TCP建连时间 TCP建连时间是指浏览器或客户端和服务器建立TCP/IP连接的消耗时间。 SSL握手时间 SSL握手时间是指浏览器或客户端和服务器建立安全套接层（SSL）连接的消耗时间。 直播推流 直播推流是指数据源经过音视频采集－编码－封装后，将数据推送到直播边缘服务器的过程。目前推流支持RTMP(S)协议。 直播播放 直播播放是指用户向直播拉流边缘节点发起请求获取到直播流内容，并在客户端对内容解封－解码－渲染播放的过程。目前拉流支持RTMP、HTTP FLV、HLS协议。 推流域名 推流域名是指客户提供的用于直播流接入视频直播的域名。该域名用于推拉流架构下，主播/用户将视频内容推送至直播节点。 拉流域名 拉流域名是客户提供的用于直播流播放的域名。 发布点（AppName） 发布点是指直播的应用名称，即直播流媒体文件的存放路径。 流名（StreamName） 流名即直播流名称，通常与域名和发布点一起唯一标识一路流。一般情况下流名不包含文件后缀。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您通过企业交换机可以建立云下IDC和云上VPC之间的二层网络。 云专线（Direct Connect, DC） 通过云专线在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 虚拟专用网络（Virtual Private Network, VPN） 通过VPN在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 统一身份认证服务（Identity and Access Management, IAM） 针对云上的企业交换机资源，您可以通过IAM进行权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。

本文介绍HTTPS双向认证功能原理。 功能介绍 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。在标准的HTTPS中，通常采用单向认证的方式，即服务器向客户端证明自己的身份以建立一个安全加密的通信连接；双向认证在服务器向客户端证明身份的基础上，还需要客户端也提供客户端证书，供服务器验证客户端的身份，客户端与服务器双方都验证通过对方的身份后，才建立HTTPS连接。 单向认证流程： 1. 客户端向边缘加速节点发起HTTPS请求。 2. 边缘加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥正确后，随机生成一个密钥，并使用公钥进行加密后发送给边缘加速节点。 4. 边缘加速节点使用对应私钥进行解密，得到密钥。 5. 客户端与边缘加速节点在后续通信过程中使用该密钥对传输的数据加密。 6. 客户端与边缘加速节点使用对应密钥对收到的数据进行解密，获取对应数据。 双向认证流程： 1. 客户端向边缘加速节点发起HTTPS请求。 2. 边缘加速节点将对应域名的SSL证书公钥发送给客户端，并发送证书请求标记要求获取客户端证书。 3. 客户端验证域名的SSL证书公钥正确后，随机生成一个密钥A，并使用SSL证书公钥进行加密后发送给边缘加速节点。同时客户端收到证书请求标记，将发送对应的客户端证书给边缘加速节点，同时计算历史消息的hash值，将该hash值通过客户端私钥签名，并将签名结果也发送给边缘加速节点。 4. 边缘加速节点使用域名SSL证书对应的私钥进行解密，得到密钥A。同时获取客户端的证书和签名后，验证客户端证书是否可信，并使用客户端证书公钥和历史消息的hash值校验签名是否正确，存储验证结果。 5. 客户端与边缘加速节点在后续通信过程中使用该密钥A对传输的数据加密。 6. 客户端与边缘加速节点使用对应密钥A对收到的数据进行解密，获取对应数据。 7. 后续客户端发送请求，如果之前验证是通过的则正常处理，否则立即返回错误响应，告诉客户端双向认证失败。

本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对VPN连接资源的访问。 操作步骤 1、创建用户组和IAM用户 1、创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2、创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 2、创建自定义策略 天翼云提供了访问VPN连接资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

本节介绍了企业交换机的基本概念，以便于您更好地理解企业交换机服务。 企业交换机（Enterprise Switch，简称ESW）可以在虚拟私有云（Virtual Private Cloud, VPC）内提供大二层互联等增强网络转发能力，助力企业灵活构建大规模、高性能、高可靠的云上/云下网络。 企业交换机当前仅支持二层连接网关特性，该特性提供一种虚拟隧道网关，可基于虚拟专用网络（Virtual Private Network, VPN）或者云专线（Direct Connect, DC）建立云上与云下之间的二层网络，解决云上和云下网络二层互通问题，允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。 您通过VPN或者云专线连接云上和云下互联网数据中心（Internet Data Center, IDC），此时建立的是三层网络，要求云上与云下子网网段不能重叠。 当云下IDC与云上VPC子网网段重叠，并且需要云上与云下服务器在该重叠子网网段内通信时，您需要建立二层网络，企业交换机可以帮助您实现该需求。 企业交换机作为VPC的隧道网关，与云下IDC侧隧道网关对应，基于VPN或者云专线三层网络，在VPC与云下IDC之间建立二层网络，组网示意图如下图所示，您需要将VPC子网接入到企业交换机中，并指定企业交换机与IDC侧的隧道网关建立连接，使VPC子网与IDC侧子网建立二层通信。

