本文介绍CDN加速设置跨域资源共享CORS的方法。 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。 网站接入CDN加速后，文件的首次请求会因为CDN节点上没有缓存而回源。如果源站响应了一个未包含CORS头的文件，CDN会将此文件缓存下来直至缓存失效。在此期间如果客户端发起跨域请求，CDN将响应不包含CORS头的文件给客户端，客户端将出现“缺少AccessControlAllowOrigin”之类的异常报错。为解决此类问题，CDN需要配置添加CORS响应头来进行适配，具体配置过程，详情请见：跨域资源共享。

本文简述什么是QUIC协议。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 优势1：握手建连更快 QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 优势2：避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 优势3：支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 优势4：可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 优势5：前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

概述 智能体引擎中的沙箱提供了挂载天翼云对象存储ZOS的能力。通过挂载功能，您可以将ZOS存储桶的指定路径映射为沙箱内的本地文件目录，实现数据的持久化保存、多实例共享。 本章节主要介绍沙箱模板如何配置ZOS挂载以及使用E2B SDK动态挂载ZOS。 使用场景 跨沙箱实例文件共享场景 智能体引擎中的沙箱支持同一沙箱模板下的所有实例挂载相同的对象存储ZOS路径，以满足数据与文件持久化存储和共享的需求。 沙箱模板配置中ZOS挂载参数 ZOS挂载参数说明如下： 参数名称 是否必填 参数说明 ZOS挂载点 是 对象存储Bucket名称。 Bucket子目录 是 设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 是 设置沙箱运行环境中的本地目录。 沙箱本地目录权限 是 选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 E2B SDK动态挂载ZOS 除了在沙箱模板中配置ZOS挂载，您还可以通过E2B SDK动态挂载ZOS。如果模板中已经配置了ZOS挂载，SDK挂载的ZOS会覆盖模板中的配置。 使用E2B SDK创建沙箱时，通过写入环境变量AGETEMPLATEZOS 来配置ZOS挂载。AGETEMPLATEZOS的格式为：ZOSBUCKETNAMEBucket名称,ZOSMOUNTPOINT沙箱本地目录,ZOSURL对象存储内网地址,ZOSSUBDIRBucket子目录,ZOSREADONLY沙箱本地目录权限，如果有多组挂载，每组之间使用空格隔开，最多支持5个挂载点。 注意： 虽然以环境变量AGETEMPLATEZOS形式动态挂载ZOS，但是该环境变量并不会写入沙箱环境变量。 python sandbox Sandbox.create( template'xxx', envs{"AGETEMPLATEZOS":"ZOSBUCKETNAMEmybucket,ZOSMOUNTPOINT/home/user/a/,ZOSURL ) print('创建沙箱成功')

概述 智能体引擎中的沙箱提供了挂载天翼云对象存储ZOS的能力。通过挂载功能，您可以将ZOS存储桶的指定路径映射为沙箱内的本地文件目录，实现数据的持久化保存、多实例共享。 本章节主要介绍沙箱模板如何配置ZOS挂载以及使用E2B SDK动态挂载ZOS。 使用场景 跨沙箱实例文件共享场景 智能体引擎中的沙箱支持同一沙箱模板下的所有实例挂载相同的对象存储ZOS路径，以满足数据与文件持久化存储和共享的需求。 沙箱模板配置中ZOS挂载参数 ZOS挂载参数说明如下： 参数名称 是否必填 参数说明 ZOS挂载点 是 对象存储Bucket名称。 Bucket子目录 是 设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 是 设置沙箱运行环境中的本地目录。 沙箱本地目录权限 是 选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 E2B SDK动态挂载ZOS 除了在沙箱模板中配置ZOS挂载，您还可以通过E2B SDK动态挂载ZOS。如果模板中已经配置了ZOS挂载，SDK挂载的ZOS会覆盖模板中的配置。 使用E2B SDK创建沙箱时，通过写入环境变量AGETEMPLATEZOS 来配置ZOS挂载。AGETEMPLATEZOS的格式为：ZOSBUCKETNAMEBucket名称,ZOSMOUNTPOINT沙箱本地目录,ZOSURL对象存储内网地址,ZOSSUBDIRBucket子目录,ZOSREADONLY沙箱本地目录权限，如果有多组挂载，每组之间使用空格隔开，最多支持5个挂载点。 注意： 虽然以环境变量AGETEMPLATEZOS形式动态挂载ZOS，但是该环境变量并不会沙箱环境变量。 python sandbox Sandbox.create( template'xxx', envs{"AGETEMPLATEZOS":"ZOSBUCKETNAMEmybucket,ZOSMOUNTPOINT/home/user/a/,ZOSURL ) print('创建沙箱成功')

