本节介绍如何购买云安全中心实例。 云安全中心支持包年/包月计费方式，目前提供标准版的主资源，两种扩展资源：日志分析量、态势大屏。您可以根据业务规模选择云安全中心规格。 前提条件 已注册天翼云账号并完成实名认证。 规格限制 态势大屏只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 约束条件 同一账号在同一个区域只能开通一个云安全中心实例，对应一个服务版本。 开通云安全中心实例，必须购买主资源，主资源生效期间，支持叠加购买扩展资源，扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 适用场景 用户购买了天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 3. 单击“立即购买”，进入购买页面。 4. 选择版本信息、扩展资源、购买时长。 参数 说明 基本信息 版本选择 支持“标准版”。规格详情请参见产品规格。 基本信息 计费模式 支持“包年包月”。 扩展配置 购买态势大屏 默认为“现在购买”，也可以选择“暂不购买”。 说明 态势大屏只可购买一次。 扩展配置 购买日志分析量 默认为“现在购买”，也可以选择“暂不购买”。 说明 云安全中心标准版免费提供50G的日志分析额度，如果您需要额外的额度，请另外购买。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 订购 购买时长 拖动时间轴设置购买时长。 订购 自动续订 开启“自动续订”后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 确认配置参数和配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》”，单击“立即购买”。 6. 进入“付款”页面，完成付款。

手动备份数据库审计日志 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置备份的实例，选择“备份与恢复”页签。 6. 单击“手动备份”，在弹出的对话框中，选择“备份范围”并设置访问密钥的AK和SK，如下图所示。 7. 单击“确定”。 恢复数据库审计日志 数据库审计日志备份成功后，您可以根据需要恢复数据库的审计日志。 注意 日志数据恢复风险较大，在恢复日志数据前，请您确认备份的日志数据的准确性或完整性。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要恢复日志的实例，选择“备份与恢复”页签。 6. 在需要恢复数据库审计的备份日志所在的“操作”列，单击“恢复日志”。 7. 在弹出的提示框中，单击“确定”。

本小节介绍云下一代防火墙计费类常见问题。 云下一代防火墙安全产品有几个规格？ 下一代防火墙安全产品分为标准版、高级版和旗舰版，三个版本基本功能相同但性能不同，所需弹性云主机的配置也不同，上述三个版本均可购买额外的安全扩展功能，不同版本规格详细信息可参考规格。 云下一代防火墙安全产品各个版本有什么功能？ 云下一代防火墙安全产品有基础功能、防病毒、URL过滤、带宽管理、僵尸网络防护、IP信誉库和云沙箱等功能。 其中，基础功能包含入侵防御、应用识别、攻击防护、地址映射等功能，基础功能三个版本通用；标准版和高级版可扩展功能一致，能够扩展增加防病毒、URL过滤、带宽管理等功能；旗舰版可扩展防病毒、URL过滤、带宽管理、僵尸网络防护、IP信誉库和云沙箱全部功能。 云下一代防火墙是否可以按月计费？ 云下一代防火墙支持按月/按年计费，最低订购时长为1个月。 云主机和云下一代防火墙计费是否重复？ 云主机订购费用和云下一代防火墙的计费是不同步的，云主机计算属于资源计算，需要按照平台云主机计费标准；云下一代防火墙安全产品属于服务计费，会根据使用规格、时长、功能等项目进行计费。

