修改后端服务的超时时间上限“backendtimeout”后未生效 问题描述 修改专享版APIG实例参数“backendtimeout”后未生效。 可能原因 在“定义后端服务”中，“后端超时(ms)”未修改。 解决方法 登录控制台，在“API管理”中，进入目标API详情，单击“编辑”，在“定义后端服务”中配置“后端超时(ms)”。 如何切换调用环境？ 默认调用“发布”环境的API。如果您要调用其他环境的API，请添加请求消息头XStage，参数值填写环境名称。 调用请求包最大支持多少？ 专享版：API每次最大可以转发Body体为12MB的请求包。请求body体超过12M时，根据业务需求，请在“实例概览”的配置参数中修改“requestbodysize”参数。“requestbodysize”表示API请求中允许携带的Body大小上限，支持修改范围1~9536 M。 使用iOS系统时，如何进行APP认证？ 目前API网关为APP认证提供了Java、Python、C、PHP、Go等多种语言的SDK与demo，当您使用iOS系统（ObjectiveC语言）或者其他未包含在内的语言时，请参考“开发指南 > 使用APP认证调用API > APP认证工作原理”的指导进行APP认证。 最多支持创建多少个APP？ 每个用户最多创建50个APP。 APP认证的API，怎样实现不同的第三方之间无法知道对方调用情况？ 创建多个APP，并绑定同一个API，分发给不同的第三方不一样的APP。 APP认证的API，有没有限制可以给多少个第三方使用？ 没有限制。 APP认证的API，是否需要自己创建APP？ 是，需要自行创建APP，并绑定API。创建完成APP后，系统自动生成AppKey和AppSecret，将AppKey和AppSecret给第三方，就可以直接调用此API了。

本章节介绍应用服务网格CSM相关名词解释 控制面（ Control plane ） 控制面是整个服务网格的控制中枢，负责整个网格的管理，包括sidecar注入，服务发现和服务治理配置分发以及证书管理功能等。 数据面（ Data plane ） 数据面是实际执行流量治理的代理服务器，在istio里面采用Envoy作为流量代理服务器，Envoy会拦截进出业务服务的流量并执行相应的流量治理策略。 sidecar 注入（ sidecar injection ） 在业务pod内部增加一个sidecar，用于实现流量拦截和代理功能，称为sidecar注入；在K8S的使用场景下，一般采用webhook机制实现业务无感知的sidecar注入。 虚拟服务（ Virtual Service ） 虚拟服务是istio定义的流量治理对象，能够实现对指定服务配置路由规则的功能，匹配到该路由规则的请求将根据配置被转发到相应的目标。 目标规则（ Destination Rule ） 目标规则时istio定义的用于管理流量转发目标服务的对象，比如可以使用目标规则设置要转发的目标服务的版本、超时重试策略、熔断策略等。 对等身份认证（ Peer Authentication ） 在服务网格内，服务之间通信都要经过sidecar，对等身份认证策略定义了sidecar之间的通信安全策略，可以是明文传输，或者强制TLS加密通信，或者两种都可以。 请求身份认证（ Request Authentication ） 请求身份认证定义了服务对于收到的请求的身份认证策略，比如可以配置服务按照jwt策略对请求的身份进行认证，认证之后可以基于请求者的身份做进一步的访问授权策略。

WAF原生版是否支持HTTPS双向认证？ HTTPS双向认证是相较于HTTPS单向认证而言的，HTTPS单向认证是指客户端在请求服务器数据时，需要验证服务器的身份。而双向认证是在此基础上，服务器端验证客户端的身份，从而实现双向认证。 双向认证主要应用场景是部分重要业务需要验证客户端身份时，需要使用双向验证。而使用WAF防护的业务，一般为对公众提供的Web服务，其原始业务不会有双向验证的要求，故当前WAF原生版不支持HTTPS双向认证。 WAF原生版是否支持WebSocket协议？ WebSocket是HTML5引入的一项技术，用于在Web应用程序中实现实时双向通信。与传统的HTTP请求响应模型不同，WebSocket允许服务器主动向客户端推送数据，而不需要客户端发起请求。WebSocket连接保持打开状态，允许客户端和服务器之间进行双向通信，这为实时应用程序提供了更高效和实时的通信方式。当前WAF支持WebSocket进行用户业务的转发，实现WebSocket通信。 若一个IP同时配置了白名单和黑名单，优先级是什么？ IP白名单的优先级高于黑名单，若同时配置了白名单和黑名单，则优先以白名单为准，详情请参见IP黑白名单。 WAF支持设置单条防护规则的防护状态吗？ 支持。 WAF原生版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 WAF支持针对地理位置配置禁止访问策略吗？ 支持。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。通过地域访问控制模块，可以满足针对地理位置的黑名单封禁。支持封禁的地域请参见地域访问控制。 注意 WAF云SaaS模式的基础版不支持地域访问控制功能，请升级到更高版本使用。

