本节介绍创建应用及开通应用相关的操作。 本文以人脸检测为示例作为说明。 操作步骤如下： 成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 开通服务 1.点击【产品人工智能】，根据需要选择人脸识别下的对应产品（以人脸检测为例）。 2.跳转到服务详情页后，点击【管理控制台】。 创建新应用 1.进入控制台【我的应用】，点击【新增应用】，页面出现新建应用的弹窗，填写应用名称及应用概述，点击【确定】按钮。 2.再次弹出小弹窗，提示应用创建成功，请保存好AppKey和AppSecret，点击【知道了】即新应用创建成功。

您可根据业务需要，手动退订实例来释放资源。本文为您介绍数据传输服务DTS如何退订。 如果您有退订数据传输服务DTS的需求，可以登录天翼云管理中心或DTS产品控制台进行退订操作。 天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考退订规则说明 。退订DTS实例，不满整月的按当月实际发生天数退还费用。 通过订单管理退订 1. 登录天翼云官网，进入【费用中心】>【订单管理】>【退订管理】页面。 2. 选择要退订的资源，点击退订，进入退订详情页面。天翼云目前支持单个退订和批量退订。 3. 退订前仔细阅读退订须知，然后确认退订资源信息，包括产品名称、资源ID、规格、时间及可退订金额。 4. 信息确认无误后勾选协议，点击退订并再次确认，确认后即可完成退订。退订后资金退回账户余额。 通过产品控制台退订 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 数据库生态工具 > 数据传输服务DTS】，进入数据传输服务DTS产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【数据传输服务DTS > 数据迁移】 或者 【数据传输服务DTS > 数据同步】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在目标实例的【操作】列，选择【更多】>【退订】。 4. 在退订页面，单击【提交】进行退订操作。

本节介绍了创建应用及开通应用的流程说明。 以语音合成为示例作为说明。 操作步骤如下： 成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 开通服务 1.点击【产品人工智能】，根据需要选择自然语言处理下的对应产品（以语音合成为例）。 2.点击【管理控制台】进行创建新应用和产品服务开通。 创建新应用 1.进入控制台【我的应用】，点击【新增应用】，页面出现新建应用的弹窗，填写应用名称及应用概述，点击【确定】按钮。 2.再次弹出小弹窗，提示应用创建成功，请保存好AppKey和AppSecret，点击【知道了】即新应用创建成功。

本节介绍创建应用及开通应用相关的操作。 本文以身份证识别为示例作为说明。 操作步骤如下： 成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 开通服务 1.点击【产品人工智能】，根据需要选择印刷文字识别下的对应产品（以身份证识别为例）。 2.跳转到服务详情页后，点击【立即开通】； 创建新应用 1.进入控制台【我的应用】，点击【新增应用】，页面出现新建应用的弹窗，填写应用名称及应用概述，点击【确定】按钮。 2.再次弹出小弹窗，提示应用创建成功，请保存好AppKey和AppSecret，点击【知道了】即新应用创建成功。

操作场景 用户查看互联链路的状态。 前提条件 互联的两个设备均需满足以下条件： 状态为在线； 设备类型为硬件版； 激活方式为串接时。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN名称； 3. 单击“设备互联”，然后单击目标互联关系“操作”列的“查看监控”。 4. 可查看互联链路的传输时延、抖动和丢包率性能。

本节将介绍如何将集成的日志数据投递至LTS。 操作场景 态势感知（专业版）支持集成WAF、HSS、CFW等其他云产品日志，具体集成操作及支持集成的云服务请参见云服务接入。 集成后的日志还支持投递至云日志服务（Log Tank Service，简称LTS），方便用户快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 前提条件 已完成需投递日志的数据集成至态势感知（专业版）操作，详细操作请参见云服务接入。 投递到LTS中，需要已有可用的日志组和日志流。 步骤一：创建数据投递任务 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道后，单击目标管道名称后的“更多 > 投递”，右侧弹出现在数据投递设置页面。 6. （可选）在弹出的授权提示中，确认无误后，单击“确认”，完成授权。 首次投递到目的投递类型需要进行授权，如果已经授权，请跳过该步骤。 7. 在新增投递配置页面中，配置数据投递相关参数。 投递名称：自定义数据投递名称。 账号类型：此处请选择“本账号”。投递到LTS服务仅支持投递本账号内的日志数据。 投递类型：此处请选择“LTS”。 日志组：选择LTS日志组。 日志流：选择目的LTS日志流。 其他配置参数，系统默认生成，无需配置。 8. 单击“确定”。