现象二 访问网站时，返回的不是“现象一”所示的页面，而是其他的404页面。 原因 ：网站页面不存在或已删除。 解决办法 ：请排查网站问题。 502 Bad Gateway 现象：完成WAF配置之后网站访问正常，但过一段时间，访问页面返回502，或者大概率出现502。 说明 如果您的网站不是部署在云上，建议您咨询服务器服务商，该服务器是否存在默认的防护拦截并要求服务商解除默认拦截。 这种情况一般有三种原因： 原因一 原因：您的网站使用了其他的安全防护软件（如360、安全狗、云锁或云盾等安全防护软件），这些软件把WAF的回源IP当成了恶意IP，拦截了WAF转发的请求，导致不能正常访问。 解决办法： 将WAF的回源IP网段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单中。 原因二 原因：网站的后端配置了多个服务器，其中某个源站不通。 按以下方法检测源站配置是否正确： 1. 登录管理控制台，单击页面上方的“服务列表”，选择“安全 > Web应用防火墙（独享版）”，进入Web应用防火墙控制界面。 2. 在左侧导航树中选择“网站设置”，进入“网站设置”页面。 3. 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 4. 在“服务器信息”栏中，单击编辑图标，进入“修改服务器信息”页面，确保对外协议、源站协议、源站地址、端口等信息配置正确。 5. 在主机上执行curl命令检测各个源站是否能正常访问。 curl kvv xx.xx.xx.xx代表源站服务器的源站IP地址，yy代表源站服务器的源站端口，xx.xx.xx.xx和yy必须是同一个服务器的源站地址和端口。 如果显示“connection refused”表示源站不通，不能正常访问网站。按以下方法处理： 检测服务器是否运行正常，如果运行不正常，请尝试重启服务器。 将WAF的回源IP网段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单中。

配置项 说明 TCP端口 设置TCP检查访问的端口。 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。

云搜索服务已接入云审计服务。通过云审计服务，您可以查询云搜索服务相关的操作事件，便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 查询实例详情 instance 退订Logstash实例 instance 查询实例列表 instance 节点扩容 instance 磁盘容量 instance 实例升配 instance 重启实例 instance 创建管道 pipeline 更新管道 pipeline 部署管道 pipeline 停止管道 pipeline 查询管道列表 pipeline 查询管道内容 pipeline 删除管道 pipeline 开启Logstash日志功能 log 关闭Logstash日志功能 log Logstash绑定公网 node Logstash解绑公网 node

本节介绍翼打印的应用场景。 典型场景 国产化转型 翼打印提供零成本适配各国产品牌打印机方案，轻松实现国产化转型。 大型组织办公场景 通过AI云电脑（政企版）管理台策略分配一键实现翼打印，无需单台安装驱动，同时支持针对性设置打印机使用权限。 安全敏感场景打印 支持打印水印+打印审计，在安全敏感场景下对打印产出物与打印行为进行控制监测，保障打印行为安全性。 场景案例 场景对象 某大型企业使用打印机人员较多且频繁，打印机数量较多，维护打印机驱动与配置工作任务重。 核心诉求 （1） 减轻打印机日常维护成本； （2） 减少使用人员接入打印机的操作步骤； （3） 增加打印文件的安全性。 解决方案 （1）接入翼打印服务桌面，服务端提供与维护所有设备型号的打印机驱动，工作人员无需再关注驱动更新与兼容性问题； （2）在管理台策略给打印机使用人员开通翼打印服务，自动发现打印机，无需配置任何内容； （3）提供打印行为数据审计服务，企业资料安全性得到进一步提升。

为什么第一次请求会比较慢？ 因为函数是冷启动的，所以如果有初始化或者函数中有第一次执行比较耗时的操作，第一次请求会比较慢，后面接着的请求就会很快，因为此时容器还没有销毁。如果间隔一分钟没有请求，容器就会销毁。 如何读取函数的请求头？ 函数入口中的第一个参数里面包含请求头，您可以打印函数执行结果，从而获取想要的字段。 如下图，event为函数入口的第一个参数，headers为请求头。 为什么函数实际使用内存大于预估内存，甚至触发OOM？ 1. 函数调用过程中，运行时会解析和缓存传入的event事件, 这部分操作会消耗额外的内存。 2. 函数调用结束后，回收的内存首先会放入内部内存池中，并不一定归还给操作系统，导致内存偏高，在高并发场景下这种现象会更加明显。 函数内存超限返回“runtime memory limit exceeded”，如何查看内存占用大小？ 请在函数请求返回界面查看。 查看oom内存大小 如何定位自定义镜像执行失败“CrashLoopBackOff”的原因？ 若出现“CrashLoopBackOff: The application inside the container keeps crashing”错误字段： 1. 请根据页面提示信息诊断原因。 查看执行结果 2. 请参见开发HTTP函数示例章节进行容器镜像自验证。 3. 排查镜像是否为x86 linux架构，目前仅支持x86 linux架构镜像。

