本章节主要介绍DataArts Studio的购买类常见问题。 实例试用/购买成功后，可以转移到其他账号下吗？ 不可以，实例试用/购买后不能转移到另一个账户。 如需在当前添加另一个账户，请参见授权用户使用DataArts Studio。 DataArts Studio是否支持版本降级？ 已购买DataArts Studio实例后，不支持降级版本，仅支持版本升级。 如您开通了初级版，后期可根据需求升级为企业版。如您已开通企业版，则不支持降到初级版。 关于区域 什么是区域？ 我们用区域来描述数据中心的位置，您可以在特定的区域创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 如何选择区域？实例可以转移到另一个区域吗？ 建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 实例创建成功后，无法转移到另一个区域。 区域和终端节点 终端节点（Endpoint）即调用API的 请求地址 ，不同服务不同区域的终端节点不同。Endpoint可从企业管理员处获取。 用户已添加权限，还是无法查看已有的工作空间？ 请查看该工作空间下是否已添加用户，如果没有，请参考以下步骤添加该用户。 添加成员和角色 1. 登录DataArts Studio控制台，进入工作空间列表页面。 2. 单击相应工作空间列表后的“编辑”，进入成员空间页面。 3. 单击空间成员下的“添加”，在弹出的“添加成员”对话框中选择“按用户添加”或“按用户组添加”，然后从“成员账号”的下拉选项中选择用户或用户组，并设置角色。 4. 单击“确定”即可添加成功。添加完成后，您可以在空间成员列表中查看或修改已有的成员和对应角色，也可将空间成员从工作空间中删除。 DataArts Studio的工作空间可以删除吗？ 工作空间创建成功后，暂不支持删除空间的操作。 您可以将不需要的工作空间禁用，以后仍可以重新启用工作空间。

本节介绍AIuse云电脑的使用说明 计费说明 AIuse云电脑产品已开放使用，目前无需额外服务费用即可体验。 每个云电脑租户可以免费创建10个key进行体验，可用于区分不同的项目和批次来驱动云电脑执行自动化任务。 功能开通 云电脑租户管理员可以在AI云电脑（政企版）控制台的协同套件功能中选择免费使用AIuse云电脑相关服务。 1. 登录AI云电脑（政企版）控制台，选择菜单“协同套件”“AIuse云电脑”功能卡片，点击免费试用； 2. 输入租户的相关信息，包括企业信息、使用规模的信息； 3. 稍等片刻，可发现AIuse云电脑卡片已从未初始化菜单移动到已初始化菜单，代表已开通成功； 4. 点击前往试用按钮即可进入服务管理页面，创建您的AccessKey和通过标准SDK连接云电脑使用。 开通过程如遇问题，可发送邮件联系++zhangyh65@chinatelecom.cn++获取帮助

事件记录 OOS可以记录用户的管理事件以及数据操作事件，可用于支撑安全分析、合规审计和问题定位等常见应用场景。 产品能力 功能说明 操作跟踪 操作跟踪用于记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中。 日志 日志功能可以帮助记录所有Bucket和Object级别的操作记录， 您可以通过点击右边的单选框来开启/不开启用户日志功能，同时还可以通过设置目标存储桶（Bucket）和路径来指定日志的存储位置。 数据保护 OOS提供HTTPS访问、数据冗余存储、合规保留、确保数据安全可靠。 产品能力 简要说明 HTTPS访问 OOS支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 数据冗余存储 OOS支持多种冗余存储，包括Erasure Code（EC，纠删码）和多副本。在保证数据安全性的情况下，OOS会选择最优冗余存储方案进行数据存储。 数据一致性校验（MD5） OOS支持数据一致性校验，可以通过计算MD5值的方式对上传下载的数据进行一致性校验，确保数据安全。 合规保留 OOS支持WORM特性，允许用户以“不可删除、不可篡改”方式保存和使用数据。

%^+?,特殊字符。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 单击“确定”，提交重置。 单击“取消”，取消本次重置。

本文带您快速熟悉如何获取访问密钥(AK/SK)。 访问密钥即AK/SK（Access Key ID/Secret Access Key），是您通过开发工具（API、SDK）访问部分云服务平台时的身份凭证，不能登录控制台。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 获取AKSK操作说明 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。

场景 场景描述 在线加密 适用于保护小型敏感数据（小于6KB）的加解密，如密钥、证书、配置文件等。 用户的数据会通过安全信道传递到KMS服务端，服务端通过指定CMK完成加密和解密后，操作结果通过安全信道返回给用户。 信封加密 适用于海量数据的高性能加解密，如规模较大的对性能敏感的本地文件。 通过KMS生成数据密钥DEK，并返回DEK明文及经指定CMK加密的DEK密文。用户使用数据密钥DEK明文在本地进行高效的加解密处理，然后将内存中的DEK明文销毁，将DEK密文及密文文件落盘存储。

