本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

本章节主要介绍使用DataArts Studio前的准备。 在使用DataArts Studio前，您应首先进行数据与业务调研，选择合适的数据治理模型。 然后参考本章节，预先做好以下准备工作： DataArts Studio准备工作 准备数据源 准备数据湖 DataArts Studio准备工作 如果您是第一次使用DataArts Studio，请参考用户指南中的“准备工作”章节，完成创建DataArts Studio实例、创建工作空间等一系列操作。然后找到对应的工作空间，即可开始数据开发与运营。 准备数据源 在实际业务中，源端数据源大多为云下的MySQL、PostgreSQL、HBase、Hive等类型，您需要作如下准备： 确保数据源所在的主机可以访问公网。 获取数据源的公网连接地址、数据库端口、数据库管理员用户及密码等信息。 确保防火墙规则出方向已开放数据库端口，允许数据传输到云上。 准备好数据源之后，后续您可以通过数据集成将数据源迁移到数据湖底座中，然后再通过DataArts Studio进行数据开发、治理和运营等活动。 准备数据湖 在使用DataArts Studio前，您需要根据业务场景选择符合需求的云服务作为DataArts Studio的数据湖底座，用于存储原始数据和数据开发过程中的数据，并进行后续的数据开发、治理和运营等活动。DataArts Studio平台当前支持的数据湖产品请参见DataArts Studio支持的数据源。 准备好数据湖之后，您可以通过创建数据连接将DataArts Studio与数据湖底座连接起来，然后进行下方1和2的操作。1和2的操作样例可参考快速入门中的“2：准备工作”章节。

第二步：配置CNAME 成功添加全站加速域名后，系统会为您分配一个CNAME域名。您需要在域名解析服务商处将服务域名的DNS解析记录指向CNAME域名，访问请求才能转发到全站加速节点上，实现全站加速。 1. 在客户控制台【域名管理】的【域名列表】中，复制域名对应的CNAME。 2. 前往您的域名解析（DNS）服务商（如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等），添加该CNAME记录。 3. 验证全站加速服务是否生效：您可以ping或dig您所添加的加速域名，验证全站加速服务是否生效。 第三步：配置加速策略（可选） 成功添加加速域名之后，您还可以按照以下建议高阶配置策略进行配置，帮您达到优质的加速体验。 场景 描述 参考链接 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现优质路径提速回源。 缓存配置 动态回源策略 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速之间请求的HTTPS加密，保障数据传输的安全性。 HTTPS配置概述 IPv6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 IPv6配置 海外加速 开启海外加速，可满足出海企业本地化CDN节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 变更加速区域 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。 html页面优化 文件压缩

本文介绍可以支持客户自定义的回源场景和配置方法。 功能介绍 源站配置模块支持客户自定义源站。支持IP或域名，支持配置天翼云媒体存储和天翼云对象存储作为源站；支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源场景 功能简介 配置入口 多层级主备及权重回源 客户有多个源站时，支持多主多备，及按不同权重回源。 客户控制台域名管理域名列表回源配置源站配置。 动态回源策略 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式。 详见：动态回源策略 区分地区、运营商回源 支持分地区、运营商回源。 通过提交工单，由天翼云客服人工配置。 区分IPv4/IPv6协议回源 支持分IPv4/IPv6协议回源。 通过提交工单，由天翼云客服人工配置。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【源站】模块，单击【添加源站】。 6. 根据需求填写配置。 7. 单击【保存】，完成配置。 参数名 说明 源站类型 可选择IP或域名/媒体存储源站/对象存储源站。媒体存储源站和对象存储源站不可同时配置，且只能配置一个媒体存储源站/对象存储源站。 源站 即源站地址，支持IP或域名。 层级 支持主或备。 权重 即回该源站的权重值。 指定源站回源HOST 回源HOST决定了回源请求访问到源站的哪个站点。当不同源站使用不同回源HOST时，需通过“指定源站回源HOST”进行设定。 操作 可删除源站配置。

