本文介绍了：云容器引擎发布Kubernetes 1.29版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.29 版本Changelog 1. Kubernetes 1.29 版本，API 优先级和公平性（AFP）正式 GA，该特性以更细粒度的方式对请求进行分类和隔离。它还引入了有限的排队量，因此在非常短暂的突发情况下不会拒绝任何请求。请求使用公平排队技术从队列中分派，例如，行为不佳的控制器不会影响其他控制器（即使在相同的优先级）。 2. APIListChunking 正式 GA，该特性支持对 List 请求进行分页，减少一次性返回数据太多而导致的性能问题。 3. ServiceNodePortStaticSubrange 达到 GA，该特性将 NodePort 划分为静态段和动态段，在 NodePort 自动分配时，则优先从动态段进行分别，降低与静态段分配到时端口冲突的概率。 4. ReadWriteOncePod 正式 GA，该特性允许用户在 PVC 中配置访问模式 ReadWriteOncePod，确保只有一个 Pod 可以修改存储中的数据。 5. CRD 验证表达式语言正式 GA，该特性支持在 CRD 验证时使用表达式语言（CEL）定义验证规则，对比 webhook 更加简单高效。 6. PodHostIPs 升级到 Beta 阶段，该特性支持将 Node IP 暴露给 Pod。 7. 原生边车容器 升级到 Beta 阶段，该特性以 restartPolicy 设置为 Always 的方式声明，原生边车容器适用于批处理、日志采集等场景。 8. Job Pod 更换策略升级到 Beta 阶段，该特性使用 Failed 阶段代替删除时间戳不为空作为 Pod 替换的条件，避免出现删除过程中的 Pod 占用索引和节点资源。 9. Job Pod 逐索引的回退限制达到 Beta 阶段，该特性可以避免持续失败的带索引的 Job Pod 进行不要的失败重试，达到优化资源利用的目的。 更多信息请参考：Kubernetes 1.29 Changelog

安全体检相关术语解释，帮助您更好的理解产品能力。 CVE CVE（Common Vulnerabilities and Exposures）的全称是公共漏洞和暴露，是公开披露的网络安全漏洞列表。 CNVD 国家信息安全漏洞共享平台，简称CNVD，国家计算机网络应急技术处理协调中心联合建立的信息安全漏洞信息共享知识库。 CNNVD 中国国家信息安全漏洞库（英文简称：CNNVD）是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，为我国信息安全保障提供基础服务。 连通性检测 检测体检出口IP到目标IP的网络连通性，减少因防火墙、黑白名单等导致的网络不通，造成体检失败。

本文介绍ECI虚拟节点概述。 ECI为Kubernetes提供一种层次化的解决方案：即ECI负责底层Pod容器资源的调度和管理工作，Kubernetes在ECI之上作为PaaS层来管理业务负载，例如管理Deployment、Service、StatefulSet、CronJob等。 ECI在接管Pod容器底层基础设施的管理工作后，Kubernetes不再需要直接负责单个Pod的放置、启动等工作，也不再需要关心底层虚拟机的资源情况，通过ECI即可确保Pod需要的资源随时可用。对于长时间运行的业务负载，可以将此类负载的弹性流量部分调度至ECI，缩短弹性扩容的时间，减少弹性部分的扩容成本，并尽可能充分利用已有资源。当业务流量下降后，可以快速释放部署在ECI上的Pod，从而降低使用成本。 如果在天翼云上自建了Kubernetes集群，则可以通过部署虚拟节点（VNode）的方式来使用ECI。VNode对标原生kubernetes节点，内置了virtualkubelet等组件，兼容原生kubernetes节点API。当有Pod调度到VNode上时，VNode会自动创建并管理底层的ECI资源。在VNode上运行的每个Pod都对应一个ECI实例。

手动备份数据库审计日志 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置备份的实例，选择“备份与恢复”页签。 6. 单击“手动备份”，在弹出的对话框中，选择“备份范围”并设置访问密钥的AK和SK，如下图所示。 7. 单击“确定”。 恢复数据库审计日志 数据库审计日志备份成功后，您可以根据需要恢复数据库的审计日志。 注意 日志数据恢复风险较大，在恢复日志数据前，请您确认备份的日志数据的准确性或完整性。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要恢复日志的实例，选择“备份与恢复”页签。 6. 在需要恢复数据库审计的备份日志所在的“操作”列，单击“恢复日志”。 7. 在弹出的提示框中，单击“确定”。

