云搜索服务已接入云审计服务。通过云审计服务，您可以查询云搜索服务相关的操作事件，便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 查询实例详情 instance 退订Logstash实例 instance 查询实例列表 instance 节点扩容 instance 磁盘容量 instance 实例升配 instance 重启实例 instance 创建管道 pipeline 更新管道 pipeline 部署管道 pipeline 停止管道 pipeline 查询管道列表 pipeline 查询管道内容 pipeline 删除管道 pipeline 开启Logstash日志功能 log 关闭Logstash日志功能 log Logstash绑定公网 node Logstash解绑公网 node

本文为您介绍如何使用ECI实例访问弹性文件数据。 背景信息 天翼云弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可以为ECI提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 前期准备 已开通天翼云弹性容器实例服务。 已创建至少一个弹性文件实例，且要求与待创建ECI实例归属同一VPC。 弹性文件需要满足按量计费模式，仅支持NFS协议。 操作步骤 天翼云弹性容器实例ECI支持用户通过控制台和OpenAPI等多种方式创建挂载弹性文件作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问云硬盘中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 用户可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块500G大小的弹性文件，挂载目录为/nastest。 5. 让我们尝试在/nastest目录下创建名为helloworld.txt的文件。 6. 让我们尝试读取/nastest目录下名为helloworld.txt的文件。

本页介绍分布式融合数据库HTAP的告警配置。 告警模板简介 在TeleDB数据库控制台中，对于常用的告警策略， 可以通过在告警模板中新增模板，在多个实例上应用该告警模板。 告警模板 在告警模板页面，支持查看当前已有的告警模板信息，用户也可以自定义告警模板，对模板信息进行修改、删除等操作。 模板列表的信息及含义： 模板名称：模板唯一标识。 告警对象：告警策略针对的实例类型。 触发条件：告警动作发生的监测规则。 被使用策略：告警模板被使用的相关策略。 备注：告警模板的备注。 最后修改时间：模板配置最近一次改动的时间。 新建模板 在自定义标签页，点击新建模板，可以创建新的模板，需要填写模板名、版本、备注、规则列表、联系组列表。选择联系组时，所选联系组中所有联系人的联系方式必须包含所有的已选规则的通知方式。 编辑模板 点击对应模板的修改按钮修改模板的信息。 注意 模板名称和告警对象不可修改，并且需要先停止已使用的策略才可编辑。 删除模板 点击选定模板的删除按钮，可以删除该模板。 注意 不可删除正在使用的模板。 选择待删的模板，点击批量删除按钮，实现批量删除模板。

名称 类型 描述 usename name 登录该后端的用户名。 clientaddr inet 连接到该后端的客户端的IP地址。 如果此字段是null，则表示通过服务器机器上UNIX套接字连接客户端或者这是内部进程，如autovacuum。 applicationname text 连接到该后端的应用名。 state text 后端当前总体状态。可能值是： l active：后台正在执行查询。 l idle：后台正在等待新的客户端命令。 l idle in transaction：后端在事务中，但事务中没有语句在执行。 l idle in transaction (aborted)：后端在事务中，但事务中有语句执行失败。 l fastpath function call：后端正在执行一个fastpath函数。 l disabled：如果后端禁用trackactivities，则报告此状态。 说明 普通用户只能查看到自己帐户所对应的会话状态。即其他帐户的state信息为空。 waiting boolean 如果后端当前正等待锁则为true。 enqueue text 语句当前排队状态。可能值是： l waiting in queue：表示语句在排队中。 l waiting in global queue：表示语句在全局排队中。 l waiting in respool queue：表示语句在资源池排队中。 l waiting in ccn queue：表示作业在CCN排队中。 l 空：表示语句正在运行。 pid bigint 后端线程ID。

参数 说明 vers 文件存储版本，支持 NFSv3 和 NFSv4。如果您的业务场景不包含多台实例同时编辑同一个文件，建议您选择 NFSv3，达到最优性能。 timeo NFS 客户端重传请求前的等待时间（单位为 0.1 秒）。建议值：600。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 lock/nolock 选择是否使用 NLM 协议在服务器上锁文件。当选择 nolock 选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。建议值：nolock。如不加此参数，则默认为 lock，就会发生其他服务器无法对此文件存储写入的情况。ECX文件存储暂不支持非本地锁操作，需要显式添加 nolock 参数防止客户端调用非本地锁而导致抢锁失败的写入慢问题。 proto NFS 客户端向服务器发起传输请求使用的协议，可以为 UDP 或者 TCP。 挂载地址 文件存储的格式为：文件存储 ip:/ 路径，例如：192.168.0.10:/var/ecx/filenvmecv4lq0bkrj0lnj8u23n0。 本地路径 边缘虚拟机上用于挂载文件存储的本地路径，例如 “/localpath”。

