前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URI}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2f3os7qq79xc/IdentityCard/ocr/v1/idcard.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URI}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2f3p1pnxpqm8/ocrdetect/ocr/v1/image.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

在删除密钥前，您需要确保该密钥没有被使用或将来也不会被使用。您可以通过以下方式确定密钥的使用情况。 前提条件 待删除的密钥需处于“启用”、“禁用”、“等待导入”或“冻结”状态。 约束条件 执行删除密钥操作后，密钥不会立即删除，密钥管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～1096天。 在推迟删除时间未到时，若需要重新使用该密钥，可以执行取消删除密钥操作。若超过推迟时间，密钥将被KMS彻底删除，使用该密钥加密的数据将无法解密，请谨慎操作。 默认密钥为服务自动创建，不支持删除操作。 计划删除的密钥是不计费的，但是，如果您在密钥被彻底删除前的等待期内取消删除密钥，该密钥将恢复计费，并收取从计划删除开始到取消删除期间的费用。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要删除的密钥所在行，单击“删除”。 步骤 5 在弹出的窗口中，填写“推迟删除”的时间。 说明 密钥管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～1096天。在推迟删除时间未到时，若需要重新使用该密钥，可以执行取消删除密钥操作。 计划删除的密钥是不计费的，但是，如果您在密钥被彻底删除前的等待期内取消删除密钥，该密钥将恢复计费，并收取从计划删除开始到取消删除期间的费用。 步骤 6 勾选“我已知晓删除以上密钥产生的影响”，单击“是”，完成删除单个密钥操作。 说明 如果您想批量计划删除密钥，可以勾选所有需要计划删除的密钥，然后在列表左上角，单击“删除”。

本文主要介绍视频直播确保内容安全的相关策略。 视频直播服务为您提供了Referer防盗链、IP黑/白名单、UA防盗链、URL鉴权和远程鉴权机制，对访问者的身份进行识别和过滤，符合规则的才可使用直播服务。 功能 描述 Referer防盗链 Referer防盗链，是基于HTTP请求头中Referer字段（例如：Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。 IP黑/白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 UA防盗链 UserAgent（简称UA）是HTTP请求头的一部分，可体现用户使用的终端标识。通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 URL鉴权 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可配置URL鉴权功能。配置URL鉴权后，视频直播会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 远程鉴权 支持远程同步鉴权和异步鉴权功能。 ● 同步鉴权：在直播节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，直播节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 ● 异步鉴权：在直播节点收到用户请求后，直播节点先响应直播流，并同时将请求转发回提前设定的鉴权源站，鉴权源站响应鉴权结果后，视频直播依据鉴权源站结果允许或者拒绝用户访问。

本节介绍如何配置AntiDDoS流量清洗日志到云日志服务。 启用AntiDDoS防护功能后，您可以将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的AntiDDoS日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 前提条件 已开通云日志服务。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“日志”页签，开启日志，并选择日志组和日志流。 日志参数说明： 参数 说明 选择日志组 选择已创建的日志组，或者单击“查看日志组”，跳转到LTS管理控制台创建新的日志组。 记录攻击日志 选择已创建的日志流，或者单击“查看日志流”，跳转到LTS管理控制台创建新的日志流。 攻击日志记录每一个攻击告警信息，包括攻击类型、防护的IP等信息。 5. 单击“确定”，日志配置成功。 您可以在云日志服务管理控制台查看AntiDDoS的防护日志。 日志字段说明 全量日志字段说明 字段 说明 logType 日志类型。默认为“ipattacksum”，攻击日志。 deviceType 上报日志的设备类型。默认为“CLEAN”，清洗设备。 inKbps 入流量（单位：kbps）。 maxPps 入流量峰值（单位：pps）。 dropPps 丢弃的流量均值（单位：pps）。 maxAttackInBps 攻击流量峰值时刻的入流量值（单位：bps）。 currentConn 当前连接数。 zoneIP 防护的IP。 logTime 日志产生的时间。 attackType 攻击类型。数值对应的攻击类型请参见攻击类型说明。 inPps 入流量（单位：pps）。 maxKbps 入流量峰值（单位：kbps）。 dropKbps 丢弃的流量均值（单位：kbps）。 startTime 攻击开始时间。 endTime 攻击结束时间，为空时则表示攻击还未结束。 maxAttackInConn 攻击流量峰值时刻的连接数。 newConn 新建连接数。

本章节介绍怎样开通、是否支持升级或降级等。 数据安全中心支持哪些资源池购买？ 数据安全中心目前支持广州4、苏州、深圳资源池，其他资源池陆续上线中。 怎样开通数据安全中心？ 数据安全中心的开通首先需要注册天翼云官网的账号，通过产品栏目找到数据安全中心，选择相应的版本和扩展包，点击开通，具体开通方法见购买DSC服务。 开通后，访问数据安全中心控制台，在控制台上开始使用天翼云的数据安全中心相关功能。 数据安全中心可以升级或降低版本吗？ 可以升级版本，但不支持降低版本。购买了数据安全中心服务后，您可以从较低版本（标准版）的DSC升级到更高版本（专业版），也可以根据需求增加数据库扩展包和OBS扩展包的数量。具体升级办法见规格与版本升级。但数据安全中心不支持降低购买版本的规格。如果您需要降低购买的DSC规格，可以先退订当前的DSC，再重新购买较低版本的DSC。 数据安全中心可以跨区域使用吗？ 数据安全中心不支持跨区域使用，即在本Region下购买的数据安全中心版本，只能在该Region下使用。 点击购买为何无法支付，且显示“账户受限”？ 此问题为账户余额不足导致，需要您先将购买账户的余额充值，账户余额大于100元即可购买，充值步骤详见账户充值。 该问题正在排期优化中，敬请期待。

