使用标签筛选实例 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全管理 > 证书管理服务”，进入“SSL证书列表”页面。 4. 单击“筛选标签”。 5. 在“筛选标签”弹窗中，填写标签。 6. 单击“确定”，执行筛选标签操作，列表将展示标签筛选结果。筛选结果返回包含所选择的多项键值的实例。 解绑标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全管理 > 证书管理服务”，进入“SSL证书列表”页面。 4. 选择需要解绑标签的实例，单击“标签”列的。 支持批量解绑：勾选多个实例，在实例列表上方，单击“批量解绑标签”，为多个实例批量解绑标签。 5. 在“编辑标签”弹窗中，单击目标标签操作列的“删除”。 6. 单击“确定”，解绑标签完成。

VPC边界防火墙用于防护VPC之间的通信流量，VPC之间通信流量的访问控制，实现内部业务互访活动的可视化与安全防护。 防护对象 对等连接 云专线 云间高速 约束条件 仅“企业版”支持VPC边界防火墙。

本小节介绍SSL VPN的客户端登录。 1. 登录SSL VPN的Web管理页面 > SSL VPN 选项 > 系统选项 > 接入选项”的“用户访问入口”修改SSL客户端接入端口，将443改成4433或其他端口，配置完成后点击“保存”和“立即生效”，使配置生效。 2. 安全组放开修改后的SSL VPN客户端接入端口。 注意 若SSL VPN绑定的公网IP备案过，则无需修改SSL VPN客户端接入端口。 客户端拨入SSL VPN隧道的默认端口是TCP443，打开方式是电脑打开浏览器，地址栏输入 VPN管理页面上修改SSL客户端接入端口，将443改成4433或其他端口，然后在天翼云的SSL VPN云主机安全组里面放通相应的SSL客户端端口（比如改成了TCP4433端口，那客户端接入SSL VPN隧道是打开

本节主要介绍使用类问题 如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？ 创建微服务引擎专享版时，当选择开启了IPv6的VPC网络时，创建引擎支持IPv6网络。当部署服务使用IPv6网段且选择容器部署时，选择的CCE集群需要开启IPv6双栈开关。如果选择的CCE集群资源没有开启IPv6开关，就会导致服务网络不通，报错“java.net.SocketException: Protocol family unavailable”。解决办法： 1、 修改部署了微服务应用的环境，添加开启了“IPv6双栈”开关的CCE集群 2、 重新部署应用 微服务和普通应用有什么不同？ 微服务是一种架构模式，其核心是将一个单体应用分成多个部分进行开发。所以微服务架构的应用程序，其本质上是一个分布式应用。 基于微服务架构构建的应用程序，可以让业务变化更快，整体系统可靠性更高。 开源 ServiceComb 与 CSE 是什么关系？ CSE Java SDK是ServiceComb的商业版本，其大部分组件来自于开源的ServiceComb，同时提供一些公有云对接的能力、安全、分布式数据一致性等商业能力。这部分开发框架代码可以免费使用但是没有开源。

本文带您了解该方案所涉及的资源及场景拓扑。 涉及资源 VPC、云专线、VPC终端节点、弹性云主机。 虚拟私有云VPC：配置云专线需要做好云上VPC和本地数据中心的网段规划。用户可以将其VPC内的服务资源配置为终端节点服务。 云专线：用于搭建云下用户本地数据中心与天翼云VPC之间高速、低时延、稳定安全的专属连接通道，实现灵活一体，可伸缩的混合云计算环境。 VPC终端节点：可以使用内网在VPC内提供便捷、安全、私密的通道与终端节点服务进行连接，实现通过天翼云内网访问云上VPC内的资源和其他云服务。 弹性云主机：用户的私有服务，可创建为终端节点服务，可以购买终端节点访问该终端节点服务。 场景拓扑 云下用户数据中心（IDC）通过云专线与云上VPC1建立连接。 云上VPC1通过终端节点访问VPC2中的弹性云主机1（终端节点服务）。 云下IDC通过云上VPC1访问VPC2中的弹性云主机2（终端节点服务）。

