配置项 是否必填 说明 域名 是 指定需要进行API自发现的域名。 自发现时间范围 是 配置自发现的开始时间和结束时间。 自发现时间范围须为晚于当前时间。 自发现时间范围最大跨度为3天。 自发现标签 否 针对本次自发现的API接口打上自发现标签，方便用户识别自发现结果。 标记内容可自定义或从已配置的标签内容中选择，自定义配置的标签内容会自动加入自定义标签。 如无需打标签，可不配置。 标签管理详见

本小节介绍态势感知资产收集的三种方式，包括主动扫描、被动发现、手工添加。 主动扫描 资产扫描任务管理，需在“资产管理 > 资产收集 > 主动扫描 > 扫描任务管理”页面添加、删除、编辑、开始、暂停。 添加扫描任务 添加扫描任务时，需要填写如下参数： 任务名称 扫描资产：扫描资产可以从内网资产中选择，也可任意添加。 扫描端口：系统内置多个类型的端口组，也可以任意添加单个或多个。 扫描类型：支持单次或周期。 扫描速度：支持慢速、中速、快速，扫描速度根据单位带宽情况选择。 允许扫描时间段 扫描端口组管理 根据不同的网络环境，系统内置多个扫描的端口组，支持添加、编辑、删除扫描端口组。 待确认资产 主动扫描发现的资产，可以通过开关控制是否需要人工确认： 如不需要进行人工确认，发现的资产直接进入资产列表。 如需要人工确认，扫描发现的资产进入“资产管理 > 主动扫描 > 待确认资产”页面，可以单个或批量确认资产，确认后进入资产列表。 被动发现 在“资产管理 > 资产收集 > 被动发现”页面，展示通过对流量分析发现的存活资产及操作系统。 被动发现的资产，可以通过开关控制，是否需要人工确认： 如不需要进行人工确认，发现的资产直接进入资产列表。 如需要人工确认，在被动发现页面，可以单个或批量确认资产，确认后进入资产列表。 手工添加 在“资产管理 > 资产收集 > 手工添加”页面，添加资产IP、归属信息、责任人、联系方式、硬件信息、厂商等信息后点击“保存”。 资产确认设置 主动扫描、被动发现的资产，可以通过开关控制，是否需要人工确认。 资产入库配置开关，在“系统管理 > 系统设置 > 功能配置”菜单页面，默认关闭。

方案介绍 当您购买了一台物理机后，了解其运行状态一定是您的迫切需求，天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。 本手册基于天翼云物理机和云监控服务实践所编写，指导您完成物理机的主机监控配置。 应用场景 新创建物理机场景 当您新建一台物理机时，可以利用CloudInit自动安装Agent，实现主机监控。 已有物理机场景 对于已有的物理机，您需要手动安装并配置Agent以实现主机监控。 约束和限制 Agent插件目前仅支持64位Linux操作系统的物理机实例。 用户私有镜像不在支持范围内。

您可以通过监控大盘查看业务整体情况。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏 “监控大盘”，进入监控大盘页面。 5. 监控大盘页面可查看多活容灾服务平台的流程指导和资源概览、命名空间汇总等信息。同时，可选择不同命名空间，查看应用端口状态、预案/容灾切换/应急演练/脚本情况和趋势。

本章节介绍故障演练服务的委托授权相关功能。 概述 故障演练服务 需要与分布式缓存服务Redis版 、分布式消息服务Kafka 等其他云产品 协同工作。为实现这一目标，当您首次使用本服务时，系统会请求您授权创建一个服务内联委托 ，以便平台能够安全地访问和管理您在其他云产品中的相关资源。 权限说明 为完成故障注入 等功能，故障演练平台 需要获得访问其他云服务 的权限。为此，系统需要您授权创建一个名为 CtyunAssumeRoleForADTSChaos 的服务内联委托。 此委托将绑定一个名为 CtyunAssumeRolePolicyForADTSChaos 的系统权限策略，可在统一身份认证 中的策略管理查看到该策略的授权范围。 服务内联委托说明 当您首次登录故障演练平台 控制台时，系统会自动检查 CtyunAssumeRoleForADTSChaos 委托 是否存在。若不存在，系统会弹出授权提示。在您确认后，系统将自动为您创建该委托及关联的权限策略。 验证方法： 您可以在 IAM 控制台的角色管理 页面，或通过API/CLI调用 ListDelegates，查看已创建的服务内联委托。 一个更简单的验证方法是：刷新或重新登录故障演练平台 控制台，如果所有功能均可正常使用且不再弹出授权提示，则表示委托已成功创建。 注意 如果没有CtyunAssumeRoleForADTSChaos服务内联委托权限，可能会因为某个服务权限不足而影响系统功能的正常使用。 请不要自行删除或者修改CtyunAssumeRoleForADTSChaos 委托以及CtyunAssumeRolePolicyForADTSChaos策略，这可能导致故障演练服务无法正常工作。

