本节介绍了重置Windows云主机密码(未安装重置密码插件)的操作场景、前提条件、操作步骤。 操作场景 如果Windows操作系统弹性云主机未安装密码重置插件，可以参见本节内容重新设置密码。 本节操作介绍的方法仅适用于修改Windows本地账户密码，不能修改域账户密码。 Linux操作系统请参见重置Linux云主机密码（未安装重置密码插件）。 说明 如果弹性云主机提前安装了密码重置插件，请参见 公共镜像创建的弹性云主机默认已安装一键重置密码插件。请参考 注意 本节操作的方法需要卸载系统盘，为了避免造成系统盘数据丢失，建议您在操作前先备份系统盘。 前提条件 准备一台Linux操作系统的临时弹性云主机，建议操作系统为Ubuntu14.04以上版本，且该临时弹性云主机与待重置密码的弹性云主机位于同一个可用区。 说明 目前仅支持Ubuntu 16.04和Ubuntu 18.04版本的公共镜像执行该操作。 您可以选择符合要求的已有云主机作为临时弹性云主机，也可以重新购买一台临时弹性云主机。 重新购买的弹性云主机在重置密码后，建议释放，以免继续收费。 临时弹性云主机已经绑定弹性IP，并配置系统aptget源。 通过下面的方法，在临时弹性云主机中安装ntfs3g和chntpw软件包。 方法一： 执行以下命令，安装ntfs3g和chntpw软件包。 sudo aptget install ntfs3g chntpw 方法二： 根据临时弹性云主机的操作系统版本，下载对应版本的ntfs3g和chntpw软件包进行安装。 ntfs3g获取地址： chntpw获取地址：

功能说明 您可以通过 createPresignedRequest 接口为一个指定对象生成一个预签名的下载链接。 代码示例 生成下载预签名URL： php public function generateGetobjectPresignedUrl() { $bucket ' '; $objectName ' '; $expires "+5 minutes"; // 表示5分钟后过期 $cmd $this>s3Client>getCommand('GetObject', [ 'Bucket' > $bucket, 'Key' > $objectName, ]); $request $this>s3Client>createPresignedRequest($cmd, $expires); $presignedUrl (string)$request>getUri(); echo "generateGetobjectPresignedUrl success " . $presignedUrl . "n"; } 生成下载对象的预签名URL后，可以通过该URL下载文件： php public function getObjUsingPresignedUrl($presignedUrl, $localFilePath) { try { $objectContent filegetcontents($presignedUrl); ​ if ($objectContent false) { $error errorgetlast(); echo "Download failed: " . $error['message'] . "n"; return; } ​ fileputcontents($localFilePath, $objectContent); ​ echo "Download successful. File saved to: " . $localFilePath . "n"; } catch (Exception $e) { echo "Download failed: " . $e>getMessage() . "n"; } } 请求参数 参数 类型 说明 是否必要 Bucket string 桶名称 是 Key string 对象key 是 expires intstring 过期时间（Unix时间戳或者能用strtotime解析的字符串） 是 返回结果 生成对应的预签名下载 URL，该链接允许用户在指定的时间内直接从媒体存储下载对象。 生成上传预签名URL 功能说明 您可以通过 createPresignedRequest 接口为一个指定对象生成一个预签名的上传链接。

本文为您介绍精准访问控制功能说明，以及如何配置自定义访问控制策略。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 使用限制 基础版不支持精准访问控制功能，请升级到更高版本使用。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“精准访问控制”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入精准访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、过期时间、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截：选择拦截时，支持开启“攻击惩罚”。 说明 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本章节主要介绍在YARN服务进行Master扩容后，对其他相关服务的修改建议。 前置条件 1. YARNResourceManager完成扩容与配置生效操作。 2. 集群状态正常。 相关服务修改建议 Spark 请前往翼MR Manager重启SparkHistoryServer所有的实例。 Flink 1. 如$FLINKHOME/conf目录下不存在yarnsite.xml 文件，无需对Flink进行操作。 2. 如$FLINKHOME/conf目录下存在指向yarnsite.xml 文件的软链，需确认该软链指向更新后的yarnsite.xml文件并且内容一致。 3. 如$FLINKHOME/conf目录下存在yarnsite.xml 文件，需使用更新后的yarnsite.xml文件替换此文件。 4. 请前往翼MR Manager页面重启FlinkHistoryServer所有实例（需使用该文件作为依赖项或资源的客户Flink作业）。

