本节介绍了网络安全相关问题与处理方法。 TaurusDB有哪些安全保障措施 网络 云数据库TaurusDB实例可以设置所属虚拟私有云，从而确保云数据库TaurusDB实例与其他业务实现网络安全隔离。 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 管理 通过统一身份认证服务（Identity and Access Management，简称IAM），可以实现对云数据库TaurusDB实例的管理权限控制。 如何防止任意源连接数据库 数据库开放EIP后，如果公网上的恶意人员获取到您的EIP。 DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP。 DNS、数据库端口、数据库帐号和密码等信息，并通过云数据库TaurusDB实例的安全组限定源IP，保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码，请按照云数据库TaurusDB实例的密码策略设置足够复杂度密码，并定期修改。 访问TaurusDB实例应该如何配置安全组 通过内网访问TaurusDB实例时，设置安全组分为以下两种情况： ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的 入方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 通过弹性IP访问TaurusDB实例时，需要为TaurusDB所在安全组配置相应的 入方向规则 。 将根证书导入Windows/Linux操作系统

本节介绍了默认安全组和规则。 默认安全组和规则 系统会为每个用户默认创建一个Sysdefault安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的实例无需添加规则即可互相访问。 如下图所示。 默认安全组 默认安全组Sysdefault规则如下表所示： 默认安全组Sysdefault规则 方向 优先级 策略 协议 端口范围 目的地址/源地址 说明 ::::::: 出方向 100 允许 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 100 允许 全部 全部 源地址：当前安全组名称，例如Sysdefault 允许同样使用当前安全组的云主机之间通过任意端口和规则互访。 入方向 100 允许 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云主机。 入方向 100 允许 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云主机。 首次创建弹性云主机，系统新建虚拟私有云vpcdefault时会默认新建两个SysWebServer和SysFullAccess的安全组，对应开放的安全组规则如下所示。 SysWebServer安全组规则 方向 协议 端口范围 目的地址/源地址 说明 ::::: 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。 入方向 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云主机。 入方向 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云主机。 入方向 ICMP 全部 源地址：0.0.0.0/0 允许Ping命令。 入方向 TCP 443 源地址：0.0.0.0/0 网页浏览端口,主要是用于HTTPS服务。 SysFullAccess安全组规则 方向 协议 端口范围 目的地址/源地址 说明 ::::: 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。 入方向 全部 全部 源地址：0.0.0.0/0 允许所有入站流量的数据报文通过。

本节介绍了如何通过内网连接云数据库TaurusDB的实例。 TaurusDB实例提供Linux操作系统和Windows操作系统连接实例的方法。 Linux操作系统下使用MySQL客户端连接实例，并且提供SSL连接（推荐）和非SSL连接两种连接方式。其中，SSL连接实现了数据加密功能，具有更高的安全性。 Windows操作系统下使用MySQLFront客户端连接实例。 前提条件 1. 创建并登录弹性云主机。 创建并登录弹性云主机，请参见《弹性云主机用户指南》中“创建弹性云主机”和“登录弹性云主机”。 通过弹性云主机连接TaurusDB数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例和ECS所属安全组为 默认安全组 ，则无需设置安全组规则。 如果目标实例和ECS所属安全组为 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。如果安全组规则允许弹性云主机访问，即可连接实例。如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 2. 在准备的弹性云主机上安装客户端 。 Linux操作系统中，您需要在弹性云主机上安装MySQL客户端。建议您下载的MySQL客户端版本高于已创建的TaurusDB实例中数据库版本。如何获取相应安装包及完成安装，请参见如何安装MySQL客户端。 Windows操作系统中，您可以使用任何通用的数据库客户端连接到TaurusDB实例且连接方法类似。本章节以MySQLFront为例，描述Windows操作系统连接实例具体操作步骤，详情请参见使用MySQLFront连接实例。

本文帮助您快速熟悉虚拟私有云创建安全组的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表右上方，单击“创建安全组”。进入“创建安全组”页面。 5. 根据界面提示，设置安全组参数。 6. 安全组参数设置完成后，可以在创建页面下方查看模板的入方向和出方向规则，确认无误后，单击“确定”。 表 参数说明 参数 参数说明 取值样例 名称 必选参数。安全组的名称。安全组的名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格， 长度不能大于64个字符。 说明： 安全组名称创建后可以修改，建议不要重名。 sg318b 描述 可选参数。安全组的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

