本节介绍了云数据库TaurusDB的常用概念。 了解以下概念，有助于您更好地选购和使用云数据库TaurusDB： 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。一般情况下，TaurusDB实例应该和弹性云主机实例位于同一地域，以实现最高的访问性能。 可用区（Availability Zone，简称AZ）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个实例，可用区是指在某个地域内拥有独立电力和网络的物理区域。 可用区之间内网互通，不同可用区之间物理隔离。每个可用区都不受其他可用区故障的影响，并提供低价、低延迟的网络连接，以连接到同一地区其他可用区。通过使用独立可用区内的TaurusDB，可以保护您的应用程序不受单一位置故障的影响。同一Region的不同AZ之间没有实质性区别。 规格：每个节点的资源配置，比如16核64GB。

本小节介绍态势感知产品定义。 态势感知为用户提供统一的威胁检测平台。态势感知能够帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 态势感知系统通过资产管理、脆弱性评估、威胁检测等手段完成用户网络的安全检查、风险评估、可视化呈现。同时，通过与国家应急响应中心（CNCERT）权威监测平台的威胁情报、知识库对接，动态实时地完成应急协同、威胁情报接入、信息流转、防护规则更新等信息交换，做到用户安全风险的快速发现和信息闭环。

创建数据连接 在DataArts Studio控制台首页，选择对应工作空间的“管理中心”模块，进入管理中心页面。 详见下图：选择管理中心 在管理中心页面，单击“数据连接”，进入数据连接页面。 详见下图：创建数据连接 单击“创建数据连接”，在弹出的对话框中，选择“数据连接类型”为“MapReduce服务（MRS Hive）”，详见下方图片创建数据连接 及 MRS Hive连接配置参数，并参见表MRS Hive数据连接配置相关参数。 MRS Hive连接配置参数 详见下表：MRS Hive数据连接 参数 是否必选 说明 数据连接名称 是 数据连接的名称，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符。 标签 否 标识数据连接的属性。设置标签后，便于统一管理。 说明 标签的名称，只能包含中文、英文字母、数字和下划线，不能以下划线开头。且长度不能超过100个字符。 集群名 是 选择Hive所属的MRS集群。如果在下拉列表中无法显示MRS集群，请检查MRS集群与DataArts Studio实例是否网络互通。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“自定义路由（Region TypeⅠ）>添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组>添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 连接方式 是 选择所需的连接方式，推荐使用“通过代理连接”。 通过代理连接：通过Agent（即CDM集群）进行代理，以MRS集群的用户名和密码访问MRS集群。代理连接方式支持MRS所有版本的集群。 MRS API连接：以MRS API的方式访问MRS集群。MRS API连接仅支持2.X及更高版本的MRS集群。 选择MRS API连接时，有以下约束： 1. 无法查看表和字段。 2. 在SQL编辑器运行SQL时，只能以日志形式显示执行结果。 3. 数据治理（如数据架构、数据质量、数据目录等组件）功能无法使用MRS API连接。 说明 为保证数据架构、数据质量、数据目录、数据服务等组件能够使用此MRS连接，此处连接方式推荐配置为“通过代理连接”。 用户名 否 MRS集群的用户名，通过代理连接的时候，是必选项。如果使用新建的MRS用户进行连接，您需要先登录Manager页面，并更新初始密码。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以参考创建数据连接章节中的 创建MRS安全集群的kerberos认证用户 创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 MRS 3.1.0及之后版本集群，所创建的用户至少需具备Managerviewer的角色权限才能在管理中心创建连接；如果需要对应组件的进行库、表、数据的操作，还需要添加对应组件的用户组权限。 MRS 3.1.0版本之前的集群，所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在管理中心创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 密码 否 MRS集群的访问密码，通过代理连接的时候，是必选项。 KMS密钥 否 KMS密钥名称。通过代理连接的时候，是必选项。 绑定Agent 否 通过代理连接的时候，是必选项。 MRS为非全托管服务，DataArts Studio无法直接与非全托管服务进行连接。CDM集群提供了DataArts Studio与非全托管服务通信的代理，所以创建MRS的数据连接时，请选择一个CDM集群。如果没有可用的CDM集群，请先通过数据集成增量包进行创建。 CDM集群作为网络代理，必须和MRS集群网络互通才可以成功创建MRS连接，为确保两者网络互通，CDM集群必须和MRS集群处于相同的区域、可用区、VPC和子网，安全组规则需允许两者网络互通。 单击“测试”，测试数据连接的连通性。如果无法连通，数据连接将无法创建。 测试通过后，单击“确定”，创建数据连接。

本章节介绍微服务治理中心MSGC子产品的应用场景 消除变更风险 依托无损上下线和全链路灰度能力，全面消除变更过程中的风险。 消除系统雪崩风险 依托于限流、降级、熔断、隔离等能力，可以在出现偶发的流量洪峰和依赖服务出现异常时，有效地限流保护、削峰填谷、隔离故障、降级保护。 实现敏捷开发 依托于开发环境隔离能力，可以在不增加物理机器成本的前提下，低成本扩展出多套逻辑隔离的开发环境，有效地解决环境抢占和冲突问题，实现敏捷开发。 轻松实现灰度上线 依托标签路由功能，轻松实现灰度发布、蓝绿发布等功能。

