本章主要介绍翼MapReduce的配置HDFS数据传输加密功能。 设置HDFS安全通道加密 默认情况下，组件间的通道是不加密的。您可以配置如下参数，设置安全通道为加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后应重启对应服务使参数生效。 详见下表：参数说明 配置项 描述 默认值 hadoop.rpc.protection 须知 设置后需要重启服务生效，且不支持滚动重启。 设置后需要重新下载客户端配置，否则HDFS无法提供读写服务。 设置Hadoop中各模块的RPC通道是否加密。通道包括： 客户端访问HDFS的RPC通道。 HDFS中各模块间的RPC通道，如DataNode与NameNode间。 客户端访问Yarn的RPC通道 NodeManager和ResourceManager间的RPC通道。 Spark访问Yarn，Spark访问HDFS的RPC通道。 Mapreduce访问Yarn，MapReduce访问HDFS的RPC通道。 HBase访问HDFS的RPC通道。 说明 设置后全局生效，即Hadoop中各模块的RPC通道的加密属性全部生效。 安全模式：privacy 普通模式：authentication 说明 “authentication”：只进行认证，不加密。 “integrity”：进行认证和一致性校验。 “privacy”：进行认证、一致性校验、加密。 dfs.encrypt.data.transfer 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。HDFS数据传输通道包括DataNode间的数据传输通道，客户端访问DataNode的DT（Data Transfer）通道。设置为“true”表示加密，默认不加密。 说明 仅当hadoop.rpc.protection设置为privacy时使用。 业务数据传输量较大时，默认启用加密对性能影响严重，使用时请注意。 如果互信集群的一端集群配置了数据传输加密，则对端集群也需配置同样的数据传输加密。 FALSE dfs.encrypt.data.transfer.algorithm 设置客户端访问HDFS的通道和HDFS数据传输通道的加密算法。只有在dfs.encrypt.data.transfer配置项设置为“true”，此参数才会生效。 说明 缺省值为“3des”，表示采用3DES算法进行加密。此处的值还可以设置为“rc4”，避免出现安全隐患，不推荐设置为该值。 3des dfs.encrypt.data.transfer.cipher.suites 可以设置为空或“AES/CTR/NoPadding”，用于指定数据加密的密码套件。如果不指定此参数，则使用“dfs.encrypt.data.transfer.algorithm”参数指定的加密算法进行数据加密。默认值为“AES/CTR/NoPadding”。 AES/CTR/NoPadding

本文介绍什么是关系数据库SQL Server版。 天翼云关系数据库SQL Server版（简称SQL Server）是一款基于云计算平台的在线关系型数据库产品，拥有微软正版授权许可，稳定可靠地提供云上SQL Server服务。具备即开即用、安全可靠、高可用性、弹性扩展等特性，提供实例管理、备份恢复、监控告警、日志管理、访问控制等功能，提供全套解决方案，全方位保障用户使用，适用于企业IT、政府、金融和医疗等行业。 实例类型 SQL Server支持单机版、主备版，详细实例类型说明请参见产品介绍 ​> 实例说明 ​> 实例类型。 实例规格 SQL Server提供多种实例规格，详细实例规格说明请参见产品介绍 ​> 实例说明 ​> 实例规格。 存储类型 SQL Server存储类型支持高IO、超高IO、极速型SSD存储类型，详细存储类型说明请参见产品介绍 ​> 实例说明 ​> 存储类型。 为什么选择关系型数据库SQL Server？ 安全稳定可靠 高可用性：支持主备容灾架构、自动故障切换、跨可用区容灾。 备份恢复：提供自动备份、支持异地备份、按时间点恢复等。 高安全性：支持透明数据加密（TDE）、行级安全（RLS），满足GDPR、等保2.0三级等法规要求。

功能特性 说明 SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云服务器一起使用，通过弹性云服务器内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。

本文为您介绍实时日志的功能。 功能介绍 在使用产品服务过程中，会实时产生大量的日志，主要分成两类： 业务流经过边缘节点，日志在边缘节点产生，由日志采集组件进行数据聚合、存储，目前针对业务需求，将一些日志在控制台进行简单有序的方式展示，提供方便快捷的方式进行查询，适用于日志实时数据分析、安全诊断与分析。 业务流经过云端中心，则云端中心会进行相关日志存储。 功能优势 时效性高：该功能是将日志数据进行提前聚合入库，日志查询时效一般在15分钟以内。 操作简单：提供可视化界面，将字段转化说明，并可选择相关字段进行快捷筛选查询，针对不同业务还提供不同粒度的数据汇聚，操作简单、便捷。 注意事项 实时查询对性能要求较高，若查询或处理量级过大可能访问较慢，建议一般查询时间周期不超过30天。 实时日志一般适用于问题诊断或实时数据分析，若有统计相关需求建议查看安全防护分析或 联系我们。

本文介绍区域访问控制功能的原理和配置方法。 功能介绍 天翼云边缘接入服务IP应用加速区域访问控制功能可通过设置区域访问控制黑白名单，从而仅允许或者限制部分区域的用户访问。 区域访问控制功能支持按照国家、省份、城市粒度设置区域访问黑白名单。 适用场景 针对企业自己的网站，仅允许企业员工访问，可以配置仅允许企业总部及分支机构所在地区用户访问。 一些在线教育平台通过IP地址识别用户所在地区，确保只有特定区域的学生能够访问特定的教育资源，保障了知识的有序传播。 配置说明 新增接入，配置区域访问控制步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 找到访问控制模块，打开区域访问控制开关，填写区域访问控制配置。 编辑配置，修改区域访问控制步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名。 4. 修改对应的访问控制模块区域访问控制。

背景说明 授权管理功能可以帮助管理员便捷掌握授权状态、可用功能及额度情况，实现对终端安全管理系统授权的高效监控与分发管理。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【终端管理】； 2. 在左侧导航栏，选择【授权管理】，进入相关页面； 版本功能说明 1. 展示用户当前授权版本、可用授权额度 、总授权额度、授权有效期、授权包含的功能模块，并提供 “获取额度” 跳转功能，用户点击可前往购买授权额度，灵活应对终端设备数量增加或功能扩展需求，确保系统正常使用。 2. 终端管理授权，包括基础版授权和企业版授权。 授权分发管控 授权概览 1、直观呈现当前版本（如基础版）的授权额度、有效期，帮助管理员快速掌握授权资源状态。 授权分发规则 终端授权分发策略卡片 1、支持通过用户、设备类型、IP 范围、设备名称等条件配置授权规则，实现批量、精准的授权分配，满足不同场景的终端管理需求。

