IaaS资源费用 使用CCE One过程中，如果需要开通IaaS资源，由对应云产品单独向您计费。涉及资源和计费参见如下： ELB计费信息参考：弹性负载均衡计费说明 EIP计费信息参考：弹性IP计费说明 ECS计费信息参考：弹性云主机计费说明 具体涉及的云产品，请以实际使用情况为准。 说明 关联资源的计费由对应云产品直接向您收取，您可通过订单及账单明细查询关注相关账单信息。

本文介绍CDN加速域名配置HTTPS中间证书的方法。 背景说明 中间证书是根证书颁发机构CA对中间证书颁发机构的公钥进行数字签名得到的证书。其作用是通过中间证书的私钥来签署最终用户的SSL证书，通过中间根对另一个中间根进行签名，然后CA使用它来对证书进行签名。如果CA直接从其根源颁发服务器证书，在这一过程中出现任何错误或者要求撤销每个使用root签名的证书，那么这个证书将立即不受信任。因此，为了避免这种风险发生，CA机构一般会引用中间证书。 主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示，或者安装了安全证书的网站，用手机访问时还是会出现不安全的提示，其实这都是中间证书链不完整导致的。 配置说明 1. 天翼云CDN控制台支持pem的证书格式。 2. 在【域名管理】【域名列表】选中对应域名，单击编辑进入配置界面，单击右侧【请求协议】，在【请求协议】模块，勾选【HTTPS】。单击右侧【HTTPS配置】，在【证书】模块，单击【点击上传】，输入证书备注名，在【证书公钥（PEM）格式】输入域名证书拼接中间证书即可，具体拼接格式如下： BEGIN CERTIFICATE 域名证书 END CERTIFICATE BEGIN CERTIFICATE 中间证书 END CERTIFICATE 示例：

