本节主要介绍产品规格差异 微服务引擎服务数限制说明 微服务引擎专业版：专业版引擎Cloud Service Engine是ServiceStage提供的免费体验引擎。专业版引擎可以体验ServiceStage的所有产品能力，比如服务治理、配置管理等。引擎资源为所有租户共享，性能可能会受其他租户影响；专业版引擎不支持升级到专享版。 微服务引擎专享版：专享版引擎，是可支持大规模微服务应用管理的商用引擎。您可根据业务需要选择不同规格，不支持规格变更；专享版引擎资源独享，性能不受其他租户影响。 微服务引擎支持最大服务数说明如下。 表 微服务引擎最大服务限制说明 引擎类型 规格（微服务实例数） :: 微服务引擎专业版 20 微服务引擎专享版 100 微服务引擎专享版 200 微服务引擎专享版 500 微服务引擎专享版 2000

本文介绍 AIuse 云电脑 SDK 和 MCP 接入中常见错误码、异常类型和处理建议。 通用返回结构 SDK 方法通常返回如下结构： plaintext { "code": 0, "data": null, "msg": null } 字段 说明 code 状态码，0 通常表示成功 data 成功时返回的业务数据 msg 失败时返回的错误信息 常见业务错误码 错误码 说明 建议处理方式 52060 指定桌面不属于当前用户 检查 AccessKey 与云电脑关联关系 92006 桌面不在线 确认云电脑状态，必要时启动或更换云电脑 92100 通过 sessionId 找不到 session 检查会话是否已关闭或过期 92101 消息发送失败 检查网络、桌面状态和服务可用性 92102 请求内容长度超过限制 减少单次请求内容，文件内容建议分片读取或分批写入 92103 找不到请求记录 检查请求状态和会话状态 92104 功能未开放，请联系管理员 确认租户是否已开通对应能力 92105 功能未开放，请联系管理员 确认租户是否已开通对应能力 异常分类 类型 示例 处理建议 鉴权异常 AccessKey 错误、Secret 错误 检查密钥配置和权限 资源异常 云电脑不在线、桌面不属于当前用户 检查资源状态和绑定关系 会话异常 session 不存在、会话过期 重新创建会话 参数异常 坐标缺失、路径为空、消息过长 校验请求参数 执行异常 点击无响应、截图失败、文件读取失败 结合截图和日志排查

本页介绍访问关系数据库MySQL版实例如何设置安全规则。 说明 仅苏州 资源池不支持设置多个安全组，其他II类型资源池均支持绑定多个安全组。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并为相互信任的弹性云主机和MySQL实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用MySQL实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意 如果您在订购关系MySQL版实例时的VPC中的子网使用了扩展网段，为保证弹性云主机和MySQL实例可以互相访问，您需要在安全组的规则放开允许扩展网段进行访问。 约束限制 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当MySQL实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的MySQL版实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的MySQL版实例。

此小节介绍Web应用防火墙的应用场景，覆盖企业所需的典型防护场景。 常规防护 帮助用户防护常见的Web安全问题，比如命令注入、敏感文件访问等高危攻击。 电商抢购秒杀防护 当业务举办定时抢购秒杀活动时，业务接口可能在短时间承担大量的恶意请求。Web应用防火墙可以灵活设置CC攻击防护的限速策略，能够保证业务服务不会因大量的并发访问而崩溃，同时尽可能地给正常用户提供业务服务。 0Day漏洞爆发防范 当第三方Web框架、插件爆出高危漏洞，业务无法快速升级修复，Web应用防火墙确认后会第一时间升级预置防护规则，保障业务安全稳定。WAF相当于第三方网络架构加了一层保护膜，和直接修复第三方架构的漏洞相比，WAF创建的规则能更快的遏制住风险。 防数据泄露 恶意访问者通过SQL注入，网页木马等攻击手段，入侵网站数据库，窃取业务数据或其他敏感信息。用户可通过Web应用防火墙配置防数据泄露规则，以实现： 精准识别 采用语义分析+正则表达式双引擎，对流量进行多维度精确检测，精准识别攻击流量。 变形攻击检测 支持7种编码还原，可识别更多变形攻击，降低Web应用防火墙被绕过的风险。

本文汇总了使用企业交换机服务时常见的配置类问题。 为什么二层连接配置完成后状态一直显示未连接？ 可能原因和解决方法如下： 1. IDC侧VXLAN隧道未配置或配置错误。请登录线下IDC交换机，排查IDC交换机隧道相关配置。 2. 企业交换机使用的云专线/VPN网络不通。请排查云专线/VPN的业务配置是否正常。 二层连接状态显示已连接，但云上与云下的主机网络仍不通？ 可能原因：IDC侧VXLAN隧道未配置或配置错误。 解决方法：登录云下IDC交换机，排查IDC交换机隧道相关配置。 哪些IDC侧交换机可以与企业交换机做对接? 企业交换机建立二层网络通信时，需要和IDC侧建立VXLAN隧道，IDC侧交换机必须支持VXLAN功能。 以下为您列举部分支持VXLAN功能的交换机型号，仅供参考。 华为交换机：Huawei CE58、CE68、CE78、CE88系列支持VXLAN，例如CE6870、CE6875、CE6881、CE6863、CE12800。 其他厂商交换机：例如Cisco Nexus 9300、 锐捷RGS6250、 H3C S6520。

