本文主要介绍云审计服务支持的DMS for Kafka操作列表。 通过云审计服务，您可以记录与分布式消息服务Kafka相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的DMS for Kafka操作列表 操作名称 资源类型 事件名称 创建DMS实例订单成功 kafka createDMSInstanceOrderSuccess 创建DMS实例任务执行成功 kafka createDMSInstanceTaskSuccess 创建DMS实例订单失败 kafka createDMSInstanceOrderFailure 创建DMS实例任务执行失败 kafka createDMSInstanceTaskFailure 删除创建失败的DMS实例成功 kafka deleteDMSCreateFailureInstancesSuccess 删除创建失败的DMS实例失败 kafka deleteDMSCreateFailureInstancesFailure 删除DMS实例任务执行成功 kafka deleteDMSInstanceTaskSuccess 删除DMS实例任务执行失败 kafka deleteDMSInstanceTaskFailure 批量删除DMS实例任务 kafka batchDeleteDMSInstanceTask 提交批量删除DMS实例请求成功 kafka batchDeleteDMSInstanceSuccess 批量删除DMS实例任务执行成功 kafka batchDeleteDMSInstanceTaskSuccess 提交批量删除DMS实例请求失败 kafka batchDeleteDMSInstanceFailure 批量删除DMS实例任务执行失败 kafka batchDeleteDMSInstanceTaskFailure 提交修改DMS实例订单请求成功 kafka modifyDMSInstanceOrderSuccess 提交修改DMS实例订单请求失败 kafka modifyDMSInstanceOrderFailure 提交扩容实例请求成功 kafka extendDMSInstanceSuccess 扩容DMS实例任务执行成功 kafka extendDMSInstanceTaskSuccess 提交扩容实例请求失败 kafka extendDMSInstanceFailure 扩容DMS实例任务执行失败 kafka extendDMSInstanceTaskFailure 提交重置DMS实例密码请求成功 kafka resetDMSInstancePasswordSuccess 提交重置DMS实例密码请求失败 kafka resetDMSInstancePasswordFailure 提交重启DMS实例请求成功 kafka restartDMSInstanceSuccess 重启DMS实例任务执行成功 kafka restartDMSInstanceTaskSuccess 提交重启DMS实例请求失败 kafka restartDMSInstanceFailure 重启DMS实例任务执行失败 kafka restartDMSInstanceTaskFailure 提交批量重启DMS实例请求成功 kafka batchRestartDMSInstanceSuccess 批量重启DMS实例任务执行成功 kafka batchRestartDMSInstanceTaskSuccess 提交批量重启DMS实例请求失败 kafka batchRestartDMSInstanceFailure 批量重启DMS实例任务执行失败 kafka batchRestartDMSInstanceTaskFailure 提交修改DMS实例信息请求成功 kafka modifyDMSInstanceInfoSuccess 修改DMS实例信息任务执行成功 kafka modifyDMSInstanceInfoTaskSuccess 提交修改DMS实例信息请求失败 kafka modifyDMSInstanceInfoFailure 修改DMS实例信息任务执行失败 kafka modifyDMSInstanceInfoTaskFailure 删除后台任务成功 kafka deleteDMSBackendJobSuccess 删除后台任务失败 kafka deleteDMSBackendJobFailure 冻结DMS实例任务执行成功 kafka freezeDMSInstanceTaskSuccess 冻结DMS实例任务执行失败 kafka freezeDMSInstanceTaskFailure 解冻DMS实例任务执行成功 kafka unfreezeDMSInstanceTaskSuccess 解冻DMS实例任务执行失败 kafka unfreezeDMSInstanceTaskFailure Kafka专享实例创建Topic成功 kafka KafkacreatetopicSuccess Kafka专享实例创建Topic失败 kafka KafkacreatetopicFailure Kafka专享实例删除Topic成功 kafka KafkadeletetopicsSuccess Kafka专享实例删除Topic失败 kafka KafkadeletetopicsFailure 开启自动创建Topic成功 kafka enableautotopicSuccess 开启自动创建Topic失败 kafka enableautotopicFailure 重置消费组偏移量成功 kafka KafkaresetconsumeroffsetSuccess 重置消费组偏移量失败 kafka KafkaresetconsumeroffsetFailure 创建用户成功 kafka createUserSuccess 创建用户失败 kafka createUserFailure 删除用户成功 kafka deleteUserSuccess 删除用户失败 kafka deleteUserFailure 更新用户策略成功 kafka updateUserPoliciesTaskSuccess 更新用户策略失败 kafka updateUserPoliciesTaskFailure

