参数 是否必填 参数类型 说明 示例 下级对象 serverIp 是 String 防护服务器IP 192.168.1.1 directoryIdList 是 Array of Integers 防护目录ID列表

本文为您介绍如何在配置迁移任务时自定义分区,并完成该迁移。 介绍说明 您在使用云迁移服务迁移云主机时，可能需要对某个磁盘按需分区。本文以Windows云主机迁移为例，在迁移任务配置中自定义分区后完成本次迁移，该主机存在系统盘C和数据盘E。如图1所示，天翼云ECS由系统盘和数据盘组成，分别为单独的磁盘。 图1：天翼云ECS面板 图2：云主机 操作步骤 1. 在迁移源端云主机上下载CMSAgent，并使用账号下云迁移服务AK/SK安装CMSAgent，具体步骤请参见在源端安装迁移Agent。 2. 迁移Agent启动成功后，登录云迁移控制中心。在“主机管理”页面查看源端云主机信息，迁移状态为“未绑定目标机“。 3. 此时单击“开始迁移”会提示绑定目标机，按指引跳转到目标机绑定界面。 4. 在“云主机选择弹窗”，选择目标机进行绑定。 5. 创建并启动迁移任务，具体步骤请参见创建目标机，检测目标机和绑定目标机。 6. 进入“配置迁移任务”页面，按需对“是否启用增量”、“网络测试”、“压缩率”进行配置，具体步骤请参考公共任务配置。 7. 按迁移源机和目标机盘符情况，对迁移盘符和目的盘符进行配置。如本例迁移源C盘配置： 8. 开始迁移前需要对目标机分区进行确认，单击“重置目标机分区”进行配置。 9. 可以看到目标机磁盘大小及默认分区请况。 10. 如需根据特殊情况调整，可点击目标机物理磁盘进行自定义分区配置。 11. 完成配置后，单击“确认分区”进行保存。 12. 完成以上配置后，可以单击“开始迁移”。 13. 可以看到迁移状态处于“准备阶段”，并可看到迁移任务进度。 14. 您可单击迁移状态以进入“任务追踪”查看任务进度。 15. 迁移任务启动后进入全量迁移。 16. 全量迁移完成后, 若任务配置勾选增量选项，则会自动进入增量迁移状态。 17. 停止迁移源机应用后，单击“引导修复”进行应用切换操作。 目标机开始恢复。 18. 片刻后引导修复完成，完成迁移任务。 19. 迁移任务完成后，目的端ECS会有一个单独系统盘和数据盘。此时完成自定义分区迁移。

功能 描述 认证&授权 双因子认证 内置手机APP认证（谷歌动态口令验证）、OTP动态令牌、USBkey双因素认证引擎。 提供短信认证、AD、LDAP、RADIUS认证接口。 支持多种认证方式组合。 认证&授权 权限管理 系统预置多种用户角色：超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。 每种用户角色的权限均不同，且可自定义用户角色。 认证&授权 集中授权 梳理用户与主机之间关系，提供一对一、一对多、多对一、多对多的灵活授权模式。 认证&授权 单点登录 托管主机的帐户和密码，运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作，无需输入主机的帐户和密码。 认证&授权 自动学习 运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息，减轻管理员配置主机信息、用户与主机关系的工作量。 运维&审计 运维协议支持 支持管理Linux/Unix服务器、Windows服务器、网络设备（如思科/H3C/华为等）、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。 兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。 运维&审计 统一审计 对所有操作进行详细记录，提供综合查询；审计日志可在线或离线播放，自动备份归档。 审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。 运维&审计 浏览器客户端运维 基于H5技术实现浏览器客户端运维，无需安装本地工具，直接通过浏览器打开运维界面。 支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。 运维&审计 文件传输审计 记录所有操作会话，包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。 完整备份传输文件，为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。 运维&审计 自动运维 实现自动化的运维任务并将执行结果通知相关人员。 运维&审计 资产管理 支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。 运维&审计 命令控制 集中命令控制基于不同主机、不同用户设置不同的命令控制策略，包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。 运维&审计 工单流程 运维人员向管理员申请需要访问的设备，选择条件包括设备IP、设备帐户、运维有效期、备注事由等，运维工单以邮件方式通知管理员。 其他 系统自审 对系统自身变化信息进行审计，形成系统分析报表。 其他 冗余架构 结合端口聚合技术、RAID技术和HA技术，实现三重冗余备份的高可用架构。 其他 API接口 提供用户、资产、授权的增删改查等API接口。 允许第三方平台调用API接口，实现用户、资产、权限自动同步。

