本文为您介绍云防火墙（原生版）的权限管理能力，支持通过IAM实现对云防火墙（原生版）的访问控制、权限分配。 云防火墙（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云防火墙（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 IAM策略说明 天翼云为云防火墙（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 CFW admin 管理员，拥有云防火墙（原生版）全部操作权限。 系统策略 全局级 CFW viewer 仅拥有云防火墙（原生版）查看权限。 系统策略 全局级

本文绍了如何查看RDSPostgreSQL实例连接信息。 操作场景 客户从内外网连接实例时需要从控制台获取实例连接信息，当前连接方式不可修改。 约束限制 当前实例创建后，内网连接IP不可修改。 操作步骤 Ⅰ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 在“实例管理”列表中点击对应的实例进入实例信息页，其中“连接地址”即为实例的内网IP，“数据库端口”为实例的连接端口，“虚拟私有云”为对应的VPC，“安全组”为对应的安全组。 Ⅱ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在单个实例的管理详情页中，“ipv4地址”为天翼云内的ipv4连接地址，“ipv6地址”为天翼云内的ipv6连接地址，“弹性IP”为当前实例绑定的可公网访问的IP信息，“数据库端口”为当前实例的连接端口。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

备份方案 使用场景 自动备份 自动备份通常应用于以下场景： 数据备份和恢复：在生产系统中使用MySQL自动备份功能可以轻松备份所有数据（或者某些数据），并在数据丢失或出现故障时快速恢复数据。 数据复制和迁移：MySQL自动备份功能可以将备份文件复制到其他数据库服务器上，从而实现数据复制和迁移。这对于开发团队测试或生产系统的新部署非常重要。 性能和安全：在系统中使用MySQL自动备份功能可以帮助数据库管理员决定何时进行备份，并且可以按时调度任务。这样可以避免在系统高峰期间执行备份操作，造成性能问题。此外，备份还可以加密， 并保存在安全的地方以保护数据。 手动备份 手动备份通常应用于以下场景： 应急备份：MySQL手动备份可以在需要时立即备份所有数据，并在紧急情况下恢复。这对于快速回滚到过往版本的数据库非常有用，从而修复由数据损坏、恶意活动导致的问题。 数据库迁移：在数据库迁移期间，手动备份允许您复制数据库并在另一个服务器或云服务环境中恢复数据。在迁移过程中，确保数据不会丢失，以及在迁移结束时，确保应用程序的正常运行。 需要进行定时备份的服务器：在一些服务器中，如果由于备份文件大小、太大或者检测到性能问题导致自动备份不可行的情况下，手动备份可以作为一种替代方法。通过管理员手动设置时间表，公司可以安排定期手动备份以保护其数据。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 cpp Aws::String ak " "; Aws::String sk " "; Aws::String endPoint " "; ​ Aws::Auth::AWSCredentials cred(ak, sk); Aws::Client::ClientConfiguration cfg; cfg.endpointOverride endPoint; cfg.scheme Aws::Http::Scheme::HTTP; cfg.verifySSL false; stsclient new Aws::STS::STSClient(cred, cfg); 获取临时token cpp const Aws::String roleArn "arn:aws:iam:::role/xxxxxx"; const Aws::String roleSessionName " "; const Aws::String bucketname " "; const Aws::String policy "{"Version":"20121017"," ""Statement":" "{"Effect":"Allow"," ""Action":["s3:"]," // 允许进行 S3 的所有操作。如果仅需要上传，这里可以设置为 PutObject ""Resource":["arn:aws:s3:::" + bucketname + "","arn:aws:s3:::" + bucketname + "/"]"// 允许操作默认桶中的所有文件，可以修改此处来保证操作的文件 "}}"; Aws::STS::Model::AssumeRoleRequest request; request.SetPolicy(policy); request.SetRoleArn(roleArn); request.SetRoleSessionName(roleSessionName); std::cout AssumeRole(request); if (outcome.IsSuccess()) { auto& cred outcome.GetResult().GetCredentials(); std::cout << "ak:" << cred.GetAccessKeyId() << std::endl; std::cout << "sk:" << cred.GetSecretAccessKey() << std::endl; std::cout << "token:" << cred.GetSessionToken() << std::endl; return true; } else { auto err outcome.GetError(); std::cout << "Error: AssumeRole: " << err.GetExceptionName() << ", " << err.GetMessage() << std::endl; return false; }

