本文为您介绍如何查看评估任务的详细信息。 操作场景 您要查看已创建的评估任务的详细信息。 前提条件 评估任务列表中，您要查看的评估任务已经成功创建。 操作指导 1.登录控制中心，点击控制中心左上角的，选择地域（服务入口目前仅开放“华东1”地域）。 2.单击“对象存储>对象存储迁移服务>迁移评估”进入迁移服务的迁移评估控制台，您可以通过评估任务列表来查看和管理您创建的评估任务。评估任务列表展示的信息如下： 信息 说明 : 任务名称 任务的自定义名称。 源端 展示任务的源端。 目的端 展示任务的目的端，即天翼云对象存储ZOS。 任务状态 展示任务的状态，包括：排队中、评估中、暂停、任务失败、任务结束。 说明 排队中：任务创建成功在排队等待自动执行。 评估中：任务正在执行评估。 暂停：任务暂停。 任务失败：评估任务执行失败。 任务结束：评估任务结束。 任务创建时间 展示任务创建的时间。 任务完成时间 展示任务完成的时间。 评估结果 展示任务源端待迁移的对象数量。 3.在评估列表中，点击您想查看的评估任务的名称，即可在“任务详情”弹窗中，查看评估任务的详细信息。详细信息的内容说明如下： 信息 说明 任务名称 任务的自定义名称。 任务ID 迁移服务中每个任务都有唯一的任务ID。 源端信息 展示任务的源端信息，包括：源端、EndPoint、存储桶等源端配置信息。 目的端信息 展示目的端信息。 任务整体情况 展示已扫描对象数。 对象大小分布 展示任务扫描到的源端不同量级的对象的个数。 评估结果 展示任务源端待迁移的对象数量。

介绍分布式消息服务Kafka按时间查询消息功能操作内容。 场景描述 Kafka按时间查询是指通过指定时间范围来查询Kafka主题中的消息。以下是一些常见的按时间查询的场景描述： 数据分析和报告：在数据分析和报告生成的场景中，经常需要按时间查询Kafka主题中的消息。通过指定起始时间和结束时间，可以获取在特定时间范围内产生的消息，用于进一步的数据分析和报告生成。 故障排查：当出现故障或问题时，按时间查询可以帮助定位问题的发生时间和相关的消息。通过指定故障发生的时间范围，可以获取相关的消息，用于故障排查和问题分析。 监控和警报：按时间查询还可以用于监控和警报系统。通过定期按时间查询Kafka主题中的消息，可以检查是否有异常或异常事件发生，并触发相应的警报机制。 数据回溯和重播：按时间查询功能还可以用于数据回溯和重播。通过指定特定的时间范围，可以获取过去某个时间段内的消息，并进行数据回溯或重播操作。 数据同步和复制：在数据同步和复制的场景中，按时间查询可以帮助确保数据的一致性。通过按时间查询源和目标主题中的消息，可以比较不同时间段内的消息，并进行数据同步和复制操作。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“消息查询”后默认就是按点位查询。 （5）选择按时间查询，选择需要查询的Topic，输入分区号以及时间段，点击”查询“按钮，会返回时间段内的所有消息。 （6）点击消息列表的“消息详情”可查看消息详情信息。

本文为您介绍云硬盘的磁盘模式以及不同磁盘模式的主要应用场景以及使用注意事项。 磁盘模式的定义与分类 云硬盘的磁盘模式分为三种，分别是： VBD（Virtual Block Device）：虚拟块存储设备。 SCSI （Small Computer System Interface）：小型计算机系统接口。 FCSAN（Fibre Channel SAN）：光纤通道协议的SAN网络。 根据其是否支持高级的SCSI命令来判断划分磁盘模式。其中，VBD为默认模式，相较于SCSI，只支持较简单的读写命令。而SCSI类型的磁盘则可以提供一些高级特性，如命令队列、多点访问、热插拔等，支持更高级的SCSI指令。 磁盘模式在订购完成后不能修改，在购买时请谨慎选择。 说明 FCSAN协议仅支持物理机使用，当前仅支持在上海7开通。 VBD模式是所有资源池默认的磁盘模式。 选择的资源池和磁盘类型同时决定了创建的云硬盘是否支持SCSI模式，逻辑如下： HDD磁盘选择SCSI模式的资源池为：拉萨3/西南2贵州/西宁2/庆阳2/呼和浩特3。 SSD磁盘选择SCSI模式的资源池为：西南2贵州/庆阳2/呼和浩特3/华北2/郑州5/上海36/西南1/西宁2。 不同磁盘模式的主要应用场景 VBD模式：作为云硬盘的默认磁盘模式，VBD可以应用于绝大多数业务场景，作为云主机的驱动器，提供持久化存储，用于操作系统、应用程序和数据的安装和存储，也可以作为数据库服务器的存储设备等等。 SCSI模式：天翼云共享盘需要在集群环境下使用，多数集群在配置使用过程中是需要使用SCSI锁的，例如Windows MSCS集群等，因此在集群应用场景中推荐使用SCSI模式共享盘。 FCSAN模式：目前仅支持物理机使用。

如果您需要将实例移入指定伸缩组,请参考本文。 操作场景 您可以为伸缩组手动添加云主机实例。若伸缩组绑定了负载均衡，则新加入的云主机实例，也将加入到伸缩组内的负载均衡主机组，来承载业务流量请求。 约束与限制 伸缩组处于“已启用”状态。 将被移入的云主机实例所在虚拟私有云必须与伸缩组所在虚拟私有云一致。 云主机不能已处于其他伸缩组内。 移入的云主机必须处于“运行中”的健康状态。 移入后实例数不能超过伸缩组实例上限。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 点击待添加实例的伸缩组名称，进入到伸缩组详情页面。 5. 在伸缩组详情页面的下方，单击“伸缩实例”进入伸缩实例列表页签，单击“移入伸缩组”按钮。 6. 在弹窗的“待选实例”列表中勾选目标实例，单击按钮添加按钮移至“已选实例”列表，最后单击“确定”按钮。若您不想继续添加，可在“已选实例”列表中勾选目标实例，单击按钮，将其弃选。 7. 确定选择后，回到“伸缩实例”页签中，可查看到已移入的实例。此时，说明已成功将云主机实例移入至伸缩组中。

