接口功能介绍 获取导入密钥材料 接口约束 请保证账户余额大于0 URI POST /v1/importKey/getParametersForImport 路径参数 无 Query参数 无 请求参数 请求头header参数 请参见请求消息头 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 cmkUuid 是 String 主密钥唯一标识id 474e569e8814474a948bdbcf6d853eff wrappingAlgorithm 否 String 用于加密密钥材料的算法，取值范围： RSAESPKCS1V15 RSAESOAEPSHA1 RSAESOAEPSHA256 RSAESPKCS1V15 wrappingKeySpec 否 String 用于加密密钥材料的公钥类型，取值范围： RSA2048 CtyunSM2 RSA2048 响应参数 参数 参数类型 说明 示例 下级对象 code String 返回码，取值范围： 200：成功 400：参数缺失或错误 401：用户验证错误 404：操作目标不可用 500：系统内部错误 200 errorCode String 错误码 KMS.0514 msg String 调用结果信息 生成导入密钥材料成功 data Object 接口返回结果 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 importToken String 导入令牌 Base64String cmkUuid String 密钥唯一标识id 474e569e8814474a948bdbcf6d853eff publicKey String 用于加密密钥材料的公钥 MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAlls4uIBxD0GG 84C+lGBO6Dhpf1J3XimC6cPmPNaKKJMOzoX4tD+C+r7aZv8lZ3vnPfxux vy/YwG+whUxTEEFUdqJTOIzhPfYucupqKM92crVHIuG+xtMVeHKjyTr+U rtKCsQikqHT+19yDRN/RMoo2HUx0gmEnRyXd8t3JyUXun9FdoxKA08Gr sV7nodb9ZsoBLhnev7tTLcXvLyKW6XG1ZQCQm6dPnbnwLeDXR7uK0Lq n9PM28mBIdaiQUQxj2XbM1CoJA+JiyVX3Ptdb+4rqukb4Rb05B80Bs9xV /cf7FIku08l7xGhrGiQFq+DFXwQWtwihXHZxz3LhldU+4ZPwIDAQAB tokenExpireTime String 令牌过期时间 20180125T00:01:02Z

使用示例 以下是一个失败状态的定义示例： plaintext specVersion: '0.8' version: '1.0' name: test start: Fail states: name: fail type: Operation actions: functionRef: type: Fail arguments: errorType: customError errorMessage: "User called fail" end: true 示例解析： type ：指定状态类型为 Fail，表明这是一个传递状态。 name ：状态命名为 fail，便于在流程中识别。 End ：设置为 true，表示该状态是工作流的终点，无需指定后续状态。 errorType ：错误类型为customError。 errorMessage ：错误消息为User called fail。 条件分支（Switch）状态 本节将为您详细讲解条件分支状态（Switch）的基本概念、使用场景示例以及条件表达式的应用，帮助您更好地在工作流中运用此状态。 基本概念 条件分支状态（Switch）是工作流中的条件选择工具，允许流程根据预设条件执行不同的路径。其功能类似于编程中的 switchcase 语句。 它由若干条件（dataConditions）和一个默认条件（defaultCondition）组成，每个分支包含一个条件表达式和一个跳转目标。 状态属性 条件分支状态的属性定义了其逻辑和行为： 字段 类型 是否必选 描述 示例值 name string 是 状态的名称，用于唯一标识。 my switch type string 是 状态类型，固定为“Switch”。 Switch dataConditions []DataCondition 是 条件列表，详见DataCondition属性 defaultCondition DefaultCondition 是 默认情况，详见DefaultCondition属性 stateDataFilter StateDataFilter 否 输入/输出构造器，参考流程定义介绍中StateDataFilter字段说明

接口功能介绍 生成数据密钥，不返回明文数据密钥 接口约束 请保证账户余额大于0 URI POST /v1/keyCompute/generateDataKeyWithoutPlaintext 路径参数 无 Query参数 无 请求参数 请求头header参数 请参见请求消息头 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 cmkUuid 是 String 密钥唯一标识id 474e569e8814474a948bdbcf6d853eff keySpec 否 String 指定生成的数据密钥的长度，取值范围： AES256：256比特的对称密钥 AES128：128比特的对称密钥 （也可通过numberOfByte是参数指定密钥长度，若均为空，默认返回AES256） AES256 numberOfBytes 否 String 生成的数据密钥长度，取值范围：11024，单位：字节 256 响应参数 参数 参数类型 说明 示例 下级对象 code String 返回码，取值范围： 200：成功 400：参数缺失或错误 401：用户验证错误 404：操作目标不可用 500：系统内部错误 200 errorCode String 错误码 KMS.0514 msg String 调用结果信息 生成数据密钥成功 data Object 接口返回结果 returnObj 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 cmkUuid 是 String 密钥唯一标识id，可选对称密钥类型 474e569e8814474a948bdbcf6d853eff keyVersionId 是 String 密钥版本id f2ffbff9940a41a4ba9afe1fd8f22792 ciphertextBlob 是 String 数据密钥密文，即被指定CMK的主版本加密后的密文，且经过Base64编码后返回 itIb4kN84JKrbv8P5ZTZJyn3cbu0SLvblB5/csedLEchgF5ijFx9nEc5Y0DpzWba

Chatbox 访问链接：< 点击Setting，然后配置Api Host、API path、API key和Model，就可以使用了。 注意 chatbox web如果api setting配置错误，更改后，仍然会报错。报错如下： 如遇上述报错，建议重新开启一个对话，再次尝试即可。 CherryStudio 访问链接：< 按照下图配置即可。 一旦出现以下报错，重新开启一个对话，再次尝试，则可以看到正确的对话。 Langchain 参考langchain的自定义模型文档通过OpenAI协议调用即可。 python from langchain.chatmodels import ChatOpenAI from langchain.schema import HumanMessage def main(): 初始化LangChain模型，配置自定义API端点 llm ChatOpenAI( modelname"9dc913a037774fc0b248376905c85da5", 自定义模型名称 从环境变量获取API密钥，如果没有设置，也可以直接终端执行export TYYAPIKEY"xxx" openaiapikeyos.getenv("XIRANGAPIKEY") openaiapibase" API基础URL temperature0.7 ) 创建一个聊天消息 message HumanMessage(content"你是谁") 使用LangChain进行对话 response llm([message]) print(response.content) if name "main": main()

本节主要介绍Kvrocks到GeminiDB Redis的迁移方案。 Kvrocks是一款开源的兼容Redis生态的NoSQL keyvalue数据库，底层基于RocksDB实现，并提供namespace功能支持数据分区。Kvrocks集群管理功能相对薄弱，自建集群时需要与外部组件配合，Kvrocks支持的redis命令还不够全面，例如缺少在消息流和统计场景经常使用的stream及hyperloglog数据结构。 GeminiDB Redis是一款兼容Redis生态的云原生NoSQL数据库，基于共享存储池的多副本强一致机制，保证数据的安全可靠。GeminiDB Redis具有高兼容、高性价比、高可靠、弹性伸缩、高可用、无损扩容等特点。不亚于RedisCluster的兼容度，使用户在应用时无需修改代码，可直接使用，100%兼容原生接口。GeminiDB Redis在适配Kvrocks业务的同时，还能克服器管理能力弱、对Redis兼容度不高等缺点。 迁移原理 使用开源工具kvrocks2redis进行Kvrocks到GeminiDB Redis的迁移，在此基础上，从GeminiDB Redis源码层面对Kvrocks的namespace功能进行适配。 迁移过程分为全量和增量两个阶段：迁移开始后，先进行全量迁移，此时对kvrocks打快照，并记录对应的数据版本（seq）。然后解析全量数据文件成redis命令写入GeminiDB Redis。全量迁移完成后进入持续的增量迁移过程，迁移工具循环给Kvrocks发送PSYNC命令，将获取到的增量数据不断转发给GeminiDB Redis，完成增量迁移 。

