输入内容 说明 数据库类型 选择导入的数据库类型，支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS、ClickHouse、Oracle、MariaDB。 目标数据库 选择数据导入的数据库/模式，数据来源于在DMS控制台中添加的数据库实例，其中MySQL、SQLServer、DRDS、MongoDB、DDS、ClickHouse、Oracle、MariaDB可选择到库级别，PostgreSQL可选择到模式级别。当前仅支持单选一个目标库/模式。 注意 如果未登录目标库/模式对应的实例，则选中目标库/模式后会弹出该实例的登录窗口。 导入文件类型 选择导入数据的上传文件类型： SQL：目前支持DDL和DML语句， 请每条SQL语句以英文分号 （;）收尾，并做好换行。 选择该文件类型则无法指定“ 目标表 ”和“ 写入方式 ”。 CSV：CSV文件中的分隔符为英文逗号，且文件第一行为表的列名称。 TXT：TXT文件格式与CSV类似，文件中的分隔符为英文逗号，且文件第一行为表的列名称。 JSON：仅支持MongoDB和DDS数据源。 EXCEL：支持.xls和.xlsx格式，当前仅支持第一个sheet的内容导入。 以上文件类型支持打包上传.zip格式。 导入模式 当导入文件类型选择“SQL”时，可选择“导入模式”。 极速模式：不进行文件的扫描，只对数据源进行权限校验。 安全模式：整个SQL文件的扫描，安全性高但性能较差。 选择“安全模式”的工单，会在预检查阶段进行SQL风险和SQL规范检查（SQL风险和规范支持的数据库类型，详见 目标表 针对非MongoDB和DDS数据源，在选择目标数据库下，筛选导入的目标表。如果先上传zip文件，会出现“根据压缩包内文件名判断”字样，此时用户可手动选择仅导入到单表。 仅支持CSV/TXT/EXCEL格式导入。 文件编码 选择导入文件的编码类型： UTF8：默认选中。适用于大部分英文文本。 GBK：适用于文件中带有中文的情况。 自动识别：如果不能确定文件编码类型，可选该选项。 导入行为 针对MySQL和PostgreSQL数据源，在选择文件类型为CSV/TXT/EXCEL后，支持选择“新建表”，其余数据源类型默认为“现有表”。 选择“新建表”，系统会根据导入文件中的相关字段猜测您所需的建表结构，可点击新建表的表名称打开表结构编辑页面。 注意 当前“新建表”的表结构编辑，暂不支持数据库的自定义类型作为表字段类型。新建表字段类型与导入文件是否成功密切相关，如选择“新建表”请认真检查表结构是否符合需求。 写入方式 针对非MongoDB和DDS数据源，选择导入文件的写入方式： INSERT INTO：插入数据，数据库会检查主键（PrimaryKey），如果出现重复会报错。 INSERT IGNORE INTO：插入数据，数据库会检查主键（PrimaryKey），如果表中已经存在相同的记录，则忽略当前新数据。 REPLACE INTO：插入替换数据，数据库会检查主键（PrimaryKey），如果数据库已经存在数据，则用新数据替换，如果没有数据效果则和INSERT INTO一样。 注意 为保证导入文件时数据库的性能，请尽可能选择INSERT操作。 目前MySQL数据库类型支持INSERT INTO，INSERT IGNORE INTO，REPLACE INTO这3种导入方式，PostgreSQL数据库类型支持INSERT INTO的导入方式，SQLServer数据库类型支持INSERT INTO的导入方式。 数据位置 当选择文件类型为CSV/TXT/EXCEL时，可选择文件首行属性是列名或者数据。 目标集合 针对MongoDB和DDS数据源，在选择目标数据库下，筛选导入的目标集合。如果先上传zip文件，会出现“根据压缩包内文件名判断”字样，此时用户可手动选择仅导入到单集合。仅支持JSON和CSV导入。 附件上传 单击 上传文件 ，上传选中文件类型对应的文件。 注意 目前支持SQL，CSV，TXT，JSON，EXCEL五种文件格式，上传前请检查文件名后缀是否符合要求。 目前仅支持上传单个文件，EXCEL文件仅支持第一个sheet的内容导入。 上传文件大小最大限制为5GB，请控制好文件数据大小。 工单说明 描述工单备注内容。该内容将展示在工单详情弹窗页。

本文为您介绍macOS客户端如何通过SSL VPN双因子认证后接入VPC。 前提条件 已经在天翼云华东1地域创建了vpc1，且VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.1.3 您已经了解VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许客户端地址池对VPC内业务的访问。 场景示例 如某公司在华东1地域创建了VPC，网段为192.168.1.0/24。因业务发展，出差员工需要使用Windows客户端访问云上VPC资源。 可以在云上创建VPN网关，配置SSL服务端并开启双因子认证。macOS客户端通过SSL VPN接入云上VPC，不仅要进行证书认证，还需要认证密码，认证通过后才可以访问云上资源，提高了VPN连接的安全性和可管理性。 配置步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取样 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngateway1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 SSL 企业项目 选择当前VPN网关归属项目。 default 本端类型 选择资源类型（VPC、云间高速）。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc1 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) SSL带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M SSL并发连接数 选择对应的SSL VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 按月购买：自动续订周期为一个月。 按年购买：自动续订周期为一年。 关闭 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。 记录VPN网关的IP地址，步骤五配置客户端的时候要用。

