天翼云云堡垒机（原生版）服务协议

本章节介绍微服务引擎MSE的订购与退订操作 订购 1. 进入天翼云控制中心，搜索微服务引擎MSE，点击购买图标，即可进入到订购配置页面。 退订 退订规则 产品退订相关规则详细参见：退订规则说明。 退订操作 以云原生网关子产品为例，进入微服务引擎控制台，在左侧导航栏中单击云原生网关网关列表，在列表中针对某个实例点击退订按钮，在您确认退订后，单击确定按钮。 退订后，可在个人中心查看退订订单状态及金额情况。 注意 退订成功后，不可登录到控制台或者通过OpenAPI进行应用变更等操作。

本节主要介绍Kafka Connect接入Kafka。 最佳实践概述 场景描述 Kafka Connect可以将完整的数据库注入到Kafka的Topic中，或者将服务器的系统监控指标注入到Kafka，然后像正常的Kafka流处理机制一样进行数据流处理。而导出工作则是将数据从Kafka Topic中导出到其它数据存储系统、查询系统或者离线分析系统等。 如果您想要在流数据平台场景下，使用Kafka Connect快速实现数据从Kafka和其它系统之间进行导入导出，可以参考本实践方案。 技术架构图 暂无。 方案优势 用户可按业务需要，参考Kafka Connect数据导入导出，实现流数据的消息消费。 前提条件 需已购买Kafka实例、创建Topic，并且已成功消费消息。 资源规划 本实践方案内容仅涉及Kafka专享版实例和Flink的安装配置。 分布式消息服务 Figure 1 分布式消息服务 资源类型 配置项 配置明细 说明 :::: 企业中间件 DMS Kafka专享实例 需已购买kafka专享实例，创建好Topic，并成功消费消息。 Kafka Connect流数据平台 Figure 2 Kafka Connect流数据平台 资源类型 配置项 配置明细 说明 :::: 应用软件 Flink框架 Flink 1.14 使用开源Apache Flink 方案正文 Kafka Connect 目前支持两种执行模式：standalone 和 distributed。 standalone模式 通过以下命令以 standalone 模式启动 connect： 接入Kafka专享版与接入开源 Apache Kafka 没有区别，仅需要修改 bootstrap.servers 为申请实例时分配的 IP。 distributed模式 通过以下命令以 distributed 模式启动 connect： 该模式下，Kafka Connect 会将 offsets、configs 和 task status 信息存储在 Kafka Topic 中，存储的Topic 在 connectdistributed 中的以下字段配置： 这三个 Topic 需要手动创建，才能保证创建的属性符合 connect 的要求。 config.storage.topic 需要保证只有一个 partition，多副本且为 compact 模式。 offset.storage.topic 需要有多个 partition，多副本且为 compact 模式。 status.storage.topic 需要有多个 partition，多副本且为 compact 模式。 配置 bootstrap.servers 为申请实例是分配的 IP。 配置 group.id，用于标识 connect 集群，需要与消费者分组区分开来。

CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。当您配置完CC攻击防护规则并开启CC攻击防护后，WAF才能根据您配置的CC攻击防护规则进行CC攻击防护。 CC攻击防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用CC攻击防护规则的引用表。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“CC攻击防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤7 在“CC防护”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，根据表配置CC防护规则。 CC防护规则参数说明 参数 参数说明 取值样例 规则描述 可选参数，设置该规则的备注信息。 限速模式 “IP限速”：根据IP区分单个Web访问者。 “用户限速”：根据Cookie键值或者Header区分单个Web访问者。 “其他”：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。 说明 选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 例如：若用户不希望访问者从“www.test.com”访问网站，则“Referer”对应的“内容”设置为“ 用户标识 “限速模式”选择“用户限速”时，需要配置此参数： 选择Cookie时，设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。 例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以用name字段来区分Web访问者。 选择Header时，设置需要防护的自定义HTTP首部，即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。 name 限速条件 单击“添加”增加新的条件，至少配置一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 字段 子字段：当“字段”选择IPv4、IPv6、Cookie、Header、Params时，请根据实际需求配置子字段。子字段的长度不能超过2048字节。 内容：输入或者选择条件匹配的内容。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 “路径”包含“/admin/” 限速频率 单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。 10次/60秒 防护动作 当访问的请求频率超过“限速频率”时，可设置以下防护动作： 人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。 阻断：表示超过“限速频率”将直接阻断。 动态阻断：上一个限速周期内，请求频率超过“限速频率”将被阻断，那么在下一个限速周期内，请求频率超过“放行频率”将被阻断。 仅记录：表示超过“限速频率”将只记录不阻断。可下载防护事件数据数据查看域名的防护日志。 阻断 放行频率 当“防护动作”选择“动态阻断”时，可配置放行频率。 如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。 “放行频率”小于等于“限速频率”。 说明 当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。 8次/60秒 阻断时长 当“防护动作”选择“阻断”时，可设置阻断后恢复正常访问页面的时间。 600秒 阻断页面 当“防护动作”选择“阻断”时，需要设置该参数，即当访问超过限速频率时，返回的错误页面。 当选择“默认设置”时，返回的错误页面为系统默认的阻断页面。 当选择“自定义”，返回错误信息由用户自定义。 自定义 页面类型 当“阻断页面”选择“自定义”时，可选择阻断页面的类型“application/json”、“text/html”或者“text/xml”。 text/html 页面内容 当“阻断页面”选择“自定义”时，可设置自定义返回的内容。 不同页面类型对应的页面内容样式： text/html：Forbidden application/json：{"msg": "Forbidden"} text/xml： Forbidden 步骤9 单击“确认”，添加的CC攻击防护规则展示在CC规则列表中。 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。 若需要修改添加的CC攻击防护规则时，可单击待修改的CC攻击防护规则所在行的“修改”，修改CC攻击防护规则。 若需要删除用户自行添加的CC攻击防护规则时，可单击待删除的CC攻击防护规则所在行的“删除”，删除CC攻击防护规则。

使用前须知。 微服务引擎（Cloud Service Engine，CSE），是用于微服务应用的云中间件，支持云贡献到Apache社区的注册配置中心Servicecomb引擎、开源增强的注册配置中心Nacos引擎。用户可结合其他云服务，快速构建云原生微服务体系，实现微服务应用的快速开发和高可用运维。 使用条件 已注册账号并登录。 当前登录账号拥有创建微服务引擎的权限。 登录微服务引擎控制台 1. 登录天翼云控制台。 2. 单击，选择区域。 3. 单击左上角，在服务列表选择“微服务引擎CSE”，进入微服务引擎控制台。 说明 当您使用从ServiceStage发放的微服务引擎实例时，如想在CSE中发放新实例，需要对CSE云服务进行授权。 当您没有授予任何权限时，由于CSE使用依赖VPC、DNS云服务，因此需要先创建云服务委托，将操作权限委托给CSE。 授权后，CSE将在统一身份认证服务为您创建名为cseadmintrust的委托，授权成功后，可以进入服务委托列表查看。该操作需要有Security Administrator角色权限，请到“统一身份认证”服务中确认。 如不授权，将影响微服务引擎部分功能的正常使用，包括：创建引擎、升级引擎、开启/关闭安全认证。

