本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

背景说明 支持实时监测应用程序的文件外发行为，助力事后溯源取证。 注意 客户端版本：支持Windows客户端，需为2.25.10及以上客户端。 套餐版本：已订购终端管理企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开数据安全并点击【文件外发审计】，查看外发审计策略和审计日志相关内容。 外发审计策略 1. 外发审计策略列表主要展示已配置的审计策略详情，含策略名称、管控范围、外发通道、管控动作、管控事件、策略状态、编辑/新增时间等字段信息，支持通过 “策略名称、管控动作、策略状态、时间范围” 搜素或筛选已有的审计策略。 2. 支持对审计策略做 “详情、编辑、删除” 操作。 新增策略 1. 点击【新增策略】支持添加外发审计策略。 1. 当前仅支持针对 AI 应用客户端进行文件外发审计：Kimi 智能助手、AnythingLLM、豆包、腾讯元宝、Cici、智谱清言、Poe、讯飞星火、问小白、夸克、纳米 AI、Cursor、Chatbox、Canva、Cherry Studio、ima.copilot、Trae、通义、办公小浣熊、Windsurf、Warp、JoyCode、墨刀、讯飞绘文、讯飞文书、新华妙笔。 审计日志 1. 外发审计策略下发后，如客户端命中策略，则对应日志会上报到管理平台。 1. 点击【详情】查看日志详情信息。

本章节为您介绍容器审计的相关内容。 容器审计概述 什么是容器审计？ 容器审计功能支持对容器集群中的各种操作和活动进行监控和记录，可帮助用户洞察容器生命周期的各个阶段，包括创建、启动、停止和销毁等。用户通过审计和分析，可以及时发现并处理安全问题，从而确保容器集群的安全性、稳定性。 支持的审计类型 集群容器：K8s审计日志、K8s事件、容器日志、容器运行指令。 非集群容器：容器日志、容器运行指令。 SWR镜像仓：镜像仓日志。 应用场景 容器环境异常事件排查分析：当容器环境出现异常操作或活动时，可通过容器审计日志定位异常事件发生时间和行动轨迹，从而总结出解决办法。 约束与限制 集群容器或非集群容器已开启容器版防护。 使用说明 完全启用容器审计功能，需满足以下条件： 1. 集群容器或非集群容器已接入HSS并开启容器版防护。 2. 完成部分审计类型的审计前提操作，具体如下表所示。 对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。 启用容器审计后，集群内的各类操作和活动日志将记录在HSS控制台，供您查看。

帮助您了解如何新建应急响应服务需求，获取服务序列号 操作场景 服务序列号用于唯一标识本次应急响应服务，安全服务经理在服务过程中，会向您索要服务序列号，用于标识本次服务已进入服务阶段。 前提条件 已订购应急响应服务。 操作步骤 在应急响应页面，可查看订购记录，可通过新建需求获取服务序列号。 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“应急响应”，进入应急响应页面。 3. 找到目标规格订单，点击页面右上角的“新建需求”，弹出新建应急响应服务需求对话框。 4. 配置服务需求相关参数。 选择订单：本次应急响应需求关联的服务订单，应急响应具有多个规格，每个订单规格所含服务资产数不同，请您根据实际需要选择服务规格。 标题：本次应急响应服务主要目的。 描述：本次应急响应服务详细内容。 5. 配置完成后，单击“确定”，即可返回服务需求列表，查看服务序列号。 6. 单击“服务序列号”列的“复制”，即可复制已生成的服务序列号。

日志审计（原生版）有哪些核心功能和能力？ 支持各类厂商多源异构的数据统一采集，进行支持正则表达式、分隔符，KeyValue、JSON日志解析解析，分类，过滤归并等操作，进行规范化成统一的结构化数据。 支持全文检索，条件检索对所有原始日志内容进行即时在线查询，多条件嵌套逻辑查询，收敛事件范围和事件时候溯源审计。依托大数据底层存储，支持查询结果秒级响应。 支持用户交互式检索审计，并通过柱状图、饼图、折线图、面积图、堆积图、环状图、数值图、地图等形式的统计信息可视化展示，并可将统计结果保存为仪表板和报表。 支持多事件的序列关系，逻辑关系，字段条件逻辑判断等配置，进行实时流的审计分析，关联分析，产生异常审计告警，并实时通知用户处置。 支持对系统中预置报表模板选择生产的时间进行预览、生成报表。支持在报表中以柱状图、曲线图、饼状图方式统计安全报警情况；报表格式支持PDF、Word等。 日志审计（原生版）有哪些应用场景？ 采用日志审计监测、记录和存储网络运行状态和安全事件等信息，实现对系统的全面监控和细致记录，配合多种审计策略，快速定位溯源，全面提升系统服务水平以及网络安全管理水平，满足网络安全法规及等级保护的相关要求。 针对中大型企业设备多，系统多，难以统一监管问题，采用日志审计将所有设备、用户行为日志统一监管，贯穿从边界到核心资产的全流程，扩展对关键数据等资产的保护。 通过对多个不同来源的日志数据进行关联和分析，揭示隐藏在数据背后的模式和趋势，帮助企业识别异常行为和潜在威胁。在当前复杂多变的网络环境中，日志关联分析已经成为了保障网络安全和信息安全的一项重要技术手段。

本文介绍了认证与访问控制相关说明。 RDSPostgreSQL支持CTIAM身份认证与多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置RDSPostgreSQL实例权限，该用户就可以通过用户名和密码访问授权的实例资源。 访问控制 权限控制 购买RDSPostgreSQL实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为RDSPostgreSQL构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网。 白名单管理 白名单管理中，用户可对实例设置可访问的IP地址或IP段，控制数据库的安全访问，来保证保障其访问来源的安全性。 具体请参见关系数据库PostgreSQL版用户安全数据安全白名单管理。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保证保障其运行环境的安全性和稳定性。 具体请参见关系数据库PostgreSQL版快速入门步骤二：设置安全组规则。

