本节介绍了云数据库GaussDB 的产品优势。 高安全 云数据库GaussDB 拥有TOP级的商业数据库安全特性：数据动态脱敏，TDE透明加密，行级访问控制，密态计算。能够满足政企&金融级客户的核心安全诉求。 健全的工具与服务化能力 云数据库GaussDB 已经拥有云服务商用服务化部署能力，同时支持DAS、DRS等生态工具。有效保障用户开发、运维、优化、监控、迁移等日常工作需要。

备案过程中任何问题都可以电话、工单、在线的形式咨询备案专员。 电话：40081098893 工单：天翼云官网（www.ctyun.cn）——右上角“我的”——工单管理——新建工单 在线客服：点击官网智能客服 1、登录天翼云门户www.ctyun.cn，点击备案 2、点击开始备案。 3、选择立即备案，填写单位信息 4、点击“详情”去录入信息 5、如实填写主办单位信息，单位名称要和取得域名的单位名称要保持一致 6、填写单位负责人信息，即单位的法人 7、点击下一步“填写网站/APP信息” 8、注意，如果单位的经营范围（以经营执照上的内容为准）涉及到前置审批，需要额外上传相应的经营许可证，如政府部门颁发的网络游戏许可证、金融许可证等。 9、填写备案的IP，如果IP在此提交备案的账号下，可以选择“使用自有接入服务号”，会直接弹出该IP的信息。如果IP不在此账号下，可以选择“使用他人接入服务号”。 他人接入服务号查询路径：登录IP所属天翼云账号，天翼云官网（ctyun.cn）首页备案我的备案接入服务号管理。 以上方法如无法查询到接入服务号，可以提交工单，工单中写明公网IP地址，由备案客服后台查询告知您接入服务号，多个服务号之间用英文分号分隔。 10、确认备案信息，点击“下一步，上传备案材料” 11、建议选择“通过微信小程序采集图片”，此步骤会通过手机进行网站负责人的活体验证，免去传统备案方式的邮寄幕布拍照过程，缩短备案所需时长，方便快捷 12、扫描二维码，进入微信小程序，以下操作均由网站负责人进行，务必使用网站负责人的手机和微信号进行操作 13、弹出如下界面 14、选择授权 15、上传单位负责人（法人）的身份证照片、营业执照的照片（要用高清照片拍摄，否则会提示翻拍导致识别失败），请在识别文字后确认单位名称文字显示是否准确，单位名称中带有标点符号，请注意输入格式 16、网站负责人进行活体验证，需要手机开启摄像头，进行点头，摇头等操作。注意，需要用白色背景拍摄 17、完成图片采集完成后会自动生成 18 位验证码，需将验证码填报至下图指定位置后，点击“确定”按钮，系统会自动将图片对应到相应位置 18、检查图片并提交审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。 审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行审核；提交管局后，请主体和网站负责人收到验证短信后（发信号码12381），在24 小时内按照短信指引完成，否则会被管局退单；反之，审核拒绝，退回备案信息给备案发起人进行修改。

本章节向您介绍如何修改安全组基本信息及安全组规则。 修改安全组基本信息 操作场景 安全组创建完成后，您可以修改安全组的名称和描述。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列下的“更多 > 修改”，弹出“修改安全组”对话框。 3. 根据界面提示，修改安全组的名称和描述信息。 4. 参数修改完成后，单击“确定”，保存修改。 修改安全组规则 操作场景 当安全组规则设置不满足需求时，您可以修改安全组中的规则，保证云主机等实例的网络安全。您可以修改安全组规则的端口号、协议、IP地址等。 约束与限制 当您修改安全组规则前，请您务必了解该操作可能带来的影响，避免误操作造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。 在入方向中，下表中的入方向规则，确保安全组内实例的内网网络互通，不建议您修改该安全组规则。 在出方向中，下表中的出方向规则，允许所有流量从安全组内实例流出。如果您修改了该规则，可能导致安全组内的实例无法访问外部，请您谨慎操作。 方向 策略 类型 协议端口 源地址/目的地址 入方向 允许 IPv4 全部 源地址：当前安全组 入方向 允许 IPv6 全部 源地址：当前安全组 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 出方向 允许 IPv6 全部 目的地址：::/0

本小节介绍云下一代防火墙如何开启防护功能？ 登录管理界面：首先，使用管理员凭据登录到云下一代防火墙的管理界面，可以在Web浏览器中输入设备的管理方式来访问云下一代防火墙管理界面。 导航到防护功能：在管理界面对象中，找到防护功能（IPS、AV、URL、OQS、IP信誉库、僵尸网络防御、云沙箱）进行防护功能模版的配置，防护功能模版详细操作详见云下一代防火墙WebUI用户手册。 启用防护策略：选择外网卡的安全域（网络安全域）或安全策略，然后开启且调用所需的安全功能模板。 监控和日志记录：启用监控和日志记录功能（监控日志编辑对应日志开启日志缓存），以跟踪安全事件、威胁检测以及系统性能。这有助于实时监视和分析潜在的威胁。 测试和优化：在启用防护功能后，建议进行测试以确保其正常运行，并进行必要的优化，以适应业务需求。

