本节主要介绍创建微服务引擎 微服务引擎专享版采用物理隔离的方式部署，租户独占微服务引擎，您可以根据业务需要创建使用。 前提条件 微服务引擎专享版运行于虚拟私有云，创建微服务引擎前，需保证有可用的虚拟私有云和子网。 创建虚拟私有云和子网，请参考“帮助中心 > 虚拟私有云 > 用户指南 > 虚拟私有云和子网 > 创建虚拟私有云和子网”。 如果引擎创建帐号权限为创建引擎的最小权限，如权限管理的“cse:engine:create”所示。则需要由管理员帐号为其预置VPC默认安全组cseenginedefaultsg，并添加如所示规则。 添加安全组规则，请参考《虚拟私有云用户指南》中“安全组 > 添加安全组规则”章节。 表 默认安全组cseenginedefaultsg规则说明 方向 类型 协议 端口范围/ICMP类型 远端 入方向 IPv4 TCP 3010030130 ANY 入方向 IPv4 ICMP Any 0.0.0.0/0 入方向 IPv6 ICMP Any ::/0 入方向 IPv6 TCP 3010030130 ANY 出方向 IPv4 ANY Any ANY 操作步骤 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击“购买微服务引擎” 。 3、填写参数，其中带“”标志的参数为必填参数，参数说明如下表所示。 表 参数说明 参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。 4、单击“下一步”，进入确认微服务引擎规格的页面。确认无误后，单击“提交”，开始创建微服务引擎。 创建微服务引擎专享版大约需要10~30分钟。 创建成功后，微服务引擎的“状态”为“可用”。 如果创建失败，可单击，在弹出菜单选择“重试”，重新创建。 说明 如果重试失败，可以删除创建失败的微服务引擎。删除微服务引擎专享版，请参考删除微服务引擎专享版。 如果未及时删除重试失败的微服务引擎，会占用计算资源。系统会在UTC时间每日18:00统一清理资源。

Cookie签名 针对Cookie进行签名，会新增一个Cookie签名字段，原始Cookie内容正常发送给用户，当客户端Cookie内容进行了修改，请求在WAF端签名校验不通过，该请求将被拦截。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持Cookie防护相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【Cookie防护】详细设置页。 配置说明 防护开关 控制策略生效的总开关，可以选择关闭、告警或拦截，关闭后Cookie防护将不生效。 防护条件 配置项 说明 Cookie key 值 设置需要防护的Cookie名称，Cookie必须有参数值，例如：setcookie: SFcookie11ENCRYPTCOOKIE1988262423afZ5ZEIzbEL%3D; Secure; SameSiteStrict, 只有SFcookie11、SameSite可配置为key 防护方式 支持选择加密与签名两种防护方式，需要配置防护动作与防护过渡期 加密：对Cookie值进行加密，客户端查看到的值为加密后的内容 签名：给Cookie值加签名字段，签名方式可选 UA：使用该方式签名，客户UA变换后，Cookie签名验证将不通过 IP+HOST+UA：泛域名模式下，加签HOST字段 IP+UA：使用该方式签名，客户IP或使用浏览器改变后，使用之前Cookie防护验证不通过 IP：使用该方式签名，客户ip变换后，Cookie签名验证将不通过 防护动作 拦截/清除 拦截：Cookie值检测不通过将拦截请求，并清除Cookie 清除：Cookie检测不通过清除该Cookie回源，总开关为拦截，防护动作为清除，最终效果仍为清除 防护过渡期 在过渡期内（即在配置的时间之前），检测失败不会进行拦截，只会清除Cookie值，重新登录后将下发新的Cookie值 Cookie属性 支持选择HTTP Only和secure 设置后Cookie不允许js读取，有效防止xss盗取客户Cookie，配置后，Cookie响应头部增加值Http Only，若源站响应已存在Http Only，会同时存在 secure：Cookie设置为secure的时候，客户端只能通过https协议发送Cookie，无法通过http发送

弹性高性能计算(EHPC,Elastic High Performance Computing)是一个便捷安全的云超算平台,依托天翼云分布式云底座和海量的计算、存储、网络资源,搭配开箱即用的集群管理平台,为用户提供高性能、高可靠、快速交付、简洁易用、安全可信的高性能计算服务。

