天翼云VPN连接(Virtual Private Network)是一款基于Internet的网络连接服务,通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。

天翼云VPN连接(Virtual Private Network)是一款基于Internet的网络连接服务,通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。

本节介绍服务器安全卫士（原生版）防护配额操作指南。 查看配额详情 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护配额”，进入防护配额页面。 该页面为您展示配额的统计和配额的详情列表。 配额使用：为您展示正常配额的使用情况统计，分为使用中和未绑定2种状态。 配额状态：为您展示所有配额的状态统计，分为正常、已过期和已退订3种状态。 配额列表：展示正常、已过期、已退订3种状态的配额，销毁的配额不展示在列表中，包括配额ID、配额状态、绑定服务器、使用状态、开通时间、到期时间等信息。 该列表可根据配额状态、使用状态、配额ID、服务器名称和服务器IP进行查询。 管理配额 包括配额订购、配额续订、配额退订和到期处理相关操作。 配额订购 详细操作请参见购买网页防篡改配额。 配额续订 您可对已订购的网页防篡改（原生版）配额进行续费。 说明 仅支持对配额状态为未到期、已到期（未过保留期）的配额进行续订。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护配额”，进入防护配额页面。 3. 在页面下方配额列表中，对需要续订的配额，单击操作列的“续订”。 4. 在“续订”页面选择该配额需续订的时长。 5. 阅读《天翼云网页防篡改（原生版）服务协议》，并勾选“我已阅读并同意相关协议《天翼云网页防篡改（原生版）服务协议》“，单击“立即购买”。 6. 进入“付款”页面，完成付款。

本文介绍了天翼云AOne会议音频相关问题。 用户听不到声音如何排查？ 请按以下步骤排查： 1. Windows端请右键点击任务栏音量图标，打开“音量合成器”，确认系统音量和AOne会议音量未被静音或设置为0。 2. 检查是否选择了正确的音频接入方式（如耳机、蓝牙设备）。 3. 确认系统默认音频输出设备设置正确。 4. 尝试重新插拔音频设备（如耳机、麦克风）或重启设备。 主持人如何静音其他与会成员？ 1. 进入会议界面，点击“成员”按钮。 2. 可点击“全体静音”，一次性将所有成员静音。 3. 或将鼠标悬停在某位成员上，点击“静音”图标即可单独静音该成员。 主持人如何解除他人静音？ 1. 在“成员管理”页面中，找到被静音的成员。 2. 鼠标悬停后点击“解除静音”图标，等待被解静音的人员开启麦克风。 会议中讲话突然没声音（iOS相关问题）怎么办？ 如您使用的是iOS设备，且在会议中突然无法发声： 1. 前往“设置”>“通用”>“隔空播放与连续互通”。 2. 检查是否将声音误投至其他设备（如Apple TV、AirPods）。 3. 可尝试关闭“隔空播放”或切换为本机播放。 会议中无法使用麦克风怎么办？ Web客户端：访问 Windows客户端：前往系统“设置”>“隐私与安全性”>“麦克风”，确认“AOne会议”已获得麦克风访问权限。 macOS客户端：前往系统“设置”>“隐私与安全性”>“麦克风”，启用“AOne会议”权限后，重启客户端使设置生效。 iOS客户端：前往系统“设置”>“隐私与安全性”>“麦克风”，在列表中打开“AOne会议”的权限，设置完成后请重启AOne会议即可。 Android客户端：前往系统“设置”>“隐私”>“麦克风”，在列表中打开“AOne会议”的权限，设置完成后请重启AOne会议即可。

本节介绍了容器镜像服务的产品架构 容器镜像服务提供简单易用、安全可靠的容器镜像、Helm Chart 等符合 OCI 标准的云原生制品的托管、分发能力。

本节介绍容器舰队概述。 容器舰队可提供多集群的统一管理，包括统一的权限管理、统一的安全策略、统一的配置管理以及统一的多集群编排等能力。 使用限制 一个注册集群只能加入一个容器舰队。 支持的功能 集群接入分布式容器云平台后，可以加入容器舰队并关联集群联邦能力，进行多集群管理。对容器舰队支持能力如下： 创建舰队：舰队是多个集群的集合，可以实现集群的分类，提供多集群的统一管理。 添加集群到舰队：舰队提供统一的权限管理、安全策略、配置管理以及统一的多集群编排等能力。集群加入舰队后，集群关联的权限将被更新为舰队的权限。 权限关联：舰队权限配置将同步舰队下所有成员集群。若舰队权限未配置，新签发子账号默认拥有只读权限。权限管理基于Kubernetes RABC控制体系的资源权限定义。 可观测性：提供舰队资源总览，包括集群数、节点数、CPU分配率、内存分配率等。 舰队关联已有联邦实例：舰队成员集群将自动注册为联邦实例的成员集群，提供集群联邦多集群管理。

