本文主要介绍Agent安装配置方式说明 。 安装Agent方式有如下几种，你可以根据你所使用的服务的操作系统类型、是否有多个服务器以及个人习惯选择任何一种或多种安装方式： 安装场景 支持的服务 参考章节 安装Agent（Linux） ECS、BMS 在ECS/BMS中安装配置Agent（Linux） 安装Agent（Windows） ECS 在ECS中安装配置Agent（Windows） 批量安装Agent（Linux） ECS 在ECS中批量安装Agent（Linux） 安装配置依赖： 安装Agent依赖DNS的配置和安全组配置，DNS错误或安全组规则不正确会导致Agent包下载失败。因此在安装Agent前需要首先修改DNS的配置并配置安全组规则。 安装Agent后，可以通过“修复插件配置”完成委托配置和文件配置。 当通过“修复插件配置”或其他原因无法完成Agent配置时，您还可以手工配置Agent。 支持安装Agent的操作系统请参见Agent支持的系统有哪些？ 对于私有镜像，推荐您使用已安装Agent的ECS或BMS制作私有镜像，并使用该私有镜像创建ECS或BMS，并在创建完资源后通过修复插件配置（ Linux ）来完成Agent的配置。 注：制作的私有镜像不支持跨Region使用，跨Region使用会导致没有监控数据。 注意 使用私有镜像安装使用Agent过程中出现任何问题，CES将不对此提供技术支持。

如果您需要添加RDS和云数据库以外的自建数据库资产，可参考本章节进行操作。 添加自建数据库资产前，需要获取自建数据库的引擎、版本、主机等相关信息。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已获取自建数据库的引擎、版本、主机等相关信息，且自建数据库子网下含有可用的IP配额。 约束条件 只能添加数据安全中心支持的数据库类型及版本，DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostGreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在未授权数据库资产列表左上角，单击“添加自建数据库”。 6. 在弹出的“添加自建数据库”对话框中，参考下表配置数据库参数。 参数名称 参数说明 取值样例 资产名称 输入数据库对象名称。 区域 默认为当前帐号登录的区域。 ECS实例 在下拉框中选择已在ECS服务里创建的数据库实例。 安全组 选择对应的ECS实例所在的安全组名称。 default 数据库引擎 选择数据库引擎。可选择“MySQL”、“PostgreSQL”、“SQLServer”和“Oracle”。 MySQL 版本 选择数据库引擎对应的版本。 5.6 模式名 输入数据库模式名。 主机 输入数据库服务器IP地址。 端口 输入数据库服务器的端口号。 数据库名称 输入自建数据库名称。 用户名 输入访问数据库服务器的用户名。 密码 输入访问数据库服务器的密码。 7. 点击按钮“确定”，即可将数据库添加完成，并展示在已授权的数据库列表中。在数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 数据安全中心DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 数据安全中心DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败解决。

步骤三：进入客户控制台 成功开通AOne边缘接入服务后，您可以通过以下方式进入边缘安全加速控制台。 官网页面进入控制台：进入边缘安全加速平台产品详情页，点击管理控制台。 通过控制中心进入控制台：进入天翼云控制中心，在CDN与视频分类下，点击边缘安全加速平台。 通过控制台链接直接进入。 步骤四： 添加域名/实例并配置 在客户控制台上，可以添加域名并配置。步骤详见：添加域名/实例。域名创建成功的标志是：在域名列表中，可以查到新建域名，以及CNAME地址。 为了帮忙您获得更优的加速效果，建议如下推荐配置方案： 配置 描述 回源配置 通过配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现最优路径提速回源。 全网带宽控制 针对带宽成本有严格把控，同时又不希望影响客户感知情况下，可选择使用带宽控制功能，超过设置带宽后，对用户设置合理限速。 IP黑白名单 IP黑白名单的访问控制策略，主要是通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 传递用户IP回源 开启边缘接入服务，若源站需要获取真实的客户端IP地址，可以选择传递用户IP回源功能进行配置。 多路传输 开启多路传输功能后，有利于提升数据传输效率，在单条路径质量波动较大时有显著的效果。 Gzip压缩 开启Gzip压缩功能后，存在两个显著优势：一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。