本小节介绍数据库安全背景信息。 背景信息说明 使用限制 购买数据库安全审计实例后，您需要将待审计的数据库添加到数据库安全审计实例中，并在数据库对应的数据库端或应用端安装Agent。当待审计的数据库连接到数据库安全审计实例后，数据库安全审计才能对待审计的数据库进行审计。 数据库安全审计支持对管理控制台上的云主机、物理机的自建数据库和RDS云数据库进行审计。 数据库安全审计支持数据库类型及版本为： MySQL 5.0、5.1、5.5、5.6、5.7 8.0 Oracle 11g 11.1.0.6.0 、11.2.0.1.0、11.2.0.2.0 12c 12.1.0.2.0 、12.2.0.1.0 PostgreSQL 7.4 8.0、8.1、8.2、8.3、8.4 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0、10.1、10.2、10.3、10.4、10.5 11 快速配置流程 购买数据库安全审计后，您可以参照下图所示的配置流程，快速使用数据库安全审计。操作步骤的详细说明如下表所示。 步骤 配置操作 说明 1 步骤一：添加数据库并开启审计 购买数据库安全审计后，您需要先将待审计的数据库添加到数据库安全审计实例并开启该数据库的审计功能。 2 步骤二：添加Agent 添加的数据库开启审计功能后，您需要为添加的数据库选择Agent的添加方式。数据库安全审计支持对云上的物理机/云主机的自建数据库和RDS云数据库进行审计，请根据您在管理控制台上实际部署的数据库选择Agent添加方式。 3 步骤三：安装Agent 添加Agent后，您需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 4 查看审计总览信息 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。安装Agent后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。

函数计算默认情况下使用的是动态分配的出口IP地址，这意味着IP地址可能会发生变化，并没有一个固定的网段。在某些情况下，比如当您的函数需要访问特定的资源与服务时，您的函数有可能不在其白名单访问列表中导致对端服务拒绝访问。为了满足这种需求，函数计算提供了一个功能，允许您为函数绑定一个固定的公网IP地址。 注意 固定IP地址功能是与VPC中的公网NAT网关结合使用的。为了实现VPC内实例的公网访问，您需要创建一个公网NAT网关，并对其进行适当的配置。这个过程包括绑定一个弹性IP地址到NAT网关，并添加SNAT（源网络地址转换）条目，从而使得VPC内的实例可以通过这个弹性IP地址与互联网进行通信。具体操作步骤请参阅： 额外计费 在设置固定公网IP地址的过程中，您需要用到NAT网关和弹性IP服务，这将会带来额外的费用。有关详细的计费信息，请参阅NAT网关计费说明公网NAT网关计费说明和弹性IP计费说明计费概述。 配置固定公网IP地址 1. 登录函数计算控制台，在左侧导航栏，点击函数。 2. 在函数页面，点击目标函数，进入目标函数详情页。 3. 在目标函数详情页的上方导航栏，点击配置。 4. 在左侧导航栏，点击网络 选项卡，打开网络的具体配置页后，点击编辑，进行网络配置的修改。 5. 如果您希望配置目标函数固定公网IP，请： 1. 打开允许访问VPC的选项。 2. 依次配置您希望访问的专有网络、子网以及安全组。 3. 然后请打开固定公网IP的选项。 4. 最后设置允许函数默认网卡访问公网 为否。 5. 修改完毕后，点击下方的部署按钮，即可允许目标函数以固定公网IP的方式对外访问。

本文为您介绍对等连接产品的定义及其创建流程。 对等连接（VPC Peering Connection）是指两个同一资源池内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一资源池内其他帐号的VPC之间创建对等连接。 对等连接创建流程 无论是在同一帐户下还是不同帐户下，只要VPC位于同一个资源池，对等连接就能够为VPC之间的通信提供一种私有、安全且高效的解决方案，来实现资源的共享和数据的流动，满足了不同场景下的通信需求。 同一账户下VPC对等连接的创建流程： 1. 创建对等连接：选择本端VPC和对端VPC。 2. 添加对等连接路由：在本端VPC的路由表中添加指向对端VPC的路由规则，同时在对端VPC的路由表中添加指向本端VPC的路由规则。 3. 验证网络互通情况：确认对等连接已生效后，验证网络互通性。 不同帐户下VPC对等连接的创建流程: 1. 创建对等连接：选择本端VPC和对端VPC。 2. 判断是否接受连接：选择“否”则创建对等连接失败；选择“是”则进入下一步。 3. 添加对等连接路由：在本端VPC的路由表中添加指向对端VPC的路由规则，同时在对端VPC的路由表中添加指向本端VPC的路由规则。 4. 验证网络互通情况：确认对等连接已生效后，验证网络互通性。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f7awxekgvls/face/compare/PERSON/person/compareFromBase64。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

