本节主要介绍了ECX相关的术语。 实例 实例若无特指一般指虚拟机实例；若增加特指例如裸金属实例、NAT网关实例，则指具体的某一类型的边缘云资源对象。 地域 ECX用于方便进行节点管理划分的逻辑分区，通常按照数据中心所在城市划分，如内蒙古自治区呼和浩特高可用A表示数据中心所在的城市是呼和浩特。用户可按需选择就近的地域进行业务部署，以降低业务的访问时延。 可用区 可用区是指在同一地域内，电力和网络互相独立的物理区域，在相同的地域内，不同可用区之间内网互通。若用户的应用有较高容灾要求，可将实例部署在同一地域的不同可用区内，以实现更好的故障隔离及灾备恢复。 云盘快照 云盘快照是指在云存储服务中，将存储的数据和文件系统的状态进行备份的一种方法。它可以记录云盘中特定时间点的数据和文件系统状态，以便在需要时还原到该时间点的状态。 云盘备份 云盘备份是指将重要数据上传至其它云存储空间，以便在本地设备出现故障、丢失或遭受损坏时仍能够恢复数据。备份具有异地容灾的能力，快照属于本地容灾。 虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）是基于智能边缘云构建的专属边缘节点网络空间，为用户在边缘集群上的资源提供网络服务，不同虚拟私有云之间完全逻辑隔离。

本章介绍添加告警白名单后进程被隔离的原因。 告警白名单仅用于忽略告警，把当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 隔离查杀恶意程序 方式一：在“安装与配置 > 安全配置 > 恶意程序隔离查杀”中，开启自动隔离查杀。 方式二：在“入侵检测 > 安全告警事件 > 主机安全告警 > 事件列表”中，将恶意程序手动隔离查杀。 隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 恢复隔离查杀文件 在“入侵检测 > 安全告警事件 > 已隔离文件”中，选择“主机安全告警”，单击“已隔离文件”的“查看详情”，单击目标服务器的“恢复”，恢复隔离文件。 被隔离查杀的程序恢复隔离后，文件的“读/写”权限将会恢复，但被终止的进程不会再自动启动起来。

本节主要介绍安全组的组成、产品优势、应用场景和使用限制。 安全组概述 安全组用于虚拟机的出入流量的访问控制，其由一系列的安全组规则组成，是云上网络安全防护的主要方式。安全组通过设置的规则实现具体的访问控制，当虚拟机实例或者网卡加入到对应安全组后，即受到这些规则的保护。安全组具备有状态的特性，即数据包在入方向是被允许的，则对应此连接在出方向也自动被允许，反之亦然。 根据业务的访问控制需求，可以创建自定义安全组，也可以在默认安全组中添加或者删除安全组规则来调整安全访问策略。 每个虚拟机实例或者网卡至少加入一个安全组，可以同时加入多个安全组。 默认安全组 系统默认为用户创建的安全组，不同安全组规则不同，具体规则可进入安全组详情页查看。 安全组规则 安全组规则由源/目的IP、协议、端口、策略（允许或者拒绝）和优先级组成，其包括入方向和出方向的规则。 应用场景 根据业务的安全访问控制需求，为不同的应用使用不同的安全组，确保应用之间的安全隔离。 针对公网和混合云方向做安全隔离，使对应的虚拟机只对外暴露相关的服务协议和端口，防止额外的端口暴露，确保应用安全。 产品优势 灵活配置：安全组可基于业务需求实时调整对应的安全规则。 访问隔离：通过不同的安全组设置，实现了不同虚拟机之间的访问控制隔离。

本节介绍翼打印的应用场景。 典型场景 国产化转型 翼打印提供零成本适配各国产品牌打印机方案，轻松实现国产化转型。 大型组织办公场景 通过AI云电脑（政企版）管理台策略分配一键实现翼打印，无需单台安装驱动，同时支持针对性设置打印机使用权限。 安全敏感场景打印 支持打印水印+打印审计，在安全敏感场景下对打印产出物与打印行为进行控制监测，保障打印行为安全性。 场景案例 场景对象 某大型企业使用打印机人员较多且频繁，打印机数量较多，维护打印机驱动与配置工作任务重。 核心诉求 （1） 减轻打印机日常维护成本； （2） 减少使用人员接入打印机的操作步骤； （3） 增加打印文件的安全性。 解决方案 （1）接入翼打印服务桌面，服务端提供与维护所有设备型号的打印机驱动，工作人员无需再关注驱动更新与兼容性问题； （2）在管理台策略给打印机使用人员开通翼打印服务，自动发现打印机，无需配置任何内容； （3）提供打印行为数据审计服务，企业资料安全性得到进一步提升。