操作场景 本节为您介绍如何通过TeleCloudShell远程登录到Linux弹性云主机上。 约束与限制 云主机处于“运行中”状态。 在云主机所在安全组入方向配置以下相关安全组规则：（安全组规则设置可参考：添加安全组规则）。 授权策略 优先级 协议类型 端口范围 授权对象 允许 1 TCP 22（默许） 通过公网连接：添加182.43.5.0/24。 通过私网连接：添加198.19.128.0/20。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 选择“计算 > 弹性云主机”。 4. 选择要登录的Linux弹性云主机，单击“操作”列的“远程登录”，弹出可选登录方式的远程登录窗口。 5. 单击通过TeleCloudShell远程登录的“立即登录”。 6. 在TeleCloudShell登录页面，完成云主机连接信息的配置，点击“确定”。 说明 1. 默认情况下，TeleCloudShell在连接Linux云主机时，会默认使用SSH默认端口（22），您也可在登录界面修改目标实例的连接端口，但需要注意与设置云主机安全组时的端口对应。 2. 连接Linux云主机支持密码认证和SSH密钥认证。若您选择密码认证，则需根据界面输入用户名（默认root）和密码；若您选择SSH密钥认证，则需要上传您的私钥文件，如果私钥文件设置了口令，还需输入私钥口令。 3. 支持通过弹性云主机的公网IP和私网IP进行连接。 4. 通过TeleCloudShell连接Linux弹性云主机时，底层使用SSH协议进行连接。 7. 登录成功界面如图所示。

本节包括虚拟私有云、弹性网卡类型、约束与限制、相关链接。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 虚拟私有云更多信息，请参见《虚拟私有云用户指南》。 弹性网卡类型 主弹性网卡：在创建云主机实例时，随实例默认创建的弹性网卡称作主弹性网卡。主弹性网卡无法与实例进行解绑。 扩展弹性网卡：您可以创建扩展弹性网卡，将其附加到云主机实例上，您也可以将其从实例上进行解绑。每台实例可附加的扩展弹性网卡数量由实例规格决定。 约束与限制 云主机实例与扩展弹性网卡必须在同一VPC，可以分属于不同安全组。 说明 此限制仅针对管理控制台，通过API创建弹性网卡可以指定与云主机实例不同的VPC。 主弹性网卡不能解绑服务器。 云主机可附加的扩展弹性网卡数量由云主机实例规格决定。具体请参见实例规格（X86）规格清单、实例规格（鲲鹏）规格清单（鲲鹏）。 弹性网卡不支持直接访问天翼云内公共云服务，如内网DNS等，推荐使用VPCEP访问天翼云公共云服务。

本小节介绍SSL VPN的产品定义。 SSL VPN是一款基于SSL VPN技术的网络连接服务，通过加密通道的方式，帮助用户在任何时间、任何地点、使用任何主流终端，安全、快速地接入业务系统，能够更好地满足整个组织业务系统的安全发布及接入访问需求。

开发环境 Maven Apache Maven 2.5及以上版本，可至Maven官方网站下载。 JDK Java Development Kit 1.8及以上版本，可至Oracle官方网站下载。 安装后注意配置JAVA的环境变量。 IntelliJ IDEA 获取并安装IntelliJ IDEA，可至IntelliJ IDEA官方网站下载。 操作步骤 1. 下载Demo包kafkajavademo.zip 下载后解压，有如下文件： 表1 KAFKA Demo文件清单 文件名 路径 说明 ::: JavaKafkaConfigurer.java .srcmainjavajavaDemo 读取Kafka配置文件。 KafkaConsumerDemo.java .srcmainjavajavaDemo 消费消息。 KafkaMultiConsumerDemo.java .srcmainjavajavaDemo 批量消费消息。 KafkaProducerDemo.java .srcmainjavajavaDemo 生产消息。 kafka.properties .srcmainresources kafka配置参数 pom.xml . maven配置文件，包含Kafka客户端引用。 2. 打开IntelliJ IDEA，导入Demo。Demo是一个Maven构建的Java工程，因此需要配置JDK环境，以及IDEA的Maven插件。 3. 修改Kafka配置信息。 修改kafka.properties 修改demo文件中的属性变量

本节介绍如何购买大模型安全卫士性能扩展包。 1. 登录智算安全专区控制台。 2. 在“大模型安全卫士”实例页面，找到需要扩展性能的实例，单击“扩展”。 3. 进入升配页面，在性能扩展包右侧单击“去增项”。

