接口功能介绍 更新用户配置 接口约束 签约服务器安全卫士 URI POST /v1/safetyReport/config/update 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 generateType 是 Array of Strings 订阅报表类型列表 DAYREPORT日报 MONTHREPORT月报 WEEKREPORT周报 ["DAYREPORT"] reportSubscribe 否 Array of Strings 报表订阅人id列表 ["CP10001"] 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 0 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

本章节主要介绍如何设置网卡的源/目的检查。 操作场景 开启网卡的源/目的检查，系统会检查物理机服务器发送的报文中源IP地址是否正确，否则不允许物理机服务器发送该报文。这有助于防止伪装报文攻击，提升安全性。 操作步骤 1.登录管理控制台。 2.选择“计算 > 物理机服务”。 进入物理机页面。 3.单击待设置网卡的物理机的名称。 系统跳转至该物理机的详情页面。 4.选择“网卡”页签，单击待设置网卡前的图标。 5.选择打开或关闭“源/目的检查”开关。 默认情况下，“源/目的检查”状态为“ON”，系统会检查物理机发送的报文中源IP地址是否正确，否则不允许物理机发送该报文。这有助于防止伪装报文攻击，提升安全性。当物理机作为NAT服务器、路由器或防火墙时，此开关应该设置为“OFF”。

容器镜像服务是一种支持容器镜像生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务。

此小节介绍数据库安全版本性能规格说明 版本和性能规格说明 数据库安全审计功能提供了基础版、专业版和高级版三种服务版本。您可以根据业务需求选择相应的服务版本。 版本 支持的数据库实例 系统资源要求 性能参数 基础版 最多支持3个数据库实例 CPU：4U 内存：8GB 硬盘：500GB 吞吐量峰值：3,000条/秒 入库速率：360万条/小时 4亿条在线SQL语句存储 50亿条归档SQL语句存储 专业版 最多支持6个数据库实例 CPU：8Ul内存：16GB 硬盘：1TB 吞吐量峰值：6,000条/秒 入库速率：720万条/小时 6亿条在线SQL语句存储 100亿条归档SQL语句存储 高级版 最多支持30个数据库实例 CPU：16U 内存：32GB 硬盘：2TB 吞吐量峰值：30,000条/秒 入库速率：1080万条/小时 15亿条在线SQL语句存储 600亿条归档SQL语句存储

产品概述 天翼云云助手（CTCA， Cloud Assistant）是专门为云服务器打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat、Python等），完成运行自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。 产品优势 批量执行命令 通过云助手，您能够以安全可靠的方式远程管理大规模的实例，无需登录服务器、使用堡垒主机或 SSH。 提供集成工具 云助手可作为运维部署工具，免费支持 API，可供集成。 查询历史记录 通过云助手执行的操作系统脚本命令，您可以查询到其历史记录信息。 实现自动化 您可以预先创建常用的操作命令，并通过云助手高效完成您的日常任务。例如：注册表编辑、用户管理、软件和补丁安装等。 应用场景 当您涉及以下业务场景时，可通过云助手快速实现需求： 上传并运行自动化运维脚本。 执行常见操作任务。 运行已保存的脚本。 批量安装软件或应用。 安装补丁或安全更新。 上传文件或证书到指定目录。 使用限制 云助手具备以下限制项： 2024年6月30日之后使用公共镜像创建的实例，默认已预装云助手客户端。若您的实例于2024年6月30日前购买，请参考 安装云助手客户端 进行安装。 单次执行命令实例数量上限为100。 云助手仅保存最近三个月的命令执行历史记录，且记录数量最大保存10万条。 创建的Bat、PowerShell、Python或者Shell脚本和自定义参数的使用场景与文件大小说明如下： 1. 上传文件：文件大小不能超过24 KB。 2. 创建命令：命令大小不能超过24 KB。

计费示例 假设您在2023/03/10 8:45:30在性能测试服务（假设产品单价为0.0032元/VUM）上启动了压测任务，然后在9:30:00将其全部停止运行，则计费周期分为如下两个时间段： 8:00:009:00:00时间段，在8:45:309:00:00间产生费用，该计费周期内的计费时长为870秒。则该计费时间段的费用为：0.0032x870÷600.0464（元）。 9:00:0010:00:00时间段，在9:00:009:30:00间产生费用，该计费周期内的计费时长为1800秒。则该计费时间段的费用为：0.0032x1800÷600.096（元）。 包周期计费 适用场景 包周期套餐包适用于可预估资源使用周期的场景，价格比按需套餐包计费模式更优惠。对于测试任务需长期7x24小时持续运行的场景，推荐该方式。以下是一些适用于包周期套餐包计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业业务系统等，包周期套餐包计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包周期套餐包计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包周期套餐包以应对高峰期的需求。 数据安全要求高：对于数据安全性要求较高的业务，包周期套餐包计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

