场景架构 搭配使用产品 在该场景实施建设时，您也可以搭配使用以下产品： 弹性云主机CTECS：用于承载迁移后的业务系统和应用集群。 弹性IP EIP：为迁移后的服务器提供静态公网IP，保证业务的外部访问能力。 对象存储CTOOS：用于存储迁移后的对象数据，满足数据的持久化存储需求。 高密特殊上云迁移 场景说明 政府单位以及部分特殊企业，具有较高的安全需求；需要采取一系列措施来确保数据和信息的安全性。在这种场景下，通常会对内外网进行隔离，限制上云迁移软件的使用。 场景痛点 无法直接互联：由于内网与互联网之间存在隔离，使得传统的迁移产品无法直接与内网进行互通。 安全性需求高：对数据和信息的安全性要求较高，传输过程需要采取加密措施来确保数据的安全传输。 产品优势 自研数据加密传输算法：CMS针对性开发了自研公网数据加密传输算法，提高数据在公网传输的安全性，确保数据不被非法访问。 内网代理跳转转发：CMS能够通过代理对网闸隔离后的内网数据进行跳转转发，实现内外网的数据通信，无需直接打通内网与互联网。 多方面的安全设计：CMS从数据处理、数据传输、连接设计、分权管理等各个角度对安全性进行设计，确保整个迁移过程的安全性，满足高密特殊场景的安全需求。

云堡垒机每一个实例对应一个独立运行的云堡垒机运维管理系统环境。 用户首先需要购买一个云堡垒机实例，购买后，系统默认创建一个云堡垒机管理员账号（默认管理员用户admin），可通过该账号单点登录云堡垒机系统；登录实例后，根据提示配置运维管理环境，实现云堡垒机实时远程高效运维管理。 前提条件 已获取管理控制台的登录账号与密码。 已购买至少一个弹性公网IP（Elastic IP，EIP）。 注意 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 单击右上角的“购买堡垒机”，进入产品订购页。 4. 选择“云堡垒机实例”基础信息和资产规格。 参数 说明 计费模式 选择实例计费模式，仅支持“包年/包月”模式。 包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 部署架构 选择新购堡垒机的部署架构，目前支持：通用性x86、鲲鹏ARM、海光X86、飞腾ARM。 地域/可用区 选择实例应用区域和可用区，即提供云堡垒机服务的区域和可用区。 建议根据待管理ECS、RDS等服务器上资源的区域和可用区选择，可以降低网络时延、提高访问速度。 实例名称 自定义实例名称。 长度为215字符，以字母开头，可包含数字、“.”、“”、“”，不可包含中文。 实例规格 选择实例规格，目前仅支持“单机版”。 版本 支持“高级版”，该版本支持的功能清单请到功能特性查看。 资产规格 选择需要纳管的资产数，堡垒机不同版本支持的资产数略有不同，请根据实际需要选择。 5. 配置云堡垒机实例的网络信息。 参数 说明 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 注意 默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 云堡垒机支持直接管理同一区域同一VPC网络下的ECS等资源，通过堡垒机纳管资源后，可直接访问并管理对应的资源。 订购完成后，虚拟私有云不支持修改。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 说明 一个安全组为同一个VPC网络内具有相同安全保护需求、并相互信任的堡垒机资源提供访问策略。当云堡垒机加入安全组后，即受到该安全组中访问规则的保护。 云堡垒机可与资源主机ECS等共用安全组，各自调用安全组规则互不影响。 如需修改安全组，请参见更改安全组。 子网 选择当前VPC内子网。 说明 子网需在VPC的网段内。 弹性IP （可选）选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 6. 选择配套的弹性云主机规格，包括云主机规格、系统盘、数据盘。 云主机规格默认选择最低规格，您可在下拉框中选择主机规格或者输入规格名称进行搜索（支持模糊搜索）。 系统盘和数据盘默认选择最低规格，您可根据业务实际需求进行适量提升。 具体云主机规格需求如下： 版本 资产规格 并发数 推荐云主机规格 版本 资产规格 并发数 CPU 内存 系统盘 数据盘 高级版 10资产 10并发上线 2核 8GB 40GB 300GB 高级版 20资产 20并发上限 2核 8GB 50GB 300GB 高级版 50资产 50并发上限 4核 16GB 50GB 500GB 高级版 100资产 100并发上限 8核 32GB 50GB 800GB 高级版 200资产 200并发上限 8核 32GB 50GB 800GB 高级版 500资产 500并发上限 12核 48GB 50GB 2048GB 高级版 1000资产 1000并发上限 16核 64GB 50GB 2048GB 高级版 2000资产 2000并发上限 16核 128GB 50GB 2048GB 高级版 5000资产 2000并发上限 24核 192GB 50GB 4096GB 高级版 10000资产 2000并发上限 32核 192GB 50GB 4096GB 7. 选择“购买时长”，可按月或按年购买云堡垒机。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 8. 确认参数配置无误后，阅读并同意相关协议，单击“立即购买”。 9. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池id azName 否 String 可用区编码，若资源池无可用则不传 cnxinan12A vpcId 是 String vpc Id subnetId 是 String 子网id zoneId 是 String 区域id，值同regionId zoneType 是 String 是否为蒙贵资源池，1：蒙贵，2：非蒙贵 2 cpuNum 是 String CPU核数，取值范围:[2,4,8,16] 2 memSize 是 String 内存大小，取值范围:[4,8,16,32] 4 flavorType 是 String 云主机规格类型 CPUS7 flavorUuid 否 String 云主机规格id 注：自研池云主机必传此参数 flavorRef 否 String 合营池云主机规格名称，资源池为合营池时必传 c7.large.2 sysVolumeSize 否 String 系统盘大小(G)，取值范围:401000 注：自研池必传此参数 40 version 否 String 云主机销售品版本，取值范围：[v1，v2] 注：自研池时必传 v1 securityGroupIdList 否 String 安全组id，需要在下单前创建好安全组 安全组命名规则：cfwssoxxxxxx 安全组入向规则：指定端口、访问源，TCP协议 安全组出向规则：全放通 securityGroups 否 Array of Objects 安全组id列表 合营池下单传此参数 securityGroups vmName 是 String 云主机实例名称，命名规则：CFWxxxx CFWa4f0 publicIpId 否 String 开通资源所在资源池下未绑定的弹性IP的id 注：自研池传此参数 publicIp 否 String 开通资源所在资源池下未绑定的弹性IP地址 注：合营池传此参数 adminPass 否 String 云主机初始化密码 cpuArch 是 String 云主机cpu架构，取值范围：x86，arm x86 networkCards 是 Array of Objects 网卡信息 networkCards projectId 否 String 企业项目id 自研池必传，无企业项目时传默认值：0 合营池非必填参数 0

