本文介绍如何控制只允许HTTPS访问，禁止HTTP访问。 背景说明 网站域名支持HTTPS情况下，如果在全站加速侧开启HTTPS功能，仍可能有部分用户采用HTTP协议进行请求。如果网站希望只允许HTTPS访问，不允许HTTP访问，可通过本文提到的方式来实现。 解决方案 用户是发起HTTP请求还是HTTPS请求是由用户使用的网站链接决定的，如果您希望强制用户使用HTTPS访问，可以通过配置强制跳转HTTPS功能来实现。具体功能及配置介绍，详情请见：强制跳转。

本章节主要介绍如何快速创建实时分析集群。 本章节为您介绍如何快速创建一个实时分析集群，实时分析集群使用Hadoop、Kafka、Flink和ClickHouse组件提供一个海量的数据采集、数据的实时分析和查询的系统。 集群包含的组件信息实时分析： MRS 3.1.0版本：Hadoop 3.1.1、Kafka 2.112.4.0、Flink 1.12.0、ClickHouse 21.3.4.25、ZooKeeper 3.5.6、Ranger 2.0.0。 快速创建实时分析集群 1.登录MRS管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 3在创建集群页面，选择“快速创建”页签。 4.参考下列参数说明配置集群基本信息，参数详细信息请参考创建自定义集群。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20201130”。 版本类型：默认选择普通版（不同版本提供的组件有所不同，请根据需要选择版本类型）。 集群版本：默认选择最新版本即可（不同版本集群提供的组件有所不同，请根据需要选择集群版本）。 组件选择：选择“实时分析集群”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 CPU架构：默认即可。 集群节点：请根据自身需要选择集群节点规格数量等。MRS 3.x及之后版本集群Master节点规格不能小于64GB。 用户名：默认为“root/admin”，root用于远程登录ECS机器，admin用于登录集群管理页面。 密码：设置root用户和admin用户密码。 确认密码：再次输入设置的root用户和admin用户密码。 5.勾选“确认授权”开通通信安全授权，通信安全授权详情请参考授权安全通信。 6.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 7.单击“返回集群列表”，可以查看到集群创建的状态。单击“访问集群”，可以查看集群详情。 集群创建的状态过程请参见 集群概览章节查看集群状态 部分 集群列表参数中的“状态”参数说明。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。 MRS系统界面支持同一时间并发创建10个集群，且最多支持管理100个集群。

3、安全设置 连接安全性：该设置决定服务器连接是否加密。无：不加密；SSL/TLS：加密（推荐）；STARTTLS：连接以不加密开始，如果服务器支持，那么尝试加密。 验证方式：该设置是认证连接账号的方式。邮箱账户提供商会决定使用何种方式进行认证，您可以登录邮箱服务器端查看。 4.完成以上邮箱配置即登录成功 验证过程可能会持续1分钟左右，当出现“尝试常用服务器名称后找到配置”即完成账密即服务器验证，点击“完成”即登录成功。 说明 IMAP和POP有什么区别？ POP允许电子邮件客户端下载服务器上的邮件，但是您在电子邮件客户端的移动邮件、标记已读、删除邮件等操作，是不会反馈到服务器上的。比如：您通过AOneMail客户端收取了邮箱中的5封邮件并移动到了其他文件夹，这些移动动作是不会反馈到服务器上的，也就是说，邮箱服务器上的这些邮件是没有同时被移动的。 但是IMAP就不同了，电子邮件客户端的操作都会反馈到服务器上，您对邮件进行的移动邮件、标记已读、删除邮件等操作服务器上的邮件也会做相应的动作。即，IMAP是“双向”的。 同时，IMAP可以只下载邮件的主题，只有当您真正需要的时候，才会下载邮件的所有内容。 如何导入AOneMail旧数据 1.进入AOneMail主界面，点击导入。 2.点击从另一个AOneMail安装导入，点击下一步。 3.选择配置文件目录或ZIP文件作为配置文件导入，点击下一步。 4.选择需要导入的内容并点击继续。 5.点击开始导入，确认导入成功后需要重启AOneMail。

本节介绍了容器镜像加签验签的用户指南。 概述 镜像签名功能保障镜像来源安全可靠，避免中间人攻击和非法镜像的更新与运行。CRS支持为命名空间的镜像自动加签，每次推送容器镜像后都会匹配加签规则自动加签，保障您的容器镜像内容可信。 镜像签名步骤 为命名空间下的镜像设置自动加签的步骤如下： 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择容器镜像仓库实例。 4. 在企业版实例管理页面的左侧菜单上选择"安全可信" "镜像签名"，点击左上角的创建镜像加签规则按钮。 5. 在弹出的对话框，填写镜像加签规则的，然后点击“确定”按钮，完成创建，界面各项参数说明如下表； 参数 是否必选 说明 命名空间 必选 选择需要自动加签的命名空间名称 使用默认私钥 非必选 加签时是否使用默认的私钥，勾选则表明使用默认私钥加签，若不勾选则表明使用自定义私钥，则需要往下录入自定义私钥的信息 私钥 非必选 如果上述"使用默认私钥"不勾选，则必须在此框填入自定义私钥的信息，可以将私钥直接贴入，或者从"文件导入"，私钥目前只支持长度位数是2048，格式为PKC8的RSA密钥 密码 非必选 如果创建RSA密钥对时有添加密码，则需要再此处填上，否则会影响加签执行 6. 创建完毕的规则会展示在镜像签名的列表中，可对签名规则进行编辑，如更换签名密钥等。 注意 1. 镜像加签不会影响镜像的常规使用，更不会影响镜像中原有的能力及业务功能。 2. 单个命名空间只能创建一个加签规则。 3. 如果是使用自定密钥，密钥对需要自行保存维护好，使用跟密钥对应的公钥方可验签成功。

本小节介绍终端杀毒计费模式。 计费模式 产品规格 收费模式 标准价格（元/个/月） 控制中心版 按月计费 40 购买 1.用户订购时，在客户端数量栏：请选择需要安装防病毒插件能力的终端数量 （云主机或云桌面）总数，主机镜像数量：为制作授权填写需杀毒主机镜像数量，请用户根据自己终端中系统镜像类别填写各类镜像数量，此数量之和应等于购买的客户端数量。 注意 此产品为人工开通，开通时间为小时计，请耐心等待。 2.在终端杀毒开通同时，用户需自行在控制中心（可任选节点）开通云主机，开通时请在公共镜像安全产品中选择终端杀毒，并绑定弹性公网IP。 3.终端杀毒完成开通后，在控制中心中找到对应的终端杀毒实例获取license。 扩容 用户可在控制台实例处选择扩容按钮，对客户端数量进行扩容。 续订 用户可在控制台实例处选择续订按钮，对实例时长进行续订。 退订 无特殊情况本产品不支持退订。