资源（Resource） 在ZOS中，资源包括桶和对象，支持通配符星号（）。您可以在创建自定义策略时，通过指定资源路径来选择特定资源。单条自定义策略允许包含多个Resource。 资源类型 资源路径 说明 ::: 桶 ctrn:zos:::{V BucketName} 通过参数BucketName指定桶名称，支持通配符。 例1：ctrn:zos::: 表示对任意桶指定权限。 例2：ctrn:zos:::mybucket 表示对mybucket桶指定权限。 对象 ctrn:zos:::{V BucketName}/{V ObjectName} 通过参数BucketName指定桶名称，参数ObjectName指定对象名称，支持通配符。 例1：ctrn:zos:::mybucket/ 表示mybucket桶的所有对象。 例2：ctrn:zos:::mybucket/mydir/ 表示mybucket桶中mydir目录下的所有对象。 自定义策略示例 示例1：给用户授予ZOS的所有权限 此策略表示用户可以对ZOS进行任何操作。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "zos::" ], "Resource": [ "" ] } ] } 示例2：给用户授予桶的全部权限 此策略表示用户可以对mybucket桶进行任何操作。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "zos::" ], "Resource": [ "ctrn:zos:::mybucket/", "ctrn:zos:::mybucket" ] } ] } 示例3：给用户授予桶的只读权限 此策略表示用户可以对mybucket桶进行读操作。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "zos::Get", "zos::List" ], "Resource": [ "ctrn:zos:::mybucket/", "ctrn:zos:::mybucket" ] } ] } 示例4：给用户授予对ZOS的所有资源进行GET类操作的权限 此策略表示用户可以对ZOS进行任何GET类的操作。 { "Version": "1.1", "Statement": [ { "Action": [ "zos::Get" ], "Effect": "Allow" } ] } 示例5：给用户授予某个桶的全部权限，同时禁止创建新桶和删除桶 此策略表示用户可以对mybucket桶进行任何操作，同时禁止创建新桶和删除桶。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "zos::" ], "Resource": [ "ctrn:zos:::mybucket/", "ctrn:zos:::mybucket" ] }, { "Effect": "Deny", "Action": [ "zos:Bucket:Create", "zos:Bucket:Delete" ], "Resource": [ "" ] } ] }

如何取消云硬盘自动备份？ 您可以通过以下两种方式取消云硬盘自动备份： 将待取消的自动备份策略启用状态设置为“停用”。 将待取消的自动备份策略从云硬盘资源与存储库中解绑。 如何自动删除过期备份？ 云硬盘备份的过期备份可以通过预设备份策略中的保留规则来自动删除。 当用户创建备份策略时，保留规则是很重要的配置项，用户可以在保留规则中选择按时间保留：可选择1个月、3个月、6个月、1年的固定保留时长或根据需要自定义保留时长。取值范围为1～99999天，保留的备份超过预设时间时，系统会自动删除所有过期的备份。 我设置了保留规则，为什么备份没有按照保留规则进行删除？ 1. 备份策略的启用状态为“停用”状态，且保留规则为按数量保留时，备份不会按照策略中的保留规则进行自动删除，需要您将备份策略启用。 2. 若您在策略生效期间修改了保留规则，也可能会出现备份没有被自动删除的情况。需要您确认保留规则，并将其修改为符合您业务需求的状态。 一个云硬盘能绑定多少个策略？绑定新的备份策略会对备份有何影响？ 一个云硬盘在同一时间内仅能绑定一个策略，执行一种备份策略进行备份。 若要为一个云硬盘绑定某一个备份策略，但此云硬盘已有其他策略绑定，云硬盘会自动从旧的备份策略解绑，旧的策略中配置的备份周期、保留规则等信息将不再对此硬盘生效，存量的备份副本将会按照新的备份策略进行保留和删除。

本章节介绍如何使用云硬盘备份恢复数据盘。 最佳实践概述 场景描述 当ECS挂载的云硬盘发生系统故障或者错误操作时，您可以通过云硬盘备份，进行原盘恢复或者创建新盘操作来实现数据恢复。适用于如下场景： 硬件故障：云平台的生产存储设备硬件发生故障。 软件故障：系统故障导致用户数据丢失（如系统故障，导致系统下发删除资源的操作）或用户的Guest OS或应用系统故障。 用户误操作：因租户误操作或其他原因而导致的系统无法启动或数据丢失。 方案优势 云硬盘粒度的数据备份和恢复。 恢复可保护挂载到ECS的所有云盘，也可以保护您指定的某些云硬盘。当需要云硬盘恢复时，您可以使用已备份资源实现云硬盘的快速恢复。 前提条件 在进行本文操作之前，您需要完成以下准备工作： 磁盘处于“可用”或“正在使用”状态才可进行备份，如果对磁盘进行了扩容、挂载、卸载或删除等操作，请刷新界面，确保操作完成，再决定是否要进行备份。 本文操作有以下约束限制： 不支持批量恢复多个云硬盘 原数据磁盘需卸载后才可进行数据恢复操作 方案正文 步骤1：创建云硬盘备份 1.假设云主机A的数据盘中存放了数据：datadisk.txt，如下图所示： 2.参照云硬盘备份操作指导章节，完成对云主机A的数据盘云硬盘备份的创建。 3.执行备份成功后，在“云硬盘备份”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。

本文帮助您了解通过弹性IP访问公网的弹性云服务器VPC配置方式。 当弹性云主机需要访问公网时，例如用于搭建网站时允许接受访客通过网络访问的业务节点，可以通过绑定弹性IP来实现。具体的配置流程如下图所示。 图 配置网络功能 配置网络流程图说明如下表所示。 表 配置流程说明 任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。该任务是创建一个完整的虚拟私有云的第一步。 创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 申请和绑定弹性IP 必选任务。可以通过申请弹性IP并将弹性IP绑定到上，实现弹性云主机访公网的目的。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。

