本节主要介绍云存储网关申请开通规则。 功能说明 支持高可用，支持iSCSI协议，支持中英文Web管理界面。 申请公测 详见申请部署。 申请公测须知 提交公测申请前请务必准备好存储网关服务器的登录信息，包括：外网IP地址、连接端口号、用户名、密码、对象存储（经典版）I型具有所有权限的AccessKeyID和SecretAccessKey，运维人员将与您确认此信息后方可部署。 订单0元支付成功后，会有天翼云运维人员与您预约安装时间，部署一套网关约需8小时，安装部署服务时间：5天×8小时（法定节假日除外），请您耐心等待。 该产品不涉及续订、退订，使用过程中如遇问题，请提交工单进行解决。

本章节主要介绍使用微服务仪表盘 您可以通过仪表盘实时查看微服务运行相关的指标，根据丰富实时的仪表盘数据，对微服务做相应的治理动作。 背景说明 如果微服务应用部署在ServiceStage上，部署应用时需要设置微服务引擎，应用会自动获取服务注册发现地址、配置中心地址和仪表盘地址，不需要配置monitor地址，就可以使用仪表盘功能（当前只有Java Chassis和Go Chassis支持仪表盘地址自动发现功能）。 如果是本地启动微服务应用注册到微服务引擎，需要手工配置monitor地址，才可以使用仪表盘功能。 操作步骤 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待操作的微服务引擎，单击“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 在“仪表盘”页面，在下拉列表框选择需要查看的应用，在搜索框输入微服务名称，查询微服务，页面将展示筛选出的微服务的运行指标。 单击“查看示例图”，可以查看运行指标参数含义。 步骤 5 选择排序方式，筛选出的微服务会按照指定方式进行排序。

本节介绍网页防篡改（原生版）的产品优势。 方便易用 只需在Web服务器一键安装Agent，简单配置防护策略即可实现防护，全部操作都有可视化界面，方便用户使用。 灵活配置 防护策略支持自定义配置，按需指定防护的进程和文件类型，支持各类网站文件的保护。 安全可靠 产品实现自我保护机制，防止被篡改，采用加密传输与服务端通信，保证数据安全。通过5000+台服务器的运行实践，稳定性高达99.998%，2分钟内离线自动重启机制，保障系统始终处于检测状态。 节约资源 正常的系统负载情况下，CPU占用率<1%，内存占用<40M，消耗极低。在系统负载过高时，Agent会主动降级运行（CPU占用率<1%），严格限制对系统资源的占用，确保业务系统正常运行。

本文介绍了云防火墙（原生版）产品的操作日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 操作日志”，进入操作日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、危险等级、操作行为、日志内容进行筛选。 5. 操作日志列表包括发生时间、危险等级、操作行为、日志内容。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本节介绍了弹性云主机可以做什么。 弹性云主机与传统硬件服务器一样，可以部署任意业务应用，例如：邮件系统、WEB系统、ERP系统等。弹性云主机创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云主机。

本节介绍态势感知相关概念。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 云服务基线 云服务基线是应用在云场景下，帮助用户检测云产品上存在的风险配置项，并提供修复建议。 攻击类型 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。

SQL拦截规则应用至其他实例 如果您有多个实例，且需要用到同一套拦截规则，可以在关系数据库MySQL版管理控制台使用SQL拦截规则应用至其他实例的功能。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击SQL拦截 ，进入拦截日志页签。 5. 单击拦截规则页签。 6. 在SQL拦截语句列表中，找到需要应用到其他实例的拦截规则语句，然后单击列表上方的批量应用。 7. 在SQL拦截规则 对话框中，选择想要应用到的实例，然后单击确定。