本文为您介绍如何使用自建Beats向天翼云云搜索服务Elasticsearch实例导入数据。 Beats是轻量级的数据收集器，专门用于将各种日志、指标、网络数据发送到Elasticsearch。常用的Beats包括 Filebeat、Metricbeat、Packetbeat等。 Filebeat是一种轻量级日志收集器，通常用于将文件系统中的日志文件或事件日志发送到Elasticsearch或Logstash。它适合简单的日志采集场景，能够有效处理系统、应用程序日志等。本文将以Filebeat为例，导入数据至Elasticsearch实例。 适用场景 轻量数据收集：适用于需要从大量分布式系统、服务器、容器中收集日志、监控指标等情况。 实时日志监控：Beats 能够实时收集日志并传送到 Elasticsearch，是实时日志分析场景的理想选择。 低延迟要求的场景：Beats设计为轻量级工具，占用资源少，适合资源受限的环境。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 已经部署Filebeat且打通和Elasticsearch实例之间的网络。 Filebeat配置 Filebeat采集日志，需要配置Filebeat的配置文件，设置具体需要采集的日志路径。 具体根据实际的部署路径配置filebeat.yml。 采集日志 filebeat.inputs: type: log 采集的日志文件的路径。替换为自己日志的路径，可以使用通配符。 paths: /yourpath/.log output.elasticsearch: ip替换为Elasticsearch实例的地址。 hosts: [" 传入Elasticsearch实例的用户名和密码 username: "" password: ""

本节介绍态势感知的应用场景。 资产风险管理 云上业务众多，云上资产日益庞大，以及云资产的变化频繁，大大增加了云上安全风险。 态势感知集中呈现云上所有资产安全状况，实时监控云上业务整体安全，让服务器中的漏洞、威胁和攻击情况一目了然，保障所有资产的安全，帮助企业轻松应对资产安全风险。 威胁事件告警 面对云上各类安全威胁，以及不断涌出的新型威胁类型，态势感知通过汇集全网流量数据和安全防护设备日志信息，能够实时检测和监控云上安全风险，实时呈现告警事件的统计信息，并可对各种威胁事件进行汇聚统计。 此外，针对常见的暴力破解、Web攻击、僵尸主机威胁事件，可预制的安全防护策略有效防御威胁风险，提升运维效率。 风险配置管理 支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

配置项挂载 平台提供应用代码和配置文件的分离，“配置项挂载”用于处理应用组件配置参数。 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 本地磁盘 > 挂载本地磁盘”。 表 配置项挂载 参数 说明 :: 本地存储类型 选择“配置项挂载”。 配置项 选择对应的配置项名称。 创建配置项请参考创建配置项。 容器挂载 设置“挂载路径”：输入数据卷挂载到应用上的路径。 3、单击“确定”。 密钥挂载 将密钥中的数据挂载到指定的应用组件中，密钥内容由用户决定。 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 本地磁盘 > 挂载本地磁盘”。 表 密钥挂载 参数 说明 :: 本地存储类型 选择“密钥挂载”。 密钥 选择对应的密钥名称。 创建密钥请参考创建密钥。 容器挂载 设置“挂载路径”：输入数据卷挂载到应用上的路径。 3、单击“确定”。

服务网格支持集成外部授权服务，通过自定义授权服务策略，您可以轻松定义自定义的外部授权服务并将策略应用到网格数据面，实现灵活的安全管控能力。 策略配置说明 配置项 说明 安全策略名称 策略名称 协议 HTTP和GRPC协议的外部授权服务 服务地址 实现了Envoy extauthz授权接口的服务名称，如extauth.default.svc.cluster.local 服务端口 授权服务端口 超时时间 数据面请求外部授权服务的超时时间，如1s，2.5s 鉴权服务不可用时放行请求 访问鉴权服务失败或者鉴权服务返回5XX状态码时是否放行请求，默认关闭 鉴权服务不可用自定义错误码 请求鉴权服务出现网络错误时返回自定义状态码 在鉴权请求中携带请求Body 是否将请求Body带到鉴权服务 鉴权请求携带Body的最大长度(Byte) 允许携带到鉴权服务的Body最大长度 允许将不完整消息发送至鉴权服务 在请求Body超出最大长度限制时，若不启用该选项则将拒绝请求并返回HTTP 413 在鉴权请求中携带header 指定将请求中的部分Header带到鉴权服务 在鉴权请求中新增header 请求鉴权服务时新增Header 在鉴权通过时覆盖Header 鉴权通过时使用鉴权服务返回的Header覆盖原始请求Header访问上游 鉴权失败时覆盖Header 鉴权通过时使用鉴权服务返回的Header覆盖应答Header返回给下游