终端节点 终端节点用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。 在同一区域中，通过创建终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。 终端节点与终端节点服务一一对应，访问不同类型终端节点服务的终端节点存在差异： 访问“接口”型终端节点服务的终端节点：是具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 访问“网关”型终端节点服务的终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。 用户权限 系统默认提供两种权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 VPC终端节点的资源包括终端节点服务和终端节点，均属于区域级别的资源，需要在资源所在项目为用户添加权限。 区域和可用区 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 l可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 图 区域和可用区

步骤四：确认配置 确认订单 1. 在“确认配置”页面，查看云主机配置详情。 如果您对价格有疑问，可以单击“了解计费详情”来了解产品价格。 2. 企业项目 该参数针对企业用户使用。如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 请从下拉列表中选择所在的企业项目。 3. 设置您购买云主机的数量。 − 购买时长：选择“包年/包月”方式的用户需要设置购买时长，最短为1个月，最长为3年。 − 购买数量：设置您购买的云主机数量。 系统会显示您当前还可以购买的云主机数量。为了保证所有资源的合理分配，如果您需要的云主机数量超过当前您可以购买的最大数值，您需要单击右侧“申请扩大配额”。申请通过后，您可以购买到满足您需要的云主机数量。 − 配置费用：用户购买当前配置云主机的价格。 具体价格详情，可单击“了解计费详情”进行查看。 4. 如果您确认配置无误，单击“立即购买”。 后续处理 如果您是使用外部镜像文件制作的私有镜像创建的云主机，且未安装一键式重置密码插件，那么建议您成功创建、登录云主机后，安装密码重置插件。当云主机的密码丢失或过期时，则可以应用一键式重置密码功能，给云主机设置新密码。 具体操作请参考安装一键式重置密码插件。 对于设置了启动自动恢复功能的云主机，创建成功后，可以通过查看“失败任务”，检查自动恢复功能是否开启成功，具体操作请参见查看失败任务。

自建服务鉴权 当Token为用户自定义的格式，服务受到请求后，需要访问中心化鉴权服务来验证该Token，以实现对Token的安全验证。 微服务治理中心的自建服务鉴权能力支持服务在接收请求时，携带Token访问额外的鉴权服务验证身份，实现接口的安全调用。 创建鉴权 1. 进入全局鉴权页，单击创建鉴权。 2. 在鉴权类型中选择自建服务鉴权，配置自建服务鉴权相关参数，最后单击确定。 配置项 描述 鉴权名称 唯一标识鉴权规则的名称。 鉴权类型 选择自建服务鉴权。 鉴权服务 选择自建鉴权服务，可以通过下拉选择已接入服务和地址或手动输入服务地址。 鉴权API 鉴权服务提供的鉴权API的路径。 Token配置 从请求获取Token的位置，支持选择header、Cookie，并指定对应的key。 鉴权请求中允许携带的头部 如果需要额外携带客户端请求中的头部，那么需要在字段中按需配置头部。说明： Host、Path头部会被默认添加。 超时时间 请求鉴权服务最大等待时间（单位：秒），默认值：10。 模式 支持宽松模式和严格模式，默认使用宽松模式： 宽松模式：当鉴权服务不可用时（鉴权服务建立连接失败或者返回5xx请求），接受客户端请求。 严格模式：当鉴权服务不可用时（鉴权服务建立连接失败或者返回5xx请求），拒绝客户端请求。 鉴权应用 选择需要鉴权的应用范围。注意 ：应用将验证令牌，并携带令牌信息进行下游调用，因此对于每个鉴权应用，其上游调用链路中的应用需纳入鉴权范围。

场景描述 在RocketMQ中，删除Topic是一个比较重要且敏感的操作，需要谨慎处理。一般来说，删除Topic的场景有以下几种情况： 业务不再需要该Topic：当某个Topic对应的业务已经结束或不再需要时，可以考虑删除该Topic，以释放资源和减少管理工作。 Topic配置错误或不合适：如果创建Topic时配置错误或者配置不合适，可以考虑删除该Topic，并重新创建一个正确的Topic。 数据归档或清理：在某些情况下，可能需要对Topic中的数据进行归档或清理，以释放存储空间。在归档或清理之前，需要先将Topic中的消息备份或迁移到其他地方，确保数据的完整性和可恢复性。 无论是哪种场景，删除Topic都需要注意以下几点： 确保Topic中的消息已经被正确处理和消费：在删除Topic之前，需要确保Topic中的消息已经被正确地处理和消费，以避免数据丢失或处理中断。 停止生产者和消费者对该Topic的操作：在删除Topic之前，需要停止生产者和消费者对该Topic的操作，以避免数据冲突或丢失。 确保删除操作的权限和安全性：删除Topic通常需要管理员或具有相应权限的用户来执行，确保只有授权人员可以进行删除操作。 慎重操作，备份重要数据：在删除Topic之前，建议备份Topic中的重要数据，以防止误操作或数据丢失。 总之，删除Topic是一个敏感操作，需要在慎重考虑和评估后进行，以确保不会对业务和数据产生不可逆的影响。 操作步骤 1、进入Topic管理菜单。 2、在Topic管理菜单选择将要删除的主题，在更多下拉框选择删除，即可完成删除 注意事项： ● 删除主题前必须确保该主题对应的生产消费实例已经全部停止。 ● 删除主题后消息数据会发生丢失。

本章节介绍云主机内存高负载故障演练。 背景介绍 当云主机的内存被异常占用（例如，由应用内存泄漏、缓存数据无限制膨胀或资源配额不足引起），其内存使用率会飙升。一旦可用内存耗尽，系统可能会频繁进行内存交换，甚至触发 OOM Killer（OutOfMemory Killer）来强制终止进程，导致服务中断。本演练模拟内存资源被持续占用的高负载场景，帮助您检验系统的内存监控告警、评估应用的内控管理能力，并验证 OOM Killer 触发时的系统行为。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是启动自定义程序不断申请内存，模拟主机内存负载升高。 注意 设置高负载的内存故障注入后，可能会使得机器无法登入与控制，请谨慎使用。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：取值范围为0100。注意：设置过高的占用率可能出现无法自动恢复的情况，可在云主机控制台操作重启机器恢复。

