天翼云网页防篡改（原生版）产品（CTWT，WebpageTampering）是一款全方位保障云上网站安全的产品，可对网站文件进行监控，若发生篡改时，实时对客户进行告警；同时通过备份恢复被篡改的文件或目录，保障客户系统的网站信息不被恶意篡改。 天翼云网页防篡改（原生版）整体架构主要包括3个部分，分别为天翼云统一管理平台、资源池数据汇总节点和服务器客户端Agent。 天翼云统一管理平台：客户通过统一的天翼云统一管理平台，查看所有的服务器信息和安全状态，并下发安全策略配置信息。 资源池数据汇总节点：服务器客户端Agent从被监控服务器中采集系统信息，上报给相应的资源池数据汇总节点。 服务器客户端Agent：使用天翼云服务器安全卫士（基础版）产品时，每台服务器客户端需安装一个Agent。

外包开发场景 场景特点： 外包开发场景涉及到较频繁的办公电脑回收和发放。企业对办公电脑数据安全有较大的管控需求，同时根据用户是否外包身份，需要设置个性化的管控措施。 推荐方案： 推荐使用天翼AI云电脑（政企版）+ 翼甲卫士（需要单独开通，详见翼甲卫士帮助指导） + 应用市场（需要单独开通，详见应用市场帮助指导） + 翼加密（需要单独开通，详见翼加密帮助指导）。 方案优势： 1、云端PC秒级增删，性能弹性伸缩，极大节约硬件采购、更新、折旧成本。 2、支持开通自定义镜像及批量刷机，可为新入职员工快速完成工作环境部署。 3、通过登录环境限制、双因子鉴权、应用黑白名单、翼甲上网行为管理等功能，实现个性化的员工行为管理。 4、提供翼加密组件，文件落盘自动加密，确保开发环境数据安全。 5、管理策略、用户权限可分组生效，同步实现外包/非外包员工的精细管理。 用户场景图：

本节介绍翼加密客户端调整文件密级的使用介绍 右键快捷调整 1.用户在加密AI云电脑内批量选择加密文件； 2.点击鼠标右键； 3.在右键菜单中点击“调整文件密级”。 翼加密客户端 1.打开翼加密客户端； 2.点击文件密级调整。 高密级的用户，可将文件密级降低后，发给低密级的用户，让低密级用户有权限正常读写加密文件。

产品升级 1. 天翼云门户和天翼云电脑应用内进行订购的用户，可在天翼云电脑移动客户端进行升级配置操作（电信营业厅订购用户请前往当地营业厅咨询办理）。 2. 云电脑公众版支持配置升级，但不支持配置降级。 3. 最终费用以页面实际显示为准。 产品扩容 1. 天翼云门户和天翼云电脑应用内进行订购的用户，可在天翼云电脑移动客户端进行扩容操作（电信营业厅订购用户请前往当地营业厅咨询办理）。 2. 天翼云电脑（公众版）的数据盘支持扩容，但不支持缩容。 3. 最终费用以页面实际显示为准。 产品续订 1. 天翼云门户和天翼云电脑应用内进行订购的用户，可在天翼云电脑移动客户端进行续订操作（电信营业厅订购用户请前往当地营业厅咨询办理）。 2. 如云电脑已购买了数据盘，进行续订时，云电脑和数据盘将同时续订。 3. 云电脑使用到期后，数据资料将保留15天，期间续订需要扣除数据保留时长的费用。 4. 最终费用以页面实际显示为准。 5. 更多续订说明，请参考 续订规则

本文为您介绍通过KMS实现云硬盘、对象存储、弹性文件等云服务的数据加密最佳实践。 密钥管理系统与天翼云产品无缝集成，在云产品中，仅需要选择在KMS中托管的主密钥，即可轻松实现对云产品数据的服务端加密。 云产品通过集成KMS实现对云上数据的加密存储，密钥由KMS托管，满足监管合规要求。整个服务端加密过程对用户透明无感知，只需要开启加密功能并指定密钥即可。同时用户无须自定构建和维护密钥管理基础设施，节省开发成本。 用户可以选择KMS为云产品自动创建的默认主密钥加密，也可以选择通过KMS创建的用户主密钥。其中默认密钥不收取密钥托管费用。 场景示意图 云产品开启服务端加密流程 加密云硬盘 在创建云硬盘页面，选择开启“磁盘加密”，并在密钥列表中选择加密密钥。 加密对象存储 在创建对象存储Bucket页面，选择开启“服务端加密”，并在密钥列表中选择加密密钥。 加密弹性文件 在创建文件系统页面，选择开启KMS加密，并在密钥列表中选择加密密钥。

