本节介绍了什么是GeminiDB Redis接口。 GeminiDB Redis是一款基于计算存储分离架构，兼容Redis生态的云原生NoSQL数据库。GeminiDB Redis突破了开源Redis的内存限制，通过将数据进行冷热分离，在保证热数据驻留计算节点内存满足业务低时延要求的同时，将冷数据置换入分布式存储池进行持久化存储，最大程度的降低使用成本。 GeminiDB Redis具有高兼容、高性价比、高可靠、弹性伸缩、高可用、冷热分离等特点。 高兼容 用户应用无需修改代码，可直接使用，100%兼容原生Redis接口。 高性价比 GeminiDB Redis基于共享存储，在提供足够性能的前提下，大幅度降低海量数据使用Redis的成本。 GeminiDB Redis将数据全部存储在磁盘中，并实现了冷热分离，解决了缓存（cache）与数据库（Data Base，DB）之间交互访问的问题，提高了程序可读性与程序运行效率。 高可靠 GeminiDB Redis基于共享存储池的多副本强一致机制，保证数据的安全可靠。 计算节点无状态，故障节点自动接管。 存储池支持跨AZ部署。 无损弹性伸缩 RocksDB深度定制，秒级分裂弹性扩容。 扩缩容无需搬迁数据，快速而平滑。 通过Proxy代理，使上层业务可以不感知内核处理扩缩容过程中的数据迁移。

了解存储资源盘活系统功能。 混合部署 支持应用和存储混合部署，通过HBlock形成高可用磁盘进而提高应用可用性，享受本地磁盘的读写体验，且盘活应用计算节点的存储资源，减少额外购买存储硬件成本。 弹性扩容 支持纵向扩展，即通过增加单服务器的处理器、内存、网络和磁盘进行扩展，还支持横向扩展，即通过添加服务器进行扩展。用户可以在使用过程中，随时按需添加服务器或磁盘，添加过程中业务不中断。 多维数据安全 支持多存储池、多级别故障域、卷级别数据冗余、副本折叠、自动重建、快照、克隆、云端数据还原等功能，形成 “本地高可用 + 异地多活 + 混合云容灾” 的多维保障体系。 统一管理 支持 RESTful API、命令行、Web 控制台三种管理接入方式；支持卷级别冗余和写策略配置，满足不同业务场景需求；提供统一监控告警视图，易操作易维护。 远程协助 快速接入用户环境，协助解决使用过程中可能遇到的问题或进行故障诊断和排查，消除物理距离的限制，节约时间成本，提高工作效率。 监控告警 监控系统中所有的资源，提供一页式概览及详情查看功能，当系统中的组件或资源出现异常时，自动触发告警通知用户。

本页介绍了为什么不建议使用系统库存储数据。 用户在连接到文档数据库服务副本集实例后，可以看到 local, config, admin 3 个系统库。在连接到文档数据库服务集群版实例后，能看到 config, admin 2 个系统库。 不建议用户直接在系统库下建表，下面说明原因。 local 库不参与主从复制。副本集中每个节点的 local 库是相互独立的，对主节点 local 库的修改不会通过 oplog 复制到从节点。因此，如果用户在 local 库下建表写数据，会存在数据安全风险，也不能利用文档数据库服务读写分离的特性。 admin 库的写性能受限。由于一些特殊原因，admin 库下的所有表在执行写入操作时，需要先获取 DB 的写锁（非意向写锁）。这样导致 admin 库下的写入操作都是串行执行的，而且和读操作互斥，因此性能低下，不适合存储业务数据。 不利于用户权限分配。如果使用系统库存储数据，可能会在给普通用户分配权限时将系统表暴露出去，带来额外的系统风险。 删表删库等操作存在严重风险。在使用 dropCollection 或者 dropDatabase 删除库表时，会增加误操作的风险。

本节介绍分布式缓存服务Redis版产品功能特性 一级分类 二级分类 功能描述 基础能力 开源兼容 兼容开源5.0，6.0，7.0系列，集群兼容性高; 支持string，hash，list，set，sortedset等常见类型。 基础能力 开箱即用 提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力。 基础能力 高级命令支持 支持事务和订阅。 基础能力 水平扩展、透明访问 支持基于水平分片算法的集群扩展、提供接入层透明的访问能力。 基础能力 CPU兼容 支持跨平台的软硬件，如飞腾、鲲鹏、海光国产CPU。 高可用 服务可靠性 支持主备、集群高可用实例类型。 高可用 节点故障自动切换功能 节点故障自动检测、恢复。 高可用 数据持久化 RDB+AOF组合持久化策略，保障数据丢失最小化。 高可用 在线扩容 支持实例存储空间、内存等资源平滑扩容。 运维 集群管理 集群可视化管理，查看节点状态，修改配置。 运维 运维监控 提供丰富的服务监控指标、系统监控指标。 运维 数据备份恢复 提供数据备份及数据恢复机制。 运维 安装部署 一键安装部署。 运维 权限管理 支持多账号，支持设置读写、只读权限，最小化授权。 运维 日志功能 支持日志记录、慢日志排查超时问题等日志功能。 开发 多语言连接 支持Java、Python、C

本文将为您介绍如何在专属云上创建VPC 操作场景 当您创建了专属云资源池之后，可参照本文在专属云中创建VPC，用户在专属云上创建VPC时，可以拥有独立的物理服务器和网络设备，这种隔离性能提供更高级别的安全性。 前提条件 已联系专属客户经理填写业务需求单申请计算专属云，详情请参见申请计算专属云服务。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择您的专属云资源池，如华东>dectest1017。 3. 在控制台首页，选择“网络>虚拟私有云”。 4. 在网络控制台的右上角，单击“创建虚拟私有云”按钮。 5. 在虚拟私有云创建页面中，根据自身业务需求完成云主机实例的配置，包括VPC名称、VPC网段、子网名称、子网网段等。 6. 确认创建VPC信息并点击“立即创建”按钮，等待创建成功后可在网络控制台虚拟私有云处查看创建完成的VPC。

本节介绍登录天翼云电脑（政企版）控制台的操作指导。 操作场景 登录AI云电脑（政企版）控制台后，才能进行如下业务操作： 订购并管理资源包：管理员可先订购包括AI云电脑计算、存储和网络配额的资源包，然后再通过使用资源包为终端用户分配AI云电脑实例、配置数据盘及上网带宽。 创建并管理AI云电脑：可以通过资源包或单实例方式开通Windows系统、Linux系统的AI云电脑，可以查看和管理租户下所有AI云电脑的使用情况。 管理组织结构：在管理控制台上创建部门、角色、用户、子账号等，更好地维护管理台用户的组织架构。 管理网络：管理员可自主配置和管理虚拟网络环境。可配置虚拟私有云（VPC）、业务子网、网络安全组、上网带宽等。 管理策略：管理员可以通过配置策略，对用户终端与AI云电脑之间的数据传输和外设接入的权限进行控制。 通过产品详情页进入 1. 使用管理员帐号登录天翼云门户； 2. 前往天翼AI云电脑（政企版）产品详情页面； 3.在产品详情页面点击“管理控制台”进入即可。

