云防火墙（原生版） N100型为用户提供了全面的IPv6支持方案，本文将详细说明在实施和迁移到IPv6环境时的最佳实践。 前提条件 在使用云防火墙（原生版） N100型的IPv6方案之前，确保满足以下前提条件： 双栈云主机 ：承载云防火墙（原生版） N100型的云主机必须支持IPv6双栈，即同时支持IPv4和IPv6协议。如果当前云主机不支持双栈，请重新下单申请新的支持双栈的云主机，关于双栈云主机的详细信息请参见双栈云主机。 子网启用IPV6 ：在迁移过程（重新下单）中，承载云防火墙（原生版） N100型的云主机所在的子网必须启用IPv6。确保子网设置正确，以避免开通问题。若未启用IPv6，请在控制台中提前进行配置，详细操作请参见开启IPv6双栈。 方案步骤 为确保顺利实施IPv6方案，建议遵循以下步骤： 1. 环境评估 检查当前云主机的配置，确认其是否为IPv6双栈主机。 评估现有应用和服务的IPv6兼容性，确保迁移不会影响业务。 2. 子网启用IPv6 在云平台控制台中，检查云防火墙（原生版） N100型主机需要使用的子网是否开启IPV6，即确保子网已启用IPv6。若尚未启用，请参考开启IPv6双栈进行设置。 3. 申请双栈主机 对于不支持IPv6的云防火墙（原生版） N100型主机，需重新下单云防火墙（原生版） N100型开通双栈云主机，确保其所选主机支持IPv6，详细操作请参见购买N100实例。 4. 进行IPv6切换 对于希望使用IPv6方案的现有用户，请按照以下步骤进行切换： 1. 登录云防火墙（原生版）管理控制台。 2. 点击实例列表操作列的“配置”，登录云防火墙（原生版）实例，进入配置界面。 3. 根据需求完成云防火墙（原生版）IPV6策略等配置。 4. 业务割接。 5. 测试与验证 完成配置后，进行全面的测试，以确保IPv6连接正常。验证云防火墙（原生版） N100型的安全策略是否有效应用于IPv6流量。 6. 监控与优化 实施后，请定期监控IPv6流量，评估防火墙性能，并根据业务需求及时优化安全策略，以应对网络变化。 说明 如需进一步支持，欢迎联系技术支持团队获取更多信息和帮助。

查看镜像详情 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表中的“镜像名称”，进入镜像详情页面查看镜像的基本信息、关联信息、漏洞、软件、文件、环境变量、安全溯源等相关信息。 查看镜像安全概览 镜像安全概览页面可以查看镜像的基本信息、风险分数、安全问题、镜像命中的安全策略、安全建议等信息。 查看镜像关联容器 在“关联容器”页面，可查看与镜像相关联的容器的信息，包括容器名称、容器所在Pod名称、所属集群名称、运行所在节点的名称。 查看镜像漏洞详情 在“漏洞”页面，可查看该镜像中各个危险级别的漏洞统计情况，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 单击漏洞详情中的“命中安全策略”，可以查看漏洞命中的安全策略。 单击漏洞详情操作列的“加入白名单”可忽略此漏洞。添加完成后，扫描该镜像将不再展示已加入白名单的漏洞。

本文汇总了对象存储常用实践,当您完成了创建桶、上传文件和下载文件等基本操作后,可以参考ZOS的常用实践,满足您的业务场景。 常用实践 说明 云主机通过内网访问对象存储ZOS 本文介绍如何在虚拟私有云中创建终端节点，实现同资源池云主机通过内网访问对象存储。云主机和ZOS天然内网互通，内部访问不会产生公网流量，且时延更低安全性更高。 修改文件读写权限 本文介绍如何保证ZOS中数据的安全性，只允许资源拥有者或者被授权的用户访问。 使用对象存储迁移服务将第三方云厂商数据迁移至对象存储ZOS 本文为您提供使用对象存储迁移服务，将第三方云厂商数据迁移至对象存储ZOS的实践。 通过云监控服务实时监控对象存储ZOS信息 本文介绍在云监控创建报警规则实时监控ZOS性能状态。 大文件分段上传 本文帮助您了解ZOS大文件分段上传的最佳实践。 批量删除桶内对象 本文主要针对用户需要批量删除一个桶中的对象的场景，介绍几种批量删除的方法。 使用VPCE方式接入对象存储 本文介绍使用VPC终端节点方式接入对象存储的操作方式。

