本节主要介绍云存储网关申请开通规则。 功能说明 支持高可用，支持iSCSI协议，支持中英文Web管理界面。 申请公测 详见申请部署。 申请公测须知 提交公测申请前请务必准备好存储网关服务器的登录信息，包括：外网IP地址、连接端口号、用户名、密码、对象存储（经典版）I型具有所有权限的AccessKeyID和SecretAccessKey，运维人员将与您确认此信息后方可部署。 订单0元支付成功后，会有天翼云运维人员与您预约安装时间，部署一套网关约需8小时，安装部署服务时间：5天×8小时（法定节假日除外），请您耐心等待。 该产品不涉及续订、退订，使用过程中如遇问题，请提交工单进行解决。

云工作流支持创建标准和快速两种模式的工作流。 本文主要介绍快速工作流和标准工作流的特点和差异， 用户可根据这些内容的介绍针对业务流程选择不同模式的工作流。 基本概念 标准（Standard）工作流具备执行步骤状态的持久化存储，支持运行长时间的工作流执行状态流转，适用于传统意义上的离线业务流程编排执行场景 快速（Express）工作流适用于流程结构简单、需要低延迟执行的工作流场景， 适用于常见的在线业务流程编排和准实时业务流程编排场景，例如微服务API编排、流式数据处理等低延迟和大负载业务场景。 工作流模式对比 执行指标 标准工作流 快速工作流 最长执行时长 365天 5分钟 执行语义 异步执行，遵循至少执行一次（At least once）语义，支持持久化，但是在特殊条件下可能会导致数据被重复处理。 同步执行 执行历史 可通过API查询指定工作流执行历史、工作流执行详情。 可通过API查询指定工作流执行历史、工作流执行详情。 服务集成 云服务集成调用模式支持如下三种集成模式。更多信息，请参见服务集成模式。 请求响应模式（RequestComplete） 等待系统回调（WaitForSystemCallback） 等待任务令牌（WaitForTaskToken） 仅支持请求响应模式（RequestComplete）

本文介绍不同套餐版本适用的业务规模、支持的防护功能。 套餐和版本概述 天翼云Web应用防火墙（边缘云版）（下文简称WAF）支持包年包月计费模式。本文介绍不同套餐版本适用的业务规模、支持的防护功能。 WAF套餐版本分为：体验版、基础版、标准版、专业版、旗舰版。 适用的业务规模 下表描述了不同WAF版本适用的业务规模。一般情况下，对于中型规模的企业网站，推荐您选择专业版或者旗舰版。 业务规格 体验版 基础版 标准版 专业版 旗舰版 价格（元/月） 399 1660 3560 8560 19660 适用场景 用于小微型网站的标准化防护。 用于小型网站的标准化防护。 用于中小型客户网站的标准化防护。 用于中小型客户网站业务安全防护及中大型客户网站有高标准安全需求。 用于大型及超大型客户网站业务安全防护，及复杂业务站点的定制化防护服务。 业务带宽（Mbps） 10 50 100 150 300 支持主域名个数 1 1 1 2 3 支持总域名个数（包括主域名和其下的子域名） 10 10 10 20 30

名称 例子 含义 ownerid testuser 源存储桶ownerid bucket sbucket 源存储桶名字 time [23/Aug/2020:10:00:42+0800] 访问时间 remoteaddr 192.168.56.xxx 请求发起的IP地址 user testuser 执行用户 requestid tx00000000000000000001c005f41cdcaa222fdefault 用于唯一标识该请求的id operation REST.GET.ACL 请求类型 oname objname 对象名字 uri GET/sbucket?aclHTTP/1.1 用户请求的uri httpstatus 200 返回的http状态码 errorcode 返回的错误码 bytessent 441 用户下载的流量 objsize 0 对象大小 totaltime 1 处理本次请求所花的时间（毫秒） referrer 请求的httpreferer useragent Boto3/1.4.6Python/2.7.5Linux/3.10.01062.el7.x8664Botocore/1.8.35 http的useragent头 oversionid 版本id

本文介绍热门分析。 功能说明 支持三个月内、最长时间跨度为一个月的热门数据统计，包括域名排行和TOP客户端IP统计。并支持数据下载导出，表格内容与页面一致。 操作指引 进入【统计分析】【热门分析】功能模块，即可查看域名排行和TOP客户端IP排行。 域名排行 域名排行可按照流量或连接数对域名的访问量进行排行。选择“流量优先”时按照流量大小排序，选择“连接数优先”时按照连接数排序，并支持表格导出。 TOP客户端IP TOP客户端IP可展示TOP客户端IP对应的流量、连接数。可选择域名、地区、流量优先或连接数优先进行查询。选择“流量优先”时按照流量大小排序，选择“连接数优先”时按照连接数排序，并支持表格导出。

业务场景 用户可以通过DLI内置的TPCH测试套件进行简单高效的交互式查询，无需用户上传数据，即可以体验DLI的核心功能。 DLI内置TPCH的优势 用户只需要登录DLI，完成授予权限，即可操作SQL语句，无需用户自己创建表和导入数据。 预置22条TPCH SQL查询模板，功能丰富，可满足大部分的商业场景，无需用户自行下载TPCH的查询语句，省时省力。 用最小的时间代价体验serverless化的DLI产品，领略数据湖带给我们的全新体验。 注意 子账号使用TPCH测试套件时，需要主账号为子账号赋权OBS访问权限和查看主账号表的权限；如果主账号未登录过DLI服务，子账号除上述权限外，还需要创建数据库和创建表的权限。 操作说明 具体操作指导详见 SQL模板管理。

本文介绍URL鉴权支持的加密算法。 应用场景 为保障直播资源不被非法盗用，避免产生不必要的带宽浪费，您可以使用视频直播的URL鉴权功能，在主播推流或播放URL中加上鉴权信息。在主播请求直播推流或观众请求播放时，CDN会对其URL带的加密信息进行合法性判断，仅校验通过的请求会予以响应，其它非法的访问将予以拒绝，从而有效地保护直播资源。 支持算法 URL鉴权支持的加密算法包括MD5HASH算法和HMACSHA256算法。更多URL鉴权信息请参见：URL鉴权。 注意 建议配置开启URL鉴权，否则域名将存在资源被恶意下载或者非法盗用风险，您需要承担因盗用产生的相关服务费用。 若要开启URL鉴权，需客户端与CDN服务侧进行配合使用。

