系统影响 将IP或IP地址段配置为黑名单/白名单后，来自该IP或IP地址段的访问，WAF将不会做任何检测，直接拦截/放行。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“黑白名单设置”配置框中，用户可根据自己的需要更改“状态”，单击“自定义黑白名单设置规则”，进入黑白名单设置规则页面。 步骤7 在“黑白名单”设置规则页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，添加黑白名单规则。 说明 将IP配置为仅记录后，来自该IP的访问，WAF将根据防护规则进行检测并记录该IP的防护事件数据。 其他的IP将根据配置的WAF防护规则进行检测。 添加黑白名单规则 黑白名单参数说明： 参数 参数说明 取值样例 ::: 规则名称 用户自定义黑白名单规则的名字。 waftest IP/IP段或地址组 支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。 IP/IP段 IP地址或IP地址段 当“IP/IP段或地址组” 选择“IP/IP段”时需要设置该参数。 支持IPv4和IPv6格式的IP地址或IP地址段。 IP地址：添加黑名单或者白名单的IP地址。 IP地址段：IP地址与子网掩码。 IPv4格式： 192.168.2.3 10.1.1.0/24 IPv6格式： fe80:0000:0000:0000:0000:0000:0000:0000 选择地址组 当“IP/IP段或地址组” 选择“地址组”时需要设置该参数，在下拉列表框中选择已添加的地址组。您也可以单击“添加地址组”创建新的地址组，详细操作请参见添加黑白名单IP地址组。 groupwaf 防护动作 拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。 放行：IP地址或IP地址段设置的是白名单，则选择“放行”。 仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。再根据[]( 拦截 攻击惩罚 当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。 说明 不支持选择“长时间IP拦截”和“短时间IP拦截”。 长时间IP拦截 规则描述 可选参数，设置该规则的备注信息。 步骤9 输入完成后，单击“确认添加”，添加的黑白名单展示在黑白名单规则列表中。 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。 若需要修改添加的黑白名单规则时，可单击待修改的黑白名单IP规则所在行的“修改”，修改黑白名单规则。 若需要删除添加的黑白名单规则时，可单击待删除的黑白名单IP规则所在行的“删除”，删除黑白名单规则。

CustomedHPA策略是自研的弹性伸缩增强能力，能够基于指标（CPU利用率、内存利用率）或周期（每天、每周、每月或每年的具体时间点），对无状态工作负载进行弹性扩缩容。 主要功能如下： 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长。 支持按照实际指标值执行不同的扩缩容动作。 前提条件 若使用CustomedHPA策略，则必须安装ccehpacontroller和prometheus插件，且两个插件版本均需为1.1.0及以上： ccehpacontroller：支持按照当前实例数的百分比进行扩缩容；支持设置一次扩缩容的最小步长；支持按照实际指标值执行不同的扩缩容动作。创建CustomedHPA策略必须安装此插件。 prometheus：负责采集kubernetes集群中kubelet的公开指标项（CPU利用率、内存利用率）。创建CustomedHPA策略必须安装此插件。 约束与限制 CustomedHPA策略：仅支持1.15及以上版本的集群创建。 CustomedHPA策略不支持鲲鹏集群。 每个工作负载只能创建一个策略，即如果您创建了一个工作负载弹性伸缩（HPA），则不能再对其创建CustomedHPA策略或其他HPA策略，您可以删除该HPA策略后再创建。 操作步骤 步骤 1 在CCE控制台中，单击左侧导航栏的“弹性伸缩”，在“工作负载伸缩”页签下，单击“创建CustomedHPA策略”按钮。 步骤 2 进入创建工作负载CustomedHPA策略页面，在“插件检测”步骤中： 若插件名称后方显示，请单击插件后方的“现在安装”按钮，根据业务需求配置插件参数后单击“立即安装”，等待插件安装完成。 若插件名称后方显示，则说明插件已安装成功。 步骤 3 确认插件已安装成功后，单击“下一步：策略配置”。 说明：如果插件已提前安装成功，单击“创建CustomedHPA策略”按钮后，在“插件检测”步骤中经过短暂检测后将直接进入“策略配置”步骤。 步骤 4 在“策略配置”步骤中，参照下表设置策略参数。 表CustomedHPA策略参数配置 参数 参数说明 策略名称 新建策略的名称，请自定义。 集群名称 请选择工作负载所在的集群。 命名空间 请选择工作负载所在的命名空间。 关联工作负载 请选择要设置CustomedHPA策略的工作负载。 实例范围 请输入最小实例数和最大实例数。 策略触发时，工作负载实例将在此范围内伸缩。 冷却时间 请输入冷却时间值，单位为分钟。 策略成功触发后，在此冷却时间内，不会再次触发缩容/扩容，目的是等待伸缩动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。 策略规则 单击“添加策略规则”在弹出的窗口中设置伸缩策略参数： 规则名称：请输入规则名称，可自定义。 类型：可选择“指标触发”或“周期触发”。 指标触发 触发条件：请选择“CPU利用率”或“内存利用率”，选择“>”或“

