基础配置 集群名称。 企业项目： 该参数仅对开通企业项目的企业客户帐号显示。 选择某企业项目（如：default）后，集群、集群下节点、集群安全组、节点安全组和自动创建的节点EIP（弹性公网IP）将创建到所选企业项目下。为方便管理资源，在集群创建成功后，建议不要修改集群下节点、集群安全组、节点安全组的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。了解更多企业项目相关信息，请查看企业管理。 集群版本：选择集群使用的Kubernetes版本。 集群规模：集群支持管理的最大节点数量，请根据业务场景选择。创建完成后支持扩容，不支持缩容。 高可用：控制节点分布方式，默认随机分配，控制节点尽可能随机分布在不同可用区以提高容灾能力。您还可以展开高级配置自定义控制节点分布方式，支持如下2种方式。 随机分配：通过把控制节点随机创建在不同的可用区中实现容灾。 自定义：自定义选择每台控制节点的位置。 主机：通过把控制节点创建在相同可用区下的不同主机中实现容灾。 自定义：用户自行决定每台控制节点所在的位置。 网络配置 集群网络涉及节点、容器和服务，强烈建议您详细了解集群的网络以及容器网络模型，具体请参见网络概述。 网络模型：CCE集群支持“VPC网络”和“容器隧道网络”，详细介绍请参见VPC网络和 容器隧道网络。CCE Turbo集群支持“云原生网络2.0”。 虚拟私有云：选择集群所在的虚拟私有云VPC，如没有可选项可以单击右侧“新建虚拟私有云”创建。创建后不可修改。 说明 1.15及以上版本容器隧道网络的CCE集群支持开启IPv4/IPv6双栈。 v1.23.8r0及以上版本的CCE Turbo集群支持开启IPv4/IPv6双栈。 控制节点子网：选择控制节点（即集群Master节点）所在子网，如没有可选项可以单击右侧“新建子网”创建。创建后控制节点子网不可修改。 容器网段：设置容器使用的网段。VPC网络模型支持添加多个容器网段，且支持集群创建后添加容器网段。 默认容器子网（CCE Turbo集群设置）：选择容器所在子网，如没有可选项可以单击右侧“新建子网”创建。容器子网决定了集群下容器的数量上限，创建后支持新增子网。 服务网段：同一集群下容器互相访问时使用的Service资源的网段。决定了Service资源的上限。 创建后不可修改。

会前设置 1. 创建者预定会议时，在预定会议页面勾选“开启等候室”。 会中设置 1. 点击底部工具栏 “安全”按钮，在“安全设置”弹窗的“会议管理”标签页，勾选“开启等候室”。 2. 点击底部工具栏 “成员”按钮，选择一个成员，点击“更多”>“移至等候室”，则将该成员移至等候室的同时，也会开启等候室。 如何关闭等候室 会前设置 1. 创建者编辑会议时，在编辑会议页面将“开启等候室”取消勾选，再点击“确认”。 会中设置 1. 点击底部工具栏 “安全”按钮，在“安全设置”弹窗的“会议管理”标签页，将“开启等候室”取消勾选即可。如果已有成员在等候中，关闭等候室时会弹窗提示，主持人可在“等候室已关闭”的弹窗中，选择查看等候室或全部准入。 将会中成员移至等候室 1. PC端主持人：点击底部工具栏 “成员”按钮，选中成员后点击“更多”>“移至等候室”即可。 2. 移动端主持人：点击底部工具栏 “成员”按钮，点击选中的成员，点击“移至等候室”即可。 如何管理等候室成员 1. 开启等候室后，当有新成员进入等候室时，主持人/联席主持人的底部工具栏“成员”按钮会显示红色数字图标，提示等候中的成员数量。点击“成员”按钮，即可在“成员管理”>“等候中”页面查看正在等候室中的成员。 2. 选中等候中的成员，点击【移出】，在“移出等候成员”的弹窗再次点击“移出”即可将该成员移出等候室。如果在弹窗中勾选“不允许用户再次加入该会议”后再点击“移出”，该成员后续将无法再通过任何方式加入本场会议，除非主持人在会中主动邀请他加入。点击“全部移出”，即可将等候室中所有成员移出。 3. 选中等候中的成员，点击“准入”按钮，在“准入等候成员”的弹窗再次点击“准入”即可允许该成员加入会议，这个准入是单次有效的，如果成员离开会议后再加入还会先进入等候室。如果在弹窗中勾选“允许本场自动准入”后再点击“准入”，该成员后续加入本场会议都将跳过等候室直接进入会议中。如果点击“全部准入”，即允许等候中的所有成员加入该会议。 4. 如果在准入时勾选了“允许本场自动准入”，后续在将其移出会议时，如果在“移出会议”弹窗中勾选了“回收本场自动准入权限”再点击“移出会议”，则该成员后续再加入该会议时，还是会先进入等候室。

本文介绍SQL Server与其他服务的关系。 虚拟私有云（VPC） VPC是基于天翼云创建的自定义私有网络，为SQL Server提供一个逻辑上完全隔离的专有网络。使用VPC中的安全组、IP地址段、带宽等网络特性，可增强SQL Server服务的安全性。 弹性云主机（ECS） SQL Server配合弹性云主机一起使用，通过内网连接SQL Server可以有效地降低应用响应时间、节省公网流量费用。 弹性IP（EIP） SQL Server配合弹性IP一起使用，为您的实例提供公网访问方式。

本节主要介绍分布式缓存服务Redis版监控安全风险 分布式缓存提供资源和操作监控能力，可以对每个缓存实例镜像实时监控、告警和通知操作。用户可以实时掌握实例的QPS、资源使用率、连接数等关键信息。 分布式缓存支持的监控指标以及告警管理等内容，参考产品监控。

