简介 本文介绍了如何在天翼云上使用弹性云主机的Linux实例部署RabbitMQ。RabbitMQ是采用Erlang语言实现AMQP（Advanced Message Queuing Protocol，高级消息队列协议）的消息中间件，它最初起源于金融系统，用于在分布式系统中存储转发消息。RabbitMQ凭借其高可靠、易扩展、高可用及丰富的功能特性成为目前非常热门的一款消息中间件。 前提条件 弹性云主机所在安全组添加了如下表所示的安全组规则。 表 安全组规则 方向 类型 协议 端口/范围 源地址 入方向 IPv4 TCP 5672 0.0.0.0/0 入方向 IPv4 TCP 15672 0.0.0.0/0 操作步骤 1.安装相关依赖包和perl。 a.登录弹性云主机。 b.执行以下命令，安装相关依赖包。 yum y install make gcc gccc++ m4 ncursesdevel openssldevel unixODBCdevel c.执行如下命令，安装perl。 yum install perl 2.安装erlang。 关于erlang的安装请参考Erlang官方资料。 a.添加erlang存储库到系统 wget rpm Uvh erlangsolutions2.01.noarch.rpm 或手动添加存储库条目 rpm import b.在/etc/yum.repos.d/目录下新建一个文件rabbitmqerlang.repo，然后将下面的粘帖进去 cd /etc/yum.repos.d/ vi rabbitmqerlang.repo [erlangsolutions] nameCentOS $releasever $basearch Erlang Solutions baseurl gpgcheck1 gpgkey enabled1 按Esc键退出编辑模式，并输入:wq保存后退出。 c.执行以下命令安装erlang sudo yum install erlang 执行以下命令安装eslerlang sudo yum install eslerlang d.执行如下命令，检查安装结果。 erl version 回显类似如下信息，说明erlang安装成功。 [root@ecsrabbitmq ~]

配置项 说明 规格方案 选择或手动输入合理的 vCPU规格 和 内存规格 组合。vCPU大小（单位为核）与内存大小（单位为GB）的比例必须设置在1:1到1:4之间。 临时硬盘大小 根据您的业务情况，选择硬盘大小。函数计算为您提供512 MB以内的磁盘免费使用额度。 执行超时时间 设置超时时间。默认为60秒，最长为86400秒(24小时)。超过设置的超时时间，函数将以执行失败结束。 实例并发度 设置函数实例的并发度。 时区 选择函数的时区。此处设置函数的时区后，将自动为函数添加一条环境变量 TZ ，其值为您设置的目标时区。 函数角色 如果您的代码逻辑需访问其他云服务，请创建角色并为角色最小化授予访问其他云服务的权限。 允许访问 VPC 是否允许函数访问VPC内资源。 专有网络 允许访问 VPC 选择 是 时必填。创建新的VPC或在下拉列表中选择要访问的VPC ID。 子网 允许访问 VPC 选择 是 时必填。创建新的子网或在下拉列表中选择子网ID。 安全组 允许访问 VPC 选择 是 时必填。创建新的安全组或在下拉列表中选择安全组。 允许函数默认网卡访问公网 是否允许函数可以通过默认网卡访问公网。关闭后，当前函数将无法通过函数计算的默认网卡访问公网。使用固定公网IP地址功能时，您必须关闭 允许函数默认网卡访问公网 。

本节介绍业务请求类常见问题。 QPS超过当前WAF版本支持的峰值时有什么影响？ 如果您选择的QPS规格不足以支撑网站/应用业务每天的流量峰值，对超出当前WAF版本支持峰值的QPS，WAF将不再防护网站，可能出现限流、随机丢包等现象，导致您的正常业务在一定时间内不可用、卡顿、延迟等。 独享版WAF支持的QPS规格说明： 单实例规格的正常业务请求峰值： WAF实例规格选择WI500，参考性能： HTTP业务：建议QPS 5,000；极限QPS 10,000 HTTPS业务：建议QPS 4,000；极限QPS 8,000 Websocket业务：支持最大并发连接5,000 最大回源长连接：60,000 WAF实例规格选择WI100，参考性能： HTTP业务：建议QPS 1,000；极限QPS 2,000 HTTPS业务：建议QPS 800；极限QPS 1,600 Websocket业务：支持最大并发连接1,000 最大回源长连接：60,000 CC攻击防护峰值： WAF实例规格选择WI500，参考性能： 防护峰值：20,000QPS WAF实例规格选择WI100，参考性能： 防护峰值：4,000QPS 如何查看防护网站的入带宽和出带宽信息？ 在“安全总览”页面，您可以查看防护网站或实例的带宽信息，操作步骤如下。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在网站或实例下拉列表中，选择要查看的网站或实例，并选择查看的时间段（昨天、今天、3天、7天、30天）。 步骤 5 在“安全统计”区域框中，选择“发送/接收字节数”页签，可以查看防护网站或实例的入带宽和出带宽信息。

