解决方案和价值优势 CDN加速（CDN，Content Delivery Network）,即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将应用内容分发至最接近用户的节点，使用户可就近获取应用更新包，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率，卸载源服务器的带宽和性能压力，适用于企业发布、更新应用后大量用户高并发更新应用的业务场景。 CDN加速产品能为企业带来以下价值： 智能高效缓存技术结合EDNS精准调度，确保客户端就近下载提前分发的应用更新包，解决应用下载速度慢引起的体验差、用户投诉、用户流失问题。 全球2300+个服务节点，分布在多个运营商和国内外主要城市，保障客户端就近接入，解决终端与源站因跨地区、跨运营商访问造成的应用更新体验不佳。 服务节点可按需弹性扩容，解决因业务不确定性大，当业务突发超预期时源站带宽和服务器并发能力储备不足而导致源站崩溃的问题。 带宽可按需使用和计费，费用透明，计费方式灵活，解决因源站过度建设，而业务闲时造成的资源浪费问题。

相关内容 磁盘使用率过高怎么处理

本节介绍了容器镜像安全扫描(个人版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，如何获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通个人版实例名称。 3. 左侧导航栏点击镜像仓库。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

本节介绍了容器镜像安全扫描(企业版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，并获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "容器镜像" "镜像仓库"。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

本节介绍如何通过告警中心查看所有入侵检测模块的告警信息。 告警中心用于汇总展示所有入侵检测模块的告警信息，帮助用户快速了解整体安全告警概况。包括需紧急处理的告警、待处理告警、已处理告警；存在告警的服务器、已隔离文件、已拦截IP。 前提条件 入侵检测防护模块已开启防护，详细操作请参见安全配置。 查看告警 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。 3. 在页面右上角选择查询告警的时间范围。 支持选择固定周期：最近24小时、最近3天、最近7天、最近30天。 也可以自定义时间范围，自定义只能选择30天范围内。 4. 查看告警统计信息。页面上方展示所有入侵检测模块告警的统计情况。 统计项 说明 操作 需紧急处理的告警 展示在选择的时间范围内，告警等级为“高危”且“待处理”告警数量。 单击“需紧急修复的告警”的数值，页面下方告警列表将展示告警等级为“高危”且“待处理”的告警。 待处理告警 展示在选择的时间范围内，所有的“待处理”告警个数统计。 单击“待处理告警”的数值，页面下方告警列表将展示所有“待处理”的告警。 已处理告警 展示在选择的时间范围内，所有的“已处理”告警个数统计。 单击“已处理告警”的数值，页面下方告警列表将展示所有“已处理”的告警。 存在告警的服务器 展示在选择的时间范围内，存在告警的服务器个数（展示去重后的个数）。 单击“存在告警的服务器”的数值，页面下方告警列表将展示“待处理”的告警，且每个服务器只展示一条告警（告警展示优先级按照告警等级进行展示，高>中>低，相同等级按照时间最近展示）。 已隔离文件 展示在选择的时间范围内，已隔离的文件个数（展示去重后的个数）。 单击“已隔离文件”的数值，页面下方告警列表将展示“已处理”的告警，且每个文件只展示一条告警（按照时间最近优先展示）。 已拦截IP 展示在选择的时间范围内，暴力破解阻断状态为“阻断成功”的IP个数（展示去重后的个数）。 单击“已拦截IP”的数值，页面下方告警列表将展示“已处理”的告警，且每个IP只展示一条告警（按照时间最近优先展示）。 5. 选择攻击阶段分类，支持根据“ATT&CK攻击阶段”查看攻击阶段信息。 ATT&CK攻击阶段 说明 初始入口 攻击者尝试进入您的网络或系统。 代码执行 攻击者成功进入您的系统，尝试运行恶意软件或命令，以进一步控制系统或窃取数据。 持久化 攻击者采取措施以确保其在系统中的持久存在，以便在需要时重新访问或继续攻击。 可能涉及设置后门、修改系统配置、利用系统漏洞等。 权限提升 攻击者尝试从普通用户权限提升为管理员或系统权限，以便控制整个系统。 防御绕过 攻击者尝试使用各种技术来绕过安全防御措施，避免被检测到。 如使用混淆加密技术对恶意软件进行二次封装、利用系统漏洞进行攻击等。 凭据窃取 攻击者收集系统中的敏感数据，如账号名称和密码。 发现 发现攻击者攻击IP、攻击类型以及扫描的端口。 命令与控制 攻击者尝试建立与被攻击机器的通信渠道，以便远程控制机器上的恶意软件或执行其他攻击操作。 影响破坏 攻击者利用收集到的数据或控制的系统，尝试对您的系统造成损害，如数据泄露、系统瘫痪等。 6. 查看告警信息 参数 说明 紧急程度 告警的紧急程度，包括紧急、可疑、提醒。 告警名称 攻击类型的告警名称。 告警摘要 告警内容的简要描述。 告警类型 告警的类型，包括异常登录、暴力破解、后门检测、可疑操作、反弹Shell、进程提权、WebShell、端口蜜罐等。 影响资产 受影响的服务器，展示名称和IP地址。 攻击阶段 ATT&CK攻击阶段，包括初始入口、代码执行、持久化、权限提升、防御绕过、凭据窃取、发现、收集、命令与控制、影响破坏。 最新发现时间 告警发现时间。 状态 告警的处理状态，可分为两大类：未处理、已处理。 其中已处理细分为：已加白、已忽略、已隔离、已拦截。

