本文简述全站加速支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云全站加速，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

本文介绍Web客户端如何接入验证码。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持验证码功能。 需先完成验证码配置。暂时未开放控制台，请通过提交工单给天翼云客服，由其人工操作开启。 代码示例 以下代码示例，单击打开验证码，激活验证码，并弹窗展示验证结果。点击携带 ticket 发请求，能够验证拦截情况 html 滑块验证接入demo .container { maxwidth: 400px; margin: 0 auto; padding: 20px; backgroundcolor: fff; borderradius: 5px; boxshadow: 0 0 10px rgba(0, 0, 0, 0.1); margintop: 100px; } h1 { textalign: center; } input[type"text"], input[type"password"] { width: 95%; padding: 10px; marginbottom: 10px; border: 1px solid ccc; borderradius: 5px; } .btclick { width: 100%; padding: 10px; marginbottom: 10px; border: none; borderradius: 5px; cursor: pointer; } .btclickcaptcha { position: relative; background:

本章节主要介绍如何创建分布式消息服务RabbitMQ实例。 RabbitMQ是一款基于AMQP协议的开源服务，用于在分布式系统中存储转发消息，服务器端用Erlang语言（支持高并发、分布式以及健壮的容错能力等特点）编写，支持多种语言的客户端，如：Python、Ruby、.NET、Java、JMS、C、PHP、ActionScript、XMPP、STOMP、AJAX等。 AMQP，即Advanced Message Queuing Protocol，高级消息队列协议，是应用层的一个开放标准协议。 前提条件 在创建RabbitMQ专享版实例前，需要保证存在可使用的虚拟私有云。创建虚拟私有云的方法，请参考《虚拟私有云用户指南》。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 为RabbitMQ授权 如果RabbitMQ实例需要开启IPv6功能，在创建实例前，需要授予RabbitMQ操作VPC终端节点的权限，否则会导致创建失败。 在IAM控制台创建委托，委托参数如下，其他参数保持默认，创建委托的具体步骤请参见《统一身份认证服务 用户指南》的“委托 > 委托其他云服务管理资源”章节。 委托名称：dmsadmintrust 委托类型：云服务 云服务：分布式消息服务 持续时间：永久 委托将拥有所选策略：DMS VPCEndpointAccess 操作步骤 步骤1 登录管理控制台。 步骤2 在管理控制台右上角单击，选择区域资源池。 说明 此处请选择与您的应用服务相同的区域。 步骤3 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务>RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤4 单击页面右上方的“购买RabbitMQ实例”。 每个项目默认最多可以创建100个RabbitMQ专享版实例，如果您想创建更多实例，请联系客服申请增加配额。 步骤5 选择“计费模式”、“区域”、“项目”和“可用区”。 步骤6 设置“实例名称”和“企业项目”。 步骤7 设置实例信息。 1. 版本：RabbitMQ的版本号，当前仅支持3.8.35。 2. 实例类型：支持“单机”和“集群”。 单机：表示部署一个RabbitMQ代理。 集群：表示部署多个RabbitMQ代理，实现高可靠的消息存储。 3. 鲲鹏实例：“创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 4. 规格：根据实际情况选择规格。 说明 为了保证服务的稳定可靠，RabbitMQ采用了默认的40%高水位配置。当内存占用率到达40%高水位后，会触发流控，生产者发送消息会被阻塞。为了避免高水位的产生，请及时消费积压在队列中的消息。 5. 代理个数：根据实例情况选择代理个数。 6. 存储空间：选择RabbitMQ实例的磁盘类型和存储空间总量。 单机实例的取值范围：100GB ~ 30000GB 集群实例的取值范围为：100GB 代理数 ~ 30000GB 代理数 7. 虚拟私有云：选择已经创建好的虚拟私有云和子网。 虚拟私有云可以为您的RabbitMQ专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 说明 虚拟私有云和子网在RabbitMQ实例创建完成后，不支持修改。 子网开启IPv6后，RabbitMQ实例支持IPv6功能。 实例创建成功后，不支持修改IPv6开关。 使用内网IPv6方式连接实例需要通过VPC终端节点实现，使用期间会产生VPC终端节点的费用。 8. 安全组：在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 图1 设置实例信息 步骤8 设置连接RabbitMQ实例的用户名和密码。 步骤9 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤10 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 您可以选择是否打开公网访问开关。 如果选择了开启，表示访问RabbitMQ实例可以通过弹性IP访问。这时页面会显示“弹性IP地址”，在“弹性IP地址”区域，您可下拉选择已有的弹性IP。另外，您可单击右侧的“创建弹性IP”，跳转到网络控制台的弹性IP页面，购买弹性IP。 图2 购买RabbitMQ实例时公网访问设置 说明 公网访问与VPC内访问相比，可能存在网络丢包和抖动等情况，且访问时延有所增加，因此建议仅在业务开发测试阶段开启公网访问进行调试。 如果用户在虚拟私有云的服务页面手动解绑定或删除EIP，相应RabbitMQ实例的公网访问功能会自动关闭。 2. 设置“SSL”。 客户端连接实例时SSL认证的开关。开启SSL，则数据加密传输，安全性更高。 SSL开关在实例创建完成后不支持修改，请明确是否需要开启 。 3. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击右侧的“查看预定义标签”，系统会跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个RabbitMQ实例最多支持设置20个不同标签。 4. 设置实例的描述信息。 步骤11 填写完上述信息后，单击“立即购买”，进入“规格确认”页面。 步骤12 确认实例信息无误且阅读并同意《分布式消息服务RabbitMQ服务等级协议》、《天翼云分布式消息服务协议》后，提交请求。 步骤13 在实例列表页面查看实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的RabbitMQ实例，然后重新创建。如果重新创建仍然失败，请联系客服。

