本文介绍函数运行时的Web Crypto的定义与用法。 Web Crypto API为常见的加解密任务提供了一组基础函数，可通过全局crypto.subtle接口访问。 支持的算法 边缘函数计划支持Web Crypto标准的所有操作，如下表所示： Algorithm digest() generateKey() （即将支持） importKey() exportKey() （即将支持） sign() verify() encrypt() decrypt() （即将支持） wrapKey() unwrapKey() （即将支持） deriveBits() deriveKey() （即将支持） ::::::::::::::: MD5 √ SHA1 √ SHA256 √ SHA384 √ SHA512 √ HMAC √ √ √ AESCTR √ √ √ √ AESCBC √ √ √ √ AESGCM √ √ √ √ AESKW √ √ √ RSASSAPKCS1 v1.5 √ √ √ RSA PSS √ √ √ RSA OAEP √ √ √ ECDH √ √ √ ECDSA √ √ √ HKDF √ √ PBKDF2 √ √ 备注：MD5不是Web Crypto标准的一部分，但支持与需要MD5的旧系统交互。MD5被认为是一种弱算法。不要依赖MD5来保证安全。

通过后台提交作业 MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。 1.登录MRS客户端。 2.执行如下命令初始化环境变量。 source /opt/Bigdata/client/bigdataenv 3.若集群开启Kerberos认证，需要执行以下步骤，若集群未开启Kerberos认证请跳过该步骤。 a.准备一个提交Flink作业的用户。 b.使用新创建的用户登录Manager页面。 MRS 3.x之前版本，登录集群的Manager界面，选择“系统设置 > 用户管理”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 MRS 3.x及之后版本，登录集群的Manager界面，选择“系统 > 权限 > 用户”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 c.将下载的认证凭据压缩包解压缩，并将得到的user.keytab文件拷贝到客户端节点中，例如客户端节点的“/opt/Bigdata/client/Flink/flink/conf”目录下。如果是在集群外节点安装的客户端，需要将得到的krb5.conf文件拷贝到该节点的“/etc/”目录下。 d.MRS 3.x及之后版本，安全模式下需要将客户端安装节点的业务IP以及Manager的浮动ip追加到“/opt/Bigdata/client/Flink/flink/conf/flinkconf.yaml”文件中的“jobmanager.web.allowaccessaddress”配置项中，ip之间使用英文逗号分隔。 e.配置安全认证，在“/opt/Bigdata/client/Flink/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 security.kerberos.login.keytab: security.kerberos.login.principal: 例如： security.kerberos.login.keytab: /opt/Bigdata/client/Flink/flink/conf/user.keytab security.kerberos.login.principal: test f.在Flink的客户端bin目录下，执行如下命令进行安全加固，password请重新设置为一个用于提交作业的密码。 sh generatekeystore.sh 该脚本会自动替换“/opt/Bigdata/client/Flink/flink/conf/flinkconf.yaml”中关于SSL的值，针对MRS 3.x之前版本，安全集群默认没有开启外部SSL，用户如果需要启用外部SSL，进行配置后再次运行该脚本即可，配置参数在MRS的Flink默认配置中不存在，用户如果开启外部连接SSL，则需要添加下表中参数。 参数描述 参数 参数值示例 描述 security.ssl.rest.enabled true 打开外部SSL开关。 security.ssl.rest.keystore ${path}/flink.keystore keystore的存放路径。 security.ssl.rest.keystorepassword 123456 keystore的password，“123456”表示需要用户输入自定义设置的密码值。 security.ssl.rest.keypassword 123456 ssl key的password，“123456”表示需要用户输入自定义设置的密码值。 security.ssl.rest.truststore ${path}/flink.truststore truststore存放路径。 security.ssl.rest.truststorepassword 123456 truststore的password，“123456”表示需要用户输入自定义设置的密码值。 说明 针对MRS 3.x之前版本，generatekeystore.sh脚本无需手动生成。 会将生成的flink.keystore、flink.truststore、security.cookie自动填充到“flinkconf.yaml”对应配置项中。 针对MRS 3.x及之后版本，“security.ssl.keypassword”、“security.ssl.keystorepassword”和“security.ssl.truststorepassword”的值需要使用Manager明文加密API进行获取： curl k i u : X POST HContenttype:application/json d '{"plainText":" "}' 'https:// x.x.x.x :28443/web/api/v2/tools/encrypt' ；其中 要与签发证书时使用的密码一致，x.x.x.x为集群Manager的浮动IP。 g.客户端访问flink.keystore和flink.truststore文件的路径配置。 绝对路径：执行该脚本后，在flinkconf.yaml文件中将flink.keystore和flink.truststore文件路径自动配置为绝对路径“/opt/Bigdata/client/Flink/flink/conf/”，此时需要将conf目录中的flink.keystore和flink.truststore文件分别放置在Flink Client以及Yarn各个节点的该绝对路径上。 相对路径：请执行如下步骤配置flink.keystore和flink.truststore文件路径为相对路径，并确保Flink Client执行命令的目录可以直接访问该相对路径。 i.在“/opt/Bigdata/client/Flink/flink/conf/”目录下新建目录，例如ssl。 ii. 移动flink.keystore和flink.truststore文件到“/opt/Bigdata/client/Flink/flink/conf/ssl/”中。 iii. 针对MRS 3.x及之后版本，修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.keystore: ssl/flink.keystore security.ssl.truststore: ssl/flink.truststore iv. 针对MRS 3.x之前版本，修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.internal.keystore: ssl/flink.keystore security.ssl.internal.truststore: ssl/flink.truststore h.如果客户端安装在集群外节点，请在配置文件（如：“ /opt/Bigdata/client/Flink/fink/conf/flinkconf.yaml ”） 中增加如下配置值，其中xx.xx.xxx.xxx请替换为客户端所在节点的IP。 web.accesscontrolalloworigin: xx.xx.xxx.xxx jobmanager.web.allowaccessaddress: xx.xx.xxx.xxx 4.运行wordcount作业。 普通集群（未开启Kerberos认证） −执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm "sessionname" flink run /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar −执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar 安全集群（开启Kerberos认证） −flink.keystore和flink.truststore文件路径为绝对路径时： 执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm "sessionname" flink run /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar −flink.keystore和flink.truststore文件路径为相对路径时： 在“ssl”的同级目录下执行如下命令启动session，并在session中提交作业，其中“ssl”是相对路径，如“ssl”所在目录是“opt/Bigdata/client/Flink/flink/conf/”，则在“opt/Bigdata/client/Flink/flink/conf/”目录下执行命令。 yarnsession.sh t ssl/ nm "sessionname" flink run /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster yt ssl/ /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar