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 php require '/path/to/autoload.php'; use AwsStsStsClient; use AwsExceptionAwsException; use AwsCredentialsCredentials; ​ const endpoint ' '; // e.g. or const accesskey ' '; const secretkey ' '; ​ $credentials new Credentials(accesskey, secretkey); ​ $this>stsClient new StsClient([ 'region' > 'ctyun', // region固定填ctyun 'version' > '20110615', // sts接口版本号，固定填20110615 'credentials' > $credentials, 'endpoint' > endpoint, ]); 获取临时token php public function AssumeRole() { $bucket ' '; $arn ' '; ​ $roleSessionName ' '; $roleArn "arn:aws:iam:::role/$arn"; $policy "{"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3:::$bucket","arn:aws:s3:::$bucket/"]}}"; ​ try { $res $this>stsClient>assumeRole([ 'Policy' > $policy, 'RoleArn' > $roleArn, 'RoleSessionName' > $roleSessionName, ]); vardump($res>get('Credentials')); } catch (AwsStsExceptionStsException $e) { echo "Exception: $e"; } } 参数说明： 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s 否

状态 说明 正常 数据库实例运行正常。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 备份中 正在创建数据库实例备份。 重启中 按照用户请求，或修改需要重启才能生效的数据库参数后，重启实例中。 主备切换中 正在切换副本集实例及集群实例的shard、config的主备节点。 节点扩容中 正在扩容集群实例的shard或mongos节点个数。 删除节点中 正在删除添加失败的节点。 存储扩容中 正在扩容实例的磁盘大小。 规格变更中 正在变更实例的CPU和内存规格。 转包周期中 实例的计费方式正在由“按需计费”转为“包年/包月”。 恢复检查中 该实例下的备份正在恢复到新实例。 恢复中 该实例下的备份正在恢复到已有实例。 恢复失败 通过备份恢复到已有实例失败。 切换SSL中 正在开启或关闭SSL通道。 慢日志配置修改中 正在切换慢日志明文显示开关。 修改内网地址中 正在修改节点的内网IP地址。 修改端口号中 正在修改数据库实例的端口。 修改安全组中 正在修改数据库实例的安全组。 冻结 账户余额小于或等于0元，系统对该用户下的实例进行冻结。您需前往费用中心充值成功，欠款核销后，冻结的实例才会解冻。 补丁升级中 正在进行补丁升级。 包周期变更资源检查中 包周期实例在进行变更过程中所持续的状态。

本节介绍了在RabbitMQ实例中如何创建、修改和删除用户。 背景信息 客户端访问分布式消息服务RabbitMQ 版服务端时，需要传入用户名和密码进行权限认证，认证通过才允许访问服务端。 操作步骤 创建用户 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“用户”到达用户管理页面，点击“新建”按钮。 5.点击“新建”后出现以下画面，输入用户密码后点击“确定”即可创建。 修改用户 1.在用户管理页面，在目标用户行点击“修改”，即可重置用户密码。 删除用户 1.在用户管理页面，在目标用户行点击“删除”，即可删除用户。 获取用户token 仅云原生引擎支持 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“用户”到达用户管理页面，点击“Token”按钮。 在RabbitMQ中，获取用户令牌（token）的作用如下： 认证和授权：用户令牌用于认证和授权用户对RabbitMQ的访问权限。通过获取有效的用户令牌，可以验证用户的身份，并根据其权限配置来限制或授予其对虚拟主机、队列、交换机等资源的访问权限。 安全性：通过使用用户令牌进行认证，可以增加RabbitMQ系统的安全性。只有具有有效令牌的用户才能访问和执行相应的操作，从而减少了未经授权的访问和潜在的安全风险。 资源管理：用户令牌可以用于管理和限制用户对RabbitMQ资源的使用。通过为每个用户分配独立的令牌，可以控制其对虚拟主机、队列、交换机等资源的使用情况，避免资源滥用或过度消耗。 追踪和审计：通过用户令牌，可以追踪和记录用户对RabbitMQ的操作和访问历史。这对于安全审计、故障排查和性能优化等方面非常有用，可以帮助管理员了解系统的使用情况和问题定位。 总之，获取用户令牌是为了实现认证、授权和安全性，以及对RabbitMQ资源的管理和追踪。通过令牌，可以确保只有经过授权的用户才能访问和操作RabbitMQ，提高系统的安全性和可管理性。

本节主要介绍如何查看实例监控信息。 操作场景 当剧本执行完成后，剧本实例管理列表中会生成剧本实例，即剧本实例监控。实例监控列表每条记录是一个实例，可呈现实例的历史实例任务列表，以及历史实例任务的运行情况。 约束与限制 流程实例最大手动重试次数为3次，且重试之后，须等剧本执行完毕之后才允许再次重试。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“实例管理”页签，进入实例管理页面。 5. 在实例管理列表中，可查看实例名称、剧本名称、数据类等，参数说明如下表所示。 参数名称 参数说明 实例名称 实例的名称。 剧本名称 实例对应的剧本名称。 数据类 剧本的运营对象，即数据类。 触发方式 实例的触发方式。 定时触发 事件触发 状态 实例的状态。 成功：剧本实例成功执行。 失败：剧本实例执行失败，单击操作列的重试可重新执行剧本。 运行中：剧本实例处于运行状态，单击操作列的终止可终止剧本。 重试中：剧本实例正在重试中。 终止中：剧本实例正在终止。 已终止：剧本实例已经成功终止。 上下文 实例的上下文信息。 实例创建时间 实例创建的具体时间。 实例结束时间 实例结束的具体时间。 操作 用户可执行终止、重试等操作。 6. 如需查看某个实例的详细信息，可以单击任一实例名称，进入剧本实例图页面，可查看实例流程图和流程节点信息。