为了控制成本并保护后端资源,函数计算提供了并发实例数上限的配置功能。此功能限制了每个账户在特定地域中同时运行的实例数量,以及单个函数的实例数,从而避免因过度调用导致的预期外的费用开销。 应用场景 保护函数正常并发度：对于共享账号级别实例限制的函数，如funca和funcb，可以通过设置实例限制来确保关键业务funca的请求得到满足，同时防止funcb的过度调用。 保护下游服务：当函数计算需要频繁访问处理能力有限的下游服务（如RDS数据库）时，设置实例限制可以防止下游服务被打垮。 防止过度调用函数：对于可能因用户操作行为而产生大量请求的函数，设置实例数限制可以避免费用失控 禁止异常函数调用：如果发现某个函数存在调用异常，可以将该函数的最大实例数设置为0，以禁止其进一步调用。 通过配额管理配置 1. 登录到函数计算控制台。 2. 在左侧导航栏中选择函数。 3. 在顶部菜单栏中选择相应的地域。 4. 在函数列表页面中，点击目标函数以进入其详情页。 5. 选择配额 页签，点击编辑按钮。 6. 在编辑并发实例数上限 面板中，输入新的并发实例数上限，然后点击确定。 通过弹性管理配置 1. 登录到函数计算控制台。 2. 在左侧导航栏中，选择高级功能 弹性管理。 3. 在顶部菜单栏中选择相应的地域。 4. 在弹性管理页面中，选择并发实例数上限页签。 5. 点击创建并发实例数上限按钮。 6. 在创建面板中，选择需要配置的函数名称，设置并发实例数上限，然后点击确定。

本文主要介绍事务 事务指的是从端到端，一个完整的操作过程，比如一次登录、一次筛选条件查询，一次支付等。 性能测试支持多事务的灵活组合，您可以在一个测试工程中添加多个事务。 前提条件 已创建一个测试工程，创建测试工程操作请参见创建测试工程。 操作步骤 1、登录性能测试控制台，在左侧导航栏中选择“测试工程”。 2、在待编辑性能测试测试工程所在行，单击编辑事务库。 3、在“事务库”页签中，单击页面左侧的添加事务，配置以下参数。 事务名称：自定义事务名称。 事务类型：常规事务，表示常规场景下的性能测试事务，支持HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTPFLV协议的接口测试，支持多个事务请求信息串联。 说明 一个常规事务下最多可添加40个请求信息。 单击“确定”。 4、为事务添加请求信息，添加完成后，单击“确定”。 常规事务可以同时添加报文、思考时间、响应提取、检查点四个请求组成。其中，报文为必选项。 请求组成为“报文”：报文是HTTP应用程序之间发送的数据块。 请求组成为“思考时间”：设置执行下一个动作之间停留的持续时间。 请求组成为“响应提取”：如果同一事务中存在多个报文，通过正则表达式把前一个报文的输出提取出来，做后一个报文的输入。 请求组成为“检查点”：通过自定义校验信息来验证服务端的返回内容是否正确。 5、（可选）一个事务包含1个或多个请求信息。如果您的事务包含多个请求信息，单击“添加请求”，再执行添加请求的相关操作。

蓝军攻击服务与红蓝对抗的区别？ 红蓝对抗演习是一种用攻防思想来解决机构威胁隐患的模式，通过接近实景的攻防演练，磨练安全运营人员应对安全威胁的能力。红蓝对抗是通过红蓝军围绕防守目标的基于实战化的攻防演练服务项目。 蓝军是演习中专注于“攻击”组织系统、IT基础设施和提供的IT服务的一只队伍。在军事活动中，早已有了特种部队之称，用于检验、提升传统的队伍，更好的适应实战，验证指定的业务系统和人员在重要时期的安全防护强度。 护航版的主要服务内容有哪些？ 为确保重大活动期间，业务系统的平稳安全运行，政企单位需提高网络安全保障强度，开展重要时期网络安全保障工作。安全服务团队重保服务从前、中、后三个阶段，以梳理筹备、摸底评估、布防加固、模拟演练、值守保障、整改优化的工作步骤，密切关注重点网络基础设施和业务系统，通过明确的职责分工与协作，提供一体化保障体系，协助政企单位圆满完成安全重保任务，有效提升整体安全防护能力。 托管检测与响应服务（原生版）如何保护企业的隐私？ 主要采取以下措施保护企业隐私： 建立严格的信息安全规范：通过信息安全规范，规范信息共享、网络管理以及技术安全等方面的行为。明确信息的收集、存储、传输和使用等方面的要求，以及员工和第三方合作伙伴的保密义务。 采取隐私保护技术：我们已经建立隐私保护机制，采取加密、安全传输等技术手段，确保用户的隐私信息不被泄漏、不被恶意利用。 签订隐私协议：天翼云隐私协议，明确数据的使用功能、权限和保护措施，明确双方的责任和义务，确保用户数据的安全性和隐私性。

本节介绍了云容器引擎的最佳实践：使用容器镜像服务发布应用。 云容器引擎产品使用容器镜像服务CRS中的容器镜像，发布一个容器应用。 前提条件：已开通容器镜像服务CRS实例，已开通容器集群。 准备容器镜像 用户可以根据自身的业务需求，通过dockerfile构建镜像或者使用其它已经构建好的镜像。 本文使用 docker pull nginx:stablealpine 将容器镜像推送到容器服务实例 1、在容器镜像服务中创建命名空间（可选：也可以直接使用已经创建好的命名空间）。 a.登录镜像服务控制台 b.点击 命名空间 – 创建命名空间 创建一个名称为 mydemons 的命名空间。 2、在容器镜像服务中创建镜像仓库（可选：当命名空间设置为允许自动创建仓库时，可以直接通过推送镜像来创建镜像仓库） a.登录镜像服务控制台 b.点击 镜像仓库 – 创建镜像仓库 创建一个名称为 nginx 的私有镜像仓库。 3、执行docker tag并推送镜像 docker tag nginx:stablealpine /mydemons/nginx:stablealpine docker login docker push /mydemons/nginx:stablealpine 推送成功后，可以在控制台看到镜像的版本。 云容器引擎中创建镜像拉取凭证（可选） 如果上一步骤推送的镜像仓库属性为公共的，则不需要进行此操作，否则需要按以下步骤创建镜像拉取凭证： 1、登录云容器引擎控制台。 2、选择集群。 3、点击命名空间 创建命名空间 mydemo（可选：也可以直接使用已经创建好的命名空间） 4、点击 配置管理 – 镜像拉取凭证 – 新增，填写用户名、密码等信息。