本文将为您介绍公共传输通道的术语概念。 中国电信下一代承载网 中国电信下一代承载网（CN2DCI）是指中国电信融合原CN2和DCI两张网络之后构建的面向2B业务的差异化、智能化、服务化专用承载网，目标建成技术领先、行业最有竞争力的2B网络。 CN2DCI网络新平面 中国电信基于SDN架构，在CN2DCI网络基础上通过引入SRv6+EVPN等技术重构的高质量、高可靠、差异化精品网络。 SRv6 SRv6（Segment Routing IPv6）是一种网络转发技术，SR指Segment Routing技术，v6指原生IPv6，SRv6就是IPv6+Segment Routing，是SR技术的IPv6演进版本。 多协议标签交换 多协议标签交换（MultiProtocol Label Switch），简称为MPLS，结合二层交换和三层路由的集成数据传输技术。 虚拟专网 虚拟专网（VPN），全称为虚拟专用网络（Virtual Private Network），利用开放的公共网络建立专用数据传输通道，将不同站点连接起来并提供安全的端到端数据通信的广域网组网方式。 EVPN EVPN（Ethernet Virtual Private Network）是一种用于二层网络互联的VPN技术，采用类似于BGP/MPLS IP VPN 的机制，通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的二层网络间的MAC地址学习和发布过程从数据平面转移到控制平面。 运营商边界设备 运营商边界设备（Provider Edge），简称为PE，位于运营商网络边缘，用于连接CE设备，一般为路由器。

本文为您介绍冗余组与冗余链路,以及如何使用。 冗余组与冗余链路 冗余组： 一组逻辑关联的网络实例（如云专线、VPN、SDWAN），通过主备或负载均衡机制提供高可用性，可有效管控组内实例的路由传播与故障切换策略。 冗余链路： 隶属于冗余组、为关键通信路径配置的备用物理 / 逻辑链路，在主链路故障时接管流量，保障业务不中断。 典型实现： 主备模式：备用链路平时闲置，故障时激活。 负载均衡模式：多条链路同时分担流量。 使用限制 支持配置冗余链路的网络实例类型：云专线（CDA）、VPN连接、SDWAN。 支持三种模式：云专线与云专线、云专线与 VPN 连接、云专线与 SDWAN。 同一冗余组内的网络实例默认隔离路由传播。 仅支持同一地域（Region）内的冗余链路配置（支持跨可用区 AZ 部署）。 冗余组内的链路必须关联到相同的云企业路由器中的路由表。 创建冗余组 操作步骤： 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“冗余组 ”页签，单击页签区域左上方的“创建冗余组”按钮，弹出创建冗余组页面。 5. 在创建冗余组页面，根据提示信息，填写参数，单击“确定”，完成冗余组的创建。 加载冗余链路

sectionaf1f4cd067bf253e)。 Kafka实例的SSL证书有效期多长？ Kafka实例开启SASL时，需进行单向认证，证书有效期足够长（超过15年），客户端不需要关注证书过期风险。 如何将Kafka实例中的数据同步到另一个Kafka实例中？ Kafka实例之间没有好的实时同步方案，如果需要做实例迁移，可以同时向两个实例生产消息，源实例中的消息可继续消费，待源实例的消息数据全部被消费完或老化后，业务可迁移到新的Kafka实例。 Kafka实例的SASLSSL开关如何修改？ Kafka SASLSSL开关不支持购买实例后修改，在购买时，请慎重选择，如果购买后需要修改，需要重新购买实例。 开启IPv6的实例不支持动态修改SASLSSL开关。 SASL认证机制如何修改？ 实例创建后，不支持修改SASL认证机制。如果需要修改，请重新购买实例。 修改企业项目，是否会导致Kafka重启？ 修改企业项目不会导致Kafka重启。 Kafka服务和ZK是部署在相同的虚拟机中，还是分开部署？ Kafka服务和ZK部署在相同的虚拟机中。 Kafka包周期实例不支持删除吗？ 可以删除。登录Kafka控制台，在包周期实例所在行，单击“更多 > 退订”，完成实例的删除。 Kafka支持哪些加密套件？ 由于安全问题，支持的加密套件为TLSECDHEECDSAWITHAES128CBCSHA256，TLSECDHERSAWITHAES128CBCSHA256和TLSECDHERSAWITHAES128GCMSHA256。 购买实例时选择的单AZ，怎样可以扩展为多AZ？ 已购买的实例无法扩展AZ，请重新购买多AZ的实例。

本章节为您介绍数据库审计的一些报错及原因。 数据库审计运行正常但无审计记录？ 故障现象： 数据库安全审计实例功能正常，当触发数据库流量后，在SQL语句列表页面搜索执行的语句，不能搜索到相关的审计信息。 可能原因： 数据库已开启SSL。 数据库SQL SERVER协议已开启强行加密。 数据量过大，造成Agent进程假死。建议重启容器或优化审计规则以减少数据量。 说明 数据库开启SSL时，将不能使用数据库安全审计功能。关闭数据库SSL操作请参考： 数据库开启强行加密，数据库安全审计将无法获取文件内容进行分析。 数据库审计告警邮件异常 故障现象： 数据库审计实例功能正常，邮件收到高风险语句告警，但控制台未显示高风险SQL语句。 告警邮件发送延迟。 可能原因： 审计日志量超过了实例的处理能力，导致数据审计的延迟。 处理建议： 新增数据库审计实例，分担当前数据审计流量或者更改审计规则，优化缩小审计范围。 制定自动小时备份任务，避免数据量存储磁盘达到85%触发日志清理机制。

