参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“

操作步骤 在安全智算专区页面，单击左侧的“大模型安全测评”，系统跳转到“大模型安全测评”页面。 在客户订购服务未过期时，系统跳转后进入“配额管理”页面。 当客户订购服务已过期或从未下过单时，进入欢迎页面。 单击“立即购买”，跳转到下单页面，下单流程与订购步骤一致。

该任务指导用户通过漏洞扫描服务删除已创建的监测任务。 前提条件 已获取管理控制台的登录帐号与密码。 已创建监测任务。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”。 3. 在左侧导航树中，选择“安全监测”，进入“安全监测”界面。 4. 在目标监测任务所在行的“操作”列中，单击“删除任务”，在弹出的对话框中，单击“确认”。

本文介绍云SSO各模块的基本概念 概念 说明 企业组织 企业组织是多账号下的成员关系管理服务，可以通过创建或者邀请账号加入，构建多账号的企业中心环境。 主账号 是企业组织中的管理员账号，可以统筹管理企业组织关系内各成员账号的资源、操作权限、财务关系等。 子账号 是通过被主账号创建或者邀请加入的成员账号。 云SSO用户/用户组 是主账号创建的虚拟用户，该用户可以通过云SSO门户登录到企业组织内的成员账号中，对成员账号进行访问管理。 权限集 主账号可以为云SSO实例自定义分配指定的权限集合。 绑定权限集 为云SSO用户（组）在指定账号范围内，绑定权限集。 云SSO登录门户 云SSO用户登入URL地址： 身份同步 云SSO支持基于SCIM协议的用户和用户组同步，称为身份同步，也可以称其为身份部署或身份推送等。使用身份同步，您只需在您的企业身份管理系统中管理身份，而不必在云SSO中手工管理用户、用户组及其成员关系，提升管理效率和安全性。 单点登录（SSO） 云SSO支持基于SAML 2.0的单点登录SSO（Single Sign On）。天翼云是服务提供商（SP），而企业自有的身份管理系统则是身份提供商（IdP）。通过单点登录，企业员工可以使用IdP中的用户身份以云SSO用户身份访问天翼云。

本章节会介绍如何使用MySQL命令行内网连接实例 当应用部署在弹性云主机上，且该弹性云主机与RDS for MySQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与RDS for MySQL实例。 提供两种连接方式通过MySQL客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性，该能力白名单开放，如有需求可联系客服提供。 前提条件 1. 登录弹性云主机。 通过弹性云主机连接关系型数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为 默认安全组 （default），则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 2. 使用客户端连接实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本高于已创建的RDS实例中数据库版本。 SSL连接（白名单能力开放） 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 4、单击实例名称进入“基本信息”页面。 5、在“数据库信息”模块的“SSL”处，查看SSL开关状态。 开关打开。 6、单击“SSL”处的，下载“Certificate Download”压缩包，解压后获取根证书（ca.pem）和根证书捆绑包（cabundle.pem）。 将根证书（ca.pem）导入弹性云主机Linux操作系统。 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 参数说明 参数 说明 内网地址。在目标实例的“基本信息”页面，“连接信息”模块的“内网地址”。 数据库端口，默认3306。在目标实例的“基本信息”页面，“连接信息”模块的“数据库端口”。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 CA证书路径，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password:

此小节介绍企业主机安全编辑策略内容。 当您创建策略组后，需要修改策略内容时，可按照本文档的指导完成策略内容的修改。 策略内容的修改，只在当前所修改的策略组生效。 默认策略组有默认配置，不建议修改。 Windows的HIPS策略目前不支持修改。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 进入策略管理 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如下所示： 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击目标策略组名称，进入策略详情列表，单击策略名称对不同策略进行修改。 Linux策略组详情

本小节介绍云堡垒机运维登录远程桌面提示“ 网络连接错误”操作指导。 云堡垒机没有防绕过的功能，运维用户只要掌握服务器账号密码，即可直接登录服务器并运维。 为避免云堡垒机被绕过，需要设置服务器安全组，配置入方向仅对云堡垒机IP地址开放，拒绝其他地址访问，实现只通过云堡垒机登录的目的。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > 弹性ip”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 5. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口，规则配置中原地址配置云堡垒机的IP地址。

