本节主要介绍开启和关闭SSL安全连接。 GeminiDB Influx实例支持实例创建成功后，开启或关闭SSL安全连接。 使用须知 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 开启或关闭SSL安全连接时需要重启实例。 开启SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，开启SSL安全连接。 图 开启SSL安全连接 关闭SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，关闭SSL安全连接。 图 关闭SSL安全连接

本文为您介绍用户网关实例删除操作流程。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“IPsec VPN”，进入用户网关列表页面。 5. 在用户网关列表页，找到待删除的用户网关，在操作列单击“删除”，可以删除用户网关。 注意 如果用户网关上已经配置了VPN连接，则用户网关不允许删除。

如何理解IPsec VPN连接中的远端网关和远端子网？ 远端网关和远端子网是个相对的概念。在建立IPsec VPN连接时，从天翼云的角度出发，天翼云中的VPC网络就是本地子网，创建的VPN网关就是本地网关；与之对接的用户侧网络就是远端子网， 用户侧的网关就是远端网关。远端网关IP就是用户侧网关的公网IP，远端子网指需要和天翼云VPC子网互联的用户侧子网。 IPsec VPN连接远端子网是否可以包含本端子网？ 不可以。在建立IPsec VPN连接时，做好两端的网段地址规划是至关重要的。在IPsec VPN中，通常是通过路由的方式来实现子网之间的通信。如果网段地址存在重叠，将会导致网络通信的混乱和安全问题的产生。因此，当您在建立IPsec VPN连接时，您需要确保连接的远端子网和本端子网不能互相包含，请在创建IPsec VPN前做好两端的网段地址规划，避免地址重叠。

客户端连接配置 使用SSL连接DRDS实例的连接模式有多种，本文提供如下常见的加密连接客户端配置： 连接场景 连接说明 不使用SSL加密连接 sslmodeDISABLED plaintext 描述：Client端使用未加密的连接 client：mysql u p sslmodeDISABLED jdbc：jdbc:mysql://localhost:8066/testdb?useSSLfalse 使用SSL标准模式连接 sslmodePREFFERED plaintext 描述：默认行为，client端尝试使用加密进行连接，如果无法构建加密连接，则会退回到未加密的连接 client：mysql u p sslmodePREFFERED jdbc：jdbc:mysql://localhost:8066/testdb?requireSSLfalse&useSSLtrue&verifyServerCertificatefalse sslmodeREQUIRED plaintext 描述：Client端需要加密连接，如果无法构建连接，则Client端将报错 client：mysql u p sslmodeREQUIRED jdbc：jdbc:mysql://localhost:8066/testdb?requireSSLtrue&useSSLtrue&verifyServerCertificatefalse 使用SSL CA模式连接 注意 使用该方式前，您需要在控制台下载SSL证书包。 sslmodeVERIFYCA 单向认证 plaintext 描述：Client端需要加密连接，并且客户端会根据配置的CA证书对服务端证书进行验证 client：mysql u p sslmodeVERIFYCA sslca'${自签名CA证书}' jdbc: mysql://localhost:8066/testdb? requireSSLtrue &useSSLtrue &verifyServerCertificatetrue &trustCertificateKeyStoreUrlfile:${自签名CA证书的JKS密钥库} &trustCertificateKeyStorePassword${自签名CA证书的JKS密钥库的密码} 双向认证 plaintext 描述：Client端需要加密连接，客户端会根据配置的CA证书对服务端证书进行验证，同时服务端也会验证客户端证书的有效性 client：mysql u p sslmodeVERIFYCA sslca'${自签名CA证书}' sslcert'${客户端数字证书}' sslkey'${客户端私钥}' jdbc:mysql://localhost:8066/testdb? requireSSLtrue &useSSLtrue &verifyServerCertificatetrue &trustCertificateKeyStoreUrlfile:${自签名CA证书的JKS密钥库} &trustCertificateKeyStorePassword${自签名CA证书的JKS密钥库的密码} &clientCertificateKeyStoreUrlfile:${客户端数字证书和私钥的JKS密钥库} &clientCertificateKeyStorePasswordfile:${客户端数字证书和私钥的JKS密钥库}

