本章节介绍人脸识别安全相关的常见问题与解答。 是否可以设置IP白名单呢？ 人脸识别是API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 调用过程中如遇到问题，可通过天翼云官网工单或者客服电话【4008109889】沟通。 人脸识别传输的数据是否经过加密呢？ 天翼云人脸识别采用天翼云官网标准EOP网关，在整个数据传输过程中，从源端到目的端，都采取了一系列的安全措施，包括身份验证、加密技术和授权机制、数据完整性保护机制和数据恢复机制等，这些措施可以确保数据传输的安全性和可靠性，提高系统的安全性。 若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用人脸识别服务，图片数据是否会存储？ 天翼云一直注重保护客户隐私，图片数据不会存储。 同时因相关规定限制，人脸识别公有云服务数据不落盘，用户的原始图片和识别数据均不作保留，使用人脸识别服务后，图片数据就会立即释放，不会存储。

本章节介绍内容审核安全相关的常见问题与解答。 是否可以设置IP白名单呢？ 内容识别产品提供API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 调用过程中如遇到问题，可通过天翼云官网工单或者客服电话【4008109889】沟通。 内容审核传输的数据是否经过加密呢？ 天翼云内容审核采用天翼云官网标准EOP网关，在整个数据传输过程中，从源端到目的端，都采取了一系列的安全措施，包括身份验证、加密技术和授权机制、数据完整性保护机制和数据恢复机制等，这些措施可以确保数据传输的安全性和可靠性，提高系统的安全性。 若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用内容审核服务，图片数据是否会存储？ 天翼云一直注重保护客户隐私，图片数据不会存储。 同时因相关规定限制，内容审核公有云服务数据不落盘，用户的原始图片和识别数据均不作保留，使用内容审核服务后，图片数据就会立即释放，不会存储。

本文介绍SQL Server的产品优势。 正版授权 拥有微软正版授权，避免因为未授权使用软件造成风险，搭配微软商业智能工具，让您的业务运行起来更加高效。 高性价比 SQL Server的高性价比主要体现在即开即用、灵活计费、弹性扩展、全面兼容、维护方便。 即开即用 即开即用是SQL Server提供的一项优质服务，您不需要自行搭建和配置环境，仅需通过控制台快速开通实例，能够有效节省硬件成本、提高响应时间、降低运维成本。 灵活计费 支持按需和包周期两种计费方式，可以根据业务需求，选择不同计费方式，节省费用。 弹性扩展 您可以根据业务情况，对SQL Server实例进行弹性扩展，支持对实例规格、存储空间进行灵活扩展，帮助您有效节省成本。 便捷管理 提供了全面的日常维护和管理，包括软硬件故障处理等工作，确保数据库运转正常。专业的数据库管理平台，可视化界面提供一键式功能。此外，实时监控实例的CPU利用率、磁盘空间、连接数等性能指标，帮助您随时了解实例的动态情况。 安全可靠 网络隔离 通过虚拟私有云和安全组等网络安全技术实现网络隔离，与其他租户资源保持隔离，确保数据安全性。 访问控制 在虚拟私有云中，可以对SQL Server实例所在安全组的入站和出站规则进行限制，从而实现基于安全组的访问控制。这样就能够有效的控制可连接数据库实例的网络范围，从而提升数据库的安全性。 支持通过主子账号和企业项目，实现对数据库实例的管理权限控制。 支持通过对数据库账号设置库级别的读写权限，来达到数据库级别的权限控制。

查看Agent信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择查看的Agent所属的实例。 6. 单击数据库左侧的展开Agent的详细信息，如下所示，相关参数如下。 Agent参数说明 参数名称 说明 Agent ID Agent的ID，由系统自动生成。 安装节点类型 安装节点的类型，包括“数据库端”或“应用端”。 安装节点IP 安装Agent的节点的IP地址。 操作系统 安装Agent运行的操作系统。 审计网卡名称 安装节点的网卡名称。 CPU阈值(%) 安装节点的CPU阈值，缺省值为“80”。 说明 当安装节点的CPU超过设定的阈值时，Agent将停止工作。您可以直接升级服务器的CPU。 内存阈值(%) 安装节点的内存阈值，缺省值为“80”。 说明 当安装节点的内存超过设定的阈值时，Agent将停止工作。您可以直接升级服务器的内存。 通用 Agent是否为通用Agent。 运行状态 安装节点的运行状态。 您可以根据使用需求，对添加的Agent执行以下操作： 关闭 在需要关闭的Agent所在行的“操作”列，单击“关闭”后，在弹出的提示框中，单击“确定”，Agent状态为“关闭”。 关闭Agent后，数据库安全审计将停止对连接该Agent的数据库进行安全审计。 删除 在需要删除的Agent所在行的“操作”列，单击“删除”后，在弹出的提示框中，单击“确定”，删除该Agent。 删除Agent后，如果需要对连接该Agent的数据库进行安全审计，请重新添加Agent。

