参数 描述 数据流动方向 选择“自建自建”。 源数据库引擎 选择“Oracle”。 目标数据库引擎 选择“Kafka”。 网络类型 此处以“公网网络”为示例。目前支持可选公网网络、VPC网络和VPN、专线网络。 可用区 选择DRS实例创建在哪个可用区，选择跟源或目标库相同的可用区性能更优。 VPC 选择可用的虚拟私有云。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步类型 请选择内网安全组。内网安全组限制实例的安全访问规则，加强安全访问。 标签 对于已成功关联企业项目的用户，仅需在“企业项目”下拉框中选择目标项目。 如果需要自定义企业项目，请前往项目管理服务进行创建。关于如何创建项目，详见《项目管理用户指南》。 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见 标签管理。

配置说明 缓存参数 1. 登录边缘安全加速平台。 2. 进入【安全与加速工作台】【CDN加速配置】，点击目标域名。 3. 选择“静态配置缓存参数”单击“编辑配置”。 4. 单击添加，根据您的需求，配置需要的缓存参数。 配置参数说明： 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 忽略参数 不忽略/全部忽略/保留指定参数/忽略指定参数 缓存参数配置类型。如选择不忽略，则为带参数缓存；如选择全部忽略，则为去参数缓存；如为保留指定参数，则仅携带指定参数缓存；如为忽略指定参数，则为去指定参数后缓存。 优先级 数字 缓存配置的优先级；存在多条缓存参数设置时，相同文件类型及内容，执行优先级高的缓存规则。 配置页面： 点击“添加规则”则弹出添加缓存参数： 缓存URI 1. 登录边缘安全加速平台。 2. 进入【安全与加速工作台】【CDN加速配置】，点击目标域名。 3. 选择“静态配置缓存URI”单击“编辑配置”。 4. 单击添加，根据您的需求，配置需要的缓存参数。 配置参数说明： 参数名 配置值 说明 待改写path 需改写的URI 以/开头的URI，不含 目标path 改写后URI 以/开头的URI，不含 配置页面：

删除操作连接 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“操作连接”页签，进入连接管理页面。 5. 在目标连接所在行“操作”列，单击“删除”，弹出删除确认框。 6. 在弹出的确认框中，单击“确认”，完成操作连接删除。 注意 操作连接删除后，不可找回，请谨慎操作。

场景说明 RocketMQ的修改实例的场景描述如下： 在使用RocketMQ时，可能会遇到需要修改实例的场景，例如： 业务变更：当业务需求发生变化，需要修改RocketMQ实例的名称以反映新的业务逻辑时，可以进行实例名称的修改。例如，当新增或调整了某个业务模块，需要将其对应的实例名称修改为更准确的名称，以便于管理和监控。 消息处理速度优化：当消息的处理速度较慢或不稳定时，可以通过调整消息保存时长参数来优化消息的处理效率。例如，可以缩短消息的保存时长，减少消息在系统中的停留时间，以提高消息的实时性和处理速度。 安全配置修改：当需要修改RocketMQ实例的安全配置时，可以进行相应的修改。 需要注意的是，在进行实例的修改时，应该谨慎操作，并根据实际需求和系统情况进行调整。同时，修改实例时应该遵循RocketMQ的最佳实践和建议，以确保系统的稳定性和性能。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、进入实例列表，在实例名称点击修改按钮，直接修改实例名称字段。 4、 点击【管理】按钮进入管理菜单。点击修改配置，在弹出窗口修改实例描述和消息保存时长等信息。 注意 实例描述长度限制为0~256个字符。 您可以调整消息保存时长参数，实现消息容量消耗的控制。安全生产和稳定性保障限制，消息需要至少保留24小时。 要完整支持延时消息的功能，消息需要至少保留48小时。 4、 点击修改安全组，选择变更用户安全组。

通过查看数据库安全审计实例的概览信息，您可以查看实例的基本信息、网络配置信息和关联数据库信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 实例列表”，进入实例列表界面。 5. 单击需要查看信息的实例名称，进入实例概览页面。查看实例的“基本信息”、“网络配置信息”和“关联数据库”，相关参数说明如下所示。 实例概览信息参数说明 类别 参数名称 说明 基本信息 实例名称 实例的名称。单击名称后的可以修改实例名称。 基本信息 状态 实例当前的运行状态，包括： 运行中 创建中 故障 已关闭 已冻结 公安冻结 违规冻结 未实名认证冻结 合作伙伴冻结 创建失败 基本信息 实例ID 实例的ID，由系统自动生成。 基本信息 可用区 实例所在的可用区。 基本信息 版本 当前实例的版本。 基本信息 备注 实例的备注信息。单击备注后的可以修改备注信息。 基本信息 性能规格 实例的性能规格。 基本信息 计费模式 实例的计费模式。 基本信息 创建时间 实例创建的时间。 基本信息 企业项目 实例所属的企业项目。 基本信息 剩余天数 实例可以使用的剩余天数。 网络配置信息 虚拟私有云 实例所在的虚拟私有云。 网络配置信息 安全组 实例所在的安全组。 网络配置信息 子网 实例所在的子网。 网络配置信息 内网IP 实例的IP地址。 关联数据库 实例已关联的数据库信息。 单击“管理数据库”，跳转到数据库列表页面。

