约束限制 病毒查杀过程中会占用较多的内存、CPU、IO等资源，请在服务器空闲时进行病毒查杀。 快速查杀 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击“快速查杀”，弹出“快速查杀”对话框。 5、根据界面提示，填写“快速查杀”任务相关参数。 任务名称：您可自定义一个任务名称。 选择服务器：选择需要进行快速查杀的服务器。 说明 服务器处于查杀状态中时，不能被选择。 处置策略：选择针对检测到的病毒文件的处理方式。 自动处置：经过云病毒检测中心进一步确认为病毒的病毒文件系统自动进行隔离；未被确认为病毒的可疑文件会被打上“可疑”标签，需人工确认后进行处置。 人工处置：仅对检测到的病毒文件展示告警不自动隔离，需人工确认后进行处置。 6、单击“开始扫描”，启动查杀任务。 全盘查杀 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击“全盘查杀”，弹出“全盘查杀”对话框。 5、根据界面提示，填写“全盘查杀”任务相关参数。 任务名称：您可自定义一个任务名称。 选择服务器：选择需要进行全盘查杀的服务器。 说明 服务器处于查杀状态时，不能被选择。 全盘扫描，不扫描网络目录。 处置策略：选择针对检测到的病毒文件的处理方式。 自动处置：经过云病毒检测中心进一步确认为病毒的病毒文件系统自动进行隔离；未被确认为病毒的可疑文件会被打上“可疑”标签，需人工确认后进行处置。 人工处置：仅对检测到的病毒文件展示告警不自动隔离，需人工确认后进行处置。 6、单击“开始扫描”，启动查杀任务。

本节为您介绍云迁移产品咨询相关问题。 我在什么场景下使用CMS服务？ 当您需要将云下或者其余云服务商的主机迁移上天翼云时，您可以使用CMS服务帮助您有序、安全、便捷、轻松地将数字资产、服务、IT资源及应用程序，部分或完全迁移到天翼云，同时保证云上业务的可用性、安全性以及连续性。 CMS是否支持从阿里云、天翼云等其余云迁移至天翼云？ 支持。 CMS支持市面上主流云厂商迁移至天翼云，如阿里云、天翼云、AWS以及移动云等； 同时也支持将本地云主机迁移至天翼云。通常情况下同处理器架构都可以通过CMS服务迁移上天翼云。 CMS是否支持将天翼云上的云主机，迁移到其余云服务商或本地？ 不支持。 CMS服务迁移目标端仅能够选择天翼云，无法将天翼云弹性云主机迁移到本地或其他云服务商。 当我使用CMS服务时，是否能够要求天翼云技术人员帮助迁移？ 天翼云技术人员不直接参与您的业务迁移，您可以通过查看帮助中心，然后实行迁移； 若帮助中心未涉及您的问题，您可通过页面反馈问题，相关技术人员后续对内容进行补充； 若您需要专业的迁移方案和专属的技术支持，您可以订购我们的迁移服务，帮助您平滑迁移业务，缩短整体业务停机时间，减少上云对业务的影响，解除您的上云顾虑，让您聚焦于业务发展。

本小节介绍传输加密相关的常见问题。 智能选路是如何实现的？ 智能选路采用WebAgent来实现。VPN设备会把多个链路IP上报到WebAgent，客户端设置WebAgent为服务器端，发起VPN连接时，WebAgent会将VPN网关多个链路IP发给客户端，客户端从这些IP下载相同的图片文件，从中选择一个时间最短的IP作为最优的链路地址。 L2TP是二层的，会比SSL VPN更安全吗？ L2TP之所以被称为二层，是因为隧道内的载荷报文是二层的，但是承载报文是UDP的，在这点上是和SSL相似的。但是L2TP本身不具备加密机制，所以L2TP不会比SSL VPN更安全。 既然用了VPDN，用户就会觉得通信链路很安全，为什么还需要VPN加密？ VPDN的线路和手机上网是一样的，数据从手机到基站是用无线编码的，具备一定的保密性，从基站到运营商内部核心网路由器，再从核心网路由器通过专线到客户那里，基本都是IP明文传输。VPDN相比普通用户上网安全性高一些，因为运营商核心网路由器到客户侧是专线，专线数据很难被黑客监听，而手机上网是从运营商核心网路由器直连Internet的。但是，从严格的安全保护角度，VPDN并不能保证从手机到客户都是全程加密的，因此要求在VPND专线的基础上进行SSL加密。 SSL产品支持的算法有哪些？ SSL相关算法：SM2、SM3、RSA、MD5、RSA1024、RSA2048、SHA1、SHA256、DES、3DES、AES、SANGFORDES、SM1、SM4、DH、RC4。 算法用途：身份鉴别、访问控制、审计记录、程序安全、数据传输、密钥管理。 IPSEC相关算法：MD5、SHA1、SM3、DES、3DES、SANGFORDES、SM4。 算法用途：身份鉴别、访问控制、审计记录、程序安全、数据传输、密钥管理。

对等连接产品为您提供灵活快捷的云上多VPC私网互联服务,本文带您了解对等连接的产品优势。 使用灵活，支持同账号、不同账号建连 支持在同一区域内的同一用户不同VPC之间、不同用户VPC之间以及公有云与专属云的VPC之间创建对等连接。 安全可控，自主授权 不同用户之间的VPC创建对等连接时，需要用户提供对端账户名和VPC ID，且需要对端用户接受才可建立连接。 简单易用，配置灵活 天翼云提供Web管理平台，用户可登陆Web页面轻松实现连接创建、路由策略配置。 内网可达，无公网费用 使用对等连接的两个VPC通信时，通过资源池内部网络进行互通，不会绕行公网。

本章节介绍云原生网关管理类常见问题 云原生网关支持哪些服务来源？ 云原生网关当前支持从天翼云Nacos注册中心或者云容器引擎集群发现服务；添加完服务来源之后，可以从Nacos或者云容器引擎指定命名空间中发现服务，配置为网关代理转发的目标服务；网关通过监听指定namespace下的服务，实时动态感知服务节点列表变化，实现网关的动态路由转发能力。 为什么添加服务来源的时候只能看到部分Nacos或者云容器引擎实例？ 云原生网关属于某一个指定的vpc网络，选择Nacos或者云容器引擎作为服务来源时会过滤集群列表，只能选择和当前网关同一vpc下的集群作为服务发现来源。 云原生网关如何支持https访问？ 通过域名管理功能可以配置访问域名，对于有https访问需求的场景，可以配置域名的https证书；通过网关节点的27154端口或者外部ELB的https端口（需要配置转发规则转发到网关的27154端口）访问，实现https加密通信。 路由配置支持哪些匹配规则？ 当前路由支持根据请求的域名、路径、HTTP方法、header、query匹配；路径匹配支持精确匹配和前缀匹配，对于前缀匹配/abc可以匹配请求/abc，/abcd/ef，/abc/def/cc。 一个请求同时匹配到多个路由时，最终会使用哪条路由规则？ uri精确匹配优先级最高；对于多个uri前缀匹配同时命中的情况，匹配深度较高的优先；相同uri的路由，如果存在其他匹配条件，则优先按其他条件匹配；其他条件也都同时匹配的情况下，优先级数字较大的路由优先匹配。

