本节介绍分布式缓存服务Redis版产品功能特性 一级分类 二级分类 功能描述 基础能力 开源兼容 兼容开源5.0，6.0，7.0系列，集群兼容性高; 支持string，hash，list，set，sortedset等常见类型。 基础能力 开箱即用 提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力。 基础能力 高级命令支持 支持事务和订阅。 基础能力 水平扩展、透明访问 支持基于水平分片算法的集群扩展、提供接入层透明的访问能力。 基础能力 CPU兼容 支持跨平台的软硬件，如飞腾、鲲鹏、海光国产CPU。 高可用 服务可靠性 支持主备、集群高可用实例类型。 高可用 节点故障自动切换功能 节点故障自动检测、恢复。 高可用 数据持久化 RDB+AOF组合持久化策略，保障数据丢失最小化。 高可用 在线扩容 支持实例存储空间、内存等资源平滑扩容。 运维 集群管理 集群可视化管理，查看节点状态，修改配置。 运维 运维监控 提供丰富的服务监控指标、系统监控指标。 运维 数据备份恢复 提供数据备份及数据恢复机制。 运维 安装部署 一键安装部署。 运维 权限管理 支持多账号，支持设置读写、只读权限，最小化授权。 运维 日志功能 支持日志记录、慢日志排查超时问题等日志功能。 开发 多语言连接 支持Java、Python、C

本文将为您介绍如何在专属云上创建VPC 操作场景 当您创建了专属云资源池之后，可参照本文在专属云中创建VPC，用户在专属云上创建VPC时，可以拥有独立的物理服务器和网络设备，这种隔离性能提供更高级别的安全性。 前提条件 已联系专属客户经理填写业务需求单申请计算专属云，详情请参见申请计算专属云服务。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择您的专属云资源池，如华东>dectest1017。 3. 在控制台首页，选择“网络>虚拟私有云”。 4. 在网络控制台的右上角，单击“创建虚拟私有云”按钮。 5. 在虚拟私有云创建页面中，根据自身业务需求完成云主机实例的配置，包括VPC名称、VPC网段、子网名称、子网网段等。 6. 确认创建VPC信息并点击“立即创建”按钮，等待创建成功后可在网络控制台虚拟私有云处查看创建完成的VPC。

本节介绍登录天翼云电脑（政企版）控制台的操作指导。 操作场景 登录AI云电脑（政企版）控制台后，才能进行如下业务操作： 订购并管理资源包：管理员可先订购包括AI云电脑计算、存储和网络配额的资源包，然后再通过使用资源包为终端用户分配AI云电脑实例、配置数据盘及上网带宽。 创建并管理AI云电脑：可以通过资源包或单实例方式开通Windows系统、Linux系统的AI云电脑，可以查看和管理租户下所有AI云电脑的使用情况。 管理组织结构：在管理控制台上创建部门、角色、用户、子账号等，更好地维护管理台用户的组织架构。 管理网络：管理员可自主配置和管理虚拟网络环境。可配置虚拟私有云（VPC）、业务子网、网络安全组、上网带宽等。 管理策略：管理员可以通过配置策略，对用户终端与AI云电脑之间的数据传输和外设接入的权限进行控制。 通过产品详情页进入 1. 使用管理员帐号登录天翼云门户； 2. 前往天翼AI云电脑（政企版）产品详情页面； 3.在产品详情页面点击“管理控制台”进入即可。

NAT网关产品为您提供安全可靠的网络地址转换服务，本文带您了解NAT网关的产品优势。 灵活部署 支持跨子网和跨AZ提供服务。NAT网关可为同一个VPC的多个AZ的多个子网提供服务。NAT网关的规格、带宽和公网IP、中转IP，均可以按需配置。 简单易用 多种网关规格可灵活选择。对NAT网关进行简单配置后，即可使用，运维简单，即开即用，运行稳定可靠。 降低成本 多个计算实例共享使用弹性IP。当您的私有IP地址通过NAT网关发送流量时，该软件将私有地址转换为公共地址。用户无需为计算实例访问Internet购买多余的弹性IP和带宽资源，多个计算实例共享使用弹性IP，有效降低成本。 高性能 NAT网关基于DPDK优化转发面性能，绕过协议栈直接从网卡驱动获取数据报文，直接将数据报文发送给用户态应用程序，不触发后续中断流程，减少了中断和内存拷贝的消耗，从而提升数据报文处理速度。 高可用 NAT网关主备集群模式，单网元故障集群内状态同步，秒级故障收敛，具备高可用性。 可视化运维 可用区资源池可对出入网流量进行可视化监控，及时发现网络瓶颈，保障业务永续服务，让运维更简单。