本文主要介绍了如何查看和导出流水账单。 流水账单展示了按照不同计费模式下的每一笔订单和每个计费周期维度构成的账单，根据此账单进行扣费和结算，并可导出两种格式（xlsx、csv）的账单，在“导出记录”下载。 查看流水账单 1、进入“费用中心＞账单管理＞流水账单”页面； 2、设置计费模式、账期、订单号等查询条件，查看流水账单数据； 3、也可以通过导出左侧的按键设置定制列，自定义查询账单。 4、完成设置后，在流水账单列表中，可以查看到账期内的详细消费信息。 导出流水账单 1、进入“费用中心＞账单管理＞流水账单”页面； 2、设置计费模式、账期、订单号等查询条件，查看流水账单数据； 3、点击“导出”图标，选择导出格式，即可导出对应的流水账单。

本文介绍DDoS高防（边缘云版）弹性防护相关问题。 弹性防护该如何选购？ 最大防护能力套餐内防护能力+弹性防护能力。防护能力需要考虑防护带宽峰值（单位：Gbps）及CC防护能力（单位：QPS）。 需要根据您自身业务希望防护的最高防护带宽来评估。弹性防护是按天按需进行收费，数据统计标准为每天的0:0024:00期间遭受的最大弹性峰值，具体计费表可参考计费模式。 例如：比如您希望防护100Gbps带宽、100000QPS的CC攻击；选购的基础套餐版本为DDOSM4，包含20Gbps防护带宽和80000QPS的CC防护能力，则弹性防护可选择购买80Gbps弹性防护，同时还能弹性支持320000QPS的CC防护能力。 若您遭受的攻击频繁超出基础套餐的防护带宽，建议升级为更大的套餐，若您仅是偶尔被攻击且攻击量不确定，可以购买弹性防护作为保险。 弹性防护如何出账？ 购买时选定弹性防护最高防护峰值，若攻击超出套餐防护规格，则超出部分按照弹性防护阶梯按日收费。 每日计费值以当天（0:00~24:00）攻击的最大攻击峰值为计费标准。 弹性防护当日最大DDoS攻击峰值套餐保底防护带宽，超出CC防护攻击值当日最大CC攻击峰值套餐内CC防护能力，再找到超出防护带宽、超出CC防护值在弹性防护计费列表中对应的计费区间，二者取其高，即可算出弹性防护超出费用。 例如：基础套餐购买的版本为DDOSM3，包含10Gbps、50000QPS，弹性防护购买20Gbps 、80000QPS。以下仅以带宽部分超出的情况为例： 若当前遭受攻击为10Gbps以内（如8Gbps）不进行额外收费； 若当前遭受攻击为超过10Gbps（如15Gbps），超出的部分为5Gbps，参考弹性防护计费标准，落在第一阶梯[010Gbps]以内，按照860元/天收费。 若当前遭受攻击为25Gbps，则超出的部分为15Gbps，落在第二阶梯[1020Gbps]以内，按照1760元/天收费。 若当前遭受攻击为35Gbps，则超出的部分为25Gbps，但最高弹性防护仅购买20Gbps，则不进行防护，直接解析回源，2小时后再恢复服务，不产生任何弹性防护费用。 弹性防护计费具体计费表可参考计费模式。

创建DRDS实例后，您可以根据实际情况设置备份策略，系统将按照您设置的备份策略对实例进行备份与备份清理。 注意事项 由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段设置自动备份。设置自动备份策略后，会按照策略中的备份时间段和备份周期进行备份。 DRDS的备份策略将覆盖其关联的MySQL的备份策略。设置完成后请勿在MySQL控制台修改备份策略，避免备份失败。 保留天数限制取决于底层MySQL的限制，MySQL实例备份类型为对象存储的实例最多支持保留180天，MySQL实例备份类型为云硬盘的实例最多支持保留7天。详情参考MySQL官网文档。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 单击【备份恢复】，进入【备份列表】页面。 5. 单击【备份策略】页签，然后单击备份策略右侧的【编辑】。 6. 在备份策略面板中，设置如下备份参数。 【备份方式】：选择【快速备份】或【一致性备份】。 【备份周期】：选择周一至周日任意天数，可重复勾选。 【数据备份保留天数】：数据备份的保留天数。 【备份开始时间】：选择备份开始时间，支持设置的范围为00:00~24:00。 7. 勾选【此备份策略将覆盖其关联的RDS的备份策略。设置完成后，请勿修改RDS上的备份策略，避免备份失败】，然后单击【确定】。 您可以在【备份策略】页签下，查看当前实例的备份策略。

本节介绍了关系数据库MySQL产品生命周期的相关内容。 关系数据库MySQL版在MySQL社区版本生命周期的基础上，延长了支持时间。在延长期内，关系数据库MySQL会持续发布新的版本，新版本仅限于对严重影响实例安全和稳定的问题进行修复。由于MySQL社区对安全类问题进行了保密处理，天翼云关系数据库MySQL并不能承诺修复所有严重的安全和稳定性问题。 关系数据库MySQL基于MySQL开源社区提供数据库云服务，本文将为您介绍关系数据库MySQL的版本策略，您可以根据此信息进行规划，在创建实例、数据迁移等操作时选择更合适的目标版本。 天翼云延长支持停止服务时间，是为用户迁移业务提供更充裕的时间。数据迁移的具体操作，请参见版本升级。 天翼云对关系数据库MySQ各个版本的停售和停止服务时间参见下表。 说明 下表中时间为预计时间，请以实际停售、停止支持的公告时间为准。 当关系数据库MySQL某个版本停售后，您将无法新购该停售版本实例。 当关系数据库MySQL某个版本产品停止服务（即生命周期结束）后，将不再售卖，并且对已EOS的存量实例将不提供内核漏洞修复支持服务，建议将已EOS的存量实例尽快升级到最新的内核版本，避免严重影响实例安全和稳定。 请您提前制定版本升级或者数据迁移等操作的计划。 表 关系数据库MySQL各个版本生命周期 MySQL版本号 社区发布时间 社区生命周期结束时间 天翼云EOM（停售）时间 天翼云EOS（停止服务）时间 5.6 2013年2月5日 2021年2月5日 2025年10月10日（关于天翼云二类节点关系数据库 MySQL 5.6版本于2025年10月10日00:00（北京时间）停售的公告） 2026年4月10日 5.7 2015年10月21日 2023年10月21日 8.0 2018年4月19日 2026年4月

