本文介绍天翼云云搜索OpenSearch实例自定义插件的安装方式。 当您需要使用自定义插件或系统默认插件中不包含的开源插件时，可通过云搜索服务的自定义插件上传与安装功能，在实例中上传并安装对应插件。 前提条件 1. 准备待上传的插件，并确保插件的可用性和安全性。 2. 建议在上传插件前，先在本地自建OpenSearch集群（与实例相同版本）上进行测试，成功后再进行上传。 3. 开通与云搜索实例同地域的对象存储服务，并上传好需要安装的插件至对象存储的桶中。 使用限制 1. 不支持安装与默认插件一样的插件，包括默认插件的其他版本。 2. 不支持同时安装/卸载两个以上的插件。 3. 云搜索服务不保留用户插件的安装文件，请您自行备份。 4. 插件文件后缀需要为.zip。 5. 不支持上传安装带权限属性的插件。 6. 目前云搜索已关闭该功能，仅版本号 “自定义插件”，单击上传插件按钮。 3. 在弹出的页面上填写： 1. 插件名称：仅支持字母、数字和字符，请和插件包名称保持一致。插件名称查询路径：插件包内properties文件中找到pluginName。 2. 插件地址：填写天翼云对象存储同地域资源池下的地址，获取路径为：对象存储控制台——点击对应桶名称进入详情——点击文件管理，找到对应的插件，点击右侧更多——复制URL。 3. 插件版本：插件目前的版本，格式为数字和点组合，如：7.10或2.19.1.0，非必填。 4. 插件描述：用于帮助用户识别插件功能，非必填。 注意 需要开启对应文件的可读权限。 4. 填写完毕后点击安装并重启，插件会先在实例安装，安装完毕后实例将自动进行重启。期间请勿对实例进行其他操作。 5. 当实例重启完成，插件状态变成“已安装”则表示插件已经安装完毕。若插件处于“未安装”状态，则说明安装失败，您可根据提示调填写内容再次重试或通过工单联系我们协助处理。您也可以删除该插件信息。 6. 已经安装完毕的插件，如果您不再使用，可单击插件右侧的卸载，卸载此插件。卸载插件如需再次安装，请参照前述步骤执行。

本文介绍全站加速产品的应用场景。 政府机构 针对因新政策发布造成的访问突增，通过多级缓存、智能路由、链路优化等技术，缓解源站压力。 IPv6协议支持，满足国家政策要求。 全链路安全传输方案，保障页面内容安全不被篡改。 全方位链路监控、源站监控，以及724小时专属技术支持，保障业务可靠性。 金融行业 适用于银行、保险、证券等对数据安全要求较高的行业。 全链路支持HTTPS、HTTP2.0协议，满足传输安全及性能提升需求。 基于自研的动态智能路由及多级缓存技术，保障全站内容快速交付。 电子商务 适用于网上购物平台、电子票务、网上支付等电子商务场景；通过多级缓存、智能路由等技术，有效缩短页面加载时间，提升浏览、搜索、下单、支付等操作的流畅性。 有序回源、全网带宽控制，缓解电商活动访问突增给源站带来的带宽及并发压力。 提供用户区域分布报表，帮助电商开展有针对性的促销活动。 娱乐资讯 适用于社交论坛、生活服务、新媒体等娱乐资讯场景；通过智能分离动静态内容，动态内容智能选择优质链路回源，提升注册、登录、聊天、搜索、发帖等交互信息即时性。 全球优质资源覆盖，提升各区域各运营商用户的访问速度和成功率，提升SEO排名。 提供源站负载均衡、源站全方位监控和离线服务模式，保障源站业务不中断。

本小节介绍安全专区拓扑图。

本文主要介绍了更换手机号的操作流程和方法。 用户可通过“账号中心安全设置”页面更换手机号。 操作步骤 1、登录天翼云官网，在首页点击“我的账号中心”进入账号中心的“安全设置”页面，在基本设置 绑定手机右侧点击“立即修改“。 2、提供3种修改方式供选择：通过短信验证码修改、通过邮箱验证码修改、通过活体人脸识别修改。 注意 若邮箱未验证，则无法提供“通过邮箱验证码修改”的方式。 3、身份验证通过后，需要设置新手机号码并输入短信验证码，验证手机号可正常接收使用。 特殊情况处理 如果手机号或邮箱都无法验证身份， 可以进入工单页面，选择 “新建工单>会员账号 >账号相关问题”，提交工单处理。 （1）请在工单中上传如下材料： 企业客户 1. 请填写天翼云邮箱手机修改授权委托书（天翼云邮箱手机修改授权委托书.docx），并加盖企业公章。 2. 法定代表人与被授权人所需材料任选一种上传即可。 1. 法定代表人：企业证件、法定代表人身份证正反面及手持身份证照片 2. 被授权人：企业证件、加盖企业公章的授权书（授权委托书.docx）、被授权人身份证正反面及手持身份证照片 个人客户 1. 请填写天翼云邮箱手机修改授权委托书（天翼云邮箱手机修改授权委托书.docx），并签字。 2. 个人身份证件正反面及手持身份证照（个人身份证件信息需与实名认证的身份证件信息一致）。 （2）经天翼云审核通过后，天翼云会将原来绑定的手机号替换成工单中填写的新手机号。您可以在登录页面，单击忘记密码，然后使用新绑定的手机号重置密码。 （3）如果您提供的账户情况特殊，天翼云客服人员会根据实际情况进一步核实，请按客服回复提供所需资料。