产品优势 多元化接入，同时支持多个网络实例加载，实现云上与云下网络快速组网。 场景四：访问云上多资源 场景说明 云间高速作为中国电信网络的重要骨干节点，为众多企业提供了安全、高效的互联网接入服务。为了满足客户对于多VPC网络互通的业务需求，天翼云推出了绑定云间高速的服务。通过绑定云间高速，客户可以实现与云间高速上加载的多VPC网络互通，从而方便地实现SDWAN（SDWAN入云）、VPN、云专线访问天翼云上多个资源点的需求。 产品优势 多网络实例接入能力，多类型网络实例支持。 场景五：跨区域数据中心云上互通 场景说明 客户多个数据中心可以通过本地云专线接入云间高速网络（云专线不能直连VPC），通过云间高速通道实现跨区域多数据中心，大带宽的互通。解决跨区域互通，配置难，周期长，管理复杂的痛点。 产品优势 基于电信骨干网络快速转发，支持大带宽，安全隔离，快速开通，弹性伸缩。 场景六：企业级复杂组网

本文介绍如何通过云服务监控排查EIP问题。 查看EIP实例监控 通过弹性IP控制台查看 1. 登录弹性IP控制台。 2. 单击控制中心左上角的，选择地域。 3. 找到要查看的弹性IP，操作列点击“更多”，点击“查看监控图表”。 通过云监控服务中心查看 1. 登录云监控服务控制台。 2. 单击控制中心左上角的，选择地域。 3. 在左侧导航栏，单击“云服务监控>弹性IP监控”。 4. 单击“弹性IP”然后在操作列单击“查看监控图表”。 创建阈值报警规则 1. 登录云监控服务控制台。 2. 单击控制中心左上角的，选择地域。 3. 在左侧导航栏，单击“云服务监控>弹性IP监控”。 单击“弹性IP”然后在操作列单击“创建告警规则”。 EIP监控指标 监控指标 说明 入网带宽 该指标用于统计测试对象入云方向单位时间内网络消耗带宽的平均值 出网带宽 该指标用于统计测试对象出云方向单位时间内网络消耗带宽的平均值 入网流量 该指标用于统计测试对象入云方向的网络流量 出网流量 该指标用于统计测试对象出云方向的网络流量 入网带宽使用率 该指标用于统计测试对象入云方向单位时间内消耗的峰值带宽和总带宽的百分比（当最大突发流量小于2秒，可能存在使用率偏小的情况） 出网带宽使用率 该指标用于统计测试对象出云方向单位时间内消耗的峰值带宽和总带宽的百分比（当最大突发流量小于2秒，可能存在使用率偏小的情况） 入方向丢包数 该指标用于统计测试对象入云方向被丢弃数据包的个数 出方向丢包数 该指标用于统计测试对象出云方向被丢弃数据包的个数 入方向丢包率 该指标用于统计测试对象入云方向被丢弃数据包的百分比 出方向丢包率 该指标用于统计测试对象出云方向被丢弃数据包的百分比 注意 出/入方向丢包监控指标、出/入方向带宽使用率，目前对部分资源池开放，请以控制台实际可见为准。 出/入网带宽的统计原始值为一分钟内网络消耗带宽的平均值，如有突发流量，统计值会低于带宽峰值。 出/入网带宽使用率的统计原始值为一分钟内消耗的峰值带宽和总带宽的百分比，如有突发流量，会真实反映突发情况。

本文汇总了使用虚拟私有云产品时常见的使用连接类问题。 VPN支持将两个VPC互连吗？ 如果两个VPC位于同一区域内，可以使用VPC对等连接互连。 如果两个VPC位于不同区域，可以通过VPN连接，分别把这两个VPC的CIDR作为本端子网和远端子网。 弹性云服务器有多个网卡时，为何无法通过域名访问公网网站及云中的内部域名？ 拥有多个网卡的弹性云服务器，如果每个网卡对应的子网中的DNS服务器地址配置不一致时，通过该弹性云服务器将无法访问公网网站或云中的内部域名。 请确保虚拟私有云的多个子网中的DNS服务器地址配置一致。您可以通过以下步骤，修改虚拟私有云子网的DNS服务器。 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏选择“虚拟私有云”。 4. 在虚拟私有云列表中，单击需要修改子网的虚拟私有云名称。 5. 在“子网”列表待修改子网所在行，单击“修改”，根据界面提示修改子网DNS服务器地址。 6. 单击“确定”，完成修改。 对等连接有哪些限制？ 配置对等连接时，不建议两端VPC的网段（CIDR）存在重叠，可能会造成路由冲突，导致配置不生效。 对等连接创建完成后，可以使用“ping”命令检查本端网络是否连通，不支持通过“ping”命令检查对端子网网关是否连通。 如果两个VPC的CIDR有重叠，建立对等连接时，只能针对子网建立对等关系。如果两个VPC下的子网网段有重叠，那么该对等关系可能不生效。建立对等连接时，请确保对等连接两端不包含重叠的子网。 VPC A与VPC B、VPC C分别建立对等连接，如果VPC B和VPC C的网段有重叠，那么VPC A中无法添加具有相同目的网段的路由。 两个VPC之间不能同时建立多个VPC对等连接。 不同区域的VPC不能创建对等连接。 跨租户申请VPC对等连接，需要对端租户接受后，才能生效。同租户申请对等连接默认已接受。 为了安全起见，请不要接受来自未知帐号的对等连接申请。 对等连接双方帐号都有权限删除对等连接，一方删除对等连接后，对等连接的所有信息会被立刻删除，包括对等连接关联的路由信息。 对等连接建立后，需要在本端VPC、对端VPC分别添加对方子网的路由才能通信。 VPC对等连接路由存在时，VPC无法被删除。

本文带您了解NAT网关的功能特性。 使用SNAT主动访问Internet 使用NAT网关的SNAT功能，构建VPC主动访问公网出口，使VPC内没有弹性IP的资源可以直接访问公网，实现云内主机共享使用弹性IP访问Internet。 使用DNAT面向Internet提供服务 使用NAT网关的DNAT端口级转换功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络结构。 可视化运维 结合弹性IP和NAT网关监控，可对出入网流量进行可视化主动运维。及时发现网络瓶颈，保障业务永续服务，让运维更简单。 使用私网NAT网关 SNAT实现指定地址访问IDC 使用私网NAT网关的SNAT功能，可实现云上VPC内计算实例使用统一私网中转IP地址与IDC互访，IDC网络仅需向中转IP地址开放访问权限，无需感知云上VPC内网络地址明细信息。 使用私网NAT网关 DNAT实现使用指定私网地址开放VPC私网服务 使用私网NAT网关的DNAT功能，可实现云上VPC内计算实例使用同一私网中转IP地址开放服务，避免暴露VPC真实地址，实现网络的安全隔离。

