客户端打开后要求输入的企业标识如何获取？ 企业认证标识是登录客户端的重要凭证，建议采用自身公司身份相关的进行定义。 可登录边缘安全加速平台对应控制台企业服务进行获取。 问题故障分析 部署连接器后，仍然显示连接器“未激活”，如何定位排查？ 确认是否连接器能对外联网。 确认连接器是否对外网络出方向有进行防火墙限制，若有，需放开对应端口的网络出口访问。 客户端网络正常，但是客户端访问内部系统失败可能是什么原因？ 访问失败存在很多场景，以下列举几种常见情况，如未找到有效解决方式，请联系我们。 检查客户端是否处于在线状态，若非在线状态，则隧道连接已断开，无法访问内部系统。 检查应用是否针对该用户已授权，若未授权，则无法进行访问。 检查应用类型是否选择错误，如ssh 协议选择Web类型应用，则可能导致访问出现异常。 查询内网审计日志，判断是否被零信任网关拦截。 检查应用与连接器是否处于连通状态，可通过连接器机器telnet对应的应用ip和端口，确认是否是连接器与应用无法连通导致。 客户端短信验证码收不到如何解决？ 若您选择将手机号直接设置为登录账号，发送账号新增通知时，短信会携带手机号则短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含 "手机号”的短信进行严格校验，易触发拦截规则。 其他情况下若未收到短信，您可按以下方式排查： 检查平台手机号填写准确性，若填写错误可修正后尝试； 检查手机系统的「骚扰拦截箱」或「垃圾短信箱」（如华为手机在【安全中心 骚扰拦截】中查看，小米手机在【手机管家 骚扰拦截】中查询）； 查看第三方安全软件（如手机管家）的拦截记录，确认是否存在误拦截情况； 联系手机号所属运营商（移动 10086 / 联通 10010 / 电信 10000）查询短信发送状态。

导出资源信息 云堡垒机支持批量导出资源信息，用于本地备份资源配置，以及便于快速管理资源基本信息。 为加强资源信息安全管理，支持加密导出资源信息。 导出的主机资源文件中包含主机基本信息、主机下所有资源账户信息、主机资源账户明文密码等。 导出的应用服务器文件中包含应用服务器基本信息、应用服务器帐户信息、应用路径信息、服务器帐户明文密码等。 导出的应用发布文件中包含应用发布基本信息、应用资源账户信息、应用资源账户明文密码等。 导出的资源账户文件中包含资源账户基本信息、关联资源信息、资源地址信息、资源账户明文密码等。 前提条件 已分别获取“主机管理”、“应用服务器”、“应用发布”、“资源账户”模块操作权限。 批量导出主机资源信息 1. 登录云堡垒机系统。 2. 选择“资源 > 主机管理”，进入主机管理列表页面。 3. 勾选需要导出的主机。 若不勾选，默认导出全部主机。 4. 单击“导出”，弹出导出主机资源确认窗口。 5. 导出确认。 （可选）设置加密密码：可选择设置。不设置，下载的主机资源文件为未加密的CSV格式；设置密码，下载的主机资源文件为加密的ZIP格式。 （必选）用户密码：输入当前用户的登录密码，验证通过才允许导出主机资源信息，确保资源账户密码安全。 单击“确定”，即可下载CSV格式文件或加密的ZIP格式文件保存到本地。 批量导出应用服务器信息 1. 登录云堡垒机系统。 2. 选择“资源 > 应用发布 > 应用服务器”，进入应用服务器列表页面。 3. 勾选需要导出的应用服务器。若不勾选，默认导出全部应用服务器。 4. 单击“导出”，弹出导出应用服务器确认窗口。 5. 导出确认。 （可选）设置加密密码：可选择设置。不设置，下载的应用服务器文件为未加密的CSV格式；设置密码，下载的应用服务器文件为加密的ZIP格式。 （必选）用户密码：输入当前用户的登录密码，验证通过才允许导出应用服务器信息，确保资源账户密码安全。 单击“确定”，即可下载CSV格式文件或加密的ZIP格式文件保存到本地。

智算一体机与一站式智算服务平台有什么区别和联系？ 参见与一站式智算服务平台的关系 客户数据中心的智算一体机物理安全由谁负责？ 主要由客户负责，包含数据中心机房的风、火、水、电等安全。 天翼云如何维护智算一体机基础设施？ 高效实时监控 智算一体机成功接入天翼云运维监控平台，便处于天翼云的监控之下。天翼云运用先进的监控技术与工具，对一体机的硬件状态、性能指标以及网络连接等多方面进行实时监测，精确掌握一体机的运行负荷情况。 通过对这些数据的实时分析，天翼云能够快速洞察一体机运行过程中的异常情况。一旦发现潜在问题，系统会立即触发预警机制，运维团队可在第一时间做出响应，提前采取措施避免问题恶化，保障一体机的稳定运行。 专业物理维护 当智算一体机的硬件出现故障或根据维护计划需要进行物理维护时，天翼云的专业运维团队会迅速行动。运维人员会与客户取得联系，详细沟通客户的业务安排与时间需求，进而预约最为合适的上门服务时间。充分考虑到客户业务的连续性与时效性，最大程度降低维护工作对客户正常业务开展的影响。

