本文介绍如何在基于最新一代海光安全加密虚拟化CSV(China Secure Virtualization)3.0技术的云主机(下文简称为CSV云主机)中构建CSV3.0加密计算环境,并演示如何验证CSV功能,以及CSV云主机存在的一些功能限制。 概述 海光安全加密虚拟化CSV是一项基于国产海光CPU硬件的云主机保护技术，CSV云主机的运行时状态（如CPU寄存器、内存数据及中断处理等）均受到CPU硬件的隔离和加密保护，云厂商和外部攻击者均无法窃取或篡改CSV云主机的内部运行状态（如计算中的数据等）。关于海光CSV技术的更多信息，请参见Hygon Arch。 CSV云主机关键特性 内存隔离：通过处理器硬件机制，为每个云主机构建独立的、受保护的执行环境，实现云主机之间、云主机和宿主机之间的硬件级逻辑隔离。即使宿主机系统或管理员拥有最高权限，也无法读取或篡改虚拟机内的数据，从根本上杜绝了“从内部”被窥视的风险，实现数据在处理过程中的“可用不可见”。 内存加密：数据在内存中全程以密文形式存在，仅能在 CPU 内部解密使用。即使机房被入侵，攻击者通过物理手段也难以探测到或篡改内存中的数据内容。 远程证明：支持远程证明功能，允许信任域所有者验证其虚拟机是否在可信的硬件环境中启动，并且没有被篡改，增强了对基础设施的信任。 安全启动：确保虚拟机仅从经过签名和验证的引导加载程序启动，进一步加强了启动过程的安全性。 体验一致：提供与普通云主机完全一致的管理接口和操作体验，通过控制台、API 等，像创建和管理任何一台普通云主机一样，轻松创建和管理机密云主机，运维习惯无需任何改变。 应用无损：海光CSV可以为您的云主机和应用提供默认的安全保护，您的现有应用系统，无论是传统的 Java 还是现代的 Python 应用，均无需进行改造，可直接运行在机密云主机。

本节介绍如何配置全局白名单（原误报屏蔽）规则对误报进行忽略。 前提条件 已添加防护网站。 约束条件 仅对WAF预置的Web基础防护规则拦截或记录的攻击事件可以配置误报屏蔽规则。 当“不检测模块”配置为“所有检测模块”时，通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 当“不检测模块”配置为“Web基础防护模块”时，仅对WAF预置的Web基础防护规则和网站反爬虫的“特征反爬虫”拦截或记录的攻击事件可以配置全局白名单（原误报屏蔽）规则，防护规则相关说明如下： Web基础防护规则：防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击，以及Webshell检测、深度反逃逸检测等Web基础防护。 网站反爬虫的“特征反爬虫”规则：可防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫。 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 您可以通过处理误报事件来配置全局白名单（原误报屏蔽）规则，处理误报事件后，您可以在全局白名单（原误报屏蔽）规则列表中查看该误报事件对应的全局白名单（原误报屏蔽）规则。

为什么低频访问型存储的计费容量被放大了？ OOS的低频访问型存储类型文件（Object）的最小存储单元为64 KiB，所有小于64 KiB的文件都会按照64 KiB计算。所以，如果您存储空间内有很多小于64 KiB的低频访问型存储类型文件，会出现计费容量大于实际存储量的情况。 此外，低频访问类型的文件最短存储期限为30天，早于30天删除、修改文件时，也需要补足剩余天数的存储费用。 已经产生的欠费是否可以购买资源包进行抵扣？ 不可以。OOS的资源包仅可以抵扣购买资源包之后产生的对应费用，对于购买资源包前产生的欠费，您只能通过充值抵消欠款。具体资源包说明，可以参见资源包计费。 官网购买的流量包是否可以支持回源流量抵扣？ 支持。回源流量按普通流量计算，只要购买了流量包，就可以抵扣回源流量。具体计费项，可以参见计费项。 图片上传到OOS，然后以链接的形式插入网站中作为网站图片显示。用户打开网站浏览但不下载图片，在此情况下，会产生哪些费用？ 会产生请求次数和流出流量费用。如果图片存储为低频存储类型，还会收取数据取回费用。具体计费项，可以参见计费项。