本章介绍通过DAS连接RDS for MySQL实例。 操作场景 数据管理服务（Data Admin Service，简称DAS）是一款专业的简化数据库管理工具，提供优质的可视化操作界面，大幅提高工作效率，让数据管理变得既安全又简单。您可以通过数据管理服务连接并管理实例。云数据库RDS服务默认为您开通了远程主机登录权限，推荐您使用更安全便捷的数据管理服务连接实例。 操作步骤 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 云数据库 RDS”，进入RDS信息页面。 4、在“实例管理”页面，选择目标实例，单击操作列的“登录”，进入数据管理服务实例登录界面。 图1 登录实例 您也可以在“实例管理”页面，单击目标实例名称，在页面右上角，单击“登录”，进入数据管理服务实例登录界面。 图2 登录实例 5、正确输入数据库用户名和密码，单击“登录”，即可进入您的数据库并进行管理。 图3 登录界面

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 获取临时token 在服务端生成临时token，可参考java、python、nodejs、CPP、donet、go、php SDK说明，请从 SDK概览 页面选择进入对应的开发指南查阅。 使用临时token 使用assumeRole请求申请临时凭证，使用服务端返回的accessKeyId，secretAccessKey和sessionToken来初始化s3对象。 使用过程中，需要更新凭证，保证凭证不过期。使用过期凭证的请求，服务端会返回403（AccessDenied）。 javascript let S3Demo { credentials: { accessKeyId: " ", secretAccessKey: " ", sessionToken: " ", }, s3Client: null, ​ // 初始化s3对象 init: function () { let config { credentials: this.credentials, endpoint: " ", }; this.s3Client new AWS.S3(config); }, } 参数说明： 参数 说明 credentials 用户账号信息，包含accessKeyId和secretAccessKey和sessionToken endpoint 天翼云资源池的地址，必须指定http或https前缀

本文带您了解什么是配额、怎样查看配额以及如何申请扩大配额。 什么是配额？ 配额是指为了防止资源滥用，平台对服务资源的数量和容量进行限制。每个用户在使用云服务时都有一定的资源配额限制，例如可创建的弹性云主机数量、云硬盘容量等。 通过合理设置配额，平台可以保护其资源的可持续性，并确保公平的资源分配。同时，配额也是一种安全措施，可以限制恶意用户或异常行为对系统造成的影响。 如果当前的资源配额无法满足您的需求，您可以申请扩大配额，并说明您的使用需求以及合理的理由。 怎样查看配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 6. 如果某个资源的已使用量接近或达到配额限制，可能需要考虑申请扩大配额，请参考后续操作，申请扩大配额。 如何申请扩大配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 在页面右上角，单击“申请扩大配额”。 6. 在“新建工单”页面，选择“配额类”问题点击“提问”。 7. 点击“配额申请”。 8. 根据您的需求及提示，填写相关参数。 9. 填写完毕后，勾选“承诺所提交工单内容不包括敏感信息”并点击“确认提交”完成申请。

功能 说明 Referer防盗链是基于HTTP请求头中Referer字段来设置访问控制规则，实现对用户来源的识别和过滤，防止网站资源被非法盗用。 客户端IP是客户端与CDN节点建立连接时所使用的IP，通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 UserAgent（简称UA）是HTTP请求头的一部分，可体现用户使用的终端标识。通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可配置URL鉴权功能。配置URL鉴权后，CDN会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 可以通过配置远程同步鉴权功能，在CDN节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，CDN节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 带宽控制功能可通过设置总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 IP访问限频功能可以限制单个用户IP在天翼云CDN单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 单请求限速功能可以限制CDN节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。

分类 解决方案 VPC 排查VPC路由表中的路由配置。确保VPC路由表内已存在相关路由使云主机实例可以通过IPsec VPN连接访问本地数据中心的服务器。 排查VPC应用的安全组规则。确保安全组规则允许云主机实例和服务器之间互相访问。 本地数据中心 排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以对云主机实例做出应答。 排查本地数据中心的访问控制策略。确保本地数据中心允许云主机实例和服务器互相访问。

