本文为您介绍,如何使用Packer工具快速制作私有镜像文件,以便您通过镜像导入功能上传私有镜像。 操作场景 用户上云部署应用前，获取的镜像通常为从操作系统官方下载 .iso 格式的原始镜像文件，此格式文件无法在天翼云平台上直接使用。需要用户基于ISO制作对应格式的镜像文件后（如 .qcow2），才可以导入为弹性云主机实例可用的私有镜像。 Packer 是一款开源的虚拟机镜像构建工具，可以通过一个HCL或者JSON格式模板配置可以快速的创建主流的操作系统云主机镜像。Packer包含构建器（Builder）、配置器（Provisioner）、后处理器（PostProcessor）三个组件。 本文提供Packer工具的使用全流程，为您介绍如何构建天翼云可用的镜像文件，帮助您快速上云。 约束与限制 当前仅支持x86架构的私有镜像构建，ARM架构的私有镜像构建方法正在建设中。 对于x86架构中的海光类型是否支持，取决于原始镜像本身是否已可以在海光芯片上正常启动和运行。 操作步骤 使用 Packer 构建镜像文件的过程如下： 1. 需要您准备一台本地的物理机或虚拟机，在其中构建制作私有镜像的虚拟化环境。 2. 安装 Packer 软件与关联插件，根据天翼云的镜像配置要求，设定配置模板。 3. 执行 Packer 构建命令，构建镜像文件。

本文介绍弹性文件服务入门相关流程。 天翼云弹性文件服务提供按需扩展的高性能文件存储，可为云上多个弹性云主机提供大规模共享访问，具备高可用性和高数据持久性。下面我们以创建文件系统、挂载文件系统到数据读写为例介绍弹性文件服务的整体入门流程，具体流程见下图： 1. 首先进行准备工作，注册天翼云，确保账户余额，具体流程参见准备工作。 2. 设置天翼云弹性文件服务控制台所给出的配置项，包括存储类型、存储协议等信息，具体步骤请参见创建文件系统。 3. 创建好的文件系统需要挂载至云主机或物理机上使用，具体挂载步骤参见挂载文件系统。 4. 文件系统挂载完成后，您可以为文件系统配置监控告警规则，监控带宽、IOPS等数据，赋能业务，配置参考创建告警规则和开启一键告警。 5. 您可以将本地或其他存储设备上的数据迁移至文件系统共享与管理。具体步骤可参考NAS文件系统之间的迁移。 6. 您可以像访问本地数据一样读写文件系统中存储的数据。

本文介绍AOne会议的统计分析功能。通过此功能,企业管理员可查看和分析企业/组织的会议用量。 功能简介 统计分析模块支持客户自助查询，主要包含两大模块：用量分析、用户分析。具体定义如下： 功能 说明 用量分析 支持客户按组织汇总查看会议用量、直播用量、云录制用量、会议纪要用量、实时转写用量等维度的数据。支持按组织、查询时间粒度（5分钟/1小时/1天）、时间这3个条件进行自定义查询，实时感知会议使用情况。 用户分析 支持客户按组织粒度分别查看对应组织的累计会议数、会议总时长、累计直播数、直播总时长、累计云录制数、云录制总时长、累计会议纪要数、会议纪要总时长、累计实时转写数 、实时转写总时长等维度的数据。支持按组织、时间这2个条件进行自定义查询。 用量分析 查询范围说明 通过AOne会议控制台查询数据时，可查询近1年内的历史数据，单次查询时间范围不超过31天。查询时间粒度支持5分钟/1小时/1天。 组织可放空或按需选择进行查询。可选查询的组织层级深度最多支持到三级，未选择组织时默认查询您有权限的全部组织数据。 本模块按会议发起者所属组织，为您提供详尽的用量统计分析。统计范围仅包含实际有人参会的会议。