指标类别 指标 指标名称 指标说明 单位 数据类型 默认聚合方式 异常（exception，ObsClient调用的异常信息统计。） exceptionType 异常类型 异常类型 ENUM LAST 异常（exception，ObsClient调用的异常信息统计。） causeType 异常类 发生异常的类 ENUM LAST 异常（exception，ObsClient调用的异常信息统计。） count 次数 该异常的发生次数 INT SUM 异常（exception，ObsClient调用的异常信息统计。） message 异常消息 该异常产生的异常消息 STRING LAST 异常（exception，ObsClient调用的异常信息统计。） stackTrace 异常堆栈 该异常产生的堆栈信息 CLOB LAST url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） client client client ENUM LAST url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） url url 被调用url ENUM LAST url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） method httpmethod url的httpmethod ENUM LAST url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） concurrentMax 最大并发 被调用url的最大并发 INT MAX url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） errorCount 错误次数 被调用url的错误次数 INT SUM url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） hostUri hostUri hostUri STRING LAST url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） invokeCount 调用次数 被调用url的调用次数 INT SUM url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） lastError 错误信息 url发生错误时产生的错误信息 STRING LAST url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） maxTime 最大响应时间 被调用url的最大响应时间 INT MAX url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） responseCloseCount 响应关闭次数 响应关闭次数 INT SUM url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） totalTime 总响应时间 被调用url的总响应时间 INT SUM url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） range1 010ms 响应时间在010ms范围请求数 INT SUM url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） range2 10100ms 响应时间在10100ms范围请求数 INT SUM url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） range3 100500ms 响应时间在100500ms范围请求数 INT SUM url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） range4 5001000ms 响应时间在5001000ms范围请求数 INT SUM url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） range5 110s 响应时间在110s范围请求数 INT SUM url监控（obsClientInvocation，以被调用的url为维度统计接口调用信息。） range6 10s以上 响应时间在10s以上请求数 INT SUM 状态码统计（code ，根据状态码维度统计接口调用信息。） code 状态码 状态码 ENUM LAST 状态码统计（code ，根据状态码维度统计接口调用信息。） url url 产生对应状态码的url STRING LAST 状态码统计（code ，根据状态码维度统计接口调用信息。） count 次数 对应状态码的发生次数 INT SUM ObsClient汇总（total ，ObsClient接口调用的汇总信息统计。） errorCount 请求错误次数总和 请求错误次数总和 INT SUM ObsClient汇总（total ，ObsClient接口调用的汇总信息统计。） invokeCount 调用次数 总的调用次数 INT SUM ObsClient汇总（total ，ObsClient接口调用的汇总信息统计。） totalTime 总响应时间 总响应时间 INT SUM

本节主要介绍负载不均衡的常见处理方法。 对于集群方式部署的实例，常见Shard间负载不均衡，一般有如下原因：没有做分片，片键选择不正确，不做chunk预置，shard间均衡速度低于数据插入速度等。 排查方法 步骤 1 通过客户端连接数据库。 步骤 2 执行如下命令，查看分片信息。 mongos> sh.status() Sharding Status sharding version: { "id" : 1, "minCompatibleVersion" : 5, "currentVersion" : 6, "clusterId" : ObjectId("60f9d67ad4876dd0fe01af84") } shards: { "id" : "shard1", "host" : "shard1/172.16.51.249:8637,172.16.63.156:8637", "state" : 1 } { "id" : "shard2", "host" : "shard2/172.16.12.98:8637,172.16.53.36:8637", "state" : 1 } active mongoses: "4.0.3" : 2 autosplit: Currently enabled: yes balancer: Currently enabled: yes Currently running: yes Collections with active migrations: test.coll started at Wed Jul 28 2021 11:40:41 GMT+0000 (UTC) Failed balancer rounds in last 5 attempts: 0 Migration Results for the last 24 hours: 300 : Success databases: { "id" : "test", "primary" : "shard2", "partitioned" : true, "version" : { "uuid" : UUID("d612d134a4994428ab21b53e8f866f67"), "lastMod" : 1 } } test.coll shard key: { "id" : "hashed" } unique: false balancing: true chunks: shard1 20 shard2 20 “databases”中列出的所有数据库都是通过enableSharding开放了分片的库。 “test.coll”表示开启分片的namespace信息，其中test为集合所在的库名，coll为开启分片的集合名。 “shard key”表示前面集合的分片键，分片方式“id : hashed”表示通过id进行哈希分片，如果是“id : 1”，则代表通过id的范围进行分片。 “chunks”代表分片的分布情况。 步骤 3 根据步骤2查询出的结果，分析分片信息。 1. 如果业务性能存在瓶颈的数据库和集合，在上述“databases”以及子项中不存在，则说明业务集合没有进行分片。对于集群来说这意味着业务只有一个Shard承载，没有应用DDS的水平扩展能力。 此场景下可以通过如下的命令开启分片，充分发挥实例的水平扩展能力。 mongos> sh.enableSharding(" ") mongos> use admin mongos> db.runCommand({shardcollection:" . ",key:{"keyname": }}) 2. 如果“shardKey”分片片键选择不合理，也会导致负载不均衡。典型场景有业务热点数据分布在某个范围内，而分片的片键选择范围分片的方式，那么可能会出现热点数据所在的chunk对应的Shard负载会明显的高于其他Shard，最终导致整体性能出现瓶颈。 此场景下可以通过重新设计片键的分布方式来达到目标，比如将范围分片修改为哈希分片。 mongos> db.runCommand({shardcollection:" . ",key:{"keyname": }}) 说明 一个集合选择了分片方式，则不能在原集合上随时修改。所在集合在设计阶段需要充分考虑分片方式。 更多关于设置数据分片的内容请参见 3. 如果存在集中大批量的插入数据的场景，数据量超过单shard承载能力的话，可能会出现Balance速度赶不上插入速度，导致主shard存储空间占用率过高。 此场景可以使用sar命令查看服务器网络连接情况，分析每个网卡的传输量和是否达到传输上限。 sar n DEV 1 //1为间隔时间 Average: IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s %ifutil Average: lo 1926.94 1926.94 25573.92 25573.92 0.00 0.00 0.00 0.00 Average: A10 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Average: A11 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Average: NIC0 5.17 1.48 0.44 0.92 0.00 0.00 0.00 0.00 Average: NIC1 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Average: A00 8173.06 92420.66 97102.22 133305.09 0.00 0.00 0.00 0.00 Average: A01 11431.37 9373.06 156950.45 494.40 0.00 0.00 0.00 0.00 Average: B30 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Average: B31 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 说明 “rxkB/s”为每秒接收的kB数。 “txkB/s”为每秒发送的kB数。 检查完后，按“Ctrl+Z”键退出查看。 对于网络过高的情况，建议对MQL语句进行分析，优化思路，降低带宽消耗，提升规格扩大网络吞吐能力。 建议排查业务是否存在分片集合的情况消息中未携带ShardKey的情况，此场景下请求消息会进行广播，增加带宽消耗。 控制客户端并发线程数，降低网络带宽流量。 以上操作无法解决问题时，请及时提升实例规格，高规格节点对应更高网络吞吐能力的虚拟机。

本文介绍如何使用云搜索Elasticsearch、Kibana、Logstash实例搭建日志分析平台。 使用ELK Stack（Elasticsearch、Logstash、Kibana、Beats）进行日志管理是一种流行的开源解决方案，用于集中式日志收集、存储、分析和可视化。ELK Stack可以从分布式系统中采集和聚合日志，帮助运维和开发人员更好地理解系统的运行状态、排查问题并监控关键业务指标。 本文将使用Filebeat、Logstash、Elasticsearch、Kibana搭建一个简单的日志分析平台，其中需要自行部署Filebeat并且打通和天翼云云搜索Elasticsearch、Kibana以及Logstash实例之间的网络。 ELK Stack组件 Elasticsearch 是一个分布式搜索引擎，作为ELK堆栈的核心，它负责存储和索引日志数据。Elasticsearch提供强大的全文搜索、过滤和分析功能，可以快速处理大规模数据并允许实时查询。 Logstash 是一个数据处理管道工具，负责从各种输入源收集数据，进行过滤、处理并将其输出到 Elasticsearch。Logstash 支持多种数据源（如文件、数据库、消息队列），并且能够通过过滤器对数据进行处理，比如解析、格式转换等。 Kibana 是一个数据可视化和分析工具，允许用户在浏览器中直观地查询和展示Elasticsearch 中存储的日志数据。Kibana提供多种图表、仪表盘和地图，可以帮助用户监控系统、分析日志、生成报表等。 Beats是一组轻量级数据收集器，用于将各种类型的数据发送到Elasticsearch或Logstash进行索引和分析。其中Filebeat是 ELK Stack 中的一个轻量级日志数据收集器，用于收集日志文件数据。它监视指定的日志文件或位置，并将其发送到Elasticsearch或Logstash以进行存储和分析。

