本文介绍天翼云远程证明服务,包括工作原理、使用方式和计费说明。 概述 天翼云远程证明服务是一个统一的解决方案，可用于验证不同平台（如鲲鹏、海光、intel 、AMD等）的可信度和在该平台中运行的代码的完整性。该服务支持对基于虚拟可信平台模块vTPM（virtual Trusted Platform Module）的平台进行证明，以及对可信执行环境TEE（Trusted Execution Environment）的状态进行证明。 工作原理 基于硬件信任根建立从硬件到软件的可信启动链，并利用该信任根对系统状态生成密码学签名的报告。远端验证者通过验证该报告的完整性和真实性，并与预定义的可信策略进行比对，来达成两个核心目标： 确认平台基于真实的硬件可信根。 确认平台运行了符合预期的软件栈。 使用方式 远程证明服务主要用于对机密云主机和可信云主机进行远程证明，目前仅提供通过OpenAPI进行认证（详细可参见远程证明服务OpenAPI），主要有以下两种使用方式： 方式一： 1. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 2. 启动完成后，您可从云主机内调用相关接口获得“证据“，由（虚拟）硬件内密钥所签名的内容（包含度量值）； 3. 您可以将“证据”提交给远程证明服务进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根； 4. 您可以进一步检查“证据”中各字段的值（包含度量值），便验证了平台运行了符合预期的软件栈。 方式二： 1. 您需要制定证据校验策略，并将策略上传至远程证明服务； 2. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 3. 启动完成后，您可从云主机内调用相关接口获得“证据“——由（虚拟）硬件内密钥所签名的内容（包含度量值）； 4. 您可以将“证据”提交给远程证明服务进行校验，提交时指定使用哪个策略进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根；策略中包含客户预期的“证据”中各个字段的值（包含度量值），将预期值（基准值）与生成值作对比，便验证了平台是基于真实的硬件可信根。

限制项 限制说明 备注 短信 使用同一个签名，默认情况下对同一个手机号码发送短信，2条/分钟，5条/小时，10条/天。 您可以在控制台 消息配置 > 发送频率限制 中修改发送频率。一个手机号码通过天翼云短信服务平台最多收到50条/天。 若在发送验证码时提示业务限流，建议认证为企业用户，根据以上业务调整接口调用时间。

用户使用手册 天翼云安全专区终端安全EDR用户使用指南.pdf 天翼云安全专区云防火墙用户使用指南.pdf 天翼云安全专区云堡垒机用户手册使用指南.pdf 天翼云安全专区云数据库审计用户使用指南.pdf 天翼云安全专区云日志审计用户使用指南.pdf 天翼云安全专区安全管理中心用户使用指南.pdf

本文介绍天翼云CDN服务协议。 天翼云全站加速产品采用《天翼云CDN服务协议》，详情请参见：天翼云CDN服务协议。

护航版 为确保重大活动期间，业务系统的平稳安全运行，政企单位需提高网络安全保障强度，开展重要时期网络安全保障工作。安全服务团队重保服务从前、中、后三个阶段，以梳理筹备、摸底评估、布防加固、模拟演练、值守保障、整改优化的工作步骤，密切关注重点网络基础设施和业务系统，通过明确的职责分工与协作，提供一体化保障体系，协助政企单位圆满完成安全重保任务，有效提升整体安全防护能力。 应急响应 应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统自身故障（这里的系统包括主机范畴内的问题，也包括网络范畴内的问题）、组织内部或外部的人、计算机病毒或蠕虫等。 安全评估 安全评估服务通过用户现有的安全组件（如漏扫、EDR）及天翼云服务团队自有的安全评估工具，对用户的安全情况进行整体的安全脆弱性评估，全方位的发现目前用户资产存在的安全漏洞及脆弱性，并针对用户现状，提出切实可行的安全加固方案。

