网格列表展示当前资源池下的所有服务网格实例,您可以对网格实例进行相关操作。 入口 通过天翼云控制中心，选择对应的资源池，找到应用服务网格产品，点击即可进入服务网格控制台首页；您可以创建新的网格实例，或者对现有网格实例做相关操作。 网格列表字段说明 字段 说明 网格名称 网格实例名称 网格id uuid，用于唯一标识一个网格实例 网格状态 枚举值，标识网格当前状态 网格规格 网格实例所能支持的最大pod数量 版本类型 和网格规格对应，支持基础版，标准版 计费模式 当前仅支持按量计费模式 企业项目 网格实例绑定的企业项目 标签 管理网格实例绑定的标签 创建时间 网格实例的创建时间 操作 日志功能提供当前网格实例施工相关的日志，如开通、停机、复机等场景的日志，如果施工出现异常请提工单反馈；针对已经开通的实例

本节介绍MCP工具文件搜索的使用方法。 在日常办公、项目协作等场景下，当用户需要快速找到特定文件（如项目方案、合同文档等），但不确定文件具体存储位置时，可通过该功能，从多个入口快速进入搜索界面，精准查找文件。 注意：工具入口仅对开通企业智库的租户成员开放此入口 【操作步骤】 1. 对话页面点击工具入口，进入MCP工具； 注意 首次使用会进行插件安装，可以在 设置工具 查看安装情况。 2. 勾选需要搜索的文件范围，支持本机云电脑、其他云电脑和翼共享搜索。 3. 在对话框输入需要搜索的文件名关键词进行搜索，在对话列表页面查看搜索结果。安设备进行搜索结果分类，可以云智助手中支持打开对应路径和打开文件。 4. 关闭工具，可以在设置工具页面，查看插件安装状态和关闭工具入口。

本文主要讲述天翼云官网试用规则。 天翼云线上用户可在天翼云官网免费试用中心申请产品试用。 试用对象 已完成实名认证，且未订购过某款产品的天翼云新用户。 试用额度 个人用户通过天翼云官网试用云产品，初始试用额度为 1000 元。 企业用户通过天翼云官网试用云产品，初始试用额度为 2000 元。 试用规则说明 1. 试用渠道包括天翼云官网网页版、WAP、移动客户端。 2. 试用申请主要针对包周期产品，具体试用产品以活动页面为准。 3. 试用申请成功，试用体验金扣除该试用产品的价值金额，若试用体验金余额为0或小于试用产品价值，将无法成功申请该试用产品。 4. 通过云网门户申请的试用仅针对未订购过某款产品的用户，每款产品每个用户限申请 1 次，同一用户在试用有效期内不支持变更产品规格，不支持延期。 5. 试用时长以产品试用页面规则为准。试用资源到期后，试用资源关停。若试用资源未及时转商或延期，按照业务到期规则处理。 6. 同一证件下有多个账号时，仅支持其中一个账号使用试用金额，该账号使用了试用金额后，其他账号将无法使用。 7. 本规则仅适用于天翼云线上用户，线下用户请通过客户经理申请产品试用。

本小节介绍证书管理服务产品SSL证书使用简介。 通过使用SSL证书，您的网站可以实现安全的HTTPS数据传输。本文介绍了购买SSL证书和使用SSL证书的流程，帮助您快速掌握SSL证书服务的相关操作。 步骤 任务 说明 相关文档 1 购买一个SSL证书。 SSL证书是天翼云证书管理服务售卖的SSL证书资源实体，用于管理与SSL证书有关的操作。例如，提交证书申请、在证书签发后下载证书等。 购买证书 2 使用已购买的SSL证书，向CA中心提交证书申请。 CA中心是颁发SSL证书的机构，您可以通过已购买的SSL证书向CA中心提交证书申请。 只有当CA中心审核通过您的证书申请后，才会为您签发SSL证书。 申请证书 3 在证书即将过期时，为证书续费并使用新签发的证书替换旧证书。 CA中心签发的SSL证书默认有1年有效期。证书过期后将不被浏览器信任，影响客户端通过HTTPS协议访问您的业务。 您可以在证书到期前的30个自然日内，为证书手动续费。 在证书续费后，您还必须将续费签发的新证书重新安装到您的Web服务器（或者部署到天翼云产品），替换即将过期的旧证书。 产品续订 4 不再需要使用证书时，向CA中心提交证书吊销申请。 如果您不再需要使用仍然有效的SSL证书，出于安全性考虑（例如，避免证书被盗用），建议您通过SSL证书服务向CA中心提交证书吊销申请。 吊销证书表示从签发该证书的CA中心处注销证书信息。已注销的证书将失效。 吊销证书

