源数据库 目标数据库 自建SQL Server、RDS for SQL Server 2008企业版/2012企业版/2014企业版/2016 标准版/2016 企业版/2019 标准版/2019 企业版/2022 标准版/2022 企业版 RDS for SQL Server 2016 标准版/2016 企业版 /2019 标准版/2019 企业版 /2022 标准版/2022 企业版

源数据库 目标数据库 自建SQL Server、RDS for SQL Server 2008企业版/2012企业版/2014企业版/2016 标准版/2016 企业版/2019 标准版/2019 企业版/2022 标准版/2022 企业版 RDS for SQL Server 2016 标准版/2016 企业版/2019 标准版/2019 企业版/2022 标准版/2022 企业版

登录平台之后会自动进入天翼云学堂首页，平台首页按功能模块分为11个区域，效果图如下： 网站名称 显示网站的名称或者网站LOGO:天翼云学堂。 导航栏 显示顶部导航内容：在线课程中心、认证考试中心、精品直播中心、学习班级。点击后直接跳转对应的二级页面。 搜索栏 全站课程搜索栏：支持模糊搜索，支持本地搜索。 信息栏 1) 我的学习： 显示我的课程，我的班级，我的直播、我的考试、我的认证等内容。 a) 我的课程：此处显示学员所有已加入的课程和加入的班级内的课程信息（包含学习中/已学完/收藏）； b) 我的班级：显示学员所加入的班级信息； c) 我的直播课表：显示学员所有已加入的直播课程信息； d) 我的问答：显示学员所有的课程问答信息； e) 我的话题：显示学员参与的所有话题信息； f) 我的笔记：显示学员所有的笔记信息，支持快速查看笔记内容； g) 我的考试：显示学员所有的考试情况以及收藏的题目； h) 我的认证：显示学员获得的所有认证，并提供下载功能。 2) 账户中心： 显示我的订单、邀请码、优惠券、会员记录、我的积分。 a) 我的订单：学员可以在此页面查看自己在平台的购买记录，并且进行退款操作，在退款列表中，可以对申请的退款进行查看。 3) 个人设置： 显示个人信息、安全设置（修改用户身份认证） a) 个人信息：此处可编辑填写用户账户基本信息。 注：建议初登录系统的用户完善账号信息 b) 安全设置：可设置/修改用户身份，用户身份分为个人学习用户、中国电信员工、天翼云代理商，如下图所示： 通知、私信 显示管理员发送给你的通知或平台其他用户发送给你的私信。 头像 1) 退出登入 为确保账户安全，在不使用本系统时，请退出本系统。退出系统的时候请点击用户头像选择点击【退出】按钮。 2) 点击头像进入个人主页 在个人主页平台用户可查看到你的个人介绍、正在学习课程/班级、收藏的课程、加入的小组、你关注的用户以及你的粉丝。 轮播图 显示首页轮播图内容，点击后跳转到相应的内容页。 课程推荐模块 学员可根据首页推荐的课程，点击进入课程信息详情页，快速加入学习。 中部导航栏 显示3个导航入口，引导客户进入各个专题页面。 职业职格认证模块 显示3个认证链接入口，引导客户进入各个认证页面。 底部导航 嵌入天翼云主站底部栏，和天翼云主站底部保持一致。

监控项配置 每个监控项对应的采集器会定义一些采集参数，用户可以在页面更改采集参数，并且随着心跳参数下发到Agent，更改采集行为。比如默认情况，出于安全考虑APM不会采集redis指令里面的内容，如果用户有需求，可以更改监控项的采集参数，实现具体指令数据内容的采集。采集参数也可以定义在环境标签上面，这样对应的环境标签下的采集器会自动继承采集参数属性，实现配置自动化。 监控项视图 在指标监控详情界面，一个监控项会对应一个或者多个tab的视图，每个视图都对应一个指标集合。视图当前支持汇总表格、趋势图、最近数据表格和原始表格几种类型。

本文介绍基于标签的域名日常管理操作。 功能介绍 在完成域名绑定标签后，您在日常运营时，就可以使用标签快速筛选对应的域名，进行分组管理。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航【域名】【域名管理】。 3. 找到首个筛选框，提示【请选择标签】。 4. 下拉选择您本次计划筛选的【标签组】、【标签】。 5. 在选定标签组和标签之后，系统会自动过滤，并在【域名列表】中只显示符合条件的域名，从而帮助您快速定位到目标域名。 参数名 配置值 说明 标签组 必选项，按标签组筛选域名 如果先勾选某个标签组，则默认筛选出该标签组内全部标签所绑定的域名。 标签 必选项，按标签筛选域名 在选定某个标签组后，可以选择所关联的一个或多个标签进行筛选，选出目标标签绑定的域名。

