本章节主要介绍如何使用函数流实现流式大文件处理。 背景与价值 Serverless Workflow由于自身可编排、有状态、持久化、可视化监控、异常处理、云服务集成等特性，适用于很多应用场景，比如： 复杂度高需要抽象的业务（订单管理，CRM 等） 业务需要自动中断 / 恢复能力，如多个任务之间需要人工干预的场景（人工审批，部署流水线等） 业务需要手动中断 / 恢复（数据备份 / 恢复等） 需要详细监控任务执行状态的场景 流式处理（日志分析，图片 / 视频处理等）当前大部分 Serverless Workflow 平台更多关注控制流程的编排，忽视了工作流中数据流的编排和高效传输，上述场景创建函数流触发器中，由于数据流相对简单，所以各大平台支持都比较好，但是对于文件转码等存在超大数据流的场景，当前各大平台没有给出很好的解决方案。FunctionGraph函数工作流针对该场景，提出了 Serverless Streaming 的流式处理方案，支持毫秒级响应文件处理。 技术原理 FunctionGraph函数工作流提出 Serverless Streaming 的流式可编排的文件处理解决方案，步骤与步骤之间通过数据流驱动，更易于用户理解。本章通过图片处理的例子解释该方案的实现机制。 如果需要驱动一个工作流执行，工作流系统需要处理两个部分： 控制流：控制工作流的步骤间流转，以及步骤对应的 Serverless 函数的执行。确保步骤与步骤之间有序执行。 数据流：控制整个工作流的数据流转，通常来说上一个步骤的输出是下一个步骤的输入，比如上述图片处理工作流中，图片压缩的结果是打水印步骤的输入数据。 在普通的服务编排中，由于需要精准控制各个服务的执行顺序，所以控制流是工作流的核心部分。然而在文件处理等流式处理场景中，对控制流的要求并不高，以上述图片处理场景举例，可以对大图片进行分块处理，图片压缩和加水印的任务不需要严格的先后顺序，图片压缩处理完一个分块可以直接流转到下一个步骤，而不需要等待图片压缩把所有分块处理完再开始加水印的任务。 基于上述理解，FunctionGraph工作流的 Serverless Streaming 方案架构设计如下图所示： 在 Serverless Streaming 的流程中，弱化控制流中步骤之间的先后执行顺序，允许异步同时执行，步骤与步骤之间的交互通过数据流驱动。其中数据流的控制通过 Stream Bridge 组件来实现。同时函数 SDK 增加流式数据返回接口，用户不需要将整个文件内容返回，而是通过 gRPC Stream 的方式将数据写入到 Stream Bridge，Stream Bridge 用来分发数据流到下一个步骤的函数 Pod 中。

本文介绍如何创建无状态应用。 无状态应用中各实例之间相互独立，互不依赖，任意一个Web请求完全与其他请求隔离。无状态容器应用更易实现可靠性和伸缩性。 注： 创建多个容器应用时，请确保容器应用使用的端口不冲突 ，否则部署会失败。 操作前提 已创建集群并添加节点[]( 操作步骤 1.在左侧控制台导航栏中选择【工作负载】>【无状态应用】，进入无状态应用列表； 2.单击【创建应用】，进入应用创建页面； 3.按照页面提示填写，包含基本信息、容器设置、添加服务、高级配置几步。 1）基本信息填写：按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 应用名称 新建容器应用的名称，命名必须唯一 集群 应用所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 应用所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 实例数量 应用可以有一个或多个实例，用户可以设置具体实例个数。每个应用实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，应用还能正常运行 2）单击【下一步】，进入容器设置页面，完成镜像选择及容器配置（可选项：一个应用实例包含1个或多个相关容器。若您的应用包含多个容器，请单击【添加】，进行容器的添加）；请按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 选择镜像 天翼云官方镜像：展示了天翼云官方平台的公开镜像 我的镜像：展示了用户创建的所有镜像仓库 镜像版本 根据导入的镜像，决定其可选择的版本 容器名称 容器的名称，可修改 容器规格 可选择设定的配额，或选择自定义配额 高级配置 生命周期：生命周期脚本定义，针对容器类应用的生命周期事件采取的动作。步骤参见设置应用生命周期 . 启动命令：输入容器启动命令，容器启动后会立即执行 . 启动后处理：应用启动后触发 . 停止前处理：：应用停止前触发 高级配置 环境变量：容器运行环境中设定的一个变量。可以在应用部署后修改，为应用提供极大的灵活性。 在“环境变量”页签，单击“添加环境变量”。变量类型分三种：手动添加、私密凭据导入、配置项导入。手动添加时，输入变量名称、变量/变量引用；私密凭据导入时，填写变量名称，并选择已经导入的变量/变量引用；配置项导入时，填写变量名称，并选择已经导入的变量/变量引用 高级配置 数据存储：支持挂载本地磁盘到容器中，以实现数据文件的持久化存储。详细步骤请参见为应用挂载数据卷 高级配置 健康检查：用于监测容器是否正常运行。设置了存活与业务两种探针 高级配置 安全设置：请输入用户ID，对容器权限进行设置，保护系统和其他容器不受其影响。 高级配置 容器日志：设置日志采集策略、配置日志目录。用于收集容器日志以及日志防爆 3）（可选）单击【下一步】，进入添加服务页面>【添加服务】，该步骤非必要步骤，也可后期进行配置，具体配置参数说明请参考设置应用访问策略； 4）（可选）单击【下一步】，进入高级配置页面，为应用设置更多高级设置，你可以为集群添加升级策略、迁移策略、缩容策略、调度则略，具体相关说明如下： 配置升级策略 参数 说明 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断 滚动升级 滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断 配置迁移策略 选择是，输入时间，可设置范围(09999秒)，默认30秒，输入为有效整数。当应用实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗； 选择否，应用实例所在的节点不可用时，应用实例将不会调度到其它可用节点。 配置缩容策略 输入时间，可设置范围(09999秒)，默认30秒；为应用删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该应用将被强制删除。 配置调度策略 你可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。详情请参见设置应用调度策略。 5）配置完成后请单击【提交】,等待应用创建完成，创建完成后返回应用列表； 4.在应用列表中，待应用状态为“运行中”，应用创建成功。应用状态不会实时更新，请按F5查看。

