本节介绍漏洞扫描的使用约束。 网站扫描域名/IP VSS是通过公网访问域名/IP地址进行扫描的，请确保该目标域名/IP地址能通过公网正常访问。 扫描IP加入网站扫描白名单 如果您的网站设置了防火墙或其他安全策略，将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此，在使用VSS前，请您将以下VSS的扫描IP添加至网站访问的白名单中：114.217.39.79，222.93.127.109。

本页介绍了文档数据库服务自定义角色。 文档数据库服务支持用户自定义角色，可以根据需要创建和配置自己的角色，并根据这些角色为用户分配特定的权限和功能。自定义角色可以帮助管理员更好地管理文档数据库服务实例或集群，并提高安全性。 创建自定义角色需要使用 createRole 命令或 db.createRole() 方法，并指定角色的名称、权限和其他属性，具体操作请参见管理角色。

本文介绍事件总线EventBridge的产品优势。 可用性 支持高吞吐量的事件发布和消费。 支持服务Serverless化和自动弹性伸缩，轻松应对突发流量。 支持无状态实例，节点异常对服务无影响，服务可用性高。 易用性 支持无缝迁移上云，完全兼容CloudEvents 1.0。 支持多种访问方式，包括控制台与CloudEvents SDK。 支持接入多种应用程序，包括天翼云服务和自定义应用。 安全性 对接统一身份认证服务，支持通过天翼云账号向RAM用户授权。 支持HTTP/HTTPS协议。

本章节主要介绍修改OMS数据库管理员密码。 操作场景 该任务指导用户定期修改OMS数据库管理员的密码，以提升系统运维安全性。 操作步骤 登录主管理节点。 说明 ommdba用户密码不支持在备管理节点修改，否则集群无法正常工作。只需在主管理节点执行修改操作，无需在备管理节点操作。 1. 执行以下命令，切换用户。 sudo su omm 2. 执行以下命令，切换目录。 cd $OMSRUNPATH/tools 3. 执行以下命令，修改ommdba用户密码。 moddbpasswd ommdba 4. 输入ommdba的原密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为16～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];:", /?中的3种类型字符。 不能与用户名或倒序用户名相同。 不可与前20个历史密码相同。 显示如下结果，说明修改成功： Congratulations, update [ommdba] password successfully.

本章主要介绍翼MapReduce的修改OMS Kerberos管理员密码功能。 操作场景 管理员应定期修改OMS Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改此用户密码将同步修改Kerberos管理员密码。 操作步骤 1. 以omm用户登录任意管理节点。 2. 执行以下命令，切换到目录。 cd ${BIGDATAHOME}/omserver/om/meta0.0.1SNAPSHOT/kerberos/scripts 3. 执行以下命令，配置环境变量。 source componentenv 4. 执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@$%^&+中的4种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为密码策略配置中“重复使用规则”的值。

本章主要介绍翼MapReduce的备份Kafka元数据功能。 操作场景 为了确保Kafka元数据安全，或者系统管理员需要对ZooKeeper进行重大操作（如升级或迁移等）时，需要对Kafka元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份Kafka任务并备份元数据。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 首次全量备份，后续增量备份 每次都全量备份 每n次进行一次全量备份 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“Kafka”。 说明 若安装了多个Kafka服务，默认备份所有Kafka服务，可单击“指定服务”指定需要备份的Kafka服务。 7.在“Kafka”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。默认保存目录为“ 数据存放路径 /LocalBackup/”。 选择此参数值，还需要配置“最大备份数”，表示备份目录中可保留的备份文件集数量。 “LocalHDFS”：表示将备份文件保存在当前集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端路径”：填写备份文件在HDFS中保存的目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “目标NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “目的端路径”：填写备集群保存备份数据的HDFS目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为 “备份任务名任务创建时间” ，用于保存数据源的备份文件。备份文件的名称为 版本号数据源任务执行时间.tar.gz 。

文件删除或覆盖后是否能恢复？ 若未开启桶的多版本管理功能，一旦已删除或覆盖后的文件不可恢复。因此，在这种情况下，建议您在删除前谨慎操作，并定期备份重要的数据以防止意外丢失。 多版本管理功能可以帮助您应对意外删除操作或其他数据问题。您可以通过在桶设置中启用多版本管理功能来实现此功能，以便在需要时能够更轻松地还原和恢复数据。若已开启桶的多版本管理功能，您可以保留多个版本的对象，并能够基于需要进行检索和恢复操作。在这种情况下，当一个文件被删除或覆盖时，它会成为历史版本而不是被彻底删除，您可以根据需要来恢复具体的文件。具体操作请参考恢复文件。 可以上传超过5GB的单个文件吗？如何操作？ 控制台上传文件限制单次最多支持100个文件上传，单个文件限制最大为5GB。若要上传超过5GB的文件，可以采用SDK进行上传。 对象存储是否支持对象加密上传？ 对象存储支持对象加密上传。当桶开启服务端加密后，上传到该桶中的对象会以加密方式存储。具体而言，上传的数据会在服务端进行加密，被加密后的数据以密文形式存储在对象存储系统中。具体操作请参考服务端加密。 当用户下载加密对象时，存储的密文会在服务端进行解密，然后以明文形式提供给用户。这样可以确保在数据传输过程中的安全性，保护数据不被未授权的访问者获取。 请注意，在使用ZOS进行对象加密时，务必妥善管理加密密钥，以确保数据的安全性和可靠性。

