安装Agent后，您才能开启数据库安全审计功能，对待审计的数据库进行审计。本节介绍如何在Windows操作系统上安装Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 已获取Windows操作系统Agent安装包。 安装Agent节点的运行系统满足Windows系统版本要求。 安装Agent 1. 在Windows主机安装“Npcap”软件。如果该Windows主机已安装“Npcap”，请执行步骤2。如果该Windows主机未安装“Npcap”，请执行以下步骤： 请前往 将下载好的npcap xxxx .exe软件安装包上传至需要安装agent的虚拟机。 双击npcap软件安装包。 在弹出的对话框中，单击“I Agree”，如图所示。同意安装“Npcap” 在弹出的对话框中，单击“Install”，不勾选安装选项，如图所示。安装“Npcap” 在弹出的对话框中，单击“Next”。 单击“Finish”，完成安装。 2. 以“Administrator”用户登录到Windows主机。 3. 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 4. 进入Agent安装包所在目录，并解压缩安装包。 5. 进入解压后的文件夹，双击“install.bat”执行文件。 6. 安装成功，界面如图417所示，按任意键结束安装。 7. 安装完成后，在Windows任务管理器中查看“dbssauditagent”进程。如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

本章节主要介绍数据治理中心的约束与限制。 浏览器限制 您需要使用支持的浏览器版本登录DataArts Studio。 表1 浏览器兼容性 浏览器版本 建议版本 建议操作系统 备注 Google Chrome 115，114，113 Windows 10 分辨率最佳可视范围为最小1366768px，最大为19201080px。其中19201080px为最佳显示分辨率，界面自适应为最优显示。 使用限制 使用DataArts Studio前，您需要认真阅读并了解以下使用限制。 表2 DataArts Studio使用限制一览表 组件 约束限制 公共 DataArts Studio基于数据湖底座提供数据一站式集成、开发、治理等能力，本身不具备存储和计算的能力，需要配合数据湖底座使用。 每个企业项目下最多绑定一个DataArts Studio实例。当企业项目下已绑定实例时，再次创建实例会失败。 DataArts Studio各组件对不同数据源的支持程度不一，您需要按照您的业务需求来选择数据湖底座。DataArts Studio平台当前支持的数据湖产品请参见“DataArts Studio用户指南 > 管理中心 > DataArts Studio支持的数据源”。 管理中心 由于管理中心的限制，数据治理各组件（如数据架构、数据质量、数据目录等）暂不支持包含中文和“.”字符的库表名。 建议为管理中心数据连接的Agent和CDM迁移作业规划相互独立的CDM集群，避免双方使用同一集群，导致业务高峰期时资源抢占引起业务不可用。 CDM集群作为管理中心数据连接Agent时，单集群无法连接多个MRS安全集群。建议您按照业务情况规划多个Agent与MRS安全集群一一映射。 CDM集群作为管理中心数据连接Agent时，单集群的并发活动线程最大为200。即当多个数据连接共用同一Agent时，通过这些数据连接提交SQL脚本、Shell脚本、Python脚本等任务的同时运行上限为200，超出的任务将排队等待。建议您按照业务量情况规划多个Agent分担压力。 单工作空间允许创建的数据连接个数最多200个。 管理中心相关开放API并发限制为100qps。 数据集成 CDM作业支持自动备份和恢复，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据集成 > 管理作业 > 作业配置管理”章节。 CDM作业本身无配额限制，但建议作业数不超过CDM集群的vCPU核数2，否则作业运行性能可能会受到一定影响。 数据集成CDM集群为单集群部署，集群故障可能会导致业务、数据损失。建议您使用数据开发作业CDM Job节点调用CDM作业，并选择两个CDM集群以提升可靠性。详情请参见用户指南中“数据开发 > 节点参考 > CDM Job”章节。 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 在驱动更新场景下，上传驱动后必须在CDM集群列表中重启集群才能更新生效。 单作业的抽取并发数取值范围为1300，集群的总抽取并发数取值范围为11000。其中集群最大抽取并发数的设置与CDM集群规格有关，并发数上限建议配置为vCPU核数2，作业的抽取并发数建议不超过集群的总抽取并发数，过高的并发数可能导致内存溢出，请谨慎修改。 关于数据集成中的更多约束限制，请参考用户指南中“数据集成> 约束与限制”章节。 数据开发 数据开发脚本、作业等资产支持备份管理，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据开发 > 运维调度 > 备份管理”章节。 脚本、作业或节点的历史运行记录依赖于OBS桶，如果未配置测试运行历史OBS桶，则无法查看历史运行的详细信息。 上传资源时，如果资源位置为HDFS，则只支持MRS Spark，MRS Flink Job，MRS MapReduce节点使用该资源。 单工作空间允许创建的脚本个数最多1万个，脚本目录最多5000个，目录层级最多为10层。 单工作空间允许创建的作业个数最多1万个，作业目录最多5000个，目录层级最多为10层。 RDS SQL、DWS SQL、HIVE SQL、SPARK SQL、DLI SQL脚本执行结果页面展示最多1千条，且数据量少于3MB。超过1千条数据可以使用转储功能，转储最多支持1万条。 实例监控、补数据监控只能展示最近6个月的数据。 通知记录只能展示最近30天的数据。 下载中心的下载记录会每7天做老化处理，老化时下载中心记录和已转储的OBS数据会同时被删除。 数据架构 数据架构当前支持关系建模和维度建模（仅支持星形模型）这两种建模方式。 数据架构支持最大导入文件大小为4Mb；支持最大导入指标个数为3000个；支持一次最大导出500张表。 码表和数据标准的根目录下禁止直接创建码表和数据标准。 单工作空间中创建各类对象的配额如下： l主题5000个。 l数据标准目录500条，个数20000个。 l业务指标100000个。 l原子指标、衍生指标、复合指标各5000条。 配置中心中各类对象的自定义项配额如下： l主题自定义项10条。 l表自定义项30条。 l属性自定义项10条。 l业务指标自定义项50条。 数据质量 数据质量作业执行时长依赖数据引擎，如果底层数据引擎资源不足，可能会导致运行速度变慢。 单个数据质量作业最多可以配置50条规则，如有需要可拆分为多个质量作业。 单个数据连接上的质量作业关联SQL的并发数默认为1000，如果超出则等待排队执行。可配置范围101000。 单Region内的质量作业关联SQL的并发数为10000，如果超出则等待排队执行。 业务指标监控模块总览中的实例运行状态和实例告警状态支持按照7天展示，告警趋势、业务看板、指标看板支持按照7天、15天和30天展示。 数据质量监控模块总览中的变化趋势支持按照30天展示，质量告警分类趋势和规则数量趋势支持按照7天展示。 质量报告采用T+1日定时批量生成，质量报告数据保留90天。 导出质量报告至OBS，会将质量报告导出到工作空间中配置的作业日志OBS路径中，导出记录保留3个月。 数据目录 单工作空间中元数据采集任务最多创建100个。 元数据采集任务通过执行引擎相关的DDL SQL获取，不建议单个任务采集超过1000张表。如有需要可拆分为多个采集任务，另外调度时间和频次也需要根据业务需要进行合理设置，避免对引擎造成较大的访问和连接压力，设置建议如下： l若业务对元数据时效性要求为1天，则设置调度周期max(1天，单次采集周期时间)，其他情况同理。 l若业务压力集中在白天，则设置调度时间在夜间，其他情况同理，选择数据源压力最小的时间段。 数据血缘的产生依赖于数据开发中调度运行的作业，测试运行的作业不会产生血缘。 元数据采集模块总览中的数据连接历史统计支持按照7天、15天和30天展示。 数据服务 数据服务共享版仅供开发测试使用，专享版性能优于共享版，推荐使用数据服务专享版。 DataArts Studio实例下最多支持创建5个数据服务专享版集群，且集群需要与某个工作空间绑定，不能多空间共用同一集群。 数据服务专享版集群创建后暂不支持修改规格或升级版本。 DataArts Studio实例下支持创建的专享版API最大数量由数据服务专享版API总分配配额（默认为5000）和当前实例下集群的API规格总和共同决定，取较小的作为限制。例如，某DataArts Studio实例下的数据服务专享版API总分配配额为5000，已分别创建了API规格为500和2000的两个集群，则当前实例下支持创建的专享版API最大数量为2500。 单工作空间下支持创建的专享版API最大数量由数据服务专享版API已分配配额（通过编辑工作空间信息分配）和当前空间下集群的API规格总和共同决定，取较小的作为限制。例如，某工作空间下的数据服务专享版API已分配配额为800，当前工作空间下已创建了API规格为500的两个集群，则当前工作空间下支持创建的专享版API最大数量为800。 单工作空间下支持创建的应用数量为1000。 单工作空间下支持创建的流控策略数量为500。 数据服务支持跟踪并保存事件。对于每个事件，数据服务会报告事件发生日期、说明、时间源（某个集群）等信息，事件保存时长为30天。 数据服务专享版日志信息仅查询集群最近100条访问记录，均分至集群全部所属节点中获取。 总览中的调用趋势、发布趋势、调用比率 top5、调用时间 top5和调用次数 top5支持按照近12小时、近1天、近7天和近30天展示，总调用数为前7天数据总和（不含当天）。

