本节主要介绍产品优势 云迁移工具RDA是天翼云为上云用户量身打造的迁移工具，可提供主机和对象存储在线迁移，助力企业快速上云，节省维护和使用成本。 操作简单 支持一键部署、图形化操作界面及常见问题一键修复。 安全可信 安全，传输加密，传输通道使用SSL加密，保证您数据传输安全性；认证和密码加密，存储的相关凭证采用了AESCBC进行双边加解密。 智能高效 对生产系统影响最小化，当CPU、IO、内存和带宽占用达到设定的阈值后暂停迁移/同步，等待资源空闲后自动恢复迁移/同步。 无缝迁移 迁移/同步过程业务不中断，生产系统无需停机/停服。

终端管理 限制项 具体要求 产品功能版本限制 部分能力会有最低客户端版本号要求，详见具体的功能详情页。 内网客户端连接公网控制台需要加白的域名 客户端接入域名： lxchzllkwcssf.ctcdn.cn 客户端接入多镜像中心： lxchzllkwcssfsearch.ctcdn.cn lxchzllkwcssfimage1.ctcdn.cn lxchzllkwcssfimage2.ctcdn.cn lxchzllkwcssfimage3.ctcdn.cn 客户端平台下载： soc0trust.ctcdn.cn 杀毒相关域名： apc.antiy.net.cn endpoint.antiy.cn vipedr.apc.antiy.net.cn 学术加速 限制项 具体要求 客户端兼容性 学术加速Windows、macOS、Android、IOS客户端目前不支持与零信任客户端同时使用。 零信任产品限制 同一个天翼云账号目前无法支持同时购买零信任任意服务与学术加速企业版。

天翼云物理机服务器如何保证数据安全？ 天翼云物理机服务器具备物理机级的性能和隔离性，用户独占计算资源，并且无任何虚拟化开销。存储在高性能高可靠的服务器上的数据，自然也会很安全。 带有本地磁盘的物理机服务器，支持本地磁盘组RAID，磁盘数据冗余存储，提升容错能力，确保数据安全。 无本地磁盘的天翼云物理机服务器，支持从云硬盘启动（即系统盘为云硬盘，且称之为快速发放物理机服务器）。云服务器备份可以对物理机服务器提供备份保护，支持基于多块云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复服务器数据，最大限度保障用户数据的安全性和正确性，确保业务安全。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

Key Value(说明) ContentType application/json ctyuneoprequestid 用户请求id，通过uuid生成，形如33dfa732b27b464fb15a21ed6845afd5 EopAuthorization 由天翼云官网accessKey和securityKey经签名后生成，签名逻辑详见后续说明 eopdate 请求时间，形如yyyymmddTHHMMSSZ，例如20211221T163014Z host 终端节点域名 appkey 控制台我的应用中每个应用具有的AppKey信息，鉴权时需要加入header decrypted 接口加密功能开关，需要启用接口加密时，设置decryptedtrue

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

本节为您介绍云迁移服务功能特性。 评估和规划 云迁移服务可以调研和评估用户原有的业务环境，包括主机资源、应用程序、数据存储和中间件等。云迁移服务还可针对用户目标云环境及资源提供建议和规划，并帮助用户确定最佳迁移策略和上云路径。 自动化迁移 云迁移服务提供服务器迁移、数据库迁移以及数据迁移的自动化迁移工具和技术，帮助用户将源端业务系统从他云或本地环境自助迁移到天翼云。 数据迁移和同步 云迁移服务支持将大量数据和数据库从他云或本地环境迁移到天翼云，同时在数据迁移过程中提供实时的数据稽核与修复功能，确保数据在迁移过程中的完整性与一致性。 资源规划管理 云迁移服务为用户提供了统一的采集模板，具备离线和在线两种模式来发现资源任务。这个服务可以将不同的主机、对象存储和数据库资源纳入平台管理，方便用户进行后续的具体迁移操作和管理。用户可以使用这个功能来收集和整理各种资源，以便更好地进行迁移任务和管理各项操作。 迁移整体调度 云迁移服务通过提供用户自定义迁移计划与迁移组的方式，将服务器、数据库、对象存储等资源自定义整合成一个调度任务，通过云迁移服务的整体调度能力实现批量管理、开始与暂停监控迁移任务，优化用户迁移效率，加快上云速度。

本节主要介绍OOS产品的优势。 地域广 对象存储（经典版）I型的资源池分布在全国多个省、市、自治区及直辖市，这些资源池均直连骨干网的数据中心，实现全国数据的低延迟访问。 带宽充足 天翼云拥有遍布全国的通信服务网络，具有强大的带宽优势，轻松应对高峰及突发流量。同时也可提供专线，满足网络延迟和安全等级要求。 稳定高效 物理层面：全方位数据保障措施，部署在8级抗震、一级耐火、一级防水、通过ISO27001认证的的数据中心内部。 传输层面：所有操作均可通过HTTPS协议进行，确保数据传输过程加密，以保证传输安全。 存储层面：所有上传数据被分片存储在不同的节点、不同的磁盘，任何节点或磁盘失效，均不影响服务的正常运行。 接入层面：提供多种鉴权和授权机制（包括签名认证、细粒度的身份与权限管控、防盗链、限制IP黑白名单访问、日志访问记录、WORM特性等），保证操作安全。 持久可用 服务设计可用性不低于99.99%。 数据设计持久性可高达99.99999999999%。 存储规模可大规模在线扩展，不影响对外服务。 支持多副本和纠删码冗余，可根据对象的重要程度选择不同的冗余方式。

您成功购买协同签名服务实例后，可在天翼云密码服务管理控制台登录。 通过天翼云控制台进入登录页面 1. 登录天翼云密码服务管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的协同签名服务实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。 登录方式一：账号及密码登录 1. 系统默认为“账号密码登录”，在登录页面输入账号及密码。 说明 首次登录实例时，请根据界面提示修改密码，否则无法进入系统。 首次登录默认账号如下： 管理员首次登录：默认账号为购买密码产品时，自定义设置的用户名和密码，可以参见获取初始登录账号获取初始账密。 其他用户首次登录：默认账号为管理员创建用户时设置的用户名和密码，请联系管理员获取。 2. 单击“登录”即可登录协同签名服务。 登录方式二：使用UKEY登录 注意 首次使用需要先下载安装当前版本USBKey登录的websockets控件。 仅管理员账号支持使用UKEY登录，如何配置UKEY请参考：编辑管理员章节。 1. 在登录页面右下角选择“UKEY登录”。 2. 插入UKEY设备后刷新页面即可登录。

