本章节主要介绍通过添加单个应用服务器、从文件导入应用服务器、添加单个应用发布、从文件导入应用发布，将应用资源纳入云堡垒机进行集中管理。 通过在一台支持远程桌面的Windows系统或者Linux操作系统服务器上，部署客户端软件和浏览器，应用发布是将服务器和应用帐户纳入云堡垒机管理的功能。 用户获取应用发布访问权限后，通过应用帐户的密码自动代填，访问客户端应用和Web应用，并以视频方式全程记录用户运维操作，实现对远程应用帐户的安全管理和用户远程访问应用的操作审计。 云堡垒机支持添加Chrome、Edge、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL Server Tool、dbisql、VNC Client、VSphere Client、Radmin等应用。 约束限制 添加的主机和应用资源数量总和不能超过资产数。 支持对Windows Server2008 R2及以上的Windows系统版本的应用进行管理。 支持对Centos7.9系统的Linux服务器的应用进行管理。 Linux服务器仅支持调用Firefox浏览器应用和达梦管理工具V8。 Linux服务器和堡垒机之间需要开通的端口号：2376和35000~40000，且端口号不可修改。 Linux服务器的密码请联系技术支持获取。 添加应用发布前，需已添加应用服务器。 Edge浏览器应用不支持配置自动登录帐户。 前提条件 已另行购买Windows类型主机或者Linux服务器、镜像、企业授权码、客户端License等资源，用于部署应用发布服务器。 已成功安装应用服务器，详细操作指导请参见： 安装应用发布服务器 。 已获取“应用服务器”和“应用发布”模块管理权限。

添加应用资产 在完成应用服务器添加后，您可添加应用资源至云堡垒机中。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 应用资产”，进入“应用资产”页面。 3. 单击“新增”按钮，弹出“新增应用资产”对话框，并填写相关内容。 参数 填写说明 应用名称 填写应用名称，在同一堡垒机内应用名称不得重复。 应用服务器 先选择浏览器，然后再选择浏览器所属的应用服务器。 浏览器当前仅支持：Chrome、IE、Firefox、SecBrowser。 目标地址 填写正确的应用IP或域名。 说明 若网页地址有对应的端口，则地址为URL:端口号。 资产组 选择新增应用资源所属的资产组。 应用描述 填写应用服务器的简要描述。 4. 填写完成后，单击“提交”即可完成新增应用资源。

此小节介绍云堡垒机与其他云服务的关系。 云堡垒机需要与其他云服务协同工作，与其他云服务的依赖关系如下： 与虚拟私有云的关系 虚拟私有云（Virtual Private Cloud，VPC）为CBH提供虚拟网络环境，用户通过配置安全组、子网、EIP等子服务，方便地管理、配置内部网络。以及通过自定义安全组内访问规则，加强安全保护。 与弹性云主机的关系 弹性云主机（Elastic Cloud Server，ECS）为CBH提供部署环境，同时CBH为ECS上资源提供安全管理服务。 ECS为CBH系统后台提供部署环境，后台采用EulerOS操作系统。 用户通过CBH登录ECS上资源，为弹性云上面的服务器、数据库等资源，提供资产管理、登录身份管理、运维会话审计等功能，加强主机资源运维安全。 与弹性IP的关系 弹性IP（Elastic IP，EIP）为CBH提供独立的IP资源，包括IP地址与出口带宽服务。一个弹性IP只能绑定一个云资源使用。EIP与CBH灵活绑定连接Internet，并支持灵活调整带宽，应对访问流量业务的变化。 与云数据库的关系 用户通过CBH登录天翼云关系型数据库（主要是MySQL、SQL Server两类数据库），为数据库资源提供资产管理、登录身份管理、运维会话审计等功能，加强数据库资源运维安全。

企业主机安全用户手册 天翼云企业主机安全用户指南.pdf

使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 创建对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 创建对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 申请对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

