本节介绍iVPN app接入云电脑的操作说明。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.查看并复制对应实例的接入地址； 4.打开AI云电脑客户端，输入账号和密码，点击“企业专线”，进入企业专线页面； 5.在企业专线页面中输入iVPN app对应实例的接入地址，点击“专线/VPN登录”，若本机首次使用iVPN app，会触发自动下载组件，下载完成后会自动接入。若接 入成功，会提示“专线/VPN地址可用，已为您启用专线/VPN”,随后自动退出企业专线页面。正常接入后AI云电脑客户端会自动记住接入地址，下次登录只需下拉框选 择即可，无需再次输入； 6.iVPN app接入后，在AI云电脑客户端主页面点击“安全登录”或者使用app扫码登录即可通过iVPN app加密接入AI云电脑。

本页主要介绍相关资源池的普通IO存储类型下线原因，影响及建议。 原因 由于普通IO存储类型（SATA）可能无法满足数据库的性能需求。随着数据量和访问量的增加，可能会遇到磁盘 I/O 瓶颈，导致数据库响应时间增加，影响用户体验。 天翼云决定于2024年5月15日起逐步下线Ⅰ类型资源池的普通IO存储类型。 影响 2024年5月15日起，将逐步下线以下资源池的普通IO存储类型。 影响范围：新订购实例。 涉及资源池：北京5、晋中、辽阳1、内蒙古6、石家庄20、雄安2、杭州2、合肥2、九江、南京3、上海7、芜湖2、郴州2、佛山3、福州4、福州25、广州X节点、海口2、衡阳3、武汉4、乌鲁木齐4、乌鲁木齐27、西安3、西安4、西安5、中卫2、成都4、贵州3、昆明2、拉萨3、重庆2、帆豫智联、中卫5、西宁2等Ⅰ类型资源池。 建议 为保证数据库性能，提升您的体验，建议您使用高IO或超高IO的存储类型。

本节介绍了容器镜像服务的产品架构 容器镜像服务提供简单易用、安全可靠的容器镜像、Helm Chart 等符合 OCI 标准的云原生制品的托管、分发能力。

配置一个中心VPC与两个VPC的重叠子网对等 (IPv4) 如果同一个VPC要与多个网段重叠的VPC子网创建对等连接，那么配置路由的时候，请确保路由的目的地址不会出现冲突，并且流量可以正确的转发。 在本示例中，在中心VPCA和SubnetB02之间创建对等连接PeeringAB，在中心VPCA和SubnetC02之间创建对等连接PeeringAC。此处SubnetB02和SubnetC02子网网段重叠，并且云服务器ECSB02私有IP地址和ECSC02的私有IP地址一样，均为10.0.1.167/32。 图一个中心VPC与两个VPC的重叠子网对等(IPv4) 资源规划详情和对等连接关系，请参见下表。 表资源规划详情一个中心VPC与两个VPC的重叠子网对等(IPv4) VPC名称 VPC网段 子网名称 子网网段 关联VPC路由表 ECS名称 安全组 私有IP地址 VPCA 172.16.0.0/16 SubnetA01 172.16.0.0/24 rtbVPCA ECSA01 sgweb：通用Web服务器 172.16.0.111 VPCB 10.0.0.0/16 SubnetB01 10.0.0.0/24 rtbVPCB ECSB01 sgweb：通用Web服务器 10.0.0.139 VPCB 10.0.0.0/16 SubnetB02 10.0.1.0/24 rtbVPCB ECSB02 sgweb：通用Web服务器 10.0.1.167 VPCC 10.0.0.0/16 SubnetC01 10.0.0.0/24 rtbVPCC ECSC01 sgweb：通用Web服务器 10.0.0.71 VPCC 10.0.0.0/16 SubnetC02 10.0.1.0/24 rtbVPCC ECSC02 sgweb：通用Web服务器 10.0.1.167