本节介绍了什么是云硬盘、产品优势及云硬盘、弹性文件服务、对象存储服务的区别。 云硬盘简介 云硬盘（EVS，Elastic Volume Service）可以为云上计算资源提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。云上计算包括弹性云主机和物理机。 云硬盘简称为磁盘，本文档中也会用磁盘来表示云硬盘。 图1 云硬盘架构 产品优势 云硬盘为云主机提供规格丰富、安全可靠、可弹性扩展的硬盘资源，具体功能特性如下： 规格丰富 EVS提供多种规格的云硬盘，可挂载至云主机用作数据盘和系统盘，您可以根据业务需求及预算选择合适的云硬盘。 弹性扩展 您可以创建的单个云硬盘最小容量为10 GB，最大容量为 32 TB，即，10 GB ≤ 云硬盘容量 ≤ 32 TB。若您已有的云硬盘容量不足以满足业务增长对数据存储空间的需求，您可以根据需求进行扩容，最小扩容步长为1GB，单个云硬盘最大可扩容至32 TB。 扩容云硬盘时还会受容量总配额影响，系统会显示您当前的剩余容量配额，新扩容的容量不能超过剩余容量配额。您可以申请足够的配额满足业务需求。 安全可靠 云硬盘支持备份、快照等数据冗余备份功能，为存储在云硬盘中的数据提供可靠保障，防止应用异常、黑客攻击等情况造成的数据错误。 实时监控 配合云监控（Cloud Eye），帮助您随时掌握云硬盘健康状态，了解云硬盘运行状况。

本文介绍镜像仓库基本概念。 镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署 docker 容器镜像。镜像仓库包括如下内容： 天翼云官方镜像：展示了天翼云平台上的公开镜像，您可以基于公开镜像创建应用； 我的镜像：展示了用户创建的所有镜像仓库。 本章节将为用户介绍容器镜像仓库的基本使用方法，说明【创建】>【上传】>【管理】的仓库使用流程，用户完成镜像上传后，即可在应用创建流程中通过选择【我的镜像】，使用用户自己上传的私有镜像部署应用。 注意事项 镜像仓库不扫描用户上传的镜像，不负责对用户上传的镜像进行安全性验证。上传的镜像中请不要包含未加密的口令，密码等隐私信息，以避免隐私泄露。用户从第三方网站下载公有镜像时，应确定数据来自于可信的仓库源，以避免下载到恶意软件； 如果使用自定义镜像，请确保镜像来源可信，不在容器镜像内安装不必要的软件，在升级时使用安全补丁升级镜像。使用第三方镜像，造成的后果（例如：环境不可用）用户需自己承担； 磁盘满将会导致无法上传镜像到仓库，将会有异常提示信息告知，但并不会影响其他服务；为防止其它业务（例如日志）把磁盘占满，导致仓库无法上传，建议对仓库的存储独立挂盘。 在使用之前，您需要了解以下基本概念： 镜像仓库： 提供docker容器镜像管理功能，用户在创建容器应用前，需要将应用所需的镜像上传到镜像仓库。docker镜像是一个模板，用于创建docker容器。docker提供了一个简单的机制来创建新的镜像或更新已有镜像。 （仓库）属性： 属性分为公有和私有两种。公有：任何租户、用户均可以下载。私有：仅当前租户或租户下的用户可用。

如何选择数据库安全的Agent安装节点 数据库安全审计的Agent可以安装在数据库端、应用端和代理端。建议您按“数据库端 > 应用端 > 代理端”优先级顺序选择Agent的安装节点。 在各节点上安装Agent的详细说明如表所示。 Agent安装节点 使用场景 审计功能说明 注意事项 数据库端 ECS/BMS自建数据库 可以审计所有访问该数据库的应用端的所有访问记录。 添加Agent时，“安装节点类型”选择“数据库端”。 应用端 无法登录到数据库节点的部署环境（例如，RDS关系型数据库） 可以审计该应用端与其连接的所有数据库的访问记录。 l 添加Agent时，“安装节点类型”选择“应用端”，如图410所示。 l 当某个应用端连接了多个数据库时，如果该应用端的某个数据库已在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。 代理端 无法登录到数据库节点，且不能在应用端安装Agent的部署环境（例如，RDS关系型数据库且应用端在云下） 只能审计代理与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 添加Agent时，需要将该代理端作为应用端，即“安装节点类型”选择“应用端”，且“安装节点IP”需要配置为该代理的IP地址。 添加Agent方式说明 在数据库端添加Agent 在应用端添加Agent

