调整时间 2024年12月27日 调整地域 全部地域（资源池）。仅限一类节点。 调整内容 海量文件服务OceanFS控制台将与弹性文件服务SFS Turbo控制台合并为文件存储控制台，您可以在同一个控制台对两个产品的资源进行管理。但两产品的产品入口不变，功能不变。 调整影响 本次云管升级不会对天翼云与您之间已生效的文件存储产品服务协议、文件存储资源实例、订单、产品功能以及与云服务销售相关的其它协议（如涉及）构成任何修订或变更，也不对其效力产生任何影响。

本文将介绍Web应用防火墙（边缘云版）流量访问流程。 Web应用防火墙（边缘云版）的流量访问流程如下图所示： 流量访问流程主要分为以下几个步骤： 1. Web应用防火墙（边缘云版）把安全能力赋能在所有边缘节点，用户的访问流量可就近接入安全边缘节点。 2. 安全边缘节点(WAF防护引擎)会解析访问请求报文，根据防护规则判断访问请求是否为恶意请求。 3. 如果是恶意请求，防护节点会根据客户配置的策略进行处理，比如阻断请求直接响应拦截信息给请求客户端。 4. 如果是正常业务请求，安全边缘节点会通过智能调度系统将请求转发到客户源站。对于请求客户端来讲源站服务器是隐身的。

本节介绍翼甲卫士的产品简介。 翼甲卫士是一款针对天翼AI云电脑平台的自研防火墙。提供开箱即用、功能丰富的安全防护服务，具备入侵防御 、病毒过滤、上网行为管理以及VPN等丰富功能。 开箱即用 即开即用、多种防御，一键式快速构建网络安全防护体系。 行为审计 支持对用户AI云电脑上网行为进行监测，并实时生成审计数据。 VPN隧道 支持 IPSec VPN 搭建云网互联企业内网，低成本拉通安全隧道；支持 IPSec VPN 实现AI云电脑和企业内部服务安全互访。

API请求 对应操作 Create Bucket 创建桶 Put Object 上传对象 Put Object Copy 复制对象 Put Symlink 设置软链接 Put Bucket ACL 设置桶ACL Put Object ACL 设置对象ACL Put Bucket Lifecycle 设置桶的生命周期 Put Object Tagging 设置对象标签 Put Bucket Tagging 设置桶标签 Put Bucket Logging 设置桶的日志转存 Put Bucket Encrytion 设置桶加密 Put Bucket Versioning 设置桶的版本控制 Put Bucket Website 设置桶的静态网站托管 Put Bucket Inventory Configuration 设置桶清单 Put Bucket CORS 设置桶的跨域资源共享权限配置 Create Multipart Upload 初始化分片上传任务 Upload Part 上传分段 UploadPartCopy 采用分段方式复制指定的对象 Complete Multipart Upload 完成分片上传任务 Abort Multipart Upload 舍弃一个分块上传并删除已上传的块 Put Bucket Object Lock Configuration 设置桶的对象锁定配置 Put Object Retention 设置对象合规保留 Put Object Legal Hold 设置对象依法保留 Restore Object 解冻对象 Put Bucket Policy 设置桶策略

示例 使用环境变量设置以下信息：安装文件的目录、存储输出的位置、存储连接和日志记录设置等。这些设置与应用程序逻辑解耦，在需要变更设置时，无需更新函数代码。 在如下函数代码片段中，参数“obsoutputbucket”为图片处理后存储地址。 def handler(event, context): srcBucket, srcObjName getObsObjInfo4OBSTrigger(event) obsaddress context.getUserData('obsaddress') outputBucket context.getUserData('obsoutputbucket') if obsaddress is None: obsaddress '{obsaddressip}' if outputBucket is None: outputBucket 'casebucketout' ak context.getAccessKey() sk context.getSecretKey() download file uploaded by user from obs GetObject(obsaddress, srcBucket, srcObjName, ak, sk) outFile watermarkimage(srcObjName) 将转换后的文件上传到新的obs桶中 PostObject (obsaddress, outputBucket, outFile, ak, sk) return 'OK' 通过设置环境变量obsoutputbucket，可以灵活设置存储输出图片的OBS桶。 环境变量

