本文介绍如何降低延时。 背景信息 在视频直播场景下，主播与用户之间延时越短，更容易进行互动。在此背景下，客户通常希望视频直播的分发延时越短越好，如果需要降低直播延时，可参考如下方式进行性能优化。 前提说明 影响直播延时的因素通常包含：GOP大小、主播推流器编码、第一公里传输、CDN加速、视频处理、最后一公里传输、使用协议、播放器buffer、播放器解码渲染等。 优化方式一：GOP设置 GOP（Group Of Picture）是视频的关键帧的间隔，是视频图像编码器和解码器存取的基本单位。GOP由I帧开始，后面跟随着一组B帧和P帧，直到下一个I帧之前的帧为一个GOP。当用户第一次观看的时候，播放器需要找到I帧才能开始播放，一般情况下直播服务器会发送缓存中最新的I帧给播放器。 因此，建议将直播推流端GOP设置为1~2s。缩短GOP的时长，减少播放器加载GOP的耗时来降低直播延时。 优化方式二：选择合适的播放协议 天翼云提供FLV、HLS、RTMP三种播放协议。 1. FLV 由Adobe公司推出，将流媒体数据封装成FLV格式，通过HTTP协议传输给客户端，格式简单，只是在大块的视频帧和音视频头部加入一些标记头信息。支持使用HTTPS加密传输，支持Android移动端和iOS移动端。 示例： 2. RTMP 由Adobe公司推出，传输的过程中消息会被拆分为更小的消息块（Chunk）单元，再将分割后的消息块通过TCP协议传输。由于其复杂的拆包和组包过程，可能导致数据传输不稳定。 示例：rtmp://domain/app/streamname 3. HLS 由Apple公司推出，基于HTTP的流媒体传输协议。将视频分成多个连续的视频小分片，然后用m3u8索引表进行管理。一般播放器会在缓存34个分片后才启动播放，假设一个分片为3s，因此总延时至少约9s~12s。但HLS可以直接在浏览器中播放。 示例： 因此，HTTPFLV和RTMP延时较小，适合低延时播放的场景。HLS延时较大但兼容性好，适合对延时不敏感但需要更多播放终端可以播放的场景。

本节介绍云电脑的投屏功能。 产品说明 天翼云电脑投屏功能支持全平台，实现任意设备间的轻松投屏。无需繁琐的数据线连接，也无需耗时的匹配投屏器，您只需简单操作，就能像呼吸一样自然地将云电脑内容无缝分享到大屏幕上。这一功能极大地提升了工作效率，让工作流程变得更加简洁高效。 投屏功能突破了平台和设备的限制，实现了云电脑内容在手机、电脑、电视和平板等多设备间的多屏互动。支持Windows、Android、MacOS、iOS、Linux系统，覆盖了大屏电视、会议大屏、个人电脑、移动设备以及瘦终端等多种设备类型。 使用条件 投屏发起端和接收端，安装天翼云电脑客户端2.5及以上版本。 投屏接收端 投屏接收端续开启投屏功能，生成投屏码。 操作步骤： 1.打开投屏接收端设备的天翼云电脑客户端，在登录页面点击“设置”入口； 2.选择“设置”“投屏设置”，开启投屏模式功能； 3.可对投屏设备的名称进行设定，且可设置需本机统一后才开始投屏； 4.开启投屏模式后，在登录页面，切换至“投屏模式”，即可查看投屏接收端的投屏码和投屏二维码。

本文为您介绍配置部分防护策略时，系统支持设置的匹配字段。 在进行云WAF的防护配置时，CC防护、精准访问控制、白名单、BOT防护均涉及定义规则匹配条件。本文具体描述了规则匹配条件中支持使用的字段及其释义。 什么是匹配条件、匹配动作 在进行云WAF的防护配置时，您可以自定义CC防护规则、自定义精准访问策略、自定义白名单规则、自定义BOT防护规则，自定义规则由匹配条件与匹配动作构成。在创建规则时，通过设置匹配字段和相应的匹配内容定义匹配条件，并针对符合匹配条件的访问请求设置相应的动作。 匹配条件 匹配条件包含匹配字段、逻辑符、匹配内容。每一条自定义规则中最多允许设置多个匹配条件组合，且各个条件间是“与”的逻辑关系，即访问请求必须同时满足所有匹配条件才算命中该规则，并执行相应的匹配动作。 匹配动作 Web基础防护白名单规则中的匹配动作表示不检测模块，其他自定义防护策略的匹配动作表示处置动作，具体配置方式请参见各防护模块配置说明。 支持匹配的字段 匹配字段 适用的逻辑符 字段描述 请求参数值 包含、相等、正则匹配 请求的参数value，包括query和form，如/?p123中的123 请求参数名 包含、相等、正则匹配 请求的参数key，包括query和form，如/?p123中的p Cookie 包含、相等、正则匹配、统计次数、统计个数 请求的Cookie值 请求路径 包含、相等、正则匹配、统计次数、统计个数 请求的路径，不包含域名和参数，未解码 请求URI 包含、相等、正则匹配、统计次数、统计个数 请求的URI，带参数 请求头值 包含、相等、正则匹配 请求header的值 请求头名 包含、相等、正则匹配 请求header的名字 请求方法 包含、相等、正则匹配、统计次数、统计个数 请求方法 请求大小 大于等于、小于等于 请求的大小 请求Host 包含、相等、正则匹配、统计次数、统计个数 请求Host头的值 请求referer 头 包含、相等、正则匹配、统计次数、统计个数 请求referer头的值 请求UserAgent 包含、相等、正则匹配、统计次数、统计个数 请求UserAgent 请求体 包含、相等、正则匹配、统计次数 请求体 请求端口 相等、统计次数、统计个数 请求的端口 源IP 属于、不属于 请求来源IP

在服务开发、服务上线前，您需要创建一个环境，本章节介绍环境管理相关内容 概述 在服务开发、服务上线前，您需要创建一个环境。一个环境可以导入包括云容器引擎、ECS、注册配置中心、弹性负载均衡、云原生网关、关系数据库、分布式缓存、分布式消息等资源。 环境列表 左侧导航栏，选择环境管理，可以查看当前资源池下环境列表。通过上方选择环境类型可以筛选出对应类型的环境列表。也可输入环境名称，模糊匹配对应名称的环境。 环境创建 左侧导航栏，选择环境管理，在环境列表左上方点击创建环境按钮。 环境名称：输入合法环境名称。 环境编码：输入环境名称后自动带出，可手动进行修改。 环境类型：选择对应的环境类型。 资源池：选择资源池。 VPC：选择环境对应的VPC，没有VPC可点击创建虚拟私有云按钮进行创建。 可用区：选择当前环境对应的可用区，可多选。每个可用区下会自动创建一个部署单元，后续发布应用选择部署单元后，会匹配对应的可用区，将应用调度到对应可用区的节点。 企业项目：选择对应的企业项目。 输入以上信息后，点击保存按钮，会弹出授权微服务云应用平台创建VPCE的弹窗，VPCE为打通网络组件所需，需授权创建才能保证应用功能正常。 环境详情 左侧导航栏，选择环境管理，点击环境名称，进入到环境详情页面。在环境详情页面展示了VPC、可用区、应用实例数、资源数、资源列表、部署单元等信息。

