4.2、验证流量切换能力 验证 说明 测试内容 验证网关流量分发及切流。 测试类型 人工UAT测试。 前提条件 完成微服务引擎云原生网关组件的订购。 登录云原生网关控制台，选择该应用的云原生网关实例，点击功能设置中可观测性配置 ，启用链路追踪 功能。 在应用容灾多活控制台完成网关配置。 登录注册配置中心控制台，选择该应用使用的注册中心实例，开启实例间服务同步任务。 测试步骤 1. 切流。调整佛山单元、广州单元的流量比例为0:100，多次访问/操作lilishop商城系统，登录云原生网关控制台查看网关链路追踪，应用始终访问到广州单元入口。 2. 切流。调整佛山单元、广州单元的流量比例为50:50，多次访问/操作lilishop商城系统，登录云原生网关控制台查看网关链路追踪，应用分别访问到广州单元入口和佛山单元入口。 测试结果 符合预期。 4.3、验证主备切换能力 验证 说明 测试内容 验证主备切换能力。 测试类型 人工UAT测试。 前提条件 在应用控容灾多活制台完成接入层配置。 在应用容灾多活控制台完成数据层配置。 应用挂载上应用容灾多活探针。 测试步骤 1. 将广州单元的数据库停止来模拟故障，此时登录lilishop商城系统将出现异常。 2. 发起主备切换。 3. 主备切换完成后，登录lilishop商城系统，执行刷新首页和下订单操作，此时服务正常响应。 测试结果 符合预期。

对象存储在上传文件时遇到同名的文件会怎么处理？ 新上传的文件会覆盖原来的文件。文件的上传详见上传文件。 对象存储服务支持自动解压zip吗？ 不支持。如果需要解压，请将zip文件下载到本地进行解压。文件的下载详见下载文件或GET Object。 对象存储上传文件分享有7天的时效性如何延长？ 有两种方式可以进行文件分享： 使用SDK中的generatePresignedUrl ( GeneratePresignedUrlRequest )方法生成共享链接，GeneratePresignedUrlRequest的参数包含了bucketName，objectName，并且可以设置过期时间和下载速度。 使用控制台文件列表页的分享功能，设置过期天数，支持输入19999999中的任意正整数。如果已有分享链接已经设置为7天，该链接不能延长时效，需要重新生成分享链接。 能否实现存储桶里内容全部下载？ 可以使用下列方法实现存储桶内容全部下载： 通过S3工具（如S3Browser）选中存储桶内的所有文件（可以一次选择多个文件夹或者文件）点击下载，然后指定存储文件的本地的路径，就可以将已选择的文件下载到本地。 客户端根据GET Bucket（List Objects）和GET Object的接口规范，自己写一个列举和下载文件的循环逻辑。 对象存储OOS是否支持搜索某一种类型的文件，比如.rar结尾的，并不是某个具体的文件？ 对象存储OOS仅支持按照文件前缀搜索，不支持搜索某一种类型的文件，比如.rar结尾。搜索文件操作详见搜索文件或文件夹。

IAM控制台创建自定义策略 1.使用天翼云账号登入IAM控制台。 2.在左侧导航栏，选择 "策略管理" "创建自定义策略"。 3.输入策略名称，输入策略描述（可选），点击下一步。 4.设置策略内容，本文介绍使用可视化视图的方式设置，如果需要使用更灵活的JSON视图，请参考IAM文档。 效果：允许（允许策略中配置的权限），拒绝（拒绝策略中配置的权限） 云服务：搜索关键字“容器镜像服务” 操作：根据需求勾选需要配置的操作（即权限） 资源：具体见资源权限管控内容 条件：该配置参考具体IAM文档。 5. 点击保存，完成自定义策略的创建。 为子账户设置自定义权限策略 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择用户授权子账户。 3. 选择操作 查看，进入用户界面，选择权限管理标签页，选择个人权限的新增权限。 4. 搜索框输入上一步设置的自定义权限策略名称，勾选上一步创建的自定义权限策略。 5. 点击“下一步”，由于CRS自定义权限为全局服务资源，无需设置资源池。 6. 点击 “确定”，即可完成为子账户授权。 CRS资源权限管控 使用IAM的JSON视图创建自定义策略时，可以通过设置资源字段来实现细粒度的资源权限管控。

