本节介绍了云数据库GaussDB 所支持审计的关键操作列表。 通过云审计服务，您可以记录与云数据库GaussDB 实例相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的操作列表 操作名称 资源类型 事件名称 创建实例、恢复到新实例 instance createInstance 删除实例 instance deleteInstance 数据库实例规格变更 instance resizeFlavor 实例版本升级 instance upgradeVersion 密码重置 instance resetPassword 实例重启 instance instanceRestart 修改资源标签 instance modifyTag 删除资源标签 instance deleteTag 添加资源标签 instance createTag 重命名实例 instance instanceRename 实例扩容 instance instanceAction 删除任务记录 instance deleteTaskRecord4OpenGauss 减少副本 instance reduceReplica 协调节点缩容 instance reduceCoordinatorNode 设置回收站策略 backup setRecyclePolicy 创建手动备份 backup createManualSnapshot 删除手动备份 backup deleteManualSnapshot 修改备份策略 backup setBackupPolicy 实例还原 backup restoreInstance

安全组规则 为了更好地管理安全组的入出方向，您可以设置安全组规则，去控制云服务器的出入向流量。通过配置适当的规则，控制和保护加入安全组的弹性云服务器的访问。 安全组规则可分为入向规则和出向规则。入向规则用于控制流入服务器实例的流量，出向规则用于控制从服务器实例流出的流量。默认安全组会自带一些默认规则，您也可以自定义添加安全组规则。 安全组规则主要遵循白名单机制，具体说明如下： 入方向规则：入方向指外部访问安全组内的云服务器的指定端口。当外部请求匹配上安全组中入方向规则的源地址，并且授权策略为“允许”时，允许该请求进入，其他请求一律拦截。通常情况下，您一般不用在入方向配置授权策略为“拒绝”的规则，因为不匹配“允许”规则的请求均会被拦截。 出方向规则：出方向指安全组内的云服务器访问外部的指定端口。在出方向中放通全部协议和端口，配置全零IP地址，并且策略为“允许”时，允许所有的内部请求出去。0.0.0.0/0表示所有IPv4地址，::/0表示所有IPv6地址。 地域资源池： 对于地域资源池来说，系统会为每个用户默认创建一个安全组，默认安全组包含一系列默认规则，主要是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 默认安全组规则如下表2： 表2 地域资源池默认安全组规则 方向 授权策略 类型 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 Any Any 默认安全组ID (例如：sgxxxxx) 仅允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv6 Any Any 默认安全组ID (例如：sgxxxxx) 仅允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv4 TCP 22 0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 TCP 3389 0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv4 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的通讯状况。 可用区资源池： 对于可用区资源池来说，系统会为每个VPC默认创建一个安全组，默认安全组包含一系列默认规则，主要是在出方向上的数据报文全部放行，入方向访问受限。 默认安全组规则如下表3： 表3 可用区资源池默认安全组规则 方向 授权策略 类型 优先级 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 100 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 100 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 99 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的IPv4地址通讯状况 入方向 允许 IPv6 99 ICMP Any ::/0 使用ping程序测试云服务器之间的IPv6地址通讯状况 入方向 允许 IPv4 99 TCP 22 0.0.0.0/0 允许所有IPv4地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv6 99 TCP 22 ::/0 允许所有IPv6地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 99 TCP 3389 0.0.0.0/0 允许所有IPv4地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv6 99 TCP 3389 ::/0 允许所有IPv6地址通过RDP远程连接到Windows云服务器。 入方向 拒绝 IPv4 100 Any Any 0.0.0.0/0 禁止所有IPv4类型的入站流量的数据报文通过。 入方向 拒绝 IPv6 100 Any Any ::/0 禁止所有IPv6类型的入站流量的数据报文通过。

对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。

本文介绍如何创建Serverless集群。 前提条件 已开通并授权云容器引擎。 已登录弹性容器实例控制台开通ECI服务。 步骤一：登录云容器引擎控制台 1.登录云容器引擎控制台。 2.在控制台的左侧导航栏中点击“集群”。 3.在集群列表页面中，单击页面右上角的“创建集群”，进入订购页后单击“Serverless版”，进入订购云容器引擎Serverless版界面。 步骤二：集群配置 在订购云容器引擎Serverless版页面中，完成集群的基本配置。部分配置说明如下： 配置项 描述 实例名称 填写集群的实例名称 企业项目 按需选择企业项目 计费模式 默认使用按需计费模式 Kubernetes版本 显示当前Serverless集群支持的Kubernetes版本 部署方式 支持单可用区部署、多可用区部署 可用区 按需选择可用区 API Server访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。同时，您也可以选择是否使用EIP暴露API Server，选择不开放时，则无法通过外网访问集群API Server 虚拟私有云 集群所使用的VPC，支持使用已有的VPC或创建虚拟私有云 所在子网 集群所使用的子网，支持使用已有的子网或创建子网 默认安全组 安全组是一种虚拟防火墙，能够控制实例的出入站流量，Serverless集群会自动生成一条默认的安全组，以确保容器之间能正常通信 启用IPv6 启用IPv6双栈将创建双栈Serverless集群 Service CIDR 设置Service CIDR。Service网段不能与VPC及VPC内已有集群使用的网段重复，并且Service地址段也不能和Pod地址段重复。集群创建成功后不能再修改该网段 自定义证书SAN 按需添加自定义的IP或域名，以实现对客户端的访问控制 集群本地域名 填写集群的本地域名 集群删除保护 设置是否启用集群删除保护，防止通过控制台或者API误删除集群 集群标签 为集群绑定标签，作为云资源的标识 集群描述 按需对集群进行描述说明 时区 集群所要使用的时区

