SSL证书或证书管理服务到期前30天,天翼云将会自动为您续期证书。对于手动验证域名的证书,您需及时验证域名。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行域名验证（“状态/申请进度”为“申请审核中待域名验证”）的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 2. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

SSL证书或证书管理服务到期前30天,天翼云将会自动为您续期证书,请配合天翼云验证域名。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行域名验证（“状态/申请进度”为“申请审核中待域名验证”）的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 2. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

本章节主要介绍新版RDA中，主机迁移服务场景云环境配置模板信息。 云环境配置模板参数说明 参数 说明 是否必填 名称 自定义云环境名称 是 区域ID 云环境所在区域ID 是 ECS节点 所在区域ECS终端节点 是 IAM节点 所在区域IAM终端节点 是 IMS节点 所在区域IMS终端节点 是 VPC节点 所在区域VPC终端节点 是 EVS节点 所在区域EVS终端节点 是 SMS节点 填写安装RDA的服务器IP地址和SMS插件的启动端口。格式为：IP地址:启动端口，例如：127.x.x.x:xxxxx IP地址要求是源端服务器可以访问到安装RDA服务器的公网IP/私网IP。 启动端口获取方法请参考安装SMS插件章节。 是 Agent桶域名 请下载SMSAgent安装包，并上传至可以访问的OBS桶中，将存放SMSAgent的OBS桶所在的终端节点填写在此处。公有云场景可使用天翼云提供的桶地址。 是 EPS节点 所在区域EPS终端节点 否 Linux代理镜像 提供Liunx代理镜像执行写入功能。填写LinuxAgent.zhvd文件生成的镜像ID。详情参考云环境配置。 源端为Linux系统时必填。 Linux自动创建BIOS镜像 提供自动创建BIOS服务器的功能。 LinuxServer.zvhd文件生成的镜像ID。详情参考云环境配置。 源端是BIOS启动的Linux服务器，Linux代理镜像和Linux自动创建BIOS镜像必填。 Linux自动创建UEFI镜像 提供自动创建UEFI服务器的功能。填写LinuxServer.zvhd文件生成的镜像ID。详情参考云环境配置。 源端是UEFI启动的Linux服务器，Linux代理镜像和Linux自动创建UEFI镜像必填。 Windows代理BIOS镜像 提供Windows代理镜像执行写入、自动创建BIOS服务器的功能。 详情参考云环境配置。 源端为Windows系统时必填。 Windows自动创建UEFI镜像 提供自动创建UEFI服务器的功能。 详情参考云环境配置。 否 KMS地址 填写Windows激活地址。若没有搭建KMS服务器，填写127.0.0.1即可。 是

本节主要介绍如何在智能视图服务控制台使用设备轮巡功能。 设备轮巡是指在实时预览页面巡回播放多路视频源，支持轮巡根目录和轮巡子目录。 轮巡根目录：点击设备树右上方的【轮巡根目录】按钮，即开始轮流播放该业务组下的所有在线视频流。 轮巡子目录：点击子目录右侧的【更多轮巡】，即开始轮流播放该子目录下的所有在线视频流。 开始轮巡后，用户可在左侧自定义配置间隔时间，操作暂停或结束轮巡。

本节为您介绍云迁移服务CMS数据迁移工具添加源节点操作。 1. 进入“数据迁移工具”，点击左侧导航栏 【数据源管理】进入 [数据源管理] 界面 。 2. 点击 【添加数据源】按钮，进入[添加数据源]界面，选择【源节点】按钮。 3. 输入数据源名称，选择数据源类型，输入数据源对应的连接方式。 4. 填写信息完成后，点击【添加数据源】按钮，完成添加，平台显示“添加成功”。 5. 可以在 [数据源管理] 界面，看到刚刚添加的源节点。

测试步骤 1. 配置参数 根据测试模型，修改 workloada 配置中的 recordcount、operationcount、readproportion、insertproportion 和 updateproportion，相关参数请参见文档数据库服务性能白皮书副本集测试数据。 recordcount10000000 operationcount10000000 workloadsite.ycsb.workloads.CoreWorkload readallfieldstrue readproportion0.5 updateproportion0.5 scanproportion0 insertproportion0 readmodifywriteproportion0 requestdistributionzipfian 2. 数据加载 ./bin/ycsb load mongodb s P workloads/workloada p mongodb.url"mongodb://user:pwd@ip1:port,ip2:port,ip3:port/ycsb?authSourceadmin&w0" threads xx > outputLoad.txt 3. 性能压测 ./bin/ycsb run mongodb s P workloads/workloadb p mongodb.url"mongodb://user:pwd@ip1:port,ip2:port,ip3:port/ycsb?authSourceadmin&w0" threads xx > output.txt

