为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本文介绍如何在组网配置中如何查看和分析网络拓扑。 背景说明 AOne零信任网络通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通，分支机构互联情况则可以通过网络拓扑进行直观的分析和处理。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击网络拓扑。 网络拓扑 可选择图形或地图，并选择对应的分支机构，来查看分支机构的网络拓扑。

本节介绍VSS的主机扫描IP有哪些。 如果设置了访问限制，请添加策略允许VSS的IP地址可以访问您的主机。如果您使用了主机安全防护软件，请将VSS访问主机的IP地址添加到该软件的白名单中，以免该软件拦截了VSS访问用户主机的IP地址。 114.217.39.79，222.93.127.109

本文为您介绍在本地客户端通过FTP上传文件时,写入文件或者传输文件失败的问题处理方法。 故障描述 使用FTP上传文件时，写入文件或者传输文件失败。 约束与限制 本文档适用于服务端为Windows系统上的FTP服务。 故障原因 弹性公网IP与内网IP是通过NAT方式绑定的，因此本地访问弹性云主机时，客户端是通过被动模式连接服务端的，在这种情况下，服务端的IP地址无法从路由器外部访问，所以需要在服务端的对外IP中填写此弹性云主机分配的公网IP，同时设置数据传输端口范围来限制需要通过路由器转发的端口数量。 解决步骤 1. 检查FTP服务的地址是否填写正确 点击“ 服务器管理器 > 工具 > Internet Information Services(IIS)管理器” ，然后选择左边栏点击“ 网站” 。首先查看建立的FTP绑定的IP是否填写的是内网IP，类型为FTP。 图1 查看FTP所绑定的IP 2. 检查服务端的FTP防火墙支持配置 展开“ 网站” ，会显示建立的FTP服务，双击右侧的FTP防火墙支持。 图2 FTP防火墙支持 数据通道端口范围需要填写102465535范围内的，比如2000020045。 防火墙的外部IP地址这一栏需要填写分配到的 公网IP 。 3. 检查安全组设置 点击“ 控制中心 > 服务列表 > 弹性云主机” ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择“ 安全组” ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和上面配置的数据通道端口这两条。 图3 安全组配置 4. 在客户端测试 一种方法是使用FileZilla填写弹性云主机的公网ip，FTP的用户名和密码，端口填写21。 另一种方法是访问ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入FTP的用户名和密码。

CES Agent如何通过授权获取临时AK/SK？ 为了更加安全高效的使用云监控服务提供的主机监控功能，我们提供了最新方式的Agent授权方法。在安装主机监控Agent前，仅需要一键式单击该区域的授权按钮或者在创建弹性云主机页面勾选云监控Agent委托，则系统会自动对该区域下所有云主机或物理机安装的Agent做临时AK/SK授权，并且以后在该区域新创建的资源都会自动获得此授权。本节针对本授权做以下说明： 1. 授权对象： 当您在云监控服务管理控制台“主机监控 > 弹性云主机”（或“主机监控 > 物理机”）所示页面单击“一键配置”后，系统会在IAM自动创建名为“cesagency”的委托，该委托自动授权给CES服务的内部账户opsvcces。 2. 授权范围： 仅为所在区域的内部账户“opsvcces”添加“CES Administrator”权限。 3. 授权原因： CES Agent运行在弹性云主机或物理机内，该Agent采集监控数据后需要上报到云监控服务，授权后CES Agent能够自动获取临时AK/SK，这样您就可以安全方便的使用云监控服务管理控制台或API查询Agent监控数据指标了。 a. 安全：Agent使用的AK/SK仅具有CES Administrator权限的临时AK/SK，不会使用客户全局AK/SK，即当前的临时AK/SK只具备操作云监控服务的权限。 b. 方便：您仅需在一个区域配置一次即可，无需对每个CES Agent手动配置。 4. 如果授权后在IAM委托页面无法查询到“cesagency”，您可以手工在IAM管理控制台重新创建。 说明 新创建的委托名称必须为“cesagency”。 委托类型为“普通帐号”，委托的帐号必须为“opsvcces”。

