本章介绍天翼云关系型数据库的一些常用概念解释。 实例 关系型数据库的最小管理单元是实例，一个实例代表了一个独立运行的数据库。用户可以在关系型数据库系统中自助创建及管理各种数据库引擎的实例。实例的类型、规格、引擎、版本和状态。 数据库引擎 关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 实例类型 云数据库RDS的实例分为：单机实例、主备实例等。不同类型支持的引擎类型和实例规格不同，请以实际界面为准。 实例规格 数据库实例各种规格（vCPU个数、内存（GB）、对应的数据库引擎）。 自动备份 创建实例时，关系型数据库默认开启自动备份策略，实例创建成功后，您可对其进行修改，关系型数据库会根据您的配置，自动创建数据库实例的全量备份。 手动备份 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 区域和可用区

本文介绍RDSPostgreSQL安全白皮书内容。 关系数据库PostgreSQL版（以下简称RDSPostgreSQL）是天翼云为用户打造的一款安全可信赖的数据库产品。 为了保障用户数据安全，高效支撑客户业务运行，天翼云禁止非客户授权人员操作用户实例与数据，禁止运维人员未经授权接入用户实例，禁止任何人非法处理客户数据。 另外，RDSPostgreSQL支持包括VPC、安全组、自动备份和跨可用区部署在内的多种特性，帮助用户更好管理数据，保障用户数据安全。 网络隔离 VPC（Virtual Private Cloud，即虚拟私有云）是一种运行在公有云上，专为某个用户私有使用的资源集合。在天翼云上，用户开通的RDSPostgreSQL实例运行在独立的VPC内，可以通过配置VPC控制连接数据库的IP地址段，量身定制网络访问策略。在网络层面，VPC配合安全组，用户即可便捷实现RDSPostgreSQL实例的网络隔离，从而保障RDSPostgreSQL实例的高安全性。 数据隔离 RDSPostgreSQL实例存储的所有数据都是以用户维度来分配和管理的，不同用户之间的数据相互独立、资源隔离，不会受到彼此的干扰与影响。另外，多可用区部署更提升了用户数据安全性。 访问控制 用户创建RDSPostgreSQL实例时，系统会默认会为用户分配一个独享的数据库主账户，该账户允许用户操作其所创建的数据库，且账户密码只能由用户保存，保障用户数据仅供用户本身访问。另外，用户还可以根据自身业务需要，创建其他权限的账户，从而实现权限分离。用户还可以通过安全组设置RDSPostgreSQL实例的出入访问策略，控制实例的网络访问范围。

本页介绍了天翼云关系数据库MySQL安全组规则的设置方法。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

本章节为您介绍系统统计报表相关功能。 数据资产分析 “数据资产分析”页面的功能是让用户知道自己有哪些资产，哪些资产更加敏感，哪些资产经常做数据脱敏等，刚进入本页面时，页面会展示系统自动更新过的数据。 数据安全专区会在每天凌晨自动更新数据。但是您也可以选择点击手动更新按钮来获得当前时间最新的数据。 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“系统统计报表 > 数据资产分析 ”，进入“数据资产分析”页面，即可查看数据资产情况。 本页信息一共展示了任务运行概述、数据源类型分布、数据源和schema粒度的敏感程度排名top10、敏感标签词云以及资产统计清单这些数据分析内容。 脱敏任务分析 “脱敏任务分析”页面的功能是让用户知道脱敏任务运行是否正常，整体任务运行质量如何（比如错误数的变化），任务调度分配是否合理等。 数据安全专区会实时更新本页面的大部分数据，其中任务属性是针对任务进行统计，任务运行是针对实例进行统计，而且脱敏任务分析只对结构化任务的数据进行分析。 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“系统统计报表 > 脱敏任务分析 ”，进入“脱敏任务分析”页面，即可查看脱敏任务分析情况。 说明 页面左侧可针对任务运行时间（即实例运行时间）进行搜索，包括最近7天（默认）、最近15天、最近30天和自定义。 页面都带“导出”功能，单击后可导出页面内容，支持PDF和HTML两种文件格式。

本章介绍天翼云关系型数据库所涉及的一些常用概念。 实例 关系型数据库的最小管理单元是实例，一个实例代表了一个独立运行的数据库。用户可以在关系型数据库系统中自助创建及管理各种数据库引擎的实例。实例的类型、规格、引擎、版本和状态。 数据库引擎 关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 实例类型 云数据库RDS的实例分为：单机实例、主备实例等。不同类型支持的引擎类型和实例规格不同，请以实际界面为准。 实例规格 数据库实例各种规格（vCPU个数、内存（GB）、对应的数据库引擎）。 自动备份 创建实例时，关系型数据库默认开启自动备份策略，实例创建成功后，您可对其进行修改，关系型数据库会根据您的配置，自动创建数据库实例的全量备份。 手动备份 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 图 区域和可用区