按需合同申请 按需合同适用于已购买天翼云按需产品并生成最终账单的合同归档。 线上申请的电子合同带有天翼云电子合同章，具有法律效力，可以直接使用。 前期条件 只有通过实名认证的客户，才可以申请线上合同。 已购买天翼云按需产品并生成最终账单才可申请。 操作流程 登录官网，在首页点击“管理中心”，选择进入“合同管理”页面，可执行以下操作申请按需合同： 1、申请合同 进入合同管理页面，点击按钮“合同申请”。 2、选择“按需合同” 3、选择账期 选择账期申请按需合同。选择需申请按需合同的账期后，单击“下一步”。现支持选择多个账期按需费用生成一份合同。 4、添加合同信息 确认要申请合同的账期和消费金额，并添加您的合同信息。此信息即作为联系人地址、联系人姓名、联系人电话。甲方抬头系统默认为您的实名认证名称。 信息填写确认完毕后，您可以选择生成草稿合同或者正式合同。草稿合同支持下载，可预览您生成的合同内容。 5、完成 草稿合同创建成功后，您可以在完成页面下载，也可以在合同列表页找到该草稿合同进行下载。建议您预览草稿合同确认后，转正式合同。 如您发现草稿合同信息有误，可作废该草稿合同，重新申请。如草稿信息确认无误，可转为正式合同，正式合同盖有具备法律效力的电子签章。

本小节介绍管理文件隔离箱。 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 约束限制 未开启防护不支持告警事件相关操作。 隔离查杀操作 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 5、单击支持隔离查杀的告警事件“操作”列的“处理”，选择“隔离查杀”。 说明 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 6、单击“确认”，对目标告警事件进行隔离查杀。 被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。 查看文件隔离箱 1、在“主机安全告警”页面的“安全告警统计”中，单击“已隔离文件”下方的“查看详情”，进入“文件隔离箱”页面。 安全告警统计 2、在文件隔离箱列表中，您可以查看被隔离的文件服务器名称、路径和修改时间。 文件隔离箱

本小节介绍管理文件隔离箱。 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 约束限制 未开启防护不支持告警事件相关操作。 隔离查杀操作 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 5、单击支持隔离查杀的告警事件“操作”列的“处理”，选择“隔离查杀”。 说明 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 6、单击“确认”，对目标告警事件进行隔离查杀。 被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。 查看文件隔离箱 1、在“主机安全告警”页面的“安全告警统计”中，单击“已隔离文件”下方的“查看详情”，进入“文件隔离箱”页面。 安全告警统计 2、在文件隔离箱列表中，您可以查看被隔离的文件服务器名称、路径和修改时间。 文件隔离箱

本节介绍了Web应用防火墙（边缘云版）的告警管理功能。 功能介绍 域名接入天翼云Web应用防火墙（边缘云版）（下文简称WAF）后，您可以通过设置告警，使WAF在网站请求流量中检测到攻击事件、异常流量时向您发送告警通知，帮助您及时掌握业务的安全状态。本文介绍如何设置告警和查看告警 前提条件 1、已开通Web应用防火墙（边缘云版） 2、新增域名并接入域名成功，具体可见WAF接入 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 使用说明 1.登录Web应用防火墙（边缘云版）控制台。 2.进入【告警管理】页面。 设置告警策略 1、在左侧导航栏中选择【告警管理】—【告警配置】页面。 2、单击【新增】按钮，可以根据需要配置适合的告警，支持配置的告警类型有WAF攻击和CC攻击； 配置项 说明 告警名称 自定义告警名称 告警状态 您可以选择开启或者关闭告警 域名 您可以选择需要配置告警的域名，支持选择多个 告警类型 支持选择WAF告警、CC告警 攻击类型 告警类型选择WAF告警，则支持选择WAF相关的攻击类型，能够以单个或多个攻击类型的粒度配置告警条件 告警通知间隔时间 若不希望某段时间内由于攻击频繁导致触发多次告警通知，可配置通知间隔时间 告警条件 当您告警类型选择WAF告警，在单位时间内，攻击请求数达到您设定的阈值就会告警 当您告警类型选择CC告警， 支持勾选多条告警条件，当满足任一条件均会产生告警 勿扰时间 当配置时间内，不产生告警 告警邮箱 支持设置接收告警的邮箱或者手机号

