修改Windows系统实例默认远程端口，以Windows Server 2012数据中心版为例。 操作步骤 1. 登录控制中心，进入轻量型云主机列表页面。 2. 通过控制台VNC远程登录待修改端口的Windows轻量型云主机实例。 3. 修改注册表子项PortNumber的值。 4. 右键单击Windows 徽标键，选择运行，启动运行窗口。 5. 在运行窗口的文本框内输入regedit.exe后按回车键，打开注册表编辑器。 6. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 7. 在列表中找到注册表子项PortNumber并右键单击，选择修改，进入修改窗口。 8. 在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击“确定”。 9. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 10. 在右侧列表中找到注册表子项PortNumber并右键单击，选择修改（可以使用键盘方向键向下寻找）。 11. 在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击确定。 12. 在轻量型云主机管理控制台中将此台云主机进行重启。 13. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 14. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。

sectionc8805cf165fea374) 函数服务是否支持在函数中启动TCP的监听端口，通过EIP接收外部发送过来的TCP请求？ FunctionGraph是什么？ 函数工作流（FunctionGraph）是一项基于事件驱动的函数托管计算服务。使用FunctionGraph函数，只需编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。 函数中如何读写文件？ 函数工作目录权限说明 函数可以读取代码目录下的文件，函数工作目录在入口文件的上一级，例如用户上传了文件夹backend，需要读取与入口文件同级目录的文件test.conf，可以用相对路径“code/backend/test.conf”，或者使用绝对路径（相关目录为RUNTIMECODEROOT环境变量对应的值）。如果需要写文件（如创建新文件或者下载文件等），可以在/tmp目录下进行或者使用函数提供的挂载文件系统功能。 说明 若容器回收，文件的读写就会失效。 函数目前不支持持久化。 典型场景 需要对OBS上的文件进行处理，可以先把文件下载到/tmp目录。 函数运行过程中产生了一些数据想保存到OBS，可以先在/tmp目录下创建新文件，然后把这些数据写到里面，接下来上传该文件到OBS。 FunctionGraph函数是否支持扩展？ FunctionGraph目前已经集成了一些非标准库如：redis、http、obsclient等，开发函数时可以直接使用。 用户可以通过维护属于自己的依赖代码库，供所有函数使用。 IAM子帐号使用FunctionGraph需要设置哪些权限？ 使用IAM子帐号登录、使用函数工作流服务，对函数和函数下的触发器进行增删改查，如果出现权限不足情况，需要主帐号对IAM子帐号所属的用户组设置相应的权限。同时，若您想通过函数调用其他云服务，如OBS服务时，需要您配置委托并根据实际业务需求配置服务相关权限。为保障服务的安全，请您按照最小权限原则配置权限。

Service Service是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。 图 通过Service访问Pod 根据创建Service的类型不同，可分成如下模式： ClusterIP：用于在集群内部互相访问的场景，通过ClusterIP访问Service。 NodePort：用于从集群外部访问的场景，通过节点上的端口访问Service。 LoadBalancer：用于从集群外部访问的场景，其实是NodePort的扩展，通过一个特定的LoadBalancer访问Service，这个LoadBalancer将请求转发到节点的NodePort，而外部只需要访问LoadBalancer。 Service的详细介绍请参见Service概述。 lngress Service是基于四层TCP和UDP协议转发的，而Ingress可以基于七层的HTTP和HTTPS协议转发，可以通过域名和路径做到更细粒度的划分，如下图所示。 图 IngressService Ingress的详细介绍请参见Ingress概述。 网络访问场景 负载网络访问可以分为如下几种场景。 集群内部访问：创建ClusterIP类型的Service，通过Service访问负载。 外部访问负载：从外部访问负载推荐使用Service（NodePort类型或LoadBalancer类型）或Ingress访问。 公网访问负载需要节点或LoadBalancer绑定公网IP。 内网访问负载通过节点或LoadBalancer内网IP即可。如果跨VPC需要通过对等连接等手段打通不同VPC网络。 负载访问外部： 负载访问内网：负载访问内网地址，在不同容器网络模型下有不同的表现，需要注意在对端安全组放通容器网段，具体请参见容器如何访问VPC内部网络。 负载访问公网：访问公网有几种方法可以实现，一是让容器所在节点绑定公网IP（容器网络模型为VPC网络或容器隧道网络），另一个是通过NAT网关配置SNAT规则，具体请参见从容器访问公网。 图 网络访问示意图

本章介绍迁移前需要做哪些准备工作。 已注册天翼云账号，并开通天翼云，登陆并完成实名认证。 注册天翼云账号并完成实名认证。 账号充值，且账号余额不少于100元。 建议您目的端账户余额不少于100元，避免迁移过程中欠费，导致迁移失败。主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。详情参考100元余额说明。 已获取帐号迁移权限。 如果使用帐号登录，默认拥有迁移权限，可无需配置迁移权限；如果使用IAM用户登录，请创建用户组并授权进行授权。详情请参考创建用户并授权使用SMS。 已获取目的端帐号的AK/SK。 迁移时使用AK/SK进行鉴权认证，获取目的端帐号的AK/SK操作请参见如何获取AK/SK？（账号）或如何获取AK/SK？。 操作系统要求。 主机迁移服务支持迁移的源端服务器操作系统列表请参见Windows兼容性列表、Linux兼容性列表。 迁移网络要求。 1. 源端能连接到天翼云API Gateway（端口：443）。源端出网方向端口，建议全部开放。 2. 使用IPv6进行迁移时，要求源端支持IPv4/IPv6双栈网络。 3. 源端能连接到目的端。 1. 若使用弹性公网IP连接，目的端需要提前购买和配置正确的EIP。 2. 若使用专线或者VPN，需提前购买和配置正确的专线或VPN。 4. 目的端服务器所属安全组需要开放端口： 1. Windows系统需要开放TCP的8899端口、8900端口和22端口。 2. Linux系统文件级迁移开放22端口。 3. 以上端口，建议只对源端服务器开放。 4. 防火墙开放端口与操作系统开放端口保持一致。

