功能概述 依托中电信量子安全加密体系，深度集成量子安全服务平台，基于“量子软模块/量子安全盾+云电脑”，提供更高级别的量子安全防护。 客户端（V3.1.1版本以上）已全面集成量子安全软模块，用户可通过管理控制台免费开通。 开通后，即可享受两大核心安全升级： 量子级身份认证：结合量子安全介质，为终端接入提供量子安全级身份认证保障; 动态量子加密传输：采用"一次一密"量子会话密钥机制，每次连接使用一个量子会话密钥，会话结束后立即销毁，保障端到端数据传输安全。 功能优势 量子身份认证：结合量子软模块/安全盾，提供终端接入的量子身份认证保护。 “一次一密”量子加密保护：每次连接使用一个量子会话密钥，会话结束后立即销毁，从根本上杜绝暴力破解风险。 使用场景 政务领域：XC、党政办公 政务领域涉及大量国家机密、政策文件及敏感数据，安全要求高； 金融领域：金融办公、服务外包办公 金融行业涉及客户数据、交易记录、财务信息等高度敏感数据，需更高的安全保护； 科研领域：高校、科研办公 科研机构对知识产权保护有更高要求，近年来科研数据泄露成重灾区。

参数 说明 取值样例 类型 选择需要创建的站点复制对类型。 跨可用区 复制场景 选择需要创建的复制场景。当前支持类型：H2C（IDC容灾到云平台）。仅当创建“IDC”类型的复制对时，需要设置复制场景。 H2C 名称 站点复制对名称。 名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 Sitereplication001 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 区域 生产站点所在的区域。 说明 仅当创建“跨区域”类型的复制对时，需要设置区域。 可用区 生产站点服务器所在的可用区。 说明 当创建“跨区域”和“跨可用区”类型的复制对时，需要设置可用区。 AZ1 网络 生产站点服务器所在的VPC。 VPC01 容灾站点 区域 容灾站点所在的区域。 选择步骤一：搭建云上专有网络时选择的区域。 说明 仅当创建“IDC上云”和“跨区域”类型的复制对时，需要设置区域。 可用区 容灾站点服务器所在的可用区。 AZ2 网络 容灾站点服务器所在的VPC。 选择步骤一：搭建云上专有网络时创建的VPC。 VPC02

名词解释 环境 目前天翼云Prometheus服务支持容器环境与云服务环境。 容器环境：每个云容器集群对应一个独立的容器环境。针对容器环境，Prometheus提供了自动化的监控采集链路，完成探针安装、数据采集、数据加工等工作。 云服务环境：对于常规云服务产品的数据采集，将按照资源池进行划分，为每个资源池创建各自的云服务环境。 组件 接入管理的每一个选项卡片即为一个组件，目前支持容器集群、分布式缓存服务Redis版、分布式消息服务Kafka与分布式容器云平台CCE ONE组件接入。 操作步骤 1. 登录Prometheus监控服务控制台。 2. 在左侧导航栏，单击接入中心。 3. 在接入中心页面，单击目标组件卡片接入数据。 4. 在弹出的面板中，在开始接入页签下，选择所属的环境类型。 5. 根据控制台提示配置相应参数，如选择对应的容器集群。 6. 点击确定，等待环境初始化、组件安装以及数据检查完成。 如果一切正常，接入完成后您可以进入接入管理的环境详情页面查询接入的大盘或告警规则，也可以探索产生的指标。 如果遇到异常，可根据异常提示进行相应的操作。

本文为您介绍新增三方数据中心的具体操作。 概述 三方数据中心模块提供将用户三方数据中心接入多活容灾服务平台功能，新增三方数据中心后，可用于命名空间、容灾管理、预案编排功能中，实现云下云上场景下的灾备场景。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“三方数据中心”，进入三方数据中心列表页。 5. 点击右上角“新增三方数据中心”按钮，弹出新增三方数据中心弹窗。 6. 填写数据中心名称、区域、可用区、描述信息。各配置项说明如下： 参数 是否必填 配置说明 数据中心名称 √ 填写数据中心名称，数据中心名称需唯一。 长度为263字符。 区域 × 选择或填写数据中心所在地域。 长度为263字符。 可用区 × 填写数据中心所在可用区。 长度为263字符。 描述 × 填写数据中心描述。 长度为0100字符。 7. 点击“确认”按钮，完成新增三方数据中心。

本小节介绍态势感知旁路部署配置。 态势感知控制端配置前准备 确保态势感知控制端的安全组放行 22 端口，态势感知控制端云主机网卡关闭源/目的检查。 态势感知控制端的配置需要配合态势感知技术工程师，由态势感知技术工程师配置。 旁路部署场景，使用天翼云平台的流量镜像功能引流，不涉及网络割接，只需开通态势感知控制端。 配置步骤 1. 确认所在资源池流量镜像功能可用性，是否存在配额或弹性云主机类型限制。 2. 登录天翼云网络控制台，在左侧选择“流量镜像 > 筛选条件”创建筛选条件。根据需要监控的云主机配置出入方向规则。 3. 创建完成后，单击筛选条件的名称，进入筛选条件详情，创建入方向规则。 4. 在左侧导航栏选择“流量镜像 > 镜像会话”，创建镜像会话，选择对应筛选条件，配置镜像源和镜像目的：镜像源选择需要监测的弹性网卡，镜像目的选择态势感知控制端的辅助网卡。 5. 开通完毕后，启动镜像会话，态势感知控制端验证镜像流量。

前提条件 已获取管理控制台的登录账号与密码。 已使用的数据安全专区，需停止系统所有操作，解绑EIP。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 数据安全专区（原生版）”，进入数据安全专区实例管理页面。 3. 选择待退订的实例，单击所在行“操作”列的“更多 > 退订”，弹出的退订实例对话框。 4. 确认实例信息无误后，单击“确定”，进入控制中心>退订管理>退订申请，选择退订原因，勾选确认退订金额，点击退订按钮完成退订。 到期与欠费 包周期资源开通成功后，如果没有按时续费，云平台会提供一定的保留期。 保留期 ：指宽限期到期后客户的包年/包月资源仍未续订或按需资源仍未缴清欠款，将进入保留期。保留期内客户不能访问及使用云服务，但对客户存储在云服务中的数据仍予以保留。 云服务进入保留期后，天翼云将会通过邮件、短信等方式向您发送提醒，提醒您续订或充值。保留期到期仍未续订或充值，存储在云服务中的数据将被删除、云服务资源将被释放。 欠费后，可以查看欠费详情。为防止相关资源被停止或者释放，请及时进行充值，账号将进入欠费状态，需要在约定时间内支付欠款。

