参数名 类型 是否必填 名称 说明 productcode list<string> 是 产品类型列表 支持：“001”（静态加速）,“003”:（下载加速）, “004”（视频点播加速）,“008”（CDN加速），“006”（全站加速）,“007”（安全加速），"014"（下载加速（闲时）） origins string 是 源站ip或域名 多个ip用英文逗号分隔

本章节主要介绍产品定义 数据管理服务（Data AdminService,简称DAS），是一种基于管理控制台提供数据管理、结构管理、会话以及用户管理的服务，方便用户高效管理和安全使用数据。目前可支持关系型数据库MySQL、关系型数据库SQL Server 、关系型数据库PostgreSQL、分布式关系型数据库DRDS、文档数据库DDS。

创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 由于安全问题，支持的加密套件为TLSECDHEECDSAWITHAES128CBCSHA256，TLSECDHERSAWITHAES128CBCSHA256和TLSECDHERSAWITHAES128GCMSHA256。 本节介绍如何使用开源的Kafka客户端访问开启SASL的Kafka专享实例的方法。 说明： 使用SASL方式连接Kafka实例时，为了客户端能够快速解析实例的Broker，建议在客户端所在主机的“/etc/hosts”文件中配置host和IP的映射关系。 其中，IP地址必须为实例连接地址（Broker地址），host为每个实例主机的名称（您可以自定义主机的名称，但不能重复）。 例如： 10.154.48.120 server01 10.154.48.121 server02 10.154.48.122 server03 前提条件 已配置正确的安全组。 访问开启SASL的Kafka专享实例时，支持VPC内访问。实例需要配置正确的安全组规则，具体安全组配置要求，请参考表32。 已获取连接Kafka专享版实例的地址。 使用VPC内访问，实例端口为9093，实例连接地址获取如下图。 获取VPC内访问Kafka专享实例的连接地址（实例已开启SASL） Kafka专享实例已创建Topic，否则请提前创建Topic。 已下载client.truststore.jks证书。如果没有，在控制台单击Kafka实例名称，进入实例详情页面，在“基本信息 > 高级配置 > Kafka SASLSSL”所在行，单击 。下载压缩包后解压，获取压缩包中的客户端证书文件：client.truststore.jks。 已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本，确保Kafka实例版本与命令行工具版本相同。 已在Kafka命令行工具的使用环境中安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 以下操作命令以Linux系统为例进行说明。 解压Kafka命令行工具。 进入文件压缩包所在目录，然后执行以下命令解压文件。 tar zxf [kafkatar] 其中，[kafkatar]表示命令行工具的压缩包名称。 例如： tar zxf kafka2.111.1.0.tgz 修改Kafka命令行工具配置文件。 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.plain.PlainLoginModule required username"" password""; sasl.mechanismPLAIN security.protocolSASLSSL ssl.truststore.location/opt/kafka2.111.1.0/config/client.truststore.jks ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： username和password为创建Kafka专享实例过程中开启SASLSSL时填入的用户名和密码。 ssl.trustore.location配置为client.truststore.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中拷贝路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要保持关闭状态，必须设置为空。 进入Kafka命令行工具的“/bin”目录下。 注意，Windows系统下需要进入“/bin/windows”目录下。 执行如下命令进行生产消息。 ./kafkaconsoleproducer.sh brokerlist ${连接地址} topic ${Topic名称} producer.config ../config/producer.properties 参数说明如下： 连接地址：从前提条件获取的连接地址。 Topic名称：Kafka实例下创建的Topic名称。 如下示例，Kafka实例连接地址为“10.xxx.xxx.202:9093,10.xxx.xxx.197:9093,10.xxx.xxx.68:9093”。 执行完命令后，输入需要生产的消息内容，按“Enter”发送消息到Kafka实例，输入的每一行内容都将作为一条消息发送到Kafka实例。 [root@ecskafka bin]

