私钥格式转换 如果您的私钥不是以“BEGIN EC PRIVATE KEY“或”BEGIN RSA PRIVATE KEY”开头的可用私钥，则可以通过以下命令进行转换： 将加密的PRIVATE私钥转换为非加密的RSA私钥 openssl rsa in uaes.com.pkcs8.key out uaes.com.pkcs1.key 将加密的PRIVATE私钥转换为非加密的EC私钥 （暂不支持） openssl ec in uaes.com.pkcs8.key out uaes.com.pkcs1.key 注意：请勿直接修改私钥开头或结尾，该行为会造成证书创建失效。

本章节主要介绍MySQL数据迁移到OBS。 操作场景 CDM支持表到OBS的迁移，本章节以MySQL>OBS为例，介绍如何通过CDM将表数据迁移到OBS中。流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建OBS连接 4创建迁移作业 前提条件 已获取OBS的访问域名、端口，以及AK、SK。 已获取连接MySQL数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有MySQL数据库的读写权限。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MySQL。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。 创建MySQL连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.选择“MySQL”后单击“下一步”，配置MySQL连接的参数。 单击“显示高级属性”可查看更多可选参数，具体请参见 配置常见关系数据库连接。这里保持默认，必填参数如下表“MySQL连接参数”所示。 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100 3.单击“保存”回到连接管理界面。 说明 如果保存时出错，一般是由于MySQL数据库的安全设置问题，需要设置允许CDM集群的EIP访问MySQL数据库。

本文简述什么是QUIC协议。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 优势1：握手建连更快 QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 优势2：避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 优势3：支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 优势4：可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 优势5：前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

参数 子参数 说明 迁移参数模版 选择某个迁移参数模版后，页面根据模版的值自动设置网络类型、网络限流值、迁移方式、是否持续同步、是否调整分区、区域、项目;系统会为每个用户自动创建一个默认迁移参数模版，您也可以提前手动创建迁移参数模版，参见 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 私网 私网包括专线、VPN、对等连接、同VPC子网，如选择私网则需要提前创建，迁移时会使用目的端私有IP。 IP版本 IPv4 使用IPv4进行数据迁移。 IPv6 双栈网络下，可以选择使用IPv6进行主机迁移。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 设置为0时，代表不限流。 Linux限流功能是基于TC(Traffic Control)模块控制，如果源端服务器没有TC模块，则无法支持限流。 部分Linux系统，暂不支持限流。（例如：CentOS 8.x以及基于其构建的其它发行版本均没有TC模块。） CPU限制 仅支持Linux迁移。 内存限制 磁盘吞吐限制 迁移方式 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。 若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 是否调整分区 否 选择否，目的端磁盘分区与源端保持一致。 是 选择是，用来调整目的端磁盘分区。 迁移后主机状态 关机 选择关机，迁移完成后目的端服务器自动关机。 开机 选择开机，迁移完成后目的端服务器保持开机状态。 是否检测网络质量 否 不进行网络质量评估。 是 首次全量迁移时，会生成一个“迁移网络质量评估”的子任务，该子任务通过检测丢包率、抖动、网络时延、带宽以及内存占用率和CPU占用率，给出网络质量评估结果。 是否启用多进程 否 默认使用1个进程进行迁移、同步。 是 设置迁移和同步最大进程个数，SMSAgent根据设置的进程个数，启用多个进程执行迁移任务。仅适用Linux文件迁移。 迁移特殊配置项 Linux文件级配置不同步、不迁移等特殊配置信息。 Windows块级迁移，专线场景下，可配置目的端中转IP。

本章节主要介绍创建MySQL连接器。 MySQL连接适用于第三方云MySQL服务，以及用户在本地数据中心或ECS上自建的MySQL。本教程为您介绍如何创建MySQL连接器。 前提条件 已获取连接MySQL数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有MySQL数据库的读写权限。 本地MySQL数据库可通过公网访问。如果MySQL服务器是在本地数据中心或第三方云上，需要确保MySQL可以通过公网IP访问，或者是已经建立好了企业内部数据中心到云服务平台的VPN通道或专线。 已创建CDM集群。 新建MySQL连接器 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择CDM集群后的“作业管理 >连接管理 > 驱动管理”，进入驱动管理页面。 详见下图：上传驱动 2.单击“驱动管理”页面左上角“驱动下载地址”链接下载MySQL的驱动，详情请参见管理驱动章节中的“如何获取驱动”。 3.在“驱动管理”页面中，选择以下方式上传MySQL驱动。 方式一：单击对应驱动名称右侧操作列的“上传”，选择本地已下载的驱动。 方式二：单击对应驱动名称右侧操作列的“从sftp复制”，配置sftp连接器名称和驱动文件路径。 4.在“集群管理”界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面，如下图所示。 选择连接器类型 5.连接器类型选择“MySQL”后单击“下一步”，配置MySQL连接的参数，参数如下表所示。 详见下图：创建MySQL连接 MySQL连接参数 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100 6.单击“保存”回到连接管理界面，完成MySQL连接器的配置。 说明 如果保存时出错，一般是由于MySQL数据库的安全设置问题，需要设置允许CDM集群的EIP访问MySQL数据库。

本章节介绍对RDS创建的云数据库进行相关操作的授权。 假如您已经完成数据库资产委托授权，并开通了天翼云关系型数据库（RDS），且已在RDS里创建了数据库，可参考本章节操作，具体如下： 进行授权“只读权限”：只能使用敏感数据识别功能。 进行授权“读写权限”：可使用敏感数据识别和数据脱敏功能。 说明 DSC暂不支持对RDS中已开启SSL的MySQL数据库进行扫描和脱敏。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权操作。 已开通RDS服务，且RDS中已有资产，且对应子网下含有可用的IP配额。 RDS实例的“状态”为“正常”。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在需要授权的数据库资产所在行的“操作”列，单击“授权”。 说明 如果只需要授权数据库实例下的某个数据库，单击数据库实例前的向下按钮，展开实例列表，单击数据库所在行的操作列的“授权”即可。 6. 在弹出的“数据库批量授权”对话框中，参考下表配置数据库参数。 参数名称 参数说明 权限设置 只读权限：只能用于敏感数据识别。 注意 创建了RDS只读权限后，DSC服务会在RDS创建一个dscreadonly帐户。 dscreadonly帐户的密码在RDS重置后，将不会自动同步到DSC服务，会导致敏感数据识别任务失败，因此，建议您不要重置该帐户密码。 如果您已在RDS里重置了dscreadonly帐户的密码，建议您在DSC服务里先删除已授权的rds实例，再重新对该实例进行权限设置。 读写权限：可使用敏感数据识别和数据脱敏功能。 资产列表 “权限设置”选择“只读权限”时，可修改需要授权的“资产名称”。 “权限设置”选择“读写权限”时，可修改需要授权的“资产名称”，必需配置访问该数据库的“用户名”和“密码”。 7. 单击“确定”，数据库添加完成，并展示在已授权的数据库列表中。 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

本文介绍QUIC协议的工作原理、应用场景、支持的QUIC类型、注意事项及配置说明等。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于HTTP协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 握手建连更快：QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