参数 说明 vers 文件存储版本，支持 NFSv3 和 NFSv4。若业务场景不含多台实例同时编辑同一文件，建议选 NFSv3 以达最优性能。 timeo NFS 客户端重传请求前等待时间（单位 0.1 秒），建议值：600。 noresvport 指定 NFS 客户端向服务端重新建立连接时用新 TCP 端口。强烈建议使用，可保障网络故障恢复后文件存储服务不中断。 lock/nolock 选是否用 NLM 协议在服务器上锁文件。选 nolock 时，锁对同主机应用有效，不同主机不受影响。建议值：nolock 。不加此参数默认 lock，会导致其他服务器无法写入。当前文件存储不支持非本地锁操作，需显式加 nolock 参数防客户端调用非本地锁致抢锁失败写入慢问题。 proto NFS 客户端向服务器传输请求用的协议，可为 UDP 或 TCP 。 挂载地址 文件存储格式：文件存储 ip:/ 路径，例如：192.168.0.10:/var/ecx/filenvmecv4lq0bkrj0lnj8u23n0 本地路径 边缘裸金属服务器上用于挂载文件存储的本地路径，例如 "/localpath"

本小节介绍微隔离防火墙服务类常见问题。 自适应微隔离Web控制台初始的登录用户名密码是什么？ 请联系400客服获取。 自适应微隔离Web控制台密码被锁定了怎么办？ 系统默认设置为密码重试4次将被锁定，一种方法是重启安装本产品云主机，密码锁定被恢复。 自适应微隔离Web控制台忘记登录密码怎么办？ 请联系客服人员进行密码重置。 如何获取并导入新的License，并使License生效？ 1. 首先需要ssh登录到安装自适应微隔离的云主机系统内。 2. 进入到/opt/dynarose/License目录内，执行genreqkey会生成license.req文件。 3. 请将文件或者文件的内容发送给我们的客服人员，客服人员会根据此文件生成授权文件license.lic文件。 4. 当得到此授权文件请将license.lic文件放置到/opt/dynarose/sysadmin/cfg/目录下，并执行此命令docker restart dynarosesysadmin1，执行成功后可在Web控制台页面查看“系统管理”的信息来校验License是否生效成功。

本页介绍天翼云TeleDB数据库网络监控相关操作。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树上，选择监控中心 > 网络监控 ，进入监控列表页面。 > 您可以在任务列表中，查看任务名称、任务启停等信息。 > 支持选择时间区间，以展示对应网络监控信息。 3. 新建网络监控 在任务列表上方，单击新建网络监控 。在对话框中，设置监控任务名称、源主机IP、目的主机IP等信息。 4. 查看网络监控详情 在任务监控列表中，找到目标任务，单击操作 列的详情 。您可以查看该任务的详细信息。 5. 查看网络监控指标 在任务监控列表中，找到目标任务，单击操作 列的监控指标 。您可以查看目标任务的监控图表集合，支持通过选择时间查询时间段内的监控图表。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b blacklistID 是 String 告警黑名单ID 46d7bc837ac45238a9342076d0b9f9f0 name 是 String 告警黑名单名称 ctyunalarmblacklist service 是 String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见" ecs dimension 是 String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 详见" ecs desc 否 String 描述 demo resources 是 Array of Objects 资源信息列表 resources contactGroupList 是 Array of Strings 联系组列表 metrics 否 Array of Strings 指标列表 startTime 否 Integer 开始时间，秒级时间戳，startTime和endTime需同时传或同时不传。 1687337384 endTime 否 Integer 结束时间，秒级时间戳，配合startTime一起使用，结束时间须大于开始时间。 1687338884

本文主要介绍云日志服务的日志管理概述。 登录云日志服务控制台，您可在日志管理页查看资源统计、日志应用、日志项目、日志单元等信息。 资源统计 资源统计展示当前账号、当前资源池下，所有日志的标准存储量、读写流量、加工流量与转储流量，以及这些指标的日环比数据。 详细信息，请参考资源统计。 日志应用 当前支持接入云主机应用文本日志与云容器引擎应用日志。详情请见接入云主机文本日志与接入云容器引擎应用日志。 日志项目列表 可查看当前创建的所有日志项目与日志单元，并可进行新建、收藏等操作。详情请见管理日志项目与管理日志单元。

本小节介绍态势感知计费说明，提供包年/包月计费模式，最少1个月，最多3年，按照标准价格6折计算，实际价格以官网为准。 计费模式 态势感知产品支持包年包月计费模式。包年包月是一种先付费后使用的计费模式。 计费项 收费标准根据版本（基础版/高级版）、待监控云主机IP数、购买时长进行收费。 计费公式 ：标准资费 待监控云主机IP数 购买时长 标准资费 支持基础版、高级版，不同版本差异请参见产品规格。 产品规格 标准资费（元/月/IP） 基础版 330 高级版 4200 优惠活动 包年订购折扣：针对一次性包年付费服务，享受一年及以上85折优惠。 优惠活动：态势感知产品订购享受6折优惠。 说明 包年订购折扣与优惠折扣不能同享，取低者计算。 计费示例 计费场景：用户需要购买基础版功能，监测服务器台数为2台，预估资源使用时长1个月。 计费示例：330元/月/IP 2台 1个月 6折优惠396元

