操作步骤 创建数据服务专享集群增量包，系统会按照您所选规格自动创建一个数据服务专享集群。 1. 单击已开通实例卡片上的“创建增量包”。 2. 进入创建DataArts Studio增量包页面，参见下表进行配置。 创建数据服务专享版实例参数说明 参数项 说明 增量包类型 选择数据服务专享集群增量包。 工作空间 选择需要使用数据服务专享集群增量包的工作空间。例如需要在DataArts Studio实例的工作空间A中使用数据服务专享版，则此处工作空间应选择为A。集群创建成功后，即可通过在工作空间A查看到创建好的数据服务专享集群。 可用区 第一次创建DataArts Studio实例或批增量包时，可用区无要求。 再次创建DataArts Studio实例或增量包时，是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 集群名称 集群描述 可以自定义对当前数据服务专享版集群的描述。 版本 当前数据服务专享版的集群版本。 集群规格 不同实例规格，对API请求的并发支持能力不同。 公网入口 开启“公网入口”，即允许外部服务通过公网地址，调用专享版实例创建的API。 带宽大小 可配置公网带宽范围。 虚拟私有云 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 在相同虚拟私有云中的云服务资源（如ECS），可以使用数据服务专享版实例的私有地址调用API。 建议将专享版实例和您的其他关联业务配置一个相同的虚拟私有云，确保网络安全的同时，方便网络配置。 说明 目前DLM实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 建议将专享版实例和您的其他关联业务配置相同的虚拟私有云下相同的子网，确保网络安全的同时，方便网络配置。 说明 目前DLM实例创建完成后不支持切换子网，请谨慎选择所属子网。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务的地址及其监听端口。 说明 1. 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 2. 目前DLM实例创建完成后不支持切换安全组，请谨慎选择所属安全组。 企业项目 DataArts Studio专享版集群关联的企业项目。企业项目管理是一种按企业项目管理云资源的方式，具体请参见企业项目管理用户指南。 3. 单击“立即创建”，确认规格后提交。

此小节介绍云堡垒机登录日志。 登录日志里admin可查看所有用户在登录堡垒机的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 操作步骤 1.管理员登录并切换至审计角色，在左侧导航栏选择“系统日志 > 登录日志审计”，审计范围包括登录成功与登录失败（密码错误、账号不存在等）的情况。 2.单击详情，可查看用户登录系统后访问资产的信息。 3.单击某条资产访问的详情，从更多维度展示该次访问会话的信息。

本文为您介绍创建站点监控的操作场景、前提条件和操作步骤。 操作场景 站点监控用于模拟真实用户对远端服务器的访问，从而探测远端服务器的可用性、连通性等问题。业务场景主要包括“端口性能”及“页面性能”。其中端口性能支持HTTP(S)、PING、TCP、UDP四种类型。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“网络分析与监控”，进入“站点监控”列表页。 5. 单击右上角“创建站点监控”按钮，在弹出的“创建站点监控”对话框中根据界面提示配置参数。 1、创建HTTP(S)类型拨测任务参数配置 “任务类型”模块参数配置如下： 参数 模块 参数说明 是否必填 取值样例 任务名称 该站点监控的自定义名称 是 类型 公网拨测 是 场景 选择站点监控任务使用场景，支持端口性能、页面性能 是 端口性能 协议信息 选择拨测任务协议 是 HTTP(S) 监控频率 执行一次站点监控探测任务的时间间隔。 是 1分钟 站点地址 1、请求方式 选择请求方式，支持选择： GET POST HEAD 2、站点地址 请输入待探测的目标公网地址。注意：选择类型为“http”时，请填写协议头 是 1、GET 2、 拨测点选择 选择公网拨测源，支持多选。建议选择多个分布式拨测点。 是 北京、成都 “拨测参数定义”模块参数配置如下(可选)： 参数 模块 参数说明 是否必填 取值样例 拨测参数定义 请求参数 1、HTTP请求头 站点监控支持定制请求头内容，HTTP请求头格式为key1:value1，多项信息以回车换行分隔。 站点监控会在请求头中预置以下Header： UserAgent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3 Accept:text/html,application/xhtml+xml,application/xml;q0.9,image/webp,/;q0.8 2、cookies HTTP规则的Cookie信息，格式为:key:value,多项信息以英文逗号分隔 3、重定向次数 出现301或302状态码，跟随再次做重定向探测的次数限制。如填写0，即为不跟随跳转 4、跳过证书验证 勾选后将忽略 SSL/TLS 证书错误，如证书过期、证书与域名不匹配等，继续执行请求。 否 1、Pragma: nocache 2、sessionid:123 3、0 4、不勾选 拨测参数定义 Body 输入 HTTP(S) 请求中发送给服务器的数据部分，内容格式为JSONObject 否 { "userid": "123456", "username": "testuser", } 拨测参数定义 DNS服务器 指定一个自定义的 DNS 服务器地址，用于域名解析。如不填写即为系统默认 否 拨测参数定义 DNS劫持检查 填写DNS劫持白名单，冒号前为要判断的域名，冒号后为匹配的ip(暂不支持ipv6),多个以竖线分割。 否 www.ctyun.cn:180.163.200.96180.163.200.97 断言配置 定义拨测任务执行期间要检查的规则或条件。如果拨测节点拨测的响应结果满足了断言配置中定义的所有条件，则任务被视为成功；否则，任务被视为失败，最多支持配置5个 1、状态码 响应状态码是否符合预期条件 2、body的json字段 通过JSON解析（JSON Path）判断返回Body中的内容是否符合预期。 例如：response为{"code":"200","data":{"name":"test"}}时，code取值方式为$.code，name的取值方式为$++.++ data.name 当匹配方式为大于或小于时，会尝试将response参数值转为浮点数进行大小判断，如转换失败则断言失败。 否 状态码:大于400 body的json字段: $.a.b等于usertest 高级配置 1、超时时间 定义等待服务器返回响应数据的最长时间，单位ms 2、拨测周期 站点拨测任务执行的每周时段 3、拨测时段 站点拨测任务执行的每日时段 是 1、1000ms 2、星期天、星期一、星期二、星期三、星期四、星期五 星期六 3、00:00:0023:59:59 说明 HTTP(S) 拨测任务基于 HTTP 或 HTTPS 协议的 Web 服务，可以模拟用户从公网拨测源对目标网站的访问，以获取可用性、响应时间等关键性能指标。助您及时掌握网站运行状态、用户体验等。

