本文介绍了云防火墙（原生版）产品的服务协议。 天翼云云防火墙（原生版）服务协议

介绍云点播产品欠费相关的计费规则。 欠费原因 在按需计费的模式下帐号的余额不足。 欠费停服说明 欠费后天翼云云点播的转码服务会自动停止。 您所占用的存储空间资源仍会继续扣费，因此欠费余额会累计。 如果您在15天内充值补足欠款，服务会重新启用，停服期间产生的存储空间费用将会在服务恢复后扣除。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云云点播系统的全部数据将会被销毁，销毁后数据不可恢复。请您及时关注账户余额并及时续费以保证您的服务不受到影响。 若您确认不再使用天翼云云点播服务，请务必及时删除存储于云点播上的数据。 续费说明 请在15天内充值补足欠款并保证帐号中的余额充足。

天翼云为您提供云监控服务用户使用手册，请您点击下载查看。 天翼云云监控服务用户指南.pdf

天翼云控制台配置 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“下一代防火墙”，查看下一代防火墙所在VPC。 3. 在防火墙同VPC内新建子网。新建子网详细操作请参见创建子网。 说明 单台防火墙需要新增至少3张网卡，一张trust、一张untrust、一张dmz的VRRP心跳口专用网卡。 结合初始创建防火墙时自带的主网卡作为M口管理，单台设备共计需要4张网卡。 4. 为防火墙设备绑定网卡。 说明 防火墙云主机绑定网卡时所选子网先后顺序需保持一致，为云主机绑定网卡详细操作请参见 若绑定网卡时遇到问题，可联系天翼云工作人员。 5. 申请虚拟IP地址并绑定至防火墙设备的网卡。 说明 请按照以下步骤申请并绑定虚拟IP： 1. 共需根据防火墙子网所在网段购买三个虚拟IP，基于步骤3所创建的三个子网进行申请虚拟地址。申请虚拟IP详细操作请参见 2. 将申请的虚拟地址绑定至新建的弹性网卡，详细操作请参见 3. 将新建的网卡两两绑定至虚拟IP。 4. 绑定完成后，需重启两台添加了网卡的防火墙云主机，让设备重新识别网卡。 若绑定虚拟IP时遇到问题，可联系天翼云工作人员协助处理。

天翼云云防火墙（原生版）服务等级协议

本章节为您介绍如何对接天翼云云日志管理服务 Web应用防火墙（原生版）已对接云日志服务，目前需手动配置开启，需提交工单申请。 约束限制 云日志服务中对应的存储容量若已满，WAF不会删除旧日志，需要您手动及时扩容，否则无法存入新的日志。 使用过程中，请不要删除对应，若删除会导致推送至云日志服务的日志丢失，且无法找回。 目前仅支持转存至华东1资源池的云日志服务。 开启步骤 1.在天翼云官网购买云日志服务。 2.在管理控制台提交工单，联系天翼云技术支持为您手动对接云日志服务，请参照下表中的内容提前准备相关信息。 参数 字段说明 用户id 用户唯一身份标识，可在统一身份认证控制台查看。 AK/SK 访问云资源时的身份凭证，如何获取请参考：如何获取AK/SK？ 日志项目（可选） 在云日志服务中创建的日志项目，可参考：管理日志项目。 不可选择默认项目：wafproject。 日志项目ID（可选） 提供日志项目对应的日志项目ID，可在云日志服务控制台查看。 日志单元（可选） 在云日志服务中创建的日志单元，可参考：管理日志单元。 不可选择默认单元：wafattackunit 日志单元ID（可选） 提供日志单元对应的日志单元ID，可在云日志服务控制台查看。 上传域名（可选） 提供需要上传日志至云日志服务的域名，若不提供则上传对应用户下的所有防护域名。 攻击类型（可选） 提供需要上传的防护事件类型，若不提供默认上传所有防护事件类型。 防护事件目前可选择：核心Web攻击事件、CC攻击事件、智能BOT事件、IP/地域黑名单、攻击惩罚。 3.待处理完成后，即可在云日志服务控制台查看日志信息，下表为日志字段说明。 英文字段 中文字段 是否创建索引 字段样例 数据类型 是否为枚举字段 备注 tenantid 租户ID 是 5cc1eb4ab1bb49ffb6f9e0821a339cf9 字符串 否 regionid 资源池ID 是 字符串 否 remoteaddr 客户端IP地址 是 139.100.157.16 字符串 否 remoteuser HTTP基础认证服务的用户名 是 字符串 否 timestamp 服务器时间 否