APM适合多种运维监控场景,此篇例举部分应用场景如下。 场景一：定位应用性能瓶颈与故障异常 场景说明 随着业务不断发展，业务逻辑日益复杂，导致应用性能问题分析与定位日益艰难，给监控运维带来了巨大的挑战： 应用之间的依赖关系复杂，难以梳理。 调用链路长，排查和定位群体困难。 接口调用、数据库调用关系复杂，管理难度大。APM提供了大型分布式应用的异常诊断能力，当应用出现请求失败或性能下降时，通过应用拓扑、调用链、性能指标监控等能力组合，可以帮助用户快速定位问题。 业务价值 应用拓扑展示：自动梳理业务应用，以拓扑图的方式全面展示相关应用调用关系。 丰富的指标监控：提供包括JVM、资源监控、Netty内存等基础监控；Kafka、RocketMQ等消息监控；Mysql，redis，es等数据库监控；httpClient、grpc等调用监控。 慢SQL分析：通过自定义的慢查询阈值、结合SQL的调用频次，获取导致数据库性能下降的不规范的SQL语句。 告警：针对接口响应时间、异常调用、数据库、JVM等性能指标做一定阈值的告警，先于客户之前发现并解决问题。 场景二：容器运维监控 场景说明 众所周知，Prometheus 是容器场景的最佳监控工具，但自建 Prometheus 对运维人力有限的中小企业成本过高，对业务快速发展的企业又易出现性能瓶颈。因此使用云托管 Prometheus 已成为越来越多上云企业的首选。

本节介绍如何创建通知规则。 创建通知规则 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“威胁运营 > 通知管理 > 通知规则”，进入通知规则页面。 3. 点击“新建”按钮，弹出创建通知规则窗口。 4. 配置通知规则信息。 说明 只有在生效周期和通知时段产生的告警会进行通知。 参数 说明 通知类型 选择需要通知的告警类型，数据来源于威胁建模中的类型（可多选）。 通知对象 选择通知联系人，数据来源于在通知联系人页面创建的通知联系组（可多选）。 通知方式 选择告警通知的方式，支持短信、邮箱、钉钉机器人、微信机器人（可多选）。 说明 如果需要向钉钉或微信发送告警的消息，需要先在通知联系组中配置钉钉机器人或微信机器人，详细操作请参见通知联系组。 若通知联系组中配置了钉钉机器人与微信机器人，则会显示相应图标，如下所示： 生效周期 选择需要通知的星期（可多选）。 通知时段 选择需要通知的时间段。 重复通知 配置对于已通知但未及时处置的告警是否采用重复策略进行通知。 规则信息 用于标识特定规则的信息。 5. 配置完成后，单击“确定”，回到通知规则页面，可以看到已创建的通知规则，状态默认为“启用”。

参数 类型 说明 是否必要 bucket String 执行本操作的桶名称 是 delimiter String 与Prefix参数一起用于对对象key进行分组的字符。所有key包含指定的Prefix且第一次出现Delimiter字符之间的对象作为一组。如果没有指定Prefix参数，按Delimiter对所有对象key进行分割，多个对象分割后从对象key开始到第一个Delimiter之间相同的部分形成一组 否 encodingType String 用于设置response中object key的字符编码类型 否 keyMarker String 和uploadIdMarker参数一起用于指定返回哪部分分片上传的信息。如果没有设置uploadIdMarker参数，则只返回对象key按照字典顺序排序后位于keyMarker标识符之后的分片信息。如果设置了uploadIdMarker参数，则会返回对象key等于keyMarker且uploadId大于uploadIdMarker的分片信息 否 maxUploads int 用于指定相应消息体中正在进行的分片上传信息的最大数量，最小值为1，默认值和最大值都是1000 否 prefix String 与delimiter参数一起用于对对象key进行分组的字符。所有key包含指定的Prefix且第一次出现delimiter字符之间的对象作为一组 否 uploadIdMarker String 和keyMarker参数一起用于指定返回哪部分分片上传的信息，仅当设置了keyMarker参数的时候有效。设置后返回对象key等于keyMarker且uploadId大于uploadIdMarker的分片信息 否

接口功能介绍 生成数据密钥 接口约束 请保证账户余额大于0 URI POST /v1/keyCompute/generateDataKey 路径参数 无 Query参数 无 请求参数 请求头header参数 请参见请求消息头 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 cmkUuid 是 String 密钥唯一标识id 474e569e8814474a948bdbcf6d853eff keySpec 否 String 指定生成的数据密钥的长度，取值范围： AES256：256比特的对称密钥 AES128：128比特的对称密钥 （也可通过numberOfBytes参数指定密钥长度，若均为空，默认返回AES256) AES256 numberOfBytes 否 String 生成的数据密钥长度，取值范围：11024，单位：字节 256 响应参数 参数 参数类型 说明 示例 下级对象 code String 返回码，取值范围： 200：成功 400：参数缺失或错误 401：用户验证错误 404：操作目标不可用 500：系统内部错误 200 errorCode String 错误码 KMS.0514 msg String 调用结果信息 生成数据密钥成功 data Object 接口返回结果 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 plaintext String 数据密钥明文，且经过Base64编码后返回 csedLEchgF5ijFx9nEc5Y0DpzWb cmkUuid String 密钥唯一标识id，可选对称密钥类型 474e569e8814474a948bdbcf6d853eff keyVersionId String 密钥版本id f2ffbff9940a41a4ba9afe1fd8f22792 ciphertextBlob String 数据密钥密文，即被指定CMK的主版本加密后的密文，且经过Base64编码后返回 itIb4kN84JKrbv8P5ZTZJyn3cbu0SLvblB5/csedLEchgF5ijFx9nEc5Y0DpzWba

接口功能介绍 导入证书 接口约束 请保证账户余额大于0 URI POST /v1/manageCertificate/importCertificate 路径参数 无 Query参数 无 请求参数 请求头header参数 请参见请求消息头 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 certificateId 是 String 证书id 474e569e8814474a948bdbcf6d853eff certificate 是 String 证书 BEGIN CERTIFICATE (X.509 Certificate PEM Content) END CERTIFICATE certificateChain 否 String 证书链 BEGIN CERTIFICATE (Sub CA Certificate PEM Content) END CERTIFICATE BEGIN CERTIFICATE (Sub CA Certificate PEM Content) END CERTIFICATE BEGIN CERTIFICATE (Root CA Certificate PEM Content) END CERTIFICATE 响应参数 参数 参数类型 说明 示例 下级对象 code String 返回码，取值范围： 200：成功 400：参数缺失或错误 401：用户验证错误 404：操作目标不可用 500：系统内部错误 200 errorCode String 错误码 KMS.0514 msg String 调用结果信息 导入证书成功 data Object 接口返回结果 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 certificateId String 证书id 474e569e8814474a948bdbcf6d853eff 请求示例 请求头header plaintext { "ContentType": "application/json", "requestDate": "20221101T154654Z", "ctyuneoprequestid": "89bf1559a96e4bc998fc394d169a42e4", "EopAuthorization":"91ef73a6329545c294be1d5c763bdf7e Headersctyuneoprequestid;eopdate Signature2mc3zggaqLEGTSVy2H8lWsFEm+BNJf0CrcomDSOxPfc", "regionId":"60a39fca876e11ea91cf0242ac110002" } 请求体body plaintext { "certificateId":"6b1f657c816b4534a41a903e7a60e703", "certificate":"BEGIN CERTIFICATE (X.509 Certificate PEM Content) END CERTIFICATE ", "certificateChain":"BEGIN CERTIFICATE (Sub CA Certificate PEM Content) END CERTIFICATE BEGIN CERTIFICATE (Sub CA Certificate PEM Content) END CERTIFICATE BEGIN CERTIFICATE (Root CA Certificate PEM Content) END CERTIFICATE" }