一键优化 当AI云电脑遇到卡顿情况时，可以进行检测优化 ，点击“一键优化”开启优化程序。 网络检测 点击“检测网速”，可以检测当前网络的下载带宽，上传带宽，网络时延，抖动，丢包率，以及过去的网络时延变化统计。 家庭管理 “翼家”默认对天翼量子AI云电脑（公众版）开放，家长可通过手机号邀请成员或管理员加入家庭管理。组建家庭关系后，家长和管理员可对家庭成员AI云电脑查看学习、绿色管控、远程接入、解绑AI云电脑等操作，详细见翼家帮助文档。 注意：政企版翼家功能默认关闭，如需开通请联系运维或邮件申请，将【企业租户账号】和【所在资源池】通过翼连>AI云电脑项目支撑中心>工作台>AI云电脑附加功能申请或邮箱发送至clouddesktop@chinatelecom.cn。

您可以采用VNC、MSTSC方式登录Windows弹性云主机,本文介绍操作流程。 只有运行中的云主机才允许用户登录，登录云主机的方式有：VNC方式登录、MSTSC方式登录。 VNC方式登录：未绑定弹性IP的云主机可通过控制中心提供的远程登录方式直接登录。 MSTSC方式登录：仅适用于Windows云主机。您可以通过在本机运行MSTSC方式登录云主机。此时，需要该云主机绑定弹性IP。 说明 如果使用控制中心提供的“远程登录”功能无法满足您的访问需求，请自行在云主机上安装符合要求的远程访问工具（如Tight VNC）。 Tight VNC 下载地址： 首次登录使用用户名administrator。 VNC方式登录 约束与限制 当前提供的远程登录功能是通过系统配置的自定义端口进行访问的，所以在使用远程登录功能时，请确保需要使用的端口未被防火墙屏蔽。例如：远程登录的链接为“xxx:8002”，则需要确保端口8002没有被防火墙屏蔽。 如果客户端操作系统使用了本地代理，且用户无法配置该本地代理的防火墙端口，请关闭代理模式后再使用远程登录功能。 操作步骤 1. 进入天翼云官网，点击页面右上方“控制中心”按钮，登录控制中心。 2. 选择“计算”>“弹性云主机”。 3. VNC方式登录云主机时，需已知其密码，然后再采用VNC方式登录。 4. 在云主机列表中的右上角，输入云主机名、IP地址或ID进行搜索。 5. 在搜索到的云主机的“操作”列下，单击“远程登录“。 6. （可选）如果界面提示“Press CTRL+ALT+DELETE to log on”，请单击远程登录操作面板右上方的“Send CtrlAltDel”按钮进行登录。 7. 根据界面提示，输入云主机的密码，回车完成登录验证。 MSTSC密码方式登录

本节介绍审计日志的功能。 NAS盘日志管理 NAS共享盘进行日志管理操作。 1. 进入“AI云电脑（政企版）”控制台； 2. 选择“翼共享”“日志管理NAS共享盘”菜单，进入日志管理页面； 3.日志查询：选择磁盘和日期后，筛选用户侧操作记录，包括文件夹操作（上传/下载/新建/重命名/移动/删除）； 说明：支持文件夹维度操作，不支持文件颗粒度操作。 4.导出日志：筛选结果后，点击“导出”按钮可导出当前筛选结果为Excel文件。 网络盘日志管理 网络共享盘进行日志管理操作。 1. 进入“AI云电脑（政企版）”控制台； 2. 选择“翼共享”“日志管理网络共享盘”菜单，进入日志管理页面； 3.日志查询：选择磁盘和日期后，筛选用户侧操作记录，包括客户端选择（网页版、Linux客户端、Wiindows客户端、管理台），文件夹/文件操作（上传/下载/新建/重命名/移动/删除）。用户名输入，文件/文件夹名称输入； 4.导出日志：当查询到目标日志后，点击【导出 Excel】按钮，系统将日志数据生成 Excel 文件并自动下载；导出的日志格式与页面展示一致，包含完整字段，便于离线统计或存档。 盘管理设置 1、进入翼共享管理页面：登录天翼 AI 云电脑（政企版）控制台，找到 “翼共享” 选项，点击 “翼共享管理”。 2、选择目标共享盘：在翼共享管理页面中，找到需要设置盘管理员的共享盘所在行。可根据共享盘名称、状态等信息进行查找，确认目标共享盘后，点击该行操作列中的 “设置盘管理员” 选项。 3、分配盘管理员：在弹出的分配盘管理员界面中，会显示可选的用户列表，列表中包含用户名称、所属部门等信息。从列表中选择要设置为盘管理员的用户，可通过搜索框输入用户名等信息快速定位目标用户。选择好后，点击 “确定” 按钮。

