敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据。 敏感数据举例： 个人：家庭住址、工作单位、银行卡号、身份证号码 企业或组织：财务信息、客户资料、技术资料、重大决策等公司核心信息。 天翼云数据安全中心（Data Security Center，简称DSC）为您提供静态数据脱敏功能：能够根据脱敏规则对大批量数据进行统一变形转换处理。静态脱敏的应用场景多为：开发测试、数据分享、数据研究。可以将生产环境中的敏感数据交付至开发、测试或者外发环境。 为何敏感数据会泄露 内部原因 员工（包括在职员工、待离职员工、合作伙伴、外包人员）盗窃数据 重要笔记本电脑和移动设备的丢失或失窃 敏感数据越权访问和存储 企业员工打印、外和复制敏感数据 意外传输敏感数据 外部原因 基础措施不可控，避免数据存储系统存在安全漏洞 配置不当导致的外部攻击 敏感数据越权访问和存储 场景 场景假设：“rsddsctest”数据库中“dscyunxiaoke”表中存储了银行员工信息。 处理方案：当前需要对敏感数据进行敏感数据识别并完成脱敏，可选择识别规则组“银行金融领域模板”，该模板为预置模板，能识别出敏感数据并生成识别结果数据报告，再对识别出的敏感数据进行“Hash脱敏”中的SHA256算法进行脱敏处理，以此来达到保护敏感数据得目的。

本节介绍翼甲卫士的基础管理功能。 用户开通翼甲卫士后，可在AI云电脑（政企版）控制台安全防护进入翼甲管理界面。 绑定/解绑/更换带宽 点击“操作”后可在下拉菜单点击对应选项，对带宽绑定状态进行变更，支持解绑、更换、绑定（操作生效期间会导致关联AI云电脑35分钟无法上网）。 扩容 点击“操作”后可在下拉菜单点击扩容，对各项配置进行扩容，支持公网流量处理能力、日志容量、短信告警配置扩容。

本文介绍通过查看历史离线分析数据，您可以了解安全加速的运行情况。 简介 可通过筛选项进行组合查询，筛选项包括域名、业务类型、覆盖范围和时间等，其中必选项为域名和时间。 时间选择跨度最长不能超过31天。 安全分析 1.在天翼云SCDN客户控制台的【安全分析】页面，客户可以查看waf、CC攻击日志和waf报表分析、CC报表分析情况。 2.界面中展示的是您所选域名、时间的攻击日志情况。 图 安全分析waf攻击日志 图 安全分析CC攻击日志 业务数据统计分析 1.带宽流量统计 1）在天翼云SCDN客户控制台的【统计分析用量查询】页面，客户可以查看业务的使用情况。 2）界面中展示了所选择域名、时间的流量和带宽统计图表，包括总流量和平均流量信息；带宽峰值和95带宽峰值。 图 统计分析流量带宽 图 回源统计 3.在天翼云SCDN客户控制台的【统计分析用量查询】页面，客户可以查看业务的回源情况。 4.界面中展示了所选择域名、时间的回源流量和回源带宽统计图。 图 统计分析回源流量带宽 图 请求数统计 5.在天翼云SCDN客户控制台的【统计分析请求数】页面，客户可以查看其在使用CDN。 6.界面中展示了所选择域名的总请求数、请求数峰值、请求数谷值等信息。 7.请求数统计包括：防护请求数、静态https请求数、动态请求数等。 图 请求数统计

