本文介绍了云防火墙（原生版）产品的互联网边界规则统计功能、以及规则优先级。 约束限制 互联网边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、入向规则数、出向规则数、已占用规格数/总规格。 其中，已占用规格数量入向规则数+出向规则数+黑名单规则数+白名单规则数。 规则类型 互联网边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 入向规则 出向规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 入向规则 > 出向规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

此小节介绍创建堡垒机用户。 背景介绍 在使用云堡垒机进行系统管理和运维前，管理人员需要在CBH系统中创建系统用户，为用户分配不同系统角色。 根据角色系统权限的不同，用户拥有不同的系统操作和访问权限，新创建的用户登录系统，即可访问角色权限内模块。 仅admin拥有管理系统角色的权限。 操作步骤 创建方式 说明 :: 新建单个用户 单个用户仅能逐一创建，适用于创建单个管理员用户。 Excel文件批量导入用户 按照Excel模板要求配置用户信息，再导入系统。批量添加用户，适用于批量创建运维用户。 同步AD域用户 同步AD域服务器的用户。同步成功后，使用AD域用户帐号和密码登录CBH系统，AD域服务器同时提供认证服务。 配置说明 参数 说明 :: 登录名 自定义登录系统的用户名。创建后不可修改，且系统内“登录名”唯一不能重复。 认证类型 选择登录系统的认证方式。 AD域：通过Windows AD域服务器对用户进行身份认证。 LDAP：通过LDAP协议，由第三方认证服务器对用户进行身份认证。 RADIUS：通过RADIUS协议，由第三方认证服务器对用户进行身份认证。 Azure AD：基于SAML配置，由Azure平台对登录用户进行身份认证。 密码/确认密码 用户登录系统的密码。 姓名 自定义用户姓名，便于区分不同的用户。 手机 用户系统预留手机号码。可通过手机短信验证登录身份或找回密码。 邮箱 用户系统预留邮箱地址。可通过邮箱收取系统消息通知。 角色 选择用户的角色，一个用户仅能选择一个角色。仅admin是可自定义角色或编辑默认角色的权限范围。 所属部门 选择用户所属部门组织。 用户描述 （可选）对用户情况的简要描述。

本文主要介绍通过自定义域名访问集群 操作场景 集群服务端证书中签入的 主题备用名称（Subject Alternative Name，缩写SAN） 。SAN通常在TLS握手阶段被用于客户端校验服务端的合法性：服务端证书是否被客户端信任的CA所签发，且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时，您可以将客户端可直接访问的IP地址或者DNS域名签入集群服务端证书，以支持客户端开启双向认证，提高安全性。典型场景例如DNAT访问、域名访问等特殊场景。 域名访问场景的典型使用方式如下： 客户端配置Host域名指定DNS域名地址，或者客户端主机配置/etc/hosts，添加域名映射。 云上内网使用，云解析服务DNS支持配置集群弹性IP与自定义域名的映射关系。后续更新弹性IP可以继续使用双向认证+自定义域名访问集群，无需重新下载kubeconfig.json配置文件。 自建DNS服务器，自行添加A记录。 约束与限制 仅支持1.19及以上版本集群。 添加自定义SAN 步骤 1 登录CCE控制台。 步骤 2 在集群列表中单击集群，进入集群详情页。 步骤 3 在连接信息的自定义SAN处单击，在弹出的窗口中添加IP地址或域名，然后单击“保存”。 说明 当前操作将会短暂重启kubeapiserver并更新kubeConfig.json文件，请避免在此期间操作集群。 请输入域名或ip，以英文逗号（,）分隔，最多128个。 自定义域名如需绑定弹性公网，请确保已配置公网地址。

接口功能介绍 此接口提供云搜索服务如何通过OpenAPI开通实例。 接口约束 1.选择多可用区后必须选择专属master节点 2.专属协调节点和冷数据节点，数量是选择的可用区整数倍 3.选择多可用区部署时需要选择资源池下所有的可用区（最多选择3个） 4.调用API请求参数时，参数需按请求体示例类型等要求传递 5.该接口暂不支持订购Logstash类型实例 URI POST /os/openapi/v1/order/new 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 availablezoneid 是 String 可用区ID，允许选择多个，选择多个时用逗号隔开 cnhuadong1jsnj1Apublicctcloud,cnhuadong1jsnj2Apublicctcloud,cnhuadong1jsnj3Apublicctcloud clustername 是 String 实例名称，由大小写字母、数字、下划线（）或连字符（）组成，且不以下划线（）或连字符（）开头，长度是132位 Test cyclecnt 是 Integer 订购周期，当cycletype为2时，取值范围是111；cycletype为3时，取值范围是15 1 paytype 是 Integer 付费类型 ，1：包年包月 1 cycletype 是 Integer 订购周期，2代表按月购买，3代表按年购买 2 regionid 是 String 资源池ID bb9fdb42056f11eda1610242ac110002 vpcid 是 String vpcId vpc8p9hpn4o8g subnetid 是 String 子网id subnetmp6a3hce8q securitygroupId 是 String 安全组id sgmkritasxrd enableipv6 是 String 开启IPv6：开启:OPEN 关闭:CLOSE OPEN componentpwd 是 String 组件密码 ，密码应为数字、大写字母、小写字母、特殊符号（@$!%