本文介绍科研助手的功能类常见问题。 部署业务前有哪些前置准备工作？ 首次使用科研助手服务，用户需要先创建资源池和队列，作业、开发环境等都需要归属到队列内。如需要使用自定义镜像功能，需提前登录容器镜像服务（CRS）设置访问凭证并创建私有组织。 科研助手的开发环境可以提供哪些快捷工具？ 当前可提供Jupyter和VSCode在线代码编辑器，同时用户可自行安装所需的其他插件。 调试和查错常见问题 1. 如何进行开发调试？ 科研助手提供了开发环境，可在开发环境进行单机调试。 2. 如果程序执行失败怎么调试？ 程序失败时可以通过查看作业和实例事件获取更多的作业运行信息。如果问题还未能解决，请联系售后技术支持。

方案介绍 当您购买了一台物理机后，了解其运行状态一定是您的迫切需求，天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。 本手册基于天翼云物理机和云监控服务实践所编写，指导您完成物理机的主机监控配置。 应用场景 新创建物理机场景 当您新建一台物理机时，可以利用CloudInit自动安装Agent，实现主机监控。 已有物理机场景 对于已有的物理机，您需要手动安装并配置Agent以实现主机监控。 约束和限制 Agent插件目前仅支持64位Linux操作系统的物理机实例。 用户私有镜像不在支持范围内。

本章节主要介绍翼MR Manager的集群服务查看配置历史版本的操作。 操作场景 支持用户查看指定配置文件的历史版本，不同版本的配置内容以及差异。 操作步骤 1. 登录翼MR管理控制台。 2. 在“我的集群”中，单击目标集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务。 6. 单击配置组，单击配置文件名称，页面右侧展示该配置的详细信息。 7. 单击“查看历史版本”。如图所示： 8. 进入到配置历史页面，配置历史页面展示当前配置的所有历史版本。如图所示：

本节介绍了云数据库GaussDB 所支持审计的关键操作列表。 通过云审计服务，您可以记录与云数据库GaussDB 实例相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的操作列表 操作名称 资源类型 事件名称 创建实例、恢复到新实例 instance createInstance 删除实例 instance deleteInstance 数据库实例规格变更 instance resizeFlavor 实例版本升级 instance upgradeVersion 密码重置 instance resetPassword 实例重启 instance instanceRestart 修改资源标签 instance modifyTag 删除资源标签 instance deleteTag 添加资源标签 instance createTag 重命名实例 instance instanceRename 实例扩容 instance instanceAction 删除任务记录 instance deleteTaskRecord4OpenGauss 减少副本 instance reduceReplica 协调节点缩容 instance reduceCoordinatorNode 设置回收站策略 backup setRecyclePolicy 创建手动备份 backup createManualSnapshot 删除手动备份 backup deleteManualSnapshot 修改备份策略 backup setBackupPolicy 实例还原 backup restoreInstance

本节介绍如何从云等保专区控制台进入安全体检控制台并使用安全体检产品。 云等保专区提供体安全体检产品的功能，可支持的场景包括高危端口开放情况、弱口令、漏洞开放情况。用户可根据需求单独购买。 更多信息请参见安全体检。 使用安全体检 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“安全体检”。 5. 单击“立即购买”或“开通试用”即可购买并使用安全体检服务，详细操作指导请参见安全体检产品文档。

操作步骤 1. 登录FusionInsight Manager，选择“系统 > 证书”。 2. 在“上传证书”右侧单击，在文件窗口中浏览已获取的证书文件tar压缩包并确认选择此文件。 3. 单击上传文件，Manager将上传压缩包并自动执行导入操作。 4. 导入完成后提示同步集群配置并重启WEB服务使新证书生效，单击“确定”。 5. 在弹出窗口输入当前登录用户密码验证身份，单击“确定”自动同步集群配置并重启WEB服务。 6. 重启完成后在浏览器地址栏中，输入并访问FusionInsight Manager的网络地址，验证能否正常打开页面。 7. 登录FusionInsight Manager。 8. 选择“集群 > 待操作集群的名称 > 概览 > 更多 > 重启”。 9. 输入当前登录的用户密码确认身份，单击“确定”。