对比维度 云主机备份 云硬盘备份 备份/恢复对象 云主机中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个云主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本

对比维度 云主机备份 云硬盘备份 备份/恢复对象 云主机中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个云主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本

本文介绍创建新库后是否会自动发起对新库的全量备份。 自动新库备份 用户在SQL Server控制台或通过SQL Server客户端创建新库后，平台的定时检测机制会扫描到新库，并自动对新库做一次全量备份。 新库自动全量备份是必要的，备份数据保证数据安全，另外对于主备实例该备份可用于搭建主从镜像。 数据备份列表中有时候能看到非备份时段的多个自动全量备份，备份名称为fullagent开头的备份即为新库自动全量备份。

为加强HBlock的安全性，可通过配置防火墙权限，限制iSCSI端口（如iSCSI端口为3260）的访问来源 IP。请参考以下步骤操作: 1. 开启防火墙：systemctl start firewalld。 2. 配置允许 IP 对于IPv4地址：firewallcmd permanent addrichrule"rule familyipv4 source address IP port protocoltcp port3260 accept"。 对于IPv6地址：firewallcmd permanent addrichrule"rule familyipv6 source address IP port protocoltcp port3260 accept"。 3. 重启防火墙：firewallcmd reload。 4. 开机自动启动：systemctl enable firewalld.service。

操作步骤 1. 在顶部导航栏选择“库管理”，在对象列表页签下选择“视图”，在右侧操作栏单击“修改视图”。 2. 在编辑视图信息页面，您可对视图定义、安全性、算法等信息进行修改，单击页面中下部的“立即修改”。 3. 在确认视图定义脚本弹出框中单击“执行脚本”。 删除视图 说明 删除操作无法恢复，请谨慎选择。 操作步骤 1. 在顶部导航栏选择“库管理”，在对象列表页签下选择“视图”，在右侧操作栏单击“删除视图”。 2. 在确认删除视图弹出框中，单击“确定”。

验证结果 配置完成后，重新尝试访问 testcors.txt 文本文件。结果如下，可以正常访问请求。 故障排除及意见 如果想排除因跨域带来的访问问题，可以为存储桶设置最宽松的CORS，允许所有的跨域请求。如果该配置下依然访问出错，则可以确定不是在CORS出错，而是在其他部分。 除了最宽松的CORS设置外，您还可以配置更精细的控制机制来实现针对性的控制，为了安全性，建议您根据自己的使用场景，使用最小的CORS配置。

本文为您介绍如何配置集群组件。 1. 登录容器安全卫士控制台。 2. 单击左侧导航栏中“安装配置 > 组件安装”，进入组件安装页面。 3. 查看集群列表。 4. 单击集群列表操作列的“集群组件配置”按钮，可设置单个镜像扫描超时、节点扫描的并发数、仓库镜像扫描并发数、防御容器开启镜像阻断、开启入侵检测模块、开启容器审计功能、配置文件防篡改存储阈值等信息。 5. 配置完成后，单击“保存”。

云网紧密融合 充分体现中国电信云网融合的综合资源差异化优势，形成面向客户的一点上云、云间互联的新型服务形态。 高扩展性 新增节点云主机或VPC接入，以补点方式入网，即可实现对该客户全部站点的互通，可降低客户的组网成本。 高安全性 承载云间高速业务的主体DCI网络与资源池接入网络（如CN2、ChinaNet等）物理分离。 云间高速的客户业务承载，通过虚通道隔离客户数据，降低受公众网络、以及其他客户网络攻击的风险。

本文带您了解对等连接的功能特性。 对等连接是一种跨VPC的网络连接服务，用于实现两个虚拟私有云（VPC）之间的内网通信。它就像在两个独立的VPC之间搭建了一条高速的私有通道，流量不经过公网，具有低延迟、高带宽、高安全性的特点。其主要功能特性如下： 同账号对等连接 适用场景：在同一账号、同一资源池内的两个VPC之间建立连接。 特性：创建后默认自动接受，无需手动审批，简化了账号内部网络规划的流程，实现快速互通。 跨账号对等连接： 适用场景：在不同账号、但属于同一资源池的两个VPC之间建立连接。 特性：采用手动授权机制。发起方创建连接后，需要对方账号确认“接受”此连接请求后，方可建立。这确保了跨账户网络访问的安全性与可控性。 便捷的连接管理 集中管理：提供统一的管理界面，方便用户查看账号下所有的对等连接实例。 状态监控：清晰展示对等连接的状态，便于快速排查问题。 灵活操作：支持对已有的对等连接进行查询、修改和删除等操作。 基于路由的精细化流量控制 成功建立对等连接仅是搭建了通信的通道，要实现VPC内资源的实际通信，必须依赖正确的路由配置。 同账号对等连接：用户需在本端VPC的路由表中，添加指向对端VPC网段的路由规则（下一跳为该对等连接）；同时，也需在对端VPC的路由表中，添加指向本端VPC网段的路由规则。 跨账号对等连接：需要双方账号协作配置。本端账号需在本端VPC路由表中配置指向对端网段的路由；对端账号需在其VPC路由表中配置指向本端网段的路由。