OOS数据访问方式有以下几种： 通过OOS自服务控制台进行访问。 通过HTTP REST API接口进行访问。 通过OOS SDK进行编程访问。 通过天翼云云存储网关进行访问。 通过第三方工具（如S3 browser）进行访问。

本节介绍云等保专区产品的下一代防火墙配置类问题。 下一代防火墙如何进行接入策略设置？ 首先明确资源池区域，如果资源池为：南宁23、华东1、上海36、武汉41、青岛20、华北2、长沙42、西南1、南昌5，进行如下配置： 1. 用户登录到云等保专区后，进入“下一代防火墙”原子能力，进行绑定弹性IP操作，点击“绑定弹性IP”。 根据弹出的弹性IP地址，选择需要绑定的具体IP地址。 2. 完成弹性IP绑定工作后需要进行子网路由绑定，进入到天翼云控制台，选择“网络 > 虚拟私有云”进入配置页面。 3. 选择“路由表 > 创建路由表”，进行路由表创建。填写路由名称，以及需要防护的VPC之后，在关联资源类型处选择“子网”。 4. 创建完成后，根据刚才创建的名称选择刚才创建的路由，点击名称进入子网路由配置页面，点击“创建”按钮，进行子网路由创建操作。 5. 在路由规则创建处填写对应的IP地址，在云主机选择是选择下一代防火墙的云主机。 6. 进行子网关联设置，点击“关联子网”模块，选择需要关联的子网，点击“确定”按钮即可。 7. 在系统菜单中点击“策略 > 防火墙策略 > 一体化策略”，进入一体化策略配置页面。 8. 点击“新建”创建新的一体化策略。 其余资源池进行如下配置： 1. 用户登录到云等保专区后，进入“下一代防火墙”原子能力，进行绑定弹性IP操作，点击“绑定弹性IP”。 根据弹出的弹性IP地址，选择需要绑定的具体IP地址。 2. 确认需要防护的资产在子网内的IP地址。 3. 完成弹性IP绑定操作之后，点击进入下一代防火墙配置，进入下一代防火墙配置页面，点击“NTA策略”“策略”“新建”，进入NAT配置新建一条DNAT规则。 4. 建立防火墙上端口到资产业务端口的端口映射（以防火墙开放10022端口映射到资产22端口为例）。 5. 配置完毕点击右上角保存按钮保存。 6. 在系统菜单中点击“策略 > 防火墙策略 > 一体化策略”，进入一体化策略配置页面。 7. 点击 创建新的一体化策略。

计费项 计费说明 计费方式 云端口资源占用费 云专线接入天翼云资源池时，需要支付占用不同端口规格的费用。 包年包月 出方向流量费 从天翼云云上网络流向用户本地数据中心关联端口的流量，所产生的费用。 按量计费

计费项 计费说明 计费方式 云端口资源占用费 云专线接入天翼云资源池时，需要支付占用不同端口规格的费用。 包年包月 出方向流量费 从天翼云云上网络流向用户本地数据中心关联端口的流量，所产生的费用。 按量计费

计费项 计费说明 计费方式 云端口资源占用费 云专线接入天翼云资源池时，需要支付占用不同端口规格的费用。 包年包月 出方向流量费 从天翼云云上网络流向用户本地数据中心关联端口的流量，所产生的费用。 按量计费

计费项 计费说明 计费方式 云端口资源占用费 云专线接入天翼云资源池时，需要支付占用不同端口规格的费用。 包年包月 出方向流量费 从天翼云云上网络流向用户本地数据中心关联端口的流量，所产生的费用。 按量计费