本小节介绍云防火墙（原生版）双向访问控制最佳实践。 背景信息 云防火墙（原生版）作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址。 访问互联网业务是否存在限制，是否需要记录上网行为审计。 对外发布业务云主机信息，内网IP及对应公网IP。 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 配置流程 云计算边界扩展针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1. 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》。 2. 访问互联网业务是否存在限制，是否需要记录上网行为审计。 3. 对外发布业务云主机信息，内网IP及对应公网IP。 4. 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 5. 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 6. 是否有WAF/CDN业务访问，提供源站白名单。 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置，登录云墙【网络】→【接口】→【接口配置】。 3 配置基础准备环境 按需配置对象薄、地址薄等信息，登录云墙【对象】→【服务薄】/【地址薄】。 4 配置出向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【源NAT】。 5 配置入向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【目的NAT】。 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】。 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】。 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

本节介绍了无公网IP的弹性云主机访问Internet的操作场景、前提条件、Linux操作系统的代理主机。 操作场景 为保证安全和节省公网IP资源，通常只为特定的弹性云主机配置公网IP，可直接访问Internet，其他弹性云主机只配置私网IP，无法直接访问Internet。因此，当只配置了私网IP的弹性云主机需要访问Internet，执行软件升级、给系统打补丁或者其它需求时，可选择一台绑定了公网IP的弹性云主机作为代理弹性云主机，为其他无公网IP的云主机提供访问通道，正常访问Internet。 说明 优先推荐您使用NAT（NAT Gateway）网关服务。NAT网关能够为VPC内的弹性云主机提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。 前提条件 已拥有一台绑定了公网IP的弹性云主机作为代理弹性云主机。 代理弹性云主机和其他需要访问Internet的弹性云主机均处于同一网段，并且在同一安全组内。 Linux操作系统的代理主机 本节操作中，以代理弹性云主机的操作系统是CentOS 6.5为例。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页，输入代理云主机名称进行搜索。 5. 单击代理弹性云主机的名称，查看详情。 6. 在代理弹性云主机详情页面，选择“弹性网卡”页签，并展开，将“源/目的检查”选项设置为“OFF”。 默认情况下，“源/目的检查”状态为“启用”，系统会检查弹性云主机发送的报文中源IP地址是否正确，否则不允许弹性云主机发送该报文。这有助于防止伪装报文攻击，提升安全性。但在该场景中，这种保护机制会导致报文的发送者无法接收到返回的报文。因此，需设置“源/目的检查”状态为禁用。 7. 登录代理弹性云主机。 详细操作方法请参见Linux弹性云主机登录方式概述。 8. 执行以下命令，检测代理弹性云主机是否可以正常连接Internet。 ping www.baidu.com 回显包含类似如下信息时，表示代理弹性云主机可正常连接Internet。 检测是否可以正常连接Internet 9. 执行以下命令，查看代理弹性云主机的IP转发功能是否开启。 cat /proc/sys/net/ipv4/ipforward − 回显为“0”表示关闭，请执行10。 − 回显为“1”表示开启，请执行16。 10. 执行以下命令，打开IP转发功能配置文件。 vi /etc/sysctl.conf 11. 按“i”，进入编辑模式。 12. 修改如下参数的值。 将参数“net.ipv4.ipforward ”的值修改为“1”。 说明：如果“sysctl.conf”文件中不存在参数“net.ipv4.ipforward ”，执行以下命令进行添加： echo net.ipv4.ipforward1 >> /etc/sysctl.conf 13. 按“Esc”，输入 :wq ，按“Enter”。 保存设置并退出vi编辑器。 14. 执行以下命令，使配置文件修改生效。 sysctl p /etc/sysctl.conf 15. 执行以下命令，清除原有iptables规则。 iptables F 16. 执行以下命令，配置SNAT，使代理弹性云主机所在的网段内其他弹性云主机可通过代理弹性云主机访问Internet。 iptables t nat A POSTROUTING o eth0 s subnet/netmaskbits j SNAT to natinstanceip 假设代理弹性云主机所在的网段为192.168.125.0，子网掩码为24位，私网IP地址为192.168.125.4，则执行如下命令。 iptables t nat A POSTROUTING o eth0 s 192.168.125.0/24 j SNAT to 192.168.125.4 为了确保重启后上述规则不丢失，可以执行vi /etc/rc.local 编辑rc.local 文件，将步骤16中的规则复制到rc.local文件，按“ESC”退出编辑模式，输入“:wq”保存并退出。 17. 执行以下命令，保存iptables的配置并设置开机自启动。 service iptables save chkconfig iptables on 18. 执行以下命令，查看SNAT配置是否成功。 iptables t nat list 回显类似如下图所示时，表示SNAT配置成功。 图 SNAT配置成功 19. 添加自定义路由。 1. 登录管理控制台。 2. 选择“网络 > 虚拟私有云”。 3. 选择需要添加路由表的虚拟私有云，在“路由表”页面，单击“添加路由”。 4. 根据界面提示，填写路由信息。 目的地址：是目的网段，默认是0.0.0.0/0。 下一跳地址：是代理弹性云主机的私有IP地址。 您可以在弹性云主机页面，查看该弹性云主机的私有IP地址。 20. 如需删除添加的iptables规则，需执行以下命令： iptables t nat D POSTROUTING o eth0 s subnet/netmaskbits j SNAT to natinstanceip 假设代理弹性云主机所在的网段为192.168.125.0，子网掩码为24位，私网IP地址为192.168.125.4，则执行如下命令。 iptables t nat D POSTROUTING o eth0 s 192.168.125.0/24 j SNAT to 192.168.125.4

云服务 日志描述 日志 日志生命周期范围 Web应用防火墙（Web Application Firewall，WAF） 攻击日志 wafattack 7~30 天 Web应用防火墙（Web Application Firewall，WAF） 访问日志 wafaccess 7~30 天 态势感知（专业版） 合规基线日志 secmasterbaseline 7~10 天 对象存储服务（Object Storage Service，OBS） 访问日志 obsaccess 7~15 天 入侵防御系统（Intrusion Prevention System，IPS） 攻击日志 nipattack 7~180 天 统一身份认证（Identity and Access Management，IAM） 审计日志 iamaudit 7~180 天 企业主机安全（Host Security Service，HSS） 主机安全告警 hssalarm 7~180 天 企业主机安全（Host Security Service，HSS） 主机漏洞扫描结果 hssvul 7 天 企业主机安全（Host Security Service，HSS） 主机安全日志 hsslog 7~15 天 数据安全中心（Data Security Center，DSC） 告警日志 dscalarm 7~180 天 AntiDDoS流量清洗（AntiDDoS） 攻击日志 ddosattack 7~180 天 数据库安全服务（Database Security Service，DBSS） 告警日志 dbssalarm 7~180 天 云审计服务（Cloud Trace Service，CTS） 云审计服务日志 ctsaudit 7~180 天 云防火墙（Cloud Firewall，CFW） 访问控制日志 cfwblock 7~30 天 云防火墙（Cloud Firewall，CFW） 流量日志 cfwflow 7~15 天 云防火墙（Cloud Firewall，CFW） 攻击事件日志 cfwrisk 7~180 天 API网关（API Gateway） 访问日志 apigaccess 7~180 天