为什么要放行云Web应用防火墙回源IP段？ 网站成功接入云WAF防护后，所有业务请求将先流转到防护平台进行检测，经过滤后返回到源站服务器。由于源站服务器收到的所有请求都来自云WAF平台的IP，源站服务器上的安全软件（如安全组、防火墙、安全狗、云锁）很可能认为云WAF回源IP在进行攻击而进行封禁，造成误封禁的云WAF回源IP的所有请求将无法得到源站的正常响应。因此，在网站接入云WAF后，需确保源站侧已将云WAF所有回源IP加入访问控制安全组与相关安全软件白名单进行放行，避免出现网站无法打开或响应缓慢等情况。 为什么要开通所有网站端口的Web应用防火墙防护？ 域名接入Web应用防火墙防护后，该域名所有公网业务请求都会通过CNAME解析牵引至云WAF，未在云WAF侧开通防护配置的端口请求则无法被接收，并且丢弃。因此，需要提供完整的域名及域名所开放端口列表。如未将同一域名下所有端口业务接入云WAF进行防护，将影响该域名下未接入防护的端口业务正常访问。 如何放行云Web应用防火墙回源IP段？ 打开源站服务器上的安全软件与访问控制安全组，根据防护开通的所属数据中心中心将云WAF平台回源IP地址段（内蒙数据中心：36.111.137.0/24 与 203.57.157.0/24，北京数据中心：203.34.106.0/24，上海数据中心：101.226.7.0/24， 广州数据中心：203.32.204.0/24）添加到白名单。

服务名称 事件动作 云等保专区 获取原子能力列表 云等保专区 概览页 云等保专区 根据资源id更新资源名称 云等保专区 获取可分配eip列表 云等保专区 绑定eip 云等保专区 解绑eip 云等保专区 查询可关联子网 云等保专区 关联绑定子网 云等保专区 解绑子网 云等保专区 绑定havip 云等保专区 解绑havip 云等保专区 绑定网卡 云等保专区 解绑网卡 云等保专区 查询可绑定havip 云等保专区 查询可绑定网卡 云等保专区 查询当前实例已绑定网卡 云等保专区 获取子网路由规则列表 云等保专区 创建子网路由规则 云等保专区 创建安全路由规则 云等保专区 删除入向安全路由规则 云等保专区 获取安全组列表 云等保专区 删除子网路由规则 云等保专区 重启服务 云等保专区 切换子网 云等保专区 产品是否已购买 云等保专区 原子能力免登录URL接口 云等保专区 获取安全能力权限列表 云等保专区 批量订购、续订、升级、退订 云等保专区 过期时间更新

本节介绍如何获取v1.0原子能力云主机对应的VNC地址。 在“一类节点”区域购买的v1.0资源，若用户需要连接原子能力资源配置的云主机，可通过“获取VNC”，获取VNC地址进行远程连接。 约束限制 仅“一类节点”区域购买的v1.0资源支持在云等保专区控制台获取VNC地址。云等保专区支持的区域请参见支持的区域。 前提条件 已购买对应原子能力资源，且资源状态为“运行中”。 获取VNC地址 以下以“主机安全v1.0”为例，介绍如何获取云主机的VNC地址。 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“主机安全 > 主机安全v1.0”，进入云等保专区的主机安全v1.0资源页面。 3. 在目标资源的操作列，单击“更多 > 获取VNC”。 4. 在弹出的“VNC信息”窗口中，单击“复制VNC”。 远程连接 1. 在本地计算机上安装VNC客户端软件或通过在线的VNC连接工具（例如 2. 打开VNC软件，在连接界面中输入获取的VNC地址。 3. 点击连接按钮后，VNC客户端会尝试与远程计算机建立连接。