操作步骤 导入规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要导入安全组规则的安全组，单击安全组名称进入详情页，进入安全组详情页。 6. 在安全组详情界面，单击“导入规则”按钮，选择需要导入的文件； 7. 在导入规则弹窗中，您可以选择“下载模板”，在模板中填好需要导入的安全组规则。模板中需要填写的规则字段，具体可以参考添加安全组规则页面。 8. 在弹窗中将会自动生成预览规则，如果存在导入失败的规则，您可以在预检查列查看失败原因。单击“确定”按钮，可以将文件中安全组规则导入安全组中。 导出规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要导出安全组规则的安全组，单击安全组名称进入详情页，进入安全组详情页。 6. 在安全组详情界面，单击“导出规则”按钮。 7. 单击“确定”按钮，可以将当前安全组规则导出成文件。

本节主要介绍产品定义。 什么是云容器引擎？ 云容器引擎(CT Cloud Container Engine，简称CCE)提供高可靠、高性能的企业级Kubernetes集群托管服务，支持运行Docker容器，帮助用户在云上轻松部署、管理和扩展容器化应用程序。 为什么选择云容器引擎？ 云容器引擎深度整合高性能的计算（ECS）、网络（VPC/EIP/ELB）、存储（EVS/OBS/SFS）等服务，支持多可用区（Available Zone，简称AZ）、多区域（Region）容灾等技术构建Kubernetes高可用集群。 产品形态 云容器引擎包含多种产品形态。 集群类型 CCE Standard CCE Turbo 产品定位 标准版本集群，提供高可靠、安全的商业级容器集群服务。 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速。 使用场景 面向有云原生数字化转型诉求的用户，期望通过容器集群管理应用，获得灵活弹性的算力资源，简化对计算、网络、存储的资源管理复杂度。 适合对极致性能、资源利用率提升和全场景覆盖有更高诉求的客户。 网络模型 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 hostPort 支持 不支持 网络性能 VPC网络叠加容器网络，性能有一定损耗 VPC网络和容器网络融合，性能无损耗 容器网络隔离 容器隧道网络模式：集群内部网络隔离策略，支持NetworkPolicy。 VPC网络模式：不支持 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 容器资源隔离 普通容器：Cgroups隔离 安全容器：当前仅物理机支持，提供虚机级别的隔离 普通容器：Cgroups隔离 边缘基础设施管理 不支持 支持管理智能边缘小站

本文简述URL黑/白名单的功能、注意事项和配置方法。 功能介绍 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 URL黑名单：将特定的URL地址添加到黑名单中，CDN将拦截并阻止所有对该URL的访问请求。这主要用于禁止用户访问不安全或不被允许的网站资源。 URL白名单：与黑名单相反，白名单允许用户访问列表中的特定URL地址。只有被明确添加到白名单中的URL才能被访问，其他URL禁止访问。 注意事项 1. URL黑名单与URL白名单只能二选一，不可同时配置，为互斥关系。 2. URL黑名单请求仍可访问到CDN加速节点，但是会被CDN加速节点拒绝并返回403状态码。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【URL黑白名单】模块，开启功能。 6. 设置类型，选择【白名单】或【黑名单】，使用换行符分隔，支持正则表达式。 7. 单击【保存】，完成配置。 参数名 说明 URL黑白名单 默认关闭，开启后可配置URL黑白名单。 类型 可选择配置白名单或者黑名单，二选一。配置需使用正则表达式，只匹配uri及?后参数。 黑名单：黑名单内的URL资源无法访问。 白名单：只有白名单内的URL资源可以访问。

弹性云主机(CTECS,Elastic Cloud Server)是一种可随时获取、弹性可扩展的计算服务。云主机由 CPU、内存、镜像、云硬盘组成,同时结合VPC、安全组、数据多副本保存等能力,打造一个既高效又可靠安全的计算环境,确保服务持久稳定运行。

基础配置 1. 根据您的需要选择计费方式：包年/包月或按量付费。 规格分类处选择“GPU加速/AI加速型”，在下方的规格列表的pi2和pi7中选择需要的规格。 2. 选择镜像“ubuntuLLaMA2StableDiffusionWebUIGPU（预装大模型环境）(60GB)”或“ubuntuLLaMA3StableDiffusionWebUIGPU（预装大模型环境）(60GB)，点击“下一步：网络配置”。 网络配置 1. 点击“创建安全组”按钮，跳转至网络控制台安全组页面。 2. 点击“创建安全组”按钮，在弹窗中等待模板下拉菜单选择“开放全部端口” 3. 点击“确定”，完成安全组创建。 4. 返回云主机订购页面，点击“选择安全组”按钮，在安全组列表中勾选刚才创建的安全组。 5. 点击“确定”，完成安全组选择。 6. 弹性IP选择“自动分配”，根据需要选择带宽大小。为确保大模型学习机顺畅运行，如有其他数据下载需求, 建议10M以上, 否则建议5M及以下。 7. 点击“下一步：高级配置”。 8. 根据提示完成高级配置，点击“下一步：确认配置”。确认配置无误后，点击“立即购买”。 9. 支付成功后返回云主机控制台，选择订购云主机所在的地域。云主机状态变更为“运行中”后即为开通成功，可以进行后续操作。