本文主要介绍OBS服务端加密相关问题。 我对存储在OBS上的数据加密时，可支持哪些加密技术？ 您在将数据上传到OBS中前，可以事先对数据进行加密，以保证传输和保存的安全性。OBS不限定客户端加密的技术。 用户可根据需要对对象进行服务端加密，使对象更安全的存储在OBS中。 需要上传的对象可以通过数据加密服务器提供密钥的方式进行服务端加密。用户首先需要在KMS中创建密钥（或者使用KMS提供的默认密钥），当用户在OBS中上传对象时使用该密钥进行服务端加密。 当启用服务端加密功能后，用户上传对象时，数据会在服务端加密成密文后存储。用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。 OBS支持通过接口提供KMS托管密钥的服务端加密(SSEKMS)。

本文主要介绍服务端加密简介。 当启用服务端加密功能后，用户上传对象时，数据会在服务端加密成密文后存储。用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。 KMS通过使用硬件安全模块 (HSM) 保护密钥安全的托管，帮助用户轻松创建和控制加密密钥。用户密钥不会明文出现在HSM之外，避免密钥泄露。对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足监督和合规性要求。 需要上传的对象可以通过数据加密服务器提供密钥的方式进行服务端加密。用户首先需要在KMS中创建密钥（或者使用KMS提供的默认密钥），当用户在OBS中上传对象时使用该密钥进行服务端加密。 OBS支持通过接口提供KMS托管密钥的服务端加密(SSEKMS)，采用行业标准的AES256加密算法。

Object 对象（Object）是用户存储在OOS上的数据基本单元，也被称为OOS的文件。文件可以是文本、图片、音频、视频或者网页。OOS支持的单个文件的大小从1字节到5T字节。 用户可以上传、下载、删除和分享文件。同时用户还可以对文件的组织形式进行管理，将文件移动或者复制到目标目录下。 通过IPv6 访问OOS OOS除了支持通过IPv4协议访问以外，还支持通过IPv6协议访问。当用户使用IPv6访问Bucket时： 客户端和网络必须都支持IPv6。 在Bucket Policy中设置ip地址的黑白名单时，可以使用IPv6。用户可以将Bucket Policy的Condition元素同时设置为包含IPv4和IPv6地址。例如： plaintext "Condition": { "IpAddress": { "ctyun:SourceIp": [ "54.240.143.0/24", "2001:DB8:1234:5678::/64" ] } } 当用户使用IPv6访问时，Bucket日志中记录的IP地址（Remote IP字段）是IPv6格式的。

服务类型 证书版本 证书种类 加密标准 下载审核材料模板 SSL证书 标准版 OV 国际标准、国密标准 SSL证书 CFCA OV、EV 国际标准 SSL证书 CFCA OV、EV 国密标准 SSL证书 Globalsign OV、EV 国际标准 私有（内网）证书 标准版 OV 国际标准、国密标准 个人证书 国密标准

本文介绍多版本管理功能的使用场景和方式。 使用场景 多版本管理是存储桶级别的数据保护功能。开启版本控制后，数据的覆盖和删除操作将以版本历史的形式保存。在错误地覆盖或删除对象后，您可以随时将存储在Bucket中的对象恢复到最新版本。 约束与限制 开启了合规保留后，系统将自动开启多版本，并且不允许暂停多版本。 开启多版本 新上传对象，ZOS自动为每个对象创建唯一的版本号。上传同名的对象将以不同的版本号同时保存在ZOS中。 开启版本管理前，桶中已有对象版本ID为空，再次上传该同名对象，新上传的文件会生成新的版本号。 列出桶内对象列表时会列出最新对象和历史版本对象。 可以指定最新对象或任一历史版本对象进行下载或删除。 版本 描述 最新版本 多版本控制开启后，上传同名对象、恢复、删除都会生成新的版本号，最后一次操作保存的版本号就是最新版本。 历史版本 多版本控制开启后，上传同名对象、恢复、删除都会生成新的版本号，除最新版本外的其他版本号为历史版本。 说明 在启用多版本开关后，对象的每个历史版本都被保存下来，每个版本都会占用存储空间，ZOS会对所有版本收取存储费用。因此，请在启用多版本开关时须谨慎考虑，以避免产生不必要的额外存储费用。 暂停多版本 当不需要对桶内对象进行版本控制时，可以暂停多版本控制： 多版本管理可以由开启状态变更为暂停状态，但无法返回未启用状态。 暂停后新上传的对象版本号为空。若之前有版本号为空的同名对象，则会覆盖该版本号为空的对象。 暂停后桶内已有的历史版本不会被删除，将继续保留ZOS中并支持下载，若你不再需要这些历史版本，请手动删除。 暂停后对象被删除或覆盖后无法找回。 使用方式 使用方式 参考文档 控制台 详情请参见多版本管理。 SDK ZOS支持多种SDK，关于SDK的代码示例请参见开发者文档。 API 详情请参见设置版本管理。

