本节主要介绍网络ACL的组成、功能特性、应用场景和使用限制。 网络ACL作为对子网可选的安全防护功能，基于网络ACL的规则对子网的出入方向数据流进行控制，实现子网粒度流量的精细化访问控制管理。网络ACL按需创建，其具有VPC属性，网络ACL只可关联其所属VPC下的子网，且每个子网只可关联一个网络ACL。通常可以将具有相同访问控制的多个子网关联到一个网络ACL。 网络ACL可以结合安全组一起使用实现对子网下的虚拟机的双重防护。 网络ACL的访问控制通过ACL规则实现，可以在网络ACL中按需添加ACL规则实现访问控制。 功能特性 网络ACL未配置策略规则时，出入方向均默认为允许，若需拒绝则需要添加对应的拒绝策略规则。 网络ACL是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。 子网可以按需关联到网络ACL，一个子网只能关联一个网络ACL，具有相同访问控制属性的多个子网可以关联到一个网络ACL。 默认放通同一子网内的流量。 网络ACL策略规则的优先级高于安全组的策略规则。 注意 网络ACL已从原来的有状态变更为无状态，对新关联的子网生效。建议出入方向配置相同的策略，同时允许或拒绝。 应用场景 对子网的出入流量做访问控制，可以通过网络ACL实现。

映射 用来约束字段的类型，可以根据数据自动创建。相当于数据库中的Schema。 字段 组成文档的最小单位。相当于数据库中的Column。 Kibana Kibana是一个开源的数据分析与可视化平台，与Elasticsearch搜索引擎一起使用。您可以用Kibana搜索、查看、交互存放在Elasticsearch索引中的数据，也可以使用Kibana以图表、表格、地图等方式展示数据。 一键访问 云搜索服务的集群默认提供Kibana，无需安装部署，一键访问Kibana。 登录云搜索服务管理控制台。在左侧导航栏，单击“集群管理”进入集群管理列表。在对应集群的“操作”列，单击“Kibana”，即可打开Kibana界面。 Kibana功能 完全兼容开源Kibana可视化展现和Elasticsearch统计分析能力。 支持10余种数据呈现方式。 支持近20种数据统计方式。 支持时间、标签等各种维度分类。 Cerebro Cerebro是使用Scala、Play Framework、AngularJS和Bootstrap构建的开源的基于Elasticsearch Web可视化管理工具。您可以通过Cerebro对集群进行web可视化管理，如执行rest请求、修改Elasticsearch配置、监控实时的磁盘，集群负载，内存使用率等。 一键访问Cerebro 云搜索服务的集群默认提供Cerebro，无需安装部署，一键访问Cerebro。 登录云搜索服务管理控制台。在左侧导航栏，单击“集群管理”进入集群管理列表。在对应集群的“操作”列，单击“Cerebro”，即可打开Cerebro界面。 打开Cerebro后，需要输入集群的内网访问地址，选择其中的一个内网访问地址即可。 非安全模式登录时，输入 。 安全模式登录时，输入 ，并且输入登录安全模式的账号和密码。

本章节主要介绍使用微服务仪表盘 您可以通过仪表盘实时查看微服务运行相关的指标，根据丰富实时的仪表盘数据，对微服务做相应的治理动作。 背景说明 如果微服务应用部署在ServiceStage上，部署应用时需要设置微服务引擎，应用会自动获取服务注册发现地址、配置中心地址和仪表盘地址，不需要配置monitor地址，就可以使用仪表盘功能（当前只有Java Chassis和Go Chassis支持仪表盘地址自动发现功能）。 如果是本地启动微服务应用注册到微服务引擎，需要手工配置monitor地址，才可以使用仪表盘功能。 操作步骤 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待操作的微服务引擎，单击“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 在“仪表盘”页面，在下拉列表框选择需要查看的应用，在搜索框输入微服务名称，查询微服务，页面将展示筛选出的微服务的运行指标。 单击“查看示例图”，可以查看运行指标参数含义。 步骤 5 选择排序方式，筛选出的微服务会按照指定方式进行排序。