一级功能 二级功能 帮助文档链接 生效资源池范围 备注 监控概览 部分资源池 监控面板 全部资源池 资源分组 部分资源池 主机监控 全部资源池 云服务监控 全部资源池 云服务监控下特定产品监控需单独配置开通，如弹性文件监控、对象存储监控等 事件监控 系统事件 部分资源池 网络分析与监控 站点监控 部分资源池 当前为免费公测阶段，公测结束后会进行计费。具体计费方式关注云监控服务 网络分析与监控 一次性拨测工具 全部资源池 告警服务 告警记录 全部资源池 告警服务 告警模板 全部资源池 告警服务 告警规则 全部资源池 告警服务 告警联系人/组 全部资源池 告警服务 通知模板 部分资源池 告警服务 告警黑名单 部分资源池 告警服务 一键告警 全部资源池 告警服务 通知记录 全部资源池 智能巡检 部分资源池 任务中心 全部资源池 数据订阅 部分资源池 当前为免费公测阶段，公测结束后会进行计费。具体计费方式关注云监控服务 套餐管理 部分资源池 短信资源包已支持全部资源池，语音套餐包仅支持部分资源池

本文带您熟悉如何筛选和搜索备份策略,方便您查找已有的备份策略。 操作场景 您可以通过各种筛选条件在备份策略列表查看已有备份策略，也可以搜索已有的备份策略。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份策略”页签，点击“状态”列可筛选查看不同状态的备份策略。 备份策略各种状态的说明： 状态 状态属性 说明 全部 显示所有状态的备份策略。 启用 稳定状态 备份策略创建完成之后的稳定状态。该状态下可以执行各种操作。 停用 稳定状态 备份策略已停用，不可绑定存储库。 5. 您也可以在备份策略列表右上角的搜索框中输入要查找的备份策略名称进行搜索，搜索到的备份策略会显示在存储库列表中。

云原生API网关是否支持自有HTTPS证书？ 云原生API网关在创建HTTPS协议域名时需要选择证书，用户可自行上传证书和私钥文件，但要求证书与私钥相匹配，并且证书host与域名host相匹配。 云原生API网关请求出现401错误？ 该错误通常是由于以下两种可能原因： 网关返回说明无访问凭证。请检查是否开启了消费者认证，对于接口/路由、其所在的API和实例上开启认证后，需要携带消费者凭证才能正常请求。 后端服务返回的401。查看网关的访问日志，检查response.status状态。 导入容器服务时提示连接超时是什么原因？ 若创建容器服务时报错连接超时，请检查VPC安全组配置。