检查Flume Agent的目录权限 9.以root用户登录故障节点IP所在主机。 10.执行以下命令，进入Flume Agent的安装目录。 cd Flume 客户端安装目录/fusioninsightflume1.9.0/conf/ 11.执行ls al R命令，检查所有文件的所有者是否均是Flume Agent运行用户。 是，执行步骤12。 否，使用chown命令修改文件所有者为Flume Agent运行用户。 检查Flume Agent配置 12.执行cat properties.properties grep spooldir以及cat properties.properties grep TAILDIR命令，确认Flume Source是否是spooldir类型或TAILDIR类型，若任意一个命令有返回值，则为spooldir类型或TAILDIR类型。 是，执行步骤13。 否，执行步骤17。 13.查看数据监控目录是否存在。 是，执行步骤15。 否，执行步骤14。 说明 查看spooldir监控目录，执行命令：cat properties.properties grep spoolDir 查看TAILDIR监控目录，执行命令：cat properties.properties grep parentDir 14.指定服务器上用户自定义已经存在的数据监控目录。 15.查看Flume Agent运行用户对步骤13所指定的监控目录是否有可读可写可执行权限。 是，执行步骤17。 否，执行步骤16。 说明 使用Flume运行用户进入监控目录，若可以创建文件，这说明Flume运行用户是否对该监控目录具有可读可写可执行权限。 16.执行“chmod 777 Flume 监控目录 ”命令赋予Flume Agent运行用户对步骤13监控目录的可读可写可执行权限。 17.确认Flume Sink对接组件是否处于安全模式。 是，执行步骤18。 否，执行步骤23。 说明 若用户业务配置文件properties.properties的sink为hdfs sink、hbase sink，当配置文件中包含有keytab时，则Flume Sink对接组件处于安全模式。 若用户业务配置文件properties.properties的sink为kafka sink，当配置参数.security.protocol的值为SASLPLAINTEXT或为SASLSSL时，则Flume Sink对接的Kafka处于安全模式。 18.使用“ll ketab 路径命令 ”查看配置文件“.kerberosKeytab”参数所指的keytab认证路径是否存在。 是，执行步骤20。 否，执行步骤19。 说明 ketab路径查看方式：cat properties.properties grep keytab 19.将步骤18中kerberosKeytab参数的值指定为用户自定的keytab路径，执行步骤21。 20.执行步骤18查看Flume Agent运行用户是否有访问keytab认证文件的权限，若返回为keytab路径，则表示有权限，否则无权限。 是，执行步骤22。 否，执行步骤21。 21.执行“chmod 755 ketab 文件 ”赋予步骤19中所指定的keytab文件的可读权限, 并重启Flume进程。 22.查看告警列表中该告警是否已清除。 是，处理完毕。 否，执行步骤23。

模块 功能说明 说明 应用场景 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

Topic是否支持ACL权限配置？ Kafka实例已开启Kafka SASLSSL功能，此时Topic支持配置ACL权限。在Kafka控制台的“Topic管理”页面，在需要设置用户权限的Topic所在行，单击“设置用户权限”，为用户设置不同的权限。 具体操作请参考设置Topic权限。 消息被消费后，没有删除，导致Kafka存储空间占满？ 消息被消费后，并不会被删除，只有超过老化时间，才会被删除。 您可以通过减小老化时间或者扩容存储空间，解决此问题。 如何扩总分区？ 增加基准带宽/代理数量，可以扩大总分区数。 在Kafka控制台的实例所在行，单击“更多 > 变更规格”，进入变更规格页面，根据实际情况扩容基准带宽/代理数量。具体操作请参考变更实例规格。 修改自动创建Topic的配置，会触发重启吗？ 开启或者关闭“Kafka自动创建Topic”，会导致Kafka重启。 如何关闭自动创建Topic功能？ 1. 在Kafka控制台，单击实例名称，进入实例详情页面。 2. 在“基本信息”页面的“实例信息”区域，单击“Kafka自动创建Topic”后的，关闭自动创建Topic功能。 您可以在“后台任务管理”页签，查看关闭任务执行状态。 Kafka可以删除消费组下不用的Topic吗？ 可以删除。在Kafka客户端取消订阅该Topic，即可达到在消费组下删除该Topic的效果。 消费者消费Topic失败，提示没有权限？ 问题现象： 同一个消费组内有多个消费者，为每个消费者授权不同的Topic访问权限，某一消费者消费其中一个Topic时，提示消费失败，报错信息如下：Not authorized to access topics。 问题原因： 消费组的leader在进行分区分配时，不会考虑某一个消费者的授权和订阅信息，只会根据消费组整体的订阅情况进行分区分配，此种情况下可能会给消费者分配到未授权的Topic，从而导致了上述问题的出现。 例如：消费组中有消费者A、B、C，A订阅并授权Topic 0、Topic 1、Topic 2，B订阅并授权Topic 3、Topic 4、Topic 5，C订阅并授权Topic 6、Topic 7、Topic 8，假设以上Topic都只有一个分区，消费组的leader会根据策略进行分区分配，分配的结果可能变成：A消费Topic 0、Topic 3、Topic 6，B消费Topic 1、Topic 4、Topic 7，C消费Topic 2、Topic 5、Topic 8。此时A对Topic 3和Topic 6是没有授权的，因此会出现“Not authorized to access topics”的报错。 图消费者访问权限 处理方法： 如果业务要求所有消费者在同一个消费组内，即group.id相同，解决方法：为所有消费者授权相同的Topic访问权限。 如果消费者不需要在同一个消费组内，解决方法：修改group.id，让每个消费者单独在一个消费组内。

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

本节介绍了恢复或销毁回收站内的DCS实例的相关内容。 DCS提供了实例回收站，删除实例时开启了“是否放入回收站”的按需计费实例和退订销毁的包周期实例默认会放入回收站。用户可以对回收站内的实例进行恢复或销毁。回收站内的实例不计费，实例恢复成功后重新计费。 恢复回收站内的实例，即按照原实例规格信息、参数和功能配置重新创建一个新实例，并将原实例的备份数据恢复到新实例。 约束与限制 仅Redis 4.0及以上版本的实例支持放入回收站。 回收站内的实例仅保留7天，7天后自动从回收站内销毁。 恢复后的实例，实例ID为新ID，域名连接地址为新地址。 实例恢复后，公网访问和SSL功能默认关闭，调整过的实例带宽不支持恢复，仅支持恢复为默认带宽。 如果实例删除/退订销毁前是运行中的状态，删除/退订销毁实例时会自动备份数据（单机实例除外），用于恢复实例时的数据恢复。 如果实例删除/退订销毁前是故障或已关闭的状态，删除/退订销毁实例时不会自动备份数据，会保存该实例删除/退订销毁前最新的备份记录，用于恢复实例时的数据恢复。如果实例删除/退订销毁前没有备份记录，则无法进行数据恢复，建议定期对实例进行备份。 恢复回收站内的DCS实例 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击 ，选择区域和项目。 步骤 3 单击左侧菜单栏的“回收站”。 步骤 4 单击需要恢复的实例右侧对应的“恢复”。 步骤 5 确定需要恢复该实例后，单击“确定”。 步骤 6 在恢复已删除实例页面，确认实例信息。 如果实例删除/退订销毁前是运行中的状态，删除/退订销毁实例时会自动备份数据（单机实例除外），用于恢复实例时的数据恢复。 如果实例删除/退订销毁前是故障或已关闭的状态，删除/退订销毁实例时不会自动备份数据，会保存该实例删除/退订销毁前最新的备份记录，用于恢复实例时的数据恢复。如果实例删除/退订销毁前没有备份记录，则无法进行数据恢复，建议定期对实例进行备份。 如果回收站内的实例有备份记录，备份ID处会显示具体ID，如果实例没有备份记录，备份ID处为空。 步骤 7 配置“网络配置”和“访问管理”。 IP地址和端口默认为原实例IP和端口，如果原IP被占用，则需要自动分配和手动分配其他地址。 步骤 8 确认配置费用后单击“立即恢复”，进入实例信息确认页面。 步骤 9 确认实例信息无误后，提交请求。 步骤 10 任务提交成功后，返回缓存管理页面，当新建实例的状态显示“运行中”时，实例创建成功。 实例创建后，如果是有备份记录的实例，自动进行备份迁移，单击“数据迁移”查看该实例备份迁移任务，迁移成功后，即实例数据恢复完成。 结束

通过API方式获取密码 1. 获取创建弹性云主机时使用的私钥文件（.pem文件）。 2. 设置调用接口的环境。 3. 具体方法请联系客服或客户经理获取《弹性云主机接口参考》。 4. 获取密文密码。 调用获取密码的接口，获取密钥的公钥加密后的密文密码。该密文密码是通过RSA算法加密的。其中，URI格式为“GET /v2/{tenantid}/servers/{serverid}/osserverpassword”。 5. 解密密文密码。 通过创建云主机时使用的密钥的私钥文件对4中获取的密文密码进行解密。 使用OpenSSL工具，执行以下命令，将密文密码转换为.key nocrypt格式。 openssl pkcs8 topk8 inform PEM outform DER in rsapem.key out pkcs8der.key nocrypt 调用Java类库org.bouncycastle.jce.provider.BouncyCastleProvider，使用密钥文件，编写代码解密密文。

