本节介绍了应用管控服务的最佳实践介绍。 通过应用市场的应用管控功能，管理员可以使用应用黑白名单对桌面实现有效的安全管控。 绑定黑名单规则的桌面，无法运行黑名单列表中的应用，当桌面运行黑名单中应用时会被阻止，且用户无法向管理员发起应用放行申请。 绑定白名单规则的桌面只能运行白名单列表中的应用，当桌面安装或运行非白名单中的应用时会被阻止。用户如需使用被阻止的应用，可在拦截提示中向管理员发起申请。如果管理员同意放行此应用，用户再次运行应用时即可正常使用。 前提条件 已开通天翼AI云电脑（政企版），详情请参见快速订购AI云电脑。 已开通应用市场，详情请参见开通应用市场。 注意事项 为了保证应用黑白名单的正常使用，在使用之前，请您务必认真阅读应用管控部分的功能介绍。详情请参见应用管控。 应用场景说明 企业只允许员工在AI云电脑中使用特定的应用时，可使用白名单，如教育培训，银行金融办公等场景；企业只限制员工在AI云电脑中不能使用某些应用时，可使用黑名单，如事业单位、互联网等场景。 操作步骤 步骤一：配置黑名单

本文介绍精准访问控制如何设置生效时间。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 为了保证用户业务使用的灵活性，例如部分敏感地址仅允许在系统维护时间范围内短暂的访问等，从而对业务的访问策略能够进行精细化的防护和控制，系统允许创建精准访问控制规则时，可以选择让该规则永久生效，或定义失效时间。可以通过规则列表控制规则是否开启，自定义控制规则生效的时间段。 设置精准访问控制策略的流程和步骤如下： 操作流程 操作步骤 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防护配置 > 对象防护配置”。 3. 在“安全防护”页签定位到“精准访问控制”模块，选择自定义防护规则，单击“前去配置”。 4. 新建/编辑防护规则。 5. 设置过期时间。 6. 单击“保存”，保存配置。 即可完成精准访问控制的生效时间设置。

本文主要介绍 容器隧道网络。 容器隧道网络模型 容器隧道网络在节点网络基础上通过隧道封装构建的独立于节点网络平面的容器网络平面，CCE集群容器隧道网络使用的封装协议为VXLAN，后端虚拟交换机采用的是openvswitch，VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器隧道网络具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面（例如NetworkPolicy网络隔离）的优势，可以满足大多数性能要求不高的场景。 图 容器隧道网络 说明 节点内Pod间通信：同节点的Pod间通信直接通过本节点的ovs网桥直接转发。 跨节点Pod间通信：所有跨节点Pod间的通信通过ovs隧道网桥进行封装后，转发到对端节点上。 优缺点 优点 容器网络和节点网络解耦，不受VPC配额规格、响应速度的限制（如VPC路由条目数、弹性网卡数、创建速度限制） 支持网络隔离，具体请参见网络策略（ NetworkPolicy ） 支持带宽限制 支持大规模组网 缺点 由于隧道封装，网络问题排查难度较大，整体性能较低 无法直接利用VPC提供的负载均衡、安全组等能力 不支持外部网络与容器IP直通

该章节指导您如何管理标签。 操作场景 工作空间新增成功后，您可以对工作空间的标签进行添加、编辑和删除操作。标签以键值对的形式表示，用于标识工作空间，便于对工作空间进行分类。此处的标签仅用于工作空间的管理。 约束与限制 一个工作空间最多添加20个标签。 管理工作空间标签 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，进入态势感知（专业版）工作空间页面。 4. 单击目标工作空间所在栏右上角的（设置按钮），进入工作空间详情页面。 5. 在工作空间详情页面中单击“编辑标签”，进入编辑标签页面。 6. 在编辑标签页面中，支持对标签做如下操作。 参数名称 参数说明 添加新标签 1. 在编辑标签页面中，单击“添加新标签”。 2. 配置标签键和值。 键的长度最大36字符，由英文字母、数字、下划线、中划线、中文字符组成。 值的长度最大43字符，由英文字母、数字、下划线、点、中划线、中文字符组成。 3. 配置完成后，单击“确定”。 删除标签 1. 在编辑标签页面中，单击标签所在行的“删除”。 2. 配置完成后，单击“确定”。

本文将向您介绍如何配置网站白名单，让完全信任的请求不经过边缘云WAF配置的防护策略。 功能介绍 若存在您完全信任的请求，支持在边缘云WAF控制台配置网站白名单策略，符合条件的请求将不经过边缘云WAF任意的防护策略。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见下文； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版级以上版本，支持配置访问控制功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】； 2. 进入“访问控制”页面，单击【新增】按钮，新增网站白名单策略。