NAT网关产品为您提供安全可靠的网络地址转换服务，本文带您了解NAT网关的产品优势。 灵活部署 支持跨子网和跨AZ提供服务。NAT网关可为同一个VPC的多个AZ的多个子网提供服务。NAT网关的规格、带宽和公网IP、中转IP，均可以按需配置。 简单易用 多种网关规格可灵活选择。对NAT网关进行简单配置后，即可使用，运维简单，即开即用，运行稳定可靠。 降低成本 多个计算实例共享使用弹性IP。当您的私有IP地址通过NAT网关发送流量时，该软件将私有地址转换为公共地址。用户无需为计算实例访问Internet购买多余的弹性IP和带宽资源，多个计算实例共享使用弹性IP，有效降低成本。 高性能 NAT网关基于DPDK优化转发面性能，绕过协议栈直接从网卡驱动获取数据报文，直接将数据报文发送给用户态应用程序，不触发后续中断流程，减少了中断和内存拷贝的消耗，从而提升数据报文处理速度。 高可用 NAT网关主备集群模式，单网元故障集群内状态同步，秒级故障收敛，具备高可用性。 可视化运维 可用区资源池可对出入网流量进行可视化监控，及时发现网络瓶颈，保障业务永续服务，让运维更简单。

本节主要介绍PUT Bucket Policy。 在PUT操作的url中加上Policy，可以进行添加或修改Policy的操作。如果Bucket已经存在了Policy，此操作会替换原有Policy。只有根用户和拥有PUT Bucket Policy权限的用户才能执行此操作，否则会返回403 AccessDenied错误。 注意 如果Bucket的属性为私有或者公共读，使用该接口配置允许任何用户可以向该Bucket写文件的策略时，请联系天翼云客服评估审核后开通。 请求语法 PUT /?policy HTTP/1.1 Host: BucketName.ooscn.ctyunapi.cn Date: date Authorization: SignatureValue Policy written in JSON 请求的内容是一个包含Policy语句的JSON串，详见Bucket Policy安全策略。 请求参数 名称 描述 是否必须 BucketName 存储桶名称。 是 请求示例 PUT /?policy HTTP/1.1 Host: examplebucket.ooscn.ctyunapi.cn Date: Sun, 28 Apr 2024 02:02:21 GMT ContentMD5: +nl0RJvKLaXlRhwFXiBLVw ContentType: application/octetstream XAmzContentSha256: c71bbdea6d26f41a56ce0312bfeadffa06718956c925dbc82af5df7bbad6a58f Authorization: SignatureValue Connection: keepalive ContentLength: 465 { "Version":"20121017", "Id":"", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "CTYUN": "arn:ctyun:iam::32fefj64y54gc:user/test1" }, "Action":"oos:", "Resource":"arn:ctyun:oos:::examplebucket/", "Condition":{ "StringLike":{ "ctyun:Referer":[ " " ] } } } ] }

本节介绍弱口令管理功能，包括处置风险、查看弱口令详情等。 为租户提供弱口令查询及处置功能。 条件查询 查询条件支持应用名称、服务器、“口令类型”(支持模糊匹配)、“IP/IP段”(支持模糊匹配)、“用户名”(支持模糊匹配)、处置状态。 处置弱口令 提供处置能力，可直接或批量修改弱口令处置状态。状态枚举值：修复中、已修复、忽略、已加固等（此处修改弱口令状态仅用于云安全中心展示使用）。 修改处置状态可填写状态变更原因。 查看弱口令详情 在弱口令详情中，可以查看所有历史状态变更记录的信息，包括：处置人、处置状态、处置说明和处置时间等。 查看弱口令关联资产 每条弱密码能够关联资产信息，可快速查看关联的资产详情。

短信服务支持基于Restful的POST方式发送HTTP/HTTPS请求。请求参数需要包含在Body中，请求及返回结果都使用 UTF8 编码。 短信发送流程 1. 在控制台中添加签名、模板并经审核通过。 2. 调用短信服务的短信发送接口。 3. 短信服务成功收到请求后转发请求给运营商，运营商发送短信。 4. 用户收到短信后，短信服务会有最终的状态消息确认，即消息回执。 对应的协议是： 1. 支持HTTP或HTTPS协议请求通信。为了获得更高的安全性，推荐您使用HTTPS协议发送请求。 2. 发送API采用Rest协议，其中签名算法使用了天翼云的EOP协议。 3. 发送后的消息回执采用Restful的方式异步通知给客户。 服务地址 调用API的服务地址为 请注意，本系统所接口响应类的时间格式均为RFC3339标准，请按照标准进行解析。

天翼云安全漏洞扫描服务分为：受理审核和实施两个阶段。本小节介绍漏洞扫描开通指引。 第一步：受理审核阶段 客户填写业务受理单并签署漏洞扫描授权书，交由客服确认，确认后转交漏洞扫描团队，漏洞扫描团队对客服转交的业务受理单信息再次与客户确认，约2个工作日。如业务受理单出现问题，将返回客服，直到业务受理单无问题，才可进入实施阶段。 第二步：实施阶段 1. 漏洞扫描方案与客户进行确认，0.5工作日。 2. 漏洞扫描实施，根据主机数量不同，具体完成时间也不尽相同，但至多10个工作日内完成所有工作。 问题沟通：对实施过程中发生的问题与客户实时沟通。 3. 输出服务报告：漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4. 报告审核修订：由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5. 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6. 在客户收到漏洞扫描服务报告后，乙方参与漏洞扫描项目的专家为客户持续提供3天时间，用于咨询报告中的不明事项。

