本文主要介绍 创建SASLSSL用户。 分布式消息服务Kafka支持对Topic进行ACL（Access Control List）权限管理，您可以在Topic中为不同的SASLSSL用户设置不同的权限，以达到SASLSSL用户之间的权限隔离。 本章节主要介绍Kafka实例开启SASLSSL后，如何创建SASLSSL用户。创建用户后，对Topic进行SASLSSL用户授权的操作，请参见设置Topic权限。 一个Kafka实例最多创建20个用户。 前提条件 创建Kafka实例时，已开启SASLSSL功能。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例名称，进入实例详情页面。 步骤 5 在“用户管理”页签，单击“创建用户”。 步骤 6 在弹出的“创建用户”对话框中，设置用户名和密码，单击“确定”，完成用户的创建。 SASLSSL用户创建成功后，参考设置Topic权限为SASLSSL用户授权。

参数 参数值示例 描述 security.ssl.rest.enabled true 打开外部SSL开关。 security.ssl.rest.keystore ${path}/flink.keystore keystore的存放路径。 security.ssl.rest.keystorepassword 123456 keystore的password，“123456”表示需要用户输入自定义设置的密码值。 security.ssl.rest.keypassword 123456 ssl key的password，“123456”表示需要用户输入自定义设置的密码值。 security.ssl.rest.truststore ${path}/flink.truststore truststore存放路径。 security.ssl.rest.truststorepassword 123456 truststore的password，“123456”表示需要用户输入自定义设置的密码值。

本文向您介绍如何修改企业版VPN网关策略模板。 场景描述 若VPN网关规格为“专业型1非固定IP”或“专业型2非固定IP”，您可以在VPN网关页面修改策略模板。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面，选择目标VPN网关所在行，单击操作列“查看/修改策略模板”，在“策略模板”页签下单击“修改策略模板”进行修改。 说明 修改策略模板后，以非固定IP接入的对端网关需要更新对应配置重新接入，否则会导致连接中断。 表策略模板参数说明 参数 说明 是否支持修改 IKE策略 版本 IKE密钥交换协议版本，支持的版本：v2。 × IKE策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IKE策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IKE策略 DH算法 支持的算法： Group 14（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 默认配置为：Group 15。 √ IKE策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：60~604800 默认配置为：86400。 √ IKE策略 本端标识 IPsec连接协商时，VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致，否则协商失败。 默认配置为：VPN网关的EIP。 × IPsec策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IPsec策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IPsec策略 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 默认配置为：DH group 15。 √ IPsec策略 传输协议 IPsec传输和封装用户数据时使用的安全协议。 目前支持的协议：ESP。 × IPsec策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800 默认配置：3600。 √ 4. 单击“确定”完成修改。

本页介绍了SSL证书使用常见问题。 SSL证书最长有效期是几年？可以签多年么？ 按照CA行业内标准要求SSL证书的最大有效期不能大于13个月，为了满足用户的需求以及省去不少商务流转环节，我们现推出多年的证书服务，可以咨询商务了解更多详情。 购买的是多域名证书，为什么访问时会出现“此网站出具的安全证书是为其他网站地址颁发的”的错误？ 多域名证书是用过SNI技术实现的，如果您的服务端或用户的客户端不支持SNI技术，就可能会出现改错误。 如果服务器换了IP地址，原来的SSL证书还能用吗？ SSL证书都是绑定域名的，服务器更换IP地址没有任何关系，只要域名不变，更换IP之后，只需将域名重新解析到新的IP地址即可,原来的SSL证书当然照样可以用。但如果SSL证书是为IP地址申请的，则服务器换了IP地址，原来的SSL证书就不能用了。 能申请EV的通配符证书吗？ 不行，根据规范要求不允许签发EV通配符的证书产品。

数据库类型 数据库OS 数据库版本 加密方式 加密套件 DBAudit Oracle Linux 11.2.0.4 12.1.0.2 高级安全（Oracle Advanced Security） AES256 支持 Oracle Linux 11.2.0.4 12.1.0.2 SSL SSL RSA WITH AES 256 CBC SHA 支持 Oracle Linux 11.2.0.4 12.1.0.2 SSL SSL RSA WITH ЗDES EDE CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 高级安全（Oracle Advanced Security） AES256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL SSL RSA WITH AES 256 CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 256 CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 256 CBC SHA256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 128 CBC SHA256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 128 CBC SHA 支持