下发扫描 1.下发扫描卡片中点击“立即扫描”进行配置，任务根据右侧开关生效扫描任务。 2.以下是下发扫描的字段说明。 字段值 备注 自动修复 自动修复勾选的漏洞类型，部分漏洞重启后生效。 仅上报，不修复 不会自动修复漏洞。 漏洞类型 选项：紧急漏洞、高中低危漏洞、其他漏洞共5个。 "需重启漏洞"修复完成后的动作 仅当自动修复的漏洞列表包含“重启后生效”属性的漏洞时，才会执行设定的动作，否则不会执行任何动作。 防护对象 管控或排除指定的用户/设备。 漏洞补丁库更新日期 在"漏洞补丁库更新日期"区域，能看到漏洞补丁库的更新日期。 累计终端漏洞修复进度 在 “累计终端漏洞修复进度” 区域，能看到不同风险等级（紧急、高危、中危、低危、其他）的漏洞修复情况统计。 注意 查询时间支持本月、近7天、近30天、近60天、近90天、近180天。

本文主要介绍 步骤二:创建Kafka实例。 前提条件 在创建Kafka实例前，需要保证存在可使用的虚拟私有云。创建方法，请参考《虚拟私有云 用户指南》的“创建虚拟私有云和子网”。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 操作步骤 步骤 1 登录分布式消息服务Kafka控制台，单击页面右上方的“购买Kafka实例”。 步骤 2 选择计费模式。 步骤 3 在“区域”下拉列表中，选择靠近您应用程序的区域，可降低网络延时、提高访问速度。 步骤 4 在“项目”下拉列表中，选择项目。 步骤 5 在“可用区”区域，根据实际情况选择1个或者3个及以上可用区。 步骤 6 设置“实例名称”和“企业项目”。 步骤 7 设置实例信息。 1. 版本：Kafka的版本号，支持1.1.0、2.7和3.x，根据实际情况选择，推荐使用3.x。 Kafka实例创建后，版本号不支持修改 。 2. 鲲鹏实例，“创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 3. 在“代理规格”中，请根据业务需求选择相应的代理规格。在“代理数量”中，选择代理个数。 单个代理最大分区数代理个数实例分区数上限。当所有Topic的总分区数大于实例分区数上限时，创建Topic失败。 4. 在“存储空间”区域，您根据实际需要选择存储Kafka数据的磁盘类型和总磁盘大小。 Kafka实例创建后，磁盘类型不支持修改 。 存储空间包含所有副本存储空间总和，建议根据业务消息体积以及副本数量选择存储空间大小。假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB副本数 + 预留磁盘大小100GB。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 5. 在“容量阈值策略”区域，设置磁盘使用达到容量阈值后的消息处理策略，容量阈值为95%。 自动删除：可以正常生产和消费消息，但是会删除最早的10%的消息，以保证磁盘容量充足。该场景优先保障业务不中断，数据存在丢失的风险。 生产受限：无法继续生产消息，但可以继续消费消息。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 图 创建Kafka实例 步骤 8 设置实例网络环境信息。 1. 在“虚拟私有云”下拉列表，选择已经创建好的虚拟私有云和子网。 说明 虚拟私有云和子网在Kafka实例创建完成后，不支持修改。 子网开启IPv6后，Kafka实例支持IPv6功能。Kafka实例开启IPv6后，客户端可以使用IPv6地址连接实例。 子网开启IPv6后，页面才展示此参数。开启IPv6后，客户端可以使用IPv6地址连接实例。 开启IPv6的实例不支持动态开启和关闭SASLSSL功能。 实例创建成功后，不支持修改IPv6开关。 3. 在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对Kafka实例的访问规则的集合。您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 步骤 9 设置登录Kafka Manager的用户名和密码。创建实例后，Kafka Manager用户名无法修改。 Kafka Manager是开源的Kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 步骤 10 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤 11 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 “公网访问”默认为关闭状态，根据业务需求选择是否开启。开启公网访问后，还需要为每个代理设置对应的IPv4弹性IP地址。 图 设置公网访问开关 2. 设置“Kafka SASLSSL”。 客户端连接Kafka实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 “Kafka SASLSSL”默认为关闭状态，您可以选择是否开启。 Kafka实例创建后，Kafka SASLSSL开关不支持修改 ，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您可以选择是否开启“SASL PLAIN 机制”。未开启“SASL PLAIN 机制”时，使用SCRAMSHA512机制传输数据，开启“SASL PLAIN 机制”后，同时支持SCRAMSHA512机制和PLAIN机制，根据实际情况选择其中任意一种配置连接。Kafka实例创建后，SASL PLAIN机制开关不支持修改。 什么是SCRAMSHA512机制和PLAIN机制？ SCRAMSHA512机制：采用哈希算法对用户名与密码生成凭证，进行身份校验的安全认证机制，比PLAIN机制安全性更高。 PLAIN机制：一种简单的用户名密码校验机制。 开启Kafka SASLSSL后，您需要设置连接Kafka实例的用户名和密码。 3. 设置“Kafka自动创建Topic”。 “Kafka自动创建Topic”默认为关闭状态，您可以选择是否开启。 开启“Kafka自动创建Topic”表示生产或消费一个未创建的Topic时，系统会自动创建此Topic，此Topic的默认参数值如下：分区数为3，副本数为3，老化时间为72小时，不开启同步复制和同步落盘。 如果在“配置参数”中修改“log.retention.hours”、“default.replication.factor”或“num.partitions”的参数值，此后自动创建的Topic参数值为修改后的参数值。例如：“num.partitions”修改为“5”，自动创建的Topic参数值如下：分区数为5，副本数为3，老化时间为72小时，不开启同步复制和同步落盘。 4. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击“查看预定义标签”，跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个Kafka实例最多支持设置20个不同标签，标签的命名规格，请参考管理实例标签。 5. 设置实例的描述信息。 步骤 12 填写完上述信息后，单击“立即购买”，进入规格确认页面。 步骤 13 确认实例信息无误后，提交请求。 步骤 14 单击“返回Kafka专享版”，查看Kafka实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明 创建失败的实例，不会占用其他资源。