本文主要介绍如何快速创建弹性伸缩。 前提条件 1. 已经创建所需的 VPC、子网、安全组、弹性负载均衡器等。 2. 如果使用密钥方式鉴权，还需要准备好密钥对。鉴权方式是指弹性伸缩活动中添加的云主机的鉴权方式。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务”。 3. 单击“创建弹性伸缩组”。 4. 填写弹性伸缩组的基本信息，例如，名称、最大实例数、最小实例数、期望实例数。参数配置说明如下表所示。 5. 在“伸缩配置”页面，您可以选择使用已有的伸缩配置或者即时创建新的伸缩配置，更多信息请参见使用已有云主机创建伸缩配置和使用新模板创建伸缩配置。 6. （可选）为伸缩组添加伸缩策略。在“伸缩策略”页面，单击“添加伸缩策略”。配置伸缩活动触发的策略类型、执行动作、冷却时间等，根据界面提示进行参数配置，更多信息请参见动态扩展资源和按计划扩展资源。 7. 单击“立即创建”。 8. 创建伸缩组成功后，伸缩组状态变为“已启用”。 说明 如果伸缩活动是伸缩策略触发的，以伸缩策略的冷却时间为准。 如果是手工修改期望实例数量或者其他方式引起的伸缩活动，则以伸缩组的冷却时间为准。 表 伸缩组参数说明 参数 解释 取值样例 区域 区域也称为Region。创建的伸缩组所在的区域。 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 可用区 可用区也称为AZ（Availability Zone）。可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高应用的高可用性，建议您将云服务器创建在不同的可用区内。 如果您需要较低的网络时延，建议您将云服务器创建在相同的可用区内。 如果您选择多个可用区，为提高应用的高可用性，您的云主机会被均匀的创建在不同的可用区内。 名称 创建的伸缩组的名称。 伸缩组名称（1～64个字符）只能由中文、英文字母、数字、下划线、和中划线组成。 最大实例数 最大实例数是指伸缩组中云主机个数的最大值。 1台 期望实例数 期望实例数是指伸缩组中期望的云主机数量。 创建后可以手工修改该值，修改该值就会触发一次弹性伸缩活动。 0台 最小实例数 最小实例数是指伸缩组中云主机个数的最小值。 0台 虚拟私有云 弹性云主机使用的网络是虚拟私有云（VPC）提供的。 同一伸缩组内的弹性云主机均属于该VPC。 子网 您最多可以选择五个子网，伸缩组会自动为创建的实例绑定所有网卡。您选择的第一个子网默认作为云主机的主网卡，其它子网作为云主机的扩展网卡。 自动分配IPv6地址：当且仅当选择支持IPv6的AZ、且VPC子网开启了IPv6功能时，该参数可见。子网如何开启IPv6功能，请参见《虚拟私有云用户指南》。系统默认分配IPv4地址，勾选后，网卡的IP地址为IPv6类型。在同一VPC内，云主机通过IPv6地址在双栈ECS之间进行内网访问。如需访问外网，您需要开启“IPv6带宽”并选择共享带宽，此时云主机可以使用IPv6地址访问互联网。 实例移除策略 实例优先被移除的策略。当满足条件时，会触发实例移除活动，包括如下四种方式： 根据较早创建的配置较早创建的实例：根据“较早创建的配置”较早创建的“实例”优先被移除伸缩组。 根据较早创建的配置较晚创建的实例：根据“较早创建的配置”较晚创建的“实例”优先被移除伸缩组。 较早创建的实例：创建时间较早的实例优先被移除伸缩组。 较晚创建的实例：创建时间较晚的实例优先被移除伸缩组。 说明： 当可用区不均衡时，移出实例时会优先保证可用区均衡。 手动移入伸缩组的云主机不会遵循“实例移除策略”的要求，实例移除优先级最低，且移除时，系统不会删除该云主机。当有多个手工加入伸缩组的云主机时，移除规则是：先进先出。 弹性IP 若伸缩组的伸缩配置使用了弹性IP，在进行扩容活动时，会给创建出来的云主机绑定一个弹性IP。若选择“释放”，当进行缩容活动时，会将云主机上的弹性IP释放，否则仅做解绑定操作，保留弹性IP资源。 健康检查方式 健康检查会将异常的云主机从伸缩组中移除，并重新创建新的云主机，伸缩组的健康检查方式包括以下几种： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、删除都是云主机异常状态。默认为此选项，伸缩组会定期使用云主机健康检查结果来确定每个云主机的运行状况。如果未通过云主机健康检查，则伸缩组会将该云主机移出伸缩组。 负载均衡健康检查：是指根据ELB对云主机的健康检查结果进行的检查。只有当伸缩组使用弹性负载均衡器时，您才可以选择“负载均衡健康检查”，所有监听器下检测到的云主机状态必须均为正常，否则伸缩组会将该云主机移出伸缩组。 健康检查间隔 伸缩组执行健康检查的周期。您可以根据实际情况设置合理的健康检查间隔。 5分钟 通知方式 可选参数。如果勾选此项，伸缩组进行伸缩活动后，系统将以邮件形式通知用户本次弹性伸缩伸缩活动的结果。通知邮箱为用户注册时填写的邮箱信息。

本文指导您通过企业路由器将流量引至云防火墙，并验证网络的连通性。 前提条件 流量互通，确定流量未经过防火墙时正常通信。流量验证请参见《企业路由器用户指南> 验证网络互通情况》。 通过配置企业路由器将流量引至云防火墙 1. 创建VPC边界防火墙，具体操作请参见“创建VPC边界防火墙”。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理> VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。 5. 添加VPC连接。 单击“防火墙状态”侧的“编辑防护VPC”，进入企业路由器页面，在企业路由器中添加连接，支持添加的连接类型请参见《企业路由器用户指南》中“连接概述”章节。 下文以防护两个VPC为例（至少需要添加两条VPC连接，用于连接两个VPC和ER之间）。操作步骤请参见《企业路由器用户指南 > 企业路由器中添加VPC连接》。 说明 防火墙创建后自动生成一条防火墙连接（名称：cfwerautoattach，连接类型：云防火墙（CFW）），防护VPC的连接需手动添加；每增加一个防护的VPC，都需要增加一条连接。 例如：对VPC1连接命名为vpc1；对VPC2连接命名为vpc2，需防护VPC3时，增加连接命名为vpc3。 如需防护其它账号（如账号B）下的VPC，请将当前账号A的企业路由器共享至账号B，共享步骤请参见《企业路由器用户指南 > 创建共享》，共享成功后在账号B中添加连接，后续配置仍在账号A中进行。 6. 创建两个路由表，作为关联路由表 和传播路由表分别用于连接需防护的VPC和连接防火墙。 单击“路由表”页签，进入路由表设置页面，单击“创建路由表”，参数详情见下表。 参数名称 参数说明 名称 输入路由表的名称。 命名规则如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 描述 您可以根据需要在文本框中输入对该路由表的描述信息。 标签 您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 7. 配置关联路由表。 1. 设置关联功能：在路由表设置页面，选择关联路由表，单击“关联”页签，单击“创建关联”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在连接下拉列表中，选择需防护的VPC连接。 说明 关联至少需要添加两条，每增加一个防护的VPC，都需增加一条关联。 例如：选择VPC1的连接vpc1以及VPC2的连接vpc2，需防护VPC3时，增加一条关联，选择连接vpc3。 2. 设置路由功能：单击“路由”页签，单击“创建路由”，根据实际数量创建路由功能，参数详情见下表。 参数名称 参数说明 目的地址 设置目的地址。 0.0.0.0/0：VPC的所有流量都会经过云防火墙防护 网段：该网段的流量会经过云防火墙防护 黑洞路由 建议您保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 选择连接类型“虚拟私有云（VPC）”。 下一跳 在下拉列表中，选择自动生成的防火墙连接（cfwerautoattach）。 描述 （可选）路由的描述信息。 8. 配置传播路由表。 1. 设置关联功能：在路由表设置页面，选择传播路由表，单击“关联”页签，单击“创建关联”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在下拉列表中，选择自动生成的防火墙连接（cfwerautoattach）。 2. 设置传播功能：单击“传播”页签，单击“创建传播”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在传播下拉列表中，选择需防护的VPC连接。 说明 传播至少需要添加两条，每增加一个防护的VPC，都需增加一条传播。 例如：选择VPC1的连接vpc1以及VPC2的连接vpc2，需防护VPC3时，增加一条传播，选择连接vpc3。 创建传播后，会自动将连接的路由信息学习到ER路由表中，生成“传播路由”。同一个路由表中，不同传播路由的目的地址可能相同，连接配置不支持修改和删除。 您也可以手动在路由表中配置连接的静态路由，同一个路由表中，静态路由的目的地址不允许重复，连接配置支持修改和删除。 如果路由表中存在多条路由目的地址相同，则优先级：静态路由> 传播路由。 9. 修改VPC的路由表。 1. 在左侧导航栏中，选择“网络> 虚拟私有云 > 路由表”，进入“路由表”页面。 2. 在“名称/ID”列，单击对应VPC的路由表名称，进入路由表“基本信息”页面。 3. 单击“添加路由”，参数详情见下表。 参数 说明 目的地址类型 选择“IP地址”。 目的地址 流量到达的网段。 例如两个VPC间防护时，VPC1中添加的路由“目的地址”填写VPC2的网段。 说明 不能与已有路由和VPC下子网网段冲突。 下一跳类型 在下拉列表中，选择类型“企业路由器”。 下一跳 选择下一跳资源。 下拉列表中将展示您创建的企业路由器名称。 描述 （可选）路由的描述信息。 说明 描述信息内容不能超过255个字符，且不能包含“ ”。 说明 至少需要为两个VPC添加路由，每增加一个防护的VPC，都需为该VPC增加一条路由。