DLI核心引擎：Spark+Flink Spark是用于大规模数据处理的统一分析引擎，聚焦于查询计算分析。DLI在开源Spark基础上进行了大量的性能优化与服务化改造，不仅兼容Apache Spark生态和接口，性能较开源提升了2.5倍，在小时级即可实现EB级数据查询分析。 Flink是一款分布式的计算引擎，可以用来做批处理，即处理静态的数据集、历史的数据集；也可以用来做流处理，即实时地处理一些实时数据流，实时地产生数据的结果。DLI在开源Flink基础上进行了特性增强和安全增强，提供了数据处理所必须的Stream SQL特性。 DLI服务架构：Serverless DLI是无服务器化的大数据查询分析服务，其优势在于： 自动扩缩容：根据业务负载，对计算资源进行预估和自动扩缩容。 如何访问DLI 服务平台提供了Web化的服务管理平台，既可以通过管理控制台和基于HTTPS请求的API（Application programming interface）管理方式来访问DLI，又可以通过JDBC客户端连接DLI服务端。 管理控制台方式 提交SQL作业、Spark作业或Flink作业，均可以使用管理控制台方式访问DLI服务。 API方式 如果用户需要将云平台上的DLI服务集成到第三方系统，用于二次开发，可以使用API方式访问DLI服务。

本章节主要介绍云搜索服务与其他服务的关系。 虚拟私有云（Virtual Private Cloud，简称VPC） 云搜索服务的集群创建在虚拟私有云（VPC）的子网内，VPC通过逻辑方式进行网络隔离，为用户的集群提供安全、隔离的网络环境。 弹性云主机（Elastic Cloud Server，简称ECS） 云搜索服务的集群中每个节点为一台弹性云主机（ECS）。创建集群时将自动创建弹性云主机作为节点。 云硬盘（Elastic Volume Service，简称EVS） 云搜索服务使用云硬盘（EVS）存储索引数据。创建集群时，将自动创建云硬盘用于集群存储。 对象存储服务（Object Storage Service，简称OBS） 云搜索服务的集群快照存储在对象存储服务（OBS）的桶中。 统一身份认证服务（Identity and Access Management，简称IAM） 云搜索服务使用统一身份认证服务（IAM）进行鉴权。 云监控服务（Cloud Eye） 云搜索服务使用云监控服务实时监测集群的指标信息，保障服务正常运行。云搜索服务当前支持的监控指标为磁盘使用率和集群健康状态。用户通过磁盘使用率指标可以及时了解集群的磁盘使用情况。通过集群健康状态指标，用户可以了解集群的健康状态。 云审计服务（Cloud Trace Service，简称CTS） 云审计服务（CTS）可以记录与云搜索服务相关的操作事件，便于日后的查询、审计和回溯。

使用前须知。 微服务引擎（Cloud Service Engine，CSE），是用于微服务应用的云中间件，支持云贡献到Apache社区的注册配置中心Servicecomb引擎、开源增强的注册配置中心Nacos引擎。用户可结合其他云服务，快速构建云原生微服务体系，实现微服务应用的快速开发和高可用运维。 使用条件 已注册账号并登录。 当前登录账号拥有创建微服务引擎的权限。 登录微服务引擎控制台 1. 登录天翼云控制台。 2. 单击，选择区域。 3. 单击左上角，在服务列表选择“微服务引擎CSE”，进入微服务引擎控制台。 说明 当您使用从ServiceStage发放的微服务引擎实例时，如想在CSE中发放新实例，需要对CSE云服务进行授权。 当您没有授予任何权限时，由于CSE使用依赖VPC、DNS云服务，因此需要先创建云服务委托，将操作权限委托给CSE。 授权后，CSE将在统一身份认证服务为您创建名为cseadmintrust的委托，授权成功后，可以进入服务委托列表查看。该操作需要有Security Administrator角色权限，请到“统一身份认证”服务中确认。 如不授权，将影响微服务引擎部分功能的正常使用，包括：创建引擎、升级引擎、开启/关闭安全认证。

本节介绍了ECX主要具备的网络能力。 支持VPC子网实例生命周期管理、扩展VPC网段、新增子网，支持子网启用或取消IPv6网段。 支持查看VPC、子网内运行的实例。 支持EIP实例生命周期管理，支持EIP绑定、解绑，支持网络IO监控，支持带宽大小修改。 支持共享带宽实例生命周期管理、网络IO监控、带宽大小修改。 支持NAT网关实例生命周期管理、设置DNAT条目和SNAT条目规则。 支持路由表实例生命周期管理、分布式路由、设置路由转发条目规则。 支持负载均衡实例生命周期管理、配置监听器和后端服务器组，支持L4/L7协议监听转发、网络IO监控。 支持查看、删除边缘入云专线，设置专线网关的路由转发。 支持内网VIP实例生命周期管理、内网VIP绑定至虚拟机和EIP，以及从以上实例中解绑。 支持查看公网VIP，支持公网VIP绑定虚拟机和解绑。 支持网络ACL实例生命周期管理、关联子网管理、设置出入规则。 支持安全组实例生命周期管理、关联子网管理、设置出入规则。 支持SSL证书上传和管理。 支持NAT64服务实例生命周期管理、配置黑白名单。 支持对等连接实例生命周期管理，支持接受或拒绝对等连接请求。 支持在VPC内部署零信任连接器，通过零信任访问VPC内的实例。 支持查看、删除边边网络实例，管理网络实例和路由表。

