本节介绍天翼AI云电脑（政企版）的产品优势。 统一管理，维护便捷 无需设立专门的前端维护人员，桌面维护全部在管理台进行可视化操作，一键完成开通桌面、重装系统、镜像升级等操作，并通过自动化批量方式，实现快速大规模的部署。 强化安全，自主可控 网络访问使用VPC、安全组、ACL、主机防火墙进行网络隔离及访问控制，通过防火墙实施安全审计与监控。 规格丰富，配置灵活 提供灵活多样的AI云电脑规格，支持资源包方式开通使用，灵活选择系统版本，网络可配置，并可使用池化桌面提高桌面利用率。 自主领先，畅游云端 自研的CLINK安全传输协议，低延时、高画质、带宽占用少，弱网环境下也可畅快使用。 随时随地，便捷访问 用户通过终端AI云电脑应用即可快速访问调取云端资源，随时随地享受数据共享、移动办公、休闲娱乐等功能。 说明 关于天翼AI云电脑（政企版）的产品规格说明，请参考 关于天翼AI云电脑（政企版）的产品功能说明，请参考 关于天翼AI云电脑（政企版）的客户端下载，请前往

本文介绍 AIuse 云电脑在接入、凭证管理、资源隔离和文件传输方面的安全建议。 凭证安全 AIuse 云电脑通过 AccessKey 进行调用鉴权。AccessKey ID 和 AccessKey Secret 应作为敏感信息管理。 建议： 不要将 AccessKey Secret 提交到代码仓库。 不要在前端页面或客户端安装包中内置 Secret。 不要在日志、截图或错误信息中输出完整 Secret。 不同项目、环境和任务批次使用不同 AccessKey。 AccessKey 疑似泄露时立即禁用并更换。 权限最小化 AccessKey 应只关联必要的云电脑。对于临时任务、测试任务和生产任务，建议使用不同 AccessKey，并分别控制其可访问资源。 桌面环境隔离 AIuse 云电脑任务运行在云端桌面环境中。为降低任务之间的相互影响，建议： 高风险任务使用独立云电脑。 不同业务线使用不同云电脑。 批量任务按资源池分配桌面。 任务完成后清理临时文件和中间结果。 文件安全 FileSystem 能力可读取和写入云电脑中的文件。业务系统应对可访问路径进行限制，避免误操作系统目录或敏感目录。 建议： 为任务分配独立工作目录。 对输入和输出文件进行命名规范管理。 对临时下载地址设置有效期。 对重要文件写入前进行路径校验。 对任务输出中的敏感数据进行脱敏或加密处理。 截图安全 截图可能包含业务数据、个人信息或系统敏感信息。建议： 仅在必要时保存截图。 对截图设置访问权限和保存期限。 对外共享截图前进行脱敏。 不在公开文档、工单或即时通讯中传播包含敏感信息的截图。

后续管理 数据库控制策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源，可单击“关联”，快速关联用户、用户组、资源账户、帐户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略授权，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略授权立即失效。 若需排序策略优先等级，可选中策略行上下拖动策略，改变策略排序。 查询和修改数据库控制策略 若数据库控制策略有变更，例如运维人员有变动，授权资源权限有变化等。可查看和修改已创建的策略配置，包括修改策略基本信息、修改关联规则集、修改关联用户或用户组、修改关联资源账户或帐户组等。 修改策略配置，且策略状态为“已启用”时，策略规则才生效。 修改策略配置后，若关联用户已登录资源，需退出登录重新连接，相关策略规则在下一次运维操作时才会生效。 前提条件 已获取“数据库控制策略”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“策略 > 数据库控制策略”，进入数据库控制策略列表页面。 3 查询数据库控制策略。 快速查询：在搜索框中输入关键字，根据策略名称、用户、资源名称、主机地址、资源账户、规则集名称等快速查询策略。 高级搜索：在相应属性搜索框中分别关键字，精确查询策略。 4 单击目标策略名称，或者单击“管理”，进入策略详情页面。 5 查看和修改策略基本信息。 在“基本信息”区域，单击“编辑”，弹出基本信息编辑窗口，即可修改策略的基本信息。 可修改信息包括“策略名称”、“有效期”、“执行动作”、“时间限制”等。 查看策略基本信息 6 查看和修改策略关联的规则集。 在“规则集”区域，单击“编辑”，弹出关联规则集窗口，可立即添加或移除关联的规则集。 在相应规则集行，单击“移除”，可立即删除该关联规则集。 查看关联规则集 7 查看和修改策略关联的用户。 在“用户”区域，单击“编辑”，弹出关联用户窗口，可立即添加或移除关联的用户。 在相应用户行，单击“移除”，可立即删除该关联用户，取消授权。 查看关联用户 8 查看和修改策略关联的用户组。 在“用户组”区域，单击“编辑”，弹出关联用户组窗口，可立即添加或移除关联的用户组。 在相应用户组行，单击“移除”，可立即删除该关联用户组，取消授权。 查看关联用户组 9 查看和修改策略关联的资源账户。 在“资源账户”区域，单击“编辑”，弹出关联资源账户窗口，可立即添加或移除关联的资源账户。 在相应资源账户行，单击“移除”，可立即删除该资源账户，取消授权。 查看关联资源账户 10 查看和修改策略关联的帐户组。 在“帐户组”区域，单击“编辑”，弹出关联帐户组窗口，可立即添加或移除关联的帐户组。 在相应帐户组行，单击“移除”，可立即删除该帐户组，取消授权。 查看关联帐户组

本文为您介绍资源编排ROS的常用应用场景。 应用快速上云 场景说明 助力企业将复杂的多云/混合云应用架构，通过模板化方式实现一键自动化部署与全生命周期管理。 场景痛点 部署效率低下：传统手动创建与配置云资源流程繁琐，耗时冗长，严重阻碍业务上线速度。 准确性难保障：人工操作极易引入配置偏差，引发线上故障。 产品优势 企业级资源栈管理 提供清晰的项目视图，支持完全的环境隔离，实现对一套应用资源的整体性创建、升级、回滚和删除，管理粒度更符合企业运维习惯。 强大的模板能力与模版复用 不仅支持原生terraform标准，还提供可视化编辑器和复用最佳实践模板，可直接复用或稍作修改后部署，极大降低模板编写门槛，加速上云进程。 内嵌式安全合规治理 内置变更审核流程、模板合规性校验与资源风险扫描能力，并在执行前提供价格预测，让每一次资源变更都可知、可控、可追溯，有效降低风险。 深度集成天翼云全栈服务 全面适配天翼云核心云服务，提供经过深度优化和验证的官方Provider，确保资源操作的稳定性与高性能。 环境快速复制

公共命令是由天翼云提供给所有用户使用的云助手命令,适用于软件的安装或卸载、实例状态诊断等场景。本文为您介绍如何查看和执行云助手公共命令。 背景信息 公共命令是天翼云创建的云助手命令，对所有天翼云用户可见。通常包含一些比较复杂的服务器配置、健康或安全检测、文件处理、系统补丁安装、更改系统配置的脚本。 相比较普通命令，公共命令的内容、发布以及升级会由天翼云统一负责维护。公共命令发布后，您可以直接查看命令的详细内容，并可以在弹性云主机或物理机实例上执行命令及查看执行进度和结果。使用公共命令，可以快速地完成某些复杂配置，很大程度提升您的操作和运维效率。 备注：天翼云创建的公共命令按需陆续更新。 操作步骤 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择公共命令标签页，如下图所示： 3. 可以根据命令名称了解命令的主要功能，选择想要查看的公共命令，点击右侧更多>查看详情 可以查看命令的详细信息。 4. 选择需要执行的公共命令，点击执行命令。 5. 选择需要执行命令的实例，点击执行命令即可实现免登录执行命令，如下图所示：