本节介绍物理服务器是否可以使用漏洞扫描服务。 当您的物理服务器为Linux操作系统，且满足以下版本要求时，如果您的物理服务器可以远程登录，则可以通过添加跳板机的方式使用漏洞扫描服务。 EulerOS：支持的最低系统版本为EulerOS 2.2。 CentOS：支持的最低系统版本为CentOS 6.5。 RedHat：支持的最低系统版本为Red Hat Enterprise Linux 6.10。 Ubuntu：支持的最低系统版本为Ubuntu 16.04 server。 SUSE：支持的最低系统版本为SUSE Enterprise 11 SP4。 OpenSUSE：支持的最低系统版本为OpenSUSE 13.2。 Debian：支持的最低系统版本为Debian 8.2.0。 Kylin OS：支持的系统版本为Kylin OS V10 SP1。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 在“添加主机”页面，单击“添加主机”，参数说明如下表所示。 参数说明： 参数名称 参数说明 配置示例 主机名称 用户需要添加的主机名称。 vsstest IP地址 添加主机的公网IP地址。 192.168.2.3 是否使用跳板机 选择“是”。 是 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 5. 新增跳板机。 1. 单击“新增跳板机”。 2. 在弹出的对话框中，设置跳板机参数，如下图所示，相关参数说明如下表所示。 跳板机配置参数说明： 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 6. 单击“下一步”，添加主机完成。 7. 在添加的主机所在行的“操作”列，单击“配置授权信息”。 8. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 9. 单击“确定”，完成主机授权。

本节主要介绍创建克隆卷的前置条件。 说明 仅支持本地卷创建克隆卷。 创建克隆卷时，可以选择是否修改克隆卷的参数。如果不修改，继承源卷的参数，如果修改，可以按照下列步骤执行。 1. 在Cinder的配置文件/etc/cinder/cinder.conf中修改源卷对应的卷类型参数。支持修改的参数详见下表，如果不修改，默认与源卷的参数保持一致。 参数 描述 storpath 指定HBlock存储卷数据的数据目录（仅单机版支持）。 说明 如果创建卷时不指定数据目录，使用服务器设置的默认数据目录。 servernumbers Target所在的服务器数量（仅集群版支持）。 整数形式，取值为[2, n]，n为集群内服务器的数量。 faultdomains 卷的服务端连接位置信息。根据存储池的故障域，创建Target所在服务器的列表（仅集群版支持），以便创建LUN时，LUN关联的Target优先从该服务器列表中选择所在服务器。例如存储池为rack级别，其拓扑图涵盖rack1、rack2、rack3、rack4中的节点，且faultDomains指定rack1、rack2，那么创建LUN时，LUN关联的Target优先从rack1、rack2所包含的此存储池的服务器列表里进行选择。 注意 存储池的故障域为path级别时，不能设置该参数。 如果LUN指定了高速缓存池和最终存储池，则从高速缓存池池中选择节点列表。如果LUN只指定了最终存储池，则从最终存储池中选择节点列表。 取值：以节点的形式添加，节点的级别可以到room、rack、server。可以指定多个节点，但是节点的个数要小于等于serverNumbers。支持一个节点添加多次，但是每次只能选一个server，并且选择的server不能与前面重复。如果一个节点出现的次数过多导致节点内的全部server都被选择，则系统会忽略此节点，从后面的节点中继续选择。 cachepool 指定缓存存储池（仅集群版支持）。如果指定了缓存存储池，卷数据首先写入缓存存储池，然后再存入存储池。 注意 存储池与缓存存储池不能是同一个存储池。 highavailability 选择卷的高可用类型（仅集群版支持）： ActiveStandby：启用主备，该卷关联对应Target下的所有IQN。 Disabled：不启用主备，该卷关联对应Target下的1个IQN。 localstorageclass 卷冗余模式（仅集群版支持）。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 ECN+M：纠删码模式。其中N、M为正整数，N>M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。 minreplica 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数。对于EC卷，取值范围是[N, N+M]。 redundancyoverlap 卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。 取值：对副本模式，取值范围是[1，副本数]，默认值为1；对于EC模式，取值范围是[1，M+N]，默认值为1。 ecfragmentsize 纠删码模式分片大小（仅集群版支持）。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。 sectorsize 设置扇区大小。 取值：512、4096，单位为Byte。 writepolicy 卷的写策略： WriteBack（wb）：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough（wt）：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround（wa）：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 2. 重启Cinder服务。 如果使用DevStack方式安装OpenStack，重启Cinder服务命令如下： plaintext systemctl restart devstack@c 如果使用Packstack安装OpenStack，重启Cinder服务命令如下： plaintext systemctl restart openstackcinder 3. 通过快照方式创建新卷或者通过卷方式创建新卷。