本章节主要介绍发布API。 本文将为您介绍如何将数据服务中的API发布到服务目录。 操作场景 数据服务是数据对外开放的最后一道防线，为了安全起见，在数据服务中生成的API以及注册的API，都需要发布到服务目录中才能对外提供服务。 操作步骤 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.进入“数据服务 > 总览 > 开发API > API管理”页面，在API服务列表操作列中，选择“更多 > 发布”。 4.在确认发布界面，您可以点击“更多”，选择发布详情。 详见下图： 发布详情 −专享版默认发布到数据服务专享版集群上，发布成功后API调用者可以通过内网调用该API。您也可以选择“更多”，将API发布到APIG专享版或ROMA Connect实例上。 APIG专享版：如果您需要将API发布到APIG专享版上，则您需要提前在API网关服务上创建一个APIG实例。实例创建后，有一个默认API分组，系统为分组自动分配一个内部测试用的调试域名，此调试域名唯一且不可更改，每天最多可以访问1000次。如果您不希望与其他API共享此规格，可以在APIG控制台新建一个API分组（详情请参考“API网关APIG用户指南> API分组管理> 创建API分组”章节），然后在数据服务发布时选择对应API分组，独享每天最多访问1000次的规格。另外，您还可以为API分组绑定一个或多个独立域名（详情请参考“API网关APIG用户指南>API分组管理> 绑定域名”章节），API调用者通过访问独立域名来调用您开放的API，这样即可不受每天最多访问1000次的规格限制。 ROMA Connect实例：如果您需要将API发布到ROMA Connect实例上，则您需要提前在ROMA Connect服务上创建一个ROMA实例，并创建API分组（详情请参考“应用与数据集成平台 ROMA Connect用户指南> 服务集成指导> 开放API> 创建API分组”章节）。API分组创建后，系统为分组自动分配一个内部测试用的子域名，此子域名每天最多可以访问1000次。为了不受此规格限制，您可以为API分组绑定独立域名（详情请参考“应用与数据集成平台 ROMA Connect用户指南> 服务集成指导> 开放API> 绑定域名”章节），API调用者通过访问独立域名来调用您开放的API。 5.在发布API时，会触发审核，审核机制如下： 当发布人不具备审核人权限时，发布API时需要提交给审核人审核。 当发布人具备审核人权限时，可无需审批直接发布API。工作空间管理员角色的用户默认具备审核人权限。 如果非审核人权限的用户发布API时，待审核人审核通过后，即可发布完成。

本文提供天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK 儿童个人信息保护政策及监护人须知 儿童个人信息保护政策及监护人须知发布日期：【2025年5月13日】 本须知仅适用于由天翼云科技有限公司提供的天翼云边缘安全加速平台零信任服务天翼云AOne SDK服务。 版本生效日期：【2025年5月13日】 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件：service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电话：4008109889 天翼云门户：管理中心新建工单；智能客服 为了更好地在您使用我们服务的过程中保障您的个人信息，我们对《 天翼云AOne SDK儿童个人信息保护政策及监护人须知 》进行了更新，此版本主要更新内容包括： 1、更新天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK产品由天翼云科技有限公司（“天翼云”）运营，是一款为移动应用开发者（以下简称“开发者”）提供调用零信任内网连接等能力服务的软件开发工具包（SDK）。我们致力于保护儿童个人信息，本须知中的“儿童”，是指满14周岁的未成年人。为此，我们专门制定了《天翼云AOne SDK儿童个人信息保护政策及监护人须知》（简称“本须知”），向您说明我们处理儿童个人信息的规则。您作为儿童的父母或其他监护人（统称“监护人”），请在您或您所监护的儿童（简称“被监护人”）使用本应用前务必仔细阅读并充分理解本须知，特别是以粗体标识的条款应重点阅读，在确认充分理解并同意全部条款后再开始使用或允许您的孩子使用。 本须知为在《天翼云AOne SDK隐私和信息处理规则》基础上制定的特别规则，除另有约定外，本须知所用术语和缩略词与《天翼云AOne SDK隐私和信息处理规则》中的术语和缩略词具有相同的涵义；与《天翼云AOne SDK隐私和信息处理规则》如有不一致之处，以本须知为准；本须知未载明之处，适用《天翼云AOne SDK隐私和信息处理规则》。为了维护儿童的合法权益，儿童应当在其监护人的指导下使用我们的服务。 《天翼云AOne SDK隐私和信息处理规则》详见天翼云AOne SDK隐私和信息处理规则 监护人特别说明： 您的理解和配合对我们保护被监护人的个人信息和隐私安全非常必要，为了维护被监护人的合法权益，我们希望您可以协助我们，确保被监护人在您的同意和指导下使用本应用和向我们提交个人信息。我们将根据本须知采取特殊措施保护我们获得的被监护人的个人信息。请您仔细阅读和选择是否同意本声明。如果您不同意本须知的内容，请您要求被监护人立即停止访问/使用我们的产品及服务。 儿童特别说明： 任何儿童参加网上活动都应事先取得监护人的同意。如果您是儿童，请务必通知您的监护人共同阅读本须知，并在您使用我们的产品及服务、提交个人信息之前，寻求您的监护人的同意和指导。 我们严格按照《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》 《 电信和互联网用户个人信息保护规定》（工业和信息化部令第 24 号）《儿童个人信息网络保护规定》等法律法规的相关要求，在业务活动中处理儿童的个人信息。 本部分向您告知以下内容： 一、我们如何收集和使用儿童的个人信息 二、我们如何共享、转让和公开披露儿童的个人信息 三、我们如何存储儿童的个人信息 四、我们如何保护儿童的个人信息 五、我们如何管理儿童的个人信息 六、本须知的适用 七、本须知的修订 八、如何联系我们 一、我们如何收集和使用儿童的个人信息 1.1 在儿童使用我们的产品及服务过程中，我们会严格履行法律法规规定的儿童个人信息保护义务与责任，遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则，在征得监护人的同意后收集和使用儿童个人信息。具体请查阅《天翼云AOne SDK隐私和信息处理规则》“各业务功能中的用户信息收集使用规则”章节，详细了解我们收集和使用的儿童个人信息。 1.2 此外，我们也会通过Cookie等同类技术自动收集您或被监护人的个人信息，具体请您查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何使用 Cookie和同类技术”章节进行详细了解。 1.3 我们提供的与儿童有关的服务是不断发展的。如我们需要超出上述收集范围收集您或被监护人的个人信息，我们将再次告知您，并征得您的同意。 1.4 根据相关法律法规规定，以下情形中收集儿童的信息无需征得儿童监护人的授权同意： （1）与我们履行法律法规规定的义务相关的； （2）与国家安全、国防安全、公共安全、公共卫生、重大公共利益有关的； （3）与犯罪侦查、起诉、审判和判决执行等有关的； （4）出于维护儿童的生命、财产等重大合法权益但又很难得到监护人同意的； （5）所收集的信息是儿童或监护人自行向社会公众公开的； （6）从合法公开披露的信息中收集信息的，如合法的新闻报道、政府信息公开等渠道； （7）根据与您或被监护人签订和履行相关协议或其他书面文件所必需的； （8）法律法规规定的其他情形。 请您理解，您可以选择是否填写或向我们提供特定的信息，但您如果不填写或提供某些特定的信息，将可能导致我们的产品及服务无法正常运行，或者无法达到我们拟达到的服务效果，您和被监护人可能无法正常使用我们的产品、服务或相关的具体业务功能。 二、我们如何共享、转让和公开披露儿童的个人信息 我们承诺对儿童个人信息进行严格保密，我们遵照法律法规的规定，严格限制共享、转让、披露儿童个人信息的情形，仅在《天翼云AOne SDK隐私和信息处理规则》约定和您明确授权同意的情况下对外提供儿童信息。 除了《天翼云AOne SDK隐私和信息处理规则》“我们如何共享、转让、公开披露您的个人信息”章节部分所述的内容外，对于儿童个人信息，我们还将会采取如下措施来保护儿童个人信息在共享、转让和公开披露过程中的安全： 2.1 如果为了本须知所述目的而需要将儿童信息共享至第三方，我们将评估该第三方收集儿童个人信息的合法性、正当性、必要性，并采用加密、匿名化、去标识化处理等手段保障您和被监护人的信息安全。 2.2 我们将要求第三方对儿童个人信息采取保护措施，并且严格遵守相关法律法规与监管要求。我们会要求接收儿童个人信息的第三方遵守严格的保密义务及采取有效的保密措施，禁止其将这些儿童个人信息用于未经儿童及其监护人授权的用途，并要求受托公司依法履行以下义务： （1）按照法律、行政法规的规定和我们的要求处理儿童个人信息； （2）协助我们回应儿童监护人提出的申请； （3）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向我们反馈； （4）委托关系解除时及时删除儿童个人信息； （5）不得转委托； （6）其他依法应当履行的儿童个人信息保护义务。 2.3 另外，我们会按照法律法规的要求征得您的同意，或确认第三方已经征得您同意。 三、我们如何储存儿童的个人信息 3.1 我们在中华人民共和国境内运营中收集和产生的儿童个人信息，将存储在中国境内（为本须知之目的，不含香港、澳门、台湾地区）。 3.2 我们会采取合理可行的措施，尽力避免收集和处理无关的儿童的个人信息。我们只会在达成本须知所述目的所需的期限内保留儿童的个人信息，除非法律有强制的留存要求。关于我们如何确定儿童个人信息存储期限请参见《天翼云AOne SDK隐私和信息处理规则》“我们如何保存您的个人信息或关联组织信息”章节。如我们终止服务或运营，我们将及时停止继续收集儿童个人信息的活动，同时会遵守相关法律法规要求提前向您通知，并在终止服务或运营后对儿童的个人信息进行删除或匿名化处理，但法律法规或监管部门另有规定的除外。 四、我们如何保护儿童的个人信息 我们非常重视儿童的隐私安全，并采取一切合理可行的措施保护儿童个人信息： 4.1 我们会严格控制儿童个人信息的访问权限，对可能接触到儿童个人信息的工作人员采取最小够用授权原则，并采取技术措施对处理儿童个人信息的行为进行记录和管控，避免违法复制、下载儿童个人信息。 4.2 我们会定期组织内部相关人员进行培训，使其掌握岗位职责和应急处置策略和规程。在不幸发生儿童个人信息安全事件后，我们将按照法律法规的要求，及时向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您及被监护人可自主防范和降低风险的建议、对您及被监护人的补救措施等。我们将及时将事件相关情况以APP推送通知、发送邮件/短消息等方式告知您。难以逐一告知时，我们会采取合理、有效的方式发布相关警示信息。同时，我们还将按照监管部门要求，主动上报儿童个人信息安全事件的处置情况。若被监护人的合法权益受损，我们将承担相应的法律责任。 4.3 如您希望了解更多，请查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何保护您的个人信息或关联组织信息”章节，详细了解上述措施外，我们还采取了哪些措施保护儿童个人信息。 五、我们如何管理儿童的个人信息 5.1 为了您或被监护人在使用我们的产品及服务期间可以更加便捷地访问和管理被监护人的个人信息，同时保障注销账户的权利，我们在产品及服务中为您和被监护人提供了相应的操作设置，您和被监护人可以按照《天翼云AOne SDK隐私和信息处理规则》中的“您的权利及如何管理您的个人信息”章节指引进行操作。 5.2 如存在以下情况，您和被监护人可以请求我们删除收集、使用和处理的儿童个人信息。我们会在完成身份验证后，及时采取措施予以删除。 （1）若我们违反法律、行政法规的规定或者本须知的约定收集、存储、使用、转让、披露儿童个人信息； （2）若我们超出本须知目的范围或者必要期限收集、存储、使用、转让、披露儿童个人信息； （3）您撤回同意； （4）您或被监护人通过注销等方式终止使用产品或者服务的。 但请注意，若您和被监护人要求我们删除特定儿童个人信息，可能导致被监护人无法继续使用我们的产品和服务或产品和服务中的某些具体业务功能。 如您发现在未事先征得您同意的情况下收集了被监护人的个人信息，请及时联系我们，我们会设法尽快删除相关数据。 六、本须知的适用 绝大多数情形下我们无法识别且不会判断收集和处理的个人信息是否属于儿童个人信息，我们将按照《天翼云AOne SDK隐私和信息处理规则》收集和处理用户的个人信息。 七、本须知的修订 我们可能会根据我们的产品及服务的更新情况及法律法规的相关要求适时修改本须知的条款，该等修改构成本须知的一部分，我们会在专门页面上展示最新修改版本。当本须知的条款发生变更时，我们会以APP弹窗方式进行提示并再次取得您的同意，详见《天翼云AOne SDK隐私和信息处理规则》“本隐私和信息处理规则如何更新”章节的规定。 八、如何联系我们 8.1 如您对本隐私和信息处理规则或您信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云提交工单、联系智能客服、或拨打我们的客服电话4008109889与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn或ctpip.ctyun@chinatelecom.cn，与天翼云边缘安全加速平台零信任服务的个人信息保护负责人进一步沟通。 8.2 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过15个工作日做出答复。 8.3 如果您对我们的回复不满意，特别是我们的信息处理行为损害了您的合法权益，您还可以通过以下外部途径寻求解决方案：向被告所在地有管辖权的人民法院提起诉讼。