本节主要介绍Header中包含签名。 用户可以在HTTP请求中增加Authorization（授权）的Header来包含签名信息，表明这个消息已被授权。如果用户的请求中没有Authentication字段，则认为是匿名访问。 验证码计算方法如下： Authorization: "AWS " + AccessKeyID + ":" + Signature Signature Base64( HMACSHA1( SecretAccessKey, UTF8EncodingOf( StringToSign ) ) ) ; StringToSign HTTPVERB + "n" + ContentMD5 + "n" + ContentType + "n" + Date + "n" + CanonicalizedAmzHeaders +"n" + CanonicalizedResource; CanonicalizedAmzHeaders [详见下列描述]; CanonicalizedResource [ "/" + Bucket ] + [ ] 注 ：subresource如果存在，可参与签名的参数包括：acl、torrent、logging、location、policy、requestPayment、versioning、versions、versionId、notification、uploadId、uploads、partNumber、website、delete、lifecycle、tagging、cors、restore、inventory。 HMACSHA1是由RFC 2104定义的算法。该算法需要输入两个字符串：一个key和一个message。OOS在验证请求时，使用您的SecretAccessKey作为key，使用UTF8编码的StringToSign作为message。HMACSHA1的输出同样是个字符串，被称为摘要。Signature请求参数是这个摘要的Base64编码。 说明 ContentMD5表示请求内容数据的MD5值。 ContentType表示请求内容的类型。 Date表示此次操作的时间，且必须为HTTP1.1中支持的GMT格式。 CanonicalizedAmzHeaders表示http中的object user meta组合。 CanonicalizedResource表示用户要访问的OOS资源。 使用Base64编码 HMAC请求签名必须使用Base64编码。Base64编码将签名转换为简单的能附加到请求中的ASCII编码字符串。加号和斜杠这两个字符不能直接在URL中使用，必须经过编码。比如，如果授权编码包括加号，在URL中把它编码成为%2B。

请求参数 参数 类型 说明 是否必要 Bucket string bucket的名称 是 Key string 对象的key 是 Expires time.Duration 超时时间 是 返回结果 生成对应的预签名上传 URL，该链接允许用户在指定的时间内直接将对象上传到媒体存储存储桶。 生成预签名下载链接 功能说明 本接口能够为一个指定对象生成一个预签名的下载链接，访问该链接可以直接下载该对象。 代码示例 以下代码演示如何为一个指定对象生成一个预签名的下载链接。 plaintext func GetObjectPresignedUrl(svc s3.S3) { getObjectInput : &s3.GetObjectInput{ Bucket: aws.String(" "), Key: aws.String(" "), } req, : svc.GetObjectRequest(getObjectInput) expires : 10 time.Minute urlStr, err : req.Presign(expires) if err ! nil { fmt.Println("err, ", err) return } fmt.Println("success, ", urlStr) } 通过该URL，可以直接下载对象。 plaintext func (p S3Demo) getObjectUsingPresignedUrl(url string, downloadPath string) error { // 发送 GET 请求以下载对象 resp, err : http.Get(url) if err ! nil { return fmt.Errorf("failed to download file: %w", err) } defer resp.Body.Close() ​ // 检查响应状态是否成功 if resp.StatusCode ! http.StatusOK { bodyBytes, : io.ReadAll(resp.Body) return fmt.Errorf("failed to download file, status: %s, response: %s", resp.Status, string(bodyBytes)) } ​ // 创建目标文件以保存下载内容 outFile, err : os.Create(downloadPath) if err ! nil { return fmt.Errorf("failed to create file %s: %w", downloadPath, err) } defer outFile.Close() ​ // 将响应内容写入文件 , err io.Copy(outFile, resp.Body) if err ! nil { return fmt.Errorf("failed to save file: %w", err) } ​ fmt.Println("Successfully downloaded file to:", downloadPath) return nil }

本节介绍了创建有状态工作负载(StatefulSet)的用户指南。 基本概念 有状态工作负载：即kubernetes中的“StatefulSet”，有状态工作负载支持实例有序部署和删除，支持持久化存储，适用于实例间存在互访的场景，如ETCD、mysqlHA等。 操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载（statefulset）”。例如Mysql，它需要存储产生的新数据。因为容器可以在不同主机间迁移，所以在宿主机上并不会保存数据，这依赖于云容器引擎提供的高可用存储卷，将存储卷挂载在容器上，从而实现有状态工作负载的数据持久化。 约束与限制 当您删除或扩缩有状态负载时，为保证数据安全，系统并不会删除它所关联的存储卷。 当您删除一个有状态负载时，为实现有状态负载中的Pod可以有序停止，请在删除之前将副本数缩容到0。 您需要在创建有状态负载的同时，创建一个Headless Service，用于解决有状态负载Pod互相访问的问题，详情请参见Headless Service。 节点不可用时，Pod状态变为“未就绪”，此时需要手工删除有状态工作负载的Pod，Pod实例才会迁移到正常节点上。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有请参照集群开通中内容创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。

接口功能介绍 操作审计可疑操作详情接口。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI GET /v1/audit/queryOperationDetail/ 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 String id F5283205ASASASA Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionid 是 String 资源池id 100054c0416811e9a6690242ac110002 urlType 是 String 请求地址类型。CTAPI CTAPI ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000 :成功; CTCSSCN000001:失败; CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用; CTCSSCN000004：鉴权错误; CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象 data 表 data 参数 参数类型 说明 示例 下级对象 custName String 服务器名称 0 agentGuid String 主机ID privateIp String 私有IP publicIp String 公有IP timestamp String 发生时间 operationTime String 操作时间 record Object 数据 record 表 record 参数 参数类型 说明 示例 下级对象 ruleName String 规则中文名 ruleType String 规则类别 0：系统规则 1：自定义规则 threatLevel String 威胁等级 0：低危 1：中危 2：高危 loginUser String 登录用户 currProc String 执行命令进程 loginTTY String 产生命令的登录终端(TTY) cmd String 命令内容 loginIP Object 登录IP parentProc String 实际执行命令进程 pid String pid