此小节介绍云堡垒机安全设置。 云堡垒机安全设置模块支持您自定义密码强度、账户保护规则。 密码组成：配置用户密码策略，包括配置密码安全强度，密码字符组成。 密码事件：可设置安全登录事件、强制改密时间和首次登录改密。 账号策略：可设置账号空闲事件。 设置密码组成 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“系统设置 > 安全管理”，进入“安全管理”模块。 3.选择密码组成模块，配置密码规则。 设置密码事件 密码事件包含恶意登录事件、密码过期事件、强制改密，用户可根据使用需求对事件进行设置开启或关闭，单击“保存”后生效。 恶意登录事件：根据设置的时间和密码错误次数生效，触发后账号锁定，状态变更为“锁定F”，可联系管理员操作解锁。 密码过期事件：根据设置的有效时间生效，有效时间到期后，触发账号锁定，状态变更为“锁定P”，可联系管理员操作解锁。 强制改密：默认开启，开启强制改密后，用户首次登录堡垒机跳转强制改密界面，强制用户改密后登录。 设置账号事件 账号事件包含账号空闲事件、账号登录事件，您可根据使用需求对事件进行设置开启或关闭，单击“保存”后生效。 账号空闲事件：根据设置的空闲时间生效，距离上一次登录时间达到设置时间后，触发账号锁定，状态变更为“锁定L”，可联系管理员操作解锁。 账号登录事件：根据配置的唯N性值，限制同一账号同时登录数。

此小节介绍云堡垒机的实时会话。 运维人员通过云堡垒机登录资源后，审计管理员将会实时收到会话记录，通过实时会话查看正在进行的运维会话，以免运维违规操作造成损失。 查看实时会话 本小节主要介绍如何查询和查看实时会话。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 实时会话”，进入实时会话列表页面。 实时会话列表 3 查询实时会话。 快速查询 在搜索框中输入关键字，根据资源名称、资源账户、用户、来源IP等快速查询实时会话。 高级搜索 在相应属性搜索框中分别关键字，精确查询实时会话。 高级搜索 4 单击目标实时会话“操作”列的“详情”，进入实时会话详情页面。 查看实时会话 5 可分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等。 监控实时会话 运维人员通过云堡垒机登录资源后，审计管理员将会实时收到会话记录。通过实时会话，可监控正在进行的运维会话，实时监督用户正在进行的操作。 本小节主要介绍如何通过实时会话监控运维操作。

本小节介绍安全专区云堡垒机管理授权方法。 配置方法： 添加授权，点击【运维管理】→【授权】→【新增】，对云堡垒机运维账号、运维资源以及登录运维资源的系统账号进行授权绑定。 用户 用户：运维人员账号。 资源 资源/地址：提供给运维人员的运维资源。 资源账号 资源/地址：运维资源的系统登录账号。 授权添加成功后如下图所示：

本小节介绍安全专区云堡垒机运维账号创建账号方法。 通过安全专区创建“运维人员”账号，运维账号会自动同步到云堡垒机，但需要进行密码修改。 1.点击【运维管理】→【用户】，进行密码编辑。 2.更改“运维人员”账户密码。

MDR容灾架构中的资源哪些是云下用户的，哪些是云上的？ 当前MDR纳管的资源中，部分资源支持由云下用户提供。 天翼云云上资源包括：ECS、ELB、MySQL、Redis等。 可以由云下用户提供，也可以使用云上的资源：ZOS。 MDR多活类型的容灾管理必须配置应用管理的流量配比吗，还是只创建容灾管理就行了？ 如果需要多活容灾场景生效，或业务需求要求在不同的场地或数据中心之间实现负载均衡或流量分配，则必须要配置应用管理的流量配比，不然当前流量无法打入应用的云主机中。 如果策略采用了主备模式，则无需手动配置流量配比。

