本章节主要介绍翼MapReduce各模块的功能。 用户可以通过翼MR管理控制台的“翼MR Manager”页面进入到翼MR的Manager页面。管理控制台和Manager页面的区别和联系请参考下表： 常用操作 翼MR控制台 翼MR Manager 查看集群基础信息、IAM同步 支持 不支持 配置升级、远程连接、绑定/解绑弹性IP 支持 不支持 操作日志 支持 支持 用户管理 支持 不支持 访问链接与端口 支持 不支持 启动服务、停止服务、滚动重启服务 不支持 支持 启动、停止、重启、滚动停止、滚动重启实例 不支持 支持 查看监控、告警信息 不支持 支持 LDAP租户管理 不支持 支持 运维与配置管理 不支持 支持

本文介绍基于NAT网关和云专线的混合云Internet加速的操作实践。 使用背景 用户通过专线已连接到天翼云VPC的IDC，自身无internet或希望统一线上线下公网出口，可以选择使用天翼云NAT网关作为统一公网出口，实现混合云Internet加速。 方案优势 节省成本：云上云下多台服务器，可以通过NAT网关功能共用同一弹性IP，可以有效降低成本。 配置简单，即开即用：NAT网关关联的弹性IP可以根据需求调整带宽大小，以适应应用流量变化的需求。 安全高效：云专线提供云上云下高速、低时延、稳定安全的专属连接通道，结合NAT网关的SNAT和DNAT功能，可满足各类用户带宽需求。 方案涉及产品 VPC，NAT网关，弹性IP，云专线 方案架构 本方案网络拓扑架构如图所示 实现方式如下： 1. 通过云专线将用户IDC与VPC连通。 2. 在VPC中搭建公网NAT网关，连通Internet。 操作步骤 步骤一：创建云上VPC环境 配置云专线需要做好云上VPC和本地数据中心的网段规划，确保云上VPC网段和本地IDC网段没有冲突或重叠。 具体操作步骤参见虚拟私有云创建VPC、子网搭建私有网络。

在开通和使用天翼云多活容灾服务平台之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接开通多活容灾服务平台。 1. 打开天翼云门户网站，点击"免费注册"。 2. 在注册页面，选择短信注册或账号注册，并填写相应的信息。点击获取验证码，如1分钟内手机未收到验证码，请再次点击“获取验证码”按钮。 3. 阅读并勾选协议，点击“注册” 按钮。 4. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 5. 如需实名认证，请参考会员服务实名认证。

本章节为您介绍密码服务最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

本章节主要介绍翼MapReduce的配置密码策略操作。 操作场景 根据业务安全需要，管理员可以在FusionInsight Manager设置密码安全规则、用户登录安全规则及用户锁定规则。 须知 密码策略涉及用户管理的安全性，请根据企业安全要求谨慎修改，否则会有安全性风险。 修改密码策略之后，再修改用户密码，此时新的密码策略才会生效。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 安全策略 > 密码策略”。 3. 具体参数参见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围为8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+ 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁定时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。 密码有效期（天） 密码有效使用天数：取值范围0～90，0表示永久有效，默认值为“90”。 重复使用规则 修改密码时，不允许使用最近N次使用过的密码，N1～5，默认为“1”。此策略只影响“人机”用户。 密码失效提前提醒天数 密码失效提前提醒天数：表示提醒密码失效到密码真正失效的天数。提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录FusionInsight Manager界面时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒，默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔，取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 4. “确定”保存配置。修改密码策略之后，再修改用户密码，此时新的密码策略才会生效。

本文主要讲述天翼云官网试用规则。 天翼云线上用户可在天翼云官网免费试用中心申请产品试用。 试用对象 已完成实名认证，且未订购过某款产品的天翼云新用户。 试用额度 个人用户通过天翼云官网试用云产品，初始试用额度为 1000 元。 企业用户通过天翼云官网试用云产品，初始试用额度为 2000 元。 试用规则说明 1. 试用渠道包括天翼云官网网页版、WAP、移动客户端。 2. 试用申请主要针对包周期产品，具体试用产品以活动页面为准。 3. 试用申请成功，试用体验金扣除该试用产品的价值金额，若试用体验金余额为0或小于试用产品价值，将无法成功申请该试用产品。 4. 通过云网门户申请的试用仅针对未订购过某款产品的用户，每款产品每个用户限申请 1 次，同一用户在试用有效期内不支持变更产品规格，不支持延期。 5. 试用时长以产品试用页面规则为准。试用资源到期后，试用资源关停。若试用资源未及时转商或延期，按照业务到期规则处理。 6. 同一证件下有多个账号时，仅支持其中一个账号使用试用金额，该账号使用了试用金额后，其他账号将无法使用。 7. 本规则仅适用于天翼云线上用户，线下用户请通过客户经理申请产品试用。