本小节包括配置手机短信登录和配置动态令牌登录。 配置手机短信登录 手机短信是以手机短信形式发送的6位随机数的动态密码，云堡垒机系统支持通过手机短信动态密码对用户登录身份进行认证。配置手机短信认证后，登录系统需同时输入静态密码和6位手机短信动态密码，才能通过身份认证，从而确保系统身份认证的安全性 。 约束限制 系统接发短信频率限制： 1分钟内发送短信不超过1条。 1小时内发送短信不超过5条 。 1天内发送短信不超过15条。 一个登录帐号仅能绑定一个可用手机号码。 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口，系统才能够访问短信网关。 绑定手机号码 用户帐号绑定的手机号码必须有效，可正常接收短信。 方式一：用户绑定个人手机号码 1. 用户通过静态密码方式登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心基本信息管理页面。 3. 单击“编辑”，弹出个人信息编辑窗口。 4. 在“手机”列框，输入有效手机号码。 5. 单击“确定”，绑定手机号码。 方式二：管理员修改用户手机号码 1. 管理员登录云堡垒机系统。 2. 选择“用户 > 用户管理 ”，进入用户列表管理页面。 3. 选择目标用户，单击登录名，进入用户详情页面。 4. 在“基本信息”区域，单击“编辑”，弹出用户基本信息管理窗口。 5. 在“手机”列框，输入新手机号码。 6. 单击“确定”，即修改用户手机号码。

部署策略 您可以通过新建策略组并将策略组快速分发给目标云服务器，云服务器上的Agent将会根据策略组中配置的策略开启相应的检测功能，实现安全检测。 操作须知 开启企业版防护时，默认绑定“企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“旗舰版策略组”。 用户也可以通过复制“旗舰版策略组”的方式，创建自定义策略组，将“旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 创建策略组 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面。 5、复制策略组。 复制linux策略组：选择“tenantlinuxpremiumdefaultpolicygroup”策略组，在该策略组所在行的操作列中，单击“复制”。 复制linux策略组 复制windows策略组：选择“tenantwindowspremiumdefaultpolicygroup”策略组，在该策略组所在行的操作列中，单击“复制”。 复制windows策略组 6、在弹出的对话框中，输入“策略组名称”和“描述”。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 创建策略组 7、单击“确认”，将会创建一个新的策略组。 8、单击已创建的策略组名称，进入策略组的策略页面。 策略组策略 9、单击“策略名称”，修改具体的策略内容，详细信息请参见编辑策略内容。 10、策略内容修改完成后，单击策略所在行的“开启”或者“关闭”并单击右上角 刷新，开启或者关闭对应的策略才会生效。

本节主要介绍怎么添加DNAT规则。 操作场景 公网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对互联网提供服务。 一个云主机的一个端口对应一条DNAT规则，如果您有多个云主机需要为互联网提供服务，则需要创建多条DNAT规则。 操作前提 已成功创建公网NAT网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入公网NAT网关页面。 3. 在公网NAT网关页面，单击需要添加DNAT规则的公网NAT网关名称。 4. 在公网NAT网关详情页面中，单击“DNAT规则”页签。 5. 在DNAT规则页签中，单击“添加DNAT规则”。 6. 根据界面提示，配置添加DNAT规则参数，详情请参见下表。 表 DNAT规则参数说明 参数 说明 使用场景 在使用DNAT为云主机面向公网提供服务场景下，此处选择虚拟私有云。 表示虚拟私有云中的云主机将通过DNAT的方式共享弹性IP，为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。此方式相当于为云主机配置了一个弹性IP， 任何访问该弹性IP的请求都将转发到目标云主机实例上。 具体端口：属于端口映射方式。 公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标云主机实例的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。 端口类型为具体端口时，可配置此参数，端口类型为所有端口时，此参数默认设置为All。 弹性IP 弹性IP地址。 这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，有效数值为165535。 私网IP 在使用DNAT为云主机面向公网提供服务场景下，指云主机的IP地址， 表示此IP地址的云主机将通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，有效数值为165535。 描述 DNAT规则信息描述。最大支持255个字符。 7. 配置完成后，单击“确定”，完成“DNAT规则”创建。 说明 配置DNAT规则后，需在对应的云主机中放通对应的安全组规则，否则DNAT规则不能生效。

步骤二：创建部署OpenClaw的云主机 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在控制中心选择【弹性云主机】，点击进入云主机列表。 4. 点击【创建云主机】进入云主机创建页，根据页面提示填写配置参数。创建云主机的详细参数请参考 ++创建弹性云主机++。创建本示例所规划的云主机部分参数： 参数名称 参数值 基础配置 计费模式 按量付费 地域 华东 华东1 可用区 随机分配 虚拟私有云 VPC1 云主机名称 云主机1 规格分类 经济型 规格名称 e.large.1 镜像类型 云镜像市场 镜像 OpenClawv2026.3.13Ubuntu24.04 网络配置 网卡 子网选择：子网1 勾选“手动指定内网IPv4地址” 填写10.0.1.11 安全组 DefaultSecurityGroup 弹性IP 不使用 5. 参照以上步骤，完成云主机2和云主机3的创建。 步骤三：创建共享带宽 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在控制中心选择【共享带宽】，点击进入控制台列表页。 4. 点击【购买共享带宽】按钮，进入创建页。 5. 根据页面提示填写配置参数，完成创建。配置参数如下： 参数名称 参数值 地域 华东 华东1 名称 带宽1 线路类型 单线 运营商 中国电信 付费方式 按量付费 计费方式 按带宽计费 带宽 10Mbps 企业项目 default

为什么IPsec连接状态为“第二阶段协商成功”，能ping通但业务访问不通或部分端口号访问不通？ 原因： VPC应用的安全组规则或本地数据中心应用的访问控制策略未放行对应的IP地址、协议类型和端口号。 解决方案： 请按照以下操作排查相关配置： 排查VPC应用的安全组规则。确保安全组规则已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。 排查本地数据中心应用的访问控制策略。确保访问控制策略已放行本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号。 如果本地数据中心侧有业务策略、域名解析等配置建议一并排查。确保本地数据中心和VPC之间需要互通的IP地址、协议类型和端口号已放行。 如何解决VPN连接无法建立连接的问题？ 1. 检查云上VPN连接中的IKE策略和IPsec策略是否与远端配置一致。 如果第一阶段IKE策略未建立，常见原因为云上IKE策略与数据中心远端的配置不一致。 如果第一阶段IKE策略已经建立，第二阶段的IPsec策略未开启，常见原因为云上IPsec策略与数据中心远端的配置不一致。 2. 检查ACL是否配置正确。 假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，则您在数据中心或局域网中配置的ACL，应匹配数据中心子网和VPC内子网一一对应的通信规则，如下所示： rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 3. 配置完成后检查IPsec VPN是否可以连接，ping测试两端内网是否正常通信。

