本文向您介绍通过企业版VPN实现云上云下网络互通（主备模式）的方案概述。 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中，用户数据中心和VPC之间采用两条VPN连接保证网络可靠性，连接1和连接2互为主备。当其中一条VPN连接故障时，系统可以自动切换到另一条VPN连接，保证网络不中断。 图方案架构 方案优势 双连接：VPN网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 主备网关：VPN主备网关部署在不同的AZ区域，实现AZ级高可用保障。 约束与限制 VPN网关的本端子网与对端子网不能相同，即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。

参数 参数说明 系统盘 节点云主机使用的系统盘，供操作系统使用。 您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为50GB。 加密：数据盘加密功能可为您的数据提供强大的安全防护，加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。 目前仅在部分Region显示此选项，具体以界面为准。 默认不加密。 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。 数据盘 节点云主机使用的数据盘，供容器运行时和Kubelet组件使用。br您可以设置数据盘的规格为100GB32768GB之间的数值，缺省值为100GB。 至少需要一块数据盘 ，供容器运行时和Kubelet组件使用，该数据盘不能被删除卸载，否则会导致节点不可用。 单击后方的“展开高级设置”可进行如下设置： 自定义空间分配：勾选后可定义容器运行时在数据盘上占用的空间比例，容器运行时的空间用于存放容器运行时工作目录、容器镜像数据以及镜像元数据。数据盘空间分配详细说明请参见 目前仅在部分Region显示此选项，具体以界面为准。 − 默认不加密。 − 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。 添加多个数据盘 最多可以添加4个，默认情况直接创建为裸盘，不做任何处理。您也可以展开高级配置，选择如下配置。 默认：默认情况直接创建为裸盘，不做任何处理。 挂载到指定目录：将数据盘挂载到指定目录。 作为持久存储卷：适用于对PV有性能要求的场景。持久存储卷的节点会添加上node.kubernetes.io/localstoragepersistent标签，取值为linear或striped。 作为临时存储卷：适用于对EmptyDir有性能要求的场景。说明持久存储卷和临时存储卷仅在集群版本 > v1.21.2r0 时支持创建，且临时存储卷需要Everest插件版本>1.2.29，持久存储卷需要Everest插件版本>1.2.31。持久存储卷和临时存储卷支持如下两种写入模式。 线性（linear）：线性逻辑卷是将一个或多个物理卷整合为一个逻辑卷，实际写入数据时会先往一个基本物理卷上写入，当存储空间占满时再往另一个基本物理卷写入。 条带化（striped）：创建逻辑卷时指定条带化，当实际写入数据时会将连续数据分成大小相同的块，然后依次存储在多个物理卷上，实现数据的并发读写从而提高读写性能。条带化模式的存储池不支持扩容。多块存储卷才能选择条带化。 本地盘说明 节点规格为“磁盘增强型”或“超高I/O型”时，有一块数据盘可以是本地盘。本地磁盘实例有宕机风险，不保证数据可靠性，建议您使用云硬盘存储您的业务数据。

本文为您介绍如何通过注解实现ECI自动分配EIP、分配带宽大小。 操作步骤 1. 打开云容器引擎集群控制台，点击集群名称。 2. 选择工作负载菜单，点击无状态，进入无状态列表页。 3. 点击“新增YAML”按钮。 4. 为Pod 添加注解，以Deployment 为例： shell k8s.ctyun.cn/eciwitheip: "true" 可选，设置则自动分配 EIP k8s.ctyun.cn/eipbandwidth: "5" 可选，单位 Mbps，默认 5Mbps Deployment 完整模板 shell apiVersion: "apps/v1" kind: "Deployment" metadata: annotations: generation: 1 labels: app: "nginx" name: "testeip" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: app: "nginx" strategy: rollingUpdate: maxSurge: "25%" maxUnavailable: "25%" type: "RollingUpdate" template: metadata: annotations: k8s.ctyun.cn/eciwitheip: "true" k8s.ctyun.cn/eipbandwidth: "5" labels: app: "nginx" spec: containers: image: "registryxinan1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "nginx" ports: containerPort: 80 protocol: "TCP" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" dnsPolicy: "ClusterFirst" nodeName: "vndbsb398x4k2oz06kncnxinan1xn1apublicctcloud" restartPolicy: "Always" schedulerName: "defaultscheduler" terminationGracePeriodSeconds: 30 注意 通过yaml 创建，此处需要指定节点为 vnode： shell nodeName: "vndbsb398x4k2oz06kncnxinan1xn1apublicctcloud" 5. 创建完成可通过ECI 控制台查看生效。 注意 验证EIP 功能，如果不通，优先查看安全组设置。

