本章节介绍了如何创建GaussDB 的实例，用作迁移任务目标库。 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“数据库 > 云数据库GaussDB ”。 4. 在左侧导航栏选择GaussDB > 实例管理。 5. 单击“购买数据库实例”。 6. 配置实例名称和实例基本信息。 7. 选择实例规格。 本示例中为测试实例，选择较小的测试规格，实际可选规格以界面为准。 8. 选择实例所属的VPC和安全组、配置数据库端口。 9. 配置实例密码等信息。 10. 单击“立即购买”。 11. 返回实例列表。 当实例运行状态为“正常”时，表示实例创建完成。

云主机备份和云硬盘备份有什么区别？ 两者的主要差异如下表所示。 对比维度 云主机备份 云硬盘备份 备份/恢复对象 服务器中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个服务器下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本

日志菜单 日志说明 当SWG高阶网关检测存在安全威胁时将实时进行告警，您可通过对应防护日志进行查询处置情况。 介绍安全报表模块，支持查看六个月内、最长时间跨度为一个月的已防护域名的安全报表。在SWG高阶网关场景，仅需关注Web安全报表，您可以在这里查看实时或历史的攻击防护情况。

本文介绍安全加速计费类问题。 停用安全加速服务后，为什么仍有一部分费用产生？ 造成该情况的原因主要有以下两种： 1. 在停用安全加速服务后，若客户LocalDNS服务器中缓存未过期，LocalDNS会继续把访问已停用安全加速域名的请求解析到加速节点，造成少量安全加速流量计费。 2. 一些下载类软件也存在LocalDNS缓存，在这部分缓存过期前，下载类软件也会把访问已停用安全加速域名的请求解析到加速节点上，造成少量安全加速流量计费。 安全加速中基础带宽方式中日流量计费和日带宽峰值计费是否支持互相变更计费方式？ 此两种计费方式之间可以自由切换，新的计费方式将在下一个计费周期生效。需需要注意的是，一个计费周期内，仅能变更一次。 安全加速的收费项都有哪些？ 安全加速主要有两大功能项：waf防护功能和CC流量清洗功能，每个功能项下面会有不同的计费项 当用户开通了waf防护功能时： 计费项包括：waf防护包+上行+下行总带宽的日峰值带宽/流量+防护请求数+静态https请求数，按日扣费 当用户开通了CC流量清洗功能时： 计费项包括：CC流量清洗包+弹性带宽阶梯+上行+下行总带宽的日峰值带宽/流量+静态https请求数+动态请求数 当用户同时开通waf防护功能和CC流量清洗功能时： 计费项包括：waf防护包+上行+下行总带宽的日峰值带宽+防护请求数+CC流量清洗包+弹性带宽阶梯+静态https请求数，按日扣费 安全加速，但是没有开启https的功能，是否需要收费安全加速，但是没有开启https的功能，是否需要收费 使用安全加速，但是没有使用https的功能，是不会针对https的请求数去费用的。

本节介绍创建windows云电脑的操作说明。 天翼AI云电脑（政企版）可以通过资源包或单实例方式开通Windows系统的普通AI云电脑和GPUAI云电脑。 如需通过资源包方式开通AI云电脑，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.创建方式来源选择“资源包”或“单实例”； 资源包方式开通：管理员可通过已订购资源包，通过资源包的资源分配方式开通AI云电脑，无需单独付费。 单实例方式开通：管理员可以选择AI云电脑配置，直接通过付费完成AI云电脑的开通。 4.选择“Windows”系统类型； 5.选择规格类型“普通AI云电脑”或“GPUAI云电脑”，再根据需求选择AI云电脑规格； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 6.选择AI云电脑的“镜像类型”； 7.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 8.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 9.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 10.其它电脑实例配置信息，根据需要自行配置； 11.确认相关的配置信息，点击“创建桌面”，即完成电脑开通。

本章介绍网页防篡改、容器安全与主机安全共用Agent。 是的。同一服务器安装一次Agent即可满足网页防篡改、容器安全与主机安全所有版本的使用，无需多次安装。

AI 网关支持为MCP服务配置消费者认证。通过API key和JWT的认证方式验证身份,精准控制 API 访问权限,实现租户隔离,有效防止未授权访问和资源滥用。本文为您介绍如何配置消费者认证。 配置MCP服务级别消费者认证 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"MCP管理MCP服务"，进入MCP服务详情页，切换到"消费者认证"页签。 4. 单击配置信息右侧的"编辑"，进行如下参数配置： 注意 开启消费者认证后，若没有配置授权关系，将无法访问当前API。 启用状态：开启或关闭消费者授权开关，默认关闭。 认证方式：目前支持API Key和JWT两种方式。 API Key：客户端访问时，需将凭证以指定的方式添加至请求中，网关收到请求后会验证API Key的合法性及权限。 JSON Web Token (JWT)： 用于在客户端和服务端之间以JSON对象的形式安全地传输信息，该信息可以被验证和信任。 5. 在消费者区域单击授权，选择消费者，单击"添加"。