本文为您介绍如何使用ECI实例访问并行文件数据。 背景信息 并行文件服务HPFS(CTHPFS，High Performance File Storage)是由天翼云提供的高性能并行文件存储，具有高性能，高可靠性，高可扩展性的特点，充分满足影视渲染、气象分析、石油勘探、EDA仿真、基因分析、AI训练、自动驾驶等计算和数据密集型场景的需求。 前期准备 1. 已开通天翼云弹性容器实例服务。 2. 已创建并行文件实例，已创建协议服务（VPC网络需要与待创建ECI实例相同）。 3. 并行文件需要满足按量计费模式，仅支持NFS协议。 操作步骤 天翼云弹性容器实例ECI支持用户通过OpenAPI创建挂载并行文件作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问并行文件中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 用户可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块512G大小的弹性文件，挂载目录为/hpfsvolume。 5. 让我们尝试在/hpfsvolume目录下创建名为helloworld.txt的文件。 6. 让我们尝试读取/hpfsvolume目录下名为helloworld.txt的文件。

计费说明 如果您对极速直播服务有突发带宽使用需求，您需提前至少3个工作日（重大节日或重大赛事直播的突发，包括但不限于春晚，双十一等，需要提前至少1个月）联系天翼云申请突发带宽用量。若申请成功，在双方约定的突发量级内，可确保您的服务不受影响；若申请不成功或未申请的，天翼云有权采取限流等措施来保障全网用户的稳定性，由此导致的可用性问题，天翼云不承担责任 。符合以下情况之一的都属于“突发带宽”： a.带宽计费客户：本自然月（日）带宽增量超过100Gbp，或本自然月（日）的带宽增量超出上月（日）计费带宽的30%（另有约定的，从其约定）； b.流量计费客户：本自然月带宽峰值超过10Gbps。 极速直播计费的流量比日志中记录的流量多。因为极速直播日志中记录的流量数据是应用层日志统计出的流量，但是实际网络请求中存在TCP/IP包头的消耗和TCP重传消耗，要比应用层统计到的流量高出7%~15%，因此按照业界标准，应用于账单的计费数据会比基于访客日志计算得出的计费值上浮10%。 极速直播计费按照1000进制，例如：1Gbps1000Mbps，1GB1000MB。

本文主要讲述了个人实名认证变更规则及操作流程。 原实名认证为个人类型的账号，可变更为其他个人或升级为企业账号。适用于通过大陆居民身份证认证的个人账号变更，非身份认证的账号的变更请通过工单申请。 修改个人认证 即原个人类型的账号更为其他个人账号，实名主体发生变更。 推荐通过天翼云APP修改个人认证，更加便捷。 变更规则 实名认证变更生效（审批通过）之前，原实名认证主体信息仍然有效。 实名认证变更开始到变更生效（审批通过）期间，产生的欠费和新购的资源归属于变更后的主体。 实名认证变更开始到审批驳回期间，产生的欠费和新购的资源归属于原主体。 操作步骤 1、登录天翼云官网，点击“我的已实名认证”快速进入实名认证页面。 2、选择“修改个人认证”。 3、阅读实名认证变更影响，并点击确认。 4、使用天翼云APP或手机微信扫描弹窗二维码，进入身份证认证流程。 5、根据手机端页面提示，选择“个人用户个人身份证认证”，上传本人身份证（变更后主体），并进行活体验证，完成实名认证。 升级为企业认证 即原个人类型的账号更为企业账号，实名主体发生变更。

接口功能介绍 基线检测查询所有策略列表 接口约束 无 URI GET /v1/sca/rule/query/scaruleList 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 id Integer 基线策略id 1 name String 基线策略名称 策略1 checkfrequency Integer 检测频率 1 checktime String 扫描时间,01:0002:00代表再每checkfrequency天01:0002:00之间进行扫描 01:0002:00 ruleStatus Boolean 状态 true开启 false关闭 true description String 描述 描述 createtime String 创建时间 20200101 00:00:00 isDefault Boolean 是否默认策略 true是 false否 true scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL checkCount Integer 检测项数量 1 serverCount Integer 检测服务器数量 1