如果您需要添加云搜索服务（CSS）、数据湖探索（DLI）和Hive的资产，可参考本章节进行操作。 前提要求 已完成大数据资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通CSS和DLI服务，且CSS和DLI中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 单击左侧导航树的，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“大数据”页签，进入大数据资产列表页面。 5. 在大数据资产列表左上角，单击“添加大数据源”。 6. 在弹出的“添加大数据源”对话框中，参考下表配置大数据源参数。 参数名称 参数说明 取值样例 资产名称 自定义参数。 区域 默认为当前帐号登录的区域。 大数据类型 选择大数据类型。 “Elasticsearch”，选择此类型时，其他参数说明请参见“Elasticsearch”参数说明。 “DLI”，选择此类型时，其他参数说明请参见“DLI”参数说明。 “Hive”，选择此类型时，其他参数说明请参见“Hive”参数说明。 Elasticsearch “Elasticsearch”参数说明： 参数名称 参数说明 取值样例 ES实例 在下拉框中选择ES实例。 版本 选择大数据类型对应的版本。 5.x 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 索引 输入大数据源对应的index。 用户名 输入访问大数据服务器的用户名。 密码 输入访问大数据服务器的密码。 “DLI”参数说明： 参数名称 参数说明 取值样例 队列 在下拉框中选择DLI中数据源的队列名称。 default DLI数据库 选择DLI中目标队列下的数据库名称。 5.x “Hive”参数说明： 参数名称 参数说明 取值样例 虚拟私有云 在下拉框中选择虚拟私有云。 子网 选择虚拟私有云对应的子网名称。 安全组 在下拉框中选择可用的安全组。 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 数据库名称 输入数据库名称。 7. 单击“确定”，大数据源资产添加完成。 大数据资产添加完成后，该大数据源的状态“连通性”为“检查中”，DSC会测试数据源的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的大数据源。 数据安全中心DSC能正常访问已添加的大数据源，该大数据源的状态“连通性”状态为“成功”。 若数据安全中心DSC不能正常访问已添加的大数据源，该大数据源的“连通性”状态为“失败”。单击“原因”查看失败的原因并重新正确填写访问目标大数据源的用户名和密码。

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，CDN服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高TLS握手效率，提升HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【OCSP Stapling】模块，开启功能。 9. 单击【保存】，完成配置。 参数名 说明 OCSP Stapling 默认关闭，即不开启OCSP Stapling功能。开启OCSP Stapling功能之前，需要先完成HTTPS证书配置。

如何查看RDS备份空间使用情况 步骤1：登录管理控制台。 步骤2：单击管理控制台左上角的，选择区域和项目。 步骤3：选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤4：在“实例管理”页面，选择指定的实例，单击实例名称。 步骤5：进入“基本信息”页面，在“备份空间”模块查看备份空间使用情况。 如何将RDS数据库备份到弹性云服务器上 您可以通过导出SQL语句的方式将数据库备份到弹性云服务器上。弹性云服务器不限制存放哪些数据，但是数据必须符合国家法律法规。您可以在弹性云服务器上存放数据库备份，但不建议将弹性云服务器作为数据库备份空间使用。 RDS实例删除后，备份是否会保留 关系型数据库实例删除后，手动备份默认为您保留，需要手动删除，并按照备份空间计费标准收取相应的费用。实例冻结后，备份不会收取费用。 自动备份、binlog备份及相关的备份文件会自动删除。 如何找回误删除数据库和数据表 您可以通过云数据库RDS的备份恢复功能。通过已有备份文件恢复误删除的数据。 为什么自动备份会失败 出现自动备份失败可能有以下原因： 自动备份失败排查思路 网络环境稳定性不足。 如网络延时、中断，系统会识别并延时半小时再次执行备份，您也可以及时进行一次手动备份。 系统多任务执行。 如任务等待、中止，系统会识别并延时半小时再次执行备份，您也可以及时进行一次手动备份。 实例状态异常。 如实例故障、状态变更中，系统会识别并在状态恢复正常后再次执行备份，您也可以及时进行一次手动备份。 数据库中表的数量会影响备份速度。 表数量超过50万，备份将会失败。 参数修改异常。 如修改参数并关联实例后导致实例故障，您可以对比参数修改前后的值是否正确、修改的参数是否存在关联参数需要一并修改、或者尝试恢复默认参数重启实例。 导入数据异常。 如导入数据不当导致系统表记录丢失：

排查项五：远程镜像仓库使用非知名或不安全的证书 从第三方仓库下载镜像时，若第三方仓库使用了非知名或者不安全的证书，节点上会拉取镜像失败，Pod事件列表中有“实例拉取镜像失败”事件，报错原因为"x509: certificate signed by unknown authority"。 操作步骤： 步骤 1 确认报错unknown authority的第三方镜像服务器地址和端口。 从"实例拉取镜像失败"事件信息中能够直接看到报错的第三方镜像服务器地址和端口，如上图中错误信息为： Failed to pull image "bitnami/rediscluster:latest": rpc error: code Unknown desc error pulling image configuration: Get x509: certificate signed by unknown authority 对应的第三方镜像服务器地址为 production.cloudflare.docker.com ，端口为https默认端口 443 。 步骤 2 在需要下载第三方镜像的节点上加载第三方镜像服务器的根证书。 CentOS节点执行如下命令，{serverurl}:{serverport}需替换成步骤1中地址和端口，如 production.cloudflare.docker.com:443。 若节点的容器引擎为containerd，最后一步“systemctl restart docker”命令替换为"systemctl restart containerd"。 openssl sclient showcerts connect {serverurl}:{serverport} /etc/pki/catrust/source/anchors/tmpca.crtupdatecatrustsystemctl restart docker ubuntu节点执行如下命令。 openssl sclient showcerts connect {serverurl}:{serverport } /usr/local/share/cacertificates/tmpca.crtupdatecatrustsystemctl restart docker