一、获取AKSK 1. 登录CDN+ IAM，地址：vip.ctcdn.cn 。 2. 在个人中心AccessKey管理页面，点击新增按键。 3. 选择对应的工作区并确定，此时你可以查看到AccessKey已生成。 4. 选中密钥，点击查看。为保障安全，需要填写手机验证码。验证通过后，点击显示SK，即可查看详情，并支持复制和发送邮箱操作。 二、在httpclient的请求头增加3个字段，分别是eopdate、ctyuneoprequestid、EopAuthorization。 1.构造eopdate 。该字段的格式是“yyyymmddTHHMMSSZ”，即：年月日T时分秒Z”，示例：eopdate:20211221T163614Z。 2.构造ctyuneoprequestid 。该字段是uuid，32位随机数。示例：27cfe4dce64045f692ca492ca73e8680 3.构造EopAuthorization 。按以下步骤进行： 步骤一：构造代签字符串sigture 。 sigture 需要进行签名的Header排序后的组合列表+ " n " + 排序的query + " n " +toHex(sha256(原封的body)) 1）需要进行签名的Header排序后的组合列表：将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n ”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。 注意 注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。 2）排序的query：query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 3）toHex(sha256(原封的body))：传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 示例1： 假设query 为空 ，原封body内容：{"productcode": "008", "taggroup": "Yppgroup1702950925", "tag": "1702950925yPPtag1"} 需要进行签名的Header排序后的组合列表为： 1）ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680 2）eopdate:20220525T160752Z 3）body参数做sha256摘要后转十六进制为：59fc6acc115298cbac86cb188f995f7804ff6633a6d6e87acab7a9131bdabc66 则sigture为： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680neopdate:20220525T160752Znnn59fc6acc115298cbac86cb188f995f7804ff6633a6d6e87acab7a9131bdabc66 示例2： 假设query 为：aa1&bb2 ，原封body内容为空 需要进行签名的Header排序后的组合列表为： 1）ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680 2）eopdate:20220525T160752Z 3、body参数做sha256摘要后转十六进制为：e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 则sigture为： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680neopdate:20220525T160930Znnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 步骤二：构造动态秘钥kdate 。 1）eopdate：yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) 2）Ktime：使用eopdate作为数据，sk作为密钥，算出ktime。 Ktime hmacSha256(eopdate,sk) 3）kAk：使用ak作为数据，ktime作为密钥，算出kAk。 kAk hmacsha256(ak,ktime) 4）kdate：使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 kdate hmacsha256(eopdate,kAk) 步骤三： 构造Signature 。使用kdate作为密钥、sigture作为数据，将其得到的结果进行base64编码得出Signature Signature构造签名的方法： 1）hmacsha256(sigture,kdate) 2）将上一步的结果进行base64加密得出Signature 步骤四：构造EopAuthorization 。 1）Headers：将需要进行签名的请求头字段以 “headername”的形式、以“;”作为间隔符、以英文字母表作为headername的排序依据将它们拼接起来。 假设需要将ctyuneoprequestid、eopdate进行签名，则Headers ctyuneoprequestid;eopdate。 2）EopAuthorization值为：ak Headersxxx Signaturexxx。 注意 ak、Headers、Signature之间以空格隔开。 例如：EopAuthorization:ak Headersctyuneoprequestid;eopdate SignatureZq0Wodhwa7ShCKhQWy49MoOm3r6/tB1rBTlp+vjRkSY 如果需要进行签名的Header不止默认的ctyuneoprequestid和eopdate，那么需要在httpclient的请求头部中加上，并且EopAuthorization中也需要增加。 三、 签名示例 { "host": "cdnapiglobal.ctapi.ctyun.cn", "Eopdate": "20211221T163614Z", "ctyuneoprequestid": "27cfe4dce64045f692ca492ca73e8680", "EopAuthorization": "e3e86563b0548543c128bcd2ea998167 Headersctyuneoprequestid;eopdate SignatureZq0Wodhwa7ShCKhQWy49MoOm3r6/tB1rBTlp+vjRkSY", "ContentType": "application/json;charsetUTF8" }

