本小节介绍SSL VPN的控制台管理。 进入控制台管理界面 1. 在云主机控制台查看开通的云主机和相关的弹性IP。 2. 找到SSL VPN云主机实例，点击实例名称。点击本实例的安全组，新建入方向规则放通TCP4430和TCP443端口，授权对象0.0.0.0/0（如果TCP443端口修改成了其他端口，请放通修改后的端口），否则SSL VPN的Web控制台管理页面和SSL VPN客户端页面会打不开。 1. 点击云主机的实例名称。 2. 选择“安全组”页签，点击“更改安全组”。 3. 点击“管理安全组”。 4. 点击“快速添加规则”。 5. 添加TCP4430和TCP443，默认授权对象就是0.0.0.0/0（4430不建议对any开放）。 3. 电脑打开浏览器，地址栏输入 VPN的Web控制台管理页面。 默认管理员用户名：admin。 初始密码：请提工单咨询（请尽快修改初始密码，使用初始密码可能存在安全风险）。

接口介绍 通过接口进行恢复点更换 接口约束 1、云主机存在保护组中 2、云容灾保护组存在 3、恢复点是否存在 URI POST /v4/disaster/replacerestoredisaster 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 参考请求示例 pairID 是 String 保护组ID 参考请求示例 ecsID 是 String 云主机ID 参考请求示例 restoreID 是 String 恢复点ID 参考请求示例 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 :: statusCode 是 Integer 返回状态码(800为成功，900为失败) 参考响应示例 message 是 String 成功或失败时的描述，一般为英文描述 参考响应示例 description 是 String 成功或失败时的描述，一般为中文描述 参考响应示例 returnObj 否 Object 成功时返回对象 returnObj 表 errorCode 否 String 业务细分码，为product.module.code三段式码 参考状态码 error 否 String 业务细分码，为product.module.code三段式大驼峰码 参考状态码 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 status 是 String 更换恢复点成功 参考响应示例 msg 是 String 更换恢复点成功描述 参考响应示例

此小节介绍云堡垒机产品优势。 HTML5一站式管理 无需安装特定客户端，无需安装任何插件，任意终端的主流浏览器，包括移动端APP浏览器登录，用户随时随地打开即可进行运维。 系统HTML5管理界面简洁易用，集中管理用户、资源和权限，支持批量创建用户、批量导入资源、批量授权运维、批量登录资源等高效运维管理方式。 操作指令精准拦截 针对资源敏感操作进行二次复核，系统预置标准Linux字符命令库或自定义命令，对运维操作指令和脚本的精准拦截，并可通过异步“动态授权”，实现对敏感操作的动态管控，防止误操作或恶意操作的发生。 核心资源二次授权 借鉴银行金库授权机制，针对重要资源的运维权限设置多人授权，若需登录此类资源，需多位授权候选人进行“二次授权”，加强对核心资源数据的保护，提升数据安全防护能力和管理能力，保障核心资产数据的绝对安全。 应用发布扩展 针对数据库类、Web应用类、客户端程序类等不同应用资源，提供统一访问入口，并可提高对应用操作的图形化审计。 数据库运维审计 针对DB2、MySQL、SQL Server和Oracle等云数据库，支持统一资源运维管理，以及SSO单点登录工具一键登录数据库，提供对数据库操作的全程记录，实现对云数据库的操作指令进行解析，100%还原操作指令。

本文介绍云搜索服务需要掌握的基本概念。 实例 云搜索服务是以实例为单位进行组织，一个实例代表一个独立运行的搜索服务，与集群维度对应，由多个相同规格的云主机节点构成。 索引（Index） 用于存储Elasticsearch或OpenSearch的数据，是一个或多个分片分组在一起的逻辑空间，类似于传统数据库，存储具有相同结构的文档。 文档（Document） Elasticsearch或OpenSearch存储的实体，是可以被索引的基本单位，相当于关系型数据库中的行，代表一个具体的实体记录。 分片（Shard） 分片是索引的逻辑分区，用于水平分割数据，提高存储和查询的可扩展性。当您创建一个索引时，您可以根据实际情况指定分片的数量。每个分片托管在实例中的任意一个节点中，且每个分片本身是一个独立的、全功能的“索引”。 分片的数量只能在创建索引前指定，且在索引创建成功后无法修改。 副本（Replica） 副本是实际存储索引分片的一个副本，可以理解为备分片。副本的存在可以预防单节点故障。使用过程中，您可以根据业务情况增加或减少副本数量。 映射（Mapping） 用来定义字段的类型，可以根据数据自动创建。 字段（Field） 组成文档的最小单位，代表特定属性或数据项，每个字段都有一个数据类型和相关设置。