本文介绍零信任全球加速场景下,查看加速应用白名单。 背景说明 根据中华人民共和国工业和信息化部（简称工信部）相关法律、行政法规规定，中国内地只有三大运营商具备跨境业务运营资质。凡涉及跨中国内地访问的业务场景，都需要进行资质审核。 零信任全球加速服务遵循白名单原则，仅为客户审核通过的应用提供加速访问。用户可在控制台查看或导出白名单应用。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任应用加速应用，查看应用列表。 导出应用 您可将加速应用导出为.xls文件。支持两种导出方式： 选择“导出全部”，点击导出按钮。 勾选需要导出的应用，选择“导出所选”，点击导出按钮。

本文介绍如何查询CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 查询功能 您可以在CC攻击事件表头部指定您要查询的域名（支持多选）及时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 攻击详情 攻击事件列表将展示被攻击域名、攻击开始时间、攻击结束时间、攻击峰值/QPS、攻击总次数。 点击单条攻击事件的攻击详情【查看】按钮，即可查询CC攻击事件的攻击趋势、TOP攻击IP、TOP URL排名。

网站漏洞扫描主要是针对WEB应用的SQL注入、跨站、远程挂马、跨站请求伪造 CSRF、OWASP top 10 等漏洞进行扫描进行网站漏洞扫描，实时将数据反馈到安全专区，进行动态展示。 操作方法 1.网站漏洞数据来源：点击【资产管理】→【域名】，扫描后，如果该网站有漏洞则会同步到【网站漏洞】模块。 2.选择时间范围内，进行趋势分析。 风险终端 可以实时分析、日志追溯等方式进行数据查找和分析，记录站点来源信息以及网站网页信息类型，记录网站漏洞名称、漏洞等级、漏洞发现时间、漏洞处理状态及漏洞具体描述。 点击【导出】，即下载网站漏洞扫描报告。 点击【漏洞描述】即展示网站漏洞具体域名地址、网站漏洞详情。

云搜索服务已接入云审计服务。通过云审计服务,您可以查询云搜索服务相关的操作事件,便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 查询实例详情 instance 退订Logstash实例 instance 查询实例列表 instance 节点扩容 instance 磁盘容量 instance 实例升配 instance 重启实例 instance 创建管道 pipeline 更新管道 pipeline 部署管道 pipeline 停止管道 pipeline 查询管道列表 pipeline 查询管道内容 pipeline 删除管道 pipeline 开启Logstash日志功能 log 关闭Logstash日志功能 log Logstash绑定公网 node Logstash解绑公网 node

本章节介绍使用云原生API网关实现后端双向TLS认证 概述 云原生API网关作为代理服务接收下游服务（DownStream）请求，并转发到上游服务（Upstream）；对于上游服务来说，云原生API网关收敛了外部的请求，统一经过网关转发到上游。从安全角度考虑，上游服务可以添加认证鉴权规则实现对网关的身份认证和访问鉴权，确保上游服务安全性；其中一种实现方式就是在上游服务配置TLS策略，要求网关转发请求时提供客户端证书，实现对网关的身份认证，具体流程如下： 云原生API网关支持配置证书，用于实现请求后端服务时服务端对网关的证书认证，本文说明具体配置流程。 前提条件 1. 部署后端HTTPS服务，并配置要求请求客户端提供证书。 2. 已开通云原生API网关实例。 部署后端服务 我们采用云容器引擎部署后端服务，镜像采用我们的demo应用（已配置证书，并要求客户端请求时提供证书），部署完成后在云容器引擎控制台可以看到容器启动： 还需要部署关联到工作负载的Service，用于暴露工作负载，如下

本页为其他云MySQL迁移到RDS for MySQL的网络和准备工作概述。 网络通信方式 其他云的数据库接入天翼云，需要通过公网网络进行网络打通，包括数据库实例具备公网IP，天翼云DTS实例具备公网IP。 准备工作 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 申请公网IP并绑定到数据库实例 不同云厂商的数据库实例对应方法不同，具体操作步骤可参考具体云官网资料进行设置。 3. VPC网络安全策略放通 需要在其他云数据库实例所在的VPC放通以上【DTS实例的配置流程】中配置的公网IP的访问权限，一般包括网络ACL和实例安全组，具体可参考各厂商云数据库官方文档进行操作。 4. 数据库添加白名单 数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

