本文介绍镜像服务的产品优势。 快速部署 相比于传统的手工部署方式，利用包含应用的镜像可实现相同应用的弹性云主机批量快速部署。 方式比较项 镜像部署 手动部署 部署时长 3分钟 5分钟 1天 2天 部署过程 镜像里面已经包含了应用依赖的操作系统，运行环境以及预装的组件，因此使用镜像创建实例能够实现客户业务系统的快速部署。 选择合适的操作系统、数据库、应用软件、插件等，并需要安装和调试。 安全性 除私有镜像和共享镜像需要用户自行判断，其他公共镜像、安全产品镜像、应用镜像都经过天翼云测试和审核。 依赖开发部署人员的水平。 适用情况 公共镜像：正版操作系统，包含天翼云提供的初始化组件。 私有镜像：快速创建跟已有云主机相同软件环境，或进行环境备份。 共享镜像：快速创建跟其他用户已有云主机相同软件环境。 安全产品镜像：快速创建带有安全组件的云主机。 应用镜像：快速创建预装应用与工具的云主机。 完全自行配置，无基础设置。 安全可靠 公共镜像均经过天翼云的安全测试与审核，安全可靠。 公共镜像覆盖Windows、Ubuntu、CentOS等多款主流操作系统，皆经过严格测试，能够保证镜像安全、稳定。 镜像文件后端采用了冗余的方式存储，保证了高可用性。

托管检测与响应服务（原生版）企业版购买须知、服务内容及操作步骤说明。 购买须知 企业版提供安全托管服务，当前针对开通云等保专区、安全专区及托管服务组件的用户提供，请您提前配置相关安全产品。 购买服务后，我们的安全服务工程师将会联系您，并在整个服务周期内与您保持沟通。 一个账号仅支持购买一个企业版实例。 服务内容 1. 持续监控安全产品（WAF、云防火墙、主机安全）事件。 2. 提供漏洞感知，监控云主机、应用、服务脆弱性。 3. 提供威胁情报，持续检测恶意IP、恶意域名、APT攻击等。 4. 提供应急响应支撑，应对突发安全事件。 5. 提供安全评估，评估云上资产整体安全状况，提供评估报告。 6. 不支持退订操作。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击企业版“立即购买”按钮，跳转到企业版订购页面。 3. 在“产品配置”模块配置“托管云主机数”，根据客户需要托管的云主机台数，选择对应的数量。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

本小节介绍安全专区安全策略配置方法。 开启云防火墙防护功能，在【策略】→【安全策略】→【安全防护策略】，新增业务防护策略。 源 源区域：选择“L3untrustA”； 网络对象：勾选全部。 目的 目的区域/接口：选择“L3untrustA”； 网络对象：勾选业务云主机对象。 按窗口提示点击【下一步】，过程参见以下截图。 安全防护策略请跟据实际业务进行设置调整，详细参考 《天翼云安全专区云防火墙用户使用指南》 。

本章节为您介绍云审计支持哪些关键操作 云审计服务（Cloud Trace Service，简称CTS），是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后，系统开始记录云堡垒机实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。 操作名称 资源类型 事件名称 启动堡垒机实例 cbh StartInstance 关闭堡垒机实例 cbh StopInstance 重启堡垒机实例 cbh RebootInstance 升级堡垒机实例 cbh UpgradeInstance 回退升级的堡垒机实例 cbh RollbackInstance 重置堡垒机实例admin密码 cbh ResetInstancePassword 重置堡垒机实例admin登录方式 cbh ResetInstanceLoginMethod 删除故障云堡垒机实例 cbh DeleteInstance 变更堡垒机实例 cbh ResizeInstance 创建堡垒机实例 cbh CreateInstance 堡垒机实例绑定弹性公网IP cbh InstallInstanceEip 堡垒机实例解绑弹性公网IP cbh UninstallInstanceEip 修改堡垒机实例安全组 cbh UpdateInstanceSecurityGroup 切换堡垒机虚拟私有云 cbh SwitchInstanceVpc