本章节介绍Kafka认证方式。 PLAINTEXT方式 无安全认证方式，仅需输入IP和端口进行连接。 图 PLAINTEXT SASLPLAINTEXT认证 使用SASL机制连接Kafka，需要设置SASL相关配置。 图 SASLPLAINTEXT 表 参数信息 参数 描述 SASL机制 用于客户端连接的SASL机制，支持以下四项，Kafka server默认是 GSSAPI 机制。 GSSAPI PLAIN SCRAMSHA256 SCRAMSHA512 令牌委托 是否为委托令牌鉴权，SASL机制选择“SCRAMSHA256”或者“SCRAMSHA512”时可见。 用户名 登录使用的用户名。 密码 登录使用的密码 SSL认证 使用SSL加密方式连接Kafka，需要设置SSL相关配置。 图 SSL 表 参数信息 参数 描述 Truststore证书 后缀名为jks的SSL证书。 Truststore证书密码 证书对应的秘钥。 主机名端点识别算法 指定通过服务端证书验证服务端主机名的端点识别算法，选填，不填表示禁用主机名验证。 SSL双向认证 是否开启SSL双向认证。 Keystore证书 SSL双向认证开启可见，需要上传后缀名为jks的双向认证证书。 Keystore证书密码 SSL双向认证开启可见，SSL双向认证证书对应的秘钥。 Keystore私钥密码 选填，Keystore证书中私钥的密码。

本文介绍文档数据库的计费说明。 （一）、收费项目 文档数据库服务，完全兼容 MongoDB 协议，提供安全、高可用、高可靠、弹性伸缩和易用的数据库服务，同时提供一键部署、弹性扩容、容灾、备份、恢复、监控和告警等功能。 文档数据库服务的资费由数据库实例、存储空间、备份空间、公网流量（可选）等部分组成，详细如下： 计费项 计费项说明 适用的计费模式 计费公式 数据库实例 vCPU、内存和节点数量，不同规格的实例类型提供不同的计算和存储能力。 文档数据库实例，支持X86和鲲鹏两种CPU平台。 包年/包月、按需 实例规格单价 购买时长 存储空间 存储空间大小，按产品资费标准进行计费。 包年/包月、按需 存储空间单价 存储容量 购买时长 备份空间 备份空间大小，按产品资费标准进行计费。 DDS提供了与存储空间同等大小的免费备份空间，用于存放您的备份数据。超出的备份空间开始收费。 备份收费容量：超过免费备份空间之外的备份空间大小。 计费时长：备份超过免费空间大小的使用时长。 按需 备份空间单价 备份收费容量 计费时长 公网流量（可选） 如有互联网访问需求，您需要购买弹性IP。具体可参考弹性IP价格说明。 文档数据库实例在云内网络产生的流量不计费。 包年/包月、按需 弹性IP价格说明

是否支持pipeline命令？ 支持。 注意：Redis Cluster版本集群实例使用pipeline时，要确保管道中的命令都能在同一分片执行。 Redis是否支持INCR/EXPIRE等命令？ 支持。命令兼容性相关说明请参考“命令兼容性说明”章节。 Redis命令执行失败的可能原因 Redis命令执行失败，一般有以下可能原因： 命令拼写错误 如下图所示，命令拼写有误，Redis实例返回“ERR unknown command”，删除key的正确命令为 del 。 在低版本Redis实例运行高版本命令 如下图所示，在Redis 3.0版本运行Redis 5.0新增的Stream相关命令，Redis实例返回命令出错信息。 DCS Redis不支持的部分命令 出于安全原因，DCS禁用了部分命令，具体参考Redis命令的兼容性，查看禁用命令与受限使用命令。 执行lua脚本失败 例如报错：ERR unknown command 'EVAL' ，说明您的Redis实例属早期创建的低版本Redis实例，不支持lua脚本，这种情况请联系技术支持，升级您的Redis实例。 执行setname和getname失败 说明您的Redis实例属早期创建的低版本Redis实例，不支持这两个命令，这种情况请联系技术支持，升级您的Redis实例。