本节将为您介绍如何修改访问控制规则。 操作场景 用户修改访问控制。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“访问控制”，单击目标访问控制名称，进入详情页面。 5. 单击目标访问控制规则“操作”列的“编辑”选项，进入编辑规则状态。 6. 在编辑规则页面，根据页面提示进行参数设置。 7. 单击“确认”，保存修改。

本文将介绍针对平台操作审计日志进行介绍。 您通过控制台或API进行相关平台操作时，会实时记录操作内容，用于后续追溯、审计。 注意事项 进行平台相关操作时，如新增域名、修改配置等，均会进行记录到操作日志以供查询，目前该服务能力仅支持【零信任服务】【安全与加速】模块的操作相关记录。 建议查询近6个月数据，若有长时间存储日志需求，可联系我们。 以下是【零信任服务】的操作相关说明，如需查询【安全与加速服务】的操作日志，请参考操作日志。 操作步骤 1. 登录边缘安全加速控制台，进入零信任工作台。 2. 在左侧导航栏，选择日志>平台操作日志，可针对需求进行查询相关日志情况。 字段说明 字段 字段说明 操作时间 用户操作的时间。 操作模块 支持记录操作日志的模块名称。 操作内容 操作内容的具体信息。 操作类型 支持查询、新增、修改、删除相关操作动作。 操作状态 成功、失败。其中成功仅意味当下操作成功下发到后端，并不代表配置实际生成成功。 操作人 操作的帐号名称。 零信任支持操作日志的模块 以下是零信任服务支持记录日志的模块： 菜单 操作模块 总览 效能分析 待办事项 权限审批 待办事项 问题反馈 日志 策略处置记录 身份 用户与组织用户 身份 用户与组织组织 身份 用户组管理 身份 同步身份源 身份 扩展认证源 身份 账户安全登录管理 身份 账户安全密码管理 身份 账户安全个人信息管理 应用 应用配置 应用 应用授权 网络 连接器管理 网络 域名解析管理 终端资产 终端列表 终端资产 设备策略用户新设备激活 终端资产 设备策略设备共享 终端资产 设备策略设备授信策略 终端资产 设备策略设备授信策略 终端资产 设备策略设备授信策略 安全 动态授权 安全 访问控制 设置 客户端设置客户端限速 设置 客户端设置超时注销登录 设置 客户端设置客户端自保护 设置 网络配置 设置 企业服务状态 设置 企业认证标识 日志 终端登录日志 日志 内网审计日志内网访问审计 日志 内网审计日志网关防护日志 日志 内网日志下载 日志 平台操作日志

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的CC防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版或基础版，支持使用CC防护默认策略；开通高级版及以上版本，支持使用自定义CC防护策略。 操作步骤 1. 登录边缘安全加速平台控制台，进入【安全与加速】工作台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【CC防护】详细设置。 配置说明 基础设置 配置项 说明 CC防护开关 CC防护的功能开关 CC防护模式 【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 【CC防护模式】设置为长久，则域名的每次访问都进行防护校验，适合有长期防护的需求场景 阈值 即触发防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 周期 即设定时长内达到防护阈值，将触发防护。新的时间周期将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 跨域请求防护 支持开启或关闭跨域请求防护功能。若您所防护的域名存在跨域访问场景（即被其他域名网站引用访问），建议关闭跨域请求防护，以免被CC防护算法拦截 注意 当CC防护模式选择阈值，为避免单位时间内阈值配置过低，导致频繁触发CC攻击，限制阈值与周期的比值不得小于100。

本章会介绍关系型数据库包年包月的收费模式。 1、收费方式 （1）预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 （2）计费周期：按月计费，以自然月为计费单位。 2、升级规则 关系型数据库升级时间不满整月的，升级后配置按当月实际发生天数计费。 3、续订规则 续订数据库，续费按原订购模式按月方式进行续费。 4、退订规则 退订云数据库，不满整月的按当月实际发生天数收取费用。 退订云数据库后实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会删除实例。 5、提醒/通知规则 （1）到期通知：服务到期前7天、3天邮件通知，到期前1天、当天邮件通知和短信提醒。 （2）超期通知：服务超期1天邮件通知，超期3天、7天邮件通知和短信提醒。