响应结果 名称 描述 Account 发出请求的账户名。 UserName 发出请求的用户名。如果根用户发送的该请求，则UserName为root。 StorageClass 存储类型: ALL：所有存储类型。 STANDARD：标准存储。 STANDARDIA：低频访问存储。 TimeZone 返回数据的时区，统一为UTC +0800。 InOutType 流量类型上行/下行: all：上行流量和下行流量。 inbound：上行流量。 outbound：下行流量。 InternetType 流量类型互联网/非互联网: all：互联网流量和非互联网流量。 internet：互联网流量。 noninternet：非互联网流量。 TrafficsType 流量类型直接/漫游： all：直接流量和漫游流量。 direct：直接流量。 roam：漫游流量。 NetType 网络类型精品网（CN2）/普通网（163）： all：返回精品网和普通网的流量。 highqualitynet：返回精品网的流量。 normalqualitynet：返回普通网的流量。 注意 仅香港节点返回此项。 Freq 返回数据的频率： by5min：每5分钟统计1次。 byHour：每1小时统计1次。 byDay：每天统计1次。 BucketName Bucket名字。如果用户在请求中没有携带Bucket参数，BucketName为空。 RegionName 数据位置，如果用户在请求中没有携带Region参数，RegionName为空。 Statistics.Date 返回结果对应的时间： 当请求参数Freq为by5min或byHour时，返回格式为yyyyMMdd HH:mm。 当请求参数Freq为byDay时，返回格式为yyyyMMdd。 Statistics.Data.InternetDirectInbound 标准存储数据的互联网直接上行流量，单位是Byte。 Statistics.Data.InternetRoamInbound 标准存储数据的互联网漫游上行流量，单位是Byte。 Statistics.Data.NonInternetDirectInbound 标准存储数据的非互联网直接上行流量，单位是Byte。 Statistics.Data.NonInternetRoamInbound 标准存储数据的非互联网漫游上行流量，单位是Byte。 Statistics.Data.InternetDirectOutbound 标准存储数据的互联网直接下行流量，单位是Byte。 Statistics.Data.InternetRoamOutbound 标准存储数据的互联网漫游下行流量，单位是Byte。 Statistics.Data.NonInternetDirectOutbound 标准存储数据的非互联网直接下行流量，单位是Byte。 Statistics.Data.NonInternetRoamOutbound 标准存储数据的非互联网漫游下行流量，单位是Byte。 Statistics.Standardia.InternetDirectInbound 低频访问存储数据的互联网直接上行流量，单位是Byte。 Statistics.Standardia.InternetRoamInbound 低频访问存储数据的互联网漫游上行流量，单位是Byte。 Statistics.Standardia.NonInternetDirectInbound 低频访问存储数据的非互联网直接上行流量，单位是Byte。 Statistics.Standardia.NonInternetRoamInbound 低频访问存储数据的非互联网漫游上行流量，单位是Byte。 Statistics.Standardia.InternetDirectOutbound 低频访问存储数据的互联网直接下行流量，单位是Byte。 Statistics.Standardia.InternetRoamOutbound 低频访问存储数据的互联网漫游下行流量，单位是Byte。 Statistics.Standardia.NonInternetDirectOutbound 低频访问存储数据的非互联网直接下行流量，单位是Byte。 Statistics.Standardia.NonInternetRoamOutbound 低频访问存储数据的非互联网漫游下行流量，单位是Byte。

qemuimg convert p f vmdk O qcow2 centos6.9.vmdk centos6.9.qcow2 (100.00/100%) b. 执行如下命令，查询转换后的qcow2格式镜像文件的详细信息。 qemuimg info centos6.9.qcow2 回显信息如下所示： [root@CentOS7 home] qemuimg info centos6.9.qcow2 image: centos6.9.qcow2 file format: qcow2 virtual size: 1.0G (1073741824 bytes) disk size: 200K clustersize: 65536 Format specific information: compat: 1.1 lazy refcounts: false 典型应用举例 用户从VMware平台导出一个preallocated格式的镜像文件（preallocated格式是VMDK monolithic Flat子格式类型），preallocated格式镜像依赖2个文件“xxxx.vmdk”和“xxxxflat.vmdk”（“xxxx.vmdk”是一个配置文件，“xxxxflat.vmdk”是实际数据文件），这两种格式的镜像文件不能直接导入到云平台，需提前转换成通用的vmdk或qcow2格式才能导入。 以下以镜像文件格式为centos6.964bitflat.vmdk和centos6.964bit.vmdk为例，通过qemuimg工具转换镜像格式。 1. 执行如下命令，查询镜像文件的详细信息。 ls lh centos6.964bit qemuimg info centos6.964bit.vmdk qemuimg info centos6.964bitflat.vmdk 回显信息如下所示： [root@CentOS7 tmp] ls lh centos6.964bit rwrr. 1 root root 10G Jun 13 05:30 centos6.964bitflat.vmdk rwrr. 1 root root 327 Jun 13 05:30 centos6.964bit.vmdk [root@CentOS7 tmp]

qemuimg convert p f vmdk O qcow2 centos6.9.vmdk centos6.9.qcow2 (100.00/100%) b.执行如下命令，查询转换后的qcow2格式镜像文件的详细信息。 qemuimg info centos6.9.qcow2 回显信息如下所示： [root@CentOS7 home] qemuimg info centos6.9.qcow2 image: centos6.9.qcow2 file format: qcow2 virtual size: 1.0G (1073741824 bytes) disk size: 200K clustersize: 65536 Format specific information: compat: 1.1 lazy refcounts: false 典型应用案例 应用场景 用户从VMware平台导出一个preallocated格式的镜像文件（preallocated格式是VMDK monolithic Flat子格式类型），preallocated格式镜像依赖2个文件“xxxx.vmdk”和“xxxxflat.vmdk”（“xxxx.vmdk”是一个配置文件，“xxxxflat.vmdk”是实际数据文件），这两种格式的镜像文件不能直接导入到云平台，需提前转换成通用的vmdk或qcow2格式才能导入。 以下以镜像文件格式为centos6.964bitflat.vmdk和centos6.964bit.vmdk为例，通过qemuimg工具转换镜像格式。 操作步骤 1、执行如下命令，查询镜像文件的详细信息。 ls lh centos6.964bit qemuimg info centos6.964bit.vmdk qemuimg info centos6.964bitflat.vmdk 回显信息如下所示： [root@CentOS7 tmp] ls lh centos6.964bit rwrr. 1 root root 10G Jun 13 05:30 centos6.964bitflat.vmdk rwrr. 1 root root 327 Jun 13 05:30 centos6.964bit.vmdk [root@CentOS7 tmp]