AI 网关支持为Model API配置消费者认证。通过API key的认证方式验证身份,精准控制 API 访问权限,实现租户隔离,有效防止未授权访问和资源滥用。本文为您介绍如何配置消费者认证。 配置Model API消费者认证 1. 登录 云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"Model API"，单击Model API名称，进入Model API详情页，然后单击"消费者认证"页签。 4. 单击配置信息右侧的"编辑"，进行如下参数配置： 注意 开启消费者认证后，若没有配置授权关系，将无法访问当前API。 启用状态：开启或关闭消费者授权开关，默认关闭。 认证方式：目前支持API Key和JWT两种方式。 API Key：客户端访问时，需将凭证以指定的方式添加至请求中，网关收到请求后会验证API Key的合法性及权限。 JSON Web Token (JWT)： 用于在客户端和服务端之间以JSON对象的形式安全地传输信息，该信息可以被验证和信任。 5. 在消费者区域单击授权，选择消费者，单击"添加"。

本文将介绍针对命中安全能力防护策略产生的攻击日志。 当安全与加速检测存在安全威胁时将实时进行告警，您可通过对应防护日志进行查询处置情况。 操作步骤 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择运营管理>日志服务>安全攻击日志。 3. 安全防护日志的记录范围为：命中安全与加速服务中Web攻击、Bot攻击、API攻击、CC攻击、访问控制、频率控制策略的攻击请求。 4. 可针对需求进行查询相关日志情况。 注意 需开通安全与加速服务，已开启对应安全能力并产生攻击请求时才可查看到相应防护数据。 最多支持查询或导出180天数据，若有长时间导出日志需求，可 。 字段说明 字段 字段说明 攻击时间 攻击请求发生的时间 请求方式 客户端的请求方法 URI 请求的URI REQUESTURI 请求的URI（包含问号（？）后面的部分） 攻击ID 攻击请求命中的防护规则ID 攻击IP 发起请求的客户端IP 源端口 发起请求的客户端源端口 域名 攻击的目标域名 攻击类型 发生安全事件详细的攻击类型 状态码 响应的状态码 处理动作 即针对攻击请求作出的处理动作，通常为告警、拦截、丢弃等，具体依照安全策略配置而定 攻击详情 点击序号左侧的展开按钮，能够查看攻击客户端IP的详细属性，比如地域归属、UA等

本页介绍天翼云TeleDB数据库数据库安装环境的安全。 数据库安装环境的安全，建议应该参考信息安全等级保护（三级）标准进行建设，例如： 数据库应该安装在与互联网网络隔离的安全网络中，不应对外暴露数据库的具体物理位置、IP信息。 日常运维全过程应该进行有效控制，避免运维安全风险，除配置数据的安全功能外，还建议配置堡垒机对整个运维过程进行有效管理。 除数据库本身外，使用方应该保护应用通信流和所有相关的应用资源免受利用Web协议发动的攻击，包括SQL注入、跨站脚本、网页篡改和挂马等，同时提供防病毒功能，对各种病毒、蠕虫、木马进行检测和过滤等。以避免应用资源和网络被攻破后导致数据库内核心数据的泄露。 数据库安装的物理（虚拟）环境、操作系统等，应有效保障其安全，有效管理。

为资产绑定安全规则 单条规则绑定资产 1.在左侧菜单栏选择“规则配置 > 安全规则 > 规则管理”进入安全规则页面。 2.选择需要启用的安全规则 ，单击该条目的资产数量字段中的图标。 3.在弹出“设置使用规则资产”窗口中，选择按“资产”或“集群”进行绑定，勾选需要绑定的“资产”或“集群”，单击“确定”即可完成绑定。 多条规则绑定资产 1.在左侧菜单栏选择“规则配置 > 安全规则 > 规则管理”进入安全规则页面。 2.勾选多条需要启用的安全规则，单击列表下方的“启用选中项”。 3.在弹出“设置使用规则资产”窗口中，选择按“资产”或“集群”进行绑定，勾选需要绑定的“资产”或“集群”，单击“确定”即可完成绑定。