本文向您介绍弹性云主机中网络的有关知识。 虚拟私有云 虚拟私有云（Virtual Private Cloud，VPC）是您在天翼云上申请的隔离的、私密的网络环境。您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 更多内容请参见虚拟私有云产品介绍。 子网 云资源（例如云主机、物理机等）必须部署在子网内。您可以在虚拟私有云内创建一个或多个子网，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改，请合理规划网络。 更多内容请参见子网管理 子网的高级配置。 虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的内网IP地址，没有分配给真实弹性云主机网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云主机。 您可以通过将虚拟IP与主备弹性云主机绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 注意 如未结合Keepalived使用，请谨慎删除与虚拟IP绑定的主服务器或者网卡，有可能会导致备服务器或网卡流量不通等现象。 更多内容请参见虚拟IP概述虚拟IP概述。

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务RabbitMQ实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务RabbitMQ实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务RabbitMQ构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的RabbitMQ实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问RabbitMQ实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组。

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供给用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务RocketMQ实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务RocketMQ实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务RocketMQ构建隔离、私密的虚拟网络环境，提升RocketMQ实例的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的RocketMQ实例提供相同的访问策略。您可以通过为RocketMQ实例设置安全组，开通需访问RocketMQ实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组

步骤5：检查配置是否准确 检查网站信息是否填写正确，包括域名、端口、协议、回源IP等内容。 检查是否有特殊端口。如果有特殊端口需求，您可以将需要使用的HTTP/HTTPS访问端口提交工单，由天翼云客服人工配置。只有专业版和旗舰版支持配置特殊端口。 检查上传的HTTPS证书是否正确，证书是否合法有效，证书链是否完整。 检查源站是否有防火墙或访问限制，是否已加白WAF的回源IP。 步骤6：验证业务是否正常 验证在各环境下是否都能正常访问业务系统，观察请求的状态码是否异常。 验证业务系统登录后的会话是否保持正常。 如果有手机端业务，检查是否有SNI兼容问题。 是否有配置只允许WAF回源IP访问源站，防止攻击者绕过WAF直接攻击源站。 步骤7：安全运营 统计分析 您可以通过该模块查看CC攻击报表、WAF攻击报表、业务分析、热门分析等功能，详情请参考：安全运营统计分析。 告警管理 您可以通过该模块配置告警规则及查看告警记录，详情请参考：安全运营告警管理。 日志服务 该模块提供了WAF攻击日志、CC攻击日志的查看与导出功能，以及下载业务的访问日志的功能，详情请参考：安全运营日志服务。 态势感知 通过态势感知模块，您可以实时查看到业务整体的攻击情况，详情请参考：安全运营态势感知。

本小节介绍云下一代防火墙术语解释。 非信任网络（untrust） 处于防火墙之外的公共开放网络，一般指因特网。 信任网络（trust） 位于防火墙之内的可信网络，是防火墙要保护的目标。 DMZ DMZ（Demilitarized Zone）也称缓冲隔离区，可以位于防火墙之外也可以位于防火墙之内，安全敏感度和保护强度较低，DMZ用来提供公共网络服务的设备，这些设备由于必须被公共网络访问，所以无法提供与内部网主机相等的安全性。 可信主机 位于内部网的主机，且具有可信任的安全特性。 非可信主机 不具有可信特性的主机。 NAT 网络地址转换的缩略语，可以让多台没有实际IP地址的机器使用防火墙的地址连接到Internet。 并发连接数 是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。 吞吐量 网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量，吞吐量的大小主要由防火墙内网卡及程序算法的效率决定。