本节介绍翼打印的应用场景。 典型场景 国产化转型 翼打印提供零成本适配各国产品牌打印机方案，轻松实现国产化转型。 大型组织办公场景 通过AI云电脑（政企版）管理台策略分配一键实现翼打印，无需单台安装驱动，同时支持针对性设置打印机使用权限。 安全敏感场景打印 支持打印水印+打印审计，在安全敏感场景下对打印产出物与打印行为进行控制监测，保障打印行为安全性。 场景案例 场景对象 某大型企业使用打印机人员较多且频繁，打印机数量较多，维护打印机驱动与配置工作任务重。 核心诉求 （1） 减轻打印机日常维护成本； （2） 减少使用人员接入打印机的操作步骤； （3） 增加打印文件的安全性。 解决方案 （1）接入翼打印服务桌面，服务端提供与维护所有设备型号的打印机驱动，工作人员无需再关注驱动更新与兼容性问题； （2）在管理台策略给打印机使用人员开通翼打印服务，自动发现打印机，无需配置任何内容； （3）提供打印行为数据审计服务，企业资料安全性得到进一步提升。

说明：本章节会介绍天翼云关系型数据库如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

流程概述 自建MySQL服务器 创建VPC 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击服务列表图标，选择“网络 > 虚拟私有云。进入虚拟私有云信息页面。 4、单击“创建虚拟私有云”购买VPC。 5、单击“立即创建”。 6、返回VPC列表，查看创建VPC是否创建完成。当VPC列表的VPC状态为“可用”时，表示VPC创建完成。 创建安全组 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。进入虚拟私有云信息页面。 4、选择“访问控制 > 安全组”。 5、单击“创建安全组”。 6、填写安全组名称等信息。 7、单击“确定”。 8、返回安全组列表，单击安全组名称“sg01”。 9、选择“入方向规则”，单击“添加规则”。 10、配置入方向规则，放通数据库3306端口。 创建ECS（MySQL服务器） 购买弹性云服务器，用于安装MySQL社区版。 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“计算 > 弹性云服务器 ECS”。 4、单击“购买云服务器”。 5、配置弹性云服务器参数 安装社区版MySQL 1、打开Xshell客户端 2、填写主机IP和账号密码等信息并登录 3、下载好社区版mysql.zip压缩包传至主机，并编辑好安装脚本 4、在弹性云主机运行数据库安装脚本，执行bash /root/im.sh后，数据库安装成功 5、通过Navicat登录主机搭建好的数据库并新建测试表格数据 6、至此，测试自建库完成搭建 创建目的端RDS 创建RDS实例 1、登录天翼云控制台 2、单机管理控制台区域按钮，选择区域“上海4” 3、单机左侧的服务列表图标，选择“数据库 > 云数据库 RDS”。 4、单击“购买数据库实例”。 5、配置实例名称和实例基本信息。 采用DRS工具进行迁移 创建DRS任务 1、登录天翼云控制台 2、单机管理控制台区域按钮，选择区域“上海4” 3、单机左侧的服务列表图标，选择“数据库 > 数据库复制”。 5、单击“创建迁移任务”，填写迁移信息后点击下一步。 6、配置源端和目的端迁移信息，并单机测试连接显示通过即为两个数据库网络可达. 7、单击“下一步”。确认迁移用户、快照模式和迁移对象。 8、单击“下一步”。等待预检查结果。 9、当所有检查都是“通过”时，单击"下一步”单击“提交任务”。返回DRS实时迁移管理，查看迁移任务状态。 10、迁移完成后可在控制台左侧点击迁移对比查看迁移对比结果

如何对所有数据库设置数据库安全审计规则？ 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计连接数据库安全审计实例的所有数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 在添加风险操作时，您也可以将添加的风险操作应用到连接数据库审计实例的所有数据库，如下图所示。 如何查看数据库安全审计的版本信息？ 请参照以下操作步骤查看数据库安全审计的版本信息。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。 5. 单击需要查看信息的实例名称，进入实例概览页面。 6. 查看实例版本信息，如下图所示。 如何查看数据库安全审计所有的告警信息？ 请参照以下操作步骤查看数据库安全审计的告警信息。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。 5. 单击需要查看告警信息的实例名称，选择“监控 > 告警监控”，进入告警监控页面。 6. 查看告警信息。您可以按照以下方法，查询指定的告警信息。 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或单击 ，选择开始时间和结束时间，单击“确认”，列表显示该时间段的告警信息。 选择“风险等级”（“全部”、“高”、“中”或“低”），列表显示该级别的告警信息。 选择“告警类型”，列表显示该类型的告警信息。

统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“通过IAM用户控制资源访问创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Ecs Admin：弹性云主机服务的管理者权限，包含弹性云主机所有控制权限（不含订单类权限）； Ecs Viewer:弹性云主机服务的观察者权限，包含弹性云主机服务的列表页与详情页面权限； 自定义策略 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略”。