本文概括介绍图片处理功能、适用场景、使用限制和使用说明。 功能介绍 开通图片处理功能后，全站加速可以在回源节点上对客户原始图片做自适应WEBP、自动瘦身，或通过客户端携带的URL参数进行缩放、旋转、裁剪、格式转换等处理后进行分发，并缓存在全站加速节点，使得源站保留原图即可；免去源站对图片的各种处理，降低源站压力，节省源站存储空间，同时提升图片处理响应速度。 注意 图片处理为付费服务，目前处于公测期间，暂不收取费用，收费时间另行通知。 适用场景 在全站加速平台上进行图片处理，可以免去源站的图片处理消耗，灵活适配各种终端用户对图片的不同需求，适用于以下行业场景： 1. 电商网站 同一张商品图片，需要做不同尺寸的裁剪，以适配不同终端大小，此时需要用到图片裁剪功能。 同一张商品图片，作为浏览列表呈现和点击进入商品链接后作为主要图片呈现时，需要的图片质量是不同的，此时需要用到图片质量转换功能。 2. 图片素材网站 图片素材网站经常需要对同个图片做不同处理和编辑，此时需要用到图片处理功能。 使用限制 原图限制如下： 目前图片处理支持的原图格式为：JPEG、PNG、WebP、BMP、GIF、TIFF、JP2(JPEG2000)。 原图大小不能超过10MB，超过后默认不做图片处理。 处理后图片限制如下： 图片缩放后的宽高不能超过16777216px。

本节介绍云安全中心产品咨询类问题。 云安全中心是否只是对其他云安全产品日志进行采集分析? 云安全中心产品除了采集其他安全产品的日志进行统一管理外，还提供编排响应以及处置的能力，能够对告警形成自己的处置流程，并进行自动化处置。云安全中心打通了云上的各类安全产品形成联动响应处置，帮助用户提升威胁响应处置效率。 云安全中心如何帮助客户满足等保合规要求? 云安全中心提供的插件管理、威胁运营、编排响应等功能，可以满足等保的“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“恶意代码防范”、“集中管控”等要求。具体可参见等级保护测评解读。 云安全中心支持采集云上哪些安全日志? 云安全中心目前支持采集云上安全产品的安全告警日志，包括Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版等产品。具体的日志类型请参见支持的日志类型。 短信使用余量是否会进行提醒？ 云安全中心会在短信剩余500条时、以及短信全部使用完时，提醒用户短信剩余量。

说明：本章节会介绍天翼云关系型数据库如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本页介绍访问关系数据库MySQL版实例如何设置安全规则。 说明 仅苏州 资源池不支持设置多个安全组，其他II类型资源池均支持绑定多个安全组。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并为相互信任的弹性云主机和MySQL实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用MySQL实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意 如果您在订购关系MySQL版实例时的VPC中的子网使用了扩展网段，为保证弹性云主机和MySQL实例可以互相访问，您需要在安全组的规则放开允许扩展网段进行访问。 约束限制 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当MySQL实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的MySQL版实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的MySQL版实例。

本节为您介绍创建静态路由的操作场景、前提条件和操作步骤。 操作场景 用户根据网络规划，配置静态路由规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 在详情页，单击“静态路由 >添加”。 6. 根据页面提示，填写目的网段和下一跳参数。 7. 单击“确定”，完成静态路由规则配置。

本小节介绍如何购买第三方证书部署服务。 操作场景 已上传的第三方证书支持一键部署到天翼云上弹性负载均衡 、Web应用防火墙（原生版） 、CDN加速相关产品，提升业务便捷性。 操作步骤 1. 登录证书管理服务控制台。 2. 单击“购买证书”，进入到证书管理服务产品购买页面。 3. 服务类型选择“第三方证书部署服务”。 4. 选择第三方证书部署服务的购买数量，单次最多可购买200个。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”下单。 6. 单击“提交订单”，在弹出的“订单详情”页确认订单信息。 7. 单击“立即支付”，完成第三方证书部署服务的购买。

怎么保证检测的漏洞的准确性？ 漏洞的检测方式为版本比对和POC验证两种方式。 版本比对：通过获取应用的安装包版本和进程版本，将其与应用的漏洞版本进行比对。 POC验证：对漏洞逐个进行分析，根据漏洞原理编写对应的漏洞验证脚本，逐个漏洞进行检测。 是否可以对内网主机进行监测防护？ 安装服务器安全卫士Agent需要能通过公网连通服务器安全卫士服务端，如果是内网环境的话，可以选择一台CentOS 7的主机做代理机进行安装，代理机需要能同时连通服务端和内网主机。 Agent与Server之间的通信使用哪些端口？ 需放开80/8001/8002/8443/6677/7788端口。 Agent如何增强自身安全性？ Agent自身安全性，采用加壳技术反调试、抗逆向，共享库防篡改，采用签名进行升级保护。 Agent多锚点入侵检测，及时发现和处理黑客攻击，一般不会被黑客获取到kill掉Agent的权限。 服务端对于Agent离线、卸载、频繁掉线有监控和告警。 Agent与服务端通信加密、数据加密，黑客即使拿下Agent也不会获取主机数据。 服务端是否有登录失败处理功能？ 服务端具有登录失败处理功能，默认登录失败5次，则会封停15分钟。 服务器端产生的日志存储机制？ 服务端java应用产生日志默认会保留180天 日志路径：/data/titanlogs/java/ 日志限制： 每个服务每类日志（request.log/info.log/warn.log/error.log/lib.log）每个日志文件最大为100MB，超过100MB会滚动下一个日志文件记录。 单类日志总的日志大小限制为10GB，超过限制的会删除最早产生的日志。 服务端每类日志理论上占用10GB，一个服务理论最大占用50GB，总共大约占用为200G。