本章节主要介绍翼MapReduce如何上传示例数据和程序。 用户通过“文件管理”页面可以在分析集群进行文件夹创建、删除，文件导入、导出、删除操作。 背景信息 翼MR集群处理的数据源来源于OBS或HDFS，OBS为客户提供海量、安全、高可靠、低成本的数据存储能力。翼MR可以直接处理OBS中的数据，客户可以基于管理控制台Web界面和OBS客户端对数据进行浏览、管理和使用。 导入数据 翼MR目前只支持将OBS上的数据导入至HDFS中。上传文件速率会随着文件大小的增大而变慢，适合数据量小的场景下使用。 支持导入文件和目录，操作方法如下： 1. 登录翼MR管理控制台。 2. 选择“集群列表 > 现有集群”，选中一集群并单击集群名进入集群信息页面。 3. 单击“文件管理”，进入“文件管理”页面。 4. 选择“HDFS文件列表”。 5. 进入数据存储目录，如“bdapp1”。 “bdapp1”目录仅为示例，可以是界面上的任何目录，也可以通过“新建”创建新的文件夹。 新建文件夹时需要满足以下要求： 文件夹名称小于等于255字符。 不允许为空。 不能包含 : /:?"<>;&,'!{}[]$%+特殊字符。 不能以“.”开头或结尾。 开头和末尾的空格会被忽略。 6. 单击“导入数据”，正确配置HDFS和OBS路径。配置OBS或者HDFS路径时，单击“浏览”并选择文件目录，然后单击“是”。

设置已中断会话的时间限制 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 会话时间限制”，双击“设置已中断会话的时间限制”，打开对话框。 2 启用已中断会话的时间限制，并设置结束已断开连接的会话为1分钟。 3 单击“确定”完成设置。 设置已中断会话的时间限制 关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置

关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置 刷新策略 1 关闭本地组策略编辑器，选择“开始 > 运行”，执行 gpupdate /force 。 2 刷新本地策略。 3 应用发布服务器部署完成，需要测试功能请将此服务器添加到云堡垒机。 安装RemoteApp程序 V3.3.26.0及以上版本需要在应用发布服务器中安装RemoteAppProxy跳板工具。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List<string> 否 产品类型 “007”(安全加速) domain list<string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list<int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list<string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list<string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

本文为您介绍macOS客户端如何通过SSL VPN双因子认证后接入VPC。 前提条件 已经在天翼云华东1地域创建了vpc1，且VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.1.3 您已经了解VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许客户端地址池对VPC内业务的访问。 场景示例 如某公司在华东1地域创建了VPC，网段为192.168.1.0/24。因业务发展，出差员工需要使用Windows客户端访问云上VPC资源。 可以在云上创建VPN网关，配置SSL服务端并开启双因子认证。macOS客户端通过SSL VPN接入云上VPC，不仅要进行证书认证，还需要认证密码，认证通过后才可以访问云上资源，提高了VPN连接的安全性和可管理性。 配置步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取样 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngateway1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 SSL 企业项目 选择当前VPN网关归属项目。 default 本端类型 选择资源类型（VPC、云间高速）。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc1 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) SSL带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M SSL并发连接数 选择对应的SSL VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 按月购买：自动续订周期为一个月。 按年购买：自动续订周期为一年。 关闭 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。 记录VPN网关的IP地址，步骤五配置客户端的时候要用。

