函数计算默认情况下使用的是动态分配的出口IP地址，这意味着IP地址可能会发生变化，并没有一个固定的网段。在某些情况下，比如当您的函数需要访问特定的资源与服务时，您的函数有可能不在其白名单访问列表中导致对端服务拒绝访问。为了满足这种需求，函数计算提供了一个功能，允许您为函数绑定一个固定的公网IP地址。 注意 固定IP地址功能是与VPC中的公网NAT网关结合使用的。为了实现VPC内实例的公网访问，您需要创建一个公网NAT网关，并对其进行适当的配置。这个过程包括绑定一个弹性IP地址到NAT网关，并添加SNAT（源网络地址转换）条目，从而使得VPC内的实例可以通过这个弹性IP地址与互联网进行通信。具体操作步骤请参阅： 额外计费 在设置固定公网IP地址的过程中，您需要用到NAT网关和弹性IP服务，这将会带来额外的费用。有关详细的计费信息，请参阅NAT网关计费说明公网NAT网关计费说明和弹性IP计费说明计费概述。 配置固定公网IP地址 1. 登录函数计算控制台，在左侧导航栏，点击函数。 2. 在函数页面，点击目标函数，进入目标函数详情页。 3. 在目标函数详情页的上方导航栏，点击配置。 4. 在左侧导航栏，点击网络 选项卡，打开网络的具体配置页后，点击编辑，进行网络配置的修改。 5. 如果您希望配置目标函数固定公网IP，请： 1. 打开允许访问VPC的选项。 2. 依次配置您希望访问的专有网络、子网以及安全组。 3. 然后请打开固定公网IP的选项。 4. 最后设置允许函数默认网卡访问公网 为否。 5. 修改完毕后，点击下方的部署按钮，即可允许目标函数以固定公网IP的方式对外访问。

本文为您介绍对等连接产品的定义及其创建流程。 对等连接（VPC Peering Connection）是指两个同一资源池内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一资源池内其他帐号的VPC之间创建对等连接。 对等连接创建流程 无论是在同一帐户下还是不同帐户下，只要VPC位于同一个资源池，对等连接就能够为VPC之间的通信提供一种私有、安全且高效的解决方案，来实现资源的共享和数据的流动，满足了不同场景下的通信需求。 同一账户下VPC对等连接的创建流程： 1. 创建对等连接：选择本端VPC和对端VPC。 2. 添加对等连接路由：在本端VPC的路由表中添加指向对端VPC的路由规则，同时在对端VPC的路由表中添加指向本端VPC的路由规则。 3. 验证网络互通情况：确认对等连接已生效后，验证网络互通性。 不同帐户下VPC对等连接的创建流程: 1. 创建对等连接：选择本端VPC和对端VPC。 2. 判断是否接受连接：选择“否”则创建对等连接失败；选择“是”则进入下一步。 3. 添加对等连接路由：在本端VPC的路由表中添加指向对端VPC的路由规则，同时在对端VPC的路由表中添加指向本端VPC的路由规则。 4. 验证网络互通情况：确认对等连接已生效后，验证网络互通性。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f7awxekgvls/face/compare/PERSON/person/compareFromBase64。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

本文介绍申请数据权限功能，使用户可以快速熟悉申请数据权限页面的相关操作，以及如何申请数据权限。 前提条件 用户需要具有进入申请数据权限页面的功能权限。 注意事项 申请数据权限功能仅限企业版。 用户仅限申请已加入团队内实例的相关数据权限。 每次申请仅限一种类型的资源粒度，资源粒度从大到小依次是实例、库/模式、表。 数据权限支持按资源粒度继承，即用户拥有大粒度资源的数据权限时，则默认拥有该大粒度资源下所有小粒度资源的数据权限。 用户多次申请同一资源、同一权限后，最后一次申请的结果会覆盖之前申请的结果。 操作步骤 用户可以在个人中心>我的权限 页面中点击“申请数据权限”按钮进入申请数据权限页面，也可以在安全协作>工单列表>数据权限工单页面中点击“申请数据权限”按钮进入申请数据权限页面。 申请数据权限的具体流程如下： 1. 选择资源的粒度。进入申请数据权限页面后，默认选择库/模式授权，也可以点击其他标签，切换到其他资源粒度，每次申请仅限一种类型的资源粒度。 2. 选择申请的资源。在左侧”请选择“框内勾选想要申请的资源的复选框，然后点击中间的”>“按钮，即可将当前页选中的资源加入到右侧”已选择“框内。如果想要删除右侧“已选择”框内的资源，可以勾选想要删除的资源的复选框，然后点击中间的“<”按钮，即可将右侧“已选择”框内的资源删除。每次申请可以同时选择多个资源。 3. 选择权限的类型，根据用户需要，勾选对应权限类型的复选框。每次申请可以同时选择多种权限。 4. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 5. 确定信息无误后，点击页面右下角的“提交申请”按钮即可提交工单，并跳转到数据权限工单页面，查看当前工单的流程。