与旧版IAM相比，新版IAM支持更精细、更安全、更全面的访问控制。需要注意的是： 新版的IAM不再区分主密钥、普通密钥。 每个根用户/子用户可以拥有2个访问密钥对。 当创建访问密钥时，您只有在创建时可以下载和查看您的私有访问密钥（即SecretAccessKey），如不慎遗失，您可以选择删除该访问密钥，并创建新的访问密钥。 为了提供更安全的服务，新版IAM API统一使用V4签名。

本文主要介绍如何使用客户端优化设置能力。 背景说明 针对系统老旧或性能不足的老旧低配设备，管理员通常期望可以自适应降级安全策略以保障设备可以正常使用。 操作步骤 1.登录边缘安全加速控制台，进入AOne终端管理或者AOne零信任工作台。 2.在左侧导航栏，选择设置客户端设置优化设置，查看相应的配置和管理。 3.可根据业务需求进行相关配置操作。 功能说明 注意 客户端版本：需为2.23.10及以上客户端，目前支持Windows客户端。 满足任意一点即为老旧低配设备： 1. 系统老旧（Windows 7、Windows 7 SP1 、Windows 8、Windows 8.1）。 2. 性能配置不足（2C≤CPU<4C 或 4G≤内存<8G），此处CPU指逻辑4核。 当打开此开关时，将针对老旧低配设备做安全策略自适应调整，保障设备安全的同时缓解性能压力。自适应调整说明如下： 1. 文件实时防护自适应降级，即不会触发高等级防护。 2. 局域网共享防护自动关闭。

边缘接入服务 如果您只订购了“套餐版本”服务，想增加对应的扩展服务，可以点击“点击购买更多”进入订购页面，选择对应的扩展服务进行增项订购，可以增项的服务项包括“域名扩展包”、“端口数”、"DDoS防护带宽"、"DDoS弹性防护"。 如何进行计费方式变更？ 目前，安全与加速服务、零信任服务、边缘接入服务都支持计费方式变更。 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【计费详情】，进入产品服务菜单。 3. 选择需要变更的套餐版本，以安全与加速服务为例，选中【计费方式变更】按钮，在弹出的“计费方式变更”对话框中选中要变更的计费方式（比如：原有是流量计费，可以变更为带宽计费）。 注意 在扩展服务订购页面也可以点击【计费方式变更】进行计费方式变更，该方式仅零信任服务支持。 计费方式需次月生效，次月生效之前不允许进行订购产品扩展服务，请取消计费方式变更或次月再操作。

IDS IDS（Intrusion Detection Systems）即“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 安全过滤带宽 是指防火墙在某种加密算法标准下，如DES（56位）或3DES（168位）下的整体过滤性能。它是相对于明文带宽提出的，一般来说，防火墙总的吞吐量越大，其对应的安全过滤带宽越高。 QoS QoS（Quality of Service）就是服务质量管理，是宽带IP网络的主要关键测试技术。 公网IP地址 有因特网信息中心统一管理分配的IP地址，可在因特网进行访问。

