本节主要介绍DNAT规则的常见问题。 为什么使用DNAT？ 公网NAT网关的DNAT功能绑定弹性IP，可通过IP映射或端口映射两种方式，实现VPC内跨可用区的多个云主机共享弹性IP，为互联网提供服务。 ECS变更规格后NAT网关规则失效怎么处理？ ECS变更规格时，会导致已配置的NAT规则失效，需要删除已配置的NAT规则后重新配置。

本节主要介绍GeminiDB Influx接口的计费项。 计费说明 GeminiDB Influx的计费项由实例规格费用、存储空间费用、备份空间费用和公网流量费用组成。具体内容如表1所示。 说明 标 的计费项为必选计费项。 标 的计费项为必选计费项。 表1 GeminiDB Influx实例计费项 计费项 计费项说明 适用的计费模式 计费公式 实例规格 计费因子：vCPU和内存，不同规格的实例类型提供不同的计算和存储能力。 包年/包月、按需计费 实例规格单价 购买时长 实例规格单价请参见云数据库GeminiDB产品价格的“数据库计算实例价格”。 存储空间 计费因子：存储空间，按统一标准进行计费。 包年/包月、按需计费 存储空间单价 存储容量 购买时长 请参见云数据库GeminiDB产品价格的“数据库存储空间价格”。 备份空间 计费因子：备份空间，按统一标准进行计费。 按需计费 备份空间单价 备份收费容量 购买时长 请参见云数据库GeminiDB产品价格的“数据库备份空间价格”。 说明 计费时长：备份超过免费空间大小的使用时长。 冷存储空间 计费因子：冷存储空间，按统一标准进行计费。 包年/包月、按需计费 冷存储 空间单价 存储容量 购买时长 公网流量 如有互联网访问需求，您需要购买弹性公网IP。 计费因子：带宽费、流量费和IP保有费。 包年/包月计费模式支持按带宽计费方式，收取带宽费。 按需计费模式支持按带宽计费、按流量计费和加入共享带宽三种计费方式，分别收取带宽费+IP保有费、流量费+IP保有费、带宽费+IP保有费。 包年/包月、按需计费 带宽费支持使用带宽加油包抵扣，流量费支持使用共享流量包抵扣。 按固定带宽值采用阶梯计费 0Mbit/s~5Mbit/s（含）：均为一个统一的单价 大于5Mbit/s：按每Mbit/s计费 公网带宽单价，请参见[](

参数 说明 类型 选择外部源连接的类型。 RDS服务MySQL数据库，支持Hive或Ranger组件的集群支持连接该类型数据库。 名称 数据连接的名称。 数据库实例 RDS服务数据库实例，该实例需要先在RDS服务创建后在此处引用，且已创建数据库，具体请参考管理数据连接章节 说明 为了保证集群和PostgreSQL数据库的网络访问，建议该实例与MRS集群的虚拟私有云和子网一致。 该实例的安全组入方向规则需要放通3306端口（可通过在RDS控制台单击实例名称进入实例基本信息页面，在“连接信息”区域单击“安全组”右侧的安全组名称进入安全组控制台，在入方向规则页签中添加一个“协议端口”为TCP 3306，“源地址”为Hive的MetaStore实例所在的所有节点IP的规则）。 当前MRS支持的RDS上Postgres数据库版本号为PostgreSQL9.5/PostgreSQL9.6。 当前MRS仅支持RDS上MySQL数据库版本为MySQL 5.7.x。 数据库 待连接的数据库的名称。 用户名 登录待连接的数据库的用户名。 密码 登录待连接的数据库的密码。

环境 VPC 公网IP 内网 IP 记录集类型 云下 121.229. . 10.0.0.33 A 云上 vpcnewDNS 117.89. . 192.168.0.6 A

本文为您介绍敏感操作保护的内容 操作场景 当主用户及子用户在控制台进行敏感操作时（如删除弹性云主机）, 操作保护将通过虚拟MFA、手机短信或邮箱等方式二次确认当前操作，避免误操作导致的损失。 操作步骤 开启操作保护 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“概览 ”，进入“敏感操作”。 3. 点击“立即修改”，选择“开启”操作保护，当前支持主用户认证、操作用户认证以及指定人员认证。 其中，主用户认证代表所有操作保护认证由主用户验证。操作用户不限制主、子用户，触发敏感操作的用户自行验证。指定人员需验证需指定手机号。 注意 建议您开启敏感操作保护，优先选择“操作用户验证”，避免高危误操作带来的损失，同时支持验证的灵活性。 4. 在控制台执行相关敏感操作时，后台根据操作保护的配置以及采集的多因素验证信息（手机验证码、邮箱验证码、虚拟MFA等），通过弹窗的方式对用户的身份进行二次校验。如果验证通过，系统才会放行对应的操作行为，否则会阻止敏感操作。 以删除 IAM 用户，选择“操作用户验证”为例。当前支持操作用户手机验证、邮箱验证两种方式。

