本章节为您介绍密码服务最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

本文介绍了修改文件读写权限的最佳实践。 操作场景 在实际业务中，由于以下原因和目的，您可能需要修改对象的读写权限： 数据安全：通过修改对象的读写权限，可以确保数据仅对授权用户或系统可见和可访问。限制对象的访问权限可以减少数据泄露和未经授权的访问风险，提高数据的安全性。 数据分享：在某些场景下，您可能需要与他人或公众共享特定的对象。通过修改权限，您可以将对象的读取权限开放给其他用户或特定的用户群体，以便与他们分享数据，也可以用于共享公共资源、发布媒体内容或进行数据传输等场景。 方案说明 ZOS控制台支持私有和公共读两种权限的相互转换，为确保您的数据安全，建议您选择私有。 桶的读写权限的更改不会改变桶内已有文件的读写权限，新上传文件会默认继承桶的读写权限。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择所需的资源池节点，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要设置的文件，点击文件所在行的“更多”按钮。 6. 点击更多下拉选项中的“设置读写权限”按钮。 7. 如选择“公共读”，需勾选“ 我已阅读并同意相关协议《天翼云对象存储系统服务协议》”点击“确认修改”，完成读写权限设置。 8. 如选择“私有”，直接点击“确定”，完成设置。

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

本文将详细介绍AI提示词校验插件功能、配置和使用。 功能说明 该插件通过检查和验证输入的提示消息来保护您的AI端点。它根据用户定义的允许和拒绝模板检查请求的内容，以确保仅处理批准的输入。根据其配置，该插件可以仅检查最新消息或整个对话历史记录，并且可以设置为检查来自所有角色或仅来自最终用户的提示。 当同时配置允许和拒绝模板时，插件首先确保至少匹配一个允许的模板，如果没有匹配，则会返回“Request does not match allow patterns“错误来拒绝请求。如果找到允许的模板，就会检查是否出现任何被拒绝的模板，如果检测到，则会返回“Request contains prohibited content”错误来拒绝请求。 配置字段 名称 类型 填写要求 默认值 描述 matchallroles boolean 可选 false 如果设置为true，插件将检查所有角色的提示消息。否则，它仅在其角色为 user 时验证。 matchallconversationhistory boolean 可选 false 如果设置为true，对话历史记录中的所有消息都会检查。如果为 false，则仅检查最后一条消息的内容。 allowpatterns array[string] 可选 允许的匹配规则列表。提供时，提示词必须与至少一个规则匹配才能被视为有效。 denypatterns array[string] 可选 禁止的匹配规则列表。如果这些模式中的任何一个与提示词内容匹配，则请求将被拒绝。

本章主要介绍购买软件开发生产线 前提条件 CodeArts采用包年/包月计费模式，购买前需要拥有满足以下任一条件的账号： 租户账号。 拥有Tenant Administrator权限的IAM用户。 拥有DevCloud Console FullAccess权限的IAM用户。 购买CodeArts套餐 1. 进入软件开发生产线控制台，根据需要选择套餐版本。 2. 根据需要选择购买人数、购买时长、是否自动续费，勾选同意声明后单击“下一步：确认订单”。 3. 确认订单内容：如果需要修改，单击“上一步”；如果确认无误，单击“去支付”。 4. 根据页面提示完成支付。 说明 体验版购买人数与购买时长为固定值，不可修改。 变更CodeArts套餐规格 1. 登录软件开发生产线控制台。 2. 找到CodeArts套餐，单击操作列中的“变更”。 3. 根据需要选择变更规格、变更人数，勾选同意声明，单击“下一步”。 4. 确认订单内容：如果需要修改，单击“上一步”；如果确认无误，单击“去支付”。 5. 根据页面提示完成支付。 说明 体验版免费使用，则购买人数不可更改，只能变更套餐规格。 购买资源扩展 1. 进入软件开发生产线控制台，单击“购买 > 购买资源扩展”。 2. 根据需要选择产品、类型、购买时长、是否自动续费，勾选同意声明后单击“下一步：确认订单”。 3. 确认订单内容：如果需要修改，单击“上一步”；如果确认无误，单击“去支付”。 4. 根据页面提示完成支付。 说明 页面将根据您所选的产品及类型显示对应的配置项，请根据需要完成选择。

