参数 描述 源库类型 选择“ECS自建库”。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 指定数据库名称 选择是否指定数据库，开启后需手动输入数据库名称。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。

本章节主要向您介绍企业路由器的权限管理相关内容。 如果您需要对云服务平台上的ER资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ER的使用权限，但是不希望他们拥有删除ER等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ER，但是不允许删除ER的权限，控制他们对ER资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ER服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 ER权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ER部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ER时，需要先切换至授权区域。 下表介绍了ER的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 ER FullAccess 企业路由器的管理员权限，拥有该权限的用户可以操作并使用所有企业路由器。 系统策略 无 ER ReadOnlyAccess 企业路由器只读权限，拥有该权限的用户仅能查看企业路由器数据。 系统策略 无 下表介绍了ER常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 Tenant Administrator Tenant Guest ER FullAccess ER ReadOnlyAccess 创建企业路由器 √ × √ × 修改企业路由器配置 √ × √ × 查看企业路由器 √ √ √ √ 删除企业路由器 √ × √ × 在企业路由器中添加“虚拟私有云（VPC）”连接 √ × √ × 删除“虚拟私有云（VPC）”连接 √ × √ × 查看连接（所有类型） √ √ √ √ 创建路由表 √ × √ × 修改路由表名称 √ × √ × 查看路由表 √ √ √ √ 删除路由表 √ × √ × 创建关联将连接关联至路由表中 √ × √ × 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ × √ × 在路由表中创建连接的传播 √ × √ × 查看路由表中连接的传播 √ √ √ √ 删除路由表中连接的传播 √ × √ × 创建静态路由 √ × √ × 修改静态路由 √ × √ × 查看路由 √ √ √ √ 删除静态路由 √ × √ × 创建流日志 √ × √ × 查看流日志 √ √ √ √ 关闭流日志 √ × √ × 开启流日志 √ × √ × 删除流日志 √ × √ × 添加资源的标签 √ × √ × 修改资源的标签 √ × √ × 查看资源的标签 √ √ √ √ 删除资源的标签 √ × √ ×

本章节介绍云主机DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而引发流量劫持、服务中断或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验系统的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的域名。 映射IP：将目标域名解析到该IP地址。

本文介绍AIuse云电脑的产品特点 AIuse云电脑致力为AI构建任务执行平台，它依托天翼AI云电脑的强大算例，通过意图识别，模拟用户操作，自动完成任务的规划、决策与实施，助力AI的商业化落地。 多场景覆盖 搭建可定制云端桌面环境，依托标准化接口实现传统桌面软件自动化调用与批量操作，适配政企办公，研发测试等多场景使用。 灵活接入 提供标准化工具链与弹性运行环境、支持WebSdk、MCP等主流接入方式，无缝对接各种AI agent，兼容轻量调用与专业部署方式。 高效运行 依托天翼云强大算力底座，实现算力弹性伸缩与并发场景高效运行，保障桌面操作、软件运行及数据处理的流畅性与可靠性。 安全防护 采用企业级沙箱防护方案，构建多层次安全体系，用过严格权限隔离防范各类安全风险，保障企业核心业务数据安全合规。

本章节主要介绍Redis缓存类型的主备实例。 DCS Redis缓存类型都支持主备实例，本章节主要介绍Redis缓存类型的主备实例，有四个版本选择，Redis3.0、Redis4.0、Redis5.0和Redis6.0。 主备实例特点 DCS的主备实例在单机实例基础上，增强服务高可用以及数据高可靠性。 主备实例具有以下特性： 1.持久化，确保数据高可靠 实例默认包含一个主节点和一个备节点，都默认开启数据持久化。 Redis主备实例的备节点对用户不可见，不支持客户端直接读写数据。 2.数据同步 主备节点通过增量数据同步的方式保持缓存数据一致。 说明 当网络发生异常或有节点故障时，主备实例会在故障恢复后进行一次全量同步，保持数据一致性。 3.故障后自动切换主节点，服务高可用 当主节点故障后，连接会有秒级中断、不可用，备节点在30秒内自动完成主备切换，切换完成后恢复正常访问，无需用户操作，业务平稳运行。 4.容灾策略 跨AZ部署（可用区）：DCS支持将主备实例的主备副本部署在不同的AZ内，节点间电力与网络均物理隔离。您可以将应用程序也进行跨AZ部署，从而达到数据与应用全部高可用。 Redis 3.0实例架构设计 DCS的Redis主备实例架构，如下图所示。 主备实例示意图 示意图说明： VPC 虚拟私有云。实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与主备实例处于相同VPC，并且配置安全组访问规则。 客户应用 运行在ECS上的客户应用程序，即Redis的客户端。 Redis实例兼容开源协议，可直接使用开源客户端进行连接，关于客户端连接示例，请参考连接实例。 DCS缓存实例 DCS主备实例包含了Master和Slave两个节点。默认开启数据持久化功能，同时保持节点间数据同步。 DCS实时探测实例可用性，当主节点故障后，备节点升级为主节点，恢复业务。 Redis 3.0的访问端口默认为6379，不支持定义端口。