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容。 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的 OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

用户手册 用户手册 天翼云数据加密服务用户指南.pdf

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

本文简介什么是天翼云Web应用防火墙（边缘云版）。 产品定义 天翼云Web应用防火墙（边缘云版）依托天翼云边缘云节点形成云安全网络，结合云端大数据分析平台，通过 AI+规则双引擎识别恶意流量，为用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 区别于传统WAF需要在源站前端部署，Web应用防火墙（边缘云版）基于边缘云分布式架构，将WAF、BOT、CC、API等应用安全防护能力赋能于全国边缘云节点，实现安全能力赋能边缘，将安全能力下沉至最接近终端用户的边缘节点，在最靠近攻击源头的地方阻断恶意流量。 有效防御 SQL 注入、XSS 跨站脚本、木马上传、非授权访问等 OWASP 攻击。此外还可以有效过滤 CC 攻击、提供 0day 漏洞补丁、防止网页篡改等。 结合智能调度，实现动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别规模；应对敏感大流量攻击，无惧突发风险。 功能特性 功能 简介 常见Web应用攻击防护 防御OWASP TOP10Web安全威胁攻击：如SQL注入、XSS跨站脚本、CSRF 跨站请求伪造、非授权访问等常见Web服务器漏洞攻击。 0day补丁定期及时更新：及时更新漏洞补丁，防护网站安全。 CC攻击防护 频率控制：结合多维度频率控制，精确控制请求频率，控制核心接口被访问的频率。 人机挑战：通过人机识别验证，避免非法请求透传源站。 大数据分析：针对低频多变的攻击，根据内置算法模型，统计正常业务流量和攻击流量的特征，自动生成精准访问控制策略。 业务安全防护 网页防篡改：支持用户将核心网页内容缓存在边缘云节点，并对外发布缓存中的网页内容，实现网页防篡改效果，防止网页被篡改带来负面影响。 敏感词防泄漏：针对银行卡、身份证、手机号、邮箱进行页面过滤，防止网站敏感信息泄露。 CSRF防护：有效阻止因误触恶意链接、恶意扫描、简单爬虫限制造成的用户损失。 Cookie防护：支持对指定cookie字段的值进行加密，支持对cookie签名，防止因随意篡改导致的漏洞触发。 账户安全防护：支持防护撞库、批量注册、暴力破解等恶意攻击行为，保障用户账号安全。 广告防护：对检测到的广告进行清除或者记录告警日志处理，使展示给用户的界面没有广告。 攻击挑战：针对反复触发防护策略的IP，限制访问频率。 精准访问控制 可针对IP , IP段 , URI , 请求方式, 请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 IPv6防护 支持一键开启IPv6功能，无缝处理IPv4和IPv6流量，并且支持解决天窗问题。 Bot行为管理 通过多模块联动实时检测与机器学习相结合实现网站请求的实时检测和分析，识别真实用户请求和恶意爬虫，进而防止刷票、活动作弊、恶意注册等爬虫攻击行为的发生，保障企业业务稳定运行，避免经济利益受损。 智能防护 自学习异常用户行为：智能学习网站流量规律，学习正常用户访问行为，多维度识别异常访问情况。 内置多种业务场景学习模型：强化抢票、恶意爆破登录、恶意爬取等机器脚本行为识别，保证网站正常运行。 威胁情报 天翼云与国内外知名安全厂家恶意情报共享，更快更精确发现恶意探测以及威胁事件。

配置项 说明 舰队 关联天翼云集群完成后自动将集群加入指定舰队。关联时可不指定，关联集群后可手动加入舰队。 注册集群 选择待关联的天翼云集群，集群状态必须为运行中。 支持跨资源池关联天翼云集群，包括CCE One尚未开通的资源池。注意跨资源池关联的天翼云集群资源池归属与原天翼云集群资源池一致。 企业项目 集群归属的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容 为保障您的账户安全、避免额外损失，请务必仔细阅读安全风险提示的全部内容 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本节介绍如何统一管理任意环境下的Kubernetes集群。 概述 CCE One 注册集群可以帮助您快速实现Kubernetes集群注册到云端，使用天翼云容器管理控制台对注册集群进行统一管理，赋予云下集群使用云上资源能力。 场景描述 统一管理天翼云集群：天翼云CCE专有版、托管版、智算版以及Serverless容器引擎等。 统一管理本地集群：由CCE提供的运行在您数据中心基础设施之上的Kubernetes集群，以及满足CNCF标准的IDC自建的Kubernetes集群。 统一管理三方集群：三方公有云上提供的Kubernetes集群产品，如阿里云(ACK)、腾讯云(TKE)、GCP (GKE)、AWS(EKS)等。 产品优势 云上云上集群统一管理，通过天翼云容器管理控制台，赋予云上云下集群可观测、权限管理等能力。 云下集群赋予云上能力，如通过接入云上ECS、虚拟节点等扩展云下集群算力。 产品架构 操作步骤 1. 创建注册集群并接入Kubernetes集群，详细步骤见 本地注册集群、三方云注册集群。 2. 集群接入后，使用天翼云容器管理控制台对接入集群进行管理，如 Kubernetes RBAC授权、运维等。