本文为您介绍云审计服务的计费模式。 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准。

本文介绍缓存过期时间设置方法。 功能介绍 缓存过期时间指源站资源在全站加速节点缓存的时长，在缓存未过期前，对应资源会直接从全站加速节点响应给用户；达到预设缓存过期时间后，资源将会被全站加速节点标记为缓存过期。此时如果客户端向全站加速节点请求该资源，全站加速会携带IfModifiedSince请求头或IfNoneMatch请求头回源站校验内容是否有更新，如有更新则获取最新资源并缓存到全站加速节点，如无更新则继续使用原有缓存文件。您可以根据业务需求，按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。 注意事项 1. 您可基于天翼云默认推荐的缓存设置，按需进行调整后，直接使用，当前默认推荐配置如下： 2. 如您删除了上述默认推荐设置，且未添加其他任何设置情况下，全局默认不缓存走动态加速回源。 3. 如果加速域名下的文件访问热度过低（指同个文件在一段时间内被访问的频次过低），则很可能在过期时间到来之前被其他热度更高的文件覆盖。即：即使某个文件配置的缓存时间较长，如1个月，仍有可能在1个月内重复回源。 4. 天翼云全站加速节点的缓存时间，最长可以设置为3年，即1095天。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【缓存配置】。 5. 在【缓存过期时间】下方单击【增加规则】，弹出的对话框中，配置缓存时间规则，并单击【确定】。 （1）选择【类型】，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 后缀名：指文件后缀名，可单击选择后缀名，如jpg，png。若后缀名不在选择清单内，可在【其他文件】框输入其他后缀名。 目录：指具体目录，例如值为：/a/，表示目录前缀为/a/的文件。 首页：指域名首页，值固定为/。 全部文件：指对应域名下的所有文件，值固定为/。 全路径文件：指对应URI的文件，例如值为：/a/b.js，则表示请求url中位于/a/目录下的b.js文件的缓存规则（无论是否携带问号后参数）。 （2）选择【缓存规则】，默认为强制缓存。 如选择强制缓存，则即使源站返回CacheControl：nocache/nostore/private等不缓存头或类似CacheControl：maxagen (n>0) 的缓存头时，全站加速节点仍将按照预设的规则及时间缓存文件。 注意 如选择强制缓存，且过期时间设置为0，则无论源站如何响应，全站加速节点均不缓存该文件。 如选择优先遵循源站，则源站如果返回CacheControl：nocache/nostore/private等不缓存头或CacheControl：maxagen (n>0)、Expires响应头时，优先按照源站响应头对应的缓存时间生效。 如选择不缓存，则无论源站返回任何缓存相关响应头，全站加速节点均不缓存。 （3）选择【过期时间】单位，如秒、分钟、小时、天，再填写对应的过期时间。 （4）【缓存参数】默认忽略参数，如需要带问号后参数缓存，请选择不忽略参数。 注意 对于可缓存的文件，全站加速节点通常会设置缓存key（缓存key为文件在全站加速节点上缓存的唯一ID）。默认情况下，全站加速节点会将问号后参数去掉的内容作为缓存key，以提升缓存命中率，降低回源量。如果原始URL中携带问号后参数，且参数不同时源站指向不同文件，则选择不忽略参数，避免缓存错误。 （5）填写【权重】。权重即优先级，支持自定义，数字越大则越优先生效。如果同个URL满足不同的缓存规则设置，例如该URL既属于某个文件后缀，又属于某个目录下，此时具体遵循哪条缓存规则，取决于二者的权重设置，最终按权重数字大的生效。 6. 单击【保存】，完成配置。

本章节主要介绍支持云审计的关键操作。 云审计服务（Cloud Trace Service，简称CTS）为用户提供了云账户下资源的操作记录，可以帮您记录云数据迁移相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的CDM操作列表 操作名称 资源类型 事件名称 创建集群 cluster createCluster 删除集群 cluster deleteCluster 修改集群配置 cluster modifyCluster 开机 cluster startCluster 重启 cluster startStopCluster 导入作业 cluster clusterImportJob 绑定弹性IP cluster bindEip 解绑弹性IP cluster unbindEip 创建连接 link createLink 修改连接 link modifyLink 删除连接 link deleteLink 创建任务 job createJob 修改任务 job modifyJob 删除任务 job deleteJob 启动任务 job startJob 停止任务 job stopJob

本文主要介绍远程连接Linux云主机报错:Access denied如何处理。 问题现象 远程连接Linux云主机报错：Access denied 可能原因 账号或密码输入错误。 SSH服务端配置了禁止root用户登录的策略。 处理方法 账号或密码输入错误。 检查输入的用户名或密码。 Linux云主机默认用户名root，如果密码错误，请在控制台重置密码。 重置密码：选中待重置密码的云主机，并选择“操作”列下的“更多 > 重置密码”。 SSH服务端配置了禁止root用户登录的策略。 a.编辑 /etc/ssh/sshdconfig 文件，检查如下设置，确保root用户能通过SSH登录： PermitRootLogin yes b.重启SSH 服务。 CentOS 6 service sshd restart CentOS 7 systemctl restart sshd