参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 效果 允许 策略内容 被授权用户 授权用户：匿名用户 用户策略：包含以上用户 策略内容 资源 资源范围：同时选择当前桶和桶内对象 资源策略：包含以上资源 策略内容 动作 选择动作：Get 和List 操作策略：包含以上动作 策略内容 条件 条件运算符：IpAddress 键：SourceIp 值： 如果ECS使用公网DNS，取值为：ECS的弹性IP地址 如果ECS使用天翼云内网DNS，取值为：100.64.0.0/10,214.0.0.0/7,ECS的私有IP地址 说明 取值需要同时配置三个IP地址（IP地址段），之间用英文逗号（,）隔开。 其中，100网段和214网段为ECS内网访问OBS的网

本文主要介绍如何搭建后端服务。 在ECS实例上部署Nginx，编辑HTML页面，使访问ECS01时返回一个标题为“Welcome to ELB test page one!”的页面，访问ECS02时返回一个标题为“Welcome to ELB test page two!”的页面。 1. 登录弹性云主机。 2. 安装nginx。 a) 使用wget命令，下载对应当前操作系统版本的Nginx安装包。此处以CentOS 7.6版本的操作系统为例。 wget b) 执行以下命令，建立Nginx的yum仓库。此处以CentOS 7.6版本的操作系统为例。 rpm ivh nginxreleasecentos70.el7.ngx.noarch.rpm c) 执行以下命令，安装Nginx。 yum y install nginx d) 执行以下命令，启动Nginx并设置开机启动。 systemctl start nginx systemctl enable nginx e) 在任意终端使用浏览器访问“ 3. 修改ECS实例ECS01的html页面。 Nginx的默认根目录是“/usr/share/nginx/html”，修改“index.html”页面，用来标识到ECS01的访问。 a) 执行以下命令打开文件“index.html”。 vim /usr/share/nginx/html/index.html b) 按i键进入编辑模式。 c) 修改打开的“index.html”文件。 修改文件内容，涉及内容修改部分如下所示： ... Welcome to ELB test page one! This page is used to test the ELB ! ELB01 ELB test (page one)! ELB test (page one)! ELB test (page one)! d) 按Esc键退出编辑模式，并输入:wq保存后退出。 4. 修改ECS实例ECS02的html页面。 Nginx的默认根目录是“/usr/share/nginx/html”，修改“index.html”页面，用来标识到ECS02的访问。 a) 执行以下命令打开文件“index.html”。 vim /usr/share/nginx/html/index.html b) 按i键进入编辑模式。 c) 修改打开的“index.html”文件。 修改文件内容，涉及内容修改部分如下所示： ... Welcome to ELB test page two! This page is used to test the ELB ! ELB02 ELB test (page two)! ELB test (page two)! ELB test (page two)! d) 按Esc键退出编辑模式，并输入:wq保存后退出。 5. 使用浏览器分别访问“ 如果页面显示修改后的html页面，说明nginx部署成功。

模板名称 被授权用户 资源范围 模板动作 只读模式 待指定 系统自动指定为已选对象，无需修改 允许指定用户对当前对象执行以下动作： GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） RestoreObject（恢复归档存储对象） 读写模式 待指定 系统自动指定为已选对象，无需修改 允许指定用户对当前对象执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） PutObjectAcl（设置对象ACL） RestoreObject（恢复归档存储对象） 公共读 匿名用户（表示所有互联网用户） 系统自动指定为已选对象，无需修改 允许匿名用户（所有互联网用户）对当前对象执行以下动作： GetObject（获取对象内容、获取对象元数据） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） 公共读写 匿名用户（表示所有互联网用户） 系统自动指定为已选对象，无需修改 允许匿名用户（所有互联网用户）对当前对象执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） PutObjectAcl（设置对象ACL）GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL）

本小节介绍等保咨询服务每个阶段的输出内容。 以下工作说明为完整的等保咨询工作内容，具体实施过程以项目客户实际测评情况进行调整。如出现省略的阶段环节，服务费用不进行减免。 阶段 项目活动 工作内容 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍整体服务工作 第一阶段：咨询服务启动 等保测评技术指导、讲解 测评内容介绍 第一阶段：咨询服务启动 等保测评技术指导、讲解 确认保密管理内容 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍风险管理措施 第一阶段：咨询服务启动 等保测评技术指导、讲解 讲解等保要求细则 第一阶段：咨询服务启动 等保测评技术指导、讲解 输出《等保测评技术指导》 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 依据等级保护要求，对客户系统进行安全自评估，进行差距分析 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全物理环境 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全通信网络 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全区域边界 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全计算环境 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 差距分析 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 输出《差距分析评估》 第三阶段：整改建议 （仅标准版提供） 根据差距分析，提供整改建议 差距分析整理，提供差距建议，输出《差距整改方案》