天翼云SDWAN为您提供优质的服务体验,本文带您了解产品优势。 灵活接入 支持天翼云自研硬件终端设备、软件vCPE、VPN客户端、政企融合网关、品牌厂商终端等多种接入形态，可根据客户场景灵活适配、即插即用，充分满足小微门店、中大型企业等多元化部署需求。 支持通过各运营商互联网（包括PPPoE拨号方式或配置固定IP方式）、4G/5G无线网络、专线等多种方式实现多链路上联至SDWAN网络接入点 ，满足各类接入需求。 支持同时配置POP组网和IPSec直连组网网络架构，实现混合组网。 成本低廉 利用互联网宽带接入降低成本，同时通过有效利用所有可用网络连接提高链路利用率，满足企业业务需求。 SDWAN网络在客户侧通常采用互联网宽带接入，相比物理专线/专网产品，互联网链路更加便宜，可大幅度降低带宽成本。 SDWAN技术还可以帮助企业有效地利用所有可用的网络连接来满足其业务需求，充分提高链路利用率。 安全传输 通过IPSec VPN加密隧道传输、ACL管理等多项安全措施，保障SDWAN广域网数据传输的安全性和设备接入的安全性。 SDWAN广域网数据通过IPSec VPN加密隧道进行传输，同时支持国产密码算法和商用密码，在链路质量层进行多重安全加固，保障数据传输的安全性； 支持ACL管理，通过配置五元组白名单/黑名单策略，实现对接入流量的管控； 支持容器化部署安全防护能力，可灵活扩容防火墙、入侵检测、访问控制等安全模组，实现安全能力按需加载、弹性扩展。

本文档指导您如何在Tomcat服务器中安装部署SSL证书。 前提条件 已在当前服务器中安装配置 Tomcat 服务。 已购买证书并且已获取到证书相关文件。 安装前准备文件 在证书管理服务控制台的证书管理页选择您需要安装的证书，选择“证书下载”。 在弹出的 “证书下载” 窗口中，服务器类型选择 Tomcat，单击“下载”并解压缩包至本地，文件内包含下述2个文件： JKS证书：XXXX.cn.jks JKS证书密码：README.txt 操作步骤 1. 将已获取到的“XXX.cn.jks”密钥库文件拷贝至Tomcat安装目录/conf目录下。 2. 编辑/conf目录下的“server.xml”配置。 // keystoreFile指向步骤1保存的的jks文件； keystorePass值为jks证书密码； Port是端口； SSLEnable是开启ssl的意思； 3. 修改完成后，重启Tomcat服务器即可。 （可选）HTTP自动跳转HTTPS的安全配置 1.打开/conf目录下的“web.xml”文件，找到标签，在后面插入如下内容 SSL / CONFIDENTIAL 2.后续打开“server.xml”文件，修改redirectPort端口参数，如下所示：

DNS解析时间 通过域名解析服务（DNS），将指定的域名解析成IP地址的消耗时间。 TCP建连时间 浏览器或客户端和WEB服务器建立TCP/IP连接的消耗时间。 SSL握手时间 浏览器或客户端和WEB服务器建立安全套接层（SSL）连接的消耗时间。 首包时间 浏览器或客户端发送HTTP请求结束开始，到收到WEB服务器返回的第一个数据包的消耗时间。 内容下载时间 监测一个页面时，从页面角度看，浏览器或客户端接收WEB服务器返回第一个数据包，到所有内容传输完成的时间。

状态 说明 运行中 运行中 重启中 正在重启 备份中 数据库正在备份 恢复中 实例在恢复中 SSL转换中 实例在切换SSL（开启或关闭） 异常 实例异常 修改参数组中 在修改实例参数中 已冻结 实例冻结 已注销 实例注销 创建中 实例部署创建中 创建失败 实例部署创建失败 正在扩容 实例进行扩容 主备切换中 实例进行节点的主备切换 升级中 实例进行升级 已退订 实例退订 已停止 实例停止 启动中 实例启动

本文简述请求协议的配置方法。 功能介绍 配置请求协议，即配置允许客户端使用何种协议访问域名。 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。 HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，将实现客户端和天翼云边缘节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密，还需要配置边缘节点以HTTPS协议回源到源站服务器（源站服务器需要支持HTTPS协议）。 开启HTTPS后，HTTPS请求的基本流程： 1.客户端以HTTPS协议请求边缘节点。 2.边缘节点将相应的SSL证书公钥传送给客户端。 3.客户端解析SSL证书公钥的正确性，如果SSL证书公钥正确，则会生成一个随机数（密钥），并用公钥进行加密，并传输给边缘节点。 4.边缘节点用之前的私钥进行解密，得到随机数（密钥）。 5.边缘节点用随机数（密钥）对传输的数据进行加密。 6.客户端用随机数（密钥）对边缘节点的加密数据进行解密，拿到相应的数据。 注意事项 域名配置HTTPS前，需要提前准备好域名的证书文件。 配置说明 1.登录边缘安全加速平台控制台。 2.进入域名基础配置页面，点击“新增域名”。 3.进入请求协议中勾选，需要支持客户端访问的协议HTTP/HTTPS。支持单选、多选。 4.若勾选HTTPS，需要关联对应的证书备注名或上传证书。 配置 说明 关联证书 1.选择有效的证书 上传证书 1.若未找到目标证书，可点击上传。 2.证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 域名新增完成后，编辑请求协议： 1.登录客户控制台。 2.在域名基础配置页面，点击目标域名。 3.在请求协议页面，单击“配置编辑”。 4.在请求协议中可勾选/取消勾选，调整请求协议。 5.若勾选HTTPS，可编辑域名关联的证书，或重新上传证书。