本章节为您介绍日志外发相关功能 数据库安全网关支持配置Syslog、Kafka日志外发能力。 配置Syslog外发 用户可配置通过 Syslog 通知方式将资产审计日志或资产告警日志发送到指定的Syslog服务器。 1.在左侧导航栏选择“通知外送 > 日志外送 > SYSLOG”进入告警通知页面。 2.单击页面中的“新增”按钮，弹出 SYSLOG 配置对话框，编辑相关信息。 配置项 说明 名称 Syslog接收接口的配置名称。 服务器地址 Syslog服务器地址，可为IP或者域名。 端口 Syslog服务器端口，默认为端口为514。 发送协议 选择日志传输的协议类型，支持UDP或TCP。 是否发送消息头 决定是否在日志数据前添加自定义Syslog消息头（含主机名及用户名）。 内容协议格式 定义日志数据的格式，默认为RFC3164。 报文默认主机名 可以指定日志中使用的默认主机名。 报文默认应用名 可以指定日志中使用的默认应用程序名。 程序模块编码 Syslog协议RFC5424 规定，消息中必须包含“程序模块编码”，Syslog服务端使用该编码区分发送消息的程序来源。与服务器端配置保持一致即可。 严重等级 选择向Syslog服务器发送告警所标记的严重等级。等级分为：Emergency、Alert、Critical、Error、Warning、Notice、Informational、Debug。 与服务器端配置保持一致即可。 审计日志模板 发送审计日志信息的模板，可修改默认模板，具体字段请依据填写说明编辑。 告警日志模板 发送告警日志信息的模板，可修改默认模板，具体字段请依据填写说明编辑。 3.配置好Syslog发送模板后，需配置需要发送通知的资产及接收人，点击“添加”按钮即可添加接收人。

本文简述全站加速节点无需部署私钥的情况下如何加速HTTPS业务，适用场景、注意事项等。 功能介绍 通常情况下，HTTPS协议的域名，如果需要在全站加速平台配置加速服务，需要将HTTPS公钥和私钥部署到全站加速平台。使用HTTPS无私钥驻留加速方案后，您只需要将公钥部署到全站加速平台，私钥可以由源站唯一保有，即可实现HTTPS业务的加速。 HTTPS无私钥驻留加速方案原理如上图，具体过程如下： 1A: 客户端发起https请求，与全站加速节点进行ssl握手，全站加速节点将相应的SSL证书公钥传送给客户端，客户端使用公钥加密客户端生成的随机密码后发往全站加速节点。 1B: 全站加速节点与源站的私钥服务器建连，通过双方约定的加密方式将客户端发来的公钥加密的随机密码发往源站的私钥服务器，私钥服务器使用私钥解密获取随机密码，然后再将随机密码通过双方约定的加密方式返回给全站加速节点，全站加速节点解密后获取随机密码。 2A: 全站加速节点与客户端双方都拥有随机密码后，即可以正常通信发送加密数据了。 2B: 全站加速节点回源请求，与源站真实服务器建立https连接获取源站内容。 适用场景 特别适合于银行、证券等金融行业对数据安全要求极高的业务，您无需在全站加速平台部署HTTPS证书的私钥，即可实现HTTPS加速，私钥由源站唯一拥有。

产品优势 使用简单 可以通过控制台或者API等方式快速创建和管理VPC。 网络自定义 VPC提供了自定义的网络管理功能，可以按需划分子网，通过配置路由表和路由规则，实现云上网络定制化。 安全隔离 VPC之间基于隧道技术进行隔离，VPC之间默认不互通，同时基于网络ACL和安全组做多重安全防护。 网络扩展 基于不同的业务需求，创建一个或者多个VPC内不同的子网来部署不同的业务类型，同时结合相应的云网络产品实现不同VPC之间互通、VPC与公网互通以及VPC和本地IDC互通，实现网络的扩展。 应用场景 根据业务需求通过VPC创建云上网络环境用于部署云上资源，并通过子网做进一步的网络细化管理，结合自定义路由功能对路由做精确控制，结合安全组和网络ACL做安全访问控制。 通过VPC对等连接或者VPN网关实现同地域下不同VPC或者不同地域下不同VPC的内网互通。 通过弹性公网IP、公网NAT和公网SLB实现VPC和公网之间的互通。 通过云专线或者VPN网关实现VPC和本地IDC之间的互通。 使用限制 限制 说明 VPC网段范围 使用10.0.0.0/8、192.168.0.0/16、172.16.0.0/12及其子网，其中子网最大的掩码支持28。 子网CIDR范围 子网CIDR的掩码范围最小为VPC网段的最小掩码，最大为29。 子网可用IP 每个子网网段中第一个、第二个和最后一个地址为预留地址，其他地址皆为可用地址。

