本文主要介绍安全加速应用场景。 场景架构图 政企客户 客户特点 ：政企行业的门户网站作为政府、企业的互联网信息服务的重要渠道，有着很重要的作用，要求网站需要保证稳定的运行。 客户需求： 大型会议、特殊时期重保 。 防止被黑、被挂马、篡改等安全事件发生。 用户、公民敏感信息不能被窃取。 产品推荐： 安全加速（推荐同时购买WAF、抗D服务） 天翼云安全加速能够防御政企网站被入侵、页面篡改、数据泄露、后门、博彩暗链、JS挖矿等WEB安全风险的同时能够进行DDOS、CC流量清洗，保证政企网站的稳定运行。 产品优势： 丰富的资源覆盖。 国内拥有丰富的节点覆盖承载能力，覆盖多运营商、主要省份和城市无盲点。 加速节点可根据需求随时增加，致力于客户的发展壮大。 金融网站 客户特点： 业务系统对业务可用性要求非常高，同时需要保障用户个人数据和资金安全，一旦发生安全问题，也可能会引发投资人恐慌，对公司造成很大的影响。 客户需求 ： 官网、信用卡中心等业务稳定加速运行。 纪念币等发行时突发流量应对。 攻防演练、护网行动保障。 恶意DDoS攻击防护，无俱黑客勒索。 防撞库、暴力破解等。 产品推荐： 安全加速（推荐同时购买WAF、抗D服务） 天翼云安全加速不仅能够提升网站的访问速度，还对网站的安全进行防护；天翼云安全加速对金融网站加速的同时还提供防御金融行业面临的SQL注入、跨站、撞库拖库、数据泄露等多种WEB安全风险，并防御大规模流量攻击，保障网站稳定运行的同时维护用户个人数据和资金安全，满足PCIDSS合规要求。 产品优势： 可靠的安全防护。 分布式集群防护，单点故障自动转移，确保网站的高可用性。 利用大平台优势，基于全网、全行业流量的攻击数据，结合机器学习算法，构建一套智能防护体系。 精准防护，域名粒度的防护策略，结合客户自身业务定制化防护策略。 电子商务网站 客户特点： 业务对用户体验实时性要求较高，并且存在用户个人账号信息被盗、敏感信息泄露等问题，若存在可用性或者安全问题会造成交易问题，流失客户。 客户需求： 业务可用性稳定性保障。 营销活动减少业务欺诈。 用户信息、订单等数据不被窃取。 产品推荐： 安全加速（推荐购买WAF服务） 天翼云安全加速不仅能够提升网站的访问速度，满足用户操作的实时性，还对网站的安全进行防护，通过账号安全防护提供的三大能力：撞库防护、暴力破解防护、批量注册防护防止用户个人账户被恶意盗取；另外，通过敏感词防护，能够避免网站上的敏感信息如身份证号码、手机号、地址、邮箱被泄露。此外，天翼云安全加速对电子商务网站加速的同时还提供防御金融行业面临的SQL注入、跨站、撞库拖库、数据泄露等多种WEB安全风险，并防御大规模流量攻击，避免网站被恶意刷票引起的访问崩溃，保障网站稳定运行。 产品优势： 特色的安全防护。 敏感信息回显脱敏，保护用的身份证号、手机号和卡号等敏感信息。 撞库攻击防护，防止网站撞库攻击，保护网站用户数据安全。 恶意挖矿防护，识别js挖矿脚本，避免访问网站的用户被利用成“挖矿机”。 客户端防广告，移除客户端被插入的广告，保护内容安全。

本章主要介绍通过弹性公网IP访问 。 为了方便用户访问开源组件的Web站点，MRS集群支持通过为集群绑定弹性公网IP的方式，访问MRS集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 为集群绑定弹性公网IP并添加安全组规则 1.在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步，待IAM用户同步成功后，在集群详情页会出现“组件管理”页签。 2.单击“集群管理页面”右侧的“前往 Manager”。 3.弹出访问MRS Manager页面，绑定弹性公网IP并添加安全组规则。仅首次访问该集群的组件开源站点时，需要如下配置。 a. 绑定弹性公网IP，在弹性公网IP下拉框中选择可用的弹性公网IP。若没有可用的弹性公网IP，请单击“管理弹性公网IP”创建弹性公网IP后在该页面引用。若创建集群时已绑定弹性公网IP，请跳过该步骤。 b. 选择待添加的安全组规则所在安全组，该安全组在创建群时配置。 c. 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问MRS组件。 d. 勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问MRS Manager页面。” e. 单击“确定”，进入登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 4.登录Manager页面，选择“集群 > 服务 > HDFS > NameNode WebUI> NameNode( 主机名称 ，主)”，访问开源组件Web站点。此处仅以HDFS NameNode为例介绍，其他组件访问地址请参考开源组件Web站点页面提供的站点地址。