本章会介绍关系型数据库包年包月的收费模式。 1、收费方式 （1）预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 （2）计费周期：按月计费，以自然月为计费单位。 2 、升级规则 关系型数据库升级时间不满整月的，升级后配置按当月实际发生天数计费。 3 、续订规则 续订数据库，续费按原订购模式按月方式进行续费。 4 、退订规则 退订云数据库，不满整月的按当月实际发生天数收取费用。 退订云数据库后实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会删除实例。 5 、提醒/通知规则 （1）到期通知：服务到期前7天、3天邮件通知，到期前1天、当天邮件通知和短信提醒。 （2）超期通知：服务超期1天邮件通知，超期3天、7天邮件通知和短信提醒。

您可以通过添加实例功能完成访问控制关联智能网关设备。 操作场景 用户为访问控制规则关联智能网关实例，实现对智能网关设备转发流量的访问控制。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关实例、访问控制的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“访问控制”，单击目标访问控制“操作”列的“添加实例”。 5. 选择需要关联的智能网关实例，支持多选。 6. 单击“确定”，完成访问控制关联智能网关。 说明 用户也可以进入“目标访问控制详情”页面。单击“关联实例 >添加实例”，可添加智能网关实例。

本节为您介绍专线链路备份的操作场景、前提条件和操作步骤。 操作场景 智能网关硬件版设备支持链路级的专线备份，当主用链路发生故障时，自动切换至备用链路。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关硬件版的创建，且未进行链路设置。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关实例列表页面，单击目标智能网关实例“操作”列的“链路设置”。 5. 在链路设置界面，根据页面提示进行专线链路备份设置。 6. 单击“确认”按钮。

此小节介绍云堡垒机安全设置。 云堡垒机安全设置模块支持您自定义密码强度、账户保护规则。 密码组成：配置用户密码策略，包括配置密码安全强度，密码字符组成。 密码事件：可设置安全登录事件、强制改密时间和首次登录改密。 账号策略：可设置账号空闲事件。 设置密码组成 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“系统设置 > 安全管理”，进入“安全管理”模块。 3. 选择密码组成模块，配置密码规则。 设置密码事件 密码事件包含恶意登录事件、密码过期事件、强制改密，用户可根据使用需求对事件进行设置开启或关闭，单击“保存”后生效。 恶意登录事件：根据设置的时间和密码错误次数生效，触发后账号锁定，状态变更为“锁定F”，可联系管理员操作解锁。 密码过期事件：根据设置的有效时间生效，有效时间到期后，触发账号锁定，状态变更为“锁定P”，可联系管理员操作解锁。 强制改密：默认开启，开启强制改密后，用户首次登录堡垒机跳转强制改密界面，强制用户改密后登录。 设置账号事件 账号事件包含账号空闲事件、账号登录事件，您可根据使用需求对事件进行设置开启或关闭，单击“保存”后生效。 账号空闲事件：根据设置的空闲时间生效，距离上一次登录时间达到设置时间后，触发账号锁定，状态变更为“锁定L”，可联系管理员操作解锁。 账号登录事件：根据配置的唯N性值，限制同一账号同时登录数。

本小节介绍安全专区云数据库审计的添加审计策略。 使用安全管理员用户登录安全管理中心，点击进入云数据库审计。 1.设置审计策略：点击【策略管理】→【审计策略】→【默认策略】，进行编辑。 2.将“未选中的规则”进行全选，左移到“选中的规则”，点击保存即可。

本文为您介绍macOS客户端如何通过SSL VPN双因子认证后接入VPC。 前提条件 已经在天翼云华东1地域创建了vpc1，且VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.1.3 您已经了解VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许客户端地址池对VPC内业务的访问。 场景示例 如某公司在华东1地域创建了VPC，网段为192.168.1.0/24。因业务发展，出差员工需要使用Windows客户端访问云上VPC资源。 可以在云上创建VPN网关，配置SSL服务端并开启双因子认证。macOS客户端通过SSL VPN接入云上VPC，不仅要进行证书认证，还需要认证密码，认证通过后才可以访问云上资源，提高了VPN连接的安全性和可管理性。 配置步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取样 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngateway1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 SSL 企业项目 选择当前VPN网关归属项目。 default 本端类型 选择资源类型（VPC、云间高速）。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc1 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) SSL带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M SSL并发连接数 选择对应的SSL VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 按月购买：自动续订周期为一个月。 按年购买：自动续订周期为一年。 关闭 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。 记录VPN网关的IP地址，步骤五配置客户端的时候要用。