本章节主要介绍云搜索服务的集群状态和存储容量状态说明。 在云搜索服务管理控制台中，直接展现当前云搜索服务中已有集群的状态以及集群存储容量状态。 集群状态说明 状态 说明 可用 表示集群服务正常运行中，并为用户提供服务。 异常 表示集群创建失败或不可用。 如果此集群处于“不可用”状态，支持删除集群操作或将集群正常状态时创建的快照恢复至其他集群。无法执行扩容集群、访问Kibana、创建快照或将快照恢复至此集群的操作。 建议不要执行导入数据的操作，避免数据丢失。您可以查看监控或重启集群，但根据集群故障情况不同这些操作可能执行失败，当执行失败时，请及时联系管理员。 处理中 表示集群正处在重启中、扩容中、备份中或恢复中。 创建中 表示集群正处在创建过程中。 集群存储容量状态 状态 说明 空闲 表示集群中所有节点存储容量使用率小于50%。 警告 表示集群中任一节点存储容量使用率大于 等于50%，小于80%。 危险 表示集群中任一节点存储容量使用率大于等于80%。建议增加集群的存储容量，以便能够正常使用集群进行数据搜索或分析。 异常 表示未能查询到集群的存储容量信息。例如，集群运行故障，状态为“异常”时，此集群的存储容量状态为“异常”。

本文介绍了弹性IP的基本概念,以便于您更好地理解弹性IP服务。 弹性IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云主机、物理机、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 一个弹性IP只能绑定一个云资源使用，且弹性IP和云资源必须在同一个区域，不支持跨区域使用弹性IP。 图通过EIP访问公网

参数 描述 例子 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、"" Test01 区域 所属位置信息 中国内地 基础带宽 带宽大小 5Mbps 网关形态 可选择硬件版、软件版 软件版 设备类型 vCPE vCPE 使用方式 可选择单机、双机备份 单机 购买数量 购买智能网关的个数 1 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理 default

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 41f64827f25f468595ffa3a5deb5d15d backupPolicyID 是 String 备份计划ID 31f777827f25f595ffa3deb5d15d isCloud 否 Boolean 是否是云上资源(默认true)，true：弹性云主机，false：本地客户主机。推荐使用sourceType参数，该参数后续即将下线 true sourceType 否 String 产品服务类型(默认CTECS)，CTECS：弹性云主机，CTDPS：裸金属物理机，CTLS：本地客户主机 CTDPS

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 41f64827f25f468595ffa3a5deb5d15d backupPolicyID 是 String 备份计划ID 31f777827f25f595ffa3deb5d15d isCloud 否 Boolean 是否是云上资源(默认true)，true：弹性云主机，false：本地客户主机。推荐使用sourceType参数，该参数后续即将下线 true sourceType 否 String 产品服务类型(默认CTECS)，CTECS：弹性云主机，CTDPS：裸金属物理机，CTLS：本地客户主机 CTDPS

企业官网，个人网站 搭建Web网站时，您可同时选择天翼云弹性云主机和域名服务。在云主机实例上部署应用系统，同时您可通过域名产品页面或登陆控制中心注册需要的域名，实现网站的快速部署。天翼云提供中英文等几十种域名产品供用户选择，同时天翼云的域名产品在注册时直连注册管理机构API，可以实现实时的注册和查询服务。

Web应用防火墙（边缘云版）智能负载均衡技术能够自动分配访问流量，保障业务的高可用性和自动容灾能力，开通智能负载均衡能力后，可以自助配置静态文件缓存在云安全节点，实现低延时的访问，达到对网站的一个加速效果。 glmoscodeexplain 如何开通智能负载均衡功能？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如何使用智能负载均衡功能？ 具体功能介绍和使用请参考配置缓存功能介绍：配置缓存 注意 暂时不支持单独退订智能负载均衡，如果需要单独退订，请