AI 网关提供了插件市场,内置认证鉴权、流量管控、安全防护等多种功能扩展插件。本文主要介绍如何安装、启用、卸载插件。 安装插件 安装插件是指将AI网关插件市场中的插件安装到具体的网关实例的过程。有两种方式可以安装插件： 操作步骤1：在插件市场安装 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关插件"。 3. 在插件页面的快捷导航栏处，选择插件类型或者搜索插件名称，单击插件卡片上的"安装"，在弹出的安装插件框中选择需要使用此插件的网关实例，单击"确定"。 操作步骤2：在网关实例中安装 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关实例"，进入目标实例详情。 3. 在左侧导航栏，选择"插件"。 4. 单击"安装插件"按钮，在安装插件页面的快捷导航处，选择要安装的插件类型或者搜索插件名称，单击插件卡片，在弹出的安装插件框中，单击"安装"。 卸载插件 当您想要将插件彻底从网关上删除时，您可以选择卸载插件。有两种方式可以卸载插件： 注意 卸载插件时，如果存在启用的插件规则，请先停用插件再卸载；如果插件未启用，卸载插件会将配置的插件规则一并删除。

本文介绍组织策略管理 组织策略 “组织策略”是一种基于组织的访问控制策略。组织管理账号可以使用组织策略指定组织中成员账号的权限边界，限制账号内用户的操作。组织策略可以关联到组织、组织单元和成员账号。组织策略关联到组织或组织单元时，该组织或组织单元下所有账号受到该策略影响。 当组织未设置任何策略时，因系统默认在根组织中配置有“CtyunFullAccess全局权限”，该组织以及子组织下面的所有账号及IAM用户权限判定遵循CTIAM的权限返回。关于CTIAM的介绍可参考“统一身份认证CTIAM” 当组织添加策略后，组织策略将作用于组织以及子组织下面关联的所有账号，其判定优先级高于CTIAM。 按组织策略的限制，账号只能做限定允许的操作或非限定禁止的操作。 当前组织策略仅对成员账号下的IAM子用户生效。 策略 策略是IAM提供的细粒度权限集合。使用基于策略的授权是一种灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对弹性云主机服务，管理员能够控制IAM用户仅能对云主机的资源进行指定的管理操作。 策略包含系统策略和自定义策略两种，“组织策略”为作用到企业中心“组织”的访问控制策略。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

比较项 Redis 2.8 & Redis 4.0 & Redis 5.0 Redis 6.0 & Redis 7.0 兼容开源版本 Redis 2.8 兼容开源2.8.3版本 Redis 4.0 兼容开源4.0.6版本 Redis 5.0 兼容开源5.0.5版本。 Redis 6.0 兼容开源6.2.12版本 Redis 7.0 兼容开源7.0.14版本。 实例部署模式 采用虚机部署。 采用虚机部署。 CPU架构 支持X86、ARM架构。 支持X86、ARM架构。 实例类型 基础版：主备、单机、集群主备、集群单机。 基础版： 主备、单机、Cluser主备、Cluster单机、读写分离。 增强版：主备、单机、Cluser主备、Cluster单机、读写分离。 实例规格 主备、单机： 1G ~ 64GB。 集群主备： 16G ~ 1T。 集群单机： 16G~512G。 主备、单机： 1G ~ 64G。 Cluster集群： 单个分片1G ~ 64G, 支持3 ~ 256分片。 QPS 主备、单机： 单个节点约10W QPS。 集群： 按规格可支持10W至100W以上 QPS。 基础版主备、单机： 单个节点约10W QPS。 增强版主备、单机： 单个节点约30W QPS。 Cluster集群： 按规格可支持10W至100W以上 QPS。 登录方式 仅支持密码登录。 支持密码和用户密码登录。 命令访问控制 不支持。 支持基于用户的权限管理。 安全访问 不支持SSL。 支持SSL。 备份恢复 支持手动备份、离线备份和闪回。 支持手动备份、离线备份和闪回。 扩容/缩容 支持在线扩容。 支持在线扩容。

智能边缘云的 API 使用指南 一、 前置步骤 如何获取 AK/SK Access Key：简写为AK，对http请求进行签名，签名机制是为了访问更加安全, access key为用户独有，并作为身份标识； Secret Key：简写为SK，用户私有的，请勿给他人。 调用智能边缘云 OpenAPI 需要 AK/SK 认证鉴权，下面为 AK/SK 获取方法： AK/SK 从 天翼云 IAM 申请，获取地址： 登录页面中选择【天翼云账号】登录，如下图所示： 登录后，在左侧【个人中心】下，选择【AccessKey管理】，点击【新增】，工作区选择【系统内置工作区】。 创建 AK 后，点击查看，验证后就可以获取到 SK。 充值与集群自助权限申请 调用 OpenAPI 开通资源前，需要确保账户下有集群自助权限，确认地址： ； 账号充值：按需开通资源时，要求可用现金余额最少100元； 如果在租户控制台创建资源时没有集群可选项(下图 ①)，请找售后或运营申请集群自助权限； 如果在租户控制台看到集群下没有配额(下图 ②)，请找售后或运营申请资源配额。