问题描述 远程连接windows云服务器时提示：要远程连接，你需要具有通过远程桌面服务进行登录的权限。 处理方法 1. 打开cmd运行窗口，并输入“gpedit.msc”。 2. 单击“确定”，打开“本地组策略编辑器”。 3. 选择“计算机配置 > windows设置 > 安全设置 > 本地策略 > 用户权限分配”。 a. 查找并双击“允许通过远程桌面服务登录”。确保已添加“Administrators”和“Remote desktop users”。 b. 查找并双击“拒绝通过远程桌面服务登录”。如果有Administrator帐号，则需要删除。

操作步骤 集群升级步骤包括：升级前检查、备份、配置与升级、升级后处理。 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏选择“集群升级”，在右侧可以看到推荐升级的版本。 在“集群升级”页面中，可以看到当前集群的版本信息（当前版本号、上次更新/升级时间）、可升级版本、升级须知以及升级历史。 步骤 3 选择可升级的集群版本，并单击“升级前检查”。 说明 若您的集群存在更新的小版本，此处无需选择集群版本，默认为最新的小版本。 若您的集群存在更新的大版本，您可根据需要选择升级的目标版本。 若您的集群当前已是最新版本，升级前检查入口将会隐藏。 步骤 4 单击“开始检查”并确认。如集群中存在异常项或风险项，请根据页面提示的检查结果进行处理，处理完成后需重新进行升级前检查。 异常项：请查看页面提示的解决方案并处理异常后，重新进行升级前检查。 风险项：表示该结果可能会影响集群升级结果，请您查看风险说明并确认您是否处于风险影响范围。如确认无风险，可单击该风险项后的“确认”按钮，手动跳过该风险项，然后重新进行升级前检查。 待升级前检查通过后，单击“下一步 备份”。 步骤 5 （可选）手动进行集群备份。集群升级时会提供默认的数据备份，如需手动备份可单击“备份”按钮执行备份，如无需手动备份可直接单击“下一步 配置与升级”。 手动单击“备份”按钮会对集群的Master节点进行整机备份，备份过程会使用云备份服务，备份通常耗时在20分钟左右，若当前局点云备份任务排队较多时，备份时间可能同步延长。备份过程中集群将不允许升级。 步骤 6 配置升级参数。 插件升级配置： 此处列出了您的集群中已安装的插件。在集群升级过程中系统会自动升级插件，以兼容升级后的集群版本，您可以单击插件右侧的“配置”重新定义插件参数。 说明 插件右侧如有红色标记，表明该插件将不能兼容升级后的集群版本，升级过程中会卸载并重装该插件，请您务必确认插件的配置参数。 节点升级配置： 您可以设置每批升级的最大节点数量。 节点优先级配置： 您可以自行定义节点升级的优先级顺序，若不选择，默认情况下系统会根据您节点的情况优选后分批升级。优先级设置时需要先选择节点池，再设置节点池中节点的升级批次，并按照您设置的节点池以及节点顺序进行升级。 添加优先级：添加节点池的优先级，自行定义节点池升级的优先级顺序 添加节点优先级：添加节点池的优先级后，可以设置该节点池内节点升级的优先级顺序，升级时系统将按照您设置的顺序依次对节点进行升级，如不设置该优先级，系统将按照默认的策略执行。 步骤 7 配置完成后，单击“升级”按钮，并确认升级操作后集群开始升级。您可以在页面下方查看版本升级的进程。 升级过程中，您可以单击右侧的“暂停”按钮，暂停集群版本的升级，若想继续升级，可单击“继续”。当版本更新进度条显示100%时，表示集群已完成升级。 说明 若在集群升级过程中出现升级失败的提示，请参照提示信息修复问题后重试。 步骤 8 升级完成后，单击“下一步 升级后验证”，请根据页面提示的检查项进行升级后验证。确认所有检查项均正常后，可单击“完成”按钮，并确认完成升级后检查。 您可以在集群列表页面查看集群当前的Kubernetes版本，确认升级成功。

本章节主要介绍数据治理中心DataArts Studio如何修改作业日志存储路径。 作业日志和DLI脏数据默认存储在以dlflog{Project id}命名的OBS桶中，您也可以自定义日志存储路径，数据开发模块支持您基于工作区全局配置OBS桶。 约束限制 该功能依赖于OBS服务。 OBS路径仅支持OBS桶，不支持并行文件系统。 前提条件 修改工作空间的用户账号，需要满足如下任一条件： DAYU Administrator 或Tenant Administrator账号。 DAYU User账号，但为当前工作空间的管理员。 修改方法 步骤 1 登录DataArts Studio管理控制台。 步骤 2 在“空间管理”页签，单击列表中相应工作空间后的“编辑”，弹出“空间信息”弹窗。 图1 空间信息 步骤 3 在“空间信息”中，单击“作业日志OBS路径”和“DLI脏数据OBS路径”后的“请选择”按钮，选择日志和DLI脏数据存储路径，可选择某个具体的目录。 图2 修改日志和DLI脏数据存储路径 步骤 4 修改完成后，单击“确定”，即完成作业日志和DLI脏数据存储路径的修改。