使用场景 业务正常请求被WAF拦截。例如，您在ECS服务器上部署了一个Web应用，将该Web应用对应的公网域名接入WAF并开启Web基础防护后，该域名的请求流量命中了Web基础防护规则被WAF误拦截，导致通过域名访问网站显示异常，但直接通过IP访问网站正常。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定义时间范围内的防护日志。 6. 在“防护事件列表”中，根据实际情况对防护事件进行处理。 确认事件为误报，在目标防护事件所在行的“操作”列，单击“事件处理 > 误报处理”，添加误报处理策略。 添加误报屏蔽策略，参数说明如表所示： 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：选择策略绑定的防护域名或手动输入泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则ID。 所有内置规则：配置Web基础防护规则里开启的所有防护规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”可以为空。 说明 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部 将源IP添加到地址组。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加到地址组”，添加成功后将根据该地址组所应用的防护策略进行拦截或放行。“添加方式”可选择已有地址组或者新建地址组。 将源IP添加至对应防护域名下的黑白名单策略。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加至黑白名单”，添加成功后该策略将始终对添加的攻击源IP进行拦截或放行。 参数说明见下表： 参数 参数说明 添加方式 选择已有规则 新建规则 规则名称 添加方式选择“选择已有规则”时，在下拉框中选择规则名称。 添加方式选择“新建规则”时，自定义黑白名单规则的名字。 IP/IP段或地址组 添加方式选择“新建规则”时，需要配置此参数。 支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。 地址组名称 “IP/IP段或地址组”选择“地址组”时，需要配置此参数。 在下拉列表框中选择已添加的地址组。 防护动作 拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。 放行：IP地址或IP地址段设置的是白名单，则选择“放行”。 仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。 攻击惩罚 当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。 规则描述 可选参数，设置该规则的备注信息。

弹性伸缩服务提供以下相关API接口。 类型 描述 伸缩服务开通验证 验证用户是否已开通弹性伸缩服务 伸缩资源配额查询 查询用户的弹性伸缩组、伸缩配置、伸缩策略配额 查询伸缩组 查询伸缩组列表 创建伸缩组 创建一个弹性伸缩组 删除伸缩组 删除一个弹性伸缩组 修改伸缩组 修改一个弹性伸缩组 停用伸缩组 停用一个弹性伸缩组 启用伸缩组 启用一个弹性伸缩组 修改伸缩组最大云主机数 修改伸缩组最大云主机数 修改伸缩组最小云主机数 修改伸缩组最小云主机数 查询负载均衡器 查询伸缩组的负载均衡列表 添加负载均衡器 添加一个或多个负载均衡 删除负载均衡器 删除一个或多个负载均衡实器 修改伸缩组云主机回收方式 修改弹性伸缩组的云主机回收方式 修改伸缩组健康检查方式 修改弹性伸缩组的健康检查方式 修改伸缩组健康检查间隔 修改一个弹性伸缩组的健康检查间隔 检查伸缩组云防火墙 用于检查该账户下，哪些安全组被伸缩配置所使用 检查伸缩组是否可以修改 检查弹性伸缩组是否可以修改 修改弹性伸缩组的一个伸缩配置 修改弹性伸缩组的伸缩配置 修改弹性伸缩组的伸缩配置列表 修改弹性伸缩组的伸缩配置列表 开启伸缩组保护 开启伸缩组保护，不可删除该伸缩组 关闭伸缩组保护 关闭伸缩组保护，可以删除该伸缩组 移入云主机 将一台或多台云主机移入伸缩组 移出云主机 将一台或多台云主机移出伸缩组 移出云主机并释放 将一台或多台云主机移出伸缩组并释放 设置云主机保护 开始保护或者停止保护伸缩组内的一台或者多台云主机 关闭云主机保护 关闭云主机保护 开启云主机保护 开启云主机保护 设置云主机移出规则 设置云主机移出规则 获取伸缩组主机数量监控数据 获取弹性伸缩云主机数量监控数据 查询伸缩组不健康主机 查询伸缩组内不健康云主机信息 查询伸缩组云主机信息 查询伸缩组内云主机的列表，并列出云主机的信息 查询伸缩组云主机可用区分布 查询伸缩组内的云主机的可用区分布 创建伸缩策略 创建一个弹性伸缩策略 删除伸缩策略 删除一条伸缩策略 修改伸缩策略 修改一条伸缩策略 执行伸缩策略 执行一条伸缩策略 创建告警策略 创建一个告警策略 删除告警策略 删除一个告警策略 修改告警策略 修改弹性伸缩告警策略 启用告警策略 启用一个告警策略 停用告警策略 停用一个告警策略 创建周期策略 在伸缩组中创建一个周期策略 创建定时策略 在伸缩组中创建一个定时策略 删除定时策略 删除一个定时策略 修改定时策略 修改一个定时策略 启用伸缩组中指定策略 启用伸缩组中的指定策略 停用伸缩组中指定策略 停用伸缩组中的指定策略 查询伸缩组策略表 查询弹性伸缩组内的策略列表 查询定时策略信息表 查询定时策略信息列表 查询周期策略信息表 查询周期策略信息列表 查询伸缩组告警策略 查询弹性伸缩的告警策略 修改一个周期策略 修改一个周期策略 启用一个周期策略 启用一个周期策略 删除一个周期策略 删除一个周期策略 停用一个周期策略 停用一个周期策略 查询伸缩配置 查询弹性伸缩配置 创建伸缩配置 创建一个弹性伸缩配置 删除伸缩配置 删除一个弹性伸缩配置 修改伸缩配置 修改一个弹性伸缩配置 查询伸缩活动ID 查询伸缩活动ID列表 查询伸缩活动详细信息 根据一个伸缩活动的ID查询一个伸缩活动的详细信息 查询伸缩活动列表 查询伸缩组的伸缩活动，并列出伸缩活动的全部信息