本章节为您介绍堡垒机应用资产相关内容。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 仅企业版支持使用应用运维功能。 添加的主机和应用资源数量总和不能超过资产数。 前提条件 添加应用资产前，需已添加应用服务器，具体操作请参见应用服务器。 新增资产组 您可以通过应用资产组来管理多个应用资产，方便您在授权的时候可以一键选择。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 应用资产”，进入应用资产页面。 3. 在应用资产列表左侧资产树中，单击资产组右侧的更多图标，选择“新增子节点”或“复制”。 支持创建多级资产组，最多支持创建10级。 4. 在弹出的“新增资产组”或“资产组复制”对话框中，填写资产组信息。 参数 参数名称 资产组名称 自定义资产组的名称。 资产 在下拉框中选择需要添加至该资产组中的资产。 描述 自定义资产组的描述。 5. 填写完成后，单击“提交”完成资产组的创建。 创建完成后，您也可以根据需要对资产组进行修改或删除： 编辑资产组：选择需要修改的资产组，单击资产组右侧的更多图标，选择“编辑”，按照需求对资产组进行修改，单击“确定”完成修改操作。 删除资产组：选择需要删除的资产组，单击资产组右侧的更多图标，选择“删除”，在弹出的对话框中单击“确定”完成删除操作。

本小节介绍云解析的功能特性。 域名解析功能 提供标准规范的DNS解析服务，支持A、CNAME、MX、TXT、AAAA、SRV、NS等解析记录类型，解析记录数无限制。 记录类型 说明 A 地址记录，用来指定域名的IPv4地址，如果需要将域名指向一个IP地址，就需要添加A记录。 CNAME 一种特殊类型的DNS记录，用来创建域名的别名。如果需要将域名指向另一个域名，再由另一个域名提供IP地址，就需要添加CNAME记录。 AAAA 地址记录，用来指定域名对应的IPv6地址。 TXT 文本记录，绝大多数的TXT记录是用来做SPF记录（反垃圾邮件）。 MX 邮件交换记录，用来指定由哪台邮件服务器负责接收给定域名网站的邮件，主要对给定域名网站的邮件接收服务器进行记录。如果需要设置邮箱，让邮箱能收到邮件，就需要添加MX记录。 SRV 服务器资源记录。 NS 域名服务器记录，用来指定某个子域名由哪个DNS服务器解析。 域名和域名记录自助管理 通过Web方式实现域名及其解析记录的管理、增加、修改、删除、查询等功能。 抗DDoS攻击能力 通过自研的DNS抗DDoS专用产品，可有效的对攻击DNS的DDoS报文实现准确识别和清洗。 安全监测 域名权威解析服务器的正确性监测：监控域名服务器的记录和地址，可有效发现域名篡改/劫持情况。 域名权威解析服务器可用性监测：监测目标权威解析服务器的服务响应数据，判定域名权威解析服务器全网的可用性。 网站拨测：通过对目标域名的定时拨测，及时识别目标服务故障，保障用户互联网服务的高可用。

此小节介绍用户登录提示“您的账户已经被锁定,请自助解锁或联系管理员”问题如何处理。 账号密码被锁定主要有以下几种情况： 忘记密码，连续输错N次密码后账号自动锁定。 账号、密码超过有效期，自动锁定。 账号空闲超过阈值未登录系统。 管理员主动锁定。 忘记密码 在云堡垒机实例登录页面点击忘记密码，通过注册邮箱重置密码，解锁账号。 注意 忘记密码自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击忘记密码。 2. 输入用户名、邮箱等信息，验证用户身份。 3. 输入新登录密码，点击确定后，密码重置成功。 密码过期锁定 在云堡垒机实例登录页面点击自助解锁，通过注册邮箱解锁账号。 注意 密码过期自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击自助解锁链接。 2. 进入自助解锁功能后，输入用户名、邮箱和动态验证码，验证用户身份。 3. 输入更新后的密码，注意输入密码需要符合密码安全策略，点击确认。 4. 解锁成功。 其他原因账号被锁定 联系管理员解锁。管理员登入云堡垒机管理后台，在账号管理中可解锁用户账号、更改密码。

本页介绍了扩容副本集实例的磁盘空间。 文档数据库服务产品的多节点副本集规格实例，支持存储空间扩容和备份空间扩容。 存储空间扩容 多节点副本集规格实例存储空间扩容步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 在需要进行存储空间扩容实例的“操作”列，点击“更多”，可见“存储空间扩容”。 4. 点击“存储空间扩容”，自动进入到存储空间扩容页面。 5. 在存储空间扩容页面，根据指引，选择需要扩容的空间大小，点击“提交”。 6. 支付完成后，等待数分钟，刷新该实例的详细信息，可见存储空间大小已完成扩容。 备份空间扩容 多节点副本集规格实例备份空间扩容步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 在需要进行存储空间扩容实例的“操作”列，点击“更多”，可见“备份空间扩容”。 4. 点击“备份空间扩容”，自动进入到备份空间扩容页面。 5. 在备份空间扩容页面，根据指引，选择需要扩容的备份空间大小，点击“提交”。 6. 支付完成后，等待数分钟，刷新该实例的详细信息，可见备份空间大小已完成扩容。 注意 当备份空间为云硬盘，进行磁盘空间扩容时候需要同步扩容。