本页介绍了关系数据库MySQL版的监控安全风险。 关系数据库MySQL版提供多维度的监控指标和敏感操作保护，帮助您监控安全风险。 监控指标 关系数据库MySQL版提供基于云监控服务的资源监控能力，帮助您实时监控数据库实例，及时发现异常并自动告警或通知相关运维人员。 帮助您实时掌握实例运行过程中产生的运行指标和存储用量等信息，方便您预判风险及时处理。 关于关系数据库MySQL版支持的监控指标，以及如何创建监控告警规则等内容，请参见关系数据库MySQL版用户指南监控与告警支持的监控指标 。 敏感操作保护 关系数据库MySQL版管理控制台支持敏感操作保护，开启后执行删除实例等敏感操作时，系统会进行二次确认，进一步保证数据库实例配置和数据的安全性。

本文介绍查询虚拟节点列表。 1. 在弹性容器实例控制台左侧导航栏中选择“虚拟节点”，进入虚拟节点列表页。 2. 在列表页面可以看到已创建的虚拟节点。

本文主要介绍健康检查UDP协议安全组规则说明。 操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到集群中的节点对应的节点，单击云主机名称，进入详情页面，记录安全组名称。 步骤 2 登录虚拟私有云控制台，在左侧导航栏单击“访问控制 > 安全组”，在界面右侧的安全组列表中单击步骤1获取的安全组名称。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云主机添加入方向规则，详细配置请参见下图，单击“确定”。 说明 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。 图 添加安全组规则

配置 说明 名称 输入安全组的名称。 模板 模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 虚拟私有云 选择安全组所属的虚拟私有云，仅可用区资源池支持此选项。 描述 安全组的描述信息。 企业项目 创建安全组时，可以将安全组加入已启用的企业项目。

操作步骤 1.登录边缘安全加速控制台，进入对应服务； 2.左侧导航栏选择 日志>内网日志下载； 3.筛选对应访问时间，单击下载对应的日志文件。

本节介绍专属加密服务的功能特性。 专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 功能介绍 Dedicated HSM提供以下功能： 生成、存储、导入、导出和管理加密密钥（包括对称密钥和非对称密钥） 使用对称和非对称算法加密和解密数据 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码 对数据进行加密签名（包括代码签名）并验证签名 以加密方式生成安全随机数据 Dedicated HSM支持的密码算法 支持国际通用密码算法，满足用户各种加密算法需求。 Dedicated HSM支持的密码算法 加密算法分类 通用密码算法 国密算法 对称密码算法 AES SM1、SM4、SM7 非对称密码算法 RSA（10244096） SM2 摘要算法 SHA1、SHA256、SHA384 SM3 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器加密机 数据加密/解密、数据签名/验签、数据摘要、支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融加密机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名服务器 签名/验签、编码/解码数字信封、编码/解码带签名的数字信封、证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

本文介绍回源加密算法的配置方法。 功能介绍 回源协议为HTTPS协议时，天翼云边缘安全加速平台安全与加速服务默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 配置说明 1. 登录边缘安全加速平台控制台。 2. 进入安全与加速工作台域名基础配置页面，点击目标域名。。 3. 进入源站设置页面，单击“编辑配置”。 4. 当【回源协议】选择HTTPS回源或者协议跟随时，可选择【回源加密算法】，支持选择国密加密回源、国际加密回源、跟随客户端加密算法回源。 5. 单击【保存】，完成配置。 参数名 说明 国密加密回源 国密算法，即国家商用密码算法，是由国家密码管理局认定和公布的密码算法标准及其应用规范。国密加密回源，即回源时的HTTPS协议采用国密加密算法。 国际加密回源 国际加密回源，即采用国际标准的密码算法回源，如果没有特殊配置，我们通常回源时使用的加密算法都是国际加密算法。 跟随客户端加密算法回源 若客户端使用国际加密算法接入天翼云AOne安全与加速平台，则回源时也使用国际加密算法回源；若客户端使用国密加密算法接入天翼云AOne安全与加速平台，则回源时也使用国密加密算法回源。

窗口切换 如AI云电脑账号下有多个AI云电脑，工具栏点击“窗口切换”功能，支持多个AI云电脑同时运行。 安全中心登录设备管理 前往控制面板的“安全中心”，可管理AI云电脑的登录安全情况. 登录设备：可查看账号名称，登录设备，IP地址，登录时间以及下线时间。 设备管理：可查看AI云电脑登录的设备或移除设备。 安全中心设置系统密码 若忘记Windows系统密码时，可点击“安全中心管理系统密码重置系统密码"进行重置。（适用于Windows桌面的Administrators账户） 报障 使用AI云电脑过程中，如遇到问题，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 投屏 客户端内置双向投屏能力，可发起或接收投屏，多设备无缝共享。 点击工具的“投屏”，设备间通过输入投屏码或扫码即可体验。