本文介绍了不同资源池支持的功能。 因IaaS资源等原因，RDSPostgreSQL在不同资源池提供功能有较大差异，具体差异详见下表： 功能模块 产品功能 Ⅰ类资源池 Ⅱ类资源池 资源池 上海7、昆明2、重庆2、南京3、郴州2、北京5 华东1、青岛20、长沙42、南宁23、华北2、西南1、西南2贵州、上海36、南昌5、华南2、郑州5、 武汉41、西安7、广州4、芜湖4、呼和浩特3、杭州7、苏州、太原4、乌鲁木齐7、庆阳2 可订购实例 实例系列 单机版、一主一备版 单机版、一主一备版、一主两备版、只读实例 可订购实例 数据库版本 12 12、13、14、15、16、17 可订购实例 CPU架构 X86（Intel） X86（Intel、海光）、ARM（鲲鹏），目前国产化实例在部分资源池加载 可订购实例 备份存储类型 支持普通IO 支持普通IO、高IO、超高IO、对象存储，目前仅华东1、南昌5、长沙42、西南1、华北2支持对象存储 可订购实例 规格配置 CPU：最高32核 内存大小：最高128GB 数据盘：最高32000 GB CPU：最高192核 内存大小：最高1536 GB 数据盘：最高64 TB 计费模式 自助开通 支持 支持 计费模式 计费模式类型 包年/包月 按需、包年/包月 计费模式 按需、包年/包月互转 不支持 支持 实例操作 开通实例 支持 支持 实例操作 注销实例 支持 支持 实例操作 暂停 不支持 支持 实例操作 续期 支持 支持 实例操作 重启 支持 支持 实例操作 主备切换 支持 支持 实例操作 小版本升级 不支持 支持 实例操作 修改端口 不支持 支持 实例操作 系列升级 仅支持升级 仅支持升级 实例操作 配置变更 CPU和内存支持升规格 云盘仅支持扩容 CPU和内存支持升规格、降规格 云盘仅支持扩容 实例操作 存储自动扩容 不支持 支持 实例操作 性能自动扩缩容 支持 支持（目前仅华北2支持） 实例操作 实例回收站 不支持 支持 实例操作 可用区迁移 不支持 支持（目前仅华北2支持） 实例操作 标签设置 不支持 支持 实例设置 修改管理员密码 支持 支持 实例设置 内核参数 支持200多个内核参数修改 支持200多个内核参数修改 实例设置 空闲连接查杀 不支持 支持 实例设置 清理在线表 不支持 支持 实例设置 账号管理 不支持 支持 实例设置 插件管理 不支持 支持 实例设置 数据库管理 不支持 支持 数据库代理 数据库代理 不支持 支持，目前仅开放南昌5、华南2、华东1资源池 只读实例 只读实例 不支持 支持，单实例最多可订购5个只读实例 访问 安全组 支持 支持 访问 云主机访问 仅支持同一VPC访问 仅支持同一VPC访问 访问 公网访问（绑定与解绑弹性IP） 不支持 支持 备份 全量/增量备份 支持 支持 备份 自动/手动备份 支持 支持 备份 跨域备份 不支持 支持，目前仅开放华东1、西南1、华北2资源池 备份 数据同步方式修改 不支持 支持 备份 下载备份 不支持 支持，目前仅放开华北2资源池 恢复 备份集恢复 支持 支持 恢复 指定时间点恢复 支持 支持 恢复 跨域恢复 不支持 支持，目前仅开放华东1、西南1、华北2资源池 指标监控 实例监控 支持（名称为仪表盘） 支持 指标监控 资源监控 支持 支持 指标监控 引擎监控 支持部分数据库指标监控 支持 日志监控 慢日志 支持 支持 日志监控 错误日志 支持 支持 操作监控 操作监控 不支持 支持 告警 监控告警 不支持 支持 数据安全 白名单管理 不支持 支持 数据安全 SQL审计 不支持 支持 数据安全 SSL链路加密 不支持 支持 数据安全 TDE加密 不支持 支持，目前仅开放华东1资源池 数据安全 SQL拦截 不支持 支持，目前仅开放华北2、芜湖4、南昌5、青岛20、呼和浩特3资源池 参数模板 参数模板 支持 支持

大内容写入 调用方通常只需要传入 content。当写入内容较大时，SDK 和服务会自动适配处理，调用方式保持不变。 建议业务侧按普通文本写入方式调用，不需要关注内部传输方式。 移动文件 plaintext await session.filesystem.movefile({ source: 'C:/aiusertest/result.txt', destination: 'C:/aiusertest/archive/result.txt' }); movefile 可用于移动或重命名文件、目录。目标父目录不存在时会自动创建。 搜索文件 plaintext const result await session.filesystem.searchfiles({ path: 'C:/aiusertest', pattern: '.txt', matchMode: 'wildcard' }); console.log(result.data.matches); matchMode 支持： matchMode 说明 wildcard 通配符匹配，例如 .txt regex 正则表达式匹配 exact 精确文件名匹配 返回结构示例： plaintext { "matches": [ "C:aiusertestresult.txt" ], "pattern": ".txt", "matchMode": "wildcard", "path": "C:aiusertest", "truncated": false } 路径安全建议 FileSystem 工具具备读写目标云电脑文件的能力。业务系统应限制可操作的目录范围，避免误读、误写系统文件或敏感目录。 建议为任务分配独立工作目录，例如： plaintext C:/aiuse/tasks/{taskId} 使用建议 文本大文件建议使用 offset 和 length 分片读取。 写入文件前应明确 mode，避免误覆盖。 不建议使用 readfile 读取二进制文件。 对外共享文件内容或截图前应进行必要脱敏。

