本节介绍服务器安全卫士（原生版）网页防篡改相关常见问题。 如何使用网页防篡改（原生版）？ 首先需要根据所需防护的服务器上的网站情况，订购网页防篡改（原生版）配额，每台服务器需订购1个配额。订购成功后，根据您的网站情况进行防护策略的配置，即可开启网页防篡改（原生版）防护服务。 如何绑定网页防篡改防护配额？ 1. 购买成功防护配额后，可在防护配额管理页面查看配额的使用状态、绑定服务器、开通时间、到期时间等信息。 2. 在防护管理页面对需要防护的服务器进行防护设置，在防护设置页面选择防护配额，即可进行绑定。详细操作请参见防护管理。 为什么要添加防护目录？ 通常攻击者对网站发起攻击都会恶意篡改网页目录中的文件，因此需要添加网站防护目录，网页防篡改（原生版）才能实时监控，发现篡改行为后可以立即告警并自动恢复。 设置防护目录操作步骤如下： 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护管理”，进入防护管理页面。 3. 在列表中选择要进行防护设置的服务器，单击操作列的“防护设置”，进入防护设置页面。 4. 绑定防护配额：选择需要绑定的配额后，单击“配置防护策略”。 若已经绑定防护配额，可直接进入篡改防护设置页面。 5. 篡改防护设置：包括配置防护目录、设置特权进程、设置远端备份。 配置防护目录：防护目录分为添加白名单和添加黑名单两种模式，可根据实际使用场景进行配置。 白名单模式：会对添加的防护目录和文件类型进行保护。 黑名单模式：会防护目录下所有未排除的子目录、文件类型和指定文件。 其他配置 ：请参见防护管理。 完成防护设置后，用户即可对服务器开启网页防篡改防护。

数据安全专区数据脱敏能力具有广泛的数据库支持、出色的性能和良好的可扩展性。它采用独特的脱敏与水印/溯源算法，能够高效处理敏感数据，实现去标识化和匿名化。多种处理方式如固定值替换、置空、乱序、保留统计特征等确保了在不改变现有业务逻辑的前提下，脱敏后的数据仍能保留原有业务逻辑特征。 数据安全专区支持软硬件一体机或虚拟化部署（保证与生产环境和开发 第三方测试环境前后路由可达即可）。生产库中的原始数据，经过数据脱敏清洗后离线分发至测试环境，所有敏感数据全部在内存中处理，可保证整个环节敏感数据不落地。 主要功能 敏感数据自动发现 数据脱敏系统内置多种发现规则，支持基于数据内容的识别，不仅依赖于用户的元数据管理系统、字段名或字段注释等信息。支持用户基于自身需求自定义规则，实现对敏感数据的自动发现和标识。 同时数据脱敏系统可和数据分级分类平台进行对接，可基于行业或法律法规对敏感数据进行分类分级与梳理，便于用户按照不同级别进行脱敏算法的配置，有效避免数据的过度保护。 支持采用随机采样的方式，在采样的过程中过滤空值及脏数据。如在业务初期数据逻辑定义不规范往往会产生较多脏数据，而传统的敏感数据检索方式通常是简单过滤表中前若干条数据，无法有效避免此类脏数据的干扰。数据脱敏系统的随机采样是基于表总行数进行随机抽取，可有效避免脏数据的干扰，提高敏感数据识别的准确性。数据发现算法除常规的正则表达式、字典等，还加入了NLP算法，开箱即用70多种通用敏感字段识别算法，大幅提升了对敏感数据内容的识别和处理能力。有效避免敏感数据的误报、漏报。

安装Agent后，您才能开启数据库安全审计功能，对待审计的数据库进行审计。本节介绍如何在Windows操作系统上安装Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 已获取Windows操作系统Agent安装包。 安装Agent节点的运行系统满足Windows系统版本要求。 安装Agent 1. 在Windows主机安装“Npcap”软件。如果该Windows主机已安装“Npcap”，请执行步骤2。如果该Windows主机未安装“Npcap”，请执行以下步骤： 请前往 将下载好的npcap xxxx .exe软件安装包上传至需要安装agent的虚拟机。 双击npcap软件安装包。 在弹出的对话框中，单击“I Agree”，如图所示。同意安装“Npcap” 在弹出的对话框中，单击“Install”，不勾选安装选项，如图所示。安装“Npcap” 在弹出的对话框中，单击“Next”。 单击“Finish”，完成安装。 2. 以“Administrator”用户登录到Windows主机。 3. 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 4. 进入Agent安装包所在目录，并解压缩安装包。 5. 进入解压后的文件夹，双击“install.bat”执行文件。 6. 安装成功，界面如图417所示，按任意键结束安装。 7. 安装完成后，在Windows任务管理器中查看“dbssauditagent”进程。如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