信息类型 参数 说明 基本信息 名称 DCS缓存实例的名称。单击“名称”后的可以修改实例名称。 基本信息 状态 DCS缓存实例状态。 基本信息 ID DCS缓存实例的ID。 基本信息 缓存类型 DCS的缓存类型，同时还会展示版本号，例如，Redis 5.0。 基本信息 实例类型 DCS缓存实例类型，支持“单机”、“主备”、“读写分离”、“Proxy集群”和“Cluster集群”。 基本信息 规格 DCS缓存实例规格。 基本信息 已用/可用内存 (MB) DCS缓存实例已经使用的内存量和您可以使用的最大内存量。 已使用的内存量包括两部分： 用户存储的数据； Redisserver内部的buffer（如client buffer、replbacklog等），以及内部的数据结构。 基本信息 CPU DCS缓存实例的CPU。 基本信息 企业项目 企业项目。单击参数后的可以修改企业项目。 基本信息 维护时间窗 运维操作时间。单击参数后的可以修改时间窗。 基本信息 描述 DCS缓存实例的描述信息。单击“描述”后的可以修改描述信息。 连接信息 访问方式 当前支持密码访问和免密访问两种方式。 连接信息 连接地址 DCS缓存实例的IP和端口号。单击连接地址后的可以修改端口号。 说明 DCS服务对接DNS之后创建的实例会显示域名连接地址，在此之前创建的实例仅支持IP地址，且不支持变更为域名连接地址的模式。 如果是Redis 4.0、Redis 5.0和Redis 6.0的主备实例，“连接地址”表示主节点的域名和端口号，“只读地址”表示备节点的域名和端口号。客户端连接时，可选择主节点或备节点的域名和端口号。 仅Redis 4.0/5.0/6.0实例支持修改端口，Redis 3.0实例不支持。 连接信息 IP地址 DCS缓存实例的IP和端口号。 网络信息 可用区 缓存节点所属的可用区。 网络信息 虚拟私有云 DCS缓存实例所在的私有网络。 网络信息 子网 DCS缓存实例所属子网。 网络信息 安全组 DCS缓存实例所关联的安全组。 当前仅Redis 3.0支持安全组访问控制，单击“安全组”后的可以修改安全组。 Redis 4.0及以上版本实例是基于VPCEndpoint，暂不支持安全组。 付费信息 计费方式 按需计费 付费信息 创建时间 DCS缓存实例开始创建时间。 付费信息 运行时间 DCS缓存实例完成创建时间。 实例拓扑 查看实例拓扑图，将鼠标移动到具体实例图标，可以查看该实例的总体监控信息，或者单击实例图标，可以查看实例历史监控信息。 仅主备、读写分离和集群实例显示实例的拓扑图。

实践建议 请您遵循白名单原则配置安全组规则，即安全组内实例默认拒绝所有外部的访问请求，通过添加允许规则放通指定的网络流量。 添加安全组规则时，请遵循最小授权原则。例如，放通22端口用于远程登录云主机时，建议仅允许指定的IP地址登录，谨慎使用0.0.0.0/0（所有IP地址）。 请您尽量保持单个安全组内规则的简洁，通过不同的安全组来管理不同用途的实例。如果您使用一个安全组管理您的所有业务实例，可能会导致单个安全组内的规则过于冗余复杂，增加维护管理成本。 您可以将实例按照用途加入到不同的安全组内。例如，当您具有面向公网提供网站访问的业务时，建议您将运行公网业务的Web服务器加入到同一个安全组，此时仅需要放通对外部提供服务的特定端口，例如80、443等，默认拒绝外部其他的访问请求。同时，请避免在运行公网业务的Web服务器上运行内部业务，例如MySQL、Redis等，建议您将内部业务部署在不需要连通公网的云主机上，并将这些云主机关联至其他安全组内。 对于安全策略相同的多个IP地址，您可以将其添加到一个IP地址组内统一管理，并在安全组内添加针对该IP地址组的授权规则。当IP地址发生变化时，您只需要在IP地址组内修改IP地址，那么IP地址组对应的安全组规则将会随之变更，无需逐次修改安全组内的规则，降低了安全组管理的难度，提升效率。 请您尽量避免直接修改已运行业务的安全组规则。如果您需要修改使用中的安全组规则，建议您先克隆一个测试安全组，然后在测试安全组上进行调试，确保测试安全组内实例网络正常后，再修改使用中的安全组规则，减少对业务的影响。 您在安全组内新添加实例，或者修改安全组的规则后，此时不需要重启实例，安全组规则会自动生效。

本小节介绍证书管理服务应用场景。 公众服务类网站、小程序、APP等满足安全技术要求 适用客户：通过互联网向公众提供服务的政府、金融、中小企业等客户。 解决问题：面向公众提供服务的各类网站、小程序、APP，解决用户在浏览器打开网页时提示“不安全”，导致用户无法访问网站信息或APP/小程序无法上架的问题，可验证企业身份，满足行业安全要求，确保站点安全，屏蔽钓鱼网站，提升搜索引擎收录排名 等保、密评等合规监管场景 适用场景：政府、医疗、央国企等领域需要通过等保、密评的客户。 解决问题：满足合规监管机构要求，适用等保、密评场景，可通过国密证书实现传输机密性和完整性保护。

