于数据集群应用系统、分布式文件系统和高可用性架构等场景。 一块共享云硬盘支持同时挂载到最多16台云主机，其中云主机包括弹性云主机和物理机两种，目前共享云硬盘只支持共享数据盘，不支持共享系统盘。 重庆2/南宁2/成都4/芜湖2/九江/西宁2/拉萨3/海口2/佛山3/贵州3/福州3/上海7/杭州2/北京5/南京3/南京4/西安4/内蒙6/晋中/郴州2/武汉4/福州4/昆明2/西安5/南京5/华东1/南宁23/上海36/石家庄20/辽阳1/青岛20/武汉41/福州25/乌鲁木齐27/华北2/西南1/长沙42/中卫5/南昌5/华南2/西安7/太原4/郑州5/西南2贵州/杭州7/西安3/庆阳2/乌鲁木齐7 当您开通云硬盘服务后，即可通过云监控来查看云硬盘的性能指标。 云硬盘支持的监控指标包括：磁盘读速率、磁盘写速率、磁盘读请求速率、磁盘写请求速率、平均写操作大小、平均读操作大小、平均写操作耗时、平均读操作耗时 。 全部 包年包月采用包周期预付费的计费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 如果您需要更灵活的计费方式，按照云硬盘的实际使用时长计费，您可以将云硬盘的计费方式转为按需付费。 全部 天翼云提供多种云硬盘类型，满足不同场景的存储性能和价格需求，您可以根据业务需求变更云硬盘的类型。 例如，创建云硬盘时选择了通用型SSD，但后期需要更高的IOPS，则可以将该盘变配为超高IO型云硬盘。 普通IO、高IO、通用型SSD、超高IO：南宁23/上海36/青岛20/武汉41/华北2/西南1/南昌5/西安7/太原4/华南2/郑州5/西南2贵州/杭州7/庆阳2/呼和浩特3/长沙42/乌鲁木齐7/华东1 X系列：已上线的地域， 除华北2均支持修改磁盘类型，已上线区域请参见 针对按需计费云硬盘，您可以手动释放云硬盘，也可以设置随实例释放云硬盘（如果云硬盘开启了随实例释放，则在释放云主机实例时云硬盘会自动一起释放）。 云硬盘的快照默认不随云硬盘自动释放，如果您不再需要某些云硬盘快照，可以将其手动释放。您还可以通过设置云硬盘释放策略，选择在释放云硬盘的同时释放该盘的全部快照。 随实例释放按需计费云硬盘：华东1/华北2 随云硬盘释放快照：华东1/华北2

本节介绍了下载增量备份文件的操作场景、约束限制等相关内容。 操作场景 用户可以下载手动和自动备份文件，用于本地存储备份或者恢复数据库。 云数据库 RDS for PostgreSQL支持用户下载增量备份文件。 下载增量备份文件 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面，在左侧导航栏，单击“备份恢复”，在“增量备份”页签下，单击操作列中的“下载”。 您也可以勾选需要下载的增量备份，单击左上角“下载”。 步骤 5 下载任务执行完成后，您可在本地查看到增量备份文件。 结束

本文将向您介绍如何通过边缘安全加速平台安全与加速服务设置Web规则白名单。 功能介绍 若您希望请求针对域名防护规则集中的某条规则加白，可以配置规则白名单。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见下文。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持使用Web规则白名单功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】【Web应用防火墙】，选择您要配置的域名，进入基础安全防护【防护规则引擎】详细设置页。 3. 选择您希望设置白名单范围的规则ID，点击操作列【加白】按钮，设置加白的匹配范围，粒度支持配置URI、IP、IPS、PATH、BODY等，支持配置多个生效条件。

简述天翼云边缘安全加速平台安全与加速服务的HTTPS相关功能及配置方法。 什么是HTTPS？ HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同HTTP体系。用于安全的HTTP数据传输。 HTTPS也叫安全的超文本传输协议，使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看到包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用HTTPS访问。 HTTPS配置概述 HTTPS配置模块主要介绍如何配置开启HTTP2.0、OCSP Stapling、HSTS，如何选择TLS协议版本，以及HTTPS Keyless加速方案和边缘安全加速平台支持哪些国密算法。 相关功能 功能 说明 国密HTTPS 简述边缘安全加速支持的国密算法及配置方法。 HTTP2.0配置 简述HTTP2.0的定义和配置方法。 配置OCSP Stapling 简述OCSP Stapling功能的概念、使用前提和配置方法。 配置HSTS 简述HSTS功能和配置方法。 配置TLS协议版本 简述安全与加速服务支持的TLS协议版本和配置方法。 批量HTTPS证书配置 简述批量关联域名启用HTTPS加速服务的配置方法。 强制跳转 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。 HTTPS无私钥驻留加速方案 简述边缘加速节点无需部署私钥的情况下如何加速HTTPS业务。 支持的SSL/TLS加密套件 天翼云边缘安全加速支持的SSL/TLS加密套件及对应套件支持的最低版本的SSL/TLS协议。