AI 网关提供了插件市场,内置认证鉴权、流量管控、安全防护等多种功能扩展插件。本文主要介绍如何安装、启用、卸载插件。 安装插件 安装插件是指将AI网关插件市场中的插件安装到具体的网关实例的过程。有两种方式可以安装插件： 操作步骤1：在插件市场安装 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关插件"。 3. 在插件页面的快捷导航栏处，选择插件类型或者搜索插件名称，单击插件卡片上的"安装"，在弹出的安装插件框中选择需要使用此插件的网关实例，单击"确定"。 操作步骤2：在网关实例中安装 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关实例"，进入目标实例详情。 3. 在左侧导航栏，选择"插件"。 4. 单击"安装插件"按钮，在安装插件页面的快捷导航处，选择要安装的插件类型或者搜索插件名称，单击插件卡片，在弹出的安装插件框中，单击"安装"。 卸载插件 当您想要将插件彻底从网关上删除时，您可以选择卸载插件。有两种方式可以卸载插件： 注意 卸载插件时，如果存在启用的插件规则，请先停用插件再卸载；如果插件未启用，卸载插件会将配置的插件规则一并删除。

本文介绍组织策略管理 组织策略 “组织策略”是一种基于组织的访问控制策略。组织管理账号可以使用组织策略指定组织中成员账号的权限边界，限制账号内用户的操作。组织策略可以关联到组织、组织单元和成员账号。组织策略关联到组织或组织单元时，该组织或组织单元下所有账号受到该策略影响。 当组织未设置任何策略时，因系统默认在根组织中配置有“CtyunFullAccess全局权限”，该组织以及子组织下面的所有账号及IAM用户权限判定遵循CTIAM的权限返回。关于CTIAM的介绍可参考“统一身份认证CTIAM” 当组织添加策略后，组织策略将作用于组织以及子组织下面关联的所有账号，其判定优先级高于CTIAM。 按组织策略的限制，账号只能做限定允许的操作或非限定禁止的操作。 当前组织策略仅对成员账号下的IAM子用户生效。 策略 策略是IAM提供的细粒度权限集合。使用基于策略的授权是一种灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对弹性云主机服务，管理员能够控制IAM用户仅能对云主机的资源进行指定的管理操作。 策略包含系统策略和自定义策略两种，“组织策略”为作用到企业中心“组织”的访问控制策略。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

比较项 Redis 2.8 & Redis 4.0 & Redis 5.0 Redis 6.0 & Redis 7.0 兼容开源版本 Redis 2.8 兼容开源2.8.3版本 Redis 4.0 兼容开源4.0.6版本 Redis 5.0 兼容开源5.0.5版本。 Redis 6.0 兼容开源6.2.12版本 Redis 7.0 兼容开源7.0.14版本。 实例部署模式 采用虚机部署。 采用虚机部署。 CPU架构 支持X86、ARM架构。 支持X86、ARM架构。 实例类型 基础版：主备、单机、集群主备、集群单机。 基础版： 主备、单机、Cluser主备、Cluster单机、读写分离。 增强版：主备、单机、Cluser主备、Cluster单机、读写分离。 实例规格 主备、单机： 1G ~ 64GB。 集群主备： 16G ~ 1T。 集群单机： 16G~512G。 主备、单机： 1G ~ 64G。 Cluster集群： 单个分片1G ~ 64G, 支持3 ~ 256分片。 QPS 主备、单机： 单个节点约10W QPS。 集群： 按规格可支持10W至100W以上 QPS。 基础版主备、单机： 单个节点约10W QPS。 增强版主备、单机： 单个节点约30W QPS。 Cluster集群： 按规格可支持10W至100W以上 QPS。 登录方式 仅支持密码登录。 支持密码和用户密码登录。 命令访问控制 不支持。 支持基于用户的权限管理。 安全访问 不支持SSL。 支持SSL。 备份恢复 支持手动备份、离线备份和闪回。 支持手动备份、离线备份和闪回。 扩容/缩容 支持在线扩容。 支持在线扩容。

本节介绍Web基础防护类常见问题。 如何将Web基础防护的仅记录模式切换为拦截模式？ 执行以下操作完成Web基础防护的防护模式切换： 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 >Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护策略”页面。 步骤6 在“Web基础防护”配置框中，选择“拦截”模式。 Web基础防护支持设置哪几种防护等级？ Web基础防护设置了三种防护等级：“宽松”、“中等”、“严格”，默认为“中等”。防护等级相关说明如表所示。 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求，例如jolokia网络攻击、探测CGI漏洞、探测Druid SQL注入攻击。 建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式，使WAF能有效防护更多攻击。

智能边缘云的 API 使用指南 一、 前置步骤 如何获取 AK/SK Access Key：简写为AK，对http请求进行签名，签名机制是为了访问更加安全, access key为用户独有，并作为身份标识； Secret Key：简写为SK，用户私有的，请勿给他人。 调用智能边缘云 OpenAPI 需要 AK/SK 认证鉴权，下面为 AK/SK 获取方法： AK/SK 从 天翼云 IAM 申请，获取地址： 登录页面中选择【天翼云账号】登录，如下图所示： 登录后，在左侧【个人中心】下，选择【AccessKey管理】，点击【新增】，工作区选择【系统内置工作区】。 创建 AK 后，点击查看，验证后就可以获取到 SK。 充值与集群自助权限申请 调用 OpenAPI 开通资源前，需要确保账户下有集群自助权限，确认地址： ； 账号充值：按需开通资源时，要求可用现金余额最少100元； 如果在租户控制台创建资源时没有集群可选项(下图 ①)，请找售后或运营申请集群自助权限； 如果在租户控制台看到集群下没有配额(下图 ②)，请找售后或运营申请资源配额。