本文主要介绍专属云（计算独享型）的功能 功能介绍 计算隔离 独享计算资源池，部署在独立的物理集群中，确保云主机资源运行在物理隔离的专属计算资源池内。 灵活部署 支持多区域，多可用区，多计算集群部署，集成对接专属分布式存储，用户可自配置网络，提供安全组策略，方便用户构建立体防护网络。 灵活创建 用户可指定不同专属计算池，不同专属物理机进行弹性云主机创建。 资源管控 用户可以查看专属计算集群下的物理机列表和计算资源总量和消耗量以及物理机上弹性云主机的列表，用户能直观的查看和管理计算资源。

配置项 说明 示例 镜像选择方式 可以选择使用示例镜像或者使用 CRS 镜像。 使用示例镜像 示例镜像 通过一个简单的示例镜像创建函数。 Gin Web 应用示例镜像 启动命令 容器的启动命令。 ./main 监听端口 您的代码中的HTTP Server所监听的端口。 9000

1.2、网络互通 应用双活架构存在跨数据中心调用的场景，需要您提前打通两个数据中心之间的网络。 您可以根据选定的物理架构，选择合适粒度的网络连通方案，例如连通两个区域的云间高速 产品和连通两个VPC的对等连接产品等。 1.3、应用准备 在这个示例中，对应用的部署方式没有强制要求，可以开通弹性云主机ECS 实例自行部署应用服务，也可以开通微服务云应用平台MSAP进行应用部署管理。 还需要您开通： 关系型数据库MySQL版 实例，并结合数据传输服务DTS进行业务数据跨中心同步。 微服务引擎注册配置中心用于注册中心和管控通道。 微服务引擎云原生网关用于前端服务转发。 图 部署架构 2、开通应用容灾多活服务，创建多活应用系统 2.1、创建应用 1. 登录应用高可用 控制台，单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击应用双活。 2. 进入应用双活 管理页面，然后单击创建 应用系统，输入lilishop商城系统， 勾选应用系统需要开通的模块（微服务引擎注册配置中心、微服务引擎云原生网关、Dubbo、关系数据库MySQL版）、勾选“我已阅读，理解并接受《应用容灾多活计费规则》”，单击确定按钮完成创建。

参数 是否必填 参数说明 策略名称 是 带宽伸缩策略的名称，用户可自定义，也可以选择保持系统默认分配名称。 带宽类型 是 需要管理的带宽类型，支持选择“独享带宽”、“共享带宽”。 弹性公网IP 是 当带宽类型为独享带宽时，需配置。可指定需要管理的IP资源。 带宽资源 是 当带宽类型为共享带宽时，需要配置。可指定需要管理的共享带宽资源。 策略类型 是 支持配置告警策略、定时策略、周期策略。

简单组网 对于相对简单的业务场景，可以仅使用一个VPC。VPC下创建不同子网，对应不同功能或安全区域。 比如：用户搭建一个web网站，业务简单，无需和其他网络互通。 所有服务器全部放到一个个VPC内。 业务子网分为web/APP/DB三个区域，分别放置Web业务经典三层架构的对应服务器。 如有运维和远程接入需求，可再创建相应子网，运维和接入区子网用于部署堡垒机或管理鉴权设备，方便客户远程接入部署业务和运维。 方便后续通过子网ACL的访问权限控制能力实现各个功能区域间的隔离和放通。 复杂组网 针对业务相对复杂的场景，一个VPC对应一个相对独立的业务应用系统或部门网络。 比如：一家大型车企业务上云后，所有业务共享同1根专线连接线下数据中心。 不同业务或部门分别承载在不同的VPC。 不同VPC分别通过对等连接连接到整个系统的公共资源VPC，共享专线访问。