Server端开启iperf的服务器模式，指定TCP端口：10000，安全组规则入方向放行TCP 10000端口 [root@ssdaliu2 ~] iperf3 s i 1 p 10000 Server listening on 10000 (test 1) Client端启动iperf的客户端模式，连接服务端。ip为server端地址 [root@ssdaliu1 ~] iperf3 c 192.168.0.15 i 1 t 60 p 10000 R Connecting to host 192.168.0.15, port 10000 Reverse mode, remote host 192.168.0.15 is sending [ 5] local 192.168.0.8 port 38316 connected to 192.168.0.15 port 10000 [ ID] Interval Transfer Bitrate [ 5] 0.001.00 sec 336 MBytes 2.81 Gbits/sec [ 5] 1.002.00 sec 172 MBytes 1.45 Gbits/sec ... ... ... [ 5] 59.0060.00 sec 179 MBytes 1.50 Gbits/sec [ ID] Interval Transfer Bitrate Retr [ 5] 0.0060.00 sec 10.7 GBytes 1.53 Gbits/sec 360910 sender [ 5] 0.0060.00 sec 10.7 GBytes 1.53 Gbits/sec receiver 结果说明： Interval表示时间间隔。 Transfer表示时间间隔里面转输的数据量。 Bitrate是时间间隔里的传输速率。 3. TCP上下行带宽测试（双向传输）。 Server端开启iperf的服务器模式，指定TCP端口：10000，安全组规则入方向放行TCP 10000端口 [root@ssdaliu2 ~]

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

介绍云审计服务支持的性能测试服务操作列表。 云审计服务（Cloud Trace Service，简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与消息通知服务相关的操作事件，便于日后的查询、审计和回溯。 表 支持审计的关键操作列表 servicetype resourcetype resourceid tracename 中文描述 CPTS cptsProject 数据库主键 createCptsProject 创建工程 CPTS cptsProject 数据库主键 deleteCptsProject 删除工程 CPTS cptsProject 数据库主键 modifyCptsProject 修改工程 CPTS cptsTask 数据库主键 createCptsTask 创建任务 CPTS cptsTask 数据库主键 deleteCptsTask 删除任务 CPTS cptsTask 数据库主键 modifyCptsTask 修改任务 CPTS cptsTemp 数据库主键 createCptsTemp 创建事务 CPTS cptsTemp 数据库主键 deleteCptsTemp 删除事务 CPTS cptsTemp 数据库主键 modifyCptsTemp 修改事务 CPTS cptsCase 数据库主键 createCptsCase 创建用例 CPTS cptsCase 数据库主键 deleteCptsCase 删除用例 CPTS cptsCase 数据库主键 modifyCptsCase 修改用例 CPTS cptsVariable 数据库主键 setVaribale 创建变量 CPTS cptsVariable 数据库主键 updateVaribale 修改变量 CPTS cptsVariable 数据库主键 deleteVaribale 删除变量 CPTS cptsTask 数据库主键 tempDebug 任务用例debug CPTS cptsTaskStatus 数据库主键 updateTaskStatus 更新任务状态

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

您可以通过Web应用防火墙服务切换工作模式。Web应用防火墙提供开启防护和暂停防护两种工作模式。 前提条件 防护域名已接入WAF。 应用场景 开启防护：开启防护模式后，WAF会根据您配置的策略进行攻击检测。 暂停防护：如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测，日志也不会记录。该模式存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 系统影响 切换为暂停模式后，WAF只转发流程请求，网站安全可能存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标域名所在行的“工作模式”列，选择工作模式。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 plaintext var config { accessKeyId: " ", secretAccessKey: " ", endpoint: " ", region: "ctyun",// region固定填ctyun }; var stsClient new AWS.STS(config); 获取临时token plaintext var params { Policy: {"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3::: ","arn:aws:s3::: /"]}}, RoleArn: "arn:aws:iam:::role/ ", RoleSessionName: " ", DurationSeconds: 900, // 过期时间 } stsClient.assumeRole(params, function (err, data) { if (err) { console.log("Error", err); } else { console.log("Success", data); } }); 请求参数 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s，范围15分钟至12小时 否

