本小节介绍漏洞扫描售前类常见问题。 什么是漏洞扫描服务？ 漏洞扫描服务是通过在公网或内网，基于漏洞数据库，通过扫描对指定的远程或者本地计算机系统的安全脆弱性检测，发现可利用漏洞的一种安全检测行为。可对公网或内网的资产进行扫描，扫描完成后出具专业扫描报告，并提供漏洞修复建议。 漏洞扫描服务有哪些功能？ 多种评估类型：评估主机系统、网络和应用程序的弱点，检测系统内的恶意软件，发现Web服务器和服务的弱点。 丰富的评估能力：网络设备，包括下一代防火墙、操作系统、数据库、Web应用、虚拟和云环境等，扫描IPv4、IPv6和混合网络，可根据需求设置扫描任务运行时间和频率。 两种扫描模式：漏洞扫描器在选择扫描方式时可使用非登录扫描和登录扫描方式，登录扫描能够更深入全面的发现主机漏洞。 持续管理：扫描器可以配置为自动更新，扫描器不断更新高级威胁及零日漏洞插件。 多种报告：自定义报告以按漏洞或主机排序，创建执行摘要或比较扫描结果以突出显示更改，可提供XML、PDF、CSV和HTML类型的报告。 漏洞扫描服务有什么优势？ 快速发现：能够准确、快速的发现主机存在的漏洞风险，对发现的漏洞进行分析，及时提供专业含切实可行整改建议的扫描报告。 准确详尽：详尽描述系统存在的漏洞种类、安全漏洞数量、危害级别等，描述漏洞时提供可行解决方案。 准确性强：插件扩展性强、功能强大，可以对多种安全漏洞进行漏洞发现，使用多个扫描工具交叉扫描，降低误报，提高漏洞准确性。

等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

部署在云应用引擎 CAE（Cloud App Engine）上的应用运行时，可能会出现 Pod 问题。本文介绍常见的 Pod 问题和解决方法。 ImagePullBackOff 当 CAE 无法获取到 Pod 中某个容器的镜像时，将出现此错误。 可能原因： 镜像名称无效，例如镜像名称拼写错误、镜像不存在。 镜像标签无效，例如标签拼写错误、标签不存在。 镜像属于私有仓库。 解决方案： 更正镜像名称与标签。 将镜像上传至天翼云镜像仓库。 CrashLoopBackOff 如果容器无法启动，出现此错误。 可能原因： 应用程序中存在错误，导致无法启动。 未正确配置容器。 Liveness探针失败太多次。 解决方案： 您可以通过查看实时日志和事件分析失败原因，并修改相关配置。 处于未就绪状态的Pod 如果Pod正在运行但未就绪（not ready），则表示 Readiness 就绪探针失败。 可能原因： 当“就绪”探针失败时，Pod未连接到服务，并且没有流量转发到该实例。 解决方案： 登录Webshell，执行您自定义的就绪探针命令，查看 Pod 是否正常运行。如果不正常，您可以通过实时日志或事件对其进行分析。

部署在云应用引擎 CAE（Cloud App Engine）上的应用运行时，可能会出现 Pod 问题。本文介绍常见的 Pod 问题和解决方法。 ImagePullBackOff 当 CAE 无法获取到 Pod 中某个容器的镜像时，将出现此错误。 可能原因： 镜像名称无效，例如镜像名称拼写错误、镜像不存在。 镜像标签无效，例如标签拼写错误、标签不存在。 镜像属于私有仓库。 解决方案： 更正镜像名称与标签。 将镜像上传至天翼云镜像仓库。 CrashLoopBackOff 如果容器无法启动，出现此错误。 可能原因： 应用程序中存在错误，导致无法启动。 未正确配置容器。 Liveness探针失败太多次。 解决方案： 您可以通过查看实时日志和事件分析失败原因，并修改相关配置。 处于未就绪状态的Pod 如果Pod正在运行但未就绪（not ready），则表示 Readiness 就绪探针失败。 可能原因： 当“就绪”探针失败时，Pod未连接到服务，并且没有流量转发到该实例。 解决方案： 登录Webshell，执行您自定义的就绪探针命令，查看 Pod 是否正常运行。如果不正常，您可以通过实时日志或事件对其进行分析。

