相关服务 交互功能 弹性云主机(ECS) 关系数据库MySQL版服务配合弹性云主机 (Elastic Cloud Server，简称ECS)一起使用，通过内网连接关系数据库MySQL版可以有效地降低应用响应时间、节省公网流量费用。 虚拟私有云(VPC) 对您的关系数据库MySQL版实例进行网络隔离和访问控制。 对象存储服务(ZOS) 存储关系数据库MySQL版实例的自动和手动备份数据。 分布式数据库中间件服务(DRDS) 对于关系数据库MySQL版，使用分布式数据库中间件服务(Distributed Relational Database Service 简称 DRDS)，后端对接多个数据库实例，实现分布式数据库的透明访问。 数据迁移工具(DTS) 使用数据复制服务，实现数据库平滑迁移上云。 数据库管理工具(DMS) 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 数据库专家服务 专家团队为您提供数据库安装部署、健康巡检、应急响应、性能调优、架构规划设计、数据迁移咨询、备份恢复咨询等各类数据库专业服务，解决数据库各类问题，为您的数据库系统保驾护航。

参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 姓名 填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见： 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选“管理角色”、“审计角色”和“访问角色”。 用户组 选择该账户所属的用户组，用户组操作请参见： 认证方式 选择认证方式，可选“静态认证”和“令牌认证”。 生效时间 选择该账户可登录的时间段。 准入IP 选择可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

在Windows环境使用ODBC连接 1. 解压Windows版本的ODBC驱动包“dwsodbcdriverforwindows.zip”，并安装“psqlodbc.msi”。 2. 解压SSL证书压缩包，并准备证书文件。 用户可以根据实际情况选择自动或手动部署方法。 自动部署： 双击"sslcertenv.bat"文件，即可完成证书的默认位置的部署。 说明 该sslcertenv.bat为了保证证书环境的纯净，在%APPDATA%postgresql目录存在时，会提示是否需要移除相关目录。如果有需要，请备份该目录中的文件。 手动部署： a.在“%APPDATA%”目录创建一个新文件夹，并命名为“postgresql”。 b.将证书文件包中的“client.crt”、“client.key”、“client.key.cipher”、“client.key.rand”文件保存至“%APPDATA%postgresql”目录，并且将文件名中的client改为 postgres ，例如“client.key”修改为“postgres.key”。 c.将“cacert.pem”文件保存至“%APPDATA%postgresql”目录，并更名为“root.crt”。 3. 打开驱动管理器 因为目前DWS 只提供了32位的ODBC驱动程序，所以只支持32位的应用程序开发 ；在配置数据源时，也请使用32位的驱动管理器（假设操作系统安装盘符为C:盘，如果是其他盘符，请对路径做相应修改）： 64位操作系统请使用：C:WindowsSysWOW64odbcad32.exe 请勿直接使用“控制面板>系统和安全>管理工具>数据源(ODBC)”。 说明 WoW64的全称是"Windows32bit on Windows 64bit"，C:WindowsSysWOW64存放的是64位系统上的32位运行环境。而C:WindowsSystem32存放的是与操作系统一致的运行环境，具体的技术信息请查阅Windows的相关技术文档。 32位操作系统请使用：C:WindowsSystem32odbcad32.exe 或者单击“开始菜单>控制面板>系统和安全>管理工具>数据源(ODBC)”打开驱动管理器。 4. 配置连接数据源。 a.在打开的驱动管理器上，选择“用户DSN>添加>PostgreSQL Unicode”，然后进行配置。 详见下图：配置连接数据源 其中，配置项“Server”和“Port”的值，可以在DWS 的管理控制台查看。请登录DWS 管理控制台，单击“连接管理”， 在“数据仓库连接字符串”区域，选择指定的集群，获取该集群的“内网访问地址”或“公网访问地址”。具体步骤请参见获取集群连接地址。 b.单击“Test”验证连接正确，界面提示“Connection successful”。 5. 编写ODBC样例程序连接数据源。 ODBC接口不提供重试连接数据库的能力，您需要在业务代码中实现重试连接的处理。 样例代码如下： // 此示例演示如何通过ODBC方式获取DWS 中的数据。 // DBtest.c (compile with: libodbc.so)