本文主要介绍了汇款认领的操作流程及注意事项。 客户线下通过通用充值账号汇款到天翼云后，需要进行汇款认领，系统会在审批通过后将认领金额充值到客户的天翼云账户中。 对公汇款到账需要一定时间，具体到账时间依赖于银行系统，一般为13个工作日，建议对公充值一般在工作日（周一周至周五，每天9点17点）进行，避免等待时间过长。 注意 为提升您的汇款效率，建议优先使用专属汇款账号汇款。汇款至专属账号后，系统会自动匹配您的天翼云账户，并充值到您的账户余额。 认领前准备 已完成天翼云通用充值账号汇款。 需要提供准确的汇款人、汇款银行账号、汇款总金额信息，及清晰的银行汇款凭证。 操作步骤 1、进入“资金管理汇款认领”页面。 2、点击“线下汇款认领”。 3、输入汇款人、汇款银行账号、汇款总金额，查询汇款认领信息。 为确保数据安全，当前只支持精确查询，请确保汇款人、汇款银行账号、汇款总金额信息无误再查询和认领，若信息错误将查不到数据。一天内最多可查询200次流水。 4、点击“认领” 5.1、认领与当前实名一致的汇款人的汇款 输入认领账号、设置认领金额，并上传线下转账汇款凭证。确认无误后，单击“确认认领”。 5.2、认领与当前实名不一致的汇款人的汇款 输入认领账号、设置认领金额，并上传线下转账汇款凭证。 请查看并确认《资金认领及责任承担承诺书》，勾选确认后，单击“确认认领”。 注意 上传的汇款凭证信息应该清晰可见、无遮挡，否则可能导致认领失败。 认领后的记录，可以在“汇款认领 认领记录”中查询。 客户汇款认领提交后，一般13个工作日天翼云会完成审核。

测试场景 本章节主要测试RocketMQ不同产品规格在发送1KB大小的消息，实例的网络入流量、网络出流量、消息生产速率、消息消费速率、CPU核均负载和内存使用率。 测试环境 购买实例 名称 规格 存储空间 rocketmq01 c7.xlarge.2 4C8G 超高I/O 500GB rocketmq02 c7.2xlarge.2 8C16G 超高I/O 500GB rocketmq03 c7.4xlarge.2 16C32G 超高I/O 500GB 控制台创建主题 名称 权限 关联代理 队列个数 topic01 发布+订阅 broker1 8 控制台创建消费组 名称 关联代理 最大重试次数 是否允许以广播模式消费 group01 broker1 16 否 测试工具准备 购买1台ECS服务器（区域、可用区、虚拟私有云、子网、安全组与RocketMQ实例保持一致，Linux系统），安装jdk，并配置环境变量 tar zxvf jdk8u131linuxx64.tar.gz vi /etc/profile 追加以下内容 export JAVAHOME/root/jdk1.8.0131 export PATH$JAVAHOME/bin:$PATH 生效配置 source /etc/profile 下载测试工具 wget 解压测试工具 unzip rocketmqall5.1.4binrelease.zip 测试命令

本章节介绍如何访问服务网格CRD资源 服务网格通过K8s CRD（Custom Resource Definition）实现网格治理规则配置能力，当前服务网格的治理规则CRD全部配置在控制面所在的集群，您可以通过是要kubectl命令行工具操作控制面集群实现CRD配置。 步骤 1. 选择一台可以连接到服务网格控制面部署所在的容器集群API Server的机器，比如跟控制面集群在同VPC下的虚拟机，如果您的API Server通过公网ELB暴露了地址，您也可以通过其他可以通过公网连到控制面集群的机器访问API Server 2. 到K8s官网下载和安装kubectl命令行工具，具体根据所选择的连接API Server的客户端机器的系统以及目标集群的版本下载对应版本的kubectl 3. 登录云容器引擎控制台，选择要连接的集群，查看连接信息，可以看到对应集群的KubeConfig配置，选择公网或者私网的KubeConfig，按照提示保存到本地 4. 执行命令验证 plaintext kubectl get vs A NAMESPACE NAME GATEWAYS HOSTS AGE istiosystem istiodvs ["istiodgateway"] [""] 25d

本文介绍了海量文件服务基本使用流程，帮助您快速上手。 天翼云海量文件服务提供按需扩展的高性能文件存储，可为云上多个弹性云主机提供大规模共享访问，可满足高性能、大带宽、大容量使用需求。下面我们介绍海量文件服务的整体入门流程，见下图： 1. 首先进行准备工作，注册天翼云账号并确保账户余额，具体流程参见准备工作。 2. 设置天翼云弹性文件服务控制台所给出的配置项，包括存储类型、存储协议等信息，具体步骤请参见创建文件系统。 3. 创建好的文件系统需要挂载至云主机或物理机上使用，具体挂载步骤参见挂载文件系统。 4. 文件系统挂载完成后，您可以将本地或其他存储设备上的数据迁移至文件系统共享与管理。具体步骤可参考文件系统之间的迁移。 5. 您可以像访问本地数据一样读写文件系统中存储的数据。