本节主要介绍安装部署 注意事项 登陆创建完成的，用于安装云迁移工具RDA工具的windows主机。 操作步骤 步骤1 联系天翼云客户经理，申请云迁移工具，天翼云侧根据迁移评估结果提供软件工具下载，下载安装包到购买的ECS云主机上。 步骤2 安装RDA ，双击 RDA 安装包，单击“下一步”。 步骤3 首次登录RDA：首次登录，需配置用户名和密码。请妥善保存用户名和密码，避免丢失。 登录后认真阅读须知内容，点击确定后进入管理页面。 步骤4 申请试用LICENSE：单机“下一个”、“立即体验” 、 “试用一天” 步骤5 获取ESN，至天翼云官网完成许可申请。 步骤6 审批通过后，单击左侧导航栏的“配置管理”，在License配置页签下，选择已获取的License文件，单击“上传文件”。上传完成后正常显示许可到期时间。

section73d07d61f523919c)。 系统盘 选择系统盘的存储容量。推荐系统盘规格请参考：堡垒机资产规格。 数据盘 选择数据盘的存储容量。推荐数据盘规格请参考：堡垒机资产规格。 企业项目 选择堡垒机所属的企业项目。 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 子网 选择当前VPC内子网。 子网需在VPC的网段内。 弹性IP 选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 购买时长 选择实例使用时长。 可按月或按年购买云堡垒机。 5. 配置完成后，确认订单无误并阅读《天翼云云堡垒机（原生版）服务协议》后，勾选“我已阅读并同意《天翼云云堡垒机（原生版）服务协议》”，单击“立即购买”。 6. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

云搜索服务支持哪些访问方式？ 云搜索服务支持以下访问方式： Restful API Transport Client Rest Client 使用Transport Client访问云服务时，需要确保客户端与服务端的版本一致，否则可能出现无法访问的情况。 Transport Client不推荐使用，建议使用High Level Rest Client。 云搜索服务中是否支持开源Elasticsearch的API或功能？ 兼容开源 Elasticsearch 和 OpenSearch 软件原生接口，并支持 Logstash、Beats、 Kibana 等周边生态。 云搜索服务是否支持Logstash对接？ 支持Logstash对接，用户需要申请一台ECS来安装Logstash并进行配置。 云搜索服务支持哪些搜索功能？ 云搜索服务支持的搜索功能包括强大的全文检索，高亮显示，切面搜索，近实时索引，动态聚类，丰富的文档（如Word、PDF等格式）处理和地理信息搜索等。 为什么集群创建失败？ 集群创建失败原因有如下3种： 资源配额不足，无法创建集群。建议申请足够的资源配额。 如果集群配置信息中，“安全组”的“端口范围/ICMP类型”不包含“9200”端口，导致集群创建失败。请修改安全组信息或选择其他可用安全组。 7.6.2以及7.6.2之后的版本，集群内通信端口9300默认开放在用户VPC的子网上面。创建集群时需要确认所选安全组是否放通子网内的9300通信端口，如果未放通，请修改安全组信息或选择其他可用安全组。 无法备份索引？ 索引的备份是通过创建集群快照实现的。遇到无法备份索引问题，请按照如下操作步骤排查解决。

托管检测与响应服务（原生版）企业版购买须知、服务内容及操作步骤说明。 购买须知 企业版提供安全托管服务，当前针对开通云等保专区、安全专区及托管服务组件的用户提供，请您提前配置相关安全产品。 购买服务后，我们的安全服务工程师将会联系您，并在整个服务周期内与您保持沟通。 一个账号仅支持购买一个企业版实例。 服务内容 1. 持续监控安全产品（WAF、云防火墙、主机安全）事件。 2. 提供漏洞感知，监控云主机、应用、服务脆弱性。 3. 提供威胁情报，持续检测恶意IP、恶意域名、APT攻击等。 4. 提供应急响应支撑，应对突发安全事件。 5. 提供安全评估，评估云上资产整体安全状况，提供评估报告。 6. 不支持退订操作。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击企业版“立即购买”按钮，跳转到企业版订购页面。 3. 在“产品配置”模块配置“托管云主机数”，根据客户需要托管的云主机台数，选择对应的数量。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