本章节主要介绍如何快速创建实时分析集群。 本章节为您介绍如何快速创建一个实时分析集群，实时分析集群使用Hadoop、Kafka、Flink和ClickHouse组件提供一个海量的数据采集、数据的实时分析和查询的系统。 集群包含的组件信息实时分析： MRS 3.1.0版本：Hadoop 3.1.1、Kafka 2.112.4.0、Flink 1.12.0、ClickHouse 21.3.4.25、ZooKeeper 3.5.6、Ranger 2.0.0。 快速创建实时分析集群 1.登录MRS管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 3在创建集群页面，选择“快速创建”页签。 4.参考下列参数说明配置集群基本信息，参数详细信息请参考创建自定义集群。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20201130”。 版本类型：默认选择普通版（不同版本提供的组件有所不同，请根据需要选择版本类型）。 集群版本：默认选择最新版本即可（不同版本集群提供的组件有所不同，请根据需要选择集群版本）。 组件选择：选择“实时分析集群”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 CPU架构：默认即可。 集群节点：请根据自身需要选择集群节点规格数量等。MRS 3.x及之后版本集群Master节点规格不能小于64GB。 用户名：默认为“root/admin”，root用于远程登录ECS机器，admin用于登录集群管理页面。 密码：设置root用户和admin用户密码。 确认密码：再次输入设置的root用户和admin用户密码。 5.勾选“确认授权”开通通信安全授权，通信安全授权详情请参考授权安全通信。 6.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 7.单击“返回集群列表”，可以查看到集群创建的状态。单击“访问集群”，可以查看集群详情。 集群创建的状态过程请参见 集群概览章节查看集群状态 部分 集群列表参数中的“状态”参数说明。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。 MRS系统界面支持同一时间并发创建10个集群，且最多支持管理100个集群。

本节主要介绍CCE发布Kubernetes 1.27版本 云容器云容器引擎（CCE）严格遵循社区一致性认证，现已支持创建Kubernetes 1.27集群。本文介绍Kubernetes 1.27版本相对于1.25版本所做的变更说明。 主要特性 Kubernetes 1.27版本 SeccompDefault特性已进入稳定阶段 如需使用SeccompDefault特性，您需要为每个节点的kubelet启用seccompdefault命令行标志。如果启用该特性，kubelet将为所有工作负载默认使用RuntimeDefault seccomp配置文件，该配置文件由容器运行时定义，而不是使用Unconfined（禁用seccomp）模式。 Job可变调度指令 该特性在Kubernetes 1.22版本中引入，当前已进入稳定阶段。在大多数情况下，并行作业Pod希望在一定的约束下运行，例如希望所有Pod在同一可用区。该特性允许在Job开始前修改调度指令。您可以使用suspend字段挂起Job，在Job挂起阶段，Pod模板中的调度部分（例如节点选择器、节点亲和性、反亲和性、容忍度）允许修改。 Downward API HugePages已进入稳定阶段 在Kubernetes 1.20版本中，Downward API引入了 requests.hugepages 和 limits.hugepages ，HugePage可以和其他资源一样设置资源配额。 Pod调度就绪态进入Beta阶段 Pod创建后，Kubernetes调度程序会负责选择合适的节点运行pending状态的Pod。在实际使用时，一些Pod可能会由于资源不足长时间处于pending状态。这些Pod可能会影响集群中的其他组件运行（如Cluster Autoscaler）。通过指定/删除Pod的.spec.schedulingGates，您可以控制Pod何时准备好进行调度。 通过Kubernetes API访问节点日志 此功能当前处于Alpha阶段。集群管理员可以直接查询节点上的服务日志，可以帮助调试节点上运行的服务问题。如需使用此功能，请确保在该节点上启用了NodeLogQuery特性门控，并且kubelet配置选项enableSystemLogHandler和enableSystemLogQuery都设置为true。 ReadWriteOncePod访问模式进入Beta阶段 在Kubernetes 1.22版本中，PV和PVC提供了一种新的访问模式ReadWriteOncePod，该功能当前进入Beta阶段。卷可以被单个Pod以读写方式挂载。如果您想确保整个集群中只有一个Pod可以读取或写入该PVC，请使用ReadWriteOncePod访问模式。 Pod拓扑分布约束中matchLabelKeys字段进入Beta阶段 matchLabelKeys是一个Pod标签键的列表，用于选择需要计算分布方式的Pod集合。使用matchLabelKeys字段，您无需在变更Pod修订版本时更新pod.spec。控制器或Operator只需要将不同修订版的标签键设为不同的值。调度器将根据matchLabelKeys自动确定取值。 快速标记SELinux卷标签功能进入Beta阶段 默认情况下，容器运行时递归地将SELinux标签赋予所有Pod卷上的所有文件。 为了加快该过程，Kubernetes使用挂载可选项 o context 可以立即改变卷的SELinux标签。 VolumeManager重构进入Beta阶段 重构的VolumeManager后，如果启用NewVolumeManagerReconstruction特性门控，将会在kubelet启动期间使用更有效的方式来获取已挂载卷。 服务器端字段校验和OpenAPI V3已进入稳定阶段 Kubernetes 1.23中添加了对OpenAPI v3的支持，1.24版本中已进入Beta阶段，1.27已进入稳定阶段。 控制StatefulSet启动序号 Kubernetes 1.26为StatefulSet引入了一个新的Alpha级别特性，可以控制Pod副本的序号。 从Kubernetes 1.27开始，此特性进入Beta阶段，序数可以从任意非负数开始。 HorizontalPodAutoscaler ContainerResource类型指标进入Beta阶段 Kubernetes 1.20在HorizontalPodAutoscaler (HPA) 中引入了ContainerResource类型指标。在 Kubernetes 1.27中，此特性进阶至Beta，相应的特性门控 (HPAContainerMetrics) 默认被启用。 StatefulSet PVC自动删除进入Beta阶段 Kubernetes v1.27提供一种新的策略机制，用于控制StatefulSets的PersistentVolumeClaims（PVCs）的生命周期。这种新的PVC保留策略允许用户指定当删除StatefulSet或者缩减StatefulSet中的副本时，是自动删除还是保留从StatefulSet规约模板生成的PVC。 磁盘卷组快照 磁盘卷组快照在Kubernetes 1.27中作为Alpha特性被引入。 此特性允许用户对多个卷进行快照，以保证在发生故障时数据的一致性。 它使用标签选择器来将多个PersistentVolumeClaims分组以进行快照。 这个新特性仅支持CSI卷驱动器。 kubectl apply裁剪更安全、更高效 在Kubernetes 1.5版本中，kubectl apply引入了prune标志来删除不再需要的资源，允许kubectl apply自动清理从当前配置中删除的资源。然而，现有的prune实现存在设计缺陷，会降低性能并导致意外行为。 为NodePort Service分配端口时避免冲突 在Kubernetes 1.27中，您可以启用新的特性门控ServiceNodePortStaticSubrange，为NodePort Service使用不同的端口分配策略，减少冲突的风险。当前该特性处于Alpha阶段。 原地调整Pod资源 在Kubernetes 1.27中，允许用户调整分配给Pod的CPU和内存资源大小，而无需重新启动容器。 加快Pod启动 在Kubernetes 1.27中进行了一系列的参数调整，以提高Pod的启动速度，例如并行镜像拉取、提高Kubelet默认API每秒查询限值等。 KMS V2进入Beta阶段 Kubernetes中的密钥管理KMS v2 API进入Beta阶段，对KMS加密提供程序的性能进行了重大改进。

