在概览页面，可以查看安全防护情况、安全告警情况、用户配置的访问控制策略数量、入侵检测防护开启情况、以及已开启防护的资产上的流量趋势等。 概览主要分为安全防护、安全告警、实例状态、资产防护监控、防护配置、访问控制策略、互联网边界流量趋势、VPC边界流量趋势等统计功能，如下图所示。 安全防护 安全防护展示了防护的总体情况，包括入侵防御拦截数和访问控制拦截数，防护总次数为两项之和。支持查看最近一天、最近三天、最近七天的统计数据。 防护总次数：展示了近期云防火墙（原生版）为您的资产触发的安全防护的总次数，等于入侵防御拦截数与访问控制拦截数的总和。 入侵防御拦截数：展示了入侵防御拦截的数量。点击数字时会跳转至“日志审计 > 入侵防御日志”界面。 访问控制拦截数：展示了访问控制拦截的数量。点击数字时会跳转至“日志审计 > 访问控制日志”界面。

本节介绍如何开启Cookie安全属性。 当“对外协议”配置为HTTPS时，WAF支持开启“Cookie安全属性”，开启后会将Cookie的HttpOnly和Secure属性设置为true。 Cookie是后端Web Server插入的，可以通过框架配置或setcookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 约束条件 “对外协议”包含“HTTP”时，“Cookie安全属性”默认为关闭状态，不支持开启。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“高级配置”栏中“Cookie安全属性”列单击，开启Cookie安全属性。

本页主要介绍查看备份文件的md值校验方法和步骤。 使用场景 对于某些数据较多，文件较大的备份文件，备份时间可能较长，可能存在备份上传到对象存储前后文件缺失的情况，因此可以通过md5值进行校验，来判断是否为最原始的数据文件，如果前后一致则可以保证恢复的数据无误，如果不一致，则可能需要重新备份。 条件限制 仅针对备份空间是对象存储类型的实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签，选择数据备份。 5. 在需要确定的备份文件后面，点击更多中的校验。 6. 在弹窗中可以看到校验前后的md5值和校验结果。

本节介绍翼打印的应用场景。 典型场景 国产化转型 翼打印提供零成本适配各国产品牌打印机方案，轻松实现国产化转型。 大型组织办公场景 通过AI云电脑（政企版）管理台策略分配一键实现翼打印，无需单台安装驱动，同时支持针对性设置打印机使用权限。 安全敏感场景打印 支持打印水印+打印审计，在安全敏感场景下对打印产出物与打印行为进行控制监测，保障打印行为安全性。 场景案例 场景对象 某大型企业使用打印机人员较多且频繁，打印机数量较多，维护打印机驱动与配置工作任务重。 核心诉求 （1） 减轻打印机日常维护成本； （2） 减少使用人员接入打印机的操作步骤； （3） 增加打印文件的安全性。 解决方案 （1）接入翼打印服务桌面，服务端提供与维护所有设备型号的打印机驱动，工作人员无需再关注驱动更新与兼容性问题； （2）在管理台策略给打印机使用人员开通翼打印服务，自动发现打印机，无需配置任何内容； （3）提供打印行为数据审计服务，企业资料安全性得到进一步提升。

本节介绍如何导出告警列表。 支持导出的告警：基线检测、漏洞扫描、弱口令检测、异常登录、暴力破解、后门检测、可疑操作、反弹shell、进程提权、Webshell、端口蜜罐、病毒查杀、文件防勒索、文件完整性保护等告警。 支持导出的格式：支持“.csv”格式。 操作步骤 如下以导出异常登录告警为例，介绍导出告警的详细步骤。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 异常登录”，进入异常登录页面。 3. 单击告警列表右上角的“导出”图标，导出告警列表。 若只需要导出某一类告警或某一段时间内的告警，可以先筛选告警，再进行导出。支持按照告警类型、时间、状态、登录源IP、登录账号、服务器名称、服务器IP进行筛选。 4. 页面右上角会显示导出状态，当导出完成后，单击“下载”，将告警列表下载到本地。 注意 若“关闭”页面，此时告警列表还未下载到本地，若需要下载，则需要重新导出。