本章主要介绍翼MapReduce的修改Kerberos管理员密码功能。 操作场景 管理员应定期修改Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改此用户密码将同步修改OMS Kerberos管理员密码。 前提条件 已在集群内的任一节点安装了客户端，并获取此节点IP地址。 操作步骤 1.以root用户通过节点IP地址登录安装了客户端的节点。 2.执行以下命令，切换到客户端目录，例如“/opt/hadoopclient”。 cd /opt/hadoopclient 3.执行以下命令，配置环境变量。 source bigdataenv 4.执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!?,.;'(){}[]/<>@$%^&+。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为密码策略配置中“重复使用规则”的值。

本章节主要介绍数据治理中心的约束与限制。 浏览器限制 您需要使用支持的浏览器版本登录DataArts Studio。 表1 浏览器兼容性 浏览器版本 建议版本 建议操作系统 备注 Google Chrome 115，114，113 Windows 10 分辨率最佳可视范围为最小1366768px，最大为19201080px。其中19201080px为最佳显示分辨率，界面自适应为最优显示。 使用限制 使用DataArts Studio前，您需要认真阅读并了解以下使用限制。 表2 DataArts Studio使用限制一览表 组件 约束限制 公共 DataArts Studio基于数据湖底座提供数据一站式集成、开发、治理等能力，本身不具备存储和计算的能力，需要配合数据湖底座使用。 每个企业项目下最多绑定一个DataArts Studio实例。当企业项目下已绑定实例时，再次创建实例会失败。 DataArts Studio各组件对不同数据源的支持程度不一，您需要按照您的业务需求来选择数据湖底座。DataArts Studio平台当前支持的数据湖产品请参见“DataArts Studio用户指南 > 管理中心 > DataArts Studio支持的数据源”。 管理中心 由于管理中心的限制，数据治理各组件（如数据架构、数据质量、数据目录等）暂不支持包含中文和“.”字符的库表名。 建议为管理中心数据连接的Agent和CDM迁移作业规划相互独立的CDM集群，避免双方使用同一集群，导致业务高峰期时资源抢占引起业务不可用。 CDM集群作为管理中心数据连接Agent时，单集群无法连接多个MRS安全集群。建议您按照业务情况规划多个Agent与MRS安全集群一一映射。 CDM集群作为管理中心数据连接Agent时，单集群的并发活动线程最大为200。即当多个数据连接共用同一Agent时，通过这些数据连接提交SQL脚本、Shell脚本、Python脚本等任务的同时运行上限为200，超出的任务将排队等待。建议您按照业务量情况规划多个Agent分担压力。 单工作空间允许创建的数据连接个数最多200个。 管理中心相关开放API并发限制为100qps。 数据集成 CDM作业支持自动备份和恢复，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据集成 > 管理作业 > 作业配置管理”章节。 CDM作业本身无配额限制，但建议作业数不超过CDM集群的vCPU核数2，否则作业运行性能可能会受到一定影响。 数据集成CDM集群为单集群部署，集群故障可能会导致业务、数据损失。建议您使用数据开发作业CDM Job节点调用CDM作业，并选择两个CDM集群以提升可靠性。详情请参见用户指南中“数据开发 > 节点参考 > CDM Job”章节。 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 在驱动更新场景下，上传驱动后必须在CDM集群列表中重启集群才能更新生效。 单作业的抽取并发数取值范围为1300，集群的总抽取并发数取值范围为11000。其中集群最大抽取并发数的设置与CDM集群规格有关，并发数上限建议配置为vCPU核数2，作业的抽取并发数建议不超过集群的总抽取并发数，过高的并发数可能导致内存溢出，请谨慎修改。 关于数据集成中的更多约束限制，请参考用户指南中“数据集成> 约束与限制”章节。 数据开发 数据开发脚本、作业等资产支持备份管理，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据开发 > 运维调度 > 备份管理”章节。 脚本、作业或节点的历史运行记录依赖于OBS桶，如果未配置测试运行历史OBS桶，则无法查看历史运行的详细信息。 上传资源时，如果资源位置为HDFS，则只支持MRS Spark，MRS Flink Job，MRS MapReduce节点使用该资源。 单工作空间允许创建的脚本个数最多1万个，脚本目录最多5000个，目录层级最多为10层。 