禁用root用户直接登录 Linux的默认管理员名即是root，只需要知道root密码即可直接登录SSH。禁止root从SSH直接登录可以提高服务器安全性。经过以下操作后即可实现。 1. 新建用户 useradd test 2. 配置密码 使用passwd命令即可给相应帐户设置或修改密码。 passwd test 根据图示，设置或修改密码需要填写两次，第二次为效验密码，输入完毕后请回车确认。 Changing password for user test. New password: Retype new password: passwd: all authentication tokens updated successfully. 3. 配置不允许root用户直接登录，修改相关文件 vi /etc/ssh/sshdconfig 查找 PermitRootLogin yes” 默认为132行 将“ ”去掉，末尾“Yes”改为“No” 并:wq保存 4. 重启SSHD服务 systemctl restart sshd 5. 测试连接，可以看到，直接使用root 连接服务器 ssh会直接拒绝 添加安全组规则 安全组中的入方向规则默认开启了22端口，当云服务器的SSH登录端口修改为2222时，需要为安全组新加一条规则。 登录管理控制台。 1. 选择“计算 > 弹性云主机”，进入云主机控制台。 2. 单击云服务器名称进入详情页面。 3. 选择“安全组”页签，单击展开安全组规则详情，单击列表右上角的“更改安全组规则”。 4. 添加一条入方向规则。 采用密钥登录 密钥对登录比起密码登录更加安全，因此在创建弹性云主机时您可以选择密钥对登录的方式。 1. 新建密钥对，或者选择已有的密钥对，并下载至本地。 2. 创建云主机时，登录方式选择密钥对。 3. 使用xshell登录弹性云主机 通过弹性公网IP，执行以下命令，SSH远程连接弹性云主机。 ssh 用户名@弹性公网IP 选择“Public Key”，并单击“用户密钥(K)”栏的“浏览”。 在“用户密钥”窗口中，单击“导入”。 选择本地保存的密钥文件，并单击“打开”。 单击“确定”，登录弹性云主机。

本章节主要介绍在翼MR集群后台如何提交一个新的Hive Sql作业。 用户可将自己开发的程序提交到翼MR中，执行程序并获取结果。 Hive Sql作业用于提交SQL语句和SQL脚本文件查询和分析数据，包括SQL语句和Script脚本两种形式，如果SQL语句涉及敏感信息，请使用Script提交。 前提条件 用户已经将运行作业所需的程序包和数据文件上传至HDFS系统中。 通过后台提交作业 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页签中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6. 集群默认开启Kerberos认证，执行以下命令认证当前用户。 示例： klist kt /etc/security/keytabs/hive.keytab 获取hive.keytab的principalname kinit kt /etc/security/keytabs/hive.keytab hive.keytab的principalname 7. 执行Hive Shell命令。 hive >show databases;

通过内网域名或节点IP访问集群 1.获取内网域名或者节点IP。 当前用户 登录console控制台，单击集群名称，进入集群“基本信息”页面，选择“终端节点服务”，查看内网域名，如下图。 其他用户 如果您申请了终端节点，登录终端节点控制台，单击“ID”，进入终端节点基本信息页面查看内网域名。如下图。 2.在弹性云主机中，直接通过cURL执行API或者开发程序调用API并执行程序即可使用集群。 弹性云主机需要满足如下要求： 为弹性云主机分配足够的磁盘空间。 此弹性云主机的VPC需要与集群在同一个VPC中，开通终端节点服务后，可以实现跨VPC访问。 此弹性云主机的安全组需要和集群的安全组相同。 如果不同，请修改弹性云主机安全组或配置弹性云主机安全组的出入规则允许集群所有安全组的访问。修改操作请参见《虚拟私有云》帮助文档。 待接入的ES集群，其安全组的出方向和入方向需允许TCP协议及9200端口，或者允许端口范围包含9200端口。 例如，使用cURL执行如下命令，查看集群中的索引信息，集群中的内网访问地址为“vpcep7439f7f62c6647d4b5f3790db4204b8d.region01.ctyun.cn”，端口为“9200”。 如果接入集群未启用安全模式，接入方式为： curl ' 如果接入集群已启用安全模式，则需要使用https方式访问，并附加用户名和密码，在curl命令中添加u选项。 curl u username:password k '

本节介绍了DDoS高防（边缘云版）概览页功能。 使用场景 概览页集成了DDoS高防（边缘云版）服务的重要指标和核心功能的入口，帮助您快速了解业务数据以及遭受的DDoS攻击详情。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1. 登录DDoS高防（边缘云版）控制台。 2. 进入【概览】页面，您即可使用如下功能，您可以指定时间查询。 功能 功能子项 说明 查询时间 提供快捷时间选项（昨日，今日，7天，30天）及自定义时间选择功能。指定时间后，卡片栏，业务带宽，CC攻击区域分布会展示对应时间的数据。 卡片栏展示 业务带宽峰值 防护业务的正常业务流量，等于源站上行流量与下行流量之和。 卡片栏展示 攻击事件数 DDoS网络层攻击事件数及CC攻击事件数之和。 卡片栏展示 DDoS防护带宽峰值 清洗前入向攻击流量的带宽峰值。 卡片栏展示 CC攻击峰值 经过网络层攻击过滤之后，应用层攻击QPS峰值。 业务带宽 展示业务带宽的趋势图，单位Mbps。鼠标移入可展示具体时间点的具体流量大小。支持移动时间轴将业务带宽趋势图进行放大及缩小，便于查看。 CC攻击区域分布 展示CC攻击事件中，攻击源IP的地区分布。不同颜色代表不同地区请求次数的范围。 基础信息 展示了服务接入的基本信息，包括接入的网站数，端口数量，上传的证书数量，以及即将过期的证书数量。点击可跳转到具体的列表进行查看。 计费详情 展示了服务开通的基本信息，包括套餐支持的业务带宽峰值，防护带宽峰值及CC防护峰值。点击“更多详情”可跳转计费详情页面。 应用漏洞 展示最新披露的CVE漏洞信息。

CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。当您配置完CC攻击防护规则并开启CC攻击防护后，WAF才能根据您配置的CC攻击防护规则进行CC攻击防护。 CC攻击防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用CC攻击防护规则的引用表。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“CC攻击防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤7 在“CC防护”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，根据表配置CC防护规则。 CC防护规则参数说明 参数 参数说明 取值样例 规则描述 可选参数，设置该规则的备注信息。 限速模式 “IP限速”：根据IP区分单个Web访问者。 “用户限速”：根据Cookie键值或者Header区分单个Web访问者。 “其他”：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。 说明 选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 例如：若用户不希望访问者从“www.test.com”访问网站，则“Referer”对应的“内容”设置为“ 用户标识 “限速模式”选择“用户限速”时，需要配置此参数： 选择Cookie时，设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。 例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以用name字段来区分Web访问者。 选择Header时，设置需要防护的自定义HTTP首部，即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。 name 限速条件 单击“添加”增加新的条件，至少配置一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 字段 子字段：当“字段”选择IPv4、IPv6、Cookie、Header、Params时，请根据实际需求配置子字段。子字段的长度不能超过2048字节。 内容：输入或者选择条件匹配的内容。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 “路径”包含“/admin/” 限速频率 单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。 10次/60秒 防护动作 当访问的请求频率超过“限速频率”时，可设置以下防护动作： 人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。 阻断：表示超过“限速频率”将直接阻断。 动态阻断：上一个限速周期内，请求频率超过“限速频率”将被阻断，那么在下一个限速周期内，请求频率超过“放行频率”将被阻断。 仅记录：表示超过“限速频率”将只记录不阻断。可下载防护事件数据数据查看域名的防护日志。 阻断 放行频率 当“防护动作”选择“动态阻断”时，可配置放行频率。 如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。 “放行频率”小于等于“限速频率”。 说明 当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。 8次/60秒 阻断时长 当“防护动作”选择“阻断”时，可设置阻断后恢复正常访问页面的时间。 600秒 阻断页面 当“防护动作”选择“阻断”时，需要设置该参数，即当访问超过限速频率时，返回的错误页面。 当选择“默认设置”时，返回的错误页面为系统默认的阻断页面。 当选择“自定义”，返回错误信息由用户自定义。 自定义 页面类型 当“阻断页面”选择“自定义”时，可选择阻断页面的类型“application/json”、“text/html”或者“text/xml”。 text/html 页面内容 当“阻断页面”选择“自定义”时，可设置自定义返回的内容。 不同页面类型对应的页面内容样式： text/html：Forbidden application/json：{"msg": "Forbidden"} text/xml： Forbidden 步骤9 单击“确认”，添加的CC攻击防护规则展示在CC规则列表中。 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。 若需要修改添加的CC攻击防护规则时，可单击待修改的CC攻击防护规则所在行的“修改”，修改CC攻击防护规则。 若需要删除用户自行添加的CC攻击防护规则时，可单击待删除的CC攻击防护规则所在行的“删除”，删除CC攻击防护规则。

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本节内容为您介绍快捷开通并使用天翼云手机的流程，帮助您快速上手。 本节内容为您提供快捷开通并使用天翼云手机（政企版）的流程。 准备工作： 使用天翼云手机前，请确保您已经开通了天翼云账号并完成实名认证。相关操作参考如下： 注册天翼云账号 实名认证 使用流程： 下面以控制台订购天翼云手机（政企版）为例，介绍天翼云手机的开通使用流程，帮助您快速上手。使用的流程如下。 1、开通云手机服务（可选） 在创建并管理云手机之前，需由管理员首先开通云手机服务。 2、订购云手机 根据需求选择云手机配置，并把云手机分配到个人用户，支付成功则完成云手机的快速订购。 3、用户账号激活 完成开通云手机后，用户邮箱会收到天翼云手机政企版开通提醒邮件，根据流程激活账户即可。 4、登录连接云手机 下载并安装客户端后，您可以使用云手机账号登录客户端，然后连接使用云手机。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RocketMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RocketMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RocketMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RocketMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RocketMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本章节会介绍如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的 入方向规则 。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本小节介绍安全专区计费类常见问题。 本产品下订单后是否支持退订？ 不支持退订。因产品交付后，授权文件下发不可回收。如无法自行评估所需产品数量，下单前请咨询客服，我们会安排售前工程师跟进。 为满足客户云下一代防火墙高可用性需求，双机怎么计费？ 在原套餐单台防火墙的基础上增加一台热备防火墙，资费按照两台防火墙计算（价格包括虚机资源和防火墙授权）。 安全专区价格折扣是怎样的？ 安全专区2023年提供全年6折促销，可在购买页面根据自身需求选购，购买页面自动计算价格为6折折扣，详情可参考计费说明。 安全专区收费标准？ 可在官网安全安全专区资费详情中查看。安全专区分为二级入门版、二级基础版、三级高级版、三级旗舰版及自定义套餐。可根据等保需求选择相应套餐，均可满足等保安全防护要求。具体价格请参考计费说明，或联系客服会有专业售前工程师为您解答。 我已经购买了安全专区产品，是否意味着已开启安全防护？ 不是。购买成功后还需要一系列的配置才能开启安全防护，例如云防火墙安全策略配置、添加云堡垒机资产、日志审计采集器配置、终端安全EDR安装等操作。