本文提供天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK 儿童个人信息保护政策及监护人须知 儿童个人信息保护政策及监护人须知发布日期：【2025年5月13日】 本须知仅适用于由天翼云科技有限公司提供的天翼云边缘安全加速平台零信任服务天翼云AOne SDK服务。 版本生效日期：【2025年5月13日】 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件：service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电话：4008109889 天翼云门户：管理中心新建工单；智能客服 为了更好地在您使用我们服务的过程中保障您的个人信息，我们对《 天翼云AOne SDK儿童个人信息保护政策及监护人须知 》进行了更新，此版本主要更新内容包括： 1、更新天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK产品由天翼云科技有限公司（“天翼云”）运营，是一款为移动应用开发者（以下简称“开发者”）提供调用零信任内网连接等能力服务的软件开发工具包（SDK）。我们致力于保护儿童个人信息，本须知中的“儿童”，是指满14周岁的未成年人。为此，我们专门制定了《天翼云AOne SDK儿童个人信息保护政策及监护人须知》（简称“本须知”），向您说明我们处理儿童个人信息的规则。您作为儿童的父母或其他监护人（统称“监护人”），请在您或您所监护的儿童（简称“被监护人”）使用本应用前务必仔细阅读并充分理解本须知，特别是以粗体标识的条款应重点阅读，在确认充分理解并同意全部条款后再开始使用或允许您的孩子使用。 本须知为在《天翼云AOne SDK隐私和信息处理规则》基础上制定的特别规则，除另有约定外，本须知所用术语和缩略词与《天翼云AOne SDK隐私和信息处理规则》中的术语和缩略词具有相同的涵义；与《天翼云AOne SDK隐私和信息处理规则》如有不一致之处，以本须知为准；本须知未载明之处，适用《天翼云AOne SDK隐私和信息处理规则》。为了维护儿童的合法权益，儿童应当在其监护人的指导下使用我们的服务。 《天翼云AOne SDK隐私和信息处理规则》详见天翼云AOne SDK隐私和信息处理规则 监护人特别说明： 您的理解和配合对我们保护被监护人的个人信息和隐私安全非常必要，为了维护被监护人的合法权益，我们希望您可以协助我们，确保被监护人在您的同意和指导下使用本应用和向我们提交个人信息。我们将根据本须知采取特殊措施保护我们获得的被监护人的个人信息。请您仔细阅读和选择是否同意本声明。如果您不同意本须知的内容，请您要求被监护人立即停止访问/使用我们的产品及服务。 儿童特别说明： 任何儿童参加网上活动都应事先取得监护人的同意。如果您是儿童，请务必通知您的监护人共同阅读本须知，并在您使用我们的产品及服务、提交个人信息之前，寻求您的监护人的同意和指导。 我们严格按照《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》 《 电信和互联网用户个人信息保护规定》（工业和信息化部令第 24 号）《儿童个人信息网络保护规定》等法律法规的相关要求，在业务活动中处理儿童的个人信息。 本部分向您告知以下内容： 一、我们如何收集和使用儿童的个人信息 二、我们如何共享、转让和公开披露儿童的个人信息 三、我们如何存储儿童的个人信息 四、我们如何保护儿童的个人信息 五、我们如何管理儿童的个人信息 六、本须知的适用 七、本须知的修订 八、如何联系我们 一、我们如何收集和使用儿童的个人信息 1.1 在儿童使用我们的产品及服务过程中，我们会严格履行法律法规规定的儿童个人信息保护义务与责任，遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则，在征得监护人的同意后收集和使用儿童个人信息。具体请查阅《天翼云AOne SDK隐私和信息处理规则》“各业务功能中的用户信息收集使用规则”章节，详细了解我们收集和使用的儿童个人信息。 1.2 此外，我们也会通过Cookie等同类技术自动收集您或被监护人的个人信息，具体请您查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何使用 Cookie和同类技术”章节进行详细了解。 1.3 我们提供的与儿童有关的服务是不断发展的。如我们需要超出上述收集范围收集您或被监护人的个人信息，我们将再次告知您，并征得您的同意。 1.4 根据相关法律法规规定，以下情形中收集儿童的信息无需征得儿童监护人的授权同意： （1）与我们履行法律法规规定的义务相关的； （2）与国家安全、国防安全、公共安全、公共卫生、重大公共利益有关的； （3）与犯罪侦查、起诉、审判和判决执行等有关的； （4）出于维护儿童的生命、财产等重大合法权益但又很难得到监护人同意的； （5）所收集的信息是儿童或监护人自行向社会公众公开的； （6）从合法公开披露的信息中收集信息的，如合法的新闻报道、政府信息公开等渠道； （7）根据与您或被监护人签订和履行相关协议或其他书面文件所必需的； （8）法律法规规定的其他情形。 请您理解，您可以选择是否填写或向我们提供特定的信息，但您如果不填写或提供某些特定的信息，将可能导致我们的产品及服务无法正常运行，或者无法达到我们拟达到的服务效果，您和被监护人可能无法正常使用我们的产品、服务或相关的具体业务功能。 二、我们如何共享、转让和公开披露儿童的个人信息 我们承诺对儿童个人信息进行严格保密，我们遵照法律法规的规定，严格限制共享、转让、披露儿童个人信息的情形，仅在《天翼云AOne SDK隐私和信息处理规则》约定和您明确授权同意的情况下对外提供儿童信息。 除了《天翼云AOne SDK隐私和信息处理规则》“我们如何共享、转让、公开披露您的个人信息”章节部分所述的内容外，对于儿童个人信息，我们还将会采取如下措施来保护儿童个人信息在共享、转让和公开披露过程中的安全： 2.1 如果为了本须知所述目的而需要将儿童信息共享至第三方，我们将评估该第三方收集儿童个人信息的合法性、正当性、必要性，并采用加密、匿名化、去标识化处理等手段保障您和被监护人的信息安全。 2.2 我们将要求第三方对儿童个人信息采取保护措施，并且严格遵守相关法律法规与监管要求。我们会要求接收儿童个人信息的第三方遵守严格的保密义务及采取有效的保密措施，禁止其将这些儿童个人信息用于未经儿童及其监护人授权的用途，并要求受托公司依法履行以下义务： （1）按照法律、行政法规的规定和我们的要求处理儿童个人信息； （2）协助我们回应儿童监护人提出的申请； （3）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向我们反馈； （4）委托关系解除时及时删除儿童个人信息； （5）不得转委托； （6）其他依法应当履行的儿童个人信息保护义务。 2.3 另外，我们会按照法律法规的要求征得您的同意，或确认第三方已经征得您同意。 三、我们如何储存儿童的个人信息 3.1 我们在中华人民共和国境内运营中收集和产生的儿童个人信息，将存储在中国境内（为本须知之目的，不含香港、澳门、台湾地区）。 3.2 我们会采取合理可行的措施，尽力避免收集和处理无关的儿童的个人信息。我们只会在达成本须知所述目的所需的期限内保留儿童的个人信息，除非法律有强制的留存要求。关于我们如何确定儿童个人信息存储期限请参见《天翼云AOne SDK隐私和信息处理规则》“我们如何保存您的个人信息或关联组织信息”章节。如我们终止服务或运营，我们将及时停止继续收集儿童个人信息的活动，同时会遵守相关法律法规要求提前向您通知，并在终止服务或运营后对儿童的个人信息进行删除或匿名化处理，但法律法规或监管部门另有规定的除外。 四、我们如何保护儿童的个人信息 我们非常重视儿童的隐私安全，并采取一切合理可行的措施保护儿童个人信息： 4.1 我们会严格控制儿童个人信息的访问权限，对可能接触到儿童个人信息的工作人员采取最小够用授权原则，并采取技术措施对处理儿童个人信息的行为进行记录和管控，避免违法复制、下载儿童个人信息。 4.2 我们会定期组织内部相关人员进行培训，使其掌握岗位职责和应急处置策略和规程。在不幸发生儿童个人信息安全事件后，我们将按照法律法规的要求，及时向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您及被监护人可自主防范和降低风险的建议、对您及被监护人的补救措施等。我们将及时将事件相关情况以APP推送通知、发送邮件/短消息等方式告知您。难以逐一告知时，我们会采取合理、有效的方式发布相关警示信息。同时，我们还将按照监管部门要求，主动上报儿童个人信息安全事件的处置情况。若被监护人的合法权益受损，我们将承担相应的法律责任。 4.3 如您希望了解更多，请查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何保护您的个人信息或关联组织信息”章节，详细了解上述措施外，我们还采取了哪些措施保护儿童个人信息。 五、我们如何管理儿童的个人信息 5.1 为了您或被监护人在使用我们的产品及服务期间可以更加便捷地访问和管理被监护人的个人信息，同时保障注销账户的权利，我们在产品及服务中为您和被监护人提供了相应的操作设置，您和被监护人可以按照《天翼云AOne SDK隐私和信息处理规则》中的“您的权利及如何管理您的个人信息”章节指引进行操作。 5.2 如存在以下情况，您和被监护人可以请求我们删除收集、使用和处理的儿童个人信息。我们会在完成身份验证后，及时采取措施予以删除。 （1）若我们违反法律、行政法规的规定或者本须知的约定收集、存储、使用、转让、披露儿童个人信息； （2）若我们超出本须知目的范围或者必要期限收集、存储、使用、转让、披露儿童个人信息； （3）您撤回同意； （4）您或被监护人通过注销等方式终止使用产品或者服务的。 但请注意，若您和被监护人要求我们删除特定儿童个人信息，可能导致被监护人无法继续使用我们的产品和服务或产品和服务中的某些具体业务功能。 如您发现在未事先征得您同意的情况下收集了被监护人的个人信息，请及时联系我们，我们会设法尽快删除相关数据。 六、本须知的适用 绝大多数情形下我们无法识别且不会判断收集和处理的个人信息是否属于儿童个人信息，我们将按照《天翼云AOne SDK隐私和信息处理规则》收集和处理用户的个人信息。 七、本须知的修订 我们可能会根据我们的产品及服务的更新情况及法律法规的相关要求适时修改本须知的条款，该等修改构成本须知的一部分，我们会在专门页面上展示最新修改版本。当本须知的条款发生变更时，我们会以APP弹窗方式进行提示并再次取得您的同意，详见《天翼云AOne SDK隐私和信息处理规则》“本隐私和信息处理规则如何更新”章节的规定。 八、如何联系我们 8.1 如您对本隐私和信息处理规则或您信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云提交工单、联系智能客服、或拨打我们的客服电话4008109889与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn或ctpip.ctyun@chinatelecom.cn，与天翼云边缘安全加速平台零信任服务的个人信息保护负责人进一步沟通。 8.2 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过15个工作日做出答复。 8.3 如果您对我们的回复不满意，特别是我们的信息处理行为损害了您的合法权益，您还可以通过以下外部途径寻求解决方案：向被告所在地有管辖权的人民法院提起诉讼。