本节主要介绍计费项与产品价格。 云容器引擎（CCE）在使用过程中涉及“容器管理集群”和“IaaS基础设施”两个部分的费用： 1、 容器管理集群： 容器集群及控制节点的资源费用。按照每个集群的规格（是否高可用）、集群规模（最大支持的工作节点数）的差异收取不同的费用。 说明 集群规模是指用户在该集群下可创建或购买的云主机/物理机最大总量。 容器管理集群价格： 集群类型 高可用 集群管理规模 按小时（元/小时） 包月（元/月） 混合集群 否 50节点 0.97 421 混合集群 否 200节点 1.88 800 混合集群 否 1000节点 3.69 1557 混合集群 是 50节点 2.91 1263 混合集群 是 200节点 5.64 2400 混合集群 是 1000节点 11.07 4671 混合集群 是 2000节点 20.93 9780.9 2、IaaS基础设施： 集群工作节点所使用的IaaS基础设施费用，包括集群创建使用过程中自动创建或手动加入的相关资源，如云主机、云硬盘、弹性IP/带宽、负载均衡等，价格参照天翼云相应产品价格说明。

检查Flume Source配置的IP所在节点与故障节点的网络状态 7.本地打开用户自定义配置文件properties.properties，搜索配置文件中是否有“type avro”关键字确认Flume Source是否是avro类型。 是，执行步骤8。 否，执行步骤11。 8.以root用户登录故障节点所在主机，执行ping Flume Source配置的IP地址命令查看对端主机是否可以ping通。 是，执行步骤11。 否，执行步骤9。 9.联系网络管理员恢复网络。 10.等待一段时间后，在告警列表中，查看告警是否清除。 是，处理完毕。 否，执行步骤11。 收集故障信息 11.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 12.在“服务”框中勾选待操作集群的“Flume”。 13.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后1小时，单击“下载”。 14.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

检查Flume Sink配置的IP所在节点与故障节点的网络状态 9.本地打开用户自定义配置文件properties.properties，搜索配置文件中是否有“type avro”关键字确认Flume Sink是否是avro类型。 是，执行10。 否，执行步骤13。 10.以root用户登录故障节点所在主机，执行ping Flume Sink配置的IP地址命令查看对端主机是否可以ping通。 是，执行步骤13。 否，执行步骤11。 11.联系网络管理员恢复网络。 12.等待一段时间后，在告警列表中，查看告警是否清除。 是，处理完毕。 否， 执行步骤13。 收集故障信息 13.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 14.在“服务”框中勾选待操作集群的“Flume”。 15.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后1小时，单击“下载”。 16.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本文简述回源SNI功能。 功能介绍 如果一个源站IP地址绑定多个域名，且天翼云边缘安全加速平台安全与加速服务使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，边缘节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认边缘节点请求的具体域名，然后返回该域名对应的SSL证书给边缘节点。 设置回源SNI后的工作流程如下： 1. 当边缘节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. 边缘节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名管理】。 3. 在【域名管理】页面，找到目标域名，单击【操作】列的【基础配置】。 4. 单击右下方【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

威胁情报类型关联布局 说明 系统内置威胁情报类型已默认关联已有布局，暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有威胁情报类型 说明 暂不支持编辑系统内置威胁情报类型。 自定义威胁情报类型新增成功后，不支持修改类型名称。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要编辑的类型，并单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 7. 在编辑页面中，编辑对应类型的参数信息。 参数名称 参数说明 类型名称 自定义威胁情报的名称。 类型标识 威胁情报标识，不支持修改。 启动状态 设置威胁情报的启动状态。 ：表示启用。 ：表示禁用。 失效时间 设置威胁情报的失效时间。 永不失效：表示当前情报类型永不失效。 时间间隔：设置情报失效的间隔时间。 描述 自定义威胁情报的描述信息。 8. 在页面右下角单击“确认”。

云搜索服务已接入云审计服务。通过云审计服务,您可以查询云搜索服务相关的操作事件,便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 创建实例 instance 查询实例详情 instance 修改实例密码 instance 扩容实例 instance 扩容存储容量 instance 扩容专属节点 instance 实例规格升配 instance 安全模式修改 instance 下载安全证书 instance 重启实例 instance 开启日志服务 instance 关闭日志服务 instance 开启审计日志 instance 关闭审计日志 instance 开启实例公网访问 instance 修改实例公网访问 instance 关闭实例公网访问 instance 开启Kibana&Cerebro公网访问 instance 修改Kibana&Cerebro公网访问 instance 关闭Kibana&Cerebro公网访问 instance 开启快照能力 snapshot 关闭快照能力 snapshot 开启自动快照 snapshot 关闭自动快照 snapshot 手动创建快照 snapshot 恢复快照 snapshot 删除指定快照 snapshot 修改参数配置 instance 安装插件 instance 卸载插件 instance 获取参数配置列表 instance 绑定ELB instance 解绑ELB instance 启用自定义词库 instance 停用自定义词库 instance 更新自定义词库 instance 缩容实例 instance

