启动服务 使用如下命令启动服务： plaintext python3 main.py 80 启用开发者模式 1. 登录微信公众平台，选择“开发 > 基本配置”，单击“修改配置”。 2. 填写配置信息，单击“提交”。 URL： 80 端口。 Token：需要与handle.py中对应token取值完全一致。 EncodingAESKey：随机生成。 消息加解密方式：此为示例，选择简单的“明文模式”。 3. 验证token成功，单击“启用”。 说明 如果token验证失败，请检查Token配置与handle.py中GET消息处理代码是否一致。 验证 使用微信关注公众号，任意发送一条文本消息，看是否能够收到回复。如能收到回复则表明系统处理正常。

介绍如何对云电竞实例进行管理。 查看运行状态 访问云电竞租户控制台，进入【实例管理】页面，可查询您可串流的实例运行状态、调度状态、近期连接时间等信息。 管理实例 对于串流中实例，可通过控制台对特定实例进行【踢出】操作，踢出后五分钟内该实例将不再参与您的服务调度。 由于云电竞服务不保留用户数据，用户每次接入时都是用新的实例，故实例列表仅展示您正在使用中的资源实例以及当前账号可用的资源数量。

企业交换机建立二层通信网络时，依赖云下IDC和云上VPC之间的三层网络。本文为您介绍使用云专线或VPN连通三层网络的操作方法。 前提条件 使用企业交换机之前，需要规划云下和云上所需的资源，资源规划请参考企业交换机工作原理。 操作步骤 1. 创建云专线或者VPN，并进行配置，打通云下IDC和云上VPC的三层网络。 具体请参见《云专线用户指南》或《虚拟专用网络用户指南》。 2. 提交工单给云专线或VPN服务，确认您的云专线或VPN是否支持和企业交换机对接（VXLAN），若不支持,需要联系客服技术工程师开通云专线或VPN服务的对接企业交换机能力。

本文介绍如何续订N100实例。 续订云防火墙（原生版）N100型实例时，还需要同时续订实例所依赖的基础资源（包括弹性云主机、弹性IP等），基础资源与实例一起计费，统一下单。 续订步骤 1. 购买N100实例后，默认进入云防火墙（原生版）N100实例监控页面。 2. 单击实例列表操作列的“续订”，进入续订页面。 3. 选择“续订时长”。 4. 阅读《天翼云云防火墙（原生版）服务协议》并勾选“我已阅读，理解并同意《天翼云云防火墙（原生版）服务协议》”，单击“立即购买”。 5. 进入付款页面，完成付款。

本节指导用户通过密钥管理界面对单个或多个自定义密钥进行启用操作，使被禁用的密钥恢复到数据加解密能力。新建的自定义密钥默认为“启用”状态。 前提条件 待启用的密钥需处于“禁用”状态。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要启用的密钥所在行，单击“启用”。 步骤 5 在弹出窗口中，单击“是”，完成启用单个密钥操作。 说明 如果您想批量启用密钥，可以勾选所有需要启用的密钥，然后在列表左上角，单击“启用”。

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

本章节主要介绍权限机制。 FusionInsight采用LDAP存储用户和用户组的数据；角色的定义信息保存在关系数据库中，角色和权限的对应关系则保存在组件侧。 FusionInsight使用Kerberos进行统一认证。 用户权限校验流程大致如下： 1. 客户端（用户终端或FusionInsight组件服务）调用FusionInsight认证接口。 2. FusionInsight使用登录用户名和密码，到Kerberos进行认证。 3. 如果认证成功，客户端会发起访问服务端（FusionInsight组件服务）的请求。 4. 服务端会根据登录的用户，找到其属于的用户组和角色。 5. 服务端获得用户组拥有的所有权限和角色拥有的所有权限的并集。 6. 服务端判断客户端是否有权限访问其请求的资源。 示例场景（RBAC ）： HDFS中有三个文件fileA、fileB、fileC。 定义角色roleA对fileA有读和写权限，角色roleB对fileB有读权限。 定义groupA属于roleA；groupB属于roleB。 定义userA属于groupA和roleB，userB属于GroupB。 当userA登录成功并访问HDFS时： 1. HDFS获得useA属于的所有角色（roleB）。 2. HDFS同时还会获得userA属于的所有用户组所属于的角色（roleA）。 3. 此时，userA拥有roleA和roleB对应权限的并集。 4. 因此对于fileA，则userA有读写权限；对fileB，有读权限；对于fileC，无任何权限。 同理userB登录后： 1. userB只拥有roleB对应的权限。 2. 对于fileA，则userB无权限；对fileB，有读权限；对于fileC，无任何权限。

