步骤六： 启动镜像会话功能 1. 登录天翼云控制台，在控制中心页面左上角选择区域，本文我们选择华东华东1。 2. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 3. 在左侧导航栏，选择“流量镜像镜像会话”选项。 4. 在镜像会话页面，找到需要启动的镜像会话，然后单击该会话操作列的“启动”按钮。 验证与排障 1. 流量捕获验证 登录弹性裸金属（pm1），查看镜像目的是否可以获取到镜像源与线下IDC互通的数据包，如果获取成功，则表示镜像会话配置生效。 比如： 在Pm1执行抓包（需root权限） tcpdump i eth0 eennvv port 4789 成功标志 ：持续捕获到内层源or目的IP为172.168.1.x，外层是VXLAN封装的UDP报文。 2. 常见问题排查 现象 可能原因 解决方案 无镜像流量 筛选条件配置错误 核对待镜像报文的五元组信息 目的端无法接收 安全组未放行UDP 4789 检查入方向规则配置

本节为您介绍认证证书相关内容。 合规证书 天翼云拥有众多合规资质（ISO/SOC/PCI等），按照国内国际和行业的合规要求，为用户提供合规、高效、稳定的安全云服务。您可在信任中心合规资质进行查看。 隐私保护 天翼云建立数据安全管理制度，采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。您可以在隐私中心进行查看。

推荐使用场景 工具 推荐场景 不适用场景 AnythingLLM 企业文档问答、私有知识库管理、需严格权限控制的团队协作 快速测试模型、轻量级个人聊天需求 Open WebUI 个人或开发者快速体验模型、多模型切换测试、多模态交互(如语音/图像) 复杂文档管理、企业级安全与协作需求 注意 建议使用天翼云提供的 DeepSeek 镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤： 一、云主机端口配置更新 1. 进入云主机详情页，选择安全组选项，添加新的开放端口。 建议选择新加 3001 端口。添加完成后，可在安全组规则列表中查看新添加的 3001 端口规则，确认其状态为正常生效。 2.

此小节介绍数据库审计的应用场景。 响应合规需求 应等保及其他行业政策要求，产品可以覆盖对于数据库系统的安全审计工作，内置丰富报表，快速轻松通过合规审查。 防范数据泄露 产品内置900多条安全规则，可精准识别拖库、撞库、暴力破解、大流量返回等容易导致数据泄露的安全问题，双向审计功能保证对于数据库的请求和返回全面审计，在数据泄露发生的初始阶段进行告警和遏制。 监测SQL注入事件 天翼云数据库审计内置丰富的SQL注入规则，可以精准识别包括布尔盲注、OR注入、SLEEP时间盲注、BENCHMARK时间盲注、GENERATESERIES时间盲注、RECEIVEMESSAGE时间盲注、WAITFOR时间盲注、GETLOCK时间盲注、CTXSYSDRITHSXSN报错注入等在内的SQL注入，及时告警，有效切断持续的外部攻击。 监测漏洞攻击事件 外部不法分子可能会利用漏洞扫描设备探测到数据库存在的漏洞，进而利用漏洞窃取数据，天翼云数据库审计内置漏洞攻击安全规则，可监测缓冲区溢出、存储过程滥用、隐通道攻击、拒绝服务攻击等多类型的漏洞攻击。 监测账号安全隐患 数据库账号安全隐患同样会导致数据安全事件，天翼云数据库审计能够监测数据库账号异常登录的行为，例如撞库、暴力破解、口令失效等，杜绝因数据库账号存在安全隐患导致的恶性事件。

操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系数据库MySQL版 ，进入MySQL产品页面。然后单击管理控制台，进入数据库管理控制台。 2. 在顶部菜单栏，选择区域和项目，左侧导航栏选择MySQL数据库的实例管理。 3. 选择需要配置安全组的实例，并点击实例名称。 4. 在二级菜单中，选择白名单与安全组，选择安全组页签，然后单击安全组名称。 5. 在安全组详情页面，查看该安全组的规则详情。 6. 根据实际情况，修改该安全组的出方向 和入方向安全组规则。 7. 修改完毕，对应数据库实例的安全组规则设置成功。

介绍关系数据库MySQL版在安全上的表现。 关系数据库MySQL版是天翼云自研的新一代高性能企业级关系数据库。MySQL 支持多种架构，同时拥有云上高可用、高可靠、高安全、扩缩容、快速备份恢复、监控等数据库关键能力，为客户提供完善的性能监控体系和多重安全防护措施，并配备专业的数据库管理平台，让用户能够轻松设置、操作和扩展关系型数据库。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 MySQL 为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组、权限设置、SSL连接、自动/手动备份、跨可用区部署、按时间点恢复数据等功能。这些特性可以帮助租户更好地管理和保护数据库。 网络隔离 MySQL 实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，MySQL 会为租户分配此子网的 IP 地址，用于连接数据库。MySQL 实例运行在租户独立的虚拟私有云内，可提升关系型数据库实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