本章介绍天翼云关系型数据库在连接时的常见问题及解决办法。 外部服务器能否访问RDS数据库 开通公网访问的实例 对于开通公网访问功能的关系型数据库实例，可以通过外网进行访问。 未开通公网访问的实例 在虚拟私有云中开通虚拟专用网络（Virtual Private Network，简称VPN），通过虚拟专用网络连接关系型数据库。 将关系型数据库与弹性云服务器创建在同一个虚拟专用网络下，通过弹性云服务器来访问关系型数据库。 客户端问题导致连接失败 客户端问题导致连接关系型数据库失败，可以从以下几个方面检查。 1. 弹性云服务器的安全策略 对于Windows平台，可检查Windows的安全策略是否开放关系型数据库端口。对于Linux平台，可使用iptables检查防火墙及端口的放行情况。 2. 应用配置错误 常见的有连接地址写错、端口参数配置错误和JDBC等的连接参数配置错误。 3. 用户名或密码错误 如果连接数据库时出现类似如下错误，请检查用户名或密码是否正确。 [Warning] Access denied for user 'username'@'yourIp' (using password: NO) [Warning] Access denied for user 'username'@'yourIp' (using password: YES) Login failed for user 'username' 说明 如问题仍未解决，请联系售后技术支持。 服务端问题导致连接失败 关系型数据库服务端可能出现的问题如下，请依次进行检测。 1. 连接方式有误。 解决方法：检查连接方式。如果是通过内网连接RDS实例，弹性云服务器与关系型数据库实例必须处于同一虚拟私有云内，且只能通过弹性云服务器连接。如果通过公网连接RDS实例，该弹性云服务器可以与目标实例不在同一个虚拟私有云内。 2. 连接数满。 解决方法：通过关系型数据库服务的资源监控功能查看连接数、CPU使用率等指标是否正常。如果达到上限，需要重启关系型数据库实例数据库，断开实例连接或升级关系型数据库实例规格解决。 3. 实例状态异常。比如实例重启卡住，关系型数据库系统故障，实例或表被锁定等。 解决方法：尝试重启功能。如果无法解决，请联系售后技术支持。

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容。 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的 OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本节主要介绍如何通过客户端连接Redis 前提条件 请根据客户端程序的部署位置，完成下述操作： 1. 天翼云弹性云主机（推荐）：确保CTECS实例与Redis实例属于同一VPC（虚拟私有云）下。 2. 本地服务器 分布式缓存Redis实例默认仅提供内网连接地址，通过公网连接时您需要手动申请公网连接地址。具体操作，请参见购买弹性IP。 针对不同的网络环境或操作系统，获取本地设备公网IP地址的方式可能不一致。以下是不同系统通过命令方式获取本地设备公网IP地址的参考方法： a.Linux操作系统：打开终端，输入curl ifconfig.me命令后回车。 b.Windows操作系统：打开命令提示符，输入curl ip.me命令后回车。 c.macOS操作系统：打开终端，输入curl ifconfig.me命令后回车。 注意：如果您的Redis实例为集群架构，实例默认会提供Proxy（代理）节点的连接地址，连接密码为“ 实例名称 实例密码 ”。 如何获取连接信息 在使用客户端程序连接Redis实例时，通常您需要获取以下信息并设置在代码中： 需获取的信息 获取方式 实例的连接地址 Redis实例支持多种连接地址，推荐使用专有网络连接，可获得更高的安全性和更低的网络延迟。更多信息，请参见查看连接地址。 实例的账号（部分客户端程序无需设置） 针对集群版实例，您可以创建一个新的账号并赋予不同的权限。更多信息，请参见创建与管理账号。 所选实例账号的密码 根据选取账号的不同，密码的填写格式有一定区别： ● 默认账号（以实例名称命名的账号）：直接填写密码即可。 ● 新创建的账号：密码格式为"user"

参数 含义 OPENSEARCHHOST OpenSearch的内网地址 OPENSEARCHPORT 端口号，云搜索服务默认9200 OPENSEARCHUSER 用户默认admin OPENSEARCHPASSWORD OpenSearch实例的密码 OPENSEARCHSECURE OpenSearch实例为https模型则设置为true，http则设置为false

操作场景 标签是内网域名的标识。为内网域名添加标签，可以方便用户识别和管理拥有的内网域名。您可以在创建内网域名时增加标签，也可以为已经创建的内网域名增加标签，最多支持为内网域名增加10个标签。 标签由两部分组成：“键”和“值”，其中，“键”和“值”的命名规则如下表所示。 表标签命名规则 参数 规则 举例 键 不能为空。 对于同一资源键的取值唯一。 长度不超过128个字符。 取值可以包含任意语种字母、数字、空格，以及 . : + @特殊字符，但首尾不能含有空格，不能以sys开头。 examplekey1 值 可以为空。 长度不超过255个字符。 取值可以包含任意语种字母、数字、空格，以及 . : / + @特殊字符。 examplevalue1 操作步骤 在内网域名列表页，按标签的键或值搜索目标内网域名。 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS”。 3. 在“总览”页签，选择“我的资源”下的“内网域名”。 4. 单击内网域名列表右上角的“标签搜索”，展开查询页。 5. 输入待查询内网域名的标签键和值。 键和值均不能为空，当键和值全匹配时，系统可以自动查询到目标内网域名。 6. 单击“+”，添加下一个标签键和值。 系统支持添加多个标签，并取各个标签的交集，对目标内网域名进行搜索。 7. 单击“搜索”。 系统根据标签键和值搜索目标内网域名。

