本文主要介绍节点滚动升级。 操作场景 节点滚动升级就是先创建新节点，然后将工作负载迁移到新的节点上，再删除老的节点。迁移流程如下图所示： 图 节点迁移流程 约束与限制 现有节点和工作负载待迁移的节点必须在同一集群。 当前仅支持在Kubernetes v1.13.10及以后集群版本执行此操作。 默认节点池DefaultPool不支持修改配置。 原有节点在默认节点池 步骤 2 创建新的节点池。具体请参见创建节点池。 步骤 2 单击节点池名称，在节点列表中可查看到新建节点的IP地址。 步骤 3 安装配置kubectl。具体请参见通过kubectl连接集群。 步骤 4 迁移工作负载。 1、给需要迁移工作负载的节点打上Taint（污点）。 kubectl taint node [node] keyvalue: [effect] 其中， [node] 为待迁移工作负载所在节点的IP； [effect] 取值为NoSchedule、PreferNoSchedule或NoExecute，此处必须设置为NoSchedule。 NoSchedule：一定不能被调度。 PreferNoSchedule：尽量不要调度。 NoExecute：不仅不会调度，还会驱逐Node上已有的Pod。 说明 若需要重新设置污点时，可执行 kubectl taint node [node] key:[ effect] 命令去除污点。 2、安全驱逐节点上的工作负载。 kubectl drain [node] 其中， [node] 为待转移工作负载所在节点的IP。 3、在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。在工作负载列表中，待迁移工作负载的状态由“运行中”变为“未就绪”。工作负载状态再次变为“运行中”，表示迁移成功。 说明 迁移工作负载时，若工作负载配置了节点亲和性，则工作负载会一直提示“未就绪”等异常情况。请单击工作负载名称进入到负载详情页，在选择“调度策略”页签，删除原节点的亲和性配置，配置新的节点亲和性和反亲和性策略，详情请参见 工作负载迁移成功后，在工作负载详情页的“实例列表”页签，可查看到工作负载状已迁移到步骤1中所创建的节点上。 步骤 5 删除原有节点。 工作负载迁移成功且运行正常后，即可删除原有节点。

参数 配置说明 名称 用户自定义的普通复制规则名称，便于管理，支持中文和英文字符，区分和识别当前任务的名称。 同步类型 选择“直接同步”或“同步主机同步”。 文件安全属性 选择是否同步文件的权限、用户属性等。此选项默认为不同步。 节点组 选择节点组，方便工作机，灾备机选择容灾节点。 工作机 用户选择需要文件存储定时灾备的工作机，可选择多个工作机。如果已经创建节点组，可选择节点组再进行节点选择；若没有创建节点组，可直接选择节点，系统将自动列出拥有功能许可的所有主机节点，让用户自行选择，可以选择多个机器。 源端目录和文件 选择需要同步的数据所在的共享目录。 如果是Windows OS部署了drnode程序，必须以应用方式运行，否则无法显示Windows OS挂载的共享目录。 业务组 选择此文件存储定时灾备规则所对应的业务组。 映射类型 支持“多对一”和“一对一”。 多对一：所有的工作机的源目录和文件都复制到灾备机的单一目录下。 一对一：工作机的源目录和文件一一对应到灾备目录。 灾备机 如果已经创建节点组，可选择节点组再后选择节点。若没有创建节点组，可直接选择节点。 灾备机数据地址 根据需要选择已新增的数据地址。 灾备机路径 选择灾备机的备份路径，将数据同步的路径。 文件过滤策略 如果用户需要对源端共享目录上的数据类型进行过滤后再复制到灾备端，可以选择“包含”或“排除”策略来过滤，此选项默认是包含。 文件过滤正则表达式 使用正则表达式来对需要复制的文件进行筛选，页面提供基于正则表达式的匹配规则，可以自动同步符合此正则表达式的文件。 目录过滤策略 如果用户需要对源端共享目录上的目录进行过滤后再复制到灾备端，可以选择“包含”或“排除”策略来过滤，此选项默认是包含。 目录过滤正则表达式 使用正则表达式来对需要过滤的目录进行筛选，页面提供基于正则表达式的匹配规则，可以自动同步符合条件目录及其文件。

本文介绍云搜索服务和天翼云官网其他产品之间的关联关系。 相关服务 交互功能 虚拟私有云（CTVPC，Virtual Private Cloud） 云搜索服务在购买前需要提前开通虚拟私有云，实例将建立在同资源池下指定的子网内，VPC之间网络隔离，可为用户提供安全的网络环境。详细请参考虚拟私有云产品文档。 弹性云主机（CTECS，Elastic Cloud Server） 云搜索服务的每个实例节点即为一台弹性云主机，创建实例时会根据购买需求自动下单对应数量，主要提供计算分析服务。 云硬盘（CTEVS，Elastic Volume Service） 云搜索服务使用云硬盘存储用户的索引数据，创建实例时会根据购买需求将云硬盘自动挂载在对应节点。 弹性IP（EIP，Elastic IP） 云搜索服务如需要开放公网访问，需要购买弹性IP或IPv6带宽并绑定到实例对应组件上。详细请参考弹性IP产品文档。 对象存储服务（CTZOS，Zettabyte Object Storage） 云搜索服务的实例快照及所需要安装的自定义插件均需要开通对象存储服务，进行存储和读取。详细请参考对象存储服务产品文档。 弹性负载均衡（CTELB ，Elastic Load Balancing） 云搜索服务的实例需要分流访问流量时，可以通过购买负载均衡类产品，对接到云搜索实例上，实现后端主机分流访问。详细请参考弹性负载均衡服务产品文档。 云监控服务 云搜索服务集成公有云云监控服务能力，实时监测集群健康状态和磁盘使用率等核心指标，保障服务稳定运行。用户可通过监控数据及时掌握集群资源状况。详细请参考云监控服务产品文档。 云日志服务 云搜索服务将组件运行期间的日志写入云日志服务中，用户可通过查看日志排查实例运行问题。详细请参考云日志服务产品文档。 云审计 云审计全面记录云搜索服务的核心操作事件，支持操作历史查询与审计回溯。详细请参考云审计产品文档。 统一身份认证服务（Identity and Access Management，简称IAM） 云搜索服务使用天翼云官网统一身份认证服务进行身份鉴权。详细请参考统一身份认证服务产品文档。