虚拟私有云支持主动访问公网,本文带您快速了解通过单个ECS访问公网和多个ECS访问公网。 单个弹性云主机访问公网 当您的某台弹性云主机需要主动访问公网，可以为弹性云主机绑定弹性IP，即可实现公网访问。 多个弹性云主机访问公网 如果您有多个弹性云主机实例需要访问公网，可以使用NAT网关服务，并将多个弹性云主机实例与NAT网关关联。按子网配置SNAT规则，轻松构建VPC的公网出口。对比弹性IP访问公网，在未配置DNAT规则时，外部用户无法通过公网直接访问NAT网关的公网地址，保证了弹性云主机的相对安全。 对于可用区资源池，云主机使用弹性IP或者NAT网关的操作方法可以参考如何通过弹性IP或者NAT网关访问公网页面。

产品功能 单机实例 主备实例 一主两备实例 只读实例 节点数 1 2 3 1 规格配置 vCPU：最高192核 内存：最高1536GB 数据盘：最高64TB vCPU：最高192核 内存：最高1536GB 数据盘：最高64TB vCPU：最高192核 内存：最高1536GB 数据盘：最高64TB vCPU：最高192核 内存：最高1536GB 数据盘：最高64TB 实例规格变更 支持规格扩容、规格缩容和磁盘扩容 支持规格扩容、规格缩容和磁盘扩容 支持规格扩容、规格缩容和磁盘扩容 支持规格扩容、规格缩容和磁盘扩容 安全组 支持 支持 支持 支持 参数设置 支持 支持 支持 支持 主备切换 不支持 支持 支持 不支持 日志管理 支持 支持 支持 支持 只读实例 支持（需另建实例） 支持（需另建实例） 支持（需另建实例） 不支持（本身是只读实例） 数据库审计 支持 支持 支持 支持 白名单管理 支持 支持 支持 支持 数据库管理 支持 支持 支持 不支持 账号管理 支持 支持 支持 不支持 监控与告警 支持 支持 支持 支持 备份与恢复 支持 支持 支持 不支持

本文主要介绍启动测试任务 前提条件 已添加用例。 确保资源组状态为“运行中”。 确保资源组的调试节点上的32001和32003端口在安全组被开启。 确保资源组的执行节点和被压测的应用之间网络互通。 操作步骤 1、登录性能测试控制台，在左侧导航栏中选择“测试工程”。 2、在待编辑性能测试测试工程所在行，单击工程名称进入测试工程详情页面。 3、选择“测试任务”页签，单击待启动任务操作栏的。 4、在“执行测试任务”对话框中，选择“资源组类型”。 共享资源组：无需创建即可使用，最大支持10000并发和100Mb带宽，支持外网地址压测。 私有资源组：本机创建的私有资源组。 5、单击“执行”，执行测试任务。 6、（可选）测试任务执行后，单击“查看报告”或单击测试任务操作栏的，可以查看实时测试报告。

为什么扫描任务自动登录失败了？ 漏洞扫描服务在扫描过程中，会在用户提交的登录页面上查找登录输入框，以及登录按钮，登录成功后，还会在页面上识别退出登录的触发链接，避免登出。查找这些元素的成功率受影响于用户站点页面元素的复杂程度。 如果扫描任务自动登录失败，可能是因为您的网站需要登录才能访问，请检查您是否通过漏洞扫描服务对您的网站进行了正确的网站登录信息配置，请参照以下操作步骤设置网站登录方式或者修改网站登录配置信息。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描服务”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 在目标域名的“操作”列，单击“编辑”，进入域名编辑页面，根据需要修改“网站登录设置”，如下图所示。 5. 单击“确认”。

本页介绍了SSL证书产品的使用指南。 网站、微信公众号、app应用、小程序，所有使用http协议的地方都可以使用SSL证书。 特别注意的是，Apple ATS要求所有APP应用的网络请求必须在一个安全（HTTPS）的链上传输，不符合ATS要求的应用即将无法在App Store顺利上架。小程序要求使用https协议的，不然无法正常上架。最新的HTTP/2协议中，主流浏览器也仅实现了通过TLS加密的HTTP/2协议。 万维信双算法证书服务（RSA/SM2自适应兼容）： 向用户提供SM2算法SSL证书（符合国密要求）和RSA算法SSL证书（支持全球浏览器和移动终端），兼顾国密合规和全球通用； 证书完全基于国内CA PKI体系，无论是国际算法的RSA2048，还是国产算法的SM2，根证书都在国内，国产证书完全自主可控。 选择对应的 web 服务类型进行证书安装，如安装过程需要帮助，可联系技术支持17621790866

字段 字段说明 备注 姓名 非必填，可填写员工姓名用于身份标识。 账号 必填，用于登录和唯一标识的账号，不可修改，可包含数字、符号（仅支持“” 、“.”、“”、“·”），不允许企业内账号重复。 归属组织 勾选归属组织，默认位置为您的根组织节点，组织信息来源于组织分页管理的组织列表。 若使用批量导入用户功能，则此字段需要填写组织全路径，不同级别组织之间使用“”分隔，例如xx一级组织xx二级组织。 状态 用户状态分为正常、禁用和锁定。 若被锁定，则用户账号状态显示为“锁定”，若想将用户进行解锁正常登录，请点击更多的解锁按钮 。 用户组 非必填，勾选适合的用户组，用户组信息来源于用户组管理栏目配置的用户组列表。 手机号 非必填，默认不允许企业内员工手机号重复，手机号可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 邮箱 非必填，默认不允许企业内员工邮箱重复，邮箱可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 初始密码 非必填，支持自定义填写密码，也支持点击自动生成按钮随机生成密码。若未设置则默认初始化密码，设置的密码均需满足登录策略密码策略配置的要求。 出于安全考虑，首次采用初始化密码必须修改密码，建议可采用“忘记密码”直接重置密码。 若使用批量导入用户功能，则无此字段，系统会根据密码策略自动生成用户初始密码。 是否审批负责人 非必填，定义其是否为审批负责人，仅定义是审批负责人的人员，才可被其他员工选中为其审批负责人。 审批负责人 非必填，主要用于权限申请环节，若配置需要审批负责人审核，则员工对应的审批负责人将进行审批。 员工属性 非必填，可定义员工属性，如外协、正式、其他。 备注 非必填，填写用户备注的一些信息。 账号有效期 非必填，若未选择，则默认是永久有效，可选择账号到期时间，在到期时间之后，该账号将被设置为禁用状态，被禁用的账号在登录后将进行拦截，需重新设置有效期，其账号状态才变成启用。若是被手动禁用的账号，在账号有效期过期后，除重新设置有效期外，还需手动进行账号启用。 通知方式 批量新增用户或单用户新增时可进行选择是否通知用户。 目前仅支持短信通知，若未配置手机号则不进行发送通知。 通知内容：出于安全考虑可以默认仅通知账号，员工可通过“忘记密码”进行重置密码后登录；若同时勾选密码，则会发送初始密码+账号，首次登录将强制要求进行修改密码。

