本页介绍了天翼云关系数据库MySQL安全组规则的设置方法。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

本页介绍了关系数据库MySQL版产品如何设置安全组规则。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

本章主要介绍使用软件开发生产线快速搭建项目（ECS篇） 本文基于软件开发生产线内置代码仓库，介绍如何使用软件开发生产线完成项目的开发、构建与部署，实现持续交付。 本文采用的ECS部署，若需了解CCE部署方法，请参考使用软件开发生产线快速搭建项目（CCE篇）。 准备工作 1. 拥有天翼云帐号。若没有，请先注册天翼云帐号。 2. 已购买软件开发生产线。 3. 已购买弹性IP。 4. 已购买云主机，购买时的必要配置可参考下表，表中未列出的配置可根据实际情况选择。完成购买后，参考“《云主机用户指南》​>安全​>安全组​>配置安全组规格”添加端口22及8080的入方向规则。 表 云主机配置 配置分类 配置项 配置建议 ::: 基础配置 计费模式 选择“按需计费”。 基础配置 CPU架构 选择“x86计算” 基础配置 规格 选择2核4G或以上规格。 基础配置 镜像 选择“公共镜像 > CentOS > CentOS 7.6 64bit(40GB)”。 网络配置 弹性IP 选择“使用已有”。 高级配置 登录凭证 选择“密码”。 高级配置 密码 输入自定义密码。

本节介绍如何在云审计服务事件列表查看云防火墙(原生版)审计事件。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件名称 读写类型 绑定网卡 写类型 解绑网卡 写类型 绑定虚拟 IP 写类型 解绑虚拟 IP 写类型 绑定弹性 IP 写类型 解绑弹性 IP 写类型 路由表配置 新增路由表规则 写类型 路由表配置 修改路由表规则 写类型 路由表配置 删除路由表规则 写类型 更改安全组 写类型 获取 VNC 读类型 单点登录 读类型 云墙主机 开机 写类型 云墙主机 关机 写类型 云墙主机 重启 写类型

本节介绍IP地址组的基本概念及使用场景。 什么是IP地址组？ IP 地址组是智能边缘云平台提供的网络管理资源，用于将多个 IPv4/IPv6 地址或网段进行统一归类、集中管理，可直接关联安全组规则实现批量 IP 访问控制，简化规则配置、减少重复录入，适用于多场景网络访问策略管理。 应用场景 批量配置安全组放行 / 拒绝规则，统一管理办公网段、业务网段。 对边缘云主机进行 SSH/RDP 远程访问白名单控制。 多安全组复用同一 IP 地址集合，降低配置成本。 边缘网络访问控制策略快速下发与变更。

简单易用 容器镜像服务的管理控制台简单易用，支持镜像的全生命周期管理 安全可靠 容器镜像服务遵循HTTPS协议保障镜像安全传输，提供账号间、账号内多种安全隔离机制，确保用户数据访问的安全 无缝对接CCE 容器镜像服务提供镜像部署入口，与云容器引擎CCE无缝对接，一键式部署容器应用 开放兼容 全面支持社区Registry V2协议，支持通过控制台或社区CLI管理镜像

版本 计费项 计费说明 基础版 无 免费体验，不计费。 专业版 资产配额 按购买的资产配额数计费，包括主机资产配额数和网站资产配额数。 专业版 按包周期购买计费 提供包月和包年的购买模式。 专业版 按需购买计费 即开即停，按小时结算。