本节介绍如何查看告警列表。 通过查看“告警列表”，您可以了解近180天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 此外，您还可以通过及时处理告警事件，标记告警事件处理状态，并支持一键导出近180天的告警事件。 约束限制 仅专业版支持忽略和标记告警事件，基础版不支持。 仅支持导出近180天的全部告警事件，暂不支持筛选导出告警事件信息。 按过滤场景筛选告警，最多可呈现10000条告警。 查看告警详情 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“威胁告警”，默认进入态势感知告警列表管理页面。 4. 筛选“告警名称”、“告警等级”、“发生时间”和“处理状态”条件选项，在列表栏查看显示符合过滤条件的告警事件列表。 告警名称：告警事件所属的分类。 告警等级：告警事件对应的等级，包括“致命”、“高危”、“中危”、“低危”、“提示”。 处理状态：用户对告警事件的处理标记，可选择“未处理”、“已忽略”、“已线下处理”。 发生时间：告警事件发生的时间范围，可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”和“近半年”。 5. 当过滤后的告警事件较多时，可以利用搜索功能快速找到指定告警事件。 在下拉框中选择“资产IP”、“来源IP”、“主机ID”，在搜索框中输入相应IP或ID，单击搜索图标，即可查看到指定资产相关的告警信息。 6. 查看告警事件详情。 单击列表中告警的“告警名称”，右侧滑出告警详情窗口，可查看与该告警相关的“基本信息”、“数据来源”、“攻击信息”、受影响的用户等信息，以及该告警的处理状态。

本文介绍CDN内容审核增值服务的计费规则、开通方式、违规内容的评定规则。 重要说明 当前天翼云支持CDN内容审核，该功能是CDN加速产品的一项增值服务，基于天翼云计算AI平台，能对加速内容进行快速智能检测。开通CDN内容审核功能后，系统会自动智能检测经过CDN加速的内容是否涉黄、涉暴恐，鉴定为违规内容的URL将会被记录下来供客户导出，同时支持对违规内容做封禁，实现“净网分发”。 计费规则 CDN内容审核的标准资费为1.3元/千张。 注意事项 目前内容审核主要针对图片是否涉黄、涉暴恐进行鉴定。 CDN内容审核为打分制，每一张审核图片均有一个01的分值。分值越大则越可能是违规内容，分值越低则证明内容越安全。内容审核结果按照分值大小，分为确定部分和不确定部分。确定部分是指确定为违规部分和确定为正常部分的内容，一般分值在0.6以下或0.9以上，这部分一般无需人工干预，可直接基于审核结果对内容进行封禁或相关删除操作；不确定部分是指疑似违规图片，系统无法区分是否实际违规，建议用户进行人工二次确认。目前对于不确定部分，CDN内容审核不收取费用。 目前天翼云CDN加速产品的增值服务支持CDN内容审核，使用CDN内容审核增值服务需完成如下两个步骤： 1. 开通CDN内容审核服务。目前开通天翼云CDN加速业务时，CDN内容审核增值服务默认开通，详情请见：CDN内容审核开通。 2. 线下配置开启。如需使用，请提交工单给天翼云客服，由其人工操作开启。详情请见：CDN内容审核。 该功能目前仅支持中国内地开通使用，全球（不含中国内地）暂不支持。

本章节主要介绍云搜索服务的备份与恢复索引操作。 为避免数据丢失，您可以将集群的索引数据进行备份，当数据发生丢失或者想找回某一时间段数据时，您可以通过恢复索引操作快速获得数据。索引的备份是通过创建集群快照实现。第一次备份时，建议将所有索引数据进行备份。 说明 备份与恢复索引功能上线之前（即2018年3月10日之前）创建的集群，无法创建快照。 管理自动创建快照：自动创建快照指按照设置的规则，每天在指定时间自动创建快照。您可以开启自动创建功能、设置自动创建的策略、和关闭自动创建功能。 手动创建快照：在任意时间，您通过手动创建快照的方式，针对当时的数据或某几个索引创建快照进行备份。 恢复数据：将已有的快照，通过恢复快照功能，将备份的索引数据恢复到指定的集群中。 删除快照：对于已失效的快照，建议删除以释放存储资源。 说明 创建快照之前，您需要进行基础配置，包含存储快照的OBS桶、快照的备份路径及安全认证使用的IAM委托。 集群快照存储的OBS桶，在首次设置后，不管自动创建快照还是手动创建快照，如果快照列表中已有可用的快照，则OBS桶将无法再变更，请谨慎选择存储OBS桶。 如果OBS桶已经存储了快照，OBS无法变更，您可以使用这个方法修改：首先关闭快照功能，然后再开启快照功能，指定新的OBS桶。一旦关闭快照功能，之前创建的快照将无法用于恢复集群。 当集群处于“不可用”状态时，快照功能中，除了恢复快照功能外，其他快照信息或功能只能查看，无法进行编辑。 备份与恢复过程中，支持集群扩容、访问Kibana、查看监控、删除其他快照的操作。不支持重启此集群、删除此集群、删除正在创建或恢复的快照、再次创建或恢复快照的操作。补充说明，当此集群正在进行创建快照或者恢复快照时，此时，自动创建快照任务将被取消。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2z0yhhrzgv0g/tts/predict。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

