section49bbf3dd441b752d)。 3880 39576 包年订购折扣 针对一次性包年付费服务，包年优惠价格为1年8.5折，2年7折，3、4、5年5折。 优惠折扣 Web应用防火墙v2.0 SaaS版订购享受8折优惠。 说明 包年订购折扣与优惠折扣不能同享，取低者计算。 Web应用防火墙 v2.0 SaaS版 标准版域名扩展包 1个域名扩展包支持10个域名，其中支持添加1个主域名（备案的域名）。 600 6120 包年订购折扣 针对一次性包年付费服务，包年优惠价格为1年8.5折，2年7折，3、4、5年5折。 优惠折扣 Web应用防火墙v2.0 SaaS版订购享受8折优惠。 说明 包年订购折扣与优惠折扣不能同享，取低者计算。 Web应用防火墙 v2.0 SaaS版 标准版业务扩展包 一个业务扩展包包含1000QPS/个，最多支持30个业务扩展包，每增加一个业务扩展包，可增加50Mbps带宽弹性上限，100Mbps带宽保护上限。 1000 10200 包年订购折扣 针对一次性包年付费服务，包年优惠价格为1年8.5折，2年7折，3、4、5年5折。 优惠折扣 Web应用防火墙v2.0 SaaS版订购享受8折优惠。 说明 包年订购折扣与优惠折扣不能同享，取低者计算。 Web应用防火墙 v2.0 SaaS版 标准版规则扩展包 一个规则扩展包包含50条防护规则/域名，当前仅适用IP黑白名单防护模块。 70 714 包年订购折扣 针对一次性包年付费服务，包年优惠价格为1年8.5折，2年7折，3、4、5年5折。 优惠折扣 Web应用防火墙v2.0 SaaS版订购享受8折优惠。 说明 包年订购折扣与优惠折扣不能同享，取低者计算。 Web应用防火墙 v2.0独享版 单机版（1节点/实例） 支持01Gbps的业务防护，默认业务请求峰值3000QPS（200Mbs)，默认防护域名（不区分主域名、子域名）/IP（公网IP、私网IP）个数100个/实例，防护端口数最大支持65535个（常用端口除外），更多信息请参见[产品规格](

本小节介绍云堡垒机续订的操作方法。 控制台续费 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后15天内，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，若未及时续费，则进入“保留期”，不能登录云堡垒机系统。“保留期”为15天，到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 堡垒机续费不会自动续费云主机，请您手动续订对应云主机。 前提条件 已获取控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待续费的实例，单击“更多 > 续费”，进入“续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“云堡垒机实例”列表查看授权后最新到期时间。 管理中心续订 登录天翼云官网，进入管理中心，选择续订管理，点击“手动续订”或者“开通自动续订”按钮，即可完成实例的续订。 退订

本文主要介绍弹性伸缩服务的计费模式。 目前天翼云免费提供，但弹性伸缩组内的弹性云主机、云硬盘、弹性IP、带宽等云产品需按照相关云产品订购页面公示信息支付相应服务费用。

本章节主要介绍翼MapReduce组件Kafka作业的常见问题。 该报错是由于kafka消费者组缺少ACL授权导致的。 可以通过如下命令赋予消费者组XXX读取权限： ./kafkaacls.sh authorizerproperties zookeeper.connectlocalhost:2181/kafka add allowprincipal User:UserName operation Read group XXX

本文向您介绍如何使用边缘安全加速平台安全与加速服务提供的IPv6支持度检测功能。 功能介绍 支持IPv6支持度检测功能，能够针对IPv6域名解析、网站首页IPv6访问、网站二级/三级链接IPv6支持度进行检测，并输出检测结果以及改进建议。 注意：仅针对已接入域名提供IPv6支持度检测服务。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 检测对象 检测网址：可以从域名列表选择需要IPv6检测的域名，也可以自定义输入已接入域名下的网址，支持输入域名或URL格式。 检测项 IPv6域名解析：支持检测域名是否支持IPv6解析，若不支持，则建议前往域名列表开启IPv6解析功能。 网站首页IPv6访问：支持检测网站首页是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。 网站二级链接IPv6支持度:支持检测网站二级链接是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。 网站三级链接IPv6支持度:支持检测网站三级链接是否支持IPv6访问，若不支持，则建议开通站点外链替换功能，实现IPv6 访问。

