本文为您介绍华为路由器如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cthuawei IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录华为路由器命令行。 2. 配置IKE安全提议。 ike proposal 10 sa duration 86400 authenticationalgorithm sha1 encryptionalgorithm aes128 dh group5 authenticationmethod preshare 3. 配置IKE对等体、预共享密钥和对端ID等信息。 ike peer ctyun presharedkey simple cthuawei ikeproposal 10 localaddress 123...23 remoteaddress 121...152 exchangemode main 4. 配置ACL，定义要保护的数据流。 acl 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 5. 配置IPsec安全提议。 ipsec proposal ctyun esp authenticationalgorithm sha1 esp encryptionalgorithm aes128 6. 配置IPsec安全策略。 ipsec policy ctyun 10 isakmp security acl 3402 ikepeer ctyun proposal ctyun 7. 在GigabitEthernet1/0/1接口上应用IPsec安全策略ctyun。 interface GigabitEthernet1/0/1 ipsec policy ctyun 8. 配置静态路由。 ip routestatic 192.168.3.0 255.255.255.0 123...1 9. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

说明：本章节会介绍公网连接天翼云关系型数据库的流程 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过绑定弹性公网IP从公网连接访问MySQL实例。 使用流程 通过公网连接MySQL实例的使用流程介绍。 图11 通过公网连接实例 步骤一：创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。从安全组外访问安全组内的关系型数据库实例时，需要为RDS实例所在安全组配置相应的入方向规则。 步骤三：绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至RDS实例。 步骤四：通过公网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本章节介绍CNI插件的使用 背景 sidecar模式下，服务网格默认通过给业务pod注入一个istioinit容器配置iptabels规则，实现业务无感的流量拦截，但是这种配置方式需要较高的权限（NETADMIN 和 NETRAW），在对安全较为敏感的场景，这种配置方式可能带来安全风险。通过CNI插件方式，不需要用户提权的情况完成和istioinit相同的能力，实现容器流量拦截配置功能。CNI插件以DaemonSet方式部署在集群中，创建pod时完成容器网络配置。 操作 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，您可以选择对应的istio版本和相关配置，开启或关闭CNI插件，配置说明如下 配置 说明 版本 升级过程中可能同时存在多个版本，您可以选择一个版本开启CNI插件 排除的命名空间 排除的命名空间下的pod不会被CNI插件处理，一般配置为一些不希望注入网格sidecar的命名空间。请勿将需要注入sidecar的命名空间添加到CNI排除的命名空间列表中，可能导致pod启动失败。 使用CNI插件实现sidecar流量拦截配置 1. 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，开启网格CNI插件，完成后可以看到云容器引擎中已经部署了网格CNI 2. 部署应用服务，确保pod所在的命名空间及pod的标签满足sidecar注入规则，且pod所在的命名空间不在网格CNI插件的排除命名空间里；部署完成后可以看到pod注入了sidecar plaintext

本节主要描述Redis连接过程出现的问题，以及解决方法。 问题分类 当您发现与Redis实例连接出现异常时，可以根据本文的内容，从以下几个方面进行排查。 Redis和ECS之间的连接问题 密码问题 实例配置问题 客户端连接问题 带宽超限导致连接问题 性能问题导致连接超时 Redis和ECS之间的连接问题 客户端所在的ECS必须和Redis实例在同一个VPC内，并且需要确保ECS和Redis之间可以正常连接。 如果是Redis 3.0实例，Redis和ECS的安全组没有配置正确，连接失败。 解决方法：配置ECS和Redis实例所在安全组规则，允许Redis实例被访问。 如果是Redis 4.0/5.0/6.0实例，开启了白名单功能，连接失败。 如果实例开启了白名单，在使用客户端连接时，需要确保客户端IP是否在白名单内，如果不在白名单，会出现连接失败。客户端IP如果有变化，需要将变化后的IP加入白名单。 Redis实例和ECS不在同一个Region。 解决方法：不支持跨Region访问，可以在ECS所在的Region创建Redis实例，创建时注意选择与ECS相同VPC，创建之后，使用数据迁移进行迁移，将原有Redis实例数据迁移到新实例中。 Redis实例和ECS不在同一个VPC。 不同的VPC，网络是不相通的，不在同一VPC下的ECS无法访问Redis实例。可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问Redis实例。 关于创建和使用VPC对等连接，请参考《虚拟私有云用户指南》的“对等连接”文档说明。

本节主要描述在使用云容器引擎前,需理解该产品所涉及的概念,以便于您更好地理解容器产品。 关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