本节主要介绍如何配置防盗链。 OBS提供同时支持允许白名单访问和阻止黑名单访问的配置，防止盗链。 前提条件 已经配置了静态网站托管。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 在左侧导航栏，单击“概览”，进入“概览”页面。 步骤 3 在“基础配置”区域下，单击“防盗链”卡片，系统跳转至“防盗链”界面。 步骤 4 单击“白名单Referer”/“黑名单Referer”后的，输入白名单/黑名单。 Referer规则如下： 白名单Referer/黑名单Referer输入的字节数不能超过1024个字符。 Referer格式： Referer可以设置多个，多个Referer换行隔开； Referer参数支持通配符（）和问号（?），通配符可代替0个或多个字符，问号可代替单个字符； 如果下载时Referer头域包含了http或https，则Referer设置必须包含http或https。 白名单Referer为空，黑名单Referer不空时，允许所有黑名单中指定网站以外的其他网站的请求访问目标桶中的数据。 白名单Referer不为空，黑名单Referer为空或不空时，只允许白名单中指定网站的请求访问目标桶中的数据。 说明 当白名单Referer与黑名单Referer内容一样时，黑名单生效。例如：当白名单Referer与黑名单Referer输入框中的referer字段都为“ 黑名单Referer与白名单Referer都为空时，默认允许所有网站的请求访问目标桶中的数据。 判断用户是否有对桶及其内容访问的四种权限（读取权限、写入权限、ACL读取权限、ACL写入权限）之前，需要首先检查是否符合referer字段的防盗链规则。 步骤 5 单击保存设置。

本文向您介绍如何查看并导出网站的受攻击日志详情。 功能介绍 边缘云WAF默认提供攻击日志，详细记录攻击产生的时间、攻击源IP、攻击类型及攻击详情等信息，攻击日志仅支持查询6个月内日志，并且支持导出攻击日志。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 域名接入成功后，会自动开启防护规则引擎，您也可以根据防护需求开启其他的防护功能，边缘云WAF检测出攻击行为后会自动生成攻击日志 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【WAF攻击日志】页面 2. 通过筛选项进行组合查询攻击日志。筛选项包括域名、攻击类型、处理动作、规则ID、日期选择等组件 日志字段说明： 攻击IP：发起请求的客户端IP 请求方式：客户端的请求方法 URI：请求的URI 攻击类型：详细攻击类型 状态码：响应的状态码 处理动作：请求的处理动作 攻击时间：攻击请求发生的时间 攻击详情：能够查看攻击客户端IP的详细属性，比如地域归属、UA等 单击【导出】按钮，能够导出攻击日志，默认导出10000条攻击日志

本文汇总了使用虚拟私有云产品时常见的使用弹性IP类问题。 一个弹性IP可以给几个弹性云主机使用？ 一个弹性IP只能绑定一个弹性云主机使用。 如何通过外部网络访问绑定弹性IP的弹性云主机？ 为保证弹性云主机的安全性，每个弹性云主机创建成功后都会加入到一个安全组中，安全组默认Internet对内访问是禁止的，所以需要在安全组中添加对应的入方向规则，才能从外部访问该弹性云主机。 在安全组规则设置界面用户可根据实际情况选择TCP、UDP、ICMP或All类型。 当弹性云主机需要提供由公网可以访问的服务，并且不明确访问该服务的对端IP地址时，建议将安全组规则的源地址设置成默认网段0.0.0.0/0，再通过配置端口提高网络安全性。 源地址设置成默认网段0.0.0.0/0，表示允许所有IP地址访问安全组内的弹性云主机。 建议将不同公网访问策略的弹性云主机划分到不同的安全组。

本文帮助您快速熟悉删除安全组的操作场景和操作流程。 操作场景 当您的业务不需要部分安全组去控制云服务器网络流量时，您可以选择删除安全组。删除后，安全组及其规则将不再对云服务器生效。 约束与限制 系统会为每个用户默认创建一定的安全组，对于地域资源池来说，默认安全组不支持删除。可用区资源池支持删除默认安全组，实际情况以控制台展示为准。 当安全组正和其他云服务器存在绑定关系时，例如弹性云主机、物理机服务、弹性网卡等，安全组将无法删除。您需要先将安全组与绑定的服务器解除关联，之后再重新执行删除操作。 当安全组被其他安全组引用为“源地址”或者“目的地址”时，安全组将无法删除。您需要先解除目标安全组与引用安全组之间的关系，之后再重新执行删除操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要删除的安全组，支持批量删除和单次删除。 批量删除：选择需要删除的多条安全组，单击左上方的【删除】按钮，支持批量删除安全组。 单次删除：选择需要删除的单个安全组，单击目标安全组所在行操作列“更多>删除”，支持逐个删除安全组。 6. 确认待删除的安全组信息，单击“确定”按钮。

