本文为您介绍Web应用防火墙（原生版）的功能特性。 通过Web应用防火墙（原生版）服务，可以轻松应对各种Web安全风险。功能特性如下： HTTP/HTTPS业务防护 支持防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断恶意攻击，保护Web服务安全稳定。 IPv4/IPv6防护 支持IPv6/IPv4双栈，针对同一域名可以同时提供IPv6和IPv4的流量防护。 Web基础防护 覆盖OWASP常见安全威胁，支持SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入等攻击检测和拦截。 CC攻击防护 支持默认防护策略及灵活的自定义防护策略。自定义策略支持依托精准访问控制规则进行特征识别，并根据访问源IP/SESSION控制访问频率，恶意流量通过阻断、人机验证等处置手段有效缓解CC攻击。 BOT防护 提供公开类型、协议特征、自定义会话特征等多种判定维度的防护策略，支持根据BOT会话行为特征设置BOT对抗策略，对BOT行为进行处理，有效防护搜索引擎、扫描器、脚本工具等爬虫攻击。 精准访问控制 支持基于IP、URL、Referer、UserAgent等请求特征进行多维度组合，定义访问匹配条件过滤访问请求，实现针对性的攻击阻断。支持全局精准访问控制、域名级精准访问控制。

短信服务支持根据用户需求创建符合要求的签名，一般建议将签名设置为账号主体所在机构的全称或简称。发送短信时，短信平台会将已审核通过的短信签名添加到短信内容中，再发送给短信接收方。本文将为您介绍个人用户如何添加签名。 前提条件 已开通短信服务。 当前登录账号已实名认证。 注意:个人认证用户和企业认证用户权限不同，具体区别，请参见 认证模式。 注意事项 用户短信签名名称已上线App名称、已在工信部备案的网站名称的，建议先用企业名称作为签名，待品未上线建议上线后再申请新的签名。 添加签名 1. 登录云通信控制台。 2. 在左侧导航栏中，单击签名管理 。 3. 在签名管理 页面左侧单击创建签名 。 4. 填写签名用途 、签名名称、签名类型等必填信息。 5. 填写场景说明 ，此信息是签名审核的参考信息之一，请详细描述签名的用途、场景等信息。信息完善的申请说明会提高签名的审核效率。 6. 单击提交，提交审核。审核流程，请参见流程签名审核。

此小节介绍数据库安全查看审计信息。 添加的数据库连接到数据库安全审计实例后，您可以查看数据库的审计总览信息，包括数据库的总体审计情况、风险分布、会话统计以及SQL分布情况。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入总览界面，操作步骤如下图所示。 4. 查看数据库的总体审计情况，以及数据库的风险分布、会话统计和SQL分布信息，在“选择数据库”下拉列表框中，选择“全部数据库”或指定的数据库，可以查看实例中所有的数据库或指定的某个数据库的总览信息。选择审计的时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击按钮，选择开始时间和结束时间，查看指定的时间段的总览信息。 会话统计 SQL分布

本文介绍了如何使用天翼云弹性云主机的Windows实例搭建FTP站点。该指导具体操作以Windows 2012 Standard R2 64位中文版为例。 Windows实例搭建FTP站点具体操作步骤 1. 添加IIS的角色和功能。 2. 创建FTP服务用户名及密码。 3. 设置共享文件权限。 4. 配置FTP站点。 5. 配置FTP防火墙。 6. 配置安全组规则及防火墙策略。 7. 客户端进行连接测试。 示例环境 实例类型：s3.large.2 2核 4G 通用型云主机 所在区域：山西 系统盘：40GB 操作系统：Windows 2012 Standard R2 64位中文版 公网弹性IP带宽：1Mbps 操作步骤 1. 添加IIS的角色和功能。 1. 登录弹性云主机。 2. 选择“开始 > 服务器管理器”。 3. 单击“添加角色和功能”。 4. 在弹出的“开始之前”对话框中，单击“下一步”。 5. 选择“基于角色或基于功能的安装”，单击“下一步”。 6. 选择需要部署FTP的服务器，单击“下一步”。 7. 选择“Web服务器（IIS）”，并在弹出的对话框中单击“添加功能”，然后单击“下一步”。 8. 连续单击“下一步”，到“角色服务”页面。 9. 选择“FTP服务器”以及“IIS管理控制台”，单击“下一步”。 10. 单击“安装”，开始部署服务角色。 11. 安装完成后，单击“关闭”。 1. 添加IIS的角色和功能 2. 添加IIS的角色和功能 3. 添加IIS的角色和功能 4. 添加IIS的角色和功能 2. 创建FTP服务用户名及密码。 1. 在“服务器管理器”中，选择“仪表板 > 工具 > 计算机管理”。 2. 选择“系统工具 > 本地用户和组 >用户”，在右侧空白处右击，并选择“新用户”。 3. 设置“用户名”和“密码”，此处用户名以“ftp”为例。 3. 设置共享文件权限。 需要在FTP站点为共享给用户的文件夹设置访问及修改等权限。 1. 在服务器上创建一个供FTP使用的文件夹，选择文件夹，并单击右键选择“属性”。此处以“share”文件夹为例。 2. 在“安全”页签，选择 “Everyone”，单击“编辑”。如果没有“Everyone”用户可以直接选择，需要先进行添加。 3. 选择“Everyone”，然后根据需要，选择“Everyone”的权限，并单击“确定”。此处以允许所有权限为例。 4. 配置FTP站点。 1. 在“服务器管理器”中，选择“仪表板 > 工具 >Internet Information Services (IIS)管理器 ”。 2. 选择“网站”并单击右键，然后选择“添加FTP站点”。 3. 在弹出的窗口中，填写FTP站点名称及共享文件夹的物理路径，然后单击“下一步”。此处站点名称以“ftp”为例。 4. 输入该弹性云主机的公网IP地址以及端口号，并设置SSL，单击“下一步”。 端口号默认为21，也可自行设置。 SSL根据需要进行设置。 无： 不需要SSL加密。 允许：允许FTP服务器与客户端的非SSL和SSL连接。 需要：需要对FTP服务器和客户端之间的通信进行SSL加密。 5. 设置身份认证和授权信息，并单击“完成”。 身份认证 匿名：允许任何仅提供用户名 “anonymous” 或 “ftp” 的用户访问内容。 基本：需要用户提供有效用户名和密码才能访问内容。但是基本身份验证通过网络传输密码时不加密，因此建议在确认客户端和FTP服务器之间的网络连接安全时使用此身份验证方法。 授权 允许访问 所有用户：所有用户均可访问相应内容。 匿名用户：匿名用户可访问相应内容。 指定角色或用户组：仅指定的角色或用户组的成员才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的角色或用户组。 指定用户：仅指定的用户才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的用户。 权限：选择经过授权的用户的“读取”和“写入”权限。 6. 绑定弹性云主机的公网IP。 选择“网站”，选中创建的FTP站点，单击“绑定”；在弹出的“网站绑定”窗口单击“添加”，然后在弹出的窗口中添加弹性云主机的私网IP地址，并单击“确定。 5. 配置FTP防火墙支持。 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时，需要配置FTP服务器的被动模式。 双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 配置相关参数，数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535，请根据实际需求进行设置，此处配置50006000，防火墙的外部IP地址：输入该弹性云主机的公网IP地址，并单击“应用”。 重启云主机使防火墙配置生效。 6. 配置安全组规则及防火墙策略。 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和1024~65535间的端口（根据上文配置，此处50006000） 0.0.0.0/0 7. 客户端进行连接测试。 打开客户端的计算机，在路径栏输入“ftp://FTP服务器IP 地址 :FTP 端口 ”（如果不填端口则默认访问21端口）。弹出输入用户名和密码的对话框表示配置成功，正确的输入用户名和密码后，即可对FTP文件进行相应权限的操作，share文件夹下创建工作事项.txt文件，在本地访问共享文件夹可以查看并下载。