概述 智能体引擎中的沙箱提供了挂载天翼云对象存储ZOS的能力。通过挂载功能，您可以将ZOS存储桶的指定路径映射为沙箱内的本地文件目录，实现数据的持久化保存、多实例共享。 本章节主要介绍沙箱模板如何配置ZOS挂载以及使用E2B SDK动态挂载ZOS。 使用场景 跨沙箱实例文件共享场景 智能体引擎中的沙箱支持同一沙箱模板下的所有实例挂载相同的对象存储ZOS路径，以满足数据与文件持久化存储和共享的需求。 沙箱模板配置中ZOS挂载参数 参数名称 是否必填 参数说明 ZOS挂载点 是 对象存储Bucket名称。 Bucket子目录 是 设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 是 设置沙箱运行环境中的本地目录。 沙箱本地目录权限 是 选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 E2B SDK动态挂载ZOS 除了在沙箱模板中配置ZOS挂载，您还可以通过E2B SDK动态挂载ZOS。如果模板中已经配置了ZOS挂载，SDK挂载的ZOS会覆盖模板中的配置。 使用E2B SDK创建沙箱时，通过写入环境变量AGETEMPLATEZOS 来配置ZOS挂载。AGETEMPLATEZOS的格式为：ZOSBUCKETNAMEBucket名称,ZOSMOUNTPOINT沙箱本地目录,ZOSURL对象存储内网地址,ZOSSUBDIRBucket子目录,ZOSREADONLY沙箱本地目录权限，如果有多组挂载，每组之间使用空格隔开，最多支持5个挂载点。 python sandbox Sandbox.create( template'xxx', apikey'agexxx', domain'mydomain.com', envs{"AGETEMPLATEZOS":"ZOSBUCKETNAMEmybucket,ZOSMOUNTPOINT/home/user/a/,ZOSURL ) print('创建沙箱成功') 注意： 虽然以环境变量AGETEMPLATEZOS形式动态挂载ZOS，但是该环境变量并不会写入沙箱环境变量。

本章节介绍应用实例列表相关功能 概述 通过应用实例列表页面，用户可以查看已部署到不同环境下的K8s应用实例。 容器应用实例 进入应用运维容器应用实例应用发布应用实例页面，用户可以根据右上角切换当前环境来获取环境下部署的K8s应用实例列表。 在应用实例列表页，用户可以创建应用实例、批量操作应用实例、应用实例标签绑定等一系列操作。 批量操作应用实例 包含批量启动、批量重启、批量停止、批量绑定标签、批量解绑标签，选择勾选需要批量操作的应用实例，执行目标批量操作即可。 应用实例标签绑定是针对单个应用实例绑定标签操作，点击标签图标按钮，选择编辑，进入到编辑标签页： 选择已有标签数据或自增目标标签数据，最后点击确定按钮，即完成单应用实例绑定标签。 添加资源标签键名称：点击添加标签按钮，鼠标点击标签键输入框，输入标签键字符串，可筛选已存在的资源标签或新增标签键；输入完成后，鼠标点击标签键列表，选择标签键名称，完成标签键名称的添加。 添加资源标签值：添加标签键名称之后，鼠标点击标签值输入框，输入标签值字符串，可筛选已存在的资源标签值或新增标签值；输入完成后，鼠标点击标签值列表，选择标签值，最后点击确定按钮，完成标签值的添加，最终完成资源标签绑定应用。 批量绑定资源标签：在应用管理页面，勾选多个应用，点击批量标签按钮，选择绑定按钮，选择或输入标签键、标签值，点击标签栏的确定按钮添加标签，可添加多个标签，最后点击确定按钮，完成批量绑定标签。 说明 标签一旦添加即绑定应用。标签不可重复添加，同一个应用资源，不能重复添加同一标签键。 修改标签、解绑标签、移除标签操作类似与标签绑定过程。 注意 解绑之后资源标签不会删除，其他应用或其他组件仍可对该资源标签进行操作。

本章节主要介绍设置分布式消息服务RabbitMQ实例镜像队列。 镜像队列，允许集群将队列镜像到其他节点上，当集群某一节点宕机后，队列能自动切换到镜像中的其他节点，保证服务的可用性。 如果您需要了解RabbitMQ Web UI相关功能和概念，请自行查阅RabbitMQ官网。本章节仅介绍登录RabbitMQ实例的Web页面设置镜像队列的操作步骤。 操作步骤 步骤 1 登录RabbitMQ实例的Web UI。 步骤 2 在菜单栏，选择“Admin”。 图1 选择Admin菜单 步骤3 （可选）选择右侧导航栏“Virtual Hosts”，然后输入“Name”，单击“Add virtual host”，创建Vhost。 如果您需要设置指定Vhost，请执行本步骤；如果不需要，请直接执行步骤4。 图2 创建Vhost 步骤 4 选择右侧导航栏“Policies”，为Vhost设置规则。 如果为指定的Vhost设置，请在“Virtual Host”选择步骤3创建的Vhost；如果没有，则默认为“/”。 图3 设置Vhost规则 参数解释如下： Name: policy的名称，用户自定义。 Pattern: queue的匹配模式（正则表达式）。 Definition: 镜像定义，包括三个部分hasyncmode、hamode、haparams。 hasyncmode: 表示镜像队列中消息的同步方式，有效取值范围为：automatic和manually。 automatic：表示自动向master同步数据。 manually：表示手动向master同步数据。 hamode: 指明镜像队列的模式，有效取值范围为：all、exactly和nodes。 all：表示在集群所有的节点上进行镜像。 exactly：表示在指定个数的节点上进行镜像，节点的个数由haparams指定。 nodes：表示在指定的节点上进行镜像，节点名称通过haparams指定。 haparams: hamode模式需要用到的参数。 Priority: 可选参数，policy的优先级。 步骤 5 单击“Add policy”。 规则添加成功后如图4所示。 图4 Vhost规则

