本章节为您介绍什么是敏感数据链路刻画 敏感数据链路刻画模块用于展示数据源、应用系统、访问源之间的访问链接图谱。根据敏感数据类型进行追踪，如身份证、邮箱、银行卡、手机号，系统将对敏感数据出现的日志进行大模型比对分析，推测出置信度高的链接访问途径，绘制出以数据源、应用系统、访问源为节点的链接图谱； 同时还用于对特定数据内容进行追踪，如搜索身份证内容、银行卡内容、手机号内容，系统将以数据内容为中心，将数据内容流经的数据源、应用系统、访问源进行追踪，追踪该数据内容出现的所有数据源、数据表、访问的应用系统、访问源刻画成一张链接图谱进行展示。 敏感数据链路查询 在数据安全运营中心上方导航栏选择“敏感数据链路刻画”，进入敏感数据链路刻画页面。 可在查询栏根据不同数据查询。 数据类型查询：支持根据邮箱、身份证、手机号、银行卡号。 数据内容查询：可敏感数据进行查询，也可根据历史数据查询。 数据库资产查询：根据数据库资产名称检索并进行查询。 应用系统查询：根据应用系统名称检索并进行查询。

数据库安全审计提供用户行为发现审计、多维度分析、实时告警和报表功能。 用户行为发现审计 关联应用层和数据库层的访问操作。 提供内置或自定义隐私数据保护规则，防止审计日志中的隐私数据（例如，帐号密码）在控制台上以明文显示。 多维度线索分析 行为线索 支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL分布等多维度的快速分析。 会话线索 支持根据时间、数据库用户、客户端等多角度进行分析。 语句线索 提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件。 风险操作、SQL注入实时告警 风险操作 支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为。 SQL注入 数据库安全审计提供SQL注入库，可以基于SQL命令特征或风险等级，发现数据库异常行为立即告警。 系统资源 当系统资源（CPU、内存和磁盘）占用率达到设置的告警阈值时立即告警。 针对各种异常行为提供精细化报表 会话行为 提供客户端和数据库用户会话分析报表。 风险操作 提供风险分布情况分析报表。

介绍获取媒体存储密钥步骤。 功能说明 媒体存储支持普通密钥管理、方便用户进行密钥的分发以及查看。 注意 媒体存储控制台仅展示存量密钥以及天翼云统一身份认证的AccessKey信息，如需新增或删除AccessKey，请点击前往：统一身份认证服务 。 应安全合规要求，为进一步降低密钥泄漏风险，自2025年12月1日起，媒体存储将对用户控制台密钥管理展示做出以下调整： 自2025年12月1日后订购媒体存储的新用户，请在统一身份认证服务留存信息。媒体存储控制台不提供SecurityKey信息查询。 对于历史用户，则于2026年1月1日起，媒体存储控制台将不再提供SecurityKey查询。请及时到控制台留存存量的SecurityKey信息。 子用户的密钥展示规则跟其所属的主账号展示规则一致。 使用说明 名词说明： 存量密钥：指原在媒体存储控制台创建的密钥对。 CTIAM新增密钥：指通过天翼云统一身份认证创建的密钥对。 媒体存储自2024年11月13日起，已与天翼云统一身份认证（简称CTIAM）子账号体系互通，媒体存储控制台仅展示天翼云统一身份认证的AccessKey信息。 如需新增、禁用、启用、删除CTIAM新增密钥的AccessKey，请点击前往：统一身份认证服务 。 存量密钥可在媒体存储控制台查看，不会同步至CTIAM展示，但不影响存量AK/SK使用；存量密钥仍可通过媒体存储控制台进行启用、禁用、删除操作。 密钥禁用后将无法继续使用通过AWS S3标准API或媒体存储SDK进行访问访问对象存储。 媒体存储支持用户同时使用多个区域，密钥操作也是在所有区域均会生效，当某个区域操作失败时可以通过页面右上角【刷新】功能进行重试，直至所有区域均同步成功。

