CC防护 业务正常运行时，建议采用“常规”防护模式。 由于CC防护的“紧急”防护模式可能产生一定量的误拦截，如果您的业务为App业务或Web API服务，不建议您开启“紧急”防护模式。如果使用CC安全防护的正常模式仍发现误拦截现象，建议您使用“精准访问控制”功能放行特定类型请求。 说明 业务接入WAF防护一段时间后（一般为23天），可以通过分析业务日志数据（例如，访问URL、单个IP访问QPS情况等）评估单个IP的请求QPS峰值，提前通过自定义CC防护策略配置限速策略，避免遭受攻击后的被动响应和临时策略配置。 BOT防护 当您的业务经常受到爬虫骚扰或面临数据泄露、被篡改的风险，针对防护需求，建议您为网站开启BOT防护功能。BOT防护设置支持公开类型、自定义会话策略两大类防护策略。 公开类型：云WAF提供已知公开的BOT大类，包括Web爬虫、扫描器、语言库等爬虫类型，用户可以根据自身需求对公开BOT类型设置防护状态及防护动作，WAF将对命中公开类型的BOT请求进行相应处理。 自定义会话策略：提供自定义协议特征、自定义会话特征两类防护策略，每种类型特征包含多个判定维度，用户可以根据实际业务情况设置协议特征规则状态、自定义会话策略，WAF将对命中防护策略的请求进行处理。

加速验证 P2P加速插件安装后，当集群中的工作负载拉取对应容器镜像仓库的镜像时会默认进行加速。当工作负载成功拉取镜像后，可登录其所在节点中名称包含 cubep2paccelerationdfdaemon 的容器组，通过以下命令查看日志: plaintext grep "peer task done" /var/log/dragonfly/daemon/core.log 有形如以下的日志输出则说明镜像拉取成功被P2P插件加速： plaintext { "level":"info", "ts":"20230410 07:31:02.897", "caller":"peer/peertaskconductor.go:1330", "msg":"peer task done, cost: 6483ms", "peer":"10.244.0.51be485ea56d544f568f56bdbe76ec8469", "task":"0fe34e3fcb64d49b09fe7c759f47a373b7590fe4dbe1da6d9c732eee516e4cb4", "component":"PeerTask", "trace":"daa2ffd1021779dfbd3162ead765e0ba" } 否则，需要检查插件安装时容器镜像服务实例的地址是否输入正确，并重新进行插件安装。 卸载 建议通过云容器引擎插件控制台卸载本插件。如需通过 Helm 卸载此应用，可以参考如下命令： plaintext $ helm uninstall RELEASENAME namespace kubesystem 卸载P2P加速插件后，插件相关服务会被自动删除。此外，还需要通过控制台或手动删除插件遗留的以下持久卷声明和持久卷： plaintext 5个持久卷声明 datacubep2paccelerationmysql0 redisdatacubep2paccelerationredismaster0 redisdatacubep2paccelerationredisreplicas0 redisdatacubep2paccelerationredisreplicas1 redisdatacubep2paccelerationredisreplicas2 5个持久卷 p2plocalpv0 p2plocalpv1 p2plocalpv2 p2plocalpv3 p2plocalpv4 若不删除，则会影响插件的再次安装。

弹性负载均衡支持编辑标签的操作,本文帮助您快速熟悉负载均衡编辑标签的操作。 操作场景 当您的云环境中存在多个弹性负载均衡器时，编辑使用标签可以帮助您对其进行分类分组管理，对弹性负载均衡器的使用情况进行追踪和优化，提高弹性负载均衡器的管理效率和灵活性。 负载均衡器的编辑标签时，通常需要指定标签键和标签值来标识和分类负载均衡器。标签键用于描述标签的分类或属性，而标签值则用于具体区分不同的负载均衡器。 使用须知 您可以最多添加10个标签。 标签的“键”和“值”是一一对应的，其中“键”值是唯一的。 添加标签 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域，本文操作均选择华东华东1。 3. 在系统首页，选择“网络>弹性负载均衡>负载均衡器”。 4. 在“负载均衡器”列表页面，单击负载均衡器所在行的“更多>编辑标签”。 5. 输入标签键和标签值，点击“确定”。 6. 在控制中心的“弹性负载均衡”界面的信息列表，还支持对已创建的负载均衡器批量编辑标签/批量解绑标签。

本章节主要介绍分布式消息服务RabbitMQ的实例类问题。 RabbitMQ使用的版本是多少？ 服务端RabbitMQ的版本是3.8.35。 RabbitMQ实例SSL连接的协议版本号是多少？ TLS v1.2版本。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户无Server Administrator和VPC Administrator权限，增加权限的详细步骤请参考《统一身份认证服务 用户指南》的“用户指南 > 用户组及授权 > 查看或修改或删除用户组”章节。 若其中一台RabbitMQ重启失败，需要会如何处理？ 重启RabbitMQ实例时，不会重启实例所在虚拟机，仅重启RabbitMQ进程。 重启集群实例时，若其中一台RabbitMQ进程重启失败，则重启后实例状态依然为“运行中”，并提示“部分节点故障”。在每台虚拟机上都有RabbitMQ的守护进程，定时检查RabbitMQ进程是否存在，当进程不存在时会自动拉起RabbitMQ进程。 如果RabbitMQ实例异常持续超过1分钟，会上报告警。 RabbitMQ集群实例如何均衡分发请求到每个虚拟机？ 集群内部使用LVS做负载均衡，由LVS将请求均衡分发到每个虚拟机节点。 RabbitMQ实例集群内部的队列是否有冗余备份？ 队列是否做镜像（即冗余备份）取决于用户的需要，如果用户设置了镜像，会在集群中多个代理上存储队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。