本节介绍了配置安全组规则的操作场景、操作步骤、结果验证。 操作场景 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 入方向：入方向规则放通入方向网络流量，指从外部访问安全组规则下的云主机。 出方向：出方向规则放通出方向网络流量。指安全组规则下的云主机访问安全组外的实例。 默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表，单击待变更安全组规则的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“安全组”页签，展开安全组，查看安全组规则。 6. 单击安全组ID。系统自动跳转至安全组页面。 7. 在入方向规则页签，单击“添加规则”，添加入方向规则。 单击“+”可以依次增加多条入方向规则。 添加入方向规则 入方向参数说明 参数 说明 取值样例 ::: 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 若源地址为安全组，则选定安全组内的云主机都遵从当前所创建的规则。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 8. 在出方向规则页签，单击“添加规则”，添加出方向规则。 单击“+”可以依次增加多条出方向规则。 添加出方向规则 表 出方向参数说明 参数 说明 取值样例 ::: 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 允许：允许安全组内的服务器按照该出方向规则进行出网访问 拒绝：拒绝安全组内的服务器按照该出方向规则进行出网访问。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许弹性云主机访问远端地址的指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 目的地址 目的地址：可以是IP地址、安全组、IP地址组。允许访问目的IP地址或另一安全组内的实例。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 9.单击“确定”，完成安全组规则配置。

进入客户控制台 成功开通AOne边缘接入服务后，您可以通过以下方式进入AOne边缘安全加速控制台。 官网页面进入控制台：进入边缘安全加速平台产品详情页，点击管理控制台。 通过控制中心进入控制台：进入天翼云控制中心，在CDN与视频分类下，点击边缘安全加速平台。 通过控制台链接直接进入。 添加域名/实例 进入客户控制台后，就可以添加域名/实例。步骤详见：添加域名/实例。域名/实例创建成功的标志是：在首页列表中，可以查到新建域名/实例，以及CNAME地址。 模拟访问验收 在客户控制台成功添加加速域名/实例后，为保证DNS解析顺利切换而不影响现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。具体流程如下： 1. 在天翼云客户控制台的IP应用加速的首页列表中，复制域名/实例对应的CNAME记录值。 2. 通过ping（Windows）或dig（MAC） CNAME记录的方式，如ping .ctdns.cn 获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3. 用户修改本地电脑“C:WindowsSystem32Driversetc”的hosts文件，添加一条记录，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而可以通过本地电脑来验证加速域名对应的相关业务功能和场景；如遇到修改后的host文件无法访问，可参考如下步骤： Hosts文件无法保存解决方法： Hosts文件无法修改可能是因为没有管理员权限所致的，完成以下的设置后，当我们修改了Hosts文件后就可以顺利保存了。 打开“计算机”，依次进入“C:WindowsSystem32Driversetc”（不同系统不同版本下，该文件的位置可能不同，仅供参考），找到hosts文件。 先选择“hosts”文件，打开其“属性”。 切换到“安全”选项卡，点击“高级”。 在“权限”下，点击“更改权限”。 点击“添加”，增添一个新权限。 点击“高级”进入高级设置。 选择“立即查找”，并在下方选择当前的系统账户，点击“确定”将其打开。 将“完全控制”勾上允许，并点击“确定”。 此时弹出一个安全警告窗口，点击“是”即可。 4. 验证内容： 成功绑定hosts文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在hosts文件中绑定的IP一致，表示配置正确。如果访问到的IP和您在hosts文件中绑定的IP不一致，表示配置不正确，您需要检查hosts文件中绑定的IP地址是否正确，确保该IP地址是CNAME地址的IP。 在电脑本地成功访问加速域名绑定的IP后，您可以基于自己的测试用例，或者必要的核验步骤，验证相关功能的准确性，如果功能验证不如预期，请提工单联系运维处理。

使用须知 对于“包年/包月”模式的数据库实例，您需要进行订单退订才可删除实例。 删除实例后，该实例上的数据以及相关的自动备份将全部被清除，且不可恢复，请谨慎操作。 文档数据库服务默认保留所有手动备份，实例删除后，可用来恢复。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高帐号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《统一身份认证服务用户指南》中敏感操作的内容。 操作步骤 步骤 6 登录管理控制台。 步骤 30 单击管理控制台左上方的，选择区域和项目。 步骤 31 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 32 在“实例管理”页面，选择指定的实例，选择“更多 > 删除实例”。 步骤 33 若您已开启操作保护，在“删除实例”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 步骤 34 在弹出框中，单击“是”，删除实例。 回收站 设置回收站策略 （待测试） 文档数据库服务支持将退订后的包年/包月实例和删除的按需实例，加入回收站管理。

客户案例 类别 详细说明 某头部电商平台 静态小文件 客户为国内新崛起的电商新势力，通过引导用户发起和朋友、家人、邻居等的拼团，以更低的价格，购买优质商品，几年时间以来已发展成为中国用户规模最大的电商平台之一，客户采用天翼云CDN加速服务后，商品图片得到极速加载，有效提升用户访问体验和购物体验。 某头部手机厂商应用商店 大文件下载 客户是国内TOP手机厂商之一，业务涉及手机应用市场更新、ROM升级等场景，需要提供高质量的下载服务，CDN加速为该手机厂商提供稳定快速的下载服务。 某头部短视频客户 视频点播 天翼云CDN加速针对客户业务超大规模并发访问和内容冷热分布不均的典型特征进行针对性优化，显著提升终端用户首屏及流畅率等方面的使用体验。 翼支付 静态小文件 翼支付为用户提供支付方案、会员权益、民生服务、分期借贷、保险理财等服务内容，依托区块链、云计算、大数据、人工智能等技术，致力于推动包括生活服务、金融服务的数字化升级。用户对文字、图片类内容分发的需求非常频繁，使用天翼云CDN加速服务后，稳定性和安全性得到大幅提高，极大的优化用户访问的速度。 天翼视讯 视频点播 天翼超高清围绕个人家庭、商业消费场景，为用户提供丰富的视频、游戏、VR、XR等娱乐体验。为了提供清晰、流畅、丰富的网络视频服务，天翼视讯选择了天翼云CDN加速，通过天翼云遍布全国且下沉到地市的节点进行内容分发，保障海量高码率超高清视频流畅分发，使用户能随时随地享受流畅的视频体验。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。请参考如下方法进行处理： − Java Chassis：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 对接微服务应用 > Java Chassis接入CSE”中的配置安全认证操作。 − Spring Cloud：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 微服务开发指南 > 对接微服务应用 > Spring Cloud接入CSE”中的配置安全认证操作。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 步骤 4 升级引擎至1.2.0或以上版本。 1. 单击“升级引擎至新版本”。 2. 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 3. 等待升级成功后，单击“返回微服务引擎”。 4. 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 5. 在“安全”区域，开启安全认证开关。 步骤 5 在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 步骤 5 （可选）参考角色管理，根据业务需要，创建角色。 步骤 6 （可选）参考帐号管理，根据业务需要，创建帐号。 步骤 7 在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 步骤 8 根据提示确认已经完成所有配置后，勾选“确保已配置”。 步骤 9 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