工作机制 首先使用轻量级的Filebeat采集日志、其次使用Logstash接收Filebeat的输出，并对日志进行解析、添加或删除字段等处理、最后将数据输出到天翼云Elasticsearch实例，通过Kibana实例在前端可视化展示。 前提条件 已经开通天翼云云搜索Elasticsearch和Kibana实例，并完成Logstash实例加装。 已经部署Filebeat和Logstash并且打通和天翼云云搜索实例之间的网络。推荐使用Filebeat 7.10.2版本。 查看Kibana的终端可以访问到云搜索实例，设置好5601端口的网络安全策略。 操作步骤 配置Filebeat Filebeat采集日志，配置具体的日志路径。 plaintext 采集日志 filebeat.inputs: type: log 采集的日志文件的路径。替换为自己日志的路径，可以使用通配符。 paths: /yourpath/.log output.logstash: hosts: ["{logstaship}:5044"] 配置Logstash Logstash需要接收Filebeat的输出并进行处理，需要在Logstash管道管理模块中创建并部署管道。示例配置如下： plaintext input { beats { port > 5044 } } 对数据进行处理。 filter { mutate { removefield > ["@version"] } } output{ elasticsearch{ Elasticsearch实例的访问地址。 hosts > [" " " 访问Elasticsearch实例的用户名和密码，如无安全机制可不配置。 user > "" password > "" 配置写入的索引名,示例如下。 index > "filebeatlogstashes%{+YYYY.MM.dd}" } }

本章介绍本次性能测试结果情况。 以下结果为测试环境的测试数据，仅供参考，不作为SLA承诺。 表 测试列表 ::::::: 实例类型 Instance class CPU/Core Memory（GB） TPM TPS IOPS HA实例 2008 R2 企业版 2 8 300000 5500 4000 HA实例 2008 R2 企业版 4 16 530000 9700 7000 HA实例 2008 R2 企业版 8 32 930000 17050 15000 HA实例 2008 R2 企业版 16 64 1250000 23000 20000 HA实例 2008 R2 企业版 2 16 290000 5300 4000 HA实例 2008 R2 企业版 4 32 540000 9900 7000 HA实例 2008 R2 企业版 8 64 960000 17600 15000 HA实例 2008 R2 企业版 16 128 1350000 24750 20000 单实例 2014 企业版、2014 标准版 4 16 550000 10083 7000 单实例 2014 企业版、2014 标准版 8 32 1100000 20166 16000 单实例 2014 企业版、2014 标准版 16 64 1500000 27500 22000 HA实例 2014 企业版、2014 标准版 4 32 500000 9000 7000 HA实例 2014 企业版、2014 标准版 8 64 1000000 18333 16000 HA实例 2014 企业版、2014 标准版 16 128 1400000 24000 21000 单实例 2014 WEB 4 16 550000 10000 6000 单实例 2014 WEB 8 32 1100000 20000 12000 单实例 2014 WEB 16 64 1500000 27000 18000 表 测试列表 ::::::: 实例类型 Instance class CPU/Core Memory（GB） TPM TPS IOPS 单实例 2014 企业版、2014 标准版 4 16 550000 10083 7000 单实例 2014 企业版、2014 标准版 8 32 1100000 20166 16000 单实例 2014 企业版、2014 标准版 16 64 1500000 27500 22000 HA实例 2014 企业版、2014 标准版 4 32 500000 9000 7000 HA实例 2014 企业版、2014 标准版 8 64 1000000 18333 16000 HA实例 2014 企业版、2014 标准版 16 128 1400000 24000 21000 单实例 2014 WEB 4 16 550000 10000 6000 单实例 2014 WEB 8 32 1100000 20000 12000 单实例 2014 WEB 16 64 1500000 27000 18000

前提条件 已获取管理控制台的登录账号与密码。 已使用的云堡垒机，需停止系统所有操作，解绑EIP。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待退订的实例，单击所在行“操作”列的“更多 > 退订”。 4. 在弹出的退订提示框中，确认实例信息无误后，单击“确认”，进入“费用中心 > 退订管理 > 退订申请”页面。 5. 在退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。

本文介绍对象存储中的数据是否可以让其他用户访问。 可以。 对于桶，您可以通过设置桶ACL和桶策略授予其他用户桶的数据读取权限，其他用户即可访问该桶。具体可参考：访问权限。 对于对象，您可以通过对象ACL，对象策略和桶策略来授予其他用户对象的数据读取权限，或者通过临时URL方式，其他用户即可访问该对象。可参考：访问方式。 除此之外，您也可以通过STS角色，为临时用户颁发一个自定义时效和权限的访问凭证，使您区域粒度下的桶资源被更加安全地访问，参考：STS角色管理。

本节指导用户通过密钥管理界面对单个或多个自定义密钥进行启用操作，使被禁用的密钥恢复到数据加解密能力。新建的自定义密钥默认为“启用”状态。 前提条件 待启用的密钥需处于“禁用”状态。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要启用的密钥所在行，单击“启用”。 步骤 5 在弹出窗口中，单击“是”，完成启用单个密钥操作。 说明 如果您想批量启用密钥，可以勾选所有需要启用的密钥，然后在列表左上角，单击“启用”。