本节主要介绍如何在智能视图服务控制台管理云端AI应用。 如果想使用云端智能分析服务，需要创建AI应用，并为要进行AI分析的设备绑定AI应用。 点击左侧导航栏的【AI管理AI应用】，可以查看平台的所有AI应用列表，包括算法类型、分析类型、描述、关联设备数等信息，用户可以进行查看/编辑/删除应用、查看分析结果和告警统计等操作。 创建AI应用 点击【新建AI应用】按钮，用户选择想要使用的AI算法，目前天翼云智能视图服务支持的算法包含人脸识别、人体识别和场景识别三种类别，也可以在右上角输入算法名称或者算法描述关键字进行搜索，找到目标算法后点击【选择】，进入下一步。 输入自定义应用名称并完成应用配置，包含以下配置项。 分析频率：包含分钟级、秒级和高算力型。 生效时段：支持配置AI分析时段，可选择全天或者指定时间段，支持添加多个生效时间段。 置信度：置信度越高，则会提升告警结果的准确率，但会存在漏检的情况；置信度越低，则可以捕捉到更多可能的告警，但会存在更多误检的情况。 告警配置：开启后可优化AI告警信息频繁的情况，自定义设置静默规则，包括告警周期、告警数量阈值和静默时间，可以压缩AI告警信息。

终端节点和访问域名 终端节点（Endpoint）：OBS为每个区域提供一个终端节点，终端节点可以理解为OBS在不同区域的区域域名，用于处理各自区域的访问请求。 访问域名：OBS会为每一个桶分配默认的访问域名。访问域名是桶在互联网中的域名地址，可应用于直接通过域名访问桶的场景，比如：云应用开发、数据分享等。 OBS桶访问域名的结构为：BucketName.Endpoint。其中BucketName为桶名称，Endpoint为桶所在区域的终端节点（区域域名）。 除了桶访问域名外，下表列出了与OBS相关的其他域名的结构、协议类型等信息，以便您全面地了解OBS域名。 域名类型 域名结构 说明 协议类型 区域域名 Endpoint 不同的区域分配各自对应的域名，即各区域的终端节点。请向企业管理员获取区域和终端节点信息。 HTTPS/HTTP 桶访问域名 BucketName.Endpoint 桶创建成功后，可以使用桶访问域名来访问桶。您可以根据访问域名结构自行拼接，也可以通过在OBS管理控制台、OBS Browser+上查看桶基本信息获取。 HTTPS/HTTP 对象访问域名 BucketName.Endpoint/ObjectName 对象上传到桶中后，可以使用对象访问域名来访问桶中的指定对象。您可以根据访问域名结构自行拼接，也可以通过在OBS管理控制台、OBS Browser+上查看对象属性获取。 HTTPS/HTTP 静态网站访问域名 BucketName.obswebsite.Endpoint 桶配置为静态网站托管时，桶的静态网站访问域名。 HTTPS/HTTP

天翼云Prometheus监控服务提供了Remote Write标准接口，可通过该接口远程接入开源Prometheus的监控数据，以实现在天翼云Prometheus监控平台上收集和展示其自定义数据。本文将具体介绍如何使用Remote Write地址完成数据接入。 使用限制 Remote Write接口暂不支持HTTP/2。 前提条件 已创建Prometheus实例。 远程写入的客户端网络已经与暴露接口打通。 步骤一：获取AKSK 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心。 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Write地址 1. 登录Prometheus监控服务控制台。 2. 在左侧导航栏点击实例列表。 3. 单击目标实例名称。 4. 在设置页签上，即可获取Remote Write地址。 步骤三：配置开源版Prometheus 1. 安装Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remotewrite链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remotewrite: 替换为您的Remote Write地址。 url: " basicauth: username和password分别对应您天翼云账号的AK和SK。 username: accesskeyid password: accesskeysecret 3. 重启开源版Prometheus服务。

本文为您介绍用户SSO的配置步骤。 企业与天翼云进行用户SSO时，天翼云是服务提供商（SP），企业的身份管理系统则是身份提供商（IdP），企业内部的员工可以通过基于SAML协议的单点登录，以天翼云用户的身份访问天翼云。 操作步骤 为了实现企业用户SSO，需要分别在天翼云和企业IdP中完成配置，以确定企业用户和天翼云互信与用户映射关系。在配置完成后，企业用户可以在浏览器中以天翼云用户的身份登录到天翼云。 天翼云配置 天翼云IAM配置企业IdP的操作如下： 1. 使用天翼云账号登录到统一身份认证控制台。 2. 在左侧导航栏，选择身份提供商管理。 3. 单击右上角的创建身份提供商，配置身份提供商的相关信息。 1. 协议：目前支持SAML协议。 2. 类型：目前支持IAM用户SSO。 3. 名称：配置当前身份提供商名称。 4. 元数据文档：上传企业IdP提供的元数据文件。元数据文件由企业IdP提供，目前支持上传XML格式的文件，元数据文件需要包含以下信息。 属性 说明 entityID IdP方实体ID SingleSignOnService IdP登录接收请求的地址，接收SAMLRequest请求的地址 SingleLogoutService IdP登出接收请求的地址 X509Certificate IdP对报文进行加密所对应的公钥 4. 单击确定。

操作系统健康状态监控 周期采集操作系统硬件资源使用率数据，包括CPU、内存、硬盘、网络等资源的使用率状态。 进程健康状态监控 翼MR提供业务实例的状态以及业务实例进程的健康指标的检查，能够让用户第一时间感知进程健康状态。 硬盘故障的自动处理 天翼云大数据平台 翼MapReduce对开源版本进行了增强，可以监控各节点上的硬盘以及文件系统状态。如果出现异常，立即将相关分区移出存储池；如果硬盘恢复正常（通常是因为用户更换了新硬盘），也会将新硬盘重新加入业务运作。这样极大简化了维护人员的工作，更换故障硬盘可以在线完成；同时用户可以设置热备盘，从而极大缩减了故障硬盘的修复时间，有利于提高系统的可靠性。 节点磁盘LVM配置 天翼云大数据平台 翼MapReduce支持将多个磁盘配置成LVM（Logic Volume Management），多个磁盘规划成一个逻辑卷组。配置成LVM可以避免各磁盘间使用不均的问题，保持各个磁盘间均匀使用在HDFS和Kafka等能够利用多磁盘能力的组件上尤其重要。并且LVM可以支持磁盘扩容时不需要重新挂载，避免了业务中断。 数据可靠性 天翼云大数据平台 翼MapReduce可利用弹性云服务器ECS提供的反亲和节点组以及放置组的能力，结合Hadoop的机架感知能力，将数据冗余到多个物理宿主机上，避免物理硬件的失效造成数据的失效。