监控指标 指标含义 CPU使用率 该指标为从物理机层面采集的CPU使用率，数据准确性低于从弹性云主机内部采集的数据。 内存使用率 该指标用于统计节点的内存使用率。 磁盘使用率 节点的磁盘使用率，统计对象是使用率最大的磁盘，而非所有磁盘的平均使用率； 节点的磁盘剩余容量，统计对象是剩余容量最大的磁盘，而非所有磁盘的剩余容量之和。 CPU/内存/磁盘使用记录 可查看一小时内的CPU使用率、内存使用率和磁盘使用率的曲线。 下行速率 一般指从网络下载数据到节点的速度，单位KB/S。 上行速率 一般指从节点上传网络的速度，单位KB/S。 网络监控 可查看一小时内的下行速率、上行速率的曲线。

请求参数 参数 类型 说明 是否必要 Bucket string bucket的名称 是 Key string 对象的key 是 Expires time.Duration 超时时间 是 返回结果 生成对应的预签名上传 URL，该链接允许用户在指定的时间内直接将对象上传到媒体存储存储桶。 生成预签名下载链接 功能说明 本接口能够为一个指定对象生成一个预签名的下载链接，访问该链接可以直接下载该对象。 代码示例 以下代码演示如何为一个指定对象生成一个预签名的下载链接。 plaintext func GetObjectPresignedUrl(svc s3.S3) { getObjectInput : &s3.GetObjectInput{ Bucket: aws.String(" "), Key: aws.String(" "), } req, : svc.GetObjectRequest(getObjectInput) expires : 10 time.Minute urlStr, err : req.Presign(expires) if err ! nil { fmt.Println("err, ", err) return } fmt.Println("success, ", urlStr) } 通过该URL，可以直接下载对象。 plaintext func (p S3Demo) getObjectUsingPresignedUrl(url string, downloadPath string) error { // 发送 GET 请求以下载对象 resp, err : http.Get(url) if err ! nil { return fmt.Errorf("failed to download file: %w", err) } defer resp.Body.Close() ​ // 检查响应状态是否成功 if resp.StatusCode ! http.StatusOK { bodyBytes, : io.ReadAll(resp.Body) return fmt.Errorf("failed to download file, status: %s, response: %s", resp.Status, string(bodyBytes)) } ​ // 创建目标文件以保存下载内容 outFile, err : os.Create(downloadPath) if err ! nil { return fmt.Errorf("failed to create file %s: %w", downloadPath, err) } defer outFile.Close() ​ // 将响应内容写入文件 , err io.Copy(outFile, resp.Body) if err ! nil { return fmt.Errorf("failed to save file: %w", err) } ​ fmt.Println("Successfully downloaded file to:", downloadPath) return nil }

支持配置撞库防护策略防范攻击者通过撞库盗取用户的信息。 功能介绍 支持配置撞库防护策略，防范攻击者通过撞库盗取用户的信息。 撞库是什么？ 撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址，这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发，通过碰撞用户名得到账号密码信息。 撞库的防护原理 边缘云WAF针对撞库的防护方式主要是以下三种： 频率限速：由于猜解需要不断访问登录接口，因此可以通过异常速率来限制撞库； 用户登录信息与泄露信息库比对：将用户信息与实时更新的泄露信息库做相关数据对比，查看用户是否正在使用已暴露的密码，根据结果采取对应措施； 用户敏感信息脆弱性分析：通过脆弱性算法分析当前密码的暴露风险层级与易猜解程度，对暴露较多区块的密码以及极易猜解的密码引导到客户配置的处理方式上。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持撞库防护相关功能。