参数 说明 credentials 用户账号信息，包含accessKeyId和secretAccessKey endpoint 天翼云资源池的地址，必须指定http或https前缀

本文介绍镜像仓库基本概念。 镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署 docker 容器镜像。镜像仓库包括如下内容： 天翼云官方镜像：展示了天翼云平台上的公开镜像，您可以基于公开镜像创建应用； 我的镜像：展示了用户创建的所有镜像仓库。 本章节将为用户介绍容器镜像仓库的基本使用方法，说明【创建】>【上传】>【管理】的仓库使用流程，用户完成镜像上传后，即可在应用创建流程中通过选择【我的镜像】，使用用户自己上传的私有镜像部署应用。 注意事项 镜像仓库不扫描用户上传的镜像，不负责对用户上传的镜像进行安全性验证。上传的镜像中请不要包含未加密的口令，密码等隐私信息，以避免隐私泄露。用户从第三方网站下载公有镜像时，应确定数据来自于可信的仓库源，以避免下载到恶意软件； 如果使用自定义镜像，请确保镜像来源可信，不在容器镜像内安装不必要的软件，在升级时使用安全补丁升级镜像。使用第三方镜像，造成的后果（例如：环境不可用）用户需自己承担； 磁盘满将会导致无法上传镜像到仓库，将会有异常提示信息告知，但并不会影响其他服务；为防止其它业务（例如日志）把磁盘占满，导致仓库无法上传，建议对仓库的存储独立挂盘。 在使用之前，您需要了解以下基本概念： 镜像仓库： 提供docker容器镜像管理功能，用户在创建容器应用前，需要将应用所需的镜像上传到镜像仓库。docker镜像是一个模板，用于创建docker容器。docker提供了一个简单的机制来创建新的镜像或更新已有镜像。 （仓库）属性： 属性分为公有和私有两种。公有：任何租户、用户均可以下载。私有：仅当前租户或租户下的用户可用。

为什么Mock路由添加应用授权时指定的过期时间不生效？ 目前应用授权中过期时间的校验阶段与路由执行mock策略时的阶段是同一阶段，且mock的优先级高于应用授权过期时间的校验，因此当对mock路由指定应用的过期时间时，会忽略过期时间的校验。 ip访问控制功能同时支持黑名单和白名单方式吗？ ip访问控制不支持同时开启黑名单和白名单。 链路追踪为什么没有数据？ 在基础信息>功能设置页面确认当前是否开启了链路追踪功能以及当前采样率设置；没有开启链路追踪或者采样率过低可能导致看不到链路追踪数据。 云原生网关如何开启IPv6访问？ 1、确保当前云原生网关实例所处的vpc已具备IPv6子网；如不具备，跳转至vpc网络控制台，创建或者开启IPv6子网； 2、开启实例IPv6，在实例订购页，网络配置中选择某个vpc，勾选IPv6（第一步具备时才可勾选），选择好其他配置后提交订购即可； IPv4如何升级IPv6? 从云原生网关控制台，实例列表中更多>点击开启IPv6，确定提交。如此实例的vpc不具备IPv6子网，会报错提示用户，提交完成后按提示信息，刷新实例详情，查看基础信息中的IPv6访问信息。 如何通过IPv6访问实例？ 网关实例的IPv6访问有两种方式：1、通过内网IPv6地址访问，访问地址在实例详情中的基础信息页中已展示。2、通过ELB访问，此方式需要确保ELB实例本身已开启IPv6访问，目前云原生网关实例暂只支持ELB的内网IPv6访问。