请参见天翼云云防火墙服务等级协议。

本节主要介绍设置卷关联的QoS策略。 注意 卷处于“删除中”或“删除失败”状态时，无法设置QoS策略。 说明 集群版中，卷最终的QoS限制由卷级 QoS 策略 与存储池级 QoS 策略 共同决定。两者同时存在时，系统取较小值生效。实际 QoS 限制 min(卷级 QoS 限制，存储池级 QoS 限制)。存储池级 QoS 限制由池内所有卷共享。具体详见“集群版卷QoS限制生效原则 ”。 例如：卷lun1直接关联的QoS策略带宽限速为500MiB/s，存储池级QoS策略为300MiB/s，根据实际生效限制min (500MiB/s, 300MiB/s)300MiB/s。但存储池级QoS为池内所有卷的总带宽上限，非每个卷独享，所以最终的带宽可能小于300MiB/s。 集群版卷QoS限制生效原则： 1. 卷级的QoS策略： 若卷已关联了QoS策略，则以该关联的QoS策略为准。 若卷未关联QoS策略： 当卷同时存在缓存存储池和存储池时，采用缓存存储池的“存储池内卷的默认QoS策略”；若缓存存储池未设置“存储池内卷的默认QoS策略”，则该卷无卷级QoS策略。 当卷仅存在存储池时，采用存储池的“存储池内卷的默认QoS策略”；若存储池未设置“存储池内卷的默认QoS策略”，则该卷无卷级QoS策略。 2. 卷的存储池级QoS策略： 当卷同时有缓存存储池和存储池时，存储池级QoS策略以缓存存储池设置的QoS策略为准；若缓存存储池未设置QoS策略，则该卷无存储池级QoS策略。 当卷仅有存储池时，存储池级QoS策略以该存储池的QoS策略为准；若存储池未设置QoS策略，则该卷无存储池级QoS策略。 说明 存储池级别的QoS 限制由池内所有卷共享。 3. 最终生效策略：综合卷级与存储池级 QoS 策略，最终生效规则如下： 卷级别的QoS策略 存储池级别的QoS策略 生效策略 有 无 卷级QoS策略 有 有 min(卷级QoS,存储池级QoS) 无 有 存储池级QoS 无 无 无生效的QoS策略 可以通过下列方式设置卷关联的QoS策略： 在“服务”>“QoS策略管理”页面，点击具体的QoS策略名称，进入QoS策略详细信息页面。在“关联详情”>“卷”下点击“增加关联对象”，选择需要关联QoS策略的卷即可。 图1 增加关联对象（卷）（单机版） 图2 增加关联对象（卷）（集群版） 在“服务”>“卷管理”页面，点击目标卷，进入卷详细信息页面。点击“QoS策略”下的“设置QoS策略”，弹出“设置QoS策略”页面，选择需要关联卷的QoS策略即可。 在“服务”>“卷管理”页面，选择目标卷，点击“操作”>“设置QoS策略”，弹出“设置QoS策略”页面，选择需要关联卷的QoS策略即可。 图3 设置卷的QoS策略（单机版） 图4 设置卷的QoS策略（集群版）

3.4 配置防火墙 弹性物理机有安全组，而标准物理机只能依赖系统中的防火墙。若不配置防火墙，会有安全隐患。下面给出一个样例iptables配置。 plaintext 启用iptables、ip6tables防火墙。分别针对IPv4和IPv6网络。 systemctl enable iptables systemctl enable ip6tables 配置iptables。 只允许ICMP协议、本地loopback接口和访问ssh服务。禁止其他所有访问。 禁止转发流量（通常只有路由器才需要转发流量）。 cat > /etc/iptables/rules.v4 /etc/iptables/rules.v6 <

来自：

落地场景 1. 某直播行业客户，将直播场景应用程序运行云渲染平台，主播通过web端操控应用程序，互动观众亦可通过观众链接加入主播所在的虚拟场景，无需预下载安装软件即可完成广播级演播效果和实时互动。与此同时，该客户还将云端应用的画面实时推流至直播间，让千万名直播间观众可以在线观看虚拟活动的精彩画面。 2. 某云游戏行业客户，将云游戏运行至云渲染平台，只需三步：1）后台启动游戏，2）配置推流地址，3）通过数据通道发送指令至游戏内，即可实现游戏无人直播模式，云渲染提供的万兆带宽和高性能显卡，可将高分辨率运行的应用画面实时推送至直播间，增强直播间趣味性！