内容审核是天翼云自主研发的具有文本、图片等多媒体风险识别与拦截的审核能力，对网络中产生的文本、图片内容进行涉黄、涉政、涉暴恐等敏感内容进行识别，帮助用户控制业务的违规风险，并大幅降低人工审核的人力成本。用户订购文本审核和图片审核产品后，无需进行模型开发，仅需API接口对接，即可便捷、高效、准确地对文本和图片内容进行风险识别，大幅减少网络、云存储中出现的违法违规内容。 本说明提供了内容安全产品API的描述、语法、参数说明及示例等内容。

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的访问控制功能。 功能介绍 通过访问控制功能，您可以设置根据请求中不同字段内容进行匹配，对满足匹配条件的请求进行拦截、重定向等动作。 如您可以拦截来自指定IP、指定IP段与指定地域的IP地址请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版及以上版本，支持使用访问控制功能，不同版本限制规则数不同，具体请见安全与加速服务版本差异对比。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【访问控制】详细设置。 配置说明 配置项 说明 优先级 配置访问控制策略的优先级，数字越小，优先级越高。 开关 访问控制策略的开关，支持开启或关闭。 处理动作 告警：对命中该规则的请求仅告警不阻断，记录攻击日志。 加白：对命中该规则的请求放行，不记录攻击日志。当防护粒度选择响应头、状态码时，不适用于"加白"动作。 攻击标记：命中该规则的请求将继续匹配后续防护策略。若命中，则产生对应类型的攻击日志，但不会阻断请求。当防护粒度选择响应头、状态码时，对响应报文进行攻击检测。 拦截：对命中该规则的请求进行拦截，并返回响应页面。当防护粒度选择响应头、状态码时，不适用于"拦截"动作。选择拦截动作，可设置自定义拦截页面。 丢弃：对命中该规则的请求拦截但不会响应页面，减少带宽。当防护粒度选择响应头、状态码时，不适用于"丢弃"动作。 重定向：对命中该规则的请求302重定向到指定的页面。仅适用于静态类请求。当防护粒度选择响应头、状态码时，不适用于"重定向"动作。 JavaScript挑战：对命中该规则的请求进行JavaScript挑战验证。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"JavaScript挑战"动作。 图片验证码：对命中该规则的请求响应图片验证码进行人机校验。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"图片验证码"动作。 规则名称 访问控制策略的规则名称。 规则描述 访问控制策略的规则描述。 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作。 防护粒度：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度。具体粒度介绍见下方【防护粒度说明】。 关系：等于/不等于。 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔。 防护周期 若您希望访问控制策略只在某个周期生效，可以配置防护周期，并支持且条件。防护周期支持配置每日、每周、每月。 配置示例： 1. 每周一至周二：周期包含12。 2. 每周日至周一的7点至9点：周期包含每周 71 且 周期包含每天07:0009:00。 3. 每月19号的23点到次日1点：周期包含每月 1919 且 周期包含每天23:0001:00。 4. 每周二或每周四的7点至9点：周期包含每周 22;44 且 周期包含每天07:0009:00。

此小节介绍企业主机安全创建策略组。 您可根据自己服务器不同使用情况创建对应的策略组，创建后可对目标服务器进行更有力的扫描检测。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 前提条件 已购买旗舰版。 注意 目前仅支持对旗舰版的策略组进行自定义创建，若没有开启旗舰版防护的主机，创建后不会生效。 创建策略组 以下以旗舰版的Linux策略为例。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、选择tenantlinuxpremiumdefaultpolicygroup或tenantwindowspremiumdefaultpolicygroup策略组，单击该策略组“操作”列的“复制”。以下以Linux策略组为例。 复制策略组 6、在弹出的对话框中，输入“策略组名称”和“描述”。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 创建策略组 7、单击“确认”，将会创建一个新的策略组。 8、单击已创建的策略组名称，进入策略组的策略页面。 Linux策略组详情 9、单击策略名称，修改具体的策略内容，详细信息请参见8.1.3 编辑策略内容。 10、策略内容修改完成后，单击策略所在行的“开启”或者“关闭”，开启或者关闭对应的策略。

