OpenAPI门户提供了产品的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云内网DNS产品API的详细介绍，请参见内网DNS使用API。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线测试、sdk，API调试将更加方便。

事件由事件源发出，是事件源状态变化的数据记录。本文介绍事件总线EventBridge的事件参数详情。事件源发布事件到事件总线EventBridge，需遵循CloudEvents 1.0协议。 以下是事件源发布到事件总线EventBridge的示例事件： plaintext { "id":"b5771f7648edb1bad15418c", "source":"ctyun.oss", "specversion":"1.0", "type":"my.source:events", "subject":"my.source:huadong1:{AccountId}:myproject:xxx", "time":"20240305T13:52:18.374Z", "datacontenttype":"application/json;charsetutf8", "data":{ "key":"value", "def":"xxxx" }, "ctyunaccountid":"123456789", "ctyunresourceid":"27aadda411eea6fce8b47009", "ctyuneventbusname":"default", "ctyunregion":"bb9fdb4205610002", } 事件中涉及的参数如下所示。 参数 类型 是否必选 示例值 说明 id String 是 b5771f7648edb1bad15418c 事件ID。标识事件的唯一值。发送端必须确保source +id 是唯一的，如果由于网络等原因事件被重新发送，可能会产生两个相同id 的事件。接收端会认为具有相同source 和id 的事件是重复的。事件通过规则路由到目标、事件被处理时，需要根据id跟踪事件。 source String 是 ctyun.oss 事件源唯一标识。提供事件的服务。标识事件发生的内容。一般会包含事件源的类型，发布事件的机制或生产事件的过程。发送端必须确保每个事件的source +id是唯一的。 specversion String 是 1.0 CloudEvents协议版本。 type String 是 oss:createbucket 事件类型。描述事件源相关的事件类型。该参数用于路由、事件查询和策略执行等。格式由生产者定义，且包含版本等信息。 subject String 否 ctyun.oss:huadong1:{AccountId}:bucketnamexxx 事件主体。在发布订阅模式中，订阅者通常订阅source 发出的事件，当source 中包含子结构时，只使用source 无法对具体事件进行清晰的定义，subject 参数在订阅过滤场景中对data无法解释的内容提供说明。 time Timestamp 否 20240305T13:52:18.374Z 事件产生的时间。如果无法确定事件发生的时间，事件生产者可以把time 设置为其他时间（例如当前时间），但是同一个source的所有生产者设置的值必须是一致的。 datacontenttype String 否 application/json;charsetutf8 参数data 的内容形式。datacontenttype只支持application/json格式。 data Struct 否 { "abc":"1111", "def":"xxxx" } 事件内容。JSON对象，内容由发起事件的服务决定。CloudEvents可能包含事件发生时由事件生产者给定的上下文，data中封装了这些信息。 ctyunaccountid String 否 123456789 天翼云账号ID，选填，不是CloudEvents1.0协议规定的必选字段。 ctyunuserid String 否 123456789 天翼云用户ID，选填，不是CloudEvents1.0协议规定的必选字段。 ctyunresourceid String 否 27aadda4db9411eea6fce8b47009 天翼云资源ID，选填，不是CloudEvents1.0协议规定的必选字段。 ctyuneventbusname String 是 default 接收事件的事件总线名称，必填。如：官方产品专用总线为default，亦可填写用户创建的自定义总线名。 ctyunregion String 否 bb9fdb4205610002 接收事件的地域。如华东一为：bb9fdb4205610002，选填。 事件源发布到事件总线EventBridge的事件有以下两种类型： 天翼云服务事件 天翼云服务作为事件源自动接入事件总线EventBridge，将事件投递到总线名为default的官方总线。关于事件总线EventBridge支持的所有天翼云服务事件类型，请参见天翼云官方事件源概述。 自定义应用事件 您自己的应用作为事件源接入时，需要配置自己的应用使用SDK接入事件总线EventBridge，详见SDK概述。

本文简介什么是天翼云Web应用防火墙（边缘云版）。 产品定义 天翼云Web应用防火墙（边缘云版）依托天翼云边缘云节点形成云安全网络，结合云端大数据分析平台，通过 AI+规则双引擎识别恶意流量，为用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 区别于传统WAF需要在源站前端部署，Web应用防火墙（边缘云版）基于边缘云分布式架构，将WAF、BOT、CC、API等应用安全防护能力赋能于全国边缘云节点，实现安全能力赋能边缘，将安全能力下沉至最接近终端用户的边缘节点，在最靠近攻击源头的地方阻断恶意流量。 有效防御 SQL 注入、XSS 跨站脚本、木马上传、非授权访问等 OWASP 攻击。此外还可以有效过滤 CC 攻击、提供 0day 漏洞补丁、防止网页篡改等。 结合智能调度，实现动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别规模；应对敏感大流量攻击，无惧突发风险。 功能特性 功能 简介 常见Web应用攻击防护 防御OWASP TOP10Web安全威胁攻击：如SQL注入、XSS跨站脚本、CSRF 跨站请求伪造、非授权访问等常见Web服务器漏洞攻击。 0day补丁定期及时更新：及时更新漏洞补丁，防护网站安全。 CC攻击防护 频率控制：结合多维度频率控制，精确控制请求频率，控制核心接口被访问的频率。 人机挑战：通过人机识别验证，避免非法请求透传源站。 大数据分析：针对低频多变的攻击，根据内置算法模型，统计正常业务流量和攻击流量的特征，自动生成精准访问控制策略。 业务安全防护 网页防篡改：支持用户将核心网页内容缓存在边缘云节点，并对外发布缓存中的网页内容，实现网页防篡改效果，防止网页被篡改带来负面影响。 敏感词防泄漏：针对银行卡、身份证、手机号、邮箱进行页面过滤，防止网站敏感信息泄露。 CSRF防护：有效阻止因误触恶意链接、恶意扫描、简单爬虫限制造成的用户损失。 Cookie防护：支持对指定cookie字段的值进行加密，支持对cookie签名，防止因随意篡改导致的漏洞触发。 账户安全防护：支持防护撞库、批量注册、暴力破解等恶意攻击行为，保障用户账号安全。 广告防护：对检测到的广告进行清除或者记录告警日志处理，使展示给用户的界面没有广告。 攻击挑战：针对反复触发防护策略的IP，限制访问频率。 精准访问控制 可针对IP , IP段 , URI , 请求方式, 请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 IPv6防护 支持一键开启IPv6功能，无缝处理IPv4和IPv6流量，并且支持解决天窗问题。 Bot行为管理 通过多模块联动实时检测与机器学习相结合实现网站请求的实时检测和分析，识别真实用户请求和恶意爬虫，进而防止刷票、活动作弊、恶意注册等爬虫攻击行为的发生，保障企业业务稳定运行，避免经济利益受损。 智能防护 自学习异常用户行为：智能学习网站流量规律，学习正常用户访问行为，多维度识别异常访问情况。 内置多种业务场景学习模型：强化抢票、恶意爆破登录、恶意爬取等机器脚本行为识别，保证网站正常运行。 威胁情报 天翼云与国内外知名安全厂家恶意情报共享，更快更精确发现恶意探测以及威胁事件。

