本文为您介绍租户集群为自建集群的集群组件安装步骤。 注意事项 集群组件在运行时会挂载k8s node宿主机的/data（非crio）和/root（crio）目录，请确保目录的权限正常。 请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 获取部署脚本 1. 进入容器安全卫士产品控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”，进入组件安装页面。 3. 单击“集群组件部署”，进入集群组件部署页面。 4. 选择“是否为天翼原生k8s集群”，此处选择“自建集群”；选择集群所在的资源池。 5. 下载镜像。 1. 选择容器运行环境（支持docker、containerd、CRIO）。 2. 选择集群CPU架构（支持X86、ARM架构）。 3. 单击“下载镜像Tar包”下载镜像Tar包到本地，然后加载至您的私有仓库中（请不要修改镜像名称）。 Tar包中包含4个镜像，分别为： library/dosecagent:20241224T19.31.05V5.2.0release298e83b85cc6c5bc,library dosechosttool:alpineV3.8,library dosecscanner:20250106T17.38.12V5.2.0releasebd003dd3e87a1881,library dosecserver:20250107T11.36.00V5.2.1sp891.1release287a57d168109d92 6. 生成部署脚本。 1. 选择集群所在的VPC、VPC子网，输入私有仓库的地址、账号、密码。 2. 单击“生成yaml文件”，并将yaml文件保存到本地。 注意 系统会根据您的输入自动生成yaml。 容器安全卫士不会保存您的私有仓库用户名和密码以保证安全。 下载后的包，内容请勿进行修改。 下载的脚本仅能用于一个k8s集群使用，若在不同集群重复使用可能造成数据异常。

本节介绍如何为下一代防火墙v1.0开启IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 下一代防火墙开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 下一代防火墙开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的下一代防火墙、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“下一代防火墙”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启下一代防火墙系统 在云等保专区左侧导航栏，选择“下一代防火墙”，在开通的设备右侧操作列点击“更多 > 重启”。

本节介绍了云容器引擎安全责任共担模型。 在云容器引擎 CCE 中，安全合规遵循责任共担原则。具体而言，云容器引擎 CCE 承担着集群控制面组件（涵盖 Kubernetes 控制平面组件与 etcd）及集群服务相关天翼云基础设施的默认安全保障责任。本文将详细阐述天翼云云容器引擎 CCE 的安全责任共担模型。 天翼云负责 在管控面侧，天翼云凭借完善的平台安全能力，负责保障管控面侧基础设施（涵盖计算、存储、网络等各类云服务资源）的安全。针对集群节点操作系统或 K8s 组件层面出现的安全漏洞，天翼云会及时发布相关公告，并提供对应的漏洞补丁或版本更新支持。天翼云还会围绕企业云原生应用生命周期中安全防护的典型场景，提供必要的安全防护功能及最佳实践指导。 客户负责 客户方安全管理与运维人员需承担部署于云上的业务应用安全防护责任，以及云上资源的安全配置与更新工作，具体包括以下内容： 依据天翼云发布的公告，采用其提供的补丁或版本升级方式，及时对操作系统、集群侧系统组件、运行时等存在的漏洞进行修复和版本更新 遵循安全原则对 CCE 集群、节点池及网络等进行参数配置，防止因参数或权限设置不当而给攻击者留下可乘之机 根据实际使用需求，按照权限最小化原则，完成账号、角色的授权，做好凭据管理，部署实施相关安全策略，并保障应用自身参数配置的安全性 负责应用制品的供应链安全 保障应用敏感数据及应用运行时的安全 CCE采用双层的权限体系，即IAM+RBAC。当删除 IAM 用户或 IAM 角色时，并不会同步移除该用户或角色所拥有的集群 KubeConfig 中的 RBAC 权限。因此，在删除离职员工或非受信人员的 IAM 用户或 IAM 角色前，需先吊销其 KubeConfig 权限。

