参数 解释 虚拟私有云 您可以选择使用已有的虚拟私有云，或者单击“新建虚拟私有云”创建新的虚拟私有云。 网卡 包括主网卡和扩展网卡。您可以添加一张扩展网卡，并指定网卡（包括主网卡）的IP地址。 须知 主网卡用于系统的默认路由，不允许删除。 如果您选择自动分配IP地址，请不要在物理机服务器发放完成后修改私有IP地址，避免和其他物理机服务器IP冲突。 为网卡分配固定IP地址后，不能批量创建物理机服务器。 高速网卡 物理机服务器之间的高速互联网络接口，为物理机服务器提供更高的带宽。 同一台物理机服务器的多张高速网卡不能选择同一个高速网络。 安全组 安全组用来实现安全组内和安全组间物理机服务器的访问控制，加强物理机服务器的安全保护。用户可以在安全组中定义各种访问规则，当物理机服务器加入该安全组后，即受到这些访问规则的保护。 创建物理机服务器时，仅支持选择一个安全组。但是物理机服务器创建成功后，可以为物理机服务器关联多个安全组，配置方法请参见更改安全组。 说明 物理机服务器初始化需要确保安全组出方向规则至少满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：Any 端口范围：Any 远端地址：0.0.0.0/16 弹性公网IP 弹性公网IP是指将公网IP地址和路由网络中关联的物理机服务器绑定，以实现虚拟私有云内的物理机服务器通过固定的公网IP地址对外提供访问服务。 您可以根据实际情况选择以下三种方式： 不使用：物理机服务器不能与外部网络互通，仅可以在私有网络中部署业务或构建集群。 自动分配：自动为物理机服务器分配独享带宽的弹性公网IP，带宽值由您设定。 使用已有：为物理机服务器分配已有弹性公网IP。 说明 选择已有弹性公网IP后，不能批量创建物理机服务器 规格 弹性公网IP选择“自动分配”时，需配置该参数。 全动态BGP：可根据设定的寻路协议第一时间自动优化网络结构，以保持客户使用的网络持续稳定、高效。 静态BGP：网络结构发生变化时，运营商无法实时自动调整网络设置以保障用户体验。 计费方式 弹性公网IP选择“自动分配”时，需配置该参数。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。 按流量计费：按照实际使用的流量来计费。 带宽 弹性公网IP选择“自动分配”时，需配置该参数。 带宽大小，单位Mbit/s。

本节介绍了设置安全组规则的相关内容。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： − ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 − ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 一个RDS实例允许绑定多个安全组，一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 说明 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

本文带您了解什么是专属云（存储独享型）。 专属云（CTDeC，Dedicated Cloud）是一种物理上隔离的专属虚拟化资源池，由专属云（计算独享型）和专属云（存储独享型）两种类型组成。专属云提供了更高效、可靠和安全的云计算环境，用户可以在专属云控制台中统一管理资源，可以更加灵活地管理和使用资源。与公有云服务相比，专属云更加适合需要高度定制化和资源隔离的企业级应用场景。 专属云（存储独享型）（CTDSS，Dedicated Distributed Storage Service），简称存储专属云，是一种专用的存储服务。存储专属云提供高IO和超高IO两种存储池，与计算专属云配合使用，可为用户提供独享的计算和存储资源，与公有云资源共享网络资源且逻辑隔离。存储专属云适用于对安全、性能及可靠性有高要求的金融、政企等应用场景，比自建私有云方案更轻量、成本更低。 专属云资源隔离情况如下所示： 存储专属云的技术架构如下所示：