本文介绍HTTPS双向认证功能原理。 功能介绍 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。在标准的HTTPS中，通常采用单向认证的方式，即服务器向客户端证明自己的身份以建立一个安全加密的通信连接；双向认证在服务器向客户端证明身份的基础上，还需要客户端也提供客户端证书，供服务器验证客户端的身份，客户端与服务器双方都验证通过对方的身份后，才建立HTTPS连接。 单向认证流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥正确后，随机生成一个密钥，并使用公钥进行加密后发送给全站加速节点。 4. 全站加速节点使用对应私钥进行解密，得到密钥。 5. 客户端与全站加速节点在后续通信过程中使用该密钥对传输的数据加密。 6. 客户端与全站加速节点使用对应密钥对收到的数据进行解密，获取对应数据。 双向认证流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端，并发送证书请求标记要求获取客户端证书。 3. 客户端验证域名的SSL证书公钥正确后，随机生成一个密钥A，并使用SSL证书公钥进行加密后发送给全站加速节点。同时客户端收到证书请求标记，将发送对应的客户端证书给全站加速节点，同时计算历史消息的hash值，将该hash值通过客户端私钥签名，并将签名结果也发送给全站加速节点。 4. 全站加速节点使用域名SSL证书对应的私钥进行解密，得到密钥A。同时获取客户端的证书和签名后，验证客户端证书是否可信，并使用客户端证书公钥和历史消息的hash值校验签名是否正确，存储验证结果。 5. 客户端与全站加速节点在后续通信过程中使用该密钥A对传输的数据加密。 6. 客户端与全站加速节点使用对应密钥A对收到的数据进行解密，获取对应数据。 7. 后续客户端发送请求，如果之前验证是通过的则正常处理，否则立即返回错误响应，告诉客户端双向认证失败。

云产品 应用场景 描述 优势 对等连接 同区域的VPC互连 对于同一区域的VPC，可以通过对等连接进行互连，同一帐号与不同帐号的连接方式略有差异。 低成本，VPC对等连接免费 低延迟。 云间高速 跨区域的VPC互连 对于不同区域的VPC，不区分是否同一帐号，都可以互连，跨区域连接实现云上网络。 低时延高速率。 云网紧密融合。 高扩展性。 高安全性。 虚拟专用网络VPN 使用公网低成本连接跨区域VPC VPN连接（Virtual Private Network）用于搭建用户本地数据中心与天翼云VPC之间便捷、灵活， 即开即用的IPsec加密连接通道，实现灵活一体，可伸缩的混合云计算环境。 加密通道，安全性高。 低成本。 配置简单。

本文指导您如何上传已有SSL证书至证书管理服务控制台。 您可以将线下的SSL证书（已在其他平台购买并签发的SSL证书）上传至证书管理服务控制台进行统一管理。 证书上传后，支持查看证书详情，上传后的证书支持一键部署到天翼云服务。 约束限制 不支持上传已过期的证书。 已上传的证书不支持重复上传。 前提条件 目前仅支持上传PEM格式的证书。若证书为其他格式，需要转换成PEM格式后才能上传，详细操作请参见SSL证书格式转换。 操作步骤 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 上传证书”。 3. 单击“上传证书”，页面右侧弹出上传证书窗口。 4. 在上传证书窗口中，选择证书标准、配置证书名称。 参数 说明 证书标准 支持上传“国际标准”和“国密标准”的证书。 证书名称 自定义证书的名称。 名称仅支持英文、数字、“.”、“”、“”，长度为215个字符。 5. 上传证书文件。 证书标准 需要上传的文件 格式说明 上传说明 国际标准 证书文件 证书里的PEM格式的文件（后缀名为“.pem”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国际标准 证书私钥 证书里的KEY格式的文件（后缀名为“.key”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国际标准 证书链 可选，若有则上传 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 证书文件 证书里的签名证书文件（后缀名为“.pem”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 证书私钥 证书里的签名私钥文件（后缀名为“.key”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 加密证书 证书里的加密证书文件（后缀名为“.pem”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 加密私钥 证书里的加密私钥文件（后缀名为“.key”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 证书链 可选，若有则上传 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 6. 填写完成后，单击“确认”。 待证书状态为“上传成功”时，操作完成。

本文汇总了使用虚拟私有云产品时常见的使用路由类问题。 一个路由表里可以存在多少个路由？ 每个路由表默认可以存在200条路由，包括专线路由和对等连接路由等其他路由。 路由表有什么限制？ 做SNAT的弹性云服务器要开启“解除IP和MAC绑定”。 路由表中每条路由信息的目的地址唯一，下一跳地址必须是该VPC下的私有IP地址或虚拟IP，否则，路由表不会生效。 虚拟IP作为下一跳地址，该VPC下的虚拟IP绑定的弹性IP都会失效。 路由表收费吗？ 路由表功能本身不收费，但是，弹性云服务器、带宽等是收费的。 同一个VPC下，VPN和自定义路由的优先级关系是什么？ 自定义路由和VPN的优先级是相同的。