本文介绍了虚拟私有云的权限内容。 如果您需要对天翼云上创建的VPC资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权来控制员工对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有VPC的使用权限，但是不希望员工拥有删除VPC等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPC，但是不允许删除VPC的权限，控制员工对VPC资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可忽略本章节，不影响您使用VPC服务的其他功能。 VPC权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPC部署时通过物理区域划分。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPC服务，管理员能够控制IAM用户仅能对某一类网络资源进行指定的管理操作。 下表是VPC的所有系统权限。 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖云日志服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 下表是VPC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 VPC ReadOnlyAccess VPC Administrator VPC FullAccess 创建VPC × √ √ 修改VPC × √ √ 删除VPC × √ √ 查看VPC √ √ √ 创建子网 × √ √ 查看子网 √ √ √ 修改子网 × √ √ 删除子网 × √ √ 创建安全组 × × √ 查看安全组 √ × √ 修改安全组 × × √ 删除安全组 × × √ 添加安全组规则 × × √ 查看安全组规则 √ × √ 修改安全组规则 × × √ 删除安全组规则 × × √ 创建网络ACL × √ √ 查看网络ACL √ √ √ 修改网络ACL × √ √ 删除网络ACL × √ √ 添加网络ACL规则 × √ √ 修改网络ACL规则 × √ √ 删除网络ACL规则 × √ √ 创建对等连接 × √ √ 修改对等连接 × √ √ 删除对等连接 × √ √ 查询对等连接 √ √ √ 接受对等连接 × √ √ 拒绝对等连接 × √ √ 创建路由表 × √ √ 删除路由表 × √ √ 修改路由表 × √ √ 将路由表关联至子网 × √ √ 添加路由 × √ √ 修改路由 × √ √ 删除路由 × √ √ 创建VPC流日志 × √ √ 查看VPC流日志 √ √ √ 开启/关闭VPC流日志 × √ √ 删除VPC流日志 × √ √ 创建IP地址组 × √ √ 将IP地址组关联至资源 × √ √ 将IP地址组和资源解除关联 × √ √ 在IP地址组内添加IP地址条目 × √ √ 删除IP地址组内的IP地址条目 × √ √ 修改IP地址组 × √ √ 删除IP地址组 × √ √ 说明 对于企业项目用户，您可以对属于该企业项目的资源进行权限范围内的操作。

本文主要介绍权限管理。 如果您需要对云服务平台上购买的DMS for Kafka资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DMS for Kafka的使用权限，但是不希望他们拥有删除Kafka实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用Kafka实例，但是不允许删除Kafka实例的权限策略，控制他们对DMS for Kafka资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DMS for Kafka的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 说明 DMS for Kafka的权限与策略基于分布式消息服务DMS，因此在IAM服务中为Kafka分配用户与权限时，请选择并使用“DMS”的权限与策略。 DMS for Kafka权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DMS for Kafka部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DMS for Kafka时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DMS for Kafka服务，管理员能够控制IAM用户仅能对实例进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，DMS for Kafka支持的API授权项请参见《分布式消息服务Kafka API参考》的“权限策略和授权项”章节。 如下表所示，包括了DMS for Kafka的所有系统权限。 表 DMS for Kafka系统权限 系统角色/策略名称 描述 类别 依赖关系 DMS FullAccess 分布式消息服务管理员权限，拥有该权限的用户可以操作所有分布式消息服务的功能。 系统策略 无 DMS UserAccess 分布式消息服务普通用户权限（没有实例创建、修改、删除、扩容）。 系统策略 无 DMS ReadOnlyAccess 分布式消息服务的只读权限，拥有该权限的用户仅能查看分布式消息服务数据。 系统策略 无 DMS VPCAccess 分布式消息服务租户委托时需要授权的VPC操作权限。 系统策略 无 DMS KMSAccess 分布式消息服务租户委托时需要授权的KMS操作权限。 系统策略 无 DMS Administrator 分布式消息服务的管理员权限。 系统角色 依赖Tenant Guest和VPC Administrator。 说明 系统策略有包含OBS授权项，由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的系统策略后，大概需要等待5分钟系统策略才能生效。 下表列出了DMS for Kafka常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表常用操作与系统策略的关系 操作 DMS FullAccess DMS UserAccess DMS ReadOnlyAccess 创建实例 √ × × 修改实例 √ × × 删除实例 √ × × 变更实例规格 √ × × 重启实例 √ √ × 查询实例信息 √ √ √

本章节主要介绍翼MapReduce的权限管理。 如果您需要对上创建的MapReduce服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有MapReduce服务的使用权限，但是不希望他们拥有删除MRS集群等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用MRS，但是不允许删除MRS集群的权限策略，控制他们对MRS集群资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用MRS服务的其它功能。 IAM是提供权限管理的基础服务。 MRS权限说明 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 MRS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问MRS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对MRS服务，管理员能够控制IAM用户仅能对集群进行指定的管理操作。如不允许某用户组删除集群，仅允许操作MRS集群基本操作，如创建集群、查询集群列表等。多数细粒度策略以API接口为粒度进行权限拆分。 如下表所示，包括了MRS的所有系统策略。 MRS系统策略 策略名称 描述 策略类别 MRS FullAccess MRS管理员权限，拥有该权限的用户可以拥有MRS所有权限。 细粒度策略 MRS CommonOperations MRS服务普通用户权限，拥有该权限的用户可以拥有MRS服务使用权限，无新增、删除资源权限。 细粒度策略 MRS ReadOnlyAccess MRS服务只读权限，拥有该权限的用户仅能查看MRS的资源。 细粒度策略 MRS Administrator 操作权限： 对MRS服务的所有执行权限。 拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。 RBAC策略 下表列出了MRS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统策略的授权关系 操作 MRS FullAccess MRS CommonOperations MRS ReadOnlyAccess MRS Administrator 创建集群 √ x x √ 调整集群 √ x x √ 升级节点规格 √ x x √ 删除集群 √ x x √ 查询集群详情 √ √ √ √ 查询集群列表 √ √ √ √ 设置弹性伸缩策略 √ x x √ 查询主机列表 √ √ √ √ 查询操作日志 √ √ √ √ 创建并执行作业 √ √ x √ 停止作业 √ √ x √ 删除单个作业 √ √ x √ 批量删除作业 √ √ x √ 查询作业详情 √ √ √ √ 查询作业列表 √ √ √ √ 新建文件夹 √ √ x √ 删除文件 √ √ x √ 查询文件列表 √ √ √ √ 批量操作集群标签 √ √ x √ 创建单个集群标签 √ √ x √ 删除单个集群标签 √ √ x √ 按照标签查询资源列表 √ √ √ √ 查询集群标签 √ √ √ √ 访问Manager页面 √ √ x √ 查询补丁列表 √ √ √ √ 安装补丁 √ √ x √ 卸载补丁 √ √ x √ 运维通道授权 √ √ x √ 运维通道日志共享 √ √ x √ 查询告警列表 √ √ √ √ 订阅告警消息提醒 √ √ x √ 提交SQL语句 √ √ x √ 查询SQL结果 √ √ x √ 取消SQL执行任务 √ √ x √