本文为您介绍VPC终端节点产品的定义、产品架构及其访问方式。 VPC终端节点（VPC Endpoint）是一种能够将VPC私密地连接到终端节点服务（云服务、用户私有服务）的解决方案。通过使用VPC终端节点，VPC中的云资源无需使用弹性IP就可以直接访问终端节点服务，从而提高了访问效率。这种灵活、安全的组网方式为用户提供了更高效的连接方式，保障了数据的安全性和隐私。 产品架构 VPC终端节点由两种资源实例组成：终端节点服务和终端节点。 终端节点服务：将云服务或用户私有服务配置为VPC终端节点支持的服务，允许终端节点连接和访问这些服务。 终端节点：用于建立VPC和终端节点服务之间便捷、安全、私密的连接通道。 通过访问已连接到服务的终端节点的地址，服务使用方主机可方便地访问该终端节点连接的服务，同时利用私有网络通信的优势来确保数据的安全性和隔离性。 如何访问VPC终端节点 VPC终端节点提供了方便的Web化管理控制台，供用户直接使用。同时，也提供了API方式，以便用户可以将终端节点集成到自己的系统中进行二次开发和自动化管理。 控制台方式：用户可以直接登录管理控制台来访问VPC终端节点。 如果用户已经注册了帐户，可以直接登录管理控制台，并从主页选择“网络 > VPC终端节点”来访问。 如果用户尚未注册，需要先在天翼云官网进行注册，然后再登录管理控制台。 API方式： 如果用户需要将VPC终端节点集成到第三方系统，以进行二次开发，可以使用API方式访问VPC终端节点。具体可参考VPC终端节点API参考。 这种方式允许用户通过基于HTTPS的请求来管理VPC终端节点，从而实现对终端节点的各种操作。

此小节介绍数据库安全查看审计信息。 添加的数据库连接到数据库安全审计实例后，您可以查看数据库的审计总览信息，包括数据库的总体审计情况、风险分布、会话统计以及SQL分布情况。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入总览界面，操作步骤如下图所示。 4. 查看数据库的总体审计情况，以及数据库的风险分布、会话统计和SQL分布信息，在“选择数据库”下拉列表框中，选择“全部数据库”或指定的数据库，可以查看实例中所有的数据库或指定的某个数据库的总览信息。选择审计的时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击按钮，选择开始时间和结束时间，查看指定的时间段的总览信息。 会话统计 SQL分布

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见“支持云审计的CFW操作列表”。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见“支持云审计的CFW操作列表”。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本节介绍如何设置文件完整性保护检测规则。 操作步骤 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“文件安全 > 文件完整性保护”，进入文件完整性保护页面。 3. 单击列表右上方的“检测设置”，进入检测设置页面。 4. 配置相关参数。 参数 说明 启用文件变更检测 开启或关闭文件变更检测功能。 关键文件监控 系统内置：对系统关键文件、文件路径、文件目录进行实时监控，发现文件变更篡改行为进行告警。 自定义：根据用户特定的防护场景，自定义添加监控路径，发现文件变更篡改行为进行告警。 监控排除设置 对用户添加的信任文件路径不再进行监控，方便用户更加灵活创建检测策略。 设置生效范围 自定义选择需要执行文件变更篡改行为监控的服务器。 5. 配置完成后，单击“确认提交”。

本文带您了解什么是配额、怎样查看配额以及如何申请扩大配额。 什么是配额？ 配额是指为了防止资源滥用，平台对服务资源的数量和容量进行限制。每个用户在使用云服务时都有一定的资源配额限制，例如可创建的弹性云主机数量、云硬盘容量等。 通过合理设置配额，平台可以保护其资源的可持续性，并确保公平的资源分配。同时，配额也是一种安全措施，可以限制恶意用户或异常行为对系统造成的影响。 如果当前的资源配额无法满足您的需求，您可以申请扩大配额，并说明您的使用需求以及合理的理由。 怎样查看配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 6. 如果某个资源的已使用量接近或达到配额限制，可能需要考虑申请扩大配额，请参考后续操作，申请扩大配额。 如何申请扩大配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 在页面右上角，单击“申请扩大配额”。 6. 在“新建工单”页面，选择“配额类”问题点击“提问”。 7. 点击“配额申请”。 8. 根据您的需求及提示，填写相关参数。 9. 填写完毕后，勾选“承诺所提交工单内容不包括敏感信息”并点击“确认提交”完成申请。

弹性云主机(CTECS,Elastic Cloud Server)属于天翼云弹性计算服务,由CPU、内存、镜像、云硬盘组成,是一种可随时获取、即开即用、可弹性扩展的计算服务器。帮助您搭建安全稳定环境及应用,并根据需求动态弹性扩展资源,使您简单上云,更专注于自身业务发展。

加密隔离组 加密隔离组是管理员为部门或用户设置的加密文件访问控制组，通过定义隔离涵盖范围和授权共享范围，限制加密文件的读写权限。组内用户的加密文件仅对组内成员或授权共享范围内的用户开放访问，实现数据的隔离与安全管控。

本文介绍关系数据库PostgreSQL版的高危操作二次验证功能。 为保证实例安全，部分高危操作需要进行短信验证，发起验证后，您当前登录的账号绑定的手机会收到短信验证码，填写验证码完成验证，高危操作才会执行。 需要进行短信验证的高危操作如下： 退订实例 重置root密码