数据库实例绑定公网IP与网络安全策略的配置流程 申请公网IP并绑定到ECS实例。 具体可参考天翼云ECS绑定公网IP相关文档绑定弹性公网IP。 ECS实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档，区别的点是放通ECS实例的公网IP和DTS实例的公网IP。 数据库添加白名单。 自建数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

签名过程 签名过程如下图所示： 下表描述了图中显示的功能。用户需要为这些函数实现代码。 功能 描述 :: Lowercase() 将字符串转换为小写。 Hex() 小写16进制编码。 SHA256Hash() 安全散列算法（SHA）加密散列函数。 HMACSHA256() 使用签名密钥，根据SHA256算法计算出的签名值。 Trim() 删除任何前导或尾随空格。 UriEncode() URI编码每个字节。UriEncode（）必须强制执行以下规则： 除下列字符外，其他字符进行URI编码：'A' 'Z'，'a' 'z'，'0' '9'，' '，'.'，''和'~'。 空格字符是保留字符，必须编码为“％20”（而不是“+”）。 每个URI编码字节由'％'和两位十六进制值组成。 十六进制值中的字母必须为大写，例如“％1A”。 除了文件名之外，对正斜杠字符'/'进行编码。例如，如果文件名称为 photos/Jan/sample.jpg，则不对名称中的正斜杠进行编码。 说明 建议用户编写自己的自定义UriEncode函数，以确保您的编码可以正常工作。 以下是Java中的示例UriEncode（）函数。 public static String UriEncode(CharSequence input, boolean encodeSlash) { StringBuilder result new StringBuilder(); for (int i 0; i 'A' && ch 'a' && ch '0' && ch ))+":"+Trim( )+"n" Lowercase(Trim( ))+":"+Trim( )+"n" ... Lowercase(Trim( ))+":"+Trim( )+"n" CanonicalHeaders列表必须包括以下内容：HTTP Host标头。如果存在ContentType请求头，则必须将其添加到CanonicalHeaders列表中。所有xamz请求头，例如，如果您使用的是临时安全凭据，则需要在请求中包含xamzsecuritytoken，必须将此标题添加到CanonicalHeader列表中。 以下是CanonicalHeaders的示例，请求头名称为小写并已排序。 host:ooscn.ctyunapi.cn xamzcontentsha256:e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 xamzdate:20130708T220855Z 5. SignedHeaders是按字母顺序排序的，以分号分隔的小写请求头名称列表。列表中的请求头与用户在CanonicalHeaders字符串中包含的请求头相同。例如，对于前面的示例，SignedHeaders的值为： host;xamzcontentsha256;xamzdate 6. RequestPayload 是请求负载的SHA256哈希的十六进制值。 如果请求中没有负载，则计算空字符串的哈希值，如下所示： Hex(SHA256Hash("")) 哈希返回以下值： e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 例如：当用户使用PUT请求上传文件时，用户可以在请求体中提供文件数据。使用GET请求检索文件时，没有请求体，所以计算空字符串的哈希。 2. 创建待签名字符串 待签名的字符串格式如下： "AWS4HMACSHA256" + "n" + timeStampISO8601Format + "n" + + "n" + Hex(SHA256Hash( )) 常量字符串AWS4HMACSHA256指定用户使用的哈希算法HMACSHA256。 timeStamp是ISO 8601格式的当前UTC时间（例如20180501T000000Z）。 Scope是将生成的签名绑定到指定日期，OOS区域和服务。 date.Format( ) + "/" + + "/" + + "/aws4request" 3. 计算签名 使用SecretAccessKey作为初始哈希操作的密钥，对请求日期、区域和服务执行一系列加密哈希操作（HMAC 操作），从而派生签名密钥。伪代码如下： DateKey HMACSHA256("AWS4"+" ", " ") DateRegionKey HMACSHA256( , " ") DateRegionServiceKey HMACSHA256( , " ") SigningKey HMACSHA256( , "aws4request") 最终签名是使用签名密钥作为密钥，对待签名字符串计算得到HMACSHA256哈希值。伪代码如下： HMACSHA256(SigningKey, StringToSign) 4. 将签名信息添加到请求头 在计算签名后，将其添加到请求的HTTP请求头或查询字符串中。 将签名信息添加到Authorization标头的伪代码如下： Authorization: Credential / , SignedHeaders , Signature