关键特性 AD域作为Windows的一项企业级能力，有以下2个关键特性，适用于广泛的应用场景。 用户账户管理 企业可以通过 AD 域集中管理员工的用户账户，包括创建、修改、删除用户账号，重置密码等操作。适用于一些大型组织和机构，或进行分支机构管理。 资源访问控制 文件系统中存储企业内部各种资源，AD域可以根据用户角色控制文件系统中文件和文件夹的访问权限，保证资源池安全。

对象存储(Object Storage Service,OBS),是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力,包括:创建、修改、删除桶,上传、下载、删除对象等。支持S3协议,部分节点支持文件语义、HDFS协议。OBS系统和单个桶都没有总数据容量和对象/文件数量的限制,为用户提供了超大存储容量的能力,适合存放任意类型的文件,适合普通用户、网站、企业和开发者使用。

本节介绍了云数据库GaussDB 的应用场景。 交易型应用 大并发、大数据量、以联机事务处理为主的交易型应用，如政务、金融、电商、O2O、电信CRM/计费等，服务能力支持高扩展、弹性扩缩，应用可按需选择不同的部署规模。 详单查询 具备PB级数据负载能力，通过内存分析技术满足海量数据边入库边查询要求，适用于安全、电信、金融、物联网等行业的详单查询业务。

本节主要介绍操作系统更新。 GeminiDB Influx实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，GeminiDB Influx会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，GeminiDB Influx会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

编译安装(仅限Linux操作系统) 从源码上编译上安装。 1. 下载源码： redis7.2.4.tar.gz 2. 解压缩安装包 tar zxf redis7.2.4.tar.gz 3. 编译 cd redis7.2.4 make 4. 安装 make install 性能测试建议 为了排除网络或其他因素干扰， 建议Redis服务、ECS机器都是在同一个VPC区、可用区、子网和安全组。 而且压测的ECS机器也关闭了所有的防火墙。

参数 描述 是否必须 AWSAccessKeyId 用户的AccessKeyID信息，可以登录到可以登录到对象存储（经典版）I型控制中心，点击“访问控制”>“安全凭证”>“密钥”查看；或者调用ListAccessKey查看。 类型：字符串。 是 Expires 签名过期时间，按照秒来计算的。服务器端超过这个时间的请求将被拒绝。 类型：字符串。 是 Signature URL是按照HMACSHA1的StringToSign的Base64编码方式编码。 类型：字符串。 是

针对DDoS高防(边缘云版)退订操作，为您进行说明，请在退订前务必阅读以下内容。 退订规则说明 客户（天翼云用户）可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订。 七天无理由全额退订。新购资源实例（不包含进行了续订、规格升级、扩容、操作系统变更等操作的资源）在满足以下全部条件的前提下，享受七天无理由全额退订： （1）在资源开通的7天内发起退订； （2）发起退订操作的账号（“退订账号”）七天无理由全额退订次数不超过3次（每账号享有3次七天无理由全额退订次数）； （3）同一用户累计使用的七天无理由全额退订次数不超过24次。其中，同一用户是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一用户。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。客户同意天翼云使用上述信息核查同一用户情况。 成套资源退订属于退订一个资源实例，记为1次退订。 尽管有上述规则，客户不得利用退订规则频繁订购并退订服务，恶意占用天翼云及其他用户资源。如天翼云有合理理由怀疑客户存在频繁退订恶意占用天翼云及其他用户资源的，则天翼云有权取消该客户七天无理由全额退订的权利，并根据《中国电信天翼云用户协议》及网站相关规则和相关服务协议约定，采取相应措施直至终止服务，并追究客户的违约责任。 非七天无理由退订。不符合七天无理由全额退订条件的退订，都属于非七天无理由退订。非七天无理由退订，不限制退订次数，但退订需要收取相应的使用费用和退订手续费，且不退还代金券及优惠券，但符合下文“其他退订”情形的除外。 其他退订。主要 指因创建资源失败或资源未生效等因天翼云原因导致的用户退订。该类退订不限制退订次数，实现无条件退费。 注意 七天无理由退订仅限于新购资源的情形，若新购资源在7天内进行了续订或变更（包含但不限于规格升级、扩容、操作系统变更），退订时按非七天无理由退订处理，需要收取相应的使用费用和退订手续费，且不退还代金券及优惠券。 参与活动购买的云产品，如若本退订规则与活动规则冲突，以活动规则为准；活动中说明“不支持退订”的云服务资源不支持退订。 执行退订操作前，请确保退订的资源数据已完成备份或迁移，退订完成后的资源将被完全删除，且不可恢复，请谨慎操作。 表1 规则说明 退订场景 退订次数 收取手续费 收取已消费金额 返还代金券 返还优惠券 七天无理由全额退订 同一用户（含已注销账号）累计24次。每个账号享有3次。 否 否 是 否 非七天无理由退订 不限次数 是 是 否 否 因天翼云原因导致的退订 不限次数 否 否 是 否 （1）代金券指以券面金额代替现金用来支付订单费用的一类使用券。 （2）优惠券指折扣券和满减券，即购买某种云产品可以打折或者满足支付一定现金金额后可以抵扣部分订单费用的一类使用券。 （3）若用户使用代金券或优惠券订购资源并仅退订其中部分资源，退订发起页面提示退订完成后不返还该订单已使用的代金券和优惠券，并由用户确认是否依然执行退订。 （4）券类如果存在有效使用期，系统将不返还超出有效期的券类。