态势感知（专业版）数据监控功能支持监控态势感知（专业版）管道上下游的生产速率、生产量、消费总速率等指标，您可以根据监控判断业务运行状态。 相关概念 生产者：是用来构建并传输数据到服务端的逻辑概念，负责把数据放入消息队列。 订阅器：用于订阅态势感知（专业版）管道消息，一个管道可由多个订阅器进行订阅，态势感知（专业版）通过订阅器进行消息分发。 消费者：是用来接收并处理数据的运行实体，负责通过订阅器把态势感知（专业版）管道中的消息进行消费并处理。 消息队列：是数据存储和传输的实际容器。 查看监控指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，单击目标管道名称后的“更多 > 监控”，进入管道监控页面。 6. 在数据管道的监控页面，查看监控指标。 总览：显示当前管道中生产者、管道、订阅器、消费者之间生产速率等信息。 生产者：显示生产者的“当前生产TPS”、“当前生产速率”、“当前生产量”、“当前消息存储大小”等相关指标信息。 管道：显示当前管道指定时间（近2/6/12/24小时、近7天或自定义）内的“管道存储的消息大小(MB)”、“生产到管道的消息大小(MB)”、“生产到管道的消息数量(条)”、“从管道消费的消息大小(MB)”、“从管道消费的消息数量(条)”、“未确认的消息大小(MB)”、“管道的生产速率(条/秒)”、“管道的消费速率(条/秒)”、“每条消息大小平均值(KB)”、“未卸载的消息大小(B)”等相关指标信息。 订阅器：显示当前订阅器指定时间（近2/6/12/24小时、近7天或自定义）内的“订阅器消费总速率(条/秒)”、“订阅器消费的数据大小(B)”、“订阅器消费的数据数量(条)”、和“活跃消费者”等相关指标信息。

对比项 自建Kubernetes集群 云容器引擎 易用性 自建Kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案，管理复杂。每次升级集群的过程都是巨大的调整，带来繁重的运维负担。 简化集群管理，简单易用 借助云容器引擎，您可以一键创建和升级Kubernetes容器集群，无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用，使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的Helm标准模板，真正实现开箱即用。 您只需启动容器集群，并指定想要运行的任务，云容器引擎帮您完成所有的集群管理工作，让您可以集中精力开发容器化的应用程序。 可扩展性 自建Kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署，可扩展性差。 灵活集群托管，轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容，并可以自由组合多种弹性策略，以应对业务高峰期的突发流量浪涌。 可靠性 自建Kubernetes集群操作系统可能存在安全漏洞和配置错误，这可能导致未经授权的访问、数据泄露等安全问题。 企业级的安全可靠 云容器引擎提供容器优化的各类型操作系统镜像，在原生Kubernetes集群和运行时版本基础上提供额外的稳定测试和安全加固，减少管理成本和风险，并提高应用程序的可靠性和安全性。 高效性 自建Kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库，镜像拉取方式多采用串行传输，效率低。 镜像快速部署 云容器引擎配合容器镜像服务，镜像拉取方式采用并行传输，确保高并发场景下能获得更快的下载速度，大幅提升容器交付效率。