本章主要介绍购买软件开发生产线 前提条件 CodeArts采用包年/包月计费模式，购买前需要拥有满足以下任一条件的账号： 租户账号。 拥有Tenant Administrator权限的IAM用户。 拥有DevCloud Console FullAccess权限的IAM用户。 购买CodeArts套餐 1. 进入软件开发生产线控制台，根据需要选择套餐版本。 2. 根据需要选择购买人数、购买时长、是否自动续费，勾选同意声明后单击“下一步：确认订单”。 3. 确认订单内容：如果需要修改，单击“上一步”；如果确认无误，单击“去支付”。 4. 根据页面提示完成支付。 说明 体验版购买人数与购买时长为固定值，不可修改。 变更CodeArts套餐规格 1. 登录软件开发生产线控制台。 2. 找到CodeArts套餐，单击操作列中的“变更”。 3. 根据需要选择变更规格、变更人数，勾选同意声明，单击“下一步”。 4. 确认订单内容：如果需要修改，单击“上一步”；如果确认无误，单击“去支付”。 5. 根据页面提示完成支付。 说明 体验版免费使用，则购买人数不可更改，只能变更套餐规格。 购买资源扩展 1. 进入软件开发生产线控制台，单击“购买 > 购买资源扩展”。 2. 根据需要选择产品、类型、购买时长、是否自动续费，勾选同意声明后单击“下一步：确认订单”。 3. 确认订单内容：如果需要修改，单击“上一步”；如果确认无误，单击“去支付”。 4. 根据页面提示完成支付。 说明 页面将根据您所选的产品及类型显示对应的配置项，请根据需要完成选择。

本文将为您介绍公共传输通道的计费内容。 收费项目 如需开通公共传输通道服务，请联系专属客户经理或天翼云客服（4008109889）咨询具体价格及计费方式，客户经理会与您沟通商务内容。签署合同后，客户经理将协助您开通公共传输通道业务，并跟进后续产品的变更和退订等相关业务。 公共传输通道产品收费项目分为网络使用费和路由条目增强服务费，如下所示。 收费项目 收费标准 备注 网络使用费 按客户站点收费 按月收取，必选 网络使用费 按天翼云站点收费 按月收取，必选 网络使用费 按第三方云站点收费 按月收取，必选 路由条目增强服务费 20元/条/月 超出部分，按月收取 网络使用费 网络使用费分为三类：一是客户站点网络使用费，二是天翼云资源池站点网络使用费，三是第三方云站点网络使用费。 客户站点 客户站点网络使用费按照IPRAN接入方式的单、双路由区分收取。客户采用双路由IPRAN方式接入CN2时，根据其接入模式来确定IPRAN双接入线路的网络使用费，详见如下内容。 IPRAN双接入模式 网络使用费 主备接入 主线路按IPRAN单路由接入方式标准资费收取； 备线路按IPRAN单路由接入方式标准资费的40%收取。 负载分担 每条接入线路均按IPRAN单路由接入方式标准资费收取。

本章节介绍边缘重保服务的整体服务流程和实施分工。 整体服务流程 边缘重保服务的整体流程如下图所示： 注意 该流程中各个阶段的服务细项基于付费版服务标准进行罗列，不作为体验版的权益参考，不同服务版本差异详见服务版本差异一览表。 实施分工说明 共同责任 明确重保背景、需求、核心保障时段、双方接口人等基本信息； 就重保的服务目标达成一致； 商务合作已达成，具备开展重保前准备工作的必要条件。 天翼云责任 启动阶段 确保清晰把握重保背景、需求、目标及客户主要接口人等基本信息，确认实施交付的可行性后，接受客户的重保服务申请； 组建重保专项服务团队。 准备阶段 对核心业务进行全面分析评估，设计定制化重保服务方案，并邀请客户对方案内容进行全面评审； 就客户对重保服务方案中提出的疑问和优化建议做出积极正面的回应和优化调整，直至客户对方案中的所有内容无异议； 对通过客户确认的重保服务方案中的功能、监控、告警等内容进行实施交付，涉及产品功能部分邀请客户共同参与测试并验收； 客户侧若有演练、压测、业务联调等需求，需配合客户对服务覆盖范围中的产品能力部分进行保障支持。

边缘安全加速平台—安全与加速服务提供一站式安全与加速服务,支持DDoS防护、WAF、Bot防护、访问控制/限流等。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景： 功能模块 功能说明 详情链接 DDoS防护 依托于边缘清洗节点，能够承载T级以上DDoS攻击，百G抗D节点地市级覆盖，全网总防护能力可达10Tbps。 DDoS防护 Web防护 实时检测恶意请求并及时处理，帮助用户提供应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 Web防护 Bot防护 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫。 Bot防护 访问控制/限流 []( 访问控制/限流 API安全 支持管理和识别API资产、帮助用户实时查看API的业务运行情况，同时帮助用户发现和分析业务异常。 API安全 漏洞扫描 []( [](