本文介绍DRDS怎么选择安全组。 DRDS使用中有两个场景需要考虑VPC、子网、安全组，包括实例订购、实例访问使用。 实例订购 订购DRDS实例，需选择VPC、子网、安全组。如用户未创建VPC、子网或者安全组，请通过天翼云“控制中心虚拟私有云”进入VPC管理页面，创建VPC、子网或者安全组（访问控制安全组），系统会默认创建一个安全组，用户可以新建或者在默认安全组基础上修改。 实例订购完成，无法修改实例所在VPC及子网，请提前规划DRDS实例所在的VPC及子网（比如：和应用程序或者ECS主机在同一个VPC，方便使用），避免后续需要修改。 实例访问 若DRDS实例未绑定弹性公网IP，则用户只能在同一个VPC内的ECS主机等访问DRDS实例，建议应用程序、ECS主机、DRDS、MySQL实例都使用同一个VPC、子网及安全组，保证应用程序或者ECS能访问到DRDS实例。 用户可以通过安全组规则，限制可以访问DRDS实例的IP、协议、端口等，具体安全组规则修改可以参考修改安全组规则。 修改安全组，务必确保安全组允许用户的应用程序或弹性云主机能访问DRDS实例端口，避免修改出入规则后导致无法访问。

本章节主要介绍虚拟私有云。 使用虚拟私有云（Virtual Private Cloud，VPC），您可以在您自己的逻辑隔离区域中定义虚拟网络，为物理机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置物理机的内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间的访问规则，加强物理机的安全保护。

本章节介绍了云上使用分布式消息服务RocketMQ需要准备的云主机、网络等相关环境。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为RocketMQ实例提供一个隔离的、用户自主配置和管理的虚拟网络环境。 1. 在创建RocketMQ实例前，确保已存在可用的虚拟私有云和子网。 创建方法，请参考创建虚拟私有云和子网。如果您已有虚拟私有云和子网，可重复使用，不需要多次创建。 在创建VPC和子网时应注意如下要求： 创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。 创建VPC和子网时，配置参数建议使用默认配置。 2. 在创建RocketMQ实例前，确保已存在可用的安全组。 创建方法，请参考创建安全组。如果您已有安全组，可重复使用，不需要多次创建。 在创建安全组时应注意如下要求： 创建安全组时，“模板”选择“自定义”。 使用分布式消息服务RocketMQ必须添加表1所示安全组规则，其他规则请根据实际需要添加。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 通过内网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口 说明 安全组创建后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则。此时使用内网通过同一个VPC访问RocketMQ实例，无需添加表1的规则。

本节介绍设置安全的口令。 请按如下建议设置口令： 使用复杂度高的密码 建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合： 大写字母（AZ） 小写字母（az） 数字（0~9） 特殊字符 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份 数字或字母连排或混排，常用彩虹表中的密码、滚键盘密码 短语密码 公司名称、admin、root等常用词汇 说明 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

本节主要介绍通过负载均衡地址连接实例（推荐） 。 操作场景 本章节以Linux操作系统为例，指导您通过负载均衡地址的方式连接GeminiDB Influx实例。 使用须知 目标实例必须与弹性云主机在同一个虚拟私有云和子网内才能访问。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为 默认安全组 ，则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 前提条件 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机快速入门》中购买弹性云主机的内容。 下载InfluxDB客户端，以Linux 64bit为例。 SSL连接 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 使用如下命令，进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 ./influx ssl unsafeSsl username ' ' password ' ' host port 示例： ./influx ssl unsafeSsl username 'rwuser' password ' ' host 192.xx.xx.xx port 8635 表1 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 待连接实例的负载均衡地址。负载均衡地址目前处于公测阶段，如需使用，请您联系客服申请开通。 场景一：在创建实例之前，如果您已经申请开通了负载均衡地址，您可以在创建实例页面查看到系统默认勾选负载均衡地址。待实例创建成功后，您可以单击实例名称，进入“基本信息”页面，在网络信息区域获取到“负载均衡地址”。 场景二：如果实例已创建成功，此时如果需要使用负载均衡地址，则需要联系客服帮您开通。开通成功后，您可以单击实例名称，进入“基本信息”页面，刷新页面，在网络信息区域获取到“负载均衡地址”。 实例的端口。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 负载均衡地址”处获取端口信息。 5. 出现如下信息，说明连接成功。 Connected to version 1.7.4 InfluxDB shell version：1.7.9 >