操作场景 根据业务需要创建参数模板。 创建参数模板会自动从默认参数模板复制一份。 约束限制 并非所有的参数都可在自定义数据库参数模板中进行更改。 参数模板中的有些参数受限于当前机器操作系统配置，或者依赖其他参数，所以可能导致配置的值与实际生效值不一致，这是正常现象。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 参数模板，进入自定义参数模板列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在参数模板列表上方，单击创建参数模板。 注意 系统自带两个默认参数模板（DefaultMySQL5.7和DefaultMySQL8.0），自定义参数模板需要用户手动去创建。 用户不允许创建同名的自定义参数模板，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符，名称须在1位到64位之间，区分大小写。 4. 在创建参数模板 对话框中，配置参数信息，然后单击确定，即可在参数模板列表中看到新创建参数模板。 数据库版本：即数据库引擎，分为5.7、8.0两个版本。 已有参数模板：选择已有参数模板，表示将根据用户自己选择的已有参数模板进行派生创建。 参数模板名称：注意名称规则为1~64位，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 描述 ：参数模板的描述信息。描述信息不能超过255位，且不能包含回车和特殊字符 > ! < " & ' 。 注意 在设置当前值时，请按允许值的范围进行设置。 MySQL部分参数受限制于操作系统、实例规格及其他依赖参数等，因此可能存在设置值与实际生效值不一致的情况。请用户查询MySQL官方网站根据实际环境情况进行设置。

此小节介绍数据库运维高危操作的复核审批。 云堡垒机支持通过执行命令运维数据库，包括数据删除、修改、查看等运维操作。为确保数据库敏感信息的安全，避免关键信息的丢失和泄露，本文针对运维用户访问和运维数据库关键信息，详细介绍了如何设置数据库高危操作的复核审批，以及如何实现关键信息的重点监控。 本文以管理员adminA 授权运维用户 UserA ，针对MySQL数据库资源RDSA高危操作的二次授权为例。 应用场景 云堡垒机（CloudBastion Host，CBH），通过设置数据库控制策略，设置预置命令执行策略，动态识别并拦截高危命令（包括删库、修改关键信息、查看敏感信息等），中断数据库运维会话。同时自动生成数据库授权工单，发送给管理员进行二次审批授权。只有管理员审批工单授权执行操作后，运维用户才能执行该高危操作，继续数据库运维会话。 约束限制 目前仅支持二次审核MySQL或Oracle数据库的执行命令。 前提条件 云堡垒机所在已放开相应数据库访问端口，数据库与云堡垒机之间网络连接畅通。 资源RDSA已被纳管为主机运维方式资源。 运维用户UserA 已获取资源RDSA的访问控制权限。 配置二次审核策略 为实现高危操作的复核审批，需在“数据库控制策略”中预置命令规则，并开启“动态授权”执行方式。 步骤 1 adminA登录云堡垒机系统。 步骤 2 选择“策略 > 数据库控制策略”，进入数据库控制策略页面。 步骤 3 配置数据库规则集，选择预置高危操作命令。 1. 选择“规则集”页签。 2. 单击“新建”，创建一个MySQL数据库的规则集。以新建DBtest规则集为例。 3. 单击“添加规则”，在DBtest 规则集中添加“库”、“表”或“命令”规则。以添加DELETE删除表内容的命令为例。 说明 “命令”为必填项，至少需选择一个命令，可同时选择多个命令； 设置“库”或“表”，表示对数据库中库或表操作的命令限制； 未设置“库”或“表”，表示对数据库中全部操作的命令限制。

本文主要介绍基于VirtualBox使用ISO创建Windows镜像的方案概述 VirtualBox介绍 VirtualBox是一款开源免费跨平台的虚拟机软件。VirtualBox是由德国InnoTek软件公司出品的虚拟机软件，现在则由甲骨文公司进行开发，是甲骨文公司xVM虚拟化平台技术的一部分。 更多VirtualBox信息请参考Oracle官方网站。请单击 应用场景 用户可以基于VirtualBox提供的32位或64位的Windows操作系统，制作vhd格式的Windows镜像文件。 方案优势 可灵活定制Windows镜像文件。 资源和成本规划 资源 资源说明 成本说明 VirtualBox工具 VirtualBox是一款开源免费跨平台的虚拟机软件。 VirtualBox官方下载地址：< 免费 UVP VMtools工具 UVP VMtools是一个集成Xen前端驱动和uvpmonitor（虚拟机监控程序）的工具。 它专为在配备基于32位x86的虚拟机（VM）上使用而设计。 获取方式： 免费 ISO镜像文件 用于为新创建的空虚拟机安装操作系统，需要用户自行提供。 文件名称：Windowsserver2008r2.iso CloudbaseInit工具（可选） 为了保证使用生成的镜像创建的新云主机可以自定义配置（例如修改云主机密码），建议您安装CloudbaseInit工具。 不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 获取方式：< 免费 一键式重置密码插件（可选） 为了保证使用生成的镜像创建的新云主机可以实现一键式重置密码功能， 建议您安装密码重置插件CloudResetPwdAgent，可以应用一键式重置密码功能，给云主机设置新密码。 获取方式： 免费

