本文主要介绍流量分配策略。 负载均衡器会接收来自客户端的请求，并将请求转发到一个或多个可用区的后端主机中进行处理。请求的流量分发与负载均衡器所绑定的后端主机组配置的分配策略类型相关。 分配策略类型 加权轮询算法：根据后端主机的权重，按顺序依次将请求分发给不同的主机。它用相应的权重表示主机的处理性能，按照权重的高低以及轮询方式将请求分配给各主机，权重大的后端主机被分配的概率高。相同权重的主机处理相同数目的连接数。常用于短连接服务，例如HTTP等服务。 加权最少连接：最少连接是通过当前活跃的连接数来估计主机负载情况的一种动态调度算法。加权最少连接就是在最少连接数的基础上，根据主机的不同处理能力，给每个主机分配不同的权重，使其能够接受相应权值数的服务请求。常用于长连接服务，例如数据库连接等服务。 源IP算法：将请求的源IP地址进行一致性Hash运算，得到一个具体的数值，同时对后端主机进行编号，按照运算结果将请求分发到对应编号的主机上。这可以使得对不同源IP的访问进行负载分发，同时使得同一个客户端IP的请求始终被派发至某特定的主机。该方式适合负载均衡无cookie功能的TCP协议。

产品优势 灵活弹性：生物信息仿真任务具备较高的资源弹性需求，天翼云EHPC可提供自动弹性扩缩容能力，根据任务的提交、完成情况自动扩容、缩容节点，降低使用成本。 缓存加速：生信数据库文件大，并且涉及到反复的IO操作，对共享存储性能提出挑战。天翼云使用数据高效压缩和缓存技术，大幅降低对存储的性能要求，提升集群的节点扩展能力。 软件灵活管理：提供软件仓库和容器化能力支持，封装复杂的生信软件和运行环境，结合调度器的批量任务调度能力，大幅提升工作效率。 搭配使用产品 物理机、弹性云主机、云硬盘、对象存储、弹性文件服务、镜像服务、云监控 芯片仿真与验证 场景说明 芯片厂商普遍使用EDA（电子设计自动化）软件完成超大规模集成电路芯片的功能设计、验证等工作。天翼云弹性高性能计算可为EDA前仿真、后仿真、OPC光学邻近校正等多个阶段提供高性能、灵活接入的集群方案。 产品优势 多种算力选型：提供高性能CPU或大容量内存节点，为EDA不同阶段涉及的软件提供最佳的机型配置，提升单节点CPU能力或提升后仿真作业容量，缩短运行周期。 高性能专线接入：EDA场景对数据安全性要求高，且仿真数据一般部署在云下。天翼云提供多种专线接入方案，提供稳定的接入带宽和超低延迟。 资源统一调度：通过将LSF等调度器对接至云上资源，实现云上云下混合集群，满足本地资源不足时的资源溢出需求。

手动备份 手动备份是由用户主动发起的数据库实例备份。手动备份可能是全量备份或增量备份。日志备份不支持手动备份。 用户手动备份选择全量备份则一定是全量备份，如果选择自动判断，则系统会根据备份策略配置进行自动判断，全量备份和增量备份都可能。 定期备份 定期备份不同于自动周期备份，定期备份属于按月自动备份。 定期备份默认关闭，定期备份默认是全量实例备份，即使自动备份打开增量备份开关，也是全量备份，不支持修改。 定期备份开启后，用户可以选择一个或多个每月的某天进行备份，比如用户可以选择每月1号、15号、30号进行备份，如果当月没有所选择的日期，则该次备份跳过，比如2月份没有30号。 定期备份的备份时段与自动备份是时段一致，不支持单独修改定期备份的备份时段，如需修改，则修改自动备份的备份时段即可。 如果定期备份和自动周期备份命中同一天，则该次备份为定期备份，自动周期备份将不再多打一份。 跨地域备份 只有备份空间为对象存储的实例，才支持设置跨地域备份。 目前仅华东1、西南1资源池支持设置跨地域备份。 开启跨地域备份后，则会将当前实例所在资源池的备份复制到另一个跨地域资源池中，即有保存两份备份文件，跨地域备份有一定时延。 跨地域备份并不是新增一种备份类型（比如自动周期备份、定期备份），而是对备份存储新增的一种安全保障机制。

本节介绍漏洞扫描服务主要的应用场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

本节介绍了定时任务的用户指南。 基本概念 定时任务：即kubernetes中的“CronJob”，定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 操作场景 定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 定时任务是基于时间的Job，就类似于Linux系统的crontab，在指定的时间周期运行指定的Job，即：在给定时间点只运行一次。在给定时间点周期性地运行。 CronJob的典型用法如下所示：在给定的时间点调度Job运行。创建周期性运行的Job，例如数据库备份、发送邮件。 前提条件 在创建定时任务前，您需要存在一个可用集群。若没有可用集群，请参照集群开通中内容创建。 操作步骤及说明 创建CronJob与创建Deployment的过程类似，但存在以下的差异，需要注意： 定时任务的执行策略 执行策略：选择CronJob的执行周期，即每隔这个时间周期CronJob就会执行一次 并发策略：CronJob是周期性执行的，那么可能存在一种情形是上一周期中任务还没有执行完，但是已经到了下一个时间周期，并发策略用于设置这种情形下的CronJob怎么执行： 允许：让这两个周期的任务同时存在，并发执行 禁止：下一个时间周期的任务不执行 替换：停止行一个周期的任务，开始执行下一个时间周期的任务 Job参数 用于设置定时任务中任务的参数：