配置说明 缓存参数 1. 登录边缘安全加速平台。 2. 进入【安全与加速工作台】【CDN加速配置】，点击目标域名。 3. 选择“静态配置缓存参数”单击“编辑配置”。 4. 单击添加，根据您的需求，配置需要的缓存参数。 配置参数说明： 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 忽略参数 不忽略/全部忽略/保留指定参数/忽略指定参数 缓存参数配置类型。如选择不忽略，则为带参数缓存；如选择全部忽略，则为去参数缓存；如为保留指定参数，则仅携带指定参数缓存；如为忽略指定参数，则为去指定参数后缓存。 优先级 数字 缓存配置的优先级；存在多条缓存参数设置时，相同文件类型及内容，执行优先级高的缓存规则。 配置页面： 点击“添加规则”则弹出添加缓存参数： 缓存URI 1. 登录边缘安全加速平台。 2. 进入【安全与加速工作台】【CDN加速配置】，点击目标域名。 3. 选择“静态配置缓存URI”单击“编辑配置”。 4. 单击添加，根据您的需求，配置需要的缓存参数。 配置参数说明： 参数名 配置值 说明 待改写path 需改写的URI 以/开头的URI，不含 目标path 改写后URI 以/开头的URI，不含 配置页面：

向量数据库 Anything LLM支持多种向量数据库，包含LanceDB (default)、Astra DB、Pinecone、Chroma、Weaviate、Qdrant、Milvus、Zilliz。以下为各个向量数据库的对比描述： 向量数据库 开源/闭源 主要特点 支持语言 部署方式 性能优化 索引算法 使用场景 LanceDB 开源 基于 Rust，支持多模态数据，零拷贝、自动版本控制 Python、JavaScript/TypeScript 本地、云 GPU 加速 HNSW、IVF等 AI 应用、多模态数据检索 Astra DB 闭源（云服务） 高可用性、弹性扩展，支持多模态数据 Python、Java、JavaScript等 云服务 分布式优化 HNSW等 需要高可用性和弹性扩展的应用 Pinecone 闭源（云服务） 高性能向量搜索，支持 GPU 和 TPU 加速 Python、JavaScript等 云服务 GPU/TPU 加速 HNSW、IVF等 大规模向量搜索 Chroma 开源 适用于语义搜索和相似性匹配，支持单机和分布式部署 Python、JavaScript等 本地、云 并行查询优化 HNSW等 AI 应用、语义搜索 Weaviate 开源 云原生，支持多模态数据，模块化设计 Python、JavaScript、Java等 本地、云 高效查询优化 HNSW等 多模态数据检索、推荐系统 Qdrant 开源 高效向量检索，支持加密和安全访问控制 Python、JavaScript等 本地、云 并行查询优化 HNSW等 高性能向量检索 Milvus 开源 分布式向量数据库，支持大规模数据查询 Python、Java、C++等 本地、云 GPU 加速 HNSW、IVF等 人工智能、推荐系统 Zilliz 开源（云服务） 基于 Milvus，深度优化，支持云原生部署 Python、Java等 云服务 高性能优化 HNSW等 云原生向量检索 下面以Chroma为例进行说明，其他请参考对应软件官网安装使用。 1. 创建一台挂载XSSD云盘的本地盘云主机/通用云主机，并增加Anything LLM云主机弹性IP+端口8000 的安全组规则。创建步骤请参考创建弹性云主机弹性云主机快速入门 天翼云，增加安全组规则参考添加安全组规则弹性云主机用户指南安全安全组配置安全组规则 天翼云。 2. 安装向量数据库 plaintext docker pull chromadb/chroma:latest docker run d name chroma p 8000:8000 chromadb/chroma:latest 3. 配置向量数据库 4. 使用 4.1.创建工作区，聊天查询“哪吒之魔童闹海票房收入”，回答结果没有相关知识库引入，且出现了论述错误。 4.2.准备知识库，内容如下： 4.3.导入知识库，向量使用默认向量。 4.4.继续聊天查询“哪吒之魔童闹海票房收入”，回答结果存在相关知识库引入，且论述正确。

实施步骤 1. 安装宝塔面板。 1. 登录云主机。 2. 执行以下命令，下载并安装宝塔面板。 plaintext yum install y wget && wget O install.sh && sh install.sh 待命令执行完毕。在执行过程中，会提示是否将磁盘挂载到/www，如下图所示： 输入小写y字母确认挂载。 安装完成后，会提示安装成功，并显示面板URL、端口号、“username”、“password”等参数值。 说明 请妥善记录回显信息中URL、端口号、“username”、“password”等参数值，于后续步骤中使用。 2. 修改云主机所在安全组规则。 为云主机所在安全组添加安全组规则，规则如下表所示，具体步骤参见添加安全组规则。 方向 协议 端口/范围 源地址 入方向 TCP 回显信息中的端口号（本示例中为23240） 0.0.0.0/0 3. 登录宝塔面板。 1. 在浏览器地址栏中输入回显信息中的URL地址，例如： 2. 输入安装步骤中记录的账户和密码，勾选宝塔用户协议，绑定宝塔账号后，进入宝塔管理界面。 3. 根据业务需要可以通过面板安装相关的套件并部署网站。