本文介绍了触发器的用户指南。 概述 触发器功能支持镜像版本更新时自动更新使用该镜像的云容器引擎工作负载，从而简化工作负载的发布流程。 前置条件 已开通容器镜像服务企业版实例 已开通云容器引擎集群 创建触发器 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "容器镜像" "镜像仓库"，选择需要创建触发器的镜像仓库。 4. 在触发器标签页点击创建触发器按钮。 5. 在创建页面填写触发器相关的参数进行创建 参数 说明 触发器名称 触发器的名称。 Tag匹配条件 通过正则表达式设置规则匹配的镜像版本。使用方式示例如下： 匹配全部: . 匹配多个版本: v1v2v3 匹配前缀: v1. 集群 触发器关联的云容器引擎集群。 命名空间 触发器关联的命名空间。 工作负载类型 触发器关联的工作负载类型，包括：无状态，有状态，守护进程和定时任务。 工作负载 触发器关联的工作负载。 容器 触发器关联的容器。 镜像更新方式 触发器更新容器镜像的方式，包括通过Tag更新和通过Digest更新。当容器的镜像拉取策略为 IfNotPresent 时，由于云容器引擎节点本地存在镜像缓存，此时推送相同Tag的镜像将无法通过Tag触发容器拉取新镜像，因此推荐通过Digest更新。 当容器的镜像拉取策略为 Always 时，推荐通过Tag更新。 6. 创建完成后，可在列表页面查看创建的触发器。 7. 操作栏的编辑按钮可以修改触发器。禁用/启用按钮可以修改触发器的启用状态。删除按钮可以删除触发器。查看触发记录按钮可以查看触发器的触发记录。每当新推送的镜像命中触发器的Tag匹配条件时，则会新增一条触发记录，并且云容器引擎工作负载的镜像会自动更新。

一、获取AKSK 1. 登录CDN+ IAM，地址：vip.ctcdn.cn 。 2. 在个人中心AccessKey管理页面，点击新增按键。 3. 选择对应的工作区并确定，此时你可以查看到AccessKey已生成。 4. 选中密钥，点击查看。为保障安全，需要填写手机验证码。验证通过后，点击显示SK，即可查看详情，并支持复制和发送邮箱操作。 二、在httpclient的请求头增加3个字段，分别是eopdate、ctyuneoprequestid、EopAuthorization。 1.构造eopdate 。该字段的格式是“yyyymmddTHHMMSSZ”，即：年月日T时分秒Z”，示例：eopdate:20211221T163614Z。 2.构造ctyuneoprequestid 。该字段是uuid，32位随机数。示例：27cfe4dce64045f692ca492ca73e8680 3.构造EopAuthorization 。按以下步骤进行： 步骤一：构造代签字符串sigture 。 sigture 需要进行签名的Header排序后的组合列表+ " n " + 排序的query + " n " +toHex(sha256(原封的body)) 1）需要进行签名的Header排序后的组合列表：将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n ”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。 注意 注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。 2）排序的query：query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 3）toHex(sha256(原封的body))：传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 示例1： 假设query 为空 ，原封body内容：{"productcode": "008", "taggroup": "Yppgroup1702950925", "tag": "1702950925yPPtag1"} 需要进行签名的Header排序后的组合列表为： 1）ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680 2）eopdate:20220525T160752Z 3）body参数做sha256摘要后转十六进制为：59fc6acc115298cbac86cb188f995f7804ff6633a6d6e87acab7a9131bdabc66 则sigture为： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680neopdate:20220525T160752Znnn59fc6acc115298cbac86cb188f995f7804ff6633a6d6e87acab7a9131bdabc66 示例2： 假设query 为：aa1&bb2 ，原封body内容为空 需要进行签名的Header排序后的组合列表为： 1）ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680 2）eopdate:20220525T160752Z 3、body参数做sha256摘要后转十六进制为：e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 则sigture为： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680neopdate:20220525T160930Znnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 步骤二：构造动态秘钥kdate 。 1）eopdate：yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) 2）Ktime：使用eopdate作为数据，sk作为密钥，算出ktime。 Ktime hmacSha256(eopdate,sk) 3）kAk：使用ak作为数据，ktime作为密钥，算出kAk。 kAk hmacsha256(ak,ktime) 4）kdate：使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 kdate hmacsha256(eopdate,kAk) 步骤三： 构造Signature 。使用kdate作为密钥、sigture作为数据，将其得到的结果进行base64编码得出Signature Signature构造签名的方法： 1）hmacsha256(sigture,kdate) 2）将上一步的结果进行base64加密得出Signature 步骤四：构造EopAuthorization 。 1）Headers：将需要进行签名的请求头字段以 “headername”的形式、以“;”作为间隔符、以英文字母表作为headername的排序依据将它们拼接起来。 假设需要将ctyuneoprequestid、eopdate进行签名，则Headers ctyuneoprequestid;eopdate。 2）EopAuthorization值为：ak Headersxxx Signaturexxx。 注意 ak、Headers、Signature之间以空格隔开。 例如：EopAuthorization:ak Headersctyuneoprequestid;eopdate SignatureZq0Wodhwa7ShCKhQWy49MoOm3r6/tB1rBTlp+vjRkSY 如果需要进行签名的Header不止默认的ctyuneoprequestid和eopdate，那么需要在httpclient的请求头部中加上，并且EopAuthorization中也需要增加。 三、 签名示例 { "host": "cdnapiglobal.ctapi.ctyun.cn", "Eopdate": "20211221T163614Z", "ctyuneoprequestid": "27cfe4dce64045f692ca492ca73e8680", "EopAuthorization": "e3e86563b0548543c128bcd2ea998167 Headersctyuneoprequestid;eopdate SignatureZq0Wodhwa7ShCKhQWy49MoOm3r6/tB1rBTlp+vjRkSY", "ContentType": "application/json;charsetUTF8" }