本节介绍了通过SQL命令转储与还原升级大版本的相关内容。 操作场景 升级RDS for PostgreSQL引擎大版本，能让您享受到RDS for PostgreSQL新版本带来的功能、性能、安全的提升。但大版本升级可能存在向后不兼容的数据变更，可能导致现有业务运行不兼容。因此需要用户使用目标版本测试确保业务能够正常运行后，再执行大版本升级。 本章节中“源数据库”表示待升级的低版本RDS for PostgreSQL数据库，“目标数据库”表示待升级到的高版本RDS for PostgreSQL数据库。 RDS for PostgreSQL版本号说明 RDS for PostgreSQL v10及其以上版本的版本号由major.minor组成。其中，major表示大版本号，minor表示小版本号。大版本升级是指major部分增加，比如：11.x升级到12.x。 RDS for PostgreSQL v10之前的版本号由major.major.minor组成。其中，major.major表示大版本号，minor表示小版本号。大版本升级是指如major.major部分增加，比如：从9.5.x升级到9.6.x或者从9.x.x升级到10.x。 准备工作 1. 查看待升级的云数据库 RDS for PostgreSQL实例信息。 a. 在“实例管理”页面，单击待升级实例名称，进入待升级实例基本信息页面。 b. 在“基本信息”页面中，可以查看到实例所属区域、可用区、虚拟私有云、子网、安全组。 2. 准备弹性云主机。 通过弹性云主机连接关系型数据库实例，需要创建一台弹性云主机。 该弹性云主机的区域、可用区、虚拟私有云、子网、安全组与待升级RDS for PostgreSQL实例相同。 3. 在2中的弹性云主机上，安装PostgreSQL客户端。 说明 该弹性云主机需要安装和RDS for PostgreSQL数据库服务端相同版本的数据库客户端，PostgreSQL数据库或客户端会自带pgdump、pgrestore和psql工具。 4. 参考通过内网连接RDS for PostgreSQL实例（Linux方式）连接源数据库，在每一个数据库上执行如下sql，获取已使用列表。 select extname from pgextension; 5. 根据查看的已使用列表，选择一个包含当前所有插件的目标升级版本。 RDS for PostgreSQL各版本支持的插件，参考支持的插件列表。 6. 参考创建参数模板，创建一个兼容待升级实例参数的目标版本参数模板。 7. 创建目标版本RDS for PostgreSQL实例。 − 创建RDS for PostgreSQL实例，请参见步骤一：购买实例。 − 目标版本RDS for PostgreSQL实例所属区域、可用区、虚拟私有云、子网、安全组与源实例相同。 8. 在2中的弹性云主机上，参考通过内网连接RDS for PostgreSQL实例（Linux方式），确认目标实例连接正常。

本节介绍如何在云审计服务事件列表查看Web应用防火墙(原生版)审计事件。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件名称 读写类型 租户管理获取ICP状态 读类型 租户的所有实例详情 读类型 独享版租户节点实时信息 读类型 独享版租户查询实例列表 读类型 独享版租户详情 读类型 独享版租户修改实例信息 读类型 独享版租户查询用户可用的eip列表 写类型 独享版租户绑定eipipv4 写类型 独享版租户解绑eipipv4 写类型 独享版防护对象新增 写类型 独享版防护对象更新 写类型 独享版防护对象查询 读类型 独享版防护对象详情 读类型 独享型和saas型的防护对象查询 读类型 ELB防护对象查询ELB防护对象的可用资源池 读类型 安全策略详情 读类型 安全策略更新 写类型 规则组查询 读类型 增强型bot规则查询统计 读类型 增强型bot规则查询 读类型 精准防护查询统计 读类型 精准防护查询 读类型 访问规则新增 写类型 访问规则查询统计 读类型 访问规则查询 读类型 访问规则详情 读类型 访问规则查询加密套件 读类型 访问规则获取可用端口 读类型 访问规则API安全获取防护对象 读类型 访问规则查询WAF回源IP段 读类型 访问规则查询域名是否备案 读类型 访问规则根据资源池id获取cname 读类型 API列表查询 读类型 API安全业务用途查询 读类型 全局规则表对应非全局配置的policy表详情 读类型 管理归档日志查询 读类型 管理归档日志获取当前实例已使用的归档空间 读类型

模型适配专家服务支持自主订购和委托客户经理订购两种方式。 自主订购 实名认证 开通模型适配专家服务，需要先注册天翼云账户并确保已完成实名认证。 注册并登录天翼云官网，注册指南请参见账号中心操作指南注册天翼云账号。 未实名认证的用户请按提示完成实名认证才能开通模型适配专家服务，实名认证指南请参见账号中心操作指南实名认证。 订购流程 购买模型适配专家服务产品之前请确保您的账户余额大于本次购买服务的费用。 进入模型适配专家服务产品详情页快速了解产品，之后单击【立即订购】。 在购买页面选择订购规格，阅读并勾选服务协议，确认无误后点击【立即购买】。 支付后即算订购完成。 委托客户经理订购 联系客户经理，沟通预订购产品规格，客户经理通过内部系统下单。 退订说明 本产品订购成功后，一旦已进入服务实施阶段不允许退订，不退还费用。

