关系数据库MySQL版已对接天翼云统一身份认证服务（IAM），可实现账号委托功能。账号委托的操作步骤如下： 操作步骤 1. 进入IAM的控制中心页面 2. 在左侧导航栏点击“委托”，进入账号委托管理页面。 3. 点击右上角的“创建委托”，进入创建委托页面。 4. 选择“可信实体类型”，点击“下一步”。 5. 填写“委托名称”、“备注”、“委托账号”，点击“完成”。即可完成账号委托。

参数 是否必填 参数类型 描述 kubernetes.io/elb.securitypolicyid 否 String ELB中自定义安全组策略ID，请前往ELB控制台获取。该字段仅在HTTPS协议下生效，且优先级高于默认安全策略。 kubernetes.io/elb.tlscipherspolicy 否 String 默认值为“tls12”，为监听器使用的默认安全策略，仅在HTTPS协议下生效。取值范围：l tls10l tls11l tls12l tls12strict tls 否 Array of strings HTTPS协议时，需添加此字段。该字段可添加多项独立的域名和证书，详见配置服务器名称指示（SNI）。 secretName 否 String HTTPS协议时添加，配置为创建的密钥证书名称。

本文介绍如何将镜像加入白名单。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表操作列中的“加入白名单”，进入加入白名单页面。 5. 输入白名单名称，选择应用于哪些节点和仓库，备注描述信息。 6. 单击“保存”，即可将该镜像加入白名单，之后在相应节点和仓库中扫描到该镜像时，将不会产生告警。

本章节介绍云主机网络包重复故障演练。 背景介绍 在网络传输过程中，因设备配置错误（如交换机端口镜像）、中间件异常（如负载均衡重复转发）或协议缺陷，可能导致数据包被复制并多次送达目标主机。虽然 TCP 协议能够识别并丢弃重复的数据包以保证数据完整性，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

本文介绍了TCP、UDP数据包超过MTU值时会产生分片的情况及如何设置安全策略。 数据包过MTU时分片说明 网络最大传输单元MTU（Maximum Transmission Unit）决定了网络上单次可传输数据包的最大尺寸，包含IP数据包头和载荷，不包含以太网头部。以太网缺省MTU1500字节，这是以太网接口对IP层的约束，如果IP层有 1500字节数据需要发送，需要分片才能完成发送。所有分片报文在发送至目的主机后，在目的主机进行分片重组，恢复为原报文。 TCP和UDP数据包大小限制说明 1、如果您定义的TCP和UDP包没有超过范围（默认MTU为1500字节），那么您的数据包在IP层就不用分包，这样传输过程中就避免了在IP层组包发生的错误； 2、如果超过范围，因为多个分片包只有第一个是有包头的，它可以根据包头里的端口号通知相应的应用取走，但是后面的分片包由于没有包头，传输层无法把分片包交给正确的应用程序，导致后面的分片包内容丢失，在目的端无法重组报文。 安全规则配置策略 如果您有大包分片报文需求，在配置安全组规则时： 1、对于可用区资源池来说，目前不支持IPv4协议和IPv6协议类型的TCP、UDP分片大包进行指定端口过滤。您配置规则时需要将端口范围指定为165535，不进行指定端口过滤。 2、对于地域资源池来说，目前仅支持IPv4协议类型的TCP、UDP大包分片报文进行指定端口过滤，不支持IPv6协议类型。具体情况以控制台展示为准。

可选配置 零信任针对远程办公提供丰富的安全管控策略，目前部分策略控制台待开放，如有需求，可联系我们。 登录策略：主要是针对登录的密码策略、二次认证方式进行设置，可进行快捷打开或关闭二次登录，开启二次认证时，默认使用上次所勾选的二次认证方式 ，若无已勾选的二次认证方式，则默认采用短信验证码进行二次认证，如需配置其他方式，可到账户安全进行配置，若未开启二次登录则安全策略未配置将计数累加1。 访问控制：部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，详情可查看配置访问控制，此处快捷展示已配置的规则条数，若配置条数为0则安全策略未配置将计数累加1。 横向扫描防护：针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，主要都是针对单用户进行不同协议、端口、地址的组合判断频次，若高于异常则进行阻断或挑战认证。详情可查看横向扫描防护，此处快捷展示已配置的规则条数，若配置条数为0则安全策略未配置将计数累加1。 准入管控：可通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功。详情可查看准入管控，此处快捷展示已配置的规则条数，若配置条数为0则安全策略未配置将计数累加1。 动态授权：实时获取终端环境情况，进行实时判别是否存在符合条件，若存在异常则根据策略执行阻断、二次认证等处理。详情可查看动态授权，此处快捷展示已配置的规则条数，若配置条数为0则安全策略未配置将计数累加1。 内外网隔离：可针对常用的互联网域名、ip设定黑白名单进行互联网行为控制，客户端搭配快捷上下线能力，保障用户体验。详情可查看内外网隔离，此处快捷展示是否已开启该能力，若未开启则安全策略未配置将计数累加1。