参数 描述 数据流动方向 选择“自建自建”。 源数据库引擎 选择“MySQL”。 目标数据库引擎 选择“Kafka”。 网络类型 此处以“公网网络”为示例。目前支持可选公网网络、VPC网络和VPN、专线网络。 可用区 选择DRS实例创建在哪个可用区，选择跟源或目标库相同的可用区性能更优。 VPC 选择可用的虚拟私有云。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 内网安全组 请选择内网安全组。内网安全组限制实例的安全访问规则，加强安全访问。 同步类型 增量增量同步通过解析日志等技术，将源端产生的增量数据同步至目标端。 无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 标签 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见 标签管理。

本章节主要介绍安装客户端（3.x之前版本）。 操作场景 用户需要使用MRS客户端。MRS集群客户端可以安装在集群内的Master节点或者Core节点，也可以安装在集群外节点上。 MRS 3.x之前版本集群在集群创建后，在主Master节点默认安装有客户端，可以直接使用，安装目录为“/opt/client”。 MRS 3.x及之后版本客户端的安装请参考安装客户端（3.x及之后版本）。 说明 如果集群外的节点已安装客户端且只需要更新客户端，请使用安装客户端的用户例如“root”。 在集群外节点安装客户端前提条件 已准备一个弹性云主机，主机操作系统及版本请参见参考列表。 操作系统 支持的版本号 Euler 可用：Euler OS 2.2 可用：Euler OS 2.3 可用：Euler OS 2.5 例如，用户可以选择操作系统为Euler的弹性云主机准备操作。 同时为弹性云服务分配足够的磁盘空间，例如“40GB”。 弹性云主机的VPC需要与MRS集群在同一个VPC中。 弹性云主机的安全组需要和MRS集群Master节点的安全组相同。 如果不同，请修改弹性云主机安全组或配置弹性云主机安全组的出入规则允许MRS集群所有安全组的访问。 需要允许用户使用密码方式登录Linux弹性云主机（SSH方式），请参见弹性云主机《用户指南》中“实例> 登录Linux弹性云主机 >SSH密码方式登录”。

如果不再需要某个数据空间，可以参照本节进行删除。 约束与限制 系统创建默认数据空间不支持删除操作。 如果待删除数据空间中，存在数据管道，则该数据空间不能直接删除。您需要先删除数据管道，再删除数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在需要删除的数据空间所在行的“操作”列，单击“删除”。 6. 在弹出的对话框中单击“确认”，完成删除数据空间的操作。 注意 如果待删除数据空间中，存在数据管道，则该数据空间不能直接删除。您需要先删除数据管道，再删除数据空间。

本小节介绍安全专区云防火墙配置的VPC环境调整。 云防火墙需要实现IP地址转换功能，所以需要关闭云主机的网络接口IP地址检查，同时放通相关网络端口。 关闭云防火墙虚机网络检查 1.在【天翼云控制中心】页面中的【控制中心】→【计算】→【弹性云主机】，找到承载云防火墙（AQZQAF）的云主机（表示主机名称）。 点击该云主机名称，选择网卡，确认该云主机下有两个网卡。 2.将所有网卡的【源/目的检查】选项设置关闭。 3.确认网卡的安全组是否放通业务流量端口（必须放通TCP/443端口）。 4.进入【控制中心】→【网络】→【虚拟私有云】，检查安全专区所在VPC子网，详情如图所示，记录子网“IPv4网络”与“网关”。

