本文介绍使用容器安全卫士防护云原生应用的流程。 容器安全卫士是作用于容器集群的安全防护产品，提供了对容器环境下，业务动态及静态安全风险的事前发现、事中预警、事后溯源的安全闭环。可方便快捷地解决业务容器化后带来的安全问题。 使用容器安全卫士防护云原生应用的流程如下：

本文介绍如何验证IP地址是否属于天翼云节点IP。 问题概述 本文主要介绍针对指定的IP，如何验证该IP是否为天翼云节点的IP地址。 验证说明 当前天翼云支持采用调用API接口方式，验证IP是否属于天翼云IP，详情请参见：查询IP地址归属详情。 示例： 请求： 返回结果：参数cdnip：返回"true"表示属于天翼云IP；"false"表示不属于天翼云IP。

配置安全规则 内置规则不可更改，默认为推荐规则，您可以通过单击界面右上角的“推荐”按钮切换到全部规则。 说明 内置规则包含特征规则及其他非特征规则，特征规则不可进行克隆和删除操作，非特征规则可进行克隆操作。 您可以管理自定义的规则，新增自定义安全规则的操作方法如下： 1. 在菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面，选择“规则管理”页签。 2. 单击“新增”，在弹出的对话框中填写相关参数，具体参数请参考安全规则章节。 3. 填写完成后单击“保存”即可完成安全规则新增任务。

本小节介绍渗透测试主要的三大应用场景。 应用系统安全隐患场景 从攻击者的角度检验客户应用系统，检查初次安装、未经测试上线以及版本更新后的业务系统安全防护措施是否有效，各项安全管理措施是否得到贯彻落实。 安全风险认知场景 将客户应用系统潜在的安全风险以真实事件的方式凸现出来，提高相关人员对安全问题的认识。使对应用系统安全风险不了解的系统管理员、开发人员、维护人员以及应用人员，整体了解应用系统面临的安全风险。 事前主动防范场景 网络信息系统承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。

本小节介绍服务器安全卫士的产品定义。 服务器安全卫士专注于服务端主机的安全防护，通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地，为用户提供下一代安全检测和响应能力。 服务器安全卫士采用模块化的组织形式，通过资产清点、风险发现、入侵检测、合规基线、病毒查杀五大功能的智能集成和协同联动，实现安全的统一策略管理和快速的入侵响应能力。

本节介绍如何接入数据并查看日志存储位置。 操作场景 态势感知（专业版）支持一键接入多种云产品的日志数据。接入后，可以统一管理日志信息，以及检索并分析所有收集到的日志。 说明 建议将态势感知（专业版）管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间，便于统一运营，进行安全分析关联。 约束与限制 日志接入操作成功后，日志数据订阅预计在十分钟内生效。 态势感知（专业版）支持一键接入CFW日志数据，若接入的是新购买的CFW的日志数据，由于日志上报存在一定的延迟，如果您当天在态势感知（专业版）执行了接入CFW日志操作，则将会隔天才能在态势感知（专业版）中查看到上报的CFW日志数据。 接入云服务日志 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 云服务接入”，进入云服务日志接入页面。 5. 在云服务日志接入页面，配置日志接入。请根据当前region已开通云服务按需进行接入。 6. 一键接入多个云服务产品的日志 ，在云服务日志接入页面，单击“一键接入”按钮，右侧弹出“一键接入”配置页面。在一键接入配置页面，下拉选择数据源区域，下拉勾选需要接入的云服务日志。配置完成后，单击右下角“确定”，完成设置。 7. 云服务日志接入也支持设置单个云产品的日志接入。在云服务接入管理页面，单击云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。 8. 在设置页面，根据需要配置接入开关。 参数名称 参数说明 日志类型 日志的类型。 日志接入 设置日志接入开关。按钮打开表示日志接入态势感知（专业版）。 自动转告警 在“自动转告警”列，单击，开启后，当接入的云服务日志满足告警触发条件时，自动转为告警，并且在“告警管理”页面中进行展示。 生命周期 日志接入后的存储时长。 日志状态 日志接入的状态。 已接入：日志已接入且执行成功。 未接入：日志未接入。 接入失败：日志接入且执行失败。 最近活跃时间 最近日志接入时间，即活跃时间。 操作 单击“编辑”，可设置该日志类型的生命周期，单位天。生命周期指的是日志接入后的存储时长。 9. 云服务日志接入配置完成后，在“日志审计> 云服务接入”页面可查看云服务产品的日志接入状态。 说明 操作成功后，日志数据订阅预计在十分钟内生效。接入完成后，将创建默认数据空间和管道。