本小节介绍安全专区安全策略配置方法。 开启云防火墙防护功能，在【策略】→【安全策略】→【安全防护策略】，新增业务防护策略。 源 源区域：选择“L3untrustA”； 网络对象：勾选全部。 目的 目的区域/接口：选择“L3untrustA”； 网络对象：勾选业务云主机对象。 按窗口提示点击【下一步】，过程参见以下截图。 安全防护策略请跟据实际业务进行设置调整，详细参考 《天翼云安全专区云防火墙用户使用指南》 。

本节内容为您介绍快捷开通并使用天翼AI云电脑（政企版）的流程，帮助您快速上手云电脑。 准备工作 使用天翼AI云电脑（政企版）前，请确保您已经开通了天翼云账号并完成实名认证。相关操作参考如下： 注册天翼云账号 实名认证 使用流程 天翼AI云电脑（政企版）支持快速订购和天翼AI云电脑（政企版）管理台订购两种方式，下面以快速订购为例，介绍AI云电脑的开通使用流程，帮助您快速上手天翼AI云电脑（政企版）。使用的流程如下。 1.进入天翼AI云电脑（政企版）产品详情 首先进入天翼AI云电脑（政企版）产品详情页，点击“立即订购”。 2. 快速订购AI云电脑 根据需求选择AI云电脑配置，并把AI云电脑分配到个人用户，支付成功则完成AI云电脑的快速订购。 3. 用户账号激活 完成开通AI云电脑后，用户邮箱会收到天翼AI云电脑政企版开通提醒邮件，根据流程激活账户即可。 4. 登录连接AI云电脑 下载并安装客户端后，您可以使用已激活的AI云电脑账号登录客户端，然后连接使用AI云电脑。

接口能力 接口英文名 列举桶列表 listBuckets 创建桶 putBucket 删除桶 deleteBucket 获取对象列表 listObjects 获取桶信息 getBucketInfo 返回存储桶所在的区域 getBucketLocation 设置桶控制权限 putBucketAcl 获取桶控制权限 getBucketAcl 配置桶生命周期 putLifecycle 获取桶生命周期配置 getLifecycle 删除桶生命周期配置 deleteLifecycle 开启桶版本控制 putVersioning 获取桶版本控制 getVersioning 列举桶版本控制 listVersions 授权桶策略 putPolicy 获取桶策略 getPolicy 删除桶策略 deletePolicy 开启桶静态网站托管 putWebsite 获取桶静态网站托管 getWebsite 删除桶静态网站托管 deleteWebsite 开启桶默认加密 putEncryption 获取桶默认加密 getEncryption 删除桶默认加密 deletetEncryption 设置桶标签 putBucketTag 获取桶标签 getBucketTag 删除桶标签 deleteBucketTag 设置桶跨域配置 putCors 获取桶跨域配置 getCors 删除桶跨域配置 deleteCors 预检options请求 options 上传对象 putObject 拷贝对象 copyObject 追加上传对象 AppendObject 基于表单上传对象到指定的桶。 postObject 下载对象 getObject 删除对象 deleteObject 批量删除对象 deleteMultipleObjects 获取对象元数据 headObject 获取对象元数据 getObjectMeta 初始化分片上传任务 initiateMultipartUpload 上传分片 uploadPart 合并分片 completeMultipartUpload 拷贝分片 copyUploadPart 取消分片任务 abortMultipartUpload 列举分片任务 listMultipartUploads 列举某个分片任务中已成功上传的分片 listParts 设置对象权限控制 putObjectAcl 获取对象权限控制 getObjectAcl 设置对象标签 putObjectTag 获取对象标签 getObjectTag 删除对象标签 deleteObjectTag