管理脚本任务 云堡垒机支持快速运维功能，用户可通过脚本方式快速运维多个目标资源。通过将脚本在多个SSH协议主机资源上执行，并根据发起的脚本，返回相应执行结果。 本小节主要介绍如何管理脚本任务，包括创建脚本任务、执行脚本任务、中断脚本任务、查看任务执行结果等。 约束限制 仅专业版云堡垒机支持快速运维功能。 仅支持快速运维Linux主机（SSH协议类型）资源的任务。 暂不支持快速运维Windows主机资源、数据库资源和应用资源的任务。 前提条件 已获取“快速运维”模块管理权限。 已获取资源访问控制权限，即已配置访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 快速运维 > 脚本控制台”，进入快速脚本运维页面。 3 配置快速脚本运维信息。 快速脚本运维参数说明 参数 说明 :: 执行脚本 输入针对主机资源需执行的脚本。 可选择“脚本管理”中脚本内容，也可新上传本地脚本文件。 脚本参数 （可选）自定义脚本参数。 执行帐户 “选择”已创建的SSH协议类型资源账户或帐户组。 “重置”已选择的资源账户或帐户组。 说明 每个资源的执行帐户最多一个。 更多选项 （可选）用户对资源账户执行任务权限不够时，需勾选上“提权执行”，用户需在该主机资源的Sudoers文件下执行任务。 4 立即执行脚本任务。 单击“立即执行”，即可针对目标资源，执行当前脚本任务。 5 中断脚本任务。 任务正在执行时，单击“中断执行”，可中断脚本任务。 “中断执行”会将当前执行帐户完成后才停止任务，再立即终止未执行的帐户。 6 查看执行结果。 脚本任务执行完成后，查看当前脚本任务执行结果。查看更多历史任务执行结果，请参见：管理快速任务执行日志。 在执行结果区域，在搜索框中输入关键字，根据资源名称、执行结果、执行帐户，快速查询任务执行结果。 单击“展开”，即可查看目标任务执行结果。 单击“导出”，即可下载当前脚本任务执行结果的CSV格式文件保存到本地。