本节介绍了文档数据库服务的权限管理说明。 如果您需要对云上购买的DDS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云账号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DDS的使用权限，但是不希望他们拥有删除DDS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DDS，但是不允许删除DDS的权限策略，控制他们对DDS资源的使用范围。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DDS服务的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 DDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DDS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了DDS的所有系统权限。 DDS系统权限 策略名称/系统角色 描述 类别 依赖关系 DDS FullAccess 文档数据库服务所有权限。 系统策略 无 DDS ReadOnlyAccess 文档数据库服务资源只读权限，拥有该权限的用户仅能查看文档数据库服务数据。 系统策略 无 DDS ManageAccess 文档数据库服务除删除操作外的DBA权限。 系统策略 无 DDS Administrator 文档数据库服务（DDS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest和Tenant Administrator角色，在同项目中勾选依赖的角色。 下表列出了DDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 DDS FullAccess DDS ReadOnlyAccess DDS ManageAccess DDS Administrator 创建实例 √ x √ √ 查询实例列表 √ √ √ √ 删除实例 √ x x √ 重启实例 √ x √ √ 主备倒换 √ x √ √ 修改端口 √ x √ √ 重置密码 √ x √ √ 修改SSL √ x √ √ 修改安全组 √ x √ √ 绑定/解绑公网IP √ x √ √ 磁盘扩容 √ x √ √ 规格变更 √ x √ √ 节点扩容 √ x √ √ 删除扩容失败节点 √ x × √ 修改备份策略 √ x √ √ 重命名实例 √ x √ √ 修改内网IP地址 √ x √ √ 变更实例下节点绑定的参数模板 √ x √ √ 切换慢日志明文显示开关 √ x √ √ 切换审计日志开关 √ x √ √ 下载审计日志 √ x √ √ 删除审计日志 √ x × √ 下载备份文件 √ x √ √ 创建手动备份 √ x √ √ 查询备份列表 √ √ √ √ 恢复到新实例 √ x √ √ 恢复到已有实例 √ x √ √ 删除备份 √ x × √ 创建参数模板 √ x √ √ 查询参数模板列表 √ √ √ √ 修改参数模板 √ x √ √ 删除参数模板 √ x × √ 任务中心列表 √ x √ √ 下表列出了DDS常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 创建页需要查询对应的VPC、子网、安全组。 创建实例 dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 dds:instance:list 查询实例详情 dds:instance:list 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 导出实例列表 dds:instance:list 如果需要导出VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 删除实例 dds:instance:deleteInstance 删除实例需要同时删除数据侧IP地址。 重启实例 dds:instance:reboot 主备倒换 dds:instance:switchover 修改端口 dds:instance:modifyPort 重置密码 dds:instance:resetPasswd 修改SSL dds:instance:modifySSL 修改安全组 dds:instance:modifySecurityGroup 绑定公网IP dds:instance:bindPublicIp 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP dds:instance:unbindPublicIp 不支持企业项目 不支持细粒度 磁盘扩容 dds:instance:extendVolume 规格变更 dds:instance:modifySpec 节点扩容 dds:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 删除扩容失败节点 dds:instance:extendNode 如果IP地址已经创建完成，但后续流程失败，需要同时删除数据侧IP地址。 修改备份策略 dds:instance:modifyBackupPolicy 重命名实例 dds:instance:modify 修改内网IP地址 dds:instance:modifyVIP vpc:subnets:get vpc:ports:get 修改内网IP地址，需要预先查询出可用的IP地址，再进行修改。 变更实例下节点绑定的参数模板 dds:instance:modifyParameter 切换慢日志明文显示开关 dds:instance:modifySlowLogPlaintextSwitch 切换审计日志开关 dds:instances:modifyAuditLogSwitch 下载审计日志 dds:instances:downloadAuditLog 删除审计日志 dds:instance:deleteAuditLog 下载备份文件 dds:backup:download 创建手动备份 dds:instance:createManualBackup 查询备份列表 dds:backup:list 恢复到新实例 dds:backup:createInstanceFromBackup vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 加密实例需要在项目上配置KMS Administrator权限。 恢复到已有实例 dds:backup:refreshInstanceFromBackup 删除备份 dds:backup:delete 创建参数模板 dds:param:create 查询参数模板列表 dds:param:list 修改参数模板 dds:param:modify 删除参数模板 dds:param:delete 任务中心列表 dds:task:list

本节介绍了GPU云主机操作类相关问题。 重装操作系统失败如何处理？ 如果重装操作系统失败，页面会提示重装操作系统失败，运维人员会在后台进行人工恢复，如果您有紧急业务需要立即恢复，请通过在官网提交工单来联系运维人员进行紧急恢复。 无法导入密钥对，怎么办？ 当您的浏览器是IE9 时，可能无法导入密钥对或无法使用文件注入功能，请参考如下步骤修改浏览器默认属性后重试。 1. 在浏览器主界面，单击。 2. 选择“Internet 选项”。 3. 单击选择“安全”页签。 4. 单击“Internet”。 5. 如果安全级别显示为“自定义”，单击“默认级别”按钮，把设置还原为默认级别。 6. 滑动安全级别滑块，把安全级别调到“中”级别，单击“应用”按钮。 7. 选择“自定义级别”。 8. 将“对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本”设置为“提示”。 9. 单击“确定”。 若仍不能解决请在官网提交工单来联系运维人员进行解决。 我创建的GPU云主机是否在同一子网？ 由于您可以自定义网络，所以GPU云主机是否在一个子网，完全由您来控制。 您可以在虚拟私有云内创建一个或多个子网，子网划分可以帮助您合理规划IP地址资源，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改，如何规划子网网段、数量请参见如何规划子网网段、数量；如何进行子网管理请参见子网管理。

态势感知（Situation Awareness，SA）是可视化威胁检测和分析的平台。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。