迁移源 信息项 说明 源Redis （列出所有待迁移的实例） 源Redis实例的IP地址 源Redis （列出所有待迁移的实例） Redis访问密码（如有） 源Redis （列出所有待迁移的实例） 总数据量大小 info memory命令查询得到，参考usedmemoryhuman的值。 用于评估迁移方案、DCS缓存实例规格、ECS可用磁盘空间等是否满足，以及预估迁移耗时（业务中断时间）。 源Redis （列出所有待迁移的实例） 不为空的数据库编号 info keyspace命令查询得到。 用于确认迁移是否涉及多数据库，非AOF文件方式迁移，部分开源工具可能须逐库处理导出和导入。 DCS缓存实例中，单机和主备实例支持0255共256个数据库，集群默认只提供一个数据库。 源Redis （列出所有待迁移的实例） 各数据库的key数量 用于迁移后进行数据完整性验证。 源Redis （列出所有待迁移的实例） 数据类型 CDM迁移服务当前支持Hash和String两种数据格式，如果源数据含有list、set之类数据，请采用第三方迁移工具。 ECS（弹性云主机） 如果待迁移实例较多，可准备多台ECS并行迁移 弹性IP地址 选择与DCS缓存实例网络互通的弹性云主机进行数据导入，确保导入过程网络稳定。 带宽建议选取高配，提升数据传输效率。 ECS（弹性云主机） 如果待迁移实例较多，可准备多台ECS并行迁移 系统登录用户/密码 ECS（弹性云主机） 如果待迁移实例较多，可准备多台ECS并行迁移 CPU/内存 部分迁移工具支持多线程并行导入，使用高规格ECS，能提升导入速度。 ECS（弹性云主机） 如果待迁移实例较多，可准备多台ECS并行迁移 可用磁盘空间 ECS需要预留足够的可用磁盘空间，存储压缩文件以及解压后的缓存数据文件。 注：为提高数据传输效率，对于较大的数据文件，建议压缩后再传输到弹性云主机。 DCS缓存实例 （根据源Redis实例数与数据量情况选择合适的规格与实例数） 实例连接地址 DCS缓存实例 （根据源Redis实例数与数据量情况选择合适的规格与实例数） 实例连接端口 DCS缓存实例 （根据源Redis实例数与数据量情况选择合适的规格与实例数） 实例访问密码 DCS缓存实例 （根据源Redis实例数与数据量情况选择合适的规格与实例数） 实例类型 DCS缓存实例 （根据源Redis实例数与数据量情况选择合适的规格与实例数） 实例规格/可用内存 网络配置 VPC 提前规划VPC，确保应用服务、DCS缓存实例等处于相同VPC中。 网络配置 子网 网络配置 安全组或白名单 由于Redis 3.0和Redis 4.0/5.0/6.0实例部署模式不一样，控制访问方式也不一样，需要制定相应的安全组或白名单规则，确保网络连通。 ... ... 其他配置信息 。

该任务指导用户通过漏洞扫描服务添加主机。 说明 漏洞扫描服务的基础版不支持主机扫描功能，如果您是基础版用户，请通过以下方式使用主机扫描功能： 购买专业版或企业版 按次购买主机扫描功能 按次一次性扣费，每次最多可以扫描20台主机。 操作场景 漏洞扫描服务支持添加Linux操作系统和Windows操作系统的主机。 Linux主机扫描支持主机漏洞扫描、基线检测、等保合规检测。 Windows主机扫描目前仅支持主机漏洞扫描。 前提条件 已获取管理控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 单击“添加主机”，进入“添加主机”页面。 5. 在“添加主机”页面，执行以下操作。 单个添加主机：单击“添加主机”，如下图所示。 添加主机配置参数说明： 参数名称 参数说明 主机名称 用户需要添加的主机名称。 IP地址 添加主机的公网IP地址。 操作系统类型 支持Linux操作系统和Windows操作系统。 是否使用跳板机 如果用户的主机需要通过代理IP才能访问，需要使用跳板机。 跳板机只支持Linux操作系统。 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 操作 可单击“克隆”复制主机信息。 可单击“删除”删除主机信息。 批量添加主机 1. 单击“批量添加主机”，在“批量添加主机”对话框中，配置IP地址。多个IP地址，使用换行分开。 2. 单击“添加主机”。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，如下图所示，配置说明如下表所示。 跳板机配置参数说明： 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 6. 单击“下一步”，添加主机完成，请参见配置Linux主机授权和配置Windows主机授权执行主机授权的操作。

SQL审核功能够对提交的SQL语句进行规范审查，并提供针对性的优化建议。这一功能有助于防止使用未建立索引或格式不规范的SQL语句，从而有效减少SQL注入的安全风险。 前提条件 组织版本为企业版。 目前仅支持MySQL、PostgreSQL、DRDS、Oracle数据库。 功能介绍 在项目开发阶段，业务逻辑和数据显示依赖于数据库的SQL操作。上线前，必须对所有SQL进行严格审核，以防不规范语句影响生产环境。为避免人工审核的低效和资源浪费，DMS提供了SQL审核功能，依据自定义安全规则提出优化建议，如设定表需有主键、主键类型限制等，以提高研发效率和保障数据库规范。SQL相关规则详细配置请参考SQL规范。 操作步骤 创建SQL审核工单 1. 登录DMS控制台。 2. 在左侧导航栏，选择SQL治理 > SQL审核 ，进入SQL审核管理页面。 3. 单击SQL审核按钮，弹出SQL审核工单填写界面，工单需要输入的内容说明见下表1。 4. 填写完SQL审核工单后，单击提交按钮，即完成工单的提交，进入SQL规范检查。 5. SQL审核工单检查通过之后，会自动进入审批流程。管理员将再次确认SQL，审批完成则工单流程结束。 表1 SQL审核工单输入内容说明 输入内容 说明 : 目标实例 必填项，选择执行SQL语句的目标实例，目前支持MySQL，PostgreSQL，DRDS，Oracle数据源。 目标数据库 选填项，选择执行SQL语句的目标数据库。如果未选中目标数据库，则会只检查“离线规则”，“在线规则”和“离线规则”详见 SQL规范。 关联人 选填项，选择需要看到此工单的用户名，关联人可在工单列表页面查看到此工单。 审核内容 必填项，上传或编辑审核内容。 注意 支持单个SQL文件、MyBatis框架XML文件或多文件打包成ZIP。单SQL/XML文件最大2M。ZIP不可超过20M，路径深度最大5层，最多包含200个文件。 如果上传文件为单文件，上传的文件内容将自动解析至输入框中，覆盖输入框内原有内容；如果上传文件为ZIP，上传的文件目录、文件名将自动展示到页面。 工单说明 描述工单备注内容。 说明 检查结果中如果有强制改进项，用户需要改进该项命中的SQL并重新检查通过之后，才能进入审批流程。 如果有建议改进项，不会阻断任务流程，但会出现改进建议。 强制改进和建议改进的定义，详见