流程概述 自建MySQL服务器 创建VPC 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击服务列表图标，选择“网络 > 虚拟私有云。进入虚拟私有云信息页面。 4、单击“创建虚拟私有云”购买VPC。 5、单击“立即创建”。 6、返回VPC列表，查看创建VPC是否创建完成。当VPC列表的VPC状态为“可用”时，表示VPC创建完成。 创建安全组 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。进入虚拟私有云信息页面。 4、选择“访问控制 > 安全组”。 5、单击“创建安全组”。 6、填写安全组名称等信息。 7、单击“确定”。 8、返回安全组列表，单击安全组名称“sg01”。 9、选择“入方向规则”，单击“添加规则”。 10、配置入方向规则，放通数据库3306端口。 创建ECS（MySQL服务器） 购买弹性云服务器，用于安装MySQL社区版。 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“计算 > 弹性云服务器 ECS”。 4、单击“购买云服务器”。 5、配置弹性云服务器参数 安装社区版MySQL 1、打开Xshell客户端 2、填写主机IP和账号密码等信息并登录 3、下载好社区版mysql.zip压缩包传至主机，并编辑好安装脚本 4、在弹性云主机运行数据库安装脚本，执行bash /root/im.sh后，数据库安装成功 5、通过Navicat登录主机搭建好的数据库并新建测试表格数据 6、至此，测试自建库完成搭建 创建目的端RDS 创建RDS实例 1、登录天翼云控制台 2、单机管理控制台区域按钮，选择区域“上海4” 3、单机左侧的服务列表图标，选择“数据库 > 云数据库 RDS”。 4、单击“购买数据库实例”。 5、配置实例名称和实例基本信息。 采用DRS工具进行迁移 创建DRS任务 1、登录天翼云控制台 2、单机管理控制台区域按钮，选择区域“上海4” 3、单机左侧的服务列表图标，选择“数据库 > 数据库复制”。 5、单击“创建迁移任务”，填写迁移信息后点击下一步。 6、配置源端和目的端迁移信息，并单机测试连接显示通过即为两个数据库网络可达. 7、单击“下一步”。确认迁移用户、快照模式和迁移对象。 8、单击“下一步”。等待预检查结果。 9、当所有检查都是“通过”时，单击"下一步”单击“提交任务”。返回DRS实时迁移管理，查看迁移任务状态。 10、迁移完成后可在控制台左侧点击迁移对比查看迁移对比结果

参数 是否必填 参数类型 说明 示例 下级对象 CopyObjectResult 是 Array of Objects 返回元素的容器 CopyObjectResult

参数 是否必填 参数类型 说明 示例 下级对象 CompleteMultipartUploadResult 是 Array of Objects 包含响应的容器 CompleteMultipartUploadResult

DLI系统权限 如下表所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 DLI系统权限 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

本文汇总了密钥管理计费类常见问题。 密钥管理服务的计费方式是什么？ KMS产品当前支持包周期版本及按需版本，对应两种计费模式： 包年/包月计费：一种预付费模式，即先付费再使用。您可根据业务需要，选择合适的包周期服务版本（基础版、企业版），一次性支付一个月/多个月/一年/多年的费用，支付成功后，KMS服务资源将被系统分配给用户使用，直到超过保留期后被系统回收。 按使用量计费：一种后付费模式，即先使用再付费。在结算时会按照您在按需版本中，实际资源使用量收取费用，如密钥数量、API调用量等。 密钥管理服务的计费项是什么？ KMS包周期版服务的计费项包括基础版、企业版。 基础版提供软件保护等级服务，支持客户构建专属的密钥库，具备高度可扩展性；同时提供极简的密码运算接口能力，满足应用的安全快速集成。 企业版提供硬件保护等级服务，底层对接使用经国家密码管理局认证的密码机硬件，提供更高安全与合规等级保证的资源管理及密码运算服务，满足监管机构的检测认证要求。 KMS按需版服务的计费项包括密钥托管费、API调用费。 密钥托管费：密钥创建后托管在KMS服务产生的费用，按照密钥类型、密钥个数以天为周期进行计费。 API调用费：密钥创建后通过接口调用产生的请求费用，按照API请求次数计费，每个账户每月有20000次的免费请求次数，超过20000次后开始计费。 具体的计费项详情请参考计费项。