子流程 说明 申请独享引擎 通过申请独享引擎开通WAF。 详细操作请参见： 添加防护网站 添加需要防护的网站。 详细操作请参见： 接入WAF之后，根据请求页面的大小和数量，会有几十毫秒的延迟。 配置防护策略 防护策略是多种防护规则的合集，用于配置和管理Web基础防护、黑白名单、精准访问防护等防护规则，一条防护策略可以适用于多个防护域名，但一个防护域名只能绑定一个防护策略。 详细操作见 管理防护规则 Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面，通过查看并分析防护日志，对网站的防护策略进行调整，也可以对误报时间进行屏蔽。 详细操作见 处理误报事件 WAF拦截或者记录的攻击事件为误报时，可对误报进行屏蔽处理。详细操作请参见： 安全总览 可查看到昨天、今天、3天、7天或者30天范围内的防护数据。详细操作请参见：

本文介绍如何创建会议。 快速会议 适用场景 当您需要临时召开会议，可使用“快速会议”功能。该功能适用于突发性的临时会议需求，如紧急协调或临时决策。 操作步骤 1. 打开AOne会议客户端，进入主界面。 2. 点击首页“快速会议”按钮，即可发起快速会议并自动入会。 3. 会中可点击左上角的“会议详情”按钮，或工具栏中的“邀请参会”>“分享会议”按钮。 4. 在弹出的窗口中复制会议号或会议链接。 5. 将会议号或会议链接通过微信、邮箱、钉钉等方式发送给需要参会的人员，即可完成邀请。 注意事项 快速会议默认为立即生效、无需密码，若有安全需求，请在会中通过“安全”按钮打开设置，手动设置锁定会议或入会范围。 发起人自动成为会议主持人，可进行全局会控操作。 默认时长为30分钟，如若超过会议结束时间6小时仍未结束会议，系统将会强制结束会议。 预定普通会议 适用场景 当您需要提前安排会议并通知参会人员时，可使用“预定会议”功能。适用于正式会议、面试、线上培训等场景。 操作步骤 1. 打开AOne会议客户端，进入主界面。 2. 点击首页的“预定会议”按钮。 3. 在“预定会议”设置页面，填写以下信息： 会议主题 、开始时间 、结束时间。 参会人员（可选），点击“添加参会人”邀请本企业成员。 是否启用入会密码 、等候室、会议水印、成员入会时静音、成员入会时关闭摄像头等安全配置。 是否启用自动开启云录制，可选择“主持人入会后开启”或“成员入会后开启”。启用后，该会议将在主持人/成员加入会议时自动开启云录制。 4. 点击“预定会议”，完成会议创建。 5. 会议创建成功后，可在您的会议列表中查看该会议。

步骤二：数据投递授权 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，选择“投递权限授予”页签，进入投递权限授权页面后，单击目标投递任务所在行“操作”列的“接受”。 如需批量接受授权，可以勾选所有需要授权的任务，然后单击列表左上角的“接受”。 授权授予后，目标投递任务授权状态更新为“已授权”，更新后，可前往投递目的地查看投递情况。 步骤三：在OBS中查看数据投递 1. 登录管理控制台。 2. 单击页面左上方的，选择“存储 > 对象存储服务”，默认进入桶列表管理页面。 3. 在桶列表页面中，单击新增数据投递时选择的OBS桶的名称，进入目标OBS桶详情页面。 4. 在OBS桶详情页面，查看投递的日志信息。 数据投递授权相关操作 在跨租投递权限授权页面可以对投递权限进行拒绝 和取消授权操作： 操作 具体操作方法 拒绝 在目标投递任务所在行“操作”列，单击“拒绝”。 如需批量拒绝授权，可以勾选所有需要拒绝的任务，然后单击列表左上角的“拒绝”。 取消 1. 在目标投递任务所在行“操作”列，单击“取消”。 如需批量取消授权，可以勾选所有需要取消的任务，然后单击列表左上角的“取消”。 2. 在弹出的确认框中，单击“确定”。

CES Agent如何通过授权获取临时AK/SK？ 为了更加安全高效的使用云监控服务提供的主机监控功能，我们提供了最新方式的Agent授权方法。在安装主机监控Agent前，仅需要一键式单击该区域的授权按钮或者在创建弹性云主机页面勾选云监控Agent委托，则系统会自动对该区域下所有云主机或物理机安装的Agent做临时AK/SK授权，并且以后在该区域新创建的资源都会自动获得此授权。本节针对本授权做以下说明： 1. 授权对象： 当您在云监控服务管理控制台“主机监控 > 弹性云主机”（或“主机监控 > 物理机”）所示页面单击“一键配置”后，系统会在IAM自动创建名为“cesagency”的委托，该委托自动授权给CES服务的内部账户opsvcces。 2. 授权范围： 仅为所在区域的内部账户“opsvcces”添加“CES Administrator”权限。 3. 授权原因： CES Agent运行在弹性云主机或物理机内，该Agent采集监控数据后需要上报到云监控服务，授权后CES Agent能够自动获取临时AK/SK，这样您就可以安全方便的使用云监控服务管理控制台或API查询Agent监控数据指标了。 a. 安全：Agent使用的AK/SK仅具有CES Administrator权限的临时AK/SK，不会使用客户全局AK/SK，即当前的临时AK/SK只具备操作云监控服务的权限。 b. 方便：您仅需在一个区域配置一次即可，无需对每个CES Agent手动配置。 4. 如果授权后在IAM委托页面无法查询到“cesagency”，您可以手工在IAM管理控制台重新创建。 说明 新创建的委托名称必须为“cesagency”。 委托类型为“普通帐号”，委托的帐号必须为“opsvcces”。