短信服务支持设置每日和每月的短信发送总量预警值及限额值，达到预警值时，预设的联系人会收到系统发送的短信提醒；达到限额值，系统暂停短信发送。该功能是您根据日常情况进行的发送上限设置，设置后可避免网站被人恶意利用，导致短信量突增，产生高额费用。 注意事项 每日或每月的短信发送量及限额默认情况下无限制，在设置前，需要充分评估日常发送请求量，并设定在一个合理范围。一旦发送请求量达到设置阈值，将会停止发送短信。如果预估发送量不合理，可能会给您的业务造成影响。当发送请求达到您的设置值时，系统会给您进行短信通知，收到系统短信通知后您可以进行调整。 1. 天翼云后台系统阈值短信提醒，每日最多20次。 2. 如果已超限额，无法继续发送消息，需要手动调整限额值。 操作流程 1. 登录云通信控制台。 2. 在左侧导航栏，单击消息配置 。 3. 在发送总量阈值设置 区域，单击设置 。 4. 填写每日和每月的短信发送总量预警值及限额值，达到预警值时短信服务会向联系人发送提醒；达到限额值时停止短信发送业务。 5. 单击确认 ，完成配置。 6. 套餐包预警值。 系统自动根据套餐包使用情况发送警值提醒，当套餐包余量到达总量的30%、10%以及无余量时，系统将向用户发送短信提醒。

本节介绍边缘虚拟机自定义镜像的创建、删除、共享等操作。 共享自定义镜像 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>镜像】导航栏，选择【自定义镜像】。 3. 点击【操作>更多>共享】，可将该自定义镜像共享给其他智能边缘云客户。 4. 鼠标移入“共享用户”列可查看当前镜像共享对象。 下载自定义镜像 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>镜像】导航栏，选择【自定义镜像】。 3. 点击【操作>更多>下载】，可导出指定自定义镜像。 修改自定义镜像备注 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>镜像】导航栏，查看自定义镜像。 3. 选择要修改的自定义镜像，点击【备注】进行修改。 删除自定义镜像 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>镜像】导航栏，点击【自定义镜像】查看自定义镜像。 3. 选择要删除的自定义镜像，点击【删除】按钮确认。 4. 删除镜像后，当前使用该镜像的虚机不受影响，但用户无法在装机时使用该镜像。 5. 若该镜像原先已被共享给其他用户，删除镜像后，其他用户使用该镜像创建的虚机不受影响，但共享关系将会被取消，即被共享用户在共享镜像列表不再可以查看该镜像，也无法使用该镜像进行装机。 注意 如果该自定义镜像未被共享给其他用户，可以直接删除该自定义镜像。 若该自定义镜像已经被共享给其他用户，请先返回自定义镜像列表，在共享用户列点击【取消共享】，如下图所示，解除所有的共享关系后，方可删除该自定义镜像。

本节为您介绍数据库迁移异常恢复相关问题。 任务提示“function uuidgeneratev4() does not exist”怎么办？ 这是由于目标数据库PostgreSQL未安装uuidossp插件所致，请进行以下操作后重新发起迁移任务。 需要在目标PostgreSQL数据库安装uuidossp插件。插件下载地址： extension "uuidossp"语句即可。 任务提示“invalid input syntax for type bigint XXX”怎么办？ 这是由于源端数据库中表字段没有配置精度所致，请进行以下操作后重新发起迁移任务。 需针对没有配置精度的表，根据实际数据情况配置精度。 任务提示“ORA12547: TNS:lost contact”怎么办？ 这是由于节点未加入到数据库白名单中所致。请进行以下操作后重新发起迁移任务。 将服务节点地址加到数据库白名单中。 迁移完成后，若想再次迁移如何操作？ 可在清理目标库后，点击“重试”按钮。 创建迁移任务时，连接检测不通过怎么办？ 查看数据库是否允许公网访问： 如果不允许公网访问则开通公网访问。 如果允许公网访问，则排查节点地址是否被纳入到数据库白名单，如未纳入，请在数据库白名单加入节点地址。 迁移任务中提示“Packet for query is too large (x>y). You can change this value on the server by setting the 'maxallowedpacket' variable”如何处理？ 由于MySQL的maxallowedpacket配置小于云迁批处理提交大小。 由于列设置了默认值，因此过滤后会生成默认值。 具体步骤： 1. 在MySQL执行“set global maxallowedpacketz”,z需要大于报错信息中x的值。