前提条件 1. 已经创建Nacos 实例。 使用限制 1. 源注册中心、目标注册中心二者之间必须保障网络互通。 迁移步骤 迁移步骤请参考章节：迁移上云。 验证同步结果 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行管理按钮均可跳转至实例基础信息页面。 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前Nacos注册的服务列表。确认选择的服务是否同步成功。 迁移Dubbo客户端 1. 修改Dubbo客户端的XML配置文件，将dubbo:registry address中的源Nacos的访问地址，替换为目标Nacos的访问地址，替换Nacos用户名和密码。 2. 重启客户端，此时Dubbo客户端连接的就是目标Nacos实例。 3. 此时源Nacos集群就可以关闭了。 到此，即实现了从源注册中心到目标注册中心的平滑迁移。 从Dubbo Z ooKeeper迁移到 MSE ZooKeeper 本文迁移指导适用于使用ZooKeeper作为Dubbo的注册中心需要迁移到MSE ZooKeeper的场景。迁移功能是利用ZooKeeper的快照（Snapshot）进行数据的迁移。 前提条件： 已创建MSE ZooKeeper集群。具体操作，请参考创建ZooKeeper引擎。 使用限制： 1. 迁移前确保源ZooKeeper停止同步服务，并且有生成最新的快照文件。 2. 该方式不支持同步分布式锁、临时节点数据。 迁移步骤： 步骤一：导出源ZooKeeper快照。 1. 在源ZooKeeper部署机器上，查看zoo.cfg配置文件，获取dataDir配置目录。 2. 进入dataDir目录后，进入version2/目录找到最新的快照文件进行下载保存。 3. 在MSE ZooKeeper实例详情页面中，进入数据管理>Znode管理>点击数据导入。 4. 点击上传文件，选中刚刚下载保存的快照文件，点击确定，等待集群重启完毕即可，预计需要等待25分钟。 5. 验证数据迁移结果，可以在数据管理Znode管理中查看相应的节点验证数据。 6. 迁移Dubbo客户端，找到Dubbo客户端的配置文件，将Dubbo客户端的Endpoint替换为MSE ZooKeeper的Endpoint。修改示例如下： dubbo.registry.addresszookeeper://xxx.xx.xx.x:port

Linux设备 Linux采集脚本下载： Linux系统syslog配置说明.zip 针对Linux操作系统的syslog采集配置，为减轻运维人员工作，编写了自动化配置脚本，由运维人员执行脚本即可完成配置，将系统日志上报到服务端，该文档主要对配置脚本提供使用说明。 注意 在上传脚本前需要修改脚本中第50行左右的“IPLIST”中的IP地址，IP地址需要跟实例界面的“私有IP地址”保持一致。 查看私有IP地址： 安装步骤： 1. 上传脚本到服务器任意目录下。 2. 使用root用户登陆：su root，并切换到上传目录下。 3. 增加脚本执行权限： plaintext chmod 744 cmdsyslogconfig20201027.sh 4. 执行安装脚本： plaintext sh cmdsyslogconfig20201027.sh 执行成功后，会显示如下指令：syslog restart complete! 5. 执行 source /etc/profile指令，修改您的环境变量，确保采集脚本可以正常生效。 说明 若您配置完脚本后执行报错，请参考报错处理。 Windows设备 Windows采集软件包下载： eventlogwin.zip（旧） eventlogwinnet420250411.zip（新） 新的代理软件适用于.net framework 4.0以上版本，执行以下步骤查看服务器.net framework版本： 1. 打开注册表编辑器。 2. 输入“计算机HKEYLOCALMACHINESOFTWAREMicrosoftNET Framework SetupNDPv4Client”。 如下图所示，version是4.5、4.6、4.7、4.8则可以使用新版本采集代理。 Windows安装包安装步骤： Windows系统以管理员身份运行eventlogwin安装包。 注意 若您已经安装过Windows代理工具，在安装此工具前需要做卸载操作：打开压缩包，右键 > 以管理员身份运行卸载文件“Unistall”，卸载旧版采集工具。 1. 解压安装包之后，打开 /config/syslogconf.xml 文件，根据您业务的实际需求修改“本机的IP”和“UDP接收的IP”。 2. 修改完IP，右键 > 以管理员身份运行安装文件Install，等待程序安装完成。 3. 待程序安装完成后即可正常使用Windows工具采集日志。

本文介绍单请求限速功能适用场景和配置方法。 功能介绍 单请求限速功能可以限制CDN节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 适用场景 1. 游戏新版本发布，大量玩家同时访问CDN节点下载更新包时。 2. 热门视频上线，大量用户集中访问CDN节点播放视频时。 注意事项 1. 单请求限速功能会限制用户的下行速率，影响用户的下载体验，需结合业务情况谨慎使用。在视频点播业务中配置单请求限速时，建议限速值设置为视频码率的1.52倍以上。例如视频码率为1Mbps，则单请求限速建议设置为250KB/s。 2. 单请求限速功能在请求大文件的情况下效果较好，如：请求文件10MB，单请求限速1MB/s。如果请求的是小文件（例如10KB），配置的限速值高于文件大小（例如1MB/s），则达不到限速效果。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【单请求限速】模块，单击【增加规则】。 6. 根据需求填写配置。 7. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容。 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 限速值 单请求限速速率 单位支持B/s、KB/s和MB/s，最小限速值：1B/s。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。

本文介绍了如何配置RDSPostgreSQL安全组。 RDSPostgreSQL开通后，您连接访问前需要对实例进行安全组相关设置，具体指引如下： 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和RDSPostgreSQL实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用RDSPostgreSQL实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDSPostgreSQL实例时，需要为RDSPostgreSQL所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和RDSPostgreSQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当RDSPostgreSQL实例加入该安全组后，即受到这些访问规则的保护。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的RDSPostgreSQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的RDSPostgreSQL实例。 操作步骤 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“华东1”。 3. 在页面中找到【网络】>【虚拟私有云】，并点击进入。 4. 在左侧导航树选择“访问控制 > 安全组”。 5. 在安全组界面，单击“安全组名称”列对应的安全组，进入安全组详情界面。 6. 根据实际情况，选择“入方向规则”或者“出方向规则”。 7. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 8. 根据界面提示配置安全组规则。 9. 单击“确定”。