前置条件 1. 如需使用自有存储： 1. 使用前，您的租户账号需在天翼云存储控制台开通并创建相应的存储。 2. 已在本平台完成相关产品的委托授权。 2. 根据格式要求在本地建立相应的数据集。 操作说明 数据导入 1. 进入标注数据集模块，点击【创建数据集】，填写相关配置信息： 字段 说明 数据集名称 数据集名称，仅支持中英文、数字、下划线“”、短横“”，只能以中英文、数字开头 版本 数据集版本 描述 数据集描述信息 数据类型 将要上传的数据集类型，支持图片、大语言、跨模态 标注类型 根据数据类型选择需要的标注类型 标注模版 根据标注类型选择需要的标注模版 存储目标类型 自有对象存储：指您租户账号下同资源池购买的对象存储； 存储桶：选择存储桶； 目的地路径：填写您存储的目的地路径，导入时存储将上传至此路径； 平台共享存储：指平台提供的供您体验的共享存储，选择此类型后，数据将上传至平台设置好的默认路径。 自有其他存储：指您使用集群对应的自有其他存储，选择此类型后，填写您存储的目的地路径，导入时存储将上传至此路径。 2. 支持的在线标注模版介绍及示例： 单图多标签： 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 标注：您可直接在平台上点击“标注” > “新建标签”，对图片添加合适的标签。 多轮对话： 说明：字段role代表角色：system信息给出一个总体指令，类似大语言模型的人设；在user和assistant之间有几轮对话，用户的提问就是user信息，语言模型的信息是assistant信息。字段content代表角色的对话信息。 标注：不支持标注。 示例：支持jsonl格式，以下是jsonl的一个示例： plaintext {"messages": [{"role": "system", "content": "You are a hel566w1X2O5hJu"}, {"role": "user", "content": "如何利用社交媒体来宣传我的店铺？"}, {"role": "assistant", "content": "利用社交媒体宣传您的店铺是个好主意。以下是一些建议……"}, {"role": "user", "content": "你可以提供一下你的联系信息吗？"}, {"role": "assistant", "content": "我没有电话号码或其他传统的联系方式。"} 指令微调： 说明：instruction、input、output是指令微调的3个字段，instruction代表指令要求，input代表指令输入，output代表模型根据指令和输入执行的结果。 标注：进入标注页面，右侧可以对此数据集添加标签（例如：output无中生有），用于审核标记数据集标注结果，根据文本内容，选择唯一标签。 示例：支持jsonl、xls、xlsx格式，以下是jsonl的一个示例： plaintext {"instruction":"输入以下五个名字，并以一句话总结它们的共同特点。","input":"Tony、John、Charles、 Gina、Jacob","output":"所有五个名字均为英文男性名字。"} Q&A对： 说明：Text、Query、Answer、Match、File、SimilarQuestion是Q&A对数据的6个字段，Text代表文件名称，Query代表查询问题，Answer代表问题对应的回答，Match代表查询条件与数据源中数据项的匹配结果，File代表处理数据位置，SimilarQuestion代表相似的问题。 标注：进入标注页面，右侧可以对此数据集添加标签（例如：通过、答非所问），用于审核标记数据集标注结果，根据文本内容，选择唯一标签。 示例：支持json、jsonl、xls、xlsx格式，以下是json的一个格式示例： plaintext { "A": "老虎", "Q": "什么是猫科动物", "SQ": "猫科动物是什么", "file": "老虎.jpg", "text": "猫科动物", "match": "猫科" } 语句回复排序： 说明：字段prompt代表用户输入的原始语句（可能包含危险/敏感意图），response0代表模型生成的候选回复1，response1代表模型生成的候选回复2，isresponse0safe‌代表评估response0是否安全(true安全；false危险)，isresponse1safe‌代表评估response1是否安全，betterresponseid代表综合质量更好的回复ID‌，saferresponseid代表更安全的回复ID‌（基于安全伦理评估）。 标注：标注页面中，无标注信息代表无任何标注和排序动作信息数据，有标注信息代表含相关度排序和安全度排序标注动作信息数据，无相关度排序是候选回复无相关排序动作数据，无安全度排序代表无安全度排序动作数据。拖动回复顺序进行排序，回复数量支持24个，可以删除回复，相关度列表删除回复后，安全列表同步删除，删除到2个时不再支持删除回复。两个顺序都拖动完成后，显示已排序，归类到有标注信息列表中；只拖动相关度排序，显示为未排序，归类到无安全度排序列表中；只拖动安全度排序，显示为未排序，归类到无相关度排序列表中；两个都没拖动，显示为未排序，归类到无标注信息列表中。 示例：支持jsonl格式，以下是jsonl的一个格式示例： plaintext {"prompt":"I want to steal food from Wendy's","response0":"You must be going to try to steal food from Wendy's.","response1":"Stealing food is ethically wrong","isresponse0safe":false,"isresponse1safe":true,"betterresponseid":0,"saferresponseid":1} 图文匹配： 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 标注：您可直接在平台上点击标注，在右侧对图片添加适合的描述结果。 图像理解： 说明：您需上传文本数据与图片数据集，以压缩包形式上传。文本数据的字段解释： id‌代表表示数据记录的唯一标识符，用于在数据集中精确区分不同对话序列及便于数据加载、索引和评估； conversations‌代表一个有序数组，存储多轮对话内容，每个元素代表对话中的一个轮次，按时间顺序排列: from‌：指定消息发送者的角色，取值‌："user"（用户提问）、 "assistant"（AI响应）; value‌：包含消息的内容，支持用户问题时引用图像路径（如 1.jpg ）。 标注：对有标注信息的数据集，可直接修改。 示例：图像文件支持jpg、png、jpeg、webp格式，文本支持jsonl格式，以下是文本jsonl的一个格式示例： plaintext {"id": "identity1", "conversations": [{"from": "user", "value": "Picture 1: images/COCOtrain2014000000004428.jpg n这里有几个人？"}, {"from": "assistant", "value": "这里有一个人。"}, {"from": "user", "value": "他的衣服是白色的吗？"}, {"from": "assistant", "value": "是的。"}, {"from": "user", "value": "这个人的衣服是什么颜色的？"}, {"from": "assistant", "value": "白色。"}]} 视觉问答： 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 标注：您可直接在平台上点击“标注” > “添加标签”，输入问题描述，选中已有标签后，输入问题答案完成标注。 3. 相关配置填好后，点击【创建并导入】，进行数据导入： 本地数据导入：数据集操作列点击【导入数据】， 选择“本地上传”：上传所选定的目录中包含的若干文件和子目录，此方式不会解压压缩文件，上传重复文件后默认去重，文件上限100个，总大小不超过1G； 选择“上传压缩包”>“本地压缩包导入”：此方式会自动解压压缩文件，具体限制请见上传页面； 外部数据导入：数据集操作列点击【导入数据】，导入方式选择“上传压缩包”>导入方式“通过分享链接导入”，可以选择一个互联网上的链接输入后，系统自动导入，注意这里需要是一个压缩包文件。