section73d07d61f523919c)。 系统盘 选择系统盘的存储容量。推荐系统盘规格请参考：堡垒机资产规格。 数据盘 选择数据盘的存储容量。推荐数据盘规格请参考：堡垒机资产规格。 企业项目 选择堡垒机所属的企业项目。 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 子网 选择当前VPC内子网。 子网需在VPC的网段内。 弹性IP 选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 购买时长 选择实例使用时长。 可按月或按年购买云堡垒机。 5. 配置完成后，确认订单无误并阅读《天翼云云堡垒机（原生版）服务协议》后，勾选“我已阅读并同意《天翼云云堡垒机（原生版）服务协议》”，单击“立即购买”。 6. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

本文简述强制跳转的场景及配置方法。 功能介绍 强制跳转功能，可以将用户到边缘节点的请求方式重定向为HTTP或HTTPS请求。天翼云边缘安全加速平台安全与加速服务支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTPS请求强制跳转为HTTP请求。 注意事项 当HTTPS开关未启用时，强制跳转只支持从HTTPS301或302重定向为HTTP。只有当HTTPS开启且完成证书配置的情况下，才支持从HTTP301或302重定向为HTTPS。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入请求协议页面，单击“编辑配置”。 4.变更“强制跳转”，从停用改为启用。 5.选择目标跳转场景，如“HTTP>HTTPS”、“HTTPS>HTTP”。 6.选择合适的跳转方式，如302跳转或301跳转。 配置界面 新增域名，配置强制跳转： 域名添加完成后，编辑强制跳转：

本章节主要介绍安全配置。 设置安全通道加密 默认情况下，组件间的通道是不加密的。您可以配置如下参数，设置安全通道是加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > 服务名 > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后需要重启对应服务。 详见下表：参数说明 配置参数 说明 缺省值 hbase.rpc.protection 设置HBase通道是否加密，包含HBase客户端访问HBase服务端的RPC（remote procedure call）通道，HMaster和RegionServer间的RPC通道。设置为“privacy”表示通道加密，认证、完整性和隐私性功能都全部开启，设置为“integrity”表示不加密，只开启认证和完整性功能，设置为“authentication”表示不加密，仅要求认证报文，不要求完整性和隐私性。 说明 privacy会对传输内容进行加密，包括用户token等敏感信息，以确保传输信息的安全，但是该方式对性能影响很大，对比另外两种方式，会带来约60%的读写性能下降。请根据企业安全要求修改配置，且客户端与服务端中该配置项需使用相同设置。 dfs.encrypt.data.transfer 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。HDFS数据传输通道包括DataNode间的数据传输通道，客户端访问DataNode的DT（Data Transfer）通道。设置为“true”表示加密，默认不加密。 “false” dfs.encrypt.data.transfer.algorithm 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。只有在dfs.encrypt.data.transfer配置项设置为true，此参数才会生效。 缺省值为“3des”，表示采用3DES算法进行加密。此处的值还可以设置为“rc4”，避免出现安全隐患，不推荐设置为该值。 “3des” hadoop.rpc.protection 设置Hadoop中各模块的RPC通道是否加密。包括： 客户端访问HDFS的RPC通道。 HDFS中各模块间的RPC通道，如DataNode与NameNode间。 客户端访问Yarn的RPC通道。 NodeManager和ResourceManager间的RPC通道。 Spark访问Yarn，Spark访问HDFS的RPC通道。 MapReduce访问Yarn，Mapreduce访问HDFS的RPC通道。 HBase访问HDFS的RPC通道。 默认设置为“privacy”表示加密，“authentication”表示不加密。 说明 您可以在HDFS组件的配置界面中设置该参数的值，设置后全局生效，即Hadoop中各模块的RPC通道是否加密全部生效。 安全模式：privacy 普通模式：authentication