本节介绍云等保专区产品的定义及架构。 云等保专区是满足等保合规2.0云原生安全合规平台。云等保专区提供安全统一管理、传输安全、计算环境安全等安全合规能力，实现统一管理、统一运营，整体上降低等保建设难度和日常管理运营复杂度。 本产品为满足等保合规，提供一揽子安全原子能力，包括云安全中心、主机安全、Web应用防火墙、下一代防火墙、堡垒机、漏洞扫描、日志审计、数据库审计、数据分类分级、数据脱敏与水印，实现安全原子能力统一管理、统一运营，为用户侧等保合规需求提供便捷下单、自动化部署的能力。 产品架构 如下图所示，云等保专区产品基于天翼云基础设施资源，利用云原生安全技术，融合了堡垒机、Web应用防火墙（WAF）、日志审计、数据库审计、漏洞扫描、防火墙、主机安全、云安全中心，为用户提供一站式等保防护能力。 对于云上租户来说，每个用户的安全能力都是部署在独立的用户VPC中，这样将原子能力最小化的架构能够最大限度地保障用户的数据安全，同时也能满足不同用户的安全防护诉求，用户可基于自己的安全诉求，进行不同安全策略的设置。

本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对云间高速EC服务的访问。 操作步骤 创建用户组和IAM用户 1. 创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2. 创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 创建自定义策略 天翼云提供了访问天翼云云间高速（标准版）资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

新增资产和资产账号 在使用云堡垒机进行运维前，管理员需要将主机资产和主机账号新增到云堡垒机系统中。 操作步骤 1. 管理员登录云堡垒机系统，角色身份切换到“管理角色”。 2. 在左侧导航栏，选择“资产管理 > 资产”，单击左上角的“新增”按钮。 3. 填写资产信息，单击保存提交。 4. 选择资产账号，单击“新增”，填写资产账号信息并勾选相应的访问协议。 说明 资产账号也可通过选择“资产管理 > 资产账号”，新增资产账号。 5. 单击“提交”，完成资产创建。

配置Web控制台端口 Web控制台端口是通过Web浏览器登录云堡垒机的访问端口，默认端口号443。 默认端口修改后，需同时修改实例安全组配置的端口。 本小节主要介绍如何管理系统Web控制台端口。 前提条件 已获取“系统”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统配置 > 端口配置”，进入系统端口配置页面。 3 在“Web控制台端口配置”区域，单击“编辑”，弹出Web控制台端口配置窗口。 4 配置Web浏览器访问端口号，默认端口号443。 5 单击“确定”，返回端口配置页面，重启系统生效配置。 配置SSH控制台端口 SSH控制台端口是通过SSH客户端登录云堡垒机的访问端口，默认端口号22。 默认端口修改后，需同时修改实例安全组配置的端口。 本小节主要介绍如何管理系统SSH控制台端口。 前提条件 已获取“系统”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统配置 > 端口配置”，进入系统端口配置页面。 3 在“SSH控制台端口配置”区域，单击“编辑”，弹出SSH控制台端口配置窗口。 配置SSH客户端访问端口号，默认端口号22。 4 单击“确定”，返回端口配置页面，重启系统生效配置。 外发配置

此小节介绍使用Web浏览器登录云堡垒机。 云堡垒机基于Web浏览器登录系统的方式，可通过各大主流浏览器登录，并可使用系统管理和资源运维功能。建议系统管理员admin或管理员使用Web浏览器登录进行系统管理和授权审计。 支持的登录方式包括静态密码、手机短信、手机令牌、USBKey、动态令牌等。 前提条件 已绑定弹性公网IP。 操作步骤 1 启动浏览器，在Web地址栏中输入系统登录地址，进入系统登录页面。 登录地址： 。例如， 2 选择登录方式。 3 按选择的登录方式，依次填入登录名、静态密码、动态验证码等信息。 详情请分别参见如下说明。 使用静态密码登录 1 选择“密码登录”方式。 2 依次输入用户登录名、帐户登录密码。 3 单击“登录”，验证通过后即可登录系统。 静态密码登录 使用手机短信登录 手机号码需能正常接收短信。 1 选择“手机短信”方式。 2 依次输入用户登录名、帐户登录密码。 3 单击“获取验证码”，收到短信消息后，输入6位OTP口令。 4 单击“登录”，验证通过后即可登录系统。 手机短信登录 使用手机令牌登录 手机时间必须与云堡垒机系统时间一致，精确到秒。 云堡垒机的手机令牌小程序是存储在小程序的缓存之中，手机后台可能会误清除小程序缓存，导致用户手机令牌消失。 建议您保存申请手机令牌时的二维码图片，万一出现上述情况再次扫描即可。 1 选择“手机令牌”方式。 2 依次输入用户登录名、帐户登录密码。 3 打开手机令牌客户端，获取动态口令，输入6位OTP口令。 4 单击“登录”，验证通过后即可登录系统。 使用USBKey登录 1 选择“USBKey”方式。 2 接入USBKey，自动识别已签发USBKey。 3 输入PIN码。 4 单击“登录”，验证通过后即可登录系统。