本文介绍申请数据权限功能，使用户可以快速熟悉申请数据权限页面的相关操作，以及如何申请数据权限。 前提条件 用户需要具有进入申请数据权限页面的功能权限。 注意事项 申请数据权限功能仅限企业版。 用户仅限申请已加入团队内实例的相关数据权限。 每次申请仅限一种类型的资源粒度，资源粒度从大到小依次是实例、库/模式、表。 数据权限支持按资源粒度继承，即用户拥有大粒度资源的数据权限时，则默认拥有该大粒度资源下所有小粒度资源的数据权限。 用户多次申请同一资源、同一权限后，最后一次申请的结果会覆盖之前申请的结果。 操作步骤 用户可以在个人中心>我的权限 页面中点击“申请数据权限”按钮进入申请数据权限页面，也可以在安全协作>工单列表>数据权限工单页面中点击“申请数据权限”按钮进入申请数据权限页面。 申请数据权限的具体流程如下： 1. 选择资源的粒度。进入申请数据权限页面后，默认选择库/模式授权，也可以点击其他标签，切换到其他资源粒度，每次申请仅限一种类型的资源粒度。 2. 选择申请的资源。在左侧”请选择“框内勾选想要申请的资源的复选框，然后点击中间的”>“按钮，即可将当前页选中的资源加入到右侧”已选择“框内。如果想要删除右侧“已选择”框内的资源，可以勾选想要删除的资源的复选框，然后点击中间的“<”按钮，即可将右侧“已选择”框内的资源删除。每次申请可以同时选择多个资源。 3. 选择权限的类型，根据用户需要，勾选对应权限类型的复选框。每次申请可以同时选择多种权限。 4. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 5. 确定信息无误后，点击页面右下角的“提交申请”按钮即可提交工单，并跳转到数据权限工单页面，查看当前工单的流程。

海量文件服务支持对用户操作进行审计，本文介绍相关操作说明。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建文件系统 createfs 扩容文件系统 resizefs 续订文件系统 renewfs 重命名文件系统 renamefs 退订文件系统 deletefs 创建权限组 createpg 修改权限组 updatepg 删除权限组 deletepg 绑定权限组 bindpg 解绑权限组 unbindpg 添加权限组规则 createpr 更新权限组规则 updatapr 删除权限组规则 deletepr

本节介绍如何查看告警列表。 通过查看“告警列表”，您可以了解近180天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 此外，您还可以通过及时处理告警事件，标记告警事件处理状态，并支持一键导出近180天的告警事件。 约束限制 仅专业版支持忽略和标记告警事件，基础版不支持。 仅支持导出近180天的全部告警事件，暂不支持筛选导出告警事件信息。 按过滤场景筛选告警，最多可呈现10000条告警。 查看告警详情 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“威胁告警”，默认进入态势感知告警列表管理页面。 4. 筛选“告警名称”、“告警等级”、“发生时间”和“处理状态”条件选项，在列表栏查看显示符合过滤条件的告警事件列表。 告警名称：告警事件所属的分类。 告警等级：告警事件对应的等级，包括“致命”、“高危”、“中危”、“低危”、“提示”。 处理状态：用户对告警事件的处理标记，可选择“未处理”、“已忽略”、“已线下处理”。 发生时间：告警事件发生的时间范围，可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”和“近半年”。 5. 当过滤后的告警事件较多时，可以利用搜索功能快速找到指定告警事件。 在下拉框中选择“资产IP”、“来源IP”、“主机ID”，在搜索框中输入相应IP或ID，单击搜索图标，即可查看到指定资产相关的告警信息。 6. 查看告警事件详情。 单击列表中告警的“告警名称”，右侧滑出告警详情窗口，可查看与该告警相关的“基本信息”、“数据来源”、“攻击信息”、受影响的用户等信息，以及该告警的处理状态。

本节介绍如何修改拦截返回页面。当访问者触发WAF拦截时，默认返回WAF“系统默认”的拦截返回页面，您也可以根据自己的需要，配置“自定义”或者“重定向”的拦截返回页面。 前提条件 已添加防护网站。 约束条件 “自定义”的拦截返回页面支持配置text/html、text/xml和application/json三种页面类型的页面内容。 “重定向”地址的根域名必须和当前被防护的域名（包括泛域名）保持一致。例如，被防护的域名为www.example.com，端口为8080，则重定向URL可设置为“ 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 步骤6 在“告警页面”所在行的页面模板名称后，单击编辑按钮，在弹出的“告警页面”对话框中，选择“页面模板”进行配置。 “页面模板”选择“系统默认”时，默认返回WAF内置的HTTP返回码为418的拦截页面。 “页面模板”选择“自定义”时，如图所示。 HTTP返回码：自定义页面配置的返回码。 页面类型：可选择text/html、text/xml和application/json三种类型。 页面内容：根据选择的“页面类型”配置对应的页面内容。 “页面模板”选择“重定向”时，根据界面提示配置重定向URL。 重定向URL的根域名必须和当前被防护的域名（包括泛域名）保持一致。例如，被防护的域名为www.example.com，端口为8080，则重定向URL可设置为“ 步骤7 单击“确定”，告警页面配置成功。