本文为您介绍如何通过Kibana向天翼云云搜索服务Elasticsearch实例导入数据。 Kibana 提供的Dev Tools控制台允许直接在浏览器中通过REST API向Elasticsearch发出查询和数据操作请求。 Kibana可视化界面提供了简单的数据导入功能，适用于小规模数据的手动导入场景，特别是在测试和快速验证场景中非常实用。 适用场景 快速测试与调试：适用于开发阶段测试查询语句、创建索引、插入和更新数据等操作。 简单数据管理：如果只是少量数据操作，如插入、更新、删除数据或查看结果，Kibana提供了方便的Web界面操作。 无需编程环境：不需要安装额外的客户端工具，只要能访问Kibana即可操作Elasticsearch。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 查看Kibana的终端可以访问到云搜索实例，设置好5601端口的网络安全策略。 实际操作 点击Kibana输入用户名登录后，进入首页。 右上角可以点击开发工具进入开发工具界面。 如果没有索引，可以创建一个测试索引名为testindex： plaintext PUT /testindex { "mappings": { "properties": { "mytest": { "type": "text" } } } } 执行创建索引操作会返回如下信息： plaintext { "acknowledged" : true, "shardsacknowledged" : true, "index" : "testindex" } 如果有索引可以使用已有的索引。 往索引中写入数据，以上面创建的索引为例。 1. 写入单条数据，可以使用下面命令写入一条id为1的数据： plaintext POST /testindex/doc/1 { "mytest": "xiaoming" } 执行上面的命令，返回下面的结果即导入数据成功。 plaintext { "index" : "testindex", "type" : "doc", "id" : "1", "version" : 1, "result" : "created", "shards" : { "total" : 2, "successful" : 2, "failed" : 0 }, "seqno" : 0, "primaryterm" : 1 } 2. 批量写数据，可以使用下面命令写入一批数据： plaintext POST /testindex/bulk {"index":{"id": 1}} {"mytest": "xiaoming"} {"index":{"id": 2}} {"mytest": "xiaohong"} {"index":{"id": 3}} {"mytest": "xiaoli"} {"index":{"id": 4}} {"mytest": "xiaozhang"} {"index":{"id": 5}} {"mytest": "xiaowang"} 执行上面的命令，返回下面的结果即导入数据成功。 plaintext { "took" : 10, "errors" : false, "items" : [ { "index" : { "index" : "testindex", "type" : "doc", "id" : "1", "version" : 1, "result" : "created", "shards" : { "total" : 2, "successful" : 2, "failed" : 0 }, "seqno" : 0, "primaryterm" : 1, "status" : 201 } }, .... { "index" : { "index" : "testindex", "type" : "doc", "id" : "5", "version" : 1, "result" : "created", "shards" : { "total" : 2, "successful" : 2, "failed" : 0 }, "seqno" : 4, "primaryterm" : 1, "status" : 201 } } ] }

本节为您介绍认证证书相关内容。 合规证书 天翼云拥有众多合规资质（ISO/SOC/PCI等），按照国内国际和行业的合规要求，为用户提供合规、高效、稳定的安全云服务。您可在信任中心合规资质进行查看。 隐私保护 天翼云建立数据安全管理制度，采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。您可以在隐私中心进行查看。

本文介绍如何购买安全加速服务。 1.打开天翼云官网 2.未实名认证的用户需按提示完成实名认证才能开通安全加速服务； 3.实名认证后进入安全加速产品详情页快速了解产品，之后单击【立即开通】； 4.在购买页面选择适合的计费方式和产品能力，确认订单，点击【立即开通】，安全加速服务即开通； 5.安全加速服务开通后，便可以根据操作手册去控制台开始接入您要加速的域名了。

操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系数据库MySQL版 ，进入MySQL产品页面。然后单击管理控制台，进入数据库管理控制台。 2. 在顶部菜单栏，选择区域和项目，左侧导航栏选择MySQL数据库的实例管理。 3. 选择需要配置安全组的实例，并点击实例名称。 4. 在二级菜单中，选择白名单与安全组，选择安全组页签，然后单击安全组名称。 5. 在安全组详情页面，查看该安全组的规则详情。 6. 根据实际情况，修改该安全组的出方向 和入方向安全组规则。 7. 修改完毕，对应数据库实例的安全组规则设置成功。

