参数 描述 中间件IP地址或域名 源数据库DRDS中间件的IP地址或域名。 端口 源数据库DRDS中间件服务端口，可输入范围为1~65535间的整数。 中间件用户名 源数据库DRDS中间件的用户名。 中间件密码 源数据库DRDS中间件用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 数据库实例 根据源库实际的分片数据库，填写对应的数据库信息。

接口描述 查询vpc列表 接口约束 无 URI GET /v1/eop/vpc 请求参数 query参数 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 800 message String 消息提示 SUCCESS returnObj Array 返回对象 [] VpcForm VpcForm 参数 参数类型 说明 示例 下级对象 cidr String vpc网段 192.168.0.0/16 createDate String vpc创建时间 20221013T08:22:28Z hasnat Boolean 是否有nat false hasvpn Boolean 是否有vpn false ipv6Enabled Boolean 是否支持ipv6 false name String vpc名称 vpc3t68 regionId String 资源池id 100054c0416811e9a6690242ac110002 resVpcId String vpc id 07a41838845c467db2e8e1001a9fc01f vpcStatus String vpc状态 OK zoneId String 区域id 100054c0416811e9a6690242ac110002 zoneName String 区域名称 保定os 请求示例 /v1/eop/vpc 请求头header 请求体body 响应示例 { "message": "SUCCESS", "returnObj": [ { "cidr": "192.168.0.0/16", "createDate": "20221013T08:22:28Z", "hasnat": false, "hasvpn": false, "ipv6Enabled": false, "name": "vpc3t68", "regionId": "100054c0416811e9a6690242ac110002", "resVpcId": "07a41838845c467db2e8e1001a9fc01f", "vpcStatus": "OK", "zoneId": "100054c0416811e9a6690242ac110002", "zoneName": "保定os" }, { "cidr": "192.168.0.0/16", "createDate": "20220922T01:52:02Z", "hasnat": false, "hasvpn": false, "ipv6Enabled": false, "name": "vpc9bdf0922", "regionId": "100054c0416811e9a6690242ac110002", "resVpcId": "cfcbed30ca9e432daa8b87ef0eb6a9aa", "vpcStatus": "OK", "zoneId": "100054c0416811e9a6690242ac110002", "zoneName": "保定os" } ], "statusCode": 800 }

方向 协议 端口 源地址 说明 入方向 TCP 9094 0.0.0.0/0 通过公网访问Kafka（关闭SSL加密）。 入方向 TCP 9095 0.0.0.0/0 通过公网访问Kafka（开启SSL加密）。

本页介绍了 connect failed 连接报错的处理方法。 问题描述 使用客户端连接文档数据库服务实例时报错 "Authentication failed", 使用的连接命令如下： mongo "mongodb://root: @ , /admin?authSourceadmin&replicaSet " 报错信息如下： 20230719T12:42:13.281+0800 W NETWORK [js] Unable to reach primary for set DDS 20230719T12:42:13.281+0800 I NETWORK [js] Cannot reach any nodes for set DDS. Please check network connectivity and the status of the set. This has happened for 2 checks in a row. 20230719T12:42:13.284+0800 E QUERY [js] Error: connect failed to replica set DDS/ : , : : connect@src/mongo/shell/mongo.js:257:13 @(connect):1:6 exception: connect failed 原因分析 从报错信息来看，是客户端到文档数据库服务之间的网络访问不通导致的。 可能的原因有： 文档数据库服务实例的端口错误，不可用。 文档数据库服务实例与客户端云主机不在同一个区域或子网。 服务端开启了 SSL 模式，但是客户端没有使用 SSL 模式访问。 处理方法 1. 检查文档数据库服务实例与ECS是否在同一个区域、同一个安全组和子网内。 首先登录文档数据库服务控制台，单击实例名称，在基本信息页面查看文档数据库服务实例所在的区域、VPC、安全组和子网信息。然后弹性云服务器控制台，单击云服务器名称，在基本信息页面，查看当前云主机所在的区域、VPC、安全组和子网信息。确保 2 者的配置信息相同。 2. 检查实例的端口是否正确，并通过 curl/telnet 命令检查端口是否可用。 登录到文档数据库服务控制台，单机实例名称，在基本信息页面查看实例的 IP 和端口信息，然后使用 curl 或者 telnet 命令测试端口的连通性。 示例如下： curl 检查 $ curl : It looks like you are trying to access MongoDB over HTTP on the native driver port. telnet 检查 $ telnet Trying ... Connected to . Escape character is '^]'. ^] telnet> 3. 检查实例是否开启了 SSL 模式。 登录到文档数据库服务控制台，单机实例名称，在基本信息页面上查看是否开启了 SSL 模式。如果开启了 SSL 模式，则下载证书后使用 SSL 模式访问，命令示例如下： ./mongo "mongodb://root: @ , /admin?authSourceadmin&replicaSet " ssl sslCAFile sslAllowInvalidHostnames