设备权限 功能及服务 权限授权方式 查看网络状态 用于隧道建立 及 网络传输 用户授权 查看wifi网络状态信息 用于网络状态变化的 vpn隧道处理 用户授权 区分移动网络或wifi网络 用于网络状态变化的 vpn隧道处理 用户授权 绑定VPN服务 VPN 隧道建立 用户授权

本文向您介绍企业版VPN中VPN感兴趣流类常见问题。 本地设备配置VPN时需要设置ACL，为何在控制台上找不到对应的配置？ VPN连接的“连接模式”选择“策略模式”时，才需要在控制台上配置策略规则ACL。 如何配置和修改云上VPN的感兴趣流？ 感兴趣流由本端子网与远端子网fullmesh生成，例如本端子网有2个，分别为A与B，远端子网有3个，分别为C、D和E，生成感兴趣流ACL的rule如下： plaintext rule 1 permit ip source A destination C rule 2 permit ip source A destination D rule 3 permit ip source A destination E rule 4 permit ip source B destination C rule 5 permit ip source B destination D rule 6 permit ip source B destination E 在管理控制台界面修改本端子网和对端子网会自动更新感兴趣流信息，即修改了云上的ACL配置。

请求示例 请求url /v4.1/monitor/describealarmrule?regionID81f7728662dd11ec810800155d307d5b&alarmRuleID3dbd23b274e253f8869c6fe6b07b9dba 请求头header 无 请求体body json 响应示例 json { "statusCode": 800, "returnObj": { "alarmRule": { "alarmRuleID": "35809ee8223c538e898190943405e866", "alarmStatus": "1", "alarmType": "series", "condition": [ { "evaluationCount": 1, "fun": "last", "metric": "vpngwinbps", "metricCnName": "VPN网关入方向流量速率", "operator": "ge", "period": "", "unit": "bps", "value": "0" } ], "conditionType": 1, "contactGroupList": [ { "groupID": "fe7f0cdc469255168d3ab06355482090", "name": "告警组" } ], "createTime": 1718594934, "desc": "告警规则描述", "dimension": "ipsecvpngwstats", "dimensions": [ ], "name": "告警规则名称", "notifyEnd": "23:59:59", "notifyStart": "00:00:00", "notifyType": [ "email" ], "notifyWeekdays": [ 0, 1, 2, 3, 4, 5, 6 ], "project": "console", "projectID": "0", "recoverNotify": 0, "regionID": "81f7728662dd11ec810800155d307d5b", "repeatTimes": 0, "resGroupID": "", "resources": [ { "resource": [ { "name": "vpngatewayid", "value": "614aa3b0b2324eb68b5a5be0345e8108" }, { "name": "instancename", "value": "vpngatewaya019" } ] } ], "service": "ipsecvpn", "silenceTime": 300, "status": 0, "updateTime": 1718594934, "webhookUrl": [ ] } }, "errorCode": "", "message": "Success", "msgDesc": "成功" }

请求示例 请求url /v4.1/monitor/queryalarmrules?regionID81f7728662dd11ec810800155d307d5b&alarmStatus2&page1&pageSize1 请求头header 无 请求体body json 响应示例 json { "statusCode": 800, "returnObj": { "alarmRules": [ { "alarmRuleID": "35809ee8223c538e898190943405e866", "alarmStatus": "1", "alarmType": "series", "condition": [ { "evaluationCount": 1, "fun": "last", "metric": "vpngwinbps", "metricCnName": "VPN网关入方向流量速率", "operator": "ge", "period": "", "unit": "bps", "value": "0" } ], "conditionType": 1, "contactGroupList": [ { "groupID": "fe7f0cdc469255168d3ab06355482090", "name": "告警组" } ], "createTime": 1718594934, "desc": "告警规则描述", "dimension": "ipsecvpngwstats", "dimensions": [ ], "name": "告警规则名称", "notifyEnd": "23:59:59", "notifyStart": "00:00:00", "notifyType": [ "email" ], "notifyWeekdays": [ 0, 1, 2, 3, 4, 5, 6 ], "project": "console", "projectID": "0", "recoverNotify": 0, "regionID": "81f7728662dd11ec810800155d307d5b", "repeatTimes": 0, "resGroupID": "", "resources": [ { "resource": [ { "name": "vpngatewayid", "value": "614aa3b0b2324eb68b5a5be0345e8108" }, { "name": "instancename", "value": "vpngatewaya019" } ] } ], "service": "ipsecvpn", "silenceTime": 300, "status": 0, "updateTime": 1718594934, "webhookUrl": [ ] } ] }, "errorCode": "", "message": "Success", "msgDesc": "成功" }

