本节为您介绍启用OSPF动态路由的操作场景、前提条件和操作步骤。 操作场景 用户根据网络规划，配置OSPF动态路由规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建。 只有使用方式为单机、且激活方式为旁挂的智能网关支持配置OSPF路由。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 单击“OSPF”。启用OSPF协议，并配置OSPF接口IP和协议字段。 6. 单击“编辑配置”。 7. 根据页面提示填写OSPF协议参数。参数配置可参考如下： 参数 描述 OSPF接口IP 支持CIDR格式，例如192.168.0.1/16。 Area ID 区域ID，取值范围1~65535。 Area Type NSSA。 Router ID 路由器ID，例如192.168.1.1。 Hello Time 取值范围: 1~65535。 Dead Time 取值范围: 1~65535。 认证类型 可选不认证、MD5认证。 8. 单击“确定”，完成OSPF配置。 说明 可通过单击“编辑配置”实时修改OSPF配置参数。

查看或修改备份策略 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【备份恢复】，然后单击【备份策略】页签，查看当前实例的数据备份策略和日志备份策略。 5. 单击【数据备份策略】旁边的修改图标，弹出备份策略修改框。 6. 您可以根据需要，修改备份周期、保留天数、备份时间段、增量备份开关、定期备份开关、定期备份周期、定期备份保留天数，点击确定，修改数据备份策略。备份周期、保留天数、备份时间段、定期备份设置规则请参考本文第一章节。 7. 单击【跨地域备份策略】旁边的修改图标，弹出跨地域备份策略修改框，可以选择修改跨地域备份开关、目标地域、历史备份开关，点击确定，修改跨地域备份策略。更多详情请查看备份与恢复备份 跨域备份。 8. 单击【表级别备份策略】旁边的修改图标，弹出表级备份策略修改框，可以选择修改表级备份开关、备份周期、保留天数、备份时间段，点击确定，修改表级备份策略。

本文主要介绍SQL Server实例的变更计费模式功能。 前提条件 实例状态为“运行中”。 仅“包年/包月”模式的实例支持转按需。 仅“按需计费”模式的实例支持转包周期。 按需实例转包周期，要求没有未完成支付的转包年包月订单。 注意 包周期实例转按需是到期转按需，既需要等待原包周期时间到期后，才会变更为按需计费。 按需实例转包周期，点击确认后立即生效，计费方式变更为“包年包月”。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中找到目标实例，点击【更多】按钮。 “包年/包月”模式的实例，点击【转按需】按钮，仔细阅读弹窗提示内容后，点击【确定】按钮，进入步骤4。 “按需计费”模式的实例，点击【转包周期】按钮，直接进入步骤4。 4. 在【包周期到期转按需】或【按需转包周期】页面，您可查看计费变更后的配置费用与实例信息。确认无误后，单击【确认】并完成支付，即可进行计费模式变更。

本节介绍Web应用防火墙（独享版）防护日志相关常见问题。 Web应用防火墙支持记录防护日志吗？ 如何获取拦截的数据？ 防护事件列表中，防护动作为“不匹配”是什么意思呢？ Web应用防火墙的防护日志可以存储多久？ Web应用防火墙可以同时查询多个指定IP的防护事件吗？ Web应用防火墙会记录未拦截的事件吗？ 为什么WAF显示的流量大小与源站上显示的不一致？ Web应用防火墙支持记录防护日志吗？ 在WAF管理控制台，您可以免费查看最近30天的防护日志、下载5天内的所有防护域名的防护日志数据。 如果您需要长期保存防护日志，您可以将WAF的防护日志记录到单独收费的云日志服务（Log Tank Service，简称LTS）上。LTS默认存储日志的时间为7天，存储时间可以在1～30天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）或者数据接入服务（DIS）中长期保存。 有关WAF日志配置到LTS的详细操作，请参见开启全量日志。

本节介绍Web应用防火墙（独享版）的防护规则配置其他类的问题。 哪些情况会造成WAF配置的防护规则不生效？ 防护规则的路径是否区分大小写？ Web应用防火墙的哪些防护规则支持仅记录模式？ 如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly？ 黑白名单规则和精准访问防护规则的拦截指定IP访问请求，有什么差异？ Web应用防火墙支持哪些防护规则？ 开启网页防篡改后，为什么刷新页面失败？ 哪些情况会造成WAF配置的防护规则不生效？ 域名成功接入WAF后，正常情况下，域名的所有访问请求流量都会经过WAF检测并转发到服务器。但是，如果网站在WAF前使用了CDN，对于静态缓存资源的请求，由于CDN直接返回给客户端，请求没有到WAF，所以这些请求的安全策略不会生效。 防护规则的路径是否区分大小写？ WAF所有需要配置路径的防护规则，配置的防护路径都区分大小写。 Web应用防火墙的哪些防护规则支持仅记录模式？ WAF的Web基础防护规则支持“仅记录”模式。 WAF的CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则和网站反爬虫支持“仅记录”防护动作。

本节介绍应用市场的产品简介，以便您了解应用市场。 应用市场，是一项对桌面内应用进行统一管理与全面管控的服务，既能帮助企业管理员对桌面内应用进行有效监管，也为企业统一分发应用、用户轻松获取应用提供了便捷的渠道。其由两大部分构成：天翼AI云电脑（政企版）控制台应用市场模块（以下简称控制台）、天翼AI云电脑应用市场客户端（以下简称客户端）。 控制台 企业管理员通过控制台可以进行应用上架、新增版本、推送应用等操作；也可以配置应用黑白名单集中管控桌面内应用的安装和运行；还能在日志记录中查看各管控桌面的应用阻止记录、用户申请记录，以及桌面已安装应用等数据。 客户端 桌面用户可通过客户端下载与安装天翼AI云电脑提供的免费应用以及企业上架的专属应用，还可查看管控状态下的各类阻止与申请记录。管理员也可以查看和处理其他桌面用户提交的多种申请。 如需下载应用市场客户端请前往：客户端下载页面 天翼AI云电脑应用市场用户协议生效，详情请参见这里。 天翼AI云电脑应用市场隐私政策生效，详情请参见这里。