本文主要介绍 按需转包周期。 选择按需付费的用户，可以选择“转包周期”，变更实例计费模式为包年/包月。 说明 实例从按需变为包周期计费时，不影响应用，只是计费方式变了。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 通过以下任意一种方法，实现按需实例转包周期。 勾选Kafka实例名称左侧的方框，可选一个或多个，单击信息栏左上侧的“转包周期”，弹出“转包周期”对话框，单击“是”，跳转到“按需转包年/包月”页面。 在待转包周期的Kafka实例所在行，单击“更多 > 转包周期”，跳转到“按需转包年/包月”页面。 单击Kafka实例名称，进入实例详情页面。单击右上角的“更多 > 转包周期”，跳转到“按需转包年/包月”页面。 步骤 5 选择续费时长，然后单击“去支付”，根据界面提示信息，支付费用，完成实例转包周期操作。

天翼云SDWAN支持多种链路上云、访问控制、OSPF路由备份等功能,本文带您更快了解SDWAN典型应用场景。 企业组网场景 适用场景 适用于多分支企业互访、移动端数据回传、已有网络备份场景。随着企业规模的扩张，业务分支/办公地点逐步覆盖不同的地区，企业需要解决跨地域多分支网络互联、异地资源整合的问题。 产品优势 可兼容底层各类线路，如互联网、4G/5G、云专线，实现企业工厂、商贸连锁等各行业分支机构随选互联；支持混合组网，为传统组网专线的用户做线路备份或者新增组网机构的扩容；具备固移融合能力，可为移动办公客户提供加密数据传输通道。 企业入云场景 适用场景 适用于云上灾备、分支访问云上平台等场景。企业在上云过程中，将业务系统、生产资料等部署在云上。企业线下分支机构需要获取云上资源或者将数据迁移到云上。 产品优势 天翼云SDWAN融合云网优势，实现云网一体化管控，简化用户操作。天翼云SDWAN提供一键到云的简易入云方案，适用各类公有云、私有云和本地数据中心，能够快速将不同云服务商的云业务打通，帮助企业快速构建多云融合平面；支持与天翼云云桌面、云内安全资源池以及云内大数据分析平台等云内业务融合组网能力，打通用户使用云上增值业务的通道。 跨境组网场景

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 拦截header指定key值 array JAVA 2.0.0 拦截header中指定key值的内容。 拦截url参数指定key值 array JAVA 2.0.0 拦截url参数指定key值的内容。 拦截cookie指定key值 array JAVA 2.0.0 拦截cookie指定key值的内容。 url采集配置 objarray JAVA 2.0.0 url采集配置，将restful风格url按配置进行规整;规整方式包含startwith,endwith,include,regex四种方式。 采集黑名单配置 objarray JAVA 2.0.0 指定规则匹配的url不采集,匹配方式包含startwith,endwith,include,regex四种方式。 业务code采集长度限制 integer JAVA 0 2.0.0 解析业务code需要采集body内容的长度限制。 解析业务code的key array JAVA 2.0.0 解析json格式的body内容的key，获取业务状态码。 业务code的正确值 array JAVA 2.0.0 配置正确的业务状态码的值，业务状态码不在该范围的值定义为错误的调用链。 慢请求阈值定义 integer JAVA 800 2.0.0 定义慢请求阈值,超过该阈值的url会定义为慢url，默认提高调用链采样率。 url配置 objarray JAVA 2.0.0 单独配置每个url的慢请求阈值和采样率;采样方式包含2.百分比采样；3.每分钟固定数量采样；4.自动采样三种采样方式。 错误状态码定义 radio JAVA 500 2.0.0 设置统计为错误的状态码范围。 Url自动规整 radio JAVA false 2.3.11 Url自动规整。

本文介绍如何实现对攻击者的自动封禁/解禁。 Web应用防火墙（原生版）的企业版及以上版本支持自定义BOT防护策略，通过智能BOT防护+攻击惩罚，帮助用户实现自动化动态拉黑攻击IP，实现业务的自动化防护。 用户可以结合业务情况进行自定义防护规则的配置，实现自动封禁和自动解禁。 示例场景 防护对象：“www.ctyun.cn”。 触发条件：来自“xxx.xxx.10.15”的请求中，5秒 内“请求URI中包含password”的请求次数大于等于10次。 处置措施：自动封禁“xxx.xxx.10.15”30分钟，30分钟后解封。 前提条件 已购买WAF SaaS模式企业版或旗舰版实例。 防护域名“www.ctyun.cn”已接入WAF并开启防护。 步骤一：配置并开启BOT防护 1. 开启BOT防护：在“防护配置 > 对象防护配置”页面，选择“安全防护”页签，定位到“BOT防护”模块，开启BOT防护。 2. 单击自定义规则右侧的“前去配置”，进入自定义防护规则页面。 3. 单击“新建防护规则”，添加一条自定义防护规则。 匹配条件：来自“xxx.xxx.10.15”的请求中，5秒 内请求URI中包含password的请求次数大于等于10次。 处置动作：动态拦截最大支持600秒（即10分钟）。 攻击惩罚：需要拦截超过10分钟，可以开启攻击惩罚。攻击惩罚功能可将多次触发自定义规则的会话对象进行自动拉黑封禁。