权限 S3 API Action 查询桶详情 无 zos:BucketInfo:Get 删除桶 DeleteBucket zos:Bucket:Delete 删除桶策略 DeleteBucketPolicy zos:BucketPolicy:Delete 删除桶静态网站托管配置 DeleteBucketWebsite zos:BucketWebsite:Delete 删除桶跨域复制规则 DeleteReplicationConfiguration zos:ReplicationConfiguration:Delete 获取桶ACL GetBucketAcl zos:BucketAcl:Get 获取桶CORS配置 GetBucketCORS zos:BucketCORS:Get 获取桶加密配置 GetBucketEncryption zos:BucketEncryption:Get 获取桶日志记录 GetBucketLogging zos:BucketLogging:Get 获取桶事件通知配置 GetBucketNotification zos:BucketNotification:Get 获取桶合规保留策略 GetBucketObjectLockConfiguration zos:BucketObjectLockConfiguration:Get 获取桶策略 GetBucketPolicy zos:BucketPolicy:Get 获取桶标签 GetBucketTagging zos:BucketTagging:Get 获取桶版本状态 GetBucketVersioning zos:BucketVersioning:Get 获取桶静态网站托管配置/数据回源 GetBucketWebsite zos:BucketWebsite:Get 获取桶请求者付费配置 GetBucketRequestPayment zos:BucketRequestPayment:Get 获取桶清单配置 GetInventoryConfiguration zos:InventoryConfiguration:Get 获取桶生命周期规则 GetLifecycleConfiguration zos:LifecycleConfiguration:Get 获取桶跨域复制规则 GetReplicationConfiguration zos:ReplicationConfiguration:Get 获取桶的访问追踪状态 GetBucketAccessMonitor zos:BucketAccessMonitor:Get 设置桶ACL PutBucketAcl zos:BucketAcl:Put 设置桶CORS配置 PutBucketCORS zos:BucketCORS:Put 设置桶加密配置 PutBucketEncryption zos:BucketEncryption:Put 设置桶日志记录 PutBucketLogging zos:BucketLogging:Put 设置桶事件通知配置 PutBucketNotification zos:BucketNotification:Put 设置桶合规保留策略 PutBucketObjectLockConfiguration zos:BucketObjectLockConfiguration:Put 设置桶策略 PutBucketPolicy zos:BucketPolicy:Put 设置桶标签 PutBucketTagging zos:BucketTagging:Put 设置桶多版本 PutBucketVersioning zos:BucketVersioning:Put 设置桶静态网站托管配置 PutBucketWebsite zos:BucketWebsite:Put 设置桶请求者付费配置 PutBucketRequestPayment zos:BucketRequestPayment:Put 设置桶清单配置 PutInventoryConfiguration zos:InventoryConfiguration:Put 设置桶生命周期规则 PutLifecycleConfiguration zos:LifecycleConfiguration:Put 设置桶跨域复制规则 PutReplicationConfiguration zos:ReplicationConfiguration:Put 设置桶的访问追踪状态 PutBucketAccessMonitor zos:BucketAccessMonitor:Put 列举桶内对象 ListBucket zos:Bucket:List 列举桶内多版本对象 ListBucketVersions zos:BucketVersions:List 设置跨域复制规则 PutBucketReplication zos:ReplicationConfiguration:Put 获取跨域复制规则 GetBucketReplication zos:ReplicationConfiguration:Get 删除跨域复制规则 DeleteBucketReplication zos:ReplicationConfiguration:Delete 设置分批复制规则 PutBucketCRRBatchTask zos:ReplicationConfiguration:Put 列举分批复制规则 ListBucketCRRBatchTask zos:ReplicationConfiguration:Get 获取分批复制规则 GetBucketCRRBatchTask zos:ReplicationConfiguration:Get 删除分批复制规则 DeleteBucketCRRBatchTask zos:ReplicationConfiguration:Delete

本章介绍分布式缓存服务Redis版的典型应用场景。 Redis应用场景 很多大型电商网站、视频直播和游戏应用等，存在 大规模数据访问 ，对 数据查询效率要求高 ，且 数据结构简单 ， 不涉及太多关联查询 。这种场景使用Redis，在速度上对传统磁盘数据库有很大优势，能够有效减少数据库磁盘IO，提高数据查询效率，减轻管理维护工作量，降低数据库存储成本。Redis对传统磁盘数据库是一个重要的补充，成为了互联网应用，尤其是支持高并发访问的互联网应用必不可少的基础服务之一。 以下举几个典型样例： 1. （电商网站）秒杀抢购 电商网站的商品类目、推荐系统以及秒杀抢购活动，适宜使用Redis缓存数据库。 例如秒杀抢购活动，并发高，对于传统关系型数据库来说访问压力大，需要较高的硬件配置（如磁盘IO）支撑。Redis数据库，单节点QPS支撑能达到10万，轻松应对秒杀并发。实现秒杀和数据加锁的命令简单，使用SET、GET、DEL、RPUSH等命令即可。 2. （视频直播）消息弹幕 直播间的在线用户列表，礼物排行榜，弹幕消息等信息，都适合使用Redis中的SortedSet结构进行存储。 例如弹幕消息，可使用ZREVRANGEBYSCORE排序返回，在Redis5.0中，新增了zpopmax，zpopmin命令，更加方便消息处理。 3. （游戏应用）游戏排行榜 在线游戏一般涉及排行榜实时展现，比如列出当前得分最高的10个用户。使用Redis的有序集合存储用户排行榜非常合适，有序集合使用非常简单，提供多达20个操作集合的命令。 4. （社交APP）返回最新评论/回复 在web类应用中，常有“最新评论”之类的查询，如果使用关系型数据库，往往涉及到按评论时间逆排序，随着评论越来越多，排序效率越来越低，且并发频繁。 使用Redis的List（链表），例如存储最新1000条评论，当请求的评论数在这个范围，就不需要访问磁盘数据库，直接从缓存中返回，减少数据库压力的同时，提升APP的响应速度。