本文为您介绍通过KMS非对称密钥实现签名验签的最佳实践。 数字签名技术是非对称加密算法的另一种典型应用。数字签名分为签名和验证两个过程，消息发送者使用私钥对数据签名，消息接收者使用公钥进行签名验证。 通过密钥管理服务（KMS）创建的非对称密钥可以实现签名验签功能，签名者通过调用密码运算API使用私钥计算消息签名，同时获取公钥并分发至消息接收者，接收者使用公钥对消息进行签名验证。 场景特点 用于信任程度不对等的系统之间，实现敏感信息的安全传递。 优势 应用广泛：通过非对称密钥实现签名验签，广泛用于数据防篡改、身份认证等相关技术领域。 安全保障：支持主流的非对称密钥算法并且提供足够的安全强度，保证数字签名的安全性。 场景示意图 操作流程 1. 信息发送者通过KMS控制台或者调用CreateKey接口，创建一个非对称的用户主密钥（CMK）。 2. 信息发送者通过调用KMS的getPublicKey接口获取到公钥，并将公钥分发给消息接收者。 3. 信息发送者通过调用KMS的asymmetricSign接口，使用创建的CMK私钥对需要传输的数据生成签名。 4. 信息发送者将签名和数据传递给信息接收者。 5. 信息接收者拿到签名和数据之后，在本地通过gmssl、openssl、密码库、KMS 的国密 Encryption SDK 等验签方法，使用信息发送者分发的公钥进行验证。特殊需求场景下，也可调用KMS的asymmetricVerify接口，使用CMK进行签名校验。