本节介绍了如何绑定和解绑弹性公网IP。 操作场景 云数据库GaussDB 实例创建成功后，支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是1611，那么需确保安全组开通了1611端口的访问。 注意事项 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性公网IP 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤 3 在“连接信息”模块处，单击内网地址后的“绑定”。 步骤 4 在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“是”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 步骤 5 在“连接信息”模块的内网地址处，查看结果。 如需关闭，请参见解绑弹性公网IP。 说明： 绑定成功后，您还可以单击内网IP前的 查看弹性公网IP详细信息。 解绑弹性公网IP 步骤 1 登录管理控制台。 步骤 2 对于已绑定EIP的实例，在“实例管理”页面，选择指定实例，单击实例名称，进入实例基本信息页面。 步骤 3 在“连接信息”模块，单击IP地址后面的“解绑”，在弹出框中单击“是”，解绑EIP。 步骤 4 在“连接信息”模块的内网地址处，查看结果。 如需重新绑定，请参见绑定弹性公网IP。

本节介绍了集群备份的用户指南。 执行备份 集群备份可对集群中的资源进行备份，备份粒度可是集群中所有资源，也可以加入一定筛选条件缩小备份的范围，如根据资源的命名空间及资源自身的类型来筛选。 在云容器引擎控制台菜单中按照以下路径进入界面【集群】{选定的集群}【备份】 【集群备份】，点击【创建备份】，在弹出框中配置备份任务的信息，录入信息后点击【创建】 名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一 命名空间 非必填，选择备份资源的命名空间，可多选 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath 在备份列表中即可查看备份任务的执行状态，及备份完成后备份包的大小。 备份列表的操作列还包含以下三个操作： 还原：把当前备份包还原到当前集群中； 下载：下载当前备份任务的备份包； 删除：删除当前备份任务。 查看备份详情 在备份任务列表中，点击备份名称，进入备份详情页面。 在备份详情页面中，同样可以对当前备份任务执行还原、下载备份包和删除操作： 备份页面展示了当前备份任务的任务名称、备份时筛选的资源类型、是否包含持久卷、备份任务创建时间、备份包的大小和备份任务的状态这些这些信息。 此外如果曾经以当前备份任务的备份包执行了还原，还原记录会展示在界面下方的“相关还原记录”中。

本节介绍了节点重置的用户指南。 节点重置是指将Kubernetes集群中的节点恢复到初始状态。这通常用于节点出现故障时的修复操作。在云容器引擎控制台节点功能中，您可以通过控制台来重置节点。 注意事项 重置节点将对节点操作系统进行重置安装，节点上已运行的工作负载业务将会中断，请在业务低峰期操作。 节点重置后系统盘，挂载kubelet、containerd的数据盘将会被清空，重置前请事先备份重要数据。 用户节点如果有自行挂载了数据盘，重置完后会清除挂载信息，请事先备份重要数据，重置完成后请重新执行挂载行为，数据不会丢失。 节点上的工作负载实例的IP会发生变化，但是不影响容器网络通信。 操作过程中，后台会把当前节点设置为不可调度状态。 节点重置会清除用户单独添加的 K8S 标签和污点（通过节点池编辑功能添加的标签、污点不会丢失），可能导致与节点有绑定关系的资源（本地存储，指定调度节点的负载等）无法正常使用。请谨慎操作，避免对运行中的业务造成影响。 重置节点会导致与节点关联的localpv类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。重置节点时使用了本地持久存储卷的Pod会从重置的节点上驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为PVC对应的底层逻辑卷已经不存在了。 重置节点使用的相关配置是节点所在节点池的最新配置。

与开源Redis5.0相比，GeminiDB Redis支持和限制的命令有哪些 GeminiDB Redis支持的命令请参见使用规范。 业务侧原本做了数据分片，切换到GeminiDB Redis后如何处理这部分逻辑 充分考虑到业务后期的规模扩张，GeminiDB Redis采用存算分离架构，在计算层实现了动态数据分片管理，提供强劲的平滑扩缩容能力。因此，接入GeminiDB Redis实例后，业务侧无需再做数据分片。 GeminiDB Redis是否支持keys命令的模糊查询 出于安全角度考虑，GeminiDB Redis不支持通过keys命令进行模糊查询。建议您使用scan搭配match来进行模糊匹配。 GeminiDB Redis是否支持多DB GeminiDB Redis的多DB功能将于2022年3月底上线，此前创建的实例暂不支持该功能，也不支持通过升级开启该功能。 使用GeminiDB Redis多DB功能时，您需要关注以下约束与限制： DB数支持的范围为0~65535。 不支持swapdb命令。 dbsize命令当前仅能统计所有DB下的key的数量，flushdb后dbsize返回的结果并不会降为0。 不支持info keyspace，如需统计某个DB下key的数量，请使用scan进行扫描查询。 不支持在Lua脚本中使用select和flushdb命令。 不支持在事务中使用select和flushdb命令。 暂不支持move命令。 对于scan类的操作，GeminiDB Redis接口与开源Redis 5.0的返回值顺序为什么有差异 开源Redis没有规定如下情况的排序准则，故GeminiDB Redis接口的返回顺序可能和开源Redis不一样，但两者均满足开源文档描述行为。 scan/hscan/sscan操作的返回值。 在zset类型的元素具有相同score时，执行zscan操作的返回值。