接口功能介绍 服务器安全卫士系统，防护配额列表查询 接口约束 已经签约安全卫士服务协议 URI POST /v1/quota/quotaList// 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 currentNum 是 Integer 页码 pageSize 是 Integer 页大小 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 quotaId 否 String 防护配额ID 6c8caaa32418441c8c164e3f43d76791 quotaVersion 否 Integer 配额版本 1基础版 2企业版 3旗舰版 1 serverIp 否 String 服务器ip 192.168.1.1 custName 否 String 服务器名称（模糊查询) testservername quotaStatus 否 Integer 防护配额状态 1未绑定 2绑定中 4已过期 8已冻结 16已退订 32已销毁 0无效 3正常（未绑定和绑定中） 1 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 quotaId String 配额ID 6c8caaa32418441c8c164e3f43d767 quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 quotaStatus Integer 防护配额状态 1未绑定 2绑定中 4已过期 8已冻结 16已退订 32已销毁 0无效 1 serverIp String 服务器ip 192.168.1.1 agentGuid String agentGuid testagentguid startDate String 开始时间 20200101 00:00:00 expirationDate String 到期时间 20200101 00:00:00 createTime String 创建时间 20200101 00:00:00 updateTime String 更新时间 20200101 00:00:00 serverName String 主机名称 testservername custName String 主机名称 testservername displayName String 实例名称 testdisplayname publicIp String 公网ip 192.168.1.1 privateIp String 私网ip 192.168.1.1 extInfo Object extInfo enterpriseProjectId String 企业项目id enterpriseProjectName String 企业项目名称 表 extInfo 参数 参数类型 说明 示例 下级对象 key Object key 表 key 参数 参数类型 说明 示例 下级对象

本页介绍如何停止分布式融合数据库HTAP的实例。 操作场景 当用户想暂停当前实例的使用时，可以进行停止实例操作。 注意事项 如果用户选择停止实例，则会终止当前实例的所有服务，将会断开所有连接，请务必谨慎操作。停止实例不会停止计费。 操作步骤 1. 天翼云官网首页右上角选择控制中心，登录进入控制中心界面。 2. 控制中心产品概览页左上角单击管理控制台，选择区域。 3. 选择数据库 > 分布式融合数据库HTAP，进入分布式融合数据库HTAP控制台。 4. 进入实例列表页面，找到对应实例，点击操作 > 更多 > 停止，在弹出的对话框里点击确认按钮停止该实例。 5. 在执行停止实例的过程中，实例状态处于停止中，执行成功后实例状态为已停止，若执行失败则实例状态改为停止失败。

本文介绍数据管理服务产品的使用模式，解答如何开通数据管理服务问题。 本文介绍数据管理服务产品的使用模式，解答如何开通数据管理服务问题。 问题描述 如何开通使用数据管理服务DMS？ 问题分析 新一代数据管理服务升级采用一站式服务架构，以全局集中模式纳管天翼云各资源池和其他环境数据库实例，目前正处于限时免费期，您可以走官网产品详情页，点击立即开通即可订购试用。在产品详情页，我们设计了两种不同的进入数据管理服务控制台的按钮：“立即开通”和“管理控制台”。顾名思义，“管理控制台”即直接进入数据管理服务控制台的按钮，如果用户未订购数据管理服务DMS，点击后会自动跳转订购页，根据指引完成订购，后续即可进入数据管理服务控制台；“立即开通”，用户可点击立即开通进入订购页，如果之前已订购数据管理服务DMS，会提醒您已订购并自动跳转控制台首页。因此，您可以直接在产品详情页订购数据管理服务DMS后，访问控制台。 解决方案 在天翼云官网页面，您可以通过“产品” > “数据库” > “数据库生态工具” > “数据管理服务”的层次树进入数据管理服务产品详情页。 产品限时免费期间，您在数据管理服务产品详情页上点击“立即开通”，或点击“管理控制台”（此前未订购数据管理服务DMS），均可直接进入数据管理服务DMS订购页，完成订购操作。

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 可用区 是 多可用区资源池可选择伸缩组绑定的伸缩配置，在指定可用区扩缩容。当伸缩配置绑定的伸缩组使用优先级扩容策略时，可用区选择顺序将决定优先级。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格 > 请选择云主机” 创建配置，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，接下来根据实际业务需求配置主机类型、 vCPU、内存、镜像、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址与互联网互通。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能对外提供访问服务，仅可在虚拟私有云内部进行内网互通。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。 密钥对指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。说明： 如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件且可以登录云主机，否则，将影响您正常登录弹性云主机。 账户密码指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码，并确认密码，确保能够成功登录云主机。 云监控 否 是否开启详细监控。开启后，在云主机创建成功后35分钟将完成详细监控Agent安装，启用云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