本页介绍天翼云TeleDB数据库共享库预载入相关参数。 为了载入附加的功能或者达到提高性能的目的，可用多个设置来预先载入共享库到服务器中。例如'$libdir/mylib'设置可能会导致mylib.so（或者某些平台上的mylib.sl）从安装的标准库目录被预装载。这些设置之间的区别在于生效的时间以及改变它们所需的特权。 可以用这个方法预装载TeleDB的过程语言库，通常是使用'$libdir/plXXX'语法，其中的XXX是pgsql、perl、tcl或python。 只有特别为与TeleDB一起使用设计的共享库才能以这种方式载入。每一个TeleDB支持的库都有一个“魔法块”，它会被检查以保证兼容性。由于这个原因，非TeleDB无法以这种方式被载入。你可能可以使用操作系统的工具（如LDPRELOAD）载入它。 总之，请参考特定模块的文档来用推荐的方法载入它。 localpreloadlibraries (string) 这个变量指定一个或者多个要在连接开始时预载入的共享库。它包含逗号分隔的库名称列表，其中每个名称都被解释为LOAD命令。项之间的空白被忽略；如果需要在名称中包含空格或逗号，请用双引号括住库名。这个参数在连接启动时起作用，对后续更改没有影响。 如果指定的库没有找到，连接尝试将会失败。任何用户都能设置这个选项。正因为如此，能被这样载入的库被严格限制为出现于安装的标准库目录中plugins子目录下的共享库（保证只有“安全的”库被安装到 这里是数据库管理员的责任）。localpreloadlibraries中的项可以显式 指定这个目录，例如libdir/plugins/mylib，或者只是指定库的名称— mylib 和 libdir/plugins/mylib的效果是相同的。这个功能的目的是允许非特权用户加载调试或性能测量库到特定会话， 而不需要显式的LOAD命令。为达到此目的，典型的使用PGOPTIONS环境变量或使用ALTER ROLE SET设置这个参数。除非一个模块被特别设计成由非超级用户以这种方式使用，通常不推荐使用这个设置。应该看看 sessionpreloadlibraries。

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，CDN服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高TLS握手效率，提升HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【OCSP Stapling】模块，开启功能。 9. 单击【保存】，完成配置。 参数名 说明 OCSP Stapling 默认关闭，即不开启OCSP Stapling功能。开启OCSP Stapling功能之前，需要先完成HTTPS证书配置。

本文介绍认证鉴权内容。 信息的获取 获取AccessKey(ak)和SecurityKey(sk)： 登录天翼云门户，在“控制台”>“账号中心”>“安全设置”>“登录保护”>“用户AccessKey”点击“查看”获取。 注意：SecurityKey信息只在创建的时候展示，请务必留存好信息。 EopAuthorization签名认证信息： 可参考调用示例Python3调用示例、Java调用示例 步骤一：构造代签字符串 sigture sigture 需要进行签名的Header排序后的组合列表+ " n " + encode的query + " n " + toHex(sha256(原封的body)) 名称 描述 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn encode的query query以&作为拼接，key和value以连接，值需要encode，query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture示例1（ 假设query为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture示例2（ 假设query不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Zn”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

本章主要介绍翼MapReduce的恢复OMS数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对FusionInsight Manager系统进行重大数据调整等操作后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，需要对Manager进行恢复数据操作。 管理员可以通过FusionInsight Manager创建恢复Manager任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的Manager数据。 对系统的影响 恢复过程中需要重启Controller，重启时FusionInsight Manager无法登录和操作。 恢复过程中需要重启所有集群，集群重启时无法访问。 Manager数据恢复后，会丢失从备份时刻到恢复时刻之间的数据，例如系统设置、用户信息、告警信息或审计信息。可能导致无法查询到数据，或者某个用户无法访问集群。 Manager数据恢复后，系统将强制各集群的LdapServer从OLadp同步一次数据。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查OMS资源状态是否正常，检查各集群的LdapServer实例状态是否正常。如果不正常，不能执行恢复操作。 检查集群主机和服务的状态是否正常。如果不正常，不能执行恢复操作。 检查恢复数据时集群主机拓扑结构与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 检查恢复数据时集群中已添加的服务与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 停止依赖集群运行的上层业务应用。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的操作步骤。 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。 操作步骤 VPN服务支持静态路由模式、BGP路由模式和策略模式三种连接模式。本示例以静态路由模式进行配置讲解。 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 配置VPN网关： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 2. 在“VPN网关”界面，单击“创建VPN网关”，并根据界面提示配置参数。 3. VPN网关参数说明如表11所示。 表VPN网关参数说明 参数 说明 取值参数 名称 VPN网关的名称。 vpngw001 网络类型 选择“公网”。 公网 关联模式 选择“虚拟私有云”。 关联ER场景时，请选择“企业路由器”。 虚拟私有云 企业路由器 仅关联场景为“企业路由器”时需要选择。 er001 虚拟私有云 选择用于分配互联子网的VPC。 关联场景为“企业路由器”时，该VPC可以对接ER，也可以不对接ER。 vpc001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 仅关联场景为“虚拟私有云”时需要配置。 输入网段 输入需要和用户数据中心通信的子网，该子网可以在关联VPC内，也可以不在关联VPC内。 选择子网 选择关联VPC内的子网信息，用于和用户数据中心通信。 192.168.0.0/24，192.168.1.0/24 BGP ASN BGP自治系统编号。 64512 HA模式 选择“双活”。 双活 主EIP VPN网关和用户数据中心通信的公网IP1。 1.1.1.2 主EIP2 VPN网关和用户数据中心通信的公网IP2。 2.2.2.2 3. 配置对端网关： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 2. 在“VPN对端网关”界面，单击“创建对端网关”，并根据界面提示配置参数。