本页介绍天翼云TeleDB数据库查询和索引统计收集器相关参数。 这些参数控制服务器范围的统计数据收集特性。当统计收集被启用时，被产生的数据可以通过pgstat和pgstatio系统视图族访问。 trackactivities (boolean) 启用对每个会话的当前执行命令的信息收集，还有命令开始执行的时间。这个参数默认为打开。注意即使被启用，这些信息也不是对所有用户可见，只有超级用户和拥有报告信息的会话的用户可见，因此它不会表现为一个安全风险。只有超级用户可以更改这个设置。 trackactivityquerysize (integer) 声明保留的字节数，以跟踪每个活动会话的当前执行命令，对pgstatactivity.currentquery段。缺省值是1024。这个参数只能在服务器启动时设置。指定跟踪每个活动会话当前执行命令所保留的字节数，它们被用于pgstatactivity.query域。默认值是 1024。这个参数只能在服务器启动时被设置。 trackcounts (boolean) 启用在数据库活动上的统计收集。这个参数默认为打开，因为自动清理守护进程需要被收集的信息。只有超级用户可以更改这个设置。 trackiotiming (boolean) 启用对系统I/O 调用的计时。这个参数默认为关闭，因为它将重复地向操作系统查询当前时间，这会在某些平台上导致显著的负荷。你可以使用pgtesttiming工具来度量你的系统中计时的开销。I/O 计时信息被显示在pgstatdatabase中、当BUFFERS选项被使用时的EXPLAIN输出中以及pgstatstatements中。只有超级用户可以更改这个设置。 trackfunctions (enum) 启用跟踪函数调用计数和用时。指定pl只跟踪过程语言函数，指定all还会跟踪 SQL 和 C 语言函数。默认值是none，它禁用函数统计跟踪。只有超级用户可以更改这个设置。注意简单到足以被“内联”到调用查询中的 SQL 语言函数不会被跟踪，而不管这个设置。

本章节主要介绍数据治理中心DataArts Studio如何获取认证信息。 DataArts Studio使用过程中，在数据集成创建OBS连接、API调用、使用问题定位时，您可能需要获取访问密钥、项目ID、终端节点等信息，获取方式如下。 获取访问密钥 您可以通过如下方式获取访问密钥。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥 > 新增访问密钥”，如图1所示。 图1 单击新增访问密钥 3. 单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。 获取项目ID和帐号ID 项目ID表示租户的资源，帐号ID对应当前帐号。用户可在对应页面下查看不同Region对应的项目ID和帐号ID。 1. 注册并登录管理控制台。 2. 在用户名的下拉列表中单击“我的凭证”。 3. 在“我的凭证”页面，查看帐号名和帐号ID，在项目列表中查看项目ID。 获取DataArts Studio实例ID和工作空间ID DataArts Studio的实例ID和工作空间ID可以从DataArts Studio控制台的URI链接中获取。 1. 在DataArts Studio控制台首页，选择对应工作空间，并点击任一模块，如“管理中心”。 2. 进入管理中心页面后，从浏览器地址栏中获取“instanceId”和“workspace”对应的值，即为DataArts Studio的实例ID和工作空间ID。 如下图所示，实例ID为 6b88 …2688 ，工作空间ID为 1dd3bc …d93f0 。 图2 获取实例ID和工作空间ID

获取API的调用信息 在调用API前，您需要向API提供者获取API的调用信息。 获取API的请求信息 在API网关控制台选择“API管理 > API列表”，在“API列表”页签中可获取API的“域名”、“请求方法”和“请求路径”。单击API的名称进入“API运行”页面，在“前端配置”或“后端配置”区域获取API基本信息。 获取API的认证信息 根据API使用的安全认证方式不同，还要获取相关的请求认证信息： 认证方式 认证信息 APP认证（签名认证） 向API提供者获取该API所授权凭据的Key和Secret，以及认证签名所使用的SDK。 APP认证（简易认证） 向API提供者获取该API所授权凭据的AppCode。 APP认证（双重认证） 同时获取APP认证以及自定义认证所需的认证信息。 APP认证（appsecret认证） 向API提供者获取该API所授权凭据的Key和Secret。 APP认证（appbasic认证） 向API提供者获取该API所授权凭据的Key和Secret。 IAM认证（Token认证） 获取云服务平台的用户账号密码。 IAM认证（AK/SK认证） 获取云服务平台的用户账号的AK/SK，以及认证签名所使用的SDK。 IAM认证（双重认证） 同时获取IAM认证以及自定义认证所需的认证信息。 自定义认证 向API提供者获取请求参数中要携带的自定义认证信息。 无认证 无需认证信息。 第三方认证（API策略） 向API提供者获取请求参数中要携带的第三方认证信息。 − 获取凭据的Key和Secret： 在API网关控制台选择“API管理 > 凭据管理”，在凭据列表中单击API所授权凭据的名称，进入凭据详情页面，获取凭据的Key和Secret。 − 获取认证签名所使用SDK： 在API网关控制台选择“帮助中心”，在“SDK使用指引”页签中下载对应语言所使用SDK。 − 获取AppCode： 在API网关控制台选择“API管理 > 凭据管理”，在凭据列表中单击API所授权凭据的名称，进入凭据详情页面，在“AppCodes”区域中获取AppCode。

本文介绍视频直播支持的访问控制策略。 天翼云视频直播支持如下访问控制策略： Referer防盗链和UA防盗链：根据HTTP请求头中的Referer字段或UserAgent字段对请求来源的域名及其他信息进行黑白名单控制，从而实现对用户身份的识别和过滤。Referer防盗链支持控制台自助操作，如需配置请参见：Referer防盗链。UA防盗链暂不支持自助操作，如需配置请提交工单。 IP黑白名单：通过设置黑白名单对来源IP进行相应限制。IP黑白名单支持控制台自助操作，如何配置请参见：IP黑白名单。 区域访问控制：通过允许或者拒绝指定区域的用户访问，实现访问控制。区域访问控制暂不支持自助操作，如需配置请提交工单。 时间戳防盗链：在主播推流或观众播放的URL中加上鉴权信息。主播请求直播推流或观众请求播放时，视频直播会对请求进行时效性判断，并对URL中携带的鉴权信息进行合法性判断，仅校验通过的请求予以响应，其它非法的访问将予以拒绝，从而有效地保护直播资源。更多详细信息请参见：URL鉴权。URL鉴权暂不支持自助操作，如需配置请提交工单。 远程鉴权：如果希望更安全的访问控制策略，您可通过远程鉴权实现。即由您自行搭建鉴权中心，视频直播将接收到的请求，转发到您搭建的鉴权中心进行鉴权，鉴权通过的才可以允许播放，不通过的则拒绝。更多详细信息请参见：远程鉴权。 HTTPS访问：您可以配置HTTPS证书，用户请求时通过HTTPS访问，从而使用户和直播节点之间使用HTTPS加密传输。HTTPS支持控制台自助操作，如何配置请参见：HTTPS配置。