此小节介绍云堡垒机安全设置。 云堡垒机安全设置模块支持您自定义密码强度、账户保护规则。 密码组成：配置用户密码策略，包括配置密码安全强度，密码字符组成。 密码事件：可设置安全登录事件、强制改密时间和首次登录改密。 账号策略：可设置账号空闲事件。 设置密码组成 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“系统设置 > 安全管理”，进入“安全管理”模块。 3. 选择密码组成模块，配置密码规则。 设置密码事件 密码事件包含恶意登录事件、密码过期事件、强制改密，用户可根据使用需求对事件进行设置开启或关闭，单击“保存”后生效。 恶意登录事件：根据设置的时间和密码错误次数生效，触发后账号锁定，状态变更为“锁定F”，可联系管理员操作解锁。 密码过期事件：根据设置的有效时间生效，有效时间到期后，触发账号锁定，状态变更为“锁定P”，可联系管理员操作解锁。 强制改密：默认开启，开启强制改密后，用户首次登录堡垒机跳转强制改密界面，强制用户改密后登录。 设置账号事件 账号事件包含账号空闲事件、账号登录事件，您可根据使用需求对事件进行设置开启或关闭，单击“保存”后生效。 账号空闲事件：根据设置的空闲时间生效，距离上一次登录时间达到设置时间后，触发账号锁定，状态变更为“锁定L”，可联系管理员操作解锁。 账号登录事件：根据配置的唯N性值，限制同一账号同时登录数。

此小节介绍云堡垒机登录日志。 登录日志里admin可查看所有用户在登录堡垒机的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 操作步骤 1.管理员登录并切换至审计角色，在左侧导航栏选择“系统日志 > 登录日志审计”，审计范围包括登录成功与登录失败（密码错误、账号不存在等）的情况。 2.单击详情，可查看用户登录系统后访问资产的信息。 3.单击某条资产访问的详情，从更多维度展示该次访问会话的信息。

本文汇总了云专线服务在使用过程之中会遇到的概念类问题。 天翼云云专线与云间高速有什么区别？ 天翼云云专线和云间高速都是中国电信天翼云推出的云计算网络服务，用于连接用户的本地网络与天翼云的数据中心，提供稳定、高速的连接，以满足企业和个人在云计算环境下的网络连接需求，两者在连接方式，路由配置等都有较大区别，具体区别请您见下表： 区别项 云专线 云间高速 概念 云专线是一种通过私有连接，将用户本地数据中心与云端的数据中心直接连接起来的服务。 云间高速是云厂商为用户提供的一种高速互联网连接服务，使用户可以通过公共互联网连接到云端的数据中心。 连接方式 天翼云云专线服务是由物理专线实现连接的，具有较高的带宽、低延迟和更可靠的连接。 通常是通过虚拟专线或优化的网络路由实现的，以提供较快的数据传输速度和相对较低的延迟。 路由配置 专线网关作为客户站点和天翼云VPC之间的虚拟路由转发设备，实现端到端的路由配置，一端绑定物理专线，一端与客户站点需要访问的VPC直连。 在云间高速中，云网关通过配置在其上的路由表进行多点互联流量转发，每个云网关包含一张默认路由表，支持创建自定义路由表，并支持通过路由表关联转发和路由学习功能定义互通、隔离，满足网络多样化的需求。 带宽配置 在配置物理专线时，可以指定带宽，实现点到点购买。 购买云间高速时，同时需要购买各个跨域网络实例的互通网络带宽，所有的跨域互通网络实例使用的带宽总和即为带宽包。 适用场景 云专线可以提供更好的隐私和安全性，适用于需要大量数据传输和对网络连接稳定性要求较高的企业。 云间高速适用于需要与云服务提供商快速连接的任务，如数据备份、应用程序部署等。