本节介绍服务器安全卫士（原生版）漏洞扫描操作指南，包括如何一键手动扫描漏洞、如何配置定时扫描策略。 服务器安全卫士（原生版）支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞、应急漏洞，提供如下扫描方式： 一键手动扫描漏洞 如果用户想立即了解服务器当前是否存在漏洞风险，可以执行“一键扫描”，立即手动扫描服务器中的漏洞。 定时自动扫描漏洞 用户可以开启“定时扫描”，配置定时扫描周期和范围，定期对服务器上存在的漏洞进行自动扫描。 约束限制 漏洞扫描支持的操作系统请参见支持的操作系统。 仅支持对已安装Agent且“Agent状态”为“在线”、“防护状态”为“防护中”的服务器进行漏洞扫描。 一键手动扫描漏洞 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击“一键扫描”，页面右侧弹出一键扫描设置窗口。 4. 设置扫描参数，参数说明如下。 参数 说明 漏洞类别 支持扫描“Linux软件漏洞”、“Windows系统漏洞”、“WebCMS漏洞”、“应用漏洞”和“应急漏洞”。 设置生效范围 选择扫描哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要扫描的服务器。 说明 以下服务器不能被选中执行漏洞扫描： 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。 5. 单击“确定”，立即开始扫描。 说明 扫描需要一定的时间，请耐心等待，期间您可以切换页面执行其他操作。等待过程中您可以手动刷新页面查看最新扫描数据。

本节介绍如何管理漏洞白名单。 如果确认漏洞不会对您的业务造成任何影响，无需修复，您可以将漏洞添加至白名单。漏洞加入白名单后，漏洞列表不再展示该漏洞信息，在下一次漏洞扫描任务执行时，系统不会再扫描和展示该漏洞信息。 查看白名单列表 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击页面右上角的“白名单管理”，进入白名单管理页面。 4. 可以查看已加入白名单的漏洞，包括漏洞公告、CVE编号、漏洞类别、修复优先级。 添加白名单 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 勾选漏洞列表中所有需要加入白名单的漏洞，单击漏洞列表左上角的“加入白名单”，批量对漏洞进行加白。 4. 在弹出的对话框中，确认漏洞名称和影响服务器数量后，单击“确定”。 移除白名单 您可以随时对已加入白名单的漏洞，从白名单中移除。移除后，下一次进行漏洞扫描时，系统将对该漏洞进行扫描并展示。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击页面右上角的“白名单管理”，进入白名单管理页面。 4. 选择需要移除的漏洞，点击操作列中的“移除白名单”，或勾选需要移除的漏洞，单击列表左上角的“移除白名单”，进行批量操作。 5. 在弹出的确认对话框中，单击“确定”，漏洞被移除白名单。

本章节介绍数据库安全如何安装Agent。 安装Agent后，您才能开启数据库安全审计功能，对待审计的数据库进行审计。 本节介绍如何在Linux系统上安装Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 已获取Linux操作系统Agent安装包。 安装Agent节点的运行系统满足Linux系统版本要求。 安装Agent 在您安装新版Agent的时候，需要您为当前安装的Agent自定义一个密码。 请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。 1. 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 2. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 3. 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。cd Agent安装包所在目录 4. 执行以下命令，解压缩“xxx.tar.gz”安装包。tar xvf xxx.tar.gz 5. 执行以下命令，进入解压后的目录。cd解压后的目录 6. 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。 7. 执行以下命令，安装Agent。sh install.sh。用户系统是Ubantu时，执行以下命令安装Agent。bash install.sh。界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 start agent starting audit agent audit agent started start success install dbss audit agent done! 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 8. 执行以下命令，查看Agent程序的运行状态。service auditagent status如果界面回显以下信息，说明Agent程序运行正常。audit agent is running.