虚拟私有云支持主动访问公网,本文带您快速了解通过单个ECS访问公网和多个ECS访问公网。 单个弹性云主机访问公网 当您的某台弹性云主机需要主动访问公网，可以为弹性云主机绑定弹性IP，即可实现公网访问。 多个弹性云主机访问公网 如果您有多个弹性云主机实例需要访问公网，可以使用NAT网关服务，并将多个弹性云主机实例与NAT网关关联。按子网配置SNAT规则，轻松构建VPC的公网出口。对比弹性IP访问公网，在未配置DNAT规则时，外部用户无法通过公网直接访问NAT网关的公网地址，保证了弹性云主机的相对安全。 对于可用区资源池，云主机使用弹性IP或者NAT网关的操作方法可以参考如何通过弹性IP或者NAT网关访问公网页面。

本文主要介绍VPC流日志简介。 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 注意 VPC流日志本身是免费的，但需要为使用过程中用到的其他云资源付费。例如，流日志数据存储在云日志服务中，将按云日志服务的标准收费，详情请参考云日志服务用户指南。 说明 VPC流日志功能支持区域： 华北华北，广东，广州4，北京北京2， 江苏苏州, 重庆重庆，陕西西安2，上海上海4，贵州贵州，湖南长沙2， 福建福州，浙江杭州，湖北武汉2，四川成都3，江西南昌 VPC流日志功能需要与云日志服务LTS结合使用，先在云日志服务中创建日志组和日志主题，然后再创建VPC流日志。配置流程如下图所示。 图配置VPC流日志 约束与限制 一个用户在单个区域内，最多可创建10个VPC流日志。

跨VPC后端 跨VPC后端支持添加通过以VPC对等连接、VPN连接与专线连接互通的后端云主机。使用跨VPC后端功能时，请注意以下事项： 请前往负载均衡器基本信息页面开启跨VPC后端功能，否则该功能无法正常使用。 添加的跨VPC后端的IP地址只允许为IPv4类型的地址。 若要使用跨VPC后端功能，请先正确配置VPC路由，确保后端可达。 只有TCP，HTTP，HTTPS类型监听器支持跨VPC后端功能。 请确保负载均衡器的后端子网有足够的IP地址（至少有16个可用IP地址），否则该功能无法正常使用。可以通过负载均衡器的“基本信息 > 后端子网”添加多个后端子网来增加后端子网的IP地址。 跨VPC后端的安全组规则必须放通负载均衡器的后端子网网段，否则会导后端业务流量与健康检查异常。 跨VPC后端功能开启后无法关闭。 通过跨VPC后端功能添加的后端云主机，默认的源地址透传功能会失效。

参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID 58c5689018334b30a08ff9a3f8d5f314 autoPay 是 String 预付费下单自动支付 true engineType 是 String 引擎类型 nacos、zookeeper cycleType 是 String 订购周期类型，3表示按月订购，cycleCnt属性为1表示订购1个月；101表示按需订购，此时cycleCnt不需要赋值 3 cycleCnt 是 String 订购周期，取值范围：值需大于零，不超过60个月 12 autoRenewStatus 否 String 仅包周期有效 是否自动续订 true autoRenewCycleType 是 String 3按月，autoRenewStatus为true时需要传 3 autoRenewCycleCount 是 String 周期数，autoRenewStatus为true时需要传 1 resSize 是 Integer 集群数量resSize，3,5,7,9 3 cpuNum 是 Integer CPU核数 4 memSize 是 Integer 内存8G 8 securityGroupUuid 是 String 安全组ID,对应vpc列表接口返回的foreigngroupid 59893 vpcUuid 是 String VPCID对应vpc列表接口返回的networkId 60144 subnetUuid 是 String 子网ID对应子网列表接口返回的subNetworkId 25024 azInfo 是 Array of Objects 可用区信息 azInfo

网站扫描查看漏洞修复建议的方法。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 查看网站资产列表，相关参数说明如下表所示。 参数 参数说明 域名信息 域名/IP地址 域名别称 认证状态 “已认证” ：目标域名已完成域名认证。 “未认证” ：目标域名未完成域名认证。单击“去认证”进行域名认证。 上次扫描时间 域名最近一次扫描任务的时间。 上一次扫描结果 域名最近一次扫描结果信息，包括得分和各等级的漏洞数量。单击得分或者“查看详情”，进入“扫描详情”界面查看扫描概况。 5. 在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情。 6. 选择“漏洞列表”页签，查看漏洞信息。 7. 单击漏洞名称，查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”，用户可以根据修复建议修复漏洞。

本节介绍如何添加WAF防护策略。 前提条件 已添加防护网站。 约束条件 一个防护域名只能绑定一个防护策略。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在列表的左上角，单击“添加防护策略”。 步骤6 在弹出的对话框中，输入策略名称，单击“确定”。 步骤7 在目标策略所在行，单击策略名称，进入防护规则配置页面。 相关操作 若想修改策略名称，单击目标策略名称后的编辑按钮，在弹出的对话框中，重新输入新的策略名称即可。 若想删除添加的防护策略，在目标策略所在行的“操作”列，单击“删除”。 如果您想批量删除防护策略，勾选需要删除的策略，单击策略列表上方的“批量删除”。