本节介绍如何通过云等保专区进入云安全中心控制台。 云安全中心是专为云环境设计的综合性SaaS化安全管理平台，它具备实时监测、防御和分析安全威胁的能力，通过提供一体化的安全运营解决方案，助力用户实现云安全的全面管理和控制，降低用户的安全风险。 在云等保专区控制台购买云安全中心资源后，即可进入云安全中心控制台，接入安全产品日志，云安全中心能通过接入的日志内容进行威胁建模，完成各类安全告警的生成，辅助您进行安全处置，实现安全运营。 前提条件 已购买云安全中心资源，且资源状态为“运行中”。 进入云安全中心控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“云安全中心”，跳转到云安全中心控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 使用云安全中心 请参见云安全中心。

为保障您的天翼云弹性云主机系统时间精准统一,避免因时钟偏差引发业务异常、日志时序错乱、合规审计不达标等问题,推荐您配置天翼云内网 NTP 时间同步服务。本文为您介绍内网 NTP 时间同步的核心作用,以及红帽系、Debian 系 Linux 操作系统的标准化配置方法。 一、内网 NTP 时间同步核心作用 保障业务稳定运行：确保分布式集群、数据库主从同步、交易订单等业务的时序一致性，避免因时钟偏差引发数据错乱、服务异常。 提升运维排障效率：统一全量云主机系统时间，保障日志时序准确，便于故障溯源与问题定位。 满足合规审计要求：符合网络安全等级保护等监管规范对系统时间统一、日志可追溯的硬性要求。 低延迟高可靠：使用天翼云内网 NTP 专用地址，无需占用公网带宽，同步链路稳定、精度更高。 二、前置说明 适用范围：天翼云弹性云主机，涵盖红帽系（RHEL 7/8/9、CentOS 7/Stream、Rocky Linux、AlmaLinux 等）、Debian 系（Debian 10/11/12、Ubuntu 18.04+）Linux 操作系统。 天翼云内网 NTP 服务器地址：169.254.169.254。 三、配置步骤 红帽系操作系统配置（chronyd） 红帽系操作系统官方推荐使用 chronyd 服务实现时间同步，RHEL 8/9 系列默认预装并启用，配置步骤如下： 1. 备份原始配置文件（便于异常回滚） plaintext cp /etc/chrony.conf /etc/chrony.conf.bak 2. 写入天翼云内网 NTP 配置 清理原有NTP源配置 plaintext sed i E '/^(poolserver)/d' /etc/chrony.conf 新增内网NTP同步配置 plaintext cat >> /etc/chrony.conf << EOF server 169.254.169.254 iburst prefer EOF 3. 重启服务并配置开机自启 plaintext systemctl restart chronyd systemctl enable now chronyd

网络模式 打通方式 公网 该方式要求用户集群具备主动访问公网的能力。 若用户集群为三方云集群，可参考三方云VPC下启用NAT主动访问公网配置指引进行操作；若用户集群为本地集群，则需按照本地实际网络情况进行配置，或联系您的网络管理员进行协助。 专线内网 天翼云提供了专业的云产品能力，来支持用户将云下IDC网络或三方云网络与天翼云上VPC网络内网打通。建议可选产品有： 云专线CDA：提供物理专线连接，具有高带宽、低延迟和高可靠性，适合需要高性能连接的场景。 VPN连接：如果对成本敏感且对带宽要求不高，可以选择VPN连接，通过IPsec协议建立加密隧道，实现安全的连接。 具体产品配置指引，请登录天翼云官网对应产品页查看。

网络模式 打通方式 公网 该方式要求用户集群具备主动访问公网的能力。 若用户集群为三方云集群，可参考三方云VPC下启用NAT主动访问公网配置指引进行操作；若用户集群为本地集群，则需按照本地实际网络情况进行配置，或联系您的网络管理员进行协助； 专线内网 天翼云提供了专业的云产品能力，来支持用户将云下IDC网络或三方云网络与天翼云上VPC网络内网打通。建议可选产品有： 云专线CDA：提供物理专线连接，具有高带宽、低延迟和高可靠性，适合需要高性能连接的场景。 VPN连接：如果对成本敏感且对带宽要求不高，可以选择VPN连接，通过IPsec协议建立加密隧道，实现安全的连接。 具体产品配置指引，请登录天翼云官网对应产品页查看。

