本节介绍如何提升登录口令的安全性以及常见系统登录口令的修改方法。 随着互联网信息化进程的不断加深，用户服务器上运行的应用服务不断增加，而大多数服务都使用账户+口令的方式进行鉴权。黑客常以暴力破解的方式去尝试登录暴露在公网上的服务，如果您设置为弱口令登录，黑客可能会非法登录您的服务器，窃取服务器数据或破坏服务器。因此，定时检查服务器中存在的弱口令问题，并及时修改为强口令对服务器安全至关重要。 弱口令带来的危害 在服务器系统中使用弱口令可能会造成以下危害： 普通账户使用的弱口令可能会被猜解或被破解工具破解，从而泄露个人隐私信息，甚至造成财产损失。 系统管理员账户弱口令可能会导致整个系统被攻击、数据库信息被窃取、业务系统瘫痪，造成所有用户信息的泄露和巨大的经济损失，甚至可能引发群体性的网络安全危害事件。 如何避免设置弱口令 服务器安全卫士提供系统弱口令和应用弱口令两类弱口令检测，可帮您快速发现主机中存在的弱口令风险，详细操作参见弱口令检测。 若检测出弱口令，可按以下规则设置复杂口令： 密码长度不少于8位 包含大小写字母、数字及特殊字符 密码不包含用户名 密码中不含连续的字母或数字 并且建议您每隔3个月更改一次口令。

本章节介绍云密评专区产品功能。 数据加解密 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求，基于数据加密技术，能够在数据进入数据库之前对其进行加密处理，从而确保数据的机密性和完整性。 签名验签 提供重要数据的签名和验签服务，满足密评中对重要数据传输和存储的完整性要求以及操作的不可否认性要求。 密钥管理 提供集中的密钥全生命周期管理服务，满足密评中对密钥管理的安全性要求。 安全传输 提供网络通信通道的加密服务，满足密评中对网络和通信安全层面的数据传输机密性和完整性要求。 协同签名 配合移动端密码模块为应用系统移动端提供协同密码服务，满足应用终端身份认证、数据加密合规性要求。 密评服务 为租户侧提供密码方案设计、应用系统密改指导、应用系统密评支撑等服务。

section4824eff196981636)。 云电脑操作系统锁屏，怎么解锁？ 可以通过输入操作系统密码进行解锁，如忘记密码，安全中心点击"系统密码"进行重置系统密码，详见安全中心重置系统密码。 天翼AI云电脑到期后，资源将会如何处理？ 天翼AI云电脑（公众版）： 1. 预付费用户到期资源冻结15天，超期后第16天销毁。 2.后付费用户到期资源冻结15天，超期后第16天销毁。 3.主动退订立即销毁。 天翼AI云电脑（政企版）： 1.预付费用户到期资源冻结15天，超期后第16天销毁 。 2.后付费用户到期资源冻结45天，超期后第46天销毁 。 3.主动退订资源冻结15天，超期后第16天销毁（资源包开通的实例立即销毁）。 天翼AI云电脑无法连接怎么办？ 请依次按照以下步骤检查： 1. 请检查您的网络连接是否正常。 2. 重启天翼AI云电脑：请在“选择桌面”页面，点击“重启”按钮，重启完成后，再尝试连接天翼AI云电脑。 3. 重启天翼云电脑APP：关闭天翼云电脑APP，再重新打开APP，查看是否可以成功连接。 4. 尝试上述操作仍无法连接，请在登录页面找到“报障”入口，进行报障。我们会有专人协助您解决。

本文介绍如何创建只读实例。 使用限制 目前仅2022企业版、2019企业版、2017企业版的主备版实例支持创建只读实例。 1个主实例最多支持创建5个只读实例。 只读实例仅支持按需计费。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在【操作】列选择【更多 > 创建只读实例】，进入只读实例订购页。 4. 在订购页，填写或选择可用区、性能类型、性能规格、存储类型、存储空间、安全组、参数模板、购买数量等信息。 5. 单击【下一步】进入配置确认页，点击【立即创建】，完成支付，等待一段时间查看实例列表即可看到主实例下的只读实例。 注意 只读实例需要与主实例在同一区域，但是可以选择不同可用区。 只读实例的规格不限制，可以与主实例不同，但存储空间必须不小于主实例存储空间。 只读实例的版本、字符集、所属企业项目必须与主实例保持一致。 只读实例的VPC、子网必须与主实例保持一致，安全组不限制。 只读实例使用的参数模板不限制，可以与主实例不同。