本章节介绍了如何创建GaussDB 的实例，用作迁移任务目标库。 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“数据库 > 云数据库GaussDB ”。 4. 在左侧导航栏选择GaussDB > 实例管理。 5. 单击“购买数据库实例”。 6. 配置实例名称和实例基本信息。 7. 选择实例规格。 本示例中为测试实例，选择较小的测试规格，实际可选规格以界面为准。 8. 选择实例所属的VPC和安全组、配置数据库端口。 9. 配置实例密码等信息。 10. 单击“立即购买”。 11. 返回实例列表。 当实例运行状态为“正常”时，表示实例创建完成。

本节主要介绍相关术语解释 工作负载 工作负载即Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Job、Deamonset等。 无状态工作负载（即kubernetes中的“Deployments”）：Pod之间完全独立、功能相同，具有弹性伸缩、滚动升级等特性。如：nginx、wordpress。 有状态工作负载（即kubernetes中的“StatefulSets”）：Pod之间不完全独立，具有稳定的持久化存储和网络标示，以及有序的部署、收缩和删除等特性。如：mysqlHA、etcd。 实例（Pod） Pod是 Kubernetes 部署应用或服务的最小的基本单位。一个Pod 封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络 IP 以及管理控制容器运行方式的策略选项。 金丝雀发布 又称灰度发布，是迭代的软件产品在生产环境安全上线的一种重要手段。在生产环境上引一部分实际流量对一个新版本进行测试，测试新版本的性能和表现，在保证系统整体稳定运行的前提下，尽早发现新版本在实际环境上的问题。 蓝绿发布 蓝绿发布提供了一种零宕机的部署方式。不停老版本，部署新版本进行测试，确认运行正常后，将流量切到新版本，然后老版本同时也升级到新版本。始终有两个版本同时在线，有问题可以快速切换。 流量治理 应用流量治理提供可视化云原生应用的网络状态监控，并实现在线的网络连接和安全策略的管理和配置，当前支持HTTP、TCP流量下的路由规则、负载均衡、会话保持、连接池管理、RBAC等能力。

AOne会议的本地录制功能支持将会议内容(包括音视频、屏幕共享等内容)录制后存储至本地,方便会后回放与分享。 开启本地录制 1. 入会后，主持人或联席主持人在底部工具栏点击“录制”按钮。 2. 在弹出的菜单中选择“本地录制”。 3. 本地录制开启后，会弹窗通知所有参会者。同时所有参会者的人员列表中的录制人员一行会显示本地录制小图标。 结束本地录制 1. 录制开始后，底部工具栏的“录制”按钮会切换为“结束录制”。 2. 会议进行中，可通过底部工具栏点击“结束录制”按钮停止录制，或将鼠标悬浮在窗口左上角的本地录制小图标上，再点击下拉窗口的“结束录制”按钮停止录制。 本地录制文件查看和管理 1. 会议录制者可在会议客户端首页的“设置”>“录制”>“本地录制”找到本地录制存储路径，查看和管理本地录制视频。 注意事项 支持主持人/联席主持人停止某个用户的本地录制。 本地录制的权限由主持人（含联席主持人）通过"安全模块"进行控制。 同一个人，无法同时开启本地录制、云录制。

本文介绍如何进行端口映射的配置。 做端口映射时，请确保安全组、防火墙已放通对应的端口。 Windows云主机（2012） 打开cmd窗口执行命令。 netsh interface portproxy add v4tov4 listenaddress本机内网IP connectport源端口 connectaddress映射主机内网IP listenport映射端口 Linux云主机（CentOS 7.6） 以登录为例，登录“弹性云主机1”的1080端口自动跳转访问“弹性云主机2”的22端口。 1. 登录Linux弹性云主机。执行如下命令，修改文件。 vi /etc/sysctl.conf 在文件中添加“net.ipv4.ipforward 1”。 执行如下命令，完成修改。 sysctl p /etc/sysctl.conf 2. 在“iptables”的“nat”表中添加规则，执行如下命令，通过弹性云主机1的1080端口映射到弹性云主机2的22端口。 iptables t nat A PREROUTING d 弹性云主机1私网IP p tcp dport 1080 j DNAT todestination 弹性云主机2私网IP:22 iptables t nat A POSTROUTING d 弹性云主机2私网IP p tcp dport 22 j SNAT to 弹性云主机1私网IP 3. 验证配置是否生效，执行如下命令，登录弹性云主机1的1080端口。 ssh p 1080 弹性云主机1公网IP 4. 输入yes及弹性云主机2的密码后，登录到弹性云主机2。