本文主要介绍头域说明 头域说明 协议头字段名 说明 Accept 能够接受的回应内容类型（ContentTypes）。 AcceptCharset 能够接受的字符集。 AcceptDatetime 能够接受的按照时间来表示的版本。 AcceptEncoding 能够接受的编码方式列表。 AcceptLanguage 能够接受的回应内容的自然语言列表。 Authorization 用于超文本传输协议认证的认证信息。 CacheControl 用来指定在这次的请求/响应链中的所有缓存机制都必须遵守的指令。 Connection 该浏览器想要优先使用的连接类型。 ContentLength 以八位字节数组（8位的字节）表示的请求体的长度。 ContentMD5 请求体的内容的二进制MD5散列值，以 Base64 编码的结果。 ContentType 请求体的多媒体类型（用于POST和PUT请求中）。 Cookie 之前由服务器通过Set Cookie 发送的一个超文本传输协议Cookie。 Date 发送该消息的日期和时间。 Expect 表明客户端要求服务器做出特定的行为。 From 发起此请求的用户的邮件地址。 Host 服务器的域名(用于虚拟主机 )，以及服务器所监听的传输控制协议端口号。如果所请求的端口是对应的服务的标准端口，则端口号可被省略。自超文件传输协议版本1.1（HTTP/1.1）开始便是必需字段，在本服务中如果URL中填写的域名为IP地址会自动添加该字段，否则请将被测应用的IP与端口信息填写在该字段。 IfMatch 仅当客户端提供的实体与服务器上对应的实体相匹配时，才进行对应的操作。主要作用是，用作像PUT 这样的方法中，仅当从用户上次更新某个资源以来，该资源未被修改的情况下，才更新该资源。 IfModifiedSince 允许在对应的内容未被修改的情况下返回304未修改（ 304 Not Modified ）。 IfNoneMatch 允许在对应的内容未被修改的情况下返回304未修改（ 304 Not Modified ），参考超文本传输协议的实体标记。在典型用法中，当一个URL被请求，Web服务器会返回资源和其相应的ETag值，它会被放置在HTTP的“ETag”字段中，然后，客户端可以决定是否缓存这个资源和它的ETag。以后，如果客户端想再次请求相同的URL，将会发送一个包含已保存的ETag和“IfNoneMatch”字段的请求。 IfRange 如果该实体未被修改过，则向发送方发送其所缺少的那一个或多个部分；否则，发送整个新的实体。 IfUnmodifiedSince 仅当该实体自某个特定时间以来未被修改的情况下，才发送回应。 MaxForwards 限制该消息可被代理及网关转发的次数。 Origin 发起一个针对跨来源资源共享的请求（要求服务器在回应中加入一个‘访问控制允许来源’（'AccessControlAllowOrigin'）字段）。 Pragma 与具体的实现相关，这些字段可能在请求/回应链中的任何时候产生多种效果。 ProxyAuthorization 用来向代理进行认证的认证信息。 Range 仅请求某个实体的一部分。字节偏移以0开始。 Referer 表示浏览器所访问的前一个页面，正是那个页面上的某个链接将浏览器带到了当前所请求的这个页面。 TE 浏览器预期接受的传输编码方式：可使用回应协议头TransferEncoding 字段中的值；另外还可用“trailers”（与“分块”传输方式相关）这个值来表明浏览器希望在最后一个尺寸为0的块之后还接收到一些额外的字段。 Upgrade 要求服务器升级到另一个协议。 UserAgent 浏览器的浏览器身份标识字符串。 Via 向服务器告知，这个请求是由哪些代理发出的。 Warning 一个一般性的警告，告知，在实体内容体中可能存在错误。 XWapProfile 链接到互联网上的一个XML文件，其完整、仔细地描述了正在连接的设备。 XRequestedWith 主要用于标识Ajax及可扩展标记语言请求。大部分的JavaScript框架会发送这个字段，且将其值设置为XMLHttpRequest。 XHttpMethodOverride 请求某个网页应用程序使用该协议头字段中指定的方法（一般是PUT或DELETE）来覆盖掉在请求中所指定的方法（一般是POST）。当某个浏览器或防火墙阻止直接发送PUT 或DELETE 方法时（注意，这可能是因为软件中的某个漏洞，因而需要修复，也可能是因为某个配置选项就是如此要求的，因而不应当设法绕过），可使用这种方式。 XForwardedProto 一个事实标准，用于标识某个超文本传输协议请求最初所使用的协议。 XForwardedHost 一个事实标准，用于识别客户端最初发出的Host请求头部。 XForwardedFor 一个事实标准，用于标识某个通过超文本传输协议代理或负载均衡连接到某个网页服务器的客户端的原始互联网地址。 XCsrfToken 用于防止跨站请求伪造辅助用的头部有XCSRFToken或XXSRFTOKEN XATTDeviceId 使服务器更容易解读AT&T设备UserAgent字段中常见的设备型号、固件信息。 ProxyConnection 该字段源于早期超文本传输协议版本实现中的错误。与标准的连接（Connection）字段的功能完全相同。 FrontEndHttps 被微软的服务器和负载均衡器所使用的非标准头部字段。 DNT 请求某个网页应用程序停止跟踪某个用户。在火狐浏览器中，相当于XDoNotTrack协议头字段（自 Firefox/4.0 Beta 11 版开始支持）。Safari和Internet Explorer 9 也支持这个字段。

本节主要介绍如何通过S3 Java SDK访问OOS。 应用场景 已开通对象存储（经典版）Ⅰ型服务，使用S3 Java SDK访问OOS Bucket和Object。 前提条件 已开通象存储（经典版）Ⅰ型服务，并已创建访问密钥AccessKeyID和SecretAccessKey。 当前AccessKeyID和SecretAccessKey具有OOS相关资源的访问权限。 已创建S3 Java SDK 1.x版本，并能正常使用。 可调用的API详见详见OOS兼容哪些Amazons S3 API。 具体方法 可以通过下列两种方式中的一种配置AccessKey： 通过代码配置AccessKey 通过配置文件读取AccessKey 通过代码配置AccessKey 对于Amazon S3 Java SDK 1.x版本，可以通过以下代码进行初始化配置，以下以Amazon S3 Java SDK 1.11.837版本为例： plaintext AmazonS3 s3 AmazonS3ClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(new BasicAWSCredentials(AccessKeyID, SecretAccessKey))) .withEndpointConfiguration(new AwsClientBuilder.EndpointConfiguration( Endpoint, Region)) .withPathStyleAccessEnabled(false) .withChunkedEncodingDisabled(true) .build(); 参数 描述 AccessKeyID OOS对应的AccessKeyID。 SecretAccessKey OOS对应的SecretAccessKey。 Endpoint OOS的Endpoint。详见“OOS具体地区与域名对应关系表”。 Region OOS的Endpoint的对应Region。详见“OOS具体地区与域名对应关系表”。 withPathStyleAccessEnabled 请求的DNS格式。 取值： false：路径格式（ true：虚拟主机格式（ 默认为false。 withChunkedEncodingDisabled 请求负载时是否禁用分块编码的选项。 取值： false：不禁用。 true：禁用。 默认为false。OOS目前不支持分块编码，因此此项必须设置为true。