本节为您介绍对用户授权的方法 如果您需要对您所拥有的ServiceStage进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 据企业的业务组织，在您的云服务帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用ServiceStage资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将ServiceStage资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用ServiceStage服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的ServiceStage权限，并结合实际需求进行选择。ServiceStage支持的系统权限，请参见权限管理。 示例流程 图 给用户授权ServiceStage权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予ServiceStage“ServiceStage ReadOnlyAccess”权限。 2. 创建用户 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，验证ServiceStage的只读权限。 在“服务列表”中选择“微服务云应用平台 ServiceStage”，进入“应用管理 > 应用列表”，单击“创建应用”，若提示权限不足，表示“ServiceStage ReadOnlyAccess”已生效。 在“服务列表”中选择除ServiceStage外的任一服务，若提示权限不足，表示“ServiceStage ReadOnlyAccess”已生效。

本文介绍如何开通学术加速,用于在科研助手中使用学术加速的开发机。 概述 开通企业版学术加速功能流程如下： 操作步骤 1. 进入边缘安全加速平台： 2. 点击【学术加速】，购买企业版流量包： 2. 进入学术加速控制台，设置企业标识（对应科研助手学术加速的企业ID）。 3. 在控制台的用户与组织页面，点击“添加用户”来新增用户（对应科研助手学术加速的账号和密码）。 4.下载客户端重置密码。 下载地址： /academicAcceleration/home 5. 验证登录 6. 在科研助手平台创建开发机，设置企业组织ID、用户名、密码。 说明 后续如需切换成个人版，需先退订企业版流量包

本文带您了解天翼云弹性高性能计算的功能特性。 集群管理 支持用户快速创建、删除集群，查看集群内部详细信息。您可以根据需要组建云上弹性高性能计算集群，并且可以随时监控集群状态和CPU使用情况，操作简单，方便管理。 节点管理 支持用户对集群内节点进行新增、删除等操作。您可以实时监控节点的运行状态，在节点出现故障时及时发现问题进行排错。 用户管理 支持用户在集群中增加、删除用户，您可以在同一集群中添加多个用户，分别使用不同的用户提交不同的作业，避免作业之间互相干扰。 作业调度 当前版本支持您通过命令行、Portal页面提交作业。平台提供作业管理调度能力，根据作业的等待时长、申请资源数量、优先级等信息，对作业进行统一的编排，避免资源的冲突，同时提高集群资源利用率，保证用户作业公平合理地共享集群资源。 实时监控 平台支持多维度的系统监控，监控内容包括集群、节点、作业的 CPU 使用率、内存使用率、负载使用率及slot 使用率等信息，帮助您及时了解集群运行状况。 自动伸缩 自动伸缩可以根据您配置的伸缩策略动态调整集群规模，系统可以根据调度器感知的作业等待或节点闲置情况，自动扩容或缩容计算节点，可以帮您合理利用资源，优化使用成本。

URL黑白名单 URL（Uniform Resource Locatior）统一资源标定位系统，是因特网的万维服务器程序上用于指定信息位置的表示方法。用户访问具体的URL可以准确获取到需要的资源。您可以通过在全站加速平台配置允许访问的URL或者禁止访问的URL，来对访客身份进行识别和过滤，拒绝非法访问。全站加速通过对用户访问的URL进行规则判断，按需放行或拒绝用户访问。允许访问时，全站加速会返回资源链接；拒绝访问时，全站加速会返回403响应码。详见：URL黑白名单。 URL黑名单：若用户请求的URL命中黑名单内容，全站加速平台将拒绝用户请求，并返回403状态码。 URL白名单：若用户请求的URL命中白名单内容时，用户才能访问所请求的资源。 URL鉴权 默认情况下在全站加速分发的内容大部分都是公开资源，用户可以直接请求URL获取。为了防止站点资源被恶意下载或者非法盗用，导致产生不必要的带宽浪费，您可以在天翼云全站加速上配置URL鉴权功能。配置URL鉴权后，全站加速会对加密串及时间戳进行校验，从而有效地保护用户站点资源。详见：URL鉴权配置。

此小节介绍云堡垒机功能特性。 云堡垒机不仅拥有传统4A安全管控的基本功能特性，包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。 身份认证 采用多因子认证和远程认证技术，加强用户身份认证管理。 引用多因子认证技术，包括手机短信、手机令牌、USBKey、动态令牌等方式，安全认证登录用户身份，降低用户帐号密码风险。 对接第三方认证服务或平台，包括AD域、RADIUS、LDAP、Azure AD远程认证，支持远程认证用户身份，防止身份泄露。并支持一键同步AD域服务器用户，复用原有用户部署结构。 账户管理 集中管理系统用户和资源帐号信息，对帐号全生命周期建立可视、可控、可管运维体系。 用户帐号管理 系统用户帐号全生命周期管理，用户使用唯一帐号登录系统，解决共享帐号、临时帐号、滥用权限等问题。 批量导入 通过同步第三方服务器用户，以及批量导入用户，支持一键同步并导入已有用户信息，无需重复创建用户。 用户组 用户帐号按属性分组管理，可实现对同类型用户按用户组赋予权限。 批量管理 支持批量管理用户帐号，包括删除、启用、禁用、重置密码、修改用户基本配置等。 权限控制 集中管控用户访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置，保障了系统管理安全和资源运维安全。 系统访问权限 从单个用户帐号属性出发，控制用户登录和访问系统权限。 用户角色 通过为每个用户帐号分配不同的角色，赋予用户访问系统不同模块的权限，对系统用户身份进行分权。系统支持自定义角色，自定义角色中可以自选添加系统模块，实现角色多样化模式。 组织部门 通过为每个用户划分部门，采用部门组织树形结构，不限制部门层级，可将用户按部门分层级管理。 登录限制 通过设置用户登录配置，从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度，赋予用户登录系统的权限。 资源访问权限 按照用户、用户组与资源账户、账户组之间的关联关系，建立用户对资源的控制权限。 访问控制 通过设置访问控制权限，从访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等维度，赋予用户访问资源的权限。通过设置双人或多人授权审核，需要授权人实时授权才能访问资源，保障敏感核心资源绝对安全。 命令拦截 通过设置命令控制策略或数据库控制策略，对服务器或数据库中敏感、高危操作，强制阻断、告警及二次复核，加强对关键操作的管控。