本节描述了弹性云主机使用场景须知、使用限制、Windows操作系统使用须知、Linux操作系统使用须知。 弹性云主机使用场景须知 禁止使用ECS搭建赌博、私服、跨境VPN等违法违规业务。 禁止使用ECS对电商网站开展刷单、刷广告等虚假交易操作。 禁止利用ECS对外部系统发起网络攻击，例如：DDoS攻击、CC攻击，Web攻击，暴力破解，传播病毒、木马等。 禁止使用ECS提供流量穿透服务。 禁止利用ECS搭建爬虫环境，对外部系统发起爬虫搜索。 未经外部系统主体授权，禁止利用ECS对外部系统发起扫描、渗透等探测行为。 禁止在ECS上部署任何违法违规网站和应用。 使用限制 请勿卸载云主机硬件的驱动程序。 弹性云主机不支持加载外接硬件设备，例如：硬件加密狗、U盘等。 请勿修改网卡的MAC地址。 弹性云主机不支持二次虚拟化。 物理机支持虚拟化软件安装和二次虚拟化，兼容VMware、Citrix XenServer、HyperV、Xen、KVM等多种Hypervisor。 部分软件的鉴权模式可能会导致license与物理机的硬件信息绑定，云主机的迁移、规格变更操作可能会引起物理信息变更进而导致license失效。 由于物理机故障导致云主机发生迁移，迁移时可能会出现重启或关机现象，建议您在系统业务进程配置自动拉起和开机自启动，或者通过业务集群部署、主备部署等方式实现业务的高可用。 建议您为部署核心关键业务的云主机做好数据备份。 建议您为云主机上的应用业务指标做好监控配置。 不建议您修改默认的DNS，如您有公网DNS配置需求，可以在云主机上配置公网DNS和内网DNS。

本小节介绍DDoS高防IP使用说明类常见问题。 什么是DDoS高防IP？ 高防IP是针对服务器在遭受大流量的攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。 天翼云DDoS高防IP购买后操作步骤？ 接入防护配置设置，分配高防IP（网站同步分配CNAME），接入设置生效后进入防护配置；天翼云协助帮您将对网站IP重新备案并分配IP，该IP即为分配的转发IP；完成后将在高防节点对转发IP进行业务设置，设置成功后将可以进入防护配置。 网站类：将域名解析重新设置指向CNAME地址。 非网站类：设置业务访问接入只转发IP完成防护配置。 如何选择静态防护、还是动态防护？ 如客户业务IP是单个运营商（电信或联通或移动等），选静态。 如客户业务IP是多个运营商（例如电信+移动，电信+联通，或三家都有），选动态防护。 保底防护带宽如何选择？ 根据攻击带宽流量向上取整，例如遭受攻击11Gbps，则选择20Gbps。 回源业务带宽怎么选择？ 根据购买业务IP的出向流量向上取整，默认100Mbps。客户可根据服务器的出向流量来选择，通常100Mbps即可，最大支持300Mbps，超过300Mbps则新增订单。 端口数怎么选择？ 默认50个免费，最大100个（超过100个需下多套订单）。 防护对象尽量是域名，且需要域名备案。需客户进入域名管理后台，将域名的CNAME由原本的服务器地址解析指向至DDoS高防IP，并在服务器防火墙侧将分配的DDoS高防IP地址加入白名单。