插件名称 功能 PostgreSQL 12 addressstandardizer 地理编码和逆向地理编码数据地址规则化。 3.0.2 addressstandardizerdataus 数据地址规则化示例数据集。 3.0.2 adminpack 提供日志文件的远程管理函数。 2 amcheck 检验索引结构的逻辑一致性。 1.2 autoinc 提供自增字段的函数。 1 bloom Bloom索引包。 1 btreegin B树gin索引包。 1.3 btreegist B树gist索引包。 1.5 citext 大小写不敏感。 1.6 cube 提供多维空间类型。 1.4 dblink 跨库连接的插件。 1.2 decoderbufs 逻辑解码器输出插件。 0.1.0 dictint 全文搜索词典模板的示例。 1 dictxsyn 全文搜索词典模板的示例。 1 earthdistance 计算地球表面上的大圆弧距离。 1.1 filefdw 服务器的文件系统中的数据文件。 1 fuzzystrmatch 字符串相似性判断。 1.1 hstore 键值存储。 1.6 insertusername 跟踪谁修改表的函数。 1 intagg 提供了一个整数聚集器和枚举器。 1.1 intarray 为整数nullfree数组提供函数和操作符。 1.2 isn 输出时连接号码。 1.2 lo 大对象被修改的触发函数。 1.1 ltree 实现树形结构的插件。 1.1 moddatetime 跟踪最后修改时间的插件。 1 orafce 兼容oracle的插件。 3.13 pageinspect 查看页的内容插件。 1.7 pgcrypto 对字段进行加密。 1.3 pgrowlocks 显示指定表的行锁定信息插件。 1.2 pgstattuple 提供表的统计信息函数。 1.5 pgrouting 依赖postgis提供地理空间路由和其他网络分析功能。 3.4.2 pgsqlhttp 用于PostgreSQL的HTTP客户端，从数据库内部检索一个网页。 1.5 pgtt 创建全局临时表。 2.3.0 pgbuffercache 查看sharedbuffer缓存信息。 1.3 pgdirtyread 闪回查询。 2.0 pgfreespacemap 检查自由空间映射。 1.2 pglogincheck 密码登录校验。 1.0 pgprewarm 将表数据缓存到内存中 1.2 pgstatstatements 语句统计。 1.7 pgtrgm 提供三元模型检索匹配。 1.4 pgvisibility 检查表的可见性图和页面级可见性信息。 1.2 pldbgapi 调试存储过程。 1.1 plpgsql 代码覆盖检测。 1.0 postgis 地理信息系统。 3.0.2 postgisraster 地理信息系统。 3.0.2 postgissfcgal 地理信息系统。 3.0.2 postgistigergeocoder 地理信息系统。 3.0.2 postgistopology 地理信息系统。 3.0.2 postgresfdw 外部的postgres的fdw插件。 1.0 seg 支持seg数据类型。 1.3 sslinfo 提供当前客户端提供的 SSL 证书的有关信息。 1.2 tablefunc 表函数。 1.0 tcn 提供触发器函数。 1.0 telepgmonitor 采集&监控系统资源的插件。 2.8.1 timescaledb 时序数据库插件。 1.7.4 tsmsystemrows 提供表采样方法。 1.0 tsmsystemtime 提供表采样时间。 1.0 uuidossp 提供脱离os的UUID函数。 1.1 walminer 闪回DML，DDL。 2.0 xml2 提供xml2数据类型。 1.1 wal2json 将wal日志转成json格式。 1.0 pgnotcopy 专业修复pg漏洞的插件。 1.1 vector 提供向量数据库的vector数据类型。 0.4.2

本章节主要介绍MySQL数据迁移到DWS。 操作场景 CDM支持表到表的迁移，本章节以MySQL>DWS为例，介绍如何通过CDM将表数据迁移到表中。流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建DWS连接 4.创建迁移作业 前提条件 已获取DWS数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有DWS数据库的读、写和删除权限。 已获取连接MySQL数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有MySQL数据库的读写权限。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群所在VPC、子网、安全组，选择与DWS集群所在的网络一致。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MySQL。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。 创建MySQL连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.选择“MySQL”后单击“下一步”，配置MySQL连接的参数。 单击“显示高级属性”可查看更多可选参数，具体请参见 配置常见关系数据库连接。这里保持默认，必填参数如下表“MySQL连接参数”所示。 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100 3.单击“保存”回到连接管理界面。 说明 如果保存时出错，一般是由于MySQL数据库的安全设置问题，需要设置允许CDM集群的EIP访问MySQL数据库。

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

本文将介绍上传HTTPS证书时提示上传失败是什么原因。 Web应用防火墙（边缘云版）支持上传客户自有的HTTPS证书，一般证书上传失败主要有以下几种原因： 证书格式错误 当前只支持PEM格式的证书上传，上传证书失败往往是证书格式错误的原因，请仔细核对证书格式再重新上传。 PEM格式证书文件示例： PEM格式证书私钥示例： 证书与密钥不匹配 请检查证书的证书文件私钥文件的MD5值是否相同，如果MD5值不同则表明证书文件和私钥文件内容不匹配。 您可以执行openssl x509 noout modulus in openssl md5命令，分别查看证书文件和私钥文件的MD5值，如果MD5值不同请检查证书内容确认MD5一致后再重新上传。

$%^&+中的4种类型字符。 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。 操作步骤 1.以omm用户登录集群任意管理节点。 2.选择证书和密钥文件的生成方式： 若由证书管理员生成，请在管理节点omm用户目录保存申请的证书文件与密钥文件。 说明 若获取的证书文件格式不是“.crt”，密钥文件格式不是“.key”，执行以下命令修改： mv 证书名称.证书格式 证书名称 .crt mv 密钥名称.密钥格式 密钥名称 .key 例如，将证书文件命名为“ca.crt”，密钥文件命名为“ca.key”： mv server.cer ca.crt mv serverkey.pem ca.key 若由系统管理员生成，执行以下命令在管理节点omm用户目录生成证书文件和密钥文件： a. 生成密钥文件： openssl genrsa out 密钥名称 .key aes256 2048 sha256 说明 对于SUSE 15、Centos7.6和EulerOS 2.8系统，需使用如下命令生成密钥文件： openssl genrsa out密钥名称.key aes256 2048 例如，生成密钥文件“ca.key”： openssl genrsa out ca.key aes256 2048 sha256 根据提示信息连续输入两次password，并按回车键确认。 Enter pass phrase for ca.key: Verifying Enter pass phrase for ca.key: b. 生成证书文件： openssl req new x509 days 1825 key 密钥名称 .key out 证书名称 .crt subj "/Ccn/STguangdong/Lshenzhen/Oxxx/OUxxx/CNxxx" sha256 例如，生成证书文件“ca.crt”： openssl req new x509 days 1825 key ca.key out ca.crt subj "/Ccn/STguangdong/Lshenzhen/Oxxx/OUxxx/CNxxx" sha256 根据提示信息输入密钥文件的密码 password ，并按回车键确认。 Enter pass phrase for ca.key: 3.执行以下命令在管理节点omm用户目录保存访问密钥文件的密码。 sh ${BIGDATAHOME}/omserver/om/sbin/genPwFile.sh 根据提示信息连续输入两次 password ，并按回车键确认。password加密后保存在“password.property”。 Please input key password: Please Confirm password: 说明 在登录节点生成的“password.property”文件只适用于当前节点所属的集群，不能用于其他集群。 4.执行以下命令打包三个文件为tar压缩包，并保存在本地。 tar cvf 压缩包名证书名称 .crt 密钥名称 .key password.property 例如，tar cvf test.tar ca.crt ca.key password.property 5.登录FusionInsight Manager系统，选择“系统 > 证书”。 6.在“上传证书”区域单击文件选择按钮，在文件窗口中浏览已获取的证书文件tar压缩包并打开压缩包文件，单击“上传文件”，系统将自动完成导入。 7.导入完成后提示同步集群配置并重启WEB服务使新证书生效，单击“确定”。 8.在弹出的管理员确认窗口输入密码，单击“确定”自动同步集群配置并重启WEB服务。 9.重启完成后在浏览器地址栏中，输入并访问FusionInsight Manager的网络地址，验证能否正常打开页面。 说明 企业证书有效时间已过期或安全性加强，MRS更换为新的证书后，请同步更换本地证书。 10.在“集群”下拉列表中单击需要操作的集群名称。 11.选择“更多 > 重启”，在弹出窗口中输入当前登录的用户密码确认身份，然后单击“确定”。 说明 更换CA证书后，需离线重启集群使证书生效，不支持滚动重启。 12.在确认重启集群的对话框中单击“确定”。