为什么可用区不能选择2个？ 所有不同规格的Kafka集群实例都是3个Zookeeper节点，并且是通过Zookeeper集群进行管理配置的，Kafka依赖Zookeeper，如果Zookeeper集群出现问题，Kafka将无法正常运行。 一个Zookeeper集群正常运行，至少需要2个Zookeeper节点正常运行。 假设允许可用区选择2个，可用区1有1个Zookeeper节点，可用区2有2个Zookeeper节点。如果可用区1故障，则集群实例能正常使用；如果可用区2故障，则集群不能正常使用。集群可用的场景只有50%，所以不支持选择2个可用区 如何选择Kafka实例的存储空间？ 存储空间，主要是指用于存储消息所需要的空间，选择时包括选择磁盘规格和大小，磁盘规格，当前支持“超高IO”和“高IO”两种类型。 假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB副本数 + 预留磁盘大小100GB。Kafka集群中，每个Kafka节点会使用33G的磁盘作为日志和Zookeeper数据的存储，因而实际可用存储会小于购买存储。 其中，副本数在创建Topic时可以选择，默认为3副本存储。 Kafka实例的超高IO和高IO如何选择？ 高IO：平均时延13ms，最大带宽150MB/s（读+写）。 超高IO：平均时延1ms，最大带宽350MB/s（读+写）。 建议选择超高IO，云硬盘服务端压力大场景，都不能达到最大带宽，但是超高IO可达到的带宽比高IO高很多。 如何选择Kafka实例存储容量阈值策略？ 当前支持以下两种策略： 生产受限策略 该策略场景下一旦磁盘使用达到容量阈值95%，会导致后续生产失败，但保留了当前磁盘中的数据，直至数据自然老化（Kafka原有的老化机制，数据默认保留3天）。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 自动删除策略 该策略场景下磁盘使用到达容量阈值之后，以一个segment文件为单位（1GB），会自动删除最早的segment文件，保证生产业务能继续正常运行。该场景优先保障业务不中断，数据可能会丢失。 以上两种策略的需要基于业务对数据和业务的可靠性来进行选择，只能作为极端场景下的一个种处理方式。建议业务购买时保证有充足的磁盘容量，避免磁盘的使用达到容量阈值。 Kafka实例的Topic数量是否有限制？ 在Kafka使用过程中，Topic数量本身无限制，但Topic的分区数之和有上限，当达到上限后，会导致用户无法继续创建Topic。

操作步骤 CTIAM增量子用户： 1. 主账号登录天翼云统一身份认证控制台。 2. 点击左侧导航【用户】菜单，选择目标撤销权子用户，点击操作栏【查看】进入页面。 3. 点击【权限管理个人权限】，在权限列表选择【媒体存储产品侧授权】，点击【解除授权】，在弹出的二次确认窗口点击【确定】即可解除授权。 存量子用户： 1. 主账号登录天翼云统一身份认证控制台。 2. 点击左侧导航【用户】菜单，选择目标撤销权子用户，点击操作栏【查看】进入页面。 3. 点击【权限管理个人权限】，在权限列表选择【媒体存储产品侧授权】，点击【解除授权】，该按钮无实际取消授权效果，只发送解除授权消息通知媒体存储产品侧。 4. 主账号登录媒体存储控制台，点击【子用户授权】菜单。 5. 在子用户授权列表选择目标子用户，点击操作栏的【取消授权】，根据弹窗点击【确认】即可完成子用户取消授权操作。（注意：如您未执行步骤1~3操作，直接在媒体存储控制台子用户授权列表，操作栏点击【取消授权】时，会弹窗提示指引您先去CTIAM先进行产品侧的授权，此时该取消授权按钮无实际取消授权效果。）

前提条件： 1、提前开通专属云（计算独享型），并存留足够未分配的计算资源； 2、提前开通VPC、安全组等网络侧资源； 购买操作步骤： 步骤一：登录天翼云账号，切换至专属云（计算独享型）节点； 如已购买了专属云（计算独享型），在控制台的右上角节点区域，可见有独立专属云“dec”标识的节点，选择用户需要进行Kafka购买的专属云节点进入。 图 带专属云“dec”标识的节点如下： 步骤二：进入专属云节点后，在控制台中的产品列表中选择“分布式消息服务”，进入到服务控制台，在左侧菜单栏选择“Kafka专享版”，进入Kafka专享版实例列表页面。 图 专享版Kafka订购入口 步骤三：点击“购买Kafka实例”，进入订购页面，按提示进行相关规格选择与配置。 1）计费方式为“包年包月”； 2）可用区：客户可自行根据资源池多AZ支持情况选择可用区进行创建。 说明：专享版Kafka的实例为集群模式，支持选择1个或者3个及以上可用区。不支持选择2个可用区，选择时需要注意；该可用区选择后不支持更换。 3）实例名称及企业项目：按命名规范自定义，也可以默认系统分配的名称； 4）Kafka版本：当前支持2种版本选择，2.3.0和1.1.0，推荐时间2.3.0版本； 5）CPU架构：当前仅支持“x86计算”，保持默认值即可； 图 购买Kafka订购页 6）选择具体的队列规格类型，在规格的描述与说明中会有该队列的底层资源类型、代理数量、分区上限、消费组数量，供客户与业务系统需求匹配规格。 说明：当前订购规格后，暂不支持规格变更，请在订购时做好业务整体需求评估。 7）选择存储空间：此处有2种存储可以选择，分别是公有云的云硬盘、专属分布式存储。存储的类型均支持高IO、超高IO。 说明：1、选择云硬盘时，具体价格以公有云的云硬盘价格为准； 2、选择转属分布式存储时，需提前已购买了专属云（存储独享型），在“可用存储”右侧的“存储池”列表中进行选择。 3、根据实际需要选择存储Kafka数据的总磁盘大小。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 • 基准带宽为100MB/s时，存储空间取值范围：600GB ~ 90000GB。 • 基准带宽为300MB/s时，存储空间取值范围：1200GB ~ 90000GB。 • 基准带宽为600MB/s时，存储空间取值范围：2400GB ~ 90000GB。 • 基准带宽为1200MB/s时，存储空间取值范围：4800GB ~ 90000GB 图 订购页界面 图 选择云硬盘时存储类别 图 选择专属分布式存储时，需要提前购买专属存储，并在存储池列表中选择 8）选择私有云、安全组； 虚拟私有云可以为您的Kafka专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 虚拟私有云和子网在Kafka专享版实例创建完成后，不支持修改。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 9）设置Kafka Manager的用户名、密码； Kafka Manager是开源的kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 10）选择订购时长； 11）点击“立即购买”之前，还可进入“更多配置”也进行高级配置。 1、SASLSSL开关，开启后则对数据进行加密传输，但会对性能造成下降； 客户端连接Kafka专享版实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 创建实例后，Kafka SASLSSL开关不支持修改，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您需要设置连接Kafka专享版实例的用户名和密码。 2、自动创建Topic，开关开启后，Topic将根据配置API接口自动创建。 选择开启“Kafka自动创建Topic”，表示生产或消费一个未创建的Topic时，会自动创建一个包含3个分区和3个副本的Topic。 12）点击“立即购买”，进入支付前规格确认界面。显示详细kafka 实例信息，价格。 13）确认实例信息无误且阅读并同意服务协议后，点击“去支付”进入购买支付环节，完成付款后则开启Kafka创建。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 • 当实例的“状态”变为“运行中”时，说明实例创建成功。 • 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明： 创建失败的实例，不会占用其他资源。

