本章主要介绍功能特性 表 软件开发生产线各服务功能特性 服务名 功能特性 需求管理 提供多项目管理、敏捷迭代管理、里程碑管理、需求管理、缺陷跟踪、多维度统计报表等功能。 迭代计划和时间线，有效管理项目计划。 树表、任务墙等多种视图，方便查看项目工作。 多种项目统计图表，随时掌握项目开展情况。 在线文件库，批量文档托管，信息传递不失真。 代码托管 提供安全、可靠、高效的分布式代码托管服务。包括代码克隆/下载/提交/推送/比较/合并/分支等功能。 基于Git的分布式版本控制，提升跨地域跨团队协同开发效率。 关联项目任务，保障项目高效交付。 增强的安全防护能力，IP白名单与代码仓库访问日志审计。 代码仓库提交信息统计，基于时间轴的贡献者代码提交统计。 代码检查 提供可协作的一站式代码检查服务。 一站式：覆盖主流编程语言、主流编码标准、SDLC集成等。 灵活易用的检查方式：支持代码提交检查、定时执行检查，支持多分支检查。 可协作：提供问题责任人自动归属、提供问题修改建议、可聚焦处理新问题等。 编译构建 快速、安全的云上编译构建服务。 内置C/C++/Java/…等主流语言的构建模板，并支持自定义构建模板。 可配置执行计划，支持开启提交代码触发执行、定时执行等多种构建执行计划。 界面傻瓜式配置，无需用户编写构建配置文件。 同时支持容器镜像和通用软件包的归档。 构建完成时支持消息通知。 内置支持主流语言的构建环境镜像，也可使用自定义构建环境镜像。 支持多个构建步骤，可实现构建过程的灵活编排。 部署 提供可视化、一键式部署服务，支持并行部署和流水线无缝集成。 提供丰富的部署步骤，满足用户不同的部署场景。 支持对虚拟主机部署、物理主机部署、容器部署以及微服务应用部署等多种部署形态。 支持文件的复制、删除、修改、解压；支持Ansible、Shell命令、Shell脚本等通用部署能力。 部署界面简洁化配置，无须编写部署脚本。支持部署步骤的拖拉拽灵活编排。 预置Tomcat、SpringBoot、Django等系统模板，同时支持用户创建自定义模板。基于部署模板库，可以制 标准的部署流程，实现的快速创建，方便团队内部推广。 提供错误日志分析能力，对于失败的情况，支持错误日志关键字匹配FAQ，并提供详细的排查解决方案。 支持自定义参数，在时由用户指定参数值，用指定值替换相应参数部署。 提供对主机和主机组管理能力。支持主机（组）的增删改查；支持主机批量删除，批量连通性验证；主机连通 支持EIP直连、代理机连接以及模式下的VPC直连。 和主机组均支持项目下角色和权限的二维矩阵。 测试计划 提供业内首推一站式自动化测试工厂解决方案，覆盖测试设计、测试用例、测试管理、接口自动化测试。 DevOps敏捷测试理念，打通测试计划、测试设计、测试用例、测试执行和测试报告的全流程测试活动，提供缺陷上报、质量看板等方式多维度评估产品质量，帮助用户高效管理测试活动，保障产品高质量交付。 测试设计：使用启发式思维导图的形式进行测试用例设计和评审，更加直观，效率更高。支持Xmind直接导入生成在线思维导图测试设计；支持在线编辑思维导图; 支持4层测试设计方法（特性场景功能点用例）；一键批量生成测试用例；覆盖功能、接口、安全等全领域测试设计，输出测试方案；可以通过测试策略模板快速创建用例，也可以自定义模板形成自己的测试资产。 测试管理：成熟的测试用例管理系统，可以开展用例设计、测试执行、缺陷提交、质量报告，提高测试效率；记录修改历史，避免漏测、误测，易追溯审计，规范测试流程。融入全生命周期追溯、测试计划、团队多角色协作、敏捷测试、需求驱动测试等理念，覆盖测试需求管理、测试任务分配、测试任务执行、测试进度管理、测试覆盖率管理、测试结果管理、缺陷管理、质量报告、测试仪表盘，一站式管理功能，提供适合不同团队规模、流程的自定义能力。 接口自动化测试：基于接口URL或者Swagger文档生成的接口脚本模板快速编排接口测试用例，集成流水线，支持微服务测试。测试用例免代码编写，技术门槛低，适合接口开发者、接口消费者、测试人员、业务人员等不同角色使用。一键导入Swagger接口定义自动生成脚本模板，基于脚本模板组装编排、管理接口自动化测试用例。支持HTTP和HTTPS协议，可视化用例编辑界面，丰富的预置检查点、内置变量，支持自定义变量、参数传递、持续自动化测试。 制品仓库 面向软件开发者提供制品管理的云服务，提供软件仓库、发布包下载、发布包元数据管理等功能，通过安全可靠的软件仓库，实现软件包版本管理，提升发布质量和效率，实现产品的持续发布。 支持文件重命名、批量删除、批量恢复、页面上传和下载、文件名搜索等文件操作。 编译构建属性自动关联软件包，编译构建的产物自动归档到软件发布库。 支持构建服务一键归档、部署服务从发布库一键获取软件包。 支持Maven、npm、Go、PyPI、RPM、Debian等多种制品类型仓库，支持新建仓库、上传下载制品、搜索制品等能力。 流水线 提供可视化、可编排的CI/CD持续交付软件生产线，帮助企业快速转型实现DevOps持续交付高效自动化，缩短应用TTM（Time to Market）交付周期，提升研发效率。 流水线自定义编排：可根据用户使用场景的需要，对构建、代码检查、子流水线、部署、流水线控制（延时执行、人工审核）、接口测试等多种类型的任务进行纳管和执行编排。 流水线可视化增删改查：提供图形化界面基础的流水线创建、编辑、删除和执行状态查看功能。其中，查看功能支持跳转到对应的自动化任务界面查看其日志等详情信息。 流水线权限管理：支持用户针对流水线任务设置指定帐号的权限控制，权限基于帐号所属角色操作权限进行控制，包含基础的查看、编辑、执行、删除权限控制。 流水线历史执行记录：支持查看流水线最近31天的历史执行记录。 流水线消息通知：用户可根据需要设置事件类型的通知状态，包括是否发送服务动态和邮件通知。 流水线部分任务执行：根据用户需求，可选择流水线中的某一个或多个任务单独执行。 流水线执行参数配置：流水线支持自定义参数，在执行时由用户指定参数值，任务用指定值替换相应参数执行。 流水线串/并行执行配置：根据用户需求，可配置同一阶段内的任务串行执行或并行执行。 说明 若您在使用软件开发生产线过程中所填写或上传的数据，可能有不确定的用户数据涉及敏感信息，为确保数据安全，请优先加密。