本章节介绍了如何讲其他厂商或自建的业务迁移到分布式消息服务RocketMQ的实践方案。 操作场景 RocketMQ业务迁移是指将其他厂商或者自建的RocketMQ迁移到天翼云分布式消息服务RocketMQ。 前提条件 1. 配置网络环境 分布式消息服务RocketMQ实例分VPC内以及公网地址两种网络连接方式。如果使用公网地址，则消息生产与消费客户端需要有公网访问权限，并配置如下安全组。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口 2. 购买分布式消息服务RocketMQ实例 具体请参考购买RocketMQ实例。 操作步骤 1. 迁移元数据至分布式消息服务RocketMQ实例。 1. 获取其他厂商或自建RocketMQ实例的元数据。 2. 登录主机，下载RocketMQ软件包。 wget i < 1. 解压软件包。 unzip rocketmqall4.9.4binrelease.zip 1. （可选）如果RocketMQ实例开启了ACL访问控制，执行mqadmin命令时，需要鉴权。切换到解压后的软件包目录下，在“conf/tools.yml”文件中，增加如下内容。 accessKey: secretKey: accessKey和secretKey表示在控制台“用户管理”页面，创建的用户名和密钥。 1. 进入解压后的软件包目录下，执行以下命令，查询集群名称。sh ./bin/mqadmin clusterList n {nameserver地址及端口号}例如：“nameserver地址及端口号”为“192.168.0.65:8100”。 2. sh ./bin/mqadmin clusterList n 192.168.0.65:8100执行以下命令，导出元数据。未开启SSL的实例，执行以下命令。sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 1. sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export已开启SSL的实例，执行以下命令。JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 3. JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export在控制台迁移元数据。登录控制台。 4. 单击RocketMQ实例的名称，进入实例详情页面。 5. 在左侧导航栏，选择“元数据迁移”，进入迁移任务列表页面。 6. 单击“创建迁移任务”，弹出“创建迁移任务”对话框。 参考，设置迁移任务的参数。 参数 说明 任务名称 您可以自定义迁移任务的名称，用于区分不同的迁移任务。 是否同名覆盖 如果开启同名覆盖，会对已有的同名元数据的配置进行修改。例如：原实例Topic01的读队列个数为3，云上实例Topic01的读队列个数为2，开启同名覆盖后，云上实例Topic01的读队列个数变为3。如果不开启同名覆盖，同名元数据的迁移将失败。例如：原实例的Topic包含Topic01和Topic02，云上实例的Topic包含Topic01和Topic03，不开启同名覆盖，原实例Topic01的迁移将失败。 元数据 上传。 1. 单击“确定”。迁移完成后，在迁移任务列表页面查看“任务状态”。 1. 当“任务状态”为“迁移完成”，表示所有元数据都已成功迁移。 2. 当“任务状态”为“迁移失败”，表示元数据中部分或全部元数据迁移失败。单击迁移任务名称，进入迁移任务详情页，在“迁移结果”中查看迁移失败的Topic/消费组名称，以及失败原因。 2. 迁移生产消息至分布式消息服务RocketMQ版实例。将生产客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启生产业务，使得生产者将新的消息发送到分布式消息服务RocketMQ版实例中。 3. 迁移消费消息至分布式消息服务RocketMQ版实例。待消费组中的消息消费完之后，将消费客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启消费业务，使得消费者从分布式消息服务RocketMQ版实例中消费消息。 4. 如果有多个RocketMQ实例需要迁移到同一个分布式消息服务RocketMQ版实例中，请依次进行迁移

本章节介绍数据库安全续费。 数据库安全续费 续费说明 包年/包月数据库安全服务到期后会影响数据库安全服务正常运行。如果您想继续使用，需要在指定的时间内为数据库安全审计实例续费，否则实例会自动释放，数据丢失且不可恢复。 续费操作仅适用于包年/包月数据库安全服务。 数据库安全服务在到期前续费成功，所有资源得以保留，且实例的运行不受影响。 续费方式 续费分为手动续费和自动续费两种方式， 1. 一是手动续费，包年/包月数据库安全服务从购买到被自动删除之前，您可以随时在DBSS控制台为数据库安全服务续费，以延长数据库安全服务的使用时间。 2. 二是自动续费，开通自动续费后，数据库安全服务会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。