本节介绍服务器安全卫士（原生版）功能特性。 安全概览 全方位查看服务器安全数据及状态，包括服务器数量统计、服务器安全状态统计、待处理告警、服务器运行状况统计、服务器资产清点统计及排名。 资产管理 查看服务器列表信息及服务器详情信息，支持为服务器开启/关闭防护；自动清点主机内部资产如进程、端口、账号、应用等，实时掌握主机内部资产变化，为安全分析提供数据基础。 基线检测 对系统基线进行全面检查，支持一键检测和定时检测方式，可自定义基线策略，支持对基线进行白名单设置。 漏洞扫描 精准扫描Linux和Windows漏洞，支持一键扫描和定时扫描方式，可查看漏洞详细信息，并提供漏洞修复建议。 入侵检测 包括异常登录和爆破登录，和查看各类入侵防御记录及拦截结果。实时异常登录监控，发现异常IP、区域、时间等的异常登录，并发送告警通知；实时暴力破解多层次监控，支持暴力破解拦截功能，支持查看拦截记录。 弱口令检测 检测系统中的弱口令，包括常见弱口令、空口令、系统默认口令、口令中包含用户名等场景。 病毒查杀 支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测，提供灵活的检测方式，支持一键检测和定时检测方式，通过简单操作即可完成对病毒的处理，支持对病毒文件进行隔离、删除和信任。

本文介绍如何下载日志。 当日志超过热日志分析上限时，系统将自动对超出部分执行归档操作。 日志归档周期：每日凌晨2点自动归档一次。 归档日志存储时间：180天。 下载归档日志 说明 文件生成时间与文件中日志起始时间可能存在较大差异，若选择文件时间内未找到目标时间日志，可下载与目标时间相邻的文件。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理归档日志”。 5. 查询日志： 选择模式：支持选择“云SAAS模式”、独享型实例。 日志文件名称：支持模糊搜索文件名称。 归档时间：根据选择的时间范围过滤文件归档时间。 6. 查看日志文件列表。 参数 说明 日志文件名称 根据归档文件生成时间命名的文件。 日志时间 显示该归档文件内日志的起止时间。 归档时间 显示文件的归档时间。 日志条数 当前文件内归档的日志条数。 文件大小 显示文件的大小。 文件类型 显示文件的类型，攻击日志或访问日志。 7. 下载日志：单击操作列的“下载”，下载对应日志文件。 选择“云SAAS模式”，支持下载对应归档文件。 说明 归档日志文件类型目前仅有“攻击日志”提供下载。 选择独享型实例，仅支持查看日志归档记录，不支持下载归档文件。

本节介绍了遭受DDoS攻击如何向网监报案。 当您的业务遭受大规模DDoS攻击，除了使用DDoS高防（边缘云版）服务来保障您的业务安全与稳定，也建议您立即向网监部门进行报案。 报案流程 1. 遭受到大规模DDoS攻击后，您可尽快向当地网监部门进行报案，并根据网监部门的要求提供相关信息。 2. 网监部门判断是否符合立案标准，并进入网监处理流程。（具体立案标准请向您当地的网监部门进行咨询） 3. 正式立案后，天翼云将配合网监部门接口人提供攻击取证等信息。 天翼云能提供什么相关证据？ 您的报案在网监部门立案后，天翼云将配合网监部门提供以下协助： 天翼云会及时响应网监部门的协助调查要求，配合开展工作。 天翼云会配合网监部门，向网监接口人提供您在天翼云平台上的业务的流量日志、遭受的攻击详情等。 说明 向网监部门提供的流量日志、攻击详情等信息将作为法律证据，因此无法直接提供给您。您可以在天翼云控制台中自行查看攻击流量的相关信息。 天翼云作为证据提供方，不对流量日志和攻击信息等进行分析，直接给出谁是攻击者的结论。

本节主要介绍服务器监控信息。 在“监控”页面点击“服务器”，可以查看对应服务器上HBlock实时监控信息：CPU使用率、内存（总量/已用/使用率）、数据目录（总量/已用/使用率）、容量配额（总量/已用/使用率）、带宽（总/读/写）、上云带宽（总/上传/下载）。 图1 服务器实时监控信息（集群版） 项目 描述 服务器ID 服务器ID。 CPU使用率 服务器CPU使用率。 内存（总量/已用/使用率） 服务器内存总量、已用内存及使用率。 数据目录（总量/已用/使用率） 所有数据目录所在磁盘的总容量、已用容量、使用率的平均值。 容量配额（总量/已用/使用率） HBlock的容量配额总量、已用容量配额、容量配额使用率的平均值。 带宽（总量/已用/使用率） 客户端与服务器之间的总带宽、读带宽、写带宽。 上云带宽（总/上传/下载） HBlock服务器与云之间的总带宽、读带宽、写带宽。 在“监控”>“服务器”页面，点击对应服务器ID，可以查看服务器上HBlock指定时间内的监控信息：CPU使用率、内存使用量、内存总量、数据目录使用率、容量配额使用率、数据目录使用量、数据目录总容量、配额使用量、配额、读带宽、写带宽、总带宽、读IOPS、写IOPS、总IOPS、读时延、写时延、总时延、上云上传带宽、上云下载带宽、上云总带宽。 图2 服务器监控信息（集群版） 项目 描述 服务器ID 服务器ID，可以通过下拉框选择服务器。 时间范围 可以选择相对时间： 近2小时 近6小时 近1天 近7天 近1年 自定义时间段，选择开始日期和结束日期，精确到天。 注意 起始时间必须早于结束时间，且起始时间不能早于服务器当前时间一年。 数据目录使用率 所有数据目录所在磁盘使用率的平均值。 容量配额使用率 HBlock所有数据目录容量配额使用率的平均值。 HBlock服务器 HBlock服务器的性能。 CPU使用率 服务器CPU使用率。 内存使用量 服务器内存使用量。 内存总量 服务器内存总量。 数据目录使用量 数据目录所在磁盘使用量的总和。 数据目录总容量 数据目录所在磁盘容量的总和。 配额使用量 HBlock已使用容量配额。 配额 HBlock容量配额总和。 客户端 HBlock 当前服务器上，客户端与HBlock之间的数据传输情况。 读带宽 客户端从HBlock服务器读取数据的带宽。 写带宽 客户端向HBlock服务器写入数据的带宽。 总带宽 客户端与HBlock服务器之间的总带宽。 读IOPS 客户端从HBlock服务器读取数据的IOPS。 写IOPS 客户端向HBlock服务器写入数据的IOPS。 总IOPS 客户端与HBlock服务器之间的总IOPS。 读时延 客户端从HBlock服务器读取数据的时延。采集周期内，服务器关联卷的读时延平均值。 写时延 客户端向HBlock服务器写入数据的时延。采集周期内，服务器关联卷的写时延平均值。 总时延 客户端与HBlock服务器之间的总时延。采集周期内，服务器关联卷的读写时延平均值。 HBlock Cloud 当前服务器上，HBlock与云之间的数据传输情况。 上云上传带宽 HBlock服务器器向云上传数据的带宽。 上云下载带宽 HBlock服务器从云下载数据的带宽。 上云总带宽 HBlock服务器与云之间的总带宽。