本节介绍了用户指南： 使用HostPath存储卷。 HostPath存储卷能将主机节点文件系统上的文件或目录挂载直接挂载到业务Pod 中。由于该方式存在诸多安全风险，且不适用于高可用场景，一般业务应用不推荐使用。 背景信息 云容器引擎服务兼容kubernetes原生HostPath本地挂载方案，关于HostPath特定场景使用用法及注意点参见：Kubernetes官方 使用限制 HostPath 存储卷可能会暴露特权系统凭据（例如 Kubelet）或特权 API（例如容器运行时套接字），可用于容器逃逸或攻击集群的其他服务； 具有相同配置（例如基于同一 PodTemplate 创建）的多个 Pod 会由于节点上文件的不同而在不同节点上有不同的行为； 主机节点上特定文件或目录只能由 root 用户写入。如需访问这些文件，需要在特权容器中以 root 身份运行进程，或者修改主机上的文件权限以便容器能够写入 hostPath 卷。 挂载模式 HostPath支持以下几种挂载模式： 类型 描述 空字符串（默认）用于向后兼容，这意味着在安装 hostPath 卷之前不会执行任何检查。 DirectoryOrCreate 如果在给定路径上什么都不存在，那么将根据需要创建空目录，权限设置为 0755，具有与 kubelet 相同的组和属主信息。 Directory 在给定路径上必须存在的目录。 FileOrCreate 如果在给定路径上什么都不存在，那么将在那里根据需要创建空文件，权限设置为 0644，具有与 kubelet 相同的组和所有权。 File 在给定路径上必须存在文件。

本节介绍天翼云电脑（公众版）产品支持多终端适配、支持投屏、数据安全等功能的内容介绍。 多终端适配 与传统PC一致的使用体验，多种外设无缝衔接，实现多终端适配。 多终端适配： 适配PC、Mac、 iOS、安卓等多终端。 多外设支持： 打印机、扫描仪等外设无缝衔接（备注：手机、pad等移动终端不支持USB外设）。 支持投屏 支持手机有线/无线投屏模式，大屏电视秒变电脑使用，娱乐、办公两不误。 无线投屏： 在手机投屏模式下，支持把手机设置为触控版模式，操控更便捷。 有线投屏： 支持搭配扩展坞、蓝牙键鼠使用，操控更流畅。 数据安全 系统数据云端集中存储，不但能释放本地空间，还能避免宕机与数据丢失，使用多重安全传输协议保障数据安全。 数据不落地： 所有桌面、应用和数据统一管理，集中存储在云端。 数据多副本： 采用三副本技术分布式存储，灵活应对各种突发情况。 数据加密： 使用多重加密算法，对数据传输、数据存储进行加密，保障用户信息安全。

产品能力 简要说明 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 通过STS（Security Token Service）给第三方应用或用户授予一个自定义时效的临时访问凭证，无需透露用户自身的AK/SK。 通过Bucket访问权限控制，可以对Bucket设置访问权限，包括公共读写、公共读、私有。 通过Bucket Policy功能授权IAM用户或其他用户访问您的OOS资源，例如向特定用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。 为了防止用户在OOS的数据被其他人盗链，OOS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范，允许跨域请求访问OOS中的资源。

企业级加密和脱敏 自研DTS同步引擎，性能是数据库原生同步的四倍以上。 支持企业级加密。

接入WAF对现有业务和服务器运行有影响吗？ 接入WAF不需要中断现有业务，不会影响源站服务器的运行状态，即不需要对源站服务站进行任何操作（例如关机或重启）。 注意 以CNAME方式接入WAF时，您需要修改DNS解析使流量经过WAF进行转发。修改DNS解析可能会影响网站访问业务，建议您在业务量少时进行修改，详细操作请参见修改域名DNS。 域名接入时，WAF回源是否需要放行所有客户端IP？ 根据您的业务情况，您可以只放行WAF回源IP段，也可以放行所有客户端IP。 对于Web业务，建议您只放行WAF回源IP，实现源站保护。详细操作请参见放行WAF回源IP段。 对于客户端IP，如果有白名单需要，建议您通过WAF白名单配置进行放行，不建议直接放行所有客户端IP。 说明 WAF采用CNAME的方式将原本去向网站的请求转向到WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。此时由于网站接入WAF，访问网站的IP实际上变成了WAF的回源IP段，从网站的角度来看，访问其的来源IP变得更加集中，访问频率变得更高，服务器上的防火墙或安全软件很容易认为这些IP在发起攻击，从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑，WAF的请求将无法得到源站的正常响应。因此，在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。