本文主要介绍使用服务端加密方式上传对象。 用户可根据需要对对象进行服务端加密，使对象更安全的存储在OBS中。 如果文件要上传的桶未开启默认加密，上传时默认不加密，您可自行配置服务端加密上传文件。如果文件要上传的桶已开启默认加密，上传时可继承桶的加密配置，也可自行配置服务端加密上传。 约束与限制 对象的加密状态不可以修改。 使用中的密钥不可以删除，如果删除将导致加密对象不能下载。 前提条件 已通过IAM服务添加OBS所在区域的KMS Administrator权限。权限添加方法请参见《统一身份认证服务用户指南》。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 单击“上传对象”，系统弹出“上传对象”对话框。 步骤 3 添加待上传的文件。 步骤 4 选择“SSEKMS”，您可以选择“默认密钥”，您上传的对象将使用当前区域的默认密钥进行加密，如果您没有默认密钥，系统将会在首次上传对象时自动为您创建。您也可以选择“自定义密钥”，通过单击“创建KMS密钥”进入数据加密服务页面创建自定义密钥，然后通过KMS密钥的下拉框选中您创建的KMS密钥。 说明 如果桶开启了默认加密，上传对象时您可以选择“继承桶的加密配置”。 步骤 5 单击“上传”。 对象上传成功后，可在对象列表中查看对象的加密状态。

防护效果 假如已添加域名“www.example.com”，且已开启了Web基础防护的“常规检测”，防护模式为“拦截”。您可以参照以下步骤验证WAF防护效果： 步骤1 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 不能正常访问，参照章节：网站接入WAF步骤一：添加防护网站 重新完成域名接入。 能正常访问，执行步骤2。 步骤2 清理浏览器缓存，在浏览器中输入“ 步骤3 返回Web应用防火墙控制界面，在左侧导航树，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以：下载防护事件数据 。 配置示例拦截SQL注入攻击 假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证WAF拦截SQL注入攻击。 步骤1 开启Web基础防护的“常规检测”，并将防护模式设置为“拦截”。 步骤2 开启Web基础防护。 步骤3 清理浏览器缓存，在浏览器中输入模拟SQL注入攻击（例如， 11）。WAF将拦截该访问请求，拦截页面示例如图所示。 步骤 4 返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

防护效果 假如已添加域名“www.example.com”，且配置了精准访问防护规则。可参照以下步骤验证防护效果： 步骤1 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 不能正常访问，参照章节步骤一：添加防护网站重新完成域名接入。 能正常访问，执行步骤2。 步骤2 清理浏览器缓存，在浏览器中访问“ 步骤3 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以下载防护事件数据。 配置示例拦截特定的攻击请求 通过分析某类特定的WordPress反弹攻击，发现其特征是UserAgent字段都包含WordPress，如下图所示。 因此，可以设置精准访问控制规则，拦截该类WordPress反弹攻击请求。User Agent配置方法如下图。 配置示例拦截特定的URL请求 如果您遇到有大量IP在访问某个特定且不存在的URL，您可以通过配置以下精准访问防护规则直接阻断所有该类请求，降低源站服务器的资源消耗，如下图所示。

本文介绍了RDS PostgreSQL备份存储空间的资费信息。 关系数据库PostgreSQL版提供的备份服务，其价格如下表： 备份类型 包月标准价格(元/GB/月） 按需标准价格(元/GB/小时） 普通IO 0.3 0.0005 高IO 0.4 0.0009 超高IO 1.2 0.0017 对象存储 不支持包月 0.000139 包年预付费优惠政策：1年85折，2年7折，3年、4年、5年均享受5折优惠。 使用对象存储的备份类型时，在跨域备份、下载审计日志等需要流量的场景，流量价格为： 流量类型 包月标准价格（元/GB/月） 按需标准价格（元/GB/小时） 对象存储流量 不支持包月 0.5 注意 目前对象存储的备份类型享受和购买的存储空间同等大小的免费额度，在免费额度内的备份将不收取任何费用。 超出免费额度外的备份将按照对象存储备份收费标准进行收费，每小时的备份费用 ( 备份总大小 免费备份额度 ) x 备份单价。 举例：如用户开通包周期2个月，存储空间100G的实例，那么在两个月内，备份空间不超过100G，则不会收取额外的备份费用。但如果备份超过100G，总备份为150G，则超出的50G按照0.00139元/GB/小时来收取费用。 此外用户的备份文件会根据备份策略进行保留，备份策略保留内的备份文件占用的对象存储容量按照以上规则进行收费。 在退订时，您的备份数据文件也将随之被清除，请于退订前妥善保存您的数据文件。