网站被挂马、恶意篡改后对政府形象造成不利影响，安全事件监测根据规则精准识别违规信息，及时同步客户，保障网站安全，维护网站名誉不受影响。

本文为您介绍如何处理无法导入密钥对的问题。 修改浏览器默认属性后重试，步骤如下： 1. 在浏览器主界面，点击设置。 2. 选择“Internet选项”。 3. 单击选择“安全”页签。 4. 单击“Internet”。 5. 单击“默认级别”按钮，把设置还原为默认级别。 6. 把安全级别调到“中”级别，单击“应用”按钮。 7. 选择“自定义级别”。 8. 将“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”设置为“提示”。 9. 单击“确定”。

本文为您介绍无法导入密钥对的处理方法。 修改浏览器默认属性后重试，步骤如下： 1. 在浏览器主界面，点击设置。 2. 选择“Internet选项”。 3. 单击选择“安全”页签。 4. 单击“Internet”。 5. 单击“默认级别”按钮，把设置还原为默认级别。 6. 把安全级别调到“中”级别，单击“应用”按钮。 7. 选择“自定义级别”。 8. 将“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”设置为“提示”。 9. 单击“确定”。

本文为您介绍CC防护功能说明，以及如何配置系统默认、自定义防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 配置CC防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”模块，可以选择开启/关闭防护状态；同时可以直接选择防护模式，配置信息如下。 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求的基础上，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见下文[配置自定义CC防护策略](

本章节会介绍公网连接天翼云关系型数据库的流程。 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过绑定弹性公网IP从公网连接访问MySQL实例。 使用流程 通过公网连接MySQL实例的使用流程介绍。 图 通过公网连接实例 步骤一：创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。从安全组外访问安全组内的关系型数据库实例时，需要为RDS实例所在安全组配置相应的入方向规则。 步骤三：绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至RDS实例。 步骤四：通过公网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本文介绍如何查看节点扫描结果。 扫描完成后，在节点列表中可以查看扫描结果。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面。 3. 节点状态列表上方，支持按照“节点名称”、“节点状态”、“防护状态”、“软件版本”、“软件名称”等进行筛选查询。系统默认筛选出节点类型为防御容器的节点。 节点列表参数说明如下： 参数 说明 节点名称 节点的名称。 IPv4地址 节点的IPv4地址。 IPv6地址 节点的IPv6地址。 集群 节点所属集群的名称。 系统类型 节点的操作系统类型。 节点状态 指节点上防御容器的在线状态，分为已连接、未连接和已暂停三种状态。 节点类型 节点类型根据节点上运行的容器分为防御容器和扫描容器。 扫描状态 扫描状态分为待扫描、扫描中、已扫描、扫描失败这几种状态。 心跳时间 最近一次检查节点在线状态的时间。

此小节介绍云堡垒机产品定义。 云堡垒机提供云计算安全管控的系统和组件，包含部门、用户、资源、策略、运维、审计等功能模块，集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口，基于协议正向代理技术和远程访问隔离技术，实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。 服务特点 一个实例对应一个独立运行的系统，通过配置实例部署系统后台运行基本环境。系统环境独立管理，保障系统运行安全。 一个单点登录系统，提供统一的单点登录入口，轻松地集中管理大规模云上资源，避免资源账户泄露危险，保障资源信息安全。 符合“网络安全法”等法律法规，满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求； 满足金融监管部门的技术审计要求； 满足各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等）对运维审计的要求。