导出SQL结果集 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域和项目。 步骤 3 单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 步骤 4 在左侧导航栏中，单击“开发工具”，进入开发工具页面。 步骤 5 选择需要登录的目标数据库实例，单击操作列表中的“登录”，登录目标数据库实例。 步骤 6 在顶部菜单栏选择“导入·导出 > 导出”。 步骤 7 在页面左上角选择“新建任务 > 导出SQL结果集”。 步骤 8 在新建SQL结果集导出任务弹框中，根据需要设置基本信息、及高级选项等。 SQL结果集导出任务中，执行SQL的最大限制是5M。 DAS不会保存任何用户数据，导出的数据文件将保存到您创建的OBS桶中。 创建OBS桶免费，但保存文件将产生一定的费用。 步骤 9 设置完导出任务信息，单击弹出页面下方的“确定”，创建导出任务。 步骤 10在导出任务列表页面，您可查看任务ID、任务类型、任务状态、进度等信息。 步骤 11 您可在列表操作栏，单击“查看详情”，在任务详情弹出页面，查看本次导出任务执行的详情信息。 下载数据文件 通过DAS导出任务导出的数据将保存到您创建的OBS桶中，您可以通过以下方式下载导出的数据文件。 通过DAS导出任务列表或任务详情界面中下载。 通过OBS服务管理控制台下载。 通过OBSBrowser下载文件。

本节主要介绍OOS涉及到的相关术语。 账户（ Account ） 在使用OOS之前，需要在天翼云网站www.ctyun.cn注册一个Account（账户）。注册时邮箱、密码和手机号码是必填项。正确填写所需信息并进行实名认证之后，联系天翼云客服人员（客服电话：4008109889）申请开通OOS服务。开通OOS服务成功之后，用户可以用该账户登录并使用OOS服务。 服务（ Service ） Service是OOS为注册成功的用户提供的服务，该服务为用户提供弹性可扩展的存储空间，用户可以根据自己的业务需要建立1至10个存储桶（Bucket）。 存储桶（ Bucket ） 存储桶（Bucket）是存储文件（Object）的容器。对象存储系统的每个文件（Object）都必须包含在一个存储桶中。对象存储提供的是基于桶和文件的扁平化存储方式，桶中的所有文件都处于同一逻辑层级，去除了文件系统中的多层级树形目录结构。 您可以设置存储桶的属性，用来控制数据存储位置、访问权限、生命周期等，这些属性设置直接作用于该存储桶内的所有文件，因此您可以通过灵活的属性设置，来创建不同的存储桶，完成不同的管理功能。每个用户最多可以建立10个存储桶。用户只有对Bucket拥有相应的权限，才可以对其进行操作，这样保证了数据的安全性，防止非授权用户的非法访问。 对象（ Object ） 对象（Object）是用户存储在OOS上的数据基本单元，也被称为OOS的文件。文件可以是文本、图片、音频、视频或者网页。OOS支持的单个文件的大小从1字节到5T字节。 用户可以上传、下载、删除和共享文件。同时用户还可以对文件的组织形式进行管理，将文件移动或者复制到目标目录下。

本文为您介绍密钥管理服务与其他云服务的关系，以及对应密钥的区分。 KMS与其他云服务的加密关系 KMS集成天翼云产品提供服务端加密能力，实现云上原生数据提供加密保护，有效提升默认安全能力。在创建云产品资源时开启加密功能，您可以自定义加密密钥，支持选择默认密钥和您在KMS中自行创建的用户主密钥。 服务端加密优势 提升云产品内生安全性 加密过程中使用的密钥由用户自定义选择，集中托管在KMS服务中，KMS已通过国家密码管理局审查，获得商用密码产品认证，合规性得到有效保障。 降低研发成本 使用云产品服务端加密能力，您无需自行构建和维护密钥管理基础设施，无需考虑自研数据加密能力所涉及的密钥管理安全及合理性、加密算法的研发等一系列复杂的工程，大幅度降低开发成本。 加密过程透明无感知 服务端加密为您提供内嵌至云服务中的加密方案，您无需关注底层数据加密的细节，只需一键开启加密功能，即可实现数据加密。 支持服务端加密的云产品 云硬盘 对象存储 弹性文件 关系型数据库MySQL版 关系型数据库PostgreSQL版 文档数据库服务 功能详情详见云产品服务端加密。 KMS与云审计服务的关系 已对接天翼云云审计服务，可通过云审计服务查看资源操作的记录，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至日志审计等产品实现永久保存。 KMS与云监控服务的关系 已对接天翼云云监控服务，可通过云监控服务查看实例节点的相关监控指标，并可以设置相关指标的告警规则及通知策略。