本节介绍了用户指南；存储概述。 存储概述 云容器引擎的存储功能基于Kubernetes容器存储接口（CSI），与天翼云存储服务（如云硬盘，弹性文件服务、对象存储、并行文件和海量文件等）深度融合，完全兼容Kubernetes原生的存储服务，包括 EmptyDir、HostPath、ConfigMap 和 Secret 等各种存储类型。 天翼云容器引擎集成云存储服务和原生存储服务，为应用程序提供可靠、高性能的存储解决方案。 存储类型概览 由于Container 中的文件在磁盘上是临时存放的，为了解决持久化存储以及同一 Pod 中多个容器共享文件，Kubernetes提出使用数据卷（Volume）作为Pod与外部存储设备进行数据传递的通道，也是Pod内部容器间、Pod与Pod间、Pod与外部环境进行数据共享的方式。 云容器引擎从实现方式以及存储介质上对数据卷进行划分，主要有两类： 存储类型 说明 容器存储接口 OutofTree形式存储卷，使用标准的容器存储接口形成自定义存储插件，用户可以通过PVC/PV的形式实现挂载 。 存储介质为天翼云存储，包括云硬盘、弹性文件、对象存储等类型， 一般用于存储可用性要求较高的数据，或部分数据需要共享的场景。 云容器引擎通过 cstorcsi 实现该能力。 Kubernetes原生存储 InTree形式存储卷，通过Kubernetes代码仓库统一构建、编译、发布，比如ConfigMap一般用于给Pod注入配置数据、Secret一般用于给Pod传递敏感信息。 容器存储类型概览如下: 云硬盘 弹性文件 对象存储 并行文件 海量文件 概念 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为弹性云主机和弹性裸金属服务器提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可为云上多个弹性云服务器、容器、裸金属服务器提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，通过S3协议和标准的服务接口，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 并行文件服务 HPFS（CTHPFS，High Performance File Storage）是由天翼云提供的高性能并行文件存储，具有高性能，高可靠性，高可扩展性的特点，充分满足影视渲染、自动驾驶等计算和数据密集型场景的需求。 海量文件服务OceanFS（）是天翼云推出的全托管、可扩展海量文件系统，满足海量数据、高带宽型应用场景的需求。OceanFS能够弹性扩展至PB规模，具备高可用性和持久性。 数据存储逻辑 存放的是二进制数据，无法直接存放文件，如果需要存放文件，需要先格式化文件系统后使用。 采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 将数据存储为独立的对象。每个对象由数据本身和与之相关的元数据（例如文件名、文件类型、大小等）组成。 采用文件存储方式，会以文件和文件夹的层次结构来整理和呈现数据。 采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 动态存储卷 支持 支持 支持 支持 支持 静态存储卷 支持 支持 支持 支持 支持 支持数据共享 共享盘支持 支持 支持，一般用于共享读场景，不建议用于写场景。 支持 支持 存储容量 10~ 32768GB 500~ 19480GB 512GB~10PB 100GB~4PB 应用场景 如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化；大规模数据处理与分布式计算等高性能计算场景。 如应用程序的配置文件、日志文件等需要共享的文件数据以及在容器化应用中支持多个容器实例之间的数据共享和同步。 如大数据分析，数据湖，数据备份和归档等大规模数据存储和分析场景；静态网站托管解决方案存储。 如影视渲染、气象分析、石油勘探、EDA仿真、基因分析、AI训练、自动驾驶等计算和数据密集型场景的需求。 如HPC、媒体处理、文件共享、内容管理和Web服务等多种场景。 产品规格 参见：点这里 参见：点这里 参见：点这里 参见：点这里 参见：点这里 计费说明 参见：点这里 参见：点这里 参见：点这里 参见：点这里 参见：点这里

本章节为您介绍信任规则的相关内容 数据库安全网关对捕获到的数据包进行深度协议解析，精确提取其中的各项字段信息，并与预先设定的信任规则在多个维度上进行细致比对，从而判断语句是否值得信任。 若符合规则条件则放行请求，确保其顺畅无阻地通过，同时避免触发任何不必要的阻断或告警。 新增信任规则 1.在左侧菜单栏选择“规则配置 > 信任规则”进入信任规则页面。 2.单击信任规则列表上方的“新增规则”按钮，即可开始新增信任规则。 3.在弹出的新增规则窗口内，根据您业务的实际需求填写配置项后，单击“保存”。 基本信息配置表 配置项 说明 名称 设置规则名称，必须为中文字符、字母、数字、“”、“.”或“”，长度不超过64 字符。 描述 规则描述，长度不超过1000 字符。 等级 可选高风险、中风险、低风险，默认选择高风险。 适用场景 默认选择缺省场景，可根据场景进行选择。 动作 可选允许访问、命令阻断、会话阻断。 若为旁路部署模式，可选允许访问、会话阻断、IP阻断。 规则类型 可选普通规则和统计规则： 普通规则：单条审计记录匹配到普通规则，会触发生成一条普通告警（例如一条Select语句，可能会触发一条告警）。 统计规则：指定时间内多次匹配到统计规则，触发至阈值后，会触发生成一条统计规则告警（例如5 分钟内10 次Select 失败，可能会触发一条统计告警），并会为客户端生成一条普通阻断规则。 统计方式 可选频次统计和累加统计。（统计规则配置项） 频次统计：指定时间内匹配统计规则达到累计次数。 累加统计：指定时间内匹配统计规则达到累计行数。 客户端信息配置表 配置项 说明 客户端来源 访问业务类型的客户端IP或IP组。可填写多个，以逗号“,”分隔。 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端工具名 支持字符串匹配、正则表达式匹配、分组选择方式匹配。选择字符串，可配多个客户端工具名，使用逗号“,”分隔。 例：db2bp.exe,javaw.exe,plsqldev.exe。 操作系统用户 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 客户端主机名 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 服务端信息配置表 配置项 说明 数据库账号 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 数据库名（SID） 支持字符串匹配、正则表达式匹配。Oracle数据库输入SID，其他数据库输入数据库名。 选择字符串，可填多值，多个值间以逗号“,”分隔。 行为信息配置表 配置项 说明 对象组 指定规则所匹配的对象组。支持“包含任一对象则满足”或“包含所有对象才满足”。 说明 对象组、数据级别、敏感数据类型间是“或”的关系，与其他规则配置是“与”的关系。 数据级别 多选项，可选一级、二级、三级、四级、五级。 敏感数据类型 多选项，可选内置类型或后续新增的类型。 支持“包含任一类型则满足”或“包含所有类型才满足”。 操作类型 指定SQL语句的操作类型，如Select、Update、Delete等。可根据DDLDMLDCL来选择。 SQL模板ID 可填多值，多个值间以逗号“,”分隔。在审计日志详情中可查看。 SQL关键字 SQL关键字：支持以正则表达式方式匹配报文。单击 输入表达式和校验内容，单击 ，验证输入内容与SQL关键字中的正则表达式是否匹配。可单击“添加条件”可添加多个关键字。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)。条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2 个SQL关键字条件，且两个关键字都要满足才能告警。 SQL长度 取值范围1B~64KB。 WHERE子句 是否包含WHERE，支持三个选项：不判断、有WHERE子句、没有WHERE子句。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname; FROM tablename; WHERE columnname operator value; 结果信息配置表 配置项 说明 执行时长 允许配置从0 到半个小时之间的任意范围。 SQL执行时长属于此范围，则触发规则。 影响行数 允许配置从0 到999999999之间的任意范围，单位为行。 SQL操作返回的影响的行数属于此范围，则触发规则。 当且仅当该规则关联的资产配置了默认数据源时影响行数生效。 返回结果集 返回结果集：支持以正则表达式方式匹配结果集。单击“正则验证”输入结果集内容，单击“提交”，验证输入内容与返回结果关键字的正则表达式是否匹配。可通过“添加条件”添加多个条件。 条件运算逻辑表达式：条件间的关系，支持“与、或、非、括号”运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2 个结果集条件，且结果集中需要 同时满足这以上两个条件才能告警。 执行状态 可选全部、成功、失败，默认为全部。 执行结果描述 支持以正则表达式方式匹配。 其他信息配置表 配置项 说明 生效周期 可自定义或者选择时间组。自定义时间可选择任意时间、每天、每周或每月。 生效时间 设定具体的日期和时间范围，以确定其生效时间。规则的最终生效时间是生效周期和设定时间范围的交集。