本文向您介绍标签管理服务的审计与日志。 云审计服务（Cloud Trace Service，CTS），是天翼云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开通云审计服务后，CTS可记录标签管理服务的操作事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 标签管理服务支持审计的操作事件请参见支持审计的关键操作列表。 如何查看审计日志请参见查看审计日志。

本小节主要介绍RDSPostgreSQL实例的操作系统更新。 操作背景 为保证RDSPostgreSQL实例的数据库安全和数据库性能，系统会在合适期间对操作系统进行更新。同时操作系统的补丁更新不会变更您的数据库实例版本信息。 为不影响您的数据库实例使用体验，RDSPostgreSQL会在您设置的可运维时间段内，通过特定方式及时修复操作系统漏洞，加强您的数据库整体安全状况 。

本页介绍天翼云TeleDB数据库账号管理信息。 账密管理支持查看当前实例所有数据库账号、新建账号、删除账号、编辑账号。 1. 账号列表显示实例下所有账号信息，包括账号名、主机信息、权限等，支持按账号名模糊搜索。当前登录的数据库用户需要具备数据库账号管理权限，否则无法查看账号列表。 2. 新建账号 1. 选择数据源管理 > 元数据管理，进入实例列表页面。 2. 在实例列表页面选择更多 > 数据库用户管理 ，进入账号管理 页面。 3. 单击创建账号 按钮，输入账号名、密码等必填信息。 4. 单击确定 按钮，生成创建账号的DDL语句。 5. 在DDL预览弹窗中，单击执行按钮即可完成账号的创建。 6. 可以为账号设置全局权限和对象权限，以及密码到期时间、连接数限制等选项。在创建账号时，可以自动检测密码强度，提高安全性。 3. 编辑账号 1. 选择数据源管理 > 元数据管理，进入实例列表页面。 2. 在实例列表页面单击更多 > 数据库用户管理 按钮进入账号管理页面。 3. 单击列表操作菜单的编辑 按钮，进入编辑页面。 4. 按需修改所需要的属性内容。 5. 单击确定按钮，生成修改账号的DDL语句。 6. 在DDL预览弹窗中，单击执行按钮即可完成账号的修改。 7. 可以编辑修改账号的账密、全局权限、对象权限，以及密码到期时间、连接数限制等选项。 注意 不支持修改用户名。 4. 删除账号 1. 选择数据源管理 > 元数据管理，进入实例列表页面。 2. 在实例列表页面单击更多 > 数据库用户管理 按钮进入账号管理页面。 3. 单击列表操作菜单的删除 按钮，二次确认无误后，单击确定完成对指定账号的删除。

本章节是关于开发者以OpenAIAPIcompatible接口方式集成调用模型的实践。 说明 目前天翼云息壤的新老用户均可免费体验2500万Tokens，限时两周。模型广场支持DeepSeekR1、DeepSeekV3等多个版本模型的调用。 支持开发者以OpenAIAPIcompatible接口方式集成调用。 天翼云官网获取模型调用APP key等信息 模型API终端请求地址 请求地址 API终端请求地址： 通信协议 接口通过 HTTPS 进行通信，保护用户数据的机密性和完整性，确保网络通信的安全性。 请求方法 支持的 HTTP 请求方法：POST。 POST 请求支持的 ContentType 类型：application/json。 获取模型调用APP key 访问天翼云息壤deepseek活动页地址：< 登录天翼云账户，进入“体验中心”后切换到“服务接入”。 在“服务接入”下面，创建建服务组。选择默认勾选的模型即可。 创建服务组后，从服务组上面获取APP KEY。 获取调用的模型名称 左侧导航栏切换到“模型广场”，选择对应想要调用的模型。 获取模型ID作为模型名称。 例如下图中模型ID为 : 4bd107bff85941239e27b1509eccfe98 DeepSeek模型版本选择参考： DeepSeekR1：适合需要高级推理能力和高精度的复杂任务，如科研、金融建模等。响应时间相对长。 DeepSeekV3：适合需要快速响应和高性价比的通用自然语言处理任务，如智能客服、内容生成等。响应时间相对短。 手动验证key的可用性 下列请求为DeepSeekR1昇腾版请求样例，如果正常返回deepseek回答，代表没有问题。 注意 以下curl请求中替换成自己的API KEY后类似“header 'Authorization: Bearer abcdefghxxsssss' ” xml curl location ' header 'ContentType: application/json' header 'Authorization: Bearer 替换成自己的APP KEY' data '{ "messages": [ { "role": "system", "content": "You are a test assistant." }, { "role": "user", "content": "Testing. Just say hi and nothing else." } ], "model": "4bd107bff85941239e27b1509eccfe98" }' 调用代码示例