客户端登录配置 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3. 在“客户端登录配置”区域，单击“编辑”，弹出客户端登录配置窗口，根据界面提示配置系统客户端登录参数。 参数 说明 :: 登录超时 用户登录SSH客户端后，无操作退出登录的限定时间。 默认超时时间为30分钟。 取值范围为1～43200，单位为分钟。 SSH公钥登录 选择开启或关闭SSH公钥登录，默认。 SSH密码登录 选择开启或关闭SSH密码登录，默认。 若同时开启了“公钥登录”和“密码登录”，优先验证公钥登录方式。 4. 单击“确定”，返回安全配置管理页面，查看当前系统客户端登录配置。 更新系统Web证书 云堡垒机Web证书是验证系统网站身份和安全的SSL（Secure Sockets Layer）证书，遵守SSL协议的服务器数字证书，并由受信任的根证书颁发机构颁发。 云堡垒机系统默认配置安全的自签发证书，但受限于自签发证书的认证保护范围和认证保护时间，用户可替换证书。 本小节主要介绍在证书过期或安全扫描不通过时，用户如何更新证书，确保CBH系统安全。 前提条件 已获取证书，并下载签发证书。 上传证书绑定的域名已解析到绑定云堡垒机实例的弹性公网IP。 用户已获取“系统”模块管理权限。

此小节介绍云堡垒机的管理登录手机令牌。 云堡垒机系统支持通过绑定手机令牌对用户登录进行多因子身份认证，用户配置“手机令牌”多因子认证后，需同时输入用户密码和6位手机令牌验证码，才能登录云堡垒机系统。 目前云堡垒机系统可选择两种手机令牌绑定方式“内置手机令牌”和“RADIUS手机令牌”。 内置手机令牌：微信小程序手机令牌； RADIUS手机令牌：APP版手机令牌Google Authenticator和FreeOTP。 需确保系统时间与手机时间一致，精确到秒，否则可能提示绑定失败。 绑定失败后，修改系统时间与手机时间一致，刷新页面重新生成二维码，重新绑定手机令牌。 本小节主要介绍如何绑定和解绑手机令牌。 绑定手机令牌 1. 登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面 3. 选择“手机令牌”页签，进入个人手机令牌管理页面。 4. 按照界面提示和实际令牌类型，执行绑定操作。 1. 微信小程序手机令牌：打开手机微信，依次按照操作指导，获取绑定动态口令，输入6位“动态密码”，验证通过绑定手机令牌。 2. APP版手机令牌：打开已安装好的手机令牌APP，扫描页面操作指导步骤2的二维码，获取绑定动态口令，输入6位“动态密码”，验证通过绑定手机令牌。 5. “手机令牌”页签更新为已绑定手机令牌页面

您可以通过包年包月计费提前预留资源,同时享受比按量计费更大的价格优惠。 订购方式 天翼云云间高速（标准版）产品采用包年包月方式订购。 云企业路由器产品采用按量计费的方式。 计费周期：按订单购买周期结算。 变更 可以根据业务需求，对已经订购的带宽包的带宽，进行升降操作。 续订 用户想要延长带宽包使用时间，可以续订带宽包。 退订 用户不再使用带宽包，可以退订带宽包。 带宽包仅在未绑定云间高速（标准版）且未到期的情况下支持退订。 计费方式变更 暂不支持计费方式变更。 到期与欠费 云间高速（标准版）带宽包到期欠费后，控制台会保留该条记录，同时限制该带宽包速率为1Kbps及以下。