新增网站流程 系统会自动区分非天翼云主体与天翼云主体。非天翼云主体是指此次备案的主办单位之前没有在天翼云做过任何备案，我们统称之为非天翼云主体。反之，天翼云主体就是指此次备案的主办单位之前已经在天翼云处做过备案并获得了备案号。 非天翼云主体的新增网站是指本次要备案的域名未获得工信部下发的网站备案号，但是报备该域名的主体（主办单位）已经获得工信部下发的主体备案号（主体备案号是经由其他接入服务商获得的）。用户可以通过工信部网站提供的公共查询功能（https:// beian.miit.gov.cn），根据单位名称、域名进行分别查询是否已经备案，并核实您的主体备案号。 针对三证合一或五证合一的企业单位，在进行新增网站或新增接入操作时，如果之前是使用三证合一前的证件即旧证件备案并获得备案号的（但在证件三证合一后未及时进行备案变更的），那么在进行备案订单创建时，需要使用旧证件号码进行录入。因为备案订单的创建是调用管局的已备案信息库。 部分企业三证合一前的证号可通过全国企业信用信息查询网站www.gsxt.gov.cn查询获得（即工商注册号），或全国组织机构代码管理中心网站www.cods.org.cn查询。 在同一个接入商内，同一个主办单位的新增网站订单只能且仅能创建一条，在一条订单内可以同时增加多条网站信息。严禁对统一主办单位创建多条新增网站订单。 流程如下 新增网站备案的完整流程及流程简图如下图所示： 流程简图 1 创建新增网站订单 通过备案类型的自动匹配（主办单位证件号码已经获得备案号，域名未获得备案号），在系统无其他冲突数据的前提下创建订单任务，点击“查看”进入新增网站流程。 2 填写主办单位信息 填写主办单位信息，请按照页面提示，完善您本次备案的主办单位信息和单位负责人信息。主体信息除所在“省份”无法修改外，其他信息均可修改，新增网站通过后，备案主体信息将以本次备案提交的主体信息为准。 3 填写网站信息 填写网站信息按照页面提示内容进行内容填写。如您本次备案的网站涉及新闻、医药、论坛、广播电视等请准备好相关部门的审批文件并上传至“前置审批文件”处。网站负责人可以与单位主体负责人相同，您也可以使用新的负责人信息。域名录入请录入一级域名或单个专线IP地址，不支持二级域名的录入（.gov.cn后缀的域名允许二级域名备案）。每条网站仅支持填报一个域名，如果有多个域名，请通过“继续新增网站”按钮逐个添加。 如果本次备案欲备案多个网站，请通过点击“继续新增网站”来继续新增网站信息。新增网站数量暂无限制。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交预审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

添加审计范围后，您可以查看审计范围信息，启用、编辑、禁用或删除审计范围。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加审计范围。 启用、编辑和删除审计范围前，请确认审计范围的状态为“已禁用”。 禁用审计范围前，请确认审计范围的状态为“已启用”。 注意 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 查看审计范围信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要查看审计范围的实例。 6. 查看审计范围信息，相关参数说明如下所示。 在列表右上方输入审计范围名称的关键字，可以搜索指定的审计范围。 审计范围信息参数说明 参数名称 说明 名称 审计范围的名称。 例外IP 该审计范围内的白名单IP。 源IP 访问数据库的IP地址或IP地址段。 源端口 审计的IP地址端口。 数据库名称 审计范围的数据库。 数据库帐户 数据库的用户名。 状态 审计范围的状态，包括： 已启用 已禁用 根据需要，您还可以对审计范围执行以下操作： 启用 在需要启用的审计范围所在行的“操作”列，单击“启用”，数据库安全审计将对该审计范围的数据库进行审计。 编辑（仅自定义创建审计范围的支持） 在需要编辑的审计范围所在行的“操作”列，单击“编辑”，在弹出的对话框中，您可以修改审计范围。 禁用 在需要禁用的审计范围所在行的“操作”列，单击“禁用”，在弹出的对话框中，单击“确定”，可以禁用该审计范围。禁用审计范围后，该审计范围规则将不在审计中执行。 删除（仅自定义创建审计范围的支持） 在需要删除的审计范围所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，可以删除该审计范围。删除审计范围后，如果需要对该审计范围进行审计，请重新添加该审计范围。