本章主要介绍翼MapReduce的配置HDFS数据传输加密功能。 设置HDFS安全通道加密 默认情况下，组件间的通道是不加密的。您可以配置如下参数，设置安全通道为加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后应重启对应服务使参数生效。 详见下表：参数说明 配置项 描述 默认值 hadoop.rpc.protection 须知 设置后需要重启服务生效，且不支持滚动重启。 设置后需要重新下载客户端配置，否则HDFS无法提供读写服务。 设置Hadoop中各模块的RPC通道是否加密。通道包括： 客户端访问HDFS的RPC通道。 HDFS中各模块间的RPC通道，如DataNode与NameNode间。 客户端访问Yarn的RPC通道 NodeManager和ResourceManager间的RPC通道。 Spark访问Yarn，Spark访问HDFS的RPC通道。 Mapreduce访问Yarn，MapReduce访问HDFS的RPC通道。 HBase访问HDFS的RPC通道。 说明 设置后全局生效，即Hadoop中各模块的RPC通道的加密属性全部生效。 安全模式：privacy 普通模式：authentication 说明 “authentication”：只进行认证，不加密。 “integrity”：进行认证和一致性校验。 “privacy”：进行认证、一致性校验、加密。 dfs.encrypt.data.transfer 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。HDFS数据传输通道包括DataNode间的数据传输通道，客户端访问DataNode的DT（Data Transfer）通道。设置为“true”表示加密，默认不加密。 说明 仅当hadoop.rpc.protection设置为privacy时使用。 业务数据传输量较大时，默认启用加密对性能影响严重，使用时请注意。 如果互信集群的一端集群配置了数据传输加密，则对端集群也需配置同样的数据传输加密。 FALSE dfs.encrypt.data.transfer.algorithm 设置客户端访问HDFS的通道和HDFS数据传输通道的加密算法。只有在dfs.encrypt.data.transfer配置项设置为“true”，此参数才会生效。 说明 缺省值为“3des”，表示采用3DES算法进行加密。此处的值还可以设置为“rc4”，避免出现安全隐患，不推荐设置为该值。 3des dfs.encrypt.data.transfer.cipher.suites 可以设置为空或“AES/CTR/NoPadding”，用于指定数据加密的密码套件。如果不指定此参数，则使用“dfs.encrypt.data.transfer.algorithm”参数指定的加密算法进行数据加密。默认值为“AES/CTR/NoPadding”。 AES/CTR/NoPadding

您可以通过包年包月计费提前预留资源,同时享受比按量计费更大的价格优惠。 订购方式 天翼云云间高速（标准版）产品采用包年包月方式订购。 云企业路由器产品采用按量计费的方式。 计费周期：按订单购买周期结算。 变更 可以根据业务需求，对已经订购的带宽包的带宽，进行升降操作。 续订 用户想要延长带宽包使用时间，可以续订带宽包。 退订 用户不再使用带宽包，可以退订带宽包。 带宽包仅在未绑定云间高速（标准版）且未到期的情况下支持退订。 计费方式变更 暂不支持计费方式变更。 到期与欠费 云间高速（标准版）带宽包到期欠费后，控制台会保留该条记录，同时限制该带宽包速率为1Kbps及以下。

本节介绍了一键重置密码后无法使用新密码登录弹性云主机的相关内容。 操作场景 一键重置密码后无法使用新密码登录弹性云主机，请参考本节操作逐一进行排查。 说明 请确保一键重置密码插件未被安全软件阻止运行，否则一键重置密码功能无法使用。 Windows操作系统 请根据如下原因逐一进行排查： 步骤 1 检查安全组出方向80端口是否放通。 1. 登录控制台。 2. 选择需要检查的弹性云主机，并进入“弹性云主机”详情页面。 3. 检查“安全组”中，“出方向”的“80”端口是否放通。 默认的安全组规则“出方向”为Any 、Any，即端口放通。 步骤 2 检查弹性云主机VPC的DHCP是否启用。 选择“网络 > 虚拟私有云"，打开对应VPC的详情页面，选择“子网”页签，检查是否启用DHCP。 步骤 3 如果安全组配置、DHCP均正常，但一键重置密码功能仍未生效，请尝试使用原密码登录弹性云主机。 步骤 4 如果原密码有效，可以用原密码登录弹性云主机，检查弹性云主机是否已安装密码重置插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。检查方法如下： 查看任务管理器，如果找到cloudResetPwdAgent服务和cloudResetPwdUpdateAgent服务，如下图所示，表示弹性云主机已安装密码重置插件。否则说明当前弹性云主机没有安装一键重置密码插件。 安装方法请参见安装一键式重置密码插件（可选）。 图 安装插件成功