本小节介绍服务器安全卫士的入侵检测通用功能,包括暴力破解、异常登录、反弹shell等。 以旗舰版为例，入侵检测模块主要包含暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行八大功能。 下面以Web后门页面为例，介绍通用功能，各功能详情，请登录服务器安全卫士控制台进行查看。 通用功能 • 条件筛选框； • 更多设置按钮：点击“更多”按钮，显示全部； • 设置显示列按钮：点击 ，可设置显示列，控制列表中的数据显示/隐藏。

3.4 配置防火墙 弹性物理机有安全组，而标准物理机只能依赖系统中的防火墙。若不配置防火墙，会有安全隐患。下面给出一个样例iptables配置。 plaintext 启用iptables、ip6tables防火墙。分别针对IPv4和IPv6网络。 systemctl enable iptables systemctl enable ip6tables 配置iptables。 只允许ICMP协议、本地loopback接口和访问ssh服务。禁止其他所有访问。 禁止转发流量（通常只有路由器才需要转发流量）。 cat > /etc/iptables/rules.v4 /etc/iptables/rules.v6 <

来自：

帮助文档

物理机 DPS

用户指南

镜像

通过镜像文件制作系统盘私有镜像

制作镜像文件

制作系统盘私有镜像

类Ubuntu私有镜像制作

介绍WEB端直传媒体存储流程优化实践。 优化实践 在WEB端需要将用户的数据上传到媒体存储，常见的方法通常是让用户通过浏览器先上传文件到用户的应用服务器，然后应用服务器再上传到媒体存储。这种方案上传的中转数据需要经过用户应用服务器，传输效率低，同时在多任务上传的过程，无疑会增加应用服务器的压力。具体的上传流程如下图： 本文将介绍另外一种方案，通过在WEB端直接调用PostObject接口，将用户的文件对象直传给天翼云媒体存储。这种方案，具有传输效率高，降低用户应用服务器压力等优点。 WEB端直传媒体存储流程如下图： 在WEB端直传，我们主要基于媒体存储的post接口，用表单上传的方式，将对象上传到指定的桶里面，所以在上传之前，我们需要先创建桶。同时上传的对象文件，最大不能超过5GB。 利用post接口进行表单直传的详细具体步骤： 1.将post上传接口中基于表单上传需要发送的Policy信息，发送给应用服务器。我们假设发送给应用服务器的Policy信息，如下： {"expiration":"20231228T00:00:00Z","conditions":[{"bucket":"openapihptest"},{"key":"postdog.png"}]} 2.应用服务器收到Policy信息后，对其进行签名，然后返回给用户。 应用服务器，我们可以采用Java,Python,GoLang等语言进行开发，计算post上传的签名信息。 我们假设后端应用服务器是python开发的，使用v2签名，示例代码如下： import base64 import hmac import hashlib import binascii def sign2(key, msg): return hmac.new(bytes(key, encoding'utf8'), msg.encode("utf8"), hashlib.sha1).digest() def getSignatureKey2(key, encodepolicy): signaturebyte sign2(key, encodepolicy) return binascii.b2abase64(signaturebyte) if name "main": SK 'xxxxx' bucketName 'xx' objectKey 'xx' expirationTime "20231228T00:00:00Z" policy "{"expiration": "%s"," ""conditions": [" "{"bucket": "%s" }," "{"key":"%s"}" "]}" % (expirationTime, bucketName, objectKey) print(f"policy:{policy}") encodePolicy bytes.decode(base64.b64encode(policy.encode('utf8'))) print(f"encodePolicy:{encodePolicy}")