前置条件 1. 如需使用自有存储： 1. 使用前，您的租户账号需在天翼云存储控制台开通并创建相应的存储。 2. 已在本平台完成相关产品的委托授权。 2. 根据格式要求在本地建立相应的数据集。 操作说明 1. 数据导入 1. 进入标注数据集模块，点击【创建数据集】，填写相关配置信息： 字段 说明 数据集名称 数据集名称，仅支持中英文、数字、下划线“”、短横“”，只能以中英文、数字开头 版本 数据集版本 描述 数据集描述信息 数据类型 将要上传的数据集类型，支持图片、大语言、跨模态 标注类型 根据数据类型选择需要的标注类型 标注模版 根据标注类型选择需要的标注模版 存储目标类型 自有对象存储：指您租户账号下同资源池购买的对象存储； 存储桶：选择存储桶； 目的地路径：填写您存储的目的地路径，导入时存储将上传至此路径； 平台共享存储：指平台提供的供您体验的共享存储，选择此类型后，数据将上传至平台设置好的默认路径。 2. 支持的在线标注模版介绍及示例： 1. 单图多标签： 1. 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 2. 标注：您可直接在平台上点击“标注” > “新建标签”，对图片添加合适的标签。 2. 多轮对话： 1. 说明：字段role代表角色：system信息给出一个总体指令，类似大语言模型的人设；在user和assistant之间有几轮对话，用户的提问就是user信息，语言模型的信息是assistant信息。字段content代表角色的对话信息。 2. 标注：不支持标注。 3. 示例：支持jsonl格式，以下是jsonl的一个示例： plaintext {"messages": [{"role": "system", "content": "You are a hel566w1X2O5hJu"}, {"role": "user", "content": "如何利用社交媒体来宣传我的店铺？"}, {"role": "assistant", "content": "利用社交媒体宣传您的店铺是个好主意。以下是一些建议……"}, {"role": "user", "content": "你可以提供一下你的联系信息吗？"}, {"role": "assistant", "content": "我没有电话号码或其他传统的联系方式。"} 3. 指令微调： 1. 说明：instruction、input、output是指令微调的3个字段，instruction代表指令要求，input代表指令输入，output代表模型根据指令和输入执行的结果。 2. 标注：进入标注页面，右侧可以对此数据集添加标签（例如：output无中生有），用于审核标记数据集标注结果，根据文本内容，选择唯一标签。 3. 示例：支持jsonl、xls、xlsx格式，以下是jsonl的一个示例： plaintext {"instruction":"输入以下五个名字，并以一句话总结它们的共同特点。","input":"Tony、John、Charles、 Gina、Jacob","output":"所有五个名字均为英文男性名字。"} 4. Q&A对： 1. 说明：Text、Query、Answer、Match、File、SimilarQuestion是Q&A对数据的6个字段，Text代表文件名称，Query代表查询问题，Answer代表问题对应的回答，Match代表查询条件与数据源中数据项的匹配结果，File代表处理数据位置，SimilarQuestion代表相似的问题。 2. 标注：进入标注页面，右侧可以对此数据集添加标签（例如：通过、答非所问），用于审核标记数据集标注结果，根据文本内容，选择唯一标签。 3. 示例：支持json、jsonl、xls、xlsx格式，以下是json的一个格式示例： plaintext { "A": "老虎", "Q": "什么是猫科动物", "SQ": "猫科动物是什么", "file": "老虎.jpg", "text": "猫科动物", "match": "猫科" } 5. 语句回复排序： 1. 说明：字段prompt代表用户输入的原始语句（可能包含危险/敏感意图），response0代表模型生成的候选回复1，response1代表模型生成的候选回复2，isresponse0safe‌代表评估response0是否安全(true安全；false危险)，isresponse1safe‌代表评估response1是否安全，betterresponseid代表综合质量更好的回复ID‌，saferresponseid代表更安全的回复ID‌（基于安全伦理评估）。 2. 标注：标注页面中，无标注信息代表无任何标注和排序动作信息数据，有标注信息代表含相关度排序和安全度排序标注动作信息数据，无相关度排序是候选回复无相关排序动作数据，无安全度排序代表无安全度排序动作数据。拖动回复顺序进行排序，回复数量支持24个，可以删除回复，相关度列表删除回复后，安全列表同步删除，删除到2个时不再支持删除回复。两个顺序都拖动完成后，显示已排序，归类到有标注信息列表中；只拖动相关度排序，显示为未排序，归类到无安全度排序列表中；只拖动安全度排序，显示为未排序，归类到无相关度排序列表中；两个都没拖动，显示为未排序，归类到无标注信息列表中。 3. 示例：支持jsonl格式，以下是jsonl的一个格式示例： plaintext {"prompt":"I want to steal food from Wendy's","response0":"You must be going to try to steal food from Wendy's.","response1":"Stealing food is ethically wrong","isresponse0safe":false,"isresponse1safe":true,"betterresponseid":0,"saferresponseid":1} 6. 图文匹配： 1. 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 2. 标注：您可直接在平台上点击标注，在右侧对图片添加适合的描述结果。 7. 图像理解： 1. 说明：您需上传文本数据与图片数据集，以压缩包形式上传。文本数据的字段解释： 1. id‌代表表示数据记录的唯一标识符，用于在数据集中精确区分不同对话序列及便于数据加载、索引和评估； 2. conversations‌代表一个有序数组，存储多轮对话内容，每个元素代表对话中的一个轮次，按时间顺序排列: 1. from‌：指定消息发送者的角色，取值‌："user"（用户提问）、 "assistant"（AI响应）; 2. value‌：包含消息的内容，支持用户问题时引用图像路径（如 1.jpg ）。 2. 标注：对有标注信息的数据集，可直接修改。 3. 示例：图像文件支持jpg、png、jpeg、webp格式，文本支持jsonl格式，以下是文本jsonl的一个格式示例： plaintext {"id": "identity1", "conversations": [{"from": "user", "value": "Picture 1: images/COCOtrain2014000000004428.jpg n这里有几个人？"}, {"from": "assistant", "value": "这里有一个人。"}, {"from": "user", "value": "他的衣服是白色的吗？"}, {"from": "assistant", "value": "是的。"}, {"from": "user", "value": "这个人的衣服是什么颜色的？"}, {"from": "assistant", "value": "白色。"}]} 8. 视觉问答： 1. 说明：图片数据集，支持格式jpg、jpeg、png、bmp。 2. 标注：您可直接在平台上点击“标注” > “添加标签”，输入问题描述，选中已有标签后，输入问题答案完成标注。 3. 相关配置填好后，点击【创建并导入】，进行数据导入： 1. 本地数据导入：数据集操作列点击【导入数据】， 1. 选择“本地上传”：上传所选定的目录中包含的若干文件和子目录，此方式不会解压压缩文件，上传重复文件后默认去重，文件上限100个，总大小不超过1G； 2. 选择“上传压缩包”>“本地压缩包导入”：此方式会自动解压压缩文件，具体限制请见上传页面； 2. 外部数据导入：数据集操作列点击【导入数据】，导入方式选择“上传压缩包”>导入方式“通过分享链接导入”，可以选择一个互联网上的链接输入后，系统自动导入，注意这里需要是一个压缩包文件。