本节介绍了 创建定时任务(CronJob)的用户指南。 基本概念 定时任务：即kubernetes中的“CronJob”，定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 操作场景 定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 定时任务是基于时间的Job，就类似于Linux系统的crontab，在指定的时间周期运行指定的Job，即：在给定时间点只运行一次；在给定时间点周期性地运行。 CronJob的典型用法如下所示： 在给定的时间点调度Job运行。 创建周期性运行的Job，例如数据库备份、发送邮件。 前提条件 在创建定时任务前，您需要存在一个可用集群。若没有可用集群，请参照集群开通中内容创建。 操作步骤及说明 步骤 1 登录容器引擎控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，选择“定时任务”，在右上角单击“创建定时任务”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择定时任务CronJob。工作负载类型的介绍请参见工作负载概述。 负载名称：输入负载的名称，名称长度为1到63个字符，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 命名空间：选择工作负载的命名空间，默认为当前进入的命名空间。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。

主机迁移服务重要声明有哪些？ 具体内容您可请参见免责声明。 迁移源和迁移任务是否有数量限制？ 每用户可激活的迁移源数量上限为1000台; 每用户可创建迁移任务数量为1000个； 每用户可并发执行的迁移任务数量为50台； 每个迁移源同一时刻仅能关联一个未完成状态的迁移任务，未完成状态包括Ready（未开始）、Running（迁移中）、Stopped（已暂停）、InError（出错）和Expired（已过期）。 迁移源绑定是否有限制？ 每迁移源同一时刻仅能绑定一个目标端，对应生成唯一一个“未完成状态”的迁移任务。迁移状态“完成”或“异常”的迁移任务不作为迁移源绑定目标端。 迁移源是否有软硬件、授权限制？ 未授权应用软件、盗版软件、集群数据库、UKey硬件验证以及一些硬件绑定验证都会影响产品的使用。 通过 windows server事件查看器 ，提示因为卷影副本存储增长失败，卷x：的卷影复制被中止如何处理？ 修改卷影创建位置。 1. 打开资源管理器。 2. 选择原卷影盘符右键单击，选择属性。 3. 单击“卷影副本”选项卡, 选择盘符后单击“设置”。 4. 在“存储区域>位于此卷”选择新挂载的磁盘。 5. 在“最大值”选项选择“没有限制”后单击确定。

可用区域 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 访问密钥AK/SK 访问密钥即AK/SK（Access Key ID/Secret Access Key），是用户通过开发工具访问云资源时的身份凭证。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 动态授权 动态授权是授权用户运维操作触发规则集，系统对字符命令或数据库会话操作进行拦截，自动生成授权工单。授权用户若需继续执行操作，需管理员批准工单。 实例审计 云堡垒机实例审计，需开启云审计服务（Cloud Trace Service，简称CTS），实现对CBH实例的操作的记录，CTS管理控制台将保存最近7天的操作记录。 单点登录 单点登录（Single Sign On，SSO）是指在多个独立应用系统环境下，各个应用系统相互信任，在一个应用系统中将用户认证信息映射到其他系统中，多个系统共享用户认证数据。简言之，即用户通过登录一个应用系统，就可以访问其他所有相互信任的应用系统，实现用户单点多系统登录。 安全策略 安全策略是指容器运行时需要遵循的安全规则，如果容器违反了安全策略，系统会在容器运行时通报容器异常。安全策略由用户自定义，包括容器允许运行的进程和容器内只读的文件。

本节主要介绍日报 对前一日实例状态的汇总展示，包括慢SQL分析、全量SQL分析、性能与磁盘分析。支持用户下载和订阅分析报告。建议每天定时对实例进行诊断，以保证实例上业务的正常运转。 操作步骤 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择目标实例，单击“详情”，进入DBA智能运维总览页面。 选择“日报”，进入日报信息页面。 您可以进行如下操作： 单击“下载”，将诊断报告下载到本地查看。 单击“订阅”，系统会将诊断报告直接发送到您输入的邮箱中。 说明 订阅功能开启有如下注意事项： 订阅功能依赖SMN服务。 开启订阅功能后，系统定时触发或用户手动发起诊断并且诊断结果异常时，才会向指定邮箱发送邮件。 单击“发起诊断”对当前实例进行诊断操作。 单击“查看历史诊断报告”，查看历史已经诊断的报告。 在“诊断概览”页面，查看实例的诊断结果。 在“报告分析维度概览”页面，查看诊断支持的维度，包括慢SQL分析、全量SQL分析、性能&磁盘维度的分析。 在“专项分析”页面，您可以选择慢SQL、全量SQL或者性能&磁盘专项，查看详细的情况。

本节介绍服务器安全卫士（原生版）弱口令检测操作指南。 通过与弱口令库对比，检测系统账号和应用账号口令是否属于常用的弱口令，提示用户修改不安全的口令。 Linux系统支持检测系统弱口令和数据库等应用弱口令。 Windows系统仅支持系统账号的弱口令检测。 版本限制 仅企业版、旗舰版支持弱口令检测功能。 执行弱口令检测 弱口令检测提供如下检测方式： 一键检测 如果用户想立即了解服务器当前是否存在弱口令，可以执行“一键扫描”，立即手动检测服务器中的漏洞。 定时检测 用户可以开启“定时扫描”，配置定时检测周期和范围，定期对服务器上存在的弱口令进行自动检测。 一键检测 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 弱口令检测”，进入弱口令检测页面。 3. 单击“一键扫描”，页面右侧弹出一键检测设置窗口。 4. 设置检测参数，参数说明如下。 参数 说明 弱口令分类 支持“应用弱口令”和“系统弱口令”。 设置生效范围 选择检测哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要检测的服务器。 说明 以下服务器不能被选中执行弱口令检测： 使用“免费版”的服务器。 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。 5. 单击“确认”，立刻开始本次弱口令检测。 说明 检测需要一定的时间，请耐心等待，期间您可以切换页面执行其他操作。等待过程中您可以手动刷新页面查看最新检测数据。