本文主要介绍云服务备份的安全。 责任共担 安全性是天翼云与您的共同责任： 天翼云 ：负责云服务自身的安全，提供安全的云。 租户 ：负责云服务内部的安全，安全地使用云。 身份认证与访问控制 用户访问CBR的方式有多种，包括CBR console控制台、API，无论访问方式封装成何种形式，其本质都是通过CBR提供的REST风格的API接口进行请求。 CBR的接口只支持认证请求，需要用户通过天翼云正确的鉴权信息才能访问成功。 数据保护技术 CBR通过多种数据保护手段和特性，保障备份数据安全可靠。 表 CBR的数据保护手段和特性 数据保护手段 简要说明 传输加密（HTTPS） 为保证数据传输的安全性，备份数据存储到OBS桶时采用HTTPS协议。 备份数据加密 当备份的目标磁盘为加密磁盘时，如果磁盘启用备份加密，则备份数据会在加密存储。当用户执行备份恢复时，存储的加密数据会先解密之后再恢复到目标磁盘。 审计与日志 审计 云审计服务（Cloud Trace Service，CTS），是天翼云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录CBR的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的CBR管理事件和数据事件列表，请参见审计。

天翼云 Prometheus 监控服务对接开源 Prometheus 生态，提供多种开箱即用的预置监控大盘，且提供全面托管的 Prometheus 服务。 什么是Prometheus实例 Prometheus实例是天翼云可观测监控服务中用于管理数据采集、存储与分析的核心逻辑单元，包含预配置的数据采集规则、时序数据库、可视化监控面板及告警策略等功能模块。 产品优势 集成便捷：提供一站式解决方案，显著降低可观测系统的部署与运维复杂度。 成本可控：相较自建方案，天翼云可观测Prometheus监控服务具备更优的性价比优势。 生态融合：深度集成天翼云容器服务，实现无缝对接。 专业护航：享有天翼云官方提供的专业技术支持体系。 注意 目前Prometheus监控服务仅于华东1、华南2、西南1上线。

非对称数据加解密 非对称密钥加密通信的过程类似于对称加密，区别在于需要使用公钥进行数据加密，使用私钥进行数据解密。由于KMS中用户私钥不支持导出，使用者仅能通过接口调用私钥进行数据解密。 实际使用时，信息接收者将加密公钥分发给信息传送者，信息传送者使用公钥对敏感信息进行加密保护，信息传送者将敏感信息的密文传递给信息接收者，信息接收者使用私钥将敏感信息的密文解密。 云产品服务端加密 与天翼云产品联动，提供对云硬盘、对象存储、弹性文件、数据库等产品中的数据进行服务端加密，保证云上数据的安全性。用户只需通过云产品控制台一键勾选KMS加密功能，加解密过程透明无感知。 完整性保护 提供基于国密算法的完整性保护能力，通过SM3算法计算HMAC值以进行对比验证，实现完整性校验。

支持普通集成的天翼云服务列表 天翼云工作流支持通过OpenAPI集成多个服务，涵盖以下产品分类： 产品分类 产品名称 存储 混合存储网关、云硬盘、弹性文件服务、媒体存储、云备份、云硬盘备份、对象存储、云主机备份、海量文件服务 OceanFS、云容灾、对象存储（经典版）I型、并行文件 网络与CDN 弹性IP、天翼云SDWAN、NAT网关、VPN连接、云间高速、虚拟私有云、弹性负载均衡、共享流量包、智能边缘云、云专线CDA、应用加速、边缘安全加速平台、CDN加速、智能DNS、VPC终端节点、全站加速、科研助手 计算 弹性云主机、天翼云电脑（政企版）、函数计算、弹性高性能计算、镜像服务、弹性伸缩服务、物理机、云骁智算平台、数据加密 数据库 关系数据库SQL Server版、关系数据库PostgreSQL版、分布式关系型数据库、关系数据库MySQL版、数据传输服务、文档数据库服务、数据管理服务、分布式缓存服务Redis版、时序数据库Influx版、分布式融合数据库HTAP、云数据库ClickHouse 监控与管理 云日志服务、应用性能监控 应用服务 API网关、EasyCoding敏捷开发平台、软件开发生产线CodeArts 数据库 关系型数据库MySQL版（CTRDS）、关系型数据库PostgreSQL版、关系型数据库SQL Server版、云数据库GaussDB、分布式关系型数据库、分布式融合数据库HTAP、文档数据库服务、时序数据库Influx版、分布式缓存服务Redis版 人工智能 AI能力开放平台、慧聚一站式智算服务平台 大数据 云搜索服务、大数据管理平台 DataWings、翼MapReduce 容器与中间件 应用服务网格、弹性容器实例、分布式容器云平台、容器镜像服务、分布式消息服务RabbitMQ、分布式消息服务RocketMQ、微服务应用平台MSAP、云容器引擎、分布式消息服务Kafka、微服务引擎注册配置中心、微服务引擎MSE、应用性能监控apm、分布式容器云平台CCSE ONE 安全及管理 云防火墙（原生版）、统一身份认证、密钥管理、服务器安全卫士（原生版）、云监控、Web应用防火墙（原生版）、证书管理服务、DDoS高防（边缘云版）、云堡垒机、Web应用防火墙（边缘云版）、云审计 企业应用 云通信短信 视频 视频直播、智能视图服务、云点播 专属云 专属云（计算独享型） 价格 账务 其他 数据库审计、云日志服务、轻量型云主机、云原生网关、API网关 说明 ：具体支持的服务和API请参考天翼云OpenAPI文档。