本文介绍了RDSPostgreSQL的功能概览。 RDSPostgreSQL产品功能概览帮助您快速了解产品功能的支持情况。单机实例、主备实例、只读实例介绍请您参考产品介绍实例说明实例系列。 表1 产品功能概览 功能模块 产品功能 单机实例 主备实例 一主两备实例 规格 节点数 1 2 3 规格 规格配置 CPU：最高64核 内存大小：最高512 GB 数据盘：最高32768 GB CPU：最高64核 内存大小：最高512 GB 数据盘：最高32768 GB CPU：最高64核 内存大小：最高512 GB 数据盘：最高32768 GB 计费模式 自助开通 支持 支持 支持 计费模式 计费模式类型 按需、包年/包月 按需、包年/包月 按需、包年/包月 计费模式 按需、包年/包月互转 支持 支持 支持 实例操作 开通实例 支持 支持 支持 实例操作 注销实例 支持 支持 支持 实例操作 暂停 支持 支持 支持 实例操作 续期 支持 支持 支持 实例操作 重启 支持 支持 支持 实例操作 主备切换 不支持 支持 支持 实例操作 小版本升级 支持 支持 支持 实例操作 修改端口 支持 支持 支持 实例操作 系列升级 仅支持升级 仅支持升级 不支持 实例操作 配置变更 CPU和内存支持升规格、降规格 云盘仅支持扩容 CPU和内存支持升规格、降规格 云盘仅支持扩容 CPU和内存支持升规格、降规格 云盘仅支持扩容 实例操作 实例回收站 支持 支持 支持 实例操作 标签设置 支持 支持 支持 实例设置 修改管理员密码 支持 支持 支持 实例设置 内核参数 支持200多个内核参数修改 支持200多个内核参数修改 支持200多个内核参数修改 实例设置 空闲连接查杀 支持 支持 支持 实例设置 清理在线表 支持 支持 支持 实例设置 账号管理 支持 支持 支持 实例设置 数据库管理 支持 支持 支持 数据库代理 数据库代理 不支持 支持 支持 只读实例 只读实例 支持，单实例最多可订购5个只读实例 支持，单实例最多可订购5个只读实例 支持，单实例最多可订购5个只读实例 访问 安全组 支持 支持 支持 访问 云主机访问 仅支持同一VPC访问 仅支持同一VPC访问 仅支持同一VPC访问 访问 ipv4/ipv6 支持 支持 支持 访问 公网访问（绑定与解绑弹性IP） 支持 支持 支持 备份 全量/增量备份 支持 支持 支持 备份 自动/手动备份 支持 支持 支持 备份 跨域备份 支持 支持 支持 备份 数据同步方式修改 不支持 支持 支持 恢复 备份集恢复 支持 支持 支持 恢复 指定时间点恢复 支持 支持 支持 恢复 跨域恢复 支持 支持 支持 指标监控 仪表盘 支持 支持 支持 指标监控 资源监控 支持 支持 支持 指标监控 引擎监控 支持 支持 支持 日志监控 慢日志 支持 支持 支持 日志监控 错误日志 支持 支持 支持 操作监控 操作监控 支持 支持 支持 告警 监控告警 支持 支持 支持 数据安全 白名单管理 支持 支持 支持 数据安全 SQL审计 支持 支持 支持 数据安全 SSL链路加密 支持 支持 支持 参数组管理 参数组管理 支持 支持 支持 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 。

实现原理 通过创建INDEPENDENT属性的用户来实现。 操作步骤 1.使用系统管理员dbadmin连接DWS数据库。 2.执行以下SQL语句创建私有用户u1。 CREATE USER u1 WITH INDEPENDENT IDENTIFIED BY "password"; 3.使用u1重新连接DWS数据库，创建测试表，并插入数据。 CREATE TABLE test (id INT, name VARCHAR(20)); INSERT INTO test VALUES (1, 'joe'); INSERT INTO test VALUES (2, 'jim'); 4.切换成dbadmin用户重新连接DWS数据库，并执行以下SQL语句验证是否可以访问，结果提示无权访问。 SELECT FROM u1.test; 5.执行控制语句DROP，仍然可以删除成功。 DROP TABLE u1.test; 如何REVOKE某用户的connect on database权限？ DWS提供了一个隐式定义的拥有所有角色的组PUBLIC，所有创建的用户和角色默认拥有PUBLIC所拥有的权限。要撤销或重新授予用户和角色对PUBLIC的权限， 可通过在GRANT和REVOKE指定关键字PUBLIC实现。 DWS会将某些类型的对象上的权限授予PUBLIC。默认情况下，对表、表字段、序列、外部数据源、外部服务器、模式或表空间对象的权限不会授予PUBLIC，而以下这些对象的权限会授予PUBLIC：数据库的CONNECT权限和CREATE TEMP TABLE权限、函数的EXECUTE特权、语言和数据类型（包括域）的USAGE特权。当然，对象拥有者可以撤销默认授予PUBLIC的权限并专门授予权限给其他用户。为了更安全，建议在同一个事务中创建对象并设置权限，这样其他用户就没有时间窗口使用该对象。另外，这些初始的默认权限可以使用ALTER DEFAULT PRIVILEGES命令修改。 可参考以下示例，REVOKE某用户的connect on database权限： 1.执行以下命令连接DWS 集群的默认数据库postgres： gsql d postgres h 192.168.0.89 U dbadmin p 8000 r 根据界面提示输入密码后，显示如下信息表示gsql工具已经连接成功： postgres> 2.创建用户u1。 CREATE USER u1 IDENTIFIED BY 'password'; CREATE USER 3.确认u1正常访问。 gsql d postgres h 192.168.0.89 U u1 p 8000 W password r gsql ((GaussDB 8.1.0 build be03b9a0) compiled at 20210312 14:18:02 commit 1237 last mr 2001 release) SSL connection (protocol: TLSv1.3, cipher: TLSAES128GCMSHA256, bits: 128) Type "help" for help. 4.撤销public的connect on database权限。 gsql d postgres h 192.168.0.89 U dbadmin p 8000 r postgres> REVOKE CONNECT ON database gaussdb FROM public; REVOKE 说明 若直接使用revoke connect on database postgres from u1命令撤销u1用户的权限不会生效，因为数据库的CONNECT权限授予了PUBLIC，需指定关键字PUBLIC实现。 5.验证结果，显示如下内容表示用户u1的connect on database权限已成功撤销。 gsql d postgres h 192.168.0.89 U u1 p 8000 gsql: FATAL: permission denied for database "gaussdb" DETAIL: User does not have CONNECT privilege.