本节主要介绍弹性文件服务的使用限制。 SFS容量型文件系统支持NFSv3协议和CIFS协议，NFSv3协议下默认的导出选项是rw，norootsquash，noallsquash，sync。CIFS协议下默认的导出选项是rw，sync。 CIFS的加密文件系统不支持copychunk复制。 为了获得文件系统的更优性能，建议选用支持文件系统挂载的操作系统所列经过兼容性测试的操作系统。 CIFS类型的文件系统不支持使用Linux操作系统的云服务器进行挂载。 弹性文件服务暂时不支持复制功能。 弹性文件服务暂时不支持跨区域使用。 SMB文件系统只对文件系统级别、而不对文件/目录级别提供权限控制。 SFS容量型文件系统限制 SFS容量型文件系统当前仅限内网访问，不支持公网访问；只能在云上使用，不支持云下使用。 当前支持NFS协议（不支持NFSv4，仅支持NFSv3）和CIFS协议（不支持SMB1.0版本，支持SMB2.0/2.1/3.0版本）。 同一文件系统不能同时支持NFS协议和CIFS协议。 单个文件系统最多能够被10,000个计算节点同时挂载访问。 单个文件系统最大容量为4PB，单个文件最大容量为240TB。 支持多VPC，一个文件系统最多可以添加20个可用的VPC，对于添加的VPC所创建的ACL规则总和不能超过400个。 SFS Turbo文件系统限制 规格限制 限制项 说明 单文件大小 标准型、标准型增强版、性能型、性能型增强版：最大为16TB 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：最大为320TB 单文件系统最大文件或子目录数 标准型、标准型增强版、性能型、性能型增强版：10亿 说明 单文件系统下文件或子目录数总容量（KB）/16，上限为10亿，即得出数量大于10亿时，数量按10亿算。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：20亿 说明 单文件系统下文件或子目录数总容量（GB） 25000，上限为20亿，即得出数量大于20亿时，数量按20亿算 单目录下最大文件或子目录数 2000万 说明 如果用户需要对整个目录进行ls、du、cp、chmod、chown等操作，建议单层目录下不要放置超过50万的文件或子目录，否则可能由于NFS协议需要向服务端发送大量遍历请求而产生排队，导致请求耗时非常长。 目录最大深度 100层 最大路径长度 标准型、标准型增强版、性能型、性能型增强版：1024Byte 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：4096Byte 最大软链接长度 1024Byte 最大硬链接长度 255Byte 文件系统数量配额 默认32个 操作限制 限制类型 限制项 说明 创建SFS Turbo文件系统 支持协议 仅支持NFSv3 创建SFS Turbo文件系统 单文件系统最大容量 标准型、性能型：32TB 标准型、性能型、标准型增强版、性能型增强版：320TB 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：1PB 创建SFS Turbo文件系统 创建SFS Turbo文件系统数量 一个账号在单个区域内可创建最多20个文件系统。 创建SFS Turbo文件系统 是否支持文件语义锁Flock 不支持 挂载SFS Turbo文件系统 单文件系统最大挂载客户端数量 标准型、标准型增强版、性能型、性能型增强版：500个 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：3000个 访问SFS Turbo文件系统 支持访问方式 VPN/专线/云连接 扩容与缩容SFS Turbo文件系统 是否支持扩容 支持 扩容与缩容SFS Turbo文件系统 是否支持缩容 不支持 扩容与缩容SFS Turbo文件系统 目标容量取值范围 标准型、标准型增强版、性能型、性能型增强版：扩容步长至少为100GB起步。标准型和性能型可调整最大容量不超过32TB，增强版可调整最大容量不超过320TB。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：扩容步长为1.2TB起步，且必须为1.2TB的整数倍。可调整最大容量不超过1PB。 卸载SFS Turbo文件系统 卸载SFS Turbo文件系统前提条件 终止进程和停止读写。 删除SFS Turbo文件系统 删除SFS Turbo文件系统前提条件 卸载已挂载的文件系统。 删除SFS Turbo文件系统 删除按需计费SFS Turbo文件系统 状态为“可用”或者“不可用”才能执行删除操作。 删除SFS Turbo文件系统 退订包年/包月SFS Turbo文件系统 状态为“可用”或者“不可用”才能执行退订操作。 添加标签 是否支持添加标签 支持 添加标签 标签数量 一个SFS Turbo文件系统最多添加20个标签。 添加标签 标签键 添加标签时该项为必选参数，不能为空。 当一个SFS Turbo文件系统添加了多个标签，标签键不允许重复。 添加标签 创建SFS Turbo文件系统后是否支持编辑 支持

本文为您介绍如何通过密钥管理控制台进行证书禁用、吊销及删除操作。 证书成功导入证书管理控制台后，您可以调用实现签名验签。当您不再使用该证书时，可以通过控制台禁用、吊销或删除证书。 禁用证书 当您暂时无需使用证书时，可以禁用证书。禁用后的证书信息将保留，后续您可以根据需求再次启用证书。 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择服务所在的区。 3. 在左侧导航栏，点击 证书管理 ，在证书列表找到目标证书，点击操作列的 禁用 。 4. 在禁用证书对话框，点击 确定 。 吊销证书 当CA机构作废了证书时，您可以将证书管理控制台中证书的状态设置为已吊销。吊销后的证书信息将保留，后续您仅可以查看证书信息，但不可以启用或禁用证书。 1. 单击目标证书右侧操作列的 吊销。 2. 在吊销证书对话框，单击确定。 删除证书 当您无需使用证书管家管理证书时，可以删除证书。删除证书前，请确保证书没有用于签名验签。 1. 在目标证书右侧操作列的 删除证书。 2. 在删除证书对话框，单击 确定 。

本实践将为您介绍如何使用云硬盘备份跨可用区创建新盘,用户可按照需要跨可用区迁移云硬盘数据。 场景描述 用户可以通过云硬盘备份服务实现云硬盘数据备份与恢复，支持利用云硬盘备份创建新的云硬盘时选择不同的可用区，并通过将云硬盘挂载到弹性云主机上，实现在不同可用区间的数据迁移。 说明 仅具备多个可用区的地域，例如华东1，支持跨可用区创建新云硬盘。 方案优势 操作简单，可快速帮助用户实现云硬盘数据迁移。 备份细粒化到云硬盘，用户可选择不同云主机下的云硬盘进行迁移，实现不同云主机数据的重组。 前提条件 用户已购买备份存储库，且存储库为可用状态。 已存在一个备份，并且备份的备份状态为“可用”。 操作流程 本实践共分为三大步： 步骤一：创建云硬盘备份。 步骤二：使用云硬盘备份创建不同可用区的新云硬盘。 步骤三：挂载新云硬盘至云主机。 创建云硬盘备份 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘备份”，进入云硬盘备份页面。 4. 在“存储库”页签，选择相应的“存储库”，点击操作列的“创建备份”。 5. 进入创建备份窗口之后，用户勾选需要备份的磁盘，单击按钮将其选至右侧“已选磁盘”列表。 6. 用户可选择“立即备份”，即时完成目标云硬盘备份的创建，点击“下一步”，跳转至创建备份确认页面，在确认页面，勾选服务协议，点击“确认下单”。 7. 查看“备份副本”列表，等待创建备份状态变为“可用”，即已完成了备份的创建。