限制 说明 VPC对等连接使用范围 同地域下两个VPC之间的内网互通，不支持跨地域，对应VPC可属于同账号或者不同账号。 网段重叠限制 对等连接下的两个VPC网段建议不要重叠。 安全组网段放通 需要在本端关联的安全组放通对端网段，在对端关联的安全组放通本端网段。

数据库安全保障是指通过一系列安全措施加强对数据库安全进行防护。数据库安全配置核心在对数据库进行访问控制、数据加密、审计、数据脱敏和数据库备份与恢复等安全管理策略，确保数据的完整性、机密性、可用性、可控性和可审查性。 访问控制 TeleDB支持通过设有用户权限控制和强制访问控制，对不同对象有不同的访问来控制权限，确保数据安全。它主要包括自主访问权限控制和强制访问控制。 自主访问控制 ：TeleDB支持自主赋予不同用户角色操作控制权限和提供对数据库资源（实例、表、视图等）细粒度权限控制能力。 强制访问控制： 提供更细粒度的访问控制，即行级的访问控制。 自主访问控制具体实施方案请参考《TeleDB安全配置手册》中“自主访问控制”章节。 强制访问控制具体实施方案请参考《TeleDB安全配置手册》中“强制访问控制”章节。 数据加密 TeleDB支持通过数据加密来确保只有授权的用户才能访问敏感信息，防止个人信息泄露。数据加密是一种将原始数据转换成不可读格式的过程。通过数据加密可以确保只有授权的用户才能访问存储在设备或数据库中的敏感信息，防止个人信息泄露。TeleDB支持三种数据加密方式，分别为透明存储加密、通信加密和全密态加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。具体实施方案请参考《TeleDB安全配置手册》中“透明存储加密”章节。 通信加密是指基于传输层SSL（Secure Sockets Layer）协议加密的加密方式。SSL加密是一种安全协议，用于在互联网上建立一个加密的链接，来确保数据传输的安全性。具体实施方案请参考《TeleDB安全配置手册》中“通信加密”章节。 全密态加密是一种数据加密技术，‌旨在确保数据在整个生命周期（‌包括传输、‌运算和存储）‌中始终保持加密状态，‌从而保护数据隐私。‌这种加密技术不仅涉及到数据的存储加密，‌还包括数据在处理过程中的加密，‌确保即使在数据传输和计算过程中，‌攻击者也无法获取有效的数据信息。‌全密态加密技术的实现依赖于特定的密钥管理机制，‌包括客户端主密钥（‌CMK）‌和数据加密密钥（‌CEK）‌的使用，‌其中CMK用于加密CEK，‌而CEK则用于加密用户数据，‌从而形成一个完整的数据加密体系。具体实施方案请参考《TeleDB安全配置手册》中“全密态加密”章节。

参数 描述 数据库实例名称 默认为创建迁移任务时选择的RDS for MySQL实例，不可进行修改。 数据库用户名 目标数据库对应的数据库用户名。 数据库密码 数据库用户名和密码将被系统加密暂存，直至该任务删除后清除。支持在任务创建后修改密码。 SSL安全连接 如启用SSL安全连接，请在目标库开启SSL，并确保相关配置正确后上传SSL证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。

DCS在使用时与其他服务配合使用，本节简单介绍虚拟私有云、弹性云主机、统一身份认证服务、云监控服务、云审计服务以及对象存储服务。 DCS缓存服务与其他服务的关系 虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务。 分布式缓存服务运行于虚拟私有云，由虚拟私有云协助管理IP和带宽。虚拟私有云还具备安全组访问控制功能，通过绑定安全组并设置访问规则，可以增强访问分布式缓存服务的安全性。 弹性云主机 弹性云主机（Elastic Cloud Server，简称ECS）是一种可随时自助获取、可弹性伸缩的云服务器，帮助用户打造可靠、安全、灵活、高效的应用环境。 成功申请分布式缓存服务后，您可以通过弹性云主机创建的弹性云主机，连接和使用分布式缓存实例。 统一身份认证服务 统一身份认证（Identity and Access Management，简称IAM）是系统的身份管理服务，包括用户身份认证、权限分配、访问控制等功能。 通过统一身份认证服务，实现对分布式缓存服务的访问控制。 云监控服务 云监控服务（Cloud Eye）是云上提供的安全、可扩展的统一监控方案，通过云监控服务集中监控DCS的各种指标，基于云监控服务实现告警和事件通知。