对于有些网站，源IP无法精准获取。例如：存在未在header中插入“XForwardedFor”字段的Proxy或其他原因，建议使用配置Cookie字段实现用户标识并开启“全局计数”。 攻击案例 竞争对手控制数台主机，与大多普通访客一样，共用同一IP，或通过代理频繁更换源IP，持续向网站“www.example.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。 防护措施 步骤1 根据服务访问请求统计，判断网站是否有大量同一IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 步骤2 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见网站接入WAF。 步骤3 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 步骤4 开启WAF的“CC攻击防护”后，添加CC防护规则，配置“用户限速”模式，输入用户标识，即Cookie字段中的变量名。为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 说明 “防护模式”选择“阻断”模式，设置“阻断时长”，能够在攻击被拦截后，攻击者需额外等待一段时间， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 添加CC防护规则 限速模式：选择“源限速”、“用户限速”，根据Cookie键值区分单个Web访问者。 用户标识：为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：选择“阻断”模式。该模式可设置“阻断时长”，在攻击被拦截后，攻击者需额外等待一段时间才能访问正常的网页， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 阻断页面：可选择“默认设置”或者“自定义”。

说明：本章节会介绍如何绑定和解绑弹性公网IP 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是8635，那么需确保安全组开通了8635端口的访问。 前提条件 用户需要在VPC申请一个弹性公网IP。 只有主实例和只读实例才能绑定弹性公网IP。 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 部分已创建实例暂不支持该功能，因为其连接地址的创建方式不支持绑定弹性公网IP。 绑定弹性公网IP 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 在左侧导航栏，单击“连接管理”，在“公网连接”页面中，在“连接信息”模块“弹性公网IP”处，单击“绑定”。 在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“确定”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 在“公网连接”页面，查看绑定成功的EIP。 您也可以在“任务中心”页面，查看绑定弹性公网IP任务的执行进度及结果。 如需关闭，请参见解绑弹性公网IP。 解绑弹性公网IP 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 对于已绑定EIP的实例，在“实例管理”页面，选择指定实例，单击实例名称，进入实例基本信息页面。 在左侧导航栏，单击“连接管理”，在“公网连接”页面中，在“连接信息”模块“弹性公网IP”处，单击“解绑”，在弹出框中单击“是”，解绑EIP。 在“公网连接”页面，查看结果。 您也可以在“任务中心”页面，查看解绑弹性公网IP任务的执行进度及结果。 如需重新绑定，请参见绑定弹性公网IP。

（可选）创建增强型跨源连接 本示例演示的操作需要跨源连接RDS外部数据源，所以需要创建跨源连接。如果作业不需要连接外部数据源，则该步骤可以跳过。 1.登录RDS控制台，创建RDS数据库实例。登录RDS实例后，单击“新建数据库”，创建名称为“test2”的数据库。 2.在“test2”的数据库所在行，操作列，单击“SQL查询”，输入以下创建表语句，单击“执行SQL”创建表“tabletest2”。建表语句参考如下： CREATE TABLE tabletest2 ( id int(11) unsigned, name VARCHAR(32) ) ENGINE InnoDB DEFAULT CHARACTER SET utf8mb4; 3.在RDS管理控制台，单击“实例管理”，单击已创建的RDS具体实例名称，查看该RDS实例的“基本信息”。 4.在“基本信息”的“连接信息”中获取该实例的“内网地址”、“数据库端口”、“虚拟私有云”和“子网”信息，方便后续操作步骤使用。 5.单击“连接信息”中的安全组名称，在“入方向规则”中添加放通弹性资源池网段的规则。例如本示例为3弹性资源池网段为“172.16.0.0/18”，数据库端口为3306，则规则添加为：优先级选为：1，策略选为：允许，协议级别和端口选择：TCP和3306，类型：IPV4，源地址为：172.16.0.0/18 单击“确定”完成安全组规则添加。 6.登录DLI管理控制台，在左侧导航栏单击“跨源管理”，在跨源管理界面，单击“增强型跨源”，单击“创建”。 7.在增强型跨源创建界面，配置具体的跨源连接参数。具体参考如下。 −连接名称：设置具体的增强型跨源名称。 −弹性资源池：选择步骤一：创建弹性资源池中已经创建的好的弹性资源池。 说明 如果该步骤不选择弹性资源池，可以创建跨源完后，在增强型跨源界面，在对应跨源连接所在行的“操作”列，单击“更多 > 绑定弹性资源池”进行绑定。 −虚拟私有云：选择4中获取的RDS的虚拟私有云。 −子网：选择4中获取的RDS的子网。 −其他参数可以根据需要选择配置。 参数配置完成后，单击“确定”完成增强型跨源配置。单击创建的跨源连接名称，查看跨源连接的连接状态，等待连接状态为：“已激活”后可以进行后续步骤。 8.单击“资源管理 > 队列管理”，选择操作的队列，如本示例的“generaltest”，在操作列，单击“更多 > 测试地址连通性”。 9.在“测试连通性”界面，根据4中获取的RDS连接信息，地址栏输入“RDS内网地址:RDS数据库端口”，单击“测试”测试到RDS网络是否可达。

本文帮助您快速熟悉添加ACL规则的操作场景和操作流程。 操作场景 当您需要按照自定义的策略来对出入子网的流量进行控制时，您可以自定义添加新的出方向、入方向ACL规则。 入方向：指从外部访问ACL规则下的子网内的云服务器。 出方向：指ACL规则下的子网内的云服务器访问ACL外的实例。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，选择需要添加规则的ACL。 6. 进入“ACL”详情界面，在入方向规则或出方向规则页签，单击“添加入方向/出方向规则”按钮。 7. 单击“增加一条规则”，可以依次增加多条规则。 8. 单击网络ACL规则操作列下的“复制”选项，复制已有的网络ACL规则。 9. 配置参数说明如下： 参数 说明 优先级 网络ACL规则的优先级，优先级的数值越小，表示优先级越高。为默认的规则，优先级最低。默认规则仅多可用区资源池适用。 IP版本 支持IPv4、IPv6两种协议。 策略 选择入方向规则的授权策略：允许：允许访问子网中云服务器。拒绝：拒绝访问子网中云服务器。 协议 选择协议类型，支持以下几种协议：ALL：所有协议。ICMP：网络控制报文协议。TCP：传输控制协议。UDP：用户数据报协议。 地址和掩码 当前方向允许的地址，对于IPv4，默认值为0.0.0.0/0，代表支持所有的IPv4地址；对于IPv6，默认值为::/0，代表支持所有的IPv6地址。 端口范围 源端口范围，取值范围是1～65535的数字。选择TCP或UDP协议时必须填写。 描述 网络ACL规则的描述信息，非必填项。 注意 1. 对于地域资源池来说，创建ACL时需要指定子网与ACL的关联关系。添加规则时，入方向规则不支持自定义目的地址，出方向规则不支持自定义源地址。 2. 对于可用区资源池来说，添加规则时，出/入方向均支持自定义源/目的端口。 3. 支持IPv6能力逐步上线，实际支持资源池以控制台展示为准。