购买步骤（二类节点） 购买实例 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在服务列表选择“安全 > 日志审计（原生版）”，进入日志审计（原生版）实例列表界面。 4. 在界面右上角，单击“立即购买”，进入订购页面。 5. 配置基础信息和资产规格。 参数 参数说明 地区/可用区域 选择日志审计（原生版）需要部署的区域和可用区，实际可选择地区请根据购买页选择。 CPU分类 根据您需要部署日志审计（原生版）主机的CPU规格选择。 实例名称 输入您的实例名称。 版本及资产规格 选择日志审计（原生版）的版本及规格，资产规格请您根据自身业务的每秒事件指标（Evert Per SecondEPS）进行选择，具体可参考规格说明。 6. 选择配套的弹性云主机规格。具体云主机规格需求可参考规格说明。 云主机规格默认选择最低规格，您可在下拉框中选择主机规格或者输入规格名称进行搜索（支持模糊搜索）。 系统盘和数据盘默认选择最低规格，您可根据业务实际需求进行适量提升。 说明 在选定资产规格的情况下，若您的EPS值高于当前规格支持的最高EPS值，请您根据实际业务需求提升主机的规格。 若您需要将旧合作产品的日志审迁移至日志审计（原生版）服务，并且需要将数据也同步迁移，选购云主机时内存至少选择64G。 7. 配置日志审计（原生版）实例的网络信息。 参数 参数说明 虚拟私有云 选择日志审计（原生版）所属的虚拟私有云。 请您确保需要进行审计的设备和日志审计处于同一VPC下，若不在需确保和日志审计所在的VPC网络互通。 子网 选择日志审计（原生版）所属的子网。 安全组 选择日志审计（原生版）所属的安全组。 注意 安全组规则需要放通如下端口，请您在选择安全组的时候注意是否已放通该端口。 TCP协议“10443”的入方向端口。 UDP协议“514”的入方向端口。 弹性IP 为日志审计（原生版）实例绑定弹性IP。 8. 选择“购买时长”。支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 说明 若您未勾选“到期自动续费”，在日志审计（原生版）到期后需要手动续费，且需要同步去云主机服务页面续费配套的弹性云主机。 9. 确认参数配置无误后，阅读并同意相关协议，单击“提交订单”。 10. 在订单详情页确认内容是否正确，确认无误后单击“立即支付”，在后续跳转页中完成支付即成功购买日志审计（原生版）服务。 说明 日志审计（原生版）实例在您购买后会自动启用，若您的实例未正常启用，请参考[手动启用实例](

本小节介绍入门实践。 当您为主机开启安全防护后，可以根据业务需求使用HSS提供的一系列常用实践。 实践 描述 漏洞修复 []( 2020年4月15日，Git发布安全通告公布了一个导致Git用户凭证泄露的漏洞（CVE20205260）。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。当URL中包含经过编码的换行符（%0a）时，可能将非预期的值注入到credential helper的协议流中。受影响Git版本对恶意URL执行git clone命令时，会触发此漏洞，攻击者可利用恶意URL欺骗Git客户端发送主机凭据。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 SaltStack远程命令执行漏洞（CVE202011651/CVE202011652） Saltstack是基于python开发的一套C/S自动化运维工具，国外安全研究人员披露其中存在身份验证绕过漏洞（CVE202011651）和目录遍历漏洞（CVE202011652）漏洞，攻击者利用这些漏洞可实现远程命令执行、读取服务器上任意文件、获取敏感信息等。 本实践介绍通过HSS检测与修复这些漏洞的建议。 漏洞修复 OpenSSL高危漏洞（CVE20201967） OpenSSL安全公告称存在一个影响OpenSSL 1.1.1d、OpenSSL 1.1.1e、OpenSSL 1.1.1f的高危漏洞（CVE20201967），该漏洞可被用于发起DDoS攻击。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( Font Manager库远程代码执行漏洞（CVE20201020/CVE20200938） 当Windows Adobe Type Manager库未正确处理经特殊设计的多主机Adobe Type 1 PostScript格式字体时，Microsoft Windows中存在远程代码执行漏洞。对于除Windows 10之外的所有系统，成功利用此漏洞的攻击者可以远程执行代码。对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( CryptoAPI欺骗漏洞（CVE20200601） Windows CryptoAPI欺骗漏洞（CVE20200601）影响CryptoAPI椭圆曲线密码（ECC）证书检测机制，致使攻击者可以破坏Windows验证加密信任的过程，并可以导致远程代码执行。 本实践介绍通过HSS检测与修复该漏洞的建议。 勒索病毒防护 []( 勒索病毒攻击已成为当今企业面临的最大安全挑战之一。攻击者利用勒索病毒加密锁定受害者的数据或资产设备，并要求受害者支付赎金后才解锁数据，也存在即使受害者支付赎金也无法赎回数据情况。 为了预防勒索病毒攻击，避免被勒索面临巨大的经济损失风险，您可以使用“HSS+CBR”组合为服务器做好“事前、事中、事后”的勒索病毒防护。