专属云（存储独享型）应用广泛，本文介绍存储专属云的典型应用场景。 搭配计算专属云 在安全、性能及可靠性要求极高的应用场景，如金融、政府等行业，通过物理资源物理隔离和网络资源逻辑隔离的结合，可以有效地保障业务的安全运行。此外，数据多副本保存技术和多种安全防护产品的应用，可以进一步提升系统的稳定性和安全性。 存储专属云可以与计算专属云中的云主机进行对接，以满足高性能、稳定性以及数据安全和监管等方面的业务需求。专属云服务不仅提供了高度的数据安全性，还具备了强大的扩展性和灵活性，可以满足不同行业和企业的个性化需求。 混合负载 针对专属客户的需求，开发人员在公有云上独立划分计算或专区，确保客户的数据在独享的计算或存储物理服务器中，与其他公有云客户不共享物理服务器。客户可以将专属云建设在公有云资源池上，专属云（存储独享型）服务支持多并发、高带宽应用场景，可以同时支持HPC、数据库、Email、OA办公、Web等多个应用混合部署。 与其他公有云服务相比，专属云具有更高的灵活性和可控性，客户可以根据自己的需求进行定制和扩展，无需担心与其他客户共享资源的问题。同时，专属云还具有更好的安全性和可靠性，可以为客户提供更加可靠的计算和存储服务。

关系数据库MySQL版提供任务中心功能，开启后您可以查看用户的运维操作日志。 使用场景 实例管理动作追踪。 实例操作安全审计。 查看历史任务 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击 管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 任务列表，进入任务列表页面。然后在顶部菜单栏，选择区域和项目。 3. 查看所有实例的任务信息。 支持根据实例ID、任务状态、任务名称和任务时间进行筛选。 任务类型 任务中心记录的任务类型如下表： 任务类型 迁移可用区 升级内核小版本 升级数据库版本 存储空间自动扩容 性能自动扩容 修改安全组 删除安全组 重启实例 应用参数组 创建实例 修改密码 主备切换 扩容预处理 扩容恢复 修改端口 绑定弹性IP 解绑弹性IP 修改高可用模式 企业项目迁移 修改数据复制方式

删除节点 注意 删除节点功能只能在管理侧任务列表中没有其他任务运行时才可使用。 删除节点功能只支持删除资源状态为“空闲”的节点，此节点还未扩容至集群，可以删除，已使用的节点不支持删除。 在反亲和部署模式下，删除节点只能以集群的安全环为单位，如集群安全环大小为3，则选择某个节点删除时会自动选择并提示删除同一个安全环的其他节点。 操作步骤 1.登录DWS 管理控制台。 2.单击“集群管理”。默认显示用户所有的集群列表。 3.在集群列表中，单击指定集群名称进入“集群详情”页面，单击“节点管理”进入页签。 4.在“节点管理”页面选中要删除的节点，单击“删除节点”按钮，单击“是”按钮提交删除任务。 5.删除成功后，该节点将不再显示到节点管理页面。

云产品 应用场景 描述 优势 虚拟专用网络VPN 使用公网低成本连接VPC与本地IDC 基于Internet使用加密隧道将VPC与本地数据中心连接起来。 具备成本低、配置简单、即开即用等优点。但它的网络质量依赖Internet。 加密通道，安全性高。 低成本。 配置简单。 云专线 铺设物理专线高质量连接VPC与本地IDC 使用物理专线将VPC与本地数据中心连接起来。具备低时延、高安全、 专用等优点。适用对网络传输质量和安全等级要求较高的场景 。 安全承载。 稳定高效。 灵活接入。 便捷管理。 成本可控。 云间高速 通过云间高速连接云上与本地数据中心 通过云间高速连接云上与本地数据中心，不区分是否同一帐号，同一VPC，都可以跨区域连接实现云上网络。 低时延高速率。 云网紧密融合。 高扩展性。 高安全性。

1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“版本信息”栏中目标版本所在行“操作”列的“复制”。 7. 在弹出复制版本信息框中，单击“确定”。