本节介绍为跨域互联开通带宽的操作步骤。 跨域互联实例下，跨资源池VPC需要开通跨域带宽才能互通，同资源池VPC互通不涉及。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“跨域互联”，进入跨域互联管理页面； 3.在操作实例中，点击“跨域互联名称”； 4.进入跨域互联详情跨域带宽管理，点击“开通跨域带宽”； 5.进入开通跨域带宽页面，选择资源包，填写带宽名称，确认带宽大小； 6.确认开通后，即可查看到对应的跨域带宽信息。

本文为您介绍如何进行企业项目资源管理。 前提条件 您已开通具有企业项目属性的资源，如虚拟私有云、子网等，如果一个资源不具有企业项目属性，在企业项目下将无法看到资源。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目”。 3. 点击企业项目列表中，企业项目右侧操作栏的“查看资源”按钮，进入查看企业项目资源页面。 4. 通过选择所属资源池、产品类型，或输入资源名称、资源ID的关键字，可进行资源检索。

本小节介绍云堡垒机运维登录远程桌面提示“ 网络连接错误”操作指导。 云堡垒机没有防绕过的功能，运维用户只要掌握服务器账号密码，即可直接登录服务器并运维。 为避免云堡垒机被绕过，需要设置服务器安全组，配置入方向仅对云堡垒机IP地址开放，拒绝其他地址访问，实现只通过云堡垒机登录的目的。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > 弹性ip”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 5. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口，规则配置中原地址配置云堡垒机的IP地址。

本文介绍区域访问控制功能的原理和配置方法。 功能介绍 天翼云边缘接入服务IP应用加速区域访问控制功能可通过设置区域访问控制黑白名单，从而仅允许或者限制部分区域的用户访问。 区域访问控制功能支持按照国家、省份、城市粒度设置区域访问黑白名单。 适用场景 针对企业自己的网站，仅允许企业员工访问，可以配置仅允许企业总部及分支机构所在地区用户访问。 一些在线教育平台通过IP地址识别用户所在地区，确保只有特定区域的学生能够访问特定的教育资源，保障了知识的有序传播。 配置说明 新增接入，配置区域访问控制步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 找到访问控制模块，打开区域访问控制开关，填写区域访问控制配置。 编辑配置，修改区域访问控制步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名。 4. 修改对应的访问控制模块区域访问控制。

此小节介绍如何查看监控报表和拦截报告。 查看监控报表 用户可以查看单个公网IP的监控详情，包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“公网IP”页签，在需要查看监控报表的公网IP所在行的“操作”列，单击“查看监控报表”。 5. 在“监控报表”界面，可以查看公网IP报表的详细指标。 可查看包括当前防护状态、当前防护配置参数、24小时流量情况、24小时异常事件等信息。 24小时防护流量数据图，以五分钟一个数据点描绘的流量图，主要包括以下方面： 流量图展示所选云服务器的流量情况，包括服务器的正常入流量以及攻击流量。 报文速率图展示所选云服务器的报文速率情况，包括正常入报文速率以及攻击报文速率。 近1天内攻击事件记录表：近1天内云服务器的DDoS事件记录，包括清洗事件和黑洞事件。 说明 支持将监控报表下载到本地，查看公网IP报表的详细指标信息。 在流量监控报表页面，单击图例，报表中将只显示“攻击流量”或“正常入流量”信息。 在报文速率监控报表页面，单击图例，报表中将只显示“攻击报文速率”或“正常入报文速率”信息。

