本文为API接口鉴权签名生成指南。 完整的EOP请求，除了业务参数以外，还必须在请求头中包含以下鉴权信息： ctyuneoprequestid：请求ID eopdate：请求时间 EopAuthorization：构造的鉴权头（关键） 下面说明具体的签名生成流程。 一、准备工作 1. 获取密钥 ：登录天翼云控制台 → 账号中心 → 安全设置 → 用户AccessKey，获取ctyuneopak和ctyuneopsk。 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的用户名， 点击进入【账号中心】。在账号左侧菜单栏中单击“安全设置”。 3. 在安全设置页面点击【登录保护】Tab，在“用户AccessKey”行，点击“新建”按钮，获取访问密钥（AK/SK）。 4. 在创建AccessKey弹窗中复制AK/SK。 2. 生成时间：请求时间eopdate必须为北京时区的当前时间，格式为YYYYMMDDTHHMMSSZ（如：20211221T163614Z）。 3. 请求ID：每个请求都必须有一个唯一的ctyuneoprequestid，推荐用UUID生成。 二、签名生成流程（4步完成） 步骤1：构造待签名字符串 待签字符串由三部分构成：“需要签名的header参数”、“查询参数（如果有）”、“请求体（如果有）”，通过"n"连接。 plaintext 待签名字符串 排序后的请求头 + "n" + 排序后的查询参数 + "n" + 请求体SHA256哈希值 具体操作： 请求头处理 ：必须包含ctyuneoprequestid和eopdate，按header名称字母顺序排序。 plaintext header1:value1nheader2:value2nheader3:value3 查询参数处理 ：按参数名字母顺序排序，用&连接。 plaintext param1value1¶m2value2 请求体处理：对原始请求体进行SHA256哈希，转为16进制字符串。

使用服务端加密方式上传文件（API） 用户也可以通过调用OBS API接口，选择服务端加密SSEKMS方式（SSEKMS方式是指OBS使用KMS提供的密钥进行服务端加密）上传文件，详情请参考《对象存储服务API参考》。 EVS服务端加密 简介 当您由于业务需求需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。 哪些用户有权限使用云硬盘加密 安全管理员（拥有“Security Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分： 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。 对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。 云硬盘加密的密钥 加密云硬盘使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)： 默认主密钥：由EVS通过KMS自动创建的密钥，名称为“evs/default”。默认主密钥不支持禁用、计划删除等操作。 用户主密钥：由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥。 使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，具体请参见下表。 用户主密钥不可用对加密云硬盘的影响 用户主密钥的状态 对加密云硬盘的影响 恢复方法 禁用 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥 计划删除 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥 已经被删除 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 取消删除用户主密钥 云硬盘数据永远无法恢复。 说明 用户主密钥为付费使用，若为按需计费的密钥，请及时充值确保帐户余额充足，若为包年/包月的密钥，请及时续费，以避免加密云硬盘不可读写导致业务中断，甚至数据永远无法恢复。

场景特点 用于海量大型数据或对性能敏感数据的加密保护，保证业务访问体验。 优势 高效易用：通过创建数据密钥，实现本地数据的离线加密，避免移动大量数据产生安全隐患。 双重加密：通过主密钥和数据密钥两级密钥结构，确保数据密钥的随机性和安全性，保证数据加密性能。 场景示意图 云产品透明加密 密钥管理服务（KMS）与多种云产品集成，提供服务端加密能能力，加密功能一键开启，加密过程透明无感知。 场景特点 为云上IT设施数据安全环境提供基础保障。 优势 服务端自动加密：无需用户自行实现复杂的加密能力，免改造。 安全保障：加密密钥通过KMS主密钥加密保护，满足安全合规要求。 场景示意图

配置CNAME完成后，客户端发起的请求将被自动解析至边缘云节点上，可通过探测CNAME来验证加速是否生效。 前提条件 您已经完成添加服务域名并配置CNAME，如果您未配置，请参考配置CNAME。 验证方式 1、您可以 ping 或 dig 您接入边缘安全加速平台安全与加速服务的域名（例如www.ctyun.cn），在返回的解析结果中查看是否指向分配的CNAME域名。 2、如果CNAME状态为“已生效”，即代表当前站点域名已被边缘安全加速平台—安全与加速服务加速。