本文向您介绍如何通过VPN连接云下数据中心与云上VPC。 操作场景 默认情况下，在Virtual Private Cloud (VPC) 中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。申请VPN后，用户需要配置安全组并检查子网的连通性，以确保VPN功能可用。主要场景分为两类： 点对点VPN：本端为处于云服务平台上的一个VPC，对端为一个数据中心，通过VPN建立用户数据中心与VPC之间的通信隧道。 点对多点VPN：本端为处于云服务平台上的一个VPC，对端为多个数据中心，通过VPN建立不同用户数据中心与VPC之间的通信隧道。 配置VPN时需要注意以下几点： 本端子网与对端子网不能重复。 本端和对端的IKE策略、IPsec策略、PSK相同。 本端和对端子网，网关等参数对称。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 VPN对接成功后两端的云主机或者物理设备之间需要进行通信，VPN的状态才会刷新为正常。 前提条件 已创建VPN所需的虚拟私有云和子网。 操作步骤 1. 在管理控制台上，创建VPN网关、用户网关，选择合适的IKE策略和IPsec策略创建VPN连接。 2. 检查本端和对端子网的IP地址池。 3. 为弹性云主机配置安全组规则，允许通过VPN进出本地数据中心的报文。 4. 检查VPC安全组。 5. 检查远端LAN配置（即对端数据中心网络配置）。 假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 本端和对端子网IP池不能重合。例如，本端VPC有两个子网，分别为：192.168.1.0/24和192.168.2.0/24，那么对端子网的IP地址池不能包含本端VPC的这两个子网。 从本地数据中心ping云主机，验证安全组是否允许通过VPN进出本地数据中心的报文。 在远程LAN（对端数据中心网络）配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信，请检查远程LAN是否存在拒绝策略。

虚拟私有云(VPC),为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络,VPC丰富的功能帮助您灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外,您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通,灵活整合资源,构建混合云网络。

本章节为您介绍如何登录时间戳服务 时间戳服务，可提供标准的时间戳服务功能，可将交易时间和交易内容固化，适用于时间敏感型业务数据的安全保护。该服务可以满足信息系统密码应用测评中关于实体行为不可否认性的要求。 开放端口要求 为避免网络故障或网络配置问题影响使用服务，请参考下表配置实例安全组。 注意 如何添加安全组规则请参考：添加安全组规则章节。 端口 端口用途 90809083 9080端口：Http协议 9081端口：Tcp协议 9082端口：Https协议 9083端口：TLS协议 通过天翼云控制台进入登录页面 通过天翼云控制台进入登录页面 1. 登录天翼云云密评专区管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的时间戳服务实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID，您可以查看 a39b0db2989140c79e6de8c21d50f132 azName 否 String 可用区名称，您可以查看 cnhuadong1jsnj3Apublicctcloud projectID 否 String 企业项目ID，企业项目管理服务提供统一的云资源按企业项目管理，以及企业项目内的资源管理，成员管理。您可以通过查看 0 pageNo 否 Integer 页码，取值范围：正整数（≥1），注：默认值为1 1 pageSize 否 Integer 每页记录数目，取值范围：[1, 50]，注：默认值为10 10 state 否 String 云主机状态，取值范围： active：开机， shutoff：关机， expired：已到期 注：该参数大小写不敏感（如active可填写为ACTIVE） active keyword 否 String 关键字，对部分参数进行模糊查询，包含：instanceName、displayName、instanceID、privateIP ecs888 instanceName 否 String 云主机名称，精准匹配 ecs1 instanceIDList 否 String 云主机ID列表，多台使用英文逗号分割，您可以查看 73f321ea62ff11eca8bc005056898fe0,88f888ea88ff88eca8bc888888888fe8 securityGroupID 否 String 安全组ID，模糊匹配，您可以查看 sgtolywxbe1f vpcID 否 String 虚拟私有云ID，您可以查看 vpceuu7edo58k resourceID 否 String 资源ID，非资源的UUID，该ID为订单的资源ID（创建云主机接口为异步接口，订单先返回一个该资源ID方便后续查找） 获取： 创 9178e00c6fd148a88d4307950a9468df