新建资源标签 云堡垒机系统每个用户可自定义资源标签，资源标签仅能个人帐户使用，不能被CBH系统内用户共用。 您可以在创建主机或应用资源时添加标签，也可以在资源创建完成后，在资源或运维列表的详情页添加标签。一个主机或应用默认最大拥有10个标签。 通过云堡垒机纳管主机资源或通过云堡垒机纳管应用服务器可直接配置“标签”参数。本小节主要介绍资源创建完成后，在资源或运维管理页面添加标签，以“主机管理”为操作示例。 前提条件 已获取“主机管理”、“应用发布”、“主机运维”或“应用运维”功能模块权限。 添加标签 1 登录云堡垒机系统。 2 选择“资源 > 主机管理”，进入主机管理列表页面。 3 选择需添加标签主机资源，单击“添加标签”，弹出“添加标签”窗口。 4 输入需自定义标签内容，并按“Enter”创建标签，或在“标签”下拉框选择已创建标签。 5 单击“确定”，返回主机资源管理页面或主机运维管理页面，可查看该主机资源的新建标签。 6 标签添加成功后，可在资源管理列表页的“标签”列，单击下拉框，通过选择设定的标签来检索资源。 删除资源标签 本章节指导您如何删除资源标签。 约束限制 “删除标签”将去除所选资源上的所有标签。 当创建标签不被任何资源使用时，将会自动被删除。 前提条件 已获取“主机管理”、“应用发布”、“主机运维”或“应用运维”功能模块权限。 操作步骤 已添加标签的资源，可对标签进行删除操作，以“主机管理”为操作示例。 1 登录云堡垒机系统。 2 选择“资源 > 主机管理”，进入主机管理列表页面。 主机管理列表页面 3 选择需删除标签主机资源，单击“删除标签”，确认删除提示信息，将删除该主机资源所有标签。 4 返回主机资源管理页面或主机运维管理页面，查看该主机资源标签已被删除。 说明 主机或应用资源标签的单个删除，还可单击主机或应用资源列表的“管理”，在资源基本信息编辑页面，对已有标签单个删除。 自定义系统类型 云堡垒机能管理资源系统类型，并可自定义系统类型。 默认支持14种系统类型。

此小节介绍数据库运维高危操作的复核审批。 云堡垒机支持通过执行命令运维数据库，包括数据删除、修改、查看等运维操作。为确保数据库敏感信息的安全，避免关键信息的丢失和泄露，本文针对运维用户访问和运维数据库关键信息，详细介绍了如何设置数据库高危操作的复核审批，以及如何实现关键信息的重点监控。 本文以管理员adminA 授权运维用户 UserA ，针对MySQL数据库资源RDSA高危操作的二次授权为例。 应用场景 云堡垒机（CloudBastion Host，CBH），通过设置数据库控制策略，设置预置命令执行策略，动态识别并拦截高危命令（包括删库、修改关键信息、查看敏感信息等），中断数据库运维会话。同时自动生成数据库授权工单，发送给管理员进行二次审批授权。只有管理员审批工单授权执行操作后，运维用户才能执行该高危操作，继续数据库运维会话。 约束限制 目前仅支持二次审核MySQL或Oracle数据库的执行命令。 前提条件 云堡垒机所在已放开相应数据库访问端口，数据库与云堡垒机之间网络连接畅通。 资源RDSA已被纳管为主机运维方式资源。 运维用户UserA 已获取资源RDSA的访问控制权限。 配置二次审核策略 为实现高危操作的复核审批，需在“数据库控制策略”中预置命令规则，并开启“动态授权”执行方式。 步骤 1 adminA登录云堡垒机系统。 步骤 2 选择“策略 > 数据库控制策略”，进入数据库控制策略页面。 步骤 3 配置数据库规则集，选择预置高危操作命令。 1. 选择“规则集”页签。 2. 单击“新建”，创建一个MySQL数据库的规则集。以新建DBtest规则集为例。 3. 单击“添加规则”，在DBtest 规则集中添加“库”、“表”或“命令”规则。以添加DELETE删除表内容的命令为例。 说明 “命令”为必填项，至少需选择一个命令，可同时选择多个命令； 设置“库”或“表”，表示对数据库中库或表操作的命令限制； 未设置“库”或“表”，表示对数据库中全部操作的命令限制。