本小节介绍如何对创建成功的元数据采集任务进行查看并运行 前提条件 已完成数据库资产委托授权，参考云资产委托授权/停止授权进行操作。 已添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产目录 > 元数据任务”，进入“元数据采集任务”页面。 参数名称 参数说明 名称 元数据采集任务名称 启用/禁用任务 启用或禁用当前任务 子任务 子任务名称 调度策略 可选择“单次”、“每日”、“每周”或“每月” 创建人 任务的创建人ID 最后运行时间 任务的最后运行时间 5. 单击操作栏“运行”，开始运行当前创建的元数据采集任务。 6. 单击元数据采集任务左侧，可查看任务的运行详情，参数说明请参见下表。 参数名称 参数说明 开始时间 任务开始运行的时间 结束时间 任务运行结束的时间 执行方式 “单次”、“每日”、“每周”或“每月” 状态 当前任务运行的状态，任务状态分为： 已完成：已完成元数据采集任务。 运行中：正在运行元数据采集任务。 运行失败：元数据采集任务运行失败。 调度中：元数据采集任务已添加成功，待运行。 部分完成：已完成部分元数据采集任务。 运行时长 任务开始运行到结束运行用的时间

本章节介绍如何对现有数据进行分组管理操作。 前提条件 已完成数据库资产委托授权，参考云资产委托授权/停止授权进行操作。 已添加数据库资产。 新建数据库分组 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产目录 > 数据管理”，进入“数据管理”页面。 5. 将鼠标滑动至全域数据库列表的分组名称处，单击创建子级分组，系统弹出“添加标签”弹窗。 6. 自定义标签名称（即分组名称），单击“确定”，创建分组成功。 管理数据库分组 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产目录 > 数据管理”，进入“数据管理”页面。 5. 在全域数据列表选择需要管理的分组，并在右侧页面单击展开数据库实例详情。 6. 勾选待移动数据库，单击待移动数据库所在行操作列“移动到”，在“移动到”弹窗中选择目标分组。 7. 单击“确定”，为数据库重新分组成功。

本节主要介绍相关术语解释 工作负载 工作负载即Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Job、Deamonset等。 无状态工作负载（即kubernetes中的“Deployments”）：Pod之间完全独立、功能相同，具有弹性伸缩、滚动升级等特性。如：nginx、wordpress。 有状态工作负载（即kubernetes中的“StatefulSets”）：Pod之间不完全独立，具有稳定的持久化存储和网络标示，以及有序的部署、收缩和删除等特性。如：mysqlHA、etcd。 实例（Pod） Pod是 Kubernetes 部署应用或服务的最小的基本单位。一个Pod 封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络 IP 以及管理控制容器运行方式的策略选项。 金丝雀发布 又称灰度发布，是迭代的软件产品在生产环境安全上线的一种重要手段。在生产环境上引一部分实际流量对一个新版本进行测试，测试新版本的性能和表现，在保证系统整体稳定运行的前提下，尽早发现新版本在实际环境上的问题。 蓝绿发布 蓝绿发布提供了一种零宕机的部署方式。不停老版本，部署新版本进行测试，确认运行正常后，将流量切到新版本，然后老版本同时也升级到新版本。始终有两个版本同时在线，有问题可以快速切换。 流量治理 应用流量治理提供可视化云原生应用的网络状态监控，并实现在线的网络连接和安全策略的管理和配置，当前支持HTTP、TCP流量下的路由规则、负载均衡、会话保持、连接池管理、RBAC等能力。

无证书连接 说明 该方式不对服务端进行证书校验，用户无需下载SSL证书。 1. 通过JDBC连接MySQL数据库实例，代码中的JDBC链接格式如下： java jdbc:mysql:// : / ?useSSLfalse 变量 说明 请替换为实例的IP地址。 说明：如果通过弹性云主机连接，“instanceip”是实例的“内网地址”。您可以在该实例“基本信息”或“连接管理”页面的“连接信息”区域查看。如果通过公网连接，“instanceip”为该实例已绑定的“弹性公网IP”。您可以在该实例“连接管理”页面的“连接信息”区域查看。 请替换为实例的数据库端口，默认为13049。 说明：您可以在该实例“连接管理”页面的“连接信息”区域查看。 请替换为连接实例使用的数据库名，默认为mysql。 代码示例（连接MySQL数据库的java代码）： java import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; public class NoneCaConnTest { final public static void main(String[] args) { Connection conn null; String url "jdbc:mysql://instanceip:13049/dbtest?useSSLfalse"; try { Class.forName("com.mysql.jdbc.Driver"); String USER "xxx"; String PASSOWRD "xxx"; conn DriverManager.getConnection(url, USER , PASSOWRD ); System.out.println("Database is connected"); Statement stmt conn.createStatement(); ResultSet rs stmt.executeQuery("SELECT FROM table WHERE column 100"); while (rs.next()) { System.out.println(rs.getString(1)); } rs.close(); stmt.close(); conn.close(); } catch (Exception e) { e.printStackTrace(); System.out.println("Test no ca failed"); } finally { // 释放资源 } } }