本文介绍全站加速产品的功能概览。 天翼云全站加速功能如下表所示： 功能分类 功能名称 功能描述 相关文档 域名管理 批量配置域名 客户往往会存在多个域名需要配置，而配置又是相同的情况，这时我们提供批量配置域名的方式可以使客户快速、便捷的接入域名。 批量配置域名 域名管理 域名操作工单 域名操作工单，指的是全站加速域名管理中的工单，是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 域名操作日志 标签管理 创建/删除标签和标签组 客户控制台上提供了一种域名分类管理工具——标签和标签组，使用标签可以对具有相同属性的域名进行分类管理，使用标签组可以对具有相同归类属性的标签进行分类管理。客户可自助在控制台上创建/删除标签和标签组。 创建/删除标签和标签组 标签管理 域名绑定标签 标签为域名分类管理工具，通过给域名绑定标签功能，用户可以对具有相同属性的域名进行分类管理。 域名绑定标签 标签管理 域名解绑标签 标签为域名分类管理工具，通过标签功能对具有相同属性的域名进行分类管理。如果标签已不再适用于您当前某个或多个域名的用途，您可以解绑域名标签。 域名解绑标签 标签管理 使用标签管理域名 在完成域名绑定标签后，您在日常运营时，就可以使用标签快速筛选对应的域名，进行分组管理。 使用标签管理域名 标签管理 使用标签筛选数据 在完成域名绑定标签后，在日常运营时，如果您需要查询某一属性的域名的数据，就可以基于标签筛选相关域名，查询对应的数据。 使用标签筛选数据 基础配置 加速类型 天翼云客户控制台，提供CDN加速、全站加速等多款产品的加速类型配置，您可以根据域名的业务类型选择合适的加速类型。 加速类型 基础配置 域名类型 天翼云全站加速产品提供三种业务类型的加速：全站加速、上传加速、websocket加速，您可以在添加域名时选择不同的域名类型来对不同的业务进行加速。 1.当您的域名以下行分发为主，且无websocket协议时，请选择“全站加速”域名类型。 2.当您的域名有上传业务时，请选择“全站加速上传加速”域名类型。 3.当您的域名有websocket协议时，请选择“全站加速websocket加速”域名类型。 域名类型 基础配置 加速区域 天翼云全站加速支持“中国内地”、“全球加速（不含中国内地）”、“全球加速”三种加速区域的选择。 加速区域 基础配置 IPv6配置 天翼云全站加速产品已经支持接收IPv6协议的请求，开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 IPv6配置 回源配置 源站配置 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 源站配置 回源配置 动态回源策略 在介绍动态回源策略之前，我们先介绍如何区分动态请求和静态请求。天翼云全站加速产品根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 1.择优回源：顾名思义，即根据全站加速节点探测源站的结果，选择最快的源站回源。 2.按权重回源：根据每个源站配置的不同权重，轮询回源。 3.保持登录：基于客户端IP进行哈希，保证相同客户端IP的多次请求始终访问到相同的源站。 动态回源策略 回源配置 回源协议 回源协议指全站加速节点回源站请求资源时使用的协议。配置该功能后，全站加速节点将根据指定的协议回源。全站加速支持HTTP回源协议，HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 回源协议 回源配置 回源加密算法 回源协议为HTTPS协议时，全站加速默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 回源加密算法 回源配置 回源端口 回源端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 回源端口 回源配置 默认回源HOST 当您的源站的同一个IP地址上绑定多个域名或站点时配置回源HOST，全站加速在回源时根据HOST信息去对应站点获取资源。 默认回源HOST 回源配置 回源HOST带端口 当源站绑定了多个域名，且源站服务运行在非80/443端口（比如8080）时，开启回源HOST带端口功能，全站加速回源时可以在回源HOST中带上具体的端口（如test.ctyun.cn:8080），精准找到源站服务。 回源HOST带端口 回源配置 回源SNI 如果您的源站IP绑定了多个域名，且全站加速回源协议为HTTPS时，需配置回源SNI，在回源SNI内指明所请求的具体域名，并使服务器根据该域名正确地返回对应的SSL证书。 回源SNI 回源配置 回源URI改写 回源URI改写可以实现在用户请求需要回源时进行URI改写， 全站加速节点向源站发送回源请求的时候使用改写后的URI。 回源URI改写 回源配置 回源参数改写 回源参数改写，改写的是回源请求URL的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 回源参数改写 回源配置 Common Name白名单 开启Common Name白名单功能后，全站加速节点以HTTPS协议与源站建连时，将会对请求的SNI和源站返回证书的Common Name进行校验。 Common Name白名单 回源配置 回源302/301跟随 配置302/301跟随回源功能后，全站加速节点会代替用户去处理源站响应的302/301状态码内容，即全站加速节点会直接跳转到源站302/301响应中的Location地址去请求对应资源，不会把源站响应的302/301跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 回源302/301跟随 回源配置 Range回源 Range回源，是指节点收到用户请求后，会在回源时携带Range请求头，源站在收到Range请求后，会返回对应范围的内容数据给全站加速。Range回源功能开启后，全站加速节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。 Range回源 回源配置 回源超时时间设置（新） 回源超时时间包括回源连接超时时间跟回源请求超时时间： 回源连接超时时间指回源节点与源站服务器建立连接的超时时间。回源请求超时时间指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 回源超时时间设置（新） 回源配置 分区域分运营商回源 如果您的域名有多个源站，且希望通过全站加速实现多个源站之间负载均衡，您可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。 分区域分运营商回源 回源配置 区分ipv4/ipv6协议回源 如果您的域名既有ipv4源站，又有ipv6源站，可以配置区分ipv4/ipv6协议回源，可实现ipv4协议的客户端回ipv4的源站，ipv6协议的客户端回ipv6的源站。同时也可基于客户实际需求，设置V4和V6用户按指定权重回对应V4和V6源站。 区分ipv4/ipv6协议回源 回源配置 指定源站回源HOST 当您的加速域名配置了多个回源站点，且回源站点与加速域名不同时，您可以使用指定源站回源HOST功能，为不同的源站配置不同的回源HOST，天翼云全站加速产品在回源时会根据配置的回源HOST信息去访问不同站点的资源。 指定源站回源HOST 回源配置 高级回源 当客户希望全站基于某些特殊场景回不同源站时，例如需要根据请求的不同文件后缀名、不同目录回不同的源站时，可以使用天翼云高级回源功能。 高级回源 回源配置 私有Bucket回源 回源地址使用天翼云媒体存储【即对象存储（融合版）】并且Bucket为私有模式的场景。 私有Bucket回源 证书管理 在全站加速控制台上可以新增/查看/删除https证书，也可以替换已过期的证书。 证书管理概述 HTTPS相关配置 HTTPS配置 在全站加速控制台上可以启用/停用域名的https开关，上传https证书。 HTTPS配置 HTTPS相关配置 国密HTTPS 天翼云全站加速产品支持SM2（椭圆曲线公钥密码算法）和SM3（杂凑算法）标准，提供更加安全的HTTPS传输协议（即国密HTTPS加密能力）。 国密HTTPS HTTPS相关配置 HTTP2.0配置 HTTP/2也被称为HTTP 2.0，相对于HTTP 1.1新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决了在HTTP 1.1中一直存在的问题，优化了请求性能，同时兼容了HTTP 1.1的语义。 HTTP2.0配置 HTTPS相关配置 强制跳转 通过配置强制跳转功能，将客户端到边缘节点的原请求方式强制重定向为HTTP或者HTTPS请求。天翼云全站加速产品支持配置HTTP和HTTPS强制跳转，适用场景： 1、已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到全站加速节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 2、对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到全站加速节点的HTTPS请求强制跳转为HTTP请求。 强制跳转 HTTPS相关配置 OCSP Stapling 启用OCSP Stapling功能后，OCSP信息查询的工作将由全站加速的服务器完成。全站加速服务器通过低频次查询，将查询结果缓存到服务器中（默认缓存时间60分钟）。当客户端向服务器发起TLS握手请求时，全站加速服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户向数字证书认证机构（CA）发送查询请求。极大地提高了TLS握手效率，节省了用户验证时间。 