API覆盖的功能模块。 序号 主要功能 1 边缘服务 2 虚拟机管理 3 虚拟私有云网络管理 4 子网管理 5 SSH密钥管理 6 存储管理 7 弹性公网IP管理 8 网关管理 9 安全组管理 10 负载均衡管理 11 负载均衡监听器管理 12 负载均衡后端服务器组管理 13 用户配额管理 14 SSL证书管理

本文为您介绍备份集导入的相关内容。 备份集导入是数据管理的关键功能，主要可以在以下几种场景中发挥重要功能： 1. 整个备份系统的元数据损坏或丢失； 2. 磁带过期备份集恢复：当磁带出库后，因备份集过期被删除，一旦磁带重新入库后，可通过备份集导入功能来恢复磁带备份集已过期的数据； 3. 备份集数据跨域恢复：如磁盘上的备份集需要从一个备份域拷贝到另一个备份域；磁带出库后，重新入库到另一个备份域，备份集导入功能可实现数据的跨域复制； 4. 备份集保存位置发生变动（或者被第三方软件复制）后进行备份集恢复。 备份集导入功能的实现可分为备份集发现和备份集导入两个阶段，详情请参考对应子章节内容。 备份集发现 备份集发现主要基于特定的存储单元来执行，用户可根据自己的需求，针对不同的存储单元类型创建相应的备份集发现任务。任务一旦触发，系统将自动扫描指定的存储单元以获取其备份集列表清单，在扫描过程中，系统将自动识别并过滤掉当前备份域已经存在的有效备份集，避免冗余。同时备份集发现后的备份集列表清单将进入到备份集导入页面统一汇总管理。 新建备份集发现 操作步骤 1. 点击左侧菜单栏 “数据定时灾备”，点击“备份集备份集导入”，进入备份集导入页面。 2. 选择“备份集发现”Tab栏，点击“新建”按钮，进入备份集发现新建页面。页面各配置项如下： 名称：名称只能以英文字母开头，可包含数字，不能包含中文及特殊字符。 存储单元类型：选择存储单元类型，支持本地磁盘、对象存储、ZFS池、磁带库等几种类型。 条形码：默认页面不显示，仅当存储单元类型为磁带库时，条形码选项才会显示。 若用户需要选择磁带库中没有的磁带，首先需要将该磁带入库，之后，通过执行“清点&浏览”动作，待该磁带被系统成功识别后，其条形码信息才可在此处被显示。 若用户需要选择的磁带是磁带库中有的磁带，如果磁带出库后，再入库，同样需要执行“清点&浏览”动作，待该磁带被系统成功识别后，其条形码信息才可在此处被展示。 存储单元：选择对应的存储单元名称。 任务类型：默认为仅发现，包含仅发现和&自动导入两种。 仅发现：仅扫描指定的存储单元以获取其备份集列表清单，备份集发现后需要人为手动导入。 自动导入：针对已发现的备份集，系统将自动导入到当前备份域，无需人为手动导入。 任务运行时间：立即运行，即规则一提交后，任务立即运行。 3. 完成配置后，点击确定完成规则新建。