本章节主要介绍ALM45276 RangerAdmin状态异常的告警。 告警解释 告警模块按60秒周期检测RangerAdmin状态，当检测到RangerAdmin状态异常时，系统产生此告警。 当系统检测到RangerAdmin状态恢复正常，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45276 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 当存在单个RangerAdmin状态异常时，不影响Ranger原生UI访问；当两个RangerAdmin状态异常时，Ranger原生UI无法访问，无法执行创建、修改、删除策略等操作。 可能原因 RangerAdmin端口未启动。 处理步骤 端口进程检查 在FusionInsight Manager页面告警列表中，单击此告警所在行的，查看该告警的主机名。 1. 以omm用户登录RangerAdmin状态异常实例所在节点，执行 ps efgrep "procrangeradmin" grep v grep awk F ' ' '{print $2}' 命令获取RangerAdmin进程 pid ，再执行netstat anpgrep pid grep LISTEN查看RangerAdmin进程是否监听端口，安全模式集群监听21401端口，普通模式集群监听21400端口。 是，执行步骤4。 否，重启RangerAdmin故障实例或Ranger服务，执行步骤3。 2. 在告警列表中查看“RangerAdmin状态异常”告警是否清除。 是，处理完毕。 否，执行步骤4。

本小节介绍云堡垒机续订的操作方法。 控制台续费 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后15天内，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，若未及时续费，则进入“保留期”，不能登录云堡垒机系统。“保留期”为15天，到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 堡垒机续费不会自动续费云主机，请您手动续订对应云主机。 前提条件 已获取控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待续费的实例，单击“更多 > 续费”，进入“续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“云堡垒机实例”列表查看授权后最新到期时间。 管理中心续订 登录天翼云官网，进入管理中心，选择续订管理，点击“手动续订”或者“开通自动续订”按钮，即可完成实例的续订。 退订

本章节主要向您介绍VPN连接的产品功能。 VPN连接（Virtual Private Network Connection，以下简称VPN），用于在远端用户和虚拟私有云（Virtual Private Cloud，以下简称VPC）之间建立一条安全加密的公网通信隧道。当您作为远端用户需要访问VPC的业务资源时，您可以通过VPN连通VPC。 默认情况下，在虚拟私有云（VPC）中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。 经典版VPN 经典版VPN采用硬件防火墙作为网关，所有租户共享IPSec隧道资源；一个租户业务触发故障将会影响其他租户业务。 企业版VPN 企业版VPN采用虚拟网关软件作为网关，VPN网关由租户独占，不与其他租户共享，带宽、连接数可保障；一个租户网关故障时，不会影响其他租户网关。 VPN关联ER 传统方式下，本地数据中心同时对接不同VPC时，VPN侧需要配置多条VPN连接，分别对应到不同VPC。 使用VPN关联ER（Enterprise Router，企业路由器）功能后，VPN只需要对接到ER，VPC之间的网络路由通信均由ER实现，从而简化网络配置。

2、准备创建飞书同步身份源配置参数 在创建飞书同步身份源前，需在飞书开发者后台获取以下参数： 序号 参数 参数获取说明 1 AppID和AppSecret 进入上面创建的应用，点击凭证与基础信息菜单，获取AppID和AppSecret参数 2 同步飞书根部门ID 若您需要同步飞书中企业所有的成员和部门，则同步飞书根部门ID 0 若您只需要同步部分的成员和部门，可联系专属运营人员或者提交工单获取专属运营支持。 创建飞书同步任务 步骤1、进入同步任务配置页面 登录边缘安全加速，支持在AOne零信任工作台进行操作 在左侧导航栏身份第三方组织，选择同步身份源菜单 点击添加同步任务，选择飞书类型 步骤2、设置飞书同步任务连接参数 输入飞书连接参数相关配置，可点击连接测试初步检测配置数据是否正确。 序号 参数 字段配置说明 1 AppID和App Secret 见上方【前置准备】【准备创建飞书同步身份源配置参数】中的AppID和AppSecret 说明：飞书同步至AOne平台的用户映射规则和机构映射规则是固定的，暂不支持自定义。对应飞书的接口为： 获取部门直属用户列表： 获取子部门列表：

本页面主要介绍弹性云主机对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云++云审计服务++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“计算”，资源类型选择“云主机”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