本章节介绍通过内网连接Microsoft SQL Server实例的流程。 本章介绍如何在管理控制台创建Microsoft SQL Server实例，并通过内网使用弹性云服务器上连接Microsoft SQLServer实例。 步骤一：创建实例。根据业务需求，确认Microsoft SQL Server实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接Microsoft SQL Server实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 步骤三：通过内网连接Microsoft SQL Server实例。

镜像源和镜像目的如何受所在安全组和ACL的限制？ 报文在从镜像源复制时，入方向受源的安全组和ACL限制，出方向不受安全组和网络ACL的限制 报文在复制至镜像目的时，入方向会受目的安全组和网络ACL策略的限制。 为了防止流量被安全组和ACL丢弃，需要在镜像目的所在安全组和网络ACL配置以下规则： 安全组规则：入方向允许镜像源网卡的IP访问目的端口为4789的UDP协议报文。 ACL规则：入方向允许来自镜像源网卡的IP和所有源端口的UDP协议报文。 一个组播域下可以创建多少个组播组？ 一个组播域下最多可以创建30个组播组。 在组播域中，一组发送和接收相同组播报文的资源组成一个组播组。每个组播组均由一个组播IP地址标识，各个组播组的IP地址不能相同。不同组播域下支持创建相同IP地址的组播组。不同组播组的组播流量互不相通。 弹性网卡均支持加入组播的吗？ 在VPC中创建的弹性网卡并非都支持加入组播域中。您需要保证所创建的弹性网卡已和相应的弹性云服务器绑定，如果未绑定到云服务器，不支持加入组播网络。弹性网卡被指定为组播成员后，如果您在VPC中删除该弹性网卡，则该弹性网卡关联的组播对象关系自动解除。

流程概述 自建MySQL服务器 创建VPC 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击服务列表图标，选择“网络 > 虚拟私有云。进入虚拟私有云信息页面。 4、单击“创建虚拟私有云”购买VPC。 5、单击“立即创建”。 6、返回VPC列表，查看创建VPC是否创建完成。当VPC列表的VPC状态为“可用”时，表示VPC创建完成。 创建安全组 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。进入虚拟私有云信息页面。 4、选择“访问控制 > 安全组”。 5、单击“创建安全组”。 6、填写安全组名称等信息。 7、单击“确定”。 8、返回安全组列表，单击安全组名称“sg01”。 9、选择“入方向规则”，单击“添加规则”。 10、配置入方向规则，放通数据库3306端口。 创建ECS（MySQL服务器） 购买弹性云服务器，用于安装MySQL社区版。 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“计算 > 弹性云服务器 ECS”。 4、单击“购买云服务器”。 5、配置弹性云服务器参数 安装社区版MySQL 1、打开Xshell客户端 2、填写主机IP和账号密码等信息并登录 3、下载好社区版mysql.zip压缩包传至主机，并编辑好安装脚本 4、在弹性云主机运行数据库安装脚本，执行bash /root/im.sh后，数据库安装成功 5、通过Navicat登录主机搭建好的数据库并新建测试表格数据 6、至此，测试自建库完成搭建 创建目的端RDS 创建RDS实例 1、登录天翼云控制台 2、单机管理控制台区域按钮，选择区域“上海4” 3、单机左侧的服务列表图标，选择“数据库 > 云数据库 RDS”。 4、单击“购买数据库实例”。 5、配置实例名称和实例基本信息。 采用DRS工具进行迁移 创建DRS任务 1、登录天翼云控制台 2、单机管理控制台区域按钮，选择区域“上海4” 3、单机左侧的服务列表图标，选择“数据库 > 数据库复制”。 5、单击“创建迁移任务”，填写迁移信息后点击下一步。 6、配置源端和目的端迁移信息，并单机测试连接显示通过即为两个数据库网络可达. 7、单击“下一步”。确认迁移用户、快照模式和迁移对象。 8、单击“下一步”。等待预检查结果。 9、当所有检查都是“通过”时，单击"下一步”单击“提交任务”。返回DRS实时迁移管理，查看迁移任务状态。 10、迁移完成后可在控制台左侧点击迁移对比查看迁移对比结果