本章节主要介绍Redis Proxy集群实例。 DCS Redis的集群实例有两种版本可供选择，一种是基于LVS+Proxy的高可用集群版本（以下简称为Proxy版Redis集群），另一种是原生Cluster的集群版本。Proxy版集群兼容开源Redis 3.0，Cluster版本兼容开源Redis的4.0和5.0。 Redis3.0 Proxy集群实例 DCS Redis3.0 Proxy集群实例基于开源Redis 3.0版本构建，提供64G~1024G多种大容量规格版本，用于满足百万级以上并发 与大容量数据缓存的需要。Redis集群的数据分布式存储和读取，由DCS内部实现，用户无需投入开发与运维成本。 Redis集群实例由“负载均衡器”、“Proxy服务器”、“集群配置管理器”、“集群分片”共4个部分组成。 Redis3.0集群实例规格和Proxy数、分片数的对应关系 集群版规格 Proxy节点数 分片数（Shard） 64G 3 8 128G 6 16 256G 8 32 512G 16 64 1024G 32 128 Redis Proxy集群实例示意图 示意图说明： VPC 虚拟私有云。集群实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与Proxy集群实例处于相同VPC，并且配置安全组访问规则。 客户应用程序 客户应用程序，即Redis集群客户端。 Redis可直接使用开源客户端进行连接，关于客户端连接示例，请参考连接实例。 LBM/LBS 负载均衡服务器，采用主备高可用方式。Redis集群实例提供访问的IP地址，即为负载均衡服务器地址。 Proxy Redis集群代理服务器。用于实现Redis集群内部的高可用，以及承接客户端的高并发请求。 支持使用Proxy节点的IP连接集群实例。 Redis shard Redis集群的分片。 每个分片也是一个Redis主备实例，分片上的主实例故障时，系统会自动进行主备切换，集群正常提供服务。 某个分片的主备实例都故障，集群可正常提供服务，但该分片上的数据不能读取。 Cluster manager 集群配置管理器，用于存储集群的配置信息与分区策略。用户不能修改配置管理器的信息。

本节介绍如何管理分组标签。 对终端设置分组、标签，方便对终端进行分类管理以及对终端进行批量操作。 租户可对分组及标签进行管理，包括新增、编辑和删除等操作。同时可为终端选择分组及添加标签。 Linux操作系统终端默认划分为Linux服务器组。 其他的为系统默认组。 新增分组 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 分组标签”，选择分组页签。 3. 点击“新增”。 4. 在弹出的对话框中按情况填写和选择分组名称、重要性、自动分组及其规则，点击 确定 ，即可新增分组。 新增标签 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 分组标签”，选择“标签”页签。 3. 点击“新增”。 4. 在弹出的对话框中输入标签名称，选择颜色，点击“确定”，即可新增标签。 其他操作 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 分组标签”，选择“分组”页签。租户可在此页面对分组进行编辑及删除操作。 点击操作项 列中的“编辑”，在弹出的对话框中修改组名称，即可编辑分组。 点击操作项 列中的“删除” ，在弹出的对话框中点击“确定”，即可删除分组。 勾选分组（可勾选多个），点击列表上方的“删除” ，在弹出的对话框中点击“确定”，即可批量删除分组。 3. 在左侧导航栏选择“资产中心 > 分组标签”，选择“标签”页签。租户可在此页面对标签进行编辑和删除操作。 点击操作项 列中的“编辑” ，在弹出的对话框中修改标签名称和颜色，点击“确定”，即可编辑标签。 点击操作项 列中的“删除” ，在弹出的对话框中点击“确定”，即可删除标签。 勾选需要删除标签（可勾选多个），点击列表上方的“删除” ，在弹出的对话框中点击“确定”，即可批量删除标签。

本章节将介绍如何创建MRS脱敏任务。 创建MRS脱敏任务后，可以对指定数据的敏感信息脱敏。 前提条件 已在“资产列表”中完成了云资源委托授权。 已添加MRS资产，具体请参见添加MRS资产章节。 已在“敏感数据识别”中完成了敏感数据识别，具体操作请参见创建敏感数据识别任务章节。 创建数据库脱敏 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据脱敏”，并选择“MRS脱敏”页签，进入“MRS脱敏”页面。 4. 在“MRS脱敏”页签中，单击，将“MRS脱敏”设置为，开启MRS脱敏。 5. 单击“新建任务”，进入“数据源配置”页面，如下图所示，具体参数说明如下表所示。 参数名称 参数说明 任务名称 您可以自定义脱敏任务的名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 数据源选择 选择数据来源。仅支持“MRSHIVE”。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据库实例：选择脱敏数据所在的数据库实例。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据库名：选择脱敏数据所在的数据库名称。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据表名：选择脱敏数据所在的数据表名称。 数据源 说明 说明 如果没有可使用的云数据，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加MRS资产。 数据类型：勾选后将该列数据拷贝到目标数据库。 此处还显示数据列的“目标数据类型”，“风险等级”。 6. 单击“下一步”，进入“脱敏算法配置”页面。 1. 勾选需要脱敏的数据列。 2. 选择脱敏算法。脱敏算法更多详细信息请参见配置脱敏规则章节。 7. 单击“下一步”，进入“脱敏周期”页面，配置脱敏周期。 选择并设置脱敏任务的执行周期： 手动：由用户自行启动的，且基于脱敏规则执行脱敏任务。 每小时：每几个小时执行一次脱敏任务。 示例：如果需要每2小时执行一次脱敏任务，则此处设置为：02:00 每天：每天几点几分执行一次脱敏任务。 示例：如果需要每天12:00执行一次脱敏任务，则此处设置为：12:00:00 每周：每周几的几点几分执行一次脱敏任务。 示例：如果需要每周一的12:00执行一次脱敏任务，则此处设置为：每周一12:00:00 每月：每月几日几时执行一次脱敏任务。 示例：如果需要每月12日的12:00执行一次脱敏任务，则此处设置为：每月12日12:00:00 说明 如果设置每月31日执行一次脱敏任务，在当月日期少于31日的情况下，系统自动在当月最后一日执行任务。 8. 单击“下一步”，进入“数据目标配置”页面。 1. 选择数据库实例、数据库名，并输入数据表名。 如果输入的数据表名已存在，系统将刷新目标数据库中该数据表中的数据。 如果输入的数据表名不存在，系统将自动在目标数据库中新建该名称的数据表。 注意 如果需要填写已有的数据表，请勿选择业务数据表，以免影响业务。 2. 设置数据目标列名。 系统默认将生产与数据源列相同的名称，您可以保持默认名称，也可以根据需要进行修改。 9. 单击“完成”。

续订方式 说明 手动续订 服务器安全卫士（原生版）在购买之后支持手动续订的方式，您可以随时在服务器安全卫士（原生版）管理控制台中的配额管理页面进行续订，续订后服务器安全卫士（原生版）到期时间将自动延期到续订后的到期时间。 自动续订 服务器安全卫士（原生版）在购买之后支持自动续订的方式，您可以随时在“费用中心 > 订单管理 > 续订管理”页面开启自动续订，自动续订开启后服务器安全卫士（原生版）将会进行自动续订，更多说明见 自动续订 。