本节主要介绍PUT Bucket Policy。 在PUT操作的url中加上Policy，可以进行添加或修改Policy的操作。如果Bucket已经存在了Policy，此操作会替换原有Policy。只有根用户和拥有PUT Bucket Policy权限的用户才能执行此操作，否则会返回403 AccessDenied错误。 注意 如果Bucket的属性为私有或者公共读，使用该接口配置允许任何用户可以向该Bucket写文件的策略时，请联系天翼云客服评估审核后开通。 请求语法 PUT /?policy HTTP/1.1 Host: BucketName.ooscn.ctyunapi.cn Date: date Authorization: SignatureValue Policy written in JSON 请求的内容是一个包含Policy语句的JSON串，详见Bucket Policy安全策略。 请求参数 名称 描述 是否必须 BucketName 存储桶名称。 是 请求示例 PUT /?policy HTTP/1.1 Host: examplebucket.ooscn.ctyunapi.cn Date: Sun, 28 Apr 2024 02:02:21 GMT ContentMD5: +nl0RJvKLaXlRhwFXiBLVw ContentType: application/octetstream XAmzContentSha256: c71bbdea6d26f41a56ce0312bfeadffa06718956c925dbc82af5df7bbad6a58f Authorization: SignatureValue Connection: keepalive ContentLength: 465 { "Version":"20121017", "Id":"", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "CTYUN": "arn:ctyun:iam::32fefj64y54gc:user/test1" }, "Action":"oos:", "Resource":"arn:ctyun:oos:::examplebucket/", "Condition":{ "StringLike":{ "ctyun:Referer":[ " " ] } } } ] }

本节介绍弱口令管理功能，包括处置风险、查看弱口令详情等。 为租户提供弱口令查询及处置功能。 条件查询 查询条件支持应用名称、服务器、“口令类型”(支持模糊匹配)、“IP/IP段”(支持模糊匹配)、“用户名”(支持模糊匹配)、处置状态。 处置弱口令 提供处置能力，可直接或批量修改弱口令处置状态。状态枚举值：修复中、已修复、忽略、已加固等（此处修改弱口令状态仅用于云安全中心展示使用）。 修改处置状态可填写状态变更原因。 查看弱口令详情 在弱口令详情中，可以查看所有历史状态变更记录的信息，包括：处置人、处置状态、处置说明和处置时间等。 查看弱口令关联资产 每条弱密码能够关联资产信息，可快速查看关联的资产详情。

名词 说明 智能网关 在SDWAN网络架构中，智能网关通常简称为CPE。CPE作为部署在客户侧的重要网络设备，与PoP点之间组建加密通道，将客户侧的流量通过加密通道传输至PoP点并进入SDWAN骨干网中，进而最终传输到组网对端CPE。 虚拟智能网关（vCPE） 智能网关vCPE是智能网关的软件镜像版。在SDWAN网络架构中，通过将vCPE镜像部署在云主机中，使服务器作为一个虚拟智能网关设备提供入云服务，帮助用户打破云间壁垒，提供更加灵活、便捷的入云服务。 网络接入点 网络接入点通常简称为PoP点。在SDWAN网络中，PoP点作为SDWAN组网的重要网络节点，承担着与智能网关之间通信，与其它跨域PoP点之间的SDWAN骨干网通信等重要功能。 SDWAN骨干网 中国电信SDWAN产品的PoP节点间的骨干网，基于中国电信优质的ChinaNet网络及CN2DCI网络构成，用户的SDWAN网络流量在骨干网中通过VxLAN技术进行逻辑隔离，保障用户数据的安全性和私密性。

短信服务支持基于Restful的POST方式发送HTTP/HTTPS请求。请求参数需要包含在Body中，请求及返回结果都使用 UTF8 编码。 短信发送流程 1. 在控制台中添加签名、模板并经审核通过。 2. 调用短信服务的短信发送接口。 3. 短信服务成功收到请求后转发请求给运营商，运营商发送短信。 4. 用户收到短信后，短信服务会有最终的状态消息确认，即消息回执。 对应的协议是： 1. 支持HTTP或HTTPS协议请求通信。为了获得更高的安全性，推荐您使用HTTPS协议发送请求。 2. 发送API采用Rest协议，其中签名算法使用了天翼云的EOP协议。 3. 发送后的消息回执采用Restful的方式异步通知给客户。 服务地址 调用API的服务地址为 请注意，本系统所接口响应类的时间格式均为RFC3339标准，请按照标准进行解析。

天翼云安全漏洞扫描服务分为：受理审核和实施两个阶段。本小节介绍漏洞扫描开通指引。 第一步：受理审核阶段 客户填写业务受理单并签署漏洞扫描授权书，交由客服确认，确认后转交漏洞扫描团队，漏洞扫描团队对客服转交的业务受理单信息再次与客户确认，约2个工作日。如业务受理单出现问题，将返回客服，直到业务受理单无问题，才可进入实施阶段。 第二步：实施阶段 1. 漏洞扫描方案与客户进行确认，0.5工作日。 2. 漏洞扫描实施，根据主机数量不同，具体完成时间也不尽相同，但至多10个工作日内完成所有工作。 问题沟通：对实施过程中发生的问题与客户实时沟通。 3. 输出服务报告：漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4. 报告审核修订：由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5. 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6. 在客户收到漏洞扫描服务报告后，乙方参与漏洞扫描项目的专家为客户持续提供3天时间，用于咨询报告中的不明事项。