功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 WAF支持的防护对象：域名或IP，云上或云下的Web业务。 业务配置 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 业务配置 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 业务配置 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录（路径）遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。 Webshell检测防护：通过上传接口植入网页木马。 识别精准： 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：urlencode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 Web应用安全防护 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 Web应用安全防护 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 Web应用安全防护 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 Web应用安全防护 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 Web应用安全防护 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 Web应用安全防护 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 Web应用安全防护 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 Web应用安全防护 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 Web应用安全防护 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级设置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 高级设置 连接保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 高级设置 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置。 高级设置 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

本章会按照数据库实例规格大小介绍公有云收费模式。 按照版本不同分为MySQL、PostgreSQL、SQL Server。基于云计算平台，稳定可靠、可弹性伸缩、即开即用的在线数据库服务，实现数据库数据备份、智能监控、便捷迁移。资费包括主备实例、主实例、只读实例、存储和备份租用费。 收费标准（根据天翼云价格调整策略，2021年6月1日零点采用新的资费标准） 包年预付费优惠政策：一年85折，2年7折，3年享受5折优惠。 1、MySQL主备实例 CPU(核) 内存（GB） 标准资费（元/小时） 标准资费（元/月） 2 4 0.96 462 2 8 1.4 672 2 16 1.8 860 4 8 1.9 910 4 16 2.58 1239 4 32 3.6 1720 8 16 3.79 1820 8 32 5.12 2457 8 64 7.2 3440 16 32 7.58 3640 16 64 10.15 4872 16 128 14.4 6880 32 64 15.16 7278 32 128 20.26 9723 60 128 30.24 14556 60 256 40.52 19446 60 512 56 27000 64 128 30.24 14556 64 256 40.52 19446 64 512 56 27000 2、MySQL单机实例 CPU(核) 内存（GB） 标准资费（元/小时） 标准资费（元/月） 2 4 0.48 231 2 8 0.88 422 2 16 1.24 598 4 8 0.95 455 4 16 1.29 620 4 32 2.49 1,195 8 16 1.89 910 8 32 2.56 1,229 8 64 4.97 2,390 16 32 3.78 1,820 16 64 5.08 2,436 16 128 9.95 4,780 32 64 7.56 3,639 32 128 10.13 4,862 60 128 15.12 7,278 60 256 20.26 9,724 60 512 39.8 19,120 64 128 15.12 7278 64 256 20.26 9724 64 512 39.8 19120 3、MySQL只读实例 产品名称 核数/核 内存/GB 标准资费 :::: 包月（元/月） 按需（元/小时） MySQL只读节点 2 4GB 231 0.48 MySQL只读节点 2 8GB 422 0.88 MySQL只读节点 2 16GB 598 1.24 MySQL只读节点 4 8GB 455 0.95 MySQL只读节点 4 16GB 620 1.29 MySQL只读节点 4 32GB 1,195 2.49 MySQL只读节点 8 16GB 910 1.89 MySQL只读节点 8 32GB 1,229 2.56 MySQL只读节点 8 64GB 2,390 4.97 MySQL只读节点 16 32GB 1,820 3.78 MySQL只读节点 16 64GB 2,436 5.08 MySQL只读节点 16 128GB 4,780 9.95 MySQL只读节点 32 64GB 3,639 7.56 MySQL只读节点 32 128GB 4,862 10.13 MySQL只读节点 64 128GB 7,278 15.12 MySQL只读节点 64 256GB 9,724 20.26 MySQL只读节点 64 512GB 19,120 39.80 4、Mysql proxy CPU(核) 内存（GB） 标准资费（元/小时） 2 4 1.13 4 8 2.26 8 16 4.52 目前支持mysql proxy能力的资源池包括西安2、苏州、广州4、杭州、福州、石家庄。 5、MySQL鲲鹏规格 （1）主备实例产品规格 CPU 内存 标准资费（元/小时） 标准资费（元/月） :::: 2 4GB 0.76 364 2 8GB 1.38 664 4 8GB 1.48 712 4 16GB 2.09 1,004 8 16GB 2.97 1,424 8 32GB 4.18 2,008 12 24GB 4.96 2,381 12 48GB 7.92 3,802 16 32GB 6.95 3,336 16 64GB 9.18 4,404 24 48GB 8.52 4,090 24 96GB 15.84 7,603 32 64GB 13.88 6,664 32 128GB 18.34 8,804 48 96GB 16.96 8,141 48 192GB 33 15,840 60 120GB 27.75 13,320 （2）单机实例产品规格 CPU 内存 标准资费（元/小时） 标准资费（元/月） :::: 2 4GB 0.38 182 2 8GB 0.69 332 4 8GB 0.74 356 4 16GB 1.05 502 8 16GB 1.48 712 8 32GB 2.09 1,004 12 24GB 2.48 1,190 12 48GB 3.96 1,901 16 32GB 3.48 1,668 16 64GB 4.59 2,202 24 48GB 4.26 2,045 24 96GB 7.92 3,802 32 64GB 6.94 3,332 32 128GB 9.17 4,402 48 96GB 8.48 4,070 48 192GB 16.52 7,930 60 120GB 13.88 6,660 （3）只读实例产品规格 CPU 内存 标准资费（元/小时） 标准资费（元/月） :::: 2 4GB 0.38 182 2 8GB 0.69 332 4 8GB 0.74 356 4 16GB 1.05 502 8 16GB 1.48 712 8 32GB 2.09 1,004 12 24GB 2.48 1,190 12 48GB 3.96 1,901 16 32GB 3.48 1,668 16 64GB 4.59 2,202 24 48GB 4.26 2,045 24 96GB 7.92 3,802 32 64GB 6.94 3,332 32 128GB 9.17 4,402 48 96GB 8.48 4,070 48 192GB 16.52 7,930 60 120GB 13.88 6,660 6、其他收费项目 6.1 存储 产品规格 包月标准价格（元/月） 按需标准价格（元/小时） 主备实例 SATA 0.5 0.0009 主备实例 SAS 0.7 0.0015 主备实例 SSD 2 0.0028 主备实例 ESSD 3.2 0.0068 主实例 SATA 0.3 0.0005 主实例 SAS 0.4 0.0009 主实例 SSD 1.2 0.0017 主实例 ESSD 2 0.0042 只读实例 SATA 0.3 0.0005 只读实例 SAS 0.4 0.0009 只读实例 SSD 1.2 0.0017 只读实例 ESSD 2 0.0042 6.2 备份 同区域备份——若合营MySQL 数据库备份存储用量超过主数据库存储空间的100%，按需收取对象存储空间费用，标准资费为 0.000139 元/GB/小时。 跨区域备份——标准资费为 0.001 元/GB/小时。 6.3 秒级监控 计费方式为按需付费，0.048元/小时。