本章介绍函数工作流如何使用Kafka触发器。 使用Kafka触发器后，FunctionGraph会定期轮询Kafka实例指定Topic下的新消息，FunctionGraph将轮询得到的消息作为参数传递来调用函数。 前提条件 进行操作之前，需要做好以下准备。 已经创建函数。 创建Kafka触发器，必须开启函数工作流VPC访问，请参见配置网络。 已经创建Kafka实例。 在Kafka实例下创建主题。 创建Kafka触发器 1、登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2、选择待配置的函数，单击进入函数详情页。 3、选择“设置 > 触发器”，单击“创建触发器”，弹出“创建触发器”对话框。 4、设置以下信息。 触发器类型：选择“分布式消息服务（Kafka）”。 实例：选择已创建专享版Kafka实例。 主题：选择专享版Kafka实例的Topic。 批处理大小：每次从Topic消费的消息数量。 用户名：Kafka实例开启SSL时需要填写。连接Kafka专享版实例的用户名。 密码：Kafka实例开启SSL时需要填写。连接Kafka专享版实例的密码。 5、单击“确定”，完成kafka触发器的创建。 说明 开启函数流VPC访问后，需要在Kafka服务安全组配置对应子网的权限。如何开启VPC访问请参见 Kafka触发器当前支持选择多个Topic主题，从而避免Topic过多导致创建的触发器数量被限制。 配置Kafka事件触发函数。 1、返回函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2、选择待配置的函数，单击进入函数详情页。 3、在函数详情页，选择函数版本。 4、在“代码”页签下，单击“测试”，弹出“配置测试事件”对话框。 5、填写如下表示测试信息后，单击“保存”。 测试信息 参数 说明 配置测试事件 可创建新的测试事件也可编辑已有的测试事件。选择默认值：“创建新的测试事件”。 事件模板 选择"kafkaeventtemplate"模板，使用系统内置Kafka事件模板。 事件名称 事件名称必须以大写或小写字母开头，支持字母（大写或小写），数字和下划线“”（或中划线“”），并以字母或数字结尾，长度为125个字符，例如kafka123test。 测试事件 自动加载系统内置kafka事件模板，本例不做修改。 6、单击“测试”，可以得到函数运行结果，函数会返回输入kafka消息数据。

本教程将详细介绍如何借助天翼云 SDWAN 实现 DeepSeek 访问海外资源时，进行定向加速。 应用场景 企业在云上部署私有化DeepSeek平台，进行企业知识库、智能问答等大模型开发工作，在此过程中会使用到ollama、huggingface、github等境外开发工具或平台实现大模型高效迭代优化。 天翼云SDWAN通过优化对合规境外网站的访问过程，可以为客户提供更加流畅的海外资源访问体验。用户只需在云上DeepSeek主机业务环境中部署SDWAN软件CPE(vCPE)，即实现可对定向海外资源的加速访问。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建了云主机用于部署DeepSeek服务，并通过网络配置将其加入到VPC子网中。 操作步骤 本教程的配置流程如下： 步骤一：部署 vCPE 1. 创建并配置云主机 ：在天翼云控制台创建一台用于部署天翼云 SDWAN vCPE 的云主机，为其创建和绑定弹性公网 IP（EIP），并通过网络配置将其加入到创建的VPC子网中，请参考创建弹性云主机。 2. 创建vCPE资源，并部署到云主机中：您可通过以下两种方式开通 vCPE 资源。 天翼云官网自助开通：若选择通过天翼云官网自行下单，具体操作步骤如下： 1. 登录天翼云 SDWAN 控制台，在界面中选择“智能网关”选项，随后在“智能网关”页面点击“创建智能网关”按钮。 2. 按照页面给出的提示，选择“软件版”vCPE和接入带宽等关键业务配置。 3. 参数配置完毕后，点击“提交订单”。在确认订单信息准确无误后，勾选产品服务协议，接着点击“确认下单”。 4. 完成订单支付，支付成功即完成 vCPE 资源的购买。 客户经理协助开通：您也可以直接联系客户经理，由其协助完成 vCPE 资源的开通。 购买完成后，及时联系 SDWAN 客户经理进行交付。届时，天翼云 SDWAN 交付团队会协助您将创建好的 vCPE 实例资源部署到云主机上，并接入天翼云 SDWAN 网络。

介绍配置文件解压缩的具体步骤。 功能说明 媒体存储提供压缩文件自动解压功能，配置规则后，符合规则的压缩文件都会进行自动解压后上传到对象存储中。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 前提条件 已完成新建Bucket操作，具体可参考 新建Bucket 。 操作步骤 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要配置文件解压缩的存储桶，并点击【基础配置】页签。 3. 在【压缩包解压设置】模块，点击【添加规则】。 说明 一个Bucket可创建10条解压规则。 4. 在弹窗填写相关规则内容，并勾选“我知晓并同意授予天翼云媒体存储服务访问存储桶资源的权限”完成配置。 配置参数说明 参数 是否必填 说明 规则名称 是 规则名称需在当前桶唯一，不能超过255个字符。 前缀 是 填写触发解压规则的资源前缀。不支持首个字符为"/"或包含“//”。配置前缀后，上传带有该前缀的ZIP包会触发在线解压。 为避免触发循环执行，因此文件前缀为必填项。 后缀 否 如需要解压的文件后缀与解压格式不一致，则需填写此项。您可根据实际情况填写。 解压格式 是 支持zip、rar、tar，一条规则仅支持一种解压格式。上传的文件后缀与解压格式一样的，将优先解压。如后缀与解压格式不一致，您可通过“后缀”字段进行配置。 目标前缀 是 填写解压文件保存的目标前缀。 1.只能以字母或数字开头。 2.可用数字、中英文和可见字符的组合。 3.用 / 分割路径，可快速创建子目录。 4.不允许：连续 / ；以 / 开头； 以空格开头；包含 “..” 或 “+”。 5.不超过100个字符。 保留源文件 是 选择解压完成后，是否还保留源文件。 回调地址 否 如您需要接受解压完成的回调信息，可填写回调服务地址，包括协议头。 回调鉴权 是 根据业务情况选择回调地址是否需要鉴权，如需鉴权，选择【是】，并填写鉴权所需的Access Key和Secret access key信息。

计费规则 计费项：动态请求数、静态HTTPS请求数。 付费方式：按量付费。 计费周期：按日计费，实时扣费（每日零点后出前一日账单并扣费，具体出账时间以系统为准）。 举例说明 当日产生请求访问次数300万次，其中含有50万次静态HTTP请求数（不收费）、50万次静态HTTPS请求数、100万次动态HTTP请求数、100万次动态HTTPS请求数。 则当日产生的请求数账单金额为：50×0.05+100×0.15+100×0.1532.5元。 注意事项 如果您对全站加速服务有突发带宽使用需求，请至少提前3个工作日（重大节日的突发，包括但不限于春晚，双十一等，需要提前至少1个月）联系天翼云申请突发带宽用量。若申请成功，在双方约定的突发量级内，可确保您的服务不受影响；若申请不成功或未申请的，天翼云有权采取限流等措施来保障全网用户的稳定性，由此导致的可用性问题，天翼云不承担责任 。符合以下情况之一的都属于“突发带宽”： a.带宽计费客户：本自然月（日）带宽增量超过100Gbp，或本自然月（日）的带宽增量超出上月（日）计费带宽的30%（另有约定的，从其约定）； b.流量计费客户：本自然月带宽峰值超过10Gbps。 带宽利用率 实际使用流量值(GB) /（带宽峰值Mbps x 10.54）；1Mbps带宽每日100%利用率产生的流量约为10.54GB。 全站加速计费的流量比日志中记录的流量多。因为全站加速日志中记录的流量数据是应用层日志统计出的流量，但是实际网络请求中存在TCP/IP包头的消耗和TCP重传消耗，要比应用层统计到的流量高出7%~15%，因此按照业界标准，应用于账单的计费数据会比基于访客日志计算得出的计费值上浮10%。 如果您的全站加速月消费金额大于10万元，天翼云可提供更灵活优惠的按月计费方式。您可以提交工单或拨打4008109889电话联系客服咨询。 全站加速计费按照1000进制换算，例如：1Gbps1000Mbps；1GB1000MB。