参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击 ，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。

云搜索服务支持您在控制台修改OpenSearch.yml文件中的部分参数。 云搜索服务支持您在控制台修改OpenSearch.yml文件中的部分参数。 操作步骤 1. 登录云搜索服务管理控制台，在左侧导航栏，选择对应的实例类型，进入管理列表页面。 2. 点击实例名称进入对应实例详情，并选择“配置管理”。 3. 点击“修改配置”进入编辑状态，对所需的参数进行修改，修改时请关注填写规则和样例。 4. 修改完成后，点击“提交”，并在弹出的窗口中核对修改信息，需要知晓并勾选重启过程中可能会导致服务短暂不可用，确认后等待对应参数修改记录变为成功，即为已生效。若为失败，则未成功修改，参数仍为改前值。 5. 可在下方参数修改记录中查看近10次的修改记录和状态。 6. 如果有需要修改的参数不在列表内，请提报工单申请，由工程师为您修改。 指标分类 参数名称 填写说明 跨域访问 http.cors.enabled true表示启用跨域资源访问，false表示不启用 跨域访问 http.cors.alloworigin 支持 host/IP 和 port 组合、域名或号，例如node1:9200,127.0.0.1:9200，限制1100个，逗号隔开；号表示全部放开 跨域访问 http.cors.maxage 浏览器默认缓存时间。如果超过设置的时间后，缓存将自动清除。数值，取值范围[01728000]，单位秒 跨域访问 http.cors.allowcredentials 响应中是否允许返回allowcredentials取值true/false 跨域访问 http.cors.allowheaders 跨域访问允许的headers，XRequestedWith,ContentType,ContentLength中的任意一个或多个 跨域访问 http.cors.allowmethods 跨域访问允许的方法OPTIONS,HEAD,GET,POST,PUT,DELETE中的任意一个或多个 审计日志 plugins.security.audit.type 审计日志，默认关闭，开启后，系统会记录OpenSearch实例对应的操作产生的日志 Reindex索引迁移 reindex.remote.whitelist 添加远程集群的访问地址白名单，支持host/IP 和 port 组合，例如 node1:9200，127.0.0.1:9200，port必填。限制1100个，逗号隔开 索引自动创建、通配删除 action.destructiverequiresname 删除索引是否需要声明完整索引名 true：需要声明完整索引名 false：不需要声明完整索引名 自定义查询缓存 action.autocreateindex 是否允许自动根据文档创建索引 线程池 threadpool.forcemerge.size forcemerge场景下队列的大小 流量控制 flowcontrol.search.qps 每秒查询请求数，超过设定值，响应查询API则熔断 读写集群的线程池设置 threadpool.write.queuesize 写阈值线程池大小，整数类型，取值范围1100000 读写集群的线程池设置 threadpool.search.queuesize 读阈值线程池大小，整数类型，取值范围1100000 fielddata的堆内cache indices.fielddata.cache.size fielddata的cache size，百分比，取值范围1%39% 查询相关限制 indices.query.bool.maxclausecount 查询的bool语句允许的子语句大小，整数类型，取值范围11024

关系型数据库RDS支持的事件列表 资源异常事件 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 创建实例业务失败 createInstanceFailed 重要 创建实例失败产生的事件，一般是磁盘个数，配额大小不足，底层资源耗尽导致。 检查磁盘个数、配额大小，释放资源后重新创建。 无法创建数据库实例。 实例全量备份失败 fullBackupFailed 重要 单次全量备份失败产生的事件，不影响以前成功备份的文件，但会对“恢复到指定时间点”的功能有一些影响，导致“恢复到指定时间点”时增量备份的恢复时间延长。 重新执行一次手工备份。 备份失败。 主备切换异常 activeStandBySwitchFailed 重要 主备切换异常是由于网络、物理机有某种故障导致备机没有接管主机的业务，短时间内会恢复到原主机继续提供服务。 检查应用和数据库之间的连接是否重新建立了连接。 无 复制状态异常 abnormalReplicationStatus 重要 出现”复制状态异常“事件通常有两种情况：1、主机与备机或只读实例之间复制时延太大（一般在写入大量数据或执行大事务的时候出现），在业务高峰期容易出现阻塞。2、主机与备机或只读实例之间的网络中断，导致主机与备机或只读实例复制异常。 提交工单。 但不会导致原来单实例的读写中断，客户的应用是无感知的。 复制状态异常已恢复 replicationStatusRecovered 重要 即复制时延已回到正常范围内，或者主备之间的网络通信恢复。 不需要处理。 无 实例运行状态异常 faultyDBInstance 重要 由于灾难或者物理机故障导致单机或者主实例故障时会上报本事件，属于关键告警事件。 检查是否有设置自动备份策略，并且提交工单。 可能导致数据库服务不可用。 实例运行状态异常已恢复 DBInstanceRecovered 重要 针对灾难性的故障，RDS有高可用工具会自动进行备机重建，重建完成之后即会上报本事件。 不需要处理。 无 单实例转主备实例失败 singleToHaFailed 重要 创建备机时或备机创建完成后主备机之间配置同步发生故障时会产生此事件，一般是由于备节点所在数据中心资源不足导致。 提交工单。 “单实例转主备实例失败”不会导致原来单实例的读写中断，客户的应用是无感知的。 数据库进程重新启动 DatabaseProcessRestarted 重要 一般是内存不足、负载过高导致数据库进程停止 通过云监控的数据，查看是否有内存飙升、cpu长期过高、磁盘满使用率不足等的情况，可以选择提升CPU内存规格或者优化业务逻辑 进程异常退出的时候，业务中断。RDS服务会自动拉起进程，尝试恢复业务。 实例磁盘满 instanceDiskFull 重要 一般是由于数据空间占用过大导致。 对实例进行扩容操作。 实例由于磁盘空间满将会变成只读实例，数据库不可进行写入操作。 实例磁盘满已恢复 instanceDiskFullRecovered 重要 实例磁盘状态恢复正常。 不需要处理。 实例解除只读状态，恢复写操作。 kafka连接失败 kafkaConnectionFailed 重要 一般是由于网络波动或kafka服务端出现异常等原因导致。 检查业务是否收到影响。 无。

