本文介绍终端管理客户端功能发布记录。 终端管理客户端介绍 终端管理客户端主要提供终端安全、敏捷运维、高级威胁等能力。 如需下载客户端，请访问终端管理下载页面。 Windows 64bit 发布版本 发布时间 版本描述 2.26.11 20260228 客户端支持软件仓库、软件分发、正版软件、办公净化、威胁检测响应、AI文件外发审计等能力。 2.19.11 20250709 客户端支持实时防护、病毒查杀、漏洞补丁、外设管控、合规检测、防钓鱼、局域网共享防护、AI风险检测、软件管理、上网行为管控、自保护等能力。 Windows 32bit 发布版本 发布时间 版本描述 2.26.11 20260228 客户端支持软件仓库、软件分发、正版软件、办公净化、威胁检测响应、AI文件外发审计等能力。 2.19.11 20250709 客户端支持实时防护、病毒查杀、漏洞补丁、外设管控、合规检测、防钓鱼、局域网共享防护、AI风险检测、软件管理、上网行为管控、自保护等能力。

本文介绍弹性文件服务安全权限组管理方面的内容。 什么是权限组 在弹性文件服务中，权限组是一个白名单机制。您可以创建权限组和规则，允许指定的IP地址或网段访问文件系统，并给不同的IP地址或网段授予不同的访问权限。仅部分资源池支持权限组，具体功能以控制台为准。 默认权限组 初始情况下，每个弹性文件服务会自动生成一个默认权限组，默认权限组允许任何IP地址以最高权限访问文件系统。默认权限组不支持删除或修改。 自定义权限组 如果默认权限组不符合您的业务需求，您也可以自定义权限组和规则，为IP地址或网段授予不同的访问权限，以满足不同的访问场景。 使用限制 一个天翼云账号在单个地域内最多可以创建20个权限组。 一个权限组最多支持添加400个规则。 仅支持创建专有网络类型的权限组。 具体操作步骤详见权限组管理。

导入/导出API 1.登录API安全网关。 2.在左侧导航栏选择“资源 > API”，进入API列表页面。 3.单击页面上方的“导入/导出API”按钮。 4.在弹出的对话框中选择YAML或JSON文件导入即可。 说明 目前仅支持YAML、JSON两种文本格式的描述文件。 导入已存在的API会默认跳过，最多可创建50个API。 上传的文件将覆盖编辑器中的内容，文件大小不可以超过100KB。 后续操作 生命周期管理：选择需要上线/下线的API，单击“操作”列的“上线/下线”按钮即可上线/下线API。 配置API：选择需要配置的API，单击“操作”列的“配置”按钮即可配置API。 删除API：选择需要删除的API，单击“操作”列的“删除”按钮即可删除API。 查看API：选择需要查看的API，单击“操作”列的“更多 > 查看”按钮即可查看API。 克隆API：选择需要克隆的API，选择“操作”列的“更多 > 克隆”按钮即可克隆API。

本章节主要介绍使用HDFS的操作指导。 操作场景 该任务指导用户在运维场景或业务场景中使用HDFS客户端。 前提条件 已安装客户端。 例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用HDFS客户端 1. 安装客户端。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 直接执行HDFS Shell命令。例如： plaintext hdfs dfs ls /

本章节主要介绍使用Kyuubi的操作指导。 前提条件 已安装客户端并且部署了ZooKeeper集群。 例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Kyuubi客户端 1. 安装客户端。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 直接执行命令。例如： 7. plaintext bin/beeline u 'jdbc:subprotocol://host:port' subprotocol:kyuubi or hive2 host: IP address of the kyuubi server

本章节主要介绍YARN客户端的使用。 操作场景 该任务指导用户在运维场景或业务场景中使用YARN客户端。 前提条件 已安装客户端。例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用YARN客户端 1. 安装客户端。 2. 用户登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 直接执行YARN命令。例如： 7. plaintext yarn application list

相关服务 交互功能 弹性云服务器(ECS) RDSPostgreSQL配合弹性云服务器 (Elastic Cloud Server，简称ECS)一起使用，通过内网连接RDSPostgreSQL可以有效地降低应用响应时间、节省公网流量费用。 虚拟私有云(VPC) 对您的RDSPostgreSQL实例进行网络隔离和访问控制。 弹性IP(EIP) 为您的实例提供公网访问方式。 数据迁移工具(DTS) 使用数据复制服务，实现数据库平滑迁移上云。 数据库管理工具(DAS) 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 数据库专家服务 专家团队为您提供数据库安装部署、健康巡检、应急响应、性能调优、架构规划设计、数据迁移咨询、备份恢复咨询等各类数据库专业服务，解决数据库各类问题，为您的数据库系统保驾护航。