参数 参数类型 说明 示例 下级对象 xrgwnextappendposition Integer 下一次请求应当提供的position，即当前对象大小。 xamznextappendposition Integer 同xrgwnextappendposition。

日志格式 日志格式根据SDK的语言类型有细微的差异，以Java SDK 为例，LogItem 有四个参数。 content 和 labels 是一个List 类型，其中的 LogContent和 Labels是一个 类型，K 是String 类型，V是一个泛型，可以为String、int、double等类型。 注意：其中content和labels的key的长度不超过64字符，仅支持数字、字母、下划线、连字符()、点(.)，且必须以字母开头。value类型最好使用字符串（String）和数字类型（int,double），其他类型建议先转为字符串类型，并且value值不能为空或空字符串。 参数 类型 描述 是否必须 logtimestamp long 时间戳，单位纳秒，一般是当前时间 是 originmsg string 原始日志内容 是 content ArrayList 对日志进行分词后的内容，可用于索引 否 labels ArrayList 自定义标签 否 参数（Endpoint） 获取方式 各资源池地址请查看访问地址（Endpoint）。 参数（AccessKey、SecretKey）获取方式 天翼云账号的AK和SK，硬编码到代码中或者明文存储都有很大的安全风险，建议密文存放，使用时解密，确保安全，或者设置在环境变量中，从环境变量中获取。 AK、SK可以通过登录天翼云官网，在用户的账号中心中查看。详情请查看如何获取访问密钥（AK/SK）。 参数（logProject、logUnit）获取方式 logProject、logUnit代表了日志上传的目标日志项目与目标日志单元。要获取这两个参数的前提是您已经成功开通了云日志服务，并创建了日志项目和日志单元，详情参考创建日志项目与日志单元。 创建完成后，您可在云日志服务控制台日志管理日志项目与日志单元列表中获取。 注意 日志项目和日志单元编码所属区域要和访问地址endpoint相对应，例如日志项目和日志单元开通在华东1区域内，则也需要使用华东1的endpoint。 接入限制 目前API 和 SDK日志上传都进行了频控限流措施，目前的传输的限制如下： 在1个日志项目下，写入流量最大限制:200MB/s 在1个日志项目下，写入次数最大限制:1000次/s 在1个日志单元下，写入流量最大限制:100MB/s 在1个日志单元下，写入次数最大限制:500次/s 如果日志上传频率很高，写入次数的被限流，可以在每次写入时上传多条日志，或者使用异步批量上传功能（部分SDK支持）。 注意 单次上报的日志包大小限制5MB，单条日志大小限制1MB。

日志格式 日志格式根据SDK的语言类型有细微的差异，以Java SDK 为例，LogItem 有四个参数。 content 和 labels 是一个List 类型，其中的 LogContent和 Labels是一个 类型，K 是String 类型，V是一个泛型，可以为String、int、double等类型。 注意：其中content和labels的key的长度不超过64字符，仅支持数字、字母、下划线、连字符()、点(.)，且必须以字母开头。value类型最好使用字符串（String）和数字类型（int,double），其他类型建议先转为字符串类型，并且value值不能为空或空字符串。 参数 类型 描述 是否必须 logtimestamp long 时间戳，单位纳秒，一般是当前时间 是 originmsg string 原始日志内容 是 content ArrayList 对日志进行分词后的内容，可用于索引 否 labels ArrayList 自定义标签 否 参数（Endpoint） 获取方式 各资源池地址请查看访问地址（Endpoint）。 参数（AccessKey、SecretKey）获取方式 天翼云账号的AK和SK，硬编码到代码中或者明文存储都有很大的安全风险，建议密文存放，使用时解密，确保安全，或者设置在环境变量中，从环境变量中获取。 AK、SK可以通过登录天翼云官网，在用户的账号中心中查看。详情请查看如何获取访问密钥（AK/SK）。 参数（logProject、logUnit）获取方式 logProject、logUnit代表了日志上传的目标日志项目与目标日志单元。要获取这两个参数的前提是您已经成功开通了云日志服务，并创建了日志项目和日志单元，详情参考创建日志项目与日志单元。 创建完成后，您可在云日志服务控制台日志管理日志项目与日志单元列表中获取。 注意 日志项目和日志单元编码所属区域要和访问地址endpoint相对应，例如日志项目和日志单元开通在华东1区域内，则也需要使用华东1的endpoint。 接入限制 目前API 和 SDK日志上传都进行了频控限流措施，目前的传输的限制如下： 在1个日志项目下，写入流量最大限制:200MB/s 在1个日志项目下，写入次数最大限制:1000次/s 在1个日志单元下，写入流量最大限制:100MB/s 在1个日志单元下，写入次数最大限制:500次/s 如果日志上传频率很高，写入次数的被限流，可以在每次写入时上传多条日志，或者使用异步批量上传功能（部分SDK支持）。 注意 单次上报的日志包大小限制5MB，单条日志大小限制1MB。