本文介绍分片回源的适用场景和配置方法。 功能介绍 分片回源，是指边缘节点收到用户请求后，会在回源时携带Range请求头，源站在收到Range请求后，会返回对应范围的内容数据给边缘安全加速平台。分片回源功能开启后，边缘节点以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。 下表为分片回源功能不同状态下的相关描述： 功能 状态 描述 分片回源 关闭 分片回源功能未开启时，若客户端发起Range请求，Range请求头部Start值的偏移量在一定范围内（默认为5MB），例如Range：10485762097152（其中1048576为Start值，2097152为End值），边缘加速平台会默认回源获取完整文件并缓存，同时响应给客户端Range范围内的数据内容。如Range请求的Start值范围超出5MB，且边缘节点尚未缓存完整文件，则边缘节点直接透传Range请求回源站，响应数据给用户的同时，不缓存对应文件。 分片回源 开启 开启分片回源后，无论客户端发起的是否Range请求，边缘节点无缓存时，均按配置的Range分片大小回源，如源站响应206状态码，则边缘缓存对应分片内容，并响应206（如客户端为Range请求）或200（如客户端为完整文件请求）给客户端。 客户端发起Range请求，边缘安全加速平台有Range范围的文件内容缓存时，直接响应206状态码及对应范围缓存内容给客户端。 分片回源 自适应 天翼云边缘安全加速平台同时支持自适应回源，即：如果客户端携带Range请求头，则按分片回源；如果客户端没有携带Range请求头，则按完整文件回源。 按分片回源时，会按照配置的分片大小回源，响应数据给用户的同时缓存文件。 注意 分片回源功能默认关闭。

本文为您提供指向整个VPC网段的对等连接的配置指导。 操作场景 通过配置指向整个VPC网段的对等连接，并在VPC路由表中添加对端VPC网段的路由目的地址，从而实现整个VPC内所有资源的互通。 约束与限制 对等连接两端的VPC网段必须互不重叠。在配置对等连接之前，请确保本端VPC和对端VPC的地址段没有重叠部分。 在配置对等连接时，请检查本端和对端VPC内的弹性云主机的安全组情况，确保安全组允许弹性云主机之间的访问流量通过。有关安全组的使用和配置，请参考安全组概述。 每个对等连接支持的本端路由数和对端路由数均为100条。如果您计划建立多个VPC之间的对等连接，请考虑这一限制，在规划组网时做出相应调整。 系统路由为系统默认创建，用于VPC内部通信。您不能修改系统路由。您在默认路由表或者自定义路由表中手动创建的路由规则称为自定义路由。同一张路由表下，自定义路由规则之间的目的网段不能相同；自定义路由规则和系统路由规则目的相同时，系统路由规则优先级低于自定义路由规则，默认优先匹配自定义路由规则。要了解更多关于路由表的信息，请参考路由表概述。 配置相互对等的两个VPC 为了实现两个VPC之间的资源互访，您可以按照以下方案规划您的网络架构。在此示例中，VPCA和VPCB为两个要连接的VPC，请确保VPCA和VPCB的网段不重叠。

控制台证书管理，可以创建几个证书？ 一个账号在单地域可以创建10个证书，包括服务器证书和CA证书。如有更多数量证书的需要，您可通过提工单申请提升配额。控制台创建证书请参考 创建服务器证书 和 创建CA证书 ，更多使用限制请参考 产品使用限制。 弹性负载均衡HTTPS监听器是否支持多证书？ 集群资源池弹性负载均衡的HTTPS监听器支持多个SSL证书，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。这意味着您可以在同一个负载均衡器上配置多个SSL证书来支持不同的域名或子域名的加密连接。通过使用HTTPS监听器，您可以将加密的HTTPS流量有效地分发到后端实例，这对于在同一个负载均衡器上托管多个网站或应用程序非常实用。使用不同的SSL证书可以确保每个网站或应用程序都有其独立的安全性保证。 为什么配置了证书，却访问异常？ 如果负载均衡配置了证书，但访问异常，可能有以下几个原因： 1. 证书配置错误：请确保证书的配置正确无误。检查证书是否正确上传到负载均衡器，并且与域名或主机名匹配。 2. 证书过期或无效：如果证书已过期或者无效，浏览器会拒绝连接或显示安全警告。请确保证书有效期内，并且由受信任的证书颁发机构签发。 3. 安全组或防火墙限制：检查负载均衡器、后端主机以及相关网络设备的安全组或防火墙规则，确保允许来自负载均衡器的HTTPS流量通过。 4. 其他网络问题：检查网络连接是否正常，确保网络链路畅通，防止网络延迟、丢包等问题影响访问。

本节介绍如何创建SSH授权。 Linux主机支持“SSH授权登录”授权方式。 添加Linux主机后，请参照以下操作步骤创建SSH授权。 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。