参数名称 说明 取值样例 虚拟私有云 可以选择使用已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“申请虚拟私有云”创建新的虚拟私有云。 vpcsec 安全组 界面显示专属加密实例已配置的安全组。选择专属加密实例的安全组后，该专属加密实例将受到该安全组访问规则的保护。 sg533c 网卡 界面显示所有可选择的子网，系统自动分配一个未使用的IP地址。 subnet1（10.1..0.0/16） 实例名称 专属加密实例的名称。 DedicatedHSM

本小节介 云解析其它平台解析域名无缝迁移至云解析（平滑迁移）最佳实践。 提供域名解析的服务商都要求修改DNS，但修改DNS是存在解析中断的风险的。为了避免风险，凡计划使用云解析的用户，我们建议用户做如下操作。 准备工作 1. 联系原DNS服务商导出解析记录。 2. 从云解析平台下载《导入解析记录模板》，按模板填写要求，将整理后的解析记录类型为A、AAAA、CNAME的记录填写在模板中。 1. 登录云解析平台，在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。界面最下方为“解析记录批量操作”功能模块。 2. 点击“下载模板”下载《导入解析记录模板》。 3. 根据模板格式填写主机名、记录类型、线路类型、记录值、TTL等信息。 操作步骤 1. 通过天翼云购买解析服务。 2. 在天翼云控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 1. 在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。 2. 将《导入解析记录模板》数据批量导入云解析平台。点击“上传文件”将填写好的模板文件上传至平台，平台将根据操作情况反馈上传结果。 3. 手动添加无法批量导入的解析记录。 3. 检查解析记录是否同原数据一致，避免遗漏。 4. 修改DNS。解析记录设置完成后，需要到域名所在注册商处，将DNS修改为云解析指定的DNS服务器。 5. 等待解析生效。预计4872小时完成缓存刷新，这是由于各地Localdns服务器的域名缓存失效时间长短不一，需要等各地Localdns服务器主动来更新该域名最新DNS服务器地址，才可逐步实现全网生效。 6. 在缓存刷新的4872小时内，DNS解析仍有可能向原DNS发起DNS查询，所以原DNS服务商中的解析记录数据建议保留一周后删除。

本节介绍云等保专区产品的产品规格。 注意 云等保专区暂时限制通过控制台新购，若您需要购买此业务请在官网提交工单咨询。 产品套餐说明 等保体系 等保测评项 安全产品名称 二级等保基础版 二级等保高级版 三级等保基础版 三级等保高级版 安全通信网络 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段 下一代防火墙 ✓ ✓ ✓ ✓ 安全区域边界 应具有提供访问控制、边界防护、入侵防范等安全机制 Web应用防火墙 ✓ ✓ ✓ ✓ 安全计算环境 应启用安全审计功能，数据进行安全审计 云安全中心 × ✓ ✓ ✓ 安全计算环境 应启用安全审计功能，数据进行安全审计 日志审计 ✓ ✓ ✓ ✓ 安全计算环境 应启用安全审计功能，数据进行安全审计 数据库审计 × × ✓ ✓ 安全计算环境 应对用户进行身份鉴别、访问控制、运维审计 堡垒机 × ✓ ✓ ✓ 安全计算环境 应能发现已知漏洞，并在经过充分测试评估后，及时修补漏洞 漏洞扫描 × × × ✓ 安全计算环境 应能发现已知漏洞，并在经过充分测试评估后，及时修补漏洞 主机安全 ✓ ✓ ✓ ✓ 安全管理中心 集中监控，集中审计，集中配置，集中告警 云安全中心 × ✓ ✓ ✓ 安全运维管理 应根据数据资产安全管理制度识别数据并编制数据资产清单 数据分类分级 大数据扩展场景可选 安全数据处理 应根据数据的使用目的，采取相应的数据脱敏技术、数据脱敏规则和数据脱敏策略对敏感数据进行脱敏。 数据脱敏与水印 大数据扩展场景可选