本章节将介绍如何创建Elasticsearch脱敏任务。 创建ES脱敏任务后，可以对指定Elasticsearch数据源中的表/列进行敏感信息脱敏。 前提 已在“资产列表”中完成了云资源委托授权。 已添加了ES资产，具体请参见大数据资产列表章节。 已在“敏感数据识别”中完成了敏感数据识别，具体操作请参见创建敏感数据识别任务章节。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据脱敏”，并选择“ES脱敏”页签，进入ES脱敏页面。 4. 将“ES脱敏”开关打开，开启ES脱敏。 5. 单击“新建任务”，进入“数据源配置”页面，如下图所示，具体参数说明如下表所示。 参数名称 参数说明 任务名称 您可以自定义脱敏任务的名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 数据源选择 选择数据来源。目前仅支持“Elasticsearch”。 数据源 说明 如果没有可使用的ES资产，可单击“添加ES源”，添加ES资产，具体的操作可参见添加大数据源资产。 Elasticsearch实例：选择脱敏数据所在的Elasticsearch实例。 数据源 说明 如果没有可使用的ES资产，可单击“添加ES源”，添加ES资产，具体的操作可参见添加大数据源资产。 索引(Index)：选择脱敏数据所在的索引。 数据源 说明 如果没有可使用的ES资产，可单击“添加ES源”，添加ES资产，具体的操作可参见添加大数据源资产。 Type：选择脱敏数据所在的Type。 数据源 说明 如果没有可使用的ES资产，可单击“添加ES源”，添加ES资产，具体的操作可参见添加大数据源资产。 Field：勾选后将该列数据拷贝到目标数据库。 此处还显示数据列的“目标数据类型”，“风险等级”。 6. 单击“下一步”，进入“脱敏算法配置”页面。 1. 勾选需要脱敏的Field。 2. 选择脱敏算法。脱敏算法更多详细信息请参见配置脱敏规则章节。 7. 可以点击“下一步”，进入“脱敏周期”页面，配置脱敏周期。 选择并设置脱敏任务的执行周期： 手动：由用户自行启动的，且基于脱敏规则执行脱敏任务。 每小时：每几个小时执行一次脱敏任务。 示例：如果需要每2小时执行一次脱敏任务，则此处设置为：02:00 每天：每天几点几分执行一次脱敏任务。 示例：如果需要每天12:00执行一次脱敏任务，则此处设置为：12:00:00 每周：每周几的几点几分执行一次脱敏任务。 示例：如果需要每周一的12:00执行一次脱敏任务，则此处设置为：每周一12:00:00 每月：每月几日几时执行一次脱敏任务。 示例：如果需要每月12日的12:00执行一次脱敏任务，则此处设置为：每月12日12:00:00 说明 如果设置每月31日执行一次脱敏任务，在当月日期少于31日的情况下，系统自动在当月最后一日执行任务。 8. 单击“下一步”，进入“数据目标配置”页面。 1. 选择“Elasticsearch实例”、“索引(Index)”，并输入“Type”。 如果输入的Type已存在，系统将刷新目标数据源中该Type中的数据。 如果输入的Type不存在，系统将自动在目标数据源中新建该名称的Type。 注意 如果需要填写已有的Type，请勿选择业务Type，以免影响业务。 2. 设置数据目标列名。 系统默认将生成与数据源列相同的名称，您可以保持默认名称，也可以根据需要进行修改。 9. 单击“完成”，完成脱敏规则的创建。

路由视角下的授权应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 实例列表 ； 4. 选择实例进入 实例详情 >路由配置; 5. 选择 需要授权的路由 >点击路由名称>路由详情>授权信息页; 6. 点击“添加授权”，在可选的应用列表中添加一个或多个应用配置，点击确定开始对路由的授权； 7. 授权完成后，在路由的视角下可查看此路由已绑定应用授权信息，也可以在应用的视角下，可查看此应用已绑定路由信息。 路由视角下的授权信息 应用视角下的授权的路由信息 API视角下的授权应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 实例列表 ； 4. 选择实例进入 实例详情 >API托管>API列表; 5. 选择 需要授权的API >点击API名称>API详情页>授权信息页; 6. 点击“添加授权”，在可选的应用列表中添加一个或多个应用配置，点击确定开始对API的授权； 7. 授权完成后，在API的视角下可查看此API已绑定应用授权信息，也可以在应用的视角下，可查看此应用已绑定API信息 API视角下的授权信息 应用视角下的API授权信息 解除应用授权 用户可以根据业务需求，对路由进行授权解除，实现路由级别的安全管控。目前网关提供了两种视角下的解除操作，在路由/API视角下和在App视角下。同时也支持单个解除授权和批量解除授权。

介绍阻止公共访问功能。 适用场景 阻止公共访问是媒体存储提供的一键安全防护功能，旨在降低因公共访问权限导致的数据泄露或因恶意访问而产生大量外网下行流量的风险。 适用区域 2026年4月17日起天翼云媒体存储逐步上线阻止公共访问功能的通知，具体适用区域与上线时间如下： 资源池名称 上线阻止公共访问时间 北京资源池3区 2026年4月17日 注意 功能上线后，新建的Bucket将默认开启阻止公共访问且不允许修改该状态，Bucket 将不再允许匿名访问，并不允许创建公共访问的访问权限和策略，如：开启公共读/公共读写 ACL及包含公共访问语义的 Bucket Policy。 存量Bucket不受升级影响，即默认为不阻止公共访问状态。您可修改对其开启阻止公共访问，需要注意的是，开启后不允许关闭。 默认情况下您无法自行关闭阻止公共访问功能，如有需要，请联系天翼云媒体存储支撑团队。 访问控制效果 存储桶开启阻止公共访问后，访问控制效果如下： 该存储桶及桶内所有对象将不允许匿名访问。 媒体存储在对访问请求进行鉴权时，会忽略预设的公共读、公共读写ACL，以及含有公共访问语义的授权策略；未包含正确鉴权信息的请求，将无法获取数据。 无法对阻止公共访问的存储桶新增公共访问授权，包括： 无法将桶的ACL权限由私有修改为公共读或公共读写。 添加Policy权限时，无法将策略的适用用户设置为“所有用户”。 若桶内有对象的ACL为“公共读”，此时受到阻止公共访问功能的控制，仍将要求用户通过携带合法鉴权串的请求访问文件；在匿名访问该对象时，返回的body中会携带以下字段，标识公共访问已被阻止：