本章主要介绍翼MapReduce的解锁系统内部用功能。 操作场景 若服务出现异常状态，有可能是系统内部用户被锁定，请及时解锁，否则会影响集群正常运行。系统内部用户列表请参见用户帐号一览表。系统内部用户无法使用FusionInsight Manager解锁。 前提条件 根据用户帐号一览表获取LDAP管理员“cnroot,dchadoop,dccom”的默认密码。 操作步骤 1.使用以下方法确认系统内部用户是否被锁定： a.查询oldap端口： 登录FusionInsight Manager，选择“系统 > OMS > oldap > 修改配置”。 “Ldap服务监听端口”参数值即为oldap端口。 b.查询域名方法： 登录FusionInsight Manager，选择“系统 > 权限 > 域和互信”。 “本端域”参数即为域名。 例如当前系统域名为“9427068F6EFA4833B43E60CB641E5B6C.COM”。 c.在集群内节点上以omm用户执行以下命令查询密码认证失败次数： ldapsearch H ldaps://OMS浮动IP地址:OLdap端口 LLL x D cnroot,dchadoop,dccom b krbPrincipalName系统内部用户名@当前域名,cn当前域名,cnkrbcontainer,dchadoop,dccom w LDAP管理员密码 e ppolicy grep krbLoginFailedCount 例如，查看oms/manager用户认证失败次数： ldapsearch H ldaps://10.5.146.118:21750 LLL x D cnroot,dchadoop,dccom b krbPrincipalNameoms/manager@9427068F6EFA4833B43E60CB641E5B6C.COM,cn9427068F6EFA4833B43E60CB641E5B6C.COM,cnkrbcontainer,dchadoop,dccom w cnroot,dchadoop,dccom 用户密码 e ppolicy grep krbLoginFailedCount krbLoginFailedCount: 5 d.登录FusionInsight Manager，选择“系统 > 权限 > 安全策略 > 密码策略”。 e.查看“密码连续错误次数”参数值，若小于等于“krbLoginFailedCount”参数值，则用户已被锁定。 说明 查看运行日志，也可以确认系统内部用户是否被锁定。 2.以omm用户登录主管理节点，执行以下命令解锁。 sh ${BIGDATAHOME}/omserver/om/share/om/acs/config/unlockuser.sh userName 系统内部用户名 例如， sh ${BIGDATAHOME}/omserver/om/share/om/acs/config/unlockuser.sh userName oms/manager

NAT流量防护规则 1. 开启NAT流量防护，请参见“开启NAT网关流量防护”。 2. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”页面。 3. 添加新的防护规则。 单击“添加”，在弹出的“添加防护规则”中，填写新的防护信息。 DNAT场景填写规则请参见下表 参数名称 参数说明 规则类型 选择NAT规则： 防护NAT网关的流量，支持配置私网IP。 说明 NAT规则需满足： “专业版”防火墙。 已配置VPC边界防火墙。 名称 自定义安全策略规则的名称。 方向 选择“DNAT”。 源 设置会话发起方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见“添加自定义IP地址组和IP地址”。 地域：支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 Any：任意源地址。 目的 设置会话接收方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见《云防火墙用户指南》中《添加IP地址组》。 Any：任意目的地址。 服务 服务：设置协议类型、源端口和目的端口。 协议类型：支持选择TCP、UDP、ICMP。 源/目的端口：“协议类型”选择“TCP”或“UDP”时，需要设置端口号。 说明 如您需设置该IP地址的全部端口，可配置“端口”为“165535”。 如您需设置某个端口，可填写为单个端口。例如设置22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“”隔开。例如设置80443端口的访问，则配置“端口”为“80443”。 服务组：支持多个服务（协议、源端口、目的端口）的集合，添加自定义服务组请参见“添加自定义服务组和服务”，预定义服务组请参见“查看预定义服务组”。 Any：任意协议类型和端口号。 防护动作 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 启用状态 设置该策略是否立即启用。 ：表示立即启用，规则生效。 ：表示立即关闭，规则不生效。 策略优先级 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 说明 设置后，优先级数字越小，策略的优先级越高。 添加的第一条防护规则默认优先级是1，无需选择“策略优先级”。 时间计划管理 （可选）单击“时间计划管理”设置规则的生效时间段，选择已设置的时间计划或“新增时间计划”。 配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时，可配置业务会话老化时间。 是：设置长连接时长。 否：保留默认时长，各协议规则默认支持的连接时长如下： TCP协议：1800s。 UDP协议：60s。 说明 最大支持50条规则设置长连接。 长连接时长 “配置长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。 标签 （可选）用于标识规则，可通过标签实现对安全策略的分类和搜索。 描述 （可选）标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 SNAT场景填写规则请参见下表 参数名称 参数说明 规则类型 选择NAT规则： 防护NAT网关的流量，支持配置私网IP。 说明 NAT规则需满足： “专业版”防火墙。 已配置VPC边界防火墙。 名称 自定义安全策略规则的名称。 方向 选择“SNAT”。 源 设置会话发起方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见“添加自定义IP地址组和IP地址”。 地域：支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 Any：任意源地址。 目的 设置会话接收方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见“添加自定义IP地址组和IP地址”。 地域：支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 Any：任意目的地址。 服务 服务：设置协议类型、源端口和目的端口。 协议类型：支持选择TCP、UDP、ICMP。 源/目的端口：“协议类型”选择“TCP”或“UDP”时，需要设置端口号。 说明 如您需设置该IP地址的全部端口，可配置“端口”为“165535”。 如您需设置某个端口，可填写为单个端口。例如设置22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“”隔开。例如设置80443端口的访问，则配置“端口”为“80443”。 服务组：支持多个服务（协议、源端口、目的端口）的集合，添加自定义服务组请参见“添加自定义服务组和服务”，预定义服务组请参见“查看预定义服务组”。 Any：任意协议类型和端口号。 防护动作 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 启用状态 设置该策略是否立即启用。 ：表示立即启用，规则生效。 ：表示立即关闭，规则不生效。 策略优先级 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 说明 设置后，优先级数字越小，策略的优先级越高。 添加的第一条防护规则默认优先级是1，无需选择“策略优先级”。 配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时，可配置业务会话老化时间。 是：设置长连接时长。 否：保留默认时长，各协议规则默认支持的连接时长如下： TCP协议：1800s。 UDP协议：60s。 说明 最大支持50条规则设置长连接。 长连接时长 “配置长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。 标签 （可选）用于标识规则，可通过标签实现对安全策略的分类和搜索。 描述 （可选）标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 4. 单击“确认”，完成配置防护规则。 说明 访问控制策略默认状态为放行。

