本文主要介绍在使用云邮箱过程中会遇到的常见问题。 花卷慧办客户端无法唤起云邮箱 确认是否被查杀 请确认本地360安全卫士、360杀毒等安全软件防护日志，aonemail.exe和aonemailservice.exe是否被拉黑了。 【处理办法】： 根据防护日志中被拉黑的aonemail.exe和aonemailservice.exe日志路径，找到对应文件进行加白。加白后重启云邮箱后可正常打开。 文件损坏，云邮箱启动失败报错 问题现象： 【Windows系统处理办法】： 1.文件夹搜索路径 %appdata%accessoneplugins1795496013048008705 ，并删除该目录中文件夹（压缩文件保留）。 2.重启花卷客户端，再打开云邮箱即可。 【MAC系统处理办法】： 1.把~/Library/Application Support/accessone/plugins/1795496013048008705，并删除该目录中文件夹（压缩文件保留）。 2.重启花卷客户端，再打开云邮箱即可。

本节介绍订购智算集群。 集群开通 您可以通过云容器引擎控制台快速创建云容器引擎（智算版）集群。 云容器引擎（智算版）集群支持GPU等异构节点的部署，基于高性能网络模型提供全方位、多场景、安全稳定的容器运行环境，您可以实现多种场景的混合部署。 约束与限制 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为 内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必确保子网下的DNS服务器可以解析OBS服务域名，否则需要将DNS改成内网DNS。 集群一旦创建以后，不支持变更以下项： 变更集群类型。 变更企业项目。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 操作步骤 登录云容器引擎控制台 1. 登录云容器引擎控制台，在左侧导航栏选择集群。 2. 在集群列表页面，单击页面右上角的创建集群。 3. 选择智算版标签页。

本章节介绍云容器集群节点磁盘填充故障演练。 背景介绍 失控的日志文件、未经清理的临时数据或异常进程持续写入，都可能导致云容器引擎（CCE）节点的磁盘空间被耗尽。这种情况会直接导致Pod无法写入新数据、服务功能异常，甚至因 ephemeralstorage 压力过大而被kubelet驱逐。本演练模拟磁盘空间被占满的场景，帮助您检验系统的磁盘空间监控告警、日志轮转机制以及应用在无可用存储空间时的处理逻辑。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本文为您介绍什么是流量包以及使用流程。 应用场景 云企业路由器流量处理费默认采用按量计费模式，适用于流量需求不稳定但总量可预估的场景。 限制说明 支持叠加包：每个云间高速实例支持绑定多个流量包，不支持升配、降配和续订。 固定有效期：流量包固定有效期为1年，以起租时间为准。 订购流程 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云企业路由器资源包”。 3. 在云企业路由器资源包页面，选择“流量包 ”页签，在页签的左上方，点击“订购流量包”按钮。 4. 进入云企业路由器流量包订购页面，根据提示，填写参数，单击“下一步 ”，进入订单详情页面。 参数 说明 流量包名称 请输入流量包的名称。 企业项目 选择对应的企业项目。 绑定云间高速实例 选择需要抵扣流量处理费的目标云间高速实例。 流量包规格 请选择需要订购的流量包规格。 退订 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云企业路由器资源包”。 3. 在云企业路由器资源包页面，选择“流量包”页签。 4. 在流量包列表中，选择目标流量包，在“操作 ”列中，点击“退订 ”，进入退订页面。 5. 在退订页面，单击“确定”，完成退订操作。

除了前面问题中使用的FTP传输方式，我们本次介绍本地磁盘映射方式实现互传数据。 1. 在本地主机上，在“打开”栏，输入“mstsc”，打开远程桌面连接。 2. 单击左下角的，展开选项菜单。 3. 选择“本地资源”页签，并单击“本地设备和资源”栏的“详细信息”。 4. 勾选“驱动器”和“其他支持的即插即用（PnP）设备”，并单击“确定”，将本地主机上的所有磁盘映射到Windows云主机。 5. 如果只需要映射部分本地主机上的磁盘到Windows云主机，请展开“驱动器”，勾选待映射的磁盘设备。 6. 再次打开远程桌面连接窗口，并在“计算机”栏输入Windows云主机的弹性公网IP地址。 7. 单击“连接”，登录Windows云主机。 8. 查看Windows云主机的磁盘信息，如果有显示本地主机的磁盘设备，则表示您的本地主机与Windows云主机之间可以互传数据了。

本章节介绍云容器集群节点磁盘填充故障演练。 背景介绍 失控的日志文件、未经清理的临时数据或异常进程持续写入，都可能导致云容器引擎（CCE）节点的磁盘空间被耗尽。这种情况会直接导致Pod无法写入新数据、服务功能异常，甚至因 ephemeralstorage 压力过大而被kubelet驱逐。本演练模拟磁盘空间被占满的场景，帮助您检验系统的磁盘空间监控告警、日志轮转机制以及应用在无可用存储空间时的处理逻辑。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