功能 说明 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源协议指边缘加速节点回源站请求资源时使用的协议。配置该功能后，边缘加速节点将根据指定的协议回源。边缘加速支持HTTP回源协议、HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 当源站同时服务多个站点，且回源站点与加速域名不同时，您需要配置回源HOST，天翼云边缘加速产品在回源时会根据配置的回源HOST信息去访问对应站点。 如果一个源站IP地址绑定多个域名，且边缘加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源URI改写可以实现在用户请求回源时对回源URI进行改写，配置回源URI改写功能后，边缘加速节点向源站发起回源请求时将使用改写后的URI。 回源参数改写功能可改写回源请求URL中的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 配置301/302跟随回源功能后，边缘加速节点会代替用户去处理源站响应的301/302状态码内容，即边缘加速节点会直接跳转到源站301/302响应中的Location地址请求资源，不会把源站响应的301/302跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 回源超时时间 回源请求超时时间是指在代理服务器向上游服务器（源服务器）发起请求时，等待接收上游服务器的响应所允许的最长时间，这个超时时间的设置对于应对上游服务器响应慢、连接问题或者其他异常情况至关重要。 加速域名的回源地址可以使用客户自有源站或者天翼云

场景描述 在某些情况下，您可能需要将Kafka开启公网访问。以下是一些可能的场景描述： 跨地域数据传输：如果您有多个位于不同地理位置的数据中心或云服务提供商，您可能希望在它们之间传输数据。通过将Kafka开启公网访问，您可以轻松地在不同地区之间进行数据传输。 跨组织数据共享：如果您需要与其他组织或合作伙伴共享数据，而且这些组织不在同一个网络环境中，您可以将Kafka开启公网访问，以便安全地共享数据。 远程访问和监控：有时候，您可能需要从外部网络访问和监控Kafka集群。通过配置Kafka开启公网访问，您可以远程连接到Kafka集群，监控其运行状态，并执行必要的管理操作。 请注意，在设置Kafka开启公网访问时，确保采取适当的安全措施，比如使用安全组或者用户权限来限制访问权限，以保护Kafka集群的安全性。 约束与限制 开启公网访问功能只支持绑定IPv4弹性IP地址，不支持绑定IPv6弹性IP地址。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“实例详情”后找到如下接入点信息模块。 （5）点击右上角“添加路由策略”按钮，选择“公网接入”方式。 （6）需要为每个节点设置对应的弹性IP地址，点击其右侧的“绑定”按钮，在弹窗中选择某个弹性IP绑定。如果没有足够数量的弹性IP地址，可参考申请弹性IP购买弹性IP地址。 （7）点击刷新按钮查看弹性IP绑定状态，待所有节点都绑定弹性IP后点击“确定”按钮下发开启公网后台任务。 （8）当实例状态重新变为“运行中”后，表示开启公网访问成功。 （9）开启公网访问后，需要设置好对应的安全组规则 才能成功连接Kafka，设置规则参考如下: 安全组参考规则（先判断安全组的出/入方向是否放通了对弹性ip地址的访问，如果没有，可以参考如下规则配置）： 方向 协议 类型 端口 远端(源地址) 说明 入方向 TCP IPv4 Kafka公网接入端口(8094)，或更大范围 Kafka客户端所在的IP地址或地址组 通过公网访问Kafka （10）如果创建了 网络ACL规则 ，则ACL规则也需要正确配置才能成功连接Kafka，设置规则参考如下: 网络ACL参考规则（先判断网络ACL的出/入方向是否放通了客户端地址的访问，如果没有，可以参考如下规则配置）： 方向 协议 IP版本 策略 源地址 源端口范围 目的地址 目的端口范围 描述 入方向 TCP IPv4 允许 Kafka客户端所在的IP地址或地址组 165535 VPC IP地址组 Kafka公网接入端口(8094)，或更大范围 控制入方向ACL规则 出方向 TCP IPv4 允许 VPC IP地址组 Kafka公网接入端口(8094)，或更大范围 Kafka客户端所在的IP地址或地址组 165535 控制出方向ACL规则 （11）连接Kafka可以根据开启公网访问时选择的SASLPLAINTEXT或SASLSSL协议接入。

本文主要介绍 创建流控。 操作场景 本章节指导您在控制台对用户/客户端/Topic进行流量控制，控制生产/消费消息的上限速率。 用户/客户端的流控作用范围是整个broker，Topic的流控作用范围是指定Topic。 操作影响 当流控值达到上限后，会导致生产/消费的时延增大。 设置的流控值较小且生产者速率较大时，可能会造成生产超时、消息丢失，导致部分消息生产失败。 初始生产/消费的流量较大，如果设置一个较小的流控值，会导致生产/消费的时延增大、部分消息生产失败。建议逐次减半设置流控值，待生产/消费稳定后继续减半设置，直到设置为目标流控值。例如初始生产流量100MB/s，可先设置生产流控为50MB/s，待稳定后再修改为25MB/s，直到目标流控值。 前提条件 如果需要对用户进行流量控制，请在创建Kafka实例时，开启SASLSSL功能。然后在控制台的“用户管理”页面，获取用户名。 如果需要对指定客户端进行流量控制，请在客户端配置中获取client ID。 如果需要对指定Topic进行流量控制，请在控制台的“Topic管理”页面，获取Topic名称。 创建用户/客户端流控 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 在左侧导航栏单击“流控管理 > 流控列表”，进入流控列表页面。 步骤 6 在页面顶端单击“User/Client”，进入“User/Client”页签。 步骤 7 在页面左上角单击“创建流控”，弹出“创建流控”对话框。 步骤 8 设置流控参数。 表 流控参数说明 参数名称 说明 用户名 输入指定用户名，对此用户进行流控。如果需要对所有用户进行流控，在“用户名”后，单击“选择默认”。流控创建完后，无法修改“用户名”。 客户端ID 输入指定客户端ID，对此客户端进行流控。如果需要对所有客户端进行流控，在“客户端ID”后，单击“选择默认”。流控创建完后，无法修改“客户端ID”。 生产上限速率 设置生产上限速率，单位为MB/s。为空时，表示不设置速率。 消费上限速率 设置消费上限速率，单位为MB/s。为空时，表示不设置速率。 说明 未开启SASL的实例，在“创建流控”对话框中，不显示“用户名”。 “用户名”和“客户端ID”不可同时为空。 “生产上限速率”和“消费上限速率”不可同时为空。 步骤 9 单击“确定”，跳转到“后台任务管理”页面，当流控任务的“状态”为“成功”时，表示流控创建成功。 进入“流控管理 > 流控列表”页面，在“User/Client”页签中，单击页面右上角的“仅设置了用户名”/“仅设置了客户端ID”/“设置了用户名和客户端ID”，输入新创建的流控名称，单击，查看新创建的流控。 图 查看新创建的流控

安装远程桌面服务和RD授权 远程桌面服务安装和配置 1 选择“服务器管理器 > 角色 > 添加角色”。 2 勾选“远程桌面服务”，单击“下一步”。 3 单击“下一步”。 4 单击“下一步”。 5 选择“始终安装远程桌面会话主机”，单击“下一步”。 6 选择“角色服务”，勾选“远程桌面会话主机”和“远程桌面授权”，单击“下一步”。 7 单击“下一步”。 8 选择“不需要使用网络级别身份认证”，单击“下一步”。 9 选择“以后配置”，单击“下一步”。 10 界面默认显示的“Administrators”能够连接到RD会话主机服务器（如果有特别需要，请添加需要的用户或组），单击“下一步”。 11 单击“下一步”。 12 单击“下一步”。 13 选择“稍后为SSL加密选择证书”，单击“下一步”。 14 选择“以后”，单击“下一步”。 15 默认，单击“下一步”。 16 选择“角色服务”，勾选“网络策略服务器”，单击“下一步”。 17 安装IIS，单击“下一步”。 18 默认，单击“下一步”。 19 默认，单击“安装”。 20 界面显示安装过程，请等待。 21 安装完成后，单击“关闭”，弹出重启服务器提示框，选择“是”自动重启服务器，单击“下一步”。 22 服务器重启后，登录会自动弹出角色服务配置窗口，自动配置完成后单击“关闭”。 23 选择“开始 > 管理工具 > 远程桌面服务 > 远程桌面会话主机配置”，在右侧窗口中双击“限制每个用户只能进行一个会话”，在“属性”中取消勾选“限制每个用户只能进行一个会话”，单击“确定”。

