本节主要介绍CCM私有证书配置。 操作场景 GeminiDB Influx支持使用云证书管理服务（CCM）创建的证书进行数据库实例连接，既支持创建实例的时候选择证书，也支持实例创建成功后重置证书。 本章节主要介绍如下两种方式将CCM私有证书应用到数据库实例中： a.创建实例时选择证书功能。 b.实例创建成功后使用重置证书功能。 使用须知 实例状态为“正常”。 前提条件 已创建CCM私有证书。若未创建CCM私有证书，请参见《云证书管理服务用户指南》中“申请私有证书”章节先创建证书。 注意 创建证书时需要将待连接的数据库IP信息添加到证书中，即“配置证书的AltName信息”。若不配置该信息，则会导致数据库连接失败。 若您在创建实例时选择证书功能，此处“证书的AltName信息”只能添加弹性公网IP，因为此时待连接的数据库实例尚未创建成功，无对应的内网IP地址生成，故无法将内网IP地址添加到证书的AltName信息处。 若您是在创建实例成功后，使用重置证书的功能来切换证书信息，此处“证书的AltName信息”可以添加数据库实例所有节点的内网IP地址或者弹性公网IP地址。 图 创建CCM私有证书 场景一：创建实例时配置私有证书 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，单击“购买数据库实例”，进入“服务选型”页面。 4. 在“服务选型”页面，填写并选择实例相关信息后，单击“立即购买”。 SSL安全连接选择“启用”，证书信息选择已创建好的CCM私有证书。若无可用证书，请先参见上文前提条件中的方法创建证书。 图 选择证书 其余参数配置请参见3.2.1 购买集群实例章节进行设置即可。 5. 待实例创建成功后，单击实例名称，进入“基本信息”页面，在“数据库信息”区域的“证书”处，可以查看到证书状态为“正常”。 图 查看证书状态 6. 下载证书。 单击“证书”处的“下载”按钮，跳转至“云证书管理服务”页面，选择“Nginx”页签，单击“下载证书”。 图 下载证书

出云流量页面展示当前防火墙实例防护的云上EIP访问互联网的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 规格限制 “私网外联资产”数据查看需满足专业版防火墙且开启VPC边界防火墙防护，请参见“开启VPC边界流量防护”。 查看出云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 出云流量”，进入“出云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：内部服务器访问互联网时最大流量的相关信息。 出云流量：出方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内出方向流量中指定参数的TOP 5 排行，参数说明请参见下表。单击单条数据查看流量详情，每个详情支持查看50条数据。 出云流量可视化统计参数说明： 参数名称 参数说明 TOP访问目的IP 出方向流量的目的IP地址。 TOP访问目的地区 出方向流量的目的IP所属的地理位置。 TOP访问源IP 出方向流量的源IP地址。 TOP开放端口 出方向流量的目的端口。 应用分布 出方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 外联IP：目的IP的流量信息。 外联域名：域名信息。 公网外联资产：源IP为公网IP的流量信息。 私网外联资产：源IP为私网IP的流量信息。 说明 私网IP信息仅配置了VPC边界防护的专业版防火墙可见。

本章节主要介绍如何创建、修改和删除实例的内网域名。 注意 实例内网域名功能仅西南1、华东1、武汉41（II类型资源池）支持，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 使用场景 该功能提供关系数据库MySQL版实例的内网访问地址 ，用于同一VPC或内网环境下的应用（如ECS、容器服务等）安全、低延迟地连接数据库，避免公网暴露风险。 约束限制 修改内网域名，将导致数据库连接中断，请修改对应的应用程序连接地址。 内网域名的名称唯一，默认内网域名格式为：实例ID.rds.mysql.域名。 当您在切换VPC时，由于切换VPC会引起连接地址的变更，此时不允许内网域名的设置。 设置内网域名 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在实例信息 区域，找到IPv4地址，单击内网域名 参数旁的设置。 5. 按照提示，先前往内网DNS控制台创建一个域名，并关联本实例的VPC。 6. 回到MySQL控制台，即可在域名中选择以上步骤中创建的域名。 7. 在实例内网域名中，填写您想定义为该实例的内网域名。 8. 单击确定。 9. 确定后，需要更改主机DNS使内网DNS配置生效，具体的步骤可参考更改主机DNS使内网DNS配置生效。 10. 配置后即可访问。 注意 域名（主域名）和实例内网域名不同，域名是于DNS控制台创建的主域名，MySQL控制台的内网域名是针对该实例的一个内网域名，以主域名为后缀创建。 一个主域名可以绑定多个VPC，一个VPC内可能有多个实例；一个主域名可以应用于多个实例，但一个实例内网域名只能绑定一个实例。 您在DNS网络控制台最多可以创建10个域名，相关限制可参考内网DNS官网文档。