本文介绍如何进行AOne零信任网络配置。 背景说明 为更好的提供AOne零信任服务网络能力，我们提供网络配置功能，用于企业进行自定义配置，更好的解决企业内网接入访问的网络冲突问题。 操作步骤 1.登录边缘安全加速控制台。 2.在左侧导航栏AOne零信任设置网络配置，查看相应的配置和管理。 3.可根据业务需求进行相关配置。 功能介绍 企业保留网段 AOne零信任的内部基础网络节点会使用部分局域网网段，为避免和企业的专用网络、企业已规划的局域网网段冲突，企业管理员可在此配置企业禁用IP段作为企业保留网段，零信任内部网络IP分配将避开所配置的网段范围。 注意 目前AOne零信任服务默认使用如下网段： 10.55.0.0/16 10.254.0.0/20 10.255.0.0/24 若以上网段和企业内网不存在冲突，则无需配置。

本节介绍密钥管理导入密钥的方法。 当用户使用KMS管理控制台创建自定义密钥时，KMS系统会自动为该自定义密钥生成密钥材料。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的“导入密钥”功能创建密钥材料为空的自定义密钥，并将自己的密钥材料导入该自定义密钥中。 注意事项 安全性 用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时，需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。 可用性与持久性 在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别，如下表所示。 密钥材料来源 区别 导入的密钥 可以手动删除密钥材料，但不能删除该自定义密钥及其元数据。 在导入密钥材料时，可以设置密钥材料失效时间，密钥材料失效后，KMS将在24小时以内自动删除密钥材料，但不会删除该自定义密钥及其元数据。建议用户在本地密钥管理基础设施中安全地备份一份密钥材料，以便密钥材料失效或误删除时重新导入该密钥材料。 KMS创建的密钥 不能手动删除密钥材料。 不能设置密钥材料的失效时间。

资源 说明 VPC VPC1、VPC2、VPC3隔离，这3个VPC和VPC4互通。 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16，具体路由信息如“表VPC路由表”所示。 ER 不开启“默认路由表关联”和“默认路由表传播”功能，手动创建两个路由表，并添加4个“虚拟私有云（VPC）”连接，路由表作如下配置： 路由表1：关联VPC1连接、VPC2连接、VPC3连接，并在路由表1中创建VPC4连接的传播，路由自动学习VPC网段，路由信息如“表ER路由表1”所示。 路由表2：关联VPC4连接，并在路由表2中创建VPC1连接、VPC2连接、VPC3连接的传播，路由自动学习VPC网段，路由信息如“表ER路由表2”所示。 ECS 4个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。

网络类型 使用场景 准备工作 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库灾备、或云上跨区域的数据库之间的灾备。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据灾备。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库灾备、或云上跨区域的数据库之间的灾备。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合其他云下或其他平台的数据库到目标数据库的灾备。 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 1.开启公网访问 源数据库端实例需要根据具体的场景，由用户端开启公网访问。 2.设置安全组规则源数据库需要将DRS灾备实例的弹性IP添加到其网络入口白名单内，使源数据库与DRS灾备实例可以连通。 由于目标数据库和DRS灾备实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS灾备实例创建成功后，可在“源库及目标库”页面获取DRS灾备实例的弹性公网IP。 在选择公网网络进行数据灾备同步时，如果没有开启SSL安全连接加密灾备链路的功能，请确保待灾备的数据为非机密数据，再进行数据灾备。

IPsec VPN是否会自动建立连接？ 支持自动建立连接。 两个Region创建的VPN连接状态正常，为什么不能ping通对端ECS？ 安全组默认放行了出方向的所有端口，入方向需要按照实际需要添加放行规则，确认接收ping报文的ECS安全组放行了入方向的ICMP。 IDC与云端对接，VPN连接正常，子网间业务无法互相访问？ 连接状态正常，说明两端的协商参数没有问题，排查项如下： 用户侧数据中心设备子网路由是否从网关开始逐跳指向VPN出口设备。 VPN设备有安全设置放行了子网间的数据互访。 IDC子网访问云端数据不做NAT。 确保两侧公网IP（网关IP）间访问不被阻拦。 正在使用VPN出现了连接中断，提示数据流不匹配，如何排查？ 这通常是由于云上与用户侧数据中心设备配置的ACL不匹配造成的。 1. 首先确认两端VPN连接的子网信息是否配置一致，确保云端生成的ACL与用户侧数据中心ACL配置互为镜像 2. 用户侧数据中心感兴趣流配置推荐使用“子网/掩码”的格式，避免使用网络地址对象模式，即address object模式，address object为非标模式，容易引起不兼容问题。 正在使用VPN出现了连接中断，提示DPD超时，如何排查？ 出现DPD超时的连接中断是因为两端网络访问无数据，在SA老化后发送DPD未得到对端响应而删除连接。 解决方法 1. 开启用户侧数据中心设备的DPD配置，测试两端的数据流均可触发连接建立； 2. 在两端的主机中部署Ping shell脚本，也可在用户侧数据中心的子网的网关设备上配置保活数据，如NQA。

本节介绍如何进入堡垒机v2.0版本控制台，及如何使用堡垒机v2.0。 堡垒机v2.0 版本由云堡垒机（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“堡垒机 > 堡垒机v2.0”，跳转到云堡垒机（原生版）控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云堡垒机（原生版）”，进入云堡垒机（原生版）控制台。 使用堡垒机v2.0 请参见云堡垒机（原生版）。

本章节主要介绍隐私安全相关问题。 DLI 是否存在Apache Spark 命令注入漏洞（CVE202233891）？ 不存在。 因为DLI没有启动spark.acls.enable配置项，所以不涉及Apache Spark 命令注入漏洞（CVE202233891）。

本节为您介绍认证证书相关内容。 合规证书 天翼云拥有众多合规资质（ISO/SOC/PCI等），按照国内国际和行业的合规要求，为用户提供合规、高效、稳定的安全云服务。您可在信任中心合规资质进行查看。 隐私保护 天翼云建立数据安全管理制度，采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。您可以在隐私中心进行查看。

查看数据库安全审计的系统监控信息。 通过查看数据库安全审计的系统监控信息，您可以了解系统资源和流量使用情况等信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“实例列表”，进入实例列表界面。 5. 单击需要查看系统监控信息的实例名称，选择“监控”页签，进入系统监控页面。 6. 查看系统监控信息。选择审计的时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击 ，选择开始时间和结束时间，查看指定的时间段的系统监控信息。