自定义策略 如果系统预置的云监控服务权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见《统一身份认证服务》帮助中心的“创建自定义策略”章节。本章为您介绍常用的云监控服务自定义策略样例。 示例1：授权用户拥有云监控服务修改告警规则的权限。 plaintext { "Version": "1.1", "Statement": [ { "Action": [ "ces:alarms:put" ], "Effect": "Allow" } ] } 示例2：拒绝用户删除告警规则。 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予CES FullAccess的系统策略，但不希望用户拥有CES FullAccess中定义的删除告警规则权限，您可以创建一条拒绝删除告警规则的自定义策略，然后同时将CES FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对CES执行除了删除告警规则外的所有操作。拒绝策略示例如下： plaintext { "Version": "1.1", "Statement": [ { "Action": [ "ces:alarms:delete" ], "Effect": "Deny" } ] } 示例3：授权用户拥有告警规则所有操作权限(告警规则的创建，修改，查询，删除)。 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： plaintext { "Version": "1.1", "Statement": [ { "Action": [ "ces:alarms:put", "ces:alarms:create", "ces:alarms:list", "ces:alarms:delete" ], "Effect": "Allow" } ] }

OTP口令用户绑定指引： 通过AOne客户端我的设置进行绑定OTP： 用户登录AOne客户端后，点击右上角功能菜单，选择“我的设置”； 在“我的设置”页面中，点击OTP口令右侧的绑定按钮； 按照相关指引，完成个人用户的OTP口令绑定操作； 如您不希望再使用OTP口令功能，可在“我的设置”页面中，点击OTP口令右侧的解绑按钮，完成OTP口令解绑操作； 通过登录WEB页面AOne个人中心进行绑定OTP： 用户登录时，选择“其他登录方式AOneID”； 在浏览器中，输入账号+密码/扫码方式，进行用户身份认证； 身份认证成功后，弹窗勾选“始终允许.ctcdn.cn在关联的应用中打开此类连接”，并且点击“打开AOne.app”完成客户端登录； 在浏览器页面点击“前往个人中心”按钮； 在个人中心多因素认证页面，点击OTP口令按钮； 根据系统指引，完成OTP口令绑定相关操作： 1）使用OTP App或者小程序，通过扫码的方式，绑定账号OTP口令； 2）输入OTP App生成的OTP口令进行校验。

本节介绍了如何获取天翼云提供的CNAME,并将域名或者业务的DNS解析指向天翼云提供的CNAME,这样访问的请求才能转发到边缘云节点上,达到安全防护效果。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1. 在控制台【安全与加速】—【域名管理】中复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 以DNSPod操作界面为例，配置如下 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctyun.cn，即表示CNAME配置已经生效，功能也已生效。 注意: 配置CNAME完毕，CNAME配置生效后，边缘安全加速平台—安全与加速服务生效。 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间。 添加时如遇添加冲突，可参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值（Resource Records，资源记录）相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许)。 X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录。 无限制：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。

操作场景 针对存储桶开启归档直读后，可以直接下载桶内归档数据，而无需先对其解冻。 约束与限制 对桶开启归档直读后，桶内归档存储类型的对象可以直接下载，无需提前解冻，但是会额外收取归档直读取回流量费用，不会重复产生数据取回流量费用。 归档直读支持的区域请参见产品能力地图，可通过提工单申请权限。 开启归档直读前后对比 对比项 未开启归档直读 开启归档直读 取回方式 先解冻，再读取 直接读取 取回费用 低 高 取回时间 分钟级 毫秒级 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择西南西南1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 选择“基础设置”页面，选择“归档直读”，点击“设置”。 6. 点击“开启”，点击“保存”，设置归档直读成功。

本文帮助您了解对象存储重命名文件相关的操作步骤。 操作场景 您可以通过控制台重命名现有的文件，从而提高文件管理效率和优化存储布局。 约束与限制 文件一旦被创建，其内容和名称便不可更改。因此，在ZOS中重命名文件，不是直接修改文件的名称，而是将源文件复制到目标文件后删除源文件来实现的。 归档存储的文件要先解冻，才可以重命名。 对于已开启版本控制的桶，不允许对历史版本执行重命名操作，仅允许对最新版本执行重命名。重命名文件后，原有的文件会增加删除标记。 ZOS未达到桶配额/用户配额的容量限制和对象数量限制，才可以重命名文件。 重命名文件时，文件名不能包含 / 字符。 控制台仅支持1GB以下的文件重命名。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要设置的文件，点击文件所在行的“更多”按钮。 6. 点击更多下拉选项中的“重命名”按钮。 7. 在弹出的页面重命名文件，并点击“确定”，完成重命名。