本章节主要介绍查看数据库审计日志。 前提条件 审计功能总开关auditenabled已开启。（auditenabled默认值为ON，若关闭请参考修改数据库参数设置为ON）。 已配置需要审计的审计项。各审计项及其开启办法，请参考设置数据库审计日志。 数据库正常运行，并且对数据库执行了一系列增、删、改、查操作，保证在查询时段内有审计结果产生。 数据库各个节点审计日志单独记录。 只有拥有AUDITADMIN属性的用户才可以查看审计记录。 查看数据库审计日志方式 方式一：由于审计日志会占用一定磁盘空间，为了防止本地磁盘文件过大，DWS支持审计日志转储，用户可以开启“开启审计日志转储”功能，将审计日志转储到OBS（用户需创建用于存储审计日志的OBS桶）中进行查看或下载，详细内容请参考转储数据库审计日志章节的 查看审计日志转储记录。 方式二：通过依赖于云日志服务LTS的“集群日志管理”功能查看采集的审计数据库日志或进行日志下载，详细内容请参考集群日志管理查看集群日志。 方式三：数据库的审计日志默认存储于数据库中，连接集群后，使用pgqueryaudit函数进行查看。详细内容请参考下方 使用pgqueryaudit函数查看数据库审计日志。 使用pgqueryaudit函数查看数据库审计日志 1. 使用SQL客户端工具成功连接集群，连接方式请参考连接集群。 2. 使用函数pgqueryaudit查询当前CN节点的审计日志，其语法为： pgqueryaudit(timestamptzstartime ,timestamptz endtime , auditlog ) 参数startime和endtime分别表示审计记录的开始时间和结束时间，auditlog表示所查看的审计日志信息所在的物理文件路径，当不指定auditlog时，默认查看连接当前实例的审计日志信息。 例如，查看指定时间段当前CN节点审计记录。 SELECT FRO Mpgqueryaudit(' 20210223 21:49:00 ',' 2021022321:50:00'); 查询结果如下： begintime endtime operationtype audittype result username database clientconninfo objectname commandtext detailinfo transactionxid queryid nodename threadid localport remoteport +++ ++++++ ++ +++++ q 20210223 21:49:57.76+08 20210223 21:49:57.82+08 loginlogout userlogin ok dbadmin gaussdb gsql@[local] gaussdb login db login db(gaussdb) successfully, the current user is: dbadmin 0 0 coordinator1 140324035360512@667403397820909 27777 该条记录表明，用户dbadmin在20210223 21:49:57.82+08登录数据库gaussdb。其中clientconninfo字段在loghostname启动且IP连接时，字符@后显示反向DNS查找得到的主机名。 3. 使用函数pgxcqueryaudit可以查询所有CN节点的审计日志，其语法为： pgxcqueryaudit(timestamptz startime,timestamptzendtime ) 例如，查看指定时间段所有CN节点审计记录。 ELECT FROM pgxcqueryaudit('20210223 22:05:00','20210223 22:07:00') where audittype 'userlogin' and username 'user1'; 查询结果如下： begintime endtime operationtype audittype result username database clientconninfo objectname commandtext detailinfo transactionxid queryid nodename threadid localport remoteport +++ ++++++ ++ ++++ 20210223 22:06:22.219+08 20210223 22:06:22.271+08 loginlgout userlogin ok user1 gaussdb gsql@[local] gaussdb login db 20221125 233 login db(gaussdb) successfully, the current user is: user1 0 0 coordinator2 140689577342720@667404382271356 27782 20210223 22:05:51.697+08 20210223 22:05:51.749+08 loginlgout userlogin ok user1 gaussdb gsql@[local] gaussdb login db login db(gaussdb successfully, the current user is: user1 0 0 coordinator1 140525048424192@667404351749143 27777 查询结果显示，用户user1在CN1和CN2的成功登录记录。

本章节主要介绍Spark作业相关问题中有关作业开发的问题。 Spark如何将数据写入到DLI表中 使用Spark将数据写入到DLI表中，主要设置如下参数： fs.obs.access.key fs.obs.secret.key fs.obs.impl fs.obs.endpoint 示例如下： import logging from operator import add from pyspark import SparkContext logging.basicConfig(format'%(message)s', levellogging.INFO) import local file testfilename "D://testdata1.txt" outfilename "D://testdataresult1" sc SparkContext("local","wordcount app") sc.jsc.hadoopConfiguration().set("fs.obs.access.key", "myak") sc.jsc.hadoopConfiguration().set("fs.obs.secret.key", "mysk") sc.jsc.hadoopConfiguration().set("fs.obs.impl", "org.apache.hadoop.fs.obs.OBSFileSystem") sc.jsc.hadoopConfiguration().set("fs.obs.endpoint", "myendpoint") red: textfile rdd object textfile sc.textFile(testfilename) counts counts textfile.flatMap(lambda line: line.split(" ")).map(lambda word: (word, 1)).reduceByKey(lambda a, b: a + b) write counts.saveAsTextFile(outfilename) 通用队列操作OBS表如何设置AK/SK 获取结果为AK和SK时，设置如下： 1. 代码创建SparkContext val sc: SparkContext new SparkContext() sc.hadoopConfiguration.set("fs.obs.access.key", ak) sc.hadoopConfiguration.set("fs.obs.secret.key", sk) 2. 代码创建SparkSession val sparkSession: SparkSession SparkSession .builder() .config("spark.hadoop.fs.obs.access.key", ak) .config("spark.hadoop.fs.obs.secret.key", sk) .enableHiveSupport() .getOrCreate() 获取结果为ak、sk和securitytoken时，鉴权时，临时AK/SK和securitytoken必须同时使用，设置如下： 1. 代码创建SparkContext val sc: SparkContext new SparkContext() sc.hadoopConfiguration.set("fs.obs.access.key", ak) sc.hadoopConfiguration.set("fs.obs.secret.key", sk) sc.hadoopConfiguration.set("fs.obs.session.token", sts) 2. 代码创建SparkSession val sparkSession: SparkSession SparkSession .builder() .config("spark.hadoop.fs.obs.access.key", ak) .config("spark.hadoop.fs.obs.secret.key", sk) .config("spark.hadoop.fs.obs.session.token", sts) .enableHiveSupport() .getOrCreate() 说明 出于安全考虑，不建议在obs路径上带AK/SK信息。而且，如果是在OBS目录上建表，建表语句path字段给定的obs路径不能包含AK/SK信息。