使用Flink客户端（MRS 3.x及之后版本） 1.以客户端安装用户，登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3.执行如下命令初始化环境变量。 source/opt/hadoopclient/bigdataenv 4.若集群开启Kerberos认证，需要执行以下步骤，若集群未开启Kerberos认证请跳过该步骤。 a.准备一个提交Flink作业的用户。 b.登录Manager，下载认证凭据。 登录集群的Manager界面，具体请参见访问FusionInsight Manager（MRS 3.x及之后版本），选择“系统 > 权限 > 用户”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 c.将下载的认证凭据压缩包解压缩，并将得到的user.keytab文件拷贝到客户端节点中，例如客户端节点的“/opt/hadoopclient/Flink/flink/conf”目录下。如果是在集群外节点安装的客户端，需要将得到的krb5.conf文件拷贝到该节点的“/etc/”目录下。 d.将客户端安装节点的业务IP、Manager的浮动IP和Master节点IP添加到配置文件“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”中的“jobmanager.web.accesscontrolalloworigin”和“jobmanager.web.allowaccessaddress”配置项中，IP地址之间使用英文逗号分隔。 jobmanager.web.accesscontrolalloworigin: xx.xx.xxx.xxx , xx.xx.xxx.xxx ,xx.xx.xxx.xxx jobmanager.web.allowaccessaddress: xx.xx.xxx.xxx , xx.xx.xxx.xxx ,xx.xx.xxx.xxx 说明 客户端安装节点的业务IP获取方法： 集群内节点： 登录MapReduce服务管理控制台，选择“集群列表 > 现有集群”，选中当前的集群并单击集群名，进入集群信息页面。 在“节点管理”中查看安装客户端所在的节点IP。 集群外节点：安装客户端所在的弹性云主机的IP。 Manager的浮动IP获取方法： 登录MapReduce服务管理控制台，选择“集群列表 > 现有集群”，选中当前的集群并单击集群名，进入集群信息页面。 在“节点管理”中查看节点名称，名称中包含“master1”的节点为Master1节点，名称中包含“master2”的节点为Master2节点。 远程登录Master2节点，执行“ifconfig”命令，系统回显中“eth0:wsom”表示MRS Manager浮动IP地址，请记录“inet”的实际参数值。如果在Master2节点无法查询到MRS Manager的浮动IP地址，请切换到Master1节点查询并记录。如果只有一个Master节点时，直接在该Master节点查询并记录。 e.配置安全认证，在“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 security.kerberos.login.keytab: security.kerberos.login.principal: 例如： security.kerberos.login.keytab: /opt/hadoopclient/Flink/flink/conf/user.keytab security.kerberos.login.principal: test f.参考“组件操作指南 > 使用Flink > 参考 > 签发证书样例”章节生成“generatekeystore.sh”脚本并放置在Flink的客户端bin目录下，执行如下命令进行安全加固，请参考“组件操作指南 >使用Flink > 安全加固 > 认证和加密”，password请重新设置为一个用于提交作业的密码。 sh generatekeystore.sh 该脚本会自动替换“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”中关于SSL的值。 sh generatekeystore.sh 说明 执行认证和加密后会在Flink客户端的“conf”目录下生成“flink.keystore”和“flink.truststore”文件，并且在客户端配置文件“flinkconf.yaml”中将以下配置项进行了默认赋值： 将配置项“security.ssl.keystore”设置为“flink.keystore”文件所在绝对路径。 将配置项“security.ssl.truststore”设置为“flink.truststore”文件所在的绝对路径。 将配置项“security.cookie”设置为“generatekeystore.sh”脚本自动生成的一串随机规则密码。 默认“flinkconf.yaml”中“security.ssl.encrypt.enabled: false”，“generatekeystore.sh”脚本将配置项“security.ssl.keypassword”、“security.ssl.keystorepassword”和“security.ssl.truststorepassword”的值设置为调用“generatekeystore.sh”脚本时输入的密码。 g.客户端访问flink.keystore和flink.truststore文件的路径配置。 −绝对路径：执行该脚本后，在flinkconf.yaml文件中将flink.keystore和flink.truststore文件路径自动配置为绝对路径“/opt/hadoopclient/Flink/flink/conf/”，此时需要将conf目录中的flink.keystore和flink.truststore文件分别放置在Flink Client以及Yarn各个节点的该绝对路径上。 −相对路径：请执行如下步骤配置flink.keystore和flink.truststore文件路径为相对路径，并确保Flink Client执行命令的目录可以直接访问该相对路径。 i.在“/opt/hadoopclient/Flink/flink/conf/”目录下新建目录，例如ssl。 cd /opt/hadoopclient/Flink/flink/conf/ mkdir ssl ii. 移动flink.keystore和flink.truststore文件到“/opt/hadoopclient/Flink/flink/conf/ssl/”中。 mv flink.keystore ssl/ mv flink.truststore ssl/ iii. 修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.keystore: ssl/flink.keystore security.ssl.truststore: ssl/flink.truststore 5.运行wordcount作业。 须知 用户在Flink提交作业或者运行作业时，应具有如下权限： 如果启用Ranger鉴权，当前用户必须属于hadoop组或者已在Ranger中为该用户添加“/flink”的读写权限。 如果停用Ranger鉴权，当前用户必须属于hadoop组。 普通集群（未开启Kerberos认证） −执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm " sessionname " flink run/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar −执行如下命令在Yarn上提交单个作业。 flink run m yarncluster/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 安全集群（开启Kerberos认证） −flink.keystore和flink.truststore文件路径为绝对路径时： 执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm " sessionname " flink run /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar −flink.keystore和flink.truststore文件路径为相对路径时： 在“ssl”的同级目录下执行如下命令启动session，并在session中提交作业，其中“ssl”是相对路径，如“ssl”所在目录是“opt/hadoopclient/Flink/flink/conf/”，则在“opt/hadoopclient/Flink/flink/conf/”目录下执行命令。 yarnsession.sh t ssl/ nm " sessionname " flink run/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster yt ssl/ /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 6. 作业提交成功后，客户端界面显示如下。 详见下图：在Yarn上提交作业成功 详见下图：启动session成功 详见下图：在session中提交作业成功 7. 使用运行用户进入Yarn服务的原生页面，具体操作参考“组件操作指南 >使用Flink > 查看Flink作业”，找到对应作业的application，单击application名称，进入到作业详情页面 若作业尚未结束，可单击“Tracking URL”链接进入到Flink的原生页面，查看作业的运行信息。 若作业已运行结束，对于在session中提交的作业，可以单击“Tracking URL”链接登录Flink原生页面查看作业信息。 详见下图： application

本章节主要介绍MySQL数据迁移到MRS Hive分区表。 MapReduce服务（MapReduce Service，简称MRS）提供企业级大数据集群云服务，里面包含HDFS、Hive、Spark等组件，适用于企业海量数据分析。 其中Hive提供类SQL查询语言，帮助用户对大规模的数据进行提取、转换和加载，即通常所称的ETL（Extraction，Transformation，and Loading）操作。对庞大的数据集查询需要耗费大量的时间去处理，在许多场景下，可以通过建立Hive分区方法减少每一次扫描的总数据量，这种做法可以显著地改善性能。 Hive的分区使用HDFS的子目录功能实现，每一个子目录包含了分区对应的列名和每一列的值。当分区很多时，会有很多HDFS子目录，如果不依赖工具，将外部数据加载到Hive表各分区不是一件容易的事情。云数据迁移服务（CDM）可以请轻松将外部数据源（关系数据库、对象存储服务、文件系统服务等）加载到Hive分区表。 下面使用CDM将MySQL数据导入到MRS Hive分区表为例进行介绍。 操作场景 假设MySQL上有一张表tripdata，保存了自行车骑行记录，里面有起始时间、结束时间，起始站点、结束站点、骑手ID等信息，tripdata表字段定义如下图“MySQL表字段”所示。 使用CDM将MySQL中的表tripdata导入到MRS Hive分区表，流程如下： 1.在MRS Hive上创建Hive分区表 2.创建CDM集群并绑定EIP 3.创建MySQL连接 4.创建Hive连接 5.创建迁移作业

