主机类型 版本 支持实例数 X86通用型 单机版2C4G 500 X86通用型 集群版2C4G3节点 4000 X86通用型 集群版4C8G3节点 7000 X86通用型 集群版8C16G3节点 14000 X86通用型 集群版16C32G3节点 25000

本文介绍MySQL数据库、表、列、视图等细粒度级别的账密和权限管理。 前提条件 用户已登录数据管理服务。 在数据管理服务DMS中录入目标实例，数据库类型为MySQL。 登录实例的数据库用户具有管理数据库用户密码的权限。 操作步骤 1. 点击左侧菜单栏 数据资产 > 实例管理 进入实例列表页面。 2. 选择目标实例，点击操作菜单栏 登录 按钮。 3. 输入数据库的用户名和密码，完成该实例的登录。 4. 登录实例后，点击 更多 > 数据库用户管理 按钮。 功能介绍 数据库用户管理支持查看当前实例所有数据库账号、新建账号、删除账号、编辑账号。 账号列表 显示实例下所有账号信息，包括账号名、主机信息、权限等，支持按账号名模糊搜索。 注意 当前登录的数据库用户需要具备数据库账号管理权限，否则无法查看账号列表。 新建账号 1. 登录数据管理服务。 2. 从 数据资产 > 实例管理 进入实例列表页面。 3. 在实例列表页面点击 更多 > 数据库用户管理 按钮进入管理页面。 4. 点击创建账号按钮，输入账号名、密码等必填信息。 5. 点击 确定 按钮，生成创建账号的DDL语句。 6. 在DDL预览弹窗中，点击 执行 按钮即可完成账号的创建。 7. 可以为账号设置全局权限和对象权限，以及主机信息、每小时最大查询数、每小时最大更新数、每小时最大连接数、最大用户连接数等选项。在创建账号时，可以自动检测密码强度，提高安全性。 编辑账号 1. 登录数据管理服务。 2. 从 数据资产 > 实例管理 进入实例列表页面。 3. 在实例列表页面点击 更多 > 数据库用户管理 按钮进管理页面。 4. 点击列表操作菜单的 编辑 按钮，进入编辑页面。 5. 按需修改所需要的属性内容。 6. 点击 确定 按钮，生成修改账号的DDL语句。 7. 在DDL预览弹窗中，点击 执行 按钮即可完成账号的修改。 8. 可以编辑修改账号的账密、全局权限、对象权限，以及主机信息、每小时最大查询数、每小时最大更新数、每小时最大连接数、最大用户连接数等选项。 注意 注意不支持修改用户名。

参数 参数类型 说明 示例 下级对象 id Integer 主键 1 displayName String 实例名称 testdisplayname serverName String 主机名称 testhostname custName String 主机名称 testhostname serverIp String 防护服务器IP 192.168.1.1 guid String 服务器对应agentGuid 111111111111 agentGuid String 服务器对应agentGuid 111111111111 os String 操作系统 Linux/Windows Windows secureStatus Integer 服务器防护状态，0:关闭防护，1:开启防护 1 createTime String 创建时间 20210712 14:51:01 updateTime String 修改时间 20210712 14:51:01 tamperproofDirectoryConfigList Array of Objects 防护服务器对应防护目录 tamperproofDirectoryConfigList quotaId String 配额ID abdeasaaas quotaStatus Integer 配额状态 1未绑定 2绑定中 4已过期 8已冻结 16已退订 32已销毁 0无效 1 protectStatus String 服务器防护状态，0:关闭防护，1:开启防护 1 failedSecurePath String 防护失败路径 /tmp/ privilegeProc String 特权进程列表,多个进程用英文逗号隔开 /tmp/ privilegeChild String 是否子进程可信 UNCREDIBLE不可信 CREDIBLE可信 UNCREDIBLE tamperproofRemoteDirectoryConfigList Array of Objects 远端备份服务器对应配置列表 tamperproofRemoteDirectoryConfigList 表 tamperproofRemoteDirectoryConfigList

参数 是否必填 参数类型 说明 示例 下级对象 scaRuleId 是 Integer 基线策略id 1 agentGuid 否 String agentGuid testagentguid custName 否 String 主机名称 testcustname agentIp 否 String 服务器IP 192.168.0.1 scaId 是 Integer 基线模板id 1