本小节介绍证书管理服务产品用户指南续订证书。 证书续费说明 续费的证书不支持修改证书的规格。 仅已签发成功的证书支持续费。 续订证书操作步骤 1.进入证书管理页，选择需要续订的SSL证书，单击“证书续订”。 2.跳转至证书续订页面，确认需要续费的证书规格，单击“立即购买”。 3.跳转至“证书续订页面”，确认订单详情无误后，单击“提交订单”。 4.确认订单详情，单击“立即支付”。 自动续订操作步骤 1.进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2.选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您完成域名验证后才会签发（OV、EV证书还需完成组织验证），后续操作可参考：申请SSL证书。

方向 协议 端口 源地址 说明 入方向 TCP 9094 0.0.0.0/0 通过公网访问Kafka（关闭SSL加密）。 入方向 TCP 9095 0.0.0.0/0 通过公网访问Kafka（开启SSL加密）。

添加公网ELB访问 在云应用引擎部署应用后，默认无法从公网访问应用。为解决上述问题，您可以为应用绑定公网ELB，实现通过一个固定的公网IP访问应用，并实现应用实例间的负载均衡。 1. 在应用访问设置区域中，选择基于ELB访问。 2. 单击添加公网ELB访问。 3. 为应用绑定公网ELB实例：您可以新建ELB实例或绑定已有ELB实例。 4. 参考以下说明，至少配置一个监听。如果您需要添加多条监听，请单击添加下一条监听 配置项 说明 示例值 HTTP协议 HTTP端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 HTTP端口 ：80 容器端口 ：8080（Web服务的默认端口） HTTPS协议 HTTPS端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 SSL证书：SSL协议证书，在下拉列表中选择已创建的SSL证书。 容器端口：进程监听端口，由程序定义。 HTTPS端口 ：443 SSL证书：在下拉列表中选择已创建的SSL证书。 容器端口 ：8080（Web服务的默认端口） TCP协议 CLB端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 ELB端口 ：21 容器端口 ：8080（Web服务的默认端口） UDP协议 CLB端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 ELB端口 ：49152 容器端口 ：8080（Web服务的默认端口） 5. 完成配置后，单击确定。 6. 等待ELB绑定完成，在公网访问地址区域，可以查看应用的IP地址和端口。

本小节介绍证书管理服务产品续订。 证书管理服务仅支持控制台续订，用户可在控制台实例界面选择续订，按照续订产品规格进行下单。 说明 仅签发成功的证书能够进行续订。 仅支持续订统一规格证书。 手动续订操作步骤 1. 进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2. 在待续费证书的“操作”列单击“证书续订”。 3. 在跳转的页面中确认续订证书的信息，选择证书有效期。 4. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”。 自动续订操作步骤 1.进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2.选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您手动提交确认函和解析记录后才会签发，后续操作可参考：申请SSL证书。

9200端口访问失败 问题现象 通过VPN专线或VPC的对等连接访问ES集群的场景下，使用curl命令接入ES集群时，无返回结果。 例如，执行如下命令接入集群，无返回结果。 curl s ' 原因分析 在“使用VPN专线访问ES集群”或“通过VPC的对等连接访问ES集群”场景下，其所在的客户端与ES不在同一VPC下。因此，要求ES集群的子网与其VPC具有不同的网段。 例如，某一ES集群，选用的VPC为vpc8e28，其网络配置为192.168.0.0/16。选用了此VPC下的子网subnet4a81，subnet4a81子网的网段与vpc8e28一致，均为192.168.0.0/16。此时，如果使用VPN专线访问ES集群或通过VPC的对等连接访问ES集群，会导致此子网创建的机器内没有该VPC对应的网关，从而影响ES服务的默认路由的设置，最终导致9200端口访问失败。 处理步骤 当出现9200端口访问失败错误时，且ES集群状态为可用状态。执行步骤如下所示： 1.进入ES服务管理控制台，在集群列表中，单击集群名称进入集群详情页面，查看此集群使用的VPC和子网。 2.进入VPC服务管理控制台，在虚拟私有云列表中，单击ES集群使用的VPC名称，进入VPC详情页面。查看VPC和子网的网段信息。 如下图所示，VPC的网段信息，与子网的网段信息一致。在使用VPN专线访问或使用VPC对等连接访问时，会导致9200端口访问失败。 查看网段信息 3.如果出现上述错误，请重新创建集群，并选择一个网段与VPC不同的子网，如不存在这样的子网，请在VPC管理控制台重新创建一个子网。 创建新的ES集群后，将旧集群的数据迁移至新集群中，然后再通过VPN专线访问或使用VPC对等连接访问使用。 说明 如果需要VPN专线访问或使用VPC对等连接访问ES集群时，请务必保证，新创建的ES集群，其VPC与子网，具备不同的网段信息。 Elasticsearch针对filebeat配置调优