OCSP Stapling HTTPS相关配置 HSTS配置 开启了HSTS后，当您的域名在全站加速产品开启HTTPS安全加速时，在浏览器输入HTTP协议开头的URL链接，用户请求访问到全站加速节点上的时候，在配置了HTTP协议跳转HTTPS协议的情况，全站加速节点会将该HTTP请求301或302重定向到HTTPS，此时全站加速节点会响应一个强制HSTS的头给客户端，告诉客户端只能使用HTTPS协议访问全站加速节点，此后浏览器将直接使用HTTPS协议访问全站加速节点，不再需要HTTP协议强制跳转HTTPS协议了。 HSTS HTTPS相关配置 TLS协议版本 天翼云全站加速产品提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。天翼云全站加速产品支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3。 TLS协议版本 HTTPS相关配置 HTTPS无私钥驻留加速 通常情况下，HTTPS协议的域名，如果需要在全站加速平台配置加速服务，需要将HTTPS公钥和私钥部署到全站加速平台。使用HTTPS无私钥驻留加速方案后，您只需要将公钥部署到全站加速平台，私钥可以由源站唯一保有，即可实现HTTPS业务的加速。 HTTPS无私钥驻留加速方案 HTTPS相关配置 批量HTTPS证书配置 天翼云全站加速产品支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 批量HTTPS证书配置 HTTPS相关配置 加密套件 介绍天翼云全站加速支持的加密套件及对应套件支持的最低版本的SSL/TLS协议。 加密套件 HTTPS相关配置 双向认证 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。在标准的HTTPS中，通常采用单向认证的方式，即服务器向客户端证明自己的身份以建立一个安全加密的通信连接；双向认证在服务器向客户端证明身份的基础上，还需要客户端也提供客户端证书，供服务器验证客户端的身份，客户端与服务器双方都验证通过对方的身份后，才建立HTTPS连接。 双向认证 缓存配置 缓存过期时间 缓存过期时间指源站资源在全站加速节点缓存的时长，达到预设时间，资源将会被全站加速节点标记为失效资源。如果客户端向全站加速节点请求的资源已经失效，全站加速节点会回源站获取最新资源并缓存到全站加速节点上，供其他请求使用。 全站加速产品支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 缓存过期时间 缓存配置 状态码过期时间 全站加速节点从源站获取资源时，源站会返回响应状态码，您可以在客户控制台上配置状态码过期时间，当客户端再次请求相同资源时，由全站加速节点直接响应状态码，不会触发回源，减轻源站压力。当状态码在全站加速节点上的存储时长超过设置的过期时间，缓存的状态码会失效，此时针对同一资源的请求需要回源。配置状态码过期时间主要适用于源站响应了异常状态码的情况下，例如4xx、5xx。正常情况下全站加速节点成功从源站获取到所请求的资源，即源站响应了2xx状态码时，会按照天翼云全站加速缓存规则及优先级进行缓存。如果源站无法迅速响应所有状态码（例如非2xx状态码），且不希望所有请求全部由源站响应，那么可以配置状态码过期时间，由全站加速节点直接响应状态码，减轻源站压力。 状态码过期时间 缓存配置 状态码过期时间（源站优先） 如您希望在源站响应特殊状态码并携带相关缓存头的情况下，源站相关缓存头优先级更高，无相关缓存头时才按全站加速设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 状态码过期时间（源站优先） 缓存配置 缓存key设置 通过自定义缓存key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 缓存key设置 缓存配置 跨域资源共享 跨域资源共享，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 跨域资源共享 头部修改 HTTP响应头 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应参数并传递给客户端。通过配置自定义HTTP响应头，当用户请求加速域名下的资源时，全站加速节点返回的响应消息会携带您配置的响应头，从而实现特定功能。常用场景包括：告知客户端全站加速节点响应文件的资源类型，例如添加响应头ContentType: text/html，告知客户端全站加速节点响应文件的格式是HTML格式。当用户请求全站加速节点上某个域名的资源时，可以在全站加速节点返回的响应消息中配置自定义响应头，以实现跨域访问。 HTTP响应头 头部修改 回源HTTP请求头 当全站加速节点请求回源站拉取资源时，源站可获取到回源请求头中携带的信息。您可以通过该功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。例如，通过XForwardFor头部携带真实客户端IP至源站。 回源HTTP请求头 头部修改 回源HTTP响应头 如果您需要改写用户源站响应报文中的HTTP Header，可以通过配置回源HTTP响应头实现。可根据您的实际业务需求，选择添加、修改、删除回源HTTP响应头。 回源HTTP响应头 文件处理 文件压缩 介绍Gzip和Brotli压缩算法及配置方式。 文件压缩 文件处理 图片处理 开通图片处理功能后，全站加速可以在回源节点上对客户原始图片做自适应WEBP、自动瘦身，或通过客户端携带的URL参数进行缩放、旋转、裁剪、格式转换等处理后进行分发，并缓存在全站加速节点，使得源站保留原图即可；免去源站对图片的各种处理，降低源站压力，节省源站存储空间，同时提升图片处理响应速度。 图片处理 高级配置 错误页面自定义 当页面访问出错时，客户端会显示默认错误页面，例如404 Not Found。默认的报错页面通常不美观，会带给用户不好的体验。为了帮助客户优化用户体验，全站加速节点支持当出现指定错误码的时候，能够让用户跳转到客户自定义页面的功能。 错误页面自定义 高级配置 访问URL重定向 当客户源站的内容存放路径发生了变更，全站加速节点上的内容存放路径也发生了变更，但是用户请求URL里面包含的内容路径没有变更时，需要全站加速节点改写用户请求里面的内容路径。技术实现方式是通过响应302状态码重定向的方式，让客户端取302响应里面的Location的新URL，重新向全站加速节点发起访问，确保用户能获得正确的内容。 访问URL重定向 访问控制 IP黑白名单 IP黑/白名单功能通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 IP黑白名单 访问控制 Referer防盗链 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，全站加速会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，全站加速会返回资源链接；拒绝访问请求，全站加速会返回403响应码。 Referer防盗链 访问控制 UA黑白名单 可以通过配置访问的UserAgent头部来对访客身份进行识别和过滤，拒绝非法访问。全站加速通过对用户 HTTP 请求头中的 UserAgent 进行规则判断，按需放行或拒绝用户访问。允许访问时，全站加速会返回资源链接；拒绝访问时，全站加速会返回403响应码。 UA黑白名单 访问控制 URL黑白名单 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 URL黑白名单 访问控制 URL鉴权 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云全站加速平台上配置URL鉴权功能。配置URL鉴权后，全站加速产品会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 配置URL鉴权 访问控制 远程同步鉴权 可以通过配置远程同步鉴权功能，在全站加速节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，全站加速节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 远程同步鉴权 访问控制 全网带宽控制 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 全网带宽控制 访问控制 有序回源 全站加速的有序回源功能是一种流量控制方法，用于大量请求并发回源时的排队管理。 有序回源 访问控制 单请求限速 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 单请求限速 访问控制 IP访问限频 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 IP访问限频 页面优化 html页面优化 置了页面优化功能后，全站加速产品会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，从而达到缩小文件体积、提升文件分发效率。 html页面优化 页面优化 html禁止操作 html禁止操作，支持在客户控制台自助进行html页面的禁止右键操作和禁止复制操作，以防止源站的源码泄露。 html禁止操作 视频相关 视频拖拉 视频点播网站或应用，通常都会提供视频拖拉能力，用户可以随意拖动播放器进度条到想要的位置。使用全站加速后，您可以通过配置视频拖拉功能，支持用户的视频拖拉请求。 视频拖拉 视频相关 视频试看 视频点播网站或应用，除免费视频外，通常还会有一些精品付费视频。为吸引用户观看，网站往往会允许用户免费试看一定时间的内容，例如60s或是更短时间。使用全站加速后，视频网站仍可通过全站加速节点来实现视频试看功能。 视频试看 视频相关 HLS标准加密改写 LS标准加密改写功能，是指全站加速节点回源获取到M3U8文件内容后，改写其中的