本文简介什么是天翼云Web应用防火墙（边缘云版）。 产品定义 天翼云Web应用防火墙（边缘云版）依托天翼云边缘云节点形成云安全网络，结合云端大数据分析平台，通过 AI+规则双引擎识别恶意流量，为用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 区别于传统WAF需要在源站前端部署，Web应用防火墙（边缘云版）基于边缘云分布式架构，将WAF、BOT、CC、API等应用安全防护能力赋能于全国边缘云节点，实现安全能力赋能边缘，将安全能力下沉至最接近终端用户的边缘节点，在最靠近攻击源头的地方阻断恶意流量。 有效防御 SQL 注入、XSS 跨站脚本、木马上传、非授权访问等 OWASP 攻击。此外还可以有效过滤 CC 攻击、提供 0day 漏洞补丁、防止网页篡改等。 结合智能调度，实现动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别规模；应对敏感大流量攻击，无惧突发风险。 功能特性 功能 简介 常见Web应用攻击防护 防御OWASP TOP10Web安全威胁攻击：如SQL注入、XSS跨站脚本、CSRF 跨站请求伪造、非授权访问等常见Web服务器漏洞攻击。 0day补丁定期及时更新：及时更新漏洞补丁，防护网站安全。 CC攻击防护 频率控制：结合多维度频率控制，精确控制请求频率，控制核心接口被访问的频率。 人机挑战：通过人机识别验证，避免非法请求透传源站。 大数据分析：针对低频多变的攻击，根据内置算法模型，统计正常业务流量和攻击流量的特征，自动生成精准访问控制策略。 业务安全防护 网页防篡改：支持用户将核心网页内容缓存在边缘云节点，并对外发布缓存中的网页内容，实现网页防篡改效果，防止网页被篡改带来负面影响。 敏感词防泄漏：针对银行卡、身份证、手机号、邮箱进行页面过滤，防止网站敏感信息泄露。 CSRF防护：有效阻止因误触恶意链接、恶意扫描、简单爬虫限制造成的用户损失。 Cookie防护：支持对指定cookie字段的值进行加密，支持对cookie签名，防止因随意篡改导致的漏洞触发。 账户安全防护：支持防护撞库、批量注册、暴力破解等恶意攻击行为，保障用户账号安全。 广告防护：对检测到的广告进行清除或者记录告警日志处理，使展示给用户的界面没有广告。 攻击挑战：针对反复触发防护策略的IP，限制访问频率。 精准访问控制 可针对IP , IP段 , URI , 请求方式, 请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 IPv6防护 支持一键开启IPv6功能，无缝处理IPv4和IPv6流量，并且支持解决天窗问题。 Bot行为管理 通过多模块联动实时检测与机器学习相结合实现网站请求的实时检测和分析，识别真实用户请求和恶意爬虫，进而防止刷票、活动作弊、恶意注册等爬虫攻击行为的发生，保障企业业务稳定运行，避免经济利益受损。 智能防护 自学习异常用户行为：智能学习网站流量规律，学习正常用户访问行为，多维度识别异常访问情况。 内置多种业务场景学习模型：强化抢票、恶意爆破登录、恶意爬取等机器脚本行为识别，保证网站正常运行。 威胁情报 天翼云与国内外知名安全厂家恶意情报共享，更快更精确发现恶意探测以及威胁事件。

本小节介绍如何购买第三方证书部署服务。 操作场景 已上传的第三方证书支持一键部署到天翼云上弹性负载均衡 、Web应用防火墙（原生版） 、CDN加速相关产品，提升业务便捷性。 操作步骤 1. 登录证书管理服务控制台。 2. 单击“购买证书”，进入到证书管理服务产品购买页面。 3. 服务类型选择“第三方证书部署服务”。 4. 选择第三方证书部署服务的购买数量，单次最多可购买200个。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”下单。 6. 单击“提交订单”，在弹出的“订单详情”页确认订单信息。 7. 单击“立即支付”，完成第三方证书部署服务的购买。

本节内容为您介绍购买弹性云主机的方式，以及购买前注册天翼云账户并实名认证的操作步骤。 购买方式简介 说明 自定义购买弹性云主机：自定义购买可以灵活地选择计费模式、配置项，针对不同的应用场景，可以选择不同规格的弹性云主机，全方位贴合您的业务诉求。 我们以自定义购买方式、创建密码鉴权方式的弹性云主机为例，以“图+文字”的形式为您介绍弹性云主机创建流程： 新手入门： 注册天翼云并实名认证 如果您已有一个天翼云帐户，请跳到下一个任务。如果您还没有天翼云帐户，请参考以下步骤创建。 1. 打开天翼云网站 2.在注册页面，请填写“邮箱地址”、“密码”、“确认密码”、“手机号码”，并点击“同意协议并提交”按钮，如1分钟内手机未收到验证码，请再次点击“重新获取短信验证码”按钮。 注册成功后，系统会自动跳转至您的个人信息界面。 3、选择一种账号类型。 4、以个人认证身份证认证为例，选择身份证认证方式。 5、使用天翼云APP扫描二维码，按照提示完成认证。

本节为您介绍云迁移服务CMS身份认证与访问控制相关内容。 CMS服务支持身份认证与访问控制，为您提供主子账号服务授权功能。 主子账号及授权管理 通过使用企业项目服务，可以让多个用户共享同一个天翼云账号，并且根据他们的需要分配不同的权限，实现精细的访问控制。这一服务能够为拥有多层次组织和项目结构的用户提供强大的资源管理平台支持。 由天翼云账号在“主子账号及授权管理”中创建的用户，是云服务的使用人员，具有独立的身份凭证（密码和访问密钥），根据账号授予的权限使用资源。子用户不拥有资源，不进行独立的计费，IAM子用户的权限和资源由所属账号统一控制和付费。具体介绍请参考主子账号及授权管理用户指南。 访问控制 您可以创建用户组，并给用户组授予策略或角色，用户组中的用户将获得用户组的权限。同时，用户也可以为自身授予权限。这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。具体请参见IAM子用户/用户组/策略与企业项目。

