本节介绍了云数据库TaurusDB的计费项。 TaurusDB对您选择的数据库实例、数据库存储和备份存储进行收费。 计费项 计费说明 数据库实例 对所选的实例规格进行计费，提供包年包月和按需计费方式。 数据库存储 对数据库存储空间进行计费，提供包年包月和按需计费方式。 备份存储 TaurusDB提供了部分免费存储空间，用于存放您的备份数据，其总容量约为您购买容量的100%，超出部分将按照备份计费标准收费。 公网流量 TaurusDB实例支持公网访问，公网访问会产生带宽流量费；TaurusDB数据库实例在云内部网络产生的流量不计费。 TaurusDB管理费用详情，请参见产品价格详情。您可以通过TaurusDB提供的价格计算器，选择您需要的实例规格，来快速计算出购买TaurusDB实例的参考价格。

数据复制服务（Data Replication Service，简称DRS）支持在多种场景下，将源库数据迁移到目标文档数据库实例，最大限度允许迁移过程中业务继续对外提供使用，有效地将业务系统中断时间和业务影响最小化，完成数据库平滑迁移工作。 前提条件 使用数据复制服务进行数据迁移时，为了提高数据迁移的稳定性和安全性，请先阅读以确保数据库实例已满足迁移条件。 迁移场景 全量迁移 该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。选择 “全量迁移” 模式，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量迁移 该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将远端和目标端数据库保持数据持续一致。选择 “全量+增量” 迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 支持的源和目标数据库 表 支持的数据库 源数据库 目标数据库 本地自建Mongo数据库（3.2、3.4、4.0版本 ECS自建Mongo数据库（3.2、3.4、4.0版本 其他云上Mongo数据库（3.2、3.4、4.0版本，不支持腾讯云3.2版本） DDS实例（3.4、4.0版本） DDS实例（3.4、4.0、4.2版本） 说明：仅支持目标库版本等于或高于源库版本。 支持的迁移对象范围 在使用DRS进行迁移时，不同类型的迁移任务，支持的迁移对象范围不同，详细情况可参考下表。 DRS会根据用户选择，在“预检查”阶段对迁移对象进行自动检查 。 支持的迁移对象 类型名称 使用须知 迁移对象范围 迁移对象选择维度：支持选择表级、库级或实例级（全部迁移）。 支持的迁移对象 ： 相互关联的数据对象要确保同时迁移，避免迁移因关联对象缺失，导致迁移失败。常见的关联关系：视图引用集合、视图引用视图等。 副本集：目前只支持集合(包括验证器，是否是固定集合)，索引和视图的迁移。− 集群：目前只支持集合（包括验证器，是否是固定集合），分片键，索引和视图的迁移。 单节点：目前只支持集合（包括验证器，是否是固定集合），索引和视图的迁移。− 只支持迁移用户数据和源数据库的账号信息，不支持迁移系统库（如local、admin、config等）和系统集合，如果业务数据在系统库下，则需要先将业务数据移动到用户数据库下，可以使用renameCollection命令进行移出。 不支持视图的创建语句中有正则表达式。 不支持id字段没有索引的集合。 不支持BinData()的第一个参数为2。 不支持范围分片的情况下maxKey当主键。 支持迁移的对象有如下限制： 源数据库的库名不能包含/."和空格，集合名和视图名中不能包含字符或以system.开头。 数据库账号权限要求 在使用DRS进行迁移时，连接源库和目标库的数据库账号需要满足以下权限要求，才能启动实时迁移任务。不同类型的迁移任务，需要的账号权限也不同，详细可参考下表进行赋权。DRS会在“预检查”阶段对数据库账号权限进行自动检查，并给出处理建议。 建议创建单独用于DRS任务连接的数据库帐号，避免因为数据库帐号密码修改，导致的任务连接失败。 连接源和目标数据库的帐号密码修改后，请尽快修改DRS任务中的连接信息，避免任务连接失败后自动重试，导致数据库帐号被锁定影响使用。 表 数据库账号权限 类型名称 全量迁移 全量+增量迁移 源数据库连接账号 副本集：连接源数据库的用户需要有admin库的readAnyDatabase权限。 单节点：连接源数据库的用户需要有admin库的readAnyDatabase权限。 集群：连接源数据库的用户需要有admin库的readAnyDatabase权限，有config库的read权限。 果需要迁移源数据库用户和角色信息，连接源数据库和目标库数据库的用户需要有admin数据库的系统表system.users、system.roles的read权限。 副本集：连接源数据库的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 单节点：连接源数据库的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 集群：连接源数据库mongos节点的用户需要有admin库的readAnyDatabase权限，有config库的read权限，连接源数据库分片节点的用户需要有admin库的readAnyDatabase权限，有local库的read权限。 如果需要迁移源数据库用户和角色信息，连接源数据库和目标库数据库的用户需要有admin数据库的系统表system.users、system.roles的read权限。 目标数据库连接账号 连接目标数据库的用户需要有admin库的dbAdminAnyDatabase权限，有目标数据库的readWrite权限。对于目标数据库是集群的实例，迁移账号还要有admin库的clusterManager权限。 连接目标数据库的用户需要有admin库的dbAdminAnyDatabase权限，有目标数据库的readWrite权限。对于目标数据库是集群的实例，迁移账号还要有admin库的clusterManager权限。 用户赋权参考语句：如连接源数据库的用户需要有admin库的readAnyDatabase权限和config库的read权限。 db.grantRolesToUser("用户名",[{role:"readAnyDatabase",db:"admin"}, {role:"read",db:"config"}]) 迁移操作 具体的迁移操作请参考《数据复制服务最佳实践》中“MongoDB数据库迁移”章节。