本文档为制作Linux系统私有镜像指导手册的步骤3,安装cloudinit。 操作场景 cloudinit是用于Linux操作系统在创建弹性云主机过程执行信息初始化的工具，主要支持以下关键能力： Linux云主机主机名、用户名、密码等信息的初始化； Linux云主机用户数据的注入以及自动化配置。 安装cloudinit 如果您已经参考步骤2完整安装了全量软件，则可以直接配置cloudinit。 如果您未安装cloudinit，请执行下方命令完成安装。 Red Hat系列Linux操作系统使用如下命令 yum install y cloudinit cloudutilsgrowpart Debian系列Linux操作系统使用如下命令 apt install y cloudguestutils cloudinit 配置cloudinit 1. 补充自定义配置文件 多个自定义配置文件可能存在针对相同参数的不同配置值，文件名以 zz 开头是期望推荐配置值最终生效。 参考： cat /etc/cloud/cloud.cfg.d/zzctims.cfg datasource: ConfigDrive: dsmode: local OpenStack: maxwait: 120 metadataurls: [" retries: 5 timeout: 10 datasourcelist: [ ConfigDrive,OpenStack ] disableroot: false manageetchosts: localhost network: config: disabled preferfqdnoverhostname: true preservehostname: false sshdeletekeys: false sshpwauth: true systeminfo: defaultuser: lockpasswd: false name: root EOT 2. 执行下述命令完成配置： systemctl enable cloudconfig systemctl enable cloudfinal systemctl enable cloudinit systemctl enable cloudinitlocal

本页介绍天翼云TeleDB数据库如何查询告警历史。 通过告警历史可以查看已经发生告警的历史记录，选择告警中心 > 告警历史菜单进入： 每条告警记录的通知对象如果涉及到告警联系组，可单击通知对象栏的超链接查看联系组内的具体用户： 您可以筛选告警相关的相关告警信息：

本文介绍如何在科研助手中查看存储源。 操作步骤 1. 登录科研助手管理控制台。 2. 在控制台左侧导航栏中，选择【数据存储】。 3. 在【数据存储】弹出的选项中，选择【存储源管理】。 4. 选择【文件存储】或【对象存储】，本次选择【文件存储】在页面上方可下拉选择资源池，通过资源池来筛选存储源列表。 5. 以下【存储源列表】展示的字段说明： 参数 说明 搜索框 输入存储源名称或者关键字，支持输入部分名称和全名称进行检索。 检索 根据输入存储源名称关键字进行检索筛选。 刷新 刷新当前存储源列表展示页面。 名称 存储源的名称。 模式 显示【自建文件存储】、【智能边缘云文件存储】。 协议 NFS。 容量 SFS显示具体容量。 服务器地址 存储源所挂载的服务器地址。 共享目录 存储源挂载的共享目录路径。 创建时间 存储源的创建时间。 操作 删除 6.选择【文件存储 】或【对象存储 】，本次选择【对象存储】在页面上方可下拉选择资源池，通过资源池来筛选存储源列表。 7.以下【存储源列表】展示的字段说明： 参数 说明 搜索框 输入存储源名称或者关键字，支持输入部分名称和全名称进行检索。 检索 根据输入存储源名称关键字进行检索筛选。 刷新 刷新当前存储源列表展示页面。 名称 存储源的名称。 存储类型 对象存储 状态 存储源的状态，共有2种，分别为可用和不可用。可用状态表示此存储源是可联通的，可在此存储源上创建数据集；而不可用状态表示此存储源不可联通，不可在此存储源上创建数据集 对象存储URL 对象存储URL。 桶名 桶名。 创建时间 存储源的创建时间。 操作 删除

本小节介绍云防火墙（原生版）SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云防火墙（原生版）N100型实例的SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPN地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】。 配置内容 配置VPN地址池 打开【网络→VPN→SSL VPN】，单击“新建”，进入SSL VPN配置页面。 配置名称/接入用户： 配置“接入接口/隧道接口”： 新增地址池：新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 隧道路由配置：