本文介绍获取文件切片详情。 接口描述 获取某个文件的切片详情 请求方法 GET 接口要求 无 URI /openapi/v1/documents/chunksdetail 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json tenantId 是 String 租户ID 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 kqaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求头Query参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 Int 知识库文件id 1443 请求代码示例 plaintext Curl X GET " H "ContentType: application/json" H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" 状态码 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 返回状态，返回200表示成功 200 message String 返回Success Success returnObj Object 接口返回结果 returnObj表 returnObj表 参数 参数类型 说明 示例 下级对象 infoBaseId Int 知识库ID 1443 fileId String 文件ID 23 fileName String 文件名 微积分.pdf chunks Array[Object] 切分片段 chunk chunk表 参数 参数类型 说明 示例 下级对象 chunkId String 文档片段ID 1 chunkText String 文档片段文本 contentId String 内容ID contentText String 内容文本 docTitle String 文档标题 subTitle String 子标题 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": 200, "error": null, "message": "Success", "returnObj": { "fileId": "1443", "infobaseId": "428", "fileName": "ppt4.png", "chunks": [ { "chunkId": "1", "chunkText": "ppt4.pngn 对齐方式：所有板块对齐整齐，确保整体布局的协调性。n

本文主要介绍了DRDS库表管理页面相关内容，包括新建库表、DDL语句执行等操作。 查看库表基本信息 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 单击schema管理 ，进入目标实例的schema管理页面。 5. 单击目标schema操作 列的管理 ，然后单击库表管理，进入库表管理页面。 在库表管理页面可以查看库表信息，包括表名、类型、分片键、分片函数、分片节点和操作等。 新建库表 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 单击schema管理 ，进入目标实例的schema管理页面。 5. 单击目标schema操作 列的管理 ，然后单击库表管理，进入库表管理页面。 6. 单击左上角的新建库表 ，进入新建库表页面。 7. 在执行新建语句 的输入框中输入创建库表的DDL语句，单击下一步。 注意 批量执行DDL语句时，每次最多支持创建10000张表。 8. 选择该库表的表类型：全局表、分片表、单片表，相关说明请参见基本概念。系统提供若干种预置分片算法，详细说明请参见分片算法。对于超大表水平切分后单片数据量依然很大时，可以选择库内分表 或者分桶，在分片节点中二次拆分，两者主要区别在于前者可以指定库内分表分片键，后者必须使用库表的分片键做分桶处理。 注意 仅V5.1.20.0.7及以后版本创建的实例，支持设置Range分片算法。 Range分片算法的分片键只支持单个列。 Range分片算法只支持整数类型（TINYINT, SMALLINT, MEDIUMINT, INT (INTEGER), and BIGINT)。 Range分片算法不支持库内分表、库内分桶。

本文将为您介绍公共传输通道的开通流程。 前提条件 登录用户已在天翼云门户完成实名认证； 登录用户已在天翼云门户完成企业用户的认证。 操作步骤 1. 登录公共传输通道控制台，单击【站点信息】。 2. 在站点列表页面，在右上角单击【订购公共传输通道】。 3. 在订购页面面，配置以下参数信息，然后单击【下一步】后，单击【确定】。 参数 说明 取值样例 客户经理信息 填写用户的客户经理人力编码 7112xxx@HQ 缴费地 选择缴费地所在的省市信息 山东省青岛市 客户信息 选择当前客户对应的客账号信息 —— 节点类型 选择新增或补点。若需从头开始组建一张全新的算力专网，需选择“新增”以创建第一个节点；若需在专网内继续补充其他节点，请选择“补点” 新增 CE城市 选择算力专网站点的城市信息 山东省青岛市市南区 装机地址 填写算力专网站点的详细地址 —— CE端联系人 填写算力专网站点在安装过程中的联系人姓名 李四 CE端联系电话 填写算力专网站点在安装过程中的联系电话 13511111111 CE端联系邮箱 填写算力专网站点在安装过程中的联系邮箱 123@email.com 网络拓扑 选择业务的组网形式 全网状 服务类型 选择业务所需服务类型 标准服务 站点类型 选择创建算力专网站点的类型 总部/分支等普通站点 接入方式 选择算力专网站点接入专网的方式 IPRAN CE接口封装类型 选择客户侧站点专线接入交换机端口类型 802.1Q 站点可利用率 选择算力专网站点的接入是单电路或双电路 A CE/PE路由协议 选择CE端设备与PE端设备的路由协议 静态 站点路由数 填写算力专网站点所需路由条目数 20 路由条目数超限处理方式 选择当路由条目数超出路由器限制时的处理方式 定期重启 客户LAN网段地址/掩码 填入客户侧站点内网网段，此网段将通过算力专网产品网络与其它站点通信 172.19.0.0/30 CE端口互联IP 填写CE端口绑定的IP地址 172.19.0.1/30 PE端口互联IP 填写PE端口绑定的IP地址 172.19.0.2/30 接入电路速率 选择本次订购站点的接入带宽 20M 资源具备情况 查看用户的装机地址下是否具备资源 具备 是否开启流量计费 用户是否选择开启流量计费模式 否

本章主要介绍权限管理 如果您需要对云服务平台上创建的DCS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在云服务帐号中给员工创建IAM用户，并使用策略来控制IAM用户对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DCS的使用权限，但是不希望他们拥有删除DCS实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DCS，但是不允许删除DCS实例的权限策略，控制他们对DCS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DCS服务的其它功能。 DCS权限 默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DCS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DCS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DCS服务，帐号管理员能够控制IAM用户仅能对DCS实例进行指定的管理操作。权限策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 如下表所示，包括了DCS的所有系统权限。 DCS系统策略 系统角色/策略名称 描述 类别 依赖关系 DCS FullAccess 分布式缓存服务所有权限，拥有该权限的用户可以操作所有分布式缓存服务的功能。 系统策略 无 DCS UserAccess 分布式缓存服务普通用户权限（无实例创建、修改、删除、扩容和缩容的权限）。 系统策略 无 DCS ReadOnlyAccess 分布式缓存服务的只读权限，拥有该权限的用户仅能查看分布式缓存服务数据。 系统策略 无 DCS AgencyAccess 分布式缓存服务申请创建租户委托时需要授权的操作权限。该权限为租户委托权限，用于租户在需要时委托DCS服务对租户资源做以下相关操作，与授权用户操作无关。 查询子网 查询子网列表 查询端口 查询端口列表 更新端口 创建端口 系统策略 无 由于DCS UserAccess策略和DCS FullAccess策略存在差异，如果您同时配置了这两个系统策略，由于DCS UserAccess策略存在Deny，根据Deny优先原则，您无法执行实例创建、修改、删除、扩容和缩容操作。 下表列出了DCS常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 常用操作与系统策略的关系 操作 DCS FullAccess DCS UserAccess DCS ReadOnlyAccess 修改实例配置参数 √ √ × 删除实例后台任务 √ √ × Web CLI √ √ × 修改实例运行状态 √ √ × 缓存实例扩容 √ × × 修改实例访问密码 √ √ × 修改缓存实例 √ × × 实例主备倒换 √ √ × 备份实例数据 √ √ × 分析实例的大key或者热key √ √ × 创建缓存实例 √ × × 删除实例数据备份文件 √ √ × 恢复实例数据 √ √ × 重置实例访问密码 √ √ × 迁移实例数据 √ √ × 下载备份实例数据 √ √ × 删除缓存实例 √ × × 查询实例配置参数 √ √ √ 查询实例数据恢复日志 √ √ √ 查询实例数据备份日志 √ √ √ 查询缓存实例信息 √ √ √ 查询实例后台任务 √ √ √ 查询实例列表 √ √ √ 查看实例性能监控 √ √ √ 修改参数模板 √ √ × 删除参数模板 √ √ × 创建参数模板 √ √ × 参数模板列表 √ √ √ 查询参数模板 √ √ √

