本文简要介绍了如何创建组播域。 操作场景 您需要通过创建组播域来划分一个组播网络范围，仅在此组播域内的组播源和组播成员才能发送和接收组播流量。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录管理控制台。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在系统首页， 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面 。 4. 在左侧导航栏，选择“组播”。 5. 进入组播操作页，在界面右侧详情区域单击“创建组播域”。 6. 在创建组播域对话框，根据以下信息进行配置，然后单击“确定”创建完成。 配置项 说明 组播域名称 输入组播域的名称。 组播域来源 选择组播域的来源，支持云间和云内两种方式，只可同时选择一项。 当组播域中存在通过专线从 IDC 机房接入组播源的场景，需要选择云间组播域。 当组播域中的组播源全部都在天翼云内部，不存在组播源为 IDC 机房的场景，需要选择云内组播域。 所属vpc 选择组播域关联的VPC。 成员加入方式 选择组播成员加入组播域的方式，支持动态加入和静态加入。成员动态加入和静态加入只可同时选择一项。 成员动态加入时，根据行情接收者 APP 所使用的 IGMP 版本选择IGMP 协议，IGMPv2、IGMPv3至少选择一个。 云间组播域选择IGMPv3协议时，需填写SSM组地址。SSM组地址默认为232.0.0.0/8，可输入范围格式如225.0.0.0/24225.100.100.0/24，多个IP地址间用“;”隔开。 成员静态加入时，需手动填写组播组地址，目前只支持填写单个地址且不可相同。 描述 输入组播域的描述信息。 注意 1、目前成员静态加入方式只支持云服务器的主网卡。系统将以该网卡的主私网IP地址接收组播流量。 2、一个组播组地址可以添加多个网卡。 3、组播接收云服务器所在的安全组需放通组播源的端口和地址。 4、知名组播地址（224.0.0.0～224.0.0.255，239.0.0.0～239.255.255.255）会做下发限制，暂不允许添加，如您的页面不支持添加知名组播地址的特殊入口，联系工单开放白名单功能。

本章节主要介绍批量管理作业。 操作场景 这里以表/文件迁移的作业为例进行介绍，指导用户批量管理CDM作业，提供以下操作： 作业分组管理 批量运行作业 批量删除作业 批量导出作业 批量导入作业 批量导出、导入作业的功能，适用以下场景： CDM集群间作业迁移：例如需要将作业从老版本集群迁移到新版本的集群。 备份作业：例如需要将CDM集群停掉或删除来降低成本时，可以先通过批量导出把作业脚本保存下来，仅在需要的时候再重新创建集群和重新导入作业。 批量创建作业任务：可以先手工创建一个作业，导出作业配置（导出的文件为JSON格式），然后参考该作业配置，在JSON文件中批量复制出更多作业，最后导入CDM以实现批量创建作业。 操作步骤 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择集群后的“作业管理”。 2.单击“表/文件迁移”显示作业列表，提供以下批量操作： 作业分组 CDM支持对分组进行新增、修改、查找、删除。删除分组时，会将组内的所有作业都删除。 创建作业的第三步任务配置中，如果已经将作业分配到了不同的分组中，则这里可以按分组显示作业、按组批量启动作业、按分组导出作业等操作。 批量运行作业 勾选一个或多个作业后，单击“运行”可批量启动作业。 批量删除作业 勾选一个或多个作业后，单击“删除”可批量删除作业。 批量导出作业 单击“导出”，弹出批量导出页面，如下图。 图 批量导出页面 −全部作业和连接：勾选此项表示一次性导出所有作业和连接。 −全部作业：勾选此项表示一次性导出所有作业。 −全部连接：勾选此项表示一次性导出所有连接。 −按作业名导出：勾选此项并选择需要导出的作业，单击确认即可导出所选作业。 −按分组导出：勾选此项并下拉选择需要导出的分组，单击确认即可导出所选分组。 批量导出可将需要导出的作业导出保存为JSON文件，用于备份或导入到别的集群中。 说明 由于安全原因，CDM导出作业时没有导出连接密码，连接密码全部使用“Add password here”替换。 批量导入作业 单击“导入”，选择JSON格式的文件导入或文本导入。 −文件导入：待导入的作业文件必须为JSON格式（大小不超过1M）。如果待导入的作业文件是之前从CDM中导出的，则导入前必须先编辑JSON文件，将“Add password here”替换为对应连接的正确密码，再执行导入操作。 −文本导入：无法正确上传本地JSON文件时可选择该方式。将作业的JSON文本直接粘贴到输入框即可。