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

VPC终端节点(VPC Endpoint)使您能够将 VPC 私密地连接到终端节点服务(天翼云服务、 用户私有服务) VPC终端节点（VPC Endpoint）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。分为“网关”和“接口”两种类型。 网关型：由系统配置的受VPC终端节点支持的云服务，用户可直接使用。 接口型：包括系统配置的云服务和用户自己创建的私有服务。 说明 云服务：指云平台上的一些服务被配置为终端节点服务，默认由系统直接配置。用户没有权限配置云服务，您在创建终端节点时可以根据区域直接选择系统中相应的云服务。 用户私有服务：指用户将自己VPC中的服务资源配置为终端节点服务，这些服务资源为增强型负载均衡或者云服务器。 终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。包括“接口终端节点”和“网关终端节点”两种类型。 接口终端节点：是指具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 网关终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2hfksnibjaos/facefasaction/person/detectFasFromBase64。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsignature、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f820wzpai9s/PictureIdentity/api/v1/imageporn.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“个人中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

本文介绍我的团队功能，使用户可以快速熟悉我的团队的相关操作，以及如何申请加入团队 前提条件 具有进入我的团队页的菜单权限。菜单权限请参考权限说明。 注意事项 用户加入组织后，会自动加入到当前组织的公共团队当中。 如果用户没指定加入任何团队，进入我的团队 界面后，当前所在团队会默认为公共团队。 说明 每个组织都会有一个公共团队，用户在登录DMS后，会自动加入到当前组织的公共团队。 团队成员查看 在左侧导航栏，点击个人中心>我的团队 ，进入我的团队页面，可查看团队内所有成员信息，包括成员的用户名、团队内角色、系统角色等信息，同时可通过团队角色类型、用户名等条件搜索团队成员。 查看全部团队 在我的团队 界面，选中团队成员 页签，当前所在团队的下拉框旁有查看全部团队 按钮，点击该按钮可以查看当前组织内的全部团队信息，用户可以在弹窗中找到对应团队，点击申请加入 按钮加入团队，或点击退出团队按钮退出团队。 说明 公共团队为系统默认团队，不允许退出。 申请加入团队 1. 在左侧菜单栏依次点击个人中心 > 我的团队。 2. 点击团队成员 标签页，在页面上方点击查看全部团队按钮打开全部团队弹窗。 3. 选择目标团队，点击申请加入 按钮打开弹窗，在弹窗内选择团队角色后点击确定按钮后将提交团队工单，等待目标团队的团队管理员审批通过后即可加入该团队。 用户可在安全协作 > 工单列表 > 团队申请工单页面中查看该团队工单详细信息及工单的流程。 团队资产查看 在我的团队页面，点击团队资产页签，切换到团队资产界面。在团队资产界面，可查看团队内所有实例信息，包括实例名称、地址、数据库类型等信息，同时可通过实例名称、数据库类型等条件搜索团队内的实例；也可查询团队内的数据对象信息。

编辑策略 说明 策略新增成功后，不支持修改策略对象、策略类型、对象类型、和已经勾选的操作连接。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 策略管理”，进入策略管理页面后选择“策略视图”页签，进入应急策略策略管理页面。 5. 在策略管理页面“策略视图”中，单击待修改策略所在行“操作”列的“编辑”，右侧弹出编辑策略页面。 6. 在编辑策略页面中，支持修改应急策略的标签和策略描述，支持修改自动过期策略，支持增加操作连接。 参数名称 参数说明 策略对象 策略对象。该参数不支持修改。 策略类型 策略类型。该参数不支持修改。 对象类型 策略的对象类型。该参数不支持修改。 策略生效范围 策略的生效范围。支持修改。 操作连接 策略的操作连接。已勾选的操作连接不支持取消，未勾选的操作连接支持继续勾选。 自动过期 确认新增的应急策略是否自动过期。支持修改。 如果选择是，请设置策略过期时间。 如果选择否，则该策略将一直有效。 标签（可选） 应急策略的标签，支持修改。 策略描述（可选） 应急策略的描述信息，支持修改。 若需要删除策略对象的操作连接，可单击“策略视图”页面应急策略列表中对应策略对象所在行前的按钮，展开该策略对象所有相关的操作连接，并单击待删除操作连接所在行操作列的“删除”，在弹出的删除信息确认页面确认信息无误后单击“确定”即可。 7. 单击“确定”。编辑完成后，可参考查看策略查看修改后的策略信息。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URI}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2f3os7qq79xc/IdentityCard/ocr/v1/idcard.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URI}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2f3p1pnxpqm8/ocrdetect/ocr/v1/image.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