本文介绍如何使用telnet命令检测Redis端口连通性 ECS实例中已经安装了Telnet（Linux）或开启了Telnet客户端（Windows）。如果Redis服务出现了连接问题，并且参见上述问题中如何检测弹性云主机与Redis之间的网络连接。发现连接成功时，您需要进一步使用telnet命令检测服务端口是否可用。 查看Redis实例的连接地址，详情请参见查看连接地址。 登录ECS实例，执行telnet命令。 telnet {IP} {Redis PORT} 说明 windows系统和Linux系统中都可以使用该命令。 返回信息分析： 如果Redis连接存在问题，但可以在ECS上使用telnet连接到Redis实例，则ECS本身与Redis之间的连接无异常，请排查其它因素，例如客户端、业务代码，以及业务环境导致的Redis服务阻塞等问题。 如果telnet连接失败，但使用ping命令检测ECS与Redis之间的连接成功，可能是由于ECS存在异常行为（例如受恶意程序影响而攻击其它Redis的33016端口等）被系统禁止了部分服务，此时建议您监控ECS的数据找到异常流量并加以处理。

本节介绍服务器安全卫士（原生版）产品优势。 统一管理和运维 天翼云控制台上统一查看服务器资产和各项风险，快速构建安全可视化运维平台。自动收集云上服务器数据，实现云上安全威胁实时管控，让安全没有死角。 三位一体全面防护 提供事前预防、事中防御、事后检测的全面防护，全面降低服务器入侵风险。 防护资源占用少 正常的系统负载情况下，CPU占用率低，内存占用小，消耗极低；在系统负载过高时，Agent会主动降级运行，严格限制对系统资源的占用，确保业务系统正常运行。 用户使用方便快捷 无需登录云主机进行安装，简单配置防护策略即可实现防护；全部操作都有可视化界面，方便用户使用；平台级产品，用户无需切换资源池即可查看全部情况。 防护机制安全可靠 有先进的检测技术和丰富的检测库，提供精准防御，做到全方位安全防护；对Agent进程加壳防护，防止被篡改，采用加密传输与服务端通信，保证数据安全。通过5000+台服务器的运行实践，稳定性高达99.9%，2分钟内离线自动重启机制，保障系统始终处于检测状态。

本小节介绍数据库审计的网络环境需求。 若数据库审计绑定了EIP，在用户通过EIP访问数据库审计实例之前需要配置安全组策略，编辑入向策略，才可通过EIP直接访问数据库审计实例。 说明 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和数据库审计实例提供访问策略。 为了保障数据库审计的安全性和稳定性，在使用数据库审计实例之前，您需要设置安全组，添加规则允许需访问数据库审计的IP地址和端口。 数据库审计实例开放端口说明 端口 用途 说明 1443 门户端口、心跳端口 访问数据库审计门户页面并保持心跳连接，需开放该端口的出入方向规则。 13001 流量转发 数据库资产与数据库审计的13001端口建立连接负责流量转发，需开放该端口的出入方向规则。 13002 连接控制 数据库资产与数据库审计的13002端口建立连接负责控制部分，包含接收天翼云数据库审计下发的资产和其他配置，需开放该端口的出入方向规则。

本章介绍函数工作流如何给不同的用户做权限隔离。 如果您需要对FunctionGraph的函数资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制公有云资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有FunctionGraph的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用FunctionGraph，但是不允许删除的权限策略，控制他们对FunctionGraph资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用FunctionGraph服务的其它功能。 FunctionGraph权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 FunctionGraph资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在各区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问FunctionGraph时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了FunctionGraph的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 FunctionGraph FullAccess 函数工作流服务所有权限 系统策略 无 FunctionGraph ReadOnlyAccess 函数工作流服务只读权限 系统策略 无 FunctionGraph CommonOperations 函数工作流（FunctionGraph）调用者，具有查询函数和触发器，以及调用函数的权限 系统策略 无 说明 当添加了FunctionGraph FullAccess权限的子帐号在创建触发器或使用其他功能时仍没有操作权限，是因为该服务或功能不支持细粒度鉴权，因此需要您单独添加对应服务或功能的Admin权限。具体详情如下： APIG、当前不支持细粒度鉴权，需要添加对应admin权限。 更多触发器及相关功能需要的权限，请参见下表所示。 表 触发器及相关功能的权限 触发器/服务功能 权限 APIG专享版 apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate DDS dds:instance:get dds:instance:list DMS/Kafka dms:instance:get dms:instance:list LTS lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get 下表列出了FunctionGraph常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 FunctionGraph ReadOnlyAccess FunctionGraph CommonOperations FunctionGraph FullAccess 创建函数 × × √ 查询函数 √ √ √ 修改函数 × × √ 删除函数 × × √ 调用函数 × √ √ 查看函数日志 √ √ √ 查看函数指标数据 √ √ √

如果您已经完成MRS资产委托授权，可参考本章节对MRS创建的Hive数据进行相关操作的授权。 前提要求 已完成MRS资产委托授权，参考云资源委托授权/停止授权进行操作。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“MRS > 待授权”，进入待授权MRS资产列表页面。 5.在需要授权的MRS资产所在行的“操作”列，单击“授权”。 6.在弹出的“MRS授权”对话框中，参考下表配置数据库参数。 参数名称 参数说明 资产名称 用户自定义的MRS实例的名称。 数据库名称 和MRS实例中的数据库名称保持一致。 用户名 输入访问数据库服务器的用户名，与MRS里创建的保持一致。 密码 输入访问数据库服务器的密码，与MRS里创建的保持一致。 7.单击“确定”，数据库添加完成，并展示在已授权的MRS资产列表中。