本章节会介绍如何使用DAS导入和导出数据 数据导入 操作场景 数据管理服务支持用户本地导入及OBS桶导入数据进行数据的备份和迁移。 操作说明 当需要进行数据备份或迁移时，您可将数据导入目标数据表，目标CSV表数据类型须与待导入表数据类型保持一致，SQL文件同理。 约束限制 导入单文件大小最大可达1GB。 可以支持导入的数据文件类型包括CSV格式和SQL文件格式。 暂不支持BINARY、VARBINARY、TINYBLOB、BLOB、MEDIUMBLOB、LONGBLOB等二进制类型字段的导入。 资源池需具备数据管理服务DAS产品 操作步骤 在顶部菜单栏选择“导入·导出 > 导入”。 DAS支持从本地选取文件导入，同时也支持从OBS桶中直接选择文件进行导入操作。 上传文件 在导入页面单击左上角的“新建任务”，在弹出框选择导入类型，选择文件来源为“上传文件”、附件存放位置等信息并上传文件，选择导入数据库，设置字符集类型，按需勾选选项设置及填写备注信息。 为了保障数据安全，DAS将文件保存在OBS桶中。 说明 出于数据隐私性保护目的，DAS需要您提供一个您自己的OBS存储，用来接收您上传的附件信息，DAS会自动连接到该OBS文件，进行内存式读取，整个过程您的数据内容不会存储在DAS的任何存储介质上。 导入完成后若勾选删除上传的文件选项，则该文件导入目标数据库成功后，将从OBS桶中自动删除。 从OBS桶中选择 在导入页面单击左上角的“新建任务”，在弹出框设置导入类型，选择文件来源为“从OBS中选择”，在OBS文件浏览器弹窗中选择待导入文件，选择导入数据库，设置字符集类型，按需勾选选项设置及填写备注信息。 说明 从OBS桶中直接选择文件导入，导入目标数据库成功后，OBS桶不会删除该文件。 导入信息设置完成后，单击“创建导入任务”即可。由于导入任务可能会覆盖您原有的数据，需再次确认无误后单击“确定”。 您可在导入任务列表中查看导入进度等信息，在操作栏单击“查看详情”，您可在任务详情弹出框中，了解本次导入任务成功、失败等执行情况及耗时。

参数 说明 计费模式 支持“包年/包月”和“按需付费”两种模式，购买后同时支持计费模式互转。 包年/包月：用户选购完服务配置后，可以根据需要设置购买时长，系统会一次性按照购买价格对账户余额进行扣费。 按需计费：用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 区域 DRDS实例所在区域，可根据需要直接切换区域。 项目 DRDS实例所在的项目。 实例名称 DRDS实例的名称。 名称不能为空。 只能以英文字母开头。 长度为4到64位的字符串。 可包含英文字母、数字、下划线（）和中划线（）。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。 节点个数 实例所含有节点个数，最多支持32个节点数。 说明 单节点存在高可用风险，建议至少创建2节点。 DRDS实例单个节点的磁盘使用情况：系统盘40G + 数据盘1G。 可用区 可选择的可用区。 为了避免单个物理机故障影响多台云主机的情况发生，相同可用区内，DRDS支持不同虚拟机反亲和性部署，即集群里不同虚拟机部署在不同物理主机上。 DRDS支持跨可用区部署，以增强DRDS实例高可用性，达到跨可用区的容灾。 如果您的实例需要跨可用区部署，可以选择多个可用区，DRDS实例的节点将部署在不同的可用区中。 说明 跨可用区部署会产生一定的网络时延，建议将应用程序和数据库服务（DRDS、RDS）配置在相同可用区，减少网络时延。 节点规格 DRDS实例的规格，支持“通用增强型”。 说明 为了使所购买的DRDS实例能更好地满足应用需求，您需要先评估应用所需的计算能力和存储能力，结合业务类型及服务规模，选择合适的实例规格，主要包括：CPU、内存。 设置密码 可以选择“现在设置”、“创建后设置” 说明 设置的是管理员账号信息。选择“创建后设置”，可以在需要的时候，根据新增管理员账号操作步骤进行设置。 管理员账号 设置密码选择“现在设置”时，必填。管理员账号，不能与账号管理中的账号重复，创建后不能删除。 密码 设置密码选择“现在设置”时，必填。管理员账号的密码。 说明 可以在需要的时候，根据重新设置密码操作步骤进行重置。 确认密码 设置密码选择“现在设置”时，必填。管理员账号的密码。 虚拟私有云 DRDS实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。 单击“查看虚拟私有云”，系统跳转到虚拟私有云界面，可以查看相应的虚拟私有云，以及安全组的出方向规则和入方向规则。 说明 创建DRDS实例选择的虚拟私有云要与RDS for MySQL实例保持一致。 DRDS实例必须与应用程序、RDS for MySQL实例处于相同的VPC，以保证网络连通。 目前DRDS实例创建后不支持切换虚拟私有云，请谨慎选择。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，来提高网络安全性。创建DRDS实例时会自动为您配置内网地址，实例创建成功后该内网地址可修改。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“IPv4/IPv6双栈管理”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 内网安全组 已创建的内网安全组。 建议DRDS实例与应用程序、RDS for MySQL实例选择相同的安全组，三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 企业项目 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理。 参数模板 您可以选择已有参数；同时支持单击查看参数模板，在参数模板页面，进行设置参数信息。 标签 可选配置。使用标签可以方便识别和管理您拥有的分布式数据库中间件服务资源。 您可以为DRDS实例添加标签，每个DRDS实例最多支持添加20个标签。 新建标签 您可以在DRDS控制台新建标签。新建标签时，需要设置相应的标签“键”和“值”。 键：该项为必选参数，不能为空。 − 对于每个实例，每个标签的键唯一。 − 长度为1~36个字符。 − 不能为空字符串，不能以“ sys ”开头和以空格开头、结尾。 − 不能包含下列字符： 非打印字符ASCII(031)，“”，“<”，“>”，“”，“,”，“”，“/”。 值：该项为必选参数。 − 可以不填值，此时默认为空字符串。 − 长度为0~43个字符。 − 不能包含下列字符： 非打印字符ASCII(031)，“”，“<”，“>”，“”，“,”，“”。 实例创建成功后，您可以单击实例名称，在“标签”页签下查看对应标签，也可以修改或删除标签。同时，您还可以通过标签快速筛选指定实例。 如果您在申请实例时未添加标签，可以待实例创建成功后，再为实例添加标签。 购买时长 购买DRDS实例的时长，该参数仅当“计费模式”为“包年/包月”时才显示。 您可选择1个月、2个月、3个月、4个月、5个月、6个月、7个月、8个月、9个月和1年。