本章节介绍如何创建一个Eureka引擎实例 概述 Eureka是一个Java体系的服务发现组件，用于实现服务的自动注册与发现即客户端完成微服务项Eureka注册，采用心跳续约策略，而服务端作为注册中心，通过接受心跳保持服务健康状态。本文将介绍如何创建一个Eureka引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”，推荐您开通集群版，以保障实例的高可用性； 引擎类型：若您需要开通Eureka引擎，则选中“Eureka”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本文将向您介绍创建终端节点服务的步骤,以便您根据实际需求进行操作。 操作场景 终端节点服务是将云服务或用户私有服务配置为VPC终端节点支持的服务。目前支持"接口"类型的终端节点服务的创建。 约束及限制 单个VPC可以创建终端节点服务实例数为20个。 单个终端节点服务可连接终端节点实例数为500个。 单个终端节点只能连接1个终端服务节点实例。 前提条件 在同一VPC内已创建了后端资源。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”，点击“创建终端节点服务”。 5. 在“创建终端节点服务”页面根据“接口型”终端节点服务配置说明配置参数，点击“确定”完成创建。 “接口型”终端节点服务配置说明 参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 IP地址类型 服务IP地址类型，IPV4：仅自持IPV4类型终端节点连接，实现IPV4地址私网访问服务，双栈：支持IPV4和IPV6类型终端节点连接，实现IPV4和IPV6地址的私网访问服务。选择双栈类型时，挂载的后端服务资源池必须也是双栈类型资源。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 服务计费 是否开启服务计费，可选择“是”或“否”。 默认连接服务的终端节点费用有终端节点创建账户支付，如服务开启服务计费后，则连接服务的终端节点费用将由服务所在账户支付，功能仅创建时指定，服务创建后不可修改。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过"终端端口 → 服务端口"的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：适用于需要主备高可靠的业务。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的添加安全组规则。 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

自定义网络ACL 假设您需要指定子网内的某个弹性云服务器做Web服务器，您需要在入方向需要放通HTTP 80和HTTPS 443端口，出方向全部放通。当您启用网络ACL时防护时，需要配置相应的网络ACL规则。 方向 动作 协议 源地址 源端口范围 目的地址 目的端口范围 说明 :::::::: 入方向 允许 TCP 0.0.0.0/0 165535 0.0.0.0/0 80 允许所有IP地址通过HTTP协议入站访问子网内的弹性云服务器的80端口。 入方向 允许 TCP 0.0.0.0/0 165535 0.0.0.0/0 443 允许所有IP地址通过HTTPS协议入站访问子网内的弹性云服务器的443端口。 出方向 允许 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 允许子网内所有出站流量的数据报文通过。 网络ACL相当于一个额外的保护层，如果您的安全组规则配置不当，网络ACL规则也仅允许HTTP 80和HTTPS 443的访问，拒绝其他的入站访问流量。 注意 对于地域资源池来说，无论是入方向规则还是出方向规则，请确保每个方向都存在允许响应流量出入的规则。 临时端口 不同类型的客户端发起请求时使用的端口不同，您需要根据自己使用的或作为通信目标的客户端的类型为网络ACL使用不同的端口范围。常用客户端的临时端口范围如下。 客户端 端口范围 Linux 3276861000 Windows Server 2003 10255000 Windows Server 2008及更高版本 4915265535

本文带您了解NAT网关的功能特性。 使用SNAT主动访问Internet 使用NAT网关的SNAT功能，构建VPC主动访问公网出口，使VPC内没有弹性IP的资源可以直接访问公网，实现云内主机共享使用弹性IP访问Internet。 使用DNAT面向Internet提供服务 使用NAT网关的DNAT端口级转换功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络结构。 可视化运维 结合弹性IP和NAT网关监控，可对出入网流量进行可视化主动运维。及时发现网络瓶颈，保障业务永续服务，让运维更简单。 使用私网NAT网关 SNAT实现指定地址访问IDC 使用私网NAT网关的SNAT功能，可实现云上VPC内计算实例使用统一私网中转IP地址与IDC互访，IDC网络仅需向中转IP地址开放访问权限，无需感知云上VPC内网络地址明细信息。 使用私网NAT网关 DNAT实现使用指定私网地址开放VPC私网服务 使用私网NAT网关的DNAT功能，可实现云上VPC内计算实例使用同一私网中转IP地址开放服务，避免暴露VPC真实地址，实现网络的安全隔离。

支持的数据库版本 说明 不支持从高版本同步到低版本。 数据库版本信息 同步方向 数据流向 源数据库版本 目标数据库版本 入云 MySQL>MySQL MySQL 5.5.x MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x 入云 MySQL>DWS MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x 以现网版本为准 入云 MySQL>GaussDB(for MySQL) MySQL 5.5.x MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x GaussDB(for MySQL)MySQL 8.0 入云 PostgreSQL>PostgreSQL PostgreSQL 9.4.x PostgreSQL 9.5.x PostgreSQL 9.6.x PostgreSQL 10.x PostgreSQL 11.x PostgreSQL 12.x PostgreSQL 13.x PostgreSQL 14.x PostgreSQL 9.5.x PostgreSQL 9.6.x PostgreSQL 10.x PostgreSQL 11.x PostgreSQL 12.x PostgreSQL 13.x PostgreSQL 14.x 入云 DRDS>MySQL 以现网版本为准 MySQL 5.6.x MySQL 5.7.x 入云 DRDS>DRDS 以现网版本为准 以现网版本为准 入云 Oracle>DWS Oracle 10g Oracle 11g Oracle 12c Oracle 18C Oracle 19C 以现网版本为准 入云 Oracle>PostgreSQL Oracle 10g Oracle 11g Oracle 12c Oracle 18C Oracle 19C PostgreSQL 9.5.x PostgreSQL 9.6.x PostgreSQL 10.x PostgreSQL 11.x PostgreSQL 12.x 入云 Oracle> MySQL Oracle 10g Oracle 11g Oracle 12c Oracle 18C Oracle 19C MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x 入云 Oracle>GaussDB(for MySQL) Oracle 10g Oracle 11g Oracle 12c Oracle 18c Oracle 19c GaussDB(for MySQL)MySQL 8.0 入云 Oracle>DRDS Oracle 10g Oracle 11g Oracle 12c Oracle 18c Oracle 19c 以现网版本为准 出云 MySQL>MySQL MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x 出云 DRDS>MySQL 以现网版本为准 MySQL 5.6.x MySQL 5.7.x 自建自建 Oracle>Kafka Oracle 10g Oracle 11g Oracle 12c Oracle 18C Oracle 19C Kafka 0.11及以上版本 自建自建 MySQL>Kafka MySQL 5.5.x MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x Kafka 0.11及以上版本