本文介绍Referer防盗链的配置方法。 功能介绍 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，全站会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，全站会返回资源链接；拒绝访问请求，全站会返回403响应码。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 打开【Referer防盗链】功能，默认为关闭。 6. 按需启用【是否允许空referer访问】、【是否允许空协议】、【匹配所有端口】、【忽略大小写】、【是否追加】。 7. 设置类型，选择【白名单】或【黑名单】，每种类型最多添加400个，使用换行符分隔，支持通配，支持IP，支持端口，如：.ctyun.cn、ctyun.cn:80、127.0.0.1:80、localhost、匹配所有端口：ctyun.cn(:[09]+)?。 8. 单击【保存】，完成配置。 参数名 说明 Referer防盗链 默认关闭，开启后可配置Referer防盗链。 是否允许空Referer访问 默认开启，即允许空Referer访问，若要禁止空Referer访问，需关闭此功能。 是否允许空协议 默认关闭，即不允许空协议访问，若要支持空协议访问，需开启此功能。 匹配所有端口 默认关闭，即根据实际配置Referer进行匹配，若要匹配所有端口，需开启此功能。 忽略大小写 默认关闭，即根据实际配置的Referer大小写字符进行匹配，若要忽略大小写匹配，需开启此功能。 是否追加 默认关闭，即需要全量下发，开启后可增量下发。 类型 可选择配置白名单或者黑名单，二选一。 黑名单：黑名单内的域名无法访问资源。 白名单：只有白名单内的域名可以访问资源。如果有同时开启允许空Referer访问，则空Referer也可访问资源。

阶段 项目活动 工作内容 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍整体服务工作 第一阶段：咨询服务启动 等保测评技术指导、讲解 测评内容介绍 第一阶段：咨询服务启动 等保测评技术指导、讲解 确认保密管理内容 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍风险管理措施 第一阶段：咨询服务启动 等保测评技术指导、讲解 讲解等保要求细则 第一阶段：咨询服务启动 等保测评技术指导、讲解 输出《等保测评技术指导》 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 依据等级保护要求，对客户系统进行安全自评估，进行差距分析 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全物理环境 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全通信网络 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全区域边界 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全计算环境 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 差距分析 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 输出《差距分析评估》 第三阶段：整改建议 （仅标准版提供） 根据差距分析，提供整改建议 差距分析整理，提供差距建议，输出《差距整改方案》

本文介绍了AOne平台子用户管理概述。 需求场景 AOne边缘安全加速平台包含多种服务，如安全与加速、边缘接入、零信任、开发者平台等；同时某些服务（如安全与加速），还可能涉及不同的域名资源。 某些用户场景，需要多个可访问AOne平台控制台的账号，并且针对不同的账号设置不同访问的权限，常见的需求包括： 添加子用户A，具有AOne所有的访问、编辑权限（所有菜单、所有域名）。 添加子用户B，只具有AOne安全与加速服务控制台的访问权限，不可访问零信任、边缘接入等其他服务控制台。 添加子用户C，只具有AOne安全与加速服务控制台的可查看权限，不具备编辑权限。 添加子用户D，只具有AOne安全与加速服务控制台部分域名的配置权限，不可查看、配置其他域名资源。 …… 总结：用户需要能够设置不同角色，从子用户可访问的菜单、子用户可访问的域名、子用户的可读/可写权限三个维度进行授权。 最佳实践 AOne边缘安全加速平台已对接CDN+ IAM组件，可实现在CDN+平台的工作区创建子用户，并为子用户分配不同的角色。 AOne边缘安全加速平台包含三种内置角色，内置角色的权限策略用户不编辑，此外支持定制角色实现更复杂的访问控制场景。 内置角色 角色说明 边缘安全加速平台管理者 最高权限，具备该角色的用户可查看配平台所有菜单、所有域名，并且具备编辑权限。 边缘安全加速平台参与者 查看权限，具备该角色的用户可查看平台所有菜单，但是无法查看任何域名并且不具备安全与加速服务控制台的编辑权限 边缘安全加速平台查看者 查看权限，具备该角色的用户可查看平台所有菜单、所有域名，但是不具备安全与加速服务控制台的编辑权限。 说明 边缘安全加速平台参与者与查看者角色，当前仅针对安全与加速服务控制台的可编辑权限进行了限制，其余服务控制台暂未进行限制，仍具备编辑权限。 当内置角色的权限能够满足用户授权需求时，可直接给子用户赋予内置角色。操作步骤参考：新增子用户关联内置角色。 当内置角色的权限不能满足用户授权需求时，可创建定制角色后，给子账号赋予定制角色。操作步骤参考：新增子用户关联定制角色。