本文详细介绍IP应用加速接入模块的功能。 功能介绍 在IP应用加速接入模块，您可以进行新增接入、域名/实例状态查询、查看/编辑/停用/启用/删除等操作。 新增接入 详情请查看：添加域名/实例。 IP应用加速接入列表 查看接入列表，可以查看已添加的域名/实例信息，包括域名、实例名称、接入方式、CNAME、加速区域、状态、IPv6解析、操作等。 IPv6解析可以开启IPv6解析或者关闭IPv6解析。 操作列包含加速配置、安全防护、停用、删除、启用、区域变更。 【加速配置】可以查看当前加速域名的加速配置信息，也可以编辑当前加速域名的配置信息。 【安全防护】可以查看当前加速域名的安全防护配置，也可以修改当前加速域名的安全防护配置。 【停用】停止当前域名解析，停止域名加速服务。 【启用】恢复当前域名解析，启用域名加速服务。 【删除】可以删除已停用状态的域名。 当域名状态为【已启用】且无在途工单时，可以对域名配置进行【查看】、【编辑】、【停用】操作。 当域名状态为【配置中】时，仅可以对域名配置进行【查看】操作。 当域名状态为【已停用】且无在途工单时，可以对域名配置进行【查看】、【启用】、【删除】操作。 当域名有在途工单时，无论域名是什么状态，都只能对域名配置进行【查看】操作。 【区域变更】可修改当前加速域名的加速区域。

本文简述如何查询指定IP是否为天翼云IP。 功能介绍 天翼云边缘安全加速平台—安全与加速服务提供一种IP地址检测工具，您可以使用该工具检测某IP地址是否为天翼云节点IP，同时获取IP所属城市、运营商、机房地址、节点层级等信息。 应用场景 场景一：配置安全与加速服务后，可通过该工具验证客户端的请求是否成功到达天翼云节点IP。如果不是天翼云节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云节点IP，来排查网站访问异常的原因。如果IP地址是天翼云IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 使用方法 您可以使用查询IP所属直辖市，运营商，机房地址，节点层级接口检测IP是否属于天翼云IP。 您可以通过控制台进行自助输入查询地址。 控制台自助查询IP归属 1. 登录边缘安全加速平台控制台。 2. 进入【工具IP归属查询】页面，输入查询的地址。 3. 输入查询后将显示该地址是否为天翼云节点以及对应归属地。

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的频率控制功能。 功能介绍 频率控制：通过配置IP,URL,ARGS,HEADER,COOKIE,UA等粒度，进行访问次数限制，防止客户资源被过度消耗。 通过配置频率控制能够实现客户端IP访问域名首页次数限制。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版及以上版本，支持使用频率控制功能，不同版本限制规则数不同，具体请见安全与加速服务版本差异对比。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【频率限制】详细设置。 配置说明 配置项 说明 开关 频率控制策略的开关，支持开启或关闭 处理动作 告警：达到阈值后只记录攻击日志。 跳转：达到阈值后，对请求进行Cookie挑战验证。GET请求响应302，POST请求响应307，其他METHOD请求不适用。 拦截：达到阈值后拦截请求，响应拦截页面。当防护粒度中选择响应头或状态码时，达到阈值后，会拦截匹配响应头、状态码之外其他字段的请求。 丢弃：达到阈值后拦截请求但不会响应页面，以减少带宽。当防护粒度选择响应头、状态码时，不适用于"丢弃"动作。 重定向：达到阈值后，将请求302重定向到指定页面。仅适用于静态类请求。当防护粒度选择响应头、状态码时，不适用于"重定向"动作。 JavaScript挑战：达到阈值后进行JavaScript挑战验证。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"JavaScript挑战"动作。 图片验证码：达到阈值后，响应图片验证码进行人机校验。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"图片验证码"动作。 源IP封禁：达到阈值后，将源IP封禁（封禁范围为针对该域名的请求，包括匹配静态文件过滤的请求）。仅适用于统计粒度为IP的场景。 规则名称 频率控制策略的规则名称 规则描述 策略的文字描述 统计粒度 支持选择URL、ARGS、HEADER、COOKIE、UA、IP。支持选择单粒度或两个粒度进行组合。 粒度缺失统计 当统计粒度选择两个粒度时，需要配置是否开启粒度缺失统计。选择是，粒度①且粒度②、粒度①、粒度②三种均可统计且均独立统计。选择否，则只支持粒度①且粒度②进行统计。 触发条件 配置一段时间周期，在这个周期内，您可以选择两种触发处理动作的方式。 方式1：统计粒度的请求达到N次时才执行处理动作 方式2：统计粒度的流量达到N （KB、MB、GB）时才执行处理动作 方式1和方式2同时选择，要两种条件同时满足，才会执行处理动作。 处理动作持续时间 处理动作的持续时长 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作 粒度选择：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度 关系：等于/不等于 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔 静态文件过滤 即无需检测的静态文件，需要填写文件后缀，配置后将不针对此类型的文件进行检测