本文介绍边缘接入服务IP应用加速的DDoS攻击防护能力及配置。 功能介绍 边缘接入服务的DDoS防护可有效防御SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL攻击。 前提条件 已经订购边缘安全加速平台边缘接入服务，若未订购，请参见服务开通。 在控制台新增域名/实例，请参见添加域名/实例。 注意事项 1. 需要开启对应区域的DDoS防护开关，才会进行对应区域的DDoS防护。 2. 超量处置仅对DDoS防护中国内地生效。 配置说明 新增接入时开启DDoS防护 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 点击左上角【新增接入】，完成加速配置后，点击右下角【下一步】进入【安全防护配置】页面。 4. 按需开启DDoS防护中国内地、DDoS防护全球（不含中国内地）开关。 修改DDoS防护 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 找到您要防护的域名/实例，点击操作列的安全防护，进入【安全防护配置】页面。 4. 按需开启DDoS防护中国内地、DDoS防护全球（不含中国内地）开关。 5. 【安全防护配置】页面还可修改DDoS攻击峰值超出订购规格后的超量处置规则，用户可选择将业务解析回源站或者解析至黑洞地址。默认解析至源站地址。 配置界面 1. 新增接入时，DDoS防护配置界面： 2. 修改安全防护时，DDoS防护配置和超量处置配置界面：

本页介绍天翼云TeleDB数据库中透明存储加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。 透明加密的方案 透明加密是由自动加密与解密和加密密钥管理两部分机制组成。 自动加密与解密：当数据写入磁盘，TDE会自动对数据进行加密。当数据从磁盘读取时, TDE会自动对数据进行解密。整个加密与解密过程，用户和应用程序将不会感知。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密密钥管理：TDE通常使用对称加密算法（如AES）。加密密钥被存储在数据库管理系统外部或安全位置，加密算法的由数据库维护，包括加密算法的选择、秘钥管理，都可以由安全员独立操作完成，以确保数据安全。 开启透明存储加密 TeleDB数据库支持提供TDE功能。当用户需要对磁盘上存储的数据进行加密和解密来实现对数据的保护时，可以对该功能进行开启。 注意 TDE功能仅能在实例开通时开启，且开启后无法关闭。 支持加密功能的内核版本为：5.1.5。 您可参考如下操作开启透明加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 说明 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建⽴关联。同时⽀持，将已经绑定的算法从schema，表和列上解绑，从⽽取消加密算法和数据库对象之间的关联关系。 1. 创建加密算法 SELECT MLSTRANSPARENTCRYPTCREATEALGORITHM(algoname, password) 2. 注销加密算法 SELECT MLSTRANSPARENTCRYPTDROPALGORITHM(algoid) 3. 加密算法绑定 (1) 绑定到Schema SELECT MLSTRANSPARENTCRYPTALGORITHMBINDSCHEMA(schemaname, algoid) (2) 绑定到表 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, algoid) (3) 绑定到列 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, attrname, algoid) 4. 加密算法解绑 SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDSCHEMA(schemaname) SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDTABLE(schemaname, tablename, needcascade) 使用示例 创建管理插件 CREATE EXTENSION teledbxmls; 切换为安全管理员⽤⼾ c mlsadmin 注册内置的加密算法和对应密钥（此处使⽤国测sm4加密算法进⾏注册），获得对应的algo id select MLSTRANSPARENTCRYPTCREATEALGORITHM('SM4','0123456789012345'); select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES128','0123456789012345'); c xieyuecreate table t1(id int,content int); c mlsadmin 将加密算法绑定到表上 select MLSTRANSPARENTCRYPTALGORITHMBINDTABLE('public','t1',1); insert into t1 values(1,0), (2,0), (3,0); insert into t1 values(7, 0), (8,0), (9,0);

本章节介绍如何通过弹性云主机通过内网连接数据库实例。 准备工作 步骤1. 准备弹性云主机 通过内网连接关系型数据库实例，您需要创建一台弹性云主机。 创建并连接弹性云主机。 该弹性云主机与目标实例必须处于同一VPC、子网内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全 组 ， 则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。 （1）登录管理控制台。 （2）单击管理控制台左上角的，选择区域和项目。 （3）选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 （4）在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 （5）在“连接信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面，查看安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则 步骤2 安装MicrosoftSQLServer客户端 在步骤1 中的弹性云主机或可访问关系型数据库实例的设备上，安装Microsoft SQL Server客户端。 普通连接 步骤1 登录弹性云主机或可访问关系型数据库实例的设备。 步骤2 启动SQLServerManagementStudio客户端。 步骤3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中输入登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 主机IP为“基本信息”页签中，“连接信息”模块的“内网地址”。 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQLServer身份验证”。 “登录名”即待访问的关系型数据库帐号，默认管理员帐号为rdsuser。 “密码”即待访问的数据库帐号对应的密码。 步骤4 单击“连接”，连接实例。 若连接失败，请确保各项准备工作正确配置后，重新尝试连接。

