云硬盘备份支持选择云硬盘的某个分区进行备份吗？ 不支持。云硬盘备份是以云硬盘作为备份粒度进行备份的，即对整个磁盘进行备份，不支持再向下细分至分区进行备份。 如果您需要对云硬盘的某个分区进行备份，推荐您使用云备份服务。云备份CTCBR（Cloud Backup&Recovery）是一个简单易用、经济高效、安全可靠的一键式备份方案。通过集中管理界面，为天翼云中承载用户业务的云主机中的目录/文件等资源提供统一数据保护。 云硬盘能否跨地域备份？ 不能。 当前只支持地域（Region）内备份。创建备份后，您可以使用备份： 恢复数据至源云硬盘。 创建新的云硬盘。新云硬盘与源云硬盘地域必须相同，可用区则无要求。 为什么备份容量会大于操作系统中查看到的使用容量？ 问题场景 在服务器中存放了大量文件，删除文件后进行备份，备份的大小大于操作系统中查看到的已使用空间。 问题原因说明 天翼云云硬盘备份为存储层块级备份，按照块存储中已使用的数据块作为备份目标，并不识别操作系统中的文件变化。操作系统在删除文件时，只在文件属性中创建删除标记，但是未对块设备中的数据进行擦除（设置为0），块备份无法感知到操作系统层的删除标记，只能通过是否是全0数据块来判断否要备份。 解决建议 可采用第三方磁盘清理/擦除工具（由提供工具厂商为工具安全性/可用性负责）为云硬盘进行清理。

4. 任务中使用保密数据集 支持在开发机、训练任务中使用保密数据，下面以开发机任务为例，为您展示保密数据集的相关使用。 1. 管理员设置可见范围后，可见范围内的用户可以选择需要的保密数据集使用，当选择的数据集中含有保密数据集时，环境配置中将自动跳出保密输出路径配置，用户选择可见的保密输出路径。本平台将自动为您创建保密输出在容器内的挂载路径，并写入PROTECTOUTPUTDIRPREFIX环境变量，用户可在代码中直接引用此环境变量。 2. 开发机查看：列表中对含有保密设置开发机的保存数据操作进行限制，仅管理员用户可操作数据存储。且进入开发机后即创造沙箱环境，不通公网。 3. 上报云审计：如果您的保密输出路径开启了云审计，相关联的任务将按照设置将用户操作上报云审计，若识别到可疑操作将进行提醒，管理员可进入云审计事件列表查看。

类别 云防火墙 Web应用防火墙 产品定义 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 Web应用防火墙（原生版）（CTWAF，Web Application Firewall）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。 防护对象 IP（弹性公网IP、内网IP等） 域名 网络层级 四层 七层 应用场景 边界网络防护 Web业务安全防护 核心技术 ACL访问控制、DPI深度包检测、IPS入侵检测技术 HTTP协议解析、Web攻击检测 安全能力 支持外部访问控制和主动外联管控，能够检测攻击者对用户网络发起的攻击，同时也能对用户网络主动外联行为进行分析，阻断由内而外的恶意连接行为，保护用户的资产安全。 集成机器学习检测引擎，支持专家经验特征与语义特征，有效检测SQL注入、XSS等基于形式语言的攻击类型，对OWASP常见攻击类型进行了良好覆盖。

类别 云防火墙（原生版） Web应用防火墙（原生版） 产品定义 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 Web应用防火墙（原生版）（CTWAF，Web Application Firewall）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。 防护对象 IP（弹性公网IP、内网IP等） 域名 网络层级 四层 七层 应用场景 边界网络防护 Web业务安全防护 核心技术 ACL访问控制、DPI深度包检测、IPS入侵检测技术 HTTP协议解析、Web攻击检测 安全能力 支持外部访问控制和主动外联管控，能够检测攻击者对用户网络发起的攻击，同时也能对用户网络主动外联行为进行分析，阻断由内而外的恶意连接行为，保护用户的资产安全。 集成机器学习检测引擎，支持专家经验特征与语义特征，有效检测SQL 注入、XSS等基于形式语言的攻击类型，对OWASP常见攻击类型进行了良好覆盖。

本节介绍了如何修改云数据库GaussDB 的实例名称。 操作场景 云数据库GaussDB 支持修改实例名称，以方便用户识别。 约束 实例名称修改中，以下操作不可进行： 删除实例。 创建备份。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，单击目标实例名称后的 ，编辑实例名称，单击“确认”，即可修改实例名称。 您也可以单击目标实例名称，进入实例的“基本信息”页面，在“数据库信息”模块实例名称处，单击 ，修改实例名称。 实例名称长度在4个到64个字符之间，必须以字母开头，可包含大写字母、小写字母、数字、中划线或下划线，不能包含其他特殊字符。 单击 ，提交修改。 单击 ，取消修改。 步骤 3 在实例的“基本信息”页面，查看修改结果。