连接类型 路由学习内容 创建传播的方法 图示说明 虚拟私有云（VPC） VPC的网段 自动创建：开启“默认路由表传播”功能，并指定默认传播路由表，系统会自动在默认传播路由表中为新接入的连接创建传播。 手动创建：您可以选择任意一个路由表，并在路由表中为连接创建传播。 一个连接可以在多个路由表中创建传播。 自动创建传播：自动在ER默认传播路由表中创建传播，比如VPC1连接 、VPC2连接。 手动创建传播：手动在ER自定义路由表中创建传播，比如VPC1连接。 不创建传播：不使用传播路由，手动在ER自定义路由表中创建静态路由，比如VPC3连接、VPC4连接。

服务授权 当您寻求天翼云的技术支持（不限于官网工单、线下咨询、电话等渠道）时默认运维人员已获得您的授权，技术支持过程中可能需要登陆您的数据库实例所在的主机执行一些运维命令，或者对您的数据库实例进行简单运维操作，但是都不会擅自更改您的数据。 当您向天翼云寻求技术支持（包括但不限于官网工单、线下咨询、电话等渠道）时，您默认已授权运维人员进行必要的操作。在技术支持过程中，运维人员可能需要登录您数据库实例所在的主机执行相关运维命令，或对数据库实例进行操作。但请注意，运维人员不会擅自更改您的数据。 若您需要天翼云的售后团队和DBA团队查看您实例的其它问题，您可以在工单或者其他渠道对他们进行如下书面授权： 配置权限 当您授权了该权限后，天翼云的售后团队和DBA团队可以在用户自定义的时间段内查看和修改RDS实例的配置信息。例如，RDS实例的白名单、数据复制模式、备份策略和数据库参数。但是在所有情况下，天翼云的售后团队和DBA团队都不会擅自更改RDS实例的连接信息（含连接地址和数据库账号）。 数据权限 当您授权了该权限后，天翼云的售后团队和DBA团队可以在用户自定义的时间段内查看RDS实例内的用户数据。例如，RDS实例的库表结构、索引字段、数据样本和SQL历史。但是在所有情况下，天翼云的售后团队和DBA团队都不会擅自更改RDS实例的库表结构、索引字段、数据。 我们始终致力于为您提供高效、安全的技术支持服务，同时严格遵守您的授权范围，确保您的数据安全和隐私不受侵犯。

如何判断网站安全监测服务配置生效？ 在控制台域名管理模块配置域名和监测项，当域名状态为已启用时，表示已经接入监测服务。 天翼云网站安全监测服务支持https协议监测吗？ 支持https协议监测。 天翼云网站安全监测支持监测哪些业务？ 网站安全监测服务支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 天翼云网站安全监测可以提供漏洞扫描服务吗？ 支持漏洞扫描服务，无需用户采购任何Web应用扫描产品前提下，即可获得网站的漏洞态势，以及每个漏洞的详情介绍和修补建议。 天翼云网站安全监测的安全事件监测都能做什么？ 通过后端引擎根据预定义规则高效、准确识别网站页面中的恶意代码，以及敏感词汇的恶意链接，使网站管理员能够及时清除网页木马及黑链，避免给访问者带来安全威胁，影响网站信誉。 天翼云网站安全监测内容安全都包含哪些能力？ 基于大量数据训练的深度学习模型，对待监测页面进行敏感内容检测，输出相关敏感信息和类别。发现页面出现敏感关键词后，，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 天翼云网站安全监测可用性监测都监测哪些业务项？ A:多线路远程实时检测目标站点在多种网络协议下的响应速度、可访问性和DNS可用性监测等反映网站性能状况的内容，一旦发现网站无法访问，或访问出现延迟。根据事先定义好的网站通断级别，第一时间通知用户。 用户可以查看网站的攻击情况吗？ 可以的，用户可以通过网站安全监测控制台查看网站的监测日志，也可以通过购买扩展服务态势感知大屏来实时了解网站的业务安全情况。