计费项 计费说明 资产配额 按购买的资产配额数计费，包括主机资产配额数和网站资产配额数。 按包周期购买计费 提供包月和包年的购买模式。 按需购买计费 即开即停，按小时结算。

本文为您介绍统一身份认证服务的权限配置管理方式 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 系统策略 ：预置的系统策略，您只能使用不能修改。云间高速EC相关的系统策略包含如下： EC Admin：云间高速服务的管理者权限，包含云间高速所有控制权限； EC Viewer：云间高速服务的观察者权限，包含云间高速服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本文介绍对等连接服务统一身份认证与权限管理。 1.统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。对等连接相关的系统策略包含如下： peering admin：对等连接服务的管理者权限，包含对等连接服务所有控制权限（不含订单类权限）； peering viewer: 对等连接服务的观察者权限，包含对等连接服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1.2 创建自定义策略“。

规格扩容 当现有的规格已经不足以支撑生产计划，可选择规格扩容满足生产要求。同时计费也会相应增加。 说明 当实例进行CPU/内存规格变更时，该实例不可被删除。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 找到目标实例，然后在操作 列选择更多 > 规格扩容 ，进入规格变更页面。 4. 选择所需修改的性能规格，单击提交。 5. 查看变更结果。 任务提交成功后，单击返回实例列表 ，在实例管理页面，可以看到实例状态为规格变更中 。稍后即可在实例的基本信息页面，查看实例规格，检查修改是否成功。 规格缩容 当现有的规格已经超出生产计划，可选择规格缩容以节省开支。同时也会产生相应退费。 说明 当实例进行CPU/内存规格变更时，该实例不可被删除。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 找到目标实例，然后在操作 列选择更多 > 规格缩容 ，进入规格缩容页面。 4. 选择所需修改的性能规格，左下角会显示需要退还的费用，单击提交。 5. 查看变更结果。 任务提交成功后，单击返回实例列表 ，在实例管理页面，可以看到实例状态为规格缩容中 。稍后即可在实例的基本信息页面，查看实例规格，检查修改是否成功。 注意 如果您有其他计费疑问，您可以联系客户经理或天翼云客服4008109889，提交您的变更需求。

本节介绍了DDoS高防（边缘云版）如何使用网站配置功能。 使用场景 针对已成功接入DDoS高防（边缘云版）的域名，当您需要调整网站的回源配置、请求协议、回源HTTP请求头时，您可在【网站配置】页面进行配置。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要配置的域名，在操作栏点击【网站配置】按钮。 4.您可在基本信息栏中查看域名、CNAME、域名状态、创建时间信息。 5.您可在回源配置栏中进行回源配置的调整。 配置项 说明 源站 源站指的是节点转发回源时的地址： 1、源站地址需要为公网可达的IP，支持IPv4和IPv6，暂不支持只配置IPv6。 2、支持配置多个 源站，相同层级源站会按照权重轮询。 3、源站支持配置域名形式，且域名需支持可解析为具体源站IP，回源时将按照解析域名得到的地址回源。 4、同时配置IPv4和IPv6时，如勾选跟随协议，则来自IPv6的地址将总是转发到IPv6的源站，来自IPv4的地址将总是转发到IPv4的源站。 5、如不勾选跟随协议，则不做区分，混合回源（即IPv4有可能回源到IPv4和IPv6，IPv6同理）。 6、只配置IPv4时，IPv4和IPv6请求都将通过IPv4回源。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，未填写时默认为加速域名。自定义配置时，请确保您的源站有配置相应的HOST。 回源协议 回源协议指节点请求您源站资源时使用的应用层协议，根据源站支持情况进行选择： HTTP回源：HTTP / HTTPS 访问均使用 HTTP 回源。 HTTPS回源：HTTP / HTTPS 访问均使用 HTTPS 回源，可以避免您的回源数据被窃取或者篡改，会少量消耗您源站的处理器资源（源站需要支持 HTTPS 访问）。 跟随协议：HTTP 访问使用 HTTP 回源，HTTPS 访问使用 HTTPS 回源。如果您仅需对部分关键的敏感数据采用 HTTPS 协议传输，其他业务采用 HTTP 协议传输，建议您选择“跟随协议”（源站需要支持 HTTPS 访问）。 回源端口 回源端口是节点请求您源站资源时使用的端口，可以根据源站支持情况进行配置： 默认HTTP回源采用80端口，支持自定义修改，仅允许配置1个。 默认HTTPS回源采用443端口 ，暂不支持自定义修改，如有需求，可联系技术支持处理。 6.您可在请求协议栏中进行请求协议配置的调整。 配置项 说明 请求协议 请求协议是指客户端请求时使用的协议类型，默认选择HTTP协议的80端口，若请求包含HTTPS协议的网站，则勾选“HTTPS”。 服务端口 服务端口是客户端请求时使用的端口，默认HTTP开放80端口，HTTPS开放443 ，如需开放特殊非标端口，可联系技术支持处理。 证书 HTTPS提供对网络服务器的身份认证，保护交换数据的隐私和完整性。 证书来源天翼云证书管理平台，可进行下拉选择证书备注名，若未找到证书可直接点击上传。 HTTP2 若您的请求协议中勾选了HTTPS，且您的业务需支持HTTP2协议，请开启HTTP2开关。 强制跳转 开启强制跳转将请求的HTTP强制302跳转至HTTPS进行请求，需保障请求协议HTTPS已开启。 7.您可在回源HTTP请求头栏中自定义配置转发回源时的请求头部，支持配置多条，支持对已配置的参数进行编辑和删除。 说明 自定义配置转发回源时的请求头部： 1、若设置的头部不存在，则会增加该头部。 2、若回源请求头部参数已存在，则设置的请求头会覆盖原有头部。 8.完成配置编辑后，点击右上角【保存】按钮即可。

