当您购买了弹性云主机后,可以根据业务需要搭建为不同的环境、网站或应用。本文介绍如何在弹性云主机上搭建Discuz!论坛。 背景介绍 Discuz!是一款通用的社区论坛软件系统，它采用PHP和MySQL组合的基础架构，为您提供高效的论坛解决方案。 前提条件 已购买弹性云主机实例，实例满足以下条件： 1. 实例已分配公网IP地址或绑定弹性公网IP（EIP）。 2. 操作系统必须为CentOS 7.x。 3. 实例安全组的入方向规则已放行22、80、443端口。 操作步骤 安装Apache Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充，将Perl/Python等解释器编译到服务器中。 1. 安装软件httpd httpd是Apache超文本传输协议(HTTP)服务器的主程序。执行以下命令： yum install httpd y 2. 启动主程序httpd 启动主程序httpd，用以接受请求。执行以下命令： service httpd start 3. 设置httpd 开机自启动 httpd开机自动启动可以保证虚拟机重启之后，服务可以同时启动，执行以下命令： chkconfig httpd on 4. 安装php 编译器 安装php编译器，为后续的编写工作做准备。执行以下命令： yum install php –y 5. 安装phpmysql 插件 安装php编译器与mysql链接的插件，用户进行数据库连接。执行以下命令： yum install phpmysql y Apache软件安装完成。

点播实例的桶权限、防盗链等功能描述。 前提条件 已开通云点播产品。 至少创建了一个点播实例。 操作步骤 进入云点播控制台，选择左侧导航栏的【实例管理】可进入实例管理页面。 选定点播实例的操作栏点击【设置权限】可进入该点播实例的权限设置界面对当前点播实例的所有存储桶进行权限设置。默认权限设置为：私有。 注意 为保障用户资源安全，自2026年3月13日凌晨起，在云点播创建的新增实例默认权限设置为【私有】。如您期望对实例权限进行调整，请通过工单与我们联系。 权限设置说明 私有：对文件的所有访问操作需要进行身份验证。在私有权限下，存储在点播模式存储桶的每个文件地址需要携带有效签名方可进行读写操作。签名方式请参考云点播API/SDK的开发文档。 公共读：对文件写操作需要进行签名验证，读取文件无需进行签名认证。 注意 1. 以上权限配置，仅对当前点播实例提供的三个存储桶有效。这三个存储桶的权限保持一致，不可以单独设置特定存储桶的权限。 2. 如果权限被设置为公共读，则访问文件地址后面不需要签名。在此状态下，如携带签名访问且签名有误，会造成访问失败。 3. 如果权限被设置为私有，则访问文件地址必须携带签名，且签名的有效期最长为7天，超过后需要重新签名，否则会造成访问失败。 4. 变更权限将导致所有文件的读写发生全局变更。请在变更桶权限后同步调整读取文件的方式。 5. 为避免存在安全隐患，云点播提供的三个存储桶默认禁止匿名遍历，且不受到点播实例权限变更影响。

此功能处于公测阶段，公测阶段可免费使用 敏感数据的自动鉴别和分类，自动在大量数据中发现并评估敏感数据的运用情况。它基于识别引擎，对结构化数据（RDS）和非结构化数据（OBS）进行扫描、鉴别、定级，解决了数据的“盲点”问题，为进一步的安全防护提供了依据。 新版本的敏感数据鉴别采用定级分类模板，这样对扫描后的数据就可以进行定级和分类，方便了同类异常事件的查看和处理。可以在新版本的敏感数据鉴别任务页面左上角点击“进入旧版本的敏感数据鉴别页面”，实现新旧版本敏感数据鉴别的切换。 使用条件 对于MRS中的HIVE数据，在敏感数据识别时，当前仅支持“匹配类型”为“规则匹配”、“规则”为“内容 > 包含”的方式。 使用流程 功能介绍 功能 描述 相关操作 识别规则 拥有内置的规则可供使用，同时可以自定义新的规则，将零散的数据按照识别规则进行分类，是创建识别模板必须的配置项。 新建自定义规则 级别配置 拥有内置的级别可供使用，同时可以自定义新的级别，将每条规则进行分级。 新增分级 识别模板 拥有内置的模板供使用，同时可以自定义新的分类分级模板，将多个零散的规则进行统一分级分类管理，是创建识别任务必须的配置项。 新增识别模板 识别任务 数据安全中心会根据创建的识别任务，在选定的OBS桶、数据库、大数据或者MRS的指定范围中，自动识别敏感数据并生成识别数据和结果。 新建敏感数据识别任务 查看识别结果 识别任务扫描完成后，可在识别任务列表查看识别结果，根据识别结果处理异常事件。 查看识别结果

创建关系数据库MySQL版实例后，可以通过登录数据库管理服务DMS对数据库实例进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据管理服务DMS登录MySQL实例。 背景信息 数据管理服务（Data Management Service，DMS）是异构数据库（支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS等数据库类型）的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前置条件 创建数据库实例可参考：创建关系数据库MySQL版实例。 创建数据库用户：已创建数据库用户。 操作步骤 注意 目前并非所有资源池都支持RDS直接登录数据管理服务DMS的功能，当前支持该功能的资源池，请参见 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，单击实例名称，进入实例基本信息 页面，然后在右上角单击登录数据库，即可进入该实例的DMS登录页面。 方法三：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。 4. 登录DMS，根据实际情况对数据库实例进行管理。

