本节主要介绍删除副本集实例节点 您可以删除不再使用的节点来释放资源。 说明 目前此功能仅支持白名单用户使用，需要提交工单申请才能使用。 使用须知 删除操作无法恢复，请谨慎操作。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《统一身份认证服务用户指南》的内容。 存在异常节点的实例不能执行删除节点操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在服务列表中选择“数据库 > 文档数据库服务DDS”。 登录文档数据库服务DDS控制台 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称。 步骤 4 在“基本信息 > 节点信息”区域，单击“变更备节点”。 节点信息 步骤 5 选择节点数，单击“下一步”。 选择节点数 说明 删除节点即选择节点数时，数量少于当前节点数。例如当前实例节点数是5，删除节点时选择“三节点”。 步骤 6 单击“提交”。 步骤 7 若您已开启操作保护，在“删除节点”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。

本文介绍边缘函数产品相关使用限制。 规格限制 功能 规格限制 说明 ::: 函数个数 20个 单个用户账号允许发布的函数个数 开发语言 JavaScript（ES6） 运行时支持的开发语言，后续会陆续扩展更多语言。 代码包大小 5MB 用户函数代码文件大小上限 CPU运行时间 支持10ms、50ms、100ms 指单次请求运行用户函数的CPU耗时，该耗时不包括等待IO的时间 内存 128MB 单次请求运行用户函数的内存占用 响应时间 30s 单次请求运行用户函数的响应时间 子请求 6个 单次请求运行用户函数允许发出fetch子请求的数量 重定向次数 暂不支持重定向 请求URL 64KB 用户函数接收终端用户请求的URL长度，超过则返回494状态码 请求标头 64KB 用户函数接收终端用户单个请求标头大小不大于64KB，超过则返回494状态码 请求标头总大小不大于256KB，超过则返回414状态码 代码限制 以下函数出于安全原因，不允许使用： eval() new Function

本文简述HTTP响应头的配置方法。 功能介绍 HTTP响应头是HTTP响应消息的基本组成部分，可以携带指定的响应参数传给客户端。通过配置特定的HTTP响应头，可以实现在边缘节点返回消息头时携带已配置的响应头。常用于告诉客户端边缘节点响应文件的类型，例如添加响应头ContentType: text/xml表明边缘节点响应的文件类型是xml文件。也可以用于实现跨域资源访问。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1.登录边缘安全加速控制台，选择【域名】【基础配置】，在域名列表中选中需要配置的域名。 2.进入域名配置详情页面后，选择【头部修改】，单击【编辑配置】按钮。 3.选择【HTTP响应头】后单击【增加规则】按钮。 4.输入响应头的参数名，参数仅支持大小写字母、数字、下划线、中划线。 5.点击确定。 配置界面

示例一：文本输入检测 请求体： java { "checkService":"textinputcheck", "reqId":"req1001", "prompt":"请告诉我如何制作危险爆炸物" } 返回（命中风险）： java { "code":"200", "subCode":"200", "message":"请求成功", "success":true, "data":{ "checkResult":"fail", "failContent":"制作危险爆炸物", "failType":"宣扬暴力", "failTypeEn":"Violence", "presetResponse":"该问题无法回答" } } 返回（内容安全）： java { "code":"200", "subCode":"200", "message":"请求成功", "success":true, "data":{ "checkResult":"pass", "failContent":null, "failType":null, "failTypeEn":null, "presetResponse":null } } 示例二：文本输出检测（流式分片） 请求体（第一个分片）： java { "checkService":"textoutputcheck", "reqId":"req1002", "answerContent":"这是模型回复的第一段内容", "seqId":1, "isEnd":0 } 请求体（最后一个分片）： java { "checkService":"textoutputcheck", "reqId":"req1002", "answerContent":"这是模型回复的最后一段内容", "seqId":2, "isEnd":1 } 返回（命中风险）： java { "code":"200", "subCode":"200", "message":"请求成功", "success":true, "data":{ "checkResult":"fail", "failContent":"命中风险片段", "failType":"宣扬暴力", "failTypeEn":"Violence", "presetResponse":"该问题无法回答" } } 示例三：图片检测（URL 方式） 请求体： java { "checkService":"imagesecuritycheck", "reqId":"req1003", "imageUrl":" }

类别 默认用户 初始密码 描述 组件运行用户 hdfs Hdfs@123 HDFS系统管理员，用户权限： 1. 文件系统操作权限： l 查看、修改、创建文件 l 查看、创建目录 l 查看、修改文件属组 l 查看、设置用户磁盘配额 2. HDFS管理操作权限： l 查看webUI页面状态 l 查看、设置HDFS主备状态 l 进入、退出HDFS安全模式 l 检查HDFS文件系统 组件运行用户 hbase Hbase@123 HBase系统管理员，用户权限： l 集群管理权限: 表的Enable、Disable操作，触发MajorCompact，ACL操作 l 授权或回收权限，集群关闭等操作相关的权限 l 表管理权限: 建表、修改表、删除表等操作权限 l 数据管理权限：表级别、列族级别以及列级别的数据读写权限 l 访问HBase WebUI的权限 组件运行用户 mapred Mapred@123 MapReduce系统管理员，用户权限： l 提交、停止和查看MapReduce任务的权限 l 修改Yarn配置参数的权限 l 访问Yarn、MapReduce WebUI的权限 组件运行用户 spark Spark@123 Spark系统管理员，用户权限： l 访问Spark WebUI的权限 l 提交Spark任务的权限