本章节主要介绍云搜索服务如何查看监控指标。 提供的云监控服务可以对云搜索服务集群的核心指标进行日常监控。您可以通过云监控服务管理控制台直观地查看集群的监控指标数据。 云监控服务只支持实时监控已创建成功的集群。 前提条件 集群状态为“可用”或“处理中”。 说明 “异常”、“创建中”状态的集群或者已删除的集群，无法在云监控服务管理控制台中查看其监控指标。当集群状态由“异常”或“创建中”变为“可用”时，该集群需要正常运行一段时间（约10分钟），才可以实时查看其监控指标。 集群已正常运行一段时间（约10分钟）。 已创建告警规则。 操作步骤 1.登录管理控制台。 2.选择“管理与部署 > 云监控服务”。 3.在左侧导航树栏，选择“云服务监控 > 云搜索服务”。 4.在监控列表中待查看的集群所在行的“操作”列，单击“查看监控指标”。 5.选择待查看的时间段页签。 6.查看监控指标数据。

参数名称 说明 取值样例 虚拟私有云 可以选择使用已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“申请虚拟私有云”创建新的虚拟私有云。 vpcsec 安全组 界面显示专属加密实例已配置的安全组。选择专属加密实例的安全组后，该专属加密实例将受到该安全组访问规则的保护。 sg533c 网卡 界面显示所有可选择的子网，系统自动分配一个未使用的IP地址。 subnet1（10.1..0.0/16） 实例名称 专属加密实例的名称。 DedicatedHSM

前言 资源配额分为默认集群下的资源配额和专属集群下的资源配额。 默认集群下的配额是用户购买默认集群的包周期资源后，训推平台在默认集群内划分对应配额的资源给用户使用，用户可以通过创建二级配额，实现资源的进一步分配，默认集群下的配额在所有工作空间下都可以使用，可通过配额自身的成员管理功能来实现配额在使用和管理方面的权限控制。 专属集群下的配额是允许用户对购买的专属集群资源按照自身业务实际情况进行资源划分的一种资源分配方式，凸显“专款专用”的理念。比如，用户可以基于作业类型维度将专属集群的资源进行划分：希望将专属集群的部分资源专门交给训练任务使用，因此可以创建一份资源配额专门交给训练任务使用；还可以基于用户公司部门/团队维度进行划分：将专属集群的部分资源交给A部门/团队使用，此时可以创建一份资源配额专供A部门/团队使用；总之，资源配额是将专属集群资源进行划分的一种方式。资源配额的使用需要结合工作空间一起使用，需要将资源配额与对应工作空间进行关联，这样在工作空间里进行相关作业(如任务训练、推理、开发机)时，就可以使用划分给工作空间的资源配额的资源。工作空间是息壤一站式智算服务平台的顶层逻辑概念，为企业和团队提供统一的计算资源管理及人员权限管理能力，可以将工作空间类比成“办公室”，允许有权进入“办公室”的人员(参见工作空间成员管理)进行相关作业(如任务训练、推理、开发机)，在“办公室”内作业时可以使用资源配额的资源，即资源配额的使用需要在关联的工作空间进行作业时才能使用。

本文为您介绍DRDS实例的全局日志(全局Binlog),以及使用流程。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 全局Binlog介绍 DRDS实例的全局日志（全局Binlog）是一种二进制日志文件，内容包括该DRDS实例所有的DML操作以及DDL操作，同时为了便于一致性恢复，全局Binlog中也包含DRDS实例元数据和全局一致性位点信息。DRDS全局Binlog兼容MySQL Binlog格式，由CDC（Change Data Capture）节点生成。CDC节点完全兼容MySQL的Binlog dump协议，第三方程序可以像消费（即使用工具实时解析或处理全局Binlog，或进行数据同步等）单个MySQL实例的Binlog一样消费全局Binlog。 工作原理 DRDS由计算节点（Compute Node，简称CN）和存储节点（Data Node，简称DN）组成，存储节点为独立的RDS实例。CDC会存储DRDS实例的元信息，例如逻辑库和逻辑表的对应关系、物理库与物理表的对应关系、白名单表等。CDC使用dump协议，以slave的角色从各DN节点拉取Local Binlog（即RDS产生的Binlog），然后对Local Binlog进行整形、去重、合并等，最终生成全局Binlog。DRDS实例全局Binlog架构如下： 全局Binlog完全采用单机MySQL Binlog的格式，能够提供与单机MySQL数据库相同的使用体验。同时CDC支持dump协议，无论是将全局Binlog日志同步到下游的大数据系统，还是作为DRDS实例的的备份，均可通过直接订阅全局Binlog来实现。您只需在创建DRDS实例后，创建日志节点并完成初始化（也可以在创建DRDS实例时同步创建日志节点，待创建完毕后，再进行日志节点初始化操作），即可生成全局Binlog日志。 注意 开启日志节点后，当您续订或删除DRDS实例时，会同步续订或删除日志节点。

本章节介绍自适应配置分发的适用场景及使用方法 功能介绍 自适应配置推送优化通过自动收集envoy的accesslog的方式，自动分析应用间的调用依赖，为数据平面的工作负载应用Sidecar资源来实现配置推送优化。自适应配置推送优化特点如下： 1. 自适应配置推送优化功能将自动、自适应地为您选中的工作负载应用Sidecar资源。您无需对Sidecar资源进行手动的应用或更新操作。当服务的依赖关系发生变化时，也无需进行Sidecar资源的重新推荐。开启自适应配置推送优化功能后，Sidecar资源将会根据集群中被选中的工作负载自动生成。 2. 自适应配置推送优化功能不需要您开启使用日志服务采集数据平面的访问日志。 3. 自适应配置推送优化功能初始仅对sidecar推送istiosystem和meshoperator命名空间下的配置。控制面新增部署一个globalsidecar组件，该组件保存全量配置，当数据面请求产生时，如果没有查到对端的配置信息，会由该组件兜底转发流量。当数据面应用产生初次访问后，会自动更新Sidecar资源给发起方应用。 关于自适应配置推送优化的更多信息，请参考自适应配置分发优化效果。 适用场景 自适应配置推送优化功能将自适应地为您的工作负载创建Sidecar资源，无需预先梳理应用间的调用关系。适用于不熟悉Sidecar资源及配置推送优化的相关概念的管理者。 自适应配置推送优化功能在控制面进行日志上报以及服务依赖计算。开启该功能后，可能在短时间内为您网格的数据面流量及控制面资源带来多余的负担，因此建议您在负载较低的时段开启此功能。