本页介绍天翼云TeleDB数据库中全密态加密。 全密态加密是一种数据加密技术，‌旨在确保数据在整个生命周期（‌包括传输、‌运算和存储）‌中始终保持加密状态，‌从而保护数据隐私。‌这种加密技术不仅涉及到数据的存储加密，‌还包括数据在处理过程中的加密，‌确保即使在数据传输和计算过程中，‌攻击者也无法获取有效的数据信息。‌全密态加密技术的实现依赖于特定的密钥管理机制，‌包括客户端主密钥（‌CMK）‌和数据加密密钥（‌CEK）‌的使用，‌其中CMK用于加密CEK，‌而CEK则用于加密用户数据，‌从而形成一个完整的数据加密体系。 全密态加密方案 全密态加密的实现原理是用户发起查询任务指令，在客户端按照与数据相同的加密策略(加密算法，加密密钥等)完成加密。参数加密完成后整个查询任务被变更成⼀个加密的查询任务并发到数据库服务端。查询得到的结果仍然为密⽂，并最终返回客户端进⾏解密。其核心在用户自己持有数据加解密密钥且数据加解密过程仅在客⼾侧完成，数据以密⽂形态存在于数据库服务侧的整个生命周期过程中，并在数据库服务端完成查询运算。 开启全密态加密 您可参考如下操作开启全密态加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 1. 在安装⽬录下新建 etc/localkms ⽬录⽤于存储CMK⽂件。 2. psql使⽤C开启全密态。 psql dxxx pxxx hxxx C 3. 创建主密钥CMK。 CREATE CLIENT MASTER KEY cmk1 WITH (KEYSTORE LOCALKMS , KEYPATH "kms1", ALGORITHM SM2); 4. 创建数据密钥CEK。 CREATE COLUMN ENCRYPTION KEY CEK1 WITH VALUES (CLIENTMASTERKEY cmk1,ALGORITHM SM4SM3); 5. 创建加密表，指定加密列。 CREATE TABLE creditcardinfo ( idnumber int,name text encrypted with (columnsencryptionkey cek1, encryptiontype DETERMINISTIC), creditcard varchar(19) encrypted with (columnsencryptionkey cek1,encryptiontype DETERMINISTIC)); 6. 执⾏SQL（仅⽀持SELECT、UPDATE、INSERT、DELETE）。 使用示例 创建CMK主秘钥 CREATE CLIENT MASTER KEY cmk12 WITH (KEYSTORE localkms, KEYPATH "localkms1" , ALGORITHM SM2);CREATE CLIENT MASTER KEY cmk2 WITH (KEYSTORE localkms, KEYPATH "localkms1" , ALGORITHM SM2); 创建CEK数据秘钥 CREATE COLUMN ENCRYPTION KEY cek1 WITH VALUES (CLIENTMASTERKEY cmk1, ALGORITHM SM4SM3);CREATE COLUMN ENCRYPTION KEY cek2 WITH VALUES (CLIENTMASTERKEY cmk2, ALGORITHM SM4SM3);DROP CLIENT MASTER KEY cmk1 CASCADE 创建加密表，col1未加密，col2使⽤cek1加密，col3和col4使⽤cek2加密 CREATE TABLE IF NOT EXISTS tbl1 (col1 INT,col2 INT ENCRYPTED WITH (COLUMNSENCRYPTIONKEY cek1, ENCRYPTIONTYPE DETERMINISTIC),col3 TEXT ENCRYPTED WITH (COLUMNSENCRYPTIONKEY cek2, ENCRYPTIONTYPE DETERMINISTIC),col4 VARCHAR(20) ENCRYPTED WITH (COLUMNSENCRYPTIONKEY cek2, ENCRYPTIONTYPE DETERMINISTIC));