本文主要介绍SQL Server实例绑定/解绑弹性公网IP的操作步骤。 SQL Server实例创建成功后，默认未绑定弹性IP，不能使用使用公网访问功能。SQL Server支持用户绑定弹性IP，通过公共网络访问数据库实例。 前提条件 ● 实例状态为“运行中”。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中可以看到弹性IP属性，如果该实例未绑定弹性IP则会显示为空，此时可以单击【更多】的【绑定弹性公网IP】按钮，弹出绑定弹性IP界面。 4. 选择目标弹性公网IP，单击绑定，即可完成绑定。 5. 如果该实例已绑定弹性IP，在弹性IP属性中可查看绑定的弹性IP，此时可以单击【更多】的【解绑弹性公网IP】按钮，弹出解绑弹性IP界面。 6. 解绑弹性IP界面可看到目前绑定的弹性IP，单击解绑，即可完成解绑。 说明 如果未申请过弹性IP，可以通过天翼云“控制中心网络控制台”进入弹性IP管理界面，点击【申请弹性IP】进行申请。

本页介绍RDSPostgreSQL如何清空白名单。 通过“清空白名单”操作，只允许本地访问实例，即白名单ip列表被设置成了“127.0.0.1;0:0:0:0:0:0:0:1”。 操作场景 “清空白名单”操作仅作用于当前分组，若不允许外部ip访问实例，可以使用该操作。 注意 清空白名单不会影响实例的正常运行。 清空白名单仅作用当前分组，若有其他分组，则白名单ip列表为所有分组的并集。 清空白名单不会删除白名单分组，只会将分组内的白名单列表设置为127.0.0.1;0:0:0:0:0:0:0:1。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 操作方式 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 点击白名单管理，进入到白名单管理页面。 7. 选择需要操作的白名单组操作列的“清空”按钮。 8. 点击“确定”，清空白名单，点击“取消”，放弃操作。

本章节主要介绍退订RDSPostgreSQL实例。 您可根据业务需要，手动退订实例来释放资源。 RDSPostgreSQL实例在申请退订前，请做好数据备份。 约束限制 退订RDSPostgreSQL实例，不满整月的按当月实际发生天数收费费用。 退订RDSPostgreSQL实例后实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会删除实例。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，单击“更多”选择退订操作，进行退订确认。 6. 在安全验证弹框中输入验证码进行二次确认后，进入退订页面，对实例进行退订。 注意 退订RDSPostgreSQL实例后，实例的所有数据都会被删除，所有的备份会被同步删除，资源被回收，且不可恢复，在申请退订前，请做好数据备份工作。 部分资源池支持回收站功能，退订后实例进入回收站，用户可在保留期内进行恢复，具体功能可参见 不同资源池，菜单名称有所差异，请以实际控制台为准。

本节介绍 Web应用防火墙（独享版）的安全总览页面。 您通过Web应用防火墙服务查看防护日志，可查看到昨天、今天、3天、7天或者30天的访问与攻击统计次数、攻击分布、受攻击域名TOP10、攻击源IP TOP10和受攻击URL TOP10的次数。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 已为防护域名添加了一个或者多个防护规则。 规格限制 在“安全总览”界面，最多可以查看30天的防护数据。 QPS计算方式 不同时间段的QPS计算方式不同，QPS在各时间段的取值说明如下表所示。 时间段 QPS平均取值说明 QPS峰值取值说明 “昨天”、“今天” 间隔1分钟，取1分钟内的平均值 间隔1分钟，取1分钟内的最大值 “3天” 间隔5分钟，取5分钟内的平均值 间隔5分钟，取5分钟内的最大值 “7天” 间隔10分钟，取每5分钟内平均值的最大值 间隔10分钟，取10分钟内最大值 “30天” 间隔1小时，取每5分钟内平均值的最大值 间隔1小时，取1小时内最大值 说明 QPS（Queries PerSecond）即每秒钟的请求量，例如一个HTTP GET请求就是一个Query。请求次数是间隔时间内请求的总量。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在页面上方，设置要查询的网站、实例以及查询时间。 默认统计的是该账号所有项目下添加到WAF的所有网站的相关数据。 “域名接入”：统计的是选择添加到WAF的防护网站的接入信息。单击“查看”跳转到“网站设置”界面，可以查看防护域名详细信息。 查询时间：可选择昨天、今天、3天、7天、30天。 5. 查看统计的总的请求次数、攻击次数以及各类型攻击的页面总数。 “请求次数”中统计的次数为网站的PV（Page Views）值，即用户每次访问网站，在某个时间内被访问的页面总数。 “攻击次数”中统计的次数为网站被各类型攻击的总次数。 各攻击类型统计的次数为用户每次访问网站，在某个时间内被该类型攻击的页面总数。 单击“查看网站TOP统计”，可查看请求次数、攻击次数、Web基础防护、精准防护、CC攻击防护、爬虫攻击防护排名TOP 10的数据。 6. “安全统计”模块数据展示。 “按天统计”：勾选后，显示的是间隔一天统计一次的数据；不勾选，统计的数据周期根据选择的时间段而定，具体如下： “昨天”、“今天”：间隔两分钟统计一次数据。 “3天”：间隔5分钟统计一次数据。 “7天”：间隔10分钟统计一次数据。 “30天”：间隔1小时统计一次数据。 安全统计参数说明： 参数 说明 请求次数 统计的是域名被访问的总请求量、攻击总量以及被各类攻击类型攻击的页面总数。 QPS 域名平均每秒钟的请求量。QPS的取值说明参考[](file:///D:/01%20%E6%96%87%E6%A1%A3%E9%9C%80%E6%B1%82/WAF%E5%90%88%E8%90%A5/Web%E5%BA%94%E7%94%A8%E9%98%B2%E7%81%AB%E5%A2%99%EF%BC%88%E7%8B%AC%E4%BA%AB%E7%89%88%EF%BC%89%E7%94%A8%E6%88%B7%E6%8C%87%E5%8D%97.docx