本文带您了解什么是内网DNS产品。 内网DNS（Intranet Domain Name Service，CTIDNS）提供高可用，高扩展的DNS服务和DNS管理服务，帮助客户将域名或应用资源转换成用于计算机连接的IP地址，从而将最终用户路由到相应的应用资源上，实现应用资源的访问和内网服务的连接。内网DNS可提供VPC内安全、全面、高性能的域名解析功能，可直接响应内网域名的解析请求，快速高效，有效防护劫持，避免安全风险。 内网域名解析过程 当VPC内云服务器访问内网域名时，内网DNS直接对内网域名进行解析，向云服务器返回对应被访问的云服务器的私网IP地址。 当VPC内云服务器访问Internet上的公网域名时，内网DNS会将对公网域名的解析请求转发至公共DNS进行解析，待收到公共DNS返回的公网IP地址后，再将公网IP返回云服务器。 系统架构 内网DNS（Intranet Domain Name Service，CTIDNS）由两个关键组成部分构成，分别是管控层和解析层： 管控层：管控层通过控制台和OpenAPI对外提供服务，主要职能如下： 管理域名解析数据：管控层负责处理域名解析数据的增删改查操作，确保域名与IP地址的映射准确性。 配置数据管理：管控层管理配置数据，保障DNS服务的可靠性和可用性。 日志数据管理：管控层记录和管理日志数据，支持用户监测和故障排除。 存储功能：管控层存储域名解析数据、配置数据和日志数据，确保数据的安全性和可靠性。 解析层：解析层通过部署解析服务器集群向外提供服务，主要职能为： 域名解析：解析层接收来自管控层的域名解析记录数据，并对解析请求进行响应，将域名解析为对应的IP地址，实现计算机之间的连接。

本节介绍专属加密服务的功能特性。 专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 功能介绍 Dedicated HSM提供以下功能： 生成、存储、导入、导出和管理加密密钥（包括对称密钥和非对称密钥） 使用对称和非对称算法加密和解密数据 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码 对数据进行加密签名（包括代码签名）并验证签名 以加密方式生成安全随机数据 Dedicated HSM支持的密码算法 支持国际通用密码算法，满足用户各种加密算法需求。 Dedicated HSM支持的密码算法 加密算法分类 通用密码算法 国密算法 对称密码算法 AES SM1、SM4、SM7 非对称密码算法 RSA（10244096） SM2 摘要算法 SHA1、SHA256、SHA384 SM3 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器加密机 数据加密/解密、数据签名/验签、数据摘要、支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融加密机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名服务器 签名/验签、编码/解码数字信封、编码/解码带签名的数字信封、证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

本文为您介绍Web应用防火墙（原生版）的相关术语解释。 SSL证书 指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。 域名解析 互联网上的机器相互间通过IP地址来建立通信，但是人们大多数习惯记忆域名，将IP地址与域名之间建立一对多的关系，而它们之间转换工作的过程称为域名解析。 QPS 每秒查询率（Query Per Second，QPS） 是对一个特定的查询服务器，在规定时间内所处理流量多少的衡量标准，在因特网上，作为域名系统服务器的机器性能经常用每秒查询率来衡量，对应fetches/sec（每秒响应请求数，即是最大吞吐能力）。 CNAME CNAME是指定域名的别名，用于将域名解析到另一域名上。通过域名接入方式添加防护域名后，WAF会生成一个CNAME（即防护域名的别名）。 通过修改DNS域名，将网站流量指向WAF服务节点，实现对网站流量的安全防护。更多信息请参见修改域名DNS。 回源IP地址 回源IP指云WAF用来与源站服务器建立网络连接的IP地址。通过域名接入方式添加域名成功后，由WAF自动分配多个回源IP地址，WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发到网站域名的源站服务器。在源站服务器看来，所有收到的请求都来自回源IP。 如果源站服务器使用了其他安全软件（例如防火墙、安全组、杀毒软件等），WAF的回源IP很有可能被这些软件识别成恶意IP并进行拦截。因此，网站接入WAF进行防护后，您需要将回源IP段添加到源站安全软件的白名单中，放行该回源IP段。更多信息请参见放行WAF回源IP段。