本节介绍了重置账号密码的操作场景、操作步骤等相关内容。 操作场景 您可重置自己创建的数据库账号密码，安全考虑，请定期（如三个月或六个月）修改密码，防止出现密码被暴力破解等安全风险。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页。 步骤 5 在左侧导航栏，单击“账号管理”，选择目标账号，单击操作列的“重置密码”。 步骤 6 在弹出框中输入新密码和确认密码，单击“确定”，提交修改。 密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~ ! @ $ % ^ + ? , 特殊字符。 密码不能包含数据库账号名称或名称的逆序。 密码不能是易于破解的弱密码，否则会因弱密码拦截导致操作失败。建议您输入高强度密码，以提高安全性，防止出现密码被暴力破解等安全风险。 重置密码的记录可通过云审计服务CTS查询。 结束

本文为您介绍跨域VPC和云专线通过云间高速实现安全访问互联网的操作流程。 前提条件 客户在VPC网络中配置有安全管控服务。 安全管控服务具备互联网访问能力。 此场景仅限天翼云CTYUN4.0资源池 场景示例 在华北2和华东1资源池部署有云上资源。 在广州的IDC需要通过云专线接入华南2资源池，与华北2和华东1的云上资源互访。 三个区域的资源需要通过华东1部署的云上安全服务访问互联网。 组网拓扑 配置步骤 1. 创建云间高速和云企业路由器 创建云间高速 云间高速的创建，具体操作请参见：创建云间高速（标准版）实例云间高速 创建云企业路由器 在华北2、华东1、华南2三个资源池中分别创建云企业路由器。 具体操作请参见：创建云企业路由器实例云间高速 2. 加载网络实例 加载VPC网络实例 在已创建的华北2云企业路由器和华东1云企业路由器中，分别加载对应区域的VPC网络实例。 具体操作请参见：加载VPC网络实例云间高速 加载专线网络实例 在华南2云企业路由器中，加载云专线（CDA）网络实例。 具体操作请参见：加载云专线（CDA）网络实例云间高速

关闭IPv4公网访问（支持修改明文/密文接入） 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 3. 在管理控制台左上角单击，选择“应用中间件 > 分布式消息服务Kafka”，进入分布式消息服务Kafka专享版页面。 4. 单击Kafka实例的名称，进入实例的“基本信息”页面。 5. 关闭公网访问前，需要先关闭公网访问中的“明文接入”和“密文接入”。然后在“公网访问”后，单击，弹出确认关闭对话框。 6. 单击“确认”，跳转到“后台任务管理”页面。当任务状态显示为“成功”时，表示成功关闭公网访问。 关闭公网访问后，需要设置对应的安全组规则，才能成功通过内网连接Kafka。 表4 Kafka实例安全组规则（内网访问） 方向 协议 类型 端口 源地址 说明 入方向 TCP IPv4 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（明文接入）。 入方向 TCP IPv4 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（密文接入）。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问Kafka实例，无需添加表4的规则。

参数 说明 类型 选择外部源连接的类型。 RDS服务MySQL数据库，支持Hive或Ranger组件的集群支持连接该类型数据库。 名称 数据连接的名称。 数据库实例 RDS服务数据库实例，该实例需要先在RDS服务创建后在此处引用，且已创建数据库，具体请参考管理数据连接章节 说明 为了保证集群和PostgreSQL数据库的网络访问，建议该实例与MRS集群的虚拟私有云和子网一致。 该实例的安全组入方向规则需要放通3306端口（可通过在RDS控制台单击实例名称进入实例基本信息页面，在“连接信息”区域单击“安全组”右侧的安全组名称进入安全组控制台，在入方向规则页签中添加一个“协议端口”为TCP 3306，“源地址”为Hive的MetaStore实例所在的所有节点IP的规则）。 当前MRS支持的RDS上Postgres数据库版本号为PostgreSQL9.5/PostgreSQL9.6。 当前MRS仅支持RDS上MySQL数据库版本为MySQL 5.7.x。 数据库 待连接的数据库的名称。 用户名 登录待连接的数据库的用户名。 密码 登录待连接的数据库的密码。