时间节点 功能名称 功能描述 相关文档 2025.03.17 云智助手AI协同 AI协同板块提供了各种AI智能体应用。对比通用的AI助手对话，AI智能体配置了特定的角色要求、任务目标和回复规则，使得生成内容更精准，可用于创意文案、客户服务等特定场景。 2025.03.08 云智助手专属智库 个人专属智库支持多种文件类型（包括 Word、PPT、Excel、PDF、TXT 和图片）上传至会话中，并基于文件内容提供智能问答服务。用户可随时上传文件至个人知识库，并对其进行管理。

本文介绍了云防火墙（原生版）产品的操作日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 操作日志”，进入操作日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、危险等级、操作行为、日志内容进行筛选。 5. 操作日志列表包括发生时间、危险等级、操作行为、日志内容。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本文主要介绍 连接问题。 选择和配置安全组 Kafka实例支持使用内网通过同一个VPC访问、通过DNAT访问和公网访问，访问实例前，需要配置安全组。 使用内网通过同一个VPC访问实例 步骤 1 客户端和实例是否使用相同的安全组？ 是，如果保留了创建安全组后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，则无需添加其他规则。否则，请添加下表所示规则。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 否，执行步骤2。 步骤 2 参考如下配置安全组规则。 假设客户端和Kafka实例的安全组分别为：sg53d4、DefaultAll。以下规则，远端可使用安全组，也可以使用具体的IP地址，本章节以安全组为例介绍。 客户端所在安全组需要增加如下规则，以保证客户端能正常访问Kafka实例。 表 安全组规则 方向 策略 协议端口 目的地址 出方向 允许 全部 DefaultAll 图配置客户端安全组 Kafka实例所在安全组需要增加如下规则，以保证能被客户端访问。 表安全组规则 方向 策略 协议端口 源地址 入方向 允许 全部 sg53d4 图 配置Kafka实例安全组

任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升弹性云主机访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的弹性云主机无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。默认规则是在出方向上的数据报文全部放行， 安全组内的弹性云主机无需添加规则即可互相访问。当默认访问规则可以满足需求时， 则无需单独再为该安全组添加安全组规则。

本文介绍认证鉴权内容。 信息的获取 获取AccessKey(ak)和SecurityKey(sk)： 登录天翼云门户，在“控制台”>“账号中心”>“安全设置”>“登录保护”>“用户AccessKey”点击“查看”获取。 注意：SecurityKey信息只在创建的时候展示，请务必留存好信息。 EopAuthorization签名认证信息： 可参考调用示例Python3调用示例、Java调用示例 步骤一：构造代签字符串 sigture sigture 需要进行签名的Header排序后的组合列表+ " n " + encode的query + " n " + toHex(sha256(原封的body)) 名称 描述 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn encode的query query以&作为拼接，key和value以连接，值需要encode，query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture示例1（ 假设query为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture示例2（ 假设query不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Zn”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