本文将介绍如何新增自定义基线检查计划。 操作场景 态势感知（专业版）支持根据基线检查计划检查您的资产是否存在风险，默认每隔3天，每次在00:00~06:00对您账号下当前region相关资产按照“安全上云合规检查1.0”遵从包自动执行基线检查，无需用户执行额外操作，系统默认开启。 另外，还可以自定义自动检测周期、时间以及检查范围。 约束与限制 同一个检查规范只能属于一个检查计划。 由于“等保2.0三级要求”、“GDPR”、“PCIDSS”、“NIST SP 80053”遵从包中的检查项为手动检查项目，因此不支持创建包含该遵从包的检查计划。 “操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在态势感知（专业版）侧执行基线检查，态势感知（专业版）仅支持查看HSS的基线检查结果。 支持检查“安全上云合规检查1.0”、“护网检查”、“云安全配置基线”遵从包中支持自动化项的检查项。 默认检查计划不支持变更包含的遵从包以及检查时间，仅支持执行开启或关闭操作。 创建检查计划 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在检查计划页面中，单击“创建计划”，系统右侧弹出新建检查计划页面。 6. 配置检查计划。 参数名称 参数说明 基本信息 计划名称 自定义检查计划的名称。命名规则如下： 计划名称由中文、字母、数字、下划线和连接符组成。 长度为1~255个字符。 基本信息 检查时间 下拉选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00 选择遵从包 勾选选择需要检测的遵从包。 7. 单击“确定”。 检查计划创建完成后，态势感知（专业版）会在指定的时间执行云服务基线扫描，扫描结果可以在“风险预防 > 基线检查”中查看。

本文介绍事件总线EventBridge中的基本概念。 CloudEvents 1.0 CloudEvents 1.0 是一个用于以标准方式描述事件数据的开源规范，旨在简化事件声明及跨服务、跨平台的消息投递。 事件 事件源状态变化的数据记录。 事件源 事件的来源，负责生产事件。事件源包括以下类型： 天翼云官方事件源：作为事件源与事件总线EventBridge对接的其他天翼云服务。 自定义事件源：自定义应用或者存量消息数据作为事件源将事件主动拉取到自定义总线。 事件总线 负责接收来自事件源的事件。事件总线包括以下类型： 云服务专用事件总线：一个无需创建与不可修改的内置官方事件总线，用于接收天翼云官方事件源的事件。天翼云官方事件源的事件只能发布到云服务专用事件总线。 自定义事件总线：需要您自行创建并管理的事件总线，用于接收自定义应用的事件。自定义应用事件只能发布到自定义事件总线。 事件规则 用于监控、路由与转换特定类型的事件。当发生匹配事件时，事件会被路由到与事件规则关联的事件目标。规则可以与一个或多个事件目标关联。事件规则包括： 事件模式 事件转换 事件目标 事件模式 对事件进行过滤的模块。事件模式支持对符合CloudEvents协议的事件对除data外的字段进行过滤。事件模式采用JSON格式进行描述。 事件转换 对事件内容进行转换，在事件被路由到事件目标前转换事件内容。事件转换器支持以下类型： 完整事件：将全部的事件内容路由到目标。 部分事件：通过JSONPath提取事件中的数据，将指定的事件内容路由到目标。 常量：不管事件内容是什么，都将常量路由到目标。 模板：自定义一个模板并定义模板里需要的变量，通过JSONPath提取事件中的数据，按照模板定义的形式进行转换。

参数 参数类型 说明 示例 下级对象 alarmRuleID String 告警规则ID 2c2472dff6335b4bbe459609fc9f8154 regionID String ctyun资源池ID 81f7728662dd11ec810800155d307d5b name String 规则名 ctyunrule desc String 描述 demo service String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 云监控服务，具体服务参见 ecs dimension String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 云监控服务，具体服务参见 ecs repeatTimes Integer 重复告警通知次数 0 silenceTime Integer 告警接收策略静默时间，多久重复通知一次，单位为秒 300 recoverNotify Integer 本参数表示恢复是否通知。取值范围： 0：否。 1：是。 根据以上范围取值。 0 notifyType Array of Strings 本参数表示告警接收策略。取值范围： email：邮件告警。 sms：短信告警。 根据以上范围取值。 ['email','sms'] contactGroupList Array of Objects 告警联系人组 contactGroup notifyWeekdays Array of Integers 本参数表示通知周期。取值范围： 0：周日。 1：周一。 2：周二。 3：周三。 4：周四。 5：周五。 6：周六。 根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart String 通知起始时段，默认为00:00:00 00:00:00 notifyEnd String 通知结束时段，默认为23:59:59 23:59:59 webhookUrl Array of Strings webhook消息推送url地址 [' status Integer 本参数表示告警规则启用状态。取值范围： 0：启用。 1：停用。 根据以上范围取值。 0 alarmStatus Integer 本参数表示告警规则告警状态。取值范围： 0：正常。 1：正在告警。 根据以上范围取值。 0 createTime Integer 创建时间，毫秒级时间戳。 1689580180000 updateTime Integer 更新时间，毫秒级时间戳。 1689580180000 projectID String 项目ID 0 conditions Array of Objects 具体匹配策略 condition resources Array of Objects 资源信息列表 resources resourceScope Integer 规则的资源范围，取值范围： 0：实例资源类型。 1：资源分组类型。 2：全部资源类型 。 根据以上范围取值。 0 defaultContact Integer 是否使用天翼云默认联系人接收通知，取值范围： 0：否。 1：是。 根据以上范围取值。 0