本文为您介绍飞塔防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK ctForti IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录飞塔防火墙命令行。 2. 添加IPsec VPN第一阶段的IKE配置。 config vpn ipsec phase1interface edit "Fotrictyun" set interface "wan" set peertype any set netdevice disable set proposal aes128sha1 set dpd onidle set dhgrp 5 set keylife 86400 set remotegw 121...152 set psksecret ctForti next end 3. 添加IPsec VPN第二阶段的IPsec配置。 config vpn ipsec phase2interface edit "Fotrictyun" set phase1name "Fotrictyun" set proposal aes128sha1 set dhgrp 5 set keylifeseconds 3600 set autonegotiate enable set srcsubnet 192.168.0.0 255.255.255.0 set dstsubnet 192.168.3.0 255.255.255.0 next end 4. 配置防火墙策略。 config firewall address edit "Local192.168.0.0/24" set subnet 192.168.0.0 255.255.255.0 next edit "Remote192.168.3.0/24" set subnet 192.168.3.0 255.255.255.0 next edit "ctyunVPNGateway" set subnet 121...152 255.255.255.255 next end config firewall policy edit 4 set srcintf "lan" set dstintf "toctyun" set action accept set srcaddr "Local192.168.0.0/24" set dstaddr "Remote192.168.3.0/24" set schedule "always" set service "ALL" next edit 5 set srcintf "toctyun" set dstintf "lan" set action accept set srcaddr "Remote192.168.3.0/24" set dstaddr "Local192.168.0.0/24" set schedule "always" set service "ALL" next end 5. 配置访问VPC的静态路由。 config router static edit 3 set dst 192.168.3.0 255.255.255.0 set device "toctyun" next edit 4 set dst 192.168.3.0 255.255.255.0 set distance 254 set blackhole enable next end 6. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本文主要介绍重置SASLSSL密码。 操作场景 在“用户管理”页签创建的SASLSSL用户，如果忘记了SASLSSL密码，通过重置SASLSSL密码功能，重新设置一个新的密码，可使用新密码连接Kafka实例。 如果忘记了创建实例时设置的SASLSSL密码，请参考重置Kafka密码，重置密码。 说明 仅开启Kafka SASLSSL认证的Kafka实例才可以重置SASLSSL密码。 只有处于“运行中”状态的Kafka实例支持重置SASLSSL密码。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击待重置SASLSSL密码的Kafka实例名称，进入实例详情页面。 步骤 5 在“用户管理”页签，在待重置SASLSSL密码的用户所在行，单击“重置密码”。 步骤 6 输入“新密码”，单击“确定”，完成密码重置。 如果重置密码成功，界面提示重置实例的密码成功。 如果重置密码失败，界面提示重置实例的密码失败，请重新尝试重置密码操作。如果多次重置失败，请联系客服处理。 说明 只有所有代理都重置密码成功，系统才会提示重置密码成功，否则会提示重置失败。

云防火墙中的IPsec VPN是什么？ IPSec VPN吞吐量是指防火墙在执行IPSec加解密处理时，单位时间内能够转发的最大数据量，由于VPN流量需要经过加密封装、完整性校验、隧道封装等一系列处理，相比普通防火墙转发会消耗更多的计算资源，因此IPSec VPN吞吐量通常低于防火墙的明文转发吞吐量。在极端场景下，由于所有流量可能被哈希到同一队列，实际吞吐量可能降至标称值的30%～50%左右。随着VPN隧道数量增加、会话多样性提升，流量在多队列间的分布会逐步趋于均衡，实际性能也随之接近标称值。