融合接口 功能说明 分片上传步骤较多，包括初始化、文件切片、各个分片上传、完成上传。为了简化分片上传，可以使用AWS.S3.ManagedUpload接口进行分片上传。 代码示例 plaintext let key "ExampleObject.txt" let localFile "E:/ExampleObject.txt" let f fs.createReadStream(localFile) let upload new AWS.S3.ManagedUpload({ service: this.s3Client, partSize: 10 1024 1024, // 10M一片，可以根据需要自己定义，每个文件不能超过10000分片 params: { Bucket: this.bucket, Key: key, Body: f, ACL: "private", // 初始化acl权限，默认为private，"private""publicread""publicreadwrite" ContentType: "text/plain", // 设置contentType, 默认是application/octetstream }, }); ​ upload.on("httpUploadProgress", progress > console.log(progress)) upload.send((err, data) > { if (err) { console.log("Error", err); } else { console.log("Success", data); } }); 关于ContentType的配置 ContentType用于标识文件的资源类型，比如image/png， image/jpg 是图片类型，video/mpeg， video/mp4是视频类型，text/plain， text/html是文本类型， 浏览器针对不同的ContentType会有不同的操作，比如图片类型可以预览，视频类型可以播放，文本类型可以直接打开。application/octetstream类型会直接打开下载窗口。 有些用户反馈图片和视频无法预览的问题，主要就是ContentType没有正确设置导致的；ContentType参数需要用户主动设置，默认是application/octetstream。在nodejs中，可以根据对象key值后缀扩展名来决定文件的ContentType，参考代码如下： plaintext let mime require("mimetypes") ​ let mimeType (key) > { let ret mime.lookup(key); if (ret false) { return ""; } return ret; }

分享对象 媒体存储支持用户将对象临时或者永久共享给其他人。 临时分享： 通过点击对象操作栏【详情】按钮，弹窗页面选择【复制文件URL】,可将临时URL直接将其分享给其他用户。文件分享强调临时性，所有分享的URL都是临时URL，存在有效期。 临时URL是由文件的访问域名和临时鉴权信息组成。示例如下： 临时鉴权信息主要包含 XAmzAlgorithm 、 XAmzDate 、 XAmzSignedHeaders 、 XAmzExpires 、XAmzCredential和XAmzSignature六个参数。 XAmzAlgorithm 、 XAmzSignedHeaders 、XAmzCredential和XAmzSignature用于鉴权。 XAmzDate和XAmzExpires用于定义鉴权的有效期。 XAmzDate展示的是格林尼治时间，但实际链接生成的时间是以东八区时间为准。 永久共享： 通过点击对象操作栏【设置权限】按钮，将对象的公共权限设置为公共读，此时再进入详情复制的URL就是永久链接。若用户重新将权限设置为私有，则永久链接失效，无法再访问下载该对象。 约束与限制 临时分享文件的URL有效期如下： 支持的使用方式 有效期 控制台 临时授权失效的时间为24小时。 SDK 通过参数“Expires”可设置临时授权失效的时间。默认临时授权失效的时间为24小时。 XstorBrowser 默认2小时。如果需要更长的有效期，可以在分享页面设置失效时长。

本章节为媒体存储服务端加密概述。 使用场景 媒体存储支持服务端加密，当用户配置服务端加密后，媒体存储将对收到的对象进行加密，再将加密对象持久化保存。 当用户通过GetObject请求下载文件时，服务自动将加密文件解密后返回给用户，并在响应头中返回xamzserversideencryption，用于声明该文件进行了服务器端加密。 媒体存储支持以下加密方式： 密钥托管于服务端：即XOS完全托管，使用媒体存储服务端的密钥进行加密，用户无需管理密钥，用户可以通过控制台、API或SDK配置此加密。支持以存储桶维度配置加密，配置完成后，上传对象到该存储桶均默认进行加密。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 使用说明 用户控制台默认只允许设置行业标准的AES256加密算法。 桶加密开关关闭后，访问加密对象必须使用HTTPS协议。 媒体存储只对服务器端加密配置生效后上传的对象进行加密，不会加密历史文件。 使用方式 操作途径 使用方式 :: 控制台 可参考：服务端加密。 SDK 媒体存储支持多种语言SDK，请从SDK概览页面选择进入对应的开发指南查阅。 原生接口 可参考：配置加密规则。