项目 约束 运行状态 只支持非订购中状态实例退订。 删除保护 只能在关闭安全保护状态下退订。 关联资源 联邦实例无成员舰队及集群状态下才能退订。

步骤二：创建OceanFS文件系统并挂载至GPU云主机 1. 返回“控制中心”，在“存储”下单击“海量文件服务（OceanFS）”，进入文件系统列表页面。 2. 右上角单击“创建OceanFS实例”，进入创建文件系统页面。 3. 进行基础配置，各参数含义参考创建文件系统海量文件服务 OceanFS。 注意 文件系统和云主机应选择同一VPC，否则无法挂载。 4. 点击“下一步”确认配置。确认无误后点击“立即购买”，确认订单并支付。 5. 返回OceanFS控制台，等待文件系统创建完成。 6. 参考挂载NFS文件系统到弹性云主机 (Linux)将文件系统挂载至GPU云主机的“/mnt/test”目录下。 说明 “/mnt/test”可以根据实际需求替换为实际的挂载目录。 步骤三：部署DeepSeek模型 1. 修改模型下载路径，将模型保存在OceanFS的挂载目录下。 1. 在“/mnt/test”目录下创建模型下载新目录“/mnt/test/models”，并配置访问权限777。依次执行以下两条命令： plaintext mkdir /mnt/test/models chmod 777 /mnt/test/models 2. 执行以下命令修改ollama.service配置，添加Environment"0LLAMAMODELS/mnt/test/models语句来更改模型保存位置。 plaintext vim /etc/systemd/system/ollama.service 3. 依次执行以下命令，重启Ollama服务。 plaintext systemctl daemonreload systemctl restart ollama.service 2. 加载DeepSeek模型。 1. 以deepseekr1:7b为例，执行以下命令： plaintext ollama run deepseekr1:7b 2. 检查下载的模型保存在OceanFS的目录下。执行ll命令： 3. 使用DeepSeek模型。 1. 在命令行界面使用模型。 2. 通过Web页面进行模型交互。 注意 镜像自带的 ollama 工具监听 127.0.0.1:11434、webui 监听 0.0.0.0:3000 端口，云主机默认不对外开放任何端口访问，请按需开放端口访问规则，避免数据泄露。 使用此方式需要开通弹性IP，弹性IP是计费服务，详见计费概述弹性IP计费说明 天翼云。 1. 放行云主机安全组的 3000 端口。具体操作请参考添加安全组规则弹性云主机用户指南安全安全组配置安全组规则 天翼云。 2. 访问DeepSeek模型的可视化界面。登录地址为： 注意 云主机全自动安装DeepSeek模型和可视化界面，请等待云主机启动 5 分钟后，再访问登录界面。 首次登录页面如下： 3. 注册管理员账号。 4. 使用设置。刷新进入首页，在模型下拉列表中，选择刚部署的DeepSeek:7b 模型。 点击左下角进入设置页面，如果您不想开放其他用户注册使用，则需要关闭 “允许用户注册” 功能。 如果您允许用户注册，还可以设置用户注册之后的行为，例如选择新用户注册后默认用户角色为“用户”/“待激活” 等，需要管理员手动激活。 设置模型可见性。多用户模式下，建议把模型设置为"Public"。 5. 使用DeepSeek模型进行模型推理。

虚拟私有云 虚拟私有云为分布式缓存服务Redis版实例提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云产品定义。 弹性云主机 分布式缓存服务Redis版订购后，默认按照用户选择的实例规格开通弹性云主机，云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式缓存服务Redis持久稳定运行。更多信息请参见弹性云主机产品定义。 云硬盘 分布式缓存服务Redis版订购后，默认按照一定的存储大小开通云硬盘。云硬盘是一种可弹性扩展的块存储设备，可以为分布式缓存服务Redis提供高性能、高可靠的块存储服务。更多信息请参见云硬盘产品定义。 弹性IP 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式缓存服务Redis动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式缓存服务Redis版实例的需求，用户可开通弹性IP后，在Redis实例开通页面进行绑定。更多信息请参见绑定公网IP。

本文介绍文档数据库服务的使用限制说明。 为了提高实例的稳定性和安全性，文档数据库服务在使用上有一些固定限制。 操作 使用限制 :: 连接DDS实例 通过内网连接DDS实例时，需要为已准备的弹性云主机绑定弹性IP，并确保实例与该弹性云主机在同一个区域、可用区、虚拟私有云子网内。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 部署 实例所部署的弹性云主机，对用户不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的rwuser权限 创建实例页面只提供管理员帐户rwuser权限。 该权限下用户需要关注的命令请参见[]( 5.12%E6%94%AF%E6%8C%81%E4%B8%8E%E9%99%90%E5%88%B6%E7%9A%84%E5%91%BD%E4%BB%A4)支持与限制的命令。 配置数据库参数 用户创建的参数组中大部分数据库参数可以修改，具体请参见编辑参数组。 数据迁移 可以通过命令行工具和数据复制服务迁移数据，具体请参见数据迁移[](

本小节主要介绍RDSPostgreSQL实例的操作系统更新。 操作背景 为保证RDSPostgreSQL实例的数据库安全和数据库性能，系统会在合适期间对操作系统进行更新。同时操作系统的补丁更新不会变更您的数据库实例版本信息。 为不影响您的数据库实例使用体验，RDSPostgreSQL会在您设置的可运维时间段内，通过特定方式及时修复操作系统漏洞，加强您的数据库整体安全状况 。

根据互联网业务的需要，需为每个业务云主机创建网络对象。本小节介绍安全专区云防火墙方位策略配置。 配置方法： 从【导航菜单】页面中，点击【对象】→【网络对象】→【新增】→【业务】，进行相关配置。 名称：按需命名； 服务器IP：业务云主机的IP地址。

本文介绍如何停用域名和删除域名。 背景说明 如果客户的网站因业务变更需要停止加速服务，客户可以通过边缘安全加速控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云将加速域名的CNAME解析至客户源站地址。 注意：对域名进行停用操作后，边缘节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至边缘节点，则会响应403。 注意事项 停用加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云CDN入口，调整为解析至其他CNAME或A记录。该调整完成后，客户可以通过边缘安全加速控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