本文帮助您快速熟悉虚开启/关闭虚拟私有云IPv6操作。 操作场景 开关/关闭虚拟私有云IPv6的操作仅在可用区资源池支持，不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 如果虚拟私有云在创建时未开启IPv6，可以通过本文操作为虚拟私有云开启IPv6。 如果虚拟私有云已经开启IPv6，可以通过本文操作为虚拟私有云关闭IPv6。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在“虚拟私有云列表”界面，单击需要配置的虚拟私有云名称，进入详情页。 5. 在详情中点击“开启IPv6”状态开关，即可修改虚拟私有云开启IPv6状态。开启时，天翼云将为虚拟私有云分配IPv6地址段；关闭时，天翼云将删除为虚拟私有云分配IPv6地址段。 注意 如果虚拟私有云中已经创建子网，关闭虚拟私有云开启IPv6时，需要先将所有子网的开启IPv6关闭。可用通过

本章节主要介绍数据治理中心的配置MongoDB连接功能。 MongoDB连接适用于第三方云MongoDB服务，以及用户在本地数据中心或ECS上自建的MongoDB，常用于从MongoDB同步数据到大数据平台。 连接本地MongoDB数据库时，相关参数详见下表：MongoDB连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mongodblink 服务器列表 MongoDB服务器地址列表，输入格式为“数据库服务器域名或IP地址：端口”。多个服务器列表间以“;”分隔。 192.168.0.1:7300;192.168.0.2:7301 数据库名称 要连接的MongoDB数据库名称。 DBmongodb 用户名 连接MongoDB的用户名。 cdm 密码 连接MongoDB的密码。

注意 本清单适用于天翼云AOne APP（Android 及 iOS版本）等全部终端客户端（以下单称或统称“平台”）向您提供的各项产品和服务。若某个产品与/或服务设置了单独清单，则该单独清单优先适用。 业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全>Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“全局白名单（原误报屏蔽）”配置框中，用户可根据自己的需要更改“状态”，单击“自定义全局白名单规则”，进入规则配置页面。 步骤7 在“全局白名单”规则配置页面左上角，单击“添加规则”。 步骤8 添加全局白名单规则，如下图所示。 参数说明： 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：选择策略绑定的防护域名或手动输入泛域名对应的单域名。“防护方式”选择“指定域名”时，需要配置此参数。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。 子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则ID。 所有内置规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”和“路径”可以为空。 说明 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部

接口描述：调用本接口查询域名关联的标签 请求方式：post 请求路径：/tag/querydomainbindtag 使用说明：单个用户一分钟限制调用10000次，并发不超过100 请求参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 productcode 是 string 产品类型，支持："001"：静态加速，"003"：下载加速，"004"：视频点播加速，"008"：CDN加速，"014":下载加速闲时 004 domain 是 string 域名，仅支持单个域名查询 a.ctyun.cn 返回参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 code 是 int 状态码 100000 message 是 string 描述信息 success domain 否 string 域名 a.ctyun.cn tagdata 否 list 域名对应的标签列表 tagdatasingle 表tagdatasingle： 参数 是否必填 参数类型 说明 示例 下级对象 taggroup 否 string 标签组 taggroupa tag 否 string 标签名 tag1 示例： 请求路径： 示例1： 请求参数： json { "domain": "test.ctyun.cn", "productcode": "008" } 返回结果： json { "code": 100000, "message": "success", "domain": "test.ctyun.cn", "tagdata": [ { "taggroup": "taggroupa", "tag": "tag1" } ] } 错误码请参考：参数code和message含义