步骤一：在RDS for MySQL下载全量备份文件 RDS for MySQL实例会在固定时间进行自动全备任务，也可以由您指定时间进行手动全备任务，其生成的.qp文件支持下载以及在本地进行恢复自建数据库。 1. 您可以在RDS界面单击实例名称，选择“备份恢复 > 全量备份 > 下载”，下载全量备份文件。 2. 通过文件传输工具（例如WinSCP）将全备文件上传到本地MySQL库所在的Linux设备。 步骤二：在本地MySQL安装qpress和XtraBackup 方式一：手动安装 1. 下载正确版本的qpress和XtraBackup，也可以根据下表进行下载。下载完成后将安装包上传到本地MySQL库所在的Linux设备。 − 下载qpress工具： − 下载Percona XtraBackup工具： 对于MySQL 5.6和5.7版本，下载XtraBackup 2.4.9及其以上版本。 对于MySQL 8.0版本，下载XtraBackup 8.0及其以上版本。 表 下载示例 工具 下载实例 MySQL 5.6 mysql5.6.51linuxglibc2.12x8664.tar.gz MySQL 5.7 mysql5.7.38linuxglibc2.12x8664.tar.gz MySQL 8.0 mysql8.0.26linuxglibc2.12x8664.tar qpress qpress111.el7.x8664.rpm Percona XtraBackup XtraBackup 2.4.9（MySQL 5.6、5.7） Percona XtraBackup XtraBackup 8.0（MySQL 8.0） 2. 安装qpress rpm包。以Enterprise Linux 7（CentOS 7, RHEL 7, Rocky Linux 7, AlmaLinux 7）操作系统为例。 rpm ivh qpress111.el7.x8664.rpm 3. 解压Xtrabackup包，并改名为“xtrabackup”。 tar zxvf perconaxtrabackup2.4.9Linuxx8664.tar.gz mv perconaxtrabackup2.4.9Linuxx8664 xtrabackup 4. xtrabackup添加到环境变量。 plaintext echo "export PATH$PATH:/usr/local/xtrabackup/bin" >> /etc/profile mv xtrabackup/ /usr/local/ source /etc/profile 方式二：wget安装 1. 安装qpress rpm包。 wget rpm ivh qpress111.el7.x8664.rpm 2. 安装Percona XtraBackup。 − MySQL 5.6、5.7，以下载并安装Percona XtraBackup 2.4.9为例 wget rpm ivh perconaxtrabackup242.4.91.el7.x8664.rpm nodeps force − MySQL 8.0，以下载并安装Percona XtraBackup 8.0为例 wget rpm ivh perconaxtrabackup808.0.3226.1.el7.x8664.rpm nodeps force 步骤三：使用备份文件恢复数据到自建MySQL 1. 创建一个临时目录“backupdir”。 mkdir backupdir 2. 解压全备文件。 说明 解压全备文件到临时目录“backupdir”前，需要保证临时目录下为空，再进行解压，避免恢复异常。 − MySQL 5.6、5.7 xbstream x p 4 < ./全备文件.qp C ./backupdir/ innobackupex parallel 4 decompress ./backupdir − MySQL 8.0 xbstream x p 4 < ./全备文件.qp C ./backupdir/ xtrabackup parallel 4 decompress targetdir./backupdir 3. 删除qp文件。 find ./backupdir/ name '.qp' xargs rm f 4. 应用redo日志。 − MySQL 5.6、5.7 innobackupex applylog ./backupdir − MySQL 8.0 xtrabackup prepare targetdir./backupdir 5. 备份数据。 a. 停止MySQL数据库服务。 service mysql stop 如果是MySQL 5.7，需执行如下命令停止MySQL数据库服务： /bin/systemctl stop mysqld.service b. 备份原来的数据库目录。 mv /usr/local/mysql/data /usr/local/mysql/databak mkdir /usr/local/mysql/data c. 创建新的数据库目录并修改目录权限。 chown mysql:mysql /usr/local/mysql/data 6. 恢复数据到自建库，并修改目录权限。 执行该步骤前，需要清空自建库的“data”目录，参考5.b。 − MySQL 5.6、5.7 innobackupex defaultsfile/etc/my.cnf copyback ./backupdir chown R mysql:mysql /usr/local/mysql/data − MySQL 8.0 xtrabackup defaultsfile/etc/my.cnf copyback targetdir./backupdir chown R mysql:mysql /usr/local/mysql/data 说明 命令中的相对路径（./backupdir）可替换成绝对路径。 “defaultsfile”为MySQL配置文件位置，您可以根据实际情况进行修改。 7. 启动数据库。 service mysql start 如果是MySQL 5.7，需执行如下命令启动数据库： /bin/systemctl start mysqld.service 8. 登录数据库，查看数据恢复结果。 show databases

步骤 配置操作 说明 1 步骤一：添加数据库并开启审计 购买数据库安全审计后，您需要先将待审计的数据库添加到数据库安全审计实例并开启该数据库的审计功能。 2 步骤二：添加Agent 添加的数据库开启审计功能后，您需要为添加的数据库选择Agent的添加方式。数据库安全审计支持对云上的物理机/云主机的自建数据库和RDS云数据库进行审计，请根据您在管理控制台上实际部署的数据库选择Agent添加方式。 3 步骤三：安装Agent 添加Agent后，您需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 4 查看审计总览信息 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。安装Agent后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。

本文主要介绍SQL Server实例绑定/解绑弹性公网IP的操作步骤。 SQL Server实例创建成功后，默认未绑定弹性IP，不能使用使用公网访问功能。SQL Server支持用户绑定弹性IP，通过公共网络访问数据库实例。 前提条件 ● 实例状态为“运行中”。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中可以看到弹性IP属性，如果该实例未绑定弹性IP则会显示为空，此时可以单击【更多】的【绑定弹性公网IP】按钮，弹出绑定弹性IP界面。 4. 选择目标弹性公网IP，单击绑定，即可完成绑定。 5. 如果该实例已绑定弹性IP，在弹性IP属性中可查看绑定的弹性IP，此时可以单击【更多】的【解绑弹性公网IP】按钮，弹出解绑弹性IP界面。 6. 解绑弹性IP界面可看到目前绑定的弹性IP，单击解绑，即可完成解绑。 说明 如果未申请过弹性IP，可以通过天翼云“控制中心网络控制台”进入弹性IP管理界面，点击【申请弹性IP】进行申请。