runningacommandinashell " ")。 容器的生命周期与启动命令的生命周期一致，即启动命令执行完成后容器的生命周期结束。 下面将以启动一个nginx 为例，介绍容器启动命令典型的三个使用场景： 示例代码如下： nginx c nginx.conf 场景一：容器的“运行命令”和“运行参数”均作设置，界面截图如下： 运行命令和运行参数均设置 所生成的YAML样例如下： command: nginx args: 'c' nginx.conf 场景二：仅设置容器的“运行命令”，界面截图如下： 仅设置运行命令 说明： 运行命令中前后要加英文双引号""，若不加则会按照空格将命令拆分成多条执行。 所生成的YAML样例如下： command: nginx c nginx.conf args: 场景三：仅设置容器的“运行参数”，界面截图如下： 仅设置运行参数 说明： 如果运行命令没有添加到系统路径中，可以使用/bin/sh来执行命令，命令需要加英文双引号""。 所生成的YAML样例如下： command: /bin/sh args: 'c' '"nginx c nginx.conf"' 步骤 3 您可以通过如下方式检查或修改YAML： 创建工作负载时，在“高级设置”步骤中，单击右侧的“YAML创建”。 工作负载创建完成后，在工作负载列表中，单击工作负载名称后的“更多 > 编辑YAML”。 工作负载创建完成后，进入工作负载详情页面，单击右上角的“编辑YAML”。 设置容器启动命令YAML样例 本节以nginx为例，说明通过kubectl设置容器启动命令的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载时，容器启动命令的参数设置如下所示，详细请参见kubernetes官方文档。 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx command: sleep '3600'