本文介绍使用OBS推流可能失败的原因。 使用OBS推流时，推流失败可能有多种原因导致。以下是一些常见的原因： 推流服务器配置错误：请确保您在OBS中正确配置了推流服务器的地址、端口和密钥等信息。检查您的配置是否与推流服务器的要求一致。 网络连接问题：推流过程中可能会出现网络连接问题，例如网络延迟、丢包等。请确保您的网络连接稳定，并尝试使用其他网络环境进行推流。 推流码率设置过高：如果您设置的推流码率过高，可能会导致推流失败。尝试降低推流码率，并确保它适合您的网络带宽。 推流设备问题：推流设备（例如摄像头、麦克风）可能存在问题，例如设备驱动程序不正确、设备与计算机的连接问题等。请检查设备是否正常工作，并在OBS中正确配置设备。 防火墙或安全软件阻止推流：某些防火墙或安全软件可能会阻止OBS进行推流。请确保您的防火墙或安全软件允许OBS进行网络连接和数据传输。 OBS版本不兼容：OBS的版本可能不兼容您的操作系统或其他相关软件。尝试升级到最新版本的OBS，并确保它与您的系统兼容。 直播服务器故障：直播服务器可能存在故障或维护。请通过工单与技术支持团队联系，确认服务器是否正常运行。 流在禁推列表中：如果流在禁推列表中，则也会导致推流失败。 如果您遇到推流失败的问题，建议您逐步排查以上可能的原因，并查看OBS的日志文件以获取更多详细信息。您还可以参考OBS的官方文档和社区论坛，寻求更多的技术支持和解决方案。

本文介绍了修改文件读写权限的最佳实践。 操作场景 在实际业务中，由于以下原因和目的，您可能需要修改对象的读写权限： 数据安全：通过修改对象的读写权限，可以确保数据仅对授权用户或系统可见和可访问。限制对象的访问权限可以减少数据泄露和未经授权的访问风险，提高数据的安全性。 数据分享：在某些场景下，您可能需要与他人或公众共享特定的对象。通过修改权限，您可以将对象的读取权限开放给其他用户或特定的用户群体，以便与他们分享数据，也可以用于共享公共资源、发布媒体内容或进行数据传输等场景。 方案说明 ZOS控制台支持私有和公共读两种权限的相互转换，为确保您的数据安全，建议您选择私有。 桶的读写权限的更改不会改变桶内已有文件的读写权限，新上传文件会默认继承桶的读写权限。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择所需的资源池节点，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要设置的文件，点击文件所在行的“更多”按钮。 6. 点击更多下拉选项中的“设置读写权限”按钮。 7. 如选择“公共读”，需勾选“ 我已阅读并同意相关协议《天翼云对象存储系统服务协议》”点击“确认修改”，完成读写权限设置。 8. 如选择“私有”，直接点击“确定”，完成设置。

本章节介绍什么是媒体存储。 产品简介 媒体存储（CTXStor，原对象存储融合版）是天翼云基于分布式数据存储和媒体处理技术，为客户提供海量视频、图片及其他非结构化数据存取与处理的云服务，具有弹性灵活、安全可靠、高性价比等优点，支持多种存储协议及多档资源类型，深度匹配各类行业场景应用。 产品架构 支持多种网络接入，如公网、内网、专线等接入方式，满足用户不同的网络环境情况。 提供多种接入方式，如标准存储协议、流直存，并提供丰富的API与SDK，供用户、开发者使用，便捷快速上云。 通过数据迁移服务，用户可以轻松地将海量数据迁入媒体存储。 提供多种标准存储协议以及多档资源类型，精细匹配应用场景需求。 搭配基础管理、生命周期、数据安全与数据处理等功能，完成数据的全生命周期管理。 重要特性 版本控制：媒体存储支持版本控制，针对Object的覆盖和删除操作以历史版本的形式保存下来，可将 Object 恢复至任意的历史版本。 存储桶复制：支持跨不同存储区域或同一存储区域的Bucket 自动、异步（近实时）复制对象（Object），可根据配置，将源桶Object的创建、更新和删除等操作复制到目标Bucket。 合规保留：开启合规保留后，处于合规保留期的对象均“不可删除、不可篡改”。 图片处理：针对媒体存储内存储的图片文件（Object），您可以在GetObject请求中携带图片处理参数对图片文件进行处理。例如添加图片水印、转换格式等。 媒体存储为客户提供更多数据管理、数据安全和数据处理等功能，详情请参见 产品功能 文档。