本页介绍天翼云TeleDB数据库的单中心容灾部署方案。 单中心容灾部署是指单个数据库中心内部实现数据备份和恢复，以确保在单点故障情况下，系统能快速恢复并继续提供服务。 说明 单点故障是指网络设备的单点故障（如交换机、网卡）、物理设备的单点故障（如机架电源、风扇）和硬件、系统或软件的单点故障（如物理服务器磁盘、内存等）。 单中心容灾部署方案 单中心容灾部署主要通过以下几种方式实现。 多副本机制：在数据库中心部署多个副本，确保即使某个节点故障，其他副本仍然可以使用。 高可用设计：采用高可用设计，如主从复制，以减少单点故障风险。 故障切换与恢复机制：当检测到节点故障，能自动切换到备用节点。 数据备份与恢复策略：定期备份数据，以确保故障时能快速恢复数据，减少数据丢失的风险。 TeleDB 数据库内核的各个组件，包括GTM、CN、DN和TeleDB管控资源全生命周期管理等都必须采用一主两从的部署模式，确保即使某个节点发生故障，采用主用切换的方式仍然可以保证业务连续。交换机、网卡等网络设备具备容灾能力。

本文主要介绍如何删除IP地址组。 操作场景 本章节指导用户删除IP地址组。 说明 删除IP地址组，也将删除IP地址组使用的安全组规则和网络ACL规则。 删除IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“删除”，删除IP地址组。删除IP地址组会同时删除该地址组关联的安全组规则。

您可以使用天翼云云监控产品来监控您的物理机，云监控支持自动实时监控、告警配置和告警通知，让您更好地掌握物理机的运行状态和各项性能指标。 指标监控 对物理机的各项运行指标进行实时监控，还可以查询历史的监控指标情况。 监控告警 通过配置告警规则，在指标发生异常的第一时间对您进行提醒。及时发现问题并处理，可以有效保障部署在物理机上的服务持续可用。 更多内容请参见云监控。

本节为内容审核产品的退订说明。 退订说明：内容审核产品的图片鉴黄、图片涉暴恐识别、文本涉黄审核、文本涉政审核服务开通后7天内如无调用接口支持退订，退订后即可关闭。 退订地址：我的—费用中心—订单管理—退订管理。 ● 另外，您可通过天翼云官网工单或者客服电话【4008109889】沟通申请退款，款项会原路退回。

本节介绍了如何创建云数据库GaussDB 的告警规则。 操作场景 通过设置数据库告警规则，用户可自定义监控目标与通知策略，及时了解数据库运行状况，从而起到预警作用。 设置的告警规则包括设置告警规则名称、资源类型、维度、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数。 设置告警规则 步骤 1 登录管理控制台。 步骤 2 选择“管理与监管 > 云监控服务 CES”。 步骤 3 在左侧导航树栏，选择“告警 > 告警规则”。 步骤 4 在“告警规则”界面，单击“创建告警规则”进行添加。

配置项 描述 协议 支持HTTP、TCP、UDP三种协议类型。 HTTP：七层监听，适用于需要对数据内容进行识别的场景。 TCP：四层监听，适用于注重可靠性、对数据准确性要求高的场景。 UDP：四层监听，适用于对实时性要求较高、对可靠性要求不高的业务场景。 前端端口号 负载均衡实例对外提供服务的端口。同一个弹性负载均衡实例下，不同监听器的端口不能相同。 健康检查路径 负载均衡检查后端应用存活状态的URI，默认为/ping。