本页介绍了使用Java如何连接文档数据库服务。 使用SSL证书连接 1. 您可以在“实例管理”页面，单击实例名称进入“基本新消息”页面，确认开启了SSL后，单击“实例信息”模块“SSL”处的，下载证书。 2. 通过Java连接文档数据库服务，代码中的Java链接格式如下： 1. 连接到单节点： mongodb:// : @ : / ?authSourceadmin&ssltrue 2. 连接到副本集： mongodb:// : @ : / authSourceadmin&replicaSetreplica&ssltrue 3. 连接到集群： mongodb:// : @ : / ?authSourceadmin&ssltrue 参数 说明 username 当前用户名。 password 当前用户的密码。 instanceip 如果通过弹性云服务器连接，“instanceip”是主机IP，即“基本信息”页面该实例的“内网地址”。 如果通过连接了公网的设备访问，“instanceip”为该实例已绑定的“弹性公网IP”。 instanceport 端口，默认8030，当前端口，参考“基本信息”页面该实例的“数据库端口”。 databasename 数据库名，即需要连接的数据库名。 authSource 鉴权用户数据库，取值为admin。 ssl 连接模式，值为true代表是使用ssl连接模式。 3. 连接文档数据库服务的Java代码，可参考以下示例： import com.mongodb.MongoClient; import com.mongodb.MongoClientOptions; import com.mongodb.MongoCredential; import com.mongodb.ServerAddress; ​ import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManagerFactory; import java.io.FileInputStream; import java.security.KeyStore; import java.security.cert.CertificateFactory; import java.security.cert.X509Certificate; ​ public class MongoDBSSLExample { public static void main(String[] args) throws Exception { //用户名 String username ""; //数据库 String databaseName ""; //密码 String password ""; //证书路径 String certPath ""; //连接地址 String host ""; //端口 int port 8030; // 创建MongoCredential对象 MongoCredential credential MongoCredential.createCredential(username, databaseName, password.toCharArray()); // 加载证书 CertificateFactory certificateFactory CertificateFactory.getInstance("X.509"); X509Certificate certificate (X509Certificate) certificateFactory.generateCertificate(new FileInputStream(certPath)); // 创建SSL上下文 SSLContext sslContext SSLContext.getInstance("TLS"); KeyStore keyStore KeyStore.getInstance(KeyStore.getDefaultType()); keyStore.load(null, null); keyStore.setCertificateEntry("mongodbcert", certificate); TrustManagerFactory trustManagerFactory TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); trustManagerFactory.init(keyStore); sslContext.init(null, trustManagerFactory.getTrustManagers(), null); ​ // 创建MongoClient实例 MongoClientOptions options MongoClientOptions.builder() .sslEnabled(true) .sslInvalidHostNameAllowed(true) .sslContext(sslContext) .build(); MongoClient mongoClient new MongoClient(new ServerAddress(host, port), credential, options); } }

本节主要介绍桶策略和ACL的关系。 桶ACL和桶策略的映射关系 桶ACL用于授予桶基本的读写权限，桶策略高级设置中支持更多在桶上可以执行的动作。桶策略是对桶ACL的补充，除了限定的只能由桶ACL授予日志投递用户组权限外，更多时候桶策略可以替代桶ACL管理桶的访问权限。桶ACL访问权限和桶策略动作的映射关系如下表所示。 ACL权限 选项 对应桶策略高级设置中的动作 ::: 桶访问权限 读取权限 ListBucket ListBucketVersions ListBucketMultipartUploads 桶访问权限 写入权限 PutObject DeleteObject DeleteObjectVersion ACL访问权限 读取权限 GetBucketAcl ACL访问权限 写入权限 PutBucketAcl 对象ACL和桶策略的映射关系 对象ACL用于授予对象基本的读写权限。桶策略高级设置中支持更多在对象上可以执行的动作。对象ACL访问权限和桶策略动作的映射关系如下表所示。 对象ACL权限 选项 对应桶策略高级设置中的动作 ::: 对象访问权限 读取权限 GetObject GetObjectVersion ACL访问权限 读取权限 GetObjectAcl GetObjectVersionAcl ACL访问权限 写入权限 PutObjectAcl PutObjectVersionAcl

概述 天翼云数据迁移功能，目前支持[共享模式] 与[独立模式]，其中独立模式内部使用的是：数据同步服务进行支撑； 相比于[共享模式]，数据同步服务会单独新开云主机运行迁移任务，不占据业务实例资源，适用于高OPS下的数据同步场景。 计费模式 目前数据同步服务供包周期（包年/包月）、按需两种计费模式供您灵活选择，使用越久越便宜。 实例规格 规格 VCPU（核） 内存（GB） 最大带宽（GBbps） 基准带宽（GBbps） migration.large.2 2 4 4 0.8 migration.xlarge.2 4 8 8 1.6 migration.2xlarge.2 8 16 15 3 migration.4xlarge.2 16 32 20 6 功能说明 1. 订购 该产品总共有两个订购途径，分别是： 数据迁移>数据同步服务>创建同步服务 数据迁移>数据迁移任务>创建任务>选择独立模式>创建服务 2. 退订 仅数据同步服务处于空闲状态时才支持退订（如退订前数据迁移任务仍然在运行中，请先停止任务，再进行退订操作），操作途径： 数据迁移>数据同步服务>退订 3. 发起在线迁移 登录 ++Redis管理控制台++ 在管理控制台左上角选择实例所在的区域 进入数据迁移>数据迁移任务页面 点击创建任务，任务模式选择：独立模式，选择数据同步服务 填写源库和目标库的实例信息 点击创建任务，创建后后台自动进行数据迁移操作