本文带您了解对等连接的功能特性。 对等连接是一种跨VPC的网络连接服务，用于实现两个虚拟私有云（VPC）之间的内网通信。它就像在两个独立的VPC之间搭建了一条高速的私有通道，流量不经过公网，具有低延迟、高带宽、高安全性的特点。其主要功能特性如下： 同账号对等连接 适用场景：在同一账号、同一资源池内的两个VPC之间建立连接。 特性：创建后默认自动接受，无需手动审批，简化了账号内部网络规划的流程，实现快速互通。 跨账号对等连接： 适用场景：在不同账号、但属于同一资源池的两个VPC之间建立连接。 特性：采用手动授权机制。发起方创建连接后，需要对方账号确认“接受”此连接请求后，方可建立。这确保了跨账户网络访问的安全性与可控性。 便捷的连接管理 集中管理：提供统一的管理界面，方便用户查看账号下所有的对等连接实例。 状态监控：清晰展示对等连接的状态，便于快速排查问题。 灵活操作：支持对已有的对等连接进行查询、修改和删除等操作。 基于路由的精细化流量控制 成功建立对等连接仅是搭建了通信的通道，要实现VPC内资源的实际通信，必须依赖正确的路由配置。 同账号对等连接：用户需在本端VPC的路由表中，添加指向对端VPC网段的路由规则（下一跳为该对等连接）；同时，也需在对端VPC的路由表中，添加指向本端VPC网段的路由规则。 跨账号对等连接：需要双方账号协作配置。本端账号需在本端VPC路由表中配置指向对端网段的路由；对端账号需在其VPC路由表中配置指向本端网段的路由。

本节主要介绍云数据库GeminiDB与其他云服务的关系。 云数据库 GeminiDB与其他服务的关系，如表1所示。 表1 云数据库 GeminiDB与其他云服务的关系 服务名称 云数据库GeminiDB与其他服务的关系 相关内容 弹性云主机 弹性云主机（Elastic Cloud Server，简称ECS）为云数据库 GeminiDB提供可弹性申请的计算资源，为数据库实例提供运行环境。 详细内容请参见弹性云主机文档 虚拟私有云 通过虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组实现网络隔离。虚拟私有云允许租户通过配置虚拟私有云入站IP范围，来控制连接数据库的IP地址段。数据库实例运行在租户独立的虚拟私有云内，可提升数据库实例的安全性。 详细内容请参见虚拟私有云文档 弹性IP 弹性IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。 详细内容请参见弹性IP文档 对象存储服务 备份数据存储至对象存储服务（Object Storage Service，简称OBS），在提高数据容灾能力的同时有效降低磁盘空间占用。 详细内容请参见对象存储文档 云审计服务 云审计服务（Cloud Trace Service，简称CTS），记录了云数据库 GeminiDB相关的操作事件，方便用户日后的查询、审计和回溯。 详细内容请参见云审计服务文档 统一身份认证服务 统一身份认证服务（Identity and Access Management，简称IAM）为云数据库 GeminiDB提供了权限管理功能。 详细内容请参见统一身份认证文档

本页介绍如何配置SSL CA证书用于访问关系数据库MySQL版的实例。 操作场景 为了提高关系数据库MySQL版的链路安全性，您可以启用SSL（Secure Sockets Layer）加密，并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密，能提升通信数据的安全性和完整性，同时会增加网络连接响应时间。 约束限制 实例的SSL状态需要为“开启”状态。 已下载SSL CA证书。 操作步骤 开启SSL加密后，应用或者客户端连接MySQL时需要配置SSL CA证书。本文以MySQL Workbench、Navicat配置方法为例，介绍SSL CA证书安装方法。其它应用或者客户端请参见对应产品的使用说明。 MySQL Workbench配置方法: 1. 打开MySQL Workbench。 2. 选择Database > Manage Connections。 3. 启用Use SSL，并导入SSL CA证书。 说明 如果关闭SSL后又需要重新开启，SSL CA证书将会重新生成，用户需要下载最新的证书连接数据库，旧证书将失效无法进行数据库连接。 为防止开启SSL后无需证书也可以连接数据库，请设置用户登录方式限制，指令可参考：alter user 'root'@'%' require ssl。 Navicat配置方法: 1. 打开Navicat。 2. 选择目标数据库并单击鼠标右键，选择编辑连接。 3. 选择SSL页签，选择.pem格式CA证书的路径。 4. 单击确定。 5. 通过双击目标数据库来测试能否正常连接。 通过SSL连接数据库示例代码，Python示例： 1. 需要首先安装依赖pymysql shell pip install pymysql 2. 编写代码 python import pymysql import traceback try: conn pymysql.connect( host'192.168..', user'', passwd'', db'', sslTrue, sslca'/path/cafilename') cursor conn.cursor() cursor.execute('select version()') data cursor.fetchone() print('Database version:', data[0]) cursor.close() except pymysql.Error as exc: print(traceback.formatexc())