前提条件 成功登录分布式关系型数据库服务控制台。 应用场景 在数据节点相关信息变化时（如增删只读实例，变更连接地址、端口号、安全组、实例规格，删除数据库实例，以及将数据库从一个企业项目迁移到另一个企业项目等变更），需要用户主动下发“同步DN信息”，将数据节点变化的信息同步到DRDS，才能正常使用。 操作步骤 1、在分布式关系型数据库服务，实例管理列表页面，选择目标实例。 2、在左侧导航栏，选择“DN管理”页签，单击“同步DN信息”。 同步DN信息 3、系统自动弹出同步DN信息命令下发成功。 同步DN信息下发成功提示

本文介绍了Windows Server 操作系统停止支持应对计划。 微软已经于2020年01月14日停止对Windows Server 2008/2008 R2操作系统提供支持，并于2023年10月10日停止对Windows Server 2012/2012 R2操作系统提供支持。如果您有使用上述操作系统的弹性云主机，建议您采取相应的措施以持续获得软件更新和安全补丁，以避免操作系统停止维护EOL（End of Life）带来影响。本文主要介绍Windows Server 2008/2008 R2/2012/2012 R2操作系统EOL的应对方案。 注意 如果您因业务需求需要继续使用Windows Server 2008/2008 R2/2012/2012 R2，请您仔细评估操作系统EOL带来的风险。 Windows Server EOL 如何应对 推荐您将Windows Server 2008/2008 R2/2012/2012 R2迁移到替代的操作系统，以继续获取软件更新和安全补丁。 迁移前，请先评估： 1、需要迁移到哪种目标操作系统。 您可以综合考虑安全合规、稳定性、操作系统兼容性、预算、长期OS策略等因素，决定具体的迁移方案。 2、根据需求评估操作系统的迁移方式。 （推荐）重新部署环境：重新部署环境指重新购买新实例以替换原实例或者针对已有实例切换操作系统。 注意 更换操作系统后，原来的旧系统盘会被释放且所有数据会被清空，请务必在更换操作系统前备份数据。 优缺点：该方式可以使用最新的操作系统，同时可以清除历史遗留问题，更有利于长期的系统健康和可维护性。但是在重新部署业务期间可能需要暂停服务，影响业务的连续性。 适用场景：如果您希望利用操作系统EOL的时机重新部署环境，可以选择此方案。 适用的目标操作系统：无限制。

平台侧确认注册成功 NVR设备注册完成后，等待大约1分钟后（不同的设备等待时间略有差异），在天翼云智能视图服务控制台的设备管理页面查看该设备，如果是在线状态，说明设备接入成功。 添加下级平台 在【添加设备】的设备配置页面，下拉设备类型选择Platform，填写设备名称、设备地址、经纬度和所属行业等相关信息后，进入下一步。 在接入配置页面，选择GB28181凭证并勾选资源包，完成设备添加后，与平台进行级联。 GB35114协议接入 GB35114是公共安全视频监控联网信息安全技术标准，在GB/T 28181的基础上对监控联网视频信息以及控制信令信息保护提出了进一步的安全要求，使用国密算法、数字签名、数字证书等技术确保前端设备身份真实可信、控制信令来源可信、内容防篡改，保护视频数据不泄密。 添加设备 在添加国标设备的接入配置页面，若选择启用GB35114协议，则无需选择GB28181凭证即可完成设备创建。 SIP服务信息获取 GB35114设备注册前，还需要获取SIP服务信息和设备国标ID等信息，用户可以进入设备详情页查看。 接入信息：获取设备国标ID。 SIP服务信息：可获取SIP服务器ID、SIP服务器域、SIP服务器地址、SIP服务器TCP端口和UDP端口。

本节介绍服务器安全卫士（原生版）弱口令检测操作指南。 通过与弱口令库对比，检测系统账号和应用账号口令是否属于常用的弱口令，提示用户修改不安全的口令。 Linux系统支持检测系统弱口令和数据库等应用弱口令。 Windows系统仅支持系统账号的弱口令检测。 版本限制 仅企业版、旗舰版支持弱口令检测功能。 执行弱口令检测 弱口令检测提供如下检测方式： 一键检测 如果用户想立即了解服务器当前是否存在弱口令，可以执行“一键扫描”，立即手动检测服务器中的漏洞。 定时检测 用户可以开启“定时扫描”，配置定时检测周期和范围，定期对服务器上存在的弱口令进行自动检测。 一键检测 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 弱口令检测”，进入弱口令检测页面。 3. 单击“一键扫描”，页面右侧弹出一键检测设置窗口。 4. 设置检测参数，参数说明如下。 参数 说明 弱口令分类 支持“应用弱口令”和“系统弱口令”。 设置生效范围 选择检测哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要检测的服务器。 说明 以下服务器不能被选中执行弱口令检测： 使用“免费版”的服务器。 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。 5. 单击“确认”，立刻开始本次弱口令检测。 说明 检测需要一定的时间，请耐心等待，期间您可以切换页面执行其他操作。等待过程中您可以手动刷新页面查看最新检测数据。