本节主要介绍Agent管理 操作场景 使用对象存储迁移前需在一台或多台服务器上安装Agent用于迁移其他云服务商对象存储数据到天翼云。 约束限制 安装Agent的服务器必须为Linux系统，操作系统为X64，最低规格为4U8G。且必须与安装RDA的服务器处于同一个VPC、同一个安全组。（保证安装Agent的服务器能够访问安装RDA的服务器的5679端口） 安装Agent的服务器必须处于支持的目的端Endpoint中。 安装Agent的服务器必须加载弹性IP地址（用于访问源端） 操作步骤 步骤 1 在浏览器中输入 步骤 2 单击左侧导航栏的“配置管理”，在“OMS配置管理”页签，单击“Agent管理 > 添加节点”。 步骤 3 在弹出的“添加节点”页面，按照界面提示，配置参数。配置完成后，单击“确认”。 参数 说明 : 名称 用户自定义。 用户名 准备安装Agent服务器的SSH登录用户名。说明若使用云专线，请使用root账号。 密码 准备安装Agent服务器的SSH登录用户的密码。 IP地址 准备安装Agent服务器的私有IP地址。 端口 22 步骤 4 配置完成后，单击“确认”。 添加成功后，系统自动进行程序安装。状态列显示当前安装状态，如下图所示： 初始化 SSH检查中 下载中 上传中 安装中 安装成功离线 安装成功在线 程序安装状态说明 状态 说明 : 初始化 系统初始化 SSH检查中 SSH校验 下载中 下载Agent安装包 上传中 上传Agent安装包 安装中 安装部署Agent服务 安装成功 Agent安装成功离线 Agent安装成功在线

本节介绍了更新一键式重置密码插件(单台操作)的安装须知、前提条件等内容。 公有云平台提供了一键式重置密码功能。弹性云主机的密码丢失或过期时，如果您的弹性云主机提前安装了一键式重置密码插件，则可以应用一键式重置密码功能，给弹性云主机设置新密码。 更新一键式重置密码插件的操作请参考本节内容。 安装须知 1.该一键式重置密码插件仅适用于弹性云主机，不支持物理机使用。 2.弹性云主机需绑定弹性公网IP，才能更新一键式重置密码插件。 3.使用公共镜像创建的弹性云主机默认已安装一键重置密码插件，在更新前请先卸载一键式重置密码插件。 4.一键重置密码插件CloudResetPwdAgent已按照GNU General Public License v2.0协议开源至Github开源平台，开放、透明、安全，请您放心使用。 前提条件 对于Windows弹性云主机，需保证C盘可写入，且剩余空间大于300MB。 对于Linux弹性云主机，需保证根目录可写入，且剩余空间大于300MB。 使用SUSE 11 SP4镜像创建的弹性云主机，内存需要大于等于4GiB时才能支持一键式重置密码功能。 弹性云主机使用的VPC网络DHCP不能禁用。 弹性云主机网络正常通行。 弹性云主机安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16