参数 参数类型 说明 示例 下级对象 id String 集群id 00c3a04292996955752f073c995a1cc6 managerClusterId Integer manager定义的集群id 1 iaasType String 平台 公有云 regionId String 资源池id bb9fdb42056f11eda1610242ac110002 regionName String 资源池名称 华东1 availableZoneId String 可用区id cnhuadong1jsnj1Apublicctcloud availableZoneName String 可用区名称 可用区1 clusterName String 集群名称 test1218 payType String 付费类型 包年包月 clusterType String 集群类型 云搜索 clusterTypeVersion String 产品版本 翼MR2.12.0 clusterPlanCode String 集群规划编码 cloudsearch componentNameList String 组件名称列表 [{componentTitle:ElasticSearch,version:7.10.2},{componentTitle:Kibana,version:7.10.2}]] datasourceConfigs String 数据源信息 [] vpcId String vpc id vpc0k5xl6w5 subnetId String 子网id subneti2ys8sp securityGroupId String 安全组id [sg4h7w9cl1] loginType String 登录方式 PASSWORD clusterDueTime Integer 集群到期时间 1709193751000 userId String 用户id ba14c8e729e447d69698f81ac7d55555 accountId String 账号id ed24e4b414a048b0a9cb995f59cc85jj clusterCreateTime Integer 集群创建时间 1706515357000 clusterState String 集群状态 运行中 managerVersion String manager版本号 2.15.1 enableIpv6 String Ipv6是否开启(OPEN:打开, CLOSE:关闭, NOTDISPLAY:不展示,null:不展示) OPEN createTime Integer 创建时间 1706515356000 updateTime Integer 更新时间 1706515356000 autoRenewStatus Integer 是否开启自动续订的状态(0:不自动续订,1:自动续订) 1 clusterRunningSeconds Long 集群运行时间 0 pathMap Map of String 组件名称:组件链接 { "Kibana": "1,1", "ElasticSearch": "1,1" }

本章节主要介绍翼MapReduce服务对象管理简介。 MRS集群包含了各类不同的基本对象，不同对象的描述介绍如下表所示： MRS基本对象概览 对象 描述 举例 服务 可以完成具体业务的一类功能集合。 例如KrbServer服务和LdapServer服务。 服务实例 服务的具体实例，一般情况下可使用服务表示。 例如KrbServer服务。 服务角色 组成一个完整服务的一类功能实体，一般情况下可使用角色表示。 例如KrbServer由KerberosAdmin角色和KerberosServer角色组成。 角色实例 服务角色在主机节点上运行的具体实例。 例如运行在Host2上的KerberosAdmin，运行在Host3上的KerberosServer。 主机 一个弹性云主机，可以运行Linux系统。 例如Host1～Host5。 机架 一组包含使用相同交换机的多个主机集合的物理实体。 例如Rack1，包含Host1～Host5。 集群 由多台主机组成的可以提供多种服务的逻辑实体。 例如名为Cluster1的集群由（Host1～Host5）5个主机组成，提供了KrbServer和LdapServer等服务。

本文主要介绍如何创建空虚拟机 前提条件 已安装VirtualBox。 操作步骤 打开VirtualBox，单击“新建”，在弹出的“新建虚拟电脑”对话框中输入虚拟机名称，并选择类型和版本，单击“下一步”。 以Ubuntu为例，类型选择：Linux。 请确保选择的版本与待安装的操作系统版一致。 图 创建虚拟机 2、在选择内存的对话框中，选择内存大小并单击“下一步”。 选择内存时请参考虚拟机配置及待安装操作系统的官方要求。默认最小为256MB，本文以设置为512MB为例。 图 选择内存 3、在虚拟硬盘对话框中，选择“现在创建虚拟硬盘”，并单击“创建”。 图 虚拟硬盘 4、选择虚拟硬盘文件类型为“VHD”，单击“下一步”。 图 虚拟硬盘文件类型 5、选择磁盘分配方式为“动态分配”，单击“下一步”。 图 磁盘分配 6、设置磁盘大小及存储位置。 本文以设置磁盘大小为20GB为例。 图 设置磁盘大小及存储位置 7、单击“创建”，完成空虚拟机的创建。

本页介绍了 connect failed 连接报错的处理方法。 问题描述 使用客户端连接文档数据库服务实例时报错 "Authentication failed", 使用的连接命令如下： mongo "mongodb://root: @ , /admin?authSourceadmin&replicaSet " 报错信息如下： 20230719T12:42:13.281+0800 W NETWORK [js] Unable to reach primary for set DDS 20230719T12:42:13.281+0800 I NETWORK [js] Cannot reach any nodes for set DDS. Please check network connectivity and the status of the set. This has happened for 2 checks in a row. 20230719T12:42:13.284+0800 E QUERY [js] Error: connect failed to replica set DDS/ : , : : connect@src/mongo/shell/mongo.js:257:13 @(connect):1:6 exception: connect failed 原因分析 从报错信息来看，是客户端到文档数据库服务之间的网络访问不通导致的。 可能的原因有： 文档数据库服务实例的端口错误，不可用。 文档数据库服务实例与客户端云主机不在同一个区域或子网。 服务端开启了 SSL 模式，但是客户端没有使用 SSL 模式访问。 处理方法 1. 检查文档数据库服务实例与ECS是否在同一个区域、同一个安全组和子网内。 首先登录文档数据库服务控制台，单击实例名称，在基本信息页面查看文档数据库服务实例所在的区域、VPC、安全组和子网信息。然后弹性云服务器控制台，单击云服务器名称，在基本信息页面，查看当前云主机所在的区域、VPC、安全组和子网信息。确保 2 者的配置信息相同。 2. 检查实例的端口是否正确，并通过 curl/telnet 命令检查端口是否可用。 登录到文档数据库服务控制台，单机实例名称，在基本信息页面查看实例的 IP 和端口信息，然后使用 curl 或者 telnet 命令测试端口的连通性。 示例如下： curl 检查 $ curl : It looks like you are trying to access MongoDB over HTTP on the native driver port. telnet 检查 $ telnet Trying ... Connected to . Escape character is '^]'. ^] telnet> 3. 检查实例是否开启了 SSL 模式。 登录到文档数据库服务控制台，单机实例名称，在基本信息页面上查看是否开启了 SSL 模式。如果开启了 SSL 模式，则下载证书后使用 SSL 模式访问，命令示例如下： ./mongo "mongodb://root: @ , /admin?authSourceadmin&replicaSet " ssl sslCAFile sslAllowInvalidHostnames