4.修改 WordPress 配置文件 a.编辑 wpconfig.php 文件： plaintext vim wpconfig.php b.按i键进入编辑模式。修改下述关于MySQL部分的配置信息，如果有问题可以从wpconfigsample.php文件进行恢复。 plaintext / databasenamehere 修改为实际的数据库名称，本文示例创建为：wordpress define( 'DBNAME', 'databasenamehere' ); / usernamehere 修改为实际创建的用户名，本文示例创建为：user define( 'DBUSER', 'usernamehere' ); / passwordhere 修改为实际创建用户名的密码 define( 'DBPASSWORD', 'passwordhere' ); / localhost 修改为数据库的主机加端口，格式：IP地址 + 端口号，本文示例创建为：192.168.1.11:13049 define( 'DBHOST', 'localhost' ); / utf8 修改为 utf8mb4 define( 'DBCHARSET', 'utf8' ); / '' 添加 utf8mb40900aici，如果你使用的非云数据库，请修改为 utf8mb4unicodeci define( 'DBCOLLATE', '' ); /可选，配置SSL加密连接，把 /path/ca.pem 替换为实际的CA证书路径 /可以参考 步骤三：配置MySQL安全，设置SSL数据加密，下载数据库的证书 define('MYSQLCLIENTFLAGS', MYSQLICLIENTSSL); define('MYSQLSSLCA', '/path/ca.pem'); c.按Esc键，输入:wq后按Enter键，保存退出配置文件。 5.安装并登录 WordPress 网站 a.浏览器访问“ b.配置站点标题、管理员账号、密码和邮箱，并单击“安装 WordPress”。 参数 说明 站点标题 WordPress网站名称。 用户名 WordPress管理员名称。 密码 可以使用默认的密码或者自定义密码。 不建议重复使用现有密码，并确保将密码保存在安全的位置。 您的电子邮箱地址 接收通知的电子邮件地址。

本文主要介绍 删除Topic。 本章节指导您删除Topic，请根据实际情况选择以下任意一种方式： 在控制台删除 在Kafka客户端上删除 前提条件 已创建Kafka实例，并且已创建Topic。 只有运行中的实例才可以删除Topic。 在控制台删除 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 选择“Topic管理”页签，显示已创建的Topic详情。 步骤 6 通过以下任意一种方法，删除Topic。 勾选Topic名称左侧的方框，可选一个或多个，单击信息栏左上侧的“删除Topic”。 在待删除Topic所在行，单击“更多 > 删除”。 步骤 7 在“删除Topic”对话框中，单击“是”，确认删除Topic。 在Kafka客户端上删除 Kafka客户端版本为2.2以上 时，支持通过kafkatopics.sh删除Topic。 未开启SASL的Kafka实例，在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令删除Topic。 ./kafkatopics.sh bootstrapserver {brokerip}:{port} delete topic {topicname} 已开启SASL的Kafka实例，通过以下步骤删除Topic。 （可选）如果已经设置了SSL证书配置，请跳过此步骤。否则请执行以下操作。在Kafka客户端的“/config”目录中创建“ssluserconfig.properties”文件，参考步骤3增加SSL证书配置。 在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令删除Topic。 ./kafkatopics.sh bootstrapserver {brokerip}:{port} delete topic {topicname} commandconfig ./config/ssluserconfig.properties

导出源库数据 步骤 1 登录到已准备的弹性云服务器或可访问源数据库的设备。 步骤 2 使用mongodump工具，备份源数据库中的数据。 此处以SSL连接方式为例进行说明，如果选择普通连接方式，去掉命令中对应的“ssl sslCAFile sslAllowInvalidCertificates ”即可。 ./mongodump host port authenticationDatabase u ssl sslCAFile sslAllowInvalidCertificates db collection gzip archive 表 参数说明 参数 说明 数据库地址。 数据库端口号。 数据库用户名。 存储 信息的数据库，一般为admin。 存放根证书的路径。 需要迁移的数据库名称。 需要迁移的数据库中的集合。 出现如下提示时，输入数据库管理员对应的密码： Enter password: 示例如下，命令执行后，archive 指定的文件即为最终的备份文件，如下命令以backup.tar.gz为例。 ./mongodump host 192.168. xx . xx port 8635 authenticationDatabase admin u rwuser ssl sslCAFile/tmp/ca.crt sslAllowInvalidCertificates db test collection usertable gzip archivebackup.tar.gz 20190304T18:42:10.687+0800 writing admin.system.users to 20190304T18:42:10.688+0800 done dumping admin.system.users (1 document) 20190304T18:42:10.688+0800 writing admin.system.roles to 20190304T18:42:10.690+0800 done dumping admin.system.roles (0 documents) 20190304T18:42:10.690+0800 writing admin.system.version to 20190304T18:42:10.691+0800 done dumping admin.system.version (2 documents) 20190304T18:42:10.691+0800 writing test.testcollection to 20190304T18:42:10.691+0800 writing admin.system.profile to 20190304T18:42:10.692+0800 done dumping admin.system.profile (4 documents) 20190304T18:42:10.695+0800 done dumping test.testcollection (198 documents)