天翼云云下一代防火墙服务协议（新） 自2021年11月11日起，新版天翼云云下一代防火墙服务协议生效。 天翼云云下一代防火墙服务协议（旧）

本小节介绍云堡垒机使用RDP连接到服务器连接失败问题操作指导。 运维用户登录云堡垒机控制台后，窗口弹出“若访问失败，请确认是否安装访问插件”，这说明用户第一次在当前终端还未安装云堡垒机客户端插件，需要下载并安装。 云堡垒机客户端插件是天翼云堡垒机产品重要组成部分之一，支撑客户端工具运维和web网页运维代理、资源免密单点登录登重要功能。用户需要点击运维设置访问插件 按钮下载并安装插件。 操作步骤 1. 运维用户登录云堡垒机实例控制台。 2. 访问控制台运维设置访问插件，点击访问插件按钮下载客户端插件。 3. 下载完成后，安装客户端插件。 4. 设置运维客户端本地安装路径，点击运维客户端路径配置，配置您的运维工具本地路径。 配置完成后，下次你登录云堡垒机后就可直接点击客户端工具图标，直接开始运维你权限内的资产。

本文介绍使用DDoS高防（边缘云版）后访问URL时出现空白页面的问题原因及解决方案。 问题现象 使用天翼云DDoS高防（边缘云版）后，访问特定URL时出现空白页面，即页面没有任何内容显示。 问题原因 1、域名解析问题：可能是由于域名解析存在异常，导致无法正确访问到天翼云节点并获取有效的内容。详情请见： 如何确认域名CNAME解析是否正常。 2、源站异常：可能是源站出现故障或配置错误，导致边缘节点无法正确获取内容并回源给用户。定位方法，详情请见：如何确认访问异常是边缘节点问题还是源站问题。 解决方案 1、域名解析问题解决方案： 检查CNAME是否有配置错误。解决方案，详情请见：如何处理CNAME解析不生效问题。 如无CNAME配置错误，可等待一段时间，重新尝试访问URL，以确保域名解析已经生效。 3、源站异常解决方案： 方案一：检查源站服务器是否正常运行，并修复可能存在的故障或配置错误。 方案二：检查源站对应URL文件是否正常，并更换为正常的URL 文件。 如果以上方案还是无法解决您的问题，请提交工单联系天翼云客服协助处理。

本节介绍漏洞扫描服务的相关术语。 术语 说明 漏洞（Vulnerability） 硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。 网站（Website） 网站(Website)开始是指在因特网上根据一定的规则，使用HTML（标准通用标记语言下的一个应用）等工具制作的用于展示特定内容相关网页的集合。简单地说，网站是一种沟通工具，人们可以通过网站来发布自己想要公开的资讯，或者利用网站来提供相关的网络服务。 Web应用（Web App） Web应用程序是可使用任何Web浏览器访问的软件或程序。Web应用程序是具有功能和交互式元素的网站。 主机（Host） 连接了硬盘、硬盘子系统或者文件服务器，并能在其上存储数据和I/O访问的计算机系统。大型机、服务器、工作站以及个人电脑，甚至多处理器机器和集群计算机系统都被称为主机。 安全配置基线（Security Configuration Baseline） 安全配置基线即针对不同的产品或者系统，依据安全评估标准，形成一系列固化的检查规则、评估方法，为安全管理人员在实际的安全配置工作中提供参考和标杆。 NVD National Vulnerability Database国家安全漏洞库。 CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 安全通告（Security Advisory） 安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。一般用于厂商披露器产品直接相关的漏洞。

本节介绍对象存储用户指南。 概述 ​分布式容器云平台提供cstorcsi插件，基于Kubernetes容器存储接口，深度融合天翼云存储服务对象存储，并完全兼容Kubernetes原生的存储服务。 对象存储概述 分布式容器云平台支持使用天翼云对象存储作为存储卷。天翼云对象存储为客户提供海量、弹性、高性价比的存储产品，通过S3协议和标准的服务接口，提供非结构化数据的存储服务。 使用限制 服务开通 使用前请在所在资源池，开通对象存储服务。 存储类型 当前分布式云容器平台非天翼云集群的注册集群仅支持对象存储、本地存储两种类型。 挂载类型 当前分布式容器云平台支持使用对象存储内网、外网地址挂载，请根据注册集群访问网络类型选择对应地址。 前提条件 插件安装需要配置用户AK、SK，安装前请先到天翼云门户 用户 > 查看 > 安全设置 > AccessKey 中获取；首次可通过 创建AccessKey获取。 对象存储默认为按需付费方式，天翼云账户余额需在100元以上。 节点标签：需打上topology.kubernetes.io/zone标签。 节点需安装s3fs工具用于挂载对象存储，建议版本为v1.89。 使用对象存储 插件安装 1. 登录到 分布式容器云平台 ，进入集群管理栏，打开指定注册集群详情页面，点击左侧导航栏，选择 插件市场，找到cstorcsi插件。 2. 在弹出的安装界面，配置用户AK、SK ，填写注册集群的 kubeletDir，点击安装。