本章主要介绍翼MapReduce的修改Kerberos管理员密码功能。 操作场景 管理员应定期修改Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改此用户密码将同步修改OMS Kerberos管理员密码。 前提条件 已在集群内的任一节点安装了客户端，并获取此节点IP地址。 操作步骤 1.以root用户通过节点IP地址登录安装了客户端的节点。 2.执行以下命令，切换到客户端目录，例如“/opt/hadoopclient”。 cd /opt/hadoopclient 3.执行以下命令，配置环境变量。 source bigdataenv 4.执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!?,.;'(){}[]/<>@$%^&+。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为密码策略配置中“重复使用规则”的值。

本章节主要介绍云硬盘备份产品的优势。 简单易用 操作简单，3步完成备份配置，无需具备专业的备份软件技能。相比传统备份系统，无需关心备份服务器、备份存储的规划、扩容。 灵活高效 基于策略的自动备份，满足各种备份场景需求。永久增量备份，增量恢复，备份窗口短，恢复时间目标（RTO）达分钟级。 经济实惠 采用永久增量备份，首次备份为全量备份，后续备份均为增量备份，备份数据占用空间少。备份存储资源弹性伸缩，按量付费。 安全可靠 数据自动加密保存到对象存储中，数据持久性高达99.999999999%（11个9），远高于传统备份系统。

本小节介绍日志审计(原生版)术语解释。 日志采集 实现第三方安全设备、网络设备、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志采集。 日志存储 实现原始日志、范式化日志的存储，可定义存储周期。 日志检索 实现全文、keyvalue、括弧、正则、模糊等检索方式；支持保存检索、从已保存的检索导入见多条件。 可视化统计 实现趋势图、折线图、柱状图、饼图、表格等统计项展示。 事件告警 自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则，实现时间的查询、查询结果统计以及统计结果的展示。

数据安全中心服务可识别的敏感数据包括敏感图片信息、个人敏感信息、企业敏感信息等七类，具体可识别的敏感数据类型如下表所示。 敏感数据分类 数据类型 敏感图片信息 身份证图片 护照图片 个人敏感信息 身份证 银行卡 姓名 手机号 邮箱 护照号 港澳通行证 车牌号 电话号码 军官司证 性别 车辆识别代码 企业敏感信息 营业执照号码 税务登记证号码 组织机构代码 统一社会信用代码 密钥敏感信息 PEM证书 KEY私钥 AccessKeyId AccessKeySecret 哈希密码 设备敏感信息 IP地址 MAC地址 JDBC连接串 IPv6地址 IMEI MEID 位置敏感信息 省份 城市 GPS位置 地址 通用敏感信息 日期

此小节介绍AntiDDoS流量清洗的应用场景。 AntiDDoS对公网IP提供不超过5Gbps流量的DDoS攻击防护。 对大于5Gbps的流量，系统会进行自动限流措施（正常访问流量会丢失）；对于正常业务流量超过5Gbps流量的应用，建议用户自主购买第三方清洗中心服务，从第三方获取报表。 AntiDDoS设备部署在机房出口处，网络拓扑架构如下图所示。 检测中心根据用户配置的安全策略，检测网络访问流量。当发生攻击时，将数据引流到清洗设备进行实时防御，清洗异常流量，转发正常流量。