本章节主要介绍天翼云大数据平台 翼MapReduce产品的安全增强特性。 天翼云大数据平台 翼MapReduce支持海量数据存储、海量数据分析、实时处理等行业应用，平台具备高安全性。该产品主要从以下几个方面保障用户可以安全地存储、使用数据以及运行业务。 网络隔离 系统部署在用户在公有云上专享的虚拟私有云中，提供安全隔离的网络环境，保证用户大数据集群的业务、管理的安全性。通过结合虚拟私有云的子网划分、路由控制、安全组等功能，可以为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务目前支持用户在天翼云4.0资源池内专属化部署，服务使用到的云主机在IaaS层保证资源隔离，资源组合上确保专属计算资源+专属存储资源。 主机安全 翼MR支持与天翼云官网安全服务集成，支持漏洞扫描、安全防护、应用防火墙、云堡垒机、网页防篡改等。针对云主机，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 云主机监控 防DDoS攻击 定期备份数据 增加登录密码强度 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别与认证 Web应用安全 访问控制 审计安全 密码安全

本小节介绍云解析添加MX记录操作方法。 使用场景 邮件交换记录，用来指定由哪台邮件服务器负责接收给定域名网站的邮件，如果需要设置邮箱，让邮箱能收到邮件，就需要添加MX记录。 操作方法 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 4. 填写以下信息。 主机记录：一般是指子域名的前缀。 邮箱配置通常会使用“mail”、“@”作为主机记录。 如需实现邮箱地址是ID加上@ctyun.cn，主机记录填写@。 如需实现邮箱地址是ID加上@mail.ctyun.cn，主机记录填写mail。 记录类型：选MX记录。 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析）。 记录值：可以是域名也可以是IP地址，通常由邮箱注册商提供。 MX优先级：数值越低优先级越高，通常由邮箱注册商提供。 TTL：缓存时间，默认为3600秒。 5. 单击“√”完成记录添加。

这节主要介绍Account、Service、Bucket、Object的概念。 对象存储（经典版）Ⅰ型的主要概念有： Account（账户）：用户登录时OOS使用的账户。 Service（服务）：OOS为注册成功用户提供的服务。 Object（文件）：用户存储在OOS上的每个文件都是一个Object。 Bucket（存储桶）：存储Object的容器。 它们之间的关系如下所示。 在使用OOS之前，首先需要在天翼云网站www.ctyun.cn注册一个Account（账户）。注册成功之后，联系天翼云客服工作人员开通OOS服务，OOS会为该账户提供服务（Service），在该服务下，用户可以创建1个或多个Bucket（存储桶），每个存储桶中可以存储不限数量的Object（文件）。 Account 在使用OOS之前，需要在天翼云网站www.ctyun.cn注册一个Account（账户）。注册时邮箱、密码和手机号码是必填项。正确填写所需信息并进行实名认证之后，联系天翼云客服人员（客服电话：4008109889）申请开通OOS服务。开通OOS服务成功之后，用户可以用该账户登录并使用OOS服务。 Service Service是OOS为注册成功用户提供的服务，该服务为用户提供弹性可扩展的存储空间，用户可以根据自己的业务需要建立1至10个的存储桶（Bucket）。 Bucket 存储桶（Bucket）是存储文件（Object）的容器。对象存储的每个文件（Object）都必须包含在一个存储桶中。对象存储提供的是基于桶和文件的扁平化存储方式，桶中的所有文件都处于同一逻辑层级，去除了文件系统中的多层级树形目录结构。 您可以设置存储桶的属性，用来控制数据存储位置、访问权限、生命周期等，这些属性设置直接作用于该存储桶内的所有文件，因此您可以通过灵活的属性设置，来创建不同的存储桶，完成不同的管理功能。每个用户最多可以建立10个存储桶。用户只有对Bucket拥有相应的权限，才可以对其进行操作，这样保证了数据的安全性，防止非授权用户的非法访问。