本章节介绍什么是密码服务。 密码服务是针对云上租户密评需求提供的端到端密评产品解决方案，产品基于具有商密资质的云密码机、密码服务在云上构建高性能密码资源池，为应用提供密钥管理、综合安全网关、协同签名等云原生密码服务，解决云上应用密评方案复杂、改造时间长问题，帮助租户快速通过密评。

本章为您介绍数据水印功能会不会修改源数据。 天翼云数据安全中心服务的数据水印功能不会修改源数据。 使用数据水印功能时，DSC通过调用OBS桶数据或者本地文件，将水印信息嵌入到文件后生成新的文档，该文档会下载到您指定的本地路径，所以对源数据不会有任何影响。更详细的了解，请参考数据水印章节。

本小节介绍等保咨询都有哪些优势。 一站式服务 提供从定级、备案、自评到整改、测评等一站式等保测评指导服务。 经验丰富 联合专业等保咨询机构，提供专业快捷的等保咨询方案，已在政府、金融、医疗等多个行业有成熟案例。 管理服务 专属的安全专家，提供全程服务，协助您提供测评。 专业快速 提供专业快速的等保定级、备案、差距分析及整改的指导服务。

解绑标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 4. 选择需要解绑标签的数据库审计实例，单击“标签”旁的编辑按钮。 5. 在弹出的编辑标签窗口中，单击目标标签操作列的“删除”。 6. 单击“确定”，解绑标签完成。

本文为您介绍如何快速创建SSL VPN连接。 前提条件 客户端可以访问互联网。 客户端的私网网段和VPC的私网网段没有重合，否则无法访问VPC内的网络资源。 您已了解VPC中所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。 使用流程 1. 创建VPN网关。 创建VPN网关并开启SSL VPN功能。 2. 创建SSL服务端。 创建相应的SSL服务端，用于接入用户侧连接SSL VPN服务。 3. 创建SSL客户端。 在控制台创建SSL客户端，用于生成客户端连接SSL VPN服务端的配置。 4. 下载客户端证书。 在控制台下载客户端证书，一共三个证书。 5. 配置客户端。 下载客户端软件，安装并配置客户端。 6. 测试连通性。 登录客户端，访问VPC，测试网络连通性。