签名过程 下图说明了签名计算过程。 下表描述了图中显示的功能。用户需要为这些功能实现代码。 功能 描述 :: Lowercase() 将字符串转换为小写。 Hex() 小写十六进制编码。 SHA256Hash() 安全散列算法（SHA）加密散列函数。 HMACSHA256() 使用提供的签名密钥的SHA256算法计算HMAC。这是最终的签名。 Trim() 删除任何前导或尾随空格。 UriEncode() URI编码每个字节。UriEncode（）必须强制执行以下规则： URI编码除了下面字符之外的每个字节：'A' 'Z'，'a' 'z'，'0' '9'，' '，'.'，''和'〜'。 空格字符是保留字符，必须编码为“％20”（而不是“+”）。 每个URI编码字节由'％'和两位十六进制值组成。 十六进制值中的字母必须为大写，例如“％1A”。 除了文件名之外，对正斜杠字符'/'进行编码。例如，如果文件名称为photos/Jan/sample.jpg，则不对键名称中的正斜杠进行编码。 说明 建议您编写自己的自定义UriEncode函数，以确保您的编码可以正常工作。 以下是Java中的示例UriEncode（）函数。 public static String UriEncode(CharSequence input, boolean encodeSlash) { StringBuilder result new StringBuilder(); for (int i 0; i 'A' && ch 'a' && ch '0' && ch < '9') ch '' ch '' ch '~' ch '.') { result.append(ch); } else if (ch '/') { result.append(encodeSlash ? "%2F" : ch); } else { result.append(toHexUTF8(ch)); } } return result.toString(); } 使用参数的签名过程与使用请求头的签名过程类似，如下所示： 由于创建预签名URL的时候，并不知道有效负载的内容，所以设置常量UNSIGNEDPAYLOAD。 规范查询字符串（Canonical Query String）必须包括除了XAmzSignature之外的所有上述查询字符串。 规范标头必须包括HTTP Host标头。如果用户想包含xamz请求头，这些标头都将参与签名计算。用户可以选择其他的请求头是否参与签名计算。安全起见，尽可能多的请求头参与签名计算。

类型 指标 描述 主要评价指标 整体性能 总下载时间，该值越小，则响应时间越短。 主要评价指标 服务可用性 访问成功率，该值越高，则可靠性越强。 网络指标 DNS解析时间 通过域名解析服务（DNS），将指定的域名解析成IP地址的消耗时间。 网络指标 TCP建连时间 浏览器或客户端和WEB服务器建立TCP/IP连接的消耗时间。 网络指标 SSL握手时间（按需） 浏览器或客户端和WEB服务器建立安全套接层（SSL）连接的消耗时间。 网络指标 首包时间 浏览器或客户端发送HTTP请求结束开始，到收到WEB服务器返回的第一个数据包的消耗时间。 网络指标 内容下载时间 监测一个页面时，从页面角度看，浏览器或客户端接收WEB服务器返回第一个数据包，到所有内容传输完成的时间。 平台指标 回源率 回源率分为回源请求数比例及回源流量比例两种。 1. 回源请求数比：指全站节点对于没有缓存、缓存过期（可缓存）和不可缓存的请求占全部请求记录的比例。 2. 回源流量比：回源流量是全站节点回源请求内容时产生的流量。回源流量比回源流量/用户请求访问的流量，比值越低，性能越好。 平台指标 缓存命中率 缓存命中率包括流量命中率和请求命中率。全站缓存命中率低，会导致源站压力大，静态内容访问效率低。 统计方式： 流量命中率 1 源站响应节点的流量/节点响应用户的总流量（5分钟粒度）。 请求命中率 1 节点回源请求数/用户访问节点的总请求数（5分钟粒度）。

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务RabbitMQ实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务RabbitMQ实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务RabbitMQ构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的RabbitMQ实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问RabbitMQ实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组。

本文通过完全开源的RAGFlow服务与云搜索服务的OpenSearch向量数据库与搜索大模型快速构建智能知识问答(RAG)服务。 RAGFlow 是一款基于深度文档理解的开源RAG（检索增强生成）引擎。它为企业级用户提供了一套端到端的 RAG 解决方案，通过结合大语言模型（LLM） 的能力，实现对多样化复杂格式数据的精准解析与知识检索，为用户提供依据充分、真实可靠的问答服务，并确保所有回答均附带可追溯的引用来源。 RAG（Retrieveraugmented Generation）是一种结合了信息检索和生成的自然语言处理（NLP）技术，特别适用于需要从大量数据中检索信息并生成自然语言文本的场景。它在处理复杂任务时能够提升生成模型的性能，尤其是在模型缺乏足够上下文或知识的情况下。 RAG的优势 RAG通过检索外部知识库或数据库中的相关信息，能够在生成过程中动态地补充实时或特定领域的知识，弥补了生成模型的“知识盲区”。这使得模型能够在没有训练时直接获得的信息基础上进行更加准确的回答或内容生成。针对企业内部包含的敏感数据（如薪资标准、客户资料等）以及大量专有信息（包括产品文档、客户案例、流程手册等），RAG提供了安全的解决方案。由于这些非公开信息无法直接预置到大模型中，RAG通过外部知识调用的方式，既满足了信息需求，又确保了数据安全性。