本节介绍了什么是云服务备份、备份、快照、镜像有什么区别、云服务备份产品架构、备份机制、备份的方式及适用场景。 什么是云备份 云服务备份（Cloud Backup and Recovery，CBR）可以为云主机、云硬盘提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。 云服务备份保障用户数据的安全性和正确性，确保业务安全。 备份、快照、镜像有什么区别？ 备份分为云主机备份和云硬盘备份。 镜像分为系统盘镜像、数据盘镜像、整机镜像。 备份类型 备份对象 适用场景 区别和优势 备份方法 恢复方法 :::::: 云主机备份 弹性云主机中的所有云硬盘（系统盘和数据盘） 云主机受到攻击或病毒入侵 通过云主机备份，可立即恢复到最近一次没有受黑客攻击或病毒入侵的备份时间点。 数据被误删 通过云主机备份，可立即恢复到删除前的备份时间点，找回被删除的数据 应用程序更新出错 通过云主机备份，可立即恢复到应用程序更新前的备份时间点，使系统正常运行。 云主机宕机 通过云主机备份，可立即恢复到宕机之前的备份时间点，使云主机能再次正常启动 备份的同一个云主机下的所有云硬盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题。 且云备份支持根据备份策略自动备份。 创建云主机备份 使用云主机备份恢复数据（恢复至原服务器） 使用云主机备份恢复数据（创建新的云主机） 云硬盘备份 指定的单个或多个云硬盘（系统盘或数据盘） 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 当云硬盘出现故障或云硬盘中的数据发生逻辑错误时（如误删数据、遭遇黑客攻击或病毒危害等），可快速恢复数据。 备份作为基线数据 设置备份策略，根据策略自动对云硬盘进行数据备份，通过定期创建的备份作为基线数据，用来创建新的云硬盘或者恢复数据到云硬盘。 备份数据则存储在对象存储 (OBS)中，可以实现在云硬盘存储损坏情况下的数据恢复 保证数据安全的同时降低备份成本 创建云硬盘备份 使用云硬盘备份恢复数据（恢复至原磁盘） 使用云硬盘备份恢复数据（创建新的磁盘） 快照 指定的单个或多个云硬盘（系统盘或数据盘） 日常备份数据 通过对云硬盘定期创建快照，实现数据的日常备份，可以应对由于误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况 快速恢复数据 应用软件升级或业务数据迁移等重大操作前，您可以创建一份或多份快照，一旦升级或迁移过程中出现问题，可以通过快照及时将业务恢复到快照创建点的数据状态。 例如，当由于云主机 A的系统盘 A发生故障而无法正常开机时，此时您可以使用系统盘 A已有的快照新创建一块云硬盘 B并挂载至正常运行的云主机 B上，从而云主机 B能够通过云硬盘 B读取原系统盘 A的数据。 快速部署多个业务 通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。 例如数据挖掘、报表查询和开发测试等业务。这种方式既保护了原始数据，又能通过快照创建的新云硬盘快速部署其他业务，满足企业对业务数据的多元化需求。 说明 只支持回滚快照数据至原云硬盘，不支持快照回滚到其它云硬盘。 重装操作系统或切换操作系统后，系统盘快照会自动删除；数据盘快照不受影响，可以照常使用。 快照数据与云硬盘数据存储在一起，可以支持快速备份和恢复 快速保存指定时刻云硬盘的数据，同时还可以通过快照创建新的云硬盘，这样云硬盘在初始状态就具有快照中的数据 创建快照 使用快照回滚数据 系统盘镜像 系统盘 快速恢复系统 更换操作系统、应用软件升级或业务数据迁移等重大操作前，将系统盘创建成系统盘镜像，一旦迁移过程中出现问题，可以通过系统盘镜像切换操作系统，或重新创建新的云主机。 快速部署多个业务 通过同一个系统盘镜像可以快速创建出多个具有相同操作系统的云主机，从而快速部署多个业务。 系统盘镜像可以实现在云主机操作系统损坏情况下快速切换至损坏前的操作系统。 创建系统盘镜像 使用系统盘镜像切换故障云主机的操作系统 使用系统盘镜像创建新的云主机 数据盘镜像 指定的数据盘 快速复制数据 通过同一个数据盘镜像可以快速创建出多个具有相同数据的云硬盘，再将新创建的云硬盘挂载到其他服务器上，从而可以同时为多种业务提供数据资源。 数据盘镜像可以复制全盘的数据并创建新的云硬盘挂载到其他服务器上，实现云主机数据盘的复制和共享。 创建数据盘镜像 使用数据盘镜像创建数据盘 整机镜像 弹性云主机中的所有云硬盘（系统盘和数据盘） 快速恢复系统 更换操作系统、应用软件升级或业务数据迁移等重大操作前，将云主机的系统盘和数据盘创建成整机镜像，一旦迁移过程中出现问题，可以通过整机镜像切换操作系统，或重新创建新的云主机。 快速部署多个业务 通过同一个整机镜像可以快速创建出多个具有相同操作系统和数据的云主机，从而快速部署多个业务。 通过整机镜像实现业务的整理迁移。 创建整机镜像 使用整机镜像创建新的云主机

通过RDP文件登录Windows 弹性云主机 操作场景 远程桌面协议（Remote Desktop Protocol，RDP），是微软提供的多通道的远程登录协议。本节为您介绍如何使用RDP文件远程登录Windows弹性云主机。 说明 从管理控制台下载的RDP文件对应唯一的云主机，当前RDP文件命名规则为“云主机名称弹性IP”。 前提条件 弹性云主机状态为“运行中”。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 使用的登录工具与待登录的弹性云主机之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 弹性云主机开启远程桌面协议RDP（Remote Desktop Protocol）。使用公共镜像创建的弹性云主机默认已打开RDP。打开RDP方法请参考开启远程桌面协议RDP。 Windows操作系统使用RDP文件登录Windows弹性云主机 本地主机为Windows操作系统，那么您可以使用RDP文件登录Windows弹性云主机。 1、登录管理控制台。 2、选择“计算 > 弹性云主机”。 3、选择要登录的弹性云主机，单击“操作”列下的“远程登录”。 4、在弹出的“登录Windows弹性云主机”窗口中，选择“使用 RDP 文件登录”，单击“下载RDP文件”，将 RDP 文件下载到本地。 图 单击“下载RDP文件” 5、双击已下载到本地的RDP文件，根据提示输入密码，即可远程连接到Windows云主机。 图 使用RDP文件登录Windows云主机