本文主要介绍如何查看和管理登录客户端的终端设备。 功能介绍 远程零信任办公服务提供终端设备管理功能，记录和收集企业员工登录客户端的设备信息和登录状态等信息，帮助企业对其使用远程零信任办公服务客户端的员工终端设备进行管理和查看。 操作步骤 1. 登录边缘安全加速控制台。 2. 支持在AOne零信任、AOne终端管理、AOne学术加速工作台进行操作。 3. 在左侧导航栏选择终端终端资产终端设备列表。 4. 点击可查看终端设备整体状态，可点击具体设备详情查看单设备信息。 设备列表 注意 零信任服务、终端管理、学术加速根据自身产品服务能力会进行相关功能裁剪，如终端管理无内网在线，下文主要介绍整体服务情况。 概览统计 合规检测：统计当前合规检测存在风险的设备数量，若合规检测能力未开启或设备未检测则为空。 待处理病毒数：病毒扫描检测出的尚未处理的病毒数。 设备平均在线时长：统计昨日设备在线的平均在线时长，在线设备主要是AOne客户端程序启动进行上报设备信息进行统计，设备卸载或退出AOne客户端则无法统计。 在线/设备总量：在线设备为当前AOne程序在线上报的设备情况，设备总量则为累积上报过的设备信息。 内网在线设备：统计当前内网在线的设备（存在10分钟数据延迟）。 终端信息采集：支持开启硬件信息采集，比如CPU、内存、磁盘空间等。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

本节介绍了使用FTP上传文件时客户端连接服务端超时的问题描述、约束与限制、可能原因、处理方法。 问题描述 客户端连接服务端超时，无法连接到服务端。 约束与限制 该文档适用于本地主机Windows系统上的FTP服务。 可能原因 服务端防火墙或安全组拦截。 处理方法 检查服务端防火墙设置。 关闭防火墙或者添加相应规则。

备份审计日志后，您可以查看备份的审计日志信息，或删除备份的审计日志。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功开启数据库安全审计功能。 已成功备份审计日志。 查看备份的日志信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要查看日志的实例。 6. 选择“备份与恢复”页签。 7. 查看备份的审计日志信息，相关参数说明如下所示。查看报表模板信息，相关参数说明如下所示。在列表右上方单击，选择开始时间和结束时间，可以查看指定的时间段的备份日志。 参数名称 说明 日志名称 日志的名称，由系统自动生成。 备份时间 执行日志备份操作的时间。 文件大小 日志的文件大小。 备份方式 日志的备份方式。 备份范围 日志的备份时间段。 任务状态 日志的备份状态。 说明 在需要删除的日志所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，您可以删除该备份日志。

如果您需要禁用级别，请按照此章节进行操作，其中内置数据级别不支持禁用 约束限制 内置的数据级别不支持禁用。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 选择“级别配置”页签查看级别配置列表。 步骤 6 在目标级别操作列，单击“禁用”。 说明 被禁用的级别在创建或编辑模板时将不会显示。若要解除禁用状态，请在相应的级别操作列上点击“启用”按钮。

本节介绍如何管理分类映射，如启用、禁用、删除操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“分类&映射”页签，进入分类映射管理页面。 5. 在分类映射管理页面中，对分类映射进行管理。 参数名称 参数说明 启用 说明 自定义新增的分类映射暂不支持启用操作。 在分类映射管理页面中，单击目标分类映射所在行“启用状态”列的禁用按钮。 当“启用状态”更新为“启用”时，表示启用成功。 禁用 说明 自定义新增的分类映射暂不支持禁用操作。 在分类映射管理页面中，单击目标分类映射所在行“启用状态”列的启用按钮。 当“启用状态”更新为“禁用”时，表示禁用成功。 删除 说明 暂不支持删除系统内置分类映射。 删除分类映射时，与待删除分类映射关联的插件、连接等都将立即停止。 分类映射删除后，无法恢复，请谨慎操作。 1.在分类映射管理页面中，单击目标分类映射所在行“操作”列的“删除”。 2.在弹出的删除映射确认页面中，确认无误后，单击“删除”。