本文为您介绍Windows弹性云主机配置双网卡外网访问的故障修复操作步骤。 Windows弹性云主机配置1块主网卡、1块扩展网卡，将两块网卡均绑定弹性IP，实现外网访问。 约束限制 操作过程中，请不要修改主网卡的配置。 操作步骤 1. 登录控制中心，并选择“网络虚拟私有云”。 2. 在网络控制台中选择“弹性网卡”，然后页面右上角单击“创建弹性网卡”按钮。 3. 在“创建弹性网卡”页面中，根据界面提示添加弹性网卡。 4. 在弹性网卡列表页选中弹性网卡，点击“操作”列中的“绑定实例”按钮，进行弹性网卡绑定。 5. 点击绑定实例，进入弹性云主机详情页面，可以看到网卡信息。 6. 远程登录弹性云主机。 7. 找到右下角网络配置图标，再点击右侧“更改适配器设置”（或者“控制面板”“网络和 Internet”“网络连接“），找到新添加的网卡。 8. 选择新添加的网卡，然后右击图标，选择“属性”。 9. 在网络连接属性面板中“网络”选项下，选中“Internet 协议版本 4(TCP/IPv4)”，然后单击下面的“属性”。 10. 在属性面板中，切换到常规选项卡下，将步骤5中自动获取的私有IP地址配置给新添加的网卡。 示例： IP地址：192.168.0.13 子网掩码：255.255.255.0 默认网关：192.168.0.1 首选DNS服务器：114.114.114.114 备用DNS服务器：114.114.115.115 11. 配置完成后，勾选“退出时验证设置”。 12. 返回控制台，然后绑定弹性IP即可使用。

问题描述 在安装Windows操作系统的本地PC上，通过远程桌面RDP协议（如MSTSC方式）连接Windows云服务器时，报错提示：出现身份验证错误，要求的函数不受支持。 如果报错信息中仅提示：出现身份验证错误，要求的函数不受支持。请参考“处理方法”部分解决该问题。 如果报错信息中附加提示“这可能是由于CredSSP加密数据库修正”，如下图所示，那么可能原因是微软于2018年3月发布安全补丁，该安全补丁会影响RDP连接CredSSP，从而导致通过RDP协议访问云服务器时连接失败。 处理方法 1. 登陆云服务器。 2. 打开“开始”菜单，右键单击“计算机”，选择“属性”，左侧导航栏选择“远程设置”。 3. 在“远程”页签中“远程桌面”栏，选择“允许远程连接到此计算机”。

本节介绍了网络安全相关问题与处理方法。 TaurusDB有哪些安全保障措施 网络 云数据库TaurusDB实例可以设置所属虚拟私有云，从而确保云数据库TaurusDB实例与其他业务实现网络安全隔离。 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 管理 通过统一身份认证服务（Identity and Access Management，简称IAM），可以实现对云数据库TaurusDB实例的管理权限控制。 如何防止任意源连接数据库 数据库开放EIP后，如果公网上的恶意人员获取到您的EIP。 DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP。 DNS、数据库端口、数据库帐号和密码等信息，并通过云数据库TaurusDB实例的安全组限定源IP，保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码，请按照云数据库TaurusDB实例的密码策略设置足够复杂度密码，并定期修改。 访问TaurusDB实例应该如何配置安全组 通过内网访问TaurusDB实例时，设置安全组分为以下两种情况： ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的 入方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 通过弹性IP访问TaurusDB实例时，需要为TaurusDB所在安全组配置相应的 入方向规则 。 将根证书导入Windows/Linux操作系统