此小节介绍运维资源类问题。 云堡垒机支持图形化运维Linux主机吗？ 支持。 云堡垒机支持纳管VNC协议类型的资源，并通过Web浏览器登录资源，实现Linux主机的图形化运维。 您需要在添加主机资源时，将“协议类型”选择为“VNC”。 云堡垒机支持手机APP运维吗？ 云堡垒机暂时不支持手机APP运维，但可以通过手机浏览器访问云堡垒机系统。 1 打开手机浏览器，输入https:// EIP地址 ，进入云堡垒机系统登录页面。 2 输入用户登录名和密码，完成用户登录验证。 登录成功后，可管理部门、用户、资源、策略、系统配置等系统数据，以及审批工单和下载日志。 不支持“主机运维”和“应用运维”登录。 如何配置SSO单点登录工具？ 云堡垒机数据库运维使用单点登录（Single Sign On，SSO）工具，登录主机运维方式的数据库资源。 云堡垒机默认使用SsoDBSettings单点登录工具，用户登录数据库资源前，需在本地安装好SSO单点登录工具和数据库客户端工具，并配置正确数据库客户端的路径到SSO单点登录工具上。 登录数据库资源前，需参照如何配置云堡垒机的安全组？放通对应场景的端口。 以Navicat客户端为例，示例正确的配置客户端路径操作。 1 打开本地SsoDBSettings单点登录工具。 2 在“Navicat路径”栏后，单击路径配置。 3 根据本地Navicat客户端安装的绝对路径，选中Navicat工具的exe文件后，单击“打开”。 4 返回SsoDBSettings单点登录工具配置界面，可查看已选择的Navicat客户端路径。 5 单击“保存”，返回云堡垒机“主机运维”列表页面，即可登录数据库资源。

运维授权是指用户给DBA配置运维权限的操作，运维权限指实例的数据权限与管理权限。 前提条件 运维授权功能仅限企业版。 当用户角色为DBA 且只被授权运维部分团队时，可被进行运维授权操作。 用户需要具有进入用户与角色页面的菜单权限。菜单权限请参考权限说明。 注意事项 超级管理员、系统管理员可以授权组织内所有团队的运维权限。 每次授权仅限一种类型的资源粒度，提交时仅保存当前页面的授权信息。 当DBA拥有某一团队的运维权限时，即拥有该团队下全部实例的数据权限与管理权限。 操作步骤 1. 登录数据管理服务DMS。 2. 在左侧菜单栏依次点击安全协作 > 用户与角色 ，在用户列表中选择目标用户点击编辑 按钮，在编辑用户弹窗中，将系统角色修改为DBA ，选择可运维范围（全部实例 /选择部分团队 ），点击确定按钮。 3. 授予DBA部分团队 运维权限时，在用户列表再次选择该用户点击更多>运维授权按钮进入运维授权弹窗。 4. 进入运维授权弹窗后，默认选择部分团队授权DBA，可以新增/删除 指定团队的运维权限，或者授予DBA全部实例的运维权限。 说明 在编辑用户弹窗可选择该用户运维的实例范围。 当实例范围为部分团队时，该用户可被进行运维授权操作，此时该用户将展示运维授权按钮。 当实例范围为全部实例时，代表该用户拥有所属团队下所有实例的运维权限，即拥有该团队下全部实例的数据权限与管理权限，此时该用户将不展示运维授权按钮。

设置已中断会话的时间限制 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 会话时间限制”，进入服务器会话时间限制配置页面。 2 双击“设置已中断会话的时间限制”，打开设置窗口。 3 勾选“已启用”，启用已中断会话的时间限制。 设置结束已断开连接的会话为1分钟。 4 单击“确定”，完成设置。 设置已中断会话的时间限制 关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置

设置已中断会话的时间限制 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 会话时间限制”，进入服务器会话时间限制配置页面。 2 双击“设置已中断会话的时间限制”，打开设置窗口。 3 勾选“已启用”，启用已中断会话的时间限制。 设置结束已断开连接的会话为1分钟。 4 单击“确定”，完成设置。 设置已中断会话的时间限制 关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置

违规内容管控快速解封 针对一般违规内容您可参考以下步骤操作： 彻底清理违规内容 根据通知要求提供解封材料，并提交工单进行申诉解封 工作人员将在13个工作日完成审核，并将审核结果通知您。 针对存储产品的一般违规行为（冻结文件）可根据整改通知查询违规记录后自行删除文件，删除文件后即视为解除。 注意 若您删除文件后重复上传违规内容，对应文件将被再次封禁并视情进行升级处置，若您对封禁存在异议，请通过工单提交反馈，天翼云将在13个工作日内完成处理。 欺诈类违规管控快速处理 如您收到天翼云发出的欺诈整改、处置通知，您可根据通知要求进行整改，整改完成后前往工单提交相关解封材料进行申诉。 天翼云将在13个工作日内完成处理。 违规管控解封常见问题 我提交解封申请后，天翼云基于什么决定是否解封？ 针对您提交的解封申请内容，若审核未发现违规内容，则进行解封。 针对对象存储 OSS 的一般违规行为（冻结文件），删除违规文件后默认视为解封。 针对通过工单++入口++提交的解封申请，天翼云会根据您的设备或服务是否还存在违规信息或行为，结合您提交的资质、业务说明综合判定，对于严重、特别严重的违规行为，若您无法说明业务的合规性，根据相关协议无法为您解封。 注意 针对上级主管部门要求处理的违规情况，天翼云将会直接根据上级主管的解封意见进行处理。 什么是一般违规行为，什么是严重、特别严重违规行为？ 请参见《安全违规处罚等级说明》。