本章节主要介绍退订RDSPostgreSQL实例。 您可根据业务需要，手动退订实例来释放资源。 RDSPostgreSQL实例在申请退订前，请做好数据备份。 约束限制 退订RDSPostgreSQL实例，不满整月的按当月实际发生天数收费费用。 退订RDSPostgreSQL实例后实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会删除实例。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，单击“更多”选择退订操作，进行退订确认。 6. 在安全验证弹框中输入验证码进行二次确认后，进入退订页面，对实例进行退订。 注意 退订RDSPostgreSQL实例后，实例的所有数据都会被删除，所有的备份会被同步删除，资源被回收，且不可恢复，在申请退订前，请做好数据备份工作。 部分资源池支持回收站功能，退订后实例进入回收站，用户可在保留期内进行恢复，具体功能可参见 不同资源池，菜单名称有所差异，请以实际控制台为准。

本节介绍了通过内网连接Microsoft SQL Server实例（Windows方式）的相关内容。 当应用部署在弹性云主机上，且该弹性云主机与RDS for SQL Server实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与RDS for SQL Server实例。 提供两种连接方式通过SQL Server Management Studio客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 非SSL连接 步骤 1 登录弹性云主机或可访问关系型数据库实例的设备。 步骤 2 启动SQL Server Management Studio客户端。 步骤 3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中输入登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 − 主机IP为“基本信息”页签中，“连接信息”模块的“内网地址”。 − 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库账号，默认管理员账号为rdsuser。 “密码”即待访问的数据库账号对应的密码。 步骤 4 单击“连接”，连接实例。 结束 SSL连接 步骤 1 下载并上传SSL根证书。 1. 登录管理控制台。 2. 单击管理控制台左上角的 ，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的 ，下载根证书或捆绑包。 5. 将根证书导入弹性云主机Windows操作系统，请参见如何将RDS实例的SSL证书导入Windows/Linux操作系统。 说明 请在原有根证书到期前及时更换正规机构颁发的证书，以提高系统安全性。 对于Microsoft SQL Server，绑定公网IP后，需重启实例才能使SSL连接生效。 步骤 2 启动SQL Server Management Studio客户端。 步骤 3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中填选登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 − 主机IP为“基本信息”页签中，“连接信息”模块的“内网地址”。 − 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库账号，默认管理员账号为rdsuser。 “密码”即待访问的数据库账号对应的密码。 步骤 4 单击“选项”，在“连接属性”页签，填选相关信息，并勾选“加密连接”，启用SSL加密（系统默认不勾选“加密连接”，即不启用，需手动启用）。 图 连接属性 步骤 5 单击“连接”，连接实例。 结束

本章节主要介绍数据湖探索服务SQL语法参考文档的预览和下载。 点此预览、下载：《数据湖探索SQL语法参考》

遭受DDoS攻击后如何向网监报案？ 当您部署在天翼云上的云服务，遭受DDoS攻击后，您应该尽快向当地网监部门进行报案，并根据网监部门的要求提供相关信息。网监部门会判断您的报案内容是否符合立案标准，并进入网监处理流程。当正式立案后，天翼云会积极配合网监部门提供攻击相关证据，天翼云会积极响应网监部门的协助调查要求，完成调查举证工作，故当您在遭受攻击时，建议您积极报案，以便可以有效打击犯罪行为。 天翼云黑洞策略是什么？ 黑洞是指服务器（云主机）受攻击流量超出防御范围时，天翼云将屏蔽服务器（云主机）的外网访问。 当服务器（云主机）遭受超出防御范围的流量攻击时，天翼云对其采用黑洞策略，即屏蔽该服务器（云主机）的外网访问，避免对天翼云其他用户造成影响，保障天翼云网络整体的可用性和稳定性。DDoS攻击不仅影响受害者，也会对天翼云的机房带来严重的负担。同时DDoS防御需要成本，其中最大的成本就是互联网带宽费用。DDoS流量清洗，不会把DDoS攻击流量清洗掉，对应的DDos流量也会占用巨大的带宽，故为了保障用户的带宽可用性，天翼云会将遭受DDoS攻击的服务器黑洞，屏蔽其外网访问，以便让其不再遭受DDoS攻击，同时空闲出有效带宽供其他服务使用。 注意 天翼云AntiDDoS流量清洗服务为用户提供免费的DDoS攻击防御能力，但是当攻击流量超出AntiDDoS流量清洗阈值时，天翼云会采取黑洞策略封堵IP。 天翼云AntiDDoS流量清洗服务为普通用户免费提供2Gbps的DDoS攻击防护，最高可达5Gbps攻击防护。