本节介绍了RabbitMQ接入的代码示例。 安全接入点(PLAIN、AMQPLAIN授权机制) java import com.rabbitmq.client.; import java.io.IOException; public class RabbitmqAmqpDemo { public static void main(String[] args) throws Exception { String host "192.168.0.0"; //安全接入点ip Integer port 5672; //安全接入点port String username "xxx"; //集群管理用户列表的用户名 String password "xxx"; //集群管理用户列表的密码 String vhost "/"; String exchangeName "extest"; String queueName "qutest"; ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setUsername(username); connectionFactory.setPassword(password); connectionFactory.setVirtualHost(vhost); Connection connection connectionFactory.newConnection(); Channel channel connection.createChannel(); channel.exchangeDeclare(exchangeName, BuiltinExchangeType.DIRECT, true); channel.queueDeclare(queueName, true, false, false, null); channel.queueBind(queueName, exchangeName, "test"); String message "Hello Aop"; for (int i 0; i < 10; i++) { channel.basicPublish(exchangeName, "test", null, message.getBytes()); System.out.println("消息发送成功"); } Channel consumeChannel connection.createChannel(); Consumer consumer new DefaultConsumer(consumeChannel) { @Override public void handleDelivery(String consumerTag, Envelope envelope, AMQP.BasicProperties properties, byte[] body) throws IOException { String messageGet new String(body, "UTF8"); if (messageGet.equals(message)) { System.out.println("消息消费成功"); } } }; consumeChannel.setDefaultConsumer(consumer); consumeChannel.basicConsume(queueName, false, consumer); Thread.sleep(10000); } } SSL接入点(EXTERNAL授权机制) java import com.rabbitmq.client.; import javax.net.ssl.KeyManagerFactory; import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManagerFactory; import java.io.FileInputStream; import java.io.IOException; import java.security.KeyStore; public class RabbitmqExternalDemo { public static void main(String[] args) throws Exception { String host "192.168.0.0"; //SSL接入点ip int port 5671; //SSL接入点port //以下2个ssl文件可通过控制台获取安装包, 具体的获取方式可以查看2.2.1接入步骤的第二小节 String ksFile "D:tmpsslclientrabbitmqkey.p12"; String tksFile "D:tmpssltruststore"; String vhost "/"; String exchangeName "extest"; String queueName "qutest"; char[] keyPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore ks KeyStore.getInstance("PKCS12"); ks.load(new FileInputStream(ksFile), keyPassphrase); KeyManagerFactory kmf KeyManagerFactory.getInstance("SunX509"); kmf.init(ks, keyPassphrase); char[] trustPassphrase null; trustPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore tks KeyStore.getInstance("JKS"); tks.load(new FileInputStream(tksFile), trustPassphrase); TrustManagerFactory tmf TrustManagerFactory.getInstance("SunX509"); tmf.init(tks); SSLContext c SSLContext.getInstance("tlsv1.2"); c.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setVirtualHost(vhost); connectionFactory.setSaslConfig(DefaultSaslConfig.EXTERNAL); connectionFactory.useSslProtocol(c); Connection connection connectionFactory.newConnection(); Channel channel connection.createChannel(); channel.exchangeDeclare(exchangeName, BuiltinExchangeType.DIRECT, true); channel.queueDeclare(queueName, true, false, false, null); channel.queueBind(queueName, exchangeName, "test"); String message "Hello Aop"; for (int i 0; i < 10; i++) { channel.basicPublish(exchangeName, "test", null, message.getBytes()); System.out.println("消息发送成功"); } Channel consumeChannel connection.createChannel(); Consumer consumer new DefaultConsumer(consumeChannel) { @Override public void handleDelivery(String consumerTag, Envelope envelope, AMQP.BasicProperties properties, byte[] body) throws IOException { String messageGet new String(body, "UTF8"); if (messageGet.equals(message)) { System.out.println("消息消费成功"); } } }; consumeChannel.setDefaultConsumer(consumer); consumeChannel.basicConsume(queueName, false, consumer); Thread.sleep(10000); } }

密码 可勾选“使用账户访问密码”增强账户安全，点击“更改账户访问”进行密码修改操作。 文件与附件 能选择将文件保存至桌面等指定位置，或每次询问保存位置。 阅读与显示 可选择是否查看内联附件，设置邮件自动标记已读的时机，还能设定显示名称规则以及处理回执的方式。 编写设置 支持设置邮件自动保存间隔及可以配置间隔时间，防止内容丢失。 拼写检查 设有 “发送前进行拼写检查” 和 “启用即时拼写检查” 选项，有效避免邮件拼写错误，提升内容准确性与专业性。 HTML样式 支持自定义字体、字号，灵活设置文本与背景颜色。用户可选择沿用阅读器默认颜色，也能一键恢复默认样式，满足多样化排版需求。 发送格式 提供“自动”“HTML和纯文本”“仅HTML”“仅纯文本” 四种模式。“自动” 模式智能适配，其他模式供用户依据收件方情况与具体场景灵活抉择。