本节介绍如何对主机进行授权。 操作场景 该任务指导用户通过漏洞扫描服务对已添加的Linux主机进行扫描授权。 前提条件 已获取管理控制台的登录账号与密码。 已添加Linux主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。 8. 单击“确定”，Linux主机授权成功。

事件名称 读写类型 租户管理获取ICP状态 读类型 租户的所有实例详情 读类型 独享版租户节点实时信息 读类型 独享版租户查询实例列表 读类型 独享版租户详情 读类型 独享版租户修改实例信息 读类型 独享版租户查询用户可用的eip列表 写类型 独享版租户绑定eipipv4 写类型 独享版租户解绑eipipv4 写类型 独享版防护对象新增 写类型 独享版防护对象更新 写类型 独享版防护对象查询 读类型 独享版防护对象详情 读类型 独享型和saas型的防护对象查询 读类型 ELB防护对象查询ELB防护对象的可用资源池 读类型 安全策略详情 读类型 安全策略更新 写类型 规则组查询 读类型 增强型bot规则查询统计 读类型 增强型bot规则查询 读类型 精准防护查询统计 读类型 精准防护查询 读类型 访问规则新增 写类型 访问规则查询统计 读类型 访问规则查询 读类型 访问规则详情 读类型 访问规则查询加密套件 读类型 访问规则获取可用端口 读类型 访问规则API安全获取防护对象 读类型 访问规则查询WAF回源IP段 读类型 访问规则查询域名是否备案 读类型 访问规则根据资源池id获取cname 读类型 API列表查询 读类型 API安全业务用途查询 读类型 全局规则表对应非全局配置的policy表详情 读类型 管理归档日志查询 读类型 管理归档日志获取当前实例已使用的归档空间 读类型

此小节介绍数据库安全查看数据库的会话分布情况。 添加的数据库连接到数据库安全审计实例后，您可以查看该数据库的会话分布情况。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入会话界面，操作步骤如下图所示。 4. 查看会话分布表，在“选择数据库”下拉列表框中，选择“全部数据库”或指定的数据库，可以查看实例中所有的数据库或指定的某个数据库的会话信息。选择审计的时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击按钮，选择开始时间和结束时间，查看指定的时间段的会话信息。

本章节主要介绍如何创建分布式消息服务RabbitMQ实例。 RabbitMQ是一款基于AMQP协议的开源服务，用于在分布式系统中存储转发消息，服务器端用Erlang语言（支持高并发、分布式以及健壮的容错能力等特点）编写，支持多种语言的客户端，如：Python、Ruby、.NET、Java、JMS、C、PHP、ActionScript、XMPP、STOMP、AJAX等。 AMQP，即Advanced Message Queuing Protocol，高级消息队列协议，是应用层的一个开放标准协议。 前提条件 在创建RabbitMQ专享版实例前，需要保证存在可使用的虚拟私有云。创建虚拟私有云的方法，请参考《虚拟私有云用户指南》。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 为RabbitMQ授权 如果RabbitMQ实例需要开启IPv6功能，在创建实例前，需要授予RabbitMQ操作VPC终端节点的权限，否则会导致创建失败。 在IAM控制台创建委托，委托参数如下，其他参数保持默认，创建委托的具体步骤请参见《统一身份认证服务 用户指南》的“委托 > 委托其他云服务管理资源”章节。 委托名称：dmsadmintrust 委托类型：云服务 云服务：分布式消息服务 持续时间：永久 委托将拥有所选策略：DMS VPCEndpointAccess 操作步骤 步骤1 登录管理控制台。 步骤2 在管理控制台右上角单击，选择区域资源池。 说明 此处请选择与您的应用服务相同的区域。 步骤3 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务>RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤4 单击页面右上方的“购买RabbitMQ实例”。 每个项目默认最多可以创建100个RabbitMQ专享版实例，如果您想创建更多实例，请联系客服申请增加配额。 步骤5 选择“计费模式”、“区域”、“项目”和“可用区”。 步骤6 设置“实例名称”和“企业项目”。 步骤7 设置实例信息。 1. 版本：RabbitMQ的版本号，当前仅支持3.8.35。 2. 实例类型：支持“单机”和“集群”。 单机：表示部署一个RabbitMQ代理。 集群：表示部署多个RabbitMQ代理，实现高可靠的消息存储。 3. 鲲鹏实例：“创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 4. 规格：根据实际情况选择规格。 说明 为了保证服务的稳定可靠，RabbitMQ采用了默认的40%高水位配置。当内存占用率到达40%高水位后，会触发流控，生产者发送消息会被阻塞。为了避免高水位的产生，请及时消费积压在队列中的消息。 5. 代理个数：根据实例情况选择代理个数。 6. 存储空间：选择RabbitMQ实例的磁盘类型和存储空间总量。 单机实例的取值范围：100GB ~ 30000GB 集群实例的取值范围为：100GB 代理数 ~ 30000GB 代理数 7. 虚拟私有云：选择已经创建好的虚拟私有云和子网。 虚拟私有云可以为您的RabbitMQ专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 说明 虚拟私有云和子网在RabbitMQ实例创建完成后，不支持修改。 子网开启IPv6后，RabbitMQ实例支持IPv6功能。 实例创建成功后，不支持修改IPv6开关。 使用内网IPv6方式连接实例需要通过VPC终端节点实现，使用期间会产生VPC终端节点的费用。 8. 安全组：在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 图1 设置实例信息 步骤8 设置连接RabbitMQ实例的用户名和密码。 步骤9 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤10 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 您可以选择是否打开公网访问开关。 如果选择了开启，表示访问RabbitMQ实例可以通过弹性IP访问。这时页面会显示“弹性IP地址”，在“弹性IP地址”区域，您可下拉选择已有的弹性IP。另外，您可单击右侧的“创建弹性IP”，跳转到网络控制台的弹性IP页面，购买弹性IP。 图2 购买RabbitMQ实例时公网访问设置 说明 公网访问与VPC内访问相比，可能存在网络丢包和抖动等情况，且访问时延有所增加，因此建议仅在业务开发测试阶段开启公网访问进行调试。 如果用户在虚拟私有云的服务页面手动解绑定或删除EIP，相应RabbitMQ实例的公网访问功能会自动关闭。 2. 设置“SSL”。 客户端连接实例时SSL认证的开关。开启SSL，则数据加密传输，安全性更高。 SSL开关在实例创建完成后不支持修改，请明确是否需要开启 。 3. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击右侧的“查看预定义标签”，系统会跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个RabbitMQ实例最多支持设置20个不同标签。 4. 设置实例的描述信息。 步骤11 填写完上述信息后，单击“立即购买”，进入“规格确认”页面。 步骤12 确认实例信息无误且阅读并同意《分布式消息服务RabbitMQ服务等级协议》、《天翼云分布式消息服务协议》后，提交请求。 步骤13 在实例列表页面查看实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的RabbitMQ实例，然后重新创建。如果重新创建仍然失败，请联系客服。