本文介绍如何购买安全加速服务。 1.打开天翼云官网 2.未实名认证的用户需按提示完成实名认证才能开通安全加速服务； 3.实名认证后进入安全加速产品详情页快速了解产品，之后单击【立即开通】； 4.在购买页面选择适合的计费方式和产品能力，确认订单，点击【立即开通】，安全加速服务即开通； 5.安全加速服务开通后，便可以根据操作手册去控制台开始接入您要加速的域名了。

短信内容长度计算规则 短信长度（字数）＝签名字数+模版内容字数+2。 汉字、字母、数字、符号（不区分全角和半角），都按照一个字计算。 短信内容长度不超过70个字，按照一条短信计费。 短信内容长度超过70个字，则按照每67个字拆分成一条，按照多条计费。 例如：短信长度为136个字，将会被分隔成67字、67字、2字三条进行计费。 注意： 在统计短信字数时，小数点、字母、汉字以及其他符号均按照一个字进行统计。 最终按照实际发送成功的短信条数计费。

本文介绍如何为ECI Pod配置独立安全组。 当用户创建ECI Pod（ECI实例）时，需要指定待绑定的安全组信息，使得ECI实例的出向和入向流量得到控制。 背景信息 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 在pod的annotations中添加注解：k8s.ctyun.cn/ecisecuritygroup，并指定需要使用的安全组。通过kubectl客户端创建nginx.yaml。 shell apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxsg" namespace: "default" spec: replicas: 1 selector: matchLabels: name: "nginxsg" template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgw9f6mehmq0 labels: name: "nginxsg" spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "1" memory: 1Gi 创建pod： plaintext kubectl create f nginx.yaml 在ECI控制台可以看到ECI实例开通成功，并且使用的是指定的安全组：

物理机是否可以关联多个安全组？ 弹性裸金属支持关联多个安全组。 通过将弹性裸金属添加到不同的安全组中，您可以为其应用多个安全规则，以提供更灵活和细粒度的网络访问控制。这样可以实现不同层次、不同需求的安全隔离和保护。通过合理配置安全组规则，可以限制入站和出站流量，控制来源和目标IP地址、端口以及协议类型等，从而加强对物理机的网络安全防护。 说明：当弹性裸金属同时属于多个安全组时，它将同时遵循所有安全组规则。因此，在管理和配置安全组规则时，需要确保规则之间的协调和一致，以避免可能引发的网络通信故障。 安全组为什么无法绑定到物理机上？ 只有弹性裸金属支持关联安全组，标准裸金属不支持关联安全组。 标准裸金属不支持关联安全组，怎么解决网络端口无法访问的问题？ 参考关闭及禁用防火墙操作文档。 为什么有的子网不支持VPC和子网切换？ 多az资源池的标准裸金属不支持VPC/子网切换，建议您在多az资源池创建标准裸金属前，提前做好网络规划。 物理机可以和同一VPC内的弹性云主机通信吗？ 可以。 当物理机和弹性云主机在同一个子网内时，它们可以直接相互通信，无需经过路由器。建议在安全组规则中配置允许物理机和弹性云主机之间通信的策略。

本小节介绍安全专区最佳实践。 背景信息 安全专区为一站式套餐产品，客户无需手动配置下单完成后会自动交付，如遇到问题可以了联系产品客服跟踪处理。 前期准备 下单完成后交付人员会联系客户完成部署调研表以为客户系统进行割接配置。 操作配置 安全专区整合六大安全组件功能集于安全管理中心，使用过程无需过多配置，交付完成后可参照产品使用手册进行日常维护。