是否支持跨Region访问？ Kafka可以跨Region访问，但是跨Region目前只能通过公网访问或者购买云间高速服务。 Kafka实例是否支持不同的子网？ 支持。客户端与实例在相同VPC内，可以跨子网段访问。同VPC下不同子网之间默认互通。更多子网信息请参见虚拟私有云介绍。 Kafka是否支持Kerberos认证，如何开启认证？ 不支持Kerberos认证。kafka支持SASLPLAINTEXT安全接入点接入。 开启公网访问后，在哪查看公网IP地址？ 可以在实例列表设置公网IP窗口查看各节点绑定的公网IP地址。 Kafka支持服务端认证客户端吗？ Kafka 支持通过 SASL（Simple Authentication and Security Layer）等认证机制实现服务端对客户端的主动认证。SASL 是一种用于通信安全的框架，它允许在客户端和服务器之间进行认证和授权。 客户端单IP连接的个数为多少？ Kafka目前对单个IP连接数没有限制，主要取决于实例连接数，具体可参见常见问题kafka实例连接数有限制吗？ Kafka实例的内网连接地址可以修改吗？ 在实例创建后，内网连接地址不支持修改。

本章节主要介绍创建用户并授权使用分布式消息服务RabbitMQ。 如果您需要对您所拥有的分布式消息服务RabbitMQ服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用分布式消息服务RabbitMQ资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将分布式消息服务RabbitMQ资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用分布式消息服务RabbitMQ服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。 说明 分布式消息服务RabbitMQ服务的权限与策略基于分布式消息服务DMS，因此在IAM服务中为RabbitMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 前提条件 给用户组授权之前，请您了解用户组可以添加的分布式消息服务RabbitMQ系统策略，并结合实际需求进行选择，分布式消息服务RabbitMQ支持的系统策略及策略间的对比，请参见：权限管理。 示例流程 图1 给用户授权RabbitMQ权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予RabbitMQ的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务RabbitMQ，进入RabbitMQ实例主界面，单击右上角“购买RabbitMQ实例”，尝试购买RabbitMQ实例，如果无法购买RabbitMQ实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

配置白名单列表 在“白名单列表”中，管理员可以添加特定的应用程序，此类应用程序不会被拦截。 如果想禁用部分在白名单中已放行的应用，管理员可在“禁用列表”中添加应用信息。 注：绑定白名单，扫描完成后，桌面内能够运行的程序有以下几种 1、扫描前在扫描范围内已经安装的应用。 2、白名单列表内的应用。 3、放行通过的应用以及它释放的程序。 4、签名为天翼云的相关应用。 步骤三：绑定桌面 创建规则后，点击右侧的“绑定”，可选择需要绑定该规则的桌面。绑定后，天翼AI云电脑（政企版）控制台将向所选桌面推送管控策略（绑定白名单规则后，桌面首次开机需要进行扫描），待桌面开机后进入管控状态。已绑定规则的桌面的管控状态也可在此页面中查看。 执行结果 步骤一：白名单下的应用放行流程 申请放行 用户在桌面内运行不在白名单内的应用会被阻止并出现提示弹窗，可在弹窗中查看详情或发起申请。有多个程序被阻止时，可批量操作。 注： 1、当运行某款应用时出现未执行也未被阻止的无响应状况，可能已被Windows系统默认为风险拦截。遇此情况，右键该应用，并在在属性中解除Windows拦截即可。 2、绑定黑名单规则时，被阻止的应用不允许申请放行。