本章主要介绍翼MapReduce的 配置受信任IP访问LDAP功能。 操作场景 默认情况下，部署在OMS和集群中的LDAP服务允许任意IP访问。如果需要只允许受信任的IP地址访问LDAP服务，可以配置iptables过滤列表的INPUT策略。 对系统的影响 配置受信任IP访问LDAP以后，未配置的IP无法访问LDAP。扩容前，新增加的IP需要配置为受信任的IP。 前提条件 根据安装规划，收集集群内全部节点的管理平面IP、业务平面IP和所有浮动IP。 获取集群内节点的root用户和密码。 操作步骤 配置OMS LDAP信任的IP地址 1.确定管理节点IP地址，请参见登录管理节点。 2.登录FusionInsight Manager，请参见登录管理系统。 3.选择“系统 > OMS”，在“服务”选择“oldap > 修改配置”，查看OMS LDAP端口号，即“Ldap服务监听端口”参数值。默认为“21750”。 4.以root用户通过主管理节点的IP地址登录主管理节点。 5.执行以下命令，查看iptables过滤列表中INPUT策略。 iptables L 例如未配置任何规则时，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination 6.执行以下命令，将集群使用的所有IP地址配置为受信任的IP。每个IP需要添加一次。 iptables A INPUT s 受信任IP地址 p tcp dport 端口号 j ACCEPT 例如，将10.0.0.1配置为受信任的IP，可以访问端口21750，执行： iptables A INPUT s 10.0.0.1 p tcp dport 21750 j ACCEPT 7.执行以下命令，将全部IP地址配置为不受信任的IP。已配置为信任IP不受此规则影响。 iptables A INPUT p tcp dport 端口号 j DROP 例如，配置全部IP不能访问端口21750，执行： iptables A INPUT p tcp dport 21750 j DROP 8.执行以下命令，查看iptables过滤列表中修改后INPUT策略。 iptables L 例如配置一个受信任IP后，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp 10.0.0.1 anywhere tcp dpt:21750 DROP tcp anywhere anywhere tcp dpt:21750 9.执行以下命令，查看iptables过滤列表中存在的规则及相对应的编号。 iptables L n linenumber Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP tcp 0.0.0.0/0 0.0.0.0/0 tcp dpt:21750 10.根据实际需求，可执行以下命令，删除iptables过滤列表中的规则。 iptables D INPUT 待删除的编号 例如，删除编号为1的规则，执行： iptables D INPUT 1 11.以root用户通过备管理节点的IP地址登录备管理节点，并重复5到10。

Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理 AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡 ELB 应用运维管理 AOM NAT网关 NAT 对象存储服务 弹性文件服务 SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置对象存储Administrator权限。 说明 由于缓存的存在，对用户、用户组以及企业项目授予对象存储相关的RBAC策略后，大概需要等待15分钟RBAC策略才能生效；授予对象存储相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理 AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机 ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡 ELB NAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 极速文件存储 EFS（SFS Turbo） 使用极速文件存储，需要设置SFS Turbo Admin权限 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项 ( ConfigMap )无需其他依赖权限。 密钥 ( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务 SWR 应用运维管理 AOM 云监控服务（存储管理与节点管理的“监控”跳转） 为便于您快速进入CCE相关服务的控制台，在CCE控制台中增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

本文介绍如何停用域名和删除域名。 背景说明 如果客户的网站因业务变更需要停止加速服务，客户可以通过边缘安全加速控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云将加速域名的CNAME解析至客户源站地址。 注意：对域名进行停用操作后，边缘节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至边缘节点，则会响应403。 注意事项 停用加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云CDN入口，调整为解析至其他CNAME或A记录。该调整完成后，客户可以通过边缘安全加速控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