本文主要介绍Agent安装配置方式说明 。 安装Agent方式有如下几种，你可以根据你所使用的服务的操作系统类型、是否有多个服务器以及个人习惯选择任何一种或多种安装方式： 安装场景 支持的服务 参考章节 安装Agent（Linux） ECS、BMS 在ECS/BMS中安装配置Agent（Linux） 安装Agent（Windows） ECS 在ECS中安装配置Agent（Windows） 批量安装Agent（Linux） ECS 在ECS中批量安装Agent（Linux） 安装配置依赖： 安装Agent依赖DNS的配置和安全组配置，DNS错误或安全组规则不正确会导致Agent包下载失败。因此在安装Agent前需要首先修改DNS的配置并配置安全组规则。 安装Agent后，可以通过“修复插件配置”完成委托配置和文件配置。 当通过“修复插件配置”或其他原因无法完成Agent配置时，您还可以手工配置Agent。 支持安装Agent的操作系统请参见Agent支持的系统有哪些？ 对于私有镜像，推荐您使用已安装Agent的ECS或BMS制作私有镜像，并使用该私有镜像创建ECS或BMS，并在创建完资源后通过修复插件配置（ Linux ）来完成Agent的配置。 注：制作的私有镜像不支持跨Region使用，跨Region使用会导致没有监控数据。 注意 使用私有镜像安装使用Agent过程中出现任何问题，CES将不对此提供技术支持。

本页为您介绍如何开通数据库专家服务。 操作步骤 第一步，打开天翼云官网 第二步，未实名认证的用户需按提示完成实名认证才能开通数据库专家服务。 第三步，实名认证后进入数据库专家服务产品详情页快速了解产品，如需订购数据库增值服务包的，务必请先咨询客服确认天翼云能否按您的需要提供相应的服务内容，确认后单击【立即开通】。 第四步，在购买页面选择适合的计费方式，确认订单，点击【立即开通】。 第五步，服务开通后，待数据库专家服务团队进行技术评估，评估通过后，便可进入施工环节享受专家团队的服务。

如果您需要添加RDS和云数据库以外的自建数据库资产，可参考本章节进行操作。 添加自建数据库资产前，需要获取自建数据库的引擎、版本、主机等相关信息。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已获取自建数据库的引擎、版本、主机等相关信息，且自建数据库子网下含有可用的IP配额。 约束条件 只能添加数据安全中心支持的数据库类型及版本，DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostGreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在未授权数据库资产列表左上角，单击“添加自建数据库”。 6. 在弹出的“添加自建数据库”对话框中，参考下表配置数据库参数。 参数名称 参数说明 取值样例 资产名称 输入数据库对象名称。 区域 默认为当前帐号登录的区域。 ECS实例 在下拉框中选择已在ECS服务里创建的数据库实例。 安全组 选择对应的ECS实例所在的安全组名称。 default 数据库引擎 选择数据库引擎。可选择“MySQL”、“PostgreSQL”、“SQLServer”和“Oracle”。 MySQL 版本 选择数据库引擎对应的版本。 5.6 模式名 输入数据库模式名。 主机 输入数据库服务器IP地址。 端口 输入数据库服务器的端口号。 数据库名称 输入自建数据库名称。 用户名 输入访问数据库服务器的用户名。 密码 输入访问数据库服务器的密码。 7. 点击按钮“确定”，即可将数据库添加完成，并展示在已授权的数据库列表中。在数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 数据安全中心DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 数据安全中心DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败解决。

以下是APM的一些常见术语。 实例 1个应用可以部署在多台机器上，实例指的是被监控的应用所部署的机器。 探针时（agenthour） 1个探针可以监控1个应用实例，1探针时（agenthour）表示一个探针使用了1小时。3600探针时可支持1个探针使用150天，也可以是5个探针使用30天。 拓扑图 拓扑图是一种图形工具，可以用于描述和图形化各个应用之间的连接和依赖关系。如下图，圆圈代表一个服务，可通过icon和名称识别具体服务；虚线代表服务之间存在请求，显示错误数、请求数与响应时间信息。

本文为您提供指向整个VPC网段的对等连接的配置指导。 操作场景 通过配置指向整个VPC网段的对等连接，并在VPC路由表中添加对端VPC网段的路由目的地址，从而实现整个VPC内所有资源的互通。 约束与限制 对等连接两端的VPC网段必须互不重叠。在配置对等连接之前，请确保本端VPC和对端VPC的地址段没有重叠部分。 在配置对等连接时，请检查本端和对端VPC内的弹性云主机的安全组情况，确保安全组允许弹性云主机之间的访问流量通过。有关安全组的使用和配置，请参考安全组概述。 每个对等连接支持的本端路由数和对端路由数均为100条。如果您计划建立多个VPC之间的对等连接，请考虑这一限制，在规划组网时做出相应调整。 系统路由为系统默认创建，用于VPC内部通信。您不能修改系统路由。您在默认路由表或者自定义路由表中手动创建的路由规则称为自定义路由。同一张路由表下，自定义路由规则之间的目的网段不能相同；自定义路由规则和系统路由规则目的相同时，系统路由规则优先级低于自定义路由规则，默认优先匹配自定义路由规则。要了解更多关于路由表的信息，请参考路由表概述。 配置相互对等的两个VPC 为了实现两个VPC之间的资源互访，您可以按照以下方案规划您的网络架构。在此示例中，VPCA和VPCB为两个要连接的VPC，请确保VPCA和VPCB的网段不重叠。