在实例元数据页管理敏感列权限 具体操作流程如下： 1. 登录数据管理服务DMS。 2. 进入数据权限管理页面。在左侧菜单栏依次点击数据资产 >实例管理 ，选择某个实例，点击更多>数据权限管理按钮进入数据权限管理页面。 3. 选择需要授权的敏感列。切换到敏感列授权 页面，点击添加授权按钮进入授权页面，在左侧”请选择“框内勾选想要授权的敏感列的复选框，然后点击中间的”>“按钮，即可将当前页选中的敏感列加入到右侧”已选择“框内。 4. 选择需要授权的用户。从用户名下拉列表中选择至少一个用户。 5. 选择权限的类型。 6. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 7. 确定信息无误后，点击页面右下角的确认授权按钮即可完成授权。 在用户管理页管理敏感列权限 具体操作流程如下： 1. 登录数据管理服务DMS。 2. 进入数据授权页面。在左侧菜单栏依次点击安全协作>用户与角色 ，选择某个用户，点击数据授权 按钮进入数据授权页面；或者在左侧菜单栏依次点击安全协作>团队管理 ，切换到团队成员管理 页面，选择某个团队成员，点击数据授权按钮进入数据授权页面。 3. 搜索需要授权的敏感列。切换到敏感列授权页面，先输入库/模式/实例关键字搜索指定库/模式，然后输入列名、表名关键字搜索敏感列，再点击查询。也可以选择指定的团队、数据库类型、敏感等级对敏感列进行筛选。 4. 选择需要授权的敏感列。在左侧”请选择“框内勾选想要授权的敏感列的复选框，然后点击中间的”>“按钮，即可将当前页选中的敏感列加入到右侧”已选择“框内。 5. 选择权限的类型。 6. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 7. 确定信息无误后，点击页面右下角的确认授权按钮即可完成授权。

运营商 运营商编码（string型） 运营商编码（int型） 中国电信 001 1 中国联通 002 2 中国移动 003 3 中国铁通 004 4 教育网 005 5 鹏博士 006 6

参数 参数说明 类型 选择kerberos。 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 建议名称中包含MRS安全集群的名称，便于区分不同集群的安全认证信息。 用户名 安全集群的登录用户名。 krb5conf路径 上传“krb5.conf”文件的OBS路径。 说明 “krb5.conf”中需移除[libdefaults]下的“renewlifetime”配置项，否则可能会遇到“Message stream modified (41)”问题。 keytab路径 上传“user.keytab”文件的OBS路径。

本节介绍了如何创建云数据库GaussDB 的手动备份。 操作场景 云数据库GaussDB 支持对运行正常的实例创建手动备份。 注意事项 备份操作需要在实例状态为正常时才可以进行。 同一用户在一个实例上，同一时间只能进行一次备份操作。 方式一 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择指定的实例，在操作列选择“更多 > 创建备份”。 步骤 3 在创建备份弹出框中，命名该备份，并添加描述，单击“确定”，提交备份创建，单击“取消”，取消创建。 备份名称的长度在4~64个字符之间，必须以字母开头，区分大小写，可以包含字母、数字、中划线或者下划线，不能包含其他特殊字符。 备份描述不能超过256字符，且不能包含回车和>! !<"&'特殊字符。 手动备份创建过程中，状态显示为“备份中”，此过程所需时间由数据量大小决定。 步骤 5 手动备份创建成功后，用户可在“实例管理”页面，单击实例名称，在左侧导航栏中选择“备份恢复”，对其进行查看并管理。 也可在“备份恢复管理”页面，对其进行查看并管理。