操作步骤 1、 登录管理控制台。 2、选择“存储 > 磁盘”。 进入“磁盘”页面。 3、扩容磁盘之前是否要查看磁盘挂载的云主机信息。 是，执行以下操作。 a.在磁盘列表中，单击待扩容的磁盘名称。进入磁盘详情页面。 b.在“云主机”页签下，您可以查看当前磁盘挂载的云主机列表。 c.单击界面上方的“扩容”按钮。进入扩容界面。 否，执行以下操作。 a.在磁盘列表中，选择指定磁盘所在行“操作”列下的“更多 > 扩容”。进入扩容界面。 4、根据界面提示，设置“新增容量”参数，设置完成后，单击“立即申请”。 5、 在“详情”页面，您可以再次核对磁盘信息。 确认无误后，单击“提交”，开始扩容磁盘。 如果还需要修改，单击“上一步”，修改参数。 提交完成后，根据界面提示返回“磁盘”页面。 6、在“磁盘”主页面，查看磁盘扩容结果。 当磁盘状态由“正在扩容”变为“正在使用”，并且容量增加时，表示已成功扩大磁盘存储容量。 7、通过云服务管理控制台扩容成功后，仅扩大了磁盘的存储容量，还需要登录云主机自行扩展分区和文件系统。 不同操作系统的云主机处理方式不同。 Windows系统，请参见扩展磁盘分区和文件系统（ Windows 2008 ）。 Linux系统，请参见分区和文件系统扩展前准备（ Linux ）。

创建聚合路由 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在页签左侧区域单击目标的路由表。 6. 在页签右侧区域，点击“聚合路由”，进入聚合路由页签。 7. 在聚合路由页签中，点击“添加聚合路由”按钮。 8. 在添加聚合路由页面中，根据提示，填写参数，点击“确认”完成添加。 参数 说明 当前云企业路由器 展示当前配置操作所对应的云企业路由器实例。 当前区域 展示当前云企业路由器实例所属的资源池区域。 当前路由表 展示当前配置操作所依托的目标路由表。 IP类型 单选，支持 IPv4 或 IPv6 两种类型。 目标地址CIDR 输入合法的 IPv4/IPv6 网段（需符合 CIDR 格式规范）。 目标范围 单选，指定路由的目标传播对象类型。 描述 描述内容。

本章节会介绍云数据库 RDS for MySQL提供使用命令行、图形化界面。 表 RDS连接方式 连接方式 使用场景 通过DAS连接RDS for MySQL实例 通过数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能地管理数据库。云数据库RDS库服务默认开通DAS连接权限。 通过mysql命令行客户端连接实例 在Linux操作系统中，您需要在弹性云主机上安装MySQL客户端，通过mysql命令行连接实例。支持公网和内网两种连接方式： 系统默认提供内网IP地址。当应用部署在弹性云主机上，且该弹性云主机与RDS for MySQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与RDS for MySQL实例。 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与RDS for MySQL实例。 通过图形化界面连接RDS for MySQL实例 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS for MySQL实例。

本章节主要介绍服务的基础配置修改建议。 核心原则：混部部署场景下的资源总量控制 在翼 MR 集群中，多个大数据组件（如 HDFS、HBase、YARN 等）可能会部署在同一台 ECS 实例上（即混部场景）。为避免资源竞争导致系统不稳定，请遵循以下基本原则： · 总内存控制 ：所有组件 JVM 堆内存之和 ≤ 实例总内存 ×80%。预留至少 20% 的内存给操作系统、Page Cache、堆外内存及突发流量。 · CPU 资源控制 ：各组件线程池参数（如 Kafka 的num.io.threads等）配置之和不宜超过实例 vCPU 核数的 2~3 倍，避免过度竞争。 · YARN 资源隔离 ：若该节点同时运行 YARN NodeManager，其yarn.nodemanager.resource.memorymb配置不应超过实例总内存的 60%，以保证其他常驻组件的内存安全。 说明 以下各组件配置建议均基于独立部署场景给出。若您采用混部部署，请务必参照上述核心原则，适当调低各组件内存及线程参数。 Doris Doris 所在节点配置升级后，需根据实际内存和磁盘情况调整 FE 和 BE 配置。 FE（Frontend）配置建议 JVM 堆内存 ：修改fe.conf中的 JVM 参数。推荐使用 G1 垃圾回收器，堆内存初始与最大值保持一致。生产环境下建议按业务调整， 最大不超过 100 GB 。示例：JAVAOPTS"Xms16g Xmx16g XX:+UseG1GC XX:MaxGCPauseMillis200" 日志路径 ：避免将日志放在系统目录。平台默认（翼 MR 版本 ≥ 2.21）会将日志放到数据目录下；低版本需手动修改fe.conf中的LOGDIR、syslogdir、auditlogdir为目标路径。请确保日志盘有至少 50 GB 空间。 日志滚动数量 ：syslogrollnum（默认 10 个，每个 1 GB）、auditlogrollnum（默认 30 个，每个 1 GB），可根据需要调整。