查看攻击信息 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理页面，选择“攻击”页签，查看攻击信息。 参数名称 参数说明 设置告警的显示时间范围 左上角可设置展示告警的周期，默认展示最近一周内的告警信息。用户可下拉选择或自定义展示告警的周期： 最近24小时 最近一周 最近一个月 自定义：用户自定义设置起止时间。 信息统计 从3个维度统计状态为“打开”或“阻塞”的告警信息： 来源分布：以柱状图形式统计各数据源的告警数。 类型Top5:以告警数维度降序排序统计前Top5类型的告警。 资产风险Top5:展示告警数多的Top5风险资产。 急需处理告警 当前工作空间中状态为“打开”或“阻塞”且风险等级为“高危”或“致命”的告警数量。 待处理告警 当前工作空间中状态为“打开”或“阻塞”，在筛选的时间范围内未处理告警的数量。 告警总数 当前工作空间在筛选的时间范围内告警总数量。 自动处理告警 当前工作空间在筛选的时间范围内通过剧本自动关闭的告警数量。 手动处理告警 当前工作空间在筛选的时间范围内手动关闭的告警数量。 告警列表 在告警列表中下方可以查看告警总条数。其中，使用翻页查看时最多可查看10000条告警信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 告警列表中，可以查看告警名称、等级、类型、受影响资产、防御状态、状态、防线、数据来源、最近发生时间信息。 如需查看某个告警信息详情，可单击目标告警，进入告警详情页面： 概览：告警详情页的基础信息模块，呈现告警ID、防线/来源、攻击阶段、责任人、告警类型、首次发生时间。 受影响资产：呈现该告警影响的资产信息，包括资产名称、区域、资产归属账号名称/ID、企业项目名称/ID。 处置建议：告警的处置建议。 更多信息：告警的基础信息、受影响资产、进程信息等详细信息。 相似告警：呈现相似告警的告警列表。

本章主要介绍创建并使用签名密钥。 操作场景 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 签名密钥是由一对Key和Secret组成，签名密钥需要绑定到API才能生效。当签名密钥绑定API后，API网关向后端服务发送此API的请求时，会增加相应的签名信息，此时需要后端服务依照同样方式进行签名，通过比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 说明 每个用户最多创建30个签名密钥。 同一个环境中一个API只能被一个签名密钥绑定，一个签名密钥可以绑定多个API。 使用流程 1. 在控制台创建签名密钥。 2. 将新创建的签名密钥绑定API。 3. API网关将签名后的请求发送到后端服务，此时Authorization头中包含签名信息。后端服务通过不同的开发语言（例如Java、Go、Python、JavaScript、C 、PHP、C++、C、Android等）进行签名，比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 图 签名密钥流程图 创建签名密钥 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API策略”。 步骤 4 在“策略管理”页面，单击“创建策略”。 步骤 5 选择策略类型，单击“签名密钥”，弹出“创建密钥”对话框。 步骤 6 填写如表 所示信息。 表 密钥信息 信息项 描述 密钥名称 自定义名称，用于识别不同的密钥。 类型 选择签名密钥的认证类型，可选择“HMAC”、“Basic Auth”、“AES”。 签名算法 选择aes的签名算法，包含以下两种： l aes128cfb l aes256cfb Key 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Key。 l Basic Auth：填写basic认证所使用的用户名。 l aes：填写aes认证所使用的密钥key。 l Public Key：填写publickey认证所使用的公钥。 Secret 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Secret。 l Basic Auth：填写basic认证所使用的密码。 l aes：填写aes认证所使用的向量。 l Public Key：填写Public Key认证所使用的私钥。 确认Secret 填写与Secret一致的值。 步骤 7 单击“确定”，完成密钥的创建。

本章节主要介绍创建用户并授权使用分布式消息服务RabbitMQ。 如果您需要对您所拥有的分布式消息服务RabbitMQ服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用分布式消息服务RabbitMQ资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将分布式消息服务RabbitMQ资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用分布式消息服务RabbitMQ服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。 说明 分布式消息服务RabbitMQ服务的权限与策略基于分布式消息服务DMS，因此在IAM服务中为RabbitMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 前提条件 给用户组授权之前，请您了解用户组可以添加的分布式消息服务RabbitMQ系统策略，并结合实际需求进行选择，分布式消息服务RabbitMQ支持的系统策略及策略间的对比，请参见：权限管理。 示例流程 图1 给用户授权RabbitMQ权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予RabbitMQ的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务RabbitMQ，进入RabbitMQ实例主界面，单击右上角“购买RabbitMQ实例”，尝试购买RabbitMQ实例，如果无法购买RabbitMQ实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

此小节介绍数据库安全审计的使用限制 使用限制 在使用数据库安全审计前，您需要了解数据库安全审计的使用限制。 支持的数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持数据库类型及版本如所示。 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 8.0.25 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 8.1 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Cluster V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 GaussDB 1.4企业版 DAMENG DM8 KINGBASE V8 MongoDB V5.0