首次启动Agent时无法启动该如何处理？ 因部分Windows机型权限限制，会导致第一次启动Agent无法启动，可使用如下方式启动Agent。 1. 右键单击开始菜单。 2. 单击“运行”，输入cmd，进入命令行提示符界面。 3. 输入cd C:SMSAgentPy2，切换到Agent安装目录，执行SMSAgentDeploy.exe。 Windows Agent双击无法运行 安装Windows Agent，双击SMSAgent安装程序没有响应，无法进入安装向导。为系统设置的安全策略锁定了该文件，需要解除对该文件的锁定。右键单击SMSAgentpy运行程序查看属性，勾选“解除锁定”，单击“确定”，然后重新运行。 启动Agent时出现“IO监控启动失败”，该如何处理？ 如果在源端服务器上启动Agent时，出现“IO监控失败”。请进行以下排查： 1. 卸载Agent并且重新安装。 2. 检查源端服务器是否有安装杀毒软件，有以下两种情况： 1. 当系统安装杀毒软件，安全软件或防火墙时，会出现弹窗拦截IO监控驱动。出现拦截提示后，“允许本次操作”可以让杀毒软件允许IO监控程序运行。 2. 不出现拦截页面，直接拦截。这种情况需要手动将IO监控驱动：C:WindowsSystem32driversHwDiskMon.sys添加到杀毒软件的信任区域中，然后重启agent。如果还是不行，则需要卸载杀毒软件。部分杀毒软件会有一个安全防护进程长期驻留，单纯关闭可能无法解决驱动拦截问题。 3. 修改配置文件，不启动IO监控。如果不需要同步数据，可以通过修改配置文件，取消IO监控。修改Agent安装目录config下 gproperty.cfg的 enablesync为False，然后重启Agent。

本文介绍CDN加速设置跨域资源共享CORS的方法。 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。 网站接入CDN加速后，文件的首次请求会因为CDN节点上没有缓存而回源。如果源站响应了一个未包含CORS头的文件，CDN会将此文件缓存下来直至缓存失效。在此期间如果客户端发起跨域请求，CDN将响应不包含CORS头的文件给客户端，客户端将出现“缺少AccessControlAllowOrigin”之类的异常报错。为解决此类问题，CDN需要配置添加CORS响应头来进行适配，具体配置过程，详情请见：跨域资源共享。

证书重颁发,是指在证书仍然有效时,由于某些特殊原因,用户需要获取一张新证书。 操作场景 通常在下述场景下，需要重颁发证书： 密钥泄露或丢失：为了网站的安全，建议重颁发一张新证书。 域名删减：原有的证书将不再适用，需要重颁发证书以匹配新域名。 密钥算法升级：通过密钥算法升级，可优化安全性、性能、合规性，系统性地提升安全防护能力并优化资源效率。 约束限制 适用产品：SSL证书、私有（内网）证书 适用品牌：CFCA、GlobalSign、标准版、DigiCert（SecureSite、GeoTrust、TrustAsia） 适用算法：国际、国密 重颁发次数限制：单张证书在有效期内（199天 ）最多可申请3次重颁发，第3次申请后，重颁发按钮置灰。 重颁发后新证书的有效期： CFCA、GlobalSign：原证书剩余时间，仅在证书到期前30天内重颁发时将获得199天续期证书。 标准版、DigiCert（SecureSite、GeoTrust、TrustAsia）：199天。 操作步骤 1. 登录证书管理服务控制台。 2. 选择“SSL证书管理 > SSL证书列表”或“私有证书管理 > 私有证书列表”。 3. 选择需要进行重颁发的证书，单击“操作”列的“重颁发”。 4. 填写证书申请的相关信息。 参数 说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。只可删减其他域名。 密钥算法 可选择“RSA”、“ECC”或“SM2”。 证书请求文件 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 私钥文件 填写您的CSR私钥。 您可以单击“上传”并选择存储在本地计算机的证书私钥文件，将文件内容上传到文本框，或者使用文本编辑工具打开KEY格式的证书私钥文件，复制其中的内容并粘贴到该文本框。 5. 单击“确定”，提交申请。 证书状态更新为“申请审核中重颁发”。申请通过后，证书状态将更新为“已签发”。 新证书签发后，原证书吊销说明： 品牌 是否吊销 吊销说明 CFCA 是 原证书将在3天内吊销。 GlobalSign 否 原证书与新证书可同时使用。 标准版、DigiCert（SecureSite、GeoTrust、TrustAsia） 吊销的场景：仅当申请重颁发时删减域名，原证书将在新证书签发3 天后吊销。 不吊销的场景：其他场景不吊销原证书。