Agent管理页面中用户自定义接入主机的IP是如何获取的？ AOM会默认遍历虚机上的所有网卡设备，按照以太网卡、Bond网卡、无线网卡等优先级顺序获取IP，如果获取到的不是期望的地址，可以在启动ICAgent时设置进程的环境变量ICNETCARD网卡名，获取指定网卡IP。 举例： 1、在/etc/profile中增加export ICNETCARDeth2。 2、执行source /etc/profile使环境变量在当前shell生效。 3、进入/opt/oss/servicemgr/ICAgent/bin/manual/目录，停止并重新启动icagent。 bash mstop.sh bash mstart.sh 4、查看该环境变量是否正确传递到应用中。 strings /proc/{icagentprocid}/envrion grep ICNETCARD 说明 如果ICAgent显示的IP地址是127.0.0.1，则可能是ICAgent启动时未获取到本机的IP导致，例如VM掉电重启时会出现。此时您需要重启ICAgent即可。 若您的主机IP发生变更（例如续租时分配了新的IP），此时Agent管理页面中显示的可能还是原来的IP，需要您重启ICAgent即可。 Windows环境下安装icagent失败，并提示SERVICE STOP 现象：在Windows环境下安装icagent失败，提示SERVICE STOP。任务管理器中不存在icagent任务。系统服务列表中不存在icagent服务。命令行下执行sc query icagent提示未找到。 原因：一般为360安全卫士等杀毒软件拦截了icagent服务注册。 解决方法： 1. 检查360安全卫士等杀毒软件是否正在运行。 2. 关闭360安全卫士后再进行icagent安装。 说明 Windows下icagent采集文件类型需要手动配置采集路径.log、 .trace、 .out等文本文件，不支持二进制文件、不支持Windows系统日志。

虚拟私有云(CTVPC ,Virtual Private Cloud)为用户构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户公有云中资源的安全性,简化用户的网络部署。

接口功能介绍 加入/删除白名单。 接口约束 已经签约安全卫士服务协议 URI POST /v1/vulnerability/vulHandle 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 handleType 是 String handleType 处理类型,CANCELWHITE移除白名单 CANCELWHITE handleList 是 Array of Objects handleList 移除白名单列表 表 handleList 表 handleList 参数 是否必填 参数类型 说明 示例 下级对象 cve 否 String cve CVE20201234 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200

本文向您介绍怎样禁用通过SSH密码访问云主机的连接方式。 操作场景 安全性方面，SSH密钥连接方式的安全性高于密码连接方式。选择密钥方式连接云主机后，可以禁用密码连接云主机的方式。 说明 该设置方法仅适用于SSH远程连接操作，控制台登录过程仍然使用密码登录，请妥善保存云主机登录密码，如果密码丢失可执行重置密码操作。 操作步骤 1. 登录Linux云主机，执行以下命令打开sshdconfig文件的编辑界面。 vi /etc/ssh/sshdconfig 编辑SSH连接方式，把PasswordAuthentication yes改为PasswordAuthentication no。 2. 重启sshd服务后使更新后的配置生效，无报错则为重启成功。 CentOS6/ubuntu执行： service sshd restart CentOS7/CtyunOS执行： systemctl restart sshd 3. 重启该云主机后，使用SSH密码方式访问云主机，如果提示“Disconnected:No supported authentication methods available”，说明已成功禁用SSH密码连接方式。

如何激活Windows物理机？ 对于Windows系列操作系统，目前需要手动激活。 步骤 1 登录Windows物理机操作系统。 步骤 2 单击“开始”菜单，在“搜索程序和文件”中输入“cmd”，并按“Enter”，打开命令提示符。 步骤 3 执行以下命令，配置KMS服务器地址。 slmgr.vbs skms 100.125.0.31 步骤 4 执行以下命令，查看是否激活。 slmgr.vbs ato 如果出现错误：0xC004F074 软件授权服务器报告无法激活该物理机。密钥管理服务（KMS）不可用，说明无法激活，需要执行步骤5。 步骤 5 查看物理机时间与标准时间是否一致，时间相差较大会出现无法激活的情况，将其设置为一致。 步骤 6 执行以下命令，检查物理机到KMS服务器端口是否可达。 telnet 100.125.0.31:1688 如果无法连接，说明物理机内部防火墙没有放通1688端口，需要关闭或者放通防火墙TCP 1688端口。如果有安全狗之类的安全软件也请暂时停止使用。 步骤 7 执行以下命令，重试物理机是否激活。 Slmgr.vbs ato

本文介绍云搜索服务产品使用期间的能力限制。 实例与节点 每个实例数据节点最小节点数量为3，最大支持50节点，协调节点最大支持32个，冷数据节点最大支持50个，专属master最大支持3个，Logstash节点最多20个。扩容节点数量上限同上。如果需要扩大上限，请工单联系我们调整。 每个节点仅限使用一块云硬盘，限制配额最大6T。XSSD2硬盘的起订下限为512GB，其余规格为40GB。 网络访问 实例创建完成后，不支持切换VPC网络，请在开通前提前规划业务部署。 为保证数据安全，Kibana、Dashboards、Cerebro需设置密码和访问安全策略。 版本说明 云搜索服务采用类似云搜索a.b.c格式的版本号，详细说明如下： a代表版本有较大的变动。 b代表版本中一些组件的变动。 c代表版本中Bug修复，可以向前兼容；以及一些较小的变动。 云搜索服务每个版本创建的实例组件版本是固定的，创建后不会自动升级。