本章节以Linux系统为例，介绍从购买到内网连接MySQL实例的操作步骤。 操作步骤一：创建MySQL实例 具体操作，请参见创建实例。 操作步骤二：创建ECS 具体操作，请参见创建弹性云主机。 操作步骤三：连接MySQL实例 1. 本地使用Linux远程连接工具登录ECS。 其中，Remote host为ECS绑定的弹性公网IP。 2. 输入创建ECS时设置的密码。 3. 下载客户端，选择客户端版本和操作系统，下载mysqlcommunityclient8.0.261.el6.x8664.rpm客户端安装包。 4. 上传客户端安装包到ECS。 5. 安装客户端。 plaintext rpm ivh nodeps mysqlcommunityclient8.0.261.el6.x8664.rpm 6. 连接MySQL实例。 plaintext mysql h 192.168.XX.XX P 3306 u root p 7. 创建数据库testdb。 plaintext create database testdb; 8. 创建表testtable。 plaintext create table testtable(id int(8), name char(32), age int(8)); 9. 向表中插入一条数据。 plaintext insert into testtable(id, name, age) values(1, 'zhujiasi', 30); 10. 查询表数据。 plaintext select from testtable; 11. 更新表中id为1的age字段值。 plaintext update testtable set age31 where id1; 12. 查询更新后的表数据。 plaintext select from testtable where id1; 13. 删除表中id为1的数据。 plaintext delete from testtable where id1; 14. 删除表结构。 plaintext drop table testtable; 15. 删除数据库。 plaintext drop database testdb;

背景信息 在云原生和大数据成本优化的大趋势下，分布式消息Kafka引入弹性存储功能，正是为了应对传统架构中“高成本、难扩展、利用率低”的痛点。通过弹性存储能力，实现存储成本的显著下降和资源的按需使用，使企业能够以更经济的方式处理海量流数据。弹性存储能力核心优势如下： 显著降低存储成本 对象存储的费用通常仅为超高IO云盘费用的7.5%~10%，并且冷数据存储在远端只需存储一个副本。通过将不常访问的历史数据迁移到对象存储，企业可以在保留更长数据保留周期的同时，大幅降低总体拥有成本。 实现按需使用、弹性扩展 弹性存储解耦了计算与存储。对象存储具备近乎无限的扩展能力，无需预先规划容量。用户可以根据业务需求灵活延长数据保留时间（如从 7 天延长至 90 天甚至更久），而无需担心存储瓶颈。 提升资源利用率与运维效率 本地磁盘资源专注于服务高频访问的热数据，提升集群性能；冷数据由对象存储承载，减轻 Kafka服务端的存储压力。同时，减少了因存储不足而频繁扩容的运维负担。 支持更多数据应用场景 低成本的长期数据保留使得 Kafka 不仅可用于实时流处理，还可作为事件溯源、数据湖入湖前的缓冲层、合规归档等场景的统一数据平台，提升数据价值。

数据库审计的审计数据可以保存多久？ 数据库审计支持将在线和归档的审计数据至少保存180天的功能。根据实际的磁盘大小，会优先删除存储日期较早的审计数据。 若您需要更多的磁盘空间，可选择买更高级的数据库审计实例规格或者购买磁盘存储容量。 数据库审计发生异常，多长时间用户可以收到告警通知？ 在数据库审计正常运行的情况下，从系统发生异常到收到告警通知最大时延不超过5分钟。 在业务侧使用中间件会影响数据库审计功能吗？ 不会影响使用数据库安全审计。 中间件是介于应用系统和操作系统之间的一类软件，通常在操作系统、网络和数据库之上，应用软件的下层，是为处于上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。 数据库安全审计采用旁路模式部署，通过Agent（数据库节点或应用节点安装Agent）获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，从而实现数据库安全审计功能。 因此，您在业务侧使用中间件不影响数据库安全审计功能，不会导致Agent监听SQL失败或者审计没有数据。 数据库审计能否对第三方工具执行的SQL语句进行捕捉？ 可以。数据库审计审计的数据是Agent接入的全量日志和流量数据，与工具无关。 数据库审计是否支持云下部署？ 不支持。数据库审计需要部署在您所使用的云上的服务器中，您需要将相关的业务迁移至目标云上。

本小节介绍证书管理服务证书吊销类常见问题。 吊销证书和删除证书的区别是什么？ 吊销证书操作：吊销后该证书即为无效，不可继续使用； 删除证书操作：可以从证书平台重新下载证书使用（删除证书，只要确保没有证书私钥泄露风险，重新下载证书即可）。 提交了吊销或删除证书的申请，是否可以取消？ 不可以。 吊销申请提交后或删除证书的操作执行后，将无法取消，请谨慎操作。 证书吊销指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。 提交吊销申请后，将由CA机构审核，审核通过后，吊销操作才算完成。 因为吊销过程中无需用户执行任何操作，且CA机构审核流程较快，所以，提交吊销申请后，将无法取消，请谨慎操作。 证书删除指将证书资源从天翼云系统中删除。证书仍然有效，浏览器信任该证书。 提交删除操作后，天翼云将直接执行删除操作，无需CA机构审核，将立即被删除。因此，执行删除操作后，将无法取消，请谨慎操作。 如何将证书格式转换为PEM格式？ 默认下载或者邮件中获取的证书就是PEM 格式，或者可以使用证书格式转换工具。 SSL证书为什么没有在证书列表中显示？ 证书管理服务产品控制台的证书列表会展示直接通过天翼云购买的证书。

本文为您介绍密钥管理服务的开通流程。 密钥管理服务（KMS）包周期版提供基础版、企业版两个规格，本章为您介绍如何购买KMS服务。 前提条件 已经注册天翼云账号并完成实名认证。 规格限制 基础版提供软件保护等级服务，支持客户构建专属的密钥库，具备高度可扩展性；同时提供极简的密码运算接口能力，满足应用的安全快速集成。 企业版提供硬件保护等级服务，底层对接使用经国家密码管理局认证的密码机硬件，提供更高安全与合规等级保证的资源管理及密码运算服务，满足监管机构的检测认证要求。 基础版、企业版单基础实例计算性能（应用接入点）默认为2000QPS。 基础版、企业版单基础实例最多可创建2000个密钥、1000个证书。 操作步骤 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，单击“立即开通”。 3. 进入到密钥管理服务订购页面，选择云服务区、服务版本、实例数量、扩展资源数量，设置订购时长，确认参数配置后，阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击“立即购买”。 4. 进入订单详情 页面，确认支付金额，点击 立即支付 。 5. 完成订单支付，可在订单详情页查看订单状态，状态更新为“已完成”后代表服务已开通。 6. 服务开通后，您可进入密钥管理服务控制台创建资源。