安装后验证 服务器上架成功，实例开通成功，确认部署完成。 卸载服务 1. 删除实例 在控制台停止实例、删除实例，具体步骤参见管理平台开发手册停止实例和删除实例章节。 2. 如需卸载环境 1. 下架服务器，下架前确保没有实例部署在服务器上。 2. 停止服务器上的Agent服务。 3. 清空数据目录。 4. 删除teledb账号。 5. 回收服务器。

安装后验证 服务器上架成功，实例开通成功，确认部署完成。 卸载服务 1. 删除实例 在控制台停止实例、删除实例，具体步骤参见管理平台开发手册停止实例和删除实例章节。 2. 如需卸载环境 1. 下架服务器，下架前确保没有实例部署在服务器上。 2. 停止服务器上的Agent服务。 3. 清空数据目录。 4. 删除teledb账号。 5. 回收服务器。

安装后验证 服务器上架成功，实例开通成功，确认部署完成。 卸载服务 1. 删除实例 在控制台停止实例、删除实例，具体步骤参见管理平台开发手册停止实例和删除实例章节。 2. 如需卸载环境 1. 下架服务器，下架前确保没有实例部署在服务器上。 2. 停止服务器上的Agent服务。 3. 清空数据目录。 4. 删除teledb账号。 5. 回收服务器。

本文介绍批量配置HTTPS证书的方法。 功能介绍 边缘安全加速平台支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 适用场景 该功能适用于多域名需同时开启HTTPS服务的场景。 注意事项 批量HTTPS证书配置一次最多能关联100个域名，筛选范围仅包含域名状态为已启用且无在途工单的域名。 域名绑定证书后会开启域名HTTPS功能。 配置说明 1. 登录边缘安全加速平台控制台。 2. 单击左侧导航栏【证书管理】【证书列表】。 3. 在【证书列表】页面，单击左上角【添加自有证书】，并上传证书。 4. 证书上传完可开始【绑定域名】。 5. 选择需绑定该证书的域名，单击【提交绑定】即可。 参数名 说明 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 证书公钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。 证书私钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。

尊敬的客户,您好： 感谢您一直以来对天翼云边缘安全加速平台零信任服务的支持。基于短信整体事项安排，以及我们此前为答谢老客户，推出了短信限制过渡期的“老客户回馈”方案。 目前，该方案已达到预定周期。为保障平台资源的公平分配与服务的长期稳定，我们将对全体客户统一实施短信发送数量管理政策。现将涉及存量付费版老客户的具体安排通知如下： 一、受影响范围 本次调整适用于所有零信任、学术加速新老客户（不区分套餐版本）。 二、生效时间 系统将于 北京时间 2026年1月10日 00:0006:00 进行升级。升级完成后，上述客户的短信发送将正式纳入额度限制管理。 三、短信额度限制影响与解决方式 升级后，您的短信发送量将以当前套餐每月赠送的免费额度为上限。超出免费额度后，系统将无法继续发送短信，这可能会影响您用户的登录验证、信息变更及密码通知等业务场景。 为最大限度减少对您业务的影响，我们已根据历史数据，对可能存在超额使用风险的客户进行了提前分析，并通过站内信、邮件等渠道进行了主动告知与订购引导。具体短信收费及使用说明请查看文档：短信收费及使用说明。 四、重要提示 本次通知内容为最终执行方案。如与前期引导或沟通存在差异，请以此通知为准。 对于此次调整可能带来的不便，我们深表歉意，并衷心感谢您的理解与配合。

创建接入集群，获取接入命令 1、在分布式容器云平台控制台左侧导航栏中选择【分布式容器云】>【接入集群】，进入接入集群列表页。 2、点击【创建接入集群】，在弹窗中填写待接入集群的相关信息。 3、点击【确定】提交创建请求。 4、提交后，即可在列表中查看该接入集群，集群状态为"等待接入中"，还需要在待接入的集群中执行接入命令。 在待接入集群中执行接入命令 1、在分布式容器云平台控制台左侧导航栏中选择【分布式容器云】>【接入集群】，进入接入集群详情页。 2、选择指定管控实例，点击接入集群名称进入接入集群详情页。 3、点击左侧【集群接入】子菜单，查看集群接入命令并复制，对于待接入集群类型为本地IDC或第三方云厂商集群，请复制公网接入命令。 4、使用putty，xshell或webconsole等命令行工具登录至待接入集群的master节点，确保集群中已存在打上了"ccseonenodetype""edge"标签的x86节点。 粘贴上述复制的接入命令，回车执行接入命令。 5、等待相关容器启动完成，可通过执行kubectl logs f n kubesystem ccseoneclusterinstallerXXXXXXXXXXXX查看接入进度。 接入过程一般约为3~5分钟。 接入集群状态变为"就绪"时，说明该集群已经被成功接入CCSE ONE管控实例中。