本节介绍分布式缓存服务Redis版产品功能特性 一级分类 二级分类 功能描述 基础能力 开源兼容 兼容开源5.0，6.0，7.0系列，集群兼容性高; 支持string，hash，list，set，sortedset等常见类型。 基础能力 开箱即用 提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力。 基础能力 高级命令支持 支持事务和订阅。 基础能力 水平扩展、透明访问 支持基于水平分片算法的集群扩展、提供接入层透明的访问能力。 基础能力 CPU兼容 支持跨平台的软硬件，如飞腾、鲲鹏、海光国产CPU。 高可用 服务可靠性 支持主备、集群高可用实例类型。 高可用 节点故障自动切换功能 节点故障自动检测、恢复。 高可用 数据持久化 RDB+AOF组合持久化策略，保障数据丢失最小化。 高可用 在线扩容 支持实例存储空间、内存等资源平滑扩容。 运维 集群管理 集群可视化管理，查看节点状态，修改配置。 运维 运维监控 提供丰富的服务监控指标、系统监控指标。 运维 数据备份恢复 提供数据备份及数据恢复机制。 运维 安装部署 一键安装部署。 运维 权限管理 支持多账号，支持设置读写、只读权限，最小化授权。 运维 日志功能 支持日志记录、慢日志排查超时问题等日志功能。 开发 多语言连接 支持Java、Python、C