轻量型云主机目前仅支持套餐升级操作，升配计费规则与其他产品保持一致。 轻量型云主机升配计费规则详情请参考天翼云帮助中心费用中心变更。 套餐升级操作详情请参考天翼云帮助中心轻量型云主机用户指南升级轻量型云主机。

介绍云SSO的使用场景 使用场景 通过云SSO（SingleSignOn）可以创建用户和用户组，创建的用户通过指定的云SSO门户地址登录后，可集中管理和访问天翼云下多个帐号的资源。 云SSO可与满足条件的企业身份管理系统进行单点登录（SSO）配置，可以直接使用企业原有的身份管理系统，以云SSO用户身份访问天翼云账号，提升企业用户管理效率，降低安全风险。

本节介绍了在移动设备上登录Linux云主机的操作场景、前提条件、IOS设备上登录Linux云主机、Android设备上登录Linux云主机。 操作场景 本节操作介绍如何在移动设备上连接Linux实例。 以iTerminalSSH Telnet为例介绍如何在iOS设备上连接 Linux 实例，详细操作请参考IOS设备上登录Linux云主机。 以JuiceSSH为例介绍如何在Android设备上连接 Linux 实例，详细操作请参考Android设备上登录Linux云主机。 前提条件 云主机状态为“运行中”。 已获取Linux云主机用户名和密码。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放22端口，配置方式请参见配置安全组规则。 IOS设备上登录Linux云主机 如果您使用iOS设备，请确保已经安装了SSH客户端工具，我们以Termius为例。本示例中使用CentOS 7.6操作系统，使用用户名和密码进行认证。 1. 启动Termius，单击New Host。 图 New Host 2. 在SSH页面上，输入连接信息后，单击 Save。需要输入的连接信息包括： − Alias：指定Host名称，如本例中，设置为ecs01。 − Hostname：输入需要连接的 Linux 实例的公网IP地址。 − Use SSH：打开SSH登录配置。 − Host：输入需要连接的Linux实例的公网IP地址。 − Port：输入端口号22。 − 用户名：输入用户名root。 − 密码：输入实例登录密码。 图 输入连接信息 3. 单击右上角的“Save”，保存登录信息，在Hosts页面，单击连接的名称远程连接服务器。 图 保存登录信息 当出现命令行界面时，您已经成功地连接了Linux云主机。

本小节介绍云下一代防火墙计费类常见问题。 云下一代防火墙安全产品有几个规格？ 下一代防火墙安全产品分为标准版、高级版和旗舰版，三个版本基本功能相同但性能不同，所需弹性云主机的配置也不同，上述三个版本均可购买额外的安全扩展功能，不同版本规格详细信息可参考规格。 云下一代防火墙安全产品各个版本有什么功能？ 云下一代防火墙安全产品有基础功能、防病毒、URL过滤、带宽管理、僵尸网络防护、IP信誉库和云沙箱等功能。 其中，基础功能包含入侵防御、应用识别、攻击防护、地址映射等功能，基础功能三个版本通用；标准版和高级版可扩展功能一致，能够扩展增加防病毒、URL过滤、带宽管理等功能；旗舰版可扩展防病毒、URL过滤、带宽管理、僵尸网络防护、IP信誉库和云沙箱全部功能。 云下一代防火墙是否可以按月计费？ 云下一代防火墙支持按月/按年计费，最低订购时长为1个月。 云主机和云下一代防火墙计费是否重复？ 云主机订购费用和云下一代防火墙的计费是不同步的，云主机计算属于资源计算，需要按照平台云主机计费标准；云下一代防火墙安全产品属于服务计费，会根据使用规格、时长、功能等项目进行计费。