本文介绍如何开启云防火墙的防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面，如下图所示。 4. 当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 5. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面，弹性公网IP信息将自动更新至列表中，如下图所示。 手动更新列表请单击页面右上角“资产同步”，将您的弹性公网IP信息导入至列表中，刷新弹性公网IP列表。 6. 开启弹性公网IP。 开启单个弹性公网IP。在所在行的“操作”列中，单击“开启防护”。 开启多个弹性公网IP。勾选需要开启防护的弹性公网IP，单击表格上方的“开启防护”。 7. 在弹出的界面确认信息无误后，单击“绑定并开启防护”，可查看操作行的“防护状态”列显示“防护中”。 说明 EIP开启防护后，访问控制策略默认动作为“放行”。

本文介绍如何下载日志。 当日志超过热日志分析上限时，系统将自动对超出部分执行归档操作。 日志归档周期：每日凌晨2点自动归档一次。 归档日志存储时间：180天。 下载归档日志 说明 文件生成时间与文件中日志起始时间可能存在较大差异，若选择文件时间内未找到目标时间日志，可下载与目标时间相邻的文件。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理归档日志”。 5. 查询日志： 选择模式：支持选择“云SAAS模式”、独享型实例。 日志文件名称：支持模糊搜索文件名称。 归档时间：根据选择的时间范围过滤文件归档时间。 6. 查看日志文件列表。 参数 说明 日志文件名称 根据归档文件生成时间命名的文件。 日志时间 显示该归档文件内日志的起止时间。 归档时间 显示文件的归档时间。 日志条数 当前文件内归档的日志条数。 文件大小 显示文件的大小。 文件类型 显示文件的类型，攻击日志或访问日志。 7. 下载日志：单击操作列的“下载”，下载对应日志文件。 选择“云SAAS模式”，支持下载对应归档文件。 说明 归档日志文件类型目前仅有“攻击日志”提供下载。 选择独享型实例，仅支持查看日志归档记录，不支持下载归档文件。

本节介绍如何为防护域名开启IPv6防护。 如果需要对网站的IPv6请求流量进行防护，可以在域名接入WAF时开启IPv6功能。开启IPv6功能后，所有IPv6请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量转发给源站，实现恶意流量的拦截。 约束限制 IPv6功能仅支持在添加域名时配置，完成域名接入后IPv6配置无法修改，若需要修改，需要先删除已接入的域名，然后再重新接入域名。 若您的域名接入时未开启IPv6功能，后续需要开启IPv6请求防护时，需要重新接入域名。 若您的域名接入时开启了IPv6功能，如需关闭IPv6请求防护，需要重新接入域名。 基础版不支持开启IPv6功能，若需要防护IPv6流量，请购买标准版、企业版或旗舰版。 开启IPv6防护 域名首次接入WAF防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 点击“添加防护对象”进入域名接入信息配置页，打开IPv6开关，其余参数说明及操作请参见添加防护对象。

本节介绍了遭受DDoS攻击如何向网监报案。 当您的业务遭受大规模DDoS攻击，除了使用DDoS高防（边缘云版）服务来保障您的业务安全与稳定，也建议您立即向网监部门进行报案。 报案流程 1. 遭受到大规模DDoS攻击后，您可尽快向当地网监部门进行报案，并根据网监部门的要求提供相关信息。 2. 网监部门判断是否符合立案标准，并进入网监处理流程。（具体立案标准请向您当地的网监部门进行咨询） 3. 正式立案后，天翼云将配合网监部门接口人提供攻击取证等信息。 天翼云能提供什么相关证据？ 您的报案在网监部门立案后，天翼云将配合网监部门提供以下协助： 天翼云会及时响应网监部门的协助调查要求，配合开展工作。 天翼云会配合网监部门，向网监接口人提供您在天翼云平台上的业务的流量日志、遭受的攻击详情等。 说明 向网监部门提供的流量日志、攻击详情等信息将作为法律证据，因此无法直接提供给您。您可以在天翼云控制台中自行查看攻击流量的相关信息。 天翼云作为证据提供方，不对流量日志和攻击信息等进行分析，直接给出谁是攻击者的结论。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见“支持云审计的CFW操作列表”。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见“支持云审计的CFW操作列表”。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本文介绍如何在组网配置中如何查看和分析网络拓扑。 背景说明 AOne零信任网络通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通，分支机构互联情况则可以通过网络拓扑进行直观的分析和处理。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击网络拓扑。 网络拓扑 可选择图形或地图，并选择对应的分支机构，来查看分支机构的网络拓扑。