本节介绍如何配置攻击惩罚标准封禁访问者指定时长。 当访问者的IP、Cookie或Params恶意请求被WAF拦截时，您可以通过配置攻击惩罚，使WAF按配置的攻击惩罚时长来自动封禁访问者。例如，访问者的源IP为恶意请求，如果您配置了IP攻击惩罚拦截时长为500秒，该攻击惩罚生效后，则该IP被WAF拦截时，WAF将封禁该IP，时长为500秒。 配置的攻击惩罚标准规则会同步给Web基础防护规则、精准访问防护规则和IP黑白名单规则使用。当配置Web基础防护规则、精准访问防护规则和IP黑白名单规则时，防护动作为“拦截”或“阻断”时，可使用攻击惩罚标准功能。 前提条件 已添加防护网站。 约束条件 Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能，当攻击惩罚标准配置完成后，您还需要在Web基础防护、精准访问防护或黑白名单规则中选择攻击惩罚，该功能才能生效。 说明 黑白名单规则中，不支持选择“长时间IP拦截”和“短时间IP拦截”的攻击惩罚。 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 在配置Cookie或Params恶意请求的攻击惩罚标准前，您需要在域名详情页面设置对应的流量标识。相关操作请参见配置攻击惩罚的流量标识。

功能 说明 参考新增证书的指引完成证书上传。 客户完成证书新增后，可通过客户控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、证书品牌、颁发时间、到期时间、创建时间等。 当证书过期或者不再使用时，可通过客户控制台删除证书。 如果证书临近过期，客户需要在过期前替换证书，避免影响域名的正常访问。 客户完成证书新增后，如发现证书信息上传有误，可通过客户控制台自助修改证书信息。 天翼云全站加速支持HTTPS加速服务，当您完成新增证书后，可以通过控制台绑定域名启用HTTPS加速服务，实现全网数据加密传输。 在您使用全站加速的过程中，可能会不定期修改证书信息，证书管理目录下的部署历史可以供您查看证书的部署历史。 如果您的网站没有购买HTTPS证书，可以通过全站加速平台提供的免费证书来支持HTTPS访问。

本章节主要介绍翼MapReduce服务Storm健康检查指标项说明。 工作节点数 指标项名称 ：Supervisor数 指标项含义 ：检查集群中可用的Supervisor数，若集群中可用的Supervisor数小于1，则认为不健康。 恢复指导 ：如果该指标项异常，进入Streaming服务实例页面，单击不可用Supervisor实例的“主机名”，在“概要信息”中查看主机的健康状态，若为“良好”，则参见“ALM12007 进程故障”告警进行处理；若不为“良好”，则参见“ALM12006 节点故障”告警进行处理。 空闲Slot数 指标项名称 ：空闲Slot数 指标项含义 ：检查集群中空闲的Slot数，若集群中空闲slot数目小于1，则认为不健康。 恢复指导 ：如果该指标项异常，进入Storm服务实例页面，查看Supervisor实例的“健康状态”，若均为“良好”，则需要扩容集群Core节点；若不为良好，则参见“ALM12007 进程故障”告警进行处理。 服务健康状态 指标项名称 ：服务状态 指标项含义 ：检查Storm服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见“ALM26051 Storm服务不可用”告警进行处理。

本章节主要介绍翼MapReduce服务查看配置。 用户可以在MRS Manager上查看服务（含角色）和角色实例的配置。 操作步骤 查看服务的配置 1. 在MRS Manager，单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“服务配置”。 4. 在“参数类别”选择“全部配置”，界面上将显示该服务的全部配置参数导航树，导航树从上到下的根节点分别为服务名称和角色名称。 5. 在导航树选择指定的参数，修改参数值。支持在“搜索”输入参数名直接搜索并显示结果。 在服务节点下的参数属于服务配置参数，在角色节点下的参数是角色配置参数。 6. 在“非默认”选项中选择“非默认”，界面上显示参数值为非默认值的参数。 查看角色实例的配置 1. 在MRS Manager，单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“实例”页签。 4. 单击角色实例列表中指定的角色实例名称。 5. 单击“实例配置”。 6. 在“参数类别”选择“全部配置”，界面上将显示该角色实例的全部配置参数导航树。 7. 在导航树选择指定的参数，修改参数值。支持在“搜索”输入参数名直接搜索并显示结果。 8. 在“非默认”选项中选择“非默认”，界面上显示参数值为非默认值的参数。

本章节主要介绍翼MapReduce的配置告警屏蔽状态操作。 操作场景 如果如下特定场景中不希望看到FusionInsight Manager上报指定的告警，可以手动设置屏蔽。 使用过程中，不想关注某些不重要的告警，屏蔽次要告警。 第三方产品集成FusionInsight产品时，部分告警与产品自身的告警信息重复，屏蔽重复告警。 部署环境特殊时，可能存在特定告警误报，屏蔽误报的告警。 某种告警被屏蔽后，与该告警ID相同的新告警将不再出现在“告警管理”页面中，也不会被统计。已经上报的告警仍然显示。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 告警 > 屏蔽设置”。 3. 在“屏蔽设置”区域，选择指定的服务或模块。 4. 在告警列表中选择指定的告警。 详见下图：屏蔽告警 界面显示此告警的信息，包含名称、ID、级别、屏蔽状态和操作： 屏蔽状态包含：“屏蔽”和“显示”。 操作包含：“屏蔽”和“查看帮助”。 说明 在屏蔽列表上方可筛选指定的告警。 5. 设置已选中告警的屏蔽状态： 单击“屏蔽”后在弹出的对话框中单击“确定”，修改告警的屏蔽状态为“屏蔽”。 单击“取消屏蔽”后在弹出的对话框中单击“确定”，修改告警的屏蔽状态为“显示”。