本节介绍云等保专区产品的数据库审计。 数据库审计v1.0是专业的数据库应用安全防护产品，帮助用户应对网站运营中的安全风险，为数据库应用提供全方位的防护，提供覆盖数据库使用全生命周期的安全防护解决方案。 功能介绍 产品功能分为原始信息收集 、审计信息标准化 、审计信息筛选 、预警与报表四大模块。 原始信息收集 通过旁路镜像的模式部署 不改变用户现有网络结构 不占用数据库服务器资源 不影响数据库性能 支持分布式部署 实现配置与报表的集中管理 并发流量采集与处理、多点存储、多级管理 自动定期发现功能，及时发现未知数据库 审计信息标准化 支持国内外主流数据库，包括传统的数据库系统、大数据系统和Web系统等。 具体支持的系统和版本如下表所示： 数据库分类 数据库系统 版本 关系型 Oracle 8i、9i、10g、11g、12c、18c、19c、21c 关系型 MySQL 4.0、4.1、5.0、5.1、5.5、5.6、5.7、8.0 关系型 SQL Server 2000、2005、2008、2012、2014、2016、2017、2019 关系型 Sybase ASE 11.9、12.5 关系型 DB2 v80、v81、v82、v95、v97、v10.5、v11.1、v11.5 关系型 Informix IDS9 关系型 Oscar 5.5、5.7 关系型 达梦（DM） DM7、DM8 关系型 Cache 2010、2016 关系型 PostgreSQL 9、10、11、12、13、14 关系型 Teradata 所有版本 关系型 人大金仓（Kingbase） V6、V7、V8 关系型 GBase 8.5a、8.8s 关系型 MariaDB 5.1、5.2、5.3、5.5、10.0、10.1、10.2、10.3 关系型 Hana 1.0、2.0 关系型 GaussDB 100、200、300 关系型 LibrA 6 关系型 KDB 11 关系型 Sybase IQ 15.4 关系型 TiDB 4.X、5.X 关系型 Vertica 7、8、9、10、11 关系型 OceanBase 2.X 关系型 PolarDB MySQL、PostgreSQL、兼容Oracle语法 关系型 PolarDBX 1.0/MySQL5、1.0/MySQL8、2.0/MySQL5.7 关系型 AnalyticDB MySQL、PostgreSQL 关系型 TBase V2 关系型 HighGo 6.0 关系型 TDSQLC MySQL 5.7、8.0 关系型 TDSQLC PostgreSQL 10、14 非关系型 MongoDB 2.x、3.x、4.x、5.x 非关系型 HBase（protobuf） 所有版本 非关系型 HBase（thrift） Thrift1、thrift2 非关系型 Hive 1.X、2.X、3.X 非关系型 Redis 所有版本 非关系型 Elasticsearch 所有版本 非关系型 Cassandra 3.X 非关系型 HDFS 所有版本 非关系型 Impala 3.X 非关系型 Graphbase 6 非关系型 Greenplum 5、6 非关系型 Spark SQL（thrift） 1.x、2.x 非关系型 Spark SQL（RESTful） 1.x、2.x 非关系型 SSDB 所有版本 非关系型 ArangoDB 3.4.9 非关系型 Neo4j 4.2.0 非关系型 OrientDB 3.1.6 大数据 HBase（protobuf） 所有版本 大数据 HBase（thrift） thrift1、thrift2 大数据 Hive 1.X、2.X、3.X 大数据 Cassandra 3.X 大数据 HDFS 所有版本 大数据 Impala 3.X 大数据 Graphbase 5、6 大数据 Spark SQL（thrift） 1.x、2.x 大数据 Spark SQL（RESTful） 1.x、2.x 大数据 SSDB 所有版本 大数据 MAX COMPUTE 所有版本 图形 Graphbase 6 图形 ArangoDB 3.4.9 图形 Neo4j 4.2.0 图形 OrientDB 3.1.6 全文检索 Elasticsearch 所有版本 文档 MongoDB 2.x、3.x、4.x、5.x 文档 ArangoDB 3.4.9 键值 Redis 所有版本 其他 HTTP 所有版本 其他 Telnet 所有版本 其他 FTP 所有版本 RDS MySQL 5.5、5.6、5.7、8.0 RDS SQL Server 2008 R2云盘版、2012 Web、2012企业版 单机、2012企业版、2012标准版、2014企业版、2014标准版、2016 Web、2016企业版、2016标准版、2017 Web、2017企业集群版、2017标准版、2019 Web、2019企业集群版、2019标准版 RDS PostgreSQL 10、11、12、13、14 将不同数据库协议按照标准化的格式进行展示，方便管理人员阅读和分析。

专属云中的云容器引擎 场景特点：专属云容器引擎在天翼公有云中为企业用户提供物理隔离的资源和服务专属云空间。租户独占计算资源和存储资源，并使用天翼云高可靠的云网络，满足租户应用系统的高可靠、高性能和高安全等要求，支撑企业关键应用，减轻企业运维负担 场景优势： 专属隔离 租户在专属云中独享计算资源、存储资源和容器集群，与公有云其它租户的资源物理隔离，满足特殊行业核心数据隔离合规等要求 安全可靠 资源独占零抖动，服务专享高安全，可支持云上云下双中心、多点容灾备份 灵活组合 专属云中的云容器引擎支持与数据库、应用平台等服务实例对接，可灵活搭配公有云服务，实现资源弹性扩容

本文介绍Kafka如何配置安全组 客户端只能部署在与Kafka实例处于相同虚拟私有云（VPC）和相同子网的弹性云主机（CTECS）上。 除了CTECS、Kafka实例必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，客户端才能访问Kafka实例。 如果CTECS、Kafka实例配置相同的安全组，安全组创建后，默认包含组内网络访问不受限制的规则。 如果CTECS、Kafka实例配置了不同安全组，可参考如下配置方式： 说明 假设CTECS、Kafka实例分别配置了安全组：sgsCTECS、sgsKafka。 以Kafka访问端口9098为例，其它实例请以实际情况为准。 以下规则，远端可使用安全组，也可以使用具体的IP地址。 配置CTECS所在安全组。CTECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问Kafka实例。如果出方向规则不受限，则不用添加。 配置Kafka实例所在安全组。Kafka实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。