本章节主要介绍整库迁移到RDS服务。 操作场景 本章节介绍使用CDM整库迁移功能，将本地MySQL数据库迁移到云服务RDS中。 当前CDM支持将本地MySQL数据库，整库迁移到RDS上的MySQL、PostgreSQL或者Microsoft SQL Server任意一种数据库中。这里以整库迁移到RDS上的MySQL数据库为例进行介绍，使用流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建RDS连接 4.创建整库迁移作业 前提条件 用户拥有EIP配额。 用户已创建RDS数据库实例，该实例的数据库引擎为MySQL。 本地MySQL数据库可通过公网访问。如果MySQL服务器是在本地数据中心或第三方云上，需要确保MySQL可以通过公网IP访问，或者是已经建立好了企业内部数据中心到云服务平台的VPN通道或专线。 已获取本地MySQL数据库和RDS上MySQL数据库的IP地址、数据库名称、用户名和密码。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群的VPC，选择和RDS的MySQL数据库实例所在的VPC一致，且推荐子网、安全组也与RDS上的MySQL一致。 如果安全控制原因不能使用相同子网和安全组，则可以修改安全组规则，允许CDM访问RDS。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问本地MySQL数据库。 详见下图：集群列表 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

天翼云账号登录场景 账号登录 1. 点击客户端左上角图标，弹出天翼云官网登录界面，支持短信登录 和账号登录。 2. 完成登录后，会同步用户云端的组织、个人、实例 等信息：悬停左上角首字母图标 可查看个人信息 、我的团队 、我的组织 ；实例列表新增智护模式 实例列表，智护实例列表 中包括了云端的团队实例 +客户端录入的内网实例。 3. 天翼云账号登录场景下，菜单栏新增安全协作 ，用户点击左侧图标也可进入。 说明 安全协作 ：包括团队管理 、用户与角色 、操作审计等功能。 实例录入 1. 天翼云账号登录后，默认进入开发空间 首页。 2. 点击左上方菜单栏开发空间 > 添加实例， 或直接在首页 点击添加实例 按钮，或首页 右侧实例列表 上方点击，打开添加实例弹窗。 3. 个人模式 ：实例录入详情可见免登录场景 实例录入。 4. 智护模式 ：新增所在团队 、数据来源 。数据来源可选天翼云 和内网 ，输入账密点击测试连接可验证网络连通性。 说明 智护模式 ：增强智能安全协作的实例模式，支持团队协作、工单审批、审计等企业级特性。 天翼云 ：即天翼云数据库。选择该数据来源，用户可添加在天翼云官网开通的云数据库并进行纳管，通过选择资源池及其下实例列表中的实例的方式进行添加。 内网 ：即用户本地直连数据库 ，支持内网地址，解决服务端无法连接用户局域网实例的问题。 5. 确认实例连接正常后，点击确定，完成实例录入。

本文帮助您了解如何操作跨账号网络实例授权。 跨域号授权 跨账号网络实例授权互通 ，可实现归属不同天翼云账号的 虚拟私有云 （VPC）、云专线网关、SDWAN、VPN网关 等网络实例，在同一云间高速组网内安全互联，满足企业多账号架构下的云间网络统一调度与互通需求。 在实际业务场景中，企业集团、大型政企及多分支机构普遍采用多账号分权管理模式：总公司、子公司、业务部门、项目组等分别使用独立天翼云账号，各自创建并管理专属 VPC 及云上资源。传统模式下，跨账号网络互通需通过复杂的专线对接或公网中转，配置繁琐、时延较高且安全管控难度大。 依托云间高速跨账号授权能力，资源归属账号可将自身 VPC 等网络实例，授权给云间高速管控账号统一纳管，无需变更账号归属、无需迁移资源，即可将分散在不同账号下的网络实例加入同一云间高速组网，实现端到端私网互通。 适用场景： 集团总账号统一组网、子公司账号独立运维的集团型多云管控场景 项目制交付中，不同项目账号资源需横向互通的多项目协同场景 政企内部按部门 / 业务线分账号管理，需跨部门云上互联的分权分域场景 混合云与多云对接场景下，跨账号云专线、VPC 统一接入云间高速的一体化组网场景 通过精细化授权与隔离机制，既保障各账号资源所有权与管理权限独立，又实现跨账号网络高效互通、统一调度，兼顾管理安全 与组网灵活性，适配企业复杂组织架构下的云网互联互通需求。 使用说明

资源 说明 VPC VPC1、VPC2、VPC3隔离，这3个VPC和VPC4互通。 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16，具体路由信息如“表VPC路由表”所示。 ER 不开启“默认路由表关联”和“默认路由表传播”功能，手动创建两个路由表，并添加4个“虚拟私有云（VPC）”连接，路由表作如下配置： 路由表1：关联VPC1连接、VPC2连接、VPC3连接，并在路由表1中创建VPC4连接的传播，路由自动学习VPC网段，路由信息如“表ER路由表1”所示。 路由表2：关联VPC4连接，并在路由表2中创建VPC1连接、VPC2连接、VPC3连接的传播，路由自动学习VPC网段，路由信息如“表ER路由表2”所示。 ECS 4个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。