本文介绍了防护配置常见问题。 Web基础防护支持哪几种防护等级？ Web基础防护默认可以选择三个等级的防护规则组，分别为正常、宽松和严格。用户也可根据业务需求，自定义创建防护规则组，移除经常误报的防护规则。配置详情请参见设置防护规则引擎。 正常：中等宽松规则组，该组规则综合考虑误报和漏报策略检测情况，选择均衡的规则策略进行匹配，一般情况下，该种策略为默认推荐规则，建议用户选择正常策略。 宽松：宽松规则组，该规则组更关注精准攻击拦截度，对于疑似攻击行为的访问请求将会认定为安全从而放行，如需减少误拦截，可选用该规则组。 严格：严格规则组，该规则组关注攻击拦截的覆盖程度，会全面拦截攻击和疑似攻击行为，如需尽可能保证业务的安全性，可选用该规则组。 CC防护中，什么情况下使用Session识别访问者？ 在配置CC防护规则时，当IP无法精确区分用户，例如多个用户共享一个出口IP时，您可以使用Session区分单个访问者。 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。因CC攻击采用周期和频率判断业务是否遭受到攻击，而当多个用户共用一个出口IP时，若采用IP识别访问者，则会造成系统将多个用户识别为一个，从而将来源于同一个出口IP的正常业务访问请求识别为CC攻击，进而导致用户的正常访问被拦截或阻断掉。而采用Session识别访问者，则可以避免将来源于同一个IP的多个用户访问识别成CC攻击。故当多个用户共享一个出口IP时，建议用户采用Session区分单个访问者。

介绍鉴权管理具体步骤。 功能说明 用户在连接文件系统时，需要获取鉴权信息进行相应的鉴权操作。 产品控制台系统鉴权信息管理，用户可通过控制台完成相关操作。 根据资源池不同，操作有所不用，请根据具体的资源池参考相关操作。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 以下操作除天津资源池2区、天津资源池3区外适用 CIFS资源通过资源连接时的账号密码进行控制，在创建后可以通过控制台对密码进行修改，操作步骤如下： 1.登录媒体存储控制台，进入文件空间界面，找到需要修改CIFS密码的存储文件空间，点击【修改CIFS密码】。 2.根据弹窗指引，输入原密码、新密码并确认密码，点击【保存】，完成修改CIFS密码操作。 以下操作适用于天津资源池2区、天津资源池3区 NFS协议 1. 进入文件系统列表操作栏，选择对应NFS文件空间，点击【 管理 】进入页面。 2. 进入页面后，选择对应的挂载点，点击【 管理权限组 】。 3. 在弹窗页面，对权限和用户客户端的映射更改，然后保存点击【确认】。 用户映射说明如下表： 选项 映射说明 nosquash 使用root用户访问文件系统映射为root用户。 rootsquash 以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash 无论以何种用户身份访问，均映射为nfsnobody用户。 用户映射说明配置建议如下： nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点。 选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。 若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。

本章节主要介绍ALM14029 单副本的块数超过阈值的告警。 告警解释 系统每4个小时周期性检测单副本块的数量，并把当前单副本的块数和阈值相比较。单副本的块数量指标默认提供一个阈值范围。当检测到单副本的块数量超出阈值范围时产生该告警。 待补齐的块数量小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14029 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 NameService名 产生告警的NameService名称。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 单副本的数据在节点故障时容易丢失，单副本的文件过多会对HDFS文件系统的安全性造成影响。 可能原因 DataNode节点故障。 磁盘故障。 单副本写入文件。 处理步骤 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”查看是否存在告警“ALM14003 丢失的HDFS块数量超过阈值”。 是，执行步骤2。 否，执行步骤3。 2.按照“ALM14003 丢失的HDFS块数量超过阈值”的处理方法处理，然后等待下个检测周期，检查告警是否清除。 是，结束。 否，执行步骤3。 3.排查业务中是否写入过的单副本的文件。 是，执行步骤4。 否，执行步骤7。 4.以root用户登录HDFS客户端，用户密码为安装前用户自定义，请咨询系统管理员。执行如下命令： 安全模式： cd 客户端安装目录 source bigdataenv kinit hdfs 普通模式： su omm cd 客户端安装目录 source bigdataenv 5.在客户端节点执行如下命令，增大单副本文件的副本数。 hdfs dfs setrep w 文件副本数文件名或文件路径 6.等待下个检测周期，查看告警是否消除。 是，结束。 否，执行步骤7。