本节介绍什么是SSH密钥及使用限制条件。 简介 SSH密钥对是一种安全便捷的登录认证方式，由公钥和私钥组成。 SSH密钥对通过加密算法生成一对密钥，默认采用RSA 2048位的加密方式。 要使用SSH密钥对登录Linux实例，用户必须先创建一个密钥对，并在创建实例时指定密钥对，然后使用私钥连接实例。 优势 安全性：SSH密钥对登录认证更为安全可靠。密钥对安全强度远高于常规用户口令，可以杜绝暴力破解威胁，且无法通过公钥推导出私钥。 便捷性：如果客户将公钥配置在Linux实例中，那么，在本地或者另外一台实例中，您可以使用私钥通过SSH命令或相关工具登录目标实例，而不需要输入密码，便于远程登录大量Linux实例，方便管理。如果需要批量维护多台Linux实例，推荐使用这种方式登录。 使用限制 如果使用SSH密钥对登录Linux实例，将会禁用密码登录，以提高安全性。 仅支持Linux实例。 通过控制台绑定密钥对时，一台Linux实例只能绑定一个密钥对，如果用户有使用多个密钥对登录实例的需求，可以在实例内部手动修改~/.ssh/authorizedkeys文件，添加多个密钥对。创建虚拟机实例时可选是否关联密钥对。

分布式表（Distributed Table） 分布式表是云数据库ClickHouse中本地表的集合，将多个本地表抽象为一张统一的表，对外提供写入和查询功能。当写入分布式表时，数据会被自动分发到集合中的各个本地表中；当查询分布式表时，集合中的各个本地表都会被分别查询，最终结果会被汇总后返回。分布式表具备良好的横向扩展能力，可以利用多台服务器的存储和计算资源来处理大规模数据。 表引擎 表引擎即表类型，决定数据的存储方式和位置、支持的查询以及访问、索引、主备复制等特性。云数据库ClickHouse提供了多种表引擎，主要为以下4个系列。MergeTree系列：核心存储引擎，最通用和功能最强大的表引擎，支持数据Replicated和Distributed。Log系列：功能相对简单，主要用于快速写入小表（1百万行左右的表），然后全部读出的场景。Integration系列：主要用于将外部数据如Kafka、HDFS、Mysql导入到云数据库ClickHouse中，或者在云数据库ClickHouse中直接操作外部数据源。Special系列：为特定场景而定制，如数据内存存储、为目标表配置buffer、数据存本地文件等。 单机表 单机表的数据只会存储在当前机器上，不会被复制到其他机器。单机表适用于对数据的冗余存储要求较低的场景，适合小规模数据集的处理和分析。 复制表 复制表的数据会被自动复制到多台机器上，形成多个副本。复制表通过数据冗余和备份提高数据的可靠性和容错能力。当其中一个副本节点出现故障时，系统可以切换到其他副本节点，确保数据的持久性和可用性。复制表适用于对数据可靠性和冗余要求较高的场景，确保数据的安全性和高可用性。

本文将为您介绍分布式消息服务RocketMQ入门的基本流程，主要包括控制台创建RocketMQ专享版实例、使用弹性云服务器连接实例的操作，帮助您快速上手RocketMQ。 操作流程 图1 RocketMQ使用流程 环境准备 RocketMQ实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 创建RocketMQ实例 在创建实例时，您可以根据需求选择需要的实例规格和数量，并开启SSL访问。开启SSL后，数据加密传输，安全性更高。 创建Topic 在实例创建成功后，您需要创建Topic，用于发送与接收消息。 连接RocketMQ实例 使用客户端连接实例，并通过命令行生产消费消息。 配置告警 配置RocketMQ实例监控告警策略，监控实际业务运行状态。