网络类型 使用场景 准备工作 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库灾备、或云上跨区域的数据库之间的灾备。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据灾备。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库灾备、或云上跨区域的数据库之间的灾备。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合其他云下或其他平台的数据库到目标数据库的灾备。 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 1.开启公网访问 源数据库端实例需要根据具体的场景，由用户端开启公网访问。 2.设置安全组规则源数据库需要将DRS灾备实例的弹性IP添加到其网络入口白名单内，使源数据库与DRS灾备实例可以连通。 由于目标数据库和DRS灾备实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS灾备实例创建成功后，可在“源库及目标库”页面获取DRS灾备实例的弹性公网IP。 在选择公网网络进行数据灾备同步时，如果没有开启SSL安全连接加密灾备链路的功能，请确保待灾备的数据为非机密数据，再进行数据灾备。

IPsec VPN是否会自动建立连接？ 支持自动建立连接。 两个Region创建的VPN连接状态正常，为什么不能ping通对端ECS？ 安全组默认放行了出方向的所有端口，入方向需要按照实际需要添加放行规则，确认接收ping报文的ECS安全组放行了入方向的ICMP。 IDC与云端对接，VPN连接正常，子网间业务无法互相访问？ 连接状态正常，说明两端的协商参数没有问题，排查项如下： 用户侧数据中心设备子网路由是否从网关开始逐跳指向VPN出口设备。 VPN设备有安全设置放行了子网间的数据互访。 IDC子网访问云端数据不做NAT。 确保两侧公网IP（网关IP）间访问不被阻拦。 正在使用VPN出现了连接中断，提示数据流不匹配，如何排查？ 这通常是由于云上与用户侧数据中心设备配置的ACL不匹配造成的。 1. 首先确认两端VPN连接的子网信息是否配置一致，确保云端生成的ACL与用户侧数据中心ACL配置互为镜像 2. 用户侧数据中心感兴趣流配置推荐使用“子网/掩码”的格式，避免使用网络地址对象模式，即address object模式，address object为非标模式，容易引起不兼容问题。 正在使用VPN出现了连接中断，提示DPD超时，如何排查？ 出现DPD超时的连接中断是因为两端网络访问无数据，在SA老化后发送DPD未得到对端响应而删除连接。 解决方法 1. 开启用户侧数据中心设备的DPD配置，测试两端的数据流均可触发连接建立； 2. 在两端的主机中部署Ping shell脚本，也可在用户侧数据中心的子网的网关设备上配置保活数据，如NQA。

本节介绍密钥管理导入密钥的方法。 当用户使用KMS管理控制台创建自定义密钥时，KMS系统会自动为该自定义密钥生成密钥材料。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的“导入密钥”功能创建密钥材料为空的自定义密钥，并将自己的密钥材料导入该自定义密钥中。 注意事项 安全性 用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时，需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。 可用性与持久性 在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别，如下表所示。 密钥材料来源 区别 导入的密钥 可以手动删除密钥材料，但不能删除该自定义密钥及其元数据。 在导入密钥材料时，可以设置密钥材料失效时间，密钥材料失效后，KMS将在24小时以内自动删除密钥材料，但不会删除该自定义密钥及其元数据。建议用户在本地密钥管理基础设施中安全地备份一份密钥材料，以便密钥材料失效或误删除时重新导入该密钥材料。 KMS创建的密钥 不能手动删除密钥材料。 不能设置密钥材料的失效时间。

参数名 类型 是否必填 名称 说明 domain string 是 域名 productcode string 是 产品类型 “007”（安全加速） status int 是 状态操作类型 1（删除），2（停用），3（启用）

本节介绍天翼量子AI云电脑客户端支持的系统、浏览器版本，以及下载地址。 说明：新版本客户端目前处于灰度测试阶段，将逐步向更多用户开放，感谢您的耐心等待。 若您希望申请试用，可发送邮件至指定邮箱：clouddesktop@chinatelecom.cn 1. 前言 欢迎广大用户下载安装天翼量子AI云电脑全新视觉客户端，当前文档适用于Windows客户端，Mac客户端，Ubuntu瘦终端，安卓瘦终端，国产化终端（银河麒麟/统信UOS），Web客户端的使用帮助文档。 2. 产品定义 天翼量子AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的Clink数据安全传输协议，实现低延时、高画质、带宽占用少、多终端接入，打造从端到云全链路的安全防护体系，用户通过终端快速访问调取云端资源，实现统一管理、便捷维护，多重数据安全防护，随时随地共享数据、安全办公。 3. 客户端支持的最低系统版本 天翼量子AI云电脑客户端支持Windows，MacOS12.0，Android7.0，iOS10、Ubuntu18.04，UOS V20，Kylin V10等以上系统版本。 4. Web客户端接入的最低浏览器版本 支持Chrome70+、Firefox72+、edge、UOS 5.2.1200+、奇安信1.0.1365+等浏览器接入。Web客户端访问地址：[