安装补丁 登录MRS管理控制台。 1. 选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 2. 进入“补丁信息”页面，在操作列表中单击“安装”。 3. 进入“警告”页面，选择是否开启“滚动补丁”。 说明 滚动安装补丁功能开启：补丁安装前不会停止服务，补丁安装后滚动重启服务来完成补丁安装，可以最大程度减少对集群业务的影响，但相比普通方式安装耗时更久。 滚动安装补丁功能关闭：补丁安装前会停止服务，补丁安装后再重新启动服务来完成补丁安装，会造成集群和服务暂时中断，但相比滚动方式安装补丁耗时更短。 少于2个Master节点和少于3个Core节点的集群不支持滚动方式安装补丁。 4. 单击“确定”，安装目标补丁。 5. 查看补丁安装进度。 a.访问集群对应的MRS Manager，详细操作请参见访问MRS Manager（MRS2.x及之前版本）。 b.选择“系统设置 > 补丁管理”，进入补丁管理页面即可看到补丁安装进度。 说明 对于集群中被隔离的主机节点，请参见 卸载补丁 登录MRS管理控制台。 1. 选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 2. 进入“补丁信息”页面，在操作列表中单击“卸载”。 3. 进入“警告”页面，选择是否开启“滚动补丁”。 说明 滚动卸载补丁功能开启：补丁卸载前不会停止服务，补丁卸载后滚动重启服务来完成补丁卸载，可以最大程度减少对集群业务的影响，但相比普通方式卸载耗时更久。 滚动卸载补丁功能关闭：补丁卸载前会停止所有服务，补丁卸载后再重新启动所有服务来完成补丁卸载，会造成集群和服务暂时中断，但相比滚动方式卸载补丁耗时更短。 少于2个Master节点和少于3个Core节点的集群不支持滚动方式卸载补丁。 4. 单击“确定”，卸载目标补丁。 5. 查看补丁卸载进度。 a.访问集群对应的MRS Manager，详细操作请参见访问MRS Manager（MRS2.x及之前版本）。 b.选择“系统设置 > 补丁管理”，进入补丁管理页面即可看到补丁卸载进度。 说明 对于集群中被隔离的主机节点，请参见

场景描述 消息轨迹记录了一条消息从生产端到消息队列RocketMQ服务端，再到消费端的整个过程，包括各阶段的时间、执行状态等。 使用说明 客户端SDK默认不开启消息轨迹功能，需要在消息收发时主动开启消息轨迹，以Java为例，如下所示： 生产者启用消息轨迹： DefaultMQProducer producer new DefaultMQProducer("ProducerGroupName",new AclClientRPCHook(new SessionCredentials("控制台角色AK","控制台角色CK")),true,null); 消费者启用消息轨迹： DefaultMQPushConsumer consumer new DefaultMQPushConsumer( "ConsumerGroupName" ,newAclClientRPCHook( new SessionCredentials( "控制台角色AK" ,"控制台角色CK" ) ) ,newAllocateMessageQueueAveragely() ,true ,null); 消息轨迹的查询方式 1. 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2. 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3. 进入实例列表，点击【管理】按钮进入管理菜单。 4. 根据查询结果，查看消息轨迹。