此小节介绍删除防护域名，您可以通过Web应用防火墙服务对不再防护的网站执行删除操作。 前提条件 已添加防护域名。 系统影响 删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标防护域名所在行的“操作”列中，单击“删除”，进入删除防护域名对话框界面。 步骤6 在删除防护网站对话框中，确认删除防护网站。如果需要保留该域名绑定的防护策略，可以勾选“保留该域名的防护策略”。 步骤7 单击“确定”，页面右上角弹出“删除成功”，则说明删除操作成功。

图片上传到OOS后，可以通过以下两种方式生成url访问，但是图片会以附件形式下载到本地： 将Bucket设置为公共读，然后按照模板访问，模板：BucketName.ooscn.ctyunapi.cn/ObjectName，或者ooscn.ctyunapi.cn/BucketName/ObjectName。 通过生成共享链接： 使用SDK中的generatePresignedUrl(GeneratePresignedUrlRequest)方法，生成共享链接 URL。 使用控制台“存储桶列表”>“文件列表”页文件分享功能生成共享链接。 基于安全合规要求， OOS禁止通过OOS的默认域名（存储桶访问地址或存储桶自定义域名）在线预览图片、网页等类型的文件，而是以附件形式下载。如果想通过url直接访问预览，需要通过静态网托管功能实现，即将已备案自定义域名和存储桶进行绑定，然后通过访问自定义域名实现在线预览。为Bucket绑定自定义域名请先联系天翼云客服申请，然后可以通过以下方法配置静态网站托管功能： 通过控制台进行配置，详见网站。 通过API进行配置，详见PUT Bucket Website。

创建托管前，需先创建托管视图，本节介绍如何创建托管视图。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间托管”，进入空间托管管理页面。 4. 在“托管视图”页签中，单击“创建托管视图”，右侧弹出创建托管视图页面。 5. 配置托管视图参数。 参数名称 参数说明 托管视图名称 设置托管视图名称。 绑定空间名称 选择需要绑定的工作空间。 描述 自定义托管视图描述信息。 6. 单击“确定”。 创建成功后，可以在“空间管理”或“空间托管”页面中查看已创建的托管视图。 相关操作 编辑托管视图 1. 在待编辑托管视图所在行“操作”列，单击“编辑”。 2. 在弹出的编辑托管视图中，修改托管视图参数后，单击“确定”。 删除托管视图 1. 在待删除视图所在行“操作”列，单击“删除”。 2. 在弹出确认框中，单击“确认”。

本章主要介绍API认证鉴权常见问题。 是否支持HTTPS的双向认证？ 专享版：支持，在创建API时，可配置双向认证。 “无认证”方式的API该怎么鉴权与调用？ “无认证”即API网关对收到的调用请求不做身份认证，您只需要按照API提供者提供的接口说明，封装规范的HTTP请求，发送给API网关即可。 说明 无认证方式下，API网关把请求内容透传给后端服务。因此，如果您希望在API后端服务进行鉴权，可以使用“无认证”方式，API调用方传递鉴权所需字段给后端服务，由后端服务进行鉴权。 TLS加密协议支持什么版本？ API网关支持TLS 1.1及TLS 1.2版本，暂不支持TLS 1.0或TLS 1.3。 安全认证签名的内容是否包括Body体 包括。除了几个必选的请求头部参数，Body体也是签名要素之一。例如有一个使用POST方法上传文件的API，那么在签名过程中，会取这个文件的hash值，参与生成签名信息。

本文介绍HBlock、CSI插件和Cinder驱动插件的生命周期策略。 通过HBlock、CSI插件和Cinder驱动插件的产品生命周期支持策略，您可以了解各生命周期阶段的服务变化，以便合理规划产品使用与续保服务，有序实施版本更新或升级，最大限度保证数据安全及业务连续性。 定义 阶段 服务支持 全面支持阶段（General Availability，GA） 产品发布，进入全面支持阶段，针对该阶段发现的软件缺陷和安全漏洞提供修复版本，维护产品更新和升级。 终止支持阶段（End of Support Life，EOSL） 停止该版本产品所有支持，请尽快升级到提供支持的产品版本。 HBlock各版本生命周期 版本 全面支持阶段 终止支持阶段 4.0 2026年03月24日 2028年09月24日 3.10 2025年09月25日 2028年03月25日 3.9 2025年04月21日 2027年10月21日 3.8 2025年02月14日 2027年08月14日 3.7 2024年08月08日 2027年02月08日 3.6 2024年06月03日 2026年12月03日 3.5 2024年03月04日 2026年09月04日 3.4 2023年07月12日 2026年01月12日 3.3 2022年12月23日 2025年06月23日 3.2 2022年09月26日 2025年03月26日 3.1 2022年06月14日 2024年12月14日 3.0 2022年01月18日 2024年07月18日 2.1 2021年08月27日 2024年02月27日 2.0 2021年05月28日 2023年11月28日