如果DSC内置的规则组不能满足您的敏感数据识别场景，可参考本章节自定义敏感数据规则组，自由组合规则，实现敏感数据的多场景识别。 约束条件 敏感数据规则组分为自定义的规则组和内置的规则组，内置的规则组不可新增、编辑和删除。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，并选择“规则组”页签，进入规则组列表。 4. 在规则组列表的左上角，单击“新增规则组”，弹出新增规则组对话框。 5. 在“新增规则组”对话框中配置规则组基本信息，如下图所示，相关参数说明如下表所示。 参数 参数说明 规则组名称 您可以自定义敏感数据规则组名称。 规则组名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 规则组名称不能与已有的规则组名称重复。 规则组描述 该规则组的备注信息，用于区别其他规则组。 规则添加 可选参数。勾选需要添加的敏感数据规则。 如果您想移除已选的规则，可在右边已选择的规则框中，找到目标规则，并在其所在行的“操作”列，单击移除。 6. 单击“确定”，完成敏感数据规则组的创建。

本文介绍URL鉴权的适用场景和配置方法。 功能介绍 默认情况下在边缘分发的内容大部分都是公开资源，用户可以直接请求URL获取。为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云边缘安全加速平台上配置URL鉴权功能。配置URL鉴权后，边缘节点会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 适用场景 1、需要对站点资源限制用户访问，避免资源被恶意下载或者非法盗用。 2、请求的资源都具有一定的时效性，超过时效则不允许访问。 注意事项 1、配置URL鉴权需要客户端跟产品服务配合一起开启。 2、配置鉴权后，用户将携带鉴权参数访问，建议缓存策略修改为忽略鉴权参数进行缓存，否则将增大回源概率。 3、当鉴权规则（含算法、秘钥、鉴权参数等）发生变更时，需要通知安全与加速产品配合更改，否则将导致用户请求异常。 4、如果您的鉴权URL中含有中文或特殊字符，需先进行URL转码（即Encode）后使用。 配置说明 天翼云提供三种鉴权方式供您参考配置，以下为详细的鉴权原理及配置说明。 （一）鉴权方式A 1、原理说明 鉴权方式A访问URL构成： 鉴权字段说明： 字段 描述 DomainName 服务域名。 Filename 实际回源访问的URL，鉴权时Filename需以/开头。不包含？后面的参数。 authkey 设定的鉴权参数名，默认为authkey，也可自定义。 timestamp 鉴权服务器生成鉴权URL的时间，即：鉴权开始时间，值为从1970年1月1日0点至当前时间总秒数 ，十进制整数。 备注：与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期timestamp+配置的鉴权URL有效时长。 rand 随机数。0 64位随机字符串，由大小写字母与数字组成，例如：477b3bbcf6711128c7bec。 uid 用户ID，暂未使用，设置成0即可。 md5hash 通过MD5算法计算出的32位字符串。计算公式如下：md5hash md5sum(Filenametimestampranduidkey)。 备注1：md5加密元素分隔符默认中划线（），也可自定义。 备注2：这里的key为用户设定的鉴权秘钥，长度6到32，由大小写字母与数字组成，例如：ctcdnkey123。

本文主要为您介绍如何开启防敏感信息泄露防护，以及如何配置防敏感信息泄露规则。 网站域名接入Web应用防火墙后，您可以选择开启防敏感信息泄露功能，并配置防敏感信息泄露规则，可对网页中的敏感信息或指定的HTTP响应码页面进行过滤或拦截。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持防敏感信息泄露功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防敏感信息泄露”模块，可以选择开启/关闭防护。 7. 点击防护规则右侧的“前去配置”，进入防敏感信息泄露规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置防敏感信息泄露规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 选择需要在响应信息中检测的敏感信息类型，包括敏感信息、响应码、关键字。 敏感信息：用户的个人身份信息，包括身份证号、电话号码、电子邮箱等。 响应码：指定的HTTP响应码，比如401、402、403等。 关键字：自定义需要检测关键字。 匹配内容 根据所选匹配条件，对应不同的内容。 敏感信息：包括身份证号、电话号码、电子邮箱等。 响应码：选择特定的HTTP请求状态码。 关键字：需要手动输入匹配的关键字。 防护路径 需要防护的URL的路径。 执行动作 选择在响应信息中检测到敏感信息后系统执行的动作。 观察：仅通过日志记录匹配到的页面和内容，不进行拦截。 信息脱敏全部屏蔽：对匹配到的内容，将被全部进行脱敏展示。 信息脱敏自定义范围：选择该项，还需要配置“显示”或“屏蔽”具体的范围。 拦截：拦截匹配到的页面和内容，并向发起请求的客户端返回拦截响应页面。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文介绍DMS的工单系统,使用户可以快速熟悉工单系统。 前提条件 用户已将可用实例添加至组织。添加云数据库的具体操作流程请参考添加云数据库，添加公网/直连数据库的具体操作流程请参考添加公网/直连数据库。 注意事项 基础版与企业版均包含工单系统，企业版工单系统的功能更加丰富。 重试工单和重试任务的区别：重试工单针对的是工单的整体流程，允许用户在工单状态处于预检查失败或工单异常时重新执行工单的当前流程，恢复由于预检查失败或系统异常导致中断的工单流程；重试任务针对的是工单的任务执行阶段，允许用户在工单状态处于执行失败时重新执行任务。 预检查阶段的检查项根据工单类型的不同有所差异。 工单流程中的审批过程可能根据预检查阶段的风险评级跳过，此时为免审批执行；或者根据风险评级直接中止，此时为预检查失败。 在审批结束之前均可以进行工单撤回操作，审批结束后不允许撤回。 功能介绍 工单系统用于管理敏感操作，确保敏感操作能够规范化执行。 工单类型 DMS工单系统当前支持以下类型： 数据导出 数据导入 SQL变更（仅限企业版） 数据权限（仅限企业版） 数据对比（仅限企业版） 结构对比（仅限企业版） 团队申请 数据追踪（仅限企业版） SQL审核（仅限企业版）