本章节介绍如何创建一个ZooKeeper引擎实例 概述 微服务注册中心ZooKeeper是一个分布式应用程序协调服务，是 Google Chubby 的开源实现。利用ZooKeeper的存储配置，实现配置信息的集中式管理和数据的动态更新，保证数据一致性。MSE提供的ZooKeeper企业级服务，分为单机版和集群版两种，前者适用于开发测试，后者致力于在性能、可观测和高可用方面做了诸多提升，用于生产环境。 本文将介绍如何创建一个ZooKeeper引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”，推荐您开通集群版，以保障实例的高可用性； 引擎类型：若您需要开通ZooKeeper引擎，则选中“ZooKeeper”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本文为您介绍深信服防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK ctSang4 IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 登录深信服防火墙的Web管理页面，单击导航栏中的 IPsec VPN设置 > 第三方对接 > 第一阶段 ，单击列表上方的“新增”按钮，根据天翼云IPsec连接的IKE协议信息配置防火墙的第一阶段配置。 2. 单击导航栏中的 IPsec VPN设置 > 第三方对接 > 第二阶段 ，单击“入站策略”列表上方的“新增”按钮，根据天翼云IPsec连接的网络信息，配置防火墙的第二阶段入站策略。 3. 单击导航栏中的 IPsec VPN设置 > 第三方对接 > 第二阶段 ，单击“出站策略”列表上方的“新增”按钮，根据天翼云IPsec连接的网络信息，配置防火墙的第二阶段出站策略。 4. 单击导航栏中的 IPsec VPN设置 > 第三方对接 > 安全选项 ，查看是否有与天翼云IPsec连接配置相同的认证算法与加密算法组合；如果没有，请单击列表下方的“新增”按钮添加一个算法组合，或单击列表后面的“编辑”进行修改，使算法与天翼云IPsec连接中的配置相同。 5. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

流量超额预警 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“系统管理 > 告警通知”，进入“告警通知”页面。 4. 在“流量超额预警”所在行的“操作”列，单击“编辑”，设置通知项参数，参数说明详见下表。 参数名称 参数说明 通知项说明 当流量达到所采购流量处理能力规格的一定比例时，发送告警通知。 通知等级 选择触发通知的流量等级，当流量达到采购流量的该比例时，触发告警通知。 在下拉框中选择触发通知的流量占比等级，可选择“70%”、“80%”、“90%”。 例如：选择“80%”，那么当所用流量/购买流量80%时，发送告警通知。 通知时间 选择通知的时间段。 触发条件 一天一次。 通知群组 单击下拉列表选择已创建的主题，用于配置接收告警通知的终端。 5. 单击“确认”，完成通知项设置。 6. 确认信息无误后，在“流量超额预警”所在行的“生效状态”列，单击,开启流量超额预警通知。 EIP未防护告警 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> 告警通知”，进入“告警通知”页面。 5. 在“EIP未防护告警”所在行的“操作”列，单击“编辑”,设置通知项参数，参数说明如下表所示。 参数名称 参数说明 通知项说明 当前账号存在未开启防护的EIP时，发送告警通知。 通知时间 选择通知的时间段。 触发条件 一天一次。 通知群组 单击下拉列表选择已创建的主题，用于配置接收告警通知的终端。 6. 单击“确认”，完成通知项设置。 7. 确认信息无误后，在“EIP未防护告警”所在行的“生效状态”列，单击，开启EIP防护通知。

本章节主要介绍使用Yarn客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Yarn客户端。 前提条件 已安装客户端。 例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。普通模式不需要下载keytab文件及修改密码操作。 使用Yarn客户端 1. 以客户端安装用户，登录安装客户端的节点。 2. 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3. 执行以下命令配置环境变量。 source bigdataenv 4. 如果集群为安全模式，执行以下命令进行用户认证。普通模式集群无需执行用户认证。 kinit 组件业务用户 5. 直接执行Yarn命令。例如： yarn application list 客户端常见使用问题 1. 当执行Yarn客户端命令时，客户端程序异常退出，报“java.lang.OutOfMemoryError”的错误。 这个问题是由于Yarn客户端运行时的所需的内存超过了Yarn客户端设置的内存上限（默认为128MB）。对于MRS 3.x后续版本集群，可以通过修改“ /HDFS/componentenv”中的“CLIENTGCOPTS”来修改Yarn客户端的内存上限。例如，需要设置该内存上限为1GB，则设置： export CLIENTGCOPTS"Xmx1G" 对于MRS 3.x之前版本集群，可以通过修改“ /HDFS/componentenv”中的“GCOPTSYARN”来修改Yarn客户端的内存上限。例如，需要设置该内存上限为1GB，则设置： export GCOPTSYARN"Xmx1G" 在修改完后，使用如下命令刷新客户端配置，使之生效： source /bigdataenv 2. 如何设置Yarn客户端运行时的日志级别？ Yarn客户端运行时的日志是默认输出到Console控制台的，其级别默认是INFO级别。有的时候为了定位问题，需要开启DEBUG级别日志，可以通过导出一个环境变量来设置，命令如下： export YARNROOTLOGGERDEBUG,console 在执行完上面命令后，再执行Yarn Shell命令时，即可打印出DEBUG级别日志。 如果想恢复INFO级别日志，可执行如下命令： export YARNROOTLOGGERINFO,co