本节介绍如何接入安全产品的日志、告警。 开通云安全中心实例后，系统默认会接入部分日志数据并对用户进行初始化配置。您可以根据自己的业务特性修改初始化配置。 在云安全中心的集成配置页面，选择需要接入的日志类型。部分日志支持直接转告警，可以直接打开转告警开关，云安全中心会根据内置转告警规则进行转告警配置。 前提条件 已购买云安全中心实例，具体操作请参见购买云安全中心实例。 已购买天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 在操作列点击“启用”，确保数据源监控处于启用状态。 4. 在左侧导航栏，选择“设置 > 集成配置”，打开数据集成配置页面。 5. 选择需要接入的日志，并打开日志接入开关。 6. 选择需要转告警的日志，并打开自动转告警的开关。 说明 系统默认会接入部分日志，用户如有需要，可以自行关闭。 需要先在数据源监控页面启用开关后，才可以在集成配置页面中开启日志和告警配置。 选择需要接入的日志时，只能针对您已经购买的云产品。 选择需要转告警的日志，只能针对已经选择接入的日志进行。

本章节主要介绍数据仓库服务的告警管理。 概述 告警管理包含查看告警规则、告警规则配置与告警信息订阅功能。其中，告警规则可以提供过去一周的告警信息统计与告警信息明细，方便用户自行查看租户下的告警。该特性除了以默认值的形式提供一套DWS告警最佳实践外，还允许用户根据自己的业务特点，个性化修改告警阈值。告警管理通过消息通知服务（Simple Message Notification，简称SMN）发送DWS 告警通知，用户可订阅告警启用通知。 说明 该特性仅支持8.1.1.200及以上版本的数据库内核。 进入告警管理页面 1.登录DWS 管理控制台。 2.在左侧导航栏，单击“告警管理”，切换至“告警”页签。 3.进入数据仓库告警展示页面。该页面分为三个区域： 存量告警统计 最近7天的存量告警统计值（按告警级别分类），以柱状图的形式展示。用户可通过存量告警统计图，对过去一周告警发生的数量和分布有清晰的了解。 当日告警 当天的存量告警统计值（按级别分类），以列表的形式展示。重点向用户强调当天未处理的告警数量，帮助用户快速掌握目前告警的数量和分布。 告警详情 最近7天的所有告警（包括已处理和未处理）的明细信息，以表格的形式展示。可查看近7天内所有告警的告警名称、告警级别、集群名称、定位信息、详细信息、产生日期、状态等信息，帮助用户快速发现和定位问题。 说明 告警展示页面的数据源来自EventService微服务，该微服务最多可以提供30天的告警缓存数据。

安全专区 云数据库审计组件 型号 性能规格 虚机资源要求 虚机规格选型 安全组件部分 :: 标准价 （月） 标准价 （年） 标准价 （2年） 标准价 （3年） VDAS100 100M 4vCPUs 8GB 系统盘140G 数据盘400G xlarge.2 4vCPUs 8GB 系统盘140G 数据盘400G 2800 28560 47040 50400 VDAS200 200M 4vCPUs 8GB 系统盘140G 数据盘1000G xlarge.2 4vCPUs 8GB 系统盘140G 数据盘1000G 3900 39780 65520 70200 VDAS400 400M 4vCPUs 8GB 系统盘140G 数据盘1500G xlarge.2 4vCPUs 8GB 系统盘140G 数据盘1500G 5200 53040 87360 93600 VDAS600 600M 8vCPUs 16GB 系统盘140G 数据盘2000G xlarge.2 8vCPUs 16GB 系统盘140G 数据盘2000G 6600 67320 110880 118800 安全专区 云堡垒机组件 型号 性能规格 虚机资源要求 虚机规格选型 标准价（月） 标准价（一年85折） 标准价（二年7折） 标准价（三年5折） OSM1000V10 10个资产 2vCPUs 4GB 系统盘300G 2vCPUs 4GB 系统盘300G 1600 16320 26880 28800 OSM1000V20 20个资产 2vCPUs 4GB 系统盘300G 2vCPUs 4GB 系统盘300G 2100 21420 35280 37800 OSM1000V50 50个资产 2vCPUs 4GB 系统盘300G 2vCPUs 4GB 系统盘300G 3000 30600 50400 54000 OSM1000V100 100个资产 2vCPUs 4GB 系统盘300G 2vCPUs 4GB 系统盘300G 4600 46920 77280 82800 OSM1000V200 200个资产 2vCPUs 8GB 系统盘300G数据盘1000G 2vCPUs 8GB 系统盘300G数据盘1000G 7800 79560 131040 140400 OSM1000V300 300个资产 2vCPUs 8GB 系统盘300G数据盘1000G 2vCPUs 8GB 系统盘300G数据盘1000G 10600 108120 178080 190800 OSM1000V500 500个资产 4vCPUs 16GB 系统盘300G数据盘1000G 4vCPUs 16GB 系统盘300G数据盘1000G 13400 136680 225120 241200