本章节以NodeJS和Python语言为例，指导用户如何开发后端解析函数，获取上传的文件。 应用场景 端侧文件上传云主机器是Web和App应用的一类场景，例如服务运行日志的上报，Web应用图片上传等，函数可作为后端，结合APIG提供通用的API处理这类场景。 约束与限制 1. 单次请求上传文件大小不超过6MB。 2. 函数逻辑处理时间不超过15分钟。 操作步骤 1. 创建函数。 1. 登录函数工作流控制台，在左侧导航栏选择“函数 > 函数列表”，单击“创建函数”。 2. 选择“创建空白函数”，填写函数信息，完成后单击“创建函数”。选择运行时：Node.js 14.18。 3. 在“代码”页签，复制如下代码替换默认的函数代码，并单击“部署”更新函数。 const stream require("stream"); const Busboy require("busboy"); exports.handler async (event, context) > { const logger context.getLogger() logger.info("Function start run."); if (!("contenttype" in event.headers) !event.headers["contenttype"].includes("multipart/formdata")) { return { 'statusCode': 200, 'headers': { 'ContentType': 'application/json' }, 'body': 'The request is not in multipart/formdata format.', }; } const busboy Busboy({ headers: event.headers }); let buf Buffer.alloc(0); busboy.on('file', function (fieldname, file, filename, encoding, mimetype) { logger.info('filename:' + JSON.stringify(filename)) file.on('data', function (data) { logger.info('Obtains ' + data.length + ' bytes of data.') buf Buffer.concat([buf, data]); }); file.on('end', function () { logger.info('End data reception'); }); }); busboy.on('finish', function () { //这里处理数据 logger.info(buf.toString()); return { 'statusCode': 200, 'headers': { 'ContentType': 'application/json' }, 'body': 'ok', }; }); //APIG（专享版）触发器默认对数据进行Base64编码，这里解码 const body Buffer.from(event.body, "base64"); var bodyStream new stream.PassThrough(); bodyStream.end(body); bodyStream.pipe(busboy); } 2. 配置函数依赖。 1. 制作依赖包。代码中选择busboy库解析上传的文件，需要生成Node.js14.18版本对应的依赖包busboy.zip。如果您使用Node.js语言其他版本，请制作对应版本的依赖包。 2. 创建依赖包。在左侧导航栏“函数 > 依赖包”管理页面，单击“创建依赖包”，配置完成后单击“确定”。 3. 添加依赖包。进入uploadfile1函数详情页面，在“代码”页签最底部，单击“添加依赖包”。在“私有依赖包”的包源中，选择上一步创建的busboy依赖包，单击“确定”，完成依赖包的添加。 3. 配置APIG（专享版）触发器。 1. 在uploadfile1函数详情页面，单击“设置 > 触发器”，开始创建触发器。 2. 单击“创建触发器”，触发器类型可以选择“API 网关服务(APIG 专享版)”。安全认证：此处为方便测试，配置“None”，实际业务请选择更安全的认证方式，例如IAM认证等。请求协议：选择“HTTPS”。请求方法：在下拉列表中根据需求选择。后端超时（毫秒）：默认5000毫秒。 4. 端到端测试：以curl工具为例（curl F的方式主要用的是linux环境），您也可以选择postman等其他工具，在本地创建app.log文件，内容自定义。执行如下命令测试： curl iv {APIG（专享版）触发器URL} F upload@/{本地文件路径}/app.log

本页介绍天翼云TeleDB数据库设置相关参数。 wallevel (enum) wallevel决定多少信息写入到 WAL 中。默认值是logical， 它写入足够的数据以支持WAL归档和复制，包括在备用服务器上运行只读查询。 minimal删除除了从崩溃或立即关闭中恢复所需的信息之外的所有日志记录。 最后，logical会增加支持逻辑解码所需的信息。每个层次包括所有更低层次 记录的信息。这个参数只能在服务器启动时设置。在minimal级别中，某些批量操作的 WAL 日志可以被安全地跳过，这可以使那些操作更快。这种优化可以应用的操作包括：CREATE TABLE ASCREATE INDEXCLUSTERCOPY到在同一个事务中被创建或截断的表中但最少的 WAL 不会包括足够的信息来从基础备份和 WAL 日志中重建数据，因此，要启用 WAL 归档（archivemode）和流复制，必须使用replica或更高级别。在logical层，与replica相同的信息会被记录，外加上 允许从 WAL 抽取逻辑修改集所需的信息。使用级别 logical将增加 WAL 容量，特别是如果为了REPLICA IDENTITY FULL配置了很多表并且执行了很多UPDATE和DELETE 语句时。 fsync (boolean) 如果打开这个参数，数据库服务器将尝试确保更新被物理地写入到磁盘，做法是发出fsync()系统调用或者使用多种等价的方法（见walsyncmethod）。这保证了数据库集簇在一次操作系统或者硬件崩溃后能恢复到一个一致的状态。虽然关闭fsync常常可以得到性能上的收益，但当发生断电或系统崩溃时可能造成不可恢复的数据损坏。因此，只有在能很容易地从外部数据中重建整个数据库时才建议关闭fsync。能安全关闭fsync的环境的例子包括从一个备份文件中初始加载一个新数据库集簇、使用一个数据库集簇来在数据库被删掉并重建之后处理一批数据，或者一个被经常重建并却不用于失效备援的只读数据库克隆。单独的高质量硬件不足以成为关闭fsync的理由。当把fsync从关闭改成打开时，为了可靠的恢复，需要强制在内核中的所有被修改的缓冲区进入持久化存储。这可以在多个时机来完成：在集簇被关闭时或在fsync因为运行initdb synconly而打开时、运行sync时、卸载文件系统时或者重启服务器时。在很多情况下，为不重要的事务关闭synchronouscommit可以提供很多关闭fsync的潜在性能收益，并不会有的同时，关闭fsync可以提供很多潜在的性能优势，而不会有伴随着的数据损坏风险。fsync只能在postgresql.conf文件中或在服务器命令行上设置。如果你关闭这个参数，请也考虑关闭fullpagewrites。