本节介绍安全云应用客户端指南内容。 安全云应用由管理台统一管理和分发，用户登录国产化AI云电脑时，快捷方式会直接生成到用户桌面，用户无需手动安装客户端及应用，点击即可直接使用。 托盘功能 安全云应用提供了一个自运维工具，常驻在系统桌面右下角任务栏，用户可根据使用情况选择对应的功能，对服务进行维护与恢复。 USB设备管理：支持通过客户端调整外设的运行环境，例如需要把打印机从UOS同步到安全云应用的WPS环境时，可通过该功能，勾选对应打印机设备后即可使用。 网络参数配置：支持在国产化AI云电脑使用安全云应用中配置的网络代理，解决在国产化AI云电脑下无相关的vpn软件。 关闭所有应用：支持通过客户端从进程上直接结束应用，从而解决应用本身的卡死问题。 重启应用服务器：支持通过客户端直接重启安全云应用的实例虚机，从而重启整个服务，解决绝大部分的异常问题。 安全云应用输入法：输入法切换，使用安全云应用内输入法还是本机输入法。

本节介绍如何为防护域名开启IPv6防护。 如果需要对网站的IPv6请求流量进行防护，可以在域名接入WAF时开启IPv6功能。开启IPv6功能后，所有IPv6请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量转发给源站，实现恶意流量的拦截。 约束限制 IPv6功能仅支持在添加域名时配置，完成域名接入后IPv6配置无法修改，若需要修改，需要先删除已接入的域名，然后再重新接入域名。 若您的域名接入时未开启IPv6功能，后续需要开启IPv6请求防护时，需要重新接入域名。 若您的域名接入时开启了IPv6功能，如需关闭IPv6请求防护，需要重新接入域名。 基础版不支持开启IPv6功能，若需要防护IPv6流量，请购买标准版、企业版或旗舰版。 开启IPv6防护 域名首次接入WAF防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 点击“添加防护对象”进入域名接入信息配置页，打开IPv6开关，其余参数说明及操作请参见添加防护对象。

本文主要介绍健康检查UDP协议安全组规则说明。 操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到集群中的节点对应的节点，单击云主机名称，进入详情页面，记录安全组名称。 步骤 2 登录虚拟私有云控制台，在左侧导航栏单击“访问控制 > 安全组”，在界面右侧的安全组列表中单击步骤1获取的安全组名称。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云主机添加入方向规则，详细配置请参见下图，单击“确定”。 说明 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。 图 添加安全组规则

本文主要介绍如何更改弹性网卡所属安全组。 操作场景 您可以在弹性网卡列表页更改所属安全组，也可以进入弹性网卡详情页更改所属安全组。 操作步骤 在弹性网卡列表页，更改所属安全组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在弹性网卡列表页，单击操作列的“更多 > 更改安全组”。 5. 在“更改安全组”页面勾选需要关联的安全组，单击“确定”，完成更改。 在弹性网卡详情页，更改所属安全组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 单击待修更改安全组的弹性网卡名称，进入弹性网卡详情页。 5. 在“关联安全组”页签下，单击“更改安全组”。 6. 在“更改安全组”页面勾选需要关联的安全组，单击“确定”，完成更改。 更多操作 您可以在弹性网卡详情页“关联安全组”页签下单击“配置规则”，对安全组规则进行配置。

本小节介绍DDoS高防IP产品定义。 “天翼云DDoS高防IP”用户无需额外安装任何软件和部署硬件设备，无需人员培训，不受主备线路更换的限制。“天翼云DDoS高防IP”将多个云平台业务统一配置天翼云抗DDoS服务，电信天翼云会为每个独立的一级域名网站提供高防解析域名/IP地址，而后客户仅需将平台的域名CNAME解析更改新分配的IP，接入高防机房平台即可享受全面的DDoS攻击防护服务。 “天翼云DDoS高防IP”利用BGP实现了对攻击流量牵引导流的秒级全网生效，一条策略配置，全网生效；支持境内、境外流量防护。 DDoS防护服务在客户使用流量监控服务基础之上，向用户提供“天翼云DDoS高防IP”客户端、自服务界面、热线申告、邮箱申告四种服务方式。