计费模式 一体机采用云服务模式向客户提供服务，产权归天翼云科技有限公司所有。初次订购服务期为3年，3年服务期结束后，用户可按年增购维保服务，原则上最长2年。维保到期后，天翼云将对设备进行回收处理。 一体机按内置超融合节点数量收费，前3年订购费用中已包含交换机、集成、运维费用。 退订说明 服务期内，产品不允许退订。

本文帮助您快速熟悉虚拟私有云创建安全组的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表右上方，单击“创建安全组”。进入“创建安全组”页面。 5. 根据界面提示，设置安全组参数。 6. 安全组参数设置完成后，可以在创建页面下方查看模板的入方向和出方向规则，确认无误后，单击“确定”。 表 参数说明 参数 参数说明 取值样例 名称 必选参数。安全组的名称。安全组的名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 说明：安全组名称创建后可以修改，建议不要重名。 sg318b 描述 可选参数。安全组的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

本文为您介绍查看保护组的操作流程。 操作场景 您可以通过控制台查看保护组信息。 前提条件 已经创建保护组。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，如选择华东1。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 板块展示：默认进入板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 列表展示：默认是板块展示，可单击右上角图标切换为列表展示。找到目标保护组，单击目标保护组名称，进入保护组页面。 5. 在保护组页面，可以查看保护组概览、受保护的服务器和任务列表。 6. （可选）您还可以在当前页面切换保护组，查看其他保护组的信息。 单击下拉框可切换保护组。单击下拉框，将按时间展示最新创建的保护组，最多可展示20个。单击目标保护组即可跳转至对应保护组的保护组概览。 支持按保护组名称模糊搜索。输入关键字后，单击联想出的信息即可跳转至对应保护组的保护组概览。

编辑当前实例的参数 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧导航栏选择“实例管理”，单击指定实例名称，进入基本信息页面。 4. 单击左侧导航栏中的“参数修改”，在“参数”页签下根据需要修改相关参数值。 图3 修改当前实例的参数 单击“保存”，在弹出框中单击“确认”，保存修改。 单击“取消”，放弃本次设置。 单击“预览”，可对比参数修改前和修改后的值。 5. 参数修改完成后，您可在“参数修改历史”页面，查看参数的修改详情。 查看参数修改详情的具体操作请参见查看参数修改历史。 注意 参数模板修改后，会立即应用到当前实例。 根据参数列表中“是否需要重启”提示，进行相应操作： 是：在实例列表中，查看“运行状态”，如果显示参数模板变更，等待重启，则需重启实例使之生效。 否：无需重启，立即生效。

本文介绍如何处理CNAME解析不生效问题。 CNAME（Canonical Name）记录是一种别名记录，用于将多个域名映射到同一台计算机或服务器上。通过配置CNAME记录，可以实现域名的别名映射，将一个域名解析到另一个域名上。客户接入DDoS高防（边缘云版）时，在天翼云DDoS高防（边缘云版）控制台完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名，例如 .ctdns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向 .ctdns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云边缘节点，实现防护的目的。 如发现CNAME未正常解析，可能的原因如下： 1、CNAME配置错误：请检查所配置的CNAME解析记录值是否与天翼云DDoS高防（边缘云版）控制台提供的CNAME地址一致。如果不一致，可能会导致解析失败。 2、TTL未过期：在完成CNAME配置后，运营商localDNS的TTL可能还未过期。通常情况下，TTL时间为10分钟，但实际生效以您域名解析时配置的TTL为准。需要等待TTL时间过期后，新的CNAME解析才能生效。

本文帮助您了解对象存储删除桶相关的操作步骤。 操作场景 当您不再需要使用一个桶时，可以通过ZOS控制台将其删除，这样可以释放桶所占用的数量配额，以便您可以创建更多的桶，帮助您管理和优化存储资源，确保资源的有效使用。 注意 桶删除后无法恢复，请谨慎操作。 约束与限制 若桶中有对象和碎片，需先彻底删除对象和碎片后，再删除桶。 若桶已绑定自定义域名，需先解绑后，再删除桶。 若桶作为了日志存储目标桶，请取消后再删除桶。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表中，选择要删除的桶，点击“删除”。 5. 在弹出的页面点击“确定”，完成桶删除。

