本小节介绍云下一代防火墙双向访问控制最佳实践。 背景信息 云下一代防火墙作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需整理按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址； 访问互联网业务是否存在限制，是否需要记录上网行为审计； 对外发布业务云主机信息，内网IP及对应公网IP； 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 配置操作 云计算边界扩展要求针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1） 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》 2） 访问互联网业务是否存在限制，是否需要记录上网行为审计； 3） 对外发布业务云主机信息，内网IP及对应公网IP； 4） 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 5） 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 6） 是否有WAF/CDN业务访问，提供源站白名单 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置登录云墙【网络】→【接口】→【接口配置】，详细配置参考配置网络接口属性 3 配置基础准备环境 按需配置对象薄、地址薄等信息登录云墙，【对象】→【服务薄】/【地址薄】，详细配置参考配置服务对象薄 4 配置出向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【源NAT】，详细配置参考配置出站NAT策略 5 配置入向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【目的NAT】，详细配置参考配置入站NAT策略 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】，详细配置参考配置出站路由和配置平台默认路由 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

本章节介绍应用服务网格CSM产品优势 开源增强 100% 兼容istio服务网格，并在开源基础上做了功能增强，提供了丰富的流量治理和安全管控能力；无缝对接天翼云容器引擎，支持多集群统一治理。 流量治理 支持基于istio CRD资源的流量治理；基于开源扩展了本地限流功能以及流量打标和全链路灰度能力。 安全 一键开启mTLS安全链路，支持丰富的请求认证和授权策略；一键集成外部授权服务和OPA策略引擎，提供更加丰富和灵活的安全管控策略。 无侵入 提供基于webhook的sidecar注入能力，sidecar自动拦截业务流量实现丰富的服务治理能力，无需修改任何业务代码。 优化能力 具备Sidecar资源定义、服务发现范围以及自适应配置分发能力，满足多样的网格优化需求。

本节介绍安全与加速服务的安全报表模块,支持查看六个月内、最长时间跨度为一个月的已防护域名的安全报表。主要内容包括Web安全报表、DDoS安全报表、CC安全报表以及BOT安全报表,您可以在这里查看实时或历史的攻击防护情况。 Web安全报表 Web安全报表模块为用户统计Web安全相关的分析与统计，用户可在查询栏，指定要分析的域名及时间范围。 统计模块主要包括： 统计模块 说明 总请求数 统计已接入域名的业务总请求数 Web攻击次数 统计攻击命中Web安全防护策略的请求次数 拦截次数 统计攻击命中Web安全防护策略且处置动作为拦截的请求次数 攻击源个数 统计攻击源IP的个数 攻击网站数 统计受攻击的网站个数 Web攻防趋势 支持查看总请求数、总攻击次数、拦截次数、告警次数的访问趋势，并支持选择时间粒度为5分钟、1小时、1天，默认时间粒度为5分钟 攻击类型分布 支持查看域名遭受的攻击类型占比与攻击次数，并支持选择攻击类型，查看域名受到该类型的攻击次数排行 攻击IP 支持查看发起攻击次数最多的源IP排行，支持获取攻击IP、IP归属地、攻击次数、占比等字段信息 受攻击情况 支持查看受到攻击次数最多的域名及URL排行情况，支持获取域名/URL、受攻击次数、占比等字段信息 全国攻击分布 支持查看全国的攻击分布情况，不同颜色代表不同范围的攻击次数。并支持查看攻击地区排行情况

本节主要介绍开通专属云容器引擎 专属云容器引擎服务的开通方法及流程： 1、开通专属云容器引擎服务需首先开通专属云服务，请确保您已开通天翼云的专属云服务； 2、天翼云网门户首页上部，在“天翼云官网首页，“产品 > 专属云”中，单击“专属云（计算独享型）”； 3、在产品详情页面中，单击“申请开通”，在申请页面查看申请流程。请与您的专属客户经理确定您的开通需求，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询。

如您选择使用云点播原生接口接入（推荐）： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【原生密钥】，即可获取AK/SK，作为调用云点播原生接口的凭证使用。

本文介绍AOne于在线教育场景的最佳实践。 背景信息 在在线教育场景中，AOne安全与加速服务的最佳实践旨在提供全面的安全防护和性能优化，为在线教育平台和学习者提供稳定、高效、安全的学习环境。随着在线教育的迅速发展，越来越多的学生和教育机构转向在线学习，但在线教育也面临一系列挑战，包括网络安全威胁、带宽需求、延迟问题以及高并发等。 天翼云边缘安全加速平台AOne基于全球部署的1800+边缘节点，帮助在线教育平台和学习者克服网络安全、带宽、延迟和高并发等挑战，提供更加安全、高效和稳定的学习环境。 技术架构 应用场景 学习内容加速传输 业务挑战：在线教育平台通常提供大量的学习内容，包括视频、课件、教材等，这些内容需要快速传输到学习者的设备上。然而，由于网络延迟和带宽限制，学习内容可能加载缓慢，影响学习体验。 方案优势：通过内容分发网络（CDN）加速技术，AOne在全球各地部署服务器节点，将学习内容缓存在离学习者最近的节点上。这样可以大大减少学习内容的加载时间，提高传输速度，优化学习体验。