名称 描述 是否必须 InventoryConfiguration 清单配置的容器。 类型：容器。 子节点：Destination、IsEnabled、Filter、Id、OptionalFields、Schedule。 是 Destination 存放清单结果的容器。 类型：容器。 父节点：InventoryConfiguration。 子节点：OOSBucketDestination。 是 OOSBucketDestination 存放清单结果的Bucket信息。 类型：容器。 父节点：Destination。 子节点：Bucket、Format、Prefix。 是 Bucket 指定存放清单结果文件的Bucket。 类型：字符串。 取值：格式为arn:ctyun:oos:::bucketname，bucketname为已经创建的Bucket名字。 父节点：OOSBucketDestination。 是 Format 指定清单结果文件的类型。 类型：字符串。 取值：CSV。 父节点：OOSBucketDestination。 是 Prefix 指定清单结果文件的存储路径前缀。 类型：字符串。 取值：0~512个字符。 父节点：OOSBucketDestination。 否 IsEnabled 指定清单功能是否启用。 类型：布尔型 取值： true：启用清单功能。 false：不启用清单功能。 父节点：InventoryConfiguration。 是 Filter 清单筛选的前缀。 说明 指定前缀后，清单将筛选出符合前缀设置的文件。 类型：容器。 父节点：InventoryConfiguration。 子节点：Prefix。 否 Prefix 指定筛选规则的匹配前缀。 类型：字符串。 取值：0~1024个字符。 说明 如果未指定筛选规则的匹配前缀，则匹配源Bucket中的所有文件。如果源Bucket没有任何文件，或清单设置的前缀没有匹配到任何文件，则会生成相应文件和文件夹，但清单结果文件中无内容。 父节点：Filter。 否 Id 指定的清单名称，清单名称在当前Bucket下必须全局唯一。 注意 必须与请求头中的Id相同。 类型：字符串。 取值：只允许使用小写字母、数字、短横线（）和下划线（ ），且不能以短横线（）或下划线（ ）开头或结尾，1~64个字符。 父节点：InventoryConfiguration。 是 OptionalFields 清单结果配置项的容器。 类型：容器。 父节点：InventoryConfiguration。 子节点：Field。 否 Field 设置清单结果中包含配置项，可以设置多个配置项。 类型：字符串。 取值： Size：Object的大小。 LastModifiedDate：Object最后一次修改时间。 ETag：Object的ETag值，用于标识Object的内容。 StorageClass：Object的存储类型。 IsMultipartUploaded：是否为通过分片上传方式上传的Object。 说明 如果未设置配置项，清单默认输出源Bucket和Key（文件名称）。 父节点：OptionalFields。 否 Schedule 存放清单结果导出周期的容器。 类型：容器。 父节点：InventoryConfiguration。 子节点：Frequency。 是 Frequency 指定清单结果文件导出的周期。 类型：字符串。 取值： Daily：按天导出清单结果文件。 Weekly：按周导出清单文件。清单规则开启当天会根据清单规则启动一次清单导出任务，第二天启动周期性清单导出任务。例如周一开启清单规则，周一当天会启动清单导出任务，后期会按每周二启动清单导出任务。 说明 当前的清单结果文件导出完成后，才会创建新的清单任务。如果Object较多时（数量大于10亿），建议按周导出清单结果文件。 父节点：Schedule。 是

第4章 前提条件 客户在天翼云官网发起集成交付培训服务在线咨询并留下联系方式，天翼云客户服务人员与客户线下沟通，明确需求细节等详细信息，并签订培训服务合同。 客户学员可提前在天翼云学堂完成理论课程学习并通过考试。 第5章 服务范围 集成交付培训服务产品覆盖：天翼云网络、服务器、云电脑、混合云一体机，及相关交付工具，服务范围包含： 网络交付工程师实操培训：本培训是在实操环境中，为学员提供天翼云交付网络实操方向的培训，使学员能够通过实操实践，掌握天翼云硬件集成网络配置的过程和方法。 高级网络交付工程师实操培训：本培训是在实操环境中，为学员提供天翼云交付高级网络实操方向的培训，使学员能够通过实操实践，掌握天翼云硬件集成高级网络配置的过程和方法。 服务器交付工程师实操培训：本培训是在实操环境中，为学员提供天翼云交付服务器实操方向的培训，使学员能够通过实操实践，掌握天翼云硬件集成服务器安装配置的过程和方法。 高级服务器交付工程师实操培训：本培训是在实操环境中，为学员提供天翼云交付高级服务器实操方向的培训，使学员能够通过实操实践，掌握天翼云硬件集成高级服务器安装配置的过程和方法。 云电脑交付工程师实操培训：本培训是在实操环境中，为学员提供天翼云交付私有云电脑部署实操方向的培训，使学员能够通过实操实践，掌握天翼云私有云电脑部署的过程和方法。 高级云电脑交付工程师实操培训：本培训是在实操环境中，为学员提供天翼云交付私有云电脑高级部署实操方向的培训，使学员能够通过实操实践，掌握天翼云私有云电脑高级部署的过程和方法。 混合云一体机交付工程师实操培训：本培训是在实操环境中，为学员提供天翼云交付混合云一体机部署实操方向的培训，使学员能够通过实操实践，掌握天翼混合云一体机部署的过程和方法。 天翼云交付工程师培训服务（远程）：提供集成交付硬集或软集的远程培训服务。具体培训内容按照被培训方的需求进行输出。 天翼云交付工程师培训服务（现场）：提供集成交付硬集或软集的现场培训服务。具体培训内容按照被培训方的需求进行输出。 质效提升支持服务：提供“善工”产品的使用方法、技巧和相关问题的培训和交流，功能定制开发和技术支持