本节介绍了智能边缘云的主要应用场景。 AI模型推理 边缘云有丰富的GPU资源，可以支撑多种AI模型推理场景，可涵盖生活、工作、娱乐、公共服务等众多领域，例如 图像生成编辑：通过AI生成艺术作品、广告素材或修复旧照片。 城市交通管理：实时监控交通流量，通过AI技术进行交通流量监控，及时发现拥堵路段。 生产线视觉质检：通过AI进行质量检测，能够自动识别产品缺陷，提高生产效率和产品质量。 医疗影像诊断：利用深度学习技术辅助医生识别CT、MRI图像中的异常病变，提高诊断准确率和效率。 个性化内容推荐：如新闻、视频、音乐等内容的个性化推荐，提升用户体验。 互动直播 在互动直播场景中，客户可以将转码、连麦、弹幕、切片等业务部署在边缘计算节点，离终端用户更近，提升用户体验，降低中心成本。具备以下优点： 本地覆盖：节点分布广泛，保障用户就近接入。 多样算力：提供GPU服务器等多样化算力，提升特效渲染、高清转码、内容审核等场景处理的性价比。 降低中心带宽：将业务下沉至边缘，降低中心带宽成本压力。 本地园区 在靠近终端用户的边缘节点，提供低时延的计算服务；甚至可以在客户的园区提供计算能力，做到流量本地化，数据不出园区。具备以下优势： 企业数据安全：企业最重视的确保企业数据的传输及存储安全。 高速稳定的多种网络：接入对于固网、WLAN、移动等网络的兼容接入，调用能力访问业务。

功能简介 通过资源共享服务，子网的所有者可以将子网共享给一个或者多个天翼云账号（主账号）。资源使用者接受共享资源的邀请后具备操作共享资源的部分权限。 操作场景 通过共享子网，支持各个账号在共享子网内创建云资源。子网使用者只能查看和管理自己创建的资源，无法查看、修改或删除其他账号的资源。 前提条件 注册天翼云账号，并完成实名认证。具体操作请参考天翼云账号注册流程。 请提前创建好子网资源。具体操作请参考创建子网。 功能内测中，如有需求请提工单申请。 操作步骤 开启共享 1、登陆子网所有者的账号，前往资源管理控制台的资源共享我的共享页面。选择共享管理，单击【创建共享单元】，在打开的页面中： 1. 输入共享单元名称，在配置页面的下拉列表中选择子网，选择需要共享的资源池，然后选中需要共享的子网。 2. 系统会默认选择子网的默认操作权限。 3. 指定使用者时选择允许共享给任意天翼云账号（主账号），手动添加子网使用者的天翼云账号ID，并点击添加。 4. 检查无误后，在页面底部单击确定。 2、登录子网使用者的账号，接受共享邀请： 1. 前往资源管理控制台的资源共享共享给我页面。 2. 在共享管理页签，查看待接受共享的资源。 3. 接受共享后，使用者就可以访问共享的子网。 4. 前往子网控制台，选择共享子网所在的地域后，您可以看到被共享过来的子网，在所有者列被标记为“来自共享”，并展示子网所有者的账号ID。 5. 根据您的业务需求，在共享子网中创建对应的云资源。

本节介绍了如何升级云数据库TaurusDB的内核小版本。 操作场景 TaurusDB支持手动升级内核小版本，内核小版本的升级涉及性能提升、功能优化或问题修复等。 注意事项 升级数据库内核小版本会重启TaurusDB实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 如果实例有大量表分区（100w+），重启实例时间可能会达到2小时以上。 如果主节点和只读节点在同一个AZ，升级内核小版本会触发一次主备倒换；如果在不同AZ，则会触发两次主备倒换。主备倒换指主节点与只读节点进行切换。 升级实例小版本时，如有只读节点，也会同步升级只读节点的小版本，升级完成会重启实例，请您选择合适的时间升级（不支持单独升级只读实例的小版本）。升级内核小版本后，实例会升级到最新的内核小版本，升级成功，无法降级。 小版本升级过程中禁止event的ddl操作，如create event、drop event和alter event。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的目标实例，单击实例名称。 步骤 5 在“基本信息”页面，“实例信息”模块的“兼容的数据库版本”处，单击“补丁升级”。 您也可以在“实例管理”页面的“数据库引擎”列看到内核小版本升级提示，单击“补丁升级”。 步骤 6 在弹出框中，选择升级方式，单击“确定”。

企业项目 企业项目权限是实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，通过授权用户组的方式来管理子用户使用云资源的权限。 什么是区域和可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，天翼云已在全国多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见天翼云产品部署看板。

本页介绍了如何登录文档数据库服务。 前提条件 在登录并使用TeleDB数据库控制台前，您需要预先购买文档数据库服务实例，实例购买页面会提供版本、规格等多样参数供您选择，您可以根据业务需求选择最适合您的数据库规格。 控制中心方式登录控制台 1. 打开天翼云官网，并登录。 2. 单击页面右上方“控制中心”，进入天翼云管理控制台页面。 3. 右上角根据您的需要切换到对应企业项目。 4. 左上角可切换您需要购买文档数据库服务的区域和资源池。 5. 选择资源池后信息，在页面找到“数据库”专栏，点击“文档数据库“，即可进入文档数据库服务管理控制台页面。 产品详情页方式登录登录控制台 1. 打开天翼云官网，并登录。 2. 从官网首页依次选择“产品” > “数据库” > “NoSQL数据库”并点击“文档数据库服务”。 3. 进入到“文档数据库服务”产品详情页，点击页面中的“管理控制台”按钮，即可进入到TeleDB数据库控制台页面，点击“DDS”>“实例管理”进入文档数据库服务控制台。 4. 在页面左上角可切换已购买实例的区域和资源池。