本小节主要介绍态势感知与其他云服务之间的关系。 与安全服务的关系 态势感知从企业主机安全（Host Security Service，HSS 2.0）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 与ECS的关系 态势感知为弹性云主机（Elastic Cloud Server，ECS）提供资产安全管理服务，结合HSS主机防护状态，全方位呈现当前ECS安全风险态势，并提供相应防护建议。 与OBS的关系 通过对象存储（Object Storage Service，OBS），您可以将SA日志存储至OBS桶中，确保日志不丢失，实现数据持久化。

本节为您介绍数据安全中心的应用场景。 满足合规场景 DSC可应用于合规场景，DSC提供了多种合规模板，包括GDPR、PCI DSS和HIPAA等，用户可以一键匹配识别这些合规规则，并生成报表供针对性整改。这样可以精准区分和保护个人数据，避免产生合规问题。 自动识别分类敏感数据 DSC可以为敏感数据进行自动识别并分类。可以从海量数据中自动发现并分析敏感数据的使用情况。通过数据识别引擎，DSC可以扫描、分类和分级储存的结构化数据（RDS）和非结构化数据（OBS），从而解决数据“盲点”，进一步加强数据的安全防护。 用户异常行为分析 DSC提供用户异常行为分析功能。通过深度行为识别引擎，DSC可以建立用户行为基线，并实时监测基线外的异常操作。用户可以实时查询行为操作，可视化行为轨迹，并识别与风险事件相关的用户操作，完善溯源审计链条。这样可以及时发现数据使用是否存在安全违规，并及时预警，从而预防数据泄露。 数据脱敏保护 DSC提供数据脱敏保护功能。通过多种预置脱敏算法和用户自定义脱敏算法，搭建数据保护引擎。可以实现非结构化数据的脱敏储存和结构化数据的静态脱敏，有效防止敏感数据的泄露。

如果您需要修改级别信息，请按照此章节进行操作，其中数据分类的级别来源为自定义 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 选择“级别配置”页签查看级别配置列表。 步骤 6 在目标级别操作列，单击“编辑”修改级别内容。 步骤 7 单击“确定”保存修改内容。

本节介绍使用服务器安全卫士（原生版）进行主机安全防护的最佳实践。 服务器安全卫士（原生版）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀等功能，帮助您构建服务器安全防护体系。 使用指引 服务器安全卫士（原生版）提供基础版、企业版、旗舰版供用户选择，不同版本差异请参见产品规格。 基础版防护 若您使用基础版进行防护，使用流程如下： 流程 相关文档 说明 步骤一：开通服务 开通服务器安全卫士（原生版） 用户需开通服务，才能使用基础版（免费）对云主机进行防护。 步骤二：接入防护 查看防护状态 开通服务后，需要在服务器列表页面确认云主机资产的防护状态，确保所有待防护的云主机已开启防护，且Agent状态为“在线”，防护状态为“防护中”。 步骤三：防护配置 [配置入侵检测](

本节为您介绍云迁移服务CMS成本评估任务的创建。 1. 云迁移服务CMS平台在左侧导航栏选择迁移评估选项，点击【成本评估】按钮，进入 [ 成本评估任务 ] 界面，如图所示。 2. 进入 [ 成本评估任务 ] 界面，点击【创建分析任务】按钮，进入[发现方式选择]界面。如图所示。 3. 点击【离线采集】按钮，进入 [ 信息采集 ]界面，如图所示。 任务名称 创建任务使用的名称，用于更好的识别评估报告的对象、用途等。 源端类型 源端类型分为阿里云、IDC离线模板。 目标区域 同一分析任务下所有资源为同一目标区域 4. 在 [ 信息收集 ] 界面，点击【IDC调研模板下载】如图所示。 5. 填写IDC离线下载模板，如图所示。 6. 创建任务完成，在 [成本评估任务]界面可查看创建信息。如图所示。

功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 WAF支持的防护对象：域名或IP，云上或云下的Web业务。 业务配置 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 业务配置 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 业务配置 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录（路径）遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。 Webshell检测防护：通过上传接口植入网页木马。 识别精准： 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：urlencode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 Web应用安全防护 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 Web应用安全防护 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 Web应用安全防护 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 Web应用安全防护 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 Web应用安全防护 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 Web应用安全防护 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 Web应用安全防护 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 Web应用安全防护 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 Web应用安全防护 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级设置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 高级设置 连接保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 高级设置 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置。 高级设置 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

参数 是否必填 参数类型 说明 示例 下级对象 textline 否 Int 图片识别到的文字行数 detail 否 Object 按照列表形式排列，每个元素为图片中每一个识别到的文本行的具体信息，包含位置以及文本行内容 detail