本章节主要介绍ALM45276 RangerAdmin状态异常的告警。 告警解释 告警模块按60秒周期检测RangerAdmin状态，当检测到RangerAdmin状态异常时，系统产生此告警。 当系统检测到RangerAdmin状态恢复正常，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45276 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 当存在单个RangerAdmin状态异常时，不影响Ranger原生UI访问；当两个RangerAdmin状态异常时，Ranger原生UI无法访问，无法执行创建、修改、删除策略等操作。 可能原因 RangerAdmin端口未启动。 处理步骤 端口进程检查 在FusionInsight Manager页面告警列表中，单击此告警所在行的，查看该告警的主机名。 1. 以omm用户登录RangerAdmin状态异常实例所在节点，执行 ps efgrep "procrangeradmin" grep v grep awk F ' ' '{print $2}' 命令获取RangerAdmin进程 pid ，再执行netstat anpgrep pid grep LISTEN查看RangerAdmin进程是否监听端口，安全模式集群监听21401端口，普通模式集群监听21400端口。 是，执行步骤4。 否，重启RangerAdmin故障实例或Ranger服务，执行步骤3。 2. 在告警列表中查看“RangerAdmin状态异常”告警是否清除。 是，处理完毕。 否，执行步骤4。

本小节介绍云堡垒机续订的操作方法。 控制台续费 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后15天内，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，若未及时续费，则进入“保留期”，不能登录云堡垒机系统。“保留期”为15天，到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 堡垒机续费不会自动续费云主机，请您手动续订对应云主机。 前提条件 已获取控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待续费的实例，单击“更多 > 续费”，进入“续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“云堡垒机实例”列表查看授权后最新到期时间。 管理中心续订 登录天翼云官网，进入管理中心，选择续订管理，点击“手动续订”或者“开通自动续订”按钮，即可完成实例的续订。 退订

本章节主要向您介绍VPN连接的产品功能。 VPN连接（Virtual Private Network Connection，以下简称VPN），用于在远端用户和虚拟私有云（Virtual Private Cloud，以下简称VPC）之间建立一条安全加密的公网通信隧道。当您作为远端用户需要访问VPC的业务资源时，您可以通过VPN连通VPC。 默认情况下，在虚拟私有云（VPC）中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。 经典版VPN 经典版VPN采用硬件防火墙作为网关，所有租户共享IPSec隧道资源；一个租户业务触发故障将会影响其他租户业务。 企业版VPN 企业版VPN采用虚拟网关软件作为网关，VPN网关由租户独占，不与其他租户共享，带宽、连接数可保障；一个租户网关故障时，不会影响其他租户网关。 VPN关联ER 传统方式下，本地数据中心同时对接不同VPC时，VPN侧需要配置多条VPN连接，分别对应到不同VPC。 使用VPN关联ER（Enterprise Router，企业路由器）功能后，VPN只需要对接到ER，VPC之间的网络路由通信均由ER实现，从而简化网络配置。

本文介绍在远程零信任办公场景下,如何给用户配置应用访问授权。 零信任远程办公服务帮助您管理企业员工，合作伙伴，项目合作方等不同角色人员对内部系统的访问权限，支持精细化的应用授权管理，可以按照用户组，角色，组织架构，用户粒度进行应用系统授权。您的员工用户可以在登录远程零信任办公服务客户端后，点击左侧我的应用查看具备访问权限的系统列表。 前提条件 完成身份管理用户与组织配置，具体步骤，请参见用户与组织。 完成应用管理应用配置，具体步骤，请参见应用配置。 若需按照用户组进行授权，需完成身份管理用户组管理配置，具体步骤，请参见用户组管理。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 在左侧导航栏，应用应用授权，查看应用访问策略。 应用授权 可通过应用授权列表进行查看和管理应用授权策略。 字段 字段说明 策略名称 策略的名称，便于进行区分和记忆。 备注 策略的说明。 到期时间 授权策略的有效期，超过有效期时间，授权策略将自动禁用。 策略状态 禁用，则策略不生效，启用则策略生效。 应用权限 目前只支持授权访问动作，即允许访问，生效范围内的应用进行流量牵引回连接器（内网）进行访问。 生效用户 可根据用户组、用户、组织进行同时选择生效。 生效应用 可选择对应的应用进行生效。