操作步骤 1. 登录智算安全专区控制台。 2. 单击左侧的“大模型安全测评”，系统跳转到“大模型安全测评”页面。

数据库密码到期了，如何修改？ 数据库管理员dbadmin的密码，可登录管理控制台选择集群所在行右边的“更多 > 重置密码”进行修改。 出于安全机制考虑，DWS在集群参数中通过以下2个关键参数管理帐户密码，在管理控制台，单击集群名称，切换到“参数修改”可进行参数修改。 failedloginattempts：输入密码错误的次数，超出设置值，数据库帐户会被自动锁定，可通过dbadmin管理帐户执行以下语句解锁。 ALTER USER username ACCOUNT UNLOCK; passwordeffecttime：帐户密码的有效期，单位为天，默认为90。 如何给指定用户赋予某张表的权限？ 给指定用户赋予某张表的权限主要通过以下语法实现，本章主要介绍常见的几种场景，包括只读（SELECT）、插入（INSERT）、改写（UPDATE）和拥有所有权限。 语法格式 GRANT { { SELECT INSERT UPDATE DELETE TRUNCATE REFERENCES TRIGGER ANALYZE ANALYSE } [, ...] ALL [ PRIVILEGES ] } ON { [ TABLE ] tablename [, ...] ALL TABLES IN SCHEMA schemaname [, ...] } TO { [ GROUP ] rolename PUBLIC } [, ...] [ WITH GRANT OPTION ]; 场景介绍 假设当前有用户u1u5，在系统中有对应的同名Schema u1u5，各用户的权限管控如下： u2作为只读用户，需要表u1.t1的SELECT权限。 u3作为插入用户，需要表u1.t1的INSERT权限。 u4作为改写用户，需要表u1.t1的UPDATE权限。 u5作为拥有所有权限的用户，需要表u1.t1的所有权限。 表u1.t1的表权限分类 用户名 用户类型 Grant授权语句 查询 插入 修改 删除 u1 所有者 √ √ √ √ u2 只读用户 GRANT SELECT ON u1.t1 TO u2; √ x x x u3 插入用户 GRANT INSERT ON u1.t1 TO u3; x √ x x u4 改写用户 GRANT SELECT,UPDATE ON u1.t1 TO u4; 须知 授予UPDATE权限必须同时授予SELECT权限，否则会出现信息泄露。 √ x √ x u5 拥有所有权限的用户 GRANT ALL PRIVILEGES ON u1.t1 TO u5; √ √ √ √

本章节为您介绍如何配置日志告警。 添加日志告警 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志分析”，进入日志分析页面，选择需要管理的实例。 5. 单击添加告警，跳转至云日志服务控制台，单击“创建告警规则”。 6. 在新建告警规则页面填写相关内容。 参数 参数说明 填写示例 告警名称 自定义WAF日志的告警规则名称，限制064个字。 WAF日志告警 检查频率 支持固定频率或者固定时间进行告警： 固定频率：选择固定频率，时间频率可选择159分钟、123小时、131天。 固定时间：选择固定时间后，可选择一天中任意一个时间，时间支持精确到分钟。 固定频率：5分钟 固定时间：12:00 查询对象 选择需要告警需要查询的日志对象，WAF固定选择为：wafltsprojectSaaS，waflogunit。 wafltsprojectSaaS，waflogunit 说明 此日志项目及单元为开启投递日之后自动生成。 查询时间范围 针对目标日志单元进行检索时的时间范围，支持按分钟、小时为单位 起始时间5分钟前，结束时间1分钟前 查询执行语句 针对目标日志单元的查询分析条件，填入日志查询分析语句，点击【预览】按钮可预览检索结果，当检索结果满足触发条件时，则触发告警。关于如何填写查询分析语句，可参考日志查询语法与SQL统计语法。 (configdomain:log.ctyun.fit) 分组评估 基于最多两个字段的值，对查询统计的最终集合进行分组，分别对每个组评估与触发告警。选取字段的值尽可能为枚举，以免造成告警风暴。 标签自定义 触发条件 当目标日志单元的检索结果满足触发条件时，则触发告警通知。可同时设置多条触发条件，目前支持两类触发条件： 检索结果有数据：当检索结果有日志数据时即触发告警； 检索结果有特定条数据：当检索结果中的日志数据满足一定条件时即触发告警，可设置条件表达式。 有数据匹配：输入具体的条件表达式，当条件表达式返回为true的时候，产生告警，否则不产生告警。 有特定条数据匹配：输入具体的条件表达式，当条件表达式返回为true且满足特定条数据条件时，产生告警，否则不产生告警。 当有特定条数据>5 条时，告警等级一般。 标签 添加告警规则的标签名称和标签值。 通知策略 选择告警的通知策略，通知策略配置可参考：通知策略管理 不指定通知规则。 告警内容 告警内容将作为告警信息中的一个字段，告警内容支持插入各类变量。 租户账号ID 7. 单击“保存”，完成告警规则配置。