参数 取值 状态 启用 规则名称 例如：ruledelete 策略 可以配置按前缀删除对象，也可以配置到整个桶，删除整个桶内对象。 当前版本 过期删除天数：1天 历史版本 过期删除天数：1天

CVE202549844：Redis的Lua脚本模块存在释放后重用（UseAfterFree）漏洞，攻击者可通过构造恶意脚本实现任意代码执行（RCE），完全控制服务器。 该漏洞需要认证鉴权才可以攻击，天翼云Redis默认强密码鉴权，具备VPC网络隔离，默认只有用户VPC范围内才可以访问Redis实例，风险可控。 如有修复该漏洞的诉求，请通过天翼云官方渠道获取相应技术解决方案。后续天翼云分布式缓存Redis版团队将推出修复版本，请关注产品发布通知并升级最新版本。

本页介绍关系型数据库的服务协议。 天翼云关系型数据库服务协议获取地址：天翼云关系型数据库服务协议。

配额项目 默认配额 申请扩大配额 单个镜像会话可关联的镜像源数量 10个 可通过工单，申请更多配额 单个镜像源可被关联的镜像会话数量 3个 不支持修改 单个镜像会话可关联的镜像目的数量 1个 不支持修改 单个镜像目的可被关联的镜像会话数量 镜像目的为云服务器网卡时：10个 镜像目的为弹性负载均衡时：200个 不支持修改 单个镜像会话可关联的筛选条件数量 1个 不支持修改 单个筛选条件可被关联的镜像会话数量 1000个 不支持修改 单个筛选条件可添加的规则数量 入方向规则：10个 出方向规则：10个 不支持修改 一个用户在单个区域可创建的镜像会话数量 20000个 不支持修改

在使用全链路灰度能力时，若涉及消息的灰度，可以开启消息灰度能力。 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 消息灰度 消息灰度参数说明： 参数 说明 未打标环境忽略标签 未打标环境默认会消费所有环境的消息。若配置“未打标环境忽略标签”，则未打标环境会忽略配置的标签。 开启消息灰度开关 消息灰度生效开关。 消息灰度过滤侧 客户端过滤：在消费端MSE Agent过滤，会拉取所有的消息，建议提前评估消息量。 服务端过滤：在服务端通过SQL92方式过滤，需要RocketMQ服务端支持。

本文介绍如何保存快速查询条件。 若您需要重复高频使用某一个关键字或查询语句进行日志检索时，您可以将其设置为快速查询语句，通过保存的快速查询语句，可实现对日志的快速执行查询和分析操作。 操作步骤 1. 登录云日志服务控制台。 2. 进入目标日志单元的查询页面。 3. 输入查询分析语句后，点击输入框右侧的按钮。 4. 在弹窗中，输入快速查询名称，点击确定。即可完成快速查询创建。 5. 创建完成后，在查询页面左侧，点击“快速查询”，即可查看当前日志项目下已创建的所有快速查询。 6. 点击快速查询名称，即可根据查询条件查询当前日志。