本章节为您介绍对用户授权的方法。 如果您需要对您所拥有的HSS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用HSS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将HSS资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用HSS服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的HSS权限，并结合实际需求进行选择，HSS系统策略如下表所示。 HSS系统权限 系统角色/策略名称 描述 类别 依赖关系 HSS Administrator 主机安全（HSS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest角色。 Tenant Guest：全局级角色，在全局项目中勾选。 购买HSS防护配额需要同时具有ECS ReadOnlyAccess和BSS Administrator角色。 ECS ReadOnlyAccess：系统策略，弹性云服务器的只读访问权限。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 HSS FullAccess 主机安全所有权限。 系统策略 购买HSS防护配额需要具有BSS Administrator角色。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 HSS ReadOnlyAccess 主机安全服务的只读访问权限。 系统策略 无

本节主要介绍分布式缓存服务Redis版认证与访问控制方式 分布式缓存服务Redis版支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关分布式缓存服务Redis版实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式缓存服务Redis版实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式缓存服务Redis版构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Redis实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Redis实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组

本文主要介绍如何创建弹性网卡。 操作场景 主弹性网卡随实例默认创建，您可以参考以下操作，在弹性网卡控制台创建扩展弹性网卡。 约束与限制 通过管理控制台创建的扩展弹性网卡，必须和其绑定的实例属于同一个虚拟私有云，可以属于不同安全组。 说明 此限制仅针对管理控制台，通过API创建扩展弹性网卡可以与其绑定的实例属于不同的虚拟私有云。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 单击“创建弹性网卡”。 5. 配置弹性网卡参数，如下表所示。 表 参数说明 参数 参数说明 取值样例 名称 弹性网卡的名称，必填项。弹性网卡的名称只能由中文、英文字母、数字、下划线、中划线、点组成，且不能有空格，长度不能大于64个字符。 networkInterface891e 虚拟私有云 选择弹性网卡归属的VPC，必填项。 vpc001 子网 选择弹性网卡归属的子网，必填项。 subnet001 私有IP地址 选择是否自动分配私有IP地址。 安全组 选择弹性网卡所属安全组。 sg001 6. 单击“确定”，完成创建。

配置示例 参数名 配置值 错误状态码 404 跳转页面 跳转状态码 302 优先级 10 结果说明：针对返回404状态码的网站跳转到页面：

此小节介绍云堡垒机退订。 若用户不再有使用云堡垒机实例需求，或配置的实例VPC或安全组等信息有误，可执行退订操作。 前提条件 已获取管理控制台的登录帐号与密码。 已使用的云堡垒机，需停止系统所有操作，解绑EIP。 操作步骤 1、登录管理控制台。 2 、在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3、单击左上角的，选择区域或项目。 4、左侧导航树中，单击，进入云堡垒机实例界面。 实例列表 5、选择待退订的实例，单击所在行“操作”列的“更多 > 退订”，弹出的退订实例对话框。 6、确认实例信息无误后，单击“确定”。 7、在退订资源页面完成退订。

创建ECS 1. 进入云主机控制台。 2. 单击“购买弹性云主机”。 3. 基础配置后，单击“下一步：网络配置”。 表9 基础配置 参数 配置说明 :: 计费模式 选择“按需计费”。 区域 选择弹性云主机所属区域，且与VPC2同一区域。 可用区 选择弹性云主机所属可用区。 CPU架构 默认“x86计算”。 规格 根据业务规划，选择规格。 镜像 根据业务规划，选择镜像。 虚拟私有云 选择已创建的虚拟私有云“VPC2”。 主网卡 选择已创建的虚拟私有云的子网。 安全组 选择专享版实例中已创建的安全组。 弹性公网IP 选择“暂不购买”。 云主机名称 填写弹性云主机名称，建议您按照一定的命名规则填写，方便您快速识别和查找。 登录凭证 登录云主机凭证，此处默认“密码”。 用户名 默认“root”。 密码 填写登录云主机的密码。 确认密码 保证密码正确性。 企业项目 此处选择“default”。 4. 同意协议声明后，单击“立即购买”。

计费项 计费说明 资产配额 按购买的资产配额数计费，包括主机资产配额数和网站资产配额数。 按包周期购买计费 提供包月和包年的购买模式。 按需购买计费 即开即停，按小时结算。