本文介绍国密证书的使用场景和使用方法。 功能介绍 密码算法是保障信息安全的核心技术，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 ::: 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出数字签名与验证算法及其相应的流程。并提供相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》。 规范国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》。 1. 将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3。 2. 并且新增GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3。 3. 以及基于RSA证书的算法套件： RSASM4CBCSM3 RSASM4GCMSM3 RSASM4CBCSHA256 RSASM4GCMSHA256 2021年：IETF工作组正式发布国际标准《rfc8998》。 该标准在TLS1.3上定义使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3。 使用ECDHESM2密钥协商算法，取消Client证书的要求和server双证书要求。 天翼云CDN加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。

本章节主要介绍节点参考的MRS Kafka。 功能 MRS Kafka主要是查询Topic未消费的消息数。 参数 用户可参考下配置MRS Kafka的参数。 属性参数 参数 是否必选 说明 数据连接 是 选择管理中心中已创建的MRS Kafka连接。 Topic名称 是 选择MRS Kafka中已创建的Topic，使用SDK或者命令行创建。 节点名称 是 节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“ ”等各类特殊字符，长度为1～128个字符。 高级参数 参数 是否必选 说明 节点执行的最长时间 是 设置节点执行的超时时间，如果节点配置了重试，在超时时间内未执行完成，该节点将不会再重试，直接置为失败状态。 失败重试 是 节点执行失败后，是否重新执行节点。 是：重新执行节点，请配置以下参数。 − 最大重试次数 − 重试间隔时间（秒） 否：默认值，不重新执行节点。 说明 如果作业节点配置了重试，并且配置了超时时间，该节点执行超时后将不会再重试，直接置为失败状态。 失败策略 是 节点执行失败后的操作： 终止当前作业执行计划：停止当前作业运行，当前作业实例状态显示为“失败”。 继续执行下一节点：忽略当前节点失败，当前作业实例状态显示为“忽略失败成功”。 挂起当前作业执行计划：暂停当前作业运行，当前作业实例状态显示为“等待运行”。 终止后续节点执行计划：停止后续节点的运行，当前作业实例状态显示为“失败”。 空跑 否 如果勾选了空跑，该节点不会实际执行，将直接返回成功。

前提条件： 1、提前开通专属云（计算独享型），并存留足够未分配的计算资源； 2、提前开通VPC、安全组等网络侧资源； 操作步骤： 步骤一： 登录天翼云账号，切换至专属云（计算独享型）节点； 如已购买了专属云（计算独享型），在控制台的右上角节点区域，可见有独立专属云“dec”标识的节点，选择用户需要进行Kafka购买的专属云节点进入。 图 带专属云“dec”标识的节点如下： 步骤二： 进入专属云节点后，在控制台中的产品列表中选择“分布式消息服务”，进入到服务控制台，在左侧菜单栏选择“Kafka专享版”，进入Kafka专享版实例列表页面。 图 专享版Kafka订购入口 步骤三： 点击“购买Kafka实例”，进入订购页面，按提示进行相关规格选择与配置。 1）计费方式为“包年包月”； 2）可用区：客户可自行根据资源池多AZ支持情况选择可用区进行创建。 说明：专享版Kafka的实例为集群模式，支持选择1个或者3个及以上可用区。不支持选择2个可用区，选择时需要注意；该可用区选择后不支持更换。 3）实例名称及企业项目：按命名规范自定义，也可以默认系统分配的名称； 4）Kafka版本：当前支持2种版本选择，2.3.0和1.1.0，推荐时间2.3.0版本； 5）CPU架构：当前仅支持“x86计算”，保持默认值即可； 图 购买Kafka订购页 6）选择具体的队列规格类型，在规格的描述与说明中会有该队列的底层资源类型、代理数量、分区上限、消费组数量，供客户与业务系统需求匹配规格。 说明：当前订购规格后，暂不支持规格变更，请在订购时做好业务整体需求评估。 7）选择存储空间：此处有2种存储可以选择，分别是公有云的云硬盘、专属分布式存储。存储的类型均支持高IO、超高IO。 说明：1、选择云硬盘时，具体价格以公有云的云硬盘价格为准； 2、选择转属分布式存储时，需提前已购买了专属云（存储独享型），在“可用存储”右侧的“存储池”列表中进行选择。 3、根据实际需要选择存储Kafka数据的总磁盘大小。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 • 基准带宽为100MB/s时，存储空间取值范围：600GB ~ 90000GB。 • 基准带宽为300MB/s时，存储空间取值范围：1200GB ~ 90000GB。 • 基准带宽为600MB/s时，存储空间取值范围：2400GB ~ 90000GB。 • 基准带宽为1200MB/s时，存储空间取值范围：4800GB ~ 90000GB 图 订购页界面 图 选择云硬盘时存储类别 图 选择专属分布式存储时，需要提前购买专属存储，并在存储池列表中选择 8）选择私有云、安全组； 虚拟私有云可以为您的Kafka专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 虚拟私有云和子网在Kafka专享版实例创建完成后，不支持修改。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 9）设置Kafka Manager的用户名、密码； Kafka Manager是开源的kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 10）选择订购时长； 11）点击“立即购买”之前，还可进入“更多配置”也进行高级配置。 1、SASLSSL开关，开启后则对数据进行加密传输，但会对性能造成下降； 客户端连接Kafka专享版实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 创建实例后，Kafka SASLSSL开关不支持修改，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您需要设置连接Kafka专享版实例的用户名和密码。 2、自动创建Topic，开关开启后，Topic将根据配置API接口自动创建。 选择开启“Kafka自动创建Topic”，表示生产或消费一个未创建的Topic时，会自动创建一个包含3个分区和3个副本的Topic。 12）点击“立即购买”，进入支付前规格确认界面。显示详细kafka 实例信息，价格。 13）确认实例信息无误且阅读并同意服务协议后，点击“去支付”进入购买支付环节，完成付款后则开启Kafka创建。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明： 创建失败的实例，不会占用其他资源。

本节主要介绍Header中包含签名。 用户可以在HTTP请求中增加Authorization（授权）的Header来包含签名信息，表明这个消息已被授权。如果用户的请求中没有Authentication字段，则认为是匿名访问。 验证码计算方法如下： Authorization: "AWS " + AccessKeyID + ":" + Signature Signature Base64( HMACSHA1( SecretAccessKey, UTF8EncodingOf( StringToSign ) ) ) ; StringToSign HTTPVERB + "n" + ContentMD5 + "n" + ContentType + "n" + Date + "n" + CanonicalizedAmzHeaders +"n" + CanonicalizedResource; CanonicalizedAmzHeaders [详见下列描述]; CanonicalizedResource [ "/" + Bucket ] + [ ] 注 ：subresource如果存在，可参与签名的参数包括：acl、torrent、logging、location、policy、requestPayment、versioning、versions、versionId、notification、uploadId、uploads、partNumber、website、delete、lifecycle、tagging、cors、restore、inventory。 HMACSHA1是由RFC 2104定义的算法。该算法需要输入两个字符串：一个key和一个message。OOS在验证请求时，使用您的SecretAccessKey作为key，使用UTF8编码的StringToSign作为message。HMACSHA1的输出同样是个字符串，被称为摘要。Signature请求参数是这个摘要的Base64编码。 说明 ContentMD5表示请求内容数据的MD5值。 ContentType表示请求内容的类型。 Date表示此次操作的时间，且必须为HTTP1.1中支持的GMT格式。 CanonicalizedAmzHeaders表示http中的object user meta组合。 CanonicalizedResource表示用户要访问的OOS资源。 使用Base64编码 HMAC请求签名必须使用Base64编码。Base64编码将签名转换为简单的能附加到请求中的ASCII编码字符串。加号和斜杠这两个字符不能直接在URL中使用，必须经过编码。比如，如果授权编码包括加号，在URL中把它编码成为%2B。