本实践介绍了如何基于全站加速服务实现对象存储ZOS的传输加速。 操作场景 全站加速（ICDN，Integrated Content Delivery Network），通过动静分离、多级缓存、智能路由、协议优化、链路优化等多项技术实现静态内容的就近交付及动态内容的快速回源，从而解决因网络拥堵、链路抖动、流量突增等因素导致的响应慢问题，显著提升源站性能。 以下场景您可以基于全站加速服务来加速您的对象存储访问。 远距离数据传输 当客户端与对象存储的地域距离较远时，数据访问过程中容易因传输路径过长，导致访问时延增加、连接稳定性下降。以全球性论坛、在线协同办公平台等场景为例，远距离传输带来的长时延会直接影响用户上传、下载数据的效率，进而降低使用体验。而基于全站加速的传输加速方案，能够有效缩短全球各地客户与对象存储之间的数据传输距离，大幅提升上传和下载速度，让不同地域的用户都能获得流畅、稳定的访问体验。 动态文件访问 与其他加速技术相比，全站加速的优势在于：不仅能高效加速静态资源，更可适配各行业中动静态内容混合的场景，尤其擅长处理包含大量动态资源请求（如 asp、jsp、php 等格式文件）的源站应用服务。 前提条件 已开通对象存储服务和全站加速服务。全站加速服务的开通请参考开通全站加速服务。 如果要访问的桶在中国内地，确保域名已备案且备案信息有效。 注意 全站加速从ZOS源站获取数据时，支持CDN回源流量的资源池采用CDN回源流量计费，不支持CDN回源流量的资源池采用公网流出流量计费。支持CDN回源流量的资源池有：西南1、福州25、杭州7、华北2、合肥2、华东1、武汉41、长沙42、华南2、呼和浩特3。

此小节介绍数据库审计的部署架构。 天翼云数据库审计架构图 天翼云数据库审计从产品部署架构可以自下而上分为数据采集、协议解析、风险识别、数据存储四个部分，在管理控制侧分成日志查询、仪表盘与报表、数据开发和分布式统一管理。 数据采集层的功能是接入需要审计的流量信息，并对流量二三层网络协议和TCP层协议进行解析，提取IP、端口等信息，并根据过滤规则去除不需要进行审计的流量。 协议解析层的功能是按照各种不同数据库的传输协议解析数据包中包含的有效信息，提取出数据库名称、SQL语句、客户端工具等信息，天翼云数据库审计在协议解析领域已积累十三年的解析经验，对数据库协议有着较深的理解，对协议的解析精确且全面。 风险识别功能将解析出来的SQL语句和安全规则进行匹配，以此来发现SQL语句中存在的可疑风险；规则匹配是采用基于DFA状态机的AC算法，该算法实现多条安全规则只需进行一次匹配，实现了高效的规则匹配。如果规则匹配的过程中没有发现风险，那么需要将SQL预计进行字段标准化形成一条审计日志，如果发现了风险，还会根据风险级别相应的产生一条标准化的告警日志，为了达到审计日志和告警日志可回溯，需要将日志进行存储，此时入库程序就会将产生的日志存储到磁盘当中。 当需要查询审计日志和风险日志时，天翼云数据库审计的数据输出模块提供了Web端查询功能，并可将这些日志信息通过Syslog、Kafka等方式发送到第三方平台。同时天翼云数据库审计的系统管理模块提供丰富的管理功能，包括了规则管理、软件升级等功能。

旨在让管理员能够轻松查看并管理本租户下所有用户的训推服务使用情况 前置条件 账号为主账号或者角色为IAM管理员的子账号 操作步骤 1. 进入成员管理模块，成员管理详情页分为用户数据大盘以及用户列表两大板块。 2. 定位到用户数据大盘，设置时间范围，即可查看所选时间段内的总用户数、每日用户数、总付费用户数、每日付费用户数。付费用户指在平台使用了耗费算力的功能，比如模型训练的用户。 3. 定位到用户列表，可查看本租户下所有用户的基本信息如账号、名称、登录信息、任务信息、消耗资源信息以及消费金额信息，右侧操作列支持为每个用户【设置任务资源】，即最大可用GPU卡数/CPU核数。用户列表支持按用户名称筛选；右侧操作列还支持【分配资源】操作，此功能允许管理员为二级管理员分配专属集群资源，二级管理员可基于被分配的资源来进行AI作业，此功能再结合工作空间能力+账号权限体系，可匹配客户自身组织层级结构，实现多层级资源管理，进行AI作业，详见多层级资源管理最佳实践。 4. 导出资源分配明细： 1. 定位到用户列表，点击【导出】折叠按钮，选择资源分配明细，可导出页面选择时间范围内的二级管理员资源分配明细表。 2. 该功能仅导出列表中二级管理员的分配明细，不统计其他用户。 3. 表格数据给出了二级管理员在集群卡型号维度的卡时分配量，该统计值会考虑资源分配的变动，例如，二级管理员A在1月1日分配卡数为1卡，在1月2日分配卡数为2卡，那么1月1日至2日的分配卡时为124+22472卡时。