此小节介绍天翼云数据库安全服务协议 天翼云数据库安全服务协议

本页介绍了网络安全。 文档数据库服务采取了哪些措施来确保数据安全 文档数据库服务是虚拟私有云，从而确保实例与其它业务实现网络安全隔离。 为什么在虚拟私有云中使用文档数据库服务 安全性：在虚拟私有云中部署文档数据库服务可以提供更高的安全性。VPC 提供了网络隔离和访问控制，可以限制数据库实例只对特定的私有网络或子网可见，从而降低了公网暴露的风险。 性能：在虚拟私有云中部署文档数据库服务可以获得更好的性能。VPC 提供了低延迟的网络连接，使得应用程序可以快速地与数据库实例进行通信，从而提高了响应速度和吞吐量。 隔离：使用虚拟私有云可以将文档数据库服务实例隔离在私有网络中，这样其他云资源或虚拟机不会直接访问数据库，避免了资源竞争和干扰，提高了数据库的稳定性和可靠性。 在虚拟私有云中运行文档数据库服务时，如何确保其安全性 网络隔离将文档数据库服务部署在私有网络中，限制数据库实例只对特定的私有网络或子网可见，避免公网暴露，减少外部攻击的风险。 文档数据库服务是否支持选择创建IPV6子网 目前不支持选择IPV6网段的子网，建议您在使用时创建并选择IPV4网段的子网。 怎样在Windows和Linux操作系统中导入根证书 导入Windows操作系统 登陆文档数据库服务控制台，点击实例管理，点击需要证书的实例id进入基本信息，点击下载证书即可。

本章节介绍云密评专区产品的应用场景。 云密评专区具有广泛的应用场景，本文为您介绍云密评专区常见的应用场景。 登录用户身份鉴别 密评中应用与数据安全层面的登录用户身份鉴别要求，应用系统的登录用户使用基于国密数字证书的身份认证服务，满足用户身份真实性要求。 重要数据安全传输 密评中应用与数据安全层面的重要数据传输机密性和完整性要求，应用系统的重要数据在传输前调用云密评专区的数据加解服务、签名服务对数据进行机密性和完整性保护，传输完成后进行解密和验签，保障数据传输过程中的安全性。 重要数据加密存储 密评中应用与数据安全层面的重要数据存储机密性要求，应用系统的重要数据存储到数据库时需要进行加密保存，应用系统调用云密评专区的数据加密服务进行数据加密，把加密后的密文保存到数据库，满足数据存储机密性要求。

本节介绍如何退订云安全中心。 云安全中心支持退订，可通过云安全中心控制台界面、天翼云管理中心发起并完成退订操作。 退订说明 云安全中心退订后，主资源及扩展资源将一同退订；扩展资源不支持单独退订。 成功发起退订后，实例资源将转入冻结状态，冻结期15天。冻结期间，用户配置数据会保留15天， 用户配置的各类数据会继续生效，但用户无法访问云安全中心，15天后资源被释放，释放后无法恢复。 操作步骤 1. 进入天翼云“费用中心 > 订单管理 > 退订管理”页面，找到相应订单，点击“退订”。 2. 进入退订申请页面，确认退订信息，选择退订原因，信息确认无误后勾选“我已确认本次退订金额和相关费用”，点击“退订。 3. 系统提示退订申请提交成功，可前往“订单管理 > 我的订单”，在订单详情页面查看退订进度。 4. 当状态变为退订完成时，订单完成退订。

本小节介绍服务器安全卫士的Agent卸载。 卸载方法 1.登录云平台，进入控制中心“服务器安全卫士”界面，点击订单中的“控制台”，进入服务器安全卫士控制台。 2.选择通用功能服务工具Agent管理，进入Agent管理界面，点击“删除Agent”，即可彻底清除产品中该Agent所有数据信息，显示为"清除数据中"，清除完成后触发统计更新；并下发"Agent卸载"命令，释放"AgentID"。

本章节介绍数据安全中心可以支持的数据源类型 数据安全中心可以支持的数据源类型如下： 数据源 具体的数据源类型 关系型数据库 MySQL、SQLServer、PostgreSQL类型 云搜索服务 大数据资产 对象存储服务 支持200+文件类型 数据仓库服务 —— 弹性云主机 搭建的Mysgl、SalServer、PostgreSQLOracle数据库及ElasticSearch实例 数据湖 大数据资产 其中，数据安全中心与其他云服务的关系详见关联服务。