本文介绍CDN加速可以支持的TLS版本及配置方法。 功能介绍 TLS（Transport Layer Security）即安全传输层协议，及其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS，HTTPS即HTTP over TLS，就是更安全的HTTP，运行在HTTP层之下，TCP层之上，为HTTP层提供数据加解密服务。 天翼云CDN加速产品提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。 天翼云CDN加速产品支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3、GMTLSv1.1。 注意事项 1. 配置TLS协议版本前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 2. 默认开启 TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3、GMTLSv1.1。为保护您的数据安全，配置国际标准证书时建议选择TLS1.2、TLS1.3 。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【TLS版本】模块，根据需求选择配置。 9. 单击【保存】，完成配置。 说明 1. 仅配置国际标准证书时，TLS版本支持选择TLSv1、TLSv1.1、TLSv1.2、TLSv1.3。 2. 仅配置国密证书时，TLS版本仅支持选择GMTLSv1.1。 3. 同时配置国际标准证书和国密证书时，TLS版本支持选择TLSv1、TLSv1.1、TLSv1.2、TLSv1.3、GMTLSv1.1。

本文介绍全站加速可以支持的TLS版本及配置方法。 功能介绍 TLS（Transport Layer Security）即安全传输层协议，及其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS，HTTPS即HTTP over TLS，就是更安全的HTTP，运行在HTTP层之下，TCP层之上，为HTTP层提供数据加解密服务。 天翼云全站加速产品提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。 天翼云全站加速产品支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3、GMTLSv1.1。 配置说明 注意事项 1. 配置TLS协议版本前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 2. 默认开启 TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3、GMTLSv1.1。为保护您的数据安全，配置国际标准证书时建议选择TLS1.2、TLS1.3 。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的【证书】。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 6. 配置【TLS版本】，配置完毕单击【保存】。 说明 1. 仅配置国际标准证书时，TLS版本支持选择TLSv1、TLSv1.1、TLSv1.2、TLSv1.3。 2. 仅配置国密证书时，TLS版本仅支持选择GMTLSv1.1。 3. 同时配置国际标准证书和国密证书时，TLS版本支持选择TLSv1、TLSv1.1、TLSv1.2、TLSv1.3、GMTLSv1.1。

本节介绍了云容器引擎订购类常见问题。 支持Docker容器运行时吗? 目前只有Kubernetes 1.23版本支持Docker容器运行时，其他高版本只支持Containerd。如需订购集群选择Docker运行时请提工单申请。 集群订购会配置特殊安全组规则吗？ 因为集群订购涉及开通云主机等iaaS资源，系统默认为您的集群内置一条优先级为99的不可见安全组，以确保节点之间能正常通信。您可等集群开通成功后，为安全组设置更高级别的安全组规则，突破此互通安全组的限制。 VPC所在子网与Pod子网有什么区别? Cubecni网络插件使用VPC资源构建underlay容器网络，为Pod创建一个单独的子网，一般建议选择网段掩码不大于19的子网。详细可查看：Cubecni网络插件介绍 集群订购是否必须配置Snat，由容器购买Nat网关？ 非必须，用户如有集群访问公网诉求，可后续直接订购Nat网关，详细可查看：Pod联网案例 集群订购是否必须购买eip，用于通过公网访问apiserver? 非必须，用户如有公网访问apiserver诉求，可后续直接订购eip。如果由容器代客户购买，默认下单5M带宽的弹性ip，由弹性ip产品按量收费。

本节介绍了云容器引擎订购类常见问题。 支持Docker容器运行时吗? 目前只有Kubernetes 1.23版本支持Docker容器运行时，其他高版本只支持Containerd。如需订购集群选择Docker运行时请提工单申请。 集群订购会配置特殊安全组规则吗？ 因为集群订购涉及开通云主机等iaaS资源，系统默认为您的集群内置一条优先级为99的不可见安全组，以确保节点之间能正常通信。您可等集群开通成功后，为安全组设置更高级别的安全组规则，突破此互通安全组的限制。 VPC所在子网与Pod子网有什么区别? Cubecni网络插件使用VPC资源构建underlay容器网络，为Pod创建一个单独的子网，一般建议选择网段掩码不大于19的子网。详细可查看：Cubecni网络插件介绍 集群订购是否必须配置Snat，由容器购买Nat网关？ 非必须，用户如有集群访问公网诉求，可后续直接订购Nat网关，详细可查看：Pod联网案例 集群订购是否必须购买eip，用于通过公网访问apiserver? 非必须，用户如有公网访问apiserver诉求，可后续直接订购eip。如果由容器代客户购买，默认下单5M带宽的弹性ip，由弹性ip产品按量收费。