支持配置撞库防护策略防范攻击者通过撞库盗取用户的信息。 功能介绍 支持配置撞库防护策略，防范攻击者通过撞库盗取用户的信息。 撞库是什么？ 撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址，这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发，通过碰撞用户名得到账号密码信息。 撞库的防护原理 边缘云WAF针对撞库的防护方式主要是以下三种： 频率限速：由于猜解需要不断访问登录接口，因此可以通过异常速率来限制撞库； 用户登录信息与泄露信息库比对：将用户信息与实时更新的泄露信息库做相关数据对比，查看用户是否正在使用已暴露的密码，根据结果采取对应措施； 用户敏感信息脆弱性分析：通过脆弱性算法分析当前密码的暴露风险层级与易猜解程度，对暴露较多区块的密码以及极易猜解的密码引导到客户配置的处理方式上。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持撞库防护相关功能。

本文为您介绍密码服务的权限管理能力,支持通过IAM实现对密码服务的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对密码服务资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 密码服务支持企业项目管理，若您需要对密码服务资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予密码服务产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 密码服务IAM策略说明 天翼云为密码服务提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 密码服务管理者 密码服务管理员策略，拥有产品所有操作权限。 系统策略 全局级 密码服务查看者 密码服务查看策略，仅支持查看实例列表。 系统策略 全局级

JWT 是一种轻量级的身份验证和鉴权机制，广泛应用于Web开发、API安全、单点登录等场景。服务网格支持配置JWT策略并应用到数据面实现请求身份认证，保护后端服务安全。 JWT策略配置说明 配置项 说明 安全策略名称 策略名称，如testjwt Issuer JWT的颁发者，如果请求带的JWT中的iss字段和此字段不一致，则该JWT会被拒绝 JWKS来源 用于验证JWT的密钥来源 jwks 用于验证JWT的密钥，当JWKS来源是jwks时填写 jwksUri 用于验证JWT的密钥URI，当JWKS来源是jwksUri时填写 Audience JWT颁发给的目标实体 JWTToken位置 获取JWT的位置，支持从请求头或者请求Query参数中获取 JWT透传 是否向后端透传JWT信息 将Payload通过Header透传 将JWT的Payload信息通过base64编码后添加到Header透传到后端 JWT策略绑定 策略生效粒度 当前支持命名空间、服务、工作负载、网关的生效粒度配置，说明如下 生效粒度 说明 命名空间 策略下发到所选择命名空间下所有数据面 服务 策略下发到所选服务关联的工作负载数据面 工作负载 策略下发到指定工作负载的数据面 网关 策略下发到网关 请求匹配规则 对于JWT策略、OIDC策略和自定义授权服务策略，支持基于请求特征匹配决定是否执行当前策略，支持的匹配项及说明如下 匹配项 说明 HTTP域名(Host) 匹配一组请求的域名 HTTP路径(Path) 匹配一组请求路径 HTTP方法(Method) 匹配一组请求的HTTP Method 端口(Port) 匹配一组请求的目标服务端口 说明 域名和路径匹配支持以下匹配模式 1. 精确匹配：如abc匹配abc字符串 2. 前缀匹配：abc匹配abc、abcd、abce等 3. 后缀匹配：abc匹配abc、xabc、zabc等 4. 存在匹配：匹配所有非空值 请求匹配支持黑白名单模式 1. 黑名单模式：选中请求必须执行认证策略 2. 白名单模式：选中请求跳过认证策略，其他请求需要执行策略