参数 参数类型 说明 示例 下级对象 custName String 主机名称 test hostName String 实例名称 test displayName String 实例名称 test agentGuid String agentGuid test azName String 所在az test publicIp String 公网IP ipAddress String 私网IP 192.168.1.1 regionName String 所在区域 test stateName String 防护状态 防护中 guardStatus Object 防护状态 guardStatus createDate String 创建日期 20200101 00:00:00 expireDate String 过期时间 20200101 00:00:00 bgGroupName String 所属分组 事业部/产品线 osType String 操作系统 Windows/Linux Linux osTypeCode String 操作系统 Windows/Linux Linux agentInfo Object agent信息 agentInfo startTime String 启动时间 20200101 00:00:00 serverGroup String 云主机组 test safeGroup String 安全组 test registrationTime String 注册时间 20200101 00:00:00 expireTime String 过期时间 20200101 00:00:00 notSupportVulFixReason String 不支持漏洞修复的原因 不支持漏洞修复的原因 notSupportVulFixCode Integer 不支持漏洞修复的原因编码 0支持修复 1机器已删除，不支持修复 2该漏洞类型不支持修复 3基础版不支持漏洞修复，请升级至企业版或旗舰版 4漏洞修复功能灰度中暂时不支持修复 5agent版本低不支持修复，请升级 6下发修复命令异常，不支持修复 7服务器上没有yum/apt命令 8服务器上yum/apt命令当前不可用 9服务器无法连接软件源 10服务器无法连接微软官方服务器 11Agent已离线，不支持修复 12系统仅支持扫描，暂不支持自动修复 0 supportVulFix Integer 是否支持漏洞修复，0不支持修复 1支持修复 0 containerName String 镜像名称 test diskNum Integer 磁盘数量 0 netNum Integer 网卡数量 0 vpcName String vpc名称 test serialNumber String 序列号 test memTotal String 总内存量，单位GB 0 systemLoad Integer 系统负载 0 usageRate String cpu使用率 0.36 productName String 设备型号 test cpuInfoList Array of Objects CPU信息 cpuInfoList diskInfoList Array of Objects 磁盘信息 diskInfoList netInfoList Array of Objects 网卡信息 netInfoList osNameVersion String 如centos 7.6 操作系统名称及版本 centos 7.6 agentVersion String 如v4.11.1 agent版本 v4.11.1 proxyAddress String 代理地址，安装agent时，用户可配置自己的代理服务，转发agent请求到安全卫士到后台 169.254.169.254 表 netInfoList

本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。

本章节内容主要介绍本地Microsoft SQL Server备份迁移到云上RDS for SQL Server实例场景介绍 由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据库复制服务提供的备份迁移，通过将本地Microsoft SQL Server数据库的备份文件上传至对象存储服务，然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下，实现数据迁移。 数据库复制服务的备份迁移功能支持全量和全量+增量场景的数据库迁移。 场景一：全量备份迁移 该场景为一次性数据库迁移，需要停止业务，将导出的Microsoft SQL Server全量备份文件上传至对象存储服务，然后恢复到目标数据库。 图全量迁移 场景二：全量+增量备份迁移 该场景为数据持续性迁移，需要在完成全量备份恢复的基础上，通过多次增量备份文件恢复，实现迁移过程中业务中断的最小化。一次典型的增量恢复过程，会涉及多次恢复增量备份。每个增量备份恢复均会使目标数据库保持还原中状态，此时数据库不可读写，直至最后一个增量备份恢复完成后，数据库才能变成可用状态。 图 全量+增量迁移

多活架构对业务有要求吗？ 多活架构对业务是有一定要求的，主要包括业务规模和容灾级别、成本投入、技术实现、数据一致性、业务连续性和具体部署方案等方面。企业需要根据自身实际情况和业务需求，综合考虑这些因素，评估是否采用多活架构。 同时，多活架构对业务架构也存在配置要求，例如，在多活场景下业务架构需要有ELB负载均衡等资源的配置要求，MDR平台也会对业务应用配置有相关配置指导。 多云多活的客户群体有哪些？具有什么样的客户特征？ 多云多活的客户群体和客户特性： 1. 金融服务行业：例如银行、证券、支付服务提供商等，此客户群体需要处理大量的金融交易、对数据一致性和高可用性要求极高，以确保交易的安全和及时性。 2. 电子商务：例如线上零售商、电子支付平台等，此客户群体需要面对高并发的用户访问和交易请求，需要保证平台的高可用性和弹性扩展能力。 3. 媒体和娱乐：例如在线游戏平台、流媒体平台等，此客户群体需要支持大规模的内容分发和实时流媒体服务，以及全国甚至全球用户的高并发访问。 4. 社交媒体和通信：例如社交网络平台、即时通讯应用程序，此客户群体需要提供实时的社交互动和消息传递服务，要求系统具备低延迟和高可用性。 5. 医疗保健：例如医院信息系统、远程医疗服务平台，此客户群体需要处理大量的医疗数据和敏感信息，同时要求系统在灾难发生时能够快速恢复。 6. 制造和工业：例如大型制造企业、物流和供应链管理，此客户群体利用工业物联网（IIoT）技术进行设备监控和数据分析，要求系统高可用性和跨地域部署能力。 7. 政府和公共部门：政府信息系统、电子政务平台，为客户群体提供关键的公共服务，需要系统具备高可用性和强大的灾难恢复能力。 8. 教育：例如在线教育平台、大学和学术机构，此客户群体提供大规模在线学习和教育服务，需要支持全球用户的高并发访问和数据安全。 9. 科技和软件开发：例如软件开发公司、SaaS提供商、技术初创企业，需要高可用的开发和测试环境，以及能够支持持续集成和交付的云服务架构。