安装 Ingress 控制器 如果您尚未安装 Ingress 控制器，可以使用以下命令安装 NGINX Ingress Controller： plaintext kubectl apply f 配置 Ingress 资源 创建一个 Ingress 资源来公开您的服务。示例 Ingress 配置如下： plaintext apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: exampleingress namespace: default spec: rules: host: http: paths: path: / pathType: Prefix backend: service: name: exampleservice port: number: 80 替换 为您的公网 DNS 名称，exampleservice 为您的服务名称。 应用 Ingress 配置： plaintext kubectl apply f exampleingress.yaml 配置 DNS 将您的公网 DNS 名称指向 Ingress 控制器的外部 IP 地址。可以在您的域名注册商处配置 DNS 记录。例如： 类型：A 名称： 值：Ingress 控制器的外部 IP 地址 验证连接 配置完成后，您可以通过公网访问您的 Kubernetes 集群和服务。例如，在浏览器中访问： 安全注意事项 认证和授权：确保 API Server 启用了适当的认证和授权机制。 网络安全：使用 HTTPS 加密流量，确保数据传输的安全性。 防火墙：仅开放必要的端口，并限制访问来源 IP。 审计日志：启用审计日志，监控和记录访问行为。 常见问题 无法访问 API Server 检查防火墙规则是否正确配置。 确认 API Server 配置中的公网 IP 和 DNS 名称正确无误。 检查 API Server 日志以获取详细错误信息。

本页为您介绍与数据传输服务DTS有关的其他服务。 与天翼云传输服务相关的服务 与天翼云数据传输服务相关的服务，如下表： 服务名称 功能相关 参考文档链接 关系数据库MySQL版 DTS可支持关系数据库MySQL版进行迁移、同步操作，包括：MySQL到MySQL、PostgreSQL及ClickHouse的迁移，MySQL到MySQL的单向、双向同步。 关系数据库MySQL版 关系数据库PostgreSQL版 DTS可支持关系数据库PostgreSQL版进行迁移、同步操作，包括：PostgreSQL到PostgreSQL、MySQL的迁移，PostgreSQL到PostgreSQL的单向、双向同步。 关系数据库PostgreSQL版 关系数据库SQL Server版 DTS可支持关系数据库SQL Server版进行迁移、同步操作，包括：SQL Server到SQL Server、PostgreSQL的迁移，SQL Server到SQL Server的同步。 关系数据库SQL Server版 文档数据库（DDS） DTS可支持文档数据库（DDS）进行迁移、同步操作，包括：MongoDB/DDS 到MongoDB/DDS的迁移和同步。 文档数据库 云数据库ClickHouse DTS可支持将MySQL数据库迁移到ClickHouse。 云数据库ClickHouse 虚拟私有云 虚拟私有云，为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 虚拟私有云 弹性IP 弹性IP是可以独立申请的公网IP地址，将弹性IP和DTS实例绑定，可使用DTS进行公网数据库迁移、同步。 弹性IP 数据管理服务 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 数据管理服务 云审计 对接云审计服务，对DTS关键操作记录提供收集、存储和查询功能，可用于支撑合规审计、安全分析、资源跟踪和问题定位等常见应用场景。 云审计 标签管理 对接标签管理，对DTS实例绑定标签，便于对实例进行查找与筛选，实现更快捷的管理。 标签管理

本章节介绍如何配置脱敏规则。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据脱敏”，并选择“脱敏规则”页签，进入脱敏规则页面。 4. 在“脱敏规则”页签中，选择合适的脱敏方式，配置脱敏规则。 “Hash脱敏”的配置方法请参考Hash脱敏。 “加密脱敏”的配置方法请参考加密脱敏。 “字符掩盖”的配置方法请参考字符掩盖。 “关键字替换”的配置方法请参考关键字替换。 “删除脱敏”的配置方法请参考删除脱敏。 “取整脱敏”的配置方法请参考取整脱敏。 Hash脱敏 将字符串类型字段用Hash值代替。在关系型数据库中，当该字段长度小于Hash长度时，会将目标库中该字段的长度与Hash值长度设置相同，保证Hash值完整写入目标库。DSC默认配置了SHA256和SHA512两种Hash脱敏的算法。 Hash脱敏为DSC内置的脱敏规则，不需要配置，如果您需要测试脱敏效果，可参考以下方法查看脱敏结果。 1. 参照操作步骤进入“脱敏规则”页面。 2. 选择“Hash脱敏”，进入Hash脱敏的页面。 3. 在选择的SHA256或SHA512算法所在列，单击“测试”。 4. 在弹出的页面中输入“原始数据”，并单击“测试”，在“脱敏结果”文本框中展示已完成脱敏的数据。