此小节介绍资产运维。 在您配置好运维设置后，并且已经成功新增资产和授予访问权限后。可在“资产访问”模块，运维已授权访问的资产。 访问字符资产 1.使用访问用户登录云堡垒机（原生版）。 2.在左侧导航栏选择“资产访问”，在“资产访问”页面选择“字符”页签。 3.选择需要访问资产，在右侧选择相关内容后，单击需要使用的访问协议即可登录。 说明 资产账号可在管理员添加资产时同步添加。 访问图形资产 1.使用访问用户登录云堡垒机（原生版）。 2.在左侧导航栏选择“资产访问”，在“资产访问”页面选择“图形”页签。 3.选择需要访问资产，在右侧选择相关内容后，单击需要使用的访问协议即可登录。 使用文件传输 1.使用访问用户登录云堡垒机（原生版）。 2.在左侧导航栏选择“资产访问”，在“资产访问”页面选择“文件传输”页签。 3.选择需要访问资产，在右侧选择相关内容后，单击需要使用的访问协议即可登录。

本文介绍分布式容器云平台的入门指引。 分布式容器云平台旨在帮助用户解决跨区域、跨地域和跨云容器集群的管理难题，为用户提供一致的管理体验，提升用户的管理效率，降低运维成本，提高系统的稳定性和可靠性。 天翼云集群注册 支持一键关联专有版、托管版、智算版及Serverless版等天翼云云容器引擎集群，并且支持跨资源池关联。 三方云集群注册 纳管三方公有云上的 Kubernetes 集群，如阿里云(ACK)、腾讯云(TKE)、GCP (GKE)、AWS(EKS)等。 本地集群注册 纳管本地满足CNCF标准的IDC自建或私有云上的 Kubernetes 集群。

等保级别 套餐型号 套餐安全功能特性 可选安全组件及规格 二级等保 入门版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 二级等保 入门版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 二级等保 入门版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 二级等保 入门版 安全管理中心 二级等保 基础版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 二级等保 基础版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 二级等保 基础版 终端安全EDR（防病毒/补丁/基线/微隔离） 终端安全EDR：实际资产数 二级等保 基础版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 二级等保 基础版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 二级等保 基础版 安全管理中心 三级等保 高级版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 三级等保 高级版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 三级等保 高级版 终端安全EDR（防病毒/补丁/基线/微隔离） 终端安全EDR：实际资产数 三级等保 高级版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 三级等保 高级版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 三级等保 高级版 安全管理中心 三级等保 高级版 云数据库审计 云数据库审计：100M/200M/400M/600M 三级等保 旗舰版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 三级等保 旗舰版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 三级等保 旗舰版 终端安全EDR（防病毒/补丁/基线微隔离） 终端安全EDR：实际资产数 三级等保 旗舰版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 三级等保 旗舰版 主机漏扫 安全管理中心高级版：10/20/50/100/200/300/500资产 三级等保 旗舰版 应用漏扫 三级等保 旗舰版 安全管理中心 三级等保 旗舰版 云数据库审计 云数据库审计：100M/200M/400M/600M