本节介绍Hermes云电脑的使用方式。 产品核心优势 Hermes云电脑内置Hermes环境，开箱即用。Hermes具备模块化架构和丰富的工具生态，让开发者能够快速构建复杂的AI应用。同时也是拥有内置学习循环的智能体，它从经验中创建技能，在使用过程中持续改进，形成持久化知识。支持微信、飞书、QQ等IM工具接入使用。 体验指引 1. 支持天翼AI云电脑移动端、PC客户端进行切换Hermes镜像； 2. 切换方式：登录云电脑>工具栏>设置>系统重装>更换系统，选择Hermes镜像。 注意 不支持跨系统切换，如Windows不支持切换至Ubuntu。 使用指引（以Ubuntu云电脑为例） 1. 开机后系统会自动启动Hermes后台服务，在云智助手中生成ApiKey并自动将模型信息注入到Hermes中，用户无需再配置模型即可直接使用。 2. 双击【Hermes】图标，首次打开会有安全提示弹窗，系统自动打开默认浏览器并跳转到聊天页面，可以发送指令和查看对话历史。 3. 双击【Hermes助手】图标，可以进入大模型配置界面，这里可以检测模型的连通性，有自行购买的第三方模型（例如息壤）可以配置以切换当前使用的大模型（填写API Key，Base URL和模型等信息）。 4. 在IM设置界面，可以配置微信，飞书和QQ三种IM通道，需要扫描界面上的二维码或者填写所需的信息，保存后静待片刻即可生效。

本文为您介绍密钥管理服务与其他云服务的关系,以及对应密钥的区分。 KMS与其他云服务的加密关系 KMS集成天翼云产品提供服务端加密能力，实现云上原生数据提供加密保护，有效提升默认安全能力。在创建云产品资源时开启加密功能，您可以自定义加密密钥，支持选择默认密钥和您在KMS中自行创建的用户主密钥。 服务端加密优势 提升云产品内生安全性 加密过程中使用的密钥由用户自定义选择，集中托管在KMS服务中，KMS已通过国家密码管理局审查，获得商用密码产品认证，合规性得到有效保障。 降低研发成本 使用云产品服务端加密能力，您无需自行构建和维护密钥管理基础设施，无需考虑自研数据加密能力所涉及的密钥管理安全及合理性、加密算法的研发等一系列复杂的工程，大幅度降低开发成本。 加密过程透明无感知 服务端加密为您提供内嵌至云服务中的加密方案，您无需关注底层数据加密的细节，只需一键开启加密功能，即可实现数据加密。 支持服务端加密的云产品 云硬盘 对象存储 弹性文件 关系型数据库MySQL版 关系型数据库PostgreSQL版 文档数据库服务 分布式消息服务Kafka 分布式消息服务RabbitMQ 分布式消息服务RocketMQ 功能详情详见云产品服务端加密。 KMS与云审计服务的关系 已对接天翼云云审计服务，可通过云审计服务查看资源操作的记录，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至日志审计等产品实现永久保存。 KMS与云监控服务的关系 已对接天翼云云监控服务，可通过云监控服务查看实例节点的相关监控指标，并可以设置相关指标的告警规则及通知策略。

请根据操作系统类型下载适当的SSL VPN客户端 根据操作系统类型（Windows 、Android、macOS、iOS ）选择适当的SSL VPN客户端进行安装： Windows 7及以上版本且为X86架构 Android 12.0及以上版本 macOS 11及以上版本 系统：iOS 18.4及以上版本 硬件：iphone 11及以上机型 版本号：3.1.11 版本号：3.1.12 版本号：3.1.5 版本号：3.1.3 发布时间：2026年3月23日 发布时间：2026年4月22日 发布时间：2026年4月17日 发布时间：2026年4月24日 立即下载 立即下载 立即下载 立即下载 说明 1、同一个客户端账号，暂不支持在多个终端同时登录。 2、macOS版本下，暂不支持使用中文路径进行软件安装及证书上传。 3、macOS版本下，如从V1版本升级至V3版本，需升级前自行备份VPN连接配置。 4、Windows版本下，为呈现最佳展示效果，建议将显示分辨率设置为 2K，并搭配 125% 的屏幕缩放比例。 开发者：开源软件 隐私政策：开源SDK隐私政策暂未发布 运营者：天翼云科技有限公司 有关APP运行时收集使用个人信息的规则、所需的权限列表及用途等，请参考《CTCloudConnect客户端隐私政策》。 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件： service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电 话： 4008109889 天翼云门户：管理中心工单新建工单；智能客服 天翼云APP：管理工具智能工单