本章主要介绍翼MapReduce的配置Kafka数据传输加密功能。 操作场景 Kafka客户端和Broker之间的数据传输默认采用明文传输，客户端可能部署在不受信任的网络中，传输的数据可能遭到泄漏和篡改。 操作步骤 默认情况下，组件间的通道是不加密的。用户可以配置如下参数，设置安全通道为加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > Kafka > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后应重启对应服务使参数生效。 Kafka服务端的传输加密相关配置参数详见下表。 配置项 描述 默认值 ssl.mode.enable 是否开启SSL对应服务。如果设置为“true”，那么Broker启动过程中会启动SSL的相关服务。 false security.inter.broker.protocol Broker间通信协议。支持PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL这四种协议类型。 SASLPLAINTEXT “ssl.mode.enable”配置为“true”后，Broker会开启SSL、SASLSSL两种协议的服务，然后服务端或者客户端才能配置相关的SSL协议，进行传输加密通信。

本文主要介绍账号密码忘记时该如何找回。 当用户忘记密码时，可通过账号登录页面点击“忘记密码”进行重置密码。 操作流程 1、进入天翼云官网，在账号登录页面点击右下角的“忘记密码”。 2、选择找回方式，根据提示操作，完成密码重置。 方式一：通过邮箱找回 （1）填写邮箱，验证码会通过邮箱发送。 （2）验证通过后，设置新的登录密码。 注意 邮箱需在“账号中心安全设置”中完成邮箱验证后，方可接收验证码。若邮箱未验证激活，请通过手机号找回密码。 方式二：通过手机号找回 （1）填写手机号，验证码会通过手机发送。 （2）验证通过后，设置新的登录密码。 注意 若手机注册过多个天翼云账号，需先选择要找回的天翼云账号，并补充完整邮箱才可设置新密码。 特殊情况说明 如手机号/邮箱找回均不可用，您可拨打客服热线获取帮助。客服热线：4008109889

本章节主要介绍如何创建KafkaSSL类型跨源认证。 操作场景 通过在DLI控制台创建的KafkaSSL类型的跨源认证，将Kafka的认证信息存储到DLI，无需在SQL作业中配置帐号密码，安全访问Kafka实例。 说明 MRS Kafka开启Kerberos认证，未开启SSL认证时，创建Kerberos类型的认证。建表时通过krbauthname关联跨源认证。 MRS Kafka开启Kerberos认证，同时开启了SSL认证时，需要同时创建Kerberos和KafkaSSL类型的认证。建表时分别通过krbauthname和sslauthname关联跨源认证。 MRS Kafka未开启Kerberos认证，仅开启了SASL认证时（例如使用帐号密码认证PlainLoginModule场景），无需使用跨源认证。 MRS Kafka未开启Kerberos认证，仅开启了SSL认证时，创建KafkaSSL类型的认证。建表时通过sslauthname关联跨源认证。 MRS Kafka未开启Kerberos认证，开启了SASL认证和SSL认证时，创建KafkaSSL类型的认证。建表时通过sslauthname关联跨源认证。 操作步骤 1. 下载认证凭证。 DMS Kafka a.登录DMS Kafka控制台，单击实例名称进入详情页面。 b.在连接信息中，找到SSL证书，单击“下载”。 解压下载的kafkacerts压缩包，获取client.jks和phyca.crt文件。 MRS Kafka a.登录MRS Manager界面。 b.选择“系统 > 权限 > 用户”。 c.单击“更多 > 下载认证凭据”，保存后解压得到Truststore文件。 2. 上传认证凭证到OBS桶。 3. 创建跨源认证。 a.登录DLI管理控制台。 b.选择“跨源管理 > 跨源认证”。 c.单击“创建”。 填写Kafka认证信息，详细参数说明请参考下表。 参数说明 参数 参数说明 类型 选择KafkaSSL。 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 Truststore路径 上传SSL Truststore文件的OBS路径。 MRS Kafka请填写Truststore.jks文件的OBS路径。 DMS Kafka请填写client.jks文件的OBS路径。 Truststore密码 truststore密码。 Keystore路径 上传SSL KEYSTORE(密钥和证书)文件的OBS路径。 Keystore密码 keystore(密钥和证书)密码。 Key密码 keystore中的私钥密码。 4. 访问开启SASLSSL认证的Kafka。 跨源认证创建成功后，在创建访问数据源时只需关联跨源认证即可安全访问数据源。