怎么样开通网站安全监测服务和使用？ 网站安全监测服务的开通首先需要注册天翼云官网的账号，通过产品栏目找到网站安全监测，点击开通；开通后会跳转到网站安全监测控制台，在控制台上配置需要监测的域名，配置成功后就已经开始对您的域名提供监测服务了。 欠费后网站安全监测服务会被关停吗？ 账户余额不足以支付服务费用将导致欠费，发生欠费后，网站安全监测服务的域名将被关停。 关停网站安全监测服务后怎样重新开启服务？ 客户补足欠款后，客户的天翼云账号恢复使用，被停止的域名需要客户到网站安全监测控制台域名管理模块，点击启用域名，开启被停用的域名，当域名状态变更为已启用后，服务就重新开启了。 网站安全监测服务配置完成后大概多久生效？ 网站安全监测域名接入配置在控制台完成配置后一般30分钟内生效，若30分钟后仍未生效，请提交工单处理； 接入网站安全监测服务的域名有什么要求吗？ 接入网站安全监测服务的域名，需要在工信部完成ICP备案。 关闭网站安全监测服务后，域名配置会保留吗？ 欠费导致服务关闭，域名配置会保留，但不会继续为所配置域名提供业务安全监测服务。 删除网站安全监测域名后，域名配置会保留吗？ 删除域名后，其配置将不会保留。 网站安全监测服务被暂停了，为什么？ 业务被暂停有以下几种情况： 欠费 未备案或备案已过期 内容违规 套餐包过期

SaaS部署模式架构： 混合部署： 混合部署模式下，零信任中心SaaS化提供，零信任安全网关独立部署在客户机器，支持网关集群化部署，实现高可用以及稳定性提升。 连接器（可选）：若企业只有一个数据中心，则无需部署连接器，部署连接器能支持跨数据中心统一接入。 部署说明： 客户端：企业员工下载部署。 零信任安全中心：天翼云部署管理。 零信任网关：企业部署管理。 连接器：企业部署（按需，如有多数据中心场景进行部署）。 混合部署模式方案1：无需连接器场景 单数据中心仅部署零信任网关进行内部转发，建议部署至少2台进行主备。 混合部署模式方案2：使用连接器场景 零信任服务SaaS模式和混合部署模式对比 特性维度 SaaS化部署模式（使用天翼云边缘节点网关能力） 混合部署模式（独享网关） 核心架构 使用天翼云共享的全球边缘节点作为网关。 客户本地私有化部署独享网关。 业务数据流访问链路 用户 > 天翼云边缘节点 内网应用。 1、未启用连接器： 独享网关直接访问到内网，无需安装连接器，适用于只有一个数据中心的场景。 数据流：用户 > 独享网关（客户网络机器） > 内网应用。 2、启用连接器场景： 连接器反向连接到独享网关，不同数据中心，通过连接器集群的关联应用功能，管理不同的网络数据中心访问内网的链路。 用户 > 独享网关（客户网络机器） 内网应用。 控制数据链路 经过天翼云（仅用于认证和策略下发）。 经过天翼云（仅用于认证和策略下发）。 业务数据流链路差异 业务流量经过天翼云节点（数据加密、不同客户的网络空间严格隔离）。 业务流量完全不经过天翼云，直达客户内网，保障客户数据隐私安全。 网络要求 客户侧无需暴露公网IP和端口对外开放，通过连接器反向代理，连接器需放行出口方向流量。 客户需为独享网关提供公网接入IP和端口开放，用于不同网络区域的客户端接入。 独享访问出方向流量需放行访问天翼云AOne中心的流量，用于对接AOne零信任中心获取配置和策略，作为控制面管理。 部署连接器场景，独享网关需放行连接器建连的流量。 SPA单包认证 SaaS模式对客户侧无端口暴露，天翼云边缘节点支持SPA单包认证机制。 支持SPA，客户侧公网开放的IP和端口遵循SPA单包认证机制，需要客户端完成可信认证后，网关才允许客户端方对该IP端口进行连接请求。 说明 若外部使用扫描工具对客户侧公网接入点进行扫描时，独享网关开放IP和端口不会响应扫描器，端口开放标识为DOWN。 时延性能 依托天翼云全球2800+边缘节点，智能调度能力，保障不同区域接入天翼云节点的网络质量，整体接入效果更佳。 无天翼云边缘节点加速效果，时延根据客户提供的享网关节点链路和客户端接入距离有不同差异，若客户端接入地点和独享网关属于同区域同运营商，可达到本地本网直连的最佳效果。 安全性与合规 依托天翼云高等级安全保障。 满足对数据不出域、金融场景、政务监管的合规要求。 运维成本 轻运维，天翼云负责网关运维、高可用和迭代更新。 客户需负责独享网关的运维、高可用、安全补丁等。 适用客户 适用于众多场景客户，使用天翼云安全、加速、连接能力。需要标准、快速交付、对远程安全性办公要求较高的企业 。 对数据业务流向有要求的客户； 本地直连场景的客户，且客户可提供公网接入点的设备，可满足对本地时延敏感性极高的客户使用需求。

终端管理 限制项 具体要求 产品功能版本限制 部分能力会有最低客户端版本号要求，详见具体的功能详情页。 内网客户端连接公网控制台需要加白的域名 客户端接入域名： lxchzllkwcssf.ctcdn.cn 客户端接入多镜像中心： lxchzllkwcssfsearch.ctcdn.cn lxchzllkwcssfimage1.ctcdn.cn lxchzllkwcssfimage2.ctcdn.cn lxchzllkwcssfimage3.ctcdn.cn 客户端平台下载： soc0trust.ctcdn.cn 杀毒相关域名： apc.antiy.net.cn endpoint.antiy.cn vipedr.apc.antiy.net.cn 学术加速 限制项 具体要求 客户端兼容性 学术加速Windows、macOS、Android、IOS客户端目前不支持与零信任客户端同时使用。 零信任产品限制 同一个天翼云账号目前无法支持同时购买零信任任意服务与学术加速企业版。