本文介绍多台云主机实例批量挂载同一文件系统的操作方法。 操作场景 海量文件服务适用于共享访问的场景，当业务中需要使用多台云主机访问同一文件系统时，您可以通过我们提供的脚本，填写配置文件、执行脚本命令，实现多台云主机批量挂载同一文件系统，减少操作时间，提高工作效率。 注意 执行批量挂载的云主机实例需要与文件系统归属于同一资源池的同一VPC下。 目前仅支持Linux操作系统的云主机，请参考使用限制。 仅支持root账户进行批量挂载操作。 务必按照本文中要求的固定格式填写需要执行批量挂载的云主机的相关信息。 请保证本文中创建的inventory、autobatchmount.sh文件与mountnfs.yml文件在同一目录下，否则会导致挂载失败。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行批量挂载操作的任何一台云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 4. 创建并填写配置文件inventory。 1）在Linux vi命令行工具中依次执行以下命令创建配置文件inventory并打开。 plaintext touch inventory plaintext vi inventory 2）将按照下述格式填写的内容复制到配置文件inventory中，保存并退出。需要将各参数替换成相应的实际值，各参数说明见下方表格。配置文件内容可在Windows记事本中或者Linux vi命令实现编辑，供后续使用。复制完成后输入 :wq保存并退出。 plaintext [all:vars] sharepath挂载地址 [targethost] 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 …… 参数 说明 云主机弹性IP 在云主机详情页中“弹性IP”页签获取该云主机公网IP的IP地址。 root用户密码 root用户密码。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，本操作中将通过脚本自动创建，无须额外创建。 挂载地址 可在文件系统详情页获取。 5. 创建批量挂载脚本autobatchmount.sh。 1）创建脚本文件，并打开： plaintext touch autobatchmount.sh plaintext vi autobatchmount.sh 2）将下列内容复制到挂载脚本中，保存退出 （:wq）： plaintext

【公告内容】 尊敬的AOne 零信任客户您好： 衷心感谢您长期以来对AOne零信任产品的信任与支持！ 为更好适配互联网业务快速发展需求，保障您的业务安全与稳定运行，AOne 零信任连接器已完成多轮技术迭代。新版本在稳定性、安全性、连接性能三大核心维度均实现显著提升，同时支持更多扩展功能，可进一步为您的业务运营保驾护航。因此，我们诚挚建议您将连接器升级至最新版本。 同时经技术评估，1.21 及以前版本的连接器，已难以满足当前日益增长的业务需求与复杂的网络安全局势。为切实保障您的业务权益，我们将分阶段推动该范围内旧版本连接器的升级。 【升级安排】 【自主升级阶段】2025年11月10日之前： 我们优先推荐您通过控制台自助完成升级，操作流程如下： 登录控制台，进入 “连接器管理” 模块；找到标记 “待升级” 的 1.21 及以前版本连接器实例，点击橙色按钮；跟随页面指引完成操作，全程无需停机（可参考如下升级步骤指南）。若升级失败，系统将自动回滚至前一可用版本，不影响业务正常运行；若遇到多次升级失败的情况，可通过提交工单获取技术支持。 【后台统一升级阶段】2025年11月11日 至 2026年6月30日： 对于未完成自主升级的线上活跃 1.21 及以前版本连接器，我们将通过后台分批次自动升级；升级时段统一为每日 0:00 6:00，最大程度降低对您业务的影响；具体升级时间将以推送通知为准，您可留意对应版本连接器状态变化；若您有特殊业务安排，需调整升级时间，可通过客服工单与我们联系。 再次感谢您的理解与配合！升级过程中如有任何疑问，欢迎随时提交工单。

本节介绍云容器引擎的最佳实践:密钥Secret的安全使用。 在Kubernetes中，您可以使用Secret对象来存储敏感信息，例如密码、OAuth令牌和ssh密钥等。但Secret在etcd中以base64编码格式存储，base64编码不等于加密。因此建议用如下方式使用Secret。 严格限制Secret权限 通过文件挂载的方式使用Secret时，容器内映射的文件权限默认为0644，建议为其配置更严格的权限，例如： apiversion: v1 kind: Pod metadata: name: podauth spec: containers: name: mypod image: nginx volumeMounts: name: example mountPath: "/etc/example" volumes: name: example secret: secretName: mysecret defaultMode: 256 其中“defaultMode： 256”，256为10进制，对应八进制的0400权限。 “隐藏”Secret文件 使用文件挂载的方式时，通过配置Secret的文件名实现文件在容器中“隐藏”的效果： apiVersion: v1 kind: Secret metadata: name: mysecretfile data: .mysecretfile: dmFsdWUtMg0KDQo apiVersion: v1 kind: Pod metadata: name: mysecretfilepod spec: volumes: name: myvolume secret: secretName: mysecretfile containers: name: secretcontainer image: nginx command: ls "1" "/etc/volume" volumeMounts: name: myvolume readOnly: true mountPath: "/etc/volume" 这样.mysecretfile目录在/etc/volume/路径下通过“ls l”查看不到，但可以通过“ls al”查看到。 加密Secret文件内容 用户应在创建Secret前自行加密敏感信息，使用时再解密。