本页介绍了关系数据库MySQL版如何设置SSL数据加密。 关系数据库MySQL版设置SSL数据加密指引如下。 操作场景 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 前提条件 只有数据库状态为运行中的实例才可以执行设置SSL数据加密。 操作步骤 开启SSL加密 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 选择数据安全 二级目录，选择SSL加密页签，点击SSL设置按钮。 若开关关闭，单击图标，在提示框中，单击确定，开启SSL加密。 5. 单击服务器证书右侧的下载证书，下载ca.pem。 6. 将根证书（ca.pem）上传到ECS（弹性云主机）或本地机器。 7. 在ECS或本地机器上执行以下命令连接MySQL实例。 a. mysql h P u p sslca 参数 说明 1.如果在关系数据库MySQL版同资源池同vpc下开通了ECS主机，通过ECS主机连接数据库，则hostName为连接地址。 2.如果在关系数据库MySQL版同个资源池下未开通ECS主机，则需要绑定弹性IP，hostName为目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 b. 使用root用户SSL连接数据库实例，示例如下： mysql h P 13049 u root p sslcaca.pem 8. 出现如下提示时，输入数据库帐号对应的密码： Enter password:

DMS提供基础版和企业版，通过灵活配置系统角色/团队可支撑企业多样的管控和协作需求。本文将介绍版本选择和角色/团队配置的最佳实践。 基础版 vs. 企业版选择 DMS包括基础版和企业版，基础版和企业版主要区别如下： 基础版适合个人开发者或数据库松散管理的小型企业，用户可自由操作数据库，数据安全由数据库内核来保障。 企业版则适合对数据安全、稳定性、规范性有较高要求的企业，提供高级协作特性，包括列级粒度的数据权限管理、SQL规范、工单审批、风险管控等高阶功能，从而保障数据安全、稳定和支持更复杂的协作需求。 企业版角色/团队配置推荐 小规模团队最佳实践 适用人数：数据库用户规模20人以内。 对于开发和管理人员数量较少的小微型企业（DMS用户20人以下），通常用户更关注开发和协作的效率，推荐的配置如下： 团队使用：只需使用公共团队，所有用户默认均会加入自动创建的公共团队，无需额外创建其他团队。 角色使用：只需使用超级管理员和普通用户2个角色，其中超级管理员负责用户管理和实例管理，普通用户在被授权后直接使用实例。主账号在访问DMS后会自动创建组织，且自动成为该组织的唯一超级管理员，子账号访问默认成为普通用户，因此无需单独创建及维护用户角色。 实例管理：超级管理员直接在公共团队下添加和管理实例。 权限分配：超级管理员为其他成员分配必要的数据权限，包括实例、库、表的查询、导入导出及变更权限，确保他们能够执行所需的操作。普通用户也可通过提交权限工单申请所需权限。 协作：普通用户提交的工单，均由超级管理员审批，简化流程。

本节介绍如何在数据探索页面查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。 前提条件 完成数据库资产委托授权，并添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 数据探索”，进入“数据探索”页面。 5. 左上角单击下拉框选择展示模式： “数据库” “数据模式” “数据表” “数据列” 6. 单击数据库名称，进入数据库详情页面。您可以对数据库、数据表以及数据视图等添加描述、标签、密级和分类等。 单击“重新分析”，进行密级自动分析，根据敏感数据识别对数据库列标记的密级等级，分析出库表的密级。 7. 查看数据库详细信息。 选择“表信息”页签： 1. 单击表名称查看表详情。 2. 单击数据库名称返回上级页签。 3. 选择“表信息”页签，勾选表，单击左上角的“标识”添加表标识。 4. 单击给表添加分类、密级、标签和描述等信息。 选择“视图信息”： 1. 单击视图名称查看视图详情。 2. 单击数据库名称返回上级页签。 3. 选择“视图信息”页签，勾选视图，单击左上角的“标识”添加视图标识。 4. 单击给视图添加分类、密级、标签和描述等信息。 选择“schema信息”页签： 1. 勾选schame，单击左上角的“标识”添加列标识。 2. 单击给列添加分类、密级、标签和描述等信息。

服务名称 如何使用 对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时，数据会在服务端加密成密文后安全地存储在对象存储服务中；用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。对象存储服务支持KMS托管密钥的服务端加密方式（即SSEKMS加密方式），该加密方式是通过KMS提供密钥的方式进行服务端加密。 在创建云硬盘时，用户启用云硬盘的加密功能，系统将使用用户主密钥产生的数据密钥对磁盘进行加密，则在使用该云硬盘时，存储到云硬盘的数据将会自动加密。 用户通过外部镜像文件创建私有镜像时，可启用私有镜像加密功能，选择KMS提供的用户主密钥对镜像进行加密。 用户通过弹性文件服务创建文件系统时，选择KMS提供的用户主密钥对文件系统进行加密，当使用该文件系统时，存储到文件系统的文件将会自动加密。 在购买数据库实例时，用户启用数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。 在购买文档数据库实例时，用户启用文档数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对文档数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。