ODBC驱动 选择相应的版本，然后单击“下载”可以下载与集群版本匹配的ODBC驱动。如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的ODBC驱动。如果当前没有集群，单击“下载”时将下载到低版本的ODBC驱动。DWS 集群可向下兼容低版本的ODBC驱动。 单击“历史版本”可根据操作系统和集群版本下载相应版本的ODBC驱动，建议按集群版本进行下载。 ODBC驱动支持在以下系统中使用： “Microsoft Windows”驱动支持在以下系统中使用： Windows 7及以上。 Windows Server 2008及以上。 Euler Kunpeng64”驱动支持在以下系统中使用： EulerOS 2.8。 “RedhatKunpeng64”驱动支持在以下系统中使用： CentOS 7.5,7.6。 NeoKylin 7.6。 ”Redhat x8664”驱动支持在以下系统中使用： RHEL 6.4~7.6。 CentOS 6.4~7.4。 EulerOS 2.3。 ”SUSE x8664”驱动支持在以下系统中使用： SLES 11.1~11.4。 SLES 12.0~12.3。 说明 Windows驱动只支持32位版本，可以在32或64位操作系统使用，但是应用程序必须为32位。 使用JDBC连接数据库 DWS 支持在Linux或Windows环境下使用JDBC应用程序连接数据库。应用程序可以在云平台环境的弹性云主机中，或者互联网环境连接数据库。 用户通过JDBC连接DWS 集群时，可以选择是否采用SSL认证方式。SSL认证用于加密客户端和服务器之间的通讯数据，为敏感数据在Internet上的传输提供了一种安全保障手段。DWS 管理控制台提供了自签的证书供用户下载。使用该证书，用户需要配置客户端程序，使证书可用，此过程依赖于openssl工具以及java自带的keytool工具。 说明 SSL模式安全性高于普通模式，建议在使用JDBC连接DWS 集群时采用SSL模式。 JDBC接口的使用方法，请自行查阅官方文档。

本文介绍了边缘安全加速平台域名管理操作加速配置的使用方法。 使用场景 边缘安全加速控制台域名列表中提供域名的快捷跳转配置功能，可直接在域名列表中选择对应域名、对应配置模块跳转进行配置查看及编辑。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面，选择在目标域名，点击操作栏【加速配置】。 3.点击需要配置的模块，跳转至对应配置页面。 功能模块 说明 缓存配置 包括缓存配置、状态码缓存配置项。 动态配置 包括请动态加速开关、选路方式、动态回源策略配置项。 上传配置 包含上传加速开关等配置项。

本节将介绍如何下载报告至本地。 操作场景 态势感知（专业版）创建并生成报告后，可以将报告下载至本地。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“态势感知 > 安全报告”，进入安全报告页面。 5. 在安全报告管理页面，单击待下载报告右下角“更多”按钮，在功能下拉菜单中单击“下载”。 6. 弹出报告预览页面，单击预览页面上方的“下载”按钮，并在弹出的对话框中，选择报告格式后，单击“确定”。系统将自动下载对应格式的报告到本地。