本章节主要介绍授权相关问题中有关使用咨询的问题。 DLI细粒度授权 DLI服务不仅在服务本身有一套完善的权限控制机制，同时还支持通过统一身份认证服务（Identity and Access Management，简称IAM）细粒度鉴权，可以通过在IAM创建策略来管理DLI的权限控制。 通过IAM，您可以在云账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DLI的使用权限，但是不希望他们拥有删除DLI等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DLI，但是不允许删除DLI的权限策略，控制他们对DLI资源的使用范围。 说明 对于新建的用户，需要先登录一次DLI，记录元数据，后续才可正常使用。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 如果云账号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DLI服务的其他功能。 DLI系统权限 如下表DLI系统权限所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

本章节主要介绍MySQL数据迁移到DWS。 操作场景 CDM支持表到表的迁移，本章节以MySQL>DWS为例，介绍如何通过CDM将表数据迁移到表中。流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建DWS连接 4.创建迁移作业 前提条件 已获取DWS数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有DWS数据库的读、写和删除权限。 已获取连接MySQL数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有MySQL数据库的读写权限。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群所在VPC、子网、安全组，选择与DWS集群所在的网络一致。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MySQL。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。 创建MySQL连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.选择“MySQL”后单击“下一步”，配置MySQL连接的参数。 单击“显示高级属性”可查看更多可选参数，具体请参见 配置常见关系数据库连接。这里保持默认，必填参数如下表“MySQL连接参数”所示。 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100 3.单击“保存”回到连接管理界面。 说明 如果保存时出错，一般是由于MySQL数据库的安全设置问题，需要设置允许CDM集群的EIP访问MySQL数据库。

本文介绍DSC针对云上数据使用异常行为实时告警与审计的方法 数据安全中心DSC对云上数据使用提供异常行为的实时告警与审计，可查看“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的异常行为数据，并且DSC将异常事件数据保留180天。DSC服务还能够检测敏感数据的访问、操作、管理等相关的异常行为，并且提供告警提示信息，用户可以确认和处理异常事件。以下行为被视为异常事件： 合法用户访问、下载、修改、权限更改、权限删除敏感数据。 合法用户更改、删除与敏感数据存储桶相关的权限。 非法用户在未经授权的情况下访问、下载敏感数据。 访问敏感数据的用户登录终端存在异常情况。 前提条件 当前异常事件处理页面含有异常事件。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > 数据使用审计”，进入“数据使用审计”页面，参数说明请参考下表。 在列表的右上角，可选择“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”的时间周期，事件类型以及事件状态来展示您想要的异常行为事件信息。 参数名称 参数说明 用户ID 资源所有者对应的ID。 事件类型 DSC将异常事件分成了三种类型： 数据访问异常： 敏感文件的越权操作。 敏感文件的下载操作。 数据操作异常： 敏感文件的更新操作。 敏感文件的文件内容追加操作。 敏感文件的删除操作。 敏感文件的复制操作。 数据管理异常： 添加桶时，检测到桶为公共读或公共读写桶。 添加桶时，检测到私有桶对匿名用户或注册用户组开通了访问/ACL访问权限。 含有敏感文件的桶出现桶策略更改、删除操作。 含有敏感文件的桶出现桶ACL更改、删除操作。 含有敏感文件的桶出现跨区域复制配置的更改、删除操作。 敏感文件的对象出现ACL更改、删除操作。 事件名称 导致异常事件发生的具体事件。 告警时间 异常事件发生的具体时间。 状态 状态说明如下： “待处理”：异常事件未进行处理。 “违例确认”：已处理异常事件为违例确认。 “违例排除”：已处理异常事件为违例排除。 4. 在异常事件的操作列，单击“查看详情”，查看该事件的详细信息。 您可以根据异常事件的详细信息判断该事件是否为违例事件，从而确定如何来处理该事件，具体的处理方法请参见处理异常行为检测事件。