本节主要介绍权限管理 DRS要求的My SQL权限有哪些 DRS在迁移过程中，对帐号有一定的权限要求，本章节主要介绍MySQL引擎的权限要求。 权限要求 源和目标库的连接账号需要具有登录权限，如果没有该账号，可以通过如下方式创建，以user1为例。 参考语句：CREATE USER 'user1'@'host' IDENTIFIED BY 'password'; DRS的实时迁移功能的权限要求，表61中以user1为例提供参考语句。 权限要求及参考语句 功能模块 源/业务数据库 目标/灾备数据库 实时迁移 全量迁移权限要求：SELECT、SHOW VIEW、EVENT。参考语句：GRANTSELECT, SHOW VIEW, EVENTON . TO 'user1';全量+增量迁移权限要求：SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.148.0.18版本时，还需要有SESSIONVARIABLESADMIN权限。l 其中，REPLICATION SLAVE、REPLICATION CLIENT是全局权限，必须单独开启。参考语句如下：GRANTREPLICATION SLAVE, REPLICATION CLIENTON . TO 'user1';l SELECT、SHOW VIEW、EVENT、LOCK TABLES是非全局权限，参考语句如下：GRANT SELECT, SHOW VIEW, EVENT, LOCK TABLESON [待迁移数据库].TO'user1'; 全量迁移权限要求：SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。参考语句：GRANTSELECT, CREATE, ALTER, DROP, DELETE, INSERT, UPDATE, INDEX, EVENT, CREATE VIEW, CREATE ROUTINE, TRIGGERON . TO 'user1'WITH GRANT OPTION ;全量+增量迁移权限要求：SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.148.0.18版本时，还需要有SESSIONVARIABLESADMIN权限。参考语句：GRANTSELECT, CREATE, ALTER, DROP, DELETE, INSERT, UPDATE, INDEX, EVENT, CREATE VIEW, CREATE ROUTINE, TRIGGER, REFERENCESON [待迁移数据库].TO 'user1'WITH GRANT OPTION; 请在以上参考语句后执行 flush privileges; 使授权生效。 用户迁移权限要求 用户迁移时帐户需要有mysql.user的SELECT权限。 参考语句： GRANT SELECT ON mysql.user TO 'user1'@' host ' ; GRANT SELECT ON mysql.userview TO 'user1'; 目标数据库账号需要有所有库的SELECT，INSERT，UPDATE，DELETE, WITH GRANT OPTION权限。 参考语句：GRANT SELECT, INSERT, UPDATE, DELETE ON . TO 'user1' WITH GRANT OPTION ; 授权操作说明 创建用户 操作方式： CREATE USER ' username '@' host ' IDENTIFIED BY ' password '; · username：待创建的账号。 · host：允许该账号登录的主机，如果允许该账号从任意主机登录数据库，可以使用%。 · password：账号的密码。 授予相应权限 操作方式： GRANT privileges ON databasename.tablename TO ' username '@' host ' WITH GRANT OPTION ; flush privileges; · privileges：授予该账号的操作权限，如SELECT、INSERT、UPDATE等，如果要授予该账号所有权限，则使用ALL · databasename：数据库名。如果要授予该账号具备所有数据库的操作权限，则使用。 · tablename：表名。如果要授予该账号具备所有表的操作权限，则使用。 · username：待授权的账号。 · host：允许该账号登录的主机，如果允许该账号从任意主机登录，则使用%。 · WITH GRANT OPTION：授予该账号使用GRANT命令的权限，该参数为可选。

本文介绍模型推理服务使用前的准备工作。 注册天翼云账号 在开通和使用模型推理服务平台之前，您需要先注册天翼云账号。 1. 注册账号，请参考账号中心注册账号 2. 如需实名认证，请参考账号中心实名认证。 充值主账户 使用息壤模型推理服务平台之前，请保证您的账户有充足的余额，账户余额需要大于100元。 请前往费用充值为账户充值。 平台支持按卡时后计费、包周期预付费和按tokens用量计费。

本文主要介绍如何设置天翼云账号的“收件地址”。 操作步骤 1、在天翼云官网首页点击“我的账号中心”进入账号中心的“基本信息“页面，点击详细资料； 2、点击“基本信息”页面的“地址管理”页签； 3、在“地址管理”页面，点击“新增收货地址”按钮，填写“收件人姓名”、“所在地区”、“详细地址”、“邮政编码”、“手机号码”等信息，点击“保存”； 4、支持在列表中修改、删除地址，以及将地址设置为默认收件地址。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到CPU高负载 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，可以通过以下方式验证演练效果。 1、观测实例指标： 在演练运行详情 页的监控指标 页签，观测主机CPU使用率指标。 登录分布式缓存服务Redis版 控制台， 进入目标实例的性能监控 页， 观测主机CPU使用率 指标。 2、业务应用验证： 观察业务应用表现，查看对该Redis实例的读写操作是否出现失败或延迟。 如果是对主节点注入故障，查看该Redis实例的主备切换是否触发；如确认触发，查看业务应用是否连接到新的主节点。

本小节介绍态势感知威胁检测。 威胁概览 在“威胁检测 > 威胁概览”页面，主要统计分析当前用户环境所面临的威胁情况，具体包括： 异常行为的总量及高危异常行为类型TOP3。 威胁行为类型：统计最近24h的异常行为类型及数量。 受影响主机排行：根据最近24h的异常行为数量，统计受影响主机TOP5，表格展示资产IP、资产归属、异常行为数。 威胁方排行：根据威胁数量统计最近24h的威胁方排行，国内、国际分别统计TOP5，表格展示威胁方IP、所在地、异常行为数。 威胁方归属地：统计异常行为数最多的威胁方所在地，国内、国际分别统计TOP10。 威胁列表 在“威胁检测 > 威胁列表”页面，详细记录了威胁事件信息。 威胁事件支持按照时间、按照事件的属性进行筛选。 威胁事件根据威胁类型和威胁明细，统计影响最多的前十类。 威胁列表展示威胁事件发生的时间、源IP、目的IP、协议、流向、威胁类型、威胁明细、严重级别、攻击阶段、来源、威胁方归属地、探针IP。