本节介绍翼加密在管理员使用过程的的常见问题。 加密策略中没有找到需要加密的文件类型怎么办？ 如有其他文件类型的加密需求，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多文件类型的加密管控。 加密策略中配置的应用程序有什么用？ 策略中配置的是加密授权的应用程序。加密文件只能被授权的应用软件明文打开和编辑（如下图所示）。未经加密授权或适配的第三方应用软件打开加密文件为密文数据。 备注：如果需要适配其他应用软件，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多应用软件的加密授权。 为什么给AI云电脑开启加密时，提示版本过低？ (1) 开启加密的AI云电脑需要agent版本高于1.31，并且安装加密驱动。 (2) agent和加密驱动版本在加密桌面管理处能看到版本号，如果提示“！”则说明版本过低或未安装。发现这种情况请联系运维处理。 批量全盘加密/解密AI云电脑时，提示无法提交 目前每个资源池可同时进行AI云电脑全盘加密/解密的上限是30个，如果您有大规模的AI云电脑全盘加密或解密需求，请提交工单联系运维专项处理。

94 [管理平台]DRDS实例支持热变配（升降配），即变更DRDS实例的CPU和内存后无需重启该DRDS实例，确保服务可用性。详见 规格变更。 93 [Giserver]新增GiServr exporter监控采集功能，用于天翼云数据库生命周期管理平台（DCP）监控GiServer节点状态信息。 体验改进 213 [DBProxy]SQL语句中TruncateStatement命令支持异步执行，不再需要等待数据库操作完成即可继续执行后续的命令，提高命令执行效率。 203 新增开发指南，并合入原用户指南中的SQL指南内容。 196 优化执行DDL语句创建表的策略，提升至最多支持批量创建10000张表。详见：库表管理。 180 [管理平台]优化前序版本引入的连续创建多个Schema需要多次刷新页面后新建的操作体验。 175 优化DRDS实例所在宿主机安全组和防火墙策略，该优化对公有云租户端不可见。 167 例行调整配置文件加密密钥，满足等保3级或以上密码策略要求，该调整对公有云租户端不可见。 166 优化购买DBProxy实例的单可用区节点策略，提升至最多配置6个节点。详见：步骤一：购买DRDS实例。

本文介绍如何通过天翼云SDWAN服务实现企业总部与分支互联。 操作场景 某企业已经在地域A和地域B分别建立了两个分支机构，现在该企业希望通过天翼云SDWAN服务实现两个地域的分支机构与企业总部互通。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 步骤一：购买智能网关 您可以通过天翼云官网自行购买智能网关实例，也可以联系客户经理购买智能网关实例。通过天翼云官网自行下单，操作步骤如下： 1. 登录天翼云SDWAN控制台，选择“智能网关”，在“智能网关”页面单击“创建智能网关”，选择“创建智能网关”。 2. 根据页面提示配置参数，部分参数信息可参考如下： 参数 描述 实例名称 智能网关实例名称，长度为164字符，以大小写字母或中文开头，可包含数字、“.”、 “”、“”。 区域 所属位置信息。 基础带宽 该分支接入SDWAN骨干网的带宽大小。 网关形态 可选择硬件版、软件版，这里我们选择硬件版。 是否购买设备 表示是否需要从天翼云购买设备。选择“是”，则天翼云会为您准备一台设备；选择“否”，则需要用户自备设备。 设备类型 购买设备时，需要选择设备的型号。可以选择经济版、标准版、企业版、企业增强版。 增值业务 可选的增值业务，包括5G服务、WIFI服务、LTE服务。 使用方式 表示设备的使用方式。可选择单机或者双机备份。 地址信息 表示设备的装机地址。请准确填写地址信息，提交订单后不支持更改。 3. 单击“提交订单”。确认订单信息无误后，勾选“我已阅读并同意相关协议《天翼云SDWAN产品服务协议》”，单击“确认下单”。 4. 订单支付成功后，完成购买。

操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具执行以下命令。 plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 单击桌面左下角Windows按键，选择这台电脑，右键单击“这台电脑”，选择“映射网络驱动器”。 6. 在弹出窗口中，设置“驱动器”盘符名称及文件夹（即在文件系统中看到的挂载目录），文件夹内容为文件系统的挂载地址，可在文件系统的详情页获取。勾选“登录时重新连接”可在云主机重启后自动挂载文件系统。设置完毕后单击完成。 7. 单击桌面左下角Windows按键，单击“这台电脑”，在网络位置处将出现已挂载的文件系统，此时您可以像使用一般的文件系统一样进行创建、修改删除文件，构造自己的文件系统。

敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据。 敏感数据举例： 个人：家庭住址、工作单位、银行卡号、身份证号码 企业或组织：财务信息、客户资料、技术资料、重大决策等公司核心信息。 天翼云数据安全中心（Data Security Center，简称DSC）为您提供静态数据脱敏功能：能够根据脱敏规则对大批量数据进行统一变形转换处理。静态脱敏的应用场景多为：开发测试、数据分享、数据研究。可以将生产环境中的敏感数据交付至开发、测试或者外发环境。 为何敏感数据会泄露 内部原因 员工（包括在职员工、待离职员工、合作伙伴、外包人员）盗窃数据 重要笔记本电脑和移动设备的丢失或失窃 敏感数据越权访问和存储 企业员工打印、外和复制敏感数据 意外传输敏感数据 外部原因 基础措施不可控，避免数据存储系统存在安全漏洞 配置不当导致的外部攻击 敏感数据越权访问和存储 场景 场景假设：“rsddsctest”数据库中“dscyunxiaoke”表中存储了银行员工信息。 处理方案：当前需要对敏感数据进行敏感数据识别并完成脱敏，可选择识别规则组“银行金融领域模板”，该模板为预置模板，能识别出敏感数据并生成识别结果数据报告，再对识别出的敏感数据进行“Hash脱敏”中的SHA256算法进行脱敏处理，以此来达到保护敏感数据得目的。

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

介绍安全加速产品中常用术语。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用www.ctyun.cn访问，您又希望通过www.example.ctyun.cn1也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将www.example.ctyun.cn1指向www.ctyun.cn，添加该条CNAME记录后，所有访问www.example.ctyun.cn1的请求都会被转到www.ctyun.cn，获得相同的内容。 CNAME域名 接入CDN时，在天翼云控制台添加完加速域名后，您会得到一个天翼云CDN给您分配的CNAME域名，（该CNAME域名一定是. ctdns.cn）， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个. ctdns.cn的CNAME域名，这样该域名所有的请求才会都将转向天翼云CDN的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

本节介绍服务器安全卫士（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

本节介绍天翼云电脑在移动客户端的账户与安全模块。 换绑手机号 如需换绑/绑定手机，我账号与安全点击“手机号”。 通过已绑定的手机号或邮箱验证后，可更换绑定手机号。 换绑邮箱 如需换绑/绑定手机，我账号与安全点击“邮箱”。 通过已绑定的手机号或邮箱验证后，可更换绑定手机号。 修改密码 如需修改密码，我账号与安全点击“修改密码”。 账号注销 如需账号注销，我账号与安全点击“账号注销”。 设备管理 如需查看AI云电脑登录的设备或移除设备，我账号与安全点击“设备管理”。 点击对应的设备，进入设备详情，点击底部按钮“移除设备”，确认移除后，该设备已登录的账号和密码缓存将被清除。 自动退出登录 登录后，客户端可设置AI云电脑账号自动退出时间，即客户端超过设置的时间内没有进行相关操作，客户端将自动退出AI云电脑账号。

本节介绍了云审计的用户指南。 操作场景 本服务现已对接天翼云++云审计++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“容器”，资源类型选择“云容器引擎”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