本节简要介绍云存储网关。 云存储网关是中国电信天翼云自主研发的一款可在线下和云上部署的网关软件，方便用户将本地数据轻松上传到天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS），实现存储空间的弹性扩展。云存储网关作为本地与云端存储之间的桥梁，通过标准 iSCSI 协议（Internet小型计算机系统接口）提供块存储服务，帮助用户将全量数据自动同步到OOS中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。同时，云存储网关也可以将通用服务器及其管理的存储资源转换成高性能的虚拟存储阵列，承载企业核心业务数据。

本节介绍翼加密在管理员使用过程的的常见问题。 加密策略中没有找到需要加密的文件类型怎么办？ 如有其他文件类型的加密需求，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多文件类型的加密管控。 加密策略中配置的应用程序有什么用？ 策略中配置的是加密授权的应用程序。加密文件只能被授权的应用软件明文打开和编辑（如下图所示）。未经加密授权或适配的第三方应用软件打开加密文件为密文数据。 备注：如果需要适配其他应用软件，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多应用软件的加密授权。 为什么给AI云电脑开启加密时，提示版本过低？ (1) 开启加密的AI云电脑需要agent版本高于1.31，并且安装加密驱动。 (2) agent和加密驱动版本在加密桌面管理处能看到版本号，如果提示“！”则说明版本过低或未安装。发现这种情况请联系运维处理。 批量全盘加密/解密AI云电脑时，提示无法提交 目前每个资源池可同时进行AI云电脑全盘加密/解密的上限是30个，如果您有大规模的AI云电脑全盘加密或解密需求，请提交工单联系运维专项处理。

积极使用安全特性 使用增强计算实例 对于高安全可信要求的业务场景，可选用可信云主机。可信云主机以可信虚拟化技术（vTPM）为可信根，构建从系统启动到应用运行的信任链，实现远程证明机制，为用户提供从启动到运行阶段的全方位可信保障，降低系统或软件被篡改带来的安全风险。 使用安全镜像 1.使用官方提供的公共镜像CTyunOS。CTyunOS公共镜像将定期更新修复镜像里的漏洞，降低被攻击的风险，保护数据安全，确保业务连续性。 2.对于高安全要求场景，建议使用加密私有镜像。使用KMS对镜像进行加密，避免镜像丢失后数据泄露风险。您可选择创建加密的系统盘、数据盘，如果云盘是加密云盘，使用该云盘创建的镜像也是加密镜像，或者在对已有的未加密镜像拷贝时选择加密，生成的新镜像为加密镜像。如果私有加密镜像需要共享给其他天翼云账号时，建议用户对加密镜像进行解密复制后，共享解密后的镜像，避免KMS密钥泄露导致安全风险。 使用云盘数据加密 在创建云服务器或单独创建云盘时，可勾选加密选项开启云盘加密功能。云盘加密采用行业标准加密算法，由天翼云自研密钥管理服务提供密钥支持，加密过程对用户透明，无需用户自建密钥管理基础设施，能有效保护云盘数据隐私与安全。 善用云主机备份 云主机备份是一种非常重要的数据保护和恢复措施，适用于政府、金融等对数据安全性要求较高的客户，可以在各种场景下快速恢复数据，防止因意外、事故、黑客攻击或病毒入侵等导致的数据丢失。在面临黑客攻击或病毒入侵的情况下，通过备份，可以立即恢复到最近一次没有受到黑客攻击或病毒入侵的备份时间点。这将消除黑客或病毒对数据和系统造成的损害，让系统恢复到正常运行状态，同时避免进一步扩散和数据丢失。数据误删是一个常见但严重的问题，通过云主机备份，可以迅速找回被删除的数据。备份允许立即恢复到删除前的备份时间点，确保数据的完整性和可用性，从而避免因误操作而导致的数据丢失或业务中断。当云主机遭遇宕机时，业务可能会受到严重影响。通过备份，可以迅速恢复到宕机之前的备份时间点，使云主机能够再次正常启动。这将减少业务中断时间，恢复服务，并降低损失的可能性。 使用服务器安全卫士 在创建云主机时或云主机使用过程中，可开通服务器安全卫士。服务器安全卫士能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，有利于构建服务器安全防护体系。