本节介绍如何获取v1.0原子能力云主机对应的VNC地址。 在“一类节点”区域购买的v1.0资源，若用户需要连接原子能力资源配置的云主机，可通过“获取VNC”，获取VNC地址进行远程连接。 约束限制 仅“一类节点”区域购买的v1.0资源支持在云等保专区控制台获取VNC地址。云等保专区支持的区域请参见支持的区域。 前提条件 已购买对应原子能力资源，且资源状态为“运行中”。 获取VNC地址 以下以“主机安全v1.0”为例，介绍如何获取云主机的VNC地址。 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“主机安全 > 主机安全v1.0”，进入云等保专区的主机安全v1.0资源页面。 3. 在目标资源的操作列，单击“更多 > 获取VNC”。 4. 在弹出的“VNC信息”窗口中，单击“复制VNC”。 远程连接 1. 在本地计算机上安装VNC客户端软件或通过在线的VNC连接工具（例如 2. 打开VNC软件，在连接界面中输入获取的VNC地址。 3. 点击连接按钮后，VNC客户端会尝试与远程计算机建立连接。

本文主要介绍Pod Security Admission配置。 在使用Pod Security Admission前，需要先了解Kubernetes的Pod安全性标准（Security Standards）。Pod安全性标准（Security Standards） 为 Pod 定义了不同的安全性策略级别。这些标准能够让你以一种清晰、一致的方式定义如何限制Pod行为。而Pod Security Admission则是这些安全性标准的控制器，用于在创建Pod时执行定义好的安全限制。 Pod安全性标准定义了三种安全性策略级别： 表 Pod安全性策略级别 策略级别（level） 描述 privileged 不受限制，通常适用于特权较高、受信任的用户所管理的系统级或基础设施级负载，例如CNI、存储驱动等。 baseline 限制较弱但防止已知的特权提升（Privilege Escalation），通常适用于部署常用的非关键性应用负载，该策略将禁止使用hostNetwork、hostPID等能力。 restricted 严格限制，遵循Pod防护的最佳实践。 Pod Security Admission配置是命名空间级别的，控制器将会对该命名空间下Pod或容器中的安全上下文（Security Context）以及其他参数进行限制。其中，privileged策略将不会对Pod和Container配置中的securityContext字段有任何校验，而Baseline和Restricted则会对securityContext字段有不同的取值要求，具体规范请参见Pod安全性标准（Security Standards）。 关于如何在Pod或容器中设置Security Context，请参见为Pod或容器配置Security Context。

关系数据库SQL Server支持设置IP白名单，强化数据库的安全访问管理。 关系数据库SQL Server支持设置IP白名单，强化数据库的安全访问管理。 注意事项 不在IP白名单范围内的访问将被拒绝。 建议订购页勾选将子网加入白名单范围，以便开通后同VPC内的其他机器可以访问数据库。 除了设置IP白名单，您还需要关注安全组规则设置，如果安全组规则未放通数据库端口的访问，则即使加入IP白名单也无法访问。 在IP白名单范围内，源IP必须能够与数据库实例所在的网络相互通信，才能访问。 跨VPC等场景即使加入IP白名单因为无法访问，因为VPC之间是隔离的。 0.0.0.0/0表示放开所有IP访问（注意：同VPC或者弹性公网IP访问）。 127.0.0.1表示不允许实例被外部访问（注意：实例内部集群不受影响）。 如果实例绑定了弹性IP，需要将访问弹性IP的源端地址的公网IP配置进白名单。（源端地址的公网IP指访问弹性IP对应机器的公网出口IP，可通过搜索引擎查询IP地址获取）。 修改白名单针对新连接即时生效。 清空白名单分组将被重置为127.0.0.1。 创建白名单分组 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 点击【白名单与安全组】，点击【创建白名单】。 5. 填写分组名称，同一个实例内分组名称要求唯一， 同时要求长度为120，允许字母数字中划线下划线。 6. 填写IP白名单，一个分组内支持填写多个IP或网段，多个IP或网段通过英逗号分隔。比如：192.168.1.2,192.168.0.1/24。 7. 点击【确定】，创建白名单分组。