限制项 限制说明 创建专有宿主机的用户限制 完成天翼云账号注册与实名认证。 专有宿主机及其上云主机的计费方式 专有宿主机：支持包年包月与按量两种计费方式。 其上云主机：专有宿主机上云主机的计算资源（vCPU和内存）不计费，与云主机一同创建的云盘、IP等资源按量计费。 专有宿主机上云主机的配额 专有宿主机上云主机的配额与共享宿主机上云主机的配额均占用“云主机服务配额”，若云主机服务配额不足，请前往服务配额中心申请扩大配额。

本节介绍如何进入数据分类分级制台,及如何使用数据分类分级。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“数据分类分级”，跳转到数据分类分级控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 数据安全专区”，进入数据分类分级控制台。 使用数据分类分级 请参见数据分类分级。

本节介绍如何进入数据分类分级制台,及如何使用数据分类分级。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“数据分类分级”，跳转到数据分类分级控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 数据安全专区”，进入数据分类分级控制台。 使用数据分类分级 请参见数据分类分级。

限制项 限制说明 创建专有宿主机的用户限制 完成天翼云账号注册与实名认证。 专有宿主机及其上云主机的计费方式 专有宿主机：支持包年包月与按量两种计费方式。 其上云主机：专有宿主机上云主机的计算资源（vCPU和内存）不计费，与云主机一同创建的云盘、IP等资源按量计费。 专有宿主机上云主机的配额 专有宿主机上云主机的配额与共享宿主机上云主机的配额均占用“云主机服务配额”，若云主机服务配额不足，请前往服务配额中心申请扩大配额。

本文通过图文说明证书删除的操作步骤。 功能介绍 当证书过期或者不再使用时，可通过DDoS高防（边缘云版）控制台删除证书。 注意事项 证书删除的前提是未绑定域名，因此在删除证书前，需要先解除证书与域名的绑定关系。 操作步骤 1、登录DDoS高防（边缘云版）控制台。 2、在【证书管理】页面，选定目标证书，在操作列单击【删除】。 3、控制台会弹窗（如下图），客户进行二次确认后，单击【确定】即可删除。

本文通过图文说明证书查看路径和证书详情。 功能介绍 客户完成证书新增后，可通过Web应用防火墙（边缘云版）控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、证书品牌、到期时间、创建时间、已绑定域名等。 操作步骤 1、登录Web应用防火墙（边缘云版）控制台。 2、在【证书管理】页面，可以看到证书列表，含历史添加过的所有证书。 3、选定目标证书，在操作列单击【详情】，即可查看证书详情信息。

本页面介绍云数据库ClickHouse的计划重启时间设置。 功能简介 该功能允许用户预约云数据库ClickHouse集群内所有ClickHouse节点和Zookeeper节点的重启时间，以规避业务高峰期。 操作步骤 1. 登录控制台,在实例列表页面选择对应实例，点击“更多”下的“编辑重启时间”。 2. 选择预约日期和具体时间，或者取消重启计划。 3. 确认无误后点击“确认”提交。 4. 回到实例列表页面检查编辑结果。 注意事项 如果取消计划重启时间时与计划重启时间的时间间隔过近，有取消失败的可能。 重启期间禁止写操作,读操作可能受影响。

项目 描述 编辑 点击“编辑”按钮，可以修改iSCSI目标的“最大会话数”和“回收策略”。 编辑 最大会话数：[0, 1024]，默认值为1。0表示客户端无法发现该iSCSI目标。 编辑 回收策略： 删除：当iSCSI目标关联的卷全部删除后，iSCSI目标自动删除。 保留：当iSCSI目标关联的卷全部删除后，iSCSI目标仍然保留。 目标名称 iSCSI目标名称。 说明 如果iSCSI目标处于删除中，iSCSI目标名称后面会标注状态“删除中”。 最大会话数 iSCSI目标下每个IQN允许建立的最大会话数。 注意 如果多个客户端连接同一Target IQN，客户端可以同时读，但不能同写。 iSCSI目标 IQN名称：iSCSI目标的IQN名称。 iSCSI目标 服务器ID：IQN所在的服务器ID。 iSCSI目标 IP:Port：iSCSI目标对应的IP地址和端口。 iSCSI目标 iSCSI目标门户IP：iSCSI目标门户IP和端口。 迁移 点击“迁移”，可以修改iSCSI目标对应的服务器ID（仅集群版支持）。 注意 目前仅支持强制迁移，强制迁移会断开客户端连接，请谨慎操作。 执行迁移Target之前，需要保证集群处于working状态，同时目的服务器需要处于正常已连接状态。 如果被迁移的iSCSI Target已被卷连接，且该卷已经被客户端挂载，迁移iSCSI Target前，需要客户端与原iSCSI target IQN断开；迁移后，确保原iSCSI target IQN不能被发现，客户端重新连接迁移后的iSCSI target IQN。 迁移完成后，请检查并调整target允许访问列表配置，确保符合访问控制要求。 关联的卷 关联的卷名称。括号内容表示卷编号。 回收策略 iSCSI目标的回收策略： 删除：当iSCSI目标关联的卷全部删除后，iSCSI目标自动删除。 保留：当iSCSI目标关联的卷全部删除后，iSCSI目标仍然保留。