窗口切换 如AI云电脑账号下有多个AI云电脑，工具栏点击“窗口切换”功能，支持多个AI云电脑同时运行。 安全中心登录设备管理 前往控制面板的“安全中心”，可管理AI云电脑的登录安全情况. 登录设备：可查看账号名称，登录设备，IP地址，登录时间以及下线时间。 设备管理：可查看AI云电脑登录的设备或移除设备。 安全中心设置系统密码 若忘记Windows系统密码时，可点击“安全中心管理系统密码重置系统密码"进行重置。（适用于Windows桌面的Administrators账户） 报障 使用AI云电脑过程中，如遇到问题，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 投屏 客户端内置双向投屏能力，可发起或接收投屏，多设备无缝共享。 点击工具的“投屏”，设备间通过输入投屏码或扫码即可体验。

窗口切换 如AI云电脑账号下有多个AI云电脑，工具栏点击“窗口切换”功能，支持多个AI云电脑同时运行。 安全中心登录设备管理 前往控制面板的“安全中心”，可管理AI云电脑的登录安全情况. 登录设备：可查看账号名称，登录设备，IP地址，登录时间以及下线时间。 设备管理：可查看AI云电脑登录的设备或移除设备。 安全中心设置系统密码 若忘记Windows系统密码时，可点击“安全中心管理系统密码重置系统密码"进行重置。（适用于Windows桌面的Administrators账户） 报障 使用AI云电脑过程中，如遇到问题，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 投屏 客户端内置双向投屏能力，可发起或接收投屏，多设备无缝共享。 点击工具的“投屏”，设备间通过输入投屏码或扫码即可体验。

参数 是否必填 参数类型 说明 示例 下级对象 VersioningConfiguration 是 Array of Objects 配置版本控制的容器 VersioningConfiguration

资源名称 数量 软件开发生产线CodeArts 开通基础版即可。 云容器引擎CCE 1 云主机ECS 1

本文介绍AOne全球加速。 什么是全球加速 边缘安全加速平台全球加速服务，依托中国电信优质的节点资源，旨在为企业提供安全、高效的合规加速服务。通过智能选路、多协议优化等技术，保障海外电商、全球化办公等业务体验。 全球加速可以解决什么问题 全球骨干网及智能调度系统，优化海内外流量路径，降低跨国访问延迟30%以上，保障视频会议、实时协作等场景流畅性。 动态感知网络质量，自动切换最优链路，规避海内外拥塞节点，提升关键业务访问成功率。 支持多种协议优化技术，加速国内用户访问海外应用，保障海外电商、全球化办公等业务体验。 全球加速功能优势 全球精品网络 基于AOne全球精品网络，使用协议加速、智能选路、传输优化等技术，大幅提升访问全球学术教育资源、SAAS服务、视频会议的网速。POP点全球分布1800个节点，覆盖多运营商、主要区域省份和城市。使用精品IP网络CN2和163双平面承载，充分保障带宽的稳定性。 多种接入方式，多平台通用 除了连接器集中引流方式，也提供客户端接入，Windows、MacOS、安卓（即将支持）、IOS（即将支持），无论手机还是电脑，随时随处即开即用。