本文介绍防护请求数资费。 销售品名称 规格（万次） 标准资费价格 安全加速WAF防护请求数包 100 16元 安全加速WAF防护请求数包 1000 154元 安全加速WAF防护请求数包 10000 1530元 安全加速WAF防护请求数包 100000 15300元 安全加速WAF防护请求数包 1000000 153000元

态势感知（专业版）支持实时检测整体资产的安全状态，评估整体资产安全健康得分。 通过查看安全评分，可快速了解未处理风险对资产的整体威胁状况。 资产安全风险修复后，为降低安全评分的风险等级，目前需手动忽略或处理告警事件，刷新告警列表中告警事件状态。告警事件状态刷新并启动重新检测后，安全评分将更新。 安全评分： 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面，对不合格的基线检查项目进行处理。 5. 在左侧导航栏选择“风险预防 > 漏洞管理”，进入漏洞管理页面，对漏洞进行处理。 6. 在左侧导航栏选择“威胁管理 > 告警管理”，进入全部告警管理页面，对告警事件进行处理。 7. 相应告警事件处理后，返回“态势感知 > 态势总览”页面，单击“重新检测”，检测后可查看更新的安全评分。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。

本文指导您如何使用云间高速及云企业路由器实现同地域云上云下网络互通。 场景示例 某企业拥有一个本地IDC（Internet Data Center），并通过SDWAN连接至天翼云。为了满足业务发展的需求，企业希望本地IDC与VPC、VPC与VPC之间能够互相通信，资源能够互相访问。 为了实现这一目标，企业可以考虑使用云间高速产品。通过将2个VPC和1个SDWAN连接至华东1地域的云企业路由器实例，企业可以快速实现同地域下本地IDC与VPC、VPC与VPC之间的资源互访。 在实施过程中，企业需要确保本地IDC与VPC、VPC与VPC之间的路由信息能够及时更新，以避免网络延迟和数据包丢失。此外，企业还需要考虑网络安全和权限控制等问题，以确保网络的安全性和可靠性。 通过使用云间高速产品，企业可以快速实现本地IDC与VPC、VPC与VPC之间的资源互访，从而更好地满足业务发展的需求。 前提条件 本地IDC已经通过物理专线和VBR与天翼云建立了稳定的连接。 在天翼云华东1地域，我们创建了两个VPC（虚拟私有云），并使用云主机在两个VPC中部署了应用服务。 请确保每个VPC在云企业路由器支持的可用区中拥有足够的交换机实例，且每个交换机实例拥有至少一个空闲的IP地址。