本文介绍了自定义集群APIServer证书SAN的用户指南。 操作场景 主题备用名称（Subject Alternative Name，缩写SAN）允许将IP地址、域名等值与证书关联。SAN通常用于TLS握手阶段客户端校验服务端证书中的SAN是否与客户端实际访问的IP地址或域名匹配。 当客户端无法直接访问集群内网私有IP地址或公网IP地址，如域名访问、DNAT访问等场景，此时可将能直接访问的IP地址或域名通过SAN的方式签入集群服务端证书，以支持客户端开启双向认证，提高安全性。 此外，跨域访问或代理访问场景可通过自定义SAN实现。域名访问场景的典型使用方式如下： 配置容器组的hostAliases或配置主机/etc/hosts，添加域名映射； 内网DNS使用，云解析服务支持配置集群弹性IP与自定义域名的映射关系； 自建DNS服务器，自行添加A记录。 添加自定义SAN 1. 登录CCE控制台； 2. 在集群列表中单击集群名称，进入集群信息页； 3. 点击“自定义证书SAN”旁的编辑按钮，在弹窗中添加IP地址或域名，然后单击“确认”。 4. 专有版集群说明： 1. 修改SAN会短暂重启kubeapiserver，一般3到10分钟后可看到修改后的端口范围，请耐心等待及避免在此期间操作集群； 2. 请输入域名或 IP，以英文逗号（,）分隔，单个域名长度不超过253个字符，最多32个。 5. 托管版集群说明： 1. 修改SAN会短暂重启kubeapiserver，一般耗时3到10分钟，请耐心等待及避免在此期间操作集群； 2. 请输入域名或 IP，以英文逗号（,）分隔，单个域名长度不超过253个字符，最多32个。

本节介绍了事件中心的用户指南。 K8S Event是集群中某个事件的报告，它一般表示系统的某些状态变化，通过事件可以查看集群的状态变更，包括创建Pod、运行Pod、删除Pod、组件异常等。事件中心提供集群中最近一小时的所有事件的查询；通过安装日志插件及事件中心插件，可以把集群的事件持久化到日志服务，从而能够查询更长时间的事件。 操作步骤 查询集群最近一小时的事件 可以通过以下两种方式查询集群最近一小时的事件。 方式一：在集群概览页中查看集群一小时内事件 1、选择指定容器集群，在菜单栏【集群信息】中选择【概览】Tab页即可查看集群一小时内的事件。 2、您也可以点击【下载】将事件保存为Excel文件。 方式二：在事件中心中查看集群一小时内事件 1、选择指定容器集群，在菜单栏【运维管理】中选择【事件中心】。 2、选择【事件列表】Tab页即可查看集群一小时内的事件。您也可以选择级别、命名空间、类型、名称对事件列表进行过滤。 将集群事件持久化到日志服务 1、选择指定容器集群，确保已开通云日志服务并安装ctglogoperator插件和cubeeventer插件，插件安装可参考 用户指南 > 插件 章节。 2、在菜单栏【运维管理】中选择【事件中心】。 3、选择【事件查询】，可以通过开始时间、结束时间、关键词过滤事件日志。

对于支持IAM配置，不支持企业项目配置的操作，若没有配置过IAM权限将默认不具备相应操作权限，操作将被拦截，对于这种场景，该如何处理？ 支持IAM配置，不支持企业项目配置的操作在没有配置过IAM权限时，将默认不具备相应操作权限，操作将被拦截，如下图创建快照，前端提示权限不足，操作被拦截。此时，您需要在IAM中为此用户新增创建快照的IAM操作权限以解除限制。 操作步骤 1.登陆统一身份认证服务平台。 2.创建或修改自定义策略，在该策略中需添加创建快照的三元组“evs:snapshot:create”，具体创建或修改策略的操作请参见统一身份认证IAM中“策略管理”章节。 3.为待授权的子账号所归属的用户组配置上述具有“evs:snapshot:create”三元组的策略。具体授权策略的操作请参见统一身份认证IAM中“用户组授权”章节。 4.完成上述配置后，用已授权创建快照权限的子用户登陆天翼云控制台，创建快照操作将不再被拦截，能够进入创建快照页面。 为什么子用户订购云硬盘跳转到订单中心时，显示“抱歉，您没有访问该页面的权限”？ 若您的子用户需要实现下单类操作，如创建、扩容等，您需要为子用户所在用户组设置“订单与云网账号管理员权限”，即授权“bss admin”策略。 具体操作可参考子用户如何创建和下单一类节点资源。

本文帮助您快速熟悉对等连接编辑标签的操作。 操作场景 当您的云环境中存在多个对等连接时，使用标签可以帮助您对其进行分类分组管理，提高资源的管理效率。 在为对等连接编辑标签时，通常需要指定标签键和标签值来标识和分类对等连接。标签键用于描述标签的分类或属性，而标签值则用于具体区分不同的对等连接。 说明 该功能仅白名单用户可见，请以实际控制台页面为准。 使用须知 每个资源可以最多添加10个标签。 标签的“键”和“值”是一一对应的，其中“键”值是唯一的。 添加标签 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域。 3. 在系统首页，选择“网络>对等连接”。 4. 在“对等连接”列表页面，单击对等连接所在行的“编辑标签”。 5. 输入标签键和标签值，点击“确定”。 6. 在对等连接列表，还支持对已创建的对等连接批量编辑标签/批量解绑标签。 修改标签 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域。 3. 在系统首页，选择“网络>对等连接”。 4. 在“对等连接”列表页面，单击对等连接所在行的“编辑标签”。 5. 在弹出的标签页，输入修改的“键”和“值”。 6. 点击“确定”，完成标签修改。