本节介绍如何忽略和取消忽略某个漏洞。 操作场景 某些漏洞只在特定条件下存在风险，比如某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在危害。如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。忽略后，将不会对该漏洞进行告警。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在态势感知（专业版）管理页面选择“风险预防 > 漏洞管理”，进入漏洞管理页面。 5. 在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”、“WebCMS漏洞”、“应用漏洞”任意一个页签，进入对应漏洞管理页面。 6. 在漏洞列表中，单击目标漏洞名称，右侧弹出漏洞信息页面。 7. 对目标漏洞进行忽略或取消忽略操作。 忽略 在漏洞信息页面中，选择“受影响资产”页签，并在资产列表中，单击待处理资产所在行“操作”列的“更多> 忽略”。 取消忽略 1. 在漏洞信息页面中，选择“受影响资产”页签，并在资产列表中，单击待处理资产所在行“操作”列的“更多> 取消忽略”，弹出取消忽略确认框。 2. 在确认框中，确认无误后，单击“确认”。

本文主要介绍概述 概述 APM Agent会周期性采集一些性能指标数据，用来衡量应用的总体健康状况。可以采集JVM、GC、服务调用、异常、外部调用、数据库访问以及其他中间件的指标调用等数据，帮助用户全面掌握应用的运行情况。 APM对指标数据的采集有严格的定义，每一种采集的数据类型对应一个采集器，比如采集java应用的JVM数据，那么对应有JVM采集器，一个采集器会采集多个指标集的数据。 采集器被部署到环境后形成监控项，在数据采集的时候监控项决定了采集的数据结构和采集行为。 采集周期：监控项具有数据采集器的周期属性。当前数据采集周期为一分钟，不支持用户调整。 监控项状态：默认为enable状态，用户可以将监控项设置为disable状态，这样Agent就不会拦截该指标数据，也不会上报数据。 采集状态：采集实例和监控项会有一个采集状态信息。如果出现采集错误，可以通过采集状态查看。常见错误是主键太多，导致客户端数据汇聚异常。 监控项类型 Agent会自动发现系统采集的插件类型，并且将采集器实例化，形成监控项。监控项是实例化在一个环境上的。 由于采集器种类较多，会导致用户区分困难。系统后台会定义一些类型，每种采集器都会归到一种类型下，这样方便用户查看数据。 根据采集器的作用可以将监控项分为以下几种类型： 接口调用：是指外部服务调用当前应用的监控类型。 基础监控：是用来监控系统性能的基础监控指标的监控类型。 异常：用来监控应用的异常信息。 外部调用：是指当前应用调用外部服务的监控类型。 数据库：是对数据库的访问进行监控。 缓存：是对Redis等缓存系统的监控，会采集指令级别的细粒度的指标数据。 web容器：是对tomcat等web容器的监控，一般会采集系统总的处理线程数，busy线程数，连接数等；用于衡量系统总的容量。 消息队列：是对kafka、RabbitMq等消息系统的监控，包含发送端和接收端的监控。在接收端的处理函数，可以产生调用链信息。 通信协议：是对websocket等通信协议的监控。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的一键关站功能。 功能介绍 一键关站允许客户在紧急情况下快速关闭站点，并自定义响应状态码和页面内容。该功能帮助客户在系统维护、故障处理或安全事件中，快速控制站点访问权限，同时提供灵活的响应内容配置。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力设置页。 4. 单击一键关站。 配置说明 一键关站 开关开启后，域名所有访问将会被拒绝（响应码为403）。 自定义响应页面 如果您有定制化的响应状态码和响应页面，请在开关右侧【自定义响应页面】中配置。 以下是配置自定义页面的字段及说明： 字段 字段说明 响应码 必填，选项200、222、206、300、301、302、304、400、402、403、404、405、408、499、500、502、503、504，默认值：403。 页面类型 非必填，页面类型包括以下三种：HTML、HTML;charsetutf8、JSON。 页面响应内容 必填，输入页面响应的内容。

3.3 配置防火墙 弹性物理机有安全组，而标准物理机只能依赖系统中的防火墙。若不配置防火墙，会有安全隐患。下面给出一个样例iptables配置。 plaintext 启用iptables、ip6tables防火墙。分别针对IPv4和IPv6网络。 systemctl enable iptables systemctl enable ip6tables 配置iptables。 只允许ICMP协议、本地loopback接口和访问ssh服务。禁止其他所有访问。 禁止转发流量（通常只有路由器才需要转发流量）。 cat > /etc/sysconfig/iptables /etc/sysconfig/ip6tables <