本节介绍云等保专区在VPC中的部署拓扑图。 在VPC中建立一个安全管理子网，将云等保专区的各个安全原子能力部署在安全管理子网中，便于统一管理。

参数 说明 自动删除 选择开启或关闭自动删除功能，默认。 l，表示开启自动删除功能。根据数据存储时间和数据盘空间使用率，触发自动清除。 l，表示关闭自动删除功能。 自动删除（天）前数据 数据存储天数超过设定时长，将会被自动清除。 l 默认为180天。 l 取值范围为1～10000，单位为天。 空间满时覆盖之前数据 数据盘使用率超过90%时，将自动删除数据。 选择开启或关闭，默认。 l，表示关闭该功能。 l，表示开启该功能。 l 自动删除规则： − 系统每隔30min检查一次数据盘使用率。当使用率低于90%时，则停止删除。 − 优先删除存储时间更久远的数据，默认先删除180天之前的数据。 − 若删除180天之前数据后，数据盘使用率仍高于90%，则逐日依次删除数据。 − 当天数据不能被自动删除。

使用VPC终端节点服务之前,您需要注册天翼云帐号,本文带您了解使用VPC终端节点前需要做的准备事项。 步骤一：注册天翼云帐号 如果您已有一个天翼云帐号，请跳到下一个步骤。如果您还没有天翼云帐号，请参考“注册天翼云账号”进行注册。 说明 一个手机号最多可注册5个天翼云账号，超出则不再支持注册新的天翼云账号。 注册邮箱用于登录、天翼云信息接收，请确保邮箱的准确性。 步骤二：实名认证 完成注册后登录并进行实名认证。具体操作请参考实名认证。 步骤三：帐号充值 VPC终端节点为客户提供按量计费模式。如果您采用按量计费使用VPC终端节点服务，需满足账户余额超过100元要求，在登录账号后，您可以点击页面右上角的“管理中心”，然后点击“充值”按钮为您的账号充值，具体充值说明可参考账户充值。 说明 账号余额不足100元或不支持按量付费功能。 天翼云支持在线或转账汇款的方式进行充值。 建议采用在线支付方式充值。 使用专属汇款账号进行汇款，汇款至专属汇款账号，系统会自动匹配您的天翼云账户，预计24小时内充值到您的账户余额。

精细类别 数据粒度 数据保留时长 说明 精细 20秒 2小时 每20秒采集一次实时数据，生成1个数据点，每个数据点保留2小时。 精细 1分钟 6小时 基于20s粒度采集数据聚合1分钟粒度数据，保留时长6小时。 精细 5分钟 1天 基于20s粒度采集数据聚合5分钟粒度数据，保留时长1天。 精细 1小时 7天 基于20s粒度采集数据聚合1小时粒度数据，保留时长7天。 精细 1天 1年 基于20s粒度采集数据聚合1天粒度数据，保留时长1年。 粗糙 5分钟 2小时 基于20s粒度采集数据聚合5分钟粒度数据，保留时长2小时。 粗糙 1小时 1天 基于20s粒度采集数据聚合1小时粒度数据，保留时长1天。 粗糙 1天 1个月 基于20s粒度采集数据聚合1天粒度数据，保留时长1个月。 粗糙 1周 6个月 基于20s粒度采集数据聚合1周粒度数据，保留时长6个月。 粗糙 1个月 1年 基于20s粒度采集数据聚合1个月粒度数据，保留时长1年。

本小节介绍安全专区总览风险事件展示等。 安全态势 威胁信息统计展现待处理告警、待处理漏洞及待处理基线，实时展示威胁统计状态。 风险事件 实时反馈补丁漏洞相关风险，对资产在使用过程中暴露的问题进行实时告警，自动检测产生安全风险评估、分析并给出处理导向。 查看方法： 1.点击【去处理】，进入相关的组件进行具体事件的分析处置。 2.安全专区总览查询后，可打开左侧边栏主菜单。