本节介绍了弹性云主机欠费、到期后的相关内容。 在弹性云主机资源将要到期或欠费时，天翼云会以邮件的方式通知客户，如用户需继续使用，则可联系客户经理执行续费操作或自行在控制台进行续订。如果用户未执行续费操作，天翼云将发送资源超期提醒邮件，并在之后释放弹性云主机资源。 从包周期云主机到期或按需用户发生欠费时算起，云主机将进入15天保留期，超过保留期后，云主机将被删除回收，云主机删除后用户数据不可恢复。

本文介绍CC安全报表所展示的数据。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过CC攻击报表查询CC攻击防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【安全报表】【CC安全报表】页面。 查询功能 您可以在CC安全报表头部指定您要查询的域名、时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 报表内容： 说明 卡片栏 展示CC攻击事件数、CC攻击峰值、峰值取值时间、遭受CC攻击的网站数量。 攻击区域分布 国内攻击来源城市分布，按照攻击次数的范围展示为不同的颜色。 威胁事件排序情况：按照攻击次数的从多到少，将攻击来源区域进行TOP10排序，并计算不同攻击来源区域的占比。 攻击趋势 展示被攻击域名的QPS趋势图。 TOP攻击域名 按照请求数从多到少，展示被攻击域名的TOP10排序，并计算请求数的占比。 TOP URL排名 按照请求数从多到少，展示被攻击URL的TOP10排序，并计算请求数的占比。 TOP攻击IP 按照请求数从多到少，展示TOP攻击源IP，并展示其请求次数、区域及运营商。

本文介绍全站加速资源包的选购指导。 当前天翼云全站加速产品可订购的资源包包括流量包、静态https请求包、动态请求包、上传加速流量包、websocket流量包。 全站加速支持订购面向中国内地和全球（不含中国内地）的资源包，客户可按实际业务需求选购额度匹配的规格。 选购案例 客户是金融行业，需要对其官网做加速，以解决其官网访问卡顿、接口响应慢的问题。 应用场景：静态图片、文字以及动态接口类。 加速区域：中国内地。 客户诉求：无上传、websocket需求。网站使用量相对变化不大，希望购买足额资源包方式，不希望使用按量付费方式。 业务资源消耗的预估如下： 业务使用明细 业务额度评估 全站加速下行流量 下行流量：约16.6TB/月 静态https请求数 静态https请求数：约15000万次/月 动态请求数 动态https请求数+动态http请求数约：120万次/月 资源包选购分析 如下为全站加速（中国内地）资源包对应的规格和标准资费。 计费项 阶梯/规格 标准资费（元/个） 有效期 流量包 100GB 17 一年 流量包 500GB 85 一年 流量包 1TB 170 一年 流量包 5TB 850 一年 流量包 10TB 1700 一年 流量包 50TB 7650 一年 流量包 200TB 25500 一年 流量包 1PB 127500 一年 静态https请求包 1000万次 40 一年 静态https请求包 1亿次 360 一年 静态https请求包 10亿次 3200 一年 静态https请求包 100亿次 28000 一年 静态https请求包 1000亿次 200000 一年 动态请求包 100万次 13 一年 动态请求包 1000万次 128 一年 动态请求包 1亿次 1275 一年 动态请求包 10亿次 12500 一年 动态请求包 100亿次 120000 一年 根据客户业务额度预估的下行流量约200TB/年，静态https请求数约180000万次/年，动态请求数约1440万次/年。 流量包订购参考：订购1个200TB的下行流量包，标准价格为25500元。 静态请求包订购参考： 订购18个10000万次的静态https请求包，总计标准价格为18x3606480元。 订购2个100000万次的静态https请求包，总计标准价格为2x32006400元。 订购1个100000万次的静态https请求包，8个10000万次的静态https请求数包，总计标准价格为1x3200+8x3606080元。 动态请求包订购参考： 订购2个1000万次的动态请求包，总计标准价格为2x128256元。 订购1个1000万次的动态请求包，5个100万次的动态请求包，总计标准价格为1x128+5x13193元。

