本文介绍关系数据库PostgreSQL版的高危操作二次验证功能。 为保证实例安全，部分高危操作需要进行短信验证，发起验证后，您当前登录的账号绑定的手机会收到短信验证码，填写验证码完成验证，高危操作才会执行。 需要进行短信验证的高危操作如下： 退订实例 重置root密码

API覆盖的功能模块。 序号 主要功能 1 边缘服务 2 虚拟机管理 3 虚拟私有云网络管理 4 子网管理 5 SSH密钥管理 6 存储管理 7 弹性公网IP管理 8 网关管理 9 安全组管理 10 负载均衡管理 11 负载均衡监听器管理 12 负载均衡后端服务器组管理 13 用户配额管理 14 SSL证书管理

本章介绍天翼云关系型数据库的如何进行弹性规格变更。 选择需要变更的实例，点击“更多”，选择“规格变更”进行变更操作

更换权限组 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>海量文件服务OceanFS”。单击文件系统名称，进入文件系统详情页。 3. 在VPC页签下看到绑定的VPC。在支持权限组的地域可以点击操作栏下方的“更改权限组”。 4. 在弹出页面选定新的权限组，单击“确定”，完成权限组的更改。 修改权限组规则 1. 登录天翼云，进入管理控制台。单击管理控制台左上角的，选择地域。 2. 选择“存储>海量文件服务OceanFS”,进入文件存储控制台。在页面左侧选择权限组页签，单击权限组名称，进入权限组规则页面。 3. 选择待修改的规则，单击操作栏下方的“修改”，在弹出页面配置新的权限组规则。 4. 单击“确定”，完成权限组的规则的修改。 注意 新建的文件系统自动关联默认权限组，在VPC模块下可更换权限组。每一个文件系统下的一个VPC只能对应一个权限组。

本文主要介绍云日志服务数据转储常见问题。 日志数据支持转储到哪些目标？ 目前仅支持转储至天翼云对象存储，详细操作请参考转储至对象存储。 日志转储到对象存储后，云日志服务会删除转储的内容吗？ 不会删除。在云日志服务控制台，日志转储是把日志“另存”一份至天翼云对象存储，转储后，可在对象存储控制台中查看对应的日志文件。 配置转储对象存储后，对象存储桶无法查看历史数据？ 配置对象存储转储后，对象存储桶无法查看历史数据。是因为云日志服务配置的日志转储是将新增的日志数据转储到对象存储桶中，不会对历史日志进行转储。 日志转储状态异常是什么原因？ 由于配置的对象存储桶被删除，请您重新指定已创建的对象存储桶。 转储至对象存储后，如何查询对象存储中的日志文件？ 日志数据转储至对象存储后，您可登录对象存储控制台，在对应的桶中查看日志文件。

本章节主要介绍云搜索服务（ES）的续订操作流程。 按需续费 按需付费模式下无需续订，只需保持账号内余额充足即可。如账户余额不足，请及时续费。 续费步骤如下 ： 1.在天翼云官网，点击右上角的“管理中心”； 登录页 2.进入“管理中心”页面，选择“充值”； 充值页面 3.进入“费用中心”，在“余额充值”项下输入充值金额，点击“充值”； 输入金额页面 4.进入超级收银台页面，选择合适的支付方式完成付款。 付款方式页 包年包月续订 1.在天翼云官网，点击右上角的“管理中心”； 登录页 2.左侧导航栏点击“订单管理”“续订管理”，输入筛选条件，找到需要续订的产品，按提示完成续订操作即可。

本文简述消费账单支持查询的维度和查询方法。 简要说明 天翼云支持用户查询账单概览、流水账单、账单详情及导出记录，详情请见：账单概览。 账单概览 账单概览可以展示不同汇总维度下的应付金额、扣费明细等数据，每个产品只展示一条汇总数据。 流水账单 流水账单可以展示按照不同计费模式下的每一笔订单和每个计费周期维度构成的数据，根据此账单进行扣费和结算，并可导出两种格式（xlsx、csv）的账单，在“导出记录”下载。 账单详情 自定义账单可以通过多维度展示客户账单的详细信息，并可导出两种格式（xlsx、csv）的账单，在“导出记录”下载。 导出记录 用户选择导出后，可以在“导出记录”页面点击下载，也可查看已导出的全部文件记录。 查询步骤 1. 登录天翼云官网，单击右上角【我的】，再单击【费用中心】。 2. 选择左侧导航栏中【账单管理】，分别单击【账单概览】、【流水账单】、【账单详情】、【导出记录】查询不同维度的账单。