工作组,类似于传统安全中的安全域、业务组等概念。本小节介绍微隔离防火墙工作组。 1.每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。工作组页面可以进行新建、修改、删除操作。 2.工作组页面右上方的搜索框可以对工作组进行过滤，页面中基本属性栏可以进行排序， 下箭头为正序，上箭头为反序。 3.点击按钮，即可在弹出框中进行工作组的建立，一个工作组名称唯一，并选择13个标签。新建的工作组会出现在业务拓扑页面。 4.点击工作组名称可进入工作组详细页面。详细页面分为基础信息、工作负载、策略、授权管理、包管理。 5.工作负载详情页面中的工作负载页面，可查看当前此工作组包含哪些工作负载，在此页面可批量将工作负载调整到外部，也可选择其他组的工作负载调整到本组。 6. 工作组详情页面中的策略页面，可查看作用于该工作组的所有策略，并可以调整本组的策略状态。点击展开可查看策略详情。 7. 工作负载详情页面中的策略页面，可查看与本工作组相关的授权码，即通过本授权码安装的工作负载，均自动位于该工作组。 8.点击授权码，可进入授权码详情页面。 9.工作负载详情页面中的包管理页面，包管理页面用于客户端模块的安装和升级，包含本组所有工作负载。 10.点击其中显示的数字，可显示具体工作负载Agent的版本信息。

本节介绍如何导入、导出漏洞。 约束与限制 仅支持导入.xlsx格式的文件，且文件大小不超过5MB。 态势感知（专业版）最多支持导出9999条漏洞信息。 导入漏洞 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在态势感知（专业版）管理页面选择“风险预防 > 漏洞管理”，进入漏洞管理页面。 5. 在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”、“WebCMS漏洞”、“应用漏洞”任意一个页签，进入对应漏洞管理页面。 6. 在漏洞管理页面中，单击漏洞管理列表上方的“导入”，弹出导入对话框。 7. 在导入漏洞对话框中，单击“下载模板”，并根据模板填写要求填写待导入漏洞信息。 8. 待导入漏洞文件填写完成后，在导入漏洞对话框中，单击“添加文件”，并选择你需要导入的Excel文件。 9. 选择完成后，单击“确认”，完成导入。 导出漏洞 最多支持导出9999条漏洞信息。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在态势感知（专业版）管理页面选择“风险预防 > 漏洞管理”，进入漏洞管理页面。 5. 在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”、“WebCMS漏洞”、“应用漏洞”任意一个页签，进入对应漏洞管理页面。 6. 在漏洞管理页面中，单击漏洞管理列表右上方的，弹出导出漏洞对话框。 7. 在导出漏洞对话框中，配置漏洞参数。 参数名称 参数说明 导出格式 默认导出excel格式的漏洞列表。 自定义导出列 选择导出表格中，需要导出的参数。 8. 单击“确定”。 系统将自动下载漏洞excel表格到本地。