本文主要介绍头域说明 头域说明 协议头字段名 说明 Accept 能够接受的回应内容类型（ContentTypes）。 AcceptCharset 能够接受的字符集。 AcceptDatetime 能够接受的按照时间来表示的版本。 AcceptEncoding 能够接受的编码方式列表。 AcceptLanguage 能够接受的回应内容的自然语言列表。 Authorization 用于超文本传输协议认证的认证信息。 CacheControl 用来指定在这次的请求/响应链中的所有缓存机制都必须遵守的指令。 Connection 该浏览器想要优先使用的连接类型。 ContentLength 以八位字节数组（8位的字节）表示的请求体的长度。 ContentMD5 请求体的内容的二进制MD5散列值，以 Base64 编码的结果。 ContentType 请求体的多媒体类型（用于POST和PUT请求中）。 Cookie 之前由服务器通过Set Cookie 发送的一个超文本传输协议Cookie。 Date 发送该消息的日期和时间。 Expect 表明客户端要求服务器做出特定的行为。 From 发起此请求的用户的邮件地址。 Host 服务器的域名(用于虚拟主机 )，以及服务器所监听的传输控制协议端口号。如果所请求的端口是对应的服务的标准端口，则端口号可被省略。自超文件传输协议版本1.1（HTTP/1.1）开始便是必需字段，在本服务中如果URL中填写的域名为IP地址会自动添加该字段，否则请将被测应用的IP与端口信息填写在该字段。 IfMatch 仅当客户端提供的实体与服务器上对应的实体相匹配时，才进行对应的操作。主要作用是，用作像PUT 这样的方法中，仅当从用户上次更新某个资源以来，该资源未被修改的情况下，才更新该资源。 IfModifiedSince 允许在对应的内容未被修改的情况下返回304未修改（ 304 Not Modified ）。 IfNoneMatch 允许在对应的内容未被修改的情况下返回304未修改（ 304 Not Modified ），参考超文本传输协议的实体标记。在典型用法中，当一个URL被请求，Web服务器会返回资源和其相应的ETag值，它会被放置在HTTP的“ETag”字段中，然后，客户端可以决定是否缓存这个资源和它的ETag。以后，如果客户端想再次请求相同的URL，将会发送一个包含已保存的ETag和“IfNoneMatch”字段的请求。 IfRange 如果该实体未被修改过，则向发送方发送其所缺少的那一个或多个部分；否则，发送整个新的实体。 IfUnmodifiedSince 仅当该实体自某个特定时间以来未被修改的情况下，才发送回应。 MaxForwards 限制该消息可被代理及网关转发的次数。 Origin 发起一个针对跨来源资源共享的请求（要求服务器在回应中加入一个‘访问控制允许来源’（'AccessControlAllowOrigin'）字段）。 Pragma 与具体的实现相关，这些字段可能在请求/回应链中的任何时候产生多种效果。 ProxyAuthorization 用来向代理进行认证的认证信息。 Range 仅请求某个实体的一部分。字节偏移以0开始。 Referer 表示浏览器所访问的前一个页面，正是那个页面上的某个链接将浏览器带到了当前所请求的这个页面。 TE 浏览器预期接受的传输编码方式：可使用回应协议头TransferEncoding 字段中的值；另外还可用“trailers”（与“分块”传输方式相关）这个值来表明浏览器希望在最后一个尺寸为0的块之后还接收到一些额外的字段。 Upgrade 要求服务器升级到另一个协议。 UserAgent 浏览器的浏览器身份标识字符串。 Via 向服务器告知，这个请求是由哪些代理发出的。 Warning 一个一般性的警告，告知，在实体内容体中可能存在错误。 XWapProfile 链接到互联网上的一个XML文件，其完整、仔细地描述了正在连接的设备。 XRequestedWith 主要用于标识Ajax及可扩展标记语言请求。大部分的JavaScript框架会发送这个字段，且将其值设置为XMLHttpRequest。 XHttpMethodOverride 请求某个网页应用程序使用该协议头字段中指定的方法（一般是PUT或DELETE）来覆盖掉在请求中所指定的方法（一般是POST）。当某个浏览器或防火墙阻止直接发送PUT 或DELETE 方法时（注意，这可能是因为软件中的某个漏洞，因而需要修复，也可能是因为某个配置选项就是如此要求的，因而不应当设法绕过），可使用这种方式。 XForwardedProto 一个事实标准，用于标识某个超文本传输协议请求最初所使用的协议。 XForwardedHost 一个事实标准，用于识别客户端最初发出的Host请求头部。 XForwardedFor 一个事实标准，用于标识某个通过超文本传输协议代理或负载均衡连接到某个网页服务器的客户端的原始互联网地址。 XCsrfToken 用于防止跨站请求伪造辅助用的头部有XCSRFToken或XXSRFTOKEN XATTDeviceId 使服务器更容易解读AT&T设备UserAgent字段中常见的设备型号、固件信息。 ProxyConnection 该字段源于早期超文本传输协议版本实现中的错误。与标准的连接（Connection）字段的功能完全相同。 FrontEndHttps 被微软的服务器和负载均衡器所使用的非标准头部字段。 DNT 请求某个网页应用程序停止跟踪某个用户。在火狐浏览器中，相当于XDoNotTrack协议头字段（自 Firefox/4.0 Beta 11 版开始支持）。Safari和Internet Explorer 9 也支持这个字段。

连接场景介绍 分布式缓存服务Redis版默认支持通过专有网络（VPC） 访问Redis实例，若需要在本地设备或其他仅公网条件下的设备连接时，可以申请Redis实例的公网连接地址，并通过公网访问Redis实例。 ECS实例（与Redis实例为同一VPC）：推荐通过专有网络连接Redis实例，连接时，需连接Redis实例的专有网络连接地址，可获得更高的安全性和更低的网络延迟。 本地设备、与Redis实例跨地域的ECS实例（与Redis实例为不同VPC）：可通过公网连接Redis实例，连接时，需连接Redis实例的公网连接地址，否则会导致连接失败。前提条件：需要开通弹性公网IP，并将弹性公网IP与Redis实例进行绑定。 前提条件 已成功创建Redis实例，且状态为“运行中”。 已创建弹性云服务器，且与Redis实例属于同一个VPC。 如果弹性云服务器为Linux系统，该弹性云服务器必须已经安装gcc编译环境。 如果Redis实例需要配置了IP白名单，请将弹性云服务器的IP地址加入实例IP白名单，以确保弹性云服务器与Redis实例网络连通。 已设置Redis实例的账户密码，用于登录Redis实例。您可以通过Redis实例默认账号、新建账号等方式访问Redis实例。 操作步骤(Linux系统) 本示例介绍如何在与Redis实例为同一专有网络（VPC）的CTECS实例（Linux）上通过rediscli访问Redis实例。 登录ECS实例，下载、安装rediscli。 （1）下载Redis源码文件： redis7.2.4.tar.gz 注：本文以redis7.2.4版本为例演示操作流程，您也可以自行安装其他版本。 （2）执行下述命令解压Redis源码文件： tar xzf redis7.2.4.tar.gz （3）执行下述命令进入解压后的目录并编译安装Redis源码文件，编译安装需要一段时间（通常为2分钟~3分钟） 注意 需要依赖gcc编译环境。 cd redis7.2.4 && make （4）可在实例详情页面看到实例的获取连接信息，请参见查看连接地址。 （5）在命令行窗口执行下述命令连接Redis实例： cd src ./rediscli h ip p port 表1：参数说明 参数 说明 获取方式 IP Redis实例的连接地址 ● 通过专有网络连接：需获取Redis实例的专有网络连接地址。 ● 通过公网连接：需获取Redis实例的弹性公网IP连接地址。具体操作，请参见查看连接地址。 port Redis实例的端口号 端口号 c 启用集群模式 该模式仅Cluster集群适用。 连接示例： ./rediscli h 连接地址 p 端口 Cluster集群（使用直连地址连接）： ./rediscli h 连接地址 p 端口 c 执行下述命令完成鉴权验证： AUTH password

本节介绍了推送和拉取Helm Chart的用户指南。 概述 本文介绍使用helm推送和拉取Chart的方法。 使用helm推送和拉取Chart 1. 需要使用Helm 3.7及以上客户端版本推送和拉取Chart。对于Helm 3.7版本，需要在环境变量中设置HELMEXPERIMENTALOCI以启用OCI试验性支持: plaintext export HELMEXPERIMENTALOCI1 对于Helm 3.8及以上版本无需进行此设置 2. 登录容器镜像服务实例 plaintext helm registry login u tester testregistryhuadong1.crs.ctyun.cn 登录的用户名和密码为开通实例时设置的用户名和密码，如果忘记密码，可以在访问凭证页面重置密码。 3. 创建Chart并制作压缩包 plaintext helm create test tar zcvf test.tgz test 4. 推送 Chart plaintext helm push test.tgz oci://testregistryhuadong1.crs.ctyun.cn/testChart 5. 拉取Chart plaintext helm pull oci://testregistryhuadong1.crs.ctyun.cn/testChart/test version 6.解压压缩包 plaintext tar xzvf test .tgz