本节为您介绍云迁移服务CMS中数据库迁移工具数据订阅快速配置，包括注意事项及操作步骤。 注意事项 本文仅简单介绍数据订阅的通用配置流程，不同情况下的高级配置请阅读数据订阅。 操作步骤 1. 进入数据订阅的任务列表界面。 2. 单击“创建订阅”按钮，进入订阅任务配置界面。 3. 填写订阅任务的参数信息。 4. 填写好源库信息后，单击测试连接按钮。 5. 通过连接测试后点击“下一步：选择订阅对象”。 6. 将需要订阅的表选中，并点击“>”箭头，将表移到右侧已选对象框中。 7. 确定需要订阅的表后，点击“下一步:启动”，启动订阅任务。 8. 启动订阅任务后，即可查看订阅任务实时进度。

本节为您介绍云迁移服务CMS中数据库迁移工具数据同步快速配置，包括注意事项及操作步骤。 注意事项 本文仅简单介绍数据同步的通用配置流程，不同同步类型在配置时略有不同。具体配置步骤请阅读数据同步任务创建。 操作步骤 1. 进入数据同步的任务列表界面。 2. 单击“创建任务”按钮，进入任务配置界面。 3. 填写好信息配置和源数据库信息，单击测试连接按钮。 4. 通过连接测试后点击“下一步：启选择同步对象”。 5. 从可选对象列表中选择需要同步的表添加到已选对象后点击“下一步：转换规则配置”，对选择好的同步对象进行转换规则配置。 6. 规则配置好之后，点击“下一步：启动同步”，则可以看到同步进度界面

规格 规格名称 CPU 内存 AI加速卡类型 显存 最大带宽/基准带宽（Gbit/s） 网络收发包（万PPS） 多队列 pak2.4xlarge.8 16 128 Huawei Atlas 300I duo 196G 25/8 225 8 pak2.4xlarge.9 16 144 Huawei Atlas 300I duo 196G 25/8 225 8 支持的镜像 CTyunOS 22.06 64 位 ARM 版昇腾 25.0.RC1 专用 银河麒麟高级服务器操作系统 V10 SP3 64 位 ARM 版昇腾 25.0.RC1 专用 openEuler 22.03 SP2 64 位 ARM 版昇腾 25.0.RC1 专用 说明 1.具体支持镜像清单以官网控制台展示为准。 2.本规格族预装的NPU驱动为25.0.RC1 ，CANN包为8.1.rc1。 3.昇腾计算加速型云主机的公共镜像已预置固定版本的 NPU 驱动和 CANN 包，请勿自行变更版本，以免引发不可预期的问题。 PAK1型云主机 PAK1型昇腾计算加速型云主机采用专为AI推理打造的Atlas 300I pro加速卡（Ascend 310芯片），国产ARM架构鲲鹏CPU/NPU，独享宿主机的CPU资源，实例间无CPU争抢，没有进行资源超配，属于计算加速型（直通）规格，云主机的CPU/内存配比为1：4，主要适用于搜索推荐、内容审核和OCR系统等推理场景。

本章节介绍了有关分布式消息服务RocketMQ监控告警类的常见问题及解答。 云监控无法展示Topic监控数据？ 当Topic名称中包含“%”或“”时，在云监控中会将“%”或“”转换为“”显示，例如Topic名称为“test%01”，在云监控中Topic名称显示为“test01”。

本小节介绍DDoS攻击缓解最佳实践。建议客户通过以下方式缓解DDoS攻击带来的影响。 缩小暴露面 隔离资源和不相关的业务，降低被攻击的风险。 配置安全组，尽量避免将非业务必须的服务端口暴露在公网上，从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。 优化业务架构 利用公共云的特性设计弹性伸缩和灾备切换的系统。 科学评估业务架构性能 在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。 优化DNS解析 通过智能解析的方式优化DNS解析，可以有效避免DNS流量攻击产生的风险。同时，建议您将业务托管至多家DNS服务商，并可以从以下方面考虑优化DNS解析。 屏蔽未经请求发送的DNS响应信息 丢弃快速重传数据包 启用TTL 丢弃未知来源的DNS查询请求和响应数据 丢弃未经请求或突发的DNS请求 启动DNS客户端验证 对响应信息进行缓存处理 使用ACL的权限 利用ACL、BCP38及IP信誉功能 服务器安全加固 提升服务器自身的连接数等性能。 对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本。 确保服务器的系统文件是最新的版本，并及时更新系统补丁。 对所有服务器主机进行检查，清楚访问者的来源。 过滤不必要的服务和端口。例如，对于WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上设置阻止策略。