高安全性 起源于金融系统，分布式消息服务RabbitMQ主要支持权限控制和SSL协议实现高安全性。 支持权限控制 用户（User）：在RabbitMQ中，用户用于标识连接RabbitMQ的客户端。每个用户都分配了一个用户名和密码。 虚拟主机（Virtual Host）：虚拟主机是RabbitMQ中的逻辑隔离单位，用于将不同的应用程序或服务隔离开。每个虚拟主机都有一个名称，并且可以有不同的权限设置。 权限（Permission）：权限定义了对RabbitMQ资源的操作权限。这些资源可以是交换机、队列、绑定等。权限包括读写、发布、接收等操作。 角色（Role）：角色是一组权限的集合。通过为用户分配角色，可以简化权限管理。 支持SSL协议 SSL协议：SSL（Secure Sockets Layer）是一种用于安全传输数据的协议，其目标是通过使用加密技术来保护网络通信的安全性。 RabbitMQ的SSL支持：RabbitMQ可以配置为使用SSL协议来保护数据传输。它支持使用自签名证书或由受信任的证书颁发机构（CA）签名的证书。 配置SSL证书：要在RabbitMQ中启用SSL协议，需要为服务器和客户端生成SSL证书。可以使用openssl工具生成自签名证书或请求一个CA签名的证书。 RabbitMQ服务器配置：在RabbitMQ服务器上，需要在配置文件中指定SSL相关的参数，如证书路径、私钥路径、密码等。还可以配置是否要求客户端验证证书以及是否启用TLS版本的选择。 客户端配置：在连接RabbitMQ服务器之前，客户端也需要配置SSL相关的参数，包括证书路径、私钥路径、密码等。客户端还可以配置是否验证服务器的证书。 客户端连接：一旦RabbitMQ服务器和客户端都配置好了SSL相关的参数，客户端可以使用SSL连接RabbitMQ服务器。客户端通过指定SSL选项来建立SSL连接。 数据传输加密：通过SSL协议建立的连接可以保证数据传输的安全性。所有通过SSL连接发送和接收的数据都将通过加密算法进行加密和解密，以防止中间人攻击和数据泄漏。

方案 适用的IKE版本 方案说明 方案优势或限制 配置示例 方案一（推荐） IKEv1/IKEv2 本地数据中心和VPC之间建议使用一个IPsec VPN连接进行通信，天翼云侧IPsec连接使用“目的路由”的路由模式，用户侧的网关设备配置源网段为0.0.0.0/0、目的网段为0.0.0.0/0的感兴趣流，然后通过在VPN网关和本地数据中心配置静态路由控制流量转发。 方案优势：后续如果新增或删除待互通的网段，仅需调整路由的配置，无须修改IPsec VPN连接的配置。在您新增或删除待互通的网段时，IPsec VPN连接不会中断，对其余路由的流量也不会产生影响。 方案一配置实例 方案二（次选） IKEv1/ IKEv2 本地数据中心和VPC之间建议使用一个IPsec VPN连接进行通信，将本地数据中心侧和VPC侧待互通的网段分别聚合为1个网段，然后为IPsec连接和对端网关设备配置聚合网段。 方案限制：后续如果新增或删除网段，您可能需要重新指定聚合网段，然后重新对天翼云侧及其用户侧网关设备进行配置，此操作会导致IPsec VPN连接重新协商，造成短暂的流量中断。 方案二配置实例 方案三 IKEv1/ IKEv2 本地数据中心和VPC之间建议使用一个IPsec VPN连接进行通信，IPsec连接及其对端网关设备下配置多个本端网段或对端网段实现多网段互通。 方案限制：后续如果有新增或删除的网段，您需要重新为IPsec连接及其对端网关设备配置感兴趣流网段，此操作会导致IPsec VPN连接重新协商，造成短暂的流量中断。一个IPsec连接支持添加的本端网段的数量最多为5个、支持添加的对端网段的数量最多也是5个。 方案三配置实例