调用方式 在 Qoder 中可以直接用自然语言说明目标桌面和任务： plaintext 在 desktopCodexxx 桌面，创建一下 C:/aiusertest 文件夹。 如果 MCP Client 展示结构化工具参数，则需要填写： plaintext { "desktopCode": "xxx", "path": "C:/aiusertest" } 接入流程 1. 准备 AccessKey ID、AccessKey Secret 和目标云电脑 desktopCode。 2. 确认本地 Node.js 和 npx 可用。 3. 在 Qoder 或其他 MCP Client 中添加 MCP Server 配置。 4. 保存配置并刷新 MCP Client。 5. 确认工具列表加载成功。 6. 调用 Computer Use 或 FileSystem 工具，并在请求中指定 desktopCode。 验证建议 建议先执行低风险工具验证配置是否可用： plaintext 在 desktopCodexxx 桌面，获取当前鼠标位置。 然后再执行文件或鼠标键盘操作： plaintext 在 desktopCodexxx 桌面，创建一下 C:/aiusertest 文件夹。 安全建议 不要将包含 AccessKey Secret 的 MCP 配置提交到公开仓库。 多人共享开发环境时，应使用个人或项目级 AccessKey。 AccessKey 应只关联必要的云电脑资源。 AccessKey 泄露后应立即在控制台禁用。 文件系统工具具备读写目标云电脑文件的能力，建议只在可信任务和可信桌面中启用。

AI 网关支持为MCP服务配置消费者认证。通过API key的认证方式验证身份,精准控制 API 访问权限,实现租户隔离,有效防止未授权访问和资源滥用。本文为您介绍如何配置消费者认证。 配置MCP服务级别消费者认证 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"MCP管理MCP服务"，进入MCP服务详情页，切换到"消费者认证"页签。 4. 单击配置信息右侧的"编辑"，进行如下参数配置： 注意 开启消费者认证后，若没有配置授权关系，将无法访问当前API。 启用状态：开启或关闭消费者授权开关，默认关闭。 认证方式：目前支持API Key和JWT两种方式。 API Key：客户端访问时，需将凭证以指定的方式添加至请求中，网关收到请求后会验证API Key的合法性及权限。 JSON Web Token (JWT)： 用于在客户端和服务端之间以JSON对象的形式安全地传输信息，该信息可以被验证和信任。 5. 在消费者区域单击授权，选择消费者，单击"添加"。

AI 网关支持为Model API配置消费者认证。通过API key的认证方式验证身份,精准控制 API 访问权限,实现租户隔离,有效防止未授权访问和资源滥用。本文为您介绍如何配置消费者认证。 配置Model API消费者认证 1. 登录 云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"Model API"，单击Model API名称，进入Model API详情页，然后单击"消费者认证"页签。 4. 单击配置信息右侧的"编辑"，进行如下参数配置： 注意 开启消费者认证后，若没有配置授权关系，将无法访问当前API。 启用状态：开启或关闭消费者授权开关，默认关闭。 认证方式：目前支持API Key和JWT两种方式。 API Key：客户端访问时，需将凭证以指定的方式添加至请求中，网关收到请求后会验证API Key的合法性及权限。 JSON Web Token (JWT)： 用于在客户端和服务端之间以JSON对象的形式安全地传输信息，该信息可以被验证和信任。 5. 在消费者区域单击授权，选择消费者，单击"添加"。

Cubecni多种模式对比 对比项 共享ENI策略路由 共享ENIIPVLAN 独占ENI Pod部署密度 Pod部署密度较高，单个节点可支持数百个Pod Pod部署密度较高，单个节点可支持数百个Pod Pod部署密度较低，支持个位数的Pod，取决于主机的ENI配额 带宽优先级 支持配置网卡队列发送数据包时的优先级 支持配置网卡队列发送数据包时的优先级 不支持 NetworkPolicy支持 支持Kubernetes原生NetworkPolicy，提供了基于策略的访问控制能力 支持Kubernetes原生NetworkPolicy，提供了基于策略的访问控制能力。 不支持 适用场景 常用Kubernetes使用场景 常用Kubernetes使用场景，网络性能优于策略路由模式 此模式下网络性能更接近主机，适用对网络性能有较高要求的场景，例如需要高网络吞吐量或低延迟的应用 ENI分配方式 多个Pod共享一个ENI 多个Pod共享一个ENI 每个Pod独占一个ENI OS要求 无 要求使用CtyunOS3 无 Pod粒度网络配置 不支持 不支持 支持为Pod配置固定IP、安全组和子网 带宽限制 支持Egress/Ingress带宽限制 支持Egress，不支持Ingress带宽限制 支持Egress/Ingress带宽限制

功能名称 功能描述 支持专享通道 天翼云云专线服务为用户提供独享/共享物理端口，用户可配置静态路由协议，可支持TRACK/BFD协议。 支持多种线路接入 客户侧支持IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，可按需灵活选择；每种接入方式均与互联网流量隔离。 支持安全承载 用户在通过云专线接入时，独享网络链路，无惧数据泄露风险；对上层应用透明承载，可承载数据、语音、视频等综合应用。 支持超大带宽传输 支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽弹性扩容。 支持多条物理专线进行ECMP链路聚合，可达到Tbps级别带宽。 支持稳定传输 提供中国电信高质量链路，多种冗余方案，运营商级网络保障；专用网络传数据，传输速率更有保障，传输更稳定。 支持便捷管理 天翼云提供统一的网络管理控制台页面，用户可登陆天翼云官网云专线产品控制台，对已经开通的云专线业务进行便捷管理。天翼云控制台支持变更客户侧和云侧子网信息，业务发生变化后可实时变更。