本文为您介绍镜像服务的产品定义及产品类型。 镜像服务（CTIMS，Image Management Service）是弹性云主机可选择的运行环境模板，一般包括操作系统和预装软件。通过镜像用户可以在弹性云主机上实现应用场景的快速部署。 镜像类型 镜像分为公共镜像、私有镜像、共享镜像、安全产品镜像、应用镜像和云镜像市场。 公共镜像为系统默认提供的镜像。 私有镜像为用户自己创建的镜像。 共享镜像为其他用户共享的私有镜像。 安全产品镜像为预装了一些安全组件的镜像。 应用镜像为预装了一些常用应用与工具的镜像。 云镜像市场是由天翼云构建的标准化镜像服务平台，联合第三方镜像服务商（ISV）为用户提供预集成化的云主机镜像及配套服务。 详情如表所示： 镜像类型 说明 公共镜像 标准的操作系统镜像，所有用户均可以使用，包括操作系统以及预装的公共应用。 公共镜像的维护由天翼云提供，公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 官方公共镜像支持的操作系统类型包括：CentOS、Ubuntu、Windows、CTyunOS、KylinOS、Anolis、openEuler、Debian。当前大部分公共镜像免费，仅部分镜像收费，以控制台收费详情为准。 当前麒麟及统信镜像为不提供license的免费公共镜像，license需要用户自行购买。 私有镜像 私有镜像为用户自己基于实例或快照创建的镜像，或者从本地导入的镜像，包含已部署的应用或数据库等信息，仅用户自己可见。 私有镜像在标准上和安全性上不如公共镜像，用户需要自己把控自己使用的私有镜像，天翼云不保证用户私有镜像的安全性与可用性。 私有镜像包括系统盘镜像、数据盘镜像，其中： 系统盘镜像：包含用户运行业务所需的操作系统、应用软件的镜像，系统盘镜像可以用于创建弹性云主机，迁移用户业务到云； 数据盘镜像：只包含用户业务数据的镜像，数据盘镜像可以用于创建云硬盘，将用户的业务数据迁移到云上。 整机镜像：包含系统盘与数据盘，使用挂载有数据盘的云主机创建的整机镜像包含操作系统、应用软件，以及用户的业务数据。可用于快速发放相同配置的弹性云主机，实现数据搬迁。 共享镜像 其他用户共享出来的镜像，用户不用制作镜像就可以使用。 安全产品镜像 安全产品镜像为预装了一些安全组件的镜像，如DAS、EDR、网页防篡改等。 应用镜像 与基础的公共镜像相比，应用镜像预装了一些常见应用，可以实现快速部署特殊应用的目的。 云镜像市场 天翼云云镜像市场是由天翼云构建的标准化镜像服务平台，联合第三方镜像服务商（ISV）为用户提供预集成化的云主机镜像及配套服务。镜像市场中所有镜像均基于天翼云云主机操作系统深度定制，预封装了如DeepSeek大模型、数据库工具、运维管理面板等软件堆栈，实现云端应用的即开即用。用户可通过云镜像市场快速部署具备特定功能场景的云主机实例，大幅提升资源交付效率，让云主机即开即用、省时方便。

参数 参数说明 集群名称 集群的名称，创建集群时设置。单击 可对集群名称进行修改。 当MRS集群为MRS 3.x之前版本时，修改集群名称后仅MRS管理控制台界面显示的集群名称修改，MRS Manager中集群名称不会同步修改。 集群状态 集群状态信息，请参见 集群管理页面 Manager页面入口。 针对MRS 3.x及以后版本，具体请参见 。 针对MRS 3.x之前版本，需要根据提示绑定弹性公网IP及添加安全组规则后才能进入MRS Manager页面，具体请参见 访问MRS Manager（MRS 2.x及之前版本） 。 具体操作请参见 访问FusionInsight Manager（MRS 3.x及之后版本） 。 集群版本 MRS版本信息。 集群类型 支持以下集群类型： 分析集群：用来做离线数据分析，提供的是Hadoop体系的组件。 流式集群：用来做流处理任务，提供的是流式处理组件。 混合集群：既可以用来做离线数据分析，也可以用来做流处理任务，提供的是Hadoop体系的组件和流式处理组件。 自定义：全量自定义组件组合的MRS集群，MRS 3.x及之后版本支持此类型。 集群ID 集群的唯一标识，创建集群时系统自动赋值，不需要用户设置。 创建时间 显示集群创建的时间。 可用区 集群工作区域下的可用区，创建集群时设置。 默认生效子网 子网信息，创建集群时所选。 当子网IP不足时，单击“切换子网”切换到当前集群相同VPC下的其他子网，实现可用子网IP的扩充。切换子网不会影响当前已有节点的IP地址和子网。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 弹性公网IP 通过将弹性公网IP与MRS集群绑定，实现使用弹性公网IP访问Manager的目的。 OBS权限控制 单击“单击管理”，修改MRS用户与OBS权限的映射关系，具体请参考 数据连接 单击“单击管理”，查看集群关联的数据连接类型，具体请参考 委托 单击“管理委托”，为集群绑定或修改委托。 通过绑定委托，您可以将部分资源共享给ECS或BMS云服务来管理，例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见 密钥对 密钥对名称，创建集群时设置。 如果创建集群时设置的登录方式为密码，则不显示。 Kerberos认证 登录Manager管理页面时是否启用Kerberos认证。 日志记录 用于收集集群创建失败及扩缩容失败的日志。 安全组 集群的安全组名称。 数据盘密钥名称 用于加密数据盘的密钥名称。如需对已使用的密钥进行管理，请登录密钥管理控制台进行操作。 数据盘密钥ID 用于加密数据盘的密钥ID。 IAM用户同步 可以将IAM侧用户信息同步至MRS集群，用于集群管理。具体请参见 说明 集群详情页的“组件管理”、“租户管理”和“备份恢复”页签需要同步用户后方可使用。MRS 3.x版本集群同步后可使用“组件管理”。 通讯安全授权 展示安全授权状态，通过 可关闭和开启安全授权。关闭安全授权属于高危操作，请谨慎处理。详细信息请参考