应用场景 场景一：基于用户请求将匹配的业务流量切分到新版本 假设在当前线上环境中，您已经有一套服务Service v1对外提供7层服务，此时开发了一些新的功能，现需发布新版本Service v2服务。但又不想直接替换Service v1服务，而是希望将请求头包含 “foobar” 或者Cookie包含 “foobar” 的客户端请求转发到Service v2服务中，验证一下新版本功能是否正常，待稳定运行后，再逐步全量切到Service v2服务，平滑下线Service v1服务。示意图如下： 场景二：基于服务权重将业务流量切分到新版本 假设当前线上环境，您已经有一套服务Service v1对外提供7层服务，此时修复了一些问题，需要发布上线一个新的版本Service v2。但又不想将所有客户端流量切换到新版本Service v2中，而是希望将20%的流量灰度到Service v2，待稳定运行后，逐步全量切到Service v2，平滑下线Service v1。示意图如下： 操作步骤 场景一：基于用户请求将匹配的业务流量切分到新版本 步骤一：部署旧版本Service v1和常规Ingress 这里使用Ingress作为service v1应用服务，并且为方便观测流量切分的效果，将nginx欢迎页设置为“v1”。 1. 创建配置configmap，key为index.html，value为v1。 2. 创建nginx工作负载，配置数据卷为刚才创建的configmap；配置镜像和挂载卷，挂载容器路径为：/usr/share/nginx/html；配置访问设置，选择虚拟集群IP类型，容器端口80，服务端口30080。 3. 创建旧版本service v1的常规ingress。灰度ingress一栏选择否，在域名路径规则一栏填写域名，指定服务名称以及端口等。 4. 检查通过Ingress域名能正常访问旧版本service v1服务。 步骤二：部署新版本Service v2 这里同样使用Ingress作为service v2应用服务，并且为方便观测流量切分的效果，将nginx欢迎页设置为“v2”。 1. 创建配置configmap，key为index.html，value为v2。 2. 创建Ingress工作负载，配置数据卷为刚才创建的configmap；配置镜像和挂载卷，挂载容器路径为：/usr/share/nginx/html；配置访问设置，选择虚拟集群IP类型，容器端口80，服务端口30081。 步骤三：创建灰度ingress，在灰度发布新版本 1. 基于Header创建新版本service v2的Ingress。 2. 在灰度Ingress一栏选择是；在生产ingress一栏选择旧版本service v1的常规Ingress；在流量切换方式一栏选择灰度，基于Header的区分方式，填写Header key为foo，Header value为bar，精确匹配；在域名路径规则一栏填写域名，指定服务名称和端口等。 执行命令进行访问测试， 为Nginx Ingress对外暴露的IP：

本章介绍Agent检测时占用CPU和内存资源明细。 HSS服务采用轻量级Agent，占用资源极少，不会影响主机系统的正常业务运行。 具体占用的CPU、内存资源如下： CPU占用峰值 Agent运行时，CPU占用比例控制在1vCPU的20%。因此，实际占用比例与您购买的云服务器规格有关。 若占用比例达到1vCPU的20%，Agent会自动降CPU；自动降CPU后，Agent检测主机时间会延长，但不影响服务使用。 说明 Agent定时检测任务会基于使用地时间在每日00：0004：00执行，全量扫描主机，不会影响主机系统的正常运行。 内存占用峰值 Agent运行时，内存占用控制在500MB以内。 若内存占用达到500MB，Agent会在5分钟内自动重启。 不同规格主机Agent资源占用一览 Agent运行时，不同规格的云服务器CPU、内存占用情况如下表所示。 Agent资源占用一览 vCPUs规格 Agent运行占用CPU资源比例（峰值） 内存占用（峰值） 1vCPUs 20% 500MB 2vCPUs 10% 500MB 4vCPUs 5% 500MB 8vCPUs 2.5% 500MB 12vCPUs 约1.67% 500MB 16vCPUs 约1.25% 500MB 24vCPUs 约0.84% 500MB 32vCPUs 约0.63% 500MB 48vCPUs 约0.42% 500MB 60vCPUs 约0.34% 500MB 64vCPUs 约0.32% 500MB