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5，5.6，5.7，8.0 PostgreSQL 10，11，12，13 Oracle 10g，11g，12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。

本节介绍如何从云等保专区控制台进入安全体检控制台并使用安全体检产品。 云等保专区提供体安全体检产品的功能，可支持的场景包括高危端口开放情况、弱口令、漏洞开放情况。用户可根据需求单独购买。 更多信息请参见安全体检。 使用安全体检 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“安全体检”。 5. 单击“立即购买”或“开通试用”即可购买并使用安全体检服务，详细操作指导请参见安全体检产品文档。

本文介绍回源加密算法的配置方法。 功能介绍 回源协议为HTTPS协议时，天翼云边缘安全加速平台安全与加速服务默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 配置说明 1. 登录边缘安全加速平台控制台。 2. 进入安全与加速工作台域名基础配置页面，点击目标域名。。 3. 进入源站设置页面，单击“编辑配置”。 4. 当【回源协议】选择HTTPS回源或者协议跟随时，可选择【回源加密算法】，支持选择国密加密回源、国际加密回源、跟随客户端加密算法回源。 5. 单击【保存】，完成配置。 参数名 说明 国密加密回源 国密算法，即国家商用密码算法，是由国家密码管理局认定和公布的密码算法标准及其应用规范。国密加密回源，即回源时的HTTPS协议采用国密加密算法。 国际加密回源 国际加密回源，即采用国际标准的密码算法回源，如果没有特殊配置，我们通常回源时使用的加密算法都是国际加密算法。 跟随客户端加密算法回源 若客户端使用国际加密算法接入天翼云AOne安全与加速平台，则回源时也使用国际加密算法回源；若客户端使用国密加密算法接入天翼云AOne安全与加速平台，则回源时也使用国密加密算法回源。

天翼云边缘安全加速平台安全与加速服务支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。 适用场景 特别适合银行、证券等对数据安全要求极高的行业。 注意事项 天翼云边缘安全加速平台安全与加速服务支持SM2（椭圆曲线公钥密码算法）和SM3（杂凑算法）标准，提供更加安全的HTTPS传输协议（即国密HTTPS加密能力）。 如果您需要同时兼容国密和国际密码算法，请同时部署国密证书和HTTPS证书。 使用国密算法，需要您提供国密签名证书及私钥、国密加密证书及私钥。 配置说明 使用国密HTTPS涉及的配置项如下： 配置项 含义 默认值 sslcertificate 配置server端的国密签名或加密证书 none sslcertificatekey 配置server端的国密签名或加密证书私钥 none sslprotocols 配置网关作为server端时支持的ssl协议，该配置为nginx原生配置，枚举类型，取值范围：[SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3][GMSSLv1.1] TLSv1 TLSv1.1 TLSv1.2 proxysslprotocols 配置网关作为client端回源时支持的ssl协议，该配置为nginx原生配置，枚举类型，取值范围：[SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3][GMSSLv1.1] TLSv1 TLSv1.1 TLSv1.2 如您需要配置国密HTTPS，请提交工单给天翼云客服，由其帮您配置。