使用须知 使用Cloudinit特性时，需开启弹性云主机所在VPC中子网的DHCP。 使用Cloudinit特性时，安全组出方向规则需满足如下要求： − 协议：TCP − 端口范围：80 − 远端地址：169.254.0.0/16 说明 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常访问元数据。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/0

映射 用来约束字段的类型，可以根据数据自动创建。相当于数据库中的Schema。 字段 组成文档的最小单位。相当于数据库中的Column。 Kibana Kibana是一个开源的数据分析与可视化平台，与Elasticsearch搜索引擎一起使用。您可以用Kibana搜索、查看、交互存放在Elasticsearch索引中的数据，也可以使用Kibana以图表、表格、地图等方式展示数据。 一键访问 云搜索服务的集群默认提供Kibana，无需安装部署，一键访问Kibana。 登录云搜索服务管理控制台。在左侧导航栏，单击“集群管理”进入集群管理列表。在对应集群的“操作”列，单击“Kibana”，即可打开Kibana界面。 Kibana功能 完全兼容开源Kibana可视化展现和Elasticsearch统计分析能力。 支持10余种数据呈现方式。 支持近20种数据统计方式。 支持时间、标签等各种维度分类。 Cerebro Cerebro是使用Scala、Play Framework、AngularJS和Bootstrap构建的开源的基于Elasticsearch Web可视化管理工具。您可以通过Cerebro对集群进行web可视化管理，如执行rest请求、修改Elasticsearch配置、监控实时的磁盘，集群负载，内存使用率等。 一键访问Cerebro 云搜索服务的集群默认提供Cerebro，无需安装部署，一键访问Cerebro。 登录云搜索服务管理控制台。在左侧导航栏，单击“集群管理”进入集群管理列表。在对应集群的“操作”列，单击“Cerebro”，即可打开Cerebro界面。 打开Cerebro后，需要输入集群的内网访问地址，选择其中的一个内网访问地址即可。 非安全模式登录时，输入 。 安全模式登录时，输入 ，并且输入登录安全模式的账号和密码。

本小节介绍退订与变更计费模式。 退订 购买主机安全的防护配额后，如需停止使用，请执行退订操作。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日之前关闭自动续费。 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全平台界面。 3、根据不同的配额类型执行退订操作。 退订主机防护配额： 在左侧导航栏选择“资产管理 > 主机管理”页面，选择“防护配额”页签，进入防护配额列表页面。 在需要退订的配额所在行的“操作”列，单击“更多 > 退订”。 退订容器防护配额： 在左侧导航栏选择“资产管理 > 容器管理”页面，选择“防护配额”页签，进入防护配额列表页面。 在需要退订的配额所在行的“操作”列，单击“更多 > 退订”。 4、在“退订使用中的资源”列表页面，退订企业主机安全服务配额。单个退订：在需要退订的主机安全配额所在行，单击操作列的“退订资源”。 更改计费模式 计费模式变更指“包年/包月”与“按需计费”模式之间的变更，当前仅支持企业版。 按需变更为包周期 ：按需变更为包周期，需要用户购买包周期配额，生成新的订单，用户支付订单后，包周期配额立即生效。包周期配额生效后，需要用户在云服务器列表页面，勾选目标主机，单击“开启防护”，选择包周期防护配额，直接开启包周期配额防护。 包周期变更为按需：包周期转按需，需要用户在云服务器列表页面，勾选目标主机，单击“开启防护”，选择按需防护，按需的资费模式才会生效。

对比项 自建Kubernetes集群 云容器引擎 易用性 自建Kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案，管理复杂。每次升级集群的过程都是巨大的调整，带来繁重的运维负担。 简化集群管理，简单易用 借助云容器引擎，您可以一键创建和升级Kubernetes容器集群，无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用，使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的Helm标准模板，真正实现开箱即用。 您只需启动容器集群，并指定想要运行的任务，云容器引擎帮您完成所有的集群管理工作，让您可以集中精力开发容器化的应用程序。 可扩展性 自建Kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署，可扩展性差。 灵活集群托管，轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容，并可以自由组合多种弹性策略，以应对业务高峰期的突发流量浪涌。 可靠性 自建Kubernetes集群操作系统可能存在安全漏洞和配置错误，这可能导致未经授权的访问、数据泄露等安全问题。 企业级的安全可靠 云容器引擎提供容器优化的各类型操作系统镜像，在原生Kubernetes集群和运行时版本基础上提供额外的稳定测试和安全加固，减少管理成本和风险，并提高应用程序的可靠性和安全性。 高效性 自建Kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库，镜像拉取方式多采用串行传输，效率低。 镜像快速部署 云容器引擎配合容器镜像服务，镜像拉取方式采用并行传输，确保高并发场景下能获得更快的下载速度，大幅提升容器交付效率。