本文介绍如何更新仓库镜像。 镜像列表会定期自动更新，也可以通过手动更新列表，来更新节点和仓库中存在的镜像资产。 前提条件 已添加镜像仓库，详细操作请参见配置镜像仓库。 更新仓库镜像列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全”，进入镜像安全页面。 3. 选择“仓库镜像”页签，单击仓库镜像列表右上角的“更新镜像”，可拉取仓库中的所有仓库镜像。 4. 选择更新范围：支持更新全部仓库镜像、单个仓库内的镜像、单个仓库项目内的镜像三种更新方式。 5. 单击“确定”，完成更新操作。 更新节点镜像列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全”，进入镜像安全页面。 3. 选择“节点镜像”页签，单击节点镜像列表右上角的“更新镜像”，可拉取集群中的所有节点镜像。 4. 选择更新范围：支持更新全部节点镜像、更新集群内的镜像两种更新方式。 5. 单击“确定”，完成更新操作。

本文介绍源站存在安全防护等原因导致访问域名返回错误状态码的潜在场景及处理建议。 CDN节点请求回源，如果源站有相关安全策略，其链路大致是：客户端>CDN边缘节点>CDN中间节点>源站安全策略>源站。所以当CDN中间节点的IP触发源站的安全相关策略时，即会出现503、502、403等相关状态码。 以比较常见的场景为例： 1. 某些情况下，源站可能会临时关闭或限制访问，以应对网络攻击、恶意行为或滥用。 2. 503状态码表明这种限制或停止服务可能是基于安全考虑而做出的决策。 3. 如CDN节点IP回源请求时触发源站相关安全策略，导致源站返回503状态码，需要源站将回源的CDN中间节点IP放开拦截，解除封禁。

本文介绍如何开启企业级安全会议。 使用前提 下载安装各类终端：Windows客户端、macOS客户端、iOS客户端、Android客户端。 预定会议时，进行“更多安全设置”。 注意事项 敏感会议建议启用水印功能。 高风险会议可启用“会议锁定”或者限定“入会范围”。 应用场景说明 适用于涉及敏感信息、客户隐私、公司战略的场景： 法务、财务、内控审计类会议。 战略汇报、高管决策会议。 涉密技术讨论与客户合作方案评审。 通过多层次安全控制，保障会议内容仅在授权范围内传播，避免泄密和信息风险。 操作步骤 会前，会议创建者在“预定会议”时可设置“入会密码”，并进行“更多安全设置”。 会中，主持人/联席主持人可点击“安全”>“会议管理”、“安全”>“参会者权限”进行锁定会议、限制入会范围、开启会议水印等管控操作。 会中，主持人/联席主持人可实时关注“成员管理”列表，密切关注参会成员，并对参会人员进行管控。 会后，会议创建者可通过“历史会议”>“详情”列表查看参会人进行审计。

测试场景 本章节主要测试RocketMQ不同产品规格在发送1KB大小的消息，实例的网络入流量、网络出流量、消息生产速率、消息消费速率、CPU核均负载和内存使用率。 测试环境 购买实例 名称 规格 存储空间 rocketmq01 c7.xlarge.2 4C8G 超高I/O 500GB rocketmq02 c7.2xlarge.2 8C16G 超高I/O 500GB rocketmq03 c7.4xlarge.2 16C32G 超高I/O 500GB 控制台创建主题 名称 权限 关联代理 队列个数 topic01 发布+订阅 broker1 8 控制台创建消费组 名称 关联代理 最大重试次数 是否允许以广播模式消费 group01 broker1 16 否 测试工具准备 购买1台ECS服务器（区域、可用区、虚拟私有云、子网、安全组与RocketMQ实例保持一致，Linux系统），安装jdk，并配置环境变量 tar zxvf jdk8u131linuxx64.tar.gz vi /etc/profile 追加以下内容 export JAVAHOME/root/jdk1.8.0131 export PATH$JAVAHOME/bin:$PATH 生效配置 source /etc/profile 下载测试工具 wget 解压测试工具 unzip rocketmqall5.1.4binrelease.zip 测试命令