在删除密钥前，您需要确保该密钥没有被使用或将来也不会被使用。您可以通过以下方式确定密钥的使用情况。 前提条件 待删除的密钥需处于“启用”、“禁用”、“等待导入”或“冻结”状态。 约束条件 执行删除密钥操作后，密钥不会立即删除，密钥管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～1096天。 在推迟删除时间未到时，若需要重新使用该密钥，可以执行取消删除密钥操作。若超过推迟时间，密钥将被KMS彻底删除，使用该密钥加密的数据将无法解密，请谨慎操作。 默认密钥为服务自动创建，不支持删除操作。 计划删除的密钥是不计费的，但是，如果您在密钥被彻底删除前的等待期内取消删除密钥，该密钥将恢复计费，并收取从计划删除开始到取消删除期间的费用。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要删除的密钥所在行，单击“删除”。 步骤 5 在弹出的窗口中，填写“推迟删除”的时间。 说明 密钥管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～1096天。在推迟删除时间未到时，若需要重新使用该密钥，可以执行取消删除密钥操作。 计划删除的密钥是不计费的，但是，如果您在密钥被彻底删除前的等待期内取消删除密钥，该密钥将恢复计费，并收取从计划删除开始到取消删除期间的费用。 步骤 6 勾选“我已知晓删除以上密钥产生的影响”，单击“是”，完成删除单个密钥操作。 说明 如果您想批量计划删除密钥，可以勾选所有需要计划删除的密钥，然后在列表左上角，单击“删除”。

本节介绍如何配置AntiDDoS流量清洗日志到云日志服务。 启用AntiDDoS防护功能后，您可以将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的AntiDDoS日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 前提条件 已开通云日志服务。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“日志”页签，开启日志，并选择日志组和日志流。 日志参数说明： 参数 说明 选择日志组 选择已创建的日志组，或者单击“查看日志组”，跳转到LTS管理控制台创建新的日志组。 记录攻击日志 选择已创建的日志流，或者单击“查看日志流”，跳转到LTS管理控制台创建新的日志流。 攻击日志记录每一个攻击告警信息，包括攻击类型、防护的IP等信息。 5. 单击“确定”，日志配置成功。 您可以在云日志服务管理控制台查看AntiDDoS的防护日志。 日志字段说明 全量日志字段说明 字段 说明 logType 日志类型。默认为“ipattacksum”，攻击日志。 deviceType 上报日志的设备类型。默认为“CLEAN”，清洗设备。 inKbps 入流量（单位：kbps）。 maxPps 入流量峰值（单位：pps）。 dropPps 丢弃的流量均值（单位：pps）。 maxAttackInBps 攻击流量峰值时刻的入流量值（单位：bps）。 currentConn 当前连接数。 zoneIP 防护的IP。 logTime 日志产生的时间。 attackType 攻击类型。数值对应的攻击类型请参见攻击类型说明。 inPps 入流量（单位：pps）。 maxKbps 入流量峰值（单位：kbps）。 dropKbps 丢弃的流量均值（单位：kbps）。 startTime 攻击开始时间。 endTime 攻击结束时间，为空时则表示攻击还未结束。 maxAttackInConn 攻击流量峰值时刻的连接数。 newConn 新建连接数。

本页介绍了关系数据库MySQL版的数据安全技术。 关系数据库MySQL版通过多种数据安全手段和特性，保障存储在数据库实例中的数据安全可靠。 表1 关系数据库MySQL版的数据安全手段和特性 数据安全手段 简要说明 详细介绍 ::: 传输加密（SSL） 支持SSL和非SSL传输协议，推荐您使用SSL协议来保证数据传输安全性。 关系数据库MySQL版用户指南访问管理配置SSL CA证书用于访问MySQL实例 跨可用区部署 支持选择多可用区部署主实例和备实例，以提供更高的可靠性，可用区之间内网互通，不同可用区之间物理隔离，创建时会根据用户要求将主实例和备实例部署到不同的可用区，以提供故障切换能力和高可用性。 关系数据库MySQL版产品简介功能概览 删除保护 支持将退订后的包年包月实例和删除的按需实例，进行保留。用户可通过工单的方式重建实例，可以恢复1~15天内删除的实例。 关系数据库MySQL版用户指南实例管理退订

section会退集群实例的节点)。 手动切换集群主备节点 集群实例由dds mongos（路由）、Config（配置）和Shard（分片）组件构成，其中Config和Shard分别由主节点、备节点和隐藏节点组成。主节点和备节点不对外提供访问地址，隐藏节点用于备份数据。当主节点故障时，系统会自动分配新的主节点保障高可用。同时，文档数据库服务提供主备切换功能，供用户在容灾演练等场景下自行切换主备节点。 使用须知 实例状态为正常或异常、恢复检查中、修改安全组中、高负载时，允许切换主备节点。 主备节点切换可能会造成1分钟的服务闪断，切换前请确认客户端具备重连机制。 主备同步的延迟时间过长时，主备切换耗时可能很久。因此，当主备同步的延迟时间超过300s时，控制台将不允许下发主备切换。关于副本集主备同步的延迟时间，请参见副本集中主备同步存在多长时间的延迟。 切换Config主备节点 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的 ，选择区域和项目。 步骤 3 在“服务列表”中，选择“数据库 > 文档数据库服务”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 5 在“基本信息”页面“节点信息”区域，选择“config”页签，单击操作列的“主备切换”。 步骤 6 在弹出框中单击“是”，开始执行主备切换。 步骤 7 查看切换结果。 主备切换过程中，实例运行状态显示为“主备切换中”，切换完成后，实例状态显示为“正常”。 在实例“基本信息”页面的“节点信息”区域，可查看切换后的主备节点。 切换完成后，原先的主节点会变为备节点，如果需要重新连接集群主节点，请参见通过Mongo Shell连接集群实例（内网连接）。 结束