本节主要介绍产品咨询类问题 区域和可用区 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 图阐明了区域和可用区之间的关系。 区域和可用区 如何选择区域？ 建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 如何选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 什么是数据库复制 数据复制服务（Data Replication Service，简称DRS）是一种易用、稳定、高效、用于数据库实时迁移和数据库实时同步的云服务。 数据复制服务围绕云数据库，降低了数据库之间数据流通的复杂性，有效地帮助您减少数据传输的成本。 您可通过数据复制服务快速解决多场景下，数据库之间的数据流通问题，以满足数据传输业务需求。 实时迁移 实时迁移是指在数据复制服务器能够同时连通源数据库和目标数据库的情况下，只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程，再通过多项指标和数据的对比分析，帮助确定合适的业务割接时机，实现最小化业务中断的数据库迁移。 实时迁移支持多种网络迁移方式，如：公网网络、VPC网络、VPN网络和专线网络。通过多种网络链路，可快速实现跨云平台数据库迁移、云下数据库迁移上云或云上跨区域的数据库迁移等多种业务场景迁移。 特点：通过增量迁移技术，能够最大限度允许迁移过程中业务继续对外提供使用，有效的将业务系统中断时间和业务影响最小化，实现数据库平滑迁移上云，支持全部数据库对象的迁移。 备份迁移 由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据复制服务提供的备份迁移，通过将源数据库的数据导出成备份文件，并上传至对象存储服务，然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下，实现数据迁移。 常用场景：云下数据库迁移上云。 特点：云服务无需碰触源数据库，实现数据迁移。 实时灾备 为了解决地区故障导致的业务不可用，数据复制服务推出灾备场景，为用户业务连续性提供数据库的同步保障。您可以轻松地实现云下数据库到云上的灾备、跨云平台的数据库灾备，无需预先投入巨额基础设施。 数据灾备支持两地三中心、两地四中心灾备架构。

本小节介绍入门实践。 当您为主机开启安全防护后，可以根据业务需求使用HSS提供的一系列常用实践。 实践 描述 漏洞修复 []( 2020年4月15日，Git发布安全通告公布了一个导致Git用户凭证泄露的漏洞（CVE20205260）。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。当URL中包含经过编码的换行符（%0a）时，可能将非预期的值注入到credential helper的协议流中。受影响Git版本对恶意URL执行git clone命令时，会触发此漏洞，攻击者可利用恶意URL欺骗Git客户端发送主机凭据。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 SaltStack远程命令执行漏洞（CVE202011651/CVE202011652） Saltstack是基于python开发的一套C/S自动化运维工具，国外安全研究人员披露其中存在身份验证绕过漏洞（CVE202011651）和目录遍历漏洞（CVE202011652）漏洞，攻击者利用这些漏洞可实现远程命令执行、读取服务器上任意文件、获取敏感信息等。 本实践介绍通过HSS检测与修复这些漏洞的建议。 漏洞修复 OpenSSL高危漏洞（CVE20201967） OpenSSL安全公告称存在一个影响OpenSSL 1.1.1d、OpenSSL 1.1.1e、OpenSSL 1.1.1f的高危漏洞（CVE20201967），该漏洞可被用于发起DDoS攻击。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( Font Manager库远程代码执行漏洞（CVE20201020/CVE20200938） 当Windows Adobe Type Manager库未正确处理经特殊设计的多主机Adobe Type 1 PostScript格式字体时，Microsoft Windows中存在远程代码执行漏洞。对于除Windows 10之外的所有系统，成功利用此漏洞的攻击者可以远程执行代码。对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( CryptoAPI欺骗漏洞（CVE20200601） Windows CryptoAPI欺骗漏洞（CVE20200601）影响CryptoAPI椭圆曲线密码（ECC）证书检测机制，致使攻击者可以破坏Windows验证加密信任的过程，并可以导致远程代码执行。 本实践介绍通过HSS检测与修复该漏洞的建议。 勒索病毒防护 []( 勒索病毒攻击已成为当今企业面临的最大安全挑战之一。攻击者利用勒索病毒加密锁定受害者的数据或资产设备，并要求受害者支付赎金后才解锁数据，也存在即使受害者支付赎金也无法赎回数据情况。 为了预防勒索病毒攻击，避免被勒索面临巨大的经济损失风险，您可以使用“HSS+CBR”组合为服务器做好“事前、事中、事后”的勒索病毒防护。

有没有自带特定应用（比如OpenVPN、PyTorch）的镜像？ 公共镜像是标准镜像，为最小化的系统，因此不带有OpenVPN、PyTorch等特定应用。如果用户需要，可以在云主机上安装需要的应用，再通过云主机创建私有镜像的方式实现，可参考通过云主机创建系统盘镜像；或者用户通过自己制作带有特定应用的镜像导入云平台使用，可参考通过镜像文件创建系统盘镜像。 如何扩大镜像的配额？ 由于私有镜像为免费产品，避免过度滥用导致存储资源的浪费，默认的私有镜像数量上限为10个，如果想要更大的数量，可以在服务配额界面单击“申请扩大配额”,进入工单页面，以提工单的形式提出增加镜像配额的申请。 镜像和备份有什么区别？ 备份是将云主机或者云硬盘某一时间节点的状态、配置和数据信息保存下来，以供故障时进行恢复，其目的是为了保证数据安全，提升高可用性。 镜像相当于云主机的“装机盘”，它提供了启动云主机所需的所有信息，其目的是为了创建云主机，批量部署软件环境。系统盘镜像包含运行业务所需的操作系统、应用软件，数据盘包含业务数据。整机镜像是系统盘镜像和数据盘镜像的总和。

本页为其他云MySQL迁移到RDS for MySQL的具体操作流程。 1、购买DTS迁移实例 购买实例入口请参考订购数据迁移实例文档。 其他云MySQL迁移到RDS for MySQL的相关配置为： 在订购页面，实例类型选择"数据迁移"，网络接入类型选择"公网EIP"，数据库类型选择"MySQL"，目标库实例请选择需要将数据迁移至该库的RDS for MySQL实例，完成页面信息的选择和设置后，完成迁移实例的购买。 2、配置实例 开通实例后，在【数据迁移】实例列表页面中，实例处于“待配置”状态，先点击“绑定弹性IP”按钮完成公网弹性IP的绑定，然后再点击该实例操作列的“实例配置”按钮。 3、配置源库及目标库信息 进入实例配置页面的第一步，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。 还可以选择连接方式为 SSL安全连接 ，此时需要上传正确的证书文件。 完成上述信息的填写后可以进行数据库的连接测试，测试数据库能否正常连接。 4、选择迁移对象 所有信息填写正确后，点击检测连通性并下一步按钮，进入配置同步对象及高级配置页面，选择要迁移的源库对象。 各配置及说明如下： 配置 说明 任务步骤 如果只需要进行全量迁移，请同时勾选库表结构迁移和全量迁移 。 如果需要进行不停机迁移，请同时勾选库表结构迁移 、全量迁移和增量迁移 。 注意： 如果未选择增量迁移，为保障数据一致性和任务正常运行，数据迁移期间请勿在源实例中执行DML和DDL操作。 迁移对象 当前源库为MySQL的情况下，支持表、视图、函数、存储过程四种类型对象的迁移。 在迁移对象框中单击待迁移的对象，然后单击>将其移动到已选择对象框。已选择对象可以通过单击 <将对象回退。 选择迁移对象时，如不展开库的详细信息，则表示整库迁移，后续在增量任务过程中，可在源库创建新表，其他类型暂不支持。 映射名称更改 支持库表列三级名称映射，如需更改单个迁移对象在目标实例中的库名、表名和列名，选择对象，然后点击编辑按钮。 如需批量更改迁移对象在目标实例中的库名、表名，请单击已选择对象方框右上方的“批量编辑”。 过滤待迁移数据 支持设置where条件过滤数据，过滤条件不允许;和字符，如需使用引号，请使用单引号(')，只有满足where条件的数据才会迁移到目标库。 增量同步的DML 选择增量同步DML操作，选中迁移对象，点击“编辑”，在弹跳框中选择所需增量迁移的DML操作。若在数据库级别和表级别都指定了DML操作，则表级别的设置会覆盖库级别的。 增量同步的DDL 增量同步的DDL操作仅支持CREATE INDEX、DROP INDEX、ALTER TABLE和DROP TABLE，如果是整库迁移或同步，支持CREATE TABLE。 是否定时开始任务 同步任务可在指定的时间启动。 注意 若迁移任务仅包含结构迁移和全量迁移，支持列映射名称更改，若迁移任务包含增量迁移，不允许列映射名称更改。 库表名仅支持字母、数字和下划线，长度不超过64个字符。