服务名称 如何使用 对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时，数据会在服务端加密成密文后安全地存储在对象存储服务中；用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。对象存储服务支持KMS托管密钥的服务端加密方式（即SSEKMS加密方式），该加密方式是通过KMS提供密钥的方式进行服务端加密。 在创建云硬盘时，用户启用云硬盘的加密功能，系统将使用用户主密钥产生的数据密钥对磁盘进行加密，则在使用该云硬盘时，存储到云硬盘的数据将会自动加密。 用户通过外部镜像文件创建私有镜像时，可启用私有镜像加密功能，选择KMS提供的用户主密钥对镜像进行加密。 用户通过弹性文件服务创建文件系统时，选择KMS提供的用户主密钥对文件系统进行加密，当使用该文件系统时，存储到文件系统的文件将会自动加密。 在购买数据库实例时，用户启用数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。 在购买文档数据库实例时，用户启用文档数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对文档数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

本章节介绍如何创建一个 Nacos引擎实例 概述 Nacos引擎包括配置中心和注册中心，提供动态配置、服务发现和服务健康监测等简单易用的特性，经过实践检验具备高性能和高可用性，帮助用户管理配置、注册和发现微服务，更加快捷方便地构建、交付和管理微服务平台。 为了方便您开通实例，从天翼云官网控制中心> 微服务工具与平台 > 微服务引擎MSE，点击进入产品页面，点击左侧菜单栏的注册配置中心>实例列表，进入注册配置中心控制台。本文将介绍如何创建一个Nacos引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”或“企业版”，推荐您开通集群版或企业版，以保障实例的高可用性，企业版目前支持通过白名单方式开放订购，若您需要订购使用，请联系客户经理或提工单进行解决。 引擎类型：若您需要开通Nacos引擎，则选中“Nacos”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本章节主要介绍如何使用Python第三方库PyGreSQL连接集群。 用户在创建好数据仓库集群后使用PyGreSQL第三方库连接到集群，则可以使用Python访问DWS ，并进行数据表的各类操作。 连接集群前的准备 DWS 集群已绑定弹性IP。 已获取DWS 集群的数据库管理员用户名和密码。 注意 由于MD5算法已经被证实存在碰撞可能，已严禁将之用于密码校验算法。当前DWS 采用默认安全设计，默认禁止MD5算法的密码校验，可能导致开源客户端无法正常连接的问题。建议先检查一下数据库参数passwordencryptiontype参数是否为1，如果取值不为1，需要修改，修改方法参见《用户指南》的“修改数据库参数”章节；然后修改一次准备使用的数据库用户的密码。 说明 当前DWS出于安全考虑，已经默认不再使用MD5存储密码摘要了，这将导致使用开源驱动或者客户端无法正常连接数据库。需要您调整一下密码策略后再创建一个新用户或者对老用户做一次密码修改，方可使用开源协议中使用的MD5认证算法。 数据库中是不会存储您的密码原文的，而是存储的密码的HASH摘要，在密码校验时与客户端发来的密码摘要进行比对（中间会有加盐操作）。故当您改变了密码算法策略时，数据库也是无法还原您的密码，再生成新的HASH算法的摘要值的。必须您手动修改一次密码或者创建一个新用户，这时新的密码将会采用您设置的HASH算法进行摘要存储，用于下次连接认证。 已获取DWS 集群的公网访问地址，含IP地址和端口。具体请参见 获取集群连接地址。 已安装PyGreSQL第三方库。 说明 CentOS、Redhat等操作系统中使用yum命令安装，命令为：yum install PyGreSQL。 PyGreSQL的使用依赖于PostgreSQL的libpq动态库（32位的PyGreSQL对应32位的libpq，64位的PyGreSQL对应64位的libpq），Linux中可以依赖yum命令解决。在Windows系统使用PyGreSQL需要先安装libpq，主要方式有两种： 1.安装PostgreSQL，并配置libpq、ssl、crypto动态库位置到环境变量PATH中。 2.安装psqlodbc，使用PostgreSQL ODBC驱动携带的libpq、ssl、crypto动态库。