本节为您介绍认证证书相关内容。 合规证书 天翼云拥有众多合规资质（ISO/SOC/PCI等），按照国内国际和行业的合规要求，为用户提供合规、高效、稳定的安全云服务。您可在信任中心合规资质进行查看。 隐私保护 天翼云建立数据安全管理制度，采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。您可以在隐私中心进行查看。

本节为您介绍认证证书相关内容。 合规证书 天翼云拥有众多合规资质（ISO/SOC/PCI等），按照国内国际和行业的合规要求，为用户提供合规、高效、稳定的安全云服务。您可在信任中心合规资质进行查看。 隐私保护 天翼云建立数据安全管理制度，采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。您可以在隐私中心进行查看。

您可以通过设定Prometheus告警规则为特定的监控指标设定触发告警条件。当监控指标满足这些条件时，系统将会生成相应的告警事件，并通过短信、电子邮件、Webhook等多种渠道发送告警通知。 前提条件 已接入Prometheus监控，具体操作，请参见快速入门。 功能入口 1. 登录应用性能监控APM控制台，点击左侧菜单栏Prometheus监控。 2. 在Prometheus监控菜单下，单击告警规则页面。 3. 在告警规则页面，点击创建告警规则按钮。具体操作方式请见下方。 创建告警规则 通过静态阈值创建告警规则 静态阈值检查类型提供了一系列系统预设的告警指标。您可以直接选择这些现有指标，快速建立相应指标的告警规则。可参考以下参数说明进行配置。 字段 说明 示例 告警名称 自定义告警的名称。 容器CPU使用率告警 检测类型 选择静态阈值。 静态阈值 Prometheus实例 选择需要创建告警的Prometheus实例。 生产集群 告警分组 选择告警分组，不同的告警分组包含不同的告警指标。 Kubernetes负载 告警指标 选择需要进行监控告警的指标，每个告警分组包含不同的指标。 Pod磁盘使用率 告警条件 基于告警指标预置内容，设置告警事件产生条件，如比较符与阈值。 当Pod磁盘使用率>80时，满足告警条件。 数据预览 根据告警指标，设置当前配置的告警规则适用的范围，即所有符合筛选条件的资源满足此条告警规则时，均会产生告警事件。 持续时间 当告警条件满足时，直接产生告警事件：任何一个数据点满足阈值，就会产生告警事件。 当告警条件满足持续N分钟时，才产生告警事件：即只有当满足阈值的时间大于等于N分钟时，才产生告警事件。 告警等级 自定义告警等级。告警严重程度从一般,次要,重要,紧急逐级上升。 一般 告警内容 用户收到的告警信息。您可以使用Go template语法在告警内容中自定义告警参数变量。 命名空间：{{namespace}} / Pod: {{podname}} / 容器：{{container}} CPU使用率{{metricsparamsoptlabelvalue}} {{$metricsparamsvalue}}%, 当前值{{ printf "%.2f" $value }}% 通知策略 不指定通知规则：若勾选该选项，在告警规则创建完成后，您可在通知策略界面新建策略，并通过设置匹配规则与匹配条件（例如告警规则名称）关联对应告警规则。当此告警规则触发并生成告警事件时，系统会将告警信息推送至通知策略中指定的联系人或联系人组。更多相关说明，可参考通知策略文档。 指定某个通知策略：若选择此项，系统会自动在对应的通知策略中添加一条匹配规则，匹配规则内容为告警规则ID（以告警规则名称的方式呈现），以确保当前告警规则产生的告警事件一定可以被选择的通知策略匹配到。 不指定通知规则 高级设置 标签 设置告警标签，设置的标签可用作规则静默的选项。 无 参考以上参数配置说明，设置完成后，点击保存。在Prometheus告警规则列表页面，可查看当前告警规则的状态。