控制台证书管理，可以创建几个证书？ 一个账号在单地域可以创建10个证书，包括服务器证书和CA证书。如有更多数量证书的需要，您可通过提工单申请提升配额。控制台创建证书请参考 创建服务器证书 和 创建CA证书 ，更多使用限制请参考 产品使用限制。 弹性负载均衡HTTPS监听器是否支持多证书？ 集群资源池弹性负载均衡的HTTPS监听器支持多个SSL证书，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。这意味着您可以在同一个负载均衡器上配置多个SSL证书来支持不同的域名或子域名的加密连接。通过使用HTTPS监听器，您可以将加密的HTTPS流量有效地分发到后端实例，这对于在同一个负载均衡器上托管多个网站或应用程序非常实用。使用不同的SSL证书可以确保每个网站或应用程序都有其独立的安全性保证。 为什么配置了证书，却访问异常？ 如果负载均衡配置了证书，但访问异常，可能有以下几个原因： 1. 证书配置错误：请确保证书的配置正确无误。检查证书是否正确上传到负载均衡器，并且与域名或主机名匹配。 2. 证书过期或无效：如果证书已过期或者无效，浏览器会拒绝连接或显示安全警告。请确保证书有效期内，并且由受信任的证书颁发机构签发。 3. 安全组或防火墙限制：检查负载均衡器、后端主机以及相关网络设备的安全组或防火墙规则，确保允许来自负载均衡器的HTTPS流量通过。 4. 其他网络问题：检查网络连接是否正常，确保网络链路畅通，防止网络延迟、丢包等问题影响访问。

本节介绍如何创建SSH授权。 Linux主机支持“SSH授权登录”授权方式。 添加Linux主机后，请参照以下操作步骤创建SSH授权。 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。

本章节主要介绍整库迁移到RDS服务。 操作场景 本章节介绍使用CDM整库迁移功能，将本地MySQL数据库迁移到云服务RDS中。 当前CDM支持将本地MySQL数据库，整库迁移到RDS上的MySQL、PostgreSQL或者Microsoft SQL Server任意一种数据库中。这里以整库迁移到RDS上的MySQL数据库为例进行介绍，使用流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建RDS连接 4.创建整库迁移作业 前提条件 用户拥有EIP配额。 用户已创建RDS数据库实例，该实例的数据库引擎为MySQL。 本地MySQL数据库可通过公网访问。如果MySQL服务器是在本地数据中心或第三方云上，需要确保MySQL可以通过公网IP访问，或者是已经建立好了企业内部数据中心到云服务平台的VPN通道或专线。 已获取本地MySQL数据库和RDS上MySQL数据库的IP地址、数据库名称、用户名和密码。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群的VPC，选择和RDS的MySQL数据库实例所在的VPC一致，且推荐子网、安全组也与RDS上的MySQL一致。 如果安全控制原因不能使用相同子网和安全组，则可以修改安全组规则，允许CDM访问RDS。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问本地MySQL数据库。 详见下图：集群列表 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

资源 说明 VPC VPC1、VPC2、VPC3隔离，这3个VPC和VPC4互通。 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16，具体路由信息如“表VPC路由表”所示。 ER 不开启“默认路由表关联”和“默认路由表传播”功能，手动创建两个路由表，并添加4个“虚拟私有云（VPC）”连接，路由表作如下配置： 路由表1：关联VPC1连接、VPC2连接、VPC3连接，并在路由表1中创建VPC4连接的传播，路由自动学习VPC网段，路由信息如“表ER路由表1”所示。 路由表2：关联VPC4连接，并在路由表2中创建VPC1连接、VPC2连接、VPC3连接的传播，路由自动学习VPC网段，路由信息如“表ER路由表2”所示。 ECS 4个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。

网络类型 使用场景 准备工作 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库灾备、或云上跨区域的数据库之间的灾备。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据灾备。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库灾备、或云上跨区域的数据库之间的灾备。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合其他云下或其他平台的数据库到目标数据库的灾备。 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 1.开启公网访问 源数据库端实例需要根据具体的场景，由用户端开启公网访问。 2.设置安全组规则源数据库需要将DRS灾备实例的弹性IP添加到其网络入口白名单内，使源数据库与DRS灾备实例可以连通。 由于目标数据库和DRS灾备实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS灾备实例创建成功后，可在“源库及目标库”页面获取DRS灾备实例的弹性公网IP。 在选择公网网络进行数据灾备同步时，如果没有开启SSL安全连接加密灾备链路的功能，请确保待灾备的数据为非机密数据，再进行数据灾备。