本章节介绍了如何创建DRS实例，并将本地Oracle上的testinfo数据库迁移到云数据库GaussDB 实例中testdatabaseinfo数据库中。 迁移前检查 在创建任务前，需要针对迁移条件进行手工自检，以确保您的迁移任务更加顺畅。 在迁移前，您需要参考入云使用须知获取迁移相关说明。 创建迁移任务 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。选择目标实例所在的区域。 3. 单击左侧的服务列表图标，选择“数据库 > 数据库服务 > 数据复制”。 4. 左侧导航栏选择“实时同步管理”，单击“创建同步任务”。 5. 配置同步实例信息。 a) 选择区域，项目，填写任务名称。 b) 配置迁移任务的类型，选择目标实例和子网等。 c) 单击“开始创建”。 6. 配置源库及目标库信息。 a) 填写源库的IP、端口、用户、密码等信息。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 b) 填写目标库的账户和密码。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 c) 单击“下一步”，仔细阅读提示内容后，单击“同意，并继续”。 7. 设置同步。 a) 在源库选择需要迁移的数据库和表。本次实践中选择“ testinfo” 中的 “DATATYPELIST” 表。 b) 选择完成后，可以设置迁移后是否重新命名库名和表名。 c) 本次实践将表名重新命名为“ DATATYPELISTAfter ”。 注意重新命名时不要使用特殊符号，否则会导致迁移后执行SQL语句报错。 d) 确认重命名设置内容，单击“下一步”。 8. 高级设置。 本页面内容仅做确认，无法修改，确认完成后单击“下一步”。 9. 数据加工。 在该页面可以对迁移的表进行加工。包括选择迁移的列，重新命名迁移后的列名，本次实践将“ COL01CHARE ”重新命名为“ newline ”。 a) 选择需要加工的表。 b) 编辑“COL01CHARE”列。 c) 将“COL01CHARE”重新命名为“newline”，单击“确定”。 d) 单击“下一步”。 10. 预检查。 a) 所有配置完成后，进行预检查，确保迁移成功。 b) 对于未通过的项目，根据检查结果中的提示信息修复，修复完成后，单击“重新校验”，直到预检查通过率为100%。 c) 预检查全部通过后，单击“下一步”。 11. 任务确定。 a) 检查所有配置项是否正确。 b) 单击“启动任务”，仔细阅读提示后，勾选“我已阅读启动前须知”。 c) 单击“启动任务”，完成任务创建。 12. 任务创建成功。 任务创建成功后，返回任务列表查看创建的任务状态。

本文介绍了查看快照使用容量的操作场景及操作步骤。 操作场景 天翼云云硬盘快照服务以云硬盘的快照使用总容量为粒度进行统计并计费。快照使用总容量为当前云硬盘中所有快照的数据块所占用的存储空间之和。您可实时查询云硬盘的快照使用容量。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击待查看快照使用容量的云硬盘的“云硬盘名称”，进入“云硬盘详情”页面。 5. 在“云硬盘详情”页面可实时查看该云硬盘的快照个数以及快照使用容量。

本节介绍了修改企业版实例使用的对象存储信息的用户指南。 概述 在订购容器镜像服务企业版时需选择对象存储（ZOS）的AccessKey、Bucket等信息。支持用户在容器镜像服务控制台修改企业版实例使用的对象存储AccessKey、Bucket等信息。 前置条件 已开通容器镜像服务企业版实例。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 在实例详情页面，点击对象存储配置信息右侧的修改配置按钮。 4. 选择需要修改的AccessKey或者Bucket。 注意 如果实例已有镜像和Chart，更换Bucket前请将原Bucket数据同步到新的Bucket，否则会导致功能异常。

防护效果 假如已添加域名“www.example.com”。可参照以下步骤验证防护效果： 步骤1 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 不能正常访问，参照章节：网站接入WAF 。 能正常访问，执行步骤2。 步骤2 参照本节的操作步骤，将您的客户端IP来源地配置为拦截。 步骤3 清理浏览器缓存，在浏览器中访问“ 步骤4 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以：下载防护事件数据 。

请求示例 http PUT /v1/testbucket/test?append&position48 HTTP/1.1 请求头header http Host: gdoss.xstore.ctyun.cn Date: Wed, 28 Oct 2023 09:32:00 GMT Authorization: authorization string ContentType: text/plain ContentLength: 1145 请求体body 实际文件数据。 响应示例 http HTTP/1.1 200 OK xamzrequestid: 0A49CE4060975EAC xrgwnextappendposition: 100 xamznextappendposition: 100 Date: Wed, 12 Oct 2009 17:50:00 GMT ETag: "1b2cf535f27731c974343645a3985328" 状态码 HTTP状态 描述 200 操作成功。 400 上传的文件太大。 400 对象的名字不合法。 403 用户没有权限执行操作。 404 操作指定的桶不存在。 409 请求参数中position的值与对象追加前的大小不一致。 409 对象类型不支持追加写操作。 409 桶版本控制设置为enabled或suspended。

开通Bot管理功能后，提供BOT管理防护方案，协助客户管控恶意Bot流量，对抗Bot流量背后的黑灰产产业链，解决恶意爬虫“薅羊毛”、竞争比价、黑产、业务数据抓取分析带来的垃圾流量和营销失败的问题。 glmoscodeexplain 如何开通Bot管理的功能？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如何使用Bot管理功能？ 具体功能介绍和使用请参考Bot管理功能介绍：Bot管理 注意 暂时不支持单独退订Bot管理，如果需要单独退订，请

到期预警 包年/包月RabbitMQ实例在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到天翼云账号的创建者。 到期后影响 当您的包年/包月RabbitMQ实例到期未续费，首先会进入宽限期，RabbitMQ实例状态变为“已过期”。宽限期内您可以正常访问RabbitMQ实例，但以下操作将受到限制：变更实例规格。 如果您在宽限期内仍未续费包年/包月RabbitMQ实例，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月RabbitMQ实例执行任何操作。 保留期到期后，若包年/包月RabbitMQ实例仍未续费，那么RabbitMQ实例将被释放，数据无法恢复。