HTTP 2.0业务接入WAF防护是否会对源站有影响？ HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求，而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求，即WAF与源站间暂不支持HTTP 2.0。因此，如果您将HTTP 2.0业务接入WAF防护，则源站的HTTP 2.0特性将会受到影响，例如，源站HTTP 2.0的多路复用特性可能失效，造成源站业务带宽上升。 Web应用防火墙支持哪些Web服务框架/协议？ Web应用防火墙部署在云端，与Web服务框架没有关系。 WAF通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持防护的协议类型说明如下： WebSocket/WebSockets协议，且默认为开启状态 “对外协议”选择“HTTP”时，默认支持WebSocket “对外协议”选择“HTTPS”时，默认支持WebSockets HTTP/HTTPS协议 WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗？ 可以。WAF支持防护HTTP/HTTPS协议业务。 网站选择使用HSTS（HTTP Strict Transport Security，HTTP严格传输安全协议）策略后，会强制要求客户端（如浏览器）使用HTTPS协议与网站进行通信，以减少会话劫持风险。配置HSTS策略的网站使用的是HTTPS协议，WAF可以防护。 NTLM（New Technology LAN Manager，Windows NT LAN管理器）代理是Windows平台下HTTP代理的一种认证方式，其认证方式与Windows远程登录的认证方式是一样的，客户端（如浏览器）和代理之前需要三次握手才开始传递信息。 对于客户端（如浏览器）和代理之前使用NTLM认证的业务，WAF可以防护。

创建关系数据库MySQL版实例后，可以通过登录数据库管理服务DMS对数据库实例进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据管理服务DMS登录MySQL实例。 背景信息 数据管理服务（Data Management Service，DMS）是异构数据库（支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS等数据库类型）的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前置条件 创建数据库实例可参考：创建关系数据库MySQL版实例。 创建数据库用户：已创建数据库用户。 操作步骤 注意 目前并非所有资源池都支持RDS直接登录数据管理服务DMS的功能，当前支持该功能的资源池，请参见 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，单击实例名称，进入实例基本信息 页面，然后在右上角单击登录数据库，即可进入该实例的DMS登录页面。 方法三：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。 4. 登录DMS，根据实际情况对数据库实例进行管理。

数据安全专区数据脱敏能力具有广泛的数据库支持、出色的性能和良好的可扩展性。它采用独特的脱敏与水印/溯源算法，能够高效处理敏感数据，实现去标识化和匿名化。多种处理方式如固定值替换、置空、乱序、保留统计特征等确保了在不改变现有业务逻辑的前提下，脱敏后的数据仍能保留原有业务逻辑特征。 数据安全专区支持软硬件一体机或虚拟化部署（保证与生产环境和开发 第三方测试环境前后路由可达即可）。生产库中的原始数据，经过数据脱敏清洗后离线分发至测试环境，所有敏感数据全部在内存中处理，可保证整个环节敏感数据不落地。 主要功能 敏感数据自动发现 数据脱敏系统内置多种发现规则，支持基于数据内容的识别，不仅依赖于用户的元数据管理系统、字段名或字段注释等信息。支持用户基于自身需求自定义规则，实现对敏感数据的自动发现和标识。 同时数据脱敏系统可和数据分级分类平台进行对接，可基于行业或法律法规对敏感数据进行分类分级与梳理，便于用户按照不同级别进行脱敏算法的配置，有效避免数据的过度保护。 支持采用随机采样的方式，在采样的过程中过滤空值及脏数据。如在业务初期数据逻辑定义不规范往往会产生较多脏数据，而传统的敏感数据检索方式通常是简单过滤表中前若干条数据，无法有效避免此类脏数据的干扰。数据脱敏系统的随机采样是基于表总行数进行随机抽取，可有效避免脏数据的干扰，提高敏感数据识别的准确性。数据发现算法除常规的正则表达式、字典等，还加入了NLP算法，开箱即用70多种通用敏感字段识别算法，大幅提升了对敏感数据内容的识别和处理能力。有效避免敏感数据的误报、漏报。

名称 服务阶段 工作任务内容 交付物 数据分类分级服务方案 数据分类分级产品部署 数据分类分级工具的安装调试，系统联调与测试，保障平台工具正常运行 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》 数据分类分级服务方案 数据资产调研方案制定 制定数据资产调研工作方案，内容包括调研范围、参与对象、工作目的、时间进度、配合分工等 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》 数据分类分级服务方案 数据资产梳理 针对XX组织单位业务部门开展调研，梳理业务部门对应的关键业务流程以及业务活动，分析各业务流程涉及的关键敏感数据 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》 数据分类分级服务方案 制定数据分类分级逻辑框架 根据数据安全标准和法律法规要求，调研梳理XX组织单位的业务条线，制定数据安全分类分级逻辑框架，为数据分类分级实施奠定基础 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》 数据分类分级服务方案 数据分类分级实施 针对XX组织单位试点系统范围内的数据，协调系统业务管理部门，开展数据发现梳理盘点、数据分类分级、归类归级工作，数据分类分级结果讨论形成一致意见，通过自动化工具整理数据分类分级结果 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》 数据分类分级服务方案 制定数据分类分级指南 基于数据分类分级逻辑框架基础以及数据分类分级工作持续实施的结果，优化数据分类分级工作流程及方法，输出数据分类分级指南 数据资产梳理过程交付件 《数据分类目录》 《数据分级清单》 《数据分类分级样表清单》