平台侧确认注册成功 NVR设备注册完成后，等待大约1分钟后（不同的设备等待时间略有差异），在天翼云智能视图服务控制台的设备管理页面查看该设备，如果是在线状态，说明设备接入成功。 添加下级平台 在【添加设备】的设备配置页面，下拉设备类型选择Platform，填写设备名称、设备地址、经纬度和所属行业等相关信息后，进入下一步。 在接入配置页面，选择GB28181凭证并勾选资源包，完成设备添加后，与平台进行级联。 GB35114协议接入 GB35114是公共安全视频监控联网信息安全技术标准，在GB/T 28181的基础上对监控联网视频信息以及控制信令信息保护提出了进一步的安全要求，使用国密算法、数字签名、数字证书等技术确保前端设备身份真实可信、控制信令来源可信、内容防篡改，保护视频数据不泄密。 添加设备 在添加国标设备的接入配置页面，若选择启用GB35114协议，则无需选择GB28181凭证即可完成设备创建。 SIP服务信息获取 GB35114设备注册前，还需要获取SIP服务信息和设备国标ID等信息，用户可以进入设备详情页查看。 接入信息：获取设备国标ID。 SIP服务信息：可获取SIP服务器ID、SIP服务器域、SIP服务器地址、SIP服务器TCP端口和UDP端口。

IKEv2相比IKEv1的优点 简化了安全联盟的协商过程，提高了协商效率。 修复了多处公认的密码学方面的安全漏洞，提高了安全性能。 加入对EAP（Extensible Authentication Protocol）身份认证方式的支持，提高了认证方式的灵活性和可扩展性。 EAP是一种支持多种认证方法的认证协议，可扩展性是其最大的优点，即如果想加入新的认证方式，可以像组件一样加入，而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。 IKEv2使用基于ESP设计的加密载荷，v2加密载荷将加密和数据完整性保护关联起来，即加密和完整性校验放在相同的载荷中。AESGCM同时具备保密性、完整性和可认证性的加密形式与v2的配合比较好。 建立IPsec VPN连接需要帐户名和密码吗？ 常见的使用帐户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP，云的IPsec VPN使用预共享密钥方式进行认证，密钥配置在VPN网关上，在VPN协商完成后即建立通道，VPN网关所保护的主机在进行通信时无需输入帐户名和密码。 说明 IPsec XAUTH技术是IPsec VPN的扩展技术，它在VPN协商过程中可以强制接入用户输入帐户名和密码。 目前VPN不支持该扩展技术。 VPN监控可以监控哪些内容？ VPN网关 可以监控网关IP的带宽信息，包含入网流量、入网带宽、出网流量、出网带宽及出网带宽使用率。 查询VPN网关监控状态，请在VPN网关“网关IP”列中单击EIP后面的进行查看。

审计 TeleDB支持通过有效的审计，组织可以及时发现和解决数据库相关的问题，降低风险，并提高数据库的整体管理水平。数据库安全审计是企业级数据库必须提供的一个基础能力，有助于事后对访问合规性进行追溯。结合业界通用的做法，TeleDB从多个维度来提供全方位的审计能力，同时TeleDB审计通过旁路检测方式，对数据库运行效率的影响极小。 TeleDB审计主要包括粗粒度审计（audit）和细粒度审计（fga）。 具体内容请参考《TeleDB安全配置手册》中“审计”章节。 数据脱敏 TelDB支持通过数据脱敏，对非授权用户隐去了部分敏感信息，又尽量保持了数据整体有效。脱敏是指在用户无感知的情况下，对非授权用户返回被脱敏的数据。其主要原理是通过某种运算法则，在真实数据返回给访问终端前，按照既定规则，将原始数据映射到另一种形式（可以支持多种变化），该映射规则对查询用户不可见，且转换后的形式不能做逆向操作（即转换为原始数据）。 如何创建数据脱敏具体内容请参考《TeleDB安全配置手册》中“数据脱敏”章节。 数据备份与恢复 ‌数据库备份与‌恢复来确保数据安全的关键措施，TeleDB支持通过定期备份数据库可以防止数据丢失或损坏。备份类型包括全量备份、‌增量备份，每种类型都有其特定的应用场景和优势。数据备份与恢复具体操作请参考《TeleDB安全配置手册》中“数据备份与恢复”章节。

一级节点 二级或三级节点 验证内容 部门 验证部门层级数、部门名称、用户数、主机数等配置信息 用户 用户 验证用户的用户个数、登录名、姓名、状态、角色、归属部门等配置信息。 用户组 验证用户组个数、名称、组内成员等配置信息 角色 验证角色配置信息 资源 主机管理 验证主机个数、名称、地址、端口、协议、系统类型和账户数等信息。 应用发布 l验证应用个数、名称、地址、关联服务器、归属部门等配置信息。 验证服务器个数、名称、地址、类型、归属部门等配置信息 资源账户 验证资源账户个数、名称、关联的资源、地址、端口、归属部门等配置信息。 批量选中资源账户，单击“验证”一键验证资源账户状态，确认资源账户是否可正常登录 账户组 验证账户组个数、名称、组内成员、成员数等配置信息 运维 主机标签 验证运维主机的标签个数、名称、加标签主机资源等配置信息 应用标签 验证应用发布的标签个数、名称、加标签应用资源等配置信息 策略 访问控制策略 验证访问控制策略个数、名称、状态、关联用户、关联资源账户等配置信息 命令控制策略 验证策略个数、名称、执行动作、关联命令集等配置信息。 验证命令集个数、名称、命令、参数等配置信息 改密策略 验证策略个数、名称、状态、执行方式、改密方式等配置信息 审计 系统报表 验证报表自动发送配置 运维报表 验证报表自动发送配置 工单 访问授权工单 验证访问授权工单的工单号、状态和申请时间等基本信息 系统 安全配置 验证系统登录安全配置信息，包括用户锁定配置、策略密码配置、Web登录配置、SSH客户端登录配置 外发配置 验证邮件和短信网关的配置信息 认证配置 验证AD域、Radius、LDAP认证等配置信息 工单配置 验证工单基本模式、审批流程等配置信息 告警配置 验证告警方式、告警等级等配置信息 存储配置 验证自动删除功能的配置信息 日志备份 验证远程备份至Syslog服务器、远程备份至FTP/SFTP服务器的配置信息 配置备份与还原 验证自动备份配置信息