单工作空间允许创建的作业个数最多1万个，作业目录最多5000个，目录层级最多为10层。 RDS SQL、DWS SQL、HIVE SQL、SPARK SQL、DLI SQL脚本执行结果页面展示最多1千条，且数据量少于3MB。超过1千条数据可以使用转储功能，转储最多支持1万条。 实例监控、补数据监控只能展示最近6个月的数据。 通知记录只能展示最近30天的数据。 下载中心的下载记录会每7天做老化处理，老化时下载中心记录和已转储的OBS数据会同时被删除。 数据架构 数据架构当前支持关系建模和维度建模（仅支持星形模型）这两种建模方式。 数据架构支持最大导入文件大小为4Mb；支持最大导入指标个数为3000个；支持一次最大导出500张表。 码表和数据标准的根目录下禁止直接创建码表和数据标准。 单工作空间中创建各类对象的配额如下： l主题5000个。 l数据标准目录500条，个数20000个。 l业务指标100000个。 l原子指标、衍生指标、复合指标各5000条。 配置中心中各类对象的自定义项配额如下： l主题自定义项10条。 l表自定义项30条。 l属性自定义项10条。 l业务指标自定义项50条。 数据质量 数据质量作业执行时长依赖数据引擎，如果底层数据引擎资源不足，可能会导致运行速度变慢。 单个数据质量作业最多可以配置50条规则，如有需要可拆分为多个质量作业。 单个数据连接上的质量作业关联SQL的并发数默认为1000，如果超出则等待排队执行。可配置范围101000。 单Region内的质量作业关联SQL的并发数为10000，如果超出则等待排队执行。 业务指标监控模块总览中的实例运行状态和实例告警状态支持按照7天展示，告警趋势、业务看板、指标看板支持按照7天、15天和30天展示。 数据质量监控模块总览中的变化趋势支持按照30天展示，质量告警分类趋势和规则数量趋势支持按照7天展示。 质量报告采用T+1日定时批量生成，质量报告数据保留90天。 导出质量报告至OBS，会将质量报告导出到工作空间中配置的作业日志OBS路径中，导出记录保留3个月。 数据目录 单工作空间中元数据采集任务最多创建100个。 元数据采集任务通过执行引擎相关的DDL SQL获取，不建议单个任务采集超过1000张表。如有需要可拆分为多个采集任务，另外调度时间和频次也需要根据业务需要进行合理设置，避免对引擎造成较大的访问和连接压力，设置建议如下： l若业务对元数据时效性要求为1天，则设置调度周期max(1天，单次采集周期时间)，其他情况同理。 l若业务压力集中在白天，则设置调度时间在夜间，其他情况同理，选择数据源压力最小的时间段。 数据血缘的产生依赖于数据开发中调度运行的作业，测试运行的作业不会产生血缘。 元数据采集模块总览中的数据连接历史统计支持按照7天、15天和30天展示。 数据服务 数据服务共享版仅供开发测试使用，专享版性能优于共享版，推荐使用数据服务专享版。 DataArts Studio实例下最多支持创建5个数据服务专享版集群，且集群需要与某个工作空间绑定，不能多空间共用同一集群。 数据服务专享版集群创建后暂不支持修改规格或升级版本。 DataArts Studio实例下支持创建的专享版API最大数量由数据服务专享版API总分配配额（默认为5000）和当前实例下集群的API规格总和共同决定，取较小的作为限制。例如，某DataArts Studio实例下的数据服务专享版API总分配配额为5000，已分别创建了API规格为500和2000的两个集群，则当前实例下支持创建的专享版API最大数量为2500。 单工作空间下支持创建的专享版API最大数量由数据服务专享版API已分配配额（通过编辑工作空间信息分配）和当前空间下集群的API规格总和共同决定，取较小的作为限制。例如，某工作空间下的数据服务专享版API已分配配额为800，当前工作空间下已创建了API规格为500的两个集群，则当前工作空间下支持创建的专享版API最大数量为800。 单工作空间下支持创建的应用数量为1000。 单工作空间下支持创建的流控策略数量为500。 数据服务支持跟踪并保存事件。对于每个事件，数据服务会报告事件发生日期、说明、时间源（某个集群）等信息，事件保存时长为30天。 数据服务专享版日志信息仅查询集群最近100条访问记录，均分至集群全部所属节点中获取。 总览中的调用趋势、发布趋势、调用比率 top5、调用时间 top5和调用次数 top5支持按照近12小时、近1天、近7天和近30天展示，总调用数为前7天数据总和（不含当天）。

本章节主要介绍云硬盘备份产品的优势。 简单易用 操作简单，3步完成备份配置，无需具备专业的备份软件技能。相比传统备份系统，无需关心备份服务器、备份存储的规划、扩容。 灵活高效 基于策略的自动备份，满足各种备份场景需求。永久增量备份，增量恢复，备份窗口短，恢复时间目标（RTO）达分钟级。 经济实惠 采用永久增量备份，首次备份为全量备份，后续备份均为增量备份，备份数据占用空间少。备份存储资源弹性伸缩，按量付费。 安全可靠 数据自动加密保存到对象存储中，数据持久性高达99.999999999%（11个9），远高于传统备份系统。