本节介绍了如何创建数据库。 操作场景 实例创建成功后，可根据业务需要在控制台创建数据库。 约束限制 支持在控制台创建数据库。 实例状态异常（主库不可用、恢复等）情况下，不可进行该操作。 不支持创建同名数据库。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 选择数据库管理页签。 7. 点击创建数据库按钮，并填写相关参数。（详细参数及规则如下表） 8. 点击创建按钮。创建成功后，可在数据库管理页面查看已创建的数据库及其相关信息。 参数 说明 数据库名称 由字母、数字、下划线和中划线组成。 由字母开头，以字母和数字结尾。 最长63个字符。 支持字符集 数据库的字符集。 Collate 字符串排序规则。 Ctype 字符分类。 限制并发量 数据库的连接限制数。 授权owner账号 设置数据库的所有者，对数据库拥有ALL权限。 备注说明 填写备注信息，最多可输入1000字符。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

参数 参数类型 说明 示例 下级对象 alarmRuleID String 告警规则ID 2c2472dff6335b4bbe459609fc9f8154 regionID String ctyun资源池ID 81f7728662dd11ec810800155d307d5b name String 规则名 ctyunrule desc String 描述 demo service String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见" ecs dimension String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 详见" ecs repeatTimes Integer 重复告警通知次数 0 silenceTime Integer 告警接收策略静默时间，多久重复通知一次，单位为秒 300 recoverNotify Integer 本参数表示恢复是否通知。取值范围： 0：否。 1：是。 根据以上范围取值。 0 notifyType Array of Strings 本参数表示告警接收策略。取值范围： email：邮件告警。 sms：短信告警。 根据以上范围取值。 ['email','sms'] contactGroupList Array of Objects 告警联系人组 contactGroup notifyWeekdays Array of Integers 本参数表示通知周期。取值范围： 0：周日。 1：周一。 2：周二。 3：周三。 4：周四。 5：周五。 6：周六。 根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart String 通知起始时段，默认为00:00:00 00:00:00 notifyEnd String 通知结束时段，默认为23:59:59 23:59:59 webhookUrl Array of Strings webhook消息推送url地址 [' status Integer 本参数表示告警规则启用状态。取值范围： 0：启用。 1：停用。 根据以上范围取值。 0 alarmStatus Integer 本参数表示告警规则告警状态。取值范围： 0：正常。 1：正在告警。 根据以上范围取值。 0 createTime Integer 创建时间，毫秒级时间戳。 1689580180000 updateTime Integer 更新时间，毫秒级时间戳。 1689580180000 projectID String 项目ID 0 conditions Array of Objects 具体匹配策略 condition resources Array of Objects 资源信息列表 resources resourceScope Integer 规则的资源范围，取值范围： 0：实例资源类型。 1：资源分组类型。 2：全部资源类型 。 根据以上范围取值。 0 defaultContact Integer 是否使用天翼云默认联系人接收通知，取值范围： 0：否。 1：是。 根据以上范围取值。 0

本节为您介绍如何添加MX类型记录集。 操作场景 当您想要指定域名对应的邮件服务器时，可以通过为域名增加MX类型记录集实现。 可以用于配置邮箱解析。 更多关于记录集类型的介绍，请参见支持记录集类型。 操作步骤 1. 登录到内网DNS控制中心页面。 2. 可以看到已创建好的域名记录，在目标记录行“操作”列单击“管理记录集”。 3. 进入解析记录界面，单击“添加记录集”。 4. 出现“添加记录集”弹窗，根据需求进行配置。 表1 添加MX类型记录集参数说明 参数 说明 取值样例 主机记录 一般是指子域名的前缀，（例：要做xxx@mail.dnsexample.com，主机记录填 mail）。 mail 类型 记录集的类型，此处为MX类型。添加记录集时，如果提示解析记录集已经存在，说明待添加的记录集与已有的记录集存在限制关系或者冲突。 MX – 将域名指向邮件服务器地址 TTL 必填项，默认选择5分钟。 TTL规格共四种：5分钟、1小时、12小时、1天（24小时），对应TTL值为5分钟（60s），1小（3600s），12小时（43200s），1天（86400s）TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 300 值 填写邮箱服务器地址，最多可以输入8个不重复地址，每行一个。格式: [优先级] [邮箱服务器域名地址]。 10 mailserver.example.com 描述 选填字段，最多支持输入100个字符。 5. 填写完成后，点击“确定”完成MX类型记录集创建。 6. 在“解析记录”页面，可以看到创建成功的解析记录。

本小节介绍云堡垒机术语解释。 资产数 资产数是指云堡垒机管理的云服务器上运行的资源数，同一台云服务器上对应有多个需要运维的协议、应用等资源。 云堡垒机实例 一个云堡垒机实例代表了一个独立运行的云堡垒机系统。 主备实例 在单机实例基础上增强高可用性。主备实例具有以下特征： 实例包含一个主节点和一个备节点，支持数据持久化。 主备节点通过数据同步的方式保持一致。 备节点对用户不可见，不支持客户端直接读写数据。 当主节点故障后，备节点自动升级为主节点，无需用户操作。 区域 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 单点登录 单点登录（Single Sign On，SSO）是指在多个独立应用系统环境下，各个应用系统相互信任，在一个应用系统中将用户认证信息映射到其他系统中，多个系统共享用户认证数据。简言之，即用户通过登录一个应用系统，就可以访问其他所有相互信任的应用系统，实现用户单点多系统登录。