本节介绍如何选择/切换策略类型。 策略介绍 NetworkPolicy适用于为指定资源设置允许进出站访问的场景。 OVS模式仅限于OpenShift环境，可为指定的访问源与访问目标设置拒绝规则。 IPtables模式可为指定的访问源与访问目标设置访问规则，由策略优先级决定允许或拒绝。 选择策略类型 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“网络安全 > 策略管理”，进入策略管理页面。 当首次添加集群时，系统会要求用户选择一种策略类型。在完成策略类型的选择后，点击“确定”按钮，系统会跳转至“策略管理”页面。 当再次进入“策略管理”页面时（非初次进入），系统将会默认显示上次选择的策略类型。在“策略管理”页面中，可以查看当前所选策略类型的相关信息，还可以对集群和策略类型进行切换。 3. 在“策略管理”页面中，可以查看当前所选策略类型的相关信息，还可以对集群和策略类型进行切换。 4. 在弹出的对话框中，选择策略类型，单击“确定”。

技术实现 GaussDB(DWS)主要提供了哈希函数和对称密码算法来实现对数据列的加解密。哈希函数支持sha256，sha384，sha512和国密sm3。对称密码算法支持aes128，aes192，aes256和国密sm4。 哈希函数 −md5(string) 将string使用MD5加密，并以16进制数作为返回值。MD5的安全性较低，不建议使用。 −gshash(hashstr, hashmethod) 以hashmethod算法对hashstr字符串进行信息摘要，返回信息摘要字符串。支持的hashmethod：sha256, sha384, sha512, sm3。 对称密码算法 −gsencrypt(encryptstr, keystr, cryptotype, cryptomode, hashmethod) 采用cryptotype和cryptomode组成的加密算法以及hashmethod指定的HMAC算法，以keystr为密钥对encryptstr字符串进行加密，返回加密后的字符串。 −gsdecrypt(decryptstr, keystr，cryptotype, cryptomode, hashmethod) 采用cryptotype和cryptomode组成的加密算法以及hashmethod指定的HMAC算法，以keystr为密钥对decryptstr字符串进行解密，返回解密后的字符串。解密使用的keystr必须保证与加密时使用的keystr一致才能正常解密。 −gsencryptaes128(encryptstr,keystr) 以keystr为密钥对encryptstr字符串进行加密，返回加密后的字符串。keystr的长度范围为1~16字节。 −gsdecryptaes128(decryptstr,keystr) 以keystr为密钥对decryptstr字符串进行解密，返回解密后的字符串。解密使用的keystr必须保证与加密时使用的keystr一致才能正常解密。keystr不得为空。 更多详情参见《数据仓库服务用户开发指南》中的“管理数据库安全>敏感数据管理>使用函数加解密”章节。

本页为其他云MySQL迁移到RDS for MySQL的具体操作流程。 1、购买DTS迁移实例 购买实例入口请参考订购数据迁移实例文档。 其他云MySQL迁移到RDS for MySQL的相关配置为： 在订购页面，实例类型选择"数据迁移"，网络接入类型选择"公网EIP"，数据库类型选择"MySQL"，目标库实例请选择需要将数据迁移至该库的RDS for MySQL实例，完成页面信息的选择和设置后，完成迁移实例的购买。 2、配置实例 开通实例后，在【数据迁移】实例列表页面中，实例处于“待配置”状态，先点击“绑定弹性IP”按钮完成公网弹性IP的绑定，然后再点击该实例操作列的“实例配置”按钮。 3、配置源库及目标库信息 进入实例配置页面的第一步，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。 还可以选择连接方式为 SSL安全连接 ，此时需要上传正确的证书文件。 完成上述信息的填写后可以进行数据库的连接测试，测试数据库能否正常连接。 4、选择迁移对象 所有信息填写正确后，点击检测连通性并下一步按钮，进入配置同步对象及高级配置页面，选择要迁移的源库对象。 各配置及说明如下： 配置 说明 任务步骤 如果只需要进行全量迁移，请同时勾选库表结构迁移和全量迁移 。 如果需要进行不停机迁移，请同时勾选库表结构迁移 、全量迁移和增量迁移 。 注意： 如果未选择增量迁移，为保障数据一致性和任务正常运行，数据迁移期间请勿在源实例中执行DML和DDL操作。 迁移对象 当前源库为MySQL的情况下，支持表、视图、函数、存储过程四种类型对象的迁移。 在迁移对象框中单击待迁移的对象，然后单击>将其移动到已选择对象框。已选择对象可以通过单击 <将对象回退。 选择迁移对象时，如不展开库的详细信息，则表示整库迁移，后续在增量任务过程中，可在源库创建新表，其他类型暂不支持。 映射名称更改 支持库表列三级名称映射，如需更改单个迁移对象在目标实例中的库名、表名和列名，选择对象，然后点击编辑按钮。 如需批量更改迁移对象在目标实例中的库名、表名，请单击已选择对象方框右上方的“批量编辑”。 过滤待迁移数据 支持设置where条件过滤数据，过滤条件不允许;和字符，如需使用引号，请使用单引号(')，只有满足where条件的数据才会迁移到目标库。 增量同步的DML 选择增量同步DML操作，选中迁移对象，点击“编辑”，在弹跳框中选择所需增量迁移的DML操作。若在数据库级别和表级别都指定了DML操作，则表级别的设置会覆盖库级别的。 增量同步的DDL 增量同步的DDL操作仅支持CREATE INDEX、DROP INDEX、ALTER TABLE和DROP TABLE，如果是整库迁移或同步，支持CREATE TABLE。 是否定时开始任务 同步任务可在指定的时间启动。 注意 若迁移任务仅包含结构迁移和全量迁移，支持列映射名称更改，若迁移任务包含增量迁移，不允许列映射名称更改。 库表名仅支持字母、数字和下划线，长度不超过64个字符。