本章介绍通过公网使用弹性云主机连接云数据库GaussDB 实例。 准备工作 云数据库GaussDB 提供gsql工具帮助您在命令行下连接数据库，您需要提前创建一台弹性云主机用于安装gsql工具。具体请参见《弹性云主机用户指南》。 须知 操作系统需要选择Euler操作系统。gsql支持的操作系统版本如下： X86：EulerOS V2.0SP5。 绑定弹性公网IP 如果您想要通过公网访问数据库实例，那么您需要为数据库实例绑定弹性公网IP，具体操作请参考绑定和解绑弹性公网IP。 设置安全组规则 在访问数据库前，您需要将访问数据库的IP地址，或者IP段加入安全组入方向的访问规则，操作请参见设置安全组规则。 远程连接数据库 步骤 1 登录申请的弹性云主机。 步骤 2 在申请的弹性云主机上，上传客户端工具包并配置gsql的执行环境变量。 1. 以root用户登录客户端机器。 2. 创建“/tmp/tools”目录。 mkdir /tmp/tools 3. 获取GaussDB软件包并解压。 unzip GaussDBopengaussclienttools.zip 4. 根据申请的弹性云主机的操作系统架构进入不同目录，获取“GaussDBKernelxxxEULER64bitgsql.tar.gz”，并上传到申请的弹性云主机“/tmp/tools”路径下。 说明 软件包相对位置为安装时所放位置，根据实际情况填写。 5. 解压文件。 cd /tmp/tools tar zxvf GaussDBKernelV500R001C00EULER64bitgsql.tar.gz 6. 设置环境变量。 打开“~/.bashrc”文件。 vi ~/.bashrc 在其中输入如下内容后，单击“ESC”退出编辑模式，使用“:wq!”命令保存并退出。 export PATH/tmp/tools/bin:$PATH export LDLIBRARYPATH/tmp/tools/lib:$LDLIBRARYPATH 使环境变量配置生效。 source ~/.bashrc 步骤 2 执行如下指令，根据提示输入密码，连接数据库。 数据库创建成功后，会默认生成名称为postgres的数据库，此处以postgres库为例。 gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: postgres为需要连接的数据库名称，10.0.0.0为实例绑定的公网IP地址，root为登录数据库的用户名，8000为实例的端口号。

采集配置 在使用主机接入完成日志接入时，采集配置的具体配置如下： 1. 采集配置名称：自定义采集配置名称，长度范围为1到64个字符，只支持输入英文、数字、中文、中划线、下划线以及小数点，且不能以小数点、下划线开头或以小数点结尾。 说明 导入旧版配置：将旧版主机接入配置导入到新版日志接入中。 若是新安装云日志服务的场景，页面没有显示“导入旧版配置”，则表示不需要导入旧版配置，直接新建配置即可。 若是升级云日志服务的场景，页面显示“导入旧版配置”，若需要旧版配置里的主机日志路径，可以选择导入旧版配置，或者直接新建配置。 2. 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 采集路径支持递归路径，表示递归5层目录。 示例：采集路径配置为 /var/logs/ /a.log，日志匹配如下： /var/logs/1/a.log /var/logs/1/2/a.log /var/logs/1/2/3/a.log /var/logs/1/2/3/4/a.log /var/logs/1/2/3/4/5/a.log 说明 以上示例中的/1/2/3/4/5/，表示/var/logs目录中，往里递归的5个目录层级，在这5个目录层级中只要存在a.log，都能进行日志匹配。 采集路径中只能出现一次，不能出现两个及以上。正确示例：/var/logs//a.log；错误示例：/opt/test//log/。 采集路径中第一个层级不允许为（避免误采集系统文件），错误示例：//test。 − 采集路径支持模糊匹配，匹配目录或文件名中的任何字符。 说明 如果配置了C:windowssystem32类似的日志采集路径，但无法采集日志，请尝试打开WAF物理防火墙后重新配置。 示例1：采集路径配置为 /var/logs//a.log，表示/var/logs/目录下，任何一个目录中存在a.log，都能进行日志匹配，例如： /var/logs/1/a.log /var/logs/2/a.log 示例2：采集路径配置为 /var/logs/service/a.log，日志匹配示例： /var/logs/service1/a.log /var/logs/service2/a.log 示例3：采集路径配置为 /var/logs/service/a.log，日志匹配示例： /var/logs/service/a1.log /var/logs/service/a2.log − 采集路径如果配置的是目录，示例：/var/logs/，则只采集目录下后缀为“.log”、“.trace”和“.out”的文件。 如果配置的是文件名，则直接采集对应文件，只支持内容是文本格式的文件。可以通过file i 文件名命令，查询文件格式。 说明 请注意您的敏感信息是否在收集范围内。 目前只支持采集安装在ECS（主机）实例的日志。 日志采集路径不能重复配置，即相同主机的同一个日志采集路径不能重复配置，否则可能会导致日志采集异常。 相同主机的同一个日志采集路径，如果在AOM进行了配置，则不能在LTS重复配置。 配置采集的文件最后修改时间和当前时间差如果已超过12小时，则不会采集。 3. 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。指定按目录过滤，可过滤掉该目录下的所有文件。 目录和文件名支持完全匹配，也支持模糊匹配，具体可参考路径配置内容进行设置。 说明 当设置的黑名单与配置的采集路径重复或者有重合时，优先过滤掉黑名单设置的文件。 4. 采集Windows事件日志：当选择Windows主机采集日志时，需要开启“采集Windows事件日志”，并且可以设置“日志类型”、“首次采集时间偏移量”、“事件等级”来过滤采集您所需要的日志内容。 5. 日志格式、日志时间具体说明如下： 日志采集信息 名称 说明 日志格式 单行日志：采集的日志文件中，如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据，则选择单行日志。 多行日志：采集的日志中包含像java异常的日志，如果您希望多行异常的日志显示为一条日志，正常的日志则每一行都显示为一条单独的日志数据，则选择多行日志，方便您查看日志并且定位问题。 日志时间 系统时间：表示系统当前时间，默认为日志采集时间，每条日志的行首显示日志的采集时间。 说明 日志采集时间：ICAgent采集日志，并且发送到云日志服务的时间。 日志打印时间：系统产生并打印日志的时间。ICAgent采集日志并发送日志到云日志平台的频率为1秒钟。 采集日志时间限制：系统时间的前后24小时内。 时间通配符：用日志打印时间来标识一条日志数据，通过时间通配符来匹配日志，每条日志的行首显示日志的打印时间。 如果日志中的时间格式为：20190101 23:59:59.011，时间通配符应该填写为：YYYYMMDD hh:mm:ss.SSS。 如果日志中的时间格式为：1911 23:59:59.011，时间通配符应该填写为：YYMD hh:mm:ss.SSS。 说明 如果日志中不存在年份信息，则云日志会自动补齐年份数据为当前年份数据。 填写实例 YY year (19) YYYY year (2019) M month (1) MM month (01) D day (1) DD day (01) hh hours (23) mm minutes (59) ss seconds (59) SSS millisecond（999） hpm hours (03PM) h:mmpm hours:minutes (03:04PM) h:mm:sspm hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100) hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00) 分行模式 日志格式选择多行日志时，需要选择分行模式，分行模式选择“日志时间”时，是以时间通配符来划分多行日志；当选择“正则模式”时，则以正则表达式划分多行日志。 正则表达式 此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。 说明 时间通配和正则表达式均是从每行日志的开头进行严格匹配，如果匹配不上，则会默认使用系统时间上报，这样可能会和文件内容中的时间不一致。如果没有特殊需求，建议使用单行日志系统时间模式即可。