大内容写入 调用方通常只需要传入 content。当写入内容较大时，SDK 和服务会自动适配处理，调用方式保持不变。 建议业务侧按普通文本写入方式调用，不需要关注内部传输方式。 移动文件 plaintext await session.filesystem.movefile({ source: 'C:/aiusertest/result.txt', destination: 'C:/aiusertest/archive/result.txt' }); movefile 可用于移动或重命名文件、目录。目标父目录不存在时会自动创建。 搜索文件 plaintext const result await session.filesystem.searchfiles({ path: 'C:/aiusertest', pattern: '.txt', matchMode: 'wildcard' }); console.log(result.data.matches); matchMode 支持： matchMode 说明 wildcard 通配符匹配，例如 .txt regex 正则表达式匹配 exact 精确文件名匹配 返回结构示例： plaintext { "matches": [ "C:aiusertestresult.txt" ], "pattern": ".txt", "matchMode": "wildcard", "path": "C:aiusertest", "truncated": false } 路径安全建议 FileSystem 工具具备读写目标云电脑文件的能力。业务系统应限制可操作的目录范围，避免误读、误写系统文件或敏感目录。 建议为任务分配独立工作目录，例如： plaintext C:/aiuse/tasks/{taskId} 使用建议 文本大文件建议使用 offset 和 length 分片读取。 写入文件前应明确 mode，避免误覆盖。 不建议使用 readfile 读取二进制文件。 对外共享文件内容或截图前应进行必要脱敏。

本章介绍什么是天翼云关系型数据库，包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台，让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 PostgreSQL PostgreSQL是一个开源对象关系型数据库管理系统，并侧重于可扩展性和标准的符合性，被业界誉为“最先进的开源数据库”。PostgreSQL面向企业复杂SQL处理的OLTP在线事务处理场景，支持NoSQL数据类型（JSON/XML/hstore），支持GIS地理信息处理，在可靠性、数据完整性方面有良好声誉，适用于互联网网站、位置应用系统、复杂数据对象处理等应用场景。 支持postgis插件，空间应用卓越，达到国际标准。更接近Oracle数据库，去 “O” 成本低。 适用场景丰富，费用低，随时可以根据业务情况弹性伸缩所需的资源，按需开支，量身订做。

本章节主要介绍RDSPostgreSQL实例使用规范。 实例可用性 建议开通产品实例时，充分考虑业务使用应用场景，保持实例服务器有一定的资源冗余，如磁盘、CPU、内存等，保证正常使用率不超过70%，防止因资源问题导致Out Of Memory、磁盘耗尽、CPU飙高等异常问题。 建议生产系统使用的数据库选用主备类型，保证高可用。 建议开启周期性全量+增量备份，保证备份机空间足够且不小于实例磁盘。 建议根据需要修改主备实例的数据同步模式，如要保证数据不丢失，可设置为同步模式；如要保证业务响应速度快，可以设置为异步模式。 建议根据资源使用情况，及时升级实例配置，如磁盘扩容、系列升配和CPU/内存升配，保证实例可用性。 实例运维 及时清理无用复制槽，防止复制槽阻塞影响日志回收。 及时VACUUM，尤其是在大批量数据操作场景下。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 及时清理无用的空闲连接，同时业务侧应该避免连接长时间不释放。 建议定期监控数据库事务ID的大小，以免数据库已使用的事务ID大小超过20亿，导致数据库强制关闭。 安全访问 尽量避免通过公网访问数据库，如需公网连接必须要先绑定公网EIP，并严格管理白名单。

本章节介绍数据库复制与其他服务的关系。 关系型数据库 数据库复制服务可将已有数据库迁移到本云关系型数据库（Relational Database Service，简称RDS）。 目前数据库复制服务支持将如下场景的关系型数据库迁移到本云关系型数据库： VPC网络 VPN网络 专线网络 公网网络 文档数据库服务 数据库复制服务可将已有数据库迁移到本云文档数据库服务（Document Database Service）。 目前数据库复制服务支持将如下场景的MongoDB数据库迁移到本云文档数据库服务： VPC网络 VPN网络 专线网络 公网网络 分布式关系型数据库 数据库复制服务可将已有数据库迁移到本云分布式数据库中间件（Distributed Database Middleware，简称DDM）。 目前数据库复制服务支持将如下场景的数据库迁移到本云分布式数据库中间件服务： VPC网络 VPN网络 专线网络 公网网络 云监控 当用户开通了数据库复制后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。 云审计服务 云审计服务（Cloud Trace Service，简称CTS）记录数据库复制服务相关的操作事件，方便您日后的查询、审计和回溯。 对象存储服务 对象存储服务为数据库复制服务提供海量、安全、高可靠、低成本的数据存储能力。