本文带您了解VPC终端节点的功能特性。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端VPC内部的的网络信息，使您的访问更加安全、可靠。当前支持“接口”类型终端节点服务。 用户可通过创建“接口”类型终端节点服务，实现在指定的白名单用户间服务私有共享。 终端节点服务允许用户快速将其服务发布到内部网络，通过白名单授权管理，确保在确保安全的前提下，能够灵活地管理可访问的用户。这种方式可以使用户能够方便地通过内部网络共享服务。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以使用终端节点连接在VPC中自己创建终端节点服务后端应用程序，也可以通过终端节点连接天翼云提供原生服务，天翼云终端节点支持“接口”和“反向”两种类型终端节点 。 “接口”类型终端节点：是具备私有IP地址的弹性网络接口，“接口”类型终端节点可作为VPC用户访问云服务入口，为VPC提供主动访问云服务能力，"接口"类型终端节点可连接自建服务，也可以连接天翼云云提供的原生服务。 "反向"类型终端节点：同样是具备私有IP地址的弹性网络接口，"反向"类型终端节点为服务主动访问用户VPC资源的出口，服务可通过此类型终端节点主动访问VPC内的资源。

本章节进行API网关整体介绍 概述 API网关是API 托管服务，提供 API 的完整生命周期管理，包括创建、维护、发布、运行、下线、运维监测、安全管控等阶段。通过API网关服务，可以将您的数据、业务逻辑或功能安全可靠的开放出来，以快速建设以API为核心的系统架构，为业务系统、合作伙伴提供连接。 消费者 消费者通常是网关的调用方，比如可以是客户端程序等，所以通常也可以称为应用；当消费者请求路由到网关时，网关会对消费者进行识别。网关要判断这个调用者有没有访问当前路由的权限，如果没有，网关就会拒绝当前请求，否则就会通过路由请求并对请求进行进一步的处理。识别过程我们叫做鉴权，那么鉴权之前，为确保具有路由请求的权限，以允许对应消费者访问路由，会给目标路由进行授权，也即是消费者授权或者叫做应用授权。 摘要签名认证 当前网关支持的认证鉴权方式为摘要签名认证方式。API网关提供前端签名及验签能力，前端签名及验签主要两点用途： 1. 验证客户端请求的合法性，确认请求中携带授权后的AK生成的签名。 2. 防止请求数据在网络传输过程中被篡改。 API的拥有者可以在网关控制台的应用管理页面生成APP，每个APP会携带一对签名密钥（APP Key和APP Secret），API拥有者将API授权给指定的APP（APP可以是API拥有者颁发或者API调用者所有）后，API调用者就可以用APP的签名密钥来调用相关的API了。

第4章 服务范围 远程运维服务产品范围：天翼专有云、天翼公有云、天翼混合云的云产品，详见《服务协议》。 天翼云远程运维服务范围包含： 天翼云产品使用咨询、日常巡检、问题处理、故障处理、操作指导、最佳实践等。 天翼云产品相关操作的技术支持。 天翼云管理控制台相关的问题支持。 天翼云远程运维服务范围不包含： 应用的开发和运维，包括但不限于应用开发、部署、测试、问题诊断等。 IDC和硬件设备维护，包括网络设备、服务器、存储等硬件巡检、更换、诊断等（天翼云提供的除外）。 第三方软件问题，包括但不限于OFFICE、WPS办公软件等。 第5章 前提条件 客户需提前至少20个工作日申请远程运维服务，天翼云解决方案架构师评估需求可行性，确定是否提供远程运维服务。 运维专家现场服务2天起售，需提前15个工作日申请，现场服务只在远程运维服务的服务期内提供，运维专家现场服务工作时间为工作日9:00~18:00。 若已购买运维专家现场服务，客户须提供安全的办公环境，并保障天翼云驻场人员的人身安全。 运维专家现场服务，客户需签署运维进场和离场报告或签到表。 客户需在天翼云承接远程运维服务后，提供必要的访问通道、权限、授权、协助配合天翼云开展远程运维服务。 客户需审核天翼云制定的远程运维服务计划和服务方案，以书面形式（包括但不限于电子邮件）确认。如无正当技术理由，不能否定双方已确认的服务计划和服务方案。 客户需授权天翼云对云上资源和应用进行监控和分析。