查看镜像详情 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表中的“镜像名称”，进入镜像详情页面查看镜像的基本信息、关联信息、漏洞、软件、文件、环境变量、安全溯源等相关信息。 查看镜像安全概览 镜像安全概览页面可以查看镜像的基本信息、风险分数、安全问题、镜像命中的安全策略、安全建议等信息。 查看镜像关联容器 在“关联容器”页面，可查看与镜像相关联的容器的信息，包括容器名称、容器所在Pod名称、所属集群名称、运行所在节点的名称。 查看镜像漏洞详情 在“漏洞”页面，可查看该镜像中各个危险级别的漏洞统计情况，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 单击漏洞详情中的“命中安全策略”，可以查看漏洞命中的安全策略。 单击漏洞详情操作列的“加入白名单”可忽略此漏洞。添加完成后，扫描该镜像将不再展示已加入白名单的漏洞。

本节介绍智算安全专区相关术语。 大模型安全卫士 RAG RAG（RetrievalAugmented Generation，检索增强生成）是一种将信息检索系统与大语言模型的生成能力相结合的技术框架。 OpenAI API规范 是由OpenAI提供的一套接口规范，围绕Chat Completions API构建，这是一种基于HTTP的RESTful接口，允许开发者与大语言模型（如GPT系列）进行交互。 大模型安全测评 OpenAI API规范 是由OpenAI提供的一套接口规范，围绕Chat Completions API构建，这是一种基于HTTP的RESTful接口，允许开发者与大语言模型（如GPT系列）进行交互。 大模型安全护栏 大模型（LLM） 大型语言模型（Large Language Model）的简称，如GPT、文心一言、通义千问等 AI 对话模型。 护栏（Guardrail） 对大模型输入输出进行安全检测与过滤的机制，防止模型产生有害或违规内容。 提示注入攻击（Prompt Injection） 攻击者通过在输入内容中构造特殊指令，试图操控大模型执行非预期行为或绕过安全限制。 应用（Application） 大模型安全护栏中的管理单元，每个应用对应一套独立的 API 调用凭证与安全策略。 代答库 预先配置的应答模板集合，当检测到风险内容被拦截时，系统从代答库中随机选取一条回复返回给用户。 词库 用户自定义的关键词集合，分为黑名单词库（触发拦截）和白名单词库（豁免检测）两类。

资源名称 描述 控制节点及其相关资源 存在于云容器引擎资源租户下，用户不可见。 弹性云主机（可选创建） 集群节点，即用户的计算资源，对应“弹性云主机”中的ECS。 ECS命名规则为：集群名称随机数，可自定义，批量创建时会再加一串随机数。 安全组 集群会创建两个安全组，一个用于管理集群控制节点的安全组，一个用于管理集群工作节点的安全组。 警告 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 1. 控制节点安全组 命名规则：集群名称ccecontrol随机数 作用： 出方向允许。 其他节点访问控制节点kubernetes相关服务。 2. 工作节点安全组 命名规则：集群名称ccenode随机数 作用： 出方向允许。 开放linux或windows远程登录（22、3389）。 kubernetes组件之间访问使用（4789、10250）。 kubernetes用于对外开放的端口（3000032767）。 相同安全组之间可以互相访问。 磁盘（可选创建） 分别给各个节点创建两个磁盘，一个是节点的系统盘，一个是给docker运行使用的数据盘。 弹性IP（可选创建） 需用户选择，给节点绑定弹性IP ，可以使节点访问外网。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 csslink Elasticsearch服务器列表 配置为一个或多个Elasticsearch服务器的IP地址或域名，包括端口号，格式为“ip:port”，多个地址之间使用“;”分隔。 192.168.0.1:9200;192.168.0.2:9200 安全模式认证 是否开启安全模式认证。 如果所需连接的CSS集群在创建时开启了“安全模式”，该参数需设置为“是”，否则设置为“否”。 是 用户名 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的用户名。 admin 密码 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的密码。 https访问 CSS集群开启安全认证模式时显示此参数。该参数表示开启https访问，https访问相较于http访问更安全。 是