资源 类型 描述 天翼云帐户 全球性 您可以在所有区域使用同一个天翼云帐户。 资源标识符 区域性 每个资源的标识符（例如，实例ID、云硬盘ID、虚拟私有云ID）都与其区域相关联。 用户自定义的资源名称 区域性 每个资源名称（例如，安全组名称、密钥对名称）都与其区域相关联。尽管可以在多个区域创建名称相同的资源，但它们之间并无关联。 虚拟私有云 区域性 虚拟私有云与区域相关联，只能与同一区域的实例相关联。 弹性IP 区域性 弹性IP与区域相关联，只能与同一区域的实例相关联。 安全组 区域性 安全组与区域相关联，只能分配给同一区域的实例。 镜像 区域性 镜像与区域相关联，只能与同一区域的实例相关联。 实例 可用区 实例与可用区相关联，实例ID与区域相关联。 磁盘 可用区 磁盘与可用区相关联，只能挂载到同一可用区的实例上。 子网 可用区 子网与可用区相关联，只能与同一可用区的实例相关联。

步骤5：检查配置是否准确 检查网站信息是否填写正确，包括域名、端口、协议、回源IP等内容。 检查是否有特殊端口。如果有特殊端口需求，您可以将需要使用的HTTP/HTTPS访问端口提交工单，由天翼云客服人工配置。只有专业版和旗舰版支持配置特殊端口。 检查上传的HTTPS证书是否正确，证书是否合法有效，证书链是否完整。 检查源站是否有防火墙或访问限制，是否已加白WAF的回源IP。 步骤6：验证业务是否正常 验证在各环境下是否都能正常访问业务系统，观察请求的状态码是否异常。 验证业务系统登录后的会话是否保持正常。 如果有手机端业务，检查是否有SNI兼容问题。 是否有配置只允许WAF回源IP访问源站，防止攻击者绕过WAF直接攻击源站。 步骤7：安全运营 统计分析 您可以通过该模块查看CC攻击报表、WAF攻击报表、业务分析、热门分析等功能，详情请参考：安全运营统计分析。 告警管理 您可以通过该模块配置告警规则及查看告警记录，详情请参考：安全运营告警管理。 日志服务 该模块提供了WAF攻击日志、CC攻击日志的查看与导出功能，以及下载业务的访问日志的功能，详情请参考：安全运营日志服务。 态势感知 通过态势感知模块，您可以实时查看到业务整体的攻击情况，详情请参考：安全运营态势感知。

本节介绍了云容器引擎安全责任共担模型。 在云容器引擎 CCE 中，安全合规遵循责任共担原则。具体而言，云容器引擎 CCE 承担着集群控制面组件（涵盖 Kubernetes 控制平面组件与 etcd）及集群服务相关天翼云基础设施的默认安全保障责任。本文将详细阐述天翼云云容器引擎 CCE 的安全责任共担模型。 天翼云负责 在管控面侧，天翼云凭借完善的平台安全能力，负责保障管控面侧基础设施（涵盖计算、存储、网络等各类云服务资源）的安全。针对集群节点操作系统或 K8s 组件层面出现的安全漏洞，天翼云会及时发布相关公告，并提供对应的漏洞补丁或版本更新支持。天翼云还会围绕企业云原生应用生命周期中安全防护的典型场景，提供必要的安全防护功能及最佳实践指导。 客户负责 客户方安全管理与运维人员需承担部署于云上的业务应用安全防护责任，以及云上资源的安全配置与更新工作，具体包括以下内容： 依据天翼云发布的公告，采用其提供的补丁或版本升级方式，及时对操作系统、集群侧系统组件、运行时等存在的漏洞进行修复和版本更新 遵循安全原则对 CCE 集群、节点池及网络等进行参数配置，防止因参数或权限设置不当而给攻击者留下可乘之机 根据实际使用需求，按照权限最小化原则，完成账号、角色的授权，做好凭据管理，部署实施相关安全策略，并保障应用自身参数配置的安全性 负责应用制品的供应链安全 保障应用敏感数据及应用运行时的安全 CCE采用双层的权限体系，即IAM+RBAC。当删除 IAM 用户或 IAM 角色时，并不会同步移除该用户或角色所拥有的集群 KubeConfig 中的 RBAC 权限。因此，在删除离职员工或非受信人员的 IAM 用户或 IAM 角色前，需先吊销其 KubeConfig 权限。