边缘安全加速平台——安全与加速服务 该产品可有效实现核心业务静态资源的缓存管理，并对动态请求实施优化回源机制。同步启用分布式DDoS防御、境外恶意请求拦截及境内异常攻击防护策略，在显著降低客户机房运行负载的同时，构建云端防护体系与客户本地安全系统的联动联防机制，形成覆盖网络传输层与应用层的立体化纵深防御架构。 服务流程 为有效保障服务的持续稳定与高效运转，由资深技术专家组成的专项团队秉承卓越运维理念，经深入调研行业最佳实践，牵头设计了体系化的服务质量管理规范。团队深谙行业特性及业务痛点，经过多维度评估论证，综合考量业务模式、技术基础设施及潜在风险因素，最终构建出覆盖全流程的标准化服务保障框架，配套涵盖需求调研、服务设计、部署实施、测试优化、保障值守、全面复盘等关键环节的全周期管理机制。 针对本次客户的业务保障需求，严格遵循了内部服务质量管理规范的要求，将执行力落地到流程中的每个细微环节中： 服务效果 为了确保真实报考时业务系统稳定运行，客户组织某地市考生模拟志愿填报，当天QPS峰值达到1.26万，并遭受了CC攻击。因运营专家团队前期做了大量的策略准备工作，本次模拟全程稳定，CC攻击100%拦截。 6月23日6月29日该省全省高考志愿填报期间，峰值带宽达到473 Mbps，请求数峰值达75.99 万次，峰值并发QPS 2533 次，总计请求数 34132.91 万次，安全防护9553 次，全程业务稳定0 故障、0 安全事件，服务得到了客户的高度认可。

本文以CDN加速产品为例，为您介绍CDN加速产品在手机应用商店发布应用、更新应用的集中高并发业务场景下，如何将业务流量下沉边缘，缓解源站服务器压力，提升用户端下载体验。 业务场景简介 风起云涌的高科技时代，智能终端的普及不仅推动了移动互联网的发展，也带来了移动APP应用的爆炸式增长。越来越多的企业已经意识到手机应用可以为其提供自有销售平台、精准消费者数据信息、线下到线上的无缝连接和品牌宣传渗透的稳定渠道。无独有偶，各地的政务服务也在逐步从传统的线下办理模式到移动终端线上快捷高效办理的模式进行转变。 业务场景痛点 手机应用在给用户带来极度便利的同时，也为企业带来了许多问题： 用户需求飞速衍生，应用体量越来越大 因业务需要和用户诉求多元化，各类手机应用的功能都在不断叠加、丰富，市面上超过百M大小的手机应用已经成为普遍现象。 应用更新、发布后，用户更新和下载行为集中 现有应用的更新和新应用的发布，往往在上线后的3天内会面临着用户的集中更新和下载，造成服务站点的下行带宽暴涨、机器资源被耗尽，客户业务随时都面临瘫痪风险，用户下载体验差，流失风险高。 客户端多网分布，跨网传输稳定性差 用户分布于国内各大主要运营商网络下，客户自建服务站点在不具备BGP线路时，用户的下载、更新存在跨网传输的情况，极易造成下载速度慢、不稳定、下载中断等情况。 硬件、网络资源扩容建设成本高昂 通过服务站点硬件和网络带宽的扩容建设解决用户集中下载、更新带来的一系列问题，建设的成本让大多数企业望而却步；在业务闲时，扩建的资源也无法得到有效利用。

本章节主要介绍数据仓库服务的产品优势。 DWS数据库内核使用自主研发的GaussDB数据库，兼容PostgreSQL 9.2.4的数据库内核引擎，从单机OLTP数据库改造为企业级MPP（大规模并行处理）架构的OLAP分布式数据库，其主要面向海量数据分析场景。 DWS与传统数据仓库相比，主要有以下特点与显著优势，可解决多行业超大规模数据处理与通用平台管理问题： 易使用 一站式可视化便捷管理 DWS让您能够轻松完成从项目概念到生产部署的整个过程。通过使用DWS 管理控制台，您不需要安装数据仓库软件，也不需要部署数据仓库服务器，就可以在几分钟之内获得高性能、高可靠的企业级数据仓库集群。 您只需点击几下鼠标，就可以轻松完成应用程序与数据仓库的连接、数据备份、数据恢复、数据仓库资源和性能监控等运维管理工作。 与大数据无缝集成 您可以使用标准SQL查询HDFS、对象存储服务（Object Storage Service，OBS）上的数据，数据无需搬迁。 提供一键式异构数据库迁移工具 DWS提供配套的迁移工具，可支持Oracle和Teradata的SQL脚本迁移到DWS 。 高性能 云化分布式架构 DWS采用全并行的MPP架构数据库，业务数据被分散存储在多个节点上，数据分析任务被推送到数据所在位置就近执行，并行地完成大规模的数据处理工作，实现对数据处理的快速响应。 查询高性能，万亿数据秒级响应 DWS后台还通过算子多线程并行执行、向量化计算引擎实现指令在寄存器并行执行，以及LLVM动态编译减少查询时冗余的条件逻辑判断，助力数据查询性能提升。 DWS支持行列混合存储，可以同时为用户提供更优的数据压缩比（列存）、更好的索引性能（列存）、更好的点更新和点查询（行存）性能。 数据加载快 DWS提供了GDS极速并行大规模数据加载工具。