什么是配额？ 对用户的资源数量和容量做了限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交您的申请，并告知您申请提高配额的理由。 在通过我们的审理之后，我们会更新您的配额并进行通知。 如何检查终端节点服务所在后端弹性云主机的网络配置？ 步骤如下： 1、确认弹性云主机使用的网卡安全组是否正确。 2、在弹性云主机详情页面查看网卡使用的安全组。 3、查看安全组入方向是否已放行198.19.128.0/20网段的地址，如果没有放行，请添加198.19.128.0/20网段的入方向规则，用户可根据自己的实际业务场景添加入方向规则。 4、确认弹性云主机网卡所在子网的网络ACL不会对流量进行拦截。 5、在虚拟私有云页面左侧如果可以进行网络ACL配置，请确认对等连接涉及的子网已放通。 VPC终端节点和对等连接有什么区别？ 具体请见下表。 类别 VPC对等连接 VPC终端节点 ::: 安全性 VPC内所有ECS、ELB、VIP等均可以被访问。 仅创建了终端节点服务的ECS、ELB可以被访问。 CIDR重叠 不支持。 如果两个VPC之间的子网网段有重叠或者完全相同，那么建立的对等连接将无效，无法相互通信。 支持。 VPC终端节点完全不受两个VPC子网网段重叠或者完全相同的影响，均可以正常通信。 通信方向 建立对等连接的两个VPC之间支持双向通信。 通过VPC终端节点建立连接的两个VPC之间，仅支持终端节点所在VPC访问终端节点服务所在后端资源的指定端口。 路由配置 两个VPC间创建对等连接后，需要在两端VPC内分别添加对等连接路由信息，才能使两个VPC互通。 通过VPC终端节点服务进行连接的两个VPC，服务已为用户配置好相应的路由信息，用户自己无需再配置。

本文将帮助您了解TCP监听器获取客户端真实源IP地址的工作原理及操作步骤。 应用场景 在基于TCP的应用程序中，获取客户端真实源IP地址可以用于以下应用场景： 访问控制和安全策略：通过获取客户端真实源IP地址，应用程序可以实施访问控制策略，限制或允许特定IP地址的访问。这可以用于身份验证、防止未经授权访问、限制特定地理区域的访问等。例如，防火墙可以根据客户端IP地址来决定是否允许连接或阻止连接。 防止滥用、攻击和入侵检测：获取客户端真实源IP地址可以用于防止滥用和攻击行为。通过分析IP地址，可以实施阻止流量来自恶意IP地址的策略，如IP黑名单、限制恶意用户的连接速率或引入入侵检测系统。这有助于提高应用程序的安全性，并保护系统免受恶意活动的危害。 统计和分析：获取客户端真实源IP地址可以用于统计和分析访问模式和用户行为。通过分析IP地址，可以了解用户的地理位置、访问频率、使用设备和浏览器等信息。这些数据可以用于优化用户体验、定位目标受众、改进应用程序设计和定制内容。 安全审计和合规要求：获取客户端真实源IP地址有助于安全审计和合规要求的满足。通过记录和跟踪源IP地址，可以提供追溯用户行为的能力，以满足法规和合规性要求。这对于监测和报告滥用行为、保护用户隐私和满足法律要求非常重要。