本文介绍了RDSPostgreSQL如何绑定弹性公网IP。 RDSPostgreSQL产品实例绑定公网IP指引如下： 操作场景 RDSPostgreSQL实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。RDSPostgreSQL服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。因底层架构支持原因，仅部分资源池支持弹性公网IP功能。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址或者IP段加安全组入方向的访问规则。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的RDSPostgreSQL在同一区域的弹性云服务器上。 操作步骤 1. 在“实例管理”页面，选择目标实例，单击实例名称，进入单个实例的管理页面。 2. 在管理也中的“网络”>“弹性IP”中，单击“绑定弹性IP”。 3. 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，前往创建弹性公网IP。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

说明：本章节会介绍如何对数据库实例绑定公网IP 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云服务器上。 绑定弹性公网IP 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏，单击“弹性公网IP”，单击“绑定弹性公网IP”。 步骤 3 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，获取弹性公网IP。 步骤 4 在“弹性公网IP”页面，查看绑定成功的弹性公网IP。 您也可以在“任务中心”页面，查看“实例绑定弹性公网IP”任务的执行进度及结果。

对比项 开源自建 分布式消息服务Kafka 低成本运维 需要专业人员资源规划、部署、运维。 一键开通，全托管。提供多种规格，按需使用，支持一键式节点数、磁盘存储空间和节点规格扩容。 分区规模 千级分区稳定性下降。 支持万级分区稳定写入。 消息查询 命令行可以消费，但无法根据位点或者时间直接定位到具体的消息。 控制台可视化按时间或者位点直接查看消息。 ACL访问控制 命令行，配置复杂。 灵活配置，一键生效。 可视化配置 命令行，配置复杂。 控制台全方位可视化配置管理。 运维监控 缺乏配套的监控运维能力。 提供全引擎指标可视化监控，告警及时发现问题。 集群巡检 命令行，配置复杂。 引擎状态、主题一键健康检测、启停。 稳定可靠 需要自己开发或基于开源实现，开发成本高昂，无法保证业务可靠运行。 支持跨AZ部署，提升可靠性。 安全保证 需要自行进行安全加固。 VPC隔离，支持SSL通道加密。 简单易用 无，需要自己开发。 提供简单的实例管理RESTful API，使用门槛低。

虚拟私有云 虚拟私有云为分布式缓存服务Redis版实例提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云产品定义。 弹性云主机 分布式缓存服务Redis版订购后，默认按照用户选择的实例规格开通弹性云主机，云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式缓存服务Redis持久稳定运行。更多信息请参见弹性云主机产品定义。 云硬盘 分布式缓存服务Redis版订购后，默认按照一定的存储大小开通云硬盘。云硬盘是一种可弹性扩展的块存储设备，可以为分布式缓存服务Redis提供高性能、高可靠的块存储服务。更多信息请参见云硬盘产品定义。 弹性IP 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式缓存服务Redis动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式缓存服务Redis版实例的需求，用户可开通弹性IP后，在Redis实例开通页面进行绑定。更多信息请参见绑定公网IP。

本文介绍文档数据库服务的使用限制说明。 为了提高实例的稳定性和安全性，文档数据库服务在使用上有一些固定限制。 操作 使用限制 :: 连接DDS实例 通过内网连接DDS实例时，需要为已准备的弹性云主机绑定弹性IP，并确保实例与该弹性云主机在同一个区域、可用区、虚拟私有云子网内。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 部署 实例所部署的弹性云主机，对用户不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的rwuser权限 创建实例页面只提供管理员帐户rwuser权限。 该权限下用户需要关注的命令请参见[]( 5.12%E6%94%AF%E6%8C%81%E4%B8%8E%E9%99%90%E5%88%B6%E7%9A%84%E5%91%BD%E4%BB%A4)支持与限制的命令。 配置数据库参数 用户创建的参数组中大部分数据库参数可以修改，具体请参见编辑参数组。 数据迁移 可以通过命令行工具和数据复制服务迁移数据，具体请参见数据迁移[](