本章主要介绍步骤四：检查代码 代码检查服务提供基于云端实现代码质量管理服务，支持代码静态检查（包括代码质量、代码风格等）和安全检查，并提供缺陷的改进建议和趋势分析。 随着凤凰商城越来越庞大，线上出现的缺陷以及安全问题也越来越多，修复成本太大；且开发人员写代码也比较随性，没有统一标准。因此项目经理建议制定一些基本的标准，并对代码进行持续的静态代码扫描，一旦发现问题立即在迭代内修复。 通过本章节，您将了解开发人员Chris如何完成针对不同技术栈的代码静态扫描、问题收集与修复。 预置任务简介 样例项目中预置了如下表所示的4个任务。 预置任务 预置任务 任务说明 phoenixcodecheckworker 检查Worker功能对应代码的任务。 phoenixcodecheckresult 检查Result功能对应代码的任务。 phoenixcodecheckvote 检查Vote功能对应代码的任务。 phoenixcodecheckjavas 检查整个代码仓库对应的JavaScript代码的任务。 说明 关于Vote、Result、Worker的说明，请参见 section989mcpsimp 本章节以任务“phoenixcodecheckworker”为例进行讲解。 配置并执行任务 开发人员可以对样例项目中预置的任务做一些简单的配置，增加Python语言检查规则集，使检查更全面。 步骤 1 编辑任务。 1. 进入“凤凰商城”项目，单击导航“代码 > 代码检查”，页面中显示样例项目内置的4个任务。 2. 在列表中找到任务“phoenixcodecheckworker”。 3. 单击任务名称进入详情页，选择“设置”页签。 4. 单击导航“规则集”，规则集中默认包含的语言是“Java”。 5. 增加Python语言检查规则集。 1. 单击“已包含语言”之后的图标，重新获取代码仓库语言，刷新后的列表新增了多种语言。 2. 将Python语言对应的开关打开。 3. 在弹框中单击“确定”。 步骤 2 执行任务。 1. 单击“开始检查”，启动任务。 2. 当页面显示，表示任务执行成功。 若任务执行失败，请根据页面弹出报错提示排查修改。

本文将介绍如何创建消费者。 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "消费者" ，并在顶部菜单栏选择地域。 3. 单击 "创建消费者" ，在创建消费者面板中配置相关参数，然后单击 "保存" 。 配置项 描述 消费者名称 自定义消费者名称，要保证唯一性。 命名规则：支持英文字母、数字和下划线，以英文字母或数字开头及结尾, 432个字符。 启用状态 消费者状态包括已启用和已停用。创建完成后可以手动启停。 注意 消费者只有启用状态时才生效。 描述 对消费者进行描述。 认证方式 当前消费者支持JWT、HMAC、KEY和BASIC四种认证方式。创建认证时必须选择至少一种认证方式。删除消费者下的认证时也要保证至少存在一种认证方式。对于HMAC认证的AppKey，KEY认证的key，以及BASIC认证的用户名填写时需保证唯一，例如消费者1和消费者2下的KEY认证不可设置相同的key值。 JWT认证 ：JSON Web Token (JWT) 是一种用于在客户端和服务器之间以紧凑且自包含的JSON对象形式安全地传输信息。JWT通过数字签名确保信息的完整性和真实性，常用于在网关中验证用户身份并控制对资源的授权访问，从而实现无状态的身份验证和授权机制。JWT的规范说明可参考：JSON Web Key (JWK) 秘钥类型：可选择对称秘钥和非对称秘钥。 加密算法：对称秘钥加密算法可选择HS256和HS512。非对称秘钥加密算法可选择RS256和ES256。 秘钥：对称秘钥时需填写secret，如果开启base64secret则需按照base64编码格式填写。非对称秘钥时需填写RSA/ES公钥和私钥。 HMAC认证：HMAC是一种基于哈希函数的消息认证码算法，用于验证消息的完整性和真实性。客户端使用签名密钥对请求内容生成签名并发送给服务器，服务器通过相同密钥和算法验证签名，确保请求未被篡改且来源可信。 AppKey：AK配置，可由系统生成。 AppSecret：SK配置，可由系统生成。 KEY认证：KEY认证是一种基础的认证机制，客户端在调用API时需将凭证（如API Key）以特定方式添加到请求中，网关接收到请求后会校验Key的有效性和权限范围。这种认证方式安全性较低，不建议用于涉及敏感操作的场景。 Bearer前缀：如果勾选，则访问时需携带"Bearer XXXXXXXXXXX"的Key值；如果不勾选，则直接携带Key值访问。 Key：自定义Key凭证。 BASIC认证：BASIC认证是一种基础的认证机制，客户端在访问时需携带用户名和密码的信息，网关接收到请求后会校验用户名和密码的有效性和权限范围。这种认证方式安全性较低，不建议用于涉及敏感操作的场景。 用户名：BASIC认证用户名。 密码：BASIC认证密码。