说明：本章节会介绍天翼云关系型数据库如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

参数 是否必填 配置说明 虚拟私有云 √ 选择虚拟私有云资源。下拉列表中展示用户在所选命名空间下容灾分区所对应的地域中的相关虚拟私有云资源。 虚拟私有云（Virtual Private Cloud，VPC）可帮助您在云上轻松构建隔离的、私密的虚拟网络环境。您可以完全掌握自己的虚拟网络，包括申请弹性公网IP、带宽、创建子网、设置安全组等。此外您还可以通过云专线、VPN等方式将VPC与传统数据中心互联互通，灵活整合资源。 子网 × 选择子网。 子网是虚拟私有云内的IP地址块，虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重复。子网创建成功后，网段无法修改。 安全组 × 选择安全组。 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制，用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。 绑定ELB × 绑定ELB，可多选。 弹性负载均衡（Elastic Load Balancing，ELB）是一种分发控制网络流量的服务，通过预先设定的算法将访问流量自动分发到多个实例，扩展应用系统对外的服务能力，实现更高水平的应用系统容错性能。 绑定EIP × 绑定EIP。可通过切换开关确认是否执行EIP和ELB的绑定操作，选中并完成创建后会自动绑定相关资源到云主机上。 弹性IP（Elastic IP，EIP）是指将公网IP地址和路由网络中关联的实例绑定，以实现虚拟私有云内的实例通过固定的公网IP地址对外提供访问服务。

本节介绍天翼AI云电脑(公众版)在订购方面的常见问题。 是否需要自行购买瘦终端？ 是的，瘦终端设备需要自行购买，您可以查询终端适配列表获取天翼AI云电脑兼容的瘦终端型号。 是否支持购买带宽？ 天翼AI云电脑（公众版）不支持单独购买，默认情况下，天翼AI云电脑基础版包含下行带宽为50M，上行带宽为2M。标准版和精英版AI云电脑包含下行带宽为50M，上行带宽为4M。 天翼AI云电脑（政企版）支持单独购买或分配带宽，带宽大小以分配到子网的带宽为准。 是否支持单独购买数据盘？ 支持，用户在订购天翼AI云电脑过程中可以选择数据盘进行加购。AI云电脑创建成功后，也可以单独对天翼AI云电脑进行数据盘扩容。 天翼AI云电脑到期前有提醒吗？ 通过天翼云门户订购天翼AI云电脑，在即将到期前有3次到期提醒，分别为到期前7天、到期前3天，到期前一天和到期当天，以短信和邮件形式进行通知。 退订天翼AI云电脑前有哪些限制条件？ 关于产品退订规则说明，请参考产品退订

维度 弹性文件服务 对象存储 云硬盘 概念 弹性文件服务提供了一个高度可扩展的文件系统，可在云环境中共享文件数据。具有高可用性、持久性和可靠性。 对象存储具有高度的可扩展性和耐久性，可以存储任意类型的海量数据，并且能够自动处理数据冗余、故障恢复和数据分发。 云硬盘提供了高性能、低延迟、可扩展的块级存储。云硬盘可以被挂载到弹性云主机或物理机上，使其能够持久化地存储数据。 存储方式 弹性文件服务采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 对象存储将数据存储为独立的对象。每个对象由数据本身和与之相关的元数据（例如文件名、文件类型、大小等）组成。 云硬盘采用块存储方式。块存储将数据分为固定大小的块（通常为几KB或几MB），并通过唯一的块地址进行访问。 访问方式 弹性文件服务通过网络共享的方式进行访问。用户可以在需要的弹性云主机实例或容器实例上挂载文件系统，并通过标准的文件系统接口（如NFS、SMB等）访问共享的文件系统。 对象存储需要指定桶地址，通过HTTP或HTTPS等传输协议进行访问。 云硬盘类似于PC机的硬盘，无法单独使用，通常通过挂载（Mount）的方式来访问。它可以被挂载到弹性云主机或物理机上，使其在操作系统中可见。 适用场景 如应用程序的配置文件、日志文件等需要共享的文件数据以及在容器化应用中支持多个容器实例之间的数据共享和同步。 如大数据分析，数据湖，数据备份和归档等大规模数据存储和分析场景；静态网站托管解决方案存储。 如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化；大规模数据处理与分布式计算等高性能计算场景。 容量 弹性文件服务可按需扩展，单文件系统容量默认最大为32TB。如需更大容量的文件系统，可提工单申请。 对象存储服务没有容量限制，存储资源可无限扩展。 云硬盘支持按需扩容，最小扩容步长为1 GB，单个云硬盘可由10 GB扩展至32 TB。 是否支持数据共享 是 是 是 是否支持远程访问 是 是 否