本小节介绍SSL VPN的系统基本信息配置。 授权信息 在“系统设置 > 系统配置 > 授权信息”页面，可以查看设备当前的授权信息。 系统时间 “系统设置 > 系统配置 >日期与时间”用于设定系统时间。可以直接在界面上修改时间，也可以选择“自动与时间服务器同步”进行时间的同步。 注意 设备日志记录的时间与系统时间相关，请注意确保系统时间的准确性，手动获取本地时间和系统时间会重启设备，请勿在工作时间操作。 控制台配置 “系统设置 > 系统配置 > 控制台配置”用于设定SSL设备的设备名称、WEBUI管理页面端口、超时时间以及远程维护支持选项。 注意 为设备安全考虑，一般情况下建议禁用远程维护支持。 配置备份与恢复 “系统维护 > 配置备份/恢复”用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。 SSL的配置包含全局配置和SSL VPN配置，都是点击“下载当前配置”进行下载，两者的区别是： 全局配置：包含SSL设备系统配置、网络配置、SSL VPN设置、IPSec VPN配置以及防火墙设置等设备全部配置信息。导入全局配置时，设备需要重启。 SSL VPN配置：仅包含SSL VPN设置和SSL VPN选项的配置，导入SSL VPN配置时，设备仅重启SVPN相关服务。

本页介绍天翼云TeleDB数据库安全认证相关参数。 authenticationtimeout (integer) 完成客户端认证的最长时间，以秒计。如果一个客户端没有在这段时间里完成认证协议，服务器将关闭连接。这样就避免了出问题的客户端无限制地占有一个连接。默认值是1分钟（1m）。这个参数只能在服务器命令行上或者在postgresql.conf文件中设置。 ssl (boolean) 启用SSL连接。这个选项只能在postgresql.conf文件或服务器命令行上设置。默认是off。 sslcafile (string) 指定包含SSL 服务器证书颁发机构（CA）的文件名。 相对路径是相对于数据目录。该参数只能在postgresql.conf 文件或服务器命令行上设置。默认值为空，表示不载入 CA 文件， 并且不执行客户端证书验证。 sslcertfile (string) 指定包含SSL 服务器证书的文件名。相对路径是相对于数据目录的。 这个参数只能在postgresql.conf文件或服务器命令行上设置。 默认值是server.crt。 sslcrlfile (string) 指定包含SSL 服务器证书撤销列表（CRL）的文件名。 相对路径是相对于数据目录。这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值为空，意味着不载入 CRL 文件。相对路径是相对于数据目录。这个参数只能在服务器启动时设置。 sslkeyfile (string) 指定包含SSL 服务器私钥的文件名。 相对路径是相对于数据目录。这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值为server.key。 sslciphers (string) 指定一个SSL密码列表，用于安全连接。 这个设置的语法和所支持的值列表可以 参见OpenSSL包中的 ciphers手册页。 这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值是 HIGH:MEDIUM:+3DES:!aNULL。默认值通常是合理的选择， 除非你有特别的安全性需求。默认值的解释：HIGH使用来自HIGH组的密码的密码组（例如 AES, Camellia, 3DES）MEDIUM使用来自MEDIUM组的密码的密码组（例如 RC4, SEED）+3DESOpenSSL 对HIGH的默认排序是有问题的，因为它认为 3DES 比 AES128 更高。这是错误的，因为 3DES 提供的安全性比 AES128 低，并且它也更加慢。 +3DES把它重新排序在所有其他HIGH和 MEDIUM密码之后。!aNULL禁用不做认证的匿名密码组。这类密码组容易收到中间人攻击，因此不应被使用。可用的密码组细节可能会随着 OpenSSL 版本变化。可使用命令 openssl ciphers v 'HIGH:MEDIUM:+3DES:!aNULL'来查看 当前安装的OpenSSL版本的实际细节。注意这个列表是根据服务器密钥类型 在运行时过滤过的。