数据访问与传输 AI云电脑挂载访问：直接将数据挂载到AI云电脑上进行读写操作，实现无缝实时数据交互，有效提升工作效率和用户体验。 多节点共享访问：同一时间可将文件系统挂载到多个计算节点，供这些节点同时共享和访问资源。这种方式极大降低了数据拷贝与同步成本，同时增强系统整体性能与可用性。 接近数据盘的性能体验：在提供云上数据访问时，确保传输速度达到与本地数据盘相似的高效水平，无论是读取还是写入操作，都能快速响应，全面提升工作效率。 数据安全 数据安全性：文件存储在云端，显著提高数据防护水平与隔离性，保障数据在传输和存储过程中的安全。 加密保护功能：提供翼加密服务，用户可对文件进行加密，实现更深入、全面的数据安全保障。 操作日志追踪：详细记录所有用户活动生成日志，可用于事后审计与监控。既能预防数据泄露，又能有效跟踪和管理潜在不当操作行为。 简单易用 文件挂载到AI云电脑盘中，实现文件实时读写，给用户带来类似于本地数据盘的操作体验。 权限配置 灵活的权限管理：可按部门或用户配置读写权限，便于企业进行内部管理，满足不同组织架构和业务场景的权限需求。 个性化容量分配：支持自定义企业和个人空间容量分配，充分满足不同用户和部门的多样化需求，提高资源利用效率。

本教程为您介绍如何从腾讯云COS迁移至天翼云ZOS。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将您其它云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）。 注意 若您在迁移前，还不了解您的源端对象存储的数据情况，您可进行迁移前的源端数据评估。或者，从您的源端云服务的控制中心了解源端数据的情况。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的访问密钥（AK/SK）等信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。 操作流程

适用场景 如视频网站使用HLS协议，且具备较强的版权保护和防盗链需求，可通过在源站对TS文件做加密，配合使用CDN的HLS标准加密改写功能，并结合严格的鉴权策略，实现HLS视频的版权保护。 配置说明 目前该功能暂不支持客户自助开启，如需使用，请通过提交工单向天翼云客服申请。 提交工单时，请您提供如下信息： 参数 说明及示例 加密算法 TS文件的加密算法，默认为AES128。 秘钥地址 TS文件的加密秘钥获取地址，一般为同个加速域名下的某个地址，如 秘钥地址的鉴权参数 TS文件的加密秘钥获取地址中的鉴权参数，默认为对应M3U8的鉴权参数；如M3U8存在多个参数名，需指定具体的参数名称。 TS文件是否改写 指M3U8中的TS文件列表是否需要添加鉴权参数，如是，请说明具体需要添加的鉴权参数key和value信息。

本教程为您介绍如何从阿里云OSS迁移至天翼云ZOS。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将您其它云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）。 注意 若您在迁移前，还不了解您的源端对象存储的数据情况，您可进行迁移前的源端数据评估。或者，从您的源端云服务的控制中心了解源端数据的情况。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的访问密钥（AK/SK）等信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。 操作流程

适用场景 如视频网站使用HLS协议，且具备较强的版权保护和防盗链需求，可通过在源站对TS文件做加密，配合使用CDN的HLS标准加密改写功能，并结合严格的鉴权策略，实现HLS视频的版权保护。 配置说明 目前该功能暂不支持客户自助开启，如需使用，请通过提交工单向天翼云客服申请。 提交工单时，请您提供如下信息： 参数 说明及示例 加密算法 TS文件的加密算法，默认为AES128。 秘钥地址 TS文件的加密秘钥获取地址，一般为同个加速域名下的某个地址，如 秘钥地址的鉴权参数 TS文件的加密秘钥获取地址中的鉴权参数，默认为对应M3U8的鉴权参数；如M3U8存在多个参数名，需指定具体的参数名称。 TS文件是否改写 指M3U8中的TS文件列表是否需要添加鉴权参数，如是，请说明具体需要添加的鉴权参数key和value信息。