本章节主要介绍翼MapReduce组件Kafka支持的协议类型。 Kafka目前支持4种协议类型的访问：PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL。 PLAINTEXT是最简单的协议，它以明文形式传输数据，不提供任何加密或身份验证机制。 SSL（Secure Sockets Layer） 是一种安全的协议，用于在客户端和服务器之间加密通信。通过使用 SSL，可以确保数据在传输过程中是加密的，从而提高了安全性。SSL协议通常需要在Kafka服务器上配置SSL证书以进行安全通信。 SASLPLAINTEXT （Simple Authentication and Security Layer with Plain Text）使用简单身份验证机制，通常用于在不使用加密的情况下进行用户身份验证，但是用户名和密码以明文形式传输。 SASLSSL （Simple Authentication and Security Layer with SSL）结合了 SSL 和 SASL，提供了更强大的安全性。它通过 SSL 加密通信，并使用 SASL 进行身份验证。这是Kafka中最安全的选项之一，适用于在不同网络环境中进行安全通信。 在Kafka中，选择适当的协议取决于集群的安全需求和网络环境。

本文档指导您如何在Nginx服务器上安装SSL证书。 前提条件 已在当前服务器中安装配置 Nginx 服务。 已购买证书并且已获取到证书相关文件。 安装前准备文件 在证书管理服务控制台的证书管理页选择您需要安装的证书，选择“证书下载”。 在弹出的 “证书下载” 窗口中，服务器类型选择 Nginx，单击“下载”并解压缩包至本地，文件内包含下述2个文件： Cert证书公钥：XXXX.cncertchain.pem 私钥文件：XXXX.cnkey.key 操作步骤 1. 将已获取到的“XXXX.cncertchain.pem”证书文件和“XXXX.cnkey.key”私钥文件从本地目录复制到服务器的Nginx目录下。 2. 编辑 nginx.exe 所在目录下的 confnginx.conf 文件。修改内容如下： server { listen 443 ssl; servername qytest.zjrcbank.com; 这里是相当与是域名 sslcertificate /usr/nginxssl/server.crt; 证书文件 sslcertificatekey /usr/nginxssl/key.txt; 私钥文件 sslsessiontimeout 5m; sslprotocols TLSv1 TLSv1.1 TLSv1.2; sslciphers ECDHERSAAES128GCMSHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; sslpreferserverciphers on; location / { // 根据实际配置，和证书启用无关 } } 3. 配置修改完成后，输入如下命令启用Nginx： start .nginx.exe

请求示例 请求url /v4/monitor/queryalerthistoryinfo?issueID65b08a5848091836a6f2afd8 请求头header 无 请求体body 无 响应示例 json { "statusCode":800, "returnObj":[ { "resource":[ { "name":"vpngatewayid", "value":"13f47d3b8e1856dba8d775be184964f5" } ], "infoID":"65b08a5848091836a6f2afd9", "service":"ipsecvpn", "dimension":"ipsecvpngwstats", "condition":{ "metric":"vpngwinbps", "metricCnName":"VPN网关入方向流量速率", "period":"5m", "fun":"avg", "operator":"eq", "threshold":"0", "unit":"" }, "createTime":1706068568, "updateTime":1706079352, "value":0, "status":0, "alarmType": "series", "count":0 } ], "errorCode":"", "message":"Success", "msgDesc":"成功" } 状态码 状态码 描述 200 请求成功 错误码 errorCode 描述 其他 参见公共错误码说明

本文主要介绍消息队列 Kafka 通过SSL接入的最佳实践，从而帮助您更好的使用该产品。 文中的最佳实践基于消息队列 Kafka 的 Java 客户端；对于其它语言的客户端，其基本概念与思想是通用的，但实现细节可能有差异，仅供参考。 背景 云消息队列 Kafka 版实例如果选择SASLSSL接入时，可能会出现性能较差的情况。可以通过在客户端指定密码套件的方式，手动选择性能和安全性都较高的套件进行TLS通讯。 SSL握手时客户端发送Hello Client 并带上客户端支持的密码套件，服务端收到握手请求后，获取客户端带来的密码套件和服务端支持的密码套件取交集。密码套件加载顺序受客户端jdk版本影响，不同jdk版本，密码套件顺序不一样，可能会导致性能和安全性等无法保证。因此为了保证性能，SSL连接时客户端可以指定密码套件。 推荐的性能和安全性较高的密码套件 TLSECDHERSAWITHAES256GCMSHA384 TLSECDHERSAWITHAES128GCMSHA256 步骤 1.先按照SASLSSL协议接入Kafka，SASLSSL接入可参考文档 SASLSSL接入点接入 2.在此基础上增加 ssl.cipher.suites 配置 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLSSL"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"f6eca4dbc78df78d63fba980e448185f";");//注：上面的密码f6eca4dbc78df78d63fba980e448185f，为用户管理里面创建用户时填入的密码进行md5的结果，md5取32位小写 props.put("ssl.truststore.location","/kafka/client.truststore.jks"); props.put("ssl.truststore.password","sJses2tin1@23"); props.put("ssl.endpoint.identification.algorithm",""); props.put("ssl.cipher.suites","TLSECDHERSAWITHAES256GCMSHA384,TLSECDHERSAWITHAES128GCMSHA256");//密码套件支持多个，用半角逗号分开