参数 类型 描述 是否必须 startTime String HBlock日志采集的起始时间。 取值：unix时间戳（UTC），精确到毫秒。默认值为HBlock日志采集结束时间2小时之前的时间点。 注意 HBlock日志采集的起始时间必须早于HBlocks日志采集的结束时间。 如果HBlock日志采集的起始时间早于HBlock初始化时间，则HBlock初始化时间为日志采集起始时间。 如果修改系统时间，可能导致日志文件的最后修改时间出现波动甚至错误。 否 endTime String HBlock日志采集的结束时间。 取值：unix时间戳（UTC），精确到毫秒。默认值为当前时间。 注意 HBlock日志采集的起始时间必须早于HBlocks日志采集的结束时间。 HBlock日志采集的结束时间必须晚于HBlock初始化时间。 日志文件的最后修改时间大于结束时间时，如果存在多个大于结束时间的同类型日志，则HBlock日志采集时间值最小的那个日志文件。 否 servers Array of String 要采集HBlock日志的服务器ID。 取值：可以填写多个服务器ID，以英文逗号（,）隔开。默认采集所有服务器。 否 logTypes Array of logType 采集的日志类型 取值： Config：配置相关的日志。 System：系统相关的日志。 Data：数据处理相关的日志（仅集群版支持）。 Coordination：内部协调服务相关的日志（仅集群版支持）。 默认采集所有类型的日志。 否 outputDirectory String HBlock日志采集后存放的目录，为绝对路径。 取值：如果不指定，默认存放在被请求服务器的HBlock安装目录下。以collectedlogs/hblocklogs idyyyyMMddHHmmssyyyyMMddHHmmss .zip命名，其中： id：本次日志请求的唯一标识符。 yyyyMMddHHmmss ：日志采集的起始时间和结束时间，UTC+0时间。 否

本小节介绍配置登录白名单。 通过配置目标服务器IP、登录端IP以及登录端用户名完成登录白名单添加，添加后HSS对白名单内IP、用户名的登录、访问行为进行忽略。 注意 配置的目标服务器IP、登录端IP以及登录端用户名需同时满足白名单配置的信息，检测时才会忽略。 如果将已经产生告警的目标IP通过添加登录告警白名单方式加入白名单，加入白名单之后的检测会对目标IP进行忽略，但已经产生的告警不会自动放行，仍需对告警进行处理，处理详情请参见查看入侵告警事件。 您可以通过以下两种方式添加登录白名单： 处理告警事件时，将“帐户暴力破解”和“帐户异常登录”类型的告警事件加入到登录白名单，详细信息请参见入侵告警事件。 在“登录白名单”页面，添加登录白名单。 约束限制 需开启旗舰版、网页防篡改版、容器版任一防护版本。 添加登录告警白名单 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“入侵检测 > 白名单管理 > 登录白名单”，进入“白名单管理”页面，单击“添加”。 4、在“添加登录安全白名单”对话框中，输入“服务器IP”、“登录IP”和“登录用户名”。 添加登录安全白名单 登录安全白名单参数说明 参数名称 参数说明 取值样例 服务器IP 支持IPv4地址。 支持单个IP、IP范围、IP掩码，以英文逗号分隔。 192.168.1.1 192.168.2.1192.168.6.1 192.168.7.0/24 登录IP 登录用户名 当前登录用户名。 hsstest 5、单击“确认”，完成登录白名单的添加。

HTTPS协议监听器需关联证书,做SSL握手,加密认证。弹性负载均衡支持配置HTTPS监听器引用证书操作,本文帮助您快速熟悉如何配置配置HTTPS监听器引用证书。 操作步骤 1. 点击负载均衡实例名称进入“负载均衡详情页”。 2. 点击“添加监听器”按钮，添加监听器，并配置HTTPS证书。 设置监听器的名称，支持中英文字符，数字，长度2~63个字符。 负载均衡器协议选择HTTPS，在右侧输入服务端口，选择HTTPS协议后，下方出现服务器证书字段。 选择服务器证书,从下拉列表框选择已创建的服务器证书，支持刷新，如当前没有证书，点击“查看证书”跳转到证书管理页面，可在此页面创建证书。 配置监听器描述，可选配置，可以不输入描述。 3. 单击“下一步”，配置后端主机组；配置主机组名称，选择后端主机类型，可选云主机。 4. 继续点击“下一步”配置负载方式和健康检查，完成相关操作。