IPsec VPN是否会自动建立连接？ 支持自动建立连接。 两个Region创建的VPN连接状态正常，为什么不能ping通对端ECS？ 安全组默认放行了出方向的所有端口，入方向需要按照实际需要添加放行规则，确认接收ping报文的ECS安全组放行了入方向的ICMP。 IDC与云端对接，VPN连接正常，子网间业务无法互相访问？ 连接状态正常，说明两端的协商参数没有问题，排查项如下： 用户侧数据中心设备子网路由是否从网关开始逐跳指向VPN出口设备。 VPN设备有安全设置放行了子网间的数据互访。 IDC子网访问云端数据不做NAT。 确保两侧公网IP（网关IP）间访问不被阻拦。 正在使用VPN出现了连接中断，提示数据流不匹配，如何排查？ 这通常是由于云上与用户侧数据中心设备配置的ACL不匹配造成的。 1. 首先确认两端VPN连接的子网信息是否配置一致，确保云端生成的ACL与用户侧数据中心ACL配置互为镜像 2. 用户侧数据中心感兴趣流配置推荐使用“子网/掩码”的格式，避免使用网络地址对象模式，即address object模式，address object为非标模式，容易引起不兼容问题。 正在使用VPN出现了连接中断，提示DPD超时，如何排查？ 出现DPD超时的连接中断是因为两端网络访问无数据，在SA老化后发送DPD未得到对端响应而删除连接。 解决方法 1. 开启用户侧数据中心设备的DPD配置，测试两端的数据流均可触发连接建立； 2. 在两端的主机中部署Ping shell脚本，也可在用户侧数据中心的子网的网关设备上配置保活数据，如NQA。

本文帮助您了解对象存储查看桶概览的操作步骤。 操作场景 您可以通过ZOS控制台查看桶信息，以及桶的使用量。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称，进入“概览”页面。 5. 在概览页可查看桶的基本信息、域名信息、基础数据等信息。 基本/域名信息说明 参数 说明 Bucket名称 桶的名称。 ARN 桶的资源路径。 存储类型 桶的存储类型，有标准存储、低频存储、归档存储三种类型。部分资源池暂不支持低频或归档存储。 读写权限 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 地域 桶所在的地域。 创建时间 桶的创建时间。 终端节点（Endpoint） ZOS为每个地域提供Endpoint，可通过这个地址访问和调用对象存储及其功能。 Bucket外网访问 桶的域名地址，支持公网访问ZOS。 同资源池内网访问（IPV4/IPV6） 支持同资源池云主机通过内网访问ZOS，内网访问不产生公网流量。

本节主要介绍OOS产品定义。 天翼云对象存储（经典版）I型（ObjectOriented Storage，以下简称OOS）是中国电信为客户提供的一种海量、弹性、高可用、高性价比的对象存储服务。客户只需花极少的钱就可以获得一个几乎无限的存储空间，可以随时根据需要调整对资源的占用，并只需为真正使用的资源付费。OOS提供了基于Web门户和基于REST接口两种访问方式，用户可以在任何地方通过互联网对数据进行管理和访问。OOS提供的REST接口与Amazon S3兼容，因此基于OOS的业务可以非常轻松的与Amazon S3对接。用户还可以使用OOS提供迁移工具轻松地实现海量数据的移入与移出。 产品架构 访问接入层 访问接入层为用户提供了常用的4种访问方式使用对象存储服务：SDK、API、管理控制台、云存储网关。 校验层 校验层的目的是保证对象存储服务的安全性，提供AK/SK，接口校验等用户认证校验服务。 服务层 服务层主要是面向用户提供的对象存储服务，包括访问控制、用户管理、文件管理、存储桶管理等相关功能。 数据层 数据层主要是实现数据管理、数据调度、数据均衡、线性扩展等数据相关功能。 设备层 在设备层中，OOS通过计算、存储、网络三部分来支持对象存储的各项服务。