本文为您介绍密钥管理服务与其他云服务的关系,以及对应密钥的区分。 KMS与其他云服务的加密关系 KMS集成天翼云产品提供服务端加密能力，实现云上原生数据提供加密保护，有效提升默认安全能力。在创建云产品资源时开启加密功能，您可以自定义加密密钥，支持选择默认密钥和您在KMS中自行创建的用户主密钥。 服务端加密优势 提升云产品内生安全性 加密过程中使用的密钥由用户自定义选择，集中托管在KMS服务中，KMS已通过国家密码管理局审查，获得商用密码产品认证，合规性得到有效保障。 降低研发成本 使用云产品服务端加密能力，您无需自行构建和维护密钥管理基础设施，无需考虑自研数据加密能力所涉及的密钥管理安全及合理性、加密算法的研发等一系列复杂的工程，大幅度降低开发成本。 加密过程透明无感知 服务端加密为您提供内嵌至云服务中的加密方案，您无需关注底层数据加密的细节，只需一键开启加密功能，即可实现数据加密。 支持服务端加密的云产品 云硬盘 对象存储 弹性文件 关系型数据库MySQL版 关系型数据库PostgreSQL版 文档数据库服务 分布式消息服务Kafka 分布式消息服务RabbitMQ 分布式消息服务RocketMQ 功能详情详见云产品服务端加密。 KMS与云审计服务的关系 已对接天翼云云审计服务，可通过云审计服务查看资源操作的记录，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至日志审计等产品实现永久保存。 KMS与云监控服务的关系 已对接天翼云云监控服务，可通过云监控服务查看实例节点的相关监控指标，并可以设置相关指标的告警规则及通知策略。

此小节介绍云堡垒机手机令牌管理。 若您给用户开通了令牌验证权限，那么该用户可以绑定天翼云令牌验证，使用令牌登录，提高账户的安全性。 前提条件 已给用户开通“令牌认证”权限。 手机令牌绑定 1.进入云堡垒机（原生版）实例登录页。 2.选择“令牌验证”。 3.单击登录下方的“绑定令牌”按钮，输入需要绑定令牌的用户名及密码，开始绑定令牌。 4.下载天翼云APP，若已下载则单击“下一步”。 5.在天翼云APP下方选择“我的 > 虚拟MFA”进入“虚拟MFA”界面，单击右上角的按钮，选择“扫码添加”，扫描页面上的二维码并输入MFA码。 6.完成绑定后，即可使用令牌登录。

此小节介绍云堡垒机手机令牌管理。 若您给用户开通了令牌验证权限，那么该用户可以绑定天翼云令牌验证，使用令牌登录，提高账户的安全性。 前提条件 已给堡垒机开通“令牌认证”方式，即用户的认证方式 支持“令牌认证”，具体配置方式请参见认证设置。 手机令牌绑定 1. 进入云堡垒机（原生版）实例登录页。 2. 选择“本地认证”或“AD认证”方式，输入账号密码登录。 3. 在弹出的双因子认证对话框中选择“令牌认证”，单击登录下方的“绑定令牌”按钮，开始绑定令牌。 4. 下载天翼云APP，若已下载则单击“下一步”。 5. 在天翼云APP下方选择“我的 > 虚拟MFA”进入“虚拟MFA”界面，单击右上角的按钮，选择“扫码添加”，扫描页面上的二维码并输入MFA码。 6. 完成绑定后，即可使用令牌登录。

参数 参数说明 取值样例 域名 设置防篡改的域名。 www.example.com 路径 设置防篡改的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/” /admin 规则描述 可选参数，设置该规则的备注信息。

创建CSV云主机 您可以通过控制台或OpenAPI创建具备CSV特性的安全增强计算型云主机hc4t和安全增强内存型云主机hm4t。 通过控制台创建CSV云主机 在控制台创建机密计算云主机的步骤与创建普通云主机一样，但需要注意选择特定规格，即支持海光CSV特性的云主机规格。请参见：++创建弹性云主机弹性云主机快速入门 天翼云++ 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的，选择区域，此处我们选择华北2。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面，按照以下配置创建云主机。 配置项 说明 实例规格 仅hc4t、hm4t规格支持CSV功能。 镜像 选择CTyunOS V4.0 25.07 64 位(40GB)镜像。 5. 根据界面提示，完成海光CSV云主机创建。 通过OpenAPI创建CSV云主机 您可以调用++创建一台按量付费或包年包月的云主机++创建CSV云主机，需要注意的参数如下表： 参数 说明 示例 flavorName 指定支持CSV功能的实例规格，当前仅 hc4t、hm4t规格支持。 hc4t.large.2 imageID 指定支持CSV的镜像ID，当前仅CTyunOS V4.0 25.07 64 位(40GB)镜像支持。 4636d1df82c24db89fff6a20e0af1c5f