本文介绍域名绑定标签的步骤。 功能介绍 标签为域名分类管理工具，通过标签功能对具有相同属性的域名进行分类管理。本文介绍如何为域名绑定标签，实现标记域名或为域名分组。 配置说明 1. 登录边缘安全加速控制台。 2. 击左侧导航【域名】【接入管理】。 3. 域名列表里可以进行标签管理，点击新增则可以关联对应标签。 参数名 配置值 说明 请选择标签组 已创建的标签组 例如：Businesssystem。 请选择标签 已创建的标签 例如：CRM。该项不允许为空，否则将无法生效。 已选择标签 显示已选择的标签组和标签 注意事项 每个域名最多绑定20个标签。 标签选项不允许为空，否则将无法生效。 域名新增中不允许设置标签。

此小节介绍关闭实例。 当实例的“运行状态”为“运行”时，可以关闭实例。关闭实例后，将不能登录云堡垒机系统。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击云堡垒机，进入云堡垒机实例界面。 5. 在需要关闭的实例所在行，单击“操作”列中的“更多 > 关闭”。 6. 在弹出的关闭实例对话框中，单击“确定”。实例成功关闭后，实例的“运行状态”变为“关闭”。 说明 在关闭实例对话框，可选择“强制关机”，强制关闭实例可能会造成数据丢失，请确保数据文件已全部保存。

本文主要介绍如何在控制台删除消息。 操作场景 说明 消息删除后无法恢复，请谨慎操作。 前提条件 删除消息前，请先在客户端中设置“auto.offset.reset”参数。“auto.offset.reset”用来指定当Kafka中没有初始偏移量或者当前偏移量不存在（例如当前偏移量已被删除）时，消费者的消费策略。取值如下： latest：偏移量自动被重置到最晚偏移量。 earliest：偏移量自动被重置到最早偏移量。 none：向消费者抛出异常。 操作步骤 1. 登录管理控制台。 2. 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 3. 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 4. 单击Kafka实例名称，进入实例详情页面。 5. 在左侧导航栏选择“Topic管理”，进入Topic列表页面。 6. 在待删除消息的Topic所在行，单击“消息删除”，弹出“消息删除”对话框。 7. 设置消息删除参数，如下表所示。 图消息删除 表 消息删除参数说明 参数 说明 分区 选择消息所在的分区编号。 偏移量 输入偏移量，此偏移量之前的数据将被删除。 说明 如果“偏移量”设置为“1”，表示删除分区中所有的消息。 如果您输入的偏移量不在指定分区的最早偏移量和最晚偏移量之间，消息将不会被删除。 如果需要删除多个分区的消息，单击“添加分区”，设置需要删除消息的分区和偏移量。每次最多可选择10个分区。 8. 单击“确定”，弹出“清理结果”对话框，单击“确定”，完成消息的删除。 图 清理结果

本章节主要介绍使用ZooKeeper的操作指导。 前提条件 已安装客户端。 例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用ZooKeeper客户端 1. 安装客户端并安装了JDK8。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 直接执行命令。例如： 7. plaintext zkCli.sh 服务器IP:端口号

本节介绍如何将云防火墙从标准版升级到专业版。 购买了云防火墙后，如果当前版本功能无法满足您的需求，您可以升级CFW的版本。 从标准版升级到专业版 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在页面左上角，单击“升级到专业版”，进入“购买云防火墙”页面。 5. 确认版本规格后，单击“立即购买”。 相关操作 如何为云防火墙续费？ 如何退订云防火墙？

本节介绍天翼云电脑（公众版）的产品优势。 自主领先，畅游云端 自研的CLINK安全传输协议，低延时、高画质、带宽占用少，弱网环境下也可畅快使用。 随时随地，便捷访问 用户通过终端云电脑应用即可快速访问调取云端资源，随时随地享受数据共享、移动办公、休闲娱乐等功能。 即开即用，灵活易用 无需配置，开通即可立即使用，弹性使用云电脑资源，满足日常办公、重度使用等使用场景需要。 说明 关于天翼云电脑（公众版）的产品规格说明，请参考 关于天翼云电脑（公众版）的产品功能说明，请参考 关于天翼云电脑（公众版）的客户端下载，请前往