本章节介绍如何新建路由规则 概述 输入路由名称，匹配域名、路径、方法、header、query等参数，目标转发地址为服务列表里面配置的地址；路径匹配支持精确匹配和前缀匹配模式，精确匹配如/foo/bar匹配请求路径为/foo/bar的请求，前缀匹配时，/foo/bar/匹配/foo/bar、/foo/bar/baz、/foo/bar/a/b/c等请求。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 路由配置 ； 6. 单击路由配置列表页左上角创建路由按钮； 7. 在创建路由面板填写路由相关配置，并单击确认或确认并发布按钮，如您单击的是确认按钮，则需要在路由配置列表页，单击操作列发布按钮发布路由； 路由配置的规则之间是“与”的关系，必须全部满足才算匹配，路由配置项说明如下： 参数 说明 路由名称 路由名称，用于标识一条路由规则。 认证方式 支持无认证和应用授权无认证。 无需认证：建议调试阶段使用。 应用授权：表示完成应用的授权操作后才有权访问。 域名 用于和请求中的域名进行匹配，不填则任何请求都可以匹配；可选项从域名管理中添加的域名选择。 匹配路径 匹配请求的path（不含query参数），当前支持前缀匹配和精确匹配。 方法 匹配请求中的HTTP方法。 优先级 当多个路由同时匹配一个请求时，路径匹配深度较大的路由优先；路径匹配相同的情况下，路由优先级高（数字大）的优先匹配。 请求头（header） 匹配请求中的HTTP header。 请求参数（Query） 匹配请求中的HTTP query参数。 Cookie 通过Cookie进行路由匹配，多个参数之间是“与”的关系。 是否启用参数规整化匹配 启用后支持对参数进行取模，并根据取模结果进行精确或者范围匹配。 参数类型 启用参数规整化匹配选择，支持Header、Query、Cookie。 是否Hash 启用参数规整化匹配选择，是否对参数进行哈希处理后再取模，哈希函数为Java String hashCode。 取模数值 启用参数规整化匹配选择，自定义填写取模数值。 标记类型 支持精确和匹配精确。 精确匹配，可用英文逗号分隔多个精确值。 范围：最大值和最小值均是闭区间，[min,max]。 目标服务 当前支持单服务、多服务、标签路由、mock路由、重定向和dubbo代理。 描述 路由描述。

本文提供了天翼云AOne会议儿童个人信息保护政策及监护人须知查看地址。 天翼云AOne会议儿童个人信息保护政策及监护人须知，详情请参见这里。

此功能处于公测阶段，公测阶段可免费使用。 数据资产地图可以通过可视化的手段，从资产概况、分类分级、权限配置、数据存储、敏感数据等多种维度查看资产的安全状况。可协助您快速发现风险资产并进行快速风险处理操作。 前提条件 已完成资产访问的授权。 已添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产地图”进入“资产地图”页面。 5. 查看资产地图。 资产地图可以实现： 梳理云上数据资产 ：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 说明 资产地图最多支持显示1000个资产。 敏感数据展示 ：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 风险监控和预警 ：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 资产地图会显示您当前所有资产的总体安全评分，评分规则请参见资产地图评分规则。 6. 单击“风险等级”上面显示的数字，可进入资产风险概览页面，并查看各风险等级下所有的数据库及数据表。 7. 单击资产风险概览下方输入框，可输入数据库或数据表关键词搜索您想要展示的数据库或数据表。 8. 单击想要查看的数据表名称，会在页面右侧弹框展示数据表的详细信息。 说明 将鼠标移动到数据资产图标处，也可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“敏感数据识别”、或者“ES集群安全防护策略分析”等信息。 如您需要对您的云资产授权进行更改，可单击右上角“修改”进行更改。如需停止授权，需要您的资产没有绑定任务。停止授权后，DSC会删除您的委托和资产信息，对应的所有数据将被清除，请谨慎操作。 DSC资产地图参数说明： 参数名称 参数说明 风险等级 您的资产存在的风险等级。 数据表总数 数据类型为数据库时显示该参数，数据库的表总数量，可单击“查看详情”进行查看。 扫描文件总数 数据类型为OBS时显示该参数，OBS的文件总数，可单击“查看详情”进行查看。 文档总数 数据类型为ES时显示该参数，ES的文档总数量，可单击“查看详情”进行查看。 敏感文档数 包含敏感信息的文档总数量，可单击“查看详情”进行查看。 最新扫描时间 上次对您的资产进行安全扫描的时间。 分类分级模板 选择内置模板或者自定义模板，DSC将根据您选择的模板对数据进行分级分类展示。添加模板请参见新增识别模板。 可单击“查看详情”进行查看。