防火墙网络及策略配置完毕后，需要进行网络割接，把防火墙嵌入南北向流量，才能实现安全检测防御。割接工作主要包括弹性IP迁移，割接过程网络会中断。本小节介绍安全专区云防火墙网络割接方法。 网络割接 云防火墙通过私有IP地址（或虚拟IP地址）与业务的弹性公网IP绑定，并通过服务器映射接入业务网络链路。 弹性IP迁移 1.如果弹性IP已经绑定在业务主机，进入【天翼云控制中心】→【弹性云主机】，点击绑定弹性IP的业务云主机，进入【弹性IP】→【绑定弹性IP】，把弹性IP从业务云主机解绑。 2.点击云防火墙云主机（AQZQAF），进入【弹性IP】→【绑定弹性IP】，将弹性IP重新绑定到防火墙云主机的NIC1主网卡上。（表示主机名称） 3.如有多个弹性IP地址，请通过云防火墙的虚拟IP地址绑定，点击（AQZQAF）的云主机，进入【网卡】→【管理虚拟IP地址】→【绑定弹性IP】。 配置VPC路由 进入【控制中心】→【虚拟私有云】→【路由表】→【添加路由信息】。 目的地址：0.0.0.0/0； 下一跳地址：填写云防火墙eth0的IP地址。 网络测试 从业务服务器Ping互联网IP，测试是否可以Ping通，确认防火墙割接完成。

接口描述 根据对话ID查询对话的具体内容 请求方法 GET 接口要求 无 URI /openapi/v1/context/detail 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 tenantId 是 String 租户ID abcb82293b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪。 abcfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 koaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求参数 参数 是否必填 参数类型 说明 示例 下级对象 contextId 是 String 对话ID b682065ba12345c79c4e35aec01e5398 请求代码示例 plaintext Curl X GET " " H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 200表示成功 200 message String 固定为Success Success returnObj Array 接口返回结果 returnObj 表returnObj 参数 参数类型 说明 示例 下级对象 id Int 会话记录ID 1 title String 会话标题 “会议纪要” createTime String 创建时间 20230508T15:14:00Z 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": 200, "error": null, "message": "Success", "returnObj": [ { "input": "你是谁", "outputs": [ { "id": 113344, "output": "您好！我是由智能助手DeepSeekR1。如您有任何任何问题，我会尽我所能为您提供帮助。", "indexInfo": null } ] } ] } 2.请求失败返回值示例 plaintext { "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 见6.1.3通用错误码

接口描述 根据对话ID查询对话的具体内容 请求方法 GET 接口要求 无 URI /openapi/v1/context/detail 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 tenantId 是 String 租户ID abcb82293b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪。 abcfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 koaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求参数 参数 是否必填 参数类型 说明 示例 下级对象 contextId 是 String 对话ID b682065ba12345c79c4e35aec01e5398 请求代码示例 plaintext Curl X GET " " H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 200表示成功 200 message String 固定为Success Success returnObj Array 接口返回结果 returnObj 表returnObj 参数 参数类型 说明 示例 下级对象 id Int 会话记录ID 1 title String 会话标题 “会议纪要” createTime String 创建时间 20230508T15:14:00Z 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": 200, "error": null, "message": "Success", "returnObj": [ { "input": "你是谁", "outputs": [ { "id": 113344, "output": "您好！我是由智能助手DeepSeekR1。如您有任何任何问题，我会尽我所能为您提供帮助。", "indexInfo": null } ] } ] } 2.请求失败返回值示例 plaintext { "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 见6.1.3通用错误码

本节介绍了云数据库TaurusDB的读写分离最佳实践。 用户认证 用户账号如果需要使用数据库代理登录，则必须赋予账号远程登录权限，否则无法通过数据库读写分离访问。 操作步骤 1、连接TaurusDB实例。 通过DAS连接TaurusDB实例 通过内网连接TaurusDB实例 通过公网连接TaurusDB实例 2、实例连接成功后，执行下列SQL语句，查看使用的账号的host是否包含数据库读写分离地址。 SELECT user,host FROM mysql.user; 读写分离地址获取方式： 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在左侧导航栏，单击“数据库代理”。 方法一：在“数据库代理”页面中，在“代理地址”模块“链接地址”，获取当前实例的数据库读写分离地址。 方法二：在“读写分离”页面中，在“读写分离信息”模块“读写分离地址”处，获取当前实例的数据库读写分离地址。 3、如果查询的host不包含数据库代理所在网段，则需要赋予远程访问权限。例如root用户从192.168.0网段连接到TaurusDB数据库： GRANT ALL PRIVILEGES ON . TO 'root'@'192.168.0.%' IDENTIFIED BY password WITH GRANT OPTION; flush privileges; 4、当修改安全组时，确保入方向规则和出方向规则允许读写分离的地址访问，读写分离默认端口号为3306。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“基本信息”页面中，在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 在入方向规则页签下，默认允许3306端口访问。如果没有该条规则，单击“快速添加规则”，弹框页面中勾选“MySQL（3306）”，单击“确定”。 图 放通3306端口 图 快速添加3306端口 说明 当您使用MySQL8.0客户端访问数据库读写分离时，可能会报错auth user failed。 在连接数据库时添加 defaultauthmysqlnativepassword。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对应组件的进行库、表、数据的操作，还需要添加对应组件的用户组权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式或者配置不同的Agent。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。