内存不足问题 问题描述 操作系统内存不足，导致数据库运行异常。 可能影响 可能会导致执行的SQL因申请不到内存报错； 可能会导致新建连接无法建立； 可能会导致操作系统主动KILL掉数据库进程，导致数据库异常重启。 解决步骤 1. 执行shell命令 free h，查看内存整体使用情况 > free命令输出结果示例： total used free shared buff/cache available Mem: 14G 2.3G 195M 5.7G 12G 6.6G Swap: 0B 0B 0B Linux操作系统的内存主要看内存大小，剩余内存是否足够。在Linux中经常发现空闲内存很少，似乎所有的内存都被系统占用了，表面感觉是内存不够用了：Linux系统默认的设置倾向于把内存尽可能的用于文件cache，所以在一台大内存机器上，往往我们可能发现没有多少剩余内存。 对于操作系统，free命令显示出的空闲内存，应该更多关注/+ buffers/cache: 这表明了你的系统可能还剩余的空闲内存。对于应用程序来说，buffers/cached占有的内存是可用的，因为buffers/cached是为了提高文件读取的性能，当应用程序需要用到内存的时候，buffers/cached会很快地被回收，以供应用程序使用。 同时，我们应关注是否用到了swap，当前服务器内存配置足够，通常在数据库服务器上需要关闭swap使用，避免因使用到swap导致性能下降。 2. 通过top o %MEM查看内存使用情况，及内存使用排名TOP的进程 top命令输出结果示例： 这里是按%MEM内存使用TOP排名的结果，可以查看对应的命令和进程ID，进一步分析原因，并进行针对性优化。 3. 或者，通过ps auxsort rnk 4head 5 查看内存使用排名TOP5的进程 ps aux命令输出结果示例： 4. TeleDB数据库常见内存不足问题及解决办法： 1）非数据库进程占用较大内存，如已知的在多个项目中遇到麒麟V10系统auditd服务占用大量内存问题，导致数据库实例运行异常 解决办法： a、麒麟V10系统已有补丁，可联系麒麟厂商升级补丁解决； b、在更新操作系统补丁前，需要关闭操作系统的auditd服务，并设置为服务不自动启动。如有安全要求，不能关闭audited服务，则必须有方案来定期重启auditd服务。 a）关闭audited服务方法： 用root用户执行以下命令来关闭auditd服务： systemctl stop auditd systemctl disable auditd b）或者root用户下配置定时任务来自动重启auditd服务，例如，每天凌晨1点重启： crontab e 0 1 systemctl restart auditd > /dev/null 2>&1 & 需要确保root用户可重启auditd服务，验证定时任务已生效。 如重启服务有如下提示： Failed to restart auditd.service: Operation refused, unit auditd.service may be requested by dependency only (it is configured to refuse manual start/stop). See system logs and 'systemctl status auditd.service' for details. 可通过注释/usr/lib/systemd/system/auditd.service文件中RefuseManualStopyes，然后执行 systemctl daemonreload 重新加载生效。 2）分区表过多，分区的catalog cache占用大量内存，特别需要注意并不是explain里面已经裁减了就代表relcache也裁剪了； 解决办法： a、控制分区表使用数量，表分区的目的主要拆分大表，降低维护成本，TeleDB分布式数据库，可通过多组DN节点，达到同样的目的，在部分情况下可以不使用分区表，或者减少分区数量； b、分区表的SQL语句应该尽量使用分布键+分区键条件，尽量缩减访问范围，避免因未使用分布式键、未使用分区键导致的SQL重分布问题、读取全部分区的问题； 3）业务使用了大量长连接, 并且没有设置连接的生命周期, 或者生命周期很长. 连接时间越长, 访问的元数据积累越多, 导致每个会话的私有内存较大。 解决办法： a、降低应用到数据库的总连接数, 并且设置连接的生命周期(例如, 一个连接最多使用15分钟后自动释放)； b、业务侧做好连接管理，通过连接池限制连接数上限； c、数据库层面做好连接管理，定期清理空闲连接、长时间未执行结束的SQL； 4）设置了较大的workmem或hashmemmultiplier, 并且有大量SQL使用了hash agg或hash join, 导致内存消耗过多； 解决办法：调小workmem或hashmemmultiplier. 业务层减少此类请求的并发量。此类SQL使用PG HINT把hash agghash join改成group agg或merge join等。 5）数据库有性能问题, 高峰期引起了雪崩, 并且应用程序配置的连接池上限较大, 导致向数据库请求了大量连接, 最终耗费大量内存引起OOM； 解决办法： a、降低应用到数据库的总连接数, 并且设置连接的生命周期(例如一个连接最多使用15分钟后自动释放)； b、设置数据库或USER的connection limit, 限制用户或数据库级别的连接数上限； c、收集SQL并分析优化。 6）业务量未预期突增，服务器内存规划不足 解决办法：调整部署策略，如： a、更换配置更高的服务器，提供更多的内存； b、提供更多的服务器，将CN、DN节点扩容或调整到更多服务器上，降低单台服务器负载； c、可能原规划单能服务器上有主、备节点混部情况，在发生切换时，有服务器上存在多个主节点，主节点有业务流入，需要更多的内存，导致高峰期内存不足；建议重新规划部署，充分考虑此类情况下的服务器资源使用情况； 7）开启资源隔离，实例节点分配内存资源预估不足，导致OOM 解决办法：优先尝试优化；在资源需求充分评估后，扩容实例资源； 8）操作系统内存相关参数配置不合理，导致操作系统内存无法充分利用 解决办法：原因可能是vm.overcommitmemory配置为2，同时overcommitratio配置较小，导致操作系统有足够的内存，但无法使用； 例如： sysctl a grep i vm.overcommitmemory 看到为2，也就是关闭了overcommmit overcommitratio 配置为50%，这样只能用系统一半的内存 通常推荐不要关闭overcommit，vm.overcommitmemory应配置为0。

CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。当您配置完CC攻击防护规则并开启CC攻击防护后，WAF才能根据您配置的CC攻击防护规则进行CC攻击防护。 CC攻击防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用CC攻击防护规则的引用表。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“CC攻击防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤7 在“CC防护”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，根据表配置CC防护规则。 CC防护规则参数说明 参数 参数说明 取值样例 规则描述 可选参数，设置该规则的备注信息。 限速模式 “IP限速”：根据IP区分单个Web访问者。 “用户限速”：根据Cookie键值或者Header区分单个Web访问者。 “其他”：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。 说明 选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 例如：若用户不希望访问者从“www.test.com”访问网站，则“Referer”对应的“内容”设置为“ 用户标识 “限速模式”选择“用户限速”时，需要配置此参数： 选择Cookie时，设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。 例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以用name字段来区分Web访问者。 选择Header时，设置需要防护的自定义HTTP首部，即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。 name 限速条件 单击“添加”增加新的条件，至少配置一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 字段 子字段：当“字段”选择IPv4、IPv6、Cookie、Header、Params时，请根据实际需求配置子字段。子字段的长度不能超过2048字节。 内容：输入或者选择条件匹配的内容。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 “路径”包含“/admin/” 限速频率 单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。 10次/60秒 防护动作 当访问的请求频率超过“限速频率”时，可设置以下防护动作： 人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。 阻断：表示超过“限速频率”将直接阻断。 动态阻断：上一个限速周期内，请求频率超过“限速频率”将被阻断，那么在下一个限速周期内，请求频率超过“放行频率”将被阻断。 仅记录：表示超过“限速频率”将只记录不阻断。可下载防护事件数据数据查看域名的防护日志。 阻断 放行频率 当“防护动作”选择“动态阻断”时，可配置放行频率。 如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。 “放行频率”小于等于“限速频率”。 说明 当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。 8次/60秒 阻断时长 当“防护动作”选择“阻断”时，可设置阻断后恢复正常访问页面的时间。 600秒 阻断页面 当“防护动作”选择“阻断”时，需要设置该参数，即当访问超过限速频率时，返回的错误页面。 当选择“默认设置”时，返回的错误页面为系统默认的阻断页面。 当选择“自定义”，返回错误信息由用户自定义。 自定义 页面类型 当“阻断页面”选择“自定义”时，可选择阻断页面的类型“application/json”、“text/html”或者“text/xml”。 text/html 页面内容 当“阻断页面”选择“自定义”时，可设置自定义返回的内容。 不同页面类型对应的页面内容样式： text/html：Forbidden application/json：{"msg": "Forbidden"} text/xml： Forbidden 步骤9 单击“确认”，添加的CC攻击防护规则展示在CC规则列表中。 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。 若需要修改添加的CC攻击防护规则时，可单击待修改的CC攻击防护规则所在行的“修改”，修改CC攻击防护规则。 若需要删除用户自行添加的CC攻击防护规则时，可单击待删除的CC攻击防护规则所在行的“删除”，删除CC攻击防护规则。