弹性高性能计算(EHPC,Elastic High Performance Computing)是一个便捷安全的云超算平台,依托天翼云分布式云底座和海量的计算、存储、网络资源,搭配开箱即用的集群管理平台,为用户提供高性能、高可靠、快速交付、简洁易用、安全可信的高性能计算服务。

阶段 项目活动 工作内容 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍整体服务工作 第一阶段：咨询服务启动 等保测评技术指导、讲解 测评内容介绍 第一阶段：咨询服务启动 等保测评技术指导、讲解 确认保密管理内容 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍风险管理措施 第一阶段：咨询服务启动 等保测评技术指导、讲解 讲解等保要求细则 第一阶段：咨询服务启动 等保测评技术指导、讲解 输出《等保测评技术指导》 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 依据等级保护要求，对客户系统进行安全自评估，进行差距分析 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全物理环境 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全通信网络 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全区域边界 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全计算环境 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 差距分析 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 输出《差距分析评估》 第三阶段：整改建议 （仅标准版提供） 根据差距分析，提供整改建议 差距分析整理，提供差距建议，输出《差距整改方案》

云防火墙的应用场景及限制。 约束限制 CFW ALG标签功能受限。 CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议优先使用自定义域名服务器。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护、扩容引擎）需要客户端重新发起连接。 外部入侵防御 通过云防火墙，对已开放公网访问的服务资产进行安全盘点，可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制，可对主动外联行为进行精准管控。 VPC间互访控制 云防火墙支持VPC间流量的访问控制，实现内部业务互访活动的可视化与安全防护。 等保合规 云防火墙可满足《网络安全等级保护2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求。

本文介绍了跨域复制的基本概念、关键特点及应用场景等信息,供您了解弹性文件服务的异地容灾能力。 基本概念 跨域复制是指在不同地域之间进行自动复制数据的过程，弹性文件服务的跨域复制功能基于中国电信骨干网可以将文件系统中的数据近实时、异步复制到跨地域的另一个文件系统，以实现现数据的备份 、容灾 以及满足特定合规性要求等目的。比如金融、政企等安全合规性要求较高的企业可能在不同的地区拥有数据中心，为了确保数据的高可用性和灾难恢复能力，会使用跨域复制功能将数据从一个数据中心复制到另一个数据中心。这样，即使一个地区的数据中心出现故障，数据仍然可以在另一个地区的副本中找到，保证业务的连续性。 关键特点 自动复制 跨域复制是自动进行的，无需人工触发和干预。服务端会根据创建复制时选择的目标区域及目标文件系统，将数据和元数据自动进行同步。当复制任务创建成功后会进行一次全量扫描，然后进行初始化同步，当后续发生新增和修改时都会进行自动增量同步。 数据一致性 单个文件的数据一致性由多种方式来保证： 当用户创建一个复制任务时，服务端会比较从源传过来的文件列表下文件的checksum，如果不一致的文件，那么目的端会返回这部分不一致的文件列表，告诉源端这些不一致的文件需要复制。 如果是一个完整的文件复制完成，将会由checksum比较算法来快速比对文件是否内容一致。 如果是文件只修改了部分，首先使用checksum比较算法比对文件内容，发现不一致时就按照分块checksum比较算法，来验证块之间是否一致，不一致的块需要复制同步，当这些任务完成之后源和目的端即达到数据一致。 初始化同步时，会进行源和目标的数据扫描，目标文件系统已经存在但源文件系统不存在的数据会被保留，若是源和目标存在同名目录/同名文件，则会比较文件的数据是否一致，若不一致则会被覆盖。因此建议目标文件系统仅作为源的复制目标，不作为业务读写使用，防止数据被覆盖。

本文介绍了如何使用天翼云弹性云主机的Linux实例搭建FTP站点。并最终实现Windows本地计算机与Linux云主机的文件传输。 Linux实例手动搭建FTP站点具体操作步骤 1. 安装vsftpd 2. 配置vsftpd 3. 设置安全组 4. 客户端测试 示例环境 实例类型：s3.large.2 2核 4G 通用型云主机 所在区域：山西 系统盘：40GB 操作系统：CentOS7.2 64位 公网弹性IP带宽：1Mbps 操作步骤 1. 安装vsftpd 1. 登录弹性云主机实例。 2. 执行以下命令安装： plaintext vsftpd， yum install y vsftpd 回显如下类似信息时，表示软件安装成功。 3. 执行以下命令设置FTP服务开机自启动。 plaintext systemctl enable vsftpd.service 4. 执行以下命令启动FTP服务。 plaintext systemctl start vsftpd.service 5. 执行以下命令查看FTP服务端口。 plaintext netstat antup grep ftp 回显如下类似信息。 2. 配置vsftpd vsftpd安装后默认开启了匿名FTP的功能，使用匿名FTP，用户无需输入用户名密码即可登录FTP服务器，但没有权限修改或上传文件。用户如果试图使用Linux操作系统中的账号登录服务器，将会被vsftpd拒绝，但可以在vsftpd里配置用户账号和密码登录。以下操作以在vsftpd 里配置用户账号和密码登录FTP服务器为例。 1. 执行以下命令创建“ftptest”用户，此处“ftptest”用户为示例，可根据实际情况创建相应的用户。 plaintext useradd ftptest 2. 执行以下命令并按照提示设置“ftptest”用户密码passwd ftptest，输入密码即可。 3. 执行以下命令创建供FTP使用的文件目录，此处以“/var/ftp/test”为例。 plaintext mkdir /var/ftp/test 4. 执行以下命令将创建的文件目录所有者改为用于登录FTP的本地用户。 plaintext chown R ftptest:ftptest /var/ftp/test 5. 修改“vsftpd.conf”配置文件。 执行以下命令打开配置文件“vsftpd.conf”。 plaintext vi /etc/vsftpd/vsftpd.conf 按i键进入编辑模式。 修改打开的“vsftpd.conf”文件。 anonymousenableYES

本节主要介绍创建网格 ASM支持创建基础版网格，提供商用级网格服务。 操作步骤 步骤 1 登录应用服务网格ASM控制台，单击右上角“创建网格”。 步骤 2 设置如下参数，其余参数均采用默认值。 网格类型 默认为基础版。 网格名称 设置网格的名称。 Istio版本 网格支持的Istio版本。 集群 选择创建集群中创建的集群。 Istio控制面节点 如果需要高可用，建议选择两个或以上不同可用区的节点。 步骤 3 设置完成后，在右侧的配置清单中确认网格配置，单击“提交”。 创建时间预计需要1~3分钟，请耐心等待。当网格状态从“安装中”变为“运行中”，表示网格创建成功。