本小节介绍日志审计(原生版)术语解释。 日志采集 实现第三方安全设备、网络设备、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志采集。 日志存储 实现原始日志、范式化日志的存储，可定义存储周期。 日志检索 实现全文、keyvalue、括弧、正则、模糊等检索方式；支持保存检索、从已保存的检索导入见多条件。 可视化统计 实现趋势图、折线图、柱状图、饼图、表格等统计项展示。 事件告警 自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则，实现时间的查询、查询结果统计以及统计结果的展示。

此小节介绍AntiDDoS流量清洗的应用场景。 AntiDDoS对公网IP提供不超过5Gbps流量的DDoS攻击防护。 对大于5Gbps的流量，系统会进行自动限流措施（正常访问流量会丢失）；对于正常业务流量超过5Gbps流量的应用，建议用户自主购买第三方清洗中心服务，从第三方获取报表。 AntiDDoS设备部署在机房出口处，网络拓扑架构如下图所示。 检测中心根据用户配置的安全策略，检测网络访问流量。当发生攻击时，将数据引流到清洗设备进行实时防御，清洗异常流量，转发正常流量。

本文介绍准入管控的功能和配置方法。 功能说明 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 配置说明 主要常用策略条件如下： 是否开启指定软件：如内置防火墙是否开启、是否运行指定的杀毒软件等。 访问行为是否异常：根据用户平时行为进行记录分析，判断是否存在异常，如是否在异常时间登录、异常地点、异常的访问IP地址等。 终端环境是否符合企业要求：根据设定的终端环境条件进行判断，如mac地址、IP地址、访问地点、访问时间等。 支持配置对应的策略生效范围，可选按用户范围，按组织范围，按用户组范围三种模式进行范围圈选。 支持配置对应的策略处置动作，若检测到策略范围内的账号匹配到对应的准入管控策略，将实时下发处置动作到对应账号设备。 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服进行处理。

本章节主要介绍修改OMS数据库数据访问用户密码。 操作场景 该任务指导用户定期修改OMS数据库访问用户的密码，以提升系统运维安全性。 对系统的影响 修改密码需要重启OMS服务，服务在重启时无法访问。 操作步骤 在MRS Manager单击“系统设置”。 1. 在“权限配置”区域下，单击“OMS数据库密码修改”。 2. 在omm用户所在行，单击“操作”列下的“修改密码”，修改OMS数据库密码。 密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];:", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 不可与前20个历史密码相同。 3. 单击“确定”，等待界面提示“操作成功”后单击“完成”。 4. 在omm用户所在行，单击“操作”列下的“重启OMS服务”，重启OMS数据库。 说明 如果修改了密码但未重启OMS数据库，则omm用户的状态变为“Waiting to restart”且无法再修改密码，直到重启OMS数据库 5. 在弹出的对话框中，勾选“我已阅读此信息并了解其影响。”，单击“确定”，重新启动OMS服务。

参数 说明 上传目录位置 可选当前目录或指定目录 读写权限 继承Bucket：对象的读写权限与Bucket的读写权限一致。 私有：仅对象的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该对象的读权限，为确保您的数据安全，不推荐此配置。 文件大小限制 单次最多支持100个文件上传，单个文件最大5GB。 文件上传规则限制 文件名称区分大小写。 文件名长度必须在11023字节之间。 除非以文件夹形式上传，否则文件名中不能包含/ 或 字符。 Bucket 下若存在同名文件，将被新上传的文件覆盖。

参数 说明 上传目录位置 可选当前目录或指定目录 读写权限 继承Bucket：对象的读写权限与Bucket的读写权限一致。 私有：仅对象的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该对象的读权限，为确保您的数据安全，不推荐此配置。 文件大小限制 单次最多支持100个文件上传，单个文件最大5GB。 文件上传规则限制 文件名称区分大小写。 文件名长度必须在11023字节之间。 除非以文件夹形式上传，否则文件名中不能包含/ 或 字符。 Bucket 下若存在同名文件，将被新上传的文件覆盖。

名称 二级节点 三级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 返回结果 pageNum Integer 当前页 pageSize Integer 页大小 pageTotal Integer 页码总数 total Integer 总记录数 list Array 记录 username String 数据库账号名称。 rolsuper Boolean 用户是否具有超级用户权限。 rolinherit Boolean 用户是否自动继承其所属角色的权限。 rolcreaterole Boolean 用户是否支持创建其他子用户。 rolcreatedb Boolean 用户是否可以创建数据库。 rolcanlogin Boolean 用户是否可以登录数据库。 rolconnlimit Integer 用户连接实例的最大并发连接数。1表示没有限制。 rolreplication Boolean 用户是否属于复制角色。 rolbypassrls Boolean 用户是否绕过每个行级安全策略。