本章节主要介绍数据治理中心的配置HBase连接功能。 目前CDM支持连接的HBase数据源有以下几种： MRS HBase FusionInsight HBase Apache HBase MRS HBase 连接MRS上的HBase数据源时，相关参数如下表所示。 说明 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见《虚拟 > 添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS上的HBase连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrshbaselink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE HBase版本 HBase版本。 HBASE2X 运行模式 “HBASE2X”版本支持该参数。选择HBase连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 ：STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 STANDALONE 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hbase01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

监控类型 监控指标 资源监控（节点机器相关监控） CPU使用率 资源监控（节点机器相关监控） 内存使用量 资源监控（节点机器相关监控） 内存使用率 资源监控（节点机器相关监控） IO操作数 资源监控（节点机器相关监控） IO吞吐量 资源监控（节点机器相关监控） ioutil 资源监控（节点机器相关监控） 硬盘空闲空间 资源监控（节点机器相关监控） 硬盘空闲率 资源监控（节点机器相关监控） 硬盘已用空间 资源监控（节点机器相关监控） 硬盘使用率 资源监控（节点机器相关监控） 网络吞吐量 资源监控（节点机器相关监控） wal日志空间 引擎监控（节点数据库引擎相关监控） TPS 引擎监控（节点数据库引擎相关监控） QPS 引擎监控（节点数据库引擎相关监控） 会话数 引擎监控（节点数据库引擎相关监控） 周期内数据库读写次数 引擎监控（节点数据库引擎相关监控） 操作行数 引擎监控（节点数据库引擎相关监控） bgwriter stat 引擎监控（节点数据库引擎相关监控） Checkpoint 引擎监控（节点数据库引擎相关监控） Checkpoint写入磁盘的性能 引擎监控（节点数据库引擎相关监控） 耗时最长（会话时间） 引擎监控（节点数据库引擎相关监控） worker数 引擎监控（节点数据库引擎相关监控） 慢查询统计 引擎监控（节点数据库引擎相关监控） 长事务 引擎监控（节点数据库引擎相关监控） 系统缓存命中率 引擎监控（节点数据库引擎相关监控） 平均每秒超过10mb大表的全表扫描次数 引擎监控（节点数据库引擎相关监控） 周期内临时文件每秒生成字节数 引擎监控（节点数据库引擎相关监控） 周期内每秒死锁次数 引擎监控（节点数据库引擎相关监控） 周期内每秒存储过程调用次数

参数设置不当 原因及现象 部分SQL查询慢，可能是一些相关参数（如joinbuffersize，sortbuffersize，tmptablesize等）设置不当会导致性能变慢。 您可以在控制台查看实例的参数修改情况。具体操作，请参见修改参数组。 解决方案 调整全局相关参数，使其适合响应的业务场景或者业务SQL前设置会话级相关参数。具体请参见关系数据库MySQL版参数调优建议。 批量操作 原因及现象 如果有进行大批量的数据迁移导入、删除，以及查询等操作，会导致SQL执行变慢，磁盘IO使用率增大，磁盘使用量突增等。 您可以在控制台查看实例的磁盘总大小、磁盘使用量、IOPS等指标。具体操作，请参见查看监控指标。 解决方案 建议在业务低峰期执行大批量操作，或将大批量操作拆分后分批执行。 定时任务 原因及现象 如果实例负载监控数据随时间有规律性变化，可能是存在定时任务。 您可以在控制台查看实例监控DML相关的Delete语句、Update语句，Insert语句、InsertSelect语句、Replace语句、ReplaceSelect语句、Select语句等语句的执行频率等指标，判断是否有规律性变化。具体操作，请参见查看监控指标。 解决方案 调整定时任务的执行时间，建议在业务低峰期执行定时任务。

本节主要介绍OBS涉及到的相关术语。 对象 对象（Object）是OBS中数据存储的基本单位，一个对象实际是一个文件的数据与其相关属性信息（元数据）的集合体。用户上传至OBS的数据都以对象的形式保存在桶中。 对象包括了Key，Metadata，Data三部分： Key：键值，即对象的名称，为经过UTF8编码的长度大于0且不超过1024的字符序列。一个桶里的每个对象必须拥有唯一的对象键值。 Metadata：元数据，即对象的描述信息，包括系统元数据和用户元数据，这些元数据以键值对（KeyValue）的形式被上传到OBS中。 系统元数据由OBS自动产生，在处理对象数据时使用，包括Date，Contentlength，Lastmodify，ContentMD5等。 用户元数据由用户在上传对象时指定，是用户自定义的对象描述信息。 Data：数据，即文件的数据内容。 通常，我们将对象等同于文件来进行管理，但是由于OBS是一种对象存储服务，并没有文件系统中的文件和文件夹概念。为了使用户更方便进行管理数据，OBS提供了一种方式模拟文件夹。通过在对象的名称中增加“/”，例如“test/123.jpg”。此时，“test”就被模拟成了一个文件夹，“123.jpg”则模拟成“test”文件夹下的文件名了，而实际上，对象名称（Key）仍然是“test/123.jpg”。 上传对象时，可以指定对象的存储类别，若不指定，默认与桶的存储类别一致。上传后，对象的存储类别可以修改。 在OBS管理控制台和客户端中，用户均可直接使用文件夹的功能，符合文件系统下的操作习惯。 桶 桶（Bucket）是OBS中存储对象的容器。对象存储提供了基于桶和对象的扁平化存储方式，桶中的所有对象都处于同一逻辑层级，去除了文件系统中的多层级树形目录结构。 每个桶都有自己的存储类别、访问权限、所属区域等属性，用户可以在不同区域创建不同存储类别和访问权限的桶，并配置更多高级属性来满足不同场景的存储诉求。 对象存储服务设置有三类桶存储类别，分别为：标准存储、低频访问存储、归档存储，从而满足客户业务对存储性能、成本的不同诉求。创建桶时可以指定桶的存储类别，桶的存储类别可以修改。 在OBS中，桶名必须是全局唯一的且不能修改，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户创建的桶名称相同。桶所属的区域在创建后也不能修改。每个桶在创建时都会生成默认的桶ACL（Access Control List），桶ACL列表的每项包含了对被授权用户授予什么样的权限，如读取权限、写入权限等。用户只有对桶有相应的权限，才可以对桶进行操作，如创建、删除、显示、设置桶ACL等。 一个账号可创建100个桶。每个桶中存放的对象的数量和大小总和没有限制，用户不需要考虑数据的可扩展性。 由于OBS是基于REST风格HTTP和HTTPS协议的服务，您可以通过URL（Uniform Resource Locator）来定位资源。 OBS中桶和对象的关系如图所示：