创建UKey证书 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择服务所在的区域。 3. 在左侧导航栏，点击 证书管理， 进入数字证书管理页。 4. 在左上角选择Ukey证书（不含私钥），进入Ukey证书管理页，点击导入Ukey证书。 5. 在弹出的导入Ukey证书对话框，根据页面提示进行配置信息填写。 配置项 说明 证书名称 证书使用的主体名称。 证书算法 可选：RSA2048、SM2 证书 填写Base64格式的证书内容 6. 单击“上传证书”，上传证书文件，上传完成后单击“确定”即可完成Ukey证书导入。

了解存储资源盘活系统的iSCSI目标管理操作。 点击导航栏中的“服务”>“iSCSI目标” ，进入“iSCSI目标管理”。 支持：查看iSCSI目标列表、创建目标、查看目标详情、修改目标、编辑iSCSI目标的允许访问列表、删除iSCSI目标的允许访问列表、删除目标。

云硬盘备份(CTVBS,Volume Backup Service)是针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的云硬盘进行备份,并在云硬盘故障、用户误删数据、遭到黑客攻击等情况下,使用备份快速恢复数据,最大限度保证用户数据的安全性。

错误码 错误提示 排查方法 ERRORCLIENT514 文件传输响应时间过长，请重试或联系系统管理员 1. 检查CBH系统与FTP服务的网络，是否存在传输丢包现象； 2. 本地登录FTP服务器，检查是否能正常上传文件； 3. 检查本地网络，是否限制上传文件的大小； 4. 请填写工单反馈问题现象，联系技术支持。 ERRORCLIENT515 运维资源过程中遇到一个错误，请重试或联系系统管理员 1. 尝试本地登录故障主机资源，或者登录同网段的其他资源进行测试； 2. 检查主机/etc/hosts.deny文件配置，是否将CBH系统IP加入了黑名单，详细解决办法请参见Code：C515错误； 3. 检查CBH系统与故障主机的网络层，是否有服务协议拦截CBH系统IP； 4. 请填写工单反馈问题现象，联系技术支持。 ERRORCLIENT519 由于资源连接失败或不可达，当前无法访问。如果持续出现该问题，请通知系统管理员或检查系统日志 1. 检查CBH系统与主机资源的网络是否互通； 2. 本地登录主机资源，输入命令route n，检查目标主机的路由表，是否存在丢失CBH路由现象； 3. 请填写工单反馈问题现象，联系技术支持。 详细解决办法请参见Code：C519错误。 ERRORCLIENT520 由于RDP拒绝了此次连接或等待数据出错，资源无法访问。如果持续出现该问题，请通知系统管理员或检查系统日志 1. 检查Windows主机资源的远程配置，是否开启远程桌面； 2. 本地MSTSC方式登录主机资源，检查是否可以正常登录； 3. 请填写工单反馈问题现象，联系技术支持。 ERRORCLIENT521 由于其他用户登录导致连接发生冲突，请稍后重试 1. 本地登录Windows主机资源，输入命令gpedit.msc，设置“限制链接的数量”，修改已启用的最大链接数；或关闭“限制每个用户只能进行一个会话”选项。 2. 请填写工单反馈问题现象，联系技术支持。 ERRORCLIENT522 由于RDP闲置时间超时，连接已断开，如果不是本人意愿，请通知系统管理员或检查系统设置 1. 本地登录Windows主机资源，输入命令gpedit.msc，修改“为断开的会话设置时间”选项； 2. 本地MSTSC方式登录主机资源，检查是否出现RDP超时错误； 3. 请填写工单反馈问题现象，联系技术支持。 ERRORCLIENT523 由于连接被管理员断开、账户被注销或登录资源时长达到上限，连接已断开，如果不是本人意愿，请通知系统管理员或检查系统日志 1. 检查RDP连接是否被管理员强制断开； 2. 检查系统用户是否被服务器管理员注销； 3. 检查系统用户登录时长是否超过限制。 ERRORCLIENT769 登录失败，有可能是账户名、密码或密钥错误，请尝试重新连接 1. 本地登录故障主机资源，检查资源账户和密码是否正确； 2. 检查主机资源是否开启双因子认证； 3. 检查主机资源是否拒绝root账户登录； 4. 请填写工单反馈问题现象，联系技术支持。 详细解决办法请参见Code：C769错误。 ERRORCLIENT771 请联系管理员授予从账户访问权限，或检查您的系统设置 检查主机资源是否开启目标账户远程登录权限。 ERRORCLIENT776 由于浏览器长时间无响应，连接已断开，请检查您的网络并重试 检查本地浏览器运行状态，推荐使用Chrome浏览器。 ERRORCLIENT797 连接数超过使用限制，请关闭一个或多个连接后重试 本地登录Windows主机资源，输入命令gpedit.msc，设置“限制链接的数量”，修改已启用的最大链接数。 ERRORTUNNEL514 由于服务器长时间无响应，连接已断开，请检查您的网络并重试 1. 检查CBH系统与主机资源间网络是否稳定； 2. 检查CBH系统与主机资源的网络是否互通； 3. 请填写工单反馈问题现象，联系技术支持。 详细解决办法请参见Code：T514错误。 ERRORTUNNEL520 由于H5服务器H5代理服务器拒绝了此次连接，请检查您的网络并重试 1. 检查主机资源IP地址或端口等配置是否正确； 2. 检查主机资源是否开启guacd服务； 3. 检查主机资源guacd服务是否接受CBH系统IP的连接； 4. 请填写工单反馈问题现象，联系技术支持。