组播的定义 组播（Multicast）是一种网络通信模式，适用于需要将相同的数据从一个主机同时传送给多个接收者的应用。组播技术能够有效地解决单点发送、多点接收的问题，从而实现了网络中点到多点的高效数据传送，能够节约大量网络带宽、降低网络负载。利用组播技术可以方便地提供一些新的增值业务，包括在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等对带宽和数据交互的实时性要求较高的信息服务。 组播的优势 在点对多点的网络通信场景中，相对于单播和广播通信模式，组播通信模式可以帮助您减轻服务器负载并提高带宽的利用率。 单播方式的信息传输： 单播通信模式中，信息源要为每个需要信息的主机都发送一份独立的信息拷贝。采用单播方式时，网络中传输的信息量与需要该信息的用户量成正比，因此当需要该信息的用户数量较大时，信息源需要将多份内容相同的信息发送给不同的用户，这对信息源以及网络带宽都将造成巨大的压力。如下图1所示。 图1：单播方式的信息传输 从单播方式的信息传播过程可以看出，该传输方式不利于信息的批量发送。 广播方式的信息传输： 广播通信模式中，信息源将把信息传送给该网段中的所有主机，而不管其是否需要该信息。若将该信息在网段中进行广播，则原本不需要信息的主机也将收到该信息，这样不仅信息的安全性得不到保障，而且会造成同一网段中信息的泛滥。如下图2所示。 图2：广播方式的信息传输 从广播方式的信息传播过程可以看出，广播不利于与特定对象进行数据交互，并且还浪费了大量的带宽。 组播方式的信息传输： 在组播通信模式下，组播源仅需发送一份信息，借助组播路由协议建立组播分发树。在传输过程中，组播网关也只需要转发一份组播报文，在转发组播报文过程中，只需要依据客户端的位置，在客户端临近的组播网关上复制转发组播报文即可，有效减轻服务器负载，节省带宽。如下图3所示。 图3：组播方式的信息传输 综上所述，组播的优势归纳如下： 相比单播来说，组播的优势在于：由于被传递的信息在距信息源尽可能远的网络节点才开始被复制和分发，所以用户的增加不会导致信息源负载的加重以及网络资源消耗的显著增加。 相比广播来说，组播的优势在于：由于被传递的信息只会发送给需要该信息的接收者，所以不会造成网络资源的浪费，并能提高信息传输的安全性；另外，广播只能在同一网段中进行，而组播可以实现跨网段的传输。

内网和外网负载均衡器 内网负载均衡 依据不同网络类型，天翼云还支持内网负载均衡器和外网负载均衡器。内网负载均衡通过内网IP地址对内部主机进行负载均衡，实现内部服务的高可用性和性能优化，同时确保内网环境的安全性。 外网负载均衡 外网负载均衡可以将来自公网的流量均衡地分发到多个后端主机组，实现高可用性和性能的提升。 性能保障型/经典型与外网/内网的对应关系 性能保障型负载均衡器和经典型负载均衡器都可以用于内网和外网负载均衡。经典型负载均衡器适用于场景需求较为简单的应用，可以提供基本的负载均衡功能。性能保障型负载均衡器则专注于对性能要求更高的应用场景，提供更强大的性能和扩展能力。通过使用性能保障型负载均衡，您可以获得更高的负载性能、低延迟和更好的吞吐量。 无论是内网还是外网负载均衡，您都可以根据实际需求选择适合的负载均衡器类型。 无论是经典型还是性能保障型负载均衡器，您都可以根据实际需求选择将其用于内网或外网负载均衡。具体配置和使用方式请参考天翼云的帮助文档。

产品优势 弹性扩展：作为本地与云端存储之间的桥梁，利用天翼云对象存储（经典版）I型的PB级弹性存储能力，实现大规模横向扩展和混合云存储。 安全可靠：支持多副本和纠删码数据冗余保护机制，确保数据不丢，保证数据一致性，可以承载企业核心业务。 即装即用：高度优化的压缩安装包，只需3个命令即可安装在Linux操作系统上，从安装包解压到集群初始化不超过3分钟。 建议搭配产品 弹性云主机 天翼云对象存储（经典版）I型 场景架构图 无缝接入 利旧原有业务系统，可通过云存储网关使用行业标准 iSCSI 协议连接，无需重写本地应用程序，无需修改现有使用架构，即可将本地应用与云端存储无缝连接，享受低成本、易扩展，无上限的云端存储。此外，本地可以保留需要经常访问的热数据，实现低延迟访问。 产品优势 利用率高：兼容主流Linux操作系统，支持和其他应用混合部署，支持异构硬件部署，显著提高了资源利用率，降低使用成本。 读写延迟低：采用分布式双控架构，提升性能，延迟极低。同时优化了数据重建流程，避免性能瓶颈，快速响应企业的核心应用。 建议搭配产品 天翼云对象存储（经典版）I型