本节主要介绍权限管理 DRS要求的My SQL权限有哪些 DRS在迁移过程中，对帐号有一定的权限要求，本章节主要介绍MySQL引擎的权限要求。 权限要求 源和目标库的连接账号需要具有登录权限，如果没有该账号，可以通过如下方式创建，以user1为例。 参考语句：CREATE USER 'user1'@'host' IDENTIFIED BY 'password'; DRS的实时迁移功能的权限要求，表61中以user1为例提供参考语句。 权限要求及参考语句 功能模块 源/业务数据库 目标/灾备数据库 实时迁移 全量迁移权限要求：SELECT、SHOW VIEW、EVENT。参考语句：GRANTSELECT, SHOW VIEW, EVENTON . TO 'user1';全量+增量迁移权限要求：SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.148.0.18版本时，还需要有SESSIONVARIABLESADMIN权限。l 其中，REPLICATION SLAVE、REPLICATION CLIENT是全局权限，必须单独开启。参考语句如下：GRANTREPLICATION SLAVE, REPLICATION CLIENTON . TO 'user1';l SELECT、SHOW VIEW、EVENT、LOCK TABLES是非全局权限，参考语句如下：GRANT SELECT, SHOW VIEW, EVENT, LOCK TABLESON [待迁移数据库].TO'user1'; 全量迁移权限要求：SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。参考语句：GRANTSELECT, CREATE, ALTER, DROP, DELETE, INSERT, UPDATE, INDEX, EVENT, CREATE VIEW, CREATE ROUTINE, TRIGGERON . TO 'user1'WITH GRANT OPTION ;全量+增量迁移权限要求：SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.148.0.18版本时，还需要有SESSIONVARIABLESADMIN权限。参考语句：GRANTSELECT, CREATE, ALTER, DROP, DELETE, INSERT, UPDATE, INDEX, EVENT, CREATE VIEW, CREATE ROUTINE, TRIGGER, REFERENCESON [待迁移数据库].TO 'user1'WITH GRANT OPTION; 请在以上参考语句后执行 flush privileges; 使授权生效。 用户迁移权限要求 用户迁移时帐户需要有mysql.user的SELECT权限。 参考语句： GRANT SELECT ON mysql.user TO 'user1'@' host ' ; GRANT SELECT ON mysql.userview TO 'user1'; 目标数据库账号需要有所有库的SELECT，INSERT，UPDATE，DELETE, WITH GRANT OPTION权限。 参考语句：GRANT SELECT, INSERT, UPDATE, DELETE ON . TO 'user1' WITH GRANT OPTION ; 授权操作说明 创建用户 操作方式： CREATE USER ' username '@' host ' IDENTIFIED BY ' password '; · username：待创建的账号。 · host：允许该账号登录的主机，如果允许该账号从任意主机登录数据库，可以使用%。 · password：账号的密码。 授予相应权限 操作方式： GRANT privileges ON databasename.tablename TO ' username '@' host ' WITH GRANT OPTION ; flush privileges; · privileges：授予该账号的操作权限，如SELECT、INSERT、UPDATE等，如果要授予该账号所有权限，则使用ALL · databasename：数据库名。如果要授予该账号具备所有数据库的操作权限，则使用。 · tablename：表名。如果要授予该账号具备所有表的操作权限，则使用。 · username：待授权的账号。 · host：允许该账号登录的主机，如果允许该账号从任意主机登录，则使用%。 · WITH GRANT OPTION：授予该账号使用GRANT命令的权限，该参数为可选。

查询分析结果可以通过折线图形式进行展示。 折线图一般用于展示一组数据在某一周期内的某一个有序数据类别上的变化情况，属于趋势类的分析图表，可以清晰直观地分析数据变化的趋势。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”。 7. 选择“图表统计”页签，并在图表统计页面右侧的“图表类型”中单击。 8. 配置折线图参数。 参数类别 参数名称 参数说明 基本配置 标题 自定义线图标题名称。 图表配置 X轴标题 自定义X轴标题名称。 图表配置 Y轴标题 自定义Y轴标题名称。 图表配置 X轴字段 选择X轴显示字段。 图表配置 Y轴字段 选择Y轴显示字段。 图例配置 显示图例 确认是否显示图例。 图例配置 图例位置 开启显示图例时须配置。 图例在图表中的位置，可以配置为上、下、左和右。 图表设置完成后，左侧可预览配置后的数据分析情况。