本节主要介绍使用限制。 集群和节点 云容器引擎对单个用户的资源数量和容量限定了配额，默认情况下，您最多可以创建5个集群（每个Region下），每个集群中可以选择50节点、200节点、1000节点、2000节点几种规格。 非高可用模式的集群在控制节点故障后将不可用，影响业务功能，不适用于商用场景，建议您选择“高可用”模式。 集群创建时将默认创建名称带有“cce”标识的安全组规则，删除或修改后可能导致集群无法正常使用。 集群名称、集群规模、高可用开关、网络模型、网段配置、服务转发模式在集群创建后将无法修改，请谨慎选择。 CCE集群默认安装采集探针，方便您在Web界面查看集群资源的日志和监控信息。 集群一旦创建以后，不支持变更以下项： 变更集群的控制节点数量，例如非高可用集群（控制节点数量为1）变更为高可用集群（控制节点数量为3）。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 CCE创建的ECS实例（节点）目前支持“按需计费”和“包年/包月”，其他资源（例如负载均衡）为按需计费。如果资源所属的服务支持将按需计费实例转换成包年/包月实例，您可以通过对应的控制台进行操作。 集群中纳管计费模式为“包年包月”的节点时，无法在CCE控制台为其续费，用户需前往ECS控制台单独续费。 由于ECS（节点）等CCE依赖的底层资源存在产品配额及库存限制，创建集群、扩容集群或者自动弹性扩容时，可能只有部分节点创建成功。 ECS（节点）规格要求：CPU ≥ 2核且内存 ≥ 4GB。 通过搭建VPN方式访问CCE集群，需要注意VPN网络和集群所在的VPC网段、容器使用网段不能冲突

本文介绍CDN内容审核增值服务的计费规则、开通方式、违规内容的评定规则。 重要说明 当前天翼云支持CDN内容审核，该功能是CDN加速产品的一项增值服务，基于天翼云计算AI平台，能对加速内容进行快速智能检测。开通CDN内容审核功能后，系统会自动智能检测经过CDN加速的内容是否涉黄、涉暴恐，鉴定为违规内容的URL将会被记录下来供客户导出，同时支持对违规内容做封禁，实现“净网分发”。 计费规则 CDN内容审核的标准资费为1.3元/千张。 注意事项 目前内容审核主要针对图片是否涉黄、涉暴恐进行鉴定。 CDN内容审核为打分制，每一张审核图片均有一个01的分值。分值越大则越可能是违规内容，分值越低则证明内容越安全。内容审核结果按照分值大小，分为确定部分和不确定部分。确定部分是指确定为违规部分和确定为正常部分的内容，一般分值在0.6以下或0.9以上，这部分一般无需人工干预，可直接基于审核结果对内容进行封禁或相关删除操作；不确定部分是指疑似违规图片，系统无法区分是否实际违规，建议用户进行人工二次确认。目前对于不确定部分，CDN内容审核不收取费用。 目前天翼云CDN加速产品的增值服务支持CDN内容审核，使用CDN内容审核增值服务需完成如下两个步骤： 1. 开通CDN内容审核服务。目前开通天翼云CDN加速业务时，CDN内容审核增值服务默认开通，详情请见：CDN内容审核开通。 2. 线下配置开启。如需使用，请提交工单给天翼云客服，由其人工操作开启。详情请见：CDN内容审核。 该功能目前仅支持中国内地开通使用，全球（不含中国内地）暂不支持。

本章节主要介绍云搜索服务的备份与恢复索引操作。 为避免数据丢失，您可以将集群的索引数据进行备份，当数据发生丢失或者想找回某一时间段数据时，您可以通过恢复索引操作快速获得数据。索引的备份是通过创建集群快照实现。第一次备份时，建议将所有索引数据进行备份。 说明 备份与恢复索引功能上线之前（即2018年3月10日之前）创建的集群，无法创建快照。 管理自动创建快照：自动创建快照指按照设置的规则，每天在指定时间自动创建快照。您可以开启自动创建功能、设置自动创建的策略、和关闭自动创建功能。 手动创建快照：在任意时间，您通过手动创建快照的方式，针对当时的数据或某几个索引创建快照进行备份。 恢复数据：将已有的快照，通过恢复快照功能，将备份的索引数据恢复到指定的集群中。 删除快照：对于已失效的快照，建议删除以释放存储资源。 说明 创建快照之前，您需要进行基础配置，包含存储快照的OBS桶、快照的备份路径及安全认证使用的IAM委托。 集群快照存储的OBS桶，在首次设置后，不管自动创建快照还是手动创建快照，如果快照列表中已有可用的快照，则OBS桶将无法再变更，请谨慎选择存储OBS桶。 如果OBS桶已经存储了快照，OBS无法变更，您可以使用这个方法修改：首先关闭快照功能，然后再开启快照功能，指定新的OBS桶。一旦关闭快照功能，之前创建的快照将无法用于恢复集群。 当集群处于“不可用”状态时，快照功能中，除了恢复快照功能外，其他快照信息或功能只能查看，无法进行编辑。 备份与恢复过程中，支持集群扩容、访问Kibana、查看监控、删除其他快照的操作。不支持重启此集群、删除此集群、删除正在创建或恢复的快照、再次创建或恢复快照的操作。补充说明，当此集群正在进行创建快照或者恢复快照时，此时，自动创建快照任务将被取消。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2z0yhhrzgv0g/tts/predict。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