第二章 服务及产品使用 第六条 在天翼云提出实名认证要求时，用户需要按要求进行实名认证。 第七条 用户在购买及使用天翼云的产品时，必须遵守各产品的服务条款。 第八条 用户在使用相关天翼云产品时，除了遵守该产品的服务条款之外，还应遵守《安全违规信息类型说明》、《安全违规行为类型说明》中的相关规则。 第三章 违规处理 第九条 为维护天翼云产品使用环境的洁净，切实保障用户的合法权益，针对违规用户，将依据本规则，视具体违规情形采取如下处理措施： （一）通知用户清理违规内容 （二）屏蔽产品中的违规内容 （三）停用存在违规内容的产品 （四）封禁用户账户并冻结全部资源，使其无法使用天翼云所有产品 （五）封禁/冻结同一用户的部分/全部账户和/或资源 第十条 用户违反本规则的相关规定，违规行为对应的处理分为： （一）一般违规行为的处置； （二）严重违规行为的处置； （三）特别严重违规行为的处置。 一般违规行为、严重违规行为、特别严重行为将根据监管部门要求、同一用户违规次数、是否配合监管部门/天翼云的安全措施要求、是否可能导致大量违规信息/行为的产生、违规信息是否造成大量传播、是否情节严重、是否造成严重后果等，由天翼云基于一般常识综合判定。 根据各个产品的不同，对应的处罚标准也不一样，详情参照《安全违规处罚等级说明》。 对于上级主管部门要求处理的违规情况，天翼云将会直接根据上级主管的处罚意见进行处理。

主机漏洞扫描主要包含对应用服务、网络设备、安全设备等相关主机设备的漏扫扫描以及对应主机安全的相关服务和操作系统的漏洞进行扫描。本小节介绍安全专区主机漏洞。 漏洞数据来源 【资产管理】→【服务器】中，点击【扫描】，将漏洞数据同步到【主机漏洞】模块。 趋势分析图默认展示当前一周的数据，通过右上角可筛选不同的时间段查看趋势图： 安全管理中心 记录漏洞状态、漏洞所存在风险值，对时间段内所存在漏洞进行趋势分析。 1.点击【未处理漏洞数量】或者【风险项】（风险项颜色标注高、中、低风险）。 2.点击柱状图可筛选出相应的数据。 3.筛选出相应结果。 4.鼠标移至【趋势分析】中的曲线上，即可查看已处理漏洞、未处理漏洞、产生时间和处理时间。 5.点击【主机漏洞Top10】，查看详细漏洞分析、漏洞产生原因。 6.选择导出漏洞信息文件，确定保存即可。 7.对于某一个特定的风险终端进行精准定位，展示主机漏洞产生原因并记录扫描方案。 8.点击漏洞描述下的查看设置，展示风险的具体描述及其解决方案。

本文主要介绍连接未开启SASL的Kafka实例。 本章节介绍如何使用开源的Kafka客户端访问未开启SASL的Kafka实例的方法，其中包含在内网中通过同一个VPC连接实例和通过公网连接实例两个场景。如果是使用DNAT访问实例，请参考使用DNAT访问Kafka实例。 多语言客户端的使用，请参考Kafka官网： 说明 本章节主要描述使用命令行模式连接Kafka实例。 Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过修改配置参数来修改单IP的连接数。 前提条件 1.已配置正确的安全组。 访问未开启SASL的Kafka实例时，实例需要配置正确的安全组规则，具体安全组配置要求，请参考表安全组规则。 2.已获取连接Kafka实例的地址。 如果是使用内网通过同一个VPC访问，实例端口为9092，实例连接地址获取如下图。 图使用内网通过同一个VPC访问Kafka实例的连接地址（实例未开启SASL） 如果是公网访问，实例端口为9094，实例连接地址获取如下图。 图公网访问Kafka实例的连接地址（实例未开启SASL） 3.如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 4.已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本或者Kafka命令行工具2.7.2版本，确保Kafka实例版本与命令行工具版本相同。 5.已创建弹性云服务器，如果使用内网通过同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。在弹性云服务器中安装Java Development Kit 1.8.111或以上版本，并配置JAVAHOME与PATH环境变量，具体方法如下： 使用执行用户在用户家目录下修改“.bashprofile”，添加如下行。其中“/opt/java/jdk1.8.0151”为JDK的安装路径，请根据实际情况修改。 export JAVAHOME/opt/java/jdk1.8.0151 export PATH$JAVAHOME/bin:$PATH 执行source .bashprofile命令使修改生效。