中转IP 中转IP地址是私网NAT在SNAT功能或DNAT功能中用于源或目的地址转换的私网IP地址。中转IP从私网NAT中转地址段中分配，私网NAT创建时从中转地址段中默认分配一个中转IP地址。 中转地址段 中转IP地址段是私网NAT进行私网NAT地址管理的地址集合。私网NAT网关创建时会默认把创建时选择的子网网段作为中转地址段。 DNAT（目的地址转换） 定义：通过IP映射或端口映射，将IP报文中的目的地址进行转换。 用户可以通过配置NAT网关DNAT规则实现VPC内多个云主机资源共享弹性IP对外提供服务。 SNAT（源地址转换） 定义：将IP报文的源地址、源端口进行转换。 用户可以通过配置NAT网关SNAT规则，将云主机的私网IP转换成弹性公网IP，使VPC内没有公网IP的云主机可以直接访问公网，实现VPC内多个云主机资源共享弹性IP主动访问Internet。 产品架构 NAT网关分为SNAT和DNAT两个功能。 公网NAT网关 公网NAT网关分为SNAT和DNAT两个功能。 SNAT功能通过绑定弹性公网IP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享弹性公网IP安全、高效的访问互联网。 DNAT将外网 IP、端口映射到VPC内的云主机内网IP、端口，使得云主机上的服务可被外网访问。

本文介绍如何检测弹性云主机与Redis之间的网络连接 新建Redis实例后，或在使用过程中突然无法连接Redis实例时，您可以在ECS的命令行中使用PING命令检测ECS与Redis实例网络是否能够连通。 操作步骤： 1.获取Redis实例的连接地址，更多信息请参见查看链接地址 2.登录客户端所在的ECS实例，并在命令行中执行PING命令。例如Redis实例的连接地址为{IP}，命令示例如下。 ping {IP} 说明 如果需要持续检测连通性请使用ping t命令。 Linux系统执行该命令后将会持续发送ping请求，您可以按下键盘上的Ctrl键加C键停止执行并统计结果。 结果分析： 如果所有请求都成功收到了回复，则连接正常。 如果未收到正常回复，则连接异常，常见失败原因如下： ECS异常行为触发安全策略，导致服务被禁止。请检查服务器，在安全组的出方向设置精确的规则，例如限定该ECS只能访问业务需要的地址和端口，此处为Redis实例的33016端口，更多信息请参见本节如何配置安全组 您的本地设备由于网络防火墙等自身原因，无法连接到Redis，请进行检查。

本章节主要介绍翼MapReduce服务的产品优势。 翼MapReduce（简称：“翼MR”）服务，历经集团和云公司的大规模集群和业务打磨，提供全年多级用户SLA保障。 翼MR具有如下优势： 高安全 翼MR服务拥有企业级的大数据多租户权限管理能力，拥有企业级的大数据安全管理特性；使用Kerberos和Ranger安全技术实现全组件的认证和授权；支持库、表、字段级数据权限管控。 优开源 基于Hadoop3.3.3等开源最新组件，保证版本性能的同时，优化了底层资源占用，对任务和引擎进行定制化管控。 高可靠 完成对开源组件100+次的代码及配置优化，实现高SLA；支持节点组采用反亲和技术，虚拟机分布在不同物理机上，以保证服务高可用。 易运维 翼MR提供可视化的大数据集群运维管理平台，全链路可视化操作降低运维门槛，助力实现90%日常运维场景便捷操作，提升运维效率。 低成本 翼MR集群基于多样化的云基础设施，提供了丰富的计算、存储设施的选择，可以用时再创建、用时再扩容，用完就销毁，确保成本最优。

告警响应 系统实时监控容器的运行情况，能够对可能出现的所有异常行为进行捕获和发出告警，并针对不同的入侵行为给出响应的安全处理建议，可在响应中心中查看所有入侵事件具体信息。并支持在响应中心对不同状态的容器进行相应的操作改变其状态，包括：解除隔离、启动容器、隔离容器、杀容器、暂停容器、一键封堵。 支持多种风险行为监测 支持检测诸如启动特权容器、容器逃逸行为、读取敏感文件、启动恶意进程、挂载非法设备、映射敏感目录、反弹SHELL连接操作、修改命名空间等多种风险行为的检测。 Pod隔离 支持对Kubernetes集群内Pod之间的通信进行网络隔离控制。 ATT&CK模型视角展示 基于攻击者视角显示攻击各阶段信息，反映了攻击者攻击生命周期以及各个攻击阶段的目标。 一键封堵 当生产环境内出现异常IP可通过一键封堵功对IP进行封堵，防止造成更大的损害。 安全合规 在业务系统上线运行之前，应对业务系统所在容器、集群以及容器原镜像进行合规检测，以防止不安全的配置导致容器逃逸或者集群入侵事件。 提供了对容器及集群进行合规审计，支持主流的CIS安全检测标准。基于产品提供可视化的基线检测结果和修复建议，用户可以自行修复不合规的检测项。根据用户的生产场景支持自定义合规检测项。 支持多种系统合规CIS检测 支持Docker CIS、Kubernetes CIS合规、Centos CIS、Ubuntu CIS、OpenShift合规等多种系统合规项检测，并支持快速扩展，满足不同场景的需求。 支持多种自定义检测项 用户可根据各行业安全标准，自定义配置安全合规检测项。灵活适应组织或行业的安全合规需求，提供高度个性化的定制选择。 支持一键导出合规检测结果 系统基线检测扫描后，用户快速一键生成基线的合规检测报告。 深入可视化的结果展示 合规基线检测结果可视化列表呈现，用户可以清晰看到每一个检查项的说明、通过情况以及检测详情信息。帮助用户快速了解基线检测未通过的原因，及时对容器相关配置进行修改更新。 多视角合规审计 合规基线支持多视角查看包括资产视角、合规视角，用户可在镜像、容器、节点、资产内查看当前资产的基线检测项，也可以在合规视角内查当前合规项内存在哪些不合规的资产。 持续安全检查 系统提供持续安全检查功能，通过自动扫描、监控机制。系统实时检测云原生环境的合规性，确保符合CIS基准和最佳实践。

本文主要介绍云服务操作日志以及审计日志如何接入 云日志服务支持存储各云服务产品上报至云审计的操作日志，可用于长时间存储操作事件日志，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前置条件 1. 已开通云审计服务，详情请见云审计产品介绍。 2. 已开通对象存储服务，详情请见对象存储产品介绍。 注意 1. 当前仅支持华北2资源池进行配置。 2. 接入操作事件日志，将产生相关存储费用与流量费用，详情请查看云日志服务计费说明。 3. 云审计提供的事件文件转储功能需要使用对象存储服务，会产生对象存储服务费用，相关费用信息请参考对象存储服务文档。 操作方式 1. 开通云审计后，登录云审计控制台。 2. 在云审计控制台左侧菜单栏点击"事件跟踪"，点击"创建跟踪任务"。 3. 根据指引配置，勾选“启用状态”，配置“ZOS存储桶”以及“目录前缀”，完成事件跟踪任务的创建，详情请参考云审计帮助文档。 4. 进入云日志服务控制台，在左侧菜单栏点击“日志接入”，在接入中心的“云服务操作日志”中选择对应的云服务产品。 5. 选择需要存储日志数据的日志项目与日志单元。点击下一步进入日志配置页面。 6. 在日志配置页面中，选择上述第三步已配置的ZOS存储桶以及目录前缀，点击“下一步”，即可完成配置