本节介绍如何设置文件完整性保护检测规则。 操作步骤 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“文件安全 > 文件完整性保护”，进入文件完整性保护页面。 3. 单击列表右上方的“检测设置”，进入检测设置页面。 4. 配置相关参数。 参数 说明 启用文件变更检测 开启或关闭文件变更检测功能。 关键文件监控 系统内置：对系统关键文件、文件路径、文件目录进行实时监控，发现文件变更篡改行为进行告警。 自定义：根据用户特定的防护场景，自定义添加监控路径，发现文件变更篡改行为进行告警。 监控排除设置 对用户添加的信任文件路径不再进行监控，方便用户更加灵活创建检测策略。 设置生效范围 自定义选择需要执行文件变更篡改行为监控的服务器。 5. 配置完成后，单击“确认提交”。

本文介绍如何管理白名单，包括新增、修改白名单等操作。 新增白名单 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 单击镜像管理页面右上角的“白名单管理”，进入白名单管理页面。 4. 单击列表右上角的“新增白名单”，可以新增白名单。 5. 新增完成，可以在列表中看到刚才新增的白名单。 白名单列表上方支持按照“白名单名称”、“内容”模糊搜索，按照“类型”定向筛选查询。 编辑白名单 单击操作列的“编辑”，即可查看或移除已添加到白名单中的镜像、漏洞、文件、软件、环境变量信息。 删除白名单 若不需要白名单时，可以单击操作列的“删除”，删除白名单。 注意 删除白名单后不支持恢复，请谨慎操作。

概述 JWT全称为 JSON Web Token，是一种开放标准（RFC 7519），它定义了一种在通信各方之间以JSON对象形式安全传输信息的方式。JWT可以使用HMAC、RSA、ECDSA等算法签名；在应用中，JWT可以用于用户身份认证和访问鉴权。云原生网关作为微服务的访问入口，是实现认证鉴权的理想节点，当前云原生网关支持JWT认证方式，交互流程如下： 1. JWT签发阶段，云原生网关对这类接口访问不做认证，将请求透传到业务授权服务。 2. 业务授权服务认证成功后签发JWT并返回给客户端，在后续的请求中客户端会带上JWT。 3. 云原生网关收到正常的业务请求时提取JWT并校验签名信息，校验通过则放过请求，否则返回401状态码。 JWT策略配置 云原生网关支持全局的JWT策略配置，在 安全认证 > 认证鉴权 菜单下，选择创建鉴权，鉴权类型选择JWT，填写相关参数即可创建JWT认证策略，JWT配置参数说明如下： 配置 说明 鉴权名称 唯一标识一个JWT鉴权配置，只能包含大小写字母、数字和‘’，且不能以‘’开头或者结尾。 加密算法 支持HS256、HS512、RS256。 密钥 选择HS256/ HS512算法时填写，需要指定是否base64编码，并提供密钥。 RSA密钥 选择RS256算法时填写，需要提供RSA算法公钥和私钥。 JWT Token配置 网关从请求获取JWT Token的位置，支持指定header、query和Cookie的key。 过期时间 JWT Token过期时间，默认86400秒。

本文介绍批量配置HTTPS证书的方法。 功能介绍 边缘安全加速平台支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 适用场景 该功能适用于多域名需同时开启HTTPS服务的场景。 注意事项 批量HTTPS证书配置一次最多能关联100个域名，筛选范围仅包含域名状态为已启用且无在途工单的域名。 域名绑定证书后会开启域名HTTPS功能。 配置说明 1. 登录边缘安全加速平台控制台。 2. 单击左侧导航栏【证书管理】【证书列表】。 3. 在【证书列表】页面，单击左上角【添加自有证书】，并上传证书。 4. 证书上传完可开始【绑定域名】。 5. 选择需绑定该证书的域名，单击【提交绑定】即可。 参数名 说明 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 证书公钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。 证书私钥（PEM格式） 只支持PEM格式。如果为其他格式，请先转换。