本文介绍对金融类客户的产品价值。 业务特点 交易（电商交易、金融支付、账单同步等场景）重视用户体验与数据安全，整体IT建设标准高，如果业务运营中出现延迟掉包、系统运行缓慢、数据容易丢失、账户数据被篡改、恶意刷优惠券等问题，会影响用户的恐慌，导致客户业务流失。 客户痛点 信用卡商城、手机网银、支付类业务数据实时性要求高。 热门纪念币、优惠券抢购体量大，易高并发。 行情推送类使用特殊websocket协议传输。 客户不愿上传证书加速。 电商大促抢购高峰拥堵，支付、秒杀等大量并发请求。 用户敏感信息容易泄露。 海外攻击团队勒索。 业务欺诈、营销欺诈。 产品价值 智能加速：通过多级缓存，就近响应用户请求；实时探测，选择最优路径动态回源；IPv6一键开启。 一体化安全+防护：对攻击进行层层识别和防御，避免数据泄漏造成负面影响。 行业情报共享：对全网在服的金融客户遭受的攻击行为进行分析，不断优化安全防护模板。 爬虫防护：区分恶意爬虫，SEO/SEM推广，在拦截爬虫的同时，保障业务的正常进行。 基于零信任架构，实现内部业务和端口隐身，保护数据安全。

数据安全中心用户指南 天翼云数据安全中心用户指南.pdf

本文介绍强制跳转的场景及配置方法。 功能介绍 通过配置强制跳转功能，将客户端到边缘节点的原请求方式强制重定向为HTTP或者HTTPS请求。天翼云边缘安全加速平台支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘加速节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘加速节点的HTTPS请求强制跳转为HTTP请求。 配置说明 1.登录边缘安全加速平台控制台。 2.单击左侧导航栏【域名】【基础配置】。 3.在【域名列表】页面，找到目标域名，单击【编辑配置】，选择右侧【HTTPS配置】，开启【强制跳转】功能。 4.【跳转类型】选择目标跳转场景，如“Http>Https”、“Https>Http”。 5.选择合适的【跳转方式】，如302跳转或301跳转。 6.配置完毕单击【保存】。 参数名 说明 强制跳转 默认为关闭，即不开启强制跳转功能。 跳转类型 Http>Https：将客户端到全站加速节点的Http请求强制重定向为方式Https。 Https>Http：将客户端到全站加速节点的Https请求强制重定向为方式Http。 跳转方式 跳转状态码，支持302/301状态码。 注意 当请求协议中的HTTPS未勾选时，强制跳转（301或302）只支持从Https重定向为Http。只有勾选请求协议中的HTTPS且完成证书配置的情况下，强制跳转（301或302）才支持从Http重定向为Https。

为确保您的天翼云账号及云资源使用安全，如非必要都应避免直接使用天翼云账号（即主账号）来访问函数计算。推荐的做法是使用IAM身份（即IAM用户和IAM委托）来访问函数计算。 IAM用户 IAM用户需要由天翼云账号（即主账号）或拥有管理员权限的IAM用户、IAM委托来创建，且必须在获得授权后才能登录控制台或使用API访问天翼云账号下的资源。 对于IAM用户的使用，建议您： 使用天翼云账号创建一个IAM用户，并为IAM用户授予管理员权限，后续使用有管理员权限的IAM用户创建并管理其他IAM用户。 将人员用户和程序用户分离。 创建IAM用户时，支持设置控制台访问 和OpenAPI调用访问两种访问方式。控制台用户使用账号密码访问云产品控制台，API用户使用访问密钥AK（AccessKey）调用API访问云资源。建议您将两个不同的使用场景分离，避免误操作导致服务受到影响。对于通过控制台访问的用户，推荐为其开启MFA多因素认证。 按需为IAM用户分配最小权限。 最小权限是指授予用户执行某项任务所需的权限，不授予其他无需用到的权限。最小授权可以避免用户操作权限过大，提高数据安全性，减少因权限滥用导致的安全风险。 不要把IAM用户的AccessKey ID和AccessKey Secret保存在工程代码中，否则可能导致AK泄露，威胁您账号下所有资源的安全。建议您使用STS或环境变量等方式获取访问授权。 满足条件时对IAM用户设置SSO单点登录功能，实现直接使用企业自有的身份登录并访问天翼云资源。