本章节进行网格安全能力概述 概述 单体应用发展成微服务架构带来了诸多便利，业务迭代更加敏捷，扩展性更好，同时为服务架构也带了新的安全考虑，如： 微服务之间通信安全问题，如何防止中间人攻击。 微服务之间的访问控制问题，对于敏感服务和信息，如何限制微服务之间的访问。 微服务之间访问频繁且关系复杂，如何追溯服务之间的调用情况，需要具备审计能力。 服务网格的安全机制提供了零信任的安全机制，很好地解决了以上问题。 服务网格安全架构 服务身份及证书管理 身份是安全的基础，只有给每个服务赋予一个身份才能在服务相互访问时对各方的身份进行认证以及对操作进行鉴权。服务网格使用证书作为网格内工作负载的身份标识，服务网格负载网格内工作负载的身份证书颁发、轮换等，为网格安全提供基础能力。 身份认证 服务网格提供两种认证机制： 对等身份认证：用于sidecar代理之间通信时的身份认证，解决sidecar之间身份认证和通信加密问题，支持基于工作负载证书的mTLS双向认证。 请求身份认证：用于外部请求进入网格内的身份认证，支持JWT及OIDC的认证方式。 授权 在微服务通信中，确定了双方的身份之后，我们还需要对客户端是否有权限访问服务端的资源进行权限检查。当前服务网格支持全局、命名空间和工作负载级别的授权策略控制，同时支持集成外部授权服务能力。

本文提供了边缘安全加速平台服务等级协议查看地址。 边缘安全加速平台服务等级协议，详情请参见这里。

本节介绍如何使用文件检测功能。 步骤一：创建检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 检测规则”。 3. 点击“新增”, 举例自定义检测内容包含关键字“机密”等。 步骤二：上传验证文件 方式一：在客户代理模型上传包含步骤一中关键字内容的文件。 方式二：进入“内容安全 > 语料安全 > 文件检测”页面，点击“上传文件”上传包含步骤一中关键字内容的文件。 可以看到，上传的文件被成功拦截。

本文为您介绍云监控IAM权限策略。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1、身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 2、权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等信息。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ： 预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 其中云监控服务相关的系统策略包含如下： 云监控管理者(admin) ：云监控服务的管理者权限，包含云监控服务的所有控制权限； 云监控查看者（viewer）:云监控服务的查看者权限，包含资源列表、告警规则列表查看等权限； 自定义策略 ： 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

本章节主要介绍Logstash配置文件样例。 说明 以下样例以源端、目的端的elasticsearch集群访问类型一样为例。访问类型一样指的是同样是非安全集群或者同样是安全集群没有开启HTTPS访问。 如果源端、目的端的elasticsearch集群访问类型不一样，可以由下面的3个样例文件的input和output部分自由组合出您需要的配置文件。 非安全集群 当创建的Elasticsearch类型集群未开启安全模式时，接入样例可参考如下。 input { elasticsearch { 源端ES地址 hosts > ["xx.xx.xx.xx:9200", "xx.xx.xx.xx:9200"] 需要迁移的索引列表，以逗号分隔 index > "xxx,xxx,xxx" 以下保持默认即可 docinfo > true } } filter { 去掉一些logstash自己加的字段 mutate { removefield > ["@timestamp", "@version"] } } output { elasticsearch { 目的端ES地址 hosts > ["xx.xx.xx.xx:9200", "xx.xx.xx.xx:9200"] 目的端索引名称，以下配置为和源端保持一致 index > "%{[@metadata][index]}" 目的数据的id，如果不需要保留原id，可以删除以下这行，删除后性能会更好 documentid > "%{[@metadata][id]}" 以下保持默认即可 managetemplate > false ilmenabled > false } } 安全集群（没有开启HTTPS访问） 当创建的集群开启了安全模式，但是关闭了HTTPS访问，接入样例可参考如下。 input { elasticsearch {

本章节会介绍如何修改数据库内网安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 步骤 6 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

本章节介绍如何修改数据库内网安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 步骤 6 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

安全组配置错误 问题现象：随便进入一个pod容器内部，使用service ip:端口可以正常访问，但是使用service域名:端口就不通。 可能原因：查看dns日志一直没有变化，说明没有请求到达dns。可能是修改了容器使用的安全组，拦截了UDP协议下53端口的通信。 解决方法：修改集群安全组，放开UDP协议的53端口规则。

参数 参数类型 说明 示例 下级对象 desktopOid String 桌面id securityGroupOid String 安全组id foreignGroupId String 安全组UUID securityGroupName String 安全组名称 portOid String 网卡id portName String 网卡名称 portNickName String 网卡别名 addDate Long 加入时间，unix时间戳（毫秒）