本文介绍天翼云安全加速服务协议。 天翼云安全加速服务协议详情请参见这里。

本页面主要介绍为主帐号创建子帐号，创建用户组，并为子帐号授权的操作说明及步骤。（适用于I类型资源池） 用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 注意 本文仅适用于内蒙6、重庆2、拉萨3这些Ⅰ类型资源池配置主子账号以及相关权限，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。Ⅱ类型资源池的子账号配置请参见主子账号使用手册Ⅱ类型资源池。 操作步骤 创建子帐号以及为该子帐号授权相关企业项目的步骤总体分为： 创建子账户并加入用户组 在企业项目中为用户组授权 创建子账户并加入用户组 为主帐号添加子帐号以及将子帐号加入到用户组，步骤如下： 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择“我的”，点击“个人中心”，进入个人中心界面。 2. 在左侧导航栏点击“统一身份认证”，进入统一认证服务IAM。 3. 选择“用户”页签，点击右上角创建用户。 4. 填写子账号的相关信息，包含用户名、邮箱、手机号等，并设置密码。设置完成点击右下角下一步。 5. 如无用户组请先创建用户组，如有可点击添加，添加进该用户组之后，会自动显示在右侧“已选用户组”窗口。如后续从用户组删除该用户，可点击移除。 admin用户组为拥有所有操作权限的用户组，您可根据需要加入此用户组或者加入自定义创建的用户组。 6. 加入用户组后，点击右下角下一步，将会显示创建成功。点击返回用户列表，可以看到创建的子账户。

本节介绍了版本发布记录。 版本号说明 分布式缓存服务Redis的版本号格式为：a.b.c.d，版本号具体含义如下。 a: 主版本号，代表大版本。 b: 次版本号。 c: 修订版本号。 d: 补丁版本号。 更新级别说明 更新级别分为LOW、MEDIUM和HIGH，不同更新级别说明如下。 LOW：一般级别，新增日常功能的版本。 MEDIUM：推荐级别， 除了包含新增日常功能外，还包含功能模块的优化。 HIGH：重要级别，除了包含新增日常功能，功能模块优化外，还包含影响稳定性或安全性的问题修复的重要升级。 小版本发布记录 表 Redis 7内核版本发布记录 版本号 更新级别 发布日期 类型 说明 7.2.11.0 HIGH 2025.12 缺陷修复 修复安全漏洞CVE202546819、CVE202546818、CVE202546817、CVE202549844。 7.2.10.0 HIGH 202510 缺陷修复 修复安全漏洞CVE202548367、CVE202532023、CVE202527151。 7.2.9.0 HIGH 20258 缺陷修复 修复安全漏洞CVE202521605。 7.2.8.1 HIGH 20257 功能优化 增强稳定性。 7.2.8.0 HIGH 20256 缺陷修复 修复CVE202446981安全漏洞。 修复CVE202451741安全漏洞。 表 Redis 6内核版本发布记录 版本号 更新级别 发布日期 类型 说明 6.2.20.0 HIGH 202512 缺陷修复 修复安全漏洞CVE202546819、CVE202546818、CVE202546817、CVE202549844。 6.2.19.0 HIGH 202510 缺陷修复 修复安全漏洞CVE202548367、CVE202532023。 6.2.17.2 HIGH 20258 缺陷修复 修复安全漏洞CVE202521605。 6.2.17.1 HIGH 20257 功能优化 增强稳定性。 6.2.17.0 HIGH 20256 缺陷修复 修复CVE202446981安全漏洞。 表 Redis 5内核版本发布记录 版本号 更新级别 发布日期 类型 说明 5.0.14.10 HIGH 202512 缺陷修复 修复安全漏洞CVE202546819、CVE202546818、CVE202546817、CVE202549844。 5.0.14.9 HIGH 202510 缺陷修复 修复安全漏洞CVE202548367、CVE202532023。 5.0.14.8 MEDIUM 20259 缺陷修复 修复stream类型删除时有可能导致节点崩溃的问题。 5.0.14.7 HIGH 20258 缺陷修复 修复安全漏洞CVE202521605。 5.0.14.6 HIGH 20257 功能优化 增强稳定性。 表 Redis 4内核版本发布记录 版本号 更新级别 发布日期 类型 说明 4.0.14.27 HIGH 202512 缺陷修复 修复安全漏洞CVE202546819、CVE202546818、CVE202546817、CVE202549844。 4.0.14.26 HIGH 202510 缺陷修复 修复安全漏洞CVE202548367、CVE202532023。 4.0.14.25 HIGH 20258 缺陷修复 修复安全漏洞CVE202521605。 4.0.14.24 HIGH 20257 功能优化 增强稳定性。 4.0.14.23 HIGH 20256 缺陷修复 修复CVE202446981安全漏洞。