前提条件 Windows云主机已经绑定弹性公网IP。 已配置安全组3389端口入方向的访问规则。 使用的登录工具与待登录的Windows云主机之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 操作步骤 打开Windows云主机远程登录RDP（Remote Desktop Protocol）协议。首次登录云主机时，请先使用VNC方式登录云主机，打开RDP，然后再使用MSTSC方式连接。 1. 检查Windows云主机的RDP是否开启。 1）VNC方式登录云主机。 2）单击“开始”菜单，选择“控制面板 > 系统和安全 > 系统 > 远程设置”，系统进入“系统属性”页面。 3）选择“远程”页签，在“远程桌面”栏，选择“允许远程连接到此计算机”。 4）单击“确定”。 2. 在用户本地计算机，使用远程登录工具MSTSC登录Windows云主机。 1）单击“开始”菜单。 2）在“搜索程序和文件”中，输入“mstsc”。 3）根据提示登录云主机。 3. （可选）通过远程桌面连接（Remote Desktop Protocol, RDP）方式登录云主机后，如果需要使用RDP提供的“剪切板”功能，将本地的大文件（文件大小超过2GB）复制粘贴至远端的Windows云主机中，由于Windows系统的限制，会导致操作失败。具体解决办法请查看微软官方提供的帮助手册：Copying files exceeding 2 GB fails Windows Server，或咨询微软官方。

云存储网关有什么优势？ 云存储网关有如下优势： 易用（即装即用）：仅约140MB的高度优化zip安装包，只需3个命令即可安装在Linux操作系统上，从安装包解压到集群初始化不超过3分钟。云存储网关与通用64位x86服务器和ARM服务器上的主流Linux操作系统兼容。 成本（利用率高）：兼容主流Linux操作系统，支持和其他应用混合部署，支持异构硬件部署，支持自动精简配置，显著提高了资源利用率，降低使用成本。 安全（稳定可靠）：支持多副本和纠删码数据冗余保护机制，多种异常情况下确保数据不丢，并且保持数据一致性，可以承载企业核心业务数据；通过传输加密、监控告警、配置备份等最大程度实现安全保障。 高可用（业务永续）：可达秒级故障切换速度，实现不中断会话的故障转移，媲美传统高端存储，单节点故障不影响可用性，确保企业核心应用724永续。 快速（读写延迟低）：采用分布式双控架构，提升读写性能，延迟极低。同时优化了数据重建流程，避免性能瓶颈，快速响应企业的核心应用。 上云（弹性扩展）：可作为本地与云端存储之间的桥梁，利用OOS提供的PB级弹性存储空间能力，实现大规模横向扩展，将全量数据自动同步到OOS中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。

本教程将详细介绍如何借助天翼云 SDWAN 实现对 DeepSeek 的定向加速，以访问海外资源。 应用场景 企业在云上部署私有化DeepSeek平台，进行企业知识库、智能问答等大模型开发工作，在此过程中会使用到ollama、huggingface、github等境外开发工具或平台实现大模型高效迭代优化。 天翼云SDWAN通过优化对合规境外网站的访问过程，可以为客户提供更加流畅的海外资源访问体验。用户只需在云上DeepSeek主机业务环境中部署SDWAN软件CPE(vCPE)，即实现可对定向海外资源的加速访问。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建了云主机用于部署DeepSeek服务，并通过网络配置将其加入到VPC子网中。 操作步骤 本教程的配置流程如下： 步骤一：部署 vCPE 1. 创建并配置云主机 ：在天翼云控制台创建一台用于部署天翼云 SDWAN vCPE 的云主机，为其创建和绑定弹性公网 IP（EIP），并通过网络配置将其加入到创建的VPC子网中，请参考创建弹性云主机。 2. 创建vCPE资源，并部署到云主机中：您可通过以下两种方式开通 vCPE 资源。 天翼云官网自助开通：若选择通过天翼云官网自行下单，具体操作步骤如下： 1. 登录天翼云 SDWAN 控制台，在界面中选择“智能网关”选项，随后在“智能网关”页面点击“创建智能网关”按钮。 2. 按照页面给出的提示，选择“软件版”vCPE和接入带宽等关键业务配置。 3. 参数配置完毕后，点击“提交订单”。在确认订单信息准确无误后，勾选产品服务协议，接着点击“确认下单”。 4. 完成订单支付，支付成功即完成 vCPE 资源的购买。 客户经理协助开通：您也可以直接联系客户经理，由其协助完成 vCPE 资源的开通。 购买完成后，及时联系 SDWAN 客户经理进行交付。届时，天翼云 SDWAN 交付团队会协助您将创建好的 vCPE 实例资源部署到云主机上，并接入天翼云 SDWAN 网络。

相关服务 交互功能 云专线 通过云专线接入VPC的本地服务器，可以通过公网NAT网关访问公网或为公网提供服务。 虚拟专用网络 通过VPN可以在远端用户和VPC之间建立一条安全加密的公网通信隧道。为通过公网NAT网关访问公网提供了更加安全的访问。 弹性云主机 公网NAT网关可以为弹性云主机提供访问公网或者为公网提供服务的能力。 虚拟私有云 虚拟私有云内的弹性云主机与Internet互连。 弹性IP 实现VPC中的云主机以公网NAT网关的形式共享弹性公网IP访问公网或为公网提供服务。 云监控 查看NAT网关的监控数据，还可以获取可视化监控图表。

