集群创建完成后，可以接入集群开始使用Elasticsearch搜索引擎，如定义索引数据、导入数据、搜索数据等。接入方式有4种： 在管理控制台通过Kibana接入集群。 在同一VPC内的弹性云主机，直接调用Elasticsearch API。 非安全模式使用Java API接入集群。 Elasticsearch 安全模式Java API接入集群。 在管理控制台通过Kibana接入集群 1.登录云搜索服务管理控制台。 2.在左侧导航栏，单击“集群管理”。 3.在集群对应的“操作”列，单击“Kibana”，即可打开Kibana界面。 说明 单击“Kibana”将会在浏览器中打开一个新窗口，而弹出的新窗口有可能被浏览器拦截。如果单击“Kibana”后无新窗口打开，表示已被浏览器拦截。建议在浏览器中查看拦截信息，允许浏览器访问已拦截的弹出式窗口，即kibana的访问地址 。 4.在打开的Kibana页面中，您可以创建索引、查询索引和文档、对文档字段进行分析。 其中导入数据到Elasticsearch的操作指导请参见如下章节： 使用Logstash导入数据到Elasticsearch。 使用Kibana或API导入数据到Elasticsearch。 在同一VPC内的弹性云主机，直接调用Elasticsearch API 直接调用Elasticsearch API的弹性云主机，需满足如下要求。创建并登录弹性云主机的操作指导请参见弹性云主机的“登录Linux弹性云主机”或“登录Windows弹性云主机”。 为弹性云主机分配足够的磁盘空间。 此弹性云主机的VPC需要与集群在同一个VPC中。 此弹性云主机的安全组需要和集群的安全组相同。 如果不同，请修改弹性云主机安全组或配置弹性云主机安全组的出入规则允许集群所有安全组的访问。修改操作请参见《虚拟私有云》帮助文档。 待接入的ES集群，其安全组的出方向和入方向需允许TCP协议及9200端口，或者允许端口范围包含9200端口。 操作步骤如下所示： 1.创建并登录满足要求的弹性云主机。 2.接入集群时需要使用内网访问地址和端口号，您可以在集群列表中的“内网访问地址”列获取节点内网访问地址。如果集群只有1个节点，此处仅显示1个节点的内网访问地址和端口号，如果集群有多个节点，此处显示所有节点的内网访问地址和端口号。 例如，集群中有2个节点，集群列表显示的值为“10.62.179.32:9200 10.62.179.33:9200”，表示2个节点的内网访问地址分别为“10.62.179.32”和“10.62.179.33”，访问节点需使用端口都为“9200”。 3.在此弹性云主机中，直接通过cURL执行API或者开发程序调用API并执行程序即可使用集群。 例如，使用cURL执行如下命令，查看集群中的索引信息，集群中某一个节点的内网访问地址为“10.62.179.32”，端口为“9200”。 如果接入集群未启用安全模式，接入方式为： curl ' 如果接入集群已启用安全模式，则需要使用https方式访问，并附加用户名和密码，在curl命令中添加u选项。 curl u username:password k' 说明 此处仅使用集群中某一个节点内网访问地址和端口号，当该节点出现故障时，将导致命令执行失败。如果集群包含多个节点，可以将节点内网访问地址和端口号替换为集群中另一节点的内网访问地址和端口号；如果集群只包含一个节点，则需要将该节点修复之后再次执行命令。 执行结果

本文为您介绍什么是资源编排ROS。 资源编排ROS（ROS，Resource Orchestration Service）是基于Terraform（HCL + Provider）的新一代云资源全生命周期管理平台，您只需通过结构化模板集中定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等），即可自动、安全、高效地实现“一键创建与管理”云资源。借助 Terraform 的底层引擎能力，ROS 能够自动解析资源依赖关系、校验配置合规性，并通过预置的安全策略规避权限风险与配置冲突，最终实现从资源创建、关联配置到后期扩缩容、版本迭代的 “一键化” 操作。 资源编排ROS聚焦自动化批量创建云资源场景，全面践行“基础设施即代码”理念，帮助用户大幅降低人工操作失误率，同时支持资源的批量管理与自动化运维，让企业在复杂云架构下也能轻松实现资源的高效调度与精益化管理，助力用户高效、安全、一致性交付和运维天翼云服务。 为什么选择资源编排ROS 资源编排ROS可以帮助您高效、安全、轻松地管理一组资源。 强大的Terraform生态：完全兼容Terraform，确保您的现有资源栈无缝迁移。 极简自动化部署：通过模板化编排和自动化引擎，您只需“一次设计”即可“多次部署”。 安全合规：内置评估审核与合规性校验，让变更可知、可控、可追溯。 成本优化：模板可一键复用，变更前可预测资源与费用变更，助力企业降本增效。 友好交互： 企业级可视化交互和丰富API接口。