管理数据标准 在DataArts Studio数据架构控制台，单击左侧导航树中的“数据标准”，进入数据标准页面。您可以对数据标准进行管理。 在数据标准页面，可以执行以下操作： 搜索 在数据标准上方，设置标准、数据类型、创建人、审核人等筛选条件，然后单击“搜索”可以查找指定的数据标准。 找到指定的数据标准后，可以执行以下操作： −编辑 −发布 −下线 导入 单击“更多 > 导入”，可以导入数据标准，下载导入模板，填写模板并上传，然后单击“确定”。 导出 −导出指定目录中的数据标准 在数据标准目录结构中，选中一个目录，单击数据标准列表上方的“更多 > 导出”，可以导出该目录下的所有的数据标准。 −导出指定的数据标准 在数据标准列表中，选中需要导出的数据标准，然后单击列表上方的“更多 > 导出”，可以导出所选中的数据标准。 删除 勾选标准后单击“更多>删除”，可以删除数据标准，其中待发布，已发布和待下线状态的数据标准不可被删除。且被引用的数据标准不可被删除。 发布 选中需要发布的数据标准，单击“发布”，弹出“提交发布”对话框，下列两种方式任选其一。 −选择审核人。如果下拉列表里无审核人，可单击旁边的进行添加。 −勾选“自主审批”。 说明 如果当前账号在审批人列表中，才会有“自主审批”功能。 单击“确认提交”，如果选择了审核人，需要审核通过后才能发布上线。如果勾选了“自主审批”，会立即发布上线。

本文主要介绍Agent安装配置方式说明 。 安装Agent方式有如下几种，你可以根据你所使用的服务的操作系统类型、是否有多个服务器以及个人习惯选择任何一种或多种安装方式： 安装场景 支持的服务 参考章节 安装Agent（Linux） ECS、BMS 在ECS/BMS中安装配置Agent（Linux） 安装Agent（Windows） ECS 在ECS中安装配置Agent（Windows） 批量安装Agent（Linux） ECS 在ECS中批量安装Agent（Linux） 安装配置依赖： 安装Agent依赖DNS的配置和安全组配置，DNS错误或安全组规则不正确会导致Agent包下载失败。因此在安装Agent前需要首先修改DNS的配置并配置安全组规则。 安装Agent后，可以通过“修复插件配置”完成委托配置和文件配置。 当通过“修复插件配置”或其他原因无法完成Agent配置时，您还可以手工配置Agent。 支持安装Agent的操作系统请参见Agent支持的系统有哪些？ 对于私有镜像，推荐您使用已安装Agent的ECS或BMS制作私有镜像，并使用该私有镜像创建ECS或BMS，并在创建完资源后通过修复插件配置（ Linux ）来完成Agent的配置。 注：制作的私有镜像不支持跨Region使用，跨Region使用会导致没有监控数据。 注意 使用私有镜像安装使用Agent过程中出现任何问题，CES将不对此提供技术支持。

本文介绍如何创建达梦数据库备份。 操作场景 通过创建达梦备份任务来备份主机上的达梦数据库数据，并在需要时通过备份副本进行达梦数据库文件的恢复，再导入数据库。 约束与限制 存储库需要和安装了客户端的备份主机在同一地域（网络可达）。 支持在能连接上达梦数据库主机上安装客户端，进行备份。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已创建存储库。 主机客户端状态为“在线”，具体步骤参见安装客户端。 主机内安装了“DM Client ”或达梦数据库。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面。 4. 单击“主机列表”，选择对应主机，点击更多下的“新建任务”或者“任务列表”的"新建备份任务"按钮进入备份任务界面。 5. 点击 “添加资源”，添加 达梦数据库，输入对应参数，确认后创建连接，可点击“连接”按钮确认数据库连接状态。 6. 选择创建好的达梦数据库连接。 7. 选择需要备份的数据库内容，点击下一步。 8. 选择备份的目标存储库并配置备份周期、导出目录、最大版本数等备份策略，点击“下一步”。 9. 自定义备份任务名称，确认备份信息无误后，点击“提交”，完成任务创建。

本文介绍如何创建MongoDB数据库备份。 操作场景 通过创建MongoDB备份任务来备份主机上的MongoDB数据库数据，并在需要时通过备份副本进行MongoDB数据库文件的恢复，再导入数据库。 约束与限制 存储库需要和安装了客户端的备份主机在同一地域（网络可达）。 支持在能连接上MongoDB数据库主机上安装客户端，进行备份。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已创建存储库。 主机客户端状态为“在线”，具体步骤参见安装客户端。 主机内安装了“MongoDB”或“MongoDBClient ”。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面。 4. 单击“主机列表”，选择对应主机，点击更多下的“新建任务”或者“任务列表”的"新建备份任务"按钮进入备份任务界面。 5. 点击 “添加资源”，添加 "MongoDB"连接，输入对应参数，确认创建连接，可点击“连接”按钮确认数据库连接状态。 6. 选择创建好的"MongoDB"连接，点击下一步。 7. 选择需要备份的数据库内容，点击下一步。 8. 选择备份的目标存储库并配置备份周期、导出目录、最大版本数等备份策略，点击“下一步”。 9. 自定义备份任务名称，确认备份信息无误后，点击“提交”，完成任务创建。