本节主要介绍CreateVirtualMFADevice。 此操作用来创建虚拟MFA设备。创建虚拟MFA后，可以使用EnableMFADevice启用虚拟MFA设备，并将该虚拟MFA设备与指定的IAM用户关联。 注意 QR代码和Base32字符串中包含的MFA设备密钥，就像您的密码一样，应被妥善保管和处理。 请求示例 名称 描述 是否必须 ::: Action CreateVirtualMFADevice。 是 Version 请求版本。 取值 ：20100508。默认值为20100508。 否 VirtualMFADeviceName 虚拟MFA设备的名称。 类型 ：字符串 取值 ：1~128个字符组成，字符只能包含字母、数字或特殊字符，字母不区分大小写，特殊字符只能是：下划线（）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）和at符号（@）。 是 响应结果 名称 描述 VirtualMFADevices.Base32StringSeed MFA设备密钥。 VirtualMFADevices.QRCodePNG 密钥二维码，使用Base64编码。 VirtualMFADevices.SerialNumber 唯一标识MFA设备的序列号。 请求示例 创建名为mfa1的虚拟MFA设备。 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20190315T083028Z ContentType: application/octetstream ContentLength: 74 ActionCreateVirtualMFADevice&Version20100508&VirtualMFADeviceNamemfa1

访问方式 天翼云提供如下方式进行云硬盘的配置和管理： 控制台：web化的服务管理平台，即利用管理控制台来配置和管理云硬盘。 API：天翼云也支持用户通过API（Application programming interface）方式访问云硬盘，具体操作请参见云硬盘API参考。

功能简介 通过资源共享服务，前缀列表的所有者可以将前缀列表共享给一个或者多个天翼云账号（主账号）。资源使用者接受共享资源的邀请后具备操作共享资源的部分权限。 操作场景 通过共享前缀列表，不同账号可以引用相同的前缀列表来配置安全组，实现对特定IP地址段的统一管理，避免重复维护相同的IP段，从而提升维护效率并减少配置错误。 前提条件 注册天翼云账号，并完成实名认证。具体操作请参考天翼云账号注册流程。 请提前创建好前缀列表资源。具体操作请参考创建前缀列表。 功能内测中，如有需求请提工单申请。 操作步骤 开启共享 1、登陆前缀列表所有者的账号，前往资源管理控制台的资源共享我的共享页面。选择共享管理，单击【创建共享单元】，在打开的页面中： 1. 输入共享单元名称，在配置页面的下拉列表中选择前缀列表，选择需要共享的资源池，然后选中需要共享的前缀列表。 2. 系统会默认选择前缀列表的默认操作权限。 3. 指定使用者时选择允许共享给任意天翼云账号（主账号），手动添加前缀列表使用者的天翼云账号ID，并点击添加。 4. 检查无误后，在页面底部单击确定。 2、登录前缀列表使用者的账号，接受共享邀请： 1. 前往资源管理控制台的资源共享共享给我页面。 2. 在共享管理页签，查看待接受共享的资源。 3. 接受共享后，使用者就可以访问共享的前缀列表。 4. 前往前缀列表控制台，选择共享前缀列表所在的地域后，您可以看到被共享过来的前缀列表，在所有者列被标记为“来自共享”，并展示前缀列表所有者的账号ID。 5. 根据您的业务需求，在不同的资源中引用前缀列表。

功能简介 通过资源共享服务，前缀列表的所有者可以将前缀列表共享给一个或者多个天翼云账号（主账号）。资源使用者接受共享资源的邀请后具备操作共享资源的部分权限。 操作场景 通过共享前缀列表，不同账号可以引用相同的前缀列表来配置安全组，实现对特定IP地址段的统一管理，避免重复维护相同的IP段，从而提升维护效率并减少配置错误。 前提条件 注册天翼云账号，并完成实名认证。具体操作请参考天翼云账号注册流程。 请提前创建好前缀列表资源。具体操作请参考创建前缀列表。 功能内测中，如有需求请提工单申请。 操作步骤 开启共享 1、登陆前缀列表所有者的账号，前往资源管理控制台的资源共享我的共享页面。选择共享管理，单击【创建共享单元】，在打开的页面中： 1. 输入共享单元名称，在配置页面的下拉列表中选择前缀列表，选择需要共享的资源池，然后选中需要共享的前缀列表。 2. 系统会默认选择前缀列表的默认操作权限。 3. 指定使用者时选择允许共享给任意天翼云账号（主账号），手动添加前缀列表使用者的天翼云账号ID，并点击添加。 4. 检查无误后，在页面底部单击确定。 2、登录前缀列表使用者的账号，接受共享邀请： 1. 前往资源管理控制台的资源共享共享给我页面。 2. 在共享管理页签，查看待接受共享的资源。 3. 接受共享后，使用者就可以访问共享的前缀列表。 4. 前往前缀列表控制台，选择共享前缀列表所在的地域后，您可以看到被共享过来的前缀列表，在所有者列被标记为“来自共享”，并展示前缀列表所有者的账号ID。 5. 根据您的业务需求，在不同的资源中引用前缀列表。