本文将介绍针对命中安全能力防护策略产生的攻击日志。 当安全与加速检测存在安全威胁时将实时进行告警，您可通过对应防护日志进行查询处置情况。 操作步骤 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择运营管理>日志服务>安全攻击日志。 3. 安全防护日志的记录范围为：命中安全与加速服务中Web攻击、Bot攻击、API攻击、CC攻击、访问控制、频率控制策略的攻击请求。 4. 可针对需求进行查询相关日志情况。 注意 需开通安全与加速服务，已开启对应安全能力并产生攻击请求时才可查看到相应防护数据。 最多支持查询或导出180天数据，若有长时间导出日志需求，可 。 字段说明 字段 字段说明 攻击时间 攻击请求发生的时间 请求方式 客户端的请求方法 URI 请求的URI REQUESTURI 请求的URI（包含问号（？）后面的部分） 攻击ID 攻击请求命中的防护规则ID 攻击IP 发起请求的客户端IP 源端口 发起请求的客户端源端口 域名 攻击的目标域名 攻击类型 发生安全事件详细的攻击类型 状态码 响应的状态码 处理动作 即针对攻击请求作出的处理动作，通常为告警、拦截、丢弃等，具体依照安全策略配置而定 攻击详情 点击序号左侧的展开按钮，能够查看攻击客户端IP的详细属性，比如地域归属、UA等

使用场景 大模型API提供了接口以便用户更好地进行DeepSeek管理和应用开发。用户在开通天翼云DeepSeek云主机后，利用Open WebUI API即可实现对外提供API调用，同时也可以非常方便的实现外部大模型API接入使用。 本教程使用的GPU云主机规格如下所示，用于部署DeepSeekr1:7b模型，配置仅供参考。 plaintext cpu 16核  内存 64G GPU: NVIDIA A101 (24GB) 如需体验其它模型版本，请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云自定义部署DeepSeek步骤二：规格选型，选择合适的云主机。 准备 参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云快速体验DeepSeek ，准备相关设备及模型资源。 认证 OpenWebUI 使用Bearer Token认证保证客户端请求的合法性，其Token为API Key中JWT令牌(Json Web Token)。获取API key方式如下： 1. 登录Open WebUI。 2. 选择设置>账户，选择获取或者新建API KEY。

本文为您介绍什么是资源编排ROS。 资源编排ROS（ROS，Resource Orchestration Service）是基于Terraform（HCL + Provider）的新一代云资源全生命周期管理平台，您只需通过结构化模板集中定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等），即可自动、安全、高效地实现“一键创建与管理”云资源。借助 Terraform 的底层引擎能力，ROS 能够自动解析资源依赖关系、校验配置合规性，并通过预置的安全策略规避权限风险与配置冲突，最终实现从资源创建、关联配置到后期扩缩容、版本迭代的 “一键化” 操作。 资源编排ROS聚焦自动化批量创建云资源场景，全面践行“基础设施即代码”理念，帮助用户大幅降低人工操作失误率，同时支持资源的批量管理与自动化运维，让企业在复杂云架构下也能轻松实现资源的高效调度与精益化管理，助力用户高效、安全、一致性交付和运维天翼云服务。 为什么选择资源编排ROS 资源编排ROS可以帮助您高效、安全、轻松地管理一组资源。 强大的Terraform生态：完全兼容Terraform，确保您的现有资源栈无缝迁移。 极简自动化部署：通过模板化编排和自动化引擎，您只需“一次设计”即可“多次部署”。 安全合规：内置评估审核与合规性校验，让变更可知、可控、可追溯。 成本优化：模板可一键复用，变更前可预测资源与费用变更，助力企业降本增效。 友好交互： 企业级可视化交互和丰富API接口。

本文为您介绍什么是资源编排ROS。 资源编排ROS（ROS，Resource Orchestration Service）是基于Terraform（HCL + Provider）的新一代云资源全生命周期管理平台，您只需通过结构化模板集中定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等），即可自动、安全、高效地实现“一键创建与管理”云资源。借助 Terraform 的底层引擎能力，ROS 能够自动解析资源依赖关系、校验配置合规性，并通过预置的安全策略规避权限风险与配置冲突，最终实现从资源创建、关联配置到后期扩缩容、版本迭代的 “一键化” 操作。 资源编排ROS聚焦自动化批量创建云资源场景，全面践行“基础设施即代码”理念，帮助用户大幅降低人工操作失误率，同时支持资源的批量管理与自动化运维，让企业在复杂云架构下也能轻松实现资源的高效调度与精益化管理，助力用户高效、安全、一致性交付和运维天翼云服务。 为什么选择资源编排ROS 资源编排ROS可以帮助您高效、安全、轻松地管理一组资源。 强大的Terraform生态：完全兼容Terraform，确保您的现有资源栈无缝迁移。 极简自动化部署：通过模板化编排和自动化引擎，您只需“一次设计”即可“多次部署”。 安全合规：内置评估审核与合规性校验，让变更可知、可控、可追溯。 成本优化：模板可一键复用，变更前可预测资源与费用变更，助力企业降本增效。 友好交互： 企业级可视化交互和丰富API接口。