本节为您介绍如何在本机使用远程登录工具MSTSC登录Windows弹性云主机。 操作场景 本节为您介绍如何在本机使用远程登录工具MSTSC登录Windows弹性云主机。 前提条件 弹性云主机状态为“运行中”。 如果弹性云主机采用密钥方式鉴权，已获取Windows弹性云主机的密码，获取方式请参见获取Windows弹性云主机的密码。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 使用的登录工具与待登录的弹性云主机之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 弹性云主机开启远程桌面协议RDP（Remote Desktop Protocol）。使用公共镜像创建的弹性云主机默认已打开RDP。打开RDP方法请参考开启远程桌面协议RDP。 使用MSTSC方式登录Windows弹性云主机 本地主机为Windows操作系统，那么可以使用Windows自带的远程桌面连接工具MSTSC登录Windows云主机。 1. 在本地主机单击“开始”菜单。 2. 在“搜索程序和文件”中，输入“mstsc”，单击mstsc打开远程桌面连接工具。 3. 在“远程桌面连接”的对话框中，单击“选项”。 图 显示选项 4. 输入待登录的云主机的弹性IP和用户名，默认为Administrator。 说明 如需再次登录时不再重复输入用户名和密码，可勾选“允许我保存凭据”。 图 远程桌面连接 5. （可选）如需在远程会话中使用本地主机的资源，请单击“本地资源”选项卡完成如下配置。 如需从本地主机复制到云主机中，请勾选“剪贴板”。 图 勾选剪贴板 如需从本地主机复制文件到云主机中，单击“详细信息”，勾选相应的磁盘。 图 勾选驱动器 6. （可选）如需调整远程桌面窗口的大小，可以选择“显示”选项卡，再调整窗口大小。 图 调整窗口大小 7. 单击“确定”，根据提示输入密码，登录云主机。 为安全起见，首次登录云主机，需更改密码。 8. （可选）通过远程桌面连接（Remote Desktop Protocol, RDP）方式登录云主机后，如果需要使用RDP提供的“剪切板”功能，将本地的大文件（文件大小超过2GB）复制粘贴至远端的Windows云主机中，由于Windows系统的限制，会导致操作失败。 具体的解决方法，请参考使用远程桌面链接方式复制文件。

安全组支持快速克隆,方便将相同的安全组规则快速应用到不同区域的服务器上。本文帮助您快速熟悉克隆安全组的操作场景和操作流程。 操作场景 安全组支持跨区域克隆，您可以利用该功能备份安全组或安全组规则快速应用到不同区域的云资源上。 当您有如下需求时，可以利用克隆安全组的功能去实现： 您在区域1存在一个安全组sgs1，此时区域2中的云资源（云主机、物理机等）需要配置与区域1中的安全组sgs1完全相同的规则，您可以直接将安全组sgs1利用克隆功能快速创建相同的安全组到区域2，而不需要在区域2中创建新的安全组。 如果您需要对云资源更换安全组规则，可以对原安全组做克隆操作，快速创建相同的新安全组作为备份资源。 说明 安全组的跨域克隆仅支持克隆到相同架构的资源池下，即地域资源池的安全组仅支持克隆到地域资源池内，可用区资源池的安全组仅支持克隆到可用区资源池内。不同资源池列表见 约束与限制 克隆安全组时，只将原安全组出入方向规则克隆，云主机需另行关联。 仅支持克隆源/目的地址是IP地址网段及安全组本身的规则，如存在引用其他安全组的规则时，不支持克隆这条规则，实际情况以控制台展现为准。

云主机可通过弹性IP访问互联网,本文向您介绍云主机与弹性IP绑定,并访问互联网的步骤。 前提条件 已配置了云主机，且该云主机需和弹性IP在同一资源池。 背景信息 在申请云主机的时候如果选择了“不使用”弹性IP，您的云主机将无法访问互联网，也无法被互联网访问。您对云主机的管理都只能通过控制台的远程登录进行。如下图： 如果云主机的IPv4地址信息只有内网地址，没有公网地址，说明主机没有绑定过弹性IP。 您可以通过购买弹性IP与云主机绑定，实现云主机访问互联网资源。如果云主机上部署企业应用，也可以通过弹性IP来实现被互联网访问，向企业的最终用户提供服务。 跨可用区弹性云主机互访场景，也可以通过给每个主机均绑定弹性IP，实现云主机具备互联网访问能力，在通过互联网实现主机的互相访问。 应用场景说明 用户购买弹性IP，并将其挂载到云主机。 操作步骤 1. 进入网络控制台，点击【申请弹性IP】按钮； 2. 配置弹性IP的地域、名称等基本信息，地域要和主机所在地域相同。计费方式建议和主机计费方式相同。 3. 根据需要访问互联网的主机数量选择购买数量，本文中我们只需要1台主机能够访问互联网，选择购买数量“1”即可。 4. 点击【下一步】，按照提示完成订单即可完成购买； 5. 在控制台列表找到刚刚购买的弹性IP，点击【绑定】； 6. 选择“一对一映射”； 7. 在弹出的页面中选择要绑定的云主机，点击【确认】即可实现绑定。 绑定后，在控制台列表中，该弹性IP状态显示“已绑定”。 8. 回到云主机控制台，可以看到云主机的IPv4信息列增加了刚刚绑定的弹性IP； 9. 登录云主机，网络状态显示“已连接”，使用浏览器打开 ping 8.8.8.8）。