本节主要介绍包周期实例转按需计费。 GeminiDB Redis支持将包周期（包年/包月）实例转为按需计费实例。对于到期后不再长期使用资源的包周期实例，可以选择转按需操作，到期后将转为按需计费实例。 使用须知 包周期实例状态为“正常”时才能转按需计费。 单个包周期实例转按需 1、 登录云数据库GeminiDB控制台。 2、在“实例管理”页面，选择目标实例，单击操作列“转按需”，进入转按需页面。 3、在转按需页面，核对实例信息无误后，单击“转按需”。包周期实例将在到期后转为按需计费实例。 转按需成功后，自动续费将会被关闭，请谨慎操作。 4、 转按需申请提交后，在目标实例的“计费方式”列，会提示实例到期后转按需。 5、 如需取消转按需，您可以在费用中心的“续费管理”页签，在目标实例的“操作”列，选择“更多 > 取消转按需”。 6、 在弹出框中，单击“确定”，取消转按需申请。 包周期实例批量转按需 1、 登录云数据库GeminiDB控制台。 2、在“实例管理”页面，勾选目标实例，单击实例列表上方“转按需”。 3、在弹出框中单击“是”，进入“包周期转按需”页面。 4、 在转按需页面，核对实例信息无误后，单击“转按需”。包周期实例将在到期后转为按需计费实例。 转按需成功后，自动续费将会被关闭，请谨慎操作。 5、 转按需申请提交后，在目标实例的“计费方式”列，会提示实例到期后转按需。 6、 如需取消转按需，您可以在费用中心的“续费管理”页签，在目标实例的“操作”列，选择“更多 > 取消转按需”。 7、在弹出框中，单击“确定”，取消转按需申请。

本文介绍创建及管理内网访问内容。 功能概述 内网访问用于管理接入应用托管的VPC终端节点，已完成VPC接入的云资源，可通过内网访问域名连接应用托管中的应用，保障访问安全性。 操作步骤 步骤 1：进入内网访问页面 1. 登录天翼云应用托管控制台，在左侧导航栏选择网络 → 内网访问，进入内网访问管理页面。 步骤 2：接入 VPC 1. 委托授权（首次操作需执行，为平台授权）： 弹出「创建委托」弹窗，展示所需授予的权限： VPC 终端节点：查询、创建、删除等权限； 虚拟私有云：查询 VPC、子网等权限； 内网 DNS：查询、创建、删除 DNS 记录等权限。 点击【确认授权】，平台自动创建名为 CtyunAssumeRoleForAPP 的委托。 注意：请勿删除或修改此委托，否则会导致内网访问功能异常。 2. 完成委托授权后，点击【接入 VPC】按钮，弹窗【VPC终端节点配置】完成以下内容配置并提交，VPC即接入成功。 选择 可用区； 选择 虚拟私有云（下拉框展示当前账号下可用 VPC），若需新的虚拟私有云，请点击【去创建】； 点击【确认配置】提交。

本文介绍创建及管理内网访问内容。 功能概述 内网访问用于管理接入应用托管的VPC终端节点，已完成VPC接入的云资源，可通过内网访问域名连接应用托管中的应用，保障访问安全性。 操作步骤 步骤 1：进入内网访问页面 1. 登录天翼云应用托管控制台，在左侧导航栏选择网络 → 内网访问，进入内网访问管理页面。 步骤 2：接入 VPC 1. 委托授权（首次操作需执行，为平台授权）： 弹出「创建委托」弹窗，展示所需授予的权限： VPC 终端节点：查询、创建、删除等权限； 虚拟私有云：查询 VPC、子网等权限； 内网 DNS：查询、创建、删除 DNS 记录等权限。 点击【确认授权】，平台自动创建名为 CtyunAssumeRoleForAPP 的委托。 注意：请勿删除或修改此委托，否则会导致内网访问功能异常。 2. 完成委托授权后，点击【接入 VPC】按钮，弹窗【VPC终端节点配置】完成以下内容配置并提交，VPC即接入成功。 选择 可用区； 选择 虚拟私有云（下拉框展示当前账号下可用 VPC），若需新的虚拟私有云，请点击【去创建】； 点击【确认配置】提交。