实例类型 数据库引擎 数据库版本 单机版 Microsoft SQL Server引擎 2022 web版 2022 标准版 2022 企业版 2019 web版 2019 标准版 2019 企业版 2017 web版 2017 标准版 2017 企业版 2016 标准版 2016 企业版 2014 标准版 2014 企业版 主备版 Microsoft SQL Server引擎 2022 标准版 2022 企业版 2019 标准版 2019 企业版 2017 标准版 2017 企业版 2016 标准版 2016 企业版 2014 标准版 2014 企业版

本节介绍创建网站扫描任务或重启任务不成功时如何处理。 请执行以下步骤进行处理。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 在“资产列表”界面，查看目标网址是否已完成域名认证。 如果是，请联系技术支持。 如果否，请执行步骤5～步骤6完成域名认证。 5. 在目标域名的“认证状态”列，单击“前往认证”。 6. 在弹出的“认证域名”对话框中，选择域名认证方式完成域名认证。

本节主要介绍如何通过公网连接Redis实例 当您的本地设备需要管理或测试Redis实例时，您可以本地设备上通过公网连接至Redis实例，需要先为Redis实例申请公网IP地址。 注意事项 通过公网连接首先需要申请弹性IP，具体操作请参见购买弹性IP。注意使用弹性IP服务会产生流量费用，并且会增加网络延迟，影响分布式缓存Redis服务的性能，且存在一定的安全风险。因此更推荐通过专有网络连接，可获得更低的网络延迟和更高的安全性。 若实例为Cluster集群架构，则不支持申请公网连接，无法通过公网连接Redis实例，请通过专有网络连接实例。 操作步骤 1. 申请公网连接地址，具体操作，请参见购买弹性IP。 2. 为Redis实例绑定公网IP地址，具体操作，请参见绑定公网IP。 3. 通过获取到的公网连接地址，使用rediscli或客户端程序连接Redis实例。具体可参考以下文档： 通过客户端连接方式。 rediscli连接方式。

处置告警 您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。告警处理完成后，告警的状态将从“未处理”变为“已处理”。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。 3. 在页面下方的告警列表中，单击告警操作列的“详情”，可在弹出的对话框中查看告警详情。 4. 核对告警信息，单击弹窗下方的“处理”按钮，根据业务实际需求处理告警。 5. 在弹出的告警处理对话框中，选择告警处理方式。 忽略：选择忽略，告警状态将变为已忽略。 加白名单：选择加白名单，系统会为您自动填写加白规则，若自动生成的加白规则不满足您也可以自定义加白规则。 文件隔离：选择隔离文件，告警状态将变为已隔离。 文件删除：选择删除文件，删除文件可能影响业务系统正常运行，文件被删除后无法恢复，请谨慎操作。 6. 填写备注后，单击“提交”即可完成告警处理。

操作场景 节点访问 ( NodePort )是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 : ，可以从集群的外部访问一个NodePort服务。 约束与限制 “节点访问 ( NodePort )”默认为VPC内网访问，如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 创建service后，如果服务亲和从集群级别切换为节点级别，连接跟踪表将不会被清理，建议用户创建service后不要修改服务亲和属性，如需修改请重新创建servcie。 同一个节点内的容器不支持访问externalTrafficPolicy为local的service。 工作负载创建时设置 您可以在创建工作负载时通过控制台设置Service访问方式，本节以nginx为例进行说明。 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载实际监听的端口，取值范围为165535。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 2 完成配置后，单击“确定”。 步骤 3 单击“下一步：高级设置”进入高级设置页面，直接单击“创建”。 步骤 4 单击“查看工作负载详情”，在访问方式页签下获取访问地址，例如“192.168.0.160:30358”。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 说明： 如果当前Service被关联到Ingress，则更新Service的端口信息后Ingress将不可用，需要删除重建。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 步骤 4 设置节点访问参数： Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作 负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 5 单击“创建”。工作负载已添加“节点访问 ( NodePort )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 单击“远程登录”，弹出登录页面，输入用户密码登录。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。 说明： 节点访问(NodePort)会在集群内节点上分配一个虚拟IP，即可以在集群内部通过虚拟IP的验证方式验证。其中，虚拟IP访问端口默认与容器端口一致。 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 curl 192.168.0.160:30358 其中“192.168.0.160:30358”为步骤4中获取到的访问地址，即节点虚拟IP+访问端口。 回显如下表示访问成功。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在更新Service页面，访问类型选择“节点访问 ( NodePort )”。 步骤 3 更新节点访问参数： Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 4 单击“更新”。工作负载已更新Service。