本节介绍了获取Windows弹性云主机的密码的操作场景、操作流程等。 操作场景 登录Windows操作系统的弹性云主机时，需使用密码方式登录。因此，用户需先根据创建弹性云主机时使用的密钥文件，获取该弹性云主机初始安装时系统生成的管理员密码（Administrator帐户或Cloudbaseinit设置的帐户）。该密码为随机密码，安全性高，请放心使用。 请根据您的个人需求，通过管理控制台或API方式获取Windows弹性云主机的初始密码，获取方法请参见本节内容。 通过管理控制台获取密码 1. 获取创建弹性云主机时使用的私钥文件（.pem文件）。 2. 登录管理控制台。 3. 单击管理控制台左上角的，选择区域和项目。 4. 选择“计算 > 弹性云主机”。 5. 在弹性云主机列表，选择待获取密码的弹性云主机。 6. 选择“操作 > 更多”，单击“获取密码”。 7. 通过密钥文件获取密码，获取方法有如下两种： 单击“选择文件”，从本地上传密钥文件。 将密钥文件内容复制粘贴在空白框中。 8. 单击“获取密码”，获取随机密码。

参数 取值 说明 fs.obs.serversideencryptiontype SSEKMS SSEKMS：表示使用KMS秘钥的加解密方式。 NONE：表示关闭加密功能。 fs.obs.serversideencryptionkey 表示用来加密的KMS密钥ID。该参数可不配置。 当参数“fs.obs.serversideencryptiontype”配置为“SSEKMS”且该参数未配置时，OBS会使用OBS服务的默认KMS密钥完成加密。 fs.obs.connection.ssl.enabled true 标识是否与OBS建立安全连接。 true：开启安全连接，当需要使用OBS加解密功能时该参数必须配置为“true”。 false：关闭安全连接。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List<string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list<string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list<int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list<string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list<string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

安全体检产品采用预付费模式，默认购买周期为一年。 计费模式 安全体检产品采用预付费。 计费周期 支持包月、包年订购，享受包年实付10个月折扣价。 用户可自订单生效之日起享受购买期限内的服务，当购买的服务到期后，服务自动停止。 计费项 服务为按照IP数量定价。 产品价格 单个互联网安全体检规格包含5个互联网IP授权，详细价格参考如下表格（本服务当前仅支持按年购买、不支持按月付费）： 产品规格 产品描述 标准价格（元/月） 年付价格（元/年） 互联网安全体检 提供5个及以内互联网IP安全体检服务，发现IP风险暴露情况、漏洞开放情况，推送安全体检报告。 280 2800 试用版 试用授权IP数量5个，试用次数为1次。 免费 免费 说明 试用仅对未开通过商用资源的用户有权限，若您已经购买过安全体检付费版本，无论商用资源是否还在有效期内，均无试用权限。试用结束后，您仍然可以通过产品控制台预览、下载体检报告。如您希望继续使用本产品，请您及时完成订购。

本小节介绍渗透测试产品优势。 专业的安全团队 安全服务团队拥有CISP、CISSP、ISO27001、Security+等专业资质和多年积累的丰富项目经验。 可靠的实践能力 遵循国际国家规范，通过标准的服务流程、完善的项目管理、质量保障机制，提供可靠的安全服务。 可控的安全风险 根据客户实际情况，在评估开始前制定相应的应急预案，控制在评估过程中引发的风险，降低渗透测试带来的影响。 多种服务模式 多样化的服务价格体系可满足各种客户不同规模的服务需求。