数据安全专区支持IPv4/IPv6双栈防护，在购买数据安全专区时，可以直接选择已开启IPv6的VPC和子网。或者购买数据安全专区后，修改VPC和子网配置，开启IPv6后，重启实例后会自动分配IPv6地址。 对于新用户来说，可以创建VPC和子网时选择开启 IPv6。 对于已开通服务的用户来说，可以修改VPC和子网配置，开启IPv6后，重启实例后会自动分配IPv6地址。

如果您的设备已经绑定天翼云SDWAN，可以对设备进行流量监控。 操作场景 用户查看某个设备上的端口流量情况。 前提条件 设备已绑定天翼云SDWAN。 操作步骤 1. 登录管理与部署控制台； 2. 选择“云监控服务 >天翼云SDWAN”，单击目标SDWAN操作列的“查看监控项”； 3. 单击“智能网关”，选择需要查看监控的目标智能网关； 4. 选择查询时间间隔； 5. 可查看目标智能网关上的SDWAN流量，Internet流量，各个端口的流入/流出流量云业务流入/流出流量、带宽利用率等。

本文介绍如何通过天翼云SDWAN访问云上资源。 操作场景 用户通过天翼云SDWAN服务访问云上资源，需要将天翼云SDWAN实例绑定云间高速（标准版）实例。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，进入天翼云SDWAN实例列表页面； 3. 选中目标SDWAN实例，单机其“操作”列的“绑定云间高速（标准版）”； 4. 根据页面提示，选择待绑定的云间高速（标准版）实例及云间高速（标准版）实例下的云网关实例； 5. 单击“确定”，完成绑定。

产生用量类别 详细说明 公网上传流量 数据从源桶向目的桶复制数据，会产生公网上行流量。目前公网上行流量免费。 请求次数 服务进行复制的过程中，会产生上传对象的请求，在按需计费模式下，这部分请求会按照次数计算费用，具体参考 存储费用 数据复制后，会在目的桶产生存储空间，因此会产生存储空间费用。存储空间计费可参考

计费方式 本服务目前仅支持按需计费。 按需计费 （1）预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 （2）计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。 计费方式变更 暂不支持计费方式变更。

本章节会介绍如何设置数据库监控告警规则。 操作场景 通过设置关系型数据库告警规则，用户可自定义监控目标与通知策略，及时了解关系型数据库运行状况，从而起到预警作用。 设置关系型数据库的告警规则包括设置告警规则名称、服务、维度、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数。 操作步骤 步骤 1 登录管理控制台。 步骤 2 选择“管理与部署 > 云监控”。 步骤 3 在左侧导航树栏，选择“告警 > 告警规则”。 在“告警规则”界面，单击“创建告警规则”进行添加。

本文主要介绍如何修改IP地址组基本信息。 操作场景 本章节指导用户修改IP地址组。 说明 修改IP地址组，相应安全组规则和网络ACL规则的源地址范围也会随之改变。 修改IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“修改”，可以对IP地址组信息进行修改，包括名称、IP地址、描述。