收集故障信息 6.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 7.在“服务”中勾选“Controller”，单击“确定”。 8.单击右上角的设置日志收集的时间范围，一般为告警产生时间的前后10分钟，单击“下载”。 9.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

步骤三：创建告警规则 1. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则控制台。 2. 在“告警规则”页签下，在页面右上角点击“创建告警规则”。 3. 在“创建告警规则”页面，根据界面提示配置参数。如下图： 1）选择监控对象。按图示顺序依次选择。 2）选择监控指标。 依次选择“自定义创建”，监控指标选择为“文件系统容量使用率“。 可以选择指标的原始值、平均值、最大值、最小值等不同的聚合值作为指标值，并设置监控阈值。容量使用率单位为百分比，可以按需设置85%、90%、95%等值。 聚合周期为计算聚合值的周期，例如选择用平均值进行监控，聚合周期5分钟，则5分钟计算一次平均值作为监控值，出现次数为3次表明3次聚合值达到监控阈值则将触发告警。 选择发送通知即表示同意天翼云云监控服务向您发送告警通知，按实际需求选择告警联系组、触发场景、通知周期等参数。参数定义可参考创建告警规则，更多告警功能使用请参考使用告警功能。 3）规则信息。须填写名称和描述，根据实际情况填写即可。

本文带您了解天翼云加密相关产品 天翼云支持以下方式，助您对弹性云主机资源进行加密，从而提升数据的安全性。 云硬盘加密 天翼云云硬盘支持系统盘加密和数据盘加密。 云硬盘加密功能 ：创建云硬盘时，用户可以选择是否加密此云硬盘，云硬盘创建完成后加密属性无法更改。 云主机系统盘加密 ：创建云主机时，支持在创建时直接设置系统盘加密。 云主机数据盘加密 ：创建云主机时，支持在创建时直接设置数据盘加密。 云硬盘加密与快照 ：加密云硬盘生成的快照及通过这些快照创建的云硬盘将自动继承加密功能属性。 云硬盘加密与备份 ：加密云硬盘生成的备份及通过这些备份创建的云硬盘将自动继承加密功能属性。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。KMS对密钥的所有操作都会进行访问控制及日志跟踪，并提供所有密钥的使用记录，满足审计和合规性要求。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥（Default CMK） ：用户第一次通过对应云服务使用KMS加密时，系统自动生成的并托管在用户账号下的服务密钥。 用户主密钥（Customer Master Key，CMK） ：用户主密钥包括对称密钥及非对称密钥，主要用于加密保护数据密钥并产生信封，也可直接用于加密少量的数据。用户可以调用KMS的API CreateKey创建一个用户主密钥。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。 每个地域的加密云硬盘，都需要通过256位数据密钥（DK）进行加密，此数据密钥（DK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

本文介绍如何升级本地机器的备份客户端。 操作场景 云备份服务需要搭配备份客户端使用，当安装的客户端不是最新版本时，您可以选择升级客户端至最新版本。 前提条件 本地机器已安装客户端，且客户端不是最新版本。 本地机器在“运行中”，且没有备份任务、恢复任务正在执行。 操作步骤 本地客户端升级 1. 登录控制中心。 2. 在控制中心左上角点击，选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧导航栏“本地文件备份”页签，您可进入本地文件备份页面。 5. 单击“客户端资源”，进入客户端资源页面，您可查看当前地域下所有本地客户端的信息。 6. 如果某个客户端资源的客户端版本不是最新版，在“客户端版本”列会显示“升级”按钮。 7. 找到待升级的本地客户端所在行，单击“升级”。进入“升级客户端”确认页面。 8. 对于Linux系统，可以选择执行升级命令或手动下载升级安装包的方式进行客户端升级；对于Windows系统，可以选择下载升级安装包的方式进行客户端升级。 注意 升级过程中不能对本地机器进行关机、重启等操作，否则会导致升级失败。升级客户端会导致正在执行的备份任务、恢复任务中断并失败，建议在没有任务执行的情况下对客户端进行升级。