当您使用浏览器登录邮箱发送邮件失败时,可以参考本文。 问题描述 在使用浏览器登录邮箱时直接使用 HTTP 协议，其端口号默认为 80，邮件主机之间还是使用邮件发送协议：SMTP 协议。通过浏览器发送邮件，则需要开放 TCP 出方向端口为 80。 处理方法 1. 在弹性云主机页面找到对应的安全组，单击安全组“ID”，进入“安全组”页面。 2. 在安全组界面，单击“添加规则”。 3. 在弹出的窗口，选择“出方向”，协议为“TCP”，设置端口为“80”单击“确定”完成添加。 在使用邮件客户端收发邮件时，邮件收发使用不同的协议： 发件协议一般使用 SMTP 协议，其端口号为 25； 收件协议使用 POP3 协议，其端口号为 110。 具体操作请参见 1～3。 说明 ：需要添加“入方向”：协议为“TCP”； 端口为“110”和“出方向”：协议为“TCP”，端口 为“25”的规则。

OpaPolicy配置说明 字段 类型 必选 说明 workloadSelector WorkloadSelector No 选择策略生效的工作负载。 policy string No Rego策略。 创建OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 选择使用YAML创建。 修改OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 列表页会展示当前命名空间下的OPA策略，找到要修改的策略，选择右侧操作栏的修改，编辑提交即可。 删除OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 列表页会展示当前命名空间下的OPA策略，找到要修改的策略，选择右侧操作栏的删除即可。

本节介绍IP地址组的创建、查看、编辑、删除、关联使用等全流程操作步骤,帮助用户快速掌握批量 IP 管理与安全组规则配置能力,提升运维效率。 创建 IP 地址组 1. 登录ECX控制台。 2. 进入边缘网络 >访问控制> IP 地址组页面。 3. 单击【+ 创建 IP 地址组 】。 4. 配置参数： IP 地址组名称：自定义名称。 IP 类型：支持 IPv4和IPv6。 IP 地址条目：填写 IP / 掩码，可添加描述、备注，支持添加多个IP或IP段，换行输入。 描述：补充说明信息。 5. 确认无误后单击提交，完成创建。 查看 IP 地址组列表和详情 1. 登录ECX控制台。 2. 进入边缘网络 >访问控制> IP 地址组页面可查看已创建的IP地址组列表。 3. 在列表页可以查看IP地址条目数、关联资源等信息，也可修改IP地址组的名称。 4. 在列表页单击目标IP 地址组名称，可查看IP地址组的详细信息，包括创建信息以及添加的IP地址条目。 编辑 IP 地址组 1. 进入 IP 地址组详情页。 2. 在IP 地址条目 区域单击编辑。 3. 支持操作： 添加：新增 IP 地址 / 网段。 编辑：修改已有条目描述、备注。 上方插入：在指定条目前方插入新 IP。 删除：移除指定 IP 条目。 4. 修改完成后单击提交保存，修改后关联的安全组会立即生效。 使用方法（关联安全组规则） IP 地址组主要用于安全组规则批量配置，步骤如下： 1. 进入边缘网络 >访问控制> 安全组，选择目标安全组。 2. 进入入方向规则 / 出方向规则 ，单击添加规则。 3. 来源类型选择IP 地址组。 4. 选择已创建的 IP 地址组。 5. 配置协议端口、策略（允许 / 拒绝）、备注。 6. 单击确定完成规则配置。

背景说明 随着生成式AI工具的普及，员工为提升效率普遍绕过IT监管私自使用AI工具，导致企业面临数据泄露与知识产权流失、漏洞与攻击面扩大等安全风险。AI 应用漏洞检测功能 通过自动化扫描、多维度风险分析、全流程漏洞管理 ，帮助企业精准识别 AI 组件漏洞，构建从 “发现 响应 标记” 的闭环管理体系，解决传统安全工具对 AI 资产 “看不见、管不住” 的核心痛点。 功能说明 支持超过 30+ 种 AI 应用组件漏洞检测，通过多视图查看及标记能力实现漏洞高效管理，帮助用户掌握 AI 应用漏洞风险状况。 ⚠️注意：1、已订购终端管理企业版套餐用户。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【AI 安全检测】【AI应用漏洞检测】，查看 AI 应用漏洞检测功能。 3. 可根据业务需求进行相关扫描和漏洞标记。 AI 漏洞扫描 1. 在 “AI 风险概况” 模块，点击【下发扫描】按钮，可针对组织、用户组、用户、设备主动触发对终端 AI 应用的漏洞扫描，获取最新漏洞数据。 2. 扫描完成后，“最新扫描时间” 将更新为本次扫描时间。

本小节介绍镜像漏洞。 本章节指导用户查看私有镜像上存在的漏洞，并判断是否需要“忽略”漏洞。 前提条件 已开启容器节点防护。 检测方式 用户开启容器节点防护后，容器安全服务自动执行对Linux镜像的安全扫描。 约束限制 仅支持查看Linux镜像存在的漏洞。 查看私有镜像仓库漏洞 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航树中，选择“风险预防 > 容器镜像安全”，选择“容器镜像漏洞 > 私有镜像仓库漏洞”页签，查看私有镜像窗口漏洞。 说明 单击风险镜像名称，可查看该风险镜像的漏洞概况，包括漏洞名称、修复紧急度、受影响镜像个数、漏洞描述等信息。 漏洞参数说明 参数名称 说明 操作 漏洞名称 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见步骤3。 修复紧急度 提示您是否需要立刻处理该漏洞。 受影响镜像数（个） 显示受该漏洞影响的镜像个数。 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 3、 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表。