本章节主要介绍更新集群密钥 。 操作场景 在创建集群时，系统将自动生成加密密钥key值以对集群的部分安全信息（例如所有数据库用户密码、密钥文件访问密码等）进行加密存储。在集群安装成功后，建议用户定期通过以下操作手动更改密钥值。 对系统的影响 更新集群密钥后，集群中新增加一个随机生成的新密钥，用于加密解密新保存的数据。旧的密钥不会删除，用于解密旧的加密数据。在修改安全信息后，例如修改数据库用户密码，新密码将使用新的密钥加密。 更新集群密钥需要停止集群，集群停止时无法访问。 前提条件 停止依赖集群运行的上层业务应用。 操作步骤 在MRS Manager，选择“服务管理 > 更多 > 停止集群”。 在弹出窗口勾选“我已阅读此信息并了解影响。”，单击“确定”，界面提示“操作成功。”，单击“完成”，集群成功停止。 1. 登录主管理节点。 2. 执行以下命令切换用户： sudo su omm 3. 执行以下命令，防止超时退出。 TMOUT0 4. 执行以下命令，切换目录。 cd ${BIGDATAHOME}/om0.0.1/tools 5. 执行以下命令，更新集群密钥。 sh updateRootKey.sh 根据界面提示，输入 y ： The root key update is a critical operation. Do you want to continue?(y/n): 界面提示以下信息表示更新密钥成功： ...Step 41: The key save path is obtained successfully. ...Step 44: The root key is sent successfully. 6. 在MRS Manager界面，选择“服务管理 > 更多 > 启动集群”。 在弹出的提示框中单击“是”，开始启动集群。界面提示“操作成功。”，单击“完成”，集群成功启动。

本章主要介绍翼MapReduce的密码维护建议。 用户身份验证是应用系统的门户。用户的帐户和密码的复杂性、有效期等需根据客户的安全要求进行配置。 对密码的维护建议如下： 1. 专人保管操作系统密码。 2. 密码需要满足一定的强度要求，例如密码最少字符数、混合大小写等。 3. 密码传递时注意加密，尽量避免通过邮件传递密码。 4. 密码需要加密存储。 5. 系统移交时提醒企业用户更改密码。 6. 定期修改密码。

本节介绍了人脸识别相关的应用场景。 门禁人脸识别 随着人们生活水平的提高，人们更加注重家居环境的安全，安防观念不断加强。伴随着这种需求的提高，智能门禁系统应运而生，越来越多的企业、商铺、家庭都安装了各种各样的门禁系统。人脸检测内置于智能门禁系统，能准确识别进来人员人脸信息，提供出行方便的服务，同时有效的杜绝外来无关人员进入，保证环境安全。 市场营销企业商务 人脸识别技术在营销上主要有两方面的应用：首先，可以识别一个人的基本个人信息，例如性别、大致年龄，以及他们看过什么，看了多久等。其次，该技术可以用于识别已知的个人，例如已经加入系统的会员等人员身份识别。 酒旅出行 在机场、饭店、网吧等场所，行业人员流动频繁，通过实名认证服务，高精度核实住客身份信息，可有效对进出人员进行身份核验，快速甄别人员身份，提升场所登记效率，为居民提供更加方便、优质的服务，同时能满足企业和政府的监管需要。

本文主要介绍部分浏览器访问HTTPS时CDN证书校验失败的排查思路。 问题现象 部分浏览器访问HTTPS时证书校验失败。 问题原因 中间证书配置错误。 排查过程及解决方案 1. 浏览器访问HTTPS时提示证书不安全，点击返回安全连接后，连接断开，通过Wireshark抓包查看失败原因为Certificate Unknown。 2. 抓包查看sni是正常的： 3. 查看证书链，发现中间证书异常，缺失正确的中间证书： 4. 在CDN加速控制台上重新配置证书链，具体可参照：CDN加速域名如何配置HTTPS中间证书重新配置证书链后抓包查看正常，浏览器不再报错：