本文介绍通过CDN加速媒体存储资源的操作流程和操作方法。 前提条件 1. 完成天翼云账号注册、实名认证。 2. 开通CDN加速，详情请见：产品开通。 3. 开通媒体存储，详情请见：开通天翼云媒体存储。 创建存储区域：目前不支持客户自助创建，需要您通过提交工单联系天翼云客服或客户经理，由其人工通过线下渠道为您创建存储区域。 创建媒体存储的存储桶，详情请见：新建Bucket。创建完成后，可以在基础信息查看，找到 Bucket域名（即回源域名）。 （非必须）上传资源到存储桶，详情请见：上传对象。 （非必须）配置镜像回源功能，当您请求的对象在存储桶中不存在时，可以根据回源规则从指定的源站获取对象。详情请见：镜像回源。 4. 如需要享受媒体存储的流量优惠，在添加加速域名新增源站时，需要选择源站类型为 【媒体存储源站】。 操作说明 添加加速域名 登录CDN控制台，在左侧导航栏单击【域名管理】【域名列表】，进入域名列表页面，单击【添加域名】。配置详情请见：添加加速域名。 CDN节点在无缓存时，会回源站（本实践中特指媒体存储）拉取资源并缓存。源站相关配置请参考如下： 1. 在源站地址中填入已经配置好的存储桶 ，即Bucket域名（回源域名），指定源站回源HOST配置对应的回源HOST（即Bucket域名）。 2. 如新建Bucket时，【权限】选择的是私有，则只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。可通过CDN控制台，在【域名管理】【域名列表】【回源配置】【私有Bucket回源】添加AK(Access Key），SK(Secret Access Key)等信息，并提交保存。配置详情请见：私有Bucket回源 3. 当完成添加域名页面所有配置后，单击【提交】，请耐心等待域名配置下发部署至全网节点，自助配置生效时间约510分钟。 注意 私有Bucket的AK、SK一旦授权给CDN，用户可以通过CDN访问到私有Bucket内容，如在媒体存储中的资源较为敏感，请单独为CDN创建一个独立的AK/SK，仅授权CDN可访问的内容，避免源站信息泄漏。

本节主要介绍安装GPU指标与RAID指标采集插件（Linux） 操作场景 本章节指导用户安装指标采集插件，用于采集GPU类指标和RAID类指标。 说明 ECS支持GPU类指标，BMS暂不支持。 BMS支持RAID类指标，ECS暂不支持。 若Agent升级到1.0.5及以上版本，对应插件需使用最新的版本，否则会出现指标采集异常。 前提条件 已安装Agent并处于正常运行状态。 GPU类指标采集需弹性云主机支持GPU。 操作步骤 1. 使用root帐号，登录ECS。 说明 若要监控BMS的软RAID指标，请登录BMS。 以下以安装GPU插件为例，安装监控软RAID插件类似。 2. 执行以下命令，进入Agent安装路径。 cd /usr/local/telescope 3. 执行以下命令，创建plugins文件夹。 mkdir plugins 4. 执行以下命令，进入plugins文件夹。 cd plugins 5. 执行如下命令，下载采集插件脚本（以下以GPU插件为例）。 wget 说明 RAID插件地址路径： 以广州4资源池为例，RegionId为：cngdgz1 插件包地址为： GPU插件地址路径： 以广州4资源池为例，RegionId为：cngdgz1, 插件包地址为： 6. 执行如下命令，添加脚本执行权限。 chmod 755 gpucollector 7. 执行如下命令，新建conf.json文件并添加配置内容，配置插件路径和指标采集周期crontime（单位：秒）。 vi conf.json GPU指标插件配置 { "plugins": [ { "path": "/usr/local/telescope/plugins/gpucollector", "crontime": 60 } ] } RAID指标插件配置 { "plugins": [ { "path": "/usr/local/telescope/plugins/raidmonitor.sh", "crontime": 60 } ] } 说明 path路径后的参数为gpucollector和raidmonitor.sh分别为GPU插件和RAID插件配置内容。 插件采集周期为60s，若采集周期配置错误，会导致指标采集异常。 插件路径path请勿私自修改，否则指标采集异常。 8. 打开/usr/local/telescope/bin路径下的confces.json文件，新增配置项"EnablePlugin"：true，开启插件采集开关。 { "Endpoint": "所在区域地址，默认无需修改", "EnablePlugin": true } 9. 执行如下命令，重启Agent。 /usr/local/telescope/telescoped restart

本章节向您主要介绍VPN与VPC peering配合使用快速实现云上不同区域VPC互通的前提条件。 前提条件 云主机绑定的安全组需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。 子网的网络ACL需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。

概述 JWT全称为 JSON Web Token，是一种开放标准（RFC 7519），它定义了一种在通信各方之间以JSON对象形式安全传输信息的方式。JWT可以使用HMAC、RSA、ECDSA等算法签名；在应用中，JWT可以用于用户身份认证和访问鉴权。云原生网关作为微服务的访问入口，是实现认证鉴权的理想节点，当前云原生网关支持JWT认证方式，交互流程如下： 1. JWT签发阶段，云原生网关对这类接口访问不做认证，将请求透传到业务授权服务。 2. 业务授权服务认证成功后签发JWT并返回给客户端，在后续的请求中客户端会带上JWT。 3. 云原生网关收到正常的业务请求时提取JWT并校验签名信息，校验通过则放过请求，否则返回401状态码。 JWT策略配置 云原生网关支持全局的JWT策略配置，在 安全认证 > 认证鉴权 菜单下，选择创建鉴权，鉴权类型选择JWT，填写相关参数即可创建JWT认证策略，JWT配置参数说明如下： 配置 说明 鉴权名称 唯一标识一个JWT鉴权配置，只能包含大小写字母、数字和‘’，且不能以‘’开头或者结尾。 加密算法 支持HS256、HS512、RS256。 密钥 选择HS256/ HS512算法时填写，需要指定是否base64编码，并提供密钥。 RSA密钥 选择RS256算法时填写，需要提供RSA算法公钥和私钥。 JWT Token配置 网关从请求获取JWT Token的位置，支持指定header、query和Cookie的key。 过期时间 JWT Token过期时间，默认86400秒。