操作 需具备的权限 创建存储桶 oos:PutBucket、oos:GetRegions 建议同时赋予的权限：oos:ListAllMyBucket 存储桶列表 oos:ListAllMyBucket 删除存储桶 oos:ListAllMyBucket、oos:DeleteBucket 清空存储桶 oos:ListAllMyBucket、oos:DeleteMultipleObjects 查看/修改存储桶属性 oos:ListAllMyBucket、oos:GetBucketAcl、oos:PutBucket 区域属性 oos:ListAllMyBucket、oos:GetBucketLocation、oos:PutBucket、oos:GetRegions、oos:GetBucketAcl 安全策略 oos:ListAllMyBucket、oos:GetBucketPolicy、oos:PutBucketPolicy、oos:DeleteBucketPolicy 网站管理 oos:ListAllMyBucket、oos:GetBucketWebSite、oos:PutBucketWebSite、oos:DeleteBucketWebSite、oos:GetRegions 日志 oos:ListAllMyBucket、oos:GetBucketLogging、oos:PutBucketLogging 生命周期 oos:ListAllMyBucket、oos:GetLifecycleConfiguration、oos:PutLifecycleConfiguration 跨域设置 oos:ListAllMyBucket、oos:GetBucketCORS、oos:PutBucketCORS 合规保留 oos:ListAllMyBucket、oos:GetBucketObjectLockConfiguration、oos:PutBucketObjectLockConfiguration、oos:DeleteBucketObjectLockConfiguration 清单配置 oos:ListAllMyBucket、oos:PutBucketInventoryConfiguration、oos:GetBucketInventoryConfiguration

本节介绍了弹性云主机与其他服务的关系。 弹性云主机与周边服务的依赖关系如下图所示。 图 弹性云主机与其他服务的关系示意图 弹性云主机与其他服务的关系 弹性伸缩：利用弹性伸缩，可以根据您定义的伸缩策略进行弹性云主机的伸缩，以节省您的资源使用成本和提高资源利用率。 负载均衡：将访问流量自动分发到多台弹性云主机上，提高应用系统对外的服务能力，提高应用程序容错能力。 云硬盘：可以将云硬盘挂载到弹性云主机，并可以随时扩容云硬盘容量。 虚拟私有云：为弹性云主机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 镜像：您可以通过镜像创建弹性云主机，提高弹性云主机的部署效率。 云监控：当用户开通了弹性云主机后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。弹性云主机支持的监控指标请参考弹性云主机支持的基础监控指标。 数据加密服务：加密功能依赖于数据加密服务。您可以在创建弹性云主机时，使用加密镜像或加密云硬盘，此时需要使用数据加密服务提供的密钥，从而提升数据的安全性。 云审计服务：记录与弹性云主机相关的操作事件，便于日后的查询、审计和回溯。 云备份：提供对弹性云主机的备份保护服务。支持对弹性云主机中的所有云硬盘（系统盘和数据盘）进行备份，并利用备份数据恢复弹性云主机数据。

什么是手动备份？ 手动备份是用户在备份恢复界面自主发起对数据库实例的全量备份，目前它会一直保存，直到用户主动删除。 企业项目 企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，通过授权用户组来限制用户使用企业项目内的云资源权限。 什么是区域和可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，天翼云已在全国多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见天翼云产品部署看板 。

通过云堡垒机纳管跨域的业务服务器 1. 登录“网络控制台”>“访问控制”>“安全组”，进入“安全组”页面，对云堡垒机所在安全组规则进行入方向、出方向配置。 2. 通过云堡垒机纳管代理服务器。登录云堡垒机系统，添加代理服务器，操作步骤请见纳管主机资源，在“主机管理”页面选择“代理服务器”，单击“新建”。 3. 对待纳管的业务服务器所在的安全组入方向规则进行配置，在步骤5中“入方向规则”页面，单击“快速添加规则”。出方向规则根据您的需要请自行添加配置。 4. 通过云堡垒机纳管业务服务器，具体操作步骤请见添加主机资源。 通过上述步骤的操作后，您可以根据云堡垒机自带的主机运维功能跨网络域运维被纳管的主机资源。类似地，可将以上做法推广到混合/异构云、线下IDC等不同网络环境，以实现跨云跨VPC线上线下统一运维。 CentOS8配置代理示例 步骤 1 执行如下命令，安装3proxy软件包 yum install y epelrelease yum install y 3proxy 步骤 2 执行如下命令，进行极简配置 nscache 65536 timeouts 1 5 30 60 180 1800 15 60 设置用户名：test、密码：test users test:CL:test daemon log /var/log/3proxy/3proxy.log logformat " +L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T" archiver gz /bin/gzip %F rotate 30 external 0.0.0.0 internal 0.0.0.0 auth strong allow test maxconn 20 socks flush 步骤 3 启动服务 systemctl start 3proxy

云审计服务 云审计服务（CloudTrace Service，CTS），是一个专业的日志审计服务。云审计服务能够记录主机中用户对主机安全服务的操作，方便您对主机执行安全分析、合规审计、资源跟踪和问题定位等审计工作。云审计服务是管理日志的基础服务，无需付费即可使用。 关于CTS的详细内容，请参见云审计服务用户指南。