权限详情是指用户查看其他用户数据权限、敏感列权限、运维权限的操作，本文介绍用户权限详情功能，使用户可以快速熟悉用户权限详情页面的相关操作。 前提条件 用户权限详情功能仅限企业版。 用户需要具有进入用户管理或团队管理页面的菜单权限。菜单权限请参考权限说明。 注意事项 用户权限详情页面仅展示当前用户拥有管理权限的实例范围内，目标用户被授予或主动申请的数据权限、敏感列权限。因此，目标用户实际拥有的数据权限、敏感列权限并不局限于本页面中所展示的数据权限、敏感列权限。 如果当前用户是超级管理员、系统管理员，且目标用户是DBA时，还会展示目标用户的运维权限。 操作步骤 1. 登录数据管理服务DMS。 2. 在左侧菜单栏依次点击 安全协作>用户与角色 ，选择目标用户，点击更多>权限详情 按钮弹出权限详情页面；或者在左侧菜单栏依次点击安全协作>团队管理 ，切换到团队成员管理 页面，选择某个团队成员，点击权限详情按钮弹出权限详情页面。可以根据需要切换到库/模式权限、表权限、实例权限、敏感列权限或运维权限页面，查询目标用户不同类型的权限详情。

本小节介绍安全专区云堡垒机映射端口策略配置。 如需要从互联网访问云堡垒机，需在云防火墙设置服务器映射策略，操作请参考服务器映射。 策略配置如下： 1.使用“系统管理员”的账户登录安全专区，访问云防火墙组件管理。 2.进入【策略】→【地址转换】→【新增】→【服务器映射】，为云堡垒机添加端口服务映射，需要添加两个云堡垒机的映射策略，包括“堡垒机管理端口服务映射”和“堡垒机运维单点登录映射端口”： 3.添加“堡垒机管理端口服务映射”。 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：指定IP； 指定IP：云堡垒机IP地址； 端口转换为：443端口。 4. 添加“堡垒机运维单点登录映射端口”： 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：9443，12024，12025端口。 转换后数据包 网络对象：指定IP地址； 指定IP：云堡垒机IP地址。

本文主要介绍远程连接Linux云主机报错:read: Connection reset by peer如何处理。 问题现象 远程连接Linux云主机报错：read: Connection reset by peer 图 read: Connection reset by peer 可能原因 安全组未放通远程登录端口。 防火墙开启，且关闭了远程连接端口。 处理方法 针对此问题，我们推荐采用以下方式来排查： 检查安全组规则 −入方向：打开远程登录端口。默认使用的22端口。 −出方向：出方向规则为白名单（允许），放通出方向网络流量。 云主机防火墙添加端口例外 以Ubuntu操作系统为例： a.执行以下命令检查防火墙状态： sudo ufw status 回显信息如下： Status: active b.添加端口例外，以默认使用的22端口为例。 ufw allow 22 Rule added Rule added (v6) c.重新查看防火墙状态 Status: active To Action From 22 ALLOW Anywhere 22 (v6) ALLOW Anywhere (v6) 规则添加成功，重新测试远程连接云主机。

参数 参数说明 取值样例 所属弹性网卡 辅助弹性网卡所挂载的弹性网卡。您可以通过下拉列表框选择支持挂载辅助弹性网卡的弹性网卡。 (172.16.0.145) 所属VPC 辅助弹性网卡归属的VPC，无需填写。 vpcA 所属子网 选择辅助弹性网卡归属的子网。 subnetA01 描述 辅助弹性网卡的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“<”和“>”。 创建数量 待创建的辅助弹性网卡的数量，取值范围为1~20。 1 私有IP地址 选择是否为辅助弹性网卡分配私有IPv4地址，私有IP地址仅支持内网请求。当前版本不支持去勾选。 IPv4地址 选择私有IP地址的分配方式： 自动分配IP地址：系统自动分配IP地址。 手动指定IP地址：系统按指定的IP地址进行分配。若选择“手动指定IP地址”，则填写IPv4的私有IP地址。 自动分配IP地址 安全组 选择辅助弹性网卡所属安全组。 sg001

接口功能介绍 查询策略列表 接口约束 无 URI GET /v3/strategy/pageDesktopStrategy 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx orgOid 是 String 部门Oid strategyName 否 String 策略名称 isQuerySubOrg 否 Boolean 是否查询子部门策略 qosName 否 String qos名称 securityGroupName 否 String 安全组名称 pageNum 否 Integer 页码，至少1，默认1 pageSize 否 Integer 每页数量，最大100，默认10 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 total Long 总记录数 list Array of Objects 数据列表 list 表 list 参数 参数类型 说明 示例 下级对象 strategyOid String 策略Oid strategyName String 策略名称 qosOid String qos Oid securityGroupOid String 安全组Oid orgOid String 部门Oid

媒体存储产品优势 数据持久可用 具备多重冗余架构设计，保证数据持久性，服务可用性不低于99.99%，数据持久性不低于99.9999999999%。 服务稳定可靠 支持数据复制、数据迁移等自助备份能力，实现云上数据异地容灾。 安全合规保障 提供ACL、Policy授权和防盗链功能，保障访问安全可信；合规保留策略预防重要文件误删改。 按需弹性扩容 支持按需付费，存储容量可根据实际承载情况动态调整，提高业务灵活性。 视频流直存 深耕视频存储与应用场景，提供视频流直存和融合调度服务，实现视频就近接入/存储/分析/应用。 冷热分级存储 提供多档存储资源，生命周期策略实现不同热度数据的流动，有效节省存储开销。 大容量高性能 提供大容量、高吞吐的存储服务；采用高性能文件索引及缓存技术，支持千万级视频并发接入。 媒体服务集成 推荐搭配智能视图服务、云点播和CDN加速等云服务，轻松获得安防、视频转码和内容分发等能力。