本文介绍边缘函数增值服务的开通方式。 基本说明 天翼云CDN加速产品的增值服务支持边缘函数，使用边缘函数增值服务需完成如下两个步骤： 1. 开通边缘函数服务，详情请见下文开通步骤。您可以通过边缘函数计费了解服务计费规则。 2. 参考函数管理的配置说明，进行函数创建。 开通步骤 存量客户 已开通CDN加速按量产品，尚未开通CDN加速边缘函数服务的客户，当前支持以增配的方式开通边缘函数。 操作步骤： 1. 登录CDN控制台。 2. 单击左侧导航栏【边缘函数】【函数管理】。 3. 若您只开通了CDN加速产品的基础服务，单击【立即开通】，将直接跳转到增配CDN加速边缘函数的页面；若您同时开通了CDN加速和全站加速的基础服务，选择【增配CDN加速边缘函数】，单击【确定】，进入增配CDN加速边缘函数的页面。 4. 除了步骤三的增配方式，同时支持登录CDN控制台，单击左侧导航栏【计费详情】【CDN加速】，单击【增配边缘函数】进入增配CDN加速边缘函数的页面。 5. 通过以上任一增配方式进入增配CDN加速边缘函数的页面后，边缘函数是默认选中的状态，勾选“我已阅读，理解并接受《天翼云CDN服务协议》”，确认无误后，单击【增配边缘函数】，即完成边缘函数服务的开通。 已同时开通CDN加速按量产品和CDN加速边缘函数服务的客户，当前支持以减配的方式单独减项边缘函数。 操作步骤： 1. 登录CDN控制台。 2. 单击左侧导航栏【计费详情】【CDN加速】。 3. 进入CDN加速计费详情后，单击【操作】列下的【减配边缘函数】，进入相应界面。 4. 进入减配CDN加速产品界面后，勾选“我已阅读，理解并接受《天翼云CDN服务协议》”，确认无误后，单击【减项边缘函数】，即可完成边缘函数的减配。

源库为天翼云及其他云PostgreSQL的情况 源库为天翼云及其他云PostgreSQL、任务包含增量迁移，且逻辑解码器选择为Decoderbufs时，源库需开启逻辑解码器输出插件Decoderbufs。 天翼云在开通PostgreSQL实例时已预置开启Decoderbufs插件，当源库为天翼云PostgreSQL时，请你参照天翼云关系数据库PostgreSQL版管理插件相关指引查看确认Decoderbufs插件的开启情况，已开启则无需进行操作，未开启则参照指引进行Decoderbufs插件的安装。 当源库为其他云PostgreSQL时，需要查看源库对应版本是否支持并已开启Decoderbufs插件。如源库版本不支持Decoderbufs插件则无法进行其他云PostgreSQL到天翼云PostgreSQL的增量迁移；如源库版本支持Decoderbufs插件但未开启则按照文档启用插件；如已开启则无需进行操作。具体请参考其他云PostgreSQL的相关指引，例如： 华为云支持的插件列表及插件管理的相关指引。 阿里云支持的插件列表及插件管理的相关指引。 源库要求 源数据库的分区表触发器不可以设置为disable。 全量同步支持源库备机状态，但需要设置hotstandbyfeedback为on；增量同步不支持源库备机状态。 同步对象依赖和关联的对象也须一起同步，否则可能导致任务失败。 若要做增量同步，源数据库的“pghba.conf” 文件中包含如下的配置： host replication all 0.0.0.0/0 md5源数据库参数wallevel必须配置为logical； 如果配置任务时逻辑解码指定为Decoderbufs，源数据库需提前安装Decoderbufs插件； 源数据库中无主键表的replica identity属性必须为full； 源数据库的maxreplicationslots参数值必须大于当前已使用的复制槽数量； 源数据库的maxwalsenders参数值必须等于或大于maxreplicationslots参数值； 源数据库中表的主键列toast属性为main、external、extended时，其replica identity属性必须为full。 同步对象依赖和关联的对象也须一起同步，否则可能导致任务失败。