本文介绍标签和标签组的含义，如何创建标签和标签组，如何删除标签和标签组。 功能介绍 边缘安全加速平台控制台上提供了一种域名分类管理工具——标签和标签组，使用标签可以对具有相同属性的域名进行分类管理，使用标签组可以对具有相同类别属性的标签进行分类管理。 配置说明 例如：您有很多业务系统（CRM、ERP、DMS等），每个业务系统又包含多个域名，就可以借助标签组和标签对这些域名进行分组管理。即创建一个名为Businesssystem的标签组，同时创建三个名为CRM、ERP、DMS的标签。 创建标签和标签组的操作步骤 1. 登录边缘安全加速控制台。 2. 单击左侧导航【域名】【标签管理】。 3. 在【标签管理】页面，单击右上角的【新增标签】。 4. 在弹窗界面，输入标签组名，如“Businesssystem”。输入“Businesssystem”完成后，需要单击下方显示的“Businesssystem”完成标签组名创建。 5. 在弹窗界面，输入标签名，多个标签名用;分隔，如“”。 6. 确认无误后，单击【确定】提交，完成名为“Businesssystem”的标签组和名为“CRM、ERP、DMS”的标签创建。 参数名 配置值 说明 标签组名 只能输入，英文字母和数字，不允许为空。 标签组，即一组具有相同类别属性标签的统称，在配置关系里面，它是一类标签的集合。 标签名 只能输入，英文字母和数字，多个值用;分隔，不允许为空。 标签，即一组具有相同属性的域名的统称，在配置关系里面，它是一类域名的集合。

说明 运维安全中心（云堡垒机）仅支持二类节点部署的云审计服务。 开启了云审计服务后，系统开始记录运维安全中心（云堡垒机）实例的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 在页面左上角单击，选择“管理与部署> 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： “事件来源”、“资源类型”和“筛选类型”。 在下拉框中选择查询条件，例如：依次选择“CBH”>“cbh”>“按事件名称”>“createInstance”，单击“查询”，查询所有创建CBH实例的操作。 事件名称：选择具体的事件名称，例如createInstance。 资源ID：选择或者手动输入需要查看审计日志的CBH实例ID。 资源名称：选择或手动输入需要查看审计日志的CBH实例名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 “起始时间”、“结束时间”：可通过选择时间段查询操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息。 7. 在需要查看的记录右侧，单击“查看事件”，查看该操作事件结构的详细信息。

本章节为您介绍用户管理的相关内容。 用户管理是指管理当前实例下所有用户信息，提供新增、编辑、Ukey绑定、重置等功能。 新增用户 1. 登录综合安全网关实例。 2. 选择“系统管理 > 用户管理”，进入“用户管理”页面。 3. 单击页面左上角的“添加用户”，在弹出的“添加用户”窗口中配置用户参数。 参数 是否可选 参数说明 登录名 必选 自定义用户的登录名，配置后不可修改。 别名 可选 设置用户的别名。 角色 必选 选择该登录用户在系统中的角色。 支持如下四种角色： 操作员（ctyunoperator） 日志审计员（ctyunauditor） 系统管理员（ctyunuseradmin） 超级管理员（ctyunadmin） 手机号码 可选 填写手机号。 邮箱地址 可选 填写新增用户的邮箱地址。 地址 可选 填写新增用户的地址。 输入密码 必选 设置用户的密码。 确认密码 必选 二次确认密码。 4. 配置完成后，单击“确定”完成用户添加。 后续操作 说明 系统初始的超级管理员用户不支持编辑和删除。 编辑用户：选择需要编辑的用户，单击“操作”列的“编辑”按钮，修改用户的相关信息后单击“确定”完成修改。 绑定UKey：选择需要绑定UKey的用户，单击“操作”列的“UKEY绑定”按钮，在弹出的对话框中填写UKEY序列号及PIN码完成绑定。 注意 首次使用UKEY需要在综合安全网关登录页面下载并安装UKEY插件。 解绑UKey：选择需要解绑UKey的用户，单击“操作”列的“UKEY解绑”按钮，在弹出的对话框中填写PIN码完成解绑。 重置用户密码：选择需要重置密码的用户，单击“操作”列的“设置口令”按钮，在弹出的对话框中单击“确定”完成重置。

本小节介绍安全专区云数据库审计客户端安装方法。 下载客户端 下载客户端，选择对应的客户端进行下载。 安装步骤 1.下载安装包，根据包中的Agent安装手册提示完成安装及连接配置。 2.填写信息，进行客户端与云数据库审计的连接。 3.在Windows上安装Agent客户端，默认安装即可。 4.执行Agent,选择接收、发送数据包的网卡，并填写相应的信息。 IP地址：云数据库审计管理口地址192.168.0.225； 抓包端口：本地数据库端口，如默认ORACLE端口1521，MSSQL默认1433，MYSQL默认3306，如需添加多个端口，请使用逗号进行分隔； 服务端口：默认云数据库审计设备服务端口，默认9999，请使用默认配置； 缓冲队列个数：缓冲队列大小，使用默认配置即可； 收发网卡：请根据实际情况进行选择，程序支持自动发现功能。 注意 Agent必须要保证始终运行，才能将本地数据库连接信息发送给审计设备，一旦关闭，将不会向审计系统发送本地审计数据，因此请将Agent设置为服务。 5.运行后，如出现如下内容，表示工作，并正常发送数据包。 6.连接成功后，可到【部署方式】，查看已连接到的客户端。 完成以上操作部署后，可在安全专区平台进行日常运营。