UDAL BR BACKUP ZKMETADATA 语法说明 执行一次ZooKeeper元数据备份操作，将实例对应的集群元数据、绑定的RDS等ZooKeeper元数据备份到实例基础库。 注意 备份是同步执行的，当该命令返回结果时，表示已经完成备份。您可以通过UDAL BR SHOW ZKMETADATABACKUP [WHERE BACKUPID ?] [LIMIT ?]或UDAL BR DELETE ZKMETADATABACKUP [WHERE BACKUPID ?]命令来查看或删除备份记录。 示例 plaintext mysql> udal br backup zkmetadata; Query OK, 1 row affected (0.00 sec) UDAL BR SHOW ZKMETADATABACKUP [WHERE BACKUPID ?] [LIMIT ?] 语法说明 查看当前实例的ZooKeeper元数据备份记录，支持指定如下参数： 参数 描述 BACKUPID 备份记录ID。 当指定该参数时，表示只显示指定的某条记录。当不指定该参数时，则显示当前实例的所有记录。 说明 当记录数比较多时，除该参数外，还可以通过指定LIMIT参数，只显示最新的指定条数的备份记录，方便人工查看。 LIMIT 只显示最新的备份记录条数。 返回信息说明如下： 参数 描述 Backupid 备份记录ID。 Tenantid 租户ID。 Clusterid 集群ID。 Createtime ZooKeeper元数据备份开始时间。 Finishtime ZooKeeper元数据备份结束时间。 示例 plaintext mysql> udal br show zkmetadatabackup; +++++ Backupid Tenantid Clusterid Createtime Finishtime +++++ 114 1 /dbproxycluster/dbproxycluster0000002160 20250912 19:11:47.0 20250912 19:11:47.0 115 1 /dbproxycluster/dbproxycluster0000002160 20250912 19:17:49.0 20250912 19:17:49.0 +++++ 2 rows in set (0.04 sec)

介绍分布式消息服务Kafka主题列表功能操作内容。 场景描述 Kafka主题列表是Kafka消息队列中的一个重要概念，用于列出所有可用的主题。以下是一些Kafka主题列表的应用场景的描述： 监控和管理：通过查看Kafka主题列表，管理员可以了解当前系统中存在的所有主题。他们可以监控主题的状态、分区数量和副本分布，并进行必要的管理操作，如创建、删除和修改主题。 数据消费者选择：Kafka主题列表可以帮助数据消费者选择他们感兴趣的主题。消费者可以浏览主题列表，找到包含他们需要的数据的主题，并订阅这些主题以接收数据。 数据集成和数据流转：Kafka主题列表可以帮助数据集成和数据流转的过程。数据源可以查看主题列表，确定将数据写入哪些主题。而数据接收方可以查看主题列表，选择他们需要的主题来消费数据。 监控数据流：通过查看Kafka主题列表，监控系统可以了解当前系统中的所有数据流。监控系统可以根据主题列表中的信息，监控每个主题的数据流量、延迟和健康状况，并进行实时的监控和报警。 系统调试和故障排查：Kafka主题列表可以帮助开发人员进行系统调试和故障排查。他们可以查看主题列表，确定消息是否正确地写入和消费，并检查主题的状态和分区情况，以解决潜在的问题。 总之，Kafka主题列表提供了对Kafka消息队列中所有主题的全局视图，帮助管理员、数据消费者和开发人员进行监控、管理和调试。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“Topic管理”后即可查看所有Topic的信息。 （5）右上角输入Topic名称，可查询对应Topic。

本文主要介绍 容器如何访问VPC内部网络。 前面章节介绍了使用Service和Ingress访问容器，本节将介绍如何从容器访问内部网络（ VPC内集群外 ），包括VPC内访问和跨VPC访问。 VPC内访问 根据集群容器网络模型不同，从容器访问内部网络有不同表现。 容器隧道网络 容器隧道网络在节点网络基础上通过隧道封装网络数据包，容器访问同VPC下其他资源时，只要节点能访问通，容器就能访问通。如果访问不通，需要确认对端资源的安全组配置是否能够允许容器所在节点访问。 VPC网络 VPC网络使用了VPC路由功能来转发容器的流量，容器网段与节点VPC不在同一个网段，容器访问同VPC下其他资源时， 需要对端资源的安全组能够允许容器网段访问 。 例如集群节点所在网段为192.168.10.0/24，容器网段为172.16.0.0/16。 VPC下（集群外）有一个地址为192.168.10.52的ECS，其安全组规则仅允许集群节点的IP网段访问。 此时如果从容器中ping 192.168.10.52，会发现无法ping通。 kubectl exec test016cbbf97b78krj6h it /bin/sh / ping 192.168.10.25 PING 192.168.10.25 (192.168.10.25): 56 data bytes ^C 192.168.10.25 ping statistics 104 packets transmitted, 0 packets received, 100% packet loss 在安全组放通容器网段172.16.0.0/16访问。 此时再从容器中ping 192.168.10.52，会发现可以ping通。 $ kubectl exec test016cbbf97b78krj6h it /bin/sh /

本文介绍如何查看扫描结果。 查看仓库镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 在仓库镜像页面左侧，可按照“仓库类别 > 项目名称”进行筛选查看，单击树形结构和镜像列表之间的“ < ”按钮，可以折叠树形结构。 4. 仓库镜像列表上方汇总展示了当前仓库或项目中存在的漏洞总量，又分别按照高、中、低危险级别和不同风险特征进行分类统计。随着在左侧树形结构中的选择改动，统计结果将响应式动态变化。单击想要查看的镜像类别，下方镜像列表会根据单击选择的条件进行筛选检索。 5. 仓库镜像列表内，支持按照“镜像名称”、“镜像ID”、“镜像版本”、“软件名称”、“软件版本”、“漏洞编号”、“阻断策略”、“风险等级”、“安全问题”进行筛选查询。 仓库镜像列表内各参数说明如下： 参数 说明 镜像名称 镜像的名称，命名通常为“[仓库名称]/[项目名称]/镜像名称”。 镜像版本 镜像的版本作为镜像的tag信息，可用来区分名称相同的镜像。 操作系统 构建该镜像使用的基础镜像的系统类型。 来源仓库 获取该镜像的来源仓库名称。 阻断策略 分为“阻断”和“通过”两种状态，用于显示镜像扫描后的处理结果。 当镜像存在风险问题时，可以通过阻断来处理风险。 风险等级 风险等级分为：高危、中危、低危、未知（扫描失败）、未扫描和安全。 安全问题 安全问题包括：存在漏洞、勒索病毒、重点关注漏洞、木马病毒、自定义异常文件、风险文件、自定义异常软件版本、不允许的软件许可、自定义异常环境变量、非信任镜像、未知、无安全问题、非自动推送镜像。 发现时间 系统初次拉取到该镜像的时间。