本文介绍容器安全卫士扩容规则及操作步骤。 扩容说明 扩容节点不支持独立购买，必须在购买主套餐的基础上进行叠加购买；扩容的节点与主套餐绑定，资源到期时间与主套餐一致，不支持单独退订或单独续订。 扩容步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“订单中心”，进入订单信息页面。 3. 单击“立即扩容”，进入扩容页面。 4. 选择扩容的防护节点数。到期时间为主套餐到期时间，扩容时不能更改。 5. 阅读《天翼云容器安全卫士服务协议》后，勾选“我已阅读理解并同意《天翼云容器安全卫士服务协议》”，单击“立即购买”。 6. 进入付款页面，完成付款。

本小节介绍容器安全卫士服务协议，请点击查看。 天翼云容器安全卫士服务协议

本文介绍如何购买云防火墙（原生版）N100实例。 前提条件 已注册天翼云账号并完成实名认证。 操作步骤 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 网络安全 > 云防火墙（原生版）”，进入云防火墙（原生版）产品详情页面。 3. 单击“立即开通”，进入云防火墙（原生版）订购页面。 4. 配置基本信息。 参数名称 参数说明 区域 选择购买云防火墙（原生版）的区域。 可用区 选择购买云防火墙（原生版）的可用区，默认为随机分配。 商品类型 此处选择N100。 版本选择 目前仅支持“高级版”。 虚拟私有云 该下拉选项中展示您在该地域的所有VPC，选择您需要防护的VPC。 由于一个VPC只能购买一个VPC配额，因此已经购买配额的VPC不能重复进行购买。 云防火墙部署子网 可以下拉选择用户该VPC中的子网，展示子网ID和子网网段。 需要在防护的VPC中创建一个子网掩码不大于28的子网网段，在此处选择该子网，用于云防火墙的部署，并确保该子网中不进行任何业务配置，只用于云防火墙的部署。 云防火墙名称 系统会自动为您生成一个名称，您也可以自定义。 名称只能由数字、字母、组成，不能以数字和开头、以结尾，且长度为2~63字符。 部署架构 支持“单机”和“主备”两种架构。 公网流量处理能力 公网流量处理能力是指云防火墙可防护的互联网边界流量峰值，建议与您业务的公网带宽保持一致。 说明 支持选择100 Mbps、200 Mbps、2 Gbps，暂不支持扩容。 5. 配置承载云防火墙N100实例的云主机规格。 参数 说明 规格 根据所选公网流量处理能力，最低规格要求如下： 100 Mbps：规格大于等于2U4G，基准带宽大于等于100 Mbps。 200 Mbps：规格大于等于2U4G，基准带宽大于等于200 Mbps。 2 Gbps：规格大于等于4U8G，基准带宽大于等于2 Gbps。 注意 如果所选云主机规格低于最低规格要求，则可能会影响云防火墙性能。 购买数量 购买数量根据所选部署架构进行确定，不支持修改。 部署架构选择“单机”时，云主机“购买数量”为1。 部署架构选择“主备”时，云主机“购买数量”为2。 6. 为云防火墙N100实例的云主机绑定弹性IP。可以使用已有的弹性IP，或者单击“购买”，购买新的弹性IP。 部署架构选择“单机”时，只需要1个弹性IP。 部署架构选择“主备”时，需要2个弹性IP。 7. 选择“购买时长”，可拖动时间轴设置购买时长。 8. 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 9. 参数配置完成后，单击“立即购买”。 10. 确认配置参数和配置费用后，阅读《天翼云云防火墙（原生版）服务协议》，并勾选“我已阅读，理解并同意《天翼云云防火墙（原生版）服务协议》“，单击“立即购买”。 11. 进入“付款”页面，完成付款。

本小节介绍容器安全卫士服务等级协议，请点击查看。 天翼云容器安全卫士服务等级协议

本节为您介绍数据安全中心如何保护您的个人数据。 数据安全中心DSC通过控制个人数据访问权限，以及记录操作日志等方法防止个人数据泄露，可以使您的个人数据（如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，保证您的个人数据安全。 个人信息收集范围 数据安全中心DSC收集及产生的个人数据如下： 类型 收集方式 是否可以修改 是否必须 用户ID 在控制台进行任何操作时Token中的用户ID 在调用API接口时Token中的用户ID 否 是，用户ID是用户的身份标识信息。 数据库密码 用户在控制台自行填入 是 是，对数据库数据进行扫描、脱敏和注入水印时，DSC需使用数据库密码联通数据库，获取数据。 数据存储方式 租户ID不属于敏感数据，明文存储。 数据库密码：加密存储。 数据访问权限 用户只能查看自己业务的相关日志。 审计日志记录 用户个人数据的所有操作，包括修改、查询和删除等，数据安全中心DSC都会记录审计日志并上传至云审计服务（CTS），用户可以并且仅可以查看自己的审计日志。