本节介绍如何变更云防火墙扩展包数量。 购买了云防火墙后，您可以增加或减少EIP/VPC的防护数量以及互联网边界流量峰值。 变更扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在“防火墙详情”中，单击“已使用/可防护EIP数”、“总防护VPC数量/购买VPC数量”、“可防护互联网流量峰值”右侧的“变更”，进入“变更云防火墙规格”页面。 5. 变更扩展包数量。 默认不支持将扩展包数量降到0，如果您需要将扩展包数量降到0，请参见退订扩展包。 退订扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 选择退订的扩展包，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“通过IAM用户控制资源访问创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Ecs Admin：弹性云主机服务的管理者权限，包含弹性云主机所有控制权限（不含订单类权限）； Ecs Viewer:弹性云主机服务的观察者权限，包含弹性云主机服务的列表页与详情页面权限； 自定义策略 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略”。

本文为您介绍如何查看Web核心防护中包含的内置规则详情。 您可以在全局Web核心防护的防护规则页面，查询规则防护引擎中目前包含的所有防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，在防护规则组后方点击“前去配置”。 7. 进入“规则组”页面，在页面上方选择“规则库”可以看到当前的规则引擎包含的规则列表。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。

本节介绍如何手动添加API资产。 手动添加API资产用于添加单个API资产。若防护对象的API资产规模较大，请配置API自动发现任务自动发现防护对象中的API资产，具体操作请参见API自动发现。 前提条件 已开通Web应用防火墙（原生版）实例企业版或旗舰版。 已完成防护域名接入，并正常防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在API列表上方，单击“新增API”，弹出新建API资产页面。 6. 在新建API资产页面中，配置API资产参数，配置完成后，单击“确认”。 API资产参数说明如下： 参数 说明 防护对象 通过下拉框选择已接入防护的防护对象。若下拉框没有目标对象，请参考接入WAF接入防护对象。 站点 选择防护对象下的站点，一次只能选择一个站点。 API名称 自定义API的名称。长度为263字符，以字母或中文开头，可包含数字、“.” 、“”、“”、“/”、“%”、“:”、“$”、“{”、“}”。 路径 API的路径。长度为11000字符，目前仅支持大小写字母、数字、"/"、""、""、"."以及通配符"" ，如/api//login，可以匹配api/v1/login、api/v2/login等。 说明 路径中的每一节支持独立通配符，可对该节进行通配匹配，但不允许连续出现通配符，也不支持正则类型输入。 请求方法 通过下拉框选择请求API的方法，支持GET、POST、HEAD、PUT、DELETE、OPTIONS、PATCH。 业务用途 通过下拉框选择API的业务用途。若下拉框没有目标选项，请参考[新增业务用途规则](

本章主要介绍翼MapReduce的更新集群密钥功能。 操作场景 在安装集群时，系统将自动生成加密密钥key值以对集群的部分安全信息（例如所有数据库用户密码、密钥文件访问密码等）进行加密存储。在集群安装成功后，如果原始密钥不慎意外泄露或者需要使用新的密钥，系统管理员可以通过以下操作手动更改密钥值。 对系统的影响 更新集群密钥后，集群中新增加一个随机生成的新密钥，用于加密解密新保存的数据。旧的密钥不会删除，用于解密旧的加密数据。在修改安全信息后，例如修改数据库用户密码，新密码将使用新的密钥加密。 更新集群密钥需要停止集群，集群停止时无法访问。 前提条件 已确认主备管理节点IP。请参见登录管理节点。 停止依赖集群运行的上层业务应用。 操作步骤 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 停止”，输入当前登录的用户密码确认身份。 在确认停止的对话框单击“确定”，等待界面提示停止成功。 3.以omm用户登录主管理节点。 4.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 5.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/tools 6.执行以下命令，更新集群密钥。 sh updateRootKey.sh 根据界面提示，输入 y ： The root key update is a critical operation. Do you want to continue?(y/n): 界面提示以下信息表示更新密钥成功： Step 41: The key save path is obtained successfully. ... Step 44: The root key is sent successfully. 7.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 启动”。 在弹出窗口中单击“确定”，等待界面提示启动成功。