2. 创建云间高速网络和云企业路由器 创建云间高速实例，具体操作请参见：创建云间高速（标准版）实例 创建云企业路由器实例：tgw1，具体操作请参见：创建云企业路由器实例 3. 加载VPC网络 加载VPC网络实例 在云企业路由器（tgw1）中，加载VPC网络实例（vpc10.10.0.0./16）,并选择2个子网subnet1和subnet2。 具体操作请参见：加载VPC网络实例云间高速 说明： 如果有多个VPC，请重复操作此步骤。 如果VPC与云间高速不属于同一账号，可以通过跨账号授权云间高速组网，具体步骤参考：跨账号授权云间高速 4.创建冗余组 两条云专线互为冗余链路且客户侧网段完全相同，需将这两个云专线实例绑定至同一个冗余组，避免两条云专线互相传播路由，防止出现路由环路与路由重复发布问题。 具体操作请参见：冗余组与冗余链路 5. 加载专线网关cdaA 在云企业路由器（tgw1）中，加载专线网关cdaA。 具体操作请参见：加载云专线（CDA）网络实例云间高速 说明： 加载云专线实例的时候，根据负载模式的需求：cdaA的权重与cdaB的权重值相同，比如cdaA与cdaB的权重都设置为50。 加载云专线实例的时候，开启“链路冗余 ”开关，并选择相同的冗余组。 如果VPC与云间高速不属于一主账号，可以通过跨账号授权云间高速组网，具体步骤参考：跨账号授权云间高速

问题现象 开通服务网格后控制面服务没有正常启动，报错信息如下： message: 'Internal error occurred: failed calling webhook "cosignwebhook.kubesystem.svc": failed to call webhook: Post " x509: certificate is valid for cosignwebhook, cosignwebhook.default, cosignwebhook.default.svc, not cosignwebhook.kubesystem.svc' 问题原因 由于在云容器引擎集群开启了cubesign插件，该插件会对集群中部署的镜像做签名验证，提升系统安全性。服务网格控制面组件镜像不会使用cubesign签名，因此部署会因为签名校验而失败。 解决方案 关闭云容器引擎集群cubesign插件，重新部署网格控制面服务。