本节主要介绍计费FAQ。 应用性能监控如何计费？ 在使用天翼云应用性能监控前，您需要先开通服务。开通服务不收取任何费用，开通后将根据实际用量进行计费，详情请查看计费说明。 开通应用性能监控时，账户是否需要有余额？ 在开通应用性能监控时，您的天翼云账户中需要有100元及以上的余额。建议先充值后再进行开通。 如何停止应用计费 如您后期还需要重新对该应用进行监控，那么在自定义配置中，关闭agent总开关即可；如果您后期不再需要监控该应用以及看历史监控数据，也可在应用列表中直接删除应用。 免费额度如何计算? 若以Javaagent方式接入，则每月提供2200agenthour的免费额度；若以其他方式接入，则每月提供30百万个span的免费额度，则每月提供210百万个x天的免费Span存储量额度。

步骤 说明 创建网格实例 使用应用服务网格CSM的服务治理能力之前首先要创建一个网关实例。 部署应用 部署测试应用到网格实例中。 配置网关访问 通过云原生网关实现外部访问网格内的服务。 体验流量治理能力 使用istio资源体验服务网格的流量治理能力。

本文介绍公共算力服务的产品优势。 丰富的场景化能力 支持多种异构算力跨地域的大规模调度能力。 实现不同云服务商、裸算力等多方算力并网能力。 灵活的多维度调度 提供业务调度、编排调度、作业调度的能力，满足不同场景的调度需求。 具备统一编排和跨域调度能力，支持可扩展的调度能力。 精细的可视化运营 算力调度、算力资源的精细化运营管理，提供稳定可靠的算力。 拥有完善的平台和规模化的算力运营经验。 开放的合作生态圈 以算力招募的方式接入社会算力。 提供开放兼容的算力并网接入方式和技术标准，打造开放的合作伙伴生态。

本章为您介绍为什么创建数据库脱敏任务时，无法找到已有的数据库实例中的表。 如果您在创建数据库脱敏任务时，选择已有的数据库实例，却无法找到对应实例里的表，一般是授权错误导致的。 背景 如果只对RDS数据库配置了“只读权限”，则只支持对数据库进行敏感数据识别，不支持数据脱敏。 原因 对该数据库实例只授权了“只读”权限，授权为“只读”权限无法进行数据脱敏。 解决办法 1. 参照删除数据库资产删除该授权的数据库实例。 2. 再参照授权数据库实例章节对数据库实例重新授权为“读写权限”。 说明 对数据库实例进行授权时，如果配额不够，请参照升级版本和规格购买数据库扩展包，1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、CSS、ECS自建大数据等）资产。

NAT网关产品为您提供安全可靠的公网服务,本文带您了解NAT网关的产品优势。 灵活部署 支持跨子网和跨AZ提供服务。NAT网关可为同一个VPC的多个AZ的多个子网提供服务。NAT网关的规格、带宽和公网IP、中转IP，均可以按需配置。 简单易用 多种网关规格可灵活选择。对NAT网关进行简单配置后，即可使用，运维简单，即开即用，运行稳定可靠。 降低成本 多个计算实例共享使用弹性IP。当您的私有IP地址通过NAT网关发送流量时，该软件将私有地址转换为公共地址。用户无需为计算实例访问Internet购买多余的弹性IP和带宽资源，多个计算实例共享使用弹性IP，有效降低成本。 高性能 NAT网关基于DPDK优化转发面性能，绕过协议栈直接从网卡驱动获取数据报文，直接将数据报文发送给用户态应用程序，不触发后续中断流程，减少了中断和内存拷贝的消耗，从而提升数据报文处理速度。 高可用 NAT网关主备集群模式，单网元故障集群内状态同步，秒级故障收敛，具备高可用性。 可视化运维 可用区资源池可对出入网流量进行可视化监控，及时发现网络瓶颈，保障业务永续服务，让运维更简单。

此小节介绍堡垒机变更规格必知。 应用场景 随着业务量的不断增长，当使用的云堡垒机规格不能满足实际需求时，您可以选择对云堡垒机的规格进行变更规格。 本文档主要针对单机模式云堡垒机的规格变更规格场景，指导用户在云上执行变更规格操作，以及变更规格前后的注意事项和操作指导。 说明 如需变更双机模式的云堡垒机规格，请单击天翼云管理控制台右上方的“工单”，填写工单联系技术支持。 变更流程 本文涵盖系统管理员admin变更云堡垒机规格的详细过程，包括变更规格前备份系统数据、变更版本规格、变更规格后恢复系统配置，以及验证变更规格后系统配置等过程。 图 变更规格流程示意图 变更规格限制 变更规格范围涉及系统功能版本和资产规格。 功能版本：仅能从标准版升级到专业版，不能从专业版到标准版。 资产规格：涉及资产数、并发数、CPU、内存、数据盘等规格配置。仅能从低规格变更规格到高规格，不能缩容。 说明 变更规格不涉及实例绑定的EIP带宽、流量等配置； 系统盘默认为100GB，变更规格不影响系统盘，仅涉及数据盘。 变更支持的版本规格 变更规格前版本规格 变更规格后版本规格 50标准版 50专业版 100标准版、100专业版 200标准版、200专业版 500标准版、500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业版 50专业版 100专业版 200专业版 500专业版 1000专业版 5000专业版 10000专业版 100标准版 100专业版 200标准版、200专业版 500标准版、500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业版 100专业版 200专业版 500专业版 1000专业版 5000专业版 10000专业版 200标准版 200专业版 500标准版、500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业 200专业版 500专业版 1000专业版 5000专业版 10000专业版 500标准版 500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业版 500专业版 1000专业版 5000专业版 10000专业版 1000标准版 1000专业版 5000标准版、5000专业版 10000标准版、10000专业 1000专业版 5000专业版 10000专业版 5000标准版 5000专业版 10000标准版 10000专业版 5000专业版 10000专业版