计费项目 计费子项 计费模式 计费说明 数据治理中心 DataArts Studio（基础包） 初级版、企业版 包年包月 数据治理中心基础包的计费详情，请参见数据治理中心 DataArts Studio增量包批量数据迁移CDM（可选） 批量数据迁移增量包 按需计费 计费详情请参见数据治理中心批量数据迁移增量包

本文主要介绍通过自定义域名访问集群 操作场景 集群服务端证书中签入的 主题备用名称（Subject Alternative Name，缩写SAN） 。SAN通常在TLS握手阶段被用于客户端校验服务端的合法性：服务端证书是否被客户端信任的CA所签发，且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时，您可以将客户端可直接访问的IP地址或者DNS域名签入集群服务端证书，以支持客户端开启双向认证，提高安全性。典型场景例如DNAT访问、域名访问等特殊场景。 域名访问场景的典型使用方式如下： 客户端配置Host域名指定DNS域名地址，或者客户端主机配置/etc/hosts，添加域名映射。 云上内网使用，云解析服务DNS支持配置集群弹性IP与自定义域名的映射关系。后续更新弹性IP可以继续使用双向认证+自定义域名访问集群，无需重新下载kubeconfig.json配置文件。 自建DNS服务器，自行添加A记录。 约束与限制 仅支持1.19及以上版本集群。 添加自定义SAN 步骤 1 登录CCE控制台。 步骤 2 在集群列表中单击集群，进入集群详情页。 步骤 3 在连接信息的自定义SAN处单击，在弹出的窗口中添加IP地址或域名，然后单击“保存”。 说明 当前操作将会短暂重启kubeapiserver并更新kubeConfig.json文件，请避免在此期间操作集群。 请输入域名或ip，以英文逗号（,）分隔，最多128个。 自定义域名如需绑定弹性公网，请确保已配置公网地址。

本章节主要介绍翼MapReduce服务的账号密码类常见问题。 翼MR集群开通后，登录翼MR Manager的用户是什么？ 系统默认登录翼MR Manager的帐号为opadmin，用户可以直接通过翼MR控制台中的免密登录跳转访问到翼MR Manager。 集群的主机登录密码是什么？ 主机登录密码是在翼MR集群开通时所设置的，如忘记密码，可前往集群的基础信息页进行密码重置。当前仅支持对2.16及以上版本进行密码重置。 组件密码在哪里查询与重置？ 组件密码可前往翼MR Manager配置管理页面，在vars.yaml的高级配置中查询。当前暂不支持在该文件中直接修改组件密码，文件仅用于记录配置信息。2.19版本起，云搜索场景支持在控制台集群服务管理页对Elasticsearch组件密码进行修改。 LDAP密码在哪里重置？ LDAP密码可前往翼MR Manager LDAP租户管理页面，选择要修改密码的LDAP用户，进入该用户的基础信息页进行密码重置。 Manager主密码是否支持重置 ？ V2.21版本起，支持重置Manager主密码。低V2.21版本的主密码暂不支持重置，请妥善保存密码。

本节主要介绍项目 每个区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以区域默认单位为项目进行授权，IAM用户可以访问您帐号中该区域的所有资源。 基于项目给用户组授权 以项目为单位进行授权，使得IAM用户仅能访问特定项目中的资源。 步骤 1 在用户组列表中，单击用户组右侧的“授权”，进入授权页面。 步骤 2 在授权页面中，勾选需要授予用户组的区域级项目权限，并单击“下一步”。 步骤 3 选择作用范围。此处选择区域项目，则还需要选择待授权的项目。 步骤 4 单击“确定”，完成授权。 说明 更多有关用户组授权的内容，请参见“创建用户组并授权”。 切换项目或区域 登录后需要先切换区域或项目，才能访问并使用授权的云服务，否则系统将提示没有权限。全局区域服务无需切换。 步骤 1 登录控制台。 步骤 2 进入具体的云服务页面，若云服务为项目级服务，则单击页面顶部区域下拉框，切换区域。