威胁处置 威胁处置支持恢复被隔离的文件，支持解封被隔离的IP。 恢复文件：支持恢复被隔离的文件，恢复至原文件路径。 解封IP：手动解放被禁止访问的IP地址，解封后对应IP可正常访问服务器。 导出告警 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。 3. 单击告警列表右上角的“导出”按钮，导出告警。 如果您只需要导出某个ATT&CK攻击阶段的告警或某一类告警，您可以先选中相应的ATT&CK攻击阶段或告警事件类型，再单击“导出”按钮。 4. 页面右上角会显示导出状态，当导出完成后，单击“下载”，将告警列表下载到本地。 注意 若“关闭”页面，此时告警列表还未下载到本地，若需要下载，则需要重新导出。

本文介绍RDSPostgreSQL内核发版记录。 RDSPostgreSQL支持的社区版本及发布日期如下表所示。 发布日期 版本修改说明 202205 Ⅰ类资源池：新增 PostgreSQL 12.3版本 202304 Ⅱ类资源池：新增 PostgreSQL 14.6版本 202306 Ⅱ类资源池：新增 PostgreSQL 13.9版本 202310 Ⅱ类资源池：升级内核小版本至 PostgreSQL 12.16、13.12、14.9版本，并修复部分漏洞 202312 Ⅱ类资源池：新增 PostgreSQL 15.4版本 202409 Ⅱ类资源池：升级内核小版本至 PostgreSQL 12.20、13.16、14.13、15.8版本，并修复部分漏洞 202501 Ⅱ类资源池：西南1新增 PostgreSQL 16.4版本 202503 Ⅱ类资源池：放开全网Ⅱ类资源池 PostgreSQL 16.4版本 202504 Ⅱ类资源池：升级内核小版本至 PostgreSQL 12.22、13.20、14.17、15.12、16.8版本，并修复部分漏洞 202506 Ⅱ类资源池：部分资源池新增 PostgreSQL 17.5版本 202507 Ⅱ类资源池：PostgreSQL 12~16版本新增适配rdkit插件

本页介绍RDSPostgreSQL如何删除手动备份。 操作场景 RDSPostgreSQL支持对存在的实例删除手动备份，用户可以通过删除手动备份，将多余的手动备份删除，节省磁盘资源。 注意 手动备份删除后，不可恢复，请谨慎操作。 操作步骤 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击指定的实例，进入单个实例管理详情页。 6. 在详情页中点击备份恢复页签，进入备份恢复功能页，点击目标备份记录后的【删除】按钮。 7. 在弹出的页面中，点击确定进行删除，点击取消，则不进行删除。 注意 如下备份不可被删除： 自动备份。 恢复中的备份。 复制中的备份。 不同资源池因IaaS资源能力等原因，加载版本有所差异，操作步骤有细微差异，请以实际界面为准，功能加载情况详见

本文介绍了如何查看RDSPostgreSQL实例SSL链路加密。 操作场景 客户从内外网连接实例时使用SSL链路加密通信，防止实例数据被泄露。 前提条件 当前实例状态为运行中。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在实例详情页，选择SSL设置栏中，点击最右侧的开启按钮，选择云端证书或自定义证书开启SSL。 7. 开启成功后，可在实例详情页查看SSL开启状态，以及其证书有效期。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

本节介绍服务器安全卫士（原生版）产品优势。 统一管理和运维 天翼云控制台上统一查看服务器资产和各项风险，快速构建安全可视化运维平台。自动收集云上服务器数据，实现云上安全威胁实时管控，让安全没有死角。 三位一体全面防护 提供事前预防、事中防御、事后检测的全面防护，全面降低服务器入侵风险。 防护资源占用少 正常的系统负载情况下，CPU占用率低，内存占用小，消耗极低；在系统负载过高时，Agent会主动降级运行，严格限制对系统资源的占用，确保业务系统正常运行。 用户使用方便快捷 无需登录云主机进行安装，简单配置防护策略即可实现防护；全部操作都有可视化界面，方便用户使用；平台级产品，用户无需切换资源池即可查看全部情况。 防护机制安全可靠 有先进的检测技术和丰富的检测库，提供精准防御，做到全方位安全防护；对Agent进程加壳防护，防止被篡改，采用加密传输与服务端通信，保证数据安全。通过5000+台服务器的运行实践，稳定性高达99.9%，2分钟内离线自动重启机制，保障系统始终处于检测状态。