本章主要介绍最佳实践概述 场景描述 本手册基于天翼云API网关实践所编写，用于指导您开放并调用API。 应用场景范围：基于天翼云API网关开放容器应用服务。 云容器引擎（CTCCE，Cloud Container Engine，简称CCE）中的工作负载，以及微服务，可通过API网关将服务能力以API形式对外开放。 方案优势 借助API网关开放CCE容器应用，具有如下优势： 无需设置弹性公网IP，节省网络带宽成本 API网关支持建立VPC通道，访问CCE中工作负载的地址。 提供多种认证方式，增加访问安全性 提供访问流量控制策略，增加后端服务的安全性 与直接访问容器应用相比，API网关提供流量控制，确保后端服务稳定运行。 支持多实例负载均衡，合理利用资源，增加系统可靠性 流程图 本手册介绍如何通过API网关访问CCE中的工作负载。 图1通过API网关访问CCE工作负载（由实例组成）

命令重命名 GeminiDB Redis实例创建成功后，支持对命令进行重命名。对于高危命令（如：flushall、hgetall、eval），建议您联系客服禁用或重命名，以增强实例的安全性。

接口功能介绍 漏洞扫描检测结果查询 接口约束 已经签约安全卫士服务协议 URI POST /v1/vulnerability/show 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 taskId String 任务id 2121313 status Integer 任务状态 0：未开始 1：进行中 2：已完成 3/4/5/6：取消执行 0 startTime String 开始时间 20220506 00:00:00

接口功能介绍 服务器设置中心，最新同步时间查询 接口约束 已经签约安全卫士服务协议 URI GET /v1/sync/time 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj String 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {} 响应示例 {"message": "success", "traceId": "211111111111111111111", "statusCode": "200", "error": "CTCSSCN000000", "returnObj": ""} 状态码 请参考 状态码

接口功能介绍 统计最近一次需紧急修复的漏洞数、存在漏洞服务器数、未处理漏洞数。 接口约束 已经签约安全卫士服务协议 URI POST /v1/vulnerability/statics 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 emergentVul Integer 需紧急修复的漏洞 0 unHandle Integer 未处理的漏洞 0 hostNum Integer 存在的漏洞的服务器 0

问题描述 在安装Windows操作系统的本地PC上，通过远程桌面RDP协议（如MSTSC方式）连接Windows云服务器时，报错提示：出现身份验证错误，要求的函数不受支持。 如果报错信息中仅提示：出现身份验证错误，要求的函数不受支持。请参考“处理方法”部分解决该问题。 如果报错信息中附加提示“这可能是由于CredSSP加密数据库修正”，如下图所示，那么可能原因是微软于2018年3月发布安全补丁，该安全补丁会影响RDP连接CredSSP，从而导致通过RDP协议访问云服务器时连接失败。 处理方法 1. 登陆云服务器。 2. 打开“开始”菜单，右键单击“计算机”，选择“属性”，左侧导航栏选择“远程设置”。 3. 在“远程”页签中“远程桌面”栏，选择“允许远程连接到此计算机”。

河南备案需要下载的文件 ICP备案信息真实性核验单.doc 信息安全承诺书.doc ICP负责人授权书模板.docx 河南省个人网站备案承诺书.doc 湖南备案需要下载的文件 ICP备案信息真实性核验单.doc 信息安全承诺书.doc 网站负责人授权委托书（湖南）.docx APP负责人授权委托书（湖南）.docx

本节向您介绍数据安全中心的使用约束。 数据安全中心DSC仅支持管理天翼云上的数据资产，暂不支持管理其他云厂商的数据资产。 支持的数据源 关系型数据库（Relational Database Service，RDS） 对象存储服务（Object Storage Service，OBS） 数据仓库服务（Data Warehouse Service，DWS） 文档数据库服务（Document Database Service，DDS） MapReduce服务（MapReduce Service，MRS） 云搜索服务（Cloud Search Service，CSS） 数据湖探索服务（Data Lake Insight，DLI） 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 支持的数据库类型及版本 DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostgreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12

Agent安装 登录控制台 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，单击“安装Agent”。 Linux主机安装Agent 1. 复制“云外主机”安装命令。 2. 在Linux云主机中以管理员权限执行安装命令进行安装。 Windows主机安装Agent 1. 复制“云外主机”安装命令。 2. 在Windows云主机中打开CMD程序（Win+R组合键，输入cmd）。 3. 在打开的CMD.exe中以管理员权限执行安装命令进行安装。 控制台查看 1. 登录服务器安全卫士（原生版）控制台。 2. 3. 在左侧导航栏，选择“资产管理 > 服务器列表”，在服务器列表页面查看纳管的资产是否存在。 4. 查看资产防护状态是否正常。 5. 对需要防护的服务器切换版本，绑定企业版配额。