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list<object> 否 返回结果列表 result[].domain string 否 域名 result[].logs list<object> 否 下载日志地址列表 result[].logs[].timepoint string 否 日志文件包含的时间点，北京时间，格式为： YYYYMMDD HH:MM result[].logs[].size int 否 日志文件大小，单位：B result[].logs[].url string 否 日志文件下载路径 result[].logs[].md5 string 否 日志文件md5值

收集故障信息 9.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 10.在“服务”中勾选待操作集群的“Hive”。 11.单击右上角的设置日志收集的“开始时间”和“结束时间”，分别为告警产生时间的前后10分钟，单击“下载”。 12.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

收集故障信息 1.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 2.在“服务”中勾选操作集群的“Presto ”，单击“确定”。 3.单击右上角的，设置日志收集的“开始时间”和“结束时间”，分别为告警产生时间的前后30分钟，单击“下载” 4.请联系运维人员，并发送已收集的故障日志信息。 参考信息 无。

收集故障信息 6. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 7. 在“服务”中勾选待操作集群的“ZooKeeper”。 8. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 9. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

收集故障信息 4.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选“NodeAgent”，单击“确定”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

收集故障信息 4.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选“NodeAgent”，单击“确定”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

收集故障信息 4.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选“NodeAgent”，单击“确定”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

收集故障信息 4.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选“NodeAgent”，单击“确定”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本文介绍如何处理CNAME解析不生效问题。 CNAME（Canonical Name）记录是一种别名记录，用于将多个域名映射到同一台计算机或服务器上。通过配置CNAME记录，可以实现域名的别名映射，将一个域名解析到另一个域名上。客户接入DDoS高防（边缘云版）时，在天翼云DDoS高防（边缘云版）控制台完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名，例如 .ctdns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向 .ctdns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云边缘节点，实现防护的目的。 如发现CNAME未正常解析，可能的原因如下： 1、CNAME配置错误：请检查所配置的CNAME解析记录值是否与天翼云DDoS高防（边缘云版）控制台提供的CNAME地址一致。如果不一致，可能会导致解析失败。 2、TTL未过期：在完成CNAME配置后，运营商localDNS的TTL可能还未过期。通常情况下，TTL时间为10分钟，但实际生效以您域名解析时配置的TTL为准。需要等待TTL时间过期后，新的CNAME解析才能生效。

操作步骤 1. 使用Putty或其他终端以root用户登录到已安装Agent的弹性云主机中。 2. 执行如下命令，下载并运行批量安装脚本。 plaintext cd /usr/local && curl k O && bash batchagentinstall.sh r cnjssz1 u 0.1.9 t 2.5.6 d ces.cnjssz1.ctyun.cn 注：命令中的部分内容为示例说明（苏州资源池举例：uniagentcnjssz1.obs.cnjssz1.ctyun.cn，cnjssz1，ces.cnjssz1.ctyun.cn），对应资源池请登录控制台Agent安装引导页面，选择您需要安装Agent的资源池获取具体Agent包地址，或者通过前提条件表格获取。 3. 安装完成后，登录云监控服务管理控制台，单击左侧导航栏的“主机监控”。查看所有已安装Agent的弹性云服务器列表。 说明 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，等待35分钟，刷新即可。 4. （可选）安装完成后如果不需要pexpect模块，则执行如下命令，到python安装目录下删除pexepct和ptyprocess模块。 plaintext cd /usr/lib/python2.7/sitepackages rm pexpect3.2py2.7.egginfo f rm ptyprocess0.5.2py2.7.egginfo f