DRS界面信息重叠是什么原因 DRS界面出现信息重叠通常是页面缩放率过小导致的，建议将页面缩放率调整为100%即可显示正常。 MySQL源库设置了global binlogformat ROW没有立即生效 使用DRS进行MySQL的迁移时，必须确保源库的binlogformat是ROW格式的，否则就会导致任务失败甚至数据丢失。在源库设置了global级别的binlogformatROW之后，还需要中断之前所有的业务连接，因为设置之前的连接使用的还是非ROW格式的binlog写入。 安全设置global级binlogformatROW的步骤 步骤 1 通过MySQL官方客户端或者其它工具登录源数据库。 步骤 2 在源数据库上执行全局参数设置命令。 set global binlogformat ROW; 步骤 3 在源数据库上执行如下命令确认上面操作已执行成功。 select @@global.binlogformat; 步骤 4 您可以通过如下两种方式确保修改后的源库binlogformat格式立即生效。 方法一： 1. 选择一个非业务的时间段，中断当前数据库上的所有业务连接。 a. 通过如下命令查询当前数据库上的所有业务连接(所有的binlog Dump连接及当前连接除外)。 show processlist; b. 中断上面查出的所有业务连接。 说明 在上述操作未结束之前，请不要创建或者启动迁移任务，否则会导致数据不一致。 2. 为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 方法二： 3. 为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 4. 确保上述配置参数binlogformat添加或修改成功后，选择一个非业务时间段，重启源数据库即可。

本章主要介绍翼MapReduce的恢复Hive业务数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对Hive进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对Hive进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复Hive任务并恢复数据。只支持创建任务手动恢复数据。 Hive备份恢复功能不支持识别用户的Hive表、索引、视图等对象在业务和结构上存在的关联关系。用户在执行备份恢复任务时，需要根据业务场景管理统一的恢复点，防止影响业务正常运行。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的Hive数据。 对系统的影响 恢复过程中会停止用户认证，用户无法开始新的连接。 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，需要重新启动Hive的上层应用。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 规划好恢复数据保存表的数据库，数据表在HDFS的保存位置，以及访问恢复数据的用户清单。 检查Hive备份文件保存路径。 停止Hive的上层应用。 登录FusionInsight Manager，请参见登录管理系统。

本文向您介绍通过企业版VPN实现云上云下网络互通（主备模式）的操作步骤。 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。 操作步骤 VPN服务支持静态路由模式、BGP路由模式和策略模式三种连接模式。本示例以静态路由模式进行配置讲解。 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 配置VPN网关： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击“创建VPN网关”。 2. 根据界面提示配置参数。 表VPN网关参数说明 参数 说明 取值参数 名称 VPN网关的名称。 vpngw001 网络类型 选择“公网”。 公网 关联模式 选择“虚拟私有云”。 关联ER场景时，请选择“企业路由器”。 虚拟私有云 企业路由器 仅关联场景为“企业路由器”时需要选择。 er001 虚拟私有云 选择用于分配互联子网的VPC。 关联场景为“企业路由器”时，该VPC可以对接ER，也可以不对接ER。 vpc001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 仅关联场景为“虚拟私有云”时需要配置。 输入网段 输入需要和用户数据中心通信的子网，该子网可以在关联VPC内，也可以不在关联VPC内。 选择子网 选择关联VPC内的子网信息，用于和用户数据中心通信。 192.168.0.0/24，192.168.1.0/24 BGP ASN BGP自治系统编号。 64512 HA模式 选择“主备”。 主备 主EIP VPN网关和用户数据中心通信的公网IP1。 1.1.1.2 备EIP VPN网关和用户数据中心通信的公网IP2。 2.2.2.2 3. 配置对端网关： 1. 选择“虚拟专用网络 > 企业版对端网关”，单击“创建对端网关”。 2. 根据界面提示配置参数。

续订方式 说明 手动续订 服务器安全卫士（原生版）在购买之后支持手动续订的方式，您可以随时在服务器安全卫士（原生版）管理控制台中的配额管理页面进行续订，续订后服务器安全卫士（原生版）到期时间将自动延期到续订后的到期时间。 自动续订 服务器安全卫士（原生版）在购买之后支持自动续订的方式，您可以随时在“费用中心 > 订单管理 > 续订管理”页面开启自动续订，自动续订开启后服务器安全卫士（原生版）将会进行自动续订，更多说明见 自动续订 。

服务器安全卫士根据购买的授权数量，按包年包月进行计费，分为基础版、企业版、旗舰版。 服务器安全卫士基础版为免费版本，企业版和旗舰版为付费版本，不同服务器支持开通不同版本功能，各版本功能见：产品规格。 各版本标准价格如下： 产品名称 规格 标准价格(元/月/台) 活动价(元/月/台) 服务器安全卫士 基础版 0 0 服务器安全卫士 企业版 60 36（6折） 服务器安全卫士 旗舰版 200 120（6折） 注意 活动价是标准价格的6折，具体以订购页面和控制台展示为准。