本页为本地MySQL迁移到RDS for MySQL的具体操作流程。 1、购买DTS迁移实例 购买实例入口请参考订购数据迁移实例。 本地MySQL迁移到RDS for MySQL的相关配置为： 在订购页面，实例类型选择"数据迁移"，网络接入类型选择"公网EIP"，数据库类型选择"MySQL"，目标库实例请选择需要将数据迁移至该库的RDS for MySQL实例，完成页面信息的选择和设置后，完成迁移实例的购买。 2、配置实例 开通实例后，在【数据迁移】实例列表页面中，实例处于“待配置”状态，先点击“绑定弹性IP”按钮完成公网弹性IP的绑定，然后再点击该实例操作列的“实例配置”按钮。 3、配置源库及目标库信息 进入实例配置页面的第一步，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。 还可以选择连接方式为 SSL安全连接 ，此时需要上传正确的证书文件。 完成上述信息的填写后可以进行数据库的连接测试，测试数据库能否正常连接。 4、选择迁移对象 所有信息填写正确后，点击检测连通性并下一步按钮，进入配置迁移对象及高级配置页面，选择要迁移的源库对象。 各配置及说明如下： 配置 说明 任务步骤 如果只需要进行全量迁移，请同时勾选库表结构迁移和全量迁移 。 如果需要进行不停机迁移，请同时勾选库表结构迁移 、全量迁移和增量迁移 。 注意： 如果未选择增量迁移，为保障数据一致性和任务正常运行，数据迁移期间请勿在源实例中执行DML和DDL操作。 迁移对象 当前源库为MySQL的情况下，支持表、视图、函数、存储过程四种类型对象的迁移。 在迁移对象框中单击待迁移的对象，然后单击>将其移动到已选择对象框。已选择对象可以通过单击 <将对象回退。 选择迁移对象时，如不展开库的详细信息，则表示整库迁移，后续在增量任务过程中，可在源库创建新表，其他类型暂不支持。 映射名称更改 支持库表列三级名称映射，如需更改单个迁移对象在目标实例中的库名、表名和列名，选择对象，然后点击编辑按钮。 如需批量更改迁移对象在目标实例中的库名、表名，请单击已选择对象方框右上方的“批量编辑”。 注意： 若迁移任务仅包含结构迁移和全量迁移，支持列映射名称更改，若迁移任务包含增量迁移，不允许列映射名称更改。 库表名仅支持字母、数字和下划线，长度不超过64个字符。 过滤待迁移数据 支持设置where条件过滤数据，过滤条件不允许;和字符，如需使用引号，请使用单引号(')，只有满足where条件的数据才会迁移到目标库。 增量同步的DML 选择增量同步DML操作，选中迁移对象，点击“编辑”，在弹跳框中选择所需增量迁移的DML操作。若在数据库级别和表级别都指定了DML操作，则表级别的设置会覆盖库级别的。 增量同步的DDL 增量同步的DDL操作仅支持CREATE INDEX、DROP INDEX、ALTER TABLE和DROP TABLE，如果是整库迁移或同步，支持CREATE TABLE。 是否定时开始任务 同步任务可在指定的时间启动。