窗口切换 如AI云电脑账号下有多个AI云电脑，工具栏点击“窗口切换”功能，支持多个AI云电脑同时运行。 安全中心登录设备管理 前往控制面板的“安全中心”，可管理AI云电脑的登录安全情况. 登录设备：可查看账号名称，登录设备，IP地址，登录时间以及下线时间。 设备管理：可查看AI云电脑登录的设备或移除设备。 安全中心设置系统密码 若忘记Windows系统密码时，可点击“安全中心管理系统密码重置系统密码"进行重置。（适用于Windows桌面的Administrators账户） 报障 使用AI云电脑过程中，如遇到问题，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 投屏 客户端内置双向投屏能力，可发起或接收投屏，多设备无缝共享。 点击工具的“投屏”，设备间通过输入投屏码或扫码即可体验。

（可选）配置FTP防火墙支持 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时，需要配置FTP服务器的被动模式。 1. 双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 2. 配置相关参数，并单击“应用”。 数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535。请根据实际需求进行设置。 防火墙的外部IP地址：输入该弹性云主机的公网IP地址。 3. 重启云主机使防火墙配置生效。 设置安全组及防火墙 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见虚拟私有云安全组添加安全组规则。 如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 客户端测试 打开客户端的计算机，在路径栏输入 “ftp://FTP服务器IP地址:FTP端口”(如果不填端口则默认访问21端口) 。弹出输入用户名和密码的对话框表示配置成功，正确的输入用户名和密码后，即可对 FTP 文件进行相应权限的操作。 说明 如果没有配置“FTP防火墙支持”，客户端使用此方法访问FTP站点时，需要对IE浏览器进行设置，才能打开FTP的文件夹。打开IE浏览器，选择“设置 > Internet 选项 > 高级”。勾选“启用FTP文件夹视图”，取消勾选“使用被动FTP”。

ECS无法连接到DDS实例的原因 遇到该问题，请参考以下步骤排查解决。以集群模式下实例为例说明。 步骤 1 先确认弹性云主机实例和文档数据库实例是否在同一个虚拟私有云。 如果在，执行步骤2。 如果不在，需要重新创建弹性云主机实例，使之和文档数据库实例在同一个虚拟私有云下。 步骤 2 查看弹性云主机实例是否添加安全组。 如果有，检查安全组的配置规则是否满足要求，然后执行步骤3。 如果没有，从弹性云主机的实例详情页面，进入虚拟私有云页面，选择“安全组”，添加安全组。 步骤 3 在弹性云主机上，测试是否可以正常连接到文档数据库实例地址的端口。 telnet {8635} 如果可以通信，说明网络是正常的，请检查数据库用户和密码。 如果端口不通，请联系售后技术支持协助排查。 客户端问题导致连接实例失败？ 客户端问题导致连接文档数据库实例失败，可以从以下几个方面检查。 1、弹性云主机的安全策略 对于Windows平台，可检查Windows的安全策略是否开放文档数据库端口。 对于Linux平台，可使用iptables检查防火墙及端口的放行情况。 2、应用配置错误常见的有IP写错、端口参数配置错误和JDBC等的连接参数配置错误。 说明： 如问题仍未解决，请联系售后技术支持。 服务端问题导致连接实例失败 文档数据库服务端可能出现的问题如下，请依次进行检测。 1、连接数满导致连接失败。 解决方法：通过云监控的资源监控功能查看连接数、CPU使用率等指标是否正常，如果达到上限，需要重启文档数据库实例、断开实例连接或扩容节点解决。 2、实例状态异常，比如实例重启卡住，文档数据库服务系统故障等。 解决方法：尝试重启功能。如果无法解决，请联系售后技术支持。

Web应用防火墙主要包括4大类应用场景，本小节介绍Web应用防火墙应用场景。 政企教育医卫行业场景 场景特点 政企行业、教育行业和医卫行业，包括门户网站作为提供给互联网用户获取信息服务的重要渠道，多面临网页被篡改、网页挂马、跨站攻击、SQL注入攻击等安全威胁，同时也面临上级单位和测评机构的监管压力，一旦发生安全事件，将严重影响其形象和公信力。 能解决的问题 政企类用户经常遭受来自境外地区的各类SQL注入等类型攻击，通过WAF可以制定针对指定境外地区直接进行封禁，阻断所有来自风险地区的访问请求，以及WAF可以根据内置的策略等级模式将安全性要求较高的业务重点保障，有效将99%的攻击自动进行禁封。 金融行业场景 场景特点 金融行业面临注入、跨站等多种安全问题，导致用户账号密码泄露，危及用户资金财产安全，进而严重影响企业的形象并承受经济损失。 能解决的问题 网站遭遇大量Web暴力破解请求企图获取平台登录信息，若被获取登录信息后将进一步被攻击者进行渗透，部署WAF后可通过WAF内置CC策略以及暴力破解特征库自动阻断该类型请求并发送告警至自服务平台，大大增加了网站的安全等级，并且可以主动发现并进行禁封或进行攻击溯源。