天翼云SSL VPN服务协议

本章节主要介绍翼MapReduce服务如何新增节点组。 当存量core或task节点组的计算或存储资源无法满足您的业务需求时，您可以使用新增节点组功能增加实例数量。 背景信息 1. V2.16版本起，数据湖、数据分析、数据服务、实时数据流与自定义场景支持新增节点组功能。 2. V2.17版本起，云搜索场景支持新增节点组功能。 3. 当前数据湖、数据服务、实时数据流与自定义业务场景支持新增core与task节点组，数据分析与云搜索场景支持新增core节点组。 4. 仅支持对状态为“运行中”的集群进行新增节点组操作。 操作步骤 1. 登录翼MapReduce管理控制台。 2. 从“我的集群”中 ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 选择“节点管理”，点击“新增节点组”按钮。 4. 选择新增节点组的配置并完成支付后，可在“节点管理”的节点信息中，查看新增节点组结果。当新增节点组状态从变为“运行中”，表示新增成功。

参数 说明 accessKey 用户账号 access key secretKey 用户账号 secret key endpoint 天翼云资源池的地址，必须指定http或https前缀

基本操作 查看DDoS封堵通知渠道 1.登录天翼云官网，进入管理中心。 2.进入消息中心 3.进入消息订阅一栏，查看“安全消息”的通知配置，DDoS封堵通知同样属安全消息，通过该通知渠道完成通知。 进入DDoS基础防护控制台（仅限部分开放控制台的资源池） 1.登录天翼云官网，在产品一类选择DDoS基础防护产品。 2.在产品页面点击进入控制台，可在部分开放控制台的资源池进入DDoS基础防护控制台，选择进入需要的功能页面，各模块详细操作可参考用户指南其他相关篇章。

本节为您介绍物理机对不同网络服务的支持情况。 组网部署 物理机在可用分区内，内网互通。通过VPC实现与外部资源的互通，同时可以结合云主机等服务混合部署、灵活组网，满足用户多种复杂场景的不同诉求。 与云主机网络互通 物理机服务支持部署在VPC中，可实现物理机与物理机之间、物理机与云主机之间网络互通，满足不同业务场景对物理机、云主机部署的需求。 物理机支持对接虚拟私有云VPC、弹性IP，更多内容可见网络弹性IP和网络虚拟私有云相关章节。

执行健康检查 操作场景 该任务指导用户在日常运维中完成集群进行健康检查的工作，以保证集群各项参数、配置以及监控没有异常、能够长时间稳定运行。 操作说明 集群健康检查的范围包含Manager服务级别的各个组件检查：服务级别关注组件是否能够提供正常的服务、告警情况以及各个组件差异化的检查指标。 操作步骤 集群健康检查 1. 前往翼MRManager的集群服务页面。 2. 在集群服务页，单击集群服务列表上方的“更多操作 > 健康检查”。 3. 周期执行所有服务的健康检查。 4. 在集群服务>健康检查报告>点击列表左上方间隔设置按钮>跳出周期任务设置弹框，支持用户根据天/周/月维度进行间隔配置，支持配置具体时刻，创建成功后，对支持的组件服务会定期发起健康检查。 查看并导出检查报告 操作场景 为了满足对健康检查结果的进一步具体分析，您可以在翼MR中查看以及导出健康检查的结果。 操作说明 集群健康检查可以包含三方面检查项：各检查对象的服务状态、告警信息、以及每个组件差异化的相关指标。