本章介绍如何使用主子账号体系管理子账号权限。 概述 分布式消息服务RocketMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制（注意：一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中）。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

介绍分布式消息服务Kafka删除用户功能操作内容。 场景描述 Kafka删除用户的场景描述如下： 用户离职或不再需要访问权限：当用户离开组织或不再需要访问Kafka集群时，可以删除其用户账户。这可以确保已离职的用户无法再访问和操作Kafka，提高安全性和合规性。 角色调整或合并：在某些情况下，可能需要对用户角色进行调整或合并。如果某个角色不再需要或与其他角色重复，可以删除相关的用户账户和角色，以简化管理和维护。 用户账户过期或失效：如果用户账户的有效期已过或由于某种原因失效，可以删除该用户账户。这有助于清理无效的用户账户，减少安全风险和资源浪费。 安全审计和合规要求：根据安全审计和合规要求，可能需要删除某些用户账户。例如，当用户账户存在安全风险或违反合规规定时，需要及时删除相关账户以保护系统安全和数据隐私。 数据隔离和资源管理：在多租户环境中，当某个租户不再需要使用Kafka集群时，可以删除其相关的用户账户。这有助于释放资源，提高资源利用率和性能。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入应用用户管理页面，点击指定用户其右侧的“删除”按钮。 注意事项 Kafka删除用户时需要注意以下事项： 确认用户身份：在删除用户之前，确保要删除的用户的身份是正确的。验证用户的身份可以防止误删除或删除错误的用户账户。 备份和迁移数据：如果用户账户中存在重要的数据或信息，建议在删除用户之前进行数据备份和迁移。这可以确保数据的安全性和完整性，并防止数据的丢失或泄露。 通知相关人员：在删除用户之前，及时通知相关的管理人员或团队成员。这有助于协调和沟通，确保删除用户的操作得到充分的授权和确认。 关注系统性能：删除用户时，要注意对Kafka集群的性能影响。大规模的用户删除操作可能会对系统造成一定的负载和延迟，因此在合适的时间窗口进行删除操作，以减少对业务的影响。

本节介绍了云数据库GaussDB 的权限管理。 如果您需要对购买的云数据库GaussDB 资源，为企业中的员工设置不同的访问权限，为达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库GaussDB 服务的其它功能。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有云数据库GaussDB openGauss版的使用权限，但是不希望他们拥有删除云数据库GaussDB 等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库GaussDB openGauss版，但是不允许删除云数据库GaussDB openGauss版的权限，控制他们对云数据库GaussDB openGauss版资源的使用范围。 云数据库GaussDB 权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库GaussDB 部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库GaussDB 时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云数据库GaussDB 服务，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 云数据库GaussDB 的所有系统权限。 策略名称 描述 类别 云数据库GaussDB FullAccess 云数据库 云数据库GaussDB 服务的所有执行权限。 系统策略 云数据库GaussDB ReadOnlyAccess 云数据库 云数据库GaussDB 服务的只读访问权限。 系统策略 云数据库GaussDB 常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 云数据库GaussDB FullAccess 云数据库GaussDB ReadOnlyAccess 创建云数据库GaussDB实例 √ x 删除云数据库GaussDB实例 √ x 查询云数据库GaussDB实例列表 √ √ 常用操作与对应授权项 操作名称 授权项 备注 创建数据库实例 gaussdb:instance:creategaussdb:param:list 界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get创建加密实例需要在项目上配置:kms:cmk:getkms:cmk:list操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 规格变更 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 扩容节点 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 磁盘扩容 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 重启数据库实例 gaussdb:instance:restart 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 删除数据库实例 gaussdb:instance:delete 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 查询数据库实例列表 gaussdb:instance:list 无 实例详情 gaussdb:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc::get和vpc::list。显示磁盘已使用大小，需要配置ces::list。 修改数据库实例密码 gaussdb:instance:modify 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 修改实例名称 gaussdb:instance:modify 无 绑定/解绑公网IP gaussdb:instance:modify 界面列出公网IP需要配置：vpc:publicIps:getvpc:publicIps:list操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 创建参数模板 gaussdb:param:creategaussdb:param:list 无 修改参数模板 gaussdb:param:modify 无 获取参数模板列表 gaussdb:param:list 无 应用参数模板 gaussdb:param:apply 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create 删除参数模板 gaussdb:param:delete 无 创建手动备份 gaussdb:backup:create 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 获取备份列表 gaussdb:backup:list 无 修改备份策略 gaussdb:instance:modifyBackupPolicy 无 删除手动备份 gaussdb:backup:delete 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 恢复到新实例 gaussdb:instance:create 界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create 查询项目标签 gaussdb:tag:list 无 批量添加删除项目标签 gaussdb:instance:dealTag 无 修改配额 gaussdb:quota:modify 无