本章节指导您如何删除识别任务。 前提条件 已完成识别任务的创建。 约束条件 1、如果识别任务正在运行，需先停止任务或者待任务识别完成后再执行删除操作。 2、删除操作无法恢复，请谨慎操作。 操作步骤 1.单击左上角的，选择区域或项目。 2.在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3.在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。 4.在待删除识别任务所在行的“操作”列，单击“更多 > 删除”。 5.在弹出删除任务提示框中，单击“确定”。

操作步骤 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域。 3. 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 5. 单击目标策略名称，进入目标策略的防护配置页面。 6. 在“网站反爬虫”配置框中，用户可根据自己的需要更改网站反爬虫的“状态”，单击“BOT设置”，进入网站反爬虫规则配置页面。 7. 选择“特征反爬虫”页签，根据您的业务场景，开启合适的防护功能。 特征反爬虫规则提供了两种防护动作： 拦截:发现攻击行为后立即阻断并记录。 注意 开启拦截后，可能会有以下影响： 拦截搜索引擎请求，可能影响网站的搜索引擎优化。 拦截脚本工具，可能会影响部分APP访问（部分APP的UserAgent未做修改，会匹配脚本工具类爬虫规则）。 仅记录：默认防护动作，发现攻击行为后只记录不阻断攻击。 默认开启“扫描器”防护检测，用户可根据业务需要，配置防护动作并开启其他需要防护的检测类型。 特征反爬虫检测项说明： 检测项 说明 功能说明 搜索引擎 搜索引擎执行页面内容爬取任务，如Googlebot、Baiduspider。 开启后，WAF将检测并阻断搜索引擎爬虫。 说明 如果不开启“搜索引擎”，WAF针对谷歌和百度爬虫不会拦截。 扫描器 执行漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap。 开启后，WAF将检测并阻断扫描器爬虫。 脚本工具 用于执行自动化任务、程序脚本等，如httpclient、okhttp、python程序等。 开启后，WAF将检测并阻断执行自动化任务、程序脚本等。 说明 如果您的应用程序中使用了httpclient、okhttp、python程序等脚本工具，建议您关闭“脚本工具”，否则，WAF会将使用了httpclient、okhttp、python程序等脚本工具当成恶意爬虫，拦截该应用程序。 其他爬虫 各类用途的爬虫程序，如站点监控、访问代理、网页分析等。 说明 “访问代理”是指当网站接入WAF后，为避免爬虫被WAF拦截，爬虫者使用大量IP代理实现爬虫的一种技术手段。 开启后，WAF将检测并阻断各类用途的爬虫程序。 8. 选择“JS脚本反爬虫”页签，用户可根据业务需求更改JS脚本反爬虫的“状态”。 默认关闭JS脚本反爬虫，单击，在弹出的“警告”提示框中，单击“确定”，开启JS脚本反爬虫。 说明 JS脚本反爬虫依赖浏览器的Cookie机制、JavaScript解析能力，如果客户端浏览器不支持Cookie，此功能无法使用。 如果您的业务接入了CDN服务，请谨慎使用JS脚本反爬虫。由于CDN缓存机制的影响，JS脚本反爬虫特性将无法达到预期效果，并且有可能造成页面访问异常。 9. 根据业务配置JS脚本反爬虫规则。 JS脚本反爬虫规则提供了“防护所有请求”和“防护指定请求”两种防护动作。 除了指定路径以外，防护其他所有路径：“防护模式”选择“防护所有请求”，单击“添加排除请求规则”，配置防护路径后，单击“确认”。 只防护指定路径时：“防护模式”选择“防护指定请求”，单击“添加请求规则”，配置防护路径后，单击“确认”。 JS脚本反爬虫防护规则参数说明： 参数 参数说明 示例 规则名称 自定义规则名称。 wafjs 路径 设置JS脚本反爬虫的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 /admin 逻辑 在“逻辑”下拉列表中选择需要的逻辑关系。 包含 规则描述 规则备注信息。