2、准备创建飞书同步身份源配置参数 在创建飞书同步身份源前，需在飞书开发者后台获取以下参数： 序号 参数 参数获取说明 1 AppID和AppSecret 进入上面创建的应用，点击凭证与基础信息菜单，获取AppID和AppSecret参数 2 同步飞书根部门ID 若您需要同步飞书中企业所有的成员和部门，则同步飞书根部门ID 0 若您只需要同步部分的成员和部门，可联系专属运营人员或者提交工单获取专属运营支持。 创建飞书同步任务 步骤1、进入同步任务配置页面 登录边缘安全加速，支持在AOne零信任工作台进行操作 在左侧导航栏身份第三方组织，选择同步身份源菜单 点击添加同步任务，选择飞书类型 步骤2、设置飞书同步任务连接参数 输入飞书连接参数相关配置，可点击连接测试初步检测配置数据是否正确。 序号 参数 字段配置说明 1 AppID和App Secret 见上方【前置准备】【准备创建飞书同步身份源配置参数】中的AppID和AppSecret 说明：飞书同步至AOne平台的用户映射规则和机构映射规则是固定的，暂不支持自定义。对应飞书的接口为： 获取部门直属用户列表： 获取子部门列表：

Q1：在线测试与正式 API 调用有什么区别？ 在线测试是控制台提供的免配置体验功能，无需鉴权信息，每月有 10 次免费额度；正式 API 调用需要在请求 Header 中携带完整的签名鉴权信息，按实际调用次数计费，额度不受限制。两者的检测能力与检测结果完全一致。 Q2：调用失败（如参数错误、鉴权失败）是否计费？ 不计费。只有接口成功响应（code200，successtrue）的调用才计入计费次数。 Q3：词库更新后多久生效？ 词库创建或修改后，约5 分钟内全量生效。生效前的调用仍使用旧的词库内容，请在等待生效后再进行验证。 Q4：一个应用可以同时关联多个词库吗？ 可以。一个应用可以同时关联多个黑名单词库和多个白名单词库，所有关联词库会合并生效。 Q5：图片检测支持哪些图片格式和大小限制？ 目前支持 JPEG、PNG 等常见图片格式。建议单张图片大小不超过5MB，以确保检测响应速度。 Q6：Eopdate 的有效期是多久？超期了怎么处理？ Eopdate的有效期为15 分钟。超过有效期后，服务端将拒绝该请求并返回鉴权失败（401）。请确保请求方服务器的系统时钟与标准时间保持同步（建议使用 NTP 同步），每次请求时动态生成Eopdate。 Q7：如何区分是大模型安全护栏的问题还是业务代码的问题？ 可通过以下方法排查：在控制台在线测试页面使用相同的输入内容进行测试，若在线测试结果与 API 调用结果不一致，则可能是 API 调用的鉴权或参数问题；若一致，则为检测能力层面的问题，可通过控制台提交工单反馈。

本页面主要介绍弹性云主机对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云++云审计服务++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“计算”，资源类型选择“云主机”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