本文介绍准入管控的功能和配置方法。 功能说明 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 配置说明 主要常用策略条件如下： 是否开启指定软件：如内置防火墙是否开启、是否运行指定的杀毒软件等。 访问行为是否异常：根据用户平时行为进行记录分析，判断是否存在异常，如是否在异常时间登录、异常地点、异常的访问IP地址等。 终端环境是否符合企业要求：根据设定的终端环境条件进行判断，如mac地址、IP地址、访问地点、访问时间等。 支持配置对应的策略生效范围，可选按用户范围，按组织范围，按用户组范围三种模式进行范围圈选。 支持配置对应的策略处置动作，若检测到策略范围内的账号匹配到对应的准入管控策略，将实时下发处置动作到对应账号设备。 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服进行处理。

本章节主要介绍修改OMS数据库数据访问用户密码。 操作场景 该任务指导用户定期修改OMS数据库访问用户的密码，以提升系统运维安全性。 对系统的影响 修改密码需要重启OMS服务，服务在重启时无法访问。 操作步骤 在MRS Manager单击“系统设置”。 1. 在“权限配置”区域下，单击“OMS数据库密码修改”。 2. 在omm用户所在行，单击“操作”列下的“修改密码”，修改OMS数据库密码。 密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];:", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 不可与前20个历史密码相同。 3. 单击“确定”，等待界面提示“操作成功”后单击“完成”。 4. 在omm用户所在行，单击“操作”列下的“重启OMS服务”，重启OMS数据库。 说明 如果修改了密码但未重启OMS数据库，则omm用户的状态变为“Waiting to restart”且无法再修改密码，直到重启OMS数据库 5. 在弹出的对话框中，勾选“我已阅读此信息并了解其影响。”，单击“确定”，重新启动OMS服务。

参数 说明 上传目录位置 可选当前目录或指定目录 读写权限 继承Bucket：对象的读写权限与Bucket的读写权限一致。 私有：仅对象的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该对象的读权限，为确保您的数据安全，不推荐此配置。 文件大小限制 单次最多支持100个文件上传，单个文件最大5GB。 文件上传规则限制 文件名称区分大小写。 文件名长度必须在11023字节之间。 除非以文件夹形式上传，否则文件名中不能包含/ 或 字符。 Bucket 下若存在同名文件，将被新上传的文件覆盖。

参数 说明 上传目录位置 可选当前目录或指定目录 读写权限 继承Bucket：对象的读写权限与Bucket的读写权限一致。 私有：仅对象的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该对象的读权限，为确保您的数据安全，不推荐此配置。 文件大小限制 单次最多支持100个文件上传，单个文件最大5GB。 文件上传规则限制 文件名称区分大小写。 文件名长度必须在11023字节之间。 除非以文件夹形式上传，否则文件名中不能包含/ 或 字符。 Bucket 下若存在同名文件，将被新上传的文件覆盖。

名称 二级节点 三级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 返回结果 pageNum Integer 当前页 pageSize Integer 页大小 pageTotal Integer 页码总数 total Integer 总记录数 list Array 记录 username String 数据库账号名称。 rolsuper Boolean 用户是否具有超级用户权限。 rolinherit Boolean 用户是否自动继承其所属角色的权限。 rolcreaterole Boolean 用户是否支持创建其他子用户。 rolcreatedb Boolean 用户是否可以创建数据库。 rolcanlogin Boolean 用户是否可以登录数据库。 rolconnlimit Integer 用户连接实例的最大并发连接数。1表示没有限制。 rolreplication Boolean 用户是否属于复制角色。 rolbypassrls Boolean 用户是否绕过每个行级安全策略。

本节介绍如何查看防护容器的下线通知和删除服务通知。 消息中心页面提供防护容器的下线通知和删除服务通知，以便用户及时恢复防护容器。 查看消息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“消息中心”，进入消息中心页面。 3. 支持查看“服务信息”和“删除服务”类消息。 标记已读 在消息中心页面，阅读消息后，可以勾选多条消息后，单击“标记已读”，在弹出的对话框中，可以选择“全部标记已读”或只对当前选择项标记已读，选择完成后，单击“确认”。

本文介绍如何免密拉取CRS镜像。 对于天翼云容器镜像服务CRS的镜像，弹性容器实例ECI支持免密拉取，以提升效率和安全性。 前提条件 1. 账号已经在容器镜像服务创建个人版或者企业版镜像仓库，并完成配置且上传所需的容器镜像。容器镜像仓库服务文档参考：容器镜像服务文档。 2. 集群已安装插件cubecredentialhelper。 配置说明 创建工作负载时“选择镜像”，弹出的镜像选择页面选择所需镜像，即可实现自动免密拉取。

本文介绍实时云渲染的产品优势。 简单易用 用户通过一个平台、三个步骤（上传应用发布应用访问链接）即可获取渲染成果。通过连接即可分享渲染成果，多终端可访问，提升协作效率。 安全可靠 实时云渲染平台渲染成果通过视频流方式分享外链进行访问，有效保护模型作品版权。支持多种音视频传输协议（画面文字ＷebRTC、RTP、SRT、websocket等协议），降低延时，优化丢包率和带宽波动带来的影响。 极致体验 天翼云具有数以千计的边缘节点，基于智能调度算法，按需调度GPU算力资源供就近业务进行渲染，提供毫秒级时延服务；通过业务级算力复用，提升GPU资源使用效率，降低用户使用成本。