本文介绍智能体引擎Agent Engine的应用场景 代码测试与安全分析 为智能体运行提供云端安全隔离的Agent沙箱，主要用于处理不可信或不确定的代码。如果代码在沙箱中崩溃或试图执行危险操作（如删除文件），可以立即阻断，避免污染开发环境。 测试AI生成的代码：在沙箱中运行AI生成的代码，进行单元测试或功能验证；大模型（如Cursor、Copilot）生成的代码可能存在语法错误、逻辑漏洞或安全风险（如SQL注入、命令注入） 恶意软件分析与逆向工程：将可疑文件放入沙箱中运行，观察其行为：是否修改注册表、是否连接暗网IP、是否加密文件；沙箱提供了“观察窗”，让分析师在不冒风险的情况下了解恶意软件的行为 智能体执行测试 目前最热门的应用场景，让Agent在智能体引擎的安全沙箱中运行，调用外部工具（如浏览器、计算器、终端）来完成任务；包含如下场景： UI自动化测试：通过浏览器沙箱运行自动化测试智能体，避免Agent的危险操作或恶意万战访问，无法危及用户的个人电脑或企业内网 终端命令执行：通过沙箱运行智能体执行终端命令，即使Agent的指令被恶意prompt注入（例如，用户诱导AI执行rm rf /），由于沙箱限制了文件系统权限（可能只允许操作Docker相关目录，或挂载了只读根文件系统），也能避免宿主机系统崩溃 多Agent协作：通过沙箱运行多个智能体，模拟协作任务或攻防演练；避免影响真实业务

事件总线EventBridge支持将天翼云官方事件作为事件源发布到事件总线，事件总线EventBridge作为统一的入口来处理、分发这些事件。本文介绍事件总线EventBridge支持的天翼云官方事件源对应的天翼云服务和云服务事件类型。 天翼云官方事件源列表 事件总线EventBridge支持的天翼云官方事件源列表如下： 对象存储 云日志服务

本文介绍使用CDN时，当业务异常时，快速判断是否源站问题的方法。 客户已经启用CDN的情况下，意味着客户已经CNAME到天翼云的一级域名，此时直接访问域名，将会直接访问到CDN节点。如果业务发生异常时，要快速确认是否源站问题，有如下两种方式：一是Windows环境通过修改本地HOSTS文件绑定源站IP实现，二是Linux环境下使用curl指令实现。 方式一：Windows环境通过修改本地HOSTS文件绑定源站ip进行测试验证 用户修改本地电脑的HOSTS文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到源站IP，由源站IP进行服务，从而可以通过本地电脑来验证源站的可用性。 方式二：Linux环境使用curl指令进行测试验证 使用curl指令来发起HTTP/HTTPS请求，使用指定参数绑定源站进行测试验证。假设：192.168.1.1为源站IP地址，test.ctyun.cn为加速域名。 源站端口为80时，运行指令：curl voa " x 192.168.1.1:80 源站端口为443时，运行指令：curl voa " resolve test.ctyun.cn:443:192.168.1.1 源站端口为自定义端口时，运行指令：curl voa " x 192.168.1.1:[自定义端口号]

本文介绍如何开启全量日志。 启用WAF全量日志功能后，您可以将攻击日志、访问日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据，通过海量日志数据的分析与处理，可以为您提供一个实时、高效、安全的日志处理能力。LTS默认存储日志的时间为7天，存储时间可以在1～30天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）或者数据接入服务（DIS）中长期保存。 前提条件 已申请WAF。 已添加防护网站。 系统影响 开启全量日志功能是将WAF日志记录到LTS，不影响WAF性能。 将防护日志配置到LTS 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全> Web应用防火墙（独享版）”。 4. 在左侧导航栏，选择“防护事件”，进入“防护事件”页面。 5. 选择“全量日志”页签，开启全量日志，并选择日志组和日志流。 配置全量日志： 全量日志配置参数： 参数 参数说明 取值样例 选择日志组 选择已创建的日志组。 ltsgroupwaf 记录攻击日志 选择已创建的日志流。 攻击日志记录每一个攻击告警信息，包括攻击事件类型、防护动作、攻击源IP等信息。 ltstopicwafattack 记录访问日志 选择已创建的日志流。 访问日志记录每一个HTTP访问的关键信息，包括访问时间、访问客户端IP、访问资源URL等信息。 ltstopicwafaccess 6. 单击“确定”，全量日志配置成功。您可以在LTS管理控制台查看WAF的防护日志。