约束与限制 默认策略不支持删除。 停用策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“停用策略”，弹出“停用策略”对话框。 6、确认信息无误后，单击“确认”，完成停用。 启用策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“启用策略”，弹出“启用策略”对话框。 6、确认信息无误后，单击“确认”，完成启用。 编辑策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“编辑策略”，弹出“编辑防护策略”对话框。 6、配置策略。可修改策略名称、防护端口、源IP白名单。 7、单击“下一步”。 8、选择绑定服务器。 9、单击“确认”，完成编辑。

本章节向您介绍通过企业路由器实现同区域VPC互通的步骤一内容。 通过企业路由器构建同区域VPC互通组网，您需要规划组网和资源： 规划组网：规划VPC及其子网的网段、VPC路由表和ER路由表信息。 规划资源：规划云上资源的数量、名称以及主要参数等信息，云上资源包括VPC、ECS以及ER。 规划组网 同区域VPC互通组网规划如下图所示。 同区域网络流量路径说明如下表所示。 场景 说明 请求路径：VPC1→VPC3 1. 在VPC1路由表中，通过下一跳为ER的路由将流量转送到ER。 2. 在ER路由表中，通过下一跳为VPC3连接的传播路由将流量送达VPC3。 响应路径：VPC3→VPC1 1. 在VPC3路由表中，通过下一跳为ER的路由将流量转送到ER。 2. 在ER路由表中，通过下一跳为VPC1连接的传播路由将流量送达VPC1。 同区域VPC互通组网规划如下表所示。 资源 说明 VPC VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完“虚拟私有云（VPC）”连接，系统会自动执行以下配置： 将4个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段。 ECS 4个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通网络。 VPC路由表中路由信息如下表。 目的地址 下一跳 路由类型 10.0.0.0/8 企业路由器 静态路由：自定义 172.16.0.0/12 企业路由器 静态路由：自定义 192.168.0.0/16 企业路由器 静态路由：自定义 说明 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 ER路由表中路由信息如下表。 目的地址 下一跳 路由类型 VPC1网段：192.168.0.0/16 VPC1连接：erattach01 传播路由 VPC2网段：172.16.0.0/16 VPC2连接：erattach02 传播路由 VPC3网段：10.1.0.0/16 VPC3连接：erattach03 传播路由 VPC4网段：10.2.0.0/16 VPC4连接：erattach04 传播路由

本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

UserData Script CloudConfig Data 描述 使用脚本作为自定义配置的手段，可以是shell 脚本或 Python 脚本。 使用Cloudinit 预定义的方式配置云主机的某些服务，例如 yum 源、SSH 密钥等。 格式 首行必须以"!" 开头（例如 "!/bin/bash" 或 "!/usr/bin/env python"），前面不能有空格首次启动时，以rc.locallike 级别执行，rc.locallike 意味着在启动序列中较后面的位置。 首行必须以"cloudconfig" 开头，前面不能有空格 限制 在采用Base64编码前，脚本内容（包括首行）不能超过16KB。 在采用Base64编码前，脚本内容（包括首行）不能超过16KB。 频率 仅在首次启动弹性云主机时执行一次。 配置的服务不同，执行频率也会不同。

本章节内容主要是操作类常见问题 可以通过创建模板的方式创建实例吗？ 在创建文档数据库实例时，不需要使用模板。用户可选择不同实例规格，相当于提前准备好了很多模板，提供给用户创建实例。 为什么我的数据会丢失或被删除？ 文档数据库服务不会删除和操作用户的任何数据。出现这种情况，请检查是否为误操作，必要时可利用已有备份恢复文件。 目前可采取如下方式： 使用文档数据库服务的恢复功能，请参见《文档数据库服务用户指南》中“备份与恢复”下恢复备份的内容。 将备份数据导入文档数据库服务，请参见数据迁移。 如果删除我的云帐号是否会删除备份？ 一旦删除云帐号，自动备份和手动备份也随之删除。