云防火墙的应用场景及限制。 约束限制 CFW ALG标签功能受限。 CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议优先使用自定义域名服务器。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护、扩容引擎）需要客户端重新发起连接。 外部入侵防御 通过云防火墙，对已开放公网访问的服务资产进行安全盘点，可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制，可对主动外联行为进行精准管控。 VPC间互访控制 云防火墙支持VPC间流量的访问控制，实现内部业务互访活动的可视化与安全防护。 等保合规 云防火墙可满足《网络安全等级保护2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求。

本文介绍云主机错误状态及解决方案。 一、引言 随着云计算技术的快速发展，云主机已经成为企业、个人和开发者们进行互联网应用的首选。然而，使用云主机的过程并非完全顺利，可能会遇到各种错误状态。本文将详细探讨云主机错误状态的类型、原因以及解决方案，帮助用户更好地管理和维护自己的云主机。 二、云主机错误状态类型 1. 网络错误 网络错误是云主机使用过程中最常见的错误类型之一。网络错误可能包括网络连接超时、无法连接到远程服务器或网络连接中断等。这些错误通常是由于网络配置问题、网络设备故障或网络拥堵等原因引起的。 2. 服务器错误 服务器错误通常包括服务器启动失败、运行异常、过载等。这类错误可能是由于服务器硬件故障、软件问题、操作系统故障或服务器资源不足等原因引起的。 3. 应用程序错误 应用程序错误是指运行在云主机上的应用程序出现错误。这类错误可能包括应用程序崩溃、运行缓慢、内存泄漏等。这些错误可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。 4. 安全错误 安全错误是指与安全相关的错误，如身份验证失败、权限问题或安全策略冲突等。这些错误可能是由于用户名或密码错误、权限配置错误或安全策略设置不当等原因引起的。 三、云主机错误状态原因分析 1. 网络问题 网络问题可能是由于网络设备故障、网络连接问题或网络配置不当等原因引起的。例如，如果云主机的网络设备出现故障，或者网络连接被中断，那么就会出现网络错误。此外，如果网络配置不正确，例如DNS解析不正确，也可能会导致无法连接到远程服务器。 2. 服务器硬件故障 服务器硬件故障可能是由于服务器硬件设备出现故障或服务器资源不足等原因引起的。例如，如果服务器的硬盘出现故障，那么服务器可能无法启动或运行异常。此外，如果服务器的资源不足，例如内存不足或CPU过载，也可能会导致服务器运行异常。 3. 应用程序问题 应用程序问题可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。例如，如果应用程序的代码存在错误，那么应用程序可能无法正常运行。此外，如果应用程序的配置不正确，例如数据库连接不正确或文件路径错误，也可能会导致应用程序运行异常。 4. 安全问题 安全问题可能是由于身份验证失败、权限问题或安全策略冲突等原因引起的。例如，如果用户名或密码不正确，那么身份验证可能会失败。此外，如果权限配置不正确，例如权限设置过于宽松或过于严格，也可能会导致权限问题。另外，如果安全策略设置不当，例如过于宽松的安全策略或过于严格的安全策略，也可能会导致安全问题。

本小节介绍渗透测试价格，分为小型、中型和大型三类，客户可根据自身系统规模进行选择。 订购须知 1、渗透测试以电子报告形式提供一次性服务； 2、功能点指应用系统中可增删改查业务数据的入口或流程，针对多个页面有新增、上传等功能点且api接口、参数都相同，可计为一个功能点； 3、本产品一经订购立即生效，除不可抗力外不支持退订。渗透测试服务有效期为一个自然年，即从购买之日起一年内都可以联系我们进行实施。强烈建议您购买后尽快实施，解决安全问题宜早不宜迟，到期后渗透测试服务不可再使用。 资费说明 渗透测试资费标准价格如下： 描述 规格 单价 小型 小型系统渗透测试：测试对象功能点1~10个; 10,000元/次 中型 中型系统渗透测试：测试对象功能点1160个； 40,000元/次 大型 大型系统渗透测试：测试对象功能点61120个； 70,000元/次 例如： 展示类系统，如门户网站包含展示页面5个、反馈页面1个，页面中无其他增删改查功能点，功能点数量为6个≤10个，为1个小型系统。 交互查询类，如政务网站、订票、业务办理等系统，包含5个1级功能入口>共10个2级功能页面，每个页面包含增删改查4个功能点，则该系统功能点数量累计为40≤60个，为1个中型系统，可下单1个中型系统或者4个小型系统。 交易管理类，以交易、复杂管理系统为主，如OA、电商、网银、app、管理后台等系统，包含10个1级功能入口>共28个2/3级功能页面，每个页面包含增删改查下载上传6个功能点，则该系统功能点数量累计为168≥120个，等同于1个大型（120以内）+1个中型（60以内）系统，可下单1个大型系统和1个中型系统。 注意 具体以各版本的订购页面和控制台展示为准。

本小节介绍安全专区防御能力及安全评分。 防御能力 防御能力展示已部署的安全能力及组件信息。 安全评分 展示云资产整体安全水平，掌握资产的安全分值，发现资产安全风险数量。