Redis命令的常用规范 规范 规范说明 级别 备注 小心使用时间复杂度为O(N)的命令 对于时间复杂度为O(N)的命令如果N值较大，可能会导致Redis执行过慢，影响整体性能和稳定性 强制 例如：hgetall、lrange、smembers、zrange、sinter这些命令都是做全集操作，如果元素很多，是很耗性能的可使用hscan、sscan、zscan这些分批扫描的命令替代 命令禁用 部分命令是禁止使用的，需要最好提早了解清楚 强制 使用前，请参考Redis命令兼容性和WebCli命令兼容性 慎重使用select Redis多数据库支持较弱，多业务用多数据库实际还是单线程处理，会有干扰 建议 需要多DB的场合，建议拆分多个redis使用 CLUSTER集群实例不支持多DB 批量操作 如果有批量操作，可使用mget、mset或pipeline，提高效率，但要注意控制一次批量操作的元素个数免得导致执行过慢，占用Redis过多的资源 建议 如果有批量操作，可使用mget、mset或pipeline，提高效率，但要注意控制一次批量操作的元素个数mget、mset和pipeline的区别如下： mget和mset是原子操作，pipeline是非原子操作 pipeline可以打包不同的命令，mget和mset做不到 使用pipeline，需要客户端和服务端同时支持 lua脚本执行耗时 lua脚本的执行超时时间为5秒钟，建议不要在lua脚本中使用比较耗时的代码 强制 比如长时间的sleep、大的循环等语句 避免在lua脚本中使用随机函数 调用lua脚本时，建议不要使用随机函数去指定key，否则在主备节点上执行结果不一致，从而导致主备节点数据不一致 强制 遵循CLUSTER集群实例使用lua的限制 遵循CLUSTER集群实例使用lua的限制 强制 cluster集群实例使用lua有如下限制： 使用EVAL和EVALSHA命令时，命令参数中必须带有至少1个key，否则客户端会提示“ERR eval/evalsha numkeys must be bigger than zero in redis cluster mode”的错误 使用EVAL和EVALSHA命令时，cluster集群实例使用第一个key来计算slot，用户代码需要保证操作的key是在同一个slot 不要直接使用del命令删除大Key 删除大Key时，不要直接使用del命令因为del命令是阻塞的，也会同时阻塞其他客户端请求无法正常执行 强制 Redis 4.0后的版本可以通过UNLINK命令安全地删除大Key，该命令是异步非阻塞 对于 4.0之前的版本： 如果是Hash类型的大Key，推荐使用hscan + hdel 如果是List类型的大Key，推荐使用ltrim 如果是Set类型的大Key，推荐使用sscan + srem 如果是SortedSet类型的大Key，推荐使用zscan + zrem 的 控制pipeline命令个数 使用Pipeline时，建议不要一次太多命令因为会占用大量Redis资源和执行时间较长，可能会卡住其他请求无法执行 建议 单次建议不超过100，同时也需要考虑实际元素字节数大小情况 合理使用发布订阅命令 不建议将 Redis 当作消息队列使用Redis 当作消息队列使用，会有容量、网络、效率、功能方面的多种问题 建议 如需要消息队列，可使用高吞吐的Kafka或者高可靠的RabbitMQ Redis事务限制 Redis事务是不支持回滚的如果事务在中途某个命令失败了，那么前面的命令依然会执行成功 建议