本节介绍服务器安全卫士（原生版）与其他云服务关系。 统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本文介绍了云防火墙（原生版）的系统类常见问题。 云防火墙（原生版）在天翼云网络中的位置是什么？ 如下图所示，云防火墙一般和DDoS防护系统、Web应用防火墙、数据中心网络、日志服务、SOC等一起组合使用，但也可以独立部署。DDoS防护系统、Web应用防火墙和云防火墙组成从外到内的三道屏障，云防火墙重点防护用户VPC的网络边界。云防火墙产生的日志通过日志服务来收集和对外展示，通过SOC整合汇聚（包括云防火墙在内的）各安全设备的日志和安全告警等，并结合外部威胁情报，可以提高安全数据利用率并挖掘潜在威胁，对抗愈发复杂的攻击手段与高级可持续威胁。 云防火墙（原生版）是否可以防护非天翼云上的资产？ 防火墙仅能防护天翼云账号下的 IP 资产，不支持非天翼云的资产。 云防火墙（原生版）支持防护哪些资产类型？ 目前只支持VPC内云主机资产所绑定公网IP的防护。 云防火墙互联网边界带宽会限制流量吗？ 云防火墙不会限制流量。 业务带宽超峰值带宽限制，会对我有业务影响么？ 如果公网流量大于购买的云防火墙边界带宽，则云防火墙不承诺对超出带宽的流量进行防护。对超出部分的流量，我们会做放行处理。

此小节介绍云堡垒机登录系统概述。 开放端口要求 为避免网络故障或网络配置问题影响登录系统，请管理员优先检查网络ACL配置是否允许访问云堡垒机，并参考表配置实例安全组。 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 :::: 通过Web浏览器登录云堡垒机（HTTPS） 入方向 TCP 22333 通过MSTSC客户端登录云堡垒机 入方向 TCP 53389 通过SSH客户端登录云堡垒机 入方向 TCP 2222 通过FTP客户端登录云堡垒机 入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过云堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过云堡垒机访问Oracle数据库 入方向 TCP 1521 通过云堡垒机访问Oracle数据库 出方向 TCP 1521 通过云堡垒机访问MySQL数据库 入方向 TCP 33306 通过云堡垒机访问MySQL数据库 出方向 TCP 3306 通过云堡垒机访问SQL Server数据库 入方向 TCP 1433 通过云堡垒机访问SQL Server数据库 出方向 TCP 1433 通过云堡垒机访问DB数据库 入方向 TCP 50000 通过云堡垒机访问DB数据库 出方向 TCP 50000 同一安全组内通过SSH客户端登录云堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53

场景 描述 相关说明文档 指定CDN回源请求访问到源站上的具体站点 1.源站是域名时，例如，源站为ctyun.cn，回源HOST为host.ctyun.cn，那么实际回源访问的是ctyun.cn通过域名解析得到的IP（如1.1.1.1）对应主机上的站点host.ctyun.cn。 2.源站是IP时，例如，源站为1.1.1.1，回源HOST为host.ctyun.cn，那么实际回源访问的是1.1.1.1对应主机上的站点host.ctyun.cn。 提高缓存命中率 主要方法包括： 1.配置合理的缓存过期时间，可以有效提高缓存命中率。 2.根据业务需要判断是否启用“去问号缓存”配置，去掉用户请求URL中“?”之后的参数，让相同内容的请求直接命中缓存，提高缓存命中率。CDN控制台上默认开启去问号缓存。 3.通过文件预取功能，提前把源站的内容拉取到边缘节点进行缓存，有效提升首次访问的命中率，同时又能缓解因新内容发布而导致的回源压力问题。 4.开启分片回源功能：CDN节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。功能介绍请详见： 提高数据传输安全 开启HTTPS功能前，需要先购买和申请SSL证书。证书相关操作，详情详见： 避免网站资源被恶意盗链，产生额外的流量成本 1.基础防盗链：可通过配置Referer防盗链、IP黑/白名单，用于识别和封禁非法来源的请求，以及非法IP的恶意访问。可通过CDN控制台自助配置新增。 2.高级防盗链：时间戳防盗链、远程鉴权防盗链，通过有时效性的URL来提高盗链难度，以及通过源站来鉴定合法性，安全等级更高。该类防盗链需要客户提前约定鉴权规则，并通过提交工单给天翼云客服，由其人工操作开启。 具体防盗链功能的对接方式，详见右列相关功能说明文档。