本文为您介绍Web应用防火墙（原生版）的相关术语解释。 SSL证书 指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。 域名解析 互联网上的机器相互间通过IP地址来建立通信，但是人们大多数习惯记忆域名，将IP地址与域名之间建立一对多的关系，而它们之间转换工作的过程称为域名解析。 QPS 每秒查询率（Query Per Second，QPS） 是对一个特定的查询服务器，在规定时间内所处理流量多少的衡量标准，在因特网上，作为域名系统服务器的机器性能经常用每秒查询率来衡量，对应fetches/sec（每秒响应请求数，即是最大吞吐能力）。 CNAME CNAME是指定域名的别名，用于将域名解析到另一域名上。通过域名接入方式添加防护域名后，WAF会生成一个CNAME（即防护域名的别名）。 通过修改DNS域名，将网站流量指向WAF服务节点，实现对网站流量的安全防护。更多信息请参见修改域名DNS。 回源IP地址 回源IP指云WAF用来与源站服务器建立网络连接的IP地址。通过域名接入方式添加域名成功后，由WAF自动分配多个回源IP地址，WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发到网站域名的源站服务器。在源站服务器看来，所有收到的请求都来自回源IP。 如果源站服务器使用了其他安全软件（例如防火墙、安全组、杀毒软件等），WAF的回源IP很有可能被这些软件识别成恶意IP并进行拦截。因此，网站接入WAF进行防护后，您需要将回源IP段添加到源站安全软件的白名单中，放行该回源IP段。更多信息请参见放行WAF回源IP段。

本文将介绍如何使用边缘安全加速平台安全与加速服务的漏洞扫描功能。 功能介绍 通过天翼云监测系统平台，在无需用户采购任何Web应用扫描产品前提下，即可获得网站的漏洞态势，以及每个漏洞的详情介绍和修补建议，方便及时作出处置。 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 新增漏洞扫描任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要扫描的域名。 3. 支持两种配置扫描任务方式。 4. 如果您需要快速复制其他域名的扫描任务，可单击【域名资产概况】中的【快速配置监测任务】。 5. 如果您需要新增扫描任务，单击【新增】按钮。 配置项说明： 配置项 说明 任务名称 用户可自定义任务名称，支持中文、英文、数字、下划线，最长30个字符。 任务开关 用户开启或者关闭任务。 监测任务等级 扫描漏洞范围： 高危:监测站点是否有命令执行，SQL注入，XML注入，目录遍历与目录穿越，跨站脚本漏洞，反序列化漏洞等。 中危：监测站点是否有敏感数据泄漏，用户凭证明文传输，错误的安全配置等。 低危：监测站点有无TLS传输防护，cookie未受httponly保护等。 监测URL 扫描任务开始扫描的url，从该url开始访问，逐层扫描。 比如：起始url： 则: 一级链接表示： 等； 二级链接表示： 等； 三级链接表示： 等。 监测排除URL 设置不需要扫描的URL，如 http(s)://www.ctyun.cn/xxx 不进行漏洞检测。 定义HTTP头部 如果扫描域名需要登录，需要设置可获取登录凭证Header以自定义设置登录凭据。 接口扫描 如果包含API接口需要上传扫描对应的api接口文件。 监测计划 立即检测：任务创建完立即进行漏洞检测，不再重复执行检测 ； 单次：任务创建完在指定时间进行漏洞检测，检测完成即任务结束，不再重复执行检测 每天：任务创建完任务在每天指定时间进行检测 每周：任务创建完任务在指定周几的指定时间进行检测 每月：任务创建完任务在指定日期的指定时间进行检测 通知方式 支持邮件和短信通知。

可通过客户端登录配置登录后无操作的时间范围，超时后自动退出。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“客户端登录配置”模块的右侧，单击“编辑”，进入“客户端登录配置”页面。 4、填写登录后长久不操作空闲的超时时间，及选择SSH登录方式， 参数名称 参数说明 取值样例 登录超时 设置登录成功后无操作的时间。 有效值区间为143200。当超过设定时长无操作时，再次操作需要重新登录，默认值为30。 30 SSH公钥登录 超时后是否使用SSH公钥登录，默认开启。 SSH密码登录 超时后是否使用SSH密码登录，默认开启。 5、单击“确定”，完成配置。

“安全概览”页面查看资产安全总览情况，并进行相关操作。 SA的“安全概览”页面实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 您可以在“安全概览”页面查看您的资产安全总览情况，并进行相关操作。“安全概览”分为以下几个板块： 安全评分 安全监控 安全趋势 安全评分 “安全评分”板块根据不同版本的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况，如下图。 分值范围为0～100，分值越大表示风险越小，资产更安全。 分值环形图不同颜色表示不同威胁等级。例如，黄色对应“中危”。 单击“立即处理”，系统右侧弹出“安全风险处理”页面，您可根据该页面的提示，参考对应的帮助文档或直接对风险进行处理。 安全风险处理页面中包含所有需要您尽快处理的安全风险和威胁，分为“威胁告警”、“漏洞”、“合规检查”三大类别。 “安全风险处理”页面中显示的数据为最近/最新检测后的数据结果，“检测结果”页面（单击“前往处理”，进入该页面）显示的是所有检测时间的各类数据详情，因此，安全风险处理页面的数据总数≤检测结果页面的数据总数。 处理安全风险 ： 1. 在“安全评分”栏中，单击“立即处理”，系统右侧弹出“安全风险处理”页面。 2. 在“安全风险处理”页面中，单击“前往处理”，进入检测结果页面。 3. 选择一个或多个“未处理”状态的结果，单击“忽略”或“标记为线下处理”，对不同检测结果批量执行相应的处理操作。 忽略：如果确认该检测结果不会造成危害，在“忽略风险项”窗口记录“处理人”、“忽略理由”，可标记为“已忽略”状态。 标记为线下处理：如果该检测结果已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。 资产风险修复，并手动刷新告警事件状态后，安全评分实时更新。资产安全风险修复后，也可以直接单击“重新检测”，重新检测资产并进行评分。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果，非实时数据，如需获取最新数据及评分，可单击“重新检测”，获取最近的数据。

本页面介绍云数据库ClickHouse开通实例后，如何通过控制台获取连接地址并创建账户进行访问。 前提条件 在继续以下操作之前，请确保已经成功新建并运行中的云数据库ClickHouse实例。如果尚未创建实例，请参考上一节中的创建实例进行创建。 操作步骤 1. 登录云数据库ClickHouse控制台，并选择实例所在地域。 2. 在实例列表页面，点击目标实例ID所在行的"管理"按钮进入详细信息页面。 3. 在实例详细信息页面上方导航栏中，选择"账号管理"选项。 4. 点击右上角的"创建账号"按钮。 5. 根据页面提示，填写以下参数配置。 6. 点击"确定"按钮完成账号创建。 7. 创建成功后，您可以在账号管理页面查看已创建的数据库账号，并进行进一步的管理和操作。 参数 描述 名称 需要创建的数据库账号的账号名。 只能以字母开头不能包含除以外的特殊字符。 密码 数据库账号的密码。 密码长度为8到32个字符。 密码必须包含大写字母、小写字母、数字和特殊字符中的至少三种类型。 特殊字符包括以下符号：!@ $%^&()+ 认证类型 数据库账号密码的认证方式，目前控制台可视化界面仅支持SHA256。 访问限制类型 提供的访问类型限制，包含无限制、ip限制、域名限制。 访问限制 根据访问限制类型的选择，配置不同的值。 获取连接地址 云数据库ClickHouse支持多种连接方式，可进入控制台查看相应端口，暂不支持相应端口的更改： TCP端口默认为9000 HTTP端口默认为8123 MySQL端口默认为9004 对应连接地址为任意一个计算节点IP加端口，例如实例中的节点及IP如下所示时： 计算节点： A.A.A.A B.B.B.B 协调节点： C.C.C.C D.D.D.D E.E.E.E 则可以使用以下地址进行数据库连接： TCP连接 HTTP连接 MySQL连接 A.A.A.A:9000 A.A.A.A:8123 A.A.A.A:9004 B.B.B.B:9000 B.B.B.B:8123 B.B.B.B:9004