本章节主要介绍开启Flink作业动态扩缩容。 使用须知 在Flink作业进行动态扩缩时若队列资源被强占，剩余资源不满足作业启动所需资源则可能存在作业无法正常恢复的情况。 在Flink作业进行动态扩缩时后台作业需要停止继而从savepoint恢复，因此未恢复成功前，作业无法处理数据。 因扩缩容过程中需要触发savepoint，因此必须配置obs桶，并保存日志，同时请注意开启checkpoint。 扩缩容检测周期不要设置过小，避免频繁启停作业。 扩缩容作业恢复过程中的时间长短受savepoint的大小影响，若保存点较大，可能恢复时间较慢。 若需要调整动态扩缩容的配置项，则需要停止作业进行编辑，并提交运行才能生效。 操作步骤 Flink作业动态扩缩容适用于Flink Opensource SQL作业和Flink Jar作业。 1.登录DLI管理控制台。 2.单击“作业管理 > Flink作业”。 3.选择要开启动态扩缩容的作业，单击操作列下的编辑。 −Flink Opensource SQL作业单击“自定义配置”，配置动态扩缩容参数。 −Flink Jar作业单击“优化参数”框，配置动态扩缩容参数。 动态扩缩容参数说明 名称 默认值 描述 flink.dli.job.scale.enable false 该配置表示是否开启动态扩缩的功能，即是否允许根据作业的负载调整作业的使用资源量和是否允许DLI根据作业优先级调整作业的使用资源量。 当前配置为false时，表示不允许。 当前配置为true时，表示允许。 默认值为false。 flink.dli.job.scale.interval 30 该配置表示检测当前作业是否需要动态扩缩的时间周期，其单位为分钟，默认值为30。例如30表示每隔30分钟进行一次检测，判断是否需要对作业使用资源量进行扩缩。 注意：只有当用户开启动态扩缩时，该配置才有意义。 flink.dli.job.cu.max 用户CU初始值 该配置表示当前作业在进行动态扩缩时允许使用的最大CU数，若用户未配置则默认值为该作业的初始总CU数。 注意：该配置值不能小于用户配置的总CU数，且只有当用户开启动态扩缩时，该配置才有意义。 flink.dli.job.cu.min 2 该配置表示当前作业在进行动态扩缩时允许使用的最小CU数，其默认值为2。 注意：该配置值不能大于用户配置的总CU数，且只有当用户开启动态扩缩时，该配置才有意义。

若需配置钉钉群接收告警，或在联系人模块中添加钉钉机器人，需先在目标钉钉群内获取自定义机器人的 Webhook 地址。本文将详细介绍获取该地址的具体操作流程。 前提条件 已在钉钉中创建需要接受告警的钉钉群。 操作步骤 1. 进入PC版钉钉，打开所需要添加报警机器人的钉钉群，并单击右上角的群设置图标。 2. 在群设置 面板中点击机器人添加机器人。 3. 选择添加自定义。 4. 在机器人详情 对话框单击添加。 5. 在添加机器人对话框中执行以下操作。 1. 设置机器人头像和名字。 2. 安全设置 选中自定义关键词，可设置关键词为告警。 3. 选中我已阅读并同意《自定义机器人服务及免责条款》。 4. 单击完成。 6. 完成后即可复制机器人webhook地址。 相关文档 获取到自定义机器人Webhook地址之后，您可以参考【钉钉机器人】，创建接收告警的钉群对象。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f7awxekgvls/face/compare/PERSON/person/compareFromBase64。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f3rrma38pvk/FileIdentity2/api/v1/textpolitic.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“个人中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