安装helm wget 4 tar xzvf helmv3.18.6linuxamd64.tar.gz mv linuxamd64/helm /usr/bin/helm 关闭防火墙 systemctl disbale now firewalld systemctl status firewalld 禁用SELinux setenforce 0 临时禁用SELinux强制访问控制的命令 sed i 's SELINUXenforcing SELINUXdisabled g' /etc/selinux/config 关闭swap分区 sed ri 's/.swap./ &/' /etc/fstab swapoff a && sysctl w vm.swappiness0 网络配置 sed ri 's/.swap./ &/' /etc/fstab swapoff a && sysctl w vm.swappiness0 时间同步 timedatectl setntp true 配置ulimit cat >> /etc/security/limits.conf <

来自：

帮助文档

分布式容器云平台 CCE One

用户指南

注册集群

注册集群控制台

节点管理

节点池

节点池管理

天翼云为您提供NAT网关产品服务协议，请您点击查看。 天翼云NAT网关服务协议

本文介绍全站加速域名操作日志页面信息。 功能介绍 域名操作日志，是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务信息，方便跟进操作的进度以及追溯操作历史，辅助管理客户业务。当您在域名管理操作中，新增域名或对某个域名的配置进行了变更，编辑完成后，每提交一次任务，系统都会生成一条域名操作工单（编号唯一），该工单编号作为天翼云内部各系统对本次变更任务的跟踪管理和结果管理，且系统会实时更新工单的处理状态（进行中、成功、失败），通过【客户控制台】 【域名管理】【操作日志】展示出来，方便用户及时感知。 工单状态及处理建议： 1. 工单【状态】【成功】：常规域名变更任务，一般会在5~10分钟内部署完成，每当重新进入【工单列表】页签控制台会自动更新工单状态，可以看到工单【状态】变化，从【进行中】变更为【成功】，此时说明配置已全局部署并生效，工单闭环。 2. 工单【状态】【进行中】：如果等待10分钟以上，重新刷新【工单列表】其状态依然是【进行中】，而又比较着急的话，请通过提交工单（客服工单）联系天翼云客服，由其帮您定位域名操作工单（本文档所介绍的工单）的内部处理进展，直至闭环。 3. 工单【状态】【失败】：如果工单显示失败，请通过提交工单（客服工单）联系天翼云客服，由其帮您定位域名操作工单失败原因，直至闭环。

通过在服务器端安装轻量级的Agent进行安全监测和防护,监测数据由天翼云专业安全团队以报告的形式定期发送给客户,并对入侵等高危情况进行实时邮件通知,从而客户可以及时全面的了解服务器的安全状态,将安全从传统的安全事件防护变成一项持续安全响应和处理过程。功能涵盖弱口令检测、软件漏洞检测、防暴力破解、web后门、shell检测等多个维度,实现服务器安全的持续纵深保护。

在虚拟机中制作好镜像后，还要完成下面任务才能在天翼云物理机上使用镜像。 转换镜像格式：虚拟机制作出来的镜像是qcow2格式，linux系统需要转换为天翼云物理机使用的squashfs格式，windows系统使用qcow2格式即可。 生成md5文件：使用md5sum命令生成镜像文件的md5校验和，避免传输过程中镜像损坏。 编写分区文件：不同于qcow2格式的镜像，squashfs格式的镜像中不包含分区表信息。需要使用额外的配置文件指定系统盘如何分区。这也使得修改系统盘镜像分区更灵活。 下面分别说明如何做这些任务。 1. 物理机镜像文件介绍 每个物理机镜像都需要4个镜像文件，同步至镜像服务后可使用该物理机镜像创建物理机。 1.1 Linux镜像文件 每个Linux镜像包含4个文件，镜像格式为squashfs，以CTyunOS23.01.2@2025镜像为例： 镜像文件命名规则: 镜像类型镜像版本镜像架构启动类型.squashfs 镜像类型：例如CentOS、 CTyunOS、Kylin等 镜像版本：例如 8.1、8.1@yunxiaonv535、8.1@gpu01等等 镜像架构：amd64、arm64。其中x8664设备的镜像架构名为amd64，arm设备使用的镜像架构名为arm64 启动类型：bios、uefi。其中x8664设备支持bios和uefi，具体看裸机配置（通常是uefi），arm设备支持uefi CTyunOS23.01.2@2025的4个镜像文件命名为： plaintext 文件1镜像文件：CTyunOS23.01.2@2025amd64uefi.squashfs 文件2镜像md5：CTyunOS23.01.2@2025amd64uefi.squashfs.md5 文件3镜像分区文件：CTyunOS23.01.2@2025amd64uefi.squashfs.lvm 文件4镜像分区文件：CTyunOS23.01.2@2025amd64uefi.squashfs.direct