本章节介绍云容器集群节点网络包损坏故障演练。 背景介绍 由于物理链路噪声、网络设备故障或恶意攻击，数据包在云容器引擎（CCE）集群的节点间传输过程中可能被篡改。接收端的 TCP/IP 协议栈会通过校验和检查发现这种损坏，丢弃该数据包并请求重传。虽然这确保了数据的完整性，但频繁的重传会显著增加网络延迟、降低有效吞吐量，并可能导致应用层超时。本演练模拟此场景，帮助您评估应用在恶劣网络条件下的鲁棒性。 基本原理 通过增加TC和Netem规则模拟Node内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点网络包损坏故障演练。 背景介绍 由于物理链路噪声、网络设备故障或恶意攻击，数据包在云容器引擎（CCE）集群的节点间传输过程中可能被篡改。接收端的 TCP/IP 协议栈会通过校验和检查发现这种损坏，丢弃该数据包并请求重传。虽然这确保了数据的完整性，但频繁的重传会显著增加网络延迟、降低有效吞吐量，并可能导致应用层超时。本演练模拟此场景，帮助您评估应用在恶劣网络条件下的鲁棒性。 基本原理 通过增加TC和Netem规则模拟Node内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

天翼云SDWAN为您提供优质的服务体验,本文带您了解产品优势。 灵活接入 支持天翼云自研硬件终端设备、软件vCPE、VPN客户端、政企融合网关、品牌厂商终端等多种接入形态，可根据客户场景灵活适配、即插即用，充分满足小微门店、中大型企业等多元化部署需求。 支持通过各运营商互联网（包括PPPoE拨号方式或配置固定IP方式）、4G/5G无线网络、专线等多种方式实现多链路上联至SDWAN网络接入点 ，满足各类接入需求。 支持同时配置POP组网和IPSec直连组网网络架构，实现混合组网。 成本低廉 利用互联网宽带接入降低成本，同时通过有效利用所有可用网络连接提高链路利用率，满足企业业务需求。 SDWAN网络在客户侧通常采用互联网宽带接入，相比物理专线/专网产品，互联网链路更加便宜，可大幅度降低带宽成本。 SDWAN技术还可以帮助企业有效地利用所有可用的网络连接来满足其业务需求，充分提高链路利用率。 安全传输 通过IPSec VPN加密隧道传输、ACL管理等多项安全措施，保障SDWAN广域网数据传输的安全性和设备接入的安全性。 SDWAN广域网数据通过IPSec VPN加密隧道进行传输，同时支持国产密码算法和商用密码，在链路质量层进行多重安全加固，保障数据传输的安全性； 支持ACL管理，通过配置五元组白名单/黑名单策略，实现对接入流量的管控； 支持容器化部署安全防护能力，可灵活扩容防火墙、入侵检测、访问控制等安全模组，实现安全能力按需加载、弹性扩展。

本节介绍服务器安全卫士（原生版）风险评估相关常见问题。 什么是基线扫描？ 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线扫描功能针对服务器操作系统、数据库、软件的配置进行安全检测，可以帮您加固系统安全，降低入侵风险并满足安全合规要求。 基线扫描功能通过配置不同的基线检查策略，可以帮助您快速对服务器进行批量扫描，发现包括系统、账号权限、数据库等存在的风险点，并提供修复建议。 基线扫描配置： 基线分类 检查标准及检查内容 覆盖的系统和服务 CIS基线 基于CIS标准的安全基线检查 Unix系统基线检测 Red Hat 6企业版基线检测 Red Hat 7企业版基线检测 Windows审计基线 Windows 10 企业版安全基线检测 Windows 2012 R2安全基线检测 Windows 2016安全基线检测 SQL Server 2012安全基线检测 MySQL 5.6 社区版基线检测 MySQL 5.6企业版基线检测 Apache HTTP Server 2.4基线检测 Web应用漏洞审计基线 如何对指定服务器下发基线检测任务？ 1. 进入服务器安全卫士（原生版）控制中心。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 4. 在策略管理页面，单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”。

本文主要介绍如何配置日志访问。 简介 分布式关系数据库DRDS日志配置管理功能支持对错误日志和运行时日志的采集配置进行统一管理，并将日志数据采集至云日志服务中，以满足用户的日志处理需求。云日志服务（CTLTS，Log Tank Service）提供一站式解决方案，包括日志采集、秒级搜索、海量存储、结构化处理及转储等功能，适用于应用运维、网络日志分析、等保合规及运营分析等多种场景。如需进一步了解云日志服务的详细信息，请参见云日志服务的产品定义章节。 前提条件 实例状态为运行中。 首次配置需要提前开通云日志服务，开通流程，请参见开通云日志服务。 已在云日志服务控制台创建日志项目和日志单元。 配置实例需完成配置终端节点 操作，具体步骤，请参见配置VPCE。 说明 该功能目前在试用阶段，仅对加了白名单的客户开放，如需使用，请提工单进行处理。 创建日志访问配置 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 日志访问配置，进入日志访问配置页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的配置访问日志 ，弹出配置访问日志页面。 4. 单击授权访问日志服务，选择需要授权的日志类型，并选择对应的日志项目和日志单元。 5. 单击确认。 日志配置状态变更为创建中 ，等待几分钟后，状态变更为已完成，则表示日志配置完成。 说明 DBProxy实例支持配置的日志类型为：运行时日志、慢日志和错误日志。 GiServer实例支持配置的日志类型为：运行时日志和错误日志。