本文为您介绍如何使用KMS中的用户主密钥，快速实现少量数据的在线加解密。 KMS提供针对敏感信息的加密能力，适用于保护小型敏感数据（小于6KB），如口令、身份信息、证书、后台配置文件等。 通过密钥管理服务KMS的在线加密API，使用用户主密钥（CMK）直接加密敏感数据信息，而非直接将明文存储，确保敏感数据安全。 场景示意图 操作流程（以证书加密为例） 1. 通过KMS控制台或者调用CreateKey接口，创建一个用户主密钥（CMK）。 2. 调用KMS服务的Encrypt接口，将明文证书加密为密文证书。 3. 将密文证书部署在服务器上。 4. 当服务器启动需要使用证书时，调用KMS服务的Decrypt接口将密文证书解密为明文证书。 相关API 您可以调用以下KMS API，轻松完成对数据的加密或解密操作。 API名称 说明 createKey 创建用户主密钥（CMK）。 encrypt 指定CMK，直接输入明文数据，由KMS在线加密数据。 decrypt 解密由encrypt接口加密的数据，不需要指定CMK即可完成在线解密。 操作步骤 1. 通过密钥管理服务控制台创建用户主密钥CMK。 2. 通过OpenAPI在线加密接口，对敏感数据进行加密。 请求参数说明 参数 是否必填 参数位置 参数类型 说明 cmkUuid 是 body String 主密钥（CMK）的全局唯一标识符。 plaintext 是 body String 待加密明文（必须经过Base64编码）。 请求示例 plaintext { "plaintext": "SGVsbG8gd29ybGQ", "cmkUuid": "241ede22626146179caf10d89990516c" } 成功返回 plaintext { "code": 200, "result": { "ciphertextBlob": "MDA2NE1qUXhaV1JsTWpJdE5qSTJNUzAwTmpFM0xUbGpZV1l0TVRCa09EazVPVEExTVRaakpqUTVaV00zTm1RM0xXTmpOR010TkRBd1pTMDVaakU1TFdZNU1EQXhOVGczWVdVd1pnPT3oCYiGAy7mNTLitIlJaQ92", "cmkUuid": "241ede22626146179caf10d89990516c", "keyVersionId": "49ec76d7cc4c400e9f19f9001587ae0f" }, "statusCode": 200, "success": 1 } 返回参数说明 参数 说明 ciphertextBlob 数据被指定CMK的主版本加密后的密文。 cmkUuid CMK的全局唯一标识符。如果请求中的Cmkuuid参数使用的是CMK的别名，在响应中会返回别名对应的CMK标志符。 keyVersionId 用于加密明文的密钥版本标志符，是指定CMK的主版本。 3. 将加密后的数据存储。 根据业务的应用场景，将密文进行存储。 4. 通过OpenAPI解密接口，对密文数据进行解密。 请求参数说明 参数 是否必填 参数位置 参数类型 说明 ciphertextBlob 是 body String 主密钥（CMK）加密的数据密钥的密文。 成功返回 plaintext { "statusCode": 800, "returnObj": { "code": 200, "result": { "cmkUuid": "8bca8f33d42a448a866ba064f44b29b7", "keyVersionId": "73670b284eea4260b497ae0334cc0c85", "plaintext": "sc7280+klUSln3Y9FHdfKGUT+6kPrcIMW41uZQeXxGU" }, "statusCode": 200, "success": 1 } } 返回参数说明 参数 说明 cmkUuid CMK的全局唯一标识符。如果请求中的Cmkuuid参数使用的是CMK的别名，在响应中会返回别名对应的CMK标志符。 keyVersionId 密钥版本ID。主密钥版本的全局唯一标识符。 plaintext 解密后的明文经过Base64编码的后的值。

如果您精通K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理。本文主要介绍如何在CAE应用中配置PostStart、PreStop和TerminationGracePeriodSeconds。 功能介绍 Pod hook（容器钩子）是由Kubernetes管理的kubelet组件发起的机制，用于在容器的生命周期的关键阶段执行自定义任务。这些阶段包括容器进程启动前（preStart）和终止前（preStop）。钩子的引入使Kubernetes能够更加灵活和精细地管理容器的生命周期。 启动后处理（PostStart设置）：是容器生命周期中的一种钩子，该钩子在容器被创建后立刻触发，通知容器它已经被创建。该钩子不需要向其所对应的hook handler传入任何参数。如果该钩子对应的hook handler执行失败，则该容器会被关闭，并根据该容器的重启策略决定是否重启该容器。 停止前处理（PreStop设置）：是容器生命周期中的一种钩子，该钩子在容器终止前触发，通常用于执行清理操作或优雅地关闭服务。其对应的hook handler必须在Kubernetes向容器发送终止信号（如 SIGTERM）之前完成。无论hook handler的执行结果如何，一旦其完成，Kubernetes将向容器发送SIGTERM信号以终止容器，并根据配置等待一段时间后强制删除容器。 优雅下线超时设置（TerminationGracePeriodSeconds）：其主要作用是为容器的优雅终止提供时间保障，确保应用能够在被强制停止之前完成必要的清理和关闭操作。这不仅有助于提升系统的稳定性和可靠性，还能避免因强制终止导致的数据丢失、请求失败和服务不可用等问题。结合 PreStop钩子可以实现完整的优雅下线流程。