本文主要介绍基于VirtualBox使用ISO创建Windows镜像的方案概述 VirtualBox介绍 VirtualBox是一款开源免费跨平台的虚拟机软件。VirtualBox是由德国InnoTek软件公司出品的虚拟机软件，现在则由甲骨文公司进行开发，是甲骨文公司xVM虚拟化平台技术的一部分。 更多VirtualBox信息请参考Oracle官方网站。请单击 应用场景 用户可以基于VirtualBox提供的32位或64位的Windows操作系统，制作vhd格式的Windows镜像文件。 方案优势 可灵活定制Windows镜像文件。 资源和成本规划 资源 资源说明 成本说明 VirtualBox工具 VirtualBox是一款开源免费跨平台的虚拟机软件。 VirtualBox官方下载地址：< 免费 UVP VMtools工具 UVP VMtools是一个集成Xen前端驱动和uvpmonitor（虚拟机监控程序）的工具。 它专为在配备基于32位x86的虚拟机（VM）上使用而设计。 获取方式： 免费 ISO镜像文件 用于为新创建的空虚拟机安装操作系统，需要用户自行提供。 文件名称：Windowsserver2008r2.iso CloudbaseInit工具（可选） 为了保证使用生成的镜像创建的新云主机可以自定义配置（例如修改云主机密码），建议您安装CloudbaseInit工具。 不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 获取方式：< 免费 一键式重置密码插件（可选） 为了保证使用生成的镜像创建的新云主机可以实现一键式重置密码功能， 建议您安装密码重置插件CloudResetPwdAgent，可以应用一键式重置密码功能，给云主机设置新密码。 获取方式： 免费

问题描述 远程桌面连接Windows云服务器时报错提示："无法验证此远程计算机的身份，是否仍要连接？" 可能原因 云服务器安装了安全软件，防止有未知IP登陆云服务器。 解决方法 1. 在提示的对话框中，勾选“ 不再询问我是否连接到此计算机”，点击“是”。 2. 卸载安全软件。 3. 登录安全软件，将登录安全等级修改为系统默认登录方式。

负载均衡器监听的端口和后端主机的端口关系是什么？是否可以不一致？ 负载均衡器监听的端口是客户端到负载均衡器之间的请求的目标端口号，是服务对外暴露的端口号。而后端主机的端口号是实际业务的端口号，可以和监听器的端口号不一样。 弹性负载均衡正在运行中，此时增加监听器，添加新的负载方式是否会导致业务中断？ 负载均衡器下支持创建多个监听器，不同监听器的运行相互独立。在已有监听器的负载均衡器下创建新监听器，不影响已经创建的监听器的现有连接，不会引发业务中断。 默认情况下一个负载均衡器可以创建3个监听器，同一个负载均衡器的多个监听器共享负载均衡器的性能。在总体性能不足的情况下，可能会因监听器之间性能争抢对业务质量产生影响。 监听器是否支持创建转发策略？ TCP/UDP协议的监听器不支持。 HTTP/HTTPS协议的监听器，在没有设置重定向的情况下，支持配置基于域名和路径的转发策略。 重定向的监听器不可创建转发策略，到此监听器的访问都将被重定向至已配置的HTTPS监听器。 监听器的转发策略的状态显示为“异常”的原因是什么？ 监听器的转发策略状态显示为“异常”可能有以下几个原因： 1. 如果监听器的转发策略配置的后端主机出现异常或者不可用，负载均衡器无法将请求转发给后端主机，导致转发策略状态显示为“异常”。 2. 负载均衡器会定期进行健康检查来判断后端主机的可用性。如果健康检查失败次数超过了设定的阈值，负载均衡器会将转发策略状态标记为“异常”。 3. 如果监听器的转发策略配置存在错误，比如创建了相同的转发策略（出现转发策略冲突），则会出现转发策略异常，此时即使把前面创建的转发策略删除，后面的转发策略依然会显示异常。 4. 如果后端安装了一些主机安全工具，比如windows的edr，linux的翼盾，或者是添加云墙，也可能会导致显示异常。

本文以思科防火墙为例介绍如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 背景信息 VPC和本地IDC的网络配置如下： 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 前提条件 您已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 配置IKEv1 VPN 协议 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group2 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group2 IPsec 生命周期 3600 IPsec 传输协议 ESP 操作步骤 1. 登录防火墙设备的命令行配置界面。 2. 配置isakmp策略。 crypto isakmp policy 1 authentication preshare encryption aes hash sha group 2 lifetime 86400 3. 配置预共享密钥。 crypto isakmp key aa123bb address 121.XX.XX.113 4. 配置IPsec安全协议。 crypto ipsec transformset ipsecpro64 espaes espshahmac mode tunnel 5. 配置ACL（访问控制列表），定义需要保护的数据流。 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.255 如果本地网关设备配置了多网段，则需要分别针对多个网段添加ACL策略。 6. 配置IPsec策略。 crypto map ipsecpro64 10 ipsecisakmp set peer 121.XX.XX.113 set transformset ipsecpro64 set pfs group2 match address 100 7. 应用IPsec策略。 interface g0/0 crypto map ipsecpro64 8. 配置静态路由。 ip route 192.168.10.0 255.255.255.0 121.XX.XX.113 ip route 192.168.11.0 255.255.255.0 121.XX.XX.113 9. 测试连通性。 您可以利用您在云中的主机和您数据中心的主机进行连通性测试。

本章主要介绍控制台权限管理 创建用户并授权使用软件开发生产线控制台 如果您需要对您所拥有的软件开发生产线控制台进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用软件开发生产线资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将软件开发生产线资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用软件开发生产线的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的软件开发生产线控制台权限，并结合实际需求进行选择，软件开发生产线支持的系统权限，请参见“《软件开发生产线产品介绍》>权限管理”。 示例流程 给用户授予软件开发生产线控制台权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予软件开发生产线控制台只读权限“DevCloud Console ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入上面1中创建的用户组。 3. 并验证权限 新创建的用户登录控制台，验证权限： 在“服务列表”中选择软件开发生产线，进入“总览”页面，单击基础版“立即购买”，尝试开通软件开发生产线，如果无法开通软件开发生产线（假设当前权限仅包含DevCloud Console ReadOnlyAccess），表示“DevCloud Console ReadOnlyAccess”已生效。 在“服务列表”中选择除软件开发生产线外（假设当前策略仅包含DevCloud Console ReadOnlyAccess）的任一服务，若提示权限不足，表示“DevCloud Console ReadOnlyAccess”已生效。

认证鉴权说明 信息的获取 获取AccessKey(ak)和SecurityKey(sk)： 登录天翼云门户，在“控制台”>“账号中心”>“安全设置”>“登录保护”>“用户AccessKey”点击“查看”获取。 注意：SecurityKey信息只在创建的时候展示，请务必留存好信息。 EopAuthorization签名认证信息： 步骤一：构造代签字符串 sigture sigture 需要进行签名的Header排序后的组合列表+ " n " + encode的query + " n " + toHex(sha256(原封的body)) 名称 描述 需要进行签名的header排序后的组合列表（排序的header） 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn encode的query query以&作为拼接，key和value以连接，值需要encode，query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture示例1（ 假设query为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture示例2（ 假设query不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Zn”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