节点池计费 节点池本身不收费，但节点池使用的节点实例等由对应的云产品计费。 节点池相关术语 术语 描述 伸缩组 节点池当开启自动弹性伸缩时，底层使用伸缩组管理节点，一个伸缩组包含节点规格及弹出的实例集合，用于自动扩展和管理用途。 伸缩配置 伸缩组中的配置被称为伸缩配置。 伸缩活动 节点池的每次扩缩容、添加节点、移除节点都会触发伸缩活动。触发伸缩活动后，所有扩张和收缩动作都交由系统自动完成，并留下相关记录，您可以通过节点池的伸缩活动查看节点池的历史伸缩活动记录。 节点池生命周期 状态 说明 已激活 成功创建节点池。 扩容中 扩容或添加节点池节点中。 缩容中 移除节点池节点中。 已删除（该状态用户不可见） 成功删除节点池。

枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "200", "error": "CFW0000", "message": "成功!", "returnObj": { "createTime": "20241024T01:44:12Z", "updateTime": "20241024T01:44:12Z", "alarmName": "100.126.9.172192.168.10.5POP3WeakPasswordLoginAttempt(TCP)告警", "attackLevel": "MIDDLE", "alarmStatus": "ALERT", "attackIp": "100.126.9.172", "affectedIp": "192.168.10.5", "triggerCount": 1, "attackType": "InformationDisclosureWeakPassword", "sourceType": "BASE", "ruleId": 43049, "ruleName": "POP3WeakPasswordLoginAttempt(TCP)", "attackDirection": "1", "attackApp": "ftp", "affectedHostName": "cfwclient001", "hostType": "云主机", "vpcId": "vpcw2yk897lsx", "vpcName": "vpclwj", "publicIp": "100.126.8.146", "firewallId": "c7cfe772fd3f482da630132e6548a19a", "isHandled": false, "isProtected": true }, "statusCode": "800" } 状态码 请参考 状态码 错误码 请参考 错误码

可通过客户端登录配置登录后无操作的时间范围，超时后自动退出。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“客户端登录配置”模块的右侧，单击“编辑”，进入“客户端登录配置”页面。 4、填写登录后长久不操作空闲的超时时间，及选择SSH登录方式， 参数名称 参数说明 取值样例 登录超时 设置登录成功后无操作的时间。 有效值区间为143200。当超过设定时长无操作时，再次操作需要重新登录，默认值为30。 30 SSH公钥登录 超时后是否使用SSH公钥登录，默认开启。 SSH密码登录 超时后是否使用SSH密码登录，默认开启。 5、单击“确定”，完成配置。

针对DDoS高防（边缘云版）续费情况，为您进行说明，请在续费前务必阅读以下内容。 规则说明 1. 只有通过实名认证的客户，才可以执行续订操作。 2. 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 3. 已退订或释放的资源不可续费。 4. 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 5. 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。

访问资产提示“登录设备失败，设备账号或密码错误”，如果使用托管的账号密码，则需联系资产管理员，确认托管的账号和密码是否正确。 资产管理员需要将正确的资产账号和密码重新添加到资产，运维用户才能正常登录设备运维。 操作步骤 1.管理员登录云堡垒机实例控制台，访问角色切换为管理角色。 2.进入 资产管理>资产 页面，按资产IP或资产名搜索需要修改资产账号密码的资产。 3.点击资产数据操作栏【编辑】，在账号项选择需要修改的资产账号点击【编辑】。 4.进入 资产管理>资产账号 页面，选择需要修改的资产账号点击【编辑】。 5.更新资产账号、密码及应用的协议。

介绍媒体存储登录控制台的操作。 功能说明 媒体存储提供简单易用的Web控制台页面，用户可通过天翼云官网进入产品控制台，或直接通过控制台链接直接进入控制台。 方式一 1. 在天翼云官网，用天翼云账号登录后，在头部导航栏选择【产品视频视频服务媒体存储】。 2. 进入媒体存储产品详情页，点击【管理控制台】。 方式二 可通过媒体存储控制台链接直接进入，点击 控制台链接 进入。