本文介绍天翼云安全加速服务等级协议（SLA）。 天翼云安全加速服务等级协议（SLA）详情请参见[](

本章介绍如何更新证书。 添加防护网站时，如果“对外协议”选择“HTTPS”协议，您需要上传证书使证书绑定到防护网站。 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。 如果您需要更新网站绑定证书的信息，可以在WAF中为网站绑定新的证书。 前提条件 已添加防护网站。 防护网站的“对外协议”使用了HTTPS协议。 约束条件 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请将证书转换为PEM格式，再上传。 系统影响 证书过期后，对源站的影响是覆灭性的，比主机崩溃和网站无法访问的影响还要大，且会造成WAF的防护规则不生效，故建议您在证书到期前及时更新证书。 更新证书不会影响业务，更换过程中会使用旧证书，更新成功后，自动切为新证书，新证书立刻生效。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 步骤6 在证书所在行的证书名称后，单击编辑按钮，在弹出的“更新证书”对话框中，上传新证书或者选择已有证书。 “更新方式”选择“上传证书”时，在对话框中输入“证书名称”，并将证书内容和私钥内容粘贴到对应的文本框中。 说明 Web应用防火墙将对私钥进行加密保存，保障证书私钥的安全性。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考下表在本地将证书转换为PEM格式，再上传。 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 in cert.pfx nocerts out key.pem nodesl 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 in cert.pfx nokeys out cert.pem P7B 1. 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 printcerts in cert.p7b out cert.cer 2. 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa inform DER outform PEM in privatekey.der out privatekey.peml 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 inform der in cert.cer out cert.pem 说明 执行openssl命令前，请确保本地已安装openssl。如果本地为Windows操作系统，请进入“命令提示符”对话框后，再执行证书转换命令。 “更新方式”选择“选择已有证书”时，在“证书选择”的下拉框中选择已有的证书。 步骤7 单击“确定”，证书更新完成。

本节主要介绍迁移用户 操作场景 数据库的迁移过程中，迁移用户需要进行单独处理。 MySQL数据库操作 在MySQL迁移过程中，常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。 可完整迁移的用户：可完整迁移的用户指满足目标数据库权限要求的用户，该类用户在进行迁移时不需要做任何处理，系统默认会将对应的数据库用户权限迁移至目标数据库。 需要降权处理的用户：需要降权的用户指具有不满足目标数据库权限要求的部分高权限的用户，比如具有：super、file、shutdown等高权限的用户。该类用户在进行迁移时需要进行降权处理，否则会导致迁移失败。 对于该类账号不支持的高权限，将会由DRS自动进行降权处理，您可以通过单击备注列的“查看”按钮查看具体的降权处理信息，依据该信息，可以帮助您评估降权是否对其业务程序造成相关影响。 不可迁移的用户：不可迁移的用户指由于某些原因，DRS不支持该类数据库用户的迁移。该类账号将在目标数据库中缺失，请先确保业务不受该类账号影响。同时，任务启动后，所有针对该类账号进行的权限密码操作，将会导致增量迁移失败。 您可以根据业务需求选择“迁移”或者“不迁移”这些用户，当您选择“迁移”数据库用户时。可按照如下操作步骤进行数据库用户、权限和密码的处理，此处以勾选所有可以迁移的数据库用户为例。 迁移用户模块主要由账号名称、账号权限和账号密码三部分构成。 步骤 1 一般账号名称的组成格式为：'账号名'+@+'host'，其中host表示具体允许访问源端数据库的目标库IP地址，您可以根据具体的业务场景选择是否需要修改账号的host地址，对目标库IP进行重规划。 步骤 2 账号权限一般默认不可修改，对于支持迁移的账号（可完整迁移的用户和需要降权的用户），系统也将默认支持对应用户权限的迁移。 迁移成功后，存储在目标数据库中的对应用户（需要降权的用户）是经过降权处理的用户。 步骤 3 DRS支持数据库用户密码的迁移。 数据库用户密码的迁移可通过如下两种方式来处理。 由于DRS在迁移时不会分析您的密码数据和强度，源系统密码复杂度过弱则存在安全风险，为了确保迁移过程中数据的安全性，您可以根据业务需求，选择是否需要重新设置数据库用户密码，通过设置较高的密码复杂度来持续保护数据库。 方式一：密码迁移。 您可以选择在迁移的过程中，直接迁移源数据库系统当前的密码，此时不需要通过勾选“重置密码”来设置新密码。数据库用户密码迁移至目标库后，您如果担心用户密码强度较弱，为了确保数据库的安全性，此时也可以选择在目标库端重新设置强度较高的源系统密码。 方式二：重置密码。 您可以通过勾选“重置密码”选择立即重新设置源系统密码后再继续进行用户密码迁移。 您可以选择某个指定支持迁移的用户，在“输入密码”列直接设置新密码或者选择所有支持迁移的用户，勾选右下角“统一输入密码”，批量将所选用户密码设置为相同的密码，以便快速完成迁移。使用批量方法设置的密码，待迁移成功后，可以在目标数据库端通过执行DDL语句，进行密码重置。 步骤 4 对于需要降权处理的用户和不支持迁移的用户，在备注列的查看详情中会提示具体的原因，您需要单击对应用户备注列的“查看”，确认详情后才可进行下一步操作。如果存在多个需要查看备注详情的用户，您也可以单击“确认所有备注”按钮，一键查看备注信息。 数据库用户已存在是不支持迁移到目标数据库的常见情形，此时您可以根据实际情况，决定是否需要删除目标端已存在的数据库用户，并单击“刷新”按钮，刷新当前数据库迁移用户的分类。 说明 目前仅MySQL支持迁移用户功能。 以上重新设置的密码强度必须满足目标数据库的密码复杂度要求。