本节指导用户通过漏洞扫描服务查看网站扫描结果，可以查看扫描项总览、业务风险列表、漏洞列表、端口列表、站点结构。 VSS暂不支持webCMS漏洞扫描功能。 前提条件 已获取管理控制台的登录帐号与密码。 已添加域名并已完成域名认证。 已执行扫描任务。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口，如下图所示。 4. 查看网站资产列表，相关参数说明如下表所示。 参数 参数说明 域名信息 域名/IP地址 域名别称 认证状态 “已认证”：目标域名已完成域名认证。 “未认证”：目标域名未完成域名认证。单击“去认证”进行域名认证。 上次扫描时间 域名最近一次扫描任务的时间。 上一次扫描结果 域名最近一次扫描结果信息，包括得分和各等级的漏洞数量。单击得分或者“查看详情”，进入“扫描详情”界面查看扫描概况。 5. 在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情，如下图所示。 说明 扫描任务详情界面默认显示最近一次的扫描情况，如果您需要查看其他时间的扫描情况，在“历史扫描报告”下拉框中，选择扫描时间点。 单击“重新扫描”，可以重新执行扫描任务。 当扫描任务成功完成后，单击右上角的“生成报告”，生成网站扫描报告后，单击右上角的下载报告按钮，可以下载任务报告，目前只支持PDF格式。 6. 选择“扫描项总览”页签，查看扫描项的检测结果，如下图所示。 说明 如果检测结果存在漏洞或者风险，可在“检测结果”列，单击“查看详情”了解漏洞或者风险的详细情况。 7. 选择“漏洞列表”页签，查看漏洞信息，如下图所示。 说明 单击“查看更多”，可以查看详细的漏洞分析。 单击漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”。 如果您确认扫描出的漏洞不会对网站造成危害，请在目标漏洞所在行的“操作”列，单击“忽略”，忽略该漏洞，后续执行扫描任务会扫描出该漏洞，但扫描结果将不会统计忽略的漏洞。例如，如果您对2个低危漏洞执行了“忽略”操作，则再次执行扫描任务，扫描结果显示的低危漏洞个数将减少2。 如果想对已忽略的漏洞恢复为风险类型，在目标漏洞所在行的“操作”列，单击“取消忽略”，恢复检测此漏洞。 8. 选择“业务风险列表”页签，查看业务风险信息，如下图所示。 9. 选择“端口列表”页签，查看目标网站的端口信息，如下图所示。 10. 选择“站点结构”页签，查看目标网站的站点结构信息，如下图所示。 说明 站点结构显示的是目标任务的漏洞的具体站点位置，如果任务暂未扫描出漏洞，站点结构无数据显示。 显示目标网站的基本信息，包括： IP地址：目标网站的IP地址。 服务器：目标网站部署所使用的服务器名称（例如：Tomcat 、Apache httpd、 IIS等）。 语言：目标网站所使用的开发语言（例如：PHP、JAVA、C