1. 引言 服务网格接入虚机是为了让传统应用在不改造架构的前提下，也能获得服务网格的治理能力，例如统一的服务发现、流量控制、故障治理与安全通信，从而支撑平滑上云和系统演进。 2. 架构 3. 准备工作 3.1 创建网格实例 确保在控制面中已创建好可用的 服务网格实例，并确认网格状态为 Running。 后续步骤中的虚拟机将加入此网格实例以实现统一流量管理与安全控制。 注意 确保目标虚拟机和网格实例之间网络互通。 3.2. 创建接入网格的虚拟机 准备一台或多台计划纳入网格的虚拟机； 说明 权限要求：具备 root 或具有 sudo 权限的用户； 网络要求：可以访问到 容器集群 API Server 的地址； 3.3 上传 istioctl 与 kubectl 工具 下载并将以下二进制文件上传至虚拟机（例如存放于 /usr/local/bin）： istioctl kubectl 执行以下命令添加到系统环境变量： plaintext export PATH$PATH:/usr/local/bin 验证： plaintext kubectl version client istioctl version 3.4 配置 kubeconfig 文件 将容器集群的 kubeconfig 文件拷贝至虚拟机，使 kubectl 可正常访问主集群。 文件路径： ～/.kube/config 验证连接是否成功 kubectl get ns 若能列出命名空间列表，说明连接正常。 3.5 创建istioproxy用户 在虚拟机中创建 istioproxy 用户及用户组，用于运行 Sidecar 代理进程。 sudo useradd r M s /sbin/nologin istioproxy r 表示创建系统用户； M 不创建 home 目录； s /sbin/nologin 表示该用户不可直接登录； Sidecar 启动将以该用户身份运行。

本文介绍了使用天翼云防火墙（原生版）的使用流程和步骤说明。 一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界、内网VPC边界管控与安全防护，并提供实时入侵防护、全流量业务可视化、日志审计和分析等功能，帮助用户完成网络边界防护与等保合规业务。 使用流程 使用流程如下图： 互联网边界防护 操作步骤 说明 相关文档 购买云防火墙（原生版） 成功注册天翼云账号后，打开控制中心，切换资源池至目标资源池，选择云防火墙（原生版）产品，点击购买配额。 购买C100实例 开启防护 打开云防火墙（原生版）控制台，选择防火墙开关，开启防护。 开启弹性IP防护 开启公网NAT网关防护 开启弹性负载均衡防护 配置防护策略 购买成功后，打开云防火墙（原生版）控制台，配置访问控制策略和防护策略。 支持配置以下防护策略： 入向/出向防护规则：按照IP地址、端口、协议、应用等维度设置防护规则进行流量管控。 黑/白名单规则：按照IP地址进行流量管控，来自黑名单内的流量会直接拦截，来自白名单内的流量会直接放行。 入侵防御：根据入侵防御规则库拦截网络攻击，支持基础防御、虚拟补丁、DDoS防护。 配置互联网边界防护规则 配置入侵防御防护规则 查看防护结果 策略配置成功后，查看防护结果日志，防火墙成功开启。 日志审计

本文为您介绍Web应用防火墙相关名词的主要含义。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击，利用获取信息的标准的GET/POST请求，如请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。 跨站请求伪造 跨站请求伪造攻击是一种常见的WEB攻击手法。攻击者通过伪造非受害者意愿的请求数据，诱导受害者访问，如果受害者浏览器保持目标站点的认证会话，则受害者在访问攻击者构造的页面或URL的同时，携带自己的认证身份向目标站点发起了攻击者伪造的请求。 扫描器 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。 网页防篡改 网页防篡改为用户的文件提供保护功能，避免指定目录中的网页、电子文档、图片、数据库等类型的文件被黑客、病毒等非法篡改和破坏。 跨站脚本攻击 一种网站应用程序的安全漏洞攻击，攻击者将恶意代码注入到网页上，用户在浏览网页时恶意代码会被执行，从而达到恶意盗取用户信息的目的。 SQL注入 SQL注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到Web后台数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