本节介绍了添加网卡的操作场景、操作步骤、后续任务。 操作场景 当您的弹性云主机需要多个网卡时，可以参考下面步骤为弹性云主机添加网卡。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 单击待添加网卡的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“弹性网卡”页签，并单击“绑定弹性网卡”。 6. 选择待增加的子网和安全组，如下图所示。 图 选择子网和安全组 安全组：您可以同时勾选多个安全组，此时，弹性云主机的访问规则遵循几个安全组规则的并集。 私有IP地址：如果需要给弹性云主机添加一张指定IP地址的网卡，用户需填写“私有IP地址”。 7. 单击“确定”。 后续任务 部分操作系统无法识别新添加的网卡，需手动激活网卡。下面以Ubuntu系统为例介绍具体激活网卡的操作步骤，其他操作系统请自行完成相关操作，如有问题，请参见对应操作系统的官网指导或手册来完成操作。 1. 在弹性云主机所在行的“操作”列下，单击“远程登录”。 登录弹性云主机。 2. 执行如下命令，查看网卡名称。 ifconfig a 例如，查询到的网卡名为：eth2。 3. 执行如下命令，进入相应目录。 cd /etc/network 4. 执行如下命令，打开interfaces文件。 vi interfaces 5. 在interfaces文件中，增加类似如下信息。 auto eth2 iface eth2 inet dhcp 6. 执行如下命令，保存并退出interfaces文件。 :wq 7. 执行命令ifup ethX或/etc/init.d/networking restart，使新增网卡生效。 上述命令中的X为具体的网卡名称序号，例如，ifup eth2。 8. 执行如下命令，查看回显信息中是否包括2查询到的网卡。 ifconfig 例如，回显信息中包含网卡eth2。 是，表示新增网卡生效，结束。 否，表示新增网卡未生效，执行9。 9. 登录管理控制台，在弹性云主机所在行的“操作”列下，选择“更多”，并单击“重启”。 10. 再次执行命令ifconfig，查看回显信息中是否包括2查询到的网卡。 1. 是，结束。 2. 否，请联系客服获取技术支持。

功能分类 功能项 功能描述 防护功能 DDoS网络层防护 支持TCP、UDP、ICMP网络协议防护，如SYN Flood ，ACK Flood，空连接等。 防护功能 畸形报文防护 支持对Ping of Death、Tear Drop、LAND、Fraggle等畸形报文进行过滤，判断报文合法性，丢弃异常请求。 防护功能 CC防护 CC防护根据访问者的URL，频率，行为等访问特征，智能识别CC攻击，避免源站资源耗尽，保证企业网站的正常访问。 防护功能 访问控制 可针对IP，IP段，IP端口，URI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 防护功能 频率控制 支持针对特定报文（十余种粒度组合），选择URL、ARGS、Header、Cookie、UA、IP其中一个或两个粒度进行频率统计，并设置对应的处理动作，以对高频请求进行控制。 告警策略 应用层CC告警 支持自定义CC攻击告警策略，对持续时长、QPS峰值、攻击次数进行监控和告警。 告警策略 网络层告警 支持自定义网络层攻击告警策略，对持续时长、pps峰值、bps峰值进行监控和告警。 告警策略 告警勿扰时间 支持设置勿扰时间，在特定时间内不进行告警。 业务接入 域名接入 支持HTTP、HTTPS、HTTP2协议的域名进行自助接入配置。 支持自定义回源HTTP请求头。 支持多个源站或域名回源，并对源站设置层级和权重。 支持指定回源协议或配置跟随协议。 支持请求强制跳转，即将请求的HTTP强制302跳转至HTTPS进行请求。 业务接入 端口接入 支持UDP、TCP协议协议的域名进行自助接入配置。 支持配置转发端口或转发端口段。 支持多个源站或域名回源。 安全分析 安全报表 支持查看CC安全报表、网络层安全报表，通过攻击趋势、攻击源TOP分析、攻击目标TOP分析等，掌握攻击态势。 安全分析 攻击事件 支持查看、导出CC攻击事件、网络层攻击事件。 业务分析 日志下载 支持下载业务请求全量日志，以对业务情况进行深入分析，为攻击排查，业务决策提供输入信息。 业务分析 业务用量 支持查看流量、带宽、请求次数、QPS、连接数、并发连接数、响应状态码的趋势，以掌握业务运行情况。