本文主要结构化解析多行全文模式。 概述 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则表达式以进行匹配，当某行日志匹配上预先设置的正则表达式，则认为是一条日志的开头，而下一个行首出现作为该条日志的结束标识符。提取的日志内容同样也会存放在 message字段中。 示例 在多行全文模式下，日志数据本身不再进行日志结构化处理，采集器会将日志内容存放在 message字段中。如您需要采集的原始数据为： 原始日志： plaintext “20191215 17:13:06,043 [main] ERROR com.test.logging.FooFactory: java.lang.NullPointerException at com.test.logging.FooFactory.createFoo(FooFactory.java:15) at com.test.logging.FooFactoryTest.test(FooFactoryTest.java:11)” 行首正则表达式： plaintext d+d+d+sd+:d+:d+,d+s. 采集到云日志服务后的日志： plaintext message:“20191215 17:13:06,043 [main] ERROR com.test.logging.FooFactory: java.lang.NullPointerException at com.test.logging.FooFactory.createFoo(FooFactory.java:15) at com.test.logging.FooFactoryTest.test(FooFactoryTest.java:11)” 配置方式 在日志接入流程中创建采集配置步骤中，按如下参数说明配置切割模式： 参数 描述 切割模式 针对原始日志执行分词的模式，选择“多行全文”。 日志样例 输入您需要采集的日志样例。 首行正则表达式 首行正则表达式用于匹配每一条日志的行首，以确认每条日志的开头位置。 输入完成后，点击【验证】，系统将根据您输入的日志样例判断表达式是否通过，以及成功解析的日志条数。

本节介绍了密码过期问题与处理方法。 TaurusDB 8.0版本支持通过设置全局变量“defaultpasswordlifetime”来控制用户密码的默认过期时间。 参数“defaultpasswordlifetime”的值为N，表示密码N天后过期，单位为天。默认值为0，表示创建的用户密码永不过期。 修改全局自动密码过期策略 您可以在云数据库TaurusDB界面，通过设置参数“defaultpasswordlifetime”的值，修改密码过期策略。 参数修改具体请参见编辑参数模板。 通过命令修改全局变量“defaultpasswordlifetime”的值。 mysql> set global defaultpasswordlifetime0; 查看当前所有用户的密码过期时间 执行以下命令： mysql> select user,host,passwordexpired,passwordlastchanged,passwordlifetime from user; 查看指定用户的密码过期策略 执行以下命令： mysql> show create user jeffrey @'localhost'; “EXPIRE DEFAULT”表示遵从全局到期策略。 设置指定用户的密码过期策略 创建用户的同时设置密码过期策略 create user ' script '@'localhost' identified by ' ' password expire interval 90 day; 创建用户后设置密码过期策略 ALTER USER ' script '@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY; 设置密码永不过期 mysql> CREATE USER ' mike '@'%' PASSWORD EXPIRE NEVER; mysql> ALTER USER ' mike '@'%' PASSWORD EXPIRE NEVER; 设置密码遵从全局到期策略 mysql> CREATE USER ' mike '@'%' PASSWORD EXPIRE DEFAULT; mysql> ALTER USER ' mike '@'%' PASSWORD EXPIRE DEFAULT;

本文介绍如何创建路由。 云容器引擎平台支持对路由的URL配置，通过对应的URL将访问流量分发到对应的服务。同时，服务根据不同URL实现不同的功能。 操作步骤 1.单击左侧控制台导航栏的【资源管理】>【网络管理】，将默认进入【服务】管理页面，点击【ingress】页签，切换到【ingress】管理界面； 2.单击【创建Ingress】，进入ingress创建界面，参照下表设置参数，其中带“”的参数为必填参数； 参数 参数说明 Ingress名称 新建Ingress的名称 集群 Ingress所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 Ingress所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 对外协议 支持HTTP和HTTPS。若选择HTTPS，SSL策略中选择SSL终端，请填写私密凭据，无合适的私密凭据，可点击创建IngressTLS类型的私密凭据，跳转到私密凭据创建页；SSL策略选择SSL穿透 对外端口 开放公网地址的端口，在对外协议中选择HTTP时，为9080；HTTPS时，为9443 域名 实际访问的域名地址，对应负载均衡服务域名地址，需用户购买备案自己的域名，可选填。一旦配置了域名规则，则必须使用域名访问 路由配置 . 访问路径：需要注册的访问路径，例如：/healthz . 服务名称：选择需要添加Ingress的服务 . 服务端口：由所选服务暴露的端口决定，不可选 . 添加映射：点击添加映射新增一行映射 3.单击【创建】，等待创建成功，创建成功后将自动返回服务列表页，可对已经创建的服务可以编辑YAML、更新、删除的操作。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载和节点的亲和性 > 与节点的亲和性”下的“添加”。 步骤 2 勾选工作负载需要部署到的节点，单击“确定”。 若勾选多个节点，部署工作负载时会在这些勾选的节点中自动指定。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载，工作负载和节点亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: nodeName node中lable 的key operator: In values: testnode1 node中对应key 的value 工作负载创建完成后设置 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”。 步骤 2 单击工作负载名称进入详情页，单击“调度策略 > 简易调度策略 > 添加亲和对象”。 步骤 3 对象类型选为“节点”，勾选工作负载希望部署到的节点，设置完成后当前工作负载会部署到已选择的节点上。 说明： 该方法可新增、编辑和删除调度策略。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载和可用区的亲和性 > 与可用区的亲和性”前的。 步骤 2 单击工作负载希望部署到的可用区。 当前创建的工作负载会部署到已选择的可用区中。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载，工作负载和可用区亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: azindeployment spec: replicas: 1 selector: matchLabels: app: azindeployment strategy: type: RollingUpdate template: metadata: labels: app: azindeployment spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: failuredomain.beta.kubernetes.io/zone node中lable 的key operator: In values: az1 node中对应key 的value 工作负载创建完成后设置 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”。 步骤 2 单击工作负载名称进入详情页，单击“调度策略 > 简易调度策略 > 添加亲和对象”。 步骤 3 对象类型选为“可用区”，单击工作负载希望部署到的可用区，当前创建的工作负载会部署到已选择的可用区中。 说明： 该方法可新增、编辑和删除调度策略。