简述天翼云全站加速产品的HTTPS相关功能及配置方法。 什么是HTTPS？ HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同HTTP体系。用于安全的HTTP数据传输。 HTTPS也叫安全的超文本传输协议，使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看到包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用HTTPS访问。 HTTPS配置概述 HTTPS配置模块主要介绍如何配置HTTPS证书，如何开启HTTPS服务、HTTP2.0、强制跳转、OCSP Stapling、HSTS、如何选择TLS协议版本，以及HTTPS Keyless加速方案和全站加速支持哪些国密算法、批量配置HTTPS证书、支持的SSL/TLS加密套件。 相关功能 功能 说明 []( 简述HTTPS定义及配置方法。 []( 简述全站加速支持的国密算法及配置方法。 HTTP2.0配置 简述HTTP2.0的定义和配置方法。 []( 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。 []( Stapling 简述OCSP Stapling功能的概念、使用前提和配置方法。 HSTS 简述HSTS功能和配置方法。 []( 简述天翼云全站加速产品支持的TLS协议版本和配置方法。 []( 简述全站加速节点无需部署私钥的情况下如何加速HTTPS业务。 []( 天翼云全站加速产品支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 加密套件 介绍天翼云全站加速支持的加密套件及对应套件支持的最低版本的SSL/TLS协议。 双向认证 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。

本小节介绍漏洞扫描购买方法。 前提条件 已经注册天翼云账号并完成实名认证。 操作步骤 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 安全服务 > 漏洞扫描”。 3. 进入漏洞扫描产品详情页面，点击“立即订购”进入购买页面。 4. 进入漏洞扫描订购页面，根据需求选择规格 及订购数量，点击“立即购买”即可。

本文介绍回源加密算法的配置方法。 功能介绍 回源协议为HTTPS协议时，天翼云边缘安全加速平台安全与加速服务默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 配置说明 1. 登录边缘安全加速平台控制台。 2. 进入安全与加速工作台域名基础配置页面，点击目标域名。。 3. 进入源站设置页面，单击“编辑配置”。 4. 当【回源协议】选择HTTPS回源或者协议跟随时，可选择【回源加密算法】，支持选择国密加密回源、国际加密回源、跟随客户端加密算法回源。 5. 单击【保存】，完成配置。 参数名 说明 国密加密回源 国密算法，即国家商用密码算法，是由国家密码管理局认定和公布的密码算法标准及其应用规范。国密加密回源，即回源时的HTTPS协议采用国密加密算法。 国际加密回源 国际加密回源，即采用国际标准的密码算法回源，如果没有特殊配置，我们通常回源时使用的加密算法都是国际加密算法。 跟随客户端加密算法回源 若客户端使用国际加密算法接入天翼云AOne安全与加速平台，则回源时也使用国际加密算法回源；若客户端使用国密加密算法接入天翼云AOne安全与加速平台，则回源时也使用国密加密算法回源。

（可选）配置FTP防火墙支持 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时，需要配置FTP服务器的被动模式。 1. 双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 2. 配置相关参数，并单击“应用”。 数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535。请根据实际需求进行设置。 防火墙的外部IP地址：输入该弹性云主机的公网IP地址。 3. 重启云主机使防火墙配置生效。 设置安全组及防火墙 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见虚拟私有云安全组添加安全组规则。 如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 客户端测试 打开客户端的计算机，在路径栏输入 “ftp://FTP服务器IP地址:FTP端口”(如果不填端口则默认访问21端口) 。弹出输入用户名和密码的对话框表示配置成功，正确的输入用户名和密码后，即可对 FTP 文件进行相应权限的操作。 说明 如果没有配置“FTP防火墙支持”，客户端使用此方法访问FTP站点时，需要对IE浏览器进行设置，才能打开FTP的文件夹。打开IE浏览器，选择“设置 > Internet 选项 > 高级”。勾选“启用FTP文件夹视图”，取消勾选“使用被动FTP”。

云主机备份支持多云硬盘一致性快照技术的备份服务,支持利用备份数据恢复弹性云主机数据,提供数据备份和操作恢复的整体方案,具备实时增量备份、快速数据恢复能力,有效保障用户数据的安全性和正确性,确保业务安全。