本页介绍了数据库存储。 文档型数据库使用了什么样的存储配置 文档数据库服务存储提供了多种类型的硬盘（普通IO、高IO、通用型SSD、超高IO）以便用户根据不同应用场景来选择IO。 当数据的大小超过了文档数据库实例所允许的最大存储，应该如何处理 数据清理和优化 首先，您可以对数据库进行数据清理和优化，删除不再需要的数据、索引、日志等，以释放存储空间。这可以包括删除历史数据、归档数据、合并分片等操作，以减小数据库的存储需求。 存储扩容 如果您的应用程序所需的存储容量超过最大分配量，可以通过扩容存储来增加存储容量。 扩容单节点实例的磁盘空间 用户指南 实例变更 实例磁盘扩容 扩容单节点实例的磁盘空间 扩容副本集实例的磁盘空间 用户指南 实例变更 实例磁盘扩容 扩容副本集实例的磁盘空间 扩容集群实例的磁盘空间 用户指南 实例变更 实例磁盘扩容 扩容集群实例的磁盘空间 文档数据库服务实例的只读模式是指什么 文档数据库服务实例从节点，被配置为只读节点，而不能执行写入操作。这意味着在只读状态下，客户端只能从实例中读取数据，但无法对数据进行修改、插入或删除操作。 备份和恢复： 当需要对数据库进行备份或者从备份中恢复数据时，将实例切换到只读模式可以确保在备份过程中没有数据被修改，从而保证备份数据的一致性。 读写分离： 可以配置只读节点来处理读取请求，从而减轻主实例的负担，提高整体性能。 故障转移： 在进行故障转移或主备切换时，将新的主实例设置为只读模式，以便在切换过程中避免写入冲突。 性能优化： 对于只涉及数据读取的场景，如报表生成，可以将查询操作路由到只读节点，以提高整体性能。

创建与管理日程 可以通过日程应用快速创建日程，并邀请相关企业内联系人参与该日程。 创建日程 可以通过以下3种方法创建日程 方法 1：点击花卷客户端导航栏的日程，在日历视图中点击右上角“新增日程”，即可进入“新增日程”页面。 方法 2：点击花卷客户端导航栏的日程，在“日视图”或“周视图”中，选中某一日期下的任意某个时间段，或在“月视图”中，点击某一日期下的空白位置，即可打开日程创建弹窗，点击弹窗中的“更多选项”，即可进入“新增日程”页面。 方法 3：点击花卷客户端工作台今日任务日程旁的新增按钮，即可快速进入“新增日程”页面。 编辑日程 在“新增日程”页面中，你可以填写日程信息，如日程主题、时间、地点等，还可以为日程设置重复规则。 添加参与人，支持从企业组织架构下快速搜索联系人。 创建会议，如果创建的日程需要使用会议功能，可以勾选创建会议选项，系统将默认创建花卷会议。

本文将为您介绍通过专线网关实现物理专线入云访问多VPC。 应用场景 本地IDC通过一条物理专线接入天翼云华北2地域，实现本地IDC网络与天翼云华北2地域中的多个VPC网络互通。如需使用云企业路由器搭建跨AZ入云网络架构，实现本地IDC与多VPC网络互通，具体操作说明详见通过云企业路由器访问多VPC。 本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线 10.250.0.1 10.250.0.2 255.255.255.252 100 天翼云华北2地域的VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC1 10.10.0.0/16 10.10.0.0/24 VPC2 10.20.0.0/16 10.20.0.0/24 前提条件 1、在天翼云华北2已创建一条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建两个VPC，具体操作说明详见创建VPC。

应用场景 本文主要介绍如何使用Linux操作系统云主机手工安装宝塔面板。宝塔面板是一款服务器管理软件，支持Windows和Linux系统，可以通过Web端轻松管理服务器，提升运维效率。例如：创建管理网站、FTP、数据库，拥有可视化文件管理器、可视化软件管理器，以及可视化CPU、内存、流量监控图表、计划任务等功能。同时，宝塔面板还提供了简单直观的用户界面，使得初学者也能够轻松地管理自己的服务器。本文以CentOS 7.2 64位操作系统为例，介绍安装宝塔Linux面板过程。 前提条件 云主机资源配置和操作系统要求： 云主机规格最低1核1G（软件要求内存最低512MB，推荐768MB以上，纯面板约占系统60MB内存）。 云硬盘：任意空间大小（软件要求300M以上可用硬盘空间，纯面板约占20M磁盘空间）。 架构：支持x8664架构（ARM架构不完整兼容，面板环境安装慢，部分软件可能无法安装，请谨慎尝试）。 宝塔Linux6.0版本基于Centos7开发，建议使用Centos 7.x系统。 云主机全新且环境干净，未安装过Apache、Nginx、php、MySQL。 安装宝塔面板操作流程 Linux实例手工安装宝塔面板的具体操作步骤如下： 1. 安装宝塔面板。 2. 修改云主机所在安全组规则。 3. 登录宝塔面板。