本章节向您主要介绍VPN与VPC peering配合使用快速实现云上不同区域VPC互通的前提条件。 前提条件 云主机绑定的安全组需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。 子网的网络ACL需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。

本章介绍通过公网使用弹性云主机连接云数据库GaussDB 实例。 准备工作 云数据库GaussDB 提供gsql工具帮助您在命令行下连接数据库，您需要提前创建一台弹性云主机用于安装gsql工具。具体请参见《弹性云主机用户指南》。 须知 操作系统需要选择Euler操作系统。gsql支持的操作系统版本如下： X86：EulerOS V2.0SP5。 绑定弹性公网IP 如果您想要通过公网访问数据库实例，那么您需要为数据库实例绑定弹性公网IP，具体操作请参考绑定和解绑弹性公网IP。 设置安全组规则 在访问数据库前，您需要将访问数据库的IP地址，或者IP段加入安全组入方向的访问规则，操作请参见设置安全组规则。 远程连接数据库 步骤 1 登录申请的弹性云主机。 步骤 2 在申请的弹性云主机上，上传客户端工具包并配置gsql的执行环境变量。 1. 以root用户登录客户端机器。 2. 创建“/tmp/tools”目录。 mkdir /tmp/tools 3. 获取GaussDB软件包并解压。 unzip GaussDBopengaussclienttools.zip 4. 根据申请的弹性云主机的操作系统架构进入不同目录，获取“GaussDBKernelxxxEULER64bitgsql.tar.gz”，并上传到申请的弹性云主机“/tmp/tools”路径下。 说明 软件包相对位置为安装时所放位置，根据实际情况填写。 5. 解压文件。 cd /tmp/tools tar zxvf GaussDBKernelV500R001C00EULER64bitgsql.tar.gz 6. 设置环境变量。 打开“~/.bashrc”文件。 vi ~/.bashrc 在其中输入如下内容后，单击“ESC”退出编辑模式，使用“:wq!”命令保存并退出。 export PATH/tmp/tools/bin:$PATH export LDLIBRARYPATH/tmp/tools/lib:$LDLIBRARYPATH 使环境变量配置生效。 source ~/.bashrc 步骤 2 执行如下指令，根据提示输入密码，连接数据库。 数据库创建成功后，会默认生成名称为postgres的数据库，此处以postgres库为例。 gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: postgres为需要连接的数据库名称，10.0.0.0为实例绑定的公网IP地址，root为登录数据库的用户名，8000为实例的端口号。

目前提供Kafka专享版实例的服务，Kafka专享版实例采用物理隔离的方式部署，租户独占Kafka实例。创建Kafka专享版实例之后，使用开源Kafka客户端向Kafka专享版实例生产消息和消费消息。 本章节介绍如何使用开源的Kafka客户端访问未开启SASL的Kafka专享实例方法。 多语言客户端使用请参考Kafka官网： 说明：Kafka服务器允许客户端单IP连接的个数为200个，如果超过了，会出现连接失败问题。 前提条件 已配置正确的安全组。 访问未开启SASL的Kafka专享实例时，支持VPC内访问。实例需要配置正确的安全组规则，具体安全组配置要求，请参考下表。 已获取连接Kafka专享版实例的地址。 使用VPC内访问，实例端口为9092，实例连接地址获取如下图。 获取VPC内访问Kafka专享实例的连接地址（实例未开启SASL） Kafka专享实例已创建Topic，否则请提前创建Topic。 已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本，确保Kafka实例版本与命令行工具版本相同。 已在Kafka命令行工具的使用环境中安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 以下操作命令以Linux系统为例进行说明： 解压Kafka命令行工具。 进入文件压缩包所在目录，然后执行以下命令解压文件。 tar zxf [kafkatar] 其中，[kafkatar]表示命令行工具的压缩包名称。 例如： tar zxf kafka2.111.1.0.tgz 进入Kafka命令行工具的“/bin”目录下。 注意，Windows系统下需要进入“/bin/windows”目录下。 执行如下命令进行生产消息。 ./kafkaconsoleproducer.sh brokerlist ${连接地址} topic ${Topic名称} 参数说明如下： 连接地址：从前提条件中获取的连接地址。 Topic名称：Kafka实例下创建的Topic名称。 以获取的Kafka实例连接地址为“10.3.196.45:9092,10.78.42.127:9092,10.4.49.103:9092”为例。执行完命令后输入内容，按“Enter”发送消息到Kafka实例，输入的每一行内容都将作为一条消息发送到Kafka实例。 [root@ecskafka bin]