本文介绍用户如何修改弹性云主机实例的默认远程端口。 弹性云主机实例的默认远程端口是22。这个端口是SSH（Secure Shell）协议的默认端口，用于远程登录和管理云主机实例。通过SSH协议，您可以通过终端或SSH客户端与云主机进行安全的远程连接，并执行各种管理任务和操作。 修改Windows系统实例默认远程端口 本章以Windows Server 2012 R2为例介绍如何修改Windows系统实例默认远程端口。 1. 登录控制中心。 2. 选择区域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考登录Windows弹性云主机，远程登录待修改端口的Windows弹性云主机实例。 5. 修改注册表子项PortNumber的值。 1. 右键单击Windows 徽标键，选择“运行”，启动运行窗口。 2. 在运行窗口的文本框内输入regedit.exe后按回车键，打开“注册表编辑器”。 3. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 4. 在列表中找到注册表子项PortNumber并右键单击，选择“修改”，进入修改窗口。 5. 在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击“确定”。 6. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 7. 在右侧列表中找到注册表子项PortNumber并右键单击，选择“修改”（可以使用键盘方向键向下寻找）。 8. 在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击“确定”。 6. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 7. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 具体操作，请参见配置安全组规则。 8. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Redis实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通redis实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Redis服务端口（6379）。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的Redis实例将无法被同VPC内的云主机访问。 应对措施 如需VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Redis的服务端口(如：6379）。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Redis服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本章节向您介绍如何修改子网信息。 操作场景 本章节指导用户修改子网名称、DNS服务器地址、NTP服务器地址等。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在左侧导航栏，选择“虚拟私有云 > 子网”进入子网列表页面。 5. 在子网列表中，单击待修改的子网名称超链接，进入子网详情页面。 6. 在子网的“基本信息”页签中，单击待修改参数右侧的“修改”按钮，根据界面提示修改参数。 下表是子网参数说明表。 参数 说明 取值样例 名称 子网的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 subnet DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。最多支持2个IP地址，多个IP地址以英文逗号隔开。 此处默认填写天翼云的DNS服务器地址，可实现云主机在VPC内直接通过内网域名互相访问。同时，还支持不经公网，直接通过内网DNS访问云上服务 100.125.x.x 域名 若您由于业务原因需要指定其他DNS服务器地址，您可以修改默认的DNS服务器地址。如果您删除默认的DNS服务器地址，可能会导致您无法访问云上其他服务，请谨慎操作。 您也可以通过“DNS服务器地址”右侧的“重置”将DNS服务器地址恢复为默认值。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 test.com IPv4 DHCP租约时间 您可以设置IPv4地址的DHCP租约时间。 DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限。超过租约时间，IP地址将被收回，需要重新分配。 期限租约：设置DHCP租约期限，单位为天或者小时。 无限租约：设置DHCP不过期。 DHCP租约时间修改后，对于子网内的实例（比如ECS）来说，当实例下一次续租时，新的租约时间将会生效。实例续租分为自动更新租约和手动更新租约两种，续租不会改变实例当前的IP地址。如果需要DHCP租约立即生效，请在实例中手动更新租约或者重启实例。 NTP服务器地址 NTP时间服务器IP地址，非必填项。 您可以根据需要为子网新增NTP服务器IP地址，该地址不会影响默认NTP服务器地址。该地址为空，表示不新增NTP服务器IP地址。 最多允许输入4个格式正确且不重复的IP地址，多个IP地址请用半角逗号隔开。新增或修改原有子网的NTP服务器地址后，需要子网内的ECS重新获取一次DHCP租约，或者重启ECS，才能生效。清空NTP服务器地址时，需要子网内的ECS重新获取一次DHCP租约，重启ECS无法生效。 192.168.2.1 描述 子网的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

本章节主要介绍通过专线访问。 MRS为您提供云专线（Direct Connect）方式访问MRS集群。云专线用于搭建用户本地数据中心与线上云VPC之间高速、低时延、稳定安全的专属连接通道，充分利用线上云服务优势的同时，继续使用现有的IT设施，实现灵活一体，可伸缩的混合云计算环境。 前提条件 云专线服务可用，并已打通本地数据中心到线上VPC的连接通道。 通过专线访问MRS集群 1. 登录MRS管理控制台。 2. 单击集群名称进入集群详情页。 3. 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的“前往Manager”。 4. “访问方式”选择“专线访问”，并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”。 浮动IP为MRS为您访问MRS Manager页面自动分配的IP地址，使用专线访问MRS Manager之前您确保云专线服务已打通本地数据中心到线上VPC的连接通道。 5. 单击“确定”，进入MRS Manager登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 切换MRS Manager访问方式 为了便于用户操作，浏览器缓存会记录用户所选择的访问Manager的方式，如需切换访问Manager方式，参考如下步骤操作。 1. 登录MRS管理控制台。 2. 单击集群名称进入集群详情页。 3. 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的按钮。 4. 在弹出页面重新选择“访问方式”即可。 若由“EIP访问”切换为“专线访问”，请在专线网路互通的前提下，在弹出页面的“访问方式”选择“专线访问”并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”后单击“确定”。 若由“专线访问”切换为“EIP访问”，在弹出页面的“访问方式”选择“EIP访问”并参考访问MRS Manager（MRS 2.x及之前版本）中的通过弹性公网IP访问Manager配置EIP。若集群已配置过公网IP，直接单击“确定”以EIP方式访问Manager。