Serverless模式，高效易用 无需关注底层服务器资源，Serverless将自动分配足够的计算资源和存储资源。只需专注业务代码的开发，将业务代码发布至全球边缘节点即可完成应用部署，有效地降低开发成本。 弹性扩容 当一个区域的客户端请求数量突增时，快速启用就近的计算资源，自动完成扩容和调度。 丰富的编程语言生态 易上手的开发者工具：提供Web IDE 在线编程和开发者工具。 支持JavaScript ES6、TypeScript，支持Node.js生态。 提供符合W3C标准的Service Worker API、Streams API、WebCrypto API。 终端管理 AOne终端管理，终端一体化融合终端IT管理、病毒查杀、实时防护、系统加固等能力，一站式解决办公终端的安全和管理问题，守护企业每一台电脑的安全。 守护电脑安全 在实时防护、病毒查杀、漏洞修复等多重机制护航下，阻止外部非法入侵与内部外设数据泄露，全方位守护员工电脑安全，让电脑使用更安心。 软件全面管理 看得清软件资产，一键阻断黑客工具和远控软件，实时拦截不受欢迎的骚扰软件进入员工设备，助力企业便捷高效地规范软件使用，让终端环境更清爽。 员工上网管控 提供全面的行为审计能力，通过分析员工办公访问数据，禁止员工上班时间访问无关网站，助力管理者掌控团队的上网情况和工作效能。

本文简要介绍了什么是数据管理服务DMS、数据管理服务的核心能力以及应用场景。 天翼云TeleDB数据管理服务（Data Management Service，DMS）是基于TeleDB v5.1.9版本孵化并演进而成的，支持异构数据库的一站式、全生命周期管理平台。数据管理服务DMS为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。 功能特性 数据管理服务DMS分基础版和企业版，不同版本功能特性不同，如需了解更多详细信息，请查阅功能特性部分。 产品定价 为了让更多的用户体验到DMS的服务，目前我们提供限时免费订购试用。 核心能力 全局数据库管理 多源、异构数据库统一管理，支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS、ClickHouse等数据库类型，帮助企业/用户建立数据资产目录。通过使用该服务，企业可以轻松地管理不同来源和类型的数据库，实现统一的数据管理和控制，提高数据治理和管理的效率。 安全可靠 支持统一的数据安全策略，包括用户权限管理、资源权限管理等，确保数据库的安全和可靠性。通过实施严格的安全策略，企业可以有效地保护其数据资产，防止未经授权的访问和恶意攻击，确保数据的安全和完整性。 快捷易用 无需下载客户端，开通后即可通过浏览器便捷地使用服务，DMS具备友好的用户界面和丰富的功能（如：查询窗口，SQL语法提示、数据导入/导出、SQL审计等），全方位满足用户可视化操作数据库的需求。 应用场景

本文主要介绍产品规格差异 APM产品规格包括免费版和企业版，当前支持Java应用接入APM。各版本支持的功能详见下表。 版本 免费版 企业版 ::: 版本说明 完全免费，最多可接入10个Agent在线，每过15天需要用户重新激活 所有功能完全开放 数据存储时长 7天 30天 应用拓扑 √ √ 调用链 √ √ 跨Region调用链跟踪 √ √ 指标监控 √ √ URL跟踪分析 √ √ 告警 √ √ CMDB √ √ 说明（是否支持，√表示支持，x表示不支持）

本节介绍开通翼共享盘的订购、扩容、退订等操作说明。 开通翼共享服务 首次使用需要前往菜单“协同套件”“翼共享”开通服务。 1. 请进入“AI云电脑（政企版）”管理控制台； 2. 在菜单栏选择“协同套件”，进入协同套件页面； 3. 选择“翼共享”，点击“开通”，进入翼创建共享盘页面；。 4.具体配置订购可查看“订购网络共享盘”或“订购NAS共享盘”； 5.首次开通服务成功后，后续的开通和管理可直接通过选择“翼共享”“翼共享管理”菜单进行操作。 注意 目前网络共享盘仅向开通“AI应用中心““企业管理”“智库管理”的开通用户进行开放，未开通AI应中心用户无法看到网络盘开通入口。 订购网络共享盘 1. 进入“AI云电脑（政企版）”控制台； 2. 选择“翼共享”“翼共享管理”菜单，点击右上角“创建共享盘”； 3. 选择类型为“网络共享盘”； 4. 填写共享盘名称并选择资源包； 注意：目前翼共享盘仅支持通过资源包抵扣方式进行开通，详情可查看资源包订购 5. 选择企业所需的共享盘总容量，并配置分配给个人的容量； 注意：网络共享盘的个人容量仅用于共享个人盘空间； 6. 确认配置信息后，点击“立即开通”即可。

对比项 Cluster集群 Proxy集群 原生兼容性 高 中 客户端兼容性 中 高 性价比 高 中 时延 低时延 中等时延 性能 高 中

背景信息 在云原生和大数据成本优化的大趋势下，分布式消息Kafka引入弹性存储功能，正是为了应对传统架构中“高成本、难扩展、利用率低”的痛点。通过弹性存储能力，实现存储成本的显著下降和资源的按需使用，使企业能够以更经济的方式处理海量流数据。弹性存储能力核心优势如下： 显著降低存储成本 对象存储的费用通常仅为超高IO云盘费用的7.5%~10%，并且冷数据存储在远端只需存储一个副本。通过将不常访问的历史数据迁移到对象存储，企业可以在保留更长数据保留周期的同时，大幅降低总体拥有成本。 实现按需使用、弹性扩展 弹性存储解耦了计算与存储。对象存储具备近乎无限的扩展能力，无需预先规划容量。用户可以根据业务需求灵活延长数据保留时间（如从 7 天延长至 90 天甚至更久），而无需担心存储瓶颈。 提升资源利用率与运维效率 本地磁盘资源专注于服务高频访问的热数据，提升集群性能；冷数据由对象存储承载，减轻 Kafka服务端的存储压力。同时，减少了因存储不足而频繁扩容的运维负担。 支持更多数据应用场景 低成本的长期数据保留使得 Kafka 不仅可用于实时流处理，还可作为事件溯源、数据湖入湖前的缓冲层、合规归档等场景的统一数据平台，提升数据价值。