本文为您介绍删除证书操作流程。 操作场景 当证书失效后，需要更换新的证书，此时可以删除相关证书。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“证书管理”，进入上传VPN证书管理页面。 5. 在VPN证书管理页面，找到目标证书，在操作列单击“删除”。注意：当证书被VPN连接绑定时，不支持删除。 6. 在删除证书对话框，单击“确定”，删除证书。

本文为您介绍上传证书操作流程。 操作场景 国密型VPN网关，需要上传国密证书，用于和对端网关建立IPsec连接。 普通型VPN网关，IPsec连接选择“证书认证”且用户自备证书场景，需要上传证书。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“证书管理”，进入VPN证书管理页面。 5. 在VPN证书管理页面，单击“上传证书”，进入上传证书页面，按照证书类型和提示上传证书。 普通型证书上传页面如下： 国密型证书上传页面如下： 6. 上传完成，单击“确定”。

本章节向您主要介绍VPN连接服务的应用场景。 混合云部署 通过VPN将用户数据中心和云上VPC互联，利用云上弹性和快速伸缩能力，扩展应用计算能力。 跨地域VPC互联 通过VPN连接服务将云上的不同节点的VPC连接，使得用户的数据和服务在不同地域能够互联互通。 多企业分支互联 通过VPN Hub实现企业分支间互访，避免两两分支之间配置VPN连接。 VPN和专线互备 用户数据中心与云上VPC通过专线连接，同时建立VPN连接实现备份，提高可靠性。

本文向您介绍如何上传企业版VPN网关证书。 场景描述 国密型VPN网关，需要上传证书，用于和对端网关建立VPN连接；首次使用国密型网关，用户需要在云监控页面配置云监控告警，详细步骤请参见《云监控服务用户指南》。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面需要上传证书的国密型VPN网关所在行，选择“更多 > 查看/上传证书”。 4. 单击“上传证书”，根据界面提示填写相关信息。 表VPN网关证书参数说明 参数 说明 取值样例 证书名称 用户自定义。 certificate001 签名证书 签名证书用于对数据进行签名认证，以保证数据的有效性和不可否认性。 以文本方式打开签名证书PEM格式的文件（后缀名为“.pem”），将证书内容复制到此处。 签名证书需要同时上传签发此签名证书的CA证书。 BEGIN CERTIFICATE 签名证书 END CERTIFICATE BEGIN CERTIFICATE CA证书 END CERTIFICATE 签名私钥 签名私钥用于对签名证书加密过的数据进行解密，签名私钥是非公开的，由用户自行保管。 以文本方式打开签名私钥KEY格式的文件（后缀名为“.key”），将私钥复制到此处。 BEGIN EC PRIVATE KEY 签名私钥 END EC PRIVATE KEY 加密证书 加密证书用于对VPN连接的传输数据进行加密，以保证数据的保密性和完整性。签发该加密证书的CA机构需和签发签名证书的CA机构保持一致。 以文本方式打开加密证书PEM格式的文件（后缀名为“.pem”），将证书内容复制到此处。 BEGIN CERTIFICATE 加密证书 END CERTIFICATE 加密私钥 加密私钥用于对加密证书加密过的数据进行解密，加密私钥是非公开的，由用户自行保管。 以文本方式打开加密私钥KEY格式的文件（后缀名为“.key”），将私钥内容复制到此处。 BEGIN EC PRIVATE KEY 加密私钥 END EC PRIVATE KEY

本页介绍如何下载关系数据库MySQL版实例的SSL CA证书。 操作场景 为了提高关系数据库MySQL版的链路安全性，您可以启用SSL（Secure Sockets Layer）加密，并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密，能提升通信数据的安全性和完整性，同时会增加网络连接响应时间。 约束限制 数据库版本： 5.7，8.0 实例类型为：单机版，一主一备、一主两备、数据库代理实例。 实例的SSL状态需要为开启状态。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据安全 ，并选择SSL加密 页签，查看SSL开关状态。 单击SSL设置 ，进入SSL设置 对话框。然后单击SSL链路加密 右侧的图标，单击确定，开启SSL加密。 注意 如果是数据库代理实例，请于代理实例页面的连接地址区域查看。 5. 单击服务器证书 右侧下载证书。