本文将为您介绍边缘安全加速平台提供的态势感知大屏功能。 功能介绍 边缘安全加速平台安全与加速服务提供态势感知大屏功能，从安全与加速、Web防护、DDoS防护、CC防护以及Bot防护帮助用户全方位掌握业务安全的整体态势。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，态势感知将对已接入域名进行数据监测，请参见添加服务域名。 购买大屏服务扩展项，支持态势感知大屏功能。 态势感知首页 首页从运营管理>态势大屏进入，为具备动态科技感的边缘安全加速平台拓扑图，主要功能有： 若统计期间内有攻击流量产生，此页面将出现红色告警提示并有红色线条指向对应的安全边缘节点，绿色线条则为正常流量； 标题：标题支持自定义，支持输入中英文字符，最多可输入20个； 提供五个大屏的入口，分别为：安全与加速大屏、DDoS态势感知大屏、CC安全态势感知大屏、Web安全态势感知大屏、BOT安全态势感知大屏，点击对应的大屏悬浮框，将跳转至新页面为您展示安全态势。

本章节介绍云主机备份资源到期后的处理说明。 资源包为出账后抵扣付费，购买的资源包在生效期内，扣费方式是先扣除已购买的资源包内的额度后，超出部分以按量付费方式进行结算；资源包到期后，转为按量付费模式。 其他相关详情请参考天翼云帮助中费用中心。

本节介绍Web应用防火墙（独享版）计费问题。 Web应用防火墙可以免费使用吗？ WAF为收费服务，需要购买后才能使用。Web应用防火墙（独享版）支持按需计费（后付费）和包年包月（预付费）模式，从开通并使用WAF开始计费到关闭按需计费或退订包年包月资源后结束计费，详见计费说明。 Web应用防火墙是否支持续订？ 续订仅针对包月包年计费方式，按需资源不可续订。已退订或已释放资源不可续订。按需计费模式不需要续费，只需要保证账户余额充足即可。您可以通过手动续订或自动续订的方式进行续订Web应用防火墙（独享版）。操作说明详见续订。 Web应用防火墙是否支持退订？ 独享模式： 按需：不支持退订，可通过删除实例停止计费。如果您需要退订以按需计费方式购买的独享模式WAF，前住“独享引擎”页面，直接删除独享引擎实例即可，删除实例后，将停止计费。 包年包月：支持退订。如果您需要退订包年包月计费方式购买的独享模式WAF，前住“独享引擎”页面，在实例列表页面，在操作列的“退订”操作，或前往费用中心的“退订管理”操作退订。 内容安全： 内容安全单次检测：一次性付费服务，不支持退订。 文本安全监测：支持退订，退订后不支持提供检测报告，请谨慎操作。

AntiDDoS流量清洗服务为弹性公网IP提供网络层和应用层的DDoS攻击防护和攻击实时告警通知。 产品定义 AntiDDoS流量清洗服务（以下简称AntiDDoS）为弹性公网IP提供网络层和应用层的DDoS攻击防护和攻击实时告警通知。同时，AntiDDoS可以提升用户带宽利用率，确保用户业务稳定运行。 AntiDDoS通过对互联网访问弹性公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，AntiDDoS为用户生成监控报表，清晰展示网络流量的安全状况。 产品性能 AntiDDoS提供不超过5Gbps流量的DDoS攻击防护。对大于5Gbps的流量，系统会进行自动限流措施（正常访问流量会丢失）；对于正常业务流量超过5Gbps流量的应用，建议用户自主购买第三方清洗中心服务，从第三方获取报表。 功能特性 提供四到七层DDoS攻击防护能力 AntiDDoS流量清洗服务提供四到七层的DDoS攻击防护，包括SYN Flood、UDP Flood等所有DDoS攻击方式。 提供DDoS防护监控 提供查看单个公网IP的监控能力，包括当前防护状态、当前防护配置参数、24小时前到现在的流量情况、24小时的异常事件（清洗和黑洞）。 提供安全能力报告 提供查看安全报告能力，查看区间为一周，支持查询前四周统计数据，包括防护流量、攻击次数、攻击top10排名。