本页介绍了SSL证书使用常见问题。 SSL证书最长有效期是几年？可以签多年么？ 按照CA行业内标准要求SSL证书的最大有效期不能大于13个月，为了满足用户的需求以及省去不少商务流转环节，我们现推出多年的证书服务，可以咨询商务了解更多详情。 购买的是多域名证书，为什么访问时会出现“此网站出具的安全证书是为其他网站地址颁发的”的错误？ 多域名证书是用过SNI技术实现的，如果您的服务端或用户的客户端不支持SNI技术，就可能会出现改错误。 如果服务器换了IP地址，原来的SSL证书还能用吗？ SSL证书都是绑定域名的，服务器更换IP地址没有任何关系，只要域名不变，更换IP之后，只需将域名重新解析到新的IP地址即可,原来的SSL证书当然照样可以用。但如果SSL证书是为IP地址申请的，则服务器换了IP地址，原来的SSL证书就不能用了。 能申请EV的通配符证书吗？ 不行，根据规范要求不允许签发EV通配符的证书产品。

本节介绍专属加密服务的优势。 云上使用 专属加密旨在满足用户将线下加密设备能力转移到云上的要求，降低运维成本。 弹性扩容 灵活调整专属加密的数量，满足不同业务的加解密运算要求。 安全管理 专属加密实例设备管理与内容（敏感信息）管理权限分离，用户作为设备使用者完全控制密钥的产生、存储和访问授权，Dedicated HSM只负责监控和管理设备及其相关网络设施。即使Dedicated HSM的运维人员也无法获取到用户的密钥。 权限认证 敏感指令支持分类授权控制，有效防止越权行为。支持用户名口令认证、数字证书认证等多种权限认证方式。 可靠性 专属加密实例之间独享加密芯片，即使部分硬件芯片损坏也不影响使用。 安全合规 Dedicated HSM为您提供专属加密实例，帮助您保护弹性云服务器上数据的安全性和隐私性要求，满足监管合规要求。 应用广泛 Dedicated HSM可提供认证合规的金融加密机、服务器加密机以及签名验签服务器等，灵活支撑用户业务场景。

插件简介 CoreDNS插件是一款通过链式插件的方式为Kubernetes提供域名解析服务的DNS服务器。 CoreDNS是由CNCF孵化的开源软件，用于CloudNative环境下的DNS服务器和服务发现解决方案。CoreDNS实现了插件链式架构，能够按需组合插件，运行效率高、配置灵活。在kubernetes集群中使用CoreDNS能够自动发现集群内的服务，并为这些服务提供域名解析。同时，通过级联DNS服务器，还能够为集群内的工作负载提供外部域名的解析服务。目前CoreDNS已经成为社区kubernetes 1.11及以上版本集群推荐的DNS服务器解决方案。 该插件为系统资源插件，kubernetes 1.11 及以上版本的集群在创建时默认安装。 CoreDNS官网：[]( " ") 为CoreDNS配置存根域 集群管理员可以修改CoreDNS Corefile的ConfigMap以更改服务发现的工作方式。使用插件proxy可对CoreDNS的存根域进行配置。 若集群管理员有一个位于10.150.0.1的Consul域名解析服务器，并且所有Consul的域名都带有.consul.local的后缀。 执行以下命令，在CoreDNS的ConfigMap中添加如下信息即可将该域名服务器配置在CoreDNS中： kubectl edit configmap coredns n kubesystem consul.local:5353 { errors cache 30 proxy . 10.150.0.1 } v1.15.11 及之后的集群版本，修改后最终的ConfigMap如下所示： apiVersion: v1 data: Corefile: .:5353 { cache 30 errors health kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure upstream /etc/resolv.conf fallthrough inaddr.arpa ip6.arpa } loadbalance roundrobin prometheus 0.0.0.0:9153 forward . /etc/resolv.conf reload } consul.local:5353 { errors cache 30 forward . 10.150.0.1 } kind: ConfigMap metadata: name: coredns namespace: kubesystem 1.15.11 之前的集群版本，修改后最终的ConfigMap如下所示： apiVersion: v1 data: Corefile: .:5353 { cache 30 errors health kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure upstream /etc/resolv.conf fallthrough inaddr.arpa ip6.arpa } loadbalance roundrobin prometheus 0.0.0.0:9153 proxy . /etc/resolv.conf reload } consul.local:5353 { errors cache 30 proxy . 10.150.0.1 } kind: ConfigMap metadata: name: coredns namespace: kubesystem kubernetes中的域名解析逻辑 DNS策略可以在每个pod基础上进行设置，目前，Kubernetes支持Default 、ClusterFirst 、ClusterFirstWithHostNet 和None四种DNS策略，具体请参见[]( " ") 卸载插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击coredns下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。

参数 说明 搜索框 输入存储源名称或者关键字，支持输入部分名称和全名称进行检索。 检索 根据输入存储源名称关键字进行检索筛选。 刷新 刷新当前存储源列表展示页面。 名称 存储源的名称。 模式 显示【自建文件存储】、【智能边缘云文件存储】。 协议 NFS。 容量 SFS显示具体容量。 服务器地址 存储源所挂载的服务器地址。 共享目录 存储源挂载的共享目录路径。 创建时间 存储源的创建时间。 操作 删除