本节介绍了智能语音交互使用限制类问答。 语音合成服务对于文本格式是否有要求？ 具体语音合成服务文本格式要求也可以参考语音合成API。 目前仅支持 base64 编码方式请求，暂不支持 url 方式请求。 一次请求仅支持一条数据。 智能语音交互产品是HTTP GET请求还是HTTP POST请求？ 智能语音交互产品以API的方式提供服务，支持HTTP POST请求。 HTTP POST提供了加密传输、身份验证和授权以及请求参数验证和过滤等机制，从而可以更好的保障用户的数据安全。 智能语音交互能否提供100%识别准确率？ 智能语音交互准确率与上传的文本内容质量相关，同时也存在一定概率的误差，无法做到100%识别准确率。 如您对当前使用的智能语音交互产品服务有识别准确率相关问题，您可通过提交天翼云官网工单或者拨打客服电话【4008109889转1】联系我们。 QPS不够用怎么办？ 默认支持5个QPS，建议您在程序中可以进行一定的请求限制，避免收到大量限流报错。 注意：如果您的程序在失败时有重试机制，当您扩大并发量后接口返回错误码时，请不要重试，否则可能加重限流报错情况。 智能语音交互服务是否支持私有化部署？ 智能语音交互支持公有云、私有化部署。 您可通过提交天翼云官网工单或者拨打客服电话【4008109889转1】沟通私有化部署相关合作。

本章主要介绍调用API。 API提供者在API网关开放自己的API后，API调用者从API网关中调用API。 调用限制 如果您使用调试域名（创建API分组时系统分配的调试域名）访问API，该调试域名每天最多可以访问1000次。 如果在API网关控制台“API管理 > API策略 > SSL证书管理”界面的“创建SSL证书”窗口中显示有“CA”参数，那么在调用API时，请注意以下限制。 − 使用HTTP/1.0协议调用API时，不允许请求头中存在"TransferEncoding"参数。 − 不允许使用CONNECT请求方法。 − 不允许请求头中同时存在参数"ContentLength"和"TransferEncoding"。 − 不允许请求行中存在空格或控制符。 − 不允许header name中存在空格或控制符。 − 不允许请求头"Host"中存在空格或控制符。 − 不允许请求头中存在多个"Host"。 前提条件 在调用API前，确保您的业务系统所在网络与API的访问域名或地址互通。 如果业务系统与API网关在相同VPC内时，可直接访问API。 如果业务系统与API网关在同一区域的不同VPC内时，可通过创建VPC对等连接，将两个VPC的网络打通，实现同一区域跨VPC访问API。 如果业务系统与API网关在不同区域的不同VPC内时，可通过创建云连接实例并加载需要互通的VPC，将两个VPC的网络打通，实现跨区域跨VPC访问API。 如果业务系统与API网关通过公网互通，请确保API网关已绑定弹性IP。

参数 描述 数据流动方向 选择“自建自建”。 源数据库引擎 选择“Oracle”。 目标数据库引擎 选择“Kafka”。 网络类型 此处以“公网网络”为示例。目前支持可选公网网络、VPC网络和VPN、专线网络。 可用区 选择DRS实例创建在哪个可用区，选择跟源或目标库相同的可用区性能更优。 VPC 选择可用的虚拟私有云。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步类型 请选择内网安全组。内网安全组限制实例的安全访问规则，加强安全访问。 标签 对于已成功关联企业项目的用户，仅需在“企业项目”下拉框中选择目标项目。 如果需要自定义企业项目，请前往项目管理服务进行创建。关于如何创建项目，详见《项目管理用户指南》。 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见 标签管理。

参数 描述 数据流动方向 选择“自建自建”。 源数据库引擎 选择“MySQL”。 目标数据库引擎 选择“Kafka”。 网络类型 此处以“公网网络”为示例。目前支持可选公网网络、VPC网络和VPN、专线网络。 可用区 选择DRS实例创建在哪个可用区，选择跟源或目标库相同的可用区性能更优。 VPC 选择可用的虚拟私有云。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 内网安全组 请选择内网安全组。内网安全组限制实例的安全访问规则，加强安全访问。 同步类型 增量增量同步通过解析日志等技术，将源端产生的增量数据同步至目标端。 无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 标签 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见 标签管理。

本章节内容主要介绍常见问题中通用类 使用文档数据库服务要注意什么? 故障切换 文档数据库实例采用多路由+多分片+副本集的部署形态，当路由主机出现故障时，可实时动态切换。副本集包含多个副本，当主节点发生故障时，系统会在30秒之内切换到备节点。 实例的弹性云主机，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 文档数据库服务使用的对象存储服务上的备份文件，对用户不可见，它们只对后台管理系统可见。 申请文档数据库服务后，您还需要做什么？ 您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 文档数据库实例的CPU、IOPS、空间是否足够，如果不够需要优化或者扩容。 文档数据库实例是否存在性能问题，是否有大量的慢查询，查询语句是否需要优化，是否有多余的索引或者索引缺失等。 什么是文档数据库实例可用性? 文档数据库实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% 我的实例是否会受其他用户实例影响? 文档数据库实例不会受其他用户实例影响，因为每个用户的实例与其他用户的实例是独立的，并且有资源隔离，互不影响。 文档数据库服务支持读写分离吗? 文档数据库服务支持读写分离，它的写操作仅可以在副本集中的主节点上进行，用户通过配置实现读操作在从节点进行。