本文主要介绍测试报告说明 性能测试提供实时、离线两种类型的测试报告，供用户随时查看和分析测试数据。 测试报告由报告总览和SLA报告构成。 报告总览：显示测试用例的各项测试指标。 SLA报告：显示已配置的SLA规则详情，以及触发SLA规则的事件详情。 报告总览 测试报告说明如下表所示。 测试报告展现了测试过程中被测系统在模拟高并发用户的响应性能，为了更好阅读测试报告，请参考以下信息： 统计维度： 测试报告的TPS、RPS、响应时间、并发等统计维度均为单个用例，如用例中有请求多个报文，只有在多个请求报文均正常返回会认为成功，响应时间也是多个请求报文的求和值。 响应超时： 出现该情况是在设置的响应超时时间内（默认5s），对应的TCP连接中没有响应数据返回时，会将本次用例请求统计为响应超时。出现原因一般是被测服务器繁忙、崩溃、网络带宽被占满等。 校验失败： 从服务器返回的响应报文不符合预期（针对HTTP/HTTPS默认的预期响应码为200），比如服务器返回404、502等。出现原因一般为高并发情况下被测服务无法正常处理导致的，如分布式系统中数据库出现瓶颈、后端应用返回错误等。 解析失败： 响应报文已全部接收完成，但是部分报文丢失导致整个用例响应不完整，这种情况一般需要考虑网络丢包。 带宽统计： 本报告统计的是性能测试服务执行端的带宽，上行表示从性能测试服务发出的流量，下行表示接收到的流量。如果是外网压测场景，您需要关注执行机的EIP带宽是否可以满足上行带宽的要求。而下行带宽需要关注单台执行机是否超过1GB。 TPS： TPS是指云性能测试服务在统计周期内每秒从被测服务器获取到的响应用例实时统计，TPS统计周期内的正常返回数/统计周期。 RPS： RPS是指云性能测试服务在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 如何判断被测应用优劣： 根据应用本身的服务质量定义，理想状态是没有任何响应失败、校验失败的情况，如果有，需要在服务质量定义范围之内，通常情况下不超过1%，同时响应时间越低越好（2s内体验较好，5s内可以接受，超过5s则需要考虑优化），TP90、TP99指标可以客观反映出90%、99%用户的体验响应时间。 测试报告说明 参数 参数说明 :: 各项指标总量 所有用例各项指标总量的汇总。 最大并发：最大并发操作的虚拟用户数。 RPS：是指云性能测试服务在统计周期内平均每秒发送到被测服务器的请求数统计。 响应时间：指从客户端发一个请求开始计时，到客户端接收到从服务器端返回的响应结果结束所经历的时间。 响应码：记录压测任务进行中响应码分布的情况。 带宽：记录压测任务运行所消耗的实时带宽变化。 SLA事件：SLA中定义的事件发生情况。 正常返回：如设置了检查点，检查点通过的用例响应数，如未设置默认为返回2XX的用例响应数。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的用例响应数。 平均RPS 是指云性能测试服务在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 平均RT 某一秒发出的所有请求的平均响应时间。 并发数 记录压测任务运行时，当前并发操作的虚拟用户数的变化。 带宽（KB/S） 记录压测任务运行所消耗的实时带宽变化。 上行带宽：从性能测试测试执行机往外发送出去数据的速度。 下行带宽：性能测试测试执行机接收到数据的速度。 响应状态分布 正常返回、解析失败、校验失败、响应超时的每秒处理用例数，该项指标与思考时间、并发用户、服务器响应能力均有关，比如思考时间为500ms，如果服务器对于当前用户的上个请求响应时间小于500ms，则该用户每秒请求2次。 正常返回：如设置了检查点，检查点通过的用例响应数，如未设置默认为返回2XX的用例响应数。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的用例响应数。 解析失败：HTTP响应无法被正常解析的数量。 校验失败：如设置了检查点，检查点未通过的用例响应数，如未设置，返回不是2XX的用例响应数。 响应超时：在请求报文发送5S内未收到服务器响应的用例请求数量。 连接被拒绝：发送报文建立连接时，服务器拒绝连接数。 其他错误：不属于以上几种错误的数量。 响应码分布 1XX/2XX/3XX/4XX/5XX。 响应时间区间比例 用例的响应时间区间比例。 TP最大响应时间 指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取对应的百分比的那个值作为TPXX的最大响应时间。 TP50：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第50%的那个值作为TP50的值。 TP75：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第75%的那个值作为TP75的值。 TP90：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第90%的那个值作为TP90的值。 TP95：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第95%的那个值作为TP95的值。 TP99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99%的那个值作为TP99的值。 TP99.9：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.9%的那个值作为TP99.9的值。 TP99.99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.99%的那个值作为TP99.99的值。

步骤二：添加后端主机组 添加处理前端请求的后端主机组。 1. 设置后端主机组名称。 2. 选择后端主机类型，仅可选云主机。 3. 从主机列表中选择可添加的云主机，然后点击“下一步”，即完成后端云主机的添加。 步骤三：参考HTTP监听器负载方式&健康检查配置说明, 完成负载方式和健康检查配置。 完成步骤三后，点击“立即创建”，完成HTTP监听器创建。 HTTP监听器负载方式&健康检查配置说明 负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数；最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机； 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 集群模式资源池HTTP协议的会话保持方式支持如下重写Cookie/植入Cookie。植入Cookie：客户端首次访问时，负载均衡在返回请求中植入Cookie（即在HTTP或HTTPS响应报文中插入ServerID），下次客户端携带此Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机上。植入Cookie需要指定会话保持时间。重写Cookie：负载均衡对用户自定义的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机；选择植入Cookie时，可设置会话保持超时时间。缺省3600s。选择重写Cookie，负载均衡发现用户自定义的Cookie，对原来的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡服务将请求定向转发给之前记录到的后端主机。重写Cookie方式该Cookie的会话保持时间由后端主机维护。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 可选HTTP或TCP。 间隔时间 健康检查的检查间隔，缺省5s 超时时间 健康检查超时时间，缺省2s 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。 检查路径 可设置HTTP健康检查的路径，长度范围1~80 以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’。 HTTP方法 可选GET或HEAD。 WebSocket支持 选用HTTP监听时，默认支持无加密版本WebSocket协议（WS协议）。仅集群资源池支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx。