对比维度 云主机备份 云硬盘备份 备份/恢复对象 服务器中的所有云硬盘（系统盘和数据盘）。 指定的单个或多个磁盘（系统盘或数据盘）。 推荐场景 需要对整个云主机进行保护。 系统盘没有个人数据，因而只需要对部分的数据盘进行备份。 优势 备份的同一个服务器下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题。 保证数据安全的同时降低备份成本。

参数 参数类型 说明 示例 下级对象 imageOid String 镜像ID mii4ri4afb4inm29d52o85d imageName String 镜像名称 hhj云服务器v1.0 osName String 操作系统名称 hhj云服务器 osType String 操作系统类型（Windows;Linux） Linux platform String 操作系统平台（Windows;Centos;Ubuntu;UOS;Kylin银河麒麟;NeoKylin中标麒麟） Centos sysDisk Object 系统盘相关信息 sysDisk gpuCategory Boolean 是否为GPU类型镜像 false updateTime String 修改时间。以ISO 8601为标准，并使用UTC+0时间，格式为yyyyMMddTHH:mm:ssZ。 20230913T10:08:06Z

本文介绍介绍分布式缓存服务Redis集群单机 分布式缓存Redis集群单机实例采用代理（proxy）集群模式，数据分片为单节点架构，可突破Redis自身单线程瓶颈，满足大容量或高性能的业务场景需求，相比于集群主备实例性价比更高。 注意 由于Redis集群单机的数据分片均为单节点架构，不具备高可用性与服务连续性，不建议您在生产环境中使用，若使用请务必确认风险。 集群单机实例可升级为集群主备实例。 当某个数据分片的节点发生故障时，系统会自动进行故障恢复，以保证服务高可用。系统根据默认的自动持久化文件恢复用户数据，从而实现业务连续性。 集群单机和集群主备为经典版提供的实例类型，目前经典版已调整为白名单特性，如需了解该特性，请联系技术支持。 架构示意图 说明 负载均衡器：采用主备高可用方式，用于接收客户端请求，Redis集群实例提供访问的IP地址和域名，即为负载均衡器地址。 Proxy：Redis集群代理服务器，可根据各个Redis节点的负载情况，将客户端请求均匀地分配给可用的节点，实现负载均衡，同时监测Redis节点的健康状态，在某个节点出现故障时自动将请求转发到其他可用的节点上，实现故障转移，降低单点故障的影响。 Redis数据分片：每个数据分片均为单节点架构，不具备数据高可用。当某个数据分片的节点发生故障时，系统会自动进行故障恢复，以保证服务高可用。若没有进行数据备份，则故障节点的数据会丢失。

本节介绍了如何使用Psycopg连接云数据库GaussDB 数据库。 Psycopg是一种用于执行SQL语句的PythonAPI，可以为PostgreSQL、云数据库GaussDB 数据库提供统一访问接口，应用程序可基于它进行数据操作。Psycopg2是对libpq的封装，主要使用C语言实现，既高效又安全。它具有客户端游标和服务器端游标、异步通信和通知、支持“COPY TO/COPY FROM”功能。支持多种类型Python开箱即用，适配PostgreSQL数据类型；通过灵活的对象适配系统，可以扩展和定制适配。Psycopg2兼容Unicode和Python 3。 云数据库GaussDB 数据库提供了对Psycopg2特性的支持，并且支持psycopg2通过SSL模式链接。 表 Psycopg支持平台 操作系统 平台 EulerOS 2.5 x8664位 EulerOS 2.8 ARM64位 前提条件 获取Python驱动包， 解压后有两个文件夹： − psycopg2：psycopg2库文件。 − lib：lib库文件。 在使用驱动之前，需要做如下操作： a. 先解压版本对应驱动包，使用root用户将psycopg2拷贝到python安装目录下的sitepackages文件夹下。 b. 修改psycopg2目录权限为755。 c. 将psycopg2目录添加到环境变量$PYTHONPATH，并使之生效。 d. 对于非数据库用户，需要将解压后的lib目录，配置在LDLIBRARYPATH中。  在创建数据库连接之前，需要先加载如下数据库驱动程序： import psycopg2 连接数据库 步骤 1 使用.ini文件（python的configparser包可以解析这种类型的配置文件）保存数据库连接的配置信息。 步骤 2 使用psycopg2.connect函数获得connection对象。 步骤 3 使用connection对象创建cursor对象。

本文将从CC攻击的含义以及Web应用防火墙（边缘云版）提供的防护能力来介绍CC安全防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为标准版及以上版本，支持使用CC防护功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入安全配置页面。 3. 进入“CC配置”页面，可以配置CC防护策略。 配置说明 配置项 说明 CC防护 CC防护的功能开关 CC防护模式 1、【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 2、【CC防护模式】设置为长久，则域名的每次访问都进行防护校验 阈值 即厨房防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 统计频率 即设定时长内达到防护阈值，将触发防护。满足防护时长后，将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 在【统计周期】内达到【阈值】则接下来【防护时长】内符合条件的请求均进行防护校验。