概念 说明 身份提供商（Identity Provider，IdP） 存储企业内部用户数据，能够提供身份管理能力的服务。在企业完成与天翼云的联邦身份认证流程中，身份提供商指企业内部用户管理身份系统。常见的企业IdP有Microsoft Active Directory Federation Service （AD FS）、Shibboleth等。 服务提供商（Service Provider，SP） 服务提供商指在建立与身份提供商的互信关系后，使用身份提供商的用户数据，为用户提供具体服务的实体。在企业完成与天翼云的联邦身份认证流程中，服务提供商指天翼云。 SAML 2.0 SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域之间交换认证和授权数据，例如IdP和SP之间，SAML 2.0是目前实现企业SSO的一套开放标准。

本章节介绍了如何查询分布式消息服务RocketMQ实例的Topic。 操作场景 Topic创建成功后，查询Topic相关的配置和状态信息。 操作步骤 1. 登录分布式消息服务RocketMQ控制台。 2. 单击RocketMQ实例的名称，进入实例详情页面。 3. 在左侧导航栏，单击“Topic管理”，进入“Topic管理”页面。 4. 单击需要查询的Topic名称，进入Topic详情页面。 在详情页上方可以查看Topic名称、关联代理、读队列个数、写队列个数和权限。 在详情页下方可以查看Topic在每个代理上的队列状态，包括队列ID、最小偏移量、最大偏移量和消息更新时间。还可以查看消费组消费此Topic的情况，包括消费组名称、最大重试次数和广播消费。 图 Topic详情

本页介绍天翼云TeleDB数据库鉴权配置。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航中单击参数管理。 2. 选择鉴权配置 页签，单击批量配置， 出现鉴权修订 对话框。 3. 在鉴权修订对话框中，您可根据自己的实际需求修改参数值，单击下一步 ，进入配置生效节点修改 页面。 4. 在配置生效节点页面，您可根据实际需求勾选节点组 ，单击下一步 ，进入确认信息页面。 5. 在确认信息页面，您可根据实际情况核对信息，若确认信息无误，单击确定 。 6. 出现注意提示 框，单击确定 。 7. 您可单击立即前往去任务管理查看执行详情。

介绍管理迁移任务的具体步骤。 您可通过媒体存储控制台进行迁移任务管理。 查看迁移任务列表 您进入媒体存储控制台，选择对象存储在线迁移菜单，可通过任务列表，可查看所有的迁移任务，以及对应的迁移进度、迁移的传输容量、迁移状态、迁移用时等信息。 查看迁移任务详情 1. 进入媒体存储控制台，选择对象存储在线迁移菜单。 2. 找到对应的迁移任务，点击操作的【详情】按钮。 3. 进入任务详情页面，可查看对应任务的详细信息，并获取迁移报告存储路径。 重试失败对象迁移 对于迁移失败的对象，产品提供了重试迁移的功能，用户可以在任务详情页面点击【重试迁移】，产品将自动新建一个迁移任务进行重试。 注意 已开启迁移报告的迁移任务才可进行重试失败对象迁移。

本页介绍天翼云TeleDB数据库节点规格变更。 随着业务的不断增加，实例的CPU和内存资源可能会成为实例性能的瓶颈，无法满足业务要求时，TeleDB提供了规格变更功能来提升实例的CPU和内存。 操作步骤 1. 登录TeleDBDCP数据库管理平台。 2. 在左侧导航树中，选择实例管理 > 实例列表 ，右侧页面可查看实例列表。 3. 在实例列表页面，单击目标实例的更多 > 规格变更 ，弹出节点规格变更对话框。 4. 在节点规格变更 对话框，选择节点类型 ，设置节点目标规格 或勾选自定义 ，可自定义节点规格。 说明 自定义规格要大于节点原规格。 5. 单击确定完成节点规格变更。

本章节主要介绍复制API。 操作场景 您可以通过复制API功能，得到与原API配置相同的API。 前提条件 已创建API。 操作步骤 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图：选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.单击“开发API > API管理”页面，进入API管理页面。 4.勾选待复制的API所在行，在API列表上方，选择“更多 > 复制”，弹出复制窗口。 5.在弹出的窗口中输入新API的名称和请求path，点击确认即可完成API复制。 详见下图：复制API