本文为您介绍敏感操作保护的内容 操作场景 当主用户及子用户在控制台进行敏感操作时（如删除弹性云主机）, 操作保护将通过虚拟MFA、手机短信或邮箱等方式二次确认当前操作，避免误操作导致的损失。 操作步骤 开启操作保护 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“概览 ”，进入“敏感操作”。 3. 点击“立即修改”，选择“开启”操作保护，当前支持主用户认证、操作用户认证以及指定人员认证。 其中，主用户认证代表所有操作保护认证由主用户验证。操作用户不限制主、子用户，触发敏感操作的用户自行验证。指定人员需验证需指定手机号。 注意 建议您开启敏感操作保护，优先选择“操作用户验证”，避免高危误操作带来的损失，同时支持验证的灵活性。 4. 在控制台执行相关敏感操作时，后台根据操作保护的配置以及采集的多因素验证信息（手机验证码、邮箱验证码、虚拟MFA等），通过弹窗的方式对用户的身份进行二次校验。如果验证通过，系统才会放行对应的操作行为，否则会阻止敏感操作。 以删除 IAM 用户，选择“操作用户验证”为例。当前支持操作用户手机验证、邮箱验证两种方式。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 csslink Elasticsearch服务器列表 配置为一个或多个Elasticsearch服务器的IP地址或域名，包括端口号，格式为“ip:port”，多个地址之间使用“;”分隔。 192.168.0.1:9200;192.168.0.2:9200 安全模式认证 是否开启安全模式认证。 如果所需连接的CSS集群在创建时开启了“安全模式”，该参数需设置为“是”，否则设置为“否”。 是 用户名 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的用户名。 admin 密码 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的密码。 https访问 CSS集群开启安全认证模式时显示此参数。该参数表示开启https访问，https访问相较于http访问更安全。 是

本文介绍企业中心的开通方式以及限制条件 企业中心开通的前提条件 1. 完成“企业实名认证”的账号才能开通企业中心，企业实名认证请参考“企业账号如何完成实名认证” 2. 未加入任何企业组织的账号才能开通企业中心。 3. 完成阅读并勾选同意企业中心相关开通协议。 相关限制 1. 账号实名认证企业为“个体工商户”不支持开通企业中心。 2. 账号渠道来源为代理商客户不支持开通企业中心。 企业中心开通入口 中国电信天翼云管理中心

参数 说明 取值样例 名称 VPN连接的名称。 connection1 VPN网关 选择已经创建的VPN网关。 vpngateway46c1ipsec 用户网关 选择已经创建的用户网关。 usergateway5da3 路由模式 支持目的路由和感兴趣流两种路由模式。 感兴趣流 本端子网 选择VPC侧哪个子网需要和企业侧进行联通。 subnetb2a0(192.168.1.0/24) 对端网段 配置企业侧哪个网段需要和VPC侧进行联通。 172.16.1.0/24 协商生效 支持立即协商和流量触发两种协商方式。 立即协商 认证方式 支持密钥认证和证书认证两种认证方式。 密钥认证 预共享密钥 设置自定义密钥。 ctyuntest01 确认密钥 设置确认密钥。 ctyuntest01 LocalId 支持FQDN和IP格式 默认为当前选取的网关地址，如11.XX.XX.11 RemoteId 支持FQDN和IP格式 默认选择用户网关的公网地址，如121.XX.XX.113

IfExists条件运算符 IfExists：如果请求的内容中存在关键字，则依照策略所述的条件来处理关键字。如果该关键字不存在，则条件元素的计算结果将为true。 目前仅Bool型和数字类型的运算符支持使用IfExists条件运算符，表达形式：运算符IfExists，例如BoolIfExists、NumericEqualsIfExists。对于…IfExists的使用见示例1和示例2。 示例1 拒绝没有使用MFA认证的控制台请求，不拒绝使用MFA认证的控制台请求和使用密钥的API请求。但如果允许使用MFA认证的控制台请求和使用密钥的API请求，需要再写显性允许语句。 "Effect" : "Deny", "Condition" : { "Bool" : { "ctyun:MultiFactorAuthPresent" : false } } 拒绝没有使用MFA认证的控制台请求及使用密钥的API请求，不拒绝MFA认证的控制台请求。但如果允许MFA认证的控制台请求，需要再写显性允许语句。 "Effect" : "Deny", "Condition" : { "Bool" : { "ctyun:MultiFactorAuthPresent" : false } } 示例2 允许使用MFA认证在1800秒内的请求及使用密钥的API请求。 "Effect" : "Allow", "Condition" : { "NumericLessThanEqualsIfExists" : { "ctyun:MultiFactorAuthAge " : 1800 } } 允许使用MFA认证在1800秒内的请求，但不允许MFA认证在1800秒以上及没有使用MFA的请求（包括API请求）。 "Effect" : "Allow", "Condition" : { "NumericLessThanEquals" : { "ctyun:MultiFactorAuthAge " : 1800 } } 策略变量 在编写策略时，如果不能确定Resource、NotResource或Condition元素中的精确值，可以使用策略变量作为占位符。目前仅支持变量“ {ctyun:username} ”、“ {ctyun:AccessKey} ”。当策略执行时，策略变量将被替换为请求本身的用户名或AccessKeyID。 示例 1 ： 将含有策略变量的策略附加给多个用户，当用户A发起请求时，username将替换为A的用户名；当用户B发起请求时，username将替换为B的用户名。 { "Version": "20121017", "Statement": [ { "Action": [ "oos:GetObject", "oos:PutObject" ], "Effect": "Allow", "Resource": ["arn:ctyun:oos::123456789012:mybucket/${ctyun:username}/"] } ] } 示例 2 ：将含有策略变量的策略附加给多个用户，当用户A发起请求时，条件键oos:prefix将根据用户A的username进行判断；当用户B发起请求时，条件键oos:prefix将根据用户B的username进行判断。 { "Version": "20121017", "Statement": [ { "Action": [ "oos:GetObject", "oos:PutObject" ], "Effect": "Allow", "Resource": ["arn:ctyun:oos::123456789012:mybucket/${ctyun:username}/"] } ] }