参数名 参数说明 host 服务端的host名称，默认是localhost。您可以选择使用ClickHouse实例所在节点主机名或者IP地址。 说明 ClickHouse的实例IP地址可登录集群FusionInsight Manager，然后选择“集群> 服务> ClickHouse >实例”，获取ClickHouseServer实例对应的业务IP地址。 port 连接的端口。 如果使用ssl安全连接则默认端口为9440，并且需要携带参数secure。具体的端口值可通过ClickHouseServer实例配置搜索“tcpportsecure”参数获取。 如果使用非ssl安全连接则默认端口为9000，不需要携带参数secure。具体的端口值可通过ClickHouseServer实例配置搜索“tcpport”参数获取。 user 用户名。 可以在Manager上创建该用户名并绑定对应的角色权限，具体可以参考“组件操作指南>使用ClickHouse >用户管理及认证> ClickHouse用户及权限管理”。 如果当前集群已启用Kerberos认证，使用kinit认证成功后，客户端登录时可以不携带user和password参数，即使用kinit认证的用户登录。Kerberos集群场景下没有默认用户，必须在Manager上创建该用户名。 如果当前集群未启用Kerberos认证，客户端登录时可以指定Manager上创建的用户和密码。不携带用户和密码参数时则默认使用default用户登录。 password 密码。 默认值：空字符串。该参数和user参数配套使用，可以在Manager上创建用户名时设置该密码。 query 使用非交互模式查询。 database 默认当前操作的数据库。默认值：服务端默认的配置（默认是default）。 multiline 如果指定，允许多行语句查询（Enter仅代表换行，不代表查询语句完结）。 multiquery 如果指定，允许处理用;号分隔的多个查询，只在非交互模式下生效。 format 使用指定的默认格式输出结果。 vertical 如果指定，默认情况下使用垂直格式输出结果。在这种格式中，每个值都在单独的行上打印，适用显示宽表的场景。 time 如果指定，非交互模式下会打印查询执行的时间到stderr中。 stacktrace 如果指定，如果出现异常，会打印堆栈跟踪信息。 configfile 配置文件的名称。 secure 如果指定，将通过ssl安全模式连接到服务器。 historyfile 存放命令历史的文件的路径。 param< name > 带有参数的查询，并将值从客户端传递给服务器。具体用法详见

上报字段 描述 计算方式 备注 dns DNS查询耗时 domainLookupEnd domainLookupStart 无 tcp TCP连接耗时 connectEnd connectStart 无 ttfb (Time to First Byte) 请求响应耗时 responseStart requestStart 无 trans 内容传输耗时 responseEnd responseStart 无 dom DOM解析耗时 responseEnd responseStart 无 res 资源加载耗时 loadEventStart domContentLoadedEventEnd 表示页面中的同步加载资源。 ssl SSL安全连接耗时 connectEnd secureConnectionStart 只在HTTPS下有效。

本文带您快速熟悉如何获取访问密钥(AK/SK)。 AccessKey和SecretKey是您访问对象存储（简称ZOS）的密钥，ZOS会通过它来验证您的资源请求。 访问密钥（AK/SK） 类型 天翼云访问密钥（AK/SK）：天翼云账号的访问密钥（AK/SK），不可重置。 ZOS访问密钥（AK/SK）：对象存储产品的访问密钥（AK/SK），可重置。重置密钥（AK/SK）后，对象存储会删除原有的密钥，并为您生成新的密钥。原有的密钥将会失效且不可找回，请您知悉确认。 操作场景 如果您选择使用API访问ZOS，则需要提前获取天翼云访问密钥（AK/SK），通过天翼云访问密钥（AK/SK）来进行鉴权。 如果您选择使用客户端或SDK访问ZOS，则需要提前获取ZOS访问密钥（AK/SK），通过ZOS访问密钥（AK/SK）来进行鉴权。 注意 如果访问密钥（AK/SK）泄露，会带来数据泄露风险，建议妥善保管。 操作步骤 获取天翼云AK/SK 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击账号中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”行，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击查看并复制AK/SK。

本节为您介绍如何在Mac OS系统主机上登录Linux云主机。 操作场景 本节为您介绍如何在Mac OS系统主机上登录Linux云主机。 前提条件 云主机状态为“运行中”。 已获取Linux云主机用户名和密码。忘记密码请参考在控制台重置弹性云主机密码重置密码。 弹性云主机已经绑定弹性公网IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 操作步骤 您可以通过Mac OS系统自带的终端（Terminal）登录Linux云主机。 SSH密码方式 1、打开系统自带的终端（Terminal），执行以下命令，登录云主机。 ssh 用户名@弹性公网IP 说明： 如果是公共镜像，用户名为“root”。 SSH密钥方式 1、打开系统自带的终端（Terminal），执行以下命令，变更权限。下面步骤以私钥文件是kp123.pem为例进行介绍。 chmod 400 /path/kp123.pem 说明： 上述命令的path为密钥文件的存放路径。 2、执行以下命令，登录云主机。 ssh i /path/kp123.pem 用户名@弹性公网IP 说明： 如果是公共镜像，用户名为“root”。 后续处理 以SSH密钥方式登录弹性云主机后，可以通过设置密码（执行passwd命令），后续使用VNC方式登录Linux弹性云主机。