DLI系统权限 如下表所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 DLI系统权限 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

本章节主要介绍Redis4.0、Redis5.0、Redis6.0的Cluster集群实例。 DCS Redis的集群实例有两种版本可供选择，一种是基于LVS+Proxy的高可用集群版本（以下简称为Proxy版Redis集群），另一种是原生Cluster的集群版本。Proxy版集群兼容开源Redis 3.0，Cluster版本兼容开源Redis的4.0、5.0及6.0。 Redis4.0、Redis5.0、Redis6.0 Cluster集群实例 Cluster版Redis集群兼容开源Redis的Cluster，基于smart client和无中心的设计方案，对服务器进行分片。 Cluster版Redis集群每种实例规格对应的分片数，如下表所示。 每个分片的大小实例规格/分片数 ，例如，集群规格为48GB的实例，分片数为6，则每个集群分片的大小为48G/68G。 Cluster集群实例规格和分片数的对应关系 集群版规格 分片数 4GB/8GB/16GB/24GB/32GB 3 48GB 6 64GB 8 96GB 12 128GB 16 192GB 24 256GB 32 384GB 48 512GB 64 768GB 96 1024GB 128 无中心架构 Redis Cluster的任意节点都可以接收请求，但节点会将请求发送到正确的节点上执行，同时，每一个节点也是主从结构，默认包含一个主节点和一个从节点，由Redis Cluster根据选举算法决定节点主从属性。 Redis Cluster无中心架构 数据预分片 Redis Cluster会预先分配16384个slot，每个Redis的server存储所有slot与redis server的映射关系。key存储在哪个slot中，由Crc16(key) mod 16384的值决定。如下图所示： Redis Cluster预分片示意图

本页介绍天翼云TeleDB数据库软件包管理相关操作。 操作场景 软件包是TeledDB控制台最基本的要素，是实例的运行内核，需TeleDB控制台管理员进行管理。 操作步骤 1. 切换至TeleDB控制台，单击资源管理 > 软件包管理 ，进入软件包管理页面。 2. 添加软件包 1. 单击添加软件包，出现添加软件包对话框。 2. 在添加软件包对话框中填写基本信息。 软件包：单击点击上传 ，在打开的对话框中选择相应的软件包。 软件包MD5：用于检测服务端接收到的软件包是否损坏。可进入对应的文件夹执行md5sum 软件包名命令查询MD5的值。 3. 单击确定 ，完成软件包添加。 3. 搜索软件包 在软件包管理页面，输入软件包名称，单击查询即可查看软件包。 4. 查看软件包 1. 单击软件包所在行的详情按钮，进入软件包详情页面。 2. 在软件包详情对话框，您可查看软件包名称和包版本等信息。 5. 删除软件包 1. 单击软件包所在行的删除按钮，出现确认提示框。 2. 单击确认即可删除软件包。 说明 如果该软件包已被实例使用，则不允许被删除。

本节介绍OpenSSH用户枚举漏洞修复最佳实践。 漏洞编号 CVE201815473 漏洞名称 OpenSSH 用户枚举漏洞 漏洞描述 OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具, 该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击; OpenSSH 7.7及之前版本中存在用户枚举漏洞，该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应，攻击者可通过发送特制的请求利用该漏洞枚举用户名称。 影响范围 OpenSSH 7.7及之前版本 官方解决方案 应用补丁可以修复此漏洞，需要重新编译，补丁获取链接：< 新版本OpenSSH7.8已经修复这个安全问题，请到厂商的主页下载，下载链接： < < 检测与修复建议 服务器安全卫士（原生版）已支持对对该漏洞的检测与修复。需要在服务器安装部署Agent，并已开启安全防护。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“漏洞扫描”，进入漏洞扫描页面。 3. 在漏洞扫描页面点击“一键扫描”按钮，进入一键扫描设置页面，勾选相应参数设置进行漏洞扫描。 4. 在漏洞扫描详情页面， Windows系统漏洞列表中已检测出主机存在的OpenSSH漏洞。 5. 检测完成后，可点击“查看详情”，跳转到详情页面，可以根据修复建议修复漏洞。 6. 修复过程需要花费一段时间，修复完成后，请重启云主机使补丁生效。 7. 重启云主机后，再次单击“一键扫描”，验证该漏洞是否修复成功。