Kafka实例规格参考 kafka.2u4g.cluster，三个代理 Kafka客户端连接数在3000以内，消费组个数在60个以内，业务TPS为100000以内时推荐选用。 kafka.4u8g.cluster，三个代理 Kafka客户端连接数在10000以内，消费组个数在300个以内，业务TPS为300000以内时推荐选用。 kafka.8u16g.cluster，三个代理 Kafka客户端连接数在20000以内，消费组个数在600个以内，业务TPS为600000以内时推荐选用。 kafka.12u24g.cluster，三个代理 Kafka客户端连接数在20000以内，消费组个数在600个以内，业务TPS为900000以内时推荐选用。 kafka.16u32g.cluster，三个代理 Kafka客户端连接数在20000以内，消费组个数在600个以内，业务TPS为1200000以内时推荐选用。 Kafka实例的存储空间估算参考 Kafka实例支持多副本存储，存储空间包含所有副本存储空间总和，您在创建Kafka实例，选择初始存储空间时，建议根据业务消息体积预估以及副本数量选择合适的存储空间。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB副本数 + 预留磁盘大小100GB。 Kafka实例支持对存储进行扩容，根据业务增长，随时扩容，节约成本。 Kafka实例Topic数量计算 Kafka实例对Topic分区数之和设置了上限，当达到上限之后，用户无法继续创建Topic。 所以，Topic数量和实例分区数上限、每个Topic的分区数有关，其中，每个Topic分区数可在创建Topic时设置，如下图，实例分区数上限参考上表。 图Topic的分区数 kafka.2u4g.cluster 3 broker实例的分区数上限为750。 如果该实例下每个Topic的分区个数都为3，则Topic个数为750/3250个。 如果该实例下每个Topic的分区个数都为1，则Topic个数为750/1750个。

本章节介绍如何新建FlinkJar作业。 用户可以基于Flink的API进行二次开发，构建自己的应用Jar包并提交到DLI的队列运行，DLI完全兼容开源社区接口。此功能需要用户自己编写并构建应用Jar包，适合对Flink二次开发有一定了解，并对流计算处理复杂度要求较高的用户。 前提条件 确保已创建独享队列。创建DLI独享队列，在购买队列时，勾选“专属资源模式”即可。 创建Flink Jar作业，访问其他外部数据源时，如访问OpenTSDB、HBase、Kafka、DWS、RDS、CSS、CloudTable、DCS Redis、DDS Mongo等，需要先创建跨源连接，打通作业运行队列到外部数据源之间的网络。 当前Flink作业支持访问的外部数据源详情请参考跨源连接和跨源分析概述。 创建跨源连接操作请参见增强型跨源连接。 创建完跨源连接后，可以通过“队列管理”页面，单击“操作”列“更多”中的“测试地址连通性”，验证队列到外部数据源之间的网络连通是否正常。详细操作可以参考 测试地址连通性。 用户运行Flink Jar作业时，需要将二次开发的应用代码构建为Jar包，上传到已经创建的OBS桶中。并在DLI“数据管理”>“程序包管理”页面创建程序包，具体请参考 创建程序包。 说明 DLI不支持下载功能，如果需要更新已上传的数据文件，可以将本地文件更新后重新上传。 由于DLI服务端已经内置了Flink的依赖包，并且基于开源社区版本做了安全加固。为了避免依赖包兼容性问题或日志输出及转储问题，打包时请注意排除以下文件： a.系统内置的依赖包，或者在Maven或者Sbt构建工具中将scope设为provided b.日志配置文件（例如：“log4j.properties”或者“logback.xml”等） c.日志输出实现类JAR包（例如：log4j等）

本章节主要介绍数据仓库服务的产品优势。 DWS数据库内核使用自主研发的GaussDB数据库，兼容PostgreSQL 9.2.4的数据库内核引擎，从单机OLTP数据库改造为企业级MPP（大规模并行处理）架构的OLAP分布式数据库，其主要面向海量数据分析场景。 DWS与传统数据仓库相比，主要有以下特点与显著优势，可解决多行业超大规模数据处理与通用平台管理问题： 易使用 一站式可视化便捷管理 DWS让您能够轻松完成从项目概念到生产部署的整个过程。通过使用DWS 管理控制台，您不需要安装数据仓库软件，也不需要部署数据仓库服务器，就可以在几分钟之内获得高性能、高可靠的企业级数据仓库集群。 您只需点击几下鼠标，就可以轻松完成应用程序与数据仓库的连接、数据备份、数据恢复、数据仓库资源和性能监控等运维管理工作。 与大数据无缝集成 您可以使用标准SQL查询HDFS、对象存储服务（Object Storage Service，OBS）上的数据，数据无需搬迁。 提供一键式异构数据库迁移工具 DWS提供配套的迁移工具，可支持Oracle和Teradata的SQL脚本迁移到DWS 。 高性能 云化分布式架构 DWS采用全并行的MPP架构数据库，业务数据被分散存储在多个节点上，数据分析任务被推送到数据所在位置就近执行，并行地完成大规模的数据处理工作，实现对数据处理的快速响应。 查询高性能，万亿数据秒级响应 DWS后台还通过算子多线程并行执行、向量化计算引擎实现指令在寄存器并行执行，以及LLVM动态编译减少查询时冗余的条件逻辑判断，助力数据查询性能提升。 DWS支持行列混合存储，可以同时为用户提供更优的数据压缩比（列存）、更好的索引性能（列存）、更好的点更新和点查询（行存）性能。 数据加载快 DWS提供了GDS极速并行大规模数据加载工具。