本文介绍如何查看集群信息。 Serverless集群提供了细致全面的集群概览展示页，其中包括组件状态、集群资源使用情况等功能板块，可以快速准确地了解集群的健康状态，并提供了集群的基本信息、连接信息、集群资源等相关信息。 查看集群概览 您可以在集群概览页面内查看组件状态、集群资源使用情况等信息。具体操作步骤如下： 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 单击概览页签，进去集群概览页面，查看集群信息、已安装插件、当前告警、事件等信息。 1. 集群信息 ：显示当前集群包括集群名称、Kubernetes版本、创建时间、API Server端口以及API Server IP等基础信息。 2. 已安装插件 ：展示集群当前已经安装的插件和插件状态。 3. 当前告警 ：自动扫描集群，提供集群告警、节点告警以及组件告警等信息， 及时提示您存在的潜在风险以便避免业务受损。 4. 事件 ：显示当前集群的日志信息。 查看基本信息 单击基本信息页签，可以查看集群名称、状态、时区、区域以及是否开启集群删除保护等基本信息。同时可以查看API Server 公网连接端点、API Server 内网连接端点以及Service CIDR等集群信息。

本文介绍DDoS高防（边缘云版）相关的概念解释。 什么是DDoS高防经常提到的源站IP？ 源站IP指客户的业务系统对外提供服务时所使用的公网IP地址。 用户在接入域名时，需要配置源站地址。当攻击流量经过天翼云节点清洗后，干净的业务流量将会转发回客户源站IP。 什么是SYN Flood攻击？ SYN Flood攻击是一种典型的DDoS攻击，主要攻击方式表现为服务端接收到 SYN包 后，会回复SYN ACK包，并进入半连接状态。Attacker一直发送 SYN包，但不回复 ACK包，直到被攻击方的服务器资源耗尽。 什么是ACK/UDP/ICMP Flood攻击？ ACK/UDP/ICMP Flood攻击是指攻击者发起大量ACK/UDP/ICMP数据包，造成服务器过载，目的是通过大量的报文，导致被攻击方的服务器资源耗尽，无法响应正常的请求。 什么是空连接攻击？ 空连接攻击是攻击者与服务端完成TCP握手，并建立TCP连接，但不发起任何请求，导致连接被占用甚至耗尽，从而影响正常用户发起连接。 什么是UDP反射放大攻击？ 正常情况下客户端发送请求包到服务端，服务端返回响应包到客户端，但是 UDP 协议是面向无连接的，所以攻击者将源IP伪造成被攻击方IP，响应包则全部反射到被攻击方，导致被攻击方的服务器资源耗尽。 什么是CC攻击？ 黑客利用代理服务器或者控制的肉鸡，向目标服务器发送大量的请求（尤其是需要频繁查询数据库的请求），致使CPU处理不过来这么多的请求，长期处于100%的状态，从而无法处理正常请求。

本页面介绍云数据库ClickHouse创建视图的基本语法。 创建普通视图 语法: sql CREATE [ORREPLACE] VIEW [IFNOTEXISTS] [db.]tablename [ON CLUSTER clustername] AS SELECT ... 普通视图不存储任何数据。 他们只是在每次访问时从另一个表执行读取。换句话说，普通视图只不过是一个保存的查询。 从视图中读取时，此保存的查询用作FROM子句中的子查询。 例如，假设您已经创建了一个视图： sql CREATE VIEW view AS SELECT... 并写了一个查询： sql SELECT a, b, c FROM view 这个查询完全等同于使用子查询： sql SELECT a, b, c FROM (SELECT...) 以下是一些创建普通视图的示例： 示例1：基于查询创建普通视图 CREATE VIEW myview AS SELECT column1, column2 FROM mytable WHERE condition 示例2：基于多个表的JOIN操作创建普通视图 CREATE VIEW myjoinedview AS SELECT t1.column1, t2.column2 FROM table1 AS t1 JOIN table2 AS t2 ON t1.id t2.id 示例3：使用聚合函数创建普通视图 CREATE VIEW myaggregatedview AS SELECT column1, COUNT() AS count FROM mytable GROUP BY column1 示例4：基于子查询创建普通视图 CREATE VIEW mysubqueryview AS SELECT column1, column2 FROM ( SELECT column1, column2, ROWNUMBER() OVER (PARTITION BY column1 ORDER BY column2) AS rn FROM mytable ) subquery WHERE rn 1 这些示例演示了不同类型的普通视图创建，您可以根据具体需求选择适合的创建方式。普通视图仅提供了对查询结果的封装，不会存储实际数据，每次查询视图时都会重新执行视图定义的查询逻辑。