操作步骤 步骤 1 在“实时同步管理”页面，单击“创建同步任务”。 步骤 2 在“同步实例”页面，填选任务名称、描述、同步实例信息，单击“开始创建”。 任务信息 表 任务和描述 参数 描述 任务名称 任务名称在4到50位之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 同步实例信息 表同步实例信息 参数 描述 数据流动方向 选择“入云”。 源数据库引擎 选择“DRDS”。 目标数据库引擎 选择“DRDS”。 网络类型 此处以公网网络为示例。目前支持可选公网网络、VPC网络、VPN和专线网络。 目标数据库实例 用户所创建的DRDS实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 全量+增量该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 源端数据库实例个数 源端DRDS绑定的实例个数，默认值2，输入值在1到64之间，您需要根据源端实际情况设置该值大小。 标签 表标签 参数 描述 标签 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见标签管理。 说明 对于创建失败的任务，DRS默认保留3天，超过3天将会自动结束任务。 步骤 3 在“源库及目标库”页面，同步实例创建成功后，填选源库信息和目标库信息，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 表源库信息 参数 描述 中间件IP地址或域名 源数据库DRDS中间件的IP地址或域名。 端口 源数据库DRDS中间件服务端口，可输入范围为1~65535间的整数。 中间件用户名 源数据库DRDS中间件的用户名。 中间件密码 源数据库DRDS中间件用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 数据库实例 根据源库实际的分片数据库，填写对应的数据库信息。 说明 源数据库的IP地址或域名、数据库用户名和密码，会被系统加密暂存，直至删除该迁移任务后自动清除。 表 目标库信息 参数 描述 数据库实例名称 默认为创建同步任务时选择的DRDS实例，不可进行修改。 数据库用户名 目标数据库对应的数据库用户名。 数据库密码 数据库用户名和密码将被系统加密暂存，直至该任务删除后清除。 步骤 4 在“设置同步”页面，选择同步对象，单击“下一步”。 表 同步模式和对象 参数 描述 增量阶段冲突策略 该冲突策略特指增量同步中的冲突处理策略，全量阶段的冲突默认忽略。冲突策略目前支持如下形式： l 忽略 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将跳过冲突数据，继续进行后续同步。 l 覆盖 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将覆盖原来的冲突数据。 同步对象 左侧框是源数据库对象，右侧框是已经选择的对象，可选表级同步、库级同步，您可以根据业务场景选择对应的数据进行同步。 在同步对象右侧已选对象框中，可以使用对象名映射功能进行源数据库和目标数据库中的同步对象映射，具体操作可参考对象名映射。 说明 选择对象的时候支持对展开的库进行搜索，以便您快速选择需要的数据库对象。 如果有切换源数据库的操作或源库同步对象变化的情况，请在选择同步对象前单击右上角的，以确保待选择的对象为最新源数据库对象。 当对象名称包含空格时，名称前后的空格不显示，中间如有多个空格只显示一个空格。 选择的同步对象名称中不能包含空格。 步骤 5 在“预检查”页面，进行同步任务预校验，校验是否可进行实时同步。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行任务预校验。 预检查完成后，且所有检查项结果均通过时，单击“下一步”。 说明 所有检查项结果均通过时，若存在待确认项，需要阅读并确认详情后才可以继续执行下一步操作。 步骤 6 在“任务确认”页面，设置同步任务的启动时间，并确认同步任务信息无误后，单击“启动任务”，提交同步任务。 表 任务启动设置 参数 描述 启动时间 同步任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 说明 预计同步任务启动后，会对源数据库和目标数据库的性能产生影响，建议选择业务低峰期，合理设置同步任务的启动时间。 步骤 7 同步任务提交后，您可在“管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见任务状态说明。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。 对于未启动、状态为配置中的任务，DRS默认保留3天，超过3天DRS会自动删除后台资源，当前任务状态不变。当用户再次配置时，DRS会重新申请资源。