本节介绍翼加密的创建加密策略的流程，以及相关配置项的说明。 开通翼加密后，通过AI云电脑控制台菜单找到“文件加密”——“加密策略管理”，点击“新建”即可创建加密策略。 加密策略配置项说明如下表所示： 策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

cat /etc/fstab UUID4eb402944c6f4384bbb6b8795bbb1130 / xfs defaults 0 0 UUID2de37c6b264843b4a4f540162154e135 swap swap defaults 0 0 4. 检查是否已安装原生的XEN和KVM驱动。 − 如果引导的虚拟文件系统是initramfs，执行以下命令： lsinitrd /boot/initramfsuname r.img grep uname r grep xen lsinitrd /boot/initramfsuname r.img grep uname r grep virtio − 如果引导的虚拟文件系统是initrd ，执行如下命令： lsinitrd /boot/initrduname r grep uname r grep xen lsinitrd /boot/initrduname r grep uname r grep virtio 如果安装成功，回显将显示已安装的原生XEN和KVM驱动名称。 [root@CTU10000xxxxx home] lsinitrd /boot/initramfsuname r.img grep uname r grep xen rwxrr 1 root root 54888 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/block/xenblkfront.ko rwxrr 1 root root 45664 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/net/xennetfront.ko [root@CTU10000xxxxx home] lsinitrd /boot/initramfsuname r.img grep uname r grep virtio rwxrr 1 root root 23448 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/block/virtioblk.ko rwxrr 1 root root 50704 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/net/virtionet.ko rwxrr 1 root root 28424 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/scsi/virtioscsi.ko drwxrxrx 2 root root 0 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/virtio rwxrr 1 root root 14544 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/virtio/virtio.ko rwxrr 1 root root 21040 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/virtio/virtiopci.ko rwxrr 1 root root 18016 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/virtio/virtioring.ko 5.执行以下命令更新云主机的系统标签 curl ' X POST H "Accept: application/json" d '{"supporthypervisor":["all"]}' w %{httpcode} 回显显示200说明云主机的系统标签已添加成功。 注意 请务必确保云主机配置成功，否则，可能会导致变更规格后的弹性云主机不可用。 步骤4：变更规格 1. 登录控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，查询待变更弹性云主机状态。 如果不是关机状态，单击“操作”列下的“更多 > 关机”。 4. 单击“操作”列下的“更多 > 变更规格”。 系统进入“云主机变更规格”页面。 5. 根据界面提示，选择变更后的云主机类型、vCPU和内存。 6. （可选）选择“专属主机”。 对于在专属主机上创建的弹性云主机，系统支持更换云主机所在的专属主机。 此时，您可以单击下拉列表，选择更换专属主机。如果下拉列表中无可用的专属主机，说明专属主机所剩资源不足，不能用于创建变更规格后的弹性云主机。 7. 勾选复选框“我确认已完成对弹性云主机的配置”，确认已完成“配置弹性云主机”操作。 8. 单击“确定”。 说明 如果变更规格失败后，弹性云主机无法使用，可能会需要重装操作系统来恢复云主机，请注意重装操作系统会清除系统盘数据，但不影响数据盘的数据。 （可选）步骤5：检查磁盘挂载状态 XEN实例变更为KVM实例时，可能会发生磁盘挂载失败的情况，因此，变更规格后，需检查磁盘挂载状态是否正常。如果正常，则变更成功。 Linux弹性云主机 详细操作请参考Linux弹性云主机变更规格后磁盘脱机怎么办？