工作机制 首先使用轻量级的Filebeat采集日志、其次使用Logstash接收Filebeat的输出，并对日志进行解析、添加或删除字段等处理、最后将数据输出到天翼云Elasticsearch实例，通过Kibana实例在前端可视化展示。 前提条件 已经开通天翼云云搜索Elasticsearch和Kibana实例，并完成Logstash实例加装。 已经部署Filebeat和Logstash并且打通和天翼云云搜索实例之间的网络。推荐使用Filebeat 7.10.2版本。 查看Kibana的终端可以访问到云搜索实例，设置好5601端口的网络安全策略。 操作步骤 配置Filebeat Filebeat采集日志，配置具体的日志路径。 plaintext 采集日志 filebeat.inputs: type: log 采集的日志文件的路径。替换为自己日志的路径，可以使用通配符。 paths: /yourpath/.log output.logstash: hosts: ["{logstaship}:5044"] 配置Logstash Logstash需要接收Filebeat的输出并进行处理，需要在Logstash管道管理模块中创建并部署管道。示例配置如下： plaintext input { beats { port > 5044 } } 对数据进行处理。 filter { mutate { removefield > ["@version"] } } output{ elasticsearch{ Elasticsearch实例的访问地址。 hosts > [" " " 访问Elasticsearch实例的用户名和密码，如无安全机制可不配置。 user > "" password > "" 配置写入的索引名,示例如下。 index > "filebeatlogstashes%{+YYYY.MM.dd}" } }

本文描述云防火墙（原生版）用户身份认证与访问控制介绍 用户身份、角色、策略说明 用户在天翼云注册后自动创建主用户，该用户对其所拥有的资源具有完全的访问权限，拥有重置用户密码、分配用户等权限。若需多人共同使用天翼云资源，为确保账号安全，建议创建子用户来进行日常管理工作。子用户是由拥有IAM权限的用户在用户管理中心创建，创建初期是没有任何权限，需要先创建用户组授予相应的策略并把创建的用户加到用户组，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 根据授权分为角色、委托和策略。 角色：权限控制针对所有天翼云用户，IAM需要识别访问者的角色身份并赋予相应的委托权限策略。 委托：包括用户和用户之间的委托等操作用户的资源属于委托的范畴。 策略：是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 云防火墙的身份认证与访问控制 天翼云云防火墙（原生版）已经对接了统一身份认证服务（Identity and Access Management，IAM）服务。通过IAM的权限定义可实现对云资源权限的访问控制。 通过IAM，可以将用户加入到一个用户组中，并用策略来控制他们对云资源的访问范围，也可以将用户加入到企业项目中，为用户赋予企业项目的权限。

本章节为您介绍如何登录时间戳服务 时间戳服务，可提供标准的时间戳服务功能，可将交易时间和交易内容固化，适用于时间敏感型业务数据的安全保护。该服务可以满足信息系统密码应用测评中关于实体行为不可否认性的要求。 开放端口要求 为避免网络故障或网络配置问题影响使用服务，请参考下表配置实例安全组。 注意 如何添加安全组规则请参考：添加安全组规则章节。 端口 端口用途 90809083 9080端口：Http协议 9081端口：Tcp协议 9082端口：Https协议 9083端口：TLS协议 通过天翼云控制台进入登录页面 通过天翼云控制台进入登录页面 1. 登录天翼云云密评专区管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的时间戳服务实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。

本节介绍云等保专区产品的下一代防火墙。 下一代防火墙能够提供应用层防火墙、入侵防护、防病毒、反APT、DOS防护、内容过滤、URL过滤、智能带宽管理、上网行为管控与审计等多重安全特性；同时，它全面适配云环境，支持主流的公有云、私有云及虚拟化平台；全特性支持RESTful API，具备高效的协同联动能力，能够提供立体化防护能力。 进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“下一代防火墙”，进入下一代防火墙资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到下一代防火墙控制台。 使用下一代防火墙 了解更多下一代防火墙相关操作内容，请下载阅读《云等保专区下一代防火墙 v1.0 用户指南》。

本节介绍购买单节点示例操作方法。 1. 登录天翼云官网，打开控制中心。 2. 选择“产品 > 安全 > 云下一代防火墙”，单击“立即开通”。 版本：请确认使用规格，具体规格详情可参考规格。 部署模式：单节点。 弹性IP：上述开通云主机后为其绑定的弹性IP。 购买时长：按需选择即可。

本页主要介绍天翼云云间高速(标准版)服务的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试等。 关于用户如何使用云间高速（标准版）服务API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。