本页介绍了文档数据库服务参数。 能否调整实例的时区设定 鉴于无法调整文档数据库服务的时区设置，您可以通过在应用程序中获取当前时间并将其插入到表中的方式来处理。 用户需要关注实例的哪些参数 storage.engine 这个参数用于指定 MongoDB 使用的存储引擎，默认为 WiredTiger。可以根据需求选择其他存储引擎，如 InMemory 引擎或 MMAPv1 引擎。 storage.wiredTiger.engineConfig.cacheSizeGB 对于使用 WiredTiger 存储引擎的 MongoDB，这个参数用于配置缓存大小，即存储引擎使用的内存量。根据数据量和可用内存设置合适的值。 net.maxIncomingConnections 这个参数限制 MongoDB 实例可以同时处理的连接数。通过适当设置这个参数，可以控制 MongoDB 的并发连接数量。 security.authorization 使用这个参数可以启用或禁用 MongoDB 的访问控制功能。设置为 true 时，需要进行身份验证才能访问 MongoDB。 MapReduce提示不支持JavaScript MapReduce是一种用于对大型数据集进行处理和分析的功能强大的工具。然而，从安全性和性能方面考虑，在某些情况下可能会限制使用JavaScript代码，包括在MapReduce中执行JavaScript代码。 这种限制的目的是为了减少潜在的安全风险，避免不当的代码执行以及提高执行效率。JavaScript代码的执行可能会引起一些潜在的问题，例如代码注入攻击和性能下降。 为了安全考虑，mongodb默认限制了JavaScript脚本的执行。 文档数据库服务数据一致性策略：writeConcern与readConcern的运用与限制 MongoDB的写入和读取是数据库操作中重要的两个方面。为了确保数据的可靠性和一致性，MongoDB提供了writeConcern和readConcern这两个机制。 当我们谈论writeConcern时，实际上是在谈论写入操作的策略。通过配置writeConcern，我们可以控制数据写入的行为。例如，当我们将writeConcern设置为"majority"级别时，MongoDB会确保数据被写入到大多数节点上，从而降低了数据丢失的风险。这意味着，即使部分节点发生故障，大多数节点仍然保存着相同的数据，保障了数据的可靠性。 而readConcern则是与读取操作相关的策略。当我们设置readConcern为"majority"级别时，MongoDB会确保所读取的数据已经被写入到了大多数节点上。这就消除了因为读取操作而引起的脏读问题，因为我们可以确信读取到的数据已经经过大多数节点的确认。 然而，需要注意的是，目前文档数据库服务并不直接支持设置readConcern为"majority"级别。但这并不妨碍我们保障数据的一致性。通过设置writeConcern为"majority"，我们可以将数据写入到大多数节点，从而实现了大多数节点数据的一致性。随后，通过读取单个节点的数据，仍然可以保证读取到的内容是已经经过多数节点确认的，避免了脏读的问题。