本文为您介绍如何查看任务中迁移失败的对象。 操作场景 对象迁移服务支持记录迁移失败的对象，并在该任务的详情页面中展示失败对象的列表，方便您查看。 前提条件 迁移任务结束后，任务中有迁移失败的对象。若任务迁移中不存在迁移失败的对象，则失败对象列表中无对象展示。 注意 迁移中忽略的对象并不是失败对象，您可以通过“同名文件处理策略”来控制是否对同名的对象执行忽略不迁移。 操作指导 1.登录控制中心，点击控制中心左上角的，选择地域（服务入口目前仅开放“华东1”地域）。 2.单击“对象存储>对象存储迁移服务>迁移任务 ”进入迁移服务的迁移任务控制台。您可以通过点击任务名称，进入该任务的详情页面，在“失败对象列表 ”部分查看失败对象。失败对象列表支持您进行迁移任务中失败的对象的查询，您可以在这里查看失败对象名称，也可通过列表右上方的“ 重试任务 ”按钮，快速进行失败任务的重试。 说明 这里点击“重试任务”按钮与任务列表中的“重试”按钮一致，仅当任务结束，且存在失败对象时可执行重试。 半托管模式的迁移任务的失败对象列表无法在控制台直接查看，任务会生成包含失败对象列表的文件，在指定目录下供您查阅。

本节介绍了什么是区域、可用区、如何选择区域、如何选择可用区、区域和终端节点。 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 如何选择区域？ 建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 如何选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 区域和终端节点 当您通过API使用资源时，您必须指定其区域终端节点。请向企业管理员获取区域和终端节点信息。

如果您已经创建天翼云VPN网关，可以对VPN网关进行流量监控。 操作场景 用户查看某个VPN网关的流量情况。 前提条件 用户在该区域下有正常状态的VPN网关；如果状态异常，可能会没有监控数据。 操作步骤 1. 登录控制中心。 2. 选择“管理与部署”下的“云监控”产品。 3. 选择“云服务监控 ”下的“VPN监控”，进入VPN监控页面。 4. 单击“VPN网关”，进入VPN网关监控列表，可以查看VPN网关名称、企业项目、绑定的资源名称、网关IP和总带宽等信息。 5. 选择需要查看监控的目标VPN网关，点击“操作”列中的“查看监控图表”按钮。 6. 在VPN监控详情页面，上方可以查看VPN网关的详情信息。 7. 在VPN监控详情页面，下方可以查看目标VPN网关的入方向流量速率、出方向流量速率、入方向数据包速率和出方向数据包速率等监控指标的数据。还可以选择查询的时间范围，设置自动刷新等。 8. 在VPN监控详情页面，针对每一项监控指标，单击图表右上角的“查看”按钮，可以查看该监控指标的详情信息。在该页面，支持修改数据的展示方法（原始值、最大值、最小值、平均值等），支持修改数据的取样间隔（5分钟、20分钟），支持选择查询的时间范围，支持修改数据单位。 9. 选择需要查看监控的目标VPN网关，点击“操作”列中的“创建告警规则”按钮，可以配置告警服务，具体配置请参考“创建告警规则”。

本节为您介绍如何同步最新的服务器资产信息。 系统默认每天01:00自动同步服务器资产信息，您可以根据需要修改自动同步周期，或手动执行同步资产操作。 手动同步资产 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 单击右上角“同步资产”，系统会立即获取最新的服务器资产信息，更新服务器列表。 自动同步资产周期设置 系统默认每天01:00自动同步服务器资产信息，您可以根据需要修改同步周期，同步周期支持12小时和24小时。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，选择“系统设置”页签，进入同步资产设置页面。 3. 选择自动同步资产周期。 1. 12小时：每天01:00、13:00自动同步服务器资产信息。 2. 24小时：每天01:00自动同步服务器资产信息。

参数 描述 源库类型 选择ECS自建库。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。

接口功能介绍 查询受影响服务器详情。 接口约束 此功能为免费功能。 URI POST /v1/announcement/affectedHostDetail 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vulAnnouncementId 是 String 漏洞公告id idaaddda agentGuid 是 String agentGuid testagentguid 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 id String id 漏洞id VH211212112 vulAnnouncementId String 漏洞公告ID（这里与参考类不同，根据MongoDB文档调整） vulasaada taskId String 漏洞扫描任务ID agentGuid String GUID testagentguid timestamp String 时间戳 20210101 00:00:00 status Integer 漏洞状态 0未处理 1已处理 2已加白 3修复中 4修复成功 5修复失败 6已忽略 7验证中 8修复成功需要重启 9扫描中 0 vulType String 漏洞类型 LINUXlinux漏洞，WINDOWSwindows漏洞, EMERGENCYVUL应急漏洞,APPLICATION应用漏洞,WEBCMSwebcms漏扫 LINUX updateTime String 更新时间 20200101 00:00:00 modified String 修改时间（字符串格式） 20200101 00:00:00 cveList Array of Strings 关联CVE列表 ["CVE20201234"] fixLevel String 修复优先级 LOW低 MIDDLE中 HIGH高 LOW rebootRequired Boolean 是否需要重启 true vulAnnouncementTitle String 漏洞公告标题 vulsaas privateIp String 私有IP地址 192.168.1.1 publicIp String 公有IP地址 192.168.1.1 custName String 主机名称 testcustname osType String 操作系统类型 Linux/Windows Linux bgGroupId String 业务分组id 121313213 fixCommand String 修复命令 fixcommand relatedSoftware Array of Objects 关联软件列表 relatedSoftware 表 relatedSoftware 参数 参数类型 说明 示例 下级对象 SoftwareName String 软件名称 tool currentVersion String 已安装版本 1.0.0 fixVersion String 修复版本 1.0.1 rebootRequired Boolean 是否需要重启 true relationProcessName String 关联进程名称 process relationProcessId String 关联进程id 123456789 fixCommand String 修复命令 fixcommand location String 软件路径 /tmp/test.txt

本章为您介绍如何对DSC的操作记录进行审计。 DSC的所有操作都会通过API形式记录在云审计服务（Cloud Trace Service，CTS）中。 开通云审计服务后，您可以在云审计服务中查看有关DSC的所有操作记录，供安全审查使用。关于如何查看审计日志，请参见查看DSC的云审计日志。