函数计算权限管理通过天翼云的访问控制IAM实现。使用访问控制IAM可以让您避免与其他用户共享云账号密钥，即AccessKey（包含AccessKey ID和AccessKey Secret），按需为IAM用户分配最小权限。本文介绍函数计算的权限策略，包括系统策略、自定义策略及自定义策略示例。 策略类型 在访问控制中，权限策略是用语法和结构描述的一组权限的集合，可以精确地描述被授权的Resource（资源集）、Action（操作集）以及授权条件。函数计算包含以下权限策略： 系统策略：统一由天翼云创建，您只能使用不能修改，策略的版本更新由天翼云维护。 自定义策略：您可以自主创建、更新和删除，策略的版本更新由您自己维护。 系统策略 当您首次使用IAM用户登录函数计算控制台时，不仅需要通过天翼云账号给您的IAM用户添加访问函数计算的系统权限策略，也需要给IAM用户添加访问其他云服务的系统权限策略。成功授权后，您的IAM用户才可以正常访问函数计算服务及其他云产品服务。 系统策略包含以下类型： 权限策略名称 描述 CtyunFCReadOnlyAccess 表示允许对函数计算所有的资源进行读操作。 CtyunFCInvocationAccess 表示允许对所有函数的资源进行执行操作。 CtyunFCFullAccess 表示允许对所有函数计算资源进行所有执行操作。 自定义策略 除了函数计算默认提供的系统策略外，您也可以通过自定义策略进行更细粒度的权限管理。 Action Resource 描述 cf:inst:ListFunctions ctrn:cf:{region}:{uid}:functions/ 函数列表 cf:inst:GetFunction ctrn:cf:{region}:{uid}:functions/{functionName} 查询函数 cf:inst:CreateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 创建函数 cf:inst:DeleteFunction ctrn:cf:{region}:{uid}:functions/{functionName} 删除函数 cf:inst:UpdateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 更新函数 cf:inst:InvokeFunction ctrn:cf:{region}:{uid}:functions/{functionName} 调用函数 您可以通过以上自定义的权限策略设置具有调用华东1（杭州）地域下demo函数的权限，具体策略如下所示： json { "Version": "1", "Statement": [ { "Action": [ "fc:InvokeFunction" ], "Resource": "ctrn:cf:{region}:{uid}:functions/demo", "Effect": "Allow" } ] }

6.2 变更 本App不直接支持账户的创建与变更，如您需创建与变更账号信息，请登录天翼云VPN连接控制台进行。您应确保向我们提交的所有信息都准确无误，如果您发现我们对您的信息收集、存储有错误，可以通过登陆天翼云VPN连接控制台进行用户相关信息修改。 如您发现无法自行更正的，您也可以通过工单、邮件等方式联系我们提出变更或者修正错误信息请求。验证身份和权限后，我们将在15日内响应您的个人信息更改请求。 6.3 删除 本App不直接支持账户的删除与注销，如您需删除、注销账号信息，请登录天翼云官网VPN连接控制台进行。 若您发现我们未按照法律法规的规定或者本隐私政策约定收集和使用您的信息，您可以通过登录天翼云VPN连接控制台对您的个人信息进行删除。您也可以通过工单、邮件等方式联系我们对相关信息（包含副本、数据备份）进行删除。 验证身份和权限后，我们将在15日内响应您的个人信息删除请求。 当您或我们协助您删除相关信息后，由于遵从法律法规有关信息留存的要求，我们将安全地存储您的个人信息并限制对其的任何进一步的处理，直到备份可以清除或实现匿名化。 6.4 改变或撤回您的授权信息 （1）对于您已经授权同意我们收集和使用的终端设备权限信息，您可以通过在终端设备进行设置，通过进入手机设置中的权限管理页面，改变或撤回您的授权同意；您改变或撤回授权同意后，可能无法使用相应的功能服务。 （2）对于您已经授权同意我们隐私政策内容，您可以通过在本App的设置页面（路径：主页面>设置>隐私政策撤回）进行隐私政策授权同意撤回；当您撤回隐私政策同意后，将无法使用本App功能，需要您重新授权同意隐私政策后，方可继续使用本App各项功能。 （3）我们遵循合法、正当、必要原则，仅通过业务系统、接口交互、运维管理等合法途径处理个人信息，并通过限定使用范围与期限、严控敏感信息处理权限、采用数据脱敏及访问审计等技术措施、保障用户撤回同意的权利，依法对信息处理活动进行限制，超期或无需处理时及时删除或匿名化，处理时限为15日内。

本章节介绍如何通过云原生网关访问bookinfo应用 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎实例。产品入口：云容器引擎。 2. 开通天翼云应用服务网格实例。 3. 开通天翼云微服务引擎，并在应用服务网格控制面集群同VPC内创建云原生网关实例。产品入口：微服务引擎MSE。 操作步骤 我们在当前云容器引擎实例同VPC下预先开了一个云原生网关实例；通过云原生网关，我们可以从外部访问到云容器引擎内的服务，具体操作如下说明。 1. 首先通过云原生网关实例内服务来源>创建来源，将当前云容器引擎集群添加为服务来源。 2. 然后通过服务列表>创建服务，将sample命名空间下的bookinfo应用入口服务productpage添加为云原生网关的服务。 3. 在路由配置内，通过配置网关路由规则，将bookinfo的访问流量路由到productpage服务，需要添加路由匹配如下路径： /logout /login /api/v1/products/ /static/ /productpage 请求转发到productpage服务。 4. 通过网绑定的ELB地址可以访问到bookinfo应用的首页（

通过手动执行备份策略,可立即对该策略下的云主机进行备份。 说明 如果备份策略中的云主机正在执行备份任务，则无法手动执行备份策略。 如果周期性备份调度计划开始时，手动备份任务仍未完成，则系统自动取消当次周期性调度任务。建议手动执行备份策略的时间与周期性备份的备份策略执行时间间隔≥3小时。 前提条件 已创建至少1个备份策略，且备份策略中至少绑定了一个云主机。 操作步骤 1.登录天翼云控制中心； 2.在产品列表中选择“存储> 云主机备份”； 3.单击“管理备份策略”，进入“管理备份策略”页面； 4.在需要手动执行备份的云主机备份策略区域右上角，单击“执行”； 5.单击“确定”。