名称 描述 是否必须 StartTime 指定返回管理事件的起始时间。如果同时指定了起始时间和结束时间，则起始时间必须早于结束时间，否则将返回错误信息。 类型：时间戳 取值：unix时间戳（UTC），精确到毫秒。默认起始时间为距当前时间往前数的第184天。 如果起始时间晚于结束时间，会报错。 如果起始时间是早于当前时间184天之前的时间，则返回数据的起始时间为距当前时间往前数的第184天。 否 EndTime 指定返回管理事件的结束时间。如果同时指定了起始时间和结束时间，则起始时间必须早于结束时间，否则将返回错误信息。 类型：时间戳 取值：unix时间戳（UTC），精确到毫秒。默认结束时间为目前时间。 如果StartTime和EndTime都为早于当前时间184天前的时间，则返回距当前时间往前数的第184天那天的数据。 否 LookupAttributes 指定管理事件的查询属性。 类型：数组 取值：Attributekey和AttributeValue成对出现。 否 AttributeKey 指定查询管理事件的属性Key。 注意 如果指定AttributeKey，每次只能指定一个AttributeKey，且取值唯一。 类型：字符串 取值： EventId。 EventName。 ReadOnly。 UserName。 ResourceType。 ResourceName。 EventSource。 AccessKeyId。 否 AttributeValue 指定AttributeKey对应的值。 类型：字符串 取值：根据AttributeKey确定。其中ResourceName根据前缀匹配查询，区分大小写；EventId、UserName、EventName、ResourceType、EventSource、AccessKeyId全字匹配查询，并且区分大小写。 否 MaxResults 设置响应中最多返回的条数。如果存在超出您指定的返回项，响应结果中会返回NextToken的值。 类型：整数类型 取值：150，默认值为50。 否 NextToken 分页标识。还有需要返回的管理事件时，上条响应结果中会返回该参数。查看未显示项时，请求参数中需要携带此参数。 类型：字符串 取值：与上条响应结果中的参数值一样。 否

本文介绍云渲染产品计费类常见问题。 实时云渲染按需计费带宽支持什么计费方法？ 实时云渲染支持按流量计费和带宽月95峰值计费，按需带宽月95峰值计费方式仅对线下客户开放，您可以向您的客户经理申请开通。 渲染服务里包年包月和按需计费，两种渲染服务有什么区别？ 包年包月服务可以选择开通路数，根据固定账单按月收费。 按需计费模式无法选择开通路数，按访问应用链接时产生的流量和带宽的使用情况收取相应费用。 欠费冻结后的如何计费？ 当用户账户余额不足导致扣费失败时，服务处于欠费状态，欠费后会以短信/邮件的方式提醒用户尽快支付账单，欠费1小时内云渲染服务可以正常使用并产生资费。 若欠费后24小时内未充值，云渲染服务将被关停。从用户发生欠费当日算起，用户的渲染服务购买信息将保留15天，超过15天后用户的渲染服务实例将被删除且不可恢复。 按需购买渲染服务时账户余额不足是否有提醒？ 您可在用户中心自助设置余额阈值，低于阈值即会短信提醒。 按需付费云渲染服务是否支持退款，如何退订？ 不支持，若需要退订云渲染按需服务，请在用户中心选择按需服务退订即可。

IAM控制台创建自定义策略 1.使用天翼云账号登入IAM控制台。 2.在左侧导航栏，选择 "策略管理" "创建自定义策略"。 3.输入策略名称，输入策略描述（可选），点击下一步。 4.设置策略内容，本文介绍使用可视化视图的方式设置，如果需要使用更灵活的JSON视图，请参考IAM文档。 效果：允许（允许策略中配置的权限），拒绝（拒绝策略中配置的权限） 云服务：搜索关键字“容器镜像服务” 操作：根据需求勾选需要配置的操作（即权限） 资源：具体见资源权限管控内容 条件：该配置参考具体IAM文档。 5. 点击保存，完成自定义策略的创建。 为子账户设置自定义权限策略 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择用户授权子账户。 3. 选择操作 查看，进入用户界面，选择权限管理标签页，选择个人权限的新增权限。 4. 搜索框输入上一步设置的自定义权限策略名称，勾选上一步创建的自定义权限策略。 5. 点击“下一步”，由于CRS自定义权限为全局服务资源，无需设置资源池。 6. 点击 “确定”，即可完成为子账户授权。 CRS资源权限管控 使用IAM的JSON视图创建自定义策略时，可以通过设置资源字段来实现细粒度的资源权限管控。

本文主要介绍按需计费的方式。 按需计费模式是一种更加灵活的DRDS购买方法。 收费方式 后付费方式：需要提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。 例如：如果您在1点01分开通，那么时间到2点就算做一个自然小时；如果您在1点58分开通，那么时间到2点也算做一个自然小时，都是按照1个小时收费。所以为了避免您的时间损失，建议您整点后几分钟内开通，在整点前几分钟删除。 退订规则 DRDS删除后，会立即释放资源，数据不会保留。 删除DRDS时，实例的CPU、内存等自身费用将停止计费，其他关联资源会继续计费。 账户欠费 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。更多信息，请参见到期与欠费。 提醒/通知规则 账户欠费通知：当用户欠费时，系统会向用户发送1次欠费提醒，并在欠费的第2天、第4天、第6天各发送1次欠费提醒。 提醒及通知方式：以邮件和短信方式告知用户，请及时关注您的短信及邮件。