本页介绍了分布式融合数据库HTAP的实例连接方式。 分布式融合数据库HTAP实例连接方式 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在ECS上，且该ECS与分布式融合数据库HTAP实例处于同一区域，同一VPC时，建议单独使用内网IP连接ECS与分布式融合数据库HTAP实例。 安全性高，可实现分布式融合数据库HTAP的较好性能。 推荐使用内网连接 术语解释： VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 设置安全组规则 安全组的规则设置请参考快速入门准备工作。 通过内网连接分布式融合数据库HTAP实例 1. 天翼云官网首页右上角选择控制中心，登录进入控制中心界面。 2. 控制中心产品概览页左上角单击管理控制台，选择区域。 3. 选择“数据库 > 分布式融合数据库HTAP”。进入分布式融合数据库HTAP控制台。 4. 实例列表中可以查看到每个实例的连接地址，连接地址中包含IP和端口。 通过连接地址中的IP及端口（计算节点的主机IP及服务端口）即可连接数据库，如果实例有多个连接地址，可以用搭建负载均衡的方式进行连接。 5. 连接分布式融合数据库HTAP前必须新建用户，点击对应实例的“更多 > 用户管理”进入用户管理，填写用户名、主机、权限、用户密码等信息，创建连接用户并授权。 6. 登录云主机后打开命令行输入窗口，凭数据库连接的IP及端口，以及新建用户连接数据库，如下命令。 mysql h{hostname} P{port} u{user} p{password} 参数： h：主机IP，即分布式融合数据库“实例管理”页面中实例连接地址的IP”。 P：数据库端口，为“实例管理”页面中连接地址的端口。 u：用户名，即用户创建的数据库帐号（用户不能使用root账号登录，必须新建用户）。 p：密码，即数据库帐号对应的密码，为创建数据库用户时指定的密码。 示例： mysql h 172.16.X.X P 8635 u root –p ‘’

本节介绍如何新增检测规则。 检测规则中包含基本设置、检测条件设置、分级分类设置、严重性设置等内容。通过对检测规则的设置，可以对敏感信息更加精确的检测并进行分级分类与严重性的设置。 新增检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 检测规则”。 3. 点击“新增”。填写基本设置、检测条件、分级分类、严重性等信息，点击“保存”完成检测规则配置。 参数如下表所示： 信息 说明 基本设置 名称 该策略名称。 基本设置 备注 该策略描述备注。 检测条件设置 只允许选择一种检测条件；关键字、正则支持多选。 检测条件：关键字、正则表达式、字典、文档指纹、数据库指纹、图像指纹、语义模型、文件类型、文件名称、文件大小、文件MD5、修改时间。 分基分类设置 所属分类 数据来源于分类模板。 分基分类设置 所属分级 数据来源于分级。 严重性设置 数据来源于严重性。 支持配置检测达一定数据时视为某种严重性。

检测Linux操作系统安全漏洞是否已修补完成 1. 单击spectremeltdownchecker获取spectremeltdownchecker.sh检测脚本。 2. 将步骤1获取的脚本上传至云主机。 3. 在云主机执行以下命令，并根据脚本提示判断Meltdown或Spectre漏洞是否已经修复。 chmod +x spectremeltdownchecker.sh sudo bash spectremeltdownchecker.sh 回显信息如下图所示。 图 执行脚本后的回显信息 OK为已修复漏洞，KO为未修复，如上图所示代表CVE20175753、CVE20175715、CVE20175754漏洞均已修复。 打开或关闭Linux操作系统的安全漏洞补丁开关 CPU的预测执行是一种性能优化技术，因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降。 如果您认为漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制，希望可以禁用部分或全部漏洞安全保护策略，那么可以参考以下操作启用或者禁用安全保护策略。 您可以根据如下具体情况配置系统来达到理想的安全策略： Meltdown漏洞 采取页表隔离pti（Page Table Isolation）来控制内核页表隔离功能，此功能适用于CVE20175754。 Spectre漏洞 采取间接分支限制预测ibrs（Indirect Branch Restricted Speculation）控制SPECCTRL模型特定寄存器（MSR）中的IBRS功能，结合retpoline，及间接分支预测障碍ibpb（Indirect Branch Prediction Barriers）控制PREDCMD模型特定寄存器（MSR）中的IBPB功能，此功能适用于CVE20175715。 说明 CVE20175753漏洞是通过内核补丁修复的，它无法禁用，并且它在Red Hat的性能测试中没有显示出任何可见的影响。 关闭Meltdown安全漏洞补丁 如果您想降低开启pti对系统的性能影响或者系统有更好的保护机制，您可以根据以下步骤操作： a. 根据不同的操作系统修改内核参数： CentOS、EulerOS、Ubuntu、Fedora、Red Hat：添加内核参数nopti Debian、OpenSUSE：添加内核参数ptioff b. 重启云主机。 关闭Spectre安全漏洞补丁 如果您认为Spectre漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制，您可以根据以下步骤操作： a. 根据不同的操作系统修改内核参数： CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE：添加内核参数spectrev2off Ubuntu：添加内核参数nospectrev2off b. 重启云主机。 如果您使用的是以下操作系统，可以前往官网查询更多信息。 RedHat： SUSE： Ubuntu：