本文介绍域名接入边缘安全与加速服务后,如何为域名配置合适的动态防御策略。 Web动态防御能力是以“动态防御”理念为核心,通过动态代码封装、动态内容混淆等防逆向分析技术和动态令牌、前置性动态环境验证等人机识别技术,在无需特征更新的情况下,实现针对应用漏洞及业务逻辑的主动隐藏防护能力,经现网验证,动态防御能力针对当前各类自动化工具触发的漏洞攻击、数据爬取、业务欺诈等威胁的主动、动态防御效果明显,能够为 Web系统/H5、APP、小程序、公众号等各类应用及 API服务提供有效的防御能力。 操作前提 已经在边缘安全加速平台控制台完成接入域名，并且域名已处于启用的状态。 操作内容须知 本文描述都是建立在您已经完成域名新增，并且域名状态处于已启用的前提下进行操作，您可以参考功能的描述文档开启并设置相对应的功能。 1. 登录边缘安全加速控制台 2. 在左侧导航栏，选择域名>域名管理。 策略1：内容混肴 采用一次一密的混淆算法与密钥对客户端（访问者）提交的数据内容，例如表单、ajax 请求内容进行混淆处理，每次混淆的结果均不相同，将关键参数和重要信息从明文的形式转化为毫无规律的乱码，防止伪造参数、窃听和篡改交易内容等攻击行为。该功能在一定程度上可以解决攻击者通过篡改 post 中的参数进行越权攻击的风险。 目前控制台尚未开放以上功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。

本节为您介绍关闭安全引流服务的操作步骤。 操作场景 用户关闭安全引流业务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已启用安全引流业务。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，单击对应目标智能网关实例“操作”列的“关闭安全引流”。 5. 单击“确定”，关闭安全引流服务。 6. 然后单击该智能网关实例“操作”列的“删除”，单击“确定”，即可删除不再需要引流的智能网关实例。

本文主要介绍保护Always on Availability Groups模式下的SQL Server。 当前云主机备份只支持单个虚拟机的一致性备份，对于集群数据库暂不支持，完整支持将在后续版本中推出。 在Always On模式下，SQL Server服务在主备节点上都是启动的，数据由主复制到备，主上拥有全部的数据。故在创建云主机备份时，只需要将主节点加入策略进行备份。在主备发生切换后，及时调整策略，确保始终对主节点进行备份。 由于SQL Server自身的机制，在恢复主时，可能会触发同步，使备节点上的数据也被覆盖，导致备份时刻之后新产生的数据丢失，所以建议只有在主备节点均不可用时才进行整机恢复，防止非预期的数据丢失。

本小节主要介绍RDSPostgreSQL实例的同步方式。 操作场景 RDSPostgreSQL实例支持修改主备实例、一主两备实例的数据同步方式，以满足您实际的业务需求。同步方式可选择项为“同步"，“半同步"和“异步"三种模式。 同步：确认一个事务的数据变更至少同步到一个备库上，提升数据的可靠性。 半同步（默认）：介于同步模式和异步模式之间，系统会根据集群状态对同步级别进行升降级。 异步：主库执行完立即向客户端返回，通常有较高的性能。 操作步骤 高级版操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击指定的实例，进入单个实例管理详情页。 6. 在单个实例管理页面的"基本信息"中，点击“数据同步方式"的“修改"项。 7. 在弹出框界面，选择您想要修改的同步方式，并点击"确定"。 8. 等待系统修改数据库同步完成后，到单个实例管理页查看修改后的"数据同步方式"。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本节介绍了GeminiDB Redis的重建实例操作步骤。 在回收站保留期限内的实例可以通过重建实例恢复数据。 1、 登录云数据库GeminiDB控制台。 2、在“回收站”页面，在实例列表中找到需要恢复的目标实例，单击操作列的“重建”。 3、在“重建新实例”页面，选填配置后，提交重建任务。

本页介绍天翼云TeleDB数据库的DELETE语法。 带条件删除 plaintext teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 3 123 4 4 4 (4 rows) teledb delete from tupdate where id 3; DELETE 1 null 条件的表达方式。 plaintext teledb delete from tupdate where name is null; DELETE 1 teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 (2 rows) 多表关联删除数据 plaintext teledb select from tupdate ; id name age ++ 1 multicolumn 0 2 test 3 (2 rows) teledb select from teledbserial; id nickname + 1 returning (1 row) teledb delete from tupdate using teledbserial where tupdate.id teledbserial.id; DELETE 1 teledb select from tupdate ; id name age ++ 2 test 3 (1 row) 返回删除数据 plaintext teledb delete from tupdate returning ; id name age ++ 2 test 3 (1 row) DELETE 1 returning 特性可以返回 DML（insert、update、delete）修改的数据，降低应用复杂度。 删除所有数据 plaintext teledb insert into tupdate select t,random()::text from generateseries(1,100000) as t; INSERT 0 100000 Time: 235.715 ms teledb delete from tupdate; DELETE 100000 Time: 44.429 ms 使用truncate 方法是全表删除更高效的方法。 plaintext teledb