字段 类型 字段说明 描述 accesslog.requestid string 随机ID标识 与攻击日志的“reqid” 字段末尾8个字符一致。 accesslog.time string 访问请求的时间 日志内容记录的GMT时间。 accesslog.connectionrequests string 标识该长链接第几个请求 accesslog.engip string WAF引擎IP accesslog.pid string 标识处理该请求的引擎 引擎（worker PID）。 accesslog.hostid string 访问请求的域名标识 防护域名ID(upstreamid)。 accesslog.tenantid string 防护域名的租户ID 一个账号对应一个租户ID。 accesslog.projectid string 防护域名的项目ID 用户在对应区域下的项目ID。 accesslog.remoteip string 标识请求的四层远端IP 请求的客户端IP。 说明 如果在WAF前部署了7层代理，本字段表示最靠近WAF的代理节点的IP地址。此时，真实访问者IP参考“xforwardedfor”，“xrealip”字段。 accesslog.remoteport string 标识请求的四层远端端口号 请求的客户端端口号。 accesslog.sip string 标识请求的客户端IP 如，XFF等。 accesslog.scheme string 请求协议类型 请求所使用的协议有： http https accesslog.responsecode string 请求响应码 源站返回给WAF的响应状态码。 accesslog.method string 请求方法 请求行中的请求类型。通常为“GET”或“POST”。 accesslog.httphost string 请求的服务器域名 浏览器的地址栏中输入的地址，域名或IP地址。 accesslog.url string 请求URL URL链接中的路径（不包含域名）。 accesslog.requestlength string 请求的长度 包括请求地址、HTTP请求头和请求体的字节数。 accesslog.bytessend string 发送给客户端的总字节数 WAF返回给客户端的总字节数。 accesslog.bodybytessent string 发送给客户端的响应体字节数 WAF返回给客户端的响应体字节数。 accesslog.upstreamaddr string 选择的后端服务器地址 请求所对应的源站IP。例如，WAF回源到ECS，则返回源站ECS的IP。 accesslog.requesttime string 标识请求处理时间 从读取客户端的第一个字节开始计时（单位：s）。 accesslog.upstreamresponsetime string 标识后端服务器响应时间 后端服务器响应WAF请求的时间（单位：s）。 accesslog.upstreamstatus string 标识后端服务器的响应码 后端服务器返回给WAF的响应状态码。 accesslog.upstreamconnecttime string 源站与后端服务建立连接的时间，单位为秒。 在使用SSL的情况下，握手过程所消耗的时间也会被记录下来。多次请求建立的时间，使用逗号分隔。 accesslog.upstreamheadertime string 后端服务器接收到第一个响应头字节的用时，单位为秒。 多次请求响应的时间，使用逗号分隔。 accesslog.bindip string WAF引擎回源IP WAF引擎所使用的回源IP。 accesslog.groupid string 对接LTS服务的日志组ID WAF对接云日志服务日志组ID。 accesslog.accessstreamid string 日志流ID 与“groupid”相关，是日志组下用户的accessstream的ID。 accesslog.engineid string WAF引擎标识 WAF引擎的唯一标识。 accesslog.timeiso8601 string 日志的ISO 8601格式时间 accesslog.sni string 通过SNI请求的域名 accesslog.tlsversion string 建立SSL连接的协议版本 请求所使用的TLS协议版本。 accesslog.sslcurves string 客户端支持的曲线列表 accesslog.sslsessionreused string SSL会话是否被重用。 表示SSL会话是否被重用。 r：是 .：否 accesslog.processtime string 引擎的检测用时（单位：ms） accesslog.args string 标识URL中的参数数据 accesslog.xforwardedfor string 当WAF前部署代理时，代理节点IP链 代理节点IP链，为1个或多个IP组成的字符串。 最左边为最原始客户端的IP地址，代理服务器每成功收到一个请求，就将请求来源IP地址添加到右边。 accesslog.cdnsrcip string 当WAF前部署CDN时CDN识别到的客户端IP 当WAF前部署CDN时，此字段记录的为CDN节点识别到的真实客户端IP。 说明 部分CDN厂商可能使用其他字段，WAF仅记录最常见的字段。 accesslog.xrealip string 当WAF前部署代理时，真实的客户端IP 代理节点识别到的真实客户端IP。 accesslog.intelcrawler string 用于情报反爬虫分析 accesslog.sslciphersmd5 string 标识sslciphers的md5值 accesslog.sslcipher string 标识使用的sslcipher accesslog.webtag string 标识网站名称 accesslog.useragent string 标识请求header中的useragent accesslog.upstreamresponselength string 标识后端响应的大小 accesslog.regionid string 标识请求所属Region accesslog.enterpriseprojectid string 标识请求域名所属企业项目ID accesslog.referer string 标识请求头中的Referer内容 最大长度为128字符，大于128字符会被截断。 accesslog.rule string 标识请求命中的规则 命中多条规则此处也只会显示一条。