DRDS实例创建成功后，默认未绑定弹性IP，不能使用公网访问功能。您可以为DRDS实例绑定弹性IP，来通过公网访问数据库实例。本文为您介绍DRDS绑定公网IP的具体操作。 为节点绑定/解绑弹性IP 您可以为DRDS实例的单个节点绑定弹性IP，绑定后，即可通过该节点的弹性IP访问数据库实例。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 前提条件 已创建弹性IP。具体操作，请参见申请弹性IP。 注意事项 绑定弹性公网IP后，请在安全组中设置严格的出入规则，以加强系统安全性。 在绑定弹性IP后，请将客户端公网出口IP加入至白名单中，否则将无法通过弹性IP访问数据库。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理， 进入实例基本信息页面。 4. 在连接信息 区域，找到目标节点，单击绑定弹性IP。 5. 在对话框中，选择弹性公网IP，单击绑定。 6. 使用弹性IP地址，连接DRDS节点。 7. 如果您不再需要使用弹性IP，单击解绑弹性IP，即可进行解绑。 为分组绑定ELB实例 您可以创建自定义分组并关联ELB实例，关联后，即可通过分组ELB实例的弹性IP来访问数据库实例。

介绍挂载点管理相关操作。 功能说明 产品控制台提供挂载点管理功能，用户可以便捷地管理文件空间的挂载点信息。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 使用说明 目前天津资源池2区、天津资源池3区支持挂载点管理操作。其他资源池挂载点信息可以参考文件空间管理。 NFS协议 添加挂载点 1. 登录控制台，选择文件系统菜单，进入【文件系统列表】，选择对应文件系统协议类型为【 NFS 】，在文件系统列表操作栏点击【 管理 】进入页面。 2. 进入文件空间管理页面后，点击【 添加挂载点 】。 3. 填写挂载点信息和权限管理，目前一个文件空间仅支持添加一个挂载点。填写完成后点击【确定】，完成添加操作。 用户映射说明 nosquash：使用root用户访问文件系统映射为root用户。 rootsquash：以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash：无论以何种用户身份访问，均映射为nfsnobody用户。 nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点，选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。 管理挂载点 1. 在管理页面可查看挂载点名称、挂载点信息、状态、创建时间等信息，包括对挂载点【管理权限组】、【禁用】操作。 2. 点击【禁用】，确认对该挂载点禁用后，用户将无法使用该NFS文件资源。 SMB协议

本章主要介绍开启跨域访问。 什么是跨域访问 浏览器出于安全性考虑，会限制从页面脚本内发起的跨域访问（CORS）请求，此时页面只能访问同源的资源，而CORS允许浏览器向跨域服务器，发送XMLHttpRequest请求，从而实现跨域访问。 图 跨域访问 浏览器将CORS请求分为两类： 简单请求 简单跨域请求的场景需要满足以下两个条件： a. 请求方法是HEAD，GET，或者POST。 b. HTTP的头信息不超出以下范围： Accept AcceptLanguage ContentLanguage LastEventID ContentType：取值范围：application/xwwwformurlencoded、multipart/formdata、text/plain 对于简单请求，浏览器自动在头信息之中，添加一个Origin字段，Origin字段用于说明本次请求来自哪个源（协议+域名+端口）。服务器根据这个值，决定是否同意这次请求。服务器响应消息中包含“AccessControlAllowOrigin”时，表示同意请求。 非简单请求 不满足简单请求两个条件的都为非简单请求。 对于非简单请求，在正式通信之前，浏览器会增加一次HTTP查询请求，称为预检请求。浏览器询问服务器，当前页面所在的源是否在服务器的许可名单之中，以及可以使用哪些HTTP请求方法和头信息字段。预检通过后，浏览器向服务器发送简单请求。 开启跨域访问 API网关默认不开启跨域访问，如果您需要开启，请参考以下说明完成跨域配置。如需自定义跨域的请求头、跨域的请求方法和指定授权访问的域，请使用跨域资源共享策略说明。 简单跨域访问 如果是创建新的API，在“安全配置”时，勾选“开启支持跨域（CORS）”开关。详细的使用指导，可参考[简单请求](