本章节为您介绍密评专区最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

关停加速服务 1、登录边缘安全加速控制台进行停用操作，域名点击停用后，天翼云接入层CNAME将立刻解析至不可访问地址。对域名进行停用操作后，控制台上域名状态将变更为“已停止”。 2、边缘安全加速平台套餐内默认包含一些流量，若套餐流量用尽，边缘安全加速平台安全与加速服务将会停止加速服务，将CNAME入口解析至客户源站地址，对域名进行停用操作后，控制台上域名状态将变更为“已停止”。 3、边缘安全加速平台客户退订套餐或套餐到期，边缘安全加速平台安全与加速服务会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态将变更为“已停止，1天后将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，CDN节点虽会删除配置，但仍会在系统数据库中保留原来的配置记录，客户可通过账户充值结清欠款，并对域名进行【启用】操作，边缘安全加速平台即可恢复服务。操作步骤如下： 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名】【域名管理】。 3. 在域名列表页面，找到【已停止】的域名，单击【操作】列的【启用】。 4. 对弹出的【启用确认】，单击【确认启用】。

参数 参数类型 说明 示例 下级对象 yamlEncoded String yaml数据内容

二类节点 说明 需要用户手动设置安全组，保证页面访问和日志传输，如何配置安全组请参考安全组。 端口 协议 方向 用途 说明 514 UDP 入方向 Syslogudp采集 来源IP限制为需要上报采集的网段。 162 UDP 入方向 Snmptrap采集 来源IP限制为需要上报采集的网段。 10443 TCP 入方向 门户端口 来源IP限制为实例控制台地址，如果不开放，则无法访问Web界面。 433 HTTPS 出方向 日志审计实例心跳上报、授权许可同步到控制台 如果不开放，则会导致无法正常完成在线升级、升配、续订操作。 53 UDP 出方向 日志审计实例心跳上报、授权许可同步到控制台需要的DNS解析 如果不开放，则会导致无法正常完成在线升级、升配、续订操作 配置安全组 “一类节点”区域的实例，如何配置安全组请参考安全组。 “二类节点”区域的实例，如何配置安全组请参考安全组。 说明 日志审计（原生版）支持的区域请参见[支持的区域](

介绍如何修改实例安全组。 操作场景 RDSPostgreSQL支持修改实例的安全组，从而变更实例的流量进出规则，适配客户的需求变化。 操作步骤 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在实例详情页中，点击在“网络”>“安全组”中的编辑按钮，即可进行安全组的修改。 7. 在弹出框中选择需要变更的安全组，点击确定提交变更任务，点击取消不进行变更。 注意 用户可以变更实例安全组，但不能解绑安全组，也就是实例必须要和一个安全组绑定。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性公网IP（可选） 若需要通过公网访问RabbitMQ实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP。

本文介绍了如何新增子用户关联内置角色。 使用场景 AOne安全与加速平台内置了边缘安全加速平台管理者、边缘安全加速平台参与者、边缘安全加速平台查看者角色。用户创建子用户后，可直接为子用户赋予内置角色。 内置角色的权限策略不可编辑。 内置角色 角色说明 边缘安全加速平台管理者 最高权限，具备该角色的用户可查看配平台所有菜单、所有域名，并且具备编辑权限。 边缘安全加速平台参与者 查看权限，具备该角色的用户可查看平台所有菜单，但是无法查看任何域名并且不具备安全与加速服务控制台的编辑权限 边缘安全加速平台查看者 查看权限，具备该角色的用户可查看平台所有菜单、所有域名，但是不具备安全与加速服务控制台的编辑权限。 说明 边缘安全加速平台参与者与查看者角色，当前仅针对安全与加速服务控制台的可编辑权限进行了限制，其余服务控制台暂未进行限制，仍具备编辑权限。 当内置角色的权限不能满足用户授权需求时，可创建定制角色后，给子用户赋予定制角色。操作步骤参考：新增子用户关联定制角色。 操作流程 新建子用户 方式一：手动新增 1. 登录CDN+平台，并进入需要进行共享的工作区。 2. 进入子用户管理菜单，左上角点击【新增】按钮。 3. 输入子用户的基本信息，包括登录凭据、显示名称、用户邮箱（非必填）、用户手机（非必填）、登录密码，通过验证码检验之后即可完成添加。完成子用户添加后，您可立即添加角色，也可以稍后再进行添加。