本小节介绍安全专区云堡垒机运维账号创建账号方法。 通过安全专区创建“运维人员”账号，运维账号会自动同步到云堡垒机，但需要进行密码修改。 1.点击【运维管理】→【用户】，进行密码编辑。 2.更改“运维人员”账户密码。

本文为您介绍Web应用防火墙客户控制台【态势感知】的开启条件以及操作步骤。 功能介绍 客户如果购买了态势感知大屏服务，可以在控制台查看实时的安全态势感知服务。安全态势感知服务根据客户维度，实时展示客户业务整体的攻击情况，主要包括：攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通Web应用防火墙（边缘云版）扩展服务可视化大屏服务，支持使用态势感知，具体请见可视化大屏服务 操作步骤 登录Web应用防火墙（边缘云版）控制台 在左侧导航栏中选择【态势感知】，浏览器将跳转至新页面，为您展示目前已接入域名的安全态势

本文主要介绍账号注册相关的常见问题。 一个手机号能注册几个天翼云账号？ 一个手机号最多可注册5个天翼云账号（含已注销3个月内的账号），超出则不再支持注册新的天翼云账号。 无法使用海外（含港澳台）手机号注册天翼云账号？ 目前不支持用海外（港澳台）手机号注册。 通过手机号注册的账号如何使用账号登录？ 通过短信登录账号后，在“账号中心>安全设置”页面选择登录密码修改，可设置新密码。使用“账号中心>基本信息”的登录名及新设置的密码，即可使用账密方式登录。 手机号和邮箱均不再用，如何修改账号信息？ 如果手机号或邮箱都无法验证身份， 可以进入工单页面，提交工单处理。 （1）请在工单中上传如下材料： 提交“授权天翼云协助修改手机号/邮箱”的授权委托书，写明日期，加盖公章。（模板：授权天翼云协助修改手机号:邮箱.docx） 企业客户 法定代表人与被授权人所需材料任选一种上传即可。 法定代表人：企业证件、法定代表人身份证正反面及手持身份证照片。 被授权人：企业证件、加盖企业公章的授权书（授权委托书.docx）、被授权人身份证正反面及手持身份证照片。 个人客户 个人身份证件正反面及手持身份证照（个人身份证件信息需与实名认证的身份证件信息一致）。 （2）经天翼云审核通过后，天翼云会将原来绑定的手机号/邮箱替换成工单中填写的新手机号/邮箱。您可以在登录页面，单击忘记密码，然后使用新绑定的手机号/邮箱重置密码。 （3）如果您提供的账户情况特殊，天翼云客服人员会根据实际情况进一步核实，请按客服回复提供所需资料。

此小节介绍登录安全类问题。 如何设置云堡垒机登录安全锁？ 背景 CBH同一账户可以在同一台PC上的不同浏览器登录。 云堡垒机不支持同时登录同一用户账号。当同时登录同一用户账号时，“来源IP”将被锁定。 CBH目标是限制多人使用同一账号，同一账号专人使用，应该做到一个账号一人使用。 现象 为保障云堡垒机系统登录安全，在登录云堡垒机输入密码超过系统设置的次数限制后，用户“来源IP”或“用户”帐号将被锁定。 配置步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统配置 > 安全配置 > 用户锁定配置”，查看当前配置信息。 用户锁定配置信息 3 单击“用户锁定配置”区域的“编辑”，进入“用户锁定配置”参数配置页面。 配置锁定参数 4 用户根据需要配置参数，详细参数说明请参考表。 锁定配置参数说明 参数 说明 锁定方式 可选择“用户”和“来源IP”两种方式。1选择“用户”指密码错误超过输入限制次数后，用户帐号将被锁定。2选择“来源IP”指密码错误超过输入限制次数后，用户本地来源IP将被锁定，且局域网内同一网段IP都将被锁定。 尝试密码次数 用户通过最多能尝试登录云堡垒机的次数。 锁定时长 密码错误超过输入限制次数后，锁定的时间长度，单位为分钟。默认值为30分钟。 设置为0分钟表示需管理员解除锁定。 重置计数器时长 密码错误超过输入限制次数后，从设定时间提示的剩余被锁定时间。 5 单击“确定”，完成用户登录输入密码限制设置。 如何解锁登录云堡垒机时被锁定的用户/IP？

准备项 说明 需要执行的工作 账号准备 注册天翼云账号 参考 数据库准备 源数据库和目标数据库以及对应连接帐号权限准备 可根据源数据库和目标数据库的数据库类型进行相应的账号权限设置。 网络准备 源数据库部署在本地 参考 网络准备 源数据库为其他云数据库 参考 网络准备 源数据库为天翼云数据库 参考 网络准备 源数据库为天翼云ECS自建数据库 参考