DTS CONTAINERALL; GRANT EXECUTE ON DBMSLOGMNRD TO C DTS CONTAINERALL; oracle 12c关闭CDB模式 如果仅作测试用可直接赋予最高权限，用SYS用户登录Oracle，如下创建DTS迁移用户： CREATE USER DTS IDENTIFIED BY " " DEFAULT TABLESPACE USERS QUOTA UNLIMITED ON USERS; GRANT DBA TO DTS; GRANT SELECT ON SYS.OBJ$ TO DTS; GRANT SELECT ON SYS.COL$ TO DTS; 如果需要授予数据迁移用户的精准权限，用SYS用户登录Oracle，如下创建DTS迁移用户： 要求该用户必须是CDB下的用户，且授权的权限必须在所有容器内都具备 CREATE USER DTS IDENTIFIED BY " " DEFAULT TABLESPACE USERS QUOTA UNLIMITED ON USERS; GRANT CREATE SESSION TO DTS; GRANT SET CONTAINER TO DTS; GRANT FLASHBACK ANY TABLE TO DTS; GRANT SELECT ANY TABLE TO DTS; GRANT INSET ANY TABLE TO DTS; GRANT UPDATE ANY TABLE TO DTS; GRANT DELETE ANY TABLE TO DTS; GRANT CREATE ANY TABLE TO DTS; GRANT DROP ANY TABLE TO DTS; GRANT COMMENT ANY TABLE TO DTS; GRANT LOCK ANY TABLE TO DTS; GRANT CREATE SEQUENCE TO DTS; GRANT SELECT ANY SEQUENCE TO DTS; GRANT SELECT ANY TRANSACTION TO DTS; GRANT SELECT ANY DICTIONARY TO DTS; GRANT SELECT ON SYS.OBJ$ TO DTS; GRANT SELECT ON SYS.COL$ TO DTS; GRANT SELECTCATALOGROLE TO DTS; GRANT EXECUTECATALOGROLE TO DTS; GRANT LOGMINING TO DTS; GRANT EXECUTE ON DBMSLOGMNR TO DTS; GRANT EXECUTE ON DBMSLOGMNRD TO DTS; 2. 创建目标库DTS用户 如果仅作测试，可直接使用TeleDB最高权限的用户root。 如果需要使用精准权限的用户，用root用户登录TeleDB，如下创建DTS迁移用户： CREATE USER dts WITH ENCRYPTED PASSWORD ' '; GRANT CREATE, TEMPORARY, CONNECT ON DATABASE TO dts; 如果要做增量迁移且迁移的表包含外键，那么除了上述权限外，还要保证该用户具有在会话级别执行SET sessionreplicationrole 'replica'的权限。可登录TeleDB控制台，将该参数设置并重启。 3. 如果有增量迁移，需按照如下方法开启Oracle的归档日志 非RAC模式： SELECT name,logmode from V$DATABASE; 如果没有开启，使用sqlplus且用SYS用户以sysdba方式登录后，依次执行以下命令： SHUTDOWN IMMEDIATE; STARTUP MOUNT; ALTER DATABASE ARCHIVELOG; ALTER DATABASE OPEN; RAC模式： 在RAC ORACLE 的某一个节点的 shell 中，关闭、启动、挂载某一个数据库： srvctl stop database d srvctl start database d o mount 使用DBA 权限账号登陆该数据库，并开启归档日志： alter database archivelog; 在RAC ORACLE 的某一个节点的 shell 中, 重启数据库： srvctl stop database d srvctl start database d 4. 如果有增量迁移，需开启Oracle的详细补充日志 使用以下命令，确认supplemental logging 是否开启： SELECT supplementallogdatamin, supplementallogdatapk, supplementallogdataall FROM V$DATABASE; 如果三列存在NO，那么先开启补充最小日志supplementallogdatamin： ALTER DATABASE ADD SUPPLEMENTAL LOG DATA; 开启全补充日志，增加ALL、主键、Unique Index： ALTER DATABASE ADD SUPPLEMENTAL LOG DATA(ALL, PRIMARY KEY, UNIQUE) COLUMNS; 5. 确保所有容器处于打开状态 如果有增量迁移，且CDB模式开启，且有多个容器数据库，则要保证这写可插拔的容器数据库处于打开状态，不然无法启动增量迁移。 注意必须用SYS用户执行 SELECT conid, name, openmode, restricted FROM v$pdbs; 以上查询结果中，除了SEED容器外，OPENMODE字段的值必须为READ WRITE。 6. 确认迁移对象中是否存在无主键表 如果勾选增量迁移，迁移对象中不能包含无主键表: 替换 YOURSCHEMANAME 为你的模式名 SELECT t.tablename FROM alltables t LEFT JOIN allconstraints c ON t.owner c.owner AND t.tablename c.tablename AND c.constrainttype 'P'WHERE t.owner ' 使用以上查询语句可以筛选出某个schema下的所有无主键表，将这些表排除于增量迁移之外。 7. 确认归档日志保留时间 如果勾选增量迁移，为了避免增量迁移过程中由于一些故障导致同步中断的情况，需要至少保留37天的归档日志来确保处理这些情况的窗口期。否则，可能导致无法将同步从故障中恢复。 RMAN> SHOW RETENTION POLICY; 8. 确认待迁移对象中是否包含触发器 如果将触发器作为结构的一部分，在DTS的调度逻辑上，触发器会先于全量迁移被迁移到TeleDB。这样可能会影响到全量迁移，导致数据不一致。 建议将触发器放到全量迁移之后，再新建一个迁移任务进行迁移。 9. 数据及业务信息统计 如果为非测试任务，需要在迁移之前统计业务以及迁移信息，方便进行迁移任务规划。 资源信息： 源库规格信息，例如4C8G + 500G + SSD 目标库磁盘信息，例如4C8G + 500G + SSD 网络情况，例：为测试环境纯内网传输，无复杂的网络拓补结构 数据信息： 总数据量，例如30GB 总库表数量，例：40个库，8000张表，2000个视图，5个触发器 每日新增数据量级，例如：一天的归档日志新增大概100GB 是否所有表都有主键，建议迁移前完善主键，提高性能，方便运维。如果存在无主键的表，则增量阶段源端对应表的增、删、改操作不会同步至目标端，可能导致数据不一致，请谨慎评估。 业务类： 数据迁移是否可停业务，例：能/不能 增量迁移情况，例：开启增量迁移，持续时间5天 可停业务时间长度，例：服务停机时间预计48小时 业务中是否存在百万级别的大事务，例：存在，涉及对表CLOUD.LOGS进行大事务操作，存在一个存储过程用不带where条件的delete语句定期清理该表。 操作步骤 1. 订购DTS数据迁移实例。 2. 进入实例配置页面。DTS实例创建成功后，进入【数据迁移】实例列表页面，上一步骤购买成功的实例在实例列表中显示状态为“待配置”，进入实例配置页面进行配置： 3. 配置源库及目标库信息。 1. 进入实例配置第一个步骤的【配置源库及目标库信息】页面，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。 2. 完成上述信息的填写后，单击源数据库和目标数据库的测试连接按钮进行数据库连接测试，检查数据库能否正常连接。 3. 注意 ORACLE如果要进行增量同步，不能使用SYS/SYSTEM系统用户。 4. 配置迁移对象及高级配置。 源库和目标库连通性测试成功后，点下一步按钮，进入实例配置第二个步骤的【配置迁移对象及高级配置】页面，在“源库对象”中选择要迁移的源库对象，选中后单击“>”按钮，将待迁移对象移动到“已选择对象”中。 5. 预检查和启动迁移。 完成迁移对象和高级配置后，单击“下一步预检查”，进入实例配置第三个步骤的【预检查】页面。预检查会检查如下列表信息，并给出检查结果，用户可以依据检查结果进行下一步操作。 检查内容 检查点 检查源库连通性 源库网络能够连通 检查目标库连通性 目标库网络能够连通 检查源库用户权限 若不包含增量，检查提供的源库账号是否具有以下权限: CREATE SESSION；CATALOGROLE、ANY DICTIONARY、待迁移表的select权限若包含增量，还需要检查以下权限：SET CONTAINER,FLASHBACK ANY TABLE,SELECT ANY TABLE,SELECTCATALOGROLE,EXECUTECATALOGROLE,SELECT ANY TRANSACTION,LOGMINING,CREATE TABLE,LOCK ANY TABLE,CREATE SEQUENCE,EXECUTE ON DBMSLOGMNR,EXECUTE ON DBMSLOGMNRD,SELECT ANY DICTIONARY,SELECT ON SYS.OBJ,SELECT ON SYS.COL,CREATE ANY TABLE,COMMENT ANY TABLE,DROP ANY TABLE 检查目标库用户权限 检查提供的目标库账号是否具有登录信息database下创建schema的权限。 检查目标库PostgreSql版本 目标库的PostgreSql版本是否不低于9.2 检查待迁移表是否存在主键 检查待迁移表是否都存在主键，只有全量迁移时，如果发现存在没有主键的表，将提出警告（无主键的表可能会导致数据不一致）；勾选了增量迁移，如果发现存在没有主键的表，预检查将不通过（增量迁移功能依赖主键） 检查待迁移表约束完整性 检查待迁移表依赖的表对象是否包含在待迁移对象中，若存在依赖的对象未被选择，检查不通过 检查源库最大连接数 检查源库最大连接数是否不小于300，若最大连接数小于300，给出告警 检查目标库最大连接数 检查目标库最大连接数是否不小于300，若最大连接数小于300，给出告警 检查同名对象存在性 检查目标库中是否存在和待迁移库同名的库（映射后），若存在，检查该库下面是否存在同名的表（映射后）。如果有，将提出警告。 检查源数据库Oracle的表字段的数据类型能否都迁移到目标库 待迁移表中不能存在Oracle的独有的字段类型，ROWID、UROWID、XMLTYPE、BFILE、SDOGEOMETRY等类型 检查源库对象是否仅大小写不同 迁移对象中是否包含仅大小写不同的对象时，预检查不通过 检查待迁移库名合法性 若待迁移库名中包含非法字符，检查不通过 检查待迁移表名合法性 若待迁移表名中包含非法字符，检查不通过 检查源库字符集是否为支持的字符集 源库字符集支持以下字符集：ZHS16GBK,AL32UTF8,UTF8,US7ASCII,WE8MSWIN1252若源库字符集不属于以上字符集，预检查将不通过 检查当前登录账号是否个人账号 勾选增量时，检查源库的迁移用户是否为个人账号，若账号为系统用户，检查不通过 检查源库是否开启归档日志 勾选增量时，检查源库是否开启归档日志，若未开启，检查不通过 检查源库是否开启补充日志 勾选增量时，检查源库是否开启补充日志，若未开启，检查不通过 如果预检查通过，可单击【预检查】页面底部的“启动迁移”按钮，开始迁移任务。或者直接单击”数据迁移“列表，返回数据迁移主界面，任务将显示为”未启动“状态。 勾选任务，单击 开始任务 ，任务将变为 运行中 ，直到全量迁移完成，或者进入增量迁移状态。