本文主要为您介绍如何开启Cookie防篡改功能，以及如何配置Cookie防篡改参数。 网站域名接入Web应用防火墙后，您可以选择开启Cookie防篡改功能，开启后，WAF可通过Cookie中的字段对网页进行完整性校验保护。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持Cookie防篡改功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“Cookie防篡改”模块，可以选择开启/关闭防护。 7. 单击配置详情右侧的“前去配置”，进入Cookie防篡改配置页面，配置相关参数。 参数说明如下： 配置项 说明 防护模式 默认为“Cookie签名”，且不支持修改。 新增Cookie字段，字段值为待防护Cookie字段的签名，请求会对签名值进行完整性校验，若发生篡改则进行处置。 Cookie密钥 用于生成防篡改签名值的密钥（AES256），您可以自定义或者“快速生成密钥”。 Cookie兼容时间 生成配置后为了兼容之前未带Cookie签名的请求，可以设置生效时间。默认为当前时间。 IP校验 默认为“是”，表示除了对于防护Cookie值校验，同时也会对访问IP进行校验，同一Cookie值更换IP后无法通过校验。 修改为“否”，将仅对Cookie值进行校验。 Cookie字段名称 单击“新增Cookie字段”，新增一个Cookie字段。 HttpOnly：Cookie属性字段，用于避免客户端脚本访问该Cookie，勾选后可防止客户端脚本读取Cookie，防范XSS攻击。 Secure：Cookie属性字段，勾选后仅支持通过Https发送Cooike，防范采用Http协议发起的政击。 处置动作 选择WAF检测到篡改行为后，系统执行的动作。 拦截：拦截请求。 观察（仅记录）：仅通过日志记录请求，不进行拦截。 8. 单击“确认”，完成配置。

本文介绍了重置参数模板的功能。 操作场景 您可以重置自己创建的参数模板对应的所有参数，重置成功后，参数会恢复到默认值。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【参数模板】，点击进入参数模板管理页。 5. 在"参数模板"页面，选择需要重置的自定义参数模板名称，"操作"列点击"更多"，选择"重置"。 6. 在弹出框界面，请您确认是否需要重置参数模板，重置请点击确定按钮。 7. 系统执行重置参数模板后，会在"参数模板"界面提示您"重置成功"。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

数据类型 采集数据 传输方式 存储方式 数据用途 时限 性能指标数据 JVM相关数据、异常、数据库、SQL语句以及中间件调用相关的数据 通过WSS方式传输 APM服务端按照租户隔离存储 指标查看页面展示 免费版7天，企业版30天，到期彻底删除 调用链数据 调用链event数据，包含中间件调用的相关数据 通过WSS方式传输 APM服务端按照租户隔离存储 调用链前台查询展示 免费版7天，企业版30天，到期彻底删除 资源信息 服务类型、服务名称、创建时间、删除时间、所在节点地址和服务发布端口 通过WSS方式传输 APM服务端按照租户隔离存储 资源库前台查询展示 免费版7天，企业版30天，到期彻底删除 资源属性 系统类型、系统启动事件、CPU个数、服务执行用户名称、服务进程id、服务的PodID、CPU标志、系统版本、服务使用的Web框架、JVM版本、时区、系统名称、采集器版本以及LastMail的Url 通过WSS方式传输 APM服务端按照租户隔离存储 资源库前台查询展示 免费版7天，企业版30天，到期彻底删除

此小节介绍云堡垒机字符审计。 审计对象为授权的资产数据角色产生的字符访问会话（ssh、telnet），支持查看命令列表，回放访问录屏，中断活动会话，实时播放会话，下载会话审计文件。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择“会话日志 > 字符审计”。 2.单击“操作”列的“查看”可打开详细命令列表。 3.单击“操作”列的“播放”可使用浏览器在线播放会话。结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