产品名称 提供方式 收费方式 产品规格 业务类型 翼建站 镜像 套餐 手机微网站 支持订购、升级、续订、退订 不支持试用 翼建站 镜像 套餐 pc端网站 支持订购、升级、续订、退订 不支持试用 翼建站 镜像 套餐 三端兼容基础版 支持订购、升级、续订、退订 不支持试用 翼建站 镜像 套餐 三端兼容高级版 支持订购、升级、续订、退订 不支持试用

此小节介绍登录系统故障。 登录云堡垒机系统异常怎么办？ 问题现象 IP地址无法连接，网页打不开，不能通过互联网页面正常登录。 登录系统后界面异常无法显示。 登录系统提示授权未生效。 AD域认证的用户登录失败。 堡垒机不能正常登录，公网地址也不能访问。 可能原因 原因一：系统磁盘空间满了，磁盘空间使用率过高。 原因二：系统软件版本未更新，存在磁盘空间被占用，未被释放可能。 原因三：用户登录使用浏览器或浏览器版本，与系统不兼容。 原因四：实例配置安全组不合理。 原因五：实例配置VPC内，网络ACL规则配置不合理，或登录IP被网络ACL限制。 原因六：配置AD域认证时，未禁用SSL加密认证。 原因七：堡垒机版本较低。 解决办法 原因一： 定期“手动删除”指定日期前的日志、视频等历史数据。设置磁盘空间满时日志“自动删除”，保证磁盘有足够空间。 对云堡垒机实例进行规格变更，满足大容量磁盘需求。 建议配置系统性能的磁盘空间使用率告警通知，当磁盘空间使用率超过设定阈值时，提示系统消息告警。 原因二： 在云堡垒机管理控制台“重启”云堡垒机实例，检查故障是否解决。若不能解决，需“升级”云堡垒机到最新版本，并根据实际需求进行规格变更。 原因三： 更换浏览器或升级浏览器版本，Web登录推荐使用浏览器及版本。 原因四： 若因安全组配置不合理导致异常，请先排查安全组规则，并根据CBH建议安全组规则，配置安全组规则，再重新登录云堡垒机系统。 原因五： 若因网络ACL配置不合理导致异常，请先排查网络ACL规则，并参考CBH安全组规则放开出/入方向端口，再重新登录云堡垒机系统。 若因云堡垒机登录IP被网络ACL限制，请先排查网络ACL规则，并重新配置ACL规则，添加云堡垒机公网IP（即弹性IP）为允许。 说明 浏览器登录云堡垒机需放开入方向TCP协议22333端口，SSH客户端登录云堡垒机需放开入方向TCP协议2222端口。 原因六： 系统管理员admin登录云堡垒机系统，重新配置AD域认证，取消SSL加密认证。 检查用户登录IP地址和MAC地址是否被加入用户访问限制，请参见用户登录限制。 检查访问控制策略是否限制了用户IP地址，请参见访问控制限制。 如果通过上述排查，仍然无法登录云堡垒机系统，请单击管理控制台右上方的“工单”，填写工单反馈问题现象，联系技术支持。

本节主要介绍如何查看资产信息。 操作场景 在资产管理页面，可以查看资产的名称、类型、防护状态等信息。 前提条件 已完成资产订阅。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. （可选）首次查看需要设置资产订阅，如果已订阅，请跳过该步骤。 态势感知（专业版）只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后，资产信息将在每天自动晚上进行更新。 说明 仅支持订阅和同步云上资产。同时，不建议同一个区域的资产订阅至多个工作空间。 1. 在资产管理页面中，单击页面右上角“资产订阅设置”，右侧弹出订阅资产设置页面。 2. 在订阅资产设置页面中，在需要订阅资产所在的region所在行“是否开通”列开启订阅。 3. 单击页面右下角的“确认”。 订阅后，资产信息将在每天晚上自动进行更新。 6. 在资产管理页面查看资产的详细信息。 如需查看指定类型资产信息，如主机资产，请选择“主机资产”页签进行查看。当前支持分类查看的资产类别有“主机资产”、“网站”、“数据库”、“VPC”、“EIP”、“设备”。“全部资产”页签查看所有资产。 部门及业务系统：该页签汇聚了资产所对应的“部门”及“业务系统”信息。 在资产列表中下方可以查看资产总条数。其中，使用翻页查看时最多可查看10000条资产信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 如果需要查看某个资产的更多详细信息，可以先选择待查看资产所属类型，然后再在对应资产类型页面中单击资产名称，进入资产详情页面进行查看。 例如，需要查看某个主机资产的详细信息，请选择“主机资产”页签，再在主机资产页面中，单击目标主机资产名称，进入目标主机资产详情页面。 在资产详情页面，可以查看资产相关的环境信息、资产信息和网络信息等信息。 在资产详情页面，可以对资产的责任人、业务系统和部门信息进行编辑，还可以绑定或解绑资产。