本文介绍如何查看云安全中心账单。 用户可以在费用中心按月查看在天翼云的消费概况，详情请参见账单概览。 账单说明 云安全中心产品为包年包月计费产品，包年包月产品采用预付费模式，即先付费再使用，支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 说明 当月最终账单将在次月3日生成，在次月4日10点后可查看和导出。 云安全中心属于按月结算的产品，当月消费可在次月3日查看账单。 操作步骤 1. 登录天翼云控制中心。 2. 在页面右上角用户名称处，选择“费用中心”。 3. 在左侧菜单栏选择“账单管理”，进入“账单概览”页面，可按产品类型汇总查看产品账单。 4. 在左侧菜单栏选择“账单详情”，进入账单详情页面。 统计维度选择“产品”，统计周期选择“按账期”，计费模式选择“包周期”，账期选择需要查看的账单时间，即可查看到产品的账单详情。

态势感知的工作原理。 态势感知（专业版）（Situation Awareness，SA）是可视化威胁检测和分析的平台。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 工作原理 态势感知通过采集全网流量数据和安全防护设备日志信息，并利用大数据安全分析平台进行处理和分析，态势感知检测出威胁告警，实时为用户呈现完整的全网攻击态势，进而为安全事件的处置决策提供依据。

本节介绍了如何在控制台变更域名的服务区域。 使用场景 根据域名所提供服务的区域，用户可选择与之相匹配的边缘安全加速平台服务区域。例如：某站点的主要客户群体在中国内地，则域名接入边缘安全加速平台后，选择“中国内地”服务区域。客户端访问域名站点的流量，就会就近接入进入中国内地区域的边缘节点。 当服务区域为中国内地，站点请求会被调度到中国内的节点。 当服务区域为全球（不含中国内地），站点请求会被调度到全球（不含中国内地）的节点。 当服务区域为全球，站点请求会被调度到中国内地或全球（不含中国内地）的节点。 前提条件 订购边缘安全加速服务，加速区域为“全球”的套餐。加速区域为“中国内地”或者“全球（不含中国内地）”的套餐，不可变更域名的服务区域。 域名状态为“已启用”。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.在域名操作栏点击“区域变更”，选择服务区域后点击确定即可。 注意 1、不同服务区域对应不同资费标准，服务区域包含中国内地时，域名请先完成在中国大陆的ICP备案，同时完成公安网的备案。 2、修改服务区域，由于服务节点变更，短期内回源的流量会增加，命中率会下降，请您留意源站运行情况。 3、 修改服务区域可能会引起回源IP变更，如果您的源站有回源IP白名单限制，请通过 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已启用”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云直播控制台开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。如果想要实现全链路HTTPS传输，则需要在直播加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端以HTTPS协议请求直播加速节点。 2. 直播加速节点将相应的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给直播加速节点。 4. 直播加速节点使用对应私钥进行解密，得到密钥。 5. 直播加速节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对直播加速节点传输的加密数据进行解密，从而获取相应数据。 注意事项 域名进行HTTPS配置前，需已在直播控制台上传域名对应的SSL证书。证书上传路径请参见：新增证书。 只有拉流域名支持配置HTTPS。 配置说明 以推拉流场景下的拉流域名为例，操作步骤如下。 1. 登录直播控制台。 2. 在域名列表页面，单击域名操作列表中的【编辑】。 3. 单击【HTTPS配置】。 4. 开启【Https开关】。 5. 选择域名对应的有效证书，并单击页面右下方的【提交保存】。 参数 说明 Https开关 停用：即关闭HTTPS。启用：即开启HTTPS，需要上传HTTPS证书。 证书备注名 选定正确的证书与所配置的域名进行关联。说明：需要先上传相关证书。 HTTPS证书上传 可单击【证书备注名】下拉框下方的【点击上传】按钮，自助添加证书。 支持的tls协议 支持自助配置tls协议。如果未配置，则默认支持所有选项中的协议。