本章节主要介绍如何在天翼云物理机部署应用服务。 安装及启动Nginx 1. 输入yum install nginx命令安装Nginx，当需要确认时输入“y”确认。 2. 输入systemctl start nginx.service启动Nginx服务。 说明 此处以CentOS 7.3 64bit为例，其他操作系统的Nginx启动命令请您自行查阅。 3. 输入 wget ，测试Nginx服务。 访问Web默认页面 使用浏览器访问“

本章节为您介绍云堡垒机(原生版)改密策略。 改密策略是一种自动化工具，旨在增强主机资源账户的安全性。它允许用户通过预设的策略，对一个或多个主机资源账户的密码进行手动、定时或周期性的修改。 以下是改密策略的主要功能： 支持通过策略手动、定时、周期修改资源账户密码。 支持生成不同密码、相同密码，以及生成指定相同密码。 说明 随机生成的密码遵循以下设定： 随机生成的密码长度为830个字符。 同时包含三项（大小字母、数字、()~!@ $%^&+{}[]:;'<>,.?/中的特殊符号）。 不以“/”开头，不出现连续三个以上相同字符。 新建改密策略 1. 使用“管理角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“资产管理 > 账户改密”，进入“改密策略”页面。 3. 单击“新增”按钮，在弹出的窗口中填写改密策略相关参数。 参数 参数说明 取值样例 名称 自定义改密策略名称。 定期改密 描述 自定义改密策略描述。 XX主机定期改密策略 改密账号 添加改密账号。 目前仅支持添加SSH、Telnet协议的主机账号。 选择后改密账号格式为：协议[资产账号名@]资产名称。 SSH[admin@]Test01 执行策略 按需选择您的执行策略： 立即执行：保存后立即执行。 定时执行：在选择时间后，仅在选择的时间执行一次。 按周期执行：选择执行起始时间和执行周期。 立即执行 改密方式 按需选择您的改密方式： 随机生成不同密码 随机生成相同密码 手动生成指定密码 手动生成指定密码 指定密码 仅在“改密方式”选择“手动生成指定密码”时需要填写。 改密完成通知 通过开关按钮选择是否进行通知。 收件人邮箱 开启“改密完成通知”，还需要填写接收改密内容的邮箱，仅支持填写一个邮箱。 改密结果会以加密附件的方式发送。 admin@chinatelecom.com 改密附件密码 开启“改密完成通知”，还需要填写改密附件的密码。 4. 填写完成后，单击“提交”即可完成新建改密策略。

section4d145d0276eb4f14)”。 开启NAT日志 1. 在下一代防火墙导航栏，选择“系统 > 日志设置 > 日志管理”。 2. 选择“NAT”，勾选“开启NAT日志”后，将所有选项均勾选上，单击“应用”，即可完成NAT日志的开启。

本节主要介绍云存储网关的产品优势。 易用即装即用 仅约140MB的高度优化zip安装包，只需3个命令即可安装在Linux操作系统上，从安装包解压到集群初始化不超过3分钟。云存储网关与通用64位x86服务器和ARM服务器上的主流Linux操作系统兼容。 成本利用率高 兼容主流Linux操作系统，支持和其他应用混合部署，支持异构硬件部署，支持自动精简配置，显著提高了资源利用率，降低使用成本。 安全稳定可靠 支持多副本和纠删码数据冗余保护机制，多种异常情况下确保数据不丢，并且保持数据一致性，可以承载企业核心业务数据；通过传输加密、监控告警、配置备份等最大程度实现安全保障。 高可用业务永续 可达秒级故障切换速度，实现不中断会话的故障转移，媲美传统高端存储，单节点故障不影响可用性，确保企业核心应用724永续。 快速读写延迟低 采用分布式双控架构，提升读写性能，延迟极低。同时优化了数据重建流程，避免性能瓶颈，快速响应企业的核心应用。 上云弹性扩展 可作为本地与云端存储之间的桥梁，利用天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS）提供的PB级弹性存储空间能力，实现大规模横向扩展，将全量数据自动同步到OOS中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。

（可选）配置FTP防火墙支持 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 a.双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 b.配置相关参数，并单击“应用”。 数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535。请根据实际需求进行设置。 防火墙的外部IP地址：输入该弹性云主机的公网IP地址。 c.重启云主机使防火墙配置生效。 设置安全组及防火墙 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见为安全组添加安全组规则。放通的端口请参考表。 如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 表 设置安全组规则 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和1024 65535间的端口（例如50006000） 0.0.0.0/0

本文介绍全站加速是否支持跨域资源共享。 全站加速支持跨域资源共享。 什么是跨域资源共享 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 配置说明详见：跨域资源共享。 注意事项 若您的源站与客户控制台同时配置CORS跨域头，则全站加速平台的配置将覆盖源站CORS跨域头。

参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙id c7cfe772fd3f482da630132e6548a19a startTime 是 String 开始时间不为空 20241023T08:31:25Z finishTime 是 String 结束时间不为空 20241023T08:31:25Z agreement 否 Array of Strings 协议 ["UDP"] attackApp 否 Array of Longs 攻击应用 [1] sourceIp 否 String 来源ip 1.1.1.1 targetIp 否 String 目标ip 2.2.2.2 page 否 Integer 页码 1 size 否 Integer 页大小 10