常用的RAID级别 RAID是一种磁盘阵列技术，常用的RAID级别包括RAID 0、RAID 1、RAID 5、RAID 6、RAID 10、RAID 50和RAID 60，每种级别都具有不同的特点和适用场景。 RAID 0 RAID 0采用条带化（Striping）的方式将数据分散到多个硬盘上，以提高存储性能。数据并行操作可以充分利用总线带宽，但没有数据冗余，不具备容错功能，适用于对I/O要求较高但数据安全性要求较低的场景。 RAID 1 RAID 1采用镜像（Mirroring）的方式，每个工作盘都有一个镜像盘，实现数据的完全冗余。数据写入时同时写入镜像盘，读取时可以从工作盘或镜像盘读取。RAID 1具有较高的数据可靠性，但有效容量减少一半，适用于对容错要求较高的场景，如财政、金融等领域。 RAID 5 RAID 5通过循环冗余校验（CRC）和数据分散存储，实现数据的容错和高性能。数据和校验数据分布在RAID的各成员盘上，当某个盘发生故障时，可以通过其他盘上的数据重新构建故障盘的数据。RAID 5适用于大数据量操作和事务处理，提供快速、大容量和合理的容错磁盘阵列。 RAID 6 RAID 6在RAID 5的基础上增加了第二个独立的奇偶校验信息块，提供更高的数据可靠性。即使同时发生两块磁盘故障，数据仍然可用。但相对于RAID 5，RAID 6需要更大的磁盘空间用于奇偶校验，写性能较差。 RAID 10 RAID 10是RAID 0和RAID 1的组合形式，先将多个硬盘分为多组并进行镜像，然后将这些镜像组进行条带化。RAID 10提供了与RAID 1相同的数据安全性和与RAID 0接近的存储性能，适用于兼顾性能和安全性的场景。 RAID 50 RAID 50是RAID 5和RAID 0的组合形式，数据被分区成条带并通过校验位保证数据安全性，校验条带均匀分布在各个磁盘上。RAID 50综合了RAID 5和RAID 0的特点，适用于需要高存储性能和容错能力的场景。 RAID 60 RAID 60是RAID 6和RAID 0的组合形式，数据同样被分区成条带，并通过两个独立的奇偶校验信息块来保证数据的安全性。RAID 60具有较高的数据可靠性和容错能力，适用于对数据安全性要求较高的场景。

云下一代防火墙(CTECFW Extended Capacity Firewall)是专门为云计算环境设计的虚拟化网络安全产品,以虚拟主机形态,提供高性价比的云安全部署方案,为客户提供了下一代防火墙、高可用性 (HA)、入侵防御 (IPS)、病毒过滤 (AV)、服务质量保证 (QoS)、云沙箱、僵尸网络C&C防护、IP信誉等丰富功能。

不同帐号下的弹性云主机内网是不通的。 不同的账号和内网地址之间存在隔离机制，这种隔离机制可以保护用户的数据安全和隐私，避免不同用户之间的数据泄露或恶意攻击。同时也可以避免不同用户之间的网络冲突和干扰，确保每个用户的应用程序和数据在网络传输过程中的安全性和稳定性。

本章节介绍数据库安全退订 产品退订 登录天翼云，进入控制中心数据库安全控制台，点击实例列表右侧“更多退订”，进入退订详情页面。 进入退订申请页面，包含退订须知、退订详情等信息，填写退订原因后，点击“退订”按钮提交即可。

本节介绍如何创建VPC边界防火墙。 VPC边界防火墙能够检测和统计VPC间的通信流量数据，帮助您发现异常流量。开启VPC边界防火墙之前，您需要先创建VPC边界防火墙并关联企业路由器。 前提条件 当前账号下需存在可用的企业路由器。 关于企业路由器的收费，请参见《企业路由器用户指南> 计费说明》。 创建企业路由器请参见《企业路由器用户指南> 创建企业路由器》。 说明 创建时，建议取消勾选“默认路由表关联”和“默认路由表传播”。 创建说明 创建防火墙时为了引流需选择企业路由器和配置IPV4网段。 企业路由器用于引流，选择时需满足以下限制： 没有与其它防火墙实例关联。 需归属本账号，非共享企业路由器。 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 网段用于将流量转发至云防火墙，选择时需注意以下限制： 该网段不可与需要开启防护的私网网段重合，否则会导致路由冲突。 10.6.0.0/1610.7.0.0/16网段为防火墙保留网段，不可使用。 创建VPC边界防火墙 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理> VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。 5. 单击“创建防火墙”，选择企业路由器并配置合适的网段。 企业路由器用于引流，选择时需满足以下限制： 没有与其它防火墙实例关联。 需归属本账号，非共享企业路由器。 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 网段配置后默认创建InspectionVPC将流量转发至云防火墙，并自动分配云墙关联子网，将云防火墙流量转发到企业路由器，选择时需注意以下限制： 创建防火墙后不支持修改网段。 该网段需满足以下条件： 仅支持私网地址段（即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中），否则可能在SNAT等访问公网的场景下产生路由冲突， 10.6.0.0/1610.7.0.0/16网段为防火墙保留网段，不可使用。 不可与需要开启防护的私网网段重合，否则会因路由冲突，导致该网段无法防护。 如果您参数界面如下图所示，则您目前云防火墙版本为旧版，VPC边界防火墙配置请参见“企业路由器模式”。 6. 单击“确认”，需等待35分钟，完成防火墙创建。 创建过程中您只能浏览“概览”页，防火墙的“状态”会变为“升级中”。