操作场景 用户在不删除现有节点的情况下，将工作负载迁移到新的节点上。迁移流程如下图所示。 约束与限制 现有节点和工作负载待迁移的节点必须在同一集群。 当前仅支持在Kubernetes v1.13.10及以后集群版本执行此操作。 默认节点池DefaultPool不支持修改配置。 原有节点在默认节点池 步骤 1 创建新的节点。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 2. 在集群选择框中，选择现有节点所属的集群。 3. 单击“创建节点池”，设置节点池如下参数，其他参数根据需要进行修改，参数说明请参见节点池管理>创建节点池。 a. 节点池名称：新建节点池的名称，例如nodepooldemo。 b. 节点购买数量：本例添加一个节点。 c. 节点规格：请根据业务需求选择相应的节点规格。 d. 操作系统：选择节点对应的操作系统。 e. 登录方式：支持密码和密钥对。 选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 选择“密钥对”：在选项框中选择用于登录本节点的密钥对，并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 4. 单击“下一步：配置确认”。确认节点池配置后，单击“提交”。 单击“返回节点池管理”返回节点池列表。在节点列表中可查看到新建节点池已创建，且状态为“正常”。 步骤 2 单击节点池名称，在节点列表中可查看到新建节点的IP地址。 步骤 3 安装配置kubectl。 1. 在左侧导航栏中选择“资源管理 > 集群管理”，单击现有节点所在集群下的“命令行工具 > kubectl”。 2. 在集群详情页中的“kubectl”页签下，请参照界面中的提示信息完成集群连接。 步骤 4 迁移工作负载。 1. 给需要迁移工作负载的节点打上Taint（污点）。 kubectl taint node [node] keyvalue:[effect] 其中，[node]为待迁移工作负载所在节点的IP；[effect]取值为NoSchedule、PreferNoSchedule或NoExecute，此处必须设置为NoSchedule。 − NoSchedule：一定不能被调度。 − PreferNoSchedule：尽量不要调度。 − NoExecute：不仅不会调度，还会驱逐Node上已有的Pod。 说明： 若需要重新设置污点时，可执行kubectl taint node [node] key:[effect]命令去除污点。 2. 安全驱逐节点上的工作负载。 kubectl drain [node] 其中，[node]为待转移工作负载所在节点的IP。 3. 在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。在工作负载列表中，待迁移工作负载的状态由“运行中”变为“未就绪”。工作负载状态再次变为“运行中”，表示迁移成功。 说明： 迁移工作负载时，若工作负载配置了节点亲和性，则工作负载会一直提示“未就绪”等异常情况。请单击工作负载名称进入到负载详情页，在选择“调度策略”页签，删除原节点的亲和性配置，并单击“简易调度策略”配置新的节点亲和性和反亲和性策略，详情请参见“亲和反亲和调度>简易调度策略”。 工作负载迁移成功后，在工作负载详情页的“实例列表”页签，可查看到工作负载状已迁移到步骤1中所创建的节点上。 步骤 5 删除原有节点。 工作负载迁移成功且运行正常后，即可在“资源管理 > 节点管理”中删除原有节点。 原有节点不在默认节点池 步骤 1 拷贝节点池并添加节点。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 2. 在集群选择框中，选择现有节点所属的集群。 在节点池列表中，查找到原有节点所在的节点池。 3. 单击该节点池名称后的“更多 > 拷贝”，在“创建节点池”页面下设置如下参数，其他参数根据需要进行修改，参数说明请参见“节点管理>创建节点池”。 − 节点池名称：新建节点池的名称，例如nodepooldemo。 − 节点购买数量：本例添加一个节点。 − 节点规格：请根据业务需求选择相应的节点规格。 − 操作系统：选择节点对应的操作系统。 − 登录方式：支持密码和密钥对。 选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 选择“密钥对”：在选项框中选择用于登录本节点的密钥对，并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 4. 单击“下一步：配置确认”。确认节点池配置后，单击“提交”。 单击“返回节点池管理”返回节点池列表。在节点列表中可查看到新建节点池已创建，且状态为“正常”。 步骤 2 单击节点池名称，在节点列表中可查看到新建节点的IP地址。 步骤 3 迁移工作负载。 1. 单击节点池nodepooldemo后的“编辑”配置Taints参数。 2. 单击“Add Taint”，输入Key和Value值，Effect选项有NoSchedule、PreferNoSchedule或NoExecute，此处必须选择“NoExecute”。 − NoSchedule：一定不能被调度。 − PreferNoSchedule：尽量不要调度。 − NoExecute：不仅不会调度，还会驱逐Node上已有的Pod。 说明： 若需要重新设置污点时，可执行kubectl taint node [node] key:[effect]命令去除污点。 3. 单击“保存”。 4. 在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。在工作负载列表中，待迁移工作负载的状态由“运行中”变为“未就绪”。工作负载状态再次变为“运行中”，表示迁移成功。 说明： 迁移工作负载时，若工作负载配置了节点亲和性，则工作负载会一直提示“未就绪”等异常情况。请单击工作负载名称进入到负载详情页，在选择“调度策略”页签，删除原节点的亲和性配置，并单击“简易调度策略”配置新的节点亲和性和反亲和性策略，详情请参见“亲和反亲和调度>简易调度策略”。 工作负载迁移成功后，在工作负载详情页的“Pods”页签，可查看到工作负载状已迁移到步骤1中所创建的节点上。 步骤 4 删除原有节点。 工作负载迁移成功且运行正常后，即可在“资源管理 > 节点池管理”中删除原有节点。

本节主要介绍步骤一（2）：创建出云迁移任务 数据库复制服务提供出云的功能，可以将本云上的数据库迁移至用户端数据库，方便进行数据回流处理。 本章节将以RDS for MySQL到ECS自建MySQL的迁移为示例，介绍在同一VPC网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 VPC网络适合本云内数据库之间的迁移。在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足出云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息。 图 迁移任务信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择出云。 出云指源端数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 目前支持公网网络、VPC网络和VPN、专线网络类型，您可以根据具体的业务场景进行设置，此处场景以VPC网络为示例。 VPC网络：适合云上数据库之间的迁移。 VPN、专线网络：适合通过VPN、专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 公网网络：适合将其他云下或其他平台的数据库迁移到目标数据库。 源数据库实例 用户需要迁移的数据库实例。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 源数据库对应的数据库用户名。 数据库密码 源数据库对应的数据库密码。任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 源数据库的用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限。 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 说明： 目标数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 4、在“迁移设置”页面，设置迁移用户和迁移对象等信息，单击“下一步”。 图 迁移模式 表 迁移模式 参数 描述 快照模式 如果您选择的是全量迁移模式的任务，数据库复制服务支持设置快照模式。 非快照式 适用于停止业务数据写入的导出，如果全量迁移中仍然有业务数据的修改，则导出数据为时间点非水平一致。稳定性和性能要优于快照式全量迁移。 快照式 可以在业务运行时产生一份时间水平一致的快照数据，具有业务数据分析价值，过程中的数据变化不会体现在导出数据中。 说明 快照读会使用MySQL备份锁进行全局锁表，在开启一致性读后自动解锁（加锁时间在3s以内），备份锁会对此期间的DML或者DDL操作造成阻塞，建议用户选择源库空闲的时间段使用快照备份功能。 目前仅MySQL全量模式的迁移任务支持快照模式设置。 是否过滤DROP DATABASE 增量迁移过程中，源数据库端执行的DDL操作在一定程度上会影响数据的迁移能力，为了降低迁移数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示数据迁移过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示数据迁移过程中将相关操作同步到目标库。 说明 目前仅支持RDS for MySQL实例>MySQL数据库数据库的全量+增量的迁移场景。 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 迁移 当您选择迁移用户时，请参见《数据库复制服务用户指南》中“迁移用户”章节进行数据库用户、权限及密码的处理。 不迁移 迁移过程中，将不进行用户、权限和密码的迁移。 迁移对象 您可以根据业务需求，选择全部对象迁移、表级迁移或者库级迁移。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 表级迁移：将选择的表级对象迁移至目标数据库。 库级迁移：将选择的库级对象迁移至目标数据库。 如果有切换源数据库的操作或源库迁移对象变化的情况，请务必在选择迁移对象前单击右上角的按钮，以确保待选择的对象为最新源数据库对象。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 选择对象的时候，对象名称的前后空格不显示，中间如有多个空格只显示一个空格。 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 5、在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在待确认项，需要阅读并确认详情后才可以继续执行下一步操作 6、在“任务确认”页面，选择迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 说明 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，强烈建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 7、迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