此小节介绍企业主机安全服务功能。 企业主机安全有基础版、企业版、旗舰版、网页防篡改版和容器安全供您选择，包含了资产管理、漏洞管理、基线检查、入侵检测、勒索防护、网页防篡改、容器镜像安全等功能，具体功能详情及版本差异详情请参见版本功能差异说明。 功能特性说明 主机安全服务包含了资产管理、基线检查、勒索防护、入侵检测等功能特性，每一个功能都从不同维度提升主机的安全性，全方位保证主机的安全可靠，不同版本支持的功能详情请参见版本功能差异说明。 主机安全服务功能特性说明 功能名称 功能描述 资产管理 提供对资产运行状态、资产指纹、资产分类情况的查看，同时可按照主机、容器的维度查看或管理目标服务器，实现主机全量资产的统一可视管理。 包含资产概览、资产指纹管理、主机管理、容器管理功能。 漏洞管理 提供检测Linux软件漏洞、Windows系统漏洞和WebCMS漏洞、应用漏洞，帮助用户识别潜在风险。 基线检查 扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。 支持的检测基线包含云安全实践和等保合规基线，且可自定义选择检测的子基线项。 支持对检测风险的修复和验证。 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 网页防篡改 实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 主机入侵检测 识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 容器入侵检测 实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 策略管理 提供灵活的策略管理能力，可以根据需要自定义安全检测规则，并可以为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/容器安全需求。 安全配置 提供配置常用登录地、常用登录IP、SSH登录IP白名单，恶意程序自动隔离查杀功能，满足不同应用场景的主机/容器安全需求。

概述 在使用MSE注册配置中心各类型引擎实例时，实例的参数采用最佳实践值，可以实现良好的运行性能和安全控制效果，通常不需要您变更。如果您有特殊要求可以参考本节内容修改对应的实例参数。本文介绍如何在MSE注册配置中心控制台配置实例参数。 前提条件 已开通微服务注册配置中心引擎实例，参考章节：创建Nacos实例 、创建ZooKeeper引擎 MSE注册配置中心实例状态正常。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在左侧导航栏，选择参数管理； 5. 在参数管理页面中，点击重启生效参数/运行时生效参数的编辑，修改相应的参数，点击保存即可； 注意： 修改参数时每次只能修改同一类型参数（重启生效参数或者运行时生效参数）； 修改重启生效参数需要重启注册中心实例，实例滚动重启，不影响业务可用性；

本节介绍如何进行Syslog集成设置。 外部集成页面提供了系统数据同步的集成方式，用户可通过该页面功能与外部数据库同步数据。 目前支持Syslog集成配置，Syslog服务器可以对多个设备的Syslog消息进行统一的存储，解析其中的内容做相应的处理。 添加syslog集成设置 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“平台管理 > 外部集成”，进入外部集成页面。 3. 单击Syslog卡片，进入Syslog集成列表页面。 4. 单击右上方的“添加集成设置”，进入Syslog集成设置页面，可添加新的Syslog集成设置。 输入名称，选择需要的告警日志级别，配置Syslog服务器地址和端口号，选择数据存放模块，配置数据标签（数据标签的设置便于数据获取），还可输入描述信息便于管理查看。 5. 配置完成后，单击“确认”，回到Syslog集成列表页面，查看已经配置的Syslog集成列表。 相关操作 在Syslog集成列表页面，单击操作列的编辑按钮，可查看并修改所选集成设置。

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID 是 String 资源池ID name 是 String 唯一。支持拉丁字母、中文、数字，下划线，连字符，中文 / 英文字母开头，不能以 http: / https: 开头，长度 2 32 acl11 description 否 String 支持拉丁字母、中文、数字, 特殊字符：~~!@$%^&()+ <>?:{},./;'[]·~~！@￥%……&（） —— +{}《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 test type 是 String 证书类型。取值范围：Server（服务器证书）、Ca（Ca证书） privateKey 否 String 服务器证书私钥，服务器证书此字段必填 certificate 是 String type为Server该字段表示服务器证书公钥Pem内容;type为Ca该字段表示Ca证书Pem内容

时间节点 功能名称 功能描述 相关文档 2025.03.17 云智助手AI协同 AI协同板块提供了各种AI智能体应用。对比通用的AI助手对话，AI智能体配置了特定的角色要求、任务目标和回复规则，使得生成内容更精准，可用于创意文案、客户服务等特定场景。 2025.03.08 云智助手专属智库 个人专属智库支持多种文件类型（包括 Word、PPT、Excel、PDF、TXT 和图片）上传至会话中，并基于文件内容提供智能问答服务。用户可随时上传文件至个人知识库，并对其进行管理。