基础配置 1. 根据您的需要选择计费方式：包年/包月或按量付费。 规格分类处选择“GPU加速/AI加速型”，在下方的规格列表的pi2和pi7中选择需要的规格。 2. 选择镜像“ubuntuLLaMA2StableDiffusionWebUIGPU（预装大模型环境）(60GB)”或“ubuntuLLaMA3StableDiffusionWebUIGPU（预装大模型环境）(60GB)，点击“下一步：网络配置”。 网络配置 1. 点击“创建安全组”按钮，跳转至网络控制台安全组页面。 2. 点击“创建安全组”按钮，在弹窗中等待模板下拉菜单选择“开放全部端口” 3. 点击“确定”，完成安全组创建。 4. 返回云主机订购页面，点击“选择安全组”按钮，在安全组列表中勾选刚才创建的安全组。 5. 点击“确定”，完成安全组选择。 6. 弹性IP选择“自动分配”，根据需要选择带宽大小。为确保大模型学习机顺畅运行，如有其他数据下载需求, 建议10M以上, 否则建议5M及以下。 7. 点击“下一步：高级配置”。 8. 根据提示完成高级配置，点击“下一步：确认配置”。确认配置无误后，点击“立即购买”。 9. 支付成功后返回云主机控制台，选择订购云主机所在的地域。云主机状态变更为“运行中”后即为开通成功，可以进行后续操作。

检查远程桌面连接设置 修改Windows云主机的远程桌面连接设置：勾选“允许运行任意版本远程桌面的计算机连接（较不安全）”。具体操作如下： 1.登录云主机。 2.打开左下角的“开始”菜单，右键单击“计算机”，并选择“属性”。 3.在左侧导航栏，选择“远程设置”。 4.选择“远程”页签，并在“远程桌面”栏，选择“允许运行任意版本远程桌面的计算机连接（较不安全）”。 图 远程设置 5.单击“确定”。 检查Remote Desktop Services 1.打开Windows搜索框，输入services，选择“服务”。 2.在服务中选择并重启Remote Desktop Services服务，请确保Remote Desktop Services状态为“正在运行”。 图 Remote Desktop Services 检查远程桌面会话主机 1.打开cmd运行窗口，并输入“gpedit.msc”。 2.单击“确定”，打开“本地组策略编辑器”。 3.选择“计算机配置 > 管理模板 > Windows组件”，查找并双击“远程桌面服务”。 4.选择“远程桌面会话主机 > 安全 > 远程（RDP）连接要求使用指定的安全层”。 图 远程（RDP）连接要求使用指定的安全层 5.选择“已启用”，并将“安全层”设置为“RDP”。 图 设置安全层为RDP

参数名称 说明 取值样例 虚拟私有云 可以选择使用已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“申请虚拟私有云”创建新的虚拟私有云。 vpcsec 安全组 界面显示专属加密实例已配置的安全组。选择专属加密实例的安全组后，该专属加密实例将受到该安全组访问规则的保护。 sg533c 网卡 界面显示所有可选择的子网，系统自动分配一个未使用的IP地址。 subnet1（10.1..0.0/16） 实例名称 专属加密实例的名称。 DedicatedHSM

边缘安全与加速服务的免费版套餐是为个人兴趣爱好开发者、非营利项目、技术验证等场景的入门级服务。该套餐适用于非生产场景的技术验证与能力探索，以零成本体验安全与加速产品能力，并为您的测试站点提供基础防护。 功能范围 支持标准域名接入、基础站点配置及常规安全防护能力。各项功能的具体边界与配额以控制台实际展示为准，部分高级特性仅对付费版本开放。 服务可用性与保障说明 无 SLA 承诺 免费版属于体验型服务，该套餐不提供服务可用性（SLA）承诺，亦不就服务可用率、访问延迟、网络连通性、攻击拦截率等指标作出量化保证。因上述指标波动或不足对您的业务造成影响，边缘安全与加速服务不承担责任。 日常服务保障 尽管无 SLA 承诺，安全与加速仍会为您提供基础服务支持。如您遇到访问异常或功能故障，可提交客户服务工单，将按工单优先级进行排查与处理。 使用建议与限制 适用场景建议 免费版设有流量、规则数上限，不建议用于生产环境或商业营利活动。若您的业务对稳定性、大流量加速或高级安全防护有较高要求，推荐您订购基础版、高级版、企业版或旗舰版套餐，以获得更完善的服务保障。 功能调整说明 为持续优化产品体验，我们保留对免费版功能及配额进行调整的权利。如涉及重大变更，我们将通过控制台公告或邮件等方式提前通知。

