“云通信产品”（简称“本产品”）由天翼云科技有限公司（简称“我们”）创建和运营，我们的注册地址为：北京市东城区青龙胡同甲1号、3号2幢2层20532室。为方便用户（简称“您”）使用本产品的服务，我们可能会处理您的相关数据和个人信息（统称“信息”或“用户信息”）。我们将通过《云通信产品隐私政策》（简称“本隐私政策”）向您说明我们如何处理您的个人信息，请您在注册和使用本产品之前认真阅读、充分理解本隐私政策，尤其是划线和加粗的内容。如果您对本隐私政策有疑问的，请通过本隐私政策约定的方式询问，我们将向您解释本隐私政策内容。 云通信产品隐私政策声明 版本生效日期：20220223 “云通信产品”（简称“本产品”）由天翼云科技有限公司（简称“我们”）创建和运营，我们的注册地址为：北京市东城区青龙胡同甲1号、3号2幢2层20532室。为方便用户（简称“您”）使用本产品的服务，我们可能会处理您的相关数据和个人信息（统称“信息”或“用户信息”）。我们将通过《云通信产品隐私政策》（简称“本隐私政策”）向您说明我们如何处理您的个人信息，请您在注册和使用本产品之前认真阅读、充分理解本隐私政策，尤其是划线和加粗的内容。如果您对本隐私政策有疑问的，请通过本隐私政策约定的方式询问，我们将向您解释本隐私政策内容。 如您为未满18周岁的未成年人，请在法定监护人陪同下阅读本协议，并特别注意未成年人使用条款。 定义： 本隐私政策中涉及的个人信息，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 本隐私政策中涉及的个人敏感信息，主要是涉及在自助订购时的交易信息及财产信息。此类信息经过组合、关联和分析后可能产生高敏感程度的信息，遭到未经授权的查看或未经授权的变更，会对个人信息安全与财产安全造成严重危害。 本政策将帮助您了解以下内容： 一、隐私政策适用范围 二、我们如何收集和使用您的个人信息 三、信息使用 四、信息存储 五、信息共享、转移、公开披露 六、信息保护 七、信息管理 八、我们如何保护未成年人的信息 九、隐私政策的修订 十、联系方式 一、隐私政策的适用范围 本隐私政策适用于我们为您提供的短信服务。需要特别说明的是，本协议不适用于第三方向您提供的服务或产品。 二、个人信息的收集 短信业务功能的运行需要您向我们提供或允许我们收集以下信息，我们仅会出于本政策所述的以下目的，收集和使用您的个人信息，收集过程中我们将遵循合法、正当、必要、最小化的原则。 我们的角色：我们是您的数据的控制者。我们知道您关心如何使用和分享您的数据，同时我们感谢您的信任，我们将谨慎且理智地做到这一点。 2.1短信订购 为了能让您使用短信订购功能，我们将在你进行交易时记录您的交易信息（包括订单号、资源ID、订单创建时间、支付总金额、支付金额、支付状态、支付时间）及财产信息（包括优惠券ID）。如果不提供前述信息，可能无法使用本产品。 2.2操作日志 为了能让您使用操作日志功能，我们将在你进行短信操作时记录您的操作任务、资源名称、资源ID、操作时间、操作用户、地域。如果不提供前述信息，可能无法使用本产品。 2.3随着短信业务功能进一步丰富，后续新增功能如涉及获取用户授权权限时，我们将明确提示并在您授权同意后才会获取该功能所需权限。如未取得您的授权，我们将不会收集和使用相关信息。 2.4您充分知晓，以下情形中，我们收集、使用个人信息无需征得您的授权同意： • 为订立、履行个人作为一方当事人的合同所必需； • 为履行法定职责或者法定义务所必需； • 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需； • 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息； • 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息； • 法律、行政法规规定的其他情形。 三、信息使用 3.1 为更好地向您提供服务，在严格按照法律法规遵循必要性原则基础上，我们将收集的信息用于以下目的和用途： （1）为您提供服务，包括但不限于应您的要求进行账号管理、变更；以及提供技术支持和客户服务； （2）开展内部审计、研究和分析，改善本平台和产品服务； （3）遵从和执行适用的法律法规要求，相关的行业标准或我们的政策； （4）其他为向您提供服务而需要使用您用户信息的情形。 四、信息存储 4.1 短信产品收集有关您的信息将保存在中华人民共和国境内（为本隐私政策之目的，不含香港、澳门、台湾地区）的服务器上。 4.2 对于所收集的信息，我们将在法律规定的最短期限内保存。在您的信息已经不再需要用于实现本隐私政策规定的目的和用途，也无需根据相关法律法规的规定保存时，我们将采取合理步骤以安全的方式销毁个人信息或使进行匿名化处理使其不可识别并不可被再次编辑、修改、使用。 4.3 当您自主删除个人信息或注销账户，我们将按照法律、法规规定的最短期限保留您的现有个人信息，在法律法规要求的最短保存期限内，我们将不再对您的个人信息进行商业化使用。当您的个人信息超出上述保存期限，我们将会对其进行删除或者匿名化处理。 五、信息共享、转移、公开披露 5.1 共享 未经您事先同意，我们不会与任何第三方共享您的信息，但以下情形除外： （1）在获取明确同意的情况下共享：经您事先明确同意，我们会与其他方共享您的信息； （2）根据相关法律法规的规定，或者行政、司法机关的要求，向行政以及司法机关披露您的信息； （3）对我们与之共享您的信息的组织和个人，我们会与其签署严格的保密协定，要求他们按照我们的说明、本隐私政策以及其他任何相关的保密和安全措施来处理您的信息。 5.2 转移 我们不会将您的个人信息转移给任何公司、组织和个人，但以下情况除外： （1）在获取明确同意的情况下转让：获得您的明确同意后，我们会向其他方转移您的个人信息； （2）在涉及合并、收购或破产清算时，如涉及到个人信息转让，我们会要求新的持有您的信息的公司、组织继续受此隐私政策的约束，否则我们将要求该公司、组织重新向您征求授权同意。 5.3 公开披露 我们仅会在以下情况下，公开披露您的个人信息： （1）获得您明确同意后； （2）基于法律的披露：在法律、法律程序、诉讼或政府主管部门强制性要求的情况下，我们可能会公开披露您的个人信息。 六、信息保护 6.1 我们对用户信息的保护 我们非常重视您的信息安全。我们采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。 例如，我们会使用混合加密技术提高信息的保密性；我们会使用受信赖的保护机制防止您的信息遭到恶意攻击；我们会部署访问控制机制，确保只有授权人员才可访问用户信息；我们会举办安全和培训，加强员工对于保护用户信息重要性的认识。 但请您理解，由于技术的限制以及可能存在的各种恶意手段，在互联网环境下，即便竭尽所能加强安全措施，也不可能始终保证信息百分之百的安全。若不幸发生信息泄露等安全事件，我们会立即启动应急预案，阻止事件扩大，及时采取补救措施，并推送通知、公告等多种形式告知您。 6.2 用户对信息的保管 尽管有前述安全措施，但请您妥善保管您的账户、密码及其他信息，避免您的个人信息泄露。如果您发现您的账号、密码或其他信息被他人非法使用或有使 用异常的情况的，应及时通知我们，我们将采取相应安全保障措施。 七、 信息管理 由于云通信产品不具备对用户信息进行管理功能，您需要使用天翼云官网对您的个人信息进行管理。 7.1 查询 您可以在天翼云APP我的账户管理模块查询、管理您向我们提交的基本信息，或者登录天翼云门户官网（ 7.2 变更或者修正错误信息 您可以登录天翼云APP，在我的账户管理模块修改您的个人资料，或者登录天翼云门户官网的管理中心进行修改；如果您要变更实名认证信息，您可以通过在天翼云门户提交工单、联系业务受理渠道等方式要求我们对相关信息予以更正。验证身份和权限后，我们将会在5个工作日内为您完成实名认证信息变更。 7.3 删除 若您发现我们未按照法律法规的规定或者本隐私政策约定收集和使用您的信息，您可以通过工单、邮件等方式联系我们对相关信息（包含副本、数据备份）进行删除。验证身份和权限后，我们将会在5个工作日内为您完成信息删除。 7.4 改变或撤回您的授权信息 对于您已经授权同意我们收集和使用的终端设备权限信息，您可以通过在终端设备进行设置、改变或撤回您的授权同意；您改变或撤回授权同意后，可能无法使用相应的功能服务。 7.5 注销账户 您可以登录天翼云门户，在天翼云门户官网个人中心基本信息页面进行账户注销，或天翼云APP管理工具账户注销中提请工单要求注销账户。 在您仔细阅读《天翼云账号注销条款》（ 7.6 个人信息副本获取权 如您需要您的个人信息的副本，您可以通过本隐私政策文末提供的方式联系我们，在核实您的身份后，我们将向您提供您在我们的服务中的个人信息副本（包括基本资料、身份信息），但法律法规另有规定的或本政策另有约定的除外。 7.7为保障安全，您申请查询、变更、删除您的信息或注销账户时，可能需要提供书面请求，或以其他方式证明您的身份。我们可能会先要求您验证自己的身份，然后再处理您的请求。 7.8 如果我们停止运营某一产品或者服务，我们将及时停止收集和使用该产品或服务所需的您的信息，同时将停止运营的通知通过天翼云门户进行发布，同时以短信、电话、邮件、站内信、APP消息推送等渠道告知您。对于该产品或服务运营期间已经收集的您的个人信息，我们将依法保存，并在保存期限届满后进行匿名化处理或删除。 7.9 如果我们发生合并、分立、收购、重组等变更，会将变更信息通过天翼云门户进行发布。变更后我们会继续履行信息保护的责任和义务，如果信息使用目的有所变化，我们将明确提示并在您授权同意后才会获取权限，如未取得您的授权，我们将不会收集和使用相关信息。 7.10 尽管有上述约定，但按照法律法规要求，在以下情形下，我们可能无法响应您的请求： （1）与国家安全、国防安全有关的； （2）与公共安全、公共卫生、重大公共利益相关的； （3）与犯罪侦查、起诉和审判等有关的； （4）有充分证据表明您存在主观恶意或滥用权利的； （5）响应您的请求将导致其他个人、组织的合法权益受到严重损害的。 7.11如您需要将您的个人信息转移至您指定的其他个人信息处理者，您可以随时联系我们。在符合相关法律规定且技术可行的前提下的，我们将根据您的要求向您提供转移的途径。 八、我们如何保护未成年人的信息 8.1 我们期望父母或监护人指导未成年人使用我们的服务。我们将根据国家相关法律法规的规定保护未成年人的信息的保密性及安全性。 8.2 如您为未成年人，建议请您的父母或监护人阅读本政策，并在征得您父母或监护人同意的前提下使用我们的服务或向我们提供您的信息。对于经父母或监护人同意而收集您的信息的情况，我们只会在受到法律允许、父母或监护人明确同意或者保护您的权益所必要的情况下使用或公开披露此信息。如您的监护人不同意您按照本政策使用我们的服务或向我们提供信息，请您立即终止使用我们的服务并及时通知我们，以便我们采取相应的措施。 8.3 如您为未成年人的父母或监护人，当您对您所监护的未成年人的信息处理存在疑问时，请通过上文中的联系方式联系我们。 九、隐私政策的修订 9.1 基于为您提供更好的服务的目的，并根据电信业务的发展或法律法规及监督政策变化的要求，我们可能会适时修订本隐私政策，对于本隐私政策的重大改动，我们会请您重新授权同意。 十、联系方式 10.1 如您对本隐私政策或您个人信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云门户端的在线客服、在线反馈留言、拨打我们的客服电话 4008109889 等多种方式与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn，与短信产品的个人信息保护负责人进一步沟通。 10.2 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过15个工作日做出答复。