本文为您介绍什么是资源编排ROS。 资源编排ROS（ROS，Resource Orchestration Service）是基于Terraform（HCL + Provider）的新一代云资源全生命周期管理平台，您只需通过结构化模板集中定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等），即可自动、安全、高效地实现“一键创建与管理”云资源。借助 Terraform 的底层引擎能力，ROS 能够自动解析资源依赖关系、校验配置合规性，并通过预置的安全策略规避权限风险与配置冲突，最终实现从资源创建、关联配置到后期扩缩容、版本迭代的 “一键化” 操作。 资源编排ROS聚焦自动化批量创建云资源场景，全面践行“基础设施即代码”理念，帮助用户大幅降低人工操作失误率，同时支持资源的批量管理与自动化运维，让企业在复杂云架构下也能轻松实现资源的高效调度与精益化管理，助力用户高效、安全、一致性交付和运维天翼云服务。 为什么选择资源编排ROS 资源编排ROS可以帮助您高效、安全、轻松地管理一组资源。 强大的Terraform生态：完全兼容Terraform，确保您的现有资源栈无缝迁移。 极简自动化部署：通过模板化编排和自动化引擎，您只需“一次设计”即可“多次部署”。 安全合规：内置评估审核与合规性校验，让变更可知、可控、可追溯。 成本优化：模板可一键复用，变更前可预测资源与费用变更，助力企业降本增效。 友好交互： 企业级可视化交互和丰富API接口。

本节介绍了安全管理角色的用户指南。 操作场景 基于角色（Role）的访问控制（RBAC）是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。 RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。 这些权限是纯粹累加的（不存在拒绝某操作的规则）。 Role 总是用来在某个名字空间内设置访问权限； 在你创建 Role 时，你必须指定该 Role 所属的名字空间。与之相对，ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同（Role 和 ClusterRole）是因为 Kubernetes 对象要么是名字空间作用域的，要么是集群作用域的，不可两者兼具。 前提条件 已创建云容器引擎集群，具体操作请参见创建一个集群。若已有容器集群，无需重复操作。 操作步骤 创建Role或Cluster Role 1. 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2. 在集群列表中点击需要创建Role的集群，进入集群管理页面。 3. 在集群管理页面导航栏中选择安全管理 > 角色，进入角色信息页面。 4. 在上⽅选项卡中选择Role或Cluster Role创建对应的角色，本文以Cluster Role为例。 5. 点击创建进入创建YAML页面，Yaml编辑窗口提供⼀个默认的Cluster Role Yaml模板，可参考模板创建需要的Cluster Role。

本节介绍如何创建数据空间。 操作场景 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 当您需要使用态势感知（专业版）提供的 安全分析 、 数据分析 、智能建模等功能时，需要新增数据空间。 前提条件 已新增工作空间，具体操作请参见新增工作空间。 约束与限制 一个工作空间中最多可创建5个数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在数据空间列表左上角，单击“新增”，系统从右侧弹出新增数据空间界面。 6. 在新增数据空间页面中，配置新建数据空间参数，参数说明如下表所示。 参数名称 参数说明 数据空间 输入数据空间名称。命名规则如下： 名称长度取值范围为563个字符。 可包含英文字母、数字和。其中，不能出现在开头和结尾，且不能连续出现。 名称须为全局唯一，不能与其他数据空间名称相同。 描述 可选参数，设置该数据空间的备注信息。 7. 单击“确定”，完成数据空间的新增。 新增完成后，可以在数据空间列表中查看已新增的数据空间。