本节为您介绍漏洞扫描原理、漏洞扫描版本规格、漏洞等级。 服务器安全卫士（原生版）支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞、应急漏洞，并提供漏洞的修复建议和一键修复功能，帮助您及时了解云主机操作系统中存在的风险，及时修复主机漏洞。 漏洞扫描原理 漏洞扫描原理如下： 漏洞分类 原理说明 Linux软件漏洞 通过与漏洞库进行比对，检测Linux操作系统官方维护的软件（非绿色版、非自行编译安装版；例如：kernel、openssl、vim、glibc等）是否存在漏洞，将存在风险的结果向用户告警。 Windows系统漏洞 通过同步微软官方的补丁公告，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将存在风险的结果向用户告警。 WebCMS漏洞 通过对Web目录和文件进行检测，识别出WebCMS漏洞，将存在风险的结果向用户告警。 应用漏洞 通过检测主机上运行的软件发现应用是否存在漏洞，将存在风险的结果向用户告警。 应急漏洞 展示最新披露的漏洞详情，用户可根据实际情况对此漏洞进行专项扫描。 版本规格 以下介绍服务器安全卫士各版本漏洞扫描功能的支持情况。 说明 免费版仅支持Windows系统漏洞扫描、Linux软件漏洞扫描和查看漏洞，不支持一键修复漏洞，您可以参考漏洞详情页面提供的修复建议，登录到您的服务器手动修复漏洞。 功能 免费版 企业版 旗舰版 漏洞情况统计 ✓ ✓ ✓ Linux软件漏洞、Windows系统漏洞 ✓ ✓ ✓ WebCMS漏洞、应用漏洞 × ✓ ✓ 应急漏洞 × ✓ ✓ 一键扫描 × ✓ ✓ 定时扫描 ✓ ✓ ✓ 基于漏洞名称的扫描结果列表 ✓ ✓ ✓ 基于服务器的扫描结果列表 ✓ ✓ ✓ 查看漏洞详情 ✓ ✓ ✓ 一键修复漏洞 × ✓ ✓ 白名单管理 ✓ ✓ ✓

本文主要介绍ServiceAccount Token安全性提升说明。 Kubernetes 1.21以前版本的集群中，Pod中获取Token的形式是通过挂载ServiceAccount的Secret来获取Token，这种方式获得的Token是永久的。该方式在1.21及以上的版本中不再推荐使用，并且根据社区版本迭代策略，在1.25及以上版本的集群中，ServiceAccount将不会自动创建对应的Secret。 Kubernetes 1.21及以上版本的集群中，直接使用TokenRequest API获得Token，并使用投射卷（Projected Volume）挂载到Pod中。使用这种方法获得的Token具有固定的生命周期（默认有效期为1小时），在到达有效期之前，Kubelet会刷新该Token，保证Pod始终拥有有效的Token，并且当挂载的Pod被删除时这些Token将自动失效。该方式通过BoundServiceAccountTokenVolume特性实现，能够提升服务账号（ServiceAccount）Token的安全性，Kubernetes 1.21及以上版本的集群中会默认开启。 为了帮助用户平滑过渡，社区默认将Token有效时间延长为1年，1年后Token失效，不具备证书reload能力的client将无法访问APIServer，建议使用低版本Client的用户尽快升级至高版本，否则业务将存在故障风险。 如果用户使用版本过低的Kubernetes客户端（Client），由于低版本Client并不具备证书轮转能力，会存在证书轮转失效的风险。K8s社区默认具有证书轮转能力的Client版本如下： Go: > v0.15.7 Python: > v12.0.0 Java: > v9.0.0 Javascript: > v0.10.3 Ruby: master branch Haskell: v0.3.0.0 C

本章节为您介绍系统统计报表相关功能。 数据资产分析 “数据资产分析”页面的功能是让用户知道自己有哪些资产，哪些资产更加敏感，哪些资产经常做数据脱敏等，刚进入本页面时，页面会展示系统自动更新过的数据。 数据安全专区会在每天凌晨自动更新数据。但是您也可以选择点击手动更新按钮来获得当前时间最新的数据。 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“系统统计报表 > 数据资产分析 ”，进入“数据资产分析”页面，即可查看数据资产情况。 本页信息一共展示了任务运行概述、数据源类型分布、数据源和schema粒度的敏感程度排名top10、敏感标签词云以及资产统计清单这些数据分析内容。 脱敏任务分析 “脱敏任务分析”页面的功能是让用户知道脱敏任务运行是否正常，整体任务运行质量如何（比如错误数的变化），任务调度分配是否合理等。 数据安全专区会实时更新本页面的大部分数据，其中任务属性是针对任务进行统计，任务运行是针对实例进行统计，而且脱敏任务分析只对结构化任务的数据进行分析。 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“系统统计报表 > 脱敏任务分析 ”，进入“脱敏任务分析”页面，即可查看脱敏任务分析情况。 说明 页面左侧可针对任务运行时间（即实例运行时间）进行搜索，包括最近7天（默认）、最近15天、最近30天和自定义。 页面都带“导出”功能，单击后可导出页面内容，支持PDF和HTML两种文件格式。