安全认证 基于用户和角色的认证统一体系，遵从帐户/角色RBAC（RoleBased Access Control）模型，实现通过角色进行权限管理，对用户进行批量授权管理。 支持安全协议Kerberos，翼MR Manager使用OpenLDAP作为帐户管理系统，并通过Kerberos对帐户信息进行安全认证。 对登录Manager的用户进行审计。

步骤 操作 详细说明 1 为确保企业登录零信任客户端人员身份合法性，以及提升企业零信任远程办公安全性，企业员工在登录零信任客户端时需要进行身份认证。由此您需要先在零信任服务控制台创建用户与组织信息，在该列表的用户才允许登录零信任服务。 2 在您要使用远程零信任办公服务访问您的应用或者系统资源之前，您需要将其添加到边缘安全加速平台进行管理。 3 远程零信任办公服务帮助您管理企业员工，合作伙伴，项目合作方等不同角色人员对内部系统的访问权限，支持精细化的应用授权管理，可以按照用户组，角色，组织架构，用户粒度进行应用系统授权。您的员工用户可以在登录远程零信任办公服务客户端后，点击左侧我的资源查看具备访问权限的系统列表。 4 在您使用零信任网络访问您的企业内部系统之前，您需要通过安装连接器，实现企业员工要访问的内部应用系统资源和零信任服务边缘节点的网络连通。 5 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源，访问IP，用户粒度，访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。除访问控制外，如果您还需配置其他零信任策略，可联系我们。

退订弹性云主机后，退款如何返还？ 系统提示退订申请已提交，3个工作日内进行审核，审核结果将以短信告知，退订成功过后，现金支付部分将实时返还至您的现金账户中，代金券支付部分不予退还。 申请开具发票需要注意哪些事项？ 增值税发票仅面向中国大陆客户，港澳台及海外企业客户无法开具此类发票。 个人认证账号可以申请增值税普通发票； 企业认证账号（类型是政府、军队、事业单位、社团团体、其他）可以申请增值税普通发票； 企业认证账号（类型是企业）可以申请增值税普通发票以及增值税专用发票； 实名认证为企业的客户，创建企业抬头的发票模板时，发票抬头必须和实名认证名称保持一致，否则只能通过重新实名认证进行修改；创建个人抬头的发票模板时，发票抬头可以手动设置，支持修改。 实名认证为个人的客户，创建发票模板时，发票抬头可以手动设置，支持修改。 代金券消费不纳入可开票金额。 月产生的按需产品账单在下个月3日后才可以索取发票。 申请纸质发票， 如金额不足100元，快递费用需要自行承担 。申请成功后，纸质发票预计 15个工作日内寄出。 账号每个月可进行5次发票申请操作（含退票），超过则无法操作。 成功购买弹性云主机后多久可以申请开具发票？ 每月3日产生上月账单，账单生成后才可以索取发票索。 具体信息及操作请查看：发票申请。

配置参数 默认端口 端口说明 port 9092 Broker提供数据接收、获取服务。 ssl.port 9093 Broker提供数据接收、获取服务的SSL端口。 sasl.port 21007 Broker提供SASL安全认证端口，提供安全Kafka服务。 saslssl.port 21009 Broker提供SASL安全认证和SSL通信的端口，提供安全认证及通信加密服务。