本文介绍容器安全卫士计费购买类常见问题。 同一个账号可以购买多个容器安全卫士实例吗？ 实例到期后，还能防护节点吗？ 容器安全卫士实例可以降低版本和规格吗？ 容器安全卫士是否支持自动续订？ 容器安全卫士是如何计算并限制防护节点个数的？ 若当前版本包含的防护节点个数不够用时，如何处理？ 续费时是否可同时变更容器安全卫士版本或规格？ 防护节点购买上限是什么？ 容器安全卫士是否支持按需计费？ 在使用期间购买了防护节点 ，资源到期时间是何时？ 购买的扩容节点，支持单独退订吗？ 退订重购后，原实例的配置数据可以保留吗？ 同一个账号可以购买多个容器安全卫士实例吗？ 同一个账号在同一个区域只能购买一个实例，对应一个主套餐版本。购买容器安全卫士实例后，您可以升级版本或扩容防护节点数。

参数 是否必选 参数说明 名称 是 伸缩组的名称，用户可自定义，也可以选择保持系统默认分配名称。 最大实例数（台） 是 伸缩组内包含的实例数量的最大值，伸缩组内执行的任何伸缩活动结果不得大于最大实例数。 若您修改了伸缩组的最大实例数使得伸缩组的当前实例数大于最大实例数，弹性伸缩服务会自动移出实例，保证伸缩组的当前实例数等于最大实例数。 最小实例数（台） 是 伸缩组内包含的实例数量的最小值，伸缩组内执行的任何伸缩活动结果不得小于最小实例数。 若您修改了伸缩组的最小实例数使得伸缩组的当前实例数小于伸缩最小实例数时，弹性伸缩服务会自动添加实例，保证伸缩组的当前实例数等于伸缩最小实例数。 开启期望实例数 否 伸缩组内是否开启期望实例数配置。期望实例数是伸缩组内包含的实例数量的稳态值。 若您为伸缩组开启并设置了期望实例数，当伸缩组内实例数不等于期望实例数时，弹性伸缩服务会自动进行扩缩容，确保伸缩组内始终保持该数量的实例数。 虚拟私有云 是 同一伸缩组内的弹性云主机的虚拟私有云是一致的。 网卡 是 一个伸缩组可以绑定多张网卡，默认第一张网卡为主网卡。 多可用区扩容策略 是 多可用区资源池伸缩组需指定扩容策略。 均衡策略：在伸缩组绑定的伸缩配置关联多个可用区时生效，支持在多个可用区之间均衡分布云主机实例。 优先级策略：伸缩组绑定的伸缩配置先选择的可用区优先级高。弹性伸缩优先在优先级最高的可用区尝试伸缩活动。若无法扩进行伸缩活动，则自动在优先级次之的可用区进行。 添加已有云主机实例 否 伸缩组创建完成后，支持将符合条件的已有云主机实例移入伸缩组，作为初始化实例，最大可选择添加10个实例。添加已有的云主机实例数量受到最小、最大、期望实例数限制。 安全组 是 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。 负载均衡 否 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。当选择使用弹性负载均衡时，需配置4个参数：负载均衡器、主机组、后端端口和权重。 访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。 注意：一个伸缩组可最多关联10个负载均衡监听器。 实例移除策略 是 在对伸缩组进行缩容时，会采用此策略进行移除，共有以下四种方式： 较早创建的配置较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例：根据时间筛选较早创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例：根据时间筛选较晚创建的实例，跟是否是伸缩配置创建的无关。 实例回收模式 是 指伸缩组自动创建的实例被移出后的处理策略。 释放模式：将移出的伸缩组自动创建的云主机释放。 注意：对于手动移入伸缩组的云主机，如果被移出伸缩组，资源不会被释放，状态保持不变，不适用此策略。 健康检查方式 是 健康检查会将处于“异常”状态的云主机从伸缩组中移出，并替换同种规格的云主机来承载业务流量。有以下两种方式： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、错误等人为或非人为状态都是云主机异常状态。 弹性负载均衡健康检查：是指根据负载均衡对云主机的健康检查结果进行的检查。所有监听器下检测到的云主机状态必须均为正常。 不启用：关闭伸缩组健康检查，伸缩组不会获取实例健康状态信息。 注意：只有开启负载均衡时您才可以选择弹性负载均衡健康检查，建议当伸缩组开启负载均衡时，使用弹性负载均衡健康检查。 健康检查间隔 是 执行健康检查的周期时间。您可以根据业务实际情况设置合理的健康检查间隔（5分钟、 15分钟、 1小时、 3小时），以确保其包含主机中应用程序的预期启动时间。 企业项目 是 支持为伸缩组选择企业项目。