本节介绍数据安全中心部署形态和使用方式。 产品形态 数据安全中心为SaaS形态产品，无需购买云主机单独部署。 使用说明 客户购买后，使用数据安全中心前，须先开通并使用对象存储OBS或关系型数据库RDS云产品中任意一种，确保有可供数据安全中心扫描的数据。开通数据安全中心后，数据安全中心服务将自动检测用户已添加的资产，并应用敏感规则对其进行风险等级的评价。 使用步骤 1. 进行云资产授权，详见云资产委托授权/停止授权。 2. 添加资产，详见批量添加资产。 3. 识别敏感数据，包括创建敏感数据规则、创建敏感数据规则组、创建敏感数据识别任务、查看识别结果和处理异常事件等，详细操作见敏感数据识别。 4. 进行数据脱敏，根据脱敏算法来配置脱敏规则，执行数据脱敏任务来达到数据脱敏，详细操作见数据脱敏。

项 目 约束和限制 迁移源和迁移任务数量限制 每位用户可激活的迁移源数量上限为1000台；每位用户可创建迁移任务数量为1000个；每位用户可并发执行的迁移任务数量为50台。 迁移源绑定限制 每个迁移源同一时刻仅能绑定一个目标端，对应生成唯一一个"未完成"状态的迁移任务；已完成或异常的迁移任务不能作为迁移源绑定目标端。 迁移源软硬件、授权限制 未授权的应用软件、盗版软件、集群数据库、UKey等可能影响产品的使用，应避免使用。 迁移源目标端配置限制 目标机内存必须大于4GB；目标机配置建议与迁移源相同，如果迁移源内存小于4GB，迁移完成后可以根据需求进行缩扩容等修改。 迁移源目标端限制 目标端机器必须是天翼云平台上使用云迁移专用PE镜像创建的虚拟机。 迁移源网络限制 源机可以使用独享IP，也可以使用NAT网络或者代理，需要能访问到 迁移盘符限制 引导位置必须在第一个盘的第一个分区。 迁移源存储服务限制 不支持客户端共享存储，共享存储中的数据可以在迁移完成后使用rsync命令进行迁移，操作方式参见 迁移源磁盘数、容量限制 单盘容量无限制，但磁盘个数应确定在24个以下。如果超过该限制，需要对源机磁盘进行减少或通过工单进行技术咨询。 数据库与集群服务限制 Oracle RAC需要使用共享存储、部分使用ASM磁盘，CMS无法提供ASM磁盘、Oracle RAC迁移。大型库不建议使用CMS进行迁移，建议使用数据库专业迁移工具进行迁移。如果使用CMS进行迁移，在使用过程中应当在“停止增量”步骤前停止相关应用进程。 网络环境因素限制 网络环境问题可能影响迁移速率，应先测试迁移源出口带宽、目标端入流量带宽以及CMS控制台带宽限制配置；注意是否存在特殊的网络、专线以及是否具备公网环境。 复杂业务拉起、支撑限制 迁移复杂业务时，需要记录业务关联信息，并根据需求按业务系统进行迁移、切换、测试；增量迁移时，需要停止相关业务进程，以保持一致性。业务上云后，也需相关熟悉业务人员进行测试验证，以此减少业务停机时间。 特定需求限制 如果存在涉密文件、需要保持IP不变等特定需求，需要通过工单进行技术咨询，以满足相应需求。 迁移源资源与性能限制 CMS代理端部署于源机，需占用源机的CPU与内存，当源机CPU使用率或内存使用率过高时，CMS代理端会影响业务，甚至导致迁移源宕机。正常4C4G的机器能正常满足迁移所需资源。CMS需在源机agent启动后，持续对源机进行监控，并给出一定周期内CPU、内存使用情况、硬盘数据增长量等数据。用户根据给出数据对系统进行评估。若无法准确评估需找相关专业人员确认。 目标端设备规格的规格限制 目标机规格支持GPU类相关规格，A10/V100s GPU主机、T4/V100GPU主机。 操作系统 支持迁移的Windows操作系统参见

本页介绍了关系数据库MySQL版的监控安全风险。 关系数据库MySQL版提供多维度的监控指标和敏感操作保护，帮助您监控安全风险。 监控指标 关系数据库MySQL版提供基于云监控服务的资源监控能力，帮助您实时监控数据库实例，及时发现异常并自动告警或通知相关运维人员。 帮助您实时掌握实例运行过程中产生的运行指标和存储用量等信息，方便您预判风险及时处理。 关于关系数据库MySQL版支持的监控指标，以及如何创建监控告警规则等内容，请参见关系数据库MySQL版用户指南监控与告警支持的监控指标 。 敏感操作保护 关系数据库MySQL版管理控制台支持敏感操作保护，开启后执行删除实例等敏感操作时，系统会进行二次确认，进一步保证数据库实例配置和数据的安全性。