欺诈类整改帮助 因您的域名或IP指向的内容存在欺诈风险，而触发了告警/封禁机制，请您及时完成排查和整改，完成后可根据通知中的指引内容进行申诉。此外，为提升网站可信度，保障访客权益，我们建议您在网站页面补充完善备案信息、企业LOGO、公司全称等相关内容，以进一步规范网站运营 。

功能 说明 用量查询 支持客户对日常关注的带宽流量、回源统计、请求数、状态码、命中率、PV/UV、地区运营商等维度，按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域（中国内地/全球不含中国内地）、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等条件进行自定义查询，实时感知业务运营状态。 热门分析 支持客户对日常关注的用户访问热门URL、热门URL（回源）、热门Referer、域名排行、Top客户端IP等维度，按加速类型、标签、域名、状态码类型、流量优先、访问次数优先、时间等条件进行自定义查询，从不同角度快速获悉业务的发展态势。 用户分析 支持客户对访问用户区域分布、访问运营商分布、独立IP访问数等维度，按域名、时间条件进行查询，并基于带宽、流量、访问次数、独立IP访问峰值(1小时统计)、日活跃IP总量进行分析，帮助客户快速得出目标用户群体分布，从而制定更加精准的市场推广策略。

表VPN连接限制 VPN网关类型 资源 默认限制 如何提升配额 企业版VPN 每VPN连接支持配置的策略规则数量 5 不支持修改。 企业版VPN 每VPN连接支持配置的对端子网数量 50 经典版VPN 每租户在每区域支持创建的VPN连接数量 12 不支持修改。 多子网场景下，VPN连接建议使用路由模式。策略模式/策略模板模式下，VPN网关默认为每对本地子网和对端子网创建一个通信隧道，当一条策略模式连接的本地或对端为多子网场景下实际占用了多个通信隧道。VPN网关每个网关IP和对端网关建连时，最大提供100个通信隧道。路由模式下，每个VPN连接占用网关IP的1个通信隧道。 策略模式/策略模板模式下，每个VPN连接占用网关IP的MN个通信隧道。M为本端待通信子网数，N为对端待通信子网数。 当所有涉及该网关IP的VPN连接模式占用的通信隧道超过100个时，会导致超出部分对应的VPN连接创建失败。 使用策略模式创建VPN连接时，若添加多条策略规则，不同策略规则的源、目的网段需要避免出现重叠，以免造成数据流误匹配或IPsec隧道震荡。

本节介绍计算机增强型云电脑的常见问题。 普通AI云电脑和计算增强型AI云电脑实例之间是否可通过内网互相访问？ 支持内网互通，但需满足三个配置条件： · AI云电脑和计算增强型AI云电脑实例必须在相同VPC内； · 安全规则放行，源/目标实例的安全组需放行访问协议； · 实例内部防火墙需允许内网网段通信（如Linux的iptables/Windows防火墙规则）。 系统默认策略中的安全组规则会对计算增强型AI云电脑生效吗？ 不会生效，计算增强型AI云电脑采用独立的安全组策略，需在创建计算之前先时必须手动关联安全组。 云硬盘支持多大容量？ 云硬盘容量最大支持2 TB，若您有更大的容量需求，请向您的专属客户经理申请调整云硬盘最大容量，最高支持32 TB。 实例最多支持挂载多少块云硬盘？ 单台计算增强型AI云电脑最多支持挂载20块云硬盘，总容量不超过32TB。 卸载云硬盘后，会对原有数据有影响吗？ 卸载操作不会删除或清空云硬盘内数据，数据仍持久化存储在云硬盘中。建议在卸载前停止所有磁盘IO操作。 计算增强型AI云电脑重装/切换系统后，原有的系统盘快照还可以使用吗？ 不可以，计算增强型AI云电脑重装/切换系统，系统会重新分配一块新的系统盘，旧的系统盘释放，原有的系统盘快照不能用于回滚新系统盘。