本文通过图文说明如何查看证书部署历史。 功能介绍 在您使用全站加速的过程中，可能会不定期修改证书信息，证书管理目录下的部署历史可以供您查看证书的部署历史。 配置说明 1. 登录客户控制台。 2. 进入【证书管理】【部署历史】页面。 3. 按需选择部署状态、证书备注名、输入关键字等进行查询。可查看证书备注名、证书通用名称、证书品牌、颁发时间、到期时间、创建时间、更新时间、部署状态、历史版本。 4.点击操作列的【历史版本】，可查看证书的版本、授权域名、颁发机构、 颁发时间、到期时间、操作类型、更新时间。

本节主要介绍如何在智能视图服务控制台创建、下载GB35114凭证。 设备控制台创建证书并下载 登录当前设备的管理控制台，地址通常为设备IP。平台接入方式下拉选择【28181】并勾选【启用国密模式】后，在证书管理点击【创建】。 在弹出的窗口中填入相应的信息完成证书创建并下载到本地。 平台侧创建GB35114凭证并下载 在平台侧的凭证管理页面，点击【新建GB35114凭证】，选择刚刚下载到本地的证书并上传，平台可自动解析出证书中包含的信息并显示设备名称和国标ID，配置好证书截止的有效时间后点击【确定】完成GB35114凭证的创建。 创建完成后，可在凭证列表查看该凭证并下载使用。

本节介绍了如何复制云数据库GaussDB 的参数模板。 操作场景 您可以复制您创建的自定义数据库参数模板。当您已创建一个数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案。 复制数据库参数模板之后，新参数模板可能不会立即显示，建议您等待至少5分钟再使用。 您无法复制默认参数模板。不过，您可以创建基于默认参数模板的新参数模板。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“参数模板管理”页面的“自定义”页签，选择需要复制的参数模板，单击“复制”。 步骤 3 在弹出框中，填写新参数模板名称和描述，单击“确定”。 参数模板名称长度在1~64个字符之间，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256字符，且不能包含回车和>!<"&'特殊字符。 创建完成后，会生成一个新的参数模板，您可在参数模板列表中对其进行管理。

本章节会介绍如何通过图形化界面连接MySQL实例 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 本章节以MySQLFront为例，介绍通过图形化界面连接RDS for MySQL实例。 使用MySQLFront连接实例 1、启动MySQLFront客户端。 2、在连接管理对话框中，单击“新建”。 图1 连接管理 3、输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 登录关系型数据库的管理控制台。 选择目标实例所在区域。 单击目标实例名称，进入“基本信息”页面。 在“连接信息”模块，可查看“内网地址”信息。如果通过公网连接，主机IP为目标实例的弹性IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的帐号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 4、在“连接管理”窗口，选中刚刚创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图3 打开登录信息

本章节会介绍如何通过图形化界面连接MySQL实例 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 本章节以MySQLFront为例，介绍通过图形化界面连接RDS for MySQL实例。 使用MySQLFront连接实例 1、启动MySQLFront客户端。 2、在连接管理对话框中，单击“新建”。 图1 连接管理 3、输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 登录关系型数据库的管理控制台。 选择目标实例所在区域。 单击目标实例名称，进入“基本信息”页面。 在“连接信息”模块，可查看“内网地址”信息。如果通过公网连接，主机IP为目标实例的弹性IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的帐号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 4、在“连接管理”窗口，选中刚刚创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图3 打开登录信息