说明：本章节会介绍如何重置数据库账号密码 操作场景 您可重置自己创建的数据库帐号密码，安全考虑，请定期（如三个月或六个月）修改密码，防止出现密码被暴力破解等安全风险。 限制条件 恢复中的实例，不可进行该操作。 操作步骤 步骤 1 登录管理控制台。 步骤 1 单击管理控制台左上角的，选择区域和项目。 步骤 2 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页。 步骤 4 在左侧导航栏，单击“帐号管理”，选择目标帐号，单击操作列的“重置密码”。 步骤 5 在弹出框中输入新密码和确认密码，单击“确定”，提交修改。 密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@%^+?,特殊字符。 新密码和确认密码需相同。 重置密码后数据库不会重启，权限不会发生变化。

本小节介绍购买渗透测试服务的操作步骤。 操作步骤 1. 在天翼云官网注册账户后，进入天翼云官网首页，在产品按钮中选择“安全及管理> 安全服务 > 渗透测试”，进入渗透测试页面。 2. 点击渗透测试服务的立即订购，按需求填写购买即可。 3. 您可以选择小型、中型、大型三种规格。 规格选择 描述 常见系统 小型渗透 测试对象为1个应用系统。 门户网站（仅包含信息展示页面）为一个应用系统，属于小型系统。 中型渗透 测试对象的复杂度相当于5个应用系统。 办公系统，包含邮箱系统、财务系统、工时系统，为三个应用系统，属于中型系统。 大型渗透 测试对象的复杂度相当于10个应用系统。 网银系统，包含门户网站、个人网银、企业网银、手机银行、微信银行、App用户端，为六个应用系统，属于大型系统。

本章节会介绍如何重置数据库账号密码。 操作场景 您可重置自己创建的数据库帐号密码，安全考虑，请定期（如三个月或六个月）修改密码，防止出现密码被暴力破解等安全风险。 限制条件 恢复中的实例，不可进行该操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页。 步骤 5 在左侧导航栏，单击“帐号管理”，选择目标帐号，单击操作列的“重置密码”。 步骤 6 在弹出框中输入新密码和确认密码，单击“确定”，提交修改。 密码长度为832个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入!@%^+?,特殊字符。 新密码和确认密码需相同。 重置密码后数据库不会重启，权限不会发生变化。

本文介绍SQL Server与其他服务的关系。 虚拟私有云（VPC） VPC是基于天翼云创建的自定义私有网络，为SQL Server提供一个逻辑上完全隔离的专有网络。使用VPC中的安全组、IP地址段、带宽等网络特性，可增强SQL Server服务的安全性。 弹性云主机（ECS） SQL Server配合弹性云主机一起使用，通过内网连接SQL Server可以有效地降低应用响应时间、节省公网流量费用。 弹性IP（EIP） SQL Server配合弹性IP一起使用，为您的实例提供公网访问方式。

补丁漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。安全专区整合外部漏洞扫描服务，实时返回补丁漏洞扫描数据。 配置方法 1.点击【补丁漏洞】中的一项漏洞，进行单项查询以及漏洞详细展现，导出扫描出来的补丁漏洞文件。 2.记录该数据返回（即风险终端），分析补丁漏洞所产生原因。 3.选择修复补丁漏洞，点击右侧【操作】，页面跳转组件系统进行管理。

本文主要对账号登录安全策略的几个场景进行了说明。 为了保障您的账号安全，天翼云账号若长期未登录或登录IP发生变动，登录时系统会要求进行短信验证。具体场景如下： 未登录≥180天 账号长时间未登录（≥180天），账号登录时需要进行短信验证。 IP地址发生市级变动 账号登录时，所在IP地址与上一次登录时的IP地址发生了市级及以上变动的，需要进行短信验证。 在海外登录 账号在海外登录，或登录时IP判定为海外IP，登录时需要进行短信验证。 注意 登录前请确保手机号码可正常接收短信验证码。