本文概括介绍天翼云HTTPS相关的功能及使用场景。 功能简介 HTTPS相关功能主要包括：HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、配置加密套件等，可满足客户不同场景的使用需求。 功能 说明 配置HTTPS 开启HTTPS功能，实现客户端和CDN节点之间使用HTTPS加密传输。 HTTP2.0配置 相对于HTTP1.1，HTTP2.0新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决HTTP1.1中存在的一些问题，优化请求性能。 强制跳转 用户到CDN节点的请求需要强制跳转为HTTP或者HTTPS时，可以配置强制跳转功能。 OCSP装订 开启OCSP装订功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中，提升HTTPS响应性能。 国密HTTPS 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。 TLS版本配置 TLS即安全传输层协议，目的是为互联网通信提供安全及数据完整性保障，您可以按需对不同加速域名配置不同的TLS协议版本。 批量HTTPS证书配置 CDN支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 配置HSTS HSTS是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。 网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 配置加密套件 加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。在Client Hello和Server Hello消息交换之后，客户端发送密码支持套件列表，服务器从列表中选择密码套件进行响应。

检测与修复建议 天翼云企业主机安全服务对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，如下图所示，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 进行漏洞的修复与验证，详细的操作步骤请参见漏洞管理。 其他防护建议 若您暂时无法进行升级操作，也可以采用以下方式进行防护： 方式一：使用以下命令禁用credential helper git config unset credential.helper git config global unset credential.helper git config system unset credential.helper 方式二：提高警惕避免恶意URL 1. 使用git clone时，检查URL的主机名和用户名中是否存在编码的换行符（%0a）或者凭据协议注入的证据（例如：hostgithub.com）。 2. 避免将子模块与不受信任的仓库一起使用（不使用clone recursesubmodules；只有在检查gitmodules中找到url之后，才使用git submodule update）。 3. 请勿对不受信任的URL执行git clone。