服务未启动怎么办? • 检查是否已正确安装CoSpace专属镜像。 • 确认代码框架服务是否成功启动。 • 如问题持续，请联系技术支持或参考官方文档。 远程智控无响应怎么办? • 检查目标云电脑是否处于在线状态。 • 确认网络连接是否正常。 • 尝试重新建立连接或切换设备。

服务未启动怎么办? • 检查是否已正确安装CoSpace专属镜像。 • 确认代码框架服务是否成功启动。 • 如问题持续，请联系技术支持或参考官方文档。 远程智控无响应怎么办? • 检查目标云电脑是否处于在线状态。 • 确认网络连接是否正常。 • 尝试重新建立连接或切换设备。

本章节介绍微服务引擎MSE的订购与退订操作 订购 1. 进入天翼云控制中心，搜索微服务引擎MSE，点击购买图标，即可进入到订购配置页面。 退订 退订规则 产品退订相关规则详细参见：退订规则说明。 退订操作 以云原生网关子产品为例，进入微服务引擎控制台，在左侧导航栏中单击云原生网关网关列表，在列表中针对某个实例点击退订按钮，在您确认退订后，单击确定按钮。 退订后，可在个人中心查看退订订单状态及金额情况。 注意 退订成功后，不可登录到控制台或者通过OpenAPI进行应用变更等操作。

视频拼接功能介绍 。 综述 视频拼接是将多个视频文件合并成一个单一的视频文件的过程。它可以用于将多个短视频片段拼接成一个完整的视频，或者将不同来源的视频文件合并为一个连续的视频。常见的场景是用户需要在主视频的前后增加固定的片头、片尾，以宣告版权或增强宣传效应。更复杂的场景主要是将多个视频片段按照一定的逻辑关系组合成为一个新的视频，片段直接会增加各种过渡或特效，以提升视频的观赏性和连续性。此类场景往往需要专业的视频剪辑软件才能完成。 云点播目前提供了基础的拼接服务，在不使用复杂剪辑软件的前提下，通过编码技术实现主文件和固定片头、片尾的合并，实现培训类视频、短视频的快速生产。视频拼接通常涉及以下步骤： 1. 准备要拼接的主视频文件，这些文件需要在云点播支持的媒体类型范围内。 2. 准备固定的片头、片尾视频。 3. 将片头、主视频、片尾按照一定的顺序组装好，并配置完成最终输出文件的规格（视频格式、分辨率等），即可开始启动拼接任务。 注意 1. 由于视频拼接的过程其本质也是转码的过程，目前几乎所有的视频转码都是有损转码。因此实际输出的文件相比较与原始文件，在画质上可能会存在一定的损失。为保证最终画面在可以接受的损失范围内，原始视频（包括主视频、片头、片尾）应尽量保持视频码率足够大，画面足够清晰。 2. 云点播提供的拼接功能只能按照指定顺序对视频进行编排组装，在两个视频画面拼接处可能会存在一定的画面跳跃或音频突进。如需要精细的过渡效果，需要使用专用剪辑工具增加过渡效果。为了尽量实现良好的拼接效果，建议片头、片尾视频提前做好画面过渡效果，并在片段衔接前后尽量保持音轨平静，不要有噪音或者跳跃声响。 3. 如果片头、片尾和主视频在视频分辨率、帧率等视频规格上可能存在差异，在实际拼接过程中只能按照一个固定分辨率、帧率进行转换，因此可能存在某些画面的失真扭曲、频闪等。为了保证拼接后的效果，建议准备多种分辨率规格的片头片尾，在不同主视频拼接时选用合适的素材。

天翼云电脑同步工具支持文件增量同步吗？ 支持，可以自动对传输文件进行差异数据计算，只传输文件增量部分。 天翼云电脑同步工具支持数据压缩吗？ 支持，可以自动对传输文件进行高效数据压缩，减少传输的数据量。 天翼云电脑同步工具支持批量同步吗？ 支持，可以同时选择多个文件或文件夹发起批量同步。 天翼云电脑同步工具支持一对多同步吗？ 支持，可以在创建A桌面的同步任务后，再切换目标为B桌面，创建B桌面的同步任务。 天翼云电脑同步工具支持专线环境下使用吗？ 支持，可以配置专线接入地址后进行专线接入。 天翼云电脑同步工具支持自动同步吗？ 支持，可创建自动同步任务，实时进行文件变动监测和同步。自动同步任务在天翼云电脑同步工具退出后会自动停止。 天翼云电脑同步工具提示“无法连接服务器”，如何处理？ 请检查本地网络是否正常，天翼云电脑同步工具工作时需要联网。 天翼云电脑同步工具提示“文件同步失败”，如何处理？ 文件同步过程中出现了网络中断，可点击“恢复”按钮继续未完成的同步任务。 天翼云电脑同步工具提示“未更新同步服务补丁”，如何处理？ 请按提示要求重启目标云电脑，完成同步服务补丁更新。 天翼云电脑同步工具的传输速率是如何计算的？ 天翼云电脑同步工具对文件采用压缩传输，传输速率使用原始文件大小进行计算。例如：原始文件10MB，压缩后为2MB，网络带宽1MB/s，则实际传输耗时 2MB / 1MB/s 2s, 计算的传输速率为10MB / 2s 5MB/s。