CTCCL(CTyun Collective Communication Library)是天翼云自研的集合通信库。CTCCL针对天翼云自身特点持续优化,提升性能并提供额外的可靠性保障。 CTCCL关键特性 · 主动避障，RDMA网络多路径传输，当感知到部分路径异常，则在条件允许情况下自动将流量切换到正常路径。 · 并行传输，动态感知不同RDMA网络路径的传输能力，合理分配传输任务，从端侧保证带宽利用率最大化。 · 监控能力，日志机制联合事件机制，提供网卡对集合通信带宽监控和QP通信异常事件上报智能平台能力。 · 端网协同，在RoCE组网下实现端网协同负载均衡，降低哈希冲突带来的影响，提高链路利用率。 · 故障定位，结合慢节点工具套件，提供自动化训练中慢节点发现与定位能力。 CTCCL发布记录 版本号 发布日期 更新内容 v0.4.0 2025930 · 新增功能 适配CTCCL慢节点检测工具套件。 · 优化改进 为流体重力功能增加开关，使用环境变量配置，以便灵活使用该功能。 v0.3.0 20241230 ·新增功能 新增QP通信事件上报功能，在机间RDMA通信异常时上报异常事件至平台。仅在一体化计算加速平台·异构计算平台部署的地域可用。 新增集合通信网卡对带宽功能，用户可通过配置环境变量开启，并通过日志查看带宽信息。 新支持RoCE组网端网协同，有效改善交换机端口流量不均问题，提高带宽利用率。 · 缺陷修复 修复了QP数设置大于32直接异常退出的问题。 修复了alltoall集合通信操作时，由于资源开销大而导致的性能低问题。 · 优化改进 优化流体重力算法，以更灵活的动态任务分配方式，在拥塞场景提高通信性能10%。 v0.2.0 20240630 · 新增功能 新增流体重力算法，并行传输，动态感知不同RDMA网络路径的传输能力，合理分配传输任务，从端侧保证带宽利用率最大化。 · 优化改进 v0.1.0 20240430 · 新增功能 天翼云自研集合通信库CTCCL首次发布。 CTCCL具有主动避障功能，提升RDMA通信容错能力。支持单QP传输，当感知到部分路径异常，则在条件允许情况下自动将流量切换到正常路径 升级提示： · 在升级CTCCL新版本之前，请确保已停止该环境所有的训练任务，升级方式和安装方法相同。 · 需要升级集群中所有节点的CTCCL版本，新版本和旧版本不兼容在同个训练任务中使用。

本页介绍天翼云TeleDB数据库数据备份。 操作场景 数据备份是指直接备份数据库所对应的数据文件甚至是整个磁盘。TeleDB实例创建成功后，您可根据业务需要设置备份策略。TeleDB可按照用户设置的自动备份策略对数据库进行备份。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树中选择备份与恢复 > 备份与恢复。 2. 进入备份与修复 页面，将当前实例切换至目标实例。 3. 设置备份策略 1. 在数据备份页签，单击备份策略 ，出现备份策略 对话框。 2. 单击去设置 ，进入备份策略设置 对话框，打开备份开启状态 开关，根据如下内容填写备份策略基本信息。 备份开启时间：系统触发备份的时间，建议选择业务压力小的时间点。 备份间隔天数：间隔多少天触发一次备份，为防止数据丢失难以恢复，建议间隔时间不超过3天。 备份保留分数：系统保留的备份的份数，超过此数量，系统自动删除最旧的一次备份。保留份数取决于存储空间大小，建议选择大于2份。 增量备份开启状态：增量备份数据用于恢复到指定时间点，对于恢复及其重要，暂时不支持关闭增量备份。 3. 单击确定完成实例备份。 4. 如需再次修改备份策略设置，可重复以上操作即可。 4. 手动备份 1. 在数据备份 页签，单击备份策略 ，出现备份策略对话框。 2. 单击手动备份。 5. 查看备份详情 1. 在数据备份 页签，单击目标实例所在行详情 ，弹出备份详情 对话框。 2. 当处于备份过程中时，可单击刷新 查看节点备份状态的实时变化。 说明 备份目录：远程对象存储上的备份地址。备份时，系统会在对象存储上建立一个以实例id命名的桶，实例的所有备份数据都回存储在这个桶下面。这里备份地址是全量备份在桶下面的相对路径。 全量备份数据路径：实例名/basebkp年月日/。 增量备份数据路径：实例名/xlogbkp。 6. 删除备份 在数据备份页签，选择需删除的备份文件的目标实例，单击操作列的删除 按钮，在出现的对话框中单击确认即可删除指定的备份记录和备份数据。 注意 TeleDBX 支持删除一次备份记录，该备份记录对应在对象存储上的备份数据也会同步删除，请谨慎操作 。

资产是指系统需要审计管理的数据库系统、网站等信息系统。 添加资产后，系统可对资产进行安全审计。 添加资产 添加资产包括单个添加和批量导入两种方式。 1. 在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面，选择“资产管理”页签，单击“添加”。 2. 在弹出的“添加资产”窗口编辑相关信息。参数填写规则可参见下表。 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则。 不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 设置资产类型，包括关系型、非关系型、大数据、图形、全文、文档、键值、其他、天翼云RDS等。 说明 若添加天翼云RDS资产，还需要在“系统管理 > 日志采集方式”中开启接收天翼云RDS日志。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 操作系统 设置资产所在主机的操作系统。 IP端口 设置资产所在主机的IP及端口号。 说明 本地运维行为审计是指通过安装本地Agent捕获本地数据库客户端程序中实际响应的SQL指令，实现对本地运维人员数据库操作行为的审计，支持Oracle、PostgreSQL、MySQL、SQL Server等主流数据库。 当使用本地运维行为审计方式时，需要添加回环IP地址127.0.0.1和端口号，端口号需根据数据库类型进行填写。 如果使用的IP类型为IPv6，IP地址需填写为“::1”。 3. 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。参数填写规则可参见下表。 参数 参数说明 流量方向 单向审计：审计内容包括请求信息、客户端信息、服务端信息，不包括返回结果集。 双向审计：审计内容包括请求信息、客户端信息、服务端信息、返回结果集。 保持行数 取值范围：0~999，0表示不保存返回结果。最大保存内容为64KB。 最大保存长度 取值范围：1~64KB，确保整行显示。 解密私钥 加密协议导入解密私钥，目前支持MySQL、SQL Server、HTTPS加密解析，证书支持导入和编辑两种方式。 证书密码 安全证书的密码。 4. 配置完成后，单击“保存”即可完成资产添加。 说明 资产添加之后，需要确认部署模式。若选择流量代理模式，需要部署Agent程序才能完成数据库审计。