对比项 文档数据库服务 自建数据库 服务可用性 服务周期内服务可用率不低于99.95%。 需自行保障，需自行搭建主从复制，自行实现高可用能力。 数据可靠性 高可靠性。 底层多备份存储。 需自行保障数据的可靠性。 数据安全性 DDOS防护。 VPC私有网络访问。 VPC隔离数据库服务。 SSL安全链路访问。 需自行实现各类数据安全性功能，如购买安全防护软硬件。 一键开通 一键部署，分钟级开通文档数据库服务实例。 需购买主机等硬件，自行托管、搭建数据库服务，时间周期长，不可控。 弹性扩容 一键扩容，根据业务需求，分钟级完成规格、存储的弹性扩容。 需购买与原有实例同属性硬件等资源，自行维护数据库节点关系。 备份恢复 自动备份，支持自行配置自动备份策略。 手动备份，支持随时一键热备，不影响业务正常运行。 支持恢复到本实例及其它同属性实例。 需自行管理备份、自行维护备份数据集。 监控告警 支持数据库实例的主机、数据库服务、日志等多类监控指标。 支持自定义设置告警策略。 自行部署监控服务，自行实现告警服务。

关闭订阅 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的开关，使其状态为打开，表示目标报告订阅已关闭。 删除报告 注意 默认的按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板不可删除。 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。 查看安全报告 服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“删除”，对目标报告进行删除。

本节介绍如何修复扫描出来的主机漏洞。 不同的主机系统修复漏洞的方法有所不同，软件漏洞的修复需要具有一定专业知识的人员进行操作，根据服务器的情况进行漏洞修复，可参考漏洞扫描服务给出的修复建议，修复漏洞时应按照如下的操作步骤进行修复。 1. 对需要修复的服务器实例进行备份，防止出现不可预料的后果。 2. 对需要修复的资产和漏洞进行多次确认。根据业务情况以及服务器的使用情况等综合因素，确认自己的资产是否需要做漏洞修复，并形成漏洞修复列表。 3. 在模拟测试环境中部署待修复漏洞的相关补丁，从兼容性和安全性方面进行测试，并输出补丁漏洞修复测试报告，报告内容应包含补丁漏洞修复情况、漏洞修复的时长、补丁本身的兼容性、以及漏洞修复可能造成的影响。 4. 进行漏洞修复时，最好多人在场，边操作边记录，防止出现误操作。 5. 漏洞修复完成后，在测试环境对目标服务器系统上的漏洞进行修复验证，确保服务器没有异常，输出详细的修复记录进行归档，方便日后遇见相关问题可快速反应。 总之，为了防止在漏洞修复过程中出现问题，在漏洞修复前要及时备份、制定方案、在测试环境进行模拟测试验证可行性，在修复过程中要小心并及时记录，在修复后及时生成完备的修复报告进行归档。

本章节针对不同规模团队给到用户权限管理的最佳实践 概述 微服务云应用平台权限管理是由统一身份认证（IAM）纳管。子账号登陆并访问微服务云应用平台前需要被管理员授权对应的微服务云应用平台系统权限后才可以正常使用。 小团队使用微服务云应用平台 建议小团队用户使用IAM权限鉴权，简单易上手。 1. 登陆天翼云官网并访问IAM控制台，选择需要授权的子账号。 2. 查看用户，选择所属用户组，添加用户组。如未创建所需用户组，请参考系统管理主子账号创建用户组并给用户组授权微服务云应用平台权限策略。 3. 选择目标用户组，点击确定即可。 IAM场景1 租户是小团队，只区分功能权限（常用场景） 1. 进入IAM控制台 2. 创建自定义策略 选择策略管理，创建自定义策略。 测试策略内容，仅供参考，MSAP1.6后支持通配符策略。 { "Version": "1.1", "Statement": [ { "Action": [ "msap:inst:" ], "Resource": [ "" ], "Effect": "Allow" } ] } 3. 选择用户组，创建用户组。 4. 选择用户，查看需要授权子账号，在所属用户组TAB栏，添加目标用户组。 完成以上配置后，即完成了IAM策略授权操作了！