truncate功能用于对表数据进行快速清除，truncate 属于ddl级别，会给truncate表加上 ACCESS EXCLUSIVE 最高级别的锁。本文为您介绍具体的使用方法。 truncate 普通表 使用语法：truncate table xx yy zz； 具体例子如下所示： teledb truncate table teledbpg1; TRUNCATE TABLE 也可以一次truncate 多个数据表。 teledb truncate table tupdate, teledbserial; TRUNCATE TABLE truncate 分区表 不允许truncate主表 teledb truncate table trange; ERROR: trancate a partitioned table is forbidden, trancate a partition is allowed 使用语法：truncate xx partition for(x) 具体例子如下所示： truncate 一个时间分区表。 teledb d+ ttimerange Table "public.ttimerange" Column Type Collation Nullable Default Storage Stats target Description +++++++ f1 bigint plain f2 timestamp without time zone plain f3 bigint plain Distribute By: SHARD(f1) Location Nodes: ALL DATANODES Partition By: RANGE(f2) Of Partitions: 12 Start With: 20170901 Interval Of Partition: 1 MONTH teledb select from ttimerange; f1 f2 f3 ++ 1 20170901 00:00:00 100 1 20171001 00:00:00 100 1 20171101 00:00:00 100 (3 rows) teledb truncate ttimerange partition for ('20170901' ::timestamp without time zone); TRUNCATE TABLE teledb

本章节主要介绍 ALM12083 ommdba密码即将过期。 告警解释 系统每天零点开始，每8小时检测当前系统中ommdba密码是否即将过期，如果当前时间与ommdba密码过期时间剩余不足15天，则发送告警。 当系统中ommdba用户密码过期的期限重置，当前状态为正常，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12083 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 ommdba密码过期，OMS数据库无法管理，数据不能访问。 可能原因 该主机ommdba密码即将过期。 处理步骤 检查系统中ommdba密码是否即将过期 1.以root用户登录集群故障节点。 执行chage l ommdba命令来查看当前ommdba用户密码设置信息。 2.查找“Password expires”对应值，查看密码设置是否即将过期。 说明 如果参数值为“never”，则代表永不过期；如果为日期值，则查看是否在15天内过期。 是，执行步骤3。 否，执行步骤4。 3.执行chage M '天数' ommdba命令设置 ommdba 密码的有效天数，等待8小时，观察告警是否自动清除。 是，操作结束。 否，执行步骤4。

本章节主要介绍创建连接MRS集群的SSH隧道并配置浏览器 。 操作场景 用户和MRS集群处于不同的网络中，需要创建一个SSH隧道连接，使用户访问站点的数据请求，可以发送到MRS集群并动态转发到对应的站点。 MAC系统暂不支持该功能访问MRS，请参考通过弹性公网IP访问内容访问MRS。 前提条件 准备一个SSH客户端用于创建SSH隧道，例如使用开源SSH客户端Git。请下载并安装。 已创建好集群，并准备pem格式的密钥文件或创建集群时的密码。 用户本地环境可以访问互联网。 操作步骤 1.登录MRS管理控制台，选择“集群列表 > 现有集群”。 2.单击指定名称的MRS集群。 记录集群的“安全组” 。 3.为集群Master节点的安全组添加一条需要访问MRS集群的IP地址的入规则，允许指定来源的数据访问端口“22”。 具体请参见“《虚拟私有云》帮助文档> 安全性 > 安全组 > 添加安全组规则”。 4.查询集群的主管理节点，具体请参考如何确认Manager的主备管理节点。 5.为集群的主管理节点绑定一个弹性IP地址。 具体请参见“《虚拟私有云》帮助文档”，为弹性云主机申请和绑定弹性公网IP。 6.在本地启动Git Bash，执行以下命令登录集群的主管理节点： ssh root@弹性 IP 地址或者 ssh i 密钥文件路径 root@弹性 IP 地址 7.执行以下命令查看数据转发配置： cat /etc/sysctl.conf grep net.ipv4.ipforward 系统查询到“net.ipv4.ipforward1”表示已配置转发，则请执行步骤9。 系统查询到“net.ipv4.ipforward0”表示未配置转发，则请执行步骤8。 系统查询不到“net.ipv4.ipforward”参数表示该参数未配置，则请执行以下命令后再执行步骤9。 echo "net.ipv4.ipforward 1"/etc/sysctl.conf 8.修改节点转发配置： a.执行以下命令切换root用户： sudo su root b.执行以下命令，修改转发配置： echo 1 > /proc/sys/net/ipv4/ipforward sed i "s/net.ipv4.ipforward0/net.ipv4.ipforward 1/g"/etc/sysctl.conf sysctlw net.ipv4.ipforward1 c.执行以下命令，修改sshd配置文件： vi /etc/ssh/sshdconfig 按I进入编辑模式，查找“AllowTcpForwarding”和“GatewayPorts”，并删除注释符号，修改内容如下，然后保存并退出： AllowTcpForwarding yesGatewayPorts yes d.执行以下命令，重启sshd服务： service sshd restart 9.执行以下命令查看浮动IP地址： ifconfig 系统显示的“eth0:FIHUE”表示为Hue的浮动IP地址，“eth0:wsom”表示Manager浮动IP地址，请记录“inet”的实际参数值。 然后退出登录：exit 10.在本地机器执行以下命令创建支持动态端口转发的SSH隧道： 使用命令 ssh i 密钥文件路径 v ND 本地端口地址 root@弹性IP 地址或者 ssh v ND 本地端口地址 root@弹性 IP 地址 ，然后输入创建集群时的密码。 其中，“本地端口地址”需要指定一个用户本地环境未被使用的端口，建议选择8157。 创建后的SSH隧道，通过“D”启用动态端口转发功能。默认情况下，动态端口转发功能将启动一个SOCKS代理进程并侦听用户本地端口，端口的数据将由SSH隧道转发到集群的主管理节点。 11.执行如下命令配置浏览器代理。 a.进入本地Google Chrome浏览器客户端安装目录。 b.按住“shift+鼠标右键”，选择“在此处打开命令窗口”，打开CMD窗口后输入如下命令： chrome proxyserver"socks5://localhost:8157" hostresolverrules"MAP 0.0.0.0 , EXCLUDE localhost" userdatadirc:/tmppath proxybypasslist"googlecom, gstatic.com, gvt .com, :80" 说明 8157为步骤10中配置的本地代理端口。 若本地操作系统为Windows 10，请打开Windows操作系统“开始”菜单，输入cmd命令，打开一个命令行窗口执行12中的命令。若该方式不能成功，请打开Windows操作系统“开始”菜单后，在搜索框中输入并执行11中的命令。 12.在新弹出的浏览器地址栏，输入Manager的访问地址。 Manager访问地址形式为 浮动IP 地址:28443/web 。 访问启用Kerberos认证的集群时，需要输入MRS集群的用户名和密码，例如“admin”用户。未启用Kerberos认证的集群则不需要。 第一次访问时，请根据浏览器提示，添加站点信任以继续打开页面。 13.准备站点的访问地址。 a.参考开源组件Web站点中的Web站点一览，获取Web站点的地址格式及对应的角色实例。 b.单击“服务管理”。 c.单击指定的服务名称，例如HDFS。 d.单击“实例”，查看NameNode的主角色实例“NameNode(主)”的“业务IP” 14.在浏览器输入访问Web站点真实地址并访问。 15.退出访问Web站点时，请终止并关闭SSH隧道。