本页面介绍云数据库ClickHouse的产品优势。 强大的性能、便捷的运维、安全可靠性和灵活的架构是云数据库ClickHouse的关键优势。 高性能 分布式大规模并行处理（MPP）架构，支持大规模数据的高速处理，应用延时更低；SIMD 高效指令集、向量化执行引擎、列式存储和索引优化，充分利用硬件资源，单个查询的处理性能可达每秒TB级别；数据秒级入仓，数据极速加载。 便捷运维 可视化的集群监控和运维能力，便于运维人员快速发现和处理问题；集群最佳实践配置，一键交付上线 安全可靠 提供多租户资源隔离，企业级安全防护及网络隔离，以及针对人为错误的故障安全机制，访问使用更加安全；多副本、集群高可用能力，提供自动容灾服务，确保业务连续性 架构灵活 单副本、多副本架构，支持在线扩展节点，提升计算和存储能力；支持存储按需扩容，有效应对业务增长 综上所述，云数据库ClickHouse以其卓越的性能、便捷的运维、安全可靠性和灵活的架构为用户提供了强大的数据分析解决方案。无论是大规模数据处理还是复杂分析查询，云数据库ClickHouse都能够满足用户的要求并提供卓越的性能和可靠性。

本章节介绍云原生API网关和AI网关两个产品系列下不同规格的容量阈值及QPS性能参考 API网关 容量阈值 以下为不同网关规格下的容量阈值。当网关容量指标处于警戒水位以下时，可以得到完整的ELB保障。对于核心业务，建议将网关容量指标控制在安全水位以下，从而获得更好的稳定性。 安全水位：能够在突发流量增长至双倍的情况下，依然确保网关系统维持高吞吐量和低延迟性能。 警戒水位：当水位达到警戒线以上时，网关的延迟可能会增加，并且在突发流量下可能存在稳定性风险。 基础版网关，仅限测试场景使用。请确保线上业务使用部署了多个节点的网关规格。 网关规格 基础版 标准版1 标准版2 标准版3 企业版1 企业版2 企业版3 铂金版1 铂金版2 铂金版3 铂金版4 客户端连接数 安全水位 14000 28000 56000 112000 224000 448000 660000 880000 1760000 2640000 3080000 客户端连接数 警戒水位 28000 56000 112000 224000 448000 896000 1320000 1760000 3520000 5280000 6160000 HTTPS每秒新建连接数 安全水位 500 1000 2000 4000 8000 16000 24000 32000 64000 96000 120000 HTTPS每秒新建连接数 警戒水位 1000 2000 4000 8000 16000 32000 48000 64000 128000 192000 240000 CPU使用率 安全水位 30% 30% 30% 30% 30% 30% 30% 30% 30% 30% 30% CPU使用率 警戒水位 60% 60% 60% 60% 60% 60% 60% 60% 60% 60% 60% 内存使用率 安全水位 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 内存使用率 警戒水位 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 75%

参数 参数类型 说明 示例 下级对象 securityGroupID String 安全组ID sgw3cn7d00a4 securityGroupName String 安全组名称 DefaultSecurityGr

本文主要介绍弹性IP绑定/解绑类问题。 如何通过外部网络访问绑定弹性IP的弹性云主机？ 为保证弹性云主机的安全性，每个弹性云主机创建成功后都会加入到一个安全组中，安全组默认Internet对内访问是禁止的，所以需要在安全组中添加对应的入方向规则，才能从外部访问该弹性云主机。 在安全组规则设置界面用户可根据实际情况选择TCP、UDP、ICMP或All类型。 当弹性云主机需要提供由公网可以访问到的服务且知道对端IP地址或无需提供由公网可以访问到的服务时，建议根据业务需要，将源地址设置为允许已知IP地址所在的网段访问该安全组。 当弹性云主机需要提供由公网可以访问到的服务且不知道对端的IP地址时，建议使用默认的源地址0.0.0.0/0，再通过配置端口提高网络安全性。 建议将不同公网访问策略的弹性云主机划分到不同的安全组。 说明：源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的弹性云主机。 如何通过扩展网卡绑定的弹性IP访问公网？ 弹性IP绑定扩展网卡后，进入弹性云主机，执行route命令查询路由： route命令如果不清楚可以使用 route help 。 图查看路由信息 执行ifconfig命令查看网卡信息。 图查看网卡信息 配置默认通过扩展网卡访问公网。 a. 执行如下命令删除主网卡默认route。 route del net 0.0.0.0 gw 192.168.0.1 dev eth0 说明：此操作会导致虚拟机流量中断，请谨慎操作，推荐您参考步骤4配置。 b. 执行如下命令配置扩展网卡默认route。 route add default gw 192.168.17.1 按照访问的目标地址配置扩展网卡访问。 配置通过扩展网卡访问某一网段（xx.xx.0.0/16，该网段请按实际情况设置）： route add net xx.xx.0.0 netmask 255.255.0.0 gw 192.168.17.1