联系服务人员 如果无法确定原因并解决问题，请联系企业管理员。 为什么在互联网环境连接DWS后，解绑了EIP不会立即返回失败消息？ 这是因为解绑了EIP后，会导致网络断开。但是此过程中，TCP协议层因keepalive等的设置，无法及时识别物理连接已经故障，导致gsql，ODBC和JDBC等客户端无法及时识别网络故障。 客户端等待数据库返回的时间与keepalive参数的设置相关，具体可以表示为：keepalivetime + keepaliveprobes keepaliveintvl。 因为keepalive参数涉及到网络的通信的稳定性，所以可根据具体的业务压力与网络状况进行调整。 如果是Linux环境，使用sysctl命令修改如下参数： net.ipv4.tcpkeepalivetime net.ipv4.tcpkeeapliveprobes net.ipv4.tcpkeepaliveintvl 以修改net.ipv4.tcpkeepalivetime参数值为例，执行如下命令将参数值修改为120秒： sysctl net.ipv4.tcpkeepalivetime120 如果是Windows环境，修改注册表“HKEYLOCALMACHINESYSTEMCurrentControlSetservicesTcpipParameters”中的如下配置信息： KeepAliveTime KeepAliveInterval TcpMaxDataRetransmissions（相当于tcpkeepaliveprobes） 说明 如果以上参数不在注册表“HKEYLOCALMACHINESYSTEMCurrentControlSetservicesTcpipParameters”中，可以在注册表编辑器对应路径下右键单击“新建 > DWORD值”进行添加。 使用公网IP连接集群时如何设置白名单？ 用户可以登录VPC管理控制台手动创建一个安全组，然后回到DWS 创建集群页面，单击“安全组”下拉列表旁边的按钮，刷新后在“安全组”下拉列表中选择新建的安全组。 为了使DWS客户端可以连接集群，用户需要在新建的安全组中添加一条入规则，开放DWS 集群的数据库端口的访问权限。 协议：TCP。 端口范围：8000。指定为创建DWS 集群时设置的数据库端口，这个端口是DWS 用于接收客户端连接的端口。 源地址：选中“IP地址”，然后指定为客户端主机的IP地址，例如“192.168.0.10/32”。 添加入方向规则 添加完成后，即设置白名单成功。

本文汇总了使用虚拟私有云产品时常见的使用虚拟私有云与子网类问题。 什么是虚拟私有云？ 虚拟私有云（Virtual Private Cloud，以下简称VPC），为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 图 产品架构 VPC中可以使用哪些网段（CIDR）？ 您可以在指定的私有IP网段范围内，选择VPC的网段。VPC网段的选择需要考虑以下两点： IP地址数量：要为业务预留足够的IP地址，防止业务扩展给网络带来冲击。 IP地址网段：当前VPC与其他VPC、云下数据中心连通时，要避免IP地址冲突。 当前VPC支持的网段如下： VPC网段 IP地址范围 最大IP地址数 10.0.0.0/8~24 10.0.0.010.255.255.255 2^24216777214 172.16.0.0/12~24 172.16.0.0172.31.255.255 2^2021048574 192.168.0.0/16~24 192.168.0.0192.168.255.255 2^16265534

安全相关 尽量避免数据库被公网访问，公网连接时必须绑定弹性公网IP。 尽量使用SSL连接，保证连接的安全性。

本文带您了解AI Store的产品优势。 全域AI资产聚合 汇聚算力、模型、应用各类AI资产，覆盖多种行业需求，实现"一站式"采购体验。 全栈工具链支持 提供从算力调度、模型推理、应用开发、工具调用到运维管理的全链路服务支持，灵活选择所需的AI能力组件，快速构建自身的AI应用。 成本精准可控 采用按需计费、弹性伸缩的资源供给模式，全面支持算力、模型、应用等全栈 AI 资产的精细化计量与精准付费，实现资源用量与费用支出实时匹配。 安全可信生态体系 所有上架的算力资源、模型服务、应用产品均经过严格的安全审核和合规认证，确保数据安全和主权可控 。

本文为您介绍无法导入密钥对的处理方法。 修改浏览器默认属性后重试，步骤如下： 1. 在浏览器主界面，点击设置。 2. 选择“Internet选项”。 3. 单击选择“安全”页签。 4. 单击“Internet”。 5. 单击“默认级别”按钮，把设置还原为默认级别。 6. 把安全级别调到“中”级别，单击“应用”按钮。 7. 选择“自定义级别”。 8. 将“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”设置为“提示”。 9. 单击“确定”。

本文为您介绍如何处理无法导入密钥对的问题。 修改浏览器默认属性后重试，步骤如下： 1. 在浏览器主界面，点击设置。 2. 选择“Internet选项”。 3. 单击选择“安全”页签。 4. 单击“Internet”。 5. 单击“默认级别”按钮，把设置还原为默认级别。 6. 把安全级别调到“中”级别，单击“应用”按钮。 7. 选择“自定义级别”。 8. 将“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”设置为“提示”。 9. 单击“确定”。