迁移方案概述 迁移方案是通过源集群的zookeeper 做副本数据同步，架构如下： 前提条件： 要求源、目标集群在同一个网络，源、目标集群的分片数是相同的，另外建议源、目标集群的ck内核版本也一致，避免不同版本使用到的zstd 版本不一致导致merge出错 迁移条件 & 情况： 目标集群必须跟源集群具备相同的分片数，目标集群跟源集群网络相通； 只支持依赖zk的副本表； partitiong同步过程，源集群可正常读写，迁移过程源集群能正常读，但是不能写； 数据同步和迁移过程，不会删除源集群的数据； 数据同步过程源集群下的数据（本地数据 + cos数据）都会同步到目标集群下，因此目标集群下的容量要足够。 迁移步骤： 整体的迁移环节可概括为：创建临时表 （开始同步数据）和正式表 》修改临时表引擎为 MergeTree — 》从临时表把数据转移到正式表 》删除临时表 具体步骤如下： 1、在目标集群的各个分片选择一个节点，加入到tmpcluster里头去（metrika.xml文件中新增tmpcluster），修改目标集群的config.xml文件，把源集群的zk信息配置进来，如果有多个，那分别加入 ip1 2181 ip2 2181 ip3 2181 60000 30000 2、在目标集群上创建临时的副本表，绑定源集群的zk，以ReplicatedMergeTree为例子： CREATE TABLE tablenametmp on cluster tmpcluster ( ... ) ENGINE ReplicatedMergeTree('zookeeper2:path', '{replica}') ... 备注说明： 创建的临时副本表使用临时表名，在正式表后面加tmp。 创建的临时副本表使用的ZooKeeper路径和源端搬迁表的ZooKeeper路径需保持一致。 创建的临时副本表的表结构需和源端搬迁表保持一致。 3、创建完临时副本表之后，集群会自动通过源zk做part同步到目标集群的副本。期间不用做任何处理，可以准备下一步骤工作 （这个过程不要对临时表做任何数据分区操作，因为操作临时表分区就等于操作源集群对应正式表） 4、在目标集群创建正式名字的 副本表，采用默认zookeeper（可直接通过on cluster defaultcluster去创建） 5、同步完成之后，检查源集群和目标集群，各个表数据分布情况，数据准确性校验（查询part数，以及count总数是否匹配，校验数据准确性时最好做到源集群停写） 6、检查无误之后，在目标集群metadata 目录下，修改所有临时表的sql，把Engine均改成MergeTree （这步是为了迁移过程影响到源集群，保证源集群的数据可读），修改完后重启集群 —— 有现成脚本 7、执行DETACH 命令对临时表中的每个partition DETACH，然后登入目标集群，把临时表下detached目录的所有part mv 到对应的目标表的detached 目录下 —— 如果分区多，可用脚本完成，有现成脚本 例如：default 下lineorder表，可以执行 mv /data/clickhouse/clickhouseserver/data/default/lineordertmp/ detached/ /data/clickhouse/clickhouseserver/data/default/lineorder/detached/ 例如：default 下lineordertmp临时表，分区有'1992','1993','1994','1995','1996' 第一步：在studio上执行（也可以通过脚本去完成）: ALTER TABLE default.lineordertmp on cluster tmpcluster DETACH PARTITION '1992'; ALTER TABLE default.lineordertmp on cluster tmpcluster DETACH PARTITION '1993'; ALTER TABLE default.lineordertmp on cluster tmpcluster DETACH PARTITION '1994'; ALTER TABLE default.lineordertmp on cluster tmpcluster DETACH PARTITION '1995'; ALTER TABLE default.lineordertmp on cluster tmpcluster DETACH PARTITION '1996'; 第二步：登入到目标集群在各个节点上，执行: mv /data/clickhouse/clickhouseserver/data/default/lineordertmp/detached/ /data/clickhouse/clickhouseserver/data/default/lineorder/detached/ 8、执行attach 命令，把目标表下detached的part加载到表内 —— 如果分区多，可用脚本完成，有现成脚本（可找作者提供） 例如：default 下lineorder表，可以执行 alter table default.lineorder attach partition 'partitionname'; 依次把所有的partition 加载到正式表 9、所有的表迁移完成之后，删除临时表，再删除config.xml文件中的 auxiliaryzookeepers配置； 说明： 数据副本同步过程因为某种原因导致副本服务中断（可能是网络、bug、人为手工停止），再次重启后支持断点续传，不会影响源数据同步传输。 操作过程会涉及到多个partition的 DETACH和 attach命令，同时还需要登入到目标节点执行mv 操作，为了简化工作提高效率，减少过多人为操作而导致的失误，建议 通过批量工具（天翼云ClickHouse提供） + 脚本方式执行（找作者提供） 批量工具：批量分发文件到目标集群各个节点，批量在目标集群各个节点执行命令脚本等 参考脚本：查询一个表下的所有partition 列表，然后执行 DETACH命令， mv 命令 和最后的 attach命令 注意： 在添加临时表之后，源集群表的part就会自动通过zk做part复制，因为数据量很大，建议分批创建临时副本表，以免对源zk造成负载过高，从而影响业务 在临时表数据同步的过程中，一定不要对临时表做任何数据或是分区操作，操作临时表就等于操作源集群对应的正式表 在临时表数据同步过程，不能有ddl变化 方案优点：可支持对巨量副本表（几百个以上）的数据迁移，数据同步过程通过zk 做到后台自动同步，无需干预；同时支持对cos 数据的迁移； 不足：只能迁移ReplicatedMergeTree 引擎表，其它表不支持这种方案。

本文带您了解VPC终端节点的功能特性。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端VPC内部的的网络信息，使您的访问更加安全、可靠。当前支持“接口”类型终端节点服务。 用户可通过创建“接口”类型终端节点服务，实现在指定的白名单用户间服务私有共享。 终端节点服务允许用户快速将其服务发布到内部网络，通过白名单授权管理，确保在确保安全的前提下，能够灵活地管理可访问的用户。这种方式可以使用户能够方便地通过内部网络共享服务。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以使用终端节点连接在VPC中自己创建终端节点服务后端应用程序，也可以通过终端节点连接天翼云提供原生服务，天翼云终端节点支持“接口”和“反向”两种类型终端节点 。 “接口”类型终端节点：是具备私有IP地址的弹性网络接口，“接口”类型终端节点可作为VPC用户访问云服务入口，为VPC提供主动访问云服务能力，"接口"类型终端节点可连接自建服务，也可以连接天翼云云提供的原生服务。 "反向"类型终端节点：同样是具备私有IP地址的弹性网络接口，"反向"类型终端节点为服务主动访问用户VPC资源的出口，服务可通过此类型终端节点主动访问VPC内的资源。

本节为您介绍查看智能选路策略详情的操作场景、前提条件、操作步骤。 操作场景 用户创建完智能选路策略后，可以在智能选路列表页，查看创建好的智能选路规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能选路规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例名称，进入智能网关实例详情页。 5. 单击“智能选路”。 6. 单击目标智能选路策略名称，用户可查看当前选路策略的详细信息。