本节介绍如何在数据探索页面查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。 前提条件 完成数据库资产委托授权，并添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 数据探索”，进入“数据探索”页面。 5. 左上角单击下拉框选择展示模式： “数据库” “数据模式” “数据表” “数据列” 6. 单击数据库名称，进入数据库详情页面。您可以对数据库、数据表以及数据视图等添加描述、标签、密级和分类等。 单击“重新分析”，进行密级自动分析，根据敏感数据识别对数据库列标记的密级等级，分析出库表的密级。 7. 查看数据库详细信息。 选择“表信息”页签： 1. 单击表名称查看表详情。 2. 单击数据库名称返回上级页签。 3. 选择“表信息”页签，勾选表，单击左上角的“标识”添加表标识。 4. 单击给表添加分类、密级、标签和描述等信息。 选择“视图信息”： 1. 单击视图名称查看视图详情。 2. 单击数据库名称返回上级页签。 3. 选择“视图信息”页签，勾选视图，单击左上角的“标识”添加视图标识。 4. 单击给视图添加分类、密级、标签和描述等信息。 选择“schema信息”页签： 1. 勾选schame，单击左上角的“标识”添加列标识。 2. 单击给列添加分类、密级、标签和描述等信息。

云容器引擎控制台创建Kubernetes自定义授权策略 注意 本步骤展示创建自定义ClusterRole，过程和创建Role类似。您可以根据实际的场景调整相应操作。 第一步：登录天翼云，进入到云容器引擎控制台，在左侧导航栏选择集群。 第二步：在集群管理界面，点击目标集群名称，然后在左侧导航栏，选择安全管理 > 角色。 第三步：在角色页面，点击Cluster Role页签，然后点击创建Cluster Role。 第四步：当点击创建Cluster Role后，会弹出一个YAML面板，您需要在面板上输入自定义策略的YAML内容，点击确定即可创建成功。 第五步：在左侧导航栏，选择安全管理 >授权，进入授权页面，选择子账号下面的用户，点击添加权限。 第六步：进入集群RBAC配置，点击添加权限，选择命名空间，选择自定义，然后选择里之前创建好的Cluster Role，点击下一步。 第七步：授权成功。 第八步：验证。 首先按照下图获取到对应的config，登录到集群主机保存test.config文件中。 查询集群的Pod。 kubectl get pod kubeconfigtest.config 没有权限查看集群的Service，提示forbidden。 kubectl get services kubeconfigtest.config 注意 当前云容器引擎授权管理仅支持自定义Cluster Role角色与集群内RABAC权限的绑定，暂不支持自定义Role角色与集群内RBAC权限的绑定。

本节介绍如何删除域名组。 约束条件 被防护规则引用的域名组不支持删除，需优先调整/删除对应规则。 删除域名组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制 > 对象组管理”，进入“对象组管理”界面。 5. （可选）如删除网络域名组，则选择“网络域名组”页签。 6. 切换至“域名组”页签，单击待删除的“操作”列的“删除”，在弹出的确认框中，输入“DELETE”，单击“确定”，完成删除。 注意 删除域名组后无法恢复，请谨慎操作。

Logstash部署在弹性云主机上时导入数据 当Logstash部署在同一VPC的弹性云主机时，导入数据的流程说明如下图所示。 Logstash部署在弹性云主机上时导入数据示意图 1.确保已部署Logstash的弹性云主机与待导入数据的集群在同一虚拟私有云下，已开放安全组的9200端口的外网访问权限，且弹性云主机已绑定弹性IP。 说明 如果同一个VPC内有多台服务器，只要其中一台绑定了弹性IP，其他的服务器可以不需要绑定弹性IP。通过绑定弹性IP的节点跳转到部署Logstash的节点即可 。 如果有专线或者VPN，也不需要绑定弹性IP。 2.使用PuTTY登录弹性云主机。 例如此服务器中存储了需要导入的数据文件“access20181029log”，文件存储路径为“/tmp/accesslog/”，此数据文件中包含的数据如下所示： All Heap used for segments 18.6403 MB All Heap used for doc values 0.119289 MB All Heap used for terms 17.4095 MB All Heap used for norms 0.0767822 MB All Heap used for points 0.225246 MB All Heap used for stored fields 0.809448 MB All Segment count 101 All Min Throughput indexappend 66232.6 docs/s All Median Throughput indexappend 66735.3 docs/s All Max Throughput indexappend 67745.6 docs/s All 50th percentile latency indexappend 510.261 ms 3.执行如下命令在Logstash的安装目录下新建配置文件logstashsimple.conf。 cd / / vi logstashsimple.conf 在配置文件logstashsimple.conf中输入如下内容。 input { 数据所在的位置 } filter { 数据的相关处理 } output { elasticsearch{ hosts > " "} } input：指明了数据的来源。实际请根据用户的具体情况来设置。 filter：对日志进行了提取和处理，将非结构化信息转换为结构化信息。 output：指明了数据的目的地址。 为集群中节点的内网访问地址和端口号。 当集群包含多个节点时，为了避免节点故障，建议将上述命令中 替换为该集群中多个节点的内网访问地址和端口号，多个节点的内网访问地址和端口号之间用英文逗号隔开，填写格式请参见如下示例。 hosts > ["192.168.0.81:9200","192.168.0.24:9200"] 当集群只包含一个节点时，填写格式请参见如下示例。 hosts > "192.168.0.81:9200" 以步骤2中“/tmp/accesslog/”的数据文件为例，输入数据文件从首行开始，且过滤条件保持为空，即不做任何数据处理操作。需导入数据的集群，其节点内网访问地址和端口号为“192.168.0.81:9200”。导入数据的索引名称为“myindex”。配置文件的示例如下所示，配置文件按实际数据情况修改完成后，输入“:wq”保存。 input { file{ path > "/tmp/accesslog/" startposition > "beginning" } } filter { } output { elasticsearch { hosts > "192.168.0.81:9200" index > "myindex" documenttype > "mytype" } } 如果集群开启了安全模式，则需要先下载证书。 a. 在集群基本信息页面下载证书。 详见下图：下载证书 b. 将下载的证书存放到部署logstash服务器中。 c. 修改配置文件logstashsimple.conf。 以步骤2中“/tmp/accesslog/”的数据文件为例，输入数据文件从首行开始，且过滤条件保持为空，即不做任何数据处理操作。跳转主机的公网IP和端口号为“192.168.0.227:9200”。导入数据的索引名称为“myindex”，证书存放路径为“/logstash/logstash6.8/config/CloudSearchService.cer”。配置文件的示例如下所示，配置文件按实际数据情况修改完成后，输入“:wq”保存。 input{ file { path > "/tmp/accesslog/" startposition > "beginning" } } filter { } output{ elasticsearch{ hosts > [" index > "myindex" user > "admin" password > "" cacert > "/logstash/logstash6.8/config/CloudSearchService.cer" } } 说明 password：登录安全集群的密码 。 4.执行如下命令将Logstash收集的弹性云主机的数据导入到集群中。 ./bin/logstash f logstashsimple.conf 5.登录云搜索服务管理控制台。 6.在左侧导航栏中，选择“集群管理”，进入集群列表页面。 7.在集群列表页面中，单击待导入数据的集群“操作”列的“Kibana”。 8.在Kibana的左侧导航中选择“Dev Tools”，单击“Get to work”，进入Console界面。 9.在已打开的Kibana的Console界面，通过搜索获取已导入的数据。 在Kibana控制台，输入如下命令，搜索数据。查看搜索结果，如果数据与导入数据一致，表示数据文件的数据已导入成功。 GET myindex/search