接口功能介绍 查询证书信息接口 接口约束 请保证账户余额大于0 URI POST /v1/manageCertificate/describeCertificate 路径参数 无 Query参数 无 请求参数 请求头header参数 请参见请求消息头 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 certificateId 是 String 证书id 474e569e8814474a948bdbcf6d853eff 响应参数 参数 参数类型 说明 示例 下级对象 code String 返回码，取值范围： 200：成功 400：参数缺失或错误 401：用户验证错误 404：操作目标不可用 500：系统内部错误 200 errorCode String 错误码 KMS.0514 msg String 调用结果信息 获取证书信息成功 data Object 接口返回结果 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 certificateId String 证书id 474e569e8814474a948bdbcf6d853eff createdAt String 创建时间 20201013T03:05:03Z exportablePrivateKey int 私钥是否可以导出 1 issuer String 证书的签发者信息 CNtestCA,OUkms,Oaliyun,CCN keySpec String 证书密钥类型 RSA2048 notAfter String 证书有效期的截止时间 20221013T03:09:00Z notBefore String 证书有效期的开始时间 20201013T03:09:00Z serial String 证书序列号 12345 signatureAlgorithm String 证书签名算法 RSA2048SHA256 status int 证书状态 1 subject String 证书拥有者主体 CNuserName,OUaliyun,Oaliyun,CCN subjectAlternativeNames String 证书主体别名 ["test1.example.com","test2.example.com"] subjectKeyIdentifier String 主体公钥识别符 ab cd ef gh subjectPublicKey String 证书公钥 BEGIN PUBLIC KEY END PUBLIC KEY updatedAt String 更新时间 20201013T03:09:00Z keyUsage String 证书用途 1

指标类别 指标 指标名称 指标说明 单位 数据类型 默认聚合方式 数据源(dataSource，数据源。) url url url ENUM LAST 数据源(dataSource，数据源。) driverClassName 驱动 驱动 STRING LAST 数据源(dataSource，数据源。) initialSize 初始化连接数 初始化连接数 INT LAST 数据源(dataSource，数据源。) minIdle 连接池最小空闲数 连接池最小空闲数 INT LAST 数据源(dataSource，数据源。) maxIdle 连接池最大空闲数 连接池最大空闲数 INT LAST 数据源(dataSource，数据源。) maxTotal 最大响应时间 最大响应时间 INT LAST 数据源(dataSource，数据源。) numIdle 空闲连接数 空闲连接数 INT LAST 数据源(dataSource，数据源。) numActive 活跃连接数 活跃连接数 INT LAST 数据源(dataSource，数据源。) maxWaitMillis 池等待连接被回收的最长时间 在抛出异常之前，池等待连接被回收的最长时间（当没有可用连接时）。 INT LAST 数据源(dataSource，数据源。) testOnCreate 连接创建有效性校验 创建完连接后校验该连接是否有效 STRING LAST 数据源(dataSource，数据源。) testOnBorrow 获取连接有效性校验 在连接池中取连接前校验连接是否有效 STRING LAST 数据源(dataSource，数据源。) testWhileIdle 空闲连接有效性校验 当应用向连接池申请连接且该连接被判断为空闲连接时是否校验其有效性 STRING LAST 数据源(dataSource，数据源。) timeBetweenEvictionRunsMillis 验证连接是否有效的时间周期 如果testOnBorrowfalse并且testWhileIdletrue,则在应用获取连接的时候会判断连接的空闲时间是否大于timeBetweenEvictionRunsMillis，如果大于则会验证该连接是否有效 INT LAST 数据源(dataSource，数据源。) removeAbandonedOnBorrow 获取连接时是否移除废弃连接 获取连接时是否移除废弃连接（需满足条件getNumActive() > getMaxTotal() 3 and getNumIdle() < 2） STRING LAST 数据源(dataSource，数据源。) removeAbandonedOnMaintenance 维护阶段是否移除废弃连接 maintenance cycle（eviction结束时）是否移除废弃连接 STRING LAST 数据源(dataSource，数据源。) removeAbandonedTimeout 废弃连接被移除的超时时间 连接在超过该时长未被使用，则视为废弃且可以被移除 INT LAST 获取连接详情（connection，获取连接详情。） url 连接地址 连接地址 ENUM LAST 获取连接详情（connection，获取连接详情。） invokeCount 调用次数 调用次数 INT SUM 获取连接详情（connection，获取连接详情。） totalTime 总时间 总时间 INT SUM 获取连接详情（connection，获取连接详情。） errorCount 错误次数 错误次数 INT SUM 获取连接详情（connection，获取连接详情。） maxTime 最慢调用 最慢调用 INT SUM 获取连接详情（connection，获取连接详情。） range1 010ms 响应时间在010ms范围请求数 INT SUM 获取连接详情（connection，获取连接详情。） range2 10100ms 响应时间在10100ms范围请求数 INT SUM 获取连接详情（connection，获取连接详情。） range3 100500ms 响应时间在100500ms范围请求数 INT SUM 获取连接详情（connection，获取连接详情。） range4 5001000ms 响应时间在5001000ms范围请求数 INT SUM 获取连接详情（connection，获取连接详情。） range5 110s 响应时间在110s范围请求数 INT SUM 获取连接详情（connection，获取连接详情。） range6 10s以上 响应时间在10s以上请求数 INT SUM 获取连接详情（connection，获取连接详情。） concurrentMax 最大并发 最大并发 INT MAX 版本(version，版本。) version 版本 版本 STRING LAST 异常 (exception，DBCP调用的异常信息统计。) exceptionType 异常类型 异常类型 ENUM LAST 异常 (exception，DBCP调用的异常信息统计。) causeType 异常类 发生异常的类 ENUM LAST 异常 (exception，DBCP调用的异常信息统计。) count 次数 该异常的发生次数 INT SUM 异常 (exception，DBCP调用的异常信息统计。) message 异常消息 该异常产生的异常消息 STRING LAST 异常 (exception，DBCP调用的异常信息统计。) stackTrace 异常堆栈 该异常产生的堆栈信息 CLOB LAST

本文为您介绍如何通过非对称密钥实现数据的加解密。 非对称密钥加密通信的过程类似于对称加密，区别在于需要使用公钥进行数据加密，使用私钥进行数据解密。 由于密文只有通过私钥才可以解密，而私钥是不公开的，所以即使由于传输介质的安全性比较低而导致信息泄露，拿到密文的人也无法将其破译，从而保证了敏感信息的安全。这种敏感信息传递的方式，被广泛用于各类密钥交换场景。 操作流程 1. 信息接收者通过KMS控制台或者调用KMS的CreateKey接口，创建一个非对称的用户主密钥（CMK）。 2. 信息接收者通过调用KMS的getPublicKey接口获取到公钥，并将公钥分发给消息发送者。 3. 信息发送者使用公钥在本地通过OpenSSL等方式对数据进行加密。特殊需求场景下，也可通过调用KMS的asymmetricEncrypt接口，使用CMK进行加密。 4. 信息发送者将密文数据传递给信息接收者。 5. 信息接收者拿到密文数据之后，可调用KMS的asymmetricDecrypt接口，使用私钥进行数据解密。 相关API 您可以调用以下KMS API，完成对敏感数据传输中的加解密处理。 API名称 说明 createKey 创建用户主密钥（CMK）。 getPublicKey 获取非对称密钥的公钥，可用于离线验证数字签名，或者加密数据。 asymmetricEncrypt 非对称密钥的公钥运算：加密数据。 asymmetricDecrypt 非对称密钥的私钥运算：解密公钥加密的数据。