本页介绍如何通过JDBC连接关系数据库MySQL版。 通过JDBC连接实例的方式有无需下载SSL证书连接和用户下载SSL证书连接两种，其中使用SSL证书连接通过了加密功能，具有更高的安全性。MySQL新实例默认关闭SSL数据加密，开启SSL请参考设置SSL数据加密。SSL连接实现了数据加密功能，但同时也会增加网络连接响应时间和CPU消耗，不建议开启SSL数据加密。 前提条件 用户需要具备以下技能： 熟悉计算机基础知识。 了解JAVA编程语言。 了解JDBC基础知识。 使用SSL证书连接 说明 使用SSL证书连接实例，即通过证书校验并连接数据库。 1. 下载CA证书。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域，单击SSL状态 参数右侧的下载证书。 2. 使用keytool工具通过CA证书生成truststore文件。 说明 Keytool是Java开发工具包中的一个命令行工具，可用于管理密钥和证书。 如果您的系统中安装了Java并配置了正确的环境变量，则可以直接使用keytool命令。 如果您的系统中没有安装Java，请先安装Java，然后配置环境变量再使用keytool命令。 java keytool.exe importcert alias file keystore storepass 变量 说明 : 请设置truststore文件的名称。建议设置为具有业务意义的名称，便于后续识别。 请替换为下载的CA证书的名称，ca.pem。 请设置truststore文件的存放路径。 请设置truststore文件的密码。 代码示例（使用JDK安装路径下的keytool工具生成truststore文件）： java Owner: OID.0.9.2342.19200300.100.1.3Sample@chinatelecom.cn, CNca.ctyun.com, OUDataBaseGroup, OCloudCenter, LGuangZhou, STGuangDong, CCN Issuer: OID.0.9.2342.19200300.100.1.3Sample@chinatelecom.cn, CNca.ctyun.com, OUDataBaseGroup, OCloudCenter, LGuangZhou, STGuangDong, CCN Serial number: b0db70460527a4df Valid from: Tue Mar 21 15:40:12 CST 2023 until: Fri Mar 18 15:40:12 CST 2033 Certificate fingerprints: MD5: A6:9G:E5:5C:10:E4:F4:18:84:66:76:23:54:92:4C:8A SHA1: 23:66:FE:D4:83:24:58:69:B5:F6:28:04:8D:AA:FB:0E:B0:B9:F9:CB SHA256: 3F:C9:C7:EA:3F:8E:9F:6E:71:7E:5C:7A:81:44:0B:EA:51:CB:EA:7F:9C:00:3A:CF:6E:B8:64:9D:16:62:73:91 Signature algorithm name: SHA256withRSA Subject Public Key Algorithm: 2048bit RSA key Version: 3 Extensions: Trust this certificate? [no]: y Certificate was added to keystore 3. 通过JDBC连接MySQL数据库，代码中的JDBC链接格式如下： jdbc:mysql:// : / ? requireSSL &useSSL &verifyServerCertificate &trustCertificateKeyStoreUrlfile: &trustCertificateKeyStorePassword 参数 说明 请替换为实例的IP地址。 说明：如果通过弹性云主机连接，“instanceip”是实例的“内网地址”。您可以在该实例“基本信息”页面的“实例信息”区域查看连接地址。如果通过公网连接，“instanceip”为该实例已绑定的“弹性公网IP”。 请替换为实例的数据库端口，默认为13049。 说明：您可以在该实例“连接管理”页面的“连接信息”区域查看。 替换为连接实例使用的数据库名，默认为mysql。 requireSSL的值，用于设置服务端是否支持SSL连接。取值如下：true：支持。false：不支持。 useSSL的值，用于设置客户端是否使用SSL连接服务端。取值如下：true：使用。false：不使用。 verifyServerCertificate的值，客户端是否校验服务端的证书。取值如下：true：校验。false：不校验。 替换为truststore文件设置的存储路径。 替换为truststore文件设置的密码。 requireSSL参数应用说明 useSSL requireSSL verifyServerCertificate sslMode false 不涉及 不涉及 DISABLED true false false PREFERRED true true false REQUIRED true 不涉及 true VERIFYCA 代码示例（连接MySQL数据库的java代码）： java import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import java.sql.SQLException; public class JDBCConnTest { public static void main(String[] args) { Connection conn null; Statement stmt null; String url "jdbc:mysql://instanceip:13049/dbname? requireSSLtrue&useSSLtrue&verifyServerCertificatetrue&trustCertificateKeyStoreUrlfile: &trustCertificateKeyStorePassword "; try { Class.forName("com.mysql.cj.jdbc.Driver"); String USER "xxx"; String PASSOWRD "xxx"; conn DriverManager.getConnection(url, USER, PASSOWRD ); stmt conn.createStatement(); String sql "show status like 'ssl%'"; ResultSet rs stmt.executeQuery(sql); int columns rs.getMetaData().getColumnCount(); for (int i 1; i < columns; i++) { System.out.println(rs.getMetaData().getColumnName(i)); } while (rs.next()) { System.out.println(); for (int i 1; i < columns; i++) { System.out.println(rs.getObject(i)); } } rs.close(); stmt.close(); conn.close(); } catch (SQLException se) { se.printStackTrace(); } catch (Exception e) { e.printStackTrace(); } finally { // 释放资源 } } }