本页面主要介绍了MySQL在使用过程中如何保证网络安全相关的一些问题。 MySQL实例有哪些安全保障措施 网络 关系数据库MySQL版实例可以设置所属虚拟私有云，从而确保MySQL实例与其他业务实现网络安全隔离。 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 管理 通过统一身份认证，可以实现对MySQL实例的管理权限控制。 如何保障EIP数据传输安全 使用EIP连接数据库时，业务数据会在公网上进行传输，数据容易泄露，因此强烈建议您使用关系数据库MySQL版的SSL通道来对公网上传输的数据进行加密，防止数据泄露。您也可以借助云专线或虚拟专用网络来完成数据传输通道的加密。 如何防止任意源连接数据库 数据库开放EIP后，如果公网上的恶意人员获取到您的EIP DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP DNS、数据库端口、数据库帐号和密码等信息，并通过关系数据库MySQL版实例的安全组限定源IP，保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码，请按照关系数据库MySQL版实例的密码策略设置足够复杂度密码，并定期修改。 访问MySQL实例应该如何配置安全组 通过内网访问关系MySQL版实例时，设置安全组分为以下两种情况： ECS与关系MySQL版实例在相同安全组时，默认ECS与关系MySQL版实例互通，无需设置安全组规则。 ECS与关系MySQL版实例在不同安全组时，需要为关系MySQL版和ECS分别设置安全组规则。详细操作请参考设置安全组规则。

前提条件 网站以“独享模式”成功接入WAF。 回源到ECS 如果您的源站服务器直接部署在ECS上，请参考以下操作步骤设置安全组规则，放行独享模式回源IP。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域。 步骤 3 单击页面左上方，选择“安全 >Web应用防火墙 （独享版）”。 步骤 4 在左侧导航树中，选择“独享引擎”，进入“独享引擎”页面。 步骤 5 在独享引擎列表的“IP地址”栏，获取所有创建的独享引擎对应的子网IP地址。 步骤 6 单击页面左上方，选择“计算 > 弹性云主机”。 步骤 7 在目标ECS所在行的“名称/ID”列中，单击目标ECS实例名称，进入ECS实例的详情页面。 步骤 8 选择“安全组”页签，单击“更改安全组”。 步骤 9 在“更改安全组”对话框中，选择目标安全组或新建安全组并单击“确定”。 步骤 10 单击安全组ID，进入安全组基本信息页面。 步骤 11 选择“入方向规则”页签，单击“添加规则”，进入“添加入方向规则”页面，参数配置说明如表所示。 参数 配置说明 协议端口 安全组规则作用的协议和端口。选择“自定义TCP”后，在TCP框下方输入源站的端口。 源地址 逐一添加步骤5中获取的所有独享引擎实例的子网IP地址。 说明 一条规则配置一个IP。单击“增加1条规则”，可配置多条规则，最多支持添加10条规则。 步骤 12 单击“确定”，安全组规则添加完成。 成功添加安全组规则后，安全组规则将允许独享引擎回源IP地址的所有入方向流量。 您可以使用Telnet工具测试已接入WAF防护的源站IP对应的业务端口是否能成功建立连接验证配置是否生效。 例如，执行以下命令，测试已接入WAF防护的源站IP对外开放的443端口是否能成功建立连接。如果显示端口无法直接连通，但网站业务仍可正常访问，则表示安全组规则配置成功。 Telnet 源站IP 443

本章节主要介绍修改实例安全组 操作场景 分布式关系型数据库服务支持修改数据库实例的安全组。 操作步骤 1、在分布式关系型数据库服务“实例管理”页面，选择指定的实例，单击实例名称。 2、在基本信息页面，在“网络信息”模块的“安全组”处，单击，选择对应的安全组。 单击，提交修改。 单击，取消修改。 3、在实例的基本信息页面，查看修改结果。

定期的网络安全自我检测、评估 配备漏洞扫描系统，网络管理人员可以定期进行网络安全检测服务，安全检测可帮助客户最大可能地消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效地利用已有系统，优化资源，提高网络运行效率。 网络建设和网络改造前后的安全规划评估和成效检验 网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全规划评估和成效检验。 网络承担重要任务前的安全性测试 网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全性测试。 满足合规性需求（网络安全法、等保） 定期开展漏洞扫描发现主机风险，主动防御风险也是公安局主推的等保要求以及网络安全法要求中的合规要求，其主要目的是：消除与降低安全隐患、周期性地评估和加固工作相结合，尽可能避免安全风险的发生。