视图水印功能介绍。 综述 前提条件 打水印是在视频转码时，将特定的图片或文字附加在画面指定位置的过程。云点播目前支持以静态图片的方式叠加水印，并可以指定水印在画面中的大小和位置。 如果用户需要为视频打上图片水印，需要具备以下条件： 1. 将水印图片以png，jpeg等格式上传至云点播的存储桶。 2. 在【模版管理】【水印模版】创建一个水印模版。 支持的水印类型 功能 说明 :: 视频水印 在视频转码时，叠加水印图片。 截图水印 在视频截图时，叠加水印图片。 水印使用方式 在【点播模式】下，使用云点播的水印功能，可以通过以下途径： 途径 说明 :: 【媒体库】入口 使用云点播控制台操作。 云点播截图、转码API/SDK 调用云点播API打水印。 媒体库入口 前提条件 至少创建了一个点播实例。 至少已上传了一个文件。 至少创建了一个水印模版。 至少创建了一个转码模版或至少创建了一个截图模版。 操作步骤（转码水印） 1. 在【媒体库】页面，选择一个视频条目，在右侧的操作栏，点击【媒体处理】。在弹出的对话框（如下图所示）中，将处理类型选择为【转码】。在界面中【转码模版】处选择一个合适的转码模版；在【水印模版】处，选择一个合适的水印模版。关于水印模版的创建操作，可以参考【公共模版管理】【水印模版】。 2. 待转码任务完成以后，您可以在回调接口处获得该视频的URL地址等信息。详情可以查看音视频转码完成点播模式。 3. 您可以在【媒体库】【详情】【视频地址】标签卡找到刚才的转码视频。请注意，转码视频是根据转码模版的名称进行排列展示的。您可以根据上一步配置的转码模版名称，找到转码后的视频。点击【视频预览】或复制地址到本地播放器，可以播放该视频。从视频画面上可以看到叠加的水印。 注意 1. 水印模版必须搭配转码模版或者截图模版共同使用。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：目标占用率（取值 0100）。 注意 建议您将目标内存占用率设置在 95% 以下，为操作系统内核和 kubelet 等关键系统进程预留足够的内存。若内存被完全耗尽，可能导致节点无响应、探针失联甚至节点进入 NotReady 状态，从而需要强制重启节点才能恢复。 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录云容器引擎控制台，进入目标实例节点的监控指标页，观测内存使用率指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 是否出现响应变慢、处理失败率升高等现象。 执行 kubectl get pod o wide 查看 Pod 状态，确认是否有 Pod 因 OOMKilled 而被重启。 如果为相关 Pod 配置了基于内存的 HPA 策略，观察是否触发了自动扩容。 验证您的业务监控告警系统是否成功捕获到节点资源异常或应用性能劣化，并触发了相应告警。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：目标占用率（取值 0100）。 注意 建议您将目标内存占用率设置在 95% 以下，为操作系统内核和 kubelet 等关键系统进程预留足够的内存。若内存被完全耗尽，可能导致节点无响应、探针失联甚至节点进入 NotReady 状态，从而需要强制重启节点才能恢复。 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到内存高负载动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录云容器引擎控制台，进入目标实例节点的监控指标页，观测内存使用率指标。 2、业务应用验证： 观察运行在目标节点上的业务 Pod 是否出现响应变慢、处理失败率升高等现象。 执行 kubectl get pod o wide 查看 Pod 状态，确认是否有 Pod 因 OOMKilled 而被重启。 如果为相关 Pod 配置了基于内存的 HPA 策略，观察是否触发了自动扩容。 验证您的业务监控告警系统是否成功捕获到节点资源异常或应用性能劣化，并触发了相应告警。