群发助手是为用户提供的批量发送短信的辅助工具，无需进行代码开发，即可使用天翼云云通信控制台的群发助手发送消息，支持发送所有类型的短信模板。 前提条件 完成天翼云账号注册和实名认证。 开通短信服务。具体操作，请参见短信服务。 添加签名和短信模板并通过审核。具体操作，请参见添加签名和添加模板。 操作流程 1. 登录短信服务控制台。 2. 选择群发助手页签，单击添加任务，根据页面提示，填写相关任务信息。 3. 单击提交群发任务。预计十分钟处理完成。 配置信息及说明参照下表： 名称 说明 短信签名 选择短信发送任务的短信签名。 短信模板 根据需要选择相应模板类型和指定模板。 备注：使用群发助手发送验证码会存在一定的时间延迟，不适用于注册，登录等场景。 定时发送 可以根据需要设置短信发送的日期和时间。推荐设置每日8:0021:00的发送任务，尽量避免夜间发送，减少用户投诉。 接收号码 接收号码支持导入号码文件和手动输入接收号码的两种方式，可以选择任意一种方式设置接收号码，支持所有短信模板发送。 导入接收号码文件：单击下载标准模板，根据模板示例填写接收号码和对应变量参数；填写完成后，导入接收号码文件。 手动输入接收号码：参照控制台提示，请添加目标手机号（格式：手机号，参数1，参数2） 注意 ： 单次群发任务最多支持上传2万条号码，请上传csv格式文件，大小在30MB以内。 请根据模板要求填入客户手机号码和变量参数内容，下载标准模板进行发送。 企业认证用户变量内容长度限制为40个字。 手动输入最多支持1000个手机号码。

本文解释平台用量查询的流量与日志统计的流量差异产生的原因。 CDN控制台上可查询带宽流量等统计数据，该数据同时也应用于生成计费账单，其流量会比基于访问日志统计的流量偏多。 原因是CDN日志中记录的流量数据是基于应用层日志中响应消息头+响应body体统计出的流量，而在实际网络请求中产生的网络流量，由于存在TCP/IP包头消耗和TCP重传，要比应用层统计到的流量数据高出7%~15%。因此按照业界标准，应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。 TCP/IP包头的消耗： HTTP请求是基于TCP/IP协议的，数据包是TCP/IP协议通信传输中的数据单位，我们在使用基于TCP/IP协议的网络时，网络中传递的其实就是数据包。每个数据包的大小最大是1500字节，这1500字节中包括了TCP和IP协议组成的40个字节的包头，这两个协议包头其实也会产生流量，但是却无法被应用层统计到，因此这40个字节的流量就不会被统计到日志里，这部分的流量会占到我们通过日志计算出流量的2.74%（40/1460）以上，即3%左右。 TCP重传： 根据互联网中网络的负载情况，通常情况下，会有接近3%~10%的数据包会因为网络堵塞、设备故障等各种异常情况被丢弃。发生丢包后，服务器会对丢弃的数据包进行重传，这部分的具体操作是由内核层的协议栈处理完成的，通常无法被应用层统计到的，因此在一定程度上也会造成日志统计与实际网络响应流量的差异。 综上所述，天翼云CDN加速产品取平均值10%作为网络层额外消耗的流量比例，即应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2z0yhhrzgv0g/tts/predict。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

本文为您介绍Web应用防火墙（原生版）的应用场景。 场景一： 网站应用防数据泄露 恶意访问者通过SQL注入，网页木马等攻击手段，入侵网站数据库，窃取业务数据或其他敏感信息。 方案优势 精准识别恶意流量，全面防护SQL注入、XSS、Webshell上传、目录遍历、后门隔离等各类常见Web攻击。 根据会话特征有效识别恶意爬虫，防止数据泄露。 目标用户 互联网 + 企业Web服务、电商O2O站点、金融政务网站 场景示意图 场景二：CC攻击防护 网站被发起大量的恶意CC请求，长时间占用核心资源，导致网站业务响应缓慢或无法正常提供服务。 方案优势 可根据IP或者会话Session设置灵活的限速策略，精准识别CC攻击，保障业务稳定运行。 用户可根据业务需要，自主控制访问频率，并配置期望的处置动作，满足业务定制化需要。 场景示意图 场景三：0Day漏洞修复 第三方框架或插件爆发0Day漏洞时，需要通过下发虚拟补丁，第一时间防护由漏洞引发的攻击。