天翼云息壤智算一体机服务协议

本小节介绍入门实践。 当您为主机开启安全防护后，可以根据业务需求使用HSS提供的一系列常用实践。 实践 描述 漏洞修复 []( 2020年4月15日，Git发布安全通告公布了一个导致Git用户凭证泄露的漏洞（CVE20205260）。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。当URL中包含经过编码的换行符（%0a）时，可能将非预期的值注入到credential helper的协议流中。受影响Git版本对恶意URL执行git clone命令时，会触发此漏洞，攻击者可利用恶意URL欺骗Git客户端发送主机凭据。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 SaltStack远程命令执行漏洞（CVE202011651/CVE202011652） Saltstack是基于python开发的一套C/S自动化运维工具，国外安全研究人员披露其中存在身份验证绕过漏洞（CVE202011651）和目录遍历漏洞（CVE202011652）漏洞，攻击者利用这些漏洞可实现远程命令执行、读取服务器上任意文件、获取敏感信息等。 本实践介绍通过HSS检测与修复这些漏洞的建议。 漏洞修复 OpenSSL高危漏洞（CVE20201967） OpenSSL安全公告称存在一个影响OpenSSL 1.1.1d、OpenSSL 1.1.1e、OpenSSL 1.1.1f的高危漏洞（CVE20201967），该漏洞可被用于发起DDoS攻击。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( Font Manager库远程代码执行漏洞（CVE20201020/CVE20200938） 当Windows Adobe Type Manager库未正确处理经特殊设计的多主机Adobe Type 1 PostScript格式字体时，Microsoft Windows中存在远程代码执行漏洞。对于除Windows 10之外的所有系统，成功利用此漏洞的攻击者可以远程执行代码。对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( CryptoAPI欺骗漏洞（CVE20200601） Windows CryptoAPI欺骗漏洞（CVE20200601）影响CryptoAPI椭圆曲线密码（ECC）证书检测机制，致使攻击者可以破坏Windows验证加密信任的过程，并可以导致远程代码执行。 本实践介绍通过HSS检测与修复该漏洞的建议。 勒索病毒防护 []( 勒索病毒攻击已成为当今企业面临的最大安全挑战之一。攻击者利用勒索病毒加密锁定受害者的数据或资产设备，并要求受害者支付赎金后才解锁数据，也存在即使受害者支付赎金也无法赎回数据情况。 为了预防勒索病毒攻击，避免被勒索面临巨大的经济损失风险，您可以使用“HSS+CBR”组合为服务器做好“事前、事中、事后”的勒索病毒防护。

本文介绍终端节点内容。 主要作用：用户信息的发送和接收，信令信息的控制处理、安全保护等作用。 终端节点地址：

前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云、子网和路由表的创建。 操作步骤 1. 进入“网络控制台”页面，点击“路由表”选项。 2. 找到对应的路由表，点击路由表名称，进入路由表详情页。 3.在路由表详情页，找到“路由规则”页签，找到对应的路由规则，点击"删除"。 4.可以对不需要的路由规则进行删除。 5.点击“确定”按钮，即可完成路由规则的删除。

存储容量：指用户数据占用的存储空间，会根据存储的文件类型、大小和时长收取存储费用。 注意 如果是低频访问型文件：最短存储期限为30天，早于30天删除、修改文件（Object）时，需要补足剩余天数的容量补齐费用。最小计量大小是64KiB，上传的文件小于64KiB时，按照64KiB计算存储空间进行收费，超过64KiB的文件按照实际大小进行收费。 流出流量：指从OOS获取数据时产生的数据流的累计值，根据实际产生的流量计算流量费用。如果同一个文件多次执行下载操作，会产生流量累加。 所以流出流量和存储容量没有绝对的关系，两者都和存储的文件大小有关系。

本节介绍如何查看组件详情。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 组件漏洞”，进入组件漏洞页面。 3. 单击组件列表内的“组件名称”，可查看组件内存在的漏洞信息。 4. 进入漏洞信息页面，可查看不同危险等级漏洞的数量统计结果，漏洞详情展示了漏洞类型、漏洞编号、危险级别、软件、受影响的版本等信息。 5. 单击漏洞详情中的漏洞编号可查看漏洞介绍和参考地址等信息。

本节介绍了弹性云主机欠费、到期后的相关内容。 在弹性云主机资源将要到期或欠费时，天翼云会以邮件的方式通知客户，如用户需继续使用，则可联系客户经理执行续费操作或自行在控制台进行续订。如果用户未执行续费操作，天翼云将发送资源超期提醒邮件，并在之后释放弹性云主机资源。 从包周期云主机到期或按需用户发生欠费时算起，云主机将进入15天保留期，超过保留期后，云主机将被删除回收，云主机删除后用户数据不可恢复。

操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意：对域名进行停用操作后，边缘节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至边缘节点，则会响应403。

本节主要介绍到期与欠费 在API网关实例资源将要到期或欠费时，天翼云会以邮件的方式通知客户，如用户需继续使用，则可联系客户经理执行续费操作或自行在控制台进行续订。如果用户未执行续费操作，天翼云将发送资源超期提醒邮件，并在之后释放API网关实例资源。 从包周期API网关到期或按需用户发生欠费时算起，资源将进入15天冻结期，超过冻结期后，资源将被删除回收，资源删除后用户数据不可恢复。 欠费后，可以查看欠费详情。为防止相关资源不被停止或者释放，请您及时进行充值，帐号将进入欠费状态，需要在约定时间内支付欠款。