本节介绍了通过内网连接Microsoft SQL Server实例（Windows方式）的相关内容。 当应用部署在弹性云主机上，且该弹性云主机与RDS for SQL Server实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与RDS for SQL Server实例。 提供两种连接方式通过SQL Server Management Studio客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 非SSL连接 步骤 1 登录弹性云主机或可访问关系型数据库实例的设备。 步骤 2 启动SQL Server Management Studio客户端。 步骤 3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中输入登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 − 主机IP为“基本信息”页签中，“连接信息”模块的“内网地址”。 − 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库账号，默认管理员账号为rdsuser。 “密码”即待访问的数据库账号对应的密码。 步骤 4 单击“连接”，连接实例。 结束 SSL连接 步骤 1 下载并上传SSL根证书。 1. 登录管理控制台。 2. 单击管理控制台左上角的 ，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的 ，下载根证书或捆绑包。 5. 将根证书导入弹性云主机Windows操作系统，请参见如何将RDS实例的SSL证书导入Windows/Linux操作系统。 说明 请在原有根证书到期前及时更换正规机构颁发的证书，以提高系统安全性。 对于Microsoft SQL Server，绑定公网IP后，需重启实例才能使SSL连接生效。 步骤 2 启动SQL Server Management Studio客户端。 步骤 3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中填选登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 − 主机IP为“基本信息”页签中，“连接信息”模块的“内网地址”。 − 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库账号，默认管理员账号为rdsuser。 “密码”即待访问的数据库账号对应的密码。 步骤 4 单击“选项”，在“连接属性”页签，填选相关信息，并勾选“加密连接”，启用SSL加密（系统默认不勾选“加密连接”，即不启用，需手动启用）。 图 连接属性 步骤 5 单击“连接”，连接实例。 结束

下列缩略语适用于本文件。 缩略语 英文全称 中文全称 ECPC E Cloud Personal Computer 天翼云电脑 AK Access Key 访问密钥 SK Security Key 安全密钥

本节主要介绍重置管理员密码。 操作场景 GeminiDB Influx支持重置数据库管理员密码，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。 使用须知 实例状态为“正常”、“备份中”、“恢复检查中”、“存储扩容中”，以及个别节点异常时，支持重置密码。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。 方法一 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击操作列“更多 > 重置密码”。 4. 输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@ %^+?的组合。 5. 若您已开启操作保护，在弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 方法二 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击实例名称，进入“基本信息”页面。 4. 在“数据库信息”区域，单击“管理员账户名”处的“重置密码”。 5. 输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@ %^+?的组合。 6. 若您已开启操作保护，在弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。

保证数据安全和访问安全 多租户场景下，分开存放不同租户的数据，以保证数据安全；控制用户对租户资源的访问权限，以保证访问安全。 调度器增强 多租户根据调度器类型分为开源的Capacity调度器和自主研发的增强型Superior调度器。为满足企业需求，克服Yarn社区在调度上遇到的挑战与困难，自主研发的Superior调度器，不仅集合了当前Capacity调度器与Fair调度器的优点，还做了以下增强： 增强资源共享策略 Superior调度器支持队列层级，在同集群集成开源调度器的特性，并基于可配置策略进一步共享资源。针对实例，管理员可通过Superior调度器为队列同时配置绝对值或百分比的资源策略计划。Superior调度器的资源共享策略将YARN的标签调度增强为资源池特性，YARN集群中的节点可根据容量或业务类型不同，进行分组以使队列更有效地利用资源。 基于租户的资源预留策略 部分租户可能在某些时间中运行关键任务，租户所需的资源应保证可用。Superior调度器构建了支持资源预留策略的机制，在这些租户队列运行的任务可立即获取到预留资源，以保证计划的关键任务可正常执行。 租户和资源池的用户公平共享 Superior调度器提供了队列内用户间共享资源的配置能力。每个租户中可能存在不同权重的用户，高权重用户可能需要更多共享资源。

本文简述如何查询指定IP是否为天翼云IP。 功能介绍 天翼云边缘安全加速平台—边缘接入服务提供一种IP地址检测工具，您可以使用该工具检测某IP地址是否为天翼云节点IP，同时获取IP所属城市、运营商、机房地址、节点层级等信息。 应用场景 场景一：配置边缘接入服务后，可通过该工具验证客户端的请求是否成功到达天翼云节点IP。如果不是天翼云节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云节点IP，来排查网站访问异常的原因。如果IP地址是天翼云IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 使用方法 您可以通过控制台自助输入IP地址，点击【验证】按钮进行查询。 控制台自助查询IP归属 1. 登录边缘安全加速平台控制台，选择【边缘接入】控制台。 2. 进入【工具管理】【IP归属查询】页面，输入查询的地址，支持一次查询多个ip。 3. 输入查询后将显示该地址是否为天翼云节点以及对应归属地。