本节介绍如何配置全局白名单。 防护对象接入Web应用防火墙后，您可以选择开启全局白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部（包含 Web 基础防护、CC 防护、BOT 防护、精准访问控制）或特定防护模块（Web基础防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“防护白名单”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入白名单页面。 7. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置白名单实例所在的企业项目。 接入对象 设置白名单作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局白名单不支持独享版和监听器防护对象。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：选择该项，表示触发匹配条件的请求不受Web 基础防护、CC 防护、BOT 防护、精准访问控制模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则ID。 8. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本章节主要介绍云搜索服务针对安全集群如何配置公网访问。 针对安全集群，云搜索服务的集群支持配置公网访问，配置完成后，通过提供的公网IP，您可以在外网接入安全集群。 创建集群时配置公网访问 1.登录云搜索服务管理控制台。 2.在创建集群页面，开启“安全模式”。 6.5.4及之后版本的集群支持开启“安全模式”。 3.“公网访问”选择“自动绑定”，配置公网访问相关参数。 公网访问参数说明 参数 说明 带宽 设置公网访问的带宽。 访问控制开关 如果关闭访问控制开关，则允许任何IP通过公网IP访问集群。如果开启访问控制开关，则只允许白名单列表中的IP通过公网IP访问集群。 白名单 设置允许访问的IP地址或网段，中间用英文逗号隔开。 已有集群公网访问管理 您可以对已经创建集群的公网访问进行修改，查看，解绑，也可以配置公网访问。 1.登录云搜索服务管理控制台。 2.在集群管理页面，单击需要配置公网访问的集群名称，进入集群基本信息页面。 配置公网访问 如果创建集群时，未配置公网访问，集群配置成功后，可以在集群基本信息页面配置公网访问。 单击“公网访问”参数右侧的“绑定”，设置访问带宽后，单击“确定”。 如果绑定失败，用户可以等待几分钟后，再次尝试重新绑定公网访问。 修改 对已经配置了公网访问的集群，可以通过单击“带宽”参数右侧的“修改”，修改带宽大小，也可以通过单击“访问控制”右侧的“设置”，设置访问控制开关和访问白名单。 查看 在“基本信息”页面，可以查看当前集群绑定的公网IP地址。 解绑 对于已经绑定的公网IP，可以通过单击“公网访问”参数右侧的“解绑”，解绑公网IP。

Agent Agent是服务器安全卫士（基础版）部署到用户云服务器操作系统中的轻量化进程，主要功能是根据用户配置的安全策略，上报服务器存在的安全风险和新增的安全事件数据，同时响应用户和安全卫士云端防护中心的指令，实现对云服务器上的安全威胁清除和恶意攻击拦截。 白名单模式 白名单模式是一种防护配置模式。在白名单模式下，会对添加的防护目录和文件类型进行保护。 黑名单模式 黑名单模式是一种防护配置模式。在黑名单模式下，会防护目录下所有未排除的子目录、文件类型和指定文件。

备案资料： ICP备案需要您提供证件的原件拍照件或扫描件，上传文件不支持PDF格式，需要在上传资料前将文档转换为JPG等格式。 联系电话： ICP备案信息中预留的电话需要本人接听，备案申请提交后审核人员会在通过相关联系方式与备案信息中的负责人进行信息核验，需要保持电话畅通。对于应急联系电话，请优先预留备案主体相关的人员电话，以便可以快速的进行信息的核实及转达。 相关邮箱： 对于备案信息的准确性、网站内容的合规性，天翼云也会定期核查并通过邮箱等发送相关通知，需要确保相关邮箱有专人负责，避免因信息未及时查看导致如网站空壳清理等影响服务问题的产生。 备案有效期有要求么？ ICP备案信息如果准确那么备案信息会持续有效，如果已备案的信息发生变更（例如人员离职、负责人更换、证件更新、单位证件更新、域名弃用、接入商变更等），需要优先完成对应信息的变更，变更申请通过管局终审后备案会持续有效。

本节为您介绍物理机对其他产品的支持情况。 实例 支持自动化发放物理机，远程Console登录。 支持客户自主管理物理机生命周期：查询、启动、关机、重启、删除。 导出物理机列表：将客户名下的所有物理机信息，以CSV文件的形式导出至本地。 支持重置密码。 支持重装操作系统：物理机操作系统无法正常启动、中毒等场景，可以重装操作系统。 支持通过API管理物理机。 支持主机监控，可实时获取物理机的CPU、内存、磁盘I/O等监控指标数据。 支持云审计，记录与物理机相关的操作事件，便于日后的查询、审计和回溯。 磁盘 弹性裸金属可支持挂/卸载云硬盘。 支持非共享卷和共享卷。 支持云硬盘扩容。 镜像 可以使用公共镜像、私有镜像、共享镜像发放物理机。 支持通过物理机创建私有镜像。 私有镜像支持不同账号之间共享镜像。 网络 支持虚拟私有云。 创建安全组并定义安全组规则，为物理机提供安全防护。 支持绑定弹性IP，满足客户互联网访问需求。 支持绑定多张网卡。

本小节介绍筛选未安装Agent的主机 1、录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在安装与配置页面，选择“Agent管理 > Agent不在线”页签，查看未安装Agent的云服务器。