该任务指导用户通过“总览”查看网站和主机扫描概况，主要展示资产信息、最近一次扫描情况和最近扫描任务列表信息。 操作场景 该任务指导用户通过“总览”查看网站和主机扫描概况，主要展示资产信息、最近一次扫描情况和最近扫描任务列表信息。 前提条件 已获取管理控制台的登录账号与密码。 已添加网站和主机。 查看扫描概况 1. 登录管理控制台。 2. 在左侧导航树中，选择“安全 > 漏洞扫描服务”，进入“总览”界面。 3. 查看扫描概况。 查看资产信息，如下图所示，资产信息参数说明如下表所示。 资产信息参数说明： 参数 说明 操作 网站数量 显示网站、已认证、未认证的网站个数。 说明 当网站的个数为0时，单击“添加资产”，进入到资产列表界面添加网站。 单击网站总个数可以进入到相应的资产列表。 主机数量 显示主机、已授权、未授权的主机个数。 说明 当主机的个数为0时，单击“添加资产”，进入到资产列表界面添加主机。 单击主机总个数可以进入到相应的资产列表。 网站风险统计 统计所有网站的风险详情。 主机风险统计 统计所有主机的风险详情。 最危险网站 得分最低的网站为最危险的网站，如果得分一样，则比较高危漏洞个数、中危漏洞个数......依次类推。 如果用户添加了网站且所有网站的扫描得分是100分，则没有最危险网站，展示“”。 显示网站不同等级的风险个数。 单击最危险网站，可以进入到该网站的最近一次扫描任务详情。 风险等级有：高危、中危、低危和提示。 最危险主机 得分最低的主机为最危险的主机，如果得分一样，则比较高危漏洞个数、中危漏洞个数......依次类推。 如果用户加添了主机且所有主机的扫描得分是100分，则没有最危险主机，展示“”。 显示主机不同等级的风险个数。 单击最危险主机，可以进入到该主机的最近一次扫描任务详情。 风险等级有：高危、中危、低危和提示。 最近一次扫描情况，如下图所示，参数说明如下表说明。 单击切换按钮，可查看最近一次扫描的网站或主机结果信息。 说明 当扫描未完成的时候，不展示分数，而是展示扫描状态，未完成的扫描状态有“等待中”、“进行中”。 如果扫描任务是失败的，则展示上一次扫描成功的任务详情。 扫描情况参数说明： 参数 说明 操作 扫描对象 扫描的网站和主机。 单击网站或主机可进入本次任务的扫描详情。 开始时间 开始扫描的时间。 扫描耗时 扫描全过程所耗的时间。 任务状态 三个状态：“等待中”、“进行中”、“已完成”。 漏洞总数 显示网站不同等级的风险个数。 风险等级有：高危、中危、低危、和提示。 TOP风险 根据扫描项的漏洞数量排序而来。 最近扫描任务列表，如下图所示，参数说明如下表说明。 任务列表参数说明： 参数 说明 操作 扫描对象 扫描的网站和主机。 单击网站和主机可进入本次任务的扫描详情。 漏洞总数 显示网站和主机的风险漏洞总数。 任务状态 三个状态：“等待中”、“进行中”、“已完成”。 开始时间 开始扫描的时间。 扫描耗时 扫描全过程所耗的时间。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建数据密钥 generateDataKey 创建数据密钥（无明文） generateDataKeyWithoutPlaintext 导出数据密钥 exportDataKey 创建并导出数据密钥 generateAndExportDataKey 数据加密 encrypt 数据解密 decrypt 禁用主密钥 disableKey 启用主密钥 enableKey 创建主密钥 createKey 计划删除密钥 scheduleKeyDeletion 取消计划删除密钥 cancelKeyDeletion 密钥删除保护 deleteProtect 取消密钥删除保护 cancelDeleteProtect 转加密 reEncrypt 创建默认密钥 createDefaultKey 非对称签名 asymmetricSign 非对称验签 asymmetricVerify 非对称加密 asymmetricEncrypt 非对称解密 asymmetricDecrypt 获取公钥 getPublicKey 获取密钥列表 listAliasKeys 获取密钥详情 describeKey 更新密钥描述 updateKeyDescription 获取对称密钥详情 listSymmetricKeys 查询数据密钥详情 getDataKey 创建非对称密钥版本 createKeyVersion 查询密钥版本列表 listKeyVersions 获取密钥版本详情 describeKeyVersion 更新密钥轮转策略 updateRotationPolicy 创建密钥别名 createAlias 更新密钥别名 updateAlias 删除密钥别名 deleteAlias 获取别名列表 listAlias 获取密钥别名 listAliasByUuid 计算hmac hmaccompute 计算SM3摘要 messageDigest 获得导入密钥材料 getParametersForImport 导入密钥 importKeyMaterial 删除导入密钥材料 deleteKeyMaterial 证书公钥加密 certificatePublicKeyEncrypt 证书私钥解密 certificatePrivateKeyDecrypt 证书私钥签名 certificatePrivateKeySign 证书公钥验签 certificatePublicKeyVerify 获取随机数 getRandom Ukey证书公钥验签 certificatePublicKeyVerifyForUsbKey 创建证书csr createCertificate 更新证书状态 updateCertificateStatus 删除证书 deleteCertificate 获取证书详情 describeCertificate 获取证书链详情 describeCertificateChain 查询证书 getCertificate 导入证书 importCertificate 导入PKCS12证书 importCertificateByPKCS12 导出证书私钥 exportCertificatePrivatkey 查询证书列表 listCertificate 导入Ukey证书 importCertificateForUK 查询Ukey证书列表 listCertificateForUk 获取Ukey证书详情 describeCertificateForUk 查询Ukey证书信息 getCertificateForUk 更新Ukey证书状态 updateCertificateStatusForUk 删除Ukey证书 deleteCertificateForUk 获取vpc列表 listVpc 获取子网列表 listSubnet 创建应用接入点 createApplicationAccessPoint 查询接入点的接口权限列表 listAllUri 获取接入点的接口权限详情 listPointUriPolicy 接入点的接口权限变更 changePointUriPolicy 删除应用接入点 deleteApplicationAccessPoint 查询应用接入点列表 listApplicationAccessPoint 接入点的资源权限变更 changePointResourcePolicy 查询接入点的资源权限列表 listPointResourcePolicy 获取接入点的资源权限详情 describeResourcePolicy 关闭接入点权限控制 closePolicyCheck 检查接入点是否开启权限控制 policyCheckIsOpen 添加终端节点白名单 addEndpointWhitelist 查询终端节点白名单列表 showEndpointWhitelist 云产品关联检测 detectAssociation 创建租户ak createUserAk 启用租户ak enableUserAk 禁用租户ak disableUserAk 删除租户ak deleteUserAk 查询租户ak列表 listUserAk 查询资源信息 resourceInfo

本节主要介绍产品咨询类问题 区域和可用区 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 图阐明了区域和可用区之间的关系。 区域和可用区 如何选择区域？ 建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 如何选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 什么是数据库复制 数据复制服务（Data Replication Service，简称DRS）是一种易用、稳定、高效、用于数据库实时迁移和数据库实时同步的云服务。 数据复制服务围绕云数据库，降低了数据库之间数据流通的复杂性，有效地帮助您减少数据传输的成本。 您可通过数据复制服务快速解决多场景下，数据库之间的数据流通问题，以满足数据传输业务需求。 实时迁移 实时迁移是指在数据复制服务器能够同时连通源数据库和目标数据库的情况下，只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程，再通过多项指标和数据的对比分析，帮助确定合适的业务割接时机，实现最小化业务中断的数据库迁移。 实时迁移支持多种网络迁移方式，如：公网网络、VPC网络、VPN网络和专线网络。通过多种网络链路，可快速实现跨云平台数据库迁移、云下数据库迁移上云或云上跨区域的数据库迁移等多种业务场景迁移。 特点：通过增量迁移技术，能够最大限度允许迁移过程中业务继续对外提供使用，有效的将业务系统中断时间和业务影响最小化，实现数据库平滑迁移上云，支持全部数据库对象的迁移。 备份迁移 由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据复制服务提供的备份迁移，通过将源数据库的数据导出成备份文件，并上传至对象存储服务，然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下，实现数据迁移。 常用场景：云下数据库迁移上云。 特点：云服务无需碰触源数据库，实现数据迁移。 实时灾备 为了解决地区故障导致的业务不可用，数据复制服务推出灾备场景，为用户业务连续性提供数据库的同步保障。您可以轻松地实现云下数据库到云上的灾备、跨云平台的数据库灾备，无需预先投入巨额基础设施。 数据灾备支持两地三中心、两地四中心灾备架构。