本文介绍批量配置HTTPS证书的方法。 功能介绍 边缘安全加速平台支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 适用场景 该功能适用于多域名需同时开启HTTPS服务的场景。 注意事项 批量HTTPS证书配置一次最多能关联100个域名，筛选范围仅包含域名状态为已启用且无在途工单的域名。 域名绑定证书后会开启域名HTTPS功能。 配置说明 1. 登录边缘安全加速平台控制台。 2. 单击左侧导航栏【证书管理】【证书列表】。 3. 在【证书列表】页面，单击左上角【添加自有证书】，并上传证书。 4. 证书上传完可开始【绑定域名】。 5. 选择需绑定该证书的域名，单击【提交绑定】即可。 参数名 说明 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 证书公钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。 证书私钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。

本文介绍标签和标签组的含义，如何创建标签和标签组，如何删除标签和标签组。 功能介绍 边缘安全加速平台控制台上提供了一种域名分类管理工具——标签和标签组，使用标签可以对具有相同属性的域名进行分类管理，使用标签组可以对具有相同类别属性的标签进行分类管理。 配置说明 例如：您有很多业务系统（CRM、ERP、DMS等），每个业务系统又包含多个域名，就可以借助标签组和标签对这些域名进行分组管理。即创建一个名为Businesssystem的标签组，同时创建三个名为CRM、ERP、DMS的标签。 创建标签和标签组的操作步骤 1. 登录边缘安全加速控制台。 2. 单击左侧导航【域名】【标签管理】。 3. 在【标签管理】页面，单击右上角的【新增标签】。 4. 在弹窗界面，输入标签组名，如“Businesssystem”。输入“Businesssystem”完成后，需要单击下方显示的“Businesssystem”完成标签组名创建。 5. 在弹窗界面，输入标签名，多个标签名用;分隔，如“”。 6. 确认无误后，单击【确定】提交，完成名为“Businesssystem”的标签组和名为“CRM、ERP、DMS”的标签创建。 参数名 配置值 说明 标签组名 只能输入，英文字母和数字，不允许为空。 标签组，即一组具有相同类别属性标签的统称，在配置关系里面，它是一类标签的集合。 标签名 只能输入，英文字母和数字，多个值用;分隔，不允许为空。 标签，即一组具有相同属性的域名的统称，在配置关系里面，它是一类域名的集合。

说明 运维安全中心（云堡垒机）仅支持二类节点部署的云审计服务。 开启了云审计服务后，系统开始记录运维安全中心（云堡垒机）实例的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 在页面左上角单击，选择“管理与部署> 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： “事件来源”、“资源类型”和“筛选类型”。 在下拉框中选择查询条件，例如：依次选择“CBH”>“cbh”>“按事件名称”>“createInstance”，单击“查询”，查询所有创建CBH实例的操作。 事件名称：选择具体的事件名称，例如createInstance。 资源ID：选择或者手动输入需要查看审计日志的CBH实例ID。 资源名称：选择或手动输入需要查看审计日志的CBH实例名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 “起始时间”、“结束时间”：可通过选择时间段查询操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息。 7. 在需要查看的记录右侧，单击“查看事件”，查看该操作事件结构的详细信息。

本节介绍了一键式重置密码插件漏洞说明 漏洞说明 弹性云主机提供了重置密码功能，当弹性云主机的密码丢失或过期时，可使用该功能进行一键式重置密码。 2022年1月14日以前的旧版本一键式重置密码插件“CloudResetPwdUpdateAgent ”使用了Apache Log4j2组件，会被安全工具扫描出漏洞。 表 漏洞信息 漏洞类型 CVEID 漏洞级别 披露/发现时间 修复时间 Apache Log4j2 远程代码执行 CVE202144228 严重 20211209 2022114 Apache Log4j2 远程代码执行 CVE202145046 严重 20211215 2022114 Apache Log4j2 拒绝服务 CVE202145105 中 20211218 2022114 Apache Log4j2 远程代码执行 CVE202144832 中 20211229 2022114 Apache Log4j2 信息泄露 CVE20209488 低 20200427 2022114 漏洞影响 一键式重置密码插件是弹性云主机内部运行的客户端进程，不对外提供任何网络服务。经分析验证，一键式重置密码插件无可利用条件，无安全风险。