本文带您了解如何使用云服务监控。 操作场景 云监控会自动获取您当前账号下云产品的资源并关联相应监测指标，帮助您实时了解云产品的性能指标，及时掌握各项资源的运行状态。 注意 重要信息：因产品升级迭代，自 2025 年 08 月 13 日 00:00:00起，新用户在云监控>云服务监控中不再提供“云容器引擎”（ccse）监控能力，存量已开通云容器引擎实例资源将可继续使用云监控服务监控告警能力。为保证您的服务稳定，建议您统一使用云容器引擎控制台监控告警服务！ 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成云产品的订购。 查看监控数据 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“云服务监控”下拉菜单，选择“云硬盘监控”、“弹性伸缩监控”或“负载均衡监控”等选项，进入对应云产品的监控页面，本文我们选择云硬盘监控。 5. 单击待查看的云服务资源所在行的“查看监控图表”，可查看该云产品中指定资源的监控图表。 6. 云监控支持近两天实时监控数据的导出。在云产品监控页面的右上角，单击“导出监控数据”按钮，添加需要导出的监控项，单击“确定”按钮，可导出数据。

本文为您介绍启用安全引流服务的操作步骤。 操作场景 用户选择需要引流的智能网关实例，并开启安全引流。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经开通安全引流业务。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，单击“添加智能网关”。 5. 选择需要引流的智能网关实例。 6. 单击“确定”，完成添加目标智能网关实例。 7. 添加成功后，单击“操作”列的“开启安全引流”，即可为该智能网关实例启用安全引流服务。

安全专区产品按等保级别订制4个套餐型号销售，本小节介绍安全专区套餐功能计费说明。 安全专区产品按等保级别订制4个套餐型号销售，套餐功能特性及安全组件规格如下： 等保级别 套餐型号 套餐安全功能特性 可选安全组件及规格 二级等保 入门版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 二级等保 入门版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 二级等保 入门版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 二级等保 入门版 安全管理中心 二级等保 基础版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 二级等保 基础版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 二级等保 基础版 终端安全EDR（防病毒/补丁/基线/微隔离） 终端安全EDR：实际资产数 二级等保 基础版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 二级等保 基础版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 二级等保 基础版 安全管理中心 三级等保 高级版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 三级等保 高级版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 三级等保 高级版 终端安全EDR（防病毒/补丁/基线/微隔离） 终端安全EDR：实际资产数 三级等保 高级版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 三级等保 高级版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 三级等保 高级版 安全管理中心 三级等保 高级版 云数据库审计 云数据库审计：100M/200M/400M/600M 三级等保 旗舰版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 三级等保 旗舰版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 三级等保 旗舰版 终端安全EDR（防病毒/补丁/基线微隔离） 终端安全EDR：实际资产数 三级等保 旗舰版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 三级等保 旗舰版 主机漏扫 安全管理中心高级版：10/20/50/100/200/300/500资产 三级等保 旗舰版 应用漏扫 三级等保 旗舰版 安全管理中心 三级等保 旗舰版 云数据库审计 云数据库审计：100M/200M/400M/600M 安全专区根据等保等级要求配置所需的安全能力，不同套餐包含的安全组件参见上表，其中云防火墙及云数据库审计组件按应用吞吐量授权，安全管理中心、云日志审计、云堡垒机、终端安全EDR组件按资产数量授权。 用户在选定套餐后，根据业务的资产数及需求量选定组件规格。

参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同。 IPv4地址：创建只读实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 IPv6地址：选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。创建只读实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 内网安全组 和主实例相同。

您可以采用SSH、VNC方式登录Linux弹性云主机,本文介绍其操作流程。 只有运行中的弹性云主机才允许用户登录，登录Linux弹性云主机的方式有：SSH方式登录、VNC方式登录。 SSH方式登录：仅适用于Linux弹性云主机。包括密码方式和密钥方式两种，您可以使用远程登录工具（例如PuTTY），登录弹性云主机。此时，需要该弹性云主机绑定弹性IP。 VNC方式登录：未绑定弹性IP的弹性云主机可通过控制中心提供的远程登录方式直接登录。 说明 首次登录使用用户名可以设置为root或ecsuser。root和ecsuser说明如下： root： root用户为Linux系统的超级用户，在系统安装时默认创建，拥有操作系统的所有权限，不可被删除。 ecsuser(推荐)： ecsuser用户为Linux系统的一个普通用户， 没有系统级的权限，只能执行被授权的操作，若涉及系统敏感的操作需要通过sudo命令临时获得root权限执行操作。比如：使用systemctl命令重启服务，使用mount命令挂载磁盘设备等，需要在命令前加入sudo进行提权。 使用root用户登录可能会导致云主机安全风险，基于云主机安全考虑，我们建议您创建云主机时选择“立即创建”，并设置ecsuser作为初始登录用户；若您在创建云主机时选择稍后创建，则默认会使用root用户登录云主机。 密钥对方式登录 前提条件 1. 已获取该弹性云主机的密钥文件，获取方式参见通过管理控制中心创建密钥对； 2. 弹性云主机已经绑定弹性IP； 3. 已配置安全组入方向的访问规则。例如，默认的22端口没有被防火墙屏蔽； 4. 使用的登录工具（如PuTTY）与待登录的弹性云主机之间网络连通。

实践 描述 防火墙作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用防火墙SSL VPN服务，该服务需单独配置。