此小节介绍数据库安全部署架构。 审计分析场景 数据库安全审计采用数据库旁路部署方式，支持对管理控制台上的RDS、ECS/BMS自建的数据库进行审计。 数据库安全审计部署架构如图所示： 数据库安全审计的Agent部署说明如下： ECS/BMS自建数据库：在数据库端部署Agent。 RDS关系型数据库：在应用端或代理端部署Agent。

问题描述 外网访问“弹性云主机1”的弹性IP和某个端口，可以自动跳转到“弹性云主机2”的弹性IP和某个端口。 Windows操作系统 假定需要通过“弹性云主机1”（192.168.10.43）的8080端口连接“弹性云主机2”（192.168.10.222）的18080端口，则需要在弹性云主机1执行如下操作。 请确保云主机的安全组、防火墙已放通对应的端口。 请确保已关闭“源/目的检查”。 1. 在云主机详情页面，选择“网卡”页签，并展开，将“源/目的检查”选项设置为“OFF”。 默认情况下，“源/目的检查”状态为“启用”，系统会检查弹性云主机发送的报文中源IP地址是否正确，否则不允许弹性云主机发送该报文。这有助于防止伪装报文攻击，提升安全性。但在该场景中，这种保护机制会导致报文的发送者无法接收到返回的报文。因此，需设置“源/目的检查”状态为禁用。 2. 打开cmd窗口执行命令。本例以Windows 2012操作系统云主机为例。 netsh interface portproxy add v4tov4 listenaddress192.168.10.43 listenport8080 connectaddress192.168.10.222 connectport18080 如果想取消上面配置的端口转发，可执行如下命令。 netsh interface portproxy delete v4tov4 listenaddress192.168.10.43 listenport8080 3. 执行如下命令可查看服务器配置的全部端口映射。 netsh interface portproxy show v4tov4 图 Windows操作系统云主机端口映射 4. 打开IP转发功能。 a. 在“运行”输入字母“regedit”打开注册表编辑器。 b. 定位以下注册表项： HKEYLOCALMACHINESYSTEMCurrentControlSetServicesTcpipParameters c. 选择项目IPEnableRouter，设置值为1 默认为0表示未开启IP转发功能，设置为1表示打开IP转发功能。 d. 在cmd命令窗口执行gpupdate/force更新组策略。 Linux操作系统 以登录为例，登录“弹性云主机1”的1080端口自动跳转访问“弹性云主机2”的22端口。 弹性云主机1的私网IP：192.168.72.10；弹性IP：123.xxx.xxx.456。 弹性云主机2的私网IP：192.168.72.20。 步骤 1登录Linux弹性云主机1。 1. 执行如下命令，修改文件。 vi /etc/sysctl.conf 2. 在文件中添加 net.ipv4.ipforward 1 3. 执行如下命令，完成修改。 sysctl p /etc/sysctl.conf 步骤 2在“iptables”的“nat”表中添加规则，执行如下命令，通过弹性云主机1的1080端口映射到弹性云主机2的22端口。 iptables t nat A PREROUTING d 192.168.72.10 p tcp dport 1080 j DNAT todestination 192.168.72.20:22 iptables t nat A POSTROUTING d 192.168.72.20 p tcp dport 22 j SNAT to 192.168.72.10 步骤 3验证配置是否生效，执行如下命令，登录弹性云主机1的1080端口。 ssh p 1080 123.xxx.xxx.456 图 Linux操作系统云主机端口映射 输入密码后登录到弹性云主机2，弹性云主机2的主机名为ecsinner。 图 登录到弹性云主机2

子网路由表 您可以创建自定义路由表，在创建时指定路由表关联资源类型为子网。通过自定义路由表和子网进行绑定，可以实现更加精细化的网络流量管理。 子网路由表可以被删除，并且可以关联子网用于管理子网出方向流量。 网关路由表 您在创建自定义路由表时选择网关类型，并将网关路由表和IPv4网关绑定，该路由表被称为网关路由表。网关路由表用来管理进入IPv4网关（公网网关）的流量，可以将公网流量转发到VPC中的安全设备（例如云防火墙）做统一安全防护。 地域资源池： VPC路由表 当您创建虚拟私有云时，系统会自动为其生成一个VPC路由表。VPC路由表中路由规则为VPC级，创建后对VPC下的所有子网生效，VPC路由按照最长掩码匹配规则进行转发。如果您的子网关联了自定义路由表，子网路由的优先级高于VPC路由，子网路由按照最长掩码匹配规则进行转发。您可以在VPC路由表中添加、删除路由规则。 子网路由表 您可以创建自定义路由表。通过自定义路由表和子网进行绑定，可以实现更加精细化的网络流量管理。子网路由表可以被删除，并且可以关联子网用于管理子网出方向流量。 路由规则 路由表中的每一项是一条路由规则。路由规则由目标地址、下一跳类型、下一跳三部分组成。路由规则包括系统路由规则、自定义路由规则。 系统路由规则 对于可用区资源池，系统路由规则有两类： 系统默认创建，您不能修改系统路由规则。 目标网段 下一跳类型 下一跳 路由类型 描述 用途 VPC IPv4网段 或 子网 IPv4网段 vpc.routingtable.local local 系统 default routes with local 用于VPC内部互通 VPC IPv6网 或 子网 IPv6网段 vpc.routingtable.local local 系统 default routes with local 用于VPC内部互通 0.0.0.0/0 IPv4网关 IPv4网关实例 系统 default routes with igw 用于访问公网 100.95.0.1/32 vpc.routingtable.dnsgw DNS网关实例 系统 default routes withdnsgw 用于访问内网DNS fd00:ec2::250/128 vpc.routingtable.dnsgw DNS网关实例 系统 default routes withdnsgw 用于访问内网DNS 云间高速、云专线、VPN网关产品同步到VPC默认路由表的系统路由规则，您可通过云间高速、云专线、VPN网关产品侧修改来变更相应系统路由规则。 修改指向云间高速的系统路由规则：可以通过云间高速侧添加自定义路由条目来新增指向云间高速的系统路由，详见创建自定义路由条目； 修改指向云专线的系统路由规则：可以通过云专线网关侧修改客户侧子网来增删指向云专线的系统路由，详见创建和管理静态路由 修改指向VPN网关的系统路由规则：可以通过VPN网关侧修改对端网段/客户端地址池来增删指向VPN网关的系统路由，详见修改IPsec连接、修改SSL服务端 标网段 下一跳类型 下一跳 路由类型 描述 用途 6.7.8.0/24 云间高速 3976e15067d74bd28486fb7ddee76055 系统 ticc 用于与云间高速互通 6.7.6.0/24 云专线 6K2NYD83GRY6JDYTOY7H 系统 用于通过云专线与线下IDC互通 5.0.0.0/8 VPN网关 06785725e9114d9097b7368ef8bbeff1 系统 System Route 用于通过VPN网关与线下IDC互通