2）手动安装drnode 使用条件 1. 无法使用自动安装时，可通过手动安装drnode。 操作步骤 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择资源所在区域。 3. 在服务列表选择“网络”“VPC终端节点”，进入网络控制台。 4. 点击右上角“创建终端节点”按钮，进入创建VPC终端节点页面。 5. 在进行节点添加之前，需要把云主机所在的VPC，进行终端节点连接配置，截图如下： 服务类型选择“按服务实例ID查找服务”。其中，可用服务处填写MDR在不同资源池内的代理VPC终端节点服务ID（为MDR侧提供固定ID，不同资源池ID不同）。不同资源池对应的代理VPC终端节点服务ID如下： 资源池名称 终端节点服务ID 华东1 endpserbjs8nmhm5m 西南1 endpserfnc13o1uao 华南2 endpserx6xhocvz79 西南2 endpserikzxim4cpv 华北2 endpserlmmnp90xgx 虚拟私有云选择需要添加的ECS节点所在的VPC。 注意：此链接对于租户侧不收费，费用都在终端节点服务端侧（MDR）结算。 6. 租户配置终端节点成功后，点击详情页可查看节点IP。此节点IP就是后续安装drnode客户端时，需要进行配置填写的IP。 场景2：云下、其他 1. 云下或者其他场景，需要联系技术专家针对客户实际场景进行方案解决。 2. 主要网络打通方案参考： 1. 云下通过公网与MDR打通 2. 云下通过专线 3. 云下通过VPN 4. 云下通过SDWAN 步骤二：安装drnode客户端 安装部署主要针对安装drnode操作进行详细介绍，不同系统下drnode安装方式不同，可根据当前系统查看安装步骤。 1） RHEL/CentOS/SUSE/AlmaLinux/KylinOS/UnionTechOS/openEuler系统安装drnode节点 1. drnode客户端安装 1. 修改服务器hosts，新增VPCE的节点IP及其主机名（固定值，为nodeproxymdr）。 执行命令参考：vi /etc/hosts，输入i进入编辑模式。 添加或修改条目来映射域名到IP地址：VPCE节点IP nodeproxymdr。 其中，VPCE节点IP为步骤一、网络配置中6）中的节点IP。 保存并退出：如果使用的是nano，可以通过按下Ctrl + O来保存更改，然后按Enter确认，最后按Ctrl + X退出。如果使用的是vim，可以通过输入:wq然后按Enter来保存并退出。 2. 下载安装包。访问drnode安装包下载页面，点击节点安装包下载地址，下载系统对应的安装包。 3. 将drnode安装包下载至服务器，MD5完整性校验通过后（linux命令参考：md5sum 文件名），执行节点安装包的安装命令参考：rpm ivh drnode包名.rpm。 说明 如果系统是最小安装的，将会提示缺少zip, unzip, psmisc等3个软件包，可以在操作系统ISO里找到对应的rpm包进行安装，或者使用yum安装。安装命令：yum install y zip unzip psmisc。 如果出现“error：Failed dependencies”相关提示，可检查安装包版本与服务器操作系统是否匹配。 4. 出现以下提示后安装完成：drnode is installed successfully. 5. 提示成功安装完成后，检查是否安装成功，需要确认进程是否开启。命令参考：service drnode status。 6. 确认当前drnode版本号信息是否与安装包名的版本保持一致。命令参考：rpm qa grep drnode。 2. 客户端网络配置 1. linux命令参考：/usr/drbksoft/drnode/bin/drcfg c。此处需要输入MDR代理网络的域名（天翼云内：nodeproxymdr， 云下/它云：需用户输入）： 2. 查看ID命令参考：cat /usr/drbksoft/drnode/etc/drid.conf。 说明 图中id用于步骤四、开启数据保护时填写【认证码】时使用。 2）Windows安装drnode节点 1. drnode客户端安装 1. 修改服务器hosts，新增VPCE的节点IP及其主机名（固定值，为nodeproxymdr）。 1. 打开文件资源管理器，导航到以下路径：C:WindowsSystem32driversetc。 2. 添加或修改条目来映射域名到IP地址：VPCE节点IP nodeproxymdr；其中，VPCE节点IP为步骤一、网络配置中6）中的节点IP。 3. 保存后，完成hosts修改。 2. 下载安装包。访问drnode安装包下载页面，点击节点安装包下载地址，下载系统对应的安装包。 3. 双击安装.exe程序。 4. 对于整机保护使用场景，如果要使用块复制功能，则必须安装块复制驱动。展开自定义安装项，确保勾选“加载块驱动”。 5. 安装类型选择“企业版”，然后根据安装向导完成drnode安装。 6. 如果选择了安装块复制驱动，使用管理员身份运行cmd，检查驱动运行状态，命令参考：sc query dhook。 7. 安装完成后，检查是否安装成功：进入计算机管理→服务，确认服务是否已启动，默认为启动状态。 8. 确认当前drnode版本号信息是否与安装包名的版本保持一致：控制面板→程序→程序和功能，可以查看当前软件的版本号。 2. 客户端网络配置 用户可通过两种方式进行配置： 1. 命令行方式 1. 打开Windows cmd命令行，CD到安装目录的bin文件夹下，命令参考：drcfg.exe c。 2. 此处需要输入MDR代理网络的域名（天翼云内：nodeproxymdr， 云下/它云：需用户输入）。 3. 查看ID：进入安装目录下的/etc/drid.conf可查看。 2. 页面方式 1. 进入软件页面，点击右上角“ProxySetting”，可查看id等相关信息。 3）Ubuntu Server 18.04 64 位版本安装drnode节点 1. drnode 客户端安装 1. 下载安装包。访问drnode安装包下载页面，点击节点安装包下载地址，下载系统对应的安装包。 2. 将drnode安装包上传到服务器，MD5完整性校验通过后（ linux命令参考： md5sum 包名），执行节点安装包的安装命令，命令参考：sudo dpkg i drnode包名.deb。 3. 出现以下提示后安装完成：drnode is installed successfully。 4. 提示成功安装完成后，检查是否安装成功，需要确认进程是否开启，命令参考：service drnode status。 2. 客户端网络配置：与 RHEL/CentOS/SUSE/AlmaLinux/KylinOS/UnionTechOS/openEuler系统安装drnode节点的网络配置步骤相同。