NAT网关产品广泛应用云上VPC公网统一出口和面向Internet提供公网服务场景,本文带您更快了解NAT网关经典应用场景。 公网NAT网关 应用场景一：云上网络入口，面向Internet提供服务 场景说明 当VPC内的云主机需要面向公网提供服务时，可以使用NAT网关的DNAT功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络安全。 推荐配置 DNAT功能绑定弹性IP，可通过端口映射方式，NAT网关会将会把访问该弹性IP的请求转换成指定的IP和端口转发到目标云主机实例上。 一个云主机配置一条DNAT规则，如果有多个云主机需要为公网提供服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。实现多个云主机共享弹性IP和带宽，精确的控制带宽资源，节省公网带宽资源。 组网架构 使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机、物理机的任何一个。例如： 弹性IP1的80端口，映射到云主机ECS 1的10080端口。 弹性IP1的8080端口，映射到云主机ECS 2的20080端口。 弹性IP2的443端口，映射到云主机ECS 3的30443端口。

配置项 说明 名称 PV的名称。 持久卷类型 前支持云盘、弹性文件、对象存储、并行文件、海量文件和本地存储，这里选择本地存储。 具体创建页中展示的存储类型由当前资源池支持情况决定。 容量 根据业务需求自定义容量。 访问模式 ReadWriteOnce：卷可以被一个节点以读写方式挂载。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 参数 类型：包括NFS、Local，这里选择Local； 方式：包括指定节点、指定节点标签，可以根据业务需求选择； LocalPV的目录：要求指定节点或者指定标签节点中目录存在，否则会出现挂载失败。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 以将 local 卷作为原始块设备暴露出来。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。

内网和外网负载均衡器 内网负载均衡 依据不同网络类型，天翼云还支持内网负载均衡器和外网负载均衡器。内网负载均衡通过内网IP地址对内部主机进行负载均衡，实现内部服务的高可用性和性能优化，同时确保内网环境的安全性。 外网负载均衡 外网负载均衡可以将来自公网的流量均衡地分发到多个后端主机组，实现高可用性和性能的提升。 性能保障型/经典型与外网/内网的对应关系 性能保障型负载均衡器和经典型负载均衡器都可以用于内网和外网负载均衡。经典型负载均衡器适用于场景需求较为简单的应用，可以提供基本的负载均衡功能。性能保障型负载均衡器则专注于对性能要求更高的应用场景，提供更强大的性能和扩展能力。通过使用性能保障型负载均衡，您可以获得更高的负载性能、低延迟和更好的吞吐量。 无论是内网还是外网负载均衡，您都可以根据实际需求选择适合的负载均衡器类型。 无论是经典型还是性能保障型负载均衡器，您都可以根据实际需求选择将其用于内网或外网负载均衡。具体配置和使用方式请参考天翼云的帮助文档。

产品优势 弹性扩展：作为本地与云端存储之间的桥梁，利用天翼云对象存储（经典版）I型的PB级弹性存储能力，实现大规模横向扩展和混合云存储。 安全可靠：支持多副本和纠删码数据冗余保护机制，确保数据不丢，保证数据一致性，可以承载企业核心业务。 即装即用：高度优化的压缩安装包，只需3个命令即可安装在Linux操作系统上，从安装包解压到集群初始化不超过3分钟。 建议搭配产品 弹性云主机 天翼云对象存储（经典版）I型 场景架构图 无缝接入 利旧原有业务系统，可通过云存储网关使用行业标准 iSCSI 协议连接，无需重写本地应用程序，无需修改现有使用架构，即可将本地应用与云端存储无缝连接，享受低成本、易扩展，无上限的云端存储。此外，本地可以保留需要经常访问的热数据，实现低延迟访问。 产品优势 利用率高：兼容主流Linux操作系统，支持和其他应用混合部署，支持异构硬件部署，显著提高了资源利用率，降低使用成本。 读写延迟低：采用分布式双控架构，提升性能，延迟极低。同时优化了数据重建流程，避免性能瓶颈，快速响应企业的核心应用。 建议搭配产品 天翼云对象存储（经典版）I型

本章节介绍云硬盘备份的场景说明,包含一次性备份和周期性备份。 云硬盘备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云硬盘的方式创建的周期性备份任务。 云硬盘备份的两种配置方式对比如下表，可根据实际情况选择适合的配置方式。 对比项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云硬盘数目 1个 无限制由服务器性能决定 备份名称 支持自定义 系统自动生成 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。 另外，用户也可以根据业务情况将两种方式混合使用。例如，根据云硬盘中存放数据的重要程度不同，可以将所有的云硬盘加入到一个备份策略中进行日常备份保护。其中个别保存有非常重要的数据的云硬盘，根据需要不定期的执行一次性备份，保证数据的安全性。

云主机备份产品广泛应用于多种场景,本文带您更快了解云主机备份的经典应用场景。 云主机备份是一种非常重要的数据保护和恢复措施，适用于政府、金融等对数据安全性要求较高的客户，可以在各种场景下快速恢复数据，防止因意外、事故、黑客攻击或病毒入侵等导致的数据丢失。 场景说明 受黑客攻击或病毒入侵场景：在面临黑客攻击或病毒入侵的情况下，通过备份，可以立即恢复到最近一次没有受到黑客攻击或病毒入侵的备份时间点。这将消除黑客或病毒对数据和系统造成的损害，让系统恢复到正常运行状态，同时避免进一步扩散和数据丢失。 数据误删场景：数据误删是一个常见但严重的问题，通过云主机备份，可以迅速找回被删除的数据。备份允许立即恢复到删除前的备份时间点，确保数据的完整性和可用性，从而避免因误操作而导致的数据丢失或业务中断。 云主机宕机场景：当云主机遭遇宕机时，业务可能会受到严重影响。通过备份，可以迅速恢复到宕机之前的备份时间点，使云主机能够再次正常启动。这将减少业务中断时间，恢复服务，并降低损失的可能性。

本章节列举了使用云硬盘备份过程中的通用类问题,以及相对应的解答。 什么是云硬盘备份？ 云硬盘备份（Volume Backup Service）提供对公有云环境中云硬盘的基于快照技术的数据保护服务，简称VBS。 VBS使您的数据更加安全可靠。例如，当您的云硬盘出现故障或云硬盘中的数据发生逻辑错误时（如误删数据、遭遇黑客攻击或病毒危害等），可快速恢复数据。 VBS支持全量备份和增量备份。第一次做备份时，系统默认做全量备份，非第一次的备份，系统默认做增量备份。无论是全量还是增量都可以方便的将云硬盘恢复至备份时刻的状态。 什么是备份策略？ 备份策略指的是对备份对象执行备份操作时，预先设置的策略，策略包括备份策略的名称、备份任务的调度计划和备份数据的保留策略。其中调度计划包括备份执行的频率，备份执行的时间点，备份数据的保留策略包括备份数据的保存时间或保存数量。通过将云硬盘绑定到备份策略，可以为云硬盘执行自动备份。 云硬盘备份支持对弹性云主机中所有云硬盘进行备份吗？ 支持。云硬盘备份可以备份系统盘和数据盘。可通过创建备份策略并绑定多个云硬盘，对多个云硬盘进行备份。