本文介绍象存储如何计费。 对象存储标准型总计三个计费项：存储费用、公网流出流量费用、CDN回源流出流量、请求费用，说明如下： 存储费用：即存储容量费用，按用户数据占用的存储空间量收取费用。 公网流出流量费用：按存储数据被调用或下载产生的公网流量收取费用。 CDN回源流出流量：数据从媒体存储传输到天翼云CDN所产生的回源流量。 请求费用：请求费用按照发送到对象存储的请求指令次数进行计算，实际上每调用一次API都计算一次请求次数。 更详细的计费项说明可参考 计费项 。

您可以通过修改或删除IP地址，管理IP地址组信息。本节介绍如何修改或删除黑白名单IP地址组。 前提条件 已成功创建地址组。 约束条件 修改IP地址组时，请确保IP地址组中的IP/IP地址段未添加到其他IP地址组，重复添加同一IP/IP地址段会导致添加IP地址组失败。 如果地址组已被黑白名单规则引用，删除地址组前需要解除该地址组与黑白名单规则的绑定关系。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域或项目。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“对象管理> 地址组管理”，进入“地址组管理”页面。 步骤 5 在地址组列表中，查看地址组信息。 参数名称 参数说明 地址组名称 用户自定义的地址组名称。 IP/IP段 地址组添加的IP地址/IP地址段。 应用规则 引用地址组的防护规则。 备注 地址组补充信息。 步骤 6 修改或删除IP地址组。 修改地址组：在目标地址组所在行的“操作”列中，单击“修改”，在弹出的“修改地址组”对话框中，修改地址组名称或IP地址/IP地址段后，单击“确认”。 删除地址组：在目标地址组所在行的“操作”列中，单击“删除”，在弹出的提示框中，单击“确认”。

本节介绍网页防篡改（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

本节内容为您介绍快捷开通并使用天翼AI云电脑（政企版）的流程，帮助您快速上手云电脑。 准备工作 使用天翼AI云电脑（政企版）前，请确保您已经开通了天翼云账号并完成实名认证。相关操作参考如下： 注册天翼云账号 实名认证 使用流程 天翼AI云电脑（政企版）支持快速订购和天翼AI云电脑（政企版）管理台订购两种方式，下面以快速订购为例，介绍AI云电脑的开通使用流程，帮助您快速上手天翼AI云电脑（政企版）。使用的流程如下。 1.进入天翼AI云电脑（政企版）产品详情 首先进入天翼AI云电脑（政企版）产品详情页，点击“立即订购”。 2. 快速订购AI云电脑 根据需求选择AI云电脑配置，并把AI云电脑分配到个人用户，支付成功则完成AI云电脑的快速订购。 3. 用户账号激活 完成开通AI云电脑后，用户邮箱会收到天翼AI云电脑政企版开通提醒邮件，根据流程激活账户即可。 4. 登录连接AI云电脑 下载并安装客户端后，您可以使用已激活的AI云电脑账号登录客户端，然后连接使用AI云电脑。

告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人,我们可以在通知组中设置接收人信息。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「告警管理 」「通知组」。 功能说明 联系人（短信/邮箱） 如需要通过短信/邮箱进行告警，可在此处维护联系人信息。支持对联系人信息进行增删改查，需要录入基础信息 同时也支持对联系人进行分组，对联系人组进行增删改查。 翼连 支持增删改查翼连群信息，将某个翼连群作为一个“联系人组”。 WebHook集成 支持以WebHook的方式对第三方通知对象（钉钉、企业微信、飞书等）发送告警信息。支持增删改查WebHook信息。 告警渠道使用限制 告警渠道 限额 说明 邮件 每个天翼云账号每天20封邮件通知，超出限额后停止发送 如有需求，请提交工单反馈 短信 每个天翼云账号每天20封短信通知，超出限额后停止发送 如有需求，请提交工单反馈