本节介绍翼加密开启加密保护的功能流程。 1. 点击“文件加密”—“加密桌面管理”； 2. 批量勾选列表中的桌面； 3. 点击列表顶部的“开启加密保护”按钮，即可开启AI云电脑加密保护。 开启加密保护后，AI云电脑将进行全盘扫描，直到所有的目标文件类型都完成加密。扫描方式分为两种： 强制扫描 强制扫描期间AI云电脑无法登录使用，直到AI云电脑完成全盘加密。 后台扫描 AI云电脑将在后台进行静默加密扫描，期间AI云电脑可以正常登录使用。 注意：开启加密保护后，AI云电脑内已有的所有目标文件会被加密保护。并且后续AI云电脑编辑保存、接收、下载的所有目标类型文件将被自动加密保护。

本章节主要介绍翼MapReduce服务的技术支持范围。 天翼云翼MapReduce（简称翼MR）是一款基于云计算平台的数据处理分析服务，帮助客户大数据快速上云，轻松运行Doris、HDFS、Hive、Kafka、Spark等高性能大数据组件。 翼MR提供用户完全可控的半托管云服务，集群资源归属于用户，用户拥有对集群的完全控制权，集群日常运维管理由用户负责，如在集群运维过程中遇到相关技术问题，可联系技术支持团队获得帮助，该技术支持仅协助分析处理翼MR云服务相关求助，不包含云服务以外的求助，例如用户基于大数据平台构建的应用系统等。为了更好地支持用户使用翼MR产品，现将翼MR产品技术支持服务范围进行说明。 支持的服务 翼MR管控平台提供的相关功能： 集群的创建与退订销毁流程 集群扩容流程 集群配置变更流程 集群新增服务流程 集群监控与告警功能 协助支持的服务 协助排查翼MR产品开源组件的缺陷或需求，将根据产品规划迭代排期解决。 协助排查翼MR产品所依赖的其他天翼云基础产品的缺陷或需求，流转问题至相应产品团队负责解决。依赖的其他天翼云产品包括： 弹性云主机、物理机等计算产品 云硬盘、本地盘、对象存储等存储产品 虚拟私有云、弹性IP、安全组等网络产品 云日志、云监控、云审计、IAM等运维管理产品 关系型数据库等用于元数据存储产品

类型 功能 网络共享盘 NAS型共享盘 使用方式 AI云电脑挂载访问 支持 支持 使用方式 第三方平台系统（企业OA，SAP系统等）集成访问 支持 不支持 使用方式 天翼AI云电脑、网盘网页版、支持桌面端和移动端访问 支持 不支持 共享范围 跨资源池共享 支持 支持 共享范围 文件对外分享 不支持（规划中） 不支持 共享范围 跨企业（租户）共享 不支持（规划中） 不支持 数据安全 文件落盘自动加密 支持 支持 数据安全 多数据中心备份，数据异地容灾高可用 支持 部分资源池支持 翼起来生态融合 支持虚拟应用保存文件至翼共享盘 支持 支持 翼起来生态融合 支持翼连访问打开翼共享盘的文件，以及保存文件至翼共享盘 支持 不支持 翼起来生态融合 支持翼飞表单、问卷采集文件或图片保存至翼共享盘 不支持（规划中） 不支持 翼起来生态融合 云智助手设置共享盘为知识库 支持 不支持 权限管控 企业/个人空间容量分配，动态扩容 支持 支持 权限管控 挂载盘设置 支持用户挂载 支持桌面颗粒度挂载 权限管控 支持读写、分享等权限设置 支持 仅支持读写权限设置 权限管控 支持下载/分享/删除等操作审批 支持 不支持 权限管控 日志审计 不支持 仅支持新建、修改、删除操作

本教程为您介绍如何从华为云OBS迁移至天翼云ZOS。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将您其它云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）。 注意 若您在迁移前，还不了解您的源端对象存储的数据情况，您可进行迁移前的源端数据评估。或者，从您的源端云服务的控制中心了解源端数据的情况。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的访问密钥（AK/SK）等信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。 操作流程

本教程为您介绍如何从华为云OBS迁移至天翼云ZOS。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将您其它云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）。 注意 若您在迁移前，还不了解您的源端对象存储的数据情况，您可进行迁移前的源端数据评估。或者，从您的源端云服务的控制中心了解源端数据的情况。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的访问密钥（AK/SK）等信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。 操作流程