本文介绍了购买与连接RDSPostgreSQL实例的流程说明。 步骤1：创建RDSPostgreSQL实例。 步骤2：创建天翼云弹性云主机。 步骤3：安装PostgreSQL客户端连接RDSPostgreSQL实例。 操作步骤1：创建RDSPostgreSQL实例 1. 登录【天翼云官网】。 2. 登录后，点击首页右上角选择【控制中心】，进入控制中心界面。 3. 控制中心页面左上角，选择您想创建实例的资源池。 4. 选择【数据库 > 关系数据库PostgreSQL版】，进入RDSPostgreSQL控制台。 5. 在“概览”页面，单击“立即开通”。 6. 在“实例订购”页面，选择PostgreSQL组件引擎，填写并选择实例相关信息后，单击“立即购买”，具体可参考订购实例。 注意 开通实例时需选择【加入白名单】选项，保证VPC内的云主机可连通实例。 操作步骤2：创建天翼云弹性云主机 1. 登录【天翼云官网】。 2. 登录后，点击首页右上角选择【控制中心】，进入控制中心界面。 3. 控制中心页面左上角，选择与您RDSPostgreSQL实例相同的资源池。 4. 选择“计算 > 弹性云主机”。 5. 单击“创建云主机”。 6. 选择“计费模式”：“包年/包月”或“按量付费”。 7. 选择“地域”。 8. 选择“可用区”。 9. 选择“企业项目”。 10. 选择“虚拟私有云”。 11. 填写“实例名称”。 12. 填写“主机名称”。 13. 选择“规格”。 14. 选择“镜像类型”。 15. 设置“存储”，包括系统盘和数据盘。 16. 点击“下一步：网络配置”。 17. 设置“网卡”：在下拉列表中选择可用的虚拟私有云、子网，并设置私有IP地址的分配方式。 18. 设置“安全组”：在下拉列表中选择可用的安全组，或新建安全组使用。 19. 设置“弹性IP”。 20. 点击“下一步：高级配置”。 21. 选择“登录方式”和“创建密码”选项。 22. 点击“下一步：确认配置”。 23. 在“确认配置”页面，查看云主机配置详情。 24. 如果您确认配置无误，单击“立即购买”。

报障 使用云电脑过程中，如遇到问题，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 一键优化 当云电脑遇到卡顿情况时，可以进行检测优化。控制中心点击“一键优化”开启优化程序。 网络检测 控制中心点击“网络检测”。 可以查看详细的网络状态：往返时延，网速上下行。 点击“检测网速”，可以检测当前网络的下载带宽，上传带宽，网络时延，抖动，丢包率，以及过去的网络时延变化统计。 安全中心登录设备管理 控制中心点击“安全中心”。 登录设备 ：可查看账号名称，登录设备，IP地址，登录时间以及下线时间。 设备管理 ：如需查看云电脑登录的设备或移除设备，用户中心点击“安全中心”，选择“设备管理”。 点击对应的设备，进入设备详情，点击底部按钮“移除设备”，确认移除后，该设备已登录的账号和密码缓存将被清除。 异常记录 ：如登录云电脑更换了新设备或者更换了城市，首次登录会提示异常记录。

本节主要介绍创建委托（委托方操作） 通过创建委托，可以将资源共享给其他帐号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的帐号登录后，切换到委托方帐号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保帐号安全。 操作步骤 步骤 1 委托方使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”分类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“委托”。 步骤 4 在“委托”页面，单击“＋创建委托”。 步骤 5 在“创建委托”页面，输入“委托名称”，“委托类型”选择“普通帐号”，在“委托的帐号”中输入需要建立委托关系的其他帐号的帐号名。 说明 普通帐号：将资源共享给其他帐号或委托更专业的人或团队来代为管理帐号中的资源。委托的帐号只能是帐号，不能是IAM用户名。 云服务：授权指定云服务使用其他云服务。详情请参见“委托其他云服务管理资源” 步骤 6 设置“持续时间”及“描述”信息。 步骤 7 单击“下一步”，进入给委托授权页面。 步骤 8 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围。 说明 给委托授权即给其他帐号授权，给用户组授权即给帐号中的IAM用户授权，两者操作方法相同，仅可选择的权限个数不同，授权操作请参见“给用户组授权”。 为了保障您的帐号安全，委托将不能添加Security Administrator权限，建议您按照业务场景为委托授予最小权限。 步骤 9 单击“确定”，委托创建完成。 说明 委托方操作完成，将自己的帐号名称、创建的委托名称、委托ID以及委托的资源权限告知被委托方后，被委托方可以通过切换角色至委托方帐号中管理委托资源。

本章节主要介绍数据仓库服务如何查看其它资料并清理资源。 查看其它资料 完成如上操作步骤后，我们推荐您可以参考如下资料继续对数据仓库服务进行更详细深入的了解： 《数据仓库服务用户指南》：本指南在此入门的基础上，对创建、管理、监控以及连接集群的概念和相关操作提供全面详细的信息。 《数据仓库服务数据库开发指南》：本指南在此入门的基础上，为数据库开发人员提供全面详细的信息，帮助他们了解如何构建、管理和查询DWS 数据库，包括SQL语法、用户管理、数据导入导出等指导。 清理资源 当完成快速入门的样例后，如果您不再需要使用本样例创建的样例数据、集群、ECS以及VPC时，您可以删除这些资源，以免资源浪费或占用您的配额。 1.删除DWS 集群。 在DWS 管理控制台，单击“集群管理”，在集群列表中集群“dwsdemo”所在行，单击“更多 > 删除”。然后在弹出对话框中勾选“释放与集群绑定的弹性IP”，单击“确定”。 如果待删除集群使用了自动创建的安全组，且该自动创建的安全组没有被别的集群使用，删除集群时，该安全组也会一起被自动删除。 2.删除子网。删除前请先确保该子网未被其他资源绑定。 登录虚拟私有云管理控制台，在左侧导航树单击“虚拟私有云”，在虚拟私有云列表中，单击名称“vpcdws”，然后在子网列表中“subnetdws”所在行单击“删除”。 3.删除虚拟私有云。删除前请先确保该虚拟私有云未被其他资源绑定。 登录虚拟私有云管理控制台，在虚拟私有云列表中，找到虚拟私有云“vpcdws) ”，单击其所在行的“删除”。 具体步骤，请参见《虚拟私有云用户指南》中“虚拟私有云和子网 > 删除虚拟私有云”章节。