本章节介绍如何配置追踪器。 操作场景 云审计服务管理控制台支持对已创建的数据类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置数据类事件追踪器。 前提条件 已开通云审计服务，且已创建一个数据类事件追踪器。 配置数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“配置”。 6. 在选择追踪对象页面，设置相关参数，参数详情见表 选择转储事件参数表，单击“下一步”。 7. 在配置转储页面可以修改该追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 8. 单击“下一步 > 配置”，完成配置数据类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 选择转储事件参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 默认为您创建数据类追踪器时设置的OBS桶名称，不可以修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

某应用系统为等保3级，用户采用手机端APP通过互联网进行业务访问，为保障APP端身份鉴别的密评合规，通过协同签名服务实现了基于国密算法的身份鉴别以及传输过程中的机密性、完整性保护。 APP应用端证书下载 在APP端实现了用户个人数字证书的线上注册、申请、下载，流程如下： 1. APP集成协同签名客户端（SDK）； 2. APP通过协同签名客户端调用协同签名服务提供的接口申请SM2联签公钥； 3. 协同签名服务生成SM2公钥并返回给协同签名客户端； 4. 协同签名客户端生成请求数字证书的CSR文件，然后提交给CA申请证书； 5. CA根据获取的公钥签发数字证书并返回给协同签名客户端。 6. 在提交CA获取证书时，协同签名客户端可根据CA的管理要求完成数字证书申请的身份认证。 手机端APP身份鉴别 身份鉴别实现说明如下： 1. APP集成协同签名客户端（SDK）； 2. 用户首次使用APP时下载SM2软证书（密钥分片）到本地； 3. 用户登录APP时通过本地软证书基于协同签名机制生成完整签名值； 4. APP服务端验证签名值以确定身份正确性。 协同签名客户端SDK为二级软件密码模块，可达到与硬件智能密码钥匙相同的密钥保护安全强度，认证过程中用户无需使用任何硬件介质，满足等保3级系统应用和数据层面身份鉴别相关要求。

本文介绍分布式消息服务RocketMQ可广泛应用于分布式系统异步通信、数据同步和交换、削峰填谷等场景。 行业应用 RocketMQ在多个行业中都有广泛的应用。以下是一些典型的行业应用场景： 1. 电子商务：在电子商务行业中，RocketMQ可以用于订单处理、库存管理、支付通知等异步通信和事件驱动的场景。它可以实现订单的可靠传递和处理，同时支持高并发和高可扩展性的需求。 2. 金融服务：在金融服务行业中，RocketMQ可以用于实时交易通知、资金结算、风险控制等关键业务场景。它可以确保交易消息的可靠传递和顺序处理，同时支持高吞吐量和低延迟的要求。 3. 物流与供应链：在物流与供应链行业中，RocketMQ可以用于实时物流跟踪、订单状态更新、库存管理等消息通知和事件驱动的场景。它可以确保供应链各个环节的信息同步和协调，提高物流效率和准确性。 4. 社交媒体：在社交媒体行业中，RocketMQ可以用于实时消息推送、用户关系管理、活动通知等场景。它可以支持大规模用户同时在线的需求，确保消息的低延迟和高可靠性。 5. 物联网：在物联网行业中，RocketMQ可以用于设备状态监控、告警通知、数据采集等场景。它可以处理大量的设备消息，并支持设备之间的实时通信和协作。 这些是一些典型的RocketMQ行业应用场景，由于RocketMQ的高性能和可靠性，它在更多行业中也有广泛的应用。 分布式消息服务RocketMQ主要适用于以下几种业务场景：