参数 是否必填 参数类型 说明 示例 下级对象 method 是 Array of Strings 发送方式 本参数表示发送方式，取值范围： 1.email：邮箱 2.sms：短信 3.voice：语音 token 是 String token 1411668ec8c13f57472576d5d1603226 subject 否 String 主题 method包含email时：该字段为邮件主题 method包含voice时：该字段为语音播报内容 webhookURL 否 Array of Strings webhook推送url [' content 是 String 发送内容 method包含email时：该字段为邮件内容 method包含voice时：该字段为非空任意值 method包含sms时：该字段为短信内容 webhookURL非空时：该字段为webhook发送内容

设置灰度规则并引入流量 金丝雀提供两种灰度规则，分别是按比例路由和按内容路由，按比例路由指的是将指定比例的流量路由到灰度应用，按内容路由是指针对请求头、请求参数或请求体中的内容做匹配，将满足匹配规则的流量路由到灰度应用。 按比例路由 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 金丝雀，点击引入流量。 5.设置灰度应用的流量比例。 按内容路由 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 金丝雀，点击引入流量。 5.设置灰度应用的内容规则。 按内容灰度参数说明： 参数 说明 框架类型 Spring Cloud/Dubbo。 Path Spring Cloud为接口路径，Dubbo为接口。 条件模式 满足一个条件，或满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否链路传递 代表开启全链路流控。

CCE集群权限是基于IAM系统策略 和自定义策略的授权，可以通过用户组功能实现IAM用户的授权，如何授权请参见设置集群权限。 注意：集群权限仅针对与集群相关的资源（如集群、节点等）有效，您必须确保同时配置了设置命名空间权限，才能有操作Kubernetes资源（如工作负载、Service等）的权限。 系统策略 IAM中预置的CCE系统策略当前包含CCE FullAccess 和CCE ReadOnlyAccess两种策略，分别支持的细粒度操作（Action）权限如下： CCE FullAccess策略主要权限 操作（Action） Action详情 说明 cce:: cce:cluster:create 创建集群 cce:: cce:cluster:delete 删除集群 cce:: cce:cluster:update 更新集群，如后续允许集群支持RBAC，调度参数更新等 cce:: cce:cluster:upgrade 升级集群 cce:: cce:cluster:start 唤醒集群 cce:: cce:cluster:stop 休眠集群 cce:: cce:cluster:list 查询集群列表 cce:: cce:cluster:get 查询集群详情 cce:: cce:node:create 添加节点 cce:: cce:node:delete 删除节点/批量删除节点 cce:: cce:node:update 更新节点，如更新节点名称 cce:: cce:node:get 查询节点详情 cce:: cce:node:list 查询节点列表 cce:: cce:nodepool:create 创建节点池 cce:: cce:nodepool:delete 删除节点池 cce:: cce:nodepool:update 更新节点池信息 cce:: cce:nodepool:get 获取节点池 cce:: cce:nodepool:list 列出集群的所有节点池 cce:: cce:release:create 创建模板实例 cce:: cce:release:delete 删除模板实例 cce:: cce:release:update 更新升级模板实例 cce:: cce:job:list 查询任务列表（集群层面的job） cce:: cce:job:delete 删除任务/批量删除任务（集群层面的job） cce:: cce:job:get 查询任务详情（集群层面的job） cce:: cce:storage:create 创建存储 cce:: cce:storage:delete 删除存储 cce:: cce:storage:list 列出所有磁盘 cce:: cce:addonInstance:create 创建插件实例 cce:: cce:addonInstance:delete 删除插件实例 cce:: cce:addonInstance:update 更新升级插件实例 cce:: cce:addonInstance:get 获取插件实例 cce:: cce:addonTemplate:get 获取插件模板 cce:: cce:addonInstance:list 列出所有插件实例 cce:: cce:addonTemplate:list 列出所有插件模板 cce:: cce:chart:list 列出所有模板 cce:: cce:chart:delete 删除摸板 cce:: cce:chart:update 更新模板 cce:: cce:chart:upload 上传模板 cce:: cce:chart:get 获取模板信息 cce:: cce:release:get 获取模板实例信息 cce:: cce:release:list 列出所有模板实例 cce:: cce:userAuthorization:get 获取CCE用户授权 cce:: cce:userAuthorization:create 创建CCE用户授权 ecs:: ECS（弹性云主机）服务的所有权限。 evs:: 云硬盘的所有权限。 可以将云硬盘挂载到云服务器，并可以随时扩容云硬盘容量 vpc:: VPC（虚拟私有云，包含二代ELB）的所有权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内。 sfs::get SFS（弹性文件存储服务）资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件存储服务）资源的扩容共享。 aom::get AOM（应用运维管理）资源详情的查看权限。 aom::list AOM（应用运维管理）资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）自动扩缩容规则的所有操作权限。 apm:icmgr: APM（应用性能管理服务）操作ICAgent权限。 CCE ReadOnlyAccess策略主要权限 操作（Action） 操作（Action） 说明 cce::get cce:cluster:get 查询集群详情 cce::get cce:node:get 查询节点详情 cce::get cce:job:get 查询任务详情（集群层面的job） cce::get cce:addonInstance:get 获取插件实例 cce::get cce:addonTemplate:get 获取插件模板 cce::get cce:chart:get 获取模板信息 cce::get cce:nodepool:get 获取节点池 cce::get cce:release:get 获取模板实例信息 cce::get cce:userAuthorization:get 获取CCE用户授权 cce::list cce:cluster:list 查询集群列表 cce::list cce:node:list 查询节点列表 cce::list cce:job:list 查询任务列表（集群层面的job） cce::list cce:addonInstance:list 列出所有插件实例 cce::list cce:addonTemplate:list 列出所有插件模板 cce::list cce:chart:list 列出所有模板 cce::list cce:nodepool:list 列出集群的所有节点池 cce::list cce:release:list 列出所有模板实例 cce::list cce:storage:list 列出所有磁盘 cce:kubernetes: 操作所有kubernetes资源，具体权限请在15.3 命名空间权限中配置。 ecs::get ECS（弹性云主机）所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云主机 ecs::list ECS（弹性云主机）所有资源列表的查看权限。 evs::get 云硬盘所有资源详情的查看权限。可以将云硬盘挂载到云服务器，并可以随时扩容云硬盘容量 evs::list 云硬盘所有资源列表的查看权限。 evs::count vpc::get VPC（虚拟私有云，包含二代ELB）所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内 vpc::list VPC（虚拟私有云，包含二代ELB）所有资源列表的查看权限。 sfs::get SFS（弹性文件服务）服务所有资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件服务）资源的扩容共享。 aom::get AOM（应用运维管理）服务所有资源详情的查看权限。 aom::list AOM（应用运维管理）服务所有资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）服务自动扩缩容规则的所有操作权限。 自定义策略 如果系统预置的CCE策略，不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 本章为您介绍常用的CCE自定义策略样例。 说明：job类型的操作不支持自定义资源路径，如cce:job:get、cce:job:list、cce:job:delete。 CCE 自定义策略样例： 示例1：创建一个名称为“test”的集群 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cce:cluster:create" ] } ] } 示例2：拒绝用户删除节点 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny 优先原则。 如果您给用户授予CCE FullAccess的系统策略，但不希望用户拥有CCE FullAccess中定义的删除节点权限（cce:node:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为Deny，然后同时将CCE FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对CCE执行除了删除节点外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cce:node:delete" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "ecs:cloudServers:resize", "ecs:cloudServers:delete", "ecs:cloudServers:delete", "ims:images:list", "ims:serverImages:create" ], "Effect": "Allow" } ] }