加密和解密的API 您可以调用以下API，在本地对数据进行加解密。 API名称 说明 创建数据密钥 创建数据密钥。 解密数据密钥 用指定的主密钥解密数据密钥。 加密本地文件 步骤1 通过控制台，创建用户主密钥。 步骤2 请准备基础认证信息。 ACCESSKEY: 帐号Access Key SECRETACCESSKEY: 帐号Secret Access Key PROJECTID:项目ID KMSENDPOINT: KMS服务访问终端地址。 步骤3 加密本地文件。 示例代码中： 用户主密钥：控制台创建的密钥ID。 明文数据文件：FirstPlainFile.jpg。 输出的密文数据文件：SecondEncryptFile.jpg。 import com.ctyun.sdk.core.auth.BasicCredentials; import com.ctyun.sdk.kms.v1.KmsClient; import com.ctyun.sdk.kms.v1.model.CreateDatakeyRequest; import com.ctyun.sdk.kms.v1.model.CreateDatakeyRequestBody; import com.ctyun.sdk.kms.v1.model.CreateDatakeyResponse; import com.ctyun.sdk.kms.v1.model.DecryptDatakeyRequest; import com.ctyun.sdk.kms.v1.model.DecryptDatakeyRequestBody; import javax.crypto.Cipher; import javax.crypto.spec.GCMParameterSpec; import javax.crypto.spec.SecretKeySpec; import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.nio.file.Files; import java.security.SecureRandom; / 使用数据密钥（DEK）进行文件加解密 激活assert语法，请在VMOPTIONS中添加ea / public class FileStreamEncryptionExample { private static final String ACCESSKEY " "; private static final String SECRETACCESSKEY " "; private static final String PROJECTID " "; private static final String KMSENDPOINT " "; // KMS服务接口版本信息，当前固定为v1.0 private static final String KMSINTERFACEVERSION "v1.0"; / AES算法相关标识： AESKEYBITLENGTH: AES256密钥比特长度 AESKEYBYTELENGTH: AES256密钥字节长度 AESALG: AES256算法，本例分组模式使用GCM，填充使用PKCS5Padding AESFLAG: AES算法标识 GCMTAGLENGTH: GCM TAG长度 GCMIVLENGTH: GCM 初始向量长度 / private static final String AESKEYBITLENGTH "256"; private static final String AESKEYBYTELENGTH "32"; private static final String AESALG "AES/GCM/PKCS5Padding"; private static final String AESFLAG "AES"; private static final int GCMTAGLENGTH 16; private static final int GCMIVLENGTH 12; public static void main(final String[] args) { // 您在控制台创建的用户主密钥ID final String keyId args[0]; encryptFile(keyId); } / 使用数据密钥加解密文件实例 @param keyId 用户主密钥ID / static void encryptFile(String keyId) { // 1.准备访问认证信息 final BasicCredentials auth new BasicCredentials().withAk(ACCESSKEY).withSk(SECRETACCESSKEY) .withProjectId(PROJECTID); // 2.初始化SDK，传入认证信息及KMS访问终端地址 final KmsClient kmsClient KmsClient.newBuilder().withCredential(auth).withEndpoint(KMSENDPOINT).build(); // 3.组装创建数据密钥请求信息 final CreateDatakeyRequest createDatakeyRequest new CreateDatakeyRequest().withVersionId(KMSINTERFACEVERSION) .withBody(new CreateDatakeyRequestBody().withKeyId(keyId).withDatakeyLength(AESKEYBITLENGTH)); // 4.创建数据密钥 final CreateDatakeyResponse createDatakeyResponse kmsClient.createDatakey(createDatakeyRequest); // 5.接收创建的数据密钥信息 // 密文密钥与KeyId建议保存在本地，方便解密数据时获取明文密钥 // 明文密钥在创建后立即使用，使用前需要将16进制明文密钥转换成byte数组 final String cipherText createDatakeyResponse.getCipherText(); final byte[] plainKey hexToBytes(createDatakeyResponse.getPlainText()); // 6.准备待加密的文件 // inFile 待加密的原文件 // outEncryptFile 加密后的文件 final File inFile new File("FirstPlainFile.jpg"); final File outEncryptFile new File("SecondEncryptFile.jpg"); // 7.使用AES算法进行加密时，可以创建初始向量 final byte[] iv new byte[GCMIVLENGTH]; final SecureRandom secureRandom new SecureRandom(); secureRandom.nextBytes(iv); // 8.对文件进行加密，并存储加密后的文件 doFileFinal(Cipher.ENCRYPTMODE, inFile, outEncryptFile, plainKey, iv); } / 对文件进行加解密 @param cipherMode 加密模式，可选值为Cipher.ENCRYPTMODE或者Cipher.DECRYPTMODE @param infile 待加解密的文件 @param outFile 加解密后的文件 @param keyPlain 明文密钥 @param iv 初始化向量 / static void doFileFinal(int cipherMode, File infile, File outFile, byte[] keyPlain, byte[] iv) { try (BufferedInputStream bis new BufferedInputStream(new FileInputStream(infile)); BufferedOutputStream bos new BufferedOutputStream(new FileOutputStream(outFile))) { final byte[] bytIn new byte[(int) infile.length()]; final int fileLength bis.read(bytIn); assert fileLength > 0; final SecretKeySpec secretKeySpec new SecretKeySpec(keyPlain, AESFLAG); final Cipher cipher Cipher.getInstance(AESALG); final GCMParameterSpec gcmParameterSpec new GCMParameterSpec(GCMTAGLENGTH Byte.SIZE, iv); cipher.init(cipherMode, secretKeySpec, gcmParameterSpec); final byte[] bytOut cipher.doFinal(bytIn); bos.write(bytOut); } catch (Exception e) { throw new RuntimeException(e.getMessage()); } } }

删除子用户 操作步骤 1. 首先打开天翼云统一身份认证服务，使用您在天翼云官网注册的登陆凭证进行登陆。 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。在该页中，您将能看到已经创建好的全部子用户列表。点击子用户右侧的【删除】按钮，即可根据提示删除该子用户。如下图所示： 注意 删除CTIAM的子用户是极其高危的操作。删除操作执行后，该子用户涉及的所有产品的全部权限将立即被清理。如当前子用户被赋予了云点播相关权限，则删除子用户操作意味着：（1）该子用户将无法登陆云点播控制台；（2）该子用户关联的AK/SK将无法继续操作云点播的原生API。（3）该操作不可逆，一旦执行后数据无法被恢复。 请执行该操作前务必慎重决策！ 冻结子用户 操作步骤 1. 首先打开天翼云统一身份认证服务，使用您在天翼云官网注册的登陆凭证进行登陆。 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。在该页中，您将能看到已经创建好的全部子用户列表。点击子用户右侧的【编辑】按钮，在弹窗中将该用户的【状态】改为【禁用】。如下图所示： 3. 完成该操作后，当您使用子账号登陆用户控制台时，系统将提示“账号已被冻结”，无法正常登陆。同时，该子用户所属的AK/SK处于冻结状态，相关调用API、SDK的操作将会被系统拒绝。 4. 该子用户的登陆凭证、AK/SK等信息不会被删除。 注意 当您的主账号由于欠费、运营监管等原因被天翼云整体冻结时，主账号关联的子账号也会同步被关联冻结。此时子账号登陆界面将提示“账号被关联冻结”。 此时您需要将主账号解除冻结状态，即可同步恢复子账号的使用。 解冻子用户