静态内容 指用户在一定时间内多次访问某一内容或者多个用户访问某一内容，源站响应返回的数据都是相同的内容。例如：html、css和js文件、图片、视频、软件安装包、apk文件、压缩包文件等。静态内容对全站加速来说是可缓存的，可通过在客户控制台上对相应文件设置一定长度的缓存过期时间来实现缓存。 动态内容 指用户多次访问某一内容或者多个用户访问某一内容，源站响应返回的数据均不相同。例如：.jsp、.asp、.php、.perl、.cgi文件和API接口等，常见于需要数据库查询且会动态变化的场景，例如余票查询，支付信息，动态会话等场景。动态内容一般不可缓存，需要使用全站加速得到加速效果。 缓存Key 缓存Key是一个文件在节点上缓存时唯一的身份ID，每个在节点上缓存的文件都会对应一个缓存Key。通常默认情况下，文件的缓存Key为客户端请求的原始URL（带参数）。通过自定义缓存Key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。功能介绍，详情请见：缓存key设置。 去问号缓存 对于可缓存的文件，节点通常会将用户请求的原始URL作为缓存key。如果原始URL中携带问号后参数，且不同参数实际指向同一份文件时，可以配置开启去问号缓存，此时节点会将问号后参数去掉的内容作为缓存key，以提升缓存命中率，降低回源量。功能介绍，详情请见：缓存过期时间。

本章节主要介绍 ALM27001 DBService服务不可用的告警。 告警解释 告警模块按30秒周期检测DBService服务状态。当DBService服务不可用时产生该告警。 DBService服务恢复时，告警清除。 告警属性 告警ID 告警级别 是否自动清除 27001 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 数据库服务不可用，无法对上层服务提供数据入库、查询等功能，使部分服务异常。 可能原因 浮动IP不存在。 没有主DBServer实例。 主备DBServer进程都异常。 处理步骤 检查集群环境中是否存在浮动IP 。 1. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 >DBService > 实例”。 2. 查看是否有主实例存在。 是，执行步骤3。 否，执行步骤9。 3. 选择主DBServer实例，记录IP地址。 4. 以root用户登录上述IP所在主机，执行ifconfig命令查看DBService的浮动IP在该节点是否存在。 是，执行步骤5。 否，执行步骤9。 5. 执行ping 浮动IP地址命令检查DBService的浮动IP的状态，是否能ping通。 是，执行步骤6。 否，执行步骤9。 6. 以root用户登录DBService浮动IP所在主机，执行以下命令删除浮动IP地址。 ifconfig interface down 7. 在FusionInsight Manager首页，选择“ 集群 > 待操作集群的名称 > 服务 > DBService > 更多 > 重启服务”重启DBService服务，检查是否启动成功。 是，执行步骤8。 否，执行步骤9。 8. 等待约两分钟，查看告警列表中的DBService服务不可用告警是否恢复。 是，处理完毕。 否，执行步骤14。

功能 说明 检查名称 输入基线的检查名称 执行范围 全部主机：主账号可选全部主机，子账号不可选全部主机。（子账号不显示“全部主机”选项） 选择业务组：可选择该账号管辖范围内的业务组。 选择主机：选择该账号管辖范围内的主机 IP，也可手动输入主机IP。 【 说明 】需要先选择检查范围后，才能选择基线规则。选择了检查范围后，将根据所选主机匹配出适用的应用基线，有多少主机缺少账号授权，并提供设置入口。 【提示】例如：您选择的主机中包含20台主机缺少账号授权，点击设置。 基线规则 系统将根据所选主机匹配出适用的基线规则。分为系统基线和应用基线两大类，每类下又细分为CIS 和等保基线，基线可多选。 【 说明 】基线选择后，若为数据库类型应用基线，则提示该规则中是否有需要添加账号授权的基线，若有，则提示，例如：该规则中的60个检查项需要账号授权 目前支持的系统基线有：centos6/7 rhel6/7 ubuntu12/14/16 支持的应用基线有：Apache Apache2 MySQL MongoDB Nginx 定时检查 打开定时检查开关，则可以输入定时表达式，且定时表达式为必填。定时表达式为 crontab 格式，点击“创建并执行”时，需要校验该格式是否正确，校验规则请参考“任务系统》新建作业中 crontab 格式”。 鼠标移动到定时表达式后的 i，则显示定时表达式的输入说明。 关闭定时检查开关，则不可以输入定时表达式。 描述 输入对该基线的描述。

本文将介绍如何在Pod中使用配置项。 背景信息 在Pod中使用配置项是一种实现配置管理的常用方式，它可以应用于多种场景，主要包括以下几个方面： 应用程序配置：配置项可以存储应用程序所需的所有配置信息，例如数据库连接信息、密钥、证书等。这可以使得应用程序在部署时更加简单和灵活，开发人员可以使用配置项来控制应用程序的行为。 环境变量：通过配置项创建的环境变量可以直接注入到容器中，例如在容器中设置数据库的连接信息等环境变量。 命令行参数：通过配置项定义命令行参数可以使得容器镜像更加通用，可以使用不同的参数启动不同的容器实例。 挂载文件：配置项还可以将配置文件存储在其中，并将其挂载到容器内部。这使得容器可以在运行时动态加载配置文件，以更好地适应不同的部署场景。 使用限制 当您在Pod中使用配置项时，为了确保配置项在Pod内正确加载和使用，需要将它们部署到相同的命名空间中。 创建配置项 本次示例配置项configmapdemo包含DATABASEURL和LOGLEVEL两个键值对。具体的YAML示例模板如下所示： YAML apiVersion: v1 kind: ConfigMap metadata: name: configmapdemo namespace: default data: DATABASEURL: mysql://user:password@hostname/dbname APISECRET: bigsecretkey LOGLEVEL: debug 使用配置项定义Pod环境变量 1. 使用配置项的数据定义Pod环境变量。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载 ”，并选择“无状态” 。 5. 在无状态页面中，单击左上角的“新增YAML”。 6. 填写无状态应用对应的YAML配置内容，并使用valueFrom引用配置项中的Value值，从而定义Pod的环境变量。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim ports: containerPort: 80 env: name: DATABASEURL valueFrom: configMapKeyRef: name: configmapdemo key: DATABASEURL name: LOGLEVEL valueFrom: configMapKeyRef: name: configmapdemo key: LOGLEVEL 2. 将配置项的所有Key/Values配置为Pod的环境变量。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群 ”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态”。 5. 在无状态页面中，单击左上角的“新增YAML” 。 6. 填写无状态应用相应的YAML配置内容，并使用envFrom将配置项的所有Key/Values键值对配置为Pod的环境变量。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim envFrom: configMapRef: name: configmapdemo 3. 通过配置项设置命令行参数。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群 ”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态”。 5. 在无状态页面中，单击左上角的“新增YAML” 。 6. 填写无状态应用相应的YAML配置内容，您可以使用环境变量替换语法 $(VARNAME)，将配置项设置为容器中的命令或参数值。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim command: [ "/bin/sh", "c", "echo $(DATABASEURL) $(LOGLEVEL)" ] envFrom: configMapRef: name: configmapdemo