本文介绍边缘接入服务计费常见问题。 开通IP应用加速前，要先订购边缘接入服务吗 边缘接入服务里的应用加速与安全与加速服务里的加速是否叠加计费 IP应用加速支持海外加速吗 购买边缘接入套餐后，已购买的流量/带宽、域名数、端口数、DDoS防护不够怎么办

查看连接信息 单击连接信息页签，可以获取公网以及内网环境下的KubeConfig文件的配置内容，用于配置Kubectl客户端对集群的访问。 查看集群资源 单击集群资源页签，可以查看集群的虚拟专有网络VPC以及安全等信息。

本章节主要介绍账号管理 登录名 您可以给数据库创建不同权限的登录帐号，提高数据管理安全性能。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 4、在左侧导航栏中，单击“开发工具”，进入开发工具页面。 5、选择需要登录的目标数据库实例，单击操作列表中的“登录”，登录目标数据库实例。 6、在顶部菜单“用户管理”下，选择“登录名”，进入登录名页面。 7、单击“新建登录名”。 8、在新建登录名页面设置常规信息、服务器角色、用户映射、安全对象及状态信息，单击“保存”。 登录名信息 说明 登录名 登录该实例的帐号名称。 验证类型 默认选择“Microsoft SQL Server Authentication”。 密码 新建用户的密码，密码复杂度要求如下。 长度为8128个字符至少包含三种字符组合：小写字母、大写字母、数字、特殊字符 ! @ % ^ + ? $ 不包含登录名 不与弱密码相同 确认密码 确认密码需要和设置的密码保持一致。 强制实施密码策略 勾选强制实施密码策略则表示用户密码必须符合SQL Server服务器的密码安全策略。 默认数据库 实例登录后的默认数据库。 默认语言 该数据库的默认语言。 服务器角色 配置当前登录名的服务器角色。 用户映射 配置当前登录名对指定数据库的指定权限。说明选择所需的数据库进行用户映射，会在对应数据库下删除原有数据库用户，并创建新的数据库用户，请谨慎操作。 安全对象 配置当前登录名的服务器级别权限。 状态 勾选“启用”表示允许此用户登录数据库，勾选“禁用”表示禁止此用户登录数据库。 9、单击“返回登录名管理列表”，在“登录名管理列表”中查看新增的登录名信息。 10、“登录名管理列表”中，您可按需进行修改编辑、重命名或者删除操作。

加密隔离组 加密隔离组是管理员为部门或用户设置的加密文件访问控制组，通过定义隔离涵盖范围和授权共享范围，限制加密文件的读写权限。组内用户的加密文件仅对组内成员或授权共享范围内的用户开放访问，实现数据的隔离与安全管控。

多租户平台 租户是FusionInsight大数据平台的核心概念，使传统的以用户为核心的大数据平台向以多租户为核心的大数据平台转变，更好的适应现代企业多租户应用环境，如下图所示。 对于以用户为核心的大数据平台，用户直接访问并使用全部的资源和服务。 用户的应用可能只用到集群的部分资源，资源利用效率低。 不同用户的数据可能存放在一起，难以保证数据安全。 对于以租户为核心的大数据平台，用户通过访问租户来使用需要的资源和服务。 按照应用需求分配和调度出需要的资源，以租户来统一使用，资源利用效率高。 用户通过分配不同的角色获得使用不同租户资源的权限，以保障访问安全。 不同的租户之间数据隔离，以保证数据安全。

本文介绍关系数据库PostgreSQL版的高危操作二次验证功能。 为保证实例安全，部分高危操作需要进行短信验证，发起验证后，您当前登录的账号绑定的手机会收到短信验证码，填写验证码完成验证，高危操作才会执行。 需要进行短信验证的高危操作如下： 退订实例 重置root密码