本章节介绍对RDS创建的云数据库进行相关操作的授权。 假如您已经完成数据库资产委托授权，并开通了天翼云关系型数据库（RDS），且已在RDS里创建了数据库，可参考本章节操作，具体如下： 进行授权“只读权限”：只能使用敏感数据识别功能。 进行授权“读写权限”：可使用敏感数据识别和数据脱敏功能。 说明 DSC暂不支持对RDS中已开启SSL的MySQL数据库进行扫描和脱敏。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权操作。 已开通RDS服务，且RDS中已有资产，且对应子网下含有可用的IP配额。 RDS实例的“状态”为“正常”。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在需要授权的数据库资产所在行的“操作”列，单击“授权”。 说明 如果只需要授权数据库实例下的某个数据库，单击数据库实例前的向下按钮，展开实例列表，单击数据库所在行的操作列的“授权”即可。 6. 在弹出的“数据库批量授权”对话框中，参考下表配置数据库参数。 参数名称 参数说明 权限设置 只读权限：只能用于敏感数据识别。 注意 创建了RDS只读权限后，DSC服务会在RDS创建一个dscreadonly帐户。 dscreadonly帐户的密码在RDS重置后，将不会自动同步到DSC服务，会导致敏感数据识别任务失败，因此，建议您不要重置该帐户密码。 如果您已在RDS里重置了dscreadonly帐户的密码，建议您在DSC服务里先删除已授权的rds实例，再重新对该实例进行权限设置。 读写权限：可使用敏感数据识别和数据脱敏功能。 资产列表 “权限设置”选择“只读权限”时，可修改需要授权的“资产名称”。 “权限设置”选择“读写权限”时，可修改需要授权的“资产名称”，必需配置访问该数据库的“用户名”和“密码”。 7. 单击“确定”，数据库添加完成，并展示在已授权的数据库列表中。 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

方法二：开通安全防护功能 CDN加速作为帮助用户加速获取资源文件的产品，其主要功能在于缓存加速，如果客户的业务存在潜在的被恶意访问风险，需要防止流量盗刷，配置高级频率控制和其他安全类防护，建议叠加开通Web应用防火墙（边缘云版），详情请见：Web应用防火墙（边缘云版）。 注意 针对同一个域名，天翼云CDN加速支持叠加Web应用防火墙（边缘云版）产品，无需做域名的迁移，但域名需先在CDN控制台添加完成后再在Web应用防火墙（边缘云版）控制台上新增。具体操作指南实例，详情请见：CDN叠加Web应用防火墙（边缘云版）。 方法三：开启带宽控制功能 天翼云CDN加速支持带宽控制功能，该功能可以控制带宽总用量，从而避免因带宽突发带来更多的费用。如果客户需要对使用天翼云CDN加速的域名带宽做限速，可通过提交工单或拨打4008109889热线电话联系天翼云客服进行咨询。相关功能介绍，详情请见：带宽控制。 方法四：开启访问控制功能 天翼云CDN加速控制台支持自助配置访问控制功能，您可以针对域名访问特性进行配置，从而避免产生不必要的流量消耗。 访问控制功能 说明 Referer防盗链 Referer防盗链是基于HTTP请求头中Referer字段来设置访问控制规则，实现对用户来源的识别和过滤，防止网站资源被非法盗用。 IP黑白名单 客户端IP是客户端与CDN节点建立连接时所使用的IP，通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 UA黑白名单 UserAgent（简称UA）是HTTP请求头的一部分，可体现用户使用的终端标识。通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 URL鉴权配置 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可配置URL鉴权功能。配置URL鉴权后，CDN会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 单请求限速 单请求限速功能可以限制CDN节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。

方案概览 您将部署一组微服务应用，实现服务的注册与发现、服务之间的方法调用，并且通过公网来访问应用。示例应用的架构如下： 为实现本方案，您将： 1. 部署应用：使用示例镜像部署 provider 应用与 consumer 应用，并通过 CAE 内置的 Nacos 实现服务注册与发现，使得 consumer 应用可以调用 provider 应用提供的服务。 2. 通过公网访问应用： 为 consumer 应用配置公网访问地址并访问应用。 操作指引 部署应用 部署 provider 应用 1. 登录云应用引擎控制台 2. 左侧导航栏选择应用管理 > 应用列表 3. 点击创建应用，配置以下参数，点击下一步进入高级设置 1. 自定义应用名称，例如 provider 2. 选择命名空间类型为系统创建，表示应用将会使用系统默认创建的命名空间，并关联 VPC、子网、安全组等网络资源 3. 设置应用部署方式为镜像部署。点击选择镜像，选择 Java 技术栈语言，在示例镜像标签页，找到javaprovider镜像仓库，选择版本为v1.0，点击确定 4. 在容量设置区域，自定义单实例规格和实例数，这决定了应用初始运行的实例数量、系统为每个实例分配多少计算资源 4. 在高级设置页面中，展开服务注册发现区域，启用内置 Nacos 注册中心服务发现 5. 点击创建应用