本文带您了解NAT网关的功能特性。 使用SNAT主动访问Internet 使用NAT网关的SNAT功能，构建VPC主动访问公网出口，使VPC内没有弹性IP的资源可以直接访问公网，实现云内主机共享使用弹性IP访问Internet。 使用DNAT面向Internet提供服务 使用NAT网关的DNAT端口级转换功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络结构。 可视化运维 结合弹性IP和NAT网关监控，可对出入网流量进行可视化主动运维。及时发现网络瓶颈，保障业务永续服务，让运维更简单。 使用私网NAT网关 SNAT实现指定地址访问IDC 使用私网NAT网关的SNAT功能，可实现云上VPC内计算实例使用统一私网中转IP地址与IDC互访，IDC网络仅需向中转IP地址开放访问权限，无需感知云上VPC内网络地址明细信息。 使用私网NAT网关 DNAT实现使用指定私网地址开放VPC私网服务 使用私网NAT网关的DNAT功能，可实现云上VPC内计算实例使用同一私网中转IP地址开放服务，避免暴露VPC真实地址，实现网络的安全隔离。

本节介绍iVPN app接入云电脑的操作说明。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.查看并复制对应实例的接入地址； 4.打开AI云电脑客户端，输入账号和密码，点击“企业专线”，进入企业专线页面； 5.在企业专线页面中输入iVPN app对应实例的接入地址，点击“专线/VPN登录”，若本机首次使用iVPN app，会触发自动下载组件，下载完成后会自动接入。若接 入成功，会提示“专线/VPN地址可用，已为您启用专线/VPN”,随后自动退出企业专线页面。正常接入后AI云电脑客户端会自动记住接入地址，下次登录只需下拉框选 择即可，无需再次输入； 6.iVPN app接入后，在AI云电脑客户端主页面点击“安全登录”或者使用app扫码登录即可通过iVPN app加密接入AI云电脑。

对比项 共享ENI策略路由 共享ENIIPVLAN 独占ENI Pod部署密度 Pod部署密度较高，单个节点可支持数百个Pod Pod部署密度较高，单个节点可支持数百个Pod Pod部署密度较低，支持个位数的Pod，取决于主机的ENI配额 带宽优先级 支持配置网卡队列发送数据包时的优先级 支持配置网卡队列发送数据包时的优先级 不支持 NetworkPolicy支持 支持Kubernetes原生NetworkPolicy，提供了基于策略的访问控制能力 支持Kubernetes原生NetworkPolicy，提供了基于策略的访问控制能力。 不支持 适用场景 常用Kubernetes使用场景 常用Kubernetes使用场景，网络性能优于策略路由模式 此模式下网络性能更接近主机，适用对网络性能有较高要求的场景，例如需要高网络吞吐量或低延迟的应用 ENI分配方式 多个Pod共享一个ENI 多个Pod共享一个ENI 每个Pod独占一个ENI OS要求 无 要求使用CtyunOS3 无 Pod粒度网络配置 不支持 不支持 支持为Pod配置固定IP、安全组和子网 带宽限制 支持Egress/Ingress带宽限制 支持Egress，不支持Ingress带宽限制 支持Egress/Ingress带宽限制

（可选）创建密钥对 云平台使用公共密钥密码术来保护您的物理机的登录信息。如果选择密钥对登录方式，您需要在创建物理机时指定密钥对的名称，然后在SSH登录时提供私钥。如果选择密码登录方式，可以跳过该任务。 如果您尚未创建密钥对，可以通过管理控制台自行创建。 说明 如果您计划在多个区域创建实例，则需要在每个区域中创建密钥对。有关区域的更多信息，请参见可用分区。 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。 3. 在左侧导航树中，选择“密钥对”。 4. 在“密钥对”页面，单击“创建密钥对”。 5. 输入密钥名称，单击“确定”。 6. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 注意 这是您保存私钥文件的唯一机会，请妥善保管。当您创建物理机时，您将需要提供密钥对的名称；每次SSH登录到物理机时，您将需要提供相应的私钥。

AOne会议的本地录制功能支持将会议内容(包括音视频、屏幕共享等内容)录制后存储至本地,方便会后回放与分享。 开启本地录制 1. 入会后，主持人或联席主持人在底部工具栏点击“录制”按钮。 2. 在弹出的菜单中选择“本地录制”。 3. 本地录制开启后，会弹窗通知所有参会者。同时所有参会者的人员列表中的录制人员一行会显示本地录制小图标。 结束本地录制 1. 录制开始后，底部工具栏的“录制”按钮会切换为“结束录制”。 2. 会议进行中，可通过底部工具栏点击“结束录制”按钮停止录制，或将鼠标悬浮在窗口左上角的本地录制小图标上，再点击下拉窗口的“结束录制”按钮停止录制。 本地录制文件查看和管理 1. 会议录制者可在会议客户端首页的“设置”>“录制”>“本地录制”找到本地录制存储路径，查看和管理本地录制视频。 注意事项 支持主持人/联席主持人停止某个用户的本地录制。 本地录制的权限由主持人（含联席主持人）通过"安全模块"进行控制。 同一个人，无法同时开启本地录制、云录制。