本节主要介绍创建软件包构建任务 通过构建任务可以用软件包一键式生成镜像包，实现“软件包获取>镜像编译>镜像归档”的全流程自动化。 前提条件 1.已经创建集群。 2.已为构建节点绑定弹性IP。 操作步骤 1、登录ServiceStage控制台，选择“持续交付 > 构建”，单击“基于软件包构建”。 2、输入“Job名称”。 3、（可选）输入Job“描述”。 4、设置“包来源”。 支持以下上传方式： 从OBS对象存储选择对应的软件包，需要提前将软件包上传至OBS桶中。 单击“选择软件包”，选择对应的软件包。 5、选择构建方式。 系统默认 a.选择基础镜像语言，需与步骤4中选择的软件包编译语言一致。 b.选择“基础镜像版本”。 自定义Dockerfile 在编译框中输入自定义命令。 注意 请在echo、cat、debug等命令中慎用敏感信息或者进行敏感信息加密，以免造成信息泄露。 内置镜像 选择“基础镜像”，镜像语言需与步骤4中选择的软件包编译语言一致。 6、设置“镜像类型”。 公有：包含常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有：包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 7、选择“镜像归档地址”。 8、构建集群。 使用自己的集群进行构建任务，可以通过节点标签将构建任务下发到固定节点上，新增过滤标签请参考“帮助中心 > 云容器引擎 > 用户指南 > 节点管理”。 9、单击“立即构建”启动构建。 单击“保存”仅保存设置，不进行构建。

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

本文主要介绍产品优势。 分布式消息服务Kafka完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 您只需要在实例管理界面选好规格配置，提交订单。后台将自动创建部署完成一整套Kafka实例。 兼容开源，业务零改动迁移上云 兼容社区版Kafka的API，具备原生Kafka的所有消息处理特性。 业务系统基于开源的Kafka进行开发，只需加入少量认证安全配置，即可使用分布式消息服务Kafka，做到无缝迁移。 说明 Kafka实例兼容开源社区Kafka 1.1.0、2.3.0和2.7版本。在客户端使用上，推荐使用和服务端版本一致的版本。 安全保证 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL（Simple Authentication and Security Layer）认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 数据高可靠 Kafka实例支持消息持久化，多副本存储机制。副本间消息同步、异步复制，数据同步或异步落盘多种方式供您自由选择。 集群架构与跨AZ部署，服务高可用 Kafka后台为多集群部署，支持故障自动迁移和容错，保证业务的可靠运行。 Kafka实例支持跨AZ部署，代理部署在不同的AZ，进一步保障服务高可用。不同AZ之间基于Kafka ISR（insync replica）进行数据同步，Topic需要选择数据多副本并且将不同副本分布到不同的ISR上，在ISR正常同步状态下，故障RPO（Recovery Point Objective）趋近于0。 无忧运维 云服务平台提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。Kafka实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。 海量消息堆积与弹性扩容 内建的分布式集群技术，使得服务具有高度扩展性。分区数可配置多达100个，存储空间弹性扩展，保证在高并发、高性能和大规模场景下的访问能力，轻松实现百亿级消息的堆积和访问能力。 多规格灵活选择 Kafka实例的带宽与存储资源可灵活配置，并且自定义Topic的分区数、副本数。

本章节介绍了如何创建DRS实例，并将本地Oracle上的testinfo数据库迁移到云数据库GaussDB 实例中testdatabaseinfo数据库中。 迁移前检查 在创建任务前，需要针对迁移条件进行手工自检，以确保您的迁移任务更加顺畅。 在迁移前，您需要参考入云使用须知获取迁移相关说明。 创建迁移任务 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。选择目标实例所在的区域。 3. 单击左侧的服务列表图标，选择“数据库 > 数据库服务 > 数据复制”。 4. 左侧导航栏选择“实时同步管理”，单击“创建同步任务”。 5. 配置同步实例信息。 a) 选择区域，项目，填写任务名称。 b) 配置迁移任务的类型，选择目标实例和子网等。 c) 单击“开始创建”。 6. 配置源库及目标库信息。 a) 填写源库的IP、端口、用户、密码等信息。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 b) 填写目标库的账户和密码。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 c) 单击“下一步”，仔细阅读提示内容后，单击“同意，并继续”。 7. 设置同步。 a) 在源库选择需要迁移的数据库和表。本次实践中选择“ testinfo” 中的 “DATATYPELIST” 表。 b) 选择完成后，可以设置迁移后是否重新命名库名和表名。 c) 本次实践将表名重新命名为“ DATATYPELISTAfter ”。 注意重新命名时不要使用特殊符号，否则会导致迁移后执行SQL语句报错。 d) 确认重命名设置内容，单击“下一步”。 8. 高级设置。 本页面内容仅做确认，无法修改，确认完成后单击“下一步”。 9. 数据加工。 在该页面可以对迁移的表进行加工。包括选择迁移的列，重新命名迁移后的列名，本次实践将“ COL01CHARE ”重新命名为“ newline ”。 a) 选择需要加工的表。 b) 编辑“COL01CHARE”列。 c) 将“COL01CHARE”重新命名为“newline”，单击“确定”。 d) 单击“下一步”。 10. 预检查。 a) 所有配置完成后，进行预检查，确保迁移成功。 b) 对于未通过的项目，根据检查结果中的提示信息修复，修复完成后，单击“重新校验”，直到预检查通过率为100%。 c) 预检查全部通过后，单击“下一步”。 11. 任务确定。 a) 检查所有配置项是否正确。 b) 单击“启动任务”，仔细阅读提示后，勾选“我已阅读启动前须知”。 c) 单击“启动任务”，完成任务创建。 12. 任务创建成功。 任务创建成功后，返回任务列表查看创建的任务状态。