账号安全配置 目前数据库安全网关支持配置安全认证、登录超时、账号有效期策略，默认都不开启。 安全认证 ：在菜单栏选择“安全运维 > 数据库访问账号 > 账号安全配置”进入页面，单击击用户认证模块的“修改”按钮，开启安全认证开关，当启用安全认证后，若运维人员未能及时前往进行身份验证，系统将自动禁止其使用已分配的数据库访问账号进行数据库的登录操作。若验证通过后在验证有效时间段内访问数据库方可登录。 登录超时 ：在菜单栏选择“安全运维 > 数据库访问账号 > 账号安全配置”进入页面，单击击用户认证模块的“修改”按钮，开启登录超时开关，当启用登录超时后，若数据库访问账号在设定的时长内未对数据库进行任何操作，系统将自动默认阻断其会话连接，若该账号需要重新进行数据库操作，必须重新进行登录验证。 账号有效期 ：在菜单栏选择“安全运维 > 数据库访问账号 > 账号安全配置”进入页面，单击击用户认证模块的“修改”按钮，开启账号有效期开关，当启用账号有效期后，新建的数据库访问账号将自动被赋予一个默认的有效期限，一旦账号达到其设定的有效期，系统将自动阻断该账号对数据库的访问权限，直至账号更新有效期。 配置项说明： 配置项 说明 安全认证 可启用或禁用，默认禁用。 验证有效时间 有效值143200 分钟，默认5 分钟，验证通过后该时间段内访问数据库登录放行。 登录超时 可启用或禁用，默认禁用。 登录超时时间 有效值1120 分钟，默认10 分钟，当数据库访问账号超过设定时长对数据库无操作时默认阻断，再次操作需重新登录。 账号有效期 可启用或禁用，默认禁用。 账号有效期时间 有效值159999 天，默认值180 天，数据库访问账号新建时默认有有效期，若超过有效期则阻断。

本小节介绍SSL VPN的其他设置，包括设置密码安全策略、是否开启防暴力破解等。 密码安全策略 密码安全策略可以要求用户必须修改初始密码，并且满足密码复杂度要求。 1. 在“认证设置 > 主要认证 > 本地密码认证”设置页面。 2. 勾选“启用密码安全策略”，并开启响应复杂度要求。 开启防暴力破解选项 防暴力破解可以避免恶意用户暴力破解SSL账号，入侵内网系统。 1. 在“认证设置 > 认证选项设置 > 密码认证选项”设置页面。 2. 勾选防暴力破解选项下的三个选项即可。 端口设置 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护SSL VPN管理端口4430。 登录控制台的云主机实例详情页面，选择“安全组”功能。这里您可以创建和管理安全组规则。 然后，点击“配置规则”下的“入方向规则”。在规则配置中，选择“添加入方向规则”，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

概述 默认情况下，ZooKeeper集群不会对客户端进行强制身份认证，任何客户端都可以访问ZooKeeper数据，存在安全隐患。目前，MSE ZooKeeper支持SASL身份认证，通过用户名和密码对客户端进行身份认证，提升Zookeeper数据的安全性。 前提条件 创建微服务引擎MSE，参考章节：创建ZooKeeper引擎； 开通引擎版本为3.8.1.9及以上的ZooKeeper实例，并且实例状态正常； 操作步骤 1.登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2.在左侧导航栏，选择注册配置中心 > 实例列表； 3.在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4.在左侧导航栏，选择权限管理> SASL认证； 5.在用户管理页面，单击创建用户。在创建用户面板中输入用户名、密码和确认密码，然后单击确定即可增加新的用户身份信息配置； 6.单击对应用户操作列中的复制配置，以下内容会被复制到粘贴板，密码需要手动补充，然后将其保存在客户端的任意文件中（如jaas.conf）； java Client { org.apache.zookeeper.server.auth.DigestLoginModule required usernametest password""; }; 7.对于Java使用Zookeeper原生SDK或者Apache Curator框架的应用时，需要进行以下操作： 假设之前已经保存的配置文件路径为/path/to/jaas.conf，在Java应用启动的时候，指定以下系统属性。 Djava.security.auth.login.config/path/to/jaas.conf // 填写配置保存的文件的路径 重启客户端应用后，客户端会自动读取认证信息配置并向Zookeeper服务端进行身份认证。 8.客户端配置完成之后，在左侧导航栏，选择参数管理。在参数管理页面，将requireClientSASLAuth的值设置为true，即可强制要求客户端连接服务端时进行SASL身份认证； 9.用户创建成功后，可以在用户列表的操作列，按需执行如下操作； 重置密码：点击重置密码，在密码重置面板中输入用户名、新密码和确认密码。当用户密码发生变更后，以该用户身份连接服务端的客户端将会断开连接； 删除用户：单击删除，弹出框提示确认需要删除的用户名称，点击确认即可删除用户。当用户被删除后，以该用户身份连接服务端的客户端将会断开连接；

Web应用防火墙是否能够防御DDoS攻击？ 可以。云WAF默认加载中国电信抗D产品防护，利用电信大网资源和路由调度，有效抵御来自互联网的DDoS攻击。 Web应用防火墙支持哪些TLS协议？ WAF实例默认支持TLS 1.0、TLS 1.1、TLS 1.2。 Web应用防火墙是否支持接入采用NTLM协议认证的网站？ 不支持。如果网站使用NTLM协议认证，经WAF转发的访问请求可能无法通过源站服务器的NTLM认证，客户端将反复出现认证提示。 Web应用防火墙中的源站IP可以填写ECS内网IP吗？ 不支持。WAF通过公网进行回源，不支持直接填写内网IP。