电脑端投屏 天翼AI云电脑电脑客户端作为投屏端，可以通过输入投屏码方式进行投屏操作。 操作步骤： 1.登录天翼AI云电脑客户端，在AI云电脑列表选择进入投屏的AI云电脑； 2.进入AI云电脑后，在顶部工具栏，点击“控制中心”“偏好设置””工具栏设置“，开启“翼投屏”功能（首次使用可选择显示入口或显示入口+投屏码）； 3.开启后，在顶部工具栏，点击“控制中心”，可查看到翼投屏功能； 4.点“翼投屏”，弹出投屏界面，输入投屏码进行投屏； 5.输入后等待投屏显示即可，连接成功后投屏接收端会显示如下界面。

本章节介绍云原生API网关的优势。 高性能 云原生架构，Nginx + LuaJIT内核，低内存占用，事件驱动架构可高效支持 高吞吐、低延迟业务场景。 高可用 集群 & 多可用区部署，内置实时健康检查、流量管控、熔断、自动故障转移等能力，上游服务异常时，可自动切换流量或降级处理，确保业务连续性。 强扩展性 丰富的插件列表，支持热插拔，无需重启网关即可动态调整 API 处理能力。 易用性 开箱即用，提供可视化配置界面，简化API运营，降低使用门槛。 生态集成 深度融合天翼云微服务、可观测产品，构建一体化云原生API生态，助力企业快速构建数字化能力。 AI 代理 内置AI网关能力，提供 安全、高效、可扩展的AI访问和管理方案，加速企业AI业务落地。

本小节介绍支持云审计的HSS操作列表 企业主机安全通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的HSS操作列表 操作名称 资源类型 事件名称 取消忽略端口 hss notIgnorePortStatus 忽略端口 hss ignorePortStatus 取消忽略配置检测项 hss notIgnoreCheckRuleStat 忽略配置检测项 hss ignoreCheckRuleStat 重新进行基线检测 hss runBaselineDetect 解绑配额 hss cancelHostsQuota 关闭容器防护 hss closeContainerProtectStatus 开启容器防护 hss openContainerProtectStatus 解除已拦截IP hss changeBlockedIp 处理事件状态 hss changeEvent 恢复已隔离文件 hss changeIsolatedFile 删除告警白名单 hss removeAlarmWhiteList 添加登录白名单 hss addLoginWhiteList 删除登录白名单 hss removeLoginWhiteList 新增服务器组 hss addHostsGroup 分配到服务器组 hss associateHostsGroup 修改服务器组 hss changeHostsGroup 删除服务器组 hss deleteHostsGroup 关闭主机防护 hss closeHostsProtectStatus 开启主机防护 hss openHostsProtectStatus 卸载agent hss uninstallAgents 运行镜像扫描 hss runImageScan 从SWR服务同步镜像列表 hss runImageSynchronizeTask 更新并扫描SWR镜像 hss runSwrImageScan 重新体检 hss resetRiskScore 添加策略组 hss addPolicyGroup 删除策略组 hss deletePolicyGroup 部署策略组 hss deployPolicyGroup 修改策略内容 hss modifyPolicyDetail 修改策略组 hss modifyPolicyGroup 关闭自动隔离查杀 hss closeAutoKillVirusStatus 开启自动隔离查杀 hss openAutoKillVirusStatus 设置常用登录IP hss modifyLoginCommonIp 设置常用登录地 hss modifyLoginCommonLocation 设置SSH登录白名单 hss modifyLoginWhiteIp 修复漏洞 hss changeVulStatus 添加防护目录 hss addHostProtectDirInfo 添加特权进程 hss addPrivilegedProcessInfo 添加定时关闭防护配置 hss addTimingOffConfigInfo 删除远端备份服务器 hss deleteBackupHostInfo 删除防护目录 hss deleteHostProtectDirInfo 删除特权进程 hss deletePrivilegedProcessInfo 删除定时关闭防护配置 hss deleteTimingOffConfigInfo 设置定时关闭防护周期 hss setDateOffConfigInfo 修改防护目录开启状态 hss setProtectDirSwitchInfo 修改动态网页防篡改状态 hss setRaspSwitch 设置远端备份服务器 hss setRemoteBackupInfo 修改定时关闭防护状态 hss setTimingOffSwitchInfo 关闭网页防篡改防护 hss closeWtpProtectionStatusInfo 开启网页防篡改防护 hss openWtpProtectionStatusInfo 修改远端备份服务器 hss updateBackupHostInfo 修改防护目录 hss updateHostProtectDirInfo 修改特权进程 hss updatePrivilegedProcessInfo 修改Tomcat bin目录 hss updateRaspPathInfo 修改定时关闭防护时间段 hss updateTimingOffConfigInfo