本文帮助您了解对象存储大文件分段上传的最佳实践。 前提条件 开通对象存储服务。 在天翼云对象存储控制台获取Access Key、Secret Key和外网访问控制的endpoint。 安装Python环境，下载对应版本的ZOS官方Python SDK （本文以sdkpython3.X.tar为例），请参见开发者文档。 环境配置 解压sdkpython3.X.tar，在解压出的sdk文件夹下，打开cmd导入需要的包。 python pip3 install r requirements.txt 把sdk文件夹中的service2.sns.sdkextras.json和service2.s3.sdkextras.json文件放到“C:Users你的用户名.awsmodelss320060301”文件夹（如果不存在该文件夹，可自行创建）下。 分段上传 操作场景 大文件上传：当需要上传大文件（指数据量偏大的单个文件，例如单个文件数据大小为30MB）时，使用分段上传可以更高效地完成任务。相比于一次性上传整个文件，分段上传允许在网络故障或其他原因导致上传中断时，只需要重新传输中断的片段，而不需要重新上传整个文件。 网络不稳定环境：在网络连接不稳定或带宽有限的环境中，分段上传可以降低因网络中断或超时导致整个文件上传失败的风险。当上传过程中发生中断，只需要重新上传中断的片段，而不需要重新上传整个文件。 文件大小不确定：可以在需要上传的文件大小还不确定的情况下开始上传，这种场景在视频监控等行业应用中比较常见。 操作步骤 1. 创建py文件，并引入boto3包的session模块。 python from boto3.sessionimport Session 2. 配置用于访问对象存储服务的凭证Access Key、Secret Key和外网访问地址endpoint。 python accesskey "此处输入你的Access Key"

本文主要介绍基于弹性云主机的视频处理应用加速实践。 镜像描述 当前镜像处于公测阶段，您可在华东1资源池试用。如果您希望在其他资源池试用该镜像，可以提交工单申请。 Intel® iVTAL 是一种用于视频处理 加速的软件库，利用英特尔® 处理器中的硬件加速性能，以提供 快速而优化的视频处理解决方案。通过使用 Intel® iVTAL 库， 开发人员可以轻松地在其应用程序中集成视频处理功能。 视频处理专用镜像是一款集成intel视频处理调优工具iVTAL的专用的视频处理镜像，镜像内置视频抽帧工具ivtalDecoder和视频转码工具FFmepg(intel版)，支持常见的音频和视频格式。专用视频处理镜像专为提升视频转码/解码/编码任务的速度和效率而生，告别通用镜像的平庸性能。 配置要求 推荐规格：c7.4xlarge.2或者c8.4xlarge.2 推荐配置：vCPU≥16核，内存≥32G 免责说明 免责声明：本公司发布的视频处理专用镜像，集成的转码和解码工具均来源自第三方或者开源社区，仅供用户参考和使用。本公司不对因不当使用该镜像而导致的任何损害承担法律责任，用户应当确保其使用行为符合相关法律法规，并遵守相应协议。 实践指南 视频转码工具（英特尔版） 视频转码工具介绍 转码是将视频码流转换成另一个视频码流的过程。使用转码功能可以实现将视频转换成流畅、标清、高清以及超清等输出，从而用户可以选择合适的视频播放。视频转码最常用的三个软件工具是FFmpeg，x264，x265。在FFmpeg(version release/4.4)，x264( version 0.164)，x265(version 3.6)这三个工具的基础上，intel采用MVReuse算法策略实施了进一步的优化，能够在几乎不影响视频质量·压缩率的情况下，显著提升转码速度。

为“美工Claw”增加文生图、图生图模型能力 根据您的需要，购买有文生图、图生图能力的大模型，以与机器人对话的模式添加到Claw能力中，您需要提供：大模型名称、APP KEY、回调地址、提供商。使用与机器人对话的形式，让“美工Claw”新增加图片相关大模型，当“美工Claw”返回如下信息时，则视为添加成功。 如果“美工Claw”无法理解，可以在Skills中添加对应模型的Skills，后面我们会提到如何添加skills。 机器人权限开通 为了让您的机器人与您正常沟通并在文档正常协作与监控文档，您需要在 plaintext sheets:spreadsheet:read sheets:spreadsheet:writeonly base:app:read base:app:update im:resource 您可以使用批量导入导出添加如下json以完成权限的发布： { "scopes": { "tenant": [ "im:message:sendasbot", "docx:document:readonly", "sheets:spreadsheet:read", "sheets:spreadsheet:writeonly", "base:app:read", "base:app:update", "im:resource" ], "user": [ "docx:document:readonly" ] } } 对三个机器人配置权限之后，机器人就具备了操作飞书文档所需的权限。 Skills的增加和测试 为了让机器人尽快学会操作飞书文档，可以为其添加skills。根据 ++《OpenClaw技能配置指南》++ 在云主机的应用配置界面中配置skills。 为所有三台机配置 feishudoceditor 的skill，为“分析Claw”单独添加marketanalysiscn，为“美工Claw”单独添加aliyunqwenimage。之后，让Claw机器人学习所有相关Skill，并询问能力。 plaintext 给你配了飞书相关的skills,学习一下

本文主要介绍云日志服务Java SDK接入指南。 1. 前言 安装使用Java SDK可以帮助开发者快速接入并使用天翼云的日志服务相关功能，目前支持同步上传，异步批量上传等功能。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK Java版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装JDK1.8及以上环境。 2.2. 下载及安装 下载压缩包，放到相应位置后并解压，把包放在本地目录： 。如果您想直接使用SDK，可以不做修改，直接使用SDK源码，示例代码为example/SamplePutlogs.java。。 1. 把SDK源码构建成jar包，可通过构建工具构建。或者直接使用已有jar包（target目录下）：”ctyunltsjavasdk1.6.0.jar”。 2. 把生成的jar包引入本地maven仓库。可以通过例如idea的maven工具install 到maven仓库。或者通过命令构建安装（在jar包所在目录执行下面命令）。 plaintext mvn install:installfile Dfilectyunltsjavasdk1.10.0.jar DgroupIdcn.ctyun.lts DartifactIdctyunltsjavasdk Dversion1.10.0 Dpackagingjar 3. 在您的maven工程的pom.xml文件中增加配置 plaintext cn.ctyun.lts ctyunltsjavasdk 1.10.0 4. 引入第三方依赖包 plaintext com.alibaba fastjson 1.2.83noneautotype net.jpountz.lz4 lz4 1.3.0 org.apache.httpcomponents httpclient 4.5.1 io.opentelemetry.proto opentelemetryproto 1.1.0alpha org.apache.httpcomponents httpmime 4.5.1 com.google.protobuf protobufjava 3.23.4