下载SDK 在天翼云官网下载xosgosdk.zip，下载地址： xosgosdk.zip 获取访问密钥 AccessKey（AK）和SecretAccessKey（SK）是用户访问媒体存储服务的密钥，密钥的管理和获取方式请查阅 天翼云媒体存储 密钥管理 。 获取Endpoint EndPoint的获取方式请查阅天翼云媒体存储 基础信息查看。 创建工程 下面过程以实现列出媒体存储服务中的bucket功能为例，说明了如何使用媒体存储gosdk进行应用开发。 1. 初始化go mod 新建一个项目文件夹gosdkdemo，在该文件夹路径下执行命令go mod init {moduleName}生成go.mod文件，例如： go mod init sdkdemo 2. 导入sdk代码 将下载的媒体存储gosdk代码解压，获得vendor文件夹。在项目文件夹下执行命令导入依赖： go mod edit requiregithub.com/aws/awssdkgo@v1.35.5 执行命令将依赖替换为本地包： go mod edit replacegithub.com/aws/awssdkgo@v1.35.5{path of vendor}/github.com/aws/awssdkgo 其中{path of vendor}是vendor文件夹在本地的路径，例如： go mod edit replacegithub.com/aws/awssdkgo@v1.35.5C:/Users/admin/Desktop/vendor/github.com/aws/awssdkgo 下载sdk所需依赖： go mod download github.com/jmespath/gojmespath 3. 新建一个demo.go文件，其内容为： plaintext package main import ( "fmt" "github.com/aws/awssdkgo/aws" "github.com/aws/awssdkgo/aws/credentials" "github.com/aws/awssdkgo/aws/session" "github.com/aws/awssdkgo/service/s3" ) ​ const ( Endpoint " " AccessKey " " SecretAccessKey " " ) ​ func BuildClient() s3.S3 { conf : &aws.Config{ Endpoint: aws.String(Endpoint), S3ForcePathStyle: aws.Bool(false), DisableSSL: aws.Bool(true), Credentials: credentials.NewStaticCredentials(AccessKey, SecretAccessKey, ""), LogLevel: aws.LogLevel(aws.LogDebug)} sess : session.Must(session.NewSessionWithOptions(session.Options{Config: conf})) svc : s3.New(sess) return svc } ​ func main() { svc : BuildClient() result, err : svc.ListBuckets(&s3.ListBucketsInput{}) if err ! nil { fmt.Printf("fail to list buckets. %vn", err) } else { fmt.Println(result) } } 4. 执行命令以下运行程序并查看结果。 plaintext go mod tidy go mod vendor go run ./demo.go 整个项目的内容层次如下： gosdkdemo/ ├── demo.go ├── go.mod ├── go.sum └── vendor

本节主要介绍GetBilledStorageUsage。 此操作用来查询收费容量。用户可以根据需求，查询指定存储桶、指定数据位置、指定存储类型的容量。 请求参数 名称 描述 是否必须 Action GetBilledStorageUsage。 是 BeginDate 指定查询容量的起始时间，统计数据的起始时间为开始日期（时区为：UTC+8）的00:00。 类型：Time 取值：格式为yyyyMMdd。 是 EndDate 指定查询容量的结束时间，返回数据的时间为当天日期（时区为：UTC+8）的最后一个数据。 类型：Time 取值：格式为yyyyMMdd。EndDate不能早于BeginDate。 说明 FreqbyHour，EndDate与BeginDate的间隔小于7天。 FreqbyDay，EndDate与BeginDate的间隔小于30天。 是 StorageClass 指定查询的存储类型。 类型：Enum 取值： ALL：所有存储类型。 STANDARAD：标准类型。 STANDARADIA：低频访问类型。 默认值为ALL。 否 Bucket 指定查询收费容量的Bucket名称。如果不指定Bucket名称，则表示查询账户下所有Bucket的收费容量之和。 类型：字符串 取值：3~63个字符，只能由小写字母、数字、短横线（）和点（.）组成。 否 Region 指定查询收费容量的数据位置。如果不指定数据位置名称，则表示查询账户下所有数据位置的收费容量之和。 类型：字符串 取值： 对象存储网络：ZhengZhou、ShenYang、ChengDu、WuLuMuQi、LanZhou、QingDao、GuiYang、WuHu、WuHan、ShenZhen、SH2、SuZhou。 对象存储网络2：NeiMeng1、HangZhou1。 香港节点：HongKong。 否 Freq 指定返回统计数据的采样粒度。 类型：Enum 取值： byHour：统计数据的采样粒度为1小时。 byDay：统计数据的采样粒度为1天。 默认值为byHour。 否

本文介绍上传加速的应用场景及配置说明等。 什么是上传加速？ 随着自媒体时代的到来，用户上传图片、大文件、短视频的需求日益增长，传统CDN主要针对的是源站向客户端分发内容的加速，而用户上传的内容，往往都是纯动态内容，无法通过缓存的方式进行加速。 天翼云边缘安全加速平台提供了一种上传加速服务，针对用户上行传输数据全程加速。使用本方案后，用户请求自动被调度到最近的节点，节点接收到用户上传的数据后，通过如下技术将用户上传的内容快速上传到源站： 根据您的用户分布，天翼云全站加速产品可在全球各地选择最优的边缘节点供用户接入。 用户上传内容到边缘节点后，全站加速平台通过智能选路选出最优回源路径，快速地将用户上传的内容传输到源站或者云端。 应用场景 上传加速主要应用场景包括：图片上传、音视频上传、新闻素材和稿件上传等场景。 配置说明 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2.单击【编辑配置】，找到【上传加速】配置模块。 配置参数说明： 参数名 配置值 说明 上传加速 开启/关闭 开启后将提供上传加速能力 注意 开放试用，开启后上传大小默认限制为: 300M ，建议叠加动态加速配置可使上传加速效果更佳。 配置界面：

本文为您系统梳理使用数据库双活的标准化准备流程。 概述 数据库双活提供数据库语义级的同构数据库双活复制软件服务。采用数据库之间语义级的数据实时复制与同步；基于数据库事务日志分析技术，在数据库高并发事务场景下实现数据实时同步；于目标端同步写入时序，严格确保源端和目标端的数据库事务级最终一致性；提供了备库接管、反向同步等功能。 操作步骤 一、购买许可 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步”“资源同步管理”，进入资源管理模块页面。 5. 点击左侧菜单栏“数据库双活”，点击“许可”，进入许可页面。 6. 点击右上角“购买数据库双活许可”按钮，弹出购买许可弹窗。按需购买许可。 7. 填写数据库类型、购买数量和时长，勾选已阅读并同意相关协议后，点击“购买”按钮，完成许可支付。 二、安装drnode 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入[控制中心](