本页主要介绍关系数据库MySQL版的性能概述以及指标说明。 性能概述 天翼云关系数据库MySQL版是一款基于云计算平台的在线关系型数据库服务，完全兼容MySQL 5.7、MySQL 8.0，提供单机、主备、一主两备、只读四种实例类型，提供备份、恢复、扩容、监控等数据库服务。 具有即开即用、稳定可靠、安全运行、弹性伸缩等特点，您仅需要简单的几步配置，就可在分钟级获得可用的生产数据库。天翼云关系数据库MySQL版不断优化RDS的各项参数，不断提升服务质量，保证产品的高稳定、高可靠和高可用性。 指标说明 实例性能测试的指标包括： 每秒执行事务数TPS（Transactions Per Second） 数据库每秒执行的事务数，以COMMIT成功次数为准。 SysBench标准OLTP读写混合场景中一个事务包含18个读写SQL。 SysBench标准OLTP只读场景中一个事务包含14个读SQL（10条主键点查询、4条范围查询）。 SysBench标准OLTP只写场景中一个事务包含4个写SQL（2条UPDATE、1条DETELE、1条INSERT）。 每秒执行请求数QPS（Queries Per Second） 数据库每秒执行的SQL数，包含INSERT、SELECT、UPDATE、DETELE、COMMIT等。

本章节主要介绍Redis Proxy集群实例。 DCS Redis的集群实例有两种版本可供选择，一种是基于LVS+Proxy的高可用集群版本（以下简称为Proxy版Redis集群），另一种是原生Cluster的集群版本。Proxy版集群兼容开源Redis 3.0，Cluster版本兼容开源Redis的4.0和5.0。 Redis3.0 Proxy集群实例 DCS Redis3.0 Proxy集群实例基于开源Redis 3.0版本构建，提供64G~1024G多种大容量规格版本，用于满足百万级以上并发 与大容量数据缓存的需要。Redis集群的数据分布式存储和读取，由DCS内部实现，用户无需投入开发与运维成本。 Redis集群实例由“负载均衡器”、“Proxy服务器”、“集群配置管理器”、“集群分片”共4个部分组成。 Redis3.0集群实例规格和Proxy数、分片数的对应关系 集群版规格 Proxy节点数 分片数（Shard） 64G 3 8 128G 6 16 256G 8 32 512G 16 64 1024G 32 128 Redis Proxy集群实例示意图 示意图说明： VPC 虚拟私有云。集群实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与Proxy集群实例处于相同VPC，并且配置安全组访问规则。 客户应用程序 客户应用程序，即Redis集群客户端。 Redis可直接使用开源客户端进行连接，关于客户端连接示例，请参考连接实例。 LBM/LBS 负载均衡服务器，采用主备高可用方式。Redis集群实例提供访问的IP地址，即为负载均衡服务器地址。 Proxy Redis集群代理服务器。用于实现Redis集群内部的高可用，以及承接客户端的高并发请求。 支持使用Proxy节点的IP连接集群实例。 Redis shard Redis集群的分片。 每个分片也是一个Redis主备实例，分片上的主实例故障时，系统会自动进行主备切换，集群正常提供服务。 某个分片的主备实例都故障，集群可正常提供服务，但该分片上的数据不能读取。 Cluster manager 集群配置管理器，用于存储集群的配置信息与分区策略。用户不能修改配置管理器的信息。

此小节介绍数据库安全查看审计信息。 添加的数据库连接到数据库安全审计实例后，您可以查看数据库的审计总览信息，包括数据库的总体审计情况、风险分布、会话统计以及SQL分布情况。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入总览界面，操作步骤如下图所示。 4. 查看数据库的总体审计情况，以及数据库的风险分布、会话统计和SQL分布信息，在“选择数据库”下拉列表框中，选择“全部数据库”或指定的数据库，可以查看实例中所有的数据库或指定的某个数据库的总览信息。选择审计的时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击按钮，选择开始时间和结束时间，查看指定的时间段的总览信息。 会话统计 SQL分布