本页介绍了关系数据库MySQL版的一些典型参数组合推荐。 "innodbflushlogattrxcommit"和"syncbinlog"是两个关键参数，用于控制mysql的磁盘写入策略和数据安全性。这两个参数的取值不同会对性能和数据安全性产生不同的影响。它们在决定数据何时写入磁盘以及是否进行同步写入binlog的过程中发挥重要作用。 参数说明 innodbflushlogattrxcommit 允许值：0,1,2 描述：当重新安排并批量处理与提交相关的I/O操作时，可以控制磁盘的写入策略，严格遵守ACID合规性和高性能之间的平衡，该参数默认值为“1”。 0：日志缓存区将每隔一秒写到日志文件中，并且将日志文件的数据刷新到磁盘上。该模式下在事务提交时不会主动触发写入磁盘的操作。 1：每次事务提交时mysql都会把日志缓存区的数据写入日志文件中，并且刷新到磁盘中，该模式为系统默认。 2：每次事务提交时mysql都会把日志缓存区的数据写入日志文件中，但是并不会同时刷新到磁盘上。该模式下，mysql会每秒执行一次刷新磁盘操作。 说明： 当设置为0，该模式速度最快，但不太安全，mysqld进程的崩溃会导致上一秒钟所有事务数据的丢失。 当设置为1，该模式是最安全的，但也是最慢的一种方式。在mysqld服务崩溃或者服务器主机宕机的情况下，日志缓存区只有可能丢失最多一个语句或者一个事务。 当设置为2，该模式速度较快，较取值为0情况下更安全，只有在操作系统崩溃或者系统断电的情况下，上一秒钟所有事务数据才可能丢失。

Comfyui安全风险通告,请用户务必关注! 近日，监测到Comfyui及其插件 ComfyUIManager、ComfyUIImpactPack、ComfyUIBmadNodes 、ComfyUIAceNodes存在多个高危漏洞如：ComfyUI存储型XSS漏洞(CVE202410099)、ComfyUIManager远程代码执行漏洞(CVE202421574)、ComfyUIImpactPack目录遍历导致任意文件上传漏洞(CVE202421575)、ComfyUIBmadNodes代码注入漏洞(CVE202421576)、ComfyUIAceNodes代码注入漏洞(CVE202421577)。 影响范围： ComfyUI <0.2.2 ComfyUIManager < 2.51.1 ComfyUIImpactPack < 7.6.2 ComfyUIBmadNodes 全版本 ComfyUIAceNodes 全版本 在科研助手中使用Comfyui版本小于0.2.2的客户，请及时升级Comfyui版本或使用科研助手预装的最新版Comfyui镜像，并在使用第三方插件时注意插件安全风险。

本节介绍如何查看态势感知（专业版）内置插件及详细信息。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 插件管理”，进入插件管理页面。 5. 在插件管理页面中，查看插件详细信息。 左侧显示内置所有插件集、插件、函数信息。 如需查看某个查看详细信息，可以单击插件名称，右侧将展示插件的详细信息。 如果查看某个函数的详细信息，可以展开插件后，单击需要查看的函数名称，右侧将展示函数的详细信息。

本文简述请求协议的配置方法。 功能介绍 配置请求协议，即配置允许客户端使用何种协议访问域名。 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。 HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，将实现客户端和天翼云边缘节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密，还需要配置边缘节点以HTTPS协议回源到源站服务器（源站服务器需要支持HTTPS协议）。 开启HTTPS后，HTTPS请求的基本流程： 1.客户端以HTTPS协议请求边缘节点。 2.边缘节点将相应的SSL证书公钥传送给客户端。 3.客户端解析SSL证书公钥的正确性，如果SSL证书公钥正确，则会生成一个随机数（密钥），并用公钥进行加密，并传输给边缘节点。 4.边缘节点用之前的私钥进行解密，得到随机数（密钥）。 5.边缘节点用随机数（密钥）对传输的数据进行加密。 6.客户端用随机数（密钥）对边缘节点的加密数据进行解密，拿到相应的数据。 注意事项 域名配置HTTPS前，需要提前准备好域名的证书文件。 配置说明 1.登录边缘安全加速平台控制台。 2.进入域名基础配置页面，点击“新增域名”。 3.进入请求协议中勾选，需要支持客户端访问的协议HTTP/HTTPS。支持单选、多选。 4.若勾选HTTPS，需要关联对应的证书备注名或上传证书。 配置 说明 关联证书 1.选择有效的证书 上传证书 1.若未找到目标证书，可点击上传。 2.证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 域名新增完成后，编辑请求协议： 1.登录客户控制台。 2.在域名基础配置页面，点击目标域名。 3.在请求协议页面，单击“配置编辑”。 4.在请求协议中可勾选/取消勾选，调整请求协议。 5.若勾选HTTPS，可编辑域名关联的证书，或重新上传证书。