本节介绍注册集群概述。 CCE One注册集群可以帮助您快速实现kubernetes集群注册到云端，使用天翼云容器管理控制台对注册集群进行统一管理，赋予云下集群使用云上资源能力。目前CCE One支持注册以下类型的注册集群。 注册集群类型 集群描述 相关文档 天翼云集群 包含天翼云云容器引擎CCE专有版、托管版、智算版和Serverless版。 前往链接 本地集群 由CCE提供的运行在您数据中心基础设施之上的Kubernetes集群，以及满足CNCF标准的IDC自建的Kubernetes集群。 前往链接 三方云集群 三方公有云上提供的Kubernetes集群产品，如：阿里云(ACK)、腾讯云(TKE)、GCP (GKE)、AWS(EKS)等。 前往链接 AnyWhere集群 由天翼云容器服务提供的，运行在您数据中心基础设施之上的Kubernetes集群。 前往链接

本小节介绍云下一代防火墙确认安全需求。 确认安全需求 订购云下一代防火墙前需确认订购规格及安全功能，按需进行订购。 具体规格需求见规格。 订购云下一代防火墙时会自动匹配合适的云主机，无需客户单独购买。

资源 限制 说明 每个云企业路由器可加载的VPC网络实例数 10 可通过工单申请提高配额 每个云企业路由器可加载的云专线网络实例数 5 可通过工单申请提高配额 每个云企业路由器可加载天翼云SDWAN网络实例数 1 此限制不能提高 每个云企业路由器可加载天翼云VPN连接实例数 5 可通过工单申请提高配额 每个云企业路由器可加载天翼云云电脑网络实例数 5 可通过工单申请提高配额 每个云企业路由器支持默认路由表数 1 此限制不能提高 每个云企业路由器支持自定义路由表数 5 可通过工单申请提高配额 每个云企业路由器支持创建路由策略数 20 可通过工单申请提高配额 每个云企业路由器支持创建流量策略数 10 可通过工单申请提高配额

本小节介绍云下一代防火墙计费类常见问题。 云下一代防火墙安全产品有几个规格？ 下一代防火墙安全产品分为标准版、高级版和旗舰版，三个版本基本功能相同但性能不同，所需弹性云主机的配置也不同，上述三个版本均可购买额外的安全扩展功能，不同版本规格详细信息可参考规格。 云下一代防火墙安全产品各个版本有什么功能？ 云下一代防火墙安全产品有基础功能、防病毒、URL过滤、带宽管理、僵尸网络防护、IP信誉库和云沙箱等功能。 其中，基础功能包含入侵防御、应用识别、攻击防护、地址映射等功能，基础功能三个版本通用；标准版和高级版可扩展功能一致，能够扩展增加防病毒、URL过滤、带宽管理等功能；旗舰版可扩展防病毒、URL过滤、带宽管理、僵尸网络防护、IP信誉库和云沙箱全部功能。 云下一代防火墙是否可以按月计费？ 云下一代防火墙支持按月/按年计费，最低订购时长为1个月。 云主机和云下一代防火墙计费是否重复？ 云主机订购费用和云下一代防火墙的计费是不同步的，云主机计算属于资源计算，需要按照平台云主机计费标准；云下一代防火墙安全产品属于服务计费，会根据使用规格、时长、功能等项目进行计费。

本节介绍本地IDC集群迁移至天翼云CCE集群。 分布式容器云平台CCE One容器迁移功能，支持将本地IDC自建的Kubernetes集群应用迁移到天翼云CCE集群，实现应用程序的云端部署和运维管理。迁移流程如下图所示： 前提条件 已开通天翼云分布式容器云平台CCE One及其关联产品的访问权限。 已打通IDC集群与天翼云资源池VPC网络，可选公网或内网方式。其中： 公网方式：需要您IDC集群中Pod具备主动访问功能的能力，一般可通过配置集群公网NAT出口方式实现； 内网方式：需要将您IDC集群的网络与天翼云云上VPC网络打通，可选云专线、SDWAN或VPN方式；另还需参考配置指引，配置正确的云上云下网关路由及DNS解析转发策略，以确保云下可正常访问云上相关服务； 适用场景 云备份容灾：备份容灾迁移一体化，快速实现应用上云与数据灾备。 操作指引 本场景迁移，主要包含四个步骤： 步骤一：集群评估与纳管 在这个阶段，您将根据源集群的现状来评估适合迁移的目标集群类型。可以基于必要的开源工具自动或手工收集源集群的信息，包括Kubernetes版本、规模、工作负载、存储等数据，并根据收集到的数据考虑合适的目标集群信息。 为方便后续的数据备份与恢复，或者基于联邦的细粒度应用迁移，您需要将源集群注册到天翼云CCE One注册集群；