如何获取RocketMQ实例连接信息请参阅收集连接信息。 开发指南详细介绍Java、Go和Python客户端访问分布式消息服务RocketMQ的示例代码，具体如表1所示。 表1 示例代码 客户端语言 示例代码 :: Java 收发普通消息 收发顺序消息 收发事务消息 发送定时/延时消息 Go（TCP协议） 收发普通消息 收发顺序消息 收发事务消息 发送定时/延时消息 Python（TCP协议） 收发普通消息 收发顺序消息 收发事务消息 发送定时/延时消息

插件名称 插件类型 插件简介 cubeschedulerplugins 核心组件 自定义调度插件 cubenodelocaldns 网络 DNS缓存和加速DNS解析 nginxingresscontroller 网络 Ingress控制器 multus 网络 Pod多网卡CNI whereabouts 网络 为Pod分配IP地址 cstorcsi 存储 支持天翼云存储的CSI（容器存储接口） cubemetricsserver 监控 基础资源指标 cubemetricsadapter 监控 自定义指标 cubecronhpa 应用管理 定时伸缩 cubeverticalpodautoscaler 应用管理 Pod垂直伸缩 cubevolcano 应用管理 批处理调度 cubeopenkruis 应用管理 提供工作负载的增强功能 argoworkflow 应用管理 工作流 cubesecurity 安全 安全管理策略 certmanager 安全 k8s服务域证书管理 nodeproblemdetector 其它 节点问题检测 cubelxcfsplugin 其它 提供容器的资源相关信息

本章主要介绍产品优势 一站式软件开发生产线 软件开发全流程覆盖：支持需求管理、代码托管、流水线、代码检查、编译构建、部署、测试计划、制品仓库等全生命周期软件开发服务。 开箱即用，云上开发，全流程规范可视，高效异地协作。 研发安全BuiltIn 在应用设计、开发、测试、运行等全流程提供安全规范及防护能力，支撑应用研发供应链安全有效落地。 提供针对于代码质量安全、Web漏洞、主机漏洞、开源漏洞及合规、移动应用安全等多种安全合规检查能力。 高质高效敏捷交付 支持代码检查、构建、测试、部署任务自定义和全面自动化并提供可视化编排的持续交付流水线，一键应用部署，上线发布零等待。 需求管理、代码检查、测试计划、流水线门禁等内置经验规范，有效提升应用研发质量，问题早发现。

本文汇总了使用企业交换机服务时常见的通用类问题。 企业交换机支持与其他云配置二层网络通信吗？ 不支持。 企业交换机当前仅支持配置天翼云与IDC侧进行二层互通。 企业交换机创建后是否可以变更规格？ 企业交换机创建完成后，不支持修改规格，请根据业务需要选择合适的企业交换机。 什么是二层连接子网？ 二层连接子网是云上VPC与云下IDC准备建立二层互通的子网，包括本端二层连接子网和远端二层连接子网。 什么是隧道子网？ 隧道子网基于云专线或者VPN实现三层网络通信，包括本端隧道子网和远端隧道子网。企业交换机需要基于隧道子网之间的三层网络，为需要互通的云上和云下子网提供二层连接通道。

FFFFFF), 文字阴影是50, 文字水印内容是“Hello 图片服务！”， 水印位置是右中，水平边距是10， 中线垂直偏移是20： 图片拼接成gif，将test1.jpg, test2.jpg, test3.jpg三张图片拼接成gif图片。其中为test1.jpg设置宽100，高100，test2.jpg设置为宽100， test3.jpg也设置为宽100.：

本章节为您介绍密评专区最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

产品概述 天翼云云助手（CTCA， Cloud Assistant）是专门为云服务器打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat、Python等），完成运行自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。 产品优势 批量执行命令 通过云助手，您能够以安全可靠的方式远程管理大规模的实例，无需登录服务器、使用堡垒主机或 SSH。 提供集成工具 云助手可作为运维部署工具，免费支持 API，可供集成。 查询历史记录 通过云助手执行的操作系统脚本命令，您可以查询到其历史记录信息。 实现自动化 您可以预先创建常用的操作命令，并通过云助手高效完成您的日常任务。例如：注册表编辑、用户管理、软件和补丁安装等。 应用场景 当您涉及以下业务场景时，可通过云助手快速实现需求： 上传并运行自动化运维脚本。 执行常见操作任务。 运行已保存的脚本。 批量安装软件或应用。 安装补丁或安全更新。 上传文件或证书到指定目录。 使用限制 云助手具备以下限制项： 2024年6月30日之后使用公共镜像创建的实例，默认已预装云助手客户端。若您的实例于2024年6月30日前购买，请参考 安装云助手客户端 进行安装。 单次执行命令实例数量上限为100。 云助手仅保存最近三个月的命令执行历史记录，且记录数量最大保存10万条。 创建的Bat、PowerShell、Python或者Shell脚本和自定义参数的使用场景与文件大小说明如下： 1. 上传文件：文件大小不能超过24 KB。 2. 创建命令：命令大小不能超过24 KB。

本文介绍如何通过配置访问控制规则，进行零信任服务的访问控制限制。 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 操作步骤 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择AOne零信任安全访问控制。 3. 在访问控制页面，单击新增。 4. 在新增面板，按照如下表格说明，填写对应字段信息。 字段 字段说明 规则名称 规则的名称，建议使用便于记忆的名称。例如根据使用场景进行命名。 防护状态 支持按钮开启防护状态或者关闭防护。 规则描述 规则的说明。 匹配条件 配置对应的匹配字段、逻辑符、匹配内容。 匹配字段包含：客户端IP、客户端IPS、客户端IPR、客户端端口、目的IPS、目的IPR、目的IP、目的端口、协议、域名、用户、生效时间段(周期性)、地区、设备ID等。 逻辑符为：包含、不包含。 匹配内容为：根据对应匹配字段渲染出来的填写框，支持下拉勾选，填写精确内容等方式。 处置动作 支持对访问进行拦截、监控、丢弃、加白操作。 监控：请求命中访问控制策略后，不对其拦截，仅记录攻击日志。 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意安全防护策略。 拦截：提示由于您企业配置了访问控制策略，您此次的访问不符合访问条件，请确认是否存在非法IP地址、不合规时间或者非法地区访问等情况。 丢弃：拦截后不会响应页面，会减少带宽。