本章节主要向您介绍如何删除安全组与安全组规则。 删除安全组 操作场景 当您的安全组不需要使用时，您可以删除不需要的安全组。 约束与限制 系统自带的默认安全组不能删除，默认安全组名称为default。 当安全组已关联至其他服务实例时，比如云主机、云容器、云数据库等，此安全组无法删除。请您将实例从安全组中移出后，重新尝试删除安全组。 当安全组作为“源地址”或者“目的地址”，被添加在其他安全组的规则中时，此安全组无法删除，需要删除该条规则或修改规则，然后重新尝试删除安全组。 比如，安全组sgB中有一条安全组规则的“源地址”设置为安全组sgA，则需要删除或者更改sgB中的该条规则，才可以删除sgA。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，选择目标安全组所在行的操作列下的“更多 > 删除”，弹出删除确认对话框。 3. 根据界面提示完成确认，确认无误后单击“确定”，删除安全组。 删除安全组规则 操作场景 当您不需要通过某条安全组规则控制流量流入/流出安全组内实例时，您可以删除安全组规则。 约束与限制 当您删除安全组规则前，请您务必了解该操作可能带来的影响，避免误删除造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。

本小节介绍DDoS高防IP实例列表。 收到公测申请创建成功的通知后，重新登录天翼云控制中心下的高防IP，点击【高防IP】菜单，页面显示客户购买的高防IP防护实例。购买后的实例可以续订及退订，用户新增高防IP防护时必须选择已经购买的实例ID。 用户购买高防IP实例后，天翼云通过接口把数据传送给高防IP自服务。相关信息通过实例列表进行展示。 具体字段如下： 参数 说明 实例ID 用户购买的实例ID。 服务带宽 用户购买的防护带宽。 回源业务带宽 用户购买的回源带宽。 业务类型 分为网站类和非网站类。 接入方式 静态防护，即非BGP节点，为单节点高防 IP。 动态防护，即BGP节点，在多个高防中心（华北1、华东1、华东2、华南）都会生成一个IP（同一个IP），可以实现高防IP负载调度的近源清洗。 高防节点 包括华北地区、华东地区1、华东地区2、华南地区。 购买时间 实例购买时间。 到期时间 实例的到期时间。 端口（限制） 源站IP限制为20个以内含20个。 源站端口有如下限制： 网站类业务：80、8080、8081、443、7443、8443。 非网站类业务：除80、443端口外可以选择任意端口进行转发。

本文介绍CDN加速资源包的选购指导。 当前天翼云CDN加速支持订购面向中国内地和全球（不含中国内地）的流量包，客户可按实际业务需求选购额度匹配的规格。 选购案例 客户需要为一个小型的电商平台做加速，以解决其电商网站商品信息加载失败、加载慢的问题。 应用场景：静态小文件（图片类为主）。 加速区域：中国内地。 搭配产品：使用天翼云媒体存储来负责网站的图片存储。 流量 业务额度评估 CDN加速下行流量 下行流量：200TB/年 媒体存储传输到天翼云CDN所产生的回源流量 选择媒体存储作为源站，CDN从媒体存储获取所需要的资源所产生的流量。这部分流量的收费，详情请见：媒体存储计费项。 流量包选购 如下为CDN加速（中国内地）流量包对应的规格和标准资费。 流量包规格（GB） 流量包标准资费（元/个） 100 17 500 85 1000 170 5000 850 10000 1700 50000 7650 200000 25500 1000000 127500 根据客户业务额度预估的下行流量——200TB/年，列出三种可选择购买的流量包规格及个数的组合。 直接订购1个200TB的下行流量包，标准资费为25500元。 订购4个50TB的下行流量包，总计标准资费为4765030600元。 订购20个10TB的下行流量包，总计标准资费为20170034000元。 综上所述，推荐客户直接购买一个200TB的流量包，总计的下行流量费用是最优惠的，可以看出大额度规格的流量包享受的优惠力度相对更大。如需了解CDN加速流量包更多优惠活动，详情请见：天翼云官网最新活动。