本页介绍天翼云TeleDB数据库软 / 硬件故障处理应急预案。 故障定位 单台主机节点系统发生软、硬件故障。 故障影响 TeleDB为高可靠性的集群数据库，在一台设备出现故障情况下，可以实现自动切换，切换期间业务会短暂受影响。 处理步骤 在业务受影响时，应急措施如下： 1. 先利用高可用性软件自动切换，或手工方式将应用切换到备用机，保证业务的持续运行； 2. 如果是操作系统故障，根据报错信息分析错误原因，并尽快解决。 3. 如果问题严重无法恢复，则马上使用系统备份带恢复系统并检查错误原因，如果有系统DUMP，分析DUMP。 4. 对于是硬件故障，根据系统面板上的显示信息及故障现象，分析确定故障发生部位。 5. 检查系统各部件及连线是否脱落或松动。 6. 对故障部件十分确定的情况下携带相应备件到现场维修更换。 7. 如果对故障原因不确定或确定有多种故障原因，将逐一更换怀疑故障部件，判断如何解决问题。 8. 如果不能在短时间恢复故障系统时，将联系公司备件保障中心提供不低于故障系统的备机运到现场，替换故障系统，恢复应用运行，主要有如下步骤： 1. 移植必要的硬件到维护公司提供的备机上 2. 调整操作系统与故障主机一致 3. 移植必要的硬件到维护公司提供的备机上 4. 把故障主机的内置硬盘插到备机上 5. 把故障主机的磁盘挂载到备机上 6. 配置系统用户、网络等环境 7. 在备机上恢复应用软件和数据 8. 把备机当作系统的备用机进入系统运行 9. 在上述操作后，有了较为宽裕的时间恢复故障主机。 10. 故障主机恢复后，替换下维护公司提供的备机，重新接管业务。 11. 对于主机系统中的单机系统如果出现系统无法启动的重大故障。可以通过备份来恢复系统。恢复系统后连接存储启动数据库以及应用。 12. 数据库恢复正常后通知业务部门。 13. 由项目经理对问题进行总结，事后汇报情况处理记录。

本节介绍了新增SQL洞察任务的操作场景、约束限制等相关内容。 操作场景 SQL洞察支持全量SQL记录的查询的能力，还提供了访问、更新最频繁的表，锁等待时间最长的SQL等多维度的分析、搜索、过滤能力，帮助用户全面洞察SQL，快速找出异常，保障数据库稳定运行。 约束限制 全量SQL默认关闭，如需使用SQL洞察功能，请先开启全量SQL收集开关。 关闭全量SQL后，将不再采集新产生的SQL，已经收集的SQL也会被删除，请您谨慎操作。 当前全量SQL受内存缓冲区限制，业务量大的场景下，全量SQL有较小概率因缓冲区满，存在丢弃部分记录。 当前全量SQL单条记录超过4096字节时，会默认丢弃该条记录。 此限制在MySQL 5.7.33.3及以后小版本可以通过设置参数rdssqltracerreservebigrecords来选择是否丢弃，5.6和8.0版本不支持设置该参数。您可以在修改RDS实例参数界面，将该参数设为ON，即表示单条记录超过4096字节也不被丢弃。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏选择“智能DBA助手 > 历史诊断”。 步骤 6 选择“全量SQL > SQL洞察”。 步骤 7 如果未开启全量SQL收集开关，RDS无法获取全量SQL数据进行分析，如需使用，请单击 开启开关。 开启后如需关闭，在右上角单击“日志管理”，设置全量SQL开关后，单击“确定”。 说明 收集全量SQL，实例性能损耗5%以内。 步骤 8 单击“新增SQL洞察任务”，选择时间范围、维度，以及其他配置项，单击“确定”。 步骤 9 在任务列表，单击“任务详情”查看详细信息。 结束