参数 是否必填 参数类型 说明 示例 下级对象 type 是 Integer 时间类型 1:7天;2:14天;3:30天 1

本章介绍云监控的权限管理。 如果您需要对云服务平台上的云监控服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云监控服务的使用权限，但是不希望他们拥有删除其他云服务资源等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云监控服务，但是不允许删除其他云服务资源的权限策略，控制他们对其他云服务资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云监控服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《统一身份认证服务》。 云监控服务权限 默认情况下，新建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云监控服务部署时通过物理区域划分，为项目级服务，需要在各区域对应的项目中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问云监控服务时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云监控服务，管理员能够控制IAM用户仅能对某一类云监控资源进行指定的管理操作。 如下表所示，包括了云监控服务的所有系统权限。 表 云监控服务系统权限 系统角色/策略名称 描述 类别 依赖关系 CES FullAccessPolicy 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用，支持细粒度授权的云服务列表请参考:统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccessPolicy 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用 CES AgentAccess CES Agent正常运行所需的必要权限。 系统策略 无。 CES Administrator 云监控服务的管理员权限。 系统角色 依赖Tenant Guest策略。 Tenant Guest：全局级策略，在全局项目中勾选。 CES FullAccess 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 说明 CES FullAccess不满足权限最小化原则，后续不推荐使用，建议使用CES FullAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccess 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 说明 CES ReadOnlyAccess不满足权限最小化原则，后续不推荐使用，建议使用CES ReadOnlyAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 下表列出了云监控服务常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 功能 操作 CES FullAccessPolicy CES ReadOnlyAccessPolicy CES Administrator （需同时添加Tenant Guest策略） Tenant Guest 监控概览 查看监控概览 √ √ √ √ 监控概览 查看监控大屏 √ √ √ √ 监控大盘 创建监控大盘 √ × √ × 监控大盘 查看监控大盘 √ √ √ √ 监控大盘 查看监控大屏 √ √ √ √ 监控大盘 添加监控视图 √ × √ × 监控大盘 查看监控视图 √ √ √ √ 监控大盘 修改监控视图 √ × √ × 监控大盘 删除监控视图 √ × √ × 监控大盘 调整监控视图位置 √ × √ × 监控大盘 删除监控大盘 √ × √ × 我的看板 创建我的看板 √ × √ × 我的看板 查看监控大屏 √ √ √ √ 我的看板 查看我的看板 √ √ √ √ 我的看板 删除我的看板 √ × √ × 我的看板 添加监控视图 √ × √ × 我的看板 查看监控视图 √ √ √ √ 我的看板 修改监控视图 √ × √ × 我的看板 删除监控视图 √ × √ × 我的看板 调整监控视图位置 √ × √ × 资源分组 创建资源分组 √ × √ × 资源分组 查看资源分组列表 √ √ √ √ 资源分组 查看资源分组（资源概览） √ √ √ √ 资源分组 查看资源分组（告警规则） √ √ √ √ 资源分组 修改资源分组 √ × √ × 资源分组 删除资源分组 √ × √ × 告警规则 创建告警规则 √ × √ × 告警规则 修改告警规则 √ × √ × 告警规则 启用告警规则 √ × √ × 告警规则 停用告警规则 √ × √ × 告警规则 删除告警规则 √ × √ × 告警规则 导出告警规则 √ √ √ × 告警规则 查看告警规则列表 √ √ √ √ 告警规则 查看告警规则详情 √ √ √ √ 告警规则 查看监控图表 √ √ √ √ 告警记录 查看告警记录 √ √ √ √ 告警记录 查看监控详情 √ √ √ √ 告警记录 屏蔽告警 √ × √ × 告警记录 手动恢复告警记录 √ × √ × 告警模板 查看默认告警模板 √ √ √ √ 告警模板 查看自定义告警模板 √ √ √ √ 告警模板 创建自定义告警模板 √ × √ × 告警模板 修改自定义告警模板 √ × √ × 告警模板 删除自定义告警模板 √ × √ × 主机监控 查看主机列表 √ √ √ √ 主机监控 查看主机监控指标 √ √ √ √ 主机监控 安装Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 修复插件配置 √（需同时拥有Security Administrator、ECS FullAccess权限） × √（需同时拥有Security Administrator、ECS FullAccess权限） × 主机监控 卸载Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 配置进程监控 √ × √ × 主机监控 配置自定义进程监控 √ × √ × 云服务监控 查看云服务列表 √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √ √ 云服务监控 查看云服务监控指标 √ √ √ √ 自定义监控 添加自定义监控数据 √ × √ × 自定义监控 查看自定义监控列表 √ √ √ √ 自定义监控 查看自定义监控数据 √ √ √ √ 事件监控 添加自定义事件 √ × √ × 事件监控 查看事件列表 √ √ √ √ 事件监控 查看事件详情 √ √ √ √ 数据转储到DMS Kafka 创建数据转储任务 √ × √ × 数据转储到DMS Kafka 查询数据转储任务列表 √ √ √ √ 数据转储到DMS Kafka 查询指定数据转储任务 √ √ √ √ 数据转储到DMS Kafka 修改数据转储任务 √ × √ × 数据转储到DMS Kafka 启动数据转储任务 √ × √ × 数据转储到DMS Kafka 停止数据转储任务 √ × √ × 数据转储到DMS Kafka 删除数据转储任务 √ × √ × 其他 配置数据转储 √（需同时拥有OBS Bucket Viewer权限） × √（需同时拥有Tenant Administrator权限） × 其他 导出监控数据 √ √ √ × 其他 发送告警通知 √ × √ ×