您可以随时手动续订包年包月的DDoS高防（边缘云版）服务，本文介绍手动续订操作方式。 续订规则 用户随时可以手动续订包月包年且未退订、未释放的资源，延长相关资源的使用时间。 手动续订方式 官网控制中心产品视图中找到需要续订的产品，点击“手动续订”，根据使用需要调整续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣。 手动批量续订 用户可以一次性手动续订多个包月包年且未退订、未释放资源，最多一次性续订50个资源。 批量续订方式：进入控制中心费用中心续订管理页面，通过筛选资源到期时间、筛选产品类型等，找到并勾选所需续订的多个资源，点击“批量续订”。 下单前如需确认资源详情，可点击右侧的下拉键查看资源ID、配置等。 批量续订的多个资源续订周期相同，如需对不同资源续订不同周期，需要分别下不同的续订订单。

本文介绍脱敏算法的相关功能，包括新增脱敏算法、查看脱敏算法列表、编辑/查看脱敏算法、删除脱敏算法和类似创建脱敏算法，并介绍系统内置脱敏算法。 前提条件 用户需要具有进入敏感数据保护页面的菜单权限，菜单权限参考权限说明。 敏感数据保护为企业版功能，请切换到DMS企业版后使用该功能，切换步骤及实例注意事项详见版本说明。 当前仅支持MySQL、PostgreSQL、SQL Server、DRDS数据库。 操作步骤 1. 登录数据管理服务DMS系统。 2. 在左侧菜单栏依次点击数据资产 > 敏感数据保护。 3. 在敏感数据保护页面中，选择脱敏算法页签。 注意事项 组织版本由基础版切换为企业版时，需要超级管理员补充托管的账密。 功能介绍 新增脱敏算法 除系统内置脱敏算法外，用户可以自定义脱敏算法，并应用到敏感列上。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产 > 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择脱敏算法页签，进入脱敏算法页面。 4. 在脱敏算法页面，点击左上角的新增算法按钮，弹出新增算法侧边栏。 5. 在新增算法侧边栏中，可以配置算法名称、数据库类型、一级分类、二级分类、算法描述、原始数据，配置完成后点击确定按钮即可提交算法。 6. 具体配置说明如下表： 配置名 配置项 配置说明 算法名称 / 具有唯一性，不能与组织内已有算法名称重复 数据库类型 / 脱敏算法只能应用于对应数据库类型的敏感列，不支持编辑脱敏算法的数据库类型 一级分类 哈希 包含MD5二级分类 一级分类 变换 包含数字去精度、日期取整二级分类 一级分类 掩码 包含保留前x后y、保留前x至y、遮盖前x后y、遮盖前x至y、特殊字符前遮盖、特殊字符后遮盖二级分类 二级分类 MD5 需要配置盐值，可以将字符串值脱敏为其MD5值 二级分类 数字去精度 需要配置保留小数点位数，可以将小数值脱敏为保留至指定位数 二级分类 日期取整 需要配置取整单位，包括年、月、日、时、分、秒，可以将日期值脱敏为保留至指定时间单位 二级分类 保留前x后y 需要配置前、后的保留位数以及遮盖符，保留位数必须大于0，遮盖符包括&、

若需配置钉钉群接收告警，或在联系人模块中添加钉钉机器人，需先在目标钉钉群内获取自定义机器人的 Webhook 地址。本文将详细介绍获取该地址的具体操作流程。 前提条件 已在钉钉中创建需要接受告警的钉钉群。 操作步骤 1. 进入PC版钉钉，打开您想要添加报警机器人的钉钉群，并单击右上角的群设置图标。 2. 在群设置 面板中点击机器人添加机器人。 3. 在智能群助手 面板单击添加机器人 ，继续单击添加机器人 ，然后选择添加自定义。 4. 在机器人详情 对话框单击添加。 5. 在添加机器人对话框中执行以下操作。 1. 设置机器人头像和名字。 2. 安全设置 选中自定义关键词，设置关键词为告警。 3. 选中我已阅读并同意《自定义机器人服务及免责条款》。 4. 单击完成。 6. 复制生成的机器人Webhook地址，然后单击完成 。 相关文档 获取到自定义机器人Webhook地址之后，您可以参考【钉钉机器人】，创建接收告警的钉群对象。