本节主要介绍产品优势 云迁移工具RDA是天翼云为上云用户量身打造的迁移工具，可提供主机和对象存储在线迁移，助力企业快速上云，节省维护和使用成本。 操作简单 支持一键部署、图形化操作界面及常见问题一键修复。 安全可信 安全，传输加密，传输通道使用SSL加密，保证您数据传输安全性；认证和密码加密，存储的相关凭证采用了AESCBC进行双边加解密。 智能高效 对生产系统影响最小化，当CPU、IO、内存和带宽占用达到设定的阈值后暂停迁移/同步，等待资源空闲后自动恢复迁移/同步。 无缝迁移 迁移/同步过程业务不中断，生产系统无需停机/停服。

推荐使用场景 工具 推荐场景 不适用场景 AnythingLLM 企业文档问答、私有知识库管理、需严格权限控制的团队协作 快速测试模型、轻量级个人聊天需求 Open WebUI 个人或开发者快速体验模型、多模型切换测试、多模态交互(如语音/图像) 复杂文档管理、企业级安全与协作需求 注意 建议使用天翼云提供的 DeepSeek 镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤： 一、云主机端口配置更新 1. 进入云主机详情页，选择安全组选项，添加新的开放端口。 建议选择新加 3001 端口。添加完成后，可在安全组规则列表中查看新添加的 3001 端口规则，确认其状态为正常生效。 2.

开源对比 相较于开源自建RabbitMQ，分布式消息服务RabbitMQ在低成本运维、堆积性、可观测性、集群可用性、安全保证、操作日志、OpenApi访问等方面更具优势。 对比项 开源自建 分布式消息服务RabbitMQ版 低成本运维 需要专业人员资源规划、部署、运维 一键开通，全托管。提供多种规格，按需使用，支持一键式节点数、磁盘存储空间和节点规格扩容。 堆积性 抗堆积性差，容易引发内存问题导致宕机 提供云原生引擎类型，支持海量消息堆积不受影响 可观测性 通过Management UI能够获取丰富的指标，但需要自建指标存储及展示的系统 提供监控告警能力，指标丰富，维度可精确到Vhost、Exchange和Queue，便于您快速发现和定位问题 集群可用性 需配套解决集群多节点负载均衡设置 集群内置负载均衡，支持跨AZ部署 安全保证 需要自行进行安全加固 VPC隔离，支持SSL通道加密 操作日志 无，需要自己开发 可追溯租户管理操作的记录 OpenApi访问 无，需要自己开发 提供简单的实例管理RESTFul API，使用门槛低

本节介绍智算套件概述。 前提条件 已创建云容器引擎智算版集群。 套件介绍 套件名称 版本 套件说明 驱动管理 1.0.2 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 1.8.0 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 1.0.5 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 1.0.3 为集群提供集群巡检、故障诊断等能力。 网络 1.0.3 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 1.0.0 支持数据集版本管理，提供弹性加载能力。 弹性训练 1.0.5 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 1.0.0 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 1.0.9 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 1.0.7 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

本文为您介绍密钥管理服务的定义及产品架构。 密钥管理服务（Key Management Service，KMS）是一站式密钥管理和数据加密服务平台，提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成，实现云上原生数据的加密保护。 产品架构 业务组件 业务组件 说明 参考文档 密钥管理 密钥管理组件提供密钥安全托管存储、生命周期管理以及密码运算能力。您可以在自建应用程序中，通过KMS提供的云原生接口实现数据加解密、签名验签等运算，同时KMS已对接天翼云云硬盘、对象存储、弹性文件、关系数据库MySQL版，为云服务提供服务端加密能力。 密钥管理概述 证书管理 证书管理组件提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书管理概述

本节介绍服务器安全卫士(原生版)基线检测操作指南。 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项，例如不必要的服务开启、过时的软件版本、未启用的安全特性等。通过基线检测，可以及时发现并修复这些潜在的安全风险。 版本限制 仅企业版、旗舰版支持基线检测功能。 新建基线检测策略 基线检测设置分为一键检测和定时检测。当您需要进行基线检测时，先设置您需要的基线策略。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 该页面展示了已经设置好的基线策略，包括策略名称、检查周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。 4. 单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”即可完成新建基线策略。 编辑基线检测策略 若您需要对已有的基线策略进行编辑，点击该策略操作列中的“编辑”，可以修改策略的所有信息，包括策略名称、检查时间、已选择的基线名称和服务器，修改完成后点击“确认”即可完成基线策略编辑。 删除基线检测策略 若您需要删除已有的基线策略，点击该策略操作列中的“删除”，在提示框中点击“确认”即可完成基线策略删除。