数据安全中心用户指南 天翼云数据安全中心用户指南.pdf

section84b7112f7f4d1fd3)。 购买时长 支持选择111个月、15年。 自动续订 根据您业务自身需求选择是否开启自动续订。 5.配置完成后，确认订单无误并阅读《天翼云数据安全专区服务协议》后，勾选“我已阅读并同意《天翼云数据安全专区服务协议》”，单击“立即购买”。 在一类节点购买云主机 购买云主机请参考：弹性云主机创建弹性云主机章节。 数据库安全网关资产 推荐云主机规格 4资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：500GB 8资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：1TB 16资产 CPU：16核 内存：32GB 系统盘：100GB 数据盘：1TB 32资产 CPU：32核 内存：64GB 系统盘：100GB 数据盘：2TB 说明 选择镜像时，需要在“云镜像市场”选择“数据安全专区数据库安全网关V1”镜像。 在二类节点购买云主机 购买云主机请参考：弹性云主机创建弹性云主机章节。 数据库安全网关资产 推荐云主机规格 4资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：500GB 8资产 CPU：8核 内存：16GB 系统盘：100GB 数据盘：1TB 16资产 CPU：16核 内存：32GB 系统盘：100GB 数据盘：1TB 32资产 CPU：32核 内存：64GB 系统盘：100GB 数据盘：2TB 说明 选择镜像时，需要在“公共镜像”选择“安全产品—数据安全专区数据库安全网关(100GB)”镜像。

本教程为您介绍如何在天翼云ZOS之间进行迁移,包含跨账号、跨地域、或同地域内的数据迁移。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将您其它云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）；同时，也可以实现天翼云对象存储ZOS之间的迁移。本场景聚焦ZOS到ZOS之间的数据迁移。 注意 若您在迁移前，还不了解您的源端对象存储的数据情况，您可进行迁移前的源端数据评估。或者，从您的源端云服务的控制中心了解源端数据的情况。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的访问密钥（AK/SK）等信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。

本章节主要介绍翼MapReduce基本使用流程。 天翼云大数据平台 翼MapReduce是一个在云上部署和管理Hadoop系统的服务，一键即可开通部署Hadoop、HBase、Hive、Spark、Flink、Doris等大数据集群。翼MapReduce提供租户完全可控的企业级大数据集群云服务，轻松运行Hadoop、HBase、Hive、Spark、Flink、Doris等大数据组件。 翼MapReduce使用简单，通过使用在集群中连接在一起的多台计算机，您可以运行各种任务，处理或者存储（PB级）巨量数据。翼MapReduce的基本使用流程如下： 1. 创建集群：进入天翼云官网翼MapReduce服务订购页面，选择需要的业务场景，创建集群。用户可以通过业务场景简化大数据集群组合，可以用于数据湖、数据服务、云搜索、数据分析等业务需要。选择完业务场景与服务后，用户可以进一步指定集群的操作系统、主机类型、CPU类型、实例规格、实例数量、数据盘类型（普通IO、高IO、超高IO与通用型SSD多款类型）等。 2. 管理集群：上述集群购买部署完成后，翼MapReduce为用户提供企业级的大数据集群的统一管理平台翼MR Manager，帮助用户快速掌握集群服务及主机的健康状态，通过图形化的指标监控及时获取系统的关键信息，根据实际业务的性能需求修改服务属性的配置，对集群、服务、角色实例等实现一键启停等操作。 3. 创建翼MapReduce操作用户：主用户可以使用统一身份认证服务（Identity and Access Management，简称IAM）来创建子用户，通过精细的权限管理，在翼MR控制台给子用户赋予不同的角色权限。 4. 退订：如果您不想继续使用已有集群，可以通过天翼云官网的订单管理页面，对集群进行退订操作。 5. 续订：如果您的集群即将到期，可以通过续订操作延长集群使用期限。 6. 配置升级：当master、core或者core节点ECS实例的规格（vCPU和内存）无法满足您的业务需求时，您可以使用配置升级功能提升ECS实例规格。 7. 节点扩容：当master、core或task节点组内的资源无法满足您的业务需求时，您可以使用节点扩容功能增加ECS实例数量。 8. 节点缩容：当task节点组内的资源超出您的业务需求时，您可以使用节点缩容功能减少实例数量。 9. 新增节点组：当存量core或task节点组的计算或存储资源无法满足您的业务需求时，您可以使用新增节点组功能增加ECS实例。 10. 磁盘扩容：当master、core或task节点的数据存储空间无法满足您的业务需求时，您可以使用磁盘扩容功能增加云硬盘数据盘的空间。