本章节主要介绍了通过DRS将其他云数据库实时迁移至本云DDS的任务配置流程。 包括以下迁移场景： 其他云MongoDB数据库实时迁移至本云DDS。 其他云内云主机自建自维护的MongoDB数据库迁移至本云DDS。 网络示意图和MySQL的场景相同 迁移步骤 图 迁移流程图 迁移建议（重要） 数据库迁移与环境多样性和人为操作均有密切关系，为了确保迁移的平顺，建议您在进行正式的数据库迁移之前进行一次演练，可以帮助您提前发现问题并解决问题，如何最小化对数据库的影响请参考如下建议。 强烈建议您在启动任务时选择“稍后启动”功能，将启动时间设置在业务低峰期，相对静止的数据可以有效提升一次性迁移成功率，避免迁移对业务造成性能影响。 迁移须知（重要） 注意 在创建迁移任务之前，请您务必仔细阅读迁移须知。 参考《数据库复制服务快速入门》中的“使用须知”章节。 迁移准备 1.权限准备： 当使用 DRS 将其他云MongoDB数据库的数据迁移到本DDS实例时，在不同迁移类型情况下，对源数据库和目标数据库的帐号权限要求如表： 表 迁移账号权限 迁移类型 全量迁移 全量+增量迁移 源数据库 o 副本集：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限。 o 集群：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限，对config数据库有read权限。 o 单节点：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限。 如果需要迁移源数据库用户和角色信息，连接源数据库的用户权限需要对admin数据库的系统表system.users，system.roles有读权限。 o 副本集：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限，对local数据库有read权限。 o 单节点：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限，对local数据库有read权限。 o 集群：连接源数据库mongos节点的用户权限需要对admin数据库有readAnyDatabase权限，对config数据库有read权限， 连接源数据库分片节点的用户权限需要对admin数据库有readAnyDatabase权限，对local数据库有read权限。 如果需要迁移源数据库用户和角色信息，连接源数据库的用户权限需要对admin数据库的系统表system.users，system.roles有读权限。 目标数据库 连接目标数据库的用户权限需要对admin数据库有readAnyDatabase权限，对目标数据库有readWrite权限。 源数据库权限设置： 需要确保源数据库MongoDB的帐号权限具备表1的要求。若权限不足，需要在源数据库端开通高权限的帐号。 目前DRS支持迁移的第三方云厂商有：阿里云，腾讯云和亚马逊云。 以阿里云云数据库MongoDB迁移到本云DDS为例，阿里云MongoDB默认的初始帐号已经具备进行数据迁移的能力，使用初始帐号即可。 目标数据库权限设置： 本云DDS实例使用初始帐号即可。 2.网络准备： 源数据库需要开放公网访问。源数据库的网络设置： 源数据库MongoDB实例需要开放公网域名的访问。 以阿里云云数据库MongoDB迁移到本云DDS实例为例，一般情况下，阿里云云数据库MongoDB不提供公网地址，需要通过申请公网地址来允许外部的应用对接，具体的操作及注意事项可以参考阿里云提供的相关指导。 目标数据库的网络设置：目标端不需要进行设置。 3.安全规则准备： 源数据库安全组规则设置： 源数据库MongoDB实例需要将具体的DRS迁移实例的弹性公网IP添加到其网络白名单中，确保源数据库MongoDB实例可以与上述弹性公网IP连通。 以阿里云云数据库MongoDB迁移到本云DDS为例，具体设置网络白名单的操作及注意事项可以参考相关指导。在设置网络白名单之前，需要先获取DRS迁移实例的弹性公网IP，具体操作如下： 迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。如图所示： 图 迁移实例公网弹性IP 以上讲述的是精细配置白名单的方法，还有一种简单设置白名单的方法，在安全允许的情况下，可以将源数据库MongoDB实例的网络白名单设置为0.0.0.0/0，代表允许任何IP地址访问该实例。 上述的网络白名单是为了进行数据迁移设置的，迁移结束后可以删除。 目标数据库安全组规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 4.其他事项准备： 由于迁移过程不会迁移MongoDB数据库的用户信息以及相关参数，需要自行将上述信息导出后手动添加到目标DDS中。