本节主要介绍数据库连接类问题。 如何创建和连接弹性云主机 创建弹性云主机，请参见《弹性云主机快速入门》中的“创建弹性云主机”内容。 该弹性云主机用于连接GeminiDB Influx的实例，需要与目标实例处于同一虚拟私有云和子网内。 正确配置目标实例安全组，使得弹性云主机处于目标实例所属安全组允许访问的范围内。 连接弹性云主机，请参见《弹性云主机快速入门》中的“登录弹性云主机”内容。 GeminiDB Influx实例购买成功后是否支持更换VPC GeminiDB Influx实例创建完成后暂不支持直接通过控制台更换VPC。 但您可以通过已有的全量备份恢复到新实例的方法切换到目标VPC。具体操作请参考恢复备份到新实例。 如何通过本地连接GeminiDB Influx 目前GeminiDB Influx提供使用内网、公网、程序代码等方式接入GeminiDB Influx，具体方法请参见连接方式介绍。 如何通过Grafana连接GeminiDB Influx Grafana是一个跨平台、开源的数据可视化平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。 本小节主要介绍通过Grafana连接GeminiDB Influx的方法。 操作步骤 1. 服务端启动Grafana后，通过浏览器访问： 说明 上述IP可以是云上服务器的弹性IP，也可以是本地自建服务器的IP地址。 2. 登录Grafana的首页。 图 登录Grafana首页 3. 创建数据源。 图 创建数据源 4. 选择“InfluxDB”。因为GeminiDB Influx完全兼容InfluxDB。 图 选择InfluxDB 5. 配置参数。 图 配置参数 表 参数信息说明 参数名称 说明 URL URL的格式为： Auth 打开选项“Basic auth”和“skip TSL Verify”。 Basic Auth Details User：rwuserl Password：购买GeminiDB Influx数据库实例时设置的密码。 InfluxDB Details Database：已创建的数据库名称，例如：telegraf。l User：rwuserl Password：购买GeminiDB Influx数据库实例时设置的密码。 6. 单击“save”。 7. 连接成功后您就可以根据业务需求创建相应的数据看板。

本文介绍如何使用pgAdmin创建表。 在RDSPostgreSQL中，通过SQL创建表，如无特别指明，表会默认创建在该database名为public的schema下；而通过pgAdmin创建时，一般情况下，创建好的database会有一个public schema，创建表时则需要特别指明schema。 前提 已经通过pgAdmin连接RDSPostgreSQL实例并添加至Servers。 创建Schema 1. 双击数据库连接Server并打开database菜单栏，选择指定的database并单击以展开属于该database的菜单栏。 2. 单击Schema选项并右键，点击Create > Schema... ，以打开schema创建框，如图所示： 3. schema的创建框与各栏信息如下： General：基本信息，包括schema名与拥有者，默认拥有者为启动数据库连接的用户，必填项。 Security：权限配置，包括权限授予与安全标签，非必填项。 Default Privileges：默认权限，包括表、序列、函数、类型的默认权限，非必填项。 SQL：创建SQL，用户通过前面几项填写后自动生成的创建schema的SQL，无法填写与修改。 点击保存，若无报错即为创建schema成功。 创建表 单击点开schema，下拉菜单栏，点击Create > Table... 以打开Table创建框，如图所示： General：基本信息，包括表名、拥有者、Schema、Tablespace、是否为分区表，默认拥有者为启动数据库连接的用户，必填项。 Columns：列，该处设置此表各列，包括列名、数据类型、数据长度、精度、是否为空、是否为主键、默认值，也可以选择继承于某表。 Advanced：高级选项，包括是否设置RLS、是否强制设置RLS、是否直接通过自定义Type来创建表等选项，均为非必选项。 Constraints：约束项，例如设置主键、外键与校验等，根据自身需要设置即可，非必填项。 Partitions：分区表配置，可以在此配置分区表属性，非必填项。 Parameters：表参数，主要包括表Vacuum与表年龄限制，非必填项。 Security：权限配置，包括权限授予与安全标签，非必填项。 SQL：创建SQL，用户通过前面几项填写后自动生成的创建database的SQL，无法填写与修改。 点击Save保存，若无报错，即表明创表成功。

迁移过程中对源端是否会有影响，是否会中断业务？ 主机迁移服务迁移过程中对源端的影响主要体现在网络方面，而对cpu、内存等其他资源影响较小，不会对现有业务产生中断。 因迁移数据量通常比较大，所以会比较消耗带宽资源，迁移前建议评估当前带宽及现有业务对带宽的占用情况，合理分配带宽资源给主机迁移服务。 如何获取天翼云账号的AK/SK？ 访问密钥即AK/SK（AccessKey ID/Secret AccessKey），是您在天翼云的长期身份凭证，您可以通过访问密钥对天翼云API的请求进行签名。天翼云通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。 创建迁移任务时，需要填写您的访问密钥即AK/SK以便进行鉴权。 获取天翼云账号AK/SK方式如下：天翼云官网控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。 如何获取IAM用户的AK/SK？ 创建迁移任务时，需要填写您的访问密钥即AK/SK以便进行鉴权。基于权限最小化原则，为了保证您账号中的资源安全，建议您在天翼云账号中创建IAM用户，授予IAM用户对应的权限后，使用IAM用户创建AK/SK。本节介绍了为天翼云账号创建IAM用户并获取AK/SK的方法。 1. 创建用户组并授权 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略，参见SMS自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 在IAM控制台创建IAM用户。 3. 给IAM用户授权。将创建的IAM用户，加入步骤1中创建的用户组。 4. 使用创建的IAM用户登录天翼云控制台。 5. 参考访问密钥，控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。获取IAM用户的AK/SK。