概述 云原生网关支持通过配置ip黑名单和白名单的方式限制客户端访问网关；黑白名单不能同时开启，同时只有一种能生效。 云原生网关默认读取请求中的Remoteaddr字段值作为客户端IP（即网络层IP）；如果您的客户端访问出口存在七层代理，此时Remoteaddr字段值为出口代理地址，可通过开启从xff头部获取ip配置选项，从XForwardedFor字段中获取客户端真实IP。 注意 通过ELB访问云原生网关时，网关看到的网络层地址是ELB出口IP；当前ELB采用四层代理模式，不会添加xff头部；我们将在后续的版本中优化ELB访问时的IP限制能力。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 在左侧导航栏，选择安全认证> 黑白名单。 4. 切换tab栏，填写黑名单或白名单。

本文介绍弹性文件服务安全权限组管理方面的内容。 什么是权限组 在弹性文件服务中，权限组是一个白名单机制。您可以创建权限组和规则，允许指定的IP地址或网段访问文件系统，并给不同的IP地址或网段授予不同的访问权限。仅部分资源池支持权限组，具体功能以控制台为准。 默认权限组 初始情况下，每个弹性文件服务会自动生成一个默认权限组，默认权限组允许任何IP地址以最高权限访问文件系统。默认权限组不支持删除或修改。 自定义权限组 如果默认权限组不符合您的业务需求，您也可以自定义权限组和规则，为IP地址或网段授予不同的访问权限，以满足不同的访问场景。 使用限制 一个天翼云账号在单个地域内最多可以创建20个权限组。 一个权限组最多支持添加400个规则。 仅支持创建专有网络类型的权限组。 具体操作步骤详见权限组管理。

本页为您介绍数据传输服务DTS如何监控安全风险。 数据传输服务为用户提供监控告警能力，使您了解数据迁移和数据同步的运行状况，并及时监控到异常告警做出反应，保证业务顺畅运行。 DTS提供基于迁移/同步流量BPS、迁移/同步性能RPS、迁移/同步网络延时、迁移/同步SQL执行RT（响应时间）等指标的监控能力。通过设置数据迁移/同步的告警规则，用户可自定义告警规则、设置通知邮件地址，及时了解数据传输服务的运行状况，从而起到预警作用。 监控告警支持用户和实例维度的告警，选择“用户”，表示告警范围为用户所有的DTS实例；选择“实例”，表示告警范围为指定的DTS实例。 监控告警按设置的告警间隔进行告警，一个监控周期的时间为30s，支持配置告警间隔为监控周期的整倍数。 数据迁移/数据同步如何创建告警规则，具体请参见数据迁移监控告警和数据同步监控告警。

功能名称 实现机制 屏蔽告警 SSH登录IP白名单 将IP加入SSH登录IP白名单，只允许白名单内的IP通过SSH登录指定服务器。 须知 启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中。 登录白名单 将IP加入登录白名单，用于忽略由该IP登录指定主机发生的帐户暴力破解告警事件。 在“入侵检测>白名单管理>登录白名单”将IP加入登录白名单，HSS将不会对该IP的“帐户暴力破解”登录事件进行告警。 异地登录 当不是来自“常用登录地”或者“常用登录IP”的登录行为时，将会进行异地登录告警。 提醒您有新的IP登录您的主机。 在“安装与配置>安全配置”中，将登录地与登录IP添加到“常用登录地”与“常用登录IP”，HSS将不会对来自“常用登录地”和“常用登录IP”的登录行为进行异地告警。

本小节介绍云日志审计Windows系统客户端配置。 Windows系统客户端配置 1.进入【日志采集】→【采集控制器】，点击“NXLog”客户端，进行下载。 压缩包内包括客户端配置程序、配置文件、操作方法。 相关配置文件需注意，“Host”为云日志审计IP地址。 2.配置文件修改后，重启服务。 Linux客户端配置 1.进入Linux系统，进行rsyslog进程配置。 命令： vim /etc/rsyslog.conf 2.修改配置如下： . @云日志审计IP地址（写入发送日志指向的云日志审计地址） 3.启动rsyslog服务。 systemctl start/restart rsyslog.service 其他类型资产日志配置 其他类型资产可选择内置syslog方式，填写云日志审计组件IP地址。 若配置完成，可到【安全概览】下查看资产设备的日志分析。