本文介绍如何创建有状态应用。 有状态应用与无状态应用的创建流程相似，有状态应用（StatefulSet）包含pod一致性、稳定的持久化存储、稳定的网络标志、稳定的次序。 注： 创建多个容器应用时，请确保容器应用使用的端口不冲突 ，否则部署会失败。 操作前提 若基于私有镜像创建应用，用户首先需要将镜像上传至镜像仓库。将镜像上传至容器镜像仓库的具体操作请参考客户端上传私有镜像。 操作步骤 1.在左侧控制台导航栏中选择【工作负载】>【有状态应用】，进入有状态应用列表； 2.单击【创建应用】，进入应用创建页面； 3.按照页面提示填写，包含基本信息、容器设置、添加服务、高级配置几步。 1）基本信息填写：按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 应用名称 新建容器应用的名称，命名必须唯一 集群 应用所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 应用所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 实例数量 应用可以有一个或多个实例，用户可以设置具体实例个数。每个应用实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，应用还能正常运行 2）单击【下一步】，进入容器设置页面，完成镜像选择及容器配置（可选项：一个应用实例包含1个或多个相关容器。若您的应用包含多个容器，请单击【添加】，进行容器的添加）；请按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 选择镜像 天翼云官方镜像：展示了天翼云官方平台的公开镜像 我的镜像：展示了用户创建的所有镜像仓库 镜像版本 根据导入的镜像，决定其可选择的版本 容器名称 容器的名称，可修改 容器规格 可选择设定的配额，或选择自定义配额 高级配置 生命周期：生命周期脚本定义，针对容器类应用的生命周期事件采取的动作。步骤参见设置应用生命周期 . 启动命令：输入容器启动命令，容器启动后会立即执行 . 启动后处理：应用启动后触发 . 停止前处理：：应用停止前触发 高级配置 环境变量：容器运行环境中设定的一个变量。可以在应用部署后修改，为应用提供极大的灵活性。 在“环境变量”页签，单击“添加环境变量”。变量类型分三种：手动添加、私密凭据导入、配置项导入。手动添加时，输入变量名称、变量/变量引用；私密凭据导入时，填写变量名称，并选择已经导入的变量/变量引用；配置项导入时，填写变量名称，并选择已经导入的变量/变量引用 高级配置 数据存储：支持挂载本地磁盘到容器中，以实现数据文件的持久化存储。详细步骤请参见为应用挂载数据卷 高级配置 健康检查：用于监测容器是否正常运行。设置了存活与业务两种探针 高级配置 安全设置：请输入用户ID，对容器权限进行设置，保护系统和其他容器不受其影响。 高级配置 容器日志：设置日志采集策略、配置日志目录。用于收集容器日志以及日志防爆 3）单击【下一步】，进入添加服务页面>【添加服务】； 有状态应用必须填写【实例间发现服务】，请输入服务名称、端口名称、端口号完成添加； （可选）点击【添加服务】，该步骤非必要步骤，也可后期进行配置，具体配置参数说明请参考设置应用访问策略。 4）（可选）单击【下一步】，进入高级配置页面，为应用设置更多高级设置，你可以为集群添加升级策略、迁移策略、缩容策略、调度则略，具体相关说明如下： 配置升级策略 参数 说明 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断 滚动升级 滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断 配置迁移策略 选择是，输入时间，可设置范围(09999秒)，默认30秒，输入为有效整数。当应用实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗； 选择否，应用实例所在的节点不可用时，应用实例将不会调度到其它可用节点。 配置缩容策略 输入时间，可设置范围(09999秒)，默认30秒；为应用删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该应用将被强制删除。 配置调度策略 你可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。详情请参见设置应用调度策略。 5）配置完成后请单击【提交】,等待应用创建完成，创建完成后返回应用列表； 4.在应用列表中，待应用状态为“运行中”，应用创建成功。应用状态不会实时更新，请按F5查看。

测试场景 本章节主要测试RocketMQ不同产品规格在发送1KB大小的消息，实例的网络入流量、网络出流量、消息生产速率、消息消费速率、CPU核均负载和内存使用率。 测试环境 购买实例 名称 规格 存储空间 rocketmq01 c7.xlarge.2 4C8G 超高I/O 500GB rocketmq02 c7.2xlarge.2 8C16G 超高I/O 500GB rocketmq03 c7.4xlarge.2 16C32G 超高I/O 500GB 控制台创建主题 名称 权限 关联代理 队列个数 topic01 发布+订阅 broker1 8 控制台创建消费组 名称 关联代理 最大重试次数 是否允许以广播模式消费 group01 broker1 16 否 测试工具准备 购买1台ECS服务器（区域、可用区、虚拟私有云、子网、安全组与RocketMQ实例保持一致，Linux系统），安装jdk，并配置环境变量 tar zxvf jdk8u131linuxx64.tar.gz vi /etc/profile 追加以下内容 export JAVAHOME/root/jdk1.8.0131 export PATH$JAVAHOME/bin:$PATH 生效配置 source /etc/profile 下载测试工具 wget 解压测试工具 unzip rocketmqall5.1.4binrelease.zip 测试命令

本文主要介绍ELB的权限。 如果您需要对云上创建的弹性负载均衡资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云上资源的访问。详请请参见统一身份认证。 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云上资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ELB的使用权限，但是不希望他们拥有删除负载均衡器等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用负载均衡器，但是不允许删除负载均衡器的权限策略，控制他们对ELB资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ELB服务的其它功能。 ELB权限 默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ELB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该策略仅对此项目生效，如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ELB时，需要先切换至授权区域。 根据授权精度程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云上各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 ELB系统权限表 系统角色/策略名称 描述 类型 ELB FullAccess 操作权限：对弹性负载均衡服务的所有执行权限。作用范围：项目级服务。 系统策略 ELB ReadOnlyAccess 操作权限：对弹性负载均衡服务的只读权限。作用范围：项目级服务。 系统策略 常用操作与系统策略的关系 操作 ELB FullAccess ELB ReadOnlyAccess 创建负载均衡器 √ × 查询负载均衡器 √ √ 查询负载均衡器状态树 √ √ 查询负载均衡器列表 √ √ 更新负载均衡器 √ × 删除负载均衡器 √ × 创建监听器 √ × 查询监听器 √ √ 修改监听器 √ × 删除监听器 √ × 创建后端主机组 √ × 查询后端主机组 √ √ 修改后端主机组 √ × 删除后端主机组 √ × 创建后端主机 √ × 查询后端主机 √ √ 修改后端主机 √ × 删除后端主机 √ × 创建健康检查 √ × 查询健康检查 √ √ 修改健康检查 √ × 关闭健康检查 √ × 创建弹性公网IP × × 绑定弹性公网IP × × 查询弹性公网IP √ √ 解绑弹性公网IP × × 查看监控指标 × × 查看访问日志 × ×