本文简述回源端口的配置方法。 功能介绍 源站端口，是指源站接收天翼云AOne安全与加速请求时所用的端口，一般http协议和https协议使用不同的源站端口。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置”。 4.在源站端口模块，配置合适的回源端口。http端口默认80，支持自定义；https端口默认443，支持自定义。 配置界面 未开启“跟随请求端口回源”时，可以自定义配置HTTP回源端口和HTTPS回源端口，如下图： 开启“跟随请求端口回源”时，HTTP回源端口和HTTPS回源端口置灰不能配置，将使用请求端口回源，如下图： 参数名 说明 http 使用http协议回源时使用的源站端口，默认80，支持自定义，自定义回源端口范围为1~65535。 https 使用https协议回源时使用的源站端口，默认443，支持自定义，自定义回源端口范围为1~65535。 跟随请求端口回源 跟随请求端口回源开关开启后，使用请求端口回源。

字段 说明 服务发现地址 提供给应用的一个URL，应用可以通过该地址获取对接所需的URL和参数，如授权端点、令牌端点、用户信息端点等。 重定向URI 如果配置了此项，在授权请求时就可以不传递redirecturi参数，如果授权请求时，传递了redirecturi参数，则以授权请求时传递的参数为准。注意：重定向URI中不能包括号。 重定向URI匹配规则 为避免Open Redirect漏洞，可定义redirecturi的匹配规则，定义后redirecturi必须匹配本规则才能跳转。本规则支持简单号匹配。 身份令牌签名算法 固定RS256。 过期时间 授权码code：一般为510分钟。这是因为授权码在OIDC流程中只是一个临时的凭证，用于换取访问令牌和身份令牌，配置时间较短以减少被盗用的风险。 身份令牌idtoken：一般为1小时或者更短。因为身份令牌包含用户的身份信息，为了安全起见，不应该长时间有效。 访问令牌accesstoken：时间会更长一些，但通常不会超过1天。因为访问令牌用于访问受保护的资源，其有效期取决于资源的敏感性和安全要求。 刷新令牌refreshtoken：刷新令牌用于在访问令牌过期后获取新的访问令牌，而无需用户再次进行身份验证，提升用户体验。

本节介绍如何查看自定义类型。 约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 自定义类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”。 子类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”、“子类型标识”。 查看已有的自定义类型/子类型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“自定义类型”页签，进入自定义类型管理页面后，查看已有自定义类型/子类型的详细信息。 左侧显示类型列表，展示已有的类型。 如需查看某个类型的详细信息，请单击左侧类型列表中类型的名称，右侧将展示类型的详细信息。具体信息如下： 目标类型的基本信息：名称、创建人、创建时间、关联布局。 子类型列表：已有子类型、子类型名称、子类型关联的布局等信息。

本小节介绍关闭节点防护。 操作须知 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 操作步骤 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量关闭防护和单服务器关闭防护。 单服务器关闭防护 a.在“节点列表”中目标服务器的“操作”列单击“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 批量关闭防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 说明 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。

威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知（专业版）来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 事件 事件是一个广泛的概念，可以包括告警，但不限于此，它可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 告警 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便能够迅速响应并采取措施解决问题。 当态势感知（专业版）检测到的云资源中存在的异常情况（例如，某个恶意IP对资产攻击、资产已被入侵等）时，将以告警的形式将威胁信息展示在态势感知（专业版）告警管理界面中。

参数 参数类型 说明 示例 下级对象 strategyOid String 策略Oid strategyName String 策略名称 qosOid String qos Oid securityGroupOid String 安全组Oid orgOid String 部门Oid

如果您需要添加云搜索服务（CSS）、数据湖探索（DLI）和Hive的资产，可参考本章节进行操作。 前提要求 已完成大数据资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通CSS和DLI服务，且CSS和DLI中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 单击左侧导航树的，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“大数据”页签，进入大数据资产列表页面。 5. 在大数据资产列表左上角，单击“添加大数据源”。 6. 在弹出的“添加大数据源”对话框中，参考下表配置大数据源参数。 参数名称 参数说明 取值样例 资产名称 自定义参数。 区域 默认为当前帐号登录的区域。 大数据类型 选择大数据类型。 “Elasticsearch”，选择此类型时，其他参数说明请参见“Elasticsearch”参数说明。 “DLI”，选择此类型时，其他参数说明请参见“DLI”参数说明。 “Hive”，选择此类型时，其他参数说明请参见“Hive”参数说明。 Elasticsearch “Elasticsearch”参数说明： 参数名称 参数说明 取值样例 ES实例 在下拉框中选择ES实例。 版本 选择大数据类型对应的版本。 5.x 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 索引 输入大数据源对应的index。 用户名 输入访问大数据服务器的用户名。 密码 输入访问大数据服务器的密码。 “DLI”参数说明： 参数名称 参数说明 取值样例 队列 在下拉框中选择DLI中数据源的队列名称。 default DLI数据库 选择DLI中目标队列下的数据库名称。 5.x “Hive”参数说明： 参数名称 参数说明 取值样例 虚拟私有云 在下拉框中选择虚拟私有云。 子网 选择虚拟私有云对应的子网名称。 安全组 在下拉框中选择可用的安全组。 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 数据库名称 输入数据库名称。 7. 单击“确定”，大数据源资产添加完成。 大数据资产添加完成后，该大数据源的状态“连通性”为“检查中”，DSC会测试数据源的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的大数据源。 数据安全中心DSC能正常访问已添加的大数据源，该大数据源的状态“连通性”状态为“成功”。 若数据安全中心DSC不能正常访问已添加的大数据源，该大数据源的“连通性”状态为“失败”。单击“原因”查看失败的原因并重新正确填写访问目标大数据源的用户名和密码。