sectionfe9edbafb41f42e5)。 说明 防护模式只能选择一种，不能同时开启。 配置自定义CC防护策略 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”模块，在防护模式后方点击“前去配置”。 7. 进入CC防护自定义规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配规则、处置动作、限速频率、优先级、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。 单击“新增条件”可以设置最多3个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 频率设置 频率统计在匹配条件检测后生效，需要配置统计对象 及限速频率。 统计对象 为统计请求数量的依据，可选值如下： IP：根据IP区分单个访问者。 SESSION：根据会话区分单个访问者。对于SESSION模式，需要进一步设置SESSION信息。 SESSION位置：可选择GET、POST、COOKIE、HEADER。 SEESION标识：取值标识，通过配置唯一可识别Web访问者的某属性变量名（Key），系统将据此标识匹配到的内容识别访问者。 限速频率 为单个访问者在限速周期内最大可以正常访问的次数，如果超过该访问次数，WAF则将根据配置的处置动作处理。配置项如下： 阈值（次）：统计时长内统计对象的允许数量，超过阈值，则触发频率限制。 统计时长（秒）：统计周期。 处置动作 定义触发规则后执行的动作，支持“拦截”。 优先级 代表该规则在CC防护模块儿中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。 相关操作： 对于已创建的规则，您可以执行以下操作： 编辑：编辑自定义防护规则的名称、匹配条件、频率限制、处置动作、优先级等。 删除：若不再使用某条规则，可对该规则进行删除。 状态变更：可对每一条规则单独设置启用状态，若临时无须启用某条规则，可禁用该规则。

section2c6c3a253cf792d9)。 说明 防护模式只能选择一种，不能同时开启。 自定义CC防护策略 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置“页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”模块，在防护模式后方点击“前去配置”。 7. 进入CC防护自定义规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配规则、处置动作、限速频率、优先级、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。 单击“新增条件”可以设置最多3个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 频率设置 频率统计在匹配条件检测后生效，需要配置统计对象 及限速频率。 统计对象 为统计请求数量的依据，可选值如下： IP：根据IP区分单个访问者。 SESSION：根据会话区分单个访问者。对于SESSION模式，需要进一步设置SESSION信息。 SESSION位置：可选择GET、POST、COOKIE、HEADER。 SEESION标识：取值标识，通过配置唯一可识别Web访问者的某属性变量名（Key），系统将根据此标识匹配到的内容识别访问者。 限速频率 为单个访问者在限速周期内最大可以正常访问的次数，如果超过该访问次数，WAF将根据配置的处置动作处理。配置项如下： 阈值（次）：统计时长内统计对象的允许访问的次数，超过阈值，则触发频率限制。 统计时长（秒）：统计周期。 处置动作 定义触发规则后执行的动作，支持“拦截”。 优先级 代表该规则在CC防护模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 点击“确认”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。 相关操作： 对于已创建的规则，您可以执行以下操作： 编辑：编辑自定义防护规则的名称、匹配条件、频率限制、处置动作、优先级等。 删除：若不再使用某条规则，可对该规则进行删除。 状态变更：可对每一条规则单独设置启用状态，若临时无须启用某条规则，可禁用该规则。

获取WAF回源IP段 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“域名详情”页Web应用防火墙信息栏中，复制WAF回源IP地址。 放行WAF回源IP段 将获取到的WAF回源IP地址添加到源站安全软件的白名单中。 注意 为了保证您的业务安全性，建议您在放行回源IP段时，仅配置入方向的放行策略，将回源IP段加入白名单，这样能够保证出方向的数据依然能够被WAF检测，从而避免攻击者绕过WAF直接对源站进行攻击。 请注意，如果没有将回源IP段添加到白名单列表，将会导致通过WAF回源的正常业务请求被拦截，导致业务无法正常提供服务。

本页介绍天翼云TeleDB数据库创建同规格实例。 操作场景 该任务用于用户快捷创建和已存在实例相同规格的实例。 操作步骤 1. 切换至TeleDB控制台，在左侧导航树单击实例列表 ，进入实例列表页面。 2. 在实例列表页面，单击目标实例所在行的操作列的创建同规格实例。 3. 页面跳转至DCP创建实例的页面，您可参考实例初始化及实例开通中创建实例。

开启防护 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏中，选择“资产管理 > 主机管理 > 云服务器”，进入“云服务器”界面。 5、选择所需开启安全防护的主机，单击“操作”列“开启防护”。您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启主机防护。 说明 按需计费仅支持选择企业版。 包年/包月模式出现配额不足时需购买主机安全防护配额。 包年/包月： 在“开启方式”对话框中，“计费模式”选择“包年/包月”，选择目标版本、分配防护配额，阅读并确认“《主机安全免责声明》”。“选择配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费： 在“开启方式”对话框中，“计费模式”选择“按需计费”，选择目标版本，阅读并勾选“《主机安全免责声明》。 注意 基础版在首次开启时可免费体验30天，体验结束后需购买基础版的包年/包月模式才能使用。 6、单击“确认”，开启防护。开启主机安全防护后，请在控制台上查看主机安全服务的开启状态。若目标主机的“防护状态”为“开启”，则表示基础版/企业版/旗舰版防护已开启。 您也可以通过在“主机管理 > 防护配额”页面的“操作”列中，单击“绑定主机”，为主机绑定防护配额，HSS自动为主机开启防护。 一个配额只能绑定一个主机，且只能绑定Agent在线的主机。 开启主机防护后，HSS将根据您购买的服务版本，自动对您的主机执行服务版本对应的安全检测。 自动执行的安全检测