背景介绍 用户云下数据中心使用云专线接入虚拟私有云的用户，若有大量的服务器需要实现安全，可靠，高速的访问互联网，或者为互联网提供服务，可通过公网NAT网关的SNAT功能或DNAT功能来实现。云间NAT网关高速访问互联网功能仅部分资源池上线，支持资源池以控制台能力为准。 准备工作 环境准备 已创建VPC，具体操作参见虚拟私有云－创建 VPC 、子网搭建私有网络。 操作步骤 步骤一：开通云专线 步骤二：购买弹性IP 步骤三：购买NAT网关 步骤四：配置VPC路由（仅部分资源池需要） 步骤五：配置SNAT规则 步骤六：配置DNAT规则 步骤一：开通云专线 步骤说明 用户本地数据中心的服务器需要通过公网NAT网关实现访问公网或为公网提供服务，首先需要通过云专线接入虚拟私有云。 操作步骤 1. 登录天翼云控制台，选择“网络>云专线”。 2. 通过以下步骤进行云专线的开通。详细步骤参见云专线开通云专线。 在云专线开通完成后，会有一个默认专线网关，专线网关是客户站点和天翼云VPC之间的虚拟路由转发设备。作为数据从客户站点到云上VPC之间的传输桥梁，专线网关一端绑定物理专线，一端与客户站点需要访问的VPC直连。 3. 专线网关添加客户侧路由，点击专线网关名称，在客户侧路由页签下，点击添加路由，配置如下： IP类型：可选择IPv4、IPv6和双栈 客户侧子网段：客户侧子网网段 路由模式：静态或BGP 绑定入云物理专线，并设置物理专线优先级 配置完成，点击确定，完成专线网关客户侧路由。 4. 专线网关添加VPC，点击专线网关名称，在VPC页签下，点击“添加VPC”，配置如下： VPC实例类型：同账号 VPC：在下拉框中选中已创建的VPC VPC ID：跟据VPC名称自动生成 VPC网段：选则指定的VPC网段 类型：可选择IPv4、IPv6和双栈 子网：选定VPC中的子网 权重：表示当前专线网关到VPC侧路由的权重，多条路由的权重相等时采用负载均衡模式进行流量传输；某条路由的权重值越大，表示该路由优先级越高，可选择0、100 配置完成，点击确定，完成添加VPC。 5. VPC添加完成，客户侧子网将自动发布到VPC默认路由表中。下一跳为云专线网关，下一跳地址为专线网关名称，目的地址为客户侧子网网段。 6. 专线网关在添加云侧路由配置时支持基于“其他”类型的自定义地址段添加，可以配置0.0.0.0/0,用于把访问internet流量引入VPC在VPC页签下，点击VPC后的其他目的网段配置，填写目的网段IPv4：0.0.0.0/0（如不支持，请提交工单申请） 配置完成，点击确定，完成添加。

本文帮助您了解对象存储跨域访问设置的相关概念与配置流程。 跨域访问简介 跨域资源共享（CrossOrigin Resource Sharing，CORS）是HTML5提供的标准跨域解决方案。跨域访问，也叫JavaScript跨域访问，是浏览器出于安全考虑而设置的一个限制即同源策略（Same Origin Policy，SOP）。当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域，不同域之间的网站脚本和内容是无法进行交互的。 典型应用场景 只有在浏览器访问的情况下才会涉及CORS的使用，在使用客户端访问的时候无需担心出现跨域问题。ZOS提供HTML5协议中的跨域资源共享设置，帮助您实现跨域访问。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，单击Bucket名称进入“概览”页面。 5. 选择“权限管理”页面，找到“跨域设置”，点击“设置”按钮。 6. 在跨域设置页面点击“创建策略”。 7. 根据跨域规则参数配置说明完成跨域规则创建，并点击“确定”，完成创建。 跨域规则创建参数说明 参数 说明 :: 来源 指定允许的跨域请求的来源。配置规则如下：允许多条匹配规则，多条规则需换行填写。每行的域名或IP必须以 https:// 开头且不能以/结尾，支持通配符星号（ ），每行允许使用最多一个星号（ ），不支持输入空格和中文字符。若域名使用的不是默认端口，还需要携带端口号。例如： 域名配置示例如下： 匹配指定域名时，填写完整域名。例如： 匹配泛二级域名，可使用通配符星号（ ）。例如： .ctyun.cn。 匹配所有域名，可直接填写通配符星号（ ）。 允许Methods 指定允许的跨域请求方法。 允许Headers 指定允许跨域请求的响应头。配置规则如下：允许多条匹配规则，多条规则需换行填写。每条匹配规则最多使用一个星号（ ）通配符，不支持输入空格。建议没有特殊需求的情况下设置为星号（ ）。 暴露Headers 指定允许用户从应用程序中访问的响应头。例如一个Javascript的XMLHttpRequest对象。允许多条匹配规则，多条规则需换行填写。不支持使用星号（ ）通配符和输入空格。 暴露Headers配置值： ETag ContentType ContentLength CacheControl ContentDisposition ContentEncoding ContentLanguage Expires 缓存时间 指定浏览器对特定资源的预取（OPTIONS）请求返回结果的缓存时间。 说明 通过桶“概览”页面基础设置中的“跨域访问”，也可跳转至“权限管理”页面。