NAT网关是否支持更换VPC？ 暂不支持 NAT网关在购买时选定VPC，后续不支持修改，NAT网关虽可结合对等连接跨VPC提供地址转换服务，但需互联VPC无地址冲突，优先选择需要访问公网的目标计算实例所在VPC创建NAT网关，NAT网关创建步骤详见管理NAT网关。 NAT网关是否支持更换子网？ 暂不支持 NAT网关在购买时选定VPC和子网，后续不支持修改。NAT网关创建后虽已选定子网，但实际可对NAT网关所在VPC下实例均提供地址转换服务，不限制其规则仅为NAT网关所在子网。NAT网关创建步骤详见管理NAT网关。 NAT网关是否支持IPV6？ 不支持。 云主机如果希望使用IPV6地址与Internet互通，请使用IPV6网关产品，IPv6网关可以提供VPC网络中的云主机实例使用IPv6访问公网的能力，同时也允许终端使用IPv6通过互联网访问VPC网络中的云主机实例，详见IPV6网关配置指南。 公网NAT网关的连接老化时间如何配置？ 您可以在创建公网NAT网关时指定连接老化时间，仅部分多AZ资源池支持。如需使用，提交工单加白开通。 TCP连接老化时间（秒)：TCP连接的超时时间，如果TCP连接在该时间内没有数据交换将被关闭。默认为900s，取值范围：4010800； UDP连接老化时间（秒）：UDP连接的超时时间，如果UDP连接在该时间内没有数据交换将被关闭。默认为300s，取值范围：4010800； ICMP连接老化时间（秒）：ICMP连接的超时时间，如果ICMP连接在该时间内没有数据交换将被关闭。默认为10s，取值范围：1010800； TCP连接延迟关闭时间（秒）：TCP连接关闭时TIMEWAIT状态持续时间。默认为5s，取值范围：110800； 注意 修改NAT网关老化时间后，新建连接用新的老化时间，存量连接仍然按照修改前的老化时间运行，直到连接自然关闭或者达到原有老化时间限制，请谨慎修改。

本文介绍ECI镜像缓存概述。 使用镜像缓存（ImageCache）创建ECI实例可以加速拉取镜像，减少ECI实例的启动耗时。本节介绍镜像缓存的基本功能、创建和使用方式、以及计费说明等。 功能简介 在运行容器前，ECI需要先拉取您指定的容器镜像，但因网络和容器镜像大小等因素，镜像拉取耗时往往成了ECI实例启动的主要耗时。为加速实例的创建速度，ECI提供了镜像缓存功能。您可以预先将需要使用的镜像制作成缓存快照，然后基于该快照来创建ECI实例，避免或者减少镜像层的下载，从而提升实例的创建速度。 创建方式 镜像缓存的创建分为手动创建和自动创建两种方式： 手动创建： 您可以根据需要设置名称大小等参数来创建镜像缓存，过程如下： 一个镜像缓存对应一份快照，手动创建的镜像缓存快照由您自行管理。 创建过程中，系统将创建一个ECI实例（2 vCPU、4 GiB内存），并挂载一块普通IO云盘用于创建中转镜像缓存对应的快照。创建完成后，ECI实例和普通IO云盘将被自动释放，快照保留用于保存镜像缓存。 自动创建： 一个镜像缓存对应一份快照，自动创建的镜像缓存由您自行管理。 创建过程中，系统将创建一个ECI实例，并使用ECI实例自带的存储空间来中转创建镜像缓存对应的快照。 手动创建和自动创建的镜像缓存在大小、保留时长的方面差异，对比如下： 对比项 手动创建 自动创建 名称 可以自定义设置名称 自动生成 大小 默认20GiB，可以自定义设置大小 默认40GiB。如果创建ECI实例声明了临时存储空间，则镜像缓存大小临时存储空间 保留时长 默认永久保留，可以自行设置保留时长（单位为天），过期后将被自动删除 默认保留30天 使用成本 收取创建和使用费用 仅收取使用费用，不收取创建费用 使用方式 使用镜像缓存可以加快ECI实例的创建。创建ECI实例时，支持自动匹配和明确指定镜像缓存两种方式：