本文为您介绍如何使用自建Beats向天翼云云搜索服务Elasticsearch实例导入数据。 Beats是轻量级的数据收集器，专门用于将各种日志、指标、网络数据发送到Elasticsearch。常用的Beats包括 Filebeat、Metricbeat、Packetbeat等。 Filebeat是一种轻量级日志收集器，通常用于将文件系统中的日志文件或事件日志发送到Elasticsearch或Logstash。它适合简单的日志采集场景，能够有效处理系统、应用程序日志等。本文将以Filebeat为例，导入数据至Elasticsearch实例。 适用场景 轻量数据收集：适用于需要从大量分布式系统、服务器、容器中收集日志、监控指标等情况。 实时日志监控：Beats 能够实时收集日志并传送到 Elasticsearch，是实时日志分析场景的理想选择。 低延迟要求的场景：Beats设计为轻量级工具，占用资源少，适合资源受限的环境。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 已经部署Filebeat且打通和Elasticsearch实例之间的网络。 Filebeat配置 Filebeat采集日志，需要配置Filebeat的配置文件，设置具体需要采集的日志路径。 具体根据实际的部署路径配置filebeat.yml。 采集日志 filebeat.inputs: type: log 采集的日志文件的路径。替换为自己日志的路径，可以使用通配符。 paths: /yourpath/.log output.elasticsearch: ip替换为Elasticsearch实例的地址。 hosts: [" 传入Elasticsearch实例的用户名和密码 username: "" password: ""

本文介绍建议启用HTTPS功能的业务场景。 需要开启HTTPS功能的业务场景： HTTP协议以明文方式发送内容，不提供任何方式的数据加密。如果您的网站包含敏感信息，担心网站信息泄露或者被篡改等情况，建议您的域名开启HTTPS功能。开启HTTPS功能后，可实现客户端和CDN节点之间请求使用HTTPS加密传输，保障数据传输的安全性。同时，为保障CDN节点和源站之间的数据链路传输安全，建议CDN节点回源也使用HTTPS协议，即源站也需要支持HTTPS服务，从而保障用户>CDN节点>源站全链路数据安全。

本文汇总了使用虚拟私有云产品时常见的操作类问题。 VPC网段、子网的网段是否可以修改？ 不可以 VPC网段、子网的网段一旦创建，不能进行修改。 您可以将云主机、物理机等计算实例更换子网或者更换VPC来实现网段更换，具体参考如何修改内网IP、切换VPC 子网被相关资源占用时，会导致无法删除子网，如何排查相关资源？ 虚拟私有云的子网被弹性云主机、物理机、虚拟IP、NAT网关、弹性负载均衡、路由表等资源使用时，子网无法删除。请根据子网信息排查子网中是否含有以上资源，先删除子网中的全部资源，再删除子网。 什么是安全组？ 安全组是一种虚拟防火墙，用来控制弹性云服务器进出流量，加强弹性云服务器的安全保护。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。 安全组规则支持哪些协议？ 安全组规则支持配置TCP、UDP、ICMP和Any，Any表示对所有协议生效。选择TCP、UDP协议时，配置允许该协议访问安全组的端口范围为165535。当您选择ICMP协议时，可以在下拉列表中指定ICMP协议类型，此时默认类型是Any。 安全组默认规则作用是什么？ 安全组规则入方向表示从外部访问弹性云服务器，出方向表示弹性云服务器访问外部。弹性云服务器加入安全组后，如果安全组中没有任何规则，则弹性云服务器无法访问外部网络，同时外部网络也无法访问弹性云服务器。安全组默认出方向规则表示弹性云服务器可以访问外部，默认入方向规则表示弹性云服务器可以被同一安全组内其他弹性云服务器访问。 需要注意的是，安全组不能解决网络故障或网络配置错误类问题。例如，因为网络原因，两个弹性云服务器之间本来就无法互相访问，即使配置了允许他们互相访问安全组规则，这两个弹性云服务器仍无法通信。