本小节介绍安全专区组建管理。 组件管理作为安全专区的核心区域，展示云防火墙、云日志审计、云堡垒机、终端安全EDR、云数据库审计等组件产品的状态信息，作为安全专区组件的入口，满足单点登录、统一管理的功能。 组件管理提供详细的安全组件信息，包括安全产品的产品规格、可存储空间、所属地域、所属VPC组、许可信息时间、版本信息及在线状态。 操作方法 1.点击【操作】下的设置，即自动进入云日志审计web管理界面。 2.如果需要选择恢复组件管理的配置，可选择点击【操作】→【配置恢复】，点击配置恢复按钮（只有终端安全EDR、云防火墙、云数据库审计才有恢复功能），显示组件的备份记录，选择所需恢复状态。 3.点击【恢复】，确定提交即可，则可成功恢复到备份时状态。

本节介绍了为什么弹性云主机可以远程连接,但是无法ping通的相关内容。 问题描述 云主机可以远程连接，但弹性公网IP无法ping通。 问题原因 需要添加安全组的入方向规则并开启ICMP协议。 处理方法 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表栏，单击目标弹性云主机名称。 系统进入弹性云主机详情页。 4. 选择“安全组”页签，展开安全组，并单击安全组ID。 5. 在“安全组”页面的“入方向”页签下，单击“添加规则”。 6. 根据如下参数要求，添加安全组入方向规则，开启ICMP协议。 − 协议：ICMP − 源地址：IP地址 0.0.0.0/0

云防火墙和安全组、网络ACL的访问控制有什么区别？ 云防火墙、安全组、网络ACL都可以实现通过IP地址/IP地址组设置访问控制策略，为您的互联网边界和VPC边界、弹性云服务器、子网提供防护。 云防火墙和安全组、网络ACL的主要区别如下所示。 类别 云防火墙 安全组 网络ACL 定义 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持AI提升智能防御能力满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。 防护场景 互联网边界 VPC边界 SNAT场景 弹性云服务器 子网 功能特性 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。 支持通过地理位置、域名、域名组、黑/白名单过滤。 支持入侵防御系统（IPS）、病毒防御（AV）功能。 支持三元组（即协议、端口和对端地址）过滤。 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。

本小节介绍如何进行文件验证。 按照CA中心的规范，如果您申请了SSL证书，则必须完成域名验证（又称验证域名所有权）来证明待申请证书要绑定的域名属于您。 文件验证，是指您手动从证书管理服务控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。CA机构验证文件路径可以被访问，则表示验证通过。 注意 目前CA中心仅支持向80、443端口发起验证请求，因此您的业务需开放80、443端口。 天翼云仅支持绑定IP域名和单域名类型证书使用文件验证。 验证步骤 获取验证信息 提交证书申请后，单击“证书验证”，获取证书验证信息。如下图所示。 您可以直接单击“操作”列的“导出文件”，将需要上传的文件导出至本地。 创建文件 1. 登录您的服务器，并且确保域名已指向该服务器并且对应的网站已正常启用。 2. 在现有网站目录的根目录下，创建指定的文件。该文件包括文件目录、文件名、文件内容。 说明 网站根目录是指您在服务器上存放网站程序的文件夹，大致有这几种表示名称：publichtml、htdocs、assets、logs等。请您根据实际环境进行操作。 1. 依次执行以下命令，在服务器的Web根目录（Nginx服务默认为/var/www/html/） 下创建文件验证目录（ .wellknown/pkivalidation/）。 plaintext cd /var/www/html mkdir p .wellknown/pkivalidation 2. 在 /var/www/html/.wellknown/pkivalidation/目录下，创建fileauth.txt 文件，fileauth.txt 为验证信息中显示的文件名。在fileauth.txt文件中把验证信息中的文件内容复制粘贴上去。 说明 您可以直接在控制台选择“导出文件”，直接将文件上传至相关目录。 3. 打开浏览器，根据验证的域名类型，访问对应的链接地址，确保访问链接地址可获取到文件内容。 链接地址格式为： 4. 成功配置文件验证信息后，等待CA中心对文件验证信息进行审核，审核通过后，证书变为“已签发”状态。

本文帮助您快速熟悉虚拟私有云创建安全组的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表右上方，单击“创建安全组”。进入“创建安全组”页面。 5. 根据界面提示，设置安全组参数。 6. 安全组参数设置完成后，可以在创建页面下方查看模板的入方向和出方向规则，确认无误后，单击“确定”。 表 参数说明 参数 参数说明 取值样例 名称 必选参数。安全组的名称。安全组的名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 说明：安全组名称创建后可以修改，建议不要重名。 sg318b 描述 可选参数。安全组的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