本节介绍了安装原生的XEN和KVM驱动的方法。 操作场景 在优化Linux私有镜像过程中，需要在云主机上安装原生的XEN和KVM驱动。 注意： 如果不安装XEN驱动，弹性云主机的网络性能很差，并且安全组和防火墙也不会生效； 如果不安装KVM驱动，弹性云主机的网卡可能无法检测到，无法与外部通信。因此，请您务必安装XEN和KVM驱动。 本节介绍安装原生XEN和KVM驱动的具体方法。 前提条件 对于使用Linux系统原生的XEN和KVM驱动的Linux云主机，其内核版本必须高于2.6.24。 建议您禁用任何防病毒软件或入侵检测软件，安装原生的XEN和KVM驱动完成后，您可以再次启用这些软件。 操作步骤 请根据操作系统版本，修改不同的配置文件： CentOS/EulerOS系列操作系统 以CentOS 7.0为例，请修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv以及virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/dracut.conf”文件，执行dracut f命令，重新生成initrd。 操作方法可参见下文“CentOS/EulerOS系列操作系统相关操作”。 Ubuntu/Debian系列系统 请修改“/etc/initramfstools/modules”文件，添加xenpv以及virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/initramfstools/modules”文件，执行updateinitramfs u命令，重新生成initrd。 操作方法可参见“Ubuntu/Debian系列操作系统相关操作”。 SUSE和openSUSE系列系统，根据操作系统版本不同，修改不同的配置文件。 − 当操作系统版本低于SUSE 12 SP1或低于openSUSE 13时，请修改“/etc/sysconfig/kernel”文件，在INITRDMODULES""添加xenpv以及virtio的驱动（xenpv驱动：xenvnif、xenvbd、xenplatformpci；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，执行mkinitrd命令，重新生成initrd。 − 当操作系统版本为SUSE 12 SP1时，修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv以及virtio的驱动（xenpv驱动：xenvnif、xenvbd、xenplatformpci；virtio驱动：virtioblk、virtioscsi、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，执行命令dracut f，重新生成initrd。 − 当操作系统版本高于SUSE 12 SP1或高于openSUSE 13版本时，修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv和virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/dracut.conf”文件，执行dracut f命令，重新生成initrd。 操作方法可参见下文“SUSE/openSUSE系列操作系统相关操作”。 说明： SUSE系列操作系统首先应确认OS是否已经安装了xenkmp包（xenpv的驱动包），执行以下命令： rpm qa grep xenkmp 回显类似如下： xenkmpdefault4.2.2043.0.760.110.7.5 如果没有安装xenkmp的包，请到ISO装机文件中获取并安装。 如果误将builtin形式的驱动添加到initrd或initramfs文件中，不会影响云主机正常使用。

本文主要介绍 创建无状态负载(Deployment) 。 操作场景 在运行中始终不保存任何数据或状态的工作负载称为“无状态负载 Deployment”，例如nginx。您可以通过控制台或kubectl命令行创建无状态负载。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有可用集群，请参照购买CCE集群中内容创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已创建负载均衡实例。 说明 单个实例（Pod）内如果有多个容器，请确保容器使用的端口不冲突 ，否则部署会失败。 通过控制台创建 步骤 1 登录CCE控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，在右上角单击“创建负载”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择无状态工作负载Deployment。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为default。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 实例数量：填写实例的数量，也就是Pod的数量。 容器运行时：CCE集群默认使用普通运行时。 时区同步：选择是否开启时区同步。开启后容器与节点使用相同时区（时区同步功能依赖容器中挂载的本地磁盘，请勿修改删除），时区同步详细介绍请参见时区同步。 容器配置 容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息：容器基本信息 生命周期：设置容器生命周期 健康检查：设置容器健康检查 环境变量：设置环境变量 数据存储：存储概述 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 容器日志：使用ICAgent采集容器日志 说明 负载实例数大于1时，不支持挂载云硬盘类型的存储。 镜像访问凭证：用于访问镜像仓库的凭证，默认取值为defaultsecret，使用defaultsecret可访问SWR镜像仓库的镜像。defaultsecret详细说明请参见defaultsecret。 GPU显卡：默认为不限制。当集群中存在GPU节点时，工作负载实例可以调度到指定GPU显卡类型的节点上。 服务配置 服务（Service）是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。 您也可以在创建完工作负载之后再创建Service，Service的概念和使用方法请参见Service概述。 高级配置 升级策略：工作负载升级配置 调度策略：调度策略（亲和与反亲和） 容忍策略：容忍策略与节点的污点能力配合使用，允许（不强制）负载调度到带有与之匹配的污点的节点上，也可用于控制负载所在的节点被标记污点后负载的驱逐策略，详情请参见容忍度（ Toleration ）。 步骤 3 单击右下角“创建工作负载”。