支持在线镜像制作和镜像共享。 预置镜像 训推服务预置了一些常用镜像，可以在创建任务时直接使用 自定义镜像 训推服务允许通过开发机和使用天翼云容器镜像服务来制作镜像，具体步骤如下： 使用开发机制作镜像 1. 启动在线制作环境：进入模型定制模块，选择模型开发，点击【JupyterLab】>【创建JupyterLab】或【VSCode】>【创建VSCode】，选择一个系统内置镜像，选择运行环境，提交后操作列点击启动 2. 镜像制作：等待启动成功，当创建的JupyterLab或VSCode的状态显示【运行中】后即可点击操作列【打开】，在开发环境中安装自己需要的软件和环境，退出，选中创建的JupyterLab或VSCode，操作列点【更多】>【制作镜像】，即可将容器中的操作环境打包成新的镜像，并出现在自定义镜像列表中，可参见模型开发制作镜像模块内容 从容器镜像服务导入 1. 登录天翼云容器镜像服务，在【同资源池】下，按需创建【个人版】或【企业版】，进入实例详情创建属于您自己的命名空间和镜像仓库。 2. 有了镜像仓库后，根据实例详情访问凭证中的指引通过公网地址将您的镜像上传至仓库中。 3. 进入训推服务平台镜像管理自定义镜像tab下，点击【从容器镜像导入】按钮，将您希望使用的镜像共享至训推服务平台，导入后您就可以在训推服务平台的自定义镜像中看到此镜像，在任务创建页面选择镜像时就可以使用该镜像。

本节主要介绍计费类问题 专业版引擎是完全免费吗？ 微服务引擎专业版是为用户免费体验的引擎（名称为“Cloud Service Engine”），可以体验所有产品能力，比如服务治理、配置管理等。引擎资源为所有租户共享，性能可能会受其他租户影响；最大可支持部署20个微服务应用实例，超过20个后将以按需计费方式收取服务费用。 专业版不支持升级到专享版。

适用场景 对Redis协议兼容性要求较高的场景 标准版主备实例完全兼容Redis协议，各业务可实现平滑迁移。 性能压力较小且需要支持数据高可用的场景 由于Redis的单线程机制，标准版实例不适用于QPS较大的场景，若性能在10万QPS内，且对数据高可用有一定要求，则可使用标准版主备实例。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云全站加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在全站加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给全站加速节点。 4. 全站加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与全站加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与全站加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国际标准证书、国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。

本文介绍如何进行查询配额用量、申请提升配额操作等管理配额的相关操作。 背景信息 服务配额是天翼云提供的用于集中管理天翼云服务配额的服务。目前服务配额已接入多个天翼云服务，包括共享带宽。如果您正在使用多个天翼云服务，希望在一个界面统一管理所有云服务的配额，推荐您使用服务配额。 通过配额中心查看配额 1. 登录服务配额控制台。 2. 进入网络区域。 3. 在服务列表页面，找到“虚拟私有云>共享带宽”。 4. 在右侧列表，您可以查看配额使用量等信息。 通过配额中心提升配额 1. 登录服务配额控制台。 2. 在页面右上角单击“申请扩大配额”。 选择所属产品和问题类型然后提交工单即可。

本小节介绍终端杀毒产品定义。 随着虚拟化及云计算的发展，企业环境逐步由物理环境转变为由物理环境、私有云及公有云混合的环境，传统内外网的网络边界消失了，特别是在提供多租户服务的公有云中，不同组织的网络数据在数据中心内部、甚至是在同一台物理主机上进行交换，传统的安全设备已经无法对其进行检测及防护。云计算环境下需要基于每个终端节点、并且每个节点具有相同安全防护等级的全新的安全防护模型。 天翼云终端杀毒（统一服务器安全管理系统）面向政企用户的以大数据技术为支撑、以可靠服务为保障，能够精确检测已知病毒木马、未知恶意代码，有效防御APT攻击，为政企事业单位提供终端病毒、漏洞管控能力。

本小节介绍终端杀毒产品定义。 随着虚拟化及云计算的发展，企业环境逐步由物理环境转变为由物理环境、私有云及公有云混合的环境，传统内外网的网络边界消失了，特别是在提供多租户服务的公有云中，不同组织的网络数据在数据中心内部、甚至是在同一台物理主机上进行交换，传统的安全设备已经无法对其进行检测及防护。云计算环境下需要基于每个终端节点、并且每个节点具有相同安全防护等级的全新的安全防护模型。 天翼云终端杀毒（统一服务器安全管理系统）面向政企用户的以大数据技术为支撑、以可靠服务为保障，能够精确检测已知病毒木马、未知恶意代码，有效防御APT攻击，为政企事业单位提供终端病毒、漏洞管控能力。

本页介绍了基于Java开发文档数据库服务应用程序的完整示例。 java import com.mongodb.MongoClient; import com.mongodb.MongoClientOptions; import com.mongodb.MongoCredential; import com.mongodb.ServerAddress; import com.mongodb.client.MongoClients; import com.mongodb.client.MongoCollection; import com.mongodb.client.MongoCursor; import com.mongodb.client.MongoDatabase; import com.mongodb.client.model.CreateCollectionOptions; import com.mongodb.client.model.Indexes; import org.bson.Document; import java.util.ArrayList; import java.util.List; import static com.mongodb.client.model.Filters.eq; public class MongoDBExample { public static void main(String[] args) { //用户名 String username ""; //数据库 String databaseName ""; //密码 String password ""; //连接地址 String host ""; //端口 int port 8030; // 创建MongoCredential对象 MongoCredential credential MongoCredential.createCredential(username, databaseName, password.toCharArray()); // 创建MongoClientOptions对象 MongoClientOptions options MongoClientOptions.builder() .retryWrites(true) .build(); // 创建MongoClient实例 MongoClient mongoClient new MongoClient(new ServerAddress(host, port), credential, options); //访问database MongoDatabase memberInfoDatabase mongoClient.getDatabase("MemberInfo"); //访问collection MongoCollection goldMemberCollection memberInfoDatabase.getCollection("goldmember"); //创建collection memberInfoDatabase.createCollection("testCollection", new CreateCollectionOptions().sizeInBytes(200000)); //插入数据 Document doc0 new Document("name", "万三") .append("age", 23) .append("sex", "male"); Document doc1 new Document("name", "刘亚") .append("age", 42) .append("sex", "male"); Document doc2 new Document("name", "王莹") .append("age", 22) .append("sex", "female"); List documents new ArrayList<>(); documents.add(doc0); documents.add(doc1); documents.add(doc2); goldMemberCollection.insertMany(documents); //删除数据 goldMemberCollection.deleteOne(eq("name", "刘亚")); //删除表 MongoCollection collection memberInfoDatabase.getCollection("test"); collection.drop(); //读数据 MongoCursor cursor (MongoCursor ) goldMemberCollection.find(); while (cursor.hasNext()) { Object result cursor.next(); } cursor.close(); //带过滤条件的查询 MongoCursor cursorCondition (MongoCursor )goldMemberCollection.find( new Document("name","zhangsan") .append("age", 5)); while (cursorCondition.hasNext()) { Object result cursorCondition.next(); } cursorCondition.close(); //运行命令 MongoClient mongoClientShell (MongoClient) MongoClients.create(); MongoDatabase database mongoClientShell.getDatabase("MemberInfo"); Document buildInfoResults database.runCommand(new Document("buildInfo", 1)); System.out.println(buildInfoResults.toJson()); Document collStatsResults database.runCommand(new Document("collStats", "restaurants")); System.out.println(collStatsResults.toJson()); //创建索引 MongoCollection collectionTest memberInfoDatabase.getCollection("goldmember"); collectionTest.createIndex(Indexes.ascending("age")); } }