创建CSV云主机 您可以通过控制台或OpenAPI创建具备CSV特性的安全增强计算型云主机hc4t和安全增强内存型云主机hm4t。 通过控制台创建CSV云主机 在控制台创建机密计算云主机的步骤与创建普通云主机一样，但需要注意选择特定规格，即支持海光CSV特性的云主机规格。请参见：++创建弹性云主机弹性云主机快速入门 天翼云++ 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的，选择区域，此处我们选择华北2。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面，按照以下配置创建云主机。 配置项 说明 实例规格 仅hc4t、hm4t规格支持CSV功能。 镜像 选择CTyunOS V4.0 25.07 64 位(40GB)镜像。 5. 根据界面提示，完成海光CSV云主机创建。 通过OpenAPI创建CSV云主机 您可以调用++创建一台按量付费或包年包月的云主机++创建CSV云主机，需要注意的参数如下表： 参数 说明 示例 flavorName 指定支持CSV功能的实例规格，当前仅 hc4t、hm4t规格支持。 hc4t.large.2 imageID 指定支持CSV的镜像ID，当前仅CTyunOS V4.0 25.07 64 位(40GB)镜像支持。 4636d1df82c24db89fff6a20e0af1c5f

本文介绍如何添加和删除文件系统的VPC。 操作场景 文件系统必须通过添加VPC，挂载在弹性云主机上，才能实现文件共享。弹性文件服务支持配置多个VPC，以使归属于不同VPC的云主机也能共享访问同一个文件系统。 说明 一个文件系统最多可以添加20个可用的VPC。 部分地域在添加VPC时，需要选择对应的权限组。 添加VPC操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>弹性文件服务SFS Turbo”，进入弹性文件服务控制台页面，在文件系统操作栏或者点击目标文件系统名称进入详情页，点击“添加VPC”。 3. 在弹出的添加VPC对话框中可以在下拉列表中选中待绑定VPC及权限组，如果没有可用的VPC，需先申请，点击右侧“创建虚拟私有云”。 4. 点击“确定”，完成添加。 5. 添加完成后，可以在详情页下方VPC页签可看到绑定的VPC，可以点击操作栏下方的“更换权限组”，以更改VPC绑定的权限组。 解绑VPC操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>弹性文件服务SFS Turbo”，在文件系统列表页，点击待解绑VPC的文件系统名称进入文件系统详情页。 3. 在文件系统详情页的VPC页签下，点击待解绑的VPC操作栏下的“解绑”。 4. 在弹出页面，点击“确定”，完成VPC的解绑。

本文帮助您快速熟悉导入/导出安全组规则的操作场景和操作流程。 操作场景 如果您根据业务场景需要在其他安全组中共用相同的安全组规则，可以利用安全组导入/导出功能将某个安全组的规则快速应用到另外一个安全组。 如果您想在本地备份一个安全组规则，可以利用安全组规则导出功能将待备份规则导出为本地文件。 约束与限制 导入安全组规则时，务必仔细检查规则的格式和内容，只能基于模板已有字段进行内容修改，不能新增字段和修改字段名称，否则会导入失败。 导入安全组规则时，若源地址/目的地址类型为安全组时，需确保安全组已在当前资源池存在且名称与ID正确，格式示例：格式为名称[id]，例如sgfaae[b479ddae618a4e0abf14cc66fca1355d]。（部分资源池可导入地址类型为安全组，实际情况以控制台展现为准）。 导入的规则应不超过1000条，超过数量不允许导入。当存在重复安全组规则时，无法导入。 对于上传文件类型，选择本地的CSV格式。 在导入规则之前，建议先备份当前安全组的规则，以防止意外覆盖或错误的添加规则。 导入规则时，确保目标安全组已经存在，否则导入操作可能会失败。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。

本文介绍了如何管理前缀列表的条目信息。 操作场景 您可以管理前缀列表，根据需求新增、修改或删除前缀列表条目。 前缀列表被资源引用后，如安全组规则，那么当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建好前缀列表。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制前缀列表”选项。 5. 在右侧前缀列表页面，选择目标前缀列表，点击名称进入前缀列表详情。 6. 根据您的需求新增、修改、删除前缀列表条目。 新建前缀列表条目 前缀列表条目页签下，单击【新增】按钮。 在新增弹窗中添加CIDR地址块和描述信息，然后单击 保存 。 如果需要添加多个条目，可点击弹窗中的【新增条目】批量添加。 修改前缀列表条目 在前缀列表详情页，找到目标条目，单击【修改】。 修改条目的CIDR地址块和描述信息，然后单击 保存 。 删除前缀列表条目 删除单个条目：在目标条目的操作列，单击操作列【删除】。 批量删除条目：选中多个目标条目，单击顶部的【批量删除】。

添加权限组规则 1. 在权限组列表处单击权限组名称，进入权限组详情页。 2. 点击“添加规则”，在弹窗中配置授权IP地址、读写权限、优先级等规则。各参数说明如下： 字段 说明 授权地址类型 可选IPv4和IPv6两种网络类型。 授权地址（必填） 可填写单个IP 或者单个网段。 读写权限 只读或读写。当客户端从读写权限改为只读权限再改回读写权限时，需要重新挂载客户端。 用户权限 norootsquash：不匿名root用户。 优先级 优先级可选范围为1~400，默认值为1，即最高优先级。 当同一个权限组内单个 IP 与网段中包含的 IP 的权限有冲突时，会生效优先级高的规则。优先级不可重复。 更换权限组 1. 登录天翼云控制中心，在控制台左上角选择地域。 2. 选择 “存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在控制台左侧点击“权限组”标签页，进入权限组管理页面。 4. 在VPC页签下找到文件系统绑定的VPC，点击“操作>更换权限组”。 5. 在弹窗中选定新的权限组，单击“确定”，完成权限组的更换。 修改权限组规则 1. 登录天翼云控制中心，在控制台左上角选择地域。 2. 选择 “存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在控制台左侧点击“权限组”标签页，进入权限组管理页面。 4. 选择待修改的规则，单击操作栏下方的“修改”，在弹出页面配置新的权限组规则。 5. 单击“确定”，完成权限组的规则的修改。