云下一代防火墙实例默认不限制日志存储时间；但因本地存储空间有限，云防火墙将在超过存储容量90%后启动滚动存储策略，增量日志将覆盖历史日志。 如果您有180天日志存储的诉求，可参考如下方法进行配置，以确保日志能够被妥善保存： 方法一：将日志通过syslog外发到专用的日志服务器或者日志审计服务中进行存档与分析（推荐）。 方法二：扩容本地磁盘以保证足够的日志存储容量。

防盗链设置 在【实例管理】的页面选择特定的点播实例，点击设置权限可进入该点播实例的【防盗链设置界面】，默认防盗链状态为：关闭。 防盗链设置说明 类型：白名单（只允许Referer列表域名进行访问）、黑名单（不允许Referer列表域名进行访问）。当需要设置防盗链配置时，此选项需要选择其一。 是否允许空Referer：允许、拒绝。当需要设置防盗链配置时，此选项需要选择其一。 Referer列表：填写域名或IP地址，以 。 注意 1. 拒绝空Referer会导致点播部分功能无法正常使用，请谨慎使用！ 2. 当设置了Referer防盗链后，访问存储桶的文件时，相应HTTP请求需要在header头部的Referer字段添加相应的防盗链信息，否则访问请求会被拒绝。 3. 以上Referer配置，仅针对云点播的三个存储桶有效。 4. 如用户在使用云点播服务时同时叠加了CDN加速服务，请务必确认CDN的回源请求符合云点播侧的防盗链要求，否则相应的回源请求可能被拒绝。 跨域访问CORS配置 云点播默认全部自带存储桶的跨域访问CORS设置为： 配置 可用值 AllowedMethod GET PUT HEAD AllowedOrigin AllowedHeader 如有其他跨域配置需求，可发送工单联系产品后台处理。 注意 1. 如您在集成播放平台时，遇到跨域问题，请先确认CDN服务商（如有）是否将HTTP头部的Origin字段携带透传回云点播存储桶。 2. 部分场景下，浏览器可能会将其他错误报为跨域问题，请开发者认真甄别。

本文为您介绍如何使用KMS中的用户主密钥，快速实现少量数据的在线加解密。 KMS提供针对敏感信息的加密能力，适用于保护小型敏感数据（小于6KB），如口令、身份信息、证书、后台配置文件等。 通过密钥管理服务KMS的在线加密API，使用用户主密钥（CMK）直接加密敏感数据信息，而非直接将明文存储，确保敏感数据安全。 场景示意图 操作流程（以证书加密为例） 1. 通过KMS控制台或者调用CreateKey接口，创建一个用户主密钥（CMK）。 2. 调用KMS服务的Encrypt接口，将明文证书加密为密文证书。 3. 将密文证书部署在服务器上。 4. 当服务器启动需要使用证书时，调用KMS服务的Decrypt接口将密文证书解密为明文证书。 相关API 您可以调用以下KMS API，轻松完成对数据的加密或解密操作。 API名称 说明 createKey 创建用户主密钥（CMK）。 encrypt 指定CMK，直接输入明文数据，由KMS在线加密数据。 decrypt 解密由encrypt接口加密的数据，不需要指定CMK即可完成在线解密。 操作步骤 1. 通过密钥管理服务控制台创建用户主密钥CMK。 2. 通过OpenAPI在线加密接口，对敏感数据进行加密。 请求参数说明 参数 是否必填 参数位置 参数类型 说明 cmkUuid 是 body String 主密钥（CMK）的全局唯一标识符。 plaintext 是 body String 待加密明文（必须经过Base64编码）。 请求示例 plaintext { "plaintext": "SGVsbG8gd29ybGQ", "cmkUuid": "241ede22626146179caf10d89990516c" } 成功返回 plaintext { "code": 200, "result": { "ciphertextBlob": "MDA2NE1qUXhaV1JsTWpJdE5qSTJNUzAwTmpFM0xUbGpZV1l0TVRCa09EazVPVEExTVRaakpqUTVaV00zTm1RM0xXTmpOR010TkRBd1pTMDVaakU1TFdZNU1EQXhOVGczWVdVd1pnPT3oCYiGAy7mNTLitIlJaQ92", "cmkUuid": "241ede22626146179caf10d89990516c", "keyVersionId": "49ec76d7cc4c400e9f19f9001587ae0f" }, "statusCode": 200, "success": 1 } 返回参数说明 参数 说明 ciphertextBlob 数据被指定CMK的主版本加密后的密文。 cmkUuid CMK的全局唯一标识符。如果请求中的Cmkuuid参数使用的是CMK的别名，在响应中会返回别名对应的CMK标志符。 keyVersionId 用于加密明文的密钥版本标志符，是指定CMK的主版本。 3. 将加密后的数据存储。 根据业务的应用场景，将密文进行存储。 4. 通过OpenAPI解密接口，对密文数据进行解密。 请求参数说明 参数 是否必填 参数位置 参数类型 说明 ciphertextBlob 是 body String 主密钥（CMK）加密的数据密钥的密文。 成功返回 plaintext { "statusCode": 800, "returnObj": { "code": 200, "result": { "cmkUuid": "8bca8f33d42a448a866ba064f44b29b7", "keyVersionId": "73670b284eea4260b497ae0334cc0c85", "plaintext": "sc7280+klUSln3Y9FHdfKGUT+6kPrcIMW41uZQeXxGU" }, "statusCode": 200, "success": 1 } } 返回参数说明 参数 说明 cmkUuid CMK的全局唯一标识符。如果请求中的Cmkuuid参数使用的是CMK的别名，在响应中会返回别名对应的CMK标志符。 keyVersionId 密钥版本ID。主密钥版本的全局唯一标识符。 plaintext 解密后的明文经过Base64编码的后的值。