参数 说明 平台名称 向上级联的平台名称。 SIP服务国标编码 该信息一般由上级平台提供，也可以由上下级平台协商确定，用于上下级平台相互身份鉴权。 SIP服务国标域 SIP服务国标域默认截取SIP服务国标编码的前10位。 SIP服务IP/端口 由上级平台提供。 设备国标编号 下级平台的国标编号。 级联区域 上下级平台进行级联的区域，一般选择较近的区域即可。 网络类型 默认选择互联网，专线网络需要天翼云提供IP和端口信息。 开启鉴权 根据级联需要选择开启/关闭鉴权功能。 SIP认证用户名 对应上级平台接入信息设备国标ID。 SIP认证密码 对应上级平台关联的GB28181凭证的凭证密码。 级联方式 根据GB 28181协议标准，支持虚拟业务组和行政区划两种方式（ 将会影响平台下设备目录的构建方式 ）。 所属行业 根据GB 28181协议标准，选择所属行业。 上级级联区域 选择上级平台的所属区域。 信令传输 支持TCP和UDP两种协议。 字符集 支持GB2312和UTF8两种字符集，UTF8涵盖更广泛的中文字符范围，而GB2312在平台兼容性方面表现更为稳定。在平台对接中，若未明确指定字符集，建议优先选择GB2312。 35114国密认证 开启35114国密认证，需要上级平台支持。开启后，您需要在级联平台页面创建证书请求并上传相关证书。 注册周期 注册周期不小于300秒。 心跳周期 心跳周期不小于60秒。 分组目录大小 执行目录推送任务的时候，单个消息包含的目录数量 权限集合 支持复选，包含云台、流保活和录像下载。 是否使用通道的实际名称 开启该功能，NVR通道向上级联使用通道的实际名称，仅支持GB28181协议和EHOME协议。 级联映射 上下级平台因防火墙等情况无法访问时，开启该选项，可分别配置本地和上级地址映射。 描述 请输入平台级联的相关描述，例如平台属性、用途等。

接口描述：调用本接口查询请求数数数据 请求方式：post 请求路径：/statistics/queryrequestnumdata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100； 单次查询输入域名的个数不能超过100个； 单次查询输入结果聚合维度（groupby）的个数不能超过4个； 时间粒度为24h时，查询开始时间与结束时间需要跨天； 若查询结束时间不包含在该批次的最后一秒，默认endtime为该批次最后一秒，例如：时间粒度为1h，endtime设置为17:30对应的时间戳，此时endtime默认成17:59:59； 时间片统计数据均为前打点，假如请求5分钟粒度数据，timestamp "20211013 00:00"对应的时间戳，表示统计的数据为时间区间20211013 00:00, 20211013 00:05)； 根据请求参数时间粒度（Interval）和聚合维度（groupby）个数的不同，单次请求可查询历史数据范围，数据延迟，对应如下， 若开始时间超过可查询历史数据时间范围，超过部分的数据为0； 时间粒度 可查询历史数据时间范围 数据延迟 2 ≥ 聚合维度个数 ≥ 0 ，支持最大时间跨度 4 ≥ 聚合维度个数 ＞2 支持最大的时间跨度 1m 最近31天 5分钟 7天 3小时 5m 最近183天 20分钟 31天 1天 1h 最近183天 20分钟 93天 3天 24h 最近183天 20分钟 93天 3天 请求参数说明（json）： 参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，[点击查看省份及对应的省编码 isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商及对应的运营商编码 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。 返回参数说明： 参数 类型 是否必传 名称 说明 code int 是 状态码 message string 是 描述信息 starttime int 是 开始时间戳，时间戳(秒) endtime int 是 结束时间戳，时间戳(秒) interval string 是 时间粒度 和输入保持一致，1m，5m，1h，24h。 reqrequestnumdatainterval list 是 每个时间间隔的请求数数据 reqrequestnumdatainterval[].timestamp int 是 时间片开始时间戳 reqrequestnumdatainterval[].producttype string 否 产品类型 reqrequestnumdatainterval[].domain string 否 域名 reqrequestnumdatainterval[].province int 否 省编码 reqrequestnumdatainterval[].isp string 否 运营商编码 reqrequestnumdatainterval[].networklayerprotocol string 否 网络层协议 reqrequestnumdatainterval[].applicationlayerprotocol string 否 应用层协议 reqrequestnumdatainterval[].requestnum int 是 请求数 reqrequestnumdatainterval[].missrequestnum int 是 回源请求数 reqrequestnumdatainterval[].hitrequestrate float 是 请求命中率