本文主要介绍对象存储的定义。 服务简介 对象存储（Object Storage Service，OBS），简称天翼云OBS，是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力，包括：创建、修改、删除桶，上传、下载、删除对象等。支持S3协议，部分节点支持文件语义、HDFS协议。OBS系统和单个桶都没有总数据容量和对象/文件数量的限制，为用户提供了超大存储容量的能力，适合存放任意类型的文件，适合普通用户、网站、企业和开发者使用。 OBS是一项面向Internet访问的服务，提供了基于HTTP/HTTPS协议的Web服务接口，用户可以随时随地连接到Internet的电脑上，通过OBS管理控制台或各种OBS工具访问和管理存储在OBS中的数据。此外，OBS支持SDK和OBS API接口，可使用户方便管理自己存储在OBS上的数据。OBS实现了在多区域部署基础设施，具备高度的可扩展性和可靠性，用户可根据自身需要指定区域使用OBS，由此获得更快的访问速度和实惠的服务价格。 产品架构 OBS的基本组成是桶和对象。 桶是OBS中存储对象的容器，每个桶都有自己的存储类别、访问权限、所属区域等属性，用户在互联网上通过桶的访问域名来定位桶。 对象是OBS中数据存储的基本单位，一个对象实际是一个文件的数据与其相关属性信息的集合体，包括Key、Metadata、Data三部分： Key：键值，即对象的名称，为经过UTF8编码的长度大于0且不超过1024的字符序列。一个桶里的每个对象必须拥有唯一的对象键值。 Metadata：元数据，即对象的描述信息，包括系统元数据和用户元数据，这些元数据以键值对（KeyValue）的形式被上传到OBS中。 系统元数据由OBS自动产生，在处理对象数据时使用，包括Date，Contentlength，Lastmodify，ETag等。 用户元数据由用户在上传对象时指定，是用户自定义的对象描述信息。 Data：数据，即文件的数据内容。 天翼云针对OBS提供的REST API进行了二次开发，为您提供了控制台、SDK和各类工具，方便您在不同的场景下轻松访问OBS桶以及桶中的对象。当然您也可以利用OBS提供的SDK和OBS API，根据您业务的实际情况自行开发，以满足不同场景的海量数据存储诉求。

本文为您介绍Windows弹性云主机远程连接没有声音问题的处理方法。 故障描述 购买Windows弹性云主机后，通过MSTSC远程连接，发现没有声音。通过MSTSC远程连接的Windows弹性云主机如何播放音频？ 约束限制 本节内容适用于Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019系统的弹性云主机。 故障原因 Windows弹性云主机默认禁用音频设备，导致无法通过远程桌面的方式使用音频设备。如需播放音频、使用多媒体音频功能，可参见本节内容进行设置。 解决步骤 第1步：启动Windows Audio服务 1. 打开“运行”窗口。 2. 输入“services.msc”，打开“服务”。 3. 找到“Windows Audio”服务，并按如下方式设置。 启动类型：自动 服务状态：启动 以Windows 2016操作系统为例，如下图所示。 第2步：开启音频和视频播放功能 操作系统不同， “音频和视频播放”功能开启方法不同。 Windows 2008系统 1. 启用RDPTCP的“音频和视频播放”以及“录制音频”。 a. 打开“远程桌面会话主机配置”控制台。 打开“开始”菜单，选择“控制面板”。 单击右上角的“查看方式”下拉菜单，选择“类别”。 选择“系统和安全 > 管理工具 > 远程桌面服务 >远程桌面会话主机配置”。 b. 取消勾选“音频和视频播放”、“录制音频”。 在“连接”列表里面双击“RDPTcp”，选择“客户端设置”，取消勾选“音频和视频播放”和“录制音频”，如下图所示。 c. 单击“确定”，激活音频设备。 2. 重启弹性云主机并登录。 重启弹性云主机后，声卡的标识依旧是显示音频服务未运行。这是因为服务未开启，操作开启音频服务后如下图所示。 3. 打开网页播放音乐，即可验证播放音频成功。 以Windows 2016为例，如下所示： a. 打开“运行”窗口。 b. 输入 gpedit.msc，打开“组策略”。 c. 依次单击“计算机配置 > 管理模版 > windows 组件 >远程桌面服务 > 远程桌面会话主机 > 设备和资源 重定向”，打开“允许音频和视频播放重定向”。 d. 选择“已启用”，按“应用”确定。 e. 打开“运行”窗口，执行以下命令，刷新组策略。