本文解答开通IP应用加速的前提条件。 是的。边缘接入服务提供IP应用加速能力以及DDoS防护能力。客户想要使用IP应用加速，需要先订购边缘接入服务，才可开通IP应用加速并进行配置。 订购边缘接入服务操作步骤详见：启用边缘接入服务。 如何进行IP应用加速配置操作步骤详见：IP应用加速配置。 边缘接入服务，基于优质的边缘网络资源和应用安全能力，可以为企业构造一张性能和安全兼具的边缘接入网络。 通过多样、灵活的接入方式，可以将任意用户请求安全接入至边缘网络的三网节点。实现全球范围内高速、稳定、安全的数据传输，适用应用加速、上网加速等多种业务场景。 提供低时延、高可靠的四层网络传输服务，支持多协议加速，可以解决跨运营商网络不稳定、单线源站、突发流量、网络拥塞等诸多因素导致的延迟高、服务不稳定的问题。提升传输性能和用户体验。 同时无惧安全威胁，可实现业务透明转发，提供网络层安全防护能力，解除DDoS攻击的后顾之忧。

参数 参数说明 区域 集群的工作区域。 可用区 显示创建集群时所选择的可用区信息。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 DWS集群创建成功后，其虚拟私有云将不能更改为其他的虚拟私有云，但是您可以编辑和修改当前的虚拟私有云。单击此处的虚拟私有云名称，进入虚拟私有云详情页面，您可以对虚拟私有进行设置。有关虚拟私有云的详细操作，请参见《 子网 子网信息，创建集群时所选。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 DWS集群创建成功后，其子网将不能更改为其他子网，但是您可以编辑和修改当前的子网。单击此处的子网名称，进入子网详情页面，您可以对子网进行设置。有关子网的详细操作，请参见《 安全组 显示创建集群时所选择的安全组信息。 DWS集群创建成功后，其安全组将不能更改为其他安全组，但是您可以编辑和修改当前的安全组，在当前的安全组中添加、删除或修改安全组规则。 单击此处的安全组名称，进入安全组详情页面，您可以对安全组进行设置。有关安全组的详细操作，请参见《

如何解决向多台云主机中挂载的NFS文件系统中写入数据延迟问题？ 问题描述： 云主机1更新了文件A，但是云主机2立即去读取时，仍然获取到的是旧的内容。 问题原因： 这涉及两个原因：第一个原因是，云主机1在写入文件A后，并不会立即进行刷新（flush），而是先进行PageCache操作，依赖于应用层调用fsync或者close来进行刷新。第二个原因是，云主机2存在文件缓存，可能不会立即从服务器获取最新的内容。例如，在云主机1更新文件A时，云主机2已经缓存了数据，当云主机2再次读取时，仍然使用了缓存中的旧内容。 解决方案： 方案一：在云主机1更新文件后，一定要执行close或者调用fsync。在云主机2读取文件之前，重新打开文件，然后再进行读取。 方案二：关闭云主机1和云主机2的所有缓存。这会导致性能较差，所以请根据实际业务情况选择适合的方案。关闭云主机1的缓存：在挂载时，添加noac参数，确保所有写入立即落盘。挂载命令示例如下： plaintext 挂载命令,noac 本地挂载路径1 关闭云主机2的缓存：在挂载时，添加actimeo0参数，忽略所有缓存。挂载命令示例如下： plaintext 挂载命令,actimeo0 本地挂载路径2 根据实际情况以上方案可以确保云主机1更新文件后，云主机2能立即获取到最新内容。 注意 挂载命令在天翼云官网控制台中文件系统详情页复制。 请务必确认挂载命令中具备noresvport参数，防止文件系统卡住。

本节介绍云智助手支持企业自有大模型配置的功能。 天翼AI云电脑云智助手，提供支持企业新增自有大模型功能。用户将大模型的API地址和APIKey配置后即可在AI助手进行会话。 【操作步骤】 1.使用管理员账号登录AI云电脑，打开云智助手，点击右上角个人头像，打开“设置”功能；（如无管理员账号，请先创建账号，详见管理账号） 2.打开设置页面，点击“基础设置”，选择企业名称，点击新增，添加自己的大模型； 3.新增自有大模型，需要确认并填写以下字段： 大模型显示名称+描述：设置后将会显示在大模型切换列表，名称和描述建议体现企业元素，品牌辨识度更高。 大模型类型：支持选择“官方平台DeepSeek”、“百度平台DeepSeek”、“自有平台DeepSeek”三个选项，如有需求可联系我们拓展更多平台的DeepSeek大模型的支持。 API地址：需填写支持公网访问API地址，API地址格式推荐：{baseurl}/chat/completions。如无法公网访问，请联系天翼云售前人员提供内网解决方案。 Model名称：需填写大模型的Medel名称，可查看相关的接口文档。 APIKey：需填写大模型开放平台申请的有效的APIKey。 4.自有大模型添加后，企业用户在AI助手会话时，可选择自有大模型进行聊天，开启专属大模型智能体验。