本节为您介绍如何通过私有镜像创建云主机。 操作场景 您可以使用公共镜像或私有镜像创建云主机。使用公共镜像和私有镜像创建云主机的区别是： 公共镜像：创建的云主机包含所需操作系统和预装的公共应用，需要您自行安装应用软件。 私有镜像：创建的云主机包含操作系统、预装的公共应用以及用户的私有应用。 操作步骤 1. 登录天翼云控制中心。 2. 单击控制中心顶部的选择区域，此处我们选择华东1为例。 3. 在左侧导航栏选择“计算 > 镜像服务”。 4. 单击“私有镜像”进入对应的镜像列表。 5. 在私有镜像所在行的“操作”列下，单击“申请云主机”。 6. 系统会自动选中对应私有镜像，填写其他云主机配置信息，包括云主机名称、规格、网络、数量等信息。具体步骤可参照创建弹性云主机完成云主机创建。 7. 返回云主机列表页，单击云主机列表右上角的刷新按钮查看云主机创建情况。 说明 通过镜像申请云主机时，有些镜像具有独特的tag，例如，海光云主机的镜像，只适用于海光云主机，选择海光云主机后，只能选择海光独有的镜像。

分布式消息服务RocketMQ实例在被删除后，会被临时存入回收站中，此时实例中的数据尚未被彻底删除，在保留天数内支持从回收站中恢复此实例。超过保留天数的实例会被彻底删除，无法恢复。 约束与限制 回收站中的实例不会收取实例的费用，但是会收取存储空间的费用。 包年/包月的实例退订后会存入回收站中，此时不会收取实例的费用，但是收取存储空间的费用。 回收站中的按需实例，不支持实例恢复。 回收站管理 1. 登录分布式消息服务RocketMQ管理控制台。 2. 在左侧导航栏选择“回收站”，进入“回收站”页面。 恢复RocketMQ实例 1. 登录分布式消息服务RocketMQ管理控制台。 2. 在左侧导航栏选择“回收站”，进入“回收站”页面。 3. 在待恢复RocketMQ实例所在行，单击“恢复”。 删除回收站中的实例 1. 登录分布式消息服务RocketMQ管理控制台。 2. 在左侧导航栏选择“回收站”，进入“回收站”页面。 3. 在待删除RocketMQ实例所在行，单击“销毁”。 注意 回收站中的RocketMQ实例删除后，实例中原有的数据将被删除，且没有备份，请谨慎操作。

分布式消息服务RabbitMQ实例在被删除后，会被临时存入回收站中，此时实例中的数据尚未被彻底删除，在保留天数内支持从回收站中恢复此实例。超过保留天数的实例会被彻底删除，无法恢复。 约束与限制 回收站中的实例不会收取实例的费用，但是会收取存储空间的费用。 包年/包月的实例退订后会存入回收站中，此时不会收取实例的费用，但是收取存储空间的费用。 回收站中的按需实例，不支持实例恢复。 回收站管理 1. 登录分布式消息服务RabbitMQ管理控制台。 2. 在左侧导航栏选择“回收站”，进入“回收站”页面。 恢复RabbitMQ实例 1. 登录分布式消息服务RabbitMQ管理控制台。 2. 在左侧导航栏选择“回收站”，进入“回收站”页面。 3. 在待恢复RabbitMQ实例所在行，单击“恢复”。 删除回收站中的实例 1. 登录分布式消息服务RabbitMQ管理控制台。 2. 在左侧导航栏选择“回收站”，进入“回收站”页面。 3. 在待删除RabbitMQ实例所在行，单击“销毁”。 注意 回收站中的RabbitMQ实例删除后，实例中原有的数据将被删除，且没有备份，请谨慎操作。

本章节主要介绍翼MapReduce服务的企业项目管理功能。 企业项目是一种云资源管理方式。企业管理提供面向企业客户的云上资源管理、人员管理、权限管理、财务管理等综合管理服务。区别于管理控制台独立操控、配置云产品的方式，企业管理控制台以面向企业资源管理为出发点，帮助企业以公司、部门、项目等分级管理方式实现企业云上的人员、资源、权限、财务的管理。 MRS支持已开通企业项目服务的用户在创建集群时为集群配置对应的项目，然后使用企业项目管理对翼MR上的资源进行分组管理： 支持用户为多个资源进行分组管理。 支持用户查看企业项目下的资源信息、消费明细。 支持用户对企业项目级别的访问权限控制。 支持用户分企业项目查看具体的财务信息，包括订单、消费汇总、消费明细等。