ServiceComb引擎 ServiceComb引擎采用的注册发现中心Apache ServiceComb Service Center，是一个RESTful风格的、高可用无状态的服务注册发现中心，提供微服务发现和微服务管理功能。服务提供者可以将自身的实例信息注册到服务注册发现中心，以供服务消费者发现并使用。ServiceComb引擎可无缝兼容Spring Cloud、ServiceComb等开源生态。关于Apache ServiceComb Service Center的详细内容请参考： ServiceComb引擎分为1.x、2.x版本。 ServiceComb引擎2.x版本是可支持大规模微服务应用管理的商用引擎。您可根据业务需要选择不同规格，引擎创建完成后不支持规格变更；引擎资源独享，性能不受其他租户影响。 相较于ServiceComb引擎1.x版本，ServiceComb引擎2.x版本底层架构、功能、安全及性能全面升级，提供了独立的服务注册发现中心和配置中心，支持基于用户业务场景的定义和治理。两个版本的特性比对请参见下表。 表 ServiceComb引擎2.x和ServiceComb引擎1.x特性比对 功能 特性 2.x 1.x 备注 引擎管理 安全性 支持安全认证 √ √ 引擎管理 可靠性 3AZ高可靠 √ √ 微服务管理 基础能力 注册发现 √ √ 微服务管理 基础能力 多框架接入 √ √ 支持Spring Cloud、ServiceComb Java Chassis、Dubbo、Go Chassis。 微服务管理 基础能力 无实例版本自动清理 √ x 2.3.7及以后版本，支持保留最近3个微服务版本，并自动清理无实例版本。 微服务管理 性能 实例变化毫秒级推送 √ √ 配置管理 基础能力 管理配置 √ √ 配置管理 基础能力 配置格式多样化 √ 仅支持文本 2.x新增支持配置格式有：YAML、JSON、TEXT、Properties、INI、XML。 配置管理 基础能力 导入导出 √ √ 2.x新增支持设置导入相同配置策略。 配置管理 高级特性 历史版本 √ x 配置管理 高级特性 版本对比 √ x 配置管理 高级特性 一键回滚 √ x 配置管理 高级特性 配置标签 √ x 配置管理 性能 秒级下发 √ x 微服务治理 业务场景化治理 业务场景定义 √ x 微服务治理 业务场景化治理 基于请求Method的匹配规则 √ x 微服务治理 业务场景化治理 基于请求Path的匹配规则 √ x 微服务治理 业务场景化治理 基于请求Headers的匹配规则 √ x 微服务治理 治理策略流量控制 服务端的令牌桶限流 √ √ 微服务治理 治理策略重试 客户端通过重试来保证用户业务的可用性、容错性、一致性 √ √ 微服务治理 治理策略熔断 服务端通过熔断故障业务，防止故障蔓延到整个服务，发生大规模故障 √ √ 微服务治理 治理策略隔离仓 服务端基于信号量控制请求并发能力 √ x 开发工具 本地轻量化引擎 本地一键启动，方便开发者离线开发微服务 √ √

为了极致的使用体验,本文帮助您更快了解如何主动访问公网。 单个ECS访问公网 当您的某台ECS需要主动访问公网，可以为ECS绑定EIP，即可实现公网访问。天翼云提供多种计费方式（按需、按流量等）供您选择，无需使用时支持灵活解绑。 图3 EIP 多个ECS访问公网 当您的VPC内ECS都有公网访问需求时，可以使用NAT网关服务，按子网配置SNAT规则，轻松构建VPC的公网出口。对比EIP访问公网，在未配置DNAT规则时，外部用户无法通过公网直接访问NAT网关的公网地址，保证了ECS的相对安全。 图4 NAT网关

资源名称 收费情况说明 虚拟私有云 免费 子网 免费 路由表 免费 对等连接 免费 弹性网卡 免费 辅助弹性网卡 免费 IP地址组 免费 安全组 免费 网络ACL 免费 VPC流日志 如果您使用了VPC流日志，则VPC流日志使用的云日志服务需要支付费用。 流量镜像 免费 弹性公网IP和带宽 如果您使用了弹性公网IP和带宽的相关资源，则需要支付费用。 弹性公网IP：收取弹性公网IP保有费。 您购买的按需计费弹性公网IP未绑定至任何实例（如ECS、ELB）时，会收取弹性公网IP保有费。 固定带宽：弹性公网IP以及共享带宽的带宽费用。 带宽流量：按需计费(按流量计费)弹性公网IP的流量费用。 VPC终端节点 公测阶段暂不收费。

本小节介绍云下一代防火墙新建子网及网卡。 1.登录云主机控制台，打开虚拟私有云，创建子网。 2.创建子网，保证创建子网与现有子网不冲突即可。 3.创建子网，并自定义子网名称和网段。 4.子网创建完成后，打开云下一代防火墙控制台页面，选择子网和安全组。 5.修改网卡属性，关闭源目检查。 网卡新增成功后，可进入云下一代防火墙web页面进行配置即可。

本节介绍云下一代防火墙到到期与欠费。 到期 云下一代防火墙到期后，请在3个工作日内完成续订，否则无法正常使用。 注意 所有在云下一代防火墙后挂载运行的业务均会有业务中断的风险，业务中断的风险及影响还请用户根据自身业务自行评估；云墙到期1天后会锁定配置，无法进行配置变更和运维处理。 欠费 另外当使用时长超出购买时长时，即属于欠费状态。 欠费后，系统会回收云下一代防火墙安全产品，上述产品中的所有配置和信息均无法恢复。 建议 请到期后立刻申请续订，按照官网流程提供续订申请； 如遇紧急业务故障，请将弹性IP解绑回业务主机进行业务恢复。