本文介绍镜像仓库基本概念。 镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署 docker 容器镜像。镜像仓库包括如下内容： 天翼云官方镜像：展示了天翼云平台上的公开镜像，您可以基于公开镜像创建应用； 我的镜像：展示了用户创建的所有镜像仓库。 本章节将为用户介绍容器镜像仓库的基本使用方法，说明【创建】>【上传】>【管理】的仓库使用流程，用户完成镜像上传后，即可在应用创建流程中通过选择【我的镜像】，使用用户自己上传的私有镜像部署应用。 注意事项 镜像仓库不扫描用户上传的镜像，不负责对用户上传的镜像进行安全性验证。上传的镜像中请不要包含未加密的口令，密码等隐私信息，以避免隐私泄露。用户从第三方网站下载公有镜像时，应确定数据来自于可信的仓库源，以避免下载到恶意软件； 如果使用自定义镜像，请确保镜像来源可信，不在容器镜像内安装不必要的软件，在升级时使用安全补丁升级镜像。使用第三方镜像，造成的后果（例如：环境不可用）用户需自己承担； 磁盘满将会导致无法上传镜像到仓库，将会有异常提示信息告知，但并不会影响其他服务；为防止其它业务（例如日志）把磁盘占满，导致仓库无法上传，建议对仓库的存储独立挂盘。 在使用之前，您需要了解以下基本概念： 镜像仓库： 提供docker容器镜像管理功能，用户在创建容器应用前，需要将应用所需的镜像上传到镜像仓库。docker镜像是一个模板，用于创建docker容器。docker提供了一个简单的机制来创建新的镜像或更新已有镜像。 （仓库）属性： 属性分为公有和私有两种。公有：任何租户、用户均可以下载。私有：仅当前租户或租户下的用户可用。

敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据。 敏感数据举例： 个人：家庭住址、工作单位、银行卡号、身份证号码 企业或组织：财务信息、客户资料、技术资料、重大决策等公司核心信息。 天翼云数据安全中心（Data Security Center，简称DSC）为您提供静态数据脱敏功能：能够根据脱敏规则对大批量数据进行统一变形转换处理。静态脱敏的应用场景多为：开发测试、数据分享、数据研究。可以将生产环境中的敏感数据交付至开发、测试或者外发环境。 为何敏感数据会泄露 内部原因 员工（包括在职员工、待离职员工、合作伙伴、外包人员）盗窃数据 重要笔记本电脑和移动设备的丢失或失窃 敏感数据越权访问和存储 企业员工打印、外和复制敏感数据 意外传输敏感数据 外部原因 基础措施不可控，避免数据存储系统存在安全漏洞 配置不当导致的外部攻击 敏感数据越权访问和存储 场景 场景假设：“rsddsctest”数据库中“dscyunxiaoke”表中存储了银行员工信息。 处理方案：当前需要对敏感数据进行敏感数据识别并完成脱敏，可选择识别规则组“银行金融领域模板”，该模板为预置模板，能识别出敏感数据并生成识别结果数据报告，再对识别出的敏感数据进行“Hash脱敏”中的SHA256算法进行脱敏处理，以此来达到保护敏感数据得目的。