基线核查主要是针对主机的操作系统、数据库、虚拟化设备、软件基础、应用程序的配置合规性进行检查，并提供检测结果说明和加固建议。 功能说明 基线检查功能进行系统安全加固，降低入侵风险并满足安全合规要求。 展示基线漏洞详细信息以及漏洞发生IP地址。 记录基线合规相关风险信息，其中包括终端IP地址、基线名称、基线检查类型、发现时间及是否修改符合。

本节介绍如何配置PCI DSS/3DS合规与TLS。 安全传输层协议（Transport Layer Security，TLS）在两个通信应用程序之间提供保密性和数据完整性。HTTPS协议是由TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议。当防护网站的“对外协议”使用了“HTTPS”时，您可以通过WAF为网站设置最低TLS版本和加密套件（多种加密算法的集合），对于低于最低TLS版本的请求，将无法正常访问网站，以满足行业客户的安全需求。 WAF默认配置的最低TLS版本为TLS v1.0，加密套件为加密套件1，为了确保网站安全，建议您将网站的最低TLS版本和TLS加密套件配置为安全性更高TLS版本和加密套件。 前提条件 已添加防护网站。 防护网站的“对外协议”使用了HTTPS协议。 约束条件 当防护网站的“对外协议”为“HTTP”时，HTTP协议不涉及TLS，请忽略该章节。 如果防护网站配置了多个服务器时，“对外协议”都配置为“HTTPS”时，才支持配置PCI DSS/3DS合规。 应用场景 WAF默认配置的最低TLS版本为“TLS v1.0”，为了确保网站安全，建议您根据业务实际需求进行配置，推荐配置的最低TLS版本如下表所示。 场景 最低TLS版本（推荐） 防护效果 ::: 网站安全性能要求很高（例如，银行金融、证券、电子商务等有重要商业信息和重要数据的行业） TLS v1.2 WAF将自动拦截TLS v1.0和TLS v1.1协议的访问请求。 网站安全性能要求一般（例如，中小企业门户网站） TLS v1.1 WAF将自动拦截TLS1.0协议的访问请求。 客户端APP无安全性要求，可以正常访问网站 TLS v1.0 所有的TLS协议都可以访问网站。 WAF推荐配置的加密套件为“加密套件1”，可以满足浏览器兼容性和安全性，各加密套件相关说明如下表所示。 加密套件名称 支持的加密算法 不支持的加密算法 说明 默认加密套件 说明 WAF默认给网站配置的是“加密套件1”，但是如果请求信息不携带sni信息，WAF就会选择缺省的“默认加密套件”。 ECDHERSAAES256SHA384 AES256SHA256 RC4 HIGH MD5 aNULL eNULL NULL DH EDH AESGCM 兼容性：较好，支持的客户端较为广泛 安全性：一般 加密套件1 ECDHEECDSAAES256GCMSHA384 HIGH MEDIUM LOW aNULL eNULL DES MD5 PSK RC4 kRSA 3DES DSS EXP CAMELLIA 推荐配置。 兼容性：较好，支持的客户端较为广泛 安全性：较高 加密套件2 EECDH+AESGCM EDH+AESGCM 兼容性：一般，严格符合PCI DSS的FS要求，较低版本浏览器可能无法访问。 安全性：高 加密套件3 ECDHERSAAES128GCMSHA256 ECDHERSAAES256GCMSHA384 ECDHERSAAES256SHA384 RC4 HIGH MD5 aNULL eNULL NULL DH EDH 兼容性：一般，较低版本浏览器可能无法访问。 安全性：高，支持ECDHE、DHEGCM、RSAAESGCM多种算法。 加密套件4 ECDHERSAAES256GCMSHA384 ECDHERSAAES128GCMSHA256 ECDHERSAAES256SHA384 AES256SHA256 RC4 HIGH MD5 aNULL eNULL NULL EDH 兼容性：较好，支持的客户端较为广泛 安全性：一般，新增支持GCM算法。 加密套件5 AES128SHA:AES256SHA AES128SHA256:AES256SHA256 HIGH MEDIUM LOW aNULL eNULL EXPORT DES MD5 PSK RC4 DHE 仅支持RSAAESCBC算法。 加密套件6 ECDHEECDSAAES256GCMSHA384 ECDHERSAAES256GCMSHA384 ECDHEECDSAAES128GCMSHA256 ECDHERSAAES128GCMSHA256 ECDHEECDSAAES256SHA384 ECDHERSAAES256SHA384 ECDHEECDSAAES128SHA256 ECDHERSAAES128SHA256 兼容性：一般 安全性：较好 WAF提供的TLS加密套件对于高版本的浏览器及客户端都可以兼容，不能兼容部分老版本的浏览器，以TLS v1.0协议为例，加密套件不兼容的浏览器及客户端参考说明如下表所示。 说明 建议您以实际客户端环境测试的兼容情况为准，避免影响现网业务。 加密套件不兼容的浏览器/客户端参考说明（TLS v1.0）： 浏览器/客户端 默认加密套件 加密套件1 加密套件2 加密套件3 加密套件4 :::::: Google Chrome 63 / macOS High Sierra 10.13.2 × √ √ √ × Google Chrome 49 / Windows XP SP3 × × × × × Internet Explorer 6 / Windows XP × × × × × Internet Explorer 8 /Windows XP × × × × × Safari 6/iOS 6.0.1 √ √ × √ √ Safari 7/iOS 7.1 √ √ × √ √ Safari 7/OS X 10.9 √ √ × √ √ Safari 8/iOS 8.4 √ √ × √ √ Safari 8/OS X 10.10 √ √ × √ √ Internet Explorer 7/Windows Vista √ √ × √ √ Internet Explorer 8～10/Windows 7 √ √ × √ √ Internet Explorer 10/Windows Phone 8.0 √ √ × √ √ Java 7u25 √ √ × √ √ OpenSSL 0.9.8y × × × × × Safari 5.1.9/OS X 10.6.8 √ √ × √ √ Safari 6.0.4/OS X 10.8.4 √ √ × √ √