维度 弹性文件服务 对象存储 云硬盘 概念 弹性文件服务提供了一个高度可扩展的文件系统，可在云环境中共享文件数据。具有高可用性、持久性和可靠性。 对象存储具有高度的可扩展性和耐久性，可以存储任意类型的海量数据，并且能够自动处理数据冗余、故障恢复和数据分发。 云硬盘提供了高性能、低延迟、可扩展的块级存储。云硬盘可以被挂载到弹性云主机或物理机上，使其能够持久化地存储数据。 存储方式 弹性文件服务采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 对象存储将数据存储为独立的对象。每个对象由数据本身和与之相关的元数据（例如文件名、文件类型、大小等）组成。 云硬盘采用块存储方式。块存储将数据分为固定大小的块（通常为几KB或几MB），并通过唯一的块地址进行访问。 访问方式 弹性文件服务通过网络共享的方式进行访问。用户可以在需要的弹性云主机实例或容器实例上挂载文件系统，并通过标准的文件系统接口（如NFS、SMB等）访问共享的文件系统。 对象存储需要指定桶地址，通过HTTP或HTTPS等传输协议进行访问。 云硬盘类似于PC机的硬盘，无法单独使用，通常通过挂载（Mount）的方式来访问。它可以被挂载到弹性云主机或物理机上，使其在操作系统中可见。 适用场景 如应用程序的配置文件、日志文件等需要共享的文件数据以及在容器化应用中支持多个容器实例之间的数据共享和同步。 如大数据分析，数据湖，数据备份和归档等大规模数据存储和分析场景；静态网站托管解决方案存储。 如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化；大规模数据处理与分布式计算等高性能计算场景。 容量 弹性文件服务可按需扩展，单文件系统容量默认最大为32TB。如需更大容量的文件系统，可提工单申请。 对象存储服务没有容量限制，存储资源可无限扩展。 云硬盘支持按需扩容，最小扩容步长为1 GB，单个云硬盘可由10 GB扩展至32 TB。 是否支持数据共享 是 是 是 是否支持远程访问 是 是 否

本节包括虚拟私有云、弹性网卡类型、约束与限制、相关链接。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 虚拟私有云更多信息，请参见《虚拟私有云用户指南》。 弹性网卡类型 主弹性网卡：在创建云主机实例时，随实例默认创建的弹性网卡称作主弹性网卡。主弹性网卡无法与实例进行解绑。 扩展弹性网卡：您可以创建扩展弹性网卡，将其附加到云主机实例上，您也可以将其从实例上进行解绑。每台实例可附加的扩展弹性网卡数量由实例规格决定。 约束与限制 云主机实例与扩展弹性网卡必须在同一VPC，可以分属于不同安全组。 说明 此限制仅针对管理控制台，通过API创建弹性网卡可以指定与云主机实例不同的VPC。 主弹性网卡不能解绑服务器。 云主机可附加的扩展弹性网卡数量由云主机实例规格决定。具体请参见实例规格（X86）规格清单、实例规格（鲲鹏）规格清单（鲲鹏）。 弹性网卡不支持直接访问天翼云内公共云服务，如内网DNS等，推荐使用VPCEP访问天翼云公共云服务。

本节介绍如何为子账号配置统一身份认证（IAM）的云等保专区控制台权限。 统一身份认证（Identity and Access Management，简称IAM）服务，是提供给用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。 默认情况下，天翼云主账号拥有所有权限，而主账号创建的IAM子账号没有任何权限。IAM子账号需要授权相应策略，或加入用户组并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 说明 如需要为子账号配置购买权限，还需要配置支付下单，弹性IP、弹性云主机等权限，具体策略请参见依赖策略说明。 云等保专区IAM策略，仅针对云等保专区的控制台，若想具体查看各原子能力的控制台或系统，还需针对各原子能力配置对应的策略，具体请参考云等保专区IAM策略说明。 云等保专区IAM策略说明 云等保专区提供如下系统策略： 策略名称 策略描述 类别 授权范围 云等保商用管理员 拥有云等保专区控制台所有权限，可操作云等保控制台所有的菜单。 系统策略 全局级 云等保业务管理员 拥有云等保专区控制台所有操作权限，但无法进行新购，续订，升配，退订相关订单操作。 系统策略 全局级 云等保云安全中心 仅可查看、操作云等保专区云安全中心菜单；其他原子能力菜单不可见。 系统策略 全局级 云等保主机安全 仅可查看、操作云等保专区主机安全菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保Web应用防火墙 仅可查看、操作云等保专区Web应用防火墙菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保下一代防火墙 仅可查看、操作云等保专区下一代防火墙菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保堡垒机 仅可查看、操作云等保专区堡垒机菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保漏洞扫描 仅可查看、操作云等保专区漏洞扫描菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保数据库审计 仅可查看、操作云等保专区数据库审计菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保日志审计 仅可查看、操作云等保专区日志审计菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保安全体检 仅可查看、操作云等保专区安全体检菜单，其他原子能力菜单不可见。 系统策略 全局级 部分v2.0原子能力需要单独配置原子能力IAM权限才可使用，具体请参考下表： 能力名称 参考链接 主机安全v2.0 主机安全v2.0权限管理 Web应用防火墙v2.0 Web应用防火墙v2.0权限管理 下一代防火墙v2.0 下一代防火墙v2.0权限管理 数据库审计v2.0 数据库审计v2.0权限管理 堡垒机v2.0 堡垒机v2.0权限管理