网络配置 9.设置“网络”：在下拉列表中选择可用的虚拟私有云、子网，并设置私有IP地址的分配方式。 10.添加“扩展网卡”：可选配置。您可以添加多张扩展网卡，并指定网卡（包括主网卡）的IP地址。 11.设置“安全组”：在下拉列表中选择可用的安全组，或新建安全组使用。 12.设置“弹性公网IP”。弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。 高级配置 13.点击“下一步：高级配置” 14.设置“云主机名称”。名称可自定义，但需符合命名规则：只能由中文字符、英文字母、数字及“”、“”、“.”组成。 15.设置“登录凭证”。 16.设置云主机组。可选配置，云主机组内的弹性云主机将遵循反亲和策略，尽量分散地创建在不同主机上。 17.配置“高级配置”：如需使用“高级配置”中的功能，请勾选“现在配置”。否则，请勿勾选。 确认配置 18.点击“下一步：确认配置”。 19.在“确认配置”页面，查看云主机配置详情。 20.企业项目。该参数针对企业用户使用。如需使用该功能，请联系客服申请开通。 21.设置您购买云主机的时长和数量。 22.如果您确认配置无误，单击“立即购买”。

本节主要介绍准备RDA依赖资源 概述 在使用RDA之前，您需要提前准备相关依赖资源，包括天翼云测试账号，账号可创建弹性云主机、虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。 准备依赖资源 迁移源端测试账号： 天翼云目的端测试账号： 购买一台windows弹性云主机用于安装RDA软件工具； 购买一台或者多台linux弹性云主机用于对象存储迁移agent安装 说明 （RDA控制机和oms agent工具机迁移完成后均可释放） 获取天翼云测试账号AK/SK：天翼云官网控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。

端口配置 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护态势感知管理端口18443。 1. 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 2. 点击【配置规则】下的【入方向规则】。在规则配置中，选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段，例如限制为您公司办公网络。

本节描述了弹性云主机的功能,便于用户了解云主机功能。 支持多种规格，从 “1 核 1GB” 到 “96核 384GB”，CPU与内存的资源配比为1:1、1:2、1:4、1:7、1:8等； 支持对云主机规格的升级和降级操作； 提供普通IO（SATA）、高IO（SAS）、通用SSD（SSD）、 超高IO（SSD）、极速型SSD（SSD）五种存储类型； 支持公共镜像、私有镜像、共享镜像； 支持主流的Windows、Linux操作系统； 支持虚拟私有云； 支持安全组，可在安全组内设置访问规则； 支持多网卡，可为云主机配置多块网卡，将不同的内网IP地址与不同网卡进行绑定； 提供多种远程登录方式：密码登录、密钥登录、VNC登录等； 支持创建云主机时注入文件； 免费开通云监控服务，监控资源使用情况，也可预设告警通知； 支持弹性伸缩，通过策略自动调整其业务资源，减少资源投入； 支持云主机常用管理操作，如开机、关机、重启、重置密码等； 支持开启网卡多队列功能； 在线卸载云硬盘。

本文为您介绍各系列通用云主机概况。 通用云主机的不同代系，对应着不同的处理器型号，一般更高代系拥有更优的性能。 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。