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID 是 String 区域ID 81f7728662dd11ec810800155d307d5b ID 否 String 转发规则ID, 该字段后续废弃 xxxx policyID 否 String 转发规则ID, 推荐使用该字段, 当同时使用 ID 和 policyID 时，优先使用 policyID xxxx priority 否 Integer 优先级，数字越小优先级越高，取值范围为：1100(目前不支持配置此参数,只取默认值100) 100 description 否 String 支持拉丁字母、中文、数字, 特殊字符：~!@$%^& ()+ <>?:'{},./;'[,]·！@￥%……& （） —— +{},《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 desc conditions 否 Array of Objects 匹配规则数据 conditions action 否 Object 规则目标 action 表 conditions

您可以在控制台页面右上角的地域切换下拉菜单中，选择要使用的OOS地域。对象存储网络是天翼云推出的最新对象存储服务。对象存储网络中包含分布在全国多个省、市、自治区及直辖市的资源池，这些资源池间的存储桶（Bucket）、文件（Object）、访问密钥（AccessKeyId和SecretAccessKey）信息互通，可以实现全国数据的就近读取和写入。您可以在控制台页面右上角的地域切换下拉菜单中，选择对象存储网络。OOS推荐您使用对象存储网络来进行文件的管理。除对象存储网络之外的其他地域，存储桶、文件、访问密钥信息是不互通的。各个地域对应的Endpoint列表，参见域名（Endpoint）列表。

本小节介绍态势感知产品优势。 安全态势可视化 提供全局态势、资产态势、脆弱性态势、威胁态势四种大屏，实时监测用户网络存在的风险与威胁，可视化呈现威胁攻击路径动态可视、威胁告警实时滚动播放、受攻击资产和受攻击部门TOP排行、安全态势评分、资产漏洞威胁趋势和分布等，帮助用户全面掌控网络安全态势。 应急协同联动 通过对接权威的网络安全监测平台，将最新的漏洞信息、安全咨询、威胁情报等数据推送至态势感知系统，与国家互联网应急中心（CNCERT）形成协同联动，提升网络安全风险与威胁的发现能力和效率。 多维度风险评估 通过资产属性信息、资产存在的脆弱性以及产生的威胁事件，进行关联分析，以威胁事件的发生为起点，该资产是否存在此类威胁事件相关的漏洞关联，通过自动化收集的资产属性信息确认该资产是否为关键资产，以及该资产是否存在漏洞相关的应用组件或服务，完成多维度风险评估。 威胁事件快速研判 通过威胁事件聚合分析、关联分析、详情分析、攻击原始数据分析等手段，结合威胁情报，快速研判威胁事件的影响范围，还原整个攻击过程，提升威胁事件研判能力和效率。

购买云电竞服务时的常见问题。 云电竞服务已购买的资源可以变更吗？ 已购买的资源不支持变更规格，仅可退订。 包年包月订购云电竞服务如何退订？ 您登陆天翼云控制台，勾选需要退订的订单，选择 "更多>退订" ，在页面中点击确认，将完成退订订单提交，弹出提示信息，并可在用户中心的订单管理页面看到该退订订单，此时订单状态为“待审核”。 待审核通过后，天翼云将回收资源，并返还现金支付的金额。此时，订单状态将变为“工单完成”，在云电竞服务列表也无法看见该订单。 退订云电竞服务前有哪些限制条件？ 如果您需要退订云电竞服务，需要符合天翼云7天无理由退款条件。 订购时间超过7天，以及订购7天内但执行过升级、续订操作的云电竞实例均不能执行退订操作。 由于退订操作会导致资源回收和清理，平台上的应用数据将无法恢复，因此，在退订前请您做好数据备份工作。 云电竞服务可以同时购买包周期和按需服务吗？ 可以；同时购买后，会优先消耗包周期资源，包周期资源用满后，才会使用按需资源。

本节主要介绍升级内核小版本。 GeminiDB Influx支持补丁升级，补丁升级涉及性能提升、新功能或问题修复等。 当GeminiDB Influx发布新的涉及性能提升、新功能或问题修复等补丁版本时，客户可以根据自身的业务特点，选择合适的时机升级至最新版本。 天翼云有新的补丁版本发布时，您可以在“实例管理”页面如图1“兼容接口”列看到补丁升级提示，单击“补丁升级”进行补丁版本升级。 图1 补丁升级 使用须知 当有对应的补丁更新时（定期同步开源社区问题、漏洞修复），请及时进行升级。 补丁升级会采用滚动升级的方式，升级过程中会依次重启每一个节点，重启期间业务会由其他节点接管，每次接管会产生510s闪断，请在业务低峰变更，避免实例过载，并建议业务添加自动重连机制，确保重启后连接及时重建。 基础组件升级约需15分钟，数据组件升级与节点数量有关，约12min每节点。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB接口”。 3. 在“实例管理”页面，选择指定的实例，单击“兼容接口”列的“补丁升级”。 图2 补丁升级 您也可以单击实例名称，进入基本信息页面，在“数据库信息 > 兼容接口”处单击“补丁升级”。 图3 补丁升级 4. 在弹出框中，确认信息无误后，单击“确定”。 图4 确认信息 5. 在“实例管理”页面，查看补丁升级情况。 升级过程中，实例运行状态为“补丁升级中”。 升级完成后，实例运行状态变为“正常”。