本文介绍如何创建和管理数据缓存。 数据缓存可以提前拉取业务所需数据，以便在创建ECI实例时可以直接挂载使用。 创建数据缓存 1. 在弹性容器实例控制台左侧导航栏中选择“数据缓存”，进入数据缓存列表页。 2. 点击“创建数据缓存”，进入创建数据缓存创建页面。 3. 按需选择网络配置，如果是从公网拉取数据集，并且没有配置公网NAT网关，需要配置EIP(自动创建或使用已有)。 4. 设置数据缓存。 5. 设置数据源。 6. 点击确定按钮后，即可在数据缓存列表中查看创建的数据缓存。 管理数据缓存 1. 点击数据缓存名称，进入详情，可查看事件。 2. 点击制作任务，可以跳转到容器组实例详情查看制作任务过程日志。

本文向您介绍VPN连接服务的监控概览。 监控是保持VPN可靠性、可用性和性能的重要部分，通过监控，用户可以观察VPN资源。为使用户更好地掌握自己的VPN运行状态，天翼云提供了云监控服务（CES）。您可以使用该服务监控您的VPN，执行自动实时监控、告警和通知操作，帮助您更好地了解VPN的各项性能指标。

本小节介绍DDoS基础防护最佳实践。 DDoS基础防护产品最佳实践 为保障公网业务持续稳定运行，避免因 DDoS 攻击导致 IP 封堵、业务中断，建议您按照以下最佳实践流程，使用天翼云 DDoS 基础防护并做好安全防护规划。 1.业务平稳运行阶段 在业务上线初期，若未遭受 DDoS 攻击，或攻击流量规模低于 DDoS 基础防护阈值，IP 不会触发封堵机制，业务网络可正常对外提供服务。 2.攻击触发封堵场景 随着业务规模扩大、行业竞争加剧，若业务遭遇针对性 DDoS 攻击，且攻击流量峰值超出基础防护阈值、挤占资源池带宽并影响网络稳定时，系统将自动对该 IP 执行 DDoS 封堵，暂时阻断公网流量以保障平台整体稳定。 3.接收封堵通知 IP 被封堵后，您将通过账号联系人及安全消息配置联系人的短信、邮箱、站内信同步收到封堵通知，通知中包含受影响 IP、攻击流量峰值、封堵时长等关键信息，便于您快速掌握异常情况。 4.方案查阅 参考官方产品文档与常见问题说明，了解封堵原因及对应的防护解决方案。针对开放DDoS基础防护控制台的资源池EIP，您可登录天翼云控制台，进入 DDoS 基础防护页面，复核流量封堵情况。 5.部署高防防护与 IP 优化 根据官方防护建议，选购并配置天翼云 DDoS 高防 IP、DDoS 高防（边缘云版）或第三方合规 DDoS 高防产品；同时同步更换业务 IP，并限制仅高防 IP 可访问业务 IP，实现业务 IP 隐藏与专业 DDoS 清洗防护，从根源避免再次触发DDoS封堵，保障业务长期稳定运行。

本章节介绍网关治理中的流量治理功能 标签路由 标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate 负载均衡：Ribbon、LoadBalancer Dubbo 2.5.3~2.7.8 支持Alibaba Dubbo、Apache Dubbo 注册中心 Nacos、Eureka、Zookeeper jdk版本 1.8+ 应用场景 A/B测试 在营销活动中，经常会有A/B测试，A/B测试是为了测试不同的规则对业务的影响，所以一个应用会有多个版本同时运行，可以通过标签的方式区分不同的版本，对不同版本的应用进行流量隔离，将特殊用户的流量路由到特殊版本，从而实现A/B测试。 开通标签路由 步骤1：应用设置标签。 为云容器引擎集群应用设置标签，为应用容器添加环境变量MSESERVICETAGgray。 为ECS应用设置标签，在启动应用时，添加JVM启动参数Dctgcloud.service.taggray。 步骤2：在微服务治理中心控制台创建标签路由。 登录微服务治理中心控制台。 在左侧导航栏选择 微服务治理中心 >网关治理。 在网关治理页面单击目标应用卡片。 在网关页面左侧导航栏选择流量治理 标签路由，查看服务标签。 在标签路由页点击流量分配，为标签按比例分配流量。 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。