视频通道 IPC或NVR设备上视频信号输入的物理位置。一般IPC具备单个/多个视频通道，NVR具备多个视频通道。 RTMP RTMP（Real Time Messaging Protocol）实时消息传输协议的首字母缩写。该协议基于TCP，是一个协议族，包括RTMP基本协议及RTMPT/RTMPS/RTMPE 等多种变种。RTMP是一种设计用来进行实时数据通信的网络协议，主要用来在Flash/AIR平台和支持RTMP协议的流媒体/交互服务器之间进行音视频和数据通信。 RTSP RTSP（Real Time Streaming Protocol），RFC2326，实时流传输协议，是TCP/IP协议体系中的一个应用层协议，由哥伦比亚大学、网景和RealNetworks公司提交的IETF RFC标准。该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据。 GA/T 1400 GA/T 1400与GB/T 28181有共性的地方，比如设备编码规范、信令交互规范等， GB/T 28181定义的是视频联网，GA/T 1400定义的是图片传输，应用最多的是IPC传输图片及相关信息到后端设备/平台，以及视图库平台与平台对接等，比如人脸抓拍机传输人脸图片、人脸特征等到人脸应用平台，车辆抓拍机传输车辆图片、车牌信息到车辆卡口平台。 EHOME EHOME协议是海康威视基于移动监控场景下开发的设备主动注册协议，支持实时预览、录像回放、对讲、报警、定位等功能。EHOME协议不仅实现了GB28181里所有的功能，并且在海康的不同类型设备上支持了其自定义的场合下的功能特性。包括智能报警、在低功耗场景下的设备控制及公网环境下的语音对讲指挥等场景都比GB28181协议更完善。

创建告警规则 除了查看终端节点监控指标外，您还可以在云监控控制台创建告警规则对指标进行监控。当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保证业务顺畅进行。 云监控提供了自定义创建告警模板的功能，您可以选择在默认模板推荐的监控指标上进行修改，或自定义添加告警指标完成自定义告警模板的添加。 操作步骤 1. 在云监控控制台左侧导航栏，点击“告警规则”，再点击右上角“创建告警规则”。 2. 选择监控对象和监控指标，填写规则信息，点击“确定”即可创建告警规则。 配置参数如下： 步骤类别 参数 参数说明 选择监控对象 规则类型 选择指标监控：对数据指标进行监控。 选择监控对象 云服务 选择VPC终端节点。 选择监控对象 维度 选择终端节点。 选择监控对象 监控对象类型 选择具体实例或资源分组。 选择监控指标 选择类型 可以选择从模板导入或自定义创建。 选择监控指标 模板 选择需要导入的模板。 选择监控指标 监控指标 选择需要监控的数据指标。 选择监控指标 策略 可以选择原始值、平均值、最大值、最小值。 选择监控指标 聚合周期 选择数据聚合的周期。 选择监控指标 出现次数 选择出现多少次触发通知。 选择监控指标 发送通知 配置是否发送邮件通知用户，可以选择“是”或者“否”，推荐选择“是”。 选择监控指标 选择告警联系组 配置发生告警通知的用户组。 选择监控指标 重复告警 告警发生后，如果监控项未恢复正常，之后间隔多久再次发送告警。 选择监控指标 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 选择监控指标 通知周期 配置告警通知的周期时间。 选择监控指标 通知时段 配置告警通知的时间段。 选择监控指标 通知方式 配置告警通知的通知方式，支持邮箱及短信。 选择监控指标 告警回调 填写接口URL，例如 规则信息 名称 填写该告警规则的名称。 规则信息 企业项目 选择告警规则适用的企业项目。 规则信息 描述 添加对该告警规则的描述。

指标类别 指标 指标名称 指标说明 单位 数据类型 默认聚合方式 异常（exception，HBase调用的异常信息统计。） exceptionType 异常类型 异常类型 ENUM LAST 异常（exception，HBase调用的异常信息统计。） causeType 异常类 发生异常的类 ENUM LAST 异常（exception，HBase调用的异常信息统计。） count 次数 该异常的发生次数 INT SUM 异常（exception，HBase调用的异常信息统计。） message 异常消息 该异常产生的异常消息 STRING LAST 异常（exception，HBase调用的异常信息统计。） stackTrace 异常堆栈 该异常产生的堆栈信息 CLOB LAST HBase调用监控（client，HBase调用监控。） namespaceTable 命名空间:表名 HBase操作所对应的命名空间及表名 ENUM LAST HBase调用监控（client，HBase调用监控。） command 命令 在HBase服务端运行的命令 ENUM LAST HBase调用监控（client，HBase调用监控。） concurrentMax 最大并发 最大并发 INT MAX HBase调用监控（client，HBase调用监控。） queryRowCount 读取行数 读取行数 INT SUM HBase调用监控（client，HBase调用监控。） updateRowCount 更新行数 更新行数 INT SUM HBase调用监控（client，HBase调用监控。） errorCount 错误次数 错误次数 INT SUM HBase调用监控（client，HBase调用监控。） errorTraceId 错误traceId 采集周期内发生错误的调用链对应的traceid STRING LAST HBase调用监控（client，HBase调用监控。） slowTraceId 慢traceId 采集周期内最慢的调用链对应的traceid STRING LAST HBase调用监控（client，HBase调用监控。） invokeCount 调用次数 调用次数 INT SUM HBase调用监控（client，HBase调用监控。） lastError 错误信息 错误信息 STRING LAST HBase调用监控（client，HBase调用监控。） maxTime 最大响应时间 最大响应时间 INT MAX HBase调用监控（client，HBase调用监控。） totalTime totalTime 总响应时间 INT SUM HBase调用监控（client，HBase调用监控。） range1 010ms 响应时间在010ms范围请求数 INT SUM HBase调用监控（client，HBase调用监控。） range2 10100ms 响应时间在10100ms范围请求数 INT SUM HBase调用监控（client，HBase调用监控。） range3 100500ms 响应时间在100500ms范围请求数 INT SUM HBase调用监控（client，HBase调用监控。） range4 5001000ms 响应时间在5001000ms范围请求数 INT SUM HBase调用监控（client，HBase调用监控。） range5 110s 响应时间在110s范围请求数 INT SUM HBase调用监控（client，HBase调用监控。） range6 10s以上 响应时间在10s以上请求数 INT SUM HBase版本（version，HBase版本。） version 版本 版本 STRING LAST HBase汇总（total，HBase调用的汇总信息统计。） invokeCount 调用次数 总的调用次数 INT SUM HBase汇总（total，HBase调用的汇总信息统计。） queryRowCount 总读取行数 总读取行数 INT SUM HBase汇总（total，HBase调用的汇总信息统计。） updateRowCount 总更新行数 总更新行数 INT SUM HBase汇总（total，HBase调用的汇总信息统计。） errorCount 总错误数 总错误数 INT SUM HBase汇总（total，HBase调用的汇总信息统计。） totalTime 总响应时间 总响应时间 INT SUM HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） serverAddr 服务端节点 服务端节点信息 ENUM LAST HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） concurrentMax 最大并发 最大并发 INT MAX HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） errorCount 错误次数 错误次数 INT SUM HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） errorTraceId 错误traceId 采集周期内发生错误的调用链对应的traceid STRING LAST HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） slowTraceId 慢traceId 采集周期内最慢的调用链对应的traceid STRING LAST HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） invokeCount 调用次数 调用次数 INT SUM HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） lastError 错误信息 错误信息 STRING LAST HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） maxTime 最大响应时间 最大响应时间 INT MAX HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） totalTime totalTime 总响应时间 INT SUM HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） range1 010ms 响应时间在010ms范围请求数 INT SUM HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） range2 10100ms 响应时间在10100ms范围请求数 INT SUM HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） range3 100500ms 响应时间在100500ms范围请求数 INT SUM HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） range4 5001000ms 响应时间在5001000ms范围请求数 INT SUM HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） range5 110s 响应时间在110s范围请求数 INT SUM HBase节点调用监控（serverNode，HBase服务端节点RPC调用监控。） range6 10s以上 响应时间在10s以上请求数 INT SUM HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） clusterId 集群ID 集群ID ENUM LAST HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） cachedServers 客户端缓存节点地址 客户端缓存节点地址 STRING LAST HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） zkNodes ZK连接地址 ZK连接地址 STRING LAST HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） concurrentMax 最大并发 最大并发 INT MAX HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） errorCount 错误次数 错误次数 INT SUM HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） errorTraceId 错误traceId 采集周期内发生错误的调用链对应的traceid STRING LAST HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） slowTraceId 慢traceId 采集周期内最慢的调用链对应的traceid STRING LAST HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） invokeCount 调用次数 调用次数 INT SUM HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） lastError 错误信息 错误信息 STRING LAST HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） maxTime 最大响应时间 最大响应时间 INT MAX HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） totalTime 总响应时间 总响应时间 INT SUM HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） range1 010ms 响应时间在010ms范围请求数 INT SUM HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） range2 10100ms 响应时间在10100ms范围请求数 INT SUM HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） range3 100500ms 响应时间在100500ms范围请求数 INT SUM HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） range4 5001000ms 响应时间在5001000ms范围请求数 INT SUM HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） range5 110s 响应时间在110s范围请求数 INT SUM HBase集群维度调用监控（cluster，HBase集群维度RPC调用监控。） range6 10s以上 响应时间在10s以上请求数 INT SUM