本文主要介绍使用SASL证书连接。 本文主要介绍在命令行模式下使用SASL证书连接Kafka实例的操作，其中包含内网访问和公网访问两种连接场景。 在使用SASL证书的场景下，通过内网访问和通过公网访问，仅涉及连接IP和端口不一致，其他操作步骤是一样的，内网访问的连接端口为9093，公网访问的连接端口为9095。 文中仅介绍公网访问的连接示例，如果使用内网访问时，替换为相应的连接地址即可。 说明 Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过 前提条件 1.已配置正确的安全组，安全组规则请参考准备环境中的安全组规则 。 2.已获取连接Kafka实例的地址。 如果是使用内网通过同一个VPC访问，实例端口为9093，实例连接地址获取如下图。 图 使用内网通过同一个VPC访问Kafka实例的连接地址（实例已开启SASL） 如果是公网访问，实例端口为9095，实例连接地址获取如下图。 图 公网访问Kafka实例的连接地址（实例已开启SASL） 3.已获取开启的SASL认证机制。 在Kafka实例详情页的“连接信息”区域，查看“开启的SASL认证机制”。如果SCRAMSHA512和PLAIN都开启了，根据实际情况选择其中任意一种配置连接。如果页面未显示“开启的SASL认证机制”，默认使用PLAIN机制。 图 开启的SASL认证机制 4.如果Kafka实例未开启自动创建Topic功能，获取Topic名称。 在实例的Topic管理页签中获取（可选）步骤三：创建Topic中创建的Topic名称。 图 查看Topic名称 5.已购买ECS，并完成JDK安装、环境变量配置以及Kafka开源客户端下载，具体操作请参考准备环境。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。 开启了“安全认证”的微服务引擎专享版，支持Spring Cloud、Java Chassis微服务框架正常接入。 说明： 基于RBAC的系统管理功能与IAM权限管理无关，仅是CSE内部微服务的权限管理机制。 如果您通过ServiceStage控制台操作微服务引擎，必须同时具备IAM和RBAC的操作权限，且IAM权限优先级要高于RBAC权限。 如果您通过API接口或者微服务框架操作微服务引擎，则只需具备RBAC相关权限。 当前系统管理功能仅支持微服务权限管理，暂不支持配置管理、服务治理。 1. 您可以使用关联了admin角色权限的帐号创建新帐号，根据实际业务需求把合适的角色同帐号关联。使用该帐号的用户则具有对该微服务引擎的相应的访问和操作权限。 − 创建开启了“安全认证”的微服务引擎专享版时，系统自动创建1个关联了admin角色权限的root帐号。不能编辑、删除root帐号。 − 您可以使用创建该微服务引擎的root帐号或者该微服务引擎下关联了admin角色权限的帐号创建新帐号。创建和管理帐号，请参考帐号管理。 2. 您可以使用关联了admin角色权限的帐号创建自定义角色，根据业务需求把合适的微服务引擎访问和操作权限赋予该角色。 − 系统默认内置两种角色：管理员（admin）、开发者（developer）。不能编辑、删除内置角色。 − 您可以使用创建该微服务引擎的root帐号或者该微服务引擎下关联了admin角色权限的帐号创建自定义角色。创建和管理角色，请参考角色管理。 − 角色权限说明，请参见下表。 表 角色权限说明 角色 权限说明 admin 具有该微服务引擎下所有微服务、帐号和角色的所有操作权限。 developer 具有该微服务引擎下所有微服务的所有操作权限。 自定义角色 根据实际业务需求创建角色，给角色分配相应微服务的操作权限。