监控指标 说明 证书到期预警 按证书到期时间统计域名证书： 已到期证书 到期时间<30天 到期时间>30天 证书未知：统计未绑定证书的域名、域名信息配置错误的域名数量。 SSL漏洞扫描 支持统计如下类型的漏洞： 高风险漏洞 中风险漏洞 低风险漏洞 合规检测 统计ATS和PCI DSS合规情况： ATS（应用程序安全传输，App Transport Security）为Apple ATS规范，是苹果在iOS 9中首次推出的隐私安全保护功能。从2017年1月1日起，所有提交到App Store的App必须强制开启ATS。启用ATS后，它会屏蔽明文HTTP资源加载，强制App通过HTTPS连接网络服务，对传输数据进行加密，保障用户数据安全。 PCI DSS（支付卡协会数据安全标准，Payment Card Industry Data Security Standard）为支付卡行业安全标准，是目前广受国际认可的数据安全标准。PCI DSS要求在开放的公共网络上传输持卡人数据，需使用高强度加密算法对数据进行保护。 域名安全等级分布 共支持如下9个等级，A+为最高级。

状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 须知： 未开启安全认证的微服务引擎无认证鉴权能力，开放到公网面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 开启“公网访问”开关，在弹出的对话框勾选“我已知晓安全风险”，单击“确定”。 步骤 4 单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的“√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 关闭“公网访问”开关。 步骤 4 在弹出对话框单击“确定”。

参数 参数类型 说明 示例 下级对象 vulRiskNum Integer 漏洞风险数 1 vulHostNum Integer 漏洞风险主机数 1 scaRiskNum Integer 安全基线主机数 1 scaHostNum Integer 安全几线主机数 1 wpRiskNum Integer 网页防篡改风险数 1 wpHostNum Integer 网页防篡改主机数 1 virusRiskNum Integer 病毒文件数 1 virusHostNum Integer 病毒文件数主机数 1 instrustonEventRiskNum Integer 入侵检测风险数量 1 instrustonEventRiskHostNum Integer 入侵检测风险主机数量 1

本节主要介绍如何查看已有布局模板。 操作场景 布局中已有 告警管理 、 事件管理 、 漏洞管理 、 分析报告 、 情报管理 、安全大屏页面布局的管理页和详情页面模板。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 布局管理”，进入布局管理页面后，选择“模板”页签，进入布局模板页面。 5. 在布局模板页面，查看模板信息。 可以通过“布局类型”、“页面类型”，并输入关键字来搜索指定布局模板。 可以查看当前已有模板的名称、页面类型、创建时间等信息。 可以对已有模板的名称、模板内的布局进行编辑。 可以删除已有模板。

本文主要介绍弹性伸缩使用的使用限制。 功能限制 在应用系统中添加弹性伸缩后，使用时有以下功能限制： 弹性伸缩的云主机中运行的应用需要是无状态、可横向扩展的。 说明 无状态：关于应用的既往事务，没有任何记录和参考，每项事务处理均是从头开始。无状态应用运行的实例不会在本地存储需要持久化的数据。例如：可以将无状态事务看作一台自动售货机：一个请求对应一个响应。 有状态：是可以周而复始、反复发生的应用和流程，操作是在之前的事务背景下执行的，当前事务可能会受到之前事务的影响。有状态应用运行的实例会在本地存储需要持久化的数据。例如：可以将有状态事务看作网上银行或电子邮件，有上下文记录。 弹性伸缩会自动释放云主机，所以弹性伸缩组内的云主机不可以保存应用的状态信息（例如session）和相关数据（如数据库、日志等）。如果应用中需要云主机保存状态或日志信息，可以考虑把相关信息保存到独立的服务器中。 弹性伸缩无法纵向扩展，即弹性伸缩无法自动升降ECS实例的vCPU和内存等配置。 配额限制 弹性伸缩对用户的资源数量或容量做的配额限制如下表所示。 类别 描述 默认值 ::: 弹性伸缩组 用户可以创建的最多伸缩组个数。 10 弹性伸缩配置 用户可以创建的最多伸缩配置个数。 100 弹性伸缩策略 某个弹性伸缩组下可以创建的最多伸缩策略个数。 10 弹性伸缩实例 某个弹性伸缩组下可以创建的最多实例个数。 200

主机安全v2.0常见问题请参见服务器安全卫士（原生版）常见问题。

1. 登录智算安全专区控制台。 2. 在“大模型安全卫士”实例页面，找到要管理的实例，单击“管理”，单点登录至大模型安全卫士实例。