本小节介绍网络安全法、等保2.0以及测评机构等概念。 《中华人民共和国网络安全法》 《中华人民共和国网络安全法》是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定的法规。 测评机构 信息安全等级保护测评机构是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事非涉密信息系统及资源安全等级测评工作的机构。 等保2.0 等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策，基本制度。 等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、 事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、 基础信息网络、 云计算、 大数据、 物联网、 移动互联网和工业控制信息系统等级保护对象的全覆盖。 ECS 弹性云主机（Elastic Cloud Server，ECS）是由 CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云主机创建成功后，您就可以像使用自己的本地 PC 或物理服务器一样，在云上使用弹性云主机。 RDS RDS是关系型数据库服务（Relational Database Service）的简称，是一种即开即用、稳定可靠、可弹性伸缩的在线数据库服务。具有多重安全防护措施和完善的性能监控体系，并提供专业的数据库备份、恢复及优化方案，使您能专注于应用开发和业务发展。

此小节介绍云堡垒机文件传输审计。 可审计对象为授权的资产数据角色产生的文件传输会话（ftp、sftp）、账号数据角色产生的文件管理操作、个人目录文件操作，支持文件操作记录查看。 操作内容 1.管理员登录并切换至“审计角色”，选择“会话日志 > 文件传输审计”。 2.单击“操作”列的“查看”可查看文件操作审计列表。

本文为您介绍如何进行企业项目修改。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目” 3. 点击企业项目列表操作栏中的“修改”按钮，进入企业项目修改页面。 4. 在弹出的修改企业项目对话框中，可修改企业项目名称、描述内容，点击“确定”完成企业项目信息的修改。 注意 同一个账号下的企业项目名称不可重复。

本页介绍天翼云TeleDB数据库元数据pgaudituserconf的内容。 存储用户级别的审计策略的管理和配置。 名称 类型 定义 auditorid Oid 编写配置用户id userid Oid 需要审计的用户ID actionid int32 需要审计的行为ID actionmode char 何时进行审计：成功时、失败时或全部 actionison bool 开启或关闭此审计配置

本页介绍了如何开启和关闭SSL。 SSL连接是指在MongoDB客户端和服务器之间使用SSL/TLS（安全套接层/传输层安全）协议进行加密和安全通信的一种连接方式。SSL是一种用于加密数据传输的协议，它可以确保在数据传输过程中，数据被安全地加密，防止第三方截获和窃听数据。 通过启用SSL连接，您可以在MongoDB服务器和客户端之间建立加密通道，确保以下安全性： 数据加密：在客户端和服务器之间传输的数据会经过加密处理，防止数据在传输过程中被截获或篡改。 身份验证：SSL连接允许客户端和服务器之间相互认证，确保连接的双方都是合法的，有效的MongoDB实例。 数据完整性：SSL连接还可以确保数据在传输过程中没有被篡改，保证数据的完整性。 开启SSL 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要开启SSL连接的实例，点击该实例的实例ID，进入实例详情。 4. 点击“数据安全”，点击“SSL设置”。 5. 选择开启SSL，即可开启SSL。 注意 开启SSL后实例会进入重启状态，请谨慎操作。 开启SSl后可以下载SSL证书，在连接实例时可以使用SSL证书连接实例，保证数据安全性。 关闭SSL 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要关闭SSL连接的实例，点击该实例的实例ID，进入实例详情。 4. 点击“数据安全”，点击“SSL设置”。 5. 选择关闭SSL，即可关闭SSL。 注意 关闭SSL后实例会进入重启状态，请谨慎操作。

3.1 升级系统 升级系统，确保软件包更新到最新，减少安全风险。下面的命令升级除内核相关之外的包，其中包含bug修复相关的包。 plaintext dnf y x 'kernel' update bugfix 3.2 配置ssh服务器 下面是对ssh服务器的一些配置。 plaintext sed e "s/^ ?PubkeyAuthentication./PubkeyAuthentication yes/g" e "s/^ ?PasswordAuthentication./PasswordAuthentication yes/g" e "s/^ ?PermitRootLogin./PermitRootLogin yes/g" e "s/^ ?UseDNS./UseDNS no/g" e "s/^ ?GSSAPIAuthentication./GSSAPIAuthentication no/g" i.bak /etc/ssh/sshdconfig 说明： PubkeyAuthentication yes：允许公钥认证访问。使用公钥认证访问通常更为安全。 PasswordAuthentication yes：允许使用密码认证访问。密码认证访问不如公钥认证访问安全。但默认镜像中没有公钥（在镜像中捆绑固定的公钥可能有安全隐患），需要使用密码认证访问。您可以在装机登录后配置好ssh公钥，然后禁用密码认证访问。 PermitRootLogin yes：允许root用户登录。允许root用户登录可能不够安全。但默认镜像中不创建其他普通用户。在镜像中创建普通用户并为其捆绑固定的密码可能有安全隐患。物理机装机时只会为root用户设置密码。您可以在装机登录后创建其他用户，然后禁用root用户登录。 UseDNS no：禁用反向DNS解析。未连通公网的机器上DNS不可用，会导致ssh连接缓慢或失败。 GSSAPIAuthentication no：禁用GSSAPI认证访问。GSSAPI认证需要自行配置才能使用。开启可能会导致ssh连接缓慢或失败。 注意 请不要在镜像中留ssh公钥或新建非root用户，可能有安全隐患。若相应的ssh私钥或用户密码泄露，继续使用该镜像会扩大受影响范围。