前提条件 已获取管理控制台的登录账号与密码。 已购买至少一个弹性公网IP（Elastic IP，EIP）。 注意 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。 购买步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 单击右上角的“购买堡垒机”，进入产品订购页。 4. 配置“云堡垒机实例”相关参数，参数说明如下。 参数 说明 计费模式 实例计费模式，仅支持“包年/包月”模式。 包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 地域/可用区 选择云堡垒机实例应用区域，即提供云堡垒机服务的区域。 建议根据待管理ECS、RDS等服务器上资源的区域选择，可以降低网络时延、提高访问速度。 部署架构 选择新购堡垒机的部署架构，目前支持：通用性x86、鲲鹏ARM、海光X86、飞腾ARM。 实例类型 支持“单机版”和“主备版”。 可用区 实例类型选择“主备版”时，可以分别为主节点和备节点选择不同的可用区。 实例名称 自定义云堡垒机实例名称。 长度为215字符，以字母开头，可包含数字、“.”、“”、“”，不可包含中文。 版本 目前支持“标准版”和“企业版”，各版本支持的功能请参见功能特性。 资产规格 选择需要纳管的资产数，堡垒机在不同资源池版本支持的资产数略有不同，请根据实际需要选择。 支持10/20/50/100/200/500/1000/2000/5000/10000资产规格。 企业项目 选择堡垒机实例所属的企业项目。 说明 订购完成后，企业项目不支持修改。 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 注意 默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 云堡垒机支持直接管理同一区域同一VPC网络下的ECS等资源，通过堡垒机纳管资源后，可直接访问并管理对应的资源。 订购完成后，虚拟私有云不支持修改。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 说明 一个安全组为同一个VPC网络内具有相同安全保护需求、并相互信任的堡垒机资源提供访问策略。当云堡垒机加入安全组后，即受到该安全组中访问规则的保护。 云堡垒机可与资源主机ECS等共用安全组，各自调用安全组规则互不影响。 如需修改安全组，请参见更改安全组。 子网 选择当前VPC内子网。 说明 子网选择必须在VPC的网段内。 弹性IP （可选）选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 存储扩容 根据您业务自身的需求选择需要扩容的数据盘大小。 5. 选择“购买时长”，可按月或按年购买云堡垒机。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 6. 确认参数配置无误后，阅读并同意相关协议，单击“立即购买”。 7. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

本文为您介绍创建数据订阅任务的操作场景、前提条件和操作步骤。 操作场景 场景一：数据实时分析 使用云监控数据订阅功能，将业务进行异步解耦，在不影响源库业务的情况下，实时同步监控数据（指标、事件）或告警数据到客户自有分析系统中，帮助企业用户进行实时数据分析。 场景二：数据归档存储 使用云监控数据订阅功能，您可将资源监控或告警数据的增量更新数据，实时地推送到归档数据库或数据仓库。 说明 数据订阅功能当前为受限开放，如有需求可以联系客户经理为您开放此功能。 资源池下单个用户最多可创建10个数据订阅任务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 注意 数据订阅功能数据类型支持指标数据、事件数据，订阅方式支持分布式消息服务及API方式。 指标数据订阅支持分布式消息服务（kafka）及remotewriteapi方式。 事件数据订阅支持分布式消息服务（kafka）及apipush方式。（事件订阅入口为：云监控服务>事件监控>事件订阅） 创建订阅任务需提前创建订阅渠道。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击左侧“数据订阅”菜单，进入数据订阅任务列表。 5. 单击“创建订阅任务”功能，进入数据订阅任务创建二级页面。 6. 创建订阅任务参数配置如下： 模块 参数 参数说明 配置示例 备注 选择订阅对象 服务维度 选择需要订阅数据的服务维度信息，支持多选 云主机云主机 选择订阅对象 监控对象类型 具体实例 选择订阅对象 选择对象 选择资源实例对象 具体实例 定义订阅方式 订阅通道 选择公网/内网 分布式消息服务 定义订阅方式 发送渠道 Kafka Kafka 定义订阅方式 订阅失败缓存时间 输入用户客户端地址 基础信息 订阅任务名称 填写自定义订阅任务名称 testtask 基础信息 描述 填写订阅任务描述信息 说明 关于告警数据订阅全部资源的场景，涉及两个周期： 订阅服务subscription同步订阅配置的周期，预计上线配置2分钟。 数据订阅配置全部资源，也需要周期同步全量的实例资源，预计线上配置3分钟。 因此，考虑极限情况，告警订阅服务在周期1 + 周期2之后产生的告警，订阅服务才能匹配消费到。