本文帮助您了解对象存储防盗链相关的操作步骤。 操作场景 您可以通过ZOS控制台的防盗链功能设置Referer白名单和黑名单，防止您存储于ZOS的数据被其他人盗链而产生额外的费用。 约束与限制 Referer规则如下： Referer可以设置多个，多个Referer换行隔开。 HTTP请求头中的Referer参数用于指定发出请求的资源的URL。该参数可以包含通配符（）和问号（?），通配符可以代替0个或多个字符，而问号可以代替单个字符。 下载文件时，如果Referer头域包含http或https，则必须将Referer设置包含http或https。 空Referer表示HTTP或HTTPS请求中，不带Referer字段或Referer字段为空。如果不允许空Referer，则只有HTTP或HTTPS header中包含Referer字段的请求才能访问ZOS资源。 白名单Referer为空，黑名单Referer不空时，允许所有黑名单中指定网站以外的其他网站的请求访问目标桶中的数据。若对象是私有，黑名单中指定网站以外的其他网站的请求访问时需校验AKSK，有权限的账号才能访问；若对象是公共读，则不校验AKSK权限。 白名单Referer不为空，黑名单Referer为空或不空时，允许在白名单且不在黑名单中的网站的请求访问目标桶中的数据。当请求来源是白名单referer，不管对象是私有还是公共读，无需校验AKSK就能访问。 同时配置白名单和黑名单，当白名单Referer与黑名单Referer内容有交集时，交集部分Referer被禁止。当请求是白名单中非交集的部分，不管对象是私有还是公共读，无需校验AKSK权限就能访问。 黑名单Referer与白名单Referer都为空时，默认允许所有网站的请求访问目标桶中的数据。若对象是私有，需校验AKSK，有权限的账号才能访问；若对象是公共读，则不校验AKSK权限。

本文为您介绍如何统计目录中的对象数量和大小。 操作场景 如果您需要统计桶中目录所占用的容量大小及其所含对象数量，可以使用目录统计功能。 使用方式 一、 使用ZOS控制台进行目录统计 1. 在对象存储桶列表，点击Bucket名称进入"概览"页面。 2. 选择“文件管理”页签，当前页面将分页显示桶内的所有目录和文件。 3. 选择您需要统计的目录，点击"操作"列的"统计"。 4. 弹出"目录统计"窗口后，统计任务启动。统计对象数量较多的目录时，可能需要一定的时间，请您耐心等待。在统计结束前，请不要关闭该窗口，否则统计会中断。 5. "正在统计目录"的提示语消失，表示统计任务已结束，目录的统计数据将会显示在窗口上。 6. 统计完成后，目录的容量大小和数据生成时间也会在文件列表页显示。为保证时效性，该数据在一天后会自动清空。如需再次统计，请重新点击统计。 注意 1. 统计对象数量较多的目录时，可能需要一定的时间，请您耐心等待。 2. 控制台仅支持统计对象数量在10万以内的目录。统计到的对象数量超过10万后，将给出提示并中断统计。如需统计对象数量在10万以上的目录，请参考使用方式二。 3. 目录统计过程中，如有频繁的对象上传或删除等操作，包括通过生命周期策略后台执行的删除操作，可能会影响统计结果。此时，可重新执行统计操作。 二、 使用SDK进行目录统计 1. 请首先参考SDK开发者文档中的ZOS对象存储PythonSDK使用手册.pdf，安装SDK运行所需要的环境。 2. 参考以下示例代码，完成目录的统计。"用户基本信息"中的内容请进行相应替换。 plaintext import boto3