删除子用户 操作步骤 1. 首先打开天翼云统一身份认证服务，使用您在天翼云官网注册的登陆凭证进行登陆。 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。在该页中，您将能看到已经创建好的全部子用户列表。点击子用户右侧的【删除】按钮，即可根据提示删除该子用户。如下图所示： 注意 删除CTIAM的子用户是极其高危的操作。删除操作执行后，该子用户涉及的所有产品的全部权限将立即被清理。如当前子用户被赋予了云点播相关权限，则删除子用户操作意味着：（1）该子用户将无法登陆云点播控制台；（2）该子用户关联的AK/SK将无法继续操作云点播的原生API。（3）该操作不可逆，一旦执行后数据无法被恢复。 请执行该操作前务必慎重决策！ 冻结子用户 操作步骤 1. 首先打开天翼云统一身份认证服务，使用您在天翼云官网注册的登陆凭证进行登陆。 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。在该页中，您将能看到已经创建好的全部子用户列表。点击子用户右侧的【编辑】按钮，在弹窗中将该用户的【状态】改为【禁用】。如下图所示： 3. 完成该操作后，当您使用子账号登陆用户控制台时，系统将提示“账号已被冻结”，无法正常登陆。同时，该子用户所属的AK/SK处于冻结状态，相关调用API、SDK的操作将会被系统拒绝。 4. 该子用户的登陆凭证、AK/SK等信息不会被删除。 注意 当您的主账号由于欠费、运营监管等原因被天翼云整体冻结时，主账号关联的子账号也会同步被关联冻结。此时子账号登陆界面将提示“账号被关联冻结”。 此时您需要将主账号解除冻结状态，即可同步恢复子账号的使用。 解冻子用户

天翼云售后团队向客户提供的关于第三方软件的建议只适用于有经验的系统管理员或其他相关IT人员，并由客户评估决策是否采纳和实施；天翼云将基于已有经验，尽最大努力为客户提供以下第三方软件在云主机/操作系统环境中安装、配置和疑难排解的建议，确保其在天翼云云主机/操作系统环境中正常运行；天翼云不负责以下第三方软件的安装、调试、更新以及对建议的实施。 第三方软件目录及问题服务范围举例： 第三方软件目录 服务范围：示例 非服务范围：示例 SSH 通过SSH无法连接云主机、远程连接端口号修改 SSH的文件传输、隧道代理、远程执行命令、端口转发和SSH代理、安全加固功能 Windows mstsc远程连接 通过mstsc无法远程连接、远程连接端口号修改 资源共享和多人远程连接 SFTP SFTP无法启动，使用系统账号登录的配置方法 SFTP的用户配置以及用户访问权配置等，传输速度优化 FTP FTP无法启动，使用系统账号登录的配置方法 FTP服务安全加固，传输速度优化 Apache 端口无法监听以及网站无法访问 Apache的优化配置 IIS IIS启动后访问报错，网站无法访问，如403错误、404错误 托管和管理各种类型的 Web 应用程序和服务、脚本语言语法支持、配置优化 Nginx Nginx端口无法监听、网站无法访问 Nginx调优、代理转发 MySQL与Microsoft SQL Server MySQL以及SQL Server监听内网端口修改 MySQL以及SQL Server的SQL语句优化以及配置 Linux IPtables与Windows Firewall IPtables基本策略语法指导，如filter表的accept以及drop指导、nat以及端口转发以及windows firewall的关闭开启，入方向以及出方向基础规则 基于IPtables的负载均衡、链接追踪、限速、代理以及高级安全设置 Network以及NetworkManager 公共镜像的网卡获取IP异常、静态IP/动态IP配置 虚拟IP、bond、网卡策略的配置

本文汇总了密钥管理产品管理类常见问题。 是否可以导出用户主密钥？ 不可以。为确保用户主密钥的安全，用户只能在KMS中创建，并通过API接口调用实现加密等操作，无法导出用户主密钥。 创建密钥时，若您选择密钥材料来源于天翼云，则KMS系统会自动为用户主密钥生成密钥材料，且密钥材料无法单独删除、不可导出，仅支持随用户主密钥一并删除； 创建密钥时，若您选择密钥材料来源于外部，则支持手动删除密钥材料。 哪些云服务支持密钥管理系统加密数据？ KMS服务无缝对接云硬盘、对象存储和弹性文件、数据库产品，提供服务端加密能力。您只需要在创建云硬盘时，勾选“加密”功能，则可一键开启硬盘加密功能，加密过程透明无感知。 产品底层通过信封加密的方式，实现云产品中数据的加密。 用户自建主密钥与默认主密钥有何区别？ 用户主密钥：是用户通过控制台或 API 来创建的用户主密钥。您可以对用户密钥进行创建/设置别名/上传自带密钥材料/启用/禁用/轮转/版本管理/删除等操作。用户主密钥按照标准资费进行计费。 默认主密钥：是用户首次通过云服务调用KMS实现加密时，由系统自动生成的主密钥，别名以云产品命名，如“alias/ecs”。不支持禁用/删除/轮转/上传自带密钥材料等操作。默认主密钥免费提供密钥管理服务，API调用费与用户主密钥一同统计收费。