本章节介绍云硬盘备份的场景说明,包含一次性备份和周期性备份。 云硬盘备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云硬盘的方式创建的周期性备份任务。 云硬盘备份的两种配置方式对比如下表，可根据实际情况选择适合的配置方式。 对比项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云硬盘数目 1个 无限制由服务器性能决定 备份名称 支持自定义 系统自动生成 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。 另外，用户也可以根据业务情况将两种方式混合使用。例如，根据云硬盘中存放数据的重要程度不同，可以将所有的云硬盘加入到一个备份策略中进行日常备份保护。其中个别保存有非常重要的数据的云硬盘，根据需要不定期的执行一次性备份，保证数据的安全性。

云主机备份产品广泛应用于多种场景,本文带您更快了解云主机备份的经典应用场景。 云主机备份是一种非常重要的数据保护和恢复措施，适用于政府、金融等对数据安全性要求较高的客户，可以在各种场景下快速恢复数据，防止因意外、事故、黑客攻击或病毒入侵等导致的数据丢失。 场景说明 受黑客攻击或病毒入侵场景：在面临黑客攻击或病毒入侵的情况下，通过备份，可以立即恢复到最近一次没有受到黑客攻击或病毒入侵的备份时间点。这将消除黑客或病毒对数据和系统造成的损害，让系统恢复到正常运行状态，同时避免进一步扩散和数据丢失。 数据误删场景：数据误删是一个常见但严重的问题，通过云主机备份，可以迅速找回被删除的数据。备份允许立即恢复到删除前的备份时间点，确保数据的完整性和可用性，从而避免因误操作而导致的数据丢失或业务中断。 云主机宕机场景：当云主机遭遇宕机时，业务可能会受到严重影响。通过备份，可以迅速恢复到宕机之前的备份时间点，使云主机能够再次正常启动。这将减少业务中断时间，恢复服务，并降低损失的可能性。

本章节列举了使用云硬盘备份过程中的通用类问题,以及相对应的解答。 什么是云硬盘备份？ 云硬盘备份（Volume Backup Service）提供对公有云环境中云硬盘的基于快照技术的数据保护服务，简称VBS。 VBS使您的数据更加安全可靠。例如，当您的云硬盘出现故障或云硬盘中的数据发生逻辑错误时（如误删数据、遭遇黑客攻击或病毒危害等），可快速恢复数据。 VBS支持全量备份和增量备份。第一次做备份时，系统默认做全量备份，非第一次的备份，系统默认做增量备份。无论是全量还是增量都可以方便的将云硬盘恢复至备份时刻的状态。 什么是备份策略？ 备份策略指的是对备份对象执行备份操作时，预先设置的策略，策略包括备份策略的名称、备份任务的调度计划和备份数据的保留策略。其中调度计划包括备份执行的频率，备份执行的时间点，备份数据的保留策略包括备份数据的保存时间或保存数量。通过将云硬盘绑定到备份策略，可以为云硬盘执行自动备份。 云硬盘备份支持对弹性云主机中所有云硬盘进行备份吗？ 支持。云硬盘备份可以备份系统盘和数据盘。可通过创建备份策略并绑定多个云硬盘，对多个云硬盘进行备份。

NAT网关产品广泛应用云上VPC公网统一出口和面向Internet提供公网服务场景,本文带您更快了解NAT网关经典应用场景。 公网NAT网关 应用场景一：云上网络入口，面向Internet提供服务 场景说明 当VPC内的云主机需要面向公网提供服务时，可以使用NAT网关的DNAT功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络安全。 推荐配置 DNAT功能绑定弹性IP，可通过端口映射方式，NAT网关会将会把访问该弹性IP的请求转换成指定的IP和端口转发到目标云主机实例上。 一个云主机配置一条DNAT规则，如果有多个云主机需要为公网提供服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。实现多个云主机共享弹性IP和带宽，精确的控制带宽资源，节省公网带宽资源。 组网架构 使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机、物理机的任何一个。例如： 弹性IP1的80端口，映射到云主机ECS 1的10080端口。 弹性IP1的8080端口，映射到云主机ECS 2的20080端口。 弹性IP2的443端口，映射到云主机ECS 3的30443端口。

本章节介绍云原生网关的插件配置 概述 云原生网关中提供了丰富的插件功能，可以满足用户特定的流量管理、可观测性、安全性能、请求/响应转换等需求，从而提高了网关的可扩展性，使得用户能够根据具体的应用场景进行灵活配置，实现高度个性化的云原生网关服务。 插件配置 目前云原生网关支持全局和路由级别两种粒度的插件配置： 1. 全局插件 ：应用于整个网关实例，对所有的路由都生效。一种插件类型只能有一个全局插件配置，应用于全体路由上。 2. 路由级插件 ：可灵活绑定在某一条路由上，只对特定的路由生效，允许根据具体的路由定制化功能。一种插件类型可以有多个不同的路由级插件配置，每个路由级插件配置可灵活应用于多条路由上。 3. 路由策略 ：也是由插件配置实现的，支持限流、重写等策略，应用在具体路由上。 当在路由上同时配置了某一种插件类型的全局插件、路由级插件和路由策略时，插件生效的优先级为：全局插件> 路由策略 路由级插件，即以全局插件中的配置为准。若在路由上只同时配置同一插件类型的路由级插件和路由策略，则以最新的插件配置为准。