本小节介绍服务器安全卫士风险发现中查看执行记录方法。 查看方法 总览界面提供对执行的各类风险扫描查看其执行情况。点击总览界面中的“更多”按钮，选择“查看执行记录”，可查看执行记录列表。 查看失败主机详情 每条记录支持对失败主机的详情进行查看，点击“失败主机详情”按钮可查看失败主机列表。 查看弱密码进度 弱密码额外提供对进度的查看，点击执行内容为弱密码扫描记录中的“弱密码进度”按钮，可查看弱密码执行进度情况。

问题现象 开通服务网格后控制面服务没有正常启动，报错信息如下： message: 'Internal error occurred: failed calling webhook "cosignwebhook.kubesystem.svc": failed to call webhook: Post " x509: certificate is valid for cosignwebhook, cosignwebhook.default, cosignwebhook.default.svc, not cosignwebhook.kubesystem.svc' 问题原因 由于在云容器引擎集群开启了cubesign插件，该插件会对集群中部署的镜像做签名验证，提升系统安全性。服务网格控制面组件镜像不会使用cubesign签名，因此部署会因为签名校验而失败。 解决方案 关闭云容器引擎集群cubesign插件，重新部署网格控制面服务。

API变更与弃用 在Kubernetes1.30版本中，kubectl移除了apply命令的prunewhitelist参数，使用pruneallowlist替代。 在Kubernetes1.30版本中，移除了在1.27版本已废弃的准入插件SecurityContextDeny，使用安全性准入插件（PodSecurity）替代。 CCE对Kubernetes 1.30版本的增强 在版本维护周期中，CCE会对Kubernetes 1.30版本进行定期的更新，并提供功能增强。 参考链接 关于Kubernetes 1.30与其他版本的性能对比和功能演进的更多信息，请参考：Kubernetes 1.30 Release Notes

本节介绍如何创建报表模板。 报表模板，维护和定义报表模板，用户可以自定义报表的模版，每个用户需要自行管理自己的报表模版。 支持自定义指标、自定义图表以及报表预览等功能。 新建模板 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“报表中心 > 报表模板”。 3. 单击“新建”，进入新建模板页面。 4. 配置模板名称、类型、时间范围和报表内容。 其中类型指定的时间为报表自定义指标的默认数据周期时间（当自定义指标中指定了绝对时间后，会覆盖默认数据周期时间）。 5. 单击“保存”，保存模板。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 dmslink 服务类型 选择DMS Kafka版本，目前只有专享版。 专享版 Kafka Broker Kafka专享版实例的地址，格式为host:port。 Kafka SASLSSL 选择是否打开客户端连接Kafka专享版实例时SSL认证的开关。 开启Kafka SASLSSL，则数据加密传输，安全性更高，但性能会下降。 是 用户名 开启Kafka SASLSSL时显示该参数，表示连接DMS Kafka的用户名。 密码 开启Kafka SASLSSL时显示该参数，表示连接DMS Kafka的密码。

本章主要介绍翼MapReduce的备份NameNode数据功能。 操作场景 为了确保NameNode日常数据安全，或者系统管理员需要对NameNode进行重大操作（如升级或迁移等），需要对NameNode数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份NameNode任务。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 仅支持“每次都全量备份”。 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“NameNode”。 7.在“NameNode”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。默认保存目录为“ 数据存放路径 /LocalBackup/”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：备集群NameNode的业务平面IP地址。 “目的端路径”：备份文件存放的位置。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “SFTP”：表示将备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “服务器共享路径”：SFTP服务器上的备份路径。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为 “备份任务名任务创建时间 ”，用于保存数据源的备份文件。 备份文件的名称为“ 版本号数据源任务执行时间 .tar.gz”。

相关服务 功能交互 相关链接 云硬盘（CTEVS，Elastic Volume Service） 云硬盘备份对云硬盘进行数据备份，也支持使用备份来恢复数据或创建新盘，以便于在云硬盘数据丢失或损坏时自助快速恢复数据。 对象存储（CTZOS，Zettabyte Object Storage） 云硬盘备份底层与对象存储服务资源相结合，将云硬盘备份数据存储到对象存储中，高度保障用户的备份数据安全。

使用须知 kvrocks2redis需要从Kvrocks提取数据到本地文件，并从中解析出命令发送到目标端GeminiDB Redis ，该过程中可能影响源端性能，但理论上不会有数据受损风险。 迁移工具运行过程中，若出现问题，迁移工具会自动停止，方便问题定位。 GeminiDB Redis从安全性角度出发，不提供清库语义命令，因此要在迁移开始前确保无数据。 前提条件 部署kvrocks2redis到独立主机。 确保源端、目标端、迁移工具之间网络互通。 源端Kvrocks实例提前做好数据备份。 目标端GeminiDB Redis实例清空全部数据。 操作步骤 如需进行Redis到GeminiDB Redis的迁移，您可以在管理控制台右上角，选择“工单 > 新建工单”，联系技术支持进行处理。

新建分组 1. 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据目录”模块，进入数据目录页面。 详见下图：选择数据目录 2. 选择“数据安全 > 数据分类”，在“分组”页签中，单击“新建”。 系统弹出“新建分组”对话框，填写相关配置，单击“确定”，完成创建分组。 参数设置参考下表，并勾选左侧列表中的分类规则。 用户所勾选的规则将显示在右侧列表中 参数配置表 配置 说明 名称 规则组名称只能包含中文、英文字母、数字和下划线。 描述 为更好的识别规则组，此处加以描述信息。描述信息长度不能超过4096个字符。