本文介绍如何在天翼云函数计算控制台创建、查看、编辑和删除应用环境。 创建环境 在函数计算控制台，点击对应的应用进入应用详情页面，您可以点击创建环境按钮，进入环境创建页面。 填写字段说明： 环境名称：一个应用不能出现两个相同的环境名称。 环境类型 ：根据实际的业务诉求选择合适的环境类型，支持测试环境 、预发环境 、生产环境三种环境类型。 描述：环境的描述。 流水线配置 ：环境对应的流水线配置，请见管理流水线。 查看环境 在函数计算控制台，点击对应的应用进入应用详情页面，可以看到当前应用关联的环境列表。 点击对应的环境名称，进入环境详情页面，该页面包含环境详情、流水线管理等2个页签。 环境详情 环境详情页签主要包含应用和环境的基本信息、环境绑定的代码源、部署构建历史以及部署的资源。 流水线管理 您可以在此处配置当前环境的构建流水线，请见管理流水线。 编辑环境 您可以在环境详情页面环境详情页签处，点击环境信息旁的编辑链接，进行编辑环境的描述、分支绑定以及流水线触发方式。 删除环境 您可以在应用详情页，点击对应环境操作列的删除链接，然后您需要确认选择需要删除环境相关的资源，进行删除指定环境。

浏览器场景说明 当前版本可通过 Computer Use 操作云电脑中的浏览器，例如点击页面、输入文本、滚动页面和截屏观察。 需要注意的是，当前文档不将其描述为独立的 Browser Use 能力。若后续提供浏览器专用 API、标签页管理、网络请求观测、DOM 级操作等能力，可再独立建设 Browser Use 文档。 调用方式 Computer Use 能力可通过以下方式接入： SDK：适合业务系统主动编排任务流程。 MCP：适合 MCP Client、Agent 宿主或 IDE 插件以工具方式调用。 操作坐标说明 鼠标相关接口通常使用桌面屏幕坐标。坐标原点一般位于屏幕左上角，X 轴向右递增，Y 轴向下递增。 在实际自动化流程中，建议先截图确认窗口位置和分辨率，再执行坐标点击或拖拽操作。对于分辨率、窗口布局可能变化的任务，应尽量通过截图识别、固定窗口布局或前置校验降低误操作风险。 使用建议 在执行点击前，建议先通过截图确认目标界面处于预期状态。 对页面加载、软件启动、弹窗出现等耗时操作，应加入等待和状态检查。 对重要操作，如提交、删除、付款等，应增加二次确认逻辑。 对需要批量执行的任务，应记录每一步操作结果，便于后续审计和问题排查。 能力边界 Computer Use 主要面向 GUI 自动化，不等同于业务系统 API。对于可通过接口直接完成的任务，优先使用业务接口通常更稳定、更可审计。对于界面变化频繁、坐标不稳定或存在复杂验证码的场景，需要结合业务策略评估可行性。

支持绑定负载均衡 支持非负载均衡场景和负载均衡场景下的弹性伸缩服务。 支持健康检查 天翼云弹性伸缩服务提供健康检查功能，保证使用健康云主机负载业务。 支持云主机健康检查和负载均衡健康检查两种检查方式，自动替换不健康实例。 支持查看伸缩数据 用户可按照图形或表格的方式查看伸缩组的云主机实例数量变化情况，并能看到伸缩组内所有云主机实例的资源利用情况平均值变化曲线。