本节主要介绍MySQL数据库迁移 数据库复制服务（Data Replication Service，简称DRS）支持将其他云MySQL数据库的数据迁移到本云云数据库MySQL。通过DRS提供的实时迁移任务，实现在数据库迁移过程中业务和数据库不停机，业务中断时间最小化。 本章节主要介绍了通过DRS将其他云MySQL数据库实时迁移至本云云数据库MySQL的任务配置流程。包括以下迁移场景： 其他云RDS MySQL实时迁移至本云云数据库MySQL。 其他云内云主机自建自维护的数据库迁移至本云云数据库MySQL 网络示意图 图 其他云RDS MySQL实时迁移示意图 图 其他云自建MySQL数据库实时迁移示意图 迁移流程 图 迁移流程图

IP地址分类 IP地址说明 示例 私有IP 您在VPC子网内创建弹性云主机时，系统会基于子网内的可用IP地址，给弹性云主机分配私有IP地址， 私有IP地址主要用于云内网络通信，不能访问Internet。 ECSA01的私有IP地址为172.16.0.84 ECSB01的私有IP地址为172.16.1.12 虚拟IP 虚拟IP是一个未分配给真实弹性云主机网卡的IP地址，可同时绑定至多台弹性云主机上。 虚拟IP结合keepalived，可以在主弹性云主机发生故障无法对外提供服务时， 动态将虚拟IP切换到备弹性云主机，继续对外提供服务，以此达到高可用性HA（High Availability）的目的。 虚拟IP（172.16.0.2）同时绑定至ECSA01和ECSA02， 结合keepalived可实现ECSA01和ECSA02的主备倒换。 弹性公网IP 弹性IP是云上资源访问Internet使用的IP地址。 在虚拟IP场景，您可以将弹性IP绑定至虚拟IP，实现虚拟IP后端的弹性云服务器访问Internet。 您可以将弹性IP直接绑定至弹性云主机上，实现弹性云主机访问Internet，一个弹性公网IP只能绑定至一台弹性云主机。 将EIP（122.9.9.85）绑定至虚拟IP（172.16.0.2），实现ECSA01和ECSA02访问Internet。 将EIP（122.9.9.87）绑定至ECSB01，实现ECSB01访问Internet。

稳定可靠的高可用架构 多资源池分散部署，异地容灾机制安全可靠；运营商级带宽扩容能力，可支持高并发业务接入防护；采用集群+冗余高可用模式，消除单点故障；全面满足各场景下的高可用需求。 满足等保合规要求 与云原生安全产品深度融合，针对云上云下资产，形成纵深防护体系以及融合防护视角，支持ELB/ALB/ECS等云产品一键接入，与证书管理服务、云安全中心、云防火墙（原生版）等原生安全产品协同联动，一站式完成云上安全统一监控和管理，助力企业安全合规建设；深度兼容IPv6双栈协议，满足等保2.0、GDPR等国内外合规要求，针对政务、金融等强监管行业，提供数据本地化、审计日志隔离存储等专项方案，助力客户通过安全审查与合规验收。

本章节介绍如何创建云原生API网关实例 概述 云原生API网关支持多种服务发现方式（如云容器引擎CCE、注册配置中心RCCNacos引擎、注册配置中心RCCEureka引擎、函数计算FaaS等），并集成安全运维能力。本文介绍如何创建云原生API网关实例。 操作步骤 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在概览页，点击新建实例；或者在左侧导航栏，选择实例，单击新建实例。 3. 跳转至订购页，选择相关配置（参见下方配置项说明），然后点击下一步。 4. 跳转至配置总览页，确认配置信息，点击提交订单， 5. 跳转至支付页，完成费用支付， 6. 返回云原生API网关控制台，左侧导航栏选择实例，刷新列表查看创建的网关信息和状态。 7. 实例创建大约需要5~10分钟，当网关信息和创建时一致，且状态为运行中，则表示网关创建成功。 实例配置说明 配置项 描述 计费模式 支持包年包月和按需计费方式，费用说明请参照购买指南>计费说明。 购买时长 可以根据实际需求进行选择，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 自动续期 您可以选择开启自动续期，避免云原生API网关到期后无法使用。 自动续期购买时长 开启自动续期，可以选择续期时长，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 部署方式 实例节点将按单可用区、多可用区部署方式，分布在单个或者多个可用区中。多可用区部署可增强实例的容灾能力。注意：基础版规格不具备高可用、多AZ容灾能力。 可用区 选择单可用区部署方式时，可用区可任选其一；选择多可用区部署时，必须选择至少3个可用区。 CPU架构 部署实例的主机架构。 主机类型 部署实例的主机类型。 网关规格 参见产品简介产品规格介绍 虚拟私有云 选择虚拟私有云，若您还没有虚拟私有云，请参照创建虚拟私有云。 所在子网 择所在子网，若您还没有所在子网，请参照创建所在子网。 启用ipv6 若子网已开启ipv6访问，在此处可选择启用ipv6。未启用ipv6时，将通过ipv4访问。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 指标监控 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息。您可通过委托授权的方式开通此服务。 云日志服务 启用后，可在控制台观测分析中查看访问日志。您可通过委托授权的方式开通此服务。