本小节介绍微隔离防火墙接入工作负载（BEA端）操作方法。 功能说明 授权码代表了工作负载的身份，一个工作负载在接入系统时，系统将根据其授权码决定是否允许其接入、配置什么样的安全策略、分配到哪个工作组等。 操作步骤 1.创建授权码有两个入口，一个是菜单栏的授权管理，通过此入口可以查看管理所有授权码。 第二个入口，可以通过工作组详情查看该工作组的授权码（由某个组的授权码接入的工作负载，将自动分配到该工作组）。 2.创建授权码 点击创建授权码，在弹出的对话框中输入相关参数，点击确定即可完成授权码的建立。 3.点击授权码，可进入授权码详细页面。 4.授权码详细页面最下方的自动化安装部分，可根据此授权码自动生成安装命令，用于实现工作负载的自动化安装。 注意 1.执行该命令，系统会自动到管理中心下载安装脚本，请确保安装客户端的工作负载与管理中心网络可达。 2.安装脚本执行后自动判定系统版本，并从管理中心获取相应安装包。 3.linux系统安装命令一致、Windows系统安装命令一致。 4.agent成功安装后，不会清空原有iptables中的策略。后续产品添加安全策略会在iptables最上层添加。若只在监测模式下运行，可在安装命令后加nf true则不安装产品防护模块。

操作系统类型 登录方式 特点 适用场景 Windows 支持远程桌面方式、VNC登录。 Windows系统的公共镜像内含正版已激活系统。 适合运行Windows下开发的程序，如.NET等。 支持SQL Server等数据库（需自行安装）。 Linux/类Unix 支持SSH方式、VNC登录。 常用的服务器端操作系统，具备安全性和稳定性。 开源，轻松构建和编译源代码。 一般用于高性能Web等服务器应用，支持常见的PHP、Python等编程语言。 支持MySQL等数据库（需自行安装）。

灵活易操作 提供用户自服务页面进行灵活简单操作，客户仅需进行简单的配置，即可调整迁移模式、选择迁移对象等功能。 智能监控、高可靠性 数据库迁移过程中对任务进行实时监控，包括展示任务总进度、阶段进度、预计完成时间等信息。针对任务过程中出现的问题进行告警处理。 日志与审计功能 数据库迁移工具提供完善的日志与审计功能，记录了每一次迁移任务的操作记录、数据传输情况，帮助管理员对迁移过程进行全面监控和审计，确保数据迁移的可靠性和安全性。

本页简要介绍分布式数据库V1.1.0版本更新说明。 版本说明 V1.1.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 1.1 2020年 03 月 新增和优化特性： 1. 支持实例监控资源指标采集，包括CPU使用率、内存使用量、内存使用率、IO操作数、IO吞吐量、IO利用率、磁盘空闲时间、磁盘空闲率、磁盘已用空间、磁盘使用率、网络吞吐量和wal日志空间。 2. 支持查看实例监控指标数据。 3. 支持内核引擎性能指标采集。 4. 支持查看性能指标。 5. 支持对实例的语句执行状态进行监控，主要是针对当前的非系统连接执行的语句进行展示。 6. 支持数据库实例的锁分析，支持在页面上展示实例当前存在的锁以及导致锁产生的SQL语句。 7. 支持采集慢语句。 8. 支持查看慢语句信息包括：SQL语句、连接的数据库、执行次数、总耗时、平均耗时、最大耗时以及最小耗时等。 9. 支持错误日志采集。 10. 支持错误日志查询。 11. 支持慢日志采集。 12. 支持慢日志查询。 13. 支持查看仪表盘数据，包括节点IP端口、连接状态、节点角色、节点CPU使用率、节点内存使用大小、节点所在机器磁盘容量、磁盘读取速度、磁盘写入速度、磁盘IO利用率、主从同步时延、节点连接数、节点tps和节点qps。 14. 支持查看参数组详情，包括参数组内所有参数的参数名称、当前参数值、修改是否需要重启、参数可修改范围以及参数描述等信息。 15. 支持两个参数组之间参数项的比较，列出两个参数组中不同的参数项。仅可比较相同PG版本的参数组。 16. 支持复制参数组、重置参数组和删除参数组。 17. 支持将参数组应用到指定实例。 18. 支持查看参数组历史记录。 19. 支持记录数据库实例主从切换历史的功能，包括手动切换以及自动切换的场景。 20. 支持增加对数据库实例告警。 21. 新增实例运维操作，包括查杀空闲连接、空闲连接免杀白名单和清理在线表。 22. 引入开源PG12 修改功能 因部分安全漏洞扫描工具是基于软件版本号作为基线识别，您可能会在本版本扫描到如下安全漏洞，经过分析相关安全漏洞均已修复。 CVE20153165 CVE20072138 CVE20074772 CVE20160773 CVE20140062 CVE20050227 CVE20140063 CVE20140061 CVE20155288 CVE20150241 CVE20150243 CVE20165424 CVE20165423 CVE20155289 CVE20140067 CVE20140065 CVE20177548 CVE20050245 CVE20070555 CVE20140060 CVE20177484 CVE20160766 CVE20140064 CVE20150244 CVE20148161 CVE20153167 CVE20153166 CVE20076601 CVE20100733 CVE20100442 CVE20112483 修复缺陷 1. primaryconninfo在线无法修改。 2. 修复interval测试错误。 3. 外关联语法 (+) sublink 二次扫描 subselect重复解析bug。 4. psql 也支持 q' 语法。