在开通和使用天翼云多活容灾服务平台之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接开通多活容灾服务平台。 1. 打开天翼云门户网站，点击"免费注册"。 2. 在注册页面，选择短信注册或账号注册，并填写相应的信息。点击获取验证码，如1分钟内手机未收到验证码，请再次点击“获取验证码”按钮。 3. 阅读并勾选协议，点击“注册” 按钮。 4. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 5. 如需实名认证，请参考会员服务实名认证。

本节内容为您介绍购买弹性云主机的方式,以及购买前注册天翼云账户并实名认证的操作步骤。 购买方式简介 说明 自定义购买弹性云主机：自定义购买可以灵活地选择计费模式、配置项，针对不同的应用场景，可以选择不同规格的弹性云主机，全方位贴合您的业务诉求。 我们以自定义购买方式、创建密码鉴权方式的弹性云主机为例，以“图+文字”的形式为您介绍弹性云主机创建流程： 新手入门： 注册天翼云并实名认证 如果您已有一个天翼云帐户，请跳到下一个任务。如果您还没有天翼云帐户，请参考以下步骤创建。 1. 打开天翼云网站 2.在注册页面，请填写“邮箱地址”、“密码”、“确认密码”、“手机号码”，并点击“同意协议并提交”按钮，如1分钟内手机未收到验证码，请再次点击“重新获取短信验证码”按钮。 注册成功后，系统会自动跳转至您的个人信息界面。 3、选择一种账号类型。 4、以个人认证身份证认证为例，选择身份证认证方式。 5、使用天翼云APP扫描二维码，按照提示完成认证。

vCPU 弹性云主机的处理器运用超线程技术，CPU会在每个物理内核上公开两个执行上下文。一个物理内核包含两个“逻辑内核”，可以处理不同的软件线程。 例如，10核的物理CPU包含20个vCPU（线程）。 独享型实例和共享型实例 维度 独享型实例 共享型实例 CPU分配策略 当前实例独享CPU，实例间无CPU资源争抢。 多实例共享CPU，实例间可能出现CPU资源争抢。 特点 高性能独享且稳定的计算、存储、网络资源高成本。 高负载时性能不稳定共享的计算、存储、网络资源低成本。 适用场景 对业务稳定性有高要求的企业场景。 对建设成本有要求的中小网站或个人场景。 实例规格 除“通用型”和“通用入门型”之外的实例规格。 “通用型”和“通用入门型”。

本页面介绍云数据库ClickHouse的实践教程。 本页面以UK property prices和Brown University Benchmark数据集为例，演示了如何将测试数据集导入云数据库ClickHouse并进行数据检索与分析。 准备工作 在开始测试之前，需要完成以下准备工作： 1. 创建了目标云数据库ClickHouse实例。详细的操作步骤，请参考创建实例。 2. 创建了用于目标云数据库ClickHouse集群的数据库账号和密码。详细的操作步骤，请参考创建账号。 3. 确保导入数据及执行命令的机器可以连接到云数据库ClickHouse实例。 4. 根据云数据库ClickHouse集群的版本，下载并安装相应版本的clickhouseclient工具。 步骤说明 1. 打开命令行终端，并进入clickhouseclient工具所在的目录。 2. 使用clickhouseclient连接到云数据库ClickHouse集群，使用先前创建的数据库账号进行身份验证。 3. 下载相应数据集，这些数据集可以从开源网站获取。 4. 将数据集导入到云数据库ClickHouse集群中，可以使用clickhouseclient的导入命令进行数据导入。 5. 进行数据分析与查询，可以执行各种查询语句，比较查询性能指标如查询时间、吞吐量等。 通过执行以上步骤，您可以将测试数据集导入到云数据库ClickHouse中，并进行性能测试以评估系统的查询性能和吞吐量。 UK property prices数据集 该数据集包含有关英格兰和威尔士的房地产交易价格的数据，从1995年开始提供，未压缩形式下数据集的大小约为4 GiB（在云数据库ClickHouse中仅占用约278 MiB）。