使用文件传输 1. 使用访问用户登录云堡垒机（原生版）。 2. 在左侧导航栏选择“资产访问”，在“资产访问”页面选择“文件传输”页签。 3. 选择需要访问的资产，单击“访问协议”，在右侧选择和填写相关内容后，单击需要使用的运维工具(如Filezilla、WinSCP等)，即可使用文件传输。 说明 仅企业版/高级版支持H5运维。标准版不支持H5运维。 做H5运维操作前请先放通18443端口，参见安全组策略设置。可使用telnet 堡垒机IP 18443命令验证端口是否放通。 不支持传输大小超过1G的超大文件，建议分批次上传/下载文件，或通过客户端工具传输文件。 访问数据库资产 方式一：堡垒机单点登录 1. 使用访问用户登录云堡垒机（原生版）。 2. 在左侧导航栏选择“资产访问”，在“资产访问”页面选择“数据库”页签。 3. 选择需要访问的资产，单击“访问协议”，在右侧选择和填写相关内容后，单击需要使用的运维工具(如Navicat、DBeaver等)，即可单点登录访问数据库资产。 说明 支持纳管的数据库请参考：使用限制章节。

方式二：自行调用海光提供的远程证明接口进行验证 1. 在云主机内下载如下远程证明样例工具并安装相关python包。 plaintext wget plaintext wget plaintext sudo pip3 install r requirements.txt plaintext chmod +x ./csvattestation.py 2. 安装成功后，在云主机内调用该工具以生成“证据”，“证据”保存在当前目录下，默认名称为report。 plaintext sudo ./csvattestation.py generate r ./ 在您生成“证据”时，您也可以执行如下命令添加nonce，用以确认“证据”为本次生成。 plaintext head c 32 /dev/urandom base64 plaintext sudo ./csvattestation.py generate r ./ u 3. 执行如下命令，在本地安全环境校验“证据”。 plaintext sudo ./csvattestation.py verify r ./report 该脚本会帮助您从海光厂商拉取证书，并验证“证据”。您可对返回的内容自行校验，示例如下： 说明 1. “POLICY”的含义与方式一中的“policy”类似，对于布尔值，出现则代表“1”，未出现则代表“0”。 2. 若在第2步中添加了nonce，Userdata字段中将包含对应的nonce。

本文为您介绍云服务器的常用端口及ACL保护云服务器常用端口的典型应用。 常用端口 常用端口及服务如下表所示。 端口 服务 说明 21 FTP FTP服务所开放的端口，用于上传、下载文件。 22 SSH SSH端口，用于通过命令行模式使用用户名密码验证连接Linux实例。 23 Telnet Telnet端口，用于Telnet远程登录ECS实例。 25 SMTP SMTP服务所开放的端口，用于发送邮件。 80 HTTP 用于HTTP服务提供访问功能，例如，IIS、Apache、Nginx等服务。 110 POP3 用于POP3协议，POP3是电子邮件接收的协议。 143 IMAP 用于IMAP（Internet Message Access Protocol）协议，IMAP是用于接收电子邮件的协议。 443 HTTPS 用于HTTPS服务提供访问功能。HTTPS是一种能提供加密和通过安全端口传输的一种协议。 1433 SQL Server SQL Server的TCP端口，用于供SQL Server对外提供服务。 1434 SQL Server SQL Server的UDP端口，用于返回SQL Server使用了哪个TCP/IP端口。 1521 Oracle Oracle通信端口，ECS实例上部署了Oracle SQL需要放行的端口。 3306 MySQL MySQL数据库对外提供服务的端口。 3389 Windows Server Remote Desktop Services Windows Server Remote Desktop Services（远程桌面服务）端口，可以通过这个端口使用软件连接Windows实例。 8080 代理端口 同80端口，8080端口常用于WWW代理服务，实现网页浏览。