本文简述强制跳转的场景及配置方法。 功能介绍 强制跳转功能，可以将用户到边缘节点的请求方式重定向为HTTP或HTTPS请求。天翼云边缘安全加速平台安全与加速服务支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTPS请求强制跳转为HTTP请求。 注意事项 当HTTPS开关未启用时，强制跳转只支持从HTTPS301或302重定向为HTTP。只有当HTTPS开启且完成证书配置的情况下，才支持从HTTP301或302重定向为HTTPS。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入请求协议页面，单击“编辑配置”。 4.变更“强制跳转”，从停用改为启用。 5.选择目标跳转场景，如“HTTP>HTTPS”、“HTTPS>HTTP”。 6.选择合适的跳转方式，如302跳转或301跳转。 配置界面 新增域名，配置强制跳转： 域名添加完成后，编辑强制跳转：

本节为您介绍云迁移服务迁移时限制数据访问相关内容。 云迁移期间限制对数据的访问对于力求安全传输信息的企业来说是至关重要的一步。您应该采取多个步骤来确保只有预期的用户才能在必要时访问数据。这些步骤包括如下： 实现和实施用户级身份验证和授权规则。 建立可靠的双因素身份验证流程。 使用来自云提供商的内置安全策略。 传输之前加密所有数据。 迁移期间定期审计谁拥有访问权。 迁移过程中，对拥有敏感信息的系统完成定期的漏洞扫描。 删除与被解雇员工相关的任何凭据或访问密钥。

本节主要介绍创建微服务引擎 微服务引擎专享版采用物理隔离的方式部署，租户独占微服务引擎，您可以根据业务需要创建使用。 前提条件 微服务引擎专享版运行于虚拟私有云，创建微服务引擎前，需保证有可用的虚拟私有云和子网。 创建虚拟私有云和子网，请参考“帮助中心 > 虚拟私有云 > 用户指南 > 虚拟私有云和子网 > 创建虚拟私有云和子网”。 如果引擎创建帐号权限为创建引擎的最小权限，如权限管理的“cse:engine:create”所示。则需要由管理员帐号为其预置VPC默认安全组cseenginedefaultsg，并添加如所示规则。 添加安全组规则，请参考《虚拟私有云用户指南》中“安全组 > 添加安全组规则”章节。 表 默认安全组cseenginedefaultsg规则说明 方向 类型 协议 端口范围/ICMP类型 远端 入方向 IPv4 TCP 3010030130 ANY 入方向 IPv4 ICMP Any 0.0.0.0/0 入方向 IPv6 ICMP Any ::/0 入方向 IPv6 TCP 3010030130 ANY 出方向 IPv4 ANY Any ANY 操作步骤 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击“购买微服务引擎” 。 3、填写参数，其中带“”标志的参数为必填参数，参数说明如下表所示。 表 参数说明 参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。 4、单击“下一步”，进入确认微服务引擎规格的页面。确认无误后，单击“提交”，开始创建微服务引擎。 创建微服务引擎专享版大约需要10~30分钟。 创建成功后，微服务引擎的“状态”为“可用”。 如果创建失败，可单击，在弹出菜单选择“重试”，重新创建。 说明 如果重试失败，可以删除创建失败的微服务引擎。删除微服务引擎专享版，请参考删除微服务引擎专享版。 如果未及时删除重试失败的微服务引擎，会占用计算资源。系统会在UTC时间每日18:00统一清理资源。

本章节主要介绍安装客户端（3.x及之后版本）。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。Flume客户端安装请参见“组件操作指南 > 使用Flume > 安装Flume客户端”。 客户端可以安装集群内节点，也可以安装在集群外节点，本章节以安装目录“/opt/client”为例进行介绍，请以实际集群版本为准。 在集群外节点安装客户端前提条件 已准备一个Linux弹性云主机，主机操作系统及版本建议参见下表。 CPU架构 操作系统 支持的版本号 x86计算 Euler EulerOS 2.5 SUSE SUSE Linux Enterprise Server 12 SP4（SUSE 12.4） RedHat RedHat7.5x8664（RedHat 7.5） CentOS CentOS7.6版本（CentOS 7.6） 鲲鹏计算(ARM) Euler EulerOS 2.8 CentOS CentOS7.6版本（CentOS 7.6） 同时为弹性云服务分配足够的磁盘空间，例如“40GB”。 弹性云主机的VPC需要与MRS集群在同一个VPC中。 弹性云主机的安全组需要和MRS集群Master节点的安全组相同。 弹性云主机操作系统已安装NTP服务，且NTP服务运行正常。 若未安装，在配置了yum 源的情况下，可执行yum install ntp y命令自行安装。 需要允许用户使用密码方式登录Linux弹性云主机（SSH方式）。