本章节主要围绕以自行部署的网关应用为入口，介绍全链路灰度的最佳实践 概述 本文以consumer和provider应用为例，分别发布consumerv1，providerv1和 consumerv2，providerv2两个版本的应用。同时以微服务云应用平台部署的网关作为入口应用，泳道规则设置为参数version2时，请求路由到consumerv2，providerv2。 前提条件 需开通微服务治理中心企业版。 操作流程 创建并发布V1版本应用实例 创建providerv1 和 consumerv1 应用实例，需勾选上接入微服务服务治理中心。 发布网关应用 创建并发布gateway应用实例，需勾选上接入微服务服务治理中心。 通过网关访问consumer和provider 进入gateway应用终端，通过curl命令访问网关，curl podip:27180/nacos/consumer/callProvider。 根据返回信息可以看到providerv1应用pod的IP，到这可以确定 gateway>consuerv1>providerv1 链路是通的。 创建泳道组及泳道 1. 创建泳道组 在左侧导航栏，选择服务治理 > 全链路流量控制，点击创建泳道组及泳道。 入口类型选择：在MSAP部署的应用/网关，入口应用选择：msegateway 2. 创建分流泳道 路由规则选择上面步骤在云原生网关中创建的路由规则，条件列表中，参数类型选择Query，参数填version，条件选择等于，值填写2。 创建完成后，可以看到泳道状态是关闭的。此时规则还未生效。

本文介绍了云防火墙（原生版）产品的应用场景。 外部访问控制 通过云防火墙（原生版）产品，对已开放公网访问的服务资产进行安全盘点，能够自动识别威胁暴露面，可对开放的公网IP一键开启入侵检测与防御，保护公网资产安全。 主动外联管控 对主动外联行为进行分析，评估主机失陷风险状态，并对恶意连接行为进行实时阻断，保护资产安全。 等保合规 云防火墙（原生版）产品能够满足等保2.0二级和三级中针对边界防护、访问控制、入侵防御、安全审计等特定的等保合规检查要求。

本节介绍了弹性云主机与其他服务的关系。 弹性云主机与周边服务的依赖关系如下图所示。 图 弹性云主机与其他服务的关系示意图 弹性云主机与其他服务的关系 弹性伸缩：利用弹性伸缩，可以根据您定义的伸缩策略进行弹性云主机的伸缩，以节省您的资源使用成本和提高资源利用率。 负载均衡：将访问流量自动分发到多台弹性云主机上，提高应用系统对外的服务能力，提高应用程序容错能力。 云硬盘：可以将云硬盘挂载到弹性云主机，并可以随时扩容云硬盘容量。 虚拟私有云：为弹性云主机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 镜像：您可以通过镜像创建弹性云主机，提高弹性云主机的部署效率。 云监控：当用户开通了弹性云主机后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。弹性云主机支持的监控指标请参考弹性云主机支持的基础监控指标。 数据加密服务：加密功能依赖于数据加密服务。您可以在创建弹性云主机时，使用加密镜像或加密云硬盘，此时需要使用数据加密服务提供的密钥，从而提升数据的安全性。 云审计服务：记录与弹性云主机相关的操作事件，便于日后的查询、审计和回溯。 云备份：提供对弹性云主机的备份保护服务。支持对弹性云主机中的所有云硬盘（系统盘和数据盘）进行备份，并利用备份数据恢复弹性云主机数据。