背景信息 本文介绍如何使用IPsec VPN在两个VPC之间建立安全连接，实现两个VPC内的资源互访。 场景示例 以本文图中场景为例。某企业在华东1地域创建了一个vpc1，在青岛20地域创建了vpc2。两个VPC均已使用弹性云主机部署了业务，企业因后续发展，现在需要将vpc1和vpc2中的业务实现互相访问。 出于网络安全环境考虑，企业计划使用VPN网关，在两个VPC之间建立IPsec VPN连接，对数据进行加密传输，实现资源的安全互访。 前提条件 已经在天翼云华东1地域创建了vpc1，在青岛20地域创建了vpc2，两个VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.0.3 vpc2 青岛20 10.0.0.0/16 vpcr8jw6vfdnk ecm99df 10.0.0.62 您已经了解两个VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许两个弹性云主机实例互访。

为了保证用户数据的安全，OOS提供以下安全策略来保障用户数据的安全性：用户签名验证、Bucket权限控制、访问控制、Bucket Policy安全策略、合规保留。详见API参考 安全策略。 在用户访问层面，所有针对OOS的数据请求都需要进行签名验证，OOS提供全方位的访问控制策略，使文件的拥有者对该文件有灵活的访问控制权。 在数据传输层面，不论是通过Web门户还是REST接口，用户的数据访问和操作都可以通过HTTPS协议进行，以确保数据传输中没有安全死角。 在数据存储层面，OOS将用户数据自动切片，进行分布式保存，并且对每片数据进行签名，即使数据被盗，没有用户的账号信息依然无法对数据进行破解，这样就充分保证了数据在存储层面的安全性。 在OOS系统的运维层面，通过利用天翼云的“虚拟云桌面”技术，运维人员无法直接访问生产系统，而必须一个可录像的“虚拟桌面”才能访问，运维人员的一举一动都将被记录在案。 在数据中心的运维层面，天翼云具备全球最先进的数据中心管理和运营能力。OOS部署在8级抗震、一级耐火、一级防水、通过ISO27001认证的的数据中心内部，与中国电信通信枢纽数据中心（武警守卫）同级别，具备完善的门禁制度、人员访控制度、设备巡检制度，确保物理层面的万无一失。

该任务指导用户通过管理控制台查看管道的信息，包括名称、所属数据空间和创建时间等。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开已创建的管道。 6. 单击待查看管道名称后的，右侧将显示管道的详细信息。 参数名称 参数说明 工作空间名称 当前管道所属工作空间的名称。 工作空间ID 当前管道所属工作空间的ID。 数据空间名称 当前管道所属数据空间的名称。 数据空间ID 当前管道所属数据空间的ID。 管道名称 当前管道的名称。 管道ID 当前管道的ID。 Shard数 管道的Shard数。 生命周期 管道内数据保存周期。 创建时间 管道的创建时间。 描述 管道的描述信息。