本节介绍如何配置事件归并规则。 事件归并规则是对过滤后的事件，基于归并条件进行归并。可对事件归并规则进行新增、查看、编辑、删除、查询操作。 新增事件归并规则 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“风险分析 > 事件策略 > 事件归并规则”。 3. 单击“新增规则”，进入“新增事件归并规则”页面。 4. 填写事件归并规则。带“”的为必选参数。 参数 是否必选 参数说明 取值样例 归并规则名称 必选 自定义归并规则名称。 Test 相关采集器 必选 选择日志采集器，目前仅可选择“logp”。 logp 过滤字段选择 必选 根据业务实际情况填写过滤字段。 目标端口等于8080 归并字段选择 必选 根据业务实际情况选择归并字段。 EVENTNAME 归并时间（秒） 必选 选择日志每次归并的时间，时间越长归并的日志越多。 30 归并后事件名 可选 自定义归并后的事件名称。若不配置，则默认为原事件名称。 Event1 归并后事件等级 可选 选择归并后日志事件的等级。若不选择，则默认为原事件等级。 轻微 归并后设置 必选 选择归并后日志数据是选择第一条数据，还是最后一条数据。 第一条 5. 填写完成后，单击“确认”，完成归并规则配置。

本文介绍国密证书的使用场景和使用方法。 功能介绍 密码算法是保障信息安全的核心技术，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 ::: 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出数字签名与验证算法及其相应的流程。并提供相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》。 规范国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》。 1. 将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3。 2. 并且新增GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3。 3. 以及基于RSA证书的算法套件： RSASM4CBCSM3 RSASM4GCMSM3 RSASM4CBCSHA256 RSASM4GCMSHA256 2021年：IETF工作组正式发布国际标准《rfc8998》。 该标准在TLS1.3上定义使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3。 使用ECDHESM2密钥协商算法，取消Client证书的要求和server双证书要求。 天翼云CDN加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。

本文介绍国密证书的使用场景和使用方法。 功能介绍 密码算法是保障信息安全的核心技术，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 ::: 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出数字签名与验证算法及其相应的流程。并提供相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》。 规范国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》。 1. 将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3。 2. 并且新增GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3。 3. 以及基于RSA证书的算法套件： RSASM4CBCSM3 RSASM4GCMSM3 RSASM4CBCSHA256 RSASM4GCMSHA256 2021年：IETF工作组正式发布国际标准《rfc8998》。 该标准在TLS1.3上定义使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3。 使用ECDHESM2密钥协商算法，取消Client证书的要求和server双证书要求。 天翼云CDN加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。

低版本迁移至MySQL 8.0，应该注意哪些问题 MySQL 8.0较MySQL 5.7增加了一些新的特性，并在性能表现上存在差异。迁移前，需要做兼容性分析并给出解决方案。可以从兼容性、系统变量等方面考虑。 兼容性分析： 针对MySQL8.0社区版与MySQL5.7社区版进行分析，包括以下两方面： a. 不影响迁移，但使用方法出现差异。 兼容性 检查项 作用 状态 解决方案 数据类型或函数 ENCODE()函数 加密 移除 AESENCRYPT()函数代替 DECODE()函数 解密 移除 AESDECRYPT()函数代替 ENCRYPT()函数 加密 移除 SHA2()函数代替 DESENCRYPT()函数 加密 移除 AESENCRYPT()函数代替 DESDECRYPT()函数 解密 移除 AESDECRYPT()函数代替 JSONAPPEND()函数 增加json元素 移除 JSONARRAYAPPEND()函数代替 PASSWORD()函数 修改用户密码 移除 ALTER USER user IDENTIFIED BY 'authstring'; JSONMERGE()函数 将多个json合并为一个 废弃 JSONMERGEPERSERVE()函数代替 SQL MODE NOAUTOCREATEUSER、DB2, MAXDB, MSSQL, MYSQL323, MYSQL40, ORACLE, POSTGRESQL, NOFIELDOPTIONS, NOKEYOPTIONS, NOTABLEOPTIONS 移除 外键约束长度 外键约束名称不能超过64个字符 SELECT TABLESCHEMA, TABLENAME FROM INFORMATIONSCHEMA.TABLES WHERE TABLENAME IN (SELECT LEFT(SUBSTR(ID,INSTR(ID,'/')+1), INSTR(SUBSTR(ID,INSTR(ID,'/')+1),'ibfk')1) FROM INFORMATIONSCHEMA.INNODBSYSFOREIGN WHERE LENGTH(SUBSTR(ID,INSTR(ID,'/')+1))>64);使用ALTER TABLE调整长度 features GRANT创建用户 移除 CREATE USER GRANT修改用户信息 移除 ALTER USER IDENTIFIED BY PASSWORD 'authstring' 设置密码 移除 IDENTIFIED WITH authplugin AS 'authstring' SQL语句中的N NULL 移除 NULL代替 PROCEDURE ANALYSE()语法 对MySQL字段值进行统计分析后给出建议的字段类型 移除 空间函数 mysqlinstalldb 初始化 移除 mysqld initialize或initializeinsecure b. 影响迁移，需要提前做检查。 兼容性 检查项 作用 状态 解决方案 原始用法 保留关键字 cumedist、denserank、empty、except、firstvalue、grouping、groups、jsontable、lag、lastvalue、lateral、lead、nthvalue、ntile、of、over、percentrank、rank、recursive、rownumber、system、window 新增 SET sqlmode 'ANSIQUOTES' 名称：数据库、表、索引、列、alias、view、存储过程、分区、表空间 字符集 UTF8MB3 废弃 使用UTF8MB4代替 分区表 不得出现不支持本地分区的存储引擎的分区表 移除 SELECT TABLESCHEMA, TABLENAME FROM INFORMATIONSCHEMA.TABLES WHERE ENGINE NOT IN ('innodb', 'ndbcluster') AND CREATEOPTIONS LIKE '%partitioned%';可按照下述两种方式解决：（1）ALTER TABLE tablename ENGINEINNODB;（2）ALTER TABLE tablename REMOVE PARTITIONING; 不支持MyISAM 语法 group by … asc/desc 升序/降序 移除 使用order by子句代替 view、function等 名称长度 view的列名称不能超过64个字符 alter处理 最多255个字符 enum或set元素的总长度不能超过255个字符 用户处理 最大64K 大小写 lowercasetablenames MySQL设置字母大小写是否敏感 升级过程中，如果设置该参数为1，则必须确保schema和table名称必须是小写的SELECT TABLENAME FROM INFORMATIONSCHEMA.TABLES WHERE TABLENAME ! LOWER(TABLENAME) AND TABLETYPE 'BASE TABLE';SELECT SCHEMANAME FROM INFORMATIONSCHEMA.SCHEMATA WHERE SCHEMANAME ! LOWER(SCHEMANAME); 触发器 是否有空定义或者无效的创建上下文 show triggers查看，检测charactersetclient、 collationconnection、Database Collation属性 系统变量默认值变更 针对社区版MySQL5.7与8.0版本的默认值作对比，默认值不影响迁移，但对迁移后的业务会产生影响。 序号 parameter/option community 作用 备注 原默认值 新默认值 Server 1 charactersetserver latin1 utf8mb4 2 collationserver latin1swedishci utf8mb40900aici 3 explicitdefaultsfortimestamp OFF ON 更新某一行时是否更新timestamp列 4 optimizertracemaxmemsize 16KB 1MB 5 validatepasswordcheckusername OFF ON 6 backlog 1 (autosize) changed from : backlog 50 + (maxconnections / 5) 1 (autosize) changed to : backlog maxconnections 在MySQL暂时停止回答新请求之前的短时间内多少个请求可以被存在堆栈中。 7 maxallowedpacket 4194304 (4MB) 67108864 (64MB) 限制Server接受的数据包大小 8 maxerrorcount 64 1024 控制显示告警的个数 9 eventscheduler OFF ON 10 tableopencache 2000 4000 11 logerrorverbosity 3 (Notes) 2 (Warning) INNODB 1 innodbundotablespaces 0 2 2 innodbundologtruncate OFF ON 3 innodbflushmethod NULL fsync (Unix),unbuffered (Windows) 控制innodb数据文件及redo log的打开、刷写模式 4 innodbautoinclockmode 1 (consecutive) 2 (interleaved) 控制着在向有autoincrement 列的表插入数据时，相关锁的行为； 5 innodbflushneighbors 1 (enable) 0 (disable) 从缓冲池刷新页面是否也刷新相同范围内的其他脏页。 6 innodbmaxdirtypagespctlwm 0 (%) 10 (%) 影响innodb刷新脏页行为 7 innodbmaxdirtypagespct 75 (%) 90 (%) 影响innodb刷新脏页行为 PERFORMANCE SCHEMA 整体是不是开的 REPLICATION 1 logbin OFF ON 2 serverid 0 1 3 logslaveupdates OFF ON 4 expirelogdays 0 30 5 masterinforepository FILE TABLE 6 relayloginforepository FILE TABLE 7 transactionwritesetextraction OFF XXHASH64 8 slaverowssearchalgorithms INDEXSCAN, TABLESCAN INDEXSCAN, HASHSCAN 移除系统变量 针对社区版MySQL 5.7与8.0进行分析，移除系统变量不影响迁移。 移除变量 innodblocksunsafeforbinlog logbuiltinasidentifiedbypassword oldpasswords querycachelimit querycacheminresunit querycachesize querycachetype querycachewlockinvalidate ndbcachechecktime ignoredbdirs txisolation txreadonly syncfrm secureauth multirangecount logerrorverbosity sqllogbin metadatalockscachesize metadatalockshashinstances dateformat datetimeformat timeformat maxtmptables ignorebuiltininnodb innodbsupportxa innodbundologs innodbundotablespaces internaltmpdiskstorageengine