参数 描述 数据流动方向 选择“入云”。 源数据库引擎 选择“MySQL”。 目标数据库引擎 选择“DWS”。 网络类型 此处以“VPC网络”为示例。目前支持可选“公网网络”、“VPC网络”和“VPN、专线网络”。 目标数据库实例 可用的DWS实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 可选“全量+增量”、“全量”和“增量”三种模式，此处以“全量+增量”为示例。 全量+增量该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。、 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 全量 该模式为数据库一次性同步，适用于可中断业务的数据库同步场景，全量同步将用户选择的数据库对象和数据一次性同步至目标端数据库。 增量 该模式通过解析日志等技术，将源端产生的增量数据持续同步至目标端数据库。

本章节是关于开发者通过对话工具(比如Chatbox等)以OpenAIAPIcompatible的方式快速添加使用模型的实践。 说明 目前天翼云息壤的新老用户均可免费体验2500万Tokens，限时两周。模型广场支持DeepSeekR1、DeepSeekV3等多个版本模型的调用。 支持在对话工具（比如Chatbox、CherryStudio等）以OpenAIAPIcompatible的方式快速添加使用。 天翼云官网获取模型调用APPkey等信息 模型API终端请求地址 请求地址 API终端请求地址： 通信协议 接口通过 HTTPS 进行通信，保护用户数据的机密性和完整性，确保网络通信的安全性。 请求方法 支持的 HTTP 请求方法：POST。 POST 请求支持的 ContentType 类型：application/json。 获取模型调用APP key 访问模型推理服务地址：< 在API快捷接入页面： 选择服务组：从下拉菜单中选择第一步创建的服务组。如果尚未创建，可点击“确认创建并选择”快速创建默认服务组。 选择模型：从模型下拉菜单中选择需要接入的模型。 选择完成后，页面下方将自动展示该模型支持的所有编程语言的示例代码。 可进入左侧菜单栏的“服务接入”页，查看所创建的服务组及对应APP Key。

本文档为制作Windows系统私有镜像指导手册的步骤1,准备Windows系统虚拟机环境。 操作场景 制作Windows操作系统的私有镜像，首先需要基于对应版本的原始iso镜像文件，创建出对应版本的Windows虚拟机环境。 通常制作镜像的过程需要基于您本地的电脑或服务器启动Windows虚拟机，因此您在这个过程，在此过程中，您本地的电脑即是承载Windows虚拟机的宿主机。 制作工具 为了使您的私有镜像更好地适用于弹性云主机，本文目标为创建出格式为qcow2的私有镜像，因此推荐您使用Linux操作系统，并安装QEMU和Libvirt作为创建工具。 本文下方的示例中所使用的代码，将以Fedora 40 (Workstation Edition)版本的Linux操作系统作为宿主机，并安装QEMU和Libvirt作为安装工具。 说明 如果您的本地电脑为Windows或者MacOS，建议您通过虚拟化软件启动一台Linux虚拟机，作为创建Windows虚拟机的宿主机。 安装QEMU和Libvirt 在Fedora 40 (Workstation Edition)操作系统中，打开终端，将以下命令一次性粘贴到终端中，并执行回车。 可本机备份后清除此类 ks 文件。 rm f /root/ks.cfg 配置 QEMU 和 libvirt。 dnf install y @virtualization qemusystemaarch64 qemusystemloongarch64 telnet vim dnf autoremove y dnf group remove y LibreOffice 配置 QEMU 和 libvirt。 qemuconfig'/etc/libvirt/qemu.conf' [ ! f "${qemuconfig}.bak" ] && cp "$qemuconfig" "${qemuconfig}.bak" sed i 's/^

SSL连接 步骤 1. 登录管理控制台。 步骤 2. 单击管理控制台左上角的，选择区域和项目。 步骤 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4. 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5. 将根证书导入弹性云主机Linux操作系统。 说明 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6. 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表2 参数说明 参数 说明 目标实例的弹性IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 说明 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

本页将介绍如何安装MySQL客户端。 如何安装MySQL客户端 MySQL官网提供了针对不同操作系统的不同版本的客户端安装包，除此之外许多第三方客户端也提供了丰富的功能和用户友好的界面，如Navicat for MySQL、MySQL Workbench等。用户可以根据自己的需要选择适合自己的客户端并使用。此处CentOS弹性云主机（ECS）为例介绍如何在ECS上安装MySQL客户端访问关系数据库MySQL版。 1. 获取安装包 在MySQL客户端下载页面客户端下载页面找到合适的MySQL客户端版本，点击下载。 2. 将安装包上传到ECS 如果您是在本地下载的MySQL客户端，您可以使用远程连接工具将您本地的MySQL客户端传递到ECS上。 3. 安装MySQL客户端 在ECS上执行以下命令安装MySQL客户端。 sudo rpm ivh 安装包名 安装完成之后您可以执行以下命令查看mysql客户端的使用方法。 mysql help 4. 登录关系数据库MySQL版 在连接数据库之前，请确保您的ECS和数据库在同一VPC下且配置安全组打开数据库对应端口，确保网路联通。 在ECS上执行以下命令登录关系数据库MySQL版,其中username是您的数据库账户用户名、host和port是您数据库的ip和端口。在执行完该命令后按照提示输入数据库账户对应的密码即可成功登录数据库。 mysql uusername hhost Pport p