检测周期 主机安全服务每日凌晨将自动进行一次全面的检测，检测后会生成漏洞扫描结果，可自行导出漏洞报告。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航树选择“风险预防 > 漏洞管理”，进入漏洞管理页查看漏洞概览。 主机漏洞检测详情 显示主机总数、已检测主机、未检测主机以及受漏洞影响的主机数量。 主机漏洞检测详情 漏洞统计 显示未修复漏洞、高危、中危、低危漏洞数量。 漏洞统计 漏洞类型分布 显示Linux漏洞、Windows漏洞、WebCMS漏洞和应用漏洞总体数量。 单击Linux漏洞/Windows漏洞/WebCMS漏洞/应用漏洞，可查看对应漏洞总数。 漏洞类型分布 漏洞TOP5 显示TOP5的漏洞。 漏洞TOP5 风险服务器TOP5 显示TOP5风险的服务器

检测周期 主机安全服务每日凌晨将自动进行一次全面的检测，检测后会生成漏洞扫描结果，可自行导出漏洞报告。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航树选择“风险预防 > 漏洞管理”，进入漏洞管理页查看漏洞概览。 主机漏洞检测详情 显示主机总数、已检测主机、未检测主机以及受漏洞影响的主机数量。 主机漏洞检测详情 漏洞统计 显示未修复漏洞、高危、中危、低危漏洞数量。 漏洞统计 漏洞类型分布 显示Linux漏洞、Windows漏洞、WebCMS漏洞和应用漏洞总体数量。 单击Linux漏洞/Windows漏洞/WebCMS漏洞/应用漏洞，可查看对应漏洞总数。 漏洞类型分布 漏洞TOP5 显示TOP5的漏洞。 漏洞TOP5 风险服务器TOP5 显示TOP5风险的服务器

本章节主要介绍云搜索服务的安全模式集群。 当前我们提供的Elasticsearch 6.5.4及之后版本集群为您增加了安全模式功能，当您开启后，安全模式将会为您提供身份验证、授权以及加密等功能。 以下功能介绍以kibana可视化界面操作为例。 说明 安全模式只能在创建集群时开启。集群创建成功后，不支持开启或者关闭安全模式。 基本名词解释 安全模式名词解释 名词 描述 Permission 单个动作，例如创建索引（例如indices:admin/create）。 Action group操作组 一组权限。例如，预定义的SEARCH操作组授权角色使用search和msearchAPI。 Role角色 角色定义为权限或操作组的组合，包括对集群，索引，文档或字段的操作权限。 Backend role后端角色 （可选）来自授权后端的其他外部角色（例如LDAP / Active Directory）。 User用户 用户可以向Elasticsearch集群发出操作请求。用户具有凭证（例如，用户名和密码）、零个或多个后端角色以及零个或多个自定义属性。 Role mapping角色映射 用户在成功进行身份验证后会担任角色。角色映射，就是将角色映射到用户（或后端角色）。例如，kibanauser（角色）到jdoe（用户）的映射意味着John Doe在获得kibanauser身份验证后获得了所有权限。同样，allaccess（角色）到admin（后端角色）的映射意味着具有后端角色admin（来自LDAP / Active Directory服务器）的任何用户都获得了allaccess身份验证后的所有权限。您可以将每个角色映射到许多用户和/或后端角色。