本文带您了解分布式消息服务RocketMQ的功能特性。 消息生产 消息压缩：将较大的消息进行压缩后发送到服务端，有效利用带宽。 延迟消息：设计消费时延，消息发送到服务端后，过了预设时间才可以被消费。 事务消息：根据预设的事务，事务消息可保证分布式系统之间的数据最终一致。 消息消费 有序消费：支持普通有序消息和严格有序消息两种方式。 集群消费：一个主题可被一个或多个消费者组消费，消费者组中消费者实例可平均分摊消费信息。 消费位置设置：支持设置消费组首次启动消费的位置，包括队列头、队列尾及由客户端指定。 消息回溯：支持按时间回溯消费进度，将订阅组在某主题上的消费进度重置到过去或者未来。 完善的运维能力 应用用户管理：集群租户隔离，应用接入集群权限管理。 主题管理：支持对实例下的主题进行管理，执行创建删除等操作。 订阅组管理：支持对实例下的订阅组进行管理。 生产者和消费者管理：用户可查看当前实例下的生产者和消费者信息，并实时更新。 消息查询：按消息ID、消息逻辑偏移量、消息key。 完善的运维功能，节点状态检测、启停；实例状态检测、启停；SLA监控等。 顺序消息 顺序消息是指消费消息的顺序要同发送消息的顺序一致，在RocketMQ中，主要有两种有序消息：全局有序消息和局部有序消息（又称普通有序消息、分区有序消息）。 普通有序消息：在正常情况下可以保证完全的顺序消息，但是一旦发生通信异常造成Broker重启，队列总数发生变化，哈希取模后定位的队列会变化，因此会产生短暂的消息顺序不一致。如果业务能容忍在集群异常情况（如某个Broker宕机或者重启）下消息短暂的乱序，使用普通顺序方式比较合适。 严格有序消息：无论正常异常情况都能保证顺序，但是牺牲了分布式Failover特性，即Broker集群中只要有一台机器不可用，则整个集群都不可用（或者影响hash 值对应队列的使用），服务可用性大大降低。如果服务器部署为同步双写模式，此缺陷可通过备机自动切换为主避免，不过仍然会存在几分钟的服务不可用。

本章节主要介绍ALM38010 存在单副本的Topic的告警。 告警解释 系统在Kafka的Controller所在节点上，每60秒周期性检测各个Topic的副本数，当检测到某个Topic的副本数为1时，产生该告警。 告警属性 告警ID 告警级别 是否自动清除 38010 提示 否 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 角色名 产生告警的角色名称。 主题名 产生告警的Topic名称列表。 对系统的影响 单副本的Topic存在单点故障风险，当副本所在节点异常时，会直接导致Partition没有leader，影响该Topic上的业务。 可能原因 Topic副本数配置不合理。 处理步骤 检查Topic副本数配置 在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击此告警所在行的，查看定位信息中上报告警的“主题名”列表。 1. 确认发生告警Topic是否需要增加副本。 是，执行步骤3。 否，执行步骤5。 2. 在FusionInsight客户端，对相关Topic的副本进行重新规划，在addreplicasreassignment.json文件中描述该Topic的Partition分布信息，其中json文件中的内容格式为：{"partitions":[{"topic":" topicName ","partition":1,"replicas": [1,2] }],"version":1}，并执行如下命令增加副本： kafkareassignpartitions.sh zookeeper {zkhost}:{port} /kafka reassignmentjsonfile {manual assignment json file path} execute 例如： /opt/Bigdata/client/Kafka/kafka/bin/kafkareassignpartitions.sh zookeeper 192.168.0.90:2181,192.168.0.91:2181,192.168.0.92:2181/kafka reassignmentjsonfile addreplicasreassignment.json execute 3. 执行如下命令进行确认任务执行进度： kafkareassignpartitions.sh zookeeper {zkhost}:{port} /kafka reassignmentjsonfile {manual assignment json file path} verify 例如： /opt/Bigdata/client/Kafka/kafka/bin/kafkareassignpartitions.sh zookeeper 192.168.0.90:2181,192.168.0.91:2181,192.168.0.92:2181/kafka reassignmentjsonfile addreplicasreassignment.json verify 4. 确认处理完成或者告警无影响后，可在FusionInsight Manager页面，手动清除该告警。 5. 观察一段时间，检查告警是否清除或者告警无影响后，可在FusionInsight Manager页面，手动清除该告警。 是，操作结束。 否，执行步骤7。

本章节主要介绍 ALM14015 DataNode进程垃圾回收（GC）时间超过阈值的告警。 告警解释 系统每60秒周期性检测DataNode进程的垃圾回收（GC）占用时间，当检测到DataNode进程的垃圾回收（GC）时间超出阈值（默认12秒）时，产生该告警。 垃圾回收（GC）时间小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14015 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 DataNode进程的垃圾回收时间过长，可能影响该DataNode进程正常提供服务。 可能原因 该节点DataNode实例堆内存使用率过大，或配置的堆内存不合理，导致进程GC频繁。 处理步骤 检查GC时间 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击告警“ALM14015 DataNode进程垃圾回收（GC）时间超过阈值”所在行的下拉菜单，在“定位信息”中查看告警上报的角色名并确定实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 实例 > DataNode（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 垃圾回收”，勾选“DataNode垃圾回收（GC）时间”。查看DataNode每分钟的垃圾回收时间统计情况。 3.查看DataNode每分钟的垃圾回收时间统计值是否大于告警阈值（默认12秒）。 是，执行步骤4。 否，执行步骤7。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置 > 全部配置 > DataNode > 系统”。将“GCOPTS”参数值根据实际情况调大。 说明 单个DataNode实例平均Block数量和DataNode内存的对应关系参考值如下： 单个DataNode实例平均Block数量达到2,000,000，DataNode的JVM参数参考值为：Xms6G Xmx6G XX:NewSize512M XX:MaxNewSize512M。 单个DataNode实例平均Block数量达到5,000,000，DataNode的JVM参数参考值为：Xms12G Xmx12G XX:NewSize1G XX:MaxNewSize1G。 5.保存配置，并重启该DataNode实例。 6.观察界面告警是否清除。 是，处理完毕。 否，执行步骤7。