本章节主要介绍通过添加单个应用服务器、从文件导入应用服务器、添加单个应用发布、从文件导入应用发布，将应用资源纳入云堡垒机进行集中管理。 通过在一台支持远程桌面的Windows系统或者Linux操作系统服务器上，部署客户端软件和浏览器，应用发布是将服务器和应用帐户纳入云堡垒机管理的功能。 用户获取应用发布访问权限后，通过应用帐户的密码自动代填，访问客户端应用和Web应用，并以视频方式全程记录用户运维操作，实现对远程应用帐户的安全管理和用户远程访问应用的操作审计。 云堡垒机支持添加Chrome、Edge、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL Server Tool、dbisql、VNC Client、VSphere Client、Radmin等应用。 约束限制 添加的主机和应用资源数量总和不能超过资产数。 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。 支持对Centos7.9系统的Linux服务器的应用进行管理。 Linux服务器仅支持调用Firefox浏览器应用和达梦管理工具V8。 Linux服务器和堡垒机之间需要开通的端口号：2376和35000~40000，且端口号不可修改。 Linux服务器的密码请联系技术支持获取。 添加应用发布前，需已添加应用服务器。 Edge浏览器应用不支持配置自动登录帐户。 前提条件 已另行购买Windows类型主机或者Linux服务器、镜像、企业授权码、客户端License等资源，用于部署应用发布服务器。 已成功安装应用服务器，详细操作指导请参见： 安装应用发布服务器 。 已获取“应用服务器”和“应用发布”模块管理权限。

本实践介绍了云主机整机备份的操作步骤,帮助您保护主机整机数据。 场景描述 天翼云为您提供基于快照技术的整机备份服务，同一时间为您保存系统盘、数据盘的数据，当云主机出现故障待机或人为损坏，可通过备份副本，实现一键恢复主机数据，快速回退到备份点数据，恢复业务运行环境。 方案优势 提供了灵活、便捷、可靠的数据恢复解决方案，保障业务的连续性和数据的安全性。 为用户应对病毒入侵、黑客破坏等突发场景，保护云主机数据完整。 相较于传统本地备份方式，云主机备份使用更加简便，且统一托管，安全可信。 备份数据具有一致性，主机云硬盘同一时间进行备份，不存在因备份创建时间差带来的数据不一致问题。 前提条件 已购买备份存储库，且存储库为“可用”状态。 执行数据恢复前需关闭云主机。 备份状态需为“可用”。 操作步骤 步骤一：创建云主机备份 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择相应的存储库，点击操作列下的“创建备份”。 5. 在弹出的“创建云主机备份”页面，选择需要备份的主机至右侧“已选云主机”列表。 6. 选择“立即备份”，即时完成目标主机备份的创建，点击“下一步”。 7. 跳转至云主机备份资源详情页面，确认资源配置，勾选“我已阅读并同意相关协议《天翼云云主机备份服务协议》”，点击“确认下单”。 8. 查看“备份副本”列表，等待创建的备份副本的状态变为“可用”，即完成备份的创建。

公有云采用虚拟私有云（VPC）管理各服务的网络安全，比如DCS缓存服务，用户创建的DCS缓存实例，只允许被实例处于相同虚拟私有云的弹性云主机访问。 解决方案 天翼云的弹性云主机，如果绑定了弹性IP地址，用户可以从本地电脑远程访问。 因此，我们可以采用ssh工具的隧道代理机制，通过一台既能连接DCS缓存实例，又能被本地电脑访问的中转服务器，实现“代理转发”。 说明 Redis 4.0/5.0 Cluster集群实例暂不支持使用该方案进行公网访问。 前提条件 假设已申请DCS缓存实例一个，本地电脑可以连接互联网，且安装有MobaXterm、Redis客户端等工具。 申请一台弹性云主机（ECS），满足以下要求： 绑定弹性IP，公网可以访问ECS. ECS的虚拟私有云以及子网配置成与DCS缓存实例相同。 ECS配置正确的安全组访问规则。 为了方便，ECS使用linux操作系统。 这样保证ECS与DCS缓存实例网络互通，同时可以从本地电脑远程SSH连接ECS。 操作步骤 通过MobaXterm建立隧道作为跳板机 1.新建一个到ECS的SSH连接，使用22号端口。 图 连接ECS 2.SSH连接配置好后，输入登录用户和密码，连接上ECS。登录后输入TMOUT0，避免连接超时自动关闭。 图 输入TMOUT0 3.在MobaXterm工具中找到MobaSSHtunnal，建立隧道。 图 创建隧道 4.配置本地IP为127.0.0.1后，启动隧道。 图 启动隧道 5.本地电脑打开Redis客户端，以Redis命令行界面为例。连接DCS缓存实例，命令如下： Rediscli h 127.0.0.1 p 3306 a {password} 参数说明： h 主机名：localhost或者127.0.0.1，和隧道建立时配置的本地IP相同。 p 端口号：3306，和隧道建立时配置的本地侦听端口相同。 a 密码：DCS缓存实例连接密码。 6.连接成功，显示如下。 图 连接实例

操作审计 操作审计记录了用户于何时对数据管理模块系统的哪个菜单进行了某个事件操作，并对该事件操作给出high 、medium 、low三种等级的风险评估。同时也会对实例信息、工单信息、操作内容进行记录。 操作审计搜索操作审计支持的搜索项包括执行时间、风险等级、操作用户、实例名称、实例地址、工单号、功能菜单、事件类型。其中操作用户、实例名称、实例地址、工单号等搜索项支持模糊搜索。功能菜单是一个二级搜索框，用户需要先在开发空间、数据资产、安全中心、个人中心选择一项，进而在弹出的选项中选择二级菜单。若用户想清除已经选择的搜索项，可以单击重置按钮。 操作审计详情 用户单击详情按钮，会弹出详情界面。除上述基本信息外，详情界面还会展示具体的操作内容。 查看工单详情 用户单击日志记录中的工单号，可以弹出详细的工单信息，包括工单号、工单类型、工单状态、创建人、创建时间、最后操作时间、文件类型、工单说明、异常信息等关键内容。