术语与缩略语 描述 ALUA Asymmetric Logical Unit Access，非对称逻辑单元访问。 CHAP Challenge Handshake Authentication Protocol，质询握手认证协议。 DSM Device Specific Module，设备特定模块。 EndPoint OOS的域名地址。 IQN iSCSI Qualified Name，iSCSI限定名。 iSCSI Internet Small Computer System Interface，互联网小型计算机系统接口。 I/O Input/Output，输入/输出。 LUN Logical Unit Number，逻辑单元号。 MPIO MultiPath I/O，多路径IO管理。 NFS Network File System，网络文件系统。 NTP Network Time Protocol，网络时间协议。 OOS ObjectOriented Storage，天翼云对象存储（经典版）I型。是天翼云为客户提供的一种海量、弹性、廉价、高可用的存储服务。 OOS Bucket OOS提供的存储Object的容器。OOS系统的每个Object都必须包含在一个Bucket中。 RAID Redundant Arrays of Independent Disks，独立磁盘冗余阵列。 SAN Storage Area Network，存储区域网络。 SPC SCSI（Small Computer System Interface，小型计算机系统接口） Primary Commands，SCSI基础命令。 SSD Solid State Disk，固态硬盘。 SSL Secure Sockets Layer，安全套接字协议。

本节主要介绍卸载HBlock命令。 ./stor uninstall [ l dellocal ] [ c delcloud ] 此命令用来卸载HBlock。 注意 对于集群版，使用此命令，会卸载集群中所有服务器上的HBlock。 参数 参数 描述 :: l 或 dellocal 卸载HBlock，并删除本地HBlock数据。 c 或 delcloud 卸载HBlock，并删除云上HBlock数据。 说明 卸载HBlock时，如果选择删除云上HBlock数据，卸载过程可能因各种原因（如网络问题、权限问题等）而无法成功完成。在这种情况下，用户可以选择不删除云上数据，先进行HBlock卸载操作。卸载成功后，用户再登录到云服务，手动删除HBlock数据。 示例 卸载HBlock。 [root@hblockserver CTYUNHBlockPlus3.7.0x64] ./stor uninstall All servers will be uninstalled. The data on the local or in the cloud will not be deleted by default. If you want to delete, please use the l or c option. The deleted data cannot be recovered, please exercise caution. Are you sure you want to uninstall HBlock? [Yes/No] [0] y Start uninstalling HBlock, please wait. Processing... Uninstalled successfully.

本文主要介绍了计费类常见问题。 DRDS支持哪些计费方式？ DRDS支持两种计费模式：按需计费和包年/包月计费。具体可参考计费说明​>计费模式。 DRDS的按需计费是怎样计费？ DRDS的按需计费，用户需提前充值现金到天翼云账户中，现金账户余额不低于100元。之后系统按照用户实际使用量进行结算，费用从用户账户现金余额中扣费。 DRDS实例以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。开通时间建议整点开通，提前删除也按照自然小时收费。 DRDS的计费项有哪些？ DRDS的计费项由实例规格组成，包含CPU、内存。DRDS的计费价格可参见计费说明​>产品价格。 由于DRDS本身不存储数据，所以需要单独购买MySQL用于存储实际数据。MySQL的计费参见关系数据库MySQL版​>计费说明。

本节主要介绍关系数据库PostgreSQL版内核版本相关问题，包括查看版本号、内核跨大版本升级等。 如何查看RDSPostgreSQL实例的内核版本号 Ⅰ类资源池RDSPostgreSQL实例可以在租户控制台实例管理页面查看数据库引擎属性，获得实例内核版本号。如该实例的版本号为“12.3”，对应PostgreSQL的社区版本为“12.3”。 Ⅱ类资源池RDSPostgreSQL实例可以在租户控制台实例列表页面查看数据库版本属性，获得实例内核版本号，如实例列表RDSPostgreSQL实例中的数据库版本为“12.16P6”，对应的社区版本为“12.16”。 说明 Ⅰ类资源池、Ⅱ类资源池的RDSPostgreSQL，都可以通过连接实例，执行语句：show serverversion，查看数据库版本。 RDSPostgreSQL是否支持内核跨大版本升级 RDSPostgreSQL组件自身不提供大版本升级能力，如您需要使用高阶引擎版本，您可通过创建高版本实例后，使用天翼云DTS产品将低版本实例数据迁移至高版本实例，完成大版本升级，具体您可参考PostgreSQL数据迁移。