网站对业务可用性要求非常高，产生网站安全和性能风险后，将造成用户流失、在线交易失败等经济损失。网站可用性监测，多维度监测目标网站在多种网络 协议下的响应速度、可访问性等，保障网站性能，满足客户业务需求。

计费模式变更 天翼云分布式消息服务RocketMQ目前支持计费模式变更。

本文介绍添加子账号的操作步骤。 背景信息 一般情况下，客户只需一个天翼云账号即可管理在天翼云上购买的视频直播资源。如果存在需要为企业内部的员工设置不同的访问权限，以达到不同员工之间权限隔离的效果，则可以使用天翼云CDN+统一身份认证服务（CDN+ Identity and Access Management，简称CDN+IAM）进行精细的权限管理。本文主要介绍相关操作步骤。 操作步骤 步骤一：登录CDN+IAM平台 1. 平台登录入口：天翼云CDN+IAM。 2. 进入账号登录界面，请单击【其他登录方式】里的第一个图标，如下图所示。 3. 随即自动跳转到天翼云账号登录界面，输入官网账号和密码后，单击【登录】。 步骤二：创建子账号。 1. 选择右上角【我的工作区】中的【系统内置工作区】。 2. 在【工作区管理】页面中，单击左侧菜单中的【子用户管理】，并单击页面中的【新增】。 3. 输入子用户基本信息，并单击【确定添加】。 步骤三：为子账号配置权限。 1. 在【工作区管理】页面中，单击左侧菜单中【角色管理】，并在【角色所属服务】中搜索【直播控制台】，单击对应角色中的【管理】按钮，如下图所示。 2. 单击页面中的【备选成员】，并在对应成员中单击【授权】。 3. 在【工作区管理】页面中，单击左侧导航栏中的【子用户管理】，并在对应子账号的操作栏中单击【配置权限】。 4. 单击【备选角色】菜单，增加【CDN参与者】和【直播参与者】权限。 步骤四：子账号登录控制台。 配置子账号后，单击进入天翼云CDN+IAM，并输入子账号和密码，登录控制台页面。