本文介绍域名管理模块所涉及的功能。 概述 通过对域名管理相关的功能模块进行概括性介绍，方便您全面了解当前天翼云CDN加速已支持的相关功能以及指引您快速找到对应功能的介绍入口，更快上手。 模块简介 相关管理模块简介如下： 域名管理模块 说明 批量配置域名 介绍当客户多个域名需要配置，而配置值又是相同的情况，这时可以使用批量配置域名功能。 域名操作日志 介绍CDN域名操作记录，它是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 标签管理 介绍标签组和标签的用途和用法，包括创建，删除，关联域名等。 基础配置 介绍域名基础配置，包括域名归属权验证、加速类型选定、加速区域选定、IPv6开关。 回源配置 介绍CDN回源相关的功能和配置，包括源站配置、回源协议、回源端口、默认回源HOST、指定源站回源HOST、回源SNI、回源HTTP请求头、回源URI改写、回源302/301跟随、区分IPv4/IPv6回源、分区域分运营商回源、回源参数改写、Common Name白名单、私有Bucket回源、高级回源、回源超时时间等。 头部修改 介绍头部修改相关配置，包括HTTP响应头，回源HTTP请求头，回源HTTP响应头。 HTTPS配置 介绍HTTPS相关的功能，包括HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、CDN支持的SSL/TLS加密套件等。 缓存配置 介绍缓存相关功能，包括缓存过期时间、状态码过期时间、状态码过期时间（源站优先）、缓存key设置、跨域资源共享等。 访问控制 介绍访问控制相关的功能，包括Referer防盗链、IP黑白名单、UA黑白名单、URL黑白名单、URL鉴权、远程同步鉴权、带宽控制、IP访问限频、单请求限速等策略。 文件处理 介绍文件处理相关的功能，包括文件压缩、html页面优化、html禁止操作、图片处理。 HTTP3.0(QUIC)协议 介绍HTTP3.0(QUIC)协议的适用场景和配置方法。 视频相关 介绍视频有关的功能，包括视频拖拉、视频试看、分片回源、HLS标准加密改写。 高级配置 介绍天翼云CDN加速平台高级配置，包括访问URL重定向，错误页面重定向。 业务告警 介绍天翼云CDN加速平台的业务监控指标和告警功能及其配置方法。 云备源 介绍云备源的适用场景及使用说明。 CDN镜像源 介绍镜像源功能原理及配置说明。 防攻击处理预案说明 介绍安全攻击发生时CDN平台的应急处理机制。 增值服务 介绍CDN增值服务的适用场景和申请方法。

应用框架及中间件安全测试 支持Webloigc反序列化命令执行、Bash远程解析命令执行漏洞、Websphere反序列化命令执行、Jenkins反序列命令执行、Jboss反序列化命令执行、Struts2远程命令执行、OPENSSL心脏滴血漏洞、shiro反序列化命令执行等漏洞的检测。

操作事件 字段 资源类型 SSL加密设置 modifyInstanceSSL 分布式缓存服务Redis 下载Redis历史慢日志 downloadHistorySlowLog 分布式缓存服务Redis 下载Redis慢日志 downloadSlowLog 分布式缓存服务Redis 下载Redis运行日志 downloadRedisRunLog 分布式缓存服务Redis 下载SSL证书 downloadSslCert 分布式缓存服务Redis 下载access节点信息 downloadAccessNodeDetails 分布式缓存服务Redis 下载redis节点信息 downloadRedisNodeDetails 分布式缓存服务Redis 下载redis运行日志 downloadRunLog 分布式缓存服务Redis 下载命中率分析信息 downloadKeyMisslog 分布式缓存服务Redis 下载大key、热key信息 downloadTopkeysInfo 分布式缓存服务Redis 下载大key、热key历史报告 downloadTopkeysHistoryInfo 分布式缓存服务Redis 下载实例列表 exportInstances 分布式缓存服务Redis 下载实例配置 downloadRedisConfigs 分布式缓存服务Redis 下载客户端会话列表信息 downloadClientIPinfo 分布式缓存服务Redis 下载证书 downloadCert 分布式缓存服务Redis 为Redis实例创建数据备份 createBackup 分布式缓存服务Redis 为Redis实例删除数据备份 deleteBackup 分布式缓存服务Redis 主从切换 switchInstanceHA 分布式缓存服务Redis 交换IP exchangeIp 分布式缓存服务Redis 从对象存储导入数据 importZosData 分布式缓存服务Redis 修复Aof文件格式 repaireAof 分布式缓存服务Redis 修改Redis实例的自动备份策略 modifyBackupPolicy 分布式缓存服务Redis 修改proxy集群的连接信息 editProxyConnectConfig 分布式缓存服务Redis 修改redis集群中checkBeforeSwitch配置 updateCheckBeforeSwitch 分布式缓存服务Redis 修改top key自动扫描开关 topKeySwitch 分布式缓存服务Redis 修改内网域名 changeRecordName 分布式缓存服务Redis 修改可维护时间段 modifyInstanceMaintainTime 分布式缓存服务Redis 修改实例IP白名单分组 modifySecurityIps 分布式缓存服务Redis 修改实例名 changeInstanceName 分布式缓存服务Redis 修改实例密码 modifyInstancePassword 分布式缓存服务Redis 修改实例的淘汰策略 modifyInstanceStrategy 分布式缓存服务Redis 修改实例账号 changeAccount 分布式缓存服务Redis 修改实例账号密码 modifyAccountPassword 分布式缓存服务Redis 修改实例账号描述 modifyAccountDescription 分布式缓存服务Redis 修改实例账号权限 grantAccountPrivilege 分布式缓存服务Redis 修改实例退订保护开关 changeInstanceProtectionStatus 分布式缓存服务Redis 修改实例部分信息 modifyInstanceAttribute 分布式缓存服务Redis 修改接入机配置 batchEditAccessConfig 分布式缓存服务Redis 修改数据备份磁盘类型 changeBackupDisktype 分布式缓存服务Redis 修改数据闪回开关 dataflashBackSwitch 分布式缓存服务Redis 修改自定义参数模板 editRedisTemplate 分布式缓存服务Redis 修改配置参数 modifyInstanceConf 分布式缓存服务Redis 修改配置参数 modifyInstanceConfig 分布式缓存服务Redis 修改配置参数 ModifyInstanceConfig 分布式缓存服务Redis 停止Redis节点 stopRedisNode 分布式缓存服务Redis 停止redis实例 stopRedis 分布式缓存服务Redis 停止对象存储导入任务 stopImportZosDataTask 分布式缓存服务Redis 停止数据迁移任务 stopTransferTask 分布式缓存服务Redis 关闭危险命令重命名 disableRenameCommand 分布式缓存服务Redis 关闭定时扫描过期key任务 closeScanJob 分布式缓存服务Redis 关闭定时扫描过期key任务 closeScanExpiredKeysJob 分布式缓存服务Redis 关闭弹性伸缩 closeAutoScale 分布式缓存服务Redis 创建实例 createInstance 分布式缓存服务Redis 创建实例账号 createAccount 分布式缓存服务Redis 创建数据传输任务 createOpenApiTransferTask 分布式缓存服务Redis 创建数据迁移任务 createTransferTask 分布式缓存服务Redis 创建自定义参数模板 createRedisTemplate 分布式缓存服务Redis 删除任务中心记录 delTasks 分布式缓存服务Redis 删除公共对象存储配置 delCommonS3Info 分布式缓存服务Redis 删除内网域名 deleteDnsRecord 分布式缓存服务Redis 删除分组 removeGroup 分布式缓存服务Redis 删除分组 deleteDbGroup 分布式缓存服务Redis 删除分组数据 removeGroupData 分布式缓存服务Redis 删除实例账号 deleteAccount 分布式缓存服务Redis 删除对象存储导入任务 delImportZosDataTask 分布式缓存服务Redis 删除指定会话 killSelectedClient 分布式缓存服务Redis 删除数据迁移任务 deleteTransferTask 分布式缓存服务Redis 删除白名单 deleteWhiteListItem 分布式缓存服务Redis 删除自定义参数模板 deleteRedisTemplate 分布式缓存服务Redis 包周期转按需付费 transToPrePaid 分布式缓存服务Redis 升级实例代理版本 upgradeInstanceProxyMinorVersion 分布式缓存服务Redis 升级引擎大版本 modifyInstanceMajorVersion 分布式缓存服务Redis 升级引擎小版本 upgradeInstanceMinorVersion 分布式缓存服务Redis 变更公共对象存储配置 updateCommonS3Info 分布式缓存服务Redis 变更实例AZ modifyInstanceAz 分布式缓存服务Redis 变更实例的规格 modifyInstanceSpec 分布式缓存服务Redis 同步redis主从实例数据 syncInstanceData 分布式缓存服务Redis 启动redis实例 startRedis 分布式缓存服务Redis 命令窗口批量执行命令 executeCommands 分布式缓存服务Redis 实例克隆 cloneInstance 分布式缓存服务Redis 实例开启IPV6 enableInstanceIpv6 分布式缓存服务Redis 实例续费 renewInstance 分布式缓存服务Redis 实例过期key扫描配置 autoScanExpiredKeys 分布式缓存服务Redis 实例重启 restartInstance 分布式缓存服务Redis 对实例的扩容/缩容/类型变更操作进行限制或者解限 modifyInstanceFeature 分布式缓存服务Redis 导入实例元数据 metaDataImport 分布式缓存服务Redis 导出实例节点信息 downloadInstanceNodesInfo 分布式缓存服务Redis 导出操作审计事件 exportAuditEvent 分布式缓存服务Redis 将备份文件中的数据恢复到当前Redis实例中 restoreInstance 分布式缓存服务Redis 应用参数模板到对应实例 applyTemplateToInstance 分布式缓存服务Redis 应用数据管理删除key deleteKey 分布式缓存服务Redis 应用数据管理删除value接口，针对List，Hash，Set，Sorted Set等集合类型。 deleteValue 分布式缓存服务Redis 应用数据管理更新key接口，针对Hash集合类型。 updateKey 分布式缓存服务Redis 应用数据管理更新value接口，针对List，Hash，Set，Sorted Set等集合类型。 updateValue 分布式缓存服务Redis 应用数据管理添加value接口，针对List，Hash，Set，Sorted Set等集合类型。 addValue 分布式缓存服务Redis 开启redis模块 redisModulesSwitch 分布式缓存服务Redis 开启内网域名 enableDnsRecord 分布式缓存服务Redis 开启危险命令重命名 enableRenameCommand 分布式缓存服务Redis 开启弹性伸缩 openAutoScale 分布式缓存服务Redis 开启或关闭rdb加密 rdbEncryptSwitch 分布式缓存服务Redis 异步导出实例列表 asyncExportInstances 分布式缓存服务Redis 手动主从切换 manualInstanceSwitch 分布式缓存服务Redis 手动更新Dns manualUpdateDnsForExpansion 分布式缓存服务Redis 执行redis命令 executeCommand 分布式缓存服务Redis 批量主从切换 batchMasterSlaveSwitch 分布式缓存服务Redis 批量执行命令不保存历史 executeCommandsWithoutHistory 分布式缓存服务Redis 批量退订实例 deleteInstances 分布式缓存服务Redis 按需转包周期付费 transChargeType 分布式缓存服务Redis 操作数据迁移任务 operateTransferTask 分布式缓存服务Redis 数据闪回 doDataflashBack 分布式缓存服务Redis 新增分组 addGroup 分布式缓存服务Redis 新增分组 createDbGroup 分布式缓存服务Redis 更改实例端口 modifyCachePort 分布式缓存服务Redis 更新证书 updateCertValidity 分布式缓存服务Redis 更新防火墙 updateFirewalld 分布式缓存服务Redis 添加白名单 appendWhiteList 分布式缓存服务Redis 清空实例数据 flushData 分布式缓存服务Redis 清空节点数据 delInstanceData 分布式缓存服务Redis 清空过期key flushExpireKeys 分布式缓存服务Redis 清除分组(db)数据 flushDbGroupData 分布式缓存服务Redis 清除慢日志 slowLogReset 分布式缓存服务Redis 满意度评价 satisfaction 分布式缓存服务Redis 立即扫描过期key scanExpiredKeysImmediately 分布式缓存服务Redis 绑定弹性IP bindElasticIP 分布式缓存服务Redis 节点恢复 batchRestartNode 分布式缓存服务Redis 获取备份文件的下载url getRdbDownloadUrl 分布式缓存服务Redis 覆盖原白名单分组 coverWhiteList 分布式缓存服务Redis 解绑弹性IP unBindElasticIP 分布式缓存服务Redis 设置副本优先级 updateSlavePriority 分布式缓存服务Redis 设置实例自动续费 changeAutoRenewStatus 分布式缓存服务Redis 设置读写分离开关 enableRWSep 分布式缓存服务Redis 设置读写分离的读策略 setReadPolicy 分布式缓存服务Redis 退订实例 deleteInstance 分布式缓存服务Redis 配置自动重试类型 configAutoRetryType 分布式缓存服务Redis 重启Redis节点 restartRedisNode 分布式缓存服务Redis 重启access节点 restartAccessNode 分布式缓存服务Redis 重启数据迁移任务 restartTransferTask 分布式缓存服务Redis 重新执行数据迁移任务 retryTransferTask 分布式缓存服务Redis 重置redis密码 resetRedisPwd 分布式缓存服务Redis 重置实例密码 resetInstancePassword 分布式缓存服务Redis 重置实例账号密码 resetAccountPassword 分布式缓存服务Redis