本章节主要介绍翼MapReduce服务中搜索引擎组件性能优化后与竞品的对比测试结果。 概述 为检验天翼云翼MapReduce服务中搜索引擎在经过多次性能优化增强后的效果，我们选取了两家国内头部竞品的相关测试报告，进行对比确认。下文中分别用代号A云和H云来代表两家竞品厂商。性能比较本身是会受各种环境配置的影响，为了能够更贴近友商的性能测试环境，更能反映出组件本身真实的性能情况，我们根据A云和H云的性能测试报告，申请了配置相同的天翼云云主机，使用相同的测试工具，并且使用相同的测试集及配置参数。 A云： 版本：8.9.1 机器规格：4u16g规格、节点数为3 数据集：httplogs 参数配置： 索引采用6个shard（默认为5个） 每次批量操作提交2000个文档。 同时执行批量索引操作的客户端数量为10个。 H云： 版本：7.6.2版本 机器规格：4u16g规格、节点数为3 数据集：geonames 参数配置： 索引采用6个shard（默认为5个） 测试结果 基于httplogs数据集对比 天翼云 天翼云完整测试结果 A云 从天翼云与A云的测试结果对比来看，天翼云翼MapReduce服务中搜索引擎整体性能快30%。

云下一代防火墙安全产品如何修改密码？ 要修改云下一代防火墙的密码，请按照以下步骤操作： 登录到云下一代防火墙WEB UI管理界面。 在管理界面中，右上角并点击登录账号的选项。 在账户设置中，您将找到当前默认账户的密码选项。 单击密码选项，然后按照系统提示的指南来修改并确认新密码。 保存更改，您的密码将被成功修改。 注意 为了安全起见，建议定期更改密码，并确保新密码是强密码，以提高账户的安全性。如有需要，您还可以参考云下一代防火墙产品文档或联系我们的支持团队以获取更详细的密码修改说明。 云下一代防火墙如何无法登录云主机查询序列号？ 云下一代防火墙实例订购需提供设备序列号【S/N】(即序列号)，设备初始化登录成功后可进行查询，步骤如下：首先在云主机控制台选择远程登录，输入默认用户名密码后，按照要求进行密码修改；然后命令行输入以下命令进行配置查询show version；最后查询完成后，记录S/N号(即序列号)即可，详细可参考：查询序列号。 云下一代防火墙安全产品过期后无法配置？ 云下一代防火墙安全产品授权过期后会锁定配置，需导入续订授权后重启恢复。如过期时间较长会影响业务正常访问。 建议：过期后还请尽快续订，如不续订，还请解绑弹性IP至业务主机，防止出现业务影响。

本节介绍云下一代防火墙产品定义。 云下一代防火墙（CTECFW Extended Capacity Firewall）是专门为云计算环境设计的虚拟化网络安全产品，内嵌网络防火墙专用操作系统，以虚拟主机形态提供高性价比、不同安全等级应用之间的安全隔离防护的云安全边界解决方案，为客户提供了下一代防火墙、高可用性（HA）、入侵防御 （IPS）、病毒过滤（AV）、带宽管理（QoS）僵尸网络防护（C&C）、云沙箱（SandBox）等丰富功能，降低客户初始采购和管理维护成本。

本文描述云防火墙所提供服务的韧性保证 天翼云云防火墙（原生版）的管理平台、引擎、日志服务等组件均采用主备或集群方式部署，并在多个可用区部署，从而保证云防火墙服务的韧性。 其中管理平台采用集群式部署架构，支持服务器级别的容灾备份。 日志服务采用集群式部署架构，支持服务器级别的容灾备份。 引擎采用主备部署架构，当主设备出现故障时能够快速切换到备设备提供服务。 说明 主备设备之间采用心跳进行状态检测，同时引擎还支持直接转发的功能，当主备设备同时出现故障时，能够将流量直接转发到用户的业务上，不影响用户的业务正常运行。任意一台服务器或者任意一个可用区故障时都不会导致云防火墙故障。