SSL连接 步骤 1. 登录管理控制台。 步骤 2. 单击管理控制台左上角的，选择区域和项目。 步骤 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4. 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5. 将根证书导入弹性云主机Linux操作系统。 说明 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6. 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表2 参数说明 参数 说明 目标实例的弹性IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 说明 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

服务阶段 实施任务 实施内容 交付物 购买阶段 购买安全评估服务 请您根据实际需求及服务团队沟通建议购买安全评估服务，购买指引请参见 购买阶段 发起安全评估服务需求 在控制台创建安全评估服务需求，详细操作请参见 准备阶段 确定评估范围、评估人员、评估工具及计划 确定安全评估范围，评估人员及评估工具，制定评估计划，按照计划时间开展评估工作 评估阶段 资产脆弱性扫描 利用用户漏洞扫描产品进行资产扫描，同时整合托管运营平台的脆弱性分析，从主动和被动识别两个维度进行业务资产现存漏洞问题的交叉识别，输出《业务资产安全漏洞清单》，安全服务专家对扫描出来的漏洞进行威胁分析和重要程度排序。漏洞扫描范围包含云主机、Web业务系统、数据库 《业务资产安全漏洞清单》 评估阶段 业务资产脆弱性分析 云端安全专家结合服务资产的业务特征和托管运营平台所采集的流量分析日志，综合分析业务资产存在的弱密码和明文传输等脆弱性问题，并执行脆弱性风险分析，对脆弱性问题进行排序，整合《业务资产安全漏洞清单》输出《业务资产脆弱性问题清单》 《业务资产脆弱性问题清单》 验收阶段 验收 汇总漏洞及业务脆弱性问题，提交安全评估服务报告 《安全评估服务报告》

本文介绍了如何通过天翼云DMS服务连接RDSPostgreSQL实例。 数据管理服务（Data Management Service，DMS）是异构数据库的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。本文介绍了如何使用DMS连接RDSPostgreSQL实例。 前提条件 已完成天翼云RDS PostgreSQL数据库开通。 通过实例列表录入实例 1. 进入RDS PostgreSQL控制台后，点击【实例管理】进入实例管理页 。 2. 选择需要DMS纳管的实例，点击【更多>登录数据库】按钮，进入DMS纳管实例页面。 3. 在DMS纳管历史页面中，输入管控规则、默认数据库、数据库账号、数据库密码等信息（注：标的属性为必填项）后，点击【测试连接】按钮进行验证，如连接成功后，点击【确定】按钮即可录入新实例。 4. 连接成功后，可在实例的数据库列表进行切换需要查询的数据库。 注意 如纳管实例校验不通过，请检查以下内容： 用户密码是否正确； DMS服务是否存在于RDS PostgreSQL实例的白名单中，DMS服务的地址详见： PostgreSQL白名单的操作详见：

本文向您介绍经典版VPN的收费方式与价格。 经典版VPN收费方式 经典版VPN包括VPN网关带宽与VPN连接两个计费项。 经典版VPN连接服务目前处于公测阶段，如您需要使用，请提交工单申请公测权限，工单中请描述需要使用的资源池与VPN连接数量。某些资源池由于资源余量影响，可能不再支持申请公测权限或更多VPN连接数量。具体还请提交工单或联系客户经理了解详情。 经典版VPN网关带宽收费，账单详情可在“云主机带宽”出账中查看。VPN网关带宽支持的计费方式与资源池情况，可查看“VPN网关带宽计费说明”章节。 经典版VPN连接目前暂不收费。 经典版VPN网关带宽计费说明 经典版VPN连接服务目前处于公测阶段，VPN网关带宽支持按需计费方式的资源池有：哈尔滨、长春、沈阳3、内蒙3、天津、石家庄、华北、北京2、太原、郑州、青岛、西安2、中卫、西宁、乌鲁木齐、兰州、上海4、杭州、南昌、芜湖、广州4、深圳、海口、南宁、福州、武汉2、长沙2、昆明、重庆、成都3、贵州。 VPN网关带宽收费价格与接入带宽支持值如下。 按需按带宽方式 按需按流量方式 VPN网关带宽计费方式 15Mbps：0.056元/Mbps/小时 6Mbps以上：0.1元/Mbps/小时 0.36元/GB VPN网关带宽支持档位 5Mbps、10Mbps、20Mbps、50Mbps、100Mbps、200Mbps、300Mbps 5Mbps、10Mbps、20Mbps、50Mbps、100Mbps、200Mbps、300Mbps