本节介绍了使用FTP上传文件时写入失败,文件传输失败怎么办的问题描述、约束与限制、可能原因、处理方法。 问题描述 使用FTP上传文件时，写入失败，文件传输失败。 约束与限制 该文档适用于Windows系统上的FTP服务。 可能原因 FTP服务端在NAT环境下，客户端需使用被动模式连接服务端。在这种情况下，服务端的IP地址无法从路由器外部访问，所以应该在服务端的对外IP中填写此服务器的公网IP（弹性公网IP），同时设置端口范围来限制需要通过路由器转发的端口数量。 处理方法 弹性公网IP与私有IP使用NAT方式绑定，所以需要在服务端做响应的配置。 1. 配置服务端对外的公网IP。 选择“Edit > Settings”。 图 配置服务端对外的公网IP 2. 选择“Passive mode settings”，设置数据传输端口范围（如5000050100），并填写弹性公网IP。 图 设置数据传输端口范围 3. 单击“OK”。 4. 安全组中开启入方向tcp协议的5000050100和21端口。 5. 在客户端连接测试。

新增单个用户 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 单击“新增”，在弹出的“新增用户”对话框中，填写用户信息。 参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”、“”和“”组成，首位只能数字或者字母，且不超过25个字符。 姓名 （选填）填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选以下角色： 管理角色 审计角色 访问角色 工单管理角色（提供工单管理模块的权限） 说明 一个用户支持配置多个角色，但管理角色 和工单管理角色只支持二选一。 用户组 （选填）选择该账户所属的用户组，用户组操作请参见[新增用户组](

本节介绍iVPN app接入云电脑的操作说明。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.查看并复制对应实例的接入地址； 4.打开AI云电脑客户端，输入账号和密码，点击“企业专线”，进入企业专线页面； 5.在企业专线页面中输入iVPN app对应实例的接入地址，点击“专线/VPN登录”，若本机首次使用iVPN app，会触发自动下载组件，下载完成后会自动接入。若接 入成功，会提示“专线/VPN地址可用，已为您启用专线/VPN”,随后自动退出企业专线页面。正常接入后AI云电脑客户端会自动记住接入地址，下次登录只需下拉框选 择即可，无需再次输入； 6.iVPN app接入后，在AI云电脑客户端主页面点击“安全登录”或者使用app扫码登录即可通过iVPN app加密接入AI云电脑。

本文主要介绍SQL Server实例的功能概览。 SQL Server实例主要包括如下功能： 连接数据库 连接SQL Server实例 申请或释放外网地址 查看或修改内外网地址和端口 管理实例 创建 SQL Server实例 重启实例 续订 手动续费 自动续费 实例规格变更 磁盘扩容 备份空间扩容 实例类型升级 绑定/解绑弹性公网IP 修改数据库端口 修改安全组 主备切换 退订 账号与权限 创建账号 重置密码 修改权限 删除账号 系统账号说明 管理参数 使用控制台设置参数 使用SQL命令设置参数 查看参数修改历史记录 参数模板管理 创建参数模板 比较参数模板 复制参数模板 重置参数模板 应用参数模板 修改参数模板描述 删除参数模板 修改参数模板中的参数 备份与恢复 备份 设置自动备份策略(合并备份清理) 数据备份 创建手动备份 备份清理 删除手动备份 恢复 恢复SQL Server数据 按备份集恢复数据 将数据恢复至指定时间点 服务可用性 手动切换主备切换 查看主备切换日志 查看数据复制方式 监控告警 查看资源和引擎监控 管理报警 管理数据库 创建数据库 删除数据库 SQL命令管理数据库 日志管理 查看日志 任务列表 任务列表

查看及下载报表 报表保留周期如下表所示，建议您定期下载报表，以满足等保测评以及审计的需要。 报表类型 保留周期 日报 报表保存180天，约半年 周报 报表保存52周，约一年 月报 报表保存24个月，约两年 请参考如下步骤查看及下载报表： 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“报表管理”，进入报表管理页面。 5. 在目标报表所在行的“操作”列，单击“预览”即可查看报表内容，单击“下载”即可将报表下载到本地。 报表中主要包含如下信息： 防护基本信息：包括使用的WAF版本、配额信息、用户账号、报表生成时间、防护范围、报表统计范围等。 数据统计信息：包括防护域名、请求次数和已发现的攻击次数。 攻击防护统计：按防护类型统计各防护事件的次数以及防护事件的详细信息。 防护Top统计：包括攻击类型、受攻击域名TOP10、攻击源IP TOP10、受攻击URL TOP10、攻击来源区域 TOP10等。