本节介绍了如何应用云数据库TaurusDB实例的参数模板。 操作场景 参数模板编辑修改后，不会立即应用到实例，您可以根据业务需要应用到实例中。 参数“innodbbufferpoolsize”跟内存强相关，不同规格的实例有不同的区间范围，如果应用参数模板时，该参数超过了实例本身的区间大小，则会取实例区间范围的最大值。 参数模板只能应用于相同版本的实例中。 在金融版实例上创建的只读实例为普通实例，但沿用了金融版实例的参数模板，所以该只读实例也不能应用其他版本的参数模板。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“参数模板管理”页面，根据参数模板类型不同进行如下操作。 若需要将默认参数模板应用到实例，在“系统默认”页签的目标参数模板单击“应用”。 若需要将用户自己创建的参数模板应用到实例，在“自定义”页签的目标参数模板单击“更多>应用”。 一个参数模板可被应用到一个或多个实例。 步骤 5 在弹出框中，选择或输入所需应用的实例，单击“确定”。 参数模板应用成功后，您可查看参数模板应用记录。

本文主要介绍基于弹性云主机的视频处理应用加速实践。 镜像描述 当前镜像处于公测阶段，您可在华东1资源池试用。如果您希望在其他资源池试用该镜像，可以提交工单申请。 Intel® iVTAL 是一种用于视频处理 加速的软件库，利用英特尔® 处理器中的硬件加速性能，以提供 快速而优化的视频处理解决方案。通过使用 Intel® iVTAL 库， 开发人员可以轻松地在其应用程序中集成视频处理功能。 视频处理专用镜像是一款集成intel视频处理调优工具iVTAL的专用的视频处理镜像，镜像内置视频抽帧工具ivtalDecoder和视频转码工具FFmepg(intel版)，支持常见的音频和视频格式。专用视频处理镜像专为提升视频转码/解码/编码任务的速度和效率而生，告别通用镜像的平庸性能。 配置要求 推荐规格：c7.4xlarge.2或者c8.4xlarge.2 推荐配置：vCPU≥16核，内存≥32G 免责说明 免责声明：本公司发布的视频处理专用镜像，集成的转码和解码工具均来源自第三方或者开源社区，仅供用户参考和使用。本公司不对因不当使用该镜像而导致的任何损害承担法律责任，用户应当确保其使用行为符合相关法律法规，并遵守相应协议。 实践指南 视频转码工具（英特尔版） 视频转码工具介绍 转码是将视频码流转换成另一个视频码流的过程。使用转码功能可以实现将视频转换成流畅、标清、高清以及超清等输出，从而用户可以选择合适的视频播放。视频转码最常用的三个软件工具是FFmpeg，x264，x265。在FFmpeg(version release/4.4)，x264( version 0.164)，x265(version 3.6)这三个工具的基础上，intel采用MVReuse算法策略实施了进一步的优化，能够在几乎不影响视频质量·压缩率的情况下，显著提升转码速度。

接口功能介绍 统计最近一次弱口令检测扫描出的信息。 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/weakpw/group 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 currentPage 是 Integer 分页当前页码 1 pageSize 是 Integer 页大小 10 checkType 是 String 检测弱口令类型 1：系统弱口令:2：应用弱口令，多个用英文逗号隔开 1 param 否 String 查询参数 12a agentGuid 是 String agentGuid testagentguid 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 userName String 用户名 test weakType String 弱口令类型 空口令/系统默认弱口令/密码包含用户名/常见弱密码 空口令 passwd String 密码脱敏，如t t findTime String 首次发现时间 20220406 10:10:10 timestamp String 最后发现时间 20220406 10:10:10 app String 应用名称 app version String 应用版本 1.0.0

本节介绍天翼云电脑电脑客户端的基本设置操作。 返回旧版 网络设置 音频设置 重启/关闭终端 自定义换肤 设置入口 自动启动 锁定登录账号 自动锁屏 自动退出登录 运行模式 电源策略 网络检测 网络代理 其他客户端 关于我们 最小化、关闭 返回旧版 如需切换旧版，更多点击“返回旧版”，切换旧版二次确认之后，新旧版切换需要在应用启动后生效。 网络设置 提示：仅Ubuntu客户端、安卓瘦终端支持网络设置。 登录页右下角：点击”网络设置“调用终端本地网络设置功能，不同厂家的终端网络设置页存在差异。