本文将为您介绍如何部署资源栈或执行计划。 直接部署资源栈 创建 / 更新资源栈后，您可选择直接部署资源栈，此时平台将直不会创建执行计划，即不会记录您本次部署的变更内容。 前置步骤 1. 已在模板管理 中有已创建成功的模板。参考创建模板。 操作步骤 1. 登录控制中心。 2. 在控制台首页搜索“资源编排ROS”，或在左侧产品导航栏选择“管理工具 > 资源编排ROS”，进入资源编排控制台。 3. 在左侧导航栏选择 资源栈管理。 4. 在资源栈管理 页面，单击创建资源栈。 1. 如果您已有目标资源栈，您可在单击更新 ，进行更新资源栈。参考更新资源栈 5. 在创建资源栈 页面，可以根据提示配置等基本参数，具体参数说明请参考创建资源栈。 6. 提交表单时，您可选择单击直接部署资源栈，此时平台将直接部署资源栈，而不会创建执行计划，即不会记录您本次部署的变更内容。 注意：直接部署将会立即创建资源并产生相关费用，该操作为危险操作，不建议执行，请谨慎确认后再操作。 7. 部署任务开始后，页面将自动跳转资源栈详情的事件页面，您可在事件列表中查看实时部署事件。

选择协议类型 提供基于四层协议和七层协议的负载均衡，在负载均衡器中通过加监听器选择相应的协议。 使用四层协议的负载均衡，监听器收到访问请求后，将请求直接转发给后端主机。转发过程仅修改报文中目标IP地址和源IP地址，将目标地址改为后端云主机的IP地址，源地址改为负载均衡器的IP地址。四层协议连接的建立，即三次握手是客户端和后端主机直接建立的，负载均衡只是进行了数据的转发。 使用七层协议的负载均衡，也称为“内容交换”。监听器收到访问请求后，需要识别并通过HTTP/HTTPS协议报文头中的相关字段，进行数据的转发。监听器收到访问请求后，先代理后端主机和客户端建立连接（三次握手），接收客户端发送的包含应用层内容的报文，然后根据报文中的特定字段和流量分配策略判断需要转发的后端主机。此场景中，负载均衡类似一个代理主机，分别和客户端以及后端主机建立连接。 后端主机 在使用负载均衡器前，需要先创建ECS实例并部署相关业务应用，然后将ECS实例添加到负载均衡器的后端主机组来处理转发的客户端访问请求。创建后端主机时，请注意以下事项： 确保后端主机实例的所属地域和负载均衡器的所属地域相同。 建议您选择相同操作系统的后端主机实例作为后端主机，以便后续管理和维护。

本章节介绍了如何开启分布式消息服务RocketMQ实例的消息轨迹功能。 操作场景 查询消息轨迹前，需要先在客户端开启消息轨迹。 本章节介绍使用Java和Go开启消息轨迹的方法。 操作步骤（Java） 在客户端开启消息轨迹的方法如下： 生产者开启消息轨迹（除事务消息以外的消息 类型 ） 构造函数的“enableMsgTrace”参数传入“true”，例如： DefaultMQProducer producer new DefaultMQProducer("ProducerGroupName", true); 生产者开启消息轨迹（ 事务消息 ） 构造函数的“enableMsgTrace”参数传入“true”，例如： TransactionMQProducer producer new TransactionMQProducer(null,"ProducerGroupName", null, true, null); 须知： 生产者客户端版本在4.9.0以上才支持事务消息的轨迹，如果版本不满足要求，请先升级。 消费者开启消息轨迹 构造函数的“enableMsgTrace”参数传入“true”，例如： DefaultMQPushConsumer consumer new DefaultMQPushConsumer("ConsumerGroupName",true); 操作步骤（Go ） 在客户端开启消息轨迹的方法如下： 1. 执行以下命令，检查是否已安装Go。 go version 返回如下回显时，说明Go已经安装。 [root@ecstest sarama] go version goversion go1.16.5 linux/amd64 如果未安装Go，请下载并安装。 2. 在“go.mod”中增加以下代码，添加依赖。 3. 生产者开启消息轨迹（以下加粗内容需要替换为实例自有信息，请根据实际情况替换）。 4. 消费者开启消息轨迹（以下加粗内容需要替换为实例自有信息，请根据实际情况替换）。