问题现象 通过Web浏览器登录主机资源，报资源账户密码错误，提示“登录失败，有可能是账户名、密码或密钥错误，请尝试重新连接（Code：C769）”。 检查云堡垒机资源账户密码是否正确 1. 登录云堡垒机系统，选择目标Linux主机，导出资源账户，获取主机账户名和密码。 2. 登录ECS管理控制台，通过VNC方式登录Linux主机，验证主机账户和密码。 1. 若不能登录，则主机账户密码错误。请修改Linux主机账户密码后，重新配置CBH资源账户密码，并验证账户是否正确。 2. 若能够登录，请分别检查Linux主机是否开启双因子认证和检查Linux主机是否拒绝root账户登录。 检查Linux主机是否开启双因子认证 当登录Linux主机需输入动态密码时，即Linux主机开启了企业主机安全服务（Host Security Service，HSS）的双因子认证功能。 因云堡垒机不能登录已开通双因子认证的Linux主机，请参考HSS双因子认证，关闭Linux主机的双因子认证。 关闭Linux主机双因子认证后，请重新尝试在云堡垒机上登录Linux主机。 检查Linux主机是否拒绝root账户登录 由于sshd服务配置文件“/etc/ssh/sshdconfig”中，“PermitRootLogin” 参数值为 “no”时，Linux主机不允许root账户登录。 1. 登录Linux主机，查看sshd服务的配置文件。 2. 在“/etc/ssh/sshdconfig” 文件中，查找 “PermitRootLogin” 参数，确认参数值是否为 “no”。 3. 修改“/etc/ssh/sshdconfig”文件。 查找“PermitRootLogin” 参数，修改参数值为 “yes”或注释掉参数所在行。 PermitRootLogin no 4. 执行以下命令，重启sshd服务。 systemctl restart sshd 完成上述操作后，请重新尝试在云堡垒机上登录Linux主机。

本文主要介绍了发票申请的操作流程。 前提条件 客户必须先完善账户信息且进行实名认证后，才能开具发票。 发票申请需基于订单或月度结算，充值未消费部分无法开具发票。 注意事项 增值税发票仅面向中国大陆客户，港澳台及海外企业客户无法开具此类发票。 个人认证账号可以申请增值税普通发票； 企业认证账号（类型是政府、军队、事业单位、社团团体、其他）可以申请增值税普通发票； 企业认证账号（类型是企业）可以申请增值税普通发票以及增值税专用发票； 实名认证为企业的客户，创建企业抬头的发票模板时，发票抬头必须和实名认证名称保持一致，否则只能通过重新实名认证进行修改；创建个人抬头的发票模板时，发票抬头可以手动设置，支持修改。 实名认证为个人的客户，创建发票模板时，发票抬头可以手动设置，支持修改。 代金券消费不纳入可开票金额。 月产生的按需产品账单在下个月3日后才可以索取发票。 账号每个月可进行5次发票申请操作（含退票），超过则无法操作。 开票流程 1．登录费用中心，进入“发票管理”页面。 2．设置发票信息。 （1）点击”管理发票信息“，进入发票信息管理页面。 （2）点击”新增发票信息“，根据需要设置发票信息。 说明 增值税发票仅面向中国大陆客户，港澳台及海外企业客户无法开具此类发票。 个人认证账号可以申请增值税普通发票；企业认证账号（类型是政府、军队、事业单位、社团团体、其他）可以申请增值税普通发票；企业认证账号（类型是企业）可以申请增值税普通发票以及增值税专用发票； 实名认证为企业的客户，创建企业抬头的发票模板时，发票抬头必须和实名认证名称保持一致，否则只能通过重新实名认证进行修改。创建个人抬头的发票模板时，发票抬头可以手动设置，支持修改。 实名认证为个人的客户，创建发票模板时，发票抬头可以手动设置，支持修改。保存增值税普通发票模板前请仔细阅读开具发票承诺条款 。 当前默认每个云账号只能设置1个有效的发票信息，不得随意修改。 3．申请开具发票 （1）点击“申请发票”，进入消费数据选择页面。 （2）选择按消费明细开票或按月账单开票，并选择需要开发票的订单或账期，确认开票金额，点击“下一步”。 说明 月产生的按需产品账单在下个月3日后才可以索取发票。 若账号产生过欠票，申请时会优先扣减欠票金额。 按消费明细开票 选择“按消费明细开票”，勾选要开票的订单号或账期。 按订单或按需消费账期的消费时间由近及远展示每一笔消费金额及对应可开票金额。 支持按类型（包周期、按需）、选定消费时间的日期范围、输入单个订单号或按需账期月份搜索查询消费明细及对应可开票金额。 按月账单开票 选择“按月账单开票”，勾选要开票的账期。 支持选定账期范围搜索查询每个月账单汇总消费金额及对应可开票金额。 若您想查询某个账期的账单明细，可通过点击操作列的“查看详情”，即可查看当前账期的消费明细和退款明细。 （3）选择发票条目和发票信息。 用户可根据需要选择发票条目。 若发票信息有变动，可点击发票信息列表右侧“修改”，进行调整。 （4）填写邮箱（开具电子发票或全电发票时，需要填写接收邮箱）。 （5）填写备注信息。 若有特别说明，可填写备注信息，备注信息会生成在发票的备注内容区域。 （6）发票预览。 点击页面下一步，可预览所开具的发票。 （7）点击“提交”。 点击提交并确认发票信息后，发票创建成功。