Ruby是什么用户？ 在执行SELECT FROM pguser语句查看当前系统的用户时，看到Ruby用户且拥有很多权限。 Ruby用户为官方运维使用帐户，DWS数据库创建后，默认生成Ruby帐户，不涉及安全风险，请放心使用。

本小节介绍安全专区云堡垒机管理授权方法。 配置方法： 添加授权，点击【运维管理】→【授权】→【新增】，对云堡垒机运维账号、运维资源以及登录运维资源的系统账号进行授权绑定。 用户 用户：运维人员账号。 资源 资源/地址：提供给运维人员的运维资源。 资源账号 资源/地址：运维资源的系统登录账号。 授权添加成功后如下图所示：

本文为您介绍租户集群为天翼云原生集群的集群组件安装步骤。 开通容器安全卫士实例后，需要通过安装Sever/Agent将您要防护的集群、节点接入到平台中 ，用来采集集群、节点、容器等资产信息，包运行状态、命令、文件、网络等，进行安全检测和防护。 注意事项 集群组件在运行时会挂载k8s node宿主机的/data（非crio）和/root（crio）目录，请确保目录的权限正常。 请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 前提条件 已购买容器安全卫士。 操作步骤 1. 进入容器安全卫士产品控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”，进入组件安装页面。 3. 单击“集群组件部署”，进入部署脚本页面。 4. 选择集群类型，天翼云原生集群选择“是”；选择集群所在的区域；选择集群。 5. 单击“立即部署”。 部署成功 前往“安装配置 > 运行状态”查看具体部署情况。 部署成功后，sever将租户信息上报至数据库，与项目信息进行关联展示。

配置 说明 API名称 支持中文、英文、数字、下划线，且只能以英文或中文开头，364个字符。 API目录 一个特定功能或场景的API集合，类似文件夹，是数据服务中API的最小组织单元，也是API网关中的最小管理单元。 您可单击“新建”进行新建，也可选择新建API目录已创建的API分组。 请求Path API访问路径，例如：/v2/{projectid}/streams。 请求Path即完整的url中，域名之后、查询参数之前的部分，如下图中的“/blogs/188138”。 统一资源定位符url说明 在请求路径中，可以使用大括号{}标识路径中的参数作为通配符。如“/blogs/{blogid}”表示/blogs后可以携带任何参数，例如“/blogs/188138”和“/blogs/0”均会匹配至/blogs/{blogid}，由此API统一处理。 此外，相同域名下，不允许重复的请求路径出现。路径参数作为通配符时，名称不具备唯一性，例如“/blogs/{blogid}”和“/blogs/{xxxx}”，会被视作相同路径。 参数协议 用于传输请求的协议，支持HTTP和HTTPS协议。 HTTP属于基础的网络传输协议，无状态、无连接、简单、快速、灵活、使用明文传输，在使用上较为便捷，但是安全性欠佳。 HTTPS是在HTTP协议上进行了SSL或TLS加密校验的协议，能够有效验证身份以及保护数据完整性。相对的，访问HTTPS的API，需要配置相关的SSL证书或跳过SSL校验，否则将无法访问。 请求方式 HTTP请求方式，表示请求什么类型的操作，包含GET、POST等，遵循resultful风格。 GET：请求服务器返回指定资源，推荐使用GET请求。 POST：请求服务器新增资源或执行特殊操作，仅在注册API时使用。POST请求当前不支持body体，而是直接透传。 描述 对API进行简要描述。 标签 对API设置标签。用于标记当前API的属性，创建后可以通过标签快速检索定位API。单个API最多可设置20个标签。 审核人 拥有API的审核权限。 单击“新建”，进入“审核中心>审核人管理”页面，新建审核人。 安全认证 API认证方式： APP认证：表示由API网关服务负责接口请求的安全认证，安全级别最高。 IAM认证：表示借助IAM服务进行安全认证，安全级别中等。 无认证：属于无防护的模式，无需认证即可访问，安全级别低，不推荐使用。 服务目录可见性 发布后，所选范围内的用户均可以在服务目录中看到此API。 当前工作空间可见 当前项目可见 当前租户可见 访问日志 勾选，则此API的查询结果将会产生记录并被保留7天，可以在“运营管理>访问日志”处通过选择“请求日期”的方式查看对应日期的日志。 最低保留期限 API解绑前预留的最低期限。0表示不设限制。 API进行停用/下线/取消授权时，会通知已授权用户，并为用户预留至少X小时，直到所有授权用户均完成解除或处理，或者到达截止时间，API才会停用/下线/取消授权。 入参定义 配置API请求中的参数，包含资源路径中的动态参数，请求URI中的查询参数和Header参数。 添加入参定义时，如果参数设定为必填，则API在访问时，必须传入指定参数；如果非必填，则在API访问时，未传入的参数，会使用默认值进行代替。 参数大小限制如下： query+path，url最大32KB header，最大128KB body， 最大128KB 以配置资源路径中的动态参数为例进行说明，例如资源路径（请求Path）设置为： /v2/{projectid}/streams，资源路径中的{projectid}为动态参数，需要在此进行配置。 1. 单击“添加”，参数名配置为projectid。 2. 参数位置选择PATH。 3. 类型设置为STRING。 4. 选择性配置示例值和描述。

本页介绍天翼云TeleDB数据库元数据pgclstable的内容。 存储使用行列级安全访问策略的表信息。 名称 类型 定义 polid int16 策略ID attnum int16 列号（属性编号） relid Oid 表的OID enable bool 是否启用策略 nspname NameData 模式的名称 tblname NameData 表的名称 reloptions text[1] 关系选项（长度为1）

