本节介绍创建智能路由。 前提条件 已完成AI套件安装，网络组件运行正常。 已创建智能网关（同命名空间），且处于运行状态。 已创建推理应用，且处于运行状态。 约束与限制 创建智能路由依赖智能网关和推理应用，请参考创建智能网关和创建推理应用官方文档进行创建。 操作步骤 1、创建智能路由 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用列表> 在线推理，点击应用名称： 选择智能路由Tab页，点击创建按钮： 右侧弹框显示智能路由配置信息，说明如下： 配置项 说明 名称 智能路由名称不可编辑，命名规范：${inferenceName}scheduler。 命名空间 命名空间不可编辑，与推理应用保持一致。 网关类型 流量接入方式：智能网关（IGW）表示集群内自建网关；AI网关（AGW）表示云上AI网关产品。 网关实例 根据选择的网关类型，筛选出可用的网关实例列表。 如选择智能网关，会自动筛选出同命名空间运行中的网关实例 如果网关实例列表为空，可点击右侧立即创建按钮跳转至对应网关的创建页面 路由规则 目前支持负载感知和前缀缓存感知，后续会进一步适配LoRA、语义路由等规则 调度配置 CPU 网关实例容器CPU配置，单位核数 调度配置 内存 网关实例容器内存配置，单位Gi 调度配置 副本数 网关实例部署的副本数，一般建议设置3副本 点击创建按钮，完成智能路由创建

参数名称 说明 地址 该地址为主机的私网地址。 端口 请确保设置的端口未被安全组、防火墙等拦截，并且未被占用。 备份路径 将需要备份的防护目录下的内容备份在该远端备份服务器的目录下。 若多个主机的防护目录同时备份在同一远端备份服务器时，备份路径下生成以“Agentid”为目录的文件夹，存放各主机的防护文件，以便用户手动恢复被篡改的网页。 例如：两台主机的防护目录分别为“/hss01”和“hss02”，主机Agentid分别为“f1fdbabc6cdc43afacabe4e6f086625f”和“f2ddbabc6cdc43afabcde4e6f086626f”，设置远端备份路径为“/hss01”。 备份后路径为“/hss01/f1fdbabc6cdc43afacabe4e6f086625f”和“/hss01/f2ddbabc6cdc43afabcde4e6f086626f”。 若设置为远端备份服务器的主机开启了“网页放篡改”防护，那么该备份路径与自身的“防护目录”不能重叠，否则会导致远端备份失败。

参数 说明 取值样例 名称 VPN连接的名称。 connection1 VPN网关 选择已经创建的VPN网关。 vpngateway46c1ipsec 用户网关 选择已经创建的用户网关。 usergateway5da3 路由模式 支持目的路由和感兴趣流两种路由模式。 感兴趣流 本端子网 选择VPC侧哪个子网需要和企业侧进行联通。 subnetb2a0(192.168.1.0/24) 对端网段 配置企业侧哪个网段需要和VPC侧进行联通。 172.16.1.0/24 协商生效 支持立即协商和流量触发两种协商方式。 立即协商 认证方式 支持密钥认证和证书认证两种认证方式。 密钥认证 预共享密钥 设置自定义密钥。 ctyuntest01 确认密钥 设置确认密钥。 ctyuntest01 LocalId 支持FQDN和IP格式 默认为当前选取的网关地址，如11.XX.XX.11 RemoteId 支持FQDN和IP格式 默认选择用户网关的公网地址，如121.XX.XX.113

参数 说明 取值样例 名称 VPN连接的名称。 connection1 VPN网关 选择已经创建的VPN网关。 vpngateway46c1ipsec 用户网关 选择已经创建的用户网关。 usergateway5da3 路由模式 支持目的路由和感兴趣流两种路由模式。 感兴趣流 本端子网 选择VPC侧哪个子网需要和企业侧进行联通。 subnetb2a0(192.168.1.0/24) 对端网段 配置企业侧哪个网段需要和VPC侧进行联通。 172.16.1.0/24 协商生效 支持立即协商和流量触发两种协商方式。 立即生效 认证方式 支持密钥认证和证书认证两种认证方式。 证书认证 认证选择 认证方式选择证书认证时，用于选择使用的加密证书。支持选择“自签（默认）”或自行上传的证书。 自签（默认） LocalId 仅支持DN格式。 系统默认填充，不支持修改。 RemoteId 仅支持DN格式。 系统默认填充，不支持修改。

参数名称 说明 地址 该地址为主机的私网地址。 端口 请确保设置的端口未被安全组、防火墙等拦截，并且未被占用。 备份路径 将需要备份的防护目录下的内容备份在该远端备份服务器的目录下。 若多个主机的防护目录同时备份在同一远端备份服务器时，备份路径下生成以“Agentid”为目录的文件夹，存放各主机的防护文件，以便用户手动恢复被篡改的网页。 例如：两台主机的防护目录分别为“/hss01”和“hss02”，主机Agentid分别为“f1fdbabc6cdc43afacabe4e6f086625f”和“f2ddbabc6cdc43afabcde4e6f086626f”，设置远端备份路径为“/hss01”。 备份后路径为“/hss01/f1fdbabc6cdc43afacabe4e6f086625f”和“/hss01/f2ddbabc6cdc43afabcde4e6f086626f”。 若设置为远端备份服务器的主机开启了“网页放篡改”防护，那么该备份路径与自身的“防护目录”不能重叠，否则会导致远端备份失败。

网格列表展示当前资源池下的所有服务网格实例,您可以对网格实例进行相关操作。 入口 通过天翼云控制中心，选择对应的资源池，找到应用服务网格产品，点击即可进入服务网格控制台首页；您可以创建新的网格实例，或者对现有网格实例做相关操作。 网格列表字段说明 字段 说明 网格名称 网格实例名称 网格id uuid，用于唯一标识一个网格实例 网格状态 枚举值，标识网格当前状态 网格规格 网格实例所能支持的最大pod数量 版本类型 和网格规格对应，支持基础版，标准版 计费模式 当前仅支持按量计费模式 企业项目 网格实例绑定的企业项目 标签 管理网格实例绑定的标签 创建时间 网格实例的创建时间 操作 日志功能提供当前网格实例施工相关的日志，如开通、停机、复机等场景的日志，如果施工出现异常请提工单反馈；针对已经开通的实例

本节主要介绍准备工作 应用灰度发布之前，您需要完成如下的准备工作。 创建虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 步骤 1 登录虚拟私有云VPC控制台。 步骤 2 单击右上角“创建虚拟私有云”。 步骤 3 根据界面提示完成参数填写，单击“立即创建”。 创建密钥对 新建一个密钥对，用于远程登录节点时的身份认证。 步骤 1 登录弹性云主机ECS控制台。 步骤 2 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 步骤 3 输入密钥对名称后，单击“确定”。 步骤 4 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 步骤 1 登录弹性负载均衡ELB控制台。 步骤 2 单击右上角的“创建弹性负载均衡”。 步骤 3 所属VPC、子网请选择创建虚拟私有云中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。