sectionbe35b4c9fbc61fc7)或导入告警将告警数据接入态势感知（专业版）。当告警的状态和基础信息发生变化需要修改时，可通过编辑告警修改告警参数。 导入告警：云外资产的告警信息需要通过新增告警或导入告警的方式接入态势感知（专业版）。导入告警支持通过告警列表方式批量创建告警。 导出告警：通过导出告警列表到本地，在本地查看告警信息，或者在团队内共享告警信息时可执行该操作。 攻击 原始的防线告警。 查看攻击信息 导出攻击 处置攻击 告警的风险等级分类 风险等级 描述 致命 致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危 高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危 中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危 低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示 对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。

快速入门 您可以基于以下指引，快速开通天翼云全站加速服务，并通过以下高阶配置策略，提升加速体验。 场景 描述 相关链接 快速接入天翼云全站加速 快速开通全站加速服务，实现一站式网站、应用加速。 开通全站加速服务>>进入客户控制台>>添加加速域名>>验证域名归属权>>配置CNAME 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现最优路径提速回源。 缓存配置 动态回源策略 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速节点之间请求的HTTPS加密，保障数据传输的安全性。 HTTPS配置概述 IPv6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 IPv6配置 海外加速 开启海外加速，可满足出海企业本地化cdn节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 变更加速区域 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。 html页面优化 文件压缩

快速入门 您可以基于以下指引，快速开通天翼云全站加速服务，并通过以下高阶配置策略，提升加速体验。 场景 描述 相关链接 快速接入天翼云全站加速 快速开通全站加速服务，实现一站式网站、应用加速。 开通全站加速服务>>进入客户控制台>>添加加速域名>>验证域名归属权>>配置CNAME 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现最优路径提速回源。 缓存配置 动态回源策略 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速节点之间请求的HTTPS加密，保障数据传输的安全性。 HTTPS配置概述 IPV6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 IPv6配置 海外加速 开启海外加速，可满足出海企业本地化cdn节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 变更加速区域 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。 html页面优化 文件压缩

主机迁移服务是否支持迁移自建的数据库、大数据以及网站等服务 主机迁移服务是整机迁移，只要自建服务部署在主机磁盘中都支持迁移，比如数据库、大数据及网站等服务。如果涉及以上自建服务的迁移，在割接之前需要先暂停服务（源端主机不能停机），否则会出现目的端主机启动时间久、数据不一致以及服务在目的端无法正常启动等情况。 源端服务器SSH端口非默认，是否影响迁移？ 源端服务器SSH端口非默认不影响迁移。 如何获取SMS域名？ 操作场景 启动迁移Agent时，需要填写目的端服务器所在区域的SMS域名，以便获取最新的配置文件。 操作步骤 1. 登录天翼云管理控制台。 2. 在页面左上角，选择目的端服务器所在的区域。 3. 单击“服务列表”，选择“迁移 > 主机迁移服务”，进入“主机迁移服务”页面。 4. 在左侧导航树中，单击“迁移Agent”，进入“迁移Agent”页面。 5. 在Linux服务器Agent安装或Windows服务器Agent安装区域，均可以获取所在区域的SMS域名。 关于迁移完成后，Windows系统、软件的激活说明 主机迁移服务是整机迁移，使用SMS把一台Windows系统的源端服务器迁移到目的端服务器上后，源端服务器中需要许可证（License）的产品需要重新激活。常见的如Windows系统的激活、付费软件的License激活，主机迁移服务无法提供相应的激活服务，Windows系统激活参照如下步骤，其他需要您自行联系软件提供方进行激活。 1. 登录Windows操作系统。 2. 单击“开始”菜单，在“搜索程序和文件”中输入“cmd”，并按“Enter”，打开命令提示符。 3. 执行命令 slmgr.vbs skms 100.125.0.31，配置KMS服务器地址。 4. 执行命令 slmgr.vbs ato，查看是否激活。如果出现错误：0xC004F074 软件授权服务器报告无法激活该云主机。密钥管理服务（KMS）不可用，说明无法激活，需要执行5。 5. 查看云主机时间与标准时间是否一致，时间相差较大会出现无法激活的情况，将其设置为一致。 6. 执行命令 telnet 100.125.0.31:1688，检查物理机到KMS服务器端口是否可达。如果无法连接，说明物理机内部防火墙没有放通1688端口，需要关闭或者放通防火墙TCP 1688端口。如果有安全狗之类的安全软件也请暂时停止使用。 7. 执行命令 Slmgr.vbs ato，重试云主机是否激活。

步骤一：升级前检查 版本升级前需要检查实例状态和实例的CPU使用率、内存使用率、磁盘使用率等监控指标是否正常。 1. 检查实例状态 a. 登录管理控制台。 b. 单击管理控制台左上角的 ，选择区域和项目。 c. 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 d. 在“实例管理”页面，查看实例的运行状态是否正常。 如果实例状态异常，您可以联系技术支持，由工程师给出分析评估后进行处理。 2. 检查监控指标 a. 在页面左上角单击 ，选择“管理与监管 > 云监控服务 CES”，进入“云监控”服务信息页面。 b. 在左侧导航栏选择“云服务监控 > 云数据库 GaussDB”，进入“云服务监控”页面。 c. 在云监控页面，单击需要查看监控的实例，进入“监控指标”页面。 在“实例”页面查看“实例数据磁盘已使用百分比”，查看是否有磁盘满使用率不足的情况。 在“节点”页面查看“CPU使用率”，查看是否有CPU长期过高的情况。 在“节点”页面查看“内存使用率”，查看是否有内存飙升的情况。 如果监控指标异常，您可以联系技术支持，由工程师给出分析评估后进行处理。

本小节介绍态势感知配置虚拟网关及网络配置。 串联部署及网络配置 确保态势感知网关的安全组放行 22 端口，所有态势感知云主机网卡下关闭源/目的检查。虚拟网关的配置需要配合态势感知技术工程师。由态势感知技术工程师配置。 场景A 态势网关，直接下挂业务场景，网络配置步骤： 1. 在天翼云控制中心所有服务中点击网络下的虚拟私有云。 2. 在虚拟私有云中找到对应开通的3台云主机网段，点击进入。 3. 点击路由表选项下添加路由信息，配置路由，下一跳的IP地址为虚拟IP地址 场景B 态势网关下挂负载均衡器场景，网络配置步骤： 步骤一：在天翼云控制中心所有服务中点击网络下的虚拟私有云。 步骤二：在虚拟私有云中找到对应开通的3台云主机网段，点击进入。 步骤三：点击路由表选项，配置路由，下一跳的IP地址为虚拟IP地址