漏洞类型关联布局 说明 系统内置漏洞类型暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“漏洞类型”页签，进入漏洞类型管理页面。 6. 在漏洞类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有漏洞类型 说明 暂不支持编辑系统内置漏洞类型。 自定义漏洞类型新增成功后，不支持修改类型标识。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“漏洞类型”页签，进入漏洞类型管理页面。 6. 在漏洞类型管理页面中，选择需要编辑的类型，并单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 7. 在编辑页面中，编辑对应类型的参数信息。 参数名称 参数说明 类型名称 自定义漏洞类型的名称。 类型标识 漏洞类型标识，不支持修改。 启动状态 设置漏洞类型的启动状态。 ：表示启用。 ：表示禁用。 描述 自定义漏洞的描述信息。 8. 在页面右下角单击“确认”。

本文介绍容器安全卫士防护配置类常见问题。 标准版支持设置单条防护规则的防护状态吗？ 支持。 标准版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 标准版支持对同一节点下发不同防护策略吗？ 不支持。默认使用“默认策略”进行防护，创建策略时已生成防护策略的节点是不可重复选择的。若想重新配置策略，需要先解绑已有策略，然后再重新绑定。 标准版支持入侵检测规则自定义吗？ 支持。可以在“容器安全 > 策略管理”中进行自定义，包括命令执行、网络活动、读写文件、文件内容。 标准版镜像安全扫描支不支持仓库镜像扫描？ 支持。除了支持天翼云仓库以外，还支持Harbor、JFrog、Huawei、Huawei CCE Agile、AWS、Aliyun、Registry、Microsoft。

操作名称 操作风险 风险等级 规避措施 重大操作观察项目 绑定弹性公网IP 该操作会将集群服务的相关主节点如:HDFS NameNode所在的master节点暴露在公网，会增大来自互联网的网络攻击风险可能性。 ★★★★★ 请确认绑定的弹性公网IP为可信任的公网访问IP，确认是否针对开放的相关端口进行设置安全组规则，只允许可信的IP可以访问该端口，入方向规则不推荐设置允许0.0.0.0可以访问。 无 开放集群22端口安全组规则 该操作会增大用户利用22进行漏洞攻击的风险。 ★★★★★ 针对开放的22端口进行设置安全组规则，只允许可信的IP可以访问该端口，入方向规则不推荐设置允许0.0.0.0可以访问。 无 删除集群或删除集群数据 该操作会导致数据丢失。 ★★★★★ 删除前请务必再次确认该操作的必要性，同时要保证数据已完成备份。 无 缩容集群 该操作会导致数据丢失。 ★★★★★ 缩容前请务必再次确认该操作的必要性，同时要保证数据已完成备份。 无 卸载磁盘或格式化数据盘 该操作会导致数据丢失。 ★★★★★ 操作前请务必再次确认该操作的必要性，同时要保证数据已完成备份。 无

参数 说明 IAM委托 选择步骤2中创建的委托。 类型 User：在用户级别进行映射 Group：用户组级别进行映射 说明 用户级别的映射优先级大于用户组级别的映射。若选择Group，建议在“MRS用户（组）”一栏，填写用户的主组名称。 请避免同个用户名（组）出现在多个映射记录上的情况。 MRS用户（组） MRS中的用户（组）的名称，以英文逗号进行分隔。 说明 对于没有配置在OBS权限控制的用户，且没有配置AK、SK时，将以MRSECSDEFAULTAGENCY中的OBS Operator的权限访问OBS。对于组件内置用户不建议绑定在委托中。 如需对组件内置用户在以下场景提交作业时配置委托，要求如下： 如需对sparkbeeline的操作进行权限控制，安全集群时配置用户名“spark”，普通集群时配置用户名“omm”。 如需对hbase shell的操作进行权限控制，安全集群时配置用户名“hbase”，普通集群时配置用户名“omm”。 如需对Presto的操作进行权限控制，安全集群时配置用户名“omm”、“hive”和登录客户端的用户名，普通集群时配置用户名“omm”和登录客户端的用户名。 如需使用Hive在beeline模式下创建表时，配置内置用户“hive”。

证书管理服务定位是一款集SSL证书购买、申请、安全应用为一身的云上证书管家。产品支持国密、国际算法证书，帮助用户实现数据传输加密，保障数据安全。

参数 子参数 说明 区域 您可以根据业务要求，选择具体的区域。 项目 选择区域后，才能选择项目。 迁移方式Linux Linux块级 Linux块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。这种方式同步效率高，但兼容性差。 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 迁移方式Windows Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 专线或VPN 需要您提前创建源端服务器到目的端服务器所在VPC子网的专线或VPN。 若源端和目的端在同一个VPC内，网络类型可选择“专线或VPN”。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。设置为0时，代表不限流。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 服务器选择 已有服务器 目的端配置时，在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 目的端配置时，根据需求，您可以配置虚拟私有云、子网、安全组等参数。