本文主要介绍 不使用SASL证书连接。 本文主要介绍在命令行模式下不使用SASL证书连接Kafka实例的操作，其中包含内网访问和公网访问两种连接场景。 在不使用SASL证书的场景下，通过内网访问和通过公网访问，仅涉及连接IP和端口不一致，其他操作步骤是一样的。内网访问的连接端口为9092，公网访问的连接端口为9094。 文中仅介绍公网访问的连接示例，如果使用内网访问时，替换相应的连接地址即可。 说明 Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过 前提条件 1.已配置正确的安全组，安全组规则请参考准备环境中 表安全组规则。 2.已获取连接Kafka实例的地址。 如果是使用内网通过同一个VPC访问，实例端口为9092，实例连接地址获取如下图。 图使用内网通过同一个VPC访问Kafka实例的连接地址（实例未开启SASL） 如果是公网访问，实例端口为9094，实例连接地址获取如下图。 图 公网访问Kafka实例的连接地址（实例未开启SASL） 3.如果Kafka实例未开启自动创建Topic功能，获取Topic名称。 在实例的Topic管理页签中获取（可选）步骤三：创建Topic中创建的Topic名称。 图 查看Topic名称 4.已购买ECS，并完成JDK安装、环境变量配置以及Kafka开源客户端下载，具体操作请参考准备环境。

对比项 自建Kubernetes集群 云容器引擎 易用性 自建Kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案，管理复杂。每次升级集群的过程都是巨大的调整，带来繁重的运维负担。 简化集群管理，简单易用 借助云容器引擎，您可以一键创建和升级Kubernetes容器集群，无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用，使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的Helm标准模板，真正实现开箱即用。 您只需启动容器集群，并指定想要运行的任务，云容器引擎帮您完成所有的集群管理工作，让您可以集中精力开发容器化的应用程序。 可扩展性 自建Kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署，可扩展性差。 灵活集群托管，轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容，并可以自由组合多种弹性策略，以应对业务高峰期的突发流量浪涌。 可靠性 自建Kubernetes集群操作系统可能存在安全漏洞和配置错误，这可能导致未经授权的访问、数据泄露等安全问题。 企业级的安全可靠 云容器引擎提供容器优化的各类型操作系统镜像，在原生Kubernetes集群和运行时版本基础上提供额外的稳定测试和安全加固，减少管理成本和风险，并提高应用程序的可靠性和安全性。 高效性 自建Kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库，镜像拉取方式多采用串行传输，效率低。 镜像快速部署 云容器引擎配合容器镜像服务，镜像拉取方式采用并行传输，确保高并发场景下能获得更快的下载速度，大幅提升容器交付效率。

本页介绍了文档数据库服务的默认权限机制。 文档数据库服务在与社区原生版本MongoDB相比时，针对不断增长的安全挑战进行了一系列的增强措施。与社区原生版本不同，文档数据库服务采用的默认的安全策略，要求连接数据库时必须进行鉴权，否则无法使用数据库。这种改进确保了文档数据库服务的安全性。 带鉴权的连接url： mongodb:// : @ : / ?authSourceadmin 不带鉴权的连接url： mongodb:// : / 数据库实例创建后，系统会创建默认的管理员用户root，但是需要客户指定密码，并满足密码复杂度要求。

归属模块 授权项 权限说明 权限依赖 云原生网关CGWadmin 云原生网关CGWviewer IAM项目 企业项目 产品订购 cgw:inst:createinstance 产品开通 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:delinstance 产品退订 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:extendinstance 产品扩容 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:instancebillmode 包周期按需互转 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:renewinstance 产品续订 无 ✓ ✗ ✓ ✗ 网关实例管理 cgw:inst:getSpuInstInfo 查询实例相关信息 无 ✓ ✓ ✓ ✗ 网关实例管理 cgw:inst:instancelist 查询网关实例列表 无 ✓ ✓ ✓ ✗ 网关实例管理 cgw:inst:updateSpuInst 更新实例信息 无 ✓ ✗ ✓ ✗ 网关配置管理 cgw:inst:updateTraceAnalysis 更新链路分析配置 无 ✓ ✗ ✓ ✗ 网关配置管理 cgw:inst:getTraceAnalysis 获取链路分析配置 无 ✓ ✓ ✓ ✗ ELB管理 cgw:inst:getElbInfo 查询ELB相关信息 无 ✓ ✓ ✓ ✗ ELB管理 cgw:inst:updateElb 修改ELB相关信息 无 ✓ ✗ ✓ ✗ 服务来源管理 cgw:inst:getUpstreamSource 查询服务来源 无 ✓ ✓ ✓ ✗ 服务来源管理 cgw:inst:updateUpstreamSource 更新服务来源 无 ✓ ✗ ✓ ✗ 服务来源管理 cgw:inst:getNacosInfo 查询Nacos相关信息 无 ✓ ✓ ✓ ✗ 服务来源管理 cgw:inst:getK8sInfo 查询K8s相关信息 无 ✓ ✓ ✓ ✗ 服务管理 cgw:inst:getUpstreamInfo 查询服务相关信息 无 ✓ ✓ ✓ ✗ 服务管理 cgw:inst:updateUpstream 更新服务 无 ✓ ✗ ✓ ✗ 服务管理 cgw:inst:getUpstreamVersions 获取服务版本信息 无 ✓ ✓ ✓ ✗ 服务管理 cgw:inst:updateUpstreamVersions 更新服务版本 无 ✓ ✗ ✓ ✗ 域名管理 cgw:inst:getDomainsInfo 查询域名相关信息 无 ✓ ✓ ✓ ✗ 域名管理 cgw:inst:updateDomains 修改域名 无 ✓ ✗ ✓ ✗ 路由配置 cgw:inst:getRoutesInfo 查询路由相关信息 无 ✓ ✓ ✓ ✗ 路由配置 cgw:inst:updateRoutes 修改路由 无 ✓ ✗ ✓ ✗ 路由配置 cgw:inst:getRouteSnapshotInfo 查询路由快照相关信息 无 ✓ ✓ ✓ ✗ 路由配置 cgw:inst:updateRouteSnapshot 修改路由快照 无 ✓ ✗ ✓ ✗ 安全认证 cgw:inst:getAuthInfo 查询认证相关信息 无 ✓ ✓ ✓ ✗ 安全认证 cgw:inst:updateAuth 修改认证 无 ✓ ✗ ✓ ✗ 安全认证 cgw:inst:getBlackWhiteListInfo 查询黑白名单相关信息 无 ✓ ✓ ✓ ✗ 安全认证 cgw:inst:updateBlackWhiteList 修改黑白名单 无 ✓ ✗ ✓ ✗ 观测分析 cgw:inst:getLogCenterInfo 查询日志相关信息 无 ✓ ✓ ✓ ✗ 观测分析 cgw:inst:updateLogCenter 修改日志 无 ✓ ✗ ✓ ✗ 观测分析 cgw:inst:getMonitorInfo 查询监控相关信息 无 ✓ ✓ ✓ ✗ 路由级插件 cgw:inst:getPluginConfigurationInfo 获取路由级插件相关信息 无 ✓ ✓ ✓ ✗ 路由级插件 cgw:inst:updatePluginConfiguration 修改路由级插件 无 ✓ ✗ ✓ ✗ 全局插件 cgw:inst:getPluginsInfo 获取全局插件相关信息 无 ✓ ✓ ✓ ✗ 全局插件 cgw:inst:updatePlugins 修改全局插件 无 ✓ ✗ ✓ ✗ 应用管理 cgw:inst:getAppManageInfo 查询应用管理相关信息 无 ✓ ✓ ✓ ✗ 应用管理 cgw:inst:updateAppManage 修改应用管理 无 ✓ ✗ ✓ ✗ API托管 cgw:inst:getApiGwServiceInfo 查询API托管服务管理相关信息 无 ✓ ✓ ✓ ✗ API托管 cgw:inst:updateApiGwService 修改API托管服务管理 无 ✓ ✗ ✓ ✗ API托管 cgw:inst:getApiGwGroupInfo 查询API托管分组管理相关信息 无 ✓ ✓ ✓ ✗ API托管 cgw:inst:updateApiGwGroup 修改API托管分组管理 无 ✓ ✗ ✓ ✗ API托管 cgw:inst:getApiGwApiInfo 查询API托管API管理相关信息 无 ✓ ✓ ✓ ✗ API托管 cgw:inst:updateApiGwApi 修改API托管API管理 无 ✓ ✗ ✓ ✗