本节介绍了什么是云硬盘备份、备份原理、使用场景、使用方法。 什么是云硬盘备份 您可以通过云硬盘备份功能为云硬盘创建在线备份，无需关闭云主机。针对病毒入侵、人为误删除、软硬件故障等导致数据丢失或者损坏的场景，可通过任意时刻的备份恢复数据，以保证用户数据正确性和安全性，确保您的数据安全。 备份原理 云硬盘备份原理，请参见《云硬盘备份介绍》。 说明 ● 创建云硬盘备份时，系统会自动创建一个名称以“autobksnapshotvbs”开头的快照，并且只会保留该云硬盘最近一次备份时自动创建的快照。 使用场景 设置备份策略，根据策略自动对云硬盘进行数据备份，通过定期创建的备份作为基线数据，用来创建新的云硬盘或者恢复数据到云硬盘。 使用方法 云硬盘备份的使用方法，具体请参见管理备份云硬盘或者《云硬盘备份用户指南》。

本章节介绍了分布式消息服务RocketMQ与其他云服务的关系。 虚拟私有云 RocketMQ实例运行于虚拟私有云，需要使用虚拟私有云创建的IP和带宽。通过虚拟私有云安全组的功能可以增强访问RocketMQ实例的安全性。 云监控 云监控是一个开放性的监控平台，提供资源的实时监控、告警、通知等服务。 云审计 云审计为您提供云主机资源的操作记录，记录内容包括您从天翼云管理控制台或者开放API发起的云主机资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 弹性云主机 弹性云主机是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。RocketMQ实例运行在弹性云主机上，一个代理对应三台弹性云主机。 云硬盘 云硬盘为云主机提供块存储服务，RocketMQ的所有数据（如消息、元数据和日志等）都保存在云硬盘中。 弹性IP 弹性IP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。RocketMQ实例绑定弹性IP后，可以通过公网访问RocketMQ实例。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与RDSPostgreSQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云服务器与关系型数据库实例。 安全性高，可实现RDSPostgreSQL的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDSPostgreSQL实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云服务器（或公网主机）与RDSPostgreSQL实例。 直接使用公网访问，灵活性好。但安全性不如内网连接。 推荐使用内网连接。 DMS连接 开箱即用，无需安装本地客户端，通过浏览器即可操作数据库，数据管理服务DMS提供的可视化管理功能，使得数据库管理变得更加简单和高效，降低用户的学习成本和操作难度。 操作便捷，无需其他服务器或软件即可随时随地连接实例。

本节介绍云安全中心的威胁建模功能，通过关联分析规则，匹配威胁源是否满足告警条件。 可以通过关键字、快捷方式、规则类型和标签查询威胁建模规则。 用户初次订购时会复制所有的威胁建模模板，并开启对应的威胁建模规则（如：租户订购了Web应用防火墙原生版，集成配置开启开关，则会开启对应的威胁建模规则）。 新建规则 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“威胁运营 > 威胁检测 > 威胁建模”。 3. 单击“新建”。 4. 基本信息填写，带有的为必填项。 5. 选择规则类型和规则模板后，还需要配置原始告警源、时间窗口、告警配置等。其中时间窗口需要在2小时以内。 6. 配置完成后，单击“保存”。列表中可以看到新建的规则。

云墙配置内容 正常配置入向DNAT映射和出向SNAT映射，启用安全策略进行相关防护。 云防火墙接口配置： 云防火墙业务映射DNAT配置： 云主机访问互联网的SNAT配置以及源路由。 SNAT： 源路由： 云防火墙安全策略配置。 测试结果 未过墙业务C主机正常访问互联网： B业务云主机访问外网正常： A业务正常访问：

云备份CTCBR(Cloud Backup&Recovery)是一个简单易用、经济高效、安全可靠的一键式备份产品。通过集中管理界面,为用户的云主机、物理机、本地主机相关的数据库、硬盘、虚拟机、文件数据等资源提供统一数据保护。

容器镜像服务(Software Repository for Container,简称SWR)是一种支持镜像全生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助您快速部署容器化服务。您可以通过界面、社区CLI和原生API上传、下载和管理容器镜像。

云容灾CTCDR(Cloud Disaster Recovery)为云主机提供跨可用区的容灾保护能力,RPO可达秒级、RTO可达分钟级。支持容灾演练、一键切换等功能,当生产站点故障时,可在容灾站点快速恢复业务,保障客户数据安全和业务连续性。

本文介绍如何查看镜像扫描任务的状态。 执行镜像扫描操作后，可通过“任务中心”查看镜像扫描任务的状态。 扫描状态包括扫描完成、待扫描、扫描中、创建中。 扫描类型分为手动扫描、自动扫描、周期扫描。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“任务中心”，进入任务中心页面。 3. 定位到“扫描任务队列 > 镜像扫描队列”，可查看历史扫描任务和正在扫描任务中镜像的扫描状态。 说明 若扫描任务中扫描类型后带有“！”，则说明此任务中存在扫描失败的镜像。