CSM服务网格提供了管理多个集群的能力，多个集群之间存在网络通信的要求，因此在将从集群添加进住网格时，会进行网段冲突检测，对于存在网络冲突的集群，不允许添加进网格； 注意事项 1. 当集群被添加到网格之前，会依次与网格中每个已有集群进行检测，若检测全部通过，则认为网段检测通过； 若待添加集群与已有集群位于同一个VPC中： 1. 一端Service CIDR不能与另一端VPC CIDR冲突； 若待添加集群与已有集群位于不同的VPC中： 1. 一端Service CIDR不能与另一端VPC CIDR冲突； 2. VPC CIDR之间不能冲突； 配置规则 推荐使用以下网段规划VPC、集群子网和Service的CIDR； VPC网段：推荐10.0.0.0/8下的网段，根据所需VPC数量进一步调整掩码长度，比如需要16个VPC，则可以将掩码长度设置为12，即10.0.0.0/12。 集群子网：根据VPC所包含的集群数量以及每个集群中的节点数来预估，例如如果需要64个子网，则可以将掩码长度进一步设置为18，即10.0.0.0/18; Service网段：推荐使用172.(1631).0.0/12或者192.168.0.0/16，根据所需的Service数量进行选择； 网络规划示例 示例一：所有集群安装在同一个VPC下 集群 类型 VPC 名称 VPC　网段 集群子网 Service 网段 集群1 主集群 vpc1 10.0.0.0/12 10.0.0.0/18 172.16.0.0/16 集群2 从集群 vpc1 10.0.0.0/12 10.0.64.0/18 172.16.0.0/16 集群3 从集群 vpc1 10.0.0.0/12 10.0.128.0/18 172.17.0.0/16

此小节介绍登录安全类问题。 如何设置云堡垒机登录安全锁？ 背景 CBH同一账户可以在同一台PC上的不同浏览器登录。 云堡垒机不支持同时登录同一用户账号。当同时登录同一用户账号时，“来源IP”将被锁定。 CBH目标是限制多人使用同一账号，同一账号专人使用，应该做到一个账号一人使用。 现象 为保障云堡垒机系统登录安全，在登录云堡垒机输入密码超过系统设置的次数限制后，用户“来源IP”或“用户”帐号将被锁定。 配置步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统配置 > 安全配置 > 用户锁定配置”，查看当前配置信息。 用户锁定配置信息 3 单击“用户锁定配置”区域的“编辑”，进入“用户锁定配置”参数配置页面。 配置锁定参数 4 用户根据需要配置参数，详细参数说明请参考表。 锁定配置参数说明 参数 说明 锁定方式 可选择“用户”和“来源IP”两种方式。1选择“用户”指密码错误超过输入限制次数后，用户帐号将被锁定。2选择“来源IP”指密码错误超过输入限制次数后，用户本地来源IP将被锁定，且局域网内同一网段IP都将被锁定。 尝试密码次数 用户通过最多能尝试登录云堡垒机的次数。 锁定时长 密码错误超过输入限制次数后，锁定的时间长度，单位为分钟。默认值为30分钟。 设置为0分钟表示需管理员解除锁定。 重置计数器时长 密码错误超过输入限制次数后，从设定时间提示的剩余被锁定时间。 5 单击“确定”，完成用户登录输入密码限制设置。 如何解锁登录云堡垒机时被锁定的用户/IP？

本文介绍域名接入边缘安全与加速服务后,如何为域名配置合适的动态防御策略。 Web动态防御能力是以“动态防御”理念为核心,通过动态代码封装、动态内容混淆等防逆向分析技术和动态令牌、前置性动态环境验证等人机识别技术,在无需特征更新的情况下,实现针对应用漏洞及业务逻辑的主动隐藏防护能力,经现网验证,动态防御能力针对当前各类自动化工具触发的漏洞攻击、数据爬取、业务欺诈等威胁的主动、动态防御效果明显,能够为 Web系统/H5、APP、小程序、公众号等各类应用及 API服务提供有效的防御能力。 操作前提 已经在边缘安全加速平台控制台完成接入域名，并且域名已处于启用的状态。 操作内容须知 本文描述都是建立在您已经完成域名新增，并且域名状态处于已启用的前提下进行操作，您可以参考功能的描述文档开启并设置相对应的功能。 1. 登录边缘安全加速控制台 2. 在左侧导航栏，选择域名>域名管理。 策略1：内容混肴 采用一次一密的混淆算法与密钥对客户端（访问者）提交的数据内容，例如表单、ajax 请求内容进行混淆处理，每次混淆的结果均不相同，将关键参数和重要信息从明文的形式转化为毫无规律的乱码，防止伪造参数、窃听和篡改交易内容等攻击行为。该功能在一定程度上可以解决攻击者通过篡改 post 中的参数进行越权攻击的风险。 目前控制台尚未开放以上功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。

拒绝外部指定IP地址访问子网内实例 本示例中，需要拦截异常IP访问子网内实例，例如拒绝来自IP地址（10.1.1.12/32）的流量流入子网，您可以为子网关联网络ACL，并添加对应入方向规则，如下表所示，其中目的地址10.5.0.0/24为需要防护的子网网段。 方向 生效顺序 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 规则说明 入方向 1 IPv4 拒绝 TCP 10.1.1.12/32 全部 10.5.0.0/24 全部 自定义规则01 入方向 2 IPv4 允许 全部 0.0.0.0/0 全部 10.5.0.0/24 全部 自定义规则02 入方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认规则 网络ACL默认规则拒绝任何流量流入子网，因此需要先添加自定义规则02，放通入方向流量。 添加自定义规则01，拒绝来自外部IP地址（10.1.1.12/32）的流量流入子网。此时拒绝规则必须早于允许规则生效，因此需要将拒绝的规则插入到允许规则的前面。

本节为您介绍Web应用防火墙（独享版）功能说明类常见问题。 Web应用防火墙是否能防护IP？ WAF可以对IP进行防护。在WAF中配置的源站IP支持私网IP或者内网IP。 有关域名接入WAF的流程说明，请参见网站接入WAF。 Web应用防火墙支持对哪些对象进行防护？ WAF支持对域名或IP进行防护。 Web应用防火墙支持哪些操作系统？ Web应用防火墙部署在云端，即与操作系统没有关系。故Web应用防火墙支持任意操作系统，任意操作系统上的域名服务器都可以接入WAF做防护。 Web应用防火墙提供的是几层防护？ Web应用防火墙提供的是七层（物理层、数据链路层、网络层、传输层、会话层、表示层和应用层）防护。 Web应用防火墙是否支持文件缓存？ WAF只缓存配置了网页防篡改的静态网页，用于将缓存的未被篡改的网页返回给Web访问者，以达到防篡改的目的。