本章介绍如何修改SQL Server数据库实例的参数组。 最佳实践概述 场景描述 概述：SQL Server是老牌商用级数据库，成熟的企业级架构，轻松应对各种复杂环境。一站式部署、保障关键运维服务，大量降低人力成本。根据华为国际化安全标准，打造安全稳定的数据库运行环境。被广泛应用于政府、金融、医疗、教育和游戏等领域。 典型行业：互联网企业、政府、医疗、金融 适配场景：企业级架构 方案优势 高安全性 弹性扩容 高可靠性 前提条件 需搭配开通ECS等产品 资源规划 网络资源规划 资源类型 配置项 配置明细 说明 :::: 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 弹性计算资源规划 资源类型 配置项 配置明细 说明 :::: ECS ECS名称 ecsbendi 自定义，易理解可识别 ECS 规格 通用计算增强型 c3.large.2 2vCPUs 4GiB 本示例中选择的规格。实际选择的规格需要结合业务场景选择，请参考弹性云服务器的实例规格。 ECS 操作系统 Windows 2016 ECS 系统盘 通用型SSD 40GiB 数据库资源规划 资源类型 配置项 配置明细 说明 :::: RDS RDS实例名 rds8c73 自定义，易理解可识别 RDS 数据库版本 SQL Server 2012标准版 本示例中为单机。实际使用时，为提升业务可靠性，推荐选择主备RDS实例。 RDS 实例类型 单机 RDS 存储类型 SSD RDS 可用区 可用区1 本示例中未单机，实际业务场景推荐选择主备RDS实例，此时建议将两个实例创建在不同的可用区，提升业务可靠性。 RDS 规格 2 vCPUs 4 GB

如何获取分布式缓存Redis实例的连接地址和实例ID？ 在实例详情页中可以查询到以上信息，具体操作可参考查看连接地址。 可以通过rediscli连接Redis吗？ rediscli是原生Redis自带的命令行工具，您可以在CTECS实例或本地设备上通过rediscli连接分布式缓存Redis版，进行数据管理。 分布式缓存Redis版支持Jedis等通用的Redis客户端吗？ 支持。任何兼容Redis协议的客户端都可以访问分布式缓存Redis版，您可以根据应用特点选用Redis客户端。 关于Redis客户端的连接方法，请参见通过客户端连接Redis。 连接Redis实例需要在CTECS上安装Redis吗？ 不需要，只要有相应的Redis客户端即可从CTECS上连接Redis实例。 请参见通过客户端连接Redis。 缓存实例支持公网访问吗？ 支持通过绑定弹性IP进行公网访问，具体请参考公网连接Redis实例。 建议通过同一虚拟私有云下的弹性云主机来访问缓存实例，以确保缓存数据的安全。 缓存实例是否支持跨VPC访问？ 在一些情况下，由于实例未开启公网访问，不同虚拟私有云（VPC）间的网络通常是不互通的。这会导致无法直接访问分布式缓存服务（DCS）实例。为了解决这个问题，可以考虑创建VPC对等连接，以实现两个VPC之间的网络互通。 关于创建和使用VPC对等连接，请参考 VPC对等连接说明

本文介绍如何安装与升级cstorcsi插件。 Serverless集群提供cstorcsi插件，基于Kubernetes容器存储接口（CSI），深度融合天翼云存储服务云硬盘、弹性文件存储、对象存储等。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 部分资源池不支持委托，插件安装需要配置用户AK、SK。安装前请首先到天翼云门户“用户”>“安全设置”>“用户AccessKey”中获取AK；SK可以在首次“创建AccessKey”时获取，也可提通过工单获取存量SK。若资源池支持委托，则不需要配置用户AK、SK。 插件安装 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击“安装”。 4. 在弹出的安装界面，点击“安装”。 5. 安装成功后将跳转到插件实例列表页，可以看到插件安装状态。如果插件安装失败，可以查看失败日志，通过工单反馈问题。 插件升级/更新 您可以在控制台看插件实例，并根据需要对插件进行升级或者更新。 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击进入查看详情。在插件详情页可以看到版本列表，在说明中可以获取各版本发布变更内容，根据需要确定升级版本。 4. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，可以选择版本进行升级，也可以更新插件配置。 说明 如果当前插件版本已是最新版，插件实例列表页将不可见“升级”按钮。

本文介绍如何使用验证码功能。 功能介绍 边缘安全加速平台验证码功能，为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。目前支持以下三种验证码类型： 滑动拼图 文字点选 图形点选 注意 目前控制台尚未开放验证码功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。 验证码调用时序图 Web客户端： 小程序客户端： 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持验证码功能。