本小节介绍云下一代防火墙双向访问控制最佳实践。 背景信息 云下一代防火墙作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需整理按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址； 访问互联网业务是否存在限制，是否需要记录上网行为审计； 对外发布业务云主机信息，内网IP及对应公网IP； 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 配置操作 云计算边界扩展要求针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1） 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》 2） 访问互联网业务是否存在限制，是否需要记录上网行为审计； 3） 对外发布业务云主机信息，内网IP及对应公网IP； 4） 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 5） 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 6） 是否有WAF/CDN业务访问，提供源站白名单 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置登录云墙【网络】→【接口】→【接口配置】，详细配置参考配置网络接口属性 3 配置基础准备环境 按需配置对象薄、地址薄等信息登录云墙，【对象】→【服务薄】/【地址薄】，详细配置参考配置服务对象薄 4 配置出向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【源NAT】，详细配置参考配置出站NAT策略 5 配置入向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【目的NAT】，详细配置参考配置入站NAT策略 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】，详细配置参考配置出站路由和配置平台默认路由 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建注册配置中心/云原生网关实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通注册配置中心/云原生网关实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问注册配置中心/云原生网关实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：注册配置中心/云原生网关的实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问注册配置中心/云原生网关实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本文介绍全站加速在金融行业的最佳实践。 行业概况 当前，以移动支付、线上证券交易等为代表的数字金融已深入到生活的方方面面。对于金融企业而言，如何在满足人民银行、银保监会等金融监管机构合规性要求的基础上，提升自身数字化竞争力成为当下的重要课题。 天翼云全站加速产品，依托全球2300+分布式加速节点，基于云网融合优势，通过动静分离、多级缓存、智能路由、协议优化、链路优化等多项技术，为用户提供低延时、高可用的加速网络服务。在保障金融企业安全发展的前提下，不断优化用户体验，助力金融企业提升管理与经营效能。 方案架构 网站及应用作为金融企业的门户和窗口，在日常管理与经营中起到至关重要的作用。金融企业网站业务场景多样，用户分布广，跨区域跨运营商访问不稳定；分支机构间的数据互动受网络链路影响，可控性较低。针对以上痛点，天翼云全站加速以客户需求为导向，以客户体验为核心，打通实践价值的最后一公里，同时提升业务的安全性与合规性。 需求场景 网站及办公应用加速 业务挑战：金融客户网站业务场景多样，用户分布广，跨区域跨运营商访问不稳定。一般存在总部、多分支机构协同办公，分支机构遍布全球，数据互动受网络链路影响极不可控。 方案优势：天翼云全站加速凭借全球2300+三网节点覆盖，通过智能调度，传输优化等自研技术，可实时计算优质回源路径，为金融网站、app访问提速增效。

类别 参数名称 说明 基本信息 实例名称 实例的名称。单击名称后的可以修改实例名称。 基本信息 状态 实例当前的运行状态，包括： 运行中 创建中 故障 已关闭 已冻结 公安冻结 违规冻结 未实名认证冻结 合作伙伴冻结 创建失败 基本信息 实例ID 实例的ID，由系统自动生成。 基本信息 可用区 实例所在的可用区。 基本信息 版本 当前实例的版本。 基本信息 备注 实例的备注信息。单击备注后的可以修改备注信息。 基本信息 性能规格 实例的性能规格。 基本信息 计费模式 实例的计费模式。 基本信息 创建时间 实例创建的时间。 基本信息 企业项目 实例所属的企业项目。 基本信息 剩余天数 实例可以使用的剩余天数。 网络配置信息 虚拟私有云 实例所在的虚拟私有云。 网络配置信息 安全组 实例所在的安全组。 网络配置信息 子网 实例所在的子网。 网络配置信息 内网IP 实例的IP地址。 关联数据库 实例已关联的数据库信息。 单击“管理数据库”，跳转到数据库列表页面。

本文介绍如何跨AZ挂载文件系统。 应用场景 针对企业而言，不管业务是不是在云上，服务的稳定和连续性都是无法回避的话题，为了降低不可抗力因素对服务提供造成的影响，有了高可用性和容灾的概念。 跨AZ部署是实现服务高可用较为有效的方法，本次我们介绍跨AZ挂载文件系统，云主机和文件系统部署在不同的机房，通过天翼云内部高速通道实现连通，实现文件存储跨AZ级别的高可用。本次以NFS文件系统跨AZ挂载Linux云主机为例。 方案使用云产品 弹性云主机、弹性文件服务 方案优势 跨AZ挂载文件系统能够实现服务的高可用性，且极具性价比。 跨AZ挂载文件系统可以消除服务中的单点故障，同时具备很低的网络时延。 操作步骤 步骤一：创建弹性云主机 1. 本次操作实践中，需要创建弹性云主机以挂载文件系统，此次以CentOS 7.6系统为例介绍操作。弹性云主机创建流程详见创建弹性云主机。弹性云主机部分参数可参考下表： 参数 说明 可用区 可用区1 镜像 CentOS 7.6 64位 弹性IP 自动分配 IP版本 IPv4 带宽 5M 2. 配置完成，点击提交订单，等待云主机创建完成。