天翼云网站安全监测服务协议，详情请参见[](

天翼云云搜索团队RAGFlow社区贡献 RAGFlow默认使用Elasticsearch 8.x作为向量库数据库。天翼云云搜索团队成员贡献了OpenSearch 2.19.1作为向量数据库的全流程支持，已合入社区，并在正式发版中作为NewFeatures单独致谢。在RAGFlow的v0.19.0以后的版本中均支持OpenSearch 2.19.1作为底层向量数据库。 前置需求 开通天翼云云搜索服务OpenSearch实例，获取内网地址和实例密码。 准备好云主机环境用来部署RAGFlow，需要和OpenSearch实例网络互通。 准备好Deepseek模型、Embedding向量模型、Rerank重排序模型。 安装好Docker环境。 RAG运行流程 1. 用户通过RAGFlow对话框进行提问。 2. 调用Embedding模型将查询向量化。 3. 使用OpenSearch的Hybridsearch混合检索进行召回，调用Rerank模型进行重排序，返回和提问相关的文档。 4. 将检索到的文档及对话的上下文通过Deepseek大模型总结归纳生成详细准确的回复。 步骤一：部署RAGFlow 1. 拉取RAGFlow最新源码到云主机上，以下以v0.19.1为例。 2. 进入ragflow源码的docker目录 plaintext cd ragflow/docker 3. 修改向量数据库为OpenSearch plaintext vim .env DOCENGINE${DOCENGINE:opensearch} 修改如下配置项 plaintext OSPORT9200 OSHOSTnode1 OPENSEARCHPASSWORDxxxxxx 4. 确认使用镜像 plaintext vim .env RAGFLOWIMAGEinfiniflow/ragflow:v0.19.1 5. 修改dockercomposebase.yml文件 为了性能，不适用docker自带的Elasticsearch和OpenSearch，注释掉如下代码： plaintext es01: containername: ragflowes01 profiles: elasticsearch image: elasticsearch:${STACKVERSION} volumes: esdata01:/usr/share/elasticsearch/data ports: ${ESPORT}:9200 envfile: .env environment: node.namees01 ELASTICPASSWORD${ELASTICPASSWORD} bootstrap.memorylockfalse discovery.typesinglenode xpack.security.enabledtrue xpack.security.http.ssl.enabledfalse xpack.security.transport.ssl.enabledfalse cluster.routing.allocation.disk.watermark.low5gb cluster.routing.allocation.disk.watermark.high3gb cluster.routing.allocation.disk.watermark.floodstage2gb TZ${TIMEZONE} memlimit: ${MEMLIMIT} ulimits: memlock: soft: 1 hard: 1 healthcheck: test: ["CMDSHELL", "curl interval: 10s timeout: 10s retries: 120 networks: ragflow restart: onfailure opensearch01: containername: ragflowopensearch01 profiles: opensearch image: hub.icert.top/opensearchproject/opensearch:2.19.1 volumes: osdata01:/usr/share/opensearch/data ports: ${OSPORT}:9201 envfile: .env environment: node.nameopensearch01 OPENSEARCHPASSWORD${OPENSEARCHPASSWORD} OPENSEARCHINITIALADMINPASSWORD${OPENSEARCHPASSWORD} bootstrap.memorylockfalse discovery.typesinglenode plugins.security.disabledfalse plugins.security.ssl.http.enabledfalse plugins.security.ssl.transport.enabledtrue cluster.routing.allocation.disk.watermark.low5gb cluster.routing.allocation.disk.watermark.high3gb cluster.routing.allocation.disk.watermark.floodstage2gb TZ${TIMEZONE} http.port9201 memlimit: ${MEMLIMIT} ulimits: memlock: soft: 1 hard: 1 healthcheck: test: ["CMDSHELL", "curl interval: 10s timeout: 10s retries: 120 networks: ragflow restart: onfailure 6. 修改部分conf配置 plaintext vim serviceconf.yaml.template hosts: ' 7. 启动服务 plaintext docker compose f dockercompose.yml up d 8. 查看启动log plaintext docker logs f ragflowserver 9. 浏览器页面打开，默认服务在80端口

针对具体攻击场景的防护策略配置 您也可以配置CC攻击防护、攻击挑战、敏感词、网页防篡改等策略来应对各种Web攻击场景，维持网站稳定。详见文档：访问控制、高级防护策略、CC配置。 配置账号安全策略 通过配置账号安全策略，可以帮助您在指定的URL接口识别出账号安全风险事件并进行拦截。包括： 撞库防护、暴力破解防护 。详见文档：账户安全防护。 漏洞防护集合 您可以根据网站的业务、代码组成等多种情况来选择适合您域名站点的漏洞防护集合，同时关闭或者开启一些适合您业务系统形态、框架的域名规则减少误报漏报。详情见：安全基础配置、域名规则。 特殊的防护配置 如果您存在特殊的配置在页面上无法进行配置时，可以通过工单联系天翼云安全专家，沟通具体的解决方案。 场景示例 下面提供了多种防护配置场景，您可以以此为参考结合自己网站的实际场景进行安全防护配置。如果以下使用场景示例均无法解决您的问题，您也可以通过工单，联系天翼云安全专家说明您的需求，由天翼云安全专家提供解决方案。

本文帮助您快速熟悉实例加入/移出安全组规则的操作场景和操作流程。 操作场景 安全组是一种重要的网络安全防护策略，用于管理和控制虚拟机实例或云服务实例的网络访问。当您创建好安全组后，可以将云服务器加入到该安全组，使这些实例受到安全组的保护。您可以根据业务需求随时将安全组加入/移出云服务器中。 在安全组界面管理云服务器时，主要包含以下操作： 加入安全组：将云服务器加入到指定的安全组中，原先已加入云服务器中的安全组仍正常生效。 移出安全组：将云服务器从指定的安全组中移出，解除该安全组与云服务器的绑定关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成弹性云主机、安全组的创建。 操作步骤 加入安全组 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要操作的安全组，单击安全组名称进入详情页； 6. 在安全组详情界面，选择安全组规则所属方向，单击“关联实例”，您可以根据需要添加相应的云资源； 7. 在“弹性云服务器”页签，单击“添加”，将一个或多个服务器加入到当前安全组中； 8. 在“辅助网卡”页签，单击“添加”，将一个或多个扩展网卡加入到当前安全组中； 9. 单击“确定”，即可调整云服务器与安全组之间的关联关系。 10. 加入完成后，该安全组中的规则将对新关联的云服务器生效。 注意 部分资源池暂不支持安全组界面关联物理机的功能，展示字段为“弹性云主机”，请根据您的需求选择。实际情况以控制台展示为准。