本实践介绍使用云备份将您创建的帕鲁服务器存档数据进行定时备份,以便存档出现异常时能够及时恢复。 实践场景 在帕鲁游戏过程中，由于各种异常事件引发的存档出错、存档丢失的情况时有发生，给玩家造成困扰，玩家往往需要定时手动对存档进行备份以防意外。天翼云云备份针对上述场景提供了简单易用、安全可靠的一键式存档备份能力，将您创建的帕鲁服务器存档数据进行定时备份，以便存档出现异常时能够及时恢复，随时拯救您的帕鲁伙伴。让您安心游玩帕鲁世界，无惧存档异常。 进入云备份控制台，即可轻松使用云备份服务。 约束与限制 该实践仅适用于“幻兽帕鲁（Palworld） Ubuntu”镜像的云主机。 计费说明 使用云备份服务会产生备份存储库费用和备份客户端费用。 计费项 计费模式 价格 ::: 备份存储库费用 仅支持包年包月，按照备份存储库容量和购买周期计费。 包月标准价格：0.2664元/GB/月； 还可享受包年一次性付费折扣，请参见存储库计费说明。 备份客户端费用 仅支持按需计费，根据客户端数量和使用时长计费。 0.06944元/台/小时

本节介绍Fluid功能和概念。 Fluid概述 Fluid是一个开源的云原生的分布式数据集编排和加速引擎，为AI和大数据云原生应用提供服务。 它旨在通过透明的数据管理和优化调度，帮助AI和大数据应用高效利用任何存储的数据，而无需修改现有应用。Fluid支持自动化的数据调度、缓存加速和弹性扩展，提升数据访问效率，确保在大规模分布式环境中实现高效的存储和计算协同。 Fluid功能 作为一款开源的云原生基础架构，Fluid为AI与大数据云原生应用提供一层高效便捷的数据抽象，将数据从存储抽象出来，以便实现以下功能： 数据集抽象原生支持：将数据密集型应用所需基础支撑能力功能化，实现数据高效访问并降低多维管理成本。 可扩展的数据引擎插件：提供统一的访问接口，方便接入第三方存储，通过不同的Runtime实现数据操作。 数据弹性和调度：将数据缓存技术和弹性扩缩容 、数据亲和性调度能力相结合，提高数据访问性能。 应用编排：结合Kubernetes调度器，将计算任务优先调度至已缓存数据的节点，减少网络传输开销，提升计算效率。 Fluid基础概念 Dataset：数据集，抽象成逻辑上相关的一组数据的集合，被运算引擎使用。它允许用户定义数据集的位置、格式、版本、数据访问权限等信息。Dataset可以与不同的存储引擎（如Alluxio、JuiceFS等）结合使用，确保数据的统一管理和高效访问。 Dataset Operation：对Dataset执行的数据操作任务，例如数据预热、数据迁移、数据缓存清理等。这些操作通过Fluid的CRD进行定义和管理，帮助用户优化数据访问性能或维护数据生命周期。 Runtime：实现数据集安全性、版本管理和数据加速等能力的执行引擎，定义了一系列生命周期的接口。可以通过实现这些接口，支持数据集的管理和加速。 AlluxioRuntime：作为 Cache Engine Pods 的一种实现，基于开源数据编排框架 Alluxio构建，用于在 Kubernetes 集群中提供高性能的数据缓存与访问加速能力，支持PVC、Hostpath、ZOS加速。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 plaintext var config { accessKeyId: " ", secretAccessKey: " ", endpoint: " ", region: "ctyun",// region固定填ctyun }; var stsClient new AWS.STS(config); 获取临时token plaintext var params { Policy: {"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3::: ","arn:aws:s3::: /"]}}, RoleArn: "arn:aws:iam:::role/ ", RoleSessionName: " ", DurationSeconds: 900, // 过期时间 } stsClient.assumeRole(params, function (err, data) { if (err) { console.log("Error", err); } else { console.log("Success", data); } }); 请求参数 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s，范围15分钟至12小时 否

后续处理 弹性云主机重启后，DNS配置会被重置为VPC子网的DNS服务器地址。因此，建议在重启弹性云主机前，查询该弹性云主机的VPC子网DNS配置是否与目标DNS配置一致，如果不一致，请先修改弹性云主机VPC子网的DNS服务器地址。