JWT 是一种轻量级的身份验证和鉴权机制，广泛应用于Web开发、API安全、单点登录等场景。服务网格支持配置JWT策略并应用到数据面实现请求身份认证，保护后端服务安全。 JWT策略配置说明 配置项 说明 安全策略名称 策略名称，如testjwt Issuer JWT的颁发者，如果请求带的JWT中的iss字段和此字段不一致，则该JWT会被拒绝 JWKS来源 用于验证JWT的密钥来源 jwks 用于验证JWT的密钥，当JWKS来源是jwks时填写 jwksUri 用于验证JWT的密钥URI，当JWKS来源是jwksUri时填写 Audience JWT颁发给的目标实体 JWTToken位置 获取JWT的位置，支持从请求头或者请求Query参数中获取 JWT透传 是否向后端透传JWT信息 将Payload通过Header透传 将JWT的Payload信息通过base64编码后添加到Header透传到后端 JWT策略绑定 策略生效粒度 当前支持命名空间、服务、工作负载、网关的生效粒度配置，说明如下 生效粒度 说明 命名空间 策略下发到所选择命名空间下所有数据面 服务 策略下发到所选服务关联的工作负载数据面 工作负载 策略下发到指定工作负载的数据面 网关 策略下发到网关 请求匹配规则 对于JWT策略、OIDC策略和自定义授权服务策略，支持基于请求特征匹配决定是否执行当前策略，支持的匹配项及说明如下 匹配项 说明 HTTP域名(Host) 匹配一组请求的域名 HTTP路径(Path) 匹配一组请求路径 HTTP方法(Method) 匹配一组请求的HTTP Method 端口(Port) 匹配一组请求的目标服务端口 说明 域名和路径匹配支持以下匹配模式 1. 精确匹配：如abc匹配abc字符串 2. 前缀匹配：abc匹配abc、abcd、abce等 3. 后缀匹配：abc匹配abc、xabc、zabc等 4. 存在匹配：匹配所有非空值 请求匹配支持黑白名单模式 1. 黑名单模式：选中请求必须执行认证策略 2. 白名单模式：选中请求跳过认证策略，其他请求需要执行策略

在部署天翼云TeleDB数据库前，您需要获取安装包。 获取PG二进制程序包(telepg10.2P2.tar.gz、telepg12.4P2.tar.gz)、gateway(ctgpggateway1.5.9.tar.gz)、backup(ctgpgbackup1.5.9.tar.gz)程序包。

本章节主要介绍如何通过外部镜像文件创建私有镜像。 操作场景 您可以通过外部镜像文件创建私有镜像并根据私有镜像创建物理机实例。 制作方式 提前准备外部镜像文件，提交工单，联系天翼云运维团队协助您快速完成私有镜像的制作。

本节介绍了一键式重置密码插件漏洞说明 漏洞说明 弹性云主机提供了重置密码功能，当弹性云主机的密码丢失或过期时，可使用该功能进行一键式重置密码。 2022年1月14日以前的旧版本一键式重置密码插件“CloudResetPwdUpdateAgent ”使用了Apache Log4j2组件，会被安全工具扫描出漏洞。 表 漏洞信息 漏洞类型 CVEID 漏洞级别 披露/发现时间 修复时间 Apache Log4j2 远程代码执行 CVE202144228 严重 20211209 2022114 Apache Log4j2 远程代码执行 CVE202145046 严重 20211215 2022114 Apache Log4j2 拒绝服务 CVE202145105 中 20211218 2022114 Apache Log4j2 远程代码执行 CVE202144832 中 20211229 2022114 Apache Log4j2 信息泄露 CVE20209488 低 20200427 2022114 漏洞影响 一键式重置密码插件是弹性云主机内部运行的客户端进程，不对外提供任何网络服务。经分析验证，一键式重置密码插件无可利用条件，无安全风险。

conditions表 参数 参数类型 必选 说明 匹配方式 示例 bucket String 否 存储桶名称。 bucket {"bucket": "examplebucket"} key String 否 上传对象的名称。 eq、startswith ["eq", "$key", "ExampleObject"] xamzalgorithm String 是 指定签名的版本和算法，固定值为AWS4HMACSHA256。 xamzalgorithm {"xamzalgorithm": "AWS4HMACSHA256"} xamzcredential String 是 指明派生密钥的参数集。格式： / / /s3/aws4request。 xamzcredential {"xamzcredential": "afwnu54/20241216/useast1/s3/aws4request"} xamzdate String 是 请求的时间（遵循ISO 8601日期和时间标准）。格式：20241216T020211Z。 xamzdate {"xamzdate": "20241216T020211Z"} contentlengthrange String 否 上传对象时的最小以及最大允许的大小，单位是字节。 contentlengthrange ["contentlengthrange", 1, 10] successactionstatus String 否 上传成功后的返回状态码。 eq、startswith ["eq", "$successactionstatus", "201"] contenttype String 否 限制对象的文件类型。 eq、startswith ["eq", "$contenttype", "image/jpg"] xamzsecuritytoken String 否 安全令牌。仅在通过STS构造POST签名时需要该参数。可以通过调用STS服务的AssumeRole接口获取安全令牌。 xamzsecuritytoken {"xamzsecuritytoken": "ek+NvIdz"} cachecontrol String 否 缓存控制。 eq、startswith ["eq", "$cachecontrol", "nocache"]