本文介绍如何指定vCPU和内存创建实例。 大部分场景下，如果没有特殊的规格需求（如GPU、本地盘等），推荐您指定vCPU和内存来创建ECI实例，系统会尝试使用多种ECS规格进行支撑，以提供比ECS单规格更好的弹性和资源供应能力。 规格说明 您可以指定实例或者容器的vCPU和内存来创建ECI实例。如果指定的vCPU和内存不符合要求，系统将自动按照ECI支持的规格进行规整。规整时将向最接近的ECI规格进行规整，同时需满足指定的vCPU和内存≤ECI规格的vCPU和内存。例如：在华东1地域创建ECI实例时，声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。所有ECI支持地域均支持的规格： CPU( 核） 内存（ GB ） 1 2、4 2 4、8、16 4 8、16、32 8 16、32、64 12 24、48 16 32、64 32 64、128 64 128、256 配置说明 指定vCPU和内存创建ECI Pod时，支持以下两种： 1. 指定Pod内容器的vCPU和内存：通过定义Containers的limits或requests来指定。 2. 指定Pod级别的vCPU和内存：通过在Pod metadata中添加k8s.ctyun.cn/eciusespecs的Annotation来指定。 指定ECI Pod内容器的vCPU和内存 每个ECI Pod最多支持20个容器，每个容器的vCPU和内存规格可以自定义配置，但汇总到Pod级别时需满足ECI Pod的vCPU和内存约束。对于不满足的情况，系统会进行自动规整，并按规整后的规格进行计费。

本文介绍如何指定vCPU和内存创建实例。 大部分场景下，如果没有特殊的规格需求（如GPU、本地盘等），推荐您指定vCPU和内存来创建ECI实例，系统会尝试使用多种ECS规格进行支撑，以提供比ECS单规格更好的弹性和资源供应能力。 规格说明 您可以指定实例或者容器的vCPU和内存来创建ECI实例。如果指定的vCPU和内存不符合要求，系统将自动按照ECI支持的规格进行规整。规整时将向最接近的ECI规格进行规整，同时需满足指定的vCPU和内存≤ECI规格的vCPU和内存。例如：在华东1地域创建ECI实例时，声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。所有ECI支持地域均支持的规格： CPU( 核） 内存（ GB ） 1 2、4 2 4、8、16 4 8、16、32 8 16、32、64 12 24、48 16 32、64 32 64、128 64 128、256 配置说明 指定vCPU和内存创建ECI Pod时，支持以下两种： 1. 指定Pod内容器的vCPU和内存：通过定义Containers的limits或requests来指定。 2. 指定Pod级别的vCPU和内存：通过在Pod metadata中添加k8s.ctyun.cn/eciusespecs的Annotation来指定。 指定ECI Pod内容器的vCPU和内存 每个ECI Pod最多支持20个容器，每个容器的vCPU和内存规格可以自定义配置，但汇总到Pod级别时需满足ECI Pod的vCPU和内存约束。对于不满足的情况，系统会进行自动规整，并按规整后的规格进行计费。