本文为您介绍什么是专属云（计算独享型）。 专属云（CTDeC，Dedicated Cloud）是从公有云上物理隔离的专属虚拟化资源池，用户独享专用的服务器集群，并可在控制中心统一管理。 专属云分为专属云计算独享型（简称计算专属云）和专属云存储独享型（简称存储专属云）： 计算专属云实现计算资源的物理独享，存储和网络资源逻辑独享。 存储专属云实现计算和存储资源的物理独享，网络资源逻辑独享。 计算专属云是指在中国电信已经建设的公有云资源池上隔离出来的专属虚拟计算资源池，支持用户申请独占的物理设备，独享物理隔离的计算资源。用户通过独立的租户在该资源池内申请宿主机资源后，可以在其上发放弹性云服务器，用户可对专属计算资源统一管理。 产品架构 专属云（计算独享型）服务的产品架构如下图所示： 计算专属云实现计算资源的物理独享与存储资源的逻辑独享。 存储专属云实现计算资源与存储资源的物理独享。 计算专属云与存储专属云实现网络资源逻辑独享。 计算专属云、存储专属云与公有云使用统一的控制中心。控制中心采用多租户模式，分权分域地管理用户资源。 计算专属云可支持宿主机HA功能，前提条件为已预留HA设备。通过宿主机HA功能，云主机恢复成功率达到99.5%以上，云主机平均恢复时长可控制在90s以内，能够显著增强系统的稳定性。建议计算专属云中均预留HA设备以保证业务的正常运行。更多HA问题可查看 常见问题。

本节介绍态势感知（专业版）的漏洞管理功能的背景及支持的漏洞类型。 背景介绍 漏洞是指在操作系统实现、安全策略、软件等方面存在的缺陷或弱点，这些缺陷或弱点可能被攻击者利用，从而导致系统被破坏、数据泄露、服务中断或其他安全问题。态势感知（专业版）通过集成企业主机安全（Host Security Service，HSS）漏洞扫描数据以及手动导入漏洞数据，集中呈现云上资产漏洞风险，帮助用户及时发现资产安全短板，修复危险漏洞。 查看漏洞详情：介绍如何查看漏洞的详细信息。 修复漏洞：当扫描到服务器存在漏洞时，您需要及时根据漏洞的危害程度结合实际业务情况处理漏洞，避免漏洞被入侵者利用入侵您的服务器。如果漏洞对您的业务可能产生危害，建议您尽快修复漏洞。对于Linux漏洞、Windows漏洞，您可以在企业主机安全控制台一键自动修复，对于WebCMS漏洞、应用漏洞、应急漏洞和网站漏洞，暂不支持自动修复，您可以参考漏洞详情界面提供的修复建议手动修复。 忽略或取消忽略漏洞：某些漏洞只在特定条件下存在风险，比如某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在危害。如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。忽略后，下次HSS漏洞扫描后仍然会对该漏洞进行告警，态势感知（专业版）也将同步漏洞信息。如果已忽略的漏洞需要再次关注，可以取消之前的忽略操作。 导入或导出漏洞：介绍如何导入或导出漏洞。

尊敬的天翼云用户： 您好！ 近期，我们接到用户反馈，存在不法企业或个人假冒天翼云 SSL 证书供应商，通过电话、微信等方式，以“低价续费、套件服务升级、测试证书不安全” 等话术，试图诱导用户前往非天翼云官方平台购买或续费 SSL 证书，请您务必提高警惕，避免因轻信虚假信息导致经济损失或信息泄露风险。天翼云不会将用户数据泄露或出售给第三方公司，天翼云合作伙伴也不会让客户去非天翼云平台购买产品。 为避免给您造成困扰，天翼云 SSL 团队特此声明： 1. 您在天翼云证书管理服务购买的 SSL 证书即将到期时，天翼云会在证书到期前20天 、前30天 通过官方渠道（邮件、短信、4008109889热线 ）的方式通知您及时续费，不会通过微信或其他个人形式直接联系您办理续费业务。如遇类似情况，请提高警惕并及时核实信息真实性。 2. 天翼云合作的 CA 厂商只有在证书审核环节和证书使用过程出现特殊情况（例如：私钥泄漏、申请强制吊销等）时才会主动联系您，否则不会以天翼云合作厂商的身份主动联系您。 天翼云合作的 CA 厂商信息如下表，若收到非官方来源的联系，请务必谨慎核实。 合作 CA 厂商 外呼电话号码 对外邮箱后缀 亚数信息科技（上海）有限公司 02154970081、02154971631 @trustasia.com 中金金融认证中心有限公司 01087549888、01087549666 @cfca.com.cn 如果您无法判断收到信息的真实性，烦请您记录对方联系方式和信息详细内容，及时提交工单反馈给天翼云。 天翼云服务团队

本文主要介绍 将Prometheus的数据上报到AOM 如果您已经部署并正在使用开源prometheus，可直接进行步骤3。 本章主要介绍通过部署Prometheus将AccessCode配置到Prometheus的配置文件并使之生效。 前提条件 已创建弹性云主机ECS。 操作步骤 步骤 1 安装并启动Prometheus，具体操作请参见Prometheus官方文档。 步骤 2 添加AccessCode。 1. 登录AOM控制台，在左侧导航栏中选择“配置管理 > 接入管理”。 2. 单击“添加AccessCode”。 添加AccessCode 每个项目最多可创建2个AccessCode。 AccessCode是调用API的身份凭据，请您妥善保管。 3. 在弹出的窗口，单击“确定”，添加AccessCode。 4. 添加成功后，单击即可查看AccessCode。也可单击“删除”，删除AccessCode（ 删除后无法恢复，请谨慎操作 ）。 查看AccessCode 步骤 3 登录ECS，找到prometheus的配置文件。 示例：如果通过以下命令启动 ./prometheus config.fileprometheus.yml 则找到prometheus.yml并将以下配置添加到末尾： remotewrite:url: ' tlsconfig: insecureskipverify: true bearertoken: '{accesscode}' 参数说明： regionname为指定承载REST服务端点的服务器域名或IP，不同服务不同区域的名称不同。 projectid 为项目的ID。 一个完整的配置示意如下，您需要配置斜体部分： my global configglobal: scrapeinterval: 15s

查看Agent信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择查看的Agent所属的实例。 6. 单击数据库左侧的展开Agent的详细信息，如下所示，相关参数如下。 Agent参数说明 参数名称 说明 Agent ID Agent的ID，由系统自动生成。 安装节点类型 安装节点的类型，包括“数据库端”或“应用端”。 安装节点IP 安装Agent的节点的IP地址。 操作系统 安装Agent运行的操作系统。 审计网卡名称 安装节点的网卡名称。 CPU阈值(%) 安装节点的CPU阈值，缺省值为“80”。 说明 当安装节点的CPU超过设定的阈值时，Agent将停止工作。您可以直接升级服务器的CPU。 内存阈值(%) 安装节点的内存阈值，缺省值为“80”。 说明 当安装节点的内存超过设定的阈值时，Agent将停止工作。您可以直接升级服务器的内存。 通用 Agent是否为通用Agent。 运行状态 安装节点的运行状态。 您可以根据使用需求，对添加的Agent执行以下操作： 关闭 在需要关闭的Agent所在行的“操作”列，单击“关闭”后，在弹出的提示框中，单击“确定”，Agent状态为“关闭”。 关闭Agent后，数据库安全审计将停止对连接该Agent的数据库进行安全审计。 删除 在需要删除的Agent所在行的“操作”列，单击“删除”后，在弹出的提示框中，单击“确定”，删除该Agent。 删除Agent后，如果需要对连接该Agent的数据库进行安全审计，请重新添加Agent。