访问控制 租户创建RDS实例时，RDS会为租户同步创建一个数据库主帐户，主帐户的密码由租户指定。此主帐户允许租户操作自己创建的RDS实例数据库。租户可以使用数据库主帐户连接RDS实例数据库，并根据需要创建数据库实例和数据库子帐户，并根据自身业务规划，将数据库对象赋予数据库子帐户，以达到权限分离的目的。 自动备份和手动备份 RDS提供两种备份恢复方法，即自动备份和手动备份。自动备份默认开启，备份存储期限最多732天，同时开启自动备份后，允许对数据库执行时间点恢复。RDS自动备份会进行全量数据备份，且每5分钟会增量备份事务日志，这就允许租户将数据恢复到最后一次增量备份前任何一秒的状态。手动备份是租户手动触发的数据库全量备份，这些备份数据存储在天翼云OBS桶中，当租户删除实例时，OBS桶中的手动备份会被保留。租户可以通过已有备份将数据恢复到新实例。 数据复制 RDS支持部署高可用实例。租户可选择在单可用区或多可用区中部署高可用实例。当租户选择高可用实例时，RDS会主动建立和维护数据库同步复制，在主实例故障的情况下，RDS会自动将备实例升为主实例，从而达到高可用的目的。 数据删除 租户删除RDS实例时，存储在数据库实例中的数据都会被删除，任何人都无法查看及恢复数据。

步骤二：添加白名单 操作场景 终端节点服务的权限管理旨在控制是否允许来自不同租户的终端节点进行访问。 在成功创建终端节点服务后，您可以设置授权帐号ID，将这些帐号ID添加到终端节点服务的白名单中，从而实现授权访问。 以下步骤将指导您获取帐号ID，并将其添加至终端节点服务的白名单中。 前提条件 已存在待连接的终端节点服务。 添加被授权的帐号ID至终端节点服务的白名单中 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入B账号登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”。 5. 选择相应的终端节点服务，点击其名称进入详情页面。 6. 在终端节点服务详情页面，选择“服务白名单”页签，点击“添加白名单”。 7. 根据提示配置参数，填写天翼云账号B的邮箱，添加白名单。 步骤三：购买终端节点 操作场景 在VPC2成功创建并配置了终端节点服务，并设置了允许连接该终端节点服务的白名单后，您可以在VPC1中购买终端节点，以实现连接到终端节点服务的跨VPC通信。

IAM控制台创建自定义策略 1.使用天翼云账号登入IAM控制台。 2.在左侧导航栏，选择 "策略管理" "创建自定义策略"。 3.输入策略名称，输入策略描述（可选），点击下一步。 4.设置策略内容，本文介绍使用可视化视图的方式设置，如果需要使用更灵活的JSON视图，请参考IAM文档。 效果：允许（允许策略中配置的权限），拒绝（拒绝策略中配置的权限） 云服务：搜索关键字“容器镜像服务” 操作：根据需求勾选需要配置的操作（即权限） 资源：具体见资源权限管控内容 条件：该配置参考具体IAM文档。 5. 点击保存，完成自定义策略的创建。 为子账户设置自定义权限策略 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择用户授权子账户。 3. 选择操作 查看，进入用户界面，选择权限管理标签页，选择个人权限的新增权限。 4. 搜索框输入上一步设置的自定义权限策略名称，勾选上一步创建的自定义权限策略。 5. 点击“下一步”，由于CRS自定义权限为全局服务资源，无需设置资源池。 6. 点击 “确定”，即可完成为子账户授权。 CRS资源权限管控 使用IAM的JSON视图创建自定义策略时，可以通过设置资源字段来实现细粒度的资源权限管控。

概述 在创建天翼云分布式消息服务RabbitMQ实例之前，您需要做一些准备工作。 首先，您需要设置一个虚拟私有云（VPC），这是一个隔离的网络环境，用于托管RabbitMQ实例。 接下来，您需要创建一个子网，它是VPC内部的一个子网络，用于划分不同的部分和区域。 最后，您需要配置一个安全组，用于控制入站和出站的流量规则，以保证RabbitMQ实例的安全性。 每个分布式消息服务RabbitMQ实例都会被部署在特定的VPC中，并与特定的子网和安全组相关联。这种方式可以让您自主配置和管理RabbitMQ实例的网络环境，并提供安全保护策略。如果您已经有了现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这样可以节省时间和资源，并确保一致性和可靠性。 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置RabbitMQ实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与使用的天翼云分布式消息服务RabbitMQ服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络。 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网。

项目 描述 时间范围 可以选择相对时间： 近2小时 近6小时 近1天 近7天 近1年 自定义时间段，选择开始日期和结束日期，精确到天。 注意 起始时间必须早于结束时间，且起始时间不能早于服务器当前时间一年。 数据目录使用率 所有数据目录所在磁盘使用率的平均值。 容量配额收益率 HBlock所有数据目录容量配额使用率的平均值。 HBlock HBlock服务端。 数据目录使用量 所有数据目录所在磁盘使用量的总和。 数据目录总容量 所有数据目录所在磁盘的容量总和。 配额使用量 HBlock配额使用量。 配额 集群中各个数据目录的HBlock配额总量。 客户端<>HBlock 客户端与HBlock之间的数据传输情况。 读带宽 客户端从HBlock读取数据的带宽。 写带宽 客户端向HBlock写入数据的带宽。 总带宽 客户端与HBlock之间的总带宽。 读IOPS 客户端从HBlock读取数据的IOPS。 写IOPS 客户端向HBlock写入数据的IOPS。 总IOPS 客户端与HBlock之间的总IOPS。 读时延 客户端从HBlock读取数据的时延。采集周期内，系统中所有卷读时延的平均值。 写时延 客户端向HBlock写入数据的时延。采集周期内，系统中所有卷写时延的平均值。 总时延 客户端与HBlock之间的总时延。采集周期内，系统中所有卷读写时延的平均值。 HBlock<>Cloud HBlock与云之间的数据传输情况。 上云上传带宽 HBlock向云上传数据的带宽。 上云下载带宽 HBlock向云下载数据的带宽。 上云总带宽 HBlock与云之间的总带宽。