天翼云终端杀毒(统一服务器安全管理系统)面向政企用户的以大数据技术为支撑、以可靠服务为保障,能够精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,为政企事业单位提供终端病毒、漏洞管控能力。

本节介绍应用市场客户端的更多设置。 在客户端右上角有一个更多设置，点击按钮，可以设置下载安装目录、查看帮助手册和更新检查等。

云服务类别 区域 支持IAM 支持企业项目 支持IAM 支持企业项目 系统策略 边缘安全加速平台 全局 是 是 是 是 有

信封加密方式，是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。 信封加密方式优势如下： 相对于KMS提供的另一种加密方式：KMS用户主密钥直接加密 使用KMS用户主密钥直接加密：是通过KMS界面使用在线工具加解密数据，或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。 使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景；而信封加密方式可以在本地对大量数据进行加解密。 信封加密方式加解密数据，只需要传输数据加密密钥到KMS服务端，无需通过网络传输大量数据。 相对于直接加解密的云服务 安全性 由云服务直接为用户加解密数据：通过因特网将敏感信息从客户手中传递到服务的过程中会存在诸多风险，例如：窃听、钓鱼。 信封加密方式：KMS通过使用硬件安全模块HSM保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 信任和可信证明 由云服务直接为用户加解密数据：信任和可信证明较难做。用户不一定信任云服务，愿意上传如此敏感的数据；云服务也难以证明自己不会误用和泄露这些数据。 信封加密方式：KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足审计和合规性要求。 性能、成本 由云服务直接为用户加解密数据：大量数据需要通过安全信道传递到服务端，加密后再返回给用户，这一过程，对用户服务的性能影响很大。另外，大量的移动数据会带来巨大的成本。 信封加密方式：可以通过KMS的密码运算API在线生成数据密钥，用离线数据密钥在本地加密大量数据。

本章节介绍关系型数据库如何绑定和解绑公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是8635，那么需确保安全组开通了8635端口的访问。 注意事项 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云主机上。 前提条件 用户需要在VPC申请一个弹性公网IP。 只有主实例和只读实例才能绑定弹性公网IP。 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 说明 部分已创建实例暂不支持该功能，因为其连接地址的创建方式不支持绑定弹性公网IP。 绑定弹性公网IP 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4、在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 5、选择“弹性公网IP”页面，单击“绑定弹性公网IP”。 6、在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“确定”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 7、在“弹性公网IP”页面，查看绑定成功的EIP。 您也可以在“任务中心”页面，查看绑定弹性公网IP任务的执行进度及结果。

本节主要介绍准备工作 应用灰度发布之前，您需要完成如下的准备工作。 创建虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 步骤 1 登录虚拟私有云VPC控制台。 步骤 2 单击右上角“创建虚拟私有云”。 步骤 3 根据界面提示完成参数填写，单击“立即创建”。 创建密钥对 新建一个密钥对，用于远程登录节点时的身份认证。 步骤 1 登录弹性云主机ECS控制台。 步骤 2 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 步骤 3 输入密钥对名称后，单击“确定”。 步骤 4 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 步骤 1 登录弹性负载均衡ELB控制台。 步骤 2 单击右上角的“创建弹性负载均衡”。 步骤 3 所属VPC、子网请选择创建虚拟私有云中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。

本文介绍云容器引擎的使用流程。 完整的容器服务使用流程包括以下步骤： 使用流程 说明 环境设置 创建集群前，您需要进行必要的环境设置。 说明： 如果用户已有“虚拟私有云”和“安全组”“子网”，可直接使用，不需额外创建。 . 创建虚拟私有云，提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化用户的网络部署； . 创建子网，在虚拟私有云下创建子网，用于集群部署； . 配置安全组，确保集群创建过程中使用的端口开放。 创建集群 CCE支持创建Kubernetes集群(即虚拟机集群)，后续还将提供裸机集群。 选择部署方式 CCE支持两类部署方式，用户可基于自身需求选择。 . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 上传并选择私有镜像：您可基于业务需求制作私有docker镜像，上传到CCE。基于该私有镜像创建容器应用。 创建容器应用 CCE支持无状态及有状态容器应用。 . 无状态应用：在运行中始终不保存任何数据或状态，例如nginx； . 有状态应用：在运行中需要基于数据或状态运行，例如redis。 应用运维 CCE支持容器应用监控、日志，提供全生命周期管理能力。