前言——私有知识库作用简介 大模型私有知识库，作为大语言模型技术与企业、组织自有数据深度融合的创新知识管理及应用解决方案，能够为特定用户群体提供更为精准、专业且安全的知识服务。具体来讲，它是借助大语言模型搭建而成，专门为特定组织或个人定制的知识存储与检索系统。此系统会对组织内部的专业知识、业务数据、历史文档等各类信息进行深度整合与精细化处理，从而构建出独一无二的专属知识集合。依托大模型强大的语言理解与生成能力，用户能够在此基础上实现高效的知识查询与问答交互。 在本教程中，我们将为您详细介绍一种基于开源框架的私有知识库搭建方案。利用该方案，您可以在本地便捷地搭建起相应的私有知识库，大幅提升文本检索能力。 教程使用配置说明：C7通用型云主机 plaintext cpu 8核 内存 32G 优势 知识准确性：让模型访问定制的信息，从而提高回答的准确性和可靠性。 可解释性：检索过程可以明确指出回答所依据的信息来源，增强了回答的可解释性。 减少幻觉：降低了语言模型生成无事实依据内容（即“幻觉”）的可能性。 一、DeepSeek自部署 请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云 自定义部署DeepSeek。

通过添加黑白名单拦截/放行流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”界面。切换防护对象页签后，选择“黑名单”或“白名单”页签。 5. 单击“添加”，设置地址方向、IP地址、协议类型、端口，填写规则请参见下表。 参数名称 参数说明 地址方向 选择“源地址”或“目的地址”。 源地址：设置会话发起方。 目的地址：设置会话接收方。 协议类型 协议类型当前支持：TCP、UDP、ICMP、Any。 端口 “协议类型”选择“TCP”或“UDP”时，设置需要放行或拦截的端口。 说明 如您需设置该IP地址的全部端口，可配置“端口”为“165535”。 如您需设置某个端口，可填写为单个端口。例如放行/拦截该IP地址22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“”隔开。例如放行/拦截该IP地址80443端口的访问，则配置“端口”为“80443”。 描述 设置该黑/白名单的备注信息。 6. 单击“确认”，完成添加。

前提条件 如果您还没有目标Redis，请先创建目标Redis，具体操作请参考创建实例。 如果您已有目标Redis，则不需要重复创建，为了对比迁移前后数据及预留足够的内存空间，建议在数据迁移之前清空目标实例数据，清空操作请参考清空实例数据。如果没有清空实例数据，数据迁移后，目标Redis与源Redis实例重复的数据迁移后会被覆盖，源Redis没有、目标Redis有的数据会保留。 已创建弹性云主机ECS。 ECS请选择与DCS Cluster集群实例相同虚拟私有云、子网和安全组，并且需要绑定弹性公网IP。 安装Rump 1. 登录弹性云主机。 2. 下载Rump的release版本。 以64位Linux操作系统为例，执行以下命令： wget 3.解压缩后，添加可执行权限。 mv rump0.0.3linuxamd64 rump; chmod +x rump; 迁移数据 执行如下命令迁移数据： rump from { sourceredisaddress } to { targetredisaddress } 参数/选项说明： {sourceredisaddress} 源Redis实例地址，格式为：redis://[user:password@]host:port/db，中括号部分为可选项，实例设置了密码访问时需要填写密码，格式遵循RFC 3986规范。注意用户名可为空，但冒号不能省略，例如redis://:mypassword@192.168.0.45:6379/1。 db为数据库编号，不传则默认为0。 { targetredisaddress } 目标Redis实例地址，格式与from相同。 以下示例表示将本地Redis数据库的第0个DB的数据迁移到192.168.0.153这台Redis数据库中，其中密码以替代显示。 plaintext [root@ecs ~]