本节主要介绍下载下载SSL默认证书。 操作场景 SSL证书是一种遵守SSL协议的服务器数字证书，可以在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 为了提高数据安全性，GeminiDB Influx实例提供默认的SSL证书，创建实例时您可以开启SSL安全连接，待实例创建成功后，可通过SSL方式连接实例。 本章节主要介绍获取GeminiDB Influx提供的SSL默认安全证书的方法。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择指定实例，单击实例名称，进入“基本信息”页面。 4. 在“数据库信息”区域的SSL处，单击，下载SSL安全证书。 图1 下载SSL证书

本文介绍如何下载IPsec连接的证书。 当创建的IPsec连接的认证方式为证书认证，且认证选择为自签时，天翼云VPN网关会自动为您生成认证证书，您需要在IPsec连接页面下载相关的证书，并导入您本地数据中心的设备。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“IPsec VPN”，进入IPsec VPN页面。 5. 单击“IPsec连接”，进入“IPsec连接”页签。 6. 在IPsec连接页面，在操作列单击“证书下载”，下载根证书、证书和密钥文件。

操作 ccms admin cms viewer 获取SSL证书列表 ✓ ✓ 获取SSL证书详情 ✓ ✓ 获取SSL证书申请信息 ✓ ✓ SSL证书状态统计 ✓ ✓ 查询联系人 ✓ ✓ 获取SSL证书下载列表 ✓ ✓ 查询csr列表 ✓ ✓ 查询公司 ✓ ✓ 获取csr详情 ✓ ✓ 查询csr可用列表 ✓ ✓ 获取域名认证信息 ✓ ✓ SSL证书申请 ✓ × SSL证书申请撤回 ✓ × SSL证书下载 ✓ × SSL证书吊销 ✓ × 添加联系人 ✓ × 删除联系人 ✓ × 编辑联系人 ✓ × 吊销函下载 ✓ × 删除SSL证书 ✓ × 添加公司 ✓ × 编辑公司 ✓ × 删除公司 ✓ × 证书标签编辑 ✓ × 添加csr ✓ × 删除csr ✓ × 上传csr ✓ ×

本章节向您主要介绍如何调整VPN网关带宽。 约束与限制 二类节点中仅广州4、哈尔滨、乌鲁木齐、中卫、郑州、南宁、太原、青岛、沈阳3、北京2、长春、天津节点支持VPN网关支持带宽的升、降配。 操作步骤 1. 登录管理控制台。 2. 在管理控制台上方选择区域和项目。 3. 在系统首页，单击“网络 > 虚拟专用网络”。 4. 在左侧导航栏选择“虚拟专用网络 > VPN网关”。 5. 在VPN网关列表页面，选择目标VPN网关所在行。 6. 在目标VPN网关所在行的“操作”列，选择“更多 ＞ 修改带宽 ”，进入修改带宽页面。 7. 选择目标带宽大小。 8. 单击“提交”，完成按需按带宽进行带宽升配或降配。 带宽调整后，将在下个计费周期生效。

本文介绍如何下载证书。 通过证书管理服务购买并签发SSL证书后，您需要将已签发的SSL证书安装至服务器，才能使SSL证书生效。 不同类型的服务器支持配置的SSL证书格式不同。为了便于您安装SSL证书，证书管理服务提供了适用于各种服务器（例如，Apache、Exchange、GlassFish、Internet Information Services,IIS、Nginx、TOMACAT））的SSL证书压缩包，供您直接下载使用（无需手动转换SSL证书格式）。 如果您已经通过证书管理服务购买并签发了SSL证书，可以执行以下步骤，将已签发的SSL证书下载到本地。 前提条件 只有证书“状态”为“已签发”、“即将过期”、“已过期”和“吊销审核中”的证书可以下载。 下载正式证书 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > SSL证书列表”。 3. 找到需要下载的证书，单击“操作”列的“证书下载”。 4. 根据您的服务器类型选择需要下载的证书，如果不确定，可以下载“ALL”。 下载测试证书 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > SSL证书列表”。 3. 选择“测试证书”页签，找到需要下载的证书，单击“操作”列的“证书下载”。 4. 根据您的服务器类型选择需要下载的证书，如果不确定，可以下载“ALL”。