本小节介绍数据库安全购买类常见问题。 购买实例时如何选择“子网”？ 需要选择与数据库同一VPC的子网。 购买实例时为何要选择VPC？ 对于非云上的数据库，Agent和DBSS实例之间的网络需要通过VPC互通。DBSS实例的VPC和安装Agent的节点如果在不同VPC，将导致无法审计。 同一区域可以多少个数据库安全审计实例？ 基础版：最多支持3个数据库实例。 专业版：最多支持6个数据库实例。 高级版：最多支持30个数据库实例。 在专属云上购买数据库安全服务会消耗专属云上的资源吗？ 当您在专属云上购买数据库安全服务时，DBSS将消耗您在专属云上的计算资源，消耗的资源说明如表所示。 如果您不希望DBSS消耗专属云资源，请在公有云上购买DBSS。 版本 消耗资源 基础版 vCPU：4核 内存：16GB 硬盘：560GB 专业版 vCPU：8核 内存：32GB 硬盘：1084GB 高级版 vCPU：16核 内存：64GB 硬盘：2108GB 哪些区域可以使用数据库安全服务？ 目前数据库安全服务主要集中在天翼云二类节点，主要区域包含如下： 购买实例时提示资源售罄时如何处理？ 当您在购买数据库安全服务时，界面提示资源售罄，请您单击管理控制台左上角的区域按钮选择其他区域后购买或提交工单。

本节介绍了为什么弹性云主机可以远程连接,但是无法ping通的相关内容。 问题描述 云主机可以远程连接，但弹性公网IP无法ping通。 问题原因 需要添加安全组的入方向规则并开启ICMP协议。 处理方法 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表栏，单击目标弹性云主机名称。 系统进入弹性云主机详情页。 4. 选择“安全组”页签，展开安全组，并单击安全组ID。 5. 在“安全组”页面的“入方向”页签下，单击“添加规则”。 6. 根据如下参数要求，添加安全组入方向规则，开启ICMP协议。 − 协议：ICMP − 源地址：IP地址 0.0.0.0/0

本节介绍了如何通过内网连接云数据库TaurusDB的实例。 TaurusDB实例提供Linux操作系统和Windows操作系统连接实例的方法。 Linux操作系统下使用MySQL客户端连接实例，并且提供SSL连接（推荐）和非SSL连接两种连接方式。其中，SSL连接实现了数据加密功能，具有更高的安全性。 Windows操作系统下使用MySQLFront客户端连接实例。 前提条件 1. 创建并登录弹性云主机。 创建并登录弹性云主机，请参见《弹性云主机用户指南》中“创建弹性云主机”和“登录弹性云主机”。 通过弹性云主机连接TaurusDB数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例和ECS所属安全组为 默认安全组 ，则无需设置安全组规则。 如果目标实例和ECS所属安全组为 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。如果安全组规则允许弹性云主机访问，即可连接实例。如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 2. 在准备的弹性云主机上安装客户端 。 Linux操作系统中，您需要在弹性云主机上安装MySQL客户端。建议您下载的MySQL客户端版本高于已创建的TaurusDB实例中数据库版本。如何获取相应安装包及完成安装，请参见如何安装MySQL客户端。 Windows操作系统中，您可以使用任何通用的数据库客户端连接到TaurusDB实例且连接方法类似。本章节以MySQLFront为例，描述Windows操作系统连接实例具体操作步骤，详情请参见使用MySQLFront连接实例。