天翼云密钥管理服务协议

本节主要介绍CCM私有证书配置。 操作场景 GeminiDB Influx支持使用云证书管理服务（CCM）创建的证书进行数据库实例连接，既支持创建实例的时候选择证书，也支持实例创建成功后重置证书。 本章节主要介绍如下两种方式将CCM私有证书应用到数据库实例中： a.创建实例时选择证书功能。 b.实例创建成功后使用重置证书功能。 使用须知 实例状态为“正常”。 前提条件 已创建CCM私有证书。若未创建CCM私有证书，请参见《云证书管理服务用户指南》中“申请私有证书”章节先创建证书。 注意 创建证书时需要将待连接的数据库IP信息添加到证书中，即“配置证书的AltName信息”。若不配置该信息，则会导致数据库连接失败。 若您在创建实例时选择证书功能，此处“证书的AltName信息”只能添加弹性公网IP，因为此时待连接的数据库实例尚未创建成功，无对应的内网IP地址生成，故无法将内网IP地址添加到证书的AltName信息处。 若您是在创建实例成功后，使用重置证书的功能来切换证书信息，此处“证书的AltName信息”可以添加数据库实例所有节点的内网IP地址或者弹性公网IP地址。 图 创建CCM私有证书 场景一：创建实例时配置私有证书 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，单击“购买数据库实例”，进入“服务选型”页面。 4. 在“服务选型”页面，填写并选择实例相关信息后，单击“立即购买”。 SSL安全连接选择“启用”，证书信息选择已创建好的CCM私有证书。若无可用证书，请先参见上文前提条件中的方法创建证书。 图 选择证书 其余参数配置请参见3.2.1 购买集群实例章节进行设置即可。 5. 待实例创建成功后，单击实例名称，进入“基本信息”页面，在“数据库信息”区域的“证书”处，可以查看到证书状态为“正常”。 图 查看证书状态 6. 下载证书。 单击“证书”处的“下载”按钮，跳转至“云证书管理服务”页面，选择“Nginx”页签，单击“下载证书”。 图 下载证书

本节为您介绍如何添加A类型记录集。 操作场景 当您想要直接使用域名访问网站、Web应用程序或者云主机时，可以通过为域名增加A类型记录集实现。 更多关于记录集类型的介绍，请参见支持记录集类型。 约束与限制 已经完成网站或云主机的搭建，并获取IPv4格式的IP地址。 操作步骤 1. 登录到内网DNS控制中心页面。 2. 可以看到已创建好的域名记录，在目标记录行“操作”列单击“管理记录集”。 3. 进入解析记录界面，单击“添加记录集”。 4. 出现“添加记录集”弹窗，根据需求进行配置。 表1 添加A类型记录集参数说明 参数 说明 取值样例 主机记录 非必填，可以为空。同一记录类型的主机记录集是唯一的，不允许重复。 例：example.com 的www。 A类型记录值可以是多个：192.168.1.1 192.168.1.2，但是www.example.com的A类型记录集唯一。 填写限制：由多个以点分隔的字符串组成，可包含字母、数字、中划线，中划线不能在开头或末尾，单个字符串不超过63个字符，域名总长度不超过254个字符。字母不区分大小写，不支持特殊字符。 www 类型 记录集的类型，此处为A类型。添加记录集时，如果提示解析记录集已经存在，说明待添加的记录集与已有的记录集存在限制关系或者冲突。详细请参见支持记录集类型。 A – 将域名指向IPv4地址 TTL 必填项，默认选择5分钟。 TTL规格共四种：5分钟、1小时、12小时、1天（24小时），对应TTL值为5分钟（300s），1小时（3600s），12小时（43200s），1天（86400s）TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 300 值 填写IPv4地址，最多可以输入8个不重复地址，每行一个。 192.168.1.1 描述 选填字段，最多支持输入100个字符。 5. 填写完成后，点击“确定”完成A类型记录集创建。 6. 在“解析记录”页面，可以看到创建成功的解析记录。

天翼云Web应用防火墙服务协议

本文介绍天翼云AOne边缘安全加速平台的节点分布情况。 天翼云CDN，在中国内地拥有2000+节点，覆盖多运营商和31个省份区域，大量节点位于省会及一二线主要城市；在海外、中国香港、中国澳门和中国台湾拥有800+节点，遍布亚洲、美洲、欧洲、非洲等大洲主要国家和城市。全网业务承载能力达160Tbps，支持1亿级QPS。 全球节点具体分布如下： 计费区域 节点分布 中国内地 东北地区：黑龙江、吉林、辽宁。 华北地区：北京、天津、河北、河南、山东、山西、内蒙古。 华东地区：上海、浙江、江苏、江西、安徽。 华中地区：湖北、湖南。 华南地区：广东、广西、海南、福建。 西南地区：四川、云南、贵州、西藏、重庆。 西北地区：甘肃、宁夏、陕西、青海、新疆。 全球（非中国内地） 亚洲：日本、香港、新加坡、马来西亚、泰国、印度尼西亚、越南、阿联酋。 北美洲：美国。 南美洲：巴西。 大洋洲：澳大利亚。 欧洲：德国、法国、英国、荷兰。 非洲：南非。