本文向您介绍如何查看企业版VPN的对端网关。 场景描述 用户创建对端网关后，可以查看已创建的对端网关。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 3. 在“对端网关”界面，查看对端网关列表信息。 4. 单击对端网关名称，查看对端网关详情页面。 基础信息：可查看对端网关的名称、ID、BGP ASN、VPN连接。 CA证书：可查看证书序列号、签名算法、到期时间、颁发者、使用者，可添加或更换CA证书（对端网关为国密型时，需要添加CA证书）。

数据库安全审计操作类常见问题。 如何配置数据库安全审计？ 购买数据库安全审计实例后，您需要将待审计的数据库添加到数据库安全审计实例中，并在数据库端、应用端或代理端安装Agent。当待审计的数据库连接到数据库安全审计实例后，数据库安全审计才能对待审计的数据库进行审计。 数据库安全审计的配置操作流程如下图所示。 如何关闭数据库SSL？ 数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。 以MySQL数据库自带的客户端为例说明，操作步骤如下： 1. 使用MySQL数据库自带的客户端，以root用户登录MySQL数据库。 2. 执行以下命令，查看MySQL数据库连接的方式。 s 如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。 SSL: Not in use 如果界面回显类似以下信息，说明MySQL数据库已开启SSL，请执行步骤3。 SSL: Cipher in use is XXXXXXXXXXXXXXX 3. 以SSL模式登录MySQL数据库。 执行以下命令，退出MySQL数据库。 exit 以root用户重新登录MySQL数据库。 在登录命令后添加以下参数： sslmodeDISABLED 或 ssl0 注意 须知：以SSL模式登录MySQL数据库，只能关闭本次SSL。当需要使用数据库安全审计功能时，请以本步骤登录MySQL数据库。 3. 执行以下命令，查看MySQL数据库连接的方式。如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。 SSL: Not in use 如何设置数据库安全审计的INSERT审计策略？ 在添加风险操作时，您可以添加INSERT审计策略，如下图所示。

本文汇总了云等保专区各原子能力的常见应用场景，并提供详细的方案描述和操作指导。 原子能力名称 版本 最佳实践文档 主机安全 v1.0 主机勒索病毒有效防护 主机安全 v2.0 主机安全防护最佳实践 云上勒索病毒防护实践 弱口令安全最佳实践 漏洞扫描最佳实践 等级保护测评合规最佳实践 二类节点资产纳管最佳实践 Web应用防火墙 v1.0 Web应用防火墙高可用部署方案 Web应用防火墙 v2.0 WAF接入配置最佳实践 防护配置最佳实践 Web基础防护规则引擎配置最佳实践 CC攻击防护最佳实践 下一代防火墙 v1.0 下一代防火墙高可用部署方案 下一代防火墙 v2.0 IPv6切换方案 双向访问控制 SSL VPN远程拨入 堡垒机 v2.0 数据库运维实名审计 收敛资产运维暴露面 资产运维细粒度权限管控 数据库审计 v2.0 审计云上自建数据库 审计云数据库 日志审计 v2.0 程序定位日志采集异常 程序日志定位告警异常