本节介绍翼加密客户端调整文件密级的使用介绍 右键快捷调整 1.用户在加密AI云电脑内批量选择加密文件； 2.点击鼠标右键； 3.在右键菜单中点击“调整文件密级”。 翼加密客户端 1.打开翼加密客户端； 2.点击文件密级调整。 高密级的用户，可将文件密级降低后，发给低密级的用户，让低密级用户有权限正常读写加密文件。

本文介绍了认证与访问控制相关说明。 RDSPostgreSQL支持CTIAM身份认证与多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置RDSPostgreSQL实例权限，该用户就可以通过用户名和密码访问授权的实例资源。 访问控制 权限控制 购买RDSPostgreSQL实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为RDSPostgreSQL构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网。 白名单管理 白名单管理中，用户可对实例设置可访问的IP地址或IP段，控制数据库的安全访问，来保证保障其访问来源的安全性。 具体请参见关系数据库PostgreSQL版用户安全数据安全白名单管理。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保证保障其运行环境的安全性和稳定性。 具体请参见关系数据库PostgreSQL版快速入门步骤二：设置安全组规则。

本节介绍了RabbitMQ元数据迁移的实践。 RabbitMQ元数据迁移指将用户线下实例的rabbitmq实例元数据迁移到线上实例。 背景信息 RabbitMQ集群元数据是指RabbitMQ集群的信息，包括User、Vhost、Queue、Exchange、Binding Key、Permission、Parameter等信息。RabbitMQ集群元数据存储于RabbitMQ集群的内部数据库，在集群的各个节点之间自动复制。集群中的每个节点都有自己的元数据副本。当某个节点的元数据变更时，所有节点的元数据都会同步更新。因此，集群的各个节点的元数据被导出时都是相同的。RabbitMQ集群元数据可以被导出成一份JSON文件，然后被导入另一个RabbitMQ集群，实现RabbitMQ集群元数据备份。 迁移元数据上云是指将开源RabbitMQ集群的元数据迁移到天翼云分布式消息服务RabbitMQ实例。分布式消息服务RabbitMQ是天翼云提供的全托管消息队列服务，兼容开源RabbitMQ。您可以将RabbitMQ集群元数据导出，然后导入分布式消息服务RabbitMQ实例，分布式消息服务RabbitMQ会根据成功导入的元数据在目标分布式消息服务RabbitMQ实例中创建对应的Vhost、Queue、Exchange、Binding，实现RabbitMQ集群元数据迁移上云。您可以将全部Vhost信息导入分布式消息服务RabbitMQ实例，也可以根据需要将某个Vhost信息导入分布式消息服务RabbitMQ实例中的Vhost。 迁移元数据 （1）在RabbitMQ WebUI页面查看，如图所示。 Overview视图中，点击“Download broker definitions”按钮下载集群元数据。得到rabbitmq元数据的json文件。 （2）上线rabbitmq实例导入元数据。 如上图所示，先点击选择文件，选择上一步骤导出的json文件，再点击导入配置。 注意：在线下的Rabbitmq集群中不能含有用户名rabbitmq，否则会被覆盖。用户名rabbitmq是天翼云Rabbitmq内部使用的管理账号。

本章节主要介绍翼MapReduce服务如何进行远程连接。 操作场景 本章节主要介绍如何通过控制台提供的远程登录功能（即VNC方式）登录到主机上，查看实例操作系统的运行状态或问题。 操作步骤 1. 登录翼MR控制台，点击正常运行的集群名称，进入集群详情页面。 2. 进入“节点管理”页面，点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“远程连接”，在新的页面上出现shell命令窗口。 3. 您可以根据界面提示，通过命令行实现远程登录机器。 说明 登录弹性云主机时使用的账号与密码为创建集群时设置的登录账密，默认账号为root。自2.16版本起，若忘记密码，可在控制台基础信息页进行重置密码操作。

天翼云应用服务网格用户指南.pdf

介绍分布式消息服务Kafka认证与访问控制方式 分布式消息服务Kafka支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务Kafka实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务Kafka实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务Kafka构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Kafka实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Kafka实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见配置安全组