服务有效期内，支持退订，按已使用天数进行扣费，未使用天数的费用退还。 退订步骤 登录云平台，进入控制中心“服务器安全卫士”界面，点击需要退订订单对应的“退订”按钮，提交退订订单即可。 注意 已退订的订单，不能再登录控制台。

使用场景 应用：Web服务器、开发测试环境以及小型数据库应用等。 场景特点：vCPU、内存、硬盘空间和带宽等无特殊要求，安全性、可靠性要求高，一次投入成本少，后期维护成本低。 适用场景：部署企业官网、搭建企业办公环境、支撑企业开发测试活动。

种类 应用场景 签发周期 说明 图示 域名型证书（DV） 如果您的网站主体是个人（即没有企业营业执照），只能申请域名型（DV）证书。 1个工作日 信任等级一般，只需验证域名的真实性便可颁发证书保护网站，签发证书速度最快，一般申请通过验证后几分钟即可获取到证书。 企业型证书（OV） 对于一般企业，建议购买 OV 型及以上类型的 SSL 证书。（若作为移动端网站或接口调用，也建议您购买 OV 型及以上类型的 SSL 证书。） 5~7个工作日 信任等级较高，必须要验证域名权限以及企业的身份，审核严格，安全性高。 增强型证书（EV） 对于金融、支付类企业，建议购买 EV 型证书。 5~7个工作日 信任等级强，一般用于银行证券等金融机构、大中型企业等，审核更严格，安全性更高，同时在浏览器显示公司名称。

本节介绍翼甲卫士的产品规格。 使用方式&范围 按VPC维度开通翼甲卫士，绑定带宽/专线后对其下所有AI云电脑生效防护，并支持针对不同AI云电脑集群搭配不同策略组合。 支持的操作系统 服务桌面：Centos Server 7, UOS Server v20(arm/x86)。 用户桌面：Windows：Windows Server 2008/2016/2019， Windows 7/10。Linux：UOS v20，麒麟v10。 数据安全 审计数据存储于防火墙虚机内部，保障数据不出租户。 功能规格 功能 描述 标准版 增强版 访问控制 基于安全策略进行访问控制，支持ACL过滤、DNAT、SNAT、旁路规则 支持 支持 VPN隧道 搭建VPN加密通道，实现本地网络与VPC之间的网络互通 支持 支持 病毒防护 探测各种病毒威胁并拦截 支持 支持 入侵防御 实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作 支持 支持 网站访问管理 基于预设或自定义网站库对用户访问网站行为进行审计管控 不支持 支持 短信告警 支持自定义配置告警通知，可配置通知频率、多个管理员接收通知等 支持 支持 日志规格 高IO 高IO/超高IO 日志监控 支持各类防护、管控事件的审计 支持 支持

启用/停止标签规则 启用标签规则，规则生效，日志匹配标签规则。 停用标签规则，规则失效，日志不匹配标签规则。 从日志添加标签规则 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“设置 > 规则标签配置”。 3. 在日志查询列表找到需要添加标签的日志，点击日志。 4. 在日志详情页，单击白名单按钮。 5. 在弹出的新增窗口中，配置标签、匹配条件、有效期、备注信息。参数配置完成后，单击“保存”。 查看日志的标签 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“设置 > 规则标签配置”。 3. 在日志查询列表的“规则标签”列，可以查看日志的标签。 4. 在日志查询列表找目标日志，点击日志。 5. 在日志详情页的基本信息中，可以看到“规则标签”。

数据库安全审计提供用户行为发现审计、多维度分析、实时告警和报表功能。 用户行为发现审计 关联应用层和数据库层的访问操作。 提供内置或自定义隐私数据保护规则，防止审计日志中的隐私数据（例如，帐号密码）在控制台上以明文显示。 多维度线索分析 行为线索 支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL分布等多维度的快速分析。 会话线索 支持根据时间、数据库用户、客户端等多角度进行分析。 语句线索 提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件。 风险操作、SQL注入实时告警 风险操作 支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为。 SQL注入 数据库安全审计提供SQL注入库，可以基于SQL命令特征或风险等级，发现数据库异常行为立即告警。 系统资源 当系统资源（CPU、内存和磁盘）占用率达到设置的告警阈值时立即告警。 针对各种异常行为提供精细化报表 会话行为 提供客户端和数据库用户会话分析报表。 风险操作 提供风险分布情况分析报表。