私网NAT网关支持SNAT规则和DNAT规则共用一个中转IP吗？ 支持，SNAT规则、DNAT规则可以共用同一个中转IP，实现服务开放和主动访问使用同一私网地址。 私网NAT网关是否支持网络ACL？ 私网NAT网关本身不支持ACL，可以通过配置私网NAT后端的主机安全组和ACL来进行访问控制。 网络ACL：可以通过网络ACL来配置子网出入流量的规则，限制特定协议、端口或IP地址的访问，具体操作步骤请参见创建ACL。 安全组：安全组是一种虚拟防火墙，可以在弹性云主机中配置。通过安全组，可以定义允许和拒绝的流量规则，限制特定协议、端口或IP地址的访问，具体操作步骤请参见创建安全组。 私网NAT网关配置完成后，网络不通如何处理？ 私网NAT网关配置完成后，网络不通可以通过以下步骤进行处理： 1. 检查私网NAT网关状态是否处于运行中，如果不是运行中，可以通过以下方法解除异常。 1. 私网NAT网关到期，显示已到期，可以点击续订，让私网NAT网关恢复正常。再次进行连接测试。 2. 私网NAT网关按需欠费后，会处于冻结状态，可以进行续费处理，让私网NAT网关恢复正常。再次进行连接测试。 2. 检查SNAT规则和DNAT规则配置是否正确。 1. 在SNAT规则配置页面确认SNAT规则是否已经配置生效，且确认弹性云主机在SNAT规则子网内，或源访问地址在SNAT规则的源地址段内。如果SNAT规则未配置正确则无法访问公网。如何配置SNAT规则，具体操作步骤请参见管理SNAT规则。 2. 在DNAT规则配置页面确认DNAT规则已经配置生效，DNAT规则配置未生效会访问不通。关于如何配置DNAT规则，具体操作步骤请参见管理DNAT规则。 3. 检查是否由于VPC路由表配置错误引起的，可以通过以下方法重新配置VPC路由表。 1. 找到VPC对应的子网关联的路由表。 2. 查看路由表是否有到私网NAT网关的路由，如果不包含，请添加对应的路由。具体操作步骤请参见管理私网NAT网关，再次进行连接测试。 4. 检查云主机安全组配置，如果安全组没有放通弹性云主机访问和对外提供服务使用的端口，需要在对应的安全组中添加放行该端口。 1. 点击云主机名称，进入云主机详情页，选择安全组页签，展开安全组规则。 2. 出方向放通所有端口，地址为0.0.0.0/0，入方向端口放通DNAT绑定的应用端口，具体操作步骤请参加添加安全组规则。再次进行连接测试。 5. 检查网络ACL设置，如果VPC的业务子网关联了网络ACL，可能导致网络不同。 1. 点击子网名称，进入子网详情页，选择ACL页签，查看是否有绑定网络ACL，检查入方向规则和出方向规则是否添加了放通子网流量的规则。 2. 如果未添加放通子网流量的规则，请添加入方向、出方向规则放通子网流量或者将网络ACL与子网取消关联。再次进行连接测试。 6. 检查私网NAT网关业务量是否超过规格上限。 1. 在云监控云服务监控中找到私网NAT网关名称，点击查看监控指标，查看私网NAT网关业务指标情况。 2. 如果超过上限，可以点击私网NAT网关操作栏的“变配”，变更私网NAT网关的规格。再次进行连接测试。 7. 检查弹性云主机端口，以CentOS为例可使用以下命令行查看端口监听是否正常。 1. netstat ntulp grep 云主机端口。 2. 如果端口没有被正常监听，请重新开启弹性云主机端口。 8. 如果上述排查后，网络依然不通，可以提交工单，联系技术支持人员帮助解决。

本小节介绍终端杀毒如何安装安全组件。 操作步骤 1.完成主机池添加后，查看资产管理→主机界面，已添加的主机，状态栏为“未安装安全组件”。 2.勾选具体的主机，点击“安装安全组件”，弹出下图界面，按需选择和填写对应参数即可。 3.安装完成后，会显示“安装成功”，继续等待12分钟后，会刷新出主机的系统信息、特征库信息，主机状态为“在线”。 4.无代理主机（即虚拟化平台）还需为平台所管理的具体虚拟机安装消息中心，具体参照可参见对应平台的安装部署手册。

本文介绍了边缘安全加速平台如何启用域名。 使用场景 如果您需要启用针对某个域名的防护，您可以在控制台进行启用操作。域名启用后，请求流量将会解析到边缘节点进行攻击防御，并进行相关费用统计。 前提条件 域名状态为“已停止”。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才能启用。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.选择需要启用的域名，在操作栏点击【启用】按钮后，会进行弹窗提示，再次确认后，域名会进入启用流程，域名状态变成“配置中”。 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已启用”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

介绍安装HSS Agent影响。 安装HSS Agent不影响在线业务，也不会影响服务器的运行状态。 企业主机安全服务（HSS）提供的Agent，用于执行检测任务，全量扫描主机；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。 更多有关HSS Agent的信息，请参见：什么是HSS的Agent？。

本页为您介绍服务单列表页面。 查看服务单列表 进入数据库专家服务控制台服务单管理页面，该页面您可以查看已购买的服务信息，包括服务单号、服务类型、服务内容、购买量、创建时间、验收完成时间、客户备注、服务状态等信息。点击左上角【购买服务】可以再次订购相关产品。

本章节为您介绍敏感数据资产的相关内容 若数据库、表、字段的名称或类型发生改变，请及时对所属资产重新扫描，否则容易造成您配置的部分规则失效。 自主扫描 数据库安全网关自主扫描通过配置资产的数据库连接信息，自动获取数据库中的元数据（如库、表、字段等），并对这些数据进行分级和分类。 在数据库安全网关开始扫描前，您可以选择性的在“规则配置 > 敏感数据发现”页面自定义一些敏感数据的发现规则，这将丰富扫描出的敏感数据类型。 1.登录数据库安全网关。 2.在左侧菜单栏选择“资产 > 敏感数据 > 敏感数据扫描”进入敏感数据扫描任务页面。 3.单击“新增”按钮，在弹出的“新增敏感数据扫描任务”页面编辑相关信息后。 选择需要扫描的资产或是Oralce集群，配置登录信息，单击“获取扫描配置”按钮，系统将自动检索并显示“ Schema/数据库名”的列表，同时还会显示每个数据库所包含的数据表数量。 说明 新增敏感数据扫描任务时，若选择已配置默认数据源的资产（默认数据源在“新增资产”时配置），系统会自动识别并填充相应的用户名和密码。 4.勾选需要扫描的“Schema/数据库名”，系统将自动检索出数据库下的所有数据表。 配置项 说明 名称 非必填项，不填则自动生成。填写必须为中文字符、字母、数字、“”、“ .”或“ ” ，长度不超过 64 字符。 所属资产 设置数据来源所隶属的资产。 数据库环境 （仅限MySQL资产填写）根据实际情况选择原生环境或分片环境。 用户名 填写数据库的用户名。 密码 填写数据库的密码。 数据库名 填写数据库名。 获取扫描配置 点击获取扫描配置，系统将自动检索并显示“Schema/数据库名”的列表。 扫描配置 展示所属资产的“Schema/数据库”和“数据表”信息。 5.勾选需要扫描的数据表 ，单击“保存并启动”。保存敏感数据扫描任务配置并立即执行任务。任务状态为“扫描中”。 说明 有且仅有一个敏感数据扫描任务在扫描中，若同时存在多个扫描任务则排队扫描。 6.元数据获取完成后，任务状态会显示“扫描完成”，元数据将保存在“敏感数据管理” 中。 7.单击敏感数据扫描任务条目中的“配置敏感数据列的数字”，将会跳转到“资产 > 敏感数据 > 敏感数据管理”页面 ，且默认带上“扫描任务”和“是否敏感数据”两个查询条件。