本节介绍如何添加自定义IPS特征。 CFW支持自定义网络入侵特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 注意 自定义的特征建议具体化，避免太宽泛，否则可能会导致大部分流量匹配到该特征规则，影响流量转发性能。 约束条件 仅“专业版”支持自定义IPS特征。 最多支持添加500条特征。 自定义的IPS特征不受修改基础防御防护模式的影响。 特征设置“方向”为“客户端到服务器”且“协议类型”为“HTTP”时，“内容选项”才能设置为“URI”。 自定义IPS特征 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 入侵防御”。单击“自定义IPS特征”中的“查看规则”，进入“自定义IPS特征”页面。 5. 在“自定义IPS特征”页签中，单击列表右上角“添加自定义IPS特征”，填写规则如下表所示。 参数名称 参数说明 名称 需要添加的特征名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（）。 长度不能超过255个字符。 风险等级 设置特征的风险等级。 攻击类型 选择特征的攻击类型。 影响软件 选择受影响的软件。 操作系统 选择操作系统。 方向 选择该特征匹配流量的方向。 Any：任意方向，符合其他条件的任意方向的流量都会匹配到当前规则。 服务器到客户端 客户端到服务器 协议类型 选择特征的协议类型。 源类型 选择源端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 源端口 “源类型”选择“包含”或“排除”时，设置源端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 目的类型 选择目的端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 目的端口 “目的类型”选择“包含”或“排除”时，设置目的端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 动作 防火墙检测到该特征流量时，采取的动作。 观察：仅对攻击事件进行检测并记录到日志中，日志记录查询请参见“日志查询”。 拦截：实施自动拦截操作。 说明 建议您优先选择“观察”，确认“攻击事件日志”记录正确后，再切换至“拦截”。 内容 特征规则中匹配的内容。 内容：跟特征匹配的内容字段，例如：cfw。 内容选项：选择“内容”匹配的限制规则。 十六进制：匹配十六进制时，“内容”需填写十六进制格式，例如：0x1F。 忽略大小写：匹配时不区分大小写。 URL：匹配URL中跟“内容”一致的字段。 相对位置：匹配特征时，指定开始的位置。 头部：从报文“偏移”值的位置开始匹配特征，例如偏移：10，则该条内容从第11位开始。 说明 当“内容选项”选择“URL”时，头部的匹配位置从域名结束（包含端口）开始计算。 例如：www.example.com/test，偏移为0，则该条内容从com后的/开始。 或www.example.com:80/test，偏移为0，则该条内容从80后的/开始。 上一个内容之后：报文中截取的位置从指定位置开始。 公式：上一条“内容”字段长度+上一条“偏移”值+“偏移”值+1 例如：上一条设置内容：test，偏移：10，本条偏移：5，则该条内容的匹配位置从第20（4+10+5+1）位开始。 偏移：匹配特征时开始的位置，例如偏移：10，则代表该条内容的匹配位置从第11位开始。 深度：匹配特征时，截止匹配的位置，例如深度：65535 ，则代表该条内容的匹配位置到第65535位截止。 说明 “深度”值需大于“内容”字段长度。 一条IPS特征中最多添加4条内容。 6. 单击“确认”，完成添加IPS特征。

本章节通过简单的命名空间授权方法，将CCE服务的用户和用户组授予操作不同命名空间资源的权限，从而使用户和用户组在拥有对应的CCE集群标准权限的同时，又可以拥有对集群中命名空间的操作权限。设置流程如示例流程所示。 配置说明 您需要拥有一个帐号，有一个或若干个用户组和IAM用户。 本例将对用户和用户组授予操作不同命名空间资源的权限，在您的实际业务中，您可根据业务需求仅对用户或用户组授予不同的权限。 本例仅用于给用户或用户组在未授权过的命名空间下新增权限，已授权的用户或用户组的权限可以在“权限管理 > 命名空间权限”的列表“操作”栏中单击“编辑权限”进行修改。 当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）；为用户组设置的权限将作用于用户组下的全部用户。 约束与限制 kubernetes RBAC的授权能力支持1.13及以上版本集群。 在v1.11.7r2版本的集群中默认开启RBAC功能，若需使用RBAC功能请将集群升级至v1.11.7r2或以上版本。升级方法请参见升级集群。 示例流程 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离，使得它们既可以共享同一个集群的服务，也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群，用于多种工作用途，满足多用户的使用需求。 本章节将沿用创建用户并授权使用CCE中创建的IAM用户“James”和用户组“开发人员组”进行示例，为IAM用户“James”和用户组“开发人员组”添加命名空间权限，可以参考如下操作： 步骤一：为IAM用户/用户组添加命名空间权限 本步骤将在CCE控制台中为IAM用户“James”以及用户组“开发人员组”授予某个集群命名空间下资源的操作权限，设置如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“权限管理”，进入权限管理页面。 步骤 2 单击“命名空间权限”页签，在命名空间权限列表右上方选择要添加授权的集群，单击“添加授权”按钮，进入添加授权页面。 步骤 3 在添加授权页面，确认集群名称，选择该集群下要授权使用的命名空间，此处选择“default”。 步骤 4 单击“添加用户权限”，为“开发人员组”增加“admin”权限，在展开的选项中进行如下配置： 用户/用户组：选择“用户组”，并在二级选项中选择“开发人员组”。 权限：选择“admin”。 单击“添加用户权限”可继续增加其他用户或用户组，并赋予相应的权限。 步骤 5 单击下方的“添加命名空间权限”，为用户“James”增加在另一个命名空间“monitoring”的权限，在展开的选项中进行如下配置： 命名空间：选择“monitoring”。 用户/用户组：选择“用户”，并在二级选项中选择“James”增加。 权限：选择“view”。 步骤 6 单击“创建”，完成以上用户和用户组在命名空间中的相应权限设置。 说明： 经过以上操作，授权结果如下： 由于“开发人员组”包含IAM用户“James”，因此IAM用户“James”也同时获得了在命名空间“default”的“admin”权限。 为IAM用户“James”增加了在命名空间“monitoring”的“view”权限。 步骤二：用户登录并验证权限 使用IAM用户“James”登录云容器引擎控制台，验证授予的命名空间权限，验证步骤如下： 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户James时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，进入CCE控制台，对IAM用户James的命名空间权限进行验证。