数据管理服务DMS目前提供基础版、企业版,企业版在基础版之外提供更多数据安全和风险管控等企业级特性。本文主要说明版本之间的差异,以及如何查看和切换版本。 基础版和企业版主要差异 模块 功能 基础版 企业版 实例管理 添加实例 Y Y 实例管理 登录实例 账号密码登录 账密托管，免登录 注意 MongoDB和DDS类型数据库暂不支持 实例管理 库/模式管理 Y Y 实例管理 对象管理 Y Y 实例管理 编辑实例 Y Y 实例管理 删除实例 Y Y 实例管理 数据权限管理 实例元数据级别 细粒度，支持实例、库/模式、表级别 实例管理 设置风险规则集 N Y 实例管理 数据库用户管理 Y Y 实例管理 禁用/启用实例 Y Y 实例管理 同步元数据 Y Y 实例列表 所有实例列表 Y Y 实例列表 收藏夹实例列表 Y Y 实例列表 收藏/取消收藏实例 Y Y 查询窗口 执行SQL Y Y 查询窗口 保存脚本 Y Y 查询窗口 格式化 Y Y 查询窗口 执行计划 Y Y 查询窗口 SQL诊断 Y Y 查询窗口 语法帮助 Y Y 查询窗口 导入脚本 Y Y 查询窗口 执行历史 Y Y 查询窗口 结果集可视化编辑 Y Y 查询窗口 表信息查看 Y Y 查询窗口 打开表 Y Y 查询窗口 新建表 Y Y 查询窗口 编辑表 Y Y 查询窗口 复制建表 Y Y 查询窗口 表详情 Y Y 查询窗口 重命名表 Y Y 查询窗口 管理员模式 N Y 查询窗口 删除表 Y Y 查询窗口 新建可编程对象 Y Y 查询窗口 编辑可编程对象 Y Y 数据导出 整库/模式导出 Y Y 数据导出 整表导出 Y Y 数据导出 SQL结果集导出 Y Y 数据导出 结构导出 Y Y 数据导入 CSV/SQL/TXT/JSON/EXCEL数据导入 Y Y SQL变更 提交SQL变更工单 N Y SQL审核 提交SQL审核工单 N Y 结构对比 结构对比 N Y 数据对比 数据对比 N Y 用户与角色 邀请用户 仅能添加普通用户 可添加系统管理员、运维管理员、审计管理员、配置管理员和普通用户 用户与角色 编辑用户 Y Y 用户与角色 删除用户 Y Y 用户与角色 授权用户数据权限 Y Y 用户与角色 授权用户运维权限 N Y 团队管理 团队成员管理 Y Y 团队管理 团队实例管理 Y Y 慢SQL 慢SQL分析 Y Y SQL审计 SQL审计明细 Y Y SQL审计 统计分析 Y Y 操作审计 DMS SQL明细 Y Y 操作审计 DMS 操作审计 Y Y 工单列表 任务工单 Y Y 工单列表 数据权限工单 N Y 工单列表 团队申请工单 Y Y 工单列表 工单审批 N Y SQL规范 规范管理及规则配置 N Y 审批流 审批模板管理 N Y SQL风险 DDL风险规则配置 N Y SQL风险 DML风险 规则配置 N Y SQL风险 数据导出风险规则配置 N Y 敏感数据保护 敏感实例 N Y 敏感数据保护 敏感列 N Y 敏感数据保护 脱敏算法 N Y 敏感数据保护 敏感列权限管控 N Y 敏感数据保护 分类分级 N Y 敏感数据保护 识别任务 N Y 智能运维 实例概览 Y Y 智能运维 实例画像 Y Y 智能运维 一键诊断 Y Y 智能运维 会话管理 Y Y 智能运维 性能分析 Y Y 智能运维 空间分析 Y Y 智能运维 锁分析 Y Y 智能运维 性能洞察 Y Y 智能运维 诊断报告 Y Y 智能运维 数据追踪 N Y 智能运维 异常管理 Y Y 智能运维 健康巡检 N Y AI智能 数据库智能问答 以DMS帮助文档，及各数据库手册为语料提供智能问答 以DMS帮助文档，数据库元数据，及各数据库手册为语料提供智能问答 AI智能 NL2SQL N Y AI智能 SQL纠错 N Y 个人中心 申请数据权限 N 细粒度，支持实例、库/模式、表级别 组织管理 组织信息配置 Y Y 屏幕水印 屏幕水印 Y Y

云日志服务支持采集翼MR各类集群的组件日志，采集后即可在云日志服务控制台对集群日志进行查询、分析与告警。 操作步骤 1. 登录翼MR控制台，进入集群信息页面，单击“集群日志”页签。 2. 点击右上角“开通服务”，授权翼MR开通云日志服务。 3. 点击【已知悉，授权开通】后，翼MR将开始为用户创建该集群的日志项目与日志单元，可点击翼MR控制台“集群日志”页面右上角的“前往查看”跳转至云日志服务控制台查看日志详情。 4. 如需关闭云日志服务，停止日志上报，可点击翼MR控制台“集群日志”页面右上角的“关闭”按钮，停止日志上报。

本章节将介绍mongodump和mongorestore工具的使用方法 mongodump和mongorestore是MongoDB客户端自带的备份恢复工具。您可以在本地设备或ECS中安装MongoDB客户端，通过mongodump和mongorestore工具将自建MongoDB数据库或其他云数据库MongoDB迁移至天翼云DDS实例。 使用须知 mongodump和mongorestore工具仅支持全量数据迁移。为保障数据一致性，迁移操作开始前请停止源数据库的相关业务，并停止数据写入。 建议您尽量选择在业务低峰期迁移数据，避免在迁移过程中对业务造成影响。 不支持迁移系统库admin和local。 确保源库中系统库admin和local没有创建业务集合，如果已经有业务集合，必须在迁移前将这些业务集合从admin和local库中迁移出来。 导入数据之前，确保源端有必要的索引，即在迁移前删除不需要的索引，创建好必要的索引。 如果选择迁移分片集群，必须在目标库创建好要分片的集合，并配置数据分片。同时，迁移前必须要创建好索引。 如果使用mongodump工具备份失败（示例：备份进度至97%时报错），建议您尝试增大虚拟机磁盘空间，预留部分冗余空间，再重新执行备份。 客户侧使用的是rwuser帐号，仅支持操作客户业务库表。所以，在使用时建议指定库和表，仅对业务数据执行导入导出。不指定库表，全量进行导入导出，可能会遇到权限不足的问题。 前提条件 准备弹性云服务器或可访问DDS的设备。 − 通过内网连接文档数据库实例，需要创建并登录弹性云服务器，请参见创建弹性云服务器和登录弹性云服务器。 − 通过公网地址连接文档数据库实例，需具备以下条件。 为实例中的节点绑定公网地址，保证本地设备可以访问文档数据库绑定的公网地址。 在已准备的弹性云服务器或可访问DDS的设备上，安装数据迁移工具。 安装数据迁移工具，请参见如何安装MongoDB客户端。 说明 MongoDB客户端会自带mongodump和mongorestore工具。 MongoDB客户端版本须和实例相匹配，若版本不匹配则会有兼容性问题出现。