此功能处于公测阶段，公测阶段可免费使用 敏感数据的自动鉴别和分类，自动在大量数据中发现并评估敏感数据的运用情况。它基于识别引擎，对结构化数据（RDS）和非结构化数据（OBS）进行扫描、鉴别、定级，解决了数据的“盲点”问题，为进一步的安全防护提供了依据。 新版本的敏感数据鉴别采用定级分类模板，这样对扫描后的数据就可以进行定级和分类，方便了同类异常事件的查看和处理。可以在新版本的敏感数据鉴别任务页面左上角点击“进入旧版本的敏感数据鉴别页面”，实现新旧版本敏感数据鉴别的切换。 使用条件 对于MRS中的HIVE数据，在敏感数据识别时，当前仅支持“匹配类型”为“规则匹配”、“规则”为“内容 > 包含”的方式。 使用流程 功能介绍 功能 描述 相关操作 识别规则 拥有内置的规则可供使用，同时可以自定义新的规则，将零散的数据按照识别规则进行分类，是创建识别模板必须的配置项。 新建自定义规则 级别配置 拥有内置的级别可供使用，同时可以自定义新的级别，将每条规则进行分级。 新增分级 识别模板 拥有内置的模板供使用，同时可以自定义新的分类分级模板，将多个零散的规则进行统一分级分类管理，是创建识别任务必须的配置项。 新增识别模板 识别任务 数据安全中心会根据创建的识别任务，在选定的OBS桶、数据库、大数据或者MRS的指定范围中，自动识别敏感数据并生成识别数据和结果。 新建敏感数据识别任务 查看识别结果 识别任务扫描完成后，可在识别任务列表查看识别结果，根据识别结果处理异常事件。 查看识别结果

本文主要介绍了DRDS全局序列管理页面相关内容，包括列表展示、新增序列等操作。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 单击【schema管理】栏目，进入目标实例的schema管理页面。 5. 单击【schema管理】导航栏中的【全局序列管理】，可进入全局序列管理页面。可以查看全局序列列表，对全局序列进行查看DDL和删除操作，修改序列当前值，新增序列。 新增序列 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 单击【schema管理】栏目，进入目标实例的schema管理页面。 5. 单击【schema管理】导航栏中的【全局序列管理】，可进入全局序列管理页面。 6. 单击【全局序列管理】页面左上角的【新增序列】，进入新增序列页面。 7. 在弹框中输入序列名称，名称以英文前缀开头，且必须输入非中文字符；输入起始值和最大值，单击确定，可以新增全局序列。 注意 此处的步长不是指的序列的间隔，而是DRDS节点缓存的序列值数量。 实际序列步长是1。 全局序列的步长固定为1000，最大值必须大于等于起始值+步长量。

签名过程 下图说明了签名计算过程。 下表描述了图中显示的功能。用户需要为这些功能实现代码。 功能 描述 :: Lowercase() 将字符串转换为小写。 Hex() 小写十六进制编码。 SHA256Hash() 安全散列算法（SHA）加密散列函数。 HMACSHA256() 使用提供的签名密钥的SHA256算法计算HMAC。这是最终的签名。 Trim() 删除任何前导或尾随空格。 UriEncode() URI编码每个字节。UriEncode（）必须强制执行以下规则： URI编码除了下面字符之外的每个字节：'A' 'Z'，'a' 'z'，'0' '9'，' '，'.'，''和'〜'。 空格字符是保留字符，必须编码为“％20”（而不是“+”）。 每个URI编码字节由'％'和两位十六进制值组成。 十六进制值中的字母必须为大写，例如“％1A”。 除了文件名之外，对正斜杠字符'/'进行编码。例如，如果文件名称为photos/Jan/sample.jpg，则不对键名称中的正斜杠进行编码。 说明 建议您编写自己的自定义UriEncode函数，以确保您的编码可以正常工作。 以下是Java中的示例UriEncode（）函数。 public static String UriEncode(CharSequence input, boolean encodeSlash) { StringBuilder result new StringBuilder(); for (int i 0; i 'A' && ch 'a' && ch '0' && ch < '9') ch '' ch '' ch '~' ch '.') { result.append(ch); } else if (ch '/') { result.append(encodeSlash ? "%2F" : ch); } else { result.append(toHexUTF8(ch)); } } return result.toString(); } 使用参数的签名过程与使用请求头的签名过程类似，如下所示： 由于创建预签名URL的时候，并不知道有效负载的内容，所以设置常量UNSIGNEDPAYLOAD。 规范查询字符串（Canonical Query String）必须包括除了XAmzSignature之外的所有上述查询字符串。 规范标头必须包括HTTP Host标头。如果用户想包含xamz请求头，这些标头都将参与签名计算。用户可以选择其他的请求头是否参与签名计算。安全起见，尽可能多的请求头参与签名计算。