本文主要介绍通过控制台使用Nginx Ingress。 前提条件 Ingress为后端工作负载提供网络访问，因此集群中需提前部署可用的工作负载。若您无可用工作负载，可参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)部署工作负载。 添加Nginx Ingress时，需在集群中提前安装nginxingress插件。 注意事项 不建议在ELB服务页面修改ELB实例的任何配置，否则将导致服务异常。 如果您已经误操作，请卸载Nginx Ingress插件后重装。 Ingress转发策略中注册的URL需与后端应用暴露的URL一致，否则将返回404错误。 负载均衡实例需与当前集群处于相同VPC 且为相同公网或私网类型。 负载均衡实例需要拥有至少两个监听器配额，且端口80和443没有被监听器占用。 添加Nginx Ingress 本节以Nginx作为工作负载并添加Nginx Ingress为例进行说明。 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 选择左侧导航栏的“服务发现”，在右侧选择“路由”页签，单击右上角“创建路由”。 步骤 3 设置Ingress参数。 名称： 自定义Ingress名称，例如nginxingressdemo。 命名空间： 选择需要添加Ingress的命名空间。 对接Nginx： 集群中已安装nginxingress插件后显示此选项，未安装nginxingress模板时本选项不显示。 单击开启后将对接nginxingress提供7层访问，可配置如下参数。 TLS配置 ：nginxingress支持HTTP和HTTPS，安装nginxingress时预留的监听端口，默认HTTP为80，HTTPS为443。使用HTTPS需要配置相关证书。 服务器证书：创建HTTPS协议监听时需要绑定IngressTLS类型的密钥证书，以支持HTTPS数据传输加密认证，创建密钥的方法请参见创建密钥。 SNI：SNI（Server Name Indication）是TLS的扩展协议，在该协议下允许同一个IP地址和端口号下对外提供多个基于TLS的访问域名，且不同的域名可以使用不同的安全证书。开启SNI后，允许客户端在发起TLS握手请求时就提交请求的域名信息。负载均衡收到TLS请求后，会根据请求的域名去查找证书：若找到域名对应的证书，则返回该证书认证鉴权；否则，返回缺省证书（服务器证书）认证鉴权。 转发策略配置： 请求的访问地址与转发规则匹配时（转发规则由域名、URL组成），此请求将被转发到对应的目标Service处理。单击“添加转发策略”按钮可添加多条转发策略。 域名：实际访问的域名地址。请确保所填写的域名已注册并备案，在Ingress创建完成后，将域名与自动创建的负载均衡实例的IP（即Ingress访问地址的IP部分）绑定。一旦配置了域名规则，则必须使用域名访问。 URL：需要注册的访问路径，例如：/healthz。社区v1.2.0版本（对应CCE nginxingress插件2.1.0版本）后修复CVE202125745( 目标服务名称：请选择已有Service或新建Service。页面列表中的查询结果已自动过滤不符合要求的Service。 目标服务访问端口：可选择目标Service的访问端口。 操作：可单击“删除”按钮删除该配置。 说明 Nginx Ingress的URL匹配规则是基于“/”符号分隔的路径前缀匹配，并区分大小写。只要访问路径以“/”符号分隔后的子路径匹配此前缀，均可正常访问，但如果该前缀仅是子路径中的部分字符串，则不会匹配。例如URL设置为/healthz，则匹配/healthz/v1，但不匹配/healthzv1。 注解 ：以“key: value”形式设置，可通过Annotations查询nginxingress支持的配置。社区v1.2.0版本（对应CCE nginxingress插件2.1.0版本）后修复CVE202125746( 步骤 4 配置完成后，单击“创建”。 创建完成后，在Ingress列表可查看到已添加的Ingress。

一、获取ak、sk 1. 登录CDN+IAM。 2. 在个人中心AccessKey管理页面，点击新增按钮。 3. 选择对应的工作区并确定，此时你可以查看到AccessKey已生成。 4. 选中密钥，点击查看。为保障安全，需要填写手机验证码。验证通过后，点击显示SK，即可查看详情，并支持复制和发送邮箱操作。 二、在httpclient的请求头增加3个字段，分别是eopdate、ctyuneoprequestid、EopAuthorization。 1.构造eopdate 。该字段的格式是“yyyymmddTHHMMSSZ”，言简意赅就是“年月日T时分秒Z”，示例“eopdate:20211221T163614Z”。 2.构造ctyuneoprequestid 。该字段是uuid，32位随机数。 3.构造EopAuthorization 。按以下步骤进行： 3.1构造代签字符串sigture 。sigture 需要进行签名的Header排序后的组合列表+ " n " + 排序的query + " n " + toHex(sha256(原封的body)) 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n ”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。 注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。 例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture 示例1 （假设query 为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture 示例2 （假设query 不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 3.2 构造动态秘钥kdate 。 3.2.1 使用eopdate作为数据，sk作为密钥，算出ktime。 3.2.2 使用ak作为数据，ktime作为密钥，算出kAk。 3.2.3 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) : Ktime 使用eopdate作为数据，sk作为密钥，算出ktime。 Ktime hmacSha256(eopdate,sk) kAk 使用ak作为数据，ktime作为密钥，算出kAk。 kAk hmacsha256(ak,ktime) kdate 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 kdate hmacsha256(eopdate,kAk) 3.3 构造Signature 。使用kdate作为密钥、sigture作为数据，将其得到的结果进行base64编码得出Signature Signature 1）hmacsha256(sigture,kdate) 2）将上一步的结果进行base64加密得出Signature 3.4 构造EopAuthorization 。 3.4.1 构造Headers。 3.4.2得到EopAuthorization。 EopAuthorization:ak Headersxxx Signaturexxx。 Headers 将需要进行签名的请求头字段以 “headername”的形式、以“;”作为间隔符、以英文字母表作为headername的排序依据将它们拼接起来。 例子(假设你需要将ctyuneoprequestid、eopdate都要签名)：Headers ctyuneoprequestid;eopdate : EopAuthorization EopAuthorization:ak Headersxxx Signaturexxx。注意，ak、Headers、Signature之间以空格隔开。 例如：EopAuthorization:ak Headersctyuneoprequestid;eopdate SignatureNlMHOhk5bVfZ9MwDSSJydcZjjENmDtpNYigJGVb 注意：如果你需要进行签名的Header不止默认的ctyuneoprequestid和eopdate，那么你需要在httpclient的请求头部中加上，并且EopAuthorization中也需要增加 三、 签名示例。