操作场景 本节将介绍如何在Linux主机上使用远程桌面协议（RDP）登录到Windows云主机。通过这种方式，您可以使用Linux主机来远程管理和操作Windows云主机的桌面环境。 前提条件 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 操作步骤 如果本地主机为Linux操作系统，您可以使用远程连接工具（例如rdesktop）连接Windows云主机。 1. 打开终端，确保您的Linux主机已经安装了rdesktop工具。您可以执行以下命令来检查是否安装了rdesktop： rdesktop 如果提示"command not found"，表示rdesktop未安装。您可以参考rdesktop工具官方网站获取rdesktop安装包并进行安装。 2. 输入以下命令以登录到Windows云主机。 rdesktop u 用户名 p 密码 g 分辨率 弹性IP地址 将命令中的以下信息替换为实际的值： 用户名：您用于登录Windows云主机的用户名。 密码：您用于登录Windows云主机的密码。 分辨率：您希望设置的远程桌面分辨率，以宽度和高度的形式表示。 弹性IP地址：Windows云主机的弹性IP地址。 例如： rdesktop u administrator p password g 1024720 121.xx.xx.xxx 表1 远程登录命令参数 参数 说明 u 用户名，Windows实例默认用户名是Administrator。 p 登录Windows实例的密码。 f 默认全屏，需要用Ctrl+Alt+Enter 组合键进行全屏模式切换。 g 分辨率，中间用星号连接。可省略，省略后默认为全屏显示。例如：1024720 弹性IP地址 需要远程连接的服务器IP地址。需要替换为您的Windows实例的弹性IP地址。

扩容过程中涉及数据迁移吗？ 扩容过程不涉及数据迁移。 选择和配置安全组 安全组是一种网络安全配置，用于控制云计算平台中虚拟机实例的网络访问。它是一种虚拟防火墙，可以定义入站和出站的网络流量规则，以保护虚拟机实例的安全。Kafka在购买实例页面用户可选择安全组。 是否支持跨Region访问？ 可购买弹性IP，通过公网IP绑定功能实现外网访问，也可通过购买云间高速产品服务进行访问。 Kafka实例是否支持不同的子网？ 支持。相同VPC内可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 Kafka实例的内网连接地址可以修改吗？ 不支持修改，也不支持指定IP地址。 开启公网访问后，在哪查看公网IP地址？ Kafka管理控制台。在实例列表页在操作列，目标实例行点击“设置公网ip”，查看具体地址。 Kafka支持服务端认证客户端吗？ 分布式消息服务Kafka不支持服务端认证客户端。 不同实例中，使用的SSL证书是否一样？ 在Kafka中，每个实例使用的SSL证书通常是不同的。SSL证书是用于加密和验证Kafka实例之间的通信的一种安全机制。每个Kafka实例都需要有自己的证书来确保通信的安全性和身份验证。 SSL证书包括公钥和私钥。公钥用于加密通信，私钥用于解密通信。为了确保安全性，私钥应该是保密的，并且只有Kafka实例才能访问。 在Kafka集群中，每个实例都应该有自己的证书和私钥对。这样可以确保每个实例都有独立的加密和身份验证机制。如果多个实例共享相同的证书和私钥，那么一个实例的私钥可能会被其他实例访问，从而降低了通信的安全性。 因此，为了确保每个Kafka实例之间的通信安全，建议为每个实例生成独立的SSL证书和私钥。这样可以确保每个实例都有独立的加密和身份验证机制，提高整个Kafka集群的安全性。

本文介绍如何通过配置访问控制规则,进行零信任服务的访问控制限制。 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 操作步骤 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择AOne零信任安全访问控制。 3. 在访问控制页面，单击新增。 4. 在新增面板，按照如下表格说明，填写对应字段信息。 字段 字段说明 规则名称 规则的名称，建议使用便于记忆的名称。例如根据使用场景进行命名。 防护状态 支持按钮开启防护状态或者关闭防护。 规则描述 规则的说明。 匹配条件 配置对应的匹配字段、逻辑符、匹配内容。 匹配字段包含：客户端IP、客户端IPS、客户端IPR、客户端端口、目的IPS、目的IPR、目的IP、目的端口、协议、域名、用户、生效时间段(周期性)、地区、设备ID等。 逻辑符为：包含、不包含。 匹配内容为：根据对应匹配字段渲染出来的填写框，支持下拉勾选，填写精确内容等方式。 处置动作 支持对访问进行拦截、监控、丢弃、加白操作。 监控：请求命中访问控制策略后，不对其拦截，仅记录攻击日志。 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意安全防护策略。 拦截：提示由于您企业配置了访问控制策略，您此次的访问不符合访问条件，请确认是否存在非法IP地址、不合规时间或者非法地区访问等情况。 丢弃：拦截后不会响应页面，会减少带宽。