参数名 说明 鉴权源站 鉴权源站服务器地址，可为IP或域名。支持多个源站，多个源站之间是一主多备关系。 鉴权uri 鉴权请求使用的uri。支持使用用户原始uri请求；支持基于用户原始uri请求做修改和替换。 鉴权参数 鉴权请求使用？后的参数。支持使用用户原始请求参数；支持在用户原始请求参数基础上做增删改。 鉴权请求头 鉴权请求使用的请求头。支持使用用户原始请求头；支持在用户原始请求头基础上做增删改。 鉴权协议+端口 回源鉴权协议和鉴权端口。鉴权协议支持http/https；鉴权端口支持任意端口。 鉴权超时是否通过 鉴权服务时间超时时，是否认为鉴权通过。 鉴权出错是否通过 鉴权服务出错，例如返回5xx时，是否认为鉴权通过。 鉴权规则 什么情况下认为源站鉴权通过： 1.支持基于鉴权源站状态码来设定，可设置黑名单或白名单，例如仅设置403状态码为鉴权不通过，其他状态码放行；或设置仅200状态码为鉴权通过，其他状态码不通过。支持设置多个状态码。 2.支持基于鉴权服务器返回的json串内容做鉴权，需给出明确的鉴权是否通过的特征信息。 3.支持基于响应body鉴权，状态码鉴权通过时，如果有开启“基于响应body鉴权”，还会结合响应body的内容最终判断是否鉴权通过。

参数 是否必选 说明 SQL或脚本 是 可以选择SQL语句或SQL脚本。 SQL语句 单击“SQL语句”参数下的文本框，在“SQL语句”页面输入需要执行的SQL语句。 SQL脚本 在“SQL脚本”参数后选择需要执行的脚本。如果脚本未创建，请参考 说明 若选择SQL语句方式，数据开发模块将无法解析您输入SQL语句中携带的参数。 数据连接 是 默认选择SQL脚本中设置的数据连接，支持修改。 数据库 是 默认选择SQL脚本中设置的数据库，支持修改。 脚本参数 否 关联的SQL脚本如果使用了参数，此处显示参数名称，请在参数名称后的输入框配置参数值。参数值支持使用 同步。 脏数据表 否 填写SQL脚本中定义的脏数据表名称。 匹配规则 设置java正则表达式，匹配DWS SQL结果内容，比如表达式为(?<()(d+?)(?,)， 匹配对应SQL结果为 (1,"error message") ，匹配到的结果为 "1"。 失败匹配值 当匹配成功的内容等于设置值时，该节点执行失败。 节点名称 是 默认显示为SQL脚本的名称，支持修改。规则如下：节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“<”、“>”等各类特殊字符，长度为1～128个字符。

本章节主要介绍（可选）管理脚本的导出导入脚本。 导出脚本 您可以在脚本目录中导出一个或多个脚本文件，导出的为开发态最新的已保存内容。 1. 单击脚本目录中的，选择“显示复选框”。 详见下图：显示脚本复选框 2. 勾选需要导出的脚本，单击 > 导出脚本。导出完成后，即可通过浏览器下载地址，获取到导出的zip文件。 详见下图：选择并导出脚本 导入脚本 导入脚本功能依赖于OBS服务，如无OBS服务，可从本地导入。 您可以在脚本目录中导入一个或多个脚本文件。导入会覆盖开发态的内容，并自动提交一个新版本。 1. 单击作业目录中的 > 导入脚本，选择已上传至OBS的脚本文件，以及重名处理策略。 说明 在硬锁策略下，如果锁在其他人手中，重名策略选择了覆盖，则会覆盖失败。软硬锁策略请参考 详见下图：导入脚本 2. 单击“下一步”，根据提示导入脚本。

参数名 说明 鉴权源站 鉴权源站服务器地址，可为IP或域名。支持多个源站，多个源站之间是一主多备关系。 鉴权uri 鉴权请求使用的uri。支持使用用户原始uri请求；支持基于用户原始uri请求做修改和替换。 鉴权参数 鉴权请求使用？后的参数。支持使用用户原始请求参数；支持在用户原始请求参数基础上做增删改。 鉴权请求头 鉴权请求使用的请求头。支持使用用户原始请求头；支持在用户原始请求头基础上做增删改。 鉴权协议+端口 回源鉴权协议和鉴权端口。鉴权协议支持http/https；鉴权端口支持任意端口。 鉴权超时是否通过 鉴权服务时间超时时，是否认为鉴权通过。 鉴权出错是否通过 鉴权服务出错，例如返回5xx时，是否认为鉴权通过。 鉴权规则 什么情况下认为源站鉴权通过： 1.支持基于鉴权源站状态码来设定，可设置黑名单或白名单，例如仅设置403状态码为鉴权不通过，其他状态码放行；或设置仅200状态码为鉴权通过，其他状态码不通过。支持设置多个状态码。 2.支持基于鉴权服务器返回的json串内容做鉴权，需给出明确的鉴权是否通过的特征信息。 3.支持基于响应body鉴权，状态码鉴权通过时，如果有开启“基于响应body鉴权”，还会结合响应body的内容最终判断是否鉴权通过。