本文将介绍如何为轻量型云主机添加防火墙规则，并介绍防火墙功能预设的端口信息。 操作场景 防火墙可以对轻量型云主机的网络访问进行控制，每台轻量型云主机的防火墙默认放行了22端口（SSH服务）、3389端口（windows远程登录）、80端口（http端口）、443（https端口）端口的入方向端口。用户可在此基础上添加其它的防火墙规则，来完善防火墙的安全设置。 操作步骤 1.登录天翼云，进入控制中心。 2.单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3.单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4.进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5.单击“防火墙”页签，可以看到当前轻量型云主机的防火墙信息。 6. 单击“添加规则”弹出添加弹窗，用户需要按照要求进行填写，字段说明如下。 字段名 说明 IP版本 取值：IPV4、IPV6，单选，必填。 方向 取值：入方向、出方向，单选必填。 授权策略 取值：允许、拒绝，单选，必填。 协议 取值：ANY、TCP、UDP、ICMP，单选，必填。 端口范围 取值为介于1到65535之间的数字。如输入错误则输入款变红，下置文字提示：端口范围在 1到 65535之间，必填。 源地址 取值为数字，子网IP地址与子网掩码是否匹配的校验逻辑同云主机，必填。 描述 取值：100个以内字符，选填。如超出字数限制，下置文字提示：请输入100个以内字符。 添加规则： 7. 完成配置后，单击“确定”，即可完成防火墙规则的添加。

参数 参数说明 环境名称 环境的名称。 企业项目 设置企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。开通企业项目后可以使用。 描述 环境说明信息。 单击 ，输入环境描述信息。 单击 ，保存描述。 虚拟私有云(VPC) 选择环境资源所在VPC。 新建VPC，请参考“帮助中心 > 虚拟私有云 > 用户指南 > 虚拟私有云和子网 > 虚拟私有云 > 创建虚拟私有云和子网”。 环境类型 根据

本页主要介绍云容器引擎产品的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于用户如何使用云容器引擎产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。 Java SDK：ccesdkjavav2.0.5.tar.gz Go SDK：ccesdkgov2.0.3.tar.gz

本章节介绍密评专区产品相关常见问题。 为什么要做密评？ 开展密评，是为了解决商用密码应用中存在的突出问题，为网络和信息系统的安全提供科学评价方法，逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状，确保商用密码在网络和信息系统中有效使用，切实构建起坚实可靠的网络安全密码屏障。 《密码法》第二十七条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。 《商用密码管理条例》第六章第三十八条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估。 《商用密码应用安全性评估管理办法（试行）》第一章第三条：“涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系，实施商用密码应用安全性评估”。重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则 弹性公网IP（可选） 若需要通过公网访问Redis实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。 申请弹性公网IP的操作指导请参考购买弹性IP

本节介绍云等保专区在VPC中的部署拓扑图。 在VPC中建立一个安全管理子网，将云等保专区的各个安全原子能力部署在安全管理子网中，便于统一管理。

本文为您介绍如何通过云审计查看云产品的操作记录。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景。本文为您介绍如何通过云审计查看云资源的操作记录。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围； 读写类型：支持根据事件的读写类型进行筛选； 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）； 操作用户：支持根据同一租户下的不同主子账号进行筛选； 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

本节介绍了查看弹性云主机详细信息的操作场景、操作步骤。 操作场景 在您申请了弹性云主机后，可以通过管理控制台查看和管理您的弹性云主机。本节介绍如何查看弹性云主机的详细配置，包括弹性云主机名称、镜像信息、系统盘、数据盘、虚拟私有云、网卡、安全组、弹性IP等信息。 如需查看弹性云主机的私有IP地址，请直接在弹性云主机列表页进行查看。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。系统进入弹性云主机列表页，您可以在本页面查看您已创建的弹性云主机，以及弹性云主机的私有IP地址等基本信息。 3. 在弹性云主机列表中的上方，输入弹性云主机名、IP地址或ID，并单击进行搜索。 4. 单击待查询弹性云主机的名称。系统跳转至该弹性云主机详情页面。 5. 查看弹性云主机的详细信息。可以选择“云硬盘/网卡/安全组/弹性IP/监控”页签，更改弹性云主机安全组、为弹性云主机添加网卡、绑定弹性IP等。