资源管理是用户定义SSL VPN内网的可用网络资源。本小节介绍SSL VPN的资源管理。 VPN设备提供四种类型资源，资源类型说明如下： WEB应用：支持无任何插件的Web资源，建议仅对移动终端开放。 TCP应用：支持TCP协议的业务，如果没有移动终端接入需求，大部分TCP协议的应用建议使用该类型的资源，如HTTP、FTP等。 L3VPN：使用隧道支持全IP协议，支持TCP、UDP、ICMP等应用，支持Android4.0，iOS9.0以上版本的移动终端的VPN接入，如需考虑移动终端接入，建议使用该类型资源。 远程应用：需借助Windows server搭建终端服务器，可发布服务器上的应用程序访问内网系统。 注意事项 非必要场景（无插件），不建议使用Web应用添加资源。 HTTP类型的系统，如果访问地址有带文件路径，在创建资源时，地址列表应该填写带HTTP前缀的完整路径，如下图： 创建资源 1. 在“资源管理”页面，点击“新建”按钮，VPN设备提供四种类型资源可选，为支持移动终端VPN直连业务系统，本次资源全部选择L3VPN类型。 2. 选择一种应用类型，如“L3VPN”，弹出“编辑L3VPN资源”对话框。 3. 设置资源名称，设备预定义了一些资源类型，如果没有可选择Other即可，选择协议类型以及地址，保存立即生效即可。

本节介绍了如何开通DDoS高防（边缘云版）服务。 操作流程 步骤一：订购服务 步骤二：选择套餐 步骤一：订购服务 您可以在官网直接在线订购DDoS高防（边缘云版），也可以联系客户经理进行线下开通（注意：线下开通也需要完成天翼云账号注册与实名认证）。 1. 注册天翼云账号。 2. 完成实名认证（未实名认证的用户需按提示完成实名认证才能开通服务）。 3. 进入产品详情页，快速了解产品，之后单击【立即开通】。 4. 在购买页面选择适合的套餐及功能，勾选并阅读服务协议，确认无误后点击“订购”，产品即开通。 5. 产品服务开通后，便可以根据操作手册去控制台开始接入您要服务的业务。 步骤二：选择套餐 选购项 是否必选 选购项说明及建议 套餐规格 是 不同的套餐规格，包含的保底防护带宽、CC防护能力、业务带宽、端口数和域名数会存在差异。您需要评估您业务的防护需求，以选择合适的套餐。 保底防护带宽：可防御的攻击流量峰值。 CC防护能力：可防御的CC攻击峰值 业务带宽：所接入业务日常入方向及出方向流量总和的峰值。 端口数：使用TCP和UDP协议添加接入的端口数量。 域名数：支持使用HTTP和HTTPS接入的域名数量。需梳理一级主域名的数量以及主域名下子域名的数量。 弹性防护 否 弹性防护带宽为超过保底带宽后的最高防护带宽，超过保底带宽值但不大于弹性带宽值的攻击仍然可以进行有效防护，但会根据超出保底带宽的部分产生后按照超出部分所属阶梯价格付费（按天收费），如防护超过选定的最高防护带宽，则通过解析回源，2小时后自动解封。 若您的业务有受到超大流量攻击的风险但次数不会太频繁，建议开启弹性防护。 域名扩展包 否 如果您需要防护的域名数量超过您购买套餐的域名数量，可以购买扩展包进行补充：一个扩展包支持1个主域名及域名下的9个子域名。 端口数 否 如果您需要防护的端口数量超过您购买套餐的端口数量，可以购买扩展包进行补充。 业务带宽 否 如果您需要的业务带宽量超过您购买套餐的使用量，可以购买扩展包进行补充。 缓存功能 否 如果您需要增加缓存功能，可以开启该功能。 购买时长 是 选择需要订购的时长。 自动续订 否 若开启，将在余额充足的情况下自动续订，续订时长可设置。