本章节介绍如何使用云原生网关实现后端双向TLS认证 概述 云原生网关作为代理服务接收下游服务（DownStream）请求，并转发到上游服务（Upstream）；对于上游服务来说，云原生网关收敛了外部的请求，统一经过网关转发到上游。从安全角度考虑，上游服务可以添加认证鉴权规则实现对网关的身份认证和访问鉴权，确保上游服务安全性；其中一种实现方式就是在上游服务配置TLS策略，要求网关转发请求时提供客户端证书，实现对网关的身份认证，具体流程如下： 云原生网关支持配置证书，用于实现请求后端服务时服务端对网关的证书认证，本文说明具体配置流程。 前提条件 1. 部署后端HTTPS服务，并配置要求请求客户端提供证书； 2. 已开通云原生网关实例； 部署后端服务 我们采用云容器引擎部署后端服务，镜像采用我们的demo应用（已配置证书，并要求客户端请求时提供证书），部署完成后在云容器引擎控制台可以看到容器启动： 还需要部署关联到工作负载的Service，用于暴露工作负载，如下：

备份恢复 业务高峰时执行备份可能会备份失败，建议手动备份选择在业务低峰期间，自动备份建议根据业务需要自定义备份时间段（默认自动备份时间段为01:0002:00 (GMT+08:00)）。 实例写入业务较多时，建议备份策略设置成每天做一次自动备份。 建议根据业务需要设置备份保留天数（默认保留7天）。 建议根据业务需要设置Binlog本地保留时长（默认为0，表示Binlog备份完成后本地日志会被删除）。 使用表级时间点恢复功能时，建议提前确认所选时间点之前是否有对无主键大表的删除操作，如果有该操作，恢复完成时间不易评估。 删除实例后，自动备份的全量备份和Binlog备份也会删除，对数据有需要时，建议删除前进行手动全量备份。 SQL审计 需要定期做业务审计时，建议开启审计日志。 日常运维 建议定期关注慢日志和错误日志，提前识别业务问题。 建议定期关注数据库的资源使用情况，资源不足时，及时扩容。 建议关注实例监控，发现监控指标异常时，及时处理。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 安全 尽量避免数据库被公网访问，公网连接时必须绑定弹性公网IP。 尽量使用SSL连接，保证连接的安全性。

查看监控详情 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”。 3. 在域名监控列表找到需要查看监控数据的域名，单击操作列的“监控详情”。 4. 查看详细监控数据。 监控数据说明如下： 分类 参数 说明 概览 安全等级 域名安全评级。 概览 监控状态 扫描中 正常 概览 ATS 满足 不满足 概览 PCI DSS 满足 不满足 证书信息 SSL证书信息 通用名称：当前SSL证书的通用名称。 签名算法：当前SSL证书使用的签名算法。 证书透明（CT）：当前证书签发行为是否透明公开。true表示公开。 证书品牌：当前SSL证书的版本。包括标准版、SecureSite、GeoTrust、GlobalSign、CFCA、TrustAsia。 证书类型：当前SSL证书的种类。包括DV、OV、EV。 开始时间：当前SSL证书签发时间。 结束时间：当前SSL证书到期时间。 组织机构：组织名称。 备用名称：当前SSL证书的备用名称。 证书信息 证书链信息 颁发给：需要颁发证书的域名。 颁发者：SSL证书的颁发机构名称。 有效期：证书有效期。 协议与套件 协议 展示TLS协议类型的支持情况。 协议与套件 SSL漏洞检测 展示SSL漏洞检测信息。 协议与套件 套件 展示支持的加密套件详情。

新增定期巡检任务 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 定期巡检”。 3. 点击“新增”。 4. 在新增定期巡检任务 页面编辑相关信息，点击“确定”后即成功新增定期巡检任务。 详细配置方法请参见下表： 参数 说明 任务名称 任务名称不能为空且不能超过30个字符。 任务类别 选择任务类别： 快速查杀：快速扫描终端的默认扫描路径，并依照配置的病毒扫描策略对病毒进行相关处理。 全盘查杀：扫描终端所有文件，并依照配置的病毒扫描策略对病毒进行相关处理。 选择终端 点击图标，选择要执行定期巡检任务的终端。 支持选择全部终端：勾选“新增终端将会同步此任务”，表示选择全部终端。 执行时间 定期巡检任务的执行时间，周期可为每天、每周、每月，并需要设置具体的时间点。 相关操作 编辑定期巡检任务 选择需要编辑的巡检任务，点击右侧操作项的“编辑”。在编辑定期巡检任务页面修改需要更改的任务信息，修改完成后点击“确定”即可更改成功。 删除定期巡检任务 对于已存在的定期巡检任务，点击右侧操作项的“删除”，在弹出的提示框中点击“确定”，即可删除该巡检任务。 勾选多个任务，点击列表上方的“删除”，在弹出的对话框中点击“确定”，可对巡检任务进行批量删除操作。