本节介绍如何为子账号配置统一身份认证（IAM）的云等保专区控制台权限。 统一身份认证（Identity and Access Management，简称IAM）服务，是提供给用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。 默认情况下，天翼云主账号拥有所有权限，而主账号创建的IAM子账号没有任何权限。IAM子账号需要授权相应策略，或加入用户组并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 说明 如需要为子账号配置购买权限，还需要配置支付下单，弹性IP、弹性云主机等权限，具体策略请参见依赖策略说明。 云等保专区IAM策略，仅针对云等保专区的控制台，若想具体查看各原子能力的控制台或系统，还需针对各原子能力配置对应的策略，具体请参考云等保专区IAM策略说明。 云等保专区IAM策略说明 云等保专区提供如下系统策略： 策略名称 策略描述 类别 授权范围 云等保商用管理员 拥有云等保专区控制台所有权限，可操作云等保控制台所有的菜单。 系统策略 全局级 云等保业务管理员 拥有云等保专区控制台所有操作权限，但无法进行新购，续订，升配，退订相关订单操作。 系统策略 全局级 云等保云安全中心 仅可查看、操作云等保专区云安全中心菜单；其他原子能力菜单不可见。 系统策略 全局级 云等保主机安全 仅可查看、操作云等保专区主机安全菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保Web应用防火墙 仅可查看、操作云等保专区Web应用防火墙菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保下一代防火墙 仅可查看、操作云等保专区下一代防火墙菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保堡垒机 仅可查看、操作云等保专区堡垒机菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保漏洞扫描 仅可查看、操作云等保专区漏洞扫描菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保数据库审计 仅可查看、操作云等保专区数据库审计菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保日志审计 仅可查看、操作云等保专区日志审计菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保安全体检 仅可查看、操作云等保专区安全体检菜单，其他原子能力菜单不可见。 系统策略 全局级 部分v2.0原子能力需要单独配置原子能力IAM权限才可使用，具体请参考下表： 能力名称 参考链接 主机安全v2.0 主机安全v2.0权限管理 Web应用防火墙v2.0 Web应用防火墙v2.0权限管理 下一代防火墙v2.0 下一代防火墙v2.0权限管理 数据库审计v2.0 数据库审计v2.0权限管理 堡垒机v2.0 堡垒机v2.0权限管理

与旧版IAM相比，新版IAM支持更精细、更安全、更全面的访问控制。需要注意的是： 新版的IAM不再区分主密钥、普通密钥。 每个根用户/子用户可以拥有2个访问密钥对。 当创建访问密钥时，您只有在创建时可以下载和查看您的私有访问密钥（即SecretAccessKey），如不慎遗失，您可以选择删除该访问密钥，并创建新的访问密钥。 为了提供更安全的服务，新版IAM API统一使用V4签名。

本文为您介绍什么是资源编排ROS。 资源编排ROS（ROS，Resource Orchestration Service）是基于Terraform（HCL + Provider）的新一代云资源全生命周期管理平台，您只需通过结构化模板集中定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等），即可自动、安全、高效地实现“一键创建与管理”云资源。借助 Terraform 的底层引擎能力，ROS 能够自动解析资源依赖关系、校验配置合规性，并通过预置的安全策略规避权限风险与配置冲突，最终实现从资源创建、关联配置到后期扩缩容、版本迭代的 “一键化” 操作。 资源编排ROS聚焦自动化批量创建云资源场景，全面践行“基础设施即代码”理念，帮助用户大幅降低人工操作失误率，同时支持资源的批量管理与自动化运维，让企业在复杂云架构下也能轻松实现资源的高效调度与精益化管理，助力用户高效、安全、一致性交付和运维天翼云服务。 为什么选择资源编排ROS 资源编排ROS可以帮助您高效、安全、轻松地管理一组资源。 强大的Terraform生态：完全兼容Terraform，确保您的现有资源栈无缝迁移。 极简自动化部署：通过模板化编排和自动化引擎，您只需“一次设计”即可“多次部署”。 安全合规：内置评估审核与合规性校验，让变更可知、可控、可追溯。 成本优化：模板可一键复用，变更前可预测资源与费用变更，助力企业降本增效。 友好交互： 企业级可视化交互和丰富API接口。

本节介绍了一键重置密码后无法使用新密码登录弹性云主机的相关内容。 操作场景 一键重置密码后无法使用新密码登录弹性云主机，请参考本节操作逐一进行排查。 说明 请确保一键重置密码插件未被安全软件阻止运行，否则一键重置密码功能无法使用。 Windows操作系统 请根据如下原因逐一进行排查： 步骤 1 检查安全组出方向80端口是否放通。 1. 登录控制台。 2. 选择需要检查的弹性云主机，并进入“弹性云主机”详情页面。 3. 检查“安全组”中，“出方向”的“80”端口是否放通。 默认的安全组规则“出方向”为Any 、Any，即端口放通。 步骤 2 检查弹性云主机VPC的DHCP是否启用。 选择“网络 > 虚拟私有云"，打开对应VPC的详情页面，选择“子网”页签，检查是否启用DHCP。 步骤 3 如果安全组配置、DHCP均正常，但一键重置密码功能仍未生效，请尝试使用原密码登录弹性云主机。 步骤 4 如果原密码有效，可以用原密码登录弹性云主机，检查弹性云主机是否已安装密码重置插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。检查方法如下： 查看任务管理器，如果找到cloudResetPwdAgent服务和cloudResetPwdUpdateAgent服务，如下图所示，表示弹性云主机已安装密码重置插件。否则说明当前弹性云主机没有安装一键重置密码插件。 安装方法请参见安装一键式重置密码插件（可选）。 图 安装插件成功