本章介绍如何删除迁移参数模板。 操作场景 当不再需要模板时，您可以登录管理控制台删除模板。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“公共配置”，进入公共配置页面。 3. 在迁移参数模板区域左侧的模板列表中，单击需要删除模板名称后的按钮。 4. 弹出“确定删除吗？”窗口，单击“确认”，即可删除模板。

本节介绍了第三方镜像仓库导入的用户指南。 概述 对于已使用第三方镜像仓库（Harbor、华为SWR，阿里云ACR、腾讯云企业版）的客户，可以参照本章节将第三方镜像仓库迁移至企业版服务。 前置条件 已开通并使用容器镜像服务企业版实例 已使用第三方镜像仓库 如果第三方镜像仓库是自建Harbor，必须通公网 操作步骤 创建第三方镜像仓库导入规则 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "实例管理" "镜像导入"，并点击页面中的创建导入规则按钮。 4. 根据下表填写导入规则名称、规则描述、第三方镜像仓库信息、源命名空间、目标命名空间、触发方式并点击确定。 参数 说明 名称 规则名称 描述 规则描述 来源 Harbor｜ 华为SWR ｜ 阿里云ACR ｜ 腾讯云企业版 服务地址 第三方镜像仓库服务地址，例如: Access Key ID 第三方镜像仓库Access Key Secret Access Key 第三方镜像仓库Secret Key 用户名字 第三方Harbor镜像仓库用户名字 密码 第三方Harbor镜像仓库密码 Tag 导入镜像tag匹配规则，使用示例如下： 匹配全部: 匹配多个版本: {v1,v2,v3} 匹配前缀: v1 源命名空间 源实例命名空间 目的命名空间 目的实例命名空间 触发方式 定时触发 ｜ 手动触发 首次触发时间 首次触发时间 触发频率 触发频率，可以按天或小时

本文帮助您了解对象存储创建桶的操作步骤。 操作场景 您需要先创建一个桶，然后才能在桶中存储数据。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，例如选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表点击“创建Bucket”。 5. 填写基础配置（包括地域、Bucket名称、企业项目、读写权限），然后点击“下一步”，继续填写高级配置（包括数据冗余策略、存储类型、服务端加密、合规保留等）。创建桶的全部配置参数说明可见下表： 参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 bucket名称 桶的名称，注意以下命名规则： 不能与已有的任何桶名称重复。 创建成功后不支持修改。 长度范围为3到63个字符，支持小写字母、数字、中划线（）。 禁止以中划线（）开头或结尾。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考创建企业项目完成企业项目创建。 服务端加密 开启KMS服务端加密功能，上传的对象将以加密的方式存储在ZOS中。 下载对象时，ZOS会自动将加密文件解密后再提供给用户。 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。 7. 点击下一步，确认配置后点击“确认”，完成Bucket创建。

本节将接入如何快速为日志设置告警模型。 操作场景 态势感知（专业版）支持将查询分析结果设置告警模型，并在满足条件时触发告警。 前提条件 已完成数据接入，详细操作请参见云服务接入。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”，显示查询分析结果。 更多查询分析详细操作请参见查询与分析日志。 7. 单击页面右上角“添加告警”，进入新建告警模型页面。 8. 配置告警基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 该告警模型的执行管道，系统默认生成。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 填写该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。 9. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 10. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 说明 如果筛留字段为text类型时，默认会使用MATCHQUERY进行分词查询。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。 11. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 12. 预览确认无误后，单击页面右下角“确定”。