RabbitMQ专享实例是否支持公网访问？ RabbitMQ专享实例支持公网访问。 在创建RabbitMQ专享实例的“更多”选项中，选择开启“公网访问”可自主控制是否进行公网访问，并选择已购买的弹性IP及带宽。或创建完后，在实例详情页中将公网访问开关打开。 RabbitMQ实例是否支持跨VPC和跨子网访问？ RabbitMQ实例支持跨VPC和子网访问，可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问实例。 SSL方式连接RabbitMQ实例失败？ 首先排查安全组的入方向规则，是否放开了端口5671（SSL方式访问）或5672（非SSL访问）。 其次，参考如下内容配置SSL单向认证： ConnectionFactory factory new ConnectionFactory(); factory.setHost(host); factory.setPort(port); factory.setUsername(user); factory.setPassword(password); factory.useSslProtocol(); Connection connection factory.newConnection(); Channel channel connection.createChannel(); 客户端是否可以通过DNAT方式访问RabbitMQ实例？ 可以。 为什么RabbitMQ集群只有一个连接地址？ RabbitMQ集群实例的连接地址，实际上是实例的LVS节点地址（负载均衡地址），客户端连接实例时，通过负载均衡器将客户端请求分发到集群实例的各个节点。 RabbitMQ实例集群的队列是否有备份？ RabbitMQ实例默认开启了镜像队列，会在集群中多个代理上备份队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。

本章节为您介绍如何快速启用协同签名服务。 本章节主要了解基础功能并完成必要的配置。通过简明的操作步骤和指导，您可以迅速配置好系统，并为移动端用户启用安全高效的协同签名服务。无论您是初次接触还是经验丰富的管理员，本章节都将为您提供清晰易懂的使用指引。 步骤一：配置第三方CA 1.使用管理员账号登录协同签名服务 2.在左侧导航栏选择“系统管理 > 第三方CA配置”，进入“连接配置”页面。 3.单击左上角的“添加CA”按钮，在弹出的对话框中填写相关参数。 4.填写完成后，单击“确认”，返回“连接配置”页面。 5.在页面左上方选择“根证书配置”，进入“根证书配置”页面。 6.单击“添加根证书”，在跳转的窗口填写相关参数。 7.填写完成后，单击“确定”完成第三方CA配置。 步骤二：配置第三方认证 第三方认证还要确保签名行为是真实发生的，并且是按照预定的规则进行的。这包括验证签名的时间戳、签名的顺序（在一些有先后顺序要求的协同签名场景中）以及签名的完整性。 1.使用管理员账号登录协同签名服务 2.在左侧导航栏选择“系统管理 > 系统设置”，进入“机构第三方认证配置”页面。 3.开启第三方认证并填写标准接口参数。

功能说明 自定义域名管理用于配置沙箱访问地址中的域名后缀。智能体引擎中沙箱的实际访问地址由平台分配前缀（包含实例标识等信息）与您配置的自定义域名共同组成，并通过 HTTPS 提供安全访问。 通过该功能，您可以完成以下操作： 新增自定义域名，并通过该域名访问沙箱。 绑定或更换 HTTPS 证书。 查看域名接入状态并进行删除管理。 典型应用场景 统一业务入口标识：将可识别的业务域名作为访问地址后缀，便于对外发布与内部协作识别。 多环境域名隔离：为开发、测试、生产配置不同自定义域名后缀，避免环境混用和误调用。 使用限制 不支持中文域名，自定义域名必须为泛域名，格式如 .mydomain.com。 由于域名解析本身是不区分大小写，因此自定义域名生效时会被处理成全小写。 必须为域名配置TXT记录，用于验证该域名的合法性。详见下方操作步骤。 必须为域名配置CNAME解析，否则会导致域名无法访问智能体。详见下方操作步骤。 证书必须与自定义域名匹配。 域名总长度最大支持 128 个字符。 每级子域名至少包含 1 个字符，可使用字母、数字（09）或连字符（）。 每级子域名首字符不能为连字符（）。 顶级域名长度至少 2 个字符，且必须为字母。 必须设置一个域名为沙箱调试默认域名，否则无法在智能体引擎控制台上使用沙箱调试功能。

功能说明 自定义域名管理用于配置沙箱访问地址中的域名后缀。智能体引擎中沙箱的实际访问地址由平台分配前缀（包含实例标识等信息）与您配置的自定义域名共同组成，并通过 HTTPS 提供安全访问。 通过该功能，您可以完成以下操作： 新增自定义域名，并通过该域名访问沙箱。 绑定或更换 HTTPS 证书。 查看域名接入状态并进行删除管理。 典型应用场景 统一业务入口标识：将可识别的业务域名作为访问地址后缀，便于对外发布与内部协作识别。 多环境域名隔离：为开发、测试、生产配置不同自定义域名后缀，避免环境混用和误调用。 使用限制 不支持中文域名，自定义域名必须为泛域名，格式如 .mydomain.com。 由于域名解析本身是不区分大小写，因此自定义域名生效时会被处理成全小写。 必须为域名配置TXT记录，用于验证该域名的合法性。详见下方操作步骤。 必须为域名配置CNAME解析，否则会导致域名无法访问智能体。详见下方操作步骤。 证书必须与自定义域名匹配。 域名总长度最大支持 128 个字符。 每级子域名至少包含 1 个字符，可使用字母、数字（09）或连字符（）。 每级子域名首字符不能为连字符（）。 顶级域名长度至少 2 个字符，且必须为字母。 必须设置一个域名为沙箱调试默认域名，否则无法在智能体引擎控制台上使用沙箱调试功能。