完成Moltbot（原Clawdbot）服务器的部署（可参考使用云主机一键部署Moltbot），可通过配置聊天软件与Moltbot进行交互，本文将为您介绍打造飞书个人助理的最佳实践。 注意 Molbot 作为开源项目，建议在使用前全面评估其安全性与稳定性，并且严格按照对应的开源许可协议规范使用，确保系统和数据安全。 步骤1：登录云主机，配置Moltbot 1. 登录目标云主机。登录天翼云官网，进入计算控制台，点击远程登录按钮。在管理终端页面中，输入用户名密码，登录云主机。 2. 进行功能的授权，执行命令： plaintext clawdbot onboard 3. 风险确认，选择“Yes”。 3. 安装模式，选择“QuickStart”。 4. 配置模型供应商。如果已经订购上述供应商的大模型接口，则选择对应选项，如果使用私有化部署的大模型，选择“Skip for now”，初始化结束后，通过修改~/.clawdbot/clawdbot.json文件，进行大模型配置。 注意 Moltbot 的智能交互依赖于大语言模型（LLM）的支持。在开始配置前，请确保您已准备好模型服务商的 API Key，或已搭建可用的开源模型接口。推荐使用天翼云息壤模型推理服务，以获取稳定的推理能力。 5. 过滤大模型的供应商。这里选择“All providers”。 6. 确定智能体服务的默认模型，默认使用的是“claudeopus45”，也可以下拉选择，选择“Enter model manually”进行手动配置。 7. 选择和Moltbot通信的软件，这里先跳过，选择“Skip for now”。 8. 是否配置扩展技能（skills），由于大部分skills目前为国外服务的功能，此处选择跳过，选择“No”。 9. hooks配置。hooks可以理解为三个智能体的能力配置： bootmd：启动时增加引导内容，可将规则、偏好、项目背景等信息，在每次启动时自动注入使用。 commandlogger：记录在 Moltbot 中执行的命令及关键操作并生成日志，方便后续排查问题、复盘操作；若注重隐私或无需留存操作痕迹，建议关闭。 sessionmemory：保存会话相关的状态与记忆数据，支持后续启动时延续上下文，让使用体验更连贯。 这三个可以选择都开，本次演示选择全部打开。 10. 是否重启Gateway服务，这里选择“restart”。 11. 下面是对ai的个性化设置，这里可以选择“Do this later”。 到此，Moltbot安装已完成。若配置大模型时选择跳过，此时可以打开配置文件~/.clawdbot/clawdbot.json进行配置，可参考以下配置： plaintext { "meta": {}, // 请忽略 "wizard": {}, // 请忽略 "models": { "providers": { "self": { // self可以替换为其他字符，表示模型供应商 "baseUrl": " "apiKey": "[api key]", "api": "openaicompletions", "models": [ { "id": "[模型 id]", "name": "[模型名称]", "api": "openaicompletions", "reasoning": false, "input": [ "text" ], "cost": { "input": 0, "output": 0, "cacheRead": 0, "cacheWrite": 0 }, "contextWindow": 65536, // 根据实际能力修改 "maxTokens": 65536 // 根据模型实际能力修改 } ] } } }, "agents": { "defaults": { "model": { "primary": "self/[模型 id]" // self需要与前文模型供应商对应 }, "models": { "self/[模型 id]": {} // self需要与前文模型供应商对应 } } }, "tools": {}, // 请忽略 "media": {}, // 请忽略 "messages": {}, // 请忽略 "commands": {}, // 请忽略 "hooks": {}, // 请忽略 "channels": {}, // 请忽略 "gateway": {}, // 请忽略 "skills": {},// 请忽略 "plugins": {} // 请忽略 }

参数 描述 虚拟私有云 TaurusDB数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离，以提高网络安全性。 您需要选择所需的虚拟私有云和子网。如果没有可选的虚拟私有云，TaurusDB会为您分配一个默认的虚拟私有云（defaultvpc），您也可以使用已有、新建VPC和子网。 须知 TaurusDB实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 内网安全组 内网安全组限制实例的安全访问规则，加强TaurusDB数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，TaurusDB数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。

本页介绍天翼云分布式融合数据库HTAP服务协议。 天翼云分布式融合数据库HTAP服务协议获取地址：天翼云分布式融合数据库HTAP服务协议。

计费周期 包年/包月主机安全服务的计费周期是根据您购买的时长来确定的。 一个计费周期的起点是您开通或续费资源的时间，终点则是到期日。 例如，如果您在2023/03/08 15:50:04购买了一个时长为一个月的企业版主机安全服务，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 按需计费 适用场景 按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务，例如电商抢购、临时测试、科学计算。 适用计费项 计费项 说明 :: 配额版本 包括企业版、容器版（待上线）。 计费周期 按需计费主机安全服务按秒计费，每一个小时整点结算一次费用（以GMT+08:00时间为准），结算完毕后进入新的计费周期。 计费的起点：以开启主机安全服务防护成功的时间点为准。 计费的终点：以关闭主机安全服务防护的时间点为准。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。说明： 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址，具体请参见 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。