本文介绍了虚拟私有云的权限内容。 如果您需要对天翼云上创建的VPC资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权来控制员工对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有VPC的使用权限，但是不希望员工拥有删除VPC等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPC，但是不允许删除VPC的权限，控制员工对VPC资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可忽略本章节，不影响您使用VPC服务的其他功能。 VPC权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPC部署时通过物理区域划分。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPC服务，管理员能够控制IAM用户仅能对某一类网络资源进行指定的管理操作。 下表是VPC的所有系统权限。 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖云日志服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 下表是VPC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 VPC ReadOnlyAccess VPC Administrator VPC FullAccess 创建VPC × √ √ 修改VPC × √ √ 删除VPC × √ √ 查看VPC √ √ √ 创建子网 × √ √ 查看子网 √ √ √ 修改子网 × √ √ 删除子网 × √ √ 创建安全组 × × √ 查看安全组 √ × √ 修改安全组 × × √ 删除安全组 × × √ 添加安全组规则 × × √ 查看安全组规则 √ × √ 修改安全组规则 × × √ 删除安全组规则 × × √ 创建网络ACL × √ √ 查看网络ACL √ √ √ 修改网络ACL × √ √ 删除网络ACL × √ √ 添加网络ACL规则 × √ √ 修改网络ACL规则 × √ √ 删除网络ACL规则 × √ √ 创建对等连接 × √ √ 修改对等连接 × √ √ 删除对等连接 × √ √ 查询对等连接 √ √ √ 接受对等连接 × √ √ 拒绝对等连接 × √ √ 创建路由表 × √ √ 删除路由表 × √ √ 修改路由表 × √ √ 将路由表关联至子网 × √ √ 添加路由 × √ √ 修改路由 × √ √ 删除路由 × √ √ 创建VPC流日志 × √ √ 查看VPC流日志 √ √ √ 开启/关闭VPC流日志 × √ √ 删除VPC流日志 × √ √ 创建IP地址组 × √ √ 将IP地址组关联至资源 × √ √ 将IP地址组和资源解除关联 × √ √ 在IP地址组内添加IP地址条目 × √ √ 删除IP地址组内的IP地址条目 × √ √ 修改IP地址组 × √ √ 删除IP地址组 × √ √ 说明 对于企业项目用户，您可以对属于该企业项目的资源进行权限范围内的操作。

本节介绍了网络安全相关问题与处理方法。 TaurusDB有哪些安全保障措施 网络 云数据库TaurusDB实例可以设置所属虚拟私有云，从而确保云数据库TaurusDB实例与其他业务实现网络安全隔离。 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 管理 通过统一身份认证服务（Identity and Access Management，简称IAM），可以实现对云数据库TaurusDB实例的管理权限控制。 如何防止任意源连接数据库 数据库开放EIP后，如果公网上的恶意人员获取到您的EIP。 DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP。 DNS、数据库端口、数据库帐号和密码等信息，并通过云数据库TaurusDB实例的安全组限定源IP，保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码，请按照云数据库TaurusDB实例的密码策略设置足够复杂度密码，并定期修改。 访问TaurusDB实例应该如何配置安全组 通过内网访问TaurusDB实例时，设置安全组分为以下两种情况： ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的 入方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 通过弹性IP访问TaurusDB实例时，需要为TaurusDB所在安全组配置相应的 入方向规则 。 将根证书导入Windows/Linux操作系统

本节介绍云电脑（政企版）可通过网络安全组功能配置访问规则加强安全防护。 操作场景 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。AI云电脑（政企版）如果需要加强安全防护，实现访问控制，则需要管理员在安全组中定义各种访问规则，当AI云电脑加入该安全组后，即受到这些访问规则的保护。 新增安全组 1.进入”AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.单击“新增安全组”，弹出“添加安全组”对话框； 4.设置出方向和入方向的访问控制； 5.确认相关的配置信息，点击“确定”，即完成安全组的新增。 删除安全组 当需要删除指定安全组时，如果该安全组已绑定策略使用，则需要先从策略管理中解除该安全组的绑定。 1.进入“AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要删除的安全组所在行，单击“删除”。弹出“安全组删除”对话框； 4.单击“确定”，安全组即删除成功。 配置规则 当需要修改定安全组配置规则时，可以进行安全组规则的添加、修改、删除。 1.进入“AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要修改的安全组所在行，单击“配置规则”。进入“安全组详情”页面； 4.在“安全组详情”页面，管理员可以对已有规则进行”修改“或”删除“； 5.在“安全组详情”页面，管理员可以单击”添加规则“，弹出“添加方向规则”对话框，进行规则配置； 6.单击“确定”，即可以完成安全组规则修改。 说明 创建安全组后，可通过“基础策略”绑定安全组，再分配策略至桌面，则可以实现控制安全组内桌面的入流量和出流量。

本文将从背景介绍、账户安全防护原理、前提条件、操作步骤等方面向您介绍账户安全防护提供的撞库防护、暴力破解防护、批量注册防护功能。 功能介绍 边缘安全加速平台安全与加速服务支持撞库防护、暴力破解防护、批量注册防护等策略以全方位保障用户的账户安全。 注意 目前控制台尚未开放以上功能，如有防护需求请通过 背景介绍 在网络环境中，账户安全是保障用户权益的重要一环。黑客能够通过撞库、暴力破解等各种手段获取用户对平台的访问权限，然后利用这些权限来窃取用户的账号密码和敏感数据，从而进行一系列违法获益的行为，严重损害了用户的数据安全甚至财产安全。 撞库是什么？ 撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址，这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发，通过碰撞用户名得到账号密码信息。