本文将为您介绍云硬盘相关的安全技术。 数据保护技术 天翼云云硬盘通过加密技术，保护存储在天翼云云硬盘中的静态数据的机密性。详细信息请参见云硬盘加密功能介绍。 支持创建空白加密数据盘。 支持通过快照、备份创建加密数据盘。 支持行业标准的AES256 算法，利用天翼云自研密钥管理（KMS，Key Management Service）服务加密云硬盘数据。 从加密云硬盘创建的快照、备份默认加密。 监控安全风险 天翼云云硬盘提供基于云监控服务的资源监控能力，支持自动实时监控用户监控账号下的云硬盘使用情况，用户可以实时监控云硬盘的IOPS、带宽、时延等信息。 更多支持的监控指标，以及查看监控的方式请参见查看云硬盘监控数据。 故障恢复 天翼云云硬盘提供多种故障后恢复数据的方式，如下表： 恢复数据方式 描述 详细介绍 从回收站中恢复云硬盘 天翼云云硬盘回收站开启后，支持将删除的云硬盘资源保存至回收站中。 在7天内，您可以在回收站内恢复云硬盘数据。 以防止误删除导致的云硬盘数据丢失。 从回收站恢复云硬盘 使用快照回滚云硬盘 当发生误操作或系统故障等问题时，您可以使用已创建的快照来回滚数据。 云硬盘的数据将恢复至创建快照的时刻，从而实现云硬盘数据的恢复。 快照回滚 使用快照创建云硬盘 您可以通过快照创建新的云硬盘，使云硬盘在初始状态就具有快照中的数据。 从快照创建云硬盘 使用备份恢复云硬盘 当云硬盘发生故障，或者由于人为误操作导致云硬盘数据丢失时，您可以使用已经创建成功的备份恢复数据至源云硬盘。 使用备份恢复云硬盘 使用备份创建云硬盘 您可以使用备份创建新的云硬盘，新建的云硬盘在初始状态就具有备份中的数据。 使用备份创建云硬盘

本文主要介绍如何删除IP地址组。 操作场景 本章节指导用户删除IP地址组。 说明 删除IP地址组，也将删除IP地址组使用的安全组规则和网络ACL规则。 删除IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“删除”，删除IP地址组。删除IP地址组会同时删除该地址组关联的安全组规则。

本章介绍预防帐户暴力破解攻击方案。 帐户破解风险 一旦主机帐户被破解，入侵者就拥有了对主机的操作权限，主机上的数据将面临被窃取或被篡改的风险，企业的业务会中断，造成重大损失。 如何预防 配置SSH登录白名单 SSH登录白名单功能是防护帐户破解的一个重要方式，配置后，只允许白名单内的IP登录到服务器，拒绝白名单以外的IP。 开启双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次身份认证。 在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。 修改默认端口 将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。 设置安全组规则，限制攻击源IP访问您的服务端口 可实时检测攻击者对主机中帐户的暴力破解攻击，拦截攻击源IP。您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。 说明 建议设置对外开放的远程管理端口（如SSH、远程桌面登录），只允许固定的来源IP进行连接。 如果是远程登录端口，您可以只允许特定的IP地址远程登录到弹性云服务器。 例：仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云服务器的22端口，安全组规则如下所示： 仅允许特定IP地址远程连接云服务器 方向 协议应用 端口 源地址 入方向 SSH（22） 22 例如：192.168.20.2/32