验证数据持久化 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，进入负载详情； 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行 plaintext echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行 plaintext cat /ccsetmp/test.log 预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在， 说明数据可持久化保存。

本章节介绍Web应用防火墙与其他云服务的关系。 与弹性云主机的关系 Web应用防火墙为弹性云主机提供Web安全防护服务。 与云审计的关系 云审计（CloudTrace Service，CTS）记录了Web应用防火墙相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的WAF操作列表： 操作名称 资源类型 事件名称 创建Web应用防火墙防护实例 instance createInstance 删除Web应用防火墙防护实例 instance deleteInstance 更新Web应用防火墙防护实例 instance alterInstanceName 修改Web应用防火墙防护实例的防护状态 instance modifyProtectStatus 修改Web应用防火墙防护实例的接入状态 instance modifyAccessStatus 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy 添加证书 certificate createCertificate 修改证书名称 certificate modifyCertificate 删除证书 certificate deleteCertificate 创建CC规则 policy createCc 修改CC规则 policy modifyCc 删除CC规则 policy deleteCc 创建精准防护规则 policy createCustom 修改精准防护规则 policy modifyCustom 删除精准防护规则 policy deleteCustom 创建IP黑白名单规则 policy createWhiteblackip 修改IP黑白名单规则 policy modifyWhiteblackip 删除IP黑白名单规则 policy deleteWhiteblackip 创建/刷新网页防篡改规则 policy createAntitamper 删除网页防篡改规则 policy deleteAntitamper 创建误报屏蔽规则 policy createIgnore 删除误报屏蔽规则 policy deleteIgnore 创建隐私屏蔽规则 policy createPrivacy 修改隐私屏蔽规则 policy modifyPrivacy 删除隐私屏蔽规则 policy deletePrivacy

本文介绍会话管理的相关操作，会话管理功能帮助数据库运维和管理人员，快速查看与管理实例的会话信息，并支持高效定位难以排查的异常会话与阻塞问题。 前提条件 数据库版本：5.7或8.0。 数据库来源：天翼云RDS。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 会话管理 ，进入会话管理页面。 注意事项 针对云数据库，会话管理不支持由root用户、系统用户和天翼云内置用户创建的会话。 针对活跃会话与异常会话，单次查询最大支持5000条会话数据。 性能监控功能仅支持来源为云数据库的实例。 功能介绍 MySQL会话管理包含会话统计、性能监控、活跃会话、会话分析、异常会话、Kill会话等功能。 功能 说明 会话统计 查看会 话统计区域，支持按用户、数据库、访问来源和SQL等条件统计会话总数、活跃会话数、SQL执行次数和SQL最长执行时间。 性能监控 查看性能监控区域，支持展示5分钟内的性能监控趋势，性能监控指标包括数据库实例的CPU使用率、连接数及连接使用率等信息。 活跃会话 选择活跃会话页签，查看活跃会话信息，支持通过会话ID、用户、数据库和活跃状态等条件筛选会话。 会话分析 在10秒内，每隔一秒运行一次show processlist，汇总所有会话SQL进行统计分析；其中，阻塞统计为每隔3秒采集一次元数据锁阻塞信息，统计分析最大锁等待数。 异常会话 选择异常会话页签，查看包含锁等待事务、未提交事务与长事务的异常会话信息，支持通过会话ID、用户、数据库和活跃状态等条件筛选会话。 Kill会话 Kill会话包含以下四个功能： Kill选中会话：在会话列表中勾选待Kill的会话，点击Kill选中会话 ，在弹出的对话框中预览并点击执行。 Kill全部会话：点击Kill全部 ，在弹出对话框中点击执行，Kill全部会话。 持续Kill：详情查看持续Kill 查看Kill历史纪录：点击Kill历史记录，按时间筛选查看Kill历史记录（不包含持续Kill相关的历史记录）。 注意 系统将使用高权限账号对会话进行Kill，请谨慎操作。 权限说明请参考MySQL官方文档。

本页介绍了关系数据库MySQL版的监控安全风险。 关系数据库MySQL版提供多维度的监控指标和敏感操作保护，帮助您监控安全风险。 监控指标 关系数据库MySQL版提供基于云监控服务的资源监控能力，帮助您实时监控数据库实例，及时发现异常并自动告警或通知相关运维人员。 帮助您实时掌握实例运行过程中产生的运行指标和存储用量等信息，方便您预判风险及时处理。 关于关系数据库MySQL版支持的监控指标，以及如何创建监控告警规则等内容，请参见关系数据库MySQL版用户指南监控与告警支持的监控指标 。 敏感操作保护 关系数据库MySQL版管理控制台支持敏感操作保护，开启后执行删除实例等敏感操作时，系统会进行二次确认，进一步保证数据库实例配置和数据的安全性。