源端服务器环境、剩余空间及其他要求。 源端服务器剩余空间要求： Windows：当分区大于等于600MB，该分区的可用空间小于320MB时不能迁移；当分区小于600MB，该分区的空间小于40MB时不能迁移。 Linux：根分区可用空间小于200MB时不能迁移。 源端服务器环境要求： 源端服务器时间与标准时间一致，避免源端Agent注册失败。 当源端服务器为Linux系统时，执行rsync v查看是否安装Rsync库。当前主流服务器系统已默认安装Rsync库，无需手动安装。 当未安装Rsync库，执行如下命令安装Rsync库： CentOS：执行 yum y install rsync。 Ubuntu：执行 aptget y install rsync。 Debian：执行 aptget y install rsync。 SUSE：执行 zypper install rsync。 其他平台系统：参见官网安装相关文档。 搭建IPv6网络并创建目的端 使用IPv6进行主机迁移前，需要先搭建一个IPv6网段的VPC，并在VPC中创建一个带有IPv6地址的目的端ECS。 注意事项 确保源端服务器能够使用IPv6网络。 子网配置时，请务必勾选“ 开启IPv6 ”，将自动为子网分配IPv6网段。 弹性云主机ECS仅部分规格支持IPv6网络，目的端需要选择支持IPv6的ECS，才可以使用IPv4/IPv6双栈网络，请务必选择支持的区域和规格。 网络配置时，务必选择“ 自动分配IPv6地址 ”，绑定共享带宽为可选，根据需求配置。 安全组入方向规则需要放通IPv6端口。 说明 Windows系统需要开放TCP的8899端口、8900端口和22端口。 Linux系统文件级迁移开放22端口，块级迁移开放8900端口、22端口。 以上端口，建议只对源端服务器开放。 创建迁移任务 主机迁移服务支持在双栈网络下使用IPv6进行数据迁移。

本章节主要介绍DataArts Studio的开发一个DWS SQL作业流程。 介绍如何在数据开发模块上通过DWS SQL算子进行作业开发。 场景说明 本教程通过开发一个DWS作业来统计某门店的前一天销售额。 环境准备 已开通DWS服务，并创建DWS集群，为DWS SQL提供运行环境。 已开通CDM增量包，并创建CDM集群。 CDM集群创建时，需要注意：虚拟私有云、子网、安全组与DWS集群保持一致，确保网络互通。 创建DWS的数据连接 开发DWS SQL前，我们需要在“管理中心 > 数据连接”模块中建立一个到DWS的连接，数据连接名称为“dwslink”。 关键参数说明： 集群名：环境准备中创建的DWS集群名称。 绑定Agent：环境准备中创建的CDM集群。 创建数据库 在DWS中创建数据库，以“gaussdb”数据库为例。详情请参新建数据库进行操作。 创建数据表 在“gaussdb”数据库中创建数据表tradelog和tradereport。详情请参考如下建表脚本。 create schema storesales; set currentschema storesales; drop table if exists tradelog; CREATE TABLE tradelog ( sn VARCHAR(16), tradetime DATE, tradecount INTEGER(8) ); set currentschema storesales; drop table if exists tradereport; CREATE TABLE tradereport ( rq DATE, tradetotal INTEGER(8) ); 开发DWS SQL脚本 在“数据开发 > 脚本开发”模块中创建一个DWS SQL脚本，脚本名称为“dwssql”。在编辑器中输入SQL语句，通过SQL语句来实现统计前一天的销售额。 开发脚本 说明 上图中的脚本开发区为临时调试区，关闭脚本页签后，开发区的内容将丢失。您可以通过“提交”来保存并提交脚本版本。 数据连接：创建DWS的数据连接中已创建的连接。

操作场景 在不影响业务的情况下，通过容灾演练，模拟真实故障恢复场景，制定应急恢复预案，检验容灾方案的适用性、有效性。当真实故障发生时，通过预案快速恢复，提高业务连续性。 存储容灾服务提供的容灾演练功能，在容灾演练VPC（该VPC不能与容灾站点服务器所属VPC相同）内执行容灾演练，基于容灾站点服务器的磁盘快照，快速创建容灾演练服务器。 说明 当容灾演练服务器创建完成后，生产站点服务器和容灾演练服务器同时独立运行，数据不再实时同步。 在容灾演练过程中，会临时创建一个后缀名为VMwareToCloud的系统转换ECS，请勿对该ECS进行任何操作，否则可能会导致演练失败，切换或/容灾演练完成后会自动删除该ECS。 为保证在灾难发生时，容灾切换能够正常进行，建议您定期做容灾演练。 使用须知 创建容灾演练时，如果保护组内的生产站点服务器加入了企业项目，容灾演练创建的演练服务器不会自动加入到企业项目，如有需要请手动将演练服务器加入到企业项目。 创建容灾演练时，如果生产站点服务器为Linux且为密钥方式登录，创建容灾演练后，创建的容灾演练服务器详情不显示密钥对信息，但可以使用容灾站点服务器的密钥对登录容灾演练的服务器。 创建容灾演练成功后，生产站点服务器中的“主机名”、“名称”、“委托”、“云服务器组”、“自动恢复”、“安全组”和“标签”配置项修改不会再自动同步到演练服务器上。您可以登录控制台，手动将这些配置项的修改添加到演练服务器上。 容灾演练操作只在容灾演练服务器配置主网卡，如果生产站点有从网卡，容灾演练不会自动配置，需要在容灾演练服务器详情页面手工绑定从网卡。