前置说明 1. 该文档为在科研助手上使用OpenManus快速代码生成的说明。OpenManus 目前为开源测试版本，仍处于开发与优化阶段，可能存在功能不稳定或未完善的情况。用户在使用过程中需自行甄别潜在问题，并承担可能产生的风险。我们建议用户在关键任务中谨慎使用。感谢您的理解与支持！ 2. 本产品中的模型由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别并对自行选择的服务负责。 3. 如您在使用过程中遇到了问题或需要反馈的内容，可通过客服工单的方式，向我们进行咨询和反馈，我们将及时进行回复和处理。 环境准备 步骤1：进入科研助手控制台，点击左上角，切换“科研版”； 步骤2：点击当前科研版"概览"页，点击快捷入口【找应用】，进入应用商城； 步骤3：在“应用商城”中，找到名为“OpenManus智能体”的镜像，点击【使用此镜像】，进入开发机购买界面； 步骤4：在购买页面中，【基础信息】【主机规格】一栏，用户可以按照如下配置选择： 配置 算力型号 可用区 ::: 推荐配置 GPU.gn4.2xl1 贵阳2 这里以可用区贵阳2的GPU.gn4.2xl1为例，【镜像框架】中框架版本已默认选好【社区镜像】的“openmanusvnccuda11.”，其余【计费模式】、【可用区】等可按照实际需要选择。 步骤5：点击【确认订单】，完成开发机创建并启动。

原生接口介绍 对象存储 ZOS 的原生 API 接口是基于行业通用标准的对象存储标准化接口，基于 HTTP/HTTPS 与 REST 风格设计，面向海量非结构化数据提供统一的上传、下载、管理等相关能力。 接口特征 适配 ZOS 架构： ZOS 原生 API 接口固定为桶 + 对象的扁平模型，无层级目录，“路径”为 Key 前缀，严格适配对象存储架构。 接口能力专属：接口预置对象存储专属操作：分段上传、跨域配置、多版本控制、生命周期、批量删除等操作，开箱即用。 扩展性与兼容性好：原生接口基于行业通用标准，主流对象存储产品均提供 S3 兼容层，可方便迁移至ZOS进行使用。 可用范围 ZOS 原生接口已支持全部公有云对象存储 ZOS 资源池。

原生接口介绍 对象存储 ZOS 的原生 API 接口是基于行业通用标准的对象存储标准化接口，基于 HTTP/HTTPS 与 REST 风格设计，面向海量非结构化数据提供统一的上传、下载、管理等相关能力。 接口特征 适配 ZOS 架构： ZOS 原生 API 接口固定为桶 + 对象的扁平模型，无层级目录，“路径”为 Key 前缀，严格适配对象存储架构。 接口能力专属：接口预置对象存储专属操作：分段上传、跨域配置、多版本控制、生命周期、批量删除等操作，开箱即用。 扩展性与兼容性好：原生接口基于行业通用标准，主流对象存储产品均提供 S3 兼容层，可方便迁移至ZOS进行使用。 可用范围 ZOS 原生接口已支持全部公有云对象存储 ZOS 资源池。

本文将为您介绍通过专线网关实现物理专线双链路负载方式访问VPC。 应用场景 本地IDC通过两条物理专线接入天翼云华北2地域相同接入点。采用双链路负载方式，实现本地IDC网络与天翼云华北2地域中的VPC网络互通。如需使用云企业路由器搭建跨AZ入云网络架构，物理电路通过接入不同AZ接入点，实现双链路负载方式访问VPC网络，具体操作说明详见本地IDC通过负载专线入云。 本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线1 10.250.0.1 10.250.0.2 255.255.255.252 100 物理专线2 10.250.0.5 10.250.0.6 255.255.255.252 200 天翼云华北2地域的VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC1 10.10.0.0/16 10.10.0.0/24 前提条件 1、在天翼云华北2已创建两条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建一个VPC，具体操作说明详见创建VPC。

本章节向您介绍如何导出子网列表与查看子网内IP地址的用途。 导出子网列表 操作场景 您可以将当前账号下拥有的所有虚拟私有云子网信息，以Excel文件的形式导出至本地。该文件记录了子网的名称、ID、所属VPC、网段、关联路由表等信息。 操作步骤 登录管理控制台。 在管理控制台左上角选择区域和项目。 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 在左侧导航栏，选择“虚拟私有云 > 子网”，进入子网列表页面。 在子网列表页面，单击列表左上方的“导出”。系统会将子网信息自动导出为Excel文件，并下载至本地。 说明 导出已选中数据到XLSX：勾选一个或多个子网，导出所选子网的信息。 导出全部数据到XLSX：导出当前区域内所有子网的信息。 查看子网内IP地址的用途 操作场景 子网是VPC内划分的一个地址块，包含若干个IP地址，本章节指导用户查看子网内已被占用的IP地址用途，具体如下： 1. 虚拟IP地址。 2. 私有IP地址：用作其他资源的私有IP地址。 子网自身占用，比如网关、系统接口、DHCP等。 分配给云服务资源，比如弹性云主机ECS、弹性负载均衡ELB、云数据库RDS等。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在左侧导航栏，选择“虚拟私有云 > 子网”，进入子网列表页面。 5. 在子网列表中，找到目标子网，并单击子网名称超链接，进入子网详情页面。 6. 选择“IP地址管理”页签，查看子网内的IP地址信息。 说明 在页面上方的虚拟IP地址列表中，可以查看子网内分配的虚拟IP地址。 在页面下方的私有IP列表中，可以查看占用子网的私有IP地址、用途及占用子网的资源ID。