本节介绍如何查看防护容器的下线通知和删除服务通知。 消息中心页面提供防护容器的下线通知和删除服务通知，以便用户及时恢复防护容器。 查看消息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“消息中心”，进入消息中心页面。 3. 支持查看“服务信息”和“删除服务”类消息。 标记已读 在消息中心页面，阅读消息后，可以勾选多条消息后，单击“标记已读”，在弹出的对话框中，可以选择“全部标记已读”或只对当前选择项标记已读，选择完成后，单击“确认”。

本文介绍如何免密拉取CRS镜像。 对于天翼云容器镜像服务CRS的镜像，弹性容器实例ECI支持免密拉取，以提升效率和安全性。 前提条件 1. 账号已经在容器镜像服务创建个人版或者企业版镜像仓库，并完成配置且上传所需的容器镜像。容器镜像仓库服务文档参考：容器镜像服务文档。 2. 集群已安装插件cubecredentialhelper。 配置说明 创建工作负载时“选择镜像”，弹出的镜像选择页面选择所需镜像，即可实现自动免密拉取。

本文介绍实时云渲染的产品优势。 简单易用 用户通过一个平台、三个步骤（上传应用发布应用访问链接）即可获取渲染成果。通过连接即可分享渲染成果，多终端可访问，提升协作效率。 安全可靠 实时云渲染平台渲染成果通过视频流方式分享外链进行访问，有效保护模型作品版权。支持多种音视频传输协议（画面文字ＷebRTC、RTP、SRT、websocket等协议），降低延时，优化丢包率和带宽波动带来的影响。 极致体验 天翼云具有数以千计的边缘节点，基于智能调度算法，按需调度GPU算力资源供就近业务进行渲染，提供毫秒级时延服务；通过业务级算力复用，提升GPU资源使用效率，降低用户使用成本。

本小节介绍服务器安全卫士风险发现中查看执行记录方法。 查看方法 总览界面提供对执行的各类风险扫描查看其执行情况。点击总览界面中的“更多”按钮，选择“查看执行记录”，可查看执行记录列表。 查看失败主机详情 每条记录支持对失败主机的详情进行查看，点击“失败主机详情”按钮可查看失败主机列表。 查看弱密码进度 弱密码额外提供对进度的查看，点击执行内容为弱密码扫描记录中的“弱密码进度”按钮，可查看弱密码执行进度情况。

总览界面可对主机发起各类型风险的扫描。本小节介绍服务器安全卫士的风险发现。 提供以下几类扫描方式：全部扫描、按业务组扫描、按主机IP扫描。 1.点击“全部扫描”按钮，可对全部主机进行全部风险的扫描。 2.点击“全部扫描”按钮旁的下拉按钮，选择“按业务组扫描”，可对选择的业务组进行全部风险的扫描。 3.点击“全部扫描”按钮旁的下拉按钮，选择“按主机IP扫描”，可对选择的主机进行全部风险的扫描。

本文介绍接入DDoS高防（边缘云版）域名无法访问的问题现象及问题原因。 问题现象 1、使用DDoS高防（边缘云版）后网站访问出现异常状态码，例如，403，404，5XX。 2、使用DDoS高防（边缘云版）后网站访问URL时出现空白页面。 3、使用DDoS高防（边缘云版）后网站出现其他异常错误。 问题原因 使用DDoS高防（边缘云版）后网站无法访问可能有多种原因。以下是一些常见的原因： 1、DNS解析问题：将域名解析到CDN时出现CNAME错误。 2、网站配置问题：域名的网站配置可能存在问题，导致无法正常访问网站。 3、SSL证书问题：如果您的网站启用了HTTPS协议，请确保域名在DDoS高防（边缘云版）控制台上正确配置了HTTPS证书，并且证书没有过期或损坏。 4、防火墙或安全策略限制：某些源站防火墙或安全策略可能会干扰DDoS高防（边缘云版）的正常回源。 解决方案 1、DNS解析问题：您可以通过ping、nslookup、dig等命令检查域名的DNS解析设置，确保解析结果和DDoS高防（边缘云版）控制台上该加速域名的CNAME值一致。 2、网站配置问题：您可以在DDoS高防（边缘云版）控制台–【域名接入】【网站配置】中检查您的域名配置是否正确。 3、SSL证书问题：您可以在DDoS高防（边缘云版）控制台–【证书管理】中上传更新您的证书。 4、防火墙或安全策略限制：您可以检查您的服务器设置、CDN配置以及网络设备设置，确保没有任何阻止DDoS高防（边缘云版）回源访问的规则或策略。 如果您不确定是边缘节点还是源站的问题，可参考文档：如何确认访问异常是边缘节点问题还是源站问题 进行排查。 除以上可能的原因，您还可以参考以下操作进行处理： 如果访问防护域名返回403状态码，详情请见：访问防护域名响应403状态码。 如果访问防护域名返回404状态码，详情请见：访问防护域名响应404状态码。 如果访问防护域名返回5XX状态码，详情请见：访问防护域名响应5XX状态码。 在使用CDN加速后网站访问URL时出现空白页面，详情请见：访问URL时出现空白页面。 如果以上解决方法均无效，建议您通过提交工单联系天翼云客服帮助您解决问题。