Web应用防火墙（边缘云版）最终的业务带宽套餐内包含的带宽+带宽扩展的带宽。本文介绍业务带宽的查询和订购。 glmoscodeexplain 如何了解业务所需带宽？ 首先，接入Web应用防火墙（边缘云版）防护总业务带宽需要大于网站日常业务带宽峰值。例如，如果您的网站日常业务带宽为115Mbps，那您需要购买标准版的套餐（包含100Mbps）+20Mbps的带宽扩展或者购买专业版套餐即可满足业务日常需求。 怎么查询您当前的业务带宽？ 您可以登陆天翼云官网，在首页右上角点击“控制中心“在控制中心页面点击安全点击”Web应用防火墙（边缘云版）“跳转至Web应用防火墙（边缘云版）用户控制台； 在用户控制台页面点击“统计分析”“业务分析“根据时间筛选可以查看业务当前使用的带宽峰值数据； 在用户控制台页面点击“计费详情”查看您当前可使用的总的业务带宽峰值套餐带宽峰值+带宽扩展的带宽峰值。 如何购买带宽扩展包？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 备注：带宽扩展包不享受包年折扣。 注意 暂时不支持单独退订带宽扩展包，如果需要单独退订，请

本节介绍了天翼云电脑移动客户端的账户与安全模块。 换绑手机号 如需换绑/绑定手机，我账号与安全点击“手机号”。 通过已绑定的手机号或邮箱验证后，可更换绑定手机号。 换绑邮箱 如需换绑/绑定手机，我账号与安全点击“邮箱”。 通过已绑定的手机号或邮箱验证后，可更换绑定手机号。 修改密码 如需修改密码，我账号与安全点击“修改密码”。 账号注销 如需账号注销，我账号与安全点击“账号注销”。 设备管理 如需查看AI云电脑登录的设备或移除设备，我账号与安全点击“设备管理”。 点击对应的设备，进入设备详情，点击底部按钮“移除设备”，确认移除后，该设备已登录的账号和密码缓存将被清除。 自动退出登录 登录后，客户端可设置AI云电脑账号自动退出时间，即客户端超过设置的时间内没有进行相关操作，客户端将自动退出AI云电脑账号。

本小节介绍安全专区操作类常见问题。 为减低云主机风险，仅开放最少端口，如何为安全组件云主机加固？ 可通过设置云主机安全组，为每个安全组件云主机开放以下端口。 安全组件云主机 端口 端口用途 AQZQAF（云防火墙） 业务端口 网络通信 AQZQOSM（云堡垒机） 20/21 FTP AQZQOSM（云堡垒机） 22 ssh AQZQOSM（云堡垒机） 443 https、协议代理（web） AQZQOSM（云堡垒机） 444 数字证书登陆 AQZQOSM（云堡垒机） 1521 Oracle数据库 AQZQOSM（云堡垒机） 3306 Mysql数据库 AQZQOSM（云堡垒机） 3389 RDP AQZQOSM（云堡垒机） 8080 http AQZQOSM（云堡垒机） 9443 Web客户端 AQZQOSM（云堡垒机） 12021 协议代理（FTP协议） AQZQOSM（云堡垒机） 12024 协议代理（字符客户端：xshell、putty、crt、winscp、filezilla） AQZQOSM（云堡垒机） 12025 协议代理（RDP客户端） AQZQLAS（云日志审计） TCP22 访问后台命令行 AQZQLAS（云日志审计） UDP161 snmp query设备状态 AQZQLAS（云日志审计） UDP162 接收snmp trap日志 AQZQLAS（云日志审计） UDP514 接收syslog日志 AQZQLAS（云日志审计） TCP8082 访问设备管理控制台 AQZQLAS（云日志审计） TCP8443、443 访问业务控制台 AQZQEDR（终端安全EDR） 443 Agent下载端口 AQZQEDR（终端安全EDR） 8083 业务端口 AQZQEDR（终端安全EDR） 54120 管理端口 AQZQDAS（云数据库审计） TCP22 ssh服务 AQZQDAS（云数据库审计） TCP80 web服务 AQZQDAS（云数据库审计） TCP443 安全的web服务 AQZQDAS（云数据库审计） TCP8443 安全的web数据服务 AQZQDAS（云数据库审计） TCP9092 kafka发送数据 AQZQDAS（云数据库审计） TCP9999 Agent审计服务端口 AQZQDAS（云数据库审计） TCP5672 rabbitmq客户端 AQZQDAS（云数据库审计） TCP10000 综合治理相互监听端口 AQZQDAS（云数据库审计） TCP15672 rabbitmq服务端 AQZQCSSP（安全专区服务） TCP4430 API通信端口 AQZQCSSP（安全专区服务） TCP4433 单点登录 AQZQCSSP（安全专区服务） UDP4500、UDP500 用来创建扫描隧道与执行扫描 AQZQCSSP（安全专区服务） TCP7443 API通信端口，用来授权与部署扫描任务 AQZQCSSP（安全专区服务） TCP8888 代理组件后端 AQZQCSSP（安全专区服务） TCP8989 单点登录 AQZQCSSP（安全专区服务） TCP9999 自动升级 说明 表示主机的命名。