本文帮助您了解对象存储创建桶的操作步骤。 操作场景 您需要先创建一个桶，然后才能在桶中存储数据。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，例如选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表点击“创建Bucket”。 5. 填写基础配置（包括地域、Bucket名称、企业项目、读写权限），然后点击“下一步”，继续填写高级配置（包括数据冗余策略、存储类型、服务端加密、合规保留等）。创建桶的全部配置参数说明可见下表： 参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 bucket名称 桶的名称，注意以下命名规则： 不能与已有的任何桶名称重复。 创建成功后不支持修改。 长度范围为3到63个字符，支持小写字母、数字、中划线（）。 禁止以中划线（）开头或结尾。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考创建企业项目完成企业项目创建。 服务端加密 开启KMS服务端加密功能，上传的对象将以加密的方式存储在ZOS中。 下载对象时，ZOS会自动将加密文件解密后再提供给用户。 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。 7. 点击下一步，确认配置后点击“确认”，完成Bucket创建。

网络服务订购FAQ 问题1：带宽计费场景下，买了零信任远程办公主套餐，扩展中国内地零信任带宽，订购了网络服务远程办公中国内地带宽，现在零信任客户端访问带宽是多少？ 回答： 中国内地区域下，零信任客户端访问带宽零信任账号赠送带宽+中国内地扩展带宽 +网络服务远程办公中国内地带宽 非中国内地区域，零信任客户端访问带宽网络服务远程办公指定海外区域带宽 问题2：买了零信任远程办公主套餐，零信任扩展零信任带宽，也订购了网络服务的办公组网带宽，现在零信任客户端访问带宽是多少？办公组网的带宽是多少？ 回答： 零信任客户端访问带宽零信任账号赠送带宽+扩展带宽 办公组网带宽网络服务的办公组网带宽，办公组网带宽只给包含办公组网场景的连接器使用 问题3：流量计费的场景下：已有零信任远程办公场景，想增开网络服务（只有带宽计费），那连接器是否可以共用？ 不行，如果零信任主套餐已经是流量计费，目前网络服务无法订购，会提示客户修改计费方式后再来叠加订购网络服务。 或者使用其他天翼云账号订购网络服务，同一个服务器下安装多个连接器。

本节介绍如何在数据目录页面查看不同业务域或不同类型数据的统计信息。 前提条件 完成数据库资产委托授权，并添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 资产目录”，进入“资产目录”页面。 5. 在“业务域”或“数据类型”页签查看已经添加的数据资产信息，相关参数说明如下表。 您可以在业务域页签左侧导航栏，选择分组展示您想要查看的数据资产，或在数据类型页签左侧导航栏选择数据类型展示您想要查看的数据资产。 参数名称 参数说明 统计信息 单击“查看详情”，在“敏感数据统计详情”界面，分别从“敏感数据分类维度”、“密级维度”以及“数据库维度”三个维度展示统计信息。 敏感数据库/总库占比：统计敏感数据库在所有数据库中的占比。 敏感数据表/总表占比：统计敏感数据表在所有数据表中的占比。 敏感数据列/总列占比：统计敏感数据列在所有数据列中的占比。 说明 “周同比”表示同比上周数据发生的变化。 数据列密级等级占比 体现不同密级敏感数据列在数据列总量中占比的饼状图。 单击“查看详情”，在“敏感数据统计详情”界面，分别从“敏感数据分类维度”、“密级维度”以及“数据库维度”三个维度展示统计信息。 分类结果TOP5 分类结果占比最高的TOP5类型。 单击“查看详情”，在“分类结果详情”界面，查看统计信息。 数据量变化 体现数据量随时间变化的曲线图。 单击“查看详情”，在“敏感数据统计详情”界面，分别从“敏感数据分类维度”、“密级维度”以及“数据库维度”三个维度展示统计信息。 库量级表 数据库实例：数据库实例名称 实例ID：实例ID 主机端口：主机端口号 用户：用户名

本实例结合天翼云CDN运营团队积累的丰富运营经验,为客户推荐配置方案,帮助客户提高CDN缓存命中率,提升用户访问体验。 背景信息 CDN缓存命中率低，会导致源站压力大，静态内容访问效率低。您可以针对导致CDN缓存命中率低的具体原因，选择对应的优化策略，提高CDN的缓存命中率。目前天翼云CDN支持流量命中率、请求命中率的统计与查询。 统计方式： 流量命中率 1 回源流量/流量（5分钟粒度）。 请求命中率 1 回源请求数/请求数（5分钟粒度）。 查看流量命中率/请求命中率 用户可以通过天翼云CDN控制台查看流量命中率/请求命中率。查询路径：CDN控制台>数据分析>CDN加速用量>用量分析>命中率。 优化缓存命中率 CDN加速的本质是缓存加速，把源站内容缓存在遍布全球的节点上，用户可以就近从边缘节点获取内容，从而达到加速的效果。可以通过如下几个手段提升缓存命中率。 1. 合理设置缓存过期时间 缓存过期时间如果设置不合理，比如对不常更新的文件设置较短的缓存时间，导致文件频繁过期，当有用户请求到节点时频繁需要回源站校验后才能响应，会增加响应时延，因此建议： 不常更新的静态文件（例如，图片类型、应用下载、点播视频类型等），建议设置较长时间。 频繁更新的静态文件（例如，JS、CSS、XML、HTML等），根据实际业务情况设置。 动态文件（例如，PHP、JSP、ASP、ASPX、DO等），建议设置为0s，即不缓存。 配置路径：CDN控制台>域名管理>域名列表>选定具体域名 ，单击“编辑”>缓存配置>缓存过期时间>强制缓存。功能介绍文档，详情请见：缓存过期时间设置。 2. 开启去问号缓存 目前大多数的网页请求都携带URL参数信息，参数以“?”开始，如果参数没有包含重要信息（如版本信息等），是否携带该参数访问不会影响用户获得正确的内容，可以选择开启“去问号缓存”功能，提高缓存命中率，提升分发效率。 效果差异说明： 开启“去问号缓存”： 用户首次访问“ 用户第二次访问“ 关闭“去问号缓存”： 用户首次访问“ 用户第二次访问“ 配置路径：CDN控制台>域名管理>域名列表>选定具体域名，单击“编辑”>缓存配置>缓存过期时间>去问号缓存。功能介绍文档，详情请见：缓存过期时间设置。 3. 文件预取 文件预取的原理是通过事前主动下发预取指令到CDN，由CDN自动触发向客户源站发起对应内容的请求，提前把文件缓存在CDN节点，后续访问到CDN时，缓存可以直接命中，既提升命中率，又缓解源站因新内容发布而导致的回源压力问题。 适用场景：首次接入、新内容发布、促销活动。 使用建议： 首次接入CDN：域名首次接入CDN时，节点暂未缓存源站内容，此时，您可以将源站热门内容预取至CDN节点。后续用户访问内容将直接从就近的CDN节点获取内容，提升访问速度。 APP或软件安装包发布：新版本APP或软件安装包发布前，提前将安装包预取至CDN节点。正式上线后，海量用户的下载请求将直接由全球加速节点响应，提升下载速度的同时，大幅度降低源站压力。 促销活动：促销活动发布前，提前将活动页涉及到的静态内容预取至CDN节点。活动开始后，用户访问的所有静态内容均由加速节点响应，海量带宽储备保障用户服务可用性，提升用户体验。 4. 开启分片回源 功能介绍文档，详情请见：分片回源，适用于APP、应用程序下载以及音视频点播等较大文件的内容分发场景。