本章节主要介绍故障演练服务技术类问题。 故障演练的实现原理是什么？ 不同类型的故障动作实现原理各不相同，详细说明请参考故障动作库中的具体文档，下表简要概述了各类动作的核心原理： 分类 资源类型 动作类型 动作 简介 原理描述 计算 云主机 主机资源 主机宕机 使用云主机接口对实例进行关机 通过调用云主机关机OpenAPI触发关机 计算 云主机 CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序，空跑for循环来消耗CPU时间片 计算 云主机 内存资源 内存高负载 使用内部自研工具实施内存高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 计算 云主机 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 计算 云主机 磁盘资源 IO Hang 模拟磁盘产生IO Hang效果 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过fsfreeze命令模拟磁盘夯死表现 注意：设置磁盘夯死故障注入后，可能会导致应用无法读写文件产出异常，请谨慎使用 计算 云主机 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过dd命令将数据写入文件 计算 云主机 网络资源 网络丢包 使用TC和Netem模拟主机内网络丢包 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络延迟 使用TC和Netem模拟主机内网络延迟 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包重复 使用TC和Netem模拟主机内网络包重复 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包乱序 使用TC和Netem模拟主机内网络包乱序 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 网络包损坏 使用TC和Netem模拟主机内网络包损坏 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过增加TC和Netem规则模拟主机内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 计算 云主机 网络资源 端口占用 模拟指定端口占用 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是启动自定义程序， 创建Socket对象并绑定到指定端口 计算 云主机 网络资源 DNS篡改 篡改指定域名解析到指定IP 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过修改本地DNS解析文件实现 计算 云主机 网络资源 DNS不可用 DNS解析不可用 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过修改本地DNS解析文件或防火墙规则实现 注意：该动作风险较大，请谨慎操作 计算 云主机 JVM故障 JVM延迟 向特定JVM进程注入方法调用延迟故障 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令 原理是通过Java Agent在JVM进程内插入sleep代码来实现 中间件 Redis 集群资源 主从切换 Redis主从切换 通过调用Redis主从切换OpenAPI，触发Redis集群实例进行主从切换 中间件 Redis 节点资源 Redis节点故障 Redis节点发生故障 通过调用Redis停止Redis服务OpenAPI，模拟Redis节点故障，故障会触发Redis HA机制进行自动恢复 中间件 Redis 节点资源 Proxy节点故障 Proxy节点发生故障 通过调用Redis停止Proxy服务OpenAPI，模拟Proxy节点不可用 中间件 Redis 节点资源 节点主机宕机 Redis节点关机 通过关闭节点主机，模拟节点宕机 中间件 Redis 节点资源 CPU高负载 Redis节点CPU高负载 在节点启动自定义程序，空跑for循环来消耗CPU时间片 中间件 Redis 节点资源 内存高负载 Redis节点内存高负载 在节点启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 中间件 Redis 节点资源 磁盘IO高负载 Redis节点磁盘IO高负载 在节点先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 中间件 Redis 节点资源 磁盘IO Hang Redis节点磁盘IO Hang 在节点通过fsfreeze命令模拟磁盘夯死表现 中间件 Redis 节点资源 网络丢包 Redis节点网络丢包 在节点通过增加TC和Netem规则模拟主机内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 中间件 Kafka 节点资源 Broker节点主机宕机 Broker节点关机 指定或随机一个Broker节点进行关机 中间件 Kafka 节点资源 Broker节点CPU高负载 Broker节点CPU高负载 指定或随机一个Broker节点启动自定义程序，空跑for循环来消耗CPU时间片 中间件 Kafka 节点资源 Broker节点磁盘IO高负载 Broker节点磁盘IO高负载 指定或随机一个Broker节点先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 中间件 Kafka 节点资源 分区Leader不可用 分区Leader发生故障 指定一个或多个分区Leader，通过调用Kafka模拟Leader故障OpenAPI，触发Leader重新选举 中间件 RCC 集群资源 停止服务 注册配置中心集群服务故障 通过调用RCC停止集群OpenAPI，模拟RCC集群服务故障 中间件 RCC 节点资源 停止节点 注册配置中心节点故障 通过调用RCC停止节点OpenAPI，模拟RCC节点故障 云容器 容器集群 节点资源 托管Master节点宕机 关闭云容器引擎Master节点主机 通过关闭云容器引擎Master节点主机，模拟Master节点宕机（支持托管版本和智算版） 云容器 容器集群 节点资源 节点宕机 关闭云容器引擎纳管的节点主机 通过关闭云容器引擎纳管的节点主机，模拟节点宕机（支持Worker节点或专有版容器Master节点） 云容器 容器集群 节点资源 Etcd节点宕机 停止Etcd服务，模拟Etcd节点宕机 通过停止Etcd节点上的服务，模拟Etcd节点宕机 云容器 集群Node CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 启动自定义程序，空跑for循环来消耗CPU时间片 云容器 集群Node 内存资源 内存高负载 使用内部自研工具实施内存高负载 启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 云容器 集群Node 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 云容器 集群Node 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 通过dd命令将数据写入文件 云容器 集群Node 网络资源 网络丢包 使用TC和Netem模拟Node内网络丢包 通过增加TC和Netem规则模拟Node内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络延迟 使用TC和Netem模拟Node内网络延迟 通过增加TC和Netem规则模拟Node内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包重复 使用TC和Netem模拟Node内网络包重复 通过增加TC和Netem规则模拟Node内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包乱序 使用TC和Netem模拟Node内网络包乱序 通过增加TC和Netem规则模拟Node内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 网络包损坏 使用TC和Netem模拟Node内网络包损坏 通过增加TC和Netem规则模拟Node内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Node 网络资源 DNS篡改 篡改指定域名解析到指定IP 通过修改本地DNS解析文件实现 云容器 集群Node 应用进程 进程停止 终止节点上的指定进程 通过kill 9停止节点上的指定进程 云容器 集群Node 应用进程 进程挂起 挂起节点上的指定进程 通过kill STOP挂起节点上的指定进程 云容器 集群Pod CPU资源 CPU高负载 使用内部自研工具实施CPU高负载 启动自定义程序，空跑for循环来消耗CPU时间片 云容器 集群Pod 内存资源 内存高负载 使用内部自研工具实施内存高负载 启动自定义程序不断申请内存，模拟主机内存负载升高 注意：设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用 云容器 集群Pod 磁盘资源 IO高负载 使用内部自研工具实施磁盘IO高负载 先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽 云容器 集群Pod 磁盘资源 磁盘填充 使用内部自研工具实施磁盘填充 通过dd命令将数据写入文件 云容器 集群Pod 网络资源 网络丢包 使用TC和Netem模拟Pod内网络丢包 通过增加TC和Netem规则模拟Pod内网络丢包 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络延迟 使用TC和Netem模拟Pod内网络延迟 通过增加TC和Netem规则模拟Pod内网络延迟 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包重复 使用TC和Netem模拟Pod内网络包重复 通过增加TC和Netem规则模拟Pod内网络包重复 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包乱序 使用TC和Netem模拟Pod内网络包乱序 通过增加TC和Netem规则模拟Pod内网络包乱序 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 网络包损坏 使用TC和Netem模拟Pod内网络包损坏 通过增加TC和Netem规则模拟Pod内网络包损坏 注意：只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败 云容器 集群Pod 网络资源 DNS篡改 篡改指定域名解析到指定IP 通过修改本地DNS解析文件实现 云容器 集群Pod Pod资源 Pod删除 删除指定Pod 调用云容器引擎K8S API删除Pod 云容器 集群Pod 应用进程 进程停止 终止节点上的指定进程 通过kill 9停止节点上的指定进程 云容器 集群Pod 应用进程 进程挂起 挂起节点上的指定进程 通过kill STOP挂起节点上的指定进程 云容器 集群Pod JVM故障 JAVA方法调用延迟 指定JVM进程与方法增加调用延迟 通过Java Agent拦截指定JVM进程内方法，增加sleep操作模拟调用延迟 云容器 集群Pod JVM故障 JAVA方法抛自定义异常 指定JVM进程与方法抛出自定义异常 通过Java Agent拦截指定JVM进程内方法，增加thow操作模拟抛出异常 云容器 容器镜像 Harbor服务 Harbor服务不可用 停止Harbor服务，模拟容器镜像仓库不可用 通过调用容器镜像服务OpenAPI，停止Harbor服务，模拟容器镜像仓库不可用