恢复操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 进入备份任务，选择相应的备份任务，在操作中单击恢复，选择相应的目标进行恢复。选中了目标实例，会根据备份库表所在节点的top结构自动匹配目标实例下对应的恢复top节点，如果分片和副本top没有匹配，将无法支持恢复任务。 3. 创建恢复任务后，会在源备份和目标恢复实例的恢复任务列表下都显示此次恢复任务。为了数据安全，数据恢复操作会先把数据恢复到目标集群临时库下，通过后台和人工check，由用户自主确定是否做临时库的数据切换。 4. 数据检查可通过恢复任务里的详情来check源目标节点相应表下的数据是否一致。 说明 因为对象存储中表备份数据还有一个额外文件，所以会比目标备份节点实际临时表数据多100多KB数据。 5. 人工核对恢复数据没有问题，可点击数据切换 按钮，会秒级把数据从临时表切换到正式表里。如果核对数据有问题，也可以点击取消按钮，暂停并删除此次目标集群的恢复任务。 注意 无论元数据还是数据恢复操作，都会把目标集群下相应恢复表的数据删除（如果有），请谨慎操作。

本节描述了GeminiDB Redis的优势。 GeminiDB Redis是一款基于计算存储分离架构，兼容Redis生态的云原生NoSQL数据库。GeminiDB Redis突破了开源Redis的内存限制，通过将数据进行冷热分离，在保证热数据驻留计算节点内存满足业务低时延要求的同时，将冷数据置换入分布式存储池进行持久化存储，最大程度的降低使用成本。 GeminiDB Redis具有高兼容、高性价比、高可靠、弹性伸缩、高可用、冷热分离等特点。 高兼容 用户应用无需修改代码，可直接使用，100%兼容原生Redis接口。 高性价比 GeminiDB Redis基于共享存储，在提供足够性能的前提下，大幅度降低海量数据使用Redis的成本。 GeminiDB Redis将数据全部存储在磁盘中，并实现了冷热分离，解决了缓存（Cache）与数据库（Database，DB）之间交互访问的问题，提高了程序可读性与程序运行效率。 高可靠 GeminiDB Redis基于共享存储池的多副本强一致机制，保证数据的安全可靠。 计算节点无状态，故障节点自动接管。 存储池支持跨AZ部署。 无损弹性伸缩 RocksDB深度定制，秒级分裂弹性扩容。 扩缩容无需搬迁数据，快速而平滑。 通过proxy代理，使上层业务可以不感知内核处理扩缩容过程中的数据迁移。 高可用 计算节点无状态，故障节点自动接管。 存储池支持跨AZ部署。

本文主要介绍 网络策略（NetworkPolicy）。 网络策略（NetworkPolicy） NetworkPolicy是Kubernetes设计用来限制Pod访问的对象，通过设置NetworkPolicy策略，可以允许Pod被哪些地址访问（即入规则Ingress）、或Pod访问哪些地址（即出规则Egress）。这相当于从应用的层面构建了一道防火墙，进一步保证了网络安全。 NetworkPolicy支持的能力取决于集群的网络插件的能力，如CCE的集群只支持设置Pod的入规则。 默认情况下，如果命名空间中不存在任何策略，则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的规则可以选择如下3种： namespaceSelector：根据命名空间的标签选择，具有该标签的命名空间都可以访问。 podSelector：根据Pod的标签选择，具有该标签的Pod都可以访问。 ipBlock：根据网络选择，网段内的IP地址都可以访问。（CCE当前不支持此种方式） 约束与限制 当前仅容器隧道网络模型的集群支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置出方向（egress）。 不支持对IPv6地址网络隔离。 使用Ingress规则 使用podSelector设置访问范围 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: testnetworkpolicy namespace: default spec: podSelector: 规则对具有roledb标签的Pod生效 matchLabels: role: db ingress: 表示入规则 from: podSelector: 只允许具有rolefrontend标签的Pod访问 matchLabels: role: frontend ports:

资源编排ROS和 Terraform 有什么关系？ 资源编排ROS基于 Terraform 引擎进行封装，用户可以通过控制台或 API 使用 Terraform 语法（HCL）来描述云上资源。服务负责资源创建、更新、销毁的生命周期管理，无需用户本地安装 Terraform。 资源编排如何收费 资源编排ROS本身不收取服务费。但是，通过本服务创建和管理的一切天翼云资源（如ECS、EIP、CCSE、Mysql等），都会按照各自产品的标准计费规则进行收费。 服务支持的 Terraform 版本是多少？ 当前支持的Terraform版本号是1.5.7 使用资源编排ROS需要哪些权限？ 用户需具备对应云资源的创建、查询、删除权限，以及对资源编排ROS本身的访问权限（例如：模板管理、资源栈管理）。 Terraform Provider 的 AK/SK 是如何管理的？ 对于AK/SK：控制台会自动使用您当前登录的账号权限，生成委托ak/sk, 以您的权限进行资源的开通，无需在模板中指定。 我的Terraform状态文件存储在哪里？ 状态文件由资源编排ROS后端统一托管。您无需关心其存储位置和备份问题。这种机制保证了状态文件的安全性和多用户协作时的一致性。 如何将天翼云上已经存在的资源纳入到资源栈中进行管理？ 当前版本暂时不支持，我们正在抓紧迭代中。