本章节介绍防护的主机切换操作系统,HSS配额是否会发生变化。 不会变化。在切换主机操作系统前，请您先确认企业主机安全服务的Agent是否支持待切换的操作系统。不支持的操作系统，与Agent可能存在兼容性问题，建议您重装或者选择为Agent支持的操作系统版本，以便获得企业主机安全更好的服务体验。 企业主机安全服务的Agent可运行在CentOS、EulerOS等Linux系统以及Windows 2012、Windows 2016等Windows系统的主机上。 注意 已停止服务的Linux系统版本或者Windows系统版本，与Agent可能存在兼容性问题，建议重装或者升级为Agent支持的操作系统版本，以便获得企业主机安全更好的服务体验。 主机安全服务支持的云主机Linux系统、Windows版本如下边三个表所示： 说明 部分操作系统版本下的个别子版本存在不支持的情况，会陆续上线支持，感谢您的理解与支持。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将在之后的版本迭代上线。 Linux系统版本（X86架构） 序号 支持的OS类型 1 CentOS: 7.4，7.5，7.6，7.7，7.8，7.9，8.0，8.1，8.2 and 9 (64bit) 2 Debian: 9，10，11.0.0 and 11.1.0 (64bit) 3 EulerOS: 2.2，2.3，2.5，2.7 and 2.9 (64bit) 4 Fedora: 28 (64bit) 5 OpenSUSE: 15.3 (64bit) 6 Ubuntu: 16，18，20.03，20.04 and 22.04 (64bit) 7 RedHat: 7.4，8.0 and 8.7 (64bit) 8 OpenEuler：20.03 LTS，22.03 SP3 LTS and 22.03 (64bit) 9 AlmaLinux: 9.0 (64bit) 10 Rocky Linux：8.4，8.5 and 9.0 (64bit)

本章节内容主要介绍常见问题中网络安全 文档数据库服务有哪些安全保障措施 文档数据库服务可设置所属虚拟私有云，从而确保实例与其它业务实现网络安全隔离。另外，通过统一身份认证服务，可以实现对文档数据库服务资源的访问权限控制。 为什么在虚拟私有云中使用文档数据库 虚拟私有云允许您在私有、隔离的网络创建虚拟网络环境，从中可以对私有IP地址范围、子网、路由表和网络网关等方面进行控制。借助虚拟私有云，您可以定义虚拟网络拓扑和网络配置，使其非常类似于您在自己的数据中心所操作的传统IP网络。 在下面的情况下您可能想在虚拟私有云中使用文档数据库服务： 您希望运行面向公众的Web应用程序，同时保留公众不可访问的后端服务器。您可以在一个虚拟私有云内同时创建一个文档数据库实例和弹性云主机实例，同时为弹性云主机实例分配公网IP，将Web服务器部署在弹性云主机实例。 如何确保在虚拟私有云中运行的文档数据库的安全 虚拟私有云安全组可用来帮助确保虚拟私有云内文档数据库实例的安全。 此外，通过网络访问控制列表（ACL），可以允许或拒绝进入和退出各个子网的网络流量。内部安全基础设施（包括网络防火墙、入侵检测和防护系统）可以监视通过IPsec虚拟专用网络连接进入或退出虚拟私有云的所有网络流量。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则 弹性公网IP（可选） 若需要通过公网访问RabbitMQ实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP。 实例规格选择说明 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 （1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 （3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 （7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。

功能 说明 天翼云边缘安全加速平台—安全与加速服务提供页面优化功能，配置了页面优化功能后，安全与加速服务会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，从而达到缩小文件体积、提升文件分发效率。此外还可通过文件压缩功能进行有效提升分发效率，详情文件压缩功能参见 支持在客户控制台自助进行html页面的禁止右键操作和禁止复制操作，以防止源站的源码泄露。

检查内网DNS地址与安全组配置 如您未对DNS进行修改，可使用root或Administrator账号登录相应云主机，输入如下命令： ping ces.{项目}.ctyun.cn 二类节点各资源池项目值可通过控制台“我的凭证”查询。 以苏州为例， ping ces.cnjssz1.ctyun.cn 如可正常连通，说明DNS地址正确可正常访问。 如无法连通，请按照如下操作指导进行配置修改。 修改DNS与添加安全组（Linux） 修改DNS与添加安全组（Windows） 如需获取二类节点各资源池内网DNS地址，可通过天翼云提供的内网DNS地址是多少？获取。

功能 云容器引擎 自建Kubernetes 集群管理 通过控制台一键创建集群，支持创建跨AZ高可用的集群 提供容器优化的OS镜像，提供稳定测试和安全加固的Kubernetes和Docker版本 支持多集群管理，支持跨AZ高可用集群，支持集群联邦管理 用户手动部署集群并自行开发 用户自行探索和开发 应用管理 支持灰度发布，支持蓝绿发布 支持应用监控、应用弹性伸缩 内置模板市场，支持Helm应用一键部署；支持服务目录，简化云服务集成 用户自行探索和开发 网络管理 提供针对天翼云优化的高性能VPC/ENI网络插件，性能优于普通网络方案 支持容器访问策略和容器带宽限制 需要挑选社区网络插件进行适配 用户自行探索和开发 存储管理 支持天翼云盘挂载，提供标准的CSI、FlexVolume驱动 支持存储卷自动创建、迁移 用户自行探索和开发 运维管理 支持Kubernetes新版本一键升级，支持集群组件生命周期管理 支持集群手动和自动弹性伸缩 提供高性能日志采集Agent，自动实现日志服务集成 用户手动运维控制面 服务保障 天翼云专业容器团队作为技术支持，为集群提供及时的稳定性和安全响应 需要组建专门团队 安全管理 支持镜像扫描/镜像签名 支持容器运行时安全检测 用户自行构建安全能力