本节指导用户通过密钥管理界面创建自定义密钥。 约束条件 用户最多可创建20个自定义密钥，不包含默认密钥。 创建的对称密钥使用的是AES256加解密算法，密钥长度为256bit，可用于小量数据的加解密或用于加解密数据密钥。 创建的非对称密钥使用的是RSA密钥或ECC密钥，RSA密钥可用于加解密、数字签名及验签，ECC密钥仅用于数字签名及验签。 因为默认密钥的别名后缀为“/default”，所以用户创建的密钥别名后缀不能为“/default”。 数据加密服务不限定主密钥的调用次数。 应用场景 对象存储服务中对象的服务端加密。 云硬盘中数据的加密。 私有镜像的加密。 自定义密钥直接加解密小数据。 用户应用程序的DEK加解密。 非对称密钥可用于数字签名及验签。 创建密钥 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击界面右上角“创建密钥”。 步骤 5 在弹出的“创建密钥”对话框中，填写密钥参数。 别名：待创建密钥的别名。 说明 输入字符支持数字、字母、“”、“”、“:”和“/”。 支持长度为1 ~ 255个字符。 密钥算法：选择密钥算法。KMS支持的密钥算法说明如下表所示。 密钥类型 算法类型 密钥规格 说明 用途 对称密钥 AES AES256 AES对称密钥 小量数据的加解密或用于加解密数据密钥。 对称密钥 SM4 SM4 国密SM4对称密钥 小量数据的加解密或用于加解密数据密钥。 非对称密钥 RSA RSA2048、RSA3072、RSA4096 RSA非对称密钥 小量数据的加解密或数字签名。 非对称密钥 ECC ECP256、ECP384 椭圆曲线密码，使用NIST推荐的椭圆曲线 数字签名 非对称密钥 SM2 SM2 国密SM2非对称密钥 小量数据的加解密或数字签名。 密钥用途：可选择“SIGNVERIFY”或“ENCRYPTDECRYPT”。 对于对称密钥，默认值“ENCRYPTDECRYPT”。 对于RSA非对称密钥，可选择“ENCRYPTDECRYPT”或“SIGNVERIFY”，省略参数为默认值“SIGNVERIFY”。 对于ECC非对称密钥，默认值“SIGNVERIFY”。 对于SM2非对称密钥，可选择“ENCRYPTDECRYPT”或“SIGNVERIFY”，省略参数为默认值“SIGNVERIFY”。 说明 创建密钥时请选择“密钥用途”，密钥创建后不可修改。 （可选）描述：可根据自己的需要为自定义密钥添加描述。 企业项目：该参数针对企业用户使用。 如果您是企业用户，且已创建企业项目，则请从下拉列表中为密钥选择需要绑定的企业项目，默认项目为“default” 未开通企业管理的用户页面则没有“企业项目”参数项，无需进行配置。 步骤 6 （可选）用户可根据自己的需要为自定义密钥添加标签，输入“标签键”和“标签值”。 说明 当用户在创建密钥时，没有为该自定义密钥添加标签。若用户需要为该自定义密钥添加标签，可单击该自定义密钥的别名，进入密钥详情页面，单击“标签”，为该自定义密钥添加标签。 同一个自定义密钥下，一个标签键只能对应一个标签值；不同的自定义密钥下可以使用相同的标签键。 用户最多可以给单个自定义密钥添加20个标签。 当同时添加多个标签，需要删除其中一个待添加的标签时，可单击该标签所在行的“删除”，删除标签。 步骤 7 单击“确定”，在页面右上角弹出“创建密钥成功”，则说明密钥创建完成。 用户可在密钥列表上查看已完成创建的密钥，密钥默认状态为“启用”。

本节描述了云主机的网站应用、企业电商、图形渲染、高性能计算的应用场景。 网站应用 对CPU、内存、硬盘空间和带宽无特殊要求，对安全性、可靠性要求高，服务一般只需要部署在一台或少量的服务器上，一次投入成本少，后期维护成本低的场景。例如网站开发测试环境、小型数据库应用。 推荐使用通用型弹性云主机，主要提供均衡的计算、内存和网络资源，适用于业务负载压力适中的应用场景，满足企业或个人普通业务搬迁上云需求。 企业电商 对内存要求高、数据量大并且数据访问量大、要求快速的数据交换和处理的场景。例如广告精准营销、电商、移动APP。 推荐使用内存优化型弹性云主机，主要提供高内存实例，同时可以配置超高IO的云硬盘和合适的带宽。 图形渲染 对图像视频质量要求高、大内存，大量数据处理，I/O并发能力。可以完成快速的数据处理交换以及大量的GPU计算能力的场景。例如图形渲染、工程制图。 推荐使用GPU图形加速型弹性云主机，G1型弹性云主机基于NVIDIA Tesla M60硬件虚拟化技术，提供较为经济的图形加速能力。能够支持DirectX、OpenGL，可以提供最大显存1GiB、分辨率为4096×2160的图形图像处理能力。 高性能计算 高计算能力、高吞吐量的场景。例如科学计算、基因工程、游戏动画、生物制药计算和存储系统。 推荐使用高性能计算型弹性云主机，主要使用在受计算限制的高性能处理器的应用程序上，适合要求提供海量并行计算资源、高性能的基础设施服务，需要达到高性能计算和海量存储，对渲染的效率有一定保障的场景。

本文简述HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 例如： 未启用HSTS时，当您的域名在边缘安全加速平台安全与加速服务配置HTTPS时，在浏览器中输入HTTP协议的URL，用户访问到天翼云边缘节点时，如果配置了HTTP强制跳转HTTPS的功能，边缘节点会将该HTTP请求强制跳转到HTTPS，如果用户首次以HTTP协议访问边缘节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 启用HSTS后，当您的域名在边缘安全加速平台安全与加速服务配置HTTPS时，在浏览器中输入HTTP协议的URL，用户访问到天翼云边缘节点时，如果配置了HTTP强制跳转HTTPS的功能，边缘节点节点会将该HTTP请求强制跳转到HTTPS，此时边缘节点会响应一个强制HSTS的头给客户端，告诉客户端只能使用HTTPS协议访问边缘节点，此后浏览器将直接使用HTTPS协议访问边缘节点，不再需要HTTP协议强制跳转HTTPS协议了。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法请参见新增证书。 在HSTS生效前，可配置强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。