本章节介绍云原生网关CGW子产品的产品规格 云原生网关版本&规格 版本 节点规格 节点数量 基础版 2C4G/4C8G/8C16G/16C32G 1 集群版 2C4G/4C8G/8C16G/16C32G 2 ~ 9 x86架构云原生网关性能数据 主机类型 版本 安全水位线QPS（30% CPU，应答包1K，HTTP请求） X86通用型 基础版2C4G 2500 X86通用型 基础版4C8G 5000 X86通用型 基础版8C16G 9000 X86通用型 集群版2C4G3节点 7500 X86通用型 集群版4C8G3节点 15000 X86通用型 集群版8C16G3节点 27000 X86通用型 集群版16C32G3节点 60000 arm架构云原生网关性能数据 主机类型 版本 安全水位线QPS（30% CPU，应答包1K，HTTP请求） ARM鲲鹏通用型 基础版2C4G 1500 ARM鲲鹏通用型 基础版4C8G 3000 ARM鲲鹏通用型 基础版8C16G 6000 ARM鲲鹏通用型 集群版2C4G3节点 4500 ARM鲲鹏通用型 集群版4C8G3节点 9000 ARM鲲鹏通用型 集群版8C16G3节点 18000 ARM鲲鹏通用型 集群版16C32G3节点 36000

本文介绍了如何使用天翼云弹性云主机的Windows实例搭建FTP站点。该指导具体操作以Windows 2012 Standard R2 64位中文版为例。 Windows实例搭建FTP站点具体操作步骤 1. 添加IIS的角色和功能。 2. 创建FTP服务用户名及密码。 3. 设置共享文件权限。 4. 配置FTP站点。 5. 配置FTP防火墙。 6. 配置安全组规则及防火墙策略。 7. 客户端进行连接测试。 示例环境 实例类型：s3.large.2 2核 4G 通用型云主机 所在区域：山西 系统盘：40GB 操作系统：Windows 2012 Standard R2 64位中文版 公网弹性IP带宽：1Mbps 操作步骤 1. 添加IIS的角色和功能。 1. 登录弹性云主机。 2. 选择“开始 > 服务器管理器”。 3. 单击“添加角色和功能”。 4. 在弹出的“开始之前”对话框中，单击“下一步”。 5. 选择“基于角色或基于功能的安装”，单击“下一步”。 6. 选择需要部署FTP的服务器，单击“下一步”。 7. 选择“Web服务器（IIS）”，并在弹出的对话框中单击“添加功能”，然后单击“下一步”。 8. 连续单击“下一步”，到“角色服务”页面。 9. 选择“FTP服务器”以及“IIS管理控制台”，单击“下一步”。 10. 单击“安装”，开始部署服务角色。 11. 安装完成后，单击“关闭”。 1. 添加IIS的角色和功能 2. 添加IIS的角色和功能 3. 添加IIS的角色和功能 4. 添加IIS的角色和功能 2. 创建FTP服务用户名及密码。 1. 在“服务器管理器”中，选择“仪表板 > 工具 > 计算机管理”。 2. 选择“系统工具 > 本地用户和组 >用户”，在右侧空白处右击，并选择“新用户”。 3. 设置“用户名”和“密码”，此处用户名以“ftp”为例。 3. 设置共享文件权限。 需要在FTP站点为共享给用户的文件夹设置访问及修改等权限。 1. 在服务器上创建一个供FTP使用的文件夹，选择文件夹，并单击右键选择“属性”。此处以“share”文件夹为例。 2. 在“安全”页签，选择 “Everyone”，单击“编辑”。如果没有“Everyone”用户可以直接选择，需要先进行添加。 3. 选择“Everyone”，然后根据需要，选择“Everyone”的权限，并单击“确定”。此处以允许所有权限为例。 4. 配置FTP站点。 1. 在“服务器管理器”中，选择“仪表板 > 工具 >Internet Information Services (IIS)管理器 ”。 2. 选择“网站”并单击右键，然后选择“添加FTP站点”。 3. 在弹出的窗口中，填写FTP站点名称及共享文件夹的物理路径，然后单击“下一步”。此处站点名称以“ftp”为例。 4. 输入该弹性云主机的公网IP地址以及端口号，并设置SSL，单击“下一步”。 端口号默认为21，也可自行设置。 SSL根据需要进行设置。 无： 不需要SSL加密。 允许：允许FTP服务器与客户端的非SSL和SSL连接。 需要：需要对FTP服务器和客户端之间的通信进行SSL加密。 5. 设置身份认证和授权信息，并单击“完成”。 身份认证 匿名：允许任何仅提供用户名 “anonymous” 或 “ftp” 的用户访问内容。 基本：需要用户提供有效用户名和密码才能访问内容。但是基本身份验证通过网络传输密码时不加密，因此建议在确认客户端和FTP服务器之间的网络连接安全时使用此身份验证方法。 授权 允许访问 所有用户：所有用户均可访问相应内容。 匿名用户：匿名用户可访问相应内容。 指定角色或用户组：仅指定的角色或用户组的成员才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的角色或用户组。 指定用户：仅指定的用户才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的用户。 权限：选择经过授权的用户的“读取”和“写入”权限。 6. 绑定弹性云主机的公网IP。 选择“网站”，选中创建的FTP站点，单击“绑定”；在弹出的“网站绑定”窗口单击“添加”，然后在弹出的窗口中添加弹性云主机的私网IP地址，并单击“确定。 5. 配置FTP防火墙支持。 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时，需要配置FTP服务器的被动模式。 双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 配置相关参数，数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535，请根据实际需求进行设置，此处配置50006000，防火墙的外部IP地址：输入该弹性云主机的公网IP地址，并单击“应用”。 重启云主机使防火墙配置生效。 6. 配置安全组规则及防火墙策略。 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和1024~65535间的端口（根据上文配置，此处50006000） 0.0.0.0/0 7. 客户端进行连接测试。 打开客户端的计算机，在路径栏输入“ftp://FTP服务器IP 地址 :FTP 端口 ”（如果不填端口则默认访问21端口）。弹出输入用户名和密码的对话框表示配置成功，正确的输入用户名和密码后，即可对FTP文件进行相应权限的操作，share文件夹下创建工作事项.txt文件，在本地访问共享文件夹可以查看并下载。