问题现象 开通服务网格后控制面服务没有正常启动，报错信息如下： message: 'Internal error occurred: failed calling webhook "cosignwebhook.kubesystem.svc": failed to call webhook: Post " x509: certificate is valid for cosignwebhook, cosignwebhook.default, cosignwebhook.default.svc, not cosignwebhook.kubesystem.svc' 问题原因 由于在云容器引擎集群开启了cubesign插件，该插件会对集群中部署的镜像做签名验证，提升系统安全性。服务网格控制面组件镜像不会使用cubesign签名，因此部署会因为签名校验而失败。 解决方案 关闭云容器引擎集群cubesign插件，重新部署网格控制面服务。

API变更与弃用 在Kubernetes1.30版本中，kubectl移除了apply命令的prunewhitelist参数，使用pruneallowlist替代。 在Kubernetes1.30版本中，移除了在1.27版本已废弃的准入插件SecurityContextDeny，使用安全性准入插件（PodSecurity）替代。 CCE对Kubernetes 1.30版本的增强 在版本维护周期中，CCE会对Kubernetes 1.30版本进行定期的更新，并提供功能增强。 参考链接 关于Kubernetes 1.30与其他版本的性能对比和功能演进的更多信息，请参考：Kubernetes 1.30 Release Notes

步骤 步骤说明 参考链接 1.资产识别 资产管理主要对全网资产进行统一梳理和统计，主要包括数据库资产管理、元数据管理、接口资产管理等。 资产管理 2.风险分析 敏感数据链路刻画模块用于展示数据源、应用系统、访问源之间的访问链接图谱。 风险分析 3.监测预警 监测预警功能是对平台接收的原始日志与告警日志进行查询检索以进行风险分析溯源。 查询分析 4.响应处理 可对告警分析、安全事件、风险隐患、工单管理等进行管理。 运营处置

本节介绍如何创建报表模板。 报表模板，维护和定义报表模板，用户可以自定义报表的模版，每个用户需要自行管理自己的报表模版。 支持自定义指标、自定义图表以及报表预览等功能。 新建模板 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“报表中心 > 报表模板”。 3. 单击“新建”，进入新建模板页面。 4. 配置模板名称、类型、时间范围和报表内容。 其中类型指定的时间为报表自定义指标的默认数据周期时间（当自定义指标中指定了绝对时间后，会覆盖默认数据周期时间）。 5. 单击“保存”，保存模板。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 dmslink 服务类型 选择DMS Kafka版本，目前只有专享版。 专享版 Kafka Broker Kafka专享版实例的地址，格式为host:port。 Kafka SASLSSL 选择是否打开客户端连接Kafka专享版实例时SSL认证的开关。 开启Kafka SASLSSL，则数据加密传输，安全性更高，但性能会下降。 是 用户名 开启Kafka SASLSSL时显示该参数，表示连接DMS Kafka的用户名。 密码 开启Kafka SASLSSL时显示该参数，表示连接DMS Kafka的密码。

本章主要介绍翼MapReduce的备份NameNode数据功能。 操作场景 为了确保NameNode日常数据安全，或者系统管理员需要对NameNode进行重大操作（如升级或迁移等），需要对NameNode数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份NameNode任务。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 仅支持“每次都全量备份”。 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“NameNode”。 7.在“NameNode”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。默认保存目录为“ 数据存放路径 /LocalBackup/”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：备集群NameNode的业务平面IP地址。 “目的端路径”：备份文件存放的位置。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “SFTP”：表示将备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “服务器共享路径”：SFTP服务器上的备份路径。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为 “备份任务名任务创建时间 ”，用于保存数据源的备份文件。 备份文件的名称为“ 版本号数据源任务执行时间 .tar.gz”。