本章节介绍请求身份认证 概述 请求身份认证（RequestAuthentication）定义了终端用户请求网格服务时候的身份认证策略；如果认证信息非法，请求将被拦截；默认情况下，如果不带身份认证信息，请求将被放过，可以配置特定授权策略要求请求的身份信息不能为空来拦截身份认证信息为空的请求。 请求身份认证配置粒度 请求身份认证策略支持三种，全局、命名空间和工作负载级；当策略的命名空间为系统命名空间时（默认为istiosystem），策略为全局生效；当策略命名空间不是系统命名空间，且没有选择工作负载，策略将只在当前命名空间生效并覆盖全局策略；当策略在非系统命名空间，且选择了工作负载，则只对指定工作负载生效。 下面的配置中RequestAuthentication定义了foo命名空间下匹配app： httpbin标签的工作负载使用的jwt认证策略，同时AuthorizationPolicy定义了对请求来源的匹配，要求认证信息不能为空。 apiVersion: security.istio.io/v1beta1 kind: RequestAuthentication metadata: name: httpbin namespace: foo spec: selector: matchLabels: app: httpbin jwtRules: issuer: "issuerfoo" jwksUri: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: httpbin namespace: foo spec: selector: matchLabels: app: httpbin rules: from: source: requestPrincipals: [""] 创建请求身份认证 1. 进入网格控制台，选择 网格安全中心 –> 请求身份认证菜单。 2. 选择命名空间，列表页会展示当前命名空间下的请求身份认证策略。 3. 点击创建按钮，进行请求身份认证的创建。

本文介绍访问网站资源后返回5XX状态码的排查过程。 问题现象 域名接入安全与加速服务后，访问域名响应5XX状态码。常见的5XX状态码有：502、503、504。 排查方法 查看是否客户端网络问题 访问加速域名出现5XX异常，访问其他网站域名也出现异常，则代表客户端网络问题，请检查您本地网络。 访问加速域名出现5XX异常，访问其他网站域名未出现异常，则代表客户端网络正常。 查看是否源站问题 若源站是域名，以加速域名为：www.ctyun.cn，源站域名为：www.ctyun.cn1，访问异常的URL为： 用源站域名替换URL中的加速域名，即替换为 每次测试前清除浏览器缓存，在浏览器中打开替换后的URL。 如果访问异常，则代表源站异常，请检查您的源站。 如果访问正常，则代表源站正常。 若源站是IP，以加速域名为：www.ctyun.cn，源站IP为：66.188.1.20，操作系统为windows为例。 在C:WindowsSystem32driversetchosts文件中添加加速域名www.ctyun.cn和IP地址66.188.1.20的绑定关系。如下图所示。 每次测试前清除浏览器缓存，在浏览器中打开访问异常的URL。 如果访问异常，则代表源站异常，请检查您的源站。 如果访问正常，则代表源站正常。

示例： 请求路径： 请求： 返回结果： { "code": 100000, "message": "success", "data": { "result": [ { "starttime": "20220516 00:00:00", "packetid": "39f86576e1c64fbda1bd1a934da47565", "packetsize": 1000, "endtime": "20220616 23:59:59", "resourcetype": 1, "usednum": "1000.00", "productcode": "007", "resourcename": "安全加速", "status": 4 }, { "starttime": "20220516 00:00:00", "packetid": "3a94944f768f4c70b508b0b95bc2aad9", "packetsize": 1000, "endtime": "20220616 23:59:59", "resourcetype": 1, "usednum": "1000.00", "productcode": "007", "resourcename": "安全加速", "status": 4 } ], "count": "2" } } 错误码请参考：API返回参数code和message含义

本节介绍数据安全中心如何收费。 数据安全中心DSC提供两个服务版本：标准版和专业版，两种扩展包：数据库扩展包和OBS扩展包。 说明 不同版本的扩展包的费用不同，且购买扩展包需要对应版本购买，如标准版的扩展包只能支持标准版的基础套餐，专业版的扩展包只能支持专业版的基础套餐。 您可以根据业务需求选择相应的服务版本和搭配扩展包，服务将根据您选择的计费项目进行收费。详细计费信息见计费说明。 计费项 计费模式 计费项 选择方式 计费说明 包周期（包年/包月） 基础套餐 必选 按购买的版本规格（标准版/专业版）计费。 包周期（包年/包月） 数据库扩展包 可选 按购买个数计费。 包周期（包年/包月） OBS扩展包 可选 按购买个数计费。