本文介绍了如何重置管理员账号密码。 操作场景 在使用过程中，如果用户忘记管理员账号密码，可以通过控制台重新设置密码。 注意 如果新密码被系统视为弱密码，您将收到错误提示，请提供更高强度的密码。 重置密码生效时间取决于该实例当前执行的业务数据量。 请定期修改用户密码，以提高系统安全性，防止出现密码被暴力破解等安全风险。 请妥善管理您的密码，因为系统为保障您的数据安全未保存您的密码信息。 Ⅰ类资源池操作步骤 1. 登录天翼云门户。 2. 打开控制中心。 3. 左上角选择资源池区域，RDSPostgreSQL基础版加载的资源池详见功能加载说明。 4. 找到【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 5. 在实例管理页面中的“操作”列，点击对应实例的“修改密码”按钮，如图所示。 6. 在弹出框内输入新的密码，点击确认。返回成功即为修改密码成功，返回失败请根据错误提示重新设置您的密码。 Ⅱ类资源池操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在基本信息中找到“管理员账号名”项中的“重置密码”。 7. 在弹出框内输入新的密码，点击确定。返回成功即为修改密码成功。返回失败请根据错误提示重新设置您的密码。

本节介绍如何查看并处理文件篡改告警。 查看告警 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“文件安全 > 文件完整性保护”，进入文件完整性保护页面。 3. 查看统计数据和变更信息。 查看统计信息 上方展示文件变更篡改行为事件和存在文件变更服务器的统计情况。 查看文件变更信息 在页面下方的“文件变更”页签，展示文件变更列表，展示字段包括服务器、原文件名、原文件路径、变更后文件MD5、文件变更时间、变更类型、状态。 告警事件支持按发现时间、处理状态、变更类型、服务器名称和服务器IP进行搜索。 查看变更统计信息 在页面下方的“变更统计”页签，系统帮助您自动统计出所有存在文件变更篡改行为的服务器。单击文件变更类型列的数字可查看详情。 处理告警 标记为已处理 若您已手动处理文件变更告警，可将其“标记为已处理”，标记后，告警的状态将从“未处理”变为“已处理”。 具体操作步骤如下： 1. 在文件变更告警列表中，找到目标告警，单击操作列的“标记已处理”，或勾选目标告警，单击列表上方的“标记已处理”进行批量处理。 2. 在弹出的对话框中单击“确定”。

前提条件 已获取管理控制台的登录账号与密码。 已使用的云堡垒机，需停止系统所有操作，解绑EIP。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待退订的实例，单击所在行“操作”列的“更多 > 退订”。 4. 在弹出的退订提示框中，确认实例信息无误后，单击“确认”，进入“费用中心 > 退订管理 > 退订申请”页面。 5. 在退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。

本文介绍对象存储中的数据是否可以让其他用户访问。 可以。 对于桶，您可以通过设置桶ACL和桶策略授予其他用户桶的数据读取权限，其他用户即可访问该桶。具体可参考：访问权限。 对于对象，您可以通过对象ACL，对象策略和桶策略来授予其他用户对象的数据读取权限，或者通过临时URL方式，其他用户即可访问该对象。可参考：访问方式。 除此之外，您也可以通过STS角色，为临时用户颁发一个自定义时效和权限的访问凭证，使您区域粒度下的桶资源被更加安全地访问，参考：STS角色管理。

本节指导用户通过密钥管理界面对单个或多个自定义密钥进行启用操作，使被禁用的密钥恢复到数据加解密能力。新建的自定义密钥默认为“启用”状态。 前提条件 待启用的密钥需处于“禁用”状态。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要启用的密钥所在行，单击“启用”。 步骤 5 在弹出窗口中，单击“是”，完成启用单个密钥操作。 说明 如果您想批量启用密钥，可以勾选所有需要启用的密钥，然后在列表左上角，单击“启用”。

云搜索服务已接入云审计服务。通过云审计服务,您可以查询云搜索服务相关的操作事件,便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 查询实例详情 instance 退订Logstash实例 instance 查询实例列表 instance 节点扩容 instance 磁盘容量 instance 实例升配 instance 重启实例 instance 创建管道 pipeline 更新管道 pipeline 部署管道 pipeline 停止管道 pipeline 查询管道列表 pipeline 查询管道内容 pipeline 删除管道 pipeline 开启Logstash日志功能 log 关闭Logstash日志功能 log Logstash绑定公网 node Logstash解绑公网 node