本文简述缓存过期时间配置方法。 功能介绍 缓存过期时间指源站资源在边缘节点缓存的最大时长，超过该时长，资源将会被边缘节点标记为已过期。如果客户端请求的资源在边缘节点上已过期，边缘节点会回源获取最新资源缓存到边缘节点上，供其他请求使用。 边缘安全加速平台—安全与加速服务支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 注意事项 默认开启去问号参数缓存，若需要带问号后参数缓存，请选择关闭该功能。 权重支持自定义生效顺序，优先级数字大则优先生效。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2.单击【编辑配置】。 3单击【增加规则】，选择类型，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 4.选择过期时间单位，如秒、分钟、小时、天，再填写对应的过期时间。 5.选择缓存规则，默认为强制缓存。 6.去问号缓存默认为开启，如需要带问号后参数缓存，请选择关闭该功能。 7.选择权重。权重支持自定义，优先级数字大则优先生效。

常用实践 说明 本文介绍如何在虚拟私有云中创建终端节点，实现同资源池云主机通过内网访问对象存储。云主机和ZOS天然内网互通，内部访问不会产生公网流量，且时延更低安全性更高。 本文介绍如何保证ZOS中数据的安全性，只允许资源拥有者或者被授权的用户访问。 本文为您提供使用对象存储迁移服务，将第三方云厂商数据迁移至对象存储ZOS的实践。 本文介绍在云监控创建报警规则实时监控ZOS性能状态。 本文帮助您了解ZOS大文件分段上传的最佳实践。 本文主要针对用户需要批量删除一个桶中的对象的场景，介绍几种批量删除的方法。 本文介绍使用VPC终端节点方式接入对象存储的操作方式。

本小节介绍云防火墙(原生版)SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云防火墙（原生版）N100型实例的SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPN地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】。 配置内容 配置VPN地址池 打开【网络→VPN→SSL VPN】，单击“新建”，进入SSL VPN配置页面。 配置名称/接入用户： 配置“接入接口/隧道接口”： 新增地址池：新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 隧道路由配置：

本节主要介绍产品咨询类问题。 使用GeminiDB Influx时要注意什么 a) 实例的操作系统，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 b) 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及GeminiDB Influx使用的系统容器，都对用户不可见，它们只对GeminiDB Influx后台管理系统可见。 c) 申请数据库实例后，您还需要做什么。 申请实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 数据库实例的CPU、IOPS、空间是否足够。 数据库实例是否存在性能问题，是否需要优化等。 什么是GeminiDB Influx实例可用性 实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% 其中，故障时间是指数据库实例购买完成后，运行期间累计发生故障的总时长。服务总时间指数据库实例购买完成后运行的总时长。 GeminiDB Influx中有没有支持多列转多行的函数 GeminiDB Influx中暂无多列转多行的函数。 GeminiDB Influx最大能支持到多少PB的数据 GeminiDB Influx支持的最大数据容量请参见数据库实例规格中实例的最大存储空间。 GeminiDB Influx是否支持Grafana访问 GeminiDB Influx支持Grafana直接访问，具体操作请参见如何通过Grafana连接GeminiDB Influx。