本章节主要介绍Flink作业相关问题中有关性能调优的问题。 Flink作业如何进行性能调优 概念说明及监控查看 消费组积压 消费组积压可通过topic最新数据offset减去该消费组已提交最大offset计算得出，说明的是该消费组当前待消费的数据总量。 如果Flink作业对接的是kafka专享版，则可通过云监控服务(CES)进行查看。具体可选择“云服务监控 > 分布式消息服务 > kafka专享版” ，单击“kafka实例名称 > 消费组” ，选择具体的消费组名称，查看消费组的指标信息。 反压状态 反压状态是通过周期性对taskManager线程的栈信息采样，计算被阻塞在请求输出Buffer的线程比率来确定，默认情况下，比率在0.1以下为OK，0.1到0.5为LOW，超过0.5则为HIGH。 时延 Source端会周期性地发送带当前时间戳的LatencyMarker，下游算子接收到该标记后，通过当前时间减去标记中带的时间戳的方式，计算时延指标。算子的反压状态和时延可以通过Flink UI或者作业任务列表查看，一般情况下反压和高时延成对出现： 性能分析 由于Flink的反压机制，流作业在存在性能问题的情况下，会导致数据源消费速率跟不上生产速率，从而引起Kafka消费组的积压。在这种情况下，可以通过算子的反压和时延，确定算子的性能瓶颈点。 作业最后一个算子(Sink)反压正常（绿色），前面算子反压高（红色） 该场景说明性能瓶颈点在sink，此时需要根据具体数据源具体优化，比如对于JDBC数据源，可以通过调整写出批次(connector.write.flush.maxrows)、JDBC参数重写(rewriteBatchedStatementstrue)等进行优化。 作业非倒数第二个算子反压高（红色） 该场景说明性能瓶颈点在Vertex2算子，可以通过查看该算子描述，确认该算子具体功能，以进行下一步优化。 所有算子反压都正常（绿色），但存在数据堆积 该场景说明性能瓶颈点在Source，主要是受数据读取速度影响，此时可以通过增加Kafka分区数并增加source并发解决。 作业一个算子反压高（红色），而其后续的多个并行算子都不存在反压（绿色） 该场景说明性能瓶颈在Vertex2或者Vertex3，为了进一步确定具体瓶颈点算子，可以在FlinkUI页面开启inPoolUsage监控。如果某个算子并发对应的inPoolUsage长时间为100%，则该算子大概率为性能瓶颈点，需分析该算子以进行下一步优化。 inPoolUsage监控

本章节主要介绍插件类问题。 支持的RabbitMQ插件有哪些？ RabbitMQ实例购买后，支持的插件如下，其中，方括号中为空的表示还未安装，标记为[E]的插件是明确安装的，标记为[e]的插件是隐式安装的，也就是说，这些插件是作为其它的插件的依赖而进行安装的。 [ ] rabbitmqamqp10 3.8.35 [ ] rabbitmqauthbackendcache 3.8.35 [ ] rabbitmqauthbackendhttp 3.8.35 [ ] rabbitmqauthbackendldap 3.8.35 [ ] rabbitmqauthmechanismssl 3.8.35 [ ] rabbitmqconsistenthashexchange 3.8.35 [ ] rabbitmqdelayedmessageexchange 3.8.9 [ ] rabbitmqeventexchange 3.8.35 [ ] rabbitmqfederation 3.8.35 [ ] rabbitmqfederationmanagement 3.8.35 [ ] rabbitmqjmstopicexchange 3.8.35 [E] rabbitmqmanagement 3.8.35 [e] rabbitmqmanagementagent 3.8.35 [ ] rabbitmqmqtt 3.8.35 [ ] rabbitmqpeerdiscoveryaws 3.8.35 [ ] rabbitmqpeerdiscoverycommon 3.8.35 [ ] rabbitmqamqp10 3.8.35 [ ] rabbitmqauthbackendcache 3.8.35 [ ] rabbitmqauthbackendhttp 3.8.35 [ ] rabbitmqauthbackendldap 3.8.35 [ ] rabbitmqauthmechanismssl 3.8.35 [ ] rabbitmqconsistenthashexchange 3.8.35 [ ] rabbitmqdelayedmessageexchange 3.8.9 [ ] rabbitmqeventexchange 3.8.35 [ ] rabbitmqfederation 3.8.35 [ ] rabbitmqfederationmanagement 3.8.35 [ ] rabbitmqjmstopicexchange 3.8.35 [E] rabbitmqmanagement 3.8.35 [e] rabbitmqmanagementagent 3.8.35 [ ] rabbitmqmqtt 3.8.35 [ ] rabbitmqpeerdiscoveryaws 3.8.35 [ ] rabbitmqpeerdiscoverycommon 3.8.35 RabbitMQ控制台支持安装的插件有：rabbitmqamqp10、rabbitmqdelayedmessageexchange、rabbitmqfederation、rabbitmqsharding、rabbitmqshovel、rabbitmqtracing、rabbitmqmqtt、rabbitmqwebmqtt、rabbitmqstomp、rabbitmqwebstomp和rabbitmqconsistenthashexchange，实例创建后，以上插件默认关闭，如需开启，在控制台实例详情的“插件管理”页面开启，具体操作请参见开启实例插件。 RabbitMQ插件功能可用于测试和迁移业务等场景，不建议用于生产业务。详情请参考约束与限制。 说明 2023年9月30日之前购买的RabbitMQ实例，不支持在控制台开启以下插件：rabbitmqtracing、rabbitmqmqtt、rabbitmqwebmqtt、rabbitmqstomp、rabbitmqwebstomp、rabbitmqconsistenthashexchange，如果需要开启，请在控制台提工单，技术人员在后台开启插件，开启过程中，对业务没有任何影响。 如果需要激活其他未安装且控制台不支持开启的插件（如rabbitmqrandomexchange），需要在控制台提工单，技术人员在后台开启插件，开启过程中，对业务没有任何影响。 未开启SSL的RabbitMQ单机实例，支持开启rabbitmqshovel插件。RabbitMQ集群实例和开启SSL的RabbitMQ单机实例，不支持开启rabbitmqshovel插件。