本文介绍AOne全球加速。 什么是全球加速 边缘安全加速平台全球加速服务，依托中国电信优质的节点资源，旨在为企业提供安全、高效的合规加速服务。通过智能选路、多协议优化等技术，保障海外电商、全球化办公等业务体验。 全球加速可以解决什么问题 全球骨干网及智能调度系统，优化海内外流量路径，降低跨国访问延迟30%以上，保障视频会议、实时协作等场景流畅性。 动态感知网络质量，自动切换最优链路，规避海内外拥塞节点，提升关键业务访问成功率。 支持多种协议优化技术，加速国内用户访问海外应用，保障海外电商、全球化办公等业务体验。 全球加速功能优势 全球精品网络 基于AOne全球精品网络，使用协议加速、智能选路、传输优化等技术，大幅提升访问全球学术教育资源、SAAS服务、视频会议的网速。POP点全球分布1800个节点，覆盖多运营商、主要区域省份和城市。使用精品IP网络CN2和163双平面承载，充分保障带宽的稳定性。 多种接入方式，多平台通用 除了连接器集中引流方式，也提供客户端接入，Windows、MacOS、安卓（即将支持）、IOS（即将支持），无论手机还是电脑，随时随处即开即用。

对比项 多可用区资源池 地域资源池 作用机制 “白名单”机制，即不匹配规则时，默认拒绝所有访问。 “白名单”机制，即不匹配规则时，默认拒绝所有访问。 创建安全组 需指定和VPC的关联关系 无需指定和VPC的关联关系 默认安全组 一个VPC一个默认安全组 一个资源池一个默认安全组 自定义模板安全组的默认规则 自定义模板类型的安全组不存在默认规则 每个自定义模板类型的安全组存在两条默认规则 默认安全组规则 存在默认安全组规则，具体规则以表3为准 存在默认安全组规则，具体规则以表2为准 安全组是否有状态 出/入方向均有状态 仅出向有状态 安全组模板 自定义、通用Web服务器、开放全部端口 自定义、通用Web服务器、开放全部端口

本节主要介绍了STS临时授权功能的典型场景和具体使用方法。 应用场景 某企业X开发了一款移动应用（App），并使用OOS服务。App需要直连OOS上传或下载数据，但是App运行在用户自己的移动设备上，这些设备不受企业X的控制。企业X有如下要求： 直传数据：企业X不希望所有App都通过企业的服务端应用服务器（Application Server）来进行数据中转，而希望能够直连OOS上传或下载数据。 安全管控：企业X不希望将访问密钥（AccessKey）保存到移动设备中，因为移动设备是归属于用户控制，属于不可信的运行环境。 风险控制：企业X希望将风险控制到最小，每个App直连OOS时都必须拥有最小的访问权限且访问时效需要很短。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 应用服务器在OOS上为每个APP创建一个IAM用户，并为每个IAM用户附加最小的访问权限（如调用STS接口、仅对自己目录下的资源有所有权，对于其他用户的目录无权限）。当移动应用（App）直连OOS上传或下载数据时，App需要向应用服务器申请访问凭证。应用服务器以该APP的IAM用户身份，调用STS API接口获取临时安全访问凭证，并将临时安全访问凭证传递给App，App使用临时安全访问凭证访问OOS。 具体步骤如下所示： 1. OOS为应用服务器创建IAM用户并附加权限策略。具体策略可参考下列示例： { "Version": "20121017", "Statement": [ { "Sid": "AllowListAllBuckets", "Effect": "Allow", "Action": [ "oos:ListAllMyBucket" ], "Resource": "" }, { "Sid": "AllowListYourselfFolder", "Effect": "Allow", "Action": [ "oos:ListBucket" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname" ], "Condition": { "StringLike": { "oos:prefix": [ "${ctyun:username}/" ] } } }, { "Sid": "AllowControleYourselfFolder", "Effect": "Allow", "Action": [ "oos:GetObject", "oos:ListMultipartUploadParts", "oos:DeleteObject", "oos:PutObject", "oos:DeleteMultipleObjects", "oos:AbortMultipartUpload" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname/${ctyun:username}/" ] }, { "Sid": "AllowCallSTS", "Effect": "Allow", "Action": [ "iam:GetSessionToken" ], "Resource": "" } ] } 2. APP向应用服务器申请临时访问凭证。 3. 应用服务器调用STS接口获取临时安全访问凭证。 请求示例 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzdate: Tue, 21 Aug 2012 17:54:50 GMT ContentMD5: 8dYiLewFWZyGgV2Q5FNI4W Authorization:AWS fad0e782cd5132563e38:xQE0diMbLRepdf3YB+FIEXAMPLE ContentLength: 445 ActionGetSessionToken&DurationSeconds129600 响应示例 HTTP/1.1 200 OK xamzrequestid: 996c76696e6727732072657175657374 Date: Mon, 1 Nov 2010 20:34:56 GMT ContentType:text/xml;charsetUTF8 ContentLength: 533 Server: CTYUN 8b2b75f5a04e458b0da3a01602e78b089528b915c2 sts.6b7fd 17b69c15f 20230427T13:52:08.282Z 62c80e3868a14804 4. 应用服务器将获取的临时安全访问凭证传递给APP。 5. APP使用临时安全访问凭证访问OOS资源，进行数据直传。 调用时输入步骤3返回的信息： AccessKeyId：sts.6b7fd SecretAccessKey：17b69c15f SessionToken：8b2b75f5a04e458b0da3a01602e78b089528b915c2 注意 由于生成的临时安全访问凭证是默认继承IAM用户的权限，所以我们在为IAM用户创建策略的时候，仅分配STS接口权限和所需操作的最小权限，不推荐分配CreateUser、CreateAccessKey、UpdateLoginProfile等权限，以防止临时安全访问凭证权限过大。