本节介绍云等保专区产品的漏洞扫描。 漏洞扫描系统功能主要包含网站漏洞扫描、数据库漏洞扫描、基线核查、主机漏洞扫描、安全事件扫描五大扫描功能，以及统计报告控制体系、用户权限管理体系等辅助功能。 功能 描述 首页 资产总量分布 统计资产总数及不同类型资产数目及占比。 统计主机风险资产、网站风险资产占比（风险等级非信息类资产）。 首页 弱点总量分布 统计当前发现的所有弱点数及根据不同弱点类型统计弱点数目。 首页 资产风险分布 从不同风险等级维度统计风险资产数量。 首页 风险主机TOP5 根据风险主机弱点数，列出风险数最多的5个主机资产。 首页 风险网站TOP5 根据风险网站的弱点数，列出风险数最多的5个网站资产。 首页 主机资风险/服务分布 统计主机资产出现次数最多的10个弱点、漏洞风险、服务类型、端口。 首页 网站资产风险/服务分布 统计网站资产出现次数最多的10个弱点、漏洞风险、服务类型。 首页 弱点发现趋势 按时间展示弱点的趋势状态，弱点的数据包括所有扫描类型的数据（不包含信息类漏洞）。 资产管理 资产列表 支持主机资产、网站资产两种类型。 支持新增、导入、导出、删除、编辑资产。 支持按照组织视角展示资产。 资产管理 授权管理 支持主机授权信息管理。 支数据库授信息管理。 任务管理 创建任务 支持创建通用任务、专项任务。 通用任务支持主机扫描、网站扫描、数据库扫描、基线配置核查、事件内容。 专项任务支持弱口令扫描、存活主机探测、大数据漏洞扫描、物联网漏洞扫描、信创漏洞扫描。 任务管理 任务列表 支持查看已下发的所有扫描任务，可对任务进行集中管理，包括查询任务、新增任务、执行任务等。 模板中心 漏洞模板 支持主机策略、网站策略、数据库策略管理。 支持新增、编辑、另存为、删除、查看策略。 支持使用自定义策略下发扫描任务。 模板中心 基线模板 支持工信部、公安部行业基线核查模板。 支持对应用程序、操作系统、网络设备、虚拟化设备、数据库五类资产的安全配置进行核查。 支持查看基线模板详情。 模板中心 扫描参数 支持设置主机扫描、网站扫描高级参数模板。 可根据需要设置与恢复默认扫描参数配置。 模板中心 字典模板 主机扫描和弱口令发现任务中引用的各协议弱口令字典。可自定义弱口令字典。 模板中心 报告模板 根据不同任务类型，设置离线报告导出的内容。 支持设置主机扫描报告、网站扫描报告、数据库扫描报告、基线核查报告、事件内容报告。 支持系统默认模板及自定义报告内容模板。 模板中心 端口列表 系统默认提供的端口列表模板。 报告管理 报告管理 支持对已扫描完成的任务导出离线报告。 支持对已导出报告进行下载。 系统管理 用户管理 支持角色管理及用户管理。 支持新增角色、编辑角色、删除角色。 支持新增用户，并指定用户角色。 系统管理 系统设置 提供系统服务、升级、数据备份等管理功能。 支持在线升级和离线升级。 支持系统SSH服务开启、系统重启、系统关闭、网卡重启操作。 支持设置系统时间。 支持根据需要备份系统数据。 系统管理 配置管理 提供网络配置、安全配置、告警配置、版权配置功能。 支持网卡设置、路由配置、DNS配置、网关配置。 支持密码安全复杂度、登录安全设置、超时设置、磁盘告警设置、多因子认证设置。 支持验证码登录、认证证书登录、用户名密码登录。 系统管理 引擎管理 支持对系统各个引擎状态进行查看与监控。 系统管理 常用工具 支持Ping、Traceroute、Dig、Telnet、SSH、CURL、Nmap命令工具。 系统管理 许可管理 支持查看许可授权内容及更新许可。 了解更多漏洞扫描相关操作内容，请下载阅读《云等保专区漏洞扫描 v1.0 用户指南》。