创建CSV云主机 您可以通过控制台或OpenAPI创建具备CSV特性的安全增强计算型云主机hc4t和安全增强内存型云主机hm4t。 通过控制台创建CSV云主机 在控制台创建机密计算云主机的步骤与创建普通云主机一样，但需要注意选择特定规格，即支持海光CSV特性的云主机规格。请参见：++创建弹性云主机弹性云主机快速入门 天翼云++ 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的，选择区域，此处我们选择华北2。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面，按照以下配置创建云主机。 配置项 说明 实例规格 仅hc4t、hm4t规格支持CSV功能。 镜像 选择CTyunOS V4.0 25.07 64 位(40GB)镜像。 5. 根据界面提示，完成海光CSV云主机创建。 通过OpenAPI创建CSV云主机 您可以调用++创建一台按量付费或包年包月的云主机++创建CSV云主机，需要注意的参数如下表： 参数 说明 示例 flavorName 指定支持CSV功能的实例规格，当前仅 hc4t、hm4t规格支持。 hc4t.large.2 imageID 指定支持CSV的镜像ID，当前仅CTyunOS V4.0 25.07 64 位(40GB)镜像支持。 4636d1df82c24db89fff6a20e0af1c5f

参数 是否必填 参数类型 说明 示例 下级对象 sourceType 否 String 迁移源类型，默认为S3，①S3：AWS及S3适配；②OSS：阿里云OSS；③COS：腾讯云COS；④OBS：华为云OBS；⑤OOS：天翼云OOS；⑥ZOS：天翼云对象存储ZOS S3 sourceEndpoint 是 String 迁移资源池地址，支持输入IP或域名，以 sourceBucket 是 String 迁移源桶，输入限制不超过1024字符 bucketkpblz sourceAccessKey 是 String 迁移源资源池ak，输入限制不超过1024字符 7Hj9Kp2QXXXm5Nv3RfX sourceSecretKey 是 String 迁移源资源池sk，输入限制不超过1024字符 bL8yT4wXXXG6dS1xE9P sourceBucketType 否 String 源资源池迁移模，默认为Bucket。①Bucket：整桶迁移；②Folder：文件夹迁移；③Files：文件迁移；④Prefix：前缀迁移 Bucket migrateFolder 否 Array of Strings 指定源资源池迁移的文件夹列表，仅当sourceBucketType为Folder时有效，当前仅支持指定单个文件夹，单个文件夹名输入限制不超过1024字符 ["folder1"] migrateFiles 否 Array of Strings 指定源资源池迁移的文件名列表，仅当sourceBucketType为Files时有效，当前指定文件上限为100个，单个对象名输入限制不超过1024字符 ["files1","files2"] migratePrefix 否 Array of Strings 指定源资源池迁移的前缀列表，仅当sourceBucketType为Prefix时有效，当前只支持指定单个前缀，单个前缀名输入限制不超过1024字符 ["prefix1"]

本章节主要介绍了SQL Server管理报警功能。 添加报警规则 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【监控告警】，切换到【告警】子页面。 告警页面可以看到该实例绑定的告警规则信息，包括告警规则、沉默周期、告警级别等。 5. 单击【添加告警规则】按钮，跳转至数据库管理平台告警中心页面进行报警规则设置； 6. 单击【新建策略】按钮，可以创建告警策略，告警对象选择【实例SQL Server】； 7. 支持SQL Server所有的监控指标告警，监控指标及其说明参考【查看资源与引擎监控】。 管理报警规则 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【管理中心 > 告警中心 > 告警设置】。 3. 在【告警设置】页找到目标规则，点击【告警启停】按钮可以管理是否启用该告警，停止该告警后将不会触发报警； 4. 目标规则操作栏支持以下操作： 查看详情：查看目标规则的详细设置； 编辑：可以对目标规则设置进行修改； 删除：将目标规则删除，该操作无法恢复。

本章介绍函数工作流如何使用定时触发器。 本节介绍创建定时触发器，按照设置的频率，定期触发函数运行，供用户了解定时触发器的使用方法。 前提条件 已经创建函数。 创建定时触发器 1、登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2、选择待配置的函数，单击进入函数详情页。 3、选择“设置 > 触发器”，单击“创建触发器”，弹出“创建触发器”对话框。 创建触发器 4、设置以下信息。 触发器类型：选择“定时触发器 (TIMER)”。 定时器名称：您自定义的定时器名称，例如：Timer。 触发规则：固定频率和Cron表达式。 固定频率：固定时间间隔触发函数，该类型下支持配置单位为分、时、天，每种类型仅支持整数配置，其中分钟支持范围(0，60]，小时支持范围(0，24]，天支持范围(0，30]。 Cron表达式：设置更为复杂的函数执行计划，例如：周一到周五上午08:30:00执行函数等，具体请参见附录：函数定时触发器Cron表达式规则。 是否开启：是否开启定时触发器。 附加信息：如果用户配置了触发事件，会将该事件填写到TIMER事件源的“userevent”字段。 5、单击“确定”，完成定时触发器的创建。 查看函数运行结果 1、函数的定时触发器创建以后，每隔一分钟执行一次函数，可以查看函数运行日志。 2、登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 3、选择函数，单击进入函数详情页。 4、选择“监控 > 日志”，查询函数运行日志。