监听协议 说明 使用场景 TCP 面向连接的协议，在发送数据之前需要经过三次握手建立可靠的连接；基于源地址的会话保持；数据传输快。 适用于注重可靠性、对数据准确性要求高，如邮件服务、文件传输服务；无特殊要求的Web应用。 UDP 无连接协议，发送数据前不需要建立连接，直接发送数据，不提供差错恢复和数据重传；可靠性相对较低，需要上层协议做可靠性措施；数据传输快。 适用于对实时性要求较高，对可靠性要求相对不高的业务，如语音、视频、证券行情实时推送等。 HTTP 应用层协议，基于TCP协议，B/S架构，浏览器请求数据，服务端响应数据；基于Cookie做会话保持；使用XForwardedFor头字段获取客户端真实IP地址。 需要对数据内容进行识别的应用，如Web应用、门户网站等。 HTTPS 加密的HTTP传输协议，可阻止未经授权的访问；统一的证书管理服务，可将证书传至负载均衡，由负载均衡终结处理客户的HTTPS请求。 对安全性要求较高的HTTP应用；需要加密传输的应用。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云CDN控制台开启HTTPS协议，可实现客户端和天翼云CDN节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在CDN节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向CDN节点发起HTTPS请求。 2. CDN节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给CDN节点。 4. CDN节点使用对应私钥进行解密，得到密钥。 5. CDN节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对CDN节点传输的加密数据进行解密，从而获取相应数据。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 单击【保存】，完成配置。

操作步骤 1.进入CDM主界面，进入集群管理界面。选择CDM集群后的“作业管理 >连接管理 > 集群配置管理”。 2.在集群配置管理界面，选择“新建集群配置”，配置参数填写详见下图 集群配置名：根据连接的数据源类型，用户可自定义便于记忆、区分的集群配置名。 上传集群配置：单击“添加文件”以选择本地的集群配置文件，然后通过操作框右侧的“上传文件”进行上传。 Principal： 仅安全模式集群需要填写该参数 。Principal即Kerberos安全模式下的用户名，需要与Keytab文件保持一致。 上传Keytab文件： 仅安全模式集群需要上传该文件 。单击“添加文件”以选择本地的Keytab文件，然后通过操作框右侧的“上传文件”进行上传。 描述：用户可添加对此集群配置的描述，用于标识和区分该集群配置。 3.确认后集群配置新建成功。后续在新建Hadoop类型连接时，认证模式根据实际情况选择，将“是否使用集群配置”选择为“是”，然后选择对应的“集群配置名”，即可快速完成Hadoop类型连接创建。 详见下图：使用集群配置

本章节主要介绍使用Storm客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Storm客户端。 前提条件 已安装客户端。例如安装目录为“/opt/hadoopclient”。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。（普通模式不涉及） 操作步骤 1. 根据业务情况，准备好客户端，登录安装客户端的节点。 请根据客户端所在位置，参考“用户指南 > 使用MRS客户端 > 安装客户端”章节，登录安装客户端的节点。 2. 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3. 执行以下命令配置环境变量。 source bigdataenv 4. 若安装了Storm多实例，在使用Storm命令提交拓扑时，请执行以下命令加载具体实例的环境变量，否则请跳过此步骤。例如，Storm2实例： source Storm2/componentenv 5. 执行以下命令，进行用户认证。（普通模式跳过此步骤） kinit 组件业务用户 6. 执行命令进行客户端操作。 例如执行以下命令： cql storm 说明 同一个storm客户端不能同时连接安全和非安全的ZooKeeper。