本章节将介绍如何创建数据库脱敏任务。 您可以在创建数据库脱敏任务后，对指定数据库的敏感信息进行脱敏。 前提要求 已在“资产列表”中完成了云资源委托授权。 已添加数据库资产，具体请参见添加RDS数据库章节。 已在“敏感数据识别”中完成了敏感数据识别，具体操作请参见创建敏感数据识别任务章节。 新建数据库脱敏 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据脱敏”，进入“数据库脱敏”页面。 4. 在“数据库脱敏”页签中，将“数据库脱敏”设置为，开启数据库脱敏。 5. 单击“新建任务”，进入“数据源配置”页面，如下图所示，具体参数说明如下表所示。 参数名称 参数说明 任务名称 您可以自定义脱敏任务的名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 数据源选择 选择数据来源。可选择“SQLServer”、“MySQL”、“PostgreSQL”。 数据源 说明 如果没有可使用的云数据库，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加云数据库。 数据库实例：选择脱敏数据所在的数据库实例。 数据源 说明 如果没有可使用的云数据库，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加云数据库。 数据库名：选择脱敏数据所在的数据库名称。 数据源 说明 如果没有可使用的云数据库，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加云数据库。 模式：当“数据源选择”选择“SQLServer”和“PostgreSQL”时，显示该参数。 数据源 说明 如果没有可使用的云数据库，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加云数据库。 数据表名：选择脱敏数据所在的数据表名称。 数据源 说明 如果没有可使用的云数据库，可单击“添加云数据库”，添加云数据库资产，具体的操作可参见添加云数据库。 数据类型：勾选后将该列数据拷贝到目标数据库。 此处还显示数据列的“目标数据类型”，“风险等级”。 6. 单击“下一步”，进入“脱敏算法配置”页面。 1. 勾选需要脱敏的数据列。 2. 选择脱敏算法。脱敏算法详细信息请参见配置脱敏规则章节。 7. 单击“下一步”，进入“脱敏周期”页面，配置脱敏周期。 选择并设置脱敏任务的执行周期： 手动：由用户自行启动的，且基于脱敏规则执行脱敏任务。 每小时：每几个小时执行一次脱敏任务。 示例：如果需要每2小时执行一次脱敏任务，则此处设置为：02:00 每天：每天几点几分执行一次脱敏任务。 示例：如果需要每天12:00执行一次脱敏任务，则此处设置为：12:00:00 每周：每周几的几点几分执行一次脱敏任务。 示例：如果需要每周一的12:00执行一次脱敏任务，则此处设置为：每周一12:00:00 每月：每月几日几时执行一次脱敏任务。 示例：如果需要每月12日的12:00执行一次脱敏任务，则此处设置为：每月12日12:00:00 说明 如果设置每月31日执行一次脱敏任务，在当月日期少于31日的情况下，系统自动在当月最后一日执行任务。 8. 单击“下一步”，进入“数据目标配置”页面。 1. 选择数据库实例、数据库名，并输入数据表名。 如果输入的数据表名已存在，系统将刷新目标数据库中该数据表中的数据。 如果输入的数据表名不存在，系统将自动在目标数据库中新建该名称的数据表。 注意 如果需要填写已有的数据表，请勿选择业务数据表，以免影响业务。 2. 设置数据目标列名。 系统默认将生产与数据源列相同的名称，您可以保持默认名称，也可以根据需要进行修改。 9. 单击“完成”，完成数据库脱敏任务的创建。

此小节介绍数据库安全部署架构。 审计分析场景 数据库安全审计采用数据库旁路部署方式，支持对管理控制台上的RDS、ECS/BMS自建的数据库进行审计。 数据库安全审计部署架构如图所示： 数据库安全审计的Agent部署说明如下： ECS/BMS自建数据库：在数据库端部署Agent。 RDS关系型数据库：在应用端或代理端部署Agent。

本节介绍升级服务器安全卫士（原生版）企业版配额到旗舰版的步骤。 购买企业版配额后，可以将企业版配额升级为旗舰版。 操作步骤 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 配额管理”，进入配额管理页面。 3. 查看您已经订购的配额，选择需要升级的企业版配额，点击“升级”。 4. 进入服务器安全卫士（原生版）升级页面。 5. 在页面下方确认支付费用，阅读《天翼云服务器安全卫士（原生版）服务协议》，并勾选“我已阅读，理解并同意《天翼云服务器安全卫士（原生版）服务协议》“，在页面右下角单击“立即购买”。

问题描述 远程桌面连接Windows云服务器时报错提示："无法验证此远程计算机的身份，是否仍要连接？" 可能原因 云服务器安装了安全软件，防止有未知IP登陆云服务器。 解决方法 1. 在提示的对话框中，勾选“ 不再询问我是否连接到此计算机”，点击“是”。 2. 卸载安全软件。 3. 登录安全软件，将登录安全等级修改为系统默认登录方式。

本文介绍了跨域复制的基本概念、关键特点及应用场景等信息,供您了解弹性文件服务的异地容灾能力。 基本概念 跨域复制是指在不同地域之间进行自动复制数据的过程，弹性文件服务的跨域复制功能基于中国电信骨干网可以将文件系统中的数据近实时、异步复制到跨地域的另一个文件系统，以实现现数据的备份 、容灾 以及满足特定合规性要求等目的。比如金融、政企等安全合规性要求较高的企业可能在不同的地区拥有数据中心，为了确保数据的高可用性和灾难恢复能力，会使用跨域复制功能将数据从一个数据中心复制到另一个数据中心。这样，即使一个地区的数据中心出现故障，数据仍然可以在另一个地区的副本中找到，保证业务的连续性。 关键特点 自动复制 跨域复制是自动进行的，无需人工触发和干预。服务端会根据创建复制时选择的目标区域及目标文件系统，将数据和元数据自动进行同步。当复制任务创建成功后会进行一次全量扫描，然后进行初始化同步，当后续发生新增和修改时都会进行自动增量同步。 数据一致性 单个文件的数据一致性由多种方式来保证： 当用户创建一个复制任务时，服务端会比较从源传过来的文件列表下文件的checksum，如果不一致的文件，那么目的端会返回这部分不一致的文件列表，告诉源端这些不一致的文件需要复制。 如果是一个完整的文件复制完成，将会由checksum比较算法来快速比对文件是否内容一致。 如果是文件只修改了部分，首先使用checksum比较算法比对文件内容，发现不一致时就按照分块checksum比较算法，来验证块之间是否一致，不一致的块需要复制同步，当这些任务完成之后源和目的端即达到数据一致。 初始化同步时，会进行源和目标的数据扫描，目标文件系统已经存在但源文件系统不存在的数据会被保留，若是源和目标存在同名目录/同名文件，则会比较文件的数据是否一致，若不一致则会被覆盖。因此建议目标文件系统仅作为源的复制目标，不作为业务读写使用，防止数据被覆盖。