本章节为您介绍人员监管相关内容。 人员监管模块可查看人员的总体风险情况，对人员、账号、部门等进行管理。 人员总体风险 1.在数据安全运营中心上方导航栏选择“人员监管”进入人员监管页面。 2.在左侧导航栏选择“人员看板 > 人员总体风险”即可进入人员总体风险管理页面。 人员总体风险对日志、告警中的人员访问行为进行监测，实时监控和管理人员的风险状况，对人员的风险评分进行排名；展示活跃用户数、最近一周活跃用户数、最近一周高风险用户数和日志总数的概览信息，呈现用户风险排行、最近一周趋势变化以及不同风险类型分布情况，并支持展示风险Top5用户列表。 页面展示项 展示项介绍 活跃用户 显示最近一个月活跃的人员数量。 最近一周活跃用户数 显示最近一周活跃的人员数量。 最近一周高风险用户数 显示最近一周存在过高风险的人员数量。 日志总数 显示总的原始日志数量。 用户风险排行 显示根据用户风险进行排行； 显示用户的风险评分、最新访问时间； 单击用户卡片可打开查看该人员用户的档案。 关注用户 显示人员管理中关注程度等于重要的用户的风险评分情况点击用户卡片可打开查看该人员用户的档案。 离职用户 显示人员管理中人员状态等于离职的用户的风险评分情况点击用户卡片可打开查看该人员用户的档案。 最近一周趋势图 显示最近 7 天的每日高风险人员数、每日活跃人员数的趋势变化折线图。 用户风险分布图 显示当天的无风险、低风险、中风险、高风险人员数量分布情况。 风险类型分布图 显示当天的风险类型分布TOP5，及单风险的TOP5 人员姓名，点击用户姓名可打开查看该人员用户的档案。

介绍鉴权管理具体步骤。 功能说明 用户在连接文件系统时，需要获取鉴权信息进行相应的鉴权操作。 产品控制台系统鉴权信息管理，用户可通过控制台完成相关操作。 根据资源池不同，操作有所不用，请根据具体的资源池参考相关操作。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 以下操作除天津资源池2区、天津资源池3区外适用 CIFS资源通过资源连接时的账号密码进行控制，在创建后可以通过控制台对密码进行修改，操作步骤如下： 1.登录媒体存储控制台，进入文件空间界面，找到需要修改CIFS密码的存储文件空间，点击【修改CIFS密码】。 2.根据弹窗指引，输入原密码、新密码并确认密码，点击【保存】，完成修改CIFS密码操作。 以下操作适用于天津资源池2区、天津资源池3区 NFS协议 1. 进入文件系统列表操作栏，选择对应NFS文件空间，点击【 管理 】进入页面。 2. 进入页面后，选择对应的挂载点，点击【 管理权限组 】。 3. 在弹窗页面，对权限和用户客户端的映射更改，然后保存点击【确认】。 用户映射说明如下表： 选项 映射说明 nosquash 使用root用户访问文件系统映射为root用户。 rootsquash 以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash 无论以何种用户身份访问，均映射为nfsnobody用户。 用户映射说明配置建议如下： nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点。 选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。 若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。

内置应用发现规则 AOM提供了SysRule和DefaultRule两个内置的发现规则，ServiceStage提供了servicestagedefaultrule内置发现规则，内置的发现规则会在所有主机上执行，包括后续新增的主机。三个内置发现规则的优先级为：SysRule>servicestagedefaultrule>DefaultRule。规则内容如下： SysRule （不能停用） 组件名优先取命令行“Dapmtier”的值，其次取环境变量“PAASAPPNAME”的值，最后取环境变量“JAVATOOLOPTIONS”中“Dapmtier”的值。 应用名优先取命令行“Dapmapplication”的值，其次取环境变量“PAASMONITORINGGROUP”的值，最后取环境变量“JAVATOOLOPTIONS”中“Dapmapplication”的值。 如下示例所示，则组件名为atpsdemo，应用名为atpdtest。 PAASMONITORINGGROUPatpdtest PAASAPPNAMEatpsdemo JAVATOOLOPTIONSjavaagent:/opt/oss/servicemgr/ICAgent/pinpoint/pinpointbootstrap.jar Dapmapplicationatpdtest Dapmtieratpsdemo servicestagedefaultrule （可停用） 探测环境变量中包含"CASAPPLICATIONNAME"，"CASCOMPONENTNAME"，"CASENVIRONMENTNAME"的进程。 获取环境变量名为"CASCOMPONENTNAME"对应的值拼接起来作为组件名称。 获取环境变量名为"CASAPPLICATIONNAME"对应的值拼接起来作为应用名称。 DefaultRule （可停用） 如果进程的“COMMAND”列的值为“java”，则组件名依次按照优先级从命令行中的jar包名、命令行中主类名、命令行中第一个非开头的关键字获取，应用名使用默认值unknownapplicationname。 如果进程的“COMMAND”列的值为“python”，则组件名取命令行中第一个py/pyc脚本名，应用名使用默认值unknownapplicationname。 如果进程的“COMMAND”列的值为“node”，则组件名取命令行中第一个js脚本名，应用名使用默认值unknownapplicationname。