安全审计 支持对用户登录日志、系统管理操作日志进行审计。 支持对字符操作、图形运维、文件操作及传输、数据库运维产生的会话日志统一审计，同时支持字符操作、图形运维操作全程审计录像及回放。 为什么选择云堡垒机 开通和使用非常便捷： 您只需选择产品版本、实例规格、资产规格，为云堡垒机实例指定实例开通地域、配置相关网络参数即可开通。 开通完成后，您可以在控制台上快捷登入云堡垒机，管理运维您的服务器、数据库等IT资产。 满足合规性规范审查要求： 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求。 满足等级保护、ISO/IEC27001等对运维审计的要求。 云原生堡垒机更安全： 云原生堡垒机运行操作系统及网络安全防护策略统一实现安全加固，缩小攻击面。 租户之间严格网络隔离、实例和数据隔离，各堡垒机实例环境独立，保障系统运行安全。

云搜索服务支持哪些访问方式？ 云搜索服务支持以下访问方式： Restful API Transport Client Rest Client 使用Transport Client访问云服务时，需要确保客户端与服务端的版本一致，否则可能出现无法访问的情况。 Transport Client不推荐使用，建议使用High Level Rest Client。 云搜索服务中是否支持开源Elasticsearch的API或功能？ 兼容开源 Elasticsearch 和 OpenSearch 软件原生接口，并支持 Logstash、Beats、 Kibana 等周边生态。 云搜索服务是否支持Logstash对接？ 支持Logstash对接，用户需要申请一台ECS来安装Logstash并进行配置。 云搜索服务支持哪些搜索功能？ 云搜索服务支持的搜索功能包括强大的全文检索，高亮显示，切面搜索，近实时索引，动态聚类，丰富的文档（如Word、PDF等格式）处理和地理信息搜索等。 为什么集群创建失败？ 集群创建失败原因有如下3种： 资源配额不足，无法创建集群。建议申请足够的资源配额。 如果集群配置信息中，“安全组”的“端口范围/ICMP类型”不包含“9200”端口，导致集群创建失败。请修改安全组信息或选择其他可用安全组。 7.6.2以及7.6.2之后的版本，集群内通信端口9300默认开放在用户VPC的子网上面。创建集群时需要确认所选安全组是否放通子网内的9300通信端口，如果未放通，请修改安全组信息或选择其他可用安全组。 无法备份索引？ 索引的备份是通过创建集群快照实现的。遇到无法备份索引问题，请按照如下操作步骤排查解决。

托管检测与响应服务（原生版）企业版购买须知、服务内容及操作步骤说明。 购买须知 企业版提供安全托管服务，当前针对开通云等保专区、安全专区及托管服务组件的用户提供，请您提前配置相关安全产品。 购买服务后，我们的安全服务工程师将会联系您，并在整个服务周期内与您保持沟通。 一个账号仅支持购买一个企业版实例。 服务内容 1. 持续监控安全产品（WAF、云防火墙、主机安全）事件。 2. 提供漏洞感知，监控云主机、应用、服务脆弱性。 3. 提供威胁情报，持续检测恶意IP、恶意域名、APT攻击等。 4. 提供应急响应支撑，应对突发安全事件。 5. 提供安全评估，评估云上资产整体安全状况，提供评估报告。 6. 不支持退订操作。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击企业版“立即购买”按钮，跳转到企业版订购页面。 3. 在“产品配置”模块配置“托管云主机数”，根据客户需要托管的云主机台数，选择对应的数量。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

本节介绍安全分析的使用约束与限制，以及支持接入的云产品和日志。 态势感知（专业版）的安全分析功能是一种云原生安全信息和事件管理（SIEM）解决方案，支持采集多产品的安全日志及告警，并基于预定义和自定义的安全检测规则对多来源的告警及日志进行聚合分析，旨在帮助企业快速发现和响应安全事件，实现对云负载、各类应用及数据的安全保护。 支持接入的云产品和日志 态势感知（专业版）支持集成多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 具体支持接入的云服务日志请参见支持接入的云服务日志。 使用流程 子流程 说明 新增工作空间 新增工作空间，用于资源隔离和控制。 云服务接入 配置需要接入的数据。 态势感知（专业版）支持集成存储、管理与监管、安全等多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 （可选）新增数据空间 创建用于存储收集日志数据的数据空间。 通过控制台接入的数据，系统将创建默认数据空间，无需再进行创建。 （可选）创建管道 创建用于日志数据的采集、存储和查询的数据管道。 通过控制台接入的数据，系统将创建默认数据管道，无需再进行创建。 配置索引 配置索引条件，缩小查询范围。 查询与分析 对接入的数据进行查询、分析。 下载日志 支持将原始日志或查询分析后的日志下载到本地。 查看图表统计结果 当您执行了查询分析语句后，态势感知（专业版）支持通过图表统计的形式对查询和分析的结果进行可视化展示。 目前支持表格、折线图、柱状图和饼图方式进行展示。