本文介绍容器安全卫士防护配置类常见问题。 标准版支持设置单条防护规则的防护状态吗？ 支持。 标准版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 标准版支持对同一节点下发不同防护策略吗？ 不支持。默认使用“默认策略”进行防护，创建策略时已生成防护策略的节点是不可重复选择的。若想重新配置策略，需要先解绑已有策略，然后再重新绑定。 标准版支持入侵检测规则自定义吗？ 支持。可以在“容器安全 > 策略管理”中进行自定义，包括命令执行、网络活动、读写文件、文件内容。 标准版镜像安全扫描支不支持仓库镜像扫描？ 支持。除了支持天翼云仓库以外，还支持Harbor、JFrog、Huawei、Huawei CCE Agile、AWS、Aliyun、Registry、Microsoft。

本节介绍网页防篡改（原生版）的产品优势。 方便易用 只需在Web服务器一键安装Agent，简单配置防护策略即可实现防护，全部操作都有可视化界面，方便用户使用。 灵活配置 防护策略支持自定义配置，按需指定防护的进程和文件类型，支持各类网站文件的保护。 安全可靠 产品实现自我保护机制，防止被篡改，采用加密传输与服务端通信，保证数据安全。通过5000+台服务器的运行实践，稳定性高达99.998%，2分钟内离线自动重启机制，保障系统始终处于检测状态。 节约资源 正常的系统负载情况下，CPU占用率<1%，内存占用<40M，消耗极低。在系统负载过高时，Agent会主动降级运行（CPU占用率<1%），严格限制对系统资源的占用，确保业务系统正常运行。

本节为您介绍自建Oracle迁移至中国电信TeleDB任务配置。 限制条件 中国电信TeleDB for MySQL在使用Udal组件的情况下，全量迁移阶段无法自动迁移表定义。您需要提前手动创建表。 目标端配置请参照自建Oracle迁移至自建MySQL。

本节为您介绍自建MySQL迁移至中国电信TeleDB任务配置。 限制条件 中国电信TeleDB for MySQL在使用Udal组件的情况下，全量迁移阶段无法自动迁移表定义。您需要提前手动创建表。 目标端配置请参照自建MySQL迁移至自建MySQL。

本章节介绍如何使用服务网格的能力，将应用部署到服务网格 概述 项目中有多种语言的应用，希望多语言应用也能集成监控和治理的能力。那么就需要用到服务网格的能力，下面以发布bookinfo图书系统为例，发布接入服务网格应用。 前提条件 1. 您已开通微服务云应用平台 2. 您已开通应用性能监控 3. 您已订购一个云容器引擎 4. 您已订购服务网格 操作步骤 1. 创建应用 2. 创建容器应用实例 3. 发布应用 4. 查看监控信息 具体操作： 1. 创建 productpage/reviews/details/ratings 四个应用，技术栈选择参照下面信息进行选择。 productpage 对应 PYTHONRUNTIME reviews 对应 SPRINGBOOT details 对应 NODEJS ratings 对应 NODEJS 2. 创建容器应用实例 基本信息填写： 应用选择1中创建的应用 部署单元可多选，应用pod会均匀分配到部署单元对应的可用区。 部署配置填写： 集群选择，需要选择已经开通服务网格的集群 工作负载类型选择无状态应用 镜像类型选择demo镜像 镜像选择对应应用名称的镜像productpage ，reviews ，details ，ratings 勾选接入服务网格，若集群没有开通服务网格则无法勾选，需先开通服务网格 应用服务网格配置信息： 协议选择 TCP 服务名称同应用名称 productpage ，reviews ，details ，ratings 端口都为 9080 3. 发布应用 进入应用实例，版本信息tab栏，发布应用 将productpage ，reviews ，details ，ratings应用都进行发布 进入ratings应用终端，访问productpage应用接口。curl service ip}:9080/productpage，查看是否有请求返回是否正常，请求返回正常则应用部署成功。 4. 查看监控信息

本节介绍防护规则页面的参数信息和防护规则的编辑、复制、删除操作。 其中复制操作生成的新防护规则“优先级”默认为“1”（优先级最高）。 查看防护规则 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”页面，根据需要选择“互联网边界”或“VPC边界”页签。 参数名称 参数说明 优先级 当前规则的优先级别。 说明 数字越小策略的优先级越高。 名称/规则ID 自定义规则名称和ID。 规则类型 当前规则的防护类型，支持EIP规则和NAT规则。 方向 防护规则的流量方向。 源 访问流量中的会话发起方。 目的 访问流量中的会话接收方。 服务 协议类型当前支持：TCP、UDP、ICMP、Any。 源端口：当前开放或限制的源端口号。支持单个端口，或者连续端口组，中间使用“”隔开，如：80443。 目的端口：当前开放或限制的目的端口号。 支持单个端口，或者连续端口组，中间使用“”隔开，如：80443。 应用 访问流量中的应用类型。 动作 “放行”：设置相应流量通过防火墙。 “阻断”：阻止相应流量通过防火墙。 命中次数 当前规则已放行或阻断的累计命中次数（距上一次清零前），命中详情请参见[访问控制日志](