获取息壤模型调用APIKey 1. 访问天翼云模型推理服务地址：++ 2. 左侧菜单栏进入【服务接入】，点击【创建服务组】； 3. 填写服务信息，勾选需要的模型（如 GLM5、Qwen3.5、DoubaoSeed2.0pro 等），提交创建，同时获取对应“模型接口请求地址”和“服务名称/ID”； 4. 在服务接入页面获取APIKey。点击【查看详情】获取“模型接口请求地址”和“服务名称/ID”。 在云电脑的小龙虾（OpenClaw）中配置模型 1. 进入桌面后打开OpenClawConfig应用，进入配置界面； 2. 在配置界面，依次填写以下配置项： 模型厂商：可自定义，使用英文字母即可； 模型ID：从息壤模型推理服务接入服务查看详情对应【服务名称ID】； API Key：从息壤模型推理服务接入服务中获取； API协议：选择openaicompletions协议； Base URL：从息壤模型推理服务接入服务查看详情对应【服务名称ID】。

本节介绍态势感知相关概念。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 云服务基线 云服务基线是应用在云场景下，帮助用户检测云产品上存在的风险配置项，并提供修复建议。 攻击类型 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。

该任务指导用户如何在购买的数据安全中心服务即将过期时进行续费。续费后，用户可以继续使用数据安全中心服务。 服务到期前，系统会以短信或邮件的形式提醒您服务即将到期，并提醒您续费。 服务到期后，如果没有按时续费，公有云平台会提供一定的保留期。 保留期的时长由客户等级而定，详细信息请参见“保留期”。 为了防止造成不必要的损失，请您及时续费。如果未续费，您将不能使用DSC服务。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，找到并选择“数据安全中心”。 4. 在界面右上角，单击“续费”。 5. 在“续费管理”界面，根据页面提示完成续费。

监控看板为您提供自定义查看监控数据的功能，将您关注的核心服务监控指标集中呈现在一张监控看板里，为您定制一个立体化的监控平台。同时监控看板还支持在一个监控项内对不同服务、不同维度的数据进行对比查看，帮助你实现不同云服务间性能数据对比查看的需求。

参数 是否必填 参数类型 说明 示例 下级对象 dimension 是 String 本参数表示维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs name 是 String 规则名 testname evaluationCount 否 Integer 连续出现次数，默认值：0 0 metric 是 String 指标名 cpuutil status 否 Integer 本参数表示告警规则启用状态，默认值：0。取值范围：0：启用。1：停用。根据以上范围取值。 0 operator 是 String 注意：一键告警规则的告警类型（alarmType）为事件类型（event）时，不需要传入此参数；为其它告警类型时，是必填参数。 本参数表示比较符。默认值le。取值范围：eq：等于。gt：大于。ge：大于等于。lt：小于。le：小于等于。根据以上范围取值。 eq value 是 String 注意：一键告警规则的告警类型（alarmType）为事件类型（event）时，不需要传入此参数；为其它告警类型时，是必填参数。 此参数表示告警阈值，可以是整数、小数或百分数格式字符串 20 unit 否 String 单位 %

枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"id": "id"} 响应示例 {"message": "success", "traceId": "asaadasd11111", "statusCode": "200", "error": "0", "returnObj": {"id": "ALT0001", "createTime": "20250101 00:00:00", "updateTime": "20250101 00:00:00", "firstFindTime": "20250101 00:00:00", "timestamp": "20250101 00:00:00", "handleTime": "20250101 00:00:00", "status": 0, "agentGuid": "1111", "alertName": "在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关.", "attckType": "TA0001", "severity": 1, "attackCount": 1, "eventId": "8201", "privateIp": "192.168.0.1", "publicIp": "192.168.0.1", "custName": "test", "hostName": "test", "displayName": "test", "osType": "Linux", "alarmName": "异常的注册表操作", "alarmDesc": "存在异常的注册表操作，请检查注册表操作权限。", "alarmType": "1", "eventDesc": "检测模型发现您的服务器上执行的某些命令操作Windows注册表的方式高度可疑，可能与恶意软件或攻击者入侵后在修改相关的配置项。", "handleSuggestion": "请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为.", "remark": "TEST", "alarmTypeName": "进程异常行为", "attckTypeName": "初始访问", "riskInfo": [{"fieldEnName": "进程路径", "fieldZnName": "processPath", "fieldValue": "C:WindowsSystem32cmd.exe", "order": 1, "canEdit": "false", "type": "string"}], "handleRules": [{"name": "添加白名单", "label": "ADDWHITE"}], "whiteData": {"ruleConditionDesc": "告警名称 等于 异常的注册表操作 且 注册表名称 等于 Start 且 注册表路径 等于 REGISTRYMACHINESYSTEMControlSet001Servicesedrmonitor", "rules": [{"fieldValue": "Start", "condition": "", "fieldEnName": "regkey", "fieldZnName": "注册表名称", "canEdit": "true"}]}, "eventCategoryId": "1", "eventTypeId": "8200", "quotaVersion": 1}}