本节介绍如何添加策略适用的防护域名，您可以通过Web应用防火墙服务添加策略适用的防护域名。 说明 如果您已开通企业项目，您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限，才能为该企业项目批量添加防护规则。 前提条件 已添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在目标策略名称所在行的“操作”列，单击“添加防护域名”。 步骤6 在“防护域名”下拉框中选择适用于该策略的防护域名，如图所示。 注意 一个防护域名有且只能配置一条防护策略。 一条防护策略可以适用于多个防护域名。 若想删除已绑定域名的防护策略，请先将此防护策略绑定的所有域名添加到其它防护策略，再在目标策略名称所在行的“操作”列中，单击“删除”。 步骤7 单击“确定”。

本文主要介绍如何通过天翼云云容器引擎使用虚拟节点以及使用ECI作为Pod的运行资源。 云容器引擎集群（混合ECS和ECI） 当已经创建了云容器引擎集群，可以通过使用虚拟节点（基于 VK）来使用ECI 的功能。利用虚拟节点，可以根据业务流量进行弹性扩缩容，从而减少集群扩容成本。 在云容器引擎集群中，首先需要部署虚拟节点，之后才可以在虚拟节点上创建ECI Pod，虚拟节点上的Pod均基于ECI运行在安全隔离的容器运行环境中，每个Pod对应一个ECI实例。 管理工具 通过VK将ECI以虚拟节点的方式接入Kubernetes集群后，可以通过以下方式管理Kubernetes集群及ECI实例的运行情况： 方式一：通过弹性容器实例控制台 1. 登录弹性容器实例控制台。 2. 在顶部左侧资源池列表选择对应资源池。 3. 在容器组页面，查看当前资源池已经创建的ECI实例。 方式二：通过云容器引擎控制台 1. 登录云容器引擎控制台。 2. 在顶部左侧资源池列表选择对应资源池。 3. 在左侧菜单栏选择集群页面，进一步选择对应的集群。 4. 在左侧菜单栏选择工作负载，可以查看对应的ECI Pod。

本文介绍如何管理镜像缓存。 本节介绍如何创建、查询、删除镜像缓存。 创建镜像缓存 您可以通过控制台手动创建镜像缓存。 1. 在弹性容器实例控制台的镜像缓存页面，单击"创建镜像缓存"。 2. 在创建镜像缓存页面，设置相关参数。相关参数说明如下： 1. 基本参数：设置可用区、专有网络和安全组等参数，用户创建中转ECI实例。 2. 镜像缓存：输入镜像名称，选择镜像地址和版本号，按需设置大小和保留时长。 3. 镜像仓库访问凭证：如果镜像是私有镜像，请填写镜像仓库的地址、访问用户名和密码。 3. 在镜像缓存页面查看创建结果。 4. 当状态变为ready时，表示镜像缓存创建成功。单击镜像缓存ID，可以打开详情页面，查看基本信息和相关事件。 查询镜像缓存 创建镜像缓存后，您可以查询镜像缓存信息。当镜像缓存状态为创建完成（ready）时，可以使用该镜像缓存。 在弹性容器实例控制台的镜像缓存页面查看镜像缓存的名称、状态等信息，单击镜像缓存ID可以查看事件等详细信息。

本章节主要介绍重启集群。 重启集群 当集群处于非均衡或不能正常工作时，可能需要通过重启集群进行恢复。当您修改完配置，例如修改集群安全设置、参数修改相关配置，未立即重启集群的情况下，您也可以通过手动重启集群使配置生效。 对系统的影响 重启期间集群将无法提供服务。因此，在重启前，请确定集群中没有正在运行的任务，并且所有数据都已经保存。 如果集群正在处理业务数据，如导入数据、查询数据、创建快照或恢复快照时，一旦重启集群，有可能会导致文件损坏或重启失败。因此，建议停止所有集群任务后，再重启集群。 您可以参考 Cloud Eye监控集群查看集群的“会话数”和“活跃SQL数”指标，查看是否有活跃事务。 重启集群所需时间与集群的规模和业务有关，正常情况下大约需要3分钟左右，不超过20分钟。 如果重启失败，将有可能会导致集群不可用，建议联系技术支持人员进行处理或稍后重试。 操作步骤 1.登录DWS 管理控制台。 2.单击“集群管理”。 3.在需要重启的集群的“操作”列，单击“重启”。 4.在弹出框单击“是”。 此时集群的“任务信息”变为“重启中”。当“集群状态”重新变为“可用”时，表示重启已成功。