本章节为您介绍如何快速启用数据加密网关。 基于透明化服务理念，业务应用无需改造即可实现数据库中敏感数据的保护，支持国密算法，保证存储过程的机密性和完整性，满足应用和数据安全的合规要求。 启用流程 数据加密网关启用流程大致可参考下图： 步骤一：创建数据库代理 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“数据库管理 > 数据库列表”，进入“数据库列表”页面。 3. 单击页面左上角的“新增”按钮，进入“新增代理实例”页面。 4. 填写数据库实例代理相关内容，填写完成后单击“提交”，即可完成数据库代理配置。 步骤二：添加数据库实例 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“数据库管理 > 数据库列表”，进入“数据库列表”页面。 3. 单击“操作”列的“新增实例”按钮，跳转至“新增实例”页面。 4. 填写相关参数，将实例纳管至数据库代理中。 步骤三：配置加密规则 1. 选择需要配置加密规则的数据库，单击“操作”列的“配置加密”。 2. 在“表名”下拉框中选择需要配置加密规则的数据库表。 3. 单击“加密配置”，选择需要加密的字段开始配置。 步骤四：启用数据加密服务 配置完成后，单击对应数据库实例的“加密洗数”即可开始使用数据加密服务。

本小节介绍证书管理服务个人数据保护机制。 为了确保您的个人数据（例如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，CCMS通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 收集范围 CCMS收集及产生的个人数据如下表所示： 类型 收集方式 是否可以修改 是否必须 租户ID 在控制台进行任何操作时Token中的租户ID 在调用API接口时Token中的租户ID 否 是，租户ID是证书资源身份标识 姓名 在申请SSL证书时填写的联系人姓名 是 是，证书审核人工认证阶段必须 邮箱 在申请SSL证书或私有证书时填写的邮箱 申请SSL证书时填写的邮箱：是 申请私有证书时填写的邮箱：否 申请SSL证书时填写的邮箱：是，证书审核人工认证阶段必须 申请私有证书时填写的邮箱：否 手机号码 在申请SSL证书时填写的联系人手机号 是 是，证书审核人工认证阶段必须 企业营业执照 在申请SSL证书时，可以选择上传企业营业执照 是 否 银行开户许可 在申请SSL证书时，可以选择上传银行开户许可 是 否 企业项目ID 在申请或使用SSL证书、私有证书时，可以为证书分配企业项目 是 已开通企业项目：是 未开通企业项目：否

本节主要介绍管理访问秘钥。 访问密钥（AK/SK，Access Key ID/Secret Access Key）包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，是您在系统的长期身份凭证，您可以通过访问密钥对部分云服务API的请求进行签名。系统通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。 新增访问密钥 步骤 1 用户使用天翼云帐号或IAM子用户登录天翼云官网。 步骤 2 单击天翼云首页顶部右侧“控制中心”，资源池选择二类节点。 步骤 3 在控制中心首页顶部右侧，单击用户名，弹出下拉菜单，并在下拉列表中单击“我的凭证”。 步骤 4 在“我的凭证”页面，左侧功能栏单击“访问密钥”。 步骤 5 单击“新增访问密钥”，输入验证码。 说明 如果您绑定了邮箱或者手机，需要输入验证码，如果没有绑定邮箱或者手机，仅需要输入登录密码即可新增访问密钥。 步骤 6 单击“确定”，生成并下载访问密钥。 说明 最多可创建2个访问密钥，有效期为永久。为了账号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。

应用一致性 业界对备份一致性的定义包括如下三类： 不一致备份：备份的文件、磁盘不在同一个时间点。 崩溃一致性备份：崩溃一致性备份会捕获备份时磁盘上已存在的数据，文件/磁盘数据在同一时间点，但不会备份内存数据并且静默应用系统，不保证应用系统备份一致性。尽管并未保证应用一致性，但通常情况下，操作系统重启后会进行chkdsk等磁盘检查过程来修复各种损坏错误，数据库会进行日志回滚操作保证一致性。 应用一致性备份：文件/磁盘数据在同一时间点，并备份内存数据，保证应用系统一致性。 数据库备份 云主机备份同时支持崩溃一致性备份和应用一致性备份（即数据库备份）。启用数据库备份前，需要先安装客户端，否则会导致数据库服务器备份失败。 周期性全备 默认情况下，云服务备份对一个新的资源第一次进行全量备份，后续进行永久增量备份。 云服务备份现支持在资源非第一次备份的情况下进行定期进行全量备份。您可以通过策略设置，配置每进行N次增量备份后，进行一次全量备份。相较于之前的策略配置，将更进一步提升备份数据的安全性，满足用户定期进行全量备份的需求。 周期性全备相较于永久增量备份占用的存储容量也会相应增加。