本节介绍密钥管理导入密钥的方法。 当用户使用KMS管理控制台创建自定义密钥时，KMS系统会自动为该自定义密钥生成密钥材料。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的“导入密钥”功能创建密钥材料为空的自定义密钥，并将自己的密钥材料导入该自定义密钥中。 注意事项 安全性 用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时，需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。 可用性与持久性 在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别，如下表所示。 密钥材料来源 区别 导入的密钥 可以手动删除密钥材料，但不能删除该自定义密钥及其元数据。 在导入密钥材料时，可以设置密钥材料失效时间，密钥材料失效后，KMS将在24小时以内自动删除密钥材料，但不会删除该自定义密钥及其元数据。建议用户在本地密钥管理基础设施中安全地备份一份密钥材料，以便密钥材料失效或误删除时重新导入该密钥材料。 KMS创建的密钥 不能手动删除密钥材料。 不能设置密钥材料的失效时间。

参数名 类型 是否必填 名称 说明 domain string 是 域名 productcode string 是 产品类型 “007”（安全加速） status int 是 状态操作类型 1（删除），2（停用），3（启用）

硬件安全模块（Hardware Security Module，HSM） 硬件安全模块也称为密码机，是一种执行密码运算、安全生成和存储密钥的硬件设备。KMS提供的托管密码机可以满足监管机构的检测认证要求，为用户在KMS托管的密钥提供更高的安全等级保证。 密钥导入（Bring Your Own Key，BYOK） 指用户可以自行导入密钥材料至用户主密钥中，KMS不会为创建的用户主密钥（CMK）生成密钥材料。 应用接入点 是一种身份验证和访问控制机制，当用户VPC内的自建应用需要访问KMS服务时，需要创建应用接入点实现私网通道打通，同时在应用接入点内完成访问权限策略配置以及身份凭证的生成。

本节介绍如何使用的安全接入点接入Kafka的方法，文档以Java代码为例。 前提条件 已配置正确的安全组。 已获取连接Kafka实例的地址。 如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 已创建弹性云服务器，如果使用内网同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。 需要用户先在用户管理页面创建用户，然后给对应的topic授予生产消费权限。 使用内网同一个VPC访问，实例端口为8092，实例连接地址从控制台实例详情菜单处获取，如下图所示。 Maven中引入Kafka客户端 java Kafka实例基于社区版本2.8.2/3.6.2，推荐客户端保持一致。 org.apache.kafka kafkaclients 2.8.2/3.6.2 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLPLAINTEXT"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); 生产者代码示例 java package com.justin.kafka.service.gw.sasl; import org.apache.kafka.clients.CommonClientConfigs; import org.apache.kafka.clients.producer.Callback; import org.apache.kafka.clients.producer.KafkaProducer; import org.apache.kafka.clients.producer.ProducerConfig; import org.apache.kafka.clients.producer.ProducerRecord; import org.apache.kafka.clients.producer.RecordMetadata; import org.apache.kafka.common.config.SaslConfigs; import org.apache.kafka.common.serialization.StringSerializer; import java.util.Properties; public class Producer { private final KafkaProducer producer; public final static String TOPIC "testtopic2"; public final static String BROKERADDR "192.168.0.11:8092,192.168.0.9:8092,192.168.0.10:8092"; public Producer() { Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLPLAINTEXT"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); props.put(ProducerConfig.ACKSCONFIG, "all"); props.put("retries",3); producer new KafkaProducer<>(props); } public void produce() { try { for (int i 0; i (TOPIC, data), new Callback() { public void onCompletion(RecordMetadata metadata, Exception exception) { if (exception ! null) { // TODO: 异常处理 exception.printStackTrace(); return; } System.out.println("produce msg completed, partition id " + metadata.partition()); } }); } } catch (Exception e) { // TODO: 异常处理 e.printStackTrace(); } producer.flush(); producer.close(); } public static void main(String[] args) { Producer producer new Producer(); producer.produce(); } }

本节介绍密钥管理的功能优势。 服务集成广泛 与对象存储OBS、云硬盘EVS、镜像服务IMS等服务集成，用户可以通过KMS管理这些服务的密钥，还可以通过KMS API完成用户本地数据的加解密。 合规遵循 密钥由经过安全认证的第三方硬件安全模块（HSM）产生，对密钥的所有操作都会进行访问控制及日志跟踪，符合国际法律合规的要求。

本页介绍了SSL证书产品的基本定义。 SSL证书是用于在Web服务器与浏览器以及客户端之间建立加密链接的加密技术，通过配置和应用SSL证书来启用HTTPS协议，来保证互联网数据传输的安全，全球每天有数以亿计的网站都是通过HTTPS来确保数据安全，保护用户隐私。