在实例元数据页管理敏感列权限 具体操作流程如下： 1. 登录数据管理服务DMS。 2. 进入数据权限管理页面。在左侧菜单栏依次点击数据资产 >实例管理 ，选择某个实例，点击更多>数据权限管理按钮进入数据权限管理页面。 3. 选择需要授权的敏感列。切换到敏感列授权 页面，点击添加授权按钮进入授权页面，在左侧”请选择“框内勾选想要授权的敏感列的复选框，然后点击中间的”>“按钮，即可将当前页选中的敏感列加入到右侧”已选择“框内。 4. 选择需要授权的用户。从用户名下拉列表中选择至少一个用户。 5. 选择权限的类型。 6. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 7. 确定信息无误后，点击页面右下角的确认授权按钮即可完成授权。 在用户管理页管理敏感列权限 具体操作流程如下： 1. 登录数据管理服务DMS。 2. 进入数据授权页面。在左侧菜单栏依次点击安全协作>用户与角色 ，选择某个用户，点击数据授权 按钮进入数据授权页面；或者在左侧菜单栏依次点击安全协作>团队管理 ，切换到团队成员管理 页面，选择某个团队成员，点击数据授权按钮进入数据授权页面。 3. 搜索需要授权的敏感列。切换到敏感列授权页面，先输入库/模式/实例关键字搜索指定库/模式，然后输入列名、表名关键字搜索敏感列，再点击查询。也可以选择指定的团队、数据库类型、敏感等级对敏感列进行筛选。 4. 选择需要授权的敏感列。在左侧”请选择“框内勾选想要授权的敏感列的复选框，然后点击中间的”>“按钮，即可将当前页选中的敏感列加入到右侧”已选择“框内。 5. 选择权限的类型。 6. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 7. 确定信息无误后，点击页面右下角的确认授权按钮即可完成授权。

本章节主要介绍Linux主机自动挂载CIFS或NFS文件系统的最佳实践。 如果您需要在系统启动时自动挂载文件系统，可以在/etc/fstab中添加配置。 自动挂载NFS 文件系统 在/etc/fstab 中添加一行配置：{直连模式资源挂载地址}:/mnt/{控制台用户标识}/{文件系统名称} {本地挂载目录} nfs4 port9049 0 0 ，添加后，系统启动时将自动挂载。 示例如下： 自动挂载CIFS 文件系统 在/etc/fstab 中添加一行配置：//{直连模式资源挂载地址}/{控制台用户标识}{文件系统名称} {本地挂载目录} cifs port9445,username{cifs用户名},password{cifs密码} 0 0，添加后，系统启动时将自动挂载。 示例如下： 温馨提示 上述步骤中，控制台用户标识、文件系统名称、CIFS用户名、CIFS密码可以通过媒体存储控制台获取。 获取具体步骤如下： 1. 进入文件空间菜单页面，找到对应的文件系统，点击【查看】 。 2. 在弹窗页面找到控制台用户名、文件系统名称、cifs用户名、cifs密码。

证书重颁发,是指在证书仍然有效时,由于某些特殊原因,用户需要获取一张新证书。 操作场景 通常在下述场景下，需要重颁发证书： 密钥泄露或丢失：为了网站的安全，建议重颁发一张新证书。 域名删减：原有的证书将不再适用，需要重颁发证书以匹配新域名。 密钥算法升级：通过密钥算法升级，可优化安全性、性能、合规性，系统性地提升安全防护能力并优化资源效率。 约束限制 适用产品：SSL证书、私有（内网）证书 适用品牌：CFCA、GlobalSign、标准版、DigiCert（SecureSite、GeoTrust、TrustAsia） 适用算法：国际、国密 重颁发次数限制：单张证书在有效期内（199天 ）最多可申请3次重颁发，第3次申请后，重颁发按钮置灰。 重颁发后新证书的有效期： CFCA、GlobalSign：原证书剩余时间，仅在证书到期前30天内重颁发时将获得199天续期证书。 标准版、DigiCert（SecureSite、GeoTrust、TrustAsia）：199天。 操作步骤 1. 登录证书管理服务控制台。 2. 选择“SSL证书管理 > SSL证书列表”或“私有证书管理 > 私有证书列表”。 3. 选择需要进行重颁发的证书，单击“操作”列的“重颁发”。 4. 填写证书申请的相关信息。 参数 说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。只可删减其他域名。 密钥算法 可选择“RSA”、“ECC”或“SM2”。 证书请求文件 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 私钥文件 填写您的CSR私钥。 您可以单击“上传”并选择存储在本地计算机的证书私钥文件，将文件内容上传到文本框，或者使用文本编辑工具打开KEY格式的证书私钥文件，复制其中的内容并粘贴到该文本框。 5. 单击“确定”，提交申请。 证书状态更新为“申请审核中重颁发”。申请通过后，证书状态将更新为“已签发”。 新证书签发后，原证书吊销说明： 品牌 是否吊销 吊销说明 CFCA 是 原证书将在3天内吊销。 GlobalSign 否 原证书与新证书可同时使用。 标准版、DigiCert（SecureSite、GeoTrust、TrustAsia） 吊销的场景：仅当申请重颁发时删减域名，原证书将在新证书签发3 天后吊销。 不吊销的场景：其他场景不吊销原证书。