本章节主要介绍如何使用SSL进行安全的TCP/IP连接。 DWS支持SSL标准协议，SSL协议是安全性更高的协议标准，它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证，保证了通信双方更加安全的数据传输。为支持SSL连接方式，DWS已经从CA认证中心申请到正式的服务器、客户端的证书和密钥（假设服务器的私钥为server.key，证书为server.crt，客户端的私钥为client.key，证书为client.crt，CA根证书名称为cacert.pem）。 SSL连接方式的安全性高于普通模式，集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接，从安全性考虑，建议用户在客户端使用SSL连接方式。并且DWS服务器端的证书、私钥以及根证书已经默认配置完成。如果要强制使用SSL连接，需要在集群“安全设置”页面开启“服务器端是否强制使用SSL连接”，操作详情可参见下方“设置SSL连接”章节，客户端和服务器端SSL连接参数组合情况可请见客户端和服务器端SSL连接参数组合情况。 客户端或JDBC/ODBC应用程序使用SSL连接方式，用户必须在客户端或应用程序代码中配置相关的SSL连接参数。DWS管理控制台提供了客户端所需的SSL证书，该SSL证书包含了客户端所需的默认证书、私钥、根证书以及私钥密码加密文件。请将该SSL证书下载到客户端所在的主机上，然后在客户端中指定证书所在的路径，操作详情请参见下方“在gsql客户端配置SSL认证相关的数字证书参数”章节，SSL认证及客户端参数介绍可参见下方“SSL认证方式及客户端参数介绍”章节。 说明 使用默认的证书可能存在安全风险，为了提高系统安全性，强烈建议用户定期更换证书以避免被破解的风险。如果需要更换证书，请联系数据库客服。

本文说明HTTPS请求可支持的范围。 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。 HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 配置证书后，在原来基础上支持HTTPS访问，不影响原有的HTTP访问功能。 想要了解更多HTTPS信息，请参见HTTPS配置和证书配置。

本节为您介绍对象存储迁移优势。 兼容性强 支持国内外主流厂商包括亚马逊S3、阿里云OSS、华为云OBS、腾讯云COS、天翼云ZOS、天翼云OOS和其他遵循标准S3协议的的对象存储服务。 兼容表如下表所示： 兼容情况说明 对象存储兼容 天翼云 对象存储兼容 阿里云 对象存储兼容 华为云 对象存储兼容 腾讯云 对象存储兼容 AWS 对象存储兼容 其他遵循标准S3协议的对象存储服务 灵活易操作 提供自助服务页面进行灵活简单的操作，客户仅需进行简单的配置，即可调整迁移方式、自定义迁移文件、策略和任务管控等功能。 您仅需进行四步简单操作即可完成迁移任务，简易轻松上云；输入对应的源节点和目标节点、平台配置任务、全量迁移、数据校验稽核。 安全性高 数据安全：数据迁移工具在数据安全方面，对口令、连接串数据进行了特殊处理，采用了混合加密结合独特的加密算法，对数据流量进行单独封装保证数据安全性。 传输安全：数据迁移工具在数据传输方面，针对迁移场景，将监控流量和数据传输流量进行区分，同时采用一套专门重连机制避免传输过程中网络中断对迁移任务造成影响。 连接安全：使用HTTPS协议，保证传输过程的连接安全。 存储加密：数据迁移工具可以对迁移后存储在天翼云中的对象数据进行加密，使您的对象数据存储更安全。

本章主要介绍API安全常见问题。 怎样保护API？ 使用身份认证 创建API时，为API调用增加身份认证，如使用IAM认证或API网关提供的APP认证，防止API被恶意调用。 设置访问控制策略 从IP地址（或地址区间）以及帐号等不同维度，设置白名单/黑名单。 将API绑定流控策略，通过流控策略保护API。 API网关默认API流量控制为每秒200次，如果您的后端服务不能支撑单个API 200次/秒的调用请求，可设置流量控制策略，将限额调低。 怎样保证API网关调用后端服务器的安全？ 通过以下方法确保API网关调用后端服务器的安全： 为API绑定签名密钥。 在绑定签名密钥后，API网关到后端服务的请求增加签名信息，后端服务收到请求后计算签名信息，验证计算后的签名信息与API网关的签名信息是否一致。 使用HTTPS对请求进行加密。 需要确保已有相应的SSL证书。 使用后端认证： 您可以对后端服务开启安全认证，只受理携带正确授权信息的API请求。在创建API的定义后端服务阶段，可以开启后端认证。 能否针对VPC通道内的ECS私有IP进行访问控制 不支持。