本节介绍Fluid功能和概念。 Fluid概述 Fluid是一个开源的云原生的分布式数据集编排和加速引擎，为AI和大数据云原生应用提供服务。 它旨在通过透明的数据管理和优化调度，帮助AI和大数据应用高效利用任何存储的数据，而无需修改现有应用。Fluid支持自动化的数据调度、缓存加速和弹性扩展，提升数据访问效率，确保在大规模分布式环境中实现高效的存储和计算协同。 Fluid功能 作为一款开源的云原生基础架构，Fluid为AI与大数据云原生应用提供一层高效便捷的数据抽象，将数据从存储抽象出来，以便实现以下功能： 数据集抽象原生支持：将数据密集型应用所需基础支撑能力功能化，实现数据高效访问并降低多维管理成本。 可扩展的数据引擎插件：提供统一的访问接口，方便接入第三方存储，通过不同的Runtime实现数据操作。 数据弹性和调度：将数据缓存技术和弹性扩缩容 、数据亲和性调度能力相结合，提高数据访问性能。 应用编排：结合Kubernetes调度器，将计算任务优先调度至已缓存数据的节点，减少网络传输开销，提升计算效率。 Fluid基础概念 Dataset：数据集，抽象成逻辑上相关的一组数据的集合，被运算引擎使用。它允许用户定义数据集的位置、格式、版本、数据访问权限等信息。Dataset可以与不同的存储引擎（如Alluxio、JuiceFS等）结合使用，确保数据的统一管理和高效访问。 Dataset Operation：对Dataset执行的数据操作任务，例如数据预热、数据迁移、数据缓存清理等。这些操作通过Fluid的CRD进行定义和管理，帮助用户优化数据访问性能或维护数据生命周期。 Runtime：实现数据集安全性、版本管理和数据加速等能力的执行引擎，定义了一系列生命周期的接口。可以通过实现这些接口，支持数据集的管理和加速。 AlluxioRuntime：作为 Cache Engine Pods 的一种实现，基于开源数据编排框架 Alluxio构建，用于在 Kubernetes 集群中提供高性能的数据缓存与访问加速能力，支持PVC、Hostpath、ZOS加速。

本文主要介绍消息队列 Kafka 发布者的最佳实践，从而帮助您更好的使用该产品。 文中的最佳实践基于消息队列 Kafka 的 Java 客户端；对于其它语言的客户端，其基本概念与思想是通用的，但实现细节可能有差异，仅供参考。 Kafka 发送示例代码片段 Key 和 Value Kafka 0.10.0.0 的消息字段只有两个：Key 和 Value。Key 是消息的标识，Value 即消息内容。为了便于追踪，重要消息最好都设置一个唯一的 Key。通过 Key 追踪某消息，打印发送日志和消费日志，了解该消息的发送和消费情况。 失败重试 在分布式环境下，由于网络等原因，偶尔的发送失败是常见的。导致这种失败的原因有可能是消息已经发送成功，但是 Ack 失败，也有可能是确实没发送成功。 消息队列 Kafka 是 VIP 网络架构，会主动掐掉空闲连接（30 秒没活动），也就是说，不是一直活跃的客户端会经常收到 “connection rest by peer” 这样的错误，因此建议都考虑重试消息发送。 异步发送 发送接口是异步的；如果你想得到发送的结果，可以调用metadataFuture.get(timeout, TimeUnit.MILLISECONDS)。 线程安全 Producer 是线程安全的，且可以往任何 Topic 发送消息。通常情况下，一个应用对应一个 Producer 就足够了。 Acks Acks的说明如下： acks0，表示无需服务端的 Response，性能较高，丢数据风险较大； acks1，服务端主节点写成功即返回 Response，性能中等，丢数据风险中等，主节点宕机可能导致数据丢失； acksall，服务端主节点写成功，且备节点同步成功，才返回 Response，性能较差，数据较为安全，主节点和备节点都宕机才会导致数据丢失。 一般建议选择 acks1，重要的服务可以设置 acksall。