购买步骤（二类节点） 1. 登录天翼云控制中心。 2. 选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3. 单击右上角的“立即购买”，进入数据库审计实例购买页。 4. 在订购页面，配置实例相关参数。 参数 说明 地域 选择数据库审计实例的地域。 尽量选择距离您更近的地域以提高访问速；购买完成后不支持修改地域。 可用区域 部分地域拥有多个可用区，选择其中一个可用区购买数据库审计实例；购买完成后不支持修改可用区。 CPU分类 选择实例的CPU架构。部分地域提供了X86和ARM架构，实际支持情况以订购页为准。 数据库审计名称 输入该数据库审计实例的名称。 实例数量 选择数据库审计的实例数量。 配套弹性云主机 配置数据库审计实例所需的云主机规格，不同实例规格所需的云主机规格详见产品规格。 数据库审计云主机：云主机的规格，即CPU、内存规格。不支持升降配。 系统盘：云主机的系统盘规格，根据您服务自身需求选择具体容量大小，不支持降配。 数据盘：云主机的数据盘规格，根据您服务自身需求选择具体容量大小，不支持降配。 虚拟私有云 选择数据库审计实例所属的VPC。 安全组 选择数据库审计实例所属的安全组。为正常使用数据库审计，请手动开通如下安全组规则：TCP协议1443、13001与13002入方向。 子网 选择数据库审计实例所属的子网。 弹性IP 绑定数据库审计实例的弹性IP。 若购买时未绑定弹性IP，等开通完成后，请在云主机手动同步绑定选择的弹性IP，具体操作请参考：绑定弹性公网IP。 管理员初始帐密 为数据库审计实例的超级管理员设置初始密码。 用户名：默认为超级管理员admin，不支持修改。 登录密码：设置初始密码。 确认密码：二次确认密码。 5. 选择“购买时长”，拖动时间轴设置购买时长。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 6. 确认参数配置无误后，阅读《天翼云数据库审计产品服务协议》并勾选“我已阅读并同意《天翼云数据库审计产品服务协议》”，单击“提交订单”。 7. 在订单详情页确认内容是否正确，确认无误后单击“立即支付”，在后续跳转页中完成支付即成功购买数据库审计服务。

本文介绍云容器引擎的使用流程。 完整的容器服务使用流程包括以下步骤： 使用流程 说明 环境设置 创建集群前，您需要进行必要的环境设置。 说明： 如果用户已有“虚拟私有云”和“安全组”“子网”，可直接使用，不需额外创建。 . 创建虚拟私有云，提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化用户的网络部署； . 创建子网，在虚拟私有云下创建子网，用于集群部署； . 配置安全组，确保集群创建过程中使用的端口开放。 创建集群 CCE支持创建Kubernetes集群(即虚拟机集群)，后续还将提供裸机集群。 选择部署方式 CCE支持两类部署方式，用户可基于自身需求选择。 . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 上传并选择私有镜像：您可基于业务需求制作私有docker镜像，上传到CCE。基于该私有镜像创建容器应用。 创建容器应用 CCE支持无状态及有状态容器应用。 . 无状态应用：在运行中始终不保存任何数据或状态，例如nginx； . 有状态应用：在运行中需要基于数据或状态运行，例如redis。 应用运维 CCE支持容器应用监控、日志，提供全生命周期管理能力。

约束与限制 Linux云主机状态处于“运行中”。 Linux操作系统一般情况首次登录使用用户名可以设置为root或ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 您所使用的登录工具与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 说明 出于安全考虑，通常会修改Linux远程登录端口。如果您需要修改默认登录端口，请参考 登录方式概述 请根据需要选择登录方式，登录云主机。 云主机操作系统 本地主机操作系统 连接方法 条件 :::: Linux Windows 使用控制中心远程登录方式： 可参见：Linux弹性云主机远程登录（VNC方式）、Linux弹性云主机远程登录（TeleCloudShell方式） 不依赖弹性IP Linux Windows 安使用PuTTY、Xshell等远程登录工具： 密码方式鉴权可参见：SSH密码方式登录（本地使用Windows操作系统）。 密钥方式鉴权可参见：SSH密钥方式登录（本地使用Windows操作系统）。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux Linux 使用命令连接： 密码方式鉴权可参见：SSH密码方式登录（本地使用Linux操作系统）。 密钥方式鉴权可参见：SSH密钥方式登录（本地使用Linux操作系统）。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux 移动设备 使用Termius、JuiceSSH等SSH客户端工具登录云主机。 可参见：在移动设备上登录Linux云主机。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux Mac OS系统 使用系统自带的终端（Terminal）： 可参见：Mac OS系统登录Linux弹性云主机。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。）