本节主要介绍Kafka业务迁移。 Kafka迁移指将生产与消费消息的客户端切换成连接新Kafka，部分还涉及将持久化的消息文件迁移到新的Kafka。主要涉及到以下2类场景： 业务上云且不希望业务有中断。 在上云过程中，连续性要求高的业务，需要平滑迁移，不能有长时间的中断。 在云上变更业务部署 单AZ部署的Kafka实例，不具备AZ之间的容灾能力。用户对可靠性要求提升后，需要迁移到多AZ部署的实例上。 迁移准备 1、配置网络环境 Kafka实例分VPC内以及公网地址两种网络连接方式。如果使用公网地址，则消息生成与消费客户端需要有公网访问权限，并配置如下安全组。 表 安全组规则 方向 协议 端口 源地址 说明 ::::: 入方向 TCP 9094 0.0.0.0/0 通过公网访问Kafka（关闭SSL加密）。 入方向 TCP 9095 0.0.0.0/0 通过公网访问Kafka（开启SSL加密）。 2、创建Kafka实例 Kafka的规格不能低于原业务使用的Kafka规格。具体请参考购买Kafka实例。 3、创建Topic 在新的Kafka实例上创建与原Kafka实例相同配置的Topic，包括Topic名称、副本数、分区数、消息老化时间，以及是否同步复制和落盘等。具体请参考创建Topic。

此小节介绍企业主机安全的个人数据保护。 为了确保您的个人数据（例如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，HSS通过加密存储个人数据、控制个人数据访问权限等方法防止个人数据泄露，保证您的个人数据安全。 收集范围 HSS收集及产生的个人数据如表所示。 类型 收集方式 是否可以修改 是否必须 邮箱 服务器开启双因子认证后，HSS定时获取对应消息通知服务主题订阅的邮箱 否 是 手机号 服务器开启双因子认证后，HSS定时获取对应消息通知服务主题订阅的手机号 否 是 登录位置信息 服务器开启防护后，登录云服务器时，HSS记录的用户登录位置信息。 否 是 存储方式 HSS通过加密算法对用户个人敏感数据加密后进行存储。 邮箱、手机号：加密存储 登录位置信息：不属于敏感数据，明文存储 访问权限控制 用户个人数据通过加密后存储在HSS数据库中，数据库的访问需要通过白名单的认证与授权。

本文简述直播录制功能的详细操作步骤。 视频直播支持将直播内容进行录制并存储到媒体存储中，您可以在对象储存中对录制的直播视频进行下载、分享等处理。 注意事项 一个域名只支持配置一个录制模板。 直播录制过程中，若直播推流因网络抖动等问题中断，则直播服务将中止录制。当推流重新启动时，直播服务将重新开启新的录制任务。 配置录制后，启动推流即开始录制，结束推流才可停止录制，暂无法按需停启。 仅支持对接收到的源直播流进行录制，暂不支持录制直播转码流。 直播录制功能为计费项，按照录制峰值计费，具体价格请参见增值服务中的直播录制收费标准。此外，由于直播录制生成的视频文件最终存储在媒体存储中，因此，产生的存储费用由媒体存储单独收取。 前提条件 已添加推流域名，详情请参见：添加加速域名。 已配置CNAME。 已开通媒体存储（请参见媒体存储的订购指引），并创建存储桶。 创建录制模板 1. 登录直播控制台。 2. 单击【功能配置】下方【直播录制】，进入【直播录制】配置页面。 3. 单击页面右上方【创建录制模板】。 参数 说明 模板名称 录制模板的名称。支持大小写字母、数字和特殊符号“”。 模板描述 针对该模板的相关描述。 录制格式 录制文件格式，支持将直播录制为HLS、FLV、MP4和AAC四种格式。 文件存储路径 媒体存储中存储录制文件的路径。 文件命名规则 录制文件的前缀。 存储ak 媒体存储的访问密钥。需先开通媒体存储服务，系统自动获取加密后的ak。 存储sk 媒体存储的访问密钥。需先开通媒体存储服务，系统自动获取加密后的sk。 存储访问域名（endpoint） 媒体存储的服务地址。 存储区域 媒体存储的资源区域信息。 存储bucket 媒体存储的bucket名称。 4. 单击【保存】，即完成模板的创建。创建后的模板名称会在页面中间列显示，如果想要修改或者删除模板，您可以单击页面右上方的编辑或者删除按钮。