硬件安全模块（Hardware Security Module，HSM） 硬件安全模块也称为密码机，是一种执行密码运算、安全生成和存储密钥的硬件设备。KMS提供的托管密码机可以满足监管机构的检测认证要求，为用户在KMS托管的密钥提供更高的安全等级保证。 密钥导入（Bring Your Own Key，BYOK） 指用户可以自行导入密钥材料至用户主密钥中，KMS不会为创建的用户主密钥（CMK）生成密钥材料。 应用接入点 是一种身份验证和访问控制机制，当用户VPC内的自建应用需要访问KMS服务时，需要创建应用接入点实现私网通道打通，同时在应用接入点内完成访问权限策略配置以及身份凭证的生成。

本节介绍密钥管理的功能优势。 服务集成广泛 与对象存储OBS、云硬盘EVS、镜像服务IMS等服务集成，用户可以通过KMS管理这些服务的密钥，还可以通过KMS API完成用户本地数据的加解密。 合规遵循 密钥由经过安全认证的第三方硬件安全模块（HSM）产生，对密钥的所有操作都会进行访问控制及日志跟踪，符合国际法律合规的要求。

本页介绍了SSL证书产品的基本定义。 SSL证书是用于在Web服务器与浏览器以及客户端之间建立加密链接的加密技术，通过配置和应用SSL证书来启用HTTPS协议，来保证互联网数据传输的安全，全球每天有数以亿计的网站都是通过HTTPS来确保数据安全，保护用户隐私。

使用服务端加密方式上传文件（API） 用户也可以通过调用OBS API接口，选择服务端加密SSEKMS方式（SSEKMS方式是指OBS使用KMS提供的密钥进行服务端加密）上传文件，详情请参考《对象存储服务API参考》。 EVS服务端加密 简介 当您由于业务需求需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。 哪些用户有权限使用云硬盘加密 安全管理员（拥有“Security Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分： 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。 对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。 云硬盘加密的密钥 加密云硬盘使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)： 默认主密钥：由EVS通过KMS自动创建的密钥，名称为“evs/default”。默认主密钥不支持禁用、计划删除等操作。 用户主密钥：由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥。 使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，具体请参见下表。 用户主密钥不可用对加密云硬盘的影响 用户主密钥的状态 对加密云硬盘的影响 恢复方法 禁用 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥 计划删除 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥 已经被删除 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 取消删除用户主密钥 云硬盘数据永远无法恢复。 说明 用户主密钥为付费使用，若为按需计费的密钥，请及时充值确保帐户余额充足，若为包年/包月的密钥，请及时续费，以避免加密云硬盘不可读写导致业务中断，甚至数据永远无法恢复。

本文主要介绍使用限制 为了提高实例的稳定性和安全性，文档数据库服务在使用上有一些固定限制。 功能使用限制 操作 使用限制 :: 访问实例 若文档数据库实例未开通公网访问，则必须与弹性云主机在同一个虚拟私有云子网内才能访问。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务安全组添加一条“入”的访问规则。文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 部署 实例所部署的弹性云主机，对用户不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的rwuser权限 创建实例页面只提供管理员帐户rwuser权限。 修改数据库参数设置 用户创建的参数组中大部分数据库参数可以修改。 数据迁移 可以使用mongoexport和mongoimport命令行工具等方式迁移数据，具体请参见数据迁移。 存储引擎 支持WiredTiger存储引擎。 重启实例或节点 必须通过管理控制台操作重启实例。 查看备份文件 文档数据库服务在对象存储服务上的备份文件，对用户不可见。