本节介绍计费项。 计费项 集群管理费用 计费项 计费项说明 计费方式 备注 集群管理服务 CCE One集群管理费用由集群类型（包括天翼云集群、三方云集群和本地集群）、集群vCPU数量和订购时长决定。其中vCPU数量统计方法和vCPU计费规则见下方。 按需计费 如果关联天翼云集群，您需要创建天翼云 CCE 集群。 计费信息参见云容器引擎计费说明。 IaaS资源费用 使用天翼云CCE One服务时，会产生IaaS云资源（如：ELB、EIP等）费用，涉及计费的资源如下表所示： 计费项 计费项说明 计费方式 备注 IaaS云资源 ELB 按需计费 必须，绑定 API Server 使用。 计费信息参见 弹性负载均衡计费说明。 IaaS云资源 EIP 按需计费 非必须，公网暴露 API Server 使用。 计费信息参见 弹性IP计费说明。 IaaS云资源 ECS 按需计费 非必须，注册集群节点扩容使用。 计费信息参见 弹性云主机计费说明。 注意 分布式容器云平台CCE One提供分布式集群统一管理，其产生的费用仅包括注册集群管理费和使用到的IaaS资源费用。对于三方云集群和本地集群所产生的资源费用，不属于CCE One计费范围。

UDAL SHOW FRONTENDCONNECTIONLIMIT [ WHERE USER 'user' AND GROUP 'group'] 语法说明 显示用户组的前端连接限制 示例 plaintext mysql> UDAL SHOW FRONTENDCONNECTIONLIMIT WHERE USER 'udaladmin' AND GROUP '默认分组'; Empty set (0.00 sec) UDAL SHOW SESSION 语法说明 查看绑定事务的前后端连接信息，返回信息说明如下： 参数 描述 Processor 处理线程号 Connectionid 前端连接在DBProxy中的ID Frontendclienthost 前端连接对应的客户端主机地址 Frontendclientport 前端连接对应的客户端端口号 Frontendschema 前端连接使用中的数据库schema Frontendactivetime(Seconds) 前端连接持续时间 Frontendqueuedmessages 前端连接等待写出的数据包数量 Frontendreceivebuffer(Bytes) 前端连接接收数据的缓冲区大小 Charset DBProxy数据库字符集 Transactionlevel 事务级别 Autocommit 是否自动提交 Originsql 用户提交的SQL Backendhost 后端连接主机地址 Backendport 后端连接端口 Backenddatabase 后端连接物理数据库schema Backendactivetime(Seconds) 后端连接连接持续时间 Backendqueuedmessages 后端连接等待写出的数据包数量 Backendclosed 后端连接是否已关闭 Backendborrowed 后端连接是否使用中 示例 plaintext mysql> UDAL SHOW SESSION; Empty set (0.00 sec) UDAL SHOW HEARTBEAT 语法说明 查看主机的后端数据库的心跳状态，返回信息说明如下： 参数 描述 Datahost 物理数据库名称 Type 数据库类型 Host 主机地址 Port 端口号 Result 心跳测试返回结果，可能值： OK ERROR TIMEOUT INIT Retry 当前重试失败次数 Status 心跳检测任务状态(CHECKING/IDLE) Timeout(Milliseconds) 超时时间 Cost(Milliseconds) 最近3个时段的平均响应时间，默认为1分钟、10分钟或30分钟 Lasttry 上次使用时间 Stopped 是否已停止心跳检测 示例 plaintext mysql> UDAL SHOW HEARTBEAT; ++++++++++++ Datahost Datasource Type Host Port Result Retry Status Timeout (Milliseconds) Cost (Milliseconds) Lasttry Stopped ++++++++++++ mysql85ggztest5473 masternode mysql 192.168.0.97 13049 OK 0 IDLE 30000 0,1,0 20250429 23:30:48 false ++++++++++++ 1 row in set (0.00 sec)

本页介绍了在关系数据库MySQL版产品修改数据库端口的方法。 操作场景 关系数据库MySQL版服务支持修改主实例、只读实例、数据库代理实例的数据库端口，对于主备实例或者一主两备实例，修改主节点的数据库端口，该实例下备节点的数据库端口会被同步修改。 说明 仅架构升级后的只读实例支持修改端口。 存量只读实例不支持修改端口，您可以新建一个只读实例进行修改。 约束条件 端口修改中，不可进行以下操作： 绑定弹性公网IP。 删除实例。 创建备份。 操作步骤 主实例、只读实例修改方法 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在实例信息 区域，单击数据库端口 参数右侧的修改端口。 5. 在对话框中，输入新端口，单击检测。 6. 单击确定 即可修改， 您可以在实例基本信息页面，查看修改结果。 数据库代理实例修改方法 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 二级目录选择数据库代理，并选择对应需要修改端口的代理页签。 5. 找到连接地址 栏的端口信息，并点击修改端口。 6. 在对话框中，输入新端口，单击检测。 7. 单击确定 即可修改，您可以在连接地址栏端口处，查看修改结果。 注意 MySQL数据库端口设置范围有一定的限制，具体以控制台为准。 修改主实例数据库端口，对应的备节点均会被修改且重启。 修改端口的过程，需要1~5分钟左右。 修改数据库端口后，需要在安全组设置中放开新修改端口，以免影响使用。