本节介绍了绑定和解绑弹性IP操作步骤。 操作场景 GeminiDB Redis实例创建成功后，支持用户绑定弹性IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 使用须知 对于已绑定弹性IP的节点，需解绑后，才可重新绑定其他弹性IP。 用户需要评估业务所需带宽，购买带宽资源足够的弹性公网IP， 因公网网络性能造成的客户端访问异常不计入SLA 。 绑定弹性IP 1、登录云数据库GeminiDB控制台。 2、在“实例管理”页面，选择目标实例，单击实例名称。 3、在“基本信息>节点信息”区域的节点上，单击操作列的“绑定弹性IP”。 图1 绑定弹性IP 4、在弹出框列表中，显示“未绑定”状态的弹性IP，选择所需绑定的弹性IP，单击“是”，提交绑定任务。如果没有可用的弹性IP，单击“查看弹性IP”，创建新的弹性IP。 图2 选择弹性IP 5、在节点的“弹性IP”列，查看绑定成功的弹性IP。 如需关闭，请参见下文解绑弹性IP。 解绑弹性IP 1、登录云数据库 GeminiDB控制台。 2、对于已绑定弹性IP的节点，在“实例管理”页面，选择目标实例，单击实例名称。 3、在“基本信息”页面“节点信息”区域的节点上，单击“解绑弹性IP”。 图3 解绑弹性IP 4、在弹出框中，单击“是”，解绑弹性IP。 图4 确认解绑 如需重新绑定，请参见上文[绑定弹性IP](

本章主要介绍翼MapReduce的恢复NameNode数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对NameNode进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对NameNode进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复NameNode任务并恢复数据。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的NameNode数据。 建议一个恢复任务只恢复一个组件的元数据，避免因停止某个服务或实例影响其他组件的数据恢复。同时恢复多个组件数据，可能导致数据恢复失败。 HBase元数据不能与NameNode元数据同时恢复，会导致数据恢复失败。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 恢复数据后需要重启NameNode，重启完成前NameNode不可访问。 恢复数据后可能导致元数据与业务数据无法匹配，HDFS进入安全模式且HDFS服务启动失败。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 登录FusionInsight Manager，请参见登录管理系统。 在FusionInsight Manager停止所有待恢复数据的NameNode角色实例，其他的HDFS角色实例必须保持正常运行，恢复数据后重启NameNode。NameNode角色实例重启前无法访问。 检查NameNode备份文件保存路径是否保存在主管理节点“ 数据存放路径 /LocalBackup/”。

本节主要介绍升级内核小版本。 GeminiDB Influx支持补丁升级，补丁升级涉及性能提升、新功能或问题修复等。 当GeminiDB Influx发布新的涉及性能提升、新功能或问题修复等补丁版本时，客户可以根据自身的业务特点，选择合适的时机升级至最新版本。 天翼云有新的补丁版本发布时，您可以在“实例管理”页面如图1“兼容接口”列看到补丁升级提示，单击“补丁升级”进行补丁版本升级。 图1 补丁升级 使用须知 当有对应的补丁更新时（定期同步开源社区问题、漏洞修复），请及时进行升级。 补丁升级会采用滚动升级的方式，升级过程中会依次重启每一个节点，重启期间业务会由其他节点接管，每次接管会产生510s闪断，请在业务低峰变更，避免实例过载，并建议业务添加自动重连机制，确保重启后连接及时重建。 基础组件升级约需15分钟，数据组件升级与节点数量有关，约12min每节点。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB接口”。 3. 在“实例管理”页面，选择指定的实例，单击“兼容接口”列的“补丁升级”。 图2 补丁升级 您也可以单击实例名称，进入基本信息页面，在“数据库信息 > 兼容接口”处单击“补丁升级”。 图3 补丁升级 4. 在弹出框中，确认信息无误后，单击“确定”。 图4 确认信息 5. 在“实例管理”页面，查看补丁升级情况。 升级过程中，实例运行状态为“补丁升级中”。 升级完成后，实例运行状态变为“正常”。

磁盘类型 标准资费（按月）元/GB/月 标准资费（按天）元/GB/天 标准资费（按年）元/GB/年 标准资费（按需）元/GB/小时 高IO（SAS） 0.4 0.013151 4.8 0.000900 超高IO（SSD） 1.2 0.039452 14.4 0.001700

磁盘类型 标准资费（按月）元/GB/月 标准资费（按天）元/GB/天 标准资费（按年）元/GB/年 标准资费（按需）元/GB/小时 高IO（SAS） 0.4 0.013151 4.8 0.000900 超高IO（SSD） 1.2 0.039452 14.4 0.001700