本文介绍如何购买安全加速服务。 1.打开天翼云官网 2.未实名认证的用户需按提示完成实名认证才能开通安全加速服务； 3.实名认证后进入安全加速产品详情页快速了解产品，之后单击【立即开通】； 4.在购买页面选择适合的计费方式和产品能力，确认订单，点击【立即开通】，安全加速服务即开通； 5.安全加速服务开通后，便可以根据操作手册去控制台开始接入您要加速的域名了。

本页为其他云MySQL迁移到RDS for MySQL时如何创建VPC和安全组的介绍。 创建安全组 操作场景 您可以创建安全组并定义安全组中的规则，比如，将VPC中的划分成不同的安全域，以提升访问的安全性。建议您将不同公网访问策略的划分到不同的安全组。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在“安全组”界面，单击“创建安全组”。 5. 在“创建安全组”界面，根据界面提示配置参数。 6. 单击“确定”。 创建虚拟私有云VPC 操作步骤 1. 登录控制中心，在系统首页，单击【网络 > 虚拟私有云】。 2. 在【虚拟私有云列表】界面，单击【创建虚拟私有云】。 3. 在【申请虚拟私有云】页面，根据界面提示配置参数。 参数说明如下表： 4. 参数 说明 取值样例 名称 VPC名称。 VPC001 网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。 目前支持的网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624 192.168.0.0/16 子网名称 子网的名称。 subnet001 子网网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 网关 子网的网关。 192.168.0.1 开启IPv6 开启IPv6功能后，将自动为VPC分配IPv6网段，当VPC下所有子网均关闭IPv6后，才能关闭VPC的IPv6功能。 注：如果需要通过IPv6与公网互通，请购买IPv6带宽或共享带宽，并将需要通公网的IPv6地址绑定到IPv6带宽或共享带宽。 5. 单击【立即创建】。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性公网IP（可选） 若需要通过公网访问RabbitMQ实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP。

操作步骤 通过内网连接TaurusDB实例 步骤 1 购买实例。根据业务需求，确认TaurusDB实例的规格、网络配置、数据库帐户配置信息等。 步骤 2设置安全组规则。 ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则，执行通过内网连接TaurusDB实例。 注意 ECS和TaurusDB实例必须处于同一VPC。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤 3 通过内网连接TaurusDB实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 通过公网连接TaurusDB实例 步骤 1 购买实例。根据业务需求，确认TaurusDB实例的规格、网络配置、数据库帐户配置信息等。 步骤 2 绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至TaurusDB 实例。 步骤 3 设置安全组规则。从安全组外访问安全组内的TaurusDB实例时，需要为TaurusDB实例所在安全组配置相应的入方向规则。 步骤 4 通过公网连接TaurusDB实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本文主要介绍调试事务 新增或修改事务后，可通过调试快速发现语法或配置错误。 前提条件 确保资源组状态为“运行中”。 确保资源组的调试节点上的32001和32002端口在安全组被开启。 确保资源组的调试节点和被压测的应用之间网络互通。 操作步骤 1、 登录性能测试控制台，在左侧导航栏中选择“测试工程”。 2、在待编辑性能测试测试工程所在行，单击编辑事务库。 3、在“事务库”页签中，单击待调试事务后的“调试”。 4、在弹出的对话框中，选择资源组后单击“启动调试”。 5、在“调试日志”页签，查看调试的操作日志。 6、调试完成后，在“结果”页签，查看事务调试的具体内容。 如果调试结果报错，可根据错误日志信息，修改相应的事务请求信息，重新进行调试。

关停加速服务 1、登录边缘安全加速控制台进行停用操作，域名点击停用后，天翼云接入层CNAME将立刻解析至不可访问地址。对域名进行停用操作后，控制台上域名状态将变更为“已停止”。 2、边缘安全加速平台套餐内默认包含一些流量，若套餐流量用尽，边缘安全加速平台安全与加速服务将会停止加速服务，将CNAME入口解析至客户源站地址，对域名进行停用操作后，控制台上域名状态将变更为“已停止”。 3、边缘安全加速平台客户退订套餐或套餐到期，边缘安全加速平台安全与加速服务会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态将变更为“已停止，1天后将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，CDN节点虽会删除配置，但仍会在系统数据库中保留原来的配置记录，客户可通过账户充值结清欠款，并对域名进行【启用】操作，边缘安全加速平台即可恢复服务。操作步骤如下： 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名】【域名管理】。 3. 在域名列表页面，找到【已停止】的域名，单击【操作】列的【启用】。 4. 对弹出的【启用确认】，单击【确认启用】。