本章节介绍DCS服务与开源Redis服务的差异。 DCS提供单机、主备、集群等丰富的实例类型，满足用户高读写性能及快速数据访问的业务诉求。支持丰富的实例管理操作，帮助用户省去运维烦恼。用户可以聚焦于业务逻辑本身，而无需过多考虑部署、监控、扩容、安全、故障恢复等方面的问题。 DCS基于开源Redis向用户提供一定程度定制化的缓存服务，因此，除了拥有开源服务缓存数据库的优秀特性，DCS提供更多实用功能。 与开源Redis差异 DCS与自建开源Redis的差异说明 比较项 开源Redis DCS Redis ::: 服务搭建 从自行准备服务器资源到Redis搭建，需要0.5~2天。 Redis3.0版本5~15分钟完成创建。 Redis4.0及以上版本，采用容器化部署，8秒完成创建。 版本 深度参与开源社区，及时支持最新Redis的版本。目前支持Redis 3.0、Redis 4.0、Redis 5.0、Redis 6.0版本。 安全 自行保证网络与服务器的安全。 使用云上虚拟私有云与安全组，确保网络安全。 主备与集群多副本、定时备份，确保数据高可靠。 性能 单节点达10万QPS（Query Per Second）。 监控 提供简单的信息统计。 提供30余项监控指标，并支持用户自定义监控阈值和告警策略。 指标类型丰富 常见的外部业务监控和统计：命令数、并发操作数、连接数、客户端数、拒绝连接数等。 常见的资源占用监控和统计：cpu占用率、物理内存占用、网络输入/输出流量等。 常见的关键内部监控和统计：键个数、键过期个数、容量占用量、pubsub通道个数、pubsub模式个数、keyspace命中、keyspace错过。 自定义监控阈值及告警提供基于各项监控制定阈值告警，支持客户自定义，便于及时发现业务异常。 备份恢复 支持。 提供定时与手动备份数据能力，支持备份文件下载到本地。 支持控制台一键恢复数据。 可视化维护缓存参数 不具备，需要自行开发。 web控制台可视化维护。 可在线修改配置参数。 支持在web控制台连接并操作数据。 可扩展性 需要中断服务。首先为服务器调整运行内存，然后调整Redis内存配置并重启操作系统与服务。 提供不中断服务的在线扩容或缩容能力。 规格可根据实际需要，在DCS支持的规格范围内进行扩容或者缩容。

本节介绍DCS Redis4.0和Redis5.0实例的产品规格，包括内存规格、实例可使用内存、连接数上限、最大带宽/基准带宽、参考性能（QPS）等。 实例各项指标如下： 实例已使用内存：您可以通过查看监控指标“内存利用率”和“已用内存”查看实例内存使用情况。 连接数上限：表示允许客户端同时连接的个数，即连接并发数。具体实例的连接数，可查看监控指标“活跃的客户端数量”。 QPS：即Query Per Second，表示数据库每秒执行的命令数。 带宽：您可以查看监控指标“流控次数”，确认带宽是否超过限额。其中，带宽还涉及监控指标“带宽使用率”，该指标仅供参考，可能会出现超过100%的情况，具体原因，可查看带宽使用率指标会超过100%的原因。 说明 Redis 4.0和Redis 5.0实例支持“单机”、“主备”、“Proxy集群”、“Cluster集群”和“读写分离”类型。 支持x86和Arm架构。 单机实例 Redis 4.0和Redis 5.0单机实例产品规格 内存规格 （ GB ） 实例可使用内存 （ GB ） 连接数上限 （默认 / 可配）（个） 基准 / 最大带宽 (Mbit/s) 参考性能 （ QPS ） 产品规格编码 （对应API的 speccode ） 1 1 10,000/50,000 80/80 80,000 x86:redis.single.xu1.large.1 Arm:redis.single.au1.large.1 2 2 10,000/50,000 128/128 80,000 x86:redis.single.xu1.large.2 Arm:redis.single.au1.large.2 4 4 10,000/50,000 192/192 80,000 x86:redis.single.xu1.large.4 Arm:redis.single.au1.large.4 8 8 10,000/50,000 192/192 100,000 x86:redis.single.xu1.large.8 Arm:redis.single.au1.large.8 16 16 10,000/50,000 256/256 100,000 x86:redis.single.xu1.large.16 Arm:redis.single.au1.large.16 24 24 10,000/50,000 256/256 100,000 x86:redis.single.xu1.large.24 Arm:redis.single.au1.large.24 32 32 10,000/50,000 256/256 100,000 x86:redis.single.xu1.large.32 Arm:redis.single.au1.large.32 48 48 10,000/50,000 256/256 100,000 x86:redis.single.xu1.large.48 Arm:redis.single.au1.large.48 64 64 10,000/50,000 384/384 100,000 x86:redis.single.xu1.large.64 Arm:redis.single.au1.large.64