云监控支持通过VPC内网方式,通过站点监控的拨测源(所选主机实例)模拟拨测客户目标地址,从而获得从拨测源到目标地址的可用性等访问数据。 操作场景 当需要通过内网环境探测目标地址时，可以选择VPC内网方式创建站点监控任务。目前已支持PING协议类型，可以模拟从所选资源（拨测源）内部通过Agent插件获取目标地址的拨测数据。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 说明 1、VPC内网拨测功能当前为受限开放，如有需求可以联系客户经理为您开放此功能。 2、VPC内网拨测功能当前为免费公测阶段。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“网络分析与监控”，进入公网拨测“站点监控”列表页，点击切换至内网拨测页签。 5. 单击右上角“创建内网任务”按钮，在弹出的“创建站点监控”对话框中根据界面提示配置参数。 配置参数如下： 参数 参数说明 是否必填 取值样例 任务名称 该站点监控的自定义名称 是 类型 内网拨测 是 协议信息 选择拨测任务协议 是 PING 监控频率 执行一次VPC内网拨测任务的时间间隔。 是 1分钟 站点地址 填写内网目标拨测地址 是 xx.xx.xx.xx 探测源 1、选择资源池 2、选择拨测源实例 注意 所选云主机实例Agent版本需大于等于1.3.3 是 超时时间 单次拨测超时时间定义 是 500ms PING包数量 单次拨测任务 PING 包发送次数 是 3

最佳实践 说明 本章节主要介绍基于VirtualBox制作Windows镜像。 包括安装VirtualBox，并基于VirtualBox使用ISO创建虚拟机，完成虚拟机配置后生成vhd格式镜像。 本章节主要介绍基于VirtualBox制作Linux镜像。 包括安装VirtualBox，并基于VirtualBox使用ISO创建虚拟机，完成虚拟机配置后生成vhd格式镜像。 本章节操作指导您完成Windows操作系统云主机磁盘空间清理。 本章节操作指导您使用qemuimg工具转换镜像格式。 qemuimg工具支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi或qed格式的镜像之间相互转换。 本章节介绍了yum、apt和zypper包管理器下配置本地源的方法， 并提供了Debian 10.1.0和CentOS 8.0的配置示例。 用户的业务数据一般保存在数据盘中，要想实现业务数据跨帐号迁移， 需要用到镜像服务的创建数据盘镜像、共享镜像等功能。 本章节为您详细介绍跨帐号迁移业务数据的操作流程。 如果您的业务数据同时保存在数据盘和系统盘中，要想实现业务数据跨帐号迁移， 需要用到镜像服务的创建整机镜像、共享镜像等功能。 本节操作为您详细介绍跨帐号迁移业务数据（包括系统盘和数据盘数据）的操作流程。

场景描述 canal解析Binlog出现错误，导致拉取Binlog中断，错误信息如下： com.alibaba.otter.canal.parse.exception.CanalParseException: java.lang.NumberFormatException: Caused by: java.lang.NumberFormatException: at com.alibaba.fastsql.sql.parser.Lexer.integerValue(Lexer.java:2454) 原因分析 检查TaurusDB的参数“binlogrowsquerylogevents”的值是否设置为1 或 ON 。 目前canal只能支持ROW格式的Binlog增量订阅。 当TaurusDB的参数“binlogrowsquerylogevents”的值设置为1 或ON时，会在Binlog中产生Rowsquery类型的event，此类event非ROW格式，一些场景下，会导致canal出现blank topic问题，引发Binlog解析失败。 解决方案 将TaurusDB的参数“binlogrowsquerylogevents”的值修改为 OFF ，重启中断的canal任务。 使用mysqldump导出大表的注意事项 在使用mysqldump导出数据时，倘若添加–q(quick) 参数时，select出来的结果将不会存放在缓存中，而是直接导出到标准输出中。如果不添加该参数，则会把select的结果放在本地缓存中，然后再输出给客户端。 如果只是备份小量数据，足以放在空闲内存buffer中的话，禁用q参数，则导出速度会快一些。 对于大数据集，如果没办法完全储存在内存缓存中时，就会产生swap。对于大数据集的导出，不添加q参数，不但会消耗主机的内存，也可能会造成数据库主机因无可用内存继而宕机的严重后果。 因此，如果使用mysqldump来备份数据时，建议添加q参数。 导出示例： mysqldump uroot pP 8635 h 192.168.0.199 setgtidpurgedOFF singletransaction flushlogs q test t1 >t1.sql mysqldump的6大使用场景的导出命令

本页介绍了如何查看关系数据库MySQL版的错误日志。 操作场景 关系数据库MySQL版服务的错误日志功能支持查看数据库级别的日志，包括数据库运行时产生的错误和告警信息（Error和Warning级别），您可以通过错误日志分析系统中存在的问题。 约束限制 目前支持查询并保存七天内的错误日志明细。 下载错误日志仅支持备份类型为对象存储的情况。使用公网链接下载时会产生流量费用，具体资费参考备份。使用内网链接下载需到云主机使用，只需将链接复制，然后在云主机上使用wget ' 注意事项 错误日志采集频率为每小时，如果执行迁移可用区会导致该时间段的日志丢失。 如果有短时间内有太多重复日志，将进行抽样采集，比如Too many connections。 如果每次采集间隔内（1小时）有超过1w条记录，将只采集前1w条记录。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击日志管理 ，进入错误日志页签。 5. 在错误日志列表中，查看错误日志的详细信息。 您可以根据实际需要选择时间区域，查看不同时间段内的错误日志。 对于无法完全显示的描述信息，鼠标悬停即可查看完整信息。 6. 单击下载，获取错误日志下载链接。 获取到下载链接后，您可以直接单击下载或复制链接到浏览器进行下载。 注意 临时下载地址链接有效时间为1小时。