本节介绍了创建数据库账号的相关内容。 操作场景 创建关系型数据库实例时，系统默认同步创建rdsuser用户，您可根据业务需要，添加其他用户。 限制条件 恢复中的实例，不可进行该操作。 通过RDS创建账号 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页。 步骤 5 在左侧导航栏，单击“账号管理”，单击“创建账号”。 步骤 6 在弹出框中，输入账号名称、并输入密码和确认密码，单击“确定”。 如果需要创建的账号具备所有库的只读权限，请联系客服申请开通，在创建账号弹框中勾选“实例级只读账号”即可。 数据库账号名称在1到128个字符之间，由字母、数字、中划线或下划线组成，不能包含其他特殊字符，不能和系统用户名称相同。系统用户包括：rdsadmin, rdsuser, rdsbackup, rdsmirror。 密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@ $%^+?,特殊字符。 密码不能与账号名或倒序的账号名相同。 建议您输入高强度密码，以提高安全性，防止出现密码被暴力破解等安全风险。 步骤 7 数据库账号添加成功后，您可在当前实例的数据库账号列表中，对其进行管理。 结束

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

本章节为您介绍日志审计(原生版)资产管理相关的操作。 日志审计（原生版）提供集中化的统一管理平台，将所有的需要审计的设备统一纳管入平台中，进行信息资产的统一日志管理。 在使用日志审计（原生版）之前，您先需要将资产纳管，以便服务可以进行日志管理。 新增资产 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要新增资产的资产组，进入资产组页面后，单击“新增资产”。 说明 下图以选择默认的资产组为例，实际请根据业务情况自行选择资产组。 4. 进入“新增”页面，填写待新增的资产内容。填写完成后，单击“确认”。 分类 参数 参数说明 取值样例 基本属性 资产名称 填写您的资产名称，最大长度不超过64个字符。 资产示例 基本属性 管理IP 填写待纳管设备的主识别IP，请确保IP真实有效。 0.0.0.0 基本属性 生产厂商 （可选）输入您设备的生产厂商关键字，在下拉框中选择。 基本属性 资产大类 在下拉框中选择待纳管资产的设备类别。 主机 基本属性 资产小类 在下拉框中选择待纳管资产的具体设备类型。 服务器/其他 基本属性 产品名称 （可选）输入您待纳管资产的产品名称。 基本属性 产品版本号 （可选）输入您待纳管资产的版本号。 基本属性 资产状态 （可选）选择您纳管资产目前的状态，可选“在线”或“离线”。 在线 基本属性 所属宿主机 （可选）选择您纳管资产所属的宿主机IP，若没有宿主机可不选择。 基本属性 地理位置 （可选）选择您纳管资产所在地理位置，仅支持选择中国境内地区。 北京 基本属性 设备联系人 （可选）填写待纳管资产的联系人信息。 基本属性 序列号 （可选）填写待纳管资产的序列号。 基本属性 syslogudp采集 （可选）开启后采集管理syslogudp快捷新增该资产，字符编码默认UTF8。 基本属性 质保期 （可选）选择待纳管资产的质保期。 基本属性 描述 （可选）填写待纳管资产的描述。 资产标签 资产标签 （可选）填写待纳管资产的标签，方便您可通过标签进行资产查询。 安全属性 机密性 选择待纳管资产的机密等级，可选110级，默认选择1级。 1级 安全属性 完整性 选择待纳管资产的完整等级，可选110级，默认选择1级。 1级 安全属性 可用性 选择待纳管资产的可用等级，可选110级，默认选择1级。 1级 安全属性 资产价值 选择待纳管资产的资产价值，可选“低”、“中”、“高”，默认为“低”。 低 安全属性 等保级别 选择待纳管资产的等保等级，可选110级，默认选择1级。 1级 接口 IP 与“管理IP”一致，请确保IP真实有效。 0.0.0.0 接口 IP类型 选择纳管资产的IP类型，请如实选择。 公网 接口 MAC （选填）输入待纳管资产的MAC接口地址。 注意 新增资产时，日志采集方式、资产类型和IP需要根据实际情况选择。

步骤2：创建ECS 步骤 1 登录管理控制台，查看是否有弹性云主机。 有Linux弹性云主机，执行步骤3。 有Windows弹性云主机，参考创建并通过MySQLFront连接TaurusDB实例。 无弹性云主机，执行步骤2。 步骤 2 创建弹性云主机时，选择Linux操作系统，例如CentOS。 由于需要在ECS下载MySQL客户端，因此需要为ECS绑定弹性公网IP（EIP），并且选择与TaurusDB实例相同的区域、VPC和安全组，便于TaurusDB和ECS网络互通。 步骤 3 在ECS实例基本信息页，查看ECS实例的区域和VPC。 步骤 4 在TaurusDB实例基本信息页，查看实例的区域和VPC。 步骤 5 确认ECS实例与TaurusDB实例是否处于同一区域、同一VPC内。 是，执行步骤3：测试连通性并安装MySQL客户端。 如果不在同一区域，请重新创建实例。不同区域的云服务之间内网互不相通，无法访问实例。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 如果不在同一VPC，可以修改ECS的VPC，请参见《弹性云主机用户指南》中“切换虚拟私有云”的内容。 结束 步骤3：测试连通性并安装MySQL客户端 步骤 1 登录ECS实例，请参见《弹性云主机用户指南》中“Linux弹性云主机远程登录（VNC方式）”。 步骤 2 在ECS上测试是否可以正常连接到TaurusDB实例读写内网地址的端口，连接地址和端口通过步骤7获取。 telnet 读写内网地址 端口 说明 如果提示command not found，请根据ECS使用的操作系统不同，自行安装telnet工具。 如果可以通信，说明网络正常。 如果无法通信，请检查安全组规则。 − 查看ECS的安全组的出方向规则，如果目的地址不为“0.0.0.0/0”且协议端口不为“全部”，需要将TaurusDB实例的读写内网地址和端口添加到出方向规则。 − 查看TaurusDB的安全组的入方向规则，需要将ECS实例的私有IP地址和端口添加到入方向规则，具体操作请参见设置安全组规则。 步骤 3 在浏览器下载Linux系统的MySQL客户端安装包。建议您下载的MySQL客户端版本高于已创建的TaurusDB实例中数据库版本。 在下载页面找到对应版本链接，以mysqlcommunityclient8.0.211.el6.x8664为例，打开页面后，即可下载安装包。 图 下载 步骤 4 将安装包上传到ECS。 步骤 5 您可以使用任何终端连接工具（如WinSCP、PuTTY等工具）将安装包上传至ECS。 步骤 6 执行以下命令安装MySQL客户端。 rpm ivh mysqlcommunityclient8.0.211.el6.x8664.rpm 说明 如果安装过程中报conflicts，可增加replacefiles参数重新安装，如下： rpm ivh replacefiles mysqlcommunityclient8.0.211.el6.x8664.rpm 如果安装过程中提示需要安装依赖包，可增加nodeps参数重新安装，如下： rpm ivh nodeps mysqlcommunityclient8.0.211.el6.x8664.rpm 结束