该任务指导用户通过漏洞扫描服务添加主机。 说明 漏洞扫描服务的基础版不支持主机扫描功能，如果您是基础版用户，请通过以下方式使用主机扫描功能： 购买专业版或企业版 按次购买主机扫描功能 按次一次性扣费，每次最多可以扫描20台主机。 操作场景 漏洞扫描服务支持添加Linux操作系统和Windows操作系统的主机。 Linux主机扫描支持主机漏洞扫描、基线检测、等保合规检测。 Windows主机扫描目前仅支持主机漏洞扫描。 前提条件 已获取管理控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 单击“添加主机”，进入“添加主机”页面。 5. 在“添加主机”页面，执行以下操作。 单个添加主机：单击“添加主机”，如下图所示。 添加主机配置参数说明： 参数名称 参数说明 主机名称 用户需要添加的主机名称。 IP地址 添加主机的公网IP地址。 操作系统类型 支持Linux操作系统和Windows操作系统。 是否使用跳板机 如果用户的主机需要通过代理IP才能访问，需要使用跳板机。 跳板机只支持Linux操作系统。 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 操作 可单击“克隆”复制主机信息。 可单击“删除”删除主机信息。 批量添加主机 1. 单击“批量添加主机”，在“批量添加主机”对话框中，配置IP地址。多个IP地址，使用换行分开。 2. 单击“添加主机”。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，如下图所示，配置说明如下表所示。 跳板机配置参数说明： 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 6. 单击“下一步”，添加主机完成，请参见配置Linux主机授权和配置Windows主机授权执行主机授权的操作。

本节介绍了容器镜像加签验签的用户指南。 概述 镜像签名功能保障镜像来源安全可靠，避免中间人攻击和非法镜像的更新与运行。CRS支持为命名空间的镜像自动加签，每次推送容器镜像后都会匹配加签规则自动加签，保障您的容器镜像内容可信。 镜像签名步骤 为命名空间下的镜像设置自动加签的步骤如下： 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择容器镜像仓库实例。 4. 在企业版实例管理页面的左侧菜单上选择"安全可信" "镜像签名"，点击左上角的创建镜像加签规则按钮。 5. 在弹出的对话框，填写镜像加签规则的，然后点击“确定”按钮，完成创建，界面各项参数说明如下表； 参数 是否必选 说明 命名空间 必选 选择需要自动加签的命名空间名称 使用默认私钥 非必选 加签时是否使用默认的私钥，勾选则表明使用默认私钥加签，若不勾选则表明使用自定义私钥，则需要往下录入自定义私钥的信息 私钥 非必选 如果上述"使用默认私钥"不勾选，则必须在此框填入自定义私钥的信息，可以将私钥直接贴入，或者从"文件导入"，私钥目前只支持长度位数是2048，格式为PKC8的RSA秘钥 密码 非必选 如果创建RSA秘钥对时有添加密码，则需要再此处填上，否则会影响加签执行 6. 创建完毕的规则会展示在镜像签名的列表中，可对签名规则进行编辑，如更换签名秘钥等。 注意 1. 镜像加签不会影响镜像的常规使用，更不会影响镜像中原有的能力及业务功能。 2. 单个命名空间只能创建一个加签规则。 3. 如果是使用自定秘钥，密钥对需要自行保存维护好，使用跟秘钥对应的公钥方可验签成功。

3、安全设置 连接安全性：该设置决定服务器连接是否加密。无：不加密；SSL/TLS：加密（推荐）；STARTTLS：连接以不加密开始，如果服务器支持，那么尝试加密。 验证方式：该设置是认证连接账号的方式。邮箱账户提供商会决定使用何种方式进行认证，您可以登录邮箱服务器端查看。 4.完成以上邮箱配置即登录成功 验证过程可能会持续1分钟左右，当出现“尝试常用服务器名称后找到配置”即完成账密即服务器验证，点击“完成”即登录成功。 说明 IMAP和POP有什么区别？ POP允许电子邮件客户端下载服务器上的邮件，但是您在电子邮件客户端的移动邮件、标记已读、删除邮件等操作，是不会反馈到服务器上的。比如：您通过AOneMail客户端收取了邮箱中的5封邮件并移动到了其他文件夹，这些移动动作是不会反馈到服务器上的，也就是说，邮箱服务器上的这些邮件是没有同时被移动的。 但是IMAP就不同了，电子邮件客户端的操作都会反馈到服务器上，您对邮件进行的移动邮件、标记已读、删除邮件等操作服务器上的邮件也会做相应的动作。即，IMAP是“双向”的。 同时，IMAP可以只下载邮件的主题，只有当您真正需要的时候，才会下载邮件的所有内容。 如何导入AOneMail旧数据 1.进入AOneMail主界面，点击导入。 2.点击从另一个AOneMail安装导入，点击下一步。 3.选择配置文件目录或ZIP文件作为配置文件导入，点击下一步。 4.选择需要导入的内容并点击继续。 5.点击开始导入，确认导入成功后需要重启AOneMail。