conditions表 参数 参数类型 必选 说明 匹配方式 示例 bucket String 否 存储桶名称。 bucket {"bucket": "examplebucket"} key String 否 上传对象的名称。 eq、startswith ["eq", "$key", "ExampleObject"] xamzalgorithm String 是 指定签名的版本和算法，固定值为AWS4HMACSHA256。 xamzalgorithm {"xamzalgorithm": "AWS4HMACSHA256"} xamzcredential String 是 指明派生密钥的参数集。格式： / / /s3/aws4request。 xamzcredential {"xamzcredential": "afwnu54/20241216/useast1/s3/aws4request"} xamzdate String 是 请求的时间（遵循ISO 8601日期和时间标准）。格式：20241216T020211Z。 xamzdate {"xamzdate": "20241216T020211Z"} contentlengthrange String 否 上传对象时的最小以及最大允许的大小，单位是字节。 contentlengthrange ["contentlengthrange", 1, 10] successactionstatus String 否 上传成功后的返回状态码。 eq、startswith ["eq", "$successactionstatus", "201"] contenttype String 否 限制对象的文件类型。 eq、startswith ["eq", "$contenttype", "image/jpg"] xamzsecuritytoken String 否 安全令牌。仅在通过STS构造POST签名时需要该参数。可以通过调用STS服务的AssumeRole接口获取安全令牌。 xamzsecuritytoken {"xamzsecuritytoken": "ek+NvIdz"} cachecontrol String 否 缓存控制。 eq、startswith ["eq", "$cachecontrol", "nocache"]

本章节主要介绍安装客户端（3.x及之后版本）。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。Flume客户端安装请参见“组件操作指南 > 使用Flume > 安装Flume客户端”。 客户端可以安装集群内节点，也可以安装在集群外节点，本章节以安装目录“/opt/client”为例进行介绍，请以实际集群版本为准。 在集群外节点安装客户端前提条件 已准备一个Linux弹性云主机，主机操作系统及版本建议参见下表。 CPU架构 操作系统 支持的版本号 x86计算 Euler EulerOS 2.5 SUSE SUSE Linux Enterprise Server 12 SP4（SUSE 12.4） RedHat RedHat7.5x8664（RedHat 7.5） CentOS CentOS7.6版本（CentOS 7.6） 鲲鹏计算(ARM) Euler EulerOS 2.8 CentOS CentOS7.6版本（CentOS 7.6） 同时为弹性云服务分配足够的磁盘空间，例如“40GB”。 弹性云主机的VPC需要与MRS集群在同一个VPC中。 弹性云主机的安全组需要和MRS集群Master节点的安全组相同。 弹性云主机操作系统已安装NTP服务，且NTP服务运行正常。 若未安装，在配置了yum 源的情况下，可执行yum install ntp y命令自行安装。 需要允许用户使用密码方式登录Linux弹性云主机（SSH方式）。

本文介绍了RDSPostgreSQL实例连接设置与访问的常见问题。 实例是否支持更换VPC RDSPostgreSQL不支持通过控制台更换VPC，订购实例时请谨慎选择实例VPC。 RDSPostgreSQL是否能跨地域内网访问 跨地域内网默认不能访问，不同区域的云服务之间内网互不相通。您可以通过公网访问，或者通过云连接/VPN打通网络实现内网访问。 如您需要跨地域访问实例时，您可为实例绑定弹性公网IP进行访问，请参见通过psql命令行公网连接实例。 外部服务器或应用程序如何访问VPC内的RDSPostgreSQL数据库 开通公网访问的实例 对于开通公网访问功能的云数据库实例，可以通过外网进行访问。 具体连接方式请参见：通过公网连接实例。 未开通公网访问的实例 对于未开通公网访问功能的云数据库实例，只能在相同资源池的相同VPC下通过内网访问。 具体连接方式请参见：通过内网连接实例。 绑定公网IP后无法ping通的解决方案 当实例绑定公网IP后无法ping通的排查方法如下： 1. 检查安全组规则。 2. 使用相同区域主机进行ping测试。 具体安全组配置方式，您可参考安全组配置示例。 应用程序是否需要支持自动重连数据库 建议您的应用程序支持自动重连数据库功能，以确保在数据库连接出现故障或断开连接时，应用程序能够自动重新连接数据库，提高系统的可用性和稳定性。同时，建议您采用长连接方式连接数据库，以减少频繁的连接和断开操作，降低资源消耗，提高系统性能。 ECS（弹性云主机）内网访问RDSPostgreSQL，是否受带宽限制 ECS、RDSPostgreSQL内网访问不受带宽限制，公网访问带宽限制根据您绑定的EIP产品带宽有所限制。 如何查看当前时间所有连接数据库的IP 如您需要查看当前实例所有连接的IP，您可在连通实例后，通过数据库命令行执行以下SQL语句，查看所有的活动IP连接数。 sql SELECT clientaddr FROM pgstatactivity WHERE state 'active';