策略名称 描述 策略类别 依赖关系 LTS FullAccess 云日志服务的所有权限，拥有该权限的用户可以操作并使用LTS。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS ReadOnlyAccess 云日志服务的只读权限，拥有该权限的用户仅能查看LTS数据。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS Administrator 云日志服务的管理员权限。 系统角色 Tenant Guest Tenant Administrator

本文向您介绍如何使用Debian系列弹性云主机安装图形化界面。 操作场景 为给用户提供纯净的云主机系统，目前使用的Debian系列弹性云主机默认没有安装图形化界面，若有相关需要，详见本篇内容进行安装。 约束与限制 本文所用系统为Debian 9.0.0 64位。 安装图形化界面前请确保云主机内存不小于2GB，以免出现安装失败等问题。 操作步骤 1. 远程登陆云主机后，执行以下命令对软件库进行更新和升级。 apt update apt upgrade 2. 若没有安装tasksel执行以下命令进行安装。 apt install tasksel 3. 执行以下命令使用tasksel安装gnome图形化界面并等待其安装完成。 tasksel install desktop gnomedesktop 4. 执行以下命令设置图形化界面为默认启动。 systemctl setdefault graphical.target 5. 图形化桌面安装后系统禁止root用户登陆，需要新添加子账号用于登陆图像化桌面，此处以user001为例。 adduser user001 除密码外后续信息均可回车跳过，最后输入“Y”确定。 6. 执行reboot命令重启云主机并使用步骤5中创建的子账号登陆即可完成。

本章节介绍云容器集群节点磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、有状态应用（如数据库Pod）的批量写入、大数据文件读写或底层存储介质的性能瓶颈，都可能导致云容器引擎（CCE）节点的磁盘 IO 饱和。这种情况会直接造成 Pod 的请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本页面介绍如何从Flink迁移数据至云数据库ClickHouse。 前提条件 1. 创建了目标云数据库ClickHouse实例。详细的操作步骤，请参考创建实例。 2. 创建了用于目标云数据库ClickHouse集群的数据库账号和密码。详细的操作步骤，请参考创建账号。 通过JDBC导入 要从Flink迁移数据到云数据库ClickHouse，您可以按照以下步骤进行操作： 1. 准备工作： 确保您已经安装了Flink，并配置好了与云数据库ClickHouse的连接。 确保您已经准备好要迁移的数据源，例如Kafka、文件系统等。 2. 导入所需的依赖： 在您的Flink应用程序中添加所需的依赖项以支持与云数据库ClickHouse的连接。您需要使用ClickHouse JDBC驱动程序和Flink的相关依赖项。例如，您可以在Maven项目中添加以下依赖项： xml ru.yandex.clickhouse clickhousejdbc 0.4.1 根据您使用的构建工具和版本，请相应地配置依赖项。 3. 编写Flink应用程序： 创建一个Flink应用程序，将数据从数据源读取并写入云数据库ClickHouse。下面是一个示例代码： java import org.apache.flink.api.common.functions.MapFunction; import org.apache.flink.streaming.api.datastream.DataStream; import org.apache.flink.streaming.api.environment.StreamExecutionEnvironment; import org.apache.flink.streaming.connectors.clickhouse.ClickHouseSink; import org.apache.flink.streaming.connectors.clickhouse.ClickHouseSinkBuilder; import org.apache.flink.streaming.connectors.clickhouse.data.ClickHouseRow; import org.apache.flink.streaming.connectors.clickhouse.data.ClickHouseRowConverter; import org.apache.flink.streaming.connectors.clickhouse.data.ClickHouseRowConverter.FieldConverter; import org.apache.flink.streaming.connectors.clickhouse.data.ClickHouseRowConverter.RowConverter; import org.apache.flink.streaming.connectors.clickhouse.table.internal.options.ClickHouseOptions; public class FlinkToClickHouseExample { public static void main(String[] args) throws Exception { // 创建执行环境 StreamExecutionEnvironment env StreamExecutionEnvironment.getExecutionEnvironment(); // 设置数据源 DataStream sourceStream env.addSource(/ 添加您的数据源 /); // 转换数据格式为ClickHouseRow DataStream clickHouseStream sourceStream.map(new MapFunction () { @Override public ClickHouseRow map(String value) throws Exception { // 在这里根据数据源的格式，将数据转换为ClickHouseRow对象 // 示例中假设数据源为CSV格式，字段分隔符为逗号 String[] fields value.split(","); ClickHouseRow row new ClickHouseRow(fields.length); for (int i 0; i clickHouseSink ClickHouseSinkBuilder .builder() .setOptions(options) .setClickHouseRowConverter(createRowConverter()) .build(); // 将数据写入ClickHouse clickHouseStream.addSink(clickHouseSink); // 执行任务 env.execute("Flink to ClickHouse Example"); } // 定义ClickHouseRowConverter private static RowConverter createRowConverter() { return new RowConverter () { @Override public FieldConverter createConverter(int columnIndex) { // 在这里根据表的字段类型，创建对应的FieldConverter // 示例中假设表的所有字段都为String类型 return FieldConverter.STRINGCONVERTER; } }; } } 在上述代码中，您需要替换以下内容： / 添加您的数据源 /：根据您的实际数据源类型，添加相应的数据源配置，例如Kafka、文件系统等。 "jdbc:clickhouse://yourclickhousehost:port/database"：实际的云数据库ClickHouse连接URL和目标数据库信息。 "yourtable"：目标表的名称。 "yourusername"：云数据库ClickHouse的用户名。 "yourpassword"：云数据库ClickHouse的密码。 4. 运行Flink应用程序： 将您的Flink应用程序打包，并根据您的环境和需求，将其提交到Flink集群或本地运行。 例如，如果您使用Flink命令行工具，可以执行以下命令来提交应用程序： flink run c FlinkToClickHouseExample path/to/your/app.jar 这将启动Flink应用程序并开始将数据从数据源读取并写入云数据库ClickHouse。 说明 上述示例代码仅提供了一个基本的框架，您可能需要根据实际需求进行调整和优化。此外，根据您的数据源类型和目标表的字段类型，您可能需要自定义适当的数据转换器。