本页介绍天翼云TeleDB数据库中透明存储加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。 透明加密的方案 透明加密是由自动加密与解密和加密密钥管理两部分机制组成。 自动加密与解密：当数据写入磁盘，TDE会自动对数据进行加密。当数据从磁盘读取时, TDE会自动对数据进行解密。整个加密与解密过程，用户和应用程序将不会感知。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密密钥管理：TDE通常使用对称加密算法（如AES）。加密密钥被存储在数据库管理系统外部或安全位置，加密算法的由数据库维护，包括加密算法的选择、秘钥管理，都可以由安全员独立操作完成，以确保数据安全。 开启透明存储加密 TeleDB数据库支持提供TDE功能。当用户需要对磁盘上存储的数据进行加密和解密来实现对数据的保护时，可以对该功能进行开启。 注意 TDE功能仅能在实例开通时开启，且开启后无法关闭。 支持加密功能的内核版本为：5.1.5。 您可参考如下操作开启透明加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 说明 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建⽴关联。同时⽀持，将已经绑定的算法从schema，表和列上解绑，从⽽取消加密算法和数据库对象之间的关联关系。 1. 创建加密算法 SELECT MLSTRANSPARENTCRYPTCREATEALGORITHM(algoname, password) 2. 注销加密算法 SELECT MLSTRANSPARENTCRYPTDROPALGORITHM(algoid) 3. 加密算法绑定 (1) 绑定到Schema SELECT MLSTRANSPARENTCRYPTALGORITHMBINDSCHEMA(schemaname, algoid) (2) 绑定到表 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, algoid) (3) 绑定到列 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, attrname, algoid) 4. 加密算法解绑 SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDSCHEMA(schemaname) SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDTABLE(schemaname, tablename, needcascade) 使用示例 创建管理插件 CREATE EXTENSION teledbxmls; 切换为安全管理员⽤⼾ c mlsadmin 注册内置的加密算法和对应密钥（此处使⽤国测sm4加密算法进⾏注册），获得对应的algo id select MLSTRANSPARENTCRYPTCREATEALGORITHM('SM4','0123456789012345'); select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES128','0123456789012345'); c xieyuecreate table t1(id int,content int); c mlsadmin 将加密算法绑定到表上 select MLSTRANSPARENTCRYPTALGORITHMBINDTABLE('public','t1',1); insert into t1 values(1,0), (2,0), (3,0); insert into t1 values(7, 0), (8,0), (9,0);

本章节主要介绍使用ZooKeeper的操作指导。 前提条件 已安装客户端。 例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用ZooKeeper客户端 1. 安装客户端并安装了JDK8。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 直接执行命令。例如： 7. plaintext zkCli.sh 服务器IP:端口号

本节介绍如何将云防火墙从标准版升级到专业版。 购买了云防火墙后，如果当前版本功能无法满足您的需求，您可以升级CFW的版本。 从标准版升级到专业版 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在页面左上角，单击“升级到专业版”，进入“购买云防火墙”页面。 5. 确认版本规格后，单击“立即购买”。 相关操作 如何为云防火墙续费？ 如何退订云防火墙？

本节介绍天翼云电脑（公众版）的产品优势。 自主领先，畅游云端 自研的CLINK安全传输协议，低延时、高画质、带宽占用少，弱网环境下也可畅快使用。 随时随地，便捷访问 用户通过终端云电脑应用即可快速访问调取云端资源，随时随地享受数据共享、移动办公、休闲娱乐等功能。 即开即用，灵活易用 无需配置，开通即可立即使用，弹性使用云电脑资源，满足日常办公、重度使用等使用场景需要。 说明 关于天翼云电脑（公众版）的产品规格说明，请参考 关于天翼云电脑（公众版）的产品功能说明，请参考 关于天翼云电脑（公众版）的客户端下载，请前往