加密脱敏 通过加密算法和加密主密钥生成一种加密配置，达到数据脱敏的效果。加密脱敏的结果中，初始向量IV为加密字符串的前16个字节，剩余部分是加密的密文。 1. 参照操作步骤进入“脱敏规则”页面。 2. 选择“加密脱敏”页签，进入“加密脱敏”页面。 “加密算法”：在下拉框中选择加密算法，DSC提供了AES128、AES192和AES256三种加密算法供您选择。 “加密主密钥”：如果您已在天翼云其他云服务里创建了主密钥，可在下拉框里直接选择已创建的主密钥。如果您还未创建主密钥，可单击“创建KMS主密钥”，跳转到数据加密服务里创建主密钥，具体的操作可参见创建密钥。 3. 配置完成后，单击“生成加密配置”。 如果您需要删除已配置的加密脱敏规则，可在目标规则所在列的“操作”列，单击“删除”。 字符掩盖 使用指定字符“”或随机字符，按照指定方式遮盖部分内容。 支持“保留前n后m”、“保留自x至y”、“遮盖前n后m”、“遮盖自x至y”、“特殊字符前遮盖”和“特殊字符后遮盖”六种字符掩盖的方式。 1. 参照操作步骤进入“脱敏规则”页面。 2. 选择“字符掩盖”页签，进入“字符掩盖”页面。 3. 单击“添加”，配置字符脱敏规则。 4. 输入“原始数据”，单击“测试”，在“脱敏结果”文本框中展示已完成脱敏的数据。 5. 测试确认无误后，单击“保存”。 说明 数据安全中心服务中已预置多种字符脱敏规则。内置的脱敏规则不支持删除，自定义的规则可以在规则列表的“操作”列，单击“删除”，删除规则。 所有的规则都支持编辑，在规则列表的“操作”列，单击“编辑测试”，修改规则。

本页介绍了关系数据库MySQL版产品的高级防护优势。 关系数据库MySQL版产品的高级防护主要体现为：访问控制、数据传输加密、网络隔离、数据销毁、防DDoS攻击、安全保护。 访问控制 关系数据库MySQL版实例创建时，可以在虚拟私有云中对实例所在的安全组入站和出站规则进行限制，从而实现基于安全组的访问控制。这样就能够控制可以连接数据库的网络范围，从而提升数据库的安全性。 数据传输加密 通过TLS加密和SSL加密，可以实现对数据传输过程的加密保护。此外，可以使用从服务控制台下载的CA根证书来验证和认证数据库服务端，在连接数据库时提供该证书，从而保证数据传输的安全性和可靠性。 网络隔离 为了实现对数据库服务的网络隔离，可以利用虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组等网络安全技术。使用虚拟私有云可以让租户配置入站IP地址范围，这样就能够控制可以连接数据库的IP地址段。同时，关系数据库MySQL版实例可以运行在租户独立的虚拟私有云内，这样就能够提升数据库实例的安全性。通过综合运用子网和安全组的配置，可以进一步实现对关系数据库实例的网络隔离。 数据销毁 在删除关系数据库MySQL版实例时，存储在数据库实例中的数据都会被删除，并且不会被恢复或重新创建。安全删除不仅包括数据库实例所挂载的磁盘，同时还包括备份数据的存储空间。这样可以确保数据得到完全的清除和保护，防止数据被不当使用或者泄露给未经授权的人员。

操作场景 某企业已经在海外区域A创建了天翼云VPC并在其中部署了应用服务，现在该企业希望通过天翼云SDWAN服务将境内线下分支机构接入海外天翼云资源池。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经在海外区域A创建了VPC，具体操作，请参见创建虚拟私有云VPC。 操作步骤 步骤一：购买软件智能网关 购买软件智能网关部署到海外资源池的VPC中。您可以通过天翼云官网自行购买智能网关实例，也可以联系客户经理购买智能网关实例。通过天翼云官网自行下单，操作步骤如下： 1. 登录天翼云SDWAN控制台，选择“智能网关”，在“智能网关”页面单击“创建智能网关”，选择“创建智能网关”。 2. 根据页面提示配置参数，部分参数信息可参考如下： 参数 描述 :: 实例名称 智能网关实例名称，长度为164字符，以大小写字母或中文开头，可包含数字、“.”、 “”、“”。 区域 选择设备接入的区域。这里需要选择海外资源池所在的区域，以便部署到海外VPC中。 基础带宽 该分支接入SDWAN骨干网的带宽大小。 是否购买设备 表示是否需要从天翼云购买设备。选择“是”。 网关形态 可选择硬件版、软件版，这里我们选择软件版。 使用方式 表示设备的使用方式。这里选择“单机”。 购买数量 默认为1。这里设置为1。 3. 单击“提交订单”。确认订单信息无误后，勾选“我已阅读并同意相关协议《天翼云SDWAN产品服务协议》”，单击“确认下单”。 4. 订单支付成功后，完成购买。

本文为您介绍证书管理功能模块详情。 证书管理组件为您提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书生命周期管理 证书管理模块提供高可用、高安全的密钥和证书托管能力，您可以通过控制台或API集中管理证书。 功能 说明 证书托管 支持管理密钥和证书，可以生成证书请求、导入证书和证书链、启用/禁用证书、吊销或删除证书等。 密钥安全存储 证书管家使用托管密码机保障证书密钥的产生、存储安全。 API便于集成 支持多个API接口，帮助在开发环境高效集成证书服务，快速进行产品部署，为您提供快速开发上线证书相关功能的能力。 支持的证书类型 证书类型 说明 数字证书（含私钥） 支持通过证书管理服务生成证书请求，导入或导出数字证书及其证书链，证书私钥由KMS硬件安全模块保护。 Ukey证书（不含私钥） 支持将Ukey中的证书（不含私钥）导出并存入KMS，由KMS统一托管，并支持调用KMS提供的接口实现身份认证中的验签运算。 证书运算API KMS提供云原生的证书运算类API，帮助在开发环境高效集成证书服务，快速实现证书调用。 功能 说明 参考文档 加密解密 证书公钥运算：使用指定证书加密数据。 证书私钥运算：使用指定证书解密数据。 证书公钥加密 证书私钥解密 签名验签 证书私钥运算：使用指定证书生成数字签名。 证书公钥运算：使用指定证书验证数字签名。 证书私钥签名 证书公钥验签

DDoS 分布式拒绝服务攻击是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 流量清洗 对流量进行实时监控，及时发现包括DDoS攻击在内的异常流量，在不影响正常业务的前提下，清洗掉异常流量，主要是DDoS、CC这类攻击的主要处理手段。 CSRF CSRF一般指跨站请求伪造。跨站请求伪造（英语：Crosssite Request Forgery），也被称为Oneclick Attack或者Session Riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 撞库 撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址，这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发，通过碰撞用户名得到账号密码信息。 批量注册 批量注册是指通过脚本实现原有的正式注册流程，不断重复执行注册的一个过程，可以短时间内得到目标大量的新用户，用作于DDoS攻击、业务利用等非法行为。 暴力破解 暴力破解是指通过脚本等方式实现原有的尝试登录流程，不断重复尝试登录的一个过程，从理论上来看只要时间足够，所有的账号都有被暴力破解找到口令的可能，对普通用户爆破可以造成个人的财产损失，对网站管理员的账号爆破则可以危害公司资产。