本章节主要介绍ALM18016 ResourceManager非堆内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测Yarn ResourceManager非堆内存使用率，并把实际的Yarn ResourceManager非堆内存使用率和阈值相比较。当Yarn ResourceManager非堆内存使用率超出阈值（默认为最大非堆内存的90%）时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > Yarn”修改阈值。 当Yarn ResourceManager非堆内存使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18016 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 Yarn ResourceManager非堆内存使用率过高，会影响Yarn任务提交和运行的性能，甚至造成内存溢出导致Yarn服务不可用。 可能原因 该节点Yarn ResourceManager实例非堆内存使用量过大，或分配的非堆内存不合理，导致使用量超过阈值。 处理步骤 检查非堆内存使用量 1.在FusionInsight Manager界面，选择“运维 > 告警 > 告警 > ALM18016 Yarn ResourceManager非堆内存使用率超过阈值定位信息”。查看告警上报的实例的主机名。 2.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Yarn >实例 > ResourceManager（对应上报告警实例主机名）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“ResourceManager内存使用率”。查看非堆内存使用情况。 3.查看ResourceManager使用的非堆内存是否已达到ResourceManager设定的最大非堆内存的90%。 是，执行步骤4。 否，执行步骤6。 4.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置 > 全部配置 > ResourceManager > 系统”。对ResourceManager 的内存参数“GCOPTS”进行调整。保存配置，并重启ResourceManager实例。 说明 集群中的NodeManager实例数量和ResourceManager内存大小的对应关系参考如下： 集群中的NodeManager实例数据达到100，ResourceManager实例的JVM参数建议配置为：Xms4G Xmx4G XX:NewSize512M XX:MaxNewSize1G。 集群中的NodeManager实例数据达到200，ResourceManager实例的JVM参数建议配置为：Xms6G Xmx6G XX:NewSize512M XX:MaxNewSize1G。 集群中的NodeManager实例数据达到500，ResourceManager实例的JVM参数建议配置为：Xms10G Xmx10G XX:NewSize1G XX:MaxNewSize2G。 集群中的NodeManager实例数据达到1000，ResourceManager实例的JVM参数建议配置为：Xms20G Xmx20G XX:NewSize1G XX:MaxNewSize2G。 集群中的NodeManager实例数据达到2000，ResourceManager实例的JVM参数建议配置为：Xms40G Xmx40G XX:NewSize2G XX:MaxNewSize4G。 集群中的NodeManager实例数据达到3000，ResourceManager实例的JVM参数建议配置为：Xms60G Xmx60G XX:NewSize2G XX:MaxNewSize4G。 集群中的NodeManager实例数据达到4000，ResourceManager实例的JVM参数建议配置为：Xms80G Xmx80G XX:NewSize2G XX:MaxNewSize4G。 集群中的NodeManager实例数据达到5000，ResourceManager实例的JVM参数建议配置为：Xms100G Xmx100G XX:NewSize3G XX:MaxNewSize6G。 5.观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

根据《天翼云网站服务条款》、《云平台安全规则》等天翼云规范性文件要求，若您使用天翼云产品发布、存储、传播以下信息和内容，天翼云除有权根据相关服务条款采取通知限期整改、屏蔽信息、中止服务、终止服务的措施，有权限制您账户如登录、新购产品或服务、续费、支付、提现等部分或全部功能，并有权限限制您同一主体认证新账号、冻结同一账号/主体下的部分/全部资源。 违规类型说明 安全违规信息类型说明，请参见：《安全违规信息类型说明》 安全违规行为类型说明，请参见：《安全违规行为类型说明》 违规管控分级说明 说明 一般违规行为、严重违规行为、特别严重行为将根据监管部门要求、同一用户违规次数、是否配合监管部门/天翼云的安全措施要求、是否可能导致大量违规信息/行为的产生、违规信息是否造成大量传播、是否情节严重、是否造成严重后果等，由天翼云基于一般常识综合判定。 违规信息类 各违规类型的通用违规管控规则： 违规类型 对应的违规管控 一般违规行为 根据产品分类，执行对应的违规管控 严重违规行为 封禁违规客户账号及账号下的全部资源、封禁实名 特别严重违规行为 封禁同一主体证件下的全部账号及资源、封禁实名 各产品一般违规行为的违规管控规则： 产品分类 一般违规行为的违规管控 计算产品 (ECS/物理云主机/GPU云主机/轻量化云主机等） 包括但不限于：通知限期整改、阻断域名、实例关停、冻结违规资源 网络产品 (SLB/弹性公网IP等) 包括但不限于：通知限期整改、阻断域名、网络实例停用、冻结违规资源 对象存储（ZOS、OOS、OBS、媒体存储） 包括但不限于：通知限期整改、文件冻结、文件限制访问、冻结bucket、冻结违规资源 CDN 包括但不限于：通知限期整改、停止加速、加速域名下线、冻结违规资源 域名 包括但不限于：通知限期整改、域名暂停解析、域名暂停解析并禁止转移、禁用域名信息模板、冻结违规资源 云解析 DNS 包括但不限于：通知整改、锁定解析记录、域名暂停解析、冻结违规资源 智能边缘云 包括但不限于：通知限期整改、阻断url/域名、节点实例关停、冻结违规资源 DDoS 防护 包括但不限于：通知限期整改、停止防护域名的流量转发、停止防护实例的流量转发、冻结违规资源 Web应用防火墙 包括但不限于：通知限期整改、阻断url/域名、冻结违规资源 其他产品 包括但不限于：冻结违规资源

本文介绍了如何查看轻量型云主机的弹性公网IP信息。 操作场景 在购买轻量型云主机后，您可以在轻量型云主机详情页“弹性公网IP”页签，查看轻量型云主机的弹性IP、带宽大小、宽带类型、创建时间等信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择华北2。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5. 单击“弹性公网IP”页签，可看到当前轻量型云主机弹性公网IP信息，您可以单击左侧下拉查看弹性公网IP详情。