本页介绍天翼云TeleDB数据库节点扩容。 操作场景 随着业务的增长，数据库在运行性能及存储上逐渐会达到瓶颈。此时，需要通过增加节点来提升集群的性能及存储能力。该任务用于指导对协调节点（CN）和数据节点（DN）进行扩容。协调节点和数据节点都是按组添加。每组数量与创建实例时选择的实例系列相关联。机器规格和原实例规格保持一致。用户可自定义新增节点所在服务器。 注意事项 主备节点所在服务器不能为同一台服务器。 增加节点前请检查所有表都已设置主键或设置表级别参数REPLICA IDENTITY为FULL，否则数据无法完成迁移导致新增节点失败。 扩容数据节点后请手动使用数据重平衡功能。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树中，选择实例管理 > 实例列表 ，右侧页面可查看实例列表。 3. 在实例列表页面，单击目标实例所在行的更多 > 扩容 ，出现节点扩容 对话框。 4. 进入节点扩容 对话框，根据以下内容填写基本信息，单击确定 完成扩容。 扩容节点类型：可根据实际情况填写协调节点或数据节点。 节点名称：默认不可更改。 VIP：可选参数，可根据实际需求选择vip。 安装端口:必选参数，可根据实际需求填写，确保端口未被占用。 内部端口：必选参数，可根据实际需求填写，确保端口未被占用 主节点节点信息：可选参数，可根据实际需求选择主节点ip。 备节点节点信息：可选参数，可根据实际需求选择备节点ip。 5. 弹出提示 对话框。可单击立即前往 ，在任务管理页面查看执行详情。

本文介绍数据缓存概述。 对于一些数据量较大的业务数据，例如训练模型等，ECI支持创建数据缓存（DataCache）来提前拉取数据，将数据缓存到本地，以便在创建ECI实例时可以直接挂载使用，从而减少实例启动耗时，避免数据重复下载，节约使用成本。本文为您介绍什么是数据缓存，包括功能简介、应用场景、创建和使用方式、计费说明等。 功能简介 为了解决数据加载与容器镜像加载解耦的问题，ECI提供了数据缓存的功能。在创建业务应用前，您可以提前创建数据缓存，将业务应用所需的数据缓存到本地。在创建业务应用时，可以直接挂载使用缓存好的数据。 通过数据缓存功能，您无需将数据打包进应用镜像，从而避免因数据变更而频繁更新镜像；也无需从远端的仓库下载数据，避免因下载数据导致应用启动过慢。 数据缓存流程 通过创建一个带有数据盘的ECI(中转任务实例)，拉取相关数据集和模型到数据盘后，将数据盘制作成快照。在使用数据盘的过程，即是从快照创建数据盘的过程，将创建好的数据盘给用户实例挂载上。 数据缓存生命周期 状态说明： 状态 说明 操作 Creating 创建中 资源初始化，如创建ECI实例和云盘 Loading 缓存数据中 从数据源加载数据过程 Available 创建成功 快照创建完成，可用使用数据缓存，支持更新所属Bucket、数据源、保留时长、大小等 Failed 创建失败 资源初始化失败或数据源加载失败 Updating 更新中 更新Bucket、数据源、保留时长、大小过程中 UpdateFailed 更新失败 支持更新所属Bucket、数据源、保留时长、大小等

本文简述传递用户ip回源功能的原理和配置方法。 功能介绍 使用应用加速产品后，源站获取到的客户端IP会变为应用加速回源节点的IP。如果源站需要获取真实的客户端IP地址，有两种方式： 1.proxyprotocol（简称PP），对内核无要求，需要源站进行修改，解析对应的文本字符串以获取真实的客户端IP。目前，Nginx和HAProxy已经支持，因此Nginx和HAProxy源站推荐使用该方式获取客户端IP。proxyprotocol的v1版本仅支持tcp协议，v2版本同时支持tcp和udp协议。 2.tcpoption传递用户IP回源的方式，该方式仅适用于tcp协议。选择该方式时，Linux系统需要安装我们提供的toa内核模块来获取真实客户端地址，该方式无需源站进行修改即可获取到真实的客户端IP。 配置说明 新增域名，配置传递用户IP回源步骤： 1.登录客户控制台。 2.在域名列表页面，点击右上角“添加域名”。 3.找到传递用户IP回源模块，打开开关。 4.选择传递用户IP回源方式，选择proxyprotocol方式时，还需要选择协议版本号；选择tcpoption时,您需要下载适配源站系统版本的toa模块,并安装到源站后才可正常使用该功能。 编辑域名，配置传递用户IP回源步骤： 1.登录客户控制台。 2.在域名列表页面，点击编辑目标域名。 3.找到传递用户IP回源模块，打开或者关闭开关；打开时需选择传递用户IP回源方式，选择proxyprotocol方式时，还需要选择协议版本号；选择tcpoption时，您需要下载适配源站系统版本的toa模块，并安装到源站后才可正常使用该功能。