本章节主要介绍了如何通过JDBC连接池与DRDS对接，实现数据操作。 应用连接池选择 连接资源是数据库中非常宝贵及有限的资源，应用并发量很大时，如果没有连接池，会占用大量的数据库的连接，导致后端数据库连接不足，无法正常提供服务，我们建议应用使用连接池来完成连接工作。在java中，推荐HikariCP作为应用连接池。 JDBC约束 不支持 rewriteBatchedStatementstrue 参数设置(默认为 false)。 BLOB, BINARY, VARBINARY 字段不能使用 setBlob() 或 setBinaryStream() 方法设置参数 。 操作步骤 1. 在控制台创建表并配置分片规则，参考建表DDL如下。 json create table if not exists enumtable( id int not null, code int not null, content varchar(250) not null, primary key(id) )engineinnodb charsetutf8; 2. 配置依赖。 json com.zaxxer HikariCP 4.0.3 3. 配置JDBC连接池参数。 yaml > 4. 连接DRDS实例执行相关sql。 json import com.zaxxer.hikari.HikariDataSource; import org.springframework.context.ApplicationContext; import org.springframework.context.support.ClassPathXmlApplicationContext; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; public class JDBCTest { public static void main(String[] args) throws SQLException { ApplicationContext app new ClassPathXmlApplicationContext("application.xml"); HikariDataSource dataSource (HikariDataSource) app.getBean("dataSourceHikari"); Connection conn null; try { conn dataSource.getConnection(); //开启事务 conn.setAutoCommit(false); // 插入测试数据 PreparedStatement ps1 conn.prepareStatement("insert into enumtable (id,code,content) values (?,?,?);"); ps1.setInt(1, 1); ps1.setInt(2, 1001); ps1.setString(3, "测试数据"); ps1.executeUpdate(); conn.commit (); //查询条件带上分片键或切片索引键，否则语句将广播执行 PreparedStatement ps2 conn.prepareStatement("SELECT FROM enumtable WHERE id ?"); ps2.setInt(1, 1); ResultSet rs ps2.executeQuery(); rs.next(); String space ""; for (int i 1; i < rs.getMetaData().getColumnCount(); i++) { System.out.print(space + rs.getMetaData().getColumnName(i) + " " + rs.getString(i)); space ", "; } } catch (Exception e) { e.printStackTrace(); } finally { if (conn ! null) { conn.close(); } } } }

本节介绍创建并发云电脑的操作说明。 操作场景 开通多个桌面，每个桌面只属于单个用户。根据并发桌面比例或数量进行相应的资源扣减。但每个桌面只属于单个用户，每次最多可在线使用的桌面数量占总并发桌面数量的一定比例。 并发桌面需通过资源包方式开通，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“桌面池管理”菜单，点击“并发桌面管理”； 3.在并发桌面管理页面，点击“创建桌面池” 4.填写并发桌面名称； 5.选择可用的资源包； 6.根据需求选择需要池化桌面的规格类型“普通AI云电脑”或GPUAI云电脑“； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 7.选择AI云电脑的“镜像类型”； 8.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 9.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 10.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 选择已有桌面：选择已有桌面加入并发桌面池后，桌面规格会调整为当前按共享比例的并发桌面池的桌面规格。 11.选择桌面并发方式“按桌面比例“或”按桌面数量“； 按桌面比例：通过并发比例控制池中最多可同时在线的桌面数量：桌面数量x并发比例可在线桌面数量。 按桌面数量：可手动设定池中最多可同时在线的桌面数量。 12.根据需求选择并发桌面的断连设置、离线桌面优先关机策略； 13.确认相关的配置信息，点击“开通桌面”，即完成并发桌面开通。

资源类型 配置项 配置明细 说明 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。

资源类型 配置项 配置明细 说明 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池。 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。

资源类型 配置项 配置明细 说明 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。

本小节介绍服务器安全卫士的续订。 操作步骤 1. 登录云平台，进入控制中心“服务器安全卫士”界面 2. 点击需要续订订单对应的“续订”按钮，进入续订页面。 3. 选择购买时长，提交订单。 注意 时间只能延长，不能缩短截止日期。

本节主要介绍如何查看事件信息。 操作场景 通过查看事件列表，您可以了解近360天的事件的统计信息列表，列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如事件名称、事件等级和发生时间等，快速查询到相应事件的统计信息。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面。 5. 在事件管理页面上方，查看事件统计情况。 急需处理事件 ：呈现事件等级为致命或高危，且状态为非关闭的事件总数。 超期事件 ：呈现已超过事件设置的计划关闭时间，且还未关闭的事件总数。 事件状态 ：呈现“打开”、“阻塞”、“关闭”状态的事件总数及对应状态下事件数量。 事件数量 ：当前工作空间内的事件总数，以及各个等级对应的事件数量。 6. 在事件列表中，查看事件详细信息。 页面最多可查看9999条事件信息。 参数 说明 事件名称 事件名称。 事件ID 事件对应的ID。 事件等级 事件严重等级，分为以下等级：提示、低危、中危、高危、致命。 类型 事件类型。 状态 事件状态，分为以下状态：打开、阻塞、关闭。 影响资产 受此事件影响的资产。 验证状态 此事件的验证状态，即事件的准确性。分为以下状态：未知、确认、误报。 责任人 此事件的主要责任人。 创建时间 此事件的创建时间。 首次发生时间 此事件首次发生时间。 最近发生时间 此事件最近一次发生的具体时间。 计划关闭时间 此事件的计划关闭时间。 描述 事件的描述信息。 数据源产品名称 事件来源产品的名称。 标签 事件的标签信息 操作 可对事件进行编辑、关闭等操作。 7. 如需查看某个事件详概览，可单击告警名称，页面右侧将展示事件的概览信息。 在事件概览页面可以查看事件的处置建议、基本信息和关联信息（包括关联的威胁指标、告警、事件、攻击信息等）。 如果需要查看事件详情，可以在事件概览页面右下角单击“事件详情”，进入事件详情页面。 在详情页面除了可以查看概览页面的信息外，还可以查看事件的时间线和攻击信息。例如：事件首次发生时间、检测时间、攻击进程ID等。 在事件概览/详情页面可以在事件等级和状态的下拉箭头中修改事件等级、状态。 在事件概览/详情页面可以关联或取消关联告警、事件、情报，还可以查看受影响资产相关信息。