本节介绍如何执行数据投递投递授权。 操作场景 数据投递新增后，需进行投递权限授予操作，接受授权后，投递才会生效。 前提条件 已新增数据投递。 约束与限制 如果新增的数据投递为跨账号投递，则需要登录目的账号进行授权操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，选择“投递权限授予”页签，进入投递权限授权页面后，单击目标投递任务所在行“操作”列的“接受”。 如需批量接受授权，可以勾选所有需要授权的任务，然后单击列表左上角的“接受”。 授权授予后，目标投递任务授权状态更新为“已授权”，更新后，可前往投递目的地查看投递情况，详细操作请参见查看数据投递情况。 相关操作 在跨租投递权限授权页面可以的投递权限进行拒绝 和取消授权操作： 操作 具体操作方法 拒绝 在目标投递任务所在行“操作”列，单击“拒绝”。 如需批量拒绝授权，可以勾选所有需要拒绝的任务，然后单击列表左上角的“拒绝”。 取消 1. 在目标投递任务所在行“操作”列，单击“取消”。 如需批量取消授权，可以勾选所有需要取消的任务，然后单击列表左上角的“取消”。 2. 在弹出的确认框中，单击“确定”。

适用场景 高并发查询（如电商大促、实时监控）。 复杂聚合请求（如多维度分析、嵌套查询）。 部署策略​​ 独立部署：与数据节点分离，避免请求分发占用数据节点的CPU/内存资源。 负载均衡：如果开通了ELB服务，可将ELB服务配置到专属协调节点，从而将流量均匀分配至多个协调节点。 协调节点规格建议购买较高规格的机型，比如esearch8c32g。 冷数据节点 冷数据节点是面向历史数据存储的专用节点类型，用于存储访问频率低、响应时效要求较宽松的冷数据（如超过30天的日志、归档业务数据等）。通过将冷热数据分离，可实现存储成本优化与查询效率的平衡。 适用场景 历史数据归档（如超过半年的交易记录、审计日志）。 低频访问数据（如季度/年度报表、备份索引）。 存储成本敏感型业务（需降低高性能节点资源占比）。 存储介质选择 建议选择大容量较低规格的存储类型，适合冷数据长期保存。 容量规划 冷节点存储容量建议为热节点的35倍，例如： 热节点配置500GB SSD存储，冷节点配置2TB HDD存储。 可通过生命周期管理策略自动迁移超期索引。 标签管理 冷节点默认携带node.attr.tag: stale标签，支持指定新创建索引到冷数据节点或者对已创建索引动态迁移： xml PUT /historicallogs/settings { "index.routing.allocation.require.tag": "stale" } 规划实例安全模式 实例的安全模式主要分为http模式和https模式。 http模式：适合通过内网访问实例的场景，通过http协议明文传输数据。 https模式：适合需要公网访问实例的场景。 实例订购时默认开通https模式。如果需要使用http模式，可在实例开通完成后，在安全设置页面修改为http访问。 不管http模式还是https模式，都必须通过用户名密码才能访问Elasticsearch/OpenSearch集群。 管理员账户名默认为admin，密码为创建集群时设置的管理员密码。 规划索引分片数

本文介绍边缘安全加速平台学术加速版本的情况。 产品介绍 边缘安全加速平台学术加速是天翼云旗下一款提供海外教育资源加速服务的应用软件，基于天翼云优质的边缘网络资源与加速技术，有效解决高校访问海外教育资源时的访问体验差、合规性无保障等问题，满足高校师生访问跨境学术资源、海外线上学术会议、跨境教育SaaS应用等场景的加速需求，帮助学生拓展学习视野，获得最佳的学术体验。 套餐和版本概述 天翼云边缘安全加速平台学术加速支持包年包月套餐和固定资源包计费模式。目前学术加速版本主要是分为：个人版、企业版。 版本功能列表 下表描述了主要功能模块在不同版本中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能 描述 个人版 企业版 国外学术资源加速 一键加速 提供国外学术加速开关，可以进行海外saas应用加速。 √ √ 国外学术资源加速 桌面终端 提供PC端的客户端程序，支持Windows，MacOs系统。 √ √ 国外学术资源加速 移动终端 提供移动端的APP程序，支持IOS、安卓系统手机。 √ √ 国外学术资源加速 身份权限管控 支持按身份，角色，用户组，组织架构等进行授权和管控。 × √ 国外学术资源加速 认证管理 支持添加自定义认证源，添加企微等第三方认证源，统一企业接入零信任服务的登录认证管理。 × √ 终端管理 终端列表 终端资产进行盘点、展示，用于分析。 × √ 产品服务 日志审计 提供日志审计功能，进行访问行为审计。 × √ 客户端功能 一键加速 学术加速开关，可以进行海外saas应用加速。 √ √ 客户端功能 我的收藏 用于管理用户收藏学术网站。 √ √ 客户端功能 教育加速资源 提供学术加速资源列表，可直接点击访问。 √ √ 客户端功能 最近访问 提供最近访问记录。 √ √ 客户端功能 常用服务 支持快捷诊断和应用诊断。 √ √ 客户端功能 用量统计 提供加速流量统计。 √ √ 客户端功能 修改个人信息 密码、手机号等。 √ √ 客户端功能 我的订购 展示用户购买资源包和使用情况查看。 √ × 客户端功能 问题反馈 可点击上报问题反馈。 √ √ 客户端功能 公告 提供系统公告展示。 √ √ 客户端功能 版本更新 提供版本更新检测和客户端下载。 √ √

本章节介绍云主机网络包重复故障演练。 背景介绍 在网络传输过程中，因设备配置错误（如交换机端口镜像）、中间件异常（如负载均衡重复转发）或协议缺陷，可能导致数据包被复制并多次送达目标主机。虽然 TCP 协议能够识别并丢弃重复的数据包以保证数据完整性，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

本节介绍了什么是数据库备份、备份类型、备份机制等内容。 什么是数据库备份 RDS for MySQL会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期（1~732天）保存数据库实例的自动备份。 每次备份完成后都会生成一个备份文件，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 备份类型 RDS for MySQL包含多种备份类型，不同备份类型的概念介绍以及功能差异，请参见备份类型。 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即Binlog备份，RDS系统自动每5分钟或一定数据量时对上一次全量备份或增量备份后更新的数据进行备份。 备份触发过程 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从备库备份数据并以压缩包的形式存储在对象存储服务上（当主备复制延迟较高时会切换到主机备份），不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持主备高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。