本节主要介绍如何查看资产信息。 操作场景 在资产管理页面，可以查看资产的名称、类型、防护状态等信息。 前提条件 已完成资产订阅。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. （可选）首次查看需要设置资产订阅，如果已订阅，请跳过该步骤。 态势感知（专业版）只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后，资产信息将在每天自动晚上进行更新。 说明 仅支持订阅和同步云上资产。同时，不建议同一个区域的资产订阅至多个工作空间。 1. 在资产管理页面中，单击页面右上角“资产订阅设置”，右侧弹出订阅资产设置页面。 2. 在订阅资产设置页面中，在需要订阅资产所在的region所在行“是否开通”列开启订阅。 3. 单击页面右下角的“确认”。 订阅后，资产信息将在每天晚上自动进行更新。 6. 在资产管理页面查看资产的详细信息。 如需查看指定类型资产信息，如主机资产，请选择“主机资产”页签进行查看。当前支持分类查看的资产类别有“主机资产”、“网站”、“数据库”、“VPC”、“EIP”、“设备”。“全部资产”页签查看所有资产。 部门及业务系统：该页签汇聚了资产所对应的“部门”及“业务系统”信息。 在资产列表中下方可以查看资产总条数。其中，使用翻页查看时最多可查看10000条资产信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 如果需要查看某个资产的更多详细信息，可以先选择待查看资产所属类型，然后再在对应资产类型页面中单击资产名称，进入资产详情页面进行查看。 例如，需要查看某个主机资产的详细信息，请选择“主机资产”页签，再在主机资产页面中，单击目标主机资产名称，进入目标主机资产详情页面。 在资产详情页面，可以查看资产相关的环境信息、资产信息和网络信息等信息。 在资产详情页面，可以对资产的责任人、业务系统和部门信息进行编辑，还可以绑定或解绑资产。

本文为您介绍组成TeleDB管控数据管理服务的元数据管理、查询窗口、数据导入导出、慢查询分析、容量评估、会话管理和锁分析功能等模块。 TeleDB管控数据管理服务由元数据管理、查询窗口、数据导入导出、慢查询分析、容量评估、会话管理和锁分析功能等模块组成。它旨在为企业提供一套全面的数据管理解决方案，包括数据的存储、访问、分析和安全等核心环节。通过TeleDB管控数据管理模块，企业可以实现对数据的集中式管理和存储，从而简化了数据的访问和检索过程。 元数据管理模块 ：提供对实例、数据库、模式、表和可编程对象等各级数据库对象的元数据管理，在数据库的创建、编辑、删除等常规操作需提供界面化操作支持，可以实时同步数据库的元数据信息。 查询窗口模块 ：数据库开发者常用功能，提供功能丰富的SQL输入框，包括语法提示、脚本保存以及结果集的返回，支持对结果集进行界面可视化编辑进行数据更新。 数据导入导出模块 ：支持多种文件格式的数据导入到数据库，以及从数据库中导出数据。支持的文件格式为：sql、txt和csv。支持不同层级的数据导入导出，分别支持库/模式以及表级的数据导出。同时，也支持不同层级数据库对象的结构导出。 慢查询分析 ：慢查询统计、索引推荐主要和管控实例交互获取，慢查询分析、语句优化主要和业务实例交互获取，性能容量评估操作建议可联动慢查询分析，进行服务调用，实例元数据为服务入口，Agent代理主要用作网络跨区服务，ZooKeeper主要负责服务注册及发现的功能。 性能容量评估 ：性能容量评估的监控指标数据主要和管控实例交互获取，实例元数据为服务入口，Agent代理主要用作网络跨区服务，ZooKeeper主要负责服务注册及发现的功能。 会话管理 ：会话管理通过业务实例获取全局会话和异常会话的信息，并提供部分会话、全部会话的终止功能，实例元数据为服务入口，Agent代理主要用作网络跨区服务，ZooKeeper主要负责服务注册及发现的功能。 锁分析： 锁分析通过管控实例获取到业务实例最近一次发生死锁的信息，获取到死锁的事务环信息和回滚的事务信息并展示说明，实例元数据为服务入口，Agent代理主要用作网络跨区服务，ZooKeeper主要负责服务注册及发现的功能。

本页介绍了分布式融合数据库HTAP的创建实例流程。 详细的创建实例过程能够帮助您更好的开始使用天翼云分布式融合数据库HTAP产品。 操作场景 本节将介绍分布式融合数据库HTAP的创建实例过程。 分布式融合数据库HTAP支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。 注意事项 分布式融合数据库HTAP的性能，取决于用户订购分布式融合数据库HTAP时所选择的配置。可供用户选择的硬件配置为性能规格、存储类型以及存储空间等。 操作步骤 1. 登陆天翼云官网。 2. 选择“产品 > 数据库 > 分布式融合数据库HTAP”，进入分布式融合数据库HTAP 产品详情页面，点击【立即开通】。 3. 进入开通页面，选择或输入实例的相关配置信息。 其中基础配置包括计费模式、区域、引擎类型、版本和可用区，可用区可以选择1个或者3个。 实例规格包括配置模板、性能类型、各节点规格及数量。 配置模板给出了入门配置和标准配置两种建议，您也可以自定义配置。 性能类型有三种，通用型、计算增强型、内存优化型，并可以搭配六代机和七代机使用。 计算节点至少1个，行存节点至少3个，列存节点可以为0个，管理节点固定为3个，监控节点固定为1个。计算节点、行存节点、列存节点可根据需求自定义数量，最大数量不超过50个。 数据备份默认开启，开启数据备份后，至少要添加一个同步节点。若不开启数据备份，则不用添加同步节点。 网络配置包括虚拟私有云、子网、安全组。 数据库设置可以设置实例名称，如果批量订购多个实例，从第二个实例开始，实例名称1，第三个实例名称2。 购买量包括购买时长、购买数量、是否自动续订，最多可以批量购买50个实例。 最后阅读相关产品协议，确认协议内容，同意则勾选协议。 4. 点击【确认订单】跳转到支付页面，可以看到所需开通实例的配置信息，包括开通页面中所选则的配置信息、购买量、资源池及购买时长，确认支付费用，确认无误后点击【立即支付】。 5. 支付成功后返回订单列表页面，能看到实例状态为 “开通中”。稍等一会后，刷新页面，待实例状态显示“已完成”，创建实例成功。