本页为您介绍如何访问数据传输服务DTS。 前提条件 开通数据传输服务DTS，需要先注册天翼云账户并确保已完成实名认证。 1. 注册并登录天翼云 2. 未实名认证的用户请按提示完成实名认证才能开通数据传输服务（请参考实名认证说明文档）。 操作步骤 1. 进入天翼云官网首页，登录账号。 2. 展开首页左上角产品，点击数据库，点击数据传输服务DTS，进入产品页面。 3. 在页面上点击管理控制台，即可进入数据传输服务DTS。

本文将介绍如何将第三方应用同步组织和用户信息同步到AOne，用于您的企业员工登录客户端时进行身份认证。 身份源接入方式 目前提供丰富的第三方身份源同步接入方式，可根据客户实际情况进行选择。 接入方式 说明 Windows AD同步 Windows AD是本地化用户目录管理服务，Windows AD同步接入，即仅将AD的用户与组织信息进行同步到AOne，AOne进行认证管理（即密码由AOne管理）。 钉钉同步 钉钉账户支持账号、组织同步。 钉钉同步接入，即仅将钉钉的用户与组织信息进行同步到AOne，AOne进行认证管理（即密码由AOne管理）。 北森同步 北森应用同步接入，即仅将北森的用户与组织信息进行同步到AOne，AOne进行认证管理（即密码由AOne管理）。 企业微信同步 企业微信支持账号、组织同步。 企业微信同步接入，即仅将企业微信的用户与组织信息进行同步到AOne，AOne进行认证管理（即密码由AOne管理）。

登录方式 登录说明 登录方式配置说明 密码登录 输入云堡垒机系统的用户登录名和密码。 默认登录方式。 “AD域认证”、“RADIUS认证”、“LDAP认证”或“Azure AD认证”用户登录密码为远程服务器用户密码。 手机短信 输入云堡垒机系统的用户登录名和密码，单击“获取验证码”，并输入短信验证码。 需要已经为用户帐号配置可用手机号码。 手机令牌 输入云堡垒机系统的用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 说明 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。 需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统。 USBKey 插入并选择已签发过的USBKey，并输入对应的PIN码。 需已为用户签发USBKey。 动态令牌 输入云堡垒机系统的用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）。 需已为用户签发动态令牌。

本节介绍专属加密服务的优势。 云上使用 专属加密旨在满足用户将线下加密设备能力转移到云上的要求，降低运维成本。 弹性扩容 灵活调整专属加密的数量，满足不同业务的加解密运算要求。 安全管理 专属加密实例设备管理与内容（敏感信息）管理权限分离，用户作为设备使用者完全控制密钥的产生、存储和访问授权，Dedicated HSM只负责监控和管理设备及其相关网络设施。即使Dedicated HSM的运维人员也无法获取到用户的密钥。 权限认证 敏感指令支持分类授权控制，有效防止越权行为。支持用户名口令认证、数字证书认证等多种权限认证方式。 可靠性 专属加密实例之间独享加密芯片，即使部分硬件芯片损坏也不影响使用。 安全合规 Dedicated HSM为您提供专属加密实例，帮助您保护弹性云服务器上数据的安全性和隐私性要求，满足监管合规要求。 应用广泛 Dedicated HSM可提供认证合规的金融加密机、服务器加密机以及签名验签服务器等，灵活支撑用户业务场景。

设置黑白名单 基于公钥认证机制，微服务引擎提供了黑白名单功能。通过黑白名单，可以控制微服 务允许其他哪些服务访问。 只有启用了公钥认证，设置的黑白名单才能生效。 注意 如果要使用黑白名单，则微服务与服务中心需要满足以下流程： 微服务启动的时候，生成秘钥对，并将公钥注册到服务中心。 消费者访问提供者之前，使用自己的私钥对消息进行签名。 提供者从服务中心获取消费者公钥，对签名的消息进行校验。 1、单击需要治理的微服务，进入微服务治理配置页面。 2、在服务治理配置页面，单击“黑白名单”，展开黑白名单详情页。 3、单击“新增”，为应用添加黑白名单，黑白名单配置项如下表所示。 配置项 配置项说明 类型 黑名单：表示根据匹配规则匹配到的微服务都不允许访问当前服务。 白名单：表示根据匹配规则匹配到的微服务允许访问当前服务。 匹配规则 使用正则表达式表示。举例如下：匹配规则：data表示名称以data开头的服务不允许其他服务访问；或者在白名单下匹配到的名称以data开头的服务允许访问当前服务。 4、单击“确定”保存设置。 公钥认证 公钥认证是微服务引擎提供的一种简单高效的微服务之间认证机制，它的安全性建立 在微服务与服务中心之间的交互是可信的基础之上，即微服务和服务中心之间必须先 启用认证机制。它的基本流程如下: 1. 微服务启动的时候，生成秘钥对，并将公钥注册到服务中心。 2. 消费者访问提供者之前，使用自己的私钥对消息进行签名。 3. 提供者从服务中心获取消费者公钥，对签名的消息进行校验。 启用公钥认证步骤如下: 1. 公钥认证需要在消费者、提供者都启用。 servicecomb: handler: chain: Consumer: default: authconsumer Provider: default: authprovider 2. 在pom.xml中增加依赖: org.apache.servicecomb handlerpublickeyauth