概述 云原生网关会记录API每一次的发布快照。您可在发布历史中查看每一次发布的API详细信息。并且可以选择任何一次快照进行重新发布，实现版本切换。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表，进入要查看的API详情。 4. 在上面导航栏，选择发布历史，即可查看API的发布历史，可选择不同环境进行过滤。 查看API快照 在发布历史列表中，选择对应版本，可以查看API快照。 版本切换 点击切换至此版本，可以指定历史版本重新发布到对应的环境中。

多活数据面性能指标如何？ 应用容灾多活协同其他云产品，用户可以通过查阅天翼云官方文档，了解使用到的产品组件指定规格实例的性能指标。 对于引入多活探针的性能变化，同城场景RT基本没增长，异地场景RT约有1~10ms增长，取决于具体业务与物理距离。 业务如何尽可能平滑地过渡到双活架构？ 业务应用从原有架构向双活扩展时，应以标准化的多环境多步骤的流程进行渐进式迭代，尽可能避免产生大范围影响，从而实现平滑过渡。 多环境 ： 应用发布按标准的日常、预发、灰度、生产等流程进行上线。 多步骤 ： 1. 分析业务现状，明确流量、数据和代码改造点，包括服务拆分、数据拆分、流量染色等。 2. 规划物理架构，开通目标区域、可用区、网络和中间件等资源。 3. 完成架构升级，根据不同改造点兼容性，业务原集群多版本迭代更新。 4. 部署双活集群，对新集群进行复影流量、灰度流量等业务正确性验证。 5. 应用分层切换，微服务、消息、数据库等组件切换多活规则。

本章节主要介绍创建用户并授权使用物理机。 如果您需要对您所拥有的物理机资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用物理机资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将物理机资源委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用物理机的其它功能。 操作步骤： 1. 创建用户组并授权 在IAM控制台创建用户组，并授予物理机只读权限“ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“计算 > 物理机服务”，进入物理机主界面，单击右上角“申请物理机”尝试购买物理机。若提示权限不足，表示物理机“ReadOnlyAccess”已生效。 在“服务列表”中选择除物理机服务以外的任意一个服务，若提示权限不足，表示物理机“ReadOnlyAccess”已生效。

安全组支持快速克隆,方便将相同的安全组规则快速应用到不同区域的服务器上。本文帮助您快速熟悉克隆安全组的操作场景和操作流程。 操作场景 安全组支持跨区域克隆，您可以利用该功能备份安全组或安全组规则快速应用到不同区域的云资源上。 当您有如下需求时，可以利用克隆安全组的功能去实现： 您在区域1存在一个安全组sgs1，此时区域2中的云资源（云主机、物理机等）需要配置与区域1中的安全组sgs1完全相同的规则，您可以直接将安全组sgs1利用克隆功能快速创建相同的安全组到区域2，而不需要在区域2中创建新的安全组。 如果您需要对云资源更换安全组规则，可以对原安全组做克隆操作，快速创建相同的新安全组作为备份资源。 说明 安全组的跨域克隆仅支持克隆到相同架构的资源池下，即地域资源池的安全组仅支持克隆到地域资源池内，可用区资源池的安全组仅支持克隆到可用区资源池内。不同资源池列表见 约束与限制 克隆安全组时，只将原安全组出入方向规则克隆，云主机需另行关联。 仅支持克隆源/目的地址是IP地址网段及安全组本身的规则，如存在引用其他安全组的规则时，不支持克隆这条规则，实际情况以控制台展现为准。