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。

概述 默认情况下，ZooKeeper集群不会对客户端进行强制身份认证，任何客户端都可以访问ZooKeeper数据，存在安全隐患。目前，MSE ZooKeeper支持SASL身份认证，通过用户名和密码对客户端进行身份认证，提升Zookeeper数据的安全性。 前提条件 创建微服务引擎MSE，参考章节：创建ZooKeeper引擎； 开通引擎版本为3.8.1.9及以上的ZooKeeper实例，并且实例状态正常； 操作步骤 1.登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2.在左侧导航栏，选择注册配置中心 > 实例列表； 3.在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4.在左侧导航栏，选择权限管理> SASL认证； 5.在用户管理页面，单击创建用户。在创建用户面板中输入用户名、密码和确认密码，然后单击确定即可增加新的用户身份信息配置； 6.单击对应用户操作列中的复制配置，以下内容会被复制到粘贴板，密码需要手动补充，然后将其保存在客户端的任意文件中（如jaas.conf）； java Client { org.apache.zookeeper.server.auth.DigestLoginModule required usernametest password""; }; 7.对于Java使用Zookeeper原生SDK或者Apache Curator框架的应用时，需要进行以下操作： 假设之前已经保存的配置文件路径为/path/to/jaas.conf，在Java应用启动的时候，指定以下系统属性。 Djava.security.auth.login.config/path/to/jaas.conf // 填写配置保存的文件的路径 重启客户端应用后，客户端会自动读取认证信息配置并向Zookeeper服务端进行身份认证。 8.客户端配置完成之后，在左侧导航栏，选择参数管理。在参数管理页面，将requireClientSASLAuth的值设置为true，即可强制要求客户端连接服务端时进行SASL身份认证； 9.用户创建成功后，可以在用户列表的操作列，按需执行如下操作； 重置密码：点击重置密码，在密码重置面板中输入用户名、新密码和确认密码。当用户密码发生变更后，以该用户身份连接服务端的客户端将会断开连接； 删除用户：单击删除，弹出框提示确认需要删除的用户名称，点击确认即可删除用户。当用户被删除后，以该用户身份连接服务端的客户端将会断开连接；

概述 本章节介绍MSE ZooKeeper引擎的黑白名单功能，在实例开通完毕后，可以通过设置ZooKeeper实例黑白名单来限制一定范围内的IP地址（可以单个或者多个，可以是IP或者是IP段）访问实例。当白名单和黑名单配置存在冲突时，以黑名单规则优先。 前提条件 1. 已开通微服务引擎MSE ZooKeeper引擎实例，参考章节：创建ZooKeeper实例； 2. 已开通ZooKeeper实例并且状态正常。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 点击右侧权限控制 > 黑白名单管理，点击页面“黑白名单配置”标题后面的编辑按钮，进入编辑模式； 5. 打开“白名单配置 ”后面的开关按钮，开启白名单，在白名单配置输入框中，输入允许访问的IP地址段，并点击确定； 1. 如果白名单配置内容为空，表示所有地址均不可访问ZooKeeper实例； 2. 如果填写了IP地址加掩码，表示允许所设置的IP地址段访问实例； 3. 如果开关状态为关闭，则配置内容不生效 6. 打开“黑名单配置 ”后面的开关按钮，在黑名单配置输入框中，输入禁止访问的IP地址段，并点击确定； 1. 如果黑名单配置内容为空，表示所有地址均可访问ZooKeeper实例； 2. 如果填写的IP地址加掩码，表示禁止所设置的IP地址段访问实例； 3. 如果开关状态为关闭，则配置内容不生效； 注意 如果您绑定了ELB，并使用ELB访问，则这部分流量不受黑白名单控制；可以去ELB控制台设置相关规则； 黑白名单认证时通过访问的请求头部中获取客户端IP，可能与公网地址不同，请确保配置的IP与请求携带的IP相同； 即使配置了白名单,仍然需要通过其他类型的认证才能访问，如ACL、SASL认证； IP地址格式支持IPv4及IPv6：X.X.X.X/X或X:X:X:X:X:X:X:X/X，斜杠后为掩码。若白名单设置为空，表示禁止所有地址的访问，请谨慎设置。多个公网IP地址或地址段，每个地址或地址段之间用英文半角逗号（,）分隔。

本章节主要介绍数据治理中心的配置HBase连接功能。 目前CDM支持连接的HBase数据源有以下几种： MRS HBase FusionInsight HBase Apache HBase MRS HBase 连接MRS上的HBase数据源时，相关参数如下表所示。 说明 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见《虚拟 > 添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS上的HBase连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrshbaselink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE HBase版本 HBase版本。 HBASE2X 运行模式 “HBASE2X”版本支持该参数。选择HBase连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 ：STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 STANDALONE 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hbase01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