概述 服务网格CSM支持包括HTTP、HTTPS、gRPC、TCP等流量的代理，默认会自动检测协议类型。对于无法识别的协议，将被当做TCP或者UDP流量处理。本文介绍网格中的服务端口定义规范。 端口协议定义 方式1：通过端口名定义 服务的端口必须有名字，命名满足[协议][后缀]格式，协议字段可以是http、http2、grpc、mongo、redis等，主要用于服务网格的路由特性，例如name: http2foo或者不加后缀name: http都是合法的格式，但是name: http2foo是非法的。如果端口名称不按照上述格式定义，该端口上的流量将被当做TCP流量或者UDP（显示指定UDP端口的情况）。 方式2：通过服务端口的appProtocol字段定义 当前云容器引擎集群Service端口支持使用appProtocol字段显式指定协议。 服务共享工作负载的情况 多个Service选中相同工作负载的情况下，Service中同一个端口的协议必须一致。

本文介绍CDN内容审核增值服务的计费规则、开通方式、违规内容的评定规则。 重要说明 当前天翼云支持CDN内容审核，该功能是CDN加速产品的一项增值服务，基于天翼云计算AI平台，能对加速内容进行快速智能检测。开通CDN内容审核功能后，系统会自动智能检测经过CDN加速的内容是否涉黄、涉暴恐，鉴定为违规内容的URL将会被记录下来供客户导出，同时支持对违规内容做封禁，实现“净网分发”。 计费规则 CDN内容审核的标准资费为1.3元/千张。 注意事项 目前内容审核主要针对图片是否涉黄、涉暴恐进行鉴定。 CDN内容审核为打分制，每一张审核图片均有一个01的分值。分值越大则越可能是违规内容，分值越低则证明内容越安全。内容审核结果按照分值大小，分为确定部分和不确定部分。确定部分是指确定为违规部分和确定为正常部分的内容，一般分值在0.6以下或0.9以上，这部分一般无需人工干预，可直接基于审核结果对内容进行封禁或相关删除操作；不确定部分是指疑似违规图片，系统无法区分是否实际违规，建议用户进行人工二次确认。目前对于不确定部分，CDN内容审核不收取费用。 目前天翼云CDN加速产品的增值服务支持CDN内容审核，使用CDN内容审核增值服务需完成如下两个步骤： 1. 开通CDN内容审核服务。目前开通天翼云CDN加速业务时，CDN内容审核增值服务默认开通，详情请见：CDN内容审核开通。 2. 线下配置开启。如需使用，请提交工单给天翼云客服，由其人工操作开启。详情请见：CDN内容审核。 该功能目前仅支持中国内地开通使用，全球（不含中国内地）暂不支持。

本小节介绍云下一代防火墙术语解释。 非信任网络（untrust） 处于防火墙之外的公共开放网络，一般指因特网。 信任网络（trust） 位于防火墙之内的可信网络，是防火墙要保护的目标。 DMZ DMZ（Demilitarized Zone）也称缓冲隔离区，可以位于防火墙之外也可以位于防火墙之内，安全敏感度和保护强度较低，DMZ用来提供公共网络服务的设备，这些设备由于必须被公共网络访问，所以无法提供与内部网主机相等的安全性。 可信主机 位于内部网的主机，且具有可信任的安全特性。 非可信主机 不具有可信特性的主机。 NAT 网络地址转换的缩略语，可以让多台没有实际IP地址的机器使用防火墙的地址连接到Internet。 并发连接数 是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。 吞吐量 网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量，吞吐量的大小主要由防火墙内网卡及程序算法的效率决定。

本文主要介绍事件总线EventBridge提供的开源CloudEvents SDK示例，以简化您的开发工作。 前提条件 若想使用开源CloudEvents SDK示例，需提前准备以下信息： 天翼云账号的aksk，确保该账号已授权事件总线的发布权限，详见主子账号和IAM权限管理。 需要发送事件的对应自定义事件总线，可在事件总线EventBridge管理控制台中查看事件总线列表。 发送SDK的接入点地址，可在事件总线EventBridge管理控制台中点击对应事件总线，进入概览页，在接入点一栏中得到。 确认事件格式。详见事件概述，若事件格式不符合CloudEvents 1.0协议，会导致事件发送失败。 若使用内网域名接入，请确保内网域名已添加访问端点，详见创建私网访问端点。 发送事件 使用CloudEvents SDK发送事件，请参见各语言版本的SDK示例。

本文简述什么是QUIC协议。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 优势1：握手建连更快 QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 优势2：避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 优势3：支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 优势4：可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 优势5：前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

天翼AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的AI云电脑使用体验。提供一键部署、灵活可配、集中管控能力，广泛应用于办公、教育、医疗等行业使用场景。 本文档提供了天翼AI云电脑（政企版）API 的描述、语法、参数说明及示例等内容。

本文帮助您了解对象存储数据回源配置相关的操作步骤。 操作场景 您可以通过ZOS控制台，对存储桶设置回源规则，当您请求的对象在存储桶中不存在或者需要对特定的请求进行重定向时，您可以通过回源规则访问到对应的数据。设置回源主要用于数据的热迁移、特定请求的重定向等场景，您可以按照自身实际需要进行设置。 约束与限制 数据回源支持的区域请参见产品能力地图。 镜像回源将源站数据保存至 ZOS 中，不支持指定存储类型（默认为标准存储，详情参考 修改文件存储类型），不支持设置文件读写权限（默认为私有，详情参考 文件读写权限文档） 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择上海上海36。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台，单击Bucket名称进入“概览”页面。 5. 找到“基础设置”分页下的“数据回源”部分，点击“设置”按钮。 6. 在数据回源的模块中，点击“创建规则”，在弹出的数据回源规则窗口中按参数说明进行配置。数据回源规则配置说明如下： 参数 说明 回源类型 根据需求场景选择镜像回源或重定向回源： 镜像回源：镜像回源会从回源规则指定的源站抓取对应资源，转发给客户端，同时在后台生成回源任务，将源站数据保存至ZOS中。 重定向回源：重定向回源对用户的请求根据回源规则生成新的url后进行重定向，由客户端对重定向的url进行访问，不会将源站数据保存至ZOS中。 回源条件 触发回源需同时满足下列两个条件： HTTP状态码：404 文件名前缀：设置请求的文件名前缀 回源地址规则 选择添加前缀/添加前后缀/替换文件名前缀。 回源地址 选择https/http，填入域名或 IP 地址。 跟随重定向 可选开启或关闭。开启后ZOS会跟踪源站的3xx重定向请求，前往重定向的目标获取资源，并将资源保存到ZOS。关闭时ZOS会透传3xx响应，不会前往重定向的目标获取资源。 7. 配置完后点击“确定”，创建成功，系统将根据创建的先后顺序为规则分配优先级，您也可以通过点击“调整优先级”来重新调整规则的优先级。