此小节介绍云堡垒机应用场景。 任何企业都需要安全运维管理和审计，故任何企业都需要云堡垒机。云堡垒机能适用于各种企业运维场景，特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权限交叉、企业运维方式多样等场景。 严要求的审计合规场景 例如保险和金融行业，具有大量个人信息数据和金融资金操作行为，以及大量第三方机构代为运作，可能存在巨大违规操作、滥用职权等非法运作风险。 通过在云上部署云堡垒机系统，单点登录入口，集中管理账户和资源，部门权限隔离，核心资产多人审核授权，敏感操作二次复核授权，健全的运维审计机制，能够为高风险行业提供严要求审计功能，满足行业监管要求。 高效稳定的运维场景 例如极速发展的互联网企业，大量经营数据等敏感信息，暴露在公网，且由于服务高度公开，存在高度数据泄露风险。 云堡垒机在远程运维过程中，隐藏资产真实地址，解决远程运维资产信息暴露问题。同时提供全面的运维日志，为审计运维和代运维人员的操作行为，提供有效监控，减少网上安全事故，助力企业长久稳定发展。 大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理，云上人员账户数量不断增加，以及云上服务器、网络设备等资产数量也成倍增涨。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行，由于涉及提供商、代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产，可海量容纳庞大人员和资源数据，运维人员单点登录，解决运维人员维护多台资产效率低，易出错的问题。同时通过制定细粒度权限控制，资源操作全程记录，可审计全量用户操作行为，并对事故问题进行有效追溯，确保有效定责。此外，系统桌面实时呈现运维全景，并可接收异常行为告警通知，确保人员无法越权操作。

接口功能介绍 查询安全防护概览接口 接口约束 传参规范 URI GET /vfw/v2protectionstatistics 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 type 是 String 时间day1最近一天 day 3最近3天day7最近7天 firewallId 否 String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 firewallType 否 String 防火墙类型 NorthSouth 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 ProtectStatisticsVo 表 ProtectStatisticsVo 参数 参数类型 说明 示例 下级对象 ewTotal Integer 东西向防护总次数 ewIpsTotal Integer 东西向入侵防御拦截数 ewAcTotal Integer 东西向访问控制拦截数 nsTotal Integer 南北向防护总次数 nsIpsTotal Integer 南北向入侵防御拦截数 nsAcTotal Integer 南北向访问控制拦截数 ewAlarmCount Integer 东西向告警总次数 ewAttackIpCount Integer 东西向攻击ip数 ewAffectedIpCount Integer 东西向受影响资产数 nsAlarmCount Integer 南北向告警总次数 nsAttackIpCount Integer 南北向攻击ip数 nsAffectedIpCount Integer 南北向受影响资产数

云上资产可通过自动识别添加，线下的资产可通过手动增加自定义资产。本小节介绍安全专区资产管理服务器主机新建。 新建服务器组 1.进入【资产管理】→【添加】，新建服务器组，填写组别名称，设置排序值。 2.点击【选择服务器】，进入服务器列表，选择要分配到该组的资产服务器，点击【确定】提交。 3.点击确定按钮，则新增成功。 编辑服务器分组 选择所要编辑的服务器组，点击【操作】，可进行【编辑】、【删除】以及【刷新】操作。 自定义服务器 进入【资产管理】→【新建】，打开自定义服务器窗口，填写服务器资料，新建自定义服务器。 服务器名称：服务的名称； VPC：所属VPC； 操作系统：选择操作系统类型； 所属地域：选择服务所在区域； 内网IP：服务器IP地址。 所示模板如下，进行点击【提交】，即可创建成功。 在【新增服务器】列表中可查看到新增的服务器信息（新增的服务器有new图标标识，查看或编辑后该图标则消失）。

本小节介绍安全专区云数据库审计中添加保护对象方法。 配置方法： 1.点击【保护对象】→【添加】，进行添加保护对象设置。 说明 数据库中的保护对象是指受审计的数据库。 2.填写受保护对象相关信息。 对象名：自定义； 状态：默认开启； 告警：默认关闭（按需开启）； 数据库类型：MySQL（选择对应的数据库版本）； 版本号：MySQL5.7（选择安装的对应版本号）； Ip地址：192.168.0.124（可输入IP段形式，用‘’隔开）； 端口号：3306（可输入多端口，用‘’隔开）； 数据字符集：GB2312（选择适当的编码）； His产商：空（按需配置）； 审计策略：默认策略（按需配置）； 告警策略：空（按需配置）。 注意 根据自己数据库安装时的配置选择编码，编码选择错误可能会导致乱码问题。 3.保存成功后，可对原有配置进行单个编辑，配置扩展配置以及批量修改（状态、策略）。 4.完成以上客户端安装及策略配置，数据库的访问操作将会发送到云数据库审计上并展示。