移动端投屏 天翼AI云电脑移动客户端作为投屏端，可以通过扫码或输入投屏码方式进行投屏操作。 使用扫码投屏 操作步骤： 1.登录移动设备天翼AI云电脑客户端，在首页左上角，点击“扫一扫”，扫描投屏接收端的投屏二维码； 2.扫码后，可在AI云电脑列表弹窗选择需要投屏的AI云电脑，点击进入即可开始投屏。 3.选择投屏后，即可进行投屏连接。 使用投屏码投屏 操作步骤： 1.登录移动设备天翼AI云电脑客户端，在AI云电脑列表选择进入投屏的AI云电脑； 2.进入AI云电脑后，在顶部工具栏，点击“控制中心”“管理”； 3.在管理页面控制中心入口管理，开启“翼投屏”功能； 4.开启后，在顶部工具栏，点击“控制中心”，可查看到翼投屏功能； 5.点“翼投屏”，弹出投屏界面，输入投屏码进行投屏； 6.输入后等待投屏显示即可，连接成功后投屏接收端会显示如下界面。

移动端投屏 天翼云电脑移动客户端作为投屏端，可以通过扫码或输入投屏码方式进行投屏操作。 使用扫码投屏 操作步骤： 1.登录移动设备天翼云电脑客户端，在首页左上角，点击“扫一扫”，扫描投屏接收端的投屏二维码； 2.扫码后，可在云电脑列表弹窗选择需要投屏的云电脑，点击进入即可开始投屏。 3.选择投屏后，即可进行投屏连接。 使用投屏码投屏 操作步骤： 1.登录移动设备天翼云电脑客户端，在云电脑列表选择进入投屏的云电脑； 2.进入云电脑后，在顶部工具栏，点击“控制中心”“管理”； 3.在管理页面控制中心入口管理，开启“翼投屏”功能； 4.开启后，在顶部工具栏，点击“控制中心”，可查看到翼投屏功能； 5.点“翼投屏”，弹出投屏界面，输入投屏码进行投屏； 6.输入后等待投屏显示即可，连接成功后投屏接收端会显示如下界面。

本文介绍DRDS的产品优势。 高性能 分布式服务架构，对比单机数据库服务，支持分库分表，能力线性提升。 支持读写分离，水平拆分后如果还存在较大的查询压力，可以开启读写分离，有效提供读扩展的同时提高开发灵活性。 弹性扩展 分层架构确保计算、存储均可线性扩展，完美解决单机数据库水平扩展瓶颈。 扩容过程对业务完全透明，无需业务中断。 简单易用 全面兼容MySQL协议和语法，兼容大部分MySQL客户端。 分片过程对业务无干预，使用流程如单机数据库，学习成本低。 支持可视化控制台，提供专有的运维管理指令。 高可用 通过弹性负载均衡实现无状态计算节点的高可用性，故障时流量自动切换，实现秒级容灾切换。 关联高可用存储节点，具备双机热备、数据备份和数据恢复的高可用特性。 支持多可用区部署，提供机房级别的高可用容灾架构。 低成本 提供完善的运维和技术支持，相比开源产品总体性价比更高。 支持多种规格配置，覆盖不同业务规模场景。

本文为您介绍云审计服务的计费模式。 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准。

本文介绍如何进行容器设置。 在容器设置页面，支持设置“容器调查审计信息保留时间”和“容器调查审计信息保留容量”。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“容器安全 > 容器设置”，进入容器设置页面。也可以在容器实时检测页面，单击右上角的“设置”按钮，进入容器设置页面。 3. 设置“容器调查审计信息保留时间”和“容器调查审计信息保留容量”。 参数 说明 历史容器保留时间 默认为7，不支持修改。 存在报警的历史容器保留时间 默认为7，不支持修改。 容器调查审计信息保留时间 最大值为“1095天”。 容器审计信息会记录大量事件，占用较大的磁盘空间，请根据磁盘剩余空间大小酌情配置保存天数。 容器调查审计信息保留容量 最大值为“65535G”。 容器审计信息会记录大量事件，占用较大的磁盘空间，请根据磁盘剩余空间大小酌情配置保存容量。 说明 “容器调查审计信息保留时间”和“容器调查审计信息保留容量”两个参数值均为0时，代表关闭审计功能。