Web应用防火墙是否支持会话保持？ 支持会话保持，但是默认不开启。如果需要启用会话保持，请联系安全防护工程师根据实际业务需求进行会话保持策略配置的调整。 Web应用防火墙是否支持源站健康检查？ 支持对源站IP的健康检查，但是默认不开启。如果需要启用源站健康检查，请联系安全防护工程师根据实际业务需求进行健康检查配置的调整。 为什么第三方漏洞扫描工具会检测到域名其他未开放的端口？ Web应用防火墙默认开放部分端口用于网站接入和防护服务，对于已接入Web应用防火墙防护的网站，云WAF不会转发任何未开通防护的端口业务请求回到源站。因此，不会对源站服务带来任何安全风险和威胁。关于第三方扫描工具对于网站的端口检测，需以源站公网IP开放的端口为准。 Web应用防火墙是否支持HTTPS与HTTP2.0协议？ 云WAF全面支持HTTPS与HTTP2.0协议。用户只需通过WAF控制台根据提示将对应的SSL证书及私钥进行上传托管后，即可联系工程师进行防护开通。 Web应用防火墙是否支持WebSocket协议？ 云WAF全面支持WebSocket协议（WS/WSS）。WS防护可以正常开通，WSS业务只需通过自服务平台将对应的SSL证书及私钥进行上传托管后，即可联系工程师进行防护开通。

本文为您介绍“弹性云主机配置的邮件无法正常发送”时的处理办法。 问题描述 弹性云主机配置的邮件无法正常发送。 问题原因以及处理方法 使用邮件客户端收发邮件 问题原因： 在使用邮件客户端收发邮件时，邮件收发使用不同的协议 发件协议： 使用SMTPS协议，其端口号为465。或使用SMTP协议，其端口号为25。 Tips ：优先推荐使用465端口，465端口是为SMTP SSL（SMTPoverSSL）协议服务开放的，这是SMTP协议基于SSL安全协议之上的一种变种协议，它继承了SSL安全协议的非对称加密的高度安全可靠性，可防止邮件泄露。 收件协议： 使用POP3协议，其端口号为110。 处理方法： 添加“出方向”（协议为“TCP”，端口为“25”或“465”）和“入方向”（协议为“TCP”，端口为“110”）的规则。 操作步骤： 1. 在云主机详情页面找到对应的安全组，进入安全组列表页面，如图1所示。 图1 安全组列表页 2. 在安全组页面，单机对应的安全组，点击添加规则，进行规则添加页面，如图2所示。 图2 添加规则入口 3. 添加“出方向”（协议为“TCP”，端口为“25”或“465”）的规则，如图3所示。 图3 “出方向”规则添加 4. 添加“入方向”（协议为“TCP”， 端口为“110”）的规则，如图4所示。 图4 “入方向”规则添加

功能 相关服务 云服务器和文件系统归属于同一项目下，用于挂载共享路径实现数据共享。 弹性云主机（Elastic Cloud Server，ECS） VPC为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 云服务器无法访问不在同一VPC下的文件系统，使用弹性文件服务时需将文件系统和云服务器归属于同一VPC下。 虚拟私有云（Virtual Private Cloud，VPC） IAM是支撑企业级自助的云端资源管理系统，具有用户身份管理和访问控制的功能。当企业存在多用户访问弹性文件服务时，可以使用IAM新建用户，以及控制这些用户帐号对企业名下资源具有的操作权限。 统一身份认证服务（Identity and Access Management, IAM） 文件系统的加密功能依赖于密钥管理服务。您可以使用密钥管理服务提供的密钥来加密文件系统，从而提升文件系统中数据的安全性。 数据加密服务（Data Encryption Workshop, DEW）的密钥管理KMS功能 当用户开通了弹性文件服务后，无需额外安装其他插件，即可在云监控查看对应服务的性能指标，包括读带宽、写带宽和读写带宽等。 云监控服务（Cloud Eye Service） 为用户提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。通过云审计服务，您可以记录与弹性文件服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，CTS）