本文介绍了如何配置RDSPostgreSQL安全组。 RDSPostgreSQL开通后，您连接访问前需要对实例进行安全组相关设置，具体指引如下： 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和RDSPostgreSQL实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用RDSPostgreSQL实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDSPostgreSQL实例时，需要为RDSPostgreSQL所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和RDSPostgreSQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当RDSPostgreSQL实例加入该安全组后，即受到这些访问规则的保护。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的RDSPostgreSQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的RDSPostgreSQL实例。 操作步骤 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“华东1”。 3. 在页面中找到【网络】>【虚拟私有云】，并点击进入。 4. 在左侧导航树选择“访问控制 > 安全组”。 5. 在安全组界面，单击“安全组名称”列对应的安全组，进入安全组详情界面。 6. 根据实际情况，选择“入方向规则”或者“出方向规则”。 7. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 8. 根据界面提示配置安全组规则。 9. 单击“确定”。

本节主要介绍常见问题。 如何解决新增节点时提示弹性IP不足的问题？ 问题描述 在CCE集群中新增节点时，在“弹性IP”处选择“自动创建”，但创建节点失败，提示弹性IP不足。 解决方法 您可以有两种方法解决弹性IP不足的问题。 方法一：解绑已绑定弹性IP的虚拟机，再重新添加节点。 a. 登录弹性云主机控制台。 b. 在弹性云主机列表中，找到待解绑云服务器，单击云服务器名称。 c. 在打开的弹性云主机详情页中，单击“弹性公网IP”页签，在公网IP列表中单击待解绑IP后的“解绑”，为该云服务器解绑弹性IP，单击“确定”。 d. 返回CCE控制台创建节点页面中，选择“使用已有”重新新增节点的操作。 方法二：提高弹性IP的配额。 天翼云对用户的资源数量和容量做了配额限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交工单申请，并告知您申请提高配额的理由。 在通过审理之后，我们会更新您的配额并进行通知。 如何快速清理已删除节点上的CCE组件？ 使用场景 若集群中包含纳管节点，删除对应集群和节点不会删除对应的ECS，此时请按照界面提示清理节点上CCE组件。若未按照提示清理节点组件，后续需要清理ECS时，可按照如下操作进行清理。 操作步骤 1登录CCE控制台。 2在左侧导航栏中选择“集群管理 > 节点管理”，在右侧的节点列表中找到要执行操作的纳管节点，在节点的“操作”区域下单击“更多 > 移除”。 3在弹出的“移除纳管节点”对话框中输入"REMOVE"确认移除节点，单击“确认”。 4、认真阅读弹出的“提示”页面内容，按照步骤清理CCE相关资源。 如何加固CCE集群的节点VPC安全组规则？ CCE作为通用的容器平台，安全组规则的设置适用于通用场景。用户可根据安全需求，通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 安全组查找路径：登录控制台，单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”。 其中，控制节点的安全组名称是：{集群名}ccecontrol{随机ID}；用户节点的安全组名称是：{集群名}ccenode{随机ID}。 安全组中必须开启的端口如下： {集群名}ccecontrol{随机ID}： •源地址属于本安全组规则的需全部放通。 •5444、8445、9443、4789端口的规则不能修改。 •5443端口需对VPC网段、容器网段放通。 {集群名}ccenode{随机ID}： •源地址属于本安全组规则的需全部放通。 •4789、10250端口的规则不能修改。 •3000032767端口需对VPC网段、容器网段和ELB的网段放通。

快速部署DeepSeek系列模型并使用Ollama运行 创建VPC 登录智能边缘云ECX控制台，菜单栏点击【边缘网络>虚拟私有云>VPC和子网】，点击按钮【+创建虚拟私有云】。 根据您的目标用户所在地域，就近选择业务部署的地域，并按需修改VPC名称、VPC网段、子网网段等，若无特殊需求，按照默认设置即可，勾选协议并点击【立即创建】。 完成后即可在VPC和子网列表看到刚刚创建的VPC。 创建安全组 登录智能边缘云ECX控制台，菜单栏点击【边缘网络>访问控制>安全组】，点击按钮【新建安全组】。 切换【入方向规则/出方向规则】，点击【添加规则】按需设置应用的安全组策略，在本方案中，需确保设置“11434,18080”入方向规则，点击【确定】保存安全组策略。