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

本章节主要向您介绍如何创建IP地址组。 操作场景 本章节指导用户创建IP地址组，IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL中，用于简化网络架构中IP地址的配置和管理。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“IP地址组”。 4. 单击页面右侧“创建IP地址组”。 5. 根据界面提示设置IP地址组参数，IP地址组参数如下表所示。 参数 参数说明 取值样例 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 IP地址组只能关联至同区域的资源。 名称 必选参数。 此处填写IP地址组的名称。 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 您可以自定义IP地址组名称，IP地址组的唯一性由系统分配的ID号保证。 ipGroupA 最大条目数 必选参数。 此处设置IP地址组内支持添加的IP地址条目数量，系统默认显示当前支持的最大条目数，您可以自行减少最大条目数。 20 IP类型 必选参数。 此处设置IP地址组内支持的IP类型，具体如下： IPv4 IPv6 IPv4 IP地址 可选参数。 您可以在IP地址组内添加多个不同格式的IP地址，每个IP地址输入完成后，按回车键换行。 IPv4网段：IP地址/掩码，例如192.168.0.0/16。 单个IPv4地址：IP地址，例如192.168.10.10。 IPv6网段：IP地址/掩码，例如2001:db8:a583:6e::/64 单个IPv6地址：IP地址，例如2001:db8:a583:6e::5c 192.168.0.0/16 企业项目 必选参数。 创建IP地址组时，可以将IP地址组加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 描述 可选参数。 您可以根据需要在文本框中输入IP地址组的描述信息。 6. 基本信息设置完成后，单击“立即创建”。返回IP地址组列表，创建成功的IP地址组状态为“正常”。 说明 IP地址组无法独立使用，需要将IP地址组关联至对应的资源。

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

本小节介绍数据库安全购买类常见问题。 购买实例时如何选择“子网”？ 需要选择与数据库同一VPC的子网。 购买实例时为何要选择VPC？ 对于非云上的数据库，Agent和DBSS实例之间的网络需要通过VPC互通。DBSS实例的VPC和安装Agent的节点如果在不同VPC，将导致无法审计。 同一区域可以多少个数据库安全审计实例？ 基础版：最多支持3个数据库实例。 专业版：最多支持6个数据库实例。 高级版：最多支持30个数据库实例。 在专属云上购买数据库安全服务会消耗专属云上的资源吗？ 当您在专属云上购买数据库安全服务时，DBSS将消耗您在专属云上的计算资源，消耗的资源说明如表所示。 如果您不希望DBSS消耗专属云资源，请在公有云上购买DBSS。 版本 消耗资源 基础版 vCPU：4核 内存：16GB 硬盘：560GB 专业版 vCPU：8核 内存：32GB 硬盘：1084GB 高级版 vCPU：16核 内存：64GB 硬盘：2108GB 哪些区域可以使用数据库安全服务？ 目前数据库安全服务主要集中在天翼云二类节点，主要区域包含如下： 购买实例时提示资源售罄时如何处理？ 当您在购买数据库安全服务时，界面提示资源售罄，请您单击管理控制台左上角的区域按钮选择其他区域后购买或提交工单。

后端访问签名 使用云原生网关的场景下，后端服务不直接对外暴露服务，而是通过云原生网关将请求转发到后端。从安全角度，配置认证鉴权策略限制只允许云原生网关等作为请求方访问自己。针对这种场景，云原生网关可以配置特定的签名策略，用于后端服务的认证鉴权。当前云原生网关添加服务时可以配置HMAC算法签名策略，如下图所示： 配置选项说明如下： 选项 说明 认证算法 当前仅支持HMAC。 Access Key 后端服务校验签名使用的HMAC access key。 Secret Key 后端服务校验签名使用的HMAC secret key。 加密算法 HMAC加密算法，支持hmacsha1, hmacsha256, hmacsha512。 加密Headers列表 用于计算签名的header列表。 URL参数编码 URL参数是否经过编码之后再计算签名，默认是。 服务版本管理 服务的版本一般是服务迭代过程中的概念，在云原生网关的场景下，服务版本引申为服务的标签概念，一个服务可能有多个版本（标签）；基于服务的版本（标签）可以实现如标签路由、灰度发布、高可用部署等能力；如对于一个服务存在多个版本的场景，基于不同版本的实例上所携带的标签不同，将服务定义为多个不同的版本；根据请求的特征匹配，路由到不同版本的服务中可以实现标签路由；将服务的流量在多个版本之间分配，可以实现金丝雀、蓝绿等灰度功能；根据服务的部署标签定义的版本则可以应用在服务的高可用部署上。 对于容器或者Nacos来源的服务，云原生网关支持根据服务的元数据定义不同的版本，如下图对于容器服务，可以根据pod的标签定义不同的服务版本： 配置说明如下： 配置 说明 版本名称 自定义的版本名称。 标签名 版本对应的标签名，可选值来自当前服务的元数据。 标签值 版本标签名对应的标签值，可选值来自当前服务的元数据。 实例数/比例 所选的标签选择到的实例数/相对于整体实例数的比例。 添加完服务版本则可以看到如下：