本页介绍如何启动分布式融合数据库HTAP的实例。 操作步骤 1. 天翼云官网首页右上角选择控制中心，登录进入控制中心界面。 2. 控制中心产品概览页左上角单击管理控制台，选择区域。 3. 选择数据库 > 分布式融合数据库HTAP，进入分布式融合数据库HTAP控制台。 4. 进入实例列表页面，对已停止的实例，点击操作 > 更多 > 启动，在弹出的对话框里点击确认按钮启动该实例。 5. 在执行启动实例的过程中，实例状态处于启动中，稍等片刻后实例状态为正常。

本文向您介绍通过企业版VPN实现数据中心和VPC互通的第一步：创建VPN网关。 前提条件 虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见《虚拟私有云用户指南》。 虚拟私有云VPC中ECS的安全组规则已经配置，并确保安全组规则允许数据中心的对端网关可以访问VPC资源。如何配置安全组规则，请参见《虚拟私有云用户指南》。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面，单击“创建VPN网关”。 4. 根据界面提示配置参数，然后单击“立即购买”并完成支付。 表VPN网关关键参数说明 参数 说明 参数取值 计费模式 支持“按需”计费模式。 按需 区域 选择靠近您所在地域的区域。 名称 输入VPN网关的名称。 vpngw001 网络类型 公网：VPN网关通过公网建立VPN连接。 私网：VPN网关通过私网建立VPN连接。 公网 协议类型 支持“IPv4”和“IPv6”两种类型。 IPv4 关联模式 支持“虚拟私有云”和“企业路由器”两种方式。 虚拟私有云 虚拟私有云 选择需要和数据中心互通的VPC。 vpc001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 配置VPC待和数据中心互通的子网。 支持“输入网段”和“选择子网”两种方式。 192.168.0.0/24 规格 选择“专业型1”。 专业型1 HA模式 选择“双活”。 双活 主EIP 选择EIP、带宽的计费模式、规格。 11.xx.xx.11 主EIP2 选择EIP、带宽的计费模式、规格。 11.xx.xx.12

本章节介绍云原生API网关产品两种网关类型的计费项、计费方式和计费规则。本产品计费不包含负载均衡和容器服务等IaaS层资源的费用。 计费项 云原生API网关的计费项为网关实例费用，目前云原生API网关产品提供两种网关类型：云原生API网关和AI网关。 计费方式 提供按需付费和包年包月两种付费模式。 按需付费 按需付费是后付费模式，您只需按实际情况进行使用，然后按照使用账单付费即可。 为避免造成您的损失，如果您不想再使用此产品，则需要您在实例管理页面内删除实例，系统才会正式停止计费。 包年包月 包年包月是预付费模式，按照包年包月的方式进行付费购买。 只要您实际接入的实例数不超过您购买的实例数，不会造成额外的费用。 包年包月的模式下，您需要在到期前进行续费或选择自动续费的方式，确保产品持续可用。 网关类型1：云原生API网关 云原生API网关实例具体计费规则如下： 实例规格 按需（元/每小时） 包年包月（元/每月） 基础版 0.8 416 标准版1 1.9 975 标准版2 3.7 1,866 标准版3 7 3,531 企业版1 14 7,069 企业版2 27.6 13,921 企业版3 41.2 20,773 铂金版1 54.8 27,625 铂金版2 109.1 55,033 铂金版3 163.5 82,442 铂金版4 217.9 109,850

快速创建 1 登录云堡垒机系统。 2 选择“部门”，进入部门管理页面。 3 在相应上级部门列，单击快速创建下级部门。 4 修改部门名称，即完成快速创建下级部门。 删除部门 云堡垒机默认“总部”为系统最上级部门，不可删除。删除上级部门，默认删除下级部门。 前提条件 已获取“部门”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“部门”，进入部门管理页面。 3 单个删除。 鼠标悬停到要删除的部门所在行，显示快捷删除，单击快捷键删除该部门。 删除部门时，其下级部门和所有部门下的用户和资源会被同时删除。 4 批量删除。 同时勾选多个部门，然后单击列表下方的“删除”，可以批量删除多个部门。 查看和修改部门信息 云堡垒机支持修改部门名称、移动部门所属上级部门。 移动部门后，部门下资源和用户自动移动上级部门归属。 前提条件 已获取“部门”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“部门”，进入部门管理页面。 3 单击要修改的部门的名称，进入部门详情页面。 4 在“基本信息”区域，可查看部门基本信息。 单击“编辑”，弹出部门信息配置窗口，即可修改部门的基本信息。 查询部门配置 云堡垒机支持分别统计各部门的用户数和主机数，通过在部门管理页面，可查询部门的用户和主机资产配置。应用资源和应用发布服务器不纳入统计。