创建公网NAT网关 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>公网NAT网关”，进入NAT网关页面。 2. 点击右上角“创建NAT网关”进入公网NAT网关购买页面。 3. 根据界面提示，配置公网NAT网关的基本信息，配置参数如表所示： 参数 参数说明 计费模式 公网NAT网关支持按需计费、包年/包月。 名称 公网NAT网关名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 可用区 选择公网NAT网关所在的可用区。 虚拟私有云 公网NAT网关所属的VPC。VPC仅在购买公网NAT网关时可以选择，后续不支持修改。部分资源池需要添加一条下一跳类型为NAT网关的路由，部分资源池不需要添加，自动加载，以控制台为准）。 子网 公网NAT网关所属的子网。子网仅在购买公网NAT网关时可以选择，后续不支持修改。部分资源池无需选择该项，以控制台为准。NAT网关的SNAT规则和DNAT规则可对所有VPC下业务主机生效，可结合业务规划进行相应规则配置。 规格 公网NAT网关的规格。公网NAT网关共有小型、中型、大型、超大型四种规格类型，更多详情参见产品规格和使用限制。 高级配置 TCP连接老化时间（秒)、UDP连接老化时间（秒）、ICMP连接老化时间（秒）、TCP连接延迟关闭时间（秒） TCP连接老化时间（秒)：TCP连接的超时时间，如果TCP连接在该时间内没有数据交换将被关闭。默认为900s，取值范围：4010800； UDP连接老化时间（秒）：UDP连接的超时时间，如果UDP连接在该时间内没有数据交换将被关闭。默认为300s，取值范围：4010800； ICMP连接老化时间（秒）：ICMP连接的超时时间，如果ICMP连接在该时间内没有数据交换将被关闭。默认为10s，取值范围：1010800； TCP连接延迟关闭时间（秒）：TCP连接关闭时TIMEWAIT状态持续时间。默认为5s，取值范围：110800； 说明：仅部分多AZ资源池支持。如需使用，提交工单加白开通。 描述 公网NAT网关信息描述。 创建时长（仅包年/包月模式下需要选择） 公网NAT网关购买时长。 自动续订（仅包年/包月模式下需要选择） 是否启用公网NAT网关自动续订 按月购买：自动续订周期为1个月 按年购买：自动续订周期为1年 企业项目 公网NAT网关所属的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 是否编辑标签 填写标签键、标签值，通过标签对实例进行打标管理 自动创建默认路由 创建公网NAT成功后，则具备访问公网的能力。自动创建目的地址为0.0.0.0/0 下一跳为该NAT网关实例的缺省路由到默认路由表；默认路由表中存在缺省路由时，无法创建成功，需要您手动创建路由规则 说明：仅部分多AZ资源池支持。 4. 配置完成上述信息，会显示公网NAT网关配置费用，可通过点击价格后面的中的 “了解计费详情”查看计费信息。 5. 单击“下一步”，确认规格无误后，点击阅读《天翼云NAT网关服务协议》。 6. 无异议后，勾选我已阅读并同意相关协议，单击“确认下单”开始创建公网NAT网关。 7. 等待公网NAT网关状态变为运行中，即创建完成。 8. 完成公网NAT网关创建后，需要添加默认路由指向公网NAT网关（仅部分资源池需要执行此步骤，具体功能以控制台能力为准）。 单击“虚拟私有云”，进入虚拟私有云控制台，选择创建公网NAT网关时指定的VPC，点击名称打开VPC详情页，在子网页签点击子网名称，进入子网详情页。 在子网详情页单击“路由管理”页签，点击已绑定的“默认路由表”进入路由规则页面。 在路由规则页面单击“创建”，在弹出页面，选择 IP类型：IPv4 目的地址：0.0.0.0/0 下一跳类型：NAT网关 NAT网关：选择刚创建的公网NAT网关 点击“确定”，完成默认路由指向公网NAT网关。

本节介绍了如何获取天翼云提供的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1. 在控制台【安全与加速】—【域名管理】中复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 以DNSPod操作界面为例，配置如下 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctyun.cn，即表示CNAME配置已经生效，功能也已生效。 注意: 配置CNAME完毕，CNAME配置生效后，边缘安全加速平台—安全与加速服务生效。 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间。 添加时如遇添加冲突，可参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值（Resource Records，资源记录）相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许)。 X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录。 无限制：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。

本节主要介绍如何在智能视图服务控制台管理用户。 点击左侧导航栏的【访问管理用户】，可以查看当前的部门结构及对应目录层级下的子用户列表。 创建子用户 选择部门通讯录下的某个目录，展示该部门的用户列表，点击【创建用户】，为该部门新增子用户。 填写账号信息 平台支持批量创建子用户（上限10个），并配置子用户的用户名、邮箱、手机号、访问方式、是否重置密码、密码有效期、最大登录人数及是否同端互踢设置。 最大登录人数：该子用户可同时登录的设备数。 同端互踢：ios端和安卓端均被统计为App端。 手机号（非必填）：需填写真实手机号，完成后该手机号会自动接收到短信验证链接。 手机号验证流程 若添加子用户时填写了手机号，添加完成后该手机号将会自动收到短信验证链接，用户需在24小时内，点击短信中的验证链接完成验证。 用户的手机号关联信息包含验证成功、未验证和验证失败三种状态。 验证成功：用户在24小时内点击短信中的验证链接即可成功完成验证。 未验证：用户接收短信超过24小时未点击链接；或未能正常接收短信，可在控制台重新发送验证短信（60秒内仅可发送一次短信）。 验证失败：由于手机号填写错误、网络等原因导致的信息发送失败，用户可确认手机信息正确填写后，再次发送验证短信。

本小节介绍微隔离防火墙 策略与策略集。 1.策略与策略集用于策略的建立、修改、删除、禁止与使能。可通过页面的搜索框进行过滤；每条策略最右侧的图标用于修改该条策略的基本信息。界面如下： 2.点击添加，在弹出框内输入名称等信息，即可新建一条策略。 3.新建策略后，点击策略名称，可进入策略详细页面，详细页面可查看该策略的详细信息，并可配置策略的作用范围，策略的详细规则，策略分为范围内策略与范围外策略。 4.策略范围是通过选择工作组标签来设定的，若策略范围所选定的标签涵盖某工作组的标签，则该策略集对此工作组生效。 5.策略规则分为范围内规则和范围外规则，分为作用于策略范围所涵盖的工作组内和范围外对该范围内的访问规则。 在范围内规则处点击新建，弹出框中设置本条规则的服务提供者，所提供的服务，以及允许的访问者。 例如，我们让标签为DB的工作负载可以访问标签为APP的工作负载的Mysql（tcp/3306）服务，具体设置如下图： 注意 1.可在新建规则时，直接新建标签及服务。 2.可以选择某一个工作负载。 6.对于已建立的规则可以点击每条规则最右侧的标志进行修改。服务者和访问者均可多选，而服务只能单项选择。 7.工作组间规则的设置如上，其作用于范围外对范围内的访问。