操作场景 本节操作介绍在Windows和Linux环境中使用SSH密码方式远程登录Linux云主机的操作步骤。 前提条件 Linux云主机状态处于“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 如果创建Linux云主机时登录方式设置的为密钥，请通过重置密码功能，设置Linux云主机的登录密码后执行本节操作。重置密码请参考：在控制台重置弹性云主机密码。 您所使用的SSH登录工具（例如PuTTY）已经正确配置，并且与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 本地使用Windows操作系统 如果本地主机为Windows操作系统，可以按照以下方式登录云主机。下面的步骤以PuTTY为例： 1. 您可通过官方途径下载PuTTY和PuTTYgen。 2. 运行PuTTY。 3. 在PuTTY的配置界面中，填写以下信息： Host Name (or IP address)：输入Linux云主机的弹性IP。 Port：输入 22。 Connection Type：选择 SSH。 Saved Sessions：为任务设置一个名称，以便下次使用PuTTY时可以直接打开该任务。 4. 单击"Window"，在"Translation"下的"Received data assumed to be in which character set:"选择"UTF8"。 5. 单击“Open”。如果首次登录服务器，PuTTY会显示安全警告对话框，询问是否接受服务器的安全证书。单击"是"将证书保存到本地注册表中。 6. 建立到Linux云主机的SSH连接后，根据提示输入用户名和密码登录云主机。

本节介绍如何查看基线整体检查通过率和单个基线检查项的通过结果，并支持导出某个基线的检查结果。 查看基线整体检查通过率 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 查看基线管理列表，包括基线名称、适用版本、基线版本、基线检查项和检测通过率等，可通过检测率的条形图查看检查通过率的百分比。 查看单个检查项通过结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面，可查看单个基线检测项是否通过检查。 导出检查结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 点击列表右上方的“导出”按钮，该导出任务会添加至“任务中心 > 下载任务管理”，开始生成Excel格式的基线合规检查结果报表。 5. 在“任务中心 > 下载任务管理”中，找到对应下载任务，待下载文件生成完毕后，单击“下载”按钮即可下载至本地。

本文将帮助您了解HTTP/HTTPS请求获取客户端真实源IP地址的工作原理及操作步骤。 应用场景 客户端真实源IP地址可以用于分析网站流量和用户行为。通过分析来源IP地址，可以了解用户的地理位置、浏览器偏好和其他用户行为指标。这些数据可以用于优化网站设计、定位目标受众和改善用户体验。 工作原理 负载均衡的工作原理本身会将一个会话拆分成两段：第一段是从客户端到ELB；第二段是从ELB到后端主机。客户端访问业务的源IP地址是客户端IP地址，目的地址是ELB的服务地址，数据报文到达ELB后，ELB会将报文的源IP地址从客户端的IP地址替换为ELB的IP。ELB再根据客户预定义的负载算法选择的目标主机，将报文的目的IP地址替换为后端主机地址，再将数据转发到后端主机。所以后端主机得到的访问请求源IP地址是ELB的地址。在实际业务中，存在一些场景，需要通过客户的真实IP来达到统计和监控等目的。 天翼云集群模式资源池，HTTP/HTTPS ELB的监听器可以开启了XForwardedFor头字段，字段的格式如下： XForwardedFor: , , , … 当使用此方式获取HTTP/HTTPS请求客户端真实IP地址时，获取到的第一个地址就是客户端真实IP。 主备、集群模式资源池列表见产品简介产品类型和规格，实际情况以控制台展现为准。

本节介绍创建的云手机操作说明。 操作步骤 1.登录并打开“天翼云手机”产品详情页； 2.选择“云手机政企版”产品版本； 3.点击“进入控制台”前往云手机控制台； 4.点击“云手机管理”，点击“创建云手机”； 5.选择订购的架构类型； 6.根据需求选择相应的“规格类型”； 7.根据实际情况选择“镜像类型”，即开通云手机实例的操作系统； 8.根据实际情况选择云手机的“VPC”和“子网“，如需对VPC和子网进行配置，可参考云手机网络管理； 9.分配云手机需要填写或导入云手机使用者的”邮箱“和“账号“，可批量输入；请输入云手机用户的真实有效邮箱，以确保可接收到云手机用户激活邮件； 10.选择云手机的“购买时长”； 11.确认相关的配置信息，单击“立即购买”，支付成功后，即完成云手机的开通。