本章节主要介绍配置追踪器 。 操作场景 云审计服务管理控制台支持对已创建的管理类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置管理类事件追踪器。 前提条件 已开通云审计服务。 配置管理类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在管理类追踪器信息右侧，单击操作下的“配置”。 6. 设置追踪器的基本信息，详见表 追踪器基本参数说明，单击“下一步”。 7. 在配置转储页面，您可以设置追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数说明和表 配置转储到LTS参数说明。 8. 单击“下一步 > 配置”，完成配置管理类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 追踪器基本参数说明 参数名称 说明 追踪器名称 默认为system，不可修改。 企业项目 选择一个企业项目。 说明 企业项目是一种云资源管理方式，由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。 开启企业项目的具体操作请参考《企业管理服务用户指南》中的“创建企业项目”章节。 表 配置转储到OBS参数说明 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶或直接通过配置页面新建OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 新建OBS桶：在您填写一个桶名后系统将自动为您创建一个OBS桶。 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 管理类事件追踪器的保存周期默认沿用在OBS的配置，不支持修改。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数说明 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

参数 描述 IP地址或域名 源数据库的IP地址或域名。说明对于RAC集群，建议使用SCAN IP接入，提高访问性能。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库服务名 数据库服务名（Service Name/SID），客户端可以通过其连接到Oracle，具体查询方法请参照界面提示。 PDB名称 PDB同步仅在Oracle12c及以后的版本支持，该功能为选填项，当需要迁移PDB中的表时开启。PDB功能开启后，只能迁移该PDB中的表，并且需要提供CDB的service name/sid及用户名和密码，不需要PDB的用户名和密码。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 如启用SSL安全连接，请在源库开启SSL，并确保相关配置正确后上传SSL证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。

本文将为您介绍财务管理的计费。 财务管理目前为免费服务。

本节主要介绍修改迁移信息 数据迁移过程中，您可能修改了源数据库或者目标数据库的密码信息，导致数据迁移任务失败，此时您需要通过数据复制服务控制台更新为正确的信息，然后续传任务。 对于如下的迁移信息，您可以进行修改。 源库密码 目标库密码 说明 以上信息修改后，将实时生效，不会清空目标数据库的数据。 前提条件 已登录数据复制服务控制台。 操作步骤 步骤 1 在“实时迁移管理”界面，选中指定迁移任务，单击任务名称。 步骤 2 进入“基本信息”页签，在“迁移信息”模块下，单击“修改连接信息”。 步骤 3 在“修改连接信息”弹出框中对源库和目标库的密码进行更新，更新完成后，单击“确认”即可。

本小节介绍云解析的续费与退订。 续费 用户可以通过续费延长产品使用时限。 登录控制中心找到云解析产品列表，点击需要续费域名后的“续订”按钮，弹出续订页面。选择续订时间、续订版本，确认续订信息并完成支付。续订是在原订单到期时间点开始进行计算的。 退订 无特殊情况云解析不支持退订。 到期效果 产品到期后，配置的解析记录会失效。如果不继续使用本产品，建议提前做好解析调整以免影响业务访问。 变更配置 用户可以通过“变更”更换服务周期内域名。 登录控制中心找到云解析产品列表，点击需要修改域名后的“变更”按钮，弹出变更页面。输入变更后的新域名，确认变更信息。变更操作只修改域名，不更改服务周期。

本节主要介绍OBS如何停止计费。 考虑到一键关停会导致您的业务受到影响，因此OBS暂未提供此功能。 在按需计费的模式下，如您确实不想再使用该服务，可以删除“桶”下所有“对象”，再删除“桶”，即可在下一个账期（OBS按量付费1小时出一次账单）不产生扣费信息。推荐您通过设置生命周期来自动批量删除对象。 在资源包计费的模式下，资源包仅用于抵扣且不支持退订。如您确实不想再使用该服务，需要先删除“桶”下所有“对象”，再删除“桶”，即可在下一个账期（OBS按量付费1小时出一次账单）不产生话单，待资源包到期后可以停止计费。