四、资源同步配置 在进行资源同步配置前，需更改云主机安全组端口限制，可选择以下两种方式： 1）出方向/入方向放通所有端口； 2）出方向放通所有端口，入方向配置如下端口放通： 源主机 目标主机 端口号 含义 备注 工作机 灾备机 26355 容灾数据恢复端口，灾备机需要开放。 通用端口 工作机 灾备机 26356 容灾数据镜像端口，灾备机需要开放。 通用端口 工作机 灾备机 26357 容灾数据复制端口，灾备机需要开放。 通用端口 工作机/灾备机 工作机/灾备机 26305 高可用心跳，工作机和灾备机均需要开放。 主机高可用需要放通 备份客户端 备份服务器 26308 备份/恢复端口。 数据定时灾备需要放通 备份客户端 备份服务器 26324 【可选项】备端重删，重删库读写接口服务监听端口。 数据定时灾备需要放通 备份客户端 备份服务器 26331 【可选项】开启源端重删功能。 数据定时灾备需要放通 备份客户端 备份服务器 26332 【可选项】开启源端重删功能。 数据定时灾备需要放通 备份客户端 备份服务器 26333 【可选项】开启源端重删功能。 数据定时灾备需要放通 工作机 NAS同步机 26302 文件变化事件通知同步主机，使用NAS同步主机同步方式时，NAS同步主机上需要开放。 文件存储数据灾备需要放通 NAS同步机 灾备机 26315 同步主机数据传输到灾备机，使用NAS同步主机同步方式时，灾备机上需要开放。 文件存储数据灾备需要放通 不同同步功能配置不同，详情可参见主机高可用配置、持续数据保护配置、数据定时灾备配置、文件存储数据灾备配置、对象存储数据配置。

并行文件系统 并行文件系统（Parallel File System）是对象存储服务（Object Storage Service，OBS）提供的一种经过优化的高性能文件系统，能够快速处理高性能计算（HPC）工作负载。 访问密钥（AK/SK） OBS支持通过AK/SK认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。当您使用OBS提供的API进行二次开发并通过AK/SK认证方式完成认证鉴权时，需要按照OBS定义的签名算法来计算签名并添加到请求中。 OBS支持使用永久AK/SK鉴权，也支持通过临时AK/SK和securitytoken进行认证鉴权。 永久AK/SK 用户可以在“我的凭证”页面创建永久AK/SK。 Access Key Id（AK）：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 Secret Access Key（SK）：与访问密钥ID结合使用的私有访问密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 临时AK/SK 临时AK/SK和securitytoken是系统颁发给用户的临时访问令牌，有效期范围为15分钟至24小时，过期后需要重新获取。临时AK/SK和securitytoken遵循权限最小化原则，可应用于临时访问OBS。如果未使用securitytoken，会返回403错误。 临时Access Key Id：临时访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 临时Secret Access Key：与临时访问密钥ID结合使用的临时私有访问密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 securitytoken：与临时访问密钥ID和临时私有访问密钥结合使用，可以访问指定账号下所有资源。 当使用如下工具访问OBS资源时，需配置AK/SK用于生成鉴权信息进行安全认证。 工具 AK/SK配置方式 OBS Browser+ 在配置账号时配置AK和SK。 API 在计算签名时添加AK和SK到请求中。

本文主要介绍如何创建备份策略。 通过备份策略，您可以按照一定的策略要求对服务器数据进行周期性备份，以便服务器在数据丢失或损坏时快速恢复数据，保证业务正常运行。 说明 通过备份策略的方式对云服务器进行周期性备份，仅当启用备份策略后，系统才会自动备份所绑定的服务器，并定期删除过期的备份。 每个用户最多只能创建32个备份策略。 一个备份策略中最多可以绑定64个服务器。 操作步骤 1. 登录云服务器备份管理控制台。 1. 登录管理控制台。 2. 选择“存储 > 云主机备份”。 2. 选择“策略”页签，单击页面左上方的“创建备份策略” 3. 设置备份策略信息，各参数说明如下： 名称 ： 设置备份策略的名称。只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于255个字符。 是否启用 ： 设置备份策略的启用状态。 启用数据库服务器备份（可选）： 启用后，系统将执行应用一致性备份。若同时勾选“应用一致性备份失败后继续备份”，应用一致性备份失败后系统将执行崩溃一致性备份；若不勾选，应用一致性备份失败后将直接产生失败备份。使用应用一致性备份前，请完成安全组更改和成功安装客户端。 备份时间： 设置备份任务在一天之内的执行时间点。最多支持在一天内设置24个备份时间，且任意两个备份时间间隔必须大于等于一小时。如果连续两天进行备份，第一天的最后一次备份时间与第二天的第一次备份时间间隔也需要大于等于一小时。 备份周期 ： 设置备份任务的执行日期。 保留规则： 设置备份产生后的保留规则：按时间，按数量，永久保留。 4. 设置完成后，单击确定，完成备份策略的创建。 5. 在备份策略所在行，单击“绑定服务器” 6. 在服务器列表中勾选需要绑定的服务器，勾选后将在已选服务器区域展示。 7. 单击确定。

本节为您介绍权限管理的概念。 在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用 统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。镜像服务相关的系统策略包含如下： Admin：镜像服务的管理者权限，包含镜像服务所有控制权限（不含订单类权限）。 Viewer:镜像服务的观察者权限，包含镜像服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