此小节介绍如何登录云堡垒机系统。 背景介绍 云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。 Web浏览器登录：支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。 SSH客户端登录：在不改变用户原来使用SSH客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。 MSTSC客户端登录：在不改变用户原来使用MSTSC客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。 前提条件 实例的运行状态为“运行”，CBH系统在使用授权期内; 实例已绑定EIP，且EIP可用; 已获取登录CBH系统的登录地址，以及登录验证信息。 通过Web浏览器登录云堡垒机 1. 启动浏览器，在Web地址栏中输入CBH系统登录地址，进入系统登录页面。 登录地址： 或私网IP 。例如， 注意 未绑定EIP时，可通过私网IP登录，需确保用户本地网络与云堡垒机私网网络通畅； 受浏览器兼容性限制，当浏览器版本与云堡垒机系统不匹配时，可能导致登录时获取不到验证信息，或登录后页面显示异常，建议使用推荐的浏览器及版本。 2. 选择登录认证方式，如下图。 系统所有用户可选择配置“手机短信”、“手机令牌”、“USBKey”和“动态令牌”多因子认证。 配置多因子认证后，“密码登录”方式认证失效。 Web浏览器登录验证说明 登录方式 登录说明 登录方式配置说明 密码登录 输入云堡垒机系统的用户登录名和密码。 默认登录方式。 “AD域认证”、“RADIUS认证”、“LDAP认证”或“Azure AD认证”用户登录密码为远程服务器用户密码。 手机短信 输入云堡垒机系统的用户登录名和密码，单击“获取验证码”，并输入短信验证码。 需要已经为用户帐号配置可用手机号码。 手机令牌 输入云堡垒机系统的用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 说明 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。 需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统。 USBKey 插入并选择已签发过的USBKey，并输入对应的PIN码。 需已为用户签发USBKey。 动态令牌 输入云堡垒机系统的用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）。 需已为用户签发动态令牌。 3. 单击“登录”，成功登录云堡垒机系统进行管理和运维操作。 系统管理员admin为CBH系统第一个可登录用户，拥有系统最高操作权限，且无法更改权限配置，请妥善保管帐号信息。 在首次登录系统成功后，请所有用户按照系统提示修改密码和绑定手机号码，否则无法进入系统运行页面。登录系统后，可在个人中心修改用户基本信息。

创建云搜索服务连接 1.单击CDM集群后的“作业管理”，进入作业管理界面，再选择“连接管理 > 新建连接”，进入选择连接器类型的界面。 2.连接器类型选择“云搜索服务”后单击“下一步”，配置云搜索服务连接参数。 名称：用户自定义连接名称，例如“csslink”。 Elasticsearch服务器列表：配置为云搜索服务集群（支持5.X以上版本）的连接地址、端口，格式为“ip:port”，多个地址之间使用分号（；）分隔，例如192.168.0.1:9200;192.168.0.2:9200。 用户名、密码：配置为访问云搜索服务集群的用户，需要拥有数据库的读写权限。 3.单击“保存”回到连接管理界面。 创建Elasticsearch连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.连接器类型选择“Elasticsearch”后单击“下一步”，配置Elasticsearch连接参数，Elasticsearch连接参数与云搜索服务的连接参数一样： 名称：用户自定义连接名称，例如“eslink”。 Elasticsearch服务器列表：配置为本地Elasticsearch数据库的IP地址、端口，多个地址之间使用分号（；）分隔。 3.单击“保存”回到连接管理界面。 创建整库迁移作业 1.选择“整库迁移 > 新建作业”，开始创建Elasticsearch整库迁移到云搜索服务的任务。 详见下图：创建Elasticsearch整库迁移作业 作业名称：用户自定义便于记忆、区分的任务名称。 源端作业配置 −源连接名称：选择创建Elasticsearch连接中的“eslink”。 −索引：单击输入框后面的按钮，可选择本地Elasticsearch数据库中的一个索引，也可以手动输入索引名称，名称只能全部小写。需要一次迁移多个索引时，这里可配置为通配符，CDM会迁移所有符合通配符条件的索引。例如这里配置为cdm时，CDM将迁移所有名称为cdm开头的索引：cdm01、cdmB3、cdm45…… 目的端作业配置 −目的连接名称：选择创建云搜索服务连接中的“csslink”。 −索引：待写入数据的索引，这里可以选择一个云搜索服务中已存在的索引，也可以手动输入一个不存在的索引名称，名称只能全部小写，CDM会自动在云搜索服务中创建该索引。一次迁移多个索引时，该参数将被禁止配置，CDM自动在目的端创建索引。 −导入前清空数据：如果上面选择的索引，在云搜索服务中已存在，这里可以选择导入数据前是否清空该索引中的数据。如果选择不清空，则数据追加写入该索引。 2.作业配置完成后，单击“保存并运行”，回到作业管理界面，在整库迁移的作业管理界面可查看执行进度和结果。 本地Elasticsearch索引中的每个类型都会生成一个子作业并发执行，可以单击作业名查看子作业进度。 3.作业执行完成后，单击作业操作列的“历史记录”，可查看该作业的历史执行记录、读取和写入的统计数据，以及日志信息（子作业才有日志）。 详见下图：作业执行记录