本节介绍云下一代防火墙包年/包月订购计费详情。 注意 因业务调整，当前云下一代防火墙已限制订购，详情请参见 云下一代防火墙支持包年/包月订购，其中最小服务时长为1个月。所有计费项均按照单台单功能模块单月计算，如需订购多台请分别下单。 云下一代防火墙计费详情： 注意 如下费用仅为软件授权费用。 标准价格： 版本 基础功能（元/个/月） 防病毒（元/个/月） 带宽管理（元/个/月） URL 过滤（元/个/月） 云沙箱（元/个/月） 僵尸网络防护（元/个/月） IP信誉（元/个/月） 标准版 1546 213 133 133 高级版 3866 533 333 333 旗舰版 7733 1066 666 666 243 243 243 说明 1.云下一代防火墙订购需按照资源池和VPC选择，不同节点云墙不可复用。 2.云下一代防火墙产品订购享受优惠活动，活动价格是标准价格的6折，具体以订购页面和控制台展示为准。该优惠活动2025年1月1日结束，即在2025年1月1日及之后续订云下一代防火墙产品不再享受该优惠活动。

时间节点 功能名称 功能描述 相关文档 2024.11.29 翼甲防火墙管理台 翼甲卫士是一款针对天翼AI云电脑平台的自研防火墙。用户可通过翼甲防火墙管理台进行防护策略的配置。 2024.11.06 天翼AI云电脑投屏功能 天翼AI云电脑投屏功能支持全平台，实现任意设备间的轻松投屏。无需繁琐的数据线连接，也无需耗时的匹配投屏器，您只需简单操作就能将AI云电脑内容无缝分享到大屏幕上。 2024.11.06 天翼AI云电脑外设使用指南 介绍如何在天翼AI云电脑中使用外接打印机、音视频、存储等设备

您可以使用天翼云云监控产品来监控您的物理机，云监控支持自动实时监控、告警配置和告警通知，让您更好地掌握物理机的运行状态和各项性能指标。 指标监控 对物理机的各项运行指标进行实时监控，还可以查询历史的监控指标情况。 监控告警 通过配置告警规则，在指标发生异常的第一时间对您进行提醒。及时发现问题并处理，可以有效保障部署在物理机上的服务持续可用。 更多内容请参见云监控。

本节介绍三方云集群迁移至天翼云CCE集群。 分布式容器云平台CCE One容器迁移功能，支持将三方云标准Kubernetes集群应用迁移到天翼云CCE集群，实现应用程序的跨云迁移和统一运维管理。迁移流程如下图所示： 前提条件 已开通天翼云分布式容器云平台CCE One及其关联产品的访问权限。 已打通三方云容器集群与天翼云资源池VPC网络，可选公网或内网方式。其中： 公网方式（推荐）：需要您三方云集群中Pod具备主动访问功能的能力，可通过给容器集群VPC配置公网NAT出口方式实现； 内网方式：需要您将三方云容器网络与天翼云云上VPC网络打通；可选云专线、SDWAN或VPN方式；另还需参考配置指引，配置正确的云间网关路由及DNS解析转发策略，以确保您三方云容器Pod中可正常访问天翼云相关服务； 适用场景 云备份容灾：备份容灾迁移一体化，快速实现应用云间迁移与数据灾备。 操作指引 本场景迁移，主要包含四个步骤： 步骤一：集群评估与纳管 在这个阶段，您将根据源集群的现状来评估适合迁移的目标集群类型。可以基于必要的开源工具自动或手工收集源集群的信息，包括Kubernetes版本、规模、工作负载、存储等数据，并根据收集到的数据考虑合适的目标集群信息。 为方便后续的数据备份与恢复，或者基于联邦的细粒度应用迁移，您需要将源集群注册到天翼云CCE One注册集群；

本小节介绍云下一代防火墙配置自动更新策略。 云下一代防火墙是智能下一代防火墙，具有安全防护功能，因此需要更新特征库，由于特征库更新需要占用带宽，建议非业务繁忙期进行升级更新，一般设置为深夜。