本节介绍如何配置白名单规则对指定请求进行放行。 网站域名接入Web应用防火墙后，您可以选择开启白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部或特定防护模块（Web基础防护、BOT防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持白名单功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，可以选择开启/关闭防护。 7. 点击防护规则右侧的“前去配置”，进入防护白名单页面。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本章节介绍如何配置脱敏规则。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据脱敏”，并选择“脱敏规则”页签，进入脱敏规则页面。 4. 在“脱敏规则”页签中，选择合适的脱敏方式，配置脱敏规则。 “Hash脱敏”的配置方法请参考Hash脱敏。 “加密脱敏”的配置方法请参考加密脱敏。 “字符掩盖”的配置方法请参考字符掩盖。 “关键字替换”的配置方法请参考关键字替换。 “删除脱敏”的配置方法请参考删除脱敏。 “取整脱敏”的配置方法请参考取整脱敏。 Hash脱敏 将字符串类型字段用Hash值代替。在关系型数据库中，当该字段长度小于Hash长度时，会将目标库中该字段的长度与Hash值长度设置相同，保证Hash值完整写入目标库。DSC默认配置了SHA256和SHA512两种Hash脱敏的算法。 Hash脱敏为DSC内置的脱敏规则，不需要配置，如果您需要测试脱敏效果，可参考以下方法查看脱敏结果。 1. 参照操作步骤进入“脱敏规则”页面。 2. 选择“Hash脱敏”，进入Hash脱敏的页面。 3. 在选择的SHA256或SHA512算法所在列，单击“测试”。 4. 在弹出的页面中输入“原始数据”，并单击“测试”，在“脱敏结果”文本框中展示已完成脱敏的数据。

本小节介绍云下一代防火墙新建子网及网卡。 1.登录云主机控制台，打开虚拟私有云，创建子网。 2.创建子网，保证创建子网与现有子网不冲突即可。 3.创建子网，并自定义子网名称和网段。 4.子网创建完成后，打开云下一代防火墙控制台页面，选择子网和安全组。 5.修改网卡属性，关闭源目检查。 网卡新增成功后，可进入云下一代防火墙web页面进行配置即可。

本节介绍云下一代防火墙到到期与欠费。 到期 云下一代防火墙到期后，请在3个工作日内完成续订，否则无法正常使用。 注意 所有在云下一代防火墙后挂载运行的业务均会有业务中断的风险，业务中断的风险及影响还请用户根据自身业务自行评估；云墙到期1天后会锁定配置，无法进行配置变更和运维处理。 欠费 另外当使用时长超出购买时长时，即属于欠费状态。 欠费后，系统会回收云下一代防火墙安全产品，上述产品中的所有配置和信息均无法恢复。 建议 请到期后立刻申请续订，按照官网流程提供续订申请； 如遇紧急业务故障，请将弹性IP解绑回业务主机进行业务恢复。

本节介绍了负载网络配置的用户指南。 应用场景 在单一节点上运行的容器共享宿主机的网络带宽资源。为了有效防止容器间的网络干扰并增强它们之间的网络稳定性，可对容器实施网络带宽限制。 配置细节 特定限制：使用主机网络HostNetwork模式时，Pod不适用于带宽限制功能。 带宽限制值设定：仅接受M（兆字节）或G（吉字节）为单位，例如100M、1G；最小限制为1M，最大可达4.29G。 应用范围限定：Pod带宽限制功能目前仅适用于普通容器（采用runC运行时），对于安全容器（Kata运行时）不支持。 配置方式 进入创建负载的页面，在高级配置中，选择网络配置进行配置。

本文帮助您快速熟悉查看弹性网卡的相关操作。 操作场景 当您需要了解已有的弹性网卡信息，可以通过网络控制台弹性网卡列表进行查看。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建虚拟私有云VPC、子网、弹性云主机。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 单击“弹性网卡”，在弹性网卡列表页面，可查看弹性网卡的名称、ID、所属网络、安全组、私网IP网卡类型等信息。

参数 参数类型 说明 示例 下级对象 id String 业务id 一级列表[基线模板文件名] 二级列表[agentGuid] 三级列表[检测id] CtyunLinuxBenchmarkTemplate.json failed Integer 检测项未通过数 1 itemTotal Integer 检测项总数 1 file String 基线检测文件名 CtyunLinuxBenchmarkTemplate.json passed Integer 检测项通过数 1 totalChecks Integer 检测项总数 1 strategyId Integer 策略id 1 timestamp String 扫描时间 20200101 00:00:00 scaId Integer 基线模板id 1 name String 基线模板名称 天翼云Linux操作系统安全配置基线 agentGuid String agentGuid testagentguid riskInfo Array of Objects 风险信息，按等级分类统计 [{"riskLevel":1,"riskCount":1}] riskInfo 表 riskInfo

前提条件 已获取管理控制台的登录账号与密码。 已使用的云堡垒机，需停止系统所有操作，解绑EIP。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待退订的实例，单击所在行“操作”列的“更多 > 退订”。 4. 在弹出的退订提示框中，确认实例信息无误后，单击“确认”，进入“费用中心 > 退订管理 > 退订申请”页面。 5. 在退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。