步骤四：应用迁移 注意 由于迁移的源/目标集群任意之一无法被纳管到天翼云CCE One注册集群，如下备份/恢复操作均为离线操作。理论上可独立于天翼云环境。 如下将仅以天翼云提供的ccsebackup插件为例进行介绍；当然，您也可以选择基于三方或开源工具来进行集群备份和恢复，例如也可选择开源Velero，此时操作步骤请参考其官方指引。 1. 创建ccseonemanaged命名空间和对应的sa 在迁移源和目标集群均需进行如下YAML创建： shell apiVersion: v1 kind: Namespace metadata: name: ccseonemanaged apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: ccseonebackup rules: apiGroups: [""] resources: [""] verbs: [""] apiVersion: v1 kind: ServiceAccount metadata: labels: component: ccseonebackup name: ccseonebackup namespace: ccseonemanaged apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: labels: component: ccseonebackup name: ccseonebackup roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: ccseonebackup subjects: kind: ServiceAccount name: ccseonebackup namespace: ccseonemanaged 2. 安装helm，然后使用helm安装ccsebackup1.0.4.tgz 在迁移源和目标集群均需进行该步骤操作。 通过helm创建以及标准创建情况下，依赖从天翼云CRS拉取相关helm配置及镜像地址，需要打通与云上服务的公网或内网访问通道。 3. 源集群应用备份 提前创建oss桶,然后登录到待备份集群，编写备份job，job的编写可参考backupexport.yaml，将存储桶的相关配置填写至pod的环境变量当中，注意配置待备份的命名空间以及对象。 shell apiVersion: batch/v1 kind: Job metadata: name: ccseonebackup01 namespace: ccseonemanaged spec:

本文带您了解故障恢复相关产品。 您可以通过天翼云云主机备份产品和云硬盘备份产品，对弹性云主机上的数据进行备份，当云主机或主机上的云硬盘出现故障，或者软件造成的数据丢失损坏以及人为错误导致的数据误删时，您可以借助备份功能自助快速恢复数据。 云主机备份 云主机备份（CTCSBS，Cloud Server Backup Service）提供对弹性云主机的备份保护服务，支持基于云硬盘快照技术的备份服务，并支持利用备份数据恢复弹性云主机数据。通过云主机备份服务，可以在发生数据丢失、系统故障、人为错误或恶意攻击等情况下，还原云主机数据，确保业务的连续性和数据的安全性。 更多内容请参见云主机备份。 云硬盘备份 云硬盘备份（CTVBS，Volume Backup Service）是针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的云硬盘进行备份，并在云硬盘故障、用户误删数据、遭到黑客攻击等情况下，使用备份快速恢复数据，最大限度保证用户数据的安全性。 更多内容请参见云硬盘备份。 云主机备份和云硬盘备份的差异 产品名称 备份对象 产品要点说明 场景说明 云主机备份 云主机 整机备份，通过存储快照技术，将云主机包含的多个云硬盘的数据备份到对象存储。 周期备份、手动备份。 支持恢复原云主机或创建新的云主机。 针对需要对整个云主机进行保护，或者希望通过备份创建云主机达到快速复制业务运行环境的场景，建议使用云主机备份。 云硬盘备份 云硬盘 通过存储快照技术，将云硬盘数据备份到对象存储。 周期备份、手动备份。 支持恢复原云硬盘，和使用备份数据创建新的云硬盘。 针对系统盘没有自定义数据的场景，可以选择使用云硬盘备份对系统盘和数据盘进行备份，保证数据安全的同时，降低备份成本。

此章节为您介绍如何选购云密评专区的相关业务。 若您需要购买云密评专区的相关业务，可参考本章节进行选购。 说明 您在控制台购买云密评专区业务前，请先提交工单申请开通购买白名单。 操作步骤 1. 登录云密评专区管理控制台。 2. 单击右上角的“订购密评专区”，跳转至订购页面。 3. 选择您业务所需要的部署地域和可用区。 4. 选择需要购买的产品和规格。 配置项 配置项说明 密码产品 综合安全网关服务 每个服务支持1000并发，可叠加，最多支持购买10个，建议搭配EIP使用。 密码产品 密钥管理服务 提供安全、可靠的密钥管理服务，密钥管理购买后保存的密钥请在密钥管理服务中查询。 密码产品 数据加密网关服务 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求。 密码产品 协同签名服务 每个服务支持1000并发，可叠加，最多支持购买10个。 密码产品 数字证书认证系统 支持1万证书签发，5个CA，兼容RSA、ECC、SM2算法。 国密套件 国密浏览器 选择需购买的国密浏览器个数，兼容主流国产操作系统，满足国密安全传输要求。 国密套件 智能密码钥匙 选择需购买的密钥钥匙个数。 国密套件 协同签名客户端 支持IOS、Android、Windows、Linux等操作系统，每个客户端占1个配额，最多支持购买10000个。 国密套件 证书管理服务 提供权威证书管理服务（证书有效期至少为一年，购买时长小于一年会默认为一年时长）。 国密证书、国际证书购买后会保存至证书管理服务控制台。 密评服务 密评咨询服务 为应用设计密码应用方案，协助密评机构开展密评，单个应用配置1套。 密评服务 密评测评服务 支持1个应用密码应用安全性评估。 密评服务 密码改造服务 项目特殊需求定制服务，下单前请提前和产品经理沟通并评估工作量，根据工作量确定下单数量。 5. 购买密码产品，还需要配置企业项目、网络信息。 配置项 配置项说明 企业项目 选择此次购买的密评服务所属的企业项目，方便您进行管理。 虚拟私有云 选择密码产品实例所要配置的虚拟私有云。 注意 成功创建后，VPC不可更换，请谨慎选择。 安全组 选择密码产品实例所在的安全组。 子网 选择密码产品实例所属的子网。 6. 购买密码产品，还需要配置密码产品管理员账号初始账密。 配置项 配置项说明 用户名 设置购买的密码产品实例管理员初始账号。 密码 设置购买的密码产品实例管理员初始密码。 确认密码 二次确认购买的密码产品实例管理员初始密码。 7. 选择购买密码产品、证书管理服务的时长。 支持开启“到期自动续费”。开启自动续费后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 8. 配置完成后，勾选“我已阅读并同意《天翼云云密评专区服务协议》《隐私政策声明》”后，单击“提交订单”。