本节介绍数据加密的权限管理说明。 如果您需要对云服务平台上购买的数据加密（以下简称DEW）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望这些开发人员拥有DEW的使用权限，但是不希望开发人员拥有删除DEW等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DEW，但是不允许删除DEW的权限策略，控制员工对云资源的使用范围。 如果系统帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DEW的其它功能。 数据加密权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KMS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KMS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 DEW系统权限 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 下表列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。

本文介绍客户业务接入天翼云CDN加速的基本条件。 限制项 具体要求 加速域名准入条件 中国内地： 1.账号已在天翼云进行实名认证。 2.域名已完成ICP备案且备案信息准确有效。 3.域名接入时需要经过内容审核。 4.域名接入时需要能通过域名归属权验证。 全球（不含中国内地）： 1.账号已在天翼云进行实名认证。 2.域名接入时需要经过内容审核。 3.域名接入时需要能通过域名归属权验证。 全球： 1.账号已在天翼云进行实名认证。 2.域名已完成ICP备案且备案信息准确有效。 3.域名接入时需要经过内容审核。 4.域名接入时需要能通过域名归属权验证。 说明： 1.全球（不含中国内地）：包括中国香港、中国澳门、中国台湾、其他国家及地区。 2.加速范围为：中国内地、全球的域名必须完成ICP备案且备案信息准确有效才能接入天翼云CDN，否则天翼云无法提供加速服务。 加速域名使用限制 1.域名类型：支持具体域名（例如，abc.ctyun.cn）或泛域名（例如，.ctyun.cn域名）。 2.域名长度：长度不超过128字节。 3.支持的字符：小写英文字母（az）、数字（09）、短划线（），如为泛域名，支持以 开头，例如 .ctyun.cn域名。 4.天翼云CDN在开通CDN服务后接入域名时，会进行二级域名的信用度检查。例如：您的二级域名在天翼云账号中曾产生过影响信用度的违规行为，如产生大量欠款未结清，二级域名将被列入黑名单，天翼云CDN会禁止新增二级域名黑名单匹配的所有加速域名。例如，ctyun.cn被列入黑名单，A.ctyun.cn、B.ctyun.cn均会被限制新增。 额定用量 1.URL刷新：10000条/日。 2.目录刷新：100条/日。 3.正则刷新：10条/日。 4.URL预取：2000条/日。 5.域名数量：每个账号每个产品类型最多可以添加100个域名。 说明：为防止资源滥用，天翼云CDN平台限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请提交工单申请扩大额度。 内容审核 CDN不支持接入违反相关法律法规的域名，包括但不限于： 1.涉黄、涉赌、涉毒、涉暴恐内容的网站。 2.盗版游戏 / 盗版软件 / 盗版视频网站。 3.P2P类金融网站、彩票类网站、违规医院和药品类网站。 4.游戏私服类。 说明：如果您的加速域名含有以上违规的内容，您将自行承担相关风险。如果发现加速域名有违规行为，CDN将封禁该域名，因违规而封禁的加速域名将永久不能解禁。 用户请求相关限制 1.请求方法限制：天翼云CDN加速产品支持PUT、GET、POST和HEAD请求，不支持PUSH、PURGE请求。其中仅POST、PUT支持发送带有请求体（BODY）的请求，其余方法不支持。 2.单URL或单请求头长度限制：不能超过64KB，单URL长度超过限制则返回414状态码，单请求头长度超过限制则返回400状态码。 3.URL+所有请求头总长度限制：不能超过256KB，超过则返回400状态码。 缓存key 缓存key长度不能超过8KB，超过则返回400状态码。 源站HTTP响应头 源站向CDN节点返回的响应头，其总大小默认最大不能超过128KB，否则CDN会响应异常。 文件上传 CDN加速默认支持的最大上传文件大小为300MB。 域名被攻击限制 如果您的CDN加速域名受到攻击，导致CDN节点带宽或请求QPS大幅上涨，影响正常用户请求时，天翼云CDN将基于域名业务情况、攻击影响程度等综合评估，必要情况下有权将您的加速域名流量导入“隔离节点”，进入“隔离节点”的用户请求将不再保障服务质量。 单用户调用API接口频率限制 1.针对查询类API接口，单个用户一分钟限制调用10000次，并发不超过100。 2.针对操作类API接口，单个用户一分钟限制调用10次。 说明：操作类接口，是指例如新增域名、删除/停用/启用域名等需对域名状态进行变更类的操作。 请求端口 请求端口默认开启HTTP 80端口及HTTPS 443端口，如需其他特殊端口，需提交工单进行评估。评估通过后，端口开通时效最长为14个工作日。