本章节主要介绍翼MR Manager的集群服务重新同步的操作。 操作场景 支持对同步失败的配置或配置状态不一致的进行重新同步。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务。 6. 单击“查看配置状态”按钮，出现配置同步状态弹框，如图所示： 7. 勾选需要操作主机前的复选框，单击“操作已选项 > 重新同步”，即可支持配置同步操作。如图所示：

本节主要介绍修改同步信息 数据同步过程中，您可能修改了源数据库或者目标数据库的密码信息，导致数据同步任务失败，此时您需要通过数据复制服务控制台更新为正确的信息，然后重试同步任务。 对于如下的同步信息，您可以进行修改。 源库密码 目标库密码 说明 以上信息修改后，将实时生效，不会清空目标数据库的数据。 前提条件 已登录数据复制服务控制台。 操作步骤 步骤 1 在“实时同步管理”界面，选中指定同步任务，单击任务名称。 步骤 2 进入“基本信息”页签，在“连接信息”模块下，单击“修改连接信息”。 步骤 3 在“修改连接信息”弹出框中对源库和目标库的密码进行更新，更新完成后，单击“确认”即可。

某应用系统为等保3级，用户采用手机端APP通过互联网进行业务访问，为保障APP端身份鉴别的密评合规，通过协同签名服务实现了基于国密算法的身份鉴别以及传输过程中的机密性、完整性保护。 APP应用端证书下载 在APP端实现了用户个人数字证书的线上注册、申请、下载，流程如下： 1. APP集成协同签名客户端（SDK）； 2. APP通过协同签名客户端调用协同签名服务提供的接口申请SM2联签公钥； 3. 协同签名服务生成SM2公钥并返回给协同签名客户端； 4. 协同签名客户端生成请求数字证书的CSR文件，然后提交给CA申请证书； 5. CA根据获取的公钥签发数字证书并返回给协同签名客户端。 6. 在提交CA获取证书时，协同签名客户端可根据CA的管理要求完成数字证书申请的身份认证。 手机端APP身份鉴别 身份鉴别实现说明如下： 1. APP集成协同签名客户端（SDK）； 2. 用户首次使用APP时下载SM2软证书（密钥分片）到本地； 3. 用户登录APP时通过本地软证书基于协同签名机制生成完整签名值； 4. APP服务端验证签名值以确定身份正确性。 协同签名客户端SDK为二级软件密码模块，可达到与硬件智能密码钥匙相同的密钥保护安全强度，认证过程中用户无需使用任何硬件介质，满足等保3级系统应用和数据层面身份鉴别相关要求。

本文介绍分布式消息服务RocketMQ可广泛应用于分布式系统异步通信、数据同步和交换、削峰填谷等场景。 行业应用 RocketMQ在多个行业中都有广泛的应用。以下是一些典型的行业应用场景： 1. 电子商务：在电子商务行业中，RocketMQ可以用于订单处理、库存管理、支付通知等异步通信和事件驱动的场景。它可以实现订单的可靠传递和处理，同时支持高并发和高可扩展性的需求。 2. 金融服务：在金融服务行业中，RocketMQ可以用于实时交易通知、资金结算、风险控制等关键业务场景。它可以确保交易消息的可靠传递和顺序处理，同时支持高吞吐量和低延迟的要求。 3. 物流与供应链：在物流与供应链行业中，RocketMQ可以用于实时物流跟踪、订单状态更新、库存管理等消息通知和事件驱动的场景。它可以确保供应链各个环节的信息同步和协调，提高物流效率和准确性。 4. 社交媒体：在社交媒体行业中，RocketMQ可以用于实时消息推送、用户关系管理、活动通知等场景。它可以支持大规模用户同时在线的需求，确保消息的低延迟和高可靠性。 5. 物联网：在物联网行业中，RocketMQ可以用于设备状态监控、告警通知、数据采集等场景。它可以处理大量的设备消息，并支持设备之间的实时通信和协作。 这些是一些典型的RocketMQ行业应用场景，由于RocketMQ的高性能和可靠性，它在更多行业中也有广泛的应用。 分布式消息服务RocketMQ主要适用于以下几种业务场景：