本文介绍如何通过Annotation配置负载均衡类型的服务。 通过在Service的Yaml文件中配置注解Annotation，您可以对天翼云负载均衡、监听转发等进行配置，本文介绍LoadBalancer类型Service支持配置的Annotation。 注解说明 注解名称 描述 示例 支持的CCM版本 ervice.beta.kubernetes.io/ctyunloadbalanceraddresstype 指定新建负载均衡的公网私网类型，取值： intranet：负载均衡地址类型为私网，intranet为默认值 internet：负载均衡地址类型为公网 internet v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerbandwidth 计费类型为“bandwidth”时，可指定带宽的大小，值为数字类型，默认为1 Mbps 5 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerchargetype 指定创建公网负载均衡时，公网的计费类型，取值： bandwidth：按带宽计费 traffic：按流量计费，traffic为默认值 traffic v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancercyclecount 指定负载均衡的计费周期，值为数字类型，表示购买月数，默认为1个月 1 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancereipid 指定新建公网负载均衡时，可指定绑定已有的弹性IP，取值为弹性IP的ID，可在网络控制台的弹性IP详情页面查看ID v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerenableipv6 指定新建负载均衡时，可指定开启负载均衡的ipv6 "true" v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerenablelistenernat64 指定支持ipv6的负载均衡时，可指定开启监听器的nat64，支持负载均衡将ipv6流量转发到ipv4的后端 "true" v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerid 指定已有负载均衡，取值为负载均衡实例的ID。删除service时该 ELB不会被删除 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6address 指定新建支持ipv6的负载均衡时，可指定负载均衡的ipv6地址（该地址为负载均衡所在子网的ipv6地址段中未被分配的ip），未指定则由系统随机分配 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6bandwidthid 指定新建支持ipv6的公网负载均衡时，需指定IPv6带宽ID，可在网络控制台的IPv6带宽详情页面查看ID。如果没有IPv6带宽，请先创建一个 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalanceroverridelisteners 指定已有负载均衡时，可指定是否强制覆盖已有监听 "true" v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerprojectid 指定新建负载均衡所属的企业项目，取值为企业项目ID，可在IAM控制台中企业项目详情查看ID 0 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerprotocolport 指定负载均衡监听HTTP协议或HTTPS协议，可指定多个监听，多个监听之间以逗号“,”分割 https:443,http:80 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerspec 指定新建负载均衡的规格，如elb.s2.small elb.s2.small v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancersslcert 指定SSL证书，取值为SSL证书ID，可在负载均衡控制台的证书管理页面查看证书ID。 仅监听协议为HTTPS协议时需要指定 v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalancerxforwardedfor 指定负载均衡监听器附加XForwardedFor头字段，通过开启该参数，后端服务可获取客户端源IP。取值为“true”或“false” 仅支持监听协议为HTTP和HTTPS协议 "true" v1.1.1及以上

本章介绍天翼云关系型数据库的数据库安全如何设置。 帐户密码等级设置 注意 Microsoft SQL Server自身支持关闭数据库密码复杂度检查机制，为了保障数据库安全，建议不要关闭该机制。 在客户端新创建的数据库用户，默认设置了密码安全策略，但用户可取消，建议用户启用该策略： 1、密码长度为8～128个字符。 2、密码至少为大写字母、小写字母、数字和特殊字符任意三种的组合。 3、密码不得包含用户名。 创建实例时，为用户提供了密码复杂度校验，由于rdsuser用户可修改密码复杂度，安全起见，建议修改后的密码复杂度不低于关系型数据库的初始化设置。 帐户说明 您在创建RDS for SQL Server数据库实例时，系统会自动为实例创建如下系统帐户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 如果试图删掉、重命名、修改这些系统帐户的密码和权限，会导致出错，请谨慎操作。 rdsadmin：数据库实例的超级管理员，具有sysadmin服务角色，用于后台查询实例信息、监控实例状态、故障排查、迁移、恢复等操作。 rdsmirror：用于创建镜像端点，主备复制帐户。 rdsbackup：备份帐户，用于后台的备份。 Mike：RDS for SQL Server中的Windows系统帐户，用于在初始化实例时执行初始化SQL，包括创建rdsadmin数据库和相关帐户等。

本章节主要介绍天翼云物理机的续订说明。 1．登录管理控制台。 2．单击管理控制台左上角的区域按钮 ，选择地域和项目。 3．选择“计算 > 物理机服务”，进入物理机页面。 4．在物理机的“操作”列下，单击“更多 >续费”，进入“续订”界面。 5．点击“确定”。 通过业务受理开通的用户可通过业务受理完成续订。 自动续订：用户购买物理机后，在费用中心续订管理 ，选中产品可开通自动续订。 设置续费周期，确认提交即可。

本章节主要介绍翼MapReduce服务的资源节点。 目前一类资源节点已在华东1、西南1、华北2、上海36、华南2、武汉41、呼和浩特3、南昌5、杭州7、西安7、西南2贵州资源池开通，更多资源池规划部署中，因用户权限不同，实际可选资源池请以控制台实际可见区域为准。 资源池 可用区 华东1 可用区1、可用区2、可用区3 西南1 可用区1、可用区2 华北2 可用区1、可用区2、可用区3 上海36 可用区1 华南2 可用区1、可用区2、可用区3 武汉41 可用区1 呼和浩特3 可用区1 南昌5 可用区1 杭州7 可用区1 西安7 可用区1 西南2贵州 可用区1

为配合三大运营商的业务要求，同时也为了保证用户品牌效应，在发送短信时，需签署已经通过审核的签名。审核时间及状态说明如下。 审核状态 审核中：当前已提交了短信签名，正在排队等待审核，运营尽快审核。 审核通过：已通过了审核，短信签名和短信模版都通过审核时，就可以通过群发助手或短信服务API开始发送短信。 审核未通过：由于某些原因，签名审核未能通过。可以通过控制台签名管理来查看具体审核未通过的原因。 注意事项 鉴于政府企业身份的特殊性，所有涉及证检法客户的签名均需联系固话进行核实，因此在提供固定电话时，请提供有效的号码，如果多次联系无法接通您提供的电话，我们会进行驳回处理。

本文主要向您介绍VPN连接服务的计费模式、计费项等信息。 计费模式 VPN连接提供按需计费模式，以满足根据业务需求灵活调整资源使用场景下的用户需求。 按需计费是一种后付费模式，即先使用再付费，按照实际使用时长或流量大小计费。 计费项 企业版VPN：计费项由VPN网关费用、VPN连接费用、EIP带宽费用和ER费用（可选）组成。 经典版VPN：公测状态，计费项由网关关联的EIP带宽费用组成。 欠费 在使用VPN时，帐户的可用额度小于待结算的账单，即被判定为帐户欠费。欠费后，可能会影响VPN资源的正常运行，需要及时充值。 停止计费 当VPN资源不再使用时，可以将他们退订或删除，从而避免继续收费。