配置防护目录 分为添加白名单和添加黑名单两种模式，可根据实际使用场景进行配置。 白名单模式：会对添加的防护目录和文件类型进行保护。 黑名单模式：会防护目录下所有未排除的子目录、文件类型和指定文件。 说明 一台服务器不能同时使用白名单模式和黑名单模式，建议您使用白名单模式。 每台服务器最多可添加20个防护目录；被防护的目录文件总大小不超过200GB；所有被防护的目录下的文件夹个数不超过30000个。 白名单模式 白名单模式添加防护目录、防护文件类型和本地备份目录，配置完成后，即开始对配置的文件进行防护。 黑名单模式 黑名单模式支持添加防护目录、排除子目录、排除文件类型、排除指定文件和本地备份目录，配置完成后，即开始防护目录下所有未排除的子目录、文件类型和指定文件。 设置特权进程 特权进程拥有对防护目录进行操作的权限，请确保特权进程安全可靠。 单击“添加”，弹出新增特权进程窗口，配置特权进程路径后，单击“确定”，完成特权进程配置。

本章主要介绍命令重命令 Redis4.0及以上版本的实例创建之后，支持重命名高危命令。当前支持重命名的高危命令有command、keys、flushdb、flushall、hgetall、scan、hscan、sscan、和zscan，Proxy集群实例还支持dbsize和dbstats命令重命名，其他命令暂时不支持。 操作步骤 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击，选择区域和项目。 步骤 3 单击左侧菜单栏的“缓存管理”。进入缓存管理页面。 步骤 4 在需要进行重命名命令的缓存实例右侧，单击“操作”栏下的“更多 > 命令重命名”。 步骤 5 在“命令重命名”对话框中，选择需要重命名的高危命令，并输入重命名名称，单击“确定”。 在“命令重命名”对话框中单击“添加重命名命令”，可以同时为多个高危命令进行重命名。 说明 因为涉及安全性，页面不会显示这些命令，请记住重命名后的命令。 命令重命名提交后，系统会自动重启实例，实例完成重启后重命名生效。 需要还原某个重命名命令的话，和原命令填写相同即可还原 重命名的长度范围为4到64个字符，重命名需以字母开头，且只能包含字母、数字、下划线，和中划线。

本文带您了解弹性负载均衡入网流量路径和出网流量路径。 入网流量路径 对于入网流量，在负载均衡器使用四层协议TCP/UDP时，可以通过LVS集群进行转发。LVS集群的节点会根据负载均衡器的流量分配策略，将接收到的访问请求直接分发到后端主机上，从而实现负载均衡。 而当负载均衡器使用七层协议HTTP/HTTPS时，通常涉及到两个层次的负载均衡。首先，请求会经过LVS集群，LVS会将请求平均分发到Nginx集群的所有节点。然后，Nginx集群的节点再根据负载均衡器的转发策略，将接收到的请求最终分发到主机。 对于七层协议HTTPS的流量，在最终分发到后端服务器之前，通常需要在Nginx集群内进行证书验证和数据包解密操作。这是为了确保安全性。然后，通过HTTP协议将请求转发到后端服务器进行处理。 出网流量路径 出网流量的路径取决于数据请求进入网络的方式。对于通过负载均衡器进入的访问流量，相应的响应流量也会通过负载均衡器返回。负载均衡器通过绑定的弹性公网IP接收来自公网的流量，并在EIP上进行计费。从负载均衡器到后端云主机之间的通信通过VPC内网进行，不会产生额外费用。

漏洞描述 Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器。 Apache HTTP Server 存在环境问题漏洞，该漏洞源于 Apache HTTP Server 在丢弃请求正文时无法关闭入站连接，从而导致请求夹带（request smuggling）。 基本信息 · CVE编号：CVE202222720 · 漏洞类型：敏感信息泄露 · 危险等级：高危 · 受影响应用版本：Apache HTTP Server < 2.4.52 · 检测方式：版本对比 · 公布时间： 20220314 · CVSS评分： 8 · CVSS详情： AV:N/AC:L/Au:N/C:P/I:P/A:P 修复建议 1.将 httpd 升级到 2.4.53 及以上版本，下载地址： 2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为 RedHat 7，软件包名称为 httpd，当前安装版本为 2.4.680.el7，对应漏洞修复版本为 2.4.697.el79.5，则漏洞修复命令为 sudo yum update y httpd

可管理自动处理的设置和病毒引擎的设置。本小节介绍服务器安全卫士设置管理。 自动处理设置 可设置全局的自动处理配置，也可针对某些主机进行特殊的设置，特殊设置后的主机配置结果将展示在列表中。 具体操作： 1.全局设置：用于控制全部主机的自动处理，该配置为长期生效的状态，对全部主机持续生效，包含新安装的主机。如果单独设置了某主机上的自动处理操作，则以单独设置的处理为准。 2.批量设置：用于批量下发主机上的特殊设置，该配置下发为一次生效的机制，设置的对象为下发时刻的主机范围，不持续生效。设置后的结果会展示在列表中，支持对全部主机、业务组和主机三种类型的范围进行下发。 3.设置：用于修改主机上的特殊设置。 杀毒引擎设置 可设置各病毒引擎的开关状态，方便用户管理杀毒引擎。目前支持小红伞病毒引擎、ClamAV病毒引擎、TSec反病毒引擎和青藤自研病毒引擎。