本节主要介绍如何新增操作连接。 含义：操作连接是安全编排流程中，每个插件节点需要使用到的连接域名和鉴权参数。 作用：用于在安全编排的流程执行过程中，每个插件节点运行时，传入需要连接的域名信息，以及在访问该域名时，需要使用到的用户鉴权信息，如用户名/密码、账号AK/SK等。 操作连接与插件的关系：每个插件在运行过程中，需要通过域名调用的方式访问其他云服务或者三方服务，调用过程中需要鉴权，因此，在插件的登录凭证参数中会定义需要的域名参数（Endpoint）和认证参数（用户名/密码、账号AK/SK等）。操作连接则是配置插件登录凭证的参数值，流程中每个插件节点绑定不同的操作连接，支持相同插件的不同节点访问不同的服务。 前提条件 已新增工作空间，具体操作请参见新增工作空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“操作连接”页签，进入连接管理页面。 5. 在操作连接管理页面中，单击“新增”，右侧弹出新增操作连接面板。 6. 在新增操作连接面板中，配置连接参数，参数说明如下表所示。 参数名称 说明 连接名称 输入操作连接名称。名称规则如下： 可输入英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（）。 长度不能超过64个字符。 插件 选择资产连接所需的插件。插件详细信息请参见查看插件详情。 描述 可选参数，输入资产描述，描述信息长度不能超过64个字符。 7. 单击“确认”，返回列表，即可查询已经创建的操作连接信息。

业务场景分析 多个并发请求同时修改同一份数据， 比如多个营业员并发对同一个客户的资料进行修改。 同时修改同一份数据会并发冲突，导致数据不正确的可能，对业务产生不可预估的影响。目前几乎很多大型网站及应用都是分布式部署的，分布式场景中的数据一致性问题一直是一个比较重要的话题。 解决方案 对于分布式锁可以基于数据库实现分布式锁，但带来的问题是性能不足，无法满足大型应用的高并发使用场景。这时基于缓存（Redis等）去实现分布式锁，带来了显著性能优势。 Redis实现分布式锁的原理是基于: 存在判断KEY是否存在的命令，以及KEY设置TTL，防止死锁的机制。 下面是一个简单的实现思路： （1）获取锁的时候，使用setnx加锁，并使用expire命令为锁添加一个超时时间，超过该时间则自动释放锁，锁的value值为一个随机生成的UUID，通过此在释放锁的时候进行判断。 （2）获取锁的时候还设置一个获取的超时时间，若超过这个时间则放弃获取锁。 （3）释放锁的时候，通过UUID判断是不是该锁，若是该锁，则执行delete进行锁释放。 由于开源已经有非常多成熟的方案， 下面是基于redisson（一个开源的JAVA redis库）实现分布式锁，可参考如下示例： maven org.redisson redisson 3.25.0 示例代码 RLock lock redisson.getLock("myLock"); // traditional lock method lock.lock(); // or acquire lock and automatically unlock it after 10 seconds lock.lock(10, TimeUnit.SECONDS); // or wait for lock aquisition up to 100 seconds // and automatically unlock it after 10 seconds boolean res lock.tryLock(100, 10, TimeUnit.SECONDS); if (res) { try { ... } finally { lock.unlock(); } }

本文介绍回源SNI功能的原理和使用说明。 功能介绍 如果一个源站IP地址绑定多个域名，且CDN加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，CDN节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认CDN节点请求的具体域名，然后返回该域名对应的SSL证书给CDN节点。 设置回源SNI后的工作流程如下： 1. 当CDN节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. CDN节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