背景说明 授权管理功能可以帮助管理员便捷掌握授权状态、可用功能及额度情况，实现对终端安全管理系统授权的高效监控与分发管理。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【终端管理】； 2. 在左侧导航栏，选择【授权管理】，进入相关页面； 版本功能说明 1. 展示用户当前授权版本、可用授权额度 、总授权额度、授权有效期、授权包含的功能模块，并提供 “获取额度” 跳转功能，用户点击可前往购买授权额度，灵活应对终端设备数量增加或功能扩展需求，确保系统正常使用。 2. 终端管理授权，包括基础版授权和企业版授权。 授权分发管控 授权概览 1、直观呈现当前版本（如基础版）的授权额度、有效期，帮助管理员快速掌握授权资源状态。 授权分发规则 终端授权分发策略卡片 1、支持通过用户、设备类型、IP 范围、设备名称等条件配置授权规则，实现批量、精准的授权分配，满足不同场景的终端管理需求。

非对称密钥版本 非对称密钥不支持自动轮转，需人工创建新的密钥版本，版本创建后立即生效。 非对称的用于主密钥没有主版本（PrimaryKeyVersion）的概念，因此使用非对称密码运算的接口除需指定用户主密钥标志符（或别名）之外，还需指定密钥版本。 操作步骤 设置自动轮转（对称密钥） 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择密钥所在的区域； 3. 在左侧导航栏，单击密钥管理服务，进入密钥列表； 4. 定位待设置的对称密钥，点击密钥ID，进入密钥详情页； 5. 在密钥版本区域，点击设置轮转策略； 6. 在设置轮转策略对话框，选择轮转周期，30天、90天、180天，或自定义天数； 7. 设置了自动轮转策略后，将显示密钥下次轮转时间。点击确定完成设置；

资源 说明 VPC VPC1、VPC2、VPC3隔离，这3个VPC和VPC4互通。 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16，具体路由信息如“表VPC路由表”所示。 ER 不开启“默认路由表关联”和“默认路由表传播”功能，手动创建两个路由表，并添加4个“虚拟私有云（VPC）”连接，路由表作如下配置： 路由表1：关联VPC1连接、VPC2连接、VPC3连接，并在路由表1中创建VPC4连接的传播，路由自动学习VPC网段，路由信息如“表ER路由表1”所示。 路由表2：关联VPC4连接，并在路由表2中创建VPC1连接、VPC2连接、VPC3连接的传播，路由自动学习VPC网段，路由信息如“表ER路由表2”所示。 ECS 4个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。

网络类型 使用场景 准备工作 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库灾备、或云上跨区域的数据库之间的灾备。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据灾备。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库灾备、或云上跨区域的数据库之间的灾备。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合其他云下或其他平台的数据库到目标数据库的灾备。 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 1.开启公网访问 源数据库端实例需要根据具体的场景，由用户端开启公网访问。 2.设置安全组规则源数据库需要将DRS灾备实例的弹性IP添加到其网络入口白名单内，使源数据库与DRS灾备实例可以连通。 由于目标数据库和DRS灾备实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS灾备实例创建成功后，可在“源库及目标库”页面获取DRS灾备实例的弹性公网IP。 在选择公网网络进行数据灾备同步时，如果没有开启SSL安全连接加密灾备链路的功能，请确保待灾备的数据为非机密数据，再进行数据灾备。