本文将介绍如何使用边缘安全加速平台安全与加速服务的防护规则引擎功能。 功能介绍 规则防护引擎使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护。 目前防护 Web 攻击包括：SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击。 支持规则模板配置（安全基础配置—漏洞防护配置），用户可根据实际业务需要选择适合的模板，同时提供基于指定域名 URL 和规则 ID 白名单处置策略，进行误报处理。 背景信息 在控制台添加加速域名时，系统将通过一系列问题确认网站的防护场景，并为您推荐默认生效的防护规则集，支持选择防护动作为告警或拦截。接入边缘安全加速平台安全与加速业务成功后，将默认生效此防护规则集。 规则防护引擎基于各类防护场景，设定了七套防护规则集，能够满足各种网站业务防护需求，帮助网站抵御大量的Web攻击并提供漏洞防护。目前边缘安全加速平台安全团队总共已经维护五百多条防护规则，支持自动更新Web 0day漏洞攻击防护规则。

本文介绍Web应用防火墙（边缘云版）在CC攻击常见场景推荐的防护策略和配置。 CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。以下是一些常见的CC攻击场景及WAF在不同场景下提供的具体防护策略和配置。 场景1：高频海量的虚假请求耗尽服务器资源 攻击者利用大量的虚假请求，不断向目标网站发送超过正常用户请求频率的请求，导致目标网站无法正常服务，这个最常见的一种CC攻击场景。您可以关注您的网站请求数趋势，如果请求QPS在某一时刻突然异常突增很多(比正常业务QPS突增超过10倍)，就很有可能是受到了CC攻击。 针对超过正常请求频率的攻击，最直接有效的防护方式就是配置频率控制，通过限制指定URL的访问频率，拦截超过网站正常业务请求频率的攻击。如：配置登录接口的单IP访问频率达到每分钟50次时则进行拦截，具体配置操作请参考：设置客户端IP访问域名首页次数限制。 除此之外，您还可以通过开启CC防护功能对CC攻击进行防护，设置URL达到指定阈值后则进行挑战，通过CC防护策略来校验请求是否来自于真实浏览器（注意：该功能不适用于不能执行JS的环境，如API、Native App、Websocket等） 配置示例：以下配置在阈值请求达到每5秒5000次时，则会开启CC攻击防护。更多CC防护配置请参考：设置CC防护配置。

本文向您介绍标签管理服务的身份认证与访问控制。 统一身份认证（Identity and Access Management，简称IAM）是天翼云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝他们对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。 标签管理服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的，定义了允许和拒绝的访问操作，以此实现云资源权限的访问控制。管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个组授予所需的权限，用户组内的用户自动继承用户组的所有权限。 详情请参见用户权限和权限管理。

本文介绍如何将第三方云厂商（如阿里云、腾讯云、华为云）日志服务的日志数据迁移至天翼云日志服务中。整体上是将第三方云厂商的日志数据，以对象存储的方式迁移到天翼云中，再通过天翼云云日志服务的对象存储导入功能，将日志数据导入至天翼云中。 准备工作 已在天翼云日志服务中创建目标日志项目与日志单元。 已在第三方云厂商的对象存储中创建一个独立的bucket。 已开通天翼云对象存储并创建一个独立的bucke。 操作步骤 1. 登录第三方云厂商日志服务控制台。 2. 通过第三方云厂商提供的日志转储功能，将日志数据以JSON格式一次性转储到第三方厂商的对象存储bucket中（上述准备工作中所创建的bucket）。具体操作请参考第三方厂商关于日志转储的文档说明。 注意 通过配置文件个数或攒批大小，以确保每个文件不超过1GB。 3. 将第二步中的bucket，从第三方云厂商迁移到天翼云的对象存储指定bucket中（上述准备工作中所创建的bucket），可参考以帮助文档：使用对象存储迁移服务将第三方云厂商数据迁移至对象存储ZOS。 4. 对象存储数据迁移完成后，登录天翼云日志服务控制台。 5. 点击左侧“日志接入”惨淡，选择对象存储导入。 6. 选择日志存储目标（上述准备工作中所创建的日志项目与日志单元）。 7. 在导入配置流程中，根据页面指引完成导入配置，可参考以下参数说明。 参数 说明 接入配置名称 导入任务的唯一标识 ZOS存储桶 选择第三步中的天翼云对象存储bucket 文件路径前缀过滤 此处可不填写。 文件路径正则过滤 此处可不填写。 文件修改时间过滤 选择所有。 压缩格式 选择gzip格式。 检查新文件周期 选择永不检查 文件编码 选择默认UTF8。 数据格式 选择JSON 8. 在索引配置流程中，根据查询需要配置索引字段。如索引字段较多，可以使用【批量解析json字段】，将日志样例复制进去，可以快速添加索引。 9. 最后等待一段时间后即可完成导入，也可以在接入配置中查看导入的情况。