等保咨询适用于系统未开展测评和已开展测评的情况。 客户部署在天翼云上的系统有等级保护需求，可采购云等保咨询服务，轻松过等保。 系统未开展测评 等保测评技术指导：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 差距分析评估：提供系统差距的安全风险分析，并输出《差距分析评估》。 差距整改方案：提供差距整改安全方案。 系统已开展测评 差距分析评估：提供系统差距的安全风险分析，并输出《差距分析评估》。 差距整改方案：提供差距整改安全方案，指导整改。

场景描述 业务侧发现数据库每隔45天同一时间，多台数据库实例的连接数骤降。查看服务端连接数监控指标如下： 客户端出现大量报错如下： 原因分析 1. 排查业务侧是否有间隔45天的定时任务。 2. 客户端如果使用了istio等证书加密机制，分析证书相关日志，是否有如下类似信息。如果有，说明是证书过期导致。 客户端istiocitadel证书每隔45天过期，导致主动发起数据库断连请求。 解决方案 客户端设置合理的istiocitadel证书过期时间，并在过期发生时，主动规避操作。 客户端排查是否有其他证书过期问题。

操作场景 用户根据网络规划，删除BGP路由规则。 前提条件 您已经在设备直连页面中删除当前智能网关实例关联的BGP邻居关系。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1； 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面； 4. 选择“智能网关”，单击目标智能网关实例名称，进入实例详情页面； 5. 单击“BGP路由”页签，单击“删除”； 6. 单击“确定”，完成BGP路由规则删除。

本节主要介绍如何对SFS Turbo进行性能测试。 场景介绍 客户购买弹性文件服务后，如何验证弹性文件服务的性能指标呢？可以使用fio工具对SFS进行吞吐量和IOPS的性能测试。fio是一个开源的I/O压力测试工具。 说明：测试性能依赖client和server之间的网络带宽及文件系统的容量大小。 前提条件 创建一台与SFS Turbo同VPC内的云主机CTECS 已购买SFS Turbo服务并挂载给主机ECS，挂载步骤见官网介绍。 已在云服务器上安装fio工具。fio可从官网或GitHub下载。 操作步骤 安装I/O压测工具fio 以Linux CentOS系统为例说明： 1. 在官网下载fio。 yum install fio 2. 安装libaio引擎。 yum install libaiodevel 3. 查看fio版本。 fio version 文件系统性能数据 SFS Turbo文件系统的性能主要有IOPS和吞吐量等指标，具体各指标数据参见下表。 参数 SFS Turbo标准型 SFS Turbo性能型 最大容量 32TB 32TB 最大IOPS 5000 20000 最大吞吐量 150 MB/s 350 MB/s IOPS性能计算公式 IOPS min (5000, 1200 + 6 × 容量) IOPS min (20000, 1500 + 20 × 容量) IOPS性能计算公式举例说明： 单个文件系统IOPS性能 “最大IOPS”与“基线IOPS + 每GB文件系统的IOPS × 文件系统容量”的最小值。 以SFS Turbo性能型文件系统为例，单个SFS Turbo性能型文件系统的最大IOPS为20000。 假如SFS Turbo性能型文件系统容量为500 GB，则该文件系统IOPS性能 min (20000, 1500 + 20 × 500 )，取20000与11500中的最小值，即该文件系统的IOPS性能为11500。 假如SFS Turbo性能型文件系统容量为1000 GB，则该文件系统IOPS性能 min (20000, 1500 + 20 × 1000 )，取20000与21500中的最小值，即该文件系统的IOPS性能为20000。 标准版增强版和性能型增强版的文件系统无性能计算公式。标准版增强版文件系统的IOPS性能为15K，性能型增强版文件系统的IOPS性能为100K。