多手柄支持 支持同时连接多个游戏手柄。目前已支持 Xbox 协议的蓝牙手柄，已验证型号如下： Xbox 游戏手柄、Xbox精英手柄 雷神 G50S 盖世小鸡 GameSirT4n Lite 机械师 G5Pro Max 畅玩版 飞智黑武士 4 Pro 说明 支持14个手柄同时连接，轻松开启多人同屏畅玩，让聚会游戏乐趣翻倍。 鼠标模式自由视角 功能概述 在3D游戏和应用中，自适应鼠标拖动旋转视角的操作，解除边界限制。 此状态下，无法通过常规悬停鼠标的方式唤出云电脑工具栏，需通过快捷键（默认Ctrl + Alt + 9）临时释放鼠标光标，即可进行展开工具栏或移出AI云电脑客户端窗口等操作。 功能设置 游戏云电脑默认开启此功能，每次登陆时自动重置为开启状态； 该功能仅针对3D游戏和应用优化，若在其他场景下鼠标操作异常，可尝试关闭功能； 关闭方式：将鼠标移动至云电脑客户端边缘悬浮条（通常为顶部或侧边）展开工具栏，点击“控制中心”，进入“设置其他设置鼠标模式自由视角”； 快捷键变更：可自定义快捷键，支持数字或字母。 注意 版本要求：云电脑客户端版本不低于v2.9.0，建议更新至最新版本。 常见问题

本页介绍了文档数据库服务DDS如何开启存储空间自动扩容。 操作场景 文档数据库服务DDS支持实例存储空间的自动扩容，方便用户在实例存储空间达到一定阈值时由后台自动发起扩容，无需人工操作确认。 约束限制 实例状态非运行中时，自动扩容不会进行。 备份类型为云硬盘的集群版实例最大可自动扩容至2TB，备份类型为对象存储的所有实例最大可自动扩容至32TB。 操作步骤 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击需要开启扩容存储空间实例的实例名称，进入到该实例详情页。 4. 在“配置信息”区域，单击“存储自动扩容”参数右侧的 “设置” 。 5. 在“设置存储空间自动扩容”对话框中，开启自动扩容，配置“存储扩容触发阈值”和 “存储自动扩容上限” 。 6. 点击“确定”完成存储空间自动扩容设置。 说明 当存储空间大于备份空间，备份空间也会进行自动扩容。 自动扩容变更将产生额外计费，如实例有只读从节点，会跟随主节点一起扩容。 当已用存储空间到达触发阈值时，存储空间按照当前存储空间的20%进行扩容。 当超过触发阈值不会马上触发扩容操作，需等几分钟后台才会进行扩容，如有急用，请手动进行存储空间扩容。

205 [DBProxy]优化在控制台执行DDL语句审计不通过的处理逻辑，展示DDL审计规则不通过的具体信息。 158 [DBProxy]优化DDL HINT处理逻辑，增强HINT处理能力。 363 [DBProxy]优化通过DDL语句下发执行顺序，确保与物理分片顺序一致。 378 [前端]优化控制台创建表时设置分片规则相关配置，提升交互体验。 402 [管理平台]调整退订策略，使退订DRDS实例时自动解除所有关联MySQL实例的绑定状态，确保MySQL实例可以正常退订。 389 [前端]优化重启节点页面提示，提升交互体验。 373 [DBProxy]优化关联MySQL实例策略，使DRDS实例关联主备版MySQL实例时直接关联该MySQL实例主节点，提升操作效率。 374 [DBProxy]优化实例创建后的默认参数，减少故障发生率。 399 [DBProxy]优化ZooKeeper连接申请策略，消除异常场景可能出现的ZooKeeper连接数泄露问题。 425 优化检测分片库时MySQL连接数配置策略，提高实例安全性，该功能对公有云租户端不可见。 436 优化DRDS实例新增节点的防火墙策略，提高实例安全性，该功能对公有云租户端不可见。 427、428 [前端]优化DRDS实例关联MySQL相关的页面提示和操作引导，提升交互体验。 429 [前端]优化DRDS实例表回收站的相关页面提示，提升交互体验。