一、获取ak、sk 1.登录天翼云CDN+IAM 。 2.在个人中心AccessKey管理页面，点击新增按钮。 3.选择对应的工作区并确定，此时你可以查看到AccessKey已生成。 4.选中密钥，点击查看。为保障安全，需要填写手机验证码。验证通过后，点击显示SK，即可查看详情，并支持复制和发送邮箱操作。 二、鉴权方式 在httpclient的请求头增加3个字段，分别是eopdate、ctyuneoprequestid、EopAuthorization。 1.构造eopdate 。该字段的格式是“yyyymmddTHHMMSSZ”，言简意赅就是“年月日T时分秒Z”，示例“eopdate:20211221T163614Z”。 2.构造ctyuneoprequestid 。该字段是uuid，32位随机数。 3.构造EopAuthorization 。按以下步骤进行： 3.1构造代签字符串sigture 。sigture 需要进行签名的Header排序后的组合列表+ " n " + 排序的query + " n " +toHex(sha256(原封的body))。 步骤 构造请求头的方法 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n ”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。 注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。 例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture 示例1 （假设query 为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture 示例2 （假设query 不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 3.2构造动态秘钥kdate 。 3.2.1使用eopdate作为数据，sk作为密钥，算出ktime。 3.2.2使用ak作为数据，ktime作为密钥，算出kAk。 3.2.3使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 步骤 构造动态密钥的方法 : eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) Ktime 使用eopdate作为数据，sk作为密钥，算出ktime。 Ktime hmacSha256(eopdate,sk) kAk 使用ak作为数据，ktime作为密钥，算出kAk。 kAk hmacsha256(ak,ktime) kdate 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 kdate hmacsha256(eopdate,kAk) 3.3构造Signature 。使用kdate作为密钥、sigture作为数据，将其得到的结果进行base64编码得出Signature。 步骤 构造签名的方法 Signature 1）hmacsha256(sigture,kdate) 2）将上一步的结果进行base64加密得出Signature 3.4构造EopAuthorization 。 3.4.1构造Headers。 3.4.2得到EopAuthorization。 EopAuthorization:ak Headersxxx Signaturexxx。 步骤 构造EopAuthorization的方法 : Headers 将需要进行签名的请求头字段以 “headername”的形式、以“;”作为间隔符、以英文字母表作为headername的排序依据将它们拼接起来。 例子(假设你需要将ctyuneoprequestid、eopdate都要签名)：Headers ctyuneoprequestid;eopdate EopAuthorization EopAuthorization:ak Headersxxx Signaturexxx。注意，ak、Headers、Signature之间以空格隔开。 例如：EopAuthorization:ak Headersctyuneoprequestid;eopdate SignatureNlMHOhk5bVfZ9MwDSSJydcZjjENmDtpNYigJGVb 注意：如果你需要进行签名的Header不止默认的ctyuneoprequestid和eopdate，那么你需要在httpclient的请求头部中加上，并且EopAuthorization中也需要增加 三、 签名示例