如何在配置文件中配置HBlock的访问地址。 注意 若Kubernetes集群中部署了多套HBlock CSI，需在各自对应的安装路径下，配置HBlock访问地址。多套HBlock CSI可以对接同一HBlock。 HBlock CSI插件通过调用HBlock 的HTTP RESTful API进行存储卷的管理操作，例如创建卷、删除卷、扩容卷等。需要配置插件访问HBlock RESTful API的URL地址和端口。 说明 支持对接多个HBlock，包括：HBlock单机版本、HBlock集群版。 可以按照下列步骤配置HBlock访问地址。 1. 修改配置文件 修改deploy/csipluginconf/csiconfigMap.yaml配置文件，apiEndPointList配置为HBlock HTTP RESTful API地址和端口，storProvider配置为HBlock。 plaintext apiVersion: v1 kind: ConfigMap metadata: name: csipluginstor namespace: @DRIVERNAMESPACE@ data: config.json: [ { "clusterID": "cluster1", "apiEndPointList": [ " " " ], "storProvider": "HBlock", "csiApiTimeout": csiApiTimeout }, { "clusterID": "cluster2", "apiEndPointList": [ " ], "storProvider": "HBlock", "csiApiTimeout": csiApiTimeout }, { "clusterID": "cluster3", "apiEndPointList": [ " " " ], "storProvider": "HBlock", "csiApiTimeout": csiApiTimeout } ] 参数 参数 描述 是否必填 metadata.name ConfigMap资源的资源名称。 取值csipluginstor，不可更改。 是 metadata.namespace 绑定的Kubernetes命名空间。 取值： 如果已经安装 HBlock CSI，命名空间已确定，直接将该字段值修改为对应命名空间值。完成csiconfigMap.yaml文件的修改、保存并应用后，相关配置即可自动生效。 如果还未安装HBlock CSI，此字段取值保持为@DRIVERNAMESPACE@，执行deploy安装脚本时，即可自动替换为对应的命名空间。 是 clusterID 指定HBlock的标识，在csiconfigMap中唯一。 取值：字符串形式，长度范围是1~256，可以包含字母、数字、和短横线（），字母区分大小写。 是 storProvider HBlock产品名称。 取值：HBlock。 是 apiEndPointList HBlock的服务器IP地址及API端口号；或者已经关联了HBlock IP和API端口号的Kubernetes service域名。 是 csiApiTimeout 指定HBlock创建LUN的等待时间，在等待时间内LUN创建失败，会报错，然后重试。 取值：正整数，默认值为480，单位是秒。 注意 建议使用默认值。 否 示例：对接集群版HBlock和单机版HBlock。 plaintext apiVersion: v1 kind: ConfigMap metadata: name: csipluginstor namespace: default data: config.json: [ { "clusterID": "stor1", "apiEndPointList": [ " " " ], "storProvider": "HBlock", "csiApiTimeout": 480 }, { "clusterID": "stor2", "apiEndPointList": [ " ], "storProvider": "HBlock" } ] 2. 应用配置文件。 plaintext [root@server csipluginconf]

本小节介绍日志审计(原生版)采集配置方法。 您在添加完资产后，需要在“采集配置”模块中添加资产采集方法。 新增采集资产 Syslog资产 1. 登录日志审计控制台。 2. 选择“系统配置 > 采集管理 > syslogudp”，进入syslogudp资产配置页。 3. 选择待采集设备的“资产组”和“资产IP”，单击“新增”完成资产配置。 Snmptrap资产 同上，区别于采集方式选择Snmptrap。配置Snmptrap采集资产： 1. 新增MIB文件任务。在菜单“系统配置> 采集管理 > MIB管理”页面中，单击“新增”，上传MIB文件。 2. 在菜单“系统配置 > 采集管理 > SnmpTrap管理”页面中，单击“新增”，对弹出的对话框中填写相关参数，详情见下表。 参数名称 填写说明 资产IP 选择待采集资产的IP地址。 数据接收端口 选择待采集资产的数据接收端口。 关联资产 自动关联，无需填写。 SNMP版本 选择SNMP版本，当前仅支持“v1”和“v2c”版本。 Community 自定义发送的团队名称。 MIB选择文件 选择步骤1上传的MIB文件。 发送Topic名称 自定义发送Topic的名称。 MIB文件内容 查询MIB中文件的内容。关键字查询，多个关键字符请使用英文","进行分隔。 3. 单击“提交”，完成Snmptrap资产的对接。 Linux设备 Linux采集脚本下载： Linux系统syslog配置说明.zip 针对Linux操作系统的syslog采集配置，为减轻运维人员工作，编写了自动化配置脚本，由运维人员执行脚本即可完成配置，将系统日志上报到服务端，该文档主要对配置脚本提供使用说明。 注意 在上传脚本前需要修改脚本中第50行左右的“IPLIST”中的IP地址，IP地址需要跟实例界面的“私有IP地址”保持一致。 查看私有IP地址： 安装步骤： 1. 上传脚本到服务器任意目录下。 2. 使用root用户登陆：su root，并切换到上传目录下。 3. 增加脚本执行权限： plaintext chmod 744 cmdsyslogconfig20201027.sh 4. 执行安装脚本： plaintext sh cmdsyslogconfig20201027.sh 执行成功后，会显示如下指令：syslog restart complete! 5. 执行 source /etc/profile指令，修改您的环境变量，确保采集脚本可以正常生效。 说明 若您配置完脚本后执行报错，请参考[报错处理](

此小节介绍云堡垒机文件操作授权管理。 文件操作授权用于控制用户访问资源时对资源内的文件操作的权限。 文件操作权限的可选范围是： 上传：允许/拒绝运维用户上传文件。 下载：允许/拒绝运维用户下载文件。 删除：允许/拒绝运维用户删除文件。 创建目录：允许/拒绝运维用户新建目录。 删除目录：允许/拒绝运维用户删除目录。 移动/重命名：允许/拒绝运维用户移动/重命名文件。 新增文件操作授权 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 文件操作授权”，进入“文件操作授权”页面。 3.单击“新增”，配置文件操作授权相关内容。 参数 参数说明 取值样例 授权规则名称 自定义资产访问授权的规则名称。 Test 动作 选择此授权规则的动作，可选“允许”或“拒绝”。 允许 启用状态 选择该授权规则的启用状态，默认启用。 用户 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 文件 选择需要做限制的文件操作动作。可填写具体的文件或文件目录，使用正则表示填写，若填写多个使用回车分行。 若不填写文件范围，默认为全选所有文件。 说明 例如您只想限制tmp文件夹下的同层目录使用，正则表达式可填写：/tmp 例如您想限制tmp目录下所有文件及子目录的使用，正则表达式可填写：/tmp/. 授权时间 选择该规则生效的时间段。 源IP 填写用户登录的源IP地址。 0.0.0.0 风险等级 选择此授权规则的风险等级，共有5个等级可选择。 普通 说明 策略匹配顺序为：允许 > 阻断； 配置时至少需要关联至少一个授权对象，否则该条授权策略不会生效，其余未关联的表示对所有生效； 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