本章介绍如何通过IAM创建用户并授权的方法。 创建用户并授权使用SMS 本章节为您介绍对IAM用户授权的方法。 管理员帐号拥有SMS迁移所需要的所有权限，使用管理员帐号进行迁移时，不需要进行授权。如果您需要对您所拥有的SMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用SMS。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将SMS委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 前提条件 给用户组授权之前，请您了解用户组可以添加的SMS权限，并结合实际需求进行选择，SMS支持的系统权限，请参见：SMS系统权限。若您需要对除SMS之外的其它服务授权，IAM支持服务的所有权限请参见权限策略。 示例流程 操作步骤 1. 创建用户组并授权： 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 创建用户并加入用户组，在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“迁移>主机迁移服务”，进入主机迁移服务界面，在迁移服务器列表页面找到待迁移的服务器，在“目的端”列下单击“设置目的端”，设置目的端服务器。若可以设置目的端服务器，表示授予的权限已生效。 在“服务列表”中选择除主机迁移服务和依赖服务外的任一服务，若提示权限不足，表示授予的权限已生效。

资产是指系统需要审计管理的数据库系统、网站等信息系统。 添加资产后，系统可对资产进行安全审计。 添加资产 添加资产包括单个添加和批量导入两种方式。 1. 在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面，选择“资产管理”页签，单击“添加”。 2. 在弹出的“添加资产”窗口编辑相关信息。参数填写规则可参见下表。 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则。 不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 设置资产类型，包括关系型、非关系型、大数据、图形、全文、文档、键值、其他、天翼云RDS等。 说明 若添加天翼云RDS资产，还需要在“系统管理 > 日志采集方式”中开启接收天翼云RDS日志。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 操作系统 设置资产所在主机的操作系统。 IP端口 设置资产所在主机的IP及端口号。 说明 本地运维行为审计是指通过安装本地Agent捕获本地数据库客户端程序中实际响应的SQL指令，实现对本地运维人员数据库操作行为的审计，支持Oracle、PostgreSQL、MySQL、SQL Server等主流数据库。 当使用本地运维行为审计方式时，需要添加回环IP地址127.0.0.1和端口号，端口号需根据数据库类型进行填写。 如果使用的IP类型为IPv6，IP地址需填写为“::1”。 3. 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。参数填写规则可参见下表。 参数 参数说明 流量方向 单向审计：审计内容包括请求信息、客户端信息、服务端信息，不包括返回结果集。 双向审计：审计内容包括请求信息、客户端信息、服务端信息、返回结果集。 保持行数 取值范围：0~999，0表示不保存返回结果。最大保存内容为64KB。 最大保存长度 取值范围：1~64KB，确保整行显示。 解密私钥 加密协议导入解密私钥，目前支持MySQL、SQL Server、HTTPS加密解析，证书支持导入和编辑两种方式。 证书密码 安全证书的密码。 4. 配置完成后，单击“保存”即可完成资产添加。 说明 资产添加之后，需要确认部署模式。若选择流量代理模式，需要部署Agent程序才能完成数据库审计。

检查备集群HBase服务状态 4.登录主集群FusionInsight Manager界面，选择“运维 > 告警 > 告警”。 5.在告警列表中单击该告警，从完整的告警信息中的“定位信息”处获得“主机名”。 6.以omm用户进入主集群HBase客户端所在节点。 如果集群采用了安全版本，要进行安全认证，然后使用hbase用户进入hbase shell界面。 cd /opt/Bigdata/client source ./bigdataenv kinit hbaseuser 7.执行 status 'replication', 'source' 命令查看故障节点的容灾同步状态。 节点的容灾同步状态如下： 101010153: SOURCE: PeerIDabc, SizeOfLogQueue0, ShippedBatches2, ShippedOps2, ShippedBytes320, LogReadInBytes1636, LogEditsRead5, LogEditsFiltered3, SizeOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp0, TimeStampsOfLastShippedOpMon Jul 18 09:53:28 CST 2016, Replication Lag0, FailedReplicationAttempts0 SOURCE: PeerIDabc1, SizeOfLogQueue0, ShippedBatches1, ShippedOps1, ShippedBytes160, LogReadInBytes1636, LogEditsRead5, LogEditsFiltered3, SizeOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp16788, TimeStampsOfLastShippedOpSat Jul 16 13:19:00 CST 2016, Replication Lag16788, FailedReplicationAttempts5 eOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp0, TimeStampsOfLastShippedOpMon Jul 18 09:53:28 CST 2016, Replication Lag0, FailedReplicationAttempts0 SOURCE: PeerIDabc1, SizeOfLogQueue0, ShippedBatches1, ShippedOps1, ShippedBytes160, LogReadInBytes1636, LogEditsRead5, LogEditsFiltered3, SizeOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp16788, TimeStampsOfLastShippedOpSat Jul 16 13:19:00 CST 2016, Replication Lag16788, FailedReplicationAttempts5 8.找到“FailedReplicationAttempts”的值大于0的记录所对应的“PeerID”值。 如上步骤中，故障节点“101010153”同步数据到“PeerID”为“abc1”的备集群失败。 9.继续执行listpeers命令，查找该“PeerID”对应的集群和HBase实例。 PEERID CLUSTERKEY STATE TABLECFS abc1 10.10.10.110,10.10.10.119,10.10.10.133:2181:/hbase2 ENABLED abc 10.10.10.110,10.10.10.119,10.10.10.133:2181:/hbase ENABLED 如上所示，/hbase2表示数据是同步到备集群的HBase2实例。 10.在备集群FusionInsight Manager的服务列表中，查看通过步骤9获取的HBase实例运行状态是否为“良好”。 是，执行步骤14。 否，执行步骤11。 11.在告警列表中，查看是否有“ALM19000 HBase服务不可用”告警产生。 是，执行步骤12。 否，执行步骤14。 12.参考“ALM19000 HBase服务不可用”的处理步骤处理该故障。 13.等待几分钟后检查本告警是否恢复。 是，处理完毕。 否，执行步骤14。