本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境 简介 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境。该指导具体操作以CentOS 7.2 64位操作系统为例。 Linux实例手工部署LNMP环境具体操作步骤如下： 1.安装nginx。 2.安装MySQL。 3.安装PHP。 4.浏览器访问测试。 前提条件 1.弹性云主机已绑定弹性公网IP。 2.弹性云主机所在安全组添加了如下表所示的安全组规则，具体步骤参见为安全组添加安全组规则。 表 安全组规则 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 操作步骤 1.安装nginx。 a.登录弹性云主机。 b.执行以下命令，下载对应当前系统版本的nginx包。 wget c.执行以下命令，建立Nginx的yum仓库。 rpm ivh nginxreleasecentos70.el7.ngx.noarch.rpm d.执行以下命令，安装Nginx。 yum y install nginx e.执行以下命令，启动Nginx并设置开机启动。 systemctl start nginx systemctl enable nginx f.查看启动状态。 systemctl status nginx.service g.使用浏览器访问“ 图 测试访问nginx

本章主要介绍翼MapReduce的修改OMS数据库管理员密码功能。 操作场景 建议管理员定期修改OMS数据库管理员的密码，以提升系统运维安全性。 操作步骤 1.以root用户登录主管理节点。 说明 ommdba用户密码不支持在备管理节点修改，否则集群无法正常工作。只需在主管理节点执行修改操作，无需在备管理节点操作。 2.执行以下命令，切换用户。 su omm 3.执行以下命令，切换目录。 cd $OMSRUNPATH/tools 4.执行以下命令，修改ommdba用户密码。 moddbpasswd ommdba 5.输入ommdba的原密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为16～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];", /?中的3种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可与前20个历史密码相同。 显示如下结果，说明修改成功： Congratulations, update [ommdba] password successfully.

出云流量页面展示当前防火墙实例防护的云上EIP访问互联网的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 规格限制 “私网外联资产”数据查看需满足专业版防火墙且开启VPC边界防火墙防护，请参见“开启VPC边界流量防护”。 查看出云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 出云流量”，进入“出云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：内部服务器访问互联网时最大流量的相关信息。 出云流量：出方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内出方向流量中指定参数的TOP 5 排行，参数说明请参见下表。单击单条数据查看流量详情，每个详情支持查看50条数据。 出云流量可视化统计参数说明： 参数名称 参数说明 TOP访问目的IP 出方向流量的目的IP地址。 TOP访问目的地区 出方向流量的目的IP所属的地理位置。 TOP访问源IP 出方向流量的源IP地址。 TOP开放端口 出方向流量的目的端口。 应用分布 出方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 外联IP：目的IP的流量信息。 外联域名：域名信息。 公网外联资产：源IP为公网IP的流量信息。 私网外联资产：源IP为私网IP的流量信息。 说明 私网IP信息仅配置了VPC边界防护的专业版防火墙可见。

ECS无法连接到DDS实例的原因 遇到该问题，请参考以下步骤排查解决。以集群模式下实例为例说明。 步骤 1 先确认弹性云主机实例和文档数据库实例是否在同一个虚拟私有云。 如果在，执行步骤2。 如果不在，需要重新创建弹性云主机实例，使之和文档数据库实例在同一个虚拟私有云下。 步骤 2 查看弹性云主机实例是否添加安全组。 如果有，检查安全组的配置规则是否满足要求，然后执行步骤3。 如果没有，从弹性云主机的实例详情页面，进入虚拟私有云页面，选择“安全组”，添加安全组。 步骤 3 在弹性云主机上，测试是否可以正常连接到文档数据库实例地址的端口。 telnet {8635} 如果可以通信，说明网络是正常的，请检查数据库用户和密码。 如果端口不通，请联系售后技术支持协助排查。 客户端问题导致连接实例失败？ 客户端问题导致连接文档数据库实例失败，可以从以下几个方面检查。 1、弹性云主机的安全策略 对于Windows平台，可检查Windows的安全策略是否开放文档数据库端口。 对于Linux平台，可使用iptables检查防火墙及端口的放行情况。 2、应用配置错误常见的有IP写错、端口参数配置错误和JDBC等的连接参数配置错误。 说明： 如问题仍未解决，请联系售后技术支持。 服务端问题导致连接实例失败 文档数据库服务端可能出现的问题如下，请依次进行检测。 1、连接数满导致连接失败。 解决方法：通过云监控的资源监控功能查看连接数、CPU使用率等指标是否正常，如果达到上限，需要重启文档数据库实例、断开实例连接或扩容节点解决。 2、实例状态异常，比如实例重启卡住，文档数据库服务系统故障等。 解决方法：尝试重启功能。如果无法解决，请联系售后技术支持。