用户可以配置Bucket的网站托管属性，并通过Bucket域名访问该静态网站。 注意 如果配置静态网站托管后，当匿名用户直接访问Bucket的域名，会将静态网站文件下载到本地。如果要实现访问静态网站时是预览网站内容，而非下载静态网站文件，静态网站域名须是Bucket绑定的已备案自定义域名，为Bucket绑定自定义域名请联系天翼云客服申请。 OOS自有网站托管域名不支持HTTPS访问，用户自定义域名支持HTTPS访问。如果需要支持通过HTTPS访问，请联系天翼云客服，提供域名证书，证书支持格式：crt+key或者PEM，请确保提供的证书在有效期内，建议证书有效期至少1年及以上，避免使用免费证书。 尽量避免目标Bucket名中带有“.”，否则通过HTTPS访问时可能出现客户端校验证书出错。 网站托管配置步骤如下： 1. 创建一个公共读属性的Bucket。 2. 向天翼云客服提交工单，申请客户自定义域名添加白名单。 3. 在域名管理系统（DNS服务器）中添加别名： 如果不使用CDN加速，将Bucket的CNAME Record Value（BucketName.ooswebsitecn.oosxx.ctyunapi.cn）作为别名添加到域名管理系统中。 如果使用CDN加速，将CDN厂商提供的别名添加到域名管理系统中，然后在CDN回源地址中配置OOS侧的CNAME Record Value，并将回源host配置为您的自定义域名（如yourdomain.com）。 4. 上传文件：将网站的所有文件（html、CSS、js、图片等）上传到之前创建的Bucket中，注意保持文件之间的相对路径。 5. 配置Bucket网站属性： 使用控制台配置，详见网站 。 使用API配置，详见PUT Bucket WebSite。

什么是手动备份？ 手动备份是用户在备份恢复界面自主发起对数据库实例的全量备份，目前它会一直保存，直到用户主动删除。 企业项目 企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，通过授权用户组来限制用户使用企业项目内的云资源权限。 什么是区域和可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，天翼云已在全国多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见天翼云产品部署看板 。

本文通过图文说明如何自定义查询刷新预取任务的执行状态。 功能介绍 当客户完成刷新或预取任务提交后，如要查看任务执行进度和结果，可以通过天翼云客户控制台【刷新预取】页面，分别查看已提交的URL刷新、目录刷新、正则刷新和URL预取任务的执行情况。 操作方式 1. 登录边缘安全加速控制台，进入【安全与加速工作台】【刷新预取】页面。 2. 在【刷新预取】页面。 3. 按实际情况，选择【URL刷新】、【目录刷新】、【正则刷新】或【URL预取】。 4. 选择具体的时间、输入完整域名，或者选择一种特定的任务状态类型。 5. 单击【查询】。 注意 URL刷新、目录刷新、正则刷新只支持查询最近7天内、时间跨度不超过5天的任务。 URL预取只支持查询最近15天内、时间跨度不超过7天的任务。