产品概述 天翼云云助手（CTCA， Cloud Assistant）是专门为云服务器打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat、Python等），完成运行自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。 产品优势 批量执行命令 通过云助手，您能够以安全可靠的方式远程管理大规模的实例，无需登录服务器、使用堡垒主机或 SSH。 提供集成工具 云助手可作为运维部署工具，免费支持 API，可供集成。 查询历史记录 通过云助手执行的操作系统脚本命令，您可以查询到其历史记录信息。 实现自动化 您可以预先创建常用的操作命令，并通过云助手高效完成您的日常任务。例如：注册表编辑、用户管理、软件和补丁安装等。 应用场景 当您涉及以下业务场景时，可通过云助手快速实现需求： 上传并运行自动化运维脚本。 执行常见操作任务。 运行已保存的脚本。 批量安装软件或应用。 安装补丁或安全更新。 上传文件或证书到指定目录。 使用限制 云助手具备以下限制项： 2024年6月30日之后使用公共镜像创建的实例，默认已预装云助手客户端。若您的实例于2024年6月30日前购买，请参考 安装云助手客户端 进行安装。 单次执行命令实例数量上限为100。 云助手仅保存最近三个月的命令执行历史记录，且记录数量最大保存10万条。 创建的Bat、PowerShell、Python或者Shell脚本和自定义参数的使用场景与文件大小说明如下： 1. 上传文件：文件大小不能超过24 KB。 2. 创建命令：命令大小不能超过24 KB。

本文为您介绍如何使用自建Beats向天翼云云搜索服务Elasticsearch实例导入数据。 Beats是轻量级的数据收集器，专门用于将各种日志、指标、网络数据发送到Elasticsearch。常用的Beats包括 Filebeat、Metricbeat、Packetbeat等。 Filebeat是一种轻量级日志收集器，通常用于将文件系统中的日志文件或事件日志发送到Elasticsearch或Logstash。它适合简单的日志采集场景，能够有效处理系统、应用程序日志等。本文将以Filebeat为例，导入数据至Elasticsearch实例。 适用场景 轻量数据收集：适用于需要从大量分布式系统、服务器、容器中收集日志、监控指标等情况。 实时日志监控：Beats 能够实时收集日志并传送到 Elasticsearch，是实时日志分析场景的理想选择。 低延迟要求的场景：Beats设计为轻量级工具，占用资源少，适合资源受限的环境。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 已经部署Filebeat且打通和Elasticsearch实例之间的网络。 Filebeat配置 Filebeat采集日志，需要配置Filebeat的配置文件，设置具体需要采集的日志路径。 具体根据实际的部署路径配置filebeat.yml。 采集日志 filebeat.inputs: type: log 采集的日志文件的路径。替换为自己日志的路径，可以使用通配符。 paths: /yourpath/.log output.elasticsearch: ip替换为Elasticsearch实例的地址。 hosts: [" 传入Elasticsearch实例的用户名和密码 username: "" password: ""

监控云主机 您可以使用天翼云云监控产品来监控您的弹性云主机，云监控支持自动实时监控、告警配置和告警通知，让您更好地掌握弹性云主机的运行状态和各项性能指标。 指标监控：对弹性云主机的各项运行指标进行实时监控。还可以查询历史的监控指标情况。 监控告警：通过配置告警规则，在指标发生异常的第一时间对您进行提醒。及时发现问题并处理，可以有效保障部署在的弹性云主机上的服务持续可用。 更多内容请参见云监控。 备份云主机 您可以通过天翼云云主机备份产品和云硬盘备份产品，对弹性云主机上的数据进行备份，当云主机或主机上的云硬盘出现故障，或者软件造成的数据丢失损坏以及人为错误导致的数据误删时，您可以借助备份功能自助快速恢复数据。 云主机备份 云主机备份（CTCSBS，Cloud Server Backup Service）提供对弹性云主机的备份保护服务，支持基于云硬盘快照技术的备份服务，并支持利用备份数据恢复弹性云主机数据。通过云主机备份服务，可以在发生数据丢失、系统故障、人为错误或恶意攻击等情况下，还原云主机数据，确保业务的连续性和数据的安全性。 更多内容请参见云主机备份。

请参见天翼云企业主机安全服务等级协议。