本章节主要介绍ALM18018 NodeManager堆内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测Yarn服务堆内存使用状态，当检测到NodeManager实例堆内存使用率超出阈值（最大内存的95%）时产生该告警。 堆内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18018 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 NodeManager堆内存使用率过高，会影响Yarn任务提交和运行的性能，甚至可能会造成内存溢出导致Yarn服务崩溃。 可能原因 该节点NodeManager实例堆内存使用率过大，或配置的堆内存不合理，导致使用率超过阈值。 处理步骤 检查堆内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM18018 NodeManager堆内存使用率超过阈值 > 定位信息”。查看告警上报的实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 实例 > NodeManager（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“NodeManager内存使用率”。查看堆内存使用情况。 3.查看NodeManager使用的堆内存是否已达到NodeManager设定的最大堆内存的95%(默认阈值)。 是，执行步骤4。 否，执行步骤6。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置 > 全部配置 > NodeManager > 系统”。将“GCOPTS”参数的值根据实际情况调大。保存配置，并重启NodeManager实例。 说明 集群中的NodeManager实例数量和NodeManager内存大小的对应关系参考如下： 集群中的NodeManager实例数据达到100，NodeManager实例的JVM参数建议配置为：Xms2G Xmx4G XX:NewSize512M XX:MaxNewSize1G。 集群中的NodeManager实例数据达到200，NodeManager实例的JVM参数建议配置为：Xms4G Xmx4G XX:NewSize512M XX:MaxNewSize1G。 集群中的NodeManager实例数据达到500以上，NodeManager实例的JVM参数建议配置为：Xms8G Xmx8G XX:NewSize1G XX:MaxNewSize2G。 5.观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

本章节主要介绍 ALM12051 磁盘Inode使用率超过阈值。 告警解释 系统每30秒周期性检测磁盘Inode使用率，并把实际Inode使用率和阈值（系统默认阈值80%）进行比较，当检测到Inode使用率连续多次（默认值为5）超过阈值时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 磁盘 > 磁盘inode使用率”修改阈值。 平滑次数为1，磁盘Inode使用率小于或等于阈值时，告警恢复；平滑次数大于1，磁盘Inode使用率小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12051 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 设备分区 产生告警的磁盘分区。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 文件系统无法正常写入。 可能原因 磁盘写入的小文件过多。 处理步骤 磁盘写入的小文件过多 1.打开FusionInsight Manager页面，选择“运维 > 告警 > 告警”，单击此告警所在行的，获取告警所在主机地址和磁盘分区。 2.以root用户登录告警所在主机。 3.执行命令 df i grep iE " 分区名称 Filesystem" ，查看磁盘当前Inode使用率。 df i grep iE "xvda2Filesystem" Filesystem Inodes IUsed IFree IUse% Mounted on /dev/xvda2 2359296 207420 2151876 9% / 4.若Inode使用率超过阈值，手工排查该分区存在的小文件，确认是否能够删除这些文件。 说明 可使用命令for i in /; do echo $i; find $iwc l; done查看分区下的文件个数，使用时请替换“/”为需要检查的分区。 for i in /srv/; do echo $i; find $iwc l; done /srv/BigData 4284 /srv/ftp 1 /srv/www 13 是，执行 rm rf待删除文件或文件夹路径命令，删除文件，执行步骤5。 说明 删除文件为高危操作，在执行操作前请务必确认对应文件是否不再需要。 否，进行磁盘扩容，执行步骤5。 5.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤6。

内网DNS产品为您提供优质的服务体验，本文带您了解内网DNS的产品优势。 多AZ容灾，就近响应 以其中一个租户的www.example.com域名为例，同一个域名对应的后端实服务器组可以跨AZ部署，从而实现域名解析服务AZ级别的高可用。 具体实现如下图：DNS解析服务器采用集群部署方式，和Client 同AZ的DNS服务器会优先响应DNS的查询。当AZ1的DNS服务器故障时，会自动由AZ2的DNS服务器响应DNS查询请求。 高性能 天翼云的内网DNS可以同时支持裸金属和虚拟机部署，具备高性能和强大的处理能力，可以满足大规模应用场景下的需求。最高QPS可支持到2000w+。 天翼云域名解析服务具备网络容灾与横向扩容能力，实现网络无损扩容，面临网络故障或高负载也能保障高可用性和稳定性。 安全可靠 内网域名就是在云内网有效的域名，仅在域名关联的VPC内有效，互联网无法攻击内网DNS，可以有效防护外部攻击和解析劫持。其他未关联的VPC也无法查询到对应的服务器，界定了您的内部系统访问边界，将核心数据访问限制在最小范围。 对于保存核心数据的云服务器，不绑定弹性IP，使用内网DNS为其提供域名解析服务，这样，既保证了核心数据的安全性，又实现了对核心数据的访问。

本小节介绍证书管理服务产品简介。 证书管理服务（Certificate Management Service‌，CCMS）是一款集证书购买、申请及安全应用于一体的云上证书管家，提供SSL证书管理、私有（内网）证书管理和个人证书管理功能，并支持一键部署证书、证书托管等服务。该服务支持国密和国际算法，帮助用户实现数据传输加密和身份认证，保障数据安全。 SSL证书管理 SSL证书是一种遵守SSL协议的数字证书，用于在互联网上建立安全通信连接，常用于网站安全加密，是保护网站数据的必备证书。 提供企业型（OV）、增强型（EV）、域名型（DV）多种SSL证书，便于企业根据自身业务场景灵活选择。 可以在证书管理服务控制台上购买SSL证书，并向CA机构提交证书申请，待CA机构审核通过并签发证书后，你可以下载证书并将其安装到您的应用服务器中。 支持将第三方证书上传到证书管理服务控制台进行统一管理。 支持一键部署SSL证书至天翼云其他云产品中，还提供了证书托管功能，可以自动替换天翼云上云产品证书。 私有（内网）证书管理 私有（内网）证书是CA颁发的内部专用数字凭证，用于内网身份认证、系统间加密通信和设备安全管理。 提供私有（内网）证书的全生命周期管理能力，包括购买、申请、下载、吊销等。 个人证书管理 个人证书是由CA机构核验身份后颁发的数字凭证，用于强身份认证、电子签名和加密通信等场景。 提供个人证书的全生命周期管理能力，包括购买、申请、下载、吊销等。