违规管控记录快速查询 当天翼云对您使用的产品或服务进行处置时，会将相关违规信息与处置类型以通知形式发送给您： 您可查收账号绑定手机的短信以了解处置通知信息，也可登录邮箱或站内信查询管控详细信息； 您可通过服务热线4008109889或提交工单联系客服查询。 安全事件管控记录查询常见问题 我收到了管控通知，但不清楚是哪里违规？ 您可参考《++安全违规信息类型说明++》、《++安全违规行为类型说明++》中有关规则进行排查。同时建议您检查网站或操作系统是否存在黑客入侵或病毒，从而导致出现违规行为。 我想查询违规信息的详细内容/快照？ 天翼云不会直接向您透露违规信息的详细内容/快照，若您对违规管控存在异议，请通过工单入口提交诉求，工作人员将在13个工作日内给予您反馈。 我收到了欺诈相关告警，请问我哪里涉诈了？ 您的产品或服务可能传播、存储了涉嫌欺诈的相关信息，或您用于搭建应用的工具、模板可能广泛应用于欺诈等违法行为。请您先根据《++安全违规信息类型说明++》（欺诈类细则）、《++欺诈类违规管控快速处理++》排查是否存在规则中已明确的欺诈相关信息，若您已完成整改或确认业务场景合规，可前往工单提交相关说明，天翼云会在13个工作日内予以反馈。

本章节主要介绍翼MapReduce的安全增强特性。 翼MR作为一个海量数据管理和分析的平台，具备高安全性。翼MR主要从以下几个方面保障用户的数据和业务运行安全。 网络隔离 整个系统部署在公有云上的虚拟私有云中，提供隔离的网络环境，保证集群的业务、管理的安全性。结合虚拟私有云的子网划分、路由控制、安全组等功能，为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务支持资源专属区内部署，专属区内物理资源隔离，用户可以在专属区内灵活地组合计算存储资源，包括专属计算资源+共享存储资源、共享计算资源+专属存储资源、专属计算资源+专属存储资源。 主机安全 翼MR支持与公有云安全服务集成，支持漏洞扫描、安全防护、应用防火墙、堡垒机、网页防篡改等。针对操作系统和端口部分，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别和认证 Web应用安全 访问控制 审计安全 密码安全 数据安全 针对海量用户数据，提供如下措施保障客户数据的机密性、完整性和可用性。 容灾：翼MR支持将数据备份到OBS（对象存储服务）中，支持跨区域的高可靠性。 备份：翼MR支持针对DBService、NameNode、LDAP的元数据备份和对HDFS、HBase的业务数据备份。

功能 说明 天翼云边缘安全加速平台—安全与加速服务提供页面优化功能，配置了页面优化功能后，安全与加速服务会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，从而达到缩小文件体积、提升文件分发效率。此外还可通过文件压缩功能进行有效提升分发效率，详情文件压缩功能参见 支持在客户控制台自助进行html页面的禁止右键操作和禁止复制操作，以防止源站的源码泄露。

天翼云提供弹性IP(EIP)、NAT网关、弹性负载均衡(CTELB)等方式连接公网。 弹性IP 弹性IP是可以独立申请的公网IP地址，将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 NAT网关 NAT网关能够为VPC内的弹性云主机提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。 弹性负载均衡（ CTELB） 弹性负载均衡（CTELB ，Elastic Load Balancing）是一种分发控制网络流量的服务，通过预先设定的算法将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用系统容错性能。

本节介绍态势感知的定义。 态势感知（专业版）是云原生的新一代安全运营中心，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 为什么选择态势感知（专业版） 一屏全面感知：采集各类安全服务的告警事件，并进行大数据关联、检索、排序，全面评估安全运营态势，支持大屏展示安全运营动态。 一体全程处置：服务内置多种处理剧本，实现99%以上的安全事件分钟级自动化响应。

启动服务 使用如下命令启动服务： python3 main.py 80 启动成功如下图所示： 、 启用开发者模式 1、登录微信公众平台，选择“开发 >基本配置”，单击“修改配置”。 2、填写配置信息，单击“提交”。 URL： Token：需要与handle.py中对应token取值完全一致。 EncodingAESKey：随机生成。 消息加解密方式：此为示例，选择简单的“明文模式”。 3、验证token成功，单击“启用”。 说明 如果token验证失败，请检查Token配置与handle.py中GET消息处理代码是否一致。 验证 使用微信关注公众号，任意发送一条文本消息，看是否能够收到回复。如能收到回复则表明系统处理正常。