Apache Log4j远程代码执行漏洞攻击，云防火墙如何启用检测和防御？ Apache Log4j2存在一处远程代码执行漏洞（CVE202144228），在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。 12月16日，官方披露低于2.16.0版本除了存在拒绝服务漏洞外，还存在另一处远程代码执行漏洞（CVE202145046）。 Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。天翼云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。 云防火墙CFW已支持检测和拦截Apache Log4j2 远程代码执行漏洞。 漏洞名称 Apache Log4j 远程代码执行漏洞。 影响范围 影响版本：2.0beat9 < Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影响）。 已知受影响的应用及组件：springbootstarterlog4j2/Apache Solr/Apache Flink/Apache Druid。 安全版本： Apache Log4j 1.x 不受影响。 Apache Log4j 2.16.0。 防护建议 登录CFW控制中心，在CFW页面建议操作如下： 1. 需要购买云防火墙CFW服务的标准版，详细操作请参考购买云防火墙。 2. 启用入侵防御的基础防御功能，并开启拦截模式，详细操作请参考配置入侵检测策略。 Spring Framework远程代码执行漏洞攻击，云防火墙如何启用检测和防御？ Spring是一款主流的Java EE轻量级开源框架，面向服务器端开发设计。近日，Spring框架被曝出可导致RCE远程代码执行的漏洞（CVE202222965），该漏洞攻击面较广，潜在危害严重，对JDK 9及以上版本皆有影响。 云防火墙CFW已支持检测和拦截Spring Framework远程代码执行的漏洞攻击。

执行计划 操作场景 分析当前输入的SQL语句的执行路径效率。 操作步骤 1. 在顶部菜单栏选择“SQL查询”，打开一个SQL窗口，在左侧结构树选择数据库。 2. 在SQL窗口输入需要执行的SQL语句，单击“执行计划”，排查SQL问题和优化SQL性能。 执行计划 在“SQL执行记录”页签中，查看窗口下历史执行信息。 在“消息”页签中，查看拆分SQL完成、执行完成及耗时等信息。 在“执行计划”页签中查看反馈执行语句情况，不同的页签来展示每一条SQL的执行计划详情。 我的SQL 操作场景 数据管理服务支持用户添加常用的SQL，以及查看和管理SQL语句。 操作步骤 1. 在顶部菜单栏选择“SQL查询”，打开一个SQL窗口。 2. 在当前打开的SQL窗口页面，选择“我的SQL”。 我的SQL 新增我的SQL：支持增加常用的SQL，在弹出框中编辑标题及输入SQL语句，单击“保存”即可新增SQL。 新增我的SQL 管理我的SQL：支持对常用的SQL进行管理，包括添加、编辑、 删除。 管理我的SQL SQL执行记录 前提条件 您已成功登录到数据管理服务开发工具页面。 操作步骤 1. 在顶部菜单栏选择“SQL操作”>“SQL执行记录”，打开历史执行记录列表。 2. 在SQL执行记录页面，您可通过日期范围、数据库名称、SQL语句关键字进行搜索，快速查找目标SQL执行记录信息。 单击列表中数据库名称，您可直接进入该数据库管理页面。 单击“SQL语句”，您可在SQL语句弹出框中复制使用SQL。 单击“在SQL执行窗口打开”，您可在SQL窗口中直接使用该语句。

为确保DRDS高效、稳定运行，需对应用可能运行的SQL语句进行审计，找出不符合规范的语句，拒绝语句执行或者对用户提示警告，即通过DML审计规则可以实现SQL黑名单的功能。除默认常用的DML审计规则外，您还可以根据实际情况新增DML审计规则。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击数据库审计 页签，进入DML审计页面。 您可以在审计日志列表中查看目标分组和分片的审计日志，包括时间、数据库、语句、用户、客户端、审计方式和审计信息。 5. 选中目标分组，单击查看或修改审计 规则，进入DML审计规则面板。 6. 在审计规则列表上方，单击新增DML审计配置。 7. 在对话框中，配置审计规则参数，然后单击确定。 参数 说明 DML审计规则 审计规则的名称。 审计类型 审计匹配规则，取值范围： 参数化sql匹配 原始sql匹配 正则式匹配 SQL 当审计类型 设置为参数化sql匹配 或原始sql匹配时，需要输入审计的SQL语句。 正则表达式 当审计类型 设置为正则式匹配时，需要输入审计的正则表达式。 审计方式 支持配置为拒绝 或警告。 注意 对于审计方式 为拒绝 的审计规则，DRDS实例直接向前端提示报错信息，拒绝语句执行。 对于审计方式 为警告的审计规则，DRDS实例会将语句的相关信息记录到审计日志中，该日志可提供给开发人员对SQL语句进行参考优化，您可以在审计日志中查看相关信息。

消息生产与消费的幂等传递 在Kafka中，消息的生产和消费都可以实现幂等传递。下面是一些常用的方法来实现幂等传递： 生产者端的幂等传递 使用消息的唯一标识符：在发送消息之前，生产者可以为每条消息分配一个唯一的标识符，例如UUID。这样，在消息重复发送时，可以根据标识符来判断消息是否已经被成功发送过，避免重复发送。 重试机制：当生产者发送消息失败时，可以使用重试机制来确保消息的可靠发送。Kafka提供了重试机制，可以配置生产者在发送失败后进行重试，而不会导致消息的重复发送。 消费者端的幂等传递 消费者端的幂等操作：消费者可以将消息的处理操作设计为幂等操作。即使同一条消息被多次处理，最终的结果也应该是一致的。这可以通过在消息处理过程中使用幂等性的算法或逻辑来实现。 消费者位移提交：Kafka允许消费者手动提交消费的位移（offset），消费者可以在处理完一条消息后手动提交位移。这样可以确保消息被成功处理后再提交位移，避免重复消费。 需要注意的是，虽然Kafka提供了一些机制来支持幂等传递，但在实际应用中，仍然需要开发者自行实现幂等性的逻辑来保证消息的正确处理。 消息可以批量生产和消费 Kafka支持消息的批量生产和消费，这可以提高消息的吞吐量和效率。下面是一些关于Kafka批量生产和消费的说明： 批量生产 生产者可以将多条消息打包成一个批次进行发送，减少网络传输的开销。Kafka提供了ProducerRecord类的构造函数，可以传入一个消息集合来进行批量发送。 生产者可以通过配置batch.size参数来设置批次的大小。当消息达到指定的批次大小后，生产者会自动将消息发送到Kafka集群。