云工作流支持创建标准和快速两种模式的工作流。 本文主要介绍快速工作流和标准工作流的特点和差异， 用户可根据这些内容的介绍针对业务流程选择不同模式的工作流。 基本概念 标准（Standard）工作流具备执行步骤状态的持久化存储，支持运行长时间的工作流执行状态流转，适用于传统意义上的离线业务流程编排执行场景 快速（Express）工作流适用于流程结构简单、需要低延迟执行的工作流场景， 适用于常见的在线业务流程编排和准实时业务流程编排场景，例如微服务API编排、流式数据处理等低延迟和大负载业务场景。 工作流模式对比 执行指标 标准工作流 快速工作流 最长执行时长 365天 5分钟 执行语义 异步执行，遵循至少执行一次（At least once）语义，支持持久化，但是在特殊条件下可能会导致数据被重复处理。 同步执行 执行历史 可通过API查询指定工作流执行历史、工作流执行详情。 可通过API查询指定工作流执行历史、工作流执行详情。 服务集成 云服务集成调用模式支持如下三种集成模式。更多信息，请参见服务集成模式。 请求响应模式（RequestComplete） 等待系统回调（WaitForSystemCallback） 等待任务令牌（WaitForTaskToken） 仅支持请求响应模式（RequestComplete）

操作场景 您可以查看并行文件系统的基本信息，支持按文件系统名称关键字过滤条件查看指定的文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务HPFS”，进入并行文件服务的控制台页面。 3. 在文件系统列表页查看所有文件系统的基本信息，参数说明如下表所示。 4. 点击文件系统名称，可以跳转至文件系统详情页，查看更多文件系统信息，以及监控图表等页签。 参数 说明 名称 文件系统名称，创建时设置的名称，只能由数字、字母、短横线组成，不能以数字和短横线开头、且不能以短横线结尾。 ID 文件系统ID，自动生成，不支持修改。 状态 文件系统的状态，包含正在创建、可用、已冻结、创建失败，账户欠费可导致资源为已冻结状态。 监控实例ID 监控实例ID，用于此文件系统在云监控服务查询监控数据的ID。 协议类型 文件系统的协议类型，包括HPFSPOSIX。 存储类型 文件系统的类型，包括HPC性能型。 集群 文件系统所属的集群，部分资源池的并行文件服务，需要在创建文件系统的时候指定“集群”。 性能规格 文件系统的性能规格，部分资源池的并行文件服务，需要在创建文件系统的时候指定“性能规格”，如200MB/s/TB。 创建时间 文件系统的创建时间。 总容量 文件系统创建的总容量。 已用容量 文件系统内已写入数据的容量，四舍五入。 付费方式 文件系统的付费方式，目前只支持按量付费。 可用区 文件系统所在的可用区。 企业项目 文件系统归属的企业项目。 操作 对文件系统的具体操作，包括扩容、删除等。

本文详细介绍到期与欠费说明。 到期 AOne边缘安全加速平台的基础套餐为包年包月的销售品，在资源到期前7天、3天、1天会以邮件的方式通知客户资源即将到期；在到期当天会以邮件、站内信和短信的方式通知客户。 客户选择订购套餐或资源包，如果客户拟在服务期限届满或资源包抵扣完成后继续使用服务，客户应当及时续订套餐、资源包或开通按需计费。否则，天翼云将在服务期限届满或资源包抵扣完成后暂停向客户提供服务目冻结资源，天翼云有权立即释放客户的资源，并删除相关数据。 产品/服务冻结时：资源将被限制访问和使用，会导致您的业务中断。 产品/服务解冻时：资源将被解除限制，但是需要您自行去自助控制台检查并恢复业务。 产品/服务释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 欠费 在天翼云账户中没有费用并欠款的情况下，天翼云会以短信的方式通知客户充值；如果客户在48小时内未付清所欠金额，则将关停客户的边缘安全加速平台。 服务到期，关停服务 关停客户的边缘安全加速平台安全与加速服务，天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。

本文为您介绍如何解决通过puttygen.exe工具创建的密钥对,导入管理控制台失败的问题。 问题描述 通过puttygen.exe工具创建的密钥对，导入天翼云管理控制台失败。 可能原因 公钥格式不符合系统要求，如果使用puttygen工具中的“Save public key”保存公钥，公钥内容的格式会发生变化，不能直接导入天翼云控制台使用。 处理方法 需要将本地保存的私钥文件用“PuTTY Key Generator”恢复成格式正确的公钥文件，然后再将该公钥文件导入天翼云控制台。 1. 点击“puttygen”工具，打开“PuTTY Key Generator”。 图1 打开PuTTY Key Generator页面 2. 点击“Load”，并在本地选择对应密钥对的私钥文件。系统会自动加载该私钥文件，并在恢复成格式正确的公钥文件。 图2 选择私钥文件 3. 复制红框中的公钥内容，并将其粘贴在文本文档中，保存为.txt格式的本地公钥文件。 4. 将公钥文件导入天翼云控制台。