本节主要介绍产品咨询类相关问题。 云存储网关是否支持同传统 SAN 存储产品之间的数据迁移？ 支持。可以通过虚拟化平台完成云存储网关和其他 SAN 产品之间的数据迁移。对于非虚拟化场景，比如数据库，可以采用专门的数据迁移工具进行 SAN 与云存储网关之间的数据迁移。此外，Linux 的内核模块dmclone，可以用于实时克隆块设备，将数据从原有的 LUN 切到新的 LUN，实现原有 SAN 存储到云存储网关的数据迁移。Windows 操作系统可以使用用户状态迁移工具实现数据迁移。 什么是云存储网关？ 云存储网关是中国电信天翼云自主研发的一款可在线下和云上部署的网关软件，方便用户将本地数据轻松上传到天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS），实现存储空间弹性扩展。云存储网关作为本地与云端存储之间的桥梁，通过标准 iSCSI 协议（Internet小型计算机系统接口）提供块存储服务，帮助用户将全量数据自动同步到OOS，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。同时，云存储网关也可以将通用服务器及其管理的存储资源转换成高性能的虚拟存储阵列，承载企业核心业务数据。

在使用天翼云关系型数据库MySQL前,您需要先创建实例。本文为您详细介绍如何创建天翼云关系数据库MySQL版实例。 背景信息 您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例，其中，计费模式支持包年包月（包周期）和按需计费。 创建实例时，系统默认开启自动备份策略。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改备份策略。 数据库端口默认为13049。您也可在订购页自定义端口。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改数据库端口。 操作步骤 1. 进入数据库实例订购页面。 方法一： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 注意 如需要对II 类型资源池广州4、苏州进行实例创建和管理，需要先在控制台的实例列表页面的左上角单击数据库资源池切换，并选择对应的资源池，然后进行管理和订购等操作。 3. 在实例列表上方，单击创建实例，进入数据库实例订购页面。 方法二： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击立即开通，进入数据库实例订购页面。 2. 在顶部菜单栏，选择区域和项目。 2. 根据实际情况，配置如下实例相关参数。 模块 参数 描述 基本信息 组件引擎和版本 选择数据库组件引擎和版本： 说明 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 引擎：MySQL 版本：5.7或者8.0 基本信息 区域 租户当前所在区域。支持在顶部菜单栏左上角切换到其他区域。 注意 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 基本信息 计费模式 选择计费模式： 包年/包月：若选择该模式，则按照购买时长进行计费，一次性扣除。 按需计费：若选择该模式，则会从余额中进行扣除费用。 基本信息 模式 选择实例模式： 非MGR：实例类型可以选择单机版、一主一备和一主两备。 MGR：模式选择MGR后，实例类型默认只能选择一主两备 。更多MGR集群信息，请参见MGR集群。 基本信息 实例类型 根据具体的业务需求选择对应的实例类型。详细的实例类型信息，请参见实例类型。 基本信息 可用区 选择实例所在的可用区。针对支持多可用区的资源池，您可以将订购的非单机版实例节点分布在不同的可用区，即跨可用区部署实例。一个可用区不受其他可用区故障的影响，保证您数据库服务的可用性。 注意 跨可用区功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 CPU类型 部分资源池提供了X86和ARM架构，具体资源池加载情况以实际受理页为准。 规格与存储 性能类型 支持选择通用型、计算增强型和内存优化型的主机类型。关于各主机类型具体说明和适用场景，请参见实例规格。 说明 对应的主机类型提供对应六代机或七代机，目前七代机的表现整体优于六代机。 规格与存储 性能规格 选择实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后，支持进行规格变更。 规格与存储 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。具体存储类型差异，请参见实例存储类型。 规格与存储 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持100GB到32TB，您选择的容量大小必须为10的整数倍。 存储空间自动扩展：可选择开通自动扩容，开通后实例将根据选择的阈值进行自动扩展，无需担心空间满问题，建议扩容上限值设置大一些，以备不时之需。 磁盘加密：可选择磁盘是否加密，有效保护数据安全，此项功能仅支持在订购时进行设置，在控制台暂不支持设置。 注意 磁盘加密功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 备份空间 如果备份类型是云硬盘方式，备份空间大小需要大于等于存储空间。 如果备份类型是对象存储方式，默认会赠送和订购时选择的存储空间大小相等的对象存储空间。 注意 对象存储方式仅II类型资源池中的部分资源池支持，I类型资源池不支持该方式，以订购页实际显示为准。更多资源池信息，请参见功能概览。 免费备份空间额度仅与首次购买的存储空间大小绑定，后续扩容不额外增加免费额度。 备份空间实际用量超过免费额度时，系统将自动对超出部分按标准费率计费。 企业项目 企业项目 企业项目权限实现细粒度控制。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的权限限制。 网络 虚拟私有云 关系数据库MySQL版实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见创建虚拟私有云VPC。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意 目前关系数据库MySQL版实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 网络 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系数据库MySQL版实例的子网默认开启DHCP功能，不可关闭。 创建实例时关系数据库MySQL版会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 网络 IP地址 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址不可修改。 注意 手动输入指定IP地址功能仅II类型资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 网络 安全组 安全组限制实例的安全访问规则，加强关系数据库MySQL版服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果不创建安全组或没有可选的安全组，关系数据库MySQL版服务默认为您分配安全组资源。 集群配置 实例名称 长度为4~64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 集群配置 设置密码 您可以在订购的时候设置密码，也可以选择在创建后进行设置密码，提高订购开通效率。 集群配置 管理员账号 数据库的登录名默认为root。 集群配置 管理员密码 长度为8~26位，需为字母、数字和特殊字符~!@

安全加固 天翼云对虚拟化管理程序和宿主机 OS/内核级别进行相应安全加固，并且虚拟化软件必须编译和运行在一个安全的执行环境上以保障整个链路的安全，确保虚拟化环境的安全性。 热补丁修复 天翼云支持热补丁修复技术，无需重启系统即可修复漏洞。热补丁修复技术可以在不影响业务运行的情况下，快速修复系统漏洞，提高系统的可用性和安全性。 数据擦除 天翼云提供数据擦除机制，此机制保证分布式块存储系统中已删除的数据一定会被完全擦除，不会被其他用户通过任何途径访问，也无法通过其他方式恢复，进而确保数据的完整性。在用户释放云主机实例后，存储系统将立刻销毁实例原有的存储的云数据，确保无法继续访问数据。同时，实例原有存储对应的物理存储空间会被回收并处理，确保数据无法被恢复，防止用户数据泄露，保障用户数据安全。