本文绍了如何查看RDSPostgreSQL实例连接信息。 操作场景 客户从内外网连接实例时需要从控制台获取实例连接信息，当前连接方式不可修改。 约束限制 当前实例创建后，内网连接IP不可修改。 操作步骤 Ⅰ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 在“实例管理”列表中点击对应的实例进入实例信息页，其中“连接地址”即为实例的内网IP，“数据库端口”为实例的连接端口，“虚拟私有云”为对应的VPC，“安全组”为对应的安全组。 Ⅱ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在单个实例的管理详情页中，“ipv4地址”为天翼云内的ipv4连接地址，“ipv6地址”为天翼云内的ipv6连接地址，“弹性IP”为当前实例绑定的可公网访问的IP信息，“数据库端口”为当前实例的连接端口。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

在创建天翼云分布式缓存Redis实例之前，您需要做一些准备工作。首先，您需要设置一个虚拟私有云（VPC），这是一个隔离的网络环境，用于托管Redis实例。接下来，您需要创建一个子网，它是VPC内部的一个子网络，用于划分不同的部分和区域。最后，您需要配置一个安全组，用于控制入站和出站的流量规则，以保证Redis实例的安全性。 每个分布式缓存Redis实例都会被部署在特定的VPC中，并与特定的子网和安全组相关联。这种方式可以让您自主配置和管理Redis实例的网络环境，并提供安全保护策略。如果您已经有了现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这样可以节省时间和资源，并确保一致性和可靠性。 所需依赖资源准备 购买分布式缓存Redis实例前需要准备以下依赖资源 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置Redis实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与使用的天翼云分布式缓存Redis服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网

本文介绍云SSO各模块的基本概念 概念 说明 企业组织 企业组织是多账号下的成员关系管理服务，可以通过创建或者邀请账号加入，构建多账号的企业中心环境。 主账号 是企业组织中的管理员账号，可以统筹管理企业组织关系内各成员账号的资源、操作权限、财务关系等。 子账号 是通过被主账号创建或者邀请加入的成员账号。 云SSO用户/用户组 是主账号创建的虚拟用户，该用户可以通过云SSO门户登录到企业组织内的成员账号中，对成员账号进行访问管理。 权限集 主账号可以为云SSO实例自定义分配指定的权限集合。 绑定权限集 为云SSO用户（组）在指定账号范围内，绑定权限集。 云SSO登录门户 云SSO用户登入URL地址： 身份同步 云SSO支持基于SCIM协议的用户和用户组同步，称为身份同步，也可以称其为身份部署或身份推送等。使用身份同步，您只需在您的企业身份管理系统中管理身份，而不必在云SSO中手工管理用户、用户组及其成员关系，提升管理效率和安全性。 单点登录（SSO） 云SSO支持基于SAML 2.0的单点登录SSO（Single Sign On）。天翼云是服务提供商（SP），而企业自有的身份管理系统则是身份提供商（IdP）。通过单点登录，企业员工可以使用IdP中的用户身份以云SSO用户身份访问天翼云。

本节介绍设置安全的口令。 请按如下建议设置口令： 使用复杂度高的密码 建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合： 大写字母（AZ） 小写字母（az） 数字（0~9） 特殊字符 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份 数字或字母连排或混排，常用彩虹表中的密码、滚键盘密码 短语密码 公司名称、admin、root等常用词汇 说明 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

本文介绍网站提示证书存在风险的相关场景及解决方案。 背景说明 网站已经在天翼云DDoS高防（边缘云版）控制台开启了HTTPS功能，并配置对应证书，但是用户使用浏览器访问该网站时提示证书存在风险。本文主要介绍可能的原因及应对方案。 可能原因及方案 场景一：域名配置的对应证书已过期 处理方式：您可以前往DDoS高防（边缘云版）控制台更换新的证书。具体操作时，可先上传新的证书，再在【域名接入】【网站配置】【请求协议】中选择新证书对应的备注名，单击【保存】即可。 场景二：配置了自签名HTTPS证书 自签名证书是由个人或企业自行签署的证书，而不是由受信任的证书机构签发的证书。此类证书容易被伪造、安全系数低、有效期不稳定，各大浏览器基本都不信任此类证书。 处理方式：通过正规证书机构购买相应证书，购买后到DDoS高防（边缘云版）控制台重新上传证书并关联对应域名。 场景三：系统时间错误 请检查浏览器系统时间是否准确。如果系统时间不在ssl证书开始截止日期之内，则可能导致浏览器提示ssl证书过期或不生效。 处理方式： 更新浏览器本地系统时间。 场景四：使用了过低的TLS版本 处理方式：天翼云默认开启了TLS 1.0/1.1/1.2/1.3，目前公认的安全性更高的协议是TLSv1.2和TLSv1.3，您可选择关闭TLS 1.0/1.1，只开启 TLSv1.2 和 TLSv1.3。

本文介绍设置Nginx缓存策略的方法。 免责声明： 本文档包含第三方产品信息，该信息仅供参考。 背景说明 本文主要介绍Nginx服务器的缓存策略配置方法。如源站服务器使用的是Nginx，可将本文作为参考。 详细信息 Nginx服务器的缓存策略设置方法有两种：addheader或者expires。 1. addheader 1）语法：addheader name value。 2）默认值：none。 3）使用范围：http、server、location。 配置示例如下： addheader cachecontrol "maxage86400"；设置缓存时间为1天。 addheader cachecontrol "nocache"； 设置为不缓存。 addheader cachecontrol "maxage60"； 设置缓存时间为1分钟。 2. expires 1）语法：expires [timeepochmaxoff] 2）默认值：expires off 3）使用范围：http、server、location 4）这个指令控制是否在应答中标记一个过期时间，标记说明如下： off：将禁止修改头部中的Expires和CacheControl字段。 time：控制CacheControl的值，负数标识永远过期，并且响应cachecontrol: nocache。 epoch：将Expires头设置为1 January, 1970 00:00:01 GMT。 max：将Expires头设置为31 December 2037 23:59:59 GMT，将CacheControl最大化到10年。 配置示例如下： expires 1； expires响应头内容为当前服务器时间过去1秒的时间，同时响应cachecontrol: nocache。 expires 1d； expires响应头内容为当前服务器时间未来1天的时间，同时响应cachecontrol: 86400。 expires 1h； expires响应头内容为当前服务器时间未来1小时的时间，同时响应cachecontrol: 3600。