参数 说明 虚拟私有云 物理机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。 您可以选择使用已有的虚拟私有云网络，或者单击“控制中心创建”创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间物理机的访问控制，加强物理机的安全保护。用户可以在安全组中定义各种访问规则，当弹性裸金属加入该安全组后，即受到这些访问规则的保护。当您需要修改安全组时，请前往管理安全组进行操作。标准裸金属不支持安全组，需要系统内配置iptable。 网卡 默认设置主网卡，用户可根据需求设置扩展网卡。 弹性IP 弹性IP将公网IP地址和物理机绑定，通过此绑定，虚拟私有云内的物理机可以使用固定的公网IP地址对外提供访问。 可以根据实际情况选择以下三种方式：不使用：物理机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需物理机进行使用。 自动分配：自动为每台物理机分配独享带宽的弹性IP，可选带宽规格为1~300Mbps。使用已有：为物理机分配已有弹性IP，使用已有弹性IP时，不能批量创建物理机。

参数 说明 虚拟私有云 物理机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。 您可以选择使用已有的虚拟私有云网络，或者单击“控制中心创建”创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间物理机的访问控制，加强物理机的安全保护。用户可以在安全组中定义各种访问规则，当弹性裸金属加入该安全组后，即受到这些访问规则的保护。当您需要修改安全组时，请前往管理安全组进行操作。标准裸金属不支持安全组，需要系统内配置iptable。 网卡 默认设置主网卡，用户可根据需求设置扩展网卡。 弹性IP 弹性IP将公网IP地址和物理机绑定，通过此绑定，虚拟私有云内的物理机可以使用固定的公网IP地址对外提供访问。 可以根据实际情况选择以下三种方式：不使用：物理机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需物理机进行使用。 自动分配：自动为每台物理机分配独享带宽的弹性IP，可选带宽规格为1~300Mbps。使用已有：为物理机分配已有弹性IP，使用已有弹性IP时，不能批量创建物理机。

section73d07d61f523919c)。 系统盘 选择系统盘的存储容量。推荐系统盘规格请参考：堡垒机资产规格。 数据盘 选择数据盘的存储容量。推荐数据盘规格请参考：堡垒机资产规格。 企业项目 选择堡垒机所属的企业项目。 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 子网 选择当前VPC内子网。 子网需在VPC的网段内。 弹性IP 选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 购买时长 选择实例使用时长。 可按月或按年购买云堡垒机。 5. 配置完成后，确认订单无误并阅读《天翼云云堡垒机（原生版）服务协议》后，勾选“我已阅读并同意《天翼云云堡垒机（原生版）服务协议》”，单击“立即购买”。 6. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

本章节主要向您介绍虚拟私有云VPC的功能。 VPC提供丰富的功能供您灵活配置服务，构建多元化组网。 VPC的基本功能：虚拟私有云、子网、路由表和路由、虚拟IP、弹性网卡、辅助弹性网卡。 VPC的网络安全功能：安全组、网络ACL、IP地址组。 VPC的网络连接功能：VPC对等连接。 VPC的网络运维功能：VPC流日志、流量镜像。 功能名称 功能描述 虚拟私有云 虚拟私有云VPC是您在云上的私有网络，为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表等。此外，您可以通过弹性公网IP连通云内VPC和公网网络，通过云专线、虚拟专用网络等连通云内VPC和线下数据中心，构建混合云网络，灵活整合资源。 子网 子网是虚拟私有云内的IP地址集，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重复。 路由表和路由 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。VPC中的每个子网都必须关联一个路由表，一个子网只能关联一个路由表，但一个路由表可以同时关联至多个子网。 虚拟IP 虚拟IP（Virtual IP Address）是从VPC子网网段中划分的一个内网IP地址，是一种可以独立申请和删除的内网IP地址，适用于以下场景： 将一个或者多个虚拟IP同时绑定至一个云主机，可以通过任意一个IP地址（私有IP/虚拟IP）访问云主机。通常当单个云主机内同时部署了多种业务，此时可以通过不同的虚拟IP访问各个业务。 将一个虚拟IP同时绑定至多个云主机，虚拟IP需要搭配高可用软件（比如Keepalived），用来搭建高可用的主备集群。 弹性网卡 弹性网卡即虚拟网卡，您可以通过创建并配置弹性网卡，并将其附加到您的ECS实例上，实现灵活、高可用的网络方案配置。 辅助弹性网卡 辅助弹性网卡是一种基于弹性网卡的衍生资源，用于解决单个云主机实例挂载的弹性网卡超出上限，不满足用户使用需要的问题。辅助弹性网卡通过VLAN子接口挂载在弹性网卡上，您可以通过创建辅助弹性网卡，使单个云主机实例挂载更多网卡，实现灵活、高可用的网络方案配置。 安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 IP地址组 IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。 VPC对等连接 对等连接是建立在两个VPC之间的网络连接，不同VPC之间网络不通，通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 IPv4/IPv6双栈网络 IPv4/IPv6双栈可为您的实例提供两个不同版本的IP地址：IPv6地址在被加入共享带宽后，可以进行公网访问。 VPC流日志 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 流量镜像 VPC流量镜像功能可以镜像弹性网卡符合筛选条件的报文。您需要设置入方向和出方向的筛选条件，经过弹性网卡的流量符合筛选条件时，将被镜像到指定的云主机网卡，适用于网络流量检查、审计分析以及问题定位等场景。