常见问题 绑定域名失败常见原因：未将独立域名CNAME解析到分组的调试域名上或域名重复。 添加SSL证书失败常见原因：生成证书的域名和实际添加证书所用的域名不一致。 支持http to https自动重定向 约束限制 由于浏览器限制，非GET或非HEAD方法的重定向可能导致数据丢失，因此API请求方法限定为GET或HEAD。 开启重定向需满足以下条件： 创建API时，前端配置的请求协议选择“HTTPS”或“HTTP&HTTPS”。 API所属API分组已绑定独立域名和SSL证书。 独立域名绑定完成后，在“支持http to https自动重定向”列开启重定向功能。

说明：本章节会介绍如何通过公网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 ①　对目标实例绑定弹性公网IP。 ②　获取本地设备的IP地址。 ③　设置安全组规则。 ④　使用ping命令连通1.a中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 ⑤　使用客户端连接实例。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 3 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的弹性公网IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4 在打开登录信息窗口，选中创建的连接，单击“打开”，如下图所示。 若连接信息无误，即会成功连接实例。 图3 打开登录信息 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表 参数说明 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

失败 { "message": "软件内部错误，请稍后重试", "code": "0x00002" } 4.2.VPN启动 函数介绍 (void)SdkStartVPN:(NSDictionary)params completion:(TrustCompletion Nullable)completion; 函数用于启动零信任SDK的隧道。 请求 参数列表 参数 参数类型 参数含义 是否必传 备注 请求示例 { } 响应 参数列表 参数 参数类型 参数含义 是否必传 备注 code NSString 接口状态码 是 0：成功非0:失败 message NSString 接口返回信息 是 响应示例 成功 { "message": "", "code": "0x00000" } 失败 { "message": "软件内部错误，请稍后重试", "code": "0x00002" } 4.3.VPN停止 函数介绍 (void)SdkStopVPN:(NSDictionary)params completion:(TrustCompletion Nullable)completion; 函数用于停止零信任SDK的隧道。 请求 参数列表 参数 参数类型 参数含义 是否必传 备注 请求示例 { } 响应 参数列表 参数 参数类型 参数含义 是否必传 备注 code NSString 接口状态码 是 0：成功非0:失败 message NSString 接口返回信息 是

网络模式 打通方式 公网 该方式要求用户集群具备主动访问公网的能力。 若用户集群为三方云集群，可参考三方云VPC下启用NAT主动访问公网配置指引进行操作；若用户集群为本地集群，则需按照本地实际网络情况进行配置，或联系您的网络管理员进行协助。 专线内网 天翼云提供了专业的云产品能力，来支持用户将云下IDC网络或三方云网络与天翼云上VPC网络内网打通。建议可选产品有： 云专线CDA：提供物理专线连接，具有高带宽、低延迟和高可靠性，适合需要高性能连接的场景。 VPN连接：如果对成本敏感且对带宽要求不高，可以选择VPN连接，通过IPsec协议建立加密隧道，实现安全的连接。 具体产品配置指引，请登录天翼云官网对应产品页查看。

网络模式 打通方式 公网 该方式要求用户集群具备主动访问公网的能力。 若用户集群为三方云集群，可参考三方云VPC下启用NAT主动访问公网配置指引进行操作；若用户集群为本地集群，则需按照本地实际网络情况进行配置，或联系您的网络管理员进行协助； 专线内网 天翼云提供了专业的云产品能力，来支持用户将云下IDC网络或三方云网络与天翼云上VPC网络内网打通。建议可选产品有： 云专线CDA：提供物理专线连接，具有高带宽、低延迟和高可靠性，适合需要高性能连接的场景。 VPN连接：如果对成本敏感且对带宽要求不高，可以选择VPN连接，通过IPsec协议建立加密隧道，实现安全的连接。 具体产品配置指引，请登录天翼云官网对应产品页查看。

本文介绍如何购买SSL证书的域名监控服务配额。 操作场景 当域名监控服务配额不足时，请参照本文进行购买。 操作步骤 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”，单击“购买域名监控”，进入到证书管理服务产品购买页面。 3. 服务类型选择“域名监控服务”。 4. 选择域名监控服务的购买数量，单次最多可购买100个。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”下单。 6. 单击“提交订单”，在弹出的“订单详情”页确认订单信息。 7. 单击“立即支付”，完成域名监控服务的购买。 后续操作 购买域名监控服务配额后，即可添加域名对域名进行监控，详细操作请参见添加域名。

本章节为您介绍网关服务组的相关操作。 SSL网关服务功能是由网关服务器实现的，而网关服务器则由网关服务器组统一管理，网关服务与网关服务器组是一对一的关系。 提供服务器组的新增、编辑、删除、查看服务器列表，以及服务器的添加、修改、删除、启用/停用等功能。 新增服务器组 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务器组”，单击页面左上角的“新增服务器组”。 3. 在弹出的对话框中填写相关内容。 参数 参数说明 分组名称 自定义服务器组的名称。创建完成后不支持修改。 服务类型 选择服务器组的服务类型。 4. 确认后单击“确定”即完成创建。 相关操作： 服务器组创建完成，您可以根据需要编辑、删除服务器组。 编辑服务器组：选择需要编辑的服务器组，单击“操作”列的“编辑”即可修改。 删除服务器组：选择需要删除的服务器组，单击“操作”列的“删除”即可删除服务器组。 查看服务器列表：点击服务器组右侧的“查看服务器列表”，即可跳转到网关服务器组详情页面。 添加服务器 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务器组”，选择需要添加服务器的服务器组，单击“操作”列的“添加服务器”。 3. 在弹出的对话框中配置服务器的参数。 参数 参数说明 IP 填写密码机的IP地址。 端口 填写密码机的端口。 权重 选择密码机的权重。 描述 自定义密码机的描述。 启用 选择添加后密码机的启用状态。 4. 填写完成后，单击“确定”完成服务器添加。