本节介绍专属加密限制说明及操作指引。 限制说明 专属加密实例需要配合虚拟私有云（VPC）一起使用。创建专属加密实例后，需要在管理控制台中实例化专属加密实例（配置VPC网络、安全组、网卡），才能正常使用。 专属加密实例出于安全性的考虑，不对公网提供服务，您需要将专属加密实例管理工具部署到与专属加密实例同一VPC网络中，才能对专属加密实例进行管理。 操作指引 当用户需要在云上使用专属加密服务时，可通过Dedicated HSM界面创建专属加密实例。创建专属加密实例后，当用户收到Dedicated HSM邮寄的Ukey后，通过Ukey初始化，并管控专属加密实例。用户通过专属加密实例管理工具授权业务APP，允许业务用户通过业务APP访问专属加密实例。操作指引如图所示。 操作指引说明如下表所示。 操作指引说明 编号 操作步骤 说明 操作角色 1 创建专属加密实例 通过Dedicated HSM界面创建专属加密实例。 用户 2 分配专属加密实例 Dedicated HSM分配专属加密实例给用户。安全专家将通过您提供的联系方式与您联系，并确定您订购的专属加密实例是否满足您的业务要求，若满足要求，安全专家将分配专属加密实例给您。 专属加密服务安全专家 3 邮寄UKey并提供配套初始化文档及软件 安全专家将通过您提供的Ukey收件地址将Ukey邮寄给您。Ukey是Dedicated HSM提供给您的身份识别卡，此卡仅购买专属加密实例的用户持有，请妥善保管。 安全专家将会为您提供初始化专属加密实例的软件及相关指导文档。 专属加密服务安全专家 4 初始化、管控（UKey认证） 在专属加密实例管理节点上安装我们为您提供的管理工具。使用Ukey和管理工具初始化专属加密实例，并注册相应的管理员，管控专属加密实例，对密钥进行管理。 用户 5 安装安全代理软件并授权 在业务APP节点上安装我们为您提供的安全代理软件并执行相关初始化操作。 用户 6 访问 业务APP通过API或者SDK的方式访问专属加密实例。 用户

前提条件 已购买DBSS实例。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“管理与监管 > 云监控服务 CES”。 3. 在左侧导航树栏，选择“告警 > 告警规则”，进入“告警规则”页面。 4. 在页面右上方，单击“创建告警规则”，进入“创建告警规则”界面。 5. 设置告警规则名称，选择告警规则“归属企业项目”。 6. 在“资源类型”下拉列表框中选择“数据库安全服务”，选择“维度”、“监控范围”，设置告警模板、是否发送通知，如图所示。 设置DBSS监控告警规则 7. 单击“立即创建”，在弹出的提示框中，单击“确定”， 告警规则创建成功。 查看监控指标 您可以通过管理控制台，查看DBSS的相关指标，及时了解数据库安全状况，并通过指标设置防护策略。 前提条件 DBSS已对接云监控，即已在云监控页面设置监控告警规则。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“管理与监管 > 云监控服务 CES”。 3. 在左侧导航树栏，选择“云服务监控 > 数据库安全服务”，进入“云服务监控”页面。 4. 在目标DBSS实例所在行的“操作”列中，单击“查看监控指标”，查看对象的指标详情。

本示例以创建一台包年包月云主机为例,介绍如何使用模板创建一台包年包月云主机。 操作场景 本示例以创建一台包年包月云主机为例，介绍如何使用模板创建一台包年包月云主机。 不同架构内设云资源不同，本文及供参考。 操作步骤 1. 登录控制中心。 2. 在控制台首页搜索“资源编排ROS”，或在左侧产品导航栏选择“迁移与管理 > 管理工具 > 资源编排ROS”，进入资源编排控制台。 3. 在左侧导航栏选择 模板管理。 4. 在模板管理页面，单击创建模板。 5. 创建包年包月云主机的.tf模板示例如下，请参考文档创建模板完成模板配置。 java terraform { requiredproviders { ctyun { source "ctyunit/ctyun" version "1.2.0" } } } 支持配置资源池、可用区和企业项目，若不配置资源池，则会使用页面选定的资源池 ak/sk无需配置，会自动获取当前账号的ak/sk provider "ctyun" { regionid "bb9fdb42056f11eda1610242ac110002" azname "cnhuadong1jsnj1Apublicctcloud" } 创建vpc resource "ctyunvpc" "vpctest" { name "vpcforecs" cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true } 在vpc下创建子网 resource "ctyunsubnet" "subnettest" { vpcid ctyunvpc.vpctest.id name "subnetforecs" cidr "192.168.1.0/24" description "terraform测试使用" dns [ "114.114.114.114", "8.8.8.8" ] enableipv6 true }

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍精准访问控制功能说明，以及如何配置自定义访问控制策略。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 使用限制 基础版不支持精准访问控制功能，请升级到更高版本使用。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“精准访问控制”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入精准访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、过期时间、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截：选择拦截时，支持开启“攻击惩罚”。 说明 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。