主机安全的Agent可以部署在哪些操作系统的机器上？ 支持部署在如下操作系统： Windows server 2008、Windows server 2012、Windows server 2016、win 7、win 8、win 10 Centos 5.0 +、Redhat 5.0 + 、 Suse11 +、 Ubuntu 14 + 兆芯+中标麒麟V7.0、V10/统信UOSV20 龙芯+中标麒麟V7.0、V10/统信UOSV20 鲲鹏+中标麒麟V7.0、V10/统信UOSV20 飞腾+银河麒麟V4.0、V10 海光+中标麒麟V7.0、V10/统信UOSV20 主机安全EDR支持导出多少条防护日志？ EDR支持最多支持导出10万条防护日志，当前总数超过10万条的则导出最新的10万条。 操作日志和运维日志也是支持最多导出10万条。 主机安全EDR是否支持病毒查杀后进行自动处理？ 支持，在主机安全配置中选择“资产管理 > 病毒查杀”，点击“查杀设置”，可设置处理方式为自动处理。 Agent服务器性能占比？ 正常情况下内存大约100M，CPU不超过1%。 主机安全的漏洞补丁是如何更新的？ 补丁检测规则会自动从云等保专区的主机安全原子能力推送给Agent，云等保专区主机安全原子保持更新；Agent在检测到相应补丁后，需自行联网下载修复。

本文介绍了云防火墙提供审计与日志功能， 审计日志是记录云防火墙的用户活动、权限管理和数据访问等信息的日志，通过审计日志可以帮助用户完成对云防火墙可靠性、可用性监测，用户可以通过审计防火墙的日志观测防火墙的操作记录、防火墙的运行记录、防火墙的资源使用情况等，审计日志对于系统的合规性和安全性具有重要作用。天翼云云防火墙（原生版）已生成防火墙操作日志，记录操作发生时间、操作账号、危险等级、操作行为等信息为用户审计防火墙操作行为提供基础日志数据，可以帮助用户对防火墙使用情况，配置情况等进行审计与监测，以保证对防火墙的操作都能够被审查。 说明 审计日志存储与数据日志存储是分开存储在不同的地方，以保证审计日志不会因数据日志的循环而被删除，审计日志默认存储180天，以保证用户业务的可审计性。

本节介绍了公网IP相关问题与处理方法。 场景排查 1. 检查安全组规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。 解决方案 1. 检查安全组规则。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 检查弹性云主机网卡对应的安全组是否放通了“入方向”的“ICMP”规则。 表 安全组规则 放向 类型 协议和端口 原地址 入方向 IPv4 Any：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 2. 检查“ 网络ACL”规则。 排查“网络ACL”是否放通。查看“网络ACL”状态，查看当前是开启状态还是关闭状态。 检查“弹性IP”绑定的网卡是否在“网络ACL”关联的子网下。 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 说明 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 3. 相同区域主机进行ping测试。 在相同区域的弹性云主机去ping没有ping通的弹性公网IP，如果可以正常ping通说明虚拟网络正常，请联系客服获取技术支持。

查看AI风险概览 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“态势感知 > AI风险概览”，进入AI风险概览页面。 5. 在AI风险概览页面，可查看以下信息： 模块 参数名称 参数说明 统计时间 统计时间 支持用户选择或自定义查看的概览的时间，支持选择范围如下： 近24小时 近3天 近7天 近30天 自定义：用户自定义起止时间范围。 推理安全 推理安全风险汇总 推理安全模块呈现所设置的统计时间周期内大模型推理业务风险运营的结果： 请求总数：WAF请求日志中大模型接口调用的请求次数总和。 命中防护策略数：WAF攻击日志中告警类型为提示词注入攻击、提示词内容合规、响应内容合规数量总和。 提示词注入攻击次数：WAF攻击日志中提示词攻击数量总和。 提示词内容合规次数：WAF攻击日志中提示词内容合规数量总和 响应内容合规次数：WAF攻击日志中响应内容合规次数总和。 推理安全 请求趋势 请求趋势呈现“总请求数”和“命中防护策略数”指标随时间的变化趋势，实时更新。其中 总请求数：WAF请求日志中大模型接口调用的请求数量。 命中防护策略数：WAF攻击日志中告警类型为提示词注入攻击、提示词内容合规、响应内容合规数量总和。 推理安全 TOP5资产风险分布 WAF攻击日志中，根据推理模型域名分组求和，展示命中防护策略数中排名前5的推理模型域名及数量。 推理安全 提示词注入攻击分布 WAF攻击日志中提示词注入攻击类型为越狱攻击、提示词泄露、角色扮演、不安全的指令话题、不安全的观点、反向诱导、政治敏感、合规敏感、个人隐私数据的分类数量统计。 推理安全 大模型攻击类型分布 WAF攻击日志中告警类型为提示词注入、提示词内容合规、响应内容合规三种类型的告警分类数量统计。 语料安全 TOP5语料资产风险分布 DSC攻击日志中根据上报告警的OBS桶ID分组求和，展示前5的桶名及数量。 语料安全 文本风险类别 DSC攻击日志中文本风险类型为个人隐私敏感、内容合规敏感类型、来源或版权不合规三种类型的分类数量统计。 环境安全 TOP5合规检查 按照合规检查受影响资产数量排序，呈现TOP5影响资产数最多的5个不合规风险项。 环境安全 TOP5漏洞风险 按照漏洞的风险等级排序展示用户设定的AI风险概览“统计时间”内的TOP5漏洞，若漏洞的风险等级相同则按照漏洞名称排序。 环境安全 TOP5告警 按照告警的发现时间展示最近发生的5个告警。 环境安全 最近攻击清单 基于用户设定的AI风险概览“统计时间”展示攻击列表。