3、安全设置 连接安全性：该设置决定服务器连接是否加密。无：不加密；SSL/TLS：加密（推荐）；STARTTLS：连接以不加密开始，如果服务器支持，那么尝试加密。 验证方式：该设置是认证连接账号的方式。邮箱账户提供商会决定使用何种方式进行认证，您可以登录邮箱服务器端查看。 4.完成以上邮箱配置即登录成功 验证过程可能会持续1分钟左右，当出现“尝试常用服务器名称后找到配置”即完成账密即服务器验证，点击“完成”即登录成功。 说明 IMAP和POP有什么区别？ POP允许电子邮件客户端下载服务器上的邮件，但是您在电子邮件客户端的移动邮件、标记已读、删除邮件等操作，是不会反馈到服务器上的。比如：您通过AOneMail客户端收取了邮箱中的5封邮件并移动到了其他文件夹，这些移动动作是不会反馈到服务器上的，也就是说，邮箱服务器上的这些邮件是没有同时被移动的。 但是IMAP就不同了，电子邮件客户端的操作都会反馈到服务器上，您对邮件进行的移动邮件、标记已读、删除邮件等操作服务器上的邮件也会做相应的动作。即，IMAP是“双向”的。 同时，IMAP可以只下载邮件的主题，只有当您真正需要的时候，才会下载邮件的所有内容。 如何导入AOneMail旧数据 1.进入AOneMail主界面，点击导入。 2.点击从另一个AOneMail安装导入，点击下一步。 3.选择配置文件目录或ZIP文件作为配置文件导入，点击下一步。 4.选择需要导入的内容并点击继续。 5.点击开始导入，确认导入成功后需要重启AOneMail。

本文介绍了关系数据库PostgreSQL版在主子账号和IAM管理实现的相关功能说明。 关系数据库PostgreSQL版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由天翼云产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本文为您介绍H3C路由器如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cth3c IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录H3C路由器命令行。 2. 配置IKE预共享密钥。 ike keychain ctyun presharedkey address 121...152 255.255.255.255 key simple cth3c 3. 配置IKE提议。 ike proposal 10000 sa duration 86400 authenticationalgorithm sha encryptionalgorithm aescbc128 dh group5 4. 配置IKE安全框架。 ike profile ctyun exchangemode main keychain ctyun localidentity address 49...89 proposal 10000 match remote address 121...152 5. 配置ACL，定义要保护的数据流。 acl advanced 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 6. 配置IPsec安全提议。 ipsec transformset ctyun protocol esp esp encryptionalgorithm aescbc128 esp authenticationalgorithm sha1 pfs dhgroup5 7. 配置IPsec安全策略。 ipsec policy ctyun 10 isakmp sa duration timebased 3600 transformset ctyun security acl 3402 remoteaddress 121...152 ikeprofile ctyun 8. 在GigabitEthernet1/0接口上应用IPsec安全策略ctyun。 interface GigabitEthernet1/0 ipsec apply policy ctyun 9. 配置静态路由。 ip route 192.168.3.0 255.255.255.0 49...1 10. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本节介绍如何购买扩展资源。 开通了云安全中心实例后，可根据实际使用需求购买日志分析量扩展资源和态势大屏扩展资源。 前提条件 已购买云安全中心实例。 规格限制 态势大屏扩展资源只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即扩展资源需要购买50G的整数倍。 约束条件 云安全中心实例生效期间，支持扩增扩展资源数量。 扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 系统影响 购买扩展资源时，原已启用的服务不会暂停，对业务无任何影响。 购买扩展资源 若当前实例还未购买某类扩展资源，则需单独购买。 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入产品服务页面。 3. 在左侧导航栏，选择“已购资源”。 4. 选择需要购买的扩展资源，“态势大屏”扩展资源、“日志分析量”扩展资源。 说明 “日志分析量扩展资源”可以设置购买数量，固定为50G的整数倍。 “态势大屏扩展资源”为固定1个。 5. 设置扩展资源数量。 6. 在页面下方确认配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》“，单击“立即购买”。 7. 在订单页完成订单确认并支付，付费成功后，购买扩展资源规格生效。