本节介绍如何规划集群联邦网络。 全局网络架构 集群联邦控制面和成员集群间存在互联互通网络，以支撑联邦控制面与成员集群间的数据交互需求。联邦控制面整体组网，分为两个步骤来进行： 1. 三方集群接入云上注册集群：可选专线内网或公网方式接入，接入后三方集群均以HUB网关为代理向云上暴露访问接口。 2. 接入集群注册到具体联邦实例：注册集群和联邦实例间存在可能同资源池或跨资源池情况，不同情况下可选组网方式不一样，部分情况下也需要依赖用户介入来打通网络。 三方集群接入云上HUB网关 第一步：三方集群到云上接入网络规划 首先，需要规划天翼云上的资源池、VPC及子网信息，建议资源池与用户三方集群真实地域尽量就近或相同，以实现就近互联以及确保相关调度器识别的地理位置信息准确；云上VPC、子网可选择新建也可选择已有，只要确保不影响业务且有足够的VPC下资源配额即可； 如果选择新建VPC或子网，需要在这一步将相关资源准备好； 其次，用户集群与天翼云上VPC网络打通方式主要有公网和专线内网两种方式，具体选择哪个与用户场景对质量、成本的要求有关： 网络模式 优点 缺点 建议场景 公网 方便快捷、成本低廉。 稳定性及安全性差，不适合对网络质量及带宽高要求的场景，例如：云上云下一体化组网等混合云场景。 建议只功能验证场景使用，不建议应用于生产环境。 专线内网 基于天翼云专业的云间网络产品，将用户云下集群网络与云上VPC网络内网打通。 具备高安全性、高带宽低延时、高稳定性等特点。 成本相对公网略高，建设周期相对公网方式略长。 建议用户生产环境，或对云上云下网络稳定性、安全性等有较高要求的场景使用。 规划好云上资源池、VPC、子网及云上云下网络互通方式后，即可继续下一步； 第二步：创建云上注册集群，根据具体场景选择本地集群或三方云集群 进入天翼云【分布式容器云平台】产品页面，顶部切换到规划好的资源池，然后选择【集群资源】>【注册集群】，根据实际场景选择注册本地集群或注册三方云集群； 在集群订购页，选择步骤一中规划好的VPC、子网；若规划为公网方式接入注册集群，则还需启用【使用EIP暴露APIServer】，若规划为内网方式则无需启用；其他配置项按需设置即可； 最终根据指引，提交注册集群订购，并在【集群资源】>【集群管理】页面确认订购的注册集群已处于【待接入】状态； 第三步：打通用户集群到云上注册集群的网络连接 根据第一步规划的云上云下网络打通方式，参考下面指引进行实际网络打通： 网络模式 打通方式 公网 该方式要求用户集群具备主动访问公网的能力。 若用户集群为三方云集群，可参考三方云VPC下启用NAT主动访问公网配置指引进行操作；若用户集群为本地集群，则需按照本地实际网络情况进行配置，或联系您的网络管理员进行协助。 专线内网 天翼云提供了专业的云产品能力，来支持用户将云下IDC网络或三方云网络与天翼云上VPC网络内网打通。建议可选产品有： 云专线CDA：提供物理专线连接，具有高带宽、低延迟和高可靠性，适合需要高性能连接的场景。 VPN连接：如果对成本敏感且对带宽要求不高，可以选择VPN连接，通过IPsec协议建立加密隧道，实现安全的连接。 具体产品配置指引，请登录天翼云官网对应产品页查看。 在配置完网络互通策略后，用户可通过ping或telnet 注册集群网关地址，来验证实例的具体联通情况； 第四步：在用户集群中部署Agent，反向连接接入到云上 进入【集群资源】>【集群管理】，在对应注册集群右侧点击【接入配置】按钮，然后选择【接入信息】标签页。 根据选择的接入方式，下载对应网络模式的接入部署配置文件，然后apply到用户集群中。 待相关workload拉起后，可登录【集群管理】控制台，确认注册集群状态是否已变更为【运行中】；集群状态运行中代表注册集群已接入成功。

本文为您介绍客户端(个人电脑、手机、平板等)如何通过SSL VPN连接VPC。 背景信息 客户端通过SSL VPN隧道远程接入VPC，实现与VPC内资源的安全通信。 前提条件 客户端的地址池和VPC的子网网段没有重合。 客户端可以访问互联网。 您已经了解VPC中所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。 操作步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择目标资源池。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN连接页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取样 计费模式 选择创建VPN网关所使用的计费模式。 包年/包月 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngw1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 SSL 企业项目 选择当前VPN网关归属项目。 default 本端类型 通过VPN网关接入的资源类型。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc682f 子网 选择当前VPC中本端的子网资源。 subnet12345 SSL带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小。单位：Mbps，5M 起售。 20M SSL并发连接数 选择对应的SSL VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 资源到期后自动续订，按月购买时按月续订，按年购买时按年续订。 开启 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，点击“立即支付”，支付成功后，VPN网关创建成功。 说明 记录VPN网关的IP地址，步骤五配置客户端的时候使用。

本页介绍了分布式融合数据库HTAP的实例连接方式。 分布式融合数据库HTAP实例连接方式 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在ECS上，且该ECS与分布式融合数据库HTAP实例处于同一区域，同一VPC时，建议单独使用内网IP连接ECS与分布式融合数据库HTAP实例。 安全性高，可实现分布式融合数据库HTAP的较好性能。 推荐使用内网连接 术语解释： VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 设置安全组规则 安全组的规则设置请参考快速入门准备工作。 通过内网连接分布式融合数据库HTAP实例 1. 天翼云官网首页右上角选择控制中心，登录进入控制中心界面。 2. 控制中心产品概览页左上角单击管理控制台，选择区域。 3. 选择“数据库 > 分布式融合数据库HTAP”。进入分布式融合数据库HTAP控制台。 4. 实例列表中可以查看到每个实例的连接地址，连接地址中包含IP和端口。 通过连接地址中的IP及端口（计算节点的主机IP及服务端口）即可连接数据库，如果实例有多个连接地址，可以用搭建负载均衡的方式进行连接。 5. 连接分布式融合数据库HTAP前必须新建用户，点击对应实例的“更多 > 用户管理”进入用户管理，填写用户名、主机、权限、用户密码等信息，创建连接用户并授权。 6. 登录云主机后打开命令行输入窗口，凭数据库连接的IP及端口，以及新建用户连接数据库，如下命令。 mysql h{hostname} P{port} u{user} p{password} 参数： h：主机IP，即分布式融合数据库“实例管理”页面中实例连接地址的IP”。 P：数据库端口，为“实例管理”页面中连接地址的端口。 u：用户名，即用户创建的数据库帐号（用户不能使用root账号登录，必须新建用户）。 p：密码，即数据库帐号对应的密码，为创建数据库用户时指定的密码。 示例： mysql h 172.16.X.X P 8635 u root –p ‘’