天翼云短信服务文档使用指引您可以通过本文了解短信服务的使用流程。短信使用流程入驻天翼云注册天翼云账号。注册页面，请参见注册页面。进行实名认证。更多认证信息，请参见认证模式。 入驻天翼云 1. 注册天翼云账号。注册页面，请参见注册页面。 2. 进行实名认证。更多认证信息，请参见认证模式。 开通短信服务 请联系当地省公司客户经理通过CRM系统进行开通订购或通过点击申请开通，填写需求单，相应客服经理会联系您并为您开通服务。 获取AccessKey 1. 创建AccessKey。详细信息，请参见创建AccessKey。 2. 获取AccessKey ID和AccessKey Secret。详细信息，请参见AccessKey ID和AccessKey Secret。 创建签名和模版 1. 创建签名和模板前查看短信审核规则。详细信息，签名审核和模板审核。 2. 创建短信签名。具体步骤，请参见添加签名。 3. 创建短信模版。具体步骤，请参见添加模板。

方案价值 权威资质认证 具备PCI DSS认证、国家信息安全等保三级认证、信通院可信云安全认证、IPv6 Enabled CDN Logo认证等。 数据安全传输 支持全链路HTTPS安全传输传输，防劫持防篡改，保护数据安全。支持HTTPS双向认证、Keyless无私钥驻留等安全传输。 极致加速体验 纯自研缓存、流量调度、动态选路等关键技术，打造坚实的CDN基础能力，保障客户业务高速、稳定传输。 响应国家政策 完成国产化服务器&操作系统适配、国密算法适配、Quic协议支持、IPv6 CDN改造。 专业重保服务 成功护航2023兔年春晚、2022两会、二十大、江泽民同志追悼会、腾讯奥运短视频、中国银行广东省分行春交会等。 优质资源及链路 国内拥有1800+个节点覆盖，150T+的业务承载能力，覆盖多运营商、主要省份和城市无盲点。海外覆盖遍布亚洲、美洲、欧洲、非洲等主要国家和城市。 精细化属地支持 31省本地化的销售网络体系，724小时技术支持，VIP客户一对一专属项目经理。 快速入门 您只需要按照以下流程，即可快速接入天翼云全站加速服务。 开通全站加速服务>>进入客户控制台>>添加加速域名>>验证域名归属权>>配置CNAME

类别 支持策略 说明 SLES15 ✅ 支持所有在 SUSE 官网有认证记录的 x8664 架构服务器 包括：Intel SPR/EMR、AMD Genoa 等平台 认证类型：Host OS 或 KVM/Guest OS 推荐用于生产环境的物理机部署（Host OS） 若仅 KVM/Guest OS 认证，需运行在 SLES15/RHEL9+ 等现代 Host 上 SLES12 ✅ 仅支持作为虚拟机操作系统（Guest OS）运行 适用场景：在 SLES15/RHEL9+ Host 上的 KVM 虚拟机 中部署 SLES12 要求：物理服务器需在 SUSE 官网有 KVM/Guest OS 认证 示例机型：H3C R4900 G5、华为 2288H V6/V7、浪潮 NF5280M7 等 ❌ 不支持 在 第5代及以上物理服务器（Ice LakeSP 及更新）上直接安装 SLES12 仅可用于 遗留应用迁移、兼容性测试 等非核心场景 国产化平台（海光、鲲鹏等） ⚠️ SUSE 官方未提供通用 SLES12/SLES15 镜像认证支持 海光（Hygon）：CPU 指令集兼容 x8664，但 未列入 SUSE YesCertified 官方认证列表，无标准镜像支持 鲲鹏（Kunpeng）：基于 ARM 架构，SUSE 不提供通用 ARM 版本的 SLES 特别说明： 海光平台存在基于 SLES 的技术兼容发行版（如 OpenEuler 衍生版本），但 非 SUSE 官方发布，不享受 SUSE 技术支持； 天翼云当前 不提供海光/鲲鹏 + SLES 的正式服务； 客户如需使用，需自行评估兼容性与风险

找回密码功能是否必须启用短信认证？可以支持邮件方式吗？ 目前必须启用短信认证功能，需要通过短信验证码来进行身份确认后找回密码。不支持邮件方式。 注意 短信认证功能需要对接第三方短信平台（云短信平台、短信网关等），M7.6.8及以上版本无需购买短信认证模块。 SSL VPN的私有账号手机端和PC端能同时在线么？ 私有用户不允许非EMM客户端（PC和移动端EC）同时在线，但允许非EMM客户端与EMM客户端（EAEW）同时在线。 例如，账号A使用EasyConnect在一台终端（PC或手机）上登录之后，不支持该账号再使用EasyConnect登录另外的终端（PC或手机），但支持该账号使用EasyAPP或EasyWork登录。