本节主要介绍安全编排的定义和相关概念。 安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。旨在帮助企业和组织的安全团队快速并高效地响应网络威胁，实现安全事件的高效、自动化响应处置。 安全编排的主要功能如下： 剧本管理：内置自动响应的剧本，支持按需定义扩展。 流程管理：绘制流程图响应剧本触发。 实例管理：支持对运行的实例进行监控管理及记录查看。 安全事件自动化响应：对需要处理的安全事件以及可疑事件，通过安全编排实现自动化处置及事件调查。 基本概念说明 在安全编排中，剧本和流程是两个核心元素，它们相互关联、依赖，并协同工作以确保安全运营的有效性和高效性。 剧本 剧本（Playbook）：是安全运营流程在安全编排系统中的形式化表述，它是将安全运营流程和规程转换为机读工作流的过程，剧本是一个预定义的、结构化的响应计划，用于处理特定类型的事件或威胁。剧本详细列出了在某些触发条件（如检测到特定安全事件）下应采取的步骤和操作。 剧本体现了安全防护的逻辑，指示如何调度安全能力。剧本具有灵活性和可扩展性，可以根据实际需求进行修改和扩展，以适应不断变化的安全威胁和业务需求。 一个剧本中有且仅有一个流程。 流程 流程（Workflow）：是将安全运营相关的工具、技术、流程和人员等各种能力整合到一起，形成一种协同工作方式。它由多个相连接的组件构成，流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布，定义每个节点的组件动作。 流程是剧本触发时响应的方式，它负责将剧本中的指令和规程转化为具体的操作和执行步骤。 剧本与流程的联系 剧本提供了安全运营的指导和规则，而流程则负责将这些规则转化为具体的执行步骤和操作。剧本和流程相互依赖，剧本指导流程的执行，而流程则实现了剧本的意图和要求。 剧本与流程的区别 剧本和流程之间也存在一定的区别。首先，剧本更侧重于定义和描述安全运营的流程和规程，它关注的是整体的框架和策略；而流程则更侧重于具体的操作和执行步骤，它关注的是如何将剧本中的要求转化为实际的行动。其次，剧本具有较大的灵活性和可扩展性，可以根据需要进行修改和扩展；而流程则相对固定，一旦设计完成，就需要按照规定的步骤执行。 示例 以一个具体的网络安全事件响应案例为例，当组织遭受到一次网络攻击时，安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后，系统会根据剧本中定义的流程，自动触发相应的安全措施，如隔离被攻击的系统、收集攻击数据、通知安全团队等。在这个过程中，剧本和流程紧密配合，确保安全响应的准确性和及时性。

生命周期管理是指通过配置指定的规则,定期删除桶中的对象或改变对象的存储类别。本文介绍生命周期的使用场景、基本规则和使用方式。 使用场景 生命周期管理可应用于以下典型场景： 定期上传的日志文件可能只需要保留一周或一个月。当它们过期时删除它们。 一些文档在一段时间内被频繁访问，但是在一段时间后可能不再被访问。这些文档需要转换为低频存储、归档存储或在一定时间后删除。 出于存档目的上传到对象存储（简称ZOS）的一些数据类型包括数字媒体存档、财务和医疗记录、原始基因组序列数据、长期数据库备份以及为满足监管要求而必须保留的数据。 一次性删除桶中的大量文件。手动删除对象费时费力，而且有数量限制。在桶中配置一个生命周期管理规则，设置为定期删除所有文件。 对于上述场景中的对象，可以定义标识这些对象的生命周期管理规则，通过这些规则实现对象的生命周期管理。 注意 最多可配置1000条生命周期管理规则，超过1000条则不支持。 低频访问存储的最低存储时间为30天，归档存储的最低存储时间为90天。如果低频的对象转换存储类型后，低频类型的存储时间少于最低存储时间，需要补足剩余天数的存储费用。 对象存储类别转换限制： 支持将标准存储对象转换为低频或归档存储对象，低频或归档存储对象转换为标准存储对象需手动转换。 支持将标准存储或低频访问存储对象转换为归档存储对象。如果要将归档存储对象转换为标准存储或低频访问存储对象，需要手动恢复对象，然后手动转换存储类别。 归档类型不支持多AZ，因此无法使用生命周期规则将多 AZ 存储桶中文件的存储类型转换为归档存储。