参数 说明 微服务引擎名称 微服务引擎的名称，创建引擎后不能修改名称。 描述（可选） 引擎描述的长度不超过255。 规格 高可用服务更可靠，可选多个分区；商用场景建议选择高可用引擎。 可用区 选择可用区。 微服务实例数 微服务引擎可支持的最大实例数。 虚拟私有云 已创建的虚拟私有云。虚拟私有云可以为您的引擎构建隔离的、用户自主配置和管理的虚拟网络环境。 子网 已创建的虚拟私有云子网。

天翼云物理机服务器如何保证数据安全？ 天翼云物理机服务器具备物理机级的性能和隔离性，用户独占计算资源，并且无任何虚拟化开销。存储在高性能高可靠的服务器上的数据，自然也会很安全。 带有本地磁盘的物理机服务器，支持本地磁盘组RAID，磁盘数据冗余存储，提升容错能力，确保数据安全。 无本地磁盘的天翼云物理机服务器，支持从云硬盘启动（即系统盘为云硬盘，且称之为快速发放物理机服务器）。云服务器备份可以对物理机服务器提供备份保护，支持基于多块云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复服务器数据，最大限度保障用户数据的安全性和正确性，确保业务安全。

在开通了专属云（计算独享型）基础上，再购买专属云Kafka，对产品各服务规格收取服务费。具体价格如下： 专属云Kafka中，队列实例各规格价格： 规格 标准资费(元/月) 100 MB/s 650 300 MB/s 1050 600 MB/s 2002.5 1200 MB/s 3635 对于专属云Kafka的存储部分，有2种可选。 1）选择公有云中云硬盘来承载存储，则此部分存储价格按公有云收费标准收取； 2）购买专属云（存储独享型）后，以专属存储承载Kafka存储，则收费服务费，价格如下： 专属存储部分服务费 存储类型 标准资费（元/GB/月） 高IO 0.3 超高IO 0.75

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

服务网格支持托管您的证书并下发到网关数据面，实现TLS加密通信，本文介绍网关管理相关操作。 操作 进入服务网格控制台 > 网关 > 证书管理，您可以创建、查看、更新、删除证书配置，证书相关配置说明如下 配置项 说明 名称 证书的名称 命名空间 证书存储所在的命名空间 公钥证书 证书内容，当前仅支持PEM格式 私钥 证书私钥 是否启用mTLS 启用mTLS的证书可用于配置实现mTLS通信 CA证书 mTLS通信时用于验证客户端证书有效性的CA证书 使用证书管理实现网关mTLS访问 1. 首先使用以下脚本生成客户端和服务端证书 !/bin/bash domain$1 openssl genpkey algorithm RSA out ca.key openssl req new x509 key ca.key out ca.crt subj "/CCN/STGD/LGZ/ODX/OUTYY" days 3650 openssl genpkey algorithm RSA out server.key openssl req new key server.key out server.csr subj "/CCN/STGD/LGZ/OTYY/OUMS/CN$domain" openssl x509 req in server.csr CA ca.crt CAkey ca.key CAcreateserial out server.crt days 3650 openssl genpkey algorithm RSA out client.key openssl req new key client.key out client.csr subj "/CCN/STGD/LGZ/OTYY/OUMS/CN$domain" openssl x509 req in client.csr CA ca.crt CAkey ca.key CAcreateserial out client.crt days 3650 将生成的server.crt填入公钥证书，server.key填入私钥，开启mTLS开关，将ca.crt填入CA证书 2. 创建ingress网关，部署httpbin测试服务并通过网关访问httpbin服务 httpbin服务部署（华南2资源池） apiVersion: v1 kind: ServiceAccount metadata: name: httpbin apiVersion: v1 kind: Service metadata: name: httpbin labels: app: httpbin service: httpbin spec: ports: name: http port: 8000 targetPort: 80 selector: app: httpbin apiVersion: apps/v1 kind: Deployment metadata: name: httpbin spec: replicas: 1 selector: matchLabels: app: httpbin version: v1 template: metadata: labels: app: httpbin version: v1 spec: serviceAccountName: httpbin containers: image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/httpbin:stable imagePullPolicy: IfNotPresent name: httpbin ports: containerPort: 80 创建Ingress网关并配置VirtualService资源 apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: httpbin namespace: demo spec: gateways: cceforcsmdefaultingressgatewaytestgw hosts: foo.com http: route: destination: host: httpbin port: number: 8000 访问HTTP端口验证