托管检测与响应服务（原生版）购买后的相关问题答疑。 服务购买后，有相应的操作指导吗？ 服务购买后，我们将指派服务经理与您取得联系，沟通具体服务开展流程并指导您相关操作步骤。此外，您可以参考服务接入流程： 基础版/企业版服务接入流程 护航版服务接入流程 应急响应服务接入流程 安全评估服务接入流程 全流量分析服务接入流程 服务购买后，有哪些服务保障？ 服务购买后，天翼云安全服务团队将与您取得联系，确定服务内容及范围，定期输出整体安全风险服务报告，按照SLA协议承诺对客户服务内容进行交付。 若遇到问题，安全服务团队会提供支持和解答，其他问题，您可以通过天翼云客服反馈，我们将竭诚为您服务，保障您的业务安全。 托管检测与响应服务（原生版）可以根据用户需求提供个性化服务吗？ 当前服务为标准化服务内容，如果您有个性化服务需求，可与服务经理沟通，确定需求范围及内容，经评估后，服务经理会向您反馈评估结果，如果在可接受范围内，您无需支付任何费用，如超出服务范围，我们将提供新的服务方案。 欢迎您向我们提出新的服务需求，我们将积极支持，不断优化服务内容及流程，更好地服务客户。

本小节介绍证书管理服务产品简介。 证书管理服务（Certificate Management Service‌，CCMS）是一款集证书购买、申请及安全应用于一体的云上证书管家，提供SSL证书管理、私有（内网）证书管理和个人证书管理功能，并支持一键部署证书、证书托管等服务。该服务支持国密和国际算法，帮助用户实现数据传输加密和身份认证，保障数据安全。 SSL证书管理 SSL证书是一种遵守SSL协议的数字证书，用于在互联网上建立安全通信连接，常用于网站安全加密，是保护网站数据的必备证书。 提供企业型（OV）、增强型（EV）、域名型（DV）多种SSL证书，便于企业根据自身业务场景灵活选择。 可以在证书管理服务控制台上购买SSL证书，并向CA机构提交证书申请，待CA机构审核通过并签发证书后，你可以下载证书并将其安装到您的应用服务器中。 支持将第三方证书上传到证书管理服务控制台进行统一管理。 支持一键部署SSL证书至天翼云其他云产品中，还提供了证书托管功能，可以自动替换天翼云上云产品证书。 私有（内网）证书管理 私有（内网）证书是CA颁发的内部专用数字凭证，用于内网身份认证、系统间加密通信和设备安全管理。 提供私有（内网）证书的全生命周期管理能力，包括购买、申请、下载、吊销等。 个人证书管理 个人证书是由CA机构核验身份后颁发的数字凭证，用于强身份认证、电子签名和加密通信等场景。 提供个人证书的全生命周期管理能力，包括购买、申请、下载、吊销等。

场景说明 RocketMQ的修改实例的场景描述如下： 在使用RocketMQ时，可能会遇到需要修改实例的场景，例如： 业务变更：当业务需求发生变化，需要修改RocketMQ实例的名称以反映新的业务逻辑时，可以进行实例名称的修改。例如，当新增或调整了某个业务模块，需要将其对应的实例名称修改为更准确的名称，以便于管理和监控。 消息处理速度优化：当消息的处理速度较慢或不稳定时，可以通过调整消息保存时长参数来优化消息的处理效率。例如，可以缩短消息的保存时长，减少消息在系统中的停留时间，以提高消息的实时性和处理速度。 安全配置修改：当需要修改RocketMQ实例的安全配置时，可以进行相应的修改。 需要注意的是，在进行实例的修改时，应该谨慎操作，并根据实际需求和系统情况进行调整。同时，修改实例时应该遵循RocketMQ的最佳实践和建议，以确保系统的稳定性和性能。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 进入实例列表，在实例名称点击修改按钮，直接修改实例名称字段。 3、 点击【管理】按钮进入管理菜单。点击修改配置，在弹出窗口修改实例描述和消息保存时长等信息。 注意 实例描述长度限制为0~256个字符。 您可以调整消息保存时长参数，实现消息容量消耗的控制。安全生产和稳定性保障限制，消息需要至少保留24小时。 要完整支持延时消息的功能，消息需要至少保留48小时。 4、 点击修改安全组，选择变更用户安全组。