本文介绍上传加速的应用场景及配置说明等。 什么是上传加速？ 随着自媒体时代的到来，用户上传图片、大文件、短视频的需求日益增长，传统CDN主要针对的是源站向客户端分发内容的加速，而用户上传的内容，往往都是纯动态内容，无法通过缓存的方式进行加速。 天翼云边缘安全加速平台提供了一种上传加速服务，针对用户上行传输数据全程加速。使用本方案后，用户请求自动被调度到最近的节点，节点接收到用户上传的数据后，通过如下技术将用户上传的内容快速上传到源站： 根据您的用户分布，天翼云全站加速产品可在全球各地选择最优的边缘节点供用户接入。 用户上传内容到边缘节点后，全站加速平台通过智能选路选出最优回源路径，快速地将用户上传的内容传输到源站或者云端。 应用场景 上传加速主要应用场景包括：图片上传、音视频上传、新闻素材和稿件上传等场景。 配置说明 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2.单击【编辑配置】，找到【上传加速】配置模块。 配置参数说明： 参数名 配置值 说明 上传加速 开启/关闭 开启后将提供上传加速能力 注意 开放试用，开启后上传大小默认限制为: 300M ，建议叠加动态加速配置可使上传加速效果更佳。 配置界面：

本文主要介绍如何使用客户端自保护功能。 背景说明 对于有安全强管控需求的企业，通过配置客户端自保护的功能可以避免员工擅自卸载客户端。客户端自保护功能支持在AOne零信任，AOne终端管理使用。 操作步骤 1.登录边缘安全加速控制台，进入AOne零信任或AOne终端管理工作台。 2.在左侧导航栏，选择设置客户端设置客户端自保护，查看相应的配置和管理。 3.可根据业务需求进行相关配置操作。 功能说明 开启客户端自保护策略时，可选择开启对象和排除对象，支持按设备、按用户两种策略下发方式，其中排除对象优先于开启对象。设置完成后点击保存进行策略下发。策略变更后，预计1分钟左右客户端自保护功能生效。 注意 目前仅Windows、麒麟、统信客户端版本支持自保护能力，macOS操作系统客户端版本不支持客户端自保护能力。Windows客户端版本号需不小于2.5.0，麒麟、统信客户端版本号需不小于2.26.10。 完成策略配置后，若员工有客户端卸载的需求，管理员可在控制台生成防护码。卸载的设备需具备联网条件，不联网的客户端无法执行防护码操作。 点击生成防护码按钮，可选择防护码有效期，点击确定后生成对应防护码。 已经分发出去的防护码，管理员可对防护码进行批量禁用。

本章主要介绍翼MapReduce的加固策略功能。 加固Tomcat 在FusionInsight Manager软件安装及使用过程中，针对Tomcat基于开源做了如下功能增强： 升级Tomcat版本为官方稳定版本。 设置应用程序webapplications之下的目录权限为500，对webapplications之下的部分目录支持写权限。 系统软件安装完成后自动清除Tomcat安装包。 webapplications下针对工程禁用自动部署功能，只部署了web、cas和clientregistry三个工程。 禁用部分未使用的http方法，防止被他人利用攻击。 更改Tomcat服务器默认shutdown端口号和命令，避免被黑客捕获利用关闭服务器，降低对服务器和应用的威胁。 出于安全考虑，更改“maxHttpHeaderSize”的取值，给服务器管理员更大的可控性，以控制客户端不正常的请求行为。 安装Tomcat后，修改Tomcat版本描述文件。 为了避免暴露Tomcat自身的信息，更改Connector的Server属性值，使攻击者不易获知服务器的相关信息。 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。 关闭会话facade回收重用功能，避免请求泄漏风险。 CookieProcessor使用LegacyCookieProcessor，避免cookie中的敏感数据泄漏。 加固LDAP 在安装完集群后，针对LDAP做了如下功能增强： LDAP配置文件中管理员密码使用SHA加密，当升级openldap版本为2.4.39或更高时，主备LDAP节点服务自动采用SASL External机制进行数据同步，避免密码信息被非法获取。 集群中的LDAP服务默认支持SSLv3协议，可安全使用。当升级openldap版本为2.4.39或更高时，LDAP将自动使用TLS1.0以上的协议通讯，避免未知的安全风险。