本文介绍如何分析实时日志。 Web应用攻击日志 网站风险日志 远程零信任防护日志

本章节主要介绍如何使用Linux gsql客户端连接集群。 用户在创建好数据仓库集群，开始使用集群数据库之前，需要使用数据库SQL客户端连接到数据库。DWS提供了与集群版本配套的Linux gsql命令行客户端工具，您可以使用Linux gsql客户端通过集群的公网地址或者内网地址访问集群。 它的运行环境是Linux操作系统，在使用Linux gsql客户端远程连接DWS集群之前，需要准备一个Linux主机用于安装和运行Linux gsql客户端。如果通过公网地址访问集群，也可以将Linux gsql客户端安装在用户自己的Linux主机上，但是该Linux主机必须具有公网地址。若DWS集群没有配置公网IP，为方便起见，推荐您创建一台Linux弹性云主机（简称ECS）。 （可选）准备ECS作为gsql客户端主机 创建弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“快速入门 > 创建弹性云主机”章节。 创建的弹性云主机需要满足如下要求： 弹性云主机需要与DWS 集群具有相同的区域、可用区。 如果使用DWS 提供的gsql命令行客户端连接DWS 集群，弹性云主机的镜像必须满足如下要求： 镜像的操作系统必须是gsql客户端所支持的下列Linux操作系统： −“Redhat x8664”客户端工具支持在以下系统中使用： RHEL 6.4~7.6 CentOS 6.4~7.4 EulerOS 2.3 −“SUSE x8664”客户端工具支持在以下系统中使用： SLES 11.1~11.4 SLES 12.0~12.3 如果客户端通过内网地址访问集群，请确保创建的弹性云主机与DWS 集群在同一虚拟私有云里。 虚拟私有云相关操作请参见《虚拟私有云用户指南》中“虚拟私有云和子网”。 如果客户端通过公网地址访问集群，请确保创建的弹性云主机和DWS 集群都要有弹性IP。 创建弹性云主机时，参数“弹性IP”需设置为“自动分配”或“使用已有”。 弹性云主机对应的安全组规则需要确保能与DWS 集群提供服务的端口网络互通。 安全组相关操作请参见《虚拟私有云用户指南》中“安全组”章节。 请确认弹性云主机的安全组中存在符合如下要求的规则，如果不存在，请在弹性云主机的安全组中添加相应的规则： −方向：出方向 −协议：必须包含TCP，例如TCP、全部。 −端口：需要包含DWS 集群提供服务的数据库端口，例如，设置为“165535”或者具体的DWS 数据库端口。 −目的地址：设置的IP地址需要包含所要连接的DWS集群的地址，例如，设置为“0.0.0.0/0”或者具体的DWS 集群的连接地址。 DWS 集群的安全组规则需要确保DWS 能接受来自客户端的网络访问。 请确认DWS 集群的安全组中存在符合如下要求的规则，如果不存在，请在DWS 集群的安全组中添加相应的规则。 −方向：入方向 −协议：必须包含TCP，例如TCP、全部。 −端口：设置为DWS 集群提供服务的数据库端口，例如“8000”。 −源地址：设置的IP地址需要包含DWS 客户端主机的IP地址，例如“192.168.0.10/32”。

本页为您介绍WPS云文档天翼云版的产品规格 产品规格 版本 提供方式 收费方式 规格 业务类型 WPS云文档天翼云版 标准版 SaaS 用户数订阅年份 含商业基础版所有功能 100GB/人安全存储 完整的文件安全管控和企业管理模块 支持订购、续订、不支持试用 WPS云文档天翼云版 高级版 SaaS 用户数订阅年份 含商业标准版所有功能 200GB/人安全存储 Office二次开发接口 1对1专属售后支持 支持订购、续订、不支持试用 WPS云文档天翼云版 基础版 SaaS 用户数订阅年份 无账号数上限 50GB/人安全存储 大文件上传（2G） 可禁止文件移动到企业外 支持订购、续订、不支持试用 WPS云文档天翼云版 WPS会员 SaaS 用户数订阅年份 75种文档格式转换 65项办公特权 支持订购、续订、不支持试用 WPS云文档天翼云版 稻壳会员 SaaS 用户数订阅年份 800万+办公模板免费下载海量字体、图标、图表、图片资源任性用尊享60+项特权服务 支持订购、续订、不支持试用 WPS云文档天翼云版 超级会员 SaaS 用户数订阅年份 含稻壳会员、普通会员权益 支持订购、续订、不支持试用 WPS云文档天翼云版 咨询服务 SaaS 用户数订阅年份 对于非结构化数据管理、企业内文档资产管理提供咨询服务 支持订购、续订、不支持试用

本节介绍如何获取v1.0原子能力云主机对应的VNC地址。 在“一类节点”区域购买的v1.0资源，若用户需要连接原子能力资源配置的云主机，可通过“获取VNC”，获取VNC地址进行远程连接。 约束限制 仅“一类节点”区域购买的v1.0资源支持在云等保专区控制台获取VNC地址。云等保专区支持的区域请参见支持的区域。 前提条件 已购买对应原子能力资源，且资源状态为“运行中”。 获取VNC地址 以下以“主机安全v1.0”为例，介绍如何获取云主机的VNC地址。 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“主机安全 > 主机安全v1.0”，进入云等保专区的主机安全v1.0资源页面。 3. 在目标资源的操作列，单击“更多 > 获取VNC”。 4. 在弹出的“VNC信息”窗口中，单击“复制VNC”。 远程连接 1. 在本地计算机上安装VNC客户端软件或通过在线的VNC连接工具（例如 2. 打开VNC软件，在连接界面中输入获取的VNC地址。 3. 点击连接按钮后，VNC客户端会尝试与远程计算机建立连接。

首先确认云下一代防火墙所防护的业务是否正常，如果正常可以先排查一下云下一代防火墙管理EIP是否被解绑（解绑了会无法通过公网进行管理），是否调整了安全组限制了管理端口（安全组限制会导致公网机内网进行管理）。如果业务不正常，急需恢复业务，请将云主机的EIP从云下一代防火墙上解绑，绑至对应业务云主机上，让VPC南北向流量绕过云下一代防火墙，进行业务的恢复（如果此时业务云主机修改了网关为云下一代防火墙的地址，那么请修改VPC内所有业务云主机的网关为默认网关，网关还请参照虚拟私有云（VPC）内的子网信息）。 其次，天翼云控制台云主机列表找到云下一代防火墙主机，进行远程登录，看是否能打开正常运行，查看配置是否正常。 最后，如果依旧存在问题，请联系客服。