本文简述如何调用API获取AKSK。 一、获取AKSK 1. 登录CDN+ IAM，地址：vip.ctcdn.cn 。 2. 在个人中心AccessKey管理页面，点击新增按钮。 3. 选择对应的工作区并确定，此时你可以查看到AccessKey已生成。 4. 选中密钥，点击查看。为保障安全，需要填写手机验证码。验证通过后，点击显示SK，即可查看详情，并支持复制和发送邮箱操作。 二、在httpclient的请求头增加3个字段，分别是eopdate、ctyuneoprequestid、EopAuthorization。 1.构造eopdate 。该字段的格式是“yyyymmddTHHMMSSZ”，言简意赅就是“年月日T时分秒Z”，示例“eopdate:20211221T163614Z”。 2.构造ctyuneoprequestid 。该字段是uuid，32位随机数。 3.构造EopAuthorization 。按以下步骤进行： 3.1构造代签字符串sigture 。 sigture 需要进行签名的Header排序后的组合列表+ " n " + 排序的query + " n " + toHex(sha256(原封的body)) 步骤 构造请求头的方法 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n ”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。 注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。 例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture 示例1： 假设query 为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture 示例2： 假设query 不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Znnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 3.2 构造动态秘钥kdate。 3.2.1 使用eopdate作为数据，sk作为密钥，算出ktime。 3.2.2 使用ak作为数据，ktime作为密钥，算出kAk。 3.2.3 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 步骤 构造动态密钥的方法 : eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) Ktime 使用eopdate作为数据，sk作为密钥，算出ktime。 Ktime hmacSha256(eopdate,sk) kAk 使用ak作为数据，ktime作为密钥，算出kAk。 kAk hmacsha256(ak,ktime) kdate 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 kdate hmacsha256(eopdate,kAk) 3.3 构造Signature 。使用kdate作为密钥、sigture作为数据，将其得到的结果进行base64编码得出Signature 步骤 构造签名的方法 Signature 1）hmacsha256(sigture,kdate) 2）将上一步的结果进行base64加密得出Signature 3.4 构造EopAuthorization。 3.4.1 构造Headers。 3.4.2得到EopAuthorization。 EopAuthorization:ak Headersxxx Signaturexxx 步骤 构造EopAuthorization的方法 : Headers 将需要进行签名的请求头字段以 “headername”的形式、以“;”作为间隔符、以英文字母表作为headername的排序依据将它们拼接起来。 例如(假设你需要将ctyuneoprequestid、eopdate都要签名)：Headers ctyuneoprequestid;eopdate EopAuthorization EopAuthorization:ak Headersxxx Signaturexxx。注意，ak、Headers、Signature之间以空格隔开。 例如：EopAuthorization:ak Headersctyuneoprequestid;eopdate SignatureNlMHOhk5bVfZ9MwDSSJydcZjjENmDtpNYigJGVb 注意：如果你需要进行签名的Header不止默认的ctyuneoprequestid和eopdate，那么你需要在httpclient的请求头部中加上，并且EopAuthorization中也需要增加 三、 签名示例

介绍分布式消息服务Kafka的数据保护技术 天翼云分布式消息服务Kafka通过多种数据保护手段和措施，保障您在Kafka实例上的数据的安全性。 容灾 根据数据和服务的不同可靠性需求，您有多种选择。您可以选择在一个可用区（即单个机房）内部署Kafka实例，或者选择跨多个可用区（即同城灾备）进行部署。目前跨可用区在华东1、华南2支持跨可用区部署。具体请参考容灾策略。 副本冗余 通过配置适当数量的副本和分布在不同的节点上，Kafka可以提供高可用性和数据冗余，以保护数据免受节点故障的影响。同时，副本机制还可以提高读取性能，因为客户端可以从就近的副本中读取数据，而不必从远程节点获取数据。 数据持久化 Kafka中数据的持久化是通过将消息写入磁盘上的日志文件来实现的。这种设计使得Kafka能够提供高吞吐量和持久性，即使在发生故障或重启时也能够保留数据。此外，Kafka还提供了数据复制和故障转移机制，以确保数据的可用性和可靠性。

本页介绍了文档数据库服务开发相关规范。 数据库连接 在使用文档数据库服务进行应用程序开发时，为了保证数据库连接的安全性和可靠性，需要遵守一些数据库连接规范。以下是一些常用的文档数据库服务连接规范： 使用URI进行连接：文档数据库服务支持使用URI（Uniform Resource Identifier）格式的连接字符串进行连接，这种格式可以简化连接参数的设置，例如： mongodb://username:password@hostname:port/database 其中，username 和 password 是登录数据库的用户名和密码，hostname 和 port 是文档数据库服务的服务器的地址和端口号，database 是要连接的数据库名称。 使用连接池：为了提高连接的效率和性能，可以使用连接池技术对文档数据库服务连接进行管理。连接池可以缓存连接对象，并在需要时重复利用，避免频繁创建和销毁连接对象。客户端连接数据库的时候，要计算业务一共有多少个客户端，每个客户端配置的连接池大小是多少，总的连接数不要超过当前实例能承受的最大连接数的80%。 不要使用过期的连接：文档数据库服务连接对象具有一定的生命周期，在使用完毕后应该及时关闭连接，避免占用过多的系统资源。同时，不要使用已经过期的连接对象，应该重新创建一个新的连接对象进行操作。 设置合适的超时时间：在连接文档数据库服务时，应该设置合适的超时时间，避免连接过程中出现异常或超时而导致应用程序出现问题。可以设置连接超时、读取超时、写入超时等不同类型的超时时间。 避免使用过多的连接：在应用程序中，应该避免使用过多的文档数据库服务连接，以免占用过多的系统资源。可以通过使用连接池、设置连接超时等方式来优化连接的使用。 使用SSL/TLS进行加密：为了提高数据库连接的安全性，可以使用SSL/TLS等加密协议对文档数据库服务连接进行加密传输，避免数据被窃取或篡改。

2、设置可信域名 应用创建完成后，在开发者接口中设置“网页授权及JSSDK”模块，点击“设置可信域名”按钮，填写可信域名，且完成域名归属认证。 注意：可信域名的核心作用在于保证应用的安全性和数据的准确性，您可以使用属于贵公司的任何域名，且域名是必须互联网可访问。 设置可作为应用OAuth2.0网页授权功能的回调域名，输入可信域名后点击“确定”。 3、设置授权回调域 应用创建完成后，在开发者接口中设置“企业微信授权登录”模块，点击“设置”按钮，再点击“设置授权回调域”按钮，设置授权回调域信息。 在Web网页模块设置授权回调域，这里填写的域名需和AOne的域名保持一致，例如设置“授权回调域”为：请联系客户经理或在控制台获取。