本节主要介绍GetDeleteCapacity。 此操作用来查询用户删除的容量。 请求参数 名称 描述 是否必须 Action GetDeleteCapacity。 是 BeginDate 指定查询容量的起始时间，统计数据的起始时间为开始日期（时区为：UTC+8）的00:00。 类型：Time 取值：格式为yyyyMMdd。 是 EndDate 指定查询容量的结束时间，返回数据的时间为当天日期（时区为：UTC+8）的最后一个数据。 类型：Time 取值：格式为yyyyMMdd。EndDate不能早于BeginDate。 说明 Freqby5min，EndDate与BeginDate的间隔小于1天。 FreqbyHour，EndDate与BeginDate的间隔小于7天。 FreqbyDay，EndDate与BeginDate的间隔小于30天。 是 StorageClass 指定查询的存储类型。 类型：Enum 取值: ALL：所有存储类型。 STANDARD：标准存储。 STANDARDIA：低频访问存储。 默认值为STANDARD。 否 Bucket 指定查询删除容量的Bucket名称。如果不指定Bucket名称，则表示查询账户下所有Bucket的删除容量之和。 类型：字符串 取值：3~63个字符串，只能由小写字母、数字、短横线（）和点（.）组成。 否 Region 指定查询删除容量的数据位置。如果不指定数据位置名称，则表示查询账户下所有数据位置的删除容量之和。 类型：字符串 取值： 对象存储网络：ZhengZhou、ShenYang、ChengDu、WuLuMuQi、LanZhou、QingDao、GuiYang、WuHu、WuHan、ShenZhen、SH2、SuZhou。 对象存储网络2：NeiMeng1、HangZhou1。 香港节点：HongKong。 否 Freq 指定返回统计数据的采样粒度。 类型：Enum 取值： by5min：统计数据的采样粒度为5分钟。 byHour：统计数据的采样粒度为1小时。 byDay：统计数据的采样粒度为1天。 默认值为byHour。 否

使用服务端加密方式上传文件（API） 用户也可以通过调用OBS API接口，选择服务端加密SSEKMS方式（SSEKMS方式是指OBS使用KMS提供的密钥进行服务端加密）上传文件，详情请参考《对象存储服务API参考》。 EVS服务端加密 简介 当您由于业务需求需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。 哪些用户有权限使用云硬盘加密 安全管理员（拥有“Security Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分： 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。 对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。 云硬盘加密的密钥 加密云硬盘使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)： 默认主密钥：由EVS通过KMS自动创建的密钥，名称为“evs/default”。默认主密钥不支持禁用、计划删除等操作。 用户主密钥：由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥。 使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，具体请参见下表。 用户主密钥不可用对加密云硬盘的影响 用户主密钥的状态 对加密云硬盘的影响 恢复方法 禁用 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥 计划删除 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥 已经被删除 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 取消删除用户主密钥 云硬盘数据永远无法恢复。 说明 用户主密钥为付费使用，若为按需计费的密钥，请及时充值确保帐户余额充足，若为包年/包月的密钥，请及时续费，以避免加密云硬盘不可读写导致业务中断，甚至数据永远无法恢复。

您可以在创建桶时，选择是否开启WORM功能。 如果您在创建桶时开启WORM，那么可以在桶创建后配置WORM；如果在创建桶时未开启WORM，那么在桶创建后不支持开启和配置WORM。 开启WORM功能 开启WORM (一次写入多次读取) 功能后，当前桶支持配置保留策略，受保留策略保护的对象版本在指定时间段内不能被删除。WORM功能只能在创建桶时开启, 开启后无法关闭，当前桶默认开启多版本控制且不可关闭。 开启WORM后，需配置以下参数： 默认保留策略：可以选择在创建桶时配置WORM保留策略，也可以在桶创建后配置。 默认保留模式：默认保留策略选择“配置”时，需配置该参数。当前仅支持“合规模式”，即任何用户在保留期内都不能删除受保护的对象版本，或更改其保留模式。 默认保留期：默认保留策略选择“配置”时，需配置该参数。系统将阻止在保留期内删除受保护的对象版本。可按天或年配置，填写上限为100年。按年配置取值范围为1100，按天配置取值范围为136500。 配置桶级WORM 1. 在OBS管理控制台桶列表中，单击待操作的桶，进入“对象”页面。 2. 在左侧导航栏，单击“概览”，进入“概览”页面。 3. 在“基础配置”区域下，单击“WORM保留策略”卡片，系统弹出“配置保留策略”对话框。 4. 选择“配置”，保留策略模式默认为“合规模式”，输入默认保留期。 说明 保留策略当前仅支持合规模式，即任何用户在保留期内都不能删除受保护的对象版本，或更改其保留模式。 默认保留期：系统将阻止在保留期内删除受保护的对象版本。可按天或年配置，填写上限为100年。按年配置取值范围为1100，按天配置取值范围为136500。 桶开启WORM功能后，上传对象时可以在高级配置中继承桶策略，或者配置对象级WORM保留策略。对象级WORM保留策略优先于桶级WORM保留策略生效。