恢复操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 进入备份任务，选择相应的备份任务，在操作中单击恢复，选择相应的目标进行恢复。选中了目标实例，会根据备份库表所在节点的top结构自动匹配目标实例下对应的恢复top节点，如果分片和副本top没有匹配，将无法支持恢复任务。 3. 创建恢复任务后，会在源备份和目标恢复实例的恢复任务列表下都显示此次恢复任务。为了数据安全，数据恢复操作会先把数据恢复到目标集群临时库下，通过后台和人工check，由用户自主确定是否做临时库的数据切换。 4. 数据检查可通过恢复任务里的详情来check源目标节点相应表下的数据是否一致。 说明 因为对象存储中表备份数据还有一个额外文件，所以会比目标备份节点实际临时表数据多100多KB数据。 5. 人工核对恢复数据没有问题，可点击数据切换 按钮，会秒级把数据从临时表切换到正式表里。如果核对数据有问题，也可以点击取消按钮，暂停并删除此次目标集群的恢复任务。 注意 无论元数据还是数据恢复操作，都会把目标集群下相应恢复表的数据删除（如果有），请谨慎操作。

本节描述了GeminiDB Redis的优势。 GeminiDB Redis是一款基于计算存储分离架构，兼容Redis生态的云原生NoSQL数据库。GeminiDB Redis突破了开源Redis的内存限制，通过将数据进行冷热分离，在保证热数据驻留计算节点内存满足业务低时延要求的同时，将冷数据置换入分布式存储池进行持久化存储，最大程度的降低使用成本。 GeminiDB Redis具有高兼容、高性价比、高可靠、弹性伸缩、高可用、冷热分离等特点。 高兼容 用户应用无需修改代码，可直接使用，100%兼容原生Redis接口。 高性价比 GeminiDB Redis基于共享存储，在提供足够性能的前提下，大幅度降低海量数据使用Redis的成本。 GeminiDB Redis将数据全部存储在磁盘中，并实现了冷热分离，解决了缓存（Cache）与数据库（Database，DB）之间交互访问的问题，提高了程序可读性与程序运行效率。 高可靠 GeminiDB Redis基于共享存储池的多副本强一致机制，保证数据的安全可靠。 计算节点无状态，故障节点自动接管。 存储池支持跨AZ部署。 无损弹性伸缩 RocksDB深度定制，秒级分裂弹性扩容。 扩缩容无需搬迁数据，快速而平滑。 通过proxy代理，使上层业务可以不感知内核处理扩缩容过程中的数据迁移。 高可用 计算节点无状态，故障节点自动接管。 存储池支持跨AZ部署。

本文主要介绍 网络策略（NetworkPolicy）。 网络策略（NetworkPolicy） NetworkPolicy是Kubernetes设计用来限制Pod访问的对象，通过设置NetworkPolicy策略，可以允许Pod被哪些地址访问（即入规则Ingress）、或Pod访问哪些地址（即出规则Egress）。这相当于从应用的层面构建了一道防火墙，进一步保证了网络安全。 NetworkPolicy支持的能力取决于集群的网络插件的能力，如CCE的集群只支持设置Pod的入规则。 默认情况下，如果命名空间中不存在任何策略，则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的规则可以选择如下3种： namespaceSelector：根据命名空间的标签选择，具有该标签的命名空间都可以访问。 podSelector：根据Pod的标签选择，具有该标签的Pod都可以访问。 ipBlock：根据网络选择，网段内的IP地址都可以访问。（CCE当前不支持此种方式） 约束与限制 当前仅容器隧道网络模型的集群支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置出方向（egress）。 不支持对IPv6地址网络隔离。 使用Ingress规则 使用podSelector设置访问范围 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: testnetworkpolicy namespace: default spec: podSelector: 规则对具有roledb标签的Pod生效 matchLabels: role: db ingress: 表示入规则 from: podSelector: 只允许具有rolefrontend标签的Pod访问 matchLabels: role: frontend ports:

资源编排ROS和 Terraform 有什么关系？ 资源编排ROS基于 Terraform 引擎进行封装，用户可以通过控制台或 API 使用 Terraform 语法（HCL）来描述云上资源。服务负责资源创建、更新、销毁的生命周期管理，无需用户本地安装 Terraform。 资源编排如何收费 资源编排ROS本身不收取服务费。但是，通过本服务创建和管理的一切天翼云资源（如ECS、EIP、CCSE、Mysql等），都会按照各自产品的标准计费规则进行收费。 服务支持的 Terraform 版本是多少？ 当前支持的Terraform版本号是1.5.7 使用资源编排ROS需要哪些权限？ 用户需具备对应云资源的创建、查询、删除权限，以及对资源编排ROS本身的访问权限（例如：模板管理、资源栈管理）。 Terraform Provider 的 AK/SK 是如何管理的？ 对于AK/SK：控制台会自动使用您当前登录的账号权限，生成委托ak/sk, 以您的权限进行资源的开通，无需在模板中指定。 我的Terraform状态文件存储在哪里？ 状态文件由资源编排ROS后端统一托管。您无需关心其存储位置和备份问题。这种机制保证了状态文件的安全性和多用户协作时的一致性。 如何将天翼云上已经存在的资源纳入到资源栈中进行管理？ 当前版本暂时不支持，我们正在抓紧迭代中。

本小节介绍证书管理服务个人数据保护机制。 为了确保您的个人数据（例如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，CCMS通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 收集范围 CCMS收集及产生的个人数据如下表所示： 类型 收集方式 是否可以修改 是否必须 租户ID 在控制台进行任何操作时Token中的租户ID 在调用API接口时Token中的租户ID 否 是，租户ID是证书资源身份标识 姓名 在申请SSL证书时填写的联系人姓名 是 是，证书审核人工认证阶段必须 邮箱 在申请SSL证书或私有证书时填写的邮箱 申请SSL证书时填写的邮箱：是 申请私有证书时填写的邮箱：否 申请SSL证书时填写的邮箱：是，证书审核人工认证阶段必须 申请私有证书时填写的邮箱：否 手机号码 在申请SSL证书时填写的联系人手机号 是 是，证书审核人工认证阶段必须 企业营业执照 在申请SSL证书时，可以选择上传企业营业执照 是 否 银行开户许可 在申请SSL证书时，可以选择上传银行开户许可 是 否 企业项目ID 在申请或使用SSL证书、私有证书时，可以为证书分配企业项目 是 已开通企业项目：是 未开通企业项目：否

本节主要介绍管理访问秘钥。 访问密钥（AK/SK，Access Key ID/Secret Access Key）包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，是您在系统的长期身份凭证，您可以通过访问密钥对部分云服务API的请求进行签名。系统通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。 新增访问密钥 步骤 1 用户使用天翼云帐号或IAM子用户登录天翼云官网。 步骤 2 单击天翼云首页顶部右侧“控制中心”，资源池选择二类节点。 步骤 3 在控制中心首页顶部右侧，单击用户名，弹出下拉菜单，并在下拉列表中单击“我的凭证”。 步骤 4 在“我的凭证”页面，左侧功能栏单击“访问密钥”。 步骤 5 单击“新增访问密钥”，输入验证码。 说明 如果您绑定了邮箱或者手机，需要输入验证码，如果没有绑定邮箱或者手机，仅需要输入登录密码即可新增访问密钥。 步骤 6 单击“确定”，生成并下载访问密钥。 说明 最多可创建2个访问密钥，有效期为永久。为了账号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。