本页介绍天翼云TeleDB数据库元数据pgpublicationshard的内容。 存储发布订阅中，shardmap发布信息。 名称 类型 定义 prpubid Oid 发布（publication）的 OID prshardid int32 分片（shard）的 ID

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。 本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对弹性伸缩资源的访问。 操作步骤 1. 创建IAM子用户 访问IAM控制台，创建子用户。具体操作请参见创建用户。 2. 创建用户组 在IAM控制台创建用户组，并将上一步种创建好的用户移入用户组中，具体操作请参考创建用户组。 3. 为用户组授权 天翼云提供了弹性伸缩系统权限策略，请参考弹性伸缩策略表。您可以选择天翼云提供的系统策略为用户组授权，详细操作请参考用户组授权。

本文将帮助您快速了解路由表如何管理子网。 通过将路由表关联到某些子网，可以将子网的流量按照路由规则进行匹配转发。子网必须关联路由表后，才能进行正常的流量转发。本文将帮助您快速了解路由表如何关联子网。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云、子网、路由表和路由规则的创建。 操作步骤 1. 进入“网络控制台”页面，点击“路由表”选项。 2. 找到对应的路由表，点击路由表名称，进入路由表详情页。 3. 在路由表详情页，找到“关联子网”页签，点击“关联子网”，进入关联子网页面。 4. 在关联子网页面，选择可关联的子网，点击“确定”按钮即可。 5. 您也可以通过更换路由表，将子网从某个路由表换绑至其他路由表。

本文为您介绍删除告警联系人的操作场景、前提条件和操作步骤。 操作场景 当该告警联系人不需要再使用时。您可以在控制台进行删除操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警联系人的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警联系人/组”，进入告警联系人管理页面。 5. 在“告警联系人/组”界面，单击联系人所在行“操作”列的“删除”，在弹出的“删除联系人”界面，单击“确定”，可以删除告警联系人。 6. 或在“告警联系人/组”界面，可勾选多个联系人，单击“删除”，在弹出的“删除联系人”界面，单击“确定”，可以删除多个联系人。

本文将为您介绍公共传输通道的网络使用费。 客户站点 客户站点IPRAN单路由接入方式资费，如下表所示。 带宽速率（bps） 标准价格（元/月） 2M 4030 4M 5960 6M 8300 8M 10650 10M 12630 20M 21810 30M 30330 40M 38140 50M 45480 60M 52830 70M 60170 80M 67510 90M 75850 100M 82190 200M 138170 300M 166600 400M 195020 500M 223440 600M 251860 700M 278280 800M 304130 900M 329980 1G 360640 2G 613650 3G 863100 4G 1109000 5G 1354900 6G 1600800 7G 1846700 8G 2092600 9G 2331000 10G 2559400 天翼云站点 天翼云资源池站点单路由接入方式资费，如下表所示。 带宽速率（bps） 标准价格（元/月） 2M 10 4M 20 6M 40 8M 50 10M 60 20M 120 30M 180 40M 240 50M 300 60M 360 70M 410 80M 470 90M 530 100M 590 200M 1180 300M 1780 400M 2370 500M 2960 600M 3550 700M 4140 800M 4730 900M 5330 1G 5920 2G 11830 3G 17750 4G 23670 5G 29580 6G 35500 7G 41420 8G 47330 9G 53250 10G 59170

本文帮助您了解在VPC内网中使用和公网相同的域名访问对象存储相关的操作步骤。 操作场景 您可以通过在天翼云内网DNS服务上配置自定义解析规则，来实现云主机内网访问对象存储时使用和公网相同的域名。从而满足部分应用系统资源访问地址统一的需求。 操作须知 使用本最佳实践方案前，请先确认您所选择的服务资源池已上线内网DNS服务。你可以登录天翼云官网控制台>资源池服务页面，查看对应资源池是否有内网DNS服务选项。如下图以内蒙6资源池为例： 前提条件 所属地域已开通对象存储服务。 所属地域已上线内网DNS服务。 云内主机和对象存储服务位于同一地域或可用区。 已完成“云主机通过内网访问对象存储”最佳实践相关配置和连通性验证，同资源池的云主机可以正常访问对象存储。 操作步骤 第一步：记录对象存储公网访问域名和内网访问地址 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击，选择所需的资源池节点，以下操作以选择“内蒙6”为例。 3. 在控制台服务页面，选择“对象存储”产品。 4. 在管理控制台点任意一个桶名，进入“桶详情页”。 5. 进入页面后，在“域名信息”中，记录当前资源池的终端节点（Endpoint）、Bucket外网访问、同资源池内网访问（IPV4/IPV6）的地址。