企业官网，个人网站 搭建Web网站时，您可同时选择天翼云弹性云主机和域名服务。在云主机实例上部署应用系统，同时您可通过域名产品页面或登陆控制中心注册需要的域名，实现网站的快速部署。天翼云提供中英文等几十种域名产品供用户选择，同时天翼云的域名产品在注册时直连注册管理机构API，可以实现实时的注册和查询服务。

本节主要介绍Windows客户端怎么和HBlock服务端断开连接。 应用场景 Widows客户端需要断开HBlock的卷。 前提条件 Windows客户端已经挂载了HBlock服务。 具体操作 1. 在服务器管理器，对磁盘进行脱机处理。 2. 再从iSCSI发起程序中断开连接，否则可能丢失数据。

变更规格 软件开发生产线暂不支持规格变更，待服务版本升级后支持。

本文介绍如何配置CNAME，帮助客户直观了解配置CNAME的过程和注意事项。 前提须知 成功添加全站加速域名后，系统会为您分配一个CNAME域名。您需要在域名解析服务商处将服务域名的DNS解析记录指向CNAME域名，访问请求才能转发到全站加速节点上，实现全站加速。 操作步骤 1. 在客户控制台【域名管理】的【域名列表】中，复制域名对应的CNAME。 2. 前往您的域名解析（DNS）服务商（如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等），添加该CNAME记录。 注意 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录取决于客户设置的TTL时间。 3. 添加时如遇添加冲突，可考虑换一个加速域名，或参考“解析记录互斥规则”调整记录。解析记录互斥规则： 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，说明如下： 在RR值相同的情况下，同一条线路下，在几种不同类型的解析中不能共存（X为不允许）： X：在相同的RR值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了ctyun.cn的A记录，则不允许再设置ctyun.cn的CNAME记录。 无限制： 在相同的RR值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了ctyun.cn的A记录，则还可以再设置ctyun.cn的MX记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条RR值。如：已经设置了ctyun.cn的A记录，还可以再设置ctyun.cn的A记录。 4. 验证全站加速服务是否生效。 您可以ping或dig您所添加的加速域名，验证全站加速服务是否生效。详见：如何判断全站加速配置是否生效。

本章节主要介绍配置定时备份告警与审计信息。 操作场景 管理员可通过修改配置文件，实现定时备份FusionInsight Manager的告警信息、Manager审计信息以及所有服务的审计信息到指定的存储位置。 备份支持使用SFTP协议或FTP协议，FTP协议未加密数据可能存在安全风险，建议使用SFTP。 操作步骤 1.以omm用户登录主管理节点。 说明 用户只需在主管理节点执行此操作，不支持在备管理节点上配置定时备份。 2.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/sbin 3.执行以下命令，配置定时备份Manager告警、审计或者服务审计信息。 ./setNorthBound.sh t 信息类型 i 远程服务器IP p 服务器使用的SFTP或FTP 端口 u 用户名 d 保存信息的路径 c 时间间隔（分钟） m 每个保存文件的信息记录数 s 备份启停开关 e 指定的协议 例如： ./setNorthBound.sh t alarm i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改告警信息备份配置文件“alarmcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t audit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改审计信息备份配置文件“auditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t serviceaudit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改服务审计信息备份配置文件“serviceauditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 4.根据界面提示输入用户的密码。密码将加密保存在配置文件中。 Please input sftp/ftp server password: 5.显示如下结果，说明修改成功。备管理节点将自动同步配置文件。 execute command syncfile successfully. Config Succeed.