本文介绍接入CDN后域名无法访问的问题现象及问题原因。 问题现象 1. 使用CDN加速后网站访问出现异常状态码，例如，403，404，5XX。 2. 使用CDN加速后网站访问URL时出现空白页面。 3. 使用CDN加速后网站出现其他异常错误。 问题原因 使用CDN加速后网站无法访问可能有多种原因。以下是一些常见的原因： 1. DNS解析问题：将域名解析到CDN时出现CNAME错误。 2. CDN配置问题：域名的配置可能存在问题，导致无法正常访问网站。 3. SSL证书问题：如果您的网站启用了HTTPS协议，请确保域名在CDN控制台上正确配置了HTTPS证书，并且证书没有过期或损坏。 4. 防火墙或安全策略限制：某些源站防火墙或安全策略可能会干扰CDN服务的正常运行。 5. 缓存问题：如果您在更新网站内容后发现无法访问，请尝试刷新CDN缓存，以便CDN能够获取最新的内容。 解决方案 1. DNS解析问题：您可以通过ping、nslookup、dig等命令检查域名的DNS解析设置，确保解析结果和CDN控制台上该加速域名的CNAME值一致。 2. CDN配置问题：您可以登录控制台检查您的域名配置是否正确。 3. SSL证书问题：您可以登录控制台更新您的证书。 4. 防火墙或安全策略限制：您可以检查您的服务器设置、CDN配置以及网络设备设置，确保没有任何阻止CDN访问的规则或策略。 如果您不确定是CDN还是源站的问题，可参考文档：如何确认访问异常是CDN节点问题还是源站问题 进行排查。 5. 缓存问题：您可以登录控制台创建刷新任务，刷新缓存，并在【域名管理】中检查文件的缓存配置是否正确。 除以上可能的原因，您还可以参考以下操作进行处理： 如果访问CDN加速资源返回403状态码，详情请见：访问CDN加速内容响应403状态码。 如果访问CDN加速资源返回404状态码，详情请见：访问CDN加速时出现404状态码。 如果访问CDN加速资源返回5XX状态码，详情请见：访问CDN加速内容返回5XX状态码。 在使用CDN加速后网站访问URL时出现空白页面，详情请见：访问URL时出现空白页面。 如果以上解决方法均无效，建议您通过提交工单联系天翼云客服帮助您解决问题。

操作步骤 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域。 3. 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 5. 单击目标策略名称，进入目标策略的防护配置页面。 6. 在“网站反爬虫”配置框中，用户可根据自己的需要更改网站反爬虫的“状态”，单击“BOT设置”，进入网站反爬虫规则配置页面。 7. 选择“特征反爬虫”页签，根据您的业务场景，开启合适的防护功能。 特征反爬虫规则提供了两种防护动作： 拦截:发现攻击行为后立即阻断并记录。 注意 开启拦截后，可能会有以下影响： 拦截搜索引擎请求，可能影响网站的搜索引擎优化。 拦截脚本工具，可能会影响部分APP访问（部分APP的UserAgent未做修改，会匹配脚本工具类爬虫规则）。 仅记录：默认防护动作，发现攻击行为后只记录不阻断攻击。 默认开启“扫描器”防护检测，用户可根据业务需要，配置防护动作并开启其他需要防护的检测类型。 特征反爬虫检测项说明： 检测项 说明 功能说明 搜索引擎 搜索引擎执行页面内容爬取任务，如Googlebot、Baiduspider。 开启后，WAF将检测并阻断搜索引擎爬虫。 说明 如果不开启“搜索引擎”，WAF针对谷歌和百度爬虫不会拦截。 扫描器 执行漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap。 开启后，WAF将检测并阻断扫描器爬虫。 脚本工具 用于执行自动化任务、程序脚本等，如httpclient、okhttp、python程序等。 开启后，WAF将检测并阻断执行自动化任务、程序脚本等。 说明 如果您的应用程序中使用了httpclient、okhttp、python程序等脚本工具，建议您关闭“脚本工具”，否则，WAF会将使用了httpclient、okhttp、python程序等脚本工具当成恶意爬虫，拦截该应用程序。 其他爬虫 各类用途的爬虫程序，如站点监控、访问代理、网页分析等。 说明 “访问代理”是指当网站接入WAF后，为避免爬虫被WAF拦截，爬虫者使用大量IP代理实现爬虫的一种技术手段。 开启后，WAF将检测并阻断各类用途的爬虫程序。 8. 选择“JS脚本反爬虫”页签，用户可根据业务需求更改JS脚本反爬虫的“状态”。 默认关闭JS脚本反爬虫，单击，在弹出的“警告”提示框中，单击“确定”，开启JS脚本反爬虫。 说明 JS脚本反爬虫依赖浏览器的Cookie机制、JavaScript解析能力，如果客户端浏览器不支持Cookie，此功能无法使用。 如果您的业务接入了CDN服务，请谨慎使用JS脚本反爬虫。由于CDN缓存机制的影响，JS脚本反爬虫特性将无法达到预期效果，并且有可能造成页面访问异常。 9. 根据业务配置JS脚本反爬虫规则。 JS脚本反爬虫规则提供了“防护所有请求”和“防护指定请求”两种防护动作。 除了指定路径以外，防护其他所有路径：“防护模式”选择“防护所有请求”，单击“添加排除请求规则”，配置防护路径后，单击“确认”。 只防护指定路径时：“防护模式”选择“防护指定请求”，单击“添加请求规则”，配置防护路径后，单击“确认”。 JS脚本反爬虫防护规则参数说明： 参数 参数说明 示例 规则名称 自定义规则名称。 wafjs 路径 设置JS脚本反爬虫的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 /admin 逻辑 在“逻辑”下拉列表中选择需要的逻辑关系。 包含 规则描述 规则备注信息。