本章主要介绍创建API分组。 创建API前，需要先创建API分组。API分组相当于API的集合，API提供者以API分组为单位，管理分组内的所有API。 目前支持以下创建分组方式： 直接创建 创建一个简单的分组，不包含API，用户可自行创建API。 导入API设计文件 从本地导入已有的API文件，同步创建分组。 说明 对外开放API时，您需要为API分组绑定自己的独立域名。 一个API只能属于某一个API分组。 API分组创建后，系统为分组自动分配一个内部测试用的调试域名，此调试域名每天最多可以访问1000次。 实例创建后，有一个DEFAULT分组，可直接通过虚拟私有云地址调用默认分组中的API。 前提条件 已创建API网关实例。 直接创建 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API分组”。 步骤 4 单击“创建API分组 > 直接创建”，在弹框中填写分组信息。 参数 说明 :: 分组名称 API分组名称，用于将API接口进行分组管理。 描述 对分组的介绍。 步骤 5 单击“确定”，创建完成。 导入API设计文件 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API分组”。 步骤 4 单击“创建API分组 > 导入API设计文件”。 步骤 5 在弹窗中选择本地路径下的API文件，然后单击“打开”导入文件。 步骤 6 填写导入信息。 参数名称 说明 :: 导入方式 导入方式包含以下2种： 生成新的分组：将API定义导入到一个新的分组，导入过程中系统会自动创建一个新的API分组，并将导入的API归属到该分组。 选择已有分组：将API定义导入到一个已有的分组，导入过程中不会删除分组中已有的API，只是将新增的API导入分组。 API分组 仅在选择“选择已有分组”时，需要选择API分组。 是否覆盖 勾选后，当导入的API名称与已有的API名称相同时，导入的API会覆盖已有的API。 仅在选择“选择已有分组”时，需要选择是否覆盖。 扩展覆盖 勾选后，当导入API扩展定义项名称（ACL，流控等）与已有的策略（ACL，流控等）名称相同时，会覆盖已有的策略（ACL，流控等）。 步骤 7 （可选）单击“全局配置(可选)”。 1. 选择安全配置。 2. 选择后端请求配置。 3. 单击“下一步”，支持通过“表单”、“JSON”、“YAML”样式查看配置详情。 4. 确认无误后，单击“提交”，完成配置。 步骤 8 单击“立即导入”，在弹窗中选择是否现在发布API到环境。 步骤 9 单击“确定”，跳转到“API运行”页面，可查看分组下的API。

请在安装Agent前,确认待安装的服务器是否在可支持范围内。本小节介绍服务器安全卫士安装Agent步骤。 前提条件 Agent支持主流64位操作系统，支持的操作系统见产品规格 。 安装方法 登录云平台后， 进入控制中心“服务器安全卫士”，点击订单中的“控制台”，进入服务器安全卫士控制台，选择“通用功能 > 系统设置 > Agent安装”，进入Agent安装界面，选择对应的操作系统，设置主机信息，按安装引导进行安装即可。 注意事项 注意 Linux仅支持命令安装。 Windows支持命令安装、安装包安装、命令+ 安装包安装。 命令安装：可适用于批量安装（直连主机需使用PowerShell组件）。 安装包安装：适用于单台安装，用户可使用操作界面安装。 安装包+命令：适用于批量安装，安装包分发到各主机，批量执行命令。

本文介绍容器安全卫士的计费模式。 计费模式 容器安全卫士当前支持包年/包月计费模式。 支持续订，续订周期为3个月起。关于续订的更多信息请参见续订。 计费项 容器安全卫士根据产品版本 、防护节点数量进行收费。 计费项 说明 产品版本 提供标准版、高级版。不同版本差异请参见[]( 防护节点数量 购买后若需要增加防护节点，可以扩容，详细操作请参见[]( 说明 一个账号支持购买一个包周期实例，实例必须绑定一个主套餐版本，可叠加购买节点。 产品价格 产品标准价格如下： 计费项 标准版（单节点） 高级版（单节点） 主套餐 290元/月 500元/月

资源类型 配置项 配置明细 说明 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。

资源类型 配置项 配置明细 说明 区域 专有网络VPC 区域 西安2 本最佳实践全部资源部署在西安2资源池 区域 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 区域 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 区域 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。

资源类型 配置项 配置明细 说明 区域 区域 上海4 本最佳实践全部资源部署在上海4资源池。 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。

参数 参数类型 说明 示例 下级对象 name String 名称 安全事件按威胁等级分布占比[LOW低危 MEDIUM中危 HIGH高危] 安全事件按事件类型分布占比[VIRUS病毒 WEBTAMPER网页防篡改 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他] LOW count Integer 总数 100 percent String 占比 50.1 表 weakPwRiskInfo

本节介绍如何配置服务器安全卫士（原生版）的告警通知。 配置告警发送人 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 告警通知”，进入告警通知页面。 3. 单击页面右上角的“通知配置”。 4. 在弹出的对话框中，单击“添加”，添加邮箱和手机信息。 说明 首次添加的用户需要验证邮箱及手机，单击图标即可验证邮箱及手机。完成验证后才会发送信息至对应用户。 5. 验证完成后即可正常发送告警通知至相关邮箱或手机号。 配置告警发送内容 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 告警通知”，进入告警通知页面。 说明 服务器安全卫士告警事件存在部分发送限制，具体请您参考告警发送限制章节。 3. 告警通知配置 根据您的使用场景进行告警通知配置。 配置项 说明 告警开关 自定义开启需要通知的事件类型。 告警时间 事件发生时实时发送告警通知。 说明 可根据您业务自身需求选择以下两种发送时间： 8:0020:00 全天 通知方式 通过邮件、短信方式发送告警通知。 告警项 根据威胁等级自定义发送通知。 4. 配置完成后单击“保存配置”，界面弹出“保存告警设置成功”提示信息，则说明告警通知配置成功。