本章节介绍使用云原生API网关实现后端双向TLS认证 概述 云原生API网关作为代理服务接收下游服务（DownStream）请求，并转发到上游服务（Upstream）；对于上游服务来说，云原生API网关收敛了外部的请求，统一经过网关转发到上游。从安全角度考虑，上游服务可以添加认证鉴权规则实现对网关的身份认证和访问鉴权，确保上游服务安全性；其中一种实现方式就是在上游服务配置TLS策略，要求网关转发请求时提供客户端证书，实现对网关的身份认证，具体流程如下： 云原生API网关支持配置证书，用于实现请求后端服务时服务端对网关的证书认证，本文说明具体配置流程。 前提条件 1. 部署后端HTTPS服务，并配置要求请求客户端提供证书。 2. 已开通云原生API网关实例。 部署后端服务 我们采用云容器引擎部署后端服务，镜像采用我们的demo应用（已配置证书，并要求客户端请求时提供证书），部署完成后在云容器引擎控制台可以看到容器启动： 还需要部署关联到工作负载的Service，用于暴露工作负载，如下

本页为其他云MySQL迁移到RDS for MySQL的网络和准备工作概述。 网络通信方式 其他云的数据库接入天翼云，需要通过公网网络进行网络打通，包括数据库实例具备公网IP，天翼云DTS实例具备公网IP。 准备工作 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 申请公网IP并绑定到数据库实例 不同云厂商的数据库实例对应方法不同，具体操作步骤可参考具体云官网资料进行设置。 3. VPC网络安全策略放通 需要在其他云数据库实例所在的VPC放通以上【DTS实例的配置流程】中配置的公网IP的访问权限，一般包括网络ACL和实例安全组，具体可参考各厂商云数据库官方文档进行操作。 4. 数据库添加白名单 数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

工作机制 首先使用轻量级的Filebeat采集日志、其次使用Logstash接收Filebeat的输出，并对日志进行解析、添加或删除字段等处理、最后将数据输出到天翼云Elasticsearch实例，通过Kibana实例在前端可视化展示。 前提条件 已经开通天翼云云搜索Elasticsearch和Kibana实例，并完成Logstash实例加装。 已经部署Filebeat和Logstash并且打通和天翼云云搜索实例之间的网络。推荐使用Filebeat 7.10.2版本。 查看Kibana的终端可以访问到云搜索实例，设置好5601端口的网络安全策略。 操作步骤 配置Filebeat Filebeat采集日志，配置具体的日志路径。 plaintext 采集日志 filebeat.inputs: type: log 采集的日志文件的路径。替换为自己日志的路径，可以使用通配符。 paths: /yourpath/.log output.logstash: hosts: ["{logstaship}:5044"] 配置Logstash Logstash需要接收Filebeat的输出并进行处理，需要在Logstash管道管理模块中创建并部署管道。示例配置如下： plaintext input { beats { port > 5044 } } 对数据进行处理。 filter { mutate { removefield > ["@version"] } } output{ elasticsearch{ Elasticsearch实例的访问地址。 hosts > [" " " 访问Elasticsearch实例的用户名和密码，如无安全机制可不配置。 user > "" password > "" 配置写入的索引名,示例如下。 index > "filebeatlogstashes%{+YYYY.MM.dd}" } }

本文介绍基于标签的域名日常管理操作。 功能介绍 在完成域名绑定标签后，您在日常运营时，就可以使用标签快速筛选对应的域名，进行分组管理。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航【域名】【域名管理】。 3. 找到首个筛选框，提示【请选择标签】。 4. 下拉选择您本次计划筛选的【标签组】、【标签】。 5. 在选定标签组和标签之后，系统会自动过滤，并在【域名列表】中只显示符合条件的域名，从而帮助您快速定位到目标域名。 参数名 配置值 说明 标签组 必选项，按标签组筛选域名 如果先勾选某个标签组，则默认筛选出该标签组内全部标签所绑定的域名。 标签 必选项，按标签筛选域名 在选定某个标签组后，可以选择所关联的一个或多个标签进行筛选，选出目标标签绑定的域名。

本文介绍零信任全球加速场景下,查看加速应用白名单。 背景说明 根据中华人民共和国工业和信息化部（简称工信部）相关法律、行政法规规定，中国内地只有三大运营商具备跨境业务运营资质。凡涉及跨中国内地访问的业务场景，都需要进行资质审核。 零信任全球加速服务遵循白名单原则，仅为客户审核通过的应用提供加速访问。用户可在控制台查看或导出白名单应用。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任应用加速应用，查看应用列表。 导出应用 您可将加速应用导出为.xls文件。支持两种导出方式： 选择“导出全部”，点击导出按钮。 勾选需要导出的应用，选择“导出所选”，点击导出按钮。