本文向您介绍通过企业版VPN实现数据中心和VPC互通第六步：验证网络互通情况。 操作步骤 1. 登录管理控制台，单击“计算 > 弹性云主机”。 2. 登录弹性云主机。 本示例是通过管理控制台远程登录（VNC方式）。 在弹性云主机的远程登录窗口，执行以下命令，验证网络互通情况。 ping 172.16.0.100 其中，172.16.0.100为数据中心服务器的IP地址，请根据实际替换。 回显如下信息，表示网络已通。 plaintext 来自 xx.xx.xx.xx 的回复: 字节32 时间28ms TTL245 来自 xx.xx.xx.xx 的回复: 字节32 时间28ms TTL245 来自 xx.xx.xx.xx 的回复: 字节32 时间28ms TTL245 来自 xx.xx.xx.xx 的回复: 字节32 时间27ms TTL245

对业务的影响 配置拦截的防护规则时，如果涉及地址转换或者存在代理的场景，需要谨慎评估拦截IP的影响。 互联网边界防护规则 1. 开启弹性公网IP防护，请参见“开启互联网边界流量防护”。 2. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”页面。 3. 添加新的防护规则。 在“互联网边界”页签中，单击“添加”，在弹出的“添加防护规则”中，填写新的防护信息，填写规则请参见下表。 参数名称 参数说明 规则类型 选择“EIP规则”：防护EIP的流量，仅支持配置公网IP；配置私网IP请参见“NAT流量防护规则”。 名称 自定义安全策略规则的名称。 方向 “防护规则”选择EIP规则时，需要选择流量的方向： 外内：互联网访问云上资产（EIP）。 内外：云上资产（EIP）访问互联网。 源 设置会话发起方。 IP地址：填写公网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个公网IP地址，如：xx.xx.10.5 多个连续的公网IP地址，中间使用“”隔开，如：xx.xx.0.2xx.xx.0.10 公网IP地址段，使用"/"隔开掩码，如：xx.xx.2.0/24 IP地址组：支持多个公网IP地址的集合，添加自定义IP地址组请参见“添加自定义IP地址组和IP地址”，预定义地址组请参见“查看预定义地址组”。 说明 “方向”配置为“外内”时，“源”地址支持配置“预定义地址组”。 地域：“方向”选择“外内”时，支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 Any：任意源地址。 目的 设置会话接收方。 IP地址：填写公网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个公网IP地址，如：xx.xx.10.5 多个连续的公网IP地址，中间使用“”隔开，如：xx.xx.0.2xx.xx.0.10 公网IP地址段，使用"/"隔开掩码，如：xx.xx.2.0/24 IP地址组：支持多个公网IP地址的集合，添加自定义IP地址组请参见3.6.6.1 添加自定义IP地址组和IP地址。 地域：“方向”选择“内外”时，支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 域名：“方向”选择“内外”时，支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，.example.com）。 说明 如果域名为单个域名，输入后需单击右侧“测试”，以测试域名有效性，并进行DNS解析，请参见《云防火墙用户指南》中“配置DNS解析”章节（目前单个域名解析出的ip地址上限个数为600个）。 如果域名为泛域名，无需DNS解析，仅支持添加http/https的应用类型。 域名组：“方向”选择“内外”时，支持多个域名的集合，添加域名组请参见《云防火墙用户指南》中《添加域名组》。 说明 当您需要防护域名时，建议您优先选择“域名组”。 Any：任意目的地址。 服务 服务：设置协议类型、源端口和目的端口。 协议类型：支持选择TCP、UDP、ICMP。 源/目的端口：“协议类型”选择“TCP”或“UDP”时，需要设置端口号。 说明 如您需设置该IP地址的全部端口，可配置“端口”为“165535”。 如您需设置某个端口，可填写为单个端口。例如设置22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“”隔开。例如设置80443端口的访问，则配置“端口”为“80443”。 服务组：支持多个服务（协议、源端口、目的端口）的集合，添加自定义服务组请参见3.6.8.1 添加自定义服务组和服务，预定义服务组请参见3.6.8.2 查看预定义服务组。 Any：任意协议类型和端口号。 防护动作 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 启用状态 设置该策略是否立即启用。 ：表示立即启用，规则生效。 ：表示立即关闭，规则不生效。 策略优先级 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 说明 设置后，优先级数字越小，策略的优先级越高。 添加的第一条防护规则默认优先级是1，无需选择“策略优先级”。 时间计划管理 （可选）单击“时间计划管理”设置规则的生效时间段，选择已设置的时间计划或“新增时间计划”。 配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时，可配置业务会话老化时间。 是：设置长连接时长。 否：保留默认时长，各协议规则默认支持的连接时长如下： TCP协议：1800s。 UDP协议：60s。 说明 最大支持50条规则设置长连接。 长连接时长 “配置长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。 标签 （可选）用于标识规则，可通过标签实现对安全策略的分类和搜索。 描述 （可选）标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 4. 单击“确认”，完成配置防护规则。