创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 由于安全问题，支持的加密套件为TLSECDHEECDSAWITHAES128CBCSHA256，TLSECDHERSAWITHAES128CBCSHA256和TLSECDHERSAWITHAES128GCMSHA256。 本节介绍如何使用开源的Kafka客户端访问开启SASL的Kafka专享实例的方法。 说明： 使用SASL方式连接Kafka实例时，为了客户端能够快速解析实例的Broker，建议在客户端所在主机的“/etc/hosts”文件中配置host和IP的映射关系。 其中，IP地址必须为实例连接地址（Broker地址），host为每个实例主机的名称（您可以自定义主机的名称，但不能重复）。 例如： 10.154.48.120 server01 10.154.48.121 server02 10.154.48.122 server03 前提条件 已配置正确的安全组。 访问开启SASL的Kafka专享实例时，支持VPC内访问。实例需要配置正确的安全组规则，具体安全组配置要求，请参考表32。 已获取连接Kafka专享版实例的地址。 使用VPC内访问，实例端口为9093，实例连接地址获取如下图。 获取VPC内访问Kafka专享实例的连接地址（实例已开启SASL） Kafka专享实例已创建Topic，否则请提前创建Topic。 已下载client.truststore.jks证书。如果没有，在控制台单击Kafka实例名称，进入实例详情页面，在“基本信息 > 高级配置 > Kafka SASLSSL”所在行，单击 。下载压缩包后解压，获取压缩包中的客户端证书文件：client.truststore.jks。 已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本，确保Kafka实例版本与命令行工具版本相同。 已在Kafka命令行工具的使用环境中安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 以下操作命令以Linux系统为例进行说明。 解压Kafka命令行工具。 进入文件压缩包所在目录，然后执行以下命令解压文件。 tar zxf [kafkatar] 其中，[kafkatar]表示命令行工具的压缩包名称。 例如： tar zxf kafka2.111.1.0.tgz 修改Kafka命令行工具配置文件。 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.plain.PlainLoginModule required username"" password""; sasl.mechanismPLAIN security.protocolSASLSSL ssl.truststore.location/opt/kafka2.111.1.0/config/client.truststore.jks ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： username和password为创建Kafka专享实例过程中开启SASLSSL时填入的用户名和密码。 ssl.trustore.location配置为client.truststore.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中拷贝路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要保持关闭状态，必须设置为空。 进入Kafka命令行工具的“/bin”目录下。 注意，Windows系统下需要进入“/bin/windows”目录下。 执行如下命令进行生产消息。 ./kafkaconsoleproducer.sh brokerlist ${连接地址} topic ${Topic名称} producer.config ../config/producer.properties 参数说明如下： 连接地址：从前提条件获取的连接地址。 Topic名称：Kafka实例下创建的Topic名称。 如下示例，Kafka实例连接地址为“10.xxx.xxx.202:9093,10.xxx.xxx.197:9093,10.xxx.xxx.68:9093”。 执行完命令后，输入需要生产的消息内容，按“Enter”发送消息到Kafka实例，输入的每一行内容都将作为一条消息发送到Kafka实例。 [root@ecskafka bin]

场景3：访问线下IDC的流量通过公共VPC防火墙进行清洗 基本场景介绍 业务子网1访问线下IDC子网3的流量进入防火墙VPC进行流量清洗。 业务VPC1 下的业务子网1:10.0.0.0/24。 防火墙VPC 下防火墙云主机所在的子网：192.168.0.0/24。 线下IDC侧的子网3:10.0.2.0/24。 操作步骤 1. 业务VPC1和防火墙VPC建立对等连接。 在业务VPC1下的默认路由表或者自定义路由表下，创建路由规则如下： 目的地址：10.0.2.0/24（子网3），下一跳：对等连接1。 将子网1关联至默认路由表或者自定义路由表。 在防火墙VPC下创建自定义路由表（不能选择默认路由表），并建立如下路由规则： 目的地址：10.0.0.0/24（子网1），下一跳：对等连接1。 将防火墙子网和自定义路由表做关联。 2. 配置防火墙VPC的默认路由表，将流量引到防火墙云主机，创建路由规则如下： 目的地址：10.0.2.0/24（子网3），下一跳：防火墙云主机或者虚拟IP（虚拟IP绑定多个防火墙做高可用）。 目的地址：10.0.0.0/24（子网1），下一跳：防火墙云主机或者虚拟IP（虚拟IP绑定多个防火墙做高可用）。 3. 在防火墙子网的自定义路由表配置路由，将流量引到专线网关/VPN网关。 在防火墙VPC下的自定义路由表中添加指向专线网关/VPN网关的路由规则，具体如下： 目的地址：10.0.2.0/24（子网3），下一跳：专线网关/VPN网关。 将防火墙子网和自定义路由表做关联。注意，防火墙子网不能关联默认路由表。 专线/VPN配置完成后，系统会自动将目的地址为：子网3； 下一跳：为专线网关/VPN网关；同步至默认路由表且无法删除，此时默认路由表未关联防火墙子网，不会真正进行引流。

名称 类型 描述 status String 是否启用邮件通知功能： Enabled：启用。 Disabled：禁用。 smtpHost String SMTP服务器。 smtpPort Integer SMTP服务器端口号。 SSL String 是否启用SSL： Enabled：启用。 Disabled：禁用。 senderEmail String 发件箱。 receiverEmail String 收件箱。