参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击 ，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b ID String 是 终端节点服务id endpser212hq0teoh

本节为您介绍云迁移服务CMS调度任务管理。 云迁移服务CMS提供调度管理功能，您可以迁移需求创建调度任务，在左侧导航栏选择迁移管理选项，点击【调度管理】按钮，进入[调度管理] 页面。如图所示。 2. 进入[调度管理] 页面 ，点击【创建调度任务】，如图所示。 3. 进入[调度任务] 编辑页，具体步骤如下： (1). 填写调度名称； (2). 选择是否重复； (3). 选择调度时间； (4). 选择迁移计划； (5). 调度规则选择； (6). 错误处理选择（继续并发资源调度、中止并发调度）； (7). 备注； 如下图所示： 4. 点击【下一步】，进入[资源选取] 页面。如图所示； 5. 进入 [ 资源确认 ] 界面，确认已选资源，点击【下一步】按钮，完成调度任务创建，如图所示。 6. 您可以在[ 调度管理 ] 界面，调度任务列表中查看调度任务，如图所示。 7. 您可以在列表中选择需要操作的任务，点击【资源】按钮，可以查看资源列表信息，如图所示。

配置安全组白名单 操作步骤 在控制台点击实例所在安全组，入方向规则点击添加规则，在弹出的填写框内的端口处填写“5601,9200,9000”，选择需要配置的策略为IPv4或IPv6，在源地址下方的IP地址格子中填写需要访问设备的出口公网IP地址，点击确定保存。 成功后会在安全组增加对应规则，此时可以通过绑定的公网IP地址端口访问对应对象。 通过公网IP地址接入实例 公网访问配置完成后，实例将会获得一个“公网访问”的IP地址，用户可以通过公网IP地址和端口接入实例。 例如：Kibana可直接点击页面链接进行访问。 Elasticsearch实例可以通过Curl命令查询索引信息： curl u username:password k ' 其中IP为绑定的公网IP，username和password表示实例的用户名和密码。 开启/关闭实例HTTPS访问 云搜索服务默认开启对Elasticsearch实例的HTTPS访问模式，仅在该模式下可以绑定公网IP，您可关闭开关，实例将切换为HTTP访问模式，该模式下实例仅可通过内网访问，已绑定的公网IP将自动解绑。 该功能仅针对购买云搜索服务V1.2.0以上版本适用。

参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。须知“引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境；不支持变更引擎类型。 如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。 − 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。 描述 输入引擎描述信息。 单击 ，输入引擎描述信息。 单击 ，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。 选择“开启安全认证”： 1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。” 2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。

容器信息 容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 容器名称：为容器命名。 镜像更新策略：选择是否总是拉取镜像。 镜像名称：选择容器使用的镜像，支持多种镜像来源。 镜像版本：选择需要部署的镜像版本。 资源配额：配置 CPU 和内存的申请值和限制值。 初始化容器：选择是否作为初始化容器。 生命周期：配置容器生命周期的特定操作。 健康检查：设置存活探针、就绪探针及启动探针。 环境变量：设置容器运行环境的变量。 数据存储：挂载本地存储或云存储。 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 特权容器：选择是否启用特权容器。 镜像访问凭证：选择访问镜像仓库的凭证。 服务配置 服务（Service）是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。您也可以在创建完工作负载之后再创建Service，Service的概念和使用方法请参见Service概述。 高级配置 设置升级策略、调度策略、标签与注解、DNS 配置、性能管理配置、网络配置等。单击右下角“创建工作负载”完成创建。