本节介绍如何创建扫描任务。 操作场景 该任务指导用户通过漏洞扫描服务创建扫描任务。 前提条件 已获取管理控制台的登录帐号与密码。 域名的“认证状态”为“已认证”。 如果您的网站设置了防火墙或其他安全策略，将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此，在使用VSS前，请您将以下VSS的扫描IP添加至网站访问的白名单中：114.217.39.79，222.93.127.109 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，单击对应的网站信息“操作”列的“扫描”。 4. 进入创建扫描任务入口，如下图所示。 5. 在“创建任务”界面，请根据下表进行扫描设置，设置后如下图所示。 扫描设置参数说明： 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 开始时间 可选参数，设置开始扫描的时间，不设置默认立即扫描。 扫描策略 三种扫描策略： 极速策略：扫描耗时最少，能检测到的漏洞相对较少。 标准策略：扫描耗时适中，能检测到的漏洞相对较多。 深度策略：扫描耗时最长，能检测到最深处的漏洞。 有些接口只能在登录后才能访问，建议用户配置对应接口的用户名和密码，VSS才能进行深度扫描。 说明 “极速策略”：扫描的网站URL数量有限且VSS会开启耗时较短的扫描插件进行扫描。 “深度策略”：扫描的网站URL数量不限且VSS会开启所有的扫描插件进行耗时较长的遍历扫描。 “标准策略”：扫描的网站URL数量和耗时都介于“极速策略”和“深度策略”两者之间。 是否扫描登录URL 默认不扫描登录URL，开启扫描登录URL前请先评估业务影响。 是否将本次扫描升级为专业版规格 基础版用户开启此功能后，扫描过程中会按需扣费： 鼠标移动至“?”了解升级后影响。 打开此功能时，扫描时会自动升级为专业版按需扣费，关闭该功能时，扫描时不会升级。 扫描项设置 VSS支持的扫描功能参照下表。 ：开启。 ：关闭。 扫描项设置： 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 说明 如果您当前的服务版本已经为专业版，不会提示升级。 基础版支持常见漏洞检测、端口扫描，每日扫描任务上限5个，单个扫描任务时长限制2小时。 专业版支持常见漏洞检测、端口扫描、弱密码扫描，每日扫描任务上限多达60次。 高级版支持常见漏洞检测、端口扫描、弱密码扫描，每日扫描任务上限多达60次。 企业版支持常见网站漏洞扫描、基线合规检测、弱密码、端口检测、紧急漏洞扫描、周期性检测，每日扫描任务上限多达60次。 6. 设置完成后，单击“开始扫描”。 说明 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

本章节主要介绍数据仓库服务如何连接集群。 操作场景 您在创建好数据仓库集群，开始使用数据库服务前，需要使用数据库客户端连接到DWS 集群中的数据库。本示例将使用Data Studio客户端工具通过公网地址连接DWS集群中的数据库。您也可以使用其他SQL客户端连接集群，更多连接方式请参见 连接集群的方式。 1.获取所要连接的数据库名称、用户名和密码。 首次使用客户端连接集群时，您需使用创建集群时设置的数据库管理员用户和密码连接到默认数据库“gaussdb”。 2.获取集群公网访问地址：通过集群公网访问地址连接数据库。 3.使用Data Studio连接到集群数据库：下载配置Data Studio客户端并连接集群数据库。 获取集群公网访问地址 1.登录DWS 管理控制台。 2.在左侧导航栏中，单击“集群管理”。 3.在集群列表中，选中已创建集群（如dwsdemo），单击“集群名称”前面的向下展开按钮，获取并保存公网访问地址。 该公网访问地址将在使用Data Studio连接到集群数据库时使用。 使用Data Studio连接到集群数据库 1.DWS 提供了基于Windows平台的Data Studio图形界面客户端，该工具依赖JDK，请先在客户端主机上安装Java 1.8.0141或以上版本的JDK。 在Windows操作系统中，您可以访问JDK官方网站，下载符合操作系统版本的JDK，并根据指导进行安装。 2.登录DWS 管理控制台。 3.单击“连接管理”。 4.在“下载客户端和驱动”页面，下载“Data Studio图形界面客户端”。 请根据操作系统类型，选择“Windows x86”或“Windows x64”，再单击“下载”，可以下载与现有集群版本匹配的Data Studio工具。 如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的Data Studio工具。如果当前没有集群，单击“下载”时将下载到低版本的Data Studio工具。DWS 集群可向下兼容低版本的Data Studio工具。 单击“历史版本”可根据集群版本下载相应版本的Data Studio工具，建议按集群版本下载配套的工具。 5.解压下载的客户端软件包（32位或64位）到需要安装的路径。 6.打开安装目录，双击Data Studio.exe，启动Data Studio客户端，如下图所示。 7.在主菜单中选择 “文件>新建连接” ，如下图所示。 8.在弹出的“新建/选择数据库连接”页面中，如下图所示，输入连接参数。 字段名称 说明 举例 数据库类型 选择“GaussDB A” GaussDB A 名称 连接名称。 dwsdemo 主机名 所要连接的集群IP地址（IPv4）或域名。 端口号 数据库端口。 8000 数据库 数据库名称。 gaussdb 用户名 所要连接数据库的用户名。 密码 所要连接数据库的登录密码。 保存密码 在下拉列表中选择： “仅当前会话”：仅在当前会话中保存密码。 “不保存”：不保存密码。 启用SSL 启用时，客户端将使用SSL加密连接方式。SSL连接方式安全性高于普通模式，建议开启。 当“启用SSL”设置为开启时，请先下载SSL证书，并解压证书文件。然后中单击“SSL”页签，设置如下参数： 配置SSL参数 字段名称 说明 客户端SSL证书 选择SSL证书解压目录下的“sslcertclient.crt”文件。 客户端SSL密钥 客户端SSL秘钥只支持PK8格式，请选择SSL证书解压目录下的“sslcertclient.key.pk8”文件。 根证书 当“SSL模式”设为“verifyca”时，必须设置根证书，请选择SSL证书解压目录下的“sslcertcacert.pem”文件。 SSL密码 客户端pk8格式SSL秘钥密码，默认密码为“Gauss@MppDB”。 SSL模式 DWS支持的SSL模式有： require verifyca DWS不支持“verifyfull”模式。 详见下图： 配置SSL参数 9.单击“确定”建立数据库连接。 如果启用了SSL，在弹出的“连接安全告警”提示对话框中单击“继续”。 登录成功后，将弹出“最近登录活动”提示框，表示Data Studio已经连接到数据库。用户即可在Data Studio界面的“SQL终端”窗口中执行SQL语句。 详见下图： 登录成功 欲详细了解Data Studio其他功能的使用方法，请按“F1”查看Data Studio用户手册。