本实践介绍了通过控制台访问对象存储的操作场景、前提条件与操作步骤。 操作场景 通过控制台访问ZOS提供了一个直观、易于使用的界面，您可以通过简单的图形化操作完成对对象存储的管理，无需编写代码或使用命令行工具，即可快速上手并轻松完成创建、上传、下载等操作，以及管理文件的读写权限和元数据。 前提条件 所属地域已开通ZOS服务。 准备工作 在通过控制台访问ZOS之前，您需要完成以下几项准备工作： 注册天翼云帐号。如果您已有一个天翼云帐号，请跳到下一个步骤。具体操作请参考天翼云账号注册流程。 实名认证。完成注册后登录并进行实名认证。 帐号充值。天翼云ZOS为客户提供按量计费和资源包计费两种模式。如果您采用按量计费使用ZOS，在登录账号后，您可以点击页面右上角的“管理中心”，然后点击“充值”按钮为您的账号充值，具体充值说明可参考账户充值。 开通对象存储服务。天翼云ZOS需开通服务后才可以使用，具体操作可参考开通对象存储服务。 操作步骤 第一步：创建桶 您可以通过ZOS控制台创建桶。桶是ZOS中存储文件的容器。您需要先创建一个桶，然后才能在ZOS中存储数据。 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表页面点击“创建Bucket”。 5. 填写基础配置（包括地域、Bucket名称、企业项目、读写权限）。 6. 点击下一步，填写高级配置（包括数据冗余策略、存储类型、服务端加密、合规保留等）。 参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 bucket名称 桶的名称，注意以下命名规则: 桶名称全局唯一，在任何集群，都不能与已有的任何桶名称重复，包括其他用户创建的桶。 存储桶一旦创建成功，名称不能修改且不支持重命名。 长度范围为3到63个字符，支持小写字母、数字、中划线（）、英文句号（.）。 禁止两个英文句号（.）或英文句号（.）和中划线（）相邻，禁止以英文句号（.）和中划线（）开头或结尾。 禁止使用IP地址。 如果名称中包含英文句号（.），访问桶或对象时可能会进行安全证书校验。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考创建企业项目完成企业项目创建。 服务端加密 开启服务端加密功能，上传的对象将以加密的方式存储在ZOS中。下载对象时，ZOS会自动将加密文件解密后再提供给用户。选择加密方式，取值范围如下： 关闭 :不启用服务器端加密。 ZOS完全托管 : 使用ZOS托管的密钥进行加密。 KMS: 使用KMS默认托管的CMK或指定CMK ID进行加解密操作 。 2种加密方式的对比见服务端加密。 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。 7. 点击下一步，确认配置后点击“确认”，完成Bucket创建。

本节主要介绍网络及安全问题 数据复制服务有哪些安全保障措施 网络 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 如何处理迁移过程中出现的网络中断 迁移过程中如果出现网络中断，可先观察任务状态，当如下状态的迁移任务出现失败时，可在任务列表上单击“续传”，进行任务续传。 全量迁移 增量迁移 如何通过设置VPC安全组，允许本云VPC访问外部弹性IP 默认情况下，基于安全的考虑，本云VPC与外部网络是隔离的，VPC内是无法访问外部的弹性IP，如其他云数据库的弹性IP、云下数据库的弹性IP等。但数据库迁移场景需要确保本云VPC内的迁移实例或者目标数据库可连通外部的弹性IP，从而实现数据库迁移。 为此，您需要在安全组里设置一个出口规则，出口规则控制的是本云VPC可以访问哪些外部的弹性IP和端口范围，安全组的出入口规则一般需要满足“严进宽出”的要求。 如何处理迁移实例和数据库网络连接异常 数据迁移前请确保完成网络准备和安全规则设置。如果连接异常，请按照本节方法排查网络配置是否正确。 本节将以MySQL到RDS for MySQL的迁移为示例，从三种迁移场景（跨云数据库实时迁移、本地数据库实时迁移、ECS自建数据库实时迁移）进行说明。 跨云数据库实时迁移 1. 网络准备。 源数据库需要开放公网访问。 源数据库的网络设置： 源数据库MySQL实例需要开放外网域名的访问。 具体的操作及注意事项可以参考源数据库所在云提供的相关指导。 目标数据库的网络设置： 目标数据库默认与DRS迁移实例处在同一个VPC内，网络是互通的，不需要进行任何设置。 2. 安全规则准备。 源数据库的安全规则设置： 源数据库MySQL实例需要将目标端DRS迁移实例的弹性公网IP添加到其网络白名单中，确保源数据库MySQL实例可以与上述弹性公网IP连通。 在设置网络白名单之前，需要先获取目标端DRS迁移实例的弹性公网IP，具体方法如下：DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。 以上讲述的是精细配置白名单的方法，还有一种简单设置白名单的方法， 在安全允许的情况下 ，可以将源数据库MySQL实例的网络白名单设置为0.0.0.0/0，代表允许任何IP地址访问该实例。 上述的网络白名单是为了进行数据迁移设置的，迁移结束后可以删除。 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 本地数据库实时迁移 3. 网络准备： 源数据库的网络设置： 本地MySQL数据库实时迁移至本云云数据库 RDS for MySQL的场景，一般可以使用VPN网络和公网网络两种方式进行迁移，您可以根据实际情况为本地MySQL数据库开放公网访问或建立VPN访问。一般推荐使用公网网络进行迁移，该方式下的数据迁移过程较为方便和经济。 目标数据库的网络设置 ： 若通过VPN访问，请先开通VPN服务，确保源数据库MySQL和目标端本云云数据库 RDS for MySQL的网络互通。 若通过公网网络访问，本云云数据库 RDS for MySQL实例不需要进行任何设置。 4. 安全规则准备： a. 源数据库的安全规则设置： 若通过公网网络进行迁移，源数据库MySQL需要将DRS迁移实例的弹性公网IP添加到其网络白名单内，使源数据库与本云的网络互通。在设置网络白名单之前，需要获取DRS迁移实例的弹性公网IP，具体方法如下： DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。 若通过VPN网络进行迁移，源数据库MySQL需要将DRS迁移实例的私有IP添加到其网络白名单内，使源数据库与本云的网络互通。DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的私有IP。 以上白名单是为了进行迁移针对性设置的，迁移结束后可以删除。 b. 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 ECS自建数据库实时迁移 5. 网络准备： 源数据库所在的region要和目标端本云云数据库 RDS for MySQL实例所在的region保持一致。 源数据库可以与目标端本云云数据库 RDS for MySQL实例在同一个VPC，也可以不在同一个VPC。 当源库和目标库处于同一个VPC时，网络默认是互通的。 当不在同一个VPC的时候，要求源数据库实例和目标端本云云数据库 RDS for MySQL实例所处的子网处于不同网段，此时需要通过建立对等连接实现网络互通。 6. 安全规则准备： 同一VPC场景下，默认网络是连通的，不需要单独设置安全组。 不同VPC场景下，通过建立对等连接就可以实现网络互通，不需要单独设置安全组。 排查iptables设置 以源数据库为本云ECS自建数据库为例，如果在上述的操作后，仍无法连通，此时需要额外排查iptables设置，因为HOSTGUARD服务在DRS发起频繁连接请求失败时，会将请求IP加入黑名单中。 7. 登录弹性云主机。 8. 执行以下命令，排查是否有DENY相关的项目包含DRS实例的IP，一般项目名称为INHIDSMYSQLDDENYDROP 。 iptables list 9. 如果存在，执行以下命令，查询iptables入方向规则列表，获取具体规则编号（linenumbers）。 iptables L INPUT linenumbers 10. 执行以下命令，删除DRS实例的IP相关的入方向规则（注意：必须从后往前删，不然linenumbers会更新，需要重新查询）。 iptables D 规则项目名 具体规则编号 11. 删除相关iptables规则后重新进行测试连接即可。