本章节介绍云主机DNS不可用故障演练。 背景介绍 DNS 服务器故障、网络配置错误或网络分区等问题，都可能导致云主机无法解析域名，进而引发服务间调用失败、无法访问外部依赖等严重后果。本演练模拟 DNS 不可用的场景，帮助您评估业务对 DNS 服务的依赖程度和系统的容错能力，提前检验和完善应急预案。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是修改本地DNS解析文件或安全组（防火墙）禁用端口实现。 注意 该动作风险较大，请谨慎操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS不可用动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 排除的域名：故障白名单，多个域名使用逗号分隔，例如test1.com,test2.com。

源端西南1资源池云搜索服务实例操作 1. Elasticsearch实例绑定公网访问：购买弹性IP，在“安全设置”中绑定Elasticsearch集群，安全组开放9200端口访问，具体操作参见“实例公网访问” 2. 创建索引和数据：通过公网ip+端口，在Elasticsearch中插入数据。 创建索引 cpp curl u admin: X PUT " H 'ContentType: application/json' d' { "mappings": { "properties": { "name": { "type": "text" }, "price": { "type": "float" } } } } ' 插入第一个产品 cpp curl u admin: X POST " H 'ContentType: application/json' d' { "name": "Laptop", "price": 899.99 } ' 插入第二个产品 cpp curl u admin: X POST " H 'ContentType: application/json' d' { "name": "Smartphone", "price": 499.99 } ' 3. 打开备份管理功能 开通ZOS服务，创建存储桶，在云搜索控制台开启备份能力，填写AK/SK。具体开通操作可参考“创建快照备份”。 4. 手动备份索引 点击手动备份，填写备份名称“backuptest”，选择存储桶，备份对象我们选择“索引”，填写索引名称“products”，确认。等待备份完成。 目的端华东1资源池云搜索实例操作 1. 开通云主机：在华东1资源池与云搜索实例同一个VPC下，开通一台云主机。 2. 下载安装ZOS数据迁移工具，根据系统下载如下工具包： unzip ZOSMigrationToollinuxamd64.zip chmod +x zsync 3. 打开备份管理功能 开通ZOS服务，创建存储桶，在云搜索控制台开启备份能力，填写AK/SK。具体操作可参考“创建快照备份”。 4. 配置ZOS数据迁移工具 根据实际情况配置migaration.conf文件。 注意 因为云主机在华东1，西南1需要配置外网地址，而华东1只需要配置内网地址。 如果是跨云迁移，例如友商云迁移到天翼云，需要填写不同的srcType。具体可参考ZOS数据迁移工具页面上的《ZOS数据迁移工具使用手册》.pdf文件。 迁移工具里的AKSK需要填ZOS对象存储的。其值可以从对应的对象存储页面获取。 srcUrl/destUrl的值可以从桶页面的概览页获取。 不同版本的迁移工具，配置项可能略有区别，根据实际情况调整即可。 示例配置如下： cpp { "srcType":"S3", "srcUrl":" "srcAccessKey":"", "srcSecretKey":"", "srcBucket":"bucket3cab", "srcMigrationType": "Bucket", "srcMigrateFolder": [], "srcMigrateFiles": [], "srcMigratePrefix": [], "destUrl":" "destAccessKey":"", "destSecretKey":"", "destBucket":"bucket5daa", "destPrefix":"", "multipartSize(megabytes)": 5, "enableConsistencyCheck":"False", "objectStorageClass":"", "objectAcl":"", "recordFailedObject": "True", "migrationAfterModified": "", "migrationBeforeModified": "", "conflictMode": "IGNORE", "logLevel":"DEBUG", "processNums":12, "threadNums":16, "failRetryMode": "False", "retryFailFiles": [] } 5. 启动迁移 迁移完成后，在华东1的对应的桶中，应该可以看到所有的快照信息。备份数据路径参考esearch/snapshots/manual/Elasticsearch。 6. 恢复索引 创建快照仓库： cpp curl u admin: X PUT "ip:9200/snapshot/remoterestoreonly?pretty" H 'ContentType: application/json' d' { "type": "s3", "settings": { "bucket": "bucket5daa", "basepath": "esearch/snapshots/manual/Elasticsearch", "protocol": "http", "endpoint": " } }' 恢复索引： cpp curl u admin: X POST "ip:9200/snapshot/remoterestoreonly/backuptest/restore?pretty" H 'ContentType: application/json' d' { "indices": "products" }' 注意，这里填写的快照名称要和创建时一致。 返回成功： cpp { "accepted" : true } restore完成后查看恢复情况： cpp curl u admin: X GET "192.168.0.24:9200/products/recovery?pretty" 等待索引恢复成功。 7. 迁移完成后清理 删除迁移用的快照： cpp curl u admin: X DELETE "ip:9200/snapshot/remoterestoreonly/backuptest" 删除迁移用的快照仓库： cpp curl u admin: X DELETE "ip:9200/snapshot/remoterestoreonly" 删除ZOS桶中的数据：路径参考：esearch/snapshots/manual/Elasticsearch。

本文为您介绍BOT防护功能说明,以及如何配置BOT防护策略。 网站域名接入云WAF后，您可以选择开启BOT防护功能。通过BOT防护配置，用户可以根据BOT会话行为特征设置BOT对抗策略，对BOT行为动作处理，保护网站核心业务安全。 BOT防护模块提供了默认内置的防护规则，用户也可以自定义添加防护规则。 系统默认规则 WAF提供已知公开的BOT大类，包括Web爬虫、扫描器爬虫、语言库等爬虫类型，用户可以根据自身需求设置防护状态及处置动作，WAF将对命中的BOT请求进行相应处理。 自定义防护规则 用户可以根据实际业务情况自定义防护规则，WAF将根据命中防护规则的请求进行处理。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持BOT防护，请升级到更高版本使用。 配置BOT防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“BOT防护”区域，可以选择开启/关闭防护状态。 配置项 说明 状态 开启或关闭BOT防护。 防护策略 BOT提供了系统默认规则，用户也可以自定义规则。 单击“前去配置”，可以进入到对应的策略配置页面进行配置。

本章节介绍印刷文字识别（OCR) 安全相关的常见问题与解答。 是否可以设置IP白名单呢？ OCR是API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 OCR传输的数据是否经过加密呢？ 天翼云印刷文字识别采用天翼云官网标准EOP网关，数据传输过程有全链路安全保障。若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用OCR服务，图片数据是否会存储？ 因相关规定限制，印刷文字识别公有云服务数据不落盘，用户的图片数据和识别数据均不保留。使用OCR服务后，图片数据就会立即释放，不会存储。

本节介绍如何使用的安全接入点接入Kafka的方法，文档以Java代码为例。 前提条件 已配置正确的安全组。 已获取连接Kafka实例的地址。 如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 已创建弹性云服务器，如果使用内网同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。 需要用户先在用户管理页面创建用户，然后给对应的topic授予生产消费权限。 使用内网同一个VPC访问，实例端口为8092，实例连接地址从控制台实例详情菜单处获取，如下图所示。 Maven中引入Kafka客户端 java Kafka实例基于社区版本2.8.2/3.6.2，推荐客户端保持一致。 org.apache.kafka kafkaclients 2.8.2/3.6.2 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLPLAINTEXT"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); 生产者代码示例 java package com.justin.kafka.service.gw.sasl; import org.apache.kafka.clients.CommonClientConfigs; import org.apache.kafka.clients.producer.Callback; import org.apache.kafka.clients.producer.KafkaProducer; import org.apache.kafka.clients.producer.ProducerConfig; import org.apache.kafka.clients.producer.ProducerRecord; import org.apache.kafka.clients.producer.RecordMetadata; import org.apache.kafka.common.config.SaslConfigs; import org.apache.kafka.common.serialization.StringSerializer; import java.util.Properties; public class Producer { private final KafkaProducer producer; public final static String TOPIC "testtopic2"; public final static String BROKERADDR "192.168.0.11:8092,192.168.0.9:8092,192.168.0.10:8092"; public Producer() { Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLPLAINTEXT"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); props.put(ProducerConfig.ACKSCONFIG, "all"); props.put("retries",3); producer new KafkaProducer<>(props); } public void produce() { try { for (int i 0; i (TOPIC, data), new Callback() { public void onCompletion(RecordMetadata metadata, Exception exception) { if (exception ! null) { // TODO: 异常处理 exception.printStackTrace(); return; } System.out.println("produce msg completed, partition id " + metadata.partition()); } }); } } catch (Exception e) { // TODO: 异常处理 e.printStackTrace(); } producer.flush(); producer.close(); } public static void main(String[] args) { Producer producer new Producer(); producer.produce(); } }