2.创建存算分离集群 配置存算分离支持在新建集群中配置委托实现，也可以通过为已有集群绑定委托实现。本示例以开启Kerberos认证的集群为例介绍。 新创建存算分离集群 ： 1. 登录MRS服务控制台。 2. 单击“创建集群”，进入“创建集群”页面。 3. 在创建集群页面，选择“自定义创建”页签。 4. 在“自定义创建”页签，填写“软件配置”参数。 区域：请根据需要选择。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。 集群版本：请选择集群版本。 集群类型：选择“分析集群”或“混合集群”并勾选所有组件。 元数据：选择“本地元数据”。 5. 单击“下一步”，并配置硬件相关参数。 可用区：默认即可。 虚拟私有云：默认即可。 子网：默认即可。 安全组：默认即可。 弹性公网IP：默认即可。 集群节点：请根据自身需求选择节点规格和数量。 6. 单击“下一步”，并配置相关参数。 Kerberos认证：默认开启，请根据自身需要选择。 用户名：默认为“admin”，用于登录集群管理页面。 密码：设置admin用户密码。 确认密码：再次输入设置的admin用户密码。 登录方式：选择登录ECS节点的登录方式，本例选择密码方式。 用户名：默认为“root”，用于远程登录ECS机器。 密码：设置root用户密码。 确认密码：再次输入设置的root用户密码。 7. 本例以配置委托为例介绍，其他参数暂不配置，如需配置请参考创建自定义集群中的高级配置（可选）。 委托：选择1：创建具有访问OBS权限的ECS委托所创建的委托或MRS在IAM服务中预置的委托MRSECSDEFAULTAGENCY。 8. 通信安全授权请勾选“确认授权”，详细信息请参见授权安全通信。 9. 单击“立即申请”。等待集群创建成功。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。

本节为您介绍如何购买开通数据安全中心服务。 数据安全中心提供两个服务版本：标准版和专业版，两种扩展包：数据库扩展包和OBS扩展包。您可以根据业务需求购买数据安全中心服务。 购买约束 降配：数据安全中心DSC不支持降低购买版本的规格。如果您需要降低购买的DSC规格，可以先退订当前的DSC，再重新购买较低版本的DSC。 绑定关系：数据库扩展包和OBS扩展包与DSC版本绑定，不能单独续费或退订。 规格限制 1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等）资产。 1个OBS扩展包含1T体量，即1024G。 操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”。 4. 首次购买DSC，在界面左侧，单击“立即购买”。 5. 选择“区域”和“版本规格”，并选择“数据库扩展包”和“OBS扩展包”的数量。 扩展包： 1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等）资产。 1个OBS扩展包含1T体量，即1024G。 6. 数据安全中心可以选择1个月～3年的时长。 说明 勾选“自动续费”后，当服务期满时，系统会自动按照购买周期进行续费。 7. 在页面的右下角，单击“立即购买”。 8. 确认订单无误后，阅读并勾选“我已阅读并同意《数据安全中心免责声明》”，单击“去支付”。 9. 进入“付款”页面，请选择付款方式进行付款。

本文主要介绍VPC流日志功能及使用限制。 使用场景 使用VPC流日志功能，可以帮您采集指定VPC内网络实例的流量信息，包括入方向和出方向的流量。创建流日志后，您可以在配置的日志组中查看流日志记录。 通过流日志功能，可以满足以下业务场景的需求： 监控安全组和网络ACL的流量，帮您优化安全组和网络ACL的控制规则。 监控网络实例的流量情况，可以进行网络攻击分析等。 用于判断网络接口上出入流量的方向。 系统采集流日志数据不会影响您实际网络的吞吐量或者时延等，您可以根据需求创建或者删除流日志，不会对实际运行的网络造成任何风险。 注意 VPC流日志功能本身是免费的，但需要为使用过程中用到的其他云资源付费。例如，流日志数据存储在云日志服务中，将按云日志服务的标准收费，详情请参考云日志服务用户指南。 说明 VPC流日志功能支持区域： 华北华北，广东广州4，北京北京2，江苏苏州, 重庆重庆，陕西西安2，上海上海4，贵州贵州，湖南长沙2，福建福州，浙江杭州，湖北武汉2，四川成都3，江西南昌 VPC流日志数据说明 您可以为网卡、子网、虚拟私有云创建流日志。如果流日志的采集对象是子网或者虚拟私有云，则会监控子网或者虚拟私有云内的每个网络接口。 被监控的网络接口的流量将会被采集，生成流日志数据，流日志数据中包括流量的网卡ID，源地址、目的地址、源端口、目标端口以及数据包大小等字段。