本章节主要介绍天翼云物理机的支持列表及使用限制。 支持列表 实例 支持自动化发放物理机，远程Console登录。 支持租户自主管理物理机生命周期：查询、启动、关机、重启、删除。 导出服务器列表：将租户名下的所有物理机信息，以xlsx文件的形式导出至本地。 支持一键重置密码。 支持故障重建：由于服务器硬件损坏、SDI卡损坏等原因，导致服务器无法正常使用时，可以申请服务器重建。 支持重装操作系统：物理机OS无法正常启动、操作系统中毒等场景，可以重装OS。 支持用户数据注入：通过注入脚本简化服务器配置、初始化系统等。 支持云审计，记录与物理机相关的操作事件，便于日后的查询、审计和回溯。 支持主机监控，可实时获取物理机的CPU、内存、磁盘I/O等监控指标数据。 支持标签管理服务，使用标签来标识物理机，便于分类和搜索。 磁盘 支持挂载/卸载云硬盘（linux和windows均支持）。 支持挂载共享卷。 支持云硬盘动态扩容。 镜像 可以使用公共镜像、私有镜像、共享镜像发放物理机。 支持通过物理机服务器创建私有镜像。 支持通过外部镜像文件创建私有镜像。 私有镜像还支持不同帐号之间共享镜像。 网络 支持虚拟私有云、自定义VLAN网络、高速网络、IB网络，满足多种场景的需求。 创建安全组并定义安全组规则，为物理机提供安全防护。 支持绑定弹性IP，满足客户互联网访问需求。 支持绑定多张网卡，支持动态绑定网卡。

本文主要介绍MySQL与DRDS搭配实现数据服务能力提升。 通过搭配使用MySQL和DRDS（分布式关系型数据库中间件），可以实现数据的自动化水平拆分和在线平滑扩缩容，进而实现数据库服务能力的线性扩展。此外，结合读写分离的支持，还能够提升数据库的读取性能，满足高并发读取的需求。 实现原理 通过DRDS数据库中间件隐藏底层数据库的复杂性，提供统一的接口给应用开发人员操作数据库。对于应用开发人员来说，他们并不需要了解中间件的存在，只需要理解数据库的概念。他们可以通过逻辑库来创建和管理逻辑表，并使用标准的SQL语句对表进行增删改查操作，就像在传统的单个数据库中一样。中间件负责将这些操作转换为底层物理数据库的操作，同时处理分片规则、数据的分布和复制，以及提供高可用性和性能优化等功能。 前提条件 拥有天翼云实名认证账号。 DRDS实例与MySQL实例处于相同的VPC，以保证网络连通。 建议DRDS实例与应用程序、MySQL实例选择相同的安全组，三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 创建MySQL实例 具体操作，请参见创建MySQL实例。 创建DRDS实例 具体操作，请参见购买分布式关系型数据库实例。

步骤二：配置 VPC 路由 1. 创建路由表及规则：登录网络控制台，选择“路由表”选项，创建客户自定义子网路由表。在路由表中添加路由规则，将 DeepSeek 业务子网的默认路由指向 vCPE 所在的云主机；同时添加 IPv4 网关明细路由，将目的为 DeepSeek 业务子网的流量下一跳设置为 vCPE 所在的云主机。 2. 配置安全组规则：选择“访问控制 安全组”，为 vCPE 所在云主机添加安全组规则，确保放行 DeepSeek 业务子网的流量。 通过以上配置，可实现将 DeepSeek 业务流量经由 vCPE 接入天翼云 SDWAN 网络。 步骤三：配置跨境白名单 1. 告知白名单需求：联系 SDWAN 客户经理，明确告知需要访问的海外资源白名单，例如 github 等。 2. 白名单配置与通道绑定：天翼云 SDWAN 交付团队收到您的需求后，将协助您完成白名单配置工作，把 vCPE 所属的 SDWAN 网络绑定到高速跨境通道，并开启跨境加速功能。 步骤四：开启定向加速 流量分流实现加速：跨境定向加速功能开启后，vCPE 能够依据 DeepSeek 业务主机的访问类型对流量进行智能分流：对于映射到跨境白名单的流量，vCPE 会将其送入 SD WAN 高速跨境通道进行加速；对于普通上网流量，vCPE 则将其送入境内互联网。若客户购买了 SD WAN 入云服务，vCPE 还可将 SD WAN 内网访问流量送至云网关。 您可以通过DeepSeek访问海外资源验证配置是否生效。

本文带您了解使用虚拟私有云产品过程中涉及的基本概念。 名词 说明 子网 子网（subnet）是指在一个大的网络范围内，为了更好地进行资源管理，而将网络划分成的小型网络。每个子网有一个唯一的IP地址序列，可用于分配给该子网中的主机和其他网络设备。子网是虚拟私有云中的一个IP地址段，虚拟私有云中的所有资源都必须部署在子网上。 路由表 可用区资源池：路由表用于控制虚拟私有云的流量走向，路由表分为默认路由表和自定义路由表两种类型。默认路由表随着VPC自动创建，所有新建子网与默认路由表关联，不能创建也不能删除默认路由表，但可以在默认路由表中创建自定义路由规则。地域资源池：分为VPC级路由表和子网级路由表，VPC级路由表用于控制整个VPC粒度的网络流量，子网路由表和子网关联后用于控制子网粒度的网络流量。 虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的一个内网IP地址，没有分配给真实弹性云主机网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云主机。您可以通过将虚拟IP与主备弹性云主机绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 安全组 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的弹性云主机、物理机提供安全访问策略。安全组创建后，用户可以根据业务需求自定义防护规则，当弹性云主机、物理机加入该安全组后，即受到这些访问规则的保护。 ACL 网络ACL是一个子网级别的流量防护规则，您可以自定义配置网络ACL规则，并将网络ACL与子网关联，通过出方向/入方向规则管理出入子网的流量，实现对子网中云服务器实例流量的访问控制。安全组对云主机、物理机等实例进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 流量镜像 流量镜像（Traffic Mirror）功能可以将网络流量从一个或多个源端口复制到一个目标端口，以便进行分析、监控和调试。流量镜像主要是复制网卡上的流量并筛选出符合条件的报文，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击和优化网络性能。 IPv4网关 IPv4网关是连接虚拟私有云和公网的网络组件。虚拟私有云访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。对于地域资源池，没有IPv4网关产品概念。 弹性网卡 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。弹性网卡可以灵活的绑定/解绑云服务器，实现云服务器和网络的解耦。 NAT网关 NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云内的计算实例提供网络地址转换，天翼云NAT网关分为SNAT和DNAT两个功能，通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。 对等连接 对等连接（VPC Peering Connection）是指两个同一区域内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一区域内其他帐号的VPC之间创建对等连接。 VPC终端节点 VPC终端节点（VPC Endpoint，CTVPCEP）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。