查询分析结果可以通过柱状图形式进行展示。 柱状图是一种由矩形表示类别的数据显示方法，可以在多个数据和趋势分析之间进行清晰比较。态势感知（专业版）中，柱状图默认采用垂直柱子（即矩形块的宽度一定，高度代表数值大小）来展示数据。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”。 7. 选择“图表统计”页签，并在图表统计页面右侧的“图表类型”中单击。 8. 配置柱状图参数。 参数类别 参数名称 参数说明 基本配置 标题 自定义线图标题名称。 图表配置 X轴标题 自定义X轴标题名称。 图表配置 Y轴标题 自定义Y轴标题名称。 图表配置 X轴字段 选择X轴显示字段。 图表配置 Y轴字段 选择Y轴显示字段。 图例配置 显示图例 确认是否显示图例。 图例配置 图例位置 开启显示图例时须配置。 图例在图表中的位置，可以配置为上、下、左和右。 图表设置完成后，左侧可预览配置后的数据分析情况。

扶持政策 认证合作伙伴优惠政策： 安家费： 万元大礼包。万元代金券可用于天翼云 云主机、云存储等产品的购买。 网站展示：CTyun主页展示 认证伙伴产品或链接。 销售助力：扩容、续费可享受特殊优惠。

本节介绍了DDoS高防（边缘云版）的主要产品优势。 针对天翼云云内或云外用户业务，在遭受大流量 DDoS 攻击后，导致服务不可用时，都可以使用天翼云DDoS高防（边缘云版）服务。 与传统DDoS防护方案相比，天翼云DDoS高防（边缘云版）具有全场景支持、超强清洗能力、AI大数据协调、极简管理等优势，保障业务稳定、安全运行。 全场景支持 支持从网络层/传输层（L3/4）到应用层（L7）DDoS攻击的防护 支持IPv4/IPv6双栈协议 支持网站和非网站业务，覆盖金融、电商、游戏、政府等各类业务，充分满足用户不同业务的安全防护需求 依托天翼云攻防对抗实战经验，可为客户提供DDoS攻击演练服务，帮助用户提前发现内部潜在安全威胁，提升应急响应能力 超强清洗能力 海量边缘节点能力升级，防御总带宽超过12T 百G抗D节点支持大区粒度覆盖，根据攻击情况进行智能调度 分布式架构，减少单点故障概率，结合云原生、智能调度能力，实现资源动态扩容，有效应对业务突发和大流量攻击 根据用户需求进行规划资源，提供属地+三网的防护节点，就近接入，减少服务延迟，提高访问速度

本节介绍了创建有状态工作负载(StatefulSet)的用户指南。 基本概念 有状态工作负载：即kubernetes中的“StatefulSet”，有状态工作负载支持实例有序部署和删除，支持持久化存储，适用于实例间存在互访的场景，如ETCD、mysqlHA等。 操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载（statefulset）”。例如Mysql，它需要存储产生的新数据。因为容器可以在不同主机间迁移，所以在宿主机上并不会保存数据，这依赖于云容器引擎提供的高可用存储卷，将存储卷挂载在容器上，从而实现有状态工作负载的数据持久化。 约束与限制 当您删除或扩缩有状态负载时，为保证数据安全，系统并不会删除它所关联的存储卷。 当您删除一个有状态负载时，为实现有状态负载中的Pod可以有序停止，请在删除之前将副本数缩容到0。 您需要在创建有状态负载的同时，创建一个Headless Service，用于解决有状态负载Pod互相访问的问题，详情请参见Headless Service。 节点不可用时，Pod状态变为“未就绪”，此时需要手工删除有状态工作负载的Pod，Pod实例才会迁移到正常节点上。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有请参照集群开通中内容创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。

接口功能介绍 网页防篡改查询网页防篡改远端服务器列表 接口约束 无 URI POST /v1/tamperProof/query/remoteServerList// 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 pageSize 是 Integer currentNum 是 Integer Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 guid 是 String 服务器对应agentGuid 111111111111 likeQueryType 否 Integer 模糊查询类型 1服务器ip 2服务器名称 5agentGuid 1 likeQueryParam 否 String 模糊查询参数 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 hostname String 实例名称 testdisplayname custName String 主机名称 testservername agentGuid String agentGuid 111111111111 agentIp String 私有ip 192.168.1.1 osType String 操作系统 Linux/Windows Linux status Integer 服务器运行状态 5:运行中 其他为已关机 5 vpcName String vpc名称 testvpcname vpcId String vpcId testvpcid