本文介绍如何在基于最新一代海光安全加密虚拟化CSV(China Secure Virtualization)3.0技术的云主机(下文简称为CSV云主机)中构建CSV3.0加密计算环境,并演示如何验证CSV功能,以及CSV云主机存在的一些功能限制。 概述 海光安全加密虚拟化CSV是一项基于国产海光CPU硬件的云主机保护技术，CSV云主机的运行时状态（如CPU寄存器、内存数据及中断处理等）均受到CPU硬件的隔离和加密保护，云厂商和外部攻击者均无法窃取或篡改CSV云主机的内部运行状态（如计算中的数据等）。关于海光CSV技术的更多信息，请参见Hygon Arch。 CSV云主机关键特性 内存隔离：通过处理器硬件机制，为每个云主机构建独立的、受保护的执行环境，实现云主机之间、云主机和宿主机之间的硬件级逻辑隔离。即使宿主机系统或管理员拥有最高权限，也无法读取或篡改虚拟机内的数据，从根本上杜绝了“从内部”被窥视的风险，实现数据在处理过程中的“可用不可见”。 内存加密：数据在内存中全程以密文形式存在，仅能在 CPU 内部解密使用。即使机房被入侵，攻击者通过物理手段也难以探测到或篡改内存中的数据内容。 远程证明：支持远程证明功能，允许信任域所有者验证其虚拟机是否在可信的硬件环境中启动，并且没有被篡改，增强了对基础设施的信任。 安全启动：确保虚拟机仅从经过签名和验证的引导加载程序启动，进一步加强了启动过程的安全性。 体验一致：提供与普通云主机完全一致的管理接口和操作体验，通过控制台、API 等，像创建和管理任何一台普通云主机一样，轻松创建和管理机密云主机，运维习惯无需任何改变。 应用无损：海光CSV可以为您的云主机和应用提供默认的安全保护，您的现有应用系统，无论是传统的 Java 还是现代的 Python 应用，均无需进行改造，可直接运行在机密云主机。

本文汇总了使用VPC终端节点产品时常见的问题。 如何检查终端节点服务所在后端弹性云主机的网络配置？ 您可以按照以下步骤检查终端节点服务所在后端弹性云主机的网络配置： 1. 确认弹性云主机使用的安全组是否正确：在弹性云主机的详情页面中，查看网卡使用的安全组。确保所使用的安全组已配置正确。 2. 检查安全组入方向规则：确认安全组的入方向规则是否已放行198.19.128.0/20网段的地址。如果没有相应的入方向规则，请添加规则以允许来自该网段的流量。 3. 确认子网的网络ACL设置：检查弹性云主机网卡所在子网的网络ACL配置，确保其不会对流量进行拦截。 VPC终端节点和对等连接有什么区别？ 类别 VPC对等连接 VPC终端节点 功能 对等连接主要是打通两个VPC之间的流量，使两个VPC的子网中的实例可以彼此通信，如同在同一个网络中。 VPC终端节点是将某个VPC中的实例暴露出来，通过专门的网关将此实例的端口映射在其他VPC中。 访问场景 对等连接主要应用在网络规划中,多是同一个租户用来规划自己的网络,将两个VPC的子网联通。 VPC终端节点主要是将服务在云平台中开放,可以提供给同一个租户使用,也可以提供给其他租户使用。 安全性 VPC内所有ECS、ELB等均可以被访问。 仅创建了终端节点服务的ECS、ELB等可以被访问。 CIDR重叠 不支持CIDR重叠，两个VPC的CIDR范围不能有重叠部分。 支持CIDR重叠，允许不同VPC中使用相同的CIDR范围。 通信方向 建立对等连接的两个VPC之间支持双向通信。 仅支持终端节点所在VPC访问终端节点服务所在后端资源的指定端口。 路由配置 需要手动配置对等连接路由信息，才能使两个VPC互通。 自动在VPC路由表中添加路由规则，无需手动配置。 计费 免费 按需计费

本节介绍云容器引擎的最佳实践：使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统可以确保通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