图解：DeepSeek与公有云深度融合 从基础设施到智能中枢：DeepSeek如何重塑公有云服务价值链 高性能GPU云主机助力DeepSeek深度应用 天翼云SDWAN与DeepSeek超强联动，开启云上高效互联新时代 实践指南：DeepSeek驱动高效能云生态 GPU云主机/弹性云主机：零基础搭建DeepSeek云端环境指南 GPU物理机：物理机搭建DeepSeek指南 智算容器：云容器引擎与DeepSeek融合实践 函数计算：天翼云函数计算与DeepSeek大模型 Q&A：典型问题解析与策略应对 常见问题解答

本文为您介绍如何开通云审计服务。 使用云审计服务前需要先开通所在资源池的云审计服务，如果不开通云审计服务，则无法对资源操作进行记录。 前提条件 已注册天翼云账号，并且完成实名认证。 操作步骤 1. 登录天翼云官网，在产品列表中找到云审计。 2. 进入云审计产品详情页，点击“立即开通”。 3. 进入云审计控制台，初次使用会显示欢迎使用页面，点击“立即购买”。 4. 勾选“我已阅读，理解并接受《天翼云云审计服务协议》”，点击“立即购买”，即可完成服务开通。

步骤五：安装Agent 添加安全组规则后，您需要下载Agent包并将下载的Agent安装包上传到待安装Agent的节点上进行安装。使添加的数据库连接到数据库安全审计实例，数据库安全审计才能对添加的数据库进行审计。 说明 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent和安装Agent。 1. 登录控制台进入数据库安全服务。 2. 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 3. 在“选择实例”下拉框中，选择需要下载Agent的数据库所属实例。 4. 单击该数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图所示。将Agent安装包下载到本地。 5. 使用跨平台传输工具（例如WinSCP），将下载的Agent安装包“xxx.tar”上传到待安装Agent的节点（即图29中的“安装节点IP”）。 6. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该安装节点。 7. 执行以下命令，进入Agent安装包“xxx.tar”所在目录。cd Agent安装包所在目录。 8. 执行以下命令，解压缩“xxx.tar”安装包。tar xvf xxx.tar。 9. 执行以下命令，进入“install.sh”脚本所在目录。cd install.sh脚本所在目录。 10. 执行以下命令，安装Agent。sh install.sh。如果界面回显以下信息，说明安装成功。 start agent starting audit agent audit agent started start success install dbss audit agent done!

本章节主要介绍翼MapReduce服务配置审计日志导出参数。 操作场景 MRS的审计日志长期保留在系统中，可能引起数据目录的磁盘空间不足问题，故通过设置导出参数及时将审计日志自动导出到OBS服务器的指定目录下，便于管理审计日志信息。 说明 审计日志导出到OBS服务器的内容包含两部分，服务审计日志和管理审计日志。 服务审计日志每天凌晨3点自动压缩存储到主管理节点“/var/log/Bigdata/audit/bk/”，保存的文件名格式为.tar.gz。默认情况下，保存的文件个数为7份（即7天的日志），超过7份文件时会自动删除7天前的文件。 管理审计日志每次导出到OBS的数据范围是从最近一次成功导出到OBS的日期至本次执行任务的日期。管理审计日志每达到10万条时，系统自动将前9万条审计日志转储保存到本地文件中，数据库中保留1万条。转储的日志文件保存路径为主管理节点“${BIGDATADATAHOME}/dbdataom/dumpData/iam/operatelog”，保存的文件名格式为“OperateLogstoreYYMMDDHHMMSS.csv”，保存的审计日志历史文件数最大为50个。 前提条件 用户已经获取帐号对应的Access Key ID（AK）和Secret Access Key（SK）。 用户已经在帐号的对象存储服务（OBS）中创建了并行文件系统。 操作步骤 在MRS Manager，单击“系统设置”。 1.在“维护”下单击“审计日志导出”。 审计日志导出参数 参数名 参数值 参数解释 开始时间 07/24/2017 09:00:00（举例） 必选参数，指定审计日志导出的开始时间。 周期 1天（举例） 必选参数，指定审计日志转导出的时间间隔，间隔周期范围为（1~5天）。 桶名 mrsbucket（举例） 必选参数，指定审计日志导出到OBS的文件系统名。 OBS路径 opt/omm/oms/auditLog（举例） 必选参数，指定审计日志导出到OBS的路径。 AK XXX（举例） 必选参数，用户的Access Key ID。 SK XXX（举例） 必选参数，用户的Secret Access Key。 说明 审计日志在OBS的存储路径细分为serviceauditlog和managerauditlog，分别用于存储服务审计日志和管理审计日志。

本章节主要提供数据治理中心DataArts Studio故障排除文档的预览和下载。 点此预览、下载：《数据治理中心 DataArts Studio 故障排除》