本章介绍如何修改SQL Server数据库实例的参数组。 最佳实践概述 场景描述 概述：SQL Server是老牌商用级数据库，成熟的企业级架构，轻松应对各种复杂环境。一站式部署、保障关键运维服务，大量降低人力成本。根据华为国际化安全标准，打造安全稳定的数据库运行环境。被广泛应用于政府、金融、医疗、教育和游戏等领域。 典型行业：互联网企业、政府、医疗、金融 适配场景：企业级架构 方案优势 高安全性 弹性扩容 高可靠性 前提条件 需搭配开通ECS等产品 资源规划 网络资源规划 资源类型 配置项 配置明细 说明 :::: 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 弹性计算资源规划 资源类型 配置项 配置明细 说明 :::: ECS ECS名称 ecsbendi 自定义，易理解可识别 ECS 规格 通用计算增强型 c3.large.2 2vCPUs 4GiB 本示例中选择的规格。实际选择的规格需要结合业务场景选择，请参考弹性云服务器的实例规格。 ECS 操作系统 Windows 2016 ECS 系统盘 通用型SSD 40GiB 数据库资源规划 资源类型 配置项 配置明细 说明 :::: RDS RDS实例名 rds8c73 自定义，易理解可识别 RDS 数据库版本 SQL Server 2012标准版 本示例中为单机。实际使用时，为提升业务可靠性，推荐选择主备RDS实例。 RDS 实例类型 单机 RDS 存储类型 SSD RDS 可用区 可用区1 本示例中未单机，实际业务场景推荐选择主备RDS实例，此时建议将两个实例创建在不同的可用区，提升业务可靠性。 RDS 规格 2 vCPUs 4 GB

步骤二：微调DeepSeek模型 1. 启动LLaMAFactory服务 在完成云主机开通后，即可通过ssh连接到到云主机命令行。模型及LLaMAFactory服务均已放置在/root目录下，且已完成配套环境安装，可直接运行。 plaintext 进入目录 cd /root/LLaMAFactory 启动webui服务 (也可通过nohup放到后台启动) llamafactorycli webui 在成功启动LLaMAFactory服务后，您将可以通过 访问到相关页面。 plaintext 访问服务 2. 配置基础大模型和微调方法 在成功进入LLaMAFactory页面后，您首先需要按照如图的内容进行页面语言，模型名称和模型路径的设置。 注意 注意模型预置在/root/DeepSeekR1DistillQwen7B目录下。 3. 配置微调数据集 在Train页面内，您需要配置用于微调训练的数据集。镜像内预置了alpaca格式的天翼云示例数据，您也可参考示例数据修改/root/LLaMAFactory/data/目录下的alpacazhctyun.json(微调数据集)和datasetinfo.json(数据集信息)两个文件，改用您自己的私有数据。 镜像内置两份数据集，单条内容示例如下： data/alpacazhctyun.json(天翼云文档数据集) plaintext { "instruction": "天翼云的通用型弹性云主机有哪些规格？", "input": "", "output": " 用户询问通用型云主机规格，首先需要明确通用型的定位是平衡计算和内存资源。根据产品文档，通用型以s7系列为代表，应当列举不同后缀规格及其配置差异，最后补充适用场景说明。 n通用型弹性云主机有多个规格，例如s7.small、s7.medium、s7.large、s7.xlarge等，每种规格提供不同的vCPU和内存配置，适合多种业务场景。" } data/alpacaenmedcalcbenchmax2k.json(医学计算数据集MedCalcBench) plaintext { "instruction": "A 16yearold female adolescent was referred to our hospital with severe hypertension (systolic pressure 178 mmHg), which was first detected 7 months prior to presentation during a routine annual physical ...", "input": "What is the patient's Creatinine Clearance using the CockroftGault Equation in terms of mL/min? You should use the patient's adjusted body weight in kg instead of the patient's actual body weight if the patient is ...", "output": " The formula for computing CockcroftGault is given by CrCl ((140 age) adjusted weight (gendercoefficient)) / (serum creatinine 72), where the gendercoefficient is 1 if male, and 0.85 if female..." } 4. 配置相关训练参数 在Train页面内，还有大量可修改的微调训练参数。如果您对他们还不够了解，可暂时不进行修改。其中，训练轮数与样本量级关联性较大，如果您的微调数据量很少，则可能需要设置较大的训练轮数，才能有效果。 5. 启动微调训练 点击最下方的开始按钮，即可基于上面选择的基础模型和微调数据集，启动模型微调训练。页面下方会显示实时的训练进度，训练日志和loss变化情况。 如果您的训练样本较多，单张A10显卡的24G显存很容易因为无法承载，而导致报错"CUDA out of memory"。此时，您需要将云主机变配到显存更大的机型规格，并开启DeepSpeed stage3进行模型参数分片，如下图所示。 同时，您还需要修改默认DeepSpeed配置中的部分参数，以保证训练正常进行。修改/root/LLaMAFactory/cache/dsz3config.json中的如下内容： plaintext "zerooptimization": { "stage": 3, "overlapcomm": true, "contiguousgradients": true, "subgroupsize": 1e9, "reducebucketsize": "auto", "stage3prefetchbucketsize": "auto", "stage3parampersistencethreshold": "auto", "stage3maxliveparameters": 1e4, //降低该参数以减少显存占用 "stage3maxreusedistance": 1e4, //降低该参数以减少显存占用 "stage3gather16bitweightsonmodelsave": true }