本页介绍天翼云TeleDB数据库产品介绍。 产品概述 TeleDB 是天翼云自主研发的分布式数据库系统，集高扩展性、高SQL兼容度、完整的分布式事务支持、多级容灾能力等能力于一身，采用无共享的集群架构，提供容灾、备份、恢复、监控、安全、审计等全套解决方案，适用于GB级 PB级的海量数据场景。 数据库资源与生命周期管理平台TeleDB资源全生命周期管理则致力于为客户提供极致体验的数据库资源管理一体化平台，支持用户对云数据库TeleDB进行全生命周期管理。 该平台提供租户用户管理、资源管理、实例管理、监控告警中心、安全中心等核心功能，使用者可以在TeleDB控制台上执行实例开通、维护管理、参数组管理、备份恢复管理、监控告警管理、数据库空间管理、任务管理、日志管理、资源管理、用户管理等操作，实现数据库资源集中管理和高效率使用，数据库运维自动化和智能化，帮助客户快速便捷使用数据库以满足业务高速增长的IT支撑需求，是客户私有化部署的最佳实践。 产品功能 实例管理 提供各类数据库实例的查看、停止、恢复、注销、扩容、缩容等操作，可查看实例详情，实例名称、引擎版本、产品规格、创建时间等，以及实例部署的主机类型及配置信息。 安装部署 多种数据库引擎自动安装部署，包含实例开通和工单管理模块，可选择数据库引擎、规格、主机及配置参数，开通对应实例，并可通过工单管理模块，查看实例开通情况。 资源管理 包含主机和VIP管理模块，可添加主机并测试联通、检测主机配置，添加主机标签，并可进行修改密码、删除操作，添加主机后可对主机进行监控，查看监控总览。 监控中心 实时监控，提供不同维度的主机和数据库运⾏指标监控及变化趋势分析，可自由选择不同时间段，开启自动刷新，通过对指标的平均值、最大最小值查看，能够实时监控运维，及时发现问题。 告警中心 提供灵活的告警配置，自定义告警模板，自定义通知对象，可实时推送告警消息，帮助运维人员及时把握数据库运行状态，及时发现风险问题，并快速定位。 安全中心 提供完整的租户用户管理，可灵活支撑企业组织架构和业务分类的资源隔离需要，超级管理员可以创建不同租户，租户管理员可添加移除用户，其他用户可自定义配置角色权限，进行有限的操作。同时，安全中心提供用户访问日志管理，可用于运维监控和问题排查。 标签管理 提供自定义标签管理，包括设置标签的键值，可在主机、实例管理里打上标签，进行分类筛选。 诊断优化 提供数据库巡检，可进行一次性、周期性巡检，生成巡检报告，可查看/下载巡检报告，方便运维管理。 服务订阅 用户通过线下方式确定需要提供的数据库服务，销售人员生成所订阅的信息并导入到服务订阅模块，后续根据用户使用情况更新订阅信息，方便用户管理订阅内容。

6.救援模式 当AI云电脑故障无法登录AI云电脑时，使用救援模式提供临时访问通道，尝试登录及修复AI云电脑，或备份关键用户数据并重装系统。 注意 由于云电脑故障可能涉及底层虚拟化错误、存储损坏、网络基础设施故障等复杂原因，救援模式无法保证对所有故障都能成功救援。在极少数情况下，可能出现无法进入救援模式或无法恢复数据的情况。 7.报障 使用AI云电脑过程中，如遇到问题，选择“工具”，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 8.安全中心登录设备管理 在工具栏，选择“工具安全中心”，查看账号名称，登录设备，IP地址，登录时间以及下线时间。如需查看AI云电脑登录的设备或移除设备，点击“设备管理”。 9.电脑信息 工具栏，选择“工具”，偏好设置点击“电脑信息”，查看AI云电脑的配置信息。

查看安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看已有安全组。 3. 选中所要查看安全组规则的安全组，单击安全组的名称进入安全组的详情页。 4. 单击【入规则】可查看当前安全组下已有的入方向规则。 5. 单击【出规则】可查看当前安全组下已有的出方向规则。 删除安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户已有安全组。 3. 选中所要删除安全组规则的安全组，单击对应操作栏中的【编辑规则】，进入安全组的编辑页面。 4. 在编辑页面中单击【入方向规则】或者【出方向规则】，选中所要删除的安全组规则，在对应的操作栏中单击【删除】，再单击【提交】执行删除，删除后立即生效。

本文介绍如何下载日志。 当日志超过热日志分析上限时，系统将自动对超出部分执行归档操作。 日志归档周期：每日凌晨2点自动归档一次。 归档日志存储时间：180天。 下载归档日志 说明 文件生成时间与文件中日志起始时间可能存在较大差异，若选择文件时间内未找到目标时间日志，可下载与目标时间相邻的文件。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理归档日志”。 5. 查询日志： 选择模式：支持选择“云SAAS模式”、独享型实例。 日志文件名称：支持模糊搜索文件名称。 归档时间：根据选择的时间范围过滤文件归档时间。 6. 查看日志文件列表。 参数 说明 日志文件名称 根据归档文件生成时间命名的文件。 日志时间 显示该归档文件内日志的起止时间。 归档时间 显示文件的归档时间。 日志条数 当前文件内归档的日志条数。 文件大小 显示文件的大小。 文件类型 显示文件的类型，攻击日志或访问日志。 7. 下载日志：单击操作列的“下载”，下载对应日志文件。 选择“云SAAS模式”，支持下载对应归档文件。 说明 归档日志文件类型目前仅有“攻击日志”提供下载。 选择独享型实例，仅支持查看日志归档记录，不支持下载归档文件。