本文主要介绍 修改导出的工程文件 请求类型为思考时间 参数名称 描述 name 思考时间的名称，可修改。 t 持续时间（ms）。思考时间是指用户在执行两个连续操作期间的等待时间。例如用户在登录和搜索之间停留的时间。例如某事务每运行一次响应时间为0.5 秒。 如果希望每秒执行两次事务请求：则不添加请求信息类型为“思考时间”的事务请求信息。 如果希望每秒只执行一次事务请求：思考时间调整为1 秒。如果思考时间设置为 1 秒而响应时间大于 1 秒，则思考时间不会生效，按响应时间发送压测请求。 请求类型为报文 参数名称 描述 :: name 报文的名称，可修改。 httpversion 协议类型。 支持HTTP、HTTPS、TCP和UDP。 当请求类型为HTTP和HTTPS时，设置以下参数。 method 支持GET、POST、PATCH、PUT和DELETE。 returntimeout 发送请求，等待服务器响应的超时时间。 如果不设置此参数，默认响应超时时间为5000ms。 URL 发送请求的URL地址，比如“ headers 由关键字/值对组成，请求头部通知服务器有关于客户端请求的信息，“头域”的说明请参见[]( cpts020022)头域说明。 报文内容 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。 说明 请求方式为GET时，不支持报文内容。 当请求类型为TCP时，设置以下参数。 说明 TCP类型的报文暂不支持响应提取功能。 IP 发送请求到被测服务器的IP地址。 port 发送请求到被测服务器的端口号。 connecttimeout 发起连接，服务器无响应的超时时间。 returntimeout 连接建立成功，等待响应返回的超时时间。 连接设置 重复使用连接：请求响应完成后，不断开连接，复用连接发送接收下一次请求响应。 关闭连接：每次完成请求响应完成后，断开连接，下一次重新建立连接。 checkendtype 通过返回结束设置，来判断本次请求的响应内容是否已经接收完成。 返回数据长度：设置返回数据的长度，单位字节。当接收到此长度的响应内容时，数据接收完成。 结束符：设置返回数据的结束标记。当接收到结束符时，数据接收完成 。 说明 结束符建议设置一个唯一的结束标记，如果设置的结束符在响应内容中存在多个，当接收到第一个结束符时，就认为响应内容已经接收完成，这样接收的响应数据就不完整。 body 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 内容格式：请根据被测服务器的业务请求内容，选择“字符串”或“16进制码流”。 说明 16进制码流的内容取值范围为“09”和“af”，且总字符个数为双数。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。 请求类型为响应提取 参数名称 描述 name 变量的名称，命名必须唯一，响应提取的值赋予此变量。 range 响应提取内容的范围。 说明 该参数值不可设置为0。 报文内容 头域 URL 响应码其中“报文内容”、“头域”、“URL”可通过正则表达式进行内容提取。 regexp 正则表达式是对字符串操作的一种逻辑公式，就是用事先定义好的一些特定字符、及这些特定字符的组合，组成一个“规则字符串”，这个“规则字符串”用来表达对字符串的一种过滤逻辑。完整的正则表达式由两种字符构成：特殊字符（special characters）称为“元字符”（meta characters）；其它为“文字”（literal），或者是普通文本字符（normal text characters，如字母、数字、汉字、下划线）。元字符的说明请参见正则表达式元字符。 说明 “()”表示提取，对于您要提取的内容需要用小括号括起来，每个“()”之间的内容表示一个子表达式。 matchindex 在正则表达式已提取的内容中，获取第几个匹配的内容。取值范围：正整数。 expindex 表示解析到的第几个子表达式的值。取值范围：自然数。 说明 取值为0表示匹配整个正则表达式。 取值为1表示匹配正则表达式的第一个子表达式即第一个“()”提取的内容。 通过“正则表达式”和“第几个匹配项”提取出内容后，再通过“表达式取值”获得最终的提取内容。 JSON Key Name 请输入需要获取的键名。例：{key:{"key1":"v1","key2":["v2","v3"]}}，如果想取出“v2”，则输入key.key2[0] default 正则匹配失败时，取的值。 请求类型为检查点 参数名称 描述 name 检查点的名称，可修改。 value 响应报文携带的HTTP/HTTPS/TCP/UDP协议响应状态码，通常包括1XX，2XX，3XX，4XX，5XX。 headerchecks HTTP/HTTPS/TCP/UDP协议的Header部分。 bodychecks HTTP/HTTPS/TCP/UDP协议的Body部分，为HTTP/HTTPS/TCP/UDP协议请求、响应的负载部分。 新增测试工程 参数名称 描述 name 测试工程的名称。 description 测试工程的相关描述。 新增事务 参数名称 描述 name 事务名称。 contents 请求信息内容。在该事务下可以添加事务请求信息，您可以根据业务需求添加多个事务请求信息。 新增任务 参数名称 描述 issuenum 并发用户。并发用户数指在同一时刻内，对系统进行业务操作的用户数量，在云性能测试服务中为用户在定义测试任务阶段设置的虚拟用户数。 name 阶段名称。设置一个符合业务场景的名字，比如首页测试。 time 持续时间（s）。本阶段压测执行的最长时间。 count 发送总次数。该事务在一次任务的运行中，将按照运行次数计算，到达设定数值，该任务下此事务的性能测试将终止。 新增全局变量 参数名称 描述 name 全局变量的名称。 variable 全局变量值。 variabletype说明变量的内容，在压测时将以明文传输，请谨慎输入，注意数据安全。 全局变量类型。 变量类型为整数时，输入变量值范围。 压测任务运行时会读取对应全局变量范围内的值，针对每个虚拟用户，依次轮询变量值，即第一个虚拟用户取变量的第一个值，第二个虚拟用户取第二个值，依顺序取值，不够则循环。 您可以根据业务需求添加多个变量值。 压测任务运行时会读取对应全局变量的参数值，针对每个虚拟用户，依次轮询变量值，即第一个虚拟用户取变量的第一个值，第二个虚拟用户取第二个值，依顺序取值，不够则循环。