本节介绍如何吊销SSL证书。 吊销证书指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。 如果您不再需要某张已签发的SSL证书或某张SSL证书密钥丢失或出于其他安全因素考虑，可以在证书管理控制台申请吊销证书。 注意 已签发的证书成功吊销后，若吊销时间距签发时间未超过28个自然日，支持重新申请证书，有且仅有一次重新申请的机会。 前提条件 仅支持状态为“已签发”状态的证书吊销。 吊销域名型（DV）证书 1. 选待吊销的DV证书，在“操作”列中选择“更多 > 吊销”。 2. 弹出证书吊销弹窗，确认待吊销的证书信息。 3. 确认证书仅有一次吊销机会后，勾选确认框。 4. 确认无误后，单击“确认吊销”，完成证书吊销操作。 吊销企业型（OV）证书/增强型（EV）证书 1. 选择待吊销的OV/EV证书，选择“操作”列的“更多 > 吊销”。 2. 在弹出的窗口中确认吊销信息，确认完毕后单击“下载吊销函”。 3. 确认吊销函的内容后，填写相关信息并且上传。 注意 吊销函须确认信息无误并签字保存。 吊销函需要盖公司公章回传。 4. 确认证书仅有一次吊销机会后，勾选确认框。 5. 单击“确认吊销”，完成证书吊销操作。

2. 我的 Ingress 控制器为何无法正确路由流量？ 如果你的 Ingress 控制器无法正确路由流量，可能有以下几种原因： Ingress 控制器未正确安装或配置 ：确保你已经正确安装并配置了 Ingress 控制器。你可以通过查看 Ingress 控制器的 Pods 和日志来确认其是否正在正常运行。 Ingress 资源配置错误 ：检查你的 Ingress 资源的定义。确保你正确地定义了路由规则，包括主机名、路径和后端服务。你也需要确定你的后端服务和端口正确地对应到你的 Pods。 服务或 Pods 不可用 ：Ingress 控制器将流量路由到 Kubernetes 服务，然后由服务路由到 Pods。如果服务或 Pods 不可用，Ingress 控制器将无法正确路由流量。你需要检查服务和 Pods 的状态，确保它们正在正常运行。 网络策略限制 ：如果你的集群使用了网络策略，可能会限制 Ingress 控制器与 Pods 的通信。检查你的网络策略，确保 Ingress 控制器可以到达它需要路由到的 Pods。 DNS 问题 ：如果你在 Ingress 规则中使用了主机名，你需要确保 DNS 正确解析到 Ingress 控制器的 IP 地址。 证书问题 ：如果你在 Ingress 中使用了 TLS，并且客户端在连接时遇到了证书错误，可能会导致流量无法正确路由。 解决上述问题通常需要查看和理解 Ingress 控制器、服务和 Pods 的日志，以及可能需要进行网络和 DNS 故障排查。 3. 如何在 Ingress 中设置 SSL/TLS 证书？ 在 Kubernetes Ingress 中设置 SSL/TLS 证书，通常需要以下步骤： 创建证书和私钥——首先，你需要一对有效的 SSL/TLS 证书和私钥。你可以从证书颁发机构（CA）购买，也可以自己生成（例如使用 OpenSSL）。证书应该匹配你的 Ingress 资源中定义的主机名。 创建 Kubernetes Secret——Kubernetes 使用 Secret 对象来存储敏感信息，例如 SSL/TLS 证书和私钥。你应该创建一个包含你的证书和私钥的 Secret。使用 kubectl create secret 命令可以创建一个新的 Secret，例如： bash kubectl create secret tls exampletls certpath/to/tls.crt keypath/to/tls.key 这将创建一个名为 exampletls 的 Secret，其中包含你的证书（tls.crt）和私钥（tls.key）。 在 Ingress 资源中引用 Secret——在你的 Ingress 资源中，你需要在 spec.tls 部分引用你刚刚创建的 Secret。例如： yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: exampleingress spec: tls: hosts: www.ctyun.com secretName: exampletls rules: host: www.ctyun.com http: paths: pathType: Prefix path: "/" backend: service: name: exampleservice port: number: 8080 在上面的示例中，所有发往 www.ctyun.com 的 HTTPS 流量都将使用名为 exampletls 的 Secret 中的证书和私钥。 请注意，这仅适用于使用标准 Kubernetes Ingress 资源的情况。对于某些 Ingress 控制器，例如 NGINX 或 Traefik，可能有额外或不同的步骤来配置 SSL/TLS 证书。你应该参考你所使用的 Ingress 控制器的官方文档，以获取具体的操作指南。

本页介绍了SSL证书产品的试用规则。 OV证书、DV单域名证书和EV证书均不提供试用。