本节将指导您如何使用内网DNS和VPN网关，实现在IDC访问云上的网络资源。 背景描述 IDC与云上VPC属于两套网络环境，会增加运维工作压力及数据一致性管理风险。通过设置正确的DNS解析和建立VPN连接，您可以轻松地将本地IDC和云上的网络资源进行连接。 解决方案 资源准备 环境 VPC 公网IP 内网IP 记录集类型 云下 121.229. . 10.0.0.33 A 云上 vpcnewDNS 117.89. . 192.168.0.6 A 方案介绍 通过专线/VPN等连接方式，将云上VPC与传统数据中心互联。本实践采用IPsecVPN隧道方式。使用内网DNS。通过内网DNS将线下自建DNS的解析同步至云上进行解析。 步骤一：创建VPN网关 步骤二：创建用户网关 步骤三：创建IPsec连接 步骤四：在本地网关设备中加载VPN配置 步骤五：内网DNS配置使用 操作步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择华东1。 3. 在网络区域选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。具体步骤可参见创建和管理VPN网关实例。 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“确认下单”，支付成功后，VPN网关创建成功。

本章节主要介绍如何创建KafkaSSL类型跨源认证。 操作场景 通过在DLI控制台创建的KafkaSSL类型的跨源认证，将Kafka的认证信息存储到DLI，无需在SQL作业中配置帐号密码，安全访问Kafka实例。 说明 MRS Kafka开启Kerberos认证，未开启SSL认证时，创建Kerberos类型的认证。建表时通过krbauthname关联跨源认证。 MRS Kafka开启Kerberos认证，同时开启了SSL认证时，需要同时创建Kerberos和KafkaSSL类型的认证。建表时分别通过krbauthname和sslauthname关联跨源认证。 MRS Kafka未开启Kerberos认证，仅开启了SASL认证时（例如使用帐号密码认证PlainLoginModule场景），无需使用跨源认证。 MRS Kafka未开启Kerberos认证，仅开启了SSL认证时，创建KafkaSSL类型的认证。建表时通过sslauthname关联跨源认证。 MRS Kafka未开启Kerberos认证，开启了SASL认证和SSL认证时，创建KafkaSSL类型的认证。建表时通过sslauthname关联跨源认证。 操作步骤 1. 下载认证凭证。 DMS Kafka a.登录DMS Kafka控制台，单击实例名称进入详情页面。 b.在连接信息中，找到SSL证书，单击“下载”。 解压下载的kafkacerts压缩包，获取client.jks和phyca.crt文件。 MRS Kafka a.登录MRS Manager界面。 b.选择“系统 > 权限 > 用户”。 c.单击“更多 > 下载认证凭据”，保存后解压得到Truststore文件。 2. 上传认证凭证到OBS桶。 3. 创建跨源认证。 a.登录DLI管理控制台。 b.选择“跨源管理 > 跨源认证”。 c.单击“创建”。 填写Kafka认证信息，详细参数说明请参考下表。 参数说明 参数 参数说明 类型 选择KafkaSSL。 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 Truststore路径 上传SSL Truststore文件的OBS路径。 MRS Kafka请填写Truststore.jks文件的OBS路径。 DMS Kafka请填写client.jks文件的OBS路径。 Truststore密码 truststore密码。 Keystore路径 上传SSL KEYSTORE(密钥和证书)文件的OBS路径。 Keystore密码 keystore(密钥和证书)密码。 Key密码 keystore中的私钥密码。 4. 访问开启SASLSSL认证的Kafka。 跨源认证创建成功后，在创建访问数据源时只需关联跨源认证即可安全访问数据源。