名词 说明 内网域名 由一串点分隔的名字组成的用于云VPC网络访问目标主机或负载均衡的名称。 记录集 记录集是域名下一组资源记录的集合，这些资源记录属于同一域名，用于该域名支持的解析类型和解析值。 A记录 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 AAAA记录 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 CNAME记录 指定域名的别名，用于将域名解析成另一个域名。 MX记录 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 TXT记录 文本记录，用于对域名进行标识和说明，主要用于： 记录DKIM公钥，用 于反电子邮件欺诈。 记录域名所有者身份信息，用于域名找回。 SRV记录 服务记录类型，记录值含服务器的地址、服务端口、优先级和权重。 PTR记录 反向解析记录，对指定IP地址的反向解析记录，用于从私网IP地址反向查询对应的域名。

loghostname (boolean) 默认情况下，连接日志消息只显示连接主机的IP 地址。打开这个参数将导致也记录主机名。注意根据你的主机名解析设置，这可能会导致很微小的性能损失。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 loglineprefix (string) 这是一个printf风格的字符串，它在每个日志行的开头输出。%字符开始“转义序列”，它将被按照下文描述的替换成状态信息。未识别的转义被忽略。其他字符被直接复制到日志行。某些转义只被会话进程识别并且被主服务器进程等后台进程当作空。通过指定一个在%之后和该选项之前的数字可以让状态信息左对齐或右对齐。 负值将导致在右边用空格填充状态信息已达到最小宽度，而正值则在左边填充。填充对于日志文 件的人类可读性大有帮助。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 默认值是'%m [%p] '，它记录时间戳和进程ID。转义效果只限会话%a应用名是%u用户名是%d数据库名是%r远程主机名或 IP 地址，以及远程端口是%h远程主机名或 IP 地址是%p进程 ID否%t无毫秒的时间戳否%m带毫秒的时间戳否%n带毫秒的时间戳（作为 Unix 时间戳）否%i命令标签：会话当前命令的类型是%eSQLSTATE 错误代码否%c会话 ID：见下文否%l对每个会话或进程的日志行号，从 1 开始否%s进程开始的时间戳否%v虚拟事务 ID (backendID/localXID)否%x事务 ID （如果未分配则为 0）否%q不产生输出，但是告诉非会话进程在字符串的这一点停止；会话进程忽略否%%纯文字 %否%c转义打印一个准唯一的会话标识符，它由两个 4 字节的十六进制数（不带先导零）组成，以点号分隔。这些数字是进程启动时间和进程 ID，因此%c也可以被用作保存打印这些项的方式的空间。例如，要从pgstatactivity生成会话标识符，使用这个查询：SELECT tohex(trunc(EXTRACT(EPOCH FROM backendstart))::integer) '.' tohex(pid) FROM pgstatactivity;提示如果你为loglineprefix设置了非空值，你通常应该让它的最后一个字符为空格，这样用以提供和日志行的剩余部分的视觉区别。也可以使用标点符号。提示Syslog产生自己的时间戳和进程 ID 信息，因此如果你记录到syslog你可能不希望包括哪些转义。提示包含仅在会话（后端）上下文（如用户或数据库名称）中可用的信息时， %q转义非常有用。例如：loglineprefix '%m [%p] %q%u@%d/%a '

本章节介绍SMB协议挂载。 挂载说明 本章节挂载操作适用于天津资源池2区、天津资源池3区。 Linux系统挂载 Linux使用SMB文件资源需要使用CIFS客户端连接。以下是在 centos 7 上安装CIFS客户端并且挂载的过程。操作步骤如下： 1. 安装CIFS客户端：yum install cifsutils。 2. 执行以下命令，在主机上创建挂载目录：mkdir 本地挂载目录。 3. 执行以下命令进行资源连接，具体的挂载命令可在对应的文件系统点击【管理】，从“挂载点命令“字段获取，username与password需要根据具体的SMB用户填写。 4. 在本地挂载目录下可以进行正常的文件操作。 5. 如需卸载，可使用以下命令：sudo umount 本地挂载目录。 Windows系统挂载 通过直连模式使用的CIFS文件资源需要使用Windows系统内置的客户端。以下是在 win10 上连接 CIFS文件资源的示例。操作步骤如下： 1. 出于安全性考虑，直连文件系统使用了非默认的CIFS服务端口，因此需要在您的电脑上进行一些设置方可进行正常的连接与使用。 2. 关闭445端口，services.msc中找到Server的服务，属性禁用，然后停止服务（必要时可重启电脑）。 3. 设置端口转发，打开cmd窗口执行下列命令(其中connectaddress为您服务提供地址)：netsh interface portproxy add v4tov4 listenport445 connectaddressxxx.xxx.xxx.xxx connectport"port"。 其中connectaddress是对应文件空间的网关地址，可在对应的文件空间详情中获取，具体可参考：文件空间管理。connectport可查看挂载点信息获取（下图红框内容）。 4. 右键点击"此电脑"，选择"映射网络驱动器"，在文件夹一项中填写：127.0.0.1媒体存储控制台用户文件系统名称，勾选"登录时重新连接"和"使用其他凭证连接"，点击"完成"。 挂载点名称可查看挂载点名称获取（下图红线处内容）。 5. 输入网络凭证窗口，输入创建文件系统时设定的账号和密码，点击"确定"。 6. 连接成功后能够在此电脑网络位置中查看到文件系统。 7. 在连接成功的文件系统中可以进行正常的文件操作。 8. 如需卸载，可在磁盘上点击右键，选择"断开连接"。