本章节主要介绍如何使用Data Studio图形界面客户端连接集群。 Data Studio是一款运行在Windows操作系统上的SQL客户端工具，有着丰富的GUI界面，能够管理数据库和数据库对象，编辑、运行、调试SQL脚本，查看执行计划等。在DWS 管理控制台下载Data Studio软件包，解压后免安装即可使用。 DataStudio可供下载的版本分为“Windows x86”和“Windows x64”两种版本，分别支持32位和64位Windows操作系统。 连接集群前的准备 已获取DWS集群的数据库管理员用户名和密码。 已获取DWS集群的公网访问地址，含IP地址和端口。具体请参见获取集群连接地址。 已配置DWS集群所属的安全组，添加入规则允许用户的IP地址使用TCP访问端口。 具体请参见《虚拟私有云用户指南》中“安全性 > 安全组 > 添加安全组规则”章节。 使用Data Studio连接到集群数据库 1. DWS 提供了基于Windows平台的Data Studio图形界面客户端，该工具依赖JDK，请先在客户端主机上安装JDK。 须知 仅支持Java 1.8版本的JDK。 在Windows操作系统中，您可以访问JDK官方网站，下载符合操作系统版本的JDK，并根据指导进行安装。 2. 登录DWS 管理控制台。 3. 单击“连接管理”。 4. 在“下载客户端和驱动”页面，下载“Data Studio图形界面客户端”。 请根据操作系统类型，选择“Windows x86”或“Windows x64”，再单击“下载”，可以下载与现有集群版本匹配的Data Studio工具。 如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的Data Studio工具。如果当前没有集群，单击“下载”时将下载到低版本的Data Studio工具。DWS 集群可向下兼容低版本的Data Studio工具。 单击“历史版本”可根据集群版本下载相应版本的Data Studio工具，建议按集群版本下载配套的工具。 5. 解压下载的客户端软件包（32位或64位）到需要安装的路径。 6. 打开安装目录，双击Data Studio.exe，启动Data Studio客户端，如下图所示。 说明 若您的电脑阻止应用运行，可对Data Studio.exe文件属性勾选解除锁定即可启动。 7. 在主菜单中选择 “文件>新建连接” ，如下图所示。 8. 在弹出的“新建/选择数据库连接”页面中，如下所示，输入连接参数。 配置连接参数 字段名称 说明 举例 数据库类型 选择“GaussDB A” GaussDB A 名称 连接名称。 dwsdemo 主机 所要连接的集群IP地址（IPv4）或域名。 端口号 数据库端口。 8000 数据库 数据库名称。 gaussdb 用户名 所要连接数据库的用户名。 密码 所要连接数据库的登录密码。 保存密码 在下拉列表中选择： “仅当前会话”：仅在当前会话中保存密码。 “不保存”：不保存密码。 启用SSL 启用时，客户端将使用SSL加密连接方式。SSL连接方式安全性高于普通模式，建议开启。 当“启用SSL”设置为开启时，请先参见使用SSL进行安全的TCP/IP连接章节下载SSL证书，并解压证书文件。然后单击“SSL”页签，设置如下参数。 配置SSL参数 字段名称 说明 客户端SSL证书 选择SSL证书解压目录下的“sslcertclient.crt”文件。 客户端SSL密钥 客户端SSL秘钥只支持PK8格式，请选择SSL证书解压目录下的“sslcertclient.key.pk8”文件。 根证书 当“SSL模式”设为“verifyca”时，必须设置根证书，请选择SSL证书解压目录下的“sslcertcacert.pem”文件。 SSL密码 客户端pk8格式SSL秘钥密码，默认密码为“Gauss@MppDB”。 SSL模式 DWS支持的SSL模式有： require verifyca DWS不支持“verifyfull”模式。 9. 单击“确定”建立数据库连接。 如果启用了SSL，在弹出的“连接安全告警”提示对话框中单击“继续”。 登录成功后，将弹出“最近登录活动”提示框，表示Data Studio已经连接到数据库。用户即可在Data Studio界面的“SQL终端”窗口中执行SQL语句。 Data Studio中执行增删改查操作后不支持回滚数据。

本文向您介绍标签管理服务的审计与日志。 云审计服务（Cloud Trace Service，CTS），是天翼云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开通云审计服务后，CTS可记录标签管理服务的操作事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 标签管理服务支持审计的操作事件请参见支持审计的关键操作列表。 如何查看审计日志请参见查看审计日志。

威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知（专业版）来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 事件 事件是一个广泛的概念，可以包括告警，但不限于此，它可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 告警 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便能够迅速响应并采取措施解决问题。 当态势感知（专业版）检测到的云资源中存在的异常情况（例如，某个恶意IP对资产攻击、资产已被入侵等）时，将以告警的形式将威胁信息展示在态势感知（专业版）告警管理界面中。