参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 允许/拒绝 允许 策略内容 被授权用户 授权用户：当前帐号 子用户：选择需要授权的IAM用户 用户策略：包含以上用户 策略内容 资源 资源范围：同时选择当前桶和桶内对象，桶内对象选择所有对象 资源策略：包含以上资源 策略内容 动作 选择动作：ListBucket和PutObject 操作策略：包含以上动作 说明 本例对象动作仅授予上传对象权限。可以根据业务需要选择多个动作，同时授予其他操作权限。“”代表所有操作。

功能介绍 天翼云边缘安全加速平台—安全与加速服务提供页面性能优化功能，配置了页面优化功能后，会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，从而达到缩小文件体积、提升文件分发效率。 注意事项 若源站文件开启了MD5校验，则不能开启页面优化功能。因为安全与加速服务进行页面优化时会改变文件的MD5值，从而导致优化后文件的MD5值和原文件MD5值的不一致。 若源站开启了压缩功能，安全与加速服务的页面优化功能将会失效。 页面优化功能和压缩功能不允许同时开启，同时开启时，压缩功能失效。 配置说明 如您需要配置页面性能优化功能，请提交工单给天翼云客服，由其帮您配置。

会议场景示例 支持在会议中智能生成会议纪要、总结会议内容，提升会议效率。 【操作步骤】： 1.进入天翼AI云电脑，打开“云智助手”； 2.在云智助手的菜单选择“应用”“会议助手”“AI会议纪要”； 3.AI会议助手将自动转录会议内容，并可一键生成会议总结。 图片设计示例 对AI输入文字即可生成智能图片。 【操作步骤】 1.进入天翼AI云电脑，打开“云智助手”； 2.在云智助手的菜单选择“应用”“办公”“证件照换背景”； 3.在AI对话窗口，可以上传本地照片，选择需要更换的背景颜色； 4.提交后，AI助手将会为你输出对应颜色背景证件照，图片可进行“下载”使用。

会议场景示例 支持在会议中智能生成会议纪要、总结会议内容，提升会议效率。 【操作步骤】： 1.进入天翼AI云电脑，打开“云智助手”； 2.在云智助手的菜单选择“应用”“会议助手”“AI会议纪要”； 3.AI会议助手将自动转录会议内容，并可一键生成会议总结。 图片设计示例 对AI输入文字即可生成智能图片。 【操作步骤】 1.进入天翼AI云电脑，打开“云智助手”； 2.在云智助手的菜单选择“应用”“办公”“证件照换背景”； 3.在AI对话窗口，可以上传本地照片，选择需要更换的背景颜色； 4.提交后，AI助手将会为你输出对应颜色背景证件照，图片可进行“下载”使用。

本文将介绍如何在Pod中使用配置项。 背景信息 在Pod中使用配置项是一种实现配置管理的常用方式，它可以应用于多种场景，主要包括以下几个方面： 应用程序配置：配置项可以存储应用程序所需的所有配置信息，例如数据库连接信息、密钥、证书等。这可以使得应用程序在部署时更加简单和灵活，开发人员可以使用配置项来控制应用程序的行为。 环境变量：通过配置项创建的环境变量可以直接注入到容器中，例如在容器中设置数据库的连接信息等环境变量。 命令行参数：通过配置项定义命令行参数可以使得容器镜像更加通用，可以使用不同的参数启动不同的容器实例。 挂载文件：配置项还可以将配置文件存储在其中，并将其挂载到容器内部。这使得容器可以在运行时动态加载配置文件，以更好地适应不同的部署场景。 使用限制 当您在Pod中使用配置项时，为了确保配置项在Pod内正确加载和使用，需要将它们部署到相同的命名空间中。 创建配置项 本次示例配置项configmapdemo包含DATABASEURL和LOGLEVEL两个键值对。具体的YAML示例模板如下所示： YAML apiVersion: v1 kind: ConfigMap metadata: name: configmapdemo namespace: default data: DATABASEURL: mysql://user:password@hostname/dbname APISECRET: bigsecretkey LOGLEVEL: debug 使用配置项定义Pod环境变量 1. 使用配置项的数据定义Pod环境变量。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载 ”，并选择“无状态” 。 5. 在无状态页面中，单击左上角的“新增YAML”。 6. 填写无状态应用对应的YAML配置内容，并使用valueFrom引用配置项中的Value值，从而定义Pod的环境变量。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim ports: containerPort: 80 env: name: DATABASEURL valueFrom: configMapKeyRef: name: configmapdemo key: DATABASEURL name: LOGLEVEL valueFrom: configMapKeyRef: name: configmapdemo key: LOGLEVEL 2. 将配置项的所有Key/Values配置为Pod的环境变量。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群 ”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态”。 5. 在无状态页面中，单击左上角的“新增YAML” 。 6. 填写无状态应用相应的YAML配置内容，并使用envFrom将配置项的所有Key/Values键值对配置为Pod的环境变量。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim envFrom: configMapRef: name: configmapdemo 3. 通过配置项设置命令行参数。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群 ”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态”。 5. 在无状态页面中，单击左上角的“新增YAML” 。 6. 填写无状态应用相应的YAML配置内容，您可以使用环境变量替换语法 $(VARNAME)，将配置项设置为容器中的命令或参数值。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim command: [ "/bin/sh", "c", "echo $(DATABASEURL) $(LOGLEVEL)" ] envFrom: configMapRef: name: configmapdemo