DHCP选项名称 描述 域名 云主机实例的主机名后缀，例如ctyun.cn。 DNS域名服务器IP 域名服务器IP。默认使用114.114.114.114、8.8.8.8，部分资源池已经默认使用100.95.0.1，实际情况以控制台展示为准。如果您的业务有特殊需求，您可以自定义指定服务器IP，您最多可以指定4个域名服务器IP。 说明：您需要在安全组和网络ACL（如有）中添加允许访问自定义域名服务器IP的规则，否则可能导致无法解析私有服务。 一般情况下，当配置了多个DNS 服务器时，操作系统通常会按照顺序查询这些服务器来解析域名。它会首先向第一个 DNS 服务器发送请求，如果在第一个服务器上找不到相应的域名解析结果（即没有相应的IP地址），那么系统会继续向下一个 DNS 服务器发送请求，直到找到对应的 IP 地址或者遍历完所有的 DNS 服务器。

物理机提供性能卓越、稳定、安全、便捷的高性能计算服务，可满足多种高性能计算需求，同时避免虚拟化带来的性能损耗，提升计算效率和结果精确性。 规格名称 CPU 内存（GB） 处理器 处理器主频（GHz） 本地磁盘 内网带宽（Gbps） 是否支持挂载云硬盘 physical.s5.2xlarge1 2路28核 512 Intel 6348 2.6 无 25 支持 physical.s5.2xlarge4 2路28核 512 Intel 6348 2.6 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 50 不支持 physical.s5.2xlarge5 2路32核 512 Intel 8378A 3.0 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 50 不支持 physical.s6.2xlarge1.2 2路52核 1024 Intel 8566C 2.6 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 100 不支持 physical.s6a.3xlarge1 2路64核 1536 AMD EPYC 9A84 3.4 系统盘：2480GB（SSD）数据盘：2 3840GB（NVMeSSD） 225 不支持

本节介绍了 通过DAS连接Microsoft SQL Server实例（推荐）的相关内容。 操作场景 通过数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能的管理数据库。关系型数据库服务默认开通DAS连接权限。推荐使用DAS连接实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，在操作列单击“登录”，进入数据管理服务实例登录界面。 您也可以在“实例管理”页面，单击目标实例名称，进入基本信息页面，在页面右上角单击“登录”，进入数据管理服务实例登录界面。 步骤 5 正确输入数据库用户名和密码，单击“登录”，即可进入您的数据库并进行管理。 结束

本章节主要介绍了什么是物理机和物理机产品架构,以及与自建物理机、云主机的功能对比。 天翼云物理机服务（CTDPS，Dedicated Physical Server）是一款兼具弹性云主机和物理机性能的计算类服务，为您及您的企业提供专属独享的物理机服务，为核心数据库、关键应用系统、高性能计算、大数据等业务提供卓越的计算性能以及数据安全，满足核心应用对高性能及稳定性的需求。同时，可实现与弹性云主机混合组网，为用户提供灵活的业务部署方案。 产品架构 天翼云物理机通过和其他服务组合，可以实现计算、存储、网络、镜像安装等功能： 在不同可用区中部署（可用区之间通过内网连接）物理机，部分可用区发生故障后不会影响同一区域内的其他可用区。 可以通过虚拟私有云建立专属的网络环境，设置子网、安全组，并通过弹性公网IP实现外网链接。 通过镜像服务，可以对物理机安装镜像，也可以通过私有镜像批量创建物理机，实现快速部署业务。 通过云硬盘服务实现数据存储，并通过云硬盘备份服务实现数据的备份和恢复。 云监控是保持物理机服务器可靠性、可用性和性能的重要部分，通过云监控，用户可以观察物理机服务器资源。 云备份提供对云硬盘和物理机的备份保护服务，支持基于快照技术的备份服务，并支持利用备份数据恢复服务器和磁盘的数据。