云原生网关CGW 归属模块 授权项 权限说明 权限依赖 系统策略 IAM项目 企业项目 归属模块 授权项 权限说明 权限依赖 云原生网关CGWadmin 云原生网关CGWviewer IAM项目 企业项目 产品订购 cgw:inst:createinstance 产品开通 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:delinstance 产品退订 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:extendinstance 产品扩容 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:instancebillmode 包周期按需互转 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:renewinstance 产品续订 无 ✓ ✗ ✓ ✗ 网关实例管理 cgw:inst:getSpuInstInfo 查询实例相关信息 无 ✓ ✓ ✓ ✗ 网关实例管理 cgw:inst:instancelist 查询网关实例列表 无 ✓ ✓ ✓ ✗ 网关实例管理 cgw:inst:updateSpuInst 更新实例信息 无 ✓ ✗ ✓ ✗ 网关配置管理 cgw:inst:updateTraceAnalysis 更新链路分析配置 无 ✓ ✗ ✓ ✗ 网关配置管理 cgw:inst:getTraceAnalysis 获取链路分析配置 无 ✓ ✓ ✓ ✗ ELB管理 cgw:inst:getElbInfo 查询ELB相关信息 无 ✓ ✓ ✓ ✗ ELB管理 cgw:inst:updateElb 修改ELB相关信息 无 ✓ ✗ ✓ ✗ 服务来源管理 cgw:inst:getUpstreamSource 查询服务来源 无 ✓ ✓ ✓ ✗ 服务来源管理 cgw:inst:updateUpstreamSource 更新服务来源 无 ✓ ✗ ✓ ✗ 服务来源管理 cgw:inst:getNacosInfo 查询Nacos相关信息 无 ✓ ✓ ✓ ✗ 服务来源管理 cgw:inst:getK8sInfo 查询K8s相关信息 无 ✓ ✓ ✓ ✗ 服务管理 cgw:inst:getUpstreamInfo 查询服务相关信息 无 ✓ ✓ ✓ ✗ 服务管理 cgw:inst:updateUpstream 更新服务 无 ✓ ✗ ✓ ✗ 服务管理 cgw:inst:getUpstreamVersions 获取服务版本信息 无 ✓ ✓ ✓ ✗ 服务管理 cgw:inst:updateUpstreamVersions 更新服务版本 无 ✓ ✗ ✓ ✗ 域名管理 cgw:inst:getDomainsInfo 查询域名相关信息 无 ✓ ✓ ✓ ✗ 域名管理 cgw:inst:updateDomains 修改域名 无 ✓ ✗ ✓ ✗ 路由配置 cgw:inst:getRoutesInfo 查询路由相关信息 无 ✓ ✓ ✓ ✗ 路由配置 cgw:inst:updateRoutes 修改路由 无 ✓ ✗ ✓ ✗ 路由配置 cgw:inst:getRouteSnapshotInfo 查询路由快照相关信息 无 ✓ ✓ ✓ ✗ 路由配置 cgw:inst:updateRouteSnapshot 修改路由快照 无 ✓ ✗ ✓ ✗ 安全认证 cgw:inst:getAuthInfo 查询认证相关信息 无 ✓ ✓ ✓ ✗ 安全认证 cgw:inst:updateAuth 修改认证 无 ✓ ✗ ✓ ✗ 安全认证 cgw:inst:getBlackWhiteListInfo 查询黑白名单相关信息 无 ✓ ✓ ✓ ✗ 安全认证 cgw:inst:updateBlackWhiteList 修改黑白名单 无 ✓ ✗ ✓ ✗ 观测分析 cgw:inst:getLogCenterInfo 查询日志相关信息 无 ✓ ✓ ✓ ✗ 观测分析 cgw:inst:updateLogCenter 修改日志 无 ✓ ✗ ✓ ✗ 观测分析 cgw:inst:getMonitorInfo 查询监控相关信息 无 ✓ ✓ ✓ ✗ 路由级插件 cgw:inst:getPluginConfigurationInfo 获取路由级插件相关信息 无 ✓ ✓ ✓ ✗ 路由级插件 cgw:inst:updatePluginConfiguration 修改路由级插件 无 ✓ ✗ ✓ ✗ 全局插件 cgw:inst:getPluginsInfo 获取全局插件相关信息 无 ✓ ✓ ✓ ✗ 全局插件 cgw:inst:updatePlugins 修改全局插件 无 ✓ ✗ ✓ ✗ 应用管理 cgw:inst:getAppManageInfo 查询应用管理相关信息 无 ✓ ✓ ✓ ✗ 应用管理 cgw:inst:updateAppManage 修改应用管理 无 ✓ ✗ ✓ ✗ API托管 cgw:inst:getApiGwServiceInfo 查询API托管服务管理相关信息 无 ✓ ✓ ✓ ✗ API托管 cgw:inst:updateApiGwService 修改API托管服务管理 无 ✓ ✗ ✓ ✗ API托管 cgw:inst:getApiGwGroupInfo 查询API托管分组管理相关信息 无 ✓ ✓ ✓ ✗ API托管 cgw:inst:updateApiGwGroup 修改API托管分组管理 无 ✓ ✗ ✓ ✗ API托管 cgw:inst:getApiGwApiInfo 查询API托管API管理相关信息 无 ✓ ✓ ✓ ✗ API托管 cgw:inst:updateApiGwApi 修改API托管API管理 无 ✓ ✗ ✓ ✗