本章节主要介绍查看数据库审计日志。 前提条件 审计功能总开关auditenabled已开启。（auditenabled默认值为ON，若关闭请参考修改数据库参数设置为ON）。 已配置需要审计的审计项。各审计项及其开启办法，请参考设置数据库审计日志。 数据库正常运行，并且对数据库执行了一系列增、删、改、查操作，保证在查询时段内有审计结果产生。 数据库各个节点审计日志单独记录。 只有拥有AUDITADMIN属性的用户才可以查看审计记录。 查看数据库审计日志方式 方式一：由于审计日志会占用一定磁盘空间，为了防止本地磁盘文件过大，DWS支持审计日志转储，用户可以开启“开启审计日志转储”功能，将审计日志转储到OBS（用户需创建用于存储审计日志的OBS桶）中进行查看或下载，详细内容请参考转储数据库审计日志章节的 查看审计日志转储记录。 方式二：通过依赖于云日志服务LTS的“集群日志管理”功能查看采集的审计数据库日志或进行日志下载，详细内容请参考集群日志管理查看集群日志。 方式三：数据库的审计日志默认存储于数据库中，连接集群后，使用pgqueryaudit函数进行查看。详细内容请参考下方 使用pgqueryaudit函数查看数据库审计日志。 使用pgqueryaudit函数查看数据库审计日志 1. 使用SQL客户端工具成功连接集群，连接方式请参考连接集群。 2. 使用函数pgqueryaudit查询当前CN节点的审计日志，其语法为： pgqueryaudit(timestamptzstartime ,timestamptz endtime , auditlog ) 参数startime和endtime分别表示审计记录的开始时间和结束时间，auditlog表示所查看的审计日志信息所在的物理文件路径，当不指定auditlog时，默认查看连接当前实例的审计日志信息。 例如，查看指定时间段当前CN节点审计记录。 SELECT FRO Mpgqueryaudit(' 20210223 21:49:00 ',' 2021022321:50:00'); 查询结果如下： begintime endtime operationtype audittype result username database clientconninfo objectname commandtext detailinfo transactionxid queryid nodename threadid localport remoteport +++ ++++++ ++ +++++ q 20210223 21:49:57.76+08 20210223 21:49:57.82+08 loginlogout userlogin ok dbadmin gaussdb gsql@[local] gaussdb login db login db(gaussdb) successfully, the current user is: dbadmin 0 0 coordinator1 140324035360512@667403397820909 27777 该条记录表明，用户dbadmin在20210223 21:49:57.82+08登录数据库gaussdb。其中clientconninfo字段在loghostname启动且IP连接时，字符@后显示反向DNS查找得到的主机名。 3. 使用函数pgxcqueryaudit可以查询所有CN节点的审计日志，其语法为： pgxcqueryaudit(timestamptz startime,timestamptzendtime ) 例如，查看指定时间段所有CN节点审计记录。 ELECT FROM pgxcqueryaudit('20210223 22:05:00','20210223 22:07:00') where audittype 'userlogin' and username 'user1'; 查询结果如下： begintime endtime operationtype audittype result username database clientconninfo objectname commandtext detailinfo transactionxid queryid nodename threadid localport remoteport +++ ++++++ ++ ++++ 20210223 22:06:22.219+08 20210223 22:06:22.271+08 loginlgout userlogin ok user1 gaussdb gsql@[local] gaussdb login db 20221125 233 login db(gaussdb) successfully, the current user is: user1 0 0 coordinator2 140689577342720@667404382271356 27782 20210223 22:05:51.697+08 20210223 22:05:51.749+08 loginlgout userlogin ok user1 gaussdb gsql@[local] gaussdb login db login db(gaussdb successfully, the current user is: user1 0 0 coordinator1 140525048424192@667404351749143 27777 查询结果显示，用户user1在CN1和CN2的成功登录记录。