本节介绍“目的端虚拟机已创建场景”下将主机资源一站式迁移到天翼云的方法。 配置目的端 步骤 1 在浏览器中输入 步骤 2 单击左侧导航栏的“ 迁移实施 ”，进入迁移实施界面。 步骤 3 在“ 主机迁移 ”页签下，勾选需要迁移到天翼云的主机资源，单击“ 绑定目的端 ”。 目的端配置 步骤 4 在“ 绑定目的端 ”窗口的基础配置区域，填入要迁移的目标账号，并且选择对应的资源池和区域。会自动列出可供迁移的目标端如下图所示： 选择对应的迁移网络，下一步确认配置。 步骤 5 绑定目的端 完成后，单击“ 一站式迁移 ”，右侧弹出一站式迁移页面。 步骤 6 在一站式迁移 页面，可查看 获取迁移服务器信息 。 在其他配置区域，选择推送模式。 选择 操作 局域网 勾选创建任务（可选）勾选启动任务单击“确定” 公网 输入RDA本机公网IP，勾选创建任务（可选）勾选启动任务单击“确定” 步骤 7 开始服务器全量复制。 步骤 8 （可选）设置目的端时，持续同步选择“是”，全量复制完成后，需要手动启动目的端。 说明 “迁移实时状态”为“已完成”，说明目的端已启动，整个迁移操作已完成 相关操作 可对创建的任务进行如下操作。 如果... 那么... 启动迁移任务 勾选已创建的任务，单击“任务操作→启动迁移任务” 同步迁移任务 勾选已创建的任务，单击“任务操作→同步迁移任务” 停止迁移任务 勾选已创建的任务，单击“任务操作→停止迁移任务”说明只能对迁移中的任务进行停止。 删除迁移任务 勾选已创建的任务，单击“任务操作→删除迁移任务” 卸载Agent 勾选已创建的任务，单击“任务操作→卸载Agent” 修改迁移参数 勾选已创建的任务，单击“任务操作→修改迁移参数” 导出目的端信息 勾选已创建的任务，单击按钮，导出.xlsx格式文件。

防护效果 假如已添加域名“www.example.com”。可参照以下步骤验证防护效果： 步骤1 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 不能正常访问，参照章节：网站接入WAF 。 能正常访问，执行步骤2。 步骤2 参照本节的操作步骤，将您的客户端IP来源地配置为拦截。 步骤3 清理浏览器缓存，在浏览器中访问“ 步骤4 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以：下载防护事件数据 。

本节介绍了查看弹性云主机详细信息的操作场景、操作步骤。 操作场景 在您申请了弹性云主机后，可以通过管理控制台查看和管理您的弹性云主机。本节介绍如何查看弹性云主机的详细配置，包括弹性云主机名称、镜像信息、系统盘、数据盘、虚拟私有云、网卡、安全组、弹性IP等信息。 如需查看弹性云主机的私有IP地址，请直接在弹性云主机列表页进行查看。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。系统进入弹性云主机列表页，您可以在本页面查看您已创建的弹性云主机，以及弹性云主机的私有IP地址等基本信息。 3. 在弹性云主机列表中的上方，输入弹性云主机名、IP地址或ID，并单击进行搜索。 4. 单击待查询弹性云主机的名称。系统跳转至该弹性云主机详情页面。 5. 查看弹性云主机的详细信息。可以选择“云硬盘/网卡/安全组/弹性IP/监控”页签，更改弹性云主机安全组、为弹性云主机添加网卡、绑定弹性IP等。