本章节主要介绍准备工作 为集群开通Istio之前，您需要完成如下的准备工作。 创建虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 步骤 1 登录虚拟私有云VPC控制台。 步骤 2 单击右上角“创建虚拟私有云”。 步骤 3 根据界面提示完成参数填写，单击“立即创建”。 创建密钥对 新建一个密钥对，用于远程登录节点时的身份认证。 步骤 1 登录弹性云主机ECS控制台。 步骤 2 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 步骤 3 输入密钥对名称后，单击“确定”。 步骤 4 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 步骤 1 登录弹性负载均衡ELB控制台。 步骤 2 单击右上角的“创建弹性负载均衡”。 步骤 3 所属VPC、子网请选择创建虚拟私有云中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。

跨VPC后端 跨VPC后端支持添加通过以VPC对等连接、VPN连接与专线连接互通的后端云主机。使用跨VPC后端功能时，请注意以下事项： 请前往负载均衡器基本信息页面开启跨VPC后端功能，否则该功能无法正常使用。 添加的跨VPC后端的IP地址只允许为IPv4类型的地址。 若要使用跨VPC后端功能，请先正确配置VPC路由，确保后端可达。 只有TCP，HTTP，HTTPS类型监听器支持跨VPC后端功能。 请确保负载均衡器的后端子网有足够的IP地址（至少有16个可用IP地址），否则该功能无法正常使用。可以通过负载均衡器的“基本信息 > 后端子网”添加多个后端子网来增加后端子网的IP地址。 跨VPC后端的安全组规则必须放通负载均衡器的后端子网网段，否则会导后端业务流量与健康检查异常。 跨VPC后端功能开启后无法关闭。 通过跨VPC后端功能添加的后端云主机，默认的源地址透传功能会失效。

容器隧道网络（Overlay ）基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面（例如Network Policy网络隔离）的优势，可以满足大多数应用需求。 容器隧道网络 说明如下： Overlay L2指的是容器跨节点以Overlay通信，所有节点上的容器IP都是2层可达的。如Canal支持的Overlay类型为vxlan，采用的vswitch为openvswitch。 Overlay L2特性支持的功能包括： 支持多平面通信和隔离。 支持Pod访问Service IP。 支持Pod应用和Host应用的访问。 Overlay L2通信的上行链路网卡设备需要预配置IP地址。 Overlay L2目前不支持与其他网络模式的混用。 ServiceIP不支持多平面，只支持默认平面。 Overaly L2逻辑网络掩码（大子网掩码）目前不支持配置为大于24的值。 Overlay L2逻辑网络分配给节点的小子网掩码默认为26，支持配置为24~30。另外当小子网掩码为配置为24时，大子网掩码不支持配置为24。 Overlay L2由于在每个节点上都是小子网，容器内网络的网关都是由Canal自动分配，不支持指定网关。 优缺点 优点：不受VPC配额规格、响应速度限制（路由条目数、弹性网卡数、创建速度限制）。 缺点：封装的额外开销，网络复杂性较高、性能较低，无法直接利用VPC提供的负载均衡、安全组等能力。 应用场景 适用于对网络时延、带宽要求不是特别高的一般容器业务场景。

本章节介绍欠费的注意事项,及如何进行续费操作 续订规则 产品续订规则详细参见：续订规则说明。 按需计费 当您的账户余额不足以支付账单金额，且服务网格服务处于欠费状态时，系统将限制您登录控制台且无法通过API进行应用的变更等操作。 在欠费期间，应用服务网格不会对您的应用实例及数据做任何变动，但会持续进行计费。 您可以通过账号充值的方式，恢复正常使用。 注意 云公司将保留该实例资源、继续存储客户的数据十五（15）日（即自操作权限被暂停之日的暂停开始时刻至第十五（15）日相同时刻为期限届满）；如前述十五（15）日期间届满仍未充值、缴纳足额服务费用，云公司有权在前述期间届满时立即释放客户的实例资源，并删除实例数据。

本文为您介绍云间高速(标准版)EC 产品的定义和产品架构。 什么是云间高速（标准版） 云间高速（标准版）EC（ Express Connect standard）产品基于中国电信坚实而强大的骨干网络架构，为广大用户带来一种突破性的全新体验。这项创新性产品注重高速、安全和稳定，凭借其卓越的性能，为企业提供了独特而强大的混合组网能力。 在当前迅速发展的数字时代，企业面临着日益复杂的网络需求。云间高速(标准版)产品以其卓越的性能为支撑，积极响应并满足了企业云上云下的要求，无论是跨区域的通信还是多网络的协同，都得以灵活而高效地实现。 云间高速(标准版)不仅仅提供了传统网络的高速性能，更加注重安全性与稳定性的结合。用户可将关键数据和敏感信息传输至云端，而无需担忧泄露或中断。企业用户可倚仗这一强大能力，打造出一个真正具备企业级规模和通信能力的云上网络。 相关术语解释 云间高速实例 云间高速（标准版）实例是一体化网络的创建与管理基础资源。完成实例创建后，可在对应资源池区域创建云企业路由器，将需互通的网络实例加载至云企业路由器，并购买带宽包、配置跨区域互通带宽，即可实现全网资源互通。