本章节介绍Kubernetes配置相关能力 概述 Kubernetes配置目前支持K8s配置项、K8s保密字典和配置模板，通过Kubernetes配置来管理K8s的配置项、保密字典以及自定义添加配置模板。可以使用配置项来保存不需要加密的配置信息，例如jvm相关参数信息；使用保密字典来保存一些敏感信息，例如token数据；也可以通过配置模板提前创建好模板，方便在配置项或保密字典中引用。 K8s配置项 创建配置项 在配置项页面，点击“创建配置项”。创建配置项需要填写如下内容： 配置项名称：输入配置项名称 K8s集群：下拉选择目标云容器引擎K8s集群 K8s命名空间：自动带出 配置映射： 导入配置（从模板导入和从文件导入）或者手动添加 键： K8s配置项键值 值： K8s配置项内容value 编辑K8s配置项，只能修改配置项键值内容。 删除K8s配置项，点击更多选择删除按钮，根据提示完成删除操作即可 说明 删除K8s配置项，前提是这个配置项没有关联应用实例，可以通过查看关联应用实例按钮确定当前K8s配置项使用情况。 K8s保密字典 在保密字典页面，点击“创建保密字典”。创建保密字典需要填写如下内容： 保密字典名称 云容器引擎K8s集群：选择目标K8s集群 K8s命名空间：根据K8s集群自动带入 base64编码数据：勾选后，secret须配置base64编码的数据 配置映射： 导入配置（从模板导入和从文件导入）或者手动添加 键： K8s保密字典键值 值： K8s保密字典内容value 编辑K8s保密字典，只能修改保密字典键值内容。 删除K8s保密字典，点击更多选择删除按钮，根据提示完成删除操作即可。 说明 删除K8s保密字典，前提是这个保密字典没有关联应用实例，可以通过查看关联应用实例按钮确定当前K8s保密字典使用情况。

本节介绍等级保护测评合规最佳实践。 等级保护测评背景 网络安全等级保护测评是按照GB/T 222392019网络安全等级保护要求对各行业单位网络信息系统进行等级测评，以满足相关等级安全要求。云服务器需满足等级保护测评中安全计算环境要求，服务器安全卫士（原生版）提供相关安全能力，满足客户合规需求。 安全计算环境要求 服务器安全卫士（原生版）在等级保护测评（三级）“安全计算环境”中可满足项： 等保测评项 满足情况 对应能力说明 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 满足 服务器安全卫士（原生版）通过基线检测功能帮助用户检测密码策略相关满足情况，协助用户完成策略配置；通过弱口令检测功能保障口令复杂度满足管理情况。 身份鉴别 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 满足 服务器安全卫士（原生版）通过基线检测功能帮助检测实现账户锁定策略相关满足情况，协助用户完成策略配置。 入侵防范 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 满足 服务器安全卫士（原生版）通过扫描功能能够发现可能存在的已知漏洞，且能够出具修补建议帮助用户修补漏洞。 入侵防范 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 满足 服务器安全卫士（原生版）通过异常登录、暴力破解、后门检测、可疑操作、反弹Shell等功能对主机进行实时监控，发现入侵行为进行告警。 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 满足 服务器安全卫士（原生版）通过病毒查杀功能可对恶意代码进行查杀，满足该项要求。 说明 其余测评项需用户通过云主机操作系统本身的策略设置满足，服务器安全卫士（原生版）可通过基线检测功能协助客户进行策略检测。