本章节指导您如何编辑识别任务。 前提条件 已完成识别任务的创建。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。 4. 在待编辑敏感数据识别任务所在行的“操作”列，单击“更多 > 编辑”。 5. 在“编辑任务”对话框中，编辑检测任务的具体参数，相关参数说明如下表所示。 参数 参数说明 取值样例 开启任务 是否开启敏感数据识别任务，系统默认开启任务。 任务名称 您可以自定义敏感数据识别任务名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 任务名称不能与已有的任务名称重复。 数据类型 选择识别的数据类型。可多选。 OBS，添加OBS资产，参考添加OBS资产章节。 数据库，添加云数据库资产，参考添加云数据库章节。 大数据，添加大数据源资产，参考添加大数据源资产章节。 MRS，添加Hive资产，参考添加MRS资产。 数据库 识别规则组 选择识别任务需要使用的规则组，可多选。可参考新增敏感数据规则组章节创建规则组。 识别模式 选择检测任务的扫描模式： 快速识别：根据规则组进行扫描，实现数据分布快速识别。 全量识别：在规则组的基础上加入自然语义处理NLP能力，扫描速度相对较慢，识别率更高。 快速扫描 识别周期 选择任务的识别周期： 单次：根据设置的执行计划，在设定的时间执行一次该识别任务。 每天：选择该选项，需要设置“启动时间”，即在每天的固定时间执行该识别任务。 每周：选择该选项，需要设置“启动时间”，即在设定的时间以及每周这一时间点执行该识别任务。 每月：选择该选项，需要设置“启动时间”，即在设定的时间以及每月这一时间点执行该识别任务。 单次 执行计划 “扫描周期”选择“单次”时，显示该参数。 立即执行：选择该选项，保存后，可以在当前立即执行一次该识别任务。 定时启动：在指定时间执行一次该识别任务。 立即执行 启动时间 “扫描周期”选择“每天”、“每周”、“每月”时，显示该参数。 设置识别任务的具体启动时间。设置后，会在指定时间以及每天或者每周或者每月的该时间点执行一次识别任务。 通知主题 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题，用于配置接收告警通知的终端。 告警通知的具体操作请参见告警通知。 6. 单击“确定”。

本节介绍服务器安全卫士（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

此章节为您介绍如何选购云密评专区的相关业务。 若您需要购买云密评专区的相关业务，可参考本章节进行选购。 说明 您在控制台购买云密评专区业务前，请先提交工单申请开通购买白名单。 操作步骤 1. 登录云密评专区管理控制台。 2. 单击右上角的“订购密评专区”，跳转至订购页面。 3. 选择您业务所需要的部署地域和可用区。 4. 选择需要购买的产品和规格。 配置项 配置项说明 密码产品 综合安全网关服务 每个服务支持1000并发，可叠加，最多支持购买10个，建议搭配EIP使用。 密码产品 密钥管理服务 提供安全、可靠的密钥管理服务，密钥管理购买后保存的密钥请在密钥管理服务中查询。 密码产品 数据加密网关服务 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求。 密码产品 协同签名服务 每个服务支持1000并发，可叠加，最多支持购买10个。 密码产品 数字证书认证系统 支持1万证书签发，5个CA，兼容RSA、ECC、SM2算法。 国密套件 国密浏览器 选择需购买的国密浏览器个数，兼容主流国产操作系统，满足国密安全传输要求。 国密套件 智能密码钥匙 选择需购买的密钥钥匙个数。 国密套件 协同签名客户端 支持IOS、Android、Windows、Linux等操作系统，每个客户端占1个配额，最多支持购买10000个。 国密套件 证书管理服务 提供权威证书管理服务（证书有效期至少为一年，购买时长小于一年会默认为一年时长）。 国密证书、国际证书购买后会保存至证书管理服务控制台。 密评服务 密评咨询服务 为应用设计密码应用方案，协助密评机构开展密评，单个应用配置1套。 密评服务 密评测评服务 支持1个应用密码应用安全性评估。 密评服务 密码改造服务 项目特殊需求定制服务，下单前请提前和产品经理沟通并评估工作量，根据工作量确定下单数量。 5. 购买密码产品，还需要配置企业项目、网络信息。 配置项 配置项说明 企业项目 选择此次购买的密评服务所属的企业项目，方便您进行管理。 虚拟私有云 选择密码产品实例所要配置的虚拟私有云。 注意 成功创建后，VPC不可更换，请谨慎选择。 安全组 选择密码产品实例所在的安全组。 子网 选择密码产品实例所属的子网。 6. 购买密码产品，还需要配置密码产品管理员账号初始账密。 配置项 配置项说明 用户名 设置购买的密码产品实例管理员初始账号。 密码 设置购买的密码产品实例管理员初始密码。 确认密码 二次确认购买的密码产品实例管理员初始密码。 7. 选择购买密码产品、证书管理服务的时长。 支持开启“到期自动续费”。开启自动续费后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 8. 配置完成后，勾选“我已阅读并同意《天翼云云密评专区服务协议》《隐私政策声明》”后，单击“提交订单”。