配置步骤 请参考配置负载均衡器投递访问日志至日志服务 日志字段说明 字段 类型 说明 topic text 日志主题，固定值。ELB7LayerAccessLog ts text 日志上报时间。时间格式为YYYYMMDDThh:mm:ssZ。由日志sdk自动填充 version text ELB服务日志版本 elbid text ELB 的ID vip text ELB的虚拟IP地址 listenerport double 监听的端口 vpcid double 当前显示为vpc的vni。 listenerid text 监听器ID。 poolid text 处理请求后端主机组的ID。 clientip text 请求的客户端IP。 clientport double 请求的客户端端口。 timeiso8601 text 负载均衡器日志打印时间。 host text 匹配的转发策略域名。 httphost text 负载均衡收到的请求报文中HTTP的host header的内容。 httpreferer text 负载均衡收到的请求报文中HTTP的referer header的内容。 httpuseragent text 负载均衡收到的请求报文中HTTP的useragent header的内容。 httpxforwardedfor text 负载均衡收到的请求报文中xforwardedfor的内容。 requestlength double 请求报文的长度，包括startline、HTTP头报文和HTTP body。 requestmethod text 请求报文的方法。 requesturi text 负载均衡收到的请求报文的URI。 scheme text 请求的协议类型：HTTP/HTTPS/HTTP2/Websocket/Websocket Secure。 serverprotocol text 负载均衡收到的HTTP协议的版本，例如HTTP/1.0或HTTP/1.1。 sslhandshaketime double ssl握手耗时。 sslsessionreused text sslsession复用，'r'表示复用成功，'.'表示复用失败。''表示非HTTPS协议。 sslcipher text 建立SSL连接使用的密码，例如ECDHERSAAES128GCMSHA256等。 sslprotocol text 建立SSL连接使用的协议，例如TLSv1.2。 bodybytessent double 发送给客户端的HTTP Body的字节数。 requesttime double 负载均衡收到第一个请求报文的时间到返回应答之间的时间间隔，单位：秒。 status double 负载均衡应答报文的状态。CLB 返回给客户端的状态码。 tcpinfortt double 客户端TCP连接时间，单位：微秒。 upstreamaddr text 后端服务器的IP地址和端口。 upstreamresponsetime double 从负载均衡向后端服务器建立连接开始到接收完数据然后关闭连接为止的时间，单位：秒。 upstreamstatus text 负载均衡收到的后端服务器的响应状态码。 upstreamconnecttime double 和 RS 建立 TCP 连接所花费时间：从开始 CONNECT RS 到开始发送 HTTP 请求的时间。单位：秒。 upstreamheadertime double 从 RS 接收完 HTTP 头部所花费时间：从开始 CONNECT RS 到从 RS 接收完 HTTP 应答头部的时间。单位：秒 connectionrequests double 连接上的请求个数。 connectionid double 连接id。

字段 类型 说明 topic text 日志主题，固定值。ELB7LayerAccessLog ts text 日志上报时间。时间格式为YYYYMMDDThh:mm:ssZ。由日志sdk自动填充 version text ELB服务日志版本 elbid text ELB 的ID vip text ELB的虚拟IP地址 listenerport double 监听的端口 vpcid double 当前显示为vpc的vni。 listenerid text 监听器ID。 poolid text 处理请求后端主机组的ID。 clientip text 请求的客户端IP。 clientport double 请求的客户端端口。 timeiso8601 text 负载均衡器日志打印时间。 host text 匹配的转发策略域名。 httphost text 负载均衡收到的请求报文中HTTP的host header的内容。 httpreferer text 负载均衡收到的请求报文中HTTP的referer header的内容。 httpuseragent text 负载均衡收到的请求报文中HTTP的useragent header的内容。 httpxforwardedfor text 负载均衡收到的请求报文中xforwardedfor的内容。 requestlength double 请求报文的长度，包括startline、HTTP头报文和HTTP body。 requestmethod text 请求报文的方法。 requesturi text 负载均衡收到的请求报文的URI。 scheme text 请求的协议类型：HTTP/HTTPS/HTTP2/Websocket/Websocket Secure。 serverprotocol text 负载均衡收到的HTTP协议的版本，例如HTTP/1.0或HTTP/1.1。 sslhandshaketime double ssl握手耗时。 sslsessionreused text sslsession复用，'r'表示复用成功，'.'表示复用失败。''表示非HTTPS协议。 sslcipher text 建立SSL连接使用的密码，例如ECDHERSAAES128GCMSHA256等。 sslprotocol text 建立SSL连接使用的协议，例如TLSv1.2。 bodybytessent double 发送给客户端的HTTP Body的字节数。 requesttime double 负载均衡收到第一个请求报文的时间到返回应答之间的时间间隔，单位：秒。 status double 负载均衡应答报文的状态。CLB 返回给客户端的状态码。 tcpinfortt double 客户端TCP连接时间，单位：微秒。 upstreamaddr text 后端服务器的IP地址和端口。 upstreamresponsetime double 从负载均衡向后端服务器建立连接开始到接收完数据然后关闭连接为止的时间，单位：秒。 upstreamstatus text 负载均衡收到的后端服务器的响应状态码。 upstreamconnecttime double 和 RS 建立 TCP 连接所花费时间：从开始 CONNECT RS 到开始发送 HTTP 请求的时间。单位：秒。 upstreamheadertime double 从 RS 接收完 HTTP 头部所花费时间：从开始 CONNECT RS 到从 RS 接收完 HTTP 应答头部的时间。单位：秒 connectionrequests double 连接上的请求个数。 connectionid double 连接id。