导出质量作业 系统支持批量导出质量作业，一次最多可导出200个质量作业。 1. 选择“数据质量监控 > 质量作业”，选择要导出的质量作业。 2. 单击“导出”，弹出“导出质量作业”对话框。 3. 单击“导出”，切换到“导出记录”页签。 4. 在导出文件列表中，单击最新导出文件对应的“下载”，可将质量作业的Excel表格下载到本地。 导入质量作业 系统支持批量导入质量作业，一次最大可导入1M数据的文件，并且最多200个质量作业。 1. 选择“数据质量监控 > 质量作业”，单击“导入”，弹出“导入质量作业”对话框。 2. 在“导入配置”页签，选择模板名称重名策略。 终止：如果质量作业名称有重复，则全部导入失败。 跳过：如果质量作业名称有重复，会忽略后继续导入。 覆盖：如果质量作业名称有重复，会覆盖现有同名作业。 3. 单击“上传文件”，选择准备好的数据文件。 说明 可通过如下两种方式填写数据文件： (推荐使用)通过“导出”功能，可将数据直接/或修改后批量导入系统。 通过“下载Excel模板”，将数据填写好，再导入至系统中。 4. 分别配置数据连接、集群、目录、主题的映射资源信息。 数据连接：选择导入后的数据连接类型。 集群：如果数据连接类型是DLI，需要选择对应的队列。 目录：选择导入后的质量作业存储目录。 主题：如果配置了消息通知，需要选择主题。 5. 单击“导入”，将填好的Excel表格模板导入到系统。 6. 单击“导入记录”页签，可查看对应的导入记录。

此小节介绍资源管理。 资源账户验证是后台通过登录资源验证连通性，历史会话不记录该过程。 验证资源账户 资源账户状态用于标识纳管资源的帐户密码是否正确，不能手动修改，只能通过验证帐户更新。 资源账户支持“实时验证”和“自动巡检”验证功能。 资源账户验证是后台通过登录资源验证连通性，历史会话不记录该过程。 资源账户状态说明 状态 说明 :: 正常 经过“验证”，帐号及密码正确，且能正常登录的资源账户，显示为“正常”状态。 异常 经过“验证”，帐户或密码不正确，不能正常登录的资源账户，显示为“异常”状态。 未知 添加完资源账户后，未经过“验证”的资源账户，显示为“未知”状态。 约束限制 应用资源的帐户不支持在线验证。 前提条件 已获取“资源账户”模块操作权限。 自动巡检 “自动巡检”在每月5号、15号、25号的凌晨一点，启动验证所有纳管的主机资源账户。验证完成后，系统管理员admin会收到验证结果消息，不会生成任务。 实时验证 1. 登录云堡垒机系统。 2. 选择“资源 > 资源账户”，进入资源账户列表页面。 3. 勾选指定帐户，单击列表下方的“验证”，弹出验证配置框。 4. 设置“连接超时”时间，以及“任务完成通知”。 说明 默认“链接超时”时长为10秒。网络条件不佳时，可增加“连接超时”时长； 默认情况下，不发送任务完成通知； 可勾选“邮件通知”，验证完成后在任务中心查看验证结果详情。 5. 单击“确定”，刷新“资源账户”列表页面，即可查看资源“状态”栏结果。

信息的获取 云网平台获取 登录云网门户，在“控制台”>“个人中心”>“ 第三方账号绑定 ”，通过创建或者查看获取ak，sk。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程 1、待签字符串：使用规范请求和其他信息创建待签字符串; 2、计算密钥：使用HEADER、ctyuneopsk、ctyuneopak来创建Hmac算法的密钥; 3、计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 4、签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则 待签名字符串 需要进行签名的Header排序后的组合列表 + "n" + 排序的query + "n" + toHex(sha256(原封的body)) 排序的header例子： 假设您需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序，如果您加入一个ccad的header；同时这个header也要是进行签名,则待签名的header组合： ccda:123n ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n 构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ;言简意赅一些，就是年月日T时分秒Z。 1、先是拿您申请来的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 2、拿ktime作为密钥，您申请来的ctyuneopak数据，算出kAk； 3、拿kAk作为密钥，eopdate的年月日值作为数据，算出kdate。

本文简述全站加速支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云全站加速，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

介绍Kafka配置必须的监控告警 告警指标 在实际业务中，建议按照以下告警策略，配置监控指标的告警规则。 指标ID 指标名称 告警策略 指标说明 告警处理建议 brokerbytesin 节点流量告警 告警阈值：原始值>50MB/s 持续时间：可自定义 告警级别：重要 该指标为从Kafka节点虚拟机层面采集的数据写入流量。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 brokermessagein 节点tps告警 告警阈值：原始值>10000 持续时间：可自定义 告警级别：重要 该指标为从Kafka节点虚拟机层面采集的tps。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 topicbytesin 主题流量告警 告警阈值：原始值>50MB/s 持续时间：可自定义 告警级别：重要 该指标为从topic机层面采集的数据写入流量。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 topicmessagein 主题tps告警 告警阈值：原始值>10000 持续时间：可自定义 告警级别：重要 该指标为从topic机层面采集的tps。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 grouptotallag 消费组堆积数告警 告警阈值：原始值>10000 持续时间：可自定义 告警级别：重要 该指标为统计的消费组未消费的消息堆积量 出现该告警时，请先检测消费者客户端消费速度是否过慢，检查消费者客户端是否有扩充的可能（消费者客户端数量和对应tpic的分区数相等）

认证鉴权 请求的认证鉴权通常是通过AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证，加密调用请求。 AK（Access Key ID）：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK（Secret Access Key）：私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名。 签名生成规则 signature形式 AWS {accesskey}:{hashofsecretandresource} accesskey：填入真实的访问密钥ID； hashofsecretandresource：通常是由请求uri、method、签名生成时间等和对应的secret key组合而成的字符串经hash（SHA1）再base64之后的结果； 注意：在 {accesskey} 和 {hashofsecretandresource} 之间有一个冒号【:】。 签名生成步骤 生成签名通常需要以下这些步骤： 1. 获取请求方法http Method，如 PUT； 2. 获得GMT格式的签名生成时间DateValue，如 Mon, 06 May 2024 08:51:53 +0000； 3. 获取请求完整uri，如 /testbucket/testobj； 4. 将以上信息按指定格式拼接生成最终参与签名的完整字符串stringToSign${httpMethod}nnn${DateValue}n${uri}，如 PUTnnnMon, 06 May 2024 08:51:53 +0000n/testbucket/testobj； 5. 将sk作为秘钥使用HmacSHA1对上述stringToSign进行hash； 6. 对上述hash值进行base64编码得到hashofsecretandresource值，如 w/dZLIS06uPsWX3vIRI+cruX0VM； 7. 按AWS {accesskey}:{hashofsecretandresource}进行拼接得到最终signature鉴权头