配置 说明 API名称 支持中文、英文、数字、下划线，且只能以英文或中文开头，364个字符。 API目录 一个特定功能或场景的API集合，类似文件夹，是数据服务中API的最小组织单元，也是API网关中的最小管理单元。 您可单击“新建”进行新建，也可选择新建API目录已创建的API分组。 请求Path API访问路径，例如：/v2/{projectid}/streams。 请求Path即完整的url中，域名之后、查询参数之前的部分，如下图中的“/blogs/188138”。 统一资源定位符url说明 在请求路径中，可以使用大括号{}标识路径中的参数作为通配符。如“/blogs/{blogid}”表示/blogs后可以携带任何参数，例如“/blogs/188138”和“/blogs/0”均会匹配至/blogs/{blogid}，由此API统一处理。 此外，相同域名下，不允许重复的请求路径出现。路径参数作为通配符时，名称不具备唯一性，例如“/blogs/{blogid}”和“/blogs/{xxxx}”，会被视作相同路径。 参数协议 用于传输请求的协议，支持HTTP和HTTPS协议。 HTTP属于基础的网络传输协议，无状态、无连接、简单、快速、灵活、使用明文传输，在使用上较为便捷，但是安全性欠佳。 HTTPS是在HTTP协议上进行了SSL或TLS加密校验的协议，能够有效验证身份以及保护数据完整性。相对的，访问HTTPS的API，需要配置相关的SSL证书或跳过SSL校验，否则将无法访问。 请求方式 HTTP请求方式，表示请求什么类型的操作，包含GET、POST等，遵循resultful风格。 GET：请求服务器返回指定资源，推荐使用GET请求。 POST：请求服务器新增资源或执行特殊操作，仅在注册API时使用。POST请求当前不支持body体，而是直接透传。 描述 对API进行简要描述。 标签 对API设置标签。用于标记当前API的属性，创建后可以通过标签快速检索定位API。单个API最多可设置20个标签。 审核人 拥有API的审核权限。 单击“新建”，进入“审核中心>审核人管理”页面，新建审核人。 安全认证 API认证方式： APP认证：表示由API网关服务负责接口请求的安全认证，安全级别最高。 IAM认证：表示借助IAM服务进行安全认证，安全级别中等。 无认证：属于无防护的模式，无需认证即可访问，安全级别低，不推荐使用。 服务目录可见性 发布后，所选范围内的用户均可以在服务目录中看到此API。 当前工作空间可见 当前项目可见 当前租户可见 访问日志 勾选，则此API的查询结果将会产生记录并被保留7天，可以在“运营管理>访问日志”处通过选择“请求日期”的方式查看对应日期的日志。 最低保留期限 API解绑前预留的最低期限。0表示不设限制。 API进行停用/下线/取消授权时，会通知已授权用户，并为用户预留至少X小时，直到所有授权用户均完成解除或处理，或者到达截止时间，API才会停用/下线/取消授权。 入参定义 配置API请求中的参数，包含资源路径中的动态参数，请求URI中的查询参数和Header参数。 添加入参定义时，如果参数设定为必填，则API在访问时，必须传入指定参数；如果非必填，则在API访问时，未传入的参数，会使用默认值进行代替。 参数大小限制如下： query+path，url最大32KB header，最大128KB body， 最大128KB 以配置资源路径中的动态参数为例进行说明，例如资源路径（请求Path）设置为： /v2/{projectid}/streams，资源路径中的{projectid}为动态参数，需要在此进行配置。 1. 单击“添加”，参数名配置为projectid。 2. 参数位置选择PATH。 3. 类型设置为STRING。 4. 选择性配置示例值和描述。

本文帮助您快速熟悉如何修改弹性网卡的基本信息、分配IPv6、辅助私网IP。 操作场景 您可以根据业务需求修改弹性网卡的名称、安全组，管理辅助私网IP。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建虚拟私有云VPC、子网、弹性云主机。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 单击“弹性网卡”，进入弹性网卡列表页面。 5. 在弹性网卡列表页找到对应的弹性网卡，点击“修改”，填写名称、安全组、描述，点击“确定”即可完成修改。 6. 在目标弹性网卡的“操作”列，点击“管理弹性网卡IP地址”。 7. 在弹窗页面可以取消分配IPv6地址，取消分配后IPv6地址回收。再次分配可以重新获得IPv6地址。您也可以分配新的辅助私网IP（IPv4）或者取消分配。 注意 分配辅助私网IPv4后，您需要登录服务器实例，在实例内部配置已分配的辅助私网IPv4地址。 变更IPv6地址后，不能立即生效，需要等云主机下次dhcp续约时才能生效。 8. 当您不需要此弹性网卡时，点击弹性网卡列表“删除”，即可删除该弹性网卡。