操作场景 本节操作以使用Mac OS系统自带的“终端（Terminal）”远程连接Linux操作系统云主机。 前提条件 云主机状态为“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 弹性云主机已经绑定弹性IP。 所在安全组入方向已开放3389端口。 操作步骤 您可以通过Mac OS系统自带的终端（Terminal）登录Linux云主机： SSH密码方式 1. 打开系统自带的终端（Terminal），执行以下命令 ssh 用户名@弹性IP 说明 如果是公共镜像（包括CoreOS），用户名为“root”。 2. 输入登录密码并按下回车键，以完成登录。 SSH密钥方式 1. 打开系统自带的终端（Terminal）应用程序。 2. 在终端中执行以下命令，变更密钥文件的权限。下面的步骤以私钥文件"kp101.pem"为例进行介绍。 chmod 400 /path/kp101.pem 说明 上述命令中的"path"为密钥文件的存放路径。 3. 执行以下命令登录云主机。 ssh i /path/kp101.pem 用户名@弹性IP 说明 如果是“CoreOS”的公共镜像，用户名为“core”。 如果是“非CoreOS”的公共镜像，用户名为“root”。

查询伸缩组内的云主机的可用区分布 接口功能介绍 查询伸缩组内的云主机的可用区分布 接口约束 无 URI POST /v4/scaling/group/instanceaz 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b groupID 是 Integer 伸缩组ID 471 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回码：800表示成功，900表示失败 800 errorCode String 业务细分码，为product.module.code三段式码 Scaling.Group.NotFound 错误码 message String 失败时的错误描述，一般为英文描述 scaling group info not found description String 失败时的错误描述，一般为中文描述 未找到弹性伸缩组信息 returnObj Object 成功时返回的数据，参见表returnObj returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 result Array of Objects 云主机可用区信息 instanceInfo 表 instanceInfo 参数 参数类型 说明 示例 下级对象 instanceID String 云主机ID 46e927efc85df729a3bb20a84224701e instanceName String 云主机名称 ecme1841 azName String 可用区名称，非多可用区资源池的azName返回空字符串 az1

参数 描述 虚拟私有云 TaurusDB数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离，以提高网络安全性。 您需要选择所需的虚拟私有云和子网。如果没有可选的虚拟私有云，TaurusDB会为您分配一个默认的虚拟私有云（defaultvpc），您也可以使用已有、新建VPC和子网。 须知 TaurusDB实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 内网安全组 内网安全组限制实例的安全访问规则，加强TaurusDB数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，TaurusDB数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。

本文主要介绍扩容磁盘场景介绍 什么是磁盘扩容？ 当已有磁盘容量不足时，您可以扩大该磁盘的容量，即磁盘扩容。 系统盘和数据盘均支持扩容。当前EVS只支持扩大容量，不支持缩小容量。 怎样扩容 磁盘 ？ 您可以对状态为“正在使用”或者“可用”的磁盘进行扩容。 扩容状态为“正在使用”的磁盘，即当前需要扩容的磁盘已经挂载给云主机。扩容状态为“正在使用”的磁盘时，对磁盘所挂载的云主机操作系统有要求，当前仅支持部分操作系统，具体请参见扩容状态为“正在使用”的磁盘。 扩容状态为“可用”的磁盘，即当前需要扩容的磁盘未挂载至任何云主机，具体请参见扩容状态为“可用”的磁盘。 磁盘扩容完成后，需要将扩容部分的容量划分至原有分区内，或者对扩容部分的磁盘分配新的分区。 扩容Windows云主机挂载的磁盘：Windows磁盘扩容后处理 扩容Linux云主机挂载的磁盘：Linux磁盘扩容后处理

本节介绍了专属云（存储独享型）挂载非共享磁盘的操作步骤。 操作场景 单独购买的磁盘为数据盘，可以在磁盘列表中看到磁盘属性为“数据盘”，磁盘状态为“可用”。此时需要将该数据盘挂载给云主机使用。 系统盘必须随云主机一同购买，并且会自动挂载，可以在磁盘列表中看到磁盘属性为“系统盘”，磁盘状态为“正在使用”。当系统盘从云主机上卸载后，此时系统盘的磁盘属性变为“启动盘”，磁盘状态变为“可用”。 操作步骤 1、登录管理控制台。 2、选择“存储 > 专属存储”。进入“专属存储”页面。 3、选择“专属存储 > 磁盘”。进入“磁盘”页面。 4、在磁盘列表，找到需要挂载的磁盘，在“操作”列下单击“挂载”。进入“挂载磁盘”页面。 5、选择磁盘待挂载的云主机，该云主机必须与磁盘位于同一个可用区，通过下拉列表选择“挂载点”。 返回磁盘列表页面，此时磁盘状态为“正在挂载”，表示磁盘处于正在挂载至云主机的过程中。当磁盘状态为“正在使用”时，表示挂载至云主机成功。 6、初始化磁盘。 说明 挂载至云主机的磁盘需要初始化后才可以正常使用。

本节简要介绍访问控制。 访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为子用户分配不同权限，从而避免与其他子用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA），在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。

本文介绍如何免密拉取CRS镜像。 对于天翼云容器镜像服务CRS的镜像，弹性容器实例ECI支持免密拉取，以提升效率和安全性。 前提条件 账号已经在容器镜像服务创建个人版或者企业版镜像仓库，并完成配置且上传所需的容器镜像。 容器镜像仓库服务文档参考：容器镜像服务文档。 配置说明 创建弹性容器实例时“选择镜像”，弹出的镜像选择页面选择所需镜像，即可实现自动免密拉取。