本章节主要介绍数据治理中心DataArts Studio如何创建IAM用户并授予DataArts Studio权限。 创建IAM用户并授予DataArts Studio权限 如果您需要对您所拥有的DataArt Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DataArts Studio资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如操作步骤所示。 背景信息 给用户组授权之前，请您了解用户组可以添加的DataArts Studio工作空间角色权限，并结合实际需求进行选择。 约束与限制 DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 − IAM角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 − IAM策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

漏洞扫描是否支持IPv6？ 自身支持IPv4和IPv6两种网络协议的部署，也支持对IPv4和IPv6协议的目标进行扫描，包括域名类型。 漏扫扫描时是否会影响业务？ 主机扫描：通过发送数据包来探测目标是否存活、开放的端口、运行的服务和版本信息等，理论上不会出现任何的影响，但是不排除由于防火墙的设置导致的服务宕机、由于目标服务对发送的报文处理导致的宕机等，一般情况下基本不会产生，实际漏扫引擎已经做了很多规避策略，但不能保证100%无影响，市面上的漏扫原理基本一样。 网站扫描：原理是模拟用户的正常HTTP请求和模拟黑客的无害攻击，一般来说是不会影响被扫描对象的业务正常运行，但是如果对方服务器的并发连接数本身就较低，那么可能会导致服务中断，需要重启中间件，漏扫引擎具备动态流控的功能，该影响的概率极低基本不会发生。 基线配置核查：原理与数据库扫描类似，主要是查询相关配置，可能会产生临时文件和删除临时文件操作，但不会影响业务。 授权扫描和非授权扫描有什么区别？ 漏扫的扫描方式包括授权扫描和非授权扫描两种，也有称登录扫描和非登录扫描，实际是一个含义。 授权扫描：在对目标进行漏洞扫描的过程中，要输入帐号、密码等信息，属于“登录授权”进行的扫描。因为通过输入帐号信息登录后进行的扫描，因此扫描获得的信息更多，漏洞也将发现的更多，且误报率更低。（适用于主机扫描、数据库扫描、网站扫描、基线核查四大扫描模块） 非授权扫描：不需要目标的账户密码等授权信息即直接扫描，通过远程探测目标的信息来判断漏洞，可能会产生误报和漏洞（适用于主机扫描、网站扫描量大扫描模块）。

本页介绍天翼云TeleDB数据库常用的Oracle兼容相关参数说明。 以下是Oracle兼容相关参数，在创建实例后，应确认这些参数是打开状态。 enableoraclecompatibleon 兼容 oracle 语法开关 defaultwithrowidon oracle 的 rowid 语法，默认自带rowid enablelowerallobjectnameon oracle 语法中将对象转成小写

本文介绍科研助手的欠费说明。 欠费原因 购买了按需计费的资源实例，账户余额不足以抵扣实例结算费用时，会造成欠费。 欠费停服说明 用户欠费后，边缘节点用于实例占用的计算资源将进入冻结状态。 进入冻结状态时，科研助手服务会自动停止，开发机、作业等占用的CPU、内存和GPU资源将会被释放。无法在平台新建计费实例，也无法启动已有实例。 如果在15天内充值补足欠款，实例将自动解冻。 欠费超过15天后，将视为您主动放弃该服务，计费实例将会被释放，具体时间以短信及邮件通知为准，资源释放后将不可恢复。 续费说明 请在欠费15天内，完成账号充值补足欠款，保证账号中的余额充足。

本文介绍如何更新容器列表。 容器运行时安全是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面，现有防护手段无法发现针对容器层面的攻击行为。容器安全防护平台支持对容器内行为进行检测。当发现容器逃逸行为、反弹shell、端口扫描、启动挖矿程序、启动远程木马程序时，根据预设策略对存在异常的容器进行报警或暂停，并支持对容器所在的Pod进行隔离或重启。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 在该页面单击容器列表右侧的“更新列表”，实时获取集群内的容器信息。

本章节主要介绍RDSPostgreSQL实例使用规范。 实例可用性 建议开通产品实例时，充分考虑业务使用应用场景，保持实例服务器有一定的资源冗余，如磁盘、CPU、内存等，保证正常使用率不超过70%，防止因资源问题导致Out Of Memory、磁盘耗尽、CPU飙高等异常问题。 建议生产系统使用的数据库选用主备类型，保证高可用。 建议开启周期性全量+增量备份，保证备份机空间足够且不小于实例磁盘。 建议根据需要修改主备实例的数据同步模式，如要保证数据不丢失，可设置为同步模式；如要保证业务响应速度快，可以设置为异步模式。 建议根据资源使用情况，及时升级实例配置，如磁盘扩容、系列升配和CPU/内存升配，保证实例可用性。 实例运维 及时清理无用复制槽，防止复制槽阻塞影响日志回收。 及时VACUUM，尤其是在大批量数据操作场景下。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 及时清理无用的空闲连接，同时业务侧应该避免连接长时间不释放。 建议定期监控数据库事务ID的大小，以免数据库已使用的事务ID大小超过20亿，导致数据库强制关闭。 安全访问 尽量避免通过公网访问数据库，如需公网连接必须要先绑定公网EIP，并严格管理白名单。