本文介绍了云防火墙等保合规能力说明 检查项分类安全控制点风险等级 等保合规检查项 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络网络架构中 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 云防火墙提供访问控制机制和入侵防护能力，开启防护后能够自动阻断互联网与VPC之间的威胁访问，为用户提供自动的边界防护能力。 入侵防护 访问控制 安全区域边界边界防护高 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 入侵防护 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 入侵防护 安全区域边界入侵防范中 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 入侵防护 安全区域边界访问控制高 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 云防火墙提供默认拒绝所有通信的访问控制策略，只允许通行策略相关会话通信。 访问控制 安全区域边界访问控制中 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 云防火墙提供流量记录功能，能够记录所有防火墙的通信会话行为，可通过对防火墙网络通信判断访问规则的有效性，从而实现访问控制规则最小化。 访问控制 安全区域边界访问控制高 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 访问控制 安全区域边界访问控制中 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 支持根据FTP等会话的状态信息设置对会话的允许/拒绝访问能力，控制粒度为端口级。 访问控制 安全区域边界访问控制中 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 支持DNS等应用协议和下载等应用内容进行访问控制。 访问控制 安全区域边界安全审计高 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 云防火墙提供日志审计功能，可以记录所有流量日志、访问控制日志、入侵防护日志和操作日志。 日志审计 安全区域边界安全审计中 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 云防火墙提供日志记录事件功能，包括：时间、告警名称、攻击类型、源/目IP字段、等级等。 日志审计 安全区域边界安全审计中 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 云防火墙提供日志分析功能，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计 安全区域边界安全审计中 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 云防火墙提供日志分析功能，记录所有流量访问日志，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计

本节介绍了对象存储镜像导入的用户指南。 概述 对于使用自建Harbor存储容器镜像的用户，可以通过天翼云OOS迁移工具将镜像文件迁移至企业版镜像实例对象存储中，再通过镜像导入将对象存储中的镜像导入到企业版实例。 前置条件 已开通容器镜像服务企业版实例 自建Harbor使用对象存储存储镜像 操作步骤 迁移镜像文件 参考OOS数据迁移工具，将自建Harbor对象存储中的镜像文件迁移至企业版镜像仓库对象存储中。 创建对象存储镜像导入规则 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "实例管理" "镜像导入"，并点击页面中的创建导入规则按钮。 4. 填写导入规则名称，选择导入内容、源命名空间、目标命名空间并点击确定。 创建对象存储镜像导入任务 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "实例管理" "镜像导入"，选择镜像导入规则并点击立即执行按钮 查看对象存储镜像导入任务进度 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "实例管理" "镜像导入"，并点击页面中的导入任务。

使用数据库备份前需要先更改安全组。本章节介绍如何手动配置更改安全组。 背景说明 安全组是一个逻辑上的分组，为同一个虚拟私有云VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 当创建安全组时，需要用户添加对应的入方向和出方向访问规则，放通启用数据库备份需要的端口，以免数据库备份失败。 操作说明 使用数据库备份前需要先更改安全组。云主机备份为了您的网络安全考虑，在使用前未设置安全组入方向，需要您手动进行配置。 安全组的出方向需要设置允许100.125.0.0/16网段的165535端口，入方向需要设置允许100.125.0.0/16网段的5952659528端口。出方向规则默认为0.0.0.0/0，即数据报文全部放行。若未修改出方向默认规则，则无需重新设置。 操作步骤 步骤1、登录弹性云主机控制台。 1.登录管理控制台。 2.单击管理控制台右上角的，选择区域和项目。 3.选择“计算 > 弹性云主机”。 步骤2、单击左侧导航树中的“弹性云主机”，在服务器界面选择目标服务器。进入目标服务器详情。 步骤3、选择“安全组”页签，选择目标安全组，弹性云服务器界面单击列表右侧“更改安全组规则”。 步骤4、在安全组界面，选择“入方向规则”页签，单击“添加规则”，弹出“添加入方向规则”对话框。选择“TCP”协议，在“端口”中输入“5952659528”，在源地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成入方向规则设置。 步骤5、选择“出方向规则”页签，单击“添加规则”，弹出“添加出方向规则”对话框。选择“TCP”协议，在“端口”中输入“165535”，在目的地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成出方向规则设置。

背景介绍 天翼云部分资源池同一个VPC内支持创建多个NAT网关，可以通过不同的NAT网关转发去往不同目的地址的流量，也可以使用不同的自定义路由表关联不同的子网使得不同的子网使用不同的NAT网关访问公网，实现更精细化地公网网络的访问管理。 天翼云同一个VPC支持多NAT网关功能仅部分资源池上线，支持资源池以控制台能力为准。 本次我们以不同子网关联不同路由为例。 VPC创建两个子网（子网1，子网2），同时创建两张自定义路由表（路由表1），分别关联两个子网。 两个路由表配置不同的公网路由，指向不同的NAT网关。 两个NAT网关配置对应的SNAT规则使得对应的子网可以访问公网。 准备工作 环境准备 已创建VPC，具体操作参见虚拟私有云－创建 VPC 、子网搭建私有网络。 操作步骤 步骤一：购买弹性IP 步骤二：购买NAT网关 步骤三：添加路由规则 步骤四：配置SNAT规则 步骤一：购买弹性IP 步骤说明 弹性IP主要用来绑定NAT网关的SNA规则，以实现访问公网的功能。此处我们需要购买2个弹性IP。 操作步骤 1. 登录天翼云控制台，选择“网络>弹性IP”。 2. 进入弹性IP控制台，点击右上角“申请弹性IP”。 3. 按需求选择带宽规格，购买数量选择2，单击“下一步”。 4. 确定规格，选择我已阅读并同意相关协议，单击“确认下单”，完成弹性IP创建。 步骤二：购买NAT网关

本文介绍ECI实例概述。 本文主要介绍弹性容器实例ECI Pod的主要功能以及使用限制。 前提条件 已开通并授权云容器引擎。 已登录弹性容器实例控制台开通ECI服务。 Kubernetes应用限制 借助Kubernetes社区的Virtual Kubelet技术，天翼云ECI可以完美连接到Kubernetes，实现真正意义上的无缝连接。ECI实例并不会在一个集中式的真实节点上运行，而是分布在整个天翼云的资源池中。由于公共云的安全性和虚拟节点本身的限制，ECI目前还不支持Kubernetes中的一些功能，如DaemonSet。具体功能限制请参见下表： 不支持的功能 说明 HostPath 允许将宿主机（Node）上的文件或目录挂载到Pod中 HostNetWork 允许Pod使用宿主机的网络命名空间，而不是使用Kubernetes的网络隔离 DaemonSet 用于确保每个集群节点上自动运行一个指定的Pod副本 Privileged权限 允许容器几乎拥有宿主机级别的权限 typeNodePort的Service 通过在集群的节点上暴露一个静态端口，使得外部可以通过指定IP地址和该端口访问服务 核心功能 功能项 说明 安全隔离 提供虚拟机级别的安全和资源隔离能力，每个容器实例都运行在独占内核中，不与其它负载和Pod共享基础设施资源。同时针对容器运行环境进行了深度优化，具备比虚拟机更快的启动速度和运行效率 CPU/Memory资源或规格配置 ECI Pod默认使用按需计费模式进行费用收取。支持指定CPU和Memory资源或者指定ECS规格创建实例 镜像拉取与缓存 镜像拉取：ECI Pod在每次启动时，会自动从远程仓库获取容器镜像。对于公共镜像的获取，建议配置VPC的NAT网关或为ECI Pod配置弹性公网IP (EIP)。为优化镜像拉取效率，我们推荐您使用天翼云容器镜像服务，加速镜像的下载 镜像缓存：ECI提供镜像缓存功能，镜像缓存是为了加速拉取镜像以减少ECI启动时间而设计的。镜像拉取是容器实例启动的主要耗时，而制作镜像缓存可以通过预先获取、存储和管理已经拉取的镜像，实现对容器实例启动时间的显著减少。考虑到网络和镜像大小等因素的影响，构建镜像缓存可以通过连续使用相同的镜像实现快速部署，从而加速容器实例的启动并提高系统的可用性 存储 支持使用多种存储方式： CSI：CSI插件是目前Kubernetes社区推荐的插件实现方案，Serverless集群所提供的 CSI 存储插件与社区 CSI 特性兼容。该插件由以下两个组件组成：CSIPlugin：提供挂载和卸载数据卷的能力，Serverless集群默认支持云硬盘和弹性文件服务两种存储服务；CSIProvisioner：提供自动挂载数据卷的能力 PV/PVC：PV提供长期存储资源，而PVC允许用户以抽象的方式请求这些存储资源，实现存储的分配和管理 EmptyDir：该数据卷是一种用于容器实例中临时存放数据的目录，以便于容器之间共享数据。但是需要注意的是，当容器实例被删除时，EmptyDir数据卷中的数据也会被清空 网络 ECI Pod默认采用Host网络模式，并会占用交换机vSwitch的一个弹性网卡ENI资源。在Kubernetes集群环境中，ECI Pod与云主机节点上的Pod可以相互访问。具体方法如下： 创建类型为LoadBalancer的Service对象，并与ECI Pod进行关联；也支持Service同时关联ECI Pod和云主机上的Pod 创建类型为ClusterIP的Service对象，ECI Pod可以直接访问集群中的clusterIP地址 配置相应的 NAT 网关或弹性公网 EIP，并为 ECI Pod绑定指定EIP，或者将 NAT 网关绑定到 ECI 实例所属的 VPC 网络中 日志采集 通过安装日志采集服务插件，一般情况无需再额外部署sidecar容器