PON云专线： PON 云专线依托于MPLSVPN 网络接入云资源池，接入侧通过PON 资源接入，用户侧通过光猫—OBD—OLT 联至城域网，最高速率100M。 LAN云专线： LAN 云专线依托于福建电信MPLSVPN 网络接入云资源池，接入侧通过交换机以光纤直连的方式接入，用户侧通过光电交换机联至城域网，最高速率1G。

前提条件 1. 登录弹性云主机。 − 通过弹性云主机连接关系型数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为（default），则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 2. 使用客户端连接实例。 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 单击实例名称进入“基本信息”页面。 步骤 5 单击“SSL”处的 ，下载根证书或捆绑包。 步骤 6 将根证书上传至需连接RDS for PostgreSQL实例的弹性云主机，或保存到可访问关系型数据库实例的设备。 步骤 7 连接关系型数据库实例。以Linux系统为例，执行如下命令。 psql noreadline h p "dbname user sslmodeverifyca sslrootcert " 表 参数说明 参数 说明 主机IP，在“实例管理”页面单击实例名称，进入“基本信息”页面。“连接信息”模块的“内网地址”（通过弹性云主机访问）。 端口，默认5432，当前端口，即在“实例管理”页面单击实例名称，进入“基本信息”页面，“连接信息”模块的“数据库端口”。 需要连接的数据库名，默认管理数据库是postgres。 用户名，即关系型数据库账号，默认管理员账号为root。 SSL连接CA证书路径，该文件需放在执行该命令的路径下。 sslmode SSL连接模式，设置为“verifyca”，通过检查证书链（Certificate Chain，以下简称CA）来验证服务是否可信任。 出现如下提示时，输入数据库账号对应的密码： Password: 使用root用户SSL连接postgres数据库实例，示例如下： psql noreadline h 192.168.0.44 p 5432 "dbnamepostgres userroot sslmodeverifyca sslrootcert/root/ca.pem" Password: 步骤 8 登录数据库后，出现如下信息，表示通过SSL连接成功。 plaintext SSL connection (protocol: TLSv1.2, cipher: ECDHERSAAES256GCMSHA384, bits: 256, compression: off) 结束

0 to host 192.168.4.96 left intact 可以看到请求报错了，后台查看debug日志可以看到错误信息如下（SSL握手报错）： sslv3 alert bad certificate:SSL alert number 42) while SSL handshaking to upstream mTLS证书配置&验证 进入服务列表菜单，编辑刚才创建的服务，开启服务mTLS认证并上传相关证书，如下： 保存后再次请求接口，可以看到返回了正确的结果： curl sv Trying 192.168.4.96:27151... Connected to 192.168.4.96 (192.168.4.96) port 27151 ( 0) > GET /api/1/reviews HTTP/1.1 > Host: 192.168.4.96:27151 > UserAgent: curl/7.71.1 > Accept: / > Mark bundle as not supporting multiuse < HTTP/1.1 200 < ContentType: application/json < TransferEncoding: chunked < Connection: keepalive < Date: Tue, 30 Jan 2024 08:13:57 GMT < Connection 0 to host 192.168.4.96 left intact [{"id":1,"productId":1,"reviewer":"Reviewer1","text":"This is the 1st reviewer"}]

本节介绍企业云网的简介。 企业云网是天翼云自研的一系列云网络产品，通过VPN，企业可以实现一站式快速上云，云上云下高效协同办公。 企业云网可以提供的主要功能有： 跨域互联 IPSece VPN iVPN app 云专线绑跨域互联

RabbitMQ实例是否支持持久化，如何定时备份数据？ RabbitMQ支持消息数据持久化，可从客户端连接RabbitMQ并设置消息持久化，也可在RabbitMQ集群管理工具界面创建队列时设置消息持久化。 不支持客户自定义定时备份数据，或从界面触发备份数据。 RabbitMQ实例开启SSL后，证书怎么获取？ RabbitMQ实例开启SSL后只做单向认证，不需要证书。 RabbitMQ实例的SSL开关是否支持修改？ 不支持动态修改，即如果实例创建时没有选择开启，创建完成之后，不支持修改，建议在实例创建时将开关打开。 RabbitMQ实例是否支持扩容？ 单机版本的RabbitMQ实例支持扩大存储空间，以及扩容代理规格，暂不支持缩容。 集群版本的RabbitMQ实例支持扩大存储空间和代理个数，以及扩容代理规格，暂不支持缩容。 如何清空队列数据？ 1. 登录Web UI。 2. 在“Queues”页签，单击需要清空数据的队列名称，进入队列详情页面。 3. 单击“Purge Messages”，清空队列数据。 RabbitMQ支持双向认证吗？ 不支持。 RabbitMQ支持升级CPU和内存吗？ RabbitMQ支持扩容/缩容代理规格，具体请参见变更实例规格。 如何关闭RabbitMQ的WebUI？ 创建RabbitMQ实例后，如果想要关闭RabbitMQ的WebUI，只要您在安全组入方向中不开放15672端口（实例未开启SSL时的端口）或者15671（实例开启SSL时的端口），此时就无法登录WebUI界面。