通用型 提供均衡的计算、存储以及网络配置，支持挂载可弹性扩展的云硬盘，满足资源专享、网络隔离、性能有基本要求的业务场景：如数据库、企业ERP系统、容器、大数据计算等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.c6s.xlarge 数据库、大数据、容器 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,2.6 GHz） 192GiB 无 SDI3.0 physical.c6s.3xlarge 数据库、大数据、容器 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,2.6 GHz） 384GiB 无 SDI3.0 physical.c6sd.3xlarge 大数据存算分离 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,3.0 GHz） 384GiB 43.2T NVMe SDI3.0（225GE） physical.s6.xlarge 数据库 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 192GiB 无 SDI3.0（225GE） physical.s6.3xlarge 数据库 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 384GiB 无 SDI3.0（225GE） 本地存储型 系统盘和数据盘均使用本地磁盘，针对数据量大，对计算性能、稳定性、实时性等要求很高的业务场景：如大数据、分布式缓存等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.d6.xlarge 数据库、大数据、容器 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 192GiB 1210TB SATA HDD SDI3.0（225GE） physical.d6.3xlarge 数据库、大数据、容器 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 384GiB 1210TB SATA HDD SDI3.0（225GE）

EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于 EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 HLS标准加密改写 上传加速 天翼云全站加速提供的上传加速服务，提供了一种针对用户上行传输全程加速的整体加速方案。使用本方案后，用户上传的内容将自动适配到最近的节点，节点接收到终端数据后，天翼云全站加速通过自研技术将用户上传的内容快速上传到源站。 上传加速 websocket加速 天翼云全站加速产品支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket加速，您无需拆分域名，使用全站加速产品就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。全站加速节点会自动识别客户端与全站加速边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。 websocket加速 QUIC协议 天翼云全站加速产品开放使用的是七层协议的QUIC，主要应用在客户端与全站加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。 QUIC协议 云备源 云备源服务可帮助客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则全站加速可无缝切换至云备源，实现网站业务高可用。 云备源 高性能网络 高性能网络是全站加速产品的一项跨境能力进阶型增值服务，当普通国际网无法满足客户跨境传输需求时，通过开通高性能网络，利用其单独直连性、轻负载、高稳定性的特性，能帮助客户实现全链路低延时，低丢包率，高稳定性的跨境加速效果。 高性能网络 业务告警 天翼云全站加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。 业务告警 防攻击处理预案说明 天翼云全站加速默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站系统有权将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 防攻击处理预案说明 数据分析 用量分析 全站加速控制台的【数据分析】【用量分析】模块可以展示客户的带宽流量、回源统计、请求数、命中率、状态码、PV/UV、地区运营商等指标。 用量分析 数据分析 热门分析 全站加速控制台的【数据分析】【热门分析】支持三个月内、最长时间跨度为一个月的热门数据统计，包括TOP 100 URL、TOP 100 回源URL、热门Referer、热门域名、TOP客户端IP统计，可根据访问次数优先和流量优先两种维度的排列。并支持数据下载导出，表格内容与页面一致。 热门分析 数据分析 用户分析 全站加速控制台的【数据分析】【用户分析】可展示用户的区域分布、运营商分布情况。并展示每个区域/运营商的带宽、流量、访问次数。 用户分析 刷新预取 创建任务 客户控制台支持自助创建不同类型（URL刷新、目录刷新、正则刷新）的刷新任务和预取任务。 创建任务 刷新预取 查看任务 支持客户自定义查询刷新或预取任务的执行状态，并支持快捷跳转到创建任务页面。 查看任务 日志下载 全站加速控制台的日志下载模块提供六个月内的日志下载。 日志下载 诊断工具 通过诊断工具可查询指定IP是否为天翼云CDN节点IP以及对应归属地。 诊断工具 计费详情 客户已完成订购的全站加速服务包括按量计费和资源包两种方式，资源使用情况、有效期及状态等信息均可在客户控制台的【计费详情】页面进行统一汇总与展示。同时，该页面支持完成服务订购、退订、计费方式变更、加速区域变更、资源增配或减配等一站式操作。 计费详情 用户自定义脚本UDFScript 客户不仅可通过自助控制台实现域名标准化配置，还可结合用户自定义脚本实现更为灵活的CDN可编程化，快速实现标准化配置无法满足的个性化需求。 UDFScript用户自定义脚本 BosonFaaS边缘函数 边缘函数可以让企业研发人员将自定义的JavaScript代码秒级一键部署到天翼云边缘节点上，就近生成千人千面的个性化响应结果。研发人员只需要关注业务逻辑，剩下机器资源的扩容、运维、调度，都由边缘函数自动完成。 BosonFaaS边缘函数 权限管理 介绍天翼云全站加速的权限管理配置平台及具体操作方法。 权限管理 API文档 全站加速控制台的API文档可供用户查看API的功能及详细的入参、回参。 API

本节介绍了集群备份的用户指南。 执行备份 集群备份可对集群中的资源进行备份，备份粒度可是集群中所有资源，也可以加入一定筛选条件缩小备份的范围，如根据资源的命名空间及资源自身的类型来筛选。 在云容器引擎控制台菜单中按照以下路径进入界面【集群】{选定的集群}【备份】 【集群备份】，点击【创建备份】，在弹出框中配置备份任务的信息，录入信息后点击【创建】 名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一 命名空间 非必填，选择备份资源的命名空间，可多选 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath 在备份列表中即可查看备份任务的执行状态，及备份完成后备份包的大小。 备份列表的操作列还包含以下三个操作： 还原：把当前备份包还原到当前集群中； 下载：下载当前备份任务的备份包； 删除：删除当前备份任务。 查看备份详情 在备份任务列表中，点击备份名称，进入备份详情页面。 在备份详情页面中，同样可以对当前备份任务执行还原、下载备份包和删除操作： 备份页面展示了当前备份任务的任务名称、备份时筛选的资源类型、是否包含持久卷、备份任务创建时间、备份包的大小和备份任务的状态这些这些信息。 此外如果曾经以当前备份任务的备份包执行了还原，还原记录会展示在界面下方的“相关还原记录”中。