1. 引言 服务网格接入虚机是为了让传统应用在不改造架构的前提下，也能获得服务网格的治理能力，例如统一的服务发现、流量控制、故障治理与安全通信，从而支撑平滑上云和系统演进。 2. 架构 3. 准备工作 3.1 创建网格实例 确保在控制面中已创建好可用的 服务网格实例，并确认网格状态为 Running。 后续步骤中的虚拟机将加入此网格实例以实现统一流量管理与安全控制。 注意 确保目标虚拟机和网格实例之间网络互通。 3.2. 创建接入网格的虚拟机 准备一台或多台计划纳入网格的虚拟机； 说明 权限要求：具备 root 或具有 sudo 权限的用户； 网络要求：可以访问到 容器集群 API Server 的地址； 3.3 上传 istioctl 与 kubectl 工具 下载并将以下二进制文件上传至虚拟机（例如存放于 /usr/local/bin）： istioctl kubectl 执行以下命令添加到系统环境变量： plaintext export PATH$PATH:/usr/local/bin 验证： plaintext kubectl version client istioctl version 3.4 配置 kubeconfig 文件 将容器集群的 kubeconfig 文件拷贝至虚拟机，使 kubectl 可正常访问主集群。 文件路径： ～/.kube/config 验证连接是否成功 kubectl get ns 若能列出命名空间列表，说明连接正常。 3.5 创建istioproxy用户 在虚拟机中创建 istioproxy 用户及用户组，用于运行 Sidecar 代理进程。 sudo useradd r M s /sbin/nologin istioproxy r 表示创建系统用户； M 不创建 home 目录； s /sbin/nologin 表示该用户不可直接登录； Sidecar 启动将以该用户身份运行。

步骤五：构造签名 1. 先将SecurityKey作为密钥，eopdate作为数据，根据hmacsha256加密算法算出ktime。 2. 将ktime作为密钥，AccessKey作为数据，根据hmacsha256加密算法算出kAk。 3. 将kAk作为密钥，eopdate的年月日值（前8位）作为数据，根据hmacsha256加密算法算出kdate。 4. 将kdate作为密钥，步骤二的待签名字符串作为数据，根据hmacsha256加密算法算法签名并转化为BASE64编码算出signature。 步骤六：构造请求头 1. 将eopdate作为Key，步骤二的结果作为Value加入http请求头中。 2. 将ctyuneoprequestid作为Key，步骤三的结果作为Value加入http请求头中。 3. 将EopAuthorization作为Key，通过字符串拼接的方式将AK、Header、Signature通过空格进行拼接，并将结果作为Value加入http请求头中。 注意 1. 当您通过接口发送短信之后，接口服务会及时响应并返回成功的标识，但这仅仅代表平台已经成功接收到您的发送请求了。 2. 接下来平台会将请求转发给电信运营商，因为发送短信是异步进行的，还需要电信运营商的网络以及接收消息的手机终端支持。 3. 如果您想第一时间知道消息的最终发送状态，故需要您在控制台的消息配置———事件回调配置中增加状态报告通知的URL，以便平台在接收到运营商的反馈消息时通知您消息的最终发送结果。 JAVA示例 完整的Java签名Demo代码： java package com.example; / Hello world! / import java.net.URL; import java.nio.charset.StandardCharsets; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.text.SimpleDateFormat; import java.util.Arrays; import java.util.Base64; import java.util.Date; import java.util.HashMap; import java.util.Locale; import java.util.Map; import java.util.UUID; import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpPost; import org.apache.http.entity.ContentType; import org.apache.http.entity.StringEntity; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.util.EntityUtils; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import com.alibaba.fastjson.; public class App { public static void main(String[] args) throws Exception { //请参考帮助文档填写以下内容 Map params new HashMap<>(); //固定参数 params.put("action", "SendSms"); //请填写您在控制台上申请并通过的短信签名。 params.put("signName", ""); //请填写接收短信的目标手机号，多个手机号使用英文逗号分开 params.put("phoneNumber", ""); //请填写您在控制台上申请并通过的短信模板，此模板为测试专用模板，可直接进行测试 params.put("templateCode", "SMS64124870510"); //请填写短信模板对应的模板参数和值。此值为测试模板的变量及参数，可直接使用 params.put("templateParam", "{"code":"123456"}"); params.put("extendCode", "");// 选填 params.put("sessionId",""); // 选填 String body JSONObject.toJSONString(params); // SETUP1:获取AccessKey和SecurityKey String accessKey ""; // 填写控制台>个人中心>安全设置>查看>AccessKey String securityKey "";// 填写控制台>个人中心>安全设置>查看>SecurityKey // SETUP2:构造时间戳 SimpleDateFormat TIMEFORMATTER new SimpleDateFormat("yyyyMMdd'T'HHmmss'Z'"); SimpleDateFormat DATEFORMATTER new SimpleDateFormat("yyyyMMdd"); Date nowdate new Date(); String singerDate TIMEFORMATTER.format(nowdate); String singerDd DATEFORMATTER.format(nowdate); System.out.println("singerDate:" + singerDate); System.out.println("singerDd:" + singerDd); // SETUP3:构造请求流水号 String uuId UUID.randomUUID().toString(); System.out.println("uuId:" + uuId); // SETUP4:构造待签名字符串 String CampmocalHeader String.format("ctyuneoprequestid:%sneopdate:%sn", uuId, singerDate);// uuid去掉this // header的key按照26字母进行排序, 以&作为连接符连起来 URL url new URL(" String query url.getQuery(); String afterQuery ""; if (query ! null) { String param[] query.split("&"); Arrays.sort(param); for (String str : param) { if (afterQuery.length() < 1) afterQuery afterQuery + str; else afterQuery afterQuery + "&" + str; } } // String body ""; String calculateContentHash getSHA256(body); // 报文原封不动进行sha256摘要 String sigtureStr CampmocalHeader + "n" + afterQuery + "n" + calculateContentHash; System.out.println("calculateContentHash：" + calculateContentHash); System.out.println("sigtureStr：" + sigtureStr); // SETUP5:构造签名 byte[] ktime HmacSHA256(singerDate.getBytes(), securityKey.getBytes()); byte[] kAk HmacSHA256(accessKey.getBytes(), ktime); byte[] kdate HmacSHA256(singerDd.getBytes(), kAk); String Signature Base64.getEncoder().encodeToString(HmacSHA256(sigtureStr.getBytes("UTF8"), kdate)); // SETUP6:构造请求头 HttpPost httpPost new HttpPost(String.valueOf(url)); httpPost.setHeader("ContentType", "application/json;charsetUTF8"); httpPost.setHeader("ctyuneoprequestid", uuId); httpPost.setHeader("Eopdate", singerDate); String signHeader String.format("%s Headersctyuneoprequestid;eopdate Signature%s", accessKey, Signature); httpPost.setHeader("EopAuthorization", signHeader); System.out.println("Signature" + Signature); System.out.println("signHeader" + signHeader); httpPost.setEntity(new StringEntity(body, ContentType.create("application/json", "utf8"))); try (CloseableHttpClient httpClient HttpClients.createDefault(); CloseableHttpResponse response httpClient.execute(httpPost)) { String string EntityUtils.toString(response.getEntity(), "utf8"); System.out.println("返回结果：" + string); } catch (Exception e) { System.out.println(e.getMessage()); } } private static String toHex(byte[] data) { StringBuilder sb new StringBuilder(data.length 2); byte[] var2 data; int var3 data.length; for (int var4 0; var4 < var3; ++var4) { byte b var2[var4]; String hex Integer.toHexString(b); if (hex.length() 1) { sb.append("0"); } else if (hex.length() 8) { hex hex.substring(6); } sb.append(hex); } return sb.toString().toLowerCase(Locale.getDefault()); } private static String getSHA256(String text) { try { MessageDigest md MessageDigest.getInstance("SHA256"); // byte[] a text.getBytes(StandardCharsets.UTF8); md.update(text.getBytes(StandardCharsets.UTF8)); return toHex(md.digest()); } catch (NoSuchAlgorithmException var3) { return null; } } private static byte[] HmacSHA256(byte[] data, byte[] key) throws Exception { try { Mac mac Mac.getInstance("HmacSHA256"); mac.init(new SecretKeySpec(key, "HmacSHA256")); return mac.doFinal(data); } catch (Exception e) { return null; } } }