本章节主要提供产品服务协议预览。 点此预览：《天翼云翼MapReduce服务协议》

本文介绍云容器引擎的使用流程。 完整的容器服务使用流程包括以下步骤： 使用流程 说明 环境设置 创建集群前，您需要进行必要的环境设置。 说明： 如果用户已有“虚拟私有云”和“安全组”“子网”，可直接使用，不需额外创建。 . 创建虚拟私有云，提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化用户的网络部署； . 创建子网，在虚拟私有云下创建子网，用于集群部署； . 配置安全组，确保集群创建过程中使用的端口开放。 创建集群 CCE支持创建Kubernetes集群(即虚拟机集群)，后续还将提供裸机集群。 选择部署方式 CCE支持两类部署方式，用户可基于自身需求选择。 . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 上传并选择私有镜像：您可基于业务需求制作私有docker镜像，上传到CCE。基于该私有镜像创建容器应用。 创建容器应用 CCE支持无状态及有状态容器应用。 . 无状态应用：在运行中始终不保存任何数据或状态，例如nginx； . 有状态应用：在运行中需要基于数据或状态运行，例如redis。 应用运维 CCE支持容器应用监控、日志，提供全生命周期管理能力。

云数据库ClickHouse已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。本文为您详细介绍云数据库ClickHouse实例的策略与权限管理。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明，请参见统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

数据管理服务DMS已对接天翼云统一身份认证服务(IAM),可对主子账号订购DMS产品进行权限控制。本文为您介绍订购策略与权限。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明，请参见统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

数据管理服务DMS已对接天翼云统一身份认证服务(IAM),可对主子账号订购DMS产品进行权限控制。本文为您介绍订购策略与权限。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明，请参见统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

步骤 3 将新购买的独享引擎实例添加到ELB的后端服务器上。 以添加共享型后端服务器为例说明，添加后端服务器操作步骤如下。 1. 单击页面左上方的“服务列表”，选择“安全> Web应用防火墙（独享版）”，进入“安全总览”页面。 2. 在左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 3. 在目标实例所在行的“操作”列，单击“更多 > 添加到ELB”。 4. 在“添加到ELB”页面中，选择原独享引擎实例配置的“ELB（负载均衡器）”、“ELB监听器”和“后端服务器组”。 5. 单击“确认”，为WAF实例配置业务端口，“业务端口”需要配置为原WAF独享引擎实例实际监听的业务端口。 步骤 4 在ELB管理控制台上，将原独享引擎实例的流量权重设置为“0”。新的请求不会转发到权重为0的后端。 步骤 5 待业务流量降下来后，删除原独享引擎实例。查看独享实例的云监控信息，“新建连接数”较小时（例如，小于5），说明业务流量已经降下来。 1. 在WAF控制台的左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 2. 在目标实例所在行的“操作”列，单击“更多 > 删除”。 3. 在弹出的提示框中，单击“确认”。 删除实例后，该实例上的资源将被释放且不可恢复。 多独享引擎实例节点升级 如果您的业务部署了多个独享引擎实例，请参照以下操作升级实例。

前端监控专注于Web及小程序场景的监控，可采集用户访问、页面性能（首屏/白屏时间）、JS错误、API请求等核心指标。通过轻量SDK快速接入，支持主流框架及小程序平台，实时追踪页面加载性能、异常详情及接口成功率/延迟。提供多维数据分析与可视化错误堆栈，分钟级定位前端故障，助力优化用户体验与业务稳定性。 注意 目前前端监控为免费试用中，仅华东1资源池开放。 产品优势 轻量化接入 接入流程轻便灵活，支持 NPM、CDN 方式快速接入，仅需对业务代码做极少量修改；SDK体积较小，不会对应用性能造成影响。 多平台支持 支持Web应用以及微信、支付宝及字节等小程序，集成多维数据统计与性能瓶颈定位能力，降低多终端运维成本。 低成本 支持 Web 和多平台小程序的前端真实体验监控服务，学习成本较低，只要您掌握基础的前端知识即可放心使用。 全场景数据可视化洞察 实时统计首屏时间、API 成功率等核心指标，多维数据采集、关联，用户体验可视化，量化页面性能表现，快速定位业务转化瓶颈。