“云通信产品”（简称“本产品”）由天翼云科技有限公司（简称“我们”）创建和运营，我们的注册地址为：北京市东城区青龙胡同甲1号、3号2幢2层20532室。为方便用户（简称“您”）使用本产品的服务，我们可能会处理您的相关数据和个人信息（统称“信息”或“用户信息”）。我们将通过《云通信产品隐私政策》（简称“本隐私政策”）向您说明我们如何处理您的个人信息，请您在注册和使用本产品之前认真阅读、充分理解本隐私政策，尤其是划线和加粗的内容。如果您对本隐私政策有疑问的，请通过本隐私政策约定的方式询问，我们将向您解释本隐私政策内容。 云通信产品隐私政策声明 版本生效日期：20220223 “云通信产品”（简称“本产品”）由天翼云科技有限公司（简称“我们”）创建和运营，我们的注册地址为：北京市东城区青龙胡同甲1号、3号2幢2层20532室。为方便用户（简称“您”）使用本产品的服务，我们可能会处理您的相关数据和个人信息（统称“信息”或“用户信息”）。我们将通过《云通信产品隐私政策》（简称“本隐私政策”）向您说明我们如何处理您的个人信息，请您在注册和使用本产品之前认真阅读、充分理解本隐私政策，尤其是划线和加粗的内容。如果您对本隐私政策有疑问的，请通过本隐私政策约定的方式询问，我们将向您解释本隐私政策内容。 如您为未满18周岁的未成年人，请在法定监护人陪同下阅读本协议，并特别注意未成年人使用条款。 定义： 本隐私政策中涉及的个人信息，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 本隐私政策中涉及的个人敏感信息，主要是涉及在自助订购时的交易信息及财产信息。此类信息经过组合、关联和分析后可能产生高敏感程度的信息，遭到未经授权的查看或未经授权的变更，会对个人信息安全与财产安全造成严重危害。 本政策将帮助您了解以下内容： 一、隐私政策适用范围 二、我们如何收集和使用您的个人信息 三、信息使用 四、信息存储 五、信息共享、转移、公开披露 六、信息保护 七、信息管理 八、我们如何保护未成年人的信息 九、隐私政策的修订 十、联系方式 一、隐私政策的适用范围 本隐私政策适用于我们为您提供的短信服务。需要特别说明的是，本协议不适用于第三方向您提供的服务或产品。 二、个人信息的收集 短信业务功能的运行需要您向我们提供或允许我们收集以下信息，我们仅会出于本政策所述的以下目的，收集和使用您的个人信息，收集过程中我们将遵循合法、正当、必要、最小化的原则。 我们的角色：我们是您的数据的控制者。我们知道您关心如何使用和分享您的数据，同时我们感谢您的信任，我们将谨慎且理智地做到这一点。 2.1短信订购 为了能让您使用短信订购功能，我们将在你进行交易时记录您的交易信息（包括订单号、资源ID、订单创建时间、支付总金额、支付金额、支付状态、支付时间）及财产信息（包括优惠券ID）。如果不提供前述信息，可能无法使用本产品。 2.2操作日志 为了能让您使用操作日志功能，我们将在你进行短信操作时记录您的操作任务、资源名称、资源ID、操作时间、操作用户、地域。如果不提供前述信息，可能无法使用本产品。 2.3随着短信业务功能进一步丰富，后续新增功能如涉及获取用户授权权限时，我们将明确提示并在您授权同意后才会获取该功能所需权限。如未取得您的授权，我们将不会收集和使用相关信息。 2.4您充分知晓，以下情形中，我们收集、使用个人信息无需征得您的授权同意： • 为订立、履行个人作为一方当事人的合同所必需； • 为履行法定职责或者法定义务所必需； • 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需； • 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息； • 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息； • 法律、行政法规规定的其他情形。 三、信息使用 3.1 为更好地向您提供服务，在严格按照法律法规遵循必要性原则基础上，我们将收集的信息用于以下目的和用途： （1）为您提供服务，包括但不限于应您的要求进行账号管理、变更；以及提供技术支持和客户服务； （2）开展内部审计、研究和分析，改善本平台和产品服务； （3）遵从和执行适用的法律法规要求，相关的行业标准或我们的政策； （4）其他为向您提供服务而需要使用您用户信息的情形。 四、信息存储 4.1 短信产品收集有关您的信息将保存在中华人民共和国境内（为本隐私政策之目的，不含香港、澳门、台湾地区）的服务器上。 4.2 对于所收集的信息，我们将在法律规定的最短期限内保存。在您的信息已经不再需要用于实现本隐私政策规定的目的和用途，也无需根据相关法律法规的规定保存时，我们将采取合理步骤以安全的方式销毁个人信息或使进行匿名化处理使其不可识别并不可被再次编辑、修改、使用。 4.3 当您自主删除个人信息或注销账户，我们将按照法律、法规规定的最短期限保留您的现有个人信息，在法律法规要求的最短保存期限内，我们将不再对您的个人信息进行商业化使用。当您的个人信息超出上述保存期限，我们将会对其进行删除或者匿名化处理。 五、信息共享、转移、公开披露 5.1 共享 未经您事先同意，我们不会与任何第三方共享您的信息，但以下情形除外： （1）在获取明确同意的情况下共享：经您事先明确同意，我们会与其他方共享您的信息； （2）根据相关法律法规的规定，或者行政、司法机关的要求，向行政以及司法机关披露您的信息； （3）对我们与之共享您的信息的组织和个人，我们会与其签署严格的保密协定，要求他们按照我们的说明、本隐私政策以及其他任何相关的保密和安全措施来处理您的信息。 5.2 转移 我们不会将您的个人信息转移给任何公司、组织和个人，但以下情况除外： （1）在获取明确同意的情况下转让：获得您的明确同意后，我们会向其他方转移您的个人信息； （2）在涉及合并、收购或破产清算时，如涉及到个人信息转让，我们会要求新的持有您的信息的公司、组织继续受此隐私政策的约束，否则我们将要求该公司、组织重新向您征求授权同意。 5.3 公开披露 我们仅会在以下情况下，公开披露您的个人信息： （1）获得您明确同意后； （2）基于法律的披露：在法律、法律程序、诉讼或政府主管部门强制性要求的情况下，我们可能会公开披露您的个人信息。 六、信息保护 6.1 我们对用户信息的保护 我们非常重视您的信息安全。我们采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。 例如，我们会使用混合加密技术提高信息的保密性；我们会使用受信赖的保护机制防止您的信息遭到恶意攻击；我们会部署访问控制机制，确保只有授权人员才可访问用户信息；我们会举办安全和培训，加强员工对于保护用户信息重要性的认识。 但请您理解，由于技术的限制以及可能存在的各种恶意手段，在互联网环境下，即便竭尽所能加强安全措施，也不可能始终保证信息百分之百的安全。若不幸发生信息泄露等安全事件，我们会立即启动应急预案，阻止事件扩大，及时采取补救措施，并推送通知、公告等多种形式告知您。 6.2 用户对信息的保管 尽管有前述安全措施，但请您妥善保管您的账户、密码及其他信息，避免您的个人信息泄露。如果您发现您的账号、密码或其他信息被他人非法使用或有使 用异常的情况的，应及时通知我们，我们将采取相应安全保障措施。 七、 信息管理 由于云通信产品不具备对用户信息进行管理功能，您需要使用天翼云官网对您的个人信息进行管理。 7.1 查询 您可以在天翼云APP我的账户管理模块查询、管理您向我们提交的基本信息，或者登录天翼云门户官网（ 7.2 变更或者修正错误信息 您可以登录天翼云APP，在我的账户管理模块修改您的个人资料，或者登录天翼云门户官网的管理中心进行修改；如果您要变更实名认证信息，您可以通过在天翼云门户提交工单、联系业务受理渠道等方式要求我们对相关信息予以更正。验证身份和权限后，我们将会在5个工作日内为您完成实名认证信息变更。 7.3 删除 若您发现我们未按照法律法规的规定或者本隐私政策约定收集和使用您的信息，您可以通过工单、邮件等方式联系我们对相关信息（包含副本、数据备份）进行删除。验证身份和权限后，我们将会在5个工作日内为您完成信息删除。 7.4 改变或撤回您的授权信息 对于您已经授权同意我们收集和使用的终端设备权限信息，您可以通过在终端设备进行设置、改变或撤回您的授权同意；您改变或撤回授权同意后，可能无法使用相应的功能服务。 7.5 注销账户 您可以登录天翼云门户，在天翼云门户官网个人中心基本信息页面进行账户注销，或天翼云APP管理工具账户注销中提请工单要求注销账户。 在您仔细阅读《天翼云账号注销条款》（ 7.6 个人信息副本获取权 如您需要您的个人信息的副本，您可以通过本隐私政策文末提供的方式联系我们，在核实您的身份后，我们将向您提供您在我们的服务中的个人信息副本（包括基本资料、身份信息），但法律法规另有规定的或本政策另有约定的除外。 7.7为保障安全，您申请查询、变更、删除您的信息或注销账户时，可能需要提供书面请求，或以其他方式证明您的身份。我们可能会先要求您验证自己的身份，然后再处理您的请求。 7.8 如果我们停止运营某一产品或者服务，我们将及时停止收集和使用该产品或服务所需的您的信息，同时将停止运营的通知通过天翼云门户进行发布，同时以短信、电话、邮件、站内信、APP消息推送等渠道告知您。对于该产品或服务运营期间已经收集的您的个人信息，我们将依法保存，并在保存期限届满后进行匿名化处理或删除。 7.9 如果我们发生合并、分立、收购、重组等变更，会将变更信息通过天翼云门户进行发布。变更后我们会继续履行信息保护的责任和义务，如果信息使用目的有所变化，我们将明确提示并在您授权同意后才会获取权限，如未取得您的授权，我们将不会收集和使用相关信息。 7.10 尽管有上述约定，但按照法律法规要求，在以下情形下，我们可能无法响应您的请求： （1）与国家安全、国防安全有关的； （2）与公共安全、公共卫生、重大公共利益相关的； （3）与犯罪侦查、起诉和审判等有关的； （4）有充分证据表明您存在主观恶意或滥用权利的； （5）响应您的请求将导致其他个人、组织的合法权益受到严重损害的。 7.11如您需要将您的个人信息转移至您指定的其他个人信息处理者，您可以随时联系我们。在符合相关法律规定且技术可行的前提下的，我们将根据您的要求向您提供转移的途径。 八、我们如何保护未成年人的信息 8.1 我们期望父母或监护人指导未成年人使用我们的服务。我们将根据国家相关法律法规的规定保护未成年人的信息的保密性及安全性。 8.2 如您为未成年人，建议请您的父母或监护人阅读本政策，并在征得您父母或监护人同意的前提下使用我们的服务或向我们提供您的信息。对于经父母或监护人同意而收集您的信息的情况，我们只会在受到法律允许、父母或监护人明确同意或者保护您的权益所必要的情况下使用或公开披露此信息。如您的监护人不同意您按照本政策使用我们的服务或向我们提供信息，请您立即终止使用我们的服务并及时通知我们，以便我们采取相应的措施。 8.3 如您为未成年人的父母或监护人，当您对您所监护的未成年人的信息处理存在疑问时，请通过上文中的联系方式联系我们。 九、隐私政策的修订 9.1 基于为您提供更好的服务的目的，并根据电信业务的发展或法律法规及监督政策变化的要求，我们可能会适时修订本隐私政策，对于本隐私政策的重大改动，我们会请您重新授权同意。 十、联系方式 10.1 如您对本隐私政策或您个人信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云门户端的在线客服、在线反馈留言、拨打我们的客服电话 4008109889 等多种方式与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn，与短信产品的个人信息保护负责人进一步沟通。 10.2 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过15个工作日做出答复。