本章节主要介绍翼MapReduce组件Spark使用的常见问题。 问题说明 使用Spark SQL 访问Hive 表的一个表分区，但是运行速度却很慢。 分析样例： select x,y from test where x1 （其中x是test表的 Partition 字段） 原因分析 按照spark 源码逻辑，在解析逻辑计划时候回去调用 getPartitionsByFilter方法 去hive中只提取 x1 分区信息。 但是由于一些原因，导致getPartitionsByFilter 的谓词下推失败，从而去全表扫描所有test的分区信息，并返回。 例如，我们x字段是String类型，但是我们的SQL中不是 where x’1’ ，而是where x1 ，这就导致了谓词下推失败。 出现hive分区表谓词下推失败的情况，我们可以做如下处理： 我们需要去检查sql中的写法是否正确。 可以关闭SQL逻辑计划解析过程中的谓词下推逻辑。 处理步骤 关闭SQL逻辑计划解析过程中的谓词下推逻辑，具体是Spark SQL默认开启基于分区统计信息的执行计划优化，相当于自动执行Analyze Table（默认开启的设置方法为spark.sql.statistics.fallBackToHdfstrue，可通过配置为false关闭）。 开启后，SQL执行过程中会扫描表的分区统计信息，并作为执行计划中的代价估算，例如对于代价评估中识别的小表，会广播小表放在内存中广播到各个节点上，进行join操作，大大节省shuffle时间。 此开关对于Join场景有较大的性能优化，但是会带来 获取分区表信息RPC请求 的增加。 在SparkSQL中设置以下参数后再运行： set spark.sql.statistics.fallBackToHdfsfalse; 或者在启动之前使用conf设置这个值为false： conf spark.sql.statistics.fallBackToHdfsfalse

本章节主要介绍翼MapReduce服务配置角色实例参数。 操作场景 用户可以根据实际业务场景，在MRS Manager中快速查看及修改角色实例默认的配置。支持导出或导入配置。 对系统的影响 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 操作步骤 修改角色实例参数 1. 单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“实例”页签。 4. 单击角色实例列表中指定的角色实例名称。 5. 单击“实例配置”页签。 6. 在“参数类别”选择“全部配置”，界面上将显示该角色实例的全部配置参数导航树。 7. 在导航树选择指定的参数，修改参数值。支持在“搜索”输入参数名直接搜索并显示结果。 修改某个参数的值后需要取消修改，可以单击恢复。 8. 单击“保存配置”，勾选“重启角色实例”并单击“确定”，重启角色实例。 界面提示“操作成功。”，单击“完成”，角色实例成功启动。 导出角色实例配置参数 1. 单击“服务管理”。 2. 选中某项服务。 3. 选中某角色或单击“实例”。 4. 选择指定主机上某角色实例。 5. 单击“实例配置”。 6. 单击“导出实例配置”，导出指定角色实例配置数据并选择一个位置保存。 导入角色实例配置参数 1. 单击“服务管理”。 2. 选中某项服务。 3. 选中某角色或单击“实例”。 4. 选择指定主机上某角色实例。 5. 单击“实例配置”。 6. 单击“导入实例配置”，导入指定角色实例配置数据。 7. 单击“保存配置”，勾选“重启角色实例。”并单击“确定”。 界面提示“操作成功。”，单击“完成”，角色实例成功启动。

本章节主要介绍翼MapReduce服务退服和入服务角色实例。 操作场景 某个Core或Task节点出现问题时，可能导致整个集群状态显示为“异常”。MRS集群支持将数据存储在不同Core节点，用户可以在MRS Manager指定角色实例退服，使退服的角色实例不再提供服务。在排除故障后，可以将已退服的角色实例入服。 支持退服、入服的角色实例包括： HDFS的DataNode角色实例 Yarn的NodeManager角色实例 HBase的RegionServer角色实例 Kafka的Broker角色实例 限制： 当DataNode数量少于或等于HDFS的副本数时，不能执行退服操作。例如HDFS副本数为3时，则系统中少于4个DataNode，将无法执行退服，Manager在执行退服操作时会等待30分钟后报错并退出执行。 Kafka Broker数量少于或等于副本数时，不能执行退服。例如Kafka副本数为2时，则系统中少于3个节点，将无法执行退服，Manager执行退服操作时会失败并退出执行。 已经退服的角色实例，必须执行入服操作启动该实例，才能重新使用。 操作步骤 在MRS Manager，单击“服务管理”。 1.单击服务列表中相应服务。 2.单击“实例”页签。 3.勾选指定角色实例名称前的复选框。 4.选择“更多 > 退服”或“入服”执行相应的操作。 说明 实例退服操作未完成时在其他浏览器窗口重启集群中相应服务，可能导致MRS Manager提示停止退服，实例的“操作状态”显示为“已启动”。实际上后台已将该实例退服，请重新执行退服操作同步状态。