本文为您介绍可视化编辑器如何使用。 页面结构 顶部操作栏 模块 说明 文件操作区 默认为您新建一个模板，但您可以在顶部操作栏最左侧点击 文件 打开一个现有模板 如果您对当前架构不满意，希望新开一个新模板，您可以在顶部操作栏最左侧点击 文件 打开一个新模板 标题 如果您正在创建一个新模板，标题将为您自动生成一个模板名称 如果您正在编辑一个现有模板，标题将展示当前模板及版本 画布操作区 您可以点击 放大视图、缩小视图或居中视图 文件提交区 保存为新模板：您可以保存当前架构为一个新模板 保存为模板新版本：您可以保存当前架构为一个现有模板的新版本，平台将为您更新目标模板的版本 导出：点击后立即为您导出架构对应模板的json文件 资源菜单 展示所有支持可视化编辑的天翼云资源。您可以通过搜索或按产品分类查找的方式，快速找到目标资源

资源编排ROS和 Terraform 有什么关系？ 资源编排ROS基于 Terraform 引擎进行封装，用户可以通过控制台或 API 使用 Terraform 语法（HCL）来描述云上资源。服务负责资源创建、更新、销毁的生命周期管理，无需用户本地安装 Terraform。 资源编排如何收费 资源编排ROS本身不收取服务费。但是，通过本服务创建和管理的一切天翼云资源（如ECS、EIP、CCSE、Mysql等），都会按照各自产品的标准计费规则进行收费。 服务支持的 Terraform 版本是多少？ 当前支持的Terraform版本号是1.5.7 使用资源编排ROS需要哪些权限？ 用户需具备对应云资源的创建、查询、删除权限，以及对资源编排ROS本身的访问权限（例如：模板管理、资源栈管理）。 Terraform Provider 的 AK/SK 是如何管理的？ 对于AK/SK：控制台会自动使用您当前登录的账号权限，生成委托ak/sk, 以您的权限进行资源的开通，无需在模板中指定。 我的Terraform状态文件存储在哪里？ 状态文件由资源编排ROS后端统一托管。您无需关心其存储位置和备份问题。这种机制保证了状态文件的安全性和多用户协作时的一致性。 如何将天翼云上已经存在的资源纳入到资源栈中进行管理？ 当前版本暂时不支持，我们正在抓紧迭代中。

本节介绍了分布式消息服务RabbitMQ续费、到期与欠费内容。 到期前续费 手动续订：对于包年/包月订购的分布式缓存服务，用户在资源到期前进行续费操作，可以延长原有资源到期时间，避免资源到期后冻结或超过保留期后被系统回收。详细操作请参考费用中心续订管理手动续订。 自动续订：自动续订仅针对采用包月、包年计费模式的资源，详细操作请参考费用中心续订管理自动续订。 到期处理 到期后，分布式消息服务RabbitMQ进入保留期，您将不能正常访问及使用天翼云分布式消息服务RabbitMQ服务，已开通的实例资源将予以保留。 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用； 若到期15天后您仍未续费，RabbitMQ实例资源将被释放。 欠费原因 在按需计费的模式下帐号的余额不足。 按需欠费资源冻结规则 欠费后，资源进入保留期，您将不能正常访问及使用分布式消息服务RabbitMQ，已开通的实例资源将予以保留。 若您在保留期内充值，充值后系统会自动扣减欠费金额。 若保留期到期您仍未充值，RabbitMQ实例资源将被释放。

本节主要介绍移除企业项目关联的用户 操作场景 当企业业务发生变化，原用户不再拥有企业项目的使用权限时，可将这些用户与该企业项目的关联关系删除。 可进行单个删除和批量删除。 当用户与企业项目的关联关系被删除后，该用户将无法管理该企业项目，如需再次使用，需要重新给该用户关联企业项目。 操作步骤 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击待查看的企业项目名称。 步骤 4 系统进入企业项目详情页面，在“权限管理”页签中单击“用户授权”。 步骤 5 系统将跳转至IAM用户页面，在“用户”列表单击用户名称进入用户详情页面。 步骤 6 在“授权记录”页签中单击“企业项目视图”，选择授权主体类型为“用户”，选择待删除关联关系的企业项目，单击右侧操作列的“ 删除”。 如需批量删除用户关联的企业项目，可在列表中勾选多个企业项目，单击列表上方的“删除”按钮。 步骤 7 在弹出的对话框中单击“是”，完成用户关联的企业项目授权删除。

本文简述回源端口的配置方法。 功能介绍 源站端口，是指源站接收天翼云AOne安全与加速请求时所用的端口，一般http协议和https协议使用不同的源站端口。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置”。 4.在源站端口模块，配置合适的回源端口。http端口默认80，支持自定义；https端口默认443，支持自定义。 配置界面 未开启“跟随请求端口回源”时，可以自定义配置HTTP回源端口和HTTPS回源端口，如下图： 开启“跟随请求端口回源”时，HTTP回源端口和HTTPS回源端口置灰不能配置，将使用请求端口回源，如下图： 参数名 说明 http 使用http协议回源时使用的源站端口，默认80，支持自定义，自定义回源端口范围为1~65535。 https 使用https协议回源时使用的源站端口，默认443，支持自定义，自定义回源端口范围为1~65535。 跟随请求端口回源 跟随请求端口回源开关开启后，使用请求端口回源。