此小节介绍使用Web浏览器登录云堡垒机。 云堡垒机基于Web浏览器登录系统的方式，可通过各大主流浏览器登录，并可使用系统管理和资源运维功能。建议系统管理员admin或管理员使用Web浏览器登录进行系统管理和授权审计。 支持的登录方式包括静态密码、手机短信、手机令牌、USBKey、动态令牌等。 前提条件 已绑定弹性公网IP。 操作步骤 1 启动浏览器，在Web地址栏中输入系统登录地址，进入系统登录页面。 登录地址： 。例如， 2 选择登录方式。 3 按选择的登录方式，依次填入登录名、静态密码、动态验证码等信息。 详情请分别参见如下说明。 使用静态密码登录 1 选择“密码登录”方式。 2 依次输入用户登录名、帐户登录密码。 3 单击“登录”，验证通过后即可登录系统。 静态密码登录 使用手机短信登录 手机号码需能正常接收短信。 1 选择“手机短信”方式。 2 依次输入用户登录名、帐户登录密码。 3 单击“获取验证码”，收到短信消息后，输入6位OTP口令。 4 单击“登录”，验证通过后即可登录系统。 手机短信登录 使用手机令牌登录 手机时间必须与云堡垒机系统时间一致，精确到秒。 云堡垒机的手机令牌小程序是存储在小程序的缓存之中，手机后台可能会误清除小程序缓存，导致用户手机令牌消失。 建议您保存申请手机令牌时的二维码图片，万一出现上述情况再次扫描即可。 1 选择“手机令牌”方式。 2 依次输入用户登录名、帐户登录密码。 3 打开手机令牌客户端，获取动态口令，输入6位OTP口令。 4 单击“登录”，验证通过后即可登录系统。 使用USBKey登录 1 选择“USBKey”方式。 2 接入USBKey，自动识别已签发USBKey。 3 输入PIN码。 4 单击“登录”，验证通过后即可登录系统。

实例类型 简介 使用说明 适用场景 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。 单机版出现故障后，无法保障及时恢复。 个人学习。 微型网站。 中小企业的开发测试环境。 主备实例 采用一主一备的经典高可用架构，支持跨AZ高可用，选择主可用区和备可用区不在同一个可用区（AZ）。主实例和备实例共用一个IP地址。 备机提高了实例的可靠性，创建主机的过程中，会同步创建备机，备机创建成功后，用户不可见。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 大中型企业的生产数据库。 覆盖互联网、物联网、零售电商、物流、游戏等行业的应用。 集群版实例 采用微软AlwaysOn高可用架构，支持1主1备5只读集群模式，拥有更高可用性，可靠性，可拓展能力。 仅限RDS for SQL Server使用。 金融行业。 互联网行业。 酒店行业。 在线教育。

本章主要介绍实践准备工作 为了让您能更好的完成并体验HE2E项目在软件开发生产线上的端到端实施，在进行具体的任务操作前，您需要完成以下准备工作。 购买软件开发生产线 在使用软件开发生产线前，需完成软件开发生产线的购买。 软件开发生产线提供三种版本：基础版、专业版、铂金版。本文档中选择开通基础版。购买操作请参考“《软件开发生产线用户指南》>购买软件开发生产线”。 创建项目 在开展项目实践前，由产品负责人Sarah创建项目。 步骤 1 登录软件开发生产线首页。 步骤 2 单击“新建项目”。 步骤 3 选择“DevOps全流程样例项目”。 步骤 4 输入项目名称“凤凰商城”，单击“确定”，完成项目创建。 添加项目成员 由产品负责人Sarah为团队成员创建帐号，并添加项目中。 本样例项目涉及四个项目角色，为了方便介绍，本文档中每个角色对应一个人，如下表所示。 项目角色列表 项目成员 项目角色 工作职责 样例项目中对应操作 Sarah 产品负责人（项目创建者） 负责产品整体规划与产品团队的组建。 创建项目 添加项目成员 管理需求规划 Maggie 项目经理 负责管理项目交付计划。 管理迭代规划 监控和跟踪项目状态 管理项目配置 跟踪测试计划进展 Chris 开发人员 负责项目代码的开发、编译、部署及验证。 开发代码 检查代码 构建应用 部署应用 配置流水线 Billy 测试人员 负责编写测试用例并执行。 创建迭代测试计划 执行测试计划 步骤 1 进入“凤凰商城”项目，进入“设置 > 通用设置 > 成员管理”页面。 步骤 2 单击项目成员列表上方“添加成员 > 从本企业用户”。 步骤 3 在弹框中单击“创建用户”，跳转至“用户”页面。 添加成员 步骤 4 单击“创建用户”，依次创建三个用户“Maggie”、“Chris”、“Billy”。 步骤 5 返回软件开发生产线页面，刷新浏览器，重新单击项目成员列表上方“添加成员 > 从本企业用户”，勾选成员“Maggie”、“Chris”、“Billy”，单击“下一步”。 步骤 6 单击每一行的“项目角色”下拉列表，为成员Maggie选择角色“项目经理”、Chris选择角色“开发人员”、Billy选择角色“测试人员”，单击“保存”。