事件总线EventBridge如何收费？ 事件总线EventBridge将实行按量计费模式，根据流入自定义事件总线与事件流的事件数计费，无最低消费。官方事件源产生的事件不收费。更多信息，请参见计费项。 我不想使用事件总线EventBridge了，我该如何操作？ 如果您不再需要使用事件总线EventBridge服务，直接删除所有的自定义事件总线、事件流与事件规则即可，无需额外退订事件总线EventBridge服务。 如果只创建自定义事件总线，但无事件投递，会收费吗？ 不会。事件总线采取按量计费的方式，创建自定义事件总线本身不付费。只有投递的事件进入自定义事件总线，才会产生费用。

本小节介绍Agent和其他安全软件的冲突。 Agent可能会和DenyHosts这款软件产生冲突。 冲突表现：若登录主机的IP地址被识别为攻击IP，但是无法被“解封”。 冲突原因：企业主机安全服务和DenyHosts会同时封禁可能为攻击IP的登录IP地址，企业主机安全服务无法解封DenyHosts中封禁的IP地址。 处理方法： 建议停止DenyHosts。 1. 以root用户登录ECS。 2. 执行以下命令，检查是否安装了DenyHosts。 ps ef grep denyhosts.py 若界面回显类似以下信息，则说明安装了DenyHosts。 3. 执行以下命令，停止DenyHosts。 kill 9 'cat /var/lock/denyhosts' 4. 执行以下命令，取消DenyHosts的自启动。 chkconfig deldenyhosts ；

本文通过图文详细介绍进入直播控制台的步骤。 前提条件 已注册天翼云官网账号。如未注册，请参见：注册天翼云账号进行注册。 已开通视频直播服务。如何开通，请参见：开通视频直播服务。 操作步骤 1. 打开天翼云官网，注册并登录。 2. 在天翼云官网页面中，选择【产品】下的【视频】，并选择【视频直播】。 3. 在【视频直播】产品详情页中选择【管理控制台】，进入直播控制台。 直播控制台界面如下图所示。

本章节主要介绍如何绑定企业项目。 企业可以根据组织架构规划企业项目，将企业分布在不同区域的资源按照企业项目进行统一管理，同时可以为每个企业项目设置拥有不同权限的用户组和用户。本章节为您介绍ES中Logstash集群如何绑定、修改企业项目。 前提条件 在绑定企业项目前，您已在“企业项目管理控制台”创建企业项目。 绑定企业项目 在创建集群时，可以在“企业项目”绑定已创建的企业项目，也可以单击“查看项目管理”，前往企业项目管理控制台，新建企业项目和查看已有的企业项目。 修改企业项目 针对之前已创建的集群，其绑定的企业项目可根据实际情况进行修改。 1.登录云搜索服务管理控制台。 2.在左侧导航栏，选择“集群管理 > Logstash”，进入集群管理页面。 3.在集群列表中，单击集群名称进入集群“基本信息”页面。 4.在集群“基本信息”页面，单击“企业项目”右侧的企业项目名称，进入项目管理页面。 5.在“资源”页签下，“区域”选项中选择当前集群所在的区域，“服务”选项中选“云搜索服务 ES”。此时，资源列表将筛选出对应的ES集群。 6.勾选需要修改企业项目的集群，然后单击“迁出”。 7.在“迁出资源”页面，选择“迁出方式”，再选择“请选择要迁入的企业项目”，然后单击“确定”。 迁出资源 8.迁出完成后，可以在云搜索服务管理控制台集群管理页面，查看修改后的集群企业项目信息。