本节介绍了弹性云主机登录前准备类相关问题。 远程登录时需要输入的帐号和密码是多少？ 登录云主机的用户名和密码： Windows操作系统用户名：Administrator Linux操作系统用户名：root 如忘记登录密码，可通过 “ 重置密码 ” 功能设置新密码。 远程登录忘记密码，怎么办？ 如果在创建弹性云主机时未设置密码，或密码丢失、过期，请参考“在控制台重置弹性云主机密码”重新设置密码。 说明 弹性云主机系统密码涉及到客户重要的私人信息，提醒您妥善保管密码。 使用创建时的用户名和密码无法SSH方式登录GPU加速云主机 处理方法 先使用VNC方式远程登录弹性云主机，并修改配置文件，然后再使用SSH方式登录。 1. 进入弹性云主机运行页面，单击“远程登录”。 2. 自动跳转至登录页面，登录root用户，输入密码。 说明 密码为创建弹性云主机时设置的密码。 3. 在“/etc/ssh/”目录下，修改sshdconfig文件中3个配置项，修改参数如下图所示。 4. 修改完成后保存退出，执行如下命令，重启SSH服务。 service sshd restart 5. 重启后，重新使用SSH密码方式登录弹性云主机。 6. 通过以上步骤依然无法登录，请联系技术人员进行处理。 启动弹性云主机时卡在“Waiting for cloudResetPwdAgent” 问题描述 启动弹性云主机时，系统长时间卡在“Waiting for cloudResetPwdAgent”状态，需要等待20s~30s，如下图所示。 图1 启动cloudResetPwdAgent 可能原因 内网DNS和客户自定义DNS设置导致启动一键重置密码插件时卡慢。 处理方法 1. 以root用户登录弹性云主机。 2. 执行以下命令，修改配置文件“/etc/cloud/cloud.cfg”。 vi /etc/cloud/cloud.cfg 3. 添加如下语句，如下图所示。 manageetchosts: true 图2 编辑配置文件

本文为您介绍开启IPv6访问功能的前提条件以及操作步骤。 功能介绍 支持网站IPv6访问功能，开启功能开关后，将为您提供IPv4/IPv6双栈服务。 Web应用防火墙（边缘云版）支持全站外链替换功能，能够有效提高网站链接的IPv6支持度。如果您需要解决IPv6天窗问题（提升二、三级链接IPv6支持度），请通过提交工单给天翼云客服，由其人工操作开启。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版及以上版本支持使用IPv6访问功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要开启IPv6访问的域名，开启IPv6开关

本章节为您简单介绍数据库安全网关 主要功能 数据识别 数据库安全网关支持多种关系型数据库、国产数据库、大数据组件、NoSQL、数据库集群等多类型、多环境下的数据精准识别。支持通过对数据库的扫描，定位常见的敏感数据类别（如身份证、手机号、邮箱等），结合定义的数据级别，实现数据的分级分类功能。基于分级分类结果，支持细粒度的动态脱敏与安全规则配置。 访问控制 通过对数据访问主、客体的组合，辅以访问行为与结果的配置，实现精细化访问控制。可针对多种 复杂或特定业务场景自定义安全规则、信任规则等，同时内置多种常见的数据库攻击规则，可以有效防止 对数据库的攻击、避免误操作行为造成的数据库安全隐患。 动态脱敏 通过解析实时数据库访问流量，对 SQL 进行改写，在不影响运维人员正常操作的前提下，提供安全、符合规定的脱敏数据。且内置多种常见脱敏算法（如替换、截断、掩码、随机等），实现用户数据的 “可用不可见”，有效降低数据泄露风险。 运维审批 为避免运维过程中因账号管理混乱、操作不透明等不合规现象导致的数据泄露，以及高危操作（如 Drop Table、Truncate Table）带来的巨大安全风险，运维人员需提交临时授权工单，经多级安全审批人逐级审批 后方可进行操作。审批人可通过系统或邮件进行审批，确保操作流程的公开、透明和合规，保障数据库操 作安全。

配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 防护目标 需输入完整防护的网页路径或端口。 例如 为路径地址。 路径不支持通配符(例如 / )或参数(例如 /abc?xxxyyy 中，xxxyyy 为参数部分)。 支持输入端口，如 或 排除目标 通过输入排除条件，排除不需要防护的地址范围，支持多行输入，每一行为一个排除条件地址。最大支持 20 行。 防护动作 支持以下四种防护动作，需至少配置一种。 动态令牌：勾选“签名验证”，系统会在请求内容中插入动态令牌，对每一次请求数据进行签名验证，验证不通过的请求将被拦截。 客户端环境验证：勾选“客户端指纹检测”，系统会主动验证用户请求客户端，支持检测浏览器版本、客户端IP地址。 动态混淆：对请求内容或响应内容进行混淆，支持对Fetch/Ajax请求参数进行混淆、对Html响应内容进行混淆，支持对js的代码进行变换和混淆。 当请求或响应任意内容大于1MB时，不会对请求内容或响应内容进行混淆。 页面防调试：开启页面防调试功能后，能够防止用户对页面的调试。 注意 由于该功能会对业务的请求和响应进行混淆，所以使用该功能可能导致页面异常，请谨慎使用。建议在需要进行防护的敏感目录下开启此防护功能。 处置动作 支持“观察”、“拦截”。 优先级 代表该规则在当前防护模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 规则描述 规则的描述信息，用户可自定义。

2025年12月 时间节点 功能名称 功能描述 相关文档 2025/12/15 企业中心 企业中心功能内测转商用，涉及组织管理/云SSO/财务管理/可信服务/资源共享 企业中心

本文为您介绍如何通过云间高速实现高可用的企业混合组网(双专线主备模式)。 应用场景 针对专线客户混合组网需求，云间高速服务可快速构建高效云间网络。通过部署多可用区（AZ）专线主备架构，既能实现本地与云上网络互联互通，又能保障访问天翼云资源的稳定性，规避单点故障风险。 前提条件 您已申请两条物理专线，且均已接入目标天翼云资源池。 组网拓扑 配置步骤 1. 创建专线网关（云专线） 分别为专线 1、专线 2 按照云专线流程创建专线网关 假设2条专线的配置如下： 类型 专线网关名称 说明 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 专线1 cdaA 云专线受理单中不填写 VPC 相关内容，保持留空。 10.250.0.1 10.250.0.2 255.255.255.252 100 专线2 cdaB 云专线受理单中不填写 VPC 相关内容，保持留空。 10.250.0.5 10.250.0.6 255.255.255.252 200 具体请参考： 创建物理专线 创建专线网关 注意 云专线的专线网关暂不绑定 VPC，预留至下一步在云间高速的云企业路由器上绑定。