本节介绍云下节点池用户指南。 云下节点池为Anywhere集群特有，用于管理Anywhere集群IDC节点的按需扩缩容场景需求。 前提条件 已创建Anywhere集群，并已经完成部署。 若IDC节点为已安装操作系统的节点，请先确保节点已安装以下工具软件：conntrack（必选）、s3fs工具（可选）。 创建云下节点池 1. 登录分布式容器云平台，选择 集群资源 > 集群管理，在集群列表中，选中目标集群，点击进入； 2. 在目标集群页面，选择节点管理 > 节点池，在节点池页面，单击 创建云下节点池； 3. 在创建云下节点池对话框中，完成云下节点池的配置项。云下节点池创建完成之后，在节点池列表右侧支持编辑云下节点池部分配置项。 节点池配置项内容如下所示： 配置项 说明 是否支持修改 节点池名称 自定义节点池名称 × 架构 节点架构：X86、ARM × 节点类型 物理机(托管)：未装操作系统的物理机节点，节点池扩容时自动安装操作系统； 物理机(纳管）：请提供已安装操作系统的物理机节点； 虚拟机：请提供已安装操作系统的虚拟机节点； × 节点数量 如当前无需创建节点，可填写为0，仅配置节点池信息，后续再进行扩容节点； 填写数量>0时，需填写对应数量的节点信息，完成节点池创建并扩容对应节点到集群内； × 节点网络 节点类型为物理机(托管)类型时，需填写以下网络信息： 子网掩码：节点设备所属子网范围； 网关：节点设备所属子网网关； DNS：节点配置的DNS服务器地址，用于解析域名； × 操作系统 当节点类型为物理机(托管)类型时，选择节点需要安装的操作系统。 × 高级配置（选填） 配置项 说明 是否支持修改 节点标签 为扩容的节点添加标签，采用键值对形式。 √ 节点污点 为扩容节点添加污点，污点包含键、值和Effect(效果)。 Effect可选择NoSchedule、NoExecute、PreferNoSchedule。 NoSchedule：节点上若存在Effect值为NoSchedule的污点，则Pod不会分配到该节点； NoExecute：不能忍受此污点的Pod会被驱逐； PreferNoSchedule：尽量避免调度未忍受该污点的Pod到该节点，但不会强制执行； √ 自定义Kubelet参数 支持自定义Kubelet参数，在节点加入集群时配置； ×

本文介绍了云防火墙等保合规能力说明 检查项分类安全控制点风险等级 等保合规检查项 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络网络架构中 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 云防火墙提供访问控制机制和入侵防护能力，开启防护后能够自动阻断互联网与VPC之间的威胁访问，为用户提供自动的边界防护能力。 入侵防护 访问控制 安全区域边界边界防护高 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 入侵防护 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 入侵防护 安全区域边界入侵防范中 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 入侵防护 安全区域边界访问控制高 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 云防火墙提供默认拒绝所有通信的访问控制策略，只允许通行策略相关会话通信。 访问控制 安全区域边界访问控制中 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 云防火墙提供流量记录功能，能够记录所有防火墙的通信会话行为，可通过对防火墙网络通信判断访问规则的有效性，从而实现访问控制规则最小化。 访问控制 安全区域边界访问控制高 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 访问控制 安全区域边界访问控制中 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 支持根据FTP等会话的状态信息设置对会话的允许/拒绝访问能力，控制粒度为端口级。 访问控制 安全区域边界访问控制中 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 支持DNS等应用协议和下载等应用内容进行访问控制。 访问控制 安全区域边界安全审计高 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 云防火墙提供日志审计功能，可以记录所有流量日志、访问控制日志、入侵防护日志和操作日志。 日志审计 安全区域边界安全审计中 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 云防火墙提供日志记录事件功能，包括：时间、告警名称、攻击类型、源/目IP字段、等级等。 日志审计 安全区域边界安全审计中 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 云防火墙提供日志分析功能，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计 安全区域边界安全审计中 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 云防火墙提供日志分析功能，记录所有流量访问日志，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计

本章节主要介绍WAF自定义策略。 如果系统预置的WAF权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 WAF自定义策略样例 示例1：授权用户查询防护域名列表 "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] 示例2：拒绝用户删除网页防篡改规则 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“WAF FullAccess”的系统策略，但不希望用户拥有“WAF FullAccess”中定义的删除网页防篡改规则的权限（waf:antiTamperRule:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“WAF FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对WAF执行除了删除网页防篡改规则的所有操作。以下策略样例表示：拒绝用户删除网页防篡改规则。 { { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] } 多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "waf:antiTamperRule:delete" ] }, ] }

本节主要介绍步骤四：对比同步项 对比实时同步项可以清晰反馈出源数据库和目标数据库的数据是否存在差异。为了尽可能减少业务的影响和业务中断时间，实时同步场景提供了对象级对比和数据级对比功能，帮助您确定合适的业务割接时机。 对象级对比：支持对数据库、索引、表、视图、表的排序规则等对象进行对比。 数据级对比：支持对表的行数和内容进行对比。 说明 全量同步中的任务无法进行数据级对比。 如果单独对目标库进行数据修改操作，有可能数据检验不准确。 前提条件 已登录数据库复制服务控制台。 操作步骤 1、在“实时同步管理”界面，选中指定同步任务，单击任务名称，进入“基本信息”页签。 2、单击“同步对比”页签，进入“同步对比”信息页面。 3、对比同步项。 创建对象级对比：选择“对象级对比”页签，单击“开始对比”后稍等一段时间再单击，观察源数据库和目标数据库的各个对比项结果是否一致。若需要查看结果详情，可单击指定对比项操作列的“详情”按钮。 图 同步对象对比 创建数据级对比：选择“数据级对比”页签，单击“创建对比任务”，选择“对比类型”、“对比方式”、“对比时间”和“对象选择”，单击“是”提交对比任务。 图 创建数据对比任务 对比类型：分为行数对比和内容对比。 行数对比：用于对比源和目标端的表的行数是否相等。 说明 任务进入增量阶段后，用户可以创建行对比任务。 Oracle>GaussDB(for openGauss)同步任务，当全量任务结束的时候会自动触发行对比任务。 内容对比：用于对比源和目标端的表的数据是否一致。 说明 任务进入增量阶段后，用户可以创建内容对比任务。全量同步完成后，源库数据不能发生变更，否则内容对比结果会不一致。 由于内容对比功能目前只支持带有单字段主键或单字段唯一索引的表，不支持内容对比的表可以使用行数对比功能。所以数据级对比功能需要结合业务场景，选用行数对比或者内容对比。 对比方式：分为静态对比和动态对比两种。 静态对比：对源数据库和目标数据库进行一次全量内容对比，内容对比完成后对比任务结束，适用于无数据变化的非业务时间。 动态对比：先对源数据库和目标数据库进行一次全量内容对比，对比任务完成后进入增量对比阶段，实时比对源数据库和目标数据库的增量数据，适用于有数据变化的业务时间。 说明 目前仅MySQL引擎支持对比方式选择。 对比时间：可设置为“立即启动”和“稍后启动”。由于同步具有轻微的时差，在数据持续操作过程中进行对比任务，可能会出现符合实际情况的少量数据不一致对比结果，推荐结合对比定时功能，选择在业务低峰期进行对比，得到更为具有参考性的对比结果。 对象选择：可根据具体的业务场景选择需要进行对比的对象。 4、对比任务提交成功后，返回“数据级对比”页签，单击刷新列表，可以查看到所选对比类型的对比结果。 图 同步数据对比 由于内容对比功能目前只支持带有单字段主键或单字段唯一索引的表，不支持内容对比的表可以使用行数对比功能。所以数据级对比功能需要结合业务场景，选用行数对比或者内容对比。 若需要查看行数对比或者内容对比详情，可单击指定对比类型操作列的“查看对比报表”，页面将跳转至新的窗口，可观察对比结果的详细情况。 图 数据级对比详情 说明 已取消的对比任务也支持查看对比报表。