本文介绍什么是边缘接入服务。 边缘接入服务介绍 边缘接入服务依托天翼云CDN平台的优质节点及线路，通过智能调度、传输优化等核心技术，为基于TCP/UDP协议的各类应用提供性能优化服务，包括企业办公系统（如OA、邮箱等）、业务系统（如ERP、DMS等）、金融及游戏行业的各种动态指令及接口等，可有效解决公网链路抖动、拥塞等问题，大幅提升办公系统、业务系统、生产系统等各类应用的访问速度与稳定性。 功能介绍 边缘接入服务的功能及其详细介绍，详见：功能概述。 使用限制 客户业务接入边缘接入服务的基本条件，详见：使用限制。 应用场景 办公应用加速 常见的OA、邮箱、Salesforce等办公应用，实测常规动态传输性能平均提升100%。 支持多种视频会议架构，保障音视频画质清晰流畅，不掉线，性能提升510倍。 保障多分支机构、移动办公人员通过VPN访问内网的稳定性，如SSL VPN。 业务系统加速 适用于制造业日常使用的ERP、CRM、SCM、DMS等业务系统。 保障常见库存、订单、客户数据的及时同步，显著提高效率及产能。 金融类加速 适用于手机银行、网银支付、在线交易、股票买卖等场景，大大降低交易延时。 可实现WebSocket协议的应用加速，如行情数据推送等。

了解存储资源盘活系统软件计费方式。 HBlock提供30天试用期，到期后请联系HBlock软件供应商获取软件许可证，获取的时候需要提供HBlock序列号（可以通过命令./stor info serialid 获取）。取得软件许可证后，执行./stor license add { k key } KEY导入软件许可证。 注意 试用期过期，无法再使用命令行、API或者Web页面执行HBlock的管理操作。 存储资源盘活系统通过购买软件许可证的方式进行计费，软件许可证类型分为订阅模式和永久许可模式。 注意 软件许可证一经交付，立即生效，不支持退订。 软件许可证有效期内提供远程维保服务，解决用户在使用HBlock过程中遇到的问题，如安装、使用、故障排查等。如果需要进行现场专家支持、定期巡检等服务，需要额外购买。 订阅模式 控制产品提供的本地卷的存储容量以及有效时长，按照容量和时长收费，到期后管理功能不可用，即无法再使用命令行、API或者Web页面执行HBlock的管理操作。 订阅模式可以选择自定义容量计费和固定容量包计费。 说明 订阅模式包年优惠政策：1年8.5折扣，2年7折，3年至5年5折。 续订方法：支持续订，续订支持的周期、价格、包年优惠政策与新购一致。您可以在“费用中心”>“订单管理”>“续订管理”中进行续订。

协议服务提供标准 NFS 协议访问HPFS文件系统的能力,本文介绍查询协议服务的场景说明和操作步骤。 场景说明 您可以查看文件系统下协议服务的基本信息，支持按协议服务 ID 或描述关键字查看指定的协议服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务 HPFS”，进入并行文件服务的控制台页面。 3. 点击目标文件系统，进入文件系统详情页，点击协议服务页签，即可进入协议服务页面。 4. 在协议服务列表页查看所有协议服务的基本信息，参数说明如表所示： 参数 说明 协议服务 ID 协议服务的 ID，创建时自动生成，不支持修改。 状态 协议服务状态： 创建中、创建失败、可用、删除中、异常。 规格 通用型。 协议类型 NFS 协议，默认支持 NFSv3 和 NFSv4。 VPC 挂载地址 导出的 NFS 的挂载地址。 VPCE 挂载地址 若创建时选择开启终端节点（VPCE），则展示 VPCE 挂载信息，返回通常需要 1~3 分钟。 注意 如果您删除了终端节点，则 VPCE 的挂载地址将会失效。 VPC 名称/ID 协议服务绑定的虚拟私有云（VPC），VPC 的名称可以点击跳转到对应详情页面。 创建时间 协议服务的创建时间。 描述 协议服务的描述信息。 操作 仅支持删除操作。

本文档基于天翼云零信任远程办公、零信任网络服务官方计费文档整理,仅明确产品折扣规则、适用范围、不适用场景,便于客户快速查阅折扣权益。 一、折扣整体规则 1. 折扣仅针对 包周期（按月 / 按年预付费） 产品，按需计费项无折扣。 2. 折扣按订购年限阶梯设置，年限越长折扣力度越大。 3. 不同产品、服务类型折扣规则独立，按照对应产品折扣为准。 二、折扣说明 产品分类 服务项 折扣说明 零信任服务远程办公 产品套餐（VPN版、基础版、企业版） 部署类型：混合部署/SaaS 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 流量中国内地流量包 无折扣 零信任服务远程办公 带宽扩展服务 支持按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 账号数扩展 支持按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 短信相关（资源包、扩展服务） 无折扣 网络服务（办公组网/全球加速) 区域带宽全球 无折扣 网络服务（办公组网/全球加速) 平台授权服务费 无折扣