购买步骤（二类节点） 购买实例 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在服务列表选择“安全 > 日志审计（原生版）”，进入日志审计（原生版）实例列表界面。 4. 在界面右上角，单击“立即购买”，进入订购页面。 5. 配置基础信息和资产规格。 参数 参数说明 地区/可用区域 选择日志审计（原生版）需要部署的区域和可用区，实际可选择地区请根据购买页选择。 CPU分类 根据您需要部署日志审计（原生版）主机的CPU规格选择。 实例名称 输入您的实例名称。 版本及资产规格 选择日志审计（原生版）的版本及规格，资产规格请您根据自身业务的每秒事件指标（Evert Per SecondEPS）进行选择，具体可参考规格说明。 6. 选择配套的弹性云主机规格。具体云主机规格需求可参考规格说明。 云主机规格默认选择最低规格，您可在下拉框中选择主机规格或者输入规格名称进行搜索（支持模糊搜索）。 系统盘和数据盘默认选择最低规格，您可根据业务实际需求进行适量提升。 说明 在选定资产规格的情况下，若您的EPS值高于当前规格支持的最高EPS值，请您根据实际业务需求提升主机的规格。 若您需要将旧合作产品的日志审迁移至日志审计（原生版）服务，并且需要将数据也同步迁移，选购云主机时内存至少选择64G。 7. 配置日志审计（原生版）实例的网络信息。 参数 参数说明 虚拟私有云 选择日志审计（原生版）所属的虚拟私有云。 请您确保需要进行审计的设备和日志审计处于同一VPC下，若不在需确保和日志审计所在的VPC网络互通。 子网 选择日志审计（原生版）所属的子网。 安全组 选择日志审计（原生版）所属的安全组。 注意 安全组规则需要放通如下端口，请您在选择安全组的时候注意是否已放通该端口。 TCP协议“10443”的入方向端口。 UDP协议“514”的入方向端口。 弹性IP 为日志审计（原生版）实例绑定弹性IP。 8. 选择“购买时长”。支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 说明 若您未勾选“到期自动续费”，在日志审计（原生版）到期后需要手动续费，且需要同步去云主机服务页面续费配套的弹性云主机。 9. 确认参数配置无误后，阅读并同意相关协议，单击“提交订单”。 10. 在订单详情页确认内容是否正确，确认无误后单击“立即支付”，在后续跳转页中完成支付即成功购买日志审计（原生版）服务。 说明 日志审计（原生版）实例在您购买后会自动启用，若您的实例未正常启用，请参考[手动启用实例](

本章节主要提供开发指南的预览和下载。 点此预览、下载：《数据仓库服务用户开发指南》

本文向您介绍如何部署大模型学习机。 您可以通过本文的指导，使用镜像部署大模型学习机。 购买云主机 1. 登录云主机控制台，选择创建云主机资源池，点击“创建云主机”按钮。 2. 您可在以下资源池进行不同规格的开通： 注意 在加载Llama 2或者LLaMA3模型时, Pi2和s7.2xlarge.4规格使用默认配置会因为显存/内存不足加载失败, 需要通过勾选loadin8bit选项降低模型精度或关闭StableDiffusion服务后再加载Llama 2/LLaMA3模型. 参考文档:大模型学习机服务启停。 云服务器规格族 云服务器规格 支持大模型镜像资源池 镜像 GPU计算加速型 PI7 重庆重庆2、宁夏中卫5、辽宁辽阳1 LLaMA2StableDffusionWebUIGPU LLaMA3StableDffusionWebUIGPU GPU计算加速型 PI2 重庆重庆2、上海上海7 LLaMA2StableDffusionWebUIGPU LLaMA3StableDffusionWebUIGPU 通用型 S7(64G以上规格) 西南1az1/az2 LLaMA2StableDffusionWebUICPU LLaMA3StableDffusionWebUICPU