本章节主要介绍新建DWS连接。 本章节以新建DWS连接为例，介绍如何建立DataArts Studio与数据仓库底座之间的数据连接。 前提条件 在创建数据连接前，请确保您已创建所要连接的数据湖（如DataArts Studio所支持的数据库、云服务等）。 1. 在创建DWS类型的数据连接前，您需要先在DWS服务中创建集群，并且具有KMS密钥的查看权限。 2. 在创建MRS HBase、MRS Hive、MRS Kafka、MRS Ranger、MRS Spark、MRS Presto类型的数据连接前，需确保您已创建MRS集群，并且在创建数据链接时已创建选择所需要的组件。 3. 在创建RDS类型的数据连接前，请确保您已创建RDS数据库实例。DataArts Studio平台目前仅支持RDS中的MySQL和PostgreSQL数据库引擎。 在创建数据连接前，请确保待连接的数据湖与DataArts Studio实例之间网络互通。 1. 如果数据湖为云下的数据库，则需要通过公网或者专线打通网络，确保数据源所在的主机可以访问公网，并且防火墙规则已开放连接端口。 2. 如果数据湖为云上服务（如DWS、MRS等），则网络互通需满足如下条件： ①DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。 ②DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 ③此外，您还必须确保该云服务的实例与DataArts Studio工作空间所属的企业项目必须相同，如果不同，您需要修改工作空间的企业项目。

本节介绍连接Redis的网络要求。 任何兼容Redis协议的客户端都可以访问DCS的Redis实例，您可以根据自身应用特点选用任何Redis客户端，Redis支持的客户端列表请参见Redis客户端。 客户端连接Redis在不同的连接场景下，需要满足不同的连接约束： 使用同一VPC内客户端访问Redis实例。 安装了客户端的弹性云主机必须与Redis实例属于同一个VPC。Redis 4.0及以上版本的基础版实例，如果实例配置了IP白名单，需将弹性云主机的IP地址加入实例IP白名单，以确保弹性云主机与Redis实例的网络是连通的。 安全组配置，请参考如何选择和配置安全组。白名单配置，请参考配置Redis访问白名单。 客户端与Redis实例所在VPC为相同Region下的不同VPC。 如果客户端与Redis实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考：缓存实例是否支持跨VPC访问。 客户端与Redis实例所在VPC不在相同Region。 如果客户端服务器和Redis实例不在同一Region，支持通过VPN等方式打通网络，请参考VPN。 在跨Region访问Redis实例时，实例域名无法跨Region解析，无法通过域名访问。可以通过在hosts中手动配置域名与IP绑定关系或使用IP进行访问。 公网访问 客户端公网访问Redis 4.0及以上版本实例时，请参考开启Redis公网访问并获取公网访问地址开启实例公网访问。 客户端公网访问Redis 3.0实例时，Redis缓存实例需要配置正确的安全组规则。当SSL加密功能关闭时，Redis实例的安全组入方向规则，必须允许外部地址访问6379端口；当SSL加密功能开启时，则必须允许外部地址访问36379端口。具体配置请参考常见问题：[如何选择和配置安全组](

本节介绍如何添加内容规则的分类。 分类管理是代理和规则之间的桥梁，起到关联代理和检测规则的作用。系统内置了常用的几种分类，包含有涉政、宗教、反动、暴恐等分类，也内置了TC260 标准中提到的5类31项。 进入“内容安全 > 内容规则库 > 分类管理”页面， 可查看当前分类列表。 约束限制 内置分类不可编辑和删除。 新增的自定义分类可编辑和删除。 添加分类 如当前分类不满足使用要求，可按需添加自定义分类，操作步骤如下： 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 内容规则库 > 分类管理”，进入分类管理页面。 3. 点击右上角的 “添加分类”。 4. 在弹出的窗口中添加“分类名称” “分类标识” ，选填 “分类描述” 即可添加分类。

安全使用实例密码 建议在使用rediscli 连接实例时不要在命令行中直接指定密码，因为这样会导致密码信息出现在系统日志和历史记录中，存在一定的安全隐患。相比之下，更加安全的做法是在 rediscli 连接上 Redis 实例之后，再使用 auth 命令进行身份验证。如下示例： ./rediscli p {yourport} > auth yourpassword OK 脚本建议使用交互式输入密码鉴权，或使用不同权限的用户管理与执行；脚本涉及到缓存实例连接，则采用交互式输入密码；需要自动化执行脚本，可使用其他用户管理脚本，以sudo方式授权执行。 应用程序中使用加密模块对redis密码加密配置。