当Linux操作系统云主机/etc/passwd文件损坏时,可参考此文进行修复 操作场景 本节操作适用于Linux操作系统云主机，出现因/etc/passwd文件损坏导致云主机无法登录的问题。 说明 本节操作为紧急恢复系统方法，需要在单用户模式下会将系统备份初始备份/etc/passwd文件替换已损坏的/etc/passwd文件，该操作会造成自行添加的用户丢失（包括应用运行的用户，可以参考/etc/shadow文件添加其他账号）。 本节操作涉及重启云主机操作，重启云主机会造成业务中断，请谨慎操作。 问题描述 Linux系统中多个服务启动失败：Failed to start Login service 、Filed to start Authorization service。 待系统启动后登录，提示密码错误。 根因分析 /etc/passwd和/etc/shadow文件记录所有的用户信息，每个用户都有一个对应的记录行，如果该文件损坏或者误删除会导致登录服务（systemdlogind.service）启动失败，因此用户无法登录。 处理方法 1. 使用控制台提供的远程登录方式登录云主机。单击远程登录操作面板上方的“发送CtrlAltDel”按钮，重启虚拟机。 2. 确认开始重启后，立即反复单击上下键，阻止系统继续启动，在出现内核选项时按字母键e进入内核编辑模式。 3. 找到linux16行末尾，删除不需要加载的参数（ro参数开始到末尾）。修改ro为rw，以读写方式挂载根分区。并添加rd.break，然后执行Ctrl+X。 4. 执行以下命令切换至/sysroot目录。

身份与访问控制是云平台安全的关键组成部分,它确保只有经过授权的用户才能访问特定的资源和服务。天翼云提供了一系列身份与访问控制功能,帮助用户实现细粒度的访问管理,保护云资源的安全。 身份认证安全 严控主账号凭证：天翼云主账号是资源归属与计费的核心主体，拥有全量资源访问权限。建议仅使用密码登录控制台，不创建主账号访问密钥（AK/SK） ，减少因密钥泄露导致的全局风险；若需通过 API/SDK 调用服务，请勿直接将访问密钥嵌入到代码中，减少访问密钥被泄露的风险。 启用多因素认证（MFA）：MFA是一种非常简单的安全实践方法，建议您给天翼云帐号以及您帐号中具备较高权限的用户开启MFA功能，它能够在用户名和密码之外再额外增加一层保护。启用MFA后，用户登录控制台时，系统将要求用户输入用户名和密码（第一安全要素），以及来自其MFA设备的验证码（第二安全要素）。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 创建单独的IAM用户:天翼云统一身份认证（IAM）允许用户创建多个子用户，并为每个子用户分配不同的权限策略。如果有任何人需要访问您天翼云帐号中的资源，请不要将帐号的密码共享给他们，而是在您的帐号中给他们创建单独的IAM用户并分配相应的权限，同时，作为天翼云帐号主体，建议您不使用帐号访问天翼云，而是为自己创建一个IAM用户，并授予该用户管理权限，以使用该IAM用户代替帐号进行日常管理工作，保护帐号的安全。

本节为您介绍如何对已购物理机进行实例名称修改、重置密码及重装系统操作。 物理机重装系统 操作场景 物理机操作系统无法正常启动，操作系统中毒，或物理机系统运行正常，但需要对系统进行优化，使其在最优状态下工作时，用户可以使用物理机的重装系统功能。 前提条件 物理机状态为关机状态。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机服务”。 4. 将鼠标移动至目标物理机的“操作”列，在“更多 > 重装系统”，进入“一键重装”界面。 5. 在“重装选择”下拉框中，选中所需的操作系统及版本。如下图所示： 6. “主机名称”默认为原名称，同时也支持修改。 7. 如果此实例带本地盘，则可配置“磁盘RAID是否重置”： (1) 若选择不重置，则在系统重装过程中不会重置RAID。 (2) 若选择重置，则在系统重装过程中会重置RAID。即使您选择的RAID方式与重装前的RAID方式一致，也会重置RAID。RAID的相关概念、特性及如何构建RAID，可参见文档配置RAID。 8. 对“密码”进行配置后，单击“确定”进行系统重装。 说明 密码长度限制8到30个字符 必须包含大小写字母，同时必须包含一个数字或者特殊字符(()~!@