参数 取值示例 说明 优先级 0 表示该条记录的优先级，0优先级最高，表示配置优先级最高。 TYPE host 支持配置以下取值： host：该条记录验证TCP/IP连接，包括SSL连接和非SSL连接。 hostssl：该条记录只验证通过SSL建立的TCP/IP连接。 hostnossl：该条记录只验证通过非SSL建立的TCP/IP连接。 DATABASE all 允许用户访问的数据库，all表示允许用户访问所有数据库。如果配置多个，可通过逗号（,）分隔，配置的数据库必须是已存在的且不能是template0，template1这两个数据库。 USER user0 允许哪些用户访问数据库，填写创建数据库账号中创建的用户名。如果配置多个，可通过逗号（,）分隔。必须是已创建的用户且不能配置成内置用户，如：rdsAdmin, rdsMetric, rdsBackup, rdsRepl, rdsProxy。 ADDRESS 0.0.0.0/0 ::0/0 允许用户从哪个或哪些IP访问数据库，0.0.0.0/0（IPv4地址）和::0/0（IPv6地址）表示允许用户从任意IP地址访问数据库。 说明 修改后不在该网段的IP将会连接不上，请谨慎修改。 MASK 空 掩码。如果ADDRESS为IP地址，可以通过此参数指定IP地址的掩码。 METHOD md5 认证方法，支持： reject scramsha256 md5

GPU云主机操作系统 本地主机操作系统 连接方法 条件 Windows Windows 使用控制中心远程登录云主机：参见 不依赖弹性IP Windows 移动设备 安装远程连接工具，例如Microsoft Remote Desktop在移动设备上登录：参见 云主机绑定弹性IP （通过内网登录云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Windows 使用mstsc方式登录云GPU主机：参见 云主机绑定弹性IP （通过内网登录云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Linux 安装远程连接工具，例如rdesktop，执行连接命令：参见 云主机绑定弹性IP （通过内网登录云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Mac OS系统 安装远程连接工具，例如Microsoft Remote Desktop for Mac在Mac OS系统上登录：参见 。 云主机绑定弹性IP （通过内网登录云主机时可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。）

安装依赖 plaintext pip3 install pahomqtt 代码示例 python import ssl import random from paho.mqtt import client as pahoclient 填入您在mqtt控制台创建的ACL账号密码。 USERNAME "yourusername" AUTHPASSWORD "yourpassword" 是否使用tls加密传输 isTls True class MQTTClient: def init(self): 填写mqtt云消息服务的接入点，去掉:{端口号}部分 self.broker "tcp://localhost" 指定连接客户端的id self.clientid "ctgmqttclienttest" self.client None def onconnect(self, client, userdata, flags, rc): 连接建立成功 if rc 0: print("Connected to MQTT Broker!") else: print(f"Failed to connect, return code {rc}") def ondisconnect(self, client, userdata, rc): 连接丢失 print(f"Disconnected with result code {rc}") 可以在这里添加重连逻辑 def onmessage(self, client, userdata, msg): 收到消息的回调 print(f"Received {msg.payload.decode()} from {msg.topic} topic") def onpublish(self, client, userdata, mid): 成功发送消息到服务端 print(f"Message {mid} published successfully") def connectmqtt(self): 创建客户端实例 self.client pahoclient.Client(clientidself.clientid) self.client.usernamepwset(USERNAME, AUTHPASSWORD) 设置回调函数 self.client.onconnect self.onconnect self.client.ondisconnect self.ondisconnect self.client.onmessage self.onmessage self.client.onpublish self.onpublish 设置TLS if isTls: 创建不验证证书的SSL上下文 context ssl.createdefaultcontext() context.checkhostname False context.verifymode ssl.CERTNONE self.client.tlssetcontext(context) 设置其他连接选项 self.client.connect(self.broker.replace("tcp://", "").replace("ssl://", ""), port8883 if isTls else 1883) self.client.loopstart()

性能项目 性能指标 200M流量处理能力 标准版 8C16G 400M流量处理能力+上网行为管理 增强版 16C32G 应用层最大流量处理能力(TLS/SSL) 标准版 200Mbps 应用层最大流量处理能力(TLS/SSL) 增强版 400Mbps 推荐最大防护AI云电脑数 标准版 200台 推荐最大防护AI云电脑数 增强版 400台

本文简述回源SNI功能。 功能介绍 如果一个源站IP地址绑定多个域名，且天翼云边缘安全加速平台安全与加速服务使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，边缘节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认边缘节点请求的具体域名，然后返回该域名对应的SSL证书给边缘节点。 设置回源SNI后的工作流程如下： 1. 当边缘节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. 边缘节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名管理】。 3. 在【域名管理】页面，找到目标域名，单击【操作】列的【基础配置】。 4. 单击右下方【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

本文介绍回源SNI功能的原理和使用说明。 功能介绍 如果一个源站IP地址绑定多个域名，且CDN加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，CDN节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认CDN节点请求的具体域名，然后返回该域名对应的SSL证书给CDN节点。 设置回源SNI后的工作流程如下： 1. 当CDN节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. CDN节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