私有镜像计费说明 通过云主机创建系统盘镜像、数据盘镜像：免费。 系统盘镜像、数据盘镜像存储在ZOS桶中，但并非用户的私有桶，对用户不可见，镜像的管理维护必须通过镜像服务来实现，目前这部分存储免费供用户使用。 通过镜像文件创建系统盘镜像、数据盘镜像或ISO镜像：镜像文件需要先上传至对应资源池的对象存储桶，因此按镜像文件占用的对象存储空间收取费用。 创建整机镜像：不具备可用区的资源池创建整机镜像，涉及的费用为备份存储库的费用。通过云主机创建整机镜像，需要使用备份存储库，用户需要对备份存储库付费。 共享镜像 共享镜像是用户之间可以共享和重复使用的预先配置的操作系统和软件环境模板，它避免了重复的操作和配置工作。当一个用户创建满足特定需求的镜像时，其他用户可以通过共享该镜像快速获取相同配置的环境，提高部署效率和保持一致性。通过共享镜像，用户能够更高效地利用云计算资源，加快应用程序的部署和开发速度。 共享镜像计费说明 来源于他人共享的系统盘镜像、数据盘镜像：免费。 安全产品镜像 安全产品镜像仅用于加载CSSP、DAS、LAS、OSM等部分安全产品服务。 安全产品镜像使用说明 来源于天翼云平台共享给客户。 仅用于加载部分安全产品服务。 应用镜像 与基础的公共镜像相比，应用镜像预装了一些常见应用，可以实现快速部署特殊应用的目的。

本教程将详细介绍如何借助天翼云 SDWAN 实现对 DeepSeek 的定向加速，以访问海外资源。 应用场景 企业在云上部署私有化DeepSeek平台，进行企业知识库、智能问答等大模型开发工作，在此过程中会使用到ollama、huggingface、github等境外开发工具或平台实现大模型高效迭代优化。 天翼云SDWAN通过优化对合规境外网站的访问过程，可以为客户提供更加流畅的海外资源访问体验。用户只需在云上DeepSeek主机业务环境中部署SDWAN软件CPE(vCPE)，即实现可对定向海外资源的加速访问。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建了云主机用于部署DeepSeek服务，并通过网络配置将其加入到VPC子网中。 操作步骤 本教程的配置流程如下： 步骤一：部署 vCPE 1. 创建并配置云主机 ：在天翼云控制台创建一台用于部署天翼云 SDWAN vCPE 的云主机，为其创建和绑定弹性公网 IP（EIP），并通过网络配置将其加入到创建的VPC子网中，请参考创建弹性云主机。 2. 创建vCPE资源，并部署到云主机中：您可通过以下两种方式开通 vCPE 资源。 天翼云官网自助开通：若选择通过天翼云官网自行下单，具体操作步骤如下： 1. 登录天翼云 SDWAN 控制台，在界面中选择“智能网关”选项，随后在“智能网关”页面点击“创建智能网关”按钮。 2. 按照页面给出的提示，选择“软件版”vCPE和接入带宽等关键业务配置。 3. 参数配置完毕后，点击“提交订单”。在确认订单信息准确无误后，勾选产品服务协议，接着点击“确认下单”。 4. 完成订单支付，支付成功即完成 vCPE 资源的购买。 客户经理协助开通：您也可以直接联系客户经理，由其协助完成 vCPE 资源的开通。 购买完成后，及时联系 SDWAN 客户经理进行交付。届时，天翼云 SDWAN 交付团队会协助您将创建好的 vCPE 实例资源部署到云主机上，并接入天翼云 SDWAN 网络。

本节介绍了云数据库TaurusDB的使用限制说明。 TaurusDB使用上有一些固定限制，用来提高实例的稳定性和安全性，具体详见下表。 表功能使用限制 功能 使用限制 TaurusDB访问 如果TaurusDB数据库实例没开通公网访问，则该实例必须与弹性云主机在同一个虚拟私有云内才能访问。 弹性云主机必须处于目标TaurusDB数据库实例所属安全组允许访问的范围内。如果TaurusDB数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在TaurusDB数据库的安全组添加一条“入”的访问规则。“入”规则开放TCP协议，使用数据库实例的默认端口。 TaurusDB数据库实例的默认端口：主备版默认端口为3306，需用户手动修改端口号后，ECS或外网才能访问其他端口。具体操作请参见修改数据库端口。 数据库的root权限 创建实例页面只提供管理员root用户权限（仅限主备版）。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 数据迁移 使用mysqldump迁移TaurusDB数据。 重启TaurusDB实例 无法通过命令行重启，必须通过TaurusDB的管理控制台重启实例。 查看TaurusDB备份 TaurusDB数据库实例在对象存储服务上的备份文件，对用户不可见。