本章节进行API网关整体介绍 概述 API网关是API 托管服务，提供 API 的完整生命周期管理，包括创建、维护、发布、运行、下线、运维监测、安全管控等阶段。通过API网关服务，可以将您的数据、业务逻辑或功能安全可靠的开放出来，以快速建设以API为核心的系统架构，为业务系统、合作伙伴提供连接。 消费者 消费者通常是网关的调用方，比如可以是客户端程序等，所以通常也可以称为应用；当消费者请求路由到网关时，网关会对消费者进行识别。网关要判断这个调用者有没有访问当前路由的权限，如果没有，网关就会拒绝当前请求，否则就会通过路由请求并对请求进行进一步的处理。识别过程我们叫做鉴权，那么鉴权之前，为确保具有路由请求的权限，以允许对应消费者访问路由，会给目标路由进行授权，也即是消费者授权或者叫做应用授权。 摘要签名认证 当前网关支持的认证鉴权方式为摘要签名认证方式。API网关提供前端签名及验签能力，前端签名及验签主要两点用途： 1. 验证客户端请求的合法性，确认请求中携带授权后的AK生成的签名。 2. 防止请求数据在网络传输过程中被篡改。 API的拥有者可以在网关控制台的应用管理页面生成APP，每个APP会携带一对签名密钥（APP Key和APP Secret），API拥有者将API授权给指定的APP（APP可以是API拥有者颁发或者API调用者所有）后，API调用者就可以用APP的签名密钥来调用相关的API了。

参数 是否必填 参数类型 说明 示例 下级对象 concurrency 否 Integer IstioProxy线程数 2 enableCoreDump 否 Boolean 核心转存 false enableDnsCapture 否 Boolean 是否开启istio内置dns false enableElegantTermination 否 Boolean 是否开启优雅终止 false excludeIPRanges 否 String 不拦截对外访问的地址范围 127.0.0.1 excludeInboundPorts 否 String 设置端口使入口流量免于经过Sidecar代理 80,8080 excludeOutboundPorts 否 String 设置端口使出口流量免于经过Sidecar代理 80,8080 holdApplicationUntilProxyStarts 否 Boolean 生命周期管理 true includeIPRanges 否 String 拦截对外访问的地址范围 192.168.0.0/16 includeInboundPorts 否 String 设置端口使入口流量经过Sidecar代理 443 includeOutboundPorts 否 String 设置端口使出口流量经过Sidecar代理 443 interceptionMode 否 String Sidecar对入向流量的拦截策略，REDIRECT：默认的拦截策略，Sidecar将使用重定向方式拦截入向流量。TPROXY：透明代理拦截策略，Sidecar将以透明代理的方式拦截入向流量。NONE:不拦截流量 REDIRECT lifecycleStr 否 String Sidecar代理生命周期JSON字符串 logLevel 否 String 日志等级，如果不设置则为warning info outboundTrafficPolicy 否 String 出向流量策略。取值：ALLOWANY：允许访问所有外部服务。REGISTRYONLY：只能访问注册到网格内的服务。 ALLOWANY proxyMetadata 否 Map of String 环境变量 proxyStatsMatcher 否 Object 统计相关指标 CustomProxyConfigProxyStatsMatcher selector 否 Map of String workload的标签选择器 sidecarProxyInitResourceLimit 否 Object Sidecar代理初始化容器资源限制 ResourcesLimitReq sidecarProxyInitResourceRequest 否 Object Sidecar代理初始化容器资源最低申请额度 ResourcesRequestReq sidecarProxyResourceLimit 否 Object Sidecar代理容器资源限制 ResourcesLimitReq sidecarProxyResourceRequest 否 Object Sidecar代理容器资源最低申请额度 ResourcesRequestReq terminationDrainDuration 否 String Istio Proxy终止等待时长 5s

容器可写层存储空间限制 容器产生的数据大小限制为512 MB或10 GB（同函数高级配置项中的磁盘大小一致） 解释 容器可写层数据会随着容器被销毁而删除。如果需要持久化存储，可以考虑使用函数计算挂载NAS或者ZOS。可以在函数配置 >存储中配置。 镜像架构限制 目前函数计算仅支持AMD64镜像架构，因此，针对ARM架构的机器(比如搭载M系列芯片的Mac电脑），构建镜像时需要指定镜像的编译平台为Linux/Amd64。参考命令如 docker build platform linux/amd64 t $IMAGENAME .。 解释 构建完成后，可执行 docker inspect进行检查。如果返回内容包含 "Architecture" : "amd64"，则表示构建的镜像正确。 HTTP Server配置要求 容器镜像启动的服务必须要监听函数配置的监听端口。 函数配置的监听端口默认是9000。如果容器镜像使用默认的监听端口，那么实现的 HTTP Server监听的端口也必须是9000。 同理，如果监听端口是8080，那么实现的HTTP Server监听的端口也必须是8080。 公共请求头 容器镜像函数的公共请求头和自定义运行时函数的公共请求头一致。更多信息，请参见自定义运行时上下文。 日志格式 容器镜像函数中所有打印到标准输出（Stdout）的日志会自动收集到您指定的日志服务中。关于配置日志功能的具体操作，请参见配置日志。 容器镜像函数的日志格式与自定义运行时函数的日志格式一致。更多信息，请参见函数日志格式。