本文主要介绍如何查看弹性网卡基本信息。 操作场景 您可以在控制台查看您所拥有的弹性网卡基本信息，包括名称、ID、类型、所属VPC、绑定的实例及关联的安全组等信息。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在弹性网卡列表页，单击需要查看详情的弹性网卡名称。 其他操作 在弹性网卡详情页可以修改以下信息： 根据页面提示修改弹性网卡名称、服务地址信息、绑定解绑实例等。 设置中止时删除功能： 关闭：系统默认关闭中止时删除功能，当弹性网卡与对应实例解绑，或对应实例被删除时，弹性网卡不会被同步删除，您可以将该弹性网卡绑定至其他实例。 开启：中止时删除功能开启时，解绑实例后将默认删除弹性网卡。

本节介绍了测试连通相关问题与处理方法。 场景排查 1. 排查安全组规则。 2. 排查网络ACL。 3. 排查弹性云主机内部网卡信息。 4. 排查不通端口。 解决方案 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面，在“连接信息”模块查看TaurusDB实例的虚拟私有云。 步骤 5 查看加入分布式事务的TaurusDB或ECS是否有相同VPC。 相同，请查看《虚拟私有云用户指南》中的连接类常见问题排查。 不相同 公网访问：需要通过EIP建立连接。请参考绑定弹性IP为TaurusDB实例绑定EIP。 内网访问：为两个不同的虚拟私有云建立对等连接，实现内网互通。 将ECS的虚拟私有云切换为与TaurusDB相同的虚拟私有云。

本文主要介绍调试事务 新增或修改事务后，可通过调试快速发现语法或配置错误。 前提条件 确保资源组状态为“运行中”。 确保资源组的调试节点上的32001和32002端口在安全组被开启。 确保资源组的调试节点和被压测的应用之间网络互通。 操作步骤 1、 登录性能测试控制台，在左侧导航栏中选择“测试工程”。 2、在待编辑性能测试测试工程所在行，单击编辑事务库。 3、在“事务库”页签中，单击待调试事务后的“调试”。 4、在弹出的对话框中，选择资源组后单击“启动调试”。 5、在“调试日志”页签，查看调试的操作日志。 6、调试完成后，在“结果”页签，查看事务调试的具体内容。 如果调试结果报错，可根据错误日志信息，修改相应的事务请求信息，重新进行调试。

本节介绍如何获取网站cookie值。 如果您的网站除了需要账号密码登录，还有其他的访问机制（例如，需要输入动态验证码），则建议您设置cookie登录方式进行网站漏洞扫描，以便VSS能为您发现更多安全问题。 设置cookie登录方式时需要输入网站的cookie值。 说明 获取cookie值后，在创建扫描任务时，请您保持网站的登录状态，以免cookie失效。 以Google Chrome浏览器为例说明，获取网站（例如，www.example.com）的cookie值的步骤如下： 1. 打开Google Chrome浏览器。 2. 按“F12”，进入浏览器的开发者模式。 3. 在地址栏中输入目标网站地址“www.example.com”。 4. 在调试页面中，选择“Network > XHR” ，如下图所示。 5. 在左侧导航树中，选择一个http请求。 6. 在“Headers”页面的“Request Headers”区域框，获取当前网站页面的“Cookie”字段值。

本节介绍删除/批量删除应急策略。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 策略管理”，进入策略管理页面后选择“策略视图”页签，进入应急策略策略管理页面。 5. 在应急策略管理页面的“策略视图”界面，单击待删除策略所在行“操作”列的“删除”。 6. 如果需要删除多条策略，可以在策略列表中勾选需要删除的策略，并单击列表上方“批量删除”。 7. 在弹出的删除确认框中，确认无误后单击“确定”。操作完成后，参考查看策略，界面无已经删除的策略信息则表示删除策略执行成功。

使用限制 限制内容 限制 单实例系统盘数量 1块 单实例数据盘数量 23块 单块数据盘容量 10GB~32TB，其中1GB 10亿Byte，1TB1万亿Byte，格式化之后的实际容量可能较小 单共享盘挂载实例数量 16台 未挂载实例云盘数量 20块 储存安全 读写稳定性 在同一集群中，您的业务数据以三副本的形式分布存储在集群中，保证读写过程中的数据稳定性。 数据备份 支持使用手动创建或自动创建快照，保护云盘历史数据。同时支持采用虚拟机备份和云盘备份来保护数据，备份需额外购买对象储存资源来存放数据。 数据删除 您删除的数据将无法找回，分布式存储系统中已删除的数据会被完全擦除，如想找回建议提前创建快照。当您释放云盘时，存储系统会销毁源数据，所有数据将无法找回，该云盘对应的物理存储空间会被回收。