本文通过图文介绍如何停用域名和删除域名。 背景说明 如果客户的网站因业务变更需要停止CDN加速服务，客户可以通过CDN控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”，且天翼云CDN会立即将加速域名的CNAME解析至不可用地址。 删除域名 对域名进行删除操作后，天翼云CDN会直接删除加速域名在CDN节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至CDN节点，则会响应403。 注意事项 停用CDN加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云CDN入口，调整为解析至其他CNAME或A记录。该调整完成后，客户可以通过CDN加速控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用CDN加速域名 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，选择对应域名，单击【操作】列下的【更多】，可看到【停用】按钮。 4. 单击【停用】按钮，单击【确认停用】。 如您需要删除已停用域名，等待停用域名工单完成后继续按如下删除CDN加速域名的流程进行操作。

本文介绍如何关闭加速服务。 如果客户的网站因业务变更需要关闭全站加速服务，可以通过客户控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，天翼云会将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为【已停止】。 对域名进行停用操作后，节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行【启用】操作。 删除域名 对域名进行删除操作后，天翼云会直接删除加速域名在节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至节点，则会响应403。 注意事项 停用全站加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云全站加速入口，调整为解析至其他CNAME或A记录。该调整完成后，可以通过客户控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用全站加速域名 1. 登录客户控制台。 2. 左侧导航栏单击选择【域名管理】。 3. 单击【域名列表】，选择对应域名，操作列点击【更多】可看到【停用】按钮。 4.单击【停用】按钮，跳出【停用确认】框，点击【确认停用】后进入停用流程。 如您需要删除已停用域名，等待停用域名流程完成后继续按如下删除加速域名的流程进行操作。

本章节主要介绍翼MapReduce的下载客户端操作。 操作场景 MRS集群提供了默认的客户端，用户可以通过客户端执行管理操作、运行业务或进行二次开发。使用客户端前需要下载客户端软件包。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 概览 > 更多 > 下载客户端”。 界面显示“下载集群客户端”对话框。 3. 在“选择客户端类型”选择一个类型。 “完整客户端”表示下载包中包含了脚本、编译文件和配置文件。 “仅配置文件”表示下载包仅包含客户端配置文件。 一般适用于应用开发任务。例如完整客户端已下载并安装后，管理员通过Manager界面修改了服务配置，开发人员需要更新客户端配置文件的场景。 说明 平台类型包括x8664和aarch64两种，可分别在x86和TaiShan节点上安装使用。默认情况下，下载的客户端平台类型和服务端保持一致。 4. 是否在集群的节点中生成客户端软件包文件？ 是，勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件。 文件生成后默认保存在主管理节点“/tmp/FusionInsightClient/”。支持修改为其他目录且omm用户拥有目录的读、写与执行权限。如果路径中已存在客户端文件，会覆盖路径下已有的客户端文件。 等待文件生成后，使用omm用户或客户端安装用户将获取的下载包复制到其他目录，例如“/opt/Bigdata/client”。 否，单击“确定”，下载客户端文件至本地。 开始下载客户端软件包，并等待下载完成。 客户端下载成功后，参考安装客户端进行客户端的安装。

临时安全凭证的优势 在给外部联邦用户授权时，临时安全凭证的优势尤为明显，您不必给外部联邦用户授予需要定时轮换，主动撤销的永久安全凭证，而是给这些外部联邦用户授予即时使用，定时过期的临时安全凭证，提高帐号的安全性，遵循权限最小化的安全实践原则。 临时安全凭证的使用方法 临时安全凭证包括临时AK/SK和SecurityToken，临时AK/SK和SecurityToken必须同时使用，临时安全凭证与永久安全凭证的使用方法几乎相同，使用临时安全凭证进行鉴权时，请求头中需要添加“xsecuritytoken”字段。

本章介绍查看异地登录的源IP方法。 告警策略 异地登录检测功能实时检测您服务器上的异地登录行为，您配置常用登录地后，对于在非常用登录地的登录行为HSS会立即进行告警。 在控制台查看异地登录记录 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“入侵检测 > 安全告警事件 > 主机安全告警”，查看“异常登录”，单击告警名称“异地登录”查看详情。 本地查看登录记录 对于linux主机，您可以在“/var/log/secure”和“/var/log/message”路径下查看日志，或使用last命令查看登录记录中是否有异常登录。