本文向您介绍如何做网页定向。 操作场景 本指导适用于用户做网页301重定向时参考使用。 前提条件 IIS服务器中已安装HTTP重定向功能。 操作步骤 1. 在IIS里把网站正常发布，例如域名为www.aaa.com。 2. 在C:web 下建立一个专门供给301重定向使用的文件夹，然后在里面建立一个需要重定向域名的文件夹，以www1.aaa.com 为例。 3. 在IIS里建一个网站，例如域名为aaa.com，指向新建的空文件夹。 4. 在网站的主页，选择“HTTP重定向”，具体参数设置如下： 勾选“将请求重定向到此目标”。 重定向地址： 说明 在网址后添加“$S$Q”的作用是：支持带“？”的网址可以正常跳转。如果未添加“$S$Q”，带“？”的网址跳转时会出现异常。 勾选“将所有请求重定向到确切的目标(而不是相对于目标)”。 状态代码：永久(301)。 5. 单击“应用”，完成网页301重定向。

如果您购买的主机计费类型为按需计费，那么您可以为您的主机开启删除保护功能，尤其是对于承载了关键业务应用或数据的主机，通过使用该功能，可以避免由于操作不当，导致主机被误删。该功能将从天翼云控制台及OpenAPI两个维度进行限制，以下将详细讲述如何操作。 前提条件 购买计费类型为按需付费的云主机 注意事项 以下情况，删除保护功能将不生效 用户账号欠费后，已过保留期，资源将进行销毁； 已加入弹性伸缩内的主机不受该功能影响；不影响弹性伸缩逻辑； 已开启实例删除保护功能的主机按需转包周期后，功能失效。 开启/关闭删除保护功能操作步骤 1. 点击云主机控制台，进入云主机列表页面。 2. 点击"操作 > 更多"，选择"开启删除保护功能"或"关闭删除保护功能"。注：实例默认为未开启删除保护功能。 3. 点击"确认"，则开启/关闭删除实例保护功能。开启实例删除保护功能后，实例"删除"功能将无法操作。 查询删除保护功能状态操作步骤 1. 点击云主机控制台，进入云主机列表页面。 2. 点击目标云主机名称，进入云主机详情页。 3. 查看详情页字段"实例删除保护"，显示当前实例开启或关闭状态。

实践建议 以下是一些关于安全组的建议和实践经验，帮助确保您的云环境的安全性，您可根据具体需求和环境来制定适合的安全组策略： 原则上，安全组规则取最小权限原则，通过设置所需的端口和协议，限制对必要IP地址的访问。只允许最少必要的流量进出您的资源实例。 定期更新安全组规则，以适应您的业务需求的变化。不再需要的规则应被删除，根据业务变化添加新的安全组规则。 根据资源的安全需求，将资源实例划分为不同的安全组。通过多层级的安全组可以实现细粒度的安全控制，确保安全性与灵活性之间的平衡。 通过有规范的命名等方式有意识地规划和管理安全组规则，易于查找。 安全组应与其他安全措施如网络ACL、防火墙等结合使用，以提供更全面的安全保护。 建议您不要直接修改线上环境使用的安全组，修改后的安全组会自动应用在安全组内的所有云服务器上，因此您可以先克隆一个安全组，在测试环境中进行调试，确保修改后云服务器之间的通讯正常，再将修改后的安全组同步到线上环境。

本文为您介绍VPC终端节点产品的基本概念。 终端节点服务（Endpoint Service） 终端节点服务是可以被其他VPC通过创建终端节点建立私网连接的服务。终端节点服务由服务提供方创建和管理。 服务白名单（Service Whitelist） 服务白名单可以控制允许访问服务资源的用户范围。创建终端节点服务后，系统自动将服务所有者的天翼云账号ID添加到服务白名单中。服务白名单中的用户可以查询到该终端节点服务，也可以创建与该终端节点服务连接的终端节点。如果希望其他账号下的VPC访问服务，需要将该天翼云账号ID添加到服务白名单中。 服务后端资源（ Service Resources ） 终端节点服务后端挂载的服务资源，实际部署开放的服务应用系统，可支持负载均衡，VIP，云主机和物理机等多种类型服务资源。 终端节点（Endpoint） 终端节点可以与终端节点服务相关联，以建立VPC通过私网访问外部服务的网络连接。终端节点由服务使用方创建和管理。根据终端节点连接的服务类型，可分为接口型和反向型。 终端节点访问控制（Endpoint Access Control List） 终端节点的访问控制能力，可以通过访问白名单方式，控制可通过终端节点访问服务的源主机信息。