客户端之前连接成功，但间歇性中断下线怎么办？ 产生当前问题的可能原因及解决方案如下表。 分类 原因 解决方案 公网链路质量不佳 由于客户端和VPN网关之间的公网链路质量不佳导致客户端间歇性中断下线。 公网链路质量不佳（延时高或丢包率高等），可联系运营商协助进行故障排查。 SSL服务端配置变更 SSL服务端配置变更导致客户端中断下线。 SSL服务端修改配置后，请在客户端调整配置，重新发起连接。 客户端连接成功，但无法ping通VPC内的网络资源怎么办？ 原因： 1. VPC应用的访问控制策略禁止ping命令探测。 2. 未配置对应的VPC子网资源。 3. VPC应用的安全组规则未放通客户端地址池。 解决方案： 1. 请排查VPC内的网络资源是否禁止ping命令探测，如果是，请修改访问控制策略。 默认情况下Windows操作系统的客户端的防火墙是禁止ping命令探测的，您需要修改Windows防火墙的入站规则允许ICMPv4In。 2. 排查VPC本端子网的配置，确保本端子网中包含了需要访问的网络资源。 3. 排查VPC应用的安全组规则。确保安全组规则允许云主机实例和客户端之间互相访问。

如何强制客户端使用HTTPS请求访问网站？ 当您想要提高网站访问的安全性，可以开启HTTPS强制跳转功能，此时所有客户端的HTTP请求都将强制转换为HTTPS请求，并默认跳转至443端口，详情请参见将网站接入WAF防护（域名接入）、将网站接入WAF防护（ 独享型接入）。 WAF原生版是否支持HTTP 3.0协议？ WAF原生版暂不支持HTTP 3.0协议，目前仅支持HTTP 1.0/2.0协议。 网站接入WAF防护时，源站IP可以填写云主机的内网IP吗？ 域名接入 源站IP不可以填写云主机的内网IP。 域名接入采用CNAME的方式将原本去向网站的请求转向的WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。当前WAF提供的CNAME为公网解析的CNAME，只能解析到公网IP地址，无法解析到内网IP，所以源站IP地址不能填写云主机的内网IP。 注意 在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 独享型接入 独享型实例与业务主机部署在同一VPC，源站IP可以填写云主机的内网IP。

数据安全 权限点 管理员 开发者 运维者 访客 新建数据溯源任务 Y Y N N 删除数据溯源任务 Y Y N N 操作数据溯源任务 Y Y N N 查询数据溯源任务 Y Y Y Y 编辑数据溯源任务 Y Y N N 新建数据分类权限 Y Y Y N 删除数据分类权限 Y Y Y N 查询数据分类权限 Y Y Y Y 编辑数据分类权限 Y Y Y N 新建访问权限管理 Y Y N N 删除访问权限管理 Y Y N N 查询访问权限管理 Y Y Y Y 编辑访问权限管理 Y Y N N 新建动态策略 Y N N N 删除动态策略 Y N N N 查询动态策略 Y Y Y Y 编辑动态策略 Y N N N 新建密级 Y Y N N 删除密级 Y Y N N 查询密级 Y Y Y Y 编辑密级 Y Y N N 新建动态脱敏策略 Y N N N 删除动态脱敏策略 Y N N N 查询动态脱敏策略 Y Y Y Y 编辑动态脱敏策略 Y N N N 新建动态脱敏订阅策略 Y N N N 删除动态脱敏订阅策略 Y N N N 查询动态脱敏订阅策略 Y Y Y Y 新建资源权限策略 Y N N N 删除资源权限策略 Y N N N 查询资源权限策略 Y Y Y Y 编辑资源权限策略 Y N N N 操作安全任务调度 Y Y Y N 新建权限申请审批 Y Y Y N 查询权限申请审批 Y Y Y Y 编辑权限申请审批 Y Y Y N 新建用户同步任务 Y Y Y N 删除用户同步任务 Y Y Y N 查询用户同步任务 Y Y Y Y 编辑用户同步任务 Y Y Y N 新建数据脱敏任务 Y Y N N 删除数据脱敏任务 Y Y N N 操作数据脱敏任务 Y Y N N 查询数据脱敏任务 Y Y Y Y 编辑数据脱敏任务 Y Y N N 操作数据安全细粒度权限控制 Y N N N 查询数据安全细粒度权限控制 Y Y Y Y 编辑数据安全细粒度权限控制 Y N N N 新建权限集权限 Y Y Y N 删除权限集权限 Y Y Y N 查询权限集权限 Y Y Y Y 编辑权限集权限 Y Y Y N 查询总览 Y Y Y Y 新建权限跨源同步策略 Y N N N 删除权限跨源同步策略 Y N N N 查询权限跨源同步策略 Y Y Y Y 编辑权限跨源同步策略 Y N N N 查询成员管理 Y Y Y Y 编辑成员管理 Y Y Y N 新建权限集成员 Y Y Y N 删除权限集成员 Y Y Y N 查询权限集成员 Y Y Y Y 查询获取委托 Y Y Y Y 新建脱敏策略 Y Y N N 删除脱敏策略 Y Y N N 操作脱敏策略 Y Y Y Y 查询脱敏策略 Y Y Y Y 编辑脱敏策略 Y Y N N 查询数据访问审计 Y N N N 新建规则分组 Y Y Y N 删除规则分组 Y Y N N 操作规则分组 Y Y Y N 查询规则分组 Y Y Y Y 编辑规则分组 Y Y Y N 查询权限同步失败日志 Y Y Y Y 新建敏感发现任务 Y Y Y N 删除敏感发现任务 Y Y N N 操作敏感发现任务 Y Y Y N 查询敏感发现任务 Y Y Y Y 编辑敏感发现任务 Y Y N N 新建权限集 Y Y Y N 删除权限集 Y Y Y N 查询权限集 Y Y Y Y 编辑权限集 Y Y Y N 查询数据源 Y Y Y Y 查询目录权限策略 Y Y Y Y 新建行级访问策略 Y N N N 删除行级访问策略 Y N N N 查询行级访问策略 Y Y Y Y 编辑行级访问策略 Y N N N 新建队列策略 Y N N N 删除队列策略 Y N N N 查询队列策略 Y Y Y Y 编辑队列策略 Y N N N 新建安全诊断 Y N N N 查询安全诊断 Y Y Y Y 查询资源权限配置 Y Y N N 新建数据水印嵌入 Y Y N N 删除数据水印嵌入 Y Y N N 操作数据水印嵌入 Y Y N N 查询数据水印嵌入 Y Y Y Y 编辑数据水印嵌入 Y Y N N