本章节主要介绍配置HBase/CloudTable源端参数。 作业中源连接为配置HBase连接或配置CloudTable连接时，即从MRS HBase、FusionInsight HBase、Apache HBase或者CloudTable导出数据时，源端作业参数如下表所示。 说明 CloudTable或HBase作为源端时，CDM会读取表的首行数据作为字段列表样例，如果首行数据未包含该表的所有字段，用户需要自己手工添加字段。 由于HBase的无Schema技术特点，CDM无法获知数据类型，如果数据内容是使用二进制格式存储的，CDM会无法解析。 从HBase/CloudTable导出数据时，由于HBase/CloudTable是无Schema的存储系统，CDM要求源端数值型字段是以字符串格式存储，而不能是二进制格式，例如数值100需存储格式是字符串“100”，不能是二进制“01100100”。 表 HBase/CloudTable作为源端时的作业参数 参数名 说明 取值样例 表名 导出数据的HBase表名。 该参数支持配置为时间宏变量，且一个路径名中可以有多个宏定义变量。使用时间宏变量和定时任务配合，可以实现定期同步新增数据。 TBL2 列族 可选参数，导出数据所属的列族。 CF1&CF2 切分Rowkey 可选参数，选择是否拆分Rowkey，默认为“否”。 是 Rowkey分隔符 可选参数，用于拆分Rowkey的分隔符，若不设置则不切分。 l 起始时间 可选参数，起始时间（包含该值），格式为“yyyyMMdd HH:mm:ss”，表示只抽取该时间及以后的数据。 该参数支持配置为时间宏变量，使用时间宏变量和定时任务配合，可以实现定期同步新增数据。 20190101 20:00:00 终止时间 可选参数，终止时间（不包含该值），格式为“yyyyMMdd HH:mm:ss”，表示只抽取该时间以前的数据。 该参数支持配置为时间宏变量。 20190201 20:00:00

对于DAYU User 账号权限的IAM用户而言，DataArts Studio工作空间角色决定了其在工作空间内的权限。如果您需要与DAYU User账号权限的IAM用户协同使用DataArts Studio实例，请参考 创建IAM用户并授予DataArts Studio权限的操作准备必要的IAM用户，然后参考本章节将该用户添加为工作空间成员并配置工作空间角色。 工作空间角色决定了该用户在工作空间内的权限，当前有管理员、开发者、部署者、运维者和访客这几种预置角色可被分配，您也可以参考（可选）自定义工作空间角色自定义角色。各角色权限的详细说明请参见产品介绍中的“DataArts Studio权限列表”章节。 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。

查看DataNode JVM内存使用情况和当前配置 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS”。 5.“基本信息”区域，单击“NameNode(主)”，显示HDFS WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 6.在HDFS WebUI，单击“DataNodes”页签，查看所有告警DataNode节点的Block数量。 7.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置 > 全部配置”。在“搜索”中，输入“GCOPTS”，确定当前“HDFS>DataNode”的“GCOPTS”内存参数。 对系统进行调整 8.根据步骤6中的Block数量和步骤7中DataNode配置的堆内存参数，检查当前配置的内存是否不合理。 是，执行步骤9。 否，执行步骤11。 说明 单个DataNode实例平均Block数量和DataNode内存的对应关系参考值如下： 单个DataNode实例平均Block数量达到2,000,000，DataNode的JVM参数参考值为：Xms6G Xmx6G XX:NewSize512M XX:MaxNewSize512M。 单个DataNode实例平均Block数量达到5,000,000，DataNode的JVM参数参考值为：Xms12G Xmx12G XX:NewSize1G XX:MaxNewSize1G。 单个DataNode实例平均Block数量和DataNode内存的对应关系参考值如下： 单个DataNode实例平均Block数量达到2,000,000，DataNode的JVM参数参考值为：Xms6G Xmx6G XX:NewSize512M XX:MaxNewSize512M。 单个DataNode实例平均Block数量达到5,000,000，DataNode的JVM参数参考值为：Xms12G Xmx12G XX:NewSize1G XX:MaxNewSize1G。 9.按照Block数量和内存对应关系，对DataNode的堆内存参数进行修改，并单击“保存”，选择“概览 > 更多 > 重启服务”进行重启。 10.检查本告警是否恢复。 是，处理完毕。 否，执行步骤11。