配置方法： 1.登录云数据库审计系统平台部署方式（登录方式请参考访问安全组件）。 2.设置Agent引流操作，点击【部署方式】，勾选部署方式的“Agent引流”并保存。

远程零信任办公服务提供应用管理功能,本文将介绍如何将您的应用或资源添加平台进行管理。 在您要使用远程零信任办公服务访问您的应用或者系统资源之前，您需要将其添加到边缘安全加速平台进行管理。 背景说明 企业内部应用系统，例如内部WEB应用服务、服务器或数据库等IT资源，一般未暴露在公网，需要通过专有网络访问。在您添加这部分应用系统到平台后，您的员工登录远程零信任办公服务客户端完成身份认证后，便可以访问这部分局域网内的应用或系统资源。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任应用应用配置，查看应用列表。 4. 可根据业务需求进行相关配置。 应用列表 您可以查看应用的相关数据，包括应用总数，健康情况，无流量应用数，无生效策略应用数。并且可对应用进行相关配置操作，如权限自助申请、单点登录、配置无端访问及查看应用接入最佳实践和应用单点登录配置说明。 您可点击应用列表分页进行应用的管理，包括应用的添加、编辑、删除操作。

本节主要介绍如何审核剧本版本。 前提条件 已提交剧本，具体操作请参见提交剧本版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“审核”，弹出审核剧本版本页面。 7. 在审核剧本版本页面，填写审核信息，审核剧本版本参数说明如下表所示。 参数 说明 审核意见 勾选审核结论。 通过，通过后剧本版本状态更新为已激活。 驳回，驳回后剧本版本状态更新为审核驳回，可再次编辑后提交。 驳回原因 当“审核意见”为“驳回”时，需要填写该参数。 输入审核意见（当审核意见勾选驳回时必填）。 说明 当前剧本仅有一个剧本版本时，审核通过后的剧本“版本状态”默认为“已激活”。 8. 单击“确定”，完成审核剧本版本。 后续处理 剧本版本审核后，需要启用剧本，详细操作请参见启用剧本。

此小节介绍设置邮件通知。 开启邮件通知后，当数据库设置的告警事件发生或生成报表时，您可以收到告警或报表生成的通知邮件。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置邮件通知的实例。 6. 设置邮件通知，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 邮件通知 开启或关闭邮件通知。数据库安全审计默认开启邮件通知，当数据库发生设置的告警事件或生成报表时，数据库安全审计将发送通知邮件。：开启：关闭 收件人 输入收件人的邮箱地址。 抄送人 可选参数。输入抄送人的邮箱地址。 7. 单击“应用”。

如果您需要新增分类分级模板请参考此章节操作。 数据安全中心DSC默认内置一个识别模板，同时支持通过复制模板来自定义新的识别模板。 约束条件 创建识别模板后不支持删除模板，且一个帐号最多可创建20个识别模板。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 5. 在目标模板单击“复制”，在复制模板弹框中填写“新模板名称”和“描述”。 6. 单击“确定”。 相关操作 单击“设为默认”，可将该模板设置为默认模板。 单击模板“概览”查看模板分类分级详情。