介绍分布式消息服务Kafka认证与访问控制方式 分布式消息服务Kafka支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务Kafka实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务Kafka实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务Kafka构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Kafka实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Kafka实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见配置安全组

本文为您介绍租户集群为自建集群的集群组件安装步骤。 注意事项 集群组件在运行时会挂载k8s node宿主机的/data（非crio）和/root（crio）目录，请确保目录的权限正常。 请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 获取部署脚本 1. 进入容器安全卫士产品控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”，进入组件安装页面。 3. 单击“集群组件部署”，进入集群组件部署页面。 4. 选择“是否为天翼原生k8s集群”，此处选择“自建集群”；选择集群所在的资源池。 5. 下载镜像。 1. 选择容器运行环境（支持docker、containerd、CRIO）。 2. 选择集群CPU架构（支持X86、ARM架构）。 3. 单击“下载镜像Tar包”下载镜像Tar包到本地，然后加载至您的私有仓库中（请不要修改镜像名称）。 Tar包中包含4个镜像，分别为： library/dosecagent:20241224T19.31.05V5.2.0release298e83b85cc6c5bc,library dosechosttool:alpineV3.8,library dosecscanner:20250106T17.38.12V5.2.0releasebd003dd3e87a1881,library dosecserver:20250107T11.36.00V5.2.1sp891.1release287a57d168109d92 6. 生成部署脚本。 1. 选择集群所在的VPC、VPC子网，输入私有仓库的地址、账号、密码。 2. 单击“生成yaml文件”，并将yaml文件保存到本地。 注意 系统会根据您的输入自动生成yaml。 容器安全卫士不会保存您的私有仓库用户名和密码以保证安全。 下载后的包，内容请勿进行修改。 下载的脚本仅能用于一个k8s集群使用，若在不同集群重复使用可能造成数据异常。

3. 安全设置 连接安全性：该设置决定服务器连接是否加密。无：不加密；SSL/TLS：加密（推荐）；STARTTLS：连接以不加密开始，如果服务器支持，那么尝试加密。 验证方式：该设置是认证连接账号的方式。邮箱账户提供商会决定使用何种方式进行认证，您可以登录邮箱服务器端查看。 4. 完成以上邮箱配置即登录成功 验证过程可能会持续1分钟左右，当出现“尝试常用服务器名称后找到配置”即完成账密及服务器验证，点击“完成”即登录成功。 说明 IMAP和POP有什么区别？ POP允许电子邮件客户端下载服务器上的邮件，但是您在电子邮件客户端的移动邮件、标记已读、删除邮件等操作，是不会反馈到服务器上的。比如：您通过AOneMail客户端收取了邮箱中的5封邮件并移动到了其他文件夹，这些移动动作是不会反馈到服务器上的，也就是说，邮箱服务器上的这些邮件是没有同时被移动的。 但是IMAP就不同了，电子邮件客户端的操作都会反馈到服务器上，您对邮件进行的移动邮件、标记已读、删除邮件等操作服务器上的邮件也会做相应的动作。即，IMAP是“双向”的。 同时，IMAP可以只下载邮件的主题，只有当您真正需要的时候，才会下载邮件的所有内容。

工业设计/制造 目标用户：工作室、设计院等项目团队成员。 核心诉求：实现设计文件实时读写与高效协作，减少文件传输与版本管理的复杂性，支持多操作系统协同工作，提升项目推进速度与质量。 使用流程：项目团队成员通过各自 Windows/Linux/ 国产化操作系统的天翼AI云电脑挂载翼共享盘；在设计过程中，直接在共享盘内打开和编辑设计图纸、平面设计、广告方案等文件，实时保存修改内容；团队成员可随时访问共享盘获取最新文件版本，进行协作交流。 共享盘推荐：翼共享支持实时读写、具有良好文件版本控制和兼容性的共享盘，确保不同操作系统下的设计软件都能稳定运行和高效协作。 医疗行业 目标用户：医疗行业各专业科室人员、药品研发及专利申请相关人员。 核心诉求：确保医疗资料安全存储与合规管理，实现不同专业科室间资料精准共享与权限严格控制，促进医疗研发与诊疗过程中的高效协作，保护患者隐私数据。 使用流程：医疗单位信息管理部门依据专业和科室设置翼共享盘的权限与共享范围；各科室人员将医疗资料上传至对应权限的共享区域；药品研发、临床测试等部门人员在授权范围内访问和使用相关医疗资料，进行协作研究和诊疗工作，并将过程中的数据和成果保存至共享盘。 共享盘推荐：翼共享NAS共享盘符合医疗行业数据安全标准、具备精细权限管理和数据加密功能的共享盘，防止医疗数据泄露和违规使用。