主机Agent的覆盖 HW和重保期间需要保证所有主机均接入服务器安全卫士服务，以提高服务器安全风险防御能力。 您可以登录服务器安全卫士控制台查看“Agent管理”页面，确认主机防护状态，显示所有 Agent 的状态，并可随时调整 Agent 运行模式，导出 Agent 运行日志与报表，随时分析解决问题。 发现未安装服务器安全卫士主机，消除防护盲点 主机发现这个功能就是在用户网络环境内通过已经安装了Agent 的主机发现未安装 agent 的主机，帮用户更全面的了解其网络环境内的主机资源。 在用户的IT 运维环境中会在一部分主机上部署Agent，用户就需要能够知道还有哪些主机没有部署 Agent（一方面是用户很多时候都不知道在自己的网络环境中有多少主机，另一方面用户也会有一些主机新上线）。 执行系统管理主机发现扫描任务新建扫描，新建扫描功能可以让用户根据其需求配置一个扫描任务。所有发现的网络环境中，未安装 Agent 的主机资产。可以根据首次发现时间和最后发现时间等字段进行过滤，筛选出想要的未安装 Agent 主机列表。 完善安全防护配置并实时处理告警 全面开启入侵检测功能。 服务器安全卫士的入侵检测通用功能，包括暴力破解、异常登录、反弹shell等。 以旗舰版为例，入侵检测模块主要包含暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行八大功能。

本小节介绍态势感知的术语解释。 API API（Application Programming Interface，应用程序编程接口）是一些预先定义的函数，应用将自身的服务能力封装成API，并通过API网关开放给用户调用。API包括基本信息、前后端的请求路径和参数以及请求相关协议。 安全态势评分 以漏洞CVSS分为基础的，是系统基于当前单位的资产情况、漏洞情况、威胁情况量化出来的一个分值。分值越高，表示系统安全系数越高。 CVSS 通用安全弱点评估系统（Common Vulnerability Scoring System，CVSS）用于评估安全漏洞的严重性。 DDoS 分布式拒绝服务（Distributed Denial of Service，DDoS）指借助于客户机或服务器模式，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。 DPI流量解析 基于应用层的流量检测和控制技术，对流量进行拆包，分析包头和应用层的内容，从而识别应用程序和应用程序的内容。 恶意软件 在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。 横向移动 攻击者成功攻击一台计算机后，由该计算机横向跨越到另一台计算机，获取相关权限，进而窃取敏感信息的活动 。 漏洞 漏洞是指在操作系统实现或安全策略上存在的缺陷，例如操作系统软件或应用软件在逻辑设计上存在的缺陷或在编写时产生的错误。攻击者可以对这类缺陷或错误进行利用，从而能够在未获得授权的情况下访问和窃取您的系统数据或破坏系统。系统漏洞需要系统管理员及时处理并修复，否则将带来严重的安全隐患。

本文介绍测试IP应用加速性能的方法。 步骤一：进入客户控制台 成功开通AOne边缘接入服务后，您可以通过以下方式进入AOne边缘安全加速控制台。 官网页面进入控制台：进入AOne产品页面，点击管理控制台。 通过控制中心进入控制台：进入天翼云控制中心，在CDN与视频分类下，点击边缘安全加速平台。 通过控制台链接直接进入。 步骤二：获取边缘接入服务IP应用加速的CNAME域名 在天翼云客户控制台的接入管理IP应用加速接入的域名列表中，复制加速域名对应的CNAME记录值。 步骤三：使用本机电脑测试性能 注意 这里所测试的性能仅为用户侧到边缘节点的性能。 以Windows系统为例，打开操作系统的cmd程序，输入ping CNAME域名，如：ping testexample.ctadns.cn1。

本文介绍边缘接入服务IP应用加速IP黑白名单。 功能介绍 IP黑白名单的访问控制策略，主要是通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 配置说明 新增接入，配置IP黑白名单步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 找到访问控制模块，打开IP黑白名单开关，填写IP黑白名单配置。 编辑配置，修改IP黑白名单配置步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名。 4. 修改对应的访问控制模块IP黑白名单。 注意事项 IP黑白名单是互斥的，不能同时配置，只能配置其一。 配置界面

此小节介绍云堡垒机退订。 若用户不再有使用云堡垒机实例需求，或配置的实例VPC或安全组等信息有误，可执行退订操作。 前提条件 已获取管理控制台的登录帐号与密码。 已使用的云堡垒机，需停止系统所有操作，解绑EIP。 操作步骤 1、登录管理控制台。 2 、在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3、单击左上角的，选择区域或项目。 4、左侧导航树中，单击，进入云堡垒机实例界面。 实例列表 5、选择待退订的实例，单击所在行“操作”列的“更多 > 退订”，弹出的退订实例对话框。 6、确认实例信息无误后，单击“确定”。 7、在退订资源页面完成退订。

参数 类型 是否必返回 名称及描述 bandwidth string 是 业务带宽 flow string 是 业务流量 requestsNumber string 是 请求数 peakAttack string 是 攻击峰值 domain string 是 安全加速域名