支持多款脱敏水印算法 支持伪列算法、伪行算法、内容修改水印算法。

本小节介绍安全专区资产管理服务器主机部署情况。 资产描述区域 服务器名称：服务器资产IP地址； 所属VPC：可选择； 操作系统：服务器资产类型。 防御部署状态区域 服务器主机安全组件部署情况。 数据库审计：是否已配置数据库审计； 日志审计：是否已配置日志审计； 主机安全：是否已安装终端安全EDR客户端。 安全数据区域 汇总展示服务器主机威胁、漏洞安全情况。 分组浏览 可选择服务器分组进行筛选资产。

操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到CCE集群中的节点对应的弹性云主机，单击云服务器名称，进入详情页面。 步骤 2 在“安全组”页签下，单击“更改安全组规则”。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云服务器添加入方向规则，单击“确定”。 说明： 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。

DSC的数据脱敏支持静态脱敏和动态脱敏。 数据安全中心DSC的数据脱敏不仅支持静态脱敏，还支持动态脱敏。您可以对指定数据配置脱敏规则实现敏感数据静态脱敏，您还也可以使用数据动态脱敏的API接口实现数据的动态脱敏，确保敏感信息不被泄露。 静态脱敏是一种一次性完成大批量数据的变形转换处理的方式，通常用于将生产环境中的敏感数据交付至开发、测试或外发环境等情况下。它适用于开发测试、数据分享、数据研究等场景。您可以通过DSC控制台创建脱敏任务，快速实现数据库和大数据的脱敏。 脱敏算法 脱敏算法 脱敏方式说明 使用场景 Hash脱敏 使用Hash函数对敏感数据进行脱敏。支持SHA256和SHA512。 SHA256 将数据库表中字符串类型字段的内容用其SHA256的摘要值代替。 该算法执行完后，结果的长度可能超过原表中列允许的最大长度。该算法按照SHA256输出长度调整列的长度。 SHA512 将数据库表中字符串类型字段的内容用其SHA512的摘要值代替。 该算法执行完后，结果的长度可能超过原表中列允许的最大长度。该算法按照SHA512输出长度调整列的长度。 敏感类型：密钥类 适用场景：数据存储 加密脱敏 通过加密算法和加密主密钥生成一种加密配置，达到数据脱敏的效果。加密脱敏的结果中，初始向量IV为加密字符串的前16个字节，剩余部分是加密的密文。 DSC支持AES128、AES192和AES256三种加密算法。 敏感类型： 个人敏感 企业敏感 适用场景：数据存储 字符掩盖 使用指定字符或随机字符（随机字符包含随机数字、随机字母、随机数字字母三种类型）方式遮盖部分内容。 支持以下六种脱敏方式：保留前n后m、保留自x至y、遮盖前n后m、遮盖自x至y、特殊字符前遮盖、特殊字符后遮盖。 说明 敏感数据保护服务中已预置多种字符脱敏模板。 敏感类型：个人敏感 适用场景： 数据使用 数据分享 关键字替换 在指定列中查找关键词并替换。 例如，目标字符串为“张三在家吃饭”，算法执行完后映射为“张先生在家吃饭”，其中指定将“张三”替换为“张先生”。 该算法执行完后，结果的长度可能超过数据库允许的最大长度。该算法将超出部分截断后插入数据库。 敏感类型： 个人敏感 企业敏感 设备敏感 适用场景： 数据存储 数据分享 删除脱敏 将指定字段设置为Null或空值进行脱敏。 Null脱敏 将任意类型字段设置为NULL。 对于列属性设置为“NOT NULL”的字段，该算法在拷贝时将该列属性修改为“NULL”。 空值脱敏 将指定字段内容设置为空值。 具体来说，将字符型的字段设置为空串，数值类的字段设置为0，日期类的字段设置为1970，时间类的字段设置为零点。 敏感类型： 个人敏感 企业敏感 设备敏感 适用场景： 数据存储 数据分享 取整脱敏 针对日期或数字特定参数进行取整运算。 日期取整 年之后字段全部取整。示例：“20190512 > 20190101”或“20190512 08:08:08 > 20190101 00:00:00” 月之后字段全部取整。示例：“20190512 > 20190501”或“20190512 08:08:08 > 20190501 00:00:00” 日之后字段全部取整。示例：“20190512 > 20190512”或“20190512 08:08:08 > 20190512 00:00:00” 小时之后字段全部取整。示例：“08:08:08 > 08:00:00”或“20190512 08:08:08 > 20190512 08:00:00” 分钟之后字段全部取整。示例：“08:08:08 > 08:08:00”或“20190512 08:08:08 > 20190512 08:08:00” 秒之后字段全部取整。示例：“08:08:08.123 > 08:08:08.000”或“1575612731312 > 1575612731000” 数字取整 针对指定数字进行取整运算。 敏感类型：通用敏感 适用场景： 数据存储 数据使用