本章节主要介绍翼MapReduce的约束与限制。 使用MRS前，您需要认真阅读并了解以下使用限制。 MRS集群必须创建在VPC子网内。 建议使用支持的浏览器登录MRS。 Google Chrome：36.0及更高版本。 Internet Explorer：9.0及更高版本。 当使用Internet Explorer 9.0时可能无法登录MRS管理控制台，原因是某些Windows系统例如Win7旗舰版，默认禁止Administrator用户，Internet Explorer在安装时自动选择其他用户如System用户安装，从而导致Internet Explorer无法打开登录页面。请使用管理员身份重新安装Internet Explorer 9.0或更高版本（建议），或尝试使用管理员身份运行Internet Explorer 9.0。 创建MRS集群时，支持自动创建安全组，也可从下拉框中选择已有的安全组。集群创建完成后，请勿随意删除或更改已使用的安全组。否则可以能导致集群异常，影响MRS集群的使用。 MRS集群使用的安全组请勿随意放开权限，避免被恶意访问。 请勿随意执行如下操作，避免集群进入异常状态，影响MRS集群的使用。 −在ECS中对MRS集群的节点进行关机、重启、删除、变更OS、重装OS和修改规格等操作。 −删除集群节点上已有的进程、安装的应用程序和文件。 集群处于非人为异常状态时，可以联系技术支持人员，技术支持人员征得您同意后会请您提供相关信息，登录MRS集群进行问题排查。 请根据业务需要规划集群节点的磁盘，如果需要存储大量业务数据，请增加云硬盘数量或存储空间。以防止存储空间不足影响节点正常运行。 集群节点仅用于存储用户业务数据，非业务数据建议保存在对象存储服务或其他弹性云服务器中。 集群节点仅用于运行MRS集群，其他客户端应用程序、用户业务程序建议申请独立弹性云服务器部署。 MRS集群的节点（包含Master，Core和Task节点）扩充存储容量时，不建议通过扩容原有磁盘的方式实现。建议通过创建磁盘再挂载的方式实现。 MRS集群扩容（包含存储能力和计算能力）时，可以通过增加Core节点或者Task节点的方式实现。 当关闭集群中的某一个Master节点后仍然使用集群执行任务或修改配置，且任务执行或配置修改后未启动被关闭的Master节点就关闭集群中其他Master节点时，存在由于主备倒换导致的数据丢失风险。在该场景下，请在任务执行或配置修改后先启动被关闭的Master节点，再关闭全部节点。若集群中节点已经被全部关闭，请按照节点关机顺序的倒序启动集群节点。 当使用MRS集群过程中进行Capacity和Superior调度器切换时只完成调度器的切换，不保证配置同步。如果您需要配置同步，请基于新的调度器重新配置。

如何强制客户端使用HTTPS请求访问网站？ 当您想要提高网站访问的安全性，可以开启HTTPS强制跳转功能，此时所有客户端的HTTP请求都将强制转换为HTTPS请求，并默认跳转至443端口，详情请参见将网站接入WAF防护（域名接入）、将网站接入WAF防护（ 独享型接入）。 WAF原生版是否支持HTTP 3.0协议？ WAF原生版暂不支持HTTP 3.0协议，目前仅支持HTTP 1.0/2.0协议。 网站接入WAF防护时，源站IP可以填写云主机的内网IP吗？ 域名接入 源站IP不可以填写云主机的内网IP。 域名接入采用CNAME的方式将原本去向网站的请求转向的WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。当前WAF提供的CNAME为公网解析的CNAME，只能解析到公网IP地址，无法解析到内网IP，所以源站IP地址不能填写云主机的内网IP。 注意 在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 独享型接入 独享型实例与业务主机部署在同一VPC，源站IP可以填写云主机的内网IP。

数据库安全审计日志类常见问题。 数据库安全审计的操作日志是否可以迁移？ 不可以。数据库安全审计当前不支持迁移数据库操作日志。 您可以查看数据库安全审计的操作日志，有关查看数据库安全审计操作日志的详细操作，请参见数据库安全审计的操作日志。 数据库安全审计的操作日志默认保存多久？ 数据库安全审计的操作日志会一直保存。 如何查看数据库安全审计的用户操作日志？ 请参照以下操作步骤，查看用户在数据库安全审计系统的操作日志。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。 5. 单击需要查看操作日志的实例名称，进入实例概览页面。选择“操作日志”页签，进入操作日志列表页面。 6. 查看操作日志，相关参数说明如下表所示。 说明 选择时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击 ，选择开始时间和结束时间，列表显示指定时间段的操作日志。 参数名称 说明 用户名 执行操作的用户。 发生时间 执行操作的时间。 功能 执行的功能操作。 动作 执行功能操作的动作。 操作对象 执行操作的对象。 描述 执行操作的描述信息。 结果 执行操作的结果。

本小节介绍微隔离防火墙产品定义和产品优势。 产品定义 微隔离防火墙（CTMIFW Microisolation Firewall）面向数据中心的跨平台统一安全管理软件，能够对数据中心的内部流量进行全面精细的可视化分析和高细粒度的安全策略管理，能够帮助用户快速便捷的实现环境隔离、域间隔离以及端到端隔离。与云下一代防火墙互补，实现纵深防御。 产品优势 基础架构无关 与基础架构无关，与系统适配。 Linux 发行版 CentOS: 5.X(有限支持)/ 6.X/ 7.X/ 8.3.2011； Ubuntu: 14/ 16/ 18.04 LTS/ 20； Debian: 8/ 9/ 10； Suse: 11.4/ 12SP1/ 12SP5； Open Suse: 42.3/ 13.2/ Leap15.0。 Windows Server Windows Server 2008R2； Windows Server 2012/ R2； Windows Server 2016； Windows Server 2019。 国产操作系统 UOS:V20Debian10/V20CentOS7.7/V20CentOS8.2； Kylin: V4/ V7/ V10； EulerOS: SP5； OpenEulerOS: 20.09/ 21.09。 容器平台 K8S+Docker； K8S+CIRO。 系统影响小 采用安全可靠架构设计 全用户态设计，不侵蚀系统内核； 单向控制通信，不额外开放端口； 客户端防卸载、防删除、防停用。 智能优化系统性能开销 连接、阻断关系合并上报； 防火墙策略对象智能聚合。 多项资源占用保护机制 CPU单核占用率降级阈值设定； 连接、阻断关系内存占用限制； Conntrack最大容量动态调整； TCP / UDP超时时间智能调整。