弹性负载均衡支持对证书进行修改,可修改证书名称,替换证书。本文带您快速熟悉修改证书的相关操作。 使用须知 服务器证书的证书内容和私钥必须同时替换修改，可复制粘贴到输入框替换现有证书，或通过上传证书内容替换，不可编辑修改当前证书内容，否则将引起证书认证失败故障。 操作步骤 1. 在系统首页，选择“网络>弹性负载均衡>证书管理”。 2. 在证书列表页面，操作字段点击“修改”可修改证书。 3. 在弹出的证书修改页面，依据负载均衡证书修改说明，填写相关参数并点击“确定”，完成证书修改。 负载均衡证书修改说明 参数 说明 名称 自定义修改证书名称，只能由数字、字母、组成，不能以数字和开头、以结尾,且长度为263字符。 证书类型 不可修改。 证书标准 不可修改。 证书内容 支持粘贴证书到内容框，或点击上传证书内容。证书包含证书的公钥和签名等信息，证书扩展名为".pem"或".crt"，您可直接输入证书内容或上传证书文件。 （1）通过Root CA机构颁发的证书，证书是唯一的一份，不需要额外的证书，配置的站点即可被浏览器等访问设备认为可信。Root CA证书格式必须符合如下要求：以BEGIN CERTIFICATE, END CERTIFICATE开头和结尾。每行64个字符，最后一行长度可以不足64个字符。证书内容不能包含空格。 （2）通过中级CA机构颁发的证书，证书文件包含多份证书，需要将服务器证书与中级证书合并在一起上传。证书链格式必须符合如下要求：BEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATE服务器证书放第一位，中级证书放第二位，中间不能有空行。证书内容不能包含空格。证书之间不能有空行，并且每行64字节。符合证书的格式要求。一般情况下，证书机构在颁发证书时会有对应说明，证书要符合证书机构的格式要求。 描述 填写负载均衡器相关描述，自定义修改。

若您需要购买数据安全专区专区的相关业务，可参考本章节进行选购。 选购步骤 1.登录数据安全专区管理控制台。 2.单击右上角的“订购数据安全专区”，跳转至选购页面。 3.选择需要购买的业务及各项配置。 配置项 配置项说明 地域 选择您业务所需要部署的资源池。 可用区 选择业务需要部署的可用区。 企业项目 选择新购产品所在的企业项目，企业项目相关内容请参考：企业项目管理。 说明 仅一类资源池支持选择企业项目。 虚拟私有云 选择业务所在的VPC组。 注意 VPC选定后暂不支持更换，请谨慎选择。 子网 选择当前VPC内子网。 说明 子网选择必须在VPC的网段内。 配置清单 选择要购买的数据安全专区配置，具体可参考：服务版本差异和计费项章节。 购买时长 选择业务购买时长，支持选择112个月，25年。 自动续订 选择是否自动续订业务。 说明 自动续订的时长会和您业务购买的时长保持一致。 4.选购完成后，勾选“我已阅读，理解并接受《天翼云数据安全专区服务协议》”。 5.单击“立即购买”跳转至支付页面。

方式二：已有云电脑用户切换镜像 1. 登录云电脑客户端，进入云电脑桌面； 2. 进入云电脑顶部工具栏控制中心设置系统重装更换系统界面； 3. 点击“基础镜像”或“分享镜像”中，找到“OpenClaw“关键词的专属镜像进行切换； 4. 完成镜像重装后即可使用。 注意 系统重装将清除安装在系统盘(C盘)的程序、数据及专线网络配置信息，请注意提前备份重要数据。 使用指引 桌面端使用 功能入口 1. 在专属镜像桌面中打开云智助手客户端，在侧边栏找到「CoSpace智协空间」入口； 2. 点击该入口后，将在当前页面内直接跳转至CoSpace功能主页面。 对话交互 1. 点击功能页面内的对话区域，可直接输入问题或指令进行问答交互； 2. 对话输入框下方默认显示三条高频预设任务，点击任意一条即可快速执行； 3. 支持手动输入自定义对话内容和智控指令。

本文帮助您快速熟悉如何查看对等连接路由信息。 操作场景 对等连接建立后，您可以查看本端VPC和对端VPC添加的路由信息。如果您发现对等连接无法通信，您可以参考本章节的内容检查本端VPC和对端VPC的路由配置情况，并及时进行调整，以确保网络的连通性和正常运行。 约束与限制 对于跨账户路由信息，本端账户仅可查看本端路由信息，对端账户仅可查看对端路由信息。 查看对等连接的路由（同账户） 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表，选择指定的对等连接名称，进入对等连接详情页面。 5. 点击“本端路由”页签，可查看此对等连接的本端路由信息。点击“对端路由”页签，可查看此对等连接的对端路由信息。 查看对等连接的路由（跨账户） 查看本端路由信息 1. 本端账户登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表，选择指定的对等连接名称，进入对等连接详情页面。 5. 在本端路由页签下，即可查看本端路由信息。