原因三 原因：源站性能问题。 解决办法： 排查网站问题并联系您的网站负责人进行解决。 504 Gateway Timeout 现象：完成WAF域名接入配置之后，业务正常，但当业务量增加时，发生504错误的概率增加，直接访问源站IP也有一定概率出现504的返回码。 可能有以下几个原因： 原因一 原因：后端服务器性能问题（连接数，CPU内存占用过大等）。 解决办法： 1. 优化服务器的相关配置，包括TCP网络参数的优化配置，ulimit相关参数设置等。 2. 为了支撑业务量的大量增长，可按照方法一 或者方法二进行处理。 方法一 ：在ELB上增加后端服务器组。 方法二 ：创建新的ELB，并参照以下方法将ELB的EIP作为服务器的IP地址，接入WAF。 1. 登录管理控制台，单击页面上方的“服务列表”，选择“安全 > Web应用防火墙（独享版）”，进入Web应用防火墙控制界面。 2. 在左侧导航树中选择“网站设置”，进入“网站设置”页面。 3. 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 4. 在“服务器信息”栏中，单击，进入“修改服务器信息”页面，单击“添加”，新增后端服务器。 3. 如果客户端协议即“对外协议”是HTTPS协议，可考虑在WAF设置HTTPS转发，回源走HTTP协议即“源站协议”设置为HTTP，降低后端服务器的计算压力。

本文介绍一些关于RDSPostgreSQL的开发运维建议。 参数部分 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。 修改敏感参数，不当设置会导致信息泄露。例如参数 logstatement，可能会在日志输出中带有敏感信息，若无必要可以设置为none。 性能参数，不当设置会导致无意义的数据库空转或者阻塞，导致读写性能下降。例如参数autovacuum，频率过高会导致占用时间过长，降低实例性能，而频率过低可能会引起清理速度赶不上读写速度，最终导致xid回卷。 数据库重复操作开销 使用连接池。过多的数据库连接会占用宝贵的内存资源，反复创建与销毁连接会增大切换的开销。因而在不影响实际应用的情况下，降低连接数量有利于系统性能优化。业务系统在不影响的情况下，应尽量使用连接池，避免反复创建过多连接，使数据库负荷过重。 使用较大的事务批量处理数据。在不要求分段确认且成功率高的场景下，业务系统应将适当数量的语句放在一个事务内执行，减少反复提交事务的开销。一般的关系型数据库进行事务回滚会有较大时间开销，但关系数据库PostgreSQL版的特性即是回滚时间与事务大小无关，因而事务语句数量阈值相较于其他数据库可以更大一些。

本节介绍了如何创建数据库。 操作场景 实例创建成功后，可根据业务需要在控制台创建数据库。 约束限制 支持在控制台创建数据库。 实例状态异常（主库不可用、恢复等）情况下，不可进行该操作。 不支持创建同名数据库。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 选择数据库管理页签。 7. 点击创建数据库按钮，并填写相关参数。（详细参数及规则如下表） 8. 点击创建按钮。创建成功后，可在数据库管理页面查看已创建的数据库及其相关信息。 参数 说明 数据库名称 由字母、数字、下划线和中划线组成。 由字母开头，以字母和数字结尾。 最长63个字符。 支持字符集 数据库的字符集。 Collate 字符串排序规则。 Ctype 字符分类。 限制并发量 数据库的连接限制数。 授权owner账号 设置数据库的所有者，对数据库拥有ALL权限。 备注说明 填写备注信息，最多可输入1000字符。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本节主要介绍Glance使用HBlock卷的方法。 1. 修改Glance的配置文件/etc/glance/glanceapi.conf，修改enabledbackends，支持使用Cinder作为Glance的后端存储，同时通过cindervolumetype来指定卷类型。 plaintext [DEFAULT] showimagedirecturl True enabledbackends"file:file,cindera:cinder,cinderb:cinder" [glancestore] storesfile,cindera,cinderb defaultbackendfile [file] filesystemstoredatadir /opt/stack/data/glance/images/ [osglancetasksstore] filesystemstoredatadir /opt/stack/data/glance/tasksworkdir [osglancestagingstore] filesystemstoredatadir /opt/stack/data/glance/staging [cindera] cinderosregionnameRegionOne cinderstoreauthaddress cinderstoreusernamecinder cinderstorepasswordnomoresecret cinderstoreprojectnameservice cindervolumetypehblocka cinderenforcemultipathTrue cinderusemultipathTrue rootwrapconfig /etc/cinder/rootwrap.conf [cinderb] cinderosregionnameRegionOne cinderstoreauthaddress cinderstoreusernamecinder cinderstorepasswordnomoresecret cinderstoreprojectnameservice cindervolumetypehblockb cinderenforcemultipathTrue cinderusemultipathTrue rootwrapconfig /etc/cinder/rootwrap.conf 部分参数描述，具体详细参数请参考OpenStack官网。 参数 描述 showimagedirecturl 是否允许通过直接url的方式表示镜像。 取值： True。 False。 说明 在使用Stor Cinder进行镜像创建卷的场景下，支持采用克隆方式进行底层处理。如果使用克隆进行底层处理，必须配置此项，且该项取值为True。 enabledbackends 存储标识符和存储类型。配置形式为key :value 。value的合法值为file、rbd、http、swift、cinder。key为defaultbackend的值。 说明 可以一次配置多个key :value ，以英文逗号隔开，如key1 :value1 ,key1 :value2 。enabledbackends中的每一个key 都需要有一个单独的一个配置组[key]，配置组中需要配置该配置的所有详细配置项。 defaultbackend 必须为enabledbackends中的key。 cinderosregionname 从服务目录中查找cinder服务的区域名称。 cinderstoreauthaddress Openstack实际的identity服务url，对应的账户密码需找管理员获取。在PackStack部署模式下，此值为类似的地址： cinderstoreusername OpenStack鉴权账户名。 cinderstorepassword OpenStack鉴权密码。 cinderstoreprojectname 镜像卷存储在Cinder中的项目名称。 cindervolumetype 在Cinder中创建卷的卷类型。 cinderenforcemultipath 如果它被设置为True，则当Multipathd未运行时，镜像传输的卷附加将中止。 取值： True。 False。 说明 如果HBlock集群版，需要配置为True，如果HBlock单机版，配置为False。仅在cinderusemultipath设置为True时，才将此字段设置为True。 cinderusemultipath 在部署中支持用于识别Mutipath的标记。 如果不支持多路径，则将其设置为False。 True：Cinder使用多路径。 False：Cinder不使用多路径。 说明 如果HBlock集群版，需要配置为True，如果HBlock单机版，配置为False。 rootwrapconfig 用于以root用户身份运行命令的rootwrap配置文件的路径。 Cinder存储需要root特权才能运行镜像卷（用于连接到 iSCSI/FC 卷以及读/写卷数据等）。配置文件应允许cinder store和osbrick库所需的命令。 注意 注意：以下仅为示例，请按照实际的OpenStack环境信息进行填写。 plaintext [DEFAULT] showimagedirecturl True enabledbackends"file:file,cinder:cinder,cinderstor8:cinder" [glancestore] storesfile,cinder defaultbackendfile [file] filesystemstoredatadir /opt/stack/data/glance/images/ [osglancetasksstore] filesystemstoredatadir /opt/stack/data/glance/tasksworkdir [osglancestagingstore] filesystemstoredatadir /opt/stack/data/glance/staging [cinder] cinderosregionnameRegionOne cinderstoreauthaddress