本教程介绍如何通过在智能网关实例上开通SSL VPN客户端服务，实现移动办公。 应用场景 客户本地/云资源上已经部署了一台企业版CPE/企业增强版CPE/vCPE实例，随着业务不断发展，企业员工需要通过移动端远程访问本地/云上资源。针对此种需求，天翼云SDWAN可支持在智能网关实例上开通VPN客户端服务，满足移动办公员工快速、安全、实时接入内网的访问需求。 前提条件 注册天翼云账号，并完成实名认证。 CPE规格需为足企业版/企业增强版/vCPE，CPE在线且按照串接方式激活成功。 CPE已经部署安装SSL VPN服务。 操作步骤 步骤一：开通“VPN客户端”服务 1. 登录天翼云SDWAN控制台，选择“智能网关”，点击目标“智能网关”名称，进入详情页面，单击“VPN客户端” 2. 单击“开启服务”，配置客户端接入的地址池。如地址已完成配置，可直接进入下一步，添加客户端账号。 3. 单击客户端账号“添加”，填写客户端用户名和密码，也可通过上传附件方式，批量导入用户名和密码，点击“确定”，完成客户端账号分配。 步骤二：安装“VPN客户端”软件 根据操作系统类型下载对应的SSL VPN客户端软件进行安装，请参考VPN客户端下载 步骤三：建立客户端连接 在移动终端上打开SSL VPN客户端，建立连接。 1.首次配置客户端时，点击“立即新建”，进入新建 SSL 连接页面；已添加连接时，可通过点击连接列表上方的“添加连接”，进入新建 SSL VPN 连接页面。 2.配置连接信息，点击“保存”，完成新建连接。连接参数填写说明如下： 参数 填写说明 VPN 名称 输入自定义名称 网关IP 可通过天翼云SDWAN控制台“智能网关”详情页“VPN客户端”模块获取“服务器地址IP” 端口号 可通过天翼云SDWAN控制台“智能网关”详情页“VPN客户端”模块获取“服务器地址端口号” 用户名 可通过天翼云SDWAN控制台“智能网关”详情页“VPN客户端”模块获取“客户端用户名” 证书认证 选择配置“不启用” UDP 传输加速 选择配置“不启用” 描述 选择配置“不启用” 3.选中需进行连接的VPN名称，跳转至连接详情页。 4.点击“连接”按钮，输入客户端密码，可通过天翼云SDWAN控制台“智能网关”详情页“VPN客户端”模块获取“客户端密码”。 5.点击“提交”，完成内网连接。 6.连接成功后，可通过连接详情页查看连接的在线状态、在线时长、以及数据上下行传输信息、服务器信息、IP 地址等信息。

创建客户端CMK主密钥，用于加密CEK数据密钥。 plaintext CREATE CLIENT MASTER KEY clientmasterkeyname WITH ( KEYSTORE keystorename, KEYPATH "keypathvalue", ALGORITHM algorithmtype ); 参数描述： clientmasterkeyname：密钥对象名，在同一命名空间中满足唯一性约束,长度[1, 64] KEYSTORE：指定管理CMK的密钥工具或组件，取值如下： localkms： 本地KMS netcakms：网证通KMS,数据库内核连接管控的URL来连接KMS。其中，URL通过teledbxmanagerurl GUC配置进行设置，如果更改URL需要断开原有连接重新建立连接。 KEYPATH：KEYSTORE负责管理多个CMK密钥，KEYPATH选项用于在KEYSTORE中唯一标识CMK。其支持的字符范围包括09, az, AZ, 下划线'', 圆点'.'和短横线''。 ALGORITHM：由本语法创建的用于加密CEK，该参数用于指定加密算法的类型，支持 SM2：表示采用国密SM2算法 RSA2048，表示采用RSA算法密码长度为2048位。 RSA3072，表示采用RSA算法密码长度为3072位。