本文介绍如何通过ELB接入方式将网站接入WAF进行防护。 Web应用防火墙（原生版）支持接入负载均衡（ELB）实例，您可以为使用HTTP或HTTPS监听协议的ELB监听器开启WAF防护。WAF对进入监听器的应用层流量进行检测（不参与流量转发），您可根据自身应用需求设置相应的防护规则。 前提条件 该功能当前处于试用阶段，如需试用请通过天翼云控制台提工单进行申请。 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 实例支持防护的ELB监听器个数未超过配额限制，各个版本支持的配额请参见产品规格。 约束限制 目前仅支持防护性能保障型的负载均衡实例，不支持经典型实例。 目前仅支持为HTTP/HTTPS监听器开启安全防护。 目前仅支持防护“武汉41”区域的ELB监听器。 在WAF控制台开启防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到WAF控制台，在左侧导航栏选择“接入管理”，选择“云产品接入”页签。 5. 单击“添加防护对象”进入添加防护对象页面，配置防护对象参数。 配置项 说明 ELB（负载均衡器） 单击“选择ELB（负载均衡器）”，弹出当前所在区域的ELB实例列表，找到目标ELB，单击操作列的“选择”。 监听器 单击“选择监听器”，弹出所选ELB实例下的监听器列表，找到目标监听器，单击操作列的“选择”。 说明 仅支持选择监听协议为HTTP 、HTTPS的监听器。 防护对象名称 防护对象的名称，默认为“ELB名称 :监听器名称”，支持自定义。 域名 （可选）填写所选监听器下的域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 备注 （可选）防护对象的描述信息，可以自定义。 6. 配置完成后单击“确定”，返回云产品接入页面。 说明 ELB监听器接入WAF后，WAF防护开关默认“开启”，暂不支持在WAF控制台关闭防护。

参数 说明 credentials 用户账号信息，包含accessKeyId和secretAccessKey endpoint 天翼云资源池的地址，必须指定http或https前缀

创建关系数据库MySQL版实例后，需要将IP地址添加到白名单，该IP地址所属的设备才能访问该关系数据库MySQL版实例。本文介绍如何为关系数据库MySQL版设置IP白名单。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 主实例，只读实例，数据库代理的白名单彼此独立，各实例需要单独设置白名单。 前提条件 源IP能够与数据库实例所在的网络相互通信。 背景信息 关系数据库MySQL版实例已经支持安全组功能，在此基础上，使用IP白名单配置，可以强化数据库的安全管理。 管理白名单分组 创建白名单分组 注意 您可以在开通实例时选择是否将VPC网段加入到实例白名单中，使同一VPC内的云主机可访问该实例（目前仅部分资源池支持，以订购页实际显示为准），如果选择否，则即使同一VPC内云主机也访问不到数据库，需要在白名单中添加指定IP才可访问。 资源池架构升级前的实例，默认白名单功能是关闭的，即所有内网IP都可以访问；资源池架构升级后的实例（2024年12月30日前后），无论内网还是外网访问，无论是否同一VPC内，都需要配置白名单，只有白名单中的IP才可以访问数据库实例。 如果实例绑定了弹性IP，需要将访问弹性IP的源端地址的公网IP配置进白名单。（源端地址的公网IP指访问弹性IP对应机器的公网出口IP，可通过搜索引擎查询IP地址获取）。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击白名单与安全组，进入白名单与安全组管理页面。 5. 单击创建白名单分组。 6. 选择协议类型为IPv4或IPv6。 如选择IPv4协议，多个IP或者IP段通过英文分号分隔。如需放开特定网段需使用星号 代替，例如“172. . . ”、“192. 168 . . ”。 如选择IPv6协议，则需要填写具体的地址，不可用星号代替。 注意 IPv4和IPv6协议总共最多设置1000个IP地址或IP段，如果IP地址较多，建议将零散的IP合并为IP段，如：192.168.1.0/24。 如果IP段设置为 . . . ，则表示对所有公网开放。 7. 填写完毕，单击确定。 8. 从源IP访问数据库确认是否有连接报错。