步骤六：验证Agent与数据库安全审计实例之间的网络通信正常 待审计的数据库与数据库安全审计实例连接成功后，您需要验证Agent与数据库安全审计实例之间的网络通信是否正常。 1. 在安装Agent的节点执行一条SQL语句或对数据库进行操作（例如，“Select 1;”）。 2. 在左侧导航树中，选择“总览”，进入“总览”界面。 3. 在“选择实例”下拉列表框中，选择需要查看数据库慢SQL语句信息的实例。 4. 选择“语句”页签。 5. SQL语句列表将显示登录数据库操作的记录，如dbss060004.xmldbss060004/fig1960916145112所示。 如果不能查询到SQL语句，请您参照如何处理Agent与数据库安全审计实例之间通信异常？进行排查。 步骤七：查看审计结果 验证成功后，您可参照本节内容在总览界面查看审计结果信息，同时也可根据需求在报表界面进行设置生成报表、下载或预览报表。 1. 查看总览信息。 进入总览入口，如图所示，查看总览信息。 在总览界面，展示了该实例的审计时长、SQL语句总量、风险总量以及今日语句、今日风险、今日会话量 您可以选择“语句”或“会话”页签，分别查看SQL语句信息和会话分布图。 2. 生成报表、下载或预览报表。参照下图进入报表管理界面。 在左侧导航树中，选择“报表”。 在“选择实例”下拉列表框中，选择需要生成审计报表的实例。选择“报表管理”页签。 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”。 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库。单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以“预览”或“下载”报表，如图所示。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。

可查看和管理已经处理成功的病毒文件,并支持查看每一次对病毒文件的处理操作记录。 已隔离 查看已隔离成功的病毒文件，可对隔离的文件进行还原和彻底删除。 已删除 查看已删除成功的病毒文件，被删除的文件不可还原。 已阻断 查看已阻断成功的病毒文件，阻断后的文件还可以进一步隔离或删除。 处理记录 可查看所有的处理操作记录，方便用户追溯和确认处理的操作是否正常或者合规。

本节介绍如何在主机安全v1.0中进行Syslog日志外发配置。 前提条件 已购买主机安全v1.0资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“主机安全 > 主机安全v1.0”，在目标资源右侧操作列单击“配置”，进入主机安全系统。 2. 在主机安全系统导航栏，选择“联动管理 > 数据外发 > 日志外发” 。 3. 进入日志外发页面，点击日志外发开关，开启此功能；再点击“新建”。 4. 在弹窗中配置外发方式 、IP及端口号 、日志类型后，单击“确定”即可。

本节介绍智算资源监控。 GPU 资源监控面板能够帮助您从不同的维度（比如：集群、节点、训练任务等）监控集群的GPU资源使用情况，以及集群的各命名空间下的资源配额使用情况。 前提条件 已开通智算容器集群 监控安装 1. 登录 “云容器引擎” 控制台，在左侧导航栏选择 “集群”。 2. 在“集群”页面显示的集群列表中，单击目标集群名称，然后在左侧导航栏，选择 “智算套件”。 3. 安装监控组件，等待安装完成。 监控面板 从“运维管理” “监控” 可打开监控面板页面，提供了 GPU/NPU 多维监控能力。 GPU监控 NPU监控

您可以在控制台页面右上角的地域切换下拉菜单中，选择要使用的OOS地域。对象存储网络是天翼云推出的最新对象存储服务。对象存储网络中包含分布在全国多个省、市、自治区及直辖市的资源池，这些资源池间的存储桶（Bucket）、文件（Object）、访问密钥（AccessKeyId和SecretAccessKey）信息互通，可以实现全国数据的就近读取和写入。您可以在控制台页面右上角的地域切换下拉菜单中，选择对象存储网络。OOS推荐您使用对象存储网络来进行文件的管理。除对象存储网络之外的其他地域，存储桶、文件、访问密钥信息是不互通的。各个地域对应的Endpoint列表，参见域名（Endpoint）列表。

本章节主要介绍数据目录的数据安全简介。 应用背景 数据安全为数据湖提供数据生命周期内统一的数据使用保护能力。通过敏感数据识别、分级分类、隐私保护、资源权限控制、数据加密传输、加密存储、数据风险识别以及合规审计等措施，帮助用户建立安全预警机制，增强整体安全防护能力，让数据可用不可得和安全合规。 说明 在已上线数据安全组件的区域，数据安全功能已由数据安全组件提供，不再作为数据目录组件能力。 功能模块 数据安全包括： 数据密级 对数据进行等级划分，方便数据的管理。 数据分类 基于数据密级，可以进行数据分类，来有效识别数据库内的敏感数据。 脱敏策略 基于数据分类，可以通过创建脱敏策略，实现数据资产的脱敏和隐私保护。

本章为您介绍如何管理加密云硬盘,包括创建加密云硬盘与卸载加密云硬盘。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源池支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

Kafka Manager是开源的Kafka集群管理工具，需要通过浏览器才能访问Kafka Manager的地址。在Kafka Manager页面，您可以查看Kafka集群的监控、节点等信息。 前提条件 已正确配置安全组。 登录Kafka Manager 创建一台与Kafka专享实例相同VPC和相同安全组的Windows服务器。 获取Kafka Manager地址。 在实例详情信息页面，获取Kafka Manager的地址。 在浏览器中输入Kafka Manager的地址，进入Kafka Manager登录页面。 输入创建实例时设置的Kafka Manager用户名和密码，即可管理Kafka集群。 查看Kafka Manager 在进入Kafka Manger集群管理页面后，您可以查看Kafka集群的监控、节点等信息。 集群信息页 单击Clusters中的集群列表，即可进入集群信息页。如图所示。 − 图中①区域表示功能导航栏 Cluster: 集群，统计集群列表和集群详情。 Brokers: 节点，统计当前集群中各节点的状态信息。 Topic: 队列，统计当前集群中的kafka队列。 Preferred Replica Election: 强制进行一次队列leader的最优选举（不建议用户操作）。 Reassign Partitions: 进行分区副本的重分配（不建议用户操作）。 Consumers: 统计集群中的消费组状态。 − 图中②区域表示集群信息统计，包含集群的Topic数和集群的节点数。 集群信息页 集群所有节点统计页 单击功能导航栏中的Brokers，即可进入节点统计页。如图54所示。 − 图中①区域节点列表，包含总的字节流入和字节流出。 − 图中②集群监控信息。 所有节点统计页 具体节点统计页 单击id列表中具体的Broker，即可查看对应节点的统计信息。如图55所示。 − 图中①区域表示对应节点总的统计信息，包括队列数、分区数、分区leader数、消息速率占比、写入字节占比以及流出字节占比。 − 图中②区域表示节点监控信息。 具体Broker信息 查看实例的Topic 在导航栏选择Topic，并在下拉列表中选择List。页面如图56所示，展示了队列列表以及分区数等。 列表中以“”开头的队列为内部队列，严禁操作，否则可能导致业务问题。 查看实例的Topic 队列详情页 单击具体的Topic名称，进入如图57所示页面。 − 图中①区域表示队列基本信息，包括副本数(Replication)，分区数(Number of Partitions)，消息数(Sum of partition offsets)等。 − 图中②区域表示节点与队列分区的对应关系。 − 图中③区域表示该队列的消费组列表。单击消费组名称可进入该消费组的详情页。 − 图中④区域表示队列的配置信息。详情参考kafka队列官方配置文档(