本小节介绍终端杀毒产品定义。 随着虚拟化及云计算的发展，企业环境逐步由物理环境转变为由物理环境、私有云及公有云混合的环境，传统内外网的网络边界消失了，特别是在提供多租户服务的公有云中，不同组织的网络数据在数据中心内部、甚至是在同一台物理主机上进行交换，传统的安全设备已经无法对其进行检测及防护。云计算环境下需要基于每个终端节点、并且每个节点具有相同安全防护等级的全新的安全防护模型。 天翼云终端杀毒（统一服务器安全管理系统）面向政企用户的以大数据技术为支撑、以可靠服务为保障，能够精确检测已知病毒木马、未知恶意代码，有效防御APT攻击，为政企事业单位提供终端病毒、漏洞管控能力。

本小节介绍终端杀毒产品定义。 随着虚拟化及云计算的发展，企业环境逐步由物理环境转变为由物理环境、私有云及公有云混合的环境，传统内外网的网络边界消失了，特别是在提供多租户服务的公有云中，不同组织的网络数据在数据中心内部、甚至是在同一台物理主机上进行交换，传统的安全设备已经无法对其进行检测及防护。云计算环境下需要基于每个终端节点、并且每个节点具有相同安全防护等级的全新的安全防护模型。 天翼云终端杀毒（统一服务器安全管理系统）面向政企用户的以大数据技术为支撑、以可靠服务为保障，能够精确检测已知病毒木马、未知恶意代码，有效防御APT攻击，为政企事业单位提供终端病毒、漏洞管控能力。

产品优势：极简部署、智能防护、可视可溯、丰富生态 极简部署 作为一款云SaaS服务，可以对公网资产、内部资产自动安全盘点，一键开启防护，支持原有安全策略一键导入，可随业务按需动态扩容。 智能防护 AI算法实时检测和拦截恶意流量；并通过自带的入侵防御引擎（IPS），对恶意流量进行实时检测和精准防御。 可视可溯 全场景流量日志、访问日志、入侵攻击日志记录，并通过报表分析呈现，支持审计及高级威胁溯源分析。 丰富生态 支持无缝集成第三方厂家威胁检测分析引擎，云上云下统一生态，客户原线下安全策略资产无缝平移。

说明 运维安全中心（云堡垒机）仅支持二类节点部署的云审计服务。 开启了云审计服务后，系统开始记录运维安全中心（云堡垒机）实例的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 在页面左上角单击，选择“管理与部署> 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： “事件来源”、“资源类型”和“筛选类型”。 在下拉框中选择查询条件，例如：依次选择“CBH”>“cbh”>“按事件名称”>“createInstance”，单击“查询”，查询所有创建CBH实例的操作。 事件名称：选择具体的事件名称，例如createInstance。 资源ID：选择或者手动输入需要查看审计日志的CBH实例ID。 资源名称：选择或手动输入需要查看审计日志的CBH实例名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 “起始时间”、“结束时间”：可通过选择时间段查询操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息。 7. 在需要查看的记录右侧，单击“查看事件”，查看该操作事件结构的详细信息。

Oracle WebLogic wls9async反序列化远程命令执行漏洞（CNVDC201948814），Oracle WebLogic wls9async组件在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限，在未授权的情况下远程执行命令，CNVD对该漏洞的综合评级为“高危”。本章节介绍该漏洞的最佳实践。 漏洞名称 Oracle WebLogic wls9async反序列化远程命令执行漏洞 漏洞编号 CNVDC201948814 漏洞描述 WebLogic wls9async组件存在缺陷，通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限，在未授权的情况下远程执行命令。 影响范围 Oracle WebLogic Server 10.X Oracle WebLogic Server 12.1.3 官方解决方案 官方暂未发布针对此漏洞的修复补丁。 防护建议 通过WAF的精准访问防护功能，拦截利用该漏洞发起的远程命令执行攻击请求。精准访问防护规则的具体配置方法请参见配置精准访问防护规则。