尊敬的天翼云用户： 您好！ 近期，我们接到用户反馈，存在不法企业或个人假冒天翼云 SSL 证书供应商，通过电话、微信等方式，以“低价续费、套件服务升级、测试证书不安全” 等话术，试图诱导用户前往非天翼云官方平台购买或续费 SSL 证书，请您务必提高警惕，避免因轻信虚假信息导致经济损失或信息泄露风险。天翼云不会将用户数据泄露或出售给第三方公司，天翼云合作伙伴也不会让客户去非天翼云平台购买产品。 为避免给您造成困扰，天翼云 SSL 团队特此声明： 1. 您在天翼云证书管理服务购买的 SSL 证书即将到期时，天翼云会在证书到期前20天 、前30天 通过官方渠道（邮件、短信、4008109889热线 ）的方式通知您及时续费，不会通过微信或其他个人形式直接联系您办理续费业务。如遇类似情况，请提高警惕并及时核实信息真实性。 2. 天翼云合作的 CA 厂商只有在证书审核环节和证书使用过程出现特殊情况（例如：私钥泄漏、申请强制吊销等）时才会主动联系您，否则不会以天翼云合作厂商的身份主动联系您。 天翼云合作的 CA 厂商信息如下表，若收到非官方来源的联系，请务必谨慎核实。 合作 CA 厂商 外呼电话号码 对外邮箱后缀 亚数信息科技（上海）有限公司 02154970081、02154971631 @trustasia.com 中金金融认证中心有限公司 01087549888、01087549666 @cfca.com.cn 如果您无法判断收到信息的真实性，烦请您记录对方联系方式和信息详细内容，及时提交工单反馈给天翼云。 天翼云服务团队

Nacos连接失败问题 问题现象 当程序连接Nacos出现连接失败问题时，可能会出现如下几种报错。 Client not connected,currentstatus:STARTING Client not connected,currentstatus:UNHEALTHY no available server, currentServerAddr: xxxxx Connection refused 问题原因 可能是如下几种原因，导致程序连接Nacos出现连接失败。 Nacos的访问地址或端口配置错误。 访问Nacos集群时，网络异常。 使用VPN导致的网络问题。 客户端存在高CPU使用率、频繁FullGC等问题。 解决方案 1. 在错误所在的客户端节点上，使用ping、telnet和curl等命令，访问Nacos集群，排查是否存在网络问题。 ping ${mse.nacos.host} telnet ${mse.nacos.host}:47588 telnet ${mse.nacos.host}:48588 curl ${mse.nacos.host}:47588/nacos/v1/ns/service/list 2. 检查应用的相关配置，是否配置了正确的MSE实例访问地址、端口等信息。 3. 如果报错信息为Connection refused ，请从紧随其后的报错信息中查看实际连接的地址与MSE实例的连接地址是否不相同。例如Connection refused: /127.0.0.1:48588说明某些配置错误地指向了本机地址。 4. 如果使用了VPN，请检查VPN设置是否正确。若不正确，请关闭VPN或修改VPN设置后重试。 5. 若通过上述步骤还无法定位问题，注册配置中心控制台的监控分析页面，查看Nacos的如下信息： 在概览页签，查看引擎的每秒查询数和每秒操作数是否超过了每秒处理请求数（TPS）。 关于每秒处理数的取值，请参见实例能力评估。 在连接数监控页签，查看长链路数量是否超过了连接数。 关于连接数的取值，请参见实例能力评估。 在jvm监控页签，查看引擎是否频繁出现Full GC。 在资源监控页签，查看资源的入口流量和出口流量是否超出购买时指定的带宽大小。 在资源监控页签，查看资源的内存使用率和CPU使用率是否接近或超过100%，导致节点可能出现异常。 资源的内存使用率和CPU使用率接近或超过100%，请尝试变更实例规格进行升配，请参见变更实例规格。

导出源库数据 步骤 1 登录到已准备的弹性云服务器或可访问源数据库的设备。 步骤 2 使用mongoexport，将源数据库转储至JSON文件。 此处以SSL连接方式为例进行说明，如果选择普通连接方式，去掉命令中对应的“ssl sslAllowInvalidCertificates”即可。 ./mongoexport host port ssl sslAllowInvalidCertificates type json authenticationDatabase u db collection out DBADDRESS为数据库地址。 DBPORT为数据库端口。 AUTHDB为存储DBUSER信息的数据库，一般为admin。 DBUSER为数据库用户。 DBNAME为要迁移的数据库名称。 DBCOLLECTION为要迁移的数据库集合。 DBPATH为存储数据JSON文件所在的路径。 出现如下提示时，输入数据库管理员对应的密码： Enter password: 示例如下，命令执行完会生成“exportfile.json”文件： ./mongoexport host 192.168.1.21 port 8635 ssl sslAllowInvalidCertificates type json authenticationDatabase admin u rwuser db test02 collection Test out /tmp/mongodb/export/exportfile.json 步骤 3 查看导出结果。 输出内容显示如下，说明迁移成功。其中，“x”表示转储数据的记录条数。 exported x records 步骤 4 压缩导出的JSON文件。 gzip exportfile.json 压缩是为了方便网络传输，压缩后生成“exportfile.json.gz”文件。 将数据导入至目标DDS 步骤 1 登录到已准备的弹性云服务器或可访问文档数据库的设备。 步骤 2 将要导入的数据上传到弹性云服务器或可访问文档数据库的设备。 根据不同的平台选择相应的上传方法。 Linux下可参考命令： scp @ : − IDENTITYFILE为存储“exportfile.json.gz”的文件目录，该文件目录权限为600。 − REMOTEUSER为弹性云服务器的操作系统用户。 − REMOTEADDRESS为弹性云服务器的主机地址。 − REMOTEDIR为将“exportfile.json.gz”上传到弹性云服务器的文件目录。 Windows平台下，请使用传输工具上传“exportfile.json.gz”至弹性云服务器。 步骤 3 解压数据包。 gzip d exportfile.json.gz 步骤 4 将转储文件导入到文档数据库。 此处以SSL连接方式为例进行说明，如果选择普通连接方式，去掉命令中对应的“ssl sslAllowInvalidCertificates”即可。 ./mongoimport host port ssl sslAllowInvalidCertificates type json authenticationDatabase u db collection file DBADDRESS为数据库实例的IP地址。 DBPORT为数据库端口。 AUTHDB为DBUSER进行权限验证的数据库，一般为admin。 DBUSER为数据库管理员帐号名。 DBNAME为要导入的数据库。 DBCOLLECTION为要导入的数据库中的集合。 DBPATH为转储数据JSON文件所在的路径。 出现如下提示时，输入数据库管理员对应的密码： Enter password: 示例如下： ./mongoimport host 192.168.1.21 port 8635 ssl sslAllowInvalidCertificates type json authenticationDatabase admin u rwuser db test02 collection Test file /tmp/mongodb/export/exportfile.json 步骤 5 查看迁移结果。 输出内容显示如下，说明迁移成功。其中，“x”表示转储数据的记录条数。 imported x records