本章节内容主要是操作类常见问题 可以通过创建模板的方式创建实例吗？ 在创建文档数据库实例时，不需要使用模板。用户可选择不同实例规格，相当于提前准备好了很多模板，提供给用户创建实例。 为什么我的数据会丢失或被删除？ 文档数据库服务不会删除和操作用户的任何数据。出现这种情况，请检查是否为误操作，必要时可利用已有备份恢复文件。 目前可采取如下方式： 使用文档数据库服务的恢复功能，请参见《文档数据库服务用户指南》中“备份与恢复”下恢复备份的内容。 将备份数据导入文档数据库服务，请参见数据迁移。 如果删除我的云帐号是否会删除备份？ 一旦删除云帐号，自动备份和手动备份也随之删除。

说明：本章节会介绍通过内网连接MySQL实例的流程 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云服务器上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图：通过内网连接实例 步骤一：创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三：通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本页为其他云MySQL迁移到RDS for MySQL时如何创建VPC和安全组的介绍。 创建安全组 操作场景 您可以创建安全组并定义安全组中的规则，比如，将VPC中的划分成不同的安全域，以提升访问的安全性。建议您将不同公网访问策略的划分到不同的安全组。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在“安全组”界面，单击“创建安全组”。 5. 在“创建安全组”界面，根据界面提示配置参数。 6. 单击“确定”。 创建虚拟私有云VPC 操作步骤 1. 登录控制中心，在系统首页，单击【网络 > 虚拟私有云】。 2. 在【虚拟私有云列表】界面，单击【创建虚拟私有云】。 3. 在【申请虚拟私有云】页面，根据界面提示配置参数。 参数说明如下表： 4. 参数 说明 取值样例 名称 VPC名称。 VPC001 网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。 目前支持的网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624 192.168.0.0/16 子网名称 子网的名称。 subnet001 子网网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 网关 子网的网关。 192.168.0.1 开启IPv6 开启IPv6功能后，将自动为VPC分配IPv6网段，当VPC下所有子网均关闭IPv6后，才能关闭VPC的IPv6功能。 注：如果需要通过IPv6与公网互通，请购买IPv6带宽或共享带宽，并将需要通公网的IPv6地址绑定到IPv6带宽或共享带宽。 5. 单击【立即创建】。