本文帮助您快速熟悉如何配置HTTPS双向认证。 操作场景 HTTPS协议监听器可配置CA证书，对客户端证书的签名进行验证，实现安全审计、数据分析、安全测试和访问控制等功能。 操作步骤 1. 登录弹性负载均衡弹性负载均衡控制台。 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1。 3. 打开监听器配置向导，在协议&监听器页面，选择HTTPS协议并输入端口。 4. 在HTTPS监听器添加步骤中，选择开启“双向认证”，下方出现CA证书选择下拉列表框。 5. 点击刷新图标，可刷新证书列表，选择所需证书。 6. 如未创建证书，可点击“查看证书”跳转到证书管理页面创建证书。 7. 配置好相关参数后，点击“下一步”配置负载方式和健康检查，完成相关操作。 8. 如需替换证书，可在修改监听器页面选择要替换的证书，并点击“确定”，完成操作。

服务名称 物理机与其他服务的关系 镜像服务（CTIMS，Image Management Service） 通过镜像服务，您可以在物理机实例上实现应用场景的快速部署。您也可以将物理机转换为私有镜像，供个人使用，或者共享给他人。 虚拟私有云(CTVPC ，Virtual Private Cloud) 为物理机提供一个逻辑上完全隔离的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等，加强物理机的安全保护。 云硬盘（CTEVS，Elastic Volume Service） 可以将云硬盘挂载至弹性裸金属，并可以随时扩容云硬盘容量。 云监控 云监控提供了完备的监控项目，在您购买物理机后，即可在云监控的控制中心查看您的产品运行状态、各个指标的使用情况，并为监控项设置告警规则。 云审计 通过云审计服务，您可以记录与物理机相关的操作事件，便于日后的查询、审计和回溯。

数据库安全审计日志类常见问题。 数据库安全审计的操作日志是否可以迁移？ 不可以。数据库安全审计当前不支持迁移数据库操作日志。 您可以查看数据库安全审计的操作日志，有关查看数据库安全审计操作日志的详细操作，请参见数据库安全审计的操作日志。 数据库安全审计的操作日志默认保存多久？ 数据库安全审计的操作日志会一直保存。 如何查看数据库安全审计的用户操作日志？ 请参照以下操作步骤，查看用户在数据库安全审计系统的操作日志。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。 5. 单击需要查看操作日志的实例名称，进入实例概览页面。选择“操作日志”页签，进入操作日志列表页面。 6. 查看操作日志，相关参数说明如下表所示。 说明 选择时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击 ，选择开始时间和结束时间，列表显示指定时间段的操作日志。 参数名称 说明 用户名 执行操作的用户。 发生时间 执行操作的时间。 功能 执行的功能操作。 动作 执行功能操作的动作。 操作对象 执行操作的对象。 描述 执行操作的描述信息。 结果 执行操作的结果。

本文介绍了备案管家的应用场景与前提条件。 解决客户在ICP 网站备案过程中的不了解流程、效率低、申请成功率低等问题，帮助客户便捷、高效、安全的提交、修改和管理备案流程，提升备案效率、成功率。