割接后注意事项 存量子用户登陆凭证重置 在割接完成后，子用户的登陆入口由原先的CDN+IAM切换至天翼云CTIAM。您无需特意记住登陆入口，在访问云点播产品控制台时，后台会根据您当前的登陆凭证自动切换主、子账号的控制台。但子用户在首次登陆时，需要由主账号在CTIAM重置子用户的登陆凭证。具体操作步骤如下： 1. 使用主账号身份访问天翼云统一身份认证服务。 2. 存量子用户会被迁移至CTIAM。您在登陆CTIAM后，可以在【用户】入口看到很多新增的子用户数据。由于CDN+IAM支持多个平行的工作区，而CTIAM无对应的映射关系，因此在CDN+IAM所有平行工作区的所有子用户都将被迁移至CTIAM。 3. 您需要在【用户】入口找到需要重置身份的子用户，点击右侧操作栏的【编辑】按钮（注意不是【重置密码】）。 4. 在弹出的【修改用户】窗体，您可以对【用户名】、【邮箱】、【手机号】进行修改完善。从CDN+IAM迁移过来的用户，邮箱会被初始化填入一个类似xxxxx@1000xxxx.vipctcdn.cn的虚拟邮箱。该虚拟邮箱是子用户在原CDN+IAM的登陆凭证。您可以修改为新的邮箱，但请注意保持全局唯一性（即该邮箱在天翼云账号体系中未被使用过，无论是作为主、子账号身份凭证。）同时，在【手机号】栏会有一个初始化的虚拟手机号码，该号码并非该子用户的真实号码，因此无法接收到来自于天翼云的各类通知短信。您可以将其修改为真实的手机号码，但请注意保持组织内唯一性（即该邮箱在当前组织内体系中未被使用过，无论是作为主、子账号身份凭证。）在完成身份凭证修改后，点击【确定】即可。 5. 【本步骤可选】在【用户】入口找到需要刚才重置身份的子用户，点击右侧操作栏的【重置密码】按钮。在弹出的窗口中，使用主账号的手机号码，对子用户的初始密码进行重置。由于IAM迁移过程不能迁移密码，因此在迁移完成后子用户的初始密码未知，子用户无法使用原先在CDN+IAM的密码登陆。 6. 【本步骤可选】如果需要重置密码的子用户数量较多，您可以在第四步完成手机号码重置之后，在子账号首次登陆时，通过忘记密码的流程对子用户密码进行重置。（1）在登陆窗口选择【账号登陆】，点击【忘记密码】（2）输入第四步重置的账号信息，建议输入手机号码。如果您使用邮箱作为登陆凭证，需要确保割接时使用的虚拟邮箱已被替换成真实的邮箱地址，否则可能接收不到验证信息，导致重置流程失效。（3）如果您的手机号在天翼云注册过多个主、子账号身份，您需要在接下来的界面选择根据脱敏信息匹配当前组织的子账号身份。（4）在接下来的步骤中输入符合安全规则的密码，即可完成密码重置。