日志分析量扩展资源会过期吗？ 每月优先使用主资源赠送的日志分析量，当赠送部分使用完毕后再消耗日志分析量扩展资源。未用完的日志分析量扩展资源会一直累积（赠送部分每月清零不进行累积）。 如何查看当前购买产品的产品规格？ 购买、续订、升级扩容后可以通过产品信息页面查看所购买产品的规格，同时个人消息中心以及用户绑定的手机也能够收到相关的购买成功提示短信。 查看购买后的云安全中心规格方式如下： 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全>云安全中心”。 3. 进入产品服务页面，选择“已购资源”。 说明 购买成功后需要等待一段时间相关规格才能刷新，预计等到12分钟左右。

云硬盘备份产品广泛应用于多种场景,本文带您更快了解云硬盘备份的经典应用场景。 云硬盘备份的一个经典应用场景是数据备份恢复场景。 场景说明 病毒感染，系统故障：用户可使用云硬盘备份产品，将云硬盘恢复到最近一份未被病毒感染或未发生故障的备份副本的状态，避免数据丢失。 人为损坏数据或误操作：用户可通过使用云硬盘备份产品，将备份数据快速恢复到源盘中，减少数据损失。 目标用户 适用于政府、金融等具有大量数据，且对数据有安全性要求的客户，可借助云硬盘备份实现数据的存储及复原，防止因意外、事故等导致的数据丢失。 场景架构

配置项 说明 规格方案 选择或手动输入合理的 vCPU规格 和 内存规格 组合。vCPU大小（单位为核）与内存大小（单位为GB）的比例必须设置在1:1到1:4之间。 临时硬盘大小 根据您的业务情况，选择硬盘大小。函数计算为您提供512 MB以内的磁盘免费使用额度。 执行超时时间 设置超时时间。默认为60秒，最长为86400秒(24小时)。超过设置的超时时间，函数将以执行失败结束。 实例并发度 设置函数实例的并发度。 时区 选择函数的时区。此处设置函数的时区后，将自动为函数添加一条环境变量 TZ ，其值为您设置的目标时区。 函数角色 如果您的代码逻辑需访问其他云服务，请创建角色并为角色最小化授予访问其他云服务的权限。 允许访问 VPC 是否允许函数访问VPC内资源。 专有网络 允许访问 VPC 选择 是 时必填。创建新的VPC或在下拉列表中选择要访问的VPC ID。 子网 允许访问 VPC 选择 是 时必填。创建新的子网或在下拉列表中选择子网ID。 安全组 允许访问 VPC 选择 是 时必填。创建新的安全组或在下拉列表中选择安全组。 允许函数默认网卡访问公网 是否允许函数可以通过默认网卡访问公网。关闭后，当前函数将无法通过函数计算的默认网卡访问公网。使用固定公网IP地址功能时，您必须关闭 允许函数默认网卡访问公网 。

本文介绍如何创建会议。 快速会议 适用场景 当您需要临时召开会议，可使用“快速会议”功能。该功能适用于突发性的临时会议需求，如紧急协调或临时决策。 操作步骤 1. 打开AOne会议客户端，进入主界面。 2. 点击首页“快速会议”按钮，即可发起快速会议并自动入会。 3. 会中可点击左上角的“会议详情”按钮，或工具栏中的“邀请参会”>“分享会议”按钮。 4. 在弹出的窗口中复制会议号或会议链接。 5. 将会议号或会议链接通过微信、邮箱、钉钉等方式发送给需要参会的人员，即可完成邀请。 注意事项 快速会议默认为立即生效、无需密码，若有安全需求，请在会中通过“安全”按钮打开设置，手动设置锁定会议或入会范围。 发起人自动成为会议主持人，可进行全局会控操作。 默认时长为30分钟，如若超过会议结束时间6小时仍未结束会议，系统将会强制结束会议。 预定普通会议 适用场景 当您需要提前安排会议并通知参会人员时，可使用“预定会议”功能。适用于正式会议、面试、线上培训等场景。 操作步骤 1. 打开AOne会议客户端，进入主界面。 2. 点击首页的“预定会议”按钮。 3. 在“预定会议”设置页面，填写以下信息： 会议主题 、开始时间 、结束时间。 参会人员（可选），点击“添加参会人”邀请本企业成员。 是否启用入会密码 、等候室、会议水印、成员入会时静音、成员入会时关闭摄像头等安全配置。 是否启用自动开启云录制，可选择“主持人入会后开启”或“成员入会后开启”。启用后，该会议将在主持人/成员加入会议时自动开启云录制。 4. 点击“预定会议”，完成会议创建。 5. 会议创建成功后，可在您的会议列表中查看该会议。