创建CSV云主机 您可以通过控制台或OpenAPI创建具备CSV特性的安全增强计算型云主机hc4t和安全增强内存型云主机hm4t。 通过控制台创建CSV云主机 在控制台创建机密计算云主机的步骤与创建普通云主机一样，但需要注意选择特定规格，即支持海光CSV特性的云主机规格。请参见：++创建弹性云主机弹性云主机快速入门 天翼云++ 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的，选择区域，此处我们选择华北2。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面，按照以下配置创建云主机。 配置项 说明 实例规格 仅hc4t、hm4t规格支持CSV功能。 镜像 选择CTyunOS V4.0 25.07 64 位(40GB)镜像。 5. 根据界面提示，完成海光CSV云主机创建。 通过OpenAPI创建CSV云主机 您可以调用++创建一台按量付费或包年包月的云主机++创建CSV云主机，需要注意的参数如下表： 参数 说明 示例 flavorName 指定支持CSV功能的实例规格，当前仅 hc4t、hm4t规格支持。 hc4t.large.2 imageID 指定支持CSV的镜像ID，当前仅CTyunOS V4.0 25.07 64 位(40GB)镜像支持。 4636d1df82c24db89fff6a20e0af1c5f

步骤 说明 步骤一： 域名添加到WAF后，WAF会自动为该域名绑定一个防护策略，该策略中包含了WAF默认的防护规则，如果需要重新定制防护策略，可新增防护策略。 步骤二：为策略配置防护规则 防护策略是防护规则的合集，WAF支持的防护规则见下表。 步骤三： 一条防护策略可以适用于多个防护域名，如果多个域名适用这条策略，可为策略添加适用的防护域名。

本文主要介绍算力网关侧的裸金属通过天翼云4.0侧的EIP访问公网。 操作步骤 一、 前提 通过公共算力服务提前完成跨域互联的创建。 二、 云专线产品配置全0路由 1. 在天翼云4.0侧控制台搜索云专线产品，访问专线网关，选择并访问已建立的专线。 2. 添加全0路由 说明： 专线网关在添加云侧路由配置时支持基于”其他”类型的自定义地址段添加，可以配置0.0.0.0/0，用于把算力网关侧裸金属访问Internet的流量引入VPC。在VPC页签下，点击VPC后的其他目的网段配置，填写目的网段IPv4：0.0.0.0/0。 三、 创建EIP 在天翼云4.0侧，创建弹性IP。 四、 创建NAT网关 1. 在天翼云4.0侧，创建公网NAT网关 2. 配置SNAT规则 说明： 源网段类型：选择“手动输入自定义网段”。 源网段：输入算力网关侧需访问公网的裸金属IP地址。 弹性IP：选择第3步创建的EIP。 3. 配置DNAT规则 说明： 弹性IP：选择第3步创建的EIP。 类型：选择手动输入自定义地址。 端口设置：选择具体端口。 内网地址：输入算力网关侧裸金属IP地址。 公网端口：输入NAT网关对外提供服务的端口。 内网端口：输入算力网关侧裸金属IP的所在端口。 支持的协议：根据客户需求选取。

接口功能介绍 申请证书 接口约束 1.已有购买证书管理服务证书资源 2.该证书为待申请、审核失败 URI POST /v1/certificate/apply 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 String 证书表id 9af85bad1d6f413bbb3757a71efd073f domainType 是 String 域名类型，取值范围：单域名SINGLE、通配符WILDCARD、多域名MULTI MULTI verifyMethod 是 String 域名验证方式，取值范围：手工验证MANUAL、文件验证FILE MANUAL contactId 是 String 联系人id a2701f8ea14ff59cd36262dd544f6b67 encryptionAlgorithm 是 String 加密算法，取值范围：RSA、ECC、SM2 RSA csrGenerateMethod 是 String CSR生成方式，取值范围：系统生成AUTO、自动生成MANUAL AUTO domainName 是 String 域名 test.cn companyId 否 String 公司id a2701f8ea14ff59cd36262dd544f6b68 csrId 否 String CSR id a2701f8ea14ff59cd36262dd544f6b69 country 是 String 国家 CN province 是 String 省 北京市 city 是 String 城市 北京市