向量数据库 Anything LLM支持多种向量数据库，包含LanceDB (default)、Astra DB、Pinecone、Chroma、Weaviate、Qdrant、Milvus、Zilliz。以下为各个向量数据库的对比描述： 向量数据库 开源/闭源 主要特点 支持语言 部署方式 性能优化 索引算法 使用场景 LanceDB 开源 基于 Rust，支持多模态数据，零拷贝、自动版本控制 Python、JavaScript/TypeScript 本地、云 GPU 加速 HNSW、IVF等 AI 应用、多模态数据检索 Astra DB 闭源（云服务） 高可用性、弹性扩展，支持多模态数据 Python、Java、JavaScript等 云服务 分布式优化 HNSW等 需要高可用性和弹性扩展的应用 Pinecone 闭源（云服务） 高性能向量搜索，支持 GPU 和 TPU 加速 Python、JavaScript等 云服务 GPU/TPU 加速 HNSW、IVF等 大规模向量搜索 Chroma 开源 适用于语义搜索和相似性匹配，支持单机和分布式部署 Python、JavaScript等 本地、云 并行查询优化 HNSW等 AI 应用、语义搜索 Weaviate 开源 云原生，支持多模态数据，模块化设计 Python、JavaScript、Java等 本地、云 高效查询优化 HNSW等 多模态数据检索、推荐系统 Qdrant 开源 高效向量检索，支持加密和安全访问控制 Python、JavaScript等 本地、云 并行查询优化 HNSW等 高性能向量检索 Milvus 开源 分布式向量数据库，支持大规模数据查询 Python、Java、C++等 本地、云 GPU 加速 HNSW、IVF等 人工智能、推荐系统 Zilliz 开源（云服务） 基于 Milvus，深度优化，支持云原生部署 Python、Java等 云服务 高性能优化 HNSW等 云原生向量检索 下面以Chroma为例进行说明，其他请参考对应软件官网安装使用。 1. 创建一台挂载XSSD云盘的本地盘云主机/通用云主机，并增加Anything LLM云主机弹性IP+端口8000 的安全组规则。创建步骤请参考创建弹性云主机弹性云主机快速入门 天翼云，增加安全组规则参考添加安全组规则弹性云主机用户指南安全安全组配置安全组规则 天翼云。 2. 安装向量数据库 plaintext docker pull chromadb/chroma:latest docker run d name chroma p 8000:8000 chromadb/chroma:latest 3. 配置向量数据库 4. 使用 4.1.创建工作区，聊天查询“哪吒之魔童闹海票房收入”，回答结果没有相关知识库引入，且出现了论述错误。 4.2.准备知识库，内容如下： 4.3.导入知识库，向量使用默认向量。 4.4.继续聊天查询“哪吒之魔童闹海票房收入”，回答结果存在相关知识库引入，且论述正确。

云下一代防火墙安全产品如何修改密码？ 要修改云下一代防火墙的密码，请按照以下步骤操作： 登录到云下一代防火墙WEB UI管理界面。 在管理界面中，右上角并点击登录账号的选项。 在账户设置中，您将找到当前默认账户的密码选项。 单击密码选项，然后按照系统提示的指南来修改并确认新密码。 保存更改，您的密码将被成功修改。 注意 为了安全起见，建议定期更改密码，并确保新密码是强密码，以提高账户的安全性。如有需要，您还可以参考云下一代防火墙产品文档或联系我们的支持团队以获取更详细的密码修改说明。 云下一代防火墙如何无法登录云主机查询序列号？ 云下一代防火墙实例订购需提供设备序列号【S/N】(即序列号)，设备初始化登录成功后可进行查询，步骤如下：首先在云主机控制台选择远程登录，输入默认用户名密码后，按照要求进行密码修改；然后命令行输入以下命令进行配置查询show version；最后查询完成后，记录S/N号(即序列号)即可，详细可参考：查询序列号。 云下一代防火墙安全产品过期后无法配置？ 云下一代防火墙安全产品授权过期后会锁定配置，需导入续订授权后重启恢复。如过期时间较长会影响业务正常访问。 建议：过期后还请尽快续订，如不续订，还请解绑弹性IP至业务主机，防止出现业务影响。

安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。以下图为例，在区域A内，某客户有一个虚拟私有云VPCA和子网SubnetA，在子网SubnetA中创建一个云主机ECSA，并为ECSA关联一个安全组SgA来保护ECSA的网络安全。 安全组SgA的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECSA。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECSA。 当ECSA需要通过EIP访问公网时，由于安全组SgA的出方向规则允许所有流量从实例流出，因此ECSA可以访问公网。 对等连接 对等连接是建立在两个VPC之间的网络连接，不同VPC之间网络不通，通过对等连接可以实现不同VPC之间的云上内网通信。 对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 在区域A内，您的两个VPC分别为VPCA和VPCB，VPCA和VPCB之间网络不通。 您的业务服务器ECSA01和ECSA02位于VPCA内，数据库服务器RDSB01和RDSB02位于VPCB内，此时业务服务器和数据库服务器网络不通。 您需要在VPCA和VPCB之间建立对等连接PeeringAB，连通VPCA和VPCB之间的网络，业务服务器就可以访问数据库服务器。

本小节介绍微隔离防火墙应用场景。 数据中心内部隔离及访问控制解决方案 容器网络隔离与控制解决方案应用 数据中心东西向流量监测与分析解决方案应用 护网及重保内网加固解决方案应用 等级保护2.0 基本要求应对方案