此小节介绍运维资源类问题。 云堡垒机支持图形化运维Linux主机吗？ 支持。 云堡垒机支持纳管VNC协议类型的资源，并通过Web浏览器登录资源，实现Linux主机的图形化运维。 您需要在添加主机资源时，将“协议类型”选择为“VNC”。 云堡垒机支持手机APP运维吗？ 云堡垒机暂时不支持手机APP运维，但可以通过手机浏览器访问云堡垒机系统。 1 打开手机浏览器，输入https:// EIP地址 ，进入云堡垒机系统登录页面。 2 输入用户登录名和密码，完成用户登录验证。 登录成功后，可管理部门、用户、资源、策略、系统配置等系统数据，以及审批工单和下载日志。 不支持“主机运维”和“应用运维”登录。 如何配置SSO单点登录工具？ 云堡垒机数据库运维使用单点登录（Single Sign On，SSO）工具，登录主机运维方式的数据库资源。 云堡垒机默认使用SsoDBSettings单点登录工具，用户登录数据库资源前，需在本地安装好SSO单点登录工具和数据库客户端工具，并配置正确数据库客户端的路径到SSO单点登录工具上。 登录数据库资源前，需参照如何配置云堡垒机的安全组？放通对应场景的端口。 以Navicat客户端为例，示例正确的配置客户端路径操作。 1 打开本地SsoDBSettings单点登录工具。 2 在“Navicat路径”栏后，单击路径配置。 3 根据本地Navicat客户端安装的绝对路径，选中Navicat工具的exe文件后，单击“打开”。 4 返回SsoDBSettings单点登录工具配置界面，可查看已选择的Navicat客户端路径。 5 单击“保存”，返回云堡垒机“主机运维”列表页面，即可登录数据库资源。

运维授权是指用户给DBA配置运维权限的操作，运维权限指实例的数据权限与管理权限。 前提条件 运维授权功能仅限企业版。 当用户角色为DBA 且只被授权运维部分团队时，可被进行运维授权操作。 用户需要具有进入用户与角色页面的菜单权限。菜单权限请参考权限说明。 注意事项 超级管理员、系统管理员可以授权组织内所有团队的运维权限。 每次授权仅限一种类型的资源粒度，提交时仅保存当前页面的授权信息。 当DBA拥有某一团队的运维权限时，即拥有该团队下全部实例的数据权限与管理权限。 操作步骤 1. 登录数据管理服务DMS。 2. 在左侧菜单栏依次点击安全协作 > 用户与角色 ，在用户列表中选择目标用户点击编辑 按钮，在编辑用户弹窗中，将系统角色修改为DBA ，选择可运维范围（全部实例 /选择部分团队 ），点击确定按钮。 3. 授予DBA部分团队 运维权限时，在用户列表再次选择该用户点击更多>运维授权按钮进入运维授权弹窗。 4. 进入运维授权弹窗后，默认选择部分团队授权DBA，可以新增/删除 指定团队的运维权限，或者授予DBA全部实例的运维权限。 说明 在编辑用户弹窗可选择该用户运维的实例范围。 当实例范围为部分团队时，该用户可被进行运维授权操作，此时该用户将展示运维授权按钮。 当实例范围为全部实例时，代表该用户拥有所属团队下所有实例的运维权限，即拥有该团队下全部实例的数据权限与管理权限，此时该用户将不展示运维授权按钮。

设置已中断会话的时间限制 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 会话时间限制”，进入服务器会话时间限制配置页面。 2 双击“设置已中断会话的时间限制”，打开设置窗口。 3 勾选“已启用”，启用已中断会话的时间限制。 设置结束已断开连接的会话为1分钟。 4 单击“确定”，完成设置。 设置已中断会话的时间限制 关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置

设置已中断会话的时间限制 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 会话时间限制”，进入服务器会话时间限制配置页面。 2 双击“设置已中断会话的时间限制”，打开设置窗口。 3 勾选“已启用”，启用已中断会话的时间限制。 设置结束已断开连接的会话为1分钟。 4 单击“确定”，完成设置。 设置已中断会话的时间限制 关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置

违规内容管控快速解封 针对一般违规内容您可参考以下步骤操作： 彻底清理违规内容 根据通知要求提供解封材料，并提交工单进行申诉解封 工作人员将在13个工作日完成审核，并将审核结果通知您。 针对存储产品的一般违规行为（冻结文件）可根据整改通知查询违规记录后自行删除文件，删除文件后即视为解除。 注意 若您删除文件后重复上传违规内容，对应文件将被再次封禁并视情进行升级处置，若您对封禁存在异议，请通过工单提交反馈，天翼云将在13个工作日内完成处理。 欺诈类违规管控快速处理 如您收到天翼云发出的欺诈整改、处置通知，您可根据通知要求进行整改，整改完成后前往工单提交相关解封材料进行申诉。 天翼云将在13个工作日内完成处理。 违规管控解封常见问题 我提交解封申请后，天翼云基于什么决定是否解封？ 针对您提交的解封申请内容，若审核未发现违规内容，则进行解封。 针对对象存储 OSS 的一般违规行为（冻结文件），删除违规文件后默认视为解封。 针对通过工单++入口++提交的解封申请，天翼云会根据您的设备或服务是否还存在违规信息或行为，结合您提交的资质、业务说明综合判定，对于严重、特别严重的违规行为，若您无法说明业务的合规性，根据相关协议无法为您解封。 注意 针对上级主管部门要求处理的违规情况，天翼云将会直接根据上级主管的解封意见进行处理。 什么是一般违规行为，什么是严重、特别严重违规行为？ 请参见《安全违规处罚等级说明》。