发布日期 修订记录 20231218 第一次修订，新增云迁移、服务器迁移、数据库迁移、数据迁移模块。 2024415 第二次修订，调整各模块目录规范。 2025113 第三次修订，数据库迁移兼容性列表更新。

本文为您介绍云硬盘的磁盘模式以及不同磁盘模式的主要应用场景以及使用注意事项。 磁盘模式的定义与分类 云硬盘的磁盘模式分为三种，分别是： VBD（Virtual Block Device）：虚拟块存储设备。 SCSI （Small Computer System Interface）：小型计算机系统接口。 FCSAN（Fibre Channel SAN）：光纤通道协议的SAN网络。 根据其是否支持高级的SCSI命令来判断划分磁盘模式。其中，VBD为默认模式，相较于SCSI，只支持较简单的读写命令。而SCSI类型的磁盘则可以提供一些高级特性，如命令队列、多点访问、热插拔等，支持更高级的SCSI指令。 磁盘模式在订购完成后不能修改，在购买时请谨慎选择。 说明 FCSAN协议仅支持物理机使用，当前仅支持在上海7开通。 VBD模式是所有资源池默认的磁盘模式。 选择的资源池和磁盘类型同时决定了创建的云硬盘是否支持SCSI模式，逻辑如下： HDD磁盘选择SCSI模式的资源池为：拉萨3/西南2贵州/西宁2/庆阳2/呼和浩特3。 SSD磁盘选择SCSI模式的资源池为：西南2贵州/庆阳2/呼和浩特3/华北2/郑州5/上海36/西南1/西宁2。 不同磁盘模式的主要应用场景 VBD模式：作为云硬盘的默认磁盘模式，VBD可以应用于绝大多数业务场景，作为云主机的驱动器，提供持久化存储，用于操作系统、应用程序和数据的安装和存储，也可以作为数据库服务器的存储设备等等。 SCSI模式：天翼云共享盘需要在集群环境下使用，多数集群在配置使用过程中是需要使用SCSI锁的，例如Windows MSCS集群等，因此在集群应用场景中推荐使用SCSI模式共享盘。 FCSAN模式：目前仅支持物理机使用。

本文介绍SNAT规则的添加、查看、修改和删除。 添加SNAT规则 私网NAT网关创建成功后，您需要创建SNAT规则。通过创建SNAT规则，虚拟私有云子网中全部或部分云主机可以通过中转IP地址访问云上云下资源。 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 点击需要添加规则的私网NAT网关名称，进入私网NAT网关详情页，下拉至SNAT规则标签页，点击添加SNAT规则。 3. 根据界面提示，配置SNAT规则的基本信息，配置参数如表所示 参数 参数说明 源网段类型 选择VPC内子网：选择现有子网，使子网内云主机通过SNAT方式访问云资源。手动输入自定义网段：自定义一个网段，使网段内服务器或云主机通过SNAT方式访问云资源。 子网/源网段 子网为需要关联的VPC中的子网，只能在未设置SNAT规则的子网下创建SNAT规则。源网段为自定义网段或某个主机地址，支持配置0.0.0.0/0的地址段，为所有经过私网NAT网关的报文进行源地址转换。 中转IP 用于NAT地址转换的IP地址，NAT网关根据对应规则会把通过NAT网关的报文的源地址更换为中转IP地址； 只能使用未绑定的中转IP或者被绑定在当前NAT网关中SNAT或DNAT规则上的中转IP。若无符合条件的中转IP，您可前往创建中转IP后，刷新即可。 选择多个中转IP时，业务连接会通过轮询方式分配到多个中转IP，由于每个连接的流量不同，可能会出现多中转IP业务流量不均匀的情况；并且同一个内网IP访问单一目的IP，可能使用不同的中转IP。访问单一目标的并发连接数过多时，会造成端口分配失败，需持续监控SNAT源端口溢出丢包数。 描述 SNAT规则信息描述。 4. 配置完成上述信息，点击“确定”，完成SNAT规则的添加。

云监控服务等级协议