本节介绍如何开启IPv6防护。 如果您的网站需要IPv6的防护，可以参考本章节开启IPv6防护，开启后，WAF将为域名分配IPv6的接入地址，WAF默认在CNAME中增加IPv6地址解析，IPv6的所有访问请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 当防护网站的源站地址配置为IPv6地址时，默认开启IPv6防护。WAF使用IPv6回源地址和源站发起连接。 源站地址只有IPv6时： 当防护网站的源站地址配置为IPv4地址时，手动开启IPv6防护后，WAF将通过NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制）将外部IPv6访问流量转化成对内的IPv4流量。WAF使用IPv4回源地址和源站发起连接。 源站地址只有IPv4时： 前提条件 网站已接入WAF。 开启IPv6防护 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在“IPv6防护”所在行，单击编辑图标，在弹出的对话框中，选择“开启”并单击“确定”。

本章节主要介绍使用GDS从远端服务器导入数据的最佳实践。 教程指引 本教程旨在演示使用GDS（General Data Service）工具将远端服务器上的数据导入DWS中的办法，帮助您学习如何通过GDS进行数据导入的方法。 在本教程中，您将： 生成本教程需要使用的CSV格式的数据源文件。 将数据源文件上传到数据服务器。 创建外表，用于对接GDS和DWS，及将数据服务器上的数据引流到DWS集群中。 启动DWS并创建数据库表后，将数据导入到表中。 根据错误表中的提示诊断加载错误并更正这些错误。 准备ECS作为GDS服务器 创建Linux弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“创建弹性云主机”。创建后，请参见《弹性云主机用户指南》中的“登录Linux弹性云主机”章节进行登录。 说明 l ECS操作系统必须是GDS工具包所支持的操作系统。 l ECS与DWS处于同一区域、同一虚拟私有云和子网。 l ECS安全组规则需放通DWS集群的访问，即安全组入规则： l 协议：TCP l 端口范围：5000 l 源地址：选择“IP地址”，输入DWS 集群地址，例如“192.168.0.10/32”。 l ECS内部如果启用了防火墙，需要保证防火墙打开了GDS服务的监听端口： iptables I INPUT p tcp m tcp dport j ACCEPT

本节介绍了数据库安全设置的相关内容。 账户密码复杂度设置 RDS for MySQL Console端数据库密码复杂度，请参见购买中的数据库配置表格。 RDS for MySQL对在客户端新创建的数据库用户，设置了密码安全策略： 口令长度至少8个字符。 口令至少包含大写字母、小写字母、数字和特殊字符各一个。 创建实例时，为用户提供了密码复杂度校验，由于root用户可以修改密码复杂度，安全起见，建议修改后的密码复杂度不低于RDS for MySQL的初始化设置。 账户说明 您在创建RDS for MySQL数据库实例时，系统会自动为实例创建如下系统账户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 删除、重命名、修改这些账户的密码和权限信息，会导致实例运行异常，请谨慎操作。 rdsAdmin：管理账户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl：复制账户，用于备实例或只读实例在主实例上同步数据。 rdsBackup：备份账户，用于后台的备份。 rdsMetric：指标监控账户，用于watchdog采集数据库状态数据。 rdsProxy：数据库代理账户，该账户在开通读写分离时才会自动创建，用于通过读写分离地址连接数据库时鉴权使用。

本节主要介绍AK/SK获取方法 1、登录天翼云控制台。 2、鼠标移动到右上角用户名，在下拉菜单选择“我的凭证”。 3、在导航栏，单击“管理访问密钥”页签。 4、单击“新增访问密钥”，通过身份认证后成功创建AK/SK。 5、单击“立即下载”。 下载成功后，在credentials文件中获取AK和SK信息: Access Key Id的值即为AK。 Secret Access Key的值即为SK。 注意 每个用户仅允许保留2个有效的访问秘钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请妥善保管访问密钥。