本文主要介绍 系统委托说明。 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录CCE控制台时，CCE将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。服务权限包括： 计算类服务 CCE集群创建节点时会关联创建云主机，因此需要获取访问弹性云主机、物理机的权限。 存储类服务 CCE支持为集群下节点和容器挂载存储，因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 网络类服务 CCE支持集群下容器发布为对外访问的服务，因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能，需要获取访问容器镜像等服务的权限。 当您同意授权后，CCE将在IAM中自动创建账号委托，将帐号内的其他资源操作权限委托给CCE服务进行操作。 CCE自动创建的委托如下： cceadmintrust cceclusteragency cceadmintrust委托说明 cceadmintrust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCE所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 如果您在多个区域中使用CCE服务，则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签，单击“cceadmintrust”查看各区域的授权记录。 说明 由于CCE对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间，请不要自行删除或者修改“cceadmintrust”委托。

本节介绍了专属云（存储独享型）的产品价格。 专属云（存储独享型）产品价格 计费项分为包含服务和关联服务两类。 包含服务 专属云（存储独享型）购买的是存储物理独享资源，您可在资源总量的范围内任意创建云硬盘，云硬盘不再收取费用。但在公有云资源池创建的云硬盘、IP、带宽、云主机等资源要单独收费，收费标准参考公有云相应产品价格。 规格 包月标准价格（元/G/月） 独享存储（高IO） 按照16TB起步， 扩容步长16TB 0.8 独享存储（超高IO） 按照8.5TB起步， 扩容步长8.5TB 2.4 关联服务（用户根据需求单独购买，另行计费） 您在公有云资源池创建的云硬盘、IP、带宽、云主机等资源要单独收费，收费标准参考公有云相应产品价格。当您的专属云包含服务到期后，请您及时删除专属云关联服务，以免造成不必要的费用。 专属云中订购的共享存储和带宽都是按需计费，您可购买相应产品的资源包。 公有云存储包 规格 包月标准价格 （元/G/月） 按需标准价格 （元/G/小时） 共享存储包(普通IO) 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 0.3 0.0005 共享存储包（高IO） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 0.4 0.0009 共享存储包（超高IO） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 1.2 0.0017 共享存储包（通用型SSD） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 0.7 0.00097 共享存储包（极速型SSD） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 2 0.0042

show defaulttransactionreadonly; defaulttransactionreadonly on (1 row) 是，执行步骤4。 否，执行步骤13。 4. 执行以下命令，打开“dbservice.properties”文件： source $DBSERVERHOME/.dbserviceprofile vi ${DBSERVICESOFTWAREDIR}/tools/dbservice.properties 5. 修改“gaussdbreadonlyauto”的值为“OFF”，默认为“ON”。 6. 执行以下命令，打开“postgresql.conf”文件： vi ${DBSERVICEDATADIR }/postgresql.conf 7. 删除“defaulttransactionreadonly on”。 8. 执行以下命令，使配置生效： gsctl reload D ${DBSERVICEDATADIR } 9. 登录FusionInsight Manager，选择“运维 > 告警 > 告警”。单击告警“数据库进入只读模式”所在行右侧“操作”列中的“清除”，在弹出窗口中单击“确定”。手动清除该告警。 10. 以omm用户登录DBServer主管理节点，执行以下命令查看数据目录磁盘空间下超过500MB的文件，检查该目录下是否有误写入的大文件存在。 source $DBSERVERHOME/.dbserviceprofile find "$DBSERVICEDATADIR"/../ type f size +500M 是，执行步骤11。 否，执行步骤13。 11. 根据实际情况处理误写入的文件。 12. 登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > DBService”，在“概览”页面查看“数据目录磁盘空间使用率”图表，检查数据目录磁盘空间使用率是否低于80%。 是，处理完毕。 否，执行步骤13。 收集故障信息 13. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 14. 在“服务”中勾选待操作集群的“DBService”。 15. 设置日志收集的主机，可选项，默认所有主机。 16. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 17. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能 用户自动化运维可执行的命令和脚本受到命令权限的限制 新建自动运维策略 1.使用“管理角色”或“运维角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3.单击“新增”，开始新增自动运维策略。 4.在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5.单击“确认”，弹出“验证用户身份”窗口。 6.在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。

本节主要介绍管理IAM用户访问密钥 访问密钥即AK/SK（Access Key ID/Secret Access Key），是您通过开发工具（API、SDK）访问部分云服务平台时的身份凭证，不能登录控制台。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 说明 目前支持通过AK/SK访问的云服务包括对象存储OBS。 如果IAM用户不能登录控制台，在需要使用访问密钥或者访问密钥遗失的情况下，可以由管理员在IAM中管理IAM用户的访问密钥。 管理员在IAM用户列表中，单击用户名称进入用户详情页，然后单击右侧的“安全设置”页签，新增或者删除用户的访问密钥。 说明 IAM提供的“安全设置”功能，适用于管理员管理IAM用户的访问密钥。在我的凭证中也可以管理访问密钥，我的凭证适用于所有用户在可以登录控制台的情况下，自行管理访问密钥。 帐号和IAM用户的访问密钥是单独的身份凭证，即帐号和IAM用户仅能使用自己的访问密钥进行API调用。 新增访问密钥并下载 单击“新增访问密钥”。 若开启操作保护，则管理员需输入验证码或密码。 单击“确定”，生成并下载访问密钥后，将访问密钥提供给用户。 说明 每个用户最多可以拥有2个访问密钥，有效期为永久。为了帐号安全性，建议管理员定期给用户更换访问密钥。 删除访问密钥 单击“删除”。 若开启操作保护，则管理员需输入验证码或密码。 单击“确定”。 启用、停用访问密 新创建的访问密钥默认为启用状态，如需停用该访问密钥，步骤如下： 在“访问密钥”页签中，在需要停用的访问密钥右侧单击“停用”。 若开启操作保护，则需输入验证码或密码。然后单击“是”，停用访问密钥。 启用访问密钥方式与停用类似，请参考以上步骤。