前提条件： 1、提前开通专属云（计算独享型），并存留足够未分配的计算资源； 2、提前开通VPC、安全组等网络侧资源； 购买操作步骤： 步骤一：登录天翼云账号，切换至专属云（计算独享型）节点； 如已购买了专属云（计算独享型），在控制台的右上角节点区域，可见有独立专属云“dec”标识的节点，选择用户需要进行Kafka购买的专属云节点进入。 图 带专属云“dec”标识的节点如下： 步骤二：进入专属云节点后，在控制台中的产品列表中选择“分布式消息服务”，进入到服务控制台，在左侧菜单栏选择“Kafka专享版”，进入Kafka专享版实例列表页面。 图 专享版Kafka订购入口 步骤三：点击“购买Kafka实例”，进入订购页面，按提示进行相关规格选择与配置。 1）计费方式为“包年包月”； 2）可用区：客户可自行根据资源池多AZ支持情况选择可用区进行创建。 说明：专享版Kafka的实例为集群模式，支持选择1个或者3个及以上可用区。不支持选择2个可用区，选择时需要注意；该可用区选择后不支持更换。 3）实例名称及企业项目：按命名规范自定义，也可以默认系统分配的名称； 4）Kafka版本：当前支持2种版本选择，2.3.0和1.1.0，推荐时间2.3.0版本； 5）CPU架构：当前仅支持“x86计算”，保持默认值即可； 图 购买Kafka订购页 6）选择具体的队列规格类型，在规格的描述与说明中会有该队列的底层资源类型、代理数量、分区上限、消费组数量，供客户与业务系统需求匹配规格。 说明：当前订购规格后，暂不支持规格变更，请在订购时做好业务整体需求评估。 7）选择存储空间：此处有2种存储可以选择，分别是公有云的云硬盘、专属分布式存储。存储的类型均支持高IO、超高IO。 说明：1、选择云硬盘时，具体价格以公有云的云硬盘价格为准； 2、选择转属分布式存储时，需提前已购买了专属云（存储独享型），在“可用存储”右侧的“存储池”列表中进行选择。 3、根据实际需要选择存储Kafka数据的总磁盘大小。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 • 基准带宽为100MB/s时，存储空间取值范围：600GB ~ 90000GB。 • 基准带宽为300MB/s时，存储空间取值范围：1200GB ~ 90000GB。 • 基准带宽为600MB/s时，存储空间取值范围：2400GB ~ 90000GB。 • 基准带宽为1200MB/s时，存储空间取值范围：4800GB ~ 90000GB 图 订购页界面 图 选择云硬盘时存储类别 图 选择专属分布式存储时，需要提前购买专属存储，并在存储池列表中选择 8）选择私有云、安全组； 虚拟私有云可以为您的Kafka专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 虚拟私有云和子网在Kafka专享版实例创建完成后，不支持修改。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 9）设置Kafka Manager的用户名、密码； Kafka Manager是开源的kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 10）选择订购时长； 11）点击“立即购买”之前，还可进入“更多配置”也进行高级配置。 1、SASLSSL开关，开启后则对数据进行加密传输，但会对性能造成下降； 客户端连接Kafka专享版实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 创建实例后，Kafka SASLSSL开关不支持修改，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您需要设置连接Kafka专享版实例的用户名和密码。 2、自动创建Topic，开关开启后，Topic将根据配置API接口自动创建。 选择开启“Kafka自动创建Topic”，表示生产或消费一个未创建的Topic时，会自动创建一个包含3个分区和3个副本的Topic。 12）点击“立即购买”，进入支付前规格确认界面。显示详细kafka 实例信息，价格。 13）确认实例信息无误且阅读并同意服务协议后，点击“去支付”进入购买支付环节，完成付款后则开启Kafka创建。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 • 当实例的“状态”变为“运行中”时，说明实例创建成功。 • 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明： 创建失败的实例，不会占用其他资源。

本文简述全站加速支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云全站加速，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

远程零信任办公服务提供应用管理功能,本文将介绍如何将您的应用或资源添加平台进行管理。 在您要使用远程零信任办公服务访问您的应用或者系统资源之前，您需要将其添加到边缘安全加速平台进行管理。 背景说明 企业内部应用系统，例如内部WEB应用服务、服务器或数据库等IT资源，一般未暴露在公网，需要通过专有网络访问。在您添加这部分应用系统到平台后，您的员工登录远程零信任办公服务客户端完成身份认证后，便可以访问这部分局域网内的应用或系统资源。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任应用应用配置，查看应用列表。 4. 可根据业务需求进行相关配置。 应用列表 您可以查看应用的相关数据，包括应用总数，健康情况，无流量应用数，无生效策略应用数。并且可对应用进行相关配置操作，如权限自助申请、单点登录、配置无端访问及查看应用接入最佳实践和应用单点登录配置说明。 您可点击应用列表分页进行应用的管理，包括应用的添加、编辑、删除操作。

本文介绍如何通过日志分析分析域名访问日志和Web攻击日志。 功能简介 日志分析模块主要是介绍和指导客户如何分析域名访问日志和Web攻击日志。为您提供一个月内的访问日志和Web攻击日志。 创建日志任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【数据分析】，进入【日志分析】菜单。 3. 单击页面左上角【新建日志任务】按钮。 4. 配置完成后，单击【确定】，保存日志任务。 注意 本产品相关数据从您成功配置任务后才开始生成和记录。若您尚未进行任务配置，将无法获取到任何数据。 请您在使用相关功能前，先完成任务配置，以确保正常使用。 配置项说明 配置项 说明 任务名称 配置任务的名称，支持中英文、数字、最长30个字符。 日志类型 配置需要创建的日志类型，支持配置业务访问日志和Web应用攻击日志。一个任务只能配置一种日志类型。 关联域名 配置日志任务的域名，默认为全部域名。 实时分析日志 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【运营管理】—【数据分析】，进入【日志分析】菜单。 3. 单击【日志任务列表】—【操作】中的【实时分析日志】按钮，进入实时分析日志页面。