来自：

本文带您了解计算专属云的功能特性。 专属云（计算独享型）产品具有以下功能特性： 功能名称 特性描述 查看专属云信息 可以查看专属云内计算资源数量、vCPU/内存分配情况，各云资源开通情况。 在专属云中开通资源 在专属云中，云资源（云主机、云硬盘、虚拟私有云VPC、弹性负载均衡等）的创建和使用与公有云完全相同，不同点在于，专属云中的云主机将被创建到专属云中的计算服务器上。 扩容专属云 如果专属云中的计算资源数量不足，无法创建更多的云主机时，可申请增加计算资源的数量。暂不支持在控制台中扩容专属云，请联系专属客户经理或拨打客服热线4008109889提出扩容需求。 退订专属云 暂不支持在控制台中退订专属云，请联系专属客户经理或拨打客服热线4008109889提出退订需求。 专属云（计算独享型）默认提供了计算资源的独占使用。用户开通专属云（计算独享型）服务并申请宿主机资源后，可在专属云的资源池内使用以下服务： 弹性云服务器（在专属云内，云主机实例不计费） 物理机服务 公有镜像 弹性伸缩 云硬盘 云硬盘备份 虚拟私有云 子网 弹性网卡 NAT网关 弹性IP 弹性负载均衡 云监控 统一身份认证服务 标签

IPsec VPN删除跨域互联VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除的跨域互联VPC，点击“删除”; 5.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC新增子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要新增子网的VPC，点击“新增子网”； 5.在新增子网页面中选择需要新增的业务子网，点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，新增VPC的保护子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC删除子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除子网的VPC，点击“删除子网”； 5.在删除子网页面中选择需要删除的业务子网，点击“删除”后点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。

本节主要介绍OBS的应用场景。 OBS可用于存取任何格式、海量的对象/文件数据；因为它是互联网存储，可以在互联网的任何位置随时执行对OBS的存取操作。对任何基于互联网的应用程序而言，包括web网站、视频应用、SaaS应用、网盘、移动APP等，开发人员均可以将其作为数据存储的理想选择。此外，对于备份、大数据存储、归档等近线、离线存储场景，OBS也是节省投资的存储方式。 OBS的主要特点是海量（容量巨大、线性扩展）、省钱（零初始投资，用多少算多少，用得越多越经济）、可靠、安全（访问、传输、保存端到端安全）。使用OBS后，开发人员可以无需关注底层存储技术，而是专注于业务创新，因为无论业务如何发展，开发人员都无需规划存储容量，数据可以快速访问、线性扩容，且具有高可靠性和高安全性。最重要的是业务使用IT的成本可以大大降低。 OBS可应用于视频监控、视频点播、备份归档、HPC、移动互联网、企业云盘（网盘）等场景。

3.3 配置防火墙 弹性物理机有安全组，而标准物理机只能依赖系统中的防火墙。若不配置防火墙，会有安全隐患。下面给出一个样例iptables配置。 plaintext 启用iptables、ip6tables防火墙。分别针对IPv4和IPv6网络。 systemctl enable iptables systemctl enable ip6tables 配置iptables。 只允许ICMP协议、本地loopback接口和访问ssh服务。禁止其他所有访问。 禁止转发流量（通常只有路由器才需要转发流量）。 cat > /etc/sysconfig/iptables /etc/sysconfig/ip6tables <