健康检查配置 说明 健康检查 默认开启，可关闭或打开 健康检查类型 可选的方式：HTTP、TCP、UDP。TCP协议监听器只可选TCP，UDP协议监听器只可选UDP。 HTTP协议/HTTPS协议监听器可选HTTP或TCP。 健康检查端口 支持使用后端主机端口和使用特定端口两种类型，默认为使用后端主机端口。在主机组开启全端口转发时必须使用特定端口。端口范围：165535。 自定义请求/响应 对于UDP类型的健康检查，支持自定义请求/响应。输入格式支持文本（ASCII可见字符）和十六进制两种方式。该功能需要加白名单开通。 间隔时间 每隔多久进行一次健康检查。缺省5s，取值范围：1~20940 超时时间 等待主机返回健康检查的时间。缺省2s，取值范围2~60s 最大重试次数 缺省2次，取值范围1~10，健康检查失败达到最大重试次数后，进入健康检查失败状态。 检查路径 HTTP检查类型选项，长度1~80，检查URL。以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’ HTTP方法 HTTP检查类型选项，可选：GET、HEAD。GET检查类型：使用GET方法发送HTTP请求到后端主机，负载均衡器期望从主机获取完整的响应内容。这种检查类型通常用于检查后端主机的完整性和性能，并确保主机能够正确地处理和响应GET请求。HEAD检查类型：使用HEAD方法发送HTTP请求到后端主机，负载均衡器仅期望从主机获取HTTP响应头部，而不需要获取完整的响应内容。这种检查类型通常用于检查主机的可用性和响应时间，而无需传输大量数据。 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx

修改Linux系统实例默认远程端口 本章以CentOS 8.0 64位为例介绍如何修改Linux系统实例默认远程端口。 1. 登录控制中心。 2. 选择区域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待修改的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 因sshdconfig是Linux中重要的配置文件，为了避免误操作所带来的故障，在运行前首先对sshdconfig进行备份，请运行以下命令： plaintext cp /etc/ssh/sshdconfig /etc/ssh/sshdconfigbak 进入到/etc/ssh路径下输入ll命令查看，具体信息如下图： 7. 修改sshd服务的端口号，因为已经在/etc/ssh路径下，因此直接运行vim sshdconfig编辑sshdconfig配置文件，在键盘上按i键，进入编辑状态，添加新的远程服务端口，本节以2222端口为例。在Port 22下输入Port 2222。 8. 在键盘上按Esc键，输入:wq后保存并退出编辑模式。 9. 运行以下命令重启sshd服务。 plaintext systemctl restart sshd 至此，此弹性云主机的远程登录默认端口已经从22改为了2222。

本文主要介绍远程桌面连接Windows云主机报错:122.112...如何处理。 问题描述 本地使用远程桌面连接登录Windows server 2012云主机，报错：122.112...，服务器频繁掉线，Windows登录进程意外中断。 可能原因 1.系统资源不足或不可用。 2.服务启动失败。 处理方法 步骤 1 查看系统日志。 1.通过VNC方式登录云主机。 2.单击打开服务管理，选择“管理工具 > 事件查看器 > Windows日志 > 系统 > 筛选当前日志”。 图 事件查看器 3.在“事件级别”栏，勾选“关键”、“警告”、“详细”、“错误”。 图 筛选日志 4.查找登录相关的日志信息。 步骤 2 查看主机系统资源使用情况。 1.选择“开始 > 任务管理器 > 性能”。 2.查看CPU、内存使用情况。 步骤 3 检查购买的Windows云主机规格是否为1U1GB。 如果是，建议变更规格或者停止不使用的进程。

本文介绍OpenClaw(原 Clawdbot)更改厂商模型配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw更改厂商模型配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

托管检测与响应服务（原生版）应用场景介绍，帮助您了解如何选购本产品。 日常安全运营支撑 监控用户资产安全状况，发现各类安全威胁进行及时响应；提供产品咨询、技术支持、产品联动处置问题支持、产品故障/BUG解决等服务。 安全运营托管场景 基于丰富的云安全运营经验积累，面向云环境提供持续的安全监测和全面的保护服务，有效发挥云原生安全能力，集威胁分析、攻击面梳理、漏洞管理、应急响应等功能于一体，为用户及时发现、有效分析、闭环处理安全问题，有效防护威胁，降低用户运营成本，为用户资产提供持续有效的安全保障。 关键时期重保场景 为确保重大活动期间，业务系统的平稳安全运行，政企单位需提高网络安全保障强度，开展重要时期网络安全保障工作。包括：监测分析、应急处置、攻击反制、设备布防、漏洞加固、基线评估、弱口令评估、敏感信息评估、安全意识培训、蜜罐运营等。 应急响应场景 针对网络安全事件进行应急处置，保证相关业务的连续性和可用性，同时将攻击带来的破坏程度降到最低。在客户已知或怀疑系统被攻击的情况下，可委托我方工程师对系统进行排查和处置。

本节为您介绍数据安全中心产品优势。 云上全场景覆盖 通过整合云上各类数据源，提供一站式数据保护和防御机制。不仅支持结构化类型数据，还支持非结构化类型数据，支持云原生和ECS自建场景。 全生命周期可视化 将数据安全全生命周期各阶段的状态整合起来，并通过可视化方式展示云上数据安全态势。 高效识别数据源 通过专家知识库和NLP的双重加权，提升识别能力，精确高效地锁定敏感数据源。 全方位敏感数据防护 根据敏感数据发现策略，精准识别数据库中的敏感数据，并结合多种预置脱敏算法和用户自定义脱敏算法，实现全方位的敏感数据防护。