本节介绍翼加密的付费开通流程。 1.登录AI云电脑控制台，点击“协同套件”菜单栏，找到“翼加密”点击开通； 2.翼加密共有两个版本，根据加密需求选择相应的版本开通使用； 版本 价格 说明 标准版 ¥3.0/台/月 提供基础的加密保护和外发管控能力 旗舰版 ¥30.0/台/月 在标准版基础上提供高强度加密保护及权限管控能力 3.配置加密AI云电脑数； 4.设置脱密审计存储空间，按照100GB步长添加。脱密审计存储适用AI云电脑数据盘资源包资费：¥40/100GB/月； 5.设置告警邮箱和手机号码。默认是账号绑定的邮箱和手机号，可以修改； 6.使用资源包抵扣支付开通。按照计算包1C2G40元/月，存储包100GB40元/月的价格换算抵扣。可自定义配置抵扣的计算包和存储包数量。 备注：开通后，用户可根据使用需求进行扩容、版本升级、续订或退订。

本文介绍通过查看历史离线分析数据，您可以了解安全加速的运行情况。 简介 可通过筛选项进行组合查询，筛选项包括域名、业务类型、覆盖范围和时间等，其中必选项为域名和时间。 时间选择跨度最长不能超过31天。 安全分析 1.在天翼云SCDN客户控制台的【安全分析】页面，客户可以查看waf、CC攻击日志和waf报表分析、CC报表分析情况。 2.界面中展示的是您所选域名、时间的攻击日志情况。 图 安全分析waf攻击日志 图 安全分析CC攻击日志 业务数据统计分析 1.带宽流量统计 1）在天翼云SCDN客户控制台的【统计分析用量查询】页面，客户可以查看业务的使用情况。 2）界面中展示了所选择域名、时间的流量和带宽统计图表，包括总流量和平均流量信息；带宽峰值和95带宽峰值。 图 统计分析流量带宽 图 回源统计 3.在天翼云SCDN客户控制台的【统计分析用量查询】页面，客户可以查看业务的回源情况。 4.界面中展示了所选择域名、时间的回源流量和回源带宽统计图。 图 统计分析回源流量带宽 图 请求数统计 5.在天翼云SCDN客户控制台的【统计分析请求数】页面，客户可以查看其在使用CDN。 6.界面中展示了所选择域名的总请求数、请求数峰值、请求数谷值等信息。 7.请求数统计包括：防护请求数、静态https请求数、动态请求数等。 图 请求数统计

本文帮助您快速熟悉安全组与云服务器的关联管理。 操作场景 安全组是一种虚拟防火墙，为云服务器提供安全防控。根据您的业务需求，您可以自定义安全组与云服务器之间的关系，随时调整。 说明 对于不同资源池来说，从安全组界面支持添加的实例类型不完全一致，部分资源池仅支持添加弹性云主机，实际情况以控制台展示为主。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成弹性云主机、安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要调整关联关系的安全组，点击名称进入详情页。 6. 在安全组详情页，选择“关联实例”页签，可以管理云服务器和安全组之间的关联关系。 7. 将云服务器加入安全组：单击“弹性云服务器”页签下的【添加】按钮。选择需要添加的云服务器名称，单击确定。支持批量添加云服务器。 对于地域资源池来说，在添加云服务器的弹窗中，需要先选择VPC，再选择VPC下可添加的云服务器。 对于可用区资源池来说，可直接选择添加安全组所属的VPC下的云服务器。 注意 为了更好的网络性能，建议一个云主机不超过5个安全组。 8. 将云主机移除安全组： 批量移除：单击“弹性云服务器”页签下的【移除】按钮，在弹窗中选择需要移除的云服务器名称，支持批量解除云服务器和安全组的关系。 单次移除：选择需要移除的云服务器，单击其所在行的【移除】按钮，逐次解除云服务器和安全组之间的关系。 注意 所选择的云服务器至少要属于一个安全组，否则就不允许移除。 对于地域资源池来说，在移除云服务器的弹窗中，需要先选择VPC，再选择VPC下可移除的云服务器。 对于可用区资源池来说，可直接选择移除安全组所属的VPC下可移除的云服务器。 9. 更改安全组：选择需要更改安全组的云服务器，单击其所在行的【更改安全组】按钮，支持在云服务器的详情页里面调整云服务器与安全组之间的关系。