本节介绍了什么是数据库备份、备份类型、备份机制等内容。 什么是数据库备份 RDS for PostgreSQL会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期（1~732天）保存数据库实例的自动备份。 每次备份完成后都会生成一个备份文件，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 备份类型 RDS for MySQL包含多种备份类型，不同备份类型的概念介绍以及功能差异，请参见备份类型。 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即Binlog备份，RDS系统自动每5分钟或一定数据量时对上一次全量备份或增量备份后更新的数据进行备份。 备份触发过程 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从备库备份数据并以压缩包的形式存储在对象存储服务上（当主备复制延迟较高时会切换到主机备份），不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持主备高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。

本节介绍风险阻断的用户指南。 概述 通过风险阻断功能，配置阻断规则以及可放通的规则和漏洞白名单，能够在拉取镜像时检查容器镜像是否符合阻断策略，并采取阻断措施，返回相关阻断说明。提高容器运行环境的安全系数。 添加风险阻断策略 本功能只能在企业版实例使用，对于个人版实例不支持使用此功能。 1. 进入容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择已开通的企业版实例。 4. 在企业版实例管理页面的左侧菜单上选择 "安全可信" "风险阻断"，在界面左上角点击“配置阻断策略”按钮。 5. 在弹出界面中设置策略所属命名空间、阻断规则、放通未扫描和漏洞白名单等信息，点击“确定”，各参数说明如下： 参数 是否必填 说明 命名空间 必填 本策略关联的命名空间，凡是此命名空间下的所有镜像拉取都会使用当前策略进行检查。 阻断规则 必填 可选项包括：严重、高危、中危和低危。凡是所拉取的镜像包含规则指定漏洞等级及以上的，则会被阻断拦截。 放通未扫描 非必填 当所拉取的镜像因正在扫描或者扫描失败而无法获取扫描结果的，需要勾选此选项方可正常拉取，否则仍然会被阻断拦截。 漏洞白名单 非必填 可录入一条或多条漏洞的CVE ID（多条用英文逗号“,”分隔），如果镜像安全扫描结果中包含该漏洞ID，将被阻断规则忽略。

本文介绍如何为ECI实例分配IPv6地址。 ECI实例同时支持IPv4和IPv6地址，相比IPv4，IPv6大大扩展了地址的可用空间。本文介绍如何为ECI实例分配一个IPv6地址。 背景信息 IPv4的应用范围虽广，但网络地址资源有限，制约了互联网的发展。IPv6不仅可以解决网络地址资源有限的问题，还可以解决多种接入设备连入互联网障碍的问题。 前提条件 1、已为ECI实例所属的VPC和子网开通IPv6网段功能。 2、指定vCPU和内存创建的ECI实例均支持配置IPv6地址。指定ECS规格创建ECI实例时，请先确保指定的ECS规格支持IPv6。 在满足以上条件后，会自动为创建的eci实例分配IPv6地址，可调用describeContainerGroup接口查看ipv6Address字段。 使用条件 需放开IPv6的安全组规则。放开IPV6的安全组规则后，ECI实例之间可以通过IPv6地址实现互相访问。

本文介绍如何变更安全加速套餐。 您如果有变更套餐的需求，您可以登录天翼云官网，在订单管理产品中找到您的订单，点击“订购”提交您的变更需求。目前套餐变更只支持升级套餐，不支持降级套餐的操作。 产品变更页面

本文通过示范举例，向您介绍天翼云云搜索服务Logstash实例可以提供的数据写入能力。 Logstash作为一个强大的数据收集和转发工具，可以从各种来源（如Kafka、数据库等）获取日志数据，并通过灵活的过滤器对数据进行清洗、格式转换和增强。经过处理后的数据可以被发送到多个目标系统，如Elasticsearch、OpenSearch或者其他数据库和分析平台，从而帮助企业在更短的时间内获取、分析和展示数据。这种处理方式对于日志分析、监控、事件追踪等场景尤为重要。 这里，我们以一个示范的例子读取Kafka中的数据转换后写入到Elasticsearch，向您简单介绍天翼云Logstash实例如何帮助企业实现高效的日志数据流处理。 前提条件 1. 已在同VPC下开通Kafka服务和Elasticsearch实例。 2. 获取相应内网地址和端口，例如192.168.XX.XX:9200。 操作步骤 创建Logstash实例 1. 在云搜索服务实例创建页面选择已经开通好的Elasticsearch实例，点击进入Elasticsearch实例，选择Logstash加装。 2. 订购周期、当前区域（即资源池）、可用区、填写实例名称、节点规格等基础配置信息后，按页面提示并根据需要进行配置，然后点击下一步。 3. 按页面提示，勾选相关协议，完成订单付款，即可完成订购，等待资源开通完成，对应实例处于“运行中”状态，即为开通成功。

导出遵从包 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，默认进入遵从包页面。 5. 在下方遵从包列表中勾选需要导出的遵从包，并单击遵从包列表左上角的“导出”。 6. 在弹出的对话框中，选择导出格式并自定义勾选需要导出的列。 7. 单击“导出”。 编辑、启用、停用或删除遵从包 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，默认进入遵从包页面。 5. 在遵从包列表中，对遵从包进行编辑、启用、停用或删除操作。 操作名称 操作说明 编辑自定义新增的遵从包 1. 单击目标自定义新增的遵从包名称。 2. 编辑基本信息：在目标遵从包详情页面中，可以单击遵从包名称、描述等信息后的，编辑后，单击，保存修改。 3. 编辑遵从包内容：在遵从包内容所在栏中单击“编辑”，编辑遵从包节点或选择需要关联的检查项，编辑完成后单击“确认”。 停用遵从包 1. 单击目标遵从包所在行操作列的“停用”。 2. 在弹出的确认框中，单击“确定”。 3. 停用后，在遵从包页面可查看对应遵从包的状态变更为“未启用”。 启用遵从包 1. 单击目标遵从包所在行操作列的“启用”。 2. 在弹出的确认框中，单击“确定”。 3. 启用后，在遵从包页面可查看对应遵从包的状态变更为“启用”。 删除自定义新增的遵从包 仅自定义遵从包的且“状态”为“未启用”的遵从包支持删除。 1. 单击目标自定义新增的遵从包所在行操作列的“删除”。 2. 在弹出的对话框中，确认删除并输入“DELETE”，单击“确定”。