本文主要介绍使用限制 为了提高实例的稳定性和安全性，文档数据库服务在使用上有一些固定限制。 功能使用限制 操作 使用限制 :: 访问实例 若文档数据库实例未开通公网访问，则必须与弹性云主机在同一个虚拟私有云子网内才能访问。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务安全组添加一条“入”的访问规则。文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 部署 实例所部署的弹性云主机，对用户不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的rwuser权限 创建实例页面只提供管理员帐户rwuser权限。 修改数据库参数设置 用户创建的参数组中大部分数据库参数可以修改。 数据迁移 可以使用mongoexport和mongoimport命令行工具等方式迁移数据，具体请参见数据迁移。 存储引擎 支持WiredTiger存储引擎。 重启实例或节点 必须通过管理控制台操作重启实例。 查看备份文件 文档数据库服务在对象存储服务上的备份文件，对用户不可见。

本章节主要介绍了如何在SQL Server管理控制台查看资源与引擎监控数据。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【监控告警】，可以看到实例资源与引擎的监控数据展示。 5. 支持历史数据查询，可以通过按钮快捷选择时间范围内（1小时，一天，近7天，近30天）的监控数据查看；也可以通过时间选择器选择自定义时间范围内的监控数据查看。 说明 除了控制台，也支持通过OpenApi门户提供的API接口来查询监控指标值。

主机Agent的覆盖 HW和重保期间需要保证所有主机均接入服务器安全卫士服务，以提高服务器安全风险防御能力。 您可以登录服务器安全卫士控制台查看“Agent管理”页面，确认主机防护状态，显示所有 Agent 的状态，并可随时调整 Agent 运行模式，导出 Agent 运行日志与报表，随时分析解决问题。 发现未安装服务器安全卫士主机，消除防护盲点 主机发现这个功能就是在用户网络环境内通过已经安装了Agent 的主机发现未安装 agent 的主机，帮用户更全面的了解其网络环境内的主机资源。 在用户的IT 运维环境中会在一部分主机上部署Agent，用户就需要能够知道还有哪些主机没有部署 Agent（一方面是用户很多时候都不知道在自己的网络环境中有多少主机，另一方面用户也会有一些主机新上线）。 执行系统管理主机发现扫描任务新建扫描，新建扫描功能可以让用户根据其需求配置一个扫描任务。所有发现的网络环境中，未安装 Agent 的主机资产。可以根据首次发现时间和最后发现时间等字段进行过滤，筛选出想要的未安装 Agent 主机列表。 完善安全防护配置并实时处理告警 全面开启入侵检测功能。 服务器安全卫士的入侵检测通用功能，包括暴力破解、异常登录、反弹shell等。 以旗舰版为例，入侵检测模块主要包含暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行八大功能。

本小节介绍态势感知的术语解释。 API API（Application Programming Interface，应用程序编程接口）是一些预先定义的函数，应用将自身的服务能力封装成API，并通过API网关开放给用户调用。API包括基本信息、前后端的请求路径和参数以及请求相关协议。 安全态势评分 以漏洞CVSS分为基础的，是系统基于当前单位的资产情况、漏洞情况、威胁情况量化出来的一个分值。分值越高，表示系统安全系数越高。 CVSS 通用安全弱点评估系统（Common Vulnerability Scoring System，CVSS）用于评估安全漏洞的严重性。 DDoS 分布式拒绝服务（Distributed Denial of Service，DDoS）指借助于客户机或服务器模式，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。 DPI流量解析 基于应用层的流量检测和控制技术，对流量进行拆包，分析包头和应用层的内容，从而识别应用程序和应用程序的内容。 恶意软件 在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。 横向移动 攻击者成功攻击一台计算机后，由该计算机横向跨越到另一台计算机，获取相关权限，进而窃取敏感信息的活动 。 漏洞 漏洞是指在操作系统实现或安全策略上存在的缺陷，例如操作系统软件或应用软件在逻辑设计上存在的缺陷或在编写时产生的错误。攻击者可以对这类缺陷或错误进行利用，从而能够在未获得授权的情况下访问和窃取您的系统数据或破坏系统。系统漏洞需要系统管理员及时处理并修复，否则将带来严重的安全隐患。

本文介绍边缘接入服务IP应用加速IP黑白名单。 功能介绍 IP黑白名单的访问控制策略，主要是通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 配置说明 新增接入，配置IP黑白名单步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 找到访问控制模块，打开IP黑白名单开关，填写IP黑白名单配置。 编辑配置，修改IP黑白名单配置步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名。 4. 修改对应的访问控制模块IP黑白名单。 注意事项 IP黑白名单是互斥的，不能同时配置，只能配置其一。 配置界面