本文带您了解虚拟私有云的功能特性。 100%安全隔离 不同VPC之间通过Overlay隧道技术实现二层网络隔离、租户间100%隔离，不同VPC之间默认不能通信。隧道技术可以有效的保护业务安全性。 按需灵活规划网络 您可以按照业务规划VPC子网的网段，VPC支持的网段如下：10.0.0.0/828、172.16.0.0/1228、192.168.0.0/1628。子网的网段须在VPC网段范围内，且子网的掩码范围为：子网所在VPC掩码28。部分资源池VPC网段掩码、子网网段掩码支持29，请以控制台实际功能为准。 子网是虚拟私有云内的IP地址块，通过划分子网可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重叠。 访问控制，安全规范 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的安全防护功能，通过出方向/入方向规则控制关联子网的出入数据流。网络ACL与安全组类似，都是安全防护策略，当您想增加额外的安全防护层时，就可以启用网络ACL。安全组对云服务器进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。

本文解释当出现解析记录冲突时的处理方法。 背景说明 使用CDN加速时，需要网站将域名CNAME至天翼云权威DNS。DNS解析过程中，各记录类型之间是有优先级的，所以在主机记录相同、解析线路相同的情况下，有几种记录类型是不能共存使用的，否则会给用户造成配置风险，导致业务不可用的情况发生。 问题一：添加记录时，提示A和CNAME记录冲突 相同主机记录，相同线路下，A记录和CNAME记录不支持同时添加，此时，您可以删除A记录的同时配置CDN厂商的CNAME记录。（A记录删除不影响网站的访问，因为在您成功添加CDN加速域名后，系统已经为您分配一个CNAME域名，您在域名解析服务商处将服务域名的DNS解析记录指向该CNAME域名，客户端的访问请求会被转发到CDN加速节点上，实现加速的效果。） 问题二：添加记录时，提示MX和CNAME记录冲突 相同主机记录，相同线路下，MX记录和CNAME记录也不支持同时添加。MX记录为邮件交换记录，一般主机记录为形如ctyun.cn的域名。此类域名如同时添加CNAME记录，因CNAME记录优先级最高，会将邮件交换请求引导至CNAME地址，而CNAME地址如不支持此类服务，将会影响邮件业务。建议网站的加速域名与邮箱域名规划时要区分开来，避免造成此类风险。 如发生MX记录和CNAME记录冲突，您可以通过如下方式来解决： 1. 以ctyun.cn域名为例，可添加该域名的MX记录，同时添加该域名的A记录，解析到网站IP，具体如下： 域名 记录类型 记录值 ctyun.cn MX 5 mail.ctyun.cn ctyun.cn A 1.1.1.1 2. 在ctyun.cn解析到的网站IP上，配置ctyun.cn域名301/302跳转至www.ctyun.cn。 3. 对子域名www.ctyun.cn添加CNAME解析。

本小节介绍云下一代防火墙确认安全需求。 确认安全需求 订购云下一代防火墙前需确认订购规格及安全功能，按需进行订购。 具体规格需求见规格。 订购云下一代防火墙时会自动匹配合适的云主机，无需客户单独购买。

什么是恶意网站警告？ 系统通过国家信誉库自动同步恶意网站数据，对访问该列表网站的用户进行警告提示，同时运维管理员可自定义添加恶意网站。 大型企业，架设了多个防火墙，是否需要对本设备放过拦截？ 根据防火墙策略而定，协议识别和漏洞扫描都需要发送很多数据包（TCP/UDP层的），但是这些包并不是攻击包；如果发送这些包也会拦截，就需要在防火墙将设备IP加入到白名单，如果防火墙没有拦截就不需要（结合业务优化调测）。 资产漏洞的风险值是如何计算的？ 单条漏洞的风险值为该漏洞的CVSS分值。 资产漏洞风险值 为该资产所有漏洞当中CVSS值最高前十的总和，即资产漏洞风险值 SUM (TOP10 漏洞CVSS评分）。 资产威胁的风险值是如何计算的？ 单条威胁的风险值 可信度转换系数 关键程度 10 其中： 可信度转换系数：规则库中定义的高中低可信度，分别对应系数1、0.8、0（高：应用层协议有请求响应，且响应成功的，中：有双向报文的，低：只有单向报文的） 关键程度：规则库中根据严重级别定义的，取值区间为110（低风险：13，中风险：46，高风险：710） 资产威胁风险值 为该资产所有威胁风险值的平均值，即资产威胁风险值AVG(所有威胁风险值）。