本小节介绍等保咨询都有哪些优势。 一站式服务 提供从定级、备案、自评到整改、测评等一站式等保测评指导服务。 经验丰富 联合专业等保咨询机构，提供专业快捷的等保咨询方案，已在政府、金融、医疗等多个行业有成熟案例。 管理服务 专属的安全专家，提供全程服务，协助您提供测评。 专业快速 提供专业快速的等保定级、备案、差距分析及整改的指导服务。

解绑标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 4. 选择需要解绑标签的数据库审计实例，单击“标签”旁的编辑按钮。 5. 在弹出的编辑标签窗口中，单击目标标签操作列的“删除”。 6. 单击“确定”，解绑标签完成。

本小节介绍安全告警事件概述。 企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵检测能力，用户可通过事件管理全面了解告警事件类型，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 约束限制 未开启防护不支持告警事件相关操作。 主机告警事件支持情况说明 事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

本章节介绍数据库安全如何安装Agent。 安装Agent后，您才能开启数据库安全审计功能，对待审计的数据库进行审计。 本节介绍如何在Linux系统上安装Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 已获取Linux操作系统Agent安装包。 安装Agent节点的运行系统满足Linux系统版本要求。 安装Agent 在您安装新版Agent的时候，需要您为当前安装的Agent自定义一个密码。 请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。 1. 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 2. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 3. 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。cd Agent安装包所在目录 4. 执行以下命令，解压缩“xxx.tar.gz”安装包。tar xvf xxx.tar.gz 5. 执行以下命令，进入解压后的目录。cd解压后的目录 6. 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。 7. 执行以下命令，安装Agent。sh install.sh。用户系统是Ubantu时，执行以下命令安装Agent。bash install.sh。界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 start agent starting audit agent audit agent started start success install dbss audit agent done! 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 8. 执行以下命令，查看Agent程序的运行状态。service auditagent status如果界面回显以下信息，说明Agent程序运行正常。audit agent is running.

修改Kafka连接地址 1.在管理控制台左上角单击，选择“企业间件 > 分布式消息服务Kafka版”，进入分布式消息服务Kafka控制台页面。 2.单击Kafka集群名称，进入实例详情页面。 3.在“实例详情”页面的“高级配置”区域，单击“添加路由策略”，选择接入类型为跨VPC访问，填入advertised.listeners IP和Port端口，advertised.listeners IP为7和8中记录的节点IP，8为创建终端节点服务时填入的端口。修改完后，单击“保存”。其中dvertised.listeners IP中可填入域名，需客户端支持域名解析。 4.20240810前开通的实例，需要重启实例才能生效 图9 修改advertised.listeners IP 验证接口连通性 参考安全接入点接入，测试是否可以生产和消费消息。 测试接口连通性时，注意以下几点： 连接Kafka实例的地址为“advertiesd.listeners IP:port”，以图9为例，连接Kafka实例的地址为“10.254.0.74:9011,10.254.0.75:9011,10.254.0.88:9011”。 在Kafka实例安全组的入方向规则中放通对应端口，以及 XX.XX.XX.0/16网段的地址。 说明 XX.XX.XX.0/16是为VPC终端节点分配的网段，使用VPC终端节点需要放通此网段。

任务名称 说明 创建实例 创建社区版集群实例、副本集实例。 扩容存储 扩容社区版集群实例shard节点的存储容量、副本集实例的存储容量。 变更规格 变更社区版集群实例的规格、副本集实例的规格。 添加节点 添加社区版集群实例的节点。 重启操作 重启集群实例、集群节点组、集群节点、副本集实例。 恢复到新实例 社区版集群实例、副本集实例恢复到新实例。 恢复到当前实例 社区版集群实例、副本集实例恢复到新实例。 恢复到指定时间点 副本集实例恢复到指定时间点。 库表级时间点恢复 副本集实例库表级数据恢复到指定时间点。 主备切换 副本集实例主备切换。 绑定和解绑弹性公网IP 社区版集群实例、副本集实例绑定和解绑弹性公网IP。 切换SSL 社区版集群实例、副本集实例切换SSL。 修改数据库端口 社区版集群实例、副本集实例修改数据库端口。 修改安全组 社区版集群实例、副本集实例修改安全组。 修改内网地址 社区版集群实例、副本集实例修改内网地址。 迁移可用区 社区版集群实例、副本集实例迁移可用区。 显示shard/config IP 社区版集群实例开启shard/config地址。 修改oplog大小 社区版集群实例、副本集实例修改oplog大小。 物理备份 社区版集群实例、副本集实例自动和手动备份。 升级数据库补丁 社区版集群和副本集实例进行补丁升级。