定价示例 定价示例1：初创团队远程办公 您要为小于10人的团队提供零信任服务，解决居家办公、移动办公等场景下的内网接入问题，实现整个企业办公安全统一管控。 推荐选择AOne零信任的免费版，包含10个账号数，流量每月100GB，每月消费0元。 定价实例2：小型团队远程办公 您要为30人左右的团队提供零信任服务，日常访问流量在300GB以上，解决团队协作、移动办公等场景下的内网接入问题，实现整个企业办公安全统一管控。 推荐选择AOne零信任的VPN版，包含30个账号数，流量每月300GB，每月消费180元。 定价示例3：中小型团队远程办公 您要为50人的团队提供零信任服务，日常访问流量在1000GB，解决远程办公、移动办公等场景下的内网访问问题，实现端口和应用隐身，可对企业员工的访问行为进行审计。 推荐选择AOne零信任基础版，再叠加扩展服务，见下表。 功能规格 用量 费用计算 每月总费用（元） AOne零信任基础版（包含10个账号） 1 250元 250 扩展服务基础版25元/账号/月 40（5010） 25元40个1000元 1000 总计 1250

场景四：访问CDN加速域名后获取到的内容为非本站点文件内容 可能的原因： 访问到非CDN节点。检测访问的IP是否为CDN的节点IP。关于如何检测，详情请见：如何验证IP地址是否属于天翼云CDN节点IP。如果访问的节点不是CDN节点IP，请核实是否存在如下几种情况： 本地是否有开启代理软件，因为有些代理软件会强制更改访问域名的解析。若有，则建议关闭该代理软件。 是否绑定HOSTS文件，将加速域名强制解析到某个IP。若有，则建议去掉该host绑定记录。 本地存在DNS劫持。排查方式详情请见场景三中“发生劫持”部分；如确认为劫持，可以在本地开启安全杀毒软件，并且固定本地所使用的DNS IP为223.5.5.5、114.114.114.114、119.29.29.29或者其他安全的DNS。如果劫持情况比较严重，并且无法解决，则需要向网络服务提供商投诉要求解除劫持。

本节主要介绍API网关的产品优势。 简单易用 只需在管理控制台中配置，即可快速创建API。提供页面调试工具，简化API开发。可同时发布一个API到多个环境，快速迭代、测试API。 便捷管理 API网关提供全生命周期的API管理，从设计、开发、测试、发布、运维等， 实现完整的API解决方案。帮助您轻松构建、管理和部署任意规模的API。 精细监控 API网关采用同步加异步混合流控的方式，通过多种算法，实现精细化的秒级流控。同时提供灵活自定义的流量控制策略制定，保障API服务的稳定和连续。 高效设计 提供多种API设计能力，表单、JSON、YAML三位一体设计API。并支持API评审与发布，发布后的API可直接注册在API网关。 灵活安全 使用严格的身份认证和权限管理来保护您的API。可以实施灵活而精细的配额管理及流控管理以保护您的后端服务。灵活、安全的开放您的服务能力。

本章节会介绍如何手动变更磁盘容量。 操作场景 随着业务数据的增加，原来申请的数据库磁盘容量可能会不足，需要为关系型数据库实例进行扩容。 当磁盘利用率大于等于97%，实例将显示“磁盘空间满”，实例业务发生闪断，并变为只读状态，此时不可进行写入操作，从而影响业务正常运行。 当实例处于“磁盘空间满”状态时，需扩容至磁盘空间使用率小于85%才可使实例处于可用状态，使数据库恢复正常的写入操作。建议您设置“磁盘使用率”指标的告警规则，及时了解磁盘使用情况，起到预警作用。具体请参见设置告警规则。您也可以手动解除只读，具体请参见解除只读状态。 磁盘扩容期间，服务不中断。 约束限制 阶段 限制说明 变更说明 磁盘扩容 云数据库 RDS for PostgreSQL实例最大可扩容至4000GB，扩容次数没有限制。 如果是主备实例，针对主实例扩容时，会同时对其备实例进行扩容。 扩容过程中，该实例不可删除。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。 磁盘扩容需要3～5分钟。 磁盘缩容 实例状态仅为“正常”时可以调整磁盘大小。 只支持存储类型为超高IO的实例。 当只读实例规格小于主实例规格时，有缩容失败的风险，建议只读实例规格大于等于主实例的规格。 磁盘缩容在业务高峰期执行，可能会使磁盘空间被耗尽，导致磁盘缩容失败，请在业务低峰期操作。 使用缩容前的备份进行恢复时，请选择大于等于缩容前磁盘大小的实例。 缩容会预留40GB的空间以防磁盘写满只读，所以可缩容的最小值为：当前磁盘使用量+预留空间大小（40G）。 如果是主备实例，针对主实例缩容时，会同时对其备实例进行缩容。 缩容过程中，该实例不可删除。 选择磁盘加密的实例，缩容后的磁盘空间依然会使用原加密密钥进行加密。 非业务高峰期，磁盘缩容时长和实例的资源使用情况及数据量相关，数据越多，时间越久。 在IO，CPU等资源充足条件下，1TB数据量完成缩容预计需要9小时左右。