此小节介绍云审计服务支持的关键操作。 如何查看云审计日志 开启了云审计服务后，系统开始记录DBSS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 查看DBSS的云审计日志 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“管理与监管 > 云审计服务”，进入云审计服务信息页面。 3. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 4. 单击事件列表上方的“Region”，设置对应的操作事件条件。当前事件列表支持四个维度的组合查询. “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 可在页面右上角选择查询最近1小时、最近1天、最近1周及自定义时间段的操作事件。 5. 单击“查询”，查看对应的操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息，展开记录如图所示。 7. 在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，如图所示，显示了该操作事件结构的详细信息。 云审计服务支持的DBSS操作列表 数据库安全服务通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的DBSS操作列表如表所示。 操作名称 资源类型 事件名称 创建实例 dbss createInstance 删除实例 dbss deleteInstance 开启实例 dbss startInstance 关闭实例 dbss stopInstance 重启实例 dbss rebootInstance 实例状态变化 dbss cloudServiceInstanceStatus 创建包周期实例 dbss cloudServiceInstanceCreate 实例元数据变化 dbss updateMetaData

本节主要介绍如何进行实例扩容 在Redis管理控制台支持变更实例的容量，通过该操作可调整实例的规格，以满足不同的容量需求。 前提条件 只有当分布式缓存Redis缓存实例处于“运行中”状态，才能执行此操作。 影响须知 实例执行扩容时会出现1~2次30秒内的连接闪断。 为保障扩容后的新实例能快速追平原实例的增量数据，同时规避因DNS缓存引起的数据双写，在扩容过程中，实例每个分片节点会出现1分钟内的只读状态。 扩容完成后，实例的实例ID、连接地址、数据、白名单配置以及已创建的账号密码配置等均不会改变。 操作步骤 1.登录 Redis管理控制台 2.在管理控制台左上角选择实例所在的区域。 3.在实例列表页面选择实例，点击”更多>扩容“按钮，进入实例扩容页面。 页面参数介绍： 参数 说明 实例ID Redis实例ID。 实例名称 Redis实例名称。 实例规格 实例规格，包含总容量、副本数、分片数、分片容量。 运行状态 实例的运行状态。 开通时间 Redis实例开通的时间。 计费模式 包年包月或按需计费。 过期时间 包年/包月实例的到期时间，按需计费实例无到期时间。 扩容类型 支持扩分片规格、增加分片。 新分片规格 扩容后的分片容量。 分片数 扩容后的分片数（Cluster版本支持）。 变更风险检查 检查项参见下表，手动停止检查或检查结果提示异常时，如需继续执行规格变更，需要勾选“我已知晓风险”。 费用 包年包月：扩容前后价格差值；按需计费：扩容后新实例价格。 变更风险检查项： 参数 说明 非标配置 如 ：实例appendonly参数未设置成yes，变更有数据丢失风险等。 节点状态 实例节点状态检查，任意节点不可用 异常。 内存使用率 内存利用率检查（>90%）异常。 带宽使用率 主机带宽使用率超过100% 异常。 CPU使用率 五分钟内的节点CPU利用率检查（>90%）异常。 4.选择目标扩容规格，点击确定按钮提交订单。 5.提交订单后自动进入订单详情管理页面，在该页面展示订单金额，进行订单支付操作。 6.点击立即支付即可完成扩容订单。 7.扩容一般需要几分钟，扩容成功后可以在控制台看到实例规格的变更。

对等连接产品为您提供灵活快捷的云上多VPC私网互联服务,本文带您了解对等连接的产品优势。 使用灵活，支持同账号、不同账号建连 支持在同一区域内的同一用户不同VPC之间、不同用户VPC之间以及公有云与专属云的VPC之间创建对等连接。 安全可控，自主授权 不同用户之间的VPC创建对等连接时，需要用户提供对端账户名和VPC ID，且需要对端用户接受才可建立连接。 简单易用，配置灵活 天翼云提供Web管理平台，用户可登陆Web页面轻松实现连接创建、路由策略配置。 内网可达，无公网费用 使用对等连接的两个VPC通信时，通过资源池内部网络进行互通，不会绕行公网。

实例间发现服务配置 Headless Service用于解决StatefulSet内Pod互相访问的问题，Headless Service给每个Pod提供固定的访问域名。具体请参见Headless Service。 服务配置 服务（Service）是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。您也可以在创建完工作负载之后再创建Service，Service的概念和使用方法请参见Service概述。 高级配置 设置升级策略、调度策略、标签与注解、DNS 配置、性能管理配置、网络配置等。单击右下角“创建工作负载”完成创建。

安全边缘节点 在天翼云所有文档中，边缘节点、CDN节点、Cache节点、缓存节点、加速节点、天翼云节点等都是指天翼云边缘节点。边缘节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用Cache设备上，以此来提高网站访问的速度和质量。 分布式监测集群 分布式结构就是将一个完整的系统，按照业务功能，拆分成一个个独立的子系统，在分布式结构中，每个子系统就被称为“服务”。这些子系统能够独立运行在web容器中，它们之间通过RPC方式通信。因此按照微服务的思想，网站安全监测产品的功能模块可拆分成多个独立的服务，即：安全事件监测、漏洞监测、可用性监测、DNS监测、内容安全监测。每个服务都是独立的项目，可以独立运行。如果服务之间有依赖关系，那么通过RPC方式调用。单机处理到达瓶颈的时候，就把单机复制几份，这样就构成了一个“集群”。集群中每台服务器就叫做这个集群的一个“节点”，所有节点构成了一个集群。每个节点都提供相同的服务，那么这样系统的处理能力就相当于提升了好几倍（有几个节点就相当于提升了这么多倍）。分布式监测集群可以在实现网站安全监测产品完整、系统化的同时，能够解决访问速度和质量的问题。 网站可用性 网站可用性(web usability)是衡量用户体验的指标, 是对用户使用网站达成目标是否顺利、以及在这个过程中用户是否满意的综合衡量，反应在具体指标上关注的有目标站点的响应速度、可访问性等。 Web漏洞 Web漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的Web漏洞有Sql注入、Xss漏洞、上传漏洞等。如果网站存在Web漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步提权获取网站服务器权限，控制整个服务器。主要有以下几种攻击方法：SQL注入、XSS跨站点脚本、跨目录访问、缓冲区溢出、cookies修改、Http方法篡改、CSRF、CRLF、命令行注入。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成为220.181.112.143。 Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何网站安全监测防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 网页挂马 网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，而后加代码使得木马在打开网页时运行。 暗链攻击 暗链就是看不见的网站链接，其在网站中做得非常隐蔽，短时间内不易被搜索引擎察觉。暗链攻击，是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链，这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