本文说明天翼云全站加速有没有海外加速能力，以及如何开通海外加速，如何计费。 海外加速能力说明 天翼云全站加速具有海外加速能力。依托遍布全球的CDN优质节点及线路，通过智能调度及传输优化等核心自研技术，为企业跨国、跨境访问提供一站式全球加速服务。满足出海企业本地化节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 海外加速计费及开通 需要注意的是，开启海外加速需要额外付费，若选择按量计费，详见：按量计费。若选择资源包计费，详见：资源包计费（预付费）。 如果您需要开通海外加速功能，可以通过：变更加速区域，来开通海外加速服务。

本小节介绍漏洞扫描产品定义。 漏洞扫描是通过对网络主机的扫描及时发现安全漏洞，客观评估系统风险等级。 天翼云漏洞扫描服务提供主机系统漏洞发现、开放端口扫描、弱口令检测及配置脆弱性检测，并对扫描检测结果进行分析、形成报告，由专家提供解读及指导服务，方便管理员对主机的安全进行检查和分析，及时修复漏洞、提高系统安全防护能力。

本节介绍如何为服务器安装/卸载服务器安全卫士Agent。 服务器安全卫士Agent是安装在云主机上的一款应用软件，用于检测云主机中存在的安全风险。 安装Agent后，才能使用服务器安全卫士的防护能力，包括资产管理、风险管理、入侵检测、网页防篡改等。 如果不安装Agent，将无法对云主机进行安全检测。 使用限制 目前支持安装Agent的操作系统请参见支持的操作系统。 注意 如果您的服务器操作系统不在支持范围内，安装Agent后可能存在兼容性问题，无法保证能正常使用服务器安全卫士（原生版）的防护能力。 如果您的服务器上已安装第三方安全软件，可能会导致服务器安全卫士的Agent无法正常安装和升级 ，建议您先关闭或卸载安全软件后再安装Agent。 安装Agent 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 点击“安装Agent”，弹出安装Agent窗口，按需选择Linux和Windows系统的安装命令。 Linux主机安装Agent 1. 选择Linux系统，复制安装命令。 2. 在Linux云主机中以管理员权限执行安装命令进行安装。 说明 手动安装Agent后，等待5分钟左右会自动连接，请耐心等待（无需重启服务器）。

cloudconfig chpasswd: list: root: expire: False 创建弹性云主机成功后，您可以使用重置的密码登录弹性云主机。为了确保密码安全，建议您在第一次登录弹性云主机后修改root用户的密码。 案例2 以下是通过实例自定义数据注入来为Linux弹性云主机更新系统软件包并启动httpd服务的示例。 请按照以下示例注入实例自定义数据： !/bin/bash yum update y service httpd start chkconfig httpd on 注入成功后，您的弹性云主机将会更新系统软件包，并启动httpd服务。您可以通过访问弹性云主机的公网IP地址来使用httpd服务。请确保您的操作系统支持yum包管理器，并且已经安装了httpd服务。 案例3 以下是通过实例自定义数据注入来激活Linux弹性云主机的root用户远程登录权限的示例。 实例自定义数据注入示例： cloudconfig disableroot: false runcmd: sed i 's/^PermitRootLogin.$/PermitRootLogin withoutpassword/' /etc/ssh/sshdconfig sed i '/^KexAlgorithms.$/d' /etc/ssh/sshdconfig service sshd restart 注入成功后，您将能够使用SSH密钥方式以root帐户登录弹性云主机。该示例中的自定义数据使用cloudconfig格式，并通过runcmd字段执行了一系列命令，包括修改/etc/ssh/sshdconfig文件中的配置，重启sshd服务使更改生效。 说明 激活root用户远程登录权限可能存在安全风险，建议在完成必要的任务后再禁用root用户的远程登录权限，以提高系统的安全性。

本节为您介绍物理机服务常见的通用类问题。 物理机有哪些限制？ 不支持直接加载外接硬件设备（如USB设备、银行U key、外接硬盘、加密狗等）。 不支持带外管理，您的物理机资源统一由天翼云管理和维护。 不支持热迁移，物理机故障后会对业务造成影响，建议您通过业务集群部署、主备部署等方式实现业务的高可用。 不支持创建没有操作系统的裸设备，即物理机必须自带操作系统。 不支持自定义物理机的CPU、内存等配置，也不支持CPU、内存、本地磁盘扩容，仅云硬盘可以扩容。 由于某些机型的物理机没有配备智能网卡，或者其他物理机本身的原因，有些规格或镜像的物理机不支持挂载云硬盘。 物理机不支持配置桥接网卡，会导致网络不通。 禁止升级OS自带内核版本，否则物理机硬件驱动会存在兼容性风险，影响物理机可靠性。 物理机与弹性云主机的主要区别是什么？ 物理机与弹性云主机的主要区别在于资源的共享方式。弹性云主机是多个租户共享同一物理资源的虚拟机，而物理机的资源是独享给用户的。 对于关键类应用或性能要求较高的业务，例如大数据集群或企业中间件系统，物理机是更推荐的选择。这是因为物理机提供了一个安全可靠的运行环境，用户可以独享物理资源，从而获得更好的性能和稳定性。

本页介绍了文档数据库服务如何创建并登录弹性云主机。 创建并登录弹性云主机，请参见弹性云主机快速入门创建弹性云主机和弹性云主机快速入门登录弹性云主机。 该弹性云主机用于连接文档数据库实例，需要与待连接的实例处于同一虚拟私有云子网内。 创建弹性云主机时，要选择操作系统，例如centos7.6，并为其绑定EIP。 正确配置安全组，使弹性云主机可以直接连接文档数据库服务。