方式二：自行调用海光提供的远程证明接口进行验证 1. 在云主机内下载如下远程证明样例工具并安装相关python包。 plaintext wget plaintext wget plaintext sudo pip3 install r requirements.txt plaintext chmod +x ./csvattestation.py 2. 安装成功后，在云主机内调用该工具以生成“证据”，“证据”保存在当前目录下，默认名称为report。 plaintext sudo ./csvattestation.py generate r ./ 在您生成“证据”时，您也可以执行如下命令添加nonce，用以确认“证据”为本次生成。 plaintext head c 32 /dev/urandom base64 plaintext sudo ./csvattestation.py generate r ./ u 3. 执行如下命令，在本地安全环境校验“证据”。 plaintext sudo ./csvattestation.py verify r ./report 该脚本会帮助您从海光厂商拉取证书，并验证“证据”。您可对返回的内容自行校验，示例如下： 说明 1. “POLICY”的含义与方式一中的“policy”类似，对于布尔值，出现则代表“1”，未出现则代表“0”。 2. 若在第2步中添加了nonce，Userdata字段中将包含对应的nonce。

本节为您介绍云迁移服务CMS异构评估，组件应用程序任务评估创建相关内容。 1. 云迁移服务CMS提供组件应用程序任务评估创建功能，在左侧导航栏选择迁移评估，点击【异构评估】按钮。跳转至异构评估 [ 组件应用程序 ] 界面。点击【创建评估任务】按钮，跳转至[发现方式选择]界面，如图所示。 2. 在 [ 发现方式选择 ] 界面，您可以选择采集方式，异构评估提供离线采集于在线采集两种模式。如图所示。 3. 点击【离线采集】按钮，跳转至 [ 信息采集 ] 界面，编辑评估任务名称、源端类型相应信息，点击【下一步】按钮，如图所示。 评估任务名称 创建任务使用的名称，用于更好的识别评估报告的对象、用途等。 源端类型 源端类型分为阿里云、IDC离线模板。 目标区域 同一分析任务下所有资源为同一目标区域 点击【调研模板下载】按钮，对模板信息进行填写，如图所示。 填写模板信息，如图所示。 4. 进入[任务完成]界面，点击【完成】按钮，跳转至异构迁移 [ 组件应用程序 ] 界面。如图所示

回调鉴权密钥信息的获取。 V4鉴权可适用于云点播接收回调事件的鉴权。如您需要获取相关密钥，可按照如下步骤操作： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【回调密钥】，即可获取AK/SK，作为接收回调事件的凭证使用。

本章节指导您配置云审计服务的事件跟踪器。 创建事件跟踪并投递至日志审计服务 说明 云审计目前仅支持投递至v3.0.1版本的日志审计服务中，若您的版本低于v3.0.1可提交工单升级。 1. 进入云审计服务控制台。 2. 在左侧导航栏选择“事件跟踪”，进入“事件跟踪”页面。 3. 单击左上角的“创建跟踪任务”，进入“新建事件跟踪”页面并填写相关参数。 参数 填写说明 跟踪任务名称 填写跟踪任务的相关名称。 长度为263字符，以大小写字母或中文开头，可包含数字、"."、""、""。 启用状态 选择跟踪任务的启用状态。 事件范围 跟踪任务记录的事件范围，可选“全部”、“只读”和“可选”。 投递类型 选择投“日志审计”。 日志审计实例 选择需要投放日志审计实例。 发送端口 日志审计待发送的端口。 注意 默认值为6514，需要与日志审计配置中保持一致。 证书 上传在日志审计中下载的证书，仅支持.p12格式。 4. 配置完成后单击“确定”，完成事件跟踪配置。 5. 配置完成后，即可在日志审计（原生版）控制台查看云审计事件。 查询日志：在“事件分析 > 日志检索”页面，支持通过列表和统计图的方式查看日志数据。详细操作请参见日志检索日志审计（原生版）。 查看仪表板：在“审计报表 > 仪表版”页面，可以查看所选时间范围内的全景视图，通过可视化方式展示统计数据，包括事件总数、事件趋势、事件等级分布、资源类型TOP10信息。