更换布局 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 目录定制”，进入目录定制页面。 5. 单击目标目录所在行“操作”列的“更换布局”，弹出更换布局页面。 6. 在更换布局页面中，选择需要替换的布局。 7. 单击“确定”。

服务类型 证书管理服务提供SSL证书、私有（内网）证书、个人证书： 分类 SSL证书域名证书 SSL证书IP证书 私有（内网）证书 个人证书 应用场景 用于网站安全加密，是保护网站数据的必备证书。 仅支持能进行互联网验证的域名。 用于网站安全加密，是保护网站数据的必备证书。 仅支持能进行互联网验证的IP。 用于内网身份认证、系统间加密通信和设备安全管理。 用于个人电子邮件或文档签名，无法用于网站HTTPS加密，常用于密评场景。 支持的加密标准 国际标准 国密标准 国际+国密 国际标准 国际标准 国密标准 国密标准 支持的证书种类 域名型证书（DV） 企业型证书（OV） 企业型基础版（OVBasic） 企业型专业版（OVPro） 增强型证书（EV） 增强型基础版（EVBasic） 企业型证书（OV） 企业型专业版（OVPro） 企业型基础版（OVBasic） 企业型证书（OV） 支持的证书版本 标准版 SecureSite GeoTrust GlobalSign CFCA TrustAsia 标准版 SecureSite GeoTrust GlobalSign CFCA TrustAsia 标准版 支持的域名类型 通配符 单域名 多域名 单IP 通配符 单域名 多域名

进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“数据脱敏与水印”，跳转到数据脱敏与水印控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 数据安全专区”，进入数据脱敏与水印控制台。 使用数据脱敏与水印 请参见数据脱敏与水印。

产品优势 运维高效便捷：支持PuTTY、SecureCRT、Xshell、WinSCP、mstsc等专业运维工具集成，提升运维效率。 精细化权限管理：以4A为核心实现用户按角色、资产授权及访问控制，最小化运维授权，降低越权操作风险。 安全合规：对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业运维安全治理。

本文为您介绍弹性云主机的定义和产品架构。 弹性云主机（CTECS，Elastic Cloud Server）是一种可随时获取、弹性可扩展的计算服务。云主机由CPU、内存、镜像、云硬盘等组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保服务持久稳定运行。 弹性云主机的开通和使用非常便捷、高效，您只需要指定CPU、内存、镜像等配置信息。开通完成后，您就可以像使用本地PC或物理服务器一样在云上使用弹性云主机，同时您也可以按需随时调整弹性云主机的规格配置。 产品架构 弹性云主机，整合了计算、存储与网络等资源，通过和其他产品、服务组合，为用户提供安全可靠、高性能、弹性可伸缩的虚拟计算服务，可覆盖各种不同量级的业务场景。 产品使用入口：您可以通过控制台、OpenAPI管理和使用弹性云主机。 计费方式：您可以按需选择弹性云主机计费方式，可选包年包月或按量计费。 地域/可用区：您可以按需选择创建云主机的地域和可用区。 云主机组：可以在创建弹性云主机时，通过加入云主机组。通过设置反亲和策略，将云主机尽量分散地部署在不同的宿主机上，以提高业务的可靠性。 操作日志：开启云审计服务后，系统会记录弹性云主机相关的操作事件，您可以在控制台操作日志界面进行查看。 配额管理：为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少台弹性云主机、多少块云硬盘。如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 访问控制：可以进行精细的权限管理，以达到不同用户之间的权限隔离。 镜像服务：镜像包含了初始系统环境、应用环境、软件配置等信息，您通过公共镜像、私有镜像、共享镜像、安全产品镜像或应用镜像批量创建弹性云主机，可以实现业务的快速部署。 快照服务：快照指的是云硬盘数据在某个时刻的完整拷贝或镜像，是一种重要的数据容灾手段，当数据丢失时，可通过快照将数据完整的恢复到快照时间点。 云硬盘：可以像物理硬盘一样分区格式化，满足大部分通用业务场景下的数据存储需求。 云备份：为弹性云主机提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。 虚拟私有云：通过虚拟私有云建立专属的网络环境，设置子网、安全组，并通过弹性公网IP实现外网连接。 安全组：安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机提供访问策略。 弹性伸缩：可以灵活调整弹性云主机数量，高效匹配业务要求。 云迁移：支持将客户云下或其他云的计算资源迁移至天翼云。 云监控：通过云监控用户可以实时观测弹性云主机的使用情况。