错误码 描述 Obs.0000 无效的参数。 Obs.0001 所有对这个对象的访问已经无效了。 Obs.0002 文件的绝对路径总长度不能超过1023字符，请重试。 Obs.0003 连接超时。 Obs.0004 客户端与服务器的时间相差大于15分钟。出于安全目的，OBS会校验客户端与OBS服务器的时间差，当该时间差大于15分钟时，OBS服务器会拒绝您的请求，从而出现此报错。请根据本地UTC时间调整本地时间后再访问。 Obs.0005 服务器负载过高，请稍后重试。 Obs.0006 用户拥有的桶的数量已经达到了系统的上限。一个帐号及帐号下的所有IAM用户可创建的桶+并行文件系统的上限为100个。建议结合OBS细粒度权限控制能力，合理进行桶规划和使用。 Obs.0007 目标桶不存在或目标桶与当前桶不属于同一区域，请确认后重新操作。 Obs.0008 你的帐号还没有在系统中注册，必须先在系统中注册了才能使用该帐号。 Obs.0009 另外一个冲突的操作当前正作用在这个资源上，请重试。这是由于OBS中存在同名桶且该同名桶在短期内因欠费被释放导致的。建议您更换桶名再试。 Obs.0010 删除失败，请检查桶中是否存在对象或历史版本的对象。 Obs.0011 桶策略规则无效，请重新配置。 Obs.0012 请求的桶名已经存在。桶的命名空间是系统中所有用户共用的，选择一个不同的桶名再重试一次。 Obs.0013 请求的文件夹名已经存在。选择一个不同的名字再重试一次。 Obs.0014 文件超过5GB。请使用OBS Browser+上传。 Obs.0015 搜索条件的绝对路径总长度超过1023字符，请重试。 Obs.0016 上传对象失败。可能原因如下：网络异常。无桶的写权限。 Obs.0017 新的有效期对应的过期时间必须晚于当前该对象的过期时间。 Obs.0018 有效期必须大于或等于剩余天数。 Obs.0019 无法判断桶中是否有对象或碎片，请检查您是否有桶的读权限。 Obs.0020 TMS系统内部错误，请稍后重试。 Obs.0021 您没有权限访问TMS。TMS需要的权限请在IAM中配置。 Obs.0022 TMS系统繁忙，请稍后重试。

本节介绍如何配置攻击惩罚的流量标识。 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 前提条件 已添加防护网站。 约束条件 如果配置了IP标记，为了确保IP标记生效，请您确认防护网站在接入WAF前已使用了7层代理，且防护网站的“是否已使用代理”为“是”。 如果未配置IP标记，WAF默认通过客户端IP进行识别。 使用Cookie或Params恶意请求的攻击惩罚功能前，您需要分别配置对应域名的Session标记或User标记。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“流量标识”栏中，单击“IP标记”、“Session标记”或“User标记”后的，分别设置流量标记。 流量标识参数说明： 标识 说明 配置样例 IP标记 客户端最原始的IP地址的HTTP请求头字段。 如果配置该标识，请确保网站在接入WAF前已使用了7层代理，且防护网站的“是否已使用代理”为“是”，IP标记功能才能生效。 该字段用于保存客户端的真实IP地址，可自定义字段名且支持配置多个字段（多个字段名以英文逗号隔开），配置后，WAF优先从配置的字段中获取客户端真实IP（配置多个字段时，WAF从左到右依次读取）。 说明 如果想以TCP连接IP作为客户端IP，“IP标记”应配置为“$remoteaddr”。 如果从自定义字段中未获取到客户端真实IP，WAF将依次从cdnsrcip，xrealip，xforwardedfor，$remoteaddr"字段获取客户端IP。 XForwardedFor Session标记 用于Cookie恶意请求的攻击惩罚功能。在选择Cookie拦截的攻击惩罚功能前，必须配置该标识。 jssessionid User标记 用于Params恶意请求的攻击惩罚功能。在选择Params拦截的攻击惩罚功能前，必须配置该标识。 name 7. 单击“确认”，完成标记信息配置。

步骤四：购买客户端服务器 购买3台ECS服务器（资源池、可用区、虚拟私有云、子网、安全组与Kafka实例保持一致，带宽要大于等于Kafka实例带宽） 购买完成后需要进行如下操作： 安装JDK yum install y java1.8.0openjdkdevel.x8664 下载Kafka命令行工具并解压 tar zxvf kafka2.132.8.2.tar.gz 步骤五：测试命令 ./kafkaproducerperftest.sh producerprops bootstrap.servers${连接地址} acks1 batch.size16384 topic ${Topic名称} numrecords 5000000 recordsize 1024 throughput 1 producer.config ../config/producer.properties bootstrap.servers：购买Kafka实例后，获取的Kafka实例的地址。 acks：消息主从同步策略，acks1表示异步复制消息，acks1表示同步复制消息。 batch.size：每次批量发送消息的大小（单位为字节）。 topic：创建Topic中设置的Topic名称。 numrecords：总共需要发送的消息数。 recordsize：每条消息的大小。 throughput：每秒发送的消息数，1表示不作限制。 测试结果 测试场景一（实例是否开启SASL）：相同的Topic（30分区，3副本，异步复制） 实例规格 磁盘类型 节点数量 TPS（使用SASL） TPS（不使用SASL） 计算增强型4核8GB 超高IO 3 170000 500000 计算增强型8核16GB 超高IO 3 200000 730000 计算增强型16核32GB 超高IO 3 360000 886000 测试场景二（同步/异步复制）：相同的实例（超高I/O、3个节点、不使用SASL） 实例规格 分区数 副本数 TPS（同步复制） TPS（异步复制） 计算增强型4核8GB 30 3 238000 500000 计算增强型8核16GB 30 3 315000 730000 计算增强型16核32GB 30 3 375000 886000 测试场景三（不同磁盘类型）：相同的Topic（30分区，3副本，异步复制） 实例规格 是否使用SASL 节点数量 TPS（高IO） TPS（超高IO） 计算增强型4核8GB 不使用 3 135000 500000 计算增强型8核16GB 不使用 3 240000 730000 计算增强型16核32GB 不使用 3 280000 886000 测试场景四（不同分区数）：相同的实例（超高I/O、3个节点、不使用SASL） 实例规格 是否同步复制 副本数 TPS（3分区） TPS（12分区） TPS（100分区） 计算增强型4核8GB 否 3 330000 280000 260000 计算增强型8核16GB 否 3 480000 410000 340000 计算增强型16核32GB 否 3 534000 744000 630000