本文为您介绍什么是资源编排ROS。 资源编排ROS（ROS，Resource Orchestration Service）是基于Terraform（HCL + Provider）的新一代云资源全生命周期管理平台，您只需通过结构化模板集中定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等），即可自动、安全、高效地实现“一键创建与管理”云资源。借助 Terraform 的底层引擎能力，ROS 能够自动解析资源依赖关系、校验配置合规性，并通过预置的安全策略规避权限风险与配置冲突，最终实现从资源创建、关联配置到后期扩缩容、版本迭代的 “一键化” 操作。 资源编排ROS聚焦自动化批量创建云资源场景，全面践行“基础设施即代码”理念，帮助用户大幅降低人工操作失误率，同时支持资源的批量管理与自动化运维，让企业在复杂云架构下也能轻松实现资源的高效调度与精益化管理，助力用户高效、安全、一致性交付和运维天翼云服务。 为什么选择资源编排ROS 资源编排ROS可以帮助您高效、安全、轻松地管理一组资源。 强大的Terraform生态：完全兼容Terraform，确保您的现有资源栈无缝迁移。 极简自动化部署：通过模板化编排和自动化引擎，您只需“一次设计”即可“多次部署”。 安全合规：内置评估审核与合规性校验，让变更可知、可控、可追溯。 成本优化：模板可一键复用，变更前可预测资源与费用变更，助力企业降本增效。 友好交互： 企业级可视化交互和丰富API接口。

本节介绍了一键重置密码后无法使用新密码登录弹性云主机的相关内容。 操作场景 一键重置密码后无法使用新密码登录弹性云主机，请参考本节操作逐一进行排查。 说明 请确保一键重置密码插件未被安全软件阻止运行，否则一键重置密码功能无法使用。 Windows操作系统 请根据如下原因逐一进行排查： 步骤 1 检查安全组出方向80端口是否放通。 1. 登录控制台。 2. 选择需要检查的弹性云主机，并进入“弹性云主机”详情页面。 3. 检查“安全组”中，“出方向”的“80”端口是否放通。 默认的安全组规则“出方向”为Any 、Any，即端口放通。 步骤 2 检查弹性云主机VPC的DHCP是否启用。 选择“网络 > 虚拟私有云"，打开对应VPC的详情页面，选择“子网”页签，检查是否启用DHCP。 步骤 3 如果安全组配置、DHCP均正常，但一键重置密码功能仍未生效，请尝试使用原密码登录弹性云主机。 步骤 4 如果原密码有效，可以用原密码登录弹性云主机，检查弹性云主机是否已安装密码重置插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。检查方法如下： 查看任务管理器，如果找到cloudResetPwdAgent服务和cloudResetPwdUpdateAgent服务，如下图所示，表示弹性云主机已安装密码重置插件。否则说明当前弹性云主机没有安装一键重置密码插件。 安装方法请参见安装一键式重置密码插件（可选）。 图 安装插件成功

托管检测与响应服务（原生版）购买后的相关问题答疑。 服务购买后，有相应的操作指导吗？ 服务购买后，我们将指派服务经理与您取得联系，沟通具体服务开展流程并指导您相关操作步骤。此外，您可以参考服务接入流程： 基础版/企业版服务接入流程 护航版服务接入流程 应急响应服务接入流程 安全评估服务接入流程 全流量分析服务接入流程 服务购买后，有哪些服务保障？ 服务购买后，天翼云安全服务团队将与您取得联系，确定服务内容及范围，定期输出整体安全风险服务报告，按照SLA协议承诺对客户服务内容进行交付。 若遇到问题，安全服务团队会提供支持和解答，其他问题，您可以通过天翼云客服反馈，我们将竭诚为您服务，保障您的业务安全。 托管检测与响应服务（原生版）可以根据用户需求提供个性化服务吗？ 当前服务为标准化服务内容，如果您有个性化服务需求，可与服务经理沟通，确定需求范围及内容，经评估后，服务经理会向您反馈评估结果，如果在可接受范围内，您无需支付任何费用，如超出服务范围，我们将提供新的服务方案。 欢迎您向我们提出新的服务需求，我们将积极支持，不断优化服务内容及流程，更好地服务客户。

本文将为您介绍域名列表的刷新操作。 使用场景 新增域名或进行基础与加速配置后，配置需要大概35分钟的生效时间，若您希望获取域名管理最新的域名状态，可以通过手动刷新或列表自动刷新实现。 前提条件 域名列表已经有数据。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.点击列表上方的【刷新按钮】，或等待列表的自动刷新，列表将以每1分钟自动刷新一次的频率更新域名列表状态。