9. 在虚拟机上启动Istio 使用 istioproxy 用户启动 istio 代理 sudo u istioproxy systemctl start istio 10. 验证虚拟机上 Istio 是否启动成功 1. 检查 /var/log/istio/istio.log 中的日志，应该能看到类似如下内容： 2. 创建命名空间，部署基于Pod的服务 kubectl create namespace sample kubectl label namespace sample istioinjectionenabled 3. 创建Helloworld服务 kubectl apply f samples/helloworld/helloworld.yaml 4. 从虚拟机像服务发送请求： plaintext [root@msegwvmcaf1otdh tantao] curl helloworld.sample.svc:5000/hello Hello version: v2, instance: helloworldv25df48bd4dcnclfx [root@msegwvmcaf1otdh tantao] curl helloworld.sample.svc:5000/hello Hello version: v2, instance: helloworldv25df48bd4dcnclfx [root@msegwvmcaf1otdh tantao] curl helloworld.sample.svc:5000/hello Hello version: v1, instance: helloworldv1bcd77f79xcs5n

创建SQL PATCH 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 单击“诊断优化 > SQL诊断”。 步骤 6 在“Top SQL”页签，单击“操作”列的“SQL PATCH”，显示“SQL PATCH详情”页面。 如果没创建SQL PATCH，输入PATCH名称、PATCH内容，单击“创建”，则可创建SQL PATCH。 如果已创建SQL PATCH，则显示SQL PATCH信息。 − 状态：单击 ，可开启或关闭SQL PATCH。关闭SQL PATCH，状态显示未生效，开启SQL PATCH，状态显示生效中。 − 单击“删除”，则可删除SQL PATCH。 结束

绑定NAT网关限制 NAT网关的地域必须和EIP的地域相同。 绑定负载均衡实例限制 负载均衡实例的地域必须和EIP的地域相同。 一个负载均衡实例仅支持绑定一个EIP。 绑定虚拟IP限制 虚拟IP实例的地域必须和EIP的地域相同。 虚拟IP实例必须处于可用或已分配状态。 一个虚拟IP实例仅支持绑定一个EIP。 备案要求 在中国境内提供互联网信息服务时，应当依法履行备案手续，用天翼云购买的电信线路弹性IP对外提供互联网信息服务时，需要进行备案等相关操作，同时您的网站内容应符合国家法律法规要求。 弹性 IP 80、443 等端口默认为关闭状态，只有在备案完成后才会被放通。您可以在【天翼云备案】根据指引完成备案信息填写及相关操作。

本节主要介绍防盗链的概念。 一些不良网站为了不增加成本而扩充自己站点内容，经常盗用其他网站的链接。一方面损害了原网站的合法利益，另一方面又加重了服务器的负担。因此，产生了防盗链技术。 在HTTP协议中，通过表头字段referer，网站可以检测目标网页访问的来源网页。有了referer跟踪来源，就可以通过技术手段来进行处理，一旦检测到来源不是本站即进行阻止或者返回指定的页面。防盗链就是通过设置Referer，去检测请求来源的referer字段信息是否与白名单或黑名单匹配，若与白名单匹配成功则允许请求访问，否则阻止请求访问或返回指定页面。 为了防止用户在OBS的数据被其他人盗链，OBS支持基于HTTP header中表头字段referer的防盗链方法。OBS同时支持访问白名单和访问黑名单的设置。