回调鉴权密钥信息的获取。 V4鉴权可适用于云点播接收回调事件的鉴权。如您需要获取相关密钥，可按照如下步骤操作： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【回调密钥】，即可获取AK/SK，作为接收回调事件的凭证使用。

本节提供轻量型云主机的服务协议。 轻量型云主机产品服务协议请参见天翼云轻量型云主机服务协议。

步骤三：创建告警规则 1. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则控制台。 2. 在“告警规则”页签下，在页面右上角点击“创建告警规则”。 3. 在“创建告警规则”页面，根据界面提示配置参数。如下图： 1）选择监控对象。按图示顺序依次选择。 2）选择监控指标。 依次选择“自定义创建”，监控指标选择为“文件系统容量使用率“。 可以选择指标的原始值、平均值、最大值、最小值等不同的聚合值作为指标值，并设置监控阈值。容量使用率单位为百分比，可以按需设置85%、90%、95%等值。 聚合周期为计算聚合值的周期，例如选择用平均值进行监控，聚合周期5分钟，则5分钟计算一次平均值作为监控值，出现次数为3次表明3次聚合值达到监控阈值则将触发告警。 选择发送通知即表示同意天翼云云监控服务向您发送告警通知，按实际需求选择告警联系组、触发场景、通知周期等参数。参数定义可参考创建告警规则，更多告警功能使用请参考使用告警功能。 3）规则信息。须填写名称和描述，根据实际情况填写即可。

本文介绍如何处理CNAME解析不生效问题。 CNAME（Canonical Name）记录是一种别名记录，用于将多个域名映射到同一台计算机或服务器上。通过配置CNAME记录，可以实现域名的别名映射，将一个域名解析到另一个域名上。客户接入DDoS高防（边缘云版）时，在天翼云DDoS高防（边缘云版）控制台完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名，例如 .ctdns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向 .ctdns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云边缘节点，实现防护的目的。 如发现CNAME未正常解析，可能的原因如下： 1、CNAME配置错误：请检查所配置的CNAME解析记录值是否与天翼云DDoS高防（边缘云版）控制台提供的CNAME地址一致。如果不一致，可能会导致解析失败。 2、TTL未过期：在完成CNAME配置后，运营商localDNS的TTL可能还未过期。通常情况下，TTL时间为10分钟，但实际生效以您域名解析时配置的TTL为准。需要等待TTL时间过期后，新的CNAME解析才能生效。