本页介绍了如何登录文档数据库服务。 前提条件 在登录并使用TeleDB数据库控制台前，您需要预先购买文档数据库服务实例，实例购买页面会提供版本、规格等多样参数供您选择，您可以根据业务需求选择最适合您的数据库规格。 控制中心方式登录控制台 1. 打开天翼云官网，并登录。 2. 单击页面右上方“控制中心”，进入天翼云管理控制台页面。 3. 右上角根据您的需要切换到对应企业项目。 4. 左上角可切换您需要购买文档数据库服务的区域和资源池。 5. 选择资源池后信息，在页面找到“数据库”专栏，点击“文档数据库“，即可进入文档数据库服务管理控制台页面。 产品详情页方式登录登录控制台 1. 打开天翼云官网，并登录。 2. 从官网首页依次选择“产品” > “数据库” > “NoSQL数据库”并点击“文档数据库服务”。 3. 进入到“文档数据库服务”产品详情页，点击页面中的“管理控制台”按钮，即可进入到TeleDB数据库控制台页面，点击“DDS”>“实例管理”进入文档数据库服务控制台。 4. 在页面左上角可切换已购买实例的区域和资源池。

本章节主要介绍修改密码策略 。 操作场景 须知 密码策略涉及用户管理的安全性，请根据业务安全要求谨慎修改，否则会有安全性风险。 该任务指导管理员用户设置密码安全规则、用户登录安全规则及用户锁定规则。由于“机机”用户密码随机生成，在MRS Manager设置密码策略只影响“人机”用户。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 如需对新增用户的密码或用户修改的密码使用新的密码策略，请先参考本章节修改密码策略，再创建用户或修改密码。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 操作步骤 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 单击“密码策略配置”。 3. 根据界面提示，修改密码策略，具体参数见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围是8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+l/）的最小种类。可选择数值为“3”和“4”。默认值“3”表示至少必须使用大写字母、小写字母、数字、特殊符号和空格中的任意3种。 密码有效期（天） 密码有效使用天数，取值范围0～90，0表示永久有效。默认值为“90”。 密码失效提前提醒天数 提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录MRS Manager时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒。默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔（分钟），取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁屏时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。

该页面主要介绍关系数据库PostgreSQL版的SDK，您可以根据实际业务需求进行集成。 各语言SDK下载及使用 支持语言 SDK附件 Java pgjavasdk.zip（v1.0.0） Go pggosdk.zip（v1.0.0）

本文帮助您快速熟悉如何配置HTTPS监听 TLS安全策略 操作场景： 安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性，您可以在创建和修改HTTPS监听时，配置选择TLS安全策略，提高应用的安全性。仅部分集群模式资源池的性能保障型负载均衡实例支持设置安全策略，主备模式资源池以及经典型负载均衡不支持设置，主备、集群模式资源池列表见 产品简介>产品类型和规格, 实际情况以控制台展现为准。 操作步骤： 添加HTTPS监听器时配置安全策略 具体操作如下： 1.登录弹性负载均衡控制台。 2.在顶部左侧选择弹性负载均衡所属区域。 3.选择以下一种方法打开监听器配置向导。 在负载均衡器列表页面，找到目标实例，在操作列单击“监听器配置向导”。 在ip类型/监听器端口/健康检查/服务器组列下方单击“开始配置”。 在负载均衡器列表页面，找到目标实例，单击实例名称进入实例详情页，单击“添加监听器”。 4.在高级配置中可见安全策略选择，默认选中策略为“TLSpolicy12”，可以根据实际应用需要选择不同策略。可选策略如下： 安全策略名称 支持TLS版本 支持加密算法套件 说明 TLSpolicy10with13 TLS v1.0/TLS v1.1/TLS v1.2//TLSv1.3 TLSAES128GCMSHA256、TLSAES256GCMSHA384、TLSCHACHA20POLY1305SHA256、TLSAES128CCMSHA256、TLSAES128CCM8SHA256、ECDHEECDSACHACHA20POLY1305、ECDHERSACHACHA20POLY1305、ECDHEECDSAAES128GCMSHA256、ECDHERSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHERSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHERSAAES128SHA256、ECDHEECDSAAES128SHA、ECDHERSAAES256SHA384、ECDHERSAAES128SHA、ECDHEECDSAAES256SHA384、ECDHEECDSAAES256SHA、ECDHERSAAES256SHA、AES128GCMSHA256、AES256GCMSHA384、AES128SHA256、AES256SHA256、AES128SHA、AES256SHA 支持TLS1.0、TLS1.1、TLS1.2、TLS1.3版本与相关加密套件，兼容性好，安全性低。当前安全策略包含低于TLS 1.2版本的协议，存在安全风险，建议选择高版本安全策略。 TLSpolicy10 TLS v1.0/TLS v1.1/TLS v1.2 ECDHEECDSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHEECDSAAES256SHA384、ECDHERSAAES128GCMSHA256、ECDHERSAAES256GCMSHA384、ECDHERSAAES128SHA256、ECDHERSAAES256SHA384、AES128GCMSHA256、AES256GCMSHA384、AES128SHA256、AES256SHA256、ECDHEECDSAAES128SHA、ECDHEECDSAAES256SHA、ECDHERSAAES128SHA、ECDHERSAAES256SHA、AES128SHA、AES256SHA 支持TLS1.0、TLS1.1、TLS1.2版本与相关加密套件，兼容性好，安全性低。当前安全策略包含低于TLS 1.2版本的协议，存在安全风险，建议选择高版本安全策略。 TLSpolicy11 TLS v1.1/TLS v1.2 ECDHEECDSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHEECDSAAES256SHA384、ECDHERSAAES128GCMSHA256、ECDHERSAAES256GCMSHA384、ECDHERSAAES128SHA256、ECDHERSAAES256SHA384、AES128GCMSHA256、AES256GCMSHA384、AES128SHA256、AES256SHA256、ECDHEECDSAAES128SHA、ECDHEECDSAAES256SHA、ECDHERSAAES128SHA、ECDHERSAAES256SHA、AES128SHA、AES256SHA 支持TLS1.1、TLS1.2版本与相关加密套件，兼容性较好，安全性中。当前安全策略包含低于TLS 1.2版本的协议，存在安全风险，建议选择高版本安全策略。 TLSpolicy12 TLS v1.2 ECDHEECDSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHEECDSAAES256SHA384、ECDHERSAAES128GCMSHA256、ECDHERSAAES256GCMSHA384、ECDHERSAAES128SHA256、ECDHERSAAES256SHA384、AES128GCMSHA256、AES256GCMSHA384、AES128SHA256,AES256SHA256、ECDHEECDSAAES128SHA、ECDHEECDSAAES256SHA、ECDHERSAAES128SHA、ECDHERSAAES256SHA、AES128SHA、AES256SHA 支持TLS1.2版本与相关加密套件，兼容性较好，安全性高。 TLSpolicy12Strict TLS v1.2 ECDHEECDSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHEECDSAAES256SHA384、ECDHERSAAES128GCMSHA256、ECDHERSAAES256GCMSHA384、ECDHERSAAES128SHA256、ECDHERSAAES256SHA384、ECDHEECDSAAES128SHA、ECDHEECDSAAES256SHA、ECDHERSAAES128SHA、ECDHERSAAES256SHA 支持TLS1.2版本与相关加密套件，兼容性一般，安全性高。 TLSpolicy12strict1.3 TLSv1.2/TLSv1.3 TLSAES128GCMSHA256、TLSAES256GCMSHA384、TLSCHACHA20POLY1305SHA256、TLSAES128CCMSHA256、TLSAES128CCM8SHA256、ECDHEECDSAAES128GCMSHA256、ECDHEECDSAAES256GCMSHA384、ECDHEECDSAAES128SHA256、ECDHEECDSAAES256SHA384、ECDHERSAAES128GCMSHA256、ECDHERSAAES256GCMSHA384、ECDHERSAAES128SHA256、ECDHERSAAES256SHA384、ECDHEECDSAAES128SHA、ECDHEECDSAAES256SHA、ECDHERSAAES128SHA、ECDHERSAAES256SHA 支持TLS1.2和TLS1.3版本与相关加密套件，兼容性较好，安全性很高 5.配置其他参数， 添加后端主机组，并配置HTTPS监听器负载方式和健康检查，完成监听创建。详见 添加HTTPS监听器。