本节介绍了云数据库GaussDB 的自定义权限管理策略。 如果系统预置的云数据库GaussDB openGauss版权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考《云数据库GaussDB 接口参考》的“策略及授权项说明”章节。 本章为您介绍常用的云数据库GaussDB 自定义策略样例。 自定义策略样例 示例1：授权用户创建云数据库GaussDB 实例 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["gaussdb:instance:create"] }] } 示例2：拒绝用户删除云数据库GaussDB 实例 拒绝策略需同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予云数据库GaussDB FullAccess的系统策略，但不希望用户拥有云数据库GaussDB FullAccess中定义的删除云数据库GaussDB 实例，您可以创建一条拒绝删除云服务的自定义策略，然后同时将云数据库GaussDB FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对云数据库GaussDB实例执行除了删除实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [{ "Action": ["gaussdb:instance:delete"], "Effect": "Deny" }] }

本章节介绍Eureka引擎告警管理功能 概述 通过实例的告警管理能力，您可以对实例状态进行实时监控，并在特定指标异常时，将消息以不同形式（短信、邮件、翼连）推送到相关负责人，以便及时感知问题、处理线上故障。 管理通知对象 在配置告警规则之前，您需要先添加通知对象。通知对象包括联系人、联系人组、翼连、WebHook集成四种形式。 联系人：一个告警规则所通知的“个人”，通知渠道包括该“个人”的手机短信和个人邮箱。 联系人组：多个联系人组成的逻辑团体。若告警通知到联系人组，将会通知联系人组下的每个联系人。 翼连：通知到翼连群。 WebHook集成：通过调用预先指定的地址进行告警通知。 下面以最简单的联系人为例，演示如何添加通知对象。 1.进入实例引擎控制台>告警管理>通知组页签，点击“新建联系人”按钮。 2.在弹出的窗口中，填写联系人的对应信息，即可完成创建。 管理告警规则 告警规则决定了一次告警发生的阈值、通知的对象和渠道，以及通知的内容。完成联系人创建后，进入实例引擎控制台>告警管理>告警规则页签，可以管理您的告警规则。 下面将演示如何创建一个“Eureka引擎注册服务健康实例数量占比过少”多告警并使其生效，触发告警。 1. 创建通知策略。进入实例引擎控制台>告警管理>通知策略页签，点击“创建通知策略”按钮，填写相关信息，并指定通知对象为上一步骤中创建的联系人，完成通知策略创建； 2. 点击“创建告警规则”按钮，在弹出的窗口中填写告警相关信息。其中，通知策略指定为步骤1中创建的通知策略，告警分组选择“Eureka引擎”，告警指标选择“健康实例数量占比”，根据您的需求选择合适的判断条件，告警等级。 3. 完成告警规则创建后，可在告警规则列表中查询到该条目。告警规则创建完毕后默认启用，可通过右侧“操作”中的“停止”来使该规则失效。 4. 告警规则生效后，可在实例引擎控制台>告警管理>告警事件历史页签中，对告警事件的当前状态进行追踪。

信息的获取 云网平台获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程： 1. 待签字符串：使用规范请求和其他信息创建待签字符串。 2. 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥。 3. 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4. 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为header中的一部分，并且必须是待签名header里的一个。需要进行签名算法的header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序。 如果你加入一个ccad的header，同时这个header也要是进行签名，则待签名的header组合： ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n

参数 说明 登录名 自定义登录系统的用户名。 创建后不可修改，且系统内“登录名”唯一不能重复。 认证类型 选择登录系统的认证方式。 本地：系统默认方式，即通过系统自身的帐号管理系统进行身份认证。 AD域：通过Windows AD域服务器对用户进行身份认证。 LDAP：通过LDAP协议，由第三方认证服务器对用户进行身份认证。 RADIUS：通过RADIUS协议，由第三方认证服务器对用户进行身份认证。 Azure AD：基于SAML配置，由Azure平台对登录用户进行身份认证。 若需启用AD域、LDAP、RADIUS、Azure AD远程认证方式的用户，需先在系统配置远程认证服务器信息，详细操作请参见：远程认证管理。 域名 “认证类型”选择“Azure AD”时，需要配置此项。 需输入在Azure平台用户注册时的后缀。 密码/确认密码 仅“认证类型”选择“本地”时，需要配置用户登录系统的密码。 可自定义生成密码，也可随机生成密码。 认证服务器 仅“认证类型”选择“AD域”和“LDAP”时，需要选择服务器名称。 姓名 自定义用户姓名。 用户帐号使用人员的姓名，便于区分不同的用户。 手机 输入手机号码。 用户帐号系统预留手机号码，用于手机短信登录或找回密码。 邮箱 输入邮箱地址。 用户帐号系统预留邮箱地址，用于通过邮箱接收系统消息通知。 角色 选择用户的角色，一个用户仅能配置一个角色。 缺省情况下，系统角色包括部门管理员、策略管理员、审计管理员和运维员。 部门管理员：负责部门管理，除“用户管理”和“角色管理”模块之外，部门管理员拥有其他全部模块的配置权限。 策略管理员：负责策略权限的配置，拥有“用户组管理”、“资源组管理”和“访问策略管理”等模块的配置权限。 审计管理员：负责系统和运维数据的审计，拥有“实时会话”、“历史会话”和“系统日志”等模块的配置权限。 运维员：系统普通用户和资源操作人员，拥有“主机运维”、“应用运维”和“授权工单”模块的操作访问权限。 自定义的角色：仅admin可自定义新角色或编辑默认角色的权限范围，详细介绍请见：角色管理。 所属部门 选择用户所属部门组织。如何创建系统部门，请参见：系统部门。 用户描述 （可选）对用户情况的简要描述。