约束与限制 使用混合负载均衡功能时，请注意以下事项： 请前往负载均衡器基本信息页面开启跨VPC后端功能，否则该功能无法正常使用。 添加的跨VPC后端的IP地址只允许为IPv4类型的地址。 添加的跨VPC后端的IP地址不能为本VPC内的IP地址以及公网IP地址，否则请求不可达。 请确保负载均衡器的后端子网有足够的IP地址（至少有16个可用IP地址），否则该功能无法正常使用。可以通过负载均衡器的“基本信息 > 后端子网”添加多个后端子网来增加后端子网的IP地址。 跨VPC后端的安全组规则必须放通负载均衡器的后端子网网段，否则会导后端业务流量与健康检查异常。 跨VPC后端功能开启后无法关闭。 方案架构 独享型负载均衡（ELBTest）在VPCTest01（172.18.0.0/24）中； 云主机（ECSTest）在VPCTest02（172.17.0.0/24）中； 通过使用跨VPC后端功能将VPCTest02（172.17.0.0/24）中的云主机（ECSTest）添加至独享型负载均衡（ELBTest）的后端云主机组中。 资源规划 表 资源规划表 资源 资源名称 资源说明 ::: VPC VPCTest01 创建独享型负载均衡（ELBTest）所在VPC：172.18.0.0/24 VPC VPCTest02 服务器（ECSTest）所在的VPC：172.17.0.0/24 对等连接 PeeringTest 在ELB所在的VPC和云上其他VPC之间建立对等连接 本端VPC网段：172.18.0.0/24 对端VPC网段：172.17.0.0/24 路由表 RouteVPCTest01 创建对等连接路由，所属VPC：VPCTest01 目的地址：172.17.0.0/24 路由表 RouteVPCTest02 创建对等连接路由，所属VPC：VPCTest02 目的地址：172.18.0.0/24 ELB ELBTest 独享型负载均衡 EIP EIPTest 用于给ELBTest绑定的弹性公网IP 119.3.233.52 ECS ECSTest ECS所属VPC：VPCTest02 私网IP：172.17.0.145

使用场景 当您遇到VPC中的两个实例IP地址冲突，或者在进行网络重构或迁移时，需要调整VPC网络架构、子网划分等，这可能会导致需要修改物理机内网IP或更换VPC。 前提条件 物理机处于关机状态。 只有主网卡支持修改内网IP，必须先删除辅助网卡。 如果网卡绑定了虚拟IP或者DNAT规则，需要先解绑。 如果网卡上有IPv6地址，无法修改（包括IPv4和IPv6的）内网IP地址，请先删除IPv6地址。 如需修改弹性负载均衡后端服务器的内网IP地址，请先移出后端服务器组后再修改内网IP。 如果物理机作为静态路由的下一跳，必须先删除静态路由再修改内网IP。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择西南西南1。 3. 依次选择“计算”，单击“物理机服务”，进入物理机控制台页面。 4. 在物理机列表，选择需要修改内网IP或者更换VPC的物理机，在物理机详情页选择“网卡”页签，点击“修改内网IP”或者“更改VPC”。 5. 在修改内网IP弹框页面或者更换VPC弹框页面，输入相关参数，点击“确定”按钮。 注意 修改内网IP会导致物理机网络中断，同时更改物理机子网、IP地址、MAC地址。 修改内网IP过程中，请勿操作物理机的弹性IP，或对物理机做其他操作。 修改内网IP后，请重新检查配置安全组、ACL、虚拟IP地址等配置。 修改内网IP后，请重新配置网络相关的服务、应用软件，例如虚拟IP、静态路由表、ELB、NAT、DNS等。 标准裸金属在多AZ资源池无法支持修改内网IP和更换VPC，建议提前做好网络规划。

本节介绍分布式缓存产品规格API参数 本节介绍分布式缓存Redis产品订购、扩缩容、增减分片数、增减副本数、变配以及对应询价接口API参数，包括版本类型、实例类型、版本号、主机类型、分片规格、分片数、规格、副本数、磁盘类型等。 具体参数范围可能因为不同资源池配置上线的产品有所差异，可通过 资源池可创建规格 接口查询，具体可参照下表 API参数对照表。 资源池、可用区、虚拟私有云ID、所在子网ID、安全组ID、实例名称、实例密码参数为产品订购必填参数，本节不作详细说明。 基础版API参数 参数说明 参数取值 标准版 Cluster集群 Proxy集群 读写分离 版本类型 version BASIC BASIC BASIC BASIC 实例类型 edition StandardDual DirectCluster ClusterOriginalProxy OriginalMultipleReadLvs 版本号 engineVersion 5.0 6.0 7.0 5.0 6.0 7.0 5.0 6.0 7.0 5.0 6.0 7.0 主机类型 hostType X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 分片规格 shardMemSize 1 2 4 8 16 32 64 1 2 4 8 16 32 64 1 2 4 8 16 32 64 1 2 4 8 16 32 64 分片数 shardCount 不填 3~256 3~256 不填 规格 capacity 不填 不填 不填 不填 副本数 copiesCount 1~10（默认值：2） 1~10（默认值：2） 1~10（默认值：2） 2~10（默认值：2） 磁盘类型 dataDiskType SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称