本章节主要介绍整库迁移到RDS服务。 操作场景 本章节介绍使用CDM整库迁移功能，将本地MySQL数据库迁移到云服务RDS中。 当前CDM支持将本地MySQL数据库，整库迁移到RDS上的MySQL、PostgreSQL或者Microsoft SQL Server任意一种数据库中。这里以整库迁移到RDS上的MySQL数据库为例进行介绍，使用流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建RDS连接 4.创建整库迁移作业 前提条件 用户拥有EIP配额。 用户已创建RDS数据库实例，该实例的数据库引擎为MySQL。 本地MySQL数据库可通过公网访问。如果MySQL服务器是在本地数据中心或第三方云上，需要确保MySQL可以通过公网IP访问，或者是已经建立好了企业内部数据中心到云服务平台的VPN通道或专线。 已获取本地MySQL数据库和RDS上MySQL数据库的IP地址、数据库名称、用户名和密码。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群的VPC，选择和RDS的MySQL数据库实例所在的VPC一致，且推荐子网、安全组也与RDS上的MySQL一致。 如果安全控制原因不能使用相同子网和安全组，则可以修改安全组规则，允许CDM访问RDS。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问本地MySQL数据库。 详见下图：集群列表 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

SASLSSL认证 使用SASL及SSL加密认证方式，需要设置SSL及SASL相关参数配置信息，可参考SASLPLAINTEXT认证和SSL认证。 图 SASLSSL

配置项 描述 默认值 ssl.mode.enable 是否开启SSL对应服务。如果设置为“true”，那么Broker启动过程中会启动SSL的相关服务。 false security.inter.broker.protocol Broker间通信协议。支持PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL这四种协议类型。 SASLPLAINTEXT

配置项 含义 默认值 sslcertificate 配置server端的国密签名或加密证书 none sslcertificatekey 配置server端的国密签名或加密证书私钥 none sslprotocols 配置网关作为server端时支持的ssl协议，该配置为nginx原生配置，枚举类型，取值范围：[SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3][GMSSLv1.1] TLSv1 TLSv1.1 TLSv1.2 proxysslprotocols 配置网关作为client端回源时支持的ssl协议，该配置为nginx原生配置，枚举类型，取值范围：[SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3][GMSSLv1.1] TLSv1 TLSv1.1 TLSv1.2

本页介绍了关系数据库MySQL版如何设置SSL数据加密。 关系数据库MySQL版设置SSL数据加密指引如下。 操作场景 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 前提条件 只有数据库状态为运行中的实例才可以执行设置SSL数据加密。 操作步骤 开启SSL加密 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 选择数据安全 二级目录，选择SSL加密页签，点击SSL设置按钮。 若开关关闭，单击图标，在提示框中，单击确定，开启SSL加密。 5. 单击服务器证书右侧的下载证书，下载ca.pem。 6. 将根证书（ca.pem）上传到ECS（弹性云主机）或本地机器。 7. 在ECS或本地机器上执行以下命令连接MySQL实例。 a. mysql h P u p sslca 参数 说明 1.如果在关系数据库MySQL版同资源池同vpc下开通了ECS主机，通过ECS主机连接数据库，则hostName为连接地址。 2.如果在关系数据库MySQL版同个资源池下未开通ECS主机，则需要绑定弹性IP，hostName为目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 b. 使用root用户SSL连接数据库实例，示例如下： mysql h P 13049 u root p sslcaca.pem 8. 出现如下提示时，输入数据库帐号对应的密码： Enter password:

Python示例 安装pymongo。 pip3 install pymongo 无证书连接。 import sys from pymongo import MongoClient uri"mongodb://root:password@ip:port/admin?authSourceadmin" client MongoClient(uri,connectTimeoutMS5000) ret client.admin.command('ping')['ok'] if ret: print('ping successfully!') else: print('ping failed!') sys.exit(1) 使用SSL证书连接。 import sys import ssl from pymongo import MongoClient uri"mongodb://root:password@ip:port/admin?authSourceadmin" client MongoClient(uri,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) ret client.admin.command('ping')['ok'] if ret: print('ping successfully!') else: print('ping failed!') sys.exit(1)