本章节为您介绍服务相关的内容。 服务通常指的是 API 网关要连接和转发请求的目标服务。在微服务架构中 ，这些目标服务可以是各种不同的后端服务 ， 比如数据库服务、用户服务、支付服务等。服务可以是内部的私有服务 ，也可以是外部的第三方服务。 本系统还提供服务发现、负载均衡、健康检查等功能。 创建服务 1.登录API安全网关。 2.在左侧导航栏选择“资源 > 服务”，进入服务列表页面。 3.单击页面左上方的“新增”按钮，在左侧弹出的“新增服务”对话框中填写相关内容。 字段 说明 服务名称 自定义服务名称，只能取唯一值。 大模型 选择是否使用大模型，选择开启后需要选择“模型提供方”。 应用代理 选择是否开启代理，开启后需要填写“代理端口”及“代理协议”。 描述 对新增的服务添加简要描述。 负载均衡算法 选择负责均衡算法，目前支持以下四种： 一致哈希：相同特征的请求将分配至同一个上游节点。 带权轮询：按照配置的权重比例分配请求数量至上游节点。 指数加权移动平均法：请求将更多地分配给效率高的上游节点。 最小连接数：选取当前连接数量最少的上游节点分发请求。 上游类型 节点：需要填写节点主机名、端口、权重。 服务发现：选择服务发现的类型，支持选择DNS、Consul KV、Nacos、Euereka、Kubernetes。 Host请求头 保持与客户端一致的主机名。 使用目标节点列表中的主机名或IP。 重试次数 重试机制将请求发到下一个上游节点。 值为0表示禁用重试机制，留空表示使用可用后端节点的数量。 重试超时时间 限制是否继续重试的时间，若之前的请求和重试请求花费太多时间就不再继续重试。 0代表不启用重试超时机制。 协议 服务端使用的协议类型，默认为：HTTP协议。 支持选择：HTTP、HTTPs、gRPC、gRPCs、TCP、TLS、UDP、Kafka。 连接超时 建立从请求到后端服务器的连接的超时时间，默认值6s。 发送超时 发送数据到后端服务器的超时时间，默认值6s。 接收超时 从后端服务器接收数据的超时时间，默认值6s。 连接池容量 为后端设置独立的连接池，默认值320。 连接池空闲超时时间 默认值60。 连接池请求数量 默认值1000。 健康监测 选择是否开启健康监测功能。 身份认证 选择身份认证方式，支持以下四种选择： 无认证：不开启身份认证方式。 Key认证：Key认证用于向API添加身份验证密钥。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 摘要签名认证：摘要签名认证可以将HMAC认证添加到服务。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 JWT认证：将JWT身份验证添加到服务中，通过API调用者将其密钥添加到查询字符串参数、请求头或Cookie中用来验证其请求。 4.添加完成后，单击“下一步”，进入插件配置环节，具体的插件功能请参照控制台说明，若需要启用插件单击对应插件下方的“启用”按钮即可启用。 5.完成插件配置后，单击“下一步”确认服务信息，若信息无误单击“保存”即可完成添加服务。

该任务指导用户退订购买的数据安全中心服务。 该任务指导用户退订购买的数据安全中心服务。DSC不支持单独退订扩展包，如果您要退订扩展包，只能将购买的服务版本和扩展包一起退订。 操作步骤 1. 登录管理控制台。 2. 在界面右上方，单击“费用”，进入“费用中心”界面。 3. 在左侧导航树上选择“订单管理 > 退订管理”。 4. 根据页面提示完成退订。

顺序消息是分布式消息服务RocketMQ版提供的一种严格按照顺序来发布和消费的消息类型。 顺序消息分为全局顺序消息和分区顺序消息： 全局顺序消息：对于指定的一个Topic，将队列数量设置为1，这个队列内所有消息按照严格的先入先出FIFO（First In First Out）的顺序进行发布和订阅。 分区顺序消息：对于指定的一个Topic，同一个队列内的消息按照严格的FIFO顺序进行发布和订阅。生产者指定分区选择算法，保证需要按顺序消费的消息被分配到同一个队列。 全局顺序消息和分区顺序消息的区别仅为队列数量不同，代码没有区别。 收发消息前，请参考收集连接信息收集RocketMQ所需的连接信息。 准备环境 开源的Java客户端支持连接分布式消息服务RocketMQ版，推荐使用的客户端版本为4.9.7。 通过以下任意一种方式引入依赖： 1. 使用Maven方式引入依赖。 org.apache.rocketmq rocketmqclient 4.9.7 org.apache.rocketmq rocketmqacl 4.9.7 2. 点击下载依赖JAR包：rocketmqall4.9.7binrelease.zip 发送顺序消息 参考如下示例代码 import org.apache.rocketmq.acl.common.AclClientRPCHook; import org.apache.rocketmq.acl.common.SessionCredentials; import org.apache.rocketmq.client.producer.DefaultMQProducer; import org.apache.rocketmq.client.producer.SendResult; import org.apache.rocketmq.common.message.Message; import org.apache.rocketmq.remoting.RPCHook; import org.apache.rocketmq.remoting.common.RemotingHelper; public class ProducerFifoExample { private static RPCHook getAclRPCHook() { return new AclClientRPCHook(new SessionCredentials( "accessKey", // 分布式消息服务RocketMQ控制台用户管理菜单中创建的用户ID "accessSecret" // 分布式消息服务RocketMQ控制台用户管理菜单中创建的密钥 )); } public static void main(String[] args) throws Exception { / 创建Producer，如果想开启消息轨迹，可以按照如下方式创建： DefaultMQProducer producer new DefaultMQProducer("YOUR GROUP ID", getAclRPCHook(), true, null); / DefaultMQProducer producer new DefaultMQProducer("YOUR GROUP ID", getAclRPCHook()); // 填入控制台NAMESRV接入点地址 producer.setNamesrvAddr("XXX:xxx"); ; // 如果需要开启SSL，请增加此行代码 producer.start(); for (int i 0; i { // 选择适合自己的分区选择算法，保证同一个参数得到的结果相同。 Integer id (Integer) arg; int index id % mqs.size(); return mqs.get(index); }, orderId); System.out.printf("%s%n", sendResult); } catch (Exception e) { e.printStackTrace(); } } producer.shutdown(); } } 注意 上述代码中，相同id的消息需要保证顺序，不同id的消息不需要保证顺序，所以在分区选择算法中以“id/队列个数的余数”作为消息发送的队列。