请参见天翼云Web应用防火墙（独享版）服务等级协议。

本节介绍了如何绑定和解绑弹性公网IP。 操作场景 云数据库GaussDB 实例创建成功后，支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是1611，那么需确保安全组开通了1611端口的访问。 注意事项 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性公网IP 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤 3 在“连接信息”模块处，单击内网地址后的“绑定”。 步骤 4 在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“是”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 步骤 5 在“连接信息”模块的内网地址处，查看结果。 如需关闭，请参见解绑弹性公网IP。 说明： 绑定成功后，您还可以单击内网IP前的 查看弹性公网IP详细信息。 解绑弹性公网IP 步骤 1 登录管理控制台。 步骤 2 对于已绑定EIP的实例，在“实例管理”页面，选择指定实例，单击实例名称，进入实例基本信息页面。 步骤 3 在“连接信息”模块，单击IP地址后面的“解绑”，在弹出框中单击“是”，解绑EIP。 步骤 4 在“连接信息”模块的内网地址处，查看结果。 如需重新绑定，请参见绑定弹性公网IP。

域名信息模板创建：在新域名服务界面点击“控制台”进入到创建模板页面。具体有如下两种方式： 在天翼云官网搜索“新域名服务”，找到新域名服务产品，点击“控制台”进入控制台页面 在天翼云官网点击“产品” → “企业应用” → “新域名服务”进入新域名服务产品界面，并点击“控制台”进入控制台页面 在控制台模版界面，点击“域名信息模版管理” → “创建模版”进入创建模版页面 在创建模板页面输入域名服务需要的相关信息。并点击“提交”，即可完成域名信息模板创建，等待模版实名认证通过后即可购买域名（ 请注意域名所有者证件类型和上传的证件扫描件保持一致，若模版实名被拒绝，请修改或者新建模版 ）。 查找要注册的域名，有两种方式如下： 在天翼云官网搜索“新域名服务”，找到新域名服务产品，点击“域名注册”进入域名查询页面 在天翼云官网点击“产品” → “企业应用” → “新域名服务”进入新域名服务产品界面，并点击“域名注册”进入域名查询页面，在域名查询页面输入想要注册的域名，显示“可注册”状态的域名为可注册和购买的域名。

本文介绍如何模拟访问测试及前提须知。 在客户控制台成功添加加速域名后，为保障DNS解析顺利切换且不影响客户的现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。 前提须知 1. 客户在天翼云控制台新增域名时，需先通过域名归属权验证。详见：验证域名归属权。 2. 通过域名归属权验证后，可前往天翼云控制台，在“添加域名”界面点击验证，验证通过就可以正常操作新增域名。详见：添加加速域名。 3. 客户在控制台【域名管理】中添加的域名源站可正常访问。 操作步骤 1. 在天翼云客户控制台的【域名管理】【域名列表】，复制加速域名对应的CNAME记录值。 2. 通过ping（Windows）或dig（MAC） CNAME记录的方式，如 ping .ctdns.cn 获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3. 修改本地电脑的HOSTS文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而可以通过本地电脑来验证加速域名对应的相关业务功能和场景。 4. 验证内容： 成功绑定HOSTS文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在HOSTS文件中绑定的IP一致，表示HOSTS文件配置正确。 在电脑本地成功访问加速域名绑定的IP后，您可以基于自己的测试用例URL，或者必要的核验步骤，验证相关功能的准确性。例如在浏览器中访问一个源站存在的URL，查看对应URL返回的状态码是否200；一般首次访问全站加速节点，如全站加速节点可正常回源获取该文件，则会返回200状态码至客户端。如果返回状态码非200或其他功能验证不符合预期，请提交工单联系天翼云客服处理。

内网DNS支持查询内网域名的操作，本节为您快速熟悉内网域名的查询。 在控制中心内网DNS界面的信息列表，可以查看已创建内网域名的记录集数量、已关联的VPC等详细信息。 操作步骤 1. 已创建内网域名，并登录到内网DNS控制中心页面。 2. 可以看到已创建好的内网域名列表，可以在搜索框输入域名称/ID进行搜索。 3. 您可以单击需要查看的内网域名首列展开按钮，查看内网域名详情。