限制项 具体要求 说明 加速域名准入条件 中国内地： 1. 账号已在天翼云进行实名认证。 2. 域名已完成ICP备案且备案信息准确有效。 3. 域名接入时需要经过内容审核。 4. 域名接入时需要能通过域名归属权验证。 全球（不含中国内地）： 1. 账号已在天翼云进行实名认证。 2. 域名接入时需要经过内容审核。 3. 域名接入时需要能通过域名归属权验证。 全球： 1. 账号已在天翼云进行实名认证。 2. 域名已完成ICP备案且备案信息准确有效。 3. 域名接入时需要经过内容审核。 4. 域名接入时需要能通过域名归属权验证。 1.全球（不含中国内地）：包括中国香港、中国澳门、中国台湾、其他国家及地区。 2.加速范围为中国内地、全球的域名已完成ICP备案且备案信息准确有效才能接入天翼云视频直播服务，否则天翼云无法提供加速服务。 加速范围 视频直播：支持中国内地加速以及全球（不含中国内地）加速。 极速直播：仅支持中国内地加速。 全球（不含中国内地）：包括中国香港、中国澳门、中国台湾、其他国家及地区。 加速域名使用限制 1. 域名类型：支持子域名（例如，abc.ctyun.cn），暂不支持泛域名（例如，.ctyun.cn）。 2. 域名长度：长度不超过128字节。 3. 支持的字符：小写英文字母（az）、数字（09）、短划线（）。 4.域名数量：每个账号每个产品类型最多可以添加100个域名；如果有主子账号时，主子账号共用100个加速域名限额。如需配置超过100个加速域名，请 内容审核 不支持接入违反相关法律法规的域名，包括但不限于： 1. 涉黄、涉赌、涉毒、涉暴恐内容。 2. 盗版游戏、盗版软件、盗版视频。 3. P2P类金融、彩票类、违规医院和药品类。 4. 游戏私服类。 如果您的加速域名含有以上违规的内容，您将自行承担相关风险。如果发现加速域名有违规行为，视频直播将封禁该域名，因违规而封禁的加速域名将永久不能解禁。 直播协议 视频直播：推流支持RTMP(s)，拉流支持FLV/HLS/RTMP。 极速直播：推流支持RTMP，拉流支持FLV/HLS/RTMP/WebRTC。 直播转码 1. 暂不支持窄带高清。 2.直播转码仅支持中国内地，不支持全球（不含中国内地）。 直播录制 1. 需要先开通媒体存储服务。 2. 只支持对源流进行录制，不支持对转码流进行录制。 3. 直播录制仅支持中国内地，不支持全球（不含中国内地）。 录制的文件需要存储在媒体存储中，所以使用直播录制功能前需要先开通媒体存储服务。 直播截图 1. 需要先开通媒体存储服务。 2. 截图支持jpg和png。 3. 直播截图仅支持中国内地，不支持全球（不含中国内地）。 截图的文件需要存储在媒体存储中，所以使用直播截图功能前需要先开通媒体存储服务。 直播审核 1. 需要先开通媒体存储服务。 2. 目前只支持涉黄和涉恐审核。 3. 直播审核仅支持中国内地，不支持全球（不含中国内地）。 审核的文件需要存储在媒体存储中，所以使用直播审核功能前需要先开通媒体存储服务。 HTTPS证书 目前只支持PEM格式。 单用户调用API接口频率限制 1.针对查询类API接口，单个用户一分钟限制调用10000次，并发不超过100。 2.针对操作类API接口，单个用户一分钟限制调用10次。 操作类接口，是指例如新增域名、删除/停用/启用域名等需对域名状态进行变更类的操作。

名称 类型 是否必选 示例值 描述 action String 是 QuerySendDetails 系统规定参数。取值： QuerySendDetails 。 currentPage Int 是 1 分页查看发送记录，指定发送记录的当前页码。 pageSize Int 是 10 分页查看发送记录，指定每页显示的短信记录数量。取值范围为1~50。 phoneNumber String 是 1890000 接收短信的手机号码。格式：国内短信：11位手机号码，例如1590000。 sendDate String 是 20220328 短信发送日期，支持查询最近30天的记录。格式为yyyyMMdd，例如20181225。 signName String 否 签名 对应发送内容的签名。 templateCode String 否 SMS73419576145 对应发送内容的模板编号。 requestId String 否 49667481793 对用发送时返回的流水号。

步骤2：网络配置 1. 设置网络，包括“安全组”、“网卡”、“弹性IP”等信息。第一次使用网络服务时，系统将自动为您创建一个默认虚拟私有云，包括安全组、网卡。 参数 说明 虚拟私有云 弹性云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。更多关于虚拟私有云的信息，请参见《天翼云虚拟私有云用户使用指南》。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建弹性云主机时，可支持选择多个安全组（建议不超过5个）。此时，云主机的访问规则遵循几个安全组规则的并集。注意：1.如需通过远程桌面连接到Windows云主机，请在安全组中增加如下规则，方向：入方向，协议：TCP，端口范围：3389。2.如需通过远程桌面连接到Linux弹性云主机，请在安全组中增加如下规则，方向：入方向，协议：TCP，端口范围：22。3.如需Ping云主机地址，请在安全组中增加如下规则，方向：入方向，协议：ICMP，地址和掩码：0.0.0.0/0 网卡 包括主网卡和扩展网卡。订购主机时可设置主网卡和扩展网卡。网卡使用限制可参考[弹性云主机产品使用限制](