本节介绍如何在云审计服务事件列表查看云防火墙(原生版)审计事件。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件名称 读写类型 绑定网卡 写类型 解绑网卡 写类型 绑定虚拟 IP 写类型 解绑虚拟 IP 写类型 绑定弹性 IP 写类型 解绑弹性 IP 写类型 路由表配置 新增路由表规则 写类型 路由表配置 修改路由表规则 写类型 路由表配置 删除路由表规则 写类型 更改安全组 写类型 获取 VNC 读类型 单点登录 读类型 云墙主机 开机 写类型 云墙主机 关机 写类型 云墙主机 重启 写类型

本章节介绍CNI插件的使用 背景 sidecar模式下，服务网格默认通过给业务pod注入一个istioinit容器配置iptabels规则，实现业务无感的流量拦截，但是这种配置方式需要较高的权限（NETADMIN 和 NETRAW），在对安全较为敏感的场景，这种配置方式可能带来安全风险。通过CNI插件方式，不需要用户提权的情况完成和istioinit相同的能力，实现容器流量拦截配置功能。CNI插件以DaemonSet方式部署在集群中，创建pod时完成容器网络配置。 操作 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，您可以选择对应的istio版本和相关配置，开启或关闭CNI插件，配置说明如下 配置 说明 版本 升级过程中可能同时存在多个版本，您可以选择一个版本开启CNI插件 排除的命名空间 排除的命名空间下的pod不会被CNI插件处理，一般配置为一些不希望注入网格sidecar的命名空间。请勿将需要注入sidecar的命名空间添加到CNI排除的命名空间列表中，可能导致pod启动失败。 使用CNI插件实现sidecar流量拦截配置 1. 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，开启网格CNI插件，完成后可以看到云容器引擎中已经部署了网格CNI 2. 部署应用服务，确保pod所在的命名空间及pod的标签满足sidecar注入规则，且pod所在的命名空间不在网格CNI插件的排除命名空间里；部署完成后可以看到pod注入了sidecar plaintext

本文介绍如何处理“不小心将CentOS根目录权限设置成777”的问题。当您出现类似问题时可参考本文。 问题描述 当您不小心执行了chmod R 777 /命令，导致CentOS云主机根目录以及下边的所有文件权限均被设置成了对所有用户都是可读、可写和可执行的。本文操作介绍如何修复该问题，但为了避免安全风险，建议您在进行完操作后立即备份数据并重装系统。 操作步骤 以下操作在CentOS8.0操作系统中进行了测试验证。 1. 不要退出故障云主机，在故障云主机上执行以下命令，修改ssh以及su相关的文件权限。 cd /etc chmod 644 passwd group shadow chmod 400 gshadow cd /etc/ssh chmod 600 moduli sshkey chmod 644 sshconfig ssh.pub chmod 640 R sshdconfig sshconfig.d chmod 711 /var/empty/sshd chmod u+s 'which su' 2. 执行systemctl status sshd 查看sshd状态，如果为错误状态，请查看错误原因，修改相关文件权限，直到sshd状态正常，然后进入下一步。 3. 创建一台权限正常的临时云主机：Linux操作系统，内核版本与故障云主机相同。 4. 执行以下命令，将所有文件的权限记录下来。 getfacl R / >systemp.bak 5. 使用scp命令将systemp.bak文件上传到故障云主机中，或者在故障云主机中下载该文件。 6. 在故障云主机中进行权限恢复操作。 setfacl restoresystemp.bak 7. 执行reboot命令重启操作系统。绝大多数系统文件的权限已经被恢复，但为了安全，请及时备份数据并重装系统。

设置高可用虚拟 VIP } garpmasterdelay 1 设置当切为主状态后多久更新 ARP 缓存 garpmasterrefresh 5 设置主节点发送 ARP 报文的时间间隔 trackinterface { eth0 使用绑定 VIP 的网卡 例如 eth0 } } > 2.3 启动keepalived： > > 3、在port为port5oq20ui7dl的实例中做同样的上述操作，keepalived的配置文件响应的地址需要修改下，然后启动keepalived服务。 注意 1、您需要将配置文件中的通信方式配置为单播通信方式做心跳检测。 2、您需要修改下配置文件中的vrrpgarpmasterrefresh参数，避免由于主备频繁切换或网络抖动等异常情况导致主备切换失败，建议配置值为 5s 。 步骤四：将虚拟IP与主备弹性云服务器绑定 点击绑定服务器，弹出的对话框中， 4.1 选择“服务器类型”：云主机/物理机 4.2 选择网卡：云主机支持多网卡，可选择主网卡/扩展网卡(需确保网卡与虚拟IP在同一子网内才可绑定）。 步骤五：放通安全组规则 放通绑定虚拟IP的弹性云服务器所在的安全组，即放通对端入向安全组规则协议为Any。 说明 1、出向默认是全通的，如果有做限制，请放通出向规则协议为Any。