查看监控详情 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”。 3. 在域名监控列表找到需要查看监控数据的域名，单击操作列的“监控详情”。 4. 查看详细监控数据。 监控数据说明如下： 分类 参数 说明 概览 安全等级 域名安全评级。 概览 监控状态 扫描中 正常 概览 ATS 满足 不满足 概览 PCI DSS 满足 不满足 证书信息 SSL证书信息 通用名称：当前SSL证书的通用名称。 签名算法：当前SSL证书使用的签名算法。 证书透明（CT）：当前证书签发行为是否透明公开。true表示公开。 证书品牌：当前SSL证书的版本。包括标准版、SecureSite、GeoTrust、GlobalSign、CFCA、TrustAsia。 证书类型：当前SSL证书的种类。包括DV、OV、EV。 开始时间：当前SSL证书签发时间。 结束时间：当前SSL证书到期时间。 组织机构：组织名称。 备用名称：当前SSL证书的备用名称。 证书信息 证书链信息 颁发给：需要颁发证书的域名。 颁发者：SSL证书的颁发机构名称。 有效期：证书有效期。 协议与套件 协议 展示TLS协议类型的支持情况。 协议与套件 SSL漏洞检测 展示SSL漏洞检测信息。 协议与套件 套件 展示支持的加密套件详情。

本文介绍如何下载IPsec连接配置。 创建IPsec连接后，您可以下载IPsec连接的配置。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“IPsec VPN”，进入IPsec VPN页面。 5. 单击“IPsec连接”，进入“IPsec连接”页签。 6. 在IPsec连接页面，在操作列单击“更多”，选择“下载对端配置”，查看配置信息，本地网关设备需要照此进行配置，如果配置不一致，会导致协商失败。 7. 在下载对端配置对话框，单击“确定”关闭对话框。

本章节向您主要介绍VPN连接服务的主要优势。 高安全 采用专业设备，基于IKE和IPsec对传输数据加密，提供了电信级的高可靠性机制，从硬件、软件、链路三个层面保证VPN服务的稳定运行。 高可用 采用主备模式，正常情况下VPN网关和对端网关通过主连接进行通信；当主连接发生故障时，VPN连接会自动切换到备连接；故障恢复后，VPN连接会自动切回到主连接。 无缝扩展资源 将用户本地数据中心与云上VPC互联，业务快速扩展上云，实现混合云部署。 连通成本低 利用Internet构建IPsec加密通道，使用费用相对云专线服务更便宜。 即开即用 部署快速，实时生效，在用户数据中心的VPN设备进行简单配置即可完成对接。

本节介绍创建IPsec VPN的操作说明。 注：目前仅支持部分资源池开启IPsec VPN的功能，如当前资源池的AI云电脑（政企版）控制台没有IPsec VPN的功能菜单，请联系运维客服进行开通（运维客服邮箱：clouddesktop@chinatelecom.cn） 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.点击“创建IPsec VPN”，填写相关信息； 在创建IPsec VPN页面中填写相关信息，下面以客户侧网段192.168.10.0/24为例，带宽为5M创建，选择主VPC。其中“标识符类型”可选“IPV4”和“FQDN”，若选择IPV4，则云端标识符会默认填充为云侧公网IPV4地址，客户侧标识符则需用户填写客户设备的公网IPV4地址。若选择“FQDN”则填写对应的标识符，这些隧道信息在配置客户侧防火墙过程中使用到。 详细参数解析： （1）IPsec VPN名称：用户自定义，比如“IPSecVPN”。 （2）客户侧私网网段：客户办公区私网网段，与IPsec VPN绑定的云侧VPC子网网段不可重叠。 （3）客户侧公网地址：客户侧有固定公网地址则填写固定公网地址，无固定公网地址可以在客户内网打开浏览器百度搜索“IP”获取出口公网地址。 （4）IKE版本：只支持IKEv2版本。 （5）预共享密钥：密码强度826位，须同时包含英文字母、数字和特殊字符。客户侧防火墙与IPSec VPN实例预共享密钥需配置一致。 （6）标识符类型：支持IPV4与FQDN（域名）两种类型，默认选择IPV4。 （7）云端标识符与客户侧标识符：若使用IVP4，云端标识符会自动填充为云侧公网IPV4地址，客户端标识符需要填写客户侧设备公网IPV4地址。若填写FQDN，则需要用户填写对应的FQDN信息。用户需要注意填写 标识符顺序，假设创建IPsec VPN实例时标识符类型选用FQDN，云端标识符设置为cloud.responder，客户侧标识符设置为customer.initiator，那么客户侧VPN设备，如strongswan，leftid应设置为 @customer.initiator，rightid应设置为@cloud.responder，类型为IPV4同理。 （8）选择主VPC：客户端需要与云侧互通的VPC 4.确定创建后，IPsec VPN实例创建成功。