本节介绍数据加密中密钥管理的功能特性。 密钥管理简介 密钥管理，即密钥管理服务（Key Management Service, KMS），是一种安全、可靠、简单易用的密钥托管服务，帮助您轻松创建和管理密钥，保护密钥的安全。 KMS通过使用硬件安全模块HSM（Hardware Security Module, HSM）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足审计和合规性要求。 功能介绍 用户可通过密钥管理界面，对用户主密钥进行以下操作： 创建、查看、启用、禁用、计划删除、取消删除用户主密钥 修改用户主密钥的别名和描述 在线工具加解密小数据 导入密钥、删除密钥材料 添加、搜索、编辑、删除标签 用户可通过密钥管理的接口执行以下操作： 对数据加密密钥进行创建、加密或解密操作 对授予的权限进行退役授权操作 生成硬件真随机数：用户可通过密钥管理的接口生成512bit的随机数，为加密系统提供基于硬件真随机数的密钥材料和加密参数。 支持的密钥算法 KMS创建的对称密钥使用的是AES256加解密算法。KMS创建的非对称密钥支持RSA和ECC算法。 KMS支持的密钥算法类型 密钥类型 算法类型 密钥规格 说明 用途 对称密钥 AES AES256 AES对称密钥 小量数据的加解密或用于加解密数据密钥。 对称密钥 SM4 SM4 国密SM4对称密钥 小量数据的加解密或用于加解密数据密钥。 非对称密钥 RSA RSA204 8RSA3072 RSA4096 RSA非对称密钥 小量数据的加解密或数字签名。 非对称密钥 ECC ECP25 6ECP384 椭圆曲线密码，使用NIST推荐的椭圆曲线 数字签名 非对称密钥 SM2 SM2 国密SM2非对称密钥 小量数据的加解密或数字签名。 通过外部导入的密钥支持的密钥包装加解密算法如下表所示： 密钥包装算法说明 密钥包装算法 说明 设置 RSAESOAEPSHA256 具有“SHA256”哈希函数的OAEP的RSA加密算法。 请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAESOAEPSHA256”加密算法，推荐使用“RSAESOAEPSHA256”加密密钥材料。 须知： “RSAESOAEPSHA1”加密算法已经不再安全，请谨慎选择。 RSAESOAEPSHA1 具有“SHA1”哈希函数的OAEP的RSA加密算法。 请您根据自己的HSM功能选择加密算法。 如果您的HSM支持“RSAESOAEPSHA256”加密算法，推荐使用“RSAESOAEPSHA256”加密密钥材料。 须知： “RSAESOAEPSHA1”加密算法已经不再安全，请谨慎选择。

参数名 类型 是否必填 名称 说明 productcode string 否 产品类型 产品类型，“007”（安全加速） domain string 是 域名

本文介绍账户里面有余额,为什么无法创建按量付费云主机。 请检查您的账户金额是否小于100元，余额不足 100 元时，天翼云不允许订购按量资源，请您及时充值。 当您的账户余额不足100元时，会收到账户余额低于 100 元的提醒。 注意 此种情况不影响包周期资源的正常使用。

本文主要介绍了账号注销的注意事项和操作流程。 用户可在“账号中心安全设置”页面，“注销账号”下进行账号注销，注销账号流程主要包括关闭账号 和注销账号。 注意事项 1、用户申请关闭账号后，需要进行账号检查，检查通过后确认关闭，账号将进入48小时关闭期，此时无法自助终止注销进程、恢复账号功能。 2、关闭期满后，账号进入90天保留期。保留期内，用户可以通过点击“恢复账号”按钮自助终止注销进程、恢复账号功能；保留期结束之后，账号将被自动注销，无法再重新打开已关闭的账号。 3、账号进入关闭期、保留期， 用户可进行登录天翼云网门户、查看账号信息和历史费用信息等常规操作，不可进行充值、订购、提现、下单、实名认证和变更等业务操作。 4、若用户不再使用天翼云账号，在账号进入保留期后，可以手动选择立即注销账号，账号注销后，用户将无法再使用该账号登录天翼云，且账号中的数据将会被彻底删除，请谨慎操作。 5、同一证件最多可以认证5个天翼云账号，含已注销3个月内的账号，请谨慎操作账号注销。 关闭账号 1、登录天翼云账号中心。 2、在账号中心点击“安全设置”，在安全设置选择下方”注销账号“，点击“关闭账号”，进入关闭账号流程。 “关闭账号”按钮置灰了，无法注销？请检查如下情况： a.账号关联了代理商：如果您的账号关联了代理商/合作伙伴，请联系代理商/合作伙伴解绑后再尝试注销账号。 b.账号为代理商账号：请联系客户经理退出代理商后再尝试注销账号。 c.如果不是上述情况，请联系客户经理协助注销账号。 3、详细阅读关闭账号的条款，阅读并勾选《天翼云账号注销条款》，以及选择关闭账号的原因。 4、进入“账号检查”页面，系统将自动对该账号进行账号检查、财务检查以及订单与资源检查，并在页面显示检查结果。 说明 若客户已进行过账号检查且账号未关闭，则可在“安全设置”页面单击“查看上次检查结果”，系统则显示上次账号检查结果。 5、根据检查结果进行相应操作 检查不通过：可根据页面提示，对未通过项进行处理，完成后可重新检查。 检查通过：点击“确认关闭”，进行身份验证，验证通过后账号进入48小时关闭期，当关闭期结束，账号将进入90天保留期。 说明 关闭账号后，需要继续使用该账号，可在账号进入保留期后返回“安全设置”页面，单击“恢复账号”，即可重新使用该账号。