云服务概述 弹性云主机（CTECS，Elastic Cloud Server）是一种可随时获取、弹性可扩展的计算服务。云主机由CPU、内存、镜像、云硬盘等组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保服务持久稳定运行。 弹性云主机的开通和使用非常便捷、高效，您只需要指定CPU、内存、镜像等配置信息。开通完成后，您就可以像使用本地PC或物理服务器一样在云上使用弹性云主机，同时您也可以按需随时调整弹性云主机的规格配置。 了解弹性云主机的使用限制与使用须知，请参考：使用须知、使用限制。 了解弹性云主机的资源规格限制，请参考：管理配额。 怎样选择实例规格类型 了解弹性云主机应用场景，请参考：弹性云主机应用场景。 了解弹性云主机实例规格类型，请参考：规格说明。 了解云主机的计费模式 按量计费 按量计费是一种后付费模式，即先使用再付费，系统会根据云主机的实际使用情况按秒计费。 说明 自2021年4月1日4:00起，按需弹性云主机、按需云硬盘、按需独享带宽将计费单元由小时调整为秒。 例如您在13:30:30创建了一台按需付费主机，相关资源包括计算资源（vCPU和内存）、镜像和云盘（系统盘），然后在13:55:30释放实例，则：结算周期为13:00:00～14:00:00，在13:30:30～13:55:30间产生计费，该结算周期内的计费时长为1500秒。期间费用实例小时价格/36001500。 详细信息请查看按量计费。

本文介绍回源HOST带端口功能及其配置说明。 功能介绍 当源站绑定了多个域名，且源站服务运行在非80/443端口（比如8080）时，开启回源HOST带端口功能，全站加速回源时可以在回源HOST中带上具体的端口（如test.ctyun.cn:8080），精准找到源站服务。 注意事项 1. 新增域名，默认开启回源HOST带端口功能，如需关闭，请在域名新增完成后编辑域名关闭功能。 2. 回源HOST带端口功能开启后，默认携带所有非80/443的端口。跟随请求端口回源关闭时回源HOST默认带除了80、443外的回源端口；跟随请求端口回源开启时，回源HOST默认带除了80、443外的请求端口。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 开启/关闭【回源HOST带端口】功能。 6. 单击【保存】，完成配置。 参数名 说明 回源HOST带端口 关闭时，回源HOST不携带端口。 开启时，回源HOST携带非80/443的回源端口回源。

本文主要介绍如何更改弹性网卡所属安全组。 操作场景 您可以在弹性网卡列表页更改所属安全组，也可以进入弹性网卡详情页更改所属安全组。 操作步骤 在弹性网卡列表页，更改所属安全组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在弹性网卡列表页，单击操作列的“更多 > 更改安全组”。 5. 在“更改安全组”页面勾选需要关联的安全组，单击“确定”，完成更改。 在弹性网卡详情页，更改所属安全组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 单击待修更改安全组的弹性网卡名称，进入弹性网卡详情页。 5. 在“关联安全组”页签下，单击“更改安全组”。 6. 在“更改安全组”页面勾选需要关联的安全组，单击“确定”，完成更改。 更多操作 您可以在弹性网卡详情页“关联安全组”页签下单击“配置规则”，对安全组规则进行配置。

本节主要介绍重启实例。 操作场景 出于维护目的，您可能需要重启数据库实例。 使用须知 实例状态为“正常”、“异常”、“恢复检查中”，支持重启实例。 重启实例会导致服务中断，请谨慎操作。 重启实例后，该实例下所有节点将会被重启。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择兼容类型为InfluxDB的指定实例，选择操作列“更多 > 重启实例”。 您也可以在“实例管理”页面，单击指定实例的名称，在页面右上角，单击“重启实例”。 4. 若您已开启操作保护，在“重启实例”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 5. 在弹出框中，单击“是”重启实例。 对于GeminiDB Influx集群实例，您可以根据业务需求，选择节点同时重启或者节点逐个重启。 图1 重启GeminiDB Influx实例 对于GeminiDB Influx单节点实例，直接点击是即可。 图2 重启GeminiDB Influx单节点实例

复制全局策略 点击【规则复制】【复制全局策略】，便可以选择您要调整的域名，点击复制后，将会把当前域名的【防护规则引擎】策略全量配置，包括防护模式、防护规则集、规则白名单、全局规则白名单等内容覆盖到目标域名中。 复制防护模式 点击【规则复制】【复制防护模式】，便可以选择您要调整的域名，点击复制后，将会把当前域名的【防护规则引擎】【防护模式】复制到目标域名中。 复制防护规则集 点击【规则复制】【复制防护规则集】，便可以选择您要调整的域名，点击复制后，将会把当前域名的【防护规则集】全量配置到目标域名中，包括每个规则ID的防护开关、处理动作。 复制规则ID/规则白名单 通过首列复选按钮，勾选您要操作的规则ID/规则白名单ID，并点击【规则复制】【复制规则ID】/【复制规则白名单ID】，便可以选择您要调整的域名。点击复制后，将会把规则ID/规则白名单ID全量配置到目标域名中。包括每个规则ID的防护开关、处理动作。 注意 可复制的域名条件为： 需要和当前域名使用同一个防护规则集 域名为【已启用】状态 相关文档 服务开通 添加服务域名

本文概括介绍刷新预取功能的使用场景及功能简介。 概述 为了确保用户获取到的内容始终为最新的，天翼云边缘安全加速平台—安全与加速服务支持刷新和预取功能，在不同使用场景确保用户能以最短的耗时获得最新的内容。 功能简介 刷新预取模块主要包括内容刷新、内容预取、以及相关任务提交后的任务查看和跟进的功能。具体定义如下： 功能 说明 刷新 天翼云边缘安全加速平台—安全与加速服务支持URL刷新、目录刷新、正则刷新三种方式。不同刷新方式实现机制稍有不同，但最终都能确保用户访问时获得最新的内容。常用于客户对源站内容做更新后，需要节点上对该内容做同步更新。 预取 执行预取请求后，边缘节点自动触发向源站请求内容并缓存，完成预取之后，边缘节点缓存的是源站最新的内容。此时，如果客户端向节点请求内容，节点会响应缓存的内容给用户。常用于热门文件发布或是大型推广活动前做内容预取，可以降低热点文件发布后源站的回源压力，提升缓存命中率，优化首批用户的访问体验。