本文为您介绍如何使用控制台管理已部署的代理。 操作场景 通过对象存储迁移服务的控制台，对您的代理进行查看、删除等操作。 前提条件 您的代理列表中存在至少一个代理。 您已经登录进入“对象存储>对象存储迁移服务>迁移任务 ”的控制台，点击“代理列表”分页进入代理列表页面。 查看代理 您可直接在“代理列表”分页查看您的所有代理信息。代理列表包含以下信息供您查看： 参数 说明 代理名称 展示自定义的代理名称。 代理ID 展示代理的ID。 代理内网IP 展示部署代理软件的设备的内网IP地址。 已绑定任务数量 展示该代理上已绑定的迁移任务总数。 状态 展示代理的状态。 代理的工作节点数量 展示该代理下的worker节点的数量。 查看校验码 您可在“代理列表”分页点击要查看校验码的代理后的“查看校验码”按钮，即可在弹窗中查看该代理的校验码。 注意： 为确保校验码信息的安全，仅“未注册”状态的代理支持查看校验码，已经完成注册的代理均不可查看。 该校验码是您在设备上部署代理软件时必须的校验信息，请您务必妥善保存避免泄露。 删除代理 您可在“代理列表”分页点击要查看校验码的代理后的“删除”按钮，二次确认后，即可删除该代理。 注意： 为确保您的数据迁移的安全，仅代理未绑定有迁移任务，或代理上无正在操作和迁移的任务时，可删除代理。 删除操作将从对象迁移服务中删除您已注册的代理，您的代理一经删除无法恢复，请慎重执行删除。 若该代理上绑定有迁移任务，删除代理将会导致任务无法继续执行，且不可恢复。 若您删除后需再次使用半托管模式执行迁移任务，请重新创建代理进行注册，然后重新创建迁移任务。

本文档为制作Linux系统私有镜像指导手册的步骤4,安装QEMUGuestAgent。 操作场景 QEMUGuestAgent（简称qga），是天翼云平台弹性云主机执行关键功能的依赖工具。包括： 云主机重置密码 创建云主机快照 安装QEMUGuestAgent 如果您已经参考步骤2完整安装了全量软件，则可以直接配置cloudinit。 如果您未安装cloudinit，请执行以下命令完成安装。 说明 以下命令均可直接全量复制到命令行执行。 Red Hat系列Linux操作系统使用如下命令 plaintext yum install y qemuguestagent Debian系列Linux操作系统使用如下命令 plaintext apt install y qemuguestagent 配置QEMUGuestAgent 1. 通过执行以下shell命令，完成对qemuga和qemuguestagent.service配置文件的修改。 plaintext 若 /etc/sysconfig/qemuga 文件存在，则确认 BLACKLISTRPC、FILTERRPCARGS 所在行已被注释。 qemugaconfig'/etc/sysconfig/qemuga' if [ f "$qemugaconfig" ]; then [ ! f "${qemugaconfig}.bak" ] && cp "$qemugaconfig" "${qemugaconfig}.bak" sed i '/^[[:space:]]BLACKLISTRPC/ s/^/ /' "$qemugaconfig" sed i '/^[[:space:]]FILTERRPCARGS/ s/^/ /' "$qemugaconfig" fi 自定义 qemuguestagent 服务配置。 if [ f '/lib/systemd/system/qemuguestagent.service' ] [ f '/usr/lib/systemd/system/qemuguestagent.service' ]; then qemugaservicedropindir'/etc/systemd/system/qemuguestagent.service.d/' mkdir p "$qemugaservicedropindir" cat <<'EOT' >"${qemugaservicedropindir}zzctims.conf" [Install] WantedBydevvirtiox2dportsorg.qemu.guestagent.0.device EOT systemctl daemonreload fi 2. 配置服务。 plaintext systemctl enable qemuguestagent 3. 检查服务状态。 plaintext systemctl status qemuguestagent

告警名称 威胁告警说明 DDoS “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 异常行为 “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 WebCMS漏洞攻击 命令控制 “实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为