本页介绍了三种规格文档数据库服务特性，以及新建并连接实例的操作流程。 三种规格特性及适用场景 文档数据库服务提供了集群版、副本集和单机版三种规格的实例，分别采用不同的部署架构，能够满足不同的业务场景。 集群版 分片集群提供Mongos、Shard、ConfigServer三类节点，每个Shard和ConfigServer基于副本集（每个副本集使用三节点主从模式）组成。 适用于高并发读写的场景，可以自由地选择Mongos和Shard节点的个数和配置，扩展性能及存储空间，构建不同性能的分片集群实例，满足不同的业务需求。 副本集 副本集提供不同角色的节点，一个可供读写的Primary节点，一个、三个或五个提供高可用的Secondary节点，一个隐藏的Hidden节点，0~5个只读的ReadOnly节点。 适用于需要保证高可用，读多写少的中小型业务系统，可按需增加Secondary节点和ReadOnly节点，扩展读性能。 单机版（单节点） 单机版仅部署一个节点在虚拟机上，没有高可用等高级特性，优点是性价比高。 适用于研发测试、学习培训、以及非企业核心数据存储的场景。 新建并连接数据库 1. 新建实例 根据业务需要定制相应计算能力和存储空间的实例。 2. 设置安全组 将需要连接实例的设备添加至实例的安全组访问规则中，以允许外部设备能够访问该实例。 使用内网连接实例，当实例和弹性云主机处于不同安全组时，或者使用公网连接实例时，需要配置安全组访问规则。 3. 绑定弹性IP（可选） 如果要使用公网地址连接实例，需要先申请并绑定弹性公网IP。 4. 连接实例 提供内网、公网、程序代码连接单机版（单节点）、副本集、分片集群实例的操作。

告警指标以及告警策略配置建议 指标名称 取值范围 说明 告警阈值设置建议 告警处理建议 redis客户端连接数过高告警 010000 该指标用于统计redis的已连接的客户端数。 建议告警阈值：8000。 应避免连接数超过最大上限，可以根据您的实际业务情况调整。 redis缓存命中率低 0100% 该指标用于统计Redis的缓存命中率，其命中率算法为：keyspacehits/(keyspacehits+keyspacemisses)单位：%。 建议告警阈值：80%。 建议：较低的缓存命中率可能表示缓存数据不够完整或缓存策略不够有效，导致大量请求无法从Redis缓存中获取数据，增加了对后端资源的访问负载。建议合理设置缓存过期时间、使用合适的缓存淘汰策略、对热点数据进行预热等方式提高缓存命中率。 redis等待阻塞命令的客户端数告警 010000 该指标用于被阻塞操作挂起的客户端的数量。阻塞操作如BLPOP，BRPOP，BRPOPLPUSH。 根据业具体业务制定，建议阈值：50。 处理：检查是否存在慢请求；建议：优化调整Redis的配置参数，例如最大连接数、最大客户端等，确保其数值适当。 redis内存使用率告警 0100% 该指标用于统计redis实例当前节点的内存使用情况。 建议告警阈值：70%。 处理：检查是否可以清理不必要的redis内存数，降低内存使用率。建议：如果无法清理现有的缓存数据，建议进行扩容。 redis cpu使用率告警 0100% 该指标用于统计redis实例当前节点的cpu使用情况。 建议告警阈值：70%。 处理：检查当前业务是否存在查询大key、热key的请求等建议：如果存在大key、热key，请参考常见问题中的[为了减少大Key和热Key过大，有什么使用建议？](

本节介绍了通过内网连接Microsoft SQL Server实例（Windows方式）的相关内容。 当应用部署在弹性云主机上，且该弹性云主机与RDS for SQL Server实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与RDS for SQL Server实例。 提供两种连接方式通过SQL Server Management Studio客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 非SSL连接 步骤 1 登录弹性云主机或可访问关系型数据库实例的设备。 步骤 2 启动SQL Server Management Studio客户端。 步骤 3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中输入登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 − 主机IP为“基本信息”页签中，“连接信息”模块的“内网地址”。 − 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库账号，默认管理员账号为rdsuser。 “密码”即待访问的数据库账号对应的密码。 步骤 4 单击“连接”，连接实例。 结束 SSL连接 步骤 1 下载并上传SSL根证书。 1. 登录管理控制台。 2. 单击管理控制台左上角的 ，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的 ，下载根证书或捆绑包。 5. 将根证书导入弹性云主机Windows操作系统，请参见如何将RDS实例的SSL证书导入Windows/Linux操作系统。 说明 请在原有根证书到期前及时更换正规机构颁发的证书，以提高系统安全性。 对于Microsoft SQL Server，绑定公网IP后，需重启实例才能使SSL连接生效。 步骤 2 启动SQL Server Management Studio客户端。 步骤 3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中填选登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 − 主机IP为“基本信息”页签中，“连接信息”模块的“内网地址”。 − 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库账号，默认管理员账号为rdsuser。 “密码”即待访问的数据库账号对应的密码。 步骤 4 单击“选项”，在“连接属性”页签，填选相关信息，并勾选“加密连接”，启用SSL加密（系统默认不勾选“加密连接”，即不启用，需手动启用）。 图 连接属性 步骤 5 单击“连接”，连接实例。 结束