本小节介绍日志审计(原生版)新增资产。 日志审计（原生版）提供集中化的统一管理平台，将所有的需要审计的设备统一纳管入平台中，进行信息资产的统一日志管理。 在使用日志审计（原生版）之前，您需要先纳管资产，以便服务可以进行日志管理。 新增资产组 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 单击页面上的“新增组”。 4. 在弹出的对窗口中填写“资产组名称”，填写完成后单击“确认”即可新增资产组。 参数 参数说明 父资产组 不可选择，系统默认填写。 资产组名称 填写您需要创建的资产组名称，最大长度不超过64个字符。 新增资产 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要新增资产的资产组，进入资产组页面后，单击“新增资产”。 下图以选择默认的资产组为例，实际请根据业务情况自行选择资产组。 4. 进入“新增”页面，填写待新增的资产内容（下表仅展示必填项，完整的填写内容请参考新增资产）。 注意 日志采集方式、资产类型和IP需要根据实际情况选择。 参数 参数说明 取值样例 基本属性 资产名称 填写您的资产名称，最大长度不超过64个字符。 资产示例 基本属性 管理IP 填写待纳管设备的主识别IP，请确保IP真实有效。 0.0.0.0 基本属性 资产大类 在下拉框中选择待纳管资产的设备类别。 主机 基本属性 资产小类 在下拉框中选择待纳管资产的具体设备类型。 服务器/其他 基本属性 SyslogUdp采集 选择是否开始SyslogUdp采集，默认开启，建议选择开启。 开启 安全属性 机密性 选择待纳管资产的机密等级，可选110级，默认选择1级。 1级 安全属性 完整性 选择待纳管资产的完整等级，可选110级，默认选择1级。 1级 安全属性 可用性 选择待纳管资产的可用等级，可选110级，默认选择1级。 1级 安全属性 资产价值 选择待纳管资产的资产价值，可选“低”、“中”、“高”，默认为“低”。 低 安全属性 等保级别 选择待纳管资产的等保等级，可选110级，默认选择1级。 1级 接口 IP 与“管理IP”一致，请确保IP真实有效。 0.0.0.0 接口 IP类型 选择纳管资产的IP类型，请如实选择。 公网

本文主要介绍概念类问题。 什么是容灾？ 容灾是一个范畴比较广泛的概念。广义上，容灾是一个系统工程，包括所有与业务连续性相关的内容。对于IT而言，容灾是提供一个能防止用户业务系统遭受各种灾难影响破坏的计算机系统。狭义的容灾是指建立两套或多套功能相同的IT系统，互相之间可以进行健康状态监视和功能切换，当主要站点因意外（如火灾、地震、城市供电中断等）停止工作时，整个应用系统可以利用辅助站点快速恢复，并继续工作。 容灾的主要目的是，当自然或人为的原因导致生产系统发生灾难时，能够尽可能地保证业务的连续性。 什么是RPO和RTO？ A：RPO（Recovery Point Objective）即数据恢复点目标，主要指的是业务系统所能容忍的数据丢失量。 RTO（Recovery Time Objective）即恢复时间目标，主要指的是所能容忍的业务停止服务的最长时间，也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。 什么是SCSI？ SCSI（Small Computer System Interface）是云硬盘磁盘模式的一种。SCSI类型的云硬盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的云硬盘还可以支持更高级的SCSI命令，例如持久锁预留，适用于通过锁机制保障数据安全的集群应用场景。

安全管理员点击左侧导航栏的【系统管理】，进入【用户管理】页面可进行账号管理。

本文将为您介绍云专线服务相关的术语概念,例如客户站点、接入点等。 客户站点 客户站点是用户线下需要与云上互通的站点的统称，包括用户数据中心、本地机房、企业总部、企业分支机构等。 接入点 接入点是指用户通过云专线接入天翼云资源池的专线POP。专线POP可以提供多种端口类型，用于物理专线的接入。 物理专线 物理专线是对客户侧站点和云资源池交换机之间的网络链路的抽象。与传统互联网链路相比，物理专线提供用户本地数据中心上云的专属通道，业务传输质量更高，并采用虚拟化技术实现用户业务数据逻辑隔离，更加安全可靠，云专线兼容底层IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽随选和弹性扩容，帮助企业轻松应对大流量业务传输场景。 用户可申请独享物理专线和共享物理专线。独享物理专线，用户独占一个物理端口资源；共享物理专线，多用户共享一条物理线路，通过三层子接口方式实现多租户数据隔离。 专线网关 专线网关是客户站点和天翼云VPC之间的虚拟路由转发设备。作为数据从客户站点到云上VPC之间的传输桥梁，专线网关一端绑定物理专线，一端与客户站点需要访问的VPC直连。一个VPC可以关联一个专线网关，多条物理专线可以通过一个专线网关访问一个或多个VPC。

场景 场景描述 在线加密 适用于保护小型敏感数据（小于6KB）的加解密，如密钥、证书、配置文件等。 用户的数据会通过安全信道传递到KMS服务端，服务端通过指定CMK完成加密和解密后，操作结果通过安全信道返回给用户。 信封加密 适用于海量数据的高性能加解密，如规模较大的对性能敏感的本地文件。 通过KMS生成数据密钥DEK，并返回DEK明文及经指定CMK加密的DEK密文。用户使用数据密钥DEK明文在本地进行高效的加解密处理，然后将内存中的DEK明文销毁，将DEK密文及密文文件落盘存储。