本节介绍了下载备份文件的操作场景、约束限制和操作步骤等相关内容。 操作场景 用户可以下载手动和自动备份文件，用于本地存储备份。 云数据库 RDS for MySQL支持用户下载全量备份，下载的备份文件格式为.qp。 约束限制 处于冻结状态的实例不允许下载全量备份文件。 如果您想下载备份文件，请联系客服人员开通权限。 若备份文件大于400MB，建议您使用OBS Browser+下载。 方式1：使用OBS Browser+下载 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“备份管理”页面，选择需要下载的可用备份，单击操作列中的“下载”。 您也可进入目标实例的“基本信息”页面，在左侧导航栏选择“备份恢复”，在“全量备份”页签下，单击操作列中的“下载”。 步骤 5 在弹出框中，单击“OBS Browser+下载”，根据界面提示，通过OBS Browser+客户端下载RDS备份文件。 1. 下载客户端工具OBS Browser+。 2. 解压并安装OBS Browser+。 3. 使用下载指导页面步骤2的用户名，登录客户端工具OBS Browser+。 4. 使用下载指导页面步骤2的桶名，挂载外部桶。 5. 下载备份文件。 在OBS Browser+界面，单击添加成功的外部桶桶名，进入对象列表页面，在右侧搜索栏，输入“备份文件名称”并检索，单击“下载”。 6. 备份文件下载完成后，配置OBS Browser+启用证书校验。

本文将介绍如何新建、编辑可编程对象，数据库可编程对象（Database Programmable Objects）是一种数据库中的对象，允许开发人员创建可自定义的逻辑和功能。 前提条件 已经录入实例并登录实例。数据管理服务支持录入的实例详见添加云数据库、添加公网/直连数据库。 拥有可编程对象的操作权限。 注意事项 数据管理服务目前支持的可编程对象有视图、存储过程、函数、事件、触发器、触发器函数、序列，按数据库类型不同对应显示。 新建/编辑可编程对象时，在点击提交按钮前可先点击DDL按钮查看DDL语句，确认无误后再点击提交。 可视化地新建/编辑可编程对象功能暂时仅限MySQL、PostgreSQL类型数据库。 操作步骤 1. 登录DMS系统。 2. 选择对应的库/模式，进入查询窗口。如何进入查询窗口详见查询指引。 3. 在左侧tab页中，选择可编程对象。 功能介绍 新建可编程对象 新建视图 1. 在视图上右键 ，选择新建视图 ，打开新建视图页面。 2. 在页面按要求输入视图名称、算法、安全性、检查选项、视图定义等信息后，点击提交按钮即可创建视图。 新建存储过程 1. 在存储过程上右键 ，选择新建存储过程 ，打开新建存储过程页面。 2. 在页面按要求输入存储过程名称、确定性、安全性、数据访问类型、注释、存储过程定义等信息后，点击提交按钮即可创建存储过程。

本页介绍了文档数据库服务在安全上的表现。 文档数据库服务是天翼云提供的一款安全、可信的文档数据库服务。文档数据库服务支持多种架构，同时拥有云上高可用、高可靠、高安全、扩缩容、快速备份恢复、监控等数据库关键能力，为客户提供完善的性能监控体系和多重安全防护措施，并配备专业的数据库管理平台，让用户能够轻松设置、操作和扩展文档数据库服务。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 文档数据库服务为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组、权限设置、SSL连接、自动/手动备份、跨可用区部署等功能。这些特性可以帮助租户更好地管理和保护其数据库。 网络隔离 文档数据库服务实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，文档数据库服务会为租户分配此子网的 IP 地址，用于连接数据库。文档数据库服务实例运行在租户独立的虚拟私有云内，可提升文档数据库服务实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

对比项 关系数据库MySQL版 自购服务器搭建数据库服务 服务可用性 提供高可用架构，支持主备架构，保证服务可用性和容错性。弹性云主机可用性请参见 自建数据库的可用性受到自身技术水平和硬件设备的限制，难以保证高可用性和容错性。 数据可靠性 提供数据备份和恢复，支持多种备份存储和备份策略，保障数据的可靠性和完整性。存储可靠性请参见 自建数据库需自行实现备份和恢复，备份存储和备份策略不够完善，存在数据丢失的风险。 系统安全性 提供多种安全措施，包括数据加密、访问控制、网络隔离等，保障数据的安全性。 自建数据库受开发人员技能、安全配置和风险管理等限制，安全性更难保障。 数据库备份 提供灵活的备份和恢复策略，支持自动备份、手动备份和增量备份，为用户提供高效的数据备份和恢复。 备份和恢复策略繁琐复杂，备份失败率高，难以保证数据备份和恢复的效率和完整性。 软硬件投入 用户无需购买数据库软硬件设备和托管设备，通过付费模式即可获得完善的数据库服务。 需要花费大量时间和成本购买软硬件设备和托管设备，并且需要承担维护设备、维护数据库等额外成本。 系统托管 天翼云提供完善的托管服务，包括应用部署、监控检测、资源调度和故障处理等，降低用户的运维成本。 需要用户自行承担系统托管和维护等工作，投入较大的人力资源和时间成本。 维护成本 天翼云提供高性能、高可用性、高安全性的MySQL云服务，用户只需关注业务需求，降低维护成本。 维护成本较高，需要购买和维护硬件设备、数据库软件，以及承担数据库的维护和升级等额外成本。 部署扩容 提供弹性扩容和收缩服务，根据业务需求自动分配和回收资源，避免资源浪费和运营成本增加。 需要用户自行实现部署和扩容，扩容过程繁琐，并且需要承担额外的硬件资源和运维成本。 资源利用率 提供可弹性调度的资源池，提高数据库资源的利用率并且降低成本。 资源利用率不尽如人意，容易造成资源浪费，增加成本。