本章节会介绍如何比较参数模板。 操作场景 您可以比较同数据库类型的实例参数模板，以了解当前实例参数的差异项。 您也可以比较同数据库类型的默认参数模板，以了解当前参数模板的配置情况。 比较当前实例参数模板 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏中选择“参数修改”，在“参数”子页签中单击“比较参数”。 步骤 6 在弹出框中选择当前实例同数据库类型的参数模板，单击“确定”，比较两个参数的差异项。 有差异项，则会显示差异参数的如下信息：参数名称、当前实例参数模板的参数值和被比较参数模板的参数值。 无差异项，则不显示。 比较目标参数模板 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“参数模板管理”页面的“自定义”页签，选择一个用户创建的参数模板，单击“比较”。 步骤 5 选择同一数据库引擎的不同参数模板，单击“确定”，比较两个参数模板之间的配置参数差异项。 有差异项，则会显示差异参数模板的如下信息：参数名称、参数值。 无差异项，则不显示。

本文为您介绍CentOS 7重启后dhclient未运行,导致无法获取IP的解决办法。 问题描述 云服务器启动后dhclient未运行导致IP无法获取。 问题分析 重启后dhclient进程未运行的根因通常为： 1. NetworkManager未开启自启动导致dhclient进程未运行。 2. 网卡设备未纳入NetworkManager管理导致。 约束与限制 本节操作适用于CentOS 7系列使用DHCP获取IP。 1. 执行以下命令，确认dhclient是否运行。 ps ef grep dhclient grep v grep 2. 如果未找到dhclient进程，则确认dhclient进程未运行，执行以下命令，继续排查NetworkManager是否运行。 systemctl status NetworkManager 如果NetworkManager的状态为Active: inactive (dead)，则NetworkManager未启动，执行以下命令，检查该服务是否开机自启。 systemctl isenabled NetworkManager 结果为disabled则确认为NetworkManager未设置开机自启导致，执行以下命令进行恢复。 systemctl enable NetworkManager && systemctl start NetworkManager 如果NetworkManager的状态为Active: active (running)，执行以下命令查看网卡设备是否被NetworkManager管理。 nmcli device status 如果显示该网卡为的STATE为unmanaged，则该网卡设备未被NetworkManager管理，执行以下命令进行恢复。 nmcli device set eth0 managed yes 3. 执行以下命令重启NetworkManager。 systemctl restart NetworkManager 4. 执行以下命令查看ip是否已经获取。 ip add

本节主要介绍智能视图服务的向上级联功能概述。 级联定义 级联：两个信令安全路由网关之间是上下级关系，下级信令安全路由网关主动向上级信令安全路由网关发起注册，经上级信令安全路由网关鉴权认证后才能进行上下级系统间通信。 用户可在智能视图服务控制台，创建本级平台，并选择当前已接入的设备/平台，重新组织排序后，共享给第三方平台以供调阅使用，即向上级联。 级联功能说明 创建本级平台时，支持填写上级平台信息，以虚拟业务组或行政区划结构推送至上级平台进行级联。 支持本平台级联的启停、级联状态查阅、设备增减等平台管理操作。 支持第三方上级平台对本平台级联设备的实时预览、录像回放、云台控制等操作。 支持的设备目录模式 智能视图服务已提供虚拟业务组 及行政区划两种设备目录模式，以方便用户对级联至上级平台的设备进行管理和排序。 虚拟业务组及行政区划的操作说明请参考【向上级联管理级联组织树】。 虚拟业务组 虚拟业务组模式下，支持随意对目录、设备进行归并与排序，无目录层级限制。

移动端投屏 天翼AI云电脑移动客户端作为投屏端，可以通过扫码或输入投屏码方式进行投屏操作。 使用扫码投屏 操作步骤： 1.登录移动设备天翼AI云电脑客户端，在首页左上角，点击“扫一扫”，扫描投屏接收端的投屏二维码； 2.扫码后，可在AI云电脑列表弹窗选择需要投屏的AI云电脑，点击进入即可开始投屏。 3.选择投屏后，即可进行投屏连接。 使用投屏码投屏 操作步骤： 1.登录移动设备天翼AI云电脑客户端，在AI云电脑列表选择进入投屏的AI云电脑； 2.进入AI云电脑后，在顶部工具栏，点击“控制中心”“管理”； 3.在管理页面控制中心入口管理，开启“翼投屏”功能； 4.开启后，在顶部工具栏，点击“控制中心”，可查看到翼投屏功能； 5.点“翼投屏”，弹出投屏界面，输入投屏码进行投屏； 6.输入后等待投屏显示即可，连接成功后投屏接收端会显示如下界面。