本章节主要介绍集群缩容。 当用户需要的计算或者存储资源超出业务需求时，可在管理控制台对已有集群进行缩容操作，以便充分利用DWS提供的计算资源和存储资源。 缩容对系统的影响 缩容前，需关闭创建了临时表的客户端连接，因为在缩容过程中及缩容成功之前创建的临时表将会失效，操作临时表也会失败。但是缩容后创建的临时表不受影响。 在执行缩容操作后，集群会进行一次自动快照，快照创建成功后进行集群缩容，若用户不想自动创建快照，可以在缩容界面选择取消自动备份功能。 缩容前，需确保倾斜率不超过10%，脏页率没有硬性指标，但对于50G以上的大表，建议倾斜率不要超过20%~30%。 正在缩容的集群禁用重启集群、扩容集群、创建快照、节点管理、智能运维、资源管理、参数修改、安全设置、日志服务、重置数据库管理员密码和删除集群的功能。 离线缩容过程中，应该停止所有业务或运行少量查询语句。表重分布期间会对表加共享锁，所有插入、更新、删除操作和表DDL操作都会长时间阻塞，会出现等锁超时情况。一旦表重分布完成后方可正常访问。在重分布执行过程中，应当避免执行超过20分钟的查询（在重分布执行时申请写锁的默认时间为20分钟）。否则可能导致重分布出现等待加锁超时失败的问题。 在线缩容过程中，表重分布期间用户可以对该表执行插入、更新、删除等操作，但重分布过程仍然会短时间阻塞用户的数据更新操作，会影响用户语句的执行性能。缩容重分布过程会消耗大量的CPU和IO资源，因此会对用户作业性能影响较大，应该尽可能在停止业务或业务轻载的情况下执行缩容重分布。 在线缩容删除节点的瞬间，如果有DDL语句正在执行，例如创建schema或function并发执行，这些DDL可能因为DN不存在而报错，用户重试即可成功。 如果集群缩容失败，数据库不会在后台自动执行缩容回滚操作，此时数据库所有运维操作不可用，需要用户在管理控制台页面上单击缩容按钮来重新执行数据库缩容操作。

功能 说明 缓存过期时间指源站资源在全站加速节点缓存的最大时长，超过该时长，资源将会被全站加速节点标记为已过期。如果客户端请求的资源在全站加速节点上已过期，全站加速节点会回源获取最新资源缓存到全站加速节点上，供其他请求使用。全站加速产品支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 当全站加速节点从源站获取资源时，源站会返回响应状态码，您可在客户控制台上配置状态码过期时间，全站加速节点会将源站返回的状态码缓存在本地，在状态码过期前，客户端若再次向全站加速节点发起相同资源的请求，全站加速节点将直接响应缓存的状态码，不会回源请求，可有效减轻源站服务器的压力。当状态码在全站加速节点上的缓存时间过期后，客户端再次请求该资源将回源请求。 当客户希望在源站响应特殊状态码并携带相关缓存头的情况下，特殊状态码缓存规则按照源站相关缓存头生效，无相关缓存头时才按CDN设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 缓存key是一个文件缓存在全站加速节点上时的唯一标识，缓存文件和缓存key是一对一的关系。通常默认情况下，缓存key为客户端请求的原始URL（带参数）。通过缓存key设置，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。