Web应用防火墙是否支持会话保持？ 支持会话保持，但是默认不开启。如果需要启用会话保持，请联系安全防护工程师根据实际业务需求进行会话保持策略配置的调整。 Web应用防火墙是否支持源站健康检查？ 支持对源站IP的健康检查，但是默认不开启。如果需要启用源站健康检查，请联系安全防护工程师根据实际业务需求进行健康检查配置的调整。 为什么第三方漏洞扫描工具会检测到域名其他未开放的端口？ Web应用防火墙默认开放部分端口用于网站接入和防护服务，对于已接入Web应用防火墙防护的网站，云WAF不会转发任何未开通防护的端口业务请求回到源站。因此，不会对源站服务带来任何安全风险和威胁。关于第三方扫描工具对于网站的端口检测，需以源站公网IP开放的端口为准。 Web应用防火墙是否支持HTTPS与HTTP2.0协议？ 云WAF全面支持HTTPS与HTTP2.0协议。用户只需通过WAF控制台根据提示将对应的SSL证书及私钥进行上传托管后，即可联系工程师进行防护开通。 Web应用防火墙是否支持WebSocket协议？ 云WAF全面支持WebSocket协议（WS/WSS）。WS防护可以正常开通，WSS业务只需通过自服务平台将对应的SSL证书及私钥进行上传托管后，即可联系工程师进行防护开通。

云搜索服务中Kibana如何导出数据？ 在天翼云云搜索服务中心，可以在Kibana服务中利用Query Workbench插件将查询到的数据进行导出，如图所示，在Kibana中点击左侧框的Query Workbench，然后，查询出想要的数据，点击Download选择合适的文件格式进行数据导出。 云搜索服务的实例如何连接公网访问？ 新开启的云搜索实例默认不具备公网访问能力，您如果需要通过公网访问需要为其绑定弹性IP或IPv6带宽，并配置安全组信息，才可使用公网访问。 约束限制 1. 开启公网访问后，会因此产生流量费用，请您提前根据自身需求，购买合适的产品，公测期该费用照常收取。 2. 配置完成后，需要前往安全组设置页面，配置公网访问白名单后，才可正常使用。 3. 如果需要使用IPv6访问，需要在开通虚拟私有云VPC时即选择开通IPv6能力的子网，并在下单时选择该子网，不支持实例开通后再升级IPv6。 开通IPv6访问能力的实例 您需要在订购时选择具备IPv6的虚拟私有云，选择子网后，会提示“该子网已开通IPv6”。并在IPv6访问处开启开关，如关闭，则仅可通过IPv4访问实例。 配置实例公网访问 您可以对已开通的实例进行公网访问的配置、修改、查看、解绑操作。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，在弹出的页面上选择需要绑定的公网IP类型，如果为IPv4，请在下拉列表中选择弹性IP地址；如果为IPv6，请选择IPv6的带宽名称。如果绑定失败，可以等待几分钟后再次尝试重新绑定。绑定的弹性IP或IPv6带宽需要处于空闲状态。 注意 IP绑定过后，要补充安全组策略方可实现本地电脑公网访问Kibana或连接Elasticsearch。 3. 修改绑定弹性IP或IPv6带宽，也需要在当前页面选择对应要修改的项目，点击“修改公网IP”进行重新绑定。 4. 解绑弹性IP或IPv6带宽，可关闭公网访问状态，或点击已绑定的项目后的解绑按钮，即可解绑当前的公网访问能力。 5. 实例退订将自动解绑已绑定的弹性IP或IPv6带宽，如弹性IP或IPv6带宽不再使用，您需要另外前往弹性IP的控制台退订相应的弹性IP或IPv6带宽才会停止对应产品的计费。