备案说明FAQ 域名必须要进行ICP备案吗？ 当域名解析指向中国内地的服务器并开通Web服务时，需进行ICP备案。若解析指向境外服务器（如中国香港），则无需ICP备案。 ICP备案收费吗？ ICP备案不收取费用，但ICP备案需要购买支持备案的云服务器，您在购买云服务器时会产生费用。 ICP备案需要有域名、中国内地且符合备案要求的服务器，您需要在服务器提供商处提交ICP备案申请。如果您的域名要通过天翼云备案，请先购买云服务器，再通过PC端登录天翼云ICP代备案管理系统提交ICP备案申请。 ICP备案服务器的购买时长需不少于3个月。 只购买云服务器不使用域名，需要进行ICP备案吗？ 不需要。当域名解析指向中国内地服务器且开通Web服务时才需进行ICP备案。 子域名需要进行ICP备案吗？ 如果主域名在天翼云已有ICP备案，则对应的子域名无需再进行ICP备案。 如果主域名有ICP备案号，但不是在天翼云申请的ICP备案，您需将主域名的ICP备案信息接入天翼云（主域名可以存在多家接入商）。详细信息请参见备案操作手册。 如果主域名没有ICP备案号，根据工信部规定，未进行ICP备案域名不能开通网站访问，您需先将主域名提交备案，待备案成功后子域名便可正常使用。详细信息请参见备案操作手册。 在天翼云进行ICP备案是否一定要购买天翼云服务器？ 如果您需要在天翼云做ICP备案，则必须购买符合ICP备案要求的天翼云服务器。 域名持有者是个人，备案主体可以是公司吗？ ICP备案要求域名持有者信息与ICP备案主体信息需保持一致，但存在如下特殊情况，单位性质备案时，域名持有者为个人，允许备案主体为公司。 域名持有者为公司的法定代表人，部分省份允许ICP备案主体为法定代表人的公司，备案主体负责人需填写公司法人信息。 什么情况下需要进行新增备案？ 主体（个人或企业）和域名从未办理过ICP备案，在开通网站的访问服务之前，需要通过天翼云备案系统完成新增备案，详细信息请参见备案操作手册。 什么情况下需要进行接入备案？ 主体和域名均已通过其他服务商成功进行ICP备案，现需要将服务商变更成天翼云或将天翼云添加为该网站的新增服务商，需要在天翼云接入备案，详细信息请参见备案操作手册。 什么情况下需要进行新增网站备案？ 如果您的ICP备案主体已通过其他服务商成功进行ICP备案，现购买天翼云服务器，并且需要在天翼云备案一个新的网站域名，您需要在天翼云进行新增网站，详细信息请参见详细信息请参见备案操作手册。 如果您的ICP备案主体已在天翼云成功备案，现有新的网站托管到天翼云服务器上，您需要在天翼云进行新增网站，详细信息请参见备案操作手册。 什么情况下需要进行变更备案？ 如果您的网站已经在天翼云取得备案号，后续备案主体或网站信息发生变更，您需要及时在天翼云备案系统变更主体或变更网站，更新您的ICP备案信息，详细信息请参见备案操作手册。

本节介绍了容器安全策略的用户指南。 PodSecurityPolicy（简称PSP）从Kubenetes 1.21版本开始被标记为弃用（deprecated）状态，为此云容器引擎提供了基于OPA策略和gatekeeper准入控制器，扩展了相应的策略治理状态统计和日志上报检索等能力，同时内置了种类丰富的策略治理规则库，在规则配置上也更加灵活简单，帮助企业安全运维管理人员更好的使用策略治理相关能力。 操作步骤 安装容器安全策略插件 cubesecurity 1、 选择指定容器集群，在菜单栏【安全管理】中选择【策略管理】。 2、 安装cubesecurity插件，插件安装成功后即可使用该功能。 查看集群当前策略治理状态 对于安装了策略治理相关组件的集群，您可根据以下操作查看集群当前策略治理状态。 1、选择指定容器集群，在菜单栏【安全管理】中选择【策略管理】。 2、选择【策略总览】Tab页即可查看集群当前策略治理状态，包括：策略开启总览、近7天拦截和告警结果统计。 创建策略实例 您可根据以下操作在指定集群中创建策略实例。 1、选择指定容器集群，在菜单栏【安全管理】中选择【策略管理】。 2、选择【我的策略】Tab页单击【创建策略实例】。 3、相关策略参数如下，配置完成后点击【确定】即可。 参数 说明 策略类型 Infra：基础设施层资源相关的策略类型。 CISK8s：基于CIS等K8s合规规范定制的策略类型。 PSP：替代Pod Security Policy（PSP）能力的策略类型。 K8sgeneral：基于最佳安全实践对K8s资源配置进行安全加固约束的通用策略类型。 实施动作 拦截：违反策略规则约束的指定资源部署会被拦截。 告警：违反策略规则约束的指定资源仍旧可以部署，只会产生对应违规审计的告警日志。 策略名称 根据选择的策略类型，在策略名称下拉列表中选择需要部署的策略模板名称。 参数配置 如果参数配置输入框中默认为空，说明规则不需要进行参数配置。 如果输入框中包含需要配置的参数模板，则请参考策略参数说明按照指定格式配置参数。