简述存储能力常用术语。 块存储 块存储主要为云服务器提供的块设备产品，具有高性能和低时延的特点，支持随机读写。用户可以像使用物理硬盘一样格式化并建立文件系统来使用块存储，可满足大部分通用业务场景下的数据存储需求。 文件存储 文件存储也称为文件级存储或基于文件的存储，数据会以单条信息的形式存储在文件夹中。当用户需要访问该数据时，用户的计算机需要知道相应的查找路径。存储在文件中的数据会根据数量有限的元数据来进行整理和检索，这些元数据会告诉计算机文件所在的确切位置。 对象存储 对象存储，也称为基于对象的存储，是一种扁平结构，其中的文件被拆分成多个部分并散布在多个硬件间。在对象存储中，数据会被分解为称为“对象”的离散单元，并保存在单个存储库中，而不是作为文件夹中的文件或服务器上的块来保存。 访问密钥（AK/SK） 媒体存储对象存储协议通过AK/SK认证方式进行认证鉴权，即使用Access Key（AK）/ Secret access Key（SK）加密的方法来验证某个请求发送者身份。 当用户使用媒体存储提供的SDK或API进行二次开发时，需通过AK/SK认证方式完成认证鉴权。 媒体存储中的对象存储支持密钥管理功能，用户可通过控制台进行相关操作。 Access Key(AK)：访问密钥ID，与私有访问密钥关联的唯一标识符；一个访问密钥ID对应一个用户，一个用户可以同时拥有5个访问密钥ID。访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 Secret access Key(SK)：私有访问密钥, 与访问密钥ID结合使用，对请求进行加密签名，标识发送方，防止请求信息被篡改。

本文介绍了云防火墙(原生版)产品的功能特性。 天翼云云防火墙（原生版）产品是一款云平台SaaS化的防火墙，保护您的网络边界安全，主要包含以下功能： 概览 防火墙防御能力总览，包括安全防护、防护情况、安全策略和流量趋势。 安全防护展示了互联网边界防火墙的防护总体情况，包括已开启和未开启防护的IP。 防护情况展示了防护的总体情况，包括入侵防御拦截数和访问控制拦截数。 安全策略展示了客户配置的访问控制策略的情况，分别为外对内规则数、内对外规则数、黑名单规则数、白名单规则数。 流量趋势展示了流量最近一段时间的入方向流量趋势和出方向流量趋势。 互联网边界防火墙 互联网边界防火墙可为需要防护的IP资产进行开启或关闭防护。 公网IP统计了用户已开启和未开启防护的IP，可用授权展示已经购买的云防火墙配额数。 防护列表展示用户所有的EIP，列表包括公网IP（实例名称、ID）、虚拟私有云（VPC名称、VPC网段）、绑定资产类型、绑定资产（资产名称、ID）、防火墙状态、配额情况和操作。 说明 可以进行IPv4/IPv6的切换，并可根据资产类型、防火墙状态、公网IP和虚拟私有云进行筛选，对于已经购买配额的EIP，可进行开启防护和关闭防护。

本文向您介绍云平台用户管理权限和资源管理权限的主要概念。 系统默认提供两种用户权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及其权限。 资源管理权限可以控制用户对云服务资源执行的操作。 对于资源标签的使用，您需要拥有对应云服务的相关权限。否则，您对云资源进行的标签操作可能无法生效。 请联系系统管理员为您所属的用户组添加对应云服务的相关权限。 说明 在TMS控制台对云资源的标签进行操作时，您需要具有TMS查看、创建、删除资源标签等权限，以及资源所属服务的必要权限。由于修改资源标签是通过先删除旧标签再创建新标签（标签键相同，标签值不同）来实现功能，所以要修改云资源的标签需要具备TMS和相应云服务的创建和删除标签的权限。 以系统权限为例：例如您需要在TMS控制台对ECS资源进行增删标签操作，那么您除了需要具有“TMS FullAccess”系统权限外，还需要拥有“ECS FullAccess”系统权限。 以自定义策略为例：例如您需要在TMS控制台上查看ECS的资源和标签，那么您除了需要具有“tms:resourceTags:list”权限外，您还需要拥有ECS服务的“ecs:servers:getTags”和“ecs:servers:get”权限。

服务器安全卫士支持版本升级吗？ 支持，登录云平台，进入控制中心“服务器安全卫士”界面，点击需要升级订单对应的“升级”按钮。 当该订单规格为基础版时，点击“升级”，弹出开通服务界面，规格默认“企业版”，可切换规格为“旗舰版”。 当该订单规格为企业版时，点击“升级”，弹出开通服务界面，规格只能选择“旗舰版”。 当该订单规格为旗舰版时，旗舰版为最高版本，不可再升级。 选择升级规格，提交订单。 什么是服务器安全卫士的Agent？ Agent用于执行检测任务，全量扫描主机/容器；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。 Agent分为Linux版本和Windows版本，您需要根据主机的版本，选择对应版本进行安装。主机上安装Agent后，即可获得服务器安全卫士提供的主机防护功能。 服务器安全卫士Agent资源占用情况？ Agent对所在主机资源消耗严格控制： 满业务加载时 CPU平均使用率不超过5% 内存占用不超过500M 硬盘存储空间占用，最高不超过200M 日常闲时 CPU使用率在1%以下 内存40M以下 如何安装Agent？ 购买成功后，进入控制中心“服务器安全卫士”界面，点击“控制台”，进入控制台后，在通用功能系统设置Agent安装界面，根据页面提示安装Agent即可。

本章节介绍如何使用云硬盘备份实现数据保护。 最佳实践概述 场景描述 云硬盘备份可以为云硬盘创建备份，也支持将弹性云服务器的数据磁盘备份创建为数据磁盘镜像，利用备份数据回滚云硬盘或者创建新的云硬盘，达到快速恢复业务运行环境的目的。 使用云硬盘备份进行数据保护，适用于如下场景： 硬件故障：云平台的生产存储设备硬件发生故障。 软件故障：系统故障导致用户数据丢失（如系统故障，导致系统下发删除资源的操作）或用户的Guest OS或应用系统故障。 用户误操作：因租户误操作或其他原因而导致的系统无法启动或数据丢失。 方案优势 云硬盘粒度的数据备份和恢复。 支持备份恢复云硬盘数据和使用备份创建新的云硬盘。 前提条件 在进行本文操作之前，您需要完成以下准备工作： 磁盘处于“可用”或“正在使用”状态才可进行备份，如果对磁盘进行了扩容、挂载、卸载或删除等操作，请刷新界面，确保操作完成，再决定是否要进行备份。 本文操作有以下约束限制： 不支持批量恢复多个云硬盘 使用备份数据创建新磁盘时，新创建的磁盘不能用作系统盘。 方案正文 步骤1：云硬盘数据备份 云硬盘备份功能支持对云硬盘进行数据备份，详细步骤参见创建云硬盘备份。