参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据

本节介绍已添加的域名是否可以删除。 可以删除，但域名删除后，该资产的历史扫描数据将被删除，不可恢复。

接口描述：调用本接口进行域名归属权校验 请求方式：get 请求路径：/domain/verifydomainownership 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 Query参数说明： 参数名 类型 是否必填 名称 说明 domain string 是 域名 域名 verifytype int 否 解析方法 1（DNS解析验证） ；2（文件验证） 。默认1 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 verifyresult boolean 是 域名归属权校验结果，true（成功），false(失败) 示例： 请求路径： 请求： 返回结果： json { "code": 100000, "message": "success", "verifyresult": false } 复制 错误码请参考：API返回参数code和message含义

本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

本文介绍ECI实例如何挂载云硬盘数据卷。 天翼云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 使用限制 待挂载云硬盘必须是按量付费类型。 待挂载云硬盘必须是非共享存储，一块云硬盘只能挂载到一个ECI实例上。 挂载云硬盘必须与ECI实例处于同一可用区，不支持跨可用区挂载。 待挂载云硬盘不能是已创建分区的云硬盘。 配置说明 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 在容器组配置中打开“高级设置”，选择并添加云硬盘。 4. 在容器配置中打开“高级设置”，添加云硬盘存储卷并指定容器内的挂载路径，以及是否只读挂载等，最后点击“+添加存储”为容器配置存储卷。

更换证书会导致网络或者弹性负载均衡连接中断吗？ 不会。在更换证书时，已经建立的连接将继续使用旧证书，不会对已经建立的连接重新认证或断开，新建立的连接将使用新证书进行验证，保障更换证书动作时的服务连续。当前部分资源池支持更换证书，具体以控制台页面为准，控制台操作请参考 绑定/更换证书。 弹性负载均衡是否支持泛域名证书？ 支持。泛域名证书是一种特殊的数字证书，它可以为一个域名以及该域名下的所有二级或三级子域名提供HTTPS加密保护。这种证书也被称为通配符证书，因为它使用通配符符号()来匹配多个子域名。用户可以在控制台创建证书时使用泛域名证书。详情请参考 创建服务器证书。

本节提供GPU云主机的服务协议。 本产品服务协议与弹性云主机一致，请参见天翼云弹性云主机服务协议。[](

接口描述：检测域名CNAME配置状态 请求方式：post 请求路径：/auxiliarytools/querycnamestatus 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明： 参数 类型 是否必传 名称 描述 ::::: domain string 是 域名 加速域名，多个以英文逗号,分隔。 返回参数说明： 参数 类型 是否必传 名称及描述 :::: code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 cnamelist list 否 查询域名cname配置状态结果列表 cnamelist[].domain string 否 加速域名 cnamelist[].cname string 否 CNAME值，加速域名对应的cname，没有配置cname，返回空 cnamelist[].status string 否 CNAME配置状态，1(成功)，0(失败) 示例： 请求路径： 示例1： 请求参数： json { "domain": "a.ctyun.cn,b.ctyun.cn" } 返回结果： json { "code": 100000, "message": "success", "cnamelist": [ { "domain": "a.ctyun.cn", "cname": "a.ctyun.cn.ctdns.cn", "status": "1" }, { "domain": "b.ctyun.cn", "cname": "", "status": "0" } ] } 错误码请参考：参数code和message含义

本章节介绍边缘重保服务支持的必要前提和服务范围。 服务支持前提 本服务主要面向各类推广活动、重要会议、赛事、晚会、网络攻防演练等关键业务场景提供重点保障支持，如有疑问请++点击此处++咨询。 该产品所包含服务仅面向已订购边缘重保产品的天翼云客户。 服务需要基于天翼云边缘云产品能力进行开展，订购前请务必确认当前天翼云账号下具备可用的边缘云产品，产品范围包含：CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云。 客户需提供服务支持工作开展所需的场地、设备、必要的环境及远程访问通道、权限、相关的日志、错误信息等，并提供必要的协助与配合。 客户作为服务诉求主体，需提供对应的技术接口人和运维团队，及时协助配合执行必要的问题说明、信息收集、故障排查等。 客户作为服务诉求主体，需进行自身业务与系统相关的运维工作。 客户应提前至少 10个工作日申请该服务，以便重保专家团队评估和定制重保服务方案。