本节介绍云安全中心使用流程。 为全面帮助您进行安全运营，您需要购买云安全中心实例并接入安全产品日志。云安全中心获取到各类日志后，能通过日志的内容进行威胁建模，完成各类安全告警的生成，辅助您进行安全处置，实现安全运营。 云安全中心使用流程如下：

本文介绍如何通过天翼云SDWAN访问云上资源。 操作场景 用户通过天翼云SDWAN服务访问云上资源，需要将天翼云SDWAN实例绑定云间高速（标准版）实例。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，进入天翼云SDWAN实例列表页面； 3. 选中目标SDWAN实例，单机其“操作”列的“绑定云间高速（标准版）”； 4. 根据页面提示，选择待绑定的云间高速（标准版）实例及云间高速（标准版）实例下的云网关实例； 5. 单击“确定”，完成绑定。

本文介绍如何安全加速操作类问题。 如何判断安全加速配置生效？如何判断安全加速配置生效？ 可ping、dig所添加的域名，若转向到.ctcdn.com，即说明配置成功，安全加速生效。 使用天翼云安全加速后，需要对部分恶意IP进行屏蔽，以保护站点数据和流量负载，可以通过控制台进行自助配置吗？ 天翼云安全加速可以通过配置黑名单的方式限制IP访问，以及各种方式的访问控制和限速功能都可以在控制台进行自助配置。 天翼云安全加速目前支持哪些防盗链实现方法，可以通过控制台进行自助配置吗？ 天翼云安全加速目前支持的防盗链有请求头信息（referer信息、用户IP信息、cookie信息、UserAgent信息等）防盗链，可以根据用户需求在控制台进行配置。

安全组与网络 ACL 的协同防护 安全组与网络 ACL 作为云上网络安全的核心防护手段，二者协同配合，形成多层次访问控制体系： 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 最小权限原则：建议安全组规则采用 “白名单” 机制，仅开放业务必需端口（如 Web 服务开放 80、443 端口），拒绝所有不必要的入方向流量。例如，数据库实例安全组仅允许应用实例所在安全组访问 3306 端口，禁止公网直接访问。更多信息请参考 ++安全组概述++ 网络ACL是一个子网级别的流量防护策略：用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云服务器实例流量的访问控制。通过出方向/入方向规则控制出入子网的流量数据，可作为安全组的补充防护，在子网层面阻断异常流量。 防御外部攻击：可在网络 ACL 中配置规则，拦截常见攻击 IP 段或端口扫描行为，例如，拒绝来自已知恶意 IP 段的流量，减少实例被攻击风险。更多信息请参考++网络ACL概述++ 协同防护建议：安全组与网络 ACL 配合使用，形成 “实例 子网” 双层防护。例如，Web 子网的网络 ACL 仅允许 80、443 端口公网流量进入，Web 实例安全组进一步限制仅允许负载均衡实例 IP 访问，双重保障 Web 服务安全。