本页介绍了基于python如何连接文档数据库服务。 安装pymongo pip install pymongo 使用SSL证书连接 from pymongo import MongoClient import ssl ​ 指定文档数据库的连接URI uri "mongodb://username:password@hostname:port/databasename?ssltrue&authSourceadmin" ​ 创建SSL上下文 context ssl.createdefaultcontext(cafile"/path/to/ca.pem") context.loadcertchain("/path/to/client.pem", keyfile"/path/to/client.key") ​ 创建客户端 client MongoClient(uri, sslcertfile"/path/to/client.pem", sslkeyfile"/path/to/client.key", sslcacerts"/path/to/ca.pem", sslcertreqsssl.CERTREQUIRED, sslcontextcontext) ​ 获取数据库实例 database client["testdb"] ​ 获取集合实例 collection database["testcollection"] ​ 插入文档 document {"name": "John Doe", "age": 30, "email": "johndoe@example.com"} collection.insertone(document) ​ 查询文档 query {"name": "John Doe"} result collection.findone(query) print(result) ​ 关闭连接 client.close() 无证书连接 from pymongo import MongoClient ​ 指定数据库的连接URI uri "mongodb://username:password@hostname:port/databasename?authSourceadmin" ​ 创建客户端 client MongoClient(uri) ​ 获取数据库实例 database client["testdb"] ​ 获取集合实例 collection database["testcollection"] ​ 插入文档 document {"name": "John Doe", "age": 30, "email": "johndoe@example.com"} collection.insertone(document) ​ 查询文档 query {"name": "John Doe"} result collection.findone(query) print(result) ​ 关闭连接 client.close()

本节介绍客户侧私网网段的新增删除操作。 如果参数变更涉及隧道重建，请先在管理台变更云侧参数，再变更客户侧防火墙配置。以下操作涉及重建隧道。 新增客户侧私网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面，点击“新增客户侧网络”，添加对应网段； 5.确定后，需要在客户侧防火墙上修改隧道配置并重启隧道。 删除客户侧私网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在iVPN实例详情页面中的“客户侧网络”一栏，选择需要删除的网段，点击“移除”； 5.确定后，需要在客户侧防火墙上修改隧道配置并重启隧道。

本节介绍客户侧私网网段的新增删除操作。 如果参数变更涉及隧道重建，请先在管理台变更云侧参数，再变更客户侧防火墙配置。以下操作涉及重建隧道。 新增客户侧私网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面，点击“新增客户侧网络”，添加对应网段； 5.确定后，需要在客户侧防火墙上修改隧道配置并重启隧道。 删除客户侧私网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在iVPN实例详情页面中的“客户侧网络”一栏，选择需要删除的网段，点击“移除”； 5.确定后，需要在客户侧防火墙上修改隧道配置并重启隧道。

本小节介绍证书管理服务证书申请类常见问题。 第一次申请SSL证书不会操作怎么办？ SSL证书申请过程中如有疑问可直接提交工单。 申请SSL证书时应该使用哪个域名？ 在申请SSL证书时，应该按照需求使用需要建立https加密的域名作为申请的域名。通常，一般是您网站的主要访问域名，即用户通过该域名访问您的网站。以下是一些指导原则来确定您应该使用的域名： 主要域名：使用您网站的主要域名作为申请的域名是最常见的做法。这是用户最常用的域名，用于访问您的网站的主要内容。 常用子域名：如果您的网站使用了一些常用的子域名，例如 "www"、"blog" 或 "shop"，您也可以将这些子域名包括在证书申请中。这样，您可以确保这些常用的子域名也得到了加密和认证。 重要的是要确保您选择的域名在证书申请过程中是准确的和一致的。证书颁发机构将验证您对于所申请的域名的控制权，因此提供准确的域名信息是非常重要的。 主域名绑定后，是否可以修改？ 证书未签发时可至证书管理服务后台进行域名修改，操作步骤如下： SSL证书签发后，SSL证书签发给的主域名以及其他域名信息都无法修改；修改SSL证书域名需要重新下单，重新操作SSL证书申请签发流程。

本章节介绍了通过Python语言连接GeminiDB Influx实例的方法。 前提条件 已安装InfluxDB的Python客户端。 使用非SSL方式连接实例的示例代码 from influxdb import InfluxDBClient client InfluxDBClient(hostIP, port, username, password, sslFalse) client.getlistdatabase() 说明 上述host，port，username，password请以实际值为准。 使用SSL方式连接实例的示例代码 from influxdb import InfluxDBClient client InfluxDBClient(hostIP, port, username, password, sslTrue) client.getlistdatabase() 说明 host，port，username，password请以实际值为准。 ssl的值必须设置为True。 如果不设置ssl，或者ssl设置为False，则会报如下错误： InfluxDBClientError: 400: Client sent an HTTP request to an HTTPS server.