自定义新建告警模型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析 > 智能建模”，进入智能建模的可用模型页面。 5. 在可用模型列表左上角单击“新建模型”，进入新建告警模型页面。 6. 在新增告警模型页面中，配置告警模型基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 选择该告警模型的执行管道。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 致命：致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危：高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危：中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危：低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示：对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。 7. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 8. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 语法参考请参见查询与分析语法。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，如果有满足此处设置的不同的触发条件被检测到时，系统都将展示不同类型的告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果开启，则表示抑制，即生成告警后停止运行查询。 如果关闭，表示不抑制，即生成告警后不停止运行查询。 9. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 10. 预览确认无误后，单击页面右下角“确定”。

本文介绍云SSO的场景实践 应用实践：客户已有账号体系单点登录后以云SSO用户身份访问成员账号 客户已有账号体系可以通过SAML2.0直接单点访问天翼云账号，并可以通过SCIM同步客户侧的用户/组信息； 步骤1：进入“云SSO中心”“管理设置”中，“身份源”选择“身份提供商” 步骤2：配置IDP的身份提供商标识，单点登录登出地址，身份提供商签名公钥等信息 步骤3：客户端配置SP元数据。天翼云SP META可从“管理身份提供商”页面获取 步骤4：配置SCIM同步（可选），配置方式参考“用户指南”。

本节介绍如何查看告警信息及处理告警。 查看告警列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“安全告警”，进入安全告警页面。 3. 在页面上方切换云防火墙实例。 说明 默认展示近一天的告警，可在页面右上角自定义查看的时间范围。 查看告警详情 单击告警列表操作列的“详情”，进入告警详情页面。在该页面可以查看告警的详细信息。 处理告警 若您已手动处理告警，可将其“标记为已处理”，标记后，告警的状态将从“未处理”变为“已处理”。 操作步骤：单击“标记为已处理”，在弹出的确认框中，单击“确定”。

轻量型云主机作为天翼云的一款标准化产品，其整体退订原则与其他产品均保持一致。 退订规则详情请参考天翼云帮助中心费用中心退订规则说明。

轻量型云主机作为天翼云的一款标准化产品，其整体续订原则与其他产品均保持一致。 续订规则详情请见天翼云帮助中心费用中心续订规则说明。

本章节介绍云主机备份的应用场景:数据备份恢复和业务快速迁移部署。 云主机备份可为多种资源提供备份保护服务，有效保障用户数据的安全性和正确性，确保业务安全。云主机备份适用于数据备份和恢复以及业务快速迁移和部署的场景。 数据备份和恢复 云主机备份在以下场景中，均可快速恢复数据，保障业务安全可靠。 受黑客攻击或病毒入侵 通过云主机备份，可立即恢复到最近一次没有受黑客攻击或病毒入侵的备份时间点。 数据被误删 通过云主机备份，可立即恢复到删除前的备份时间点，找回被删除的数据。 应用程序更新出错 通过云主机备份，可立即恢复到应用程序更新前的备份时间点，使系统正常运行。 云主机宕机 通过云主机备份，可立即恢复到宕机之前的备份时间点，使服务器能再次正常启动。 业务快速迁移&部署 为云主机创建备份，使用备份创建镜像，可快速创建与现有云主机相同配置的新云服务器，实现业务的快速部署。 详情请参考最佳实践整机镜像跨可用区迁移。

功能 使用限制 数据库访问 如果关系型数据库实例没开通公网访问，则该实例必须与弹性云主机在同一个虚拟私有云内才能访问。 关系型数据库只读实例必须创建在与主实例相同的一个子网内。 弹性云主机必须处于目标关系型数据库实例所属安全组允许访问的范围内。 如果关系型数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在关系型数据库的安全组添加一条“入”的访问规则。 RDS for MySQL实例的默认端口为3306，需安全组放开后，才能访问其它端口。 部署 实例所部署的弹性云主机，对用户都不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的root权限 创建实例页面只提供管理员root用户权限。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 RDS for MySQL存储引擎 MySQL数据库只有InnoDB存储引擎支持完整的备份、恢复等服务功能，因此RDS for MySQL推荐使用InnoDB引擎,不支持MyISAM引擎、FEDERATED引擎和Memory引擎。 搭建数据库复制 RDS for MySQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备实例不对用户开放，用户应用不可直接访问。 支持的表数量 RDS for MySQL支持表数量上限为50万。 大于50万张表时，会导致备份和小版本升级失败，影响数据库可用性。 重启RDS实例 无法通过命令行重启，必须通过关系型数据库服务的管理控制台操作重启实例。 创建只读实例 只有存储类型是极速型SSD的主备实例或者主实例才能创建存储类型是极速型SSD的只读实例。