操作类别 操作 操作影响 RDS for MySQL控制台操作类 删除RDS for MySQL实例 RDS for MySQL实例删除后，DRDS关联该RDS for MySQL实例的逻辑库、逻辑表都无法使用。 RDS for MySQL控制台操作类 切换RDS for MySQL主备实例 切换主备实例可能造成短时间内的RDS for MySQL服务闪断，并有可能在主备同步时延过大的情况下，导致少量数据丢失。 RDS for MySQL实例主备切换过程中，DRDS将无法进行创建逻辑库、创建表等操作。 RDS for MySQL实例主备切换后，DRDS中RDS for MySQL实例ID不变。 RDS for MySQL控制台操作类 重启实例 重启过程中，RDS for MySQL实例将不可用，DRDS业务将会受影响。 RDS for MySQL控制台操作类 重置密码 RDS for MySQL重置密码后，DRDS这边创建逻辑库时输入重置后的密码即可。 RDS for MySQL控制台操作类 修改参数模板 其中如下参数为固定值，如果修改，将会影响DRDS正常运行。 数据表名和序列名称不区分大小写，“lowercasetablenames”固定为“1”。 扩容场景，必须将“localinfile”配置为“ON”。 RDS for MySQL控制台操作类 修改安全组 将导致DRDS服务无法连接RDS for MySQL实例。 RDS for MySQL控制台操作类 修改VPC DRDS实例与RDS for MySQL实例不在同一VPC中将导致无法互通。 RDS for MySQL控制台操作类 恢复 恢复数据可能会破坏数据完整性。 RDS for MySQL客户端类 删除DRDS创建的物理库 删除物理库后，原数据将会丢失，新数据将无法写入。 RDS for MySQL客户端类 删除DRDS创建的物理帐号 删除物理帐号后将无法在DRDS上创建逻辑表。 RDS for MySQL客户端类 删除DRDS创建的物理表 删除物理表后，将导致DRDS数据丢失，DRDS后续无法正常使用该逻辑表。 RDS for MySQL客户端类 修改DRDS创建的物理表名 将导致DRDS无法获取该逻辑表的数据，且后续无法正常使用。 RDS for MySQL客户端类 修改记录 如修改全局表记录，将会影响各分片数据一致性。 RDS for MySQL客户端类 修改白名单 需要确保DRDS服务在RDS for MySQL实例的白名单内，否则DRDS服务将无法访问RDS for MySQL实例。

本章节主要介绍Redis单机实例 DCS Redis单机实例有四个版本选择，Redis3.0、Redis4.0、Redis5.0和Redis6.0。 单机实例特点 1. 系统资源消耗低，支持高QPS 单机实例不涉及数据同步、数据持久化所需消耗的系统开销，因此能够支撑更高的并发。Redis单机实例QPS达到10万以上。 2. 进程监控，故障后自动恢复 DCS部署了业务高可用探测，单机实例故障后，30秒内会重启一个新的进程，恢复业务。 3. 即开即用，数据不做持久化 单机实例开启后不涉及数据加载，即开即用。如果服务QPS较高，可以考虑进行数据预热，避免给后端数据库产生较大的并发冲击。 4. 低成本，适用于开发测试 单机实例各种规格的成本相对主备减少40%以上。适用于开发、测试环境搭建。 总体说来，单机实例支持读写高并发，但不做持久化，实例重启时不保存原有数据。单机实例主要服务于数据不需要由缓存实例做持久化的业务场景，如数据库前端缓存，用以提升数据读取效率，减轻后端并发压力。当缓存中查询不到数据，可穿透至磁盘数据库中获取，同时，重启服务/缓存实例时，可从磁盘数据库中获取数据进行预热，降低后端服务在启动初期的压力。 实例架构设计 DCS的Redis单机实例架构，如下图所示。 说明 Redis3.0不支持定义端口，端口固定为6379，Redis4.0和Redis5.0支持定义端口，如果不自定义端口，则使用默认端口6379。以下图中以默认端口6379为例，如果已自定义端口，请根据实际情况替换。 Redis单机实例示意图 示意图说明： VPC 虚拟私有云。实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与实例处于相同VPC，并且配置安全组访问规则。 客户应用 运行在ECS上的客户应用程序，即实例的客户端。 Redis实例兼容开源协议，可直接使用开源客户端进行连接，关于客户端连接示例，请参考2.2 连接实例。 DCS缓存实例 DCS单机实例只有1个节点，1个Redis进程。 DCS实时探测实例可用性，当Redis进程故障后，DCS为实例重新拉起一个新的Redis进程，恢复业务。

本节介绍服务器安全卫士（原生版）服务协议。 请参见天翼云服务器安全卫士（原生版）服务协议。

本节介绍服务器安全卫士（原生版）服务等级协议。 请参见服务器安全卫士（原生版）服务等级协议。

此小节介绍天翼云数据库安全服务等级。 天翼云数据库安全服务等级协议

接口功能介绍 服务器安全卫士系统，服务器安全卫士数据导出任务取消接口 接口约束 签约服务器安全卫士 URI POST /v1/security/data/cancelTask 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 exportTaskId 否 String 导出任务id SDET20251113154639000000000009936911 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"exportTaskId": "SDET20251113154639000000000009936911"}