IPsec VPN状态与策略 完成IPsec VPN隧道创建并启用后，可点击IPsec VPN状态或策略tab查看详情。

本文向您介绍如何排查企业版VPN云上云下无法Ping通的问题。 故障现象 云下数据中心服务器无法Ping通VPC上的ECS服务器。 VPC上的ECS服务器无法Ping通云下数据中心服务器。 可能原因 安全组配置不正确 客户设备侧放通策略配置不正确 客户设备侧路由配置不正确 处理步骤 检查安全组配置 确认default安全组已经放通去往对端子网数据流。 default安全组查看步骤如下： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击关联的VPC名称。 2. 单击VPC对应的路由表。 3. 单击路由表的名称。 4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。 5. 在“关联安全组”页签，检查端口放通情况。 确认default安全组已经放通来自对端子网数据流。 确认default安全组已经放通去往本端子网数据流。 确认default安全组已经放通来自本端子网数据流。 确认ECS所在的安全组已经放通去往对端子网数据流。 ECS安全组可以选择“计算 > 弹性云主机”，单击“更多 > 安全组规则配置”查看。 确认ECS所在的安全组已经放通来自对端子网数据流。 检查客户设备侧放通策略 确认客户设备侧已经放通去往VPN本端子网的数据流。 确认客户设备侧已经放通来自VPN本端子网的数据流。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。 检查客户设备侧路由配置 确认公网路由配置正确：目的地址为VPN网关EIP地址，下一跳为设备出口地址。 确认私网路由配置正确：目的地址为VPN本端子网，下一跳为设备出口地址。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。

场景描述 国密型VPN网关证书到期或失效后，需要更换VPN网关证书。 更换VPN网关证书，对端网关需要使用新的配套CA证书与VPN网关进行重协商，否则连接中断。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面需要上传证书的国密型VPN网关所在行，选择“更多 > 查看/上传证书”。 4. 单击“更换”，根据界面提示填写相关信息。 表VPN网关证书参数说明 参数 说明 取值样例 证书名称 不支持修改。 与原证书名称保持一致。 新签名证书 签名证书用于对数据进行签名认证，以保证数据的有效性和不可否认性。 以文本方式打开签名证书PEM格式的文件（后缀名为“.pem”），将证书内容复制到此处。 签名证书需要同时上传签发此签名证书的CA证书。 BEGIN CERTIFICATE 签名证书 END CERTIFICATE BEGIN CERTIFICATE CA证书 END CERTIFICATE 新签名私钥 签名私钥用于对签名证书加密过的数据进行解密，签名私钥是非公开的，由用户自行保管。 以文本方式打开签名私钥KEY格式的文件（后缀名为“.key”），将私钥复制到此处。 BEGIN EC PRIVATE KEY 签名私钥 END EC PRIVATE KEY 新加密证书 加密证书用于对VPN连接的传输数据进行加密，以保证数据的保密性和完整性。签发该加密证书的CA机构需和签发签名证书的CA机构保持一致。 以文本方式打开加密证书PEM格式的文件（后缀名为“.pem”），将证书内容复制到此处。 BEGIN CERTIFICATE 加密证书 END CERTIFICATE 新加密私钥 加密私钥用于对加密证书加密过的数据进行解密，加密私钥是非公开的，由用户自行保管。 以文本方式打开加密私钥KEY格式的文件（后缀名为“.key”），将私钥内容复制到此处。 BEGIN EC PRIVATE KEY 加密私钥 END EC PRIVATE KEY 5. 勾选“我已知晓上述内容，确认更换证书”，单击“确定”。