本文将为您介绍云硬盘相关的安全技术。 数据保护技术 天翼云云硬盘通过加密技术，保护存储在天翼云云硬盘中的静态数据的机密性。详细信息请参见云硬盘加密功能介绍。 支持创建空白加密数据盘。 支持通过快照、备份创建加密数据盘。 支持行业标准的AES256 算法，利用天翼云自研密钥管理（KMS，Key Management Service）服务加密云硬盘数据。 从加密云硬盘创建的快照、备份默认加密。 监控安全风险 天翼云云硬盘提供基于云监控服务的资源监控能力，支持自动实时监控用户监控账号下的云硬盘使用情况，用户可以实时监控云硬盘的IOPS、带宽、时延等信息。 更多支持的监控指标，以及查看监控的方式请参见查看云硬盘监控数据。 故障恢复 天翼云云硬盘提供多种故障后恢复数据的方式，如下表： 恢复数据方式 描述 详细介绍 从回收站中恢复云硬盘 天翼云云硬盘回收站开启后，支持将删除的云硬盘资源保存至回收站中。 在7天内，您可以在回收站内恢复云硬盘数据。 以防止误删除导致的云硬盘数据丢失。 从回收站恢复云硬盘 使用快照回滚云硬盘 当发生误操作或系统故障等问题时，您可以使用已创建的快照来回滚数据。 云硬盘的数据将恢复至创建快照的时刻，从而实现云硬盘数据的恢复。 快照回滚 使用快照创建云硬盘 您可以通过快照创建新的云硬盘，使云硬盘在初始状态就具有快照中的数据。 从快照创建云硬盘 使用备份恢复云硬盘 当云硬盘发生故障，或者由于人为误操作导致云硬盘数据丢失时，您可以使用已经创建成功的备份恢复数据至源云硬盘。 使用备份恢复云硬盘 使用备份创建云硬盘 您可以使用备份创建新的云硬盘，新建的云硬盘在初始状态就具有备份中的数据。 使用备份创建云硬盘

本章对主机迁移服务介绍安全相关的说明，主要包含：责任共担，身份认证，访问控制，数据保护技术，审计与日志，服务韧性。 责任共担 安全性是天翼云与您的共同责任： 天翼云 ：负责云服务自身的安全，提供安全的云。 租户 ：负责云服务内部的安全，安全地使用云。 身份认证 SMS服务包含：控制台、Agent、API供您使用。控制台使用天翼云统一账户进行登录，Agent、API本质上都是REST风格的API接口调用。 所有的API接口调用均需要经过认证的请求才可以访问成功，经过认证的请求需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子，结合请求体携带的特定信息计算而成。通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。用户通过天翼云正确的鉴权信息才能访问成功。详情可参考：统一身份认证。 访问控制 SMS基于IAM提供了系统策略和自定义策略，需要给用户配置相应策略，才能进行SMS及迁移必须资源的访问和操作，具体操作步骤参考：创建用户并授权使用SMS。建议您使用自定义策略，定义SMS所需的最小权限集合即可。 数据保护技术 SMS数据分为主机数据和个人凭证数据，分别提供了不同的技术，保障数据的安全性。 主机数据保护 对于数据传输，每次迁移任务执行过程中都会生成动态的安全证书和密钥并建立SSL安全通道。源端和目的端之间通过该安全通道点对点传输数据，保障客户主机数据的安全。 个人凭证数据保护 使用AK/SK校验迁移Agent身份，通过HTTPS与天翼云进行加密通信，保障个人凭证数据的安全。

数据完整性 通过数据校验，保证数据在存储、传输过程中的数据完整性。 用户数据保存在HDFS上，HDFS默认采用CRC32C校验数据的正确性。 HDFS的DataNode节点负责存储校验数据，如果发现客户端传递过来的数据有异常（不完整）就上报异常给客户端，让客户端重新写入数据。 客户端从DataNode读数据的时候会同步检查数据是否完整，如果发现数据不完整，尝试从其它的DataNode节点上读取数据。 数据保密性 翼MR分布式文件系统在Apache Hadoop版本基础上，提供对文件内容的加密存储功能，避免敏感数据明文存储，提升数据安全性。业务应用只需对指定的敏感数据进行加密，加解密过程业务完全不感知。在文件系统数据加密基础上，Hive实现表级加密，HBase实现列族级加密，在创建表时指定采用的加密算法，即可实现对敏感数据的加密存储。 从数据的存储加密、访问控制来保障用户数据的保密性。 HBase支持将业务数据存储到HDFS前进行压缩处理，且用户可以配置AES和SMS4算法加密存储。 各组件支持本地数据目录访问权限设置，无权限用户禁止访问数据。 所有集群内部用户信息提供密文存储。 安全认证 基于用户和角色的认证统一体系，遵从帐户/角色RBAC（RoleBased Access Control）模型，实现通过角色进行权限管理，对用户进行批量授权管理。 支持安全协议Kerberos，MRS使用LDAP作为帐户管理系统，并通过Kerberos对帐户信息进行安全认证。 提供单点登录，统一了MRS系统用户和组件用户的管理及认证。 对登录Manager的用户进行审计。