本文简述了如何查询域名基础信息及基础信息包含的内容。 功能介绍 域名基础信息包括 CNAME、加速区域、产品类型、创建时间。 参数 说明 CNAME 展示天翼云提供的域名解析CNAME。用户需要在域名的DNS服务商处配置该CNAME，将流量解析至天翼云边缘节点。参考配置CNAME。 加速区域 展示域名的加速区域 产品类型 展示域名所属产品类型 创建时间 展示域名接入时间 功能截图 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名，即可查看。 注意 如果您的域名状态在新增中，需要新增完成，才能查看域名基础配置。 如果您的域名状态为已停用、停用中、配置中，则只能查看配置，无法编辑。

通过RDP文件登录Windows 弹性云主机 操作场景 远程桌面协议（Remote Desktop Protocol，RDP），是微软提供的多通道的远程登录协议。本节为您介绍如何使用RDP文件远程登录Windows弹性云主机。 说明 从管理控制台下载的RDP文件对应唯一的云主机，当前RDP文件命名规则为“云主机名称弹性IP”。 前提条件 弹性云主机状态为“运行中”。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 使用的登录工具与待登录的弹性云主机之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 弹性云主机开启远程桌面协议RDP（Remote Desktop Protocol）。使用公共镜像创建的弹性云主机默认已打开RDP。打开RDP方法请参考开启远程桌面协议RDP。 Windows操作系统使用RDP文件登录Windows弹性云主机 本地主机为Windows操作系统，那么您可以使用RDP文件登录Windows弹性云主机。 1、登录管理控制台。 2、选择“计算 > 弹性云主机”。 3、选择要登录的弹性云主机，单击“操作”列下的“远程登录”。 4、在弹出的“登录Windows弹性云主机”窗口中，选择“使用 RDP 文件登录”，单击“下载RDP文件”，将 RDP 文件下载到本地。 图 单击“下载RDP文件” 5、双击已下载到本地的RDP文件，根据提示输入密码，即可远程连接到Windows云主机。 图 使用RDP文件登录Windows云主机

本节介绍了专属云（计算独享型）查看资源的步骤。 查询所有节点的专属云列表 前提条件：已申请并开通专属云服务。 1、登录天翼云控制中心，切换节点； 2、单击右侧上方区域节点下拉列表，查询您在所有区域节点中开通的专属云情况。如图所示，目前在贵州节点下已开通一个名为DeC001的专属云； 3、单击控制中心，点击【专属云】进入专属云页面，查看当前节点下开通的专属云的列表。 查询指定节点的专属云 1、登录天翼云管理控制台，切换节点； 2、单击 ，选择【专属云】； 3、 进入专属云页面，查看贵州节点下开通的专属云列表。 查询指定专属云的信息 1、登录天翼云控制中心，切换节点； 2、从节点选择区域查看专属云，如Dec001； 3、切换到专属云总览页面，在总览页中可以查看专属云内物理机数量、CPU/内存分配情况，各云资源开通情况。

产品优势：极简部署、智能防护、可视可溯、丰富生态 极简部署 作为一款云SaaS服务，可以对公网资产、内部资产自动安全盘点，一键开启防护，支持原有安全策略一键导入，可随业务按需动态扩容。 智能防护 AI算法实时检测和拦截恶意流量；并通过自带的入侵防御引擎（IPS），对恶意流量进行实时检测和精准防御。 可视可溯 全场景流量日志、访问日志、入侵攻击日志记录，并通过报表分析呈现，支持审计及高级威胁溯源分析。 丰富生态 支持无缝集成第三方厂家威胁检测分析引擎，云上云下统一生态，客户原线下安全策略资产无缝平移。