本文介绍一站式智算服务平台及相关服务在产品功能、性能和使用方面的限制。 限制概述 多资源池限制：不同地域的资源池间的数据、模型、镜像等资产独立使用，无法跨资源池共享。 模型创建限制：创建模型时，通过本地上传，文件大小超过 2GB，会导致上传不成功。 模型使用限制：通过体验中心或调用API使用模型时，每个模型在上下文长度、最大输出长度、并发数、最大TPM/RPM数等方面均有不同数值的限制，部分限制信息可参见模型广场模型卡片信息。

部署在云应用引擎 CAE（Cloud App Engine）上的应用运行时，可能会出现 Pod 问题。本文介绍常见的 Pod 问题和解决方法。 ImagePullBackOff 当 CAE 无法获取到 Pod 中某个容器的镜像时，将出现此错误。 可能原因： 镜像名称无效，例如镜像名称拼写错误、镜像不存在。 镜像标签无效，例如标签拼写错误、标签不存在。 镜像属于私有仓库。 解决方案： 更正镜像名称与标签。 将镜像上传至天翼云镜像仓库。 CrashLoopBackOff 如果容器无法启动，出现此错误。 可能原因： 应用程序中存在错误，导致无法启动。 未正确配置容器。 Liveness探针失败太多次。 解决方案： 您可以通过查看实时日志和事件分析失败原因，并修改相关配置。 处于未就绪状态的Pod 如果Pod正在运行但未就绪（not ready），则表示 Readiness 就绪探针失败。 可能原因： 当“就绪”探针失败时，Pod未连接到服务，并且没有流量转发到该实例。 解决方案： 登录Webshell，执行您自定义的就绪探针命令，查看 Pod 是否正常运行。如果不正常，您可以通过实时日志或事件对其进行分析。

部署在云应用引擎 CAE（Cloud App Engine）上的应用运行时，可能会出现 Pod 问题。本文介绍常见的 Pod 问题和解决方法。 ImagePullBackOff 当 CAE 无法获取到 Pod 中某个容器的镜像时，将出现此错误。 可能原因： 镜像名称无效，例如镜像名称拼写错误、镜像不存在。 镜像标签无效，例如标签拼写错误、标签不存在。 镜像属于私有仓库。 解决方案： 更正镜像名称与标签。 将镜像上传至天翼云镜像仓库。 CrashLoopBackOff 如果容器无法启动，出现此错误。 可能原因： 应用程序中存在错误，导致无法启动。 未正确配置容器。 Liveness探针失败太多次。 解决方案： 您可以通过查看实时日志和事件分析失败原因，并修改相关配置。 处于未就绪状态的Pod 如果Pod正在运行但未就绪（not ready），则表示 Readiness 就绪探针失败。 可能原因： 当“就绪”探针失败时，Pod未连接到服务，并且没有流量转发到该实例。 解决方案： 登录Webshell，执行您自定义的就绪探针命令，查看 Pod 是否正常运行。如果不正常，您可以通过实时日志或事件对其进行分析。

本文介绍不同套餐版本适用的业务规模、支持的防护功能。 套餐和版本概述 天翼云Web应用防火墙（边缘云版）（下文简称WAF）支持包年包月计费模式。本文介绍不同套餐版本适用的业务规模、支持的防护功能。 WAF套餐版本分为：体验版、基础版、标准版、专业版、旗舰版。 适用的业务规模 下表描述了不同WAF版本适用的业务规模。一般情况下，对于中型规模的企业网站，推荐您选择专业版或者旗舰版。 业务规格 体验版 基础版 标准版 专业版 旗舰版 价格（元/月） 399 1660 3560 8560 19660 适用场景 用于小微型网站的标准化防护。 用于小型网站的标准化防护。 用于中小型客户网站的标准化防护。 用于中小型客户网站业务安全防护及中大型客户网站有高标准安全需求。 用于大型及超大型客户网站业务安全防护，及复杂业务站点的定制化防护服务。 业务带宽（Mbps） 10 50 100 150 300 支持主域名个数 1 1 1 2 3 支持总域名个数（包括主域名和其下的子域名） 10 10 10 20 30

云容器引擎控制台创建Kubernetes自定义授权策略 注意 本步骤展示创建自定义ClusterRole，过程和创建Role类似。您可以根据实际的场景调整相应操作。 第一步：登录天翼云，进入到云容器引擎控制台，在左侧导航栏选择集群。 第二步：在集群管理界面，点击目标集群名称，然后在左侧导航栏，选择安全管理 > 角色。 第三步：在角色页面，点击Cluster Role页签，然后点击创建Cluster Role。 第四步：当点击创建Cluster Role后，会弹出一个YAML面板，您需要在面板上输入自定义策略的YAML内容，点击确定即可创建成功。 第五步：在左侧导航栏，选择安全管理 >授权，进入授权页面，选择子账号下面的用户，点击添加权限。 第六步：进入集群RBAC配置，点击添加权限，选择命名空间，选择自定义，然后选择里之前创建好的Cluster Role，点击下一步。 第七步：授权成功。 第八步：验证。 首先按照下图获取到对应的config，登录到集群主机保存test.config文件中。 查询集群的Pod。 kubectl get pod kubeconfigtest.config 没有权限查看集群的Service，提示forbidden。 kubectl get services kubeconfigtest.config 注意 当前云容器引擎授权管理仅支持自定义Cluster Role角色与集群内RABAC权限的绑定，暂不支持自定义Role角色与集群内RBAC权限的绑定。