批量导入资产访问授权规则 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 资产访问授权”，进入“资产访问授权”页面。 3. 单击“导入”，在弹出的对话框中下载导入模板。 4. 打开模板，配置相关内容。 参数 参数说明 取值样例 基本信息 授权规则名 自定义资产访问授权的规则名称。 Test 基本信息 启用状态 选择授权规则创建完成后的启用状态，可选择“启用”或“禁用”。 启用 登录名 登录名 （可选）填写需要配置访问授权的用户名，用户名请保持和系统中添加用户名保持一致。 登录名 用户组 （可选）填写需要配置访问授权的用户组，用户组请保持和系统中添加用户组名保持一致。 若您填写的用户和用户组存在重合部分，取两者最大的合集。 资产 资产 （可选）填写需要配置访问授权的资产，资产名称请保持和系统中添加的资产名保持一致。 资产 资产组 （可选）填写需要配置访问授权的资产，资产组名称请保持和系统中添加的资产名保持一致。 若您填写的资产和资产组存在重合，默认取最大的合集。 账号 资产账号 （可选）选择资产授权规则中允许使用的资产账号，添加资产账号请参见：资产账号章节。 root 协议 协议 选择该授权规则支持访问的协议，协议可填写：SSH、TELNET、SFTP、FTP、X11、RDP、数据库、VNC。 SSH 授权时间 授权生效日期 选择规则生效的日期，日期填写格式为yyyy/mm/dd。 20231001 授权时间 授权失效日期 选择规则失效的日期，日期填写格式为yyyy/mm/dd。 20241001 授权时间 授权生效时间 填写规则生效的时间段，时间段填写格式为00:00:00。 9:00:00 授权时间 授权失效时间 填写规则失效的时间段，时间段填写格式为00:00:00。 18:00:00 5. 填写完成后，保存文件并上传。

本章节向您介绍什么是安全组与安全组规则。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 您在创建实例时（比如云主机），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组，多个安全组按照优先级顺序依次匹配流量。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。 以下图为例，在区域A内，某客户有一个虚拟私有云VPCA和子网SubnetA，在子网SubnetA中创建一个云主机ECSA，并为ECSA关联一个安全组SgA来保护ECSA的网络安全。 安全组SgA的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECSA。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECSA。 当ECSA需要通过EIP访问公网时，由于安全组SgA的出方向规则允许所有流量从实例流出，因此ECSA可以访问公网。 说明 您可以免费使用安全组资源，当前不收取任何费用。

应用提供服务 因用户访问该应用而产生的数据，例如用户在浏览器中访问该应用。 应用提供服务请求量：筛选时间段内，用户向该应用发起的请求数量。 应用提供服务平均响应时间：响应时间是指从用户发起请求到服务端给予反馈的时长，平均响应时间是筛选时间段内，所有请求的响应时间的平均值。 应用依赖服务 因该应用访问其他服务而产生的数据，例如该应用访问数据库。 应用依赖服务请求量：筛选时间段内，该应用向其他服务发起的请求数量。 应用依赖服务平均响应时间：响应时间是指从该应用发起请求到其他服务给予反馈的时长，平均响应时间是筛选时间段内，所有请求的响应时间的平均值。 应用实例数：筛选时间段内，有调用行为的应用实例数量。 HTTP状态码统计。 5xx：服务器异常，服务器在处理请求的过程中发生错误。 4xx：客户端异常，请求包含语法错误或无法完成请求。 3xx：重定向问题，需要进一步操作。 2xx：成功，服务器成功接收请求并执行。 200：请求成功。 慢调用 该应用访问其他服务时，其他服务响应时间大于等于500ms（默认500ms，可在URL采集设置中修改阈值）的调用，定义为慢调用。显示饼图和详情表，表头显示如下。 时间：判定为慢调用的时间点。 服务名：被调用的服务名称。 IP：被调用的服务的IP地址。 耗时（ms）：具体响应时间。 响应码：200表示请求成功，03表示调用时长超过最大监听时长15秒。 TraceID：Trace表示一个完整的请求链路，一个Trace包含了多个调用过程span，TraceID是该请求链路的唯一标识。

本文为您介绍已过期备份集的相关功能。 已过期备份集页面支持汇总所有通过备份规则或备份集复制等产生的过期备份集信息，且支持过期备份集多条件组合搜素，方便对过期备份集进行统一的管理。 1. 已过期备份集列表说明如下： 备份ID：显示该备份集对应的备份ID。 客户端：显示该备份集对应的客户端。 实例名：显示该备份集对应的实例名字，一般仅数据库才显示。 对象：当前版本显示为空，作为后续数据源备份集管理预留字段使用。 备份时间：显示该备份集的备份时间。 过期时间：显示该备份集何时过期（备份时间+保留时间） 状态：显示当前备份集的状态。 文件数量：显示当前备份集的文件数量。 大小：显示备份集的大小。 磁盘池：显示备份集所属的磁盘池名称。 磁带池：显示备份集所属的磁带池名称。 备份规则：现在该备份集对应的备份规则名称。 副本数：显示该备份集的副本数量，当副本数>1时，为超链接形式，可以点击查看该备份集的所有副本。 主副本：显示该备份集是否为主副本，即第一次产生的备份副本。 存储单元：显示该备份集备份时的目标存储单元。 规则类型：显示该备份集对应的规则类型。 备份类型：显示该备份集对应的备份类型。 备份计划：现在该备份集对应的备份计划名称。 备份服务器：显示该备份集所属的备份服务器。 存储介质：显示该备份集对应的存储介质。 磁带条形码：显示该备份集对应的磁带条形码。 备份集清理次数：显示备份集过期清理的次数。 2. 操作列说明如下： 查看：查看备份集详细信息。 3. 操作栏说明如下： 导出：导出备份集过期任务。 删除：删除备份集过期任务。 刷新：刷新当页备份集过期任务。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅企业版云堡垒机支持自动运维功能。 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能。 用户自动化运维可执行的命令和脚本受到命令权限的限制。 新建自动运维策略 1. 使用“管理角色”或“运维角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3. 单击“新增”，开始新增自动运维策略。 4. 在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略。 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式。 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5. 单击“确认”，弹出“验证用户身份”窗口。 6. 在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