本文主要介绍软件管理功能,帮助您分析和管控员工电脑的软件。 背景说明 软件管理帮助您对企业员工的应用软件进行全生命周期管理，协助企业梳理员工安装、运行软件情况，保障企业办公安全性，提升日常运维工作效率。 注意 软件管理功能需要客户端版本号为2.7.x及以上，如有需要，请 且订购套餐满足以下条件之一： 1、零信任服务套餐为基础版或企业版，点此查看零信任服务 2、已订购终端管理基础版，点击查看 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【软件管理】，查看软件管理策略和配置。 3. 可根据业务需求进行相关配置。 软件分析 1. 可查看软件分析报表，展示安装的软件总数、软件运行总数、软件分析检测周期、最新上报时间等。支持展示风险软件总数和关联的风险终端。 2. 软件列表分为两种模式进行查看，按软件查看：展示安装软件详情、软件类型、涉及用户等信息，支持查看软件详情。 3. 按终端查看：展示终端设备、用户、设备状态等信息，支持查看软件详情。

本章节主要介绍如何管理创建失败的集群。 如果集群创建失败，您可以进入数据仓库服务(DWS)管理控制台的“集群管理”页面，查看集群的状态及创建失败的原因。 查看集群创建失败的原因 1. 登录数据仓库服务(DWS) 管理控制台，在左侧导航树，单击“集群管理”，进入“集群管理”页面。 2. 在集群列表中，找到“集群状态”显示为“创建失败”的集群。 3. 单击“集群状态”列的可查看集群创建失败的原因。 您可以保存创建失败的原因显示的错误码，并联系技术支持人员协助您解决。 删除创建失败的集群 当不再需要创建失败的集群时，可以将其删除。建议您先查看集群创建失败的原因后，再删除集群。 1. 登录数据仓库服务(DWS) 管理控制台，在左侧导航树，单击“集群管理”，进入“集群管理”页面。 2. 在集群列表中，找到需要删除的创建失败的集群，然后在该集群所在行选择 “更多 > 删除”。 3. （可选）如果创建集群时绑定了弹性IP，您可以在弹出窗口中选中“释放与集群绑定的弹性IP”，将待删除集群的弹性IP资源释放。 4. 在弹出窗口中，单击“是”，删除此集群。 如果待删除集群使用了自动创建的安全组，且该自动创建的安全组没有被别的集群使用，删除集群时，该安全组也会被一并删除。

修改已有白名单分组 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击白名单与安全组，进入白名单与安全组管理页面。 5. 选择想要修改的白名单分组，单击修改 或者删除。 设置IP白名单情况下连接MySQL实例 1. 下载客户端，选择客户端版本和操作系统，下载mysqlcommunityclient8.0.261.el6.x8664.rpm客户端安装包。 2. 上传客户端安装包到linux系统。 3. 安装客户端。 plaintext rpm ivh nodeps mysqlcommunityclient8.0.261.el6.x8664.rpm 4. 连接MySQL实例。 plaintext mysql h 192.168.XX.XX P 3306 u root p 5. 返回访问报错。

本节介绍如何使用的安全接入点接入Kafka的方法，文档以Java代码为例。 前提条件 已配置正确的安全组。 已获取连接Kafka实例的地址。 如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 已创建弹性云服务器，如果使用内网同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。 需要用户先在用户管理页面创建用户，然后给对应的topic授予生产消费权限。 使用内网同一个VPC访问，实例端口为8092，实例连接地址从控制台实例详情菜单处获取，如下图所示。 Maven中引入Kafka客户端 java Kafka实例基于社区版本2.8.2/3.6.2，推荐客户端保持一致。 org.apache.kafka kafkaclients 2.8.2/3.6.2 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLPLAINTEXT"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); 生产者代码示例 java package com.justin.kafka.service.gw.sasl; import org.apache.kafka.clients.CommonClientConfigs; import org.apache.kafka.clients.producer.Callback; import org.apache.kafka.clients.producer.KafkaProducer; import org.apache.kafka.clients.producer.ProducerConfig; import org.apache.kafka.clients.producer.ProducerRecord; import org.apache.kafka.clients.producer.RecordMetadata; import org.apache.kafka.common.config.SaslConfigs; import org.apache.kafka.common.serialization.StringSerializer; import java.util.Properties; public class Producer { private final KafkaProducer producer; public final static String TOPIC "testtopic2"; public final static String BROKERADDR "192.168.0.11:8092,192.168.0.9:8092,192.168.0.10:8092"; public Producer() { Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLPLAINTEXT"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); props.put(ProducerConfig.ACKSCONFIG, "all"); props.put("retries",3); producer new KafkaProducer<>(props); } public void produce() { try { for (int i 0; i (TOPIC, data), new Callback() { public void onCompletion(RecordMetadata metadata, Exception exception) { if (exception ! null) { // TODO: 异常处理 exception.printStackTrace(); return; } System.out.println("produce msg completed, partition id " + metadata.partition()); } }); } } catch (Exception e) { // TODO: 异常处理 e.printStackTrace(); } producer.flush(); producer.close(); } public static void main(String[] args) { Producer producer new Producer(); producer.produce(); } }

参数 描述 IP地址或域名 源数据库的IP地址或域名。说明对于RAC集群，建议使用SCAN IP接入，提高访问性能。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库服务名 数据库服务名（Service Name/SID），客户端可以通过其连接到Oracle，具体查询方法请参照界面提示。 PDB名称 PDB同步仅在Oracle12c及以后的版本支持，该功能为选填项，当需要迁移PDB中的表时开启。PDB功能开启后，只能迁移该PDB中的表，并且需要提供CDB的service name/sid及用户名和密码，不需要PDB的用户名和密码。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。

本文内容介绍集群快速入门中的使用限制 为了提高实例的稳定性和安全性，文档数据库服务在使用上有一些固定限制。 功能使用限制 操作 使用限制 :: 访问实例 若文档数据库实例未开通公网访问，则必须与弹性云主机在同一个虚拟私有云子网内才能访问。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 部署 实例所部署的弹性云主机，对用户不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的rwuser权限 创建实例页面只提供管理员帐户rwuser权限。 修改数据库参数设置 用户创建的参数组中大部分数据库参数可以修改。 数据迁移 可以使用mongoexport和mongoimport命令行工具等方式迁移数据。 存储引擎 支持WiredTiger存储引擎。 重启实例或节点 必须通过管理控制台操作重启实例。 查看备份文件 文档数据库服务在对象存储服务上的备份文件，对用户不可见。