本节介绍手动检查项目执行检查的操作。 操作场景 基线检查的一些检查项目为手动检查项，需要您在线下执行检查后，再在控制台上反馈检查结果，以便计算检查项合格率。 约束与限制 “操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在态势感知（专业版）侧执行基线检查，态势感知（专业版）仅支持查看HSS的基线检查结果。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，，默认进入检查结果页面。 5. 单击待反馈结果检查项目所在行“操作”列的“反馈结果”。 6. 在弹出提示框中，选择反馈结果，并单击“确定”。反馈结果完成后，在“风险预防 > 基线检查”检查结果页面，查看检查项列表各个检查项的检查状态等信息。 说明 反馈结果有效期为7天，7天后请重新手动检查。

本文通过图文说明新增证书的操作步骤。 功能介绍 DDoS高防（边缘云版）基于边缘云底座，HTTPS为边缘云网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1、登录DDoS高防（边缘云版）控制台。 2、在【证书管理】页面，找到右上角的添加证书按键。 3、单击【添加证书】。 4、输入证书备注名、证书公钥和证书私钥。 说明 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 5、填写完成后，单击【确定】。 注意事项 1、请确保上传的证书还在有效期范围内。 2、目前只支持PEM格式，如果是其他格式，请进行证书格式转换。

本小节介绍Web应用防火墙实例管理。 查看当前资源信息 Web应用防火墙不涉及单独的登录方式，进入控制台需要登录天翼云官网后选择“控制中心”，进入控制中心后选择“安全 > Web 应用防火墙[企业版]”。 购买成功的客户请重新打开控制中心，选择“Web 应用防火墙[企业版]”。 防护实例展示了实例 ID、防护域名包数量、防护带宽、购买时间、到期时间以及操作。 实例 ID ：购买成功后系统自动分配实例 ID。 防护域名包数 ：每个防护域名包支持1个一级域名下包含二级域名在内10个防护配置。 防护带宽 ：防护的带宽。 购买时间 ：显示生成购买实例时间。 到期时间 ：显示实例到期时间。 相关操作 续订：点击“续订”转跳至续订页面，选择续订时间，生成订单续订成功后，到期时间延长。 退订：点击“退订”转跳至退订页面，点击确认退订。退订时请确认：务必将DNS指回服务器源站IP，否则该域名的流量将无法正常转发。 升级：点击“升级”跳转至升级页面，选择要升级的域名包或带宽。

本文介绍如何使用AOne创建同步任务,将橙讯的组织机构数据同步至AOne平台。 功能介绍 橙讯是中国电子科技集团旗下推出的安全电子邮件及协同办公平台。通过在您的服务平台（以下简称“平台”）配置橙讯同步任务，即可实现将橙讯中的组织架构和用户信息同步至平台，为平台上的应用提供统一的身份源，帮助企业完成从橙讯到平台的身份打通与认证管理。 前置条件 请提前确认您拥有橙讯企业管理后台的超级管理员或组织架构管理员权限。如未开通，请先联系橙讯售后或您的客户经理开通相关接口调用权限。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可联系我们)进行开启。 操作步骤 管理员创建橙讯应用 1.创建应用 访问橙讯管理后台，在“管理后台”界面中点击“创建应用”。 点击“工作台”，选择“添加应用”。 填写应用名称、描述等信息后完成创建。 2.应用相关权限配置 应用创建完成后，在应用详情页的“授权信息”界面，查看并记录下 App Key、Corp Secret、Corp Id 和 Signature Key，这四个信息将用于后续创建同步任务。 在通讯录同步模块，开启“同步状态”，勾选同步字段及选择同步范围（与应用可见范围保持一致全组织/部分成员）。

本文帮助您快速熟悉如何配置HTTP重定向。 操作场景 HTTPS在HTTP的基础上通过传输加密和身份认证保证了传输过程中的安全性。如果企业为了保障业务建立安全连接，想要从HTTP升级使用HTTPS，可以使用HTTP重定向功能帮助用户业务从HTTP平滑无感知的迁移到HTTPS。当客户端通过HTTP请求访问云上的web服务时，配置了HTTP到HTTPS的重定向后，弹性负载均衡会返回HTTPS的响应，从而强制客户端以HTTPS的方式访问web服务。 前提条件 已创建HTTPS监听器，并运行正常。 注意事项 只能重定向至HTTPS监听器，并且每个监听器只能重定向一次。开启重定向功能后，QPS限速、请求超时时间、空闲超时时间、附加http头字段、WAF能力失效，请在重定向后的监听器开启。 重定向的监听器不可创建转发策略。 添加HTTP监听器时配置重定向，具体操作如下： 1. 添加HTTP协议监听器，在高级配置中可见HTTP重定向参数，通过开关控制。 2. 开启“HTTP重定向”开关，选择重定向目标HTTPS监听器，点击“立即创建”，监听器直接进入创建步骤。 3. 当HTTP监听器状态跳转至“运行中”，则创建成功。 4. 重定向的监听器不可创建转发策略，到此监听器的访问都将被重定向至已配置的HTTPS监听器。 在监听器的转发策略配置中开启重定向，具体操作如下： 1. 在HTTP监听器详情页面，点击“转发策略”，匹配特定域名或URL做重定向。 2. 在弹出的转发策略页面开启“HTTP重定向”后，直接点击“立即创建”，略过后端主机和健康检查配置步骤。