本页为其他云PostgreSQL迁移到RDS for PostgreSQL的最佳实践网络和准备工作概述。 网络通信方式 其他云的数据库接入天翼云，需要通过公网网络进行网络打通，包括数据库实例具备公网IP，天翼云DTS实例具备公网IP。 准备工作 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 申请公网IP并绑定到数据库实例 不同云厂商的数据库实例对应方法不同，具体操作步骤可参考具体云官网资料进行设置。 3. VPC网络安全策略放通 需要在其他云数据库实例所在的VPC放通DTS数据迁移实例中配置的公网IP的访问权限，一般包括网络ACL和实例安全组，具体可参考各厂商云数据库官方文档进行操作。 4. 数据库添加白名单 数据库需要添加DTS数据迁移实例中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。 源库处理 登录其他云PostgreSQL所属的服务器。 修改配置文件postgresql.conf，将配置文件中的wallevel设置为logical。 将DTS的IP地址加入至其他云PostgreSQL的配置文件pghba.conf中。如果您已将信任地址配置为0.0.0.0/0（如下图所示），可跳过本步骤。 如果任务包含增量同步，需安装PostgreSQL的逻辑解码器输出插件Decoderbufs，建议安装v2.1.1.Final以上版本，低版本可能会导致PostgreSQL数据库出现coredump，详细的安装步骤可参考PostgreSQL官网文档。

Agent API 专为无缝对接智能体平台的智能体(Agent)应用而设计。通过 Agent API,您可以安全、高效地将各类智能体能力集成至现有业务系统,快速实现智能对话、流程自动化等创新场景,助力企业构建智能化应用生态。 创建Agent API 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入实例概览。 3. 在左侧导航栏，选择"Agent API"。 4. 单击左上角按钮 "创建Agent API"， 配置以下基本信息，并单击确定。 配置项 描述 API名称 自定义Agent API名称 域名 选择您计划创建Agent API的域名 BasePath 自定义API的基本路径，BasePath会转发给后端服务 协议 目前支持阿里云百炼和自定义协议 阿里云百炼应用：阿里云百炼推出的大模型应用，智能体、工作流与智能体编排，可扩展了大模型的应用范围 自定义：适用于您自定义的其他Agent服务 描述 Agent API的描述信息 编辑Agent API 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入目标实例概览。 3. 在左侧导航栏，选择"Agent API"。 4. 单击目标Agent API操作列的"编辑"，在编辑Agent API面板中修改域名、BasePath和描述，然后单击确定。

本节介绍了开启APIServer审计日志的用户指南。 应用场景 Kubernetes 审计（Auditing） 功能提供了与安全相关的、按时间顺序排列的记录集， 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。通过APIServer审计日志可以追踪用户对集群的操作行为。更进一步的，通过使用日志中心可以将集群的APIServer审计日志持久化到云日志服务，从而长时间追踪APIServer请求。 前提条件 已创建专有版集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 。若已有集群，无需重复操作。 拥有集群master节点的root或sudo权限，能够远程登录节点执行命令。 操作步骤 以下步骤需要在集群所有master节点执行（可在集群菜单 节点管理 > 节点 查看master节点，一般有3个或5个） 增加apiserver审计策略文件 在集群master节点，新增 /etc/kubernetes/auditpolicy.yaml 文件 plaintext apiVersion: audit.k8s.io/v1 This is required. kind: Policy 不要为RequestReceived阶段中的所有请求生成审核事件。 omitStages: "RequestReceived" rules: 以下请求被手动确定为高容量和低风险，因此请取消这些请求。 level: None users: ["system:kubeproxy"] verbs: ["watch"] resources: group: "" core resources: ["endpoints", "services"] level: None users: ["system:unsecured"] namespaces: ["kubesystem"] verbs: ["get"] resources: group: "" core resources: ["configmaps"] level: None users: ["kubelet"]