推送运维报表 为方便审计管理员及时获取运维统计信息，可通过邮件发送运维报表。 自发送周期可选择每日、每周、每月。 报表格式可选择PDF、DOC、XLS、HTML。 每次推送最多可呈现连续180天的运维统计数据。 前提条件 已获取“运维报表”模块管理权限。 已配置有效邮箱地址。 手动导出 1 登录云堡垒机系统。 2 选择“审计 > 运维报表”，进入系统报表查看页面。 3 单击右上角的“报表导出”，弹出运维报表导出配置窗口。 4 配置运维报表推送方式、时间和文件格式。 导出运维报表 导出运维报表参数说明 参数 说明 :: 展示粒度 选择运维报表趋势图呈现粒度。 可以选择“按小时”、“按天”、“按周”、“按月”。 时间 选择运维报表统计数据时间范围。 需同时选择起始时间和结束时间。 最长可选择连续的180天。 报表类型 选择运维报表需呈现统计数据类型。 文件格式 选择报表的文件格式，仅可选择一种格式。 默认导出DOC文件格式。 可选择PDF、DOC、XLS、HTML格式。 5 单击“确定”，立即导出运维报表。 6 “消息中心”收到导出运维报表完成提醒，即可在邮箱收到运维报表文件。 自动发送 1 登录云堡垒机系统。 2 选择“审计 > 运维报表”，进入系统报表查看页面。 3 单击右上角的“报表自动发送”，弹出报表推送配置窗口。 4 配置报表推送方式、时间和文件格式。 自动发送运维报表 自动发送运维报表参数说明 参数 说明 :: 状态 选择开启或关闭自动推送上一周期报表，默认。 关闭表示关闭自动推送报表。 开启表示开启以邮件方式发送上一周期的报表至当前用户邮箱。 发送周期 选择报表发送周期。 默认为目标日期的零点发送报表。 可以按每日、每周、每月周期进行发送。 每日发送的报表中展示粒度为按小时。 每周发送的报表中展示粒度为按天。 每月发送的报表中展示粒度为按周。 文件格式 选择报表格式，仅可选择一种格式类型。 默认选DOC格式。 可选择PDF、DOC、XLS、HTML格式。 5 单击“确定”，返回运维报表页面，按期接收到运维报表邮件。

此章节为您介绍数据库审计如何设置告警通知。 邮件方式通知告警 1. 在菜单栏选择“通知外送 > 告警通知”进入“告警通知”页面，选择“邮件”页签。 2. 单击“编辑”，在弹出的“邮箱配置”对话框中编辑相关信息。具体参数说明可参考下表。 配置项 说明 SMTP服务器 SMTP服务器的IP或域名。 SMTP服务器端口 SMTP服务器所用端口。 发件人 发件人的邮箱。 SMTP验证 邮箱是否开启SMTP验证。 用户名 邮箱的用户名。 密码 与邮箱用户名对应的用户密码。 是否加密 邮箱是否进行加密。 编码 服务器支持的编码方式，主要为：UTF8、GBK。以上SMTP服务器相关配置与服务器端设置保持一致即可。 实时告警模板 发送实时告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 聚合告警模板 发送聚合告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 统计告警模板 发送统计告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 系统告警模板 发送系统告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 3. 配置邮件发送接口后，可对需要通过邮件发送接口发送通知的资产配置发送方式。单击“添加”。 4. 在弹出的对话框中编辑相关信息，编辑完成后单击“保存”。具体参数说明可参考下表。 配置项 说明 资产 选择要发送告警信息的资产，可选择多项。 接收者 接收告警信息的邮箱，可设置多个邮箱。 告警等级 选择要发送的告警信息的告警等级。 通知周期 同一个规则在通知周期内多次触发告警时只通知第一次触发的告警。 取值范围：0~86400，单位为秒。 0表示发送全部告警。如果设置为0，聚合通知功能将无法开启。 聚合通知 开启聚合通知功能后，系统会在通知周期结束后发送一条聚合告警信息。 聚合消息示例：在过去秒，总计触发条告警（“”为具体数值）。 告警统计 选择是否开启发送告警统计信息的功能。 发送时间 每天在设定的时间点发送前一天的告警统计信息。

联系服务人员 如果无法确定原因并解决问题，请联系企业管理员。 为什么在互联网环境连接DWS后，解绑了EIP不会立即返回失败消息？ 这是因为解绑了EIP后，会导致网络断开。但是此过程中，TCP协议层因keepalive等的设置，无法及时识别物理连接已经故障，导致gsql，ODBC和JDBC等客户端无法及时识别网络故障。 客户端等待数据库返回的时间与keepalive参数的设置相关，具体可以表示为：keepalivetime + keepaliveprobes keepaliveintvl。 因为keepalive参数涉及到网络的通信的稳定性，所以可根据具体的业务压力与网络状况进行调整。 如果是Linux环境，使用sysctl命令修改如下参数： net.ipv4.tcpkeepalivetime net.ipv4.tcpkeeapliveprobes net.ipv4.tcpkeepaliveintvl 以修改net.ipv4.tcpkeepalivetime参数值为例，执行如下命令将参数值修改为120秒： sysctl net.ipv4.tcpkeepalivetime120 如果是Windows环境，修改注册表“HKEYLOCALMACHINESYSTEMCurrentControlSetservicesTcpipParameters”中的如下配置信息： KeepAliveTime KeepAliveInterval TcpMaxDataRetransmissions（相当于tcpkeepaliveprobes） 说明 如果以上参数不在注册表“HKEYLOCALMACHINESYSTEMCurrentControlSetservicesTcpipParameters”中，可以在注册表编辑器对应路径下右键单击“新建 > DWORD值”进行添加。 使用公网IP连接集群时如何设置白名单？ 用户可以登录VPC管理控制台手动创建一个安全组，然后回到DWS 创建集群页面，单击“安全组”下拉列表旁边的按钮，刷新后在“安全组”下拉列表中选择新建的安全组。 为了使DWS客户端可以连接集群，用户需要在新建的安全组中添加一条入规则，开放DWS 集群的数据库端口的访问权限。 协议：TCP。 端口范围：8000。指定为创建DWS 集群时设置的数据库端口，这个端口是DWS 用于接收客户端连接的端口。 源地址：选中“IP地址”，然后指定为客户端主机的IP地址，例如“192.168.0.10/32”。 添加入方向规则 添加完成后，即设置白名单成功。