本文罗列了数据管理服务已支持的功能列表,通过列表可帮助您快速了解数据管理服务DMS的功能支持情况。 数据管理服务目前分基础版和企业版两个版本。企业版除了包含基础版所有功能外，还有工单、审批、风险管控、数据权限等许多企业级特性。完整的功能及不同版本差异展示如下： 一级功能 二级功能 功能模块 详细描述 基础版 企业版 相关文档 首页 头部 全局搜索 支持搜索数据库、模式、脚本。 支持 支持 首页概览 实例列表 所有实例列表 可在此查看您有权限查看的实例，并可右键实例名称进行登录实例、查看实例详情、编辑实例、同步元数据、打开查询窗口等快捷操作。 支持 支持 实例列表简介 实例列表 收藏的实例列表 可在此查看您收藏的实例，并可右键实例名称进行登录实例、查看实例详情、编辑实例、同步元数据、打开查询窗口等快捷操作。 支持 支持 实例列表简介 数据资产 实例管理 实例列表 显示当前组织内有权限查看的全部实例，并提供登录、进入库列表、查询、编辑、详情、禁用、启用、授权用户、同步元数据、删除实例等操作。 支持 支持 实例列表 数据资产 实例管理 添加实例 支持添加实例至组织实例库中。 支持 支持 添加云数据库 添加公网/直连数据库 数据资产 实例管理 库列表 显示当前实例内的全部数据库，并提供新建数据库、同步元数据、进入对象列表、查询、删除等操作。 支持 支持 库列表 数据资产 实例管理 模式列表 显示当前库内的全部模式，并提供新建模式、同步元数据、进入对象列表、查询、删除等操作。 支持 支持 模式列表 数据资产 实例管理 对象列表 根据数据库类型显示对应的表、视图、存储过程、函数、事件、触发器、触发器函数、序列等信息，并提供新建、同步元数据、查询、打开、DDL、删除等操作。 支持 支持 对象列表 数据资产 敏感数据保护 敏感实例 支持添加受保护实例、敏感列管理、查看敏感实例元数据、关闭保护。 不支持 支持 敏感数据保护 数据资产 敏感数据保护 敏感列 支持管理敏感列，包括添加、删除、修改敏感列。 不支持 支持 敏感数据保护 数据资产 敏感数据保护 脱敏算法 支持查询所有已定义的以及内置的脱敏算法。 不支持 支持 敏感数据保护 数据资产 敏感数据保护 敏感列权限管控 支持管理敏感列权限，包括申请、授权、回收敏感列权限。 不支持 支持 敏感数据保护 数据资产 敏感数据保护 分类分级 支持管理分类分级模版、识别模型、数据分类、数据分级、数据类型。 不支持 支持 敏感数据保护 数据资产 敏感数据保护 识别任务 支持查询所有敏感实例相关的识别任务。 不支持 支持 敏感数据保护 开发空间 查询窗口 查询窗口 支持查询窗口左侧元数据展示区域切换数据库/模式，进行后续的查询操作。 支持 支持 查询窗口介绍 开发空间 查询窗口 查询窗口 支持列表查看/管理表、可编程对象、已保存的脚本。 支持 支持 查询窗口介绍 开发空间 查询窗口 查询窗口 提供保存脚本功能，可将您常用的脚本保存下来以供您下次方便地使用。 支持 支持 查询窗口介绍 开发空间 查询窗口 查询窗口 提供语法帮助功能，常见语法均可在此处方便地进行查看。 支持 支持 查询窗口介绍 开发空间 查询窗口 查询窗口 支持可视化地新建/编辑表结构。 支持 支持 查询和新建/编辑表结构 开发空间 查询窗口 查询窗口 支持可视化地新建/编辑可编程对象。 支持 支持 新建/编辑可编程对象 开发空间 查询窗口 查询窗口 支持可视化地编辑查询结果集；支持导出结果集。 支持 支持 开发空间 查询窗口 查询窗口 支持SQL诊断功能，以SQL语句作为输入，通过专家知识经验与AI智能对SQL进行诊断与分析，并输出诊断优化建议。 支持 支持 开发空间 查询窗口 查询窗口 支持自然语言生成SQL功能。 不支持 支持 SQL生成 开发空间 查询窗口 查询窗口 支持不受规则限制自由执行SQL，方便紧急情况下进行快速变更。 不支持 支持 管理员模式 开发空间 查询窗口 查询窗口 支持对错误SQL进行修改。 不支持 支持 SQL纠错 开发空间 数据导出 数据导出工单列表 支持查看您已提交的数据导出工单。 支持 支持 数据导出工单列表 开发空间 数据导出 整表导出 支持按CSV、SQL、TXT、Excel文件类型导出整表。 支持 支持 提交导出任务 开发空间 数据导出 整集合导出 支持按JSON、CSV文件类型导出整集合。 支持 支持 提交导出任务 开发空间 数据导出 SQL结果集 支持自定义输入SQL语句导出数据。 支持 支持 提交导出任务 开发空间 数据导入 数据导入工单列表 支持查看您已提交的数据导入工单。 支持 支持 数据导入工单列表 开发空间 数据导入 数据导入 支持CSV、SQL、TXT、JSON、EXCEL文件类型导入至数据库。 支持 支持 提交导入任务 开发空间 结构对比 结构对比工单列表 支持查看您已提交的结构对比工单。 不支持 支持 结构对比 开发空间 结构对比 结构对比 支持同构数据库、不同表以及可编程对象之间的结构差异对比，生成变更SQL。 不支持 支持 结构对比 开发空间 数据对比 数据对比工单列表 支持查看您已提交的数据对比工单。 不支持 支持 数据对比 开发空间 数据对比 数据对比 支持同构数据库、不同表的数据差异对比，生成变更SQL。 不支持 支持 数据对比 开发空间 SQL变更 SQL变更工单列表 支持查看已提交的SQL变更工单列表及详情。 不支持 支持 SQL变更 开发空间 SQL变更 提交SQL变更工单 提交DDL、DML语句生成工单，并根据管控规则检查SQL语句的风险等级并匹配相应审批流进行审批，审批通过后再执行。 不支持 支持 SQL变更 SQL治理 应用SQL审核 SQL审核工单列表 支持查看已提交的SQL审核工单列表及详情。 不支持 支持 SQL审核 SQL治理 应用SQL审核 提交SQL审核工单 支持审核上传的SQL语句并提供改进建议，可避免不规范的SQL上线。 不支持 支持 SQL审核 SQL治理 SQL规范管理 规范列表 支持按不同条件查询所有规范。 不支持 支持 SQL规范 SQL治理 SQL规范管理 规范管理 支持规范的新增、删除、修改。 不支持 支持 SQL规范 SQL治理 SQL规范管理 规则管理 支持在规范中，修改规则的状态和参数。 不支持 支持 SQL规范 SQL治理 慢SQL 慢SQL 支持查看数据库慢SQL的趋势统计、模板分布、SQL明细等信息。 支持 支持 MySQL慢SQL DDS慢SQL []( SQL治理 SQL审计 SQL明细 支持对数据库审计日志进行查阅。提供全量SQL审计功能，支持按实例、日期、节点IP、数据库等筛选审计内容。 支持 支持 SQL明细 SQL治理 SQL审计 统计分析 支持统计与分析数据库中的SQL审计日志，并提供SQL诊断能力。 支持 支持 MySQL统计分析 SQL Server统计分析 SQL治理 SQL风险管理 规则集列表 支持按不同条件查询所有风险规则集列表。 不支持 支持 配置管控规则 SQL治理 SQL风险管理 规则集管理 支持规则集的新增、删除、修改。 不支持 支持 配置管控规则 SQL治理 SQL风险管理 规则管理 支持在规则集中，管理规则，包括新增、删除、修改规则。 不支持 支持 配置管控规则 安全协作 用户与角色 用户列表 提供邀请用户、编辑用户，授权用户数据权限和运维权限等功能。 支持 支持 用户与角色 数据授权 安全协作 团队管理 全部团队列表 提供查询团队列表，以及添加、删除团队等操作。 支持 支持 团队管理 安全协作 团队管理 团队成员管理 提供查看团队成员列表，以及添加、移除团队成员，变更团队成员角色等操作。 支持 支持 团队管理 安全协作 团队管理 团队实例管理 提供查询团队内实例列表以及添加实例至团队操作，同时可快速跳转到实例管理页进行实例的编辑、删除等操作。 支持 支持 团队管理 安全协作 操作审计 DMS SQL明细 可按日期、风险等级、用户等筛选条件查询用户执行过的SQL记录。 支持 支持 DMS SQL明细 安全协作 操作审计 DMS操作审计 可按日期、风险等级、用户等筛选条件查询用户执行过的操作记录。 支持 支持 DMS 操作审计 安全协作 工单列表 任务工单 支持按不同条件查询任务工单，包括数据导入、数据导出等工单，并可查看工单详情。 支持 支持 工单列表 安全协作 工单列表 权限工单 支持按不同条件查询权限工单，以及查看工单详情，并提供权限工单申请功能。 不支持 支持 工单列表 安全协作 工单列表 团队工单 支持按不同条件查询团队工单，以及查看工单详情，支持用户申请加入团队。 支持 支持 工单列表 安全协作 审批流 审批模板列表 支持查询所有已定义的以及内置的审批模板 不支持 支持 审批流 安全协作 审批流 审批模板管理 支持新增、删除、修改审批模板。 不支持 支持 审批流 智能运维 实例概览 支持实例健康度排行、新增告警趋势与性能监控。 支持 支持 实例排行 智能运维 实例画像 可在此查看实例画像详情、节点监控与告警信息，并提供告警触发源分析。 支持 支持 实例画像 智能运维 一键诊断 帮助数据库运维人员迅速定位实例存在的异常问题。 支持 支持 一键诊断 智能运维 会话管理 帮助数据库运维和管理人员，快速查看与管理实例的会话信息，并支持高效定位难以排查的异常会话与阻塞问题。 支持 支持 MySQL会话管理 PostgreSQL会话管理 []( Server会话管理 []( 智能运维 SQL限流 可以控制数据库请求访问量和SQL并发量，保障服务的可用性。 支持 支持 SQL限流 智能运维 性能分析 性能总览 提供丰富的节点维度指标的查看。 支持 支持 性能总览 智能运维 性能分析 性能趋势 性能趋势的数据来源于统一监控采集上报，提供丰富的性能监控指标的区间查看和对比。 支持 支持 性能趋势 智能运维 性能分析 性能直查 性能直查的数据来源于对实例的即时查询。支持实时查看实例的性能指标趋势。 支持 支持 性能直查 智能运维 空间分析 可以直观地查看数据库实例的空间使用概况、空间剩余可用天数，以及数据库中Top表的空间使用情况、空间碎片、TOP库空间使用情况、空间异常诊断等，可以根据分析内容进行判断磁盘是否需要扩容以及碎片整理、索引的合理性等。 支持 支持 MySQL空间分析 PostgreSQL空间分析 []( 智能运维 锁分析 可以直观分析数据中死锁、元数据锁和Innodb锁的趋势和阻塞关系。 支持 支持 MySQL锁分析 PostgreSQL锁分析 SQL Server锁分析 []( 智能运维 性能洞察 支持对数据库性能进行AAS负载分析。 支持 支持 性能洞察 智能运维 诊断报告 诊断报告提供一键生成实例诊断报告的能力。 支持 支持 诊断报告 智能运维 数据追踪 数据追踪工单列表 支持查看您已提交的数据追踪工单。 不支持 支持 数据追踪 智能运维 数据追踪 数据追踪 支持按指定时间段追踪数据的变更记录，并生成回滚和重建脚本。 不支持 支持 数据追踪 智能运维 健康巡检 支持基于预定的巡检项配置巡检模版，并基于巡检模版启动巡检任务，获取巡检报告。 不支持 支持 健康巡检 智能运维 异常管理 可以通过异常管理自定义异常通知，当数据库实例触发异常项时，智能运维服务会接收到异常通知。 支持 支持 异常管理 个人中心 个人信息 展示您的个人信息。 支持 支持 个人信息 个人中心 我的团队 团队成员 展示您当前所在团队的成员信息。 支持 支持 我的团队 个人中心 我的团队 团队实例 展示您当前所在团队的实例信息。 支持 支持 我的团队 个人中心 我的组织 展示您当前所在的组织信息。 支持 支持 我的组织 AI智能 DMS助手 数据库常见问题解答及DMS帮助。 支持 支持 DMS助手 AI智能 SQL生成 根据自然语言生成SQL 不支持 支持 SQL生成 AI智能 SQL纠错 对错误SQL进行修改 不支持 支持 SQL纠错