本章节为您介绍系统统计报表相关功能。 数据资产分析 “数据资产分析”页面的功能是让用户知道自己有哪些资产，哪些资产更加敏感，哪些资产经常做数据脱敏等，刚进入本页面时，页面会展示系统自动更新过的数据。 数据安全专区会在每天凌晨自动更新数据。但是您也可以选择点击手动更新按钮来获得当前时间最新的数据。 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“系统统计报表 > 数据资产分析 ”，进入“数据资产分析”页面，即可查看数据资产情况。 本页信息一共展示了任务运行概述、数据源类型分布、数据源和schema粒度的敏感程度排名top10、敏感标签词云以及资产统计清单这些数据分析内容。 脱敏任务分析 “脱敏任务分析”页面的功能是让用户知道脱敏任务运行是否正常，整体任务运行质量如何（比如错误数的变化），任务调度分配是否合理等。 数据安全专区会实时更新本页面的大部分数据，其中任务属性是针对任务进行统计，任务运行是针对实例进行统计，而且脱敏任务分析只对结构化任务的数据进行分析。 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“系统统计报表 > 脱敏任务分析 ”，进入“脱敏任务分析”页面，即可查看脱敏任务分析情况。 说明 页面左侧可针对任务运行时间（即实例运行时间）进行搜索，包括最近7天（默认）、最近15天、最近30天和自定义。 页面都带“导出”功能，单击后可导出页面内容，支持PDF和HTML两种文件格式。

本文介绍IPv4/IPv6云主机通过绑定弹性IP和共享带宽,实现互联网连接的方案内容。 本方案中，将讲解如何将弹性IP与计算实例进行绑定，帮助计算实例能够访问外部网络，以及计算实例的IPv6网卡如何添加进共享带宽服务中，使计算实例可以在IPv6网络环境中通信。 步骤一 在弹性IP控制台界面中，待绑定计算实例的弹性IP为“121.229.42.54”，点击该IP右侧“操作”中的“绑定”。 步骤二 在绑定弹性IP界面中，选择需要绑定的云主机名称，并选择该云主机需要绑定该弹性IP的网卡后，点击“确定”。 步骤三 在其他具备互联网IPv4接入能力的主机中，输入“ping 121.229.42.54”并执行，发现收到目标地址回包，两台主机可正常通信，确认目标主机的弹性IP绑定成功，在IPv4网络环境中可正常进行通信。 图1 公网IPv4环境互通验证示意图 步骤四 在其他具备互联网IPv6接入能力的主机中，输入“ping6 240e:980:8120:c39:caf6:3600:9ec5:bac8”并执行，发现收到目标地址回包，两台主机可正常通信，确认目标主机的IPv6网卡绑定共享带宽成功，在IPv6网络环境中可正常进行通信。 图2 公网IPv6环境互通验证示意图

本章节介绍云数据库ClickHouse数据备份和数据恢复功能。 备份恢复方案 云数据库ClickHouse支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。实例恢复可根据备份任务做相应的数据恢复。可选择恢复到本实例，也可以选择恢复到同region下同租户的其他ClickHouse实例。恢复的实例必须要求和备份实例节点top结构一致。 说明 在备份过程中会进行数据文件的读取与复制，这可能会影响集群的读写效率。建议在业务低峰期启动备份任务。 备份内容 云数据库ClickHouse备份分为元数据备份和数据备份。数据备份时，选择相应库表备份，选中后会把集群内所有节点当前表都选中。 元数据备份：云数据库ClickHouse只针对实例库表数据结构进行备份。 数据备份：云数据库ClickHouse会把库表和数据文件一起备份。 备份位置 云数据库ClickHouse目前备份都存放在对象存储中，不会占用实例的存储空间。 根据保留时间，备份的数据到期后会自动删除。 注意 由于对象存储是按需计费的，余额欠费后，不会影响自动备份和手动备份功能，实例备份占用的备份空间会持续扣费。 备份操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 如果备份任务页出现未开启备份服务页面，可先去点击开启下备份设置（开启过程会涉及几分钟，请耐心等待）。 3. 点击创建备份，可以手动开启一次备份，手动备份任务是实时启动。也可以在备份策略页面，设置两种备份的备份策略，系统会根据设置的策略周期性进行备份任务，同时根据设置的保留时间，对定时备份进行到期清理。 4. 在备份任务页面，可查看所有的备份任务。备份过程中，正在备份的任务也可以进行取消，后台会把备份进行暂停，同时删除备份过程的数据。

本文帮助您快速熟悉虚拟IP的定义、特点、组网模式,以及应用场景等内容。 什么是虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的内网IP地址，没有分配给真实弹性云服务器网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云服务器。 您可以通过将虚拟IP与主备弹性云服务器绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 说明 重要：虚拟IP免费使用。非虚拟IP软件问题，例如高可用软件（keeplived）配置，物理网络等相关问题导致的业务受损不承担责任，不承诺任何服务等级协议相关的保障条款。 注意 1、如未结合Keepalived使用，请谨慎删除与虚拟IP绑定的主服务器或者网卡，有可能会导致备服务器或网卡流量不通等现象。 2、对于可用区资源池来说，虚拟IP只支持单播，不支持广播和组播。如果您使用keepalived等第三方软件结合虚拟IP搭建高可用场景，您需要将配置文件中的通信方式修改为单播通信。 3、对于地域资源池来说，仅vxlan架构资源池的IPv4类型的虚拟IP支持组播，其余形式均不支持组播。虚拟IP也不支持广播通信。 4、标准裸金属不支持IPv6类型虚拟IP，请勿在标准裸金属子网内申请IPv6类型虚拟IP使用。

将配置项（ConfigMap）注入容器可以将其转换为容器中的文件，应用可以读取注入的文件作为配置文件，这使得您可以灵活修改应用的配置而无需重新构建应用的镜像。 功能入口 场景不同，操作入口也有所不同 创建应用 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后选择单击创建应用 2. 在应用基本信息向导页面进行配置后，单击下一步：高级设置。 对正在运行的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作 对已停止的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 注入配置信息指引 注入配置项前，您需要先创建配置项。您可以在应用的命名空间中创建配置项，也可以在当前区域单击创建配置项（ConfigMap），在创建配置项面板进行创建，创建的配置项会同步到应用的命名空间。 展开配置管理区域，单击+添加按钮，您可以将特定配置项（ConfigMap）的单个键或全部键注入容器，以将其转换为容器中的文件。配置项的值将作为文件的内容，您可以自定义文件的挂载路径。

CSRF防护的方式 1、验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 2、验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 3、请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用CSRF防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“CSRF防护”页面，可以配置CSRF防护策略；