相关服务 功能交互 相关链接 云硬盘（CTEVS，Elastic Volume Service） 云硬盘备份对云硬盘进行数据备份，也支持使用备份来恢复数据或创建新盘，以便于在云硬盘数据丢失或损坏时自助快速恢复数据。 对象存储（CTZOS，Zettabyte Object Storage） 云硬盘备份底层与对象存储服务资源相结合，将云硬盘备份数据存储到对象存储中，高度保障用户的备份数据安全。

使用须知 kvrocks2redis需要从Kvrocks提取数据到本地文件，并从中解析出命令发送到目标端GeminiDB Redis ，该过程中可能影响源端性能，但理论上不会有数据受损风险。 迁移工具运行过程中，若出现问题，迁移工具会自动停止，方便问题定位。 GeminiDB Redis从安全性角度出发，不提供清库语义命令，因此要在迁移开始前确保无数据。 前提条件 部署kvrocks2redis到独立主机。 确保源端、目标端、迁移工具之间网络互通。 源端Kvrocks实例提前做好数据备份。 目标端GeminiDB Redis实例清空全部数据。 操作步骤 如需进行Redis到GeminiDB Redis的迁移，您可以在管理控制台右上角，选择“工单 > 新建工单”，联系技术支持进行处理。

新建分组 1. 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据目录”模块，进入数据目录页面。 详见下图：选择数据目录 2. 选择“数据安全 > 数据分类”，在“分组”页签中，单击“新建”。 系统弹出“新建分组”对话框，填写相关配置，单击“确定”，完成创建分组。 参数设置参考下表，并勾选左侧列表中的分类规则。 用户所勾选的规则将显示在右侧列表中 参数配置表 配置 说明 名称 规则组名称只能包含中文、英文字母、数字和下划线。 描述 为更好的识别规则组，此处加以描述信息。描述信息长度不能超过4096个字符。

本文主要介绍通过控制台使用Nginx Ingress。 前提条件 Ingress为后端工作负载提供网络访问，因此集群中需提前部署可用的工作负载。若您无可用工作负载，可参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)部署工作负载。 添加Nginx Ingress时，需在集群中提前安装nginxingress插件。 注意事项 不建议在ELB服务页面修改ELB实例的任何配置，否则将导致服务异常。 如果您已经误操作，请卸载Nginx Ingress插件后重装。 Ingress转发策略中注册的URL需与后端应用暴露的URL一致，否则将返回404错误。 负载均衡实例需与当前集群处于相同VPC 且为相同公网或私网类型。 负载均衡实例需要拥有至少两个监听器配额，且端口80和443没有被监听器占用。 添加Nginx Ingress 本节以Nginx作为工作负载并添加Nginx Ingress为例进行说明。 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 选择左侧导航栏的“服务发现”，在右侧选择“路由”页签，单击右上角“创建路由”。 步骤 3 设置Ingress参数。 名称： 自定义Ingress名称，例如nginxingressdemo。 命名空间： 选择需要添加Ingress的命名空间。 对接Nginx： 集群中已安装nginxingress插件后显示此选项，未安装nginxingress模板时本选项不显示。 单击开启后将对接nginxingress提供7层访问，可配置如下参数。 TLS配置 ：nginxingress支持HTTP和HTTPS，安装nginxingress时预留的监听端口，默认HTTP为80，HTTPS为443。使用HTTPS需要配置相关证书。 服务器证书：创建HTTPS协议监听时需要绑定IngressTLS类型的密钥证书，以支持HTTPS数据传输加密认证，创建密钥的方法请参见创建密钥。 SNI：SNI（Server Name Indication）是TLS的扩展协议，在该协议下允许同一个IP地址和端口号下对外提供多个基于TLS的访问域名，且不同的域名可以使用不同的安全证书。开启SNI后，允许客户端在发起TLS握手请求时就提交请求的域名信息。负载均衡收到TLS请求后，会根据请求的域名去查找证书：若找到域名对应的证书，则返回该证书认证鉴权；否则，返回缺省证书（服务器证书）认证鉴权。 转发策略配置： 请求的访问地址与转发规则匹配时（转发规则由域名、URL组成），此请求将被转发到对应的目标Service处理。单击“添加转发策略”按钮可添加多条转发策略。 域名：实际访问的域名地址。请确保所填写的域名已注册并备案，在Ingress创建完成后，将域名与自动创建的负载均衡实例的IP（即Ingress访问地址的IP部分）绑定。一旦配置了域名规则，则必须使用域名访问。 URL：需要注册的访问路径，例如：/healthz。社区v1.2.0版本（对应CCE nginxingress插件2.1.0版本）后修复CVE202125745( 目标服务名称：请选择已有Service或新建Service。页面列表中的查询结果已自动过滤不符合要求的Service。 目标服务访问端口：可选择目标Service的访问端口。 操作：可单击“删除”按钮删除该配置。 说明 Nginx Ingress的URL匹配规则是基于“/”符号分隔的路径前缀匹配，并区分大小写。只要访问路径以“/”符号分隔后的子路径匹配此前缀，均可正常访问，但如果该前缀仅是子路径中的部分字符串，则不会匹配。例如URL设置为/healthz，则匹配/healthz/v1，但不匹配/healthzv1。 注解 ：以“key: value”形式设置，可通过Annotations查询nginxingress支持的配置。社区v1.2.0版本（对应CCE nginxingress插件2.1.0版本）后修复CVE202125746( 步骤 4 配置完成后，单击“创建”。 创建完成后，在Ingress列表可查看到已添加的Ingress。