本节介绍如何设置文件完整性保护检测规则。 操作步骤 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“文件安全 > 文件完整性保护”，进入文件完整性保护页面。 3. 单击列表右上方的“检测设置”，进入检测设置页面。 4. 配置相关参数。 参数 说明 启用文件变更检测 开启或关闭文件变更检测功能。 关键文件监控 系统内置：对系统关键文件、文件路径、文件目录进行实时监控，发现文件变更篡改行为进行告警。 自定义：根据用户特定的防护场景，自定义添加监控路径，发现文件变更篡改行为进行告警。 监控排除设置 对用户添加的信任文件路径不再进行监控，方便用户更加灵活创建检测策略。 设置生效范围 自定义选择需要执行文件变更篡改行为监控的服务器。 5. 配置完成后，单击“确认提交”。

本文介绍如何管理白名单，包括新增、修改白名单等操作。 新增白名单 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 单击镜像管理页面右上角的“白名单管理”，进入白名单管理页面。 4. 单击列表右上角的“新增白名单”，可以新增白名单。 5. 新增完成，可以在列表中看到刚才新增的白名单。 白名单列表上方支持按照“白名单名称”、“内容”模糊搜索，按照“类型”定向筛选查询。 编辑白名单 单击操作列的“编辑”，即可查看或移除已添加到白名单中的镜像、漏洞、文件、软件、环境变量信息。 删除白名单 若不需要白名单时，可以单击操作列的“删除”，删除白名单。 注意 删除白名单后不支持恢复，请谨慎操作。

本节主要介绍入门指引 灰度发布是迭代软件产品在生产环境安全上线的一种重要手段。本教程以Bookinfo应用为例，向您讲解服务网格基于Istio提供的服务治理能力。 Bookinfo应用灰度发布流程包含以下步骤： 图 Bookinfo应用灰度发布流程

相关操作 参考手册 创建MySQL实例 步骤一： 配置MySQL实例 步骤二： 连接MySQL实例 步骤三：

本文主要介绍权限管理。 创建用户并授权使用ELB 如果您需要对您所拥有的ELB进行精细的权限管理，您可使用以统一身份认证服务（Identity and Access Management，简称IAM），通过IAM（统一身份认证），您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用ELB资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将ELB资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 给用户组授权之前，请您了解用户组可以添加的ELB权限，并结合实际需求进行选择。 1. 创建用户组并授权。 2. 在IAM控制台创建用户组，并授予弹性负载均衡服务只读权限“ELB ReadOnlyAccess”。 3. 创建用户并加入用户组。 4. 在IAM控制台创建用户，并将其加入用户组。 5. 用户登录并验证权限。 6. 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择弹性负载均衡，进入ELB主界面，单击右上角“创建弹性负载均衡”，尝试创建弹性负载均衡器，如果无法创建弹性负载均衡器（假设当前权限仅包含ELB ReadOnlyAccess），表示“ELB ReadOnlyAccess”已生效。 在“服务列表”中选择除弹性负载均衡器外（假设当前策略仅包含ELB ReadOnlyAccess）的任一服务，若提示权限不足，表示“ELB ReadOnlyAccess”已生效。

本小节介绍服务器安全卫士的相关术语。 Agent 指服务器安全监测与防护代理软件，运行在客户服务器操作系统，该安全代理具备严格的权限和运行负载控制，保护服务器的同时对业务运行不产生影响。 弱口令 容易被别人猜测（包括信息泄露导致）或被破解工具破解的口令均为弱口令。 软件漏洞 应用软件、中间件软件或操作系统软件在设计、实现上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个服务器，窃取服务器中的重要资料和信息，甚至破坏系统服务。 Web后门 Web后门是一段网页代码，主要以ASP、PHP、JAVA代码为主。由于这些代码都运行在Web服务器端，攻击者通过插入这段精心设计的代码，在Web服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透、提权获得服务器的控制权。 POC POC（Proof of Concept）的中文意思是“观点证明”。漏洞报告中的POC是指一段说明或者一个攻击的样例，使得读者能够确认这个漏洞是真实存在的。 CVSS CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。 Rootkit Rootkit是一种特殊的恶意软件，它的功能是在目标服务器上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。