本节内容为您介绍快捷开通并使用天翼云手机的流程，帮助您快速上手。 本节内容为您提供快捷开通并使用天翼云手机（政企版）的流程。 准备工作： 使用天翼云手机前，请确保您已经开通了天翼云账号并完成实名认证。相关操作参考如下： 注册天翼云账号 实名认证 使用流程： 下面以控制台订购天翼云手机（政企版）为例，介绍天翼云手机的开通使用流程，帮助您快速上手。使用的流程如下。 1、开通云手机服务（可选） 在创建并管理云手机之前，需由管理员首先开通云手机服务。 2、订购云手机 根据需求选择云手机配置，并把云手机分配到个人用户，支付成功则完成云手机的快速订购。 3、用户账号激活 完成开通云手机后，用户邮箱会收到天翼云手机政企版开通提醒邮件，根据流程激活账户即可。 4、登录连接云手机 下载并安装客户端后，您可以使用云手机账号登录客户端，然后连接使用云手机。

方法 显示source列表，表头如下。 Source：表示监控数据的来源，即监控的服务或节点名称。 调用次数：表示服务在一定时间内被调用的总次数。 总响应时间(ms)：指所有调用的总响应时间的总和，以毫秒（ms）为单位。 平均响应时间(ms)：表示所有调用的平均响应时间，通常是总响应时间除以调用次数得出的平均值。 最慢调用(ms)：指在一定时间范围内最耗时的服务调用，即最长响应时间的调用。 超时请求次数：表示在一定时间范围内，服务调用中发生超时的次数。 错误数：表示在一定时间范围内，服务调用中出现的错误次数。 操作：点击详情，出现弹层显示调用次数、平均响应时间(ms)、错误数在筛选时间段内的趋势图。 这些指标可以帮助您监控和分析Dubbo服务的性能和健康状况。通过追踪调用次数、平均响应时间、超时请求次数、错误数和最慢调用时间，您可以了解接口调用的频率、效率、稳定性和延迟情况，从而进行性能优化和故障排除。 集群 显示集群维度监控列表，表头如下。 集群：表示监控的 Dubbo 集群，可能是一个服务集群或者一组相关联的服务节点。 调用次数：标识在一定时间范围内 Dubbo 集群的服务被调用的总次数。 总响应时间(ms)：表示 Dubbo 集群中所有服务调用的总响应时间的总和，以毫秒（ms）为单位。 平均响应时间(ms)：指所有服务调用的平均响应时间，通常是总响应时间除以调用次数得出的平均值。 最慢调用(ms)：表示在一定时间范围内 Dubbo 集群中耗时最长的服务调用，即最长响应时间的调用。 超时请求次数：代表在一定时间范围内 Dubbo 集群中发生超时的服务调用次数。 错误数：表示在一定时间范围内 Dubbo 集群中的服务调用出现的错误次数。 操作：点击详情，出现弹层显示调用次数、平均响应时间(ms)、错误数在筛选时间段内的趋势图。 这些指标和功能可以帮助监控 Dubbo 集群的整体运行状况、性能表现和异常情况，帮助运维人员及时发现问题并采取相应的措施来维护和优化 Dubbo 集群的运行。 统一交互操作说明： 将光标移到统计图上，可以查看光标所至时间点的数据详情。 单击图标，可以将当前图表放大显示。

本文为您介绍IAM的快速入门指引。 前提条件 请确保您已拥有帐号，若您还没有帐号，请先进行注册。 场景示例 某互联网公司A使用了天翼云服务，该公司位于中国深圳，有三个职能团队。为了方便A公司统一购买、分配资源并管理用户，A公司的人员不需要每人都注册天翼云帐号，而是由公司的管理员注册一个帐号，在这个帐号下创建IAM用户并分配权限，然后将创建的IAM用户分发给公司的人员使用。 本文以A公司使用IAM创建用户及用户组为例，帮助您快速了解企业如何使用IAM完成服务权限的配置。 A公司人员组成 负责管理公司的人员以及资源的管理团队（对应图1中的“admin”），进行权限分配，资源调配等。团队成员包括员工甲和员工乙。 负责开发公司网站的开发团队（对应图1中的“开发人员组”），团队成员包括员工丙和员工丁。 对开发团队开发出的网站进行测试的测试团队（对应图1中的“测试人员组”），团队成员包括员工丁和员工戊 。其中，员工丁同时负责开发及测试，因此他需要同时加入“开发人员组”及“测试人员组”，以分别获得两个用户组的权限。 图1 用户管理模型 A公司业务组成 admin组主要负责公司人员权限分配，需要使用IAM服务完成其他用户的权限控制。 开发人员组在网站开发过程中，需要使用弹性云主机、弹性负载均衡、虚拟私有云、云硬盘以及密钥管理。 测试人员组主要负责网站的功能及性能测试，需要使用云监控。 用户管理流程 A公司的管理员使用注册的帐号登录天翼云，创建“开发人员组”及“测试人员组”，并给用户组授权。操作步骤请参见：第一步：创建用户组和授权。 A公司的管理员给三个职能团队中的成员创建IAM用户，并让他们使用新创建的用户登录天翼云。操作步骤请参见：第二步：创建IAM用户和登录。