本节主要介绍常见问题 一个租户下可以开通多个追踪器吗？ 目前，一个租户系统仅支持开通一个追踪器。 事件列表用于记录哪些信息？ 事件列表记录了云账户中对云服务资源新建、修改、删除等操作的详细信息。事件列表不记录查询操作的相关信息。 事件列表中的信息可以删除吗？ 不可以，根据SAC/TC及国际信息、数据安全管理部门发布的规范，审计日志必须保持客观全面、准确，因此不提供删除或修改功能。 事件文件可以存储多长时间？ 默认情况下，云审计服务管理控制台可存储最近7天内的事件文件，而对于已保存至OBS桶的历史操作记录，您可以无限期存储这些事件文件。 如果用户已开通云审计服务，但OBS桶未配置正确的策略，会出现什么情况？ 云审计服务会根据既有的OBS存储桶策略来传送事件文件。如果错误地配置OBS存储桶策略，那么云审计服务将无法传送事件文件。 被删除或有异常的OBS桶，管理控制台界面会显示相应的错误提示信息。用户可选择重新创建OBS桶或重新配置OBS桶的访问权限，操作详情请参见《对象存储服务用户指南》的“管理桶”章节。 云审计服务是否支持事件文件的关键字验证？ 支持。原则上进行关键字验证时必须包含以下字段：time、servicetype、resourcetype、tracename、tracestatus、tracetype，其他字段由各服务自己定义。 启用云审计服务是否会影响其他云服务资源的性能？ 不会。启用云审计服务不会影响其他云服务资源的性能。

本节主要介绍计费类问题 应用编排服务如何收费 ？ AOS本身不收取任何费用。 但在使用模板创建堆栈时，AOS会帮助您创建模板指定的云服务资源，其中部分云服务资源是收费的（例如弹性云主机ECS、云硬盘EVS等），您需要为这些云服务资源付费。具体收费以各云服务价格为准。 是否支持创建包周期（包年包月）的云服务 ？ AOS目前只支持创建按需的云资源。AOS不支持编排包周期云资源。

资源名称 功能描述 标准版 专业版（包周期） IPv4 支持对IPv4资产的防护 ✓ ✓ IPv6 支持对IPv6资产的防护 ✓ ✓ EIP 云防火墙通过对弹性公网IP（EIP）的防护实现互联网边界流量的防护。 ✓ ✓ VPC（私网IP） 云防火墙通过对虚拟私有云（VPC）的防护实现VPC和VPC之间、本地数据中心（IDC）和云上VPC之间流量的防护。 × ✓

本节介绍了测试连通相关问题与处理方法。 场景排查 1. 排查安全组规则。 2. 排查网络ACL。 3. 排查弹性云主机内部网卡信息。 4. 排查不通端口。 解决方案 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面，在“连接信息”模块查看TaurusDB实例的虚拟私有云。 步骤 5 查看加入分布式事务的TaurusDB或ECS是否有相同VPC。 相同，请查看《虚拟私有云用户指南》中的连接类常见问题排查。 不相同 公网访问：需要通过EIP建立连接。请参考绑定弹性IP为TaurusDB实例绑定EIP。 内网访问：为两个不同的虚拟私有云建立对等连接，实现内网互通。 将ECS的虚拟私有云切换为与TaurusDB相同的虚拟私有云。

管理访问配置实例介绍 通过权限集绑定，实现云SSO用户（组）、成员账号、权限集的关系建立，三者相互绑定形成一个访问配置实例。 创建权限集绑定 进入“权限集绑定”界面，点击“创建权限集绑定”，分别完成“选择账号与组织”“选择SSO用户/组”“选择权限集”“确认配置”后，即可创建一个访问配置实例。一个访问配置实例包含云SSO用户/组、所配置的权限集、需访问的账号或组织。 查询云SSO用户所绑定的访问配置实例 进入“权限集绑定”界面，上方找到“用户名称”搜索框，输入对应的云SSO用户名称后，点击“查询”。 修改云SSO用户所绑定的访问配置实例 进入“权限集绑定”界面，找到该云SSO用户所对应的访问配置实例，点击“编辑”后，对访问配置实例进行按需修改后保存。 删除访问配置实例 进入“权限集绑定”界面，列表中找到对应的实例，点击“删除”后确认。

参数 是否必填 参数类型 说明 示例 下级对象 cycleType 是 String 周期类型（仅创建单独付费云硬盘有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 是 Integer 周期数（仅创建单独付费云硬盘有效）。取值范围： 136。（仅订购类型为包周期类型有效） volumeOid 是 String 云硬盘ID volumeSize 是 Integer 云硬盘大小（单位：GB）