本文主要介绍 使用DNAT访问Kafka实例。 操作场景 使用DNAT访问Kafka实例时，通过端口映射方式，实现Kafka实例对公网提供服务。 前提条件 已购买弹性公网IP，弹性公网IP的数量与Kafka实例中代理个数相同。 步骤一：获取Kafka实例的信息 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例名称，进入实例详情页面。 步骤 5 在“基本信息”页面的“连接信息”区域，获取并记录Kafka实例的内网连接地址。在“网络”区域，获取并记录Kafka实例所在的虚拟私有云和子网。 图Kafka实例信息 步骤二：购买公网NAT网关 步骤 1 在管理控制台左上角单击，选择“网络 > NAT网关”，进入“公网NAT网关”页面。 步骤 2 单击“购买公网NAT网关”，进入“购买公网NAT网关”页面。 步骤 3 设置如下参数。 区域：与Kafka实例保持一致。 名称：您自定义的公网NAT网关名称。 虚拟私有云：选择获取Kafka实例的信息中记录的虚拟私有云。 子网：选择获取Kafka实例的信息中记录的子网。 企业项目：根据实际情况选择。 其他参数请根据实际情况填写，如果想要了解更多的参数信息，请参考《NAT网关 用户指南》的“公网NAT网关 > 管理公网NAT网关 > 购买公网NAT网关”章节。 图 购买公网NAT网关 步骤 4 单击“立即购买”，进入规格确认页面。 步骤 5 确认规格无误后，单击“提交”。

本文主要介绍监控。 您可以在云监控服务控制台查看弹性负载均衡服务上报的监控指标以及产生告警信息。 监控指标说明 ELB支持的监控指标说明表 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期 （原始指标） :::::: m1cps 并发连接数 在四层负载均衡器中，指从测量对象到后端云主机建立的所有TCP和UDP连接的数量。 在七层负载均衡器中，指从客户端到ELB建立的所有TCP连接的数量。 单位：个 ≥ 0个 共享型负载均衡器 共享型负载均衡监听器 1分钟 m2actconn 活跃连接数 从测量对象到后端云主机建立的所有ESTABLISHED状态的TCP或UDP连接的数量。 Windows和Linux云主机都可以使用如下命令查看。 netstat an 单位：个 ≥ 0个 共享型负载均衡器 共享型负载均衡监听器 1分钟 m3inactconn 非活跃连接数 从测量对象到所有后端云主机建立的所有除ESTABLISHED状态之外的TCP连接的数量。 Windows和Linux云主机都可以使用如下命令查看。 netstat an 单位：个 ≥ 0个 共享型负载均衡器 共享型负载均衡监听器 1分钟 m4ncps 新建连接数 从客户端到测量对象每秒新建立的TCP和UDP连接数。 单位：个/秒 ≥ 0个/秒 共享型负载均衡器 共享型负载均衡监听器 1分钟 m5inpps 流入数据包数 测量对象每秒接收到的数据包的个数。 单位：个/秒 ≥ 0个/秒 共享型负载均衡器 共享型负载均衡监听器 1分钟 m6outpps 流出数据包数 测量对象每秒发出的数据包的个数。 单位：个/秒 ≥ 0个/秒 共享型负载均衡器 共享型负载均衡监听器 1分钟 m7inBps 网络流入速率 从外部访问测量对象所消耗的流量。 单位：字节/秒 ≥ 0bytes/s 共享型负载均衡器 共享型负载均衡监听器 1分钟 m8outBps 网络流出速率 测量对象访问外部所消耗的流量。 单位：字节/秒 ≥ 0bytes/s 共享型负载均衡器 共享型负载均衡监听器 1分钟 m9abnormalservers 异常主机数 健康检查统计监控对象后端异常的主机个数。 单位：个 ≥ 0个 独享型负载均衡器 共享型负载均衡器 1分钟 manormalservers 正常主机数 健康检查统计监控对象后端正常的主机个数。 单位：个 ≥ 0个 独享型负载均衡器 共享型负载均衡器 1分钟

本文提供了天翼云边缘安全加速平台学术加速隐私政策。 天翼云边缘安全加速平台学术加速隐私政策（详细版），详情请参见这里。