本章节主要介绍GDS最佳实践。 安装GDS前必需确认GDS所在服务器环境的系统参数是否和数据库集群的系统参数一致。 GDS与DWS通信要求物理网络畅通，尽量使用万兆网。因为千兆网无法承载高速的数据传输压力，极易出现断连，使用千兆网时DWS无法提供通信保障。满足万兆网的同时，要求数据磁盘组I/O性能大于GDS单核处理能力上限（约400MB/s），才能保证单文件导入速率最大化。 提前做好服务部署规划，数据服务器上，建议一个Raid只布1~2个GDS。GDS跟DN的数据比例建议在1:3至1:6之间。一台加载机的GDS进程不宜部署太多，千兆网卡部署1个GDS进程即可，万兆网卡机器建议部署不大于4个进程。 提前对GDS导入导出的数据目录做好层次划分，避免一个数据目录包含过多的文件，并及时清理过期文件。 合理规划目标数据库的字符集，强烈建议使用UTF8作为数据库的字符集，不建议使用sqlascii编码，因为极易引起混合编码问题。GDS导出时保证外表的字符集和客户端字符集一致即可，导入时保证客户端编码，数据文件内容编码和客户端一致。 如果存在无法变更数据库，客户端，外表字符集时，可以尝试使用iconv命令进行手动转换。 注意 f 表示源文件的字符集，t为目标字符集 iconv f utf8 t gbk utf8.txt o gbk.txt 关于GDS导入实践可参考“导入数据最佳实践”章节中的“使用GDS导入数据”。 GDS支持CSV、TEXT、FIXED三种格式，缺省为TEXT格式。不支持二进制格式，但是可以使用encode/decode函数处理二进制类型。例如： 对二进制表导出： 创建表。 CREATE TABLE blobtypet1 ( BTCOL BYTEA ) DISTRIBUTE BY REPLICATION; 创建外表 CREATE FOREIGN TABLE fblobtypet1( BTCOL text ) SERVER gsmppserver OPTIONS (LOCATION 'gsfs://127.0.0.1:7789/', FORMAT 'text', DELIMITER E'x08', NULL '', EOL '0x0a' ) WRITE ONLY; INSERT INTO blobtypet1 VALUES(E'xDEADBEEF'); INSERT INTO blobtypet1 VALUES(E'xDEADBEEF'); INSERT INTO blobtypet1 VALUES(E'xDEADBEEF'); INSERT INTO blobtypet1 VALUES(E'xDEADBEEF'); INSERT INTO fblobtypet1 select encode(BTCOL,'base64') from blobtypet1; 对二进制表导入： 创建表。 CREATE TABLE blobtypet2 ( BTCOL BYTEA ) DISTRIBUTE BY REPLICATION; 创建外表 CREATE FOREIGN TABLE fblobtypet2( BTCOL text ) SERVER gsmppserver OPTIONS (LOCATION 'gsfs://127.0.0.1:7789/fblobtypet1.dat.0', FORMAT 'text', DELIMITER E'x08', NULL '', EOL '0x0a' ); insert into blobtypet2 select decode(BTCOL,'base64') from fblobtypet2; SELECT FROM blobtypet2; btcol xdeadbeef xdeadbeef xdeadbeef xdeadbeef (4 rows) 对同一张外表重复导出会覆盖之前的文件，因此不要对同一个外表重复导出。 若不确定文件是否为标准的csv格式，推荐将quote参数设置为0x07，0x08或0x1b等不可见字符来进行GDS导入导出，避免文件格式问题导致任务失败。 CREATE FOREIGN TABLE foreignHRstaffSft1 ( MANAGERID NUMBER(6), sectionID NUMBER(4) ) SERVER gsmppserver OPTIONS (location 'file:///inputdata/', format 'csv', mode 'private', quote '0x07', delimiter ',') WITH errHRstaffSft1; GDS支持并发导入导出，gds t参数用于设置gds的工作线程池大小，控制并发场景下同时工作的工作线程数且不会加速单个sql任务。gds t缺省值为8，上限值为200。在使用管道功能进行导入导出时，t参数应不低于业务并发数。 GDS外表参数delimiter是多字符时，建议TEXT格式下字符不要完全相同，例如不建议使用delimiter ''。 GDS多表并行导入同一个文件提升导入性能（仅支持text和csv文件）。 创建目标表。 CREATE TABLE pipegdswidetb1 (city integer, telnum varchar(16), cardcode varchar(15), phonecode vcreate table pipegdswidetb3 (city integer, telnum varchar(16), cardcode varchar(15), phonecode varchar(16), regioncode varchar(6), stationid varchar(10), tmsi varchar(20), recdate integer(6), rectime integer(6), rectype numeric(2), switchid varchar(15), attachcity varchar(6), opc varchar(20), dpc varchar(20)); 创建带有filesequence字段的外表。 CREATE FOREIGN TABLE gdspipcsvr1( like pipegdswidetb1) SERVER gsmppserver OPTIONS (LOCATION 'gsfs://127.0.0.1:8781/widetb.txt', FORMAT 'text', DELIMITER E'+', NULL '', filesequence '51'); CREATE FOREIGN TABLE gdspipcsvr2( like pipegdswidetb1) SERVER gsmppserver OPTIONS (LOCATION 'gsfs://127.0.0.1:8781/widetb.txt', FORMAT 'text', DELIMITER E'+', NULL '', filesequence '52'); CREATE FOREIGN TABLE gdspipcsvr3( like pipegdswidetb1) SERVER gsmppserver OPTIONS (LOCATION 'gsfs://127.0.0.1:8781/widetb.txt', FORMAT 'text', DELIMITER E'+', NULL '', filesequence '53'); CREATE FOREIGN TABLE gdspipcsvr4( like pipegdswidetb1) SERVER gsmppserver OPTIONS (LOCATION 'gsfs://127.0.0.1:8781/widetb.txt', FORMAT 'text', DELIMITER E'+', NULL '', filesequence '54'); CREATE FOREIGN TABLE gdspipcsvr5( like pipegdswidetb1) SERVER gsmppserver OPTIONS (LOCATION 'gsfs://127.0.0.1:8781/widetb.txt', FORMAT 'text', DELIMITER E'+', NULL '', filesequence '55'); 将widetb.txt并发导入到pipegdswidetb1。 parallel on INSERT INTO pipegdswidetb1 SELECT FROM gdspipcsvr1; INSERT INTO pipegdswidetb1 SELECT FROM gdspipcsvr2; INSERT INTO pipegdswidetb1 SELECT FROM gdspipcsvr3; INSERT INTO pipegdswidetb1 SELECT FROM gdspipcsvr4; INSERT INTO pipegdswidetb1 SELECT FROM gdspipcsvr5; parallel off filesequence参数详细内容，可参考《开发指南》中的“CREATE FOREIGN TABLE (GDS导入导出)”。

本页介绍了文档数据库服务白名单分组的添加。 文档数据库服务产品支持对可用实例进行白名单分组进行添加，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 点击选择“白名单管理”页，点击“添加白名单分组”按钮，填写分组名、IP类型、业务访问类型、允许访问IP名单等信息，点击“确定”按钮即可完成白名单分组添加。 说明 IPv4白名单支持IP段格式（如X.X.X.X/X）。 IPv6白名单支持IP段格式（xxxx:xxxx:xxxx:xxxx:xxxx:xxxx::/xx） 白名单组ip数量上限是60个。 设置为127.0.0.1表示禁止客户所有地址（含内网和公网地址）访问（默认）。 设置为0.0.0.0/0表示对访问的IP地址不作限制，不区分内外网。 业务访问类型当选择“内网访问”，则无法进行公网访问。 当使用公网访问实例，需要将公网IP添加至业务访问类型为“公网访问”的分组。