托管检测与响应服务（原生版）护航版服务内容及购买操作步骤说明。 服务内容 1. 提供定制化护航保障方案。 2. 提供安全检查，包括安全产品策略、资产基线配置、协助开展安全加固。 3. 持续监控云上安全状态，提供护航日报。 4. 提供应急响应服务。 5. 提供关键业务渗透测试服务。 6. 提供724小时云端专家团队值守。 7. 服务1年内有效，订购后不支持退订。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击护航版“立即购买”按钮，跳转到护航版购买页面。 3. 在护航版服务购买详情页面，【产品配置】栏，按需求选择护航前安全检查、护航时长、防护资产扩展包、蓝军攻击服务。 护航前安全检查： 必选项，单位为天，最低选购时长为5天，每增加50个资产需要增加一天服务时长。 护航时长： 必选项，单位为天，最低选购时长为1天，用户可根据实际护航天数选购护航时长。 防护资产扩展包： 可选项，单位为个，每超过50个资产，需要购买一个扩展包，用户根据防护资产数量选择对应扩展包数量。 蓝军攻击服务： 可选项，单位为次，每次提供3人5天蓝军攻击服务，用户根据自身需求选购次数。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

本节主要介绍OOS合规保留功能。 OOS提供合规保留功能，即开启Bucket合规保留功能后，任何用户（包括根用户）都不能对此Bucket内处于合规保留期的文件进行修改和删除。 可以根据需求，对Bucket级别开启合规保留功能，以天（Days）或者以年（Years）为单位设置合规保留时长，1年365天。 注意 合规保留一旦开启，不能关闭，不能缩短合规保留时长，但可以延长合规保留时长。 合规保留的时间精确到秒，例如对Bucket A设置合规保留时长为10天，文件A1属于Bucket A，A1的最后更新时间为201931 12:00:00，该文件会在2019311 12:00:01过合规保留期。 任何用户（包括根用户）都不能修改、覆盖、删除处于合规保留期的文件。 处于合规保留期的文件，无法通过调用API、控制台修改文件的存储类型，只能通过设置的生命周期规则修改存储类型。 文件处于合规保留期：如果生命周期规则为修改文件存储类型，则生命周期规则可以生效；如果生命周期规则为到期删除文件，则文件必须过了合规保留期后，生命周期规则才能生效。

个人用户可通过“身份证认证”（扫码认证）的方式快速完成个人实名认证。 个人用户可通过“身份证认证”的方式快速完成个人实名认证。同一证件最多可以认证5个天翼云账号（含已注销3个月内的账号）。 注意事项 请提前准备好您的个人证件（仅支持大陆居民身份证）。 使用手机扫码进行实名认证。 操作步骤 1、登录天翼云官网，进入实名认证页面。 2、选择“个人认证”。 3、选择“身份证认证”，系统会弹出二维码对话窗。 4、使用天翼云APP或手机微信扫描二维码（请扫描页面实时弹出的“身份证认证”对话框中的二维码，若过期请刷新）。 5、根据手机端页面提示，填写个人证件信息，上传本人身份证，并进行活体验证，完成实名认证。 说明 在手机端实名认证成功后，PC端刷新页面即可查看最新认证结果 如果扫码认证失败，系统支持重新实名认证且重新认证信息直接覆盖原来的信息。

操作场景 用户根据网络规划，配置BGP路由规则。 前提条件 您的链路设置中没有配置MPLS链路。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例名称，进入实例详情页面。 5. 单击“BGP路由”页签，单击“添加”，进入配置BGP路由协议规则界面。 6. 在配置BGP协议页面，根据页面提示配置参数，参数信息可参考下表： 7. 单击“确定”，完成对当前智能网关实例的BGP路由规则配置。 8. 完成BGP路由配置后，您可以进一步创建设备间的连接关系，建立BGP邻居。 参数 描述 本端AS 网关设备所属自治系统编号。取值范围：165535 Router ID 智能接入网关BGP进程路由器ID。 格式为IPv4地址格式，例如192.168.1.1。

本页介绍了文档数据库服务操作指南。 Ⅰ类型资源池 文档下载请点击： 天翼云文档数据库操作手册v3.0.pdf Ⅱ类型资源池 []( [](

操作步骤 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要设置合规保留的Bucket，进入【基础配置】标签页。 3. 找到【合规保留】设置项，点击【添加规则】。 4. 在规则弹窗填写【保留时间】，单位为“天”。保留时间支持1~3650天。 注意 规则创建后，默认未启用，仍可延长、缩短保留时间，或删除规则。 5. 规则创建后，如需启用，在操作列点击【启用】，在确认弹窗点击【确定】后，规则立即生效。 注意 规则启用后，规则不可禁用、不可删除，且无法缩短保护时间，只可延长保护时间。