第二步：配置CNAME 成功添加全站加速域名后，系统会为您分配一个CNAME域名。您需要在域名解析服务商处将服务域名的DNS解析记录指向CNAME域名，访问请求才能转发到全站加速节点上，实现全站加速。 1. 在客户控制台【域名管理】的【域名列表】中，复制域名对应的CNAME。 2. 前往您的域名解析（DNS）服务商（如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等），添加该CNAME记录。 3. 验证全站加速服务是否生效：您可以ping或dig您所添加的加速域名，验证全站加速服务是否生效。 第三步：配置加速策略（可选） 成功添加加速域名之后，您还可以按照以下建议高阶配置策略进行配置，帮您达到优质的加速体验。 场景 描述 参考链接 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现优质路径提速回源。 缓存配置 动态回源策略 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速之间请求的HTTPS加密，保障数据传输的安全性。 HTTPS配置概述 IPv6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 IPv6配置 海外加速 开启海外加速，可满足出海企业本地化CDN节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 变更加速区域 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。 html页面优化 文件压缩

中小型企业最佳实践 适用人数：数据库用户规模20人100人。 随着企业规模的增长(DMS用户20100人)，更加细化的角色分工变得重要，建议按如下配置使用： 团队使用：使用多个团队，依据业务需求划分为多个团队，每个团队拥有独立的团队管理员，并各自管理团队内成员。 角色使用：超级管理员(主账号)负责用户管理、角色分配和操作审计，不再单独管理实例，同时新增DBA，负责所有团队的实例运维、规范制定、风险审批流程等运维事宜。 实例管理：各团队管理员独自录入和管理实例，配置实例的规范和风险规则。 权限分配：各团队管理员按需独自分配数据权限给团队内成员，包括实例、库、表的查询、导入导出及变更权限，确保他们能够执行所需的操作。 协作 ：各团队成员提交的工单，主要由各团队管理员审批，对于部分高危的可能影响实例稳定性和安全性的操作，则额外需要DBA审批。 大型企业最佳实践 适用人数：数据库用户规模100人以上。 对于大型或超大型企业(DMS用户100人以上)而言，精细化管理和高效协作是关键，对数据安全和审计有严格要求，建议按如下配置使用： 团队使用：使用多个团队，依据业务需求划分为多个团队，每个团队拥有独立的团队管理员，并各自管理团队内成员。 角色使用：超级管理员(主账号)不再用于日常操作，仅用于某些必需操作(如切换版本、开通某些涉及费用的功能、初始用户角色配置等)。设置若干系统管理员角色，用于代替使用超级管理员。系统管理员拥有所有不涉及费用的功能操作权限，可满足全局管理需求。添加审计管理员角色，负责对所有用户的操作进行审计。设置若干DBA，分别负责部分团队的实例运维、规范制定、风险审批流程等运维事宜。 实例管理：各团队管理员独自录入和管理实例，为实例绑定由DBA定义好的规范和风险规则。 权限分配：各团队管理员按需独自分配数据权限给团队内成员，包括实例、库、表的查询、导入导出及变更权限，确保他们能够执行所需的操作。 协作：各团队成员提交的工单，主要由各团队管理员审批，对于部分高危的可能影响实例稳定性和安全性的操作，则额外需要DBA审批。

存储资源价格 产品规格 包周期价格（元/GB/月） 按需计费价格（元/GB/小时） 高I/O 0.4 0.0009 通用SSD 0.7 0.00097 超高I/O 1.2 0.0017 XSSD0 0.5 0.00105 XSSD1 1 0.0021 XSSD2 2 0.0042 但因部分功能使用到天翼云官网其他商用产品（如对象存储、弹性IP、IPv6带宽、云日志服务、弹性负载均衡等），需要您自行开通并按开通规格付费使用。 具体收费模式，请参见对象存储产品计费说明、弹性IP计费概述、云日志服务计费概述、弹性负载均衡计费说明。

此章节为你介绍如何进行数据库审计的规则配置。 规则配置 规则配置是指根据一些特征（如客户端、服务端、SQL语句）定义危险行为（安全规则）、可以信任的行为（信任规则）和不审计的行为（过滤规则）。当系统审计到对数据库的操作匹配过滤规则的行为则不进行审计，对应匹配信任规则时不会触发告警，对应匹配安全规则时会触发告警。 系统匹配规则的顺序为： 1. 过滤规则 2. 信任规则 3. 安全规则 配置过滤规则 过滤规则的功能是根据某些特定的条件过滤一些操作，系统对这些操作不审计，从而节省设备的磁盘空间，将有限的资源用来存储更有价值的审计数据。 过滤规则的过滤方式有三种： 按IP过滤：设置某些IP地址为信任的IP地址，系统对这些IP地址发起的SQL请求不审计。 按SQL模板过滤：设置SQL模板为可信任的模板，当访问的SQL语句的模板是设置的过滤模板，则不进行审计。 按规则过滤：指按照特定的条件进行审计过滤，规则包括客户端信息、服务端信息、SQL请求和SQL结果等条件。 具体操作步骤请参考过滤规则章节。 配置信任规则 1. 在左侧菜单栏中选择“规则配置 > 信任规则”进入“信任规则”页面。 2. 单击“新增”，在弹出的新增规则对话框中编辑相关信息，具体参数请参考信任规则章节。 3. 配置完成后，单击“保存”即可完成信任规则的配置。

4、检测端口情况 可能连接器占用端口和应用端口冲突：零信任连接器占用UDP端口（从控制台可以获取），如果应用必要端口与连接器占用端口重复，请联系天翼云技术支持修改零信任连接器端口号。