本文为您介绍山石防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置项 示例值 IKE 认证算法 SHA256 IKE 加密算法 3DES IKE DH分组 Group14 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA256 IPsec 加密算法 3DES IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 登录防火墙Web页面，在网络>VPN>IPsec VPN页面，在右上角的相关配置中选择P1提议，进入P1提议页面。 2. 在P1提议页面，单击“新建”，进入阶段1提议配置页面。 3. 在阶段1提议配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”， 完成配置。 4. 在右上角的相关配置中选择P2提议，进入阶段2提议页面。 5. 在P2提议页面，单击“新建”，进入阶段2提议配置页面。 6. 在阶段2提议配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”， 完成配置。 7. 在IPsec VPN页面， 单击“新建”，进入IPsec VPN配置页面。 8. 在IPSec VPN配置页面，展开“对端选择”下拉框，单击，进入VPN对端配置页面。 9. 在VPN对端配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”，完成配置。 10. 在IPsec VPN配置页面，选择创建好的对端体，并根据天翼云IPsec连接中的配置信息完成隧道配置，单击“确定”。 11. 配置完成后，可以在IPsec VPN页面查看相关配置信息。 12. 在网络>安全域页面，单击“新建”按钮新建安全域。在安全域名称页面，输入安全域的名称，并在类型中选择三层安全域。 13. 在网络>接口页面，单击“新建”隧道接口，在隧道接口配置页面，根据提示输入配置接口名称、安全域、IP配置、绑定隧道配置（选择IPSec VPN及VPN名称）等，单击“确定”，完成配置。 14. 在策略>安全策略页面，单击“新建”，进入安全策略页面。根据提示输入配置，单击“确定”，配置完成。 15. 在网络>路由页面，单击“新建”分别添加上行和下行路由。 上行路由：目的地址为天翼云VPC的网段，下一跳为新建的隧道接口。 下行路由：如果目的网段非本地直连路由，请按需添加下行路由。 16. 测试连通性。 可以利用您的云主机和您的数据中心主机进行连通性测试。

本节介绍删除IPSec VPN实例。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中点击“管理”，选择“删除”，即可删除IPsec VPN实例。

本文介绍如何删除IPsec连接。 注意 当路由条目的下一跳指向了某IPsec连接时，该IPsec连接不允许被删除。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“IPsec VPN”，进入IPsec VPN页面。 5. 单击“IPsec连接”，进入“IPsec连接”页签。 6. 在IPsec连接页面，在操作列单击“更多”，选择“删除”。 7. 在删除对话框，单击“确定”，删除IPsec连接。

本文向您介绍如何删除企业版VPN的对端网关。 场景描述 用户根据实际需要删除已创建的对端网关。 约束与限制 若对端网关已被VPN连接关联，则无法直接删除该对端网关，需要先将该对端网关在VPN连接中移除。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 3. 在“对端网关”界面，选择目标对端网关所在行，单击操作列的“删除”。 4. 确定要删除的对端网关信息，单击“是”。

字段名称 说明 客户端SSL证书 选择SSL证书解压目录下的“sslcertclient.crt”文件。 客户端SSL密钥 客户端SSL秘钥只支持PK8格式，请选择SSL证书解压目录下的“sslcertclient.key.pk8”文件。 根证书 当“SSL模式”设为“verifyca”时，必须设置根证书，请选择SSL证书解压目录下的“sslcertcacert.pem”文件。 SSL密码 客户端pk8格式SSL秘钥密码，默认密码为“Gauss@MppDB”。 SSL模式 DWS支持的SSL模式有： require verifyca DWS不支持“verifyfull”模式。

参数名 说明 参数值样例 [DSN] 数据源的名称。 [DWSODBC] Driver 驱动名称，对应“odbcinst.ini”中的DriverName。 DriverDWS Servername 服务器的IP地址。 Servername10.10.0.13 Database 要连接的数据库的名称。 Databasegaussdb Username 数据库用户名称。 Usernamedbadmin Password 数据库用户密码。 Password password Port 服务器的端口号。 Port8000 Sslmode SSL认证工作模式。集群默认开启。 取值及含义： disable：只尝试非SSL连接。 allow：首先尝试非SSL连接，如果连接失败，再尝试SSL连接。 prefer：首先尝试SSL连接，如果连接失败，将尝试非SSL连接。 require：只尝试SSL连接。如果存在CA文件，则按设置成verifyca的方式验证。 verifyca：只尝试SSL连接，并且验证服务器是否具有由可信任的证书机构签发的证书。 verifyfull：DWS不支持此模式。 说明 SSL模式安全性高于普通模式，集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接，建议在使用ODBC连接DWS集群时采用SSL模式。 Sslmodeallow