本节为您介绍什么是智算安全专区及支持的功能。 什么是智算安全专区 智算安全专区是为云上智算基础设施构建的一站式安全防护平台，提供从开发、训练、部署到运营的全生命周期的智算安全解决方案。 功能特性 大模型安全卫士 内容检测三道防线 大模型安全卫士采用了三层内容检测防线：敏感词匹配、语义分析和模型推理。 敏感词匹配能够快速识别常规违规内容。 语义分析则能够处理更复杂的语义绕过问题。 模型推理则针对高级攻击手段，如藏头诗、谐音梗等进行检测。 语料输入安全 语料安全网关代理rag业务系统请求，解析文件进行内容检测。保障语料库及生成内容的安全性、合规性，防止恶意攻击（如数据投毒、提示注入）、敏感信息泄露及生成有害内容。 敏感信息脱敏 代理rag业务系统请求，解析文件发现敏感内容进行数据脱敏。

参数 参数类型 说明 示例 下级对象 DeviceEnabled Integer 设备是否启用。取值：0：停用； 1：启用。 1 DirId String 设备所属目录ID。 600001 ParentDeviceId String 上级设备ID。 32388487739092996 DeviceId String 设备ID。 32388487739092995 DeviceType String 设备类型。取值：ipc，nvr，platform。 nvr DeviceVendor String 设备厂商。取值：海康，大华，宇视，金三立，华为，科达，其他。 海康 DeviceName String 设备名称。 摄像头 DeviceLocalName String 设备本地侧名称。 摄像头 DeviceIp String 设备ip。 192.168.0.1 DevicePort Integer 设备端口。 8000 DeviceMac String 设备mac地址。 0016EAAE3C40 DeviceSerialNumber String 设备sn码，仅ipc设备及nvr通道有效。 xxx DeviceModel String 设备型号。 xxx DeviceLongitude String 设备经度。 11.11 DeviceLatitude String 设备纬度。 11.11 DevicePoleId String 设备杆号。 xxx InOrgRegion Integer 设备中心编码（8位），按照设备安装所在地的行政区划代码确定，当不是基层单位时空余位为0。行政区划代码采用GB/T 22602007规定的行政区划代码表示。 35010200 InOrgRegionLevel Integer 设备中心编码级别。 3 DeviceIndustryCode String 设备所属行业编码。 08 DeviceNetworkCode String 设备所属网络标识。取值：0、1、2、3、4：监控报警专网；5：公安信息网；6：政务网；7：Internet网；8：社会资源接入网。 7 AutoCreateChannel Boolean 是否自动创建子设备。 true DeviceChannelSize Integer 设备通道数量。 3 DeviceChannelNum Integer 通道号。 1 Description String 设备描述。 描述 DeviceDir Object 设备目录信息。 DeviceDir DeviceStats Object 设备统计信息。 DeviceStats 表 DeviceDir

本章节介绍API审计日志功能 概述 API审计日志功能通常用于记录和跟踪用户在操作服务网格控制台时产生的写行为，便于管理者对控制台的行为进行追溯。审计日志内容主要记录了执行时间、操作类型、操作结果状态以及操作人等关键信息。同时，用户可以通过执行时间、操作人以及业务类型等多种条件进行数据筛选和查看。 操作 在控制台>网格安全中心> 审计日志菜单下，即可看到相关的日志信息，如下图：