本文为您介绍创建保护组、添加受保护服务器和启动容灾复制的流程。 当出现机房级故障（如电力故障、网络故障、空调故障等）、自然灾害（如火灾、地震等）时，生产中心故障导致业务中断，云容灾服务可为云主机提供跨可用区RPO秒级、RTO分钟级的容灾保护。通过简单的配置，即可在容灾中心拉起容灾云主机，迅速接管业务。配置跨可用区容灾配置流程如下图所示。 1. 首先进行准备工作，注册天翼云，确保账户余额，具体流程参见准备工作。 2. 创建容灾保护组，从而可以在该保护组下添加受保护的服务器。 3. 添加受保护服务器，将需要容灾的服务器添加到指定的保护组中。 4. 启动容灾复制，将云主机复制到云上，并维持实时复制。 5. （可选）配置好跨可用区容灾后，可以通过容灾演练在不影响业务的情况下模拟真实的容灾恢复场景，确保在生产中心发生故障时能够顺畅地进行故障切换。

本节主要介绍IAM策略。 通过IAM，您可以在云帐号中创建IAM用户，并使用策略来控制IAM用户对云资源的访问范围。 IAM策略是作用于云资源的，IAM策略定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。 对于OBS，IAM策略的OBS权限是作用于OBS所有的桶和对象的。如果要授予IAM用户操作OBS资源的权限，则需要向用户所属的用户组授予一个或多个OBS权限集。 IAM策略应用场景 IAM策略主要面向对同帐号下IAM用户授权的场景： 使用策略控制帐号下整个云资源的权限时，使用IAM策略授权。 使用策略控制帐号下OBS所有的桶和对象的权限时，使用IAM策略授权。 策略结构&语法 策略结构包括：Version（策略版本号）和Statement（策略权限语句），其中Statement可以有多个，表示不同的授权项。 参数 说明 :: Version 标识策略的版本号： 1.0：RBAC策略。RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限。 Statement 策略授权语句，描述策略的详细信息，包含Effect（作用）和Action（授权项）。 Effect（作用） 作用包含两种：Allow（允许）和Deny（拒绝），系统预置策略仅包含允许的授权语句。 Action（授权项） 对资源的具体操作权限，支持单个或多个操作权限，支持通配符号，通配符号表示所有。 Resource（资源） 策略所作用的资源，格式为：服务名:region:domainId:资源类型:资源路径，支持通配符号，通配符号表示所有。在JSON视图中，不带Resource表示对所有资源生效。 Resource支持以下字符：09azAZ./，如果Resource中包含不支持的字符，请采用通配符号。 OBS是全局级服务，region填“”；domainId表示资源拥有者的帐号ID，建议填写“”简单地表示所填资源的帐号ID。 示例： − "obs:::bucket:": 表示所有的OBS桶。 − "obs:::object:mybucket/myobject/": 表示桶mybucket中“myobject”目录下的所有对象。 Condition（条件） 使策略生效的特定条件，可选。格式为：条件运算符: {条件名:[条件值1, 条件值2]} 条件包含全局条件名和云服务条件名，OBS支持的条件名与桶策略中的Condition一致，在IAM配置时，需要加上“obs:”。详细的Condition介绍如条件所示。 Condition的条件值仅支持以下字符：,./ azAZ09@

本文介绍如何购买SSL证书的域名监控服务配额。 操作场景 当域名监控服务配额不足时，请参照本文进行购买。 操作步骤 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”，单击“购买域名监控”，进入到证书管理服务产品购买页面。 3. 服务类型选择“域名监控服务”。 4. 选择域名监控服务的购买数量，单次最多可购买100个。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”下单。 6. 单击“提交订单”，在弹出的“订单详情”页确认订单信息。 7. 单击“立即支付”，完成域名监控服务的购买。 后续操作 购买域名监控服务配额后，即可添加域名对域名进行监控，详细操作请参见添加域名。

本文介绍如何收集Serverless集群控制平面组件日志。 基于Serverless 集群的运维需求，Serverless容器引擎为您提供了便捷的控制平面日志收集能力。通过此功能，您可以轻松地将集群控制面产生的日志汇集到您账号下的云日志服务中，以便进行集中化的管理和分析。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 采集的日志将以日志流的形式发送到您账号下指定的云日志服务的日志项目中，且云日志服务使用统一的按量付费方式计费。 操作步骤 安装ctglogoperator日志插件 收集控制平面组件日志需要先安装日志插件。 1. 登录云容器引擎管理控制台，在左侧导航栏选择“集群列表”。 2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择“插件” > “插件市场”。 3. 在插件市场页面，在插件列表中选择要安装的ctglogoperator插件，点击“安装”按钮。 也可以通过在左侧导航栏，选择运维管理下的日志中心，点击“安装插件”。 等待ctglogoperator插件安装完成。 4. 在左侧导航栏，选择运维管理下的日志中心。 5. 在日志中心页面，单击“控制平面组件日志”页签，然后单击“立即开启”。 6. 选择创建或使用已有日志项目，修改日志存储时间，点击“确定”。 说明 Serverless集群支持kubeapiserver，kubecontrollermanager和kubescheduler三种控制平面组件日志查询方式。