本文主要介绍基于天翼云弹性文件服务,如何将其挂载至docker容器中。 应用场景 本文适用于docker容器中实现天翼云弹性文件服务的挂载。 前提条件 购买一个NFS协议的弹性文件系统。 购买一台配置弹性IP的云主机（或者物理机）。 准备工作 1.登录天翼云官网页面，找到控制中心。 2.本文以华北2资源池为例，购买一台配置弹性IP的云主机，具体操作请参考创建弹性云主机。此次以CentOS 8.2系统的弹性云主机为例，部分参数可参考下表： 参数 说明 镜像 CentOS 8.2 64位 弹性IP 自动分配 IP版本 IPV4 带宽 5M 您也可以选择购买一台配置弹性IP的物理机，具体操作请参考自助开通天翼云物理机。 3.创建一个弹性文件系统，具体操作请参考创建弹性文件系统，部分参数可参考下表： 参数 说明 存储类型 SFS Turbo标准型 协议类型 NFS 选择网络 选择与弹性云主机（或物理机）相同的VPC 操作步骤 使用docker挂载弹性文件系统可以分为几个关键步骤： 安装docker>拉取镜像>宿主机挂载文件系统>创建并运行容器，实现文件系统挂载 。具体操作步骤如下：

参数 参数类型 说明 示例 下级对象 id String id 漏洞id VH211212112 vulAnnouncementId String 漏洞公告ID（这里与参考类不同，根据MongoDB文档调整） vulasaada taskId String 漏洞扫描任务ID agentGuid String GUID testagentguid timestamp String 时间戳 20210101 00:00:00 status Integer 漏洞状态 0未处理 1已处理 2已加白 3修复中 4修复成功 5修复失败 6已忽略 7验证中 8修复成功需要重启 9扫描中 0 vulType String 漏洞类型 LINUXlinux漏洞，WINDOWSwindows漏洞, EMERGENCYVUL应急漏洞,APPLICATION应用漏洞,WEBCMSwebcms漏扫 LINUX updateTime String 更新时间 20200101 00:00:00 modified String 修改时间（字符串格式） 20200101 00:00:00 cveList Array of Strings 关联CVE列表 ["CVE20201234"] fixLevel String 修复优先级 LOW低 MIDDLE中 HIGH高 LOW rebootRequired Boolean 是否需要重启 true vulAnnouncementTitle String 漏洞公告标题 vulsaas privateIp String 私有IP地址 192.168.1.1 publicIp String 公有IP地址 192.168.1.1 custName String 主机名称 testcustname osType String 操作系统类型 Linux/Windows Linux bgGroupId String 业务分组id 121313213 fixCommand String 修复命令 fixcommand relatedSoftware Array of Objects 关联软件列表 relatedSoftware 表 relatedSoftware

本节主要介绍分布式缓存Redis的连接约束 分布式缓存服务Redis实例可以被兼容Redis协议的任何客户端访问。您可以根据自己的应用需求选择适合的Redis客户端。有关Redis支持的客户端列表，请参考Redis官网，有关各客户端的连接方式，请参考通过客户端连接方式。 使用分布式缓存Redis实例前，请注意以下约束条件： 1.Redis默认安全组未配置规则时，禁止所有入站流量。如需允许同VPC内云主机访问，必须显式添加允许Redis服务端口（6379）的入站规则。 2.在您的弹性云主机安装客户端后，必须要与需要连接的Redis实例处于同一虚拟私有云（VPC）内，并配置相同的安全组。如果使用不同的安全组，则您需设置安全组连通规则，以确保弹性云主机与Redis实例之间的网络连接正常。目前暂不支持弹性云主机与Redis实例跨VPC访问。 3.当使用公网访问Redis实例时，Redis缓存实例配置了正确的安全组规则，其安全组入方向规则，必须允许外部地址访问实例端口。具体配置请参考常见问题网络与连接如何配置安全组。

还原时间策略 用于设定云电脑在指定时间自动还原至模板或系统状态。 还原时长：云电脑在客户端断开连接后，在指定时间后自动还原。 该策略适用于需要定期还原桌面状态的场景，如电教室、网吧等。 说明 在“基础时间策略”中创建一个定时关机还原策略，设置开始时间和结束时间。 在“基础电源策略”中，将还原时间策略设置为“定时关机还原”。 分配电源策略 将电源策略分配给指定桌面或桌面池。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击“电源策略管理”，在电源策略管理列表中，点击【分配】按钮； 3.弹出【分配策略】窗口，修改参数后点击【确定】按钮。 编辑电源策略 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击“电源策略管理”，在电源策略管理列表中，点击【编辑】按钮； 3.弹出【编辑电源策略】窗口，修改参数后点击【确定】按钮。 注意 如果云电脑在修改之前已使用该电源策略，修改后云电脑会自动应用新规则，请谨慎操作。 查看电源策略 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击“电源策略管理”，在电源策略管理列表中，点击【查看】按钮； 3.弹出【电源策略详情】窗口，查看策略信息（仅可查看，不可编辑）。