本节介绍网页防篡改（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

本章节主要介绍翼MapReduce服务的账号密码类常见问题。 翼MR集群开通后，登录翼MR Manager的用户是什么？ 系统默认登录翼MR Manager的帐号为opadmin，用户可以直接通过翼MR控制台中的免密登录跳转访问到翼MR Manager。 集群的主机登录密码是什么？ 主机登录密码是在翼MR集群开通时所设置的，如忘记密码，可前往集群的基础信息页进行密码重置。当前仅支持对2.16及以上版本进行密码重置。 组件密码在哪里查询与重置？ 组件密码可前往翼MR Manager配置管理页面，在vars.yaml的高级配置中查询。当前暂不支持在该文件中直接修改组件密码，文件仅用于记录配置信息。2.19版本起，云搜索场景支持在控制台集群服务管理页对Elasticsearch组件密码进行修改。 LDAP密码在哪里重置？ LDAP密码可前往翼MR Manager LDAP租户管理页面，选择要修改密码的LDAP用户，进入该用户的基础信息页进行密码重置。 Manager主密码是否支持重置 ？ 当前主密码暂不支持重置，请妥善保存密码。

本节主要介绍挂起卷。 在“卷管理”页面，选择上云卷，点击“操作”>“挂起”，可以挂起HBlock上云卷。 挂起卷适用于“多集群轮流写入同一上云卷”的场景，例如：A集群把卷挂起后，B集群立即原地还原并写入新数据；待B集群再次挂起，A集群恢复卷即可直接看到B集群的最新写入，实现“一写一挂、交替接管”。 注意 挂起后将立即冻结该卷的所有读写请求。请确保卷的所有数据已持久化，即如果卷已经被客户端挂载，需确保客户端的数据都已经同步到卷上。恢复前，依赖此卷的业务将不可用。 卷在挂起状态下，仅允许挂起、修改卷配置、修改上云配置、恢复、删除、查询。 卷处于挂起、挂起中、挂起失败状态时，不支持读写。 挂起卷前须先logout断开客户端连接，否则在卷状态恢复正常前将无法断开客户端连接。 仅卷处于正常、挂起、挂起中、挂起失败状态时，才可以执行此操作。 图1 挂起卷

本文为您介绍对象存储欠费相关的计费规则。 欠费原因 未购买资源包，在按需计费的模式下帐号的余额不足。 已购买资源包，但使用量超出资源包额度，进而产生按需计费，同时帐号中的余额不足以抵扣产生的按需费用。 欠费说明 欠费后天翼云对象存储服务会自动停止，您所占用的存储空间资源仍会继续扣费，因此欠费余额会累计。如果您在15天内充值补足欠款，服务会自动启用。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云对象存储系统的全部数据将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 若您确认不再使用天翼云对象存储服务，请务必及时删除存储于对象存储上的数据。 续费说明 若是未购买资源包后欠费，请在15天内充值补足欠款并保证帐号中的余额充足。 若是已购买资源包后欠费，请在15天内再次订购相应的资源包或保证帐号中的余额充足。

在购买DRDS实例之前，您需要先做一系列的准备操作，包括评估实例规格，确定虚拟私有云（VPC）及可用区等。 评估实例规格 在购买DRDS前，您需要根据应用的实际情况，评估所需要的计算和存储能力，同时结合业务类型及规模，选择合适的实例规格，更好地满足应用需求。实例规格主要包括：实例的性能类型、CPU和内存等，更多实例规格信息，请参见规格。 确定VPC VPC为DRDS实例提供了网络隔离和访问控制，在创建VPC时，利用子网、安全组等网络特性，可以更便捷、安全地进行内部网络的配置和管理。 注意 DRDS实例必须与MySQL实例在同一个VPC内，且两者的安全组需要确保DRDS与MySQL间网络互通。 建议 DRDS实例与应用程序处于在同一个VPC内，可以提高安全性和性能。 DRDS实例、MySQL实例与应用程序三者尽量选择同一个安全组，可以保证网络访问不受限制，并且便于统一管理。 确定可用区 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。