本节介绍如何购买大模型安全卫士性能扩展包。 1. 登录智算安全专区控制台。 2. 在“大模型安全卫士”实例页面，找到需要扩展性能的实例，单击“扩展”。 3. 进入升配页面，在性能扩展包右侧单击“去增项”。

本章节概括介绍了边缘重保服务整体服务框架及其主要应用场景。 边缘重保服务可针对各类推广活动、重要会议、赛事、晚会等业务场景中的突发性流量压力及潜在的安全隐患，为客户核心业务提供全生命周期的保障。通过“事前全面分析和准备事中严格护航值守事后复盘优化”的三级保障体系，从底层资源入手，以业务功能可用性和应用服务的安全性为要义，为企业的核心业务提供多重保险，助力企业在流量洪峰中构建高可靠数字防线。 边缘重保服务以资深重保专家团队和成熟的边缘云系列产品为核心能力基础，辅以自研及第三方权威机构的各类工具，从前期的组织规划到过程中的作战保障及事后的复盘分析，构建核心业务加固、周期监控巡检、故障应急响应三位一体多重护甲的保障体系，为业务保驾护航，让您全程无忧！ 整体服务框架 应用场景 营销推广： 618购物节、双十一购物狂欢节、双十二购物狂欢节、年货节等电商促销活动；品牌发布会、产品发布会等受公众瞩目的各类发布会。 晚会与庆典：春节联欢晚会、跨年晚会、中秋晚会、地方春晚等晚会型活动；国庆阅兵、国家级大型庆典类活动。 教育活动：中高考查分、高考志愿填报、中小学生开学第一课、各类职业资格或技能考试认证等大规模教育类活动。 重要赛事：奥运会、冬奥会、世界杯、欧洲杯、亚运会、大运会、热门联赛等重要竞技赛事。 大型会晤：两会、金砖会晤、经济贸易峰会、各类大型论坛等会晤型活动。 票务活动：春运车票、演唱会门票、热门景点门票、消费券发放、纪念币发行等限量抢购类活动。 其他：攻防演练、热门游戏发布、热门应用大版本更新、企业核心业务割接及其他需要保障支持类的场景。

本节介绍了专属云（存储独享型）的产品优势。 存储专享 存储资源独享，保证高读写性能，且保证数据安全与合规性，为您提供VIP级别的存储服务。 特性丰富 支持共享云硬盘、云硬盘备份、云主机备份、快照等功能，满足不同业务场景的需求。 场景丰富 灵活对接弹性云主机、物理机服务以及专属云（计算独享型）服务等。 高性能 采用分布式存储架构，可平滑扩展，性能线性增长，为业务提供高吞吐、高并发的存储能力。

天翼云弹性高性能计算产品为您提供优质的服务体验,本文带您了解天翼云弹性高性能计算的产品优势。 快速交付，部署灵活 天翼云弹性高性能计算平台操作简洁、易于上手，您可以在天翼云控制台快速创建高性能计算集群，一键部署出您需要的高性能计算环境和应用程序，创建完成后即可立即提交作业开始工作。相较于传统超算漫长的部署周期，弹性高性能计算部署灵活、分钟级交付、资源即租即用，您可以随时选用最新硬件。 成本低廉，无需运维 天翼云弹性高性能计算平台服务免费，您仅需以租用的方式支付实例费用便可使用高性能计算平台。您无需关注HPC集群本身的设备运维、网络安全、机房故障等一系列运维事件，无需投入大量资金，极大地降低了中小客户的使用门槛。而传统超算需投入大量人力成本和物料成本，包括服务器、系统、数据库等软硬件费用及机房机柜费用和运维成本，对个人用户及中小企业不友好。 云端数据，安全可靠 不同租户之间资源隔离，数据安全有保障。基于虚拟私有云实现的网络访问隔离，充分保证了集群网络的安全性。支持对接弹性文件存储，满足企业数据安全和可靠性诉求。 弹性资源，按需配置 您可以根据自己的需求对集群进行扩容、缩容，灵活适配业务规模需求。相较于传统超算，天翼云弹性高性能计算更加灵活、可以充分有效地利用资源，降低成本。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。