本文带您了解什么是内网DNS产品。 内网DNS（Intranet Domain Name Service，CTIDNS）提供高可用，高扩展的DNS服务和DNS管理服务，帮助客户将域名或应用资源转换成用于计算机连接的IP地址，从而将最终用户路由到相应的应用资源上，实现应用资源的访问和内网服务的连接。内网DNS可提供VPC内安全、全面、高性能的域名解析功能，可直接响应内网域名的解析请求，快速高效，有效防护劫持，避免安全风险。 内网域名解析过程 当VPC内云服务器访问内网域名时，内网DNS直接对内网域名进行解析，向云服务器返回对应被访问的云服务器的私网IP地址。 当VPC内云服务器访问Internet上的公网域名时，内网DNS会将对公网域名的解析请求转发至公共DNS进行解析，待收到公共DNS返回的公网IP地址后，再将公网IP返回云服务器。 系统架构 内网DNS（Intranet Domain Name Service，CTIDNS）由两个关键组成部分构成，分别是管控层和解析层： 管控层：管控层通过控制台和OpenAPI对外提供服务，主要职能如下： 管理域名解析数据：管控层负责处理域名解析数据的增删改查操作，确保域名与IP地址的映射准确性。 配置数据管理：管控层管理配置数据，保障DNS服务的可靠性和可用性。 日志数据管理：管控层记录和管理日志数据，支持用户监测和故障排除。 存储功能：管控层存储域名解析数据、配置数据和日志数据，确保数据的安全性和可靠性。 解析层：解析层通过部署解析服务器集群向外提供服务，主要职能为： 域名解析：解析层接收来自管控层的域名解析记录数据，并对解析请求进行响应，将域名解析为对应的IP地址，实现计算机之间的连接。

接入WAF对现有业务和服务器运行有影响吗？ 接入WAF不需要中断现有业务，不会影响源站服务器的运行状态，即不需要对源站服务站进行任何操作（例如关机或重启）。 注意 以CNAME方式接入WAF时，您需要修改DNS解析使流量经过WAF进行转发。修改DNS解析可能会影响网站访问业务，建议您在业务量少时进行修改，详细操作请参见修改域名DNS。 域名接入时，WAF回源是否需要放行所有客户端IP？ 根据您的业务情况，您可以只放行WAF回源IP段，也可以放行所有客户端IP。 对于Web业务，建议您只放行WAF回源IP，实现源站保护。详细操作请参见放行WAF回源IP段。 对于客户端IP，如果有白名单需要，建议您通过WAF白名单配置进行放行，不建议直接放行所有客户端IP。 说明 WAF采用CNAME的方式将原本去向网站的请求转向到WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。此时由于网站接入WAF，访问网站的IP实际上变成了WAF的回源IP段，从网站的角度来看，访问其的来源IP变得更加集中，访问频率变得更高，服务器上的防火墙或安全软件很容易认为这些IP在发起攻击，从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑，WAF的请求将无法得到源站的正常响应。因此，在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。

事件总线EventBridge已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等，以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。

section4824eff196981636)。 云电脑操作系统锁屏，怎么解锁？ 可以通过输入操作系统密码进行解锁，如忘记密码，安全中心点击"系统密码"进行重置系统密码，详见安全中心重置系统密码。 天翼AI云电脑到期后，资源将会如何处理？ 天翼AI云电脑（公众版）： 1. 预付费用户到期资源冻结15天，超期后第16天销毁。 2.后付费用户到期资源冻结15天，超期后第16天销毁。 3.主动退订立即销毁。 天翼AI云电脑（政企版）： 1.预付费用户到期资源冻结15天，超期后第16天销毁 。 2.后付费用户到期资源冻结45天，超期后第46天销毁 。 3.主动退订资源冻结15天，超期后第16天销毁（资源包开通的实例立即销毁）。 天翼AI云电脑无法连接怎么办？ 请依次按照以下步骤检查： 1. 请检查您的网络连接是否正常。 2. 重启天翼AI云电脑：请在“选择桌面”页面，点击“重启”按钮，重启完成后，再尝试连接天翼AI云电脑。 3. 重启天翼云电脑APP：关闭天翼云电脑APP，再重新打开APP，查看是否可以成功连接。 4. 尝试上述操作仍无法连接，请在登录页面找到“报障”入口，进行报障。我们会有专人协助您解决。

本节介绍如何变更云防火墙扩展包数量。 购买了云防火墙后，您可以增加或减少EIP/VPC的防护数量以及互联网边界流量峰值。 变更扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在“防火墙详情”中，单击“已使用/可防护EIP数”、“总防护VPC数量/购买VPC数量”、“可防护互联网流量峰值”右侧的“变更”，进入“变更云防火墙规格”页面。 5. 变更扩展包数量。 默认不支持将扩展包数量降到0，如果您需要将扩展包数量降到0，请参见退订扩展包。 退订扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 选择退订的扩展包，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

本节介绍当正常内容被拦截时，如何解除拦截。 操作场景 对于系统内置规则，解除误报功能可以处理规则误判的情况，当系统将正常内容误判为敏感内容时，可以通过此功能屏蔽内置规则处理误报问题。 操作步骤 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 内容规则库 > 规则列表”。 3. 在敏感内容列表右上方，单击“解除误报”。 4. 在弹框中配置解除拦截的信息。 5. 配置完成后，单击“解除误报”即可。 配置示例 如果发现某条合规的问题被拦截，如下图，可以看到提示检测引擎为“关键字引擎”，违规原因中有提到违规关键词。 则在解除误报弹窗中配置如下信息： 规则内容：填写在上述拦截信息中“违规原因”提到的关键词信息。 规则类型：上述拦截信息中“检测引擎”为关键字引擎，则选择 “关键词”。