态势感知的工作原理。 态势感知（专业版）（Situation Awareness，SA）是可视化威胁检测和分析的平台。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 工作原理 态势感知通过采集全网流量数据和安全防护设备日志信息，并利用大数据安全分析平台进行处理和分析，态势感知检测出威胁告警，实时为用户呈现完整的全网攻击态势，进而为安全事件的处置决策提供依据。

每一张GPU提供的算力按100计量，50代表一张一张卡50%的算力 ctyun.cn/gpumemory: '2000' 执行GPU任务，查看命令输出内容，可以见到耗时减少。 plaintext datatime : 0.00086 s val.computelatencyat100 : 0.60483 s val.computelatencyat 99 : 0.02637 s val.computelatencyat95 : 0.02540 s Experiment ended real 0m12.447s user 0m12.778s sys 0m3.486s

服务阶段 实施内容 购买阶段 请您根据实际需求及服务团队沟通建议购买全流量分析服务，购买指引请参见 准备阶段 明确需创建的虚拟机规格，是否需要对接终端引流插件。 部署阶段 上传私有镜像、创建全流量虚拟机、完成授权，全流量对接及外发策略配置。

集群创建完成后，可以接入集群开始使用Elasticsearch搜索引擎，如定义索引数据、导入数据、搜索数据等。接入方式有4种： 在管理控制台通过Kibana接入集群。 在同一VPC内的弹性云主机，直接调用Elasticsearch API。 非安全模式使用Java API接入集群。 Elasticsearch 安全模式Java API接入集群。 在管理控制台通过Kibana接入集群 1.登录云搜索服务管理控制台。 2.在左侧导航栏，单击“集群管理”。 3.在集群对应的“操作”列，单击“Kibana”，即可打开Kibana界面。 说明 单击“Kibana”将会在浏览器中打开一个新窗口，而弹出的新窗口有可能被浏览器拦截。如果单击“Kibana”后无新窗口打开，表示已被浏览器拦截。建议在浏览器中查看拦截信息，允许浏览器访问已拦截的弹出式窗口，即kibana的访问地址 。 4.在打开的Kibana页面中，您可以创建索引、查询索引和文档、对文档字段进行分析。 其中导入数据到Elasticsearch的操作指导请参见如下章节： 使用Logstash导入数据到Elasticsearch。 使用Kibana或API导入数据到Elasticsearch。 在同一VPC内的弹性云主机，直接调用Elasticsearch API 直接调用Elasticsearch API的弹性云主机，需满足如下要求。创建并登录弹性云主机的操作指导请参见弹性云主机的“登录Linux弹性云主机”或“登录Windows弹性云主机”。 为弹性云主机分配足够的磁盘空间。 此弹性云主机的VPC需要与集群在同一个VPC中。 此弹性云主机的安全组需要和集群的安全组相同。 如果不同，请修改弹性云主机安全组或配置弹性云主机安全组的出入规则允许集群所有安全组的访问。修改操作请参见《虚拟私有云》帮助文档。 待接入的ES集群，其安全组的出方向和入方向需允许TCP协议及9200端口，或者允许端口范围包含9200端口。 操作步骤如下所示： 1.创建并登录满足要求的弹性云主机。 2.接入集群时需要使用内网访问地址和端口号，您可以在集群列表中的“内网访问地址”列获取节点内网访问地址。如果集群只有1个节点，此处仅显示1个节点的内网访问地址和端口号，如果集群有多个节点，此处显示所有节点的内网访问地址和端口号。 例如，集群中有2个节点，集群列表显示的值为“10.62.179.32:9200 10.62.179.33:9200”，表示2个节点的内网访问地址分别为“10.62.179.32”和“10.62.179.33”，访问节点需使用端口都为“9200”。 3.在此弹性云主机中，直接通过cURL执行API或者开发程序调用API并执行程序即可使用集群。 例如，使用cURL执行如下命令，查看集群中的索引信息，集群中某一个节点的内网访问地址为“10.62.179.32”，端口为“9200”。 如果接入集群未启用安全模式，接入方式为： curl ' 如果接入集群已启用安全模式，则需要使用https方式访问，并附加用户名和密码，在curl命令中添加u选项。 curl u username:password k' 说明 此处仅使用集群中某一个节点内网访问地址和端口号，当该节点出现故障时，将导致命令执行失败。如果集群包含多个节点，可以将节点内网访问地址和端口号替换为集群中另一节点的内网访问地址和端口号；如果集群只包含一个节点，则需要将该节点修复之后再次执行命令。 执行结果