本章节介绍如何使用云原生网关实现后端双向TLS认证 概述 云原生网关作为代理服务接收下游服务（DownStream）请求，并转发到上游服务（Upstream）；对于上游服务来说，云原生网关收敛了外部的请求，统一经过网关转发到上游。从安全角度考虑，上游服务可以添加认证鉴权规则实现对网关的身份认证和访问鉴权，确保上游服务安全性；其中一种实现方式就是在上游服务配置TLS策略，要求网关转发请求时提供客户端证书，实现对网关的身份认证，具体流程如下： 云原生网关支持配置证书，用于实现请求后端服务时服务端对网关的证书认证，本文说明具体配置流程。 前提条件 1. 部署后端HTTPS服务，并配置要求请求客户端提供证书； 2. 已开通云原生网关实例； 部署后端服务 我们采用云容器引擎部署后端服务，镜像采用我们的demo应用（已配置证书，并要求客户端请求时提供证书），部署完成后在云容器引擎控制台可以看到容器启动： 还需要部署关联到工作负载的Service，用于暴露工作负载，如下：

查看监控详情 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”。 3. 在域名监控列表找到需要查看监控数据的域名，单击操作列的“监控详情”。 4. 查看详细监控数据。 监控数据说明如下： 分类 参数 说明 概览 安全等级 域名安全评级。 概览 监控状态 扫描中 正常 概览 ATS 满足 不满足 概览 PCI DSS 满足 不满足 证书信息 SSL证书信息 通用名称：当前SSL证书的通用名称。 签名算法：当前SSL证书使用的签名算法。 证书透明（CT）：当前证书签发行为是否透明公开。true表示公开。 证书品牌：当前SSL证书的版本。包括标准版、SecureSite、GeoTrust、GlobalSign、CFCA、TrustAsia。 证书类型：当前SSL证书的种类。包括DV、OV、EV。 开始时间：当前SSL证书签发时间。 结束时间：当前SSL证书到期时间。 组织机构：组织名称。 备用名称：当前SSL证书的备用名称。 证书信息 证书链信息 颁发给：需要颁发证书的域名。 颁发者：SSL证书的颁发机构名称。 有效期：证书有效期。 协议与套件 协议 展示TLS协议类型的支持情况。 协议与套件 SSL漏洞检测 展示SSL漏洞检测信息。 协议与套件 套件 展示支持的加密套件详情。

云堡垒机能对上传文件进行安全检测吗？ 不能。 云堡垒机是运维安全管理与审计平台，不支持对上传文件进行检测。 上传/下载文件失败怎么办？ 通过Web运维上传下载失败 问题现象 下载“云主机文件”到“主机网盘”，即下载文件到用户个人主机网盘时，提示下载失败错误。 上传文件失败，提示“/3.0/h5FileService/upload403：服务错误，请稍后重试”。 从本地上传文件到“主机网盘”，即上传到用户个人主机网盘时，提示“个人网盘空间不足，请清理网盘或联系管理员增加网盘空间”或“网盘存储空间不足”。 上传/下载大文件失败。 客户使用debian+rdp协议上传文件失败。 客户使用zoc客户端工具上传文件失败。 排查思路及解决办法 图 排查思路图 表 解决办法 排查步骤 可能的原因 解决办法 排查待上传/下载的文件是否打包成压缩文件 堡垒机不支持下载文件夹， 需要把文件夹打包成压缩文件才可以上传/下载。 把文件夹打包成压缩文件，再进行上传/下载。 排查是否配置了上传/下载权限 未开启资源“文件管理权限”，也未授权用户“文件管理”的上传/下载权限。 1. 开启资源“文件管理”权限。 2. 授权用户“文件管理”的上传/下载权限。 排查浏览器的缓存空间 浏览器的缓存空间不足 用户手动清理浏览器缓存空间后，再次上传。 排查“个人网盘空间”是否还有可存储容量 “个人网盘空间”不支持自动定期清理，“个人网盘空间”容量小，个人网盘空间不足，甚至系统剩余可用存储空间不足。 l 用户手动清理用户个人主机网盘文件，释放出可用空间。 l 管理员用户重新设置个人网盘空间。 排查上传/下载的文件是否太大 上传/下载的文件太大 l 用户将大文件切割成1G左右的小文件，分批次上传/下载。 排查Web登录超时时间配置是否不合理 上传/下载大文件耗时较长，且Web登录连接超时，导致上传/下载超大文件失败。 l 用户上传/下载过程中不定时返回上传/下载界面，保持云堡垒机在操作状态。 l 管理员用户修改Web登录超时时间。 l 管理员用户重新设置个人网盘空间。 排查客户端使用的协议和上传工具是否与云堡垒机兼容 云堡垒机暂不支持debian+rdp协议和zoc工具上传/下载文件。 使用云堡垒机支持的协议以及对应的客户端工具上传/下载文件： lSFTP 协议 ：Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上 lFTP 协议 ：Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上、FileZilla 3.46.3及以上