本文为您介绍在AD域环境搭建好之后,将文件系统加入AD域的操作步骤。 前提条件 已有至少1个可用状态的CIFS文件系统。 已准备AD域环境，已创建AD域控制器，至少有一台客户端已加入域。请参考搭建AD域。 操作步骤 步骤一：生成keytab文件 说明 生成keytab文件的操作在AD域控制器上进行。 1. 登录AD域控制器上为文件系统设置本地域名。 文件系统服务主体依赖域名，因此需要先创建文件系统挂载点对应的域名。需要分别为普通AD域客户端和AD域控制器进行设置。hosts文件路径：C:WindowsSystem32driversetchosts。本地域名配置如下： . 参数说明： 参数 说明 server IP 文件系统挂载地址前的IP。 文件系统本地域名 自定义的文件系统的域名名称。 注：每个文件系统的域名名称应保持唯一。 realm AD域名，如“sfs.com”。 示例： 100.xx.xx.xx testfs01.sfs.com 2. 设置服务账户。按照如下格式使用dsadd命令创建一个服务账号。 注意 您需要记住设置的账户名和密码等信息，后续步骤会用到。 dsadd user CN[AD域服务账户名],DC[AD域域名],DC[com] samid [AD域服务账户名] display [账户描述] pwd [账户密码] pwdneverexpires yes 示例： dsadd user CNNASuser01,DCsfs,DCcom samid fsuser01 display "ctyunnas service account" pwd zmqw@md3 pwdneverexpires yes 3. 执行以下命令为CIFS文件系统域名注册SPN服务主体。 setspn S cifs/[文件系统本地域名]@ [realm] [AD域服务账户名] 参数说明： 参数 说明 文件系统本地域名 在步骤1中为文件系统挂载点设置的域名。 realm AD域名。在搭建AD域环境时设置的域名，本文中为“sfs.com”。 AD域服务账户名 步骤2中的samid。 示例： setspn S cifs/testfs01.sfs.com@sfs.com fsuser01 4. 在AD域控制器上执行以下命令为CIFS文件系统服务主体生成Keytab文件，用于用户的身份认证。 Ktpass princ cifs/[文件系统本地域名]@[realm（必须大写）] ptype KRB5NTPRINCIPAL mapuser [AD域服务账户名]@[realm] crypto All out [密钥表文件生成路径] pass [账户密码] 参数说明： 参数 说明 princ 设置服务主体名称（SPN）。填写步骤1中为文件系统设置的本地域名。 ptype 指定密钥表文件的类型。设置为：KRB5NTPRINCIPAL（用于普通服务账户）。 mapuser AD域服务账户名，填写步骤2中的samid。将SPN映射到一个AD域用户账户，这个用户账户将与SPN相关联，用于身份验证和授权。 crypto 选择用于加密密钥的加密算法：ALL。即所有的加密算法，包括DESCBCCRC、DESCBCMD5、RC4HMACNT等。 out 指定生成的密钥表文件的输出路径和文件名。 /out c:tempservice.keytab将创建一个名为service.keytab的密钥表文件，并将其保存到c:temp目录下。 pass 指定与映射用户账户对应的密码。即在步骤2为创建文件系统服务账户时设置的密码。 示例： Ktpass princ cifs/testfs01.sfs.com@SFS.com ptype KRB5NTPRINCIPAL mapuser fsuser01@sfs.com crypto All out C:nasservice.keytab pass zmqw@md3 5. 将keytab文件传至登录天翼云控制台所用的客户端。 若使用本地电脑登录天翼云控制台，需要将AD域控制器上生成的keytab文件传至本地电脑，具体方法参考：怎样在本地主机和Windows云主机之间互传数据？。此方法需要使用弹性IP，弹性IP是计费服务，计费说明参考计费概述弹性IP。 若为云主机绑定弹性IP，可以直接使用云主机登录天翼云控制台进行接下来的步骤，且不必进行本地电脑与云电脑的keytab文件传输。 说明 远程桌面连接时需要输入云主机的用户名密码，是指在创建云主机时的用户名（默认为Administrator）和密码。

高安全性 利用SASL机制对用户身份进行认证，并利用SSL对通道进行加密传输，确保数据在传输过程中不被窃取或篡改，保证您的数据安全。还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 Kafka是一个分布式流处理平台，为了保证数据的高安全性，它提供了以下几个方面的功能和特性： 认证与授权：Kafka支持基于SSL认证，可以验证客户端和服务器之间的身份。同时也支持基于ACL（访问控制列表）的细粒度授权，可以控制哪些用户可以读写指定的topic。 SSL加密传输：Kafka可以通过SSL对消息进行加密传输，确保数据在网络传输过程中的机密性和完整性。 完全控制数据的访问：对于每个topic，可以定义不同的ACL，限制不同用户或者用户组的读写权限。这样可以确保只有授权的用户能够访问指定的数据。 可靠性 Kafka通过持久化存储、复制机制、可配置的数据保留策略、故障检测和自动恢复、缓存机制以及节点间数据同步等功能，提供了高度可靠的消息传递和存储机制。 持久化存储：Kafka使用日志数据结构来存储消息，并将消息写入磁盘上的文件中。这种持久化存储方式确保了消息在发生故障或崩溃时不会丢失。一份消息多份落盘存储，允许海量消息堆积。 复制机制：Kafka通过复制机制提供高可用性和容错能力。它使用主题分区的副本来在多个服务器上复制消息。当其中一个服务器出现故障时，副本可以继续为消费者提供服务。 可配置的数据保留策略：Kafka允许根据特定的需求配置数据保留策略。您可以设置消息在特定时间段或特定大小后删除，或者保留所有消息。这使得您可以根据存储资源和业务需求来管理数据。 故障检测和自动恢复：Kafka具有内置的故障检测和自动恢复机制。当发生故障时，Kafka可以自动检测到并尝试重新连接断开的节点，确保整个集群的正常运行。 缓存机制：Kafka使用缓存来提高读写性能。消息首先被写入内存中的缓存，然后批量写入磁盘。这种缓存机制可以提高吞吐量，并减少对磁盘的频繁访问。 节点间数据同步：Kafka使用分布式的数据同步协议来保证消息在副本之间的一致性。这确保了在故障和服务恢复期间的数据完整性。