获取设备权限信息，如下所示 权限名称 获取目的 收集频率 申请时机 ACCESSNETWORKSTATE 区分移动网络或WiFi网络 使用SDK时可用 使用SDK时 BINDVPNSERVICE 绑定VPN服务，用于连接内网 使用SDK时可用 使用SDK时 INTERNET 查看网络状态，用于数据上报 使用SDK时可用 使用SDK时 ACCESSWIFISTATE 允许访问WiFi网络状态信息 使用SDK时可用 使用SDK时

本章节向您介绍此最佳实践的使用场景。 场景描述 概述：不同区域的公有云内资源，通过VPN连接打造IPSec加密隧道，实现云间高速互联通道，为不同区域的不同业务系统提供数据交互方案。 典型行业：所有公有云行业应用 适配场景：云间业务、数据互联 技术架构图 本实践方案基于如下图所示的技术架构和主要流程。 VPN连接提供云间高速互联通道示意图 方案优势 提供IPSec加密通道，传输安全性高 网关带宽有保障，业务、数据互通效率高 通过互联网环境传输，链路成本低

下载Linux gsql客户端并连接集群 1. 下载客户端下载Linux gsql客户端，并使用SSH文件传输工具（例如WinSCP工具），将客户端工具上传到一个待安装Linux gsql的Linux主机上。 执行上传Linux gsql操作的用户需要对客户端主机的目标存放目录有完全控制权限。 2. 使用SSH会话工具，远程登录客户端主机。 弹性云主机的登录方法请参见《弹性云主机用户指南》中的“实例 > 登录Linux弹性云主机 > SSH密码方式登录”章节。 3. （可选）如果要使用SSL方式连接集群，请参考 使用SSL进行安全的TCP/IP连接章节，在客户端主机配置SSL认证相关的参数。 说明 SSL连接方式的安全性高于非SSL方式，建议在客户端使用SSL连接方式。 4. 执行以下命令解压客户端工具。 cd unzip dwsclient8.1.xredhatx64.zip 其中： ：请替换为实际的客户端存放路径。 dwsclient 8.1.x redhatx64.zip：这是“RedHat x64”对应的客户端工具包名称，请替换为实际下载的包名。 5. 执行以下命令配置客户端。 source gsqlenv.sh 提示以下信息表示客户端已配置成功： All things done. 6. 执行以下命令，使用gsql客户端连接DWS 集群中的数据库。 gsql d h U p r 参数说明如下： “数据库名称”：输入所要连接的数据库名称。首次使用客户端连接集群时，请指定为集群的默认数据库“gaussdb”。 “集群地址”：请参见 获取集群连接地址进行获取。如果通过公网地址连接，请指定为集群“公网访问地址”或“公网访问域名”，如果通过内网地址连接，请指定为集群“内网访问地址”或“内网访问域名”。 “数据库用户”：输入集群数据库的用户名。首次使用客户端连接集群时，请指定为创建集群时设置的默认管理员用户，例如“dbadmin”。 “数据库端口”：输入创建集群时设置的“数据库端口”。 例如，执行以下命令连接DWS 集群的默认数据库gaussdb： gsql d gaussdb h 10.168.0.74 U dbadmin p 8000 W password r 显示如下信息表示gsql工具已经连接成功： gaussdb>

本小节介绍证书管理服务证书下载类常见问题。 已签发的SSL证书可以多次下载并使用吗？ 支持，证书不限制下载次数以及部署次数。 如何获取SSL证书私钥文件server.key？ 系统生成的CSR，对应产生的key私钥文件会加密存储在云端，直接从订单中下载； 手动生成CSR，对应产生的key私钥文件会保存在生成CSR的账号中，需要自行保存好key私钥文件；若key文件丢失，则提交CSR 后签发的证书公钥无法找到匹配私钥文件去部署；需要重新生成CSR申请证书。