配置项 子配置项 操作 域名 必填。填写自定义域名地址。例如（mytest.domain.com）。 公网/内网CNAME 同一个主账号相同，是作为您域名CNAME记录的值。 描述 用户针对该自定义域名的备注。 路由设置 路由设置 路由配置 设置域名路径与函数的对应关系，可以实现不同的请求路径触发不同的函数响应。可以根据需求，添加多条路径。 路由设置 路径 请求路径，区分大小写，只支持末尾的通配符，如：/mypath/。 路由设置 函数名称 当前请求路径触发的函数。 路由设置 版本或别名 触发函数的版本或别名。 路由设置 开启JWT校验 是否针对该条路由开启jwt校验。 HTTPS设置 HTTPS设置 HTTPS 根据需要启用或禁用HTTPS协议： 禁用：仅能通过http协议访问。 启用：同时支持http和https协议访问。 启用，且勾选强制https：仅支持https协议访问，通过http访问会重定向至https。 HTTPS设置 证书名称 SSL证书名称。 HTTPS设置 PEM证书 PEM证书内容。可以直接粘贴到输入框，也能通过文件上传。 HTTPS设置 PEM证书密钥 PEM证书密钥。可以直接粘贴到输入框，也能通过文件上传。 认证设置 认证设置 认证方式 无需认证：不需要对HTTP请求进行身份验证，支持匿名访问，任何人都可以发起HTTP请求调用您的函数。 JWT认证：需要对HTTP请求进行JWT认证。

云服务名称 作用范围 系统策略名称 系统策略描述 账务 全局 CtyunAcctAdmin 天翼云账务类（如成本、账单、发票等）全量操作权限（包含一类、二类资源池节点） 业务 全局 CtyunBssAdmin 天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点） 订单 全局 CtyunOrderViewer 天翼云订单类查询权限（包含一类、二类资源池节点） 订单 全局 CtyunOrderAdmin 天翼云订单类全量操作权限（包含一类、二类资源池节点） 标签 全局 CtyunLABELReadOnlyAccess 只读访问标签（LABEL）的权限 标签 全局 CtyunLABELFullAccess 管理标签（LABEL）的全部权限 云网账号 全局 cust admin 云网账号管理员权限，包含对合同、标签、收货地址的管理权限 统一身份认证 全局 ctiam viewer 统一身份认证观察者权限 统一身份认证 全局 ctiam admin 统一身份认证管理员权限 客服工单 全局 客服系统普通角色 客服系统只允许查看角色 客服工单 全局 客服系统管理员角色 客服系统可读可写 活动与券 全局 mkt admin 优惠券管理者权限 消息管理 全局 msg admin 消息中心管理员权限 企业组织 全局 CtyunOrgAdmin 天翼云企业组织信息管理权限 企业组织 全局 CtyunOrgViewer 天翼云企业组织信息查看权限

本文介绍如何下载IPsec连接的证书。 当创建的IPsec连接的认证方式为证书认证，且认证选择为自签时，天翼云VPN网关会自动为您生成认证证书，您需要在IPsec连接页面下载相关的证书，并导入您本地数据中心的设备。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“IPsec VPN”，进入IPsec VPN页面。 5. 单击“IPsec连接”，进入“IPsec连接”页签。 6. 在IPsec连接页面，在操作列单击“证书下载”，下载根证书、证书和密钥文件。

参数 配置说明 API名称 填写API名称，建议您按照一定的命名规则填写，方便您快速识别和查找。 所属分组 此处选择已创建的API分组。 URL 请求方法：接口调用方式，此处选择“ANY”。 请求协议：选择API请求协议，此处选择“HTTPS”。 子域名：API分组创建后，系统为分组自动分配一个内部测试用的调试域名，此调试域名每天最多可以访问1000次。 路径：接口请求路径。 网关响应 API网关未能成功处理API请求，从而产生的错误响应。默认网关响应为“default”。 匹配模式 此处选择“前缀匹配”。 安全认证 选择API认证方式，此处选择“无认证”。（无认证模式，安全级别低，所有用户均可访问，不推荐在实际业务中使用）

本节将为您介绍如何注册账号以及进行实名认证。 操作场景 在创建和使用天翼云物理机之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您已拥有天翼云的账号，登录后即可直接创建物理机。目前天翼云账号注册支持“账号注册”和“短信注册”两种方式 账号注册 1. 登录天翼云官网www.ctyun.cn，单击右上角“免费注册”按钮。 2. 选择“账号注册”，填写登录名，设置登录密码，并通过手机验证。 3. 确认协议内容，勾选协议，点击注册，即可完成账号注册。 4. 如需实名认证，请参考账号中心实名认证。 短信注册 1. 登录天翼云官网www.ctyun.cn，点击右上角“免费注册”按钮。 2. 选择“短信注册”，填写手机号，并通过手机验证。 3. 确认协议内容，勾选协议，点击注册，即可完成账号注册。 4. 如需实名认证，请参考账号中心实名认证。