本节主要介绍智能视图服务API的使用说明。 智能视图服务是天翼云面向视图设备上云场景提供视图接入、视图存储、视图分发及视图分析的一体化产品，通过开放OpenAPI易于被智慧城市、智慧能源、智慧连锁、智慧社区、智慧工地等行业场景应用集成。 API版本 说明 智能视图服务新旧版本的区别以及常见问题请参考【 智能视图服务全新版本已经正式上线，与旧版API相比，新版API提供更加规范和丰富的能力接口，提升用户的开发体验。 智能视图服务后续均以新版本为主进行功能开发及优化，我们强烈建议您升级至新版本，若您有任何问题，请联系客户经理。 新版API接口文档请参考【API】。 旧版API接口请登录控制台点击左侧菜单栏【访问管理API密钥】使用。 在线调试 说明 OpenAPI门户在线调试功能仅支持新版本API，若您还处于旧版本且期望使用新版本，请联系客户经理。 智能视图服务在OpenAPI门户提供在线调试等功能，开发者能够快捷高效地测试API接口。API调试入口请参考【API调试】。

背景信息 本文介绍如何使用IPsec VPN在两个VPC之间建立安全连接，实现两个VPC内的资源互访。 场景示例 以本文图中场景为例。某企业在华东1地域创建了一个vpc1，在青岛20地域创建了vpc2。两个VPC均已使用弹性云主机部署了业务，企业因后续发展，现在需要将vpc1和vpc2中的业务实现互相访问。 出于网络安全环境考虑，企业计划使用VPN网关，在两个VPC之间建立IPsec VPN连接，对数据进行加密传输，实现资源的安全互访。 前提条件 已经在天翼云华东1地域创建了vpc1，在青岛20地域创建了vpc2，两个VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.0.3 vpc2 青岛20 10.0.0.0/16 vpcr8jw6vfdnk ecm99df 10.0.0.62 您已经了解两个VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许两个弹性云主机实例互访。

此小节介绍登录云堡垒机。 说明 内网地址登录需要确保网络环境互通。 外网地址登录需要绑定弹性IP。 前提条件 管理员已添加该用户。 操作步骤 1. 启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 云堡垒机实例登录地址为 2. 选择认证方式为“本地认证 ”或“AD认证”。 3. 输入系统用户账号和密码，输入图形验证码。 4. 在弹出的对话框中选择绑定的双因子认证方式，若未开启双因子认证则跳过该步骤。 说明 使用短信认证登录，请确保该云堡垒机已开启短信认证方式，具体开启操作请参考：认证设置章节。 使用手机令牌登录前，请先确保您已经为该账号绑定手机令牌，绑定手机令牌才做请参见：手机令牌章节。 5. 单击“确定”，成功登录到堡垒机系统。 注意 动态口令的获取需要使用天翼云APP虚拟MFA管理功能，若未安装天翼云APP，请进入手机应用商店搜索“天翼云”，下载安装天翼云手机APP。

本节为内核版本升级公告。 本节对云数据库TaurusDB的内核版本的潜在风险进行了说明，如果您使用了下述版本，建议您尽快升级到最新内核版本。 涉及版本 2.0.28.15、2.0.28.16、2.0.28.17、2.0.29.1、2.0.29.2 建议升级原因 TaurusDB数据库近期回合或解决了大量MySQL开源社区的问题，为保证业务稳定，建议您在业务低峰期对TaurusDB数据库内核小版本进行升级。 升级指导 参考升级内核小版本。 预估业务影响时长 正常业务负载下单次闪断<10s。 预估升级时长 与升级实例节点数相关，单节点升级时长约5min。 升级过程中的影响说明 1. 升级数据库内核小版本会重启TaurusDB实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，并确保您的应用有自动重连机制。 2. 如果主节点和只读节点在同一个AZ，升级内核小版本会触发一次主备倒换；如果在不同AZ，则会触发两次主备倒换。主备倒换指主节点与只读节点进行切换。 3. 升级操作及影响参考升级内核小版本。