本文为您介绍云搜索实例内用户的创建和权限配置功能。 原理介绍 系统默认有admin用户，在admin用户下，可以创建不同用户。 账号密码提供了身份认证（authc），通过角色的映射实现了授权（authz），两者共同实现了多用户下的安全控制。 功能介绍 Elasticsearch和OpenSearch的此项功能类似，下面以OpenSearch Dashboards为例说明。 在OpenSearch Dashboards的左边栏Security菜单中，用户可以实现集群、索引、文档、字段等不同粒度的访问权限管控，并且提供灵活的用户删除、用户和角色的绑定和解绑。 下面，我们就以创建新用户并赋予它一个具备一定的访问权限的角色为例。 注意 必须登录admin账号创建其他用户。 1、创建Internal users 点击左边栏Security后，选择右上角Create internal user来创建用户。在页面中，我们输入用户名密码，并点击右下角“Create”创建用户。 用户创建完成后，我们自动返回Internal users界面，可以看到search用户已经创建完成。 2、创建角色 角色通过索引、实例多维度的精细访问控制，实现对实例、索引权限的安全组划分。如果复用已有的默认角色（不可删除），则无需创建，可以跳过此步骤。 下面我们将演示如何自定义角色。 登录左边栏Security界面，选择Roles，并且在右上角点击Create role： 1. 我们分别创建了角色名SearchRole，并且，在Cluster permission中给它赋予了相应的安全组权限。 2. 我们给它设定了索引级别的更细粒度的Index permission。 3. 下面还可以设置Document和Field维度的进一步细粒度的权限控制。 4. 点击右下角的Create ，就可以创建好角色SearchRole。

本章节介绍故障演练服务的委托授权相关功能。 概述 故障演练服务 需要与分布式缓存服务Redis版 、分布式消息服务Kafka 等其他云产品 协同工作。为实现这一目标，当您首次使用本服务时，系统会请求您授权创建一个服务内联委托 ，以便平台能够安全地访问和管理您在其他云产品中的相关资源。 权限说明 为完成故障注入 等功能，故障演练平台 需要获得访问其他云服务 的权限。为此，系统需要您授权创建一个名为 CtyunAssumeRoleForADTSChaos 的服务内联委托。 此委托将绑定一个名为 CtyunAssumeRolePolicyForADTSChaos 的系统权限策略，可在统一身份认证 中的策略管理查看到该策略的授权范围。 服务内联委托说明 当您首次登录故障演练平台 控制台时，系统会自动检查 CtyunAssumeRoleForADTSChaos 委托 是否存在。若不存在，系统会弹出授权提示。在您确认后，系统将自动为您创建该委托及关联的权限策略。 验证方法： 您可以在 IAM 控制台的角色管理 页面，或通过API/CLI调用 ListDelegates，查看已创建的服务内联委托。 一个更简单的验证方法是：刷新或重新登录故障演练平台 控制台，如果所有功能均可正常使用且不再弹出授权提示，则表示委托已成功创建。 注意 如果没有CtyunAssumeRoleForADTSChaos服务内联委托权限，可能会因为某个服务权限不足而影响系统功能的正常使用。 请不要自行删除或者修改CtyunAssumeRoleForADTSChaos 委托以及CtyunAssumeRolePolicyForADTSChaos策略，这可能导致故障演练服务无法正常工作。

修改Windows系统实例默认远程端口，以Windows Server 2012数据中心版为例。 操作步骤 1. 登录控制中心，进入轻量型云主机列表页面。 2. 通过控制台VNC远程登录待修改端口的Windows轻量型云主机实例。 3. 修改注册表子项PortNumber的值。 4. 右键单击Windows 徽标键，选择运行，启动运行窗口。 5. 在运行窗口的文本框内输入regedit.exe后按回车键，打开注册表编辑器。 6. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 7. 在列表中找到注册表子项PortNumber并右键单击，选择修改，进入修改窗口。 8. 在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击“确定”。 9. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 10. 在右侧列表中找到注册表子项PortNumber并右键单击，选择修改（可以使用键盘方向键向下寻找）。 11. 在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击确定。 12. 在轻量型云主机管理控制台中将此台云主机进行重启。 13. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 14. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。

云等保的测评要求 等保工作是一个持续的工作，等保测评也是一个周期性的工作，三级系统要求每年做一次，四级系统每半年做一次，二级系统部分行业明确要求每两年做一次，没有明确要求的行业一般是建议两年做一次测评。 定期等保合规基线检查 合规基线覆盖等级保护二级、三级技术要求主机安全检查330项。涵盖系统基线、应用基线、等保合规检查和CIS合规检查。 使用合规基线功能，无需任何人工干预，全自动高效清点，一旦安全配置被修改迅速响应并可定位到具体的主机及负责人，最大限度减少风险暴露的同时有效降低员工再犯可能。 选择合规基线模版 点击某个基线任务，可查看该任务中的基线检查列表，也可对单个基线进行检查。 检查合规基线扫描结果 根据选定的基线检查任务，检查结果按照每个检查项的维度展示了该检查项的基本信息，和在主机范围内检查结果的通过率。