本页面主要介绍为主帐号创建子帐号，创建用户组，并为子帐号授权的操作说明及步骤。（适用于I类型资源池） 用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 注意 本文仅适用于内蒙6、重庆2、拉萨3这些Ⅰ类型资源池配置主子账号以及相关权限，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。Ⅱ类型资源池的子账号配置请参见主子账号使用手册Ⅱ类型资源池。 操作步骤 创建子帐号以及为该子帐号授权相关企业项目的步骤总体分为： 创建子账户并加入用户组 在企业项目中为用户组授权 创建子账户并加入用户组 为主帐号添加子帐号以及将子帐号加入到用户组，步骤如下： 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择“我的”，点击“个人中心”，进入个人中心界面。 2. 在左侧导航栏点击“统一身份认证”，进入统一认证服务IAM。 3. 选择“用户”页签，点击右上角创建用户。 4. 填写子账号的相关信息，包含用户名、邮箱、手机号等，并设置密码。设置完成点击右下角下一步。 5. 如无用户组请先创建用户组，如有可点击添加，添加进该用户组之后，会自动显示在右侧“已选用户组”窗口。如后续从用户组删除该用户，可点击移除。 admin用户组为拥有所有操作权限的用户组，您可根据需要加入此用户组或者加入自定义创建的用户组。 6. 加入用户组后，点击右下角下一步，将会显示创建成功。点击返回用户列表，可以看到创建的子账户。

本文为您介绍推理服务API调用说明。 终端节点 主要作用：用户信息的发送和接收，信令信息的控制处理、安全保护等作用。 终端节点： 接口构造 请求域名 终端请求地址： 通信协议 接口通过 HTTPS 进行通信，保护用户数据的机密性和完整性，确保网络通信的安全性。 版本管理 为区分接口版本，在http请求路径中加入版本信息，目前版本为v1，因而请求的url前缀为： 请求鉴权 请求header中需要填入Authorization鉴权信息，Authorization对应值应为Bearer + 平台上获取的服务组App Key AppKey获取方法：登录平台门户，一站式智算服务平台>模型服务>服务接入>创建服务组>绑定服务>获取appKey 为避免被安全护栏拦截，建议在http请求header中填入UserAgent信息 浏览器或客户端标识：Chrome/58.0.3029.110、Mozilla/5.0、AppleWebKit/537.36、Safari/537.36、Windows NT 10.0、PostmanRuntimeApipostRuntime/1.1.0等 请求示例 plaintext 请求路径： 为具体的功能路径，如/chat/completions 请求方式：POST 请求header必填项： Authorization: Bearer AppKey ContentType: application/json 其他header： UserAgent: PostmanRuntimeApipostRuntime/1.1.0

本节主要介绍OOS产品的优势。 地域广 对象存储（经典版）I型的资源池分布在全国多个省、市、自治区及直辖市，这些资源池均直连骨干网的数据中心，实现全国数据的低延迟访问。 带宽充足 天翼云拥有遍布全国的通信服务网络，具有强大的带宽优势，轻松应对高峰及突发流量。同时也可提供专线，满足网络延迟和安全等级要求。 稳定高效 物理层面：全方位数据保障措施，部署在8级抗震、一级耐火、一级防水、通过ISO27001认证的的数据中心内部。 传输层面：所有操作均可通过HTTPS协议进行，确保数据传输过程加密，以保证传输安全。 存储层面：所有上传数据被分片存储在不同的节点、不同的磁盘，任何节点或磁盘失效，均不影响服务的正常运行。 接入层面：提供多种鉴权和授权机制（包括签名认证、细粒度的身份与权限管控、防盗链、限制IP黑白名单访问、日志访问记录、WORM特性等），保证操作安全。 持久可用 服务设计可用性不低于99.99%。 数据设计持久性可高达99.99999999999%。 存储规模可大规模在线扩展，不影响对外服务。 支持多副本和纠删码冗余，可根据对象的重要程度选择不同的冗余方式。