本文将介绍如何新增自定义基线检查计划。 操作场景 态势感知（专业版）支持根据基线检查计划检查您的资产是否存在风险，默认每隔3天，每次在00:00~06:00对您账号下当前region相关资产按照“安全上云合规检查1.0”遵从包自动执行基线检查，无需用户执行额外操作，系统默认开启。 另外，还可以自定义自动检测周期、时间以及检查范围。 约束与限制 同一个检查规范只能属于一个检查计划。 由于“等保2.0三级要求”、“GDPR”、“PCIDSS”、“NIST SP 80053”遵从包中的检查项为手动检查项目，因此不支持创建包含该遵从包的检查计划。 “操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在态势感知（专业版）侧执行基线检查，态势感知（专业版）仅支持查看HSS的基线检查结果。 支持检查“安全上云合规检查1.0”、“护网检查”、“云安全配置基线”遵从包中支持自动化项的检查项。 默认检查计划不支持变更包含的遵从包以及检查时间，仅支持执行开启或关闭操作。 创建检查计划 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在检查计划页面中，单击“创建计划”，系统右侧弹出新建检查计划页面。 6. 配置检查计划。 参数名称 参数说明 基本信息 计划名称 自定义检查计划的名称。命名规则如下： 计划名称由中文、字母、数字、下划线和连接符组成。 长度为1~255个字符。 基本信息 检查时间 下拉选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00 选择遵从包 勾选选择需要检测的遵从包。 7. 单击“确定”。 检查计划创建完成后，态势感知（专业版）会在指定的时间执行云服务基线扫描，扫描结果可以在“风险预防 > 基线检查”中查看。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建数据密钥 generateDataKey 创建数据密钥（无明文） generateDataKeyWithoutPlaintext 导出数据密钥 exportDataKey 创建并导出数据密钥 generateAndExportDataKey 数据加密 encrypt 数据解密 decrypt 禁用主密钥 disableKey 启用主密钥 enableKey 创建主密钥 createKey 计划删除密钥 scheduleKeyDeletion 取消计划删除密钥 cancelKeyDeletion 密钥删除保护 deleteProtect 取消密钥删除保护 cancelDeleteProtect 转加密 reEncrypt 创建默认密钥 createDefaultKey 非对称签名 asymmetricSign 非对称验签 asymmetricVerify 非对称加密 asymmetricEncrypt 非对称解密 asymmetricDecrypt 获取公钥 getPublicKey 获取密钥列表 listAliasKeys 获取密钥详情 describeKey 更新密钥描述 updateKeyDescription 获取对称密钥详情 listSymmetricKeys 查询数据密钥详情 getDataKey 创建非对称密钥版本 createKeyVersion 查询密钥版本列表 listKeyVersions 获取密钥版本详情 describeKeyVersion 更新密钥轮转策略 updateRotationPolicy 创建密钥别名 createAlias 更新密钥别名 updateAlias 删除密钥别名 deleteAlias 获取别名列表 listAlias 获取密钥别名 listAliasByUuid 计算hmac hmaccompute 计算SM3摘要 messageDigest 获得导入密钥材料 getParametersForImport 导入密钥 importKeyMaterial 删除导入密钥材料 deleteKeyMaterial 证书公钥加密 certificatePublicKeyEncrypt 证书私钥解密 certificatePrivateKeyDecrypt 证书私钥签名 certificatePrivateKeySign 证书公钥验签 certificatePublicKeyVerify 获取随机数 getRandom Ukey证书公钥验签 certificatePublicKeyVerifyForUsbKey 创建证书csr createCertificate 更新证书状态 updateCertificateStatus 删除证书 deleteCertificate 获取证书详情 describeCertificate 获取证书链详情 describeCertificateChain 查询证书 getCertificate 导入证书 importCertificate 导入PKCS12证书 importCertificateByPKCS12 导出证书私钥 exportCertificatePrivatkey 查询证书列表 listCertificate 导入Ukey证书 importCertificateForUK 查询Ukey证书列表 listCertificateForUk 获取Ukey证书详情 describeCertificateForUk 查询Ukey证书信息 getCertificateForUk 更新Ukey证书状态 updateCertificateStatusForUk 删除Ukey证书 deleteCertificateForUk 获取vpc列表 listVpc 获取子网列表 listSubnet 创建应用接入点 createApplicationAccessPoint 查询接入点的接口权限列表 listAllUri 获取接入点的接口权限详情 listPointUriPolicy 接入点的接口权限变更 changePointUriPolicy 删除应用接入点 deleteApplicationAccessPoint 查询应用接入点列表 listApplicationAccessPoint 接入点的资源权限变更 changePointResourcePolicy 查询接入点的资源权限列表 listPointResourcePolicy 获取接入点的资源权限详情 describeResourcePolicy 关闭接入点权限控制 closePolicyCheck 检查接入点是否开启权限控制 policyCheckIsOpen 添加终端节点白名单 addEndpointWhitelist 查询终端节点白名单列表 showEndpointWhitelist 云产品关联检测 detectAssociation 创建租户ak createUserAk 启用租户ak enableUserAk 禁用租户ak disableUserAk 删除租户ak deleteUserAk 查询租户ak列表 listUserAk 查询资源信息 resourceInfo