本文主要为您介绍如何开启Cookie防篡改功能，以及如何配置Cookie防篡改参数。 网站域名接入Web应用防火墙后，您可以选择开启Cookie防篡改功能，开启后，WAF可通过Cookie中的字段对网页进行完整性校验保护。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持Cookie防篡改功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“Cookie防篡改”模块，可以选择开启/关闭防护。 7. 单击配置详情右侧的“前去配置”，进入Cookie防篡改配置页面，配置相关参数。 参数说明如下： 配置项 说明 防护模式 默认为“Cookie签名”，且不支持修改。 新增Cookie字段，字段值为待防护Cookie字段的签名，请求会对签名值进行完整性校验，若发生篡改则进行处置。 Cookie密钥 用于生成防篡改签名值的密钥（AES256），您可以自定义或者“快速生成密钥”。 Cookie兼容时间 生成配置后为了兼容之前未带Cookie签名的请求，可以设置生效时间。默认为当前时间。 IP校验 默认为“是”，表示除了对于防护Cookie值校验，同时也会对访问IP进行校验，同一Cookie值更换IP后无法通过校验。 修改为“否”，将仅对Cookie值进行校验。 Cookie字段名称 单击“新增Cookie字段”，新增一个Cookie字段。 HttpOnly：Cookie属性字段，用于避免客户端脚本访问该Cookie，勾选后可防止客户端脚本读取Cookie，防范XSS攻击。 Secure：Cookie属性字段，勾选后仅支持通过Https发送Cooike，防范采用Http协议发起的政击。 处置动作 选择WAF检测到篡改行为后，系统执行的动作。 拦截：拦截请求。 观察（仅记录）：仅通过日志记录请求，不进行拦截。 8. 单击“确认”，完成配置。

本节介绍数据安全中心部署形态和使用方式。 产品形态 数据安全中心为SaaS形态产品，无需购买云主机单独部署。 使用说明 客户购买后，使用数据安全中心前，须先开通并使用对象存储OBS或关系型数据库RDS云产品中任意一种，确保有可供数据安全中心扫描的数据。开通数据安全中心后，数据安全中心服务将自动检测用户已添加的资产，并应用敏感规则对其进行风险等级的评价。 使用步骤 1. 进行云资产授权，详见云资产委托授权/停止授权。 2. 添加资产，详见批量添加资产。 3. 识别敏感数据，包括创建敏感数据规则、创建敏感数据规则组、创建敏感数据识别任务、查看识别结果和处理异常事件等，详细操作见敏感数据识别。 4. 进行数据脱敏，根据脱敏算法来配置脱敏规则，执行数据脱敏任务来达到数据脱敏，详细操作见数据脱敏。

本小节介绍服务器安全卫士操作类常见问题。 订购后如何部署？ 购买成功后，进入控制中心“服务器安全卫士”界面，点击“控制台”，进入控制台后，在通用功能系统设置Agent安装界面，根据页面提示安装Agent即可。 安全卫士是否支持双因子认证？ 服务器安全卫士不支持双因子，因为服务器安全卫士本身是通过登录天翼云账号跳转，直接登录的服务器安全卫士控制台，服务器安全卫士本身并没有账号，所以不支持双因子认证。 如何接收监测报告？ 服务器安全卫士支持以邮件的方式将报告发给客户指定邮箱（首次登录服务器安全卫士时控制台需要填写邮箱）。客户可在服务器安全卫士消息中心——消息接收配置界面，配置是否接收报告，也可添加接收人。 如何接收实时告警？ 服务器安全卫士支持邮件、短信、站内信方式将告警实时告知客户，客户需要在首次登录服务器安全卫士控制台时填入接收的邮箱和手机号，也可以在服务器安全卫士消息中心——消息接收配置界面，配置接收通知的消息类型、接收方式和接收人。 Windows客户端Agent安装失败？ 现象1： 安装时输出“http error code 28” 解决方案： 1. 检查与服务端的网络是否正常连通，测试方法：把安装URL填到浏览器，看看能否正常连接加载内容 2. 检查客户是否配置防火墙进行了拦截 3. 检查客户环境是否有WAF进行了拦截操作 现象2： 安装Windows Agent报NSIS错误。 解决方案： 客户系统是Windows英文版系统，存放安装包的目录带有中文，打开安装包就报错。将安装包移到纯英文目录下就可以正常安装。 现象3： 检查sys.log发现 Can't modify service config 3 解决方案： 是由于客户操作系统环境注册表写入问题，需要排查是否是禁用注册表写入或是杀毒拦截等原因。 现象4： 安装提示Error Launching installer 解决方案： 把安装程序放置到纯英文目录尝试再次安装。 现象5： 安装时提示错误：抽取，无法写入文件 解决方案：查看C盘磁盘是否已经满了，如果满了，清理一下磁盘 现象6： Windows服务器安装Agent报错下载文件失败 如下图： telnet server 所有端口都是通的，但是访问 telnet成功后按ctrl+c结束时会有400返回。 原因： 客户Windows服务器设置了网络代理，查看方式为打开IE浏览器，选择“设置 > Internet选项 > 连接 > 局域网设置”，如下图 ： 解决办法： 打开IE浏览器，选择“设置 > Internet选项 > 连接 > 局域网设置 > 高级”，在“对于下列字符开头的地址不使用代理服务器”中填写： ip;server ip，如下图： 完成配置后重新打开cmd执行安装命令。 现象7： Windows安装Agent时报错“文件或目录损坏且无法读取” 解决方案： 确认发现是客户使用账号没有权限写C盘目录，使用管理员权限问题解决。

通过NAT网关实现公网访问裸金属实例 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 ，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置DNAT规则】进入网关详情。 4. 在【添加DNAT规则】页面，端口类型可选择【指定端口】或【所有端口】，【弹性公网IP】选择已绑定的弹性IP，私网IP选择裸金属实例，单击【提交】完成规则设置。 5. 在【DNAT】页签可以查看已添加的规则。 6. 单击左侧【子网ACL】导航栏，选择未绑定任何规则的子网ACL实例，在其列表页点击【操作>关联子网】进入到子网ACL详情页面。 8. 在【入/出方向规则】页签，点击【添加入/出方向规则】对裸金属实例与公网之间互访的规则进行添加。 9. 登录裸金属，输入账号密码，在命令行测试公网IP+端口的联通性。 注意： 1. SNAT 规则不能和全端口的 DNAT 规则共用弹性公网IP。 2. SNAT 规则和 DNAT 规则一般面向不同的业务，如果使用相同的弹性公网IP，会面临业务互相抢占问题，请尽量避免。 3. 配置 DNAT 规则后，一定需要放通对应的子网ACL规则。 入方向规则：如裸金属实例部署了对应服务（如TCP 8080）且第4步选择了所有端口，则需要严格限制公网至裸金属实例的规则。可配置只允许外部地址访问部署了服务的端口，如只放通公网0.0.0.0/0至裸金属IP的8080端口，其余端口可全部拒绝；从而避免过多端口暴露至公网引发安全问题。 出方向规则：可放通裸金属IP至0.0.0.0/0公网地址，协议为全部的规则。