产品优势 分布式消息服务MQTT具有协议丰富、安全可靠、低成本高性能、消息互通等优势，适用于大规模分布式系统中的消息传递和处理场景。 协议丰富： 兼容支持原生多种标准协议，如MQTT、MQTTSN、CoAP、LwM2M；兼容任何支持MQTT协议的 SDK覆盖绝大多数移动端开发平台及开发语言。 安全可靠： 数据安全，支持SSL加密通信，提供身份认证，数据传输更安全可靠。 低成本高性能： 稳定承载大规模终端设备连接，资源占用少；消息路由快速低延时，单集群支持百万规模的路由。 更多信息请参见产品优势。 应用场景 分布式消息服务MQTT可以用于许多应用场景，其灵活性和轻量级特性使其适用于各种需要实时消息传输和发布/订阅模型的应用，如物联网通信、远程监控及控制、传感器数据采集等。 物联网（IoT）通信 MQTT广泛用于连接和管理大规模的物联网设备。它允许传感器、嵌入式设备和其他物联网终端之间进行实时数据通信，以监测环境、收集数据和实现智能控制。 远程监控和控制 MQTT可用于远程监控和控制系统，如监控能源设备、工业自动化、智能家居系统等。它使操作员能够实时监测设备状态，同时可以通过发布命令来实现设备控制。 传感器数据采集 MQTT用于将传感器数据从分布式传感器网络传送到数据中心或云平台，以进行分析和处理。这对于监测环境、天气预报、农业数据收集等非常有用。 更多信息请参见应用场景。

物理机服务广泛应用于多种场景,本文带您更快了解物理机服务经典应用场景。 高安全性和监管要求 国防、银行、金融机构以及具有高度合规性要求的行业，如医疗和保险，对于数据安全和监管合规性有严格的要求。天翼云物理机提供了物理隔离和独享资源的能力，通过采用物理机部署、网络隔离和专线接入等方式，确保数据的安全性和隐私保护，满足这些行业的高要求。 关键业务核心数据库 企业核心业务的关键数据库，如客户关系管理（CRM）、企业资源计划（ERP）和大型交易系统等，通常对性能、可靠性和数据安全有较高的要求。天翼云物理机提供了专属的计算资源和本地存储，保证高负载和复杂查询的需求，并确保数据的隔离和可靠性，为企业提供稳定可靠的关键业务支持。 大数据分析 互联网、电商、社交媒体等行业需要处理海量数据并进行实时分析。天翼云物理机提供高带宽、大容量的存储和计算资源，满足大规模数据处理、分布式计算和实时分析的需求，助力企业做出准确决策和优化业务运营，挖掘数据中的价值。 容器场景 电商平台、游戏等业务弹性要求较高、性能要求更高的场景，可采用物理机部署容器的方案。相比在云主机中容器，物理机中部署容器提供更高的部署密度、更低的资源开销和更加敏捷的部署效率。基于云原生技术，帮助客户实现降低云化成本的目标，满足业务快速发展和高性能要求。

本文介绍Redis实例的发布订阅(pubsub)注意事项 订阅和发布的顺序：在使用 Redis 的发布订阅功能时，订阅者（Subscriber）必须先订阅频道（Channel）才能接收到发布者（Publisher）发送的消息。如果先发布消息而没有订阅者监听该频道，那么消息将会丢失。因此，在使用发布订阅功能时，要确保订阅者在发布者发送消息之前已经成功订阅了频道。 异步处理：Redis 的发布订阅功能是异步的，即发布者发送消息后，订阅者可能不会立即接收到消息。这是因为订阅者与发布者之间存在网络延迟和处理时间。因此，在订阅消息后，订阅者需要以异步方式处理接收到的消息，并考虑可能出现的延迟。 取消订阅：当不再需要接收某个频道的消息时，订阅者应该主动取消订阅，以减少不必要的网络开销和资源消耗。可以使用 UNSUBSCRIBE 命令取消订阅指定频道，或使用 PUNSUBSCRIBE 命令取消订阅所有频道。 频道命名规范：在定义频道名称时，要注意选择有意义且易于区分的名称。频道名称可以是字符串，但最好遵循一定的命名规范，以免产生混淆或错误地订阅了不正确的频道。 安全性考虑：Redis 的发布订阅功能是公开的，任何连接到 Redis 的客户端都可以订阅频道并接收消息。因此，要特别注意在敏感信息传输或涉及安全性的场景中使用发布订阅功能，并考虑适当的安全措施，例如使用认证和加密等方式来保护数据的安全性。

数据库审计的审计数据可以保存多久？ 数据库审计支持将在线和归档的审计数据至少保存180天的功能。根据实际的磁盘大小，会优先删除存储日期较早的审计数据。 若您需要更多的磁盘空间，可选择买更高级的数据库审计实例规格或者购买磁盘存储容量。 数据库审计发生异常，多长时间用户可以收到告警通知？ 在数据库审计正常运行的情况下，从系统发生异常到收到告警通知最大时延不超过5分钟。 在业务侧使用中间件会影响数据库审计功能吗？ 不会影响使用数据库安全审计。 中间件是介于应用系统和操作系统之间的一类软件，通常在操作系统、网络和数据库之上，应用软件的下层，是为处于上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。 数据库安全审计采用旁路模式部署，通过Agent（数据库节点或应用节点安装Agent）获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，从而实现数据库安全审计功能。 因此，您在业务侧使用中间件不影响数据库安全审计功能，不会导致Agent监听SQL失败或者审计没有数据。 数据库审计能否对第三方工具执行的SQL语句进行捕捉？ 可以。数据库审计审计的数据是Agent接入的全量日志和流量数据，与工具无关。 数据库审计是否支持云下部署？ 不支持。数据库审计需要部署在您所使用的云上的服务器中，您需要将相关的业务迁移至目标云上。