约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 云服务器的“Agent状态”为“在线”且“防护状态”为“开启”。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“查看报告”。 查看防护报告 5、在查看报告界面，查看防护记录详情。 网页防篡改防护记录 查看网页防篡改防护事件 开启静态网页防篡改防护后，主机安全服务将立即对您添加的防护目录执行全面的安全检测。您可以查看所有主机防护文件被非法篡改的记录。 约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 云服务器的“Agent状态”为“在线”且“防护状态”为“开启”。 已开启静态网页防篡改。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3 、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在“主动防御 > 网页防篡改 > 防护事件”页面，查看主机防护文件被篡改记录。 防护事件

服务端为Linux系统(以Centos7.2 64位操作系统为例) 1. 检查配置文件 执行以下命令，检查配置文件。 cat /etc/vsftpd/vsftpd.conf 确保下面的内容已经正确填入。 listenYES listenipv6NO pasvaddressxx.xx.xx.xx 弹性云主机的公网IP地址 pasvminport20000 被动模式下的最小端口 pasvmaxport20045 被动模式下的最大端口 2. 检查安全组配置 点击 控制中心 > 服务列表 > 弹性云主机 ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择 安全组 ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和配置文件“/etc/vsftpd/vsftpd.conf”中参数“pasvminport”和“pasvmaxport”之间的所有端口。 3. 重新进行客户端测试 a. 一种方法是使用FileZilla填写弹性云主机的公网ip，ftp的用户名和密码，端口填写21。 b. 另一种方法是在浏览器或者文件夹访问栏输入ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入ftp的用户名和密码。

参数项 说明 增量包类型 选择数据服务专享集群增量包。 工作空间 选择需要使用数据服务专享集群增量包的工作空间。例如需要在DataArts Studio实例的工作空间A中使用数据服务专享版，则此处工作空间应选择为A。集群创建成功后，即可通过在工作空间A查看到创建好的数据服务专享集群。 可用区 第一次创建DataArts Studio实例或批增量包时，可用区无要求。 再次创建DataArts Studio实例或增量包时，是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 集群名称 集群描述 可以自定义对当前数据服务专享版集群的描述。 版本 当前数据服务专享版的集群版本。 集群规格 不同实例规格，对API请求的并发支持能力不同。 公网入口 开启“公网入口”，即允许外部服务通过公网地址，调用专享版实例创建的API。 带宽大小 可配置公网带宽范围。 虚拟私有云 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 在相同虚拟私有云中的云服务资源（如ECS），可以使用数据服务专享版实例的私有地址调用API。 建议将专享版实例和您的其他关联业务配置一个相同的虚拟私有云，确保网络安全的同时，方便网络配置。 说明 目前DLM实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 建议将专享版实例和您的其他关联业务配置相同的虚拟私有云下相同的子网，确保网络安全的同时，方便网络配置。 说明 目前DLM实例创建完成后不支持切换子网，请谨慎选择所属子网。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务的地址及其监听端口。 说明 1. 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 2. 目前DLM实例创建完成后不支持切换安全组，请谨慎选择所属安全组。 企业项目 DataArts Studio专享版集群关联的企业项目。企业项目管理是一种按企业项目管理云资源的方式，具体请参见

为减少安全隐患和稳定性风险,云容器引擎建议用户及时升级kubernetes版本。用户使用云容器引擎控制台升级集群的Kubernetes版本,本文介绍集群升级前后的注意事项、升级流程、操作步骤等。 升级集群的好处 云容器引擎使用kubernetes的原生v . . 版本语义，目前尚只支持4个次要版本，分别为v1.23.3, v1.25.6, v1.27.8, v1.29.3版本。云容器引擎会定期发布支持的Kubernetes版本并逐步停止对过期版本的技术支持。建议使用v1.23.3版本的用户尽快升级到更高版本kubernetes，已获得更好的使用体验。 主动升级集群有以下好处： 降低安全和稳定性风险：随着Kubernetes版本迭代，会不断优化及修复发现的安全及稳定性漏洞，长久使用过期版本集群会给业务带来安全和稳定性风险。 享受更好的维护支持：对于过期Kubernetes版本，云容器引擎不再提供安全补丁和问题修复，也无法保证过期版本的技术支持质量。使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的新功能：随着社区Kubernetes版本的演进，新版本包含新的功能和改进，云容器引擎也将适配新版本，为您带来更好的开发和运维体验。