本文主要介绍分布式消息服务RabbitMQ的入门指引。 本文将为您介绍分布式消息服务RabbitMQ入门的基本流程，主要包括控制台创建RabbitMQ实例、使用弹性云主机连接实例的操作，帮助您快速上手RabbitMQ。 操作流程 图1 RabbitMQ使用流程 环境准备 RabbitMQ实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 创建RabbitMQ实例 在创建实例时，您可以选择是否开启SSL访问，开启后，数据加密传输，安全性更高。同时，SSL开关只能在创建实例时设置，实例创建成功后，不支持修改。 连接实例 客户端连接实例，根据实例是否开启SSL开关，存在以下两种场景：不使用SSL证书连接和使用SSL证书连接。 配置必须的监控告警 配置RabbitMQ实例监控告警策略，监控实际业务运行状态。 说明 关于RabbitMQ的相关概念，请参考

本文介绍分区域分运营商回源功能的适用场景和配置说明。 功能介绍 如果您的域名有多个源站，且希望通过CDN加速实现多个源站之间负载均衡，您可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。下图为分运营商回源的原理图，电信客户端用户经过CDN加速平台后回到电信源站，联通客户端用户经过CDN加速平台后回到联通源站。分区域回源原理类似。 适用场景 场景一：分区域回源 域名有多个源站，分别分布在北京、上海、广州三个区域，可以配置华北、西北、东北三个大区的所有省份的用户回北京源站；配置华东、华中这两个大区的所有省份的用户回上海源站；配置华南、西南这两个大区的所有省份的用户回广州源站。从而保证每个地区的用户都回就近的源站，同时也帮助源站解决负载均衡问题。 场景二：分运营商回源 域名有多个源站，分别是电信源站、联通源站、移动源站，可以配置联通用户回联通源站；配置移动用户回移动源站；配置电信及其他运营商用户回电信源站。从而保证电信、联通、移动的用户都能同运营商回源，其他小运营都回电信源站，解决跨运营商回源的问题。 场景三: 多个源站提供不同的内容，通过分区域回源实现不同地区看到不同的内容 例如：域名在国内和海外各有一个源站，国内源站响应中文网站，海外源站响应英文网站，可以配置国内用户回国内源站，海外用户回海外源站，从而实现国内用户访问中文网站，海外用户访问海外网站的效果。 场景四：分区域分运营商回源 例如：域名有多个源站，分别为源站1、源站2、源站3，可以配置福建电信、广西电信、广东电信回源站1；配置上海移动、浙江移动、江苏移动回源站2；其他区域和运营商回源站3。

此小节介绍数据库安全与其他服务的关系。 与弹性云主机的关系 数据库安全服务实例创建在弹性云主机上，用户可以通过该实例，为弹性云主机上的自建数据库提供安全审计功能。 与关系型数据库的关系 数据库安全服务可以为关系型数据库服务中的RDS实例提供安全审计功能。 与物理机的关系 数据库安全服务可以为物理机上的自建数据库提供安全审计功能。

终端接入 终端设备使用MQTT客户端通过终端连接地址接入。 1、 选择MQTT客户端库：选择适合终端设备的MQTT客户端库。不同的终端设备和操作系统可能需要不同的MQTT客户端库。例如，对于嵌入式设备，可以选择支持该设备平台的MQTT客户端库，如Paho MQTT库。 2、 配置MQTT客户端：在终端设备上，需要配置MQTT客户端以连接到指定的MQTT Broker。配置包括设置连接地址、端口、客户端ID、用户名和密码等信息。这些配置信息将用于建立与MQTT Broker的连接。 3、 建立连接：使用配置信息，MQTT客户端尝试连接到指定的MQTT Broker。一旦连接成功，终端设备就可以开始发布（Publish）和订阅（Subscribe）MQTT主题。 云端接入 云端应用使用KAFKA客户端通过服务端连接地址接入，支持SSL连接。

本节介绍如何从云安全中心控制台进入安全体检控制台并使用安全体检产品。 云安全中心提供体安全体检产品的功能，可支持的场景包括高危端口开放情况、弱口令、漏洞开放情况，并输出体检报告。用户可根据需求单独购买。 更多信息请参见安全体检。 使用安全体检 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 4. 在左侧导航栏，选择“安全体检”。 5. 跳转到安全体检控制台，详细操作指导请参见安全体检产品文档。

填写部署路径 SUPPORTall ;support值为x86代表版本包仅支持x86.all代表支持x86和arm，无需修改 NODENAMEhuanan ;资源池名称拼音，用于监控库自纳管 JAVAHOME/usr/java/jdk1.8.0241 填写 JDK 路径 SCENEprivate;场景，public公有云，private私有云 USERID98989988 ;监控库作为一个实例管理，默认的用户 ID。默认 98989988 不必改 ;monitor database for storing info [mysql] MYSQLHOST1 填写公共库 IP 地址 MYSQLHOST2 填写公共库 IP 地址 MYSQLHOST3 填写公共库 IP 地址 MYSQLHOST4"" 注意，参数为空，需填"" VIP 填写公共库 VIPIP 地址 SSHPORT22 填写 SSH 的端口 SSHUSER 填写部署的用户 SSHPASSWORD 填写部署用户的密码 ROOTUSER 填写有 sudo 权限的用户 ROOTPASSWD 填写有 sudo 权限用户的密码 PORT6301 公共库服务启动端口 DBNAMEteledb 公共库的名称 MYSQLROOTUSERroot 公共库用户 ;mysql root 密码 MYSQLROOTPASSWORD 公共库用户的密码 MYSQLINSTALLDIR/app/monitor/mysqlinstall 公共库部署的路径 AGENTINSTALLDIR/app/monitor/agent agent 部署的路径 DATADIR/app/monitor/data 公共库数据存储路径 SETNAMEset98989988 PACKAGEMYSQLteledb5.7.492023.q4.1.x8664.tar.gz 包名称 PACKAGEAGENTdb2023.q4.1.x8664agent.tar.gz