本文向您介绍通过企业版VPN实现云上云下网络互通（主备模式）的方案概述。 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中，用户数据中心和VPC之间采用两条VPN连接保证网络可靠性，连接1和连接2互为主备。当其中一条VPN连接故障时，系统可以自动切换到另一条VPN连接，保证网络不中断。 图方案架构 方案优势 双连接：VPN网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 主备网关：VPN主备网关部署在不同的AZ区域，实现AZ级高可用保障。 约束与限制 VPN网关的本端子网与对端子网不能相同，即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。

参数 参数说明 系统盘 节点云主机使用的系统盘，供操作系统使用。 您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为50GB。 加密：数据盘加密功能可为您的数据提供强大的安全防护，加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。 目前仅在部分Region显示此选项，具体以界面为准。 默认不加密。 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。 数据盘 节点云主机使用的数据盘，供容器运行时和Kubelet组件使用。br您可以设置数据盘的规格为100GB32768GB之间的数值，缺省值为100GB。 至少需要一块数据盘 ，供容器运行时和Kubelet组件使用，该数据盘不能被删除卸载，否则会导致节点不可用。 单击后方的“展开高级设置”可进行如下设置： 自定义空间分配：勾选后可定义容器运行时在数据盘上占用的空间比例，容器运行时的空间用于存放容器运行时工作目录、容器镜像数据以及镜像元数据。数据盘空间分配详细说明请参见 目前仅在部分Region显示此选项，具体以界面为准。 − 默认不加密。 − 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。 添加多个数据盘 最多可以添加4个，默认情况直接创建为裸盘，不做任何处理。您也可以展开高级配置，选择如下配置。 默认：默认情况直接创建为裸盘，不做任何处理。 挂载到指定目录：将数据盘挂载到指定目录。 作为持久存储卷：适用于对PV有性能要求的场景。持久存储卷的节点会添加上node.kubernetes.io/localstoragepersistent标签，取值为linear或striped。 作为临时存储卷：适用于对EmptyDir有性能要求的场景。说明持久存储卷和临时存储卷仅在集群版本 > v1.21.2r0 时支持创建，且临时存储卷需要Everest插件版本>1.2.29，持久存储卷需要Everest插件版本>1.2.31。持久存储卷和临时存储卷支持如下两种写入模式。 线性（linear）：线性逻辑卷是将一个或多个物理卷整合为一个逻辑卷，实际写入数据时会先往一个基本物理卷上写入，当存储空间占满时再往另一个基本物理卷写入。 条带化（striped）：创建逻辑卷时指定条带化，当实际写入数据时会将连续数据分成大小相同的块，然后依次存储在多个物理卷上，实现数据的并发读写从而提高读写性能。条带化模式的存储池不支持扩容。多块存储卷才能选择条带化。 本地盘说明 节点规格为“磁盘增强型”或“超高I/O型”时，有一块数据盘可以是本地盘。本地磁盘实例有宕机风险，不保证数据可靠性，建议您使用云硬盘存储您的业务数据。

设置已中断会话的时间限制 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 会话时间限制”，双击“设置已中断会话的时间限制”，打开对话框。 2 启用已中断会话的时间限制，并设置结束已断开连接的会话为1分钟。 3 单击“确定”完成设置。 设置已中断会话的时间限制 关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置

接口功能介绍 安全告警统计 接口约束 传参规范 URI GET /vfw/v2alarmstatics 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙id c7cfe772fd3f482da630132e6548a19a startTime 是 String 开始时间不为空 20241023T08:31:25Z finishTime 是 String 结束时间不为空 20241023T08:31:25Z 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 AlarmStaticsView 表 AlarmStaticsView 参数 参数类型 说明 示例 下级对象 runMode String 告警模式 1 alarmOverview Object 告警统计 AlarmOverview attackTypes Object 攻击类型统计 AttackTypes attackLevel Object 攻击等级统计 AttackLevels 表 AlarmOverview 参数 参数类型 说明 示例 下级对象 alarmCount Integer 告警次数 1 dropCount Integer 已拦截次数 1 alertCount Integer 仅告警次数 1 attackIpCount Integer 攻击IP数 1 affectedIpCount Integer 受影响IP数 2 表 AttackTypes 参数 参数类型 说明 示例 下级对象 InformationDisclosure Integer 扫描数 1 Malware Integer 木马数 1 Malwaretraffic Integer 暴力破解数 1 Dos Integer ddos数 1 Networkmonitor Integer webshell数 2 Protocolexception Integer Protocolexception数 1 Vulnerability Integer 漏洞数 2 Other Integer 其他 1 表 AttackLevels 参数 参数类型 说明 示例 下级对象 serious Integer 严重数 1 high Integer 高危数 1 middle Integer 中危数 1 low Integer 低危数 1

关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置 刷新策略 1 关闭本地组策略编辑器，选择“开始 > 运行”，执行 gpupdate /force 。 2 刷新本地策略。 3 应用发布服务器部署完成，需要测试功能请将此服务器添加到云堡垒机。 安装RemoteApp程序 V3.3.26.0及以上版本需要在应用发布服务器中安装RemoteAppProxy跳板工具。

CSRF防护的方式 1、验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 2、验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 3、请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用CSRF防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“CSRF防护”页面，可以配置CSRF防护策略；