本节主要介绍如何在智能视图服务控制台管理AI应用。 如果想使用智能分析服务，需要创建AI应用，并为要进行AI分析的设备绑定AI应用。 点击左侧导航栏的【AI管理AI应用】，可以查看平台的所有AI应用列表，包括算法类型、分析类型、描述、关联设备数等信息，用户可以进行查看/编辑/删除应用、查看分析结果和告警统计等操作。 创建AI应用 点击【新建AI应用】按钮，用户选择想要使用的AI算法，目前天翼云智能视图服务支持的算法包含人脸识别、人体识别和场景识别三种类别，也可以在右上角输入算法名称或者算法描述关键字进行搜索，找到目标算法后点击【选择】，进入下一步。 输入自定义应用名称并完成应用配置，包含以下配置项。 分析类型：包含分钟级、秒级和高算力型。 生效时段：支持配置AI分析时段，可选择全天或者指定时间段，支持添加多个生效时间段。 置信度：置信度越高，则会提升告警结果的准确率，但会存在漏检的情况；置信度越低，则可以捕捉到更多可能的告警，但会存在更多误检的情况。 告警配置：开启后可优化AI告警信息频繁的情况，自定义设置静默规则，包括告警周期、告警数量阈值和静默时间，可以压缩AI告警信息。

配置日志外发 日志外送提供Kafka外送功能，Kafka外送模块是 APIG 系统的通用外发功能，支持配置外发接口以及外发任务来管理通过Kafka方式外发，有固定模板供客户选择。通过Kafka外送发送日志的格式可以根据实际的情况进行调整。 1.登录API安全网关。 2.在左侧导航栏选择“通知外送 > 日志外送”，进入Kafka页签。 3.在“外送接口”区域，单击“新增”按钮，开始新增Kafka外送接口。 配置项 说明 名称 日志外送接口的名称。必须为中文字符、字母、数字、“”、“.”或“”，长度不超过 64 字符。 Kafka节点地址 Kafka服务器的IP（域名）及端口号。例如：192.168.0.1:9200。 Kafka主题 消息投放到Kafka服务器的主题。 Kafka分区 消息投放到的Kafka服务器的分区。Kafka服务器通过主题（topic）、分区（partition）和消费组（consumergroup）三个概念灵活适应各种消息场合，通过提升硬件资源利用率提高系统吞吐量。 以上Kafka相关配置与服务器端保持一致即可。 审计日志模板 设置发送审计日志的模板，具体字段请依据填写说明编辑。 操作日志模板 设置发送操作日志的模板，具体字段请依据填写说明编辑。 告警日志模板 设置发送告警日志的模板，具体字段请依据填写说明编辑。 流量控制日志模板 设置发送流量控制日志的模板，具体字段请依据填写说明编辑。 4.配置完成后，选择“外送任务”，开始新增Kafka外送任务。 配置项 说明 任务名称 日志外送任务的名称。必须为中文字符、字母、数字、“”、“.”或“”，长度不超过 64 字符。 日志类型 审计日志、操作日志、告警日志、流量控制日志 外送接口 选择维护好的外送接口 满足条件协议 默认全部

此章节为你介绍日志审计(原生版)对象资源相关的操作。 对象资源用于日志字段的自定义值，可直接引用该值匹配告警。现支持5种数值类型，分别为IP地址、端口、时间、字符串、表。 新增IP地址 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“风险分析 > 对象资源”，进入“对象资源”页面。 3.选择“IP”页签，单击“新增”按钮，在弹出的对话框中填写参数。 参数 参数说明 取值样例 名称 输入需要添加的IP资源名称。 Test 描述 输入需要添加的IP资源描述。 生存时间 选择该资源的生存时间： 永久生存：该IP资源永久有效。 自定义：选择IP资源到期的日期。 自第一次出现起：告警程序第一次匹配算起，填写需要保留的时间，保留时间单位可选小时或者天。 永久生存 内容类型 根据业务需求选择“IPV4”或“IPV6”。 IPV4 资源定义 填写IP地址和子网，支持单个IP地址和子网的输入，多个IP地址使用英文符号“,”隔开，不支持填写IP地址范围 0.0.0.0 4.单击“提交”，完成IP地址对象资源的新增。 后续操作 查看IP地址：单击“操作”列的“查看”可查看IP地址的详情信息。 修改IP地址：单击“操作”列的“修改”可修改IP地址的信息。 删除IP地址：单击“操作”列的“更多 > 删除”可删除IP地址。 新增端口 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“风险分析 > 对象资源”，进入“对象资源”页面。 3.选择“端口”页签，单击“新增”按钮，在弹出的对话框中填写参数。 参数 参数说明 取值样例 名称 输入需要添加的端口资源名称。 Test 描述 输入需要添加的端口资源描述。 生存时间 选择该资源的生存时间： 永久有效：该端口永久有效。 自定义：选择端口到期的日期。 自第一次出现起：告警程序第一次匹配算起，填写需要保留的时间，保留时间单位可选小时或者天。 永久生存 资源定义 填写需要管理的端口，多个端口使用英文符号“,”隔开，支持填写端口范围，例如：165535。 80 4.单击“提交”，完成端口地址对象资源的新增。