移动端投屏 天翼云电脑移动客户端作为投屏端，可以通过扫码或输入投屏码方式进行投屏操作。 使用扫码投屏 操作步骤： 1.登录移动设备天翼云电脑客户端，在首页左上角，点击“扫一扫”，扫描投屏接收端的投屏二维码； 2.扫码后，可在云电脑列表弹窗选择需要投屏的云电脑，点击进入即可开始投屏。 3.选择投屏后，即可进行投屏连接。 使用投屏码投屏 操作步骤： 1.登录移动设备天翼云电脑客户端，在云电脑列表选择进入投屏的云电脑； 2.进入云电脑后，在顶部工具栏，点击“控制中心”“管理”； 3.在管理页面控制中心入口管理，开启“翼投屏”功能； 4.开启后，在顶部工具栏，点击“控制中心”，可查看到翼投屏功能； 5.点“翼投屏”，弹出投屏界面，输入投屏码进行投屏； 6.输入后等待投屏显示即可，连接成功后投屏接收端会显示如下界面。

如何发起周期性会议？ 发起周期性会议的步骤如下： 1. 在AOne会议主界面，点击“预定会议”。 2. 在预定会议设置界面，找到并点击“重复”选项框。 3. 在弹出的选项中，勾选您需要的周期性会议类型（如每天、每周、每月等）。 4. 完成其他必要设置后，点击“预定会议”按钮即可完成周期性会议的预定。 如何开启会议水印？ 开启会议水印功能，可通过以下方式操作： 预定会议时开启（会议创建者）：在AOne会议主界面，点击“预定会议”，在预定会议界面找到并勾选“开启会议水印”选项即可。 会议中开启（主持人/联席主持人）：在AOne会议PC端会中页面，点击底部工具栏的“安全”按钮，在“会议管理”页中勾选“开启会议水印”选项即可。 如何锁定会议？ 开启锁定会议功能，可通过以下方式操作： 预定会议时锁定（会议创建者）：在AOne会议主界面，点击“预定会议”>展开“更多安全设置”选项，在“会议管理”页找到“锁定会议”选项>点击“锁定会议”旁边的下拉框>选择“仅主持人邀请可加入”即可。 会议中开启（主持人/联席主持人）：在AOne会议PC端的会中页面，点击底部工具栏的“安全”按钮，在“会议管理”页找到“锁定会议”选项>点击“锁定会议”旁边的下拉框>选择“仅主持人邀请可加入”即可。

本文为您介绍管理设置类常见问题。 为什么子用户授权了产品创建权限，但是提交订单时会提示没有权限？ 如果产品通过订单开通，那么子用户在授予创建资源权限后，也需要授权订单管理的“CtyunBssAdmin”权限，详细操作流程可以参考子用户如何创建和下单一类节点资源（以云主机为例）。如果子用户需要支付时使用代金券、优惠券等，需要同时授予“mkt admin”策略。 为什么子用户授权后部分资源池不生效？ 目前一类节点和二类的节点的子用户产品授权是分开管理，如果需要对一类节点授权请点击这里操作：一类节点授权链接， 对二类节点授权点击这里操作：二类节点授权链接。此外，部分云服务的权限区分了资源池，在一部分资源池上，可能出现对子用户完成IAM授权后，子用户在访问时仍出现权限不足的问题，此时需要在企业项目上进行授权，云服务会在文档或系统策略中标注这种特殊情况。 子用户是否可以使用主用户创建的资源？ 可以使用，子用户可以通过两种方式使用主用户开通的资源： 方式一：通过企业项目授权，这种方式子用户只能使用企业项目内的资源。管理员可以创建一个企业项目，然后将允许子用户使用的资源迁移到这个项目下，然后在这个项目上对子用户所在的用户组授予资源对应产品的权限。企业项目授权的详细步骤请参考基于企业项目完成授权。 方式二：通过IAM授权，这种方式子用户可以使用具体资源池或全局下的云服务资源。IAM授权的详细步骤请参考用户组授权。