参数 描述 复制桶配置 可选。单击“选择源桶”后，可以在桶列表中选择一个源桶。返回后页面会自动复制源桶的以下配置信息：区域 / 数据冗余策略 / 存储类别 / 桶策略 / 服务端加密 / 归档数据直读 / 企业项目 / 标签。 选择后您仍可以根据业务情况对复制的配置信息进行部分或全部更改。 区域 桶所属区域。请选择靠近您业务的区域，以降低网络时延，提高访问速度。桶创建成功后，不支持变更区域，请谨慎选择。 桶名称 桶的名称。需全局唯一，不能与已有的任何桶名称重复，包括其他用户创建的桶。桶创建成功后，不支持修改名称，创建时，请设置合适的桶名。OBS中桶按照DNS规范进行命名，DNS规范为全球通用规则， 其具体命名规则如下： 需全局唯一，不能与已有的任何桶名称重复，包括其他用户创建的桶。用户删除桶后，立即创建同名桶或并行文件系统会创建失败，需要等待30分钟才能创建。 长度范围为3到63个字符，支持小写字母、数字、中划线（）、英文句号（.）。 禁止两个英文句号（.）相邻，禁止英文句号（.）和中划线（）相邻，禁止以英文句号（.）和中划线（）开头或结尾。 禁止使用IP地址。 说明 当用户使用虚拟主机方式通过HTTPS协议访问OBS时，如果桶名称中包含英文句号（.），会导致证书校验失败。所以该场景下，建议桶名称不要使用英文句号（.） 数据冗余存储策略 多AZ存储：数据冗余存储至多个可用区（AZ），可靠性更高。 单AZ存储：数据仅存储在单个可用区（AZ），成本更低。 注意 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略就确定了，后续无法更改。 默认存储类别 桶的存储类别。不同的存储类别可以满足客户业务对存储性能、成本的不同诉求。 标准存储：适用于有大量热点文件或小文件，且需要频繁访问（平均一个月多次）并快速获取数据的业务场景。 低频访问存储：适用于不频繁访问（平均一年少于12次），但需要快速获取数据的业务场景。 归档存储：适用于很少访问（平均一年一次），且对数据获取速率要求不高的业务场景。 桶策略 桶的读写权限控制。 私有：除桶ACL授权外的其他用户无桶的访问权限。 公共读：任何用户都可以对桶内对象进行读操作。 公共读写：任何用户都可以对桶内对象进行读/写/删除操作。 说明 公共读与公共读写权限可以使任何用户在不用身份认证的情况下直接读取或者读/写/删桶内的对象，为确保您的数据安全，不推荐此配置，建议您选择私有。禁止将天翼云服务用于存储和传播违法信息 归档数据直读 通过归档数据直读，您可以直接下载存储类别为归档存储的对象， 而无需提前恢复。 服务端加密 选择“SSEKMS”加密。加密密钥类型您可以选择“默认密钥”，您上传的对象将使用当前区域的默认密钥进行加密，如果您没有默认密钥，系统将会在首次上传对象时自动为您创建，您也可以选择“自定义密钥”，通过单击“创建KMS密钥”进入数据加密服务页面创建自定义密钥，然后通过KMS密钥的下拉框选中您创建的KMS密钥。若桶已开启了默认加密，上传对象可以继承桶的KMS加密特性。 WORM 开启WORM (一次写入多次读取) 功能后，当前桶支持配置保留策略，受保留策略保护的对象版本在指定时间段内不能被删除。WORM功能只能在创建桶时开启, 开启后无法关闭，当前桶默认开启多版本控制且不可关闭。 开启WORM后，需配置以下参数： 默认保留策略：可以选择在创建桶时配置WORM保留策略，也可以在桶创建后配置。 默认保留模式：默认保留策略选择“配置”时，需配置该参数。当前仅支持“合规模式”，即任何用户在保留期内都不能删除受保护的对象版本，或更改其保留模式。 默认保留期：默认保留策略选择“配置”时，需配置该参数。系统将阻止在保留期内删除受保护的对象版本。可按天或年配置，填写上限为100年。按年配置取值范围为1100，按天配置取值范围为136500。 企业项目 将桶加入到企业项目中统一管理。请先在企业项目界面完成企业项目的创建，默认为default企业项目。在企业项目界面创建企业项目，创建用户组并将用户加入到该用户组，然后将用户组添加到该企业项目。这时用户组内用户将获得用户组授权的该企业项目下的桶和对象的操作权限。 说明：仅企业帐号能够配置企业项目。 标签 可选。标签用于标识OBS中的桶，以此达到对OBS中的桶进行分类的目的。OBS以键值对的形式来描述标签，每个标签有且只有一对键值。

限制项 限制说明 topic名字 限制2到64个字符，超过限制会导致创建主题失败，用户创建主题只能包含大小写字母数字以及和符号。 group名字 限制2到64个字符，超过限制会导致创建订阅组失败，用户创建订阅组只能包含大小写字母数字以及和符号。 AccessKey 高级版引擎在角色管理中创建AccessKey只能包含大小写字母数组以及符号，长度限制必须大于6个字符小于64个字符。 SecretKey 高级版引擎角色管理创建SecretKey必须包含大小写字母数字以及以下特殊符号：!@$%，长度限制必须大于8位小于64个字符。 延时消息的发送时间点 最大支持40天的延时时间点，超过40天将发送失败。 消息大小 普通消息和顺序消息大小限制4MB，延时消息消息大小限制16KB，超过限制会导致消息发送失败。 消息存储时长 消息存储时长限制默认为7天，超过最长存储时间的消息会被删除。

本节主要介绍查看企业项目资源 您可以选择查看某个企业项目下的全部资源，方便您快速了解该企业项目所拥有的资源情况。 操作步骤 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，选择待查看的企业项目，单击操作列“查看资源”。 系统进入企业项目详情页面，在“资源”页签下可查看该企业项目内资源信息。默认展示全部区域及全部产品类型的资源信息，可按以下步骤进行资源筛选。 步骤 4 （可选）设置资源搜索条件。 1. 选择搜索区域。系统默认选中“全部”。 2. 选择服务类型。 3. 选择资源类型。 页面下方列表展示筛选后的所有资源。 说明 当服务选择为“EIP”时，支持查看已绑定实例。已绑定实例目前仅支持查看资源为：弹性云主机、负载均衡器（目前仅支持增强型）、物理机、虚拟IP地址。

备份任务提交成功后,您可以在备份列表查看到该备份记录详细信息。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 单击【备份恢复】，进入【备份列表】页面。 5. 查看备份记录详细信息。 您可以在备份列表中，查看备份记录信息，包括备份名称、备份方式、备份类型、开始时间和结束时间、备份结果、备份大小和备份描述信息。 说明 备份结果分为：成功、失败、备份中。 DRDS的备份操作是原子性的。即对于其所关联的MySQL实例，有一个MySQL备份失败，则该备份操作的状态为失败。所有关联的MySQL备份成功，DRDS才显示备份成功。