约束限制 FTP、SFTP、SCP协议类型资源，不支持批量登录。 手动登录帐户和双人授权帐户，不支持批量登录。 批量登录的多运维会话窗口，不支持“协同分享”功能。 前提条件 已获取“主机运维”模块管理权限。 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。 操作步骤 1 登录云堡垒机系统 2 选择“运维 > 主机运维”，进入主机运维列表页面 3 勾选多个目标运维资源，单击“批量登录”，跳转到运维会话窗口。 批量登录会话窗口 4 切换资源会话窗口。 单击批量登录列表中资源名称，可将切换到目标会话窗口。 5 会话窗口操作说明，请分别参见如下说明。 RDP/VNC协议类型主机会话窗口 SSH/TELNET协议类型主机会话窗口 6 通过文件传输，可对云主机或主机网盘中文件进行上传或下载，详细说明请参见 文件传输。 7 通过文件管理，可对云主机或主机网盘中文件或文件夹进行管理，详细说明请参见通过Web浏览器登录资源进行运维。 文件传输 通过Web运维支持“文件传输”功能，在Web浏览器会话窗口上传/下载文件。不仅可实现本地与主机之间文件的传输，同时可实现不同主机资源之间文件的相互传输。CBH系统详细记录传输文件的全过程，可实现对文件上传/下载的审计。 “主机网盘”是为CBH用户定义的系统个人网盘，可作为不同主机资源间文件的“中转站”，暂存用户上传/下载的文件，且个人网盘中文件内容对其他用户不可见。 “主机网盘”与系统用户直接匹配，删除用户后，个人网盘中文件将被清空，个人网盘空间将被释放。 约束限制 目前仅SSH、RDP协议主机，支持通过Web运维上传/下载文件。 Web运维不能通过执行 rz /sz命令等方式上传/下载文件，仅能通过“文件传输”操作上传/下载文件。 Linux主机资源支持在客户端执行命令方式传输文件，例如在SSH客户端执行rz /sz命令上传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件，不能达到对全程安全审计的目的。 支持下载一个或多个文件，不支持下载文件夹。 不支持断点续传，文件上传或下载过程请勿终止或暂停。 不支持传输大小超过1G的超大文件，建议分批次上传/下载文件，或10.1.4 通过FTP/SFTP/SCP客户端登录文件传输类资源。 前提条件 已获取主机资源文件上传/下载权限。 已获取主机资源运维的权限，能通过Web浏览器正常登录。 Linux主机中文件的上传/下载 Linux主机资源上传/下载文件不依赖个人网盘，可直接实现与本地的文件传输。个人网盘可“中转”来自其他主机资源的文件。 1 登录云堡垒机系统。 2 选择“运维 > 主机运维”，选择目标Linux主机资源。 3 单击“登录”，跳转到Linux主机资源运维界面。 4 单击“文件传输”，默认进入Linux主机文件列表。 5 上传文件到Linux主机。 单击上传图标，可选择“上传本地文件”、“上传本地文件夹”、“上传网盘文件（夹）”，可分别上传一个或多个来自本地或个人网盘的文件（夹）。 上传文件到Linux主机 6 下载Linux主机中文件。 选中一个或多个待下载文件。 单击下载图标，可选择“下载到本地”、“保存到网盘”，可分别下载一个或多个文件到本地或个人网盘。 下载Linux主机中文件 7 上传文件到个人网盘。 单击“云主机文件”，选择“主机网盘”，切换到个人网盘文件列表。 单击上传图标，可选择“上传本地文件”、“上传本地文件夹”，可上传一个或多个来自本地的文件或文件夹。 上传文件到个人网盘 8 下载个人网盘中文件。 选中一个或多个待下载文件。 单击下载图标，直接下载一个或多个文件到本地。 下载个人网盘中文件

本文主要介绍分布式消息服务RabbitMQ的包年/包月计费模式。 包年/包月是一种先付费再使用的计费模式，适用于对资源需求稳定且希望降低成本的用户。通过选择包年/包月的计费模式，您可以预先购买云服务资源并获得一定程度的价格优惠。本文将介绍包年/包月RabbitMQ实例的计费规则。 适用场景 包年/包月计费模式，需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。 适用计费项 分布式消息服务RabbitMQ对您选择的RabbitMQ实例和RabbitMQ的磁盘存储空间收费。以下计费项支持包年/包月。 表1 适用计费项 计费项 说明 实例费用 包括代理规格和代理数量 存储空间费用 总存储空间（单个代理的存储空间代理数量）的费用。随包年/包月RabbitMQ实例创建的存储空间，其计费模式也为包年/包月 假设您计划购买一个RabbitMQ实例，其存储空间为300GB。在购买RabbitMQ实例页面底部，您将看到所需费用的明细，如图1所示。 图1 配置费用示例 配置费用将包括以下部分： 实例费用：根据所选配置（包括代理规格和代理数量）计算的费用。 存储空间费用：磁盘类型和总磁盘存储空间（单个代理的存储空间代理数量）的费用。

接口功能介绍 获取安装Agent脚本信息。 接口约束 已经签约服务器安全卫士 URI GET /v1/host/getAgentKey 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 bgGroupId 否 String 业务分组id proxyAddress 否 String 代理地址ip accessPoint 否 String 接入点地址id 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 v32 String 公有云云内主机Linux安装命令 bash v64 String 公有云云内主机Linux安装命令 bash win String 公有云云内主机Windows安装命令 powershell localWin String 公有云云外资产Windows安装命令 powershell localLinux String 公有云云外资产Linux安装命令 bash