该任务指导用户通过漏洞扫描服务为已添加的主机更换分组。 前提条件 已获取管理控制台的登录账号和密码。 已添加主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 在目标主机的操作列，单击“更换分组”。 在已有“主机组”下拉列表中，选择已有的主机组。 单击“新建分组”页签，输入“主机组名称”，创建新的主机组。 5. 单击“确认”，主机更换分组成功。 说明 用户可以同时更换多个主机的分组。选中多个主机后，单击“批量操作 > 更换分组”，在弹出的对话框中，重新设置主机组名称，单击“确定”，批量变更分组。

本文介绍对象存储中的数据是否可以让其他用户访问。 可以。 对于桶，您可以通过设置桶ACL和桶策略授予其他用户桶的数据读取权限，其他用户即可访问该桶。具体可参考：访问权限。 对于对象，您可以通过对象ACL，对象策略和桶策略来授予其他用户对象的数据读取权限，或者通过临时URL方式，其他用户即可访问该对象。可参考：访问方式。 除此之外，您也可以通过STS角色，为临时用户颁发一个自定义时效和权限的访问凭证，使您区域粒度下的桶资源被更加安全地访问，参考：STS角色管理。

本节指导用户通过密钥管理界面对单个或多个自定义密钥进行启用操作，使被禁用的密钥恢复到数据加解密能力。新建的自定义密钥默认为“启用”状态。 前提条件 待启用的密钥需处于“禁用”状态。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要启用的密钥所在行，单击“启用”。 步骤 5 在弹出窗口中，单击“是”，完成启用单个密钥操作。 说明 如果您想批量启用密钥，可以勾选所有需要启用的密钥，然后在列表左上角，单击“启用”。

本文向您介绍一站式智算服务平台计费相关常见问题。 一站式智算服务平台支持哪些计费方式？ 一站式智算服务平台支持包周期计费模式、按需计费模式卡时和按需计费模式Tokens三种计费方式。 一站式智算服务平台支持退订吗？ 服务开通后7天内如未使用则支持退订，退订后即可关闭。退订地址：我的—费用中心—订单管理—退订管理。

本章节主要介绍准备工作 在开始之前，您需要完成如下的准备工作。 步骤 1 创建虚拟私有云和子网。 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 1. 登录虚拟私有云VPC控制台。 2. 单击右上角“创建虚拟私有云”。 3. 根据界面提示完成参数填写，单击“立即创建”。 步骤 2 创建密钥对。 新建一个密钥对，用于远程登录节点时的身份认证。 1. 登录弹性云服务器ECS控制台。 2. 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 3. 输入密钥对名称后，单击“确定”。 4. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 步骤 3 创建负载均衡。 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 1. 登录弹性负载均衡ELB控制台。 2. 单击右上角的“创建弹性负载均衡”。 3. 所属VPC、子网请选择步骤1中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。 步骤 4 创建集群。 1. 登录云容器引擎CCE控制台。 2. 选择左侧导航中的“资源管理 > 集群管理”，单击右上角“创建CCE集群”。 3. 在“服务选型”页面设置如下参数，其余参数均采用默认值。 集群名称：用户自行输入，此处设置为“cceasm”。 虚拟私有云、所在子网：选择步骤1中创建的虚拟私有云和子网。 4. 单击“下一步：创建节点”，配置添加节点的参数。除节点规格和登录方式外，其余参数保持默认。 节点规格：vCPUs为4核，内存为8GB。 说明 此规格为部署Bookinfo应用所需的最小资源。 如果在创建网格中创建的网格版本为1.3.0，则此处的节点规格需要选择8核16GB。为了保证sidecar的稳定性，1.3.0版本网格默认每个sidecar的CPU限制为1核，内存限制为512M，因此需要更多资源。 登录方式：选择步骤2中创建的密钥对，用于远程登录节点时的身份认证。 5. 单击“下一步：安装插件”，在“安装插件”步骤中选择要安装的插件。 “系统资源插件”为必装插件，“高级功能插件”可根据实际需求进行选择性安装。 6. 单击“下一步：配置确认”，阅读使用说明并勾选“我已知晓上述限制”，确认所设置的服务选型参数、规格等信息。 7. 确认订单无误后，单击“提交”，集群开始创建。 集群创建预计需要610分钟，您可以单击“返回集群管理”进行其他操作或单击“查看集群事件列表”后查看集群详情。