本页为本地MySQL迁移到RDS for MySQL的具体操作流程。 1、购买DTS迁移实例 购买实例入口请参考订购数据迁移实例。 本地MySQL迁移到RDS for MySQL的相关配置为： 在订购页面，实例类型选择"数据迁移"，网络接入类型选择"公网EIP"，数据库类型选择"MySQL"，目标库实例请选择需要将数据迁移至该库的RDS for MySQL实例，完成页面信息的选择和设置后，完成迁移实例的购买。 2、配置实例 开通实例后，在【数据迁移】实例列表页面中，实例处于“待配置”状态，先点击“绑定弹性IP”按钮完成公网弹性IP的绑定，然后再点击该实例操作列的“实例配置”按钮。 3、配置源库及目标库信息 进入实例配置页面的第一步，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。 还可以选择连接方式为 SSL安全连接 ，此时需要上传正确的证书文件。 完成上述信息的填写后可以进行数据库的连接测试，测试数据库能否正常连接。 4、选择迁移对象 所有信息填写正确后，点击检测连通性并下一步按钮，进入配置迁移对象及高级配置页面，选择要迁移的源库对象。 各配置及说明如下： 配置 说明 任务步骤 如果只需要进行全量迁移，请同时勾选库表结构迁移和全量迁移 。 如果需要进行不停机迁移，请同时勾选库表结构迁移 、全量迁移和增量迁移 。 注意： 如果未选择增量迁移，为保障数据一致性和任务正常运行，数据迁移期间请勿在源实例中执行DML和DDL操作。 迁移对象 当前源库为MySQL的情况下，支持表、视图、函数、存储过程四种类型对象的迁移。 在迁移对象框中单击待迁移的对象，然后单击>将其移动到已选择对象框。已选择对象可以通过单击 <将对象回退。 选择迁移对象时，如不展开库的详细信息，则表示整库迁移，后续在增量任务过程中，可在源库创建新表，其他类型暂不支持。 映射名称更改 支持库表列三级名称映射，如需更改单个迁移对象在目标实例中的库名、表名和列名，选择对象，然后点击编辑按钮。 如需批量更改迁移对象在目标实例中的库名、表名，请单击已选择对象方框右上方的“批量编辑”。 注意： 若迁移任务仅包含结构迁移和全量迁移，支持列映射名称更改，若迁移任务包含增量迁移，不允许列映射名称更改。 库表名仅支持字母、数字和下划线，长度不超过64个字符。 过滤待迁移数据 支持设置where条件过滤数据，过滤条件不允许;和字符，如需使用引号，请使用单引号(')，只有满足where条件的数据才会迁移到目标库。 增量同步的DML 选择增量同步DML操作，选中迁移对象，点击“编辑”，在弹跳框中选择所需增量迁移的DML操作。若在数据库级别和表级别都指定了DML操作，则表级别的设置会覆盖库级别的。 增量同步的DDL 增量同步的DDL操作仅支持CREATE INDEX、DROP INDEX、ALTER TABLE和DROP TABLE，如果是整库迁移或同步，支持CREATE TABLE。 是否定时开始任务 同步任务可在指定的时间启动。