本文介绍如何配置eciprofile。 基于 Kubernetes 的 Mutating Webhook机制实现了eciprofile，支持为调度到虚拟节点上的 Pod 自动追加Annotations、Labels、Tolerations等，实现自动修改Pod 的规格、镜像缓存、安全组等配置，降低您对业务 Pod 配置的维护成本。本文介绍如何配置eciprofile。 功能介绍 对于ECI的一些功能特性，例如指定ECI实例规格，启用镜像缓存等，需要在Pod中追加Annotation或者Label来实现。更多信息，请参见ECI Pod Annotation。 对于上述情况，eciprofile实现了自动追加Annotation和Label的功能。在eciprofile中，您可以自定义selector，在selector中同时指定筛选条件和要追加的Annotation和Label，满足selector筛选条件的Pod会自动追加指定的Annotation和Label。 前提条件 1. 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 2. 已在插件市场安装插件eciprofile，且插件正常运行。 3. 确保kubectl工具已经连接目标集群。 selectors配置 创建Pod时，系统会按照selectors去匹配Pod，对于Label能够匹配上的Pod，会自动追加Annotation和Label，以便生效ECI的功能特性。 Selector 支持两种匹配方式： 1. 命名空间标签匹配。 2. Pod标签匹配。 可以分别通过 namespaceLabels 和 objectLabels 字段来指定匹配的 Namespace 和 Pod 标签。通过 effect 字段配置的 Annotation 和 Label 会自动追加到匹配的 Pod 上。 说明 要了解 Selector 的生效情况，可以通过查看 Pod 上的 k8s.ctyun.cn/matchedselector 标签来判断。 新增的 Selector 不会应用于存量 Pod，仅对新创建的 Pod 生效，若需要对现有工作负载生效，请重新部署工作负载。 在一个 Selector 中，建议您至少配置 namespaceLabels 和 objectLabels 中的一个。如果两者同时配置了，则Pod需要同时匹配两者；如果两者均未配置或者为空对象，且配置了 effect，则 effect 对所有 Pod 均生效。 1. 命名空间标签匹配。 假设想让集群中新创建的所有Pod都默认使用1C1G的规格，Selector配置模板如下： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gglobal spec: namespaceLabels: {}

本文介绍如何配置eciprofile。 基于 Kubernetes 的 Mutating Webhook机制实现了eciprofile，支持为调度到虚拟节点上的 Pod 自动追加Annotations、Labels、Tolerations等，实现自动修改Pod 的规格、镜像缓存、安全组等配置，降低您对业务 Pod 配置的维护成本。本文介绍如何配置eciprofile。 功能介绍 对于ECI的一些功能特性，例如指定ECI实例规格，启用镜像缓存等，需要在Pod中追加Annotation或者Label来实现。更多信息，请参见ECI Pod Annotation。 对于上述情况，eciprofile实现了自动追加Annotation和Label的功能。在eciprofile中，您可以自定义selector，在selector中同时指定筛选条件和要追加的Annotation和Label，满足selector筛选条件的Pod会自动追加指定的Annotation和Label。 前提条件 1. 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 2. 已在插件市场安装插件eciprofile，且插件正常运行。 3. 确保kubectl工具已经连接目标集群。 selectors配置 创建Pod时，系统会按照selectors去匹配Pod，对于Label能够匹配上的Pod，会自动追加Annotation和Label，以便生效ECI的功能特性。 Selector 支持两种匹配方式： 1. 命名空间标签匹配。 2. Pod标签匹配。 可以分别通过 namespaceLabels 和 objectLabels 字段来指定匹配的 Namespace 和 Pod 标签。通过 effect 字段配置的 Annotation 和 Label 会自动追加到匹配的 Pod 上。 说明 要了解 Selector 的生效情况，可以通过查看 Pod 上的 k8s.ctyun.cn/matchedselector 标签来判断。 新增的 Selector 不会应用于存量 Pod，仅对新创建的 Pod 生效，若需要对现有工作负载生效，请重新部署工作负载。 在一个 Selector 中，建议您至少配置 namespaceLabels 和 objectLabels 中的一个。如果两者同时配置了，则Pod需要同时匹配两者；如果两者均未配置或者为空对象，且配置了 effect，则 effect 对所有 Pod 均生效。 1. 命名空间标签匹配。 假设想让集群中新创建的所有Pod都默认使用1C1G的规格，Selector配置模板如下： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gglobal spec: namespaceLabels: {}

本节介绍NAT网关应用场景和使用限制。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。VPC内的实例出方向访问通过SNAT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 产品优势 避免业务公网暴露 VPC下的资源实例如果需要访问公网，通过NAT网关，实例无需单独绑定公网IP即可访问公网，从而避免将业务直接暴露在公网，从而实现安全防护作用。 降低成本 通过NAT网关，VPC下的资源实例可以共享弹性公网IP和带宽实例，无需单独为每个资源实例分配弹性公网IP和带宽实例，可以有效降低成本。 灵活部署，即开即用 NAT网关支持按需部署。SNAT或DNAT规则配置后，可实时生效。 应用场景 使用SNAT访问公网 当VPC内的资源实例需要访问公网，为节省弹性公网IP资源并且避免将资源实例绑定的公网IP直接暴露在公网上，您可以使用NAT网关的SNAT功能实现公网访问。VPC中一个子网对应一条SNAT规则，一条SNAT规则配置一个弹性公网IP。您可以通过创建SNAT规则，以实现共享弹性公网IP资源。 面向公网提供服务 当VPC内的资源实例需要面向公网提供服务时，可以使用NAT网关的DNAT功能。DNAT功能绑定弹性公网IP，可通过端口映射方式，NAT网关将以指定的协议和端口访问该弹性公网IP的请求转发到目标实例的指定端口上。也可通过IP映射方式，为资源实例配置一个弹性公网IP，任何访问该弹性公网IP的请求都将转发到目标虚拟机实例上。如果有多个实例需要提供外网访问服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。