本章节介绍了如何连接已开启SSL的分布式消息服务RocketMQ实例。 实例开启SSL时，数据使用加密传输，安全性更高。本文主要介绍在命令行模式下使用SSL连接RocketMQ实例的操作，其中包含VPC内和公网环境下两种连接场景。 在使用SSL连接的场景下，通过VPC内访问和通过公网环境访问，仅涉及连接IP和端口不一致，其他操作步骤是一样的，VPC内访问的连接端口为8100，公网环境下访问的连接端口为8200。 文中仅介绍公网环境下的连接示例，在VPC内连接时，替换为相应的连接地址即可。 前提条件 已创建RocketMQ实例，并记录实例详情中的“元数据连接地址”（VPC内访问）/“元数据公网连接地址”（公网访问）。 已配置安全组。 已创建Topic。 已创建弹性云服务器，并且弹性云服务器的VPC、子网、安全组与RocketMQ实例的VPC、子网、安全组保持一致。 已安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 1. 下载“rocketmqtutorial”示例软件包。 wget 2. 解压“rocketmqtutorial”。 unzip rocketmqtutorial.zip 3. 进入“rocketmqtutorial/bin”目录。 cd rocketmqtutorial/bin 4. 运行生产普通消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" 使用Ctrl+C命令退出。 5. 运行消费普通消息示例。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest 如需停止消费使用Ctrl+C命令退出。 6. 运行生产带消息轨迹的消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" m true 使用Ctrl+C命令退出。 7. 运行消费消息示例，并发送消息轨迹。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest m true 使用Ctrl+C命令退出。

本章节介绍了如何连接未开启SSL的分布式消息服务RocketMQ实例。 实例开启SSL时，数据使用加密传输，安全性更高。本文主要介绍在命令行模式下使用SSL连接RocketMQ实例的操作，其中包含VPC内和公网环境下两种连接场景。 在使用SSL连接的场景下，通过VPC内访问和通过公网环境访问，仅涉及连接IP和端口不一致，其他操作步骤是一样的，VPC内访问的连接端口为8100，公网环境下访问的连接端口为8200。 文中仅介绍公网环境下的连接示例，在VPC内连接时，替换为相应的连接地址即可。 前提条件 已创建RocketMQ实例，并记录实例详情中的“元数据连接地址”（VPC内访问）/“元数据公网连接地址”（公网访问）。 已配置安全组。 已创建Topic。 已创建弹性云服务器，并且弹性云服务器的VPC、子网、安全组与RocketMQ实例的VPC、子网、安全组保持一致。 已安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 1. 下载“rocketmqtutorial.zip”示例软件包。 wget 2. 解压“rocketmqtutorial”。 unzip rocketmqtutorial.zip 3. 进入“rocketmqtutorial/bin”目录。 cd rocketmqtutorial/bin 4. 运行生产普通消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" 使用Ctrl+C命令退出。 5. 运行消费普通消息示例。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest 如需停止消费使用Ctrl+C命令退出。 6. 运行生产带消息轨迹的消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" m true 使用Ctrl+C命令退出。 7. 运行消费消息示例，并发送消息轨迹。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest m true 使用Ctrl+C命令退出。

本文向您介绍备份弹性云主机。 操作场景 备份服务提供申请即用的服务，使您的数据更加安全可靠。例如，当云主机或磁盘出现故障或者人为错误导致数据误删时，可以自助快速恢复数据。本节操作介绍备份云主机和云硬盘的操作步骤。 使用须知 目前弹性云主机备份可以通过“云主机备份”和“云硬盘备份”功能实现： 云主机备份（推荐）：如果是对弹性云主机中的所有云硬盘（系统盘和数据盘）进行备份，推荐使用云主机备份功能，同时对所有云硬盘进行备份，避免因备份创建时间差带来的数据不一致问题。 云硬盘备份：如果对指定的单个或多个云硬盘（系统盘或数据盘）进行备份，推荐使用云硬盘备份功能，在保证数据安全的同时降低备份成本。 云主机备份操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“存储 >云备份”，并点击左侧菜单栏“存储库管理”，进入存储库管理页。 4. 单击右上角“创建存储库”，绑定云主机及备份策略。 如果云主机已绑定存储库，则根据界面提示，配置备份信息。 如果云主机未绑定存储库，请先购买存储库，配置备份信息。 5. 单击“下一步”。系统会自动为云主机创建备份。 在“备份副本”页签，产生的备份的“备份状态”为“可用”时，表示备份任务执行成功。 为了保证数据完整性，建议备份完成后再执行重启。 详细操作请参见：云主机备份介绍。

本章节介绍如何对已添加的数据库资产进行删除。 操作删除后，该资产在DSC服务里建立的相关任务模板以及扫描任务结果报告都将被删除，且无法恢复。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 待删除的数据库资产未被应用在敏感数据检测任务中。 约束条件 如果需要删除的数据库资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 删除操作无法恢复，删除后，资产相关的任务模板、任务结果、报表都将被删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“数据库 > 已授权”，进入已授权数据库资产列表页面。 5.在数据库资产列表中，在需要删除的数据库资产所在行的“操作”列，单击“删除”。 6.在弹出删除资产提示框中，单击“确定”。