本节为内核版本升级公告。 本节对云数据库TaurusDB的内核版本的潜在风险进行了说明，如果您使用了下述版本，建议您尽快升级到最新内核版本。 涉及版本 2.0.28.15、2.0.28.16、2.0.28.17、2.0.29.1、2.0.29.2 建议升级原因 TaurusDB数据库近期回合或解决了大量MySQL开源社区的问题，为保证业务稳定，建议您在业务低峰期对TaurusDB数据库内核小版本进行升级。 升级指导 参考升级内核小版本。 预估业务影响时长 正常业务负载下单次闪断<10s。 预估升级时长 与升级实例节点数相关，单节点升级时长约5min。 升级过程中的影响说明 1. 升级数据库内核小版本会重启TaurusDB实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，并确保您的应用有自动重连机制。 2. 如果主节点和只读节点在同一个AZ，升级内核小版本会触发一次主备倒换；如果在不同AZ，则会触发两次主备倒换。主备倒换指主节点与只读节点进行切换。 3. 升级操作及影响参考升级内核小版本。

介绍云审计服务支持的性能测试服务操作列表。 云审计服务（Cloud Trace Service，简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与消息通知服务相关的操作事件，便于日后的查询、审计和回溯。 表 支持审计的关键操作列表 servicetype resourcetype resourceid tracename 中文描述 CPTS cptsProject 数据库主键 createCptsProject 创建工程 CPTS cptsProject 数据库主键 deleteCptsProject 删除工程 CPTS cptsProject 数据库主键 modifyCptsProject 修改工程 CPTS cptsTask 数据库主键 createCptsTask 创建任务 CPTS cptsTask 数据库主键 deleteCptsTask 删除任务 CPTS cptsTask 数据库主键 modifyCptsTask 修改任务 CPTS cptsTemp 数据库主键 createCptsTemp 创建事务 CPTS cptsTemp 数据库主键 deleteCptsTemp 删除事务 CPTS cptsTemp 数据库主键 modifyCptsTemp 修改事务 CPTS cptsCase 数据库主键 createCptsCase 创建用例 CPTS cptsCase 数据库主键 deleteCptsCase 删除用例 CPTS cptsCase 数据库主键 modifyCptsCase 修改用例 CPTS cptsVariable 数据库主键 setVaribale 创建变量 CPTS cptsVariable 数据库主键 updateVaribale 修改变量 CPTS cptsVariable 数据库主键 deleteVaribale 删除变量 CPTS cptsTask 数据库主键 tempDebug 任务用例debug CPTS cptsTaskStatus 数据库主键 updateTaskStatus 更新任务状态

支持的文件类型 支持嵌入/提取水印的文件类型 具体的文件格式 文档 PDF、PPT、Word、Excel 图片 .jpg、.jpeg、.jpe、.png、.bmp、.dib、.rle、.tiff、.tif、.ppm、.webp、.tga、.tpic、.gif json数据 整型、浮点型、字符串型。 使用场景 数字水印在政府部门、医疗、金融、科研等行业应用广泛，主要用于版权保护和追踪溯源。在数据版权保护方面，数字水印技术可用于数字作品被下载或复制时，数据库业务需要提供数据给第三方时，可以通过数字水印技术明确版权归属，有效解决版权纠纷。在使用过程中可追踪溯源方面，数字水印技术可以记录使用者信息，以识别身份并提醒使用者注意安全规范。当发生数据泄露事件时，可以通过数字水印技术追踪泄露源头，挖掘泄露原因。 优势特点 1. 支持明暗双重水印：数字水印技术可以根据需要对数据进行明水印或暗水印处理，不影响使用效果，同时有效应对图像处理工具或拍照截图等绕过方式窃取数据。 2. 可检测性强、不易被篡改：数字水印技术可以检测并保证数据的完整性，不会被篡改或丢失。 3. 高鲁棒性：数字水印技术在传输或使用过程中具有较高的鲁棒性，即使数据载体经过改动或受到攻击损坏后，仍然有较大概率提取出水印。

本文介绍专属云（存储独享型）的相关术语。 存储独享 公有云存储资源通常是通过共享网络资源来提供服务的，意味着多个用户可以共享同一台服务器或存储集群。区别于公有云存储资源，独享存储的存储资源则采用独立存储集群，用户可以独享此类资源，无需与其他用户共享资源。 磁盘 在存储专属云中的云硬盘简称为磁盘，可以为专属云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务。 共享磁盘 根据是否支持挂载至多台云主机可以将磁盘分为非共享磁盘和共享磁盘。一个非共享磁盘只能挂载至一台云主机，而一个共享磁盘可以同时挂载至多台云主机。 共享磁盘的原理、特点、应用场景和使用方法请参考云硬盘共享功能。 三副本数据冗余 存储专属云采用三副本数据冗余机制来保证数据的可靠性。它的原理是将数据分块后的三个副本保存在集群中不同的节点上，以提高数据的可靠性和容错性。 三副本的技术原理请参考三副本数据冗余。 IOPS 专属云中的云硬盘每秒进行读写的操作次数。