本章节介绍数据库安全应用场景。 安全等保合规 数据库安全服务要满足政企、能源、金融、医疗、教育、网络货运等行业的等保二级、三级监管要求，需要对云上数据库进行安全审计，符合国家法律、行业监管的要求。 《等级保护2.0》中明确提到需要数据库审计提供集中审计功能。 《信息安全等级保护测评》第八章测评单元指出，企业测评单元应该包括以下要求：综合安全审计系统、数据库审计系统等提供集中审计的系统。 数据库审计 无论是自建数据库还是云数据库，都有可能面临来自内外网络的恶意攻击，以及内部人员各类误操作导致的数据损失。当出现数据被删除、信息被篡改、敏感信息泄漏等重大安全事件时，必须要进行全面的事件还原和严肃的追责处理。 天翼云数据库安全服务通过部署数据库安全审计Agent或者云原生RDS免Agent模式，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库以及RDS数据库的安全审计，对数据库内部违规和不正当操作的定位追责。 数据库安全检测 数据库日常运行的风险除了内部违规和不正当操作外，还有来自于SQL注入、拖库、洗库、撞库、日志异常等导致的性能问题。 天翼云数据库安全检测提供SQL注入、风险操作、日志异常行为检测等安全检测功能，用于检测数据库使用过程中的数据安全风险。用户可根据自身业务需求，选择启用适当的数据安全检测规则，完成数据库安全检测。

本章介绍天翼云关系型数据库的备份原理和方案 RDS实例支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 关系型数据库通过Sysbench导入数据模型和一定量的数据，备份后压缩比约为80%。其中，重复数据越多，压缩比越高。 压缩比备份文件占用的空间/数据文件占用的空间100%。 备份类型 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即事务日志备份。RDS系统自动每5分钟对上一次全量备份，或增量备份后更新的数据进行备份。 备份原理 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持HA高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。 备份原理图

新增访问密钥时忘记下载，如何重新下载找到密钥文件？ 删除密钥重新生成即可。并且为了安全，最好每3个月重置密钥。 accesskey能否删除？ 支持删除。 是否可以设置密码有效期？ 支持。登录官网后，在账号中心安全设置密码策略密码有效期策略中设置。IAM用户与主账号保持一致。 天翼云官网账号如何修改绑定手机号？ 登录官网以后点击头像下方的“个人中心”进入“安全设置”页面更换手机号，验证原手机号的验证码以后即可更换新的手机号。详情可参考：更换手机号 无法收到短信验证码怎么办？ 1. 网络通讯异常可能会造成短信丢失，请重新获取或稍后再试。 2. 请核实手机是否已停机，或者屏蔽了系统短信。 售前、售后问题可以通过哪些方式解决？ 用户遇到售前、售后问题时，可以通过以下几种方式解决： 咨询热线 用户可拨打客服热线咨询售前、售后问题。咨询热线：4008109889 帮助文档 用户在官网首页点击顶部导航“文档“进入帮助中心页面，然后点击上方的产品导航快速查找产品，点击相应产品即可进入产品文档，自助解决问题。 智能客服 用户可点击官网首页右侧“服务与建议“，选择“ 智能客服” 进入在线客服界面，选择人工服务 提交工单 1、登录天翼云官网，点击顶部导航“管理中心“进入总览页面。 2、在总览页面点击右上侧“更多工单新建工单”进入工单页面，选择“提交工单”。 3、创建工单。根据遇到的问题，选择问题所属产品、选择问题分类，创建工单。 4、填写工单 。根据实际情况和工单页面提示，填写工单内容，如果有报错截图，可以将图片上传。 5、确认信息后点击“确定提交”即可。提交工单后，天翼云工程师会即时进行处理。