本文帮助您了解如何查看对象存储相关的监控图表数据并设置告警规则,约定在一些特殊情况出现时向用户发送告警通知。 操作场景 ZOS支持数据指标监控和事件监控功能。 您可以通过云监控的数据指标监控获得用户维度和桶维度的各种数据指标信息，包括支持查看各个存储类型（标准、低频、归档）和冗余类型（单AZ、多AZ）下的细颗粒度统计数据。 您可以通过云监控的事件监控获得包含各类重要事件或对云资源的操作事件。 约束与限制 云监控服务不需要开通，会在用户创建资源ZOS后自动启动。 云监控支持的资源池请参见产品能力地图。 数据指标监控 存储桶维度的监控 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择杭州7。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表选择需要查看监控的bucket，并点击该bucket右侧的"监控"。 注意 对于公共资源池中的地域，如华东华东1，您可以在天翼云官网首页点击产品迁移及管理管理工具云监控管理控制台，直接在云监控产品中，选择对象存储监控，通过切换地域的方式，来查看地域内各项监控指标。 在监控数据界面中，可查看该存储桶的各项监控指标，分别为总存储容量、总对象数量、本月公网流出流量、本月请求次数、公网流出流量、公网流入流量、内网流出流量、内网流入流量、平均使用带宽、公网请求次数、内网请求次数、有效请求率、数据取回流量、操作分类平均延时、操作分类最大延时、成功请求操作分类。

仪表板是将日志审计(原生版)获取到的数据源数据按事件分类,通过不同的维度和统计方式展示分析结果。 操作步骤 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 仪表板”，进入“仪表板”页面。 3. 选择事件。 4. 在右上角选择时间范围。 说明 时间选择器中的“自定义”仅能选择最近30天内。 5. 单击时间选择器右侧的刷新按钮。 系统将根据筛选条件获取数据并更新视图。 说明 内置的仪表板视图不能修改。 相关操作 刷新：触发数据更新，系统会重新获取数据并更新视图，同时保持当前时间范围设置不变。 重置：时间选择器恢复至默认的"最近1周"状态，并自动刷新数据视图。

本节介绍了:云容器引擎发布 Kubernetes 1.25版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.25 Changelog 1. PodSecurityPolicy 弃用，Pod Security Admission 升级为稳定版本，迁移指引可参见从 PodSecurityPolicy迁移到内置的 PodSecurity Admission控制器。 2. 临时容器升级为稳定版本，临时容器是在 Pod中存在有限时长的容器。临时容器可用于排障，特别是检查另一个容器的时候，该容器已奔溃无法使用 kubectl exec进入。 3. 对 cgroups v2的支持达到稳定状态，cgroups v2相对于 cgroups v1 进行了多项改进，更多信息请参阅cgroup v2。 4. Windows 支持得到了改进。 5. SeccompDefault 升级为 Beta，清参阅教程使用 seccomp限制容器系统调用。 6. 网络策略（NetworkPolicy）中的 endPort GA，该特性支持设置端口范围。请注意，endPort依赖网络策略提供商支持。 7. CSI 临时卷升级到稳定状态，该功能允许在 Pod spec中为临时用例直接指定 CSI卷。它们可用于注入配置、密钥、身份标志、变量等类似信息。 8. CRD 校验表达式语言升级到 Beta版，该特性允许使用通用表示式语言（CEL）声明式地验证自定义资源。更多信息见[校验规则指南](

操作连接 操作连接是安全编排流程中，每个插件节点需要使用到的连接域名和鉴权参数。用于在安全编排的流程执行过程中，每个插件节点运行时，传入需要连接的域名信息，以及在访问该域名时，需要使用到的用户鉴权信息，如用户名/密码、账号AK/SK等。 操作连接与插件的关系 每个插件在运行过程中，需要通过域名调用的方式访问其他云服务或者三方服务，调用过程中需要鉴权，因此，在插件的登录凭证参数中会定义需要的域名参数（Endpoint）和认证参数（用户名/密码、账号AK/SK等）。操作连接则是配置插件登录凭证的参数值，流程中每个插件节点绑定不同的操作连接，支持相同插件的不同节点访问不同的服务。 实例监控 当剧本/流程执行完成后，实例管理列表中会生成剧本/流程实例，即实例监控。实例监控列表每条记录是一个实例，可呈现实例的历史实例任务列表，以及历史实例任务的运行情况。

数据库名称 操作系统类型 版本范围 SQLServer 2008/2012/2019 Windows Windows Server 2008, 2008 R2, 2012, 2012 R2, 2019 for x8664 SQLServer 2014/2016/EE Windows Windows Server 2014, 2014 R2, 2016 Datacenter for x8664 MySQL 5.5/5.6/5.7 Red Hat Red Hat Enterprise Linux 6, 7 for x8664 SUSE SUSE Linux Enterprise Server 11, 12, 15 SP1, 15 SP2 for x8664 CentOS CentOS 6, 7 for x8664 Euler Euler OS 2.2, 2.3 for x8664 HANA 1.0/2.0 SUSE SUSE Linux Enterprise Server 12 for x8664

本文介绍子网ACL实例的相关功能。 子网ACL概述 子网ACL(Access Control List, ACL)是虚拟私有云网络VPC(Virtual Private Cloud, VPC)中的网络访问控制功能。可以通过自定义设置网络ACL规则，实现对子网中虚拟机实例流量的访问控制。 使用限制： 一个子网ACL实例可以关联多个子网，但一个子网同一时间只能关联一个子网 ACL。 关联子网后，子网ACL默认拒绝所有出入子网的流量。 默认放通同一子网内的流量及预留子网。 创建子网ACL 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，点击左上角【创建子网ACL】。 3. 在创建子网ACL页面，配置以下参数，完成创建。 参数说明： 参数 说明 名称 输入子网ACL的名称。 描述 输入子网ACL的描述。 查看子网ACL 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，进入子网ACL列表，点击任意实例查看详情信息。 关联子网 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，进入子网ACL列表。 3. 在子网ACL列表页点击【关联子网】进入到子网ACL详情页面。 4. 在【关联子网】页签，点击【关联子网】。 5. 勾选要关联的子网，点击【绑定】。 6. 查看子网ACL详情，显示关联的子网已完成绑定。 说明： 已被网络ACL关联的子网将不会展示在其他ACL关联子网的弹窗中，如您需要更换ACL与子网之间的绑定关系，请先解除已绑定的ACL和子网，再重新关联。 一个子网同一时间仅支持一个ACL，一个ACL支持关联多个子网。