IPsec VPN是否会自动建立连接？ 支持自动建立连接。 两个Region创建的VPN连接状态正常，为什么不能ping通对端ECS？ 安全组默认放行了出方向的所有端口，入方向需要按照实际需要添加放行规则，确认接收ping报文的ECS安全组放行了入方向的ICMP。 IDC与云端对接，VPN连接正常，子网间业务无法互相访问？ 连接状态正常，说明两端的协商参数没有问题，排查项如下： 用户侧数据中心设备子网路由是否从网关开始逐跳指向VPN出口设备。 VPN设备有安全设置放行了子网间的数据互访。 IDC子网访问云端数据不做NAT。 确保两侧公网IP（网关IP）间访问不被阻拦。 正在使用VPN出现了连接中断，提示数据流不匹配，如何排查？ 这通常是由于云上与用户侧数据中心设备配置的ACL不匹配造成的。 1. 首先确认两端VPN连接的子网信息是否配置一致，确保云端生成的ACL与用户侧数据中心ACL配置互为镜像 2. 用户侧数据中心感兴趣流配置推荐使用“子网/掩码”的格式，避免使用网络地址对象模式，即address object模式，address object为非标模式，容易引起不兼容问题。 正在使用VPN出现了连接中断，提示DPD超时，如何排查？ 出现DPD超时的连接中断是因为两端网络访问无数据，在SA老化后发送DPD未得到对端响应而删除连接。 解决方法 1. 开启用户侧数据中心设备的DPD配置，测试两端的数据流均可触发连接建立； 2. 在两端的主机中部署Ping shell脚本，也可在用户侧数据中心的子网的网关设备上配置保活数据，如NQA。

本文为终端节点介绍。 主要作用：用户信息的发送和接收，信令信息的控制处理、安全保护等作用。

查看DNAT规则 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 单击私网NAT网关名称，进入私网NAT网关详情页，点击DNAT规则页签，可以查看DNAT规则ID，状态、中转IP、中转端口、描述、内网地址/名称，内网端口、支持协议、添加时间及相关操作。 修改DNAT规则 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 单击私网NAT网关名称，进入私网NAT网关详情页，点击DNAT规则页签，在需要修改的DNAT规则操作栏点击“修改”。 3. 在弹出页面填写DNAT规则的基本信息，具体参数详情见添加DNAT规则。 4. 配置完成，点击“确定”，完成DNAT规则的修改。 删除DNAT规则 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 单击私网NAT网关名称，进入私网NAT网关详情页，点击DNAT规则页签，在待删除的DNAT规则操作栏点击“删除”。 3. 在弹出页面确认是否删除规则，确认删除点击“确定”，完成DNAT规则的删除。

4、失败场景计费说明 目前DRS对客户创建的计费任务，从任务启动开始进行计费，任务结束终止收费，在此期间的失败场景（如全量失败、增量失败等）均不会停止收费。 为避免不必要的计费情况发生，需要客户在创建任务阶段设置“任务异常自动结束时间（天）”，输入值必须在14100之间。设置任务异常自动结束天数后，异常且超时的任务将会自动结束，以免产生不必要的费用。 5、欠费场景说明 DRS目前为按需计费，当客户启动DRS计费任务后，如果没有及时的进行续费或充值，就会导致任务欠费限制使用，待续费或充值后，可继续正常使用。 任务欠费后，将进入宽限期。如宽限期满仍未续费或充值，将进入保留期。在保留期内资源将停止服务。保留期满仍未续费或充值，存储在云服务中的任务将被删除、云服务资源将被释放。 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 6、提醒/通知规则 账户欠费通知：当用户欠费时，系统会向用户发送1次欠费提醒，并在欠费的第2天、第4天、第6天各发送1次欠费提醒。

本文介绍与Agent沙箱相关的专有名词与基本概念 Agent 沙箱 为企业级Agent应用提供强安全、高弹性、可扩展的云端沙箱运行环境，沙箱与宿主机和其他沙箱相互隔离，可限制沙箱实例资源用量，用完即销毁不留痕迹。 沙箱模板 预先配置的Agent沙箱，包含镜像、规格和其他配置，基于沙箱模板可以快速启动沙箱实例；智能体运行在沙箱实例中。 沙箱实例 基于沙箱模板启动的“运行中的沙箱”实例，每个沙箱实例都是相互隔离、可控、可变的安全容器。 VNC 调试 Virtual Network Computing 图形化远程桌面协议，在Agent沙箱场景中用于访问沙箱的图形界面；例如浏览器沙箱 API Key API Key（应用程序编程接口密钥）是一种身份认证凭证，用于识别和验证调用API的客户端身份。它是一个唯一的字符串，类似于"密码"，但专门用于程序之间的通信。