本文向您介绍如何修改弹性云主机(Windows)的SID。 操作场景 Windows操作系统是通过安全标识符（SID）对计算机和用户的识别。由于基于同一镜像生产的云服务器实例 SID 相同，会引起无法入域的问题。如果您需要搭建 Windows 域环境，则需要通过修改 SID 以达到入域的目的。本文档以 Windows Server 2012 操作系统云服务器为例，介绍如何使用系统自带sysprep 以及 sidchg 工具修改 SID。 注意 本说明仅适用于 Windows Server 2008 R2 、Windows Server 2012 以及Windows Server 2016及更高版本。 如果有批量修改 SID 的需求，可通过制作自定义镜像（选择 “执行 sysprep 制作镜像”）解决。 修改云主机SID可能导致数据丢失或系统损坏，建议您提前做好数据备份。 操作步骤 使用sysprep修改SID 注意 1. 使用 sysprep 修改 SID 后，系统参数很多都被重新设置，包括 IP 配置信息等，您必须手动重新设置。 2. 使用 sysprep 修改 SID 后，C:UsersAdministrator 将会被重置，系统盘部分数据将被清理，请注意做好数据备份。 1. 使用远程登录方式登录云主机。 2. 在操作系统界面，点击运行，输入cmd，按Enter，打开管理员命令行工具。 在管理员命令行工具中，执行以下命令，保存当前网络配置。 ipconfig /all 3. 以管理员身份使用 PowerShell 执行以下命令。 $unattendContent @" true Work 3 true true "@ $unattendContent OutFile FilePath C:WindowsSystem32Sysprepunattend.xml Encoding UTF8 Force C:WindowsSystem32Sysprepsysprep.exe /generalize /oobe /shutdown /unattend:C:WindowsSystem32Sysprepunattend.xml 4. 执行完成后，系统会自动关机。此时，您可在云平台制作私有镜像。 5. 启动云主机进入操作系统后执行下方命令，验证SID是否已修改，返回类似如下信息，则表示SID已完成修改。 whoami /user 6. 根据步骤2保存的网络配置信息，重新设置网卡相关信息(如IP地址、网关地址、DNS等)。

物理机服务(CTDPS,Dedicated Physical Server)为用户提供独享的云上物理机服务器。天翼云物理机具有卓越的计算、存储性能,满足核心应用对高性能及稳定性的需求。同时,可实现与弹性云主机混合组网,为用户提供灵活的业务部署方案。

本章节介绍如何配置追踪器。 操作场景 云审计服务管理控制台支持对已创建的数据类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置数据类事件追踪器。 前提条件 已开通云审计服务，且已创建一个数据类事件追踪器。 配置数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“配置”。 6. 在选择追踪对象页面，设置相关参数，参数详情见表 选择转储事件参数表，单击“下一步”。 7. 在配置转储页面可以修改该追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 8. 单击“下一步 > 配置”，完成配置数据类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 选择转储事件参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 默认为您创建数据类追踪器时设置的OBS桶名称，不可以修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

本小节介绍证书管理服务产品简介。 证书管理服务（Certificate Management Service‌，CCMS）是一款集证书购买、申请及安全应用于一体的云上证书管家，提供SSL证书管理、私有（内网）证书管理和个人证书管理功能，并支持一键部署证书、证书托管等服务。该服务支持国密和国际算法，帮助用户实现数据传输加密和身份认证，保障数据安全。 SSL证书管理 SSL证书是一种遵守SSL协议的数字证书，用于在互联网上建立安全通信连接，常用于网站安全加密，是保护网站数据的必备证书。 提供企业型（OV）、增强型（EV）、域名型（DV）多种SSL证书，便于企业根据自身业务场景灵活选择。 可以在证书管理服务控制台上购买SSL证书，并向CA机构提交证书申请，待CA机构审核通过并签发证书后，你可以下载证书并将其安装到您的应用服务器中。 支持将第三方证书上传到证书管理服务控制台进行统一管理。 支持一键部署SSL证书至天翼云其他云产品中，还提供了证书托管功能，可以自动替换天翼云上云产品证书。 私有（内网）证书管理 私有（内网）证书是CA颁发的内部专用数字凭证，用于内网身份认证、系统间加密通信和设备安全管理。 提供私有（内网）证书的全生命周期管理能力，包括购买、申请、下载、吊销等。 个人证书管理 个人证书是由CA机构核验身份后颁发的数字凭证，用于强身份认证、电子签名和加密通信等场景。 提供个人证书的全生命周期管理能力，包括购买、申请、下载、吊销等。