ping 172.17.0.21 PING 172.17.0.21 (172.17.0.21) 56(84) bytes of data. 64 bytes from 172.17.0.21: icmpseq1 ttl64 time0.849 ms 64 bytes from 172.17.0.21: icmpseq2 ttl64 time0.455 ms 64 bytes from 172.17.0.21: icmpseq3 ttl64 time0.385 ms 64 bytes from 172.17.0.21: icmpseq4 ttl64 time0.372 ms ... 172.17.0.21 ping statistics 注意 本示例中ECSA01和RDSB01位于同一个安全组内，因此只要VPCA和VPCB之间的对等连接创建成功后，就可以实现网络互通。如果您需要连通的实例位于不同的安全组内，那么您需要在安全组的入方向规则中，添加放通对端安全组的规则。 对于更多对等连接网络不通的问题，处理方法请参见为什么对等连接创建完成后不能互通？。

本章节主要介绍约束与规范。 在使用翼MapReduce前，您需要认真阅读并了解以下使用规则。 1. 集群必须创建在VPC子网内。 2. 创建集群时，从下拉框中选择已有的安全组。集群创建完成后，请勿随意删除或更改已使用的安全组，否则可能导致集群异常，影响集群的使用。 1. 集群使用的安全组请勿随意放开权限，避免被恶意访问。 2. 创建安全组时，出、入方向规则中的端口需要放开，授权策略不能选择“拒绝”，否则会导致不能部署集群和拉起服务。 3. 部署Hive/Ranger/Amoro/Hue/DolphinScheduler组件时，元数据配置的数据库与集群需要在同一个VPC下，并通过内网地址进行连接。 4. 请根据业务需要规划集群节点的磁盘，如果需要存储大量业务数据，请增加云硬盘数量或存储空间，以防止存储空间不足影响节点正常运行。 5. 集群节点仅用于运行翼MapReduce集群，其他客户端应用程序、用户业务程序建议申请独立弹性云服务器部署。

修改密码 如需修改登录密码，用户中心点击“修改密码”，输入原密码验证，再次输入新密码即可修改登录密码。 安全中心 如需查看云电脑登录的设备或移除设备，用户中心点击“安全中心”。 进入到安全中心，找到对应的设备，点击进入设备详情。 点击底部按钮“移除设备”，确认移除后，该设备已登录的账号和密码缓存将被清除。 退出登录 如需退出云电脑登录账号，用户中心点击“退出登录”，二次确认之后即可退出云电脑登录账号。

本文介绍了MySQL主备复制原理。 MySQL主备复制原理说明 MySQL复制是基于复制源服务器在其二进制日志(下称binlog)中跟踪对其数据库的所有更改(增、删、改等)。binlog作为从服务器启动那一刻起修改数据库结构或内容(数据)的所有事件的书面记录。通常，SELECT不记录语句是因为它们既不修改数据库结构也不修改数据本身。 连接到源的每个副本都请求binlog的副本。也就是说，它从源中拉取数据，而不是源将数据推送到副本。副本还执行它接收到的binlog中的事件。这具有重复原始更改的效果，就像它们在源上所做的一样。创建表或修改其结构，并根据最初在源上所做的更改插入、删除和更新数据。 因为每个副本都是独立的，所以来自源的binlog的更改的重播独立发生在连接到源的每个副本上。此外，因为每个副本仅通过从源请求它来接收binlog的副本，副本能够按照自己的节奏读取和更新数据库的副本，并且可以随意启动和停止复制过程而不会影响在源端或副本端更新到最新数据库状态的能力。 主备复制流程说明： 1. 主库节点中每当有数据进行DML操作时，事务会按照binlog格式将DML操作以event的形式写入到主节点的binlog中。DML包括：Insert, Delete, Update等。 2. 备库节点连接主库节点时，有多少个备节点就会创建多少个binlog dump线程。 3. 当主库节点的binlog发生变化时，binlog dump线程会通知备节点(若多个备库则通知所有备节点)，并将相应的binlog内容推送给备库节点。 4. 备库节点的I/O thread进程收到binlog后，会将日志包含的内容写入本地中继日志(下称relay log)。 5. 备库节点的SQL thread会读取I/O thread写入的relay log并根据relay log中记录的event内容生成相应的DML语句，回放入备库中，完成整个主备复制流程。 主要源码说明： / The pseudo code to compute SecondsBehindMaster: 信息来自源码sql/rplreplica.cc if (SQL thread is running) //如果SQL thread启动 { if (SQL thread processed all the available relay log) ​ //当IO thread拉取主库binlog的位置和SQL thread应用的relay log相对于主库binlog的位置相等时 ​ { ​ if (IO thread is running) ​ //如果IO thread启动，设置延迟为0 ​ print 0; ​ else ​ //如果未启动，设置延迟为NULL ​ print NULL; ​ } ​ else ​ //如果SQL thread没有应用完所有IO thread写入的event时，需要计算SecondsBehindMaster ​ compute SecondsBehindMaster; } else ​ //如果SQL thread也没启动，则设置为NULL ​ print NULL; / SecondsBehindMaster的计算公式：SecondsBehindMaster time(0) lastmastertimestamp clockdiffwithmaster。 公式变量解释： 1. time(0)：当前备库节点服务器的系统时间。 2. lastmastertimestamp：备库节点在回放relay log中的event过程中的计算和更新，该变量可理解为备库节点SQL thread处理中事务在主库节点中的执行时间。 3. clockdiffwithmaster：备库节点的系统时间和主库节点服务器系统时间的差值，一般为0。如果主备节点系统时间不一致，那计算出的备库节点复制时延会不准确。 综上所述：SecondsBehindMaster 当前备库节点服务器的系统时间 备库节点SQL线程处理中事务在主库节点的执行时间 备库节点的系统时间和主库节点服务器系统时间的差值。