微隔离流量状态无法显示 请按如下检查，如果无法解决，请联系服务提供商处理。 1.打开终端安全EDR管理平台“微隔离/微隔离设置”，检查“流量上报”开关是否启用状态，如下图。 2.打开终端安全EDR管理平台[微隔离/流量状态]，检查“过滤流量”条件是否启用，如下图。 3.在终端安全EDR组件中，在【终端管理】→【策略中心】→【安全加固】可查看终端登录密码。 云日记审计系统日记时间不同步？ 登录同网段windows系统，访问云日志审计8082的https端口，输入初始密码登录,并在当前目录设置新密码，在【日期时间管理】，设置与本地同步或者手动调整时间。 二级等保入门版，是否能通过社会上的等保测评公司的测评？ 可以。 单独堡垒机产品客户购买时青岛资源池不可选，安全专区中堡垒机是否存在此情况？ 不会，安全专区的镜像和单产品是不一样的。 北京五过等保是否支持？ 支持。 其他问题？ 如果有如下需求，请联系服务提供商处理。 修改终端安全EDR管理平台443端口； 恢复终端安全EDR管理平台控制台登录密码； 终端安全EDR管理平台需要迁移至其它服务。

操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到CCE集群中的节点对应的弹性云主机，单击云服务器名称，进入详情页面。 步骤 2 在“安全组”页签下，单击“更改安全组规则”。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云服务器添加入方向规则，单击“确定”。 说明： 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。

本文介绍OpenClaw(原 Clawdbot)安装Skill 技能操作指南。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw 安装Skill技能操作指南内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw 的 Skill 技能是平台拓展专属能力的模块，通过安装 Skill 可实现定制化的业务需求与功能拓展。天翼云应用托管环境下的 OpenClaw 支持三种 Skill 安装方式，可分别实现技能商店技能快速安装、控制台手动安装及自定义开发 Skill 部署，以下为详细操作步骤。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

本章介绍主机迁移服务的相关申明。 源端服务器数据收集声明 源端服务器上安装和配置完迁移Agent后，迁移Agent会把源端服务器信息发送给主机迁移服务校验。这些数据只用于迁移可行性判断，不做其他用途。若您使用主机迁移服务，表示您同意主机迁移服务对这些信息的收集。 License失效声明 源端服务器的系统、应用、文件等数据迁移到目的端服务器后，服务器的SID、网卡MAC地址等信息发生改变，导致OS、应用等License失效。此类问题，主机迁移服务概不负责。对于Windows License可以使用天翼云License服务器获取新License，应用License用户自行解决。 迁移过程中禁止操作说明 迁移过程中禁止对目的端服务器的系统、磁盘进行操作，包括但不限于切换操作系统、重装系统等。在迁移过程中对目的端服务器进行操作所产生的费用以及数据损坏等问题，主机迁移服务概不负责。 目的端服务器磁盘格式化说明 迁移过程中，目的端服务器的磁盘会被格式化并重新进行分区，导致目的端服务器上所有数据丢失。请迁移前做好数据备份以及确认目的端服务器磁盘可被格式化。否则造成数据丢失，主机迁移服务概不负责。 源端磁盘数据安全性声明 迁移过程中，主机迁移服务无法感知磁盘内容，需要您自行保障源端磁盘数据的安全性。如果因为源端磁盘数据中存在木马或病毒等软件，导致迁移后目的端VPC内的主机受到影响，主机迁移服务概不负责。

本节介绍内容审核产品的订购流程。 购买操作步骤 步骤一：成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名制认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入个人中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 步骤二：选择服务 1.点击【产品人工智能】，根据需要选择内容审核下的对应产品（以图片鉴黄为例）。 2.跳转到服务详情页后，点击【立即购买】。 步骤三：选择资源包 1.选择自己需要购买的资源包规格，点击购买数量，点击【下一步：确认配置】。 2.点击勾选同意相关协议，点击【立即购买】。

事件来源 资源类型 操作事件 安全 日志审计（原生版） 查询实例列表 安全 日志审计（原生版） 关闭实例 安全 日志审计（原生版） 启动实例 安全 日志审计（原生版） 实例状态检查 安全 日志审计（原生版） 实例迁移子网 安全 日志审计（原生版） 实例升级

事件来源 资源类型 操作事件 安全 日志审计（原生版） 查询实例列表 安全 日志审计（原生版） 关闭实例 安全 日志审计（原生版） 启动实例 安全 日志审计（原生版） 实例状态检查 安全 日志审计（原生版） 实例迁移子网 安全 日志审计（原生版） 实例升级