操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 执行以下命令查询该云主机是否安装NFS客户端，若没有返回安装结果，执行第5步进行安装。 plaintext rpm qa grep nfsutils 5. 安装NFS客户端。安装时注意不同操作系统执行命令不同。 CentOS系统，执行以下命令： plaintext yum y install nfsutils Ubuntu系统，执行以下命令： plaintext sudo aptget install nfscommon 6. 执行如下命令创建本地挂载路径，例如“/mnt/sfs”。 plaintext mkdir /mnt/sfs 7. 在文件系统详情页面复制挂载命令，并在客户端执行挂载。挂载完成后使用 df h命令查看文件系统挂载情况。挂载命令获取见下图： 注意 请将挂载命令中的“/localfolder”替换为您在第6步创建的本地挂载路径。 8. 挂载完成后使用 df h命令查看文件系统挂载情况。 9. 配置开机自动挂载。 注意 为避免已挂载文件系统的云主机重启后挂载信息丢失，建议设置重启时进行自动挂载。 1. 执行“vi /etc/rc.d/rc.local”编辑 rc.local 文件，在文件末尾新增挂载信息，挂载命令可在文件系统详情页获取（见上方第7步）。配置完成后，单击“Esc”键，并输入 :wq，保存文件并退出。配置样例如下： plaintext sleep 10s && sudo 挂载命令 2. 执行“chmod +x /etc/rc.d/rc.local ”。 3. 完成上述配置后，当云主机重启时，系统会等待10s后自动挂载。 10. （可选）建议使用NFSv3协议挂载，如需使用 NFSv4 协议挂载，请在每个 NFS 客户端按以下步骤配置nfs4uniqueid。 plaintext

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

操作场景 本节将以使用"Microsoft Remote Desktop for Mac"工具远程连接到运行"Windows Server 2012 R2 数据中心版 64位"操作系统的云主机为例，介绍如何在Mac OS系统上登录Windows云主机的操作步骤。 前提条件 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 已在Mac OS系统上安装了Microsoft Remote Desktop for Mac或其他适用于Mac OS系统的远程连接工具。您可以下载Microsoft Remote Desktop for Mac。 注意 请注意，微软官方已停止提供Remote Desktop客户端的下载链接，您可以尝试下载 操作步骤 1. 启动Microsoft Remote Desktop应用。 2. 点击"Add Desktop"（添加桌面）。 3. 在"Add PC"（添加计算机）页面，进行登录信息的设置。 PC name（计算机名称）：输入要登录的Windows实例的弹性IP地址。 User account（用户账户）：从下拉列表中选择"Add user account"（添加用户账户），然后弹出"Add user account"对话框。 在"Add user account"对话框中，输入Windows实例的用户名（例如"administrator"）和登录密码，然后点击"Add"（添加）。 4. 在"Remote Desktop"页面，双击要登录的Windows实例的图标。 5. 确认信息后，点击"Continue"（继续）。

调试测试计划 新增或修改测试计划后，可通过调试快速发现语法或配置错误，确保该模型在任务中可用。 1、登录性能测试控制台，在左侧导航栏中选择“JMeter测试工程”。单击待调试测试计划所在工程后的。 2、在“测试计划列表”页签中，单击待调试的测试计划操作栏中的。 3、在弹出的对话框中，选择“资源组类型”后单击“启动调试”。 4、在“调试日志”页签，查看调试的操作日志。 调试日志 5、调试完成后，在“结果”页签，查看测试计划调试的具体内容。 如果调试结果报错，可根据错误日志信息，修改jmx文件后重新导入。导入方法请参见管理测试计划中的修改测试计划部分。 启动测试计划 测试计划指通过在不同压测点执行一系列测试，持续对系统发起压力测试，通过测试获取并分析系统运行的性能数据。 您可以在一个测试工程中添加多个测试计划。 前提条件 确保资源组状态为“运行中”。 确保资源组的调试节点上的32001和32003端口在安全组被开启。 确保资源组的执行节点和被压测的应用之间网络互通。 操作步骤 1、登录性能测试控制台，在左侧导航栏中选择“JMeter测试工程”，单击待操作工程后的。 2、创建测试计划，具体操作请参见创建测试计划。 3、创建完成后，单击任务操作栏的。 4、在“启动测试任务”对话框中，选择对应的资源组。 5、单击“启动”，启动测试任务。然后可以单击“查看报告”来查看实时性能报告。 说明 压测时长建议至少300s，并发数请根据被压测应用的实际情况填写。通过多次调整压测数据进行反复测试，得到应用所能承受的最大值，进行持续优化和验证。 管理测试计划 测试计划创建成功后，您可以对测试计划进行管理。