第4章 服务申请 客户可通过页面“立即咨询”按钮提交咨询工单，或拨打天翼云客服电话4008109889进行咨询，并发起服务申请，天翼云客户经理会与客户联系，沟通详细需求细节，并组织专家团队评估迁移可行性。 该服务需要客户经理协助下单。 第5章 服务范围 天翼云迁移专家服务的服务范围包含：云迁移专家服务（天翼云云主机迁移和数据库迁移）和存储数据迁移专家服务（天翼云对象存储数据迁移）。 服务提供： 1. 结合客户需求及实际场景提供迁移咨询服务，分析可行性，输出迁移方案，与客户共同完成迁移前准备环境搭建。 2. 根据客户业务场景及迁移相关要求，完成迁移实施服务。 第6章 服务地点 根据客户与天翼云双方约定的交付方式提供交付服务，现场服务确定交付地点，远程交付确定接入方式、沟通渠道等内容。 第7章 服务流程 项目申请 > 项目调研 >规划设计 >迁移实施 > 项目验收 第8章 服务内容 服务1：云迁移专家迁移服务（远程/现场支持） 云迁移咨询规划 云迁移专家服务（Clold Migration Expert Services）将提供客户其他场景下主机、数据库迁移至天翼云的咨询与规划，结合客户当前网络、软硬件、数据库环境等内容，评估上云迁移可行性，组织资源规划，提供上云迁移方案，为客户提供更便捷的迁移需求咨询与分析服务。

本文的安全最佳实践以在天翼云服务器CTECS上部署 WordPress 为例,详细介绍如何利用天翼云的云服务与安全措施来构建一个既安全又易于管理的 WordPress 环境。 安全设计原则 规定时间内修复已知 OS 安全漏洞，满足安全补丁管理基线；同步配置弱口令检测、病毒查杀、重要文件防勒索及网页防篡改功能。 定期备份关键数据，防意外丢失，确保数据可恢复。 对云硬盘与云数据库存储加密，配置SSL加密数据连接。 集成精细化权限管理、多因子认证及动态访问控制，构建全链路安全防护。 通过逻辑隔离与最小权限访问，阻断威胁横向渗透路径。 部署架构 在云服务器CTECS中部署WordPress使用的安全架构如下。 在部署WordPress过程中需要创建ECS实例和RDS MySQL数据库，本实践针对这两者做的安全配置如下： 弹性云主机实例 1. 通过安全组控制 CTECS 实例的出入流量安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。关于安全组的使用请参考：安全组概述。 2. 使用云硬盘快照策略对云硬盘进行周期性备份天翼云云硬盘快照是一种数据备份方式，云硬盘快照服务可以备份或者恢复整个云硬盘的数据，常用于数据备份、制作镜像、应用容灾等。关于云硬盘快照的使用请参考：云硬盘快照策略。 3. 使用 KMS 加密数据密钥管理服务（Key Management Service，KMS）是一站式密钥管理和数据加密服务平台，提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成，实现云上原生数据的加密保护。更多信息，请见云硬盘加密概述。 4. 使用 IAM 授权获取访问凭证统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。更多信息，请参见产品定义。 5. 使用服务器安全卫士进行防护服务器安全卫士（原生版）（CTCSS，Cloud Security System）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，帮助您构建服务器安全防护体系。更多信息，请参见产品简介。 关系型数据库MySQL版 1. 使用 SSL 数据加密SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。更多信息，请参考设置SSL数据加密。 2. 使用 IAM 身份认证关系数据库MySQL版支持CTIAM身份认证和多种访问控制，多维度保障您云数据库的安全。更多信息，请参考主子账号和IAM权限管理。

基于geonames数据集对比 天翼云 天翼云完整测试结果 H云 从天翼云与H云的测试结果对比来看，天翼云翼MapReduce服务中搜索引擎整体性能快48%。