本文为联网搜索功能的配置方式介绍。 租户管理员用户或具有联网搜索配置权限的用户可以通过点击侧边栏的【系统管理 联网搜索配置】进入配置页面。 搜索服务商配置 用户在购买搜索服务后，可在平台配置相关凭证，进行联网搜索。 目前仅支持夸克的搜索服务配置。用户购买相关服务后，将获得服务的 AK、SK 和 Endpoint，并可以在本平台进行配置。 以下为获取夸克搜索服务的 AK、SK、Endpoint 的方法。 AK/SK 获取方法 1. ​​登录阿里云控制台​​ 使用购买夸克服务的账号登录控制台。 鼠标悬浮在右上角头像，选择​​「AccessKey」。 2. ​​创建AccessKey​​ ​​主账号获取​ ​：在 AccessKey 页面点击​​「创建 AccessKey」​ ​，系统生成 AccessKey ID（AK）和 Secret Access Key（SK），需立即下载保存（仅显示一次）。 ​​子账号​​： 进入​​「RAM 访问控制」→「用户」→「创建用户」​ ​，勾选​​「Open API 调用访问」​​； 创建后分配权限（如搜索服务权限策略），在用户详情页生成 AK/SK。 Endpoint 获取方法​ 1. ​​标准 API 接入点​​ 通用 Endpoint 为：iqs.cnzhangjiakou.aliyuncs.com（适用于大多数情况）。 2. ​​通过官方渠道确认​​ 如通用 Endpoint 不可用，可通过阿里云工单咨询最新接入点。 联网搜索开关 用户可以在不同的智能应用体中配置联网搜索开关的可见性： 打开开关： 联网搜索按钮将在智能体应用的使用界面中可见，用户可以利用联网搜索的知识作为应用输入。 关闭开关： 联网搜索按钮将在智能体应用的使用界面中不可见。

本章介绍OpenSSL高危漏洞。 OpenSSL安全公告称存在一个影响OpenSSL 1.1.1d、OpenSSL 1.1.1e、OpenSSL 1.1.1f的高危漏洞（CVE20201967），该漏洞可被用于发起DDoS攻击。 漏洞编号 CVE20201967 漏洞名称 OpenSSL高危漏洞 影响范围 OpenSSL 1.1.1d OpenSSL 1.1.1e OpenSSL 1.1.1f 官网解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 < < < 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，如下图所示，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

本小节介绍SSL VPN的登录与授权。 登录WebUI配置界面 SSL VPN由云主机承载，如需正常被外网访问，需在安全组下放行SSL VPN管理访问端口。SSL VPN管理端口是4430，具体配置还请根据业务需求做端口放行，不建议开启any。 打开浏览器，地址栏输入 4430，输入管理员用户名密码后进行登录。初始管理员用户名密码请提交工单咨询。 授权激活 登录Web管理页面激活序列号，地址栏输入 VPN的Web管理页面，点击菜单栏“系统设置 > 系统配置 > 授权信息”页面，点击“在线授权”填写所购买的授权ID和序列号，点击“确认”，然后SSL VPN功能即可使用。 注意 更新vSSL VPN序列号会自动重启VPN所有服务，SSL VPN管理页面会自动登出，等待30秒后，刷新页面重新登录即可。