本文为您介绍精准访问控制功能说明，以及如何配置自定义访问控制策略。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 使用限制 基础版不支持精准访问控制功能，请升级到更高版本使用。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“精准访问控制”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入精准访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、过期时间、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截：选择拦截时，支持开启“攻击惩罚”。 说明 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。

本节为您介绍数据迁移产品咨询相关问题。 我在什么场景下使用数据迁移工具？ 当您需要将其余云服务商的数据迁移上天翼云时，您可以使用数据迁移工具帮助您有序、安全、便捷、轻松地将数字资部分或完全迁移到天翼云，同时保证云上业务的可用性、安全性以及连续性。 数据迁移工具是否支持从阿里云、天翼云等其余云迁移至天翼云？ 支持。 数据迁移工具支持市面上主流云厂商的数据迁移至天翼云，如阿里云、天翼云、AWS以及腾讯云等； 数据迁移工具是否支持将天翼云上的数据，迁移到其余云服务商或本地？ 不支持。 数据迁移工具迁移目标端仅能够选择天翼云，无法将天翼云数据迁移到本地或其他云服务商。 当我使用数据迁移工具时，是否能够要求天翼云技术人员帮助迁移？ 天翼云技术人员不直接参与您的业务迁移，您可以通过查看帮助中心，然后实行迁移； 若帮助中心未涉及您的问题，您可通过页面反馈问题，相关技术人员后续对内容进行补充； 若您需要专业的迁移方案和专属的技术支持，您可以订购我们的迁移服务，帮助您平滑迁移业务，缩短整体业务停机时间，减少上云对业务的影响，解除您的上云顾虑，让您聚焦于业务发展。

本节为您介绍云迁移产品咨询相关问题。 我在什么场景下使用CMS服务？ 当您需要将云下或者其余云服务商的主机迁移上天翼云或将天翼云的云主机迁移到其他资源池下时，您可以使用CMS服务帮助您有序、安全、便捷、轻松地将数字资产、服务、IT资源及应用程序，部分或完全地进行迁移，同时保证云上业务的可用性、安全性以及连续性。 CMS是否支持从阿里云、天翼云等其余云迁移至天翼云？ 支持。 CMS支持市面上主流云厂商迁移至天翼云，如阿里云、天翼云、AWS以及移动云等； 同时也支持将本地云主机迁移至天翼云。通常情况下同处理器架构都可以通过CMS服务迁移上天翼云。 如果用户已经在天翼云上创建了云主机，但想更换资源池、可用区或把云主机更换到另一账户，也可使用云迁移服务CMS。 CMS是否支持将天翼云上的云主机，迁移到其余云服务商或本地？ 不支持。 CMS服务公有云版仅能够选择天翼云上的云主机作为目标端进行迁移，无法迁移到本地或其他云服务商。 如果客户有本地迁移或内网迁移需要，可以参考云迁移专家服务联系到云迁移团队付费进行私有场景的迁移。

场景三：微服务领域的注册中心场景 在微服务场景里，利用ZooKeeper的注册和监听功能。ZooKeeper可以用作Dubbo和Spring Cloud的注册中心。 MSE提供的ZooKeeper企业级服务 MSE提供的ZooKeeper企业级服务，分为单机版和集群版两种，更多关于单机版和集群版的功能特性，请参见版本特性。 优势一：稳定高可用 多AZ部署：平均部署可用区，提高集群容灾能力。例如，当一个5节点的ZooKeeper集群，部署在3个可用区的时候，它应该是2/2/1的分布，任意一个可用区出现故障，不影响ZooKeeper的整体可用性。 高可用负载均衡：MSE ZooKeeper自动对用户请求做负载均衡，会把请求压力均衡到后端的节点上去，并且能保障请求会到监控正常的节点上面去。 数据安全：MSE ZooKeeper提供了快照备份能力，在集群出现意外状况时候，能快速重建恢复集群的数据，保障数据的安全。 优势二：可观测性增强 提供监控中心：MSE ZooKeeper提供了多达20余项常用的监控指标，包括业务指标和系统资源指标等，供您免费开启使用。 支持核心告警规则：支持配置告警规则，一旦发生指标异常，及时进行告警，可以满足日常运维使用。