天翼云物理机服务器如何保证数据安全？ 天翼云物理机服务器具备物理机级的性能和隔离性，用户独占计算资源，并且无任何虚拟化开销。存储在高性能高可靠的服务器上的数据，自然也会很安全。 带有本地磁盘的物理机服务器，支持本地磁盘组RAID，磁盘数据冗余存储，提升容错能力，确保数据安全。 无本地磁盘的天翼云物理机服务器，支持从云硬盘启动（即系统盘为云硬盘，且称之为快速发放物理机服务器）。云服务器备份可以对物理机服务器提供备份保护，支持基于多块云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复服务器数据，最大限度保障用户数据的安全性和正确性，确保业务安全。

查看评估任务 1. 查看详情：点击评估任务名称，在评估详情页，可以查看评估任务的详细内容，包括任务详情、事件、日志。 2. 操作：评估任务卡片上，支持以下操作： 1. 查看报告：任务运行完成后，可查看相应的评估报告，支持查看整体指标和错题分析； 2. 重启：重启任务； 3. 停止：停止评估任务； 4. 复制：复制此评估任务配置，可以进行少量修改快速启动； 5. 删除：删除此评估任务。

如果不再需要某个数据空间，可以参照本节进行删除。 约束与限制 系统创建默认数据空间不支持删除操作。 如果待删除数据空间中，存在数据管道，则该数据空间不能直接删除。您需要先删除数据管道，再删除数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在需要删除的数据空间所在行的“操作”列，单击“删除”。 6. 在弹出的对话框中单击“确认”，完成删除数据空间的操作。 注意 如果待删除数据空间中，存在数据管道，则该数据空间不能直接删除。您需要先删除数据管道，再删除数据空间。

本小节介绍安全专区云防火墙配置的VPC环境调整。 云防火墙需要实现IP地址转换功能，所以需要关闭云主机的网络接口IP地址检查，同时放通相关网络端口。 关闭云防火墙虚机网络检查 1.在【天翼云控制中心】页面中的【控制中心】→【计算】→【弹性云主机】，找到承载云防火墙（AQZQAF）的云主机（表示主机名称）。 点击该云主机名称，选择网卡，确认该云主机下有两个网卡。 2.将所有网卡的【源/目的检查】选项设置关闭。 3.确认网卡的安全组是否放通业务流量端口（必须放通TCP/443端口）。 4.进入【控制中心】→【网络】→【虚拟私有云】，检查安全专区所在VPC子网，详情如图所示，记录子网“IPv4网络”与“网关”。

本章介绍开启防护时没有显示配额的原因。 未购买配额 请先在服务器所在区域购买充足的配额。 区域不正确 购买配额后，请切换到配额所在区域对服务器开启防护。 位置不正确 若您购买的是基础版/企业版/旗舰版，请在“企业主机安全 > 主机管理 > 云服务器”页面开启防护。 若您购买的是网页防篡改版，请在“网页防篡改 > 防护列表”页面开启防护。 若您购买的是容器版，请在“企业主机安全 > 容器管理 > 节点列表”页面开启防护。