本文为您介绍如何退订Web应用防火墙（原生版）实例。 Web应用防火墙（原生版）支持退订，可通过Web应用防火墙（原生版）控制台界面、天翼云费用中心发起并完成退订操作。 退订说明 您（天翼云客户）可根据需要，在符合天翼云退订规则的前提下，灵活退订配额。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订，退订规则详情见退订规则说明。 退订完成后，退款金额会退回账户余额，客户可根据需要进行提现。提现操作详情见余额提现。 说明 WAF实例退订后，主套餐及资源扩展包将一同退订；资源扩展包不支持单独退订。 成功发起退订后，实例资源将转入冻结状态，冻结期15天。冻结期间，用户配置数据会保留15天，WAF仍可以转发流量，同时WAF保留用户的配置数据，15天后资源被释放，释放后无法恢复。 操作步骤 具体操作请参见： 退订云SAAS型实例 退订独享型实例

多活数据面性能指标如何？ 应用容灾多活协同其他云产品，用户可以通过查阅天翼云官方文档，了解使用到的产品组件指定规格实例的性能指标。 对于引入多活探针的性能变化，同城场景RT基本没增长，异地场景RT约有1~10ms增长，取决于具体业务与物理距离。 业务如何尽可能平滑地过渡到双活架构？ 业务应用从原有架构向双活扩展时，应以标准化的多环境多步骤的流程进行渐进式迭代，尽可能避免产生大范围影响，从而实现平滑过渡。 多环境 ： 应用发布按标准的日常、预发、灰度、生产等流程进行上线。 多步骤 ： 1. 分析业务现状，明确流量、数据和代码改造点，包括服务拆分、数据拆分、流量染色等。 2. 规划物理架构，开通目标区域、可用区、网络和中间件等资源。 3. 完成架构升级，根据不同改造点兼容性，业务原集群多版本迭代更新。 4. 部署双活集群，对新集群进行复影流量、灰度流量等业务正确性验证。 5. 应用分层切换，微服务、消息、数据库等组件切换多活规则。

本章介绍处理配置风险的方案。 主机安全服务对主机执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 修改有风险的配置项 查看检测规则对应的详情信息，您可以根据审计描述验证检测结果，根据修改建议处理主机中的异常信息。 建议您及时优先修复威胁等级为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 忽略可信任的配置项 1、 单击云服务器名称，查看服务器的详细信息，选择“基线检查 > 配置检查”。 2、 单击目标风险项前的展开检查项，单击目标风险项“操作”列的“忽略”进行单个忽略。也可以勾选多个检测规则单击界面上方的“忽略”进行批量忽略。 对于已经忽略的检测规则，单击已忽略页签可“取消忽略”，也可以批量选中想要取消忽略的规则“取消忽略”。 修复验证 完成配置项的修复后，建议您在“风险预防 > 漏洞管理”页面单击“漏洞检测”立即执行手动检测，查看配置项修复结果。

本文为您提供天翼云AOne SDK版本发布记录。 天翼云AOne SDK介绍 天翼云AOne SDK主要提供SDK的能力，用于有开发能力的企业，可以将自身APP和AOne SDK进行集成，实现边缘安全加速平台零信任服务的移动端零信任内网访问能力。 天翼云AOne SDK 隐私政策详见：天翼云AOne SDK隐私和信息处理规则，合规指南详见：天翼云AOne SDK合规使用指南。 Android SDK版本 SDK 版本号 SDK包名 使用说明 主要功能 工程文件MD5 开发者 发布时间 更新内容 Android SDK V1.0.10 SDKAndroid1.0.10 AOne Android SDK接入文档 提供零信任内网访问能力 863788b29e25b3a46266d5b0fb332159 AOne移动端团队 20250620 1. 提供零信任访问能力 2. 修复已知问题 iOS SDK 版本 SDK 版本号 SDK包名 使用说明 主要功能 工程文件MD5 开发者 发布时间 更新内容 iOS SDK V1.0.9 SDKiOS1.0.9 AOne iOS SDK接入文档 提供零信任内网访问能力 6824ecb5b3012d3b52f09b49179e68ed AOne移动端团队 20250620 1. 提供零信任访问能力 2. 修复已知问题

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载间的亲和性 > 与工作负载的亲和性”下的“添加”。 步骤 2 勾选希望部署到相同节点的工作负载，单击“确定”。 当前创建的工作负载会和已勾选的工作负载部署在相同节点上。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载.docx section155246177178 " ")或通过kubectl命令行创建有状态工作负载.docx section113441881214 " ")，工作负载间亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: podAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: app