DDoS高防（边缘云版）是否对接入端口有限制？ 接入端口因国家备案要求，所以不支持80，8080，443，8443端口接入，有该端口需求可使用域名接入。 此外端口有预留部分内部端口，详情可见控制台实时更新。 DDoS高防（边缘云版）支持对非域名业务进行防护么？ HTTP、HTTPS协议接入的域名，必须使用域名接入。 如果没有域名，可选择TCP、UDP协议端口接入（80，8080，443，8443及因安全问题而限制的端口除外）。 DDoS高防（边缘云版）源站IP可以填写内网IP吗？ 不可以。DDoS高防（边缘云版）通过公网进行回源，不支持在源站IP填写内网IP，必须要求天翼云节点到源站IP可达，否则业务将无法正常转发到源站。 DDoS高防（边缘云版）配置多个源站时如何进行负载均衡？ 针对域名接入的回源配置，支持设置源站的权重，根据权重及IPHASH的方式进行负载均衡。具体配置可详见新增域名。 针对端口接入的回源配置，多个源站将通过轮询的方式进行转发。具体配置可详见新增规则。 接入DDoS高防（边缘云版）业务时，业务会中断吗？ 业务接入DDoS高防（边缘云版）时，需要把域名解析从源站IP替换成天翼云的CNAME，该过程因为有Local DNS缓存的影响， 修改DNS解析后仍然会有部分请求未经过天翼云节点直接访问到源站IP。 为避免域名解析生效过程中业务中断，建议您的源站继续提供服务，直到域名解析全部生效，再调整源站的访问策略，如黑白名单等。