本章节主要介绍翼MR的下载客户端操作。 操作场景 未部署服务端的服务器上需要安装组件客户端时，需要下载客户端安装包和配置文件。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群详情页面。 3. 在“基础信息”页面的软件信息中，点击“前往下载客户端”按钮即可下载。当前共4个业务场景支持下载客户端，分别是：数据湖、数据服务、实时数据流和自定义场景。 4. 进入到组件的客户端安装包、MD5值和配置文件的下载页面，选择下载路径，点击保存即可。 注意 下载完整客户端包含：客户端安装包、MD5值和客户端配置文件。 客户端安装包包含组件：Hadoop（HDFS、YARN）、Hive、HBase、Flink、Kafka、Spark、ZooKeeper、Trino。 V2.17版本起，客户端安装包中新增Flume、SeaTunnel。 客户端配置文件：包含当前环境公共空间下所有客户端配置文件。 文件容量较大，请您耐心等待。

产品优势： 1、支持数据库应用—云硬盘支持多挂载，满足主流数据库需求 2、高安全—专属存储物理隔离，支持数据加密 3、高性能—专属云分布式存储保证存储资源免抢占

为什么配置了访问控制白名单后还能访问后端主机？ 监听器配置了访问控制白名单后，仅允许特定IP访问负载均衡，仅转发来自所选访问策略组中设置的IP地址或地址段的请求。但是作为后端主机的云主机，除了作为负载均衡的后端主机接收流量，同时其本身IP地址也可以被其他方式访问。如果需要对作为后端主机的云主机进行访问控制，可以通过配置网络ACL或者安全组规则实现，详见 网络ACL的简介 和 安全组概述。

本章节主要介绍翼MapReduce组件Spark日志保存问题。 Spark job没有完成的任务日志保存在dirver节点的nodemanager 的 containerlogs中。 Spark job完成的任务日志保存在HDFS的/tmp/logs/ 用户名 /logs。

源库为天翼云及其他云PostgreSQL的情况 源库为天翼云及其他云PostgreSQL、任务包含增量迁移，且逻辑解码器选择为Decoderbufs，源库需开启逻辑解码器输出插件Decoderbufs。 天翼云在开通PostgreSQL实例时已预置开启Decoderbufs插件，当源库为天翼云PostgreSQL时，请你参照天翼云关系数据库PostgreSQL版管理插件相关指引查看确认Decoderbufs插件的开启情况，已开启则无需进行操作，未开启则参照指引进行Decoderbufs插件的安装。 当源库为其他云PostgreSQL时，需要查看源库对应版本是否支持并已开启Decoderbufs插件。如源库版本不支持Decoderbufs插件则无法进行其他云PostgreSQL到天翼云PostgreSQL的增量同步；如源库版本支持Decoderbufs插件但未开启则按照文档启用插件；如已开启则无需进行操作。具体请参考其他云PostgreSQL的相关指引，例如： 华为云支持的插件列表及插件管理的相关指引。 阿里云支持的插件列表及插件管理的相关指引。 操作需知 DTS同步过程一般包含四个阶段：预检查阶段、结构同步阶段、全量阶段、增量阶段。为了确保数据同步各个阶段的平顺，在创建同步任务前，请务必阅读以下使用须知。

本文介绍天翼云AOne边缘安全加速平台的节点分布情况。 天翼云CDN，在中国内地拥有2000+节点，覆盖多运营商和31个省份区域，大量节点位于省会及一二线主要城市；在海外、中国香港、中国澳门和中国台湾拥有800+节点，遍布亚洲、美洲、欧洲、非洲等大洲主要国家和城市。全网业务承载能力达160Tbps。 全球节点具体分布如下： 计费区域 节点分布 中国内地 东北地区：黑龙江、吉林、辽宁。 华北地区：北京、天津、河北、河南、山东、山西、内蒙古。 华东地区：上海、浙江、江苏、江西、安徽。 华中地区：湖北、湖南。 华南地区：广东、广西、海南、福建。 西南地区：四川、云南、贵州、西藏、重庆。 西北地区：甘肃、宁夏、陕西、青海、新疆。 全球（非中国内地） 亚洲：日本、香港、新加坡、马来西亚、泰国、印度尼西亚、越南、阿联酋。 北美洲：美国。 南美洲：巴西。 大洋洲：澳大利亚。 欧洲：德国、法国、英国、荷兰。 非洲：南非。

本小节介绍云堡垒机(原生版)产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。