本节主要介绍实时迁移 如何判断数据迁移任务可以停止 通常，在业务割接完成后，为了防止源数据库的操作继续同步到目标数据库，造成数据覆盖问题，您可选择结束迁移任务。结束之前您需要确认完成以下几点： 1. 请您确认至少在业务低峰期有过一次完整的数据对比。 2. 完成业务割接。 a. 先中断业务（如果业务负载非常轻，也可以尝试不中断业务）。 b. 在源数据库端执行如下语句（此处以MySQL为例），并观察在15分钟内若无任何新会话执行SQL ，则可认为业务已经完全停止。 show processlist; 上述语句查询到的进程列表中，包括DRS迁移实例的连接，您需要确认除DRS迁移实例的连接外无任何新会话执行SQL，即可认为业务已经完全停止。 c. 实时同步时延为0，并稳定保持一段时间；同时，您可以使用数据级对比功能，进行割接前的最后一次数据级对比，耗时可参考之前的对比记录。 n 如果时间允许，则选择全部对比。 n 如果时间不允许，则推荐对比活跃表，关键业务表，第二步对比多次存在差异的表等。 d. 确定系统割接时机，业务系统指向目标数据库，业务对外恢复使用。 3. 结束迁移任务，该操作仅删除了迁移实例，迁移任务仍显示在任务列表中，您可以进行查看或删除。 MySQL迁移中Definer强制转化后如何维持原业务用户权限体系 Definer的使用主要应用在视图、存储过程、触发器、事件等对象里，Definer并不会限制对象被调用的权限，但会限制对象访问数据库的权限。本场景下，用户在MySQL迁移过程中选择了“所有Definer迁移到该用户下”，则源库用户体系下其他用户账号在完成用户迁移后，如果用户迁移和权限授权都执行成功，则无需授权便可继续使用原业务（使用DRS用户迁移功能可以实现用户、权限、密码迁移），否则如果想在原来的用户权限体系下延用原业务，则需要进行授权后才具有Definer相关数据库对象的访问使用权限，从而保证原业务正常。 本章节主要介绍如何通过数据库命令行对用户账号进行授权的方法。 步骤 1 确保新用户（Definer统一使用指定账号）具备足够的权限执行视图、存储过程等相关SQL。 步骤 2通过MySQL官方客户端或者其它工具登录目标数据库。 步骤 3 通过如下命令查看需要授权的用户user当前权限详情。 show grants for 'user'@'host'; 步骤 4 为了保证原业务不报错，使用如下命令给用户user授予涉及的数据库对象缺失的操作权限。 grant select,insert,update,delete on dbname. to 'user'@'host'; 一般情况下，访问数据库的权限包括：SELECT、CREATE、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、EXECUTE。您需要根据具体的数据库对象查看缺少哪些权限，再进行授权操作。 对于存储过程和函数，必须保证用户user对其有拥有EXECUTE权限，授权SQL命令如下： grant execute on dbname.functionname to 'user'@'host'; 步骤 5 使用授权后的用户账号访问目标库对象，无异常报错表示授权成功。需要注意：在java项目工程中调用存储过程、函数如果出现 Java.sql.SQLException: User does not have access to metadata required to determine stored procedure parameter types. If rights can not be granted, configure connection with "noAccessToProcedureBodiestrue" to have driver generate parameters that represent INOUT strings irregardless of actual parametertypes，则需要单独执行用户user对mysql.proc库的授权： grant select on mysql.proc to 'user'@'host';

本文帮助您了解对象存储桶ACL功能及其相关的操作步骤。 桶ACL简介 桶授权ACL可用来管理账户对存储桶的访问权限和ACL权限，桶的拥有者可以通过桶ACL授予或修改指定账号的访问权限。 操作步骤 说明 推荐私有访问权限，不要对匿名账号访问权限进行勾选。 桶访问权限：在匿名账号“桶访问权限”处不要勾选“读取权限”。若因特殊需求要配置桶的读写权限为“公共读”，则在匿名账号“桶访问权限”处勾选上“读取权限”即可。“公共读”可以使匿名用户在不进行身份认证的情况下直接读取桶内的对象，这有可能造成您数据的外泄以及费用激增，请谨慎勾选。 ACL 访问权限：在匿名账号“桶访问权限”处不要勾选“读取权限”和“写入权限”。否则，匿名用户在不进行身份认证的情况下可以读取或修改桶的ACL规则，这有可能造成您数据的外泄以及费用激增，请谨慎勾选。 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，单击Bucket名称进入“概览”页面。 5. 选择“权限管理”页面，找到“桶ACL”，点击“设置”按钮。 6. 在桶ACL设置页面， 可针对匿名账号和单一账号设置目标桶的桶访问权限和ACL访问权限。 7. 点击匿名账号下的“编辑”按钮，可修改桶访问权限和ACL访问权限。 8. 点击“增加ACL”， 输入用户邮箱可对特定帐号添加桶访问权限和ACL访问权限。 桶ACL参数配置说明如下： 参数 说明 账户类型 非匿名账号默认用户邮箱。 账户 非匿名账号需指定用户邮箱，此邮箱需要已经注册天翼云账户并开通对象存储。 桶访问权限 读取权限授予账户列出和读取存储桶中对象的权限，写入权限授予账户创建、覆盖和删除存储桶中对象的权限。 ACL访问权限 授予账户读取或修改桶ACL的权限。