此小节介绍云堡垒机的USBKey/动态令牌管理 用户帐号需配置了“USBKey”多因子认证，才能为用户帐号签发USBKey。 USBKey管理 签发授权USBkey前，需提前申购USBKey，并在本地安装对应的USBKey驱动。不同的厂商USBKey不能相互识别登录认证，用户根据申购的USBKey6.6 USBKey管理厂商。 世纪龙脉GM3000 前提条件 已申购USBKey。 已获取“用户”模块管理权限。 已获取“USBKey”模块管理权限。 签发USBKey 一个USBKey只能签发给一个用户使用。 1. 登录云堡垒机系统。 2. 选择“用户 > USBKey”，进入USBKey列表页面。 3. 单击“签发”，新建签发USBKey。 4. 配置“关联用户”，选择已经开启USBKey多因子认证的用户。 签发USBKey 参数 说明 :: USBKey USBKey商品标识码。 关联用户 选择已配置“USBKey”多因子认证的用户帐号。 PIN码 USBKey厂商提供，与“USBKey”一一对应的唯一识别码。 5. 单击“确定”，在USBKey列表查看已签发USBKey信息。 关联用户登录云堡垒机系统时，插入签发的USBKey到本地主机，登录界面会自动识别USBKey，选择对应的USBKey，并输入对应的PIN码，即可完成USBKey认证方式登录。

密钥安全管理实践 私钥（privateKey/SK）严禁明文写入代码，应通过环境变量或密钥管理平台（如 HashiCorp Vault）注入。 为不同的业务系统（如生产环境、测试环境）创建不同的应用，使用独立的密钥，避免相互干扰。 建议定期轮换公私钥对，并在轮换后及时更新所有调用方的配置。 异常处理实践 异常场景 建议处理方式 护栏服务超时（网络抖动） 建议超时时间设为 3~5 秒；超时后根据业务风险等级决定放行或拦截，不应直接报错中断用户会话 successfalse（参数错误） 记录完整请求日志，不将接口调用失败等同于内容风险，应放行并同时告警 checkResultfail 不直接将原始大模型内容返回用户，优先使用配置的代答内容，若代答为空则使用兜底话术 在线测试额度耗尽 额度耗尽返回502，不影响正式 API 调用，可继续使用；如需更多测试次数，可使用正式 API 进行测试

此小节介绍解绑弹性公网IP。 当CBH实例需要重新绑定EIP或释放EIP时，需要为该实例解绑EIP。当实例成功解绑EIP后，则无法再通过该EIP登录云堡垒机系统。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击云堡垒机，进入云堡垒机实例界面。 5. 选择需要解绑弹性IP的实例，单击所在行“操作”列中的“更多 > 解绑弹性公网IP”，弹出的解绑弹性IP对话框。 6. 在弹出的解绑弹性IP对话框中，单击“确定”。解绑成功后，“弹性IP”列无IP信息，且“登录”按钮变为不可操作。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b service 否 String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见" ecs alarmStatus 否 Integer 本参数表示告警规则是否告警。取值范围： 0：未触发告警。 1：触发告警。 2：无数据。 根据以上范围取值。 1 status 否 Integer 本参数表示告警规则状态。取值范围： 0：启用。 1：停用。 根据以上范围取值。 1 name 否 String 规则名称（模糊查询） 告警规则名称 contactGroupName 否 String 告警联系组名（模糊查询） 联系组 instanceName 否 String 监控对象名称（模糊查询） vpcvpc2913 sortKey 否 String 排序字段 updateTime sortType 否 String 排序类型。取值范围： ASC：升序。 DESC：降序。 根据以上范围取值。 ASC pageNo 否 Integer 页码，默认值：1 1 pageSize 否 Integer 页大小，默认值：20 10 resGroupID 否 String 资源分组ID eec4a76a35ba57b891c6c4fd923351d6