本章节主要介绍Oracle数据迁移到DWS。 操作场景 CDM支持表到表的迁移，本章节介绍如何通过CDM将数据从Oracle迁移到数据仓库服务（Data Warehouse Service，简称DWS）中，流程如下： 1.创建CDM集群并绑定EIP 2.创建Oracle连接 3.创建DWS连接 4.创建迁移作业 前提条件 已购买DWS集群，并且已获取DWS数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有DWS数据库的读、写和删除权限。 已获取Oracle数据库的IP、数据库名、用户名和密码。 如果Oracle数据库是在本地数据中心或第三方云上，需要确保Oracle可通过公网IP访问，或者已经建立好了企业内部数据中心到云的VPN通道或专线。 用户已参考 管理驱动，上传了Oracle数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群所在VPC、子网、安全组，选择与DWS集群所在的网络一致。 如果安全控制原因不能使用相同子网和安全组，那么需要确保安全组规则能允许CDM访问云搜索服务集群。 2.CDM集群创建完成后，在集群管理界面选择“绑定弹性IP”，CDM通过EIP访问Oracle数据源。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

本节主要介绍分布式消息服务Kafka的订购流程。 背景信息 Kafka实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占Kafka实例，可根据业务需要可定制相应规格的Kafka实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 前提条件 具备已通过实名认证的天翼云账号 操作步骤 1. 登录管理控制台。 2. 进入Kafka管理控制台。 3. 在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 4. 点击“购买实例”跳转到购买页面，根据页面订购说明进行产品开通。 5. 下载安装工具Eclipse3.6.0以上上版本 或者IntelliJ ，JDK 1.8.111以上版本。 说明 以下订购说明适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3资源池 计费模式：包周期和按需计费 引擎类型：云原生引擎和Kafka引擎。两者差别如下： 云原生引擎：大规模分区性能稳定性更高，扩容无需迁移数据。 Kafka引擎：完全兼容开源Kafka生态，占用更少IO带宽，可应对更高的性能峰值突刺。 部署方式：单可用区和多可用区部署。单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区 自动续期：支持自动续期，支持做选择自动续期时长 节点数：3、5、7、9 主机类型：通用型和计算增强型，不同类型主机规格价格不一样，具体区别见文档弹性云主机实例规格 实例规格：主机节点规格，通用型和计算增强型规格不一致，具体以页面为准。 说明 以下订购说明适用于芜湖2、上海7、重庆2、乌鲁木齐27、石家庄20、内蒙6、北京5 资源池 计费模式：包周期和按需计费 区域：开通实例所在资源池 类型：选择产品规格，包括高级版8核32G与基础版4核16G 节点数：固定3个节点 主机类型：支持通用型主机s2、s3和s6，具体区别见文档弹性云主机实例规格通用型

在部署天翼云TeleDB数据库前，您需要先获取软件包。 获取软件包 请在软件安装开始前，提前获取云服务必要的插件包和软件包。 注意 您下载获取的软件包的MD5值需与对应版本软件包MD5进行核对，确保其一致才可以确认为正确的软件包。 您可在服务器中执行md5sum 软件包名命令查找MD5。 版本号 软件包名称 软件包说明 获取方式 V5.1.5.20.3 5.1.5.20.3x86centos.tar 该软件包是指5.1.5.20.3版本中X86架构软件包，包括内核包、管控包和DCP软件包。 请您按实际版本获取对应的软件包。您可访问天翼云网盘链接下载。 说明 天翼云网盘上软件包分享链接和提取密码，请您提交工单获取。 V5.1.5.20.3 5.1.5.20.3armkylin.tar.gz 该软件包是指5.1.5.20.3版本中arm架构软件包，包括内核包、管控包和DCP软件包。 请您按实际版本获取对应的软件包。您可访问天翼云网盘链接下载。 说明 天翼云网盘上软件包分享链接和提取密码，请您提交工单获取。 V5.1.5.20.3 5.1.5.20.3loongarchkylin.tar 该软件包是指5.1.5.20.3版本中loongarch架构软件包，包括内核包、管控包和DCP软件包。 请您按实际版本获取对应的软件包。您可访问[天翼云网盘链接](