本章节介绍Dubbo应用相关的服务鉴权能力 概述 当您的某个微服务应用有安全要求，不希望其它所有应用都能调用时，可以对调用该应用的其它应用进行鉴权，仅允许匹配鉴权规则的应用调用。 查看服务鉴权规则列表 在左侧导航栏，Dubbo治理 > 服务鉴权。查看当前账号下的服务鉴权规则。服务鉴权规则展示了规则名称、状态、被调用方框架、被调用方类型、被调用方等信息，如果服务较多，可以通过环境、规则名称、被调用方进行筛选或搜索。 创建服务鉴权规则 在服务鉴权规则页面单击创建规则。 ● 环境：选择一个环境。 ● 规则名称：服务鉴权规则名称，例如 authproduct。 ● 被调用方类型：这里只可以选择应用。 ● 被调用方：被调用的应用。 ● 被调用方框架：被调用的应用所使用的框架，选择Dubbo。 ● 接口规则： 被调用方Path：指定被调用应用的Path。 鉴权方式：服务鉴权的方式，包含白名单（允许调用）和黑名单（拒绝调用），请根据实际鉴权需求选择。 调用方（应用）：需要鉴权的调用方应用，可以单击添加调用方设置多个需要鉴权的调用方应用。

本章节介绍Spring Cloud应用服务鉴权功能 概述 当您的某个微服务应用有安全要求，不希望其它所有应用都能调用时，可以对调用该应用的其它应用进行鉴权，仅允许匹配鉴权规则的应用调用。 查看服务鉴权规则列表 在左侧导航栏，Spring Cloud治理 > 服务鉴权。查看当前账号下的服务鉴权规则。服务鉴权规则展示了规则名称、状态、被调用方框架、被调用方类型、被调用方等信息，如果服务较多，可以通过环境、规则名称、被调用方进行筛选或搜索。 创建服务鉴权规则 在服务鉴权规则页面单击创建规则。 ● 环境：选择一个环境。 ● 规则名称：服务鉴权规则名称，例如 authproduct。 ● 被调用方类型：这里只可以选择应用。 ● 被调用方：被调用的应用。 ● 被调用方框架：被调用的应用所使用的框架，选择Spring Cloud。 ● 接口规则： 被调用方Path：指定被调用应用的Path。 鉴权方式：服务鉴权的方式，包含白名单（允许调用）和黑名单（拒绝调用），请根据实际鉴权需求选择。 调用方（应用）：需要鉴权的调用方应用，可以单击添加调用方设置多个需要鉴权的调用方应用。

参数 参数说明 开源社区版本 选择需要安装的开源社区版本，v1.3.1及以上版本的插件支持该参数。插件安装后，开源社区版本不可修改，若要修改，需要卸载插件重新安装。 存储卷声明类型 安装Grafana需创建存储卷用于存储本地数据，卸载插件时Grafana的存储卷不会删除。 选择“云硬盘”类型时，需选择“云硬盘类型”，不同局点支持的云硬盘类型可能不同，请以控制台选择项为准。 创建云硬盘会收取存储费用，并占用云硬盘的配额。 容量 (GiB) 云硬盘的大小默认为5GiB。您可以在创建完成后对存储卷进行扩容。 数据源对接AOM 将普罗数据上报至 AOM 服务。开启后，可选择对应的AOM实例。采集的基础指标免费，自定义指标将由AOM服务进行收费。对接AOM需要用户具备一定权限，目前仅在 admin 用户组下的用户支持此操作。 公网访问 1.2.1及以上版本的插件支持开启公网访问，开启后需要选择一个负载均衡器作为Grafana服务入口。仅支持选择集群所在VPC下的负载均衡实例。如果使用独享型ELB，该实例还需要包含网络型规格。 须知 开启公网访问将会把Grafana服务暴露至公网，建议评估安全风险并做好访问策略的管控。