功能模块 权限名称 MySQLadmin MySQLuser MySQLreviewer 实例管理 MySQL切换策略/复制方式 Y Y 实例管理 MySQL设置监控频率 Y Y 实例管理 MySQL绑定/解绑实例标签 Y Y 实例管理 MySQL设置内网域名 Y Y 实例管理 MySQL设置数据库只读 Y Y 实例管理 MySQL启用/禁用root账号 Y Y 实例管理 MySQL修改数据库端口 Y Y 实例管理 MySQL切换VPC Y Y 实例管理 MySQL事件定时器 Y Y 实例管理 MySQL修改实例名称 Y Y 实例管理 MySQL修改连接地址 Y Y 日志管理 MySQL修改实例Binlog本地设置 Y Y 日志管理 MySQL日志服务 Y Y 日志管理 MySQLBinlog日志下载 Y Y 日志管理 MySQL创建合并任务 Y Y 日志管理 MySQL日志备份清理 Y Y 帐号管理 MySQL账户管理/密码插件管理 Y Y 数据安全 MySQL安装/卸载TDE Y Y 数据安全 MySQL拦截sql语句 Y Y 数据安全 MySQL白名单配置与修改 Y Y 数据安全 MySQL添加安全组 Y Y 数据安全 MySQL解绑安全组 Y Y 数据安全 MySQL自定义密码策略 Y Y 数据库代理 MySQL代理配置 Y Y 数据库代理 MySQL代理绑定eip Y Y

本节介绍云下一代防火墙产品优势。 具有全面适应能力的软件防火墙 在云计算环境中，用户的计算、存储、数据资源都是运行在服务器的虚拟机上，在考虑安全防护的设计时，云下一代防火墙可在云主机上实现快速灵活的部署，支持在VMware、KVM、HyperV、XEN等主流虚拟化平台运行，可串联或单臂连接到虚拟网络中（如：虚拟应用服务器前端的网关，或者是VPC网络的边界网关），为虚拟网络或应用提供专业的边界网络安全防护功能。 以虚拟机形式部署设备，能够克服物理防火墙的限制，在云计算环境中可部署于更加靠近云主机的位置，对于云主机内部流量进行过滤，实现同时对于南北向和东西向流量的安全防护。同时，用户可以根据网络搭建需求，弹性调配和管理网络资源等，并且能够按需进行灵活迁移，充分发挥云计算优势。 拥有专业NGFW安全防护功能 云下一代防火墙拥有与NGFW相同的操作系统，具有丰富的网络安全防护功能，对网络威胁进行防御，能够满足企业分支及公有云多租户环境中的网络安全需求。 具备精细化应用管控，可为用户提供多维的应用风险分析和筛选，以及灵活的安全控制，包括策略阻止、会话限制、应用引流和智能流量管理等。同时，还具备入侵防御、病毒过滤、攻击防护、NAT等功能，满足客户对安全访问，攻击防护以及应用识别和控制等需求。 具备HA组网能力，满足配置和会话同步的要求，从而实现高可靠的冗余部署，保障用户业务的不间断连续运营。

本文为您介绍续费操作内容。 如果您想续订云专线的云端口带宽资源，可以联系您的客户经理帮您申请端口带宽资源的续订，也可以通过如下操作步骤实现。 操作步骤 1. 登录天翼云官网的控制中心，进入网络控制台。 2. 在“云专线>物理专线”界面中，点击物理专线“操作”列的【续订】按钮。 3. 根据提示完成续订订单即可。

此小节介绍云堡垒机数据库审计。 审计对象为授权的资产数据角色在本地初始化访问方式产生的数据库会话，支持查看sql指令，会话详情。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择“会话日志 > 数据库审计”。 2.可直接查看数据库审计的相关内容。