购买弹性云主机 1. 登录天翼云“控制中心(控制台)”，在页面上方选择用户对应购买弹性云主机的地域，例如“福州3”。选择“计算”大类下的“弹性云主机”产品。或是在天翼云官网首页点击“立即订购”。 2. 单击“创建云主机”。 配置弹性云主机实例规格 1. 选择计费模式“包年/包月”或是“按量付费”。 2. 完成页面必填项的选择，例如地域、主机名称、规格、镜像类型、存储等。 说明 创建云主机过程，请您根据规格特性，选择符合业务需求的云主机规格。请参考： 使用云主机需要您支付相应费用，详细请见： 创建云主机需要配置系统盘与数据盘，如果您对存储性能有要求，请参考： 您需要为存储支付相应的费用，详细请见： 网络配置 1. 选择弹性云主机对应的网络配置选项含网卡、扩展网卡、安全组、弹性IP等，根据页面提示完成操作。 2. 点击“下一步：高级配置”按钮。 说明 安全组是控制云主机访问策略的组件，相关概念与操作，请参考： 如果您有访问公网的需求，请您使用弹性IP，相关概念与应用场景，请参考： 您需要为弹性IP支付相应的费用，请参考：

本文主要介绍远程桌面连接Windows云主机报错:由于协议错误会话中断如何处理。 问题描述 远程桌面提示：由于协议错误，会话将会被中断，请重新连接到远程计算机。 图 协议错误 可能原因 注册表中的“Certificate”子键被损坏，导致用户无法与终端服务进行正常通信。 解决方法 1.在运行窗口输入“regedit”回车，打开注册表编辑器。 图 打开注册表 2.找到HKEYLOCALMACHINESYSTEMControlSet001ControlTerminal ServerRCM 3.删除Certificate。 图 删除Certificate 4.重启云主机。 5.打开远程桌面会话主机配置。单击“开始”，打开“管理工具 > 远程桌面服务 >远程桌面会话主机配置” 图 打开远程桌面会话主机配置 6.右键单击RDPTCP，选择“属性”，打开RDPTCP属性对话框，修改安全性中的安全层为RDP安全层。 图 RDPTCP属性

本节主要介绍云上ECS如何通过内网访问OBS。 场景介绍 一般情况下，用户会通过OBS提供的桶访问域名（例如 某企业基于弹性云主机（CTECS，Elastic Cloud Server）构建好基础的业务后，随着数据增长，硬盘已无法满足大量的图片、视频等数据存取需求。了解到天翼云提供有海量、弹性的云存储服务OBS后，决定将OBS作为数据存储资源池，以减轻服务器负担。 在ECS上可以通过公网和天翼云内网两种网络访问OBS。当有存取对象数据的需求时，公网方式响应速度会因为网络质量而受到影响，读取数据还将收取一定的流量费用。为最大化的优化性能、节省开支，企业管理者希望通过内网的方式访问OBS。 说明 当通过内网访问OBS时，需要确保待访问的OBS资源与ECS属于同一个区域，如果不属于同一个区域，将采用公网访问。 方案介绍 在已搭建的ECS上通过配置内网DNS，由内网DNS解析OBS域名，即可实现在ECS上经由内网访问OBS。访问过程示意图如所示。 示意图中的各服务说明如下： 服务 说明 :: 虚拟私有云（CTVPC） VPC主要负责为ECS构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 子网是VPC中用来为ECS提供IP地址管理、DNS服务的一个网络，子网内ECS的IP地址都属于该子网。 内网DNS （CTIDNS） 内网DNS，提供VPC内的安全、全面、高性能的域名解析功能。可直接响应内网域名的解析请求，快速高效，有效防护劫持，简化域名解析流程，减少因访问公网产生的流量费用。 对于Windows ECS，推荐使用OBS Browser+工具，实现内网访问OBS的目的；对于Linux ECS，推荐使用obsutil工具，实现内网访问OBS的目的. 当在ECS上通过内网访问OBS时，即可在内网进行数据读取、备份归档等业务，而不影响外网带宽。

本节介绍云等保专区产品的定义及架构。 云等保专区是满足等保合规2.0云原生安全合规平台。云等保专区提供安全统一管理、传输安全、计算环境安全等安全合规能力，实现统一管理、统一运营，整体上降低等保建设难度和日常管理运营复杂度。 本产品为满足等保合规，提供一揽子安全原子能力，包括云安全中心、主机安全、Web应用防火墙、下一代防火墙、堡垒机、漏洞扫描、日志审计、数据库审计、数据分类分级、数据脱敏与水印，实现安全原子能力统一管理、统一运营，为用户侧等保合规需求提供便捷下单、自动化部署的能力。 产品架构 如下图所示，云等保专区产品基于天翼云基础设施资源，利用云原生安全技术，融合了堡垒机、Web应用防火墙（WAF）、日志审计、数据库审计、漏洞扫描、防火墙、主机安全、云安全中心，为用户提供一站式等保防护能力。 对于云上租户来说，每个用户的安全能力都是部署在独立的用户VPC中，这样将原子能力最小化的架构能够最大限度地保障用户的数据安全，同时也能满足不同用户的安全防护诉求，用户可基于自己的安全诉求，进行不同安全策略的设置。