本节提供轻量型云主机的服务协议。 轻量型云主机产品服务协议请参见天翼云轻量型云主机服务协议。

1、　请求状态码 正常状态码 描述 200 请求成功 3 请求转移 4 客户端错误 5 服务端错误 2、　全局请求返回错误码 错误 码 描述 10002 生成签名时官网ak信息错误 10020 签名错误 40002 缺少appkey头 40006 无效的appkey 40008 不支持的请求类型 40009 IP未被APP授权 40010 IP未被API授权 50000 服务内部错误 50001 服务未注册 50002 应用未开通 50003 API中无效的URL请求 51001 购买服务已过期 51002 收费API未购买 51003 API可用次数已不足

1、请求状态码 正常状态码 描述 200 请求成功 3 请求转移 4 客户端错误 5 服务端错误 2、全局请求返回错误码 错误 码 描述 10002 生成签名时官网ak信息错误 10020 签名错误 40002 缺少appkey头 40006 无效的appkey 40008 不支持的请求类型 40009 IP未被APP授权 40010 IP未被API授权 50000 服务内部错误 50001 服务未注册 50002 应用未开通 50003 API中无效的URL请求 51001 购买服务已过期 51002 收费API未购买 51003 API可用次数已不足

本节主要介绍DNAT规则模板导入导出的操作步骤。 操作场景 公网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对互联网提供服务。 一个云主机绑定一条DNAT规则，如果您有多个云主机需要为互联网提供服务，则需要创建多条DNAT规则。 操作前提 已成功创建公网NAT网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入公网NAT网关页面。 3. 在公网NAT网关页面，单击需要添加DNAT规则的公网NAT网关名称。 4. 在公网NAT网关详情页面中，单击“DNAT规则”页签。 5. 在DNAT规则页签中，单击“导入DNAT规则列表”，下载模板。 6. 根据模板中的表头，填写DNAT规则参数，详情请参见下表。 表 DNAT规则参数说明 参数 说明 使用场景 分为虚拟私有云和云专线两种方式。 虚拟私有云：表示虚拟私有云中的云主机将通过DNAT的方式共享弹性IP，为公网提供服务。 云专线：表示通过云专线方式接入虚拟私有云的本地数据中心中的服务器，将通过DNAT的方式为公网提供服务。 支持协议 协议类型分为TCP、UDP、全部三种类型。 弹性IP 弹性IP地址及公网端口。只能使用未绑定的弹性IP或者被绑定在当前VPC中DNAT规则上的弹性IP。 私网IP 当使用场景为虚拟私有云时，指云主机的IP地址。表示此IP地址的云主机将通过DNAT方式为公网提供服务。 当使用场景为云专线时，指用户本地数据中心中服务器的IP地址或者用户的私有IP地址。 表示通过云专线接入到虚拟私有云的本地数据中心端的此私有IP服务器，可以通过DNAT方式为公网提供服务。 协议类型为TCP、UDP时，需要配置私网IP的端口。 描述 DNAT规则信息描述。最大支持255个字符。 7. 模板填写完后，单击“导入DNAT规则列表”图标，选择本地模板，单击“导入”。 8. 可在DNAT规则列表中查看详情，若“状态”为“运行中”，表示创建成功。 9. 在DNAT规则页签中，单击“导出DNAT规则列表”，可导出已配置好的DNAT规则模板。

本文介绍云SSO的场景实践 应用实践：客户已有账号体系单点登录后以云SSO用户身份访问成员账号 客户已有账号体系可以通过SAML2.0直接单点访问天翼云账号，并可以通过SCIM同步客户侧的用户/组信息； 步骤1：进入“云SSO中心”“管理设置”中，“身份源”选择“身份提供商” 步骤2：配置IDP的身份提供商标识，单点登录登出地址，身份提供商签名公钥等信息 步骤3：客户端配置SP元数据。天翼云SP META可从“管理身份提供商”页面获取 步骤4：配置SCIM同步（可选），配置方式参考“用户指南”。