本文主要介绍Helm v2与Helm v3的差异及适配方案。 随着Helm v2 发布最终版本Helm 2.17.0，Helm v3 现在已是 Helm 开发者社区支持的唯一标准。为便于管理，建议用户尽快将模板切换至Helm v3格式。 当前社区从Helm v2演进到Helm v3，主要有以下变化： 1. 移除tiller Helm v3 使用更加简单和灵活的架构，移除了 tiller，直接通过kubeconfig连接apiserver，简化安全模块，降低了用户的使用壁垒。 2. 改进了升级策略，采用三路策略合并补丁 Helm v2 使用双路策略合并补丁。在升级过程中，会对比最近一次发布的chart manifest和本次发布的chart manifest的差异，来决定哪些更改会应用到Kubernetes资源中。如果更改是集群外带的（比如通过kubectl edit），则修改不会被Helm识别和考虑。结果就是资源不会回滚到之前的状态。 Helm v3 使用三路策略来合并补丁，Helm在生成一个补丁时，会考虑之前老的manifest的活动状态。因此，Helm在使用老的chart manifest生成新补丁时会考虑当前活动状态，并将其与之前老的 manifest 进行比对，并再比对新的 manifest 是否有改动，并进行自动补全，以此来生成最终的更新补丁。 详情及示例请见Helm官方文档： 3. 默认存储驱动程序更改为secrets Helm v2 默认情况下使用 ConfigMaps 存储发行信息，而在 Helm v3 中默认使用 Secrets。 4. 发布名称限制在namespace范围内 Helm v2 只使用tiller 的namespace 作为release信息的存储，这样全集群的release名字都不能重复。Helm v3只会在release安装的所在namespace记录对应的信息，这样release名称可在不同命名空间重用。应用和release命名空间一致。 5. 校验方式改变 Helm v3 对模板格式的校验更加严格，如Helm v3 将chart.yaml的apiVersion从v1切换到v2，针对Helm v2的chart.yaml，强要求指定apiVersion为v1。可安装Helm v3客户端后，通过执行helm lint命令校验模板格式是否符合v3规范。 适配方案 ：根据Helm官方文档 v3模板，apiVersion字段必填。 6. 废弃crdinstall Helm v3删除了crdinstall hook， 并用chart中的crds目录替换。需要注意的是，crds目录中的资源只有在release安装时会部署，升级时不会更新，删除时不会卸载crds目录中的资源。若crd已存在，则重复安装不会报错。 适配方案 ：根据Helm官方文档 当前可使用crds目录或者将crd定义单独放入chart。考虑到目前不支持使用Helm升级或删除CRD，推荐分隔chart，将CRD定义放入chart中，然后将所有使用该CRD的资源放到另一个 chart中进行管理。 7. 未通过helm创建的资源不强制update，releaes默认不强制升级 Helm v3强制升级逻辑变化，不再是升级失败后走删除重建，而是直接走put更新逻辑。因此当前CCE release升级默认使用非强制更新逻辑，无法通过Patch更新的资源将导致release升级失败。若环境存在同名资源且无Helm V3的归属标记app.kubernetes.io/managedby: Helm，则会提示资源冲突。 适配方案 ：删除相关资源，并通过Helm创建。 8. Release history数量限制更新 为避免release 历史版本无限增加，当前release升级默认只保留最近10个历史版本。 更多变化和详细说明请参见Helm官方文档 Helm v2与Helm v3的区别： Helm v2如何迁移到Helm v3：