本章节介绍Web应用防火墙与其他云服务的关系。 与弹性云主机的关系 Web应用防火墙为弹性云主机提供Web安全防护服务。 与云审计的关系 云审计（CloudTrace Service，CTS）记录了Web应用防火墙相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的WAF操作列表： 操作名称 资源类型 事件名称 创建Web应用防火墙防护实例 instance createInstance 删除Web应用防火墙防护实例 instance deleteInstance 更新Web应用防火墙防护实例 instance alterInstanceName 修改Web应用防火墙防护实例的防护状态 instance modifyProtectStatus 修改Web应用防火墙防护实例的接入状态 instance modifyAccessStatus 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy 添加证书 certificate createCertificate 修改证书名称 certificate modifyCertificate 删除证书 certificate deleteCertificate 创建CC规则 policy createCc 修改CC规则 policy modifyCc 删除CC规则 policy deleteCc 创建精准防护规则 policy createCustom 修改精准防护规则 policy modifyCustom 删除精准防护规则 policy deleteCustom 创建IP黑白名单规则 policy createWhiteblackip 修改IP黑白名单规则 policy modifyWhiteblackip 删除IP黑白名单规则 policy deleteWhiteblackip 创建/刷新网页防篡改规则 policy createAntitamper 删除网页防篡改规则 policy deleteAntitamper 创建误报屏蔽规则 policy createIgnore 删除误报屏蔽规则 policy deleteIgnore 创建隐私屏蔽规则 policy createPrivacy 修改隐私屏蔽规则 policy modifyPrivacy 删除隐私屏蔽规则 policy deletePrivacy

约束与限制 导入/导出网络ACL规则时，建议您每次处理少于40条的规则，否则可能会影响性能或导致导入/导出网络ACL规则失败。40条是入方向和入方向规则的总和。 导入规则是基于已有规则的增量导入，不会删除已有规则。 相同规则不允许重复导入。 默认规则不支持导出，您可以导出自定义规则。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏中，选择“访问控制 > 网络ACL”，进入网络ACL列表页面。 4. 在网络ACL列表中，单击网络ACL名称，进入网络ACL详情页。 5. 导出/导入网络ACL规则。单击 “导出规则”，将当前网络ACL规则导出为Excel文件；单击 “导入规则”，将Excel文件中的网络ACL规则导入到当前网络ACL。

1、准备好资源、环境与应用 1.1、资源开通 应用容灾多活是构建在已有应用之上的管控，协同其他云产品，但不负责其他云产品的生命周期，需要您提前规划与创建。 您可以根据规划的物理架构，在指定区域或可用区提前开通与创建应用部署所需的资源与服务，例如虚拟私有云VPC 、微服务云应用平台MSAP 和弹性云主机ECS等。 1.2、网络互通 数据双活架构可能存在跨数据中心调用的场景，需要您提前打通两个数据中心之间的网络。 您可以根据选定的物理架构，选择合适粒度的网络连通方案，例如连通两个区域的云间高速 产品和连通两个VPC的对等连接产品等。 1.3、应用准备 在这个示例中，对应用的部署方式没有强制要求，可以开通弹性云主机ECS实例 自行部署应用服务，也可以开通微服务云应用平台MSAP 进行应用部署管理，本示例使用微服务云应用平台MSAP 。 还需要您开通： 关系型数据库MySQL版 实例，并结合数据传输服务DTS进行业务数据跨中心同步。 微服务引擎注册配置中心用于注册中心和管控通道。 微服务引擎云原生网关用于前端服务转发。 本示例将以上应用进行单元化改造，改造后云上部署架构如下。 图 部署架构

本文介绍公网IPv4或IPv6加入共享带宽的操作指南。 使用说明 仅允许添加同类型的IP地址。 一个公网IP一次仅能加入到一个共享带宽，若要加入到其他共享带宽，则需要先把公网IP在当前的共享带宽移除。 公网IP加入共享带宽后，公网IP原有绑定的独享带宽计费方式不再生效。 如果待加入的IP地址已绑定实例，绑定实例关联的VPC必须与共享带宽所属的VPC一致才允许添加。 共享带宽带宽上限为所有已加入IP地址绑定实例的带宽总和的上限。 前提条件 已购买共享带宽。 已拥有公网IPv4地址或IPv6地址。 共享带宽添加公网IPv4 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，在【共享带宽列表】选择需要操作的地域，选择地址类型为IPv4的共享带宽实例。 3. 单击【添加公网IPv4】，在添加公网IPv4界面，按需要选择一个或多个IP，单击【添加】，即可绑定成功。 4. 共享带宽添加公网IP后，在共享带宽详情会显示绑定的公网IP列表。 共享带宽添加公网IPv6 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，在【共享带宽列表】选择存在共享带宽的地域，选择地址类型为IPv6的共享带宽实例。 3. 单击【添加公网IPv6】，在添加公网IPv6界面，按需要选择一个或多个IP，单击【添加】，即可绑定成功。 4. VPC IPv6地址加入共享带宽后，IPv6地址可提供公网访问，IPv6地址绑定的虚拟机实例支持访问公网。