本文为您介绍云间高速(标准版)EC 产品的定义和产品架构。 什么是云间高速（标准版） 云间高速（标准版）EC（ Express Connect standard）产品基于中国电信坚实而强大的骨干网络架构，为广大用户带来一种突破性的全新体验。这项创新性产品注重高速、安全和稳定，凭借其卓越的性能，为企业提供了独特而强大的混合组网能力。 在当前迅速发展的数字时代，企业面临着日益复杂的网络需求。云间高速(标准版)产品以其卓越的性能为支撑，积极响应并满足了企业云上云下的要求，无论是跨区域的通信还是多网络的协同，都得以灵活而高效地实现。 云间高速(标准版)不仅仅提供了传统网络的高速性能，更加注重安全性与稳定性的结合。用户可将关键数据和敏感信息传输至云端，而无需担忧泄露或中断。企业用户可倚仗这一强大能力，打造出一个真正具备企业级规模和通信能力的云上网络。 相关术语解释 云间高速实例 云间高速（标准版）实例是一体化网络的创建与管理基础资源。完成实例创建后，可在对应资源池区域创建云企业路由器，将需互通的网络实例加载至云企业路由器，并购买带宽包、配置跨区域互通带宽，即可实现全网资源互通。

本文向您介绍因开启UseDNS导致SSH连接缓慢的解决方法。 问题现象 您的操作系统开启了UseDNS后，使用SSH方式连接云主机，出现停顿等待且需要较长时间才可连接的现象。 根因分析 UseDNS特性是SSH服务的安全增强特性，登录过程中会进行DNS正/反解析，验证客户端的主机名和IP是否一致，以增强登录验证的安全性。开启后，由于连接过程会增加DNS解析过程，加长了SSH连接时间。通常情况下，客户端使用的是动态IP，没有相应的PTR记录。如果开启该特性，不仅无法用于信息比对，反而由于相关查询操作增加了操作延迟，最终导致客户端连接速度变慢。因此关闭UseDNS可加快SSH连接速度。 执行如下命令确认是否开启了UseDNS选项，如果该选项值为“yes”或者为注释行则说明已开启该选项。 grep UseDNS /etc/ssh/sshdconfig 处理方法 1. 执行以下命令，编辑/etc/ssh/sshdconfig文件。 vi /etc/ssh/sshdconfig 2. 修改UseDNS选项值为no（注意配置文件格式）。 UseDNS no 3. 重启sshd服务，无报错则为重启成功。 CentOS6/ubuntu执行： service sshd restart CentOS7/CtyunOS执行： systemctl restart sshd

本文主要介绍OBS跨区域复制相关问题。 我在什么场景下需要使用跨区域复制？ 客户需要在多地访问相同的OBS资源。为了最大限度缩短访问对象时的延迟，您可以使用跨区域复制，在离客户较近的区域中创建对象副本。 由于业务原因，您需要将OBS数据从一个区域的数据中心迁移至另一个区域的数据中心。 出于对数据安全性以及可用性的考虑，您希望对所有写入OBS的数据，都在另一个区域的数据中心显式地创建一个备份，以防止在数据发生不可逆损毁时，有安全、可用的备份数据。 删除对象操作会同步复制到跨区复制的桶中吗？ 不会，删除操作不同步。 启用跨区域复制规则后，符合以下条件的对象会复制到目标桶中： 新上传的对象（归档存储对象除外）。 有更新的对象，比如对象内容有更新，或者某一对象跨区域复制成功后源桶对象ACL设置有更新。 创建跨区域复制规则后，为什么对象没有复制到目标桶中？ 创建跨区复制规则前，桶中已有的对象不会复制到目标桶中。 新上传的对象存储类别为归档存储。 跨区域复制不保证时效性，配置跨区域复制规则后，可能会出现对象不会立即进行复制的情况，请耐心等待。

在云智手机内下载和看视频消耗自己手机流量吗？ 在云智手机内下载和看视频仅消耗使用云智手机客户端时图像、声音等数据传输所需的流量。 可以在云智手机上安装并使用ios应用吗？ 不支持。暂时只支持安卓应用。 云智手机是否支持绑定sim卡？ 暂不支持。 云智手机使用应用无法获取当前地理位置怎么办？ 云智手机支持定位功能，如提示无法获取，请首先确认本地手机的定位功能是否开启，并允许云智手机获取本地定位权限。 提示内存不足怎么办？ 您可使用云手机自带应用【手机管家】，进行内存清理。您也可以在该应用中管理应用开机自启动和内存清理白名单。 云智手机支持哪些操作系统？ 云智手机搭载Android 13操作系统，可以安装并流畅运行市面上绝大部分安卓应用。 退出云智手机客户端后，云智手机会关机吗？ 退出云智手机客户端后，后台云智手机将处于离线运行的状态。30分钟后将自动关机，重新连接后即可恢复开机运行。 是否可以安装应用？在哪里安装应用？ 可通过云智手机内置的“应用市场”下载并安装。 云智手机内的个人信息和数据安全吗？ 云智手机内个人信息和数据均存储在云端不落地，且传输经过多重加密，有效防止被恶意泄露或窃取，提供云上安全防护保障。