本节介绍了创建相同配置云主机的操作场景、使用须知、操作步骤等内容。 操作场景 对于已创建成功的弹性云主机，如需再次创建相同配置的，建议您使用公有云平台提供的“创建相同配置”功能，快速创建同一配置的弹性云主机，节省时间。 使用须知 超大内存型弹性云主机、使用整机镜像创建的弹性云主机，暂不支持使用“创建相同配置”功能。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 选择目标弹性云主机，并单击“操作”列下的“更多 > 创建相同配置”。 系统将跳转至弹性云主机创建页，并自动复制已选择云主机的参数配置。 说明 为安全起见，当复制的弹性云主机存在如下场景时，系统不会自动复制相应的参数配置，需用户手动配置： 数据盘个数超过10个时，需手动添加磁盘数量。 网卡个数超过5个时，需手动添加其余网卡。 安全组个数超过5个时，需手动添加其余安全组。 使用数据盘镜像创建的磁盘，需重新选择数据盘镜像。 使用磁盘加密功能的云硬盘，需重新勾选“加密”。 “高级配置”中的相关功能，需重新设置。 弹性IP默认为“不使用”，如需使用，请手动设置为“自动分配”或“使用已有”。 4. 请根据需要调整待创建弹性云主机的参数配置，确认无误后，单击“立即申请”。

在人工智能飞速发展的大背景下，算力是关键支撑。为了实时提供灵活且强大的计算资源调配能力，昇腾 910B 物理机以强劲的硬件性能为基础，搭配 DeepSeek 先进的算法框架，二者结合，将为 AI 研究与应用开拓更广阔的创新空间。本部署指南适配华为昇腾 910B NPU硬件平台，集成MindIE的2.0.T6版本推理引擎，能显著优化端到端推理性能。 一、环境准备 1.1 软硬件要求 组件类型 规格要求 数量 计算节点 华为Atlas 800T A2训练服务器 1台 NPU加速卡 昇腾910B32 (单卡算力320TFLOPS) ≥4卡 本地存储 NVMe SSD ≥5.8TB (22.9T) 2块 内存 DDR4 ≥512GB 管理节点 CTyunOS23.01.2@GalaxyMasterNPU24.1.rc2.1镜像 1.2 存储配置 1.2.1 磁盘分区方案 将节点的nvme1n1和nvme0n1两块NVME盘分别挂载在/mnt/nvme1n1和/mnt/nvme0n1上。 !/bin/bash 设备列表 devices("/dev/nvme0n1" "/dev/nvme1n1") mountpoints("/mnt/nvme0n1" "/mnt/nvme1n1") fstype"xfs" 确保 root 权限 if [[ $EUID ne 0 ]]; then echo "请使用 root 运行此脚本！" exit 1 fi for i in "${!devices[@]}"; do device"${devices[$i]}" mountpoint"${mountpoints[$i]}"

本节介绍了云数据库TaurusDB的标签功能。 操作场景 标签管理服务用于用户在云平台，通过统一的标签管理各种资源。TMS服务与各服务共同实现标签管理能力，TMS提供全局标签管理能力，各服务维护自身标签管理 。 建议您先在TMS系统中设置预定义标签。 标签由“键”和“值”组成，每个标签中的一个“键”只能对应一个“值”。 每个实例最多支持10个标签配额。 添加标签 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏，单击“标签”，单击“添加标签”，在“添加标签”弹出框中，输入标签的键和值，单击“确定”。 标签的键不能为空且必须唯一，长度为1~36个字符，只能包含英文字母、中文、数字、中划线和下划线。 标签的值可以为空字符串，长度为0~43个字符，只能包含英文字母、中文、数字、中划线、下划线和英文句点。 步骤 6 添加成功后，您可在当前实例的所有关联的标签集合中，查询并管理自己的标签。

云租户为什么需要单独做等保？ 根据“ 谁运营谁负责，谁使用谁负责，谁主管谁负责 ” 的原则，系统的责任主体还是属于网络运营者自己，所以云租户还是得承担相应的网络安全责任。由于天翼云平台本身就已经通过等保，所以在做等保的过程中，云租户无需再关注物理环境和网络环境，只需关本身业务系统合规即可。 等保2.0建设流程是什么？ 整个等保2.0的建设流程分为五个步骤，分别是： 1. 定级：确定定级对象，初步确定安全保护等级，专家评审，主管部门审核、公安机关备案审查。 2. 备案：持定级报告和备案表到当地公安机关网安部门进行备案，获取备案证明。 3. 建设整改：参照网络安全等级保护相关标准及规范要求，对信息系统进行整改加固。 4. 等级测评：委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告。 5. 监督检查：向当地公安机关网安部门提交测评报告，配合完成对信息安全等级保护实施情况的检查。 公有云云等保是否有等保测评报告，如何获取？ 有，公有云等保测评报告属于敏感信息，不对外提供，如有需要，请联系客户经理获取。

步骤一：准备MySQL数据库 在使用MDR实现MySQL故障切换前，需要提前准备一个多活实例和一个MySQL数据库。 当前仅支持对云上资源进行故障切换， 因此需要购买一台规格类型为“一主一备”或“一主两备”的天翼云MySQL数据库。 1. 创建数据库实例，具体请参考：创建实例。 2. 为数据库实例设置安全组规则，具体请参考：设置安全组规则。 3. 为数据库实例绑定弹性IP，具体请参考：绑定弹性公网IP。 步骤二：同步资源 在资源管理模块中同步数据库资源到多活容灾服务平台，具体参考：同步天翼云数据库。 步骤三：创建容灾管理中心 创建容灾管理中心的具体请参考：创建容灾管理中心。 步骤四：接入应用 将需要进行故障切换的MySQL数据库接入创建好的容灾管理中心，具体操作请参考：应用接入。 步骤五：编排预案阶段和预案 1. 创建预案阶段，具体操作请参考：创建预案阶段。 2. 创建预案，具体操作请参考：创建预案。