本节主要介绍创建密钥 密钥（Secret）是一种用于存储应用认证信息、应用密钥等敏感信息的资源，内容由用户决定。密钥创建完成后，可在应用中作为文件或者环境变量使用。 前提条件 已创建需要使用密钥的集群。 创建混合集群，请参考“帮助中心 > 云容器引擎 > 用户指南 > 集群管理 > 创建混合集群”。 已创建密钥所在命名空间，请参考“帮助中心 > 云容器引擎 > 用户指南 > 集群管理 > 命名空间”。 创建密钥 1、登录ServiceStage控制台，选择“应用管理 > 应用配置 > 密钥”。 2、单击“创建密钥”。 3、ServiceStage支持“可视化”和“YAML”两种方式来创建密钥。 方式一：可视化。参照下表设置基本信息，其中带“”标志的参数为必填参数。 表 基本信息说明 参数 参数说明 :: 基本信息 密钥名称 新建的密钥的名称，同一个命名空间内命名必须唯一。 所在集群 使用新建密钥的集群。 单击“创建集群”，可以新建集群。 命名空间 新建密钥所在的命名空间，默认为default。 描述 密钥的描述信息。 单击“创建命名空间”，可以新建命名空间。 密钥类型 根据业务需要选择新建的密钥类型。 Opaque：一般密钥类型。当密钥配置文件中未作显式设定时，默认的密钥类型是Opaque。 kubernetes.io/dockerconfigjson：存放拉取私有仓库镜像所需的认证信息。 IngressTLS：存放7层负载均衡服务所需的证书。 其他：若需要创建其他类型的密钥，请手动输入密钥类型。 镜像仓库地址 当“密钥类型”选择kubernetes.io/dockerconfigjson时有效。输入镜像仓库的地址。 密钥数据 应用密钥的文件data字段值。 当密钥为Opaque类型时，输入键、值。其中“值”必须使用Base64编码。单击“添加更多密钥数据”，可以增加密钥数据 。 当密钥为kubernetes.io/dockerconfigjson类型时，输入“镜像仓库地址”、“用户名”和“密码”。 当密钥为IngressTLS类型时，上传“证书文件”和“私钥文件”。 当密钥为其他类型时，输入“密钥类型”及对应的“键”、“值”。 密钥标签 标签以Key/value键值对的形式附加到各种对象上（如应用、节点、服务等）。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 单击“添加标签” 。 输入键、值。 方式二：YAML。 若需要通过上传文件的方式创建资源，请确保资源描述文件已创建。ServiceStage支持yaml格式，详情请参考Secret资源文件配置说明。 a.在“所在集群”下拉框中，选择相应的集群。 b.（可选）单击“上传文件”，选择已创建的Secret类型资源文件后，单击“打开”。 请上传小于2MB的文件。 c.在“编排内容”中写作或者修改上传的Secret资源文件。 4、配置完成后，单击“创建”。 密钥列表中会出现新创建的密钥。

简述什么是视频直播。 产品定义 视频直播（CTLVDN， Live Video Delivery Network）基于天翼云先进的内容接入与分发网络和强大的实时视频处理技术，保证直播分发速度和服务可用性，为客户提供安全、稳定、快速的直播加速服务，使终端用户尽享低延迟、高清流畅的直播观看体验。适用于网络电视直播、赛事直播、游戏直播、秀场直播、全民直播等多种业务场景。 天翼云视频直播提供：直播流接入、实时音视频处理、直播流分发等服务。 产品架构 基于视频源的不同，我们将直播流接入分为：回源架构、推拉流架构两种。 回源架构：客户提供直播源，视频直播节点主动回源拉取直播流，由视频直播产品进行协议转换、实时音视频处理等操作后，再对外提供分发服务。常见有赛事直播、网络电视直播等。 推拉流架构：数据由直播推流SDK或者专业媒体设备经过采集、编码、封装后主动推流至天翼云直播边缘节点，由视频直播产品进行协议转换、实时音视频处理等操作后，再对外提供分发服务。常见有游戏直播、秀场直播、教育直播、金融直播和电商直播等。 推拉流架构如下图所示：