来自：

帮助文档

物理机 DPS

用户指南

镜像

通过镜像文件制作系统盘私有镜像

制作镜像文件

制作系统盘私有镜像

类CTyunOS私有镜像制作

本节介绍专属加密服务的优势。 云上使用 专属加密旨在满足用户将线下加密设备能力转移到云上的要求，降低运维成本。 弹性扩容 灵活调整专属加密的数量，满足不同业务的加解密运算要求。 安全管理 专属加密实例设备管理与内容（敏感信息）管理权限分离，用户作为设备使用者完全控制密钥的产生、存储和访问授权，Dedicated HSM只负责监控和管理设备及其相关网络设施。即使Dedicated HSM的运维人员也无法获取到用户的密钥。 权限认证 敏感指令支持分类授权控制，有效防止越权行为。支持用户名口令认证、数字证书认证等多种权限认证方式。 可靠性 专属加密实例之间独享加密芯片，即使部分硬件芯片损坏也不影响使用。 安全合规 Dedicated HSM为您提供专属加密实例，帮助您保护弹性云服务器上数据的安全性和隐私性要求，满足监管合规要求。 应用广泛 Dedicated HSM可提供认证合规的金融加密机、服务器加密机以及签名验签服务器等，灵活支撑用户业务场景。

本小节介绍安全专区安全策略配置方法。 开启云防火墙防护功能，在【策略】→【安全策略】→【安全防护策略】，新增业务防护策略。 源 源区域：选择“L3untrustA”； 网络对象：勾选全部。 目的 目的区域/接口：选择“L3untrustA”； 网络对象：勾选业务云主机对象。 按窗口提示点击【下一步】，过程参见以下截图。 安全防护策略请跟据实际业务进行设置调整，详细参考 《天翼云安全专区云防火墙用户使用指南》 。

查看出云流量分析 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“流量分析> 互联网边界流量分析”，进入互联网边界流量分析页面。 3. 选择“出云分析（主动外联）”，查看云上资源访问互联网时经过云防火墙的流量统计信息。 流量看板：支持查看近1小时、近1天、近7天的数据。统计云上资源访问互联网的数据统计以及最大流量信息，包括目的IP、源IP、目的端口、协议。 出云访问TOP统计：查看所选时间段内出云流量中目的IP、源IP、目的端口的TOP排行。支持按次数、流量进行查看。 出云访问带宽统计：出云峰值带宽、出云累计带宽，以及出云请求流量和响应流量数据。 出云访问分布统计：查看所选时间段内出云访问协议、出云访问应用、出云访问目的端口分布情况。支持按次数、流量进行查看。 主动外联源IP分析：展示出云流量中源IP的流量详细信息。 主动外联源IP支持添加黑/白名单，一键封禁/放行源IP。添加黑/白名单后，可通过配置黑白名单规则对规则进行管理。 主动外联目的IP分析：展示出云流量中目的IP的流量详细信息。

APM的应用详情包括各类应用性能指标集的各种可视化图表展示。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控 」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用详情」，您可以在应用详情页面切换至不同页签，查看该应用实例相应的指标信息。 指标集 当前已支持指标集见下表，实际展示取决于所选应用是否接入相关服务并产生过数据上报。 类型 内容 JVM监控 内存、GC、线程 其他基础监控 资源监控、Netty内存、Java方法 数据库监控 MySQL、ClickHouse、Postgresql（即将上线）、Elasticsearch、MongoDb、DBCP连接池、Druid连接池、C3P0连接池 缓存监控 Redis、Jedis、Lettuce 消息监控 kafkaConsumer、KafkaProducer、RabbitMqConsumer、RabbitMqProducer Web容器 Tomcat 异常错误分析 异常分析、错误分析 上下游分析 上游应用、下游应用 显示类型 图 通常用于显示趋势图，表示某些指标在筛选时间段内的趋势变化。 （1）单图 （2）双图 如果某个周期内未采集到数据，将会进行补0显示，效果呈现为横坐标为0的横线（或断点）。 支持放大操作。

IPsec VPN删除跨域互联VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除的跨域互联VPC，点击“删除”; 5.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC新增子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要新增子网的VPC，点击“新增子网”； 5.在新增子网页面中选择需要新增的业务子网，点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，新增VPC的保护子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC删除子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除子网的VPC，点击“删除子网”； 5.在删除子网页面中选择需要删除的业务子网，点击“删除”后点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。