本节主要介绍如何执行关闭/删除告警操作。 操作场景 本章节主要介绍如何执行关闭/删除告警操作。 关闭告警：确认告警已处理完成，问题已解决，可选择关闭告警。关闭告警后，在告警管理页面的告警列表中，对应告警的“状态”变为“关闭”，则表示关闭告警操作执行成功。 删除告警：当满足如下场景，用户可选择删除告警。仅用户自定义新增的告警或导入的告警支持删除操作，且告警删除后将无法恢复。 当用户确认该条告警是无效或无关告警。 确认是重复冗余告警。 确认是过期或历史告警，且无需保留告警数据，无需后续处理动作的告警。 约束与限制 仅用户自定义新增的告警 、导入的告警 、在态势感知（专业版）接入云服务日志自动转告警生成的告警支持删除操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理页面中，对告警进行关闭或删除操作。 操作 操作说明 关闭告警 1. 单击目标告警所在行“操作”列的“关闭”，弹出关闭告警确认框。 如果需要关闭多条告警，可以在告警列表中勾选需要关闭的告警，并单击列表上方“批量关闭”。 2. 在关闭确认框中，选择“关闭原因”并填写“关闭评论”后，单击“确认”。 3. 告警管理页面的告警列表中，对应告警的“状态”变为“关闭”，则表示关闭告警操作执行成功。 删除告警 1. 单击目标告警所在行“操作”列的“更多> 删除”，弹出删除告警确认框。 如果需要删除多条告警，可以在告警列表中勾选需要删除的告警，并单击列表上方“更多> 批量删除”。 2. 在弹出的确认框中，单击“确认”。 3. 告警删除后，告警管理页面的告警列表中将不再显示被删除的告警信息。 说明 告警删除后将无法恢复，请谨慎操作。

本章介绍如何通过统一身份认证服务对主机迁移服务进行权限管理。 如果您需要对天翼云上的主机迁移服务 （Server Migration Service），给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制对资源的访问范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用SMS的其它功能。 SMS权限 默认情况下，天翼云账号（管理员账号拥有SMS迁移所需要的所有权限，使用管理员账号进行迁移时，不需要进行授权。）创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 SMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问SMS时，不需要切换区域。 如下表所示，包括了主机迁移服务 （SMS）的所有系统角色。由于天翼云各服务之间存在业务交互关系，主机迁移服务的角色依赖其他服务的角色实现功能。因此给用户主机迁移服务的角色时，需要同时授予依赖的角色，主机迁移服务的权限才能生效。 表 常用操作和系统策略的关系 操作 SMS FullAccess（全局项目） OBS OperateAccess（对象存储服务项目） ECS FullAccess VPC FullAccess 创建迁移任务 √ x √ √ 查看迁移进度 √ x x x IAM支持以下两种形式的策略： 系统策略：如果IAM用户需要拥有主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则采用自定义策略。

本章节主要介绍云搜索服务如何绑定企业项目。 每个集群必须设置其对应的企业项目，如果不需要此参数进行区分时，您可以将集群绑定至“default”项目。对于绑定企业项目特性上线前创建的集群，集群的企业项目将被绑定至“default”项目。您可以根据实际情况修改绑定企业项目。 绑定企业项目 在创建集群时，您可以在企业项目参数中绑定，详细操作步骤及参数解释请参见 创建Elasticsearch类型集群（安全模式）。 修改企业项目 针对之前已创建的集群，其绑定的企业项目可根据实际情况进行修改。 1.在“云搜索服务”管理控制台，单击“集群管理”进入集群列表。 2.在集群列表中，单击集群名称进入集群“基本信息”页面。 3.在集群“基本信息”页面中，单击“企业项目”参数右侧的参数值，进入“资源管理”的“项目管理”页面。 4.在资源页签下，选择对应“区域”，然后在“服务”中选择“ES”服务。此时，资源列表将筛选出对应的ES集群。 详见下图： 筛选ES集群 5.勾选需要修改企业项目的集群，然后单击“迁出”。 6.在“迁出资源”页面，选择“迁出方式”，再选择“请选择要迁入的企业项目”，然后单击“确定”。 详见下图： 迁出资源 7.迁出完成后，在原始的项目管理页面中，无法再获取此集群信息。您可以通过两种方式查看此集群绑定的企业项目。 进入云搜索服务集群列表页面，此集群对应的“企业项目”列的值，将更换为修改后的企业项目。 详见下图： 查看集群对应的企业项目 在资源管理服务中，在左侧导航栏选择“项目管理”，在企业项目管理页面，单击“查看迁出迁入事件”，可获取到此集群的信息。 详见下图：查看资源

本文为您介绍如何通过密钥管理控制台导入用户自带的对称密钥。 用户主密钥包含密钥元数据（密钥ID、密钥别名、描述、密钥状态与创建日期）和用于加解密数据的密钥材料。 当用户使用KMS管理控制台创建用户主密钥时，KMS系统会自动为该用户主密钥生成密钥材料。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 注意事项 当您选择密钥材料来源为外部，使用您自己导入的密钥材料时，需要注意以下几点： 请确保您使用了符合安全要求的随机源生成密钥材料。 在使用导入密钥时，需要对自己密钥材料的可靠性负责。 请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。 功能特性 可用性与持久性 在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别，如下表所示。 密钥材料来源 说明 外部导入 支持手动删除密钥材料，但该主密钥及其元数据仍然保留。 导入密钥材料时，可以设置密钥材料过期时间，密钥材料过期后，KMS将自动删除密钥材料，但该主密钥及其元数据仍然保留。 导入的密钥材料被删除后，可以再次导入相同的密钥材料使得CMK再次可用。用户需自行备份密钥材料，以便密钥材料失效或误删除时重新导入该密钥材料。 KMS创建 不能手动删除密钥材料，不能设置密钥材料过期时间。 密钥材料只能通过设置CMK计划删除时间后，到期后随CMK一并删除。 关联性 当您将密钥材料导入CMK时，该CMK与该密钥材料永久关联，不能将其他密钥材料导入该CMK中，即便密钥材料已经过期或者被删除。 独立性 CMK具有唯一性，即您使用CMK加密的数据，无法使用其他CMK进行解密，即便这些CMK都使用相同的密钥材料。