本章节为您介绍敏感数据资产的相关内容 若数据库、表、字段的名称或类型发生改变，请及时对所属资产重新扫描，否则容易造成您配置的部分规则失效。 自主扫描 数据库安全网关自主扫描通过配置资产的数据库连接信息，自动获取数据库中的元数据（如库、表、字段等），并对这些数据进行分级和分类。 在数据库安全网关开始扫描前，您可以选择性的在“规则配置 > 敏感数据发现”页面自定义一些敏感数据的发现规则，这将丰富扫描出的敏感数据类型。 1.登录数据库安全网关。 2.在左侧菜单栏选择“资产 > 敏感数据 > 敏感数据扫描”进入敏感数据扫描任务页面。 3.单击“新增”按钮，在弹出的“新增敏感数据扫描任务”页面编辑相关信息后。 选择需要扫描的资产或是Oralce集群，配置登录信息，单击“获取扫描配置”按钮，系统将自动检索并显示“ Schema/数据库名”的列表，同时还会显示每个数据库所包含的数据表数量。 说明 新增敏感数据扫描任务时，若选择已配置默认数据源的资产（默认数据源在“新增资产”时配置），系统会自动识别并填充相应的用户名和密码。 4.勾选需要扫描的“Schema/数据库名”，系统将自动检索出数据库下的所有数据表。 配置项 说明 名称 非必填项，不填则自动生成。填写必须为中文字符、字母、数字、“”、“ .”或“ ” ，长度不超过 64 字符。 所属资产 设置数据来源所隶属的资产。 数据库环境 （仅限MySQL资产填写）根据实际情况选择原生环境或分片环境。 用户名 填写数据库的用户名。 密码 填写数据库的密码。 数据库名 填写数据库名。 获取扫描配置 点击获取扫描配置，系统将自动检索并显示“Schema/数据库名”的列表。 扫描配置 展示所属资产的“Schema/数据库”和“数据表”信息。 5.勾选需要扫描的数据表 ，单击“保存并启动”。保存敏感数据扫描任务配置并立即执行任务。任务状态为“扫描中”。 说明 有且仅有一个敏感数据扫描任务在扫描中，若同时存在多个扫描任务则排队扫描。 6.元数据获取完成后，任务状态会显示“扫描完成”，元数据将保存在“敏感数据管理” 中。 7.单击敏感数据扫描任务条目中的“配置敏感数据列的数字”，将会跳转到“资产 > 敏感数据 > 敏感数据管理”页面 ，且默认带上“扫描任务”和“是否敏感数据”两个查询条件。

本文主要介绍云防火墙（Cloud Firewall，CFW）的产品定义。 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 智能防御 CFW通过安全能力积累和全网威胁情报，提供AI入侵防御引擎对恶意流量实时检测和拦截，与安全服务全局联动，防御木马蠕虫、注入攻击、漏洞扫描、网络钓鱼、暴力破解等攻击。 灵活扩展 CFW可对全流量进行精细化管控，支持互联网边界防护，防止外部入侵、内部渗透攻击和从内到外的非法访问；同时，防护IP与防护带宽等关键性能规格可无限扩展，集群部署高可靠，满足大规模流量的安全防护。 极简应用 云防火墙作为云防火墙，支持一键开启，多引擎安全策略一键导入，资产自动秒级盘点，操作页面可视化呈现，大幅提高管理和防护效率。

本页介绍天翼云TeleDB数据库元数据pgsynonym的内容。 存储同义词的管理和配置。 名称 类型 定义 synname NameData 同义词的名称 synnamespace Oid 同义词所属的命名空间（schema）的 OID objnamespace NameData 对象所属的模式的名称，如果为null，则在搜索路径中查找对象 objname NameData 对象的名称 objdblink NameData 对象所在的数据库链接名称（如果适用） synowner Oid 同义词的所有者的OID

本页介绍天翼云TeleDB数据库元数据pgpartitioninterval的内容。 存储管理和配置分区表的区间信息。 名称 类型 定义 partrelid Oid 分区表的OID partpartkey int16 分区键 partintervaltype int16 分区间隔类型 partdatatype Oid 分区数据类型的OID partnparts int32 分区数量 partstartvalueint int64 分区起始值（整数类型） partstartvaluets timestamptz 分区起始值（时间戳类型） partintervalint int32 分区间隔（整数类型）

本节主要介绍设置微服务引擎专享版公网访问 状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 注意 未开启安全认证的微服务引擎无认证鉴权能力，开放到公网面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、开启“公网访问”开关，在弹出的对话框勾选“我已知晓安全风险”，单击“确定”。 4、单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的“√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、关闭“公网访问”开关。 4、在弹出对话框单击“确定”。

操作步骤 1. 单击列表中操作列下的“评估详情”，可查看该次任务的评估详情。评估详情中展示测评摘要、失陷率排行榜、部分失陷样本展示等内容。 说明 只有任务状态为“部分完成”、“全部完成”时，“评估详情”可单击；其他任务状态，“评估详情”置灰。 2. 在部分失陷样本展示中点击详情可查看失陷样本详情，可将输入、输出、判定依据复制到剪贴板中。

插件升级 cubecni 1.0.7版本支持配置多个子网，若需升级到该版本，请提工单申请。 注意 2024.5之前开通的集群需提工单申请升级网络插件版本，2024.5之后的集群默认安装最新版的网络插件。 工单路径：新建工单 > 云容器引擎 > 产品技术支持，工单标题为“网络插件多子网升级”，工单内容请写明待升级集群实例ID。