2、设置可信域名 应用创建完成后，在开发者接口中设置“网页授权及JSSDK”模块，点击“设置可信域名”按钮，填写可信域名，且完成域名归属认证。 注意：可信域名的核心作用在于保证应用的安全性和数据的准确性，您可以使用属于贵公司的任何域名，且域名是必须互联网可访问。 设置可作为应用OAuth2.0网页授权功能的回调域名，输入可信域名后点击“确定”。 3、设置授权回调域 应用创建完成后，在开发者接口中设置“企业微信授权登录”模块，点击“设置”按钮，再点击“设置授权回调域”按钮，设置授权回调域信息。 在Web网页模块设置授权回调域，这里填写的域名需和AOne的域名保持一致，例如设置“授权回调域”为：请联系客户经理或在控制台获取。

介绍分布式消息服务Kafka的数据保护技术 天翼云分布式消息服务Kafka通过多种数据保护手段和措施，保障您在Kafka实例上的数据的安全性。 容灾 根据数据和服务的不同可靠性需求，您有多种选择。您可以选择在一个可用区（即单个机房）内部署Kafka实例，或者选择跨多个可用区（即同城灾备）进行部署。目前跨可用区在华东1、华南2支持跨可用区部署。具体请参考容灾策略。 副本冗余 通过配置适当数量的副本和分布在不同的节点上，Kafka可以提供高可用性和数据冗余，以保护数据免受节点故障的影响。同时，副本机制还可以提高读取性能，因为客户端可以从就近的副本中读取数据，而不必从远程节点获取数据。 数据持久化 Kafka中数据的持久化是通过将消息写入磁盘上的日志文件来实现的。这种设计使得Kafka能够提供高吞吐量和持久性，即使在发生故障或重启时也能够保留数据。此外，Kafka还提供了数据复制和故障转移机制，以确保数据的可用性和可靠性。

本文将从产品定义,应用场景,使用限制三部分来介绍天翼云云硬盘自动快照。 产品定义 天翼云云硬盘支持自动快照功能，用户通过自动快照策略周期性地为云硬盘创建快照，可同时适用于系统盘和数据盘。自动快照服务便于用户灵活设置快照创建任务，能够提高数据安全和操作容错率。 应用场景 自动快照策略是指云硬盘在预设的时间点周期性地创建快照，保护云硬盘数据，是系统安全性和容错率的重要保障，通常应用于以下两个场景： 当您来不及手动创建快照时，可以使用当前云硬盘创建的最近的自动快照进行回滚操作，最大限度地降低损失。 您也可以根据业务需求设置自动快照策略，比如在系统定期维护之前设置自动快照策略，不再需要您手动创建快照，也能避免因人为疏忽忘记创建快照。 使用限制 天翼云账号在一个地域中的自动快照策略配额上限，以及一块云硬盘能保留的自动快照数量上限，如下表所示： 限制项 限制说明 每块云硬盘可以保留的手动快照个数（非X系列云硬盘） 40 每块云硬盘可以保留的自动快照和手动快照总数（非X系列云硬盘） 50 每块云硬盘可以保留的手动快照个数（X系列云硬盘） 1000 每块云硬盘可以保留的自动快照和手动快照总数（X系列云硬盘） 2000 一个账号在一个地域可以保留的自动快照策略数量 20 一个策略可关联的云硬盘数量 200 云硬盘保留的自动快照数量达到配额上限后，最早创建的自动快照会被自动删除。 修改自动快照策略的保留时间时，仅对新增的自动快照生效，历史自动快照沿用修改前的保留时间。 仅“未挂载/已挂载”状态的云硬盘可以创建自动快照，其他状态下的云硬盘无法创建自动快照。 挂载在物理机上的云硬盘、本地盘不支持设置自动快照策略。 自动快照支持的资源池，如下表所示： 限制项 限制说明 支持资源池 华东1、华北2