本文介绍跨域资源共享功能及其配置说明。 功能介绍 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应参数并传递给客户端。配置自定义HTTP响应头后，当用户请求加速域名下的资源时，全站返回的响应消息会携带您配置的响应头，从而实现特定功能。跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 注意事项 若源站与客户控制台同时配置CORS跨域头，则全站加速的配置将覆盖源站CORS跨域头。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【头部修改】。 5. 在【HTTP响应头】下单击【增加规则】，HTTP响应头部值配置：AccessControlAllowOrigin。 参数名 说明 示例 头部值 跨域头部固定填写：AccessControlAllowOrigin。 AccessControlAllowOrigin 跨域验证 跨域验证开关默认关闭。 关闭：固定响应“AccessControlAllowOrigin”头部及其配置的取值。 开启：按照以下规则对用户请求进行跨域校验。 1.任意匹配：取值配置为“ ”，固定响应“AccessControlAllowOrigin:”。 2.泛匹配：取值配置为泛域名，校验请求头Origin值与配置的泛域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 3.精确匹配：取值配置为单个或者多个精确域名，校验请求头Origin值与配置的精确域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 开启 取值 1、响应头取值配置为“ ”，可匹配所有来源。 2、响应头取值配置非“ ”，必须包含协议头“http:// ”或者“ 3、响应头取值配置非“ ”，支持配置多个域名，多个值之间用英文逗号分隔。 4、响应头取值支持携带端口。

本节主要介绍手动切换副本集主备节点 副本集实例由主节点、备节点和隐藏节点组成。主节点和备节点对外提供访问地址，隐藏节点用于备份数据。当主节点故障时，系统会自动分配新的主节点保障高可用。同时，文档数据库服务提供主备切换功能，供用户在容灾演练等场景下自行切换主备节点。 使用须知 实例状态为正常、恢复检查中、转包周期中、修改安全组中时，允许切换主备节点。 主备节点切换可能会造成1分钟的服务闪断，切换前请确认客户端具备重连机制。 新添加的备节点，需要重新配置高可用连接地址，且为保证实例性能，会有12个小时的冻结期，冻结期内的备节点不参与主备切换。 主备同步的延迟时间过长时，主备切换耗时可能很久。因此，当主备同步的延迟时间超过300s时，控制台将不允许下发主备切换。关于副本集主备同步的延迟时间，请参见副本集中主备同步存在多长时间的延迟。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 5 在“基本信息”页面“节点信息”区域，单击“主备切换”。 主备切换 步骤 6 在弹出框中单击“是”，开始执行主备切换。 步骤 7 查看切换结果。 主备切换过程中，实例运行状态显示为“主备切换中”，切换完成后，实例状态显示为“正常”。 在实例“基本信息”页面的“节点信息”区域，可查看切换后的主备节点。 切换完成后，原先的主节点会变为备节点，如果需要重新连接副本集主节点，请重新连接。

本文主要讲解移动应用使用临时凭证直传文件的最佳实践。 实践背景 在移动互联网时代，从手机里的照片到各类文件，移动端APP需要上传到服务器的文件越来越多。开发者可以使用媒体存储来保存这些文件，媒体存储提供的SDK接口可以支持直接在移动端进行文件上传。 访问媒体存储需要使用密钥（AK/SK），但是如果在移动端直接使用长期密钥访问对象存储，遭受黑客攻击就可能会暴露长期密钥，导致对象存储中的文件泄露或被篡改，存在很大的风险。 媒体存储提供STS角色管理功能，可以为移动端颁发一个自定义时效和权限的访问凭证，无需在移动端暴露长期密钥。使用STS授权访问时，请务必按照业务情况，以最细粒度的权限原则进行授权，避免放大临时用户的权限，保证资源访问安全。 应用流程 使用临时凭证直传时，具体应用流程如下： 实践步骤 创建用于获取STS访问凭证的角色 通过媒体存储控制台，创建STS角色，并获取对应的arn信息，具体可参考 STS角色管理 。 对应角色授权并且获取STS临时密钥 具体可参照如下java示例： // STS endPoint String endPoint " "; // 在对象存储控制台访问密钥AccessKey和SecretKey。 String accessKey " "; String secretKey " "; // 填写步骤一获取的角色ARN。 String roleArn " "; // 设置临时访问凭证的名称. String roleSessionName " "; // 设置 Policy 允许上传对象 String policy "{"Version":"20121017"," + ""Statement":[" + "{"Effect":"Allow"," ""Action":["s3:PutObject"]," ""Resource":["arn:aws:s3::: /"]}" + "]}"; // 创建STS Client BasicAWSCredentials basicAWSCredentials new BasicAWSCredentials(accessKey, secretKey); AwsClientBuilder.EndpointConfiguration endpointConfiguration new AwsClientBuilder.EndpointConfiguration(endPoint, ""); AWSSecurityTokenService stsClient AWSSecurityTokenServiceClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(basicAWSCredentials)) .withEndpointConfiguration(endpointConfiguration) .build(); AssumeRoleRequest assumeRoleRequest new AssumeRoleRequest(); assumeRoleRequest.setRoleArn(roleArn); assumeRoleRequest.setRoleSessionName(roleSessionName); assumeRoleRequest.setPolicy(policy); AssumeRoleResult assumeRoleRes stsClient.assumeRole(assumeRoleRequest); Credentials stsCredentials assumeRoleRes.getCredentials(); System.out.println("Expiration: " + stsCredentials.getExpiration()); System.out.println("Access Key Id: " + stsCredentials.getAccessKeyId()); System.out.println("Access Key Secret: " + stsCredentials.getSecretAccessKey()); System.out.println("Security Token: " + stsCredentials.getSessionToken());