本文将为您介绍Web应用防火墙（边缘云版）的概览页。 网站接入边缘云WAF防护并新增域名成功后，系统将会自动为您捕获网站的业务数据及受攻击数据，您可以通过概览页面查询近24小时带宽峰值、请求数量、QPS、域名数量以及各种攻击行为的检测数据，帮助您了解网站当前的整体情况。 若您想知道更详细的网站安全相关报表，可见安全分析报表。 若您想知道更详细的网站业务相关报表，可见站点分析报表。 前提条件 网站已经成功接入边缘云WAF防护，您可以通过【域名列表】是否含有已启用域名来确认。具体操作请见WAF接入。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，进入左侧导航栏【概览页面】。 2. 将自动为您查询近24小时的数据。 3. 概览页主要提供三个部分的数据查看：消息中心、业务统计数据、安全防护数据。 查询消息中心 概览页面顶部具备消息通知栏，支持查看威胁消息、域名配置信息以及系统消息。 威胁消息。展示互联网已经公布和尚未披露的0 day漏洞信息，您可以查看漏洞对网站是否有影响，如果受到漏洞的影响，可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 域名消息。在此模块展示域名配置的相关消息，域名新增/停用或者配置下发后，可以在此查看域名的配置情况，配置成功将会形成新消息。 系统消息。即系统公告，展示更新说明、版本发布、边缘云WAF功能相关动态等信息。

本文解释从天翼云CDN访问到的文件和直接回源结果不一样的原因和解决方案。 背景说明 使用天翼云CDN加速后，如用户请求的文件在节点已有缓存，则直接响应给用户；如用户请求的文件为首次访问，或文件过期，则CDN节点会回源站获取文件，缓存在节点并响应给用户。 正常情况下，用户请求CDN节点和直接访问源站，访问到的内容相同。本文主要介绍CDN节点和源站文件内容如果不一致时，可能的原因及解决方案。 详细内容 从天翼云CDN访问到的文件和直接回源结果如不一样，可从以下几方面着手进行分析： 1.CDN节点回源，会在用户请求基础上增加部分请求头，源站如对相应请求头有处理策略上的差异，可能会导致响应不同内容 用户请求至CDN节点后，CDN节点会在原始请求头基础上增加类似如下的请求头： Via: http/1.1 fjningde5xxx[aff7324a97b346daaf21ba85e1876868] (ApacheTrafficServer/xxx)；该请求头值为请求进入CDN节点后经过的节点信息。 RequestId：9011f7a06787a0fd560cd724dd9989fb；该请求头值为对应请求的唯一ID。 如果源站针对上述请求头有做特殊处理，例如，有Via时可能响应不同的值，则会导致CDN和源站响应不同内容。 解决方案：可尝试通过直接回源请求，并逐个新增携带上述请求头，对比是否与源站获取的内容一致，直到找到造成响应差异的对应请求头。此后，可通过调整源站设置，或在CDN节点配置去掉对应请求头来规避问题。目前，删除CDN内部请求头尚不支持自助，需要提交工单给天翼云客服人工处理。

本章节主要介绍如何创建CSS类型跨源认证。 操作场景 通过在DLI控制台创建的CSS类型的跨源认证，将CSS安全集群的认证信息存储到DLI，无需在SQL作业中配置帐号密码，安全访问CSS安全集群。 本节操作介绍在DLI控制台创建CSS安全集群的跨源认证的操作步骤。 操作须知 已创建CSS安全集群，且集群满足以下条件： CSS集群版本选择“6.5.4”或“6.5.4”以上版本。 CSS集群已开启“安全模式”。 操作步骤 1. 下载CSS安全集群的认证凭证。 a.登录CSS服务管理控制台，单击“集群管理”。 b.在“集群管理”页面中，单击对应的集群名称，进入“基本信息”页面。 c.单击“安全模式”后的下载证书，下载CSS安全集群的证书。 2. 将认证凭证上传到OBS桶。 3. 创建跨源认证。 a.登录DLI管理控制台。 b.选择“跨源管理 > 跨源认证”。 c.单击“创建”。 填写CSS认证信息，详细参数说明请参考下表。 参数说明 参数 参数说明 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 建议名称中包含CSS安全集群的名称，便于区分不同集群的安全认证信息。 类型 选择CSS。 用户名 安全集群的登录用户名。 用户密码 安全集群的登录密码。 Certificate路径 上传“安全证书”的OBS路径。即步骤2的OBS桶地址。 4. 访问CSS的表。 跨源认证创建成功后，在创建访问CSS的表时只需关联跨源认证即可安全访问数据源。 例如在使用Spark SQL来创建访问CSS的表时使用es.certificate.name字段配置跨源认证信息名称，配置连接安全CSS集群。

本文为您介绍通过设置密钥轮转来加强密钥使用的安全性最佳实践。 KMS提供密钥轮转功能实现密钥版本化，从而加强密钥使用的安全性，有效提升业务数据加密的安全性。本文为您介绍如何配置对称密钥和非对称密钥的轮转。 密钥轮转的必要性 密码合规要求 相关行业标准中明确规范，要求密钥进行周期性轮转。 减少每个密钥版本加密的数据量，降低密码分析攻击风险 一个密钥的安全性与被它加密的数据量呈反相关。数据量通常是指同一个密钥加密的数据总字节数。通过定期轮转密钥，可使每个密钥具有更小的密码分析攻击面，使加密方案整体具有更高的安全性。 减少密钥破解的时间窗口 如果在定期轮转密钥的基础上，将旧密钥加密的密文数据用新密钥重新加密，则轮转周期即为一个密钥的破解时间窗口。这意味着恶意者只有在两次轮转事件之间完成破解，才能拿到数据。 密钥版本概述 KMS中的用户CMK支持多个密钥版本。每一个密钥版本是一个独立生成的密钥，同一个CMK下的多个密钥版本在密码学上互不相关。 对称密钥版本 密钥版本可通过自动轮转策略，由系统自动生成，对称密钥的版本分为主版本和非主版本。 一个对称密钥版本包含一个主版本和多个非主版本。密钥创建后KMS会生成初始密钥版本并将其设置为主版本，轮转后会生成一个新的密钥版本，并将新的密钥版本设置为主版本，原版本设置为非主版本； 在调用对称密钥进行加解密操作时，KMS默认使用主版本实现； 密钥轮转产生新的主版本后，KMS不会删除或禁用非主版本，它们需要被用作解密数据。