本文介绍域名管理模块所涉及的功能。 概述 通过对域名管理相关的功能模块进行概括性介绍，方便您全面了解当前天翼云CDN加速已支持的相关功能以及指引您快速找到对应功能的介绍入口，更快上手。 模块简介 相关管理模块简介如下： 域名管理模块 说明 批量配置域名 介绍当客户多个域名需要配置，而配置值又是相同的情况，这时可以使用批量配置域名功能。 域名操作日志 介绍CDN域名操作记录，它是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 标签管理 介绍标签组和标签的用途和用法，包括创建，删除，关联域名等。 基础配置 介绍域名基础配置，包括域名归属权验证、加速类型选定、加速区域选定、IPv6开关。 回源配置 介绍CDN回源相关的功能和配置，包括源站配置、回源协议、回源端口、默认回源HOST、指定源站回源HOST、回源SNI、回源HTTP请求头、回源URI改写、回源302/301跟随、区分IPv4/IPv6回源、分区域分运营商回源、回源参数改写、Common Name白名单、私有Bucket回源、高级回源、回源超时时间等。 头部修改 介绍头部修改相关配置，包括HTTP响应头，回源HTTP请求头，回源HTTP响应头。 HTTPS配置 介绍HTTPS相关的功能，包括HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、CDN支持的SSL/TLS加密套件等。 缓存配置 介绍缓存相关功能，包括缓存过期时间、状态码过期时间、状态码过期时间（源站优先）、缓存key设置、跨域资源共享等。 访问控制 介绍访问控制相关的功能，包括Referer防盗链、IP黑白名单、UA黑白名单、URL黑白名单、URL鉴权、远程同步鉴权、带宽控制、IP访问限频、单请求限速等策略。 文件处理 介绍文件处理相关的功能，包括文件压缩、html页面优化、html禁止操作、图片处理。 HTTP3.0(QUIC)协议 介绍HTTP3.0(QUIC)协议的适用场景和配置方法。 视频相关 介绍视频有关的功能，包括视频拖拉、视频试看、分片回源、HLS标准加密改写。 高级配置 介绍天翼云CDN加速平台高级配置，包括访问URL重定向，错误页面重定向。 业务告警 介绍天翼云CDN加速平台的业务监控指标和告警功能及其配置方法。 云备源 介绍云备源的适用场景及使用说明。 CDN镜像源 介绍镜像源功能原理及配置说明。 防攻击处理预案说明 介绍安全攻击发生时CDN平台的应急处理机制。 增值服务 介绍CDN增值服务的适用场景和申请方法。

本小节介绍漏洞扫描服务流程。 网络要求 非电信客户的应用系统网络与扫描器网络可达，即可提供扫描服务（内网需提供用于部署扫描器的内网主机，内外网需保证路由可达）。 服务流程 业务受理单 客户应如实填写以下信息（必须填满）： 1. 被检测的IP主机信息。 2. 被检测主机的操作系统类型及版本。 3. 业务接口人联系方式，客户需指定一个具有对漏洞扫描方案及漏洞扫描过程中出现的问题有决定权的业务接口联系人。 4. 客户提供扫描资产时需对所提交资产所有权负责，保证资产归提交人合法所有。 5. 客户需签订漏洞扫描授权书。 审核阶段 对委托单位提交的受理单信息进行核查，核查内容： 1. 判断资产所在环境是公网还是内网。 若是公网需要保证被扫描资产路由可达。 若是内网环境，需确认委托单位提供可访问到内网主机的跳板机。 2. 受理单审核通过后进入漏洞扫描实施阶段。 业务受理单无问题进入下一阶段；如有问题返回客服，由客服继续与客户沟通，直到业务受理单填满无问题。 说明 确认过程需1个工作日。 实施阶段 1.漏洞扫描实施方案 业务受理单确认无误后进入实施阶段，漏洞扫描操作人员接到客服的业务受理单后确认受理单信息：IP、版本、授权等并就扫描计划和受理单内容与客户确认。扫描任务实施前，分析客户主机情况，制定扫描方案，明确漏洞扫描任务具体实施时间、目标范围、合理的扫描方式以及最佳扫描策略，并就扫描方案与客户进行沟通确认，由于在漏洞扫描期间客户方未关闭安全防护设备所造成的漏扫结果不准确，乙方不承担责任。 注意 确认过程0.5个工作日。 2.实施漏洞扫描 扫描实施前若客户网络环境公网不能直达，需部署扫描器，也可配合客户自己部署，策略模板由我们提供，部署时间预计1个工作日。 关于扫描进度，目前扫描器扫描一个C段地址大约需要6个小时左右时间，扫描期间实时就扫描过程中发生的问题与客户沟通，最后扫描的结果将存放到扫描结果专用堡垒机上。 漏洞扫描的风险规避，由于漏洞扫描属于黑盒测试，因此可能对被测试目标造成不可预知的风险；此外对于性能比较敏感的测试目标，如一些实时性要求比较高的系统，由于扫描可能引起网络流量的增加，因此可能会引起被扫描目标的服务质量降低。因此需进行如下的风险规避措施： 扫描时段选择：一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。 扫描策略选择：根据系统的具体情况配置合理的扫描策略。 3.编写扫描报告 漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4.报告审核修订 由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5.报告提交 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6.质保服务 在客户收到漏洞扫描服务报告后，乙方参与漏扫项目的专家为客户持续提供3天时间用于咨询报告中的不明事项。 7.结束服务 在完成以上各阶段工作后，漏洞扫描项目经理告知客服此次漏扫服务结束。