配置流水线 流水线集成代码检查、编译构建、部署等任务，可根据需要灵活配置流水线中的任务。流水线为非必须操作，根据需要配置即可。 代码检查服务可以对代码进行静态检查和安全检查，代码检查为可选操作，根据需要配置即可。 编译构建服务将软件的源代码编译成目标文件，并把配置文件和资源文件等打包。构建为可选操作，对于一些项目，例如PHP、Node.js前端代码，无需配置构建任务。 部署服务将软件包或代码部署到虚拟机或者容器。部署为可选操作，对于一些项目，例如手机APP开发，无需此类部署方式。 步骤 1 创建代码检查任务。 1. 进入已创建的项目，单击导航栏“代码 > 代码检查”。 2. 单击“新建任务”，在页面中选择需要检查的代码仓库，单击仓库名称后的“新建任务”。 3. 任务创建成功后，进入“概览”页面，单击“开始检查”启动任务。 4. 待任务执行成功后，可以查看检查结果、问题列表、修改建议等。 代码检查服务更多操作请参考《代码检查用户指南》。 步骤 2 创建构建任务。 1. 进入已创建的项目，单击导航栏“持续交付 > 编译构建” 2. 单击“新建任务”，根据需要配置任务信息。 基本信息：配置以下信息，单击“下一步”。 表：构建任务基本信息 配置项 配置建议 任务名称 输入自定义名称。 源码源 选择“Repo”。 源码仓库 选择在配置代码仓库中创建的代码仓库。 分支 根据需要选择仓库分支。 构建模板：可选择内置模板，也可以选择“空白构建模板”，单击“下一步”。 3. 根据需要配置构建步骤、参数、执行计划，单击“新建并执行”。 4. 待任务执行完成后，可以在页面中查看构建结果与构建日志。 编译构建服务更多操作指导请参考《编译构建用户指南》。 步骤 3 创建部署应用。 1. 进入已创建的项目，在页面导航栏选择“设置 > 通用设置 > 基础资源管理”，新建主机集群，并将前提条件中准备的主机加入集群。 2. 进入已创建的项目，在页面导航栏选择“持续交付 > 部署”。 3. 单击“新建应用”，根据需要配置应用信息。 基本信息：输入自定义应用名称，单击“下一步”。 选择部署模板：可选择内置模板，也可以选择“空白模板”，单击“确定”。 4. 根据需要配置部署步骤、参数、环境等信息，单击“保存并部署”。 5. 待应用部署成功后，可以在页面中查看部署结果、部署日志、报错信息等。 部署服务更多操作指导请参考《部署用户指南》。 步骤 4 配置流水线。 1. 进入已创建的项目，单击导航栏“持续交付 > 流水线”。 2. 选择“流水线”页签，单击“新建流水线”，根据实际情况配置流水线信息。 基本信息：配置以下信息，单击“下一步”。 表：流水线基本信息 配置项 配置建议 流水线源 选择“Repo”。 代码库名称 选择在配置代码仓库中创建的代码仓库。 默认分支 根据需要选择仓库分支。 模板：可选择内置模板，也可以选择“空白模板”，单击“确定”。 3. 根据需要配置任务编排、参数、执行计划，单击“保存并运行”。 4. 待任务执行成功后，可单击各任务查看其执行详情。 流水线服务更多操作指导请参考《流水线用户指南》。

本章节介绍公网连接天翼云关系型数据库的流程。 本章介绍如何在管理控制台创建MicrosoftSQLServer实例，并使用弹性公网IP通过公网连接Microsoft SQL Server实例。 步骤一：创建实例。根据业务需求，确认Microsoft SQL Server实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。从安全组外访问安全组内的关系型数据库实例时，需要为RDS所在安全组配置相应的入方向规则。 步骤三：绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至RDS实例。 步骤四：通过公网连接Microsoft SQL Server实例。