本文介绍了修改实例名称功能。 操作场景 当用户根据业务需要需要对实例名称进行修改时，可在RDSPostgreSQL界面中调整。 操作步骤 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“华东1”。 3. 点击控制中心，进入控制中心后，选择目标资源池。 4. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 5. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 6. 在【实例管理】的实例列表中选择目标实例，点击指定的实例，进入单个实例管理详情页。 7. 在实例名称属性右侧，点击【修改】按钮，在弹出框中输入修改后的实例名称，点击确定，即可完成修改实例名称操作，如图所示。 约束限制及注意事项 仅Ⅱ类资源池支持修改实例名称。 修改后的实例名称不能与原实例名称相同。 实例名称校验规则：长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。

本节介绍云智助手的企业品牌设置功能。 功能说明 天翼AI云电脑——云智助手，提供支持企业品牌logo自定义设置功能，打造属于自己专属的AI应用中心，提升品牌辨识度。 使用说明 【操作步骤】 1.使用管理员身份的AI云电脑用户账号登录AI云电脑，打开“云智助手”，点击右上角个人头像，点击“设置”； 说明：如无管理员账号，请前往天翼AI云电脑（政企版）控制台进行绑定或创建管理员子账号，操作说明详见管理员账号。 2.在设置页面，点击“品牌设置”，选择需要设置的企业名称，并开启设置（关闭则恢复默认）； 3.提供支持“仅图片”和“图片和企业名称”两种自定义方式，按照图片格式和大小要求上传即可； 5.企业管理员设置成功后，普通用户打开“云智助手”，即可看到右上角AI应用中心的logo已更新为企业专属logo。

混合云一体机推理基础版聚焦政务、教育、卫健、中小企业等行业，满足客户以私有化一体机部署大模型推理的需求。 型号 支持的模型 配置 海光2U1卡型 DeepSeekR1DistillQwen14B及以下 CPU：2海光3/4(32C,≥2.2GHz) 内存：1024GB(1664GB) 系统盘：2480GB SATA SSD 缓存盘：23.2TB NVMe SSD GPU卡：1海光DCU K100AI(64GB) 海光2U2卡型 DeepSeekR1DistillQwen32B及以下 CPU：2海光3/4(32C,≥2.2GHz) 内存：1024GB(1664GB) 系统盘：2480GB SATA SSD 缓存盘：23.2TB NVMe SSD GPU卡：2海光DCU K100AI(64GB) 海光4U4卡型 DeepSeekR1DistillLlama70B及以下 CPU：2海光3/4(32C,≥2.2GHz) 内存：1024GB(1664GB) 系统盘：2480GB SATA SSD 缓存盘：23.2TB NVMe SSD GPU卡：4海光DCU K100AI (64GB) 海光4U8卡型 DeepSeekR1DistillLlama70B及以下 CPU：2海光3/4(32C,≥2.2GHz) 内存：1024GB(1664GB) 系统盘：2480GB SATA SSD 缓存盘：23.2TB NVMe SSD GPU卡：8海光DCU K100AI (64GB)

本节主要介绍怎么通过专线联通OOS和云存储网关服务。 应用场景 云存储网关将用户将本地数据轻松上传到天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS）中，实现存储空间的弹性扩展。云存储网关作为本地与云端存储之间的桥梁，通过标准 iSCSI 协议（Internet小型计算机系统接口）提供块存储服务，帮助用户将全量数据自动同步到OOS中。 如果将云存储网关部署在和OOS专线联通的服务器上，可以提高数据的读写速度，同时不必支付从OOS读取数据时产生的下行流量费用，为用户节省成本。 前提条件 已经开通专线、OOS服务，已经安装云存储网关。 具体操作 可以按照下列操作步骤进行部署： 1. 查看云存储网关所在服务器和OOS进行专线连接时，分配给OOS的IP地址。 2. 配置云存储网关所在服务器/etc/hosts，将OOS的域名指向到该IP地址。以对象存储网络为例： vim /etc/hosts 192.x.x.x ooscn.ctyunapi.cn 3. 在创建卷的时候，使用该OOS域名作为Endpint地址，即可确保云存储网关所在服务器和OOS通过专线互联。