使用建议 如果您对您的域名并不是熟悉，不熟悉域名的带宽、流量信息、遭受攻击数量等情况时，建议您在域名接入配置时选择监控模式（推荐模式），或者在网站防护模式中选择告警模式，先观察一段时间（推荐两周）的流量、攻击特征，收集到一定的域名信息特征和攻击日志后结合业务场景选择是否切换到拦截模式。 您可以分析根据以下情况进行调整： 如果攻击日志中未发现正常的业务请求被误拦截，攻击日志内容中记录的都是非法请求的情况下，建议您将域名规则开关切换到拦截模式，开始对您的网站进行域名规则防护。 如果发现攻击日志中存在正常业务流量日志内容，如果您有一定的网站安全基础，您可以手动配置访问控制、关闭误拦截的域名规则等方式减少误报，再切换至拦截模式。 如果发现攻击日志中存在正常业务流量日志内容，您也可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 域名的业务请求中应当注意内容： 在常规的业务请求中，尽量不要直接以原始SQL语句、代码作为参数进行传递，可能会遭受到攻击篡改和域名规则的误拦截，比如/ap1/v1/update?contentselect from t where。 在常规的业务请求中，要注意不要泄露服务器敏感信息(比如直接将含有数据库连接的错误堆栈内容返回浏览器)。服务器敏感信息泄露可能会被攻击者获取用于入侵，同时有服务器敏感信息泄露风险的请求也很可能被安全引擎拦截。 您可以查看您的网站是否会受到此漏洞的影响。如果受到漏洞的影响，可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。

操作步骤 1. 购买数据安全中心DSC。 2. 在左侧导航树中，选择“安全 > 数据安全中心”。 3. 点击左侧导航树中的“资产列表”，单击页面右上角的“云资产委托授权”。 4. 在对象存储OBS资产所在行的“操作”列，单击开启授权。 5. 添加对象存储OBS资产，具体的操作请参见添加OBS资产。 6. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，单击“新建任务”，配置敏感数据的扫描任务。 “数据类型”选择步骤5中添加的OBS资产，其他配置请参见创建敏感数据识别任务。 7. 在左侧导航树中选择“敏感数据识别 > 识别任务”，进入识别任务页面。 8. 单击目标任务“操作”列的“识别结果”查看识别结果。 在页面左上角，识别任务名称选择dsctest、资产类型选择OBS、资产名称选择全部资产，筛选OBS敏感数据识别结果，识别结果如下图所示。 9. 单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框。 在“安全总览”页面查看“数据存储安全”模块，如果风险数据库中存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 在异常告警列表中，根据风险等级查看异常情况，排查是否存在高风险事件。具体操作请参见查看风险行为检测事件详情和查看Access Key泄露检测事件详情。 在OBS控制台，为了解决存在风险的桶或文件，可以修改其读写权限。

本文为您介绍脚本编写最佳实践。 概述 多活容灾服务支持使用 Shell 与 Python2 脚本语言。您可以在数据库或非天翼云云主机上执行这些脚本。 脚本管理提供多种创建方式： 上传本地脚本：直接上传您已有的脚本文件。 手工录入：在平台提供的编辑器中直接编写脚本内容。 克隆现有脚本：基于一个已有脚本快速复制并修改。 脚本功能强大，支持以下高级特性： 定义脚本参数：通过参数化提升脚本的灵活性。 使用系统环境变量：内置平台提供的环境变量。 设计输入与输出：明确脚本的请求参数与返回结果。 设置成功标准：根据返回参数自定义脚本执行成功的判定条件。 使用介绍 一、脚本参数说明 通过定义脚本参数，可以极大增强脚本的灵活性和复用性。单个脚本可作为模板，通过为不同资源配置不同的参数值，轻松适配多种场景，无需重复编写。 脚本参数包含两种类型： 1. 此类参数由多活容灾平台预定义，例如 HostIP、HostPort、HostUser、DBIP 等（共12个）。脚本执行时，平台会自动获取 指定资源的对应信息并注入环境变量，无需用户手动设置。 说明 查看方法：目前支持HostIP、HostPort、HostUser、HostPwd、HostAuthKeyPath、HostOtherUser、HostOtherPwd、DBIP、DBPort、DBName、DBName、DBPwd。具体适用对象和备注等内容可通过左侧菜单栏的“系统环境变量”查看。 2. 用户可根据脚本逻辑自定义所需的参数，每个参数需配置参数名 、参数类型 和参数Key。 参数名：仅为便于管理界面识别和填写，不会在脚本执行过程中出现。 参数Key：脚本执行时实际使用的变量名。 用户自定义参数分为两种用途： 请求参数：作为脚本的输入，在执行前由用户配置具体值，用于初始化脚本中的变量。 返回参数：作为脚本的输出结果，平台将捕获此参数的值，并用于判断脚本执行是否达到用户定义的成功标准。

本文通过图文介绍如何停用域名和删除域名。 背景说明 如果客户的网站因业务变更需要停止CDN加速服务，客户可以通过CDN控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”，且天翼云CDN会立即将加速域名的CNAME解析至不可用地址。 删除域名 对域名进行删除操作后，天翼云CDN会直接删除加速域名在CDN节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至CDN节点，则会响应403。 注意事项 停用CDN加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云CDN入口，调整为解析至其他CNAME或A记录。该调整完成后，客户可以通过CDN加速控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用CDN加速域名 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，选择对应域名，单击【操作】列下的【更多】，可看到【停用】按钮。 4. 单击【停用】按钮，单击【确认停用】。 如您需要删除已停用域名，等待停用域名工单完成后继续按如下删除CDN加速域名的流程进行操作。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能 用户自动化运维可执行的命令和脚本受到命令权限的限制 新建自动运维策略 1.使用“管理角色”或“运维角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3.单击“新增”，开始新增自动运维策略。 4.在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5.单击“确认”，弹出“验证用户身份”窗口。 6.在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。