部署命令 rollingupdate rollingupdate是一个非常重要的命令，对于已经部署并且正在运行的业务，rollingupdate提供了不中断业务的更新方式。rollingupdate每次起一个新的pod，等新pod完全起来后删除一个旧的pod，然后再起一个新的pod替换旧的pod，直到替换掉所有的pod。rollingupdate需要确保新的版本有不同的name，Version和label，否则会报错 。 kubectl rollingupdate poname f newfilename kubectl rollingupdate poname imageimage:v2 如果在升级过程中，发现有问题可以中途停止update，并回滚到前面版本。 kubectl rollingupdate poname rollback rollout 管理资源的发布。 例如： 查看指定资源的部署状态： kubectl rollout status deployment/deployname 查看指定资源的发布历史： kubectl rollout history deployment/deployname 回滚指定资源，默认回滚至上一个版本： kubectl rollout undo deployment/testnginx scale scale用于程序在负载加重或缩小时将副本进行扩容或缩小。 kubectl scale deployment deployname replicasnewnumber autoscale autoscale命令提供了自动根据pod负载对其副本进行扩缩的功能。autoscale命令会给一个rc指定一个副本数的范围，在实际运行中根据pod中运行的程序的负载自动在指定的范围内对pod进行扩容或缩容。 kubectl autoscale deployment deployname minminnumber maxmaxnumber 集群管理命令 cordon、drain、uncordon 有时候会遇到这样一个场景，一个node需要升级，但是在该node上又有许多运行的pod，或者该node已经瘫痪，需要保证功能的完善，则需要使用这组命令，使用步骤如下： 步骤 1 使用cordon命令将一个node标记为不可调度。这意味着新的pod将不会被调度到该node上。 kubectl cordon nodename 步骤 2 使用drain命令，将运行在该node上运行的pod平滑的搬迁到其他节点上。 kubectl drain newnodename 步骤 3 对该节点进行一些节点维护的操作，如升级内核、升级Docker等。 步骤 4 节点维护完后，使用uncordon命令解锁该node，使其重新变得可调度。 kubectl uncordon nodename clusterinfo 查看在集群中运行的插件： kubectl clusterinfo 查看详细信息： kubectl clusterinfo dump top 显示资源（CPU/Memory/Storage）使用。需要Heapster运行。 taint 修改一个或多个节点上的taint。 certificate 修改证书资源。

本文介绍HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。例如： 当您的域名在CDN加速产品中配置HTTPS功能和HTTP强制跳转HTTPS的功能时，若用户在浏览器中输入HTTP协议的URL进行访问，CDN节点会将该HTTP请求强制跳转到HTTPS协议，此时： 若未启用HSTS功能，且用户是首次以HTTP协议访问CDN节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 若启用HSTS功能，CDN节点会响应一个强制HSTS的头（例如：StrictTransportSecurity：maxagexxxx;includeSubDomains）给客户端，告诉客户端只能使用HTTPS协议访问CDN节点，此后浏览器将直接使用HTTPS协议访问CDN节点，不再需要HTTP协议强制跳转HTTPS协议。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 在HSTS生效前，可参考：强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【HSTS】模块，开启功能并根据需求填写配置。 9. 单击【保存】，完成配置。 参数 说明 过期时间 即StrictTransportSecurity响应头中maxage的值，单位为s；如过期时间为2592000s，则代表一个月内，访问该网站均需要使用HTTPS协议。 包含子域名 即StrictTransportSecurity响应头中是否需要包括includeSubDomains；如包括，则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。

本文主要讲解移动应用使用临时凭证直传文件的最佳实践。 实践背景 在移动互联网时代，从手机里的照片到各类文件，移动端APP需要上传到服务器的文件越来越多。开发者可以使用媒体存储来保存这些文件，媒体存储提供的SDK接口可以支持直接在移动端进行文件上传。 访问媒体存储需要使用密钥（AK/SK），但是如果在移动端直接使用长期密钥访问对象存储，遭受黑客攻击就可能会暴露长期密钥，导致对象存储中的文件泄露或被篡改，存在很大的风险。 媒体存储提供STS角色管理功能，可以为移动端颁发一个自定义时效和权限的访问凭证，无需在移动端暴露长期密钥。使用STS授权访问时，请务必按照业务情况，以最细粒度的权限原则进行授权，避免放大临时用户的权限，保证资源访问安全。 应用流程 使用临时凭证直传时，具体应用流程如下： 实践步骤 创建用于获取STS访问凭证的角色 通过媒体存储控制台，创建STS角色，并获取对应的arn信息，具体可参考 STS角色管理 。 对应角色授权并且获取STS临时密钥 具体可参照如下java示例： // STS endPoint String endPoint " "; // 在对象存储控制台访问密钥AccessKey和SecretKey。 String accessKey " "; String secretKey " "; // 填写步骤一获取的角色ARN。 String roleArn " "; // 设置临时访问凭证的名称. String roleSessionName " "; // 设置 Policy 允许上传对象 String policy "{"Version":"20121017"," + ""Statement":[" + "{"Effect":"Allow"," ""Action":["s3:PutObject"]," ""Resource":["arn:aws:s3::: /"]}" + "]}"; // 创建STS Client BasicAWSCredentials basicAWSCredentials new BasicAWSCredentials(accessKey, secretKey); AwsClientBuilder.EndpointConfiguration endpointConfiguration new AwsClientBuilder.EndpointConfiguration(endPoint, ""); AWSSecurityTokenService stsClient AWSSecurityTokenServiceClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(basicAWSCredentials)) .withEndpointConfiguration(endpointConfiguration) .build(); AssumeRoleRequest assumeRoleRequest new AssumeRoleRequest(); assumeRoleRequest.setRoleArn(roleArn); assumeRoleRequest.setRoleSessionName(roleSessionName); assumeRoleRequest.setPolicy(policy); AssumeRoleResult assumeRoleRes stsClient.assumeRole(assumeRoleRequest); Credentials stsCredentials assumeRoleRes.getCredentials(); System.out.println("Expiration: " + stsCredentials.getExpiration()); System.out.println("Access Key Id: " + stsCredentials.getAccessKeyId()); System.out.println("Access Key Secret: " + stsCredentials.getSecretAccessKey()); System.out.println("Security Token: " + stsCredentials.getSessionToken());

本文主要介绍 查看云审计日志 操作场景 开启了云审计服务（CTS）后，系统开始记录SWR相关的操作。CTS会保存最近1周的操作记录。 本小节介绍如何在CTS管理控制台查看最近1周的操作记录。 操作步骤 步骤 1 登录CTS管理控制台。 步骤 2 选择左侧导航栏的“事件列表”，进入事件列表页面。 步骤 3 事件记录了云资源的操作详情，设置筛选条件，单击“查询”。 当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。其中，“事件类型”选择“管理事件”，“事件来源”选择“SWR”。 图 设置筛选条件 其中，筛选类型选择“按资源ID”时，还需手动输入某个具体的资源ID，目前仅支持全字匹配模式的查询。 筛选类型选择“按资源名称”时，选框下拉列表会自动显示符合筛选条件的资源名称。 操作用户：在下拉框中选择某一具体的操作用户。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选项为“最近1小时”、“最近1天”、“最近1周”和“自定义时间段”，本示例选择“最近1周”。 步骤 4 在需要查看的事件左侧，单击图标展开该事件的详细信息。 图 展开事件 步骤 5 在需要查看的事件右侧，单击“查看事件”，弹出一个窗口，显示了该操作事件结构的详细信息。