本节为您介绍数据安全中心提供的功能。 功能特性 说明 数据安全总览 展示数据安全全生命周期各个阶段的状态，包括云服务全景图（资产地图）、数据采集安全、数据传输/存储安全和数据交换/删除安全，实时呈现了用户资产的具体情况。 资产地图 通过可视化方式，从资产概况、分类分级、权限配置、数据存储、敏感数据等多个维度查看资产的安全状态，可快速发现风险资产并进行快速风险处理。 资产管理 资产列表：支持管理OBS、数据库、大数据和MRS数据资产。 数据目录：可查看不同业务域或不同类型数据的统计信息。 数据探索：查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。 元数据任务：采集原数据。 数据管理：对现有数据进行分组管理。 敏感数据识别 数据自动分级分类：在AI和专家知识库的双重加权下，精确识别敏感数据和文件，覆盖结构化（RDS）和非结构化（OBS）两种数据类型，实现云上全场景覆盖。 文件类型：支持近200种非结构化文件。 数据类型：支持数十种个人隐私数据类型，包含中英文。 图片类型：支持识别（png、jpeg、xportablepixmap、tiff、bmp、gif、jpx、jp2总共8种类型）图片中的敏感文字，包含中英文。 合规模板：多种内置合规知识库，如GDPR，PCI DSS，HIPAA等。 自动识别敏感数据： 自动识别敏感数据及个人隐私数据。 支持自定义规则，场景适配不同行业。 提供可视化识别结果。 DSC服务敏感数据的识别时长将由您所扫描数据源的数据量、扫描规则数、扫描模式决定。 数据风险检测 用户异常行为分析：基于深度行为识别技术，建立用户行为基线，实现基线外异常操作实时告警，行为操作实时查询，行为轨迹可视化，风险事件关联识别，针对风险事件关联用户操作，完善溯源审计链条。 通常情况下，以下行为均被视为异常事件： 非法用户在未经授权的情况下对敏感数据进行了访问、下载。 合法用户对敏感数据进行了访问、下载、修改、权限更改、权限删除。 合法用户对敏感数据的桶进行权限更改、权限删除。 访问敏感数据的用户登录终端异常等情况。 数据脱敏 DSC的数据脱敏支持静态脱敏和动态脱敏。 DSC的数据脱敏特点： 不影响用户数据：从原始数据库读取数据，通过精确的脱敏引擎，对用户的敏感数据实施静态脱敏，脱敏结果另行存放，不会影响原始的用户数据。 支持云上各类场景：支持RDS，ECS自建数据库，大数据合规。 满足多种脱敏需求：用户可以通过20+种预置脱敏规则，或自定义脱敏规则来对指定数据库表进行脱敏。 实现一键合规：基于扫描结果自动提供脱敏合规建议，一键配置脱敏规则。 DSC通过内置和自定义脱敏算法，实现对RDS、Elasticsearch数据进行脱敏。 数据水印 针对PDF、PPT、Word、Excel格式的文件提供了添加和提取水印的功能。 版权证明：嵌入数据拥有者的信息，保证资产唯一归属，实现版权保护。 追踪溯源：嵌入数据使用者的信息，在发生数据泄露事件时，追踪其泄露源头。 同时，DSC提供了数据动态添加水印和提取数据水印的API接口供您使用。 告警通知 通过设置告警通知，当敏感数据检测完成后或异常事件处理监测到异常事件时，数据安全中心会将其检测结果通过用户设置的接收通知方式发送给用户。

本文为您介绍在本地客户端通过FTP上传文件时,写入文件或者传输文件失败的问题处理方法。 故障描述 使用FTP上传文件时，写入文件或者传输文件失败。 约束与限制 本文档适用于服务端为Windows系统上的FTP服务。 故障原因 弹性公网IP与内网IP是通过NAT方式绑定的，因此本地访问弹性云主机时，客户端是通过被动模式连接服务端的，在这种情况下，服务端的IP地址无法从路由器外部访问，所以需要在服务端的对外IP中填写此弹性云主机分配的公网IP，同时设置数据传输端口范围来限制需要通过路由器转发的端口数量。 解决步骤 1. 检查FTP服务的地址是否填写正确 点击“ 服务器管理器 > 工具 > Internet Information Services(IIS)管理器” ，然后选择左边栏点击“ 网站” 。首先查看建立的FTP绑定的IP是否填写的是内网IP，类型为FTP。 图1 查看FTP所绑定的IP 2. 检查服务端的FTP防火墙支持配置 展开“ 网站” ，会显示建立的FTP服务，双击右侧的FTP防火墙支持。 图2 FTP防火墙支持 数据通道端口范围需要填写102465535范围内的，比如2000020045。 防火墙的外部IP地址这一栏需要填写分配到的 公网IP 。 3. 检查安全组设置 点击“ 控制中心 > 服务列表 > 弹性云主机” ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择“ 安全组” ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和上面配置的数据通道端口这两条。 图3 安全组配置 4. 在客户端测试 一种方法是使用FileZilla填写弹性云主机的公网ip，FTP的用户名和密码，端口填写21。 另一种方法是访问ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入FTP的用户名和密码。

网络类型 使用场景 准备工作 VPC网络 适合云上同区域数据库之间的迁移。 源数据库所在的区域要和目标数据库实例所在的区域保持一致。 源数据库可以和目标数据库在同一VPC内，也可以在不同VPC内。 当源数据库和目标数据库处于同一个VPC内的时候，默认网络是连通的，不需要单独设置安全组。 当源数据库和目标数据库不在同一个VPC内的时候，要求源数据库和目标数据库所处的子网处于不同网段，不能重复或交叉， 此时需要通过对等连接实现网络互通。针对这种情况，DRS会在测试连接时自动按照单IP最小范围打通建立路由。 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库迁移、或云上跨区域的数据库之间的迁移。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据迁移。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨区域的数据库之间的迁移。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合将其他云下或其他平台的数据库迁移到目标数据库。 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 开启公网访问源数据库端实例需要根据具体的场景，由用户端开启公网访问。设置安全组规则源数据库需要将DRS迁移实例的弹性IP添加到其网络入口白名单内， 使源数据库与DRS迁移实例可以连通。由于目标数据库和DRS迁移实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。在选择公网网络进行迁移时， 如果没有开启SSL安全连接加密迁移链路的功能，请确保待迁移的数据为非机密数据，再进行数据迁移。