本节介绍了连接类相关问题与处理方法。 root账号的ssltype修改为ANY后无法登录、 场景描述 在控制台以root帐号通过DAS登录实例时，报错Access denied。 原因分析 1. 查看mysql.user表中的root帐号信息，排查客户端IP范围是否正确、是否使用SSL。 SELECT FROM mysql.user WHERE User'root'; 如果发现root帐号的ssltype 被设置为 ANY ，表明root帐号需要使用SSL连接。 2. 查看SSL开启情况。 show variables like '%ssl%'; 发现该实例未开启SSL： 因此，问题原因是自行修改root帐号的ssltype 为ANY后，导致无法登录。 解决方案 将root帐号的ssltype修改为空即可，参考命令： update mysql.user set ssltype'' where user 'root'; 如果要将其他所有用户帐号的ssltype修改为空，参考命令： update mysql.user set ssltype'' where user not like 'mysql%'; SSL使用与介绍 场景描述 使用SSL无法连接上数据库。 原因分析 优先检查网络是否已经连通，如果不带SSL的连接方式可以连接，则可能是mysql client或对应的数据库驱动的版本不兼容。 解决方案 TaurusDB是兼容社区8.0以上版本的，需要使用8.0及以上版本的mysql client或数据库驱动。 SSL(Secure Socket Layer：安全套接字层)使用数据加密、身份校验和消息完整性校验，为连接提供安全性保证。 SSL提供的功能主要包含 ： 1. 加密数据传输：利用对称密钥算法对传输的数据进行加密。 2. 身份校验：基于证书使用数字签名的方法对客户端与服务器进行身份验证。 3. 消息完整性校验：消息传输过程中使用MAC算法来检验消息的完整性。 注意 当服务端的SSL开启时，客户端的身份验证是可选的，即：即使服务端开启了SSL，客户端也可以不通过SSL的方式连接服务端，此时也可以正常通信，只是数据不会被加密。 如果不是通过SSL的方式，那么其在网络中的传输数据会以明文进行，存在安全隐患。 TaurusDB数据库服务端会默认开启服务端会默认开启SSL，客户业务使用时可以在客户端自行选择是否使用SSL。

在创建目的路由模式的IPsec连接后，您还需要手动添加VPN网关路由。 基于路由的IPsec VPN，不仅可以更方便地配置和维护VPN策略，而且还提供了灵活的流量路由方式。 您可以为VPN网关添加如下两种路由： 目的路由。 策略路由。 目的路由 目的路由仅基于目的IP进行路由转发。 添加目的路由的详细信息，请参见使用目的路由。 策略路由 策略路由基于源IP和目的IP进行更精确的路由转发。 添加策略路由的详细信息，请参见使用策略路由。 策略路由比目的路由的优先级高。

本文向您介绍如何在云监控中创建VPN告警规则。 操作场景 通过设置告警规则，用户可自定义监控目标与通知策略，及时了解虚拟专用网络的状况，从而起到预警作用。 操作步骤 1. 登录管理控制台，单击“管理与监管 > 云监控服务”。 2. 选择“云服务监控 > 虚拟专用网络”，单击“创建告警规则”。 VPN告警规则请在“独享型VPN连接”页签配置。 VPN默认不提供告警模板，请先创建自定义告警模板，然后重新在“云服务监控 > 虚拟专用网络”，单击“创建告警规则”进行告警规则配置。 3. 规则参数设置完成后，单击“立即创建”。 虚拟专用网络告警规则设置完成后，当符合规则的告警产生时，系统会自动进行通知。 说明 更多关于VPN监控规则的信息，请参见《云监控服务用户指南》。