冻结、解冻、释放数据库资源对业务有什么影响 几种情况对业务的影响分别如下： 资源冻结时：资源将被限制访问和使用，会导致正在进程的业务中断，同时用户无法再连接到数据库实例。数据库资源被冻结后，会限制变更操作，但可以手动来进行退订操作。 资源解冻时：资源将被解冻，用户可以重新使用至数据库资源。 资源释放时：资源将被释放，实例将被删除。 怎么续费 包年/包月购买的数据库实例到期后，请在管理控制台实例管理页面进行续费操作。详细操作请参考“计费说明”中的产品续订与退订。 资源被释放后能恢复吗/退订错了可以找回吗 数据库资源到期或退订后，如果有回收站备份，可以通过回收站的备份重建实例，否则资源被释放后无法进行恢复。 退订数据库资源无法找回。退订数据库资源前需要请进行仔细确认相关信息。 为什么MySQL实例停止后，还在继续计费 关系数据库MySQL版实例停止后，使用虚拟机（VM）、数据占用的存储资源将停止计费，但其余资源包括弹性公网IP（EIP）、备份使用的存储资源和数据库代理等仍会正常计费。 如何删除MySQL实例 如果是非运行中的数据库实例不能进行删除（例如创建中、重启中、扩容中、参数设置中、备份恢复中等操作），只有运行中的数据库实例才能进行删除。 删除数据库实例可以在管理控制台对数据库实例进行退订操作，详细操作请参考“计费说明”中的产品续订与退订。

本节介绍了公网IP相关问题与处理方法。 场景排查 1. 检查安全组规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。 解决方案 1. 检查安全组规则。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 检查弹性云主机网卡对应的安全组是否放通了“入方向”的“ICMP”规则。 表 安全组规则 放向 类型 协议和端口 原地址 入方向 IPv4 Any：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 2. 检查“ 网络ACL”规则。 排查“网络ACL”是否放通。查看“网络ACL”状态，查看当前是开启状态还是关闭状态。 检查“弹性IP”绑定的网卡是否在“网络ACL”关联的子网下。 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 说明 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 3. 相同区域主机进行ping测试。 在相同区域的弹性云主机去ping没有ping通的弹性公网IP，如果可以正常ping通说明虚拟网络正常，请联系客服获取技术支持。

操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库 TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 设置安全组规则。 在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 步骤 6 在“入方向规则”子页签下单击“添加规则”，在“添加入方向规则”弹出框中填选安全组信息，单击“确定”。 单击“+”可以依次增加多条入方向规则。 表 入方向参数说明 参数 说明 取值样例 ::: 协议端口 安全组规则作用的协议。 目前支持“全部方通”、“全部TCP”“自定义TCP”、“全部UDP”、“自定义UDP”“ICMP”和“GRE”等协议。 选择“全部放通”，表示全部协议端口。 自定义TCP 协议端口 端口：允许远端地址访问弹性云主机指定端口。 通过内网连接实例 时，输入已购买弹性云主机的目标实例的端口。 单个端口：例如22 连续端口：例如2230 全部端口：为空或165535 地址 源地址：可以是IP地址、安全组。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 操作 支持复制或删除一条安全组规则。只有一条安全组规则时不能删除。

本节介绍 Web应用防火墙（独享版）续订规则及操作步骤。 适用范围 续订仅针对包月包年计费方式。 按需资源及包月包年转按需资源不可续订。已退订或已释放资源不可续订。按需计费模式不需要续费，只需要保证账户余额充足即可。 续订规则 包月包年资源开通成功后，用户可对其进行续订操作。 若资源到期后续订，续订周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 操作步骤 您可以通过手动续订或自动续订的方式进行续订Web应用防火墙（独享版）。 手动续订 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角，选择区域。 步骤3 单击页面左上方的，选择“安全 >Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“独享引擎”，进入“独享引擎”页面。 步骤5 点击实例列表右侧“续费”。 步骤6 跳转至续订管理页面，选择需要续订的时长，点击右下角“确定提交”。 步骤7 在支付页面确认支付信息后，点击右下角“立即支付”。 步骤8 支付成功。

本文介绍如何创建服务。 云容器引擎为满足多种复杂场景下应用间的互相访问，提供了不同的访问方式，从而满足不同场景提供不同访问通道。本平台暂时支持的服务类型（Service）包括：集群内访问（ClusterIP）和节点访问（Nodeport）两种类型，集群内访问表示可以被同个集群内的其他应用访问，节点访问可以将service暴露给外部使用。 操作步骤 1.单击左侧控制台导航栏的【资源管理】>【网络管理】，将默认进入【服务】管理页面； 2.点击【创建服务】，进入服务创建页面，惨照下表设置参数，其中带“”的参数为必填参数； 参数 参数说明 服务名称 新建服务的名称 集群 服务所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 服务所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 关联应用 选择需要添加Service的工作负载（如果还未创建应用请优先创建有状态应用或无状态应用） 访问方式 “集群内访问 ( ClusterIP )”、“节点访问（Nodeport）” 端口映射 . 协议：请根据业务的协议类型选择TCP、UDP . 容器端口：应用程序实际监听的端口 . 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问应用时使用 . Nodeport: 绑定到节点上的端口，默认取值范围为3000032767 . 添加端口配置：点击添加端口配置新增一行端口映射 3.单击【创建】，等待创建成功，创建成功后将自动返回服务列表页，可对已经创建的服务可以编辑YAML、更新、删除的操作。

操作场景 开启了云审计服务后，系统开始记录CCE资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击页面上方的“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 步骤 3 单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤 4 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。其中，事件来源选择“CCE”。 当筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 步骤 4 在需要查看的记录左侧，单击展开该记录的详细信息，展开记录如图171所示。 图 展开记录 步骤 5 在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，如图172所示，显示了该操作事件结构的详细信息。 图 查看事件

本文主要介绍Web容器 Web容器监控项可以对Web容器的访问进行监控，可以监控的Web容器包含Tomcat等类型。本章节主要对查看Tomcat监控进行介绍。 查看Web容器 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击待查看接口调用的环境后的。 步骤 5 单击“Web容器”，切换至Web容器页签。默认展示“全部实例”的“Tomcat监控”信息。 tomcat线程指标包括：name、当前线程数、busy线程数、busy线程数峰值、最大线程数、最大连接数、当前连接数、连接数峰值。 版本指标包括：版本。 图 查看Web容器 当前线程数、busy线程数、busy线程数峰值等的蓝色字体数值，可以查看所选时间段内该Web容器的趋势图。 单击版本，可以查看对应版本详情。 步骤 6 在Web容器页签选择您想要查看的“实例名称”和“指标选择”，可以查看该实例在对应采集器下的不同指标集下的应用监控数据。 图 选择实例和指标