本章节主要介绍Redis单机实例 DCS Redis单机实例有四个版本选择，Redis3.0、Redis4.0、Redis5.0和Redis6.0。 单机实例特点 1. 系统资源消耗低，支持高QPS 单机实例不涉及数据同步、数据持久化所需消耗的系统开销，因此能够支撑更高的并发。Redis单机实例QPS达到10万以上。 2. 进程监控，故障后自动恢复 DCS部署了业务高可用探测，单机实例故障后，30秒内会重启一个新的进程，恢复业务。 3. 即开即用，数据不做持久化 单机实例开启后不涉及数据加载，即开即用。如果服务QPS较高，可以考虑进行数据预热，避免给后端数据库产生较大的并发冲击。 4. 低成本，适用于开发测试 单机实例各种规格的成本相对主备减少40%以上。适用于开发、测试环境搭建。 总体说来，单机实例支持读写高并发，但不做持久化，实例重启时不保存原有数据。单机实例主要服务于数据不需要由缓存实例做持久化的业务场景，如数据库前端缓存，用以提升数据读取效率，减轻后端并发压力。当缓存中查询不到数据，可穿透至磁盘数据库中获取，同时，重启服务/缓存实例时，可从磁盘数据库中获取数据进行预热，降低后端服务在启动初期的压力。 实例架构设计 DCS的Redis单机实例架构，如下图所示。 说明 Redis3.0不支持定义端口，端口固定为6379，Redis4.0和Redis5.0支持定义端口，如果不自定义端口，则使用默认端口6379。以下图中以默认端口6379为例，如果已自定义端口，请根据实际情况替换。 Redis单机实例示意图 示意图说明： VPC 虚拟私有云。实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与实例处于相同VPC，并且配置安全组访问规则。 客户应用 运行在ECS上的客户应用程序，即实例的客户端。 Redis实例兼容开源协议，可直接使用开源客户端进行连接，关于客户端连接示例，请参考2.2 连接实例。 DCS缓存实例 DCS单机实例只有1个节点，1个Redis进程。 DCS实时探测实例可用性，当Redis进程故障后，DCS为实例重新拉起一个新的Redis进程，恢复业务。

计费样例 智能边缘虚拟机的“按需计费”模式，是按照秒级计算费用，您可以在资源开通页面或帮助文档的价格中了解每小时的价格。您可以将每小时价格除以3600，得到每秒的价格。 示例，某一按需资源实例价格为0.18元/小时，则购买一台此资源实例，根据实际使用时长，按秒计费，按小时结算。 使用1小时30分钟，根据实际使用时长按秒计算：（0.18/3600）x 90 x 60 0.27 元。 续订 如需续订，请在【天翼云官网>我的>费用中心>订单管理>续订管理】页面进行操作，可以查看余额、充值、对包年或包月资源进行续订。 计费方式为包年包月的资源，在订购时支持选择【启用自动续费】，订购成功后，当资源距离到期日期还有10天时，系统会发起自动续订。每次会自动续订一个月，续订的价格以按月订购的价格为准，请在资源到期前10天，确保账号余额充足，可以自动扣费成功完成续订。如需取消自动续订，请在【天翼云官网>我的>费用中心>订单管理>续订管理】页面进行修改。 到期与欠费 包年/包月计费资源到期后，若不续订，将冻结对应实例，并在15天后释放资源。 欠费后，按需计费的资源将会被冻结，请在费用中心查看欠费详情、充值以解冻资源。为防止相关资源因欠费被冻结、释放，请及时充值，保持账户余额充足。若持续欠费超过15天，按需计费的资源实例将会被释放。 到期或欠费后，资源的释放时间以客户收到的邮件或短信提示为准。

您的备案信息提交后，可登录天翼云代备案管理系统（ 天翼云审核时间： 备案初审：提交备案初审订单后，订单将会在1个工作日左右进行审核，具体以实际审核时间为准。 工信部短信核验时间： 您收到天翼云发出的备案信息提交管局通知后，会收到工信部发出的短信核验验证码，您需在收到核验短信的24小时内完成短信核验，核验成功后备案申请会进入管局审核。 管局审核时间： 管局审核时长一般不超过20个工作日，具体以管局实际审核时间为准。

操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云边缘云会将加速域名的CNAME解析至客户源站地址；3天后，天翼云边缘云会将加速域名的CNAME解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地边缘节点址失效，此时域名请求如果仍访问至，则会响应403。

本文为您介绍如何关闭重点操作短信验证。 重点操作验证，是天翼云平台为了保障安全，在用户进行重点操作前增加的二次认证，二次认证通过后系统才能执行用户操作。可避免因误操作引起严重后果，提供更高的安全性。您可以按照以下方式，关闭重点操作短信验证功能： 1. 登录天翼云账号，点击右上角头像下方的【个人中心】进入基本信息，下拉点击“安全设置”再点击“登录保护”如下图所示。 2. 点击【立即修改】跳转至概览/设置重点操作验证，如下图所示。 3. 选择关闭，如下图所示。 4. 点击【保存】，即可关闭重点操作保护。