本节介绍了专属云（计算独享型）的产品价格。 （一）计费项分为包含服务和关联服务两类。 1、包含服务： 专属云（计算独享型）购买的是计算物理独享资源，您可在资源总量的范围内任意创建云主机，云主机不再收取费用。但关联的IP、带宽、云硬盘等需要单独收费。 规格 vCPU 内存 类型 包月标准价格（元/月） 通用型 336核 321GB S1C1C2M1 9996 通用型 344核 380GB S1C1C2M1 12020 通用型 372核 704GB S3 20984 通用型 388核 516GB S6（CPU内存比为1:1、1:2） 15910 通用型 388核 702GB S6（CPU内存比为1:2、1:4） 注：默认配置是1:2，若需要1:4配置须在工单中备注 18270 通用型 390核 915GB S7n（CPU内存比为1:1、1:2、1:4） 21807.96 通用计算增强型 74核 148GB C6（CPU内存比为1:2） 8370 通用计算增强型 74核 296GB C6（CPU内存比为1:4） 10030 通用计算增强型 92核 324GB C6s（CPU内存比为1:2） 11699 通用计算增强型 92核 368GB C6s（CPU内存比为1:4） 15909 通用计算增强型 98核 196GB C7n（CPU内存比为1:2） 10855.46 通用计算增强型 98核 392GB C7n（CPU内存比为1:4） 13860.92 通用计算增强型 152核 512GB C7t（CPU内存比为1:2、1:4） 22477.928 通用计算增强型 152核 608GB C7t（CPU内存比为1:4） 24130.304 内存优化型 76核 608GB M6（CPU内存比为1:8） 13218 内存优化型 98核 784GB M7n（CPU内存比为1:8） 18372.35 磁盘增强型 92核 328GB D6（CPU内存比为1:4） 17860 磁盘增强型 98核 412GB D7（CPU内存比为1:4） 22010.38 超高IO型 90核 360GB Ir7n（CPU内存比为1:4） 16401.33 超大内存型 96核 1920GB E7（CPU内存比为1:20） 45745.92 鲲鹏系列通用计算增强型 116核 426GB Kc1s（CPU内存比为1:2、1:4） 12104.4 鲲鹏系列通用计算增强型 160核 640GB Kc2（CPU内存比为1:2、1:4） 17318.4 鲲鹏系列内存优化型 116核 928GB Km1s（CPU内存比为1:8） 15822.4 鲲鹏系列超高IO型 116核 392GB Ki1s（CPU内存比为1:4） 15739.57 注意 36核、44核、72核不再新发货，请优先订购其他规格。除原有通用型 36、44、72 核专属云不享受包年优惠外，其余通用型、通用计算增强型、内存优化型、磁盘增强型、鲲鹏系列等专属云享受包年优惠政策：一年 8.5 折。 2、关联服务（用户根据需求单独购买，另行计费）： 您在专属云中创建的云硬盘（包括系统盘、数据盘）、公网IP和带宽、云硬盘备份、镜像服务等将按照公有云中的价格进行计费。当您的专属云包含服务到期后，请您及时删除专属云关联服务，以免造成不必要的费用。 专属云中订购的共享存储和带宽都是按需计费，您可购买相应产品的资源包。 存储单元 规格 包月标准价格 （元/G/月） 按需标准价格 （元/G/小时） 共享存储包(普通IO) 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 0.3 0.0005 共享存储包（高IO） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 0.4 0.0009 共享存储包（超高IO） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 1.2 0.0017 共享存储包（通用型SSD） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 0.7 0.00097 共享存储包（极速型SSD） 基础包1000GB，可按500GB步长增加；不订购或超出存储包容量按量计费 2 0.0042 注意 包年优惠政策：一年 8.5 折，两年7折，三年5折，四年4.5折，五年4折。 网络单元（此带宽包可以抵扣专属云下按需的公网带宽费用） 规格 包月标准价格 （元/M/月） 按需标准价格 （元/M/小时） 05M 基础包5M，可按1M步长增加；不订购或超出带宽包部分按量计费 20 0.056 5M以上 基础包5M，可按1M步长增加；不订购或超出带宽包部分按量计费 36 0.1 注意 无包年优惠政策。