项目影响 交投集团现已在全市建设“交投能源”充电站数十个，充电车位400多个。市民通过小程序接入充电，平台访问快速，用户感知良好。 项目平台采用云原生架构，使用了天翼云众多高阶产品，包括云容器引擎、消息队列、云数据库等，为新能源充电桩上云场景树立了一个标杆。 云容器引擎整体方案介绍 业务痛点 客户期望使用xc架构主机构建容器集群，基于天翼云海光、鲲鹏主机开通容器。 业务缺乏云原生架构弹性扩展和智能运维能力。 小程序访问具有明显波峰波谷特征，需实现应用弹性扩展，又能节省不必要的成本。 技术方案 云容器引擎产品的架构图如下： 提升业务稳定性：选择天翼云容器引擎部署业务应用，经过电信上云容器大规模场景实践验及证优化，业务无需过多改造，只需注册到容器集群，不仅提升了稳定性，还节省了大量运维人力成本。 快速弹性应对突发流量：容器可以快速弹性扩展，一次性扩容多台云主机，业务负载能水平、定时伸缩。 简化用云体验：容器整合了天翼云IaaS和PaaS多种能力，如集成了应用性能监控、云日志服务，可以快速定位性能问题，更好地保证业务的连续性

算力专网产品的开放范围是？ 算力专网的业务开放范围为中国境内（港澳台除外），支持多云接入（含天翼云资源池站点和第三方公有云资源池站点）。 客户组网的站点中必须有天翼云站点才能使用算力专网产品吗？ 不是。算力专网的站点支持总部/分支等普通站点，天翼云资源池站点和第三方云站点。 算力专网支持多云接入吗？支持哪些云商？ 算力专网支持多云接入，支持阿里云、腾讯云、华为云、AWS和微软云等。

天翼云为您提安全体检产品服务协议说明，请您点击查看。 请参见安全体检产品服务协议。

本章节主要介绍如何登录翼MR集群节点。 本章节介绍如何使用翼MR管理控制台上提供的节点远程连接（VNC方式）和如何使用密码方式（SSH方式）登录翼MR集群中的节点，远程连接主要用于紧急运维场景，远程登录主机进行相关维护操作。其他场景下，优先推荐用户使用SSH方式登录集群节点。 说明 如果需要使用SSH方式登录集群节点，需要在集群的安全组规则中手动添加入方向规则：其中源地址为“客户端公网IPV4地址/32”，端口为22，具体请参见“帮助中心>虚拟私有云>安全组>[ 登录主机（VNC方式） 1. 登录翼MapReduce服务管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“远程连接”。 5. 在VNC方式新标签页Web页面中，可以看到服务器的命令行界面，类似于Linux服务器登录模式，输入root账号，并输入密码。 说明 1、初始密码为创建集群时所设定的集群密码。 2、自2.16版本起，若忘记密码，可通过基础信息页的重置密码功能修改云主机密码，物理机暂不支持修改。 登录主机（SSH密钥方式） 本地使用Windows操作系统 如果您本地使用Windows操作系统登录Linux主机，可以按照下面方式登录主机。下面步骤以Xshell为例。 1. 登录翼MR服务管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“更多”，选择“绑定弹性IP”，可以为该节点选择一个已存在且未绑定使用的弹性公网IP或者可以单击“+创建弹性公网IP”跳转至弹性IP控制台完成弹性IP购买后，再完成弹性公网IP绑定操作，若已绑定弹性公网IP请跳过该步骤。 5. 运行Xshell。 6. 选择“新建会话”。 7. 名称：选择你认为合适的会话名称，用于方便管理。 8. 协议：使用默认的“SSH”。 9. 主机：输入主机所绑定的弹性公网IP。 10. 端口号：使用默认的“22”，详见下图： 单击“Session”。 11. 单击“连接”，按照提示步骤，分别完成登录用户（默认为root）、密码的输入并保存，即可完成远程登录操作。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 读写类型 删除告警规则 写事件 创建告警规则 写事件 修改告警规则 写事件 开启一键告警 写事件 批量修改一键告警 写事件 任务中心任务下载 写事件 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“云监控”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。