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

本节介绍了标签的操作场景、有关标签的基本知识、标签命名规则。 操作场景 标签是弹性云主机的标识。为弹性云主机添加标签，可以方便用户识别和管理拥有的弹性云主机资源。 您可以在创建弹性云主机时添加标签，也可以在弹性云主机创建完成后，在云主机的详情页添加标签，您最多可以给弹性云主机添加10个标签。 有关标签的基本知识 标签用于标识资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 标签示例 上图说明了标签的工作方式。在此示例中，您为每个云资源分配了两个标签，每个标签都包含您定义的一个“键”和一个“值”，一个标签使用键为“所有者”，另一个使用键为“用途”，每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如，您可以为帐户中的资源定义一组标签，以跟踪每个云资源的所有者和用途，使资源管理变得更加轻松。 标签命名规则 每个标签由一对键值对（KeyValue）组成。 每个弹性云主机最多可以添加10个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如表 104所示。 标签命名规则 参数 规则 样例 ::: 标签键 不能为空。 对于同一台云主机，Key值唯一。 长度不超过36个字符。 不能包含“”,“”,“ ”,“”,“,”,“ ”,“/”。 首尾字符不能为空格。 标签值 长度不超过43个字符。 不能包含“”,“”,“ ”,“”,“,”,“ ”,“/”。 首尾字符不能为空格。

本文主要介绍不同类型弹性负载均衡的功能特性对比。 弹性负载均衡有不同的负载均衡类型，分别是独享型负载均衡、共享型负载均衡，便于用户根据不同的应用场景和功能需求选择合适的负载均衡器类型。 协议对比 表负载均衡器支持的协议对比 协议类型 描述 独享型 共享型 四层（TCP/UDP）协议 四层负载均衡：支持TCP和UDP协议，监听器收到访问请求后，将请求直接转发给后端主机。转发效率高，数据传输快。 √ √ 七层（HTTP/HTTPS）协议 七层负载均衡：支持HTTP和HTTPS协议，监听器收到访问请求后，需要识别并通过HTTP/HTTPS协议报文头中的相关字段， 进行数据的转发。转发效率不如四层负载均衡，但是支持加密传输、基于Cookie的会话保持等高级功能。 √ √ WebSocket协议 WebSocket (WS)是HTML5一种新的协议。它实现了浏览器与主机全双工通信，能更好地节省主机资源和带宽并达到实时通讯。 √ √ 后端服务器类型对比 表支持的后端服务器类型对比 后端类型 描述 独享型 共享型 配置混合负载均衡（跨VPC后端） 独享型负载均衡实例支持混合负载均衡的能力，后端主机组不仅支持添加云上VPC内的主机， 还支持添加其他VPC、其他Region、云下数据中心的主机。帮助用户根据业务诉求灵活配置， 将流量请求转发到云上、云间或云下的主机上。 √ ╳ 弹性云主机（ECS） 后端主机支持弹性云主机。 √ √

本章节介绍印刷文字识别（OCR) 关于购买类的常见问题与解答。 资源包买错了可以退款吗？ 若因产品介绍说明有误导致的购买错误，在订购后七日内且资源包尚未使用 ，您可通过天翼云官网工单或者客服电话【4008109889】沟通申请手动退款，可能需要数个工作日审批，请耐心等待，款项会原路退回。在审批期间，您不能使用该资源包，一旦使用资源包就会导致退款失败。 资源包使用到一半可以退吗？ 资源包一经售卖且产生正常调用抵扣，不允许进行退款。资源包属于预付费产品，建议您在购买资源包的时候按实际调用情况预估调用量以免造成资源浪费，谢谢配合。 印刷文字识别服务是否支持代金券付款？ 支持代金券付款，同时还支持优惠券、提货券付款。具体使用方法：在控制台>费用中心>卡券管理，选择相应的代金券进行使用。 印刷文字识别服务是否支持试用？ 印刷文字识别服务商用产品支持新用户免费试用。限免产品直接开通即可使用，无需付费。

安全防护 可追溯租户管理操作的记录。 提供用户鉴权和SASL授权访问机制，提供企业级的安全防护。 更多信息请参见功能特性。 应用场景 分布式消息服务kafka适用于物联网、电信、电子商务、金融服务等等行业，通常用于业务的流计算处理、日志聚合等场景。更多信息请参见应用场景。 使用限制 分布式消息服务kafka对实例、Topic等对象信息进行限制，使用时注意不要超过限制，以免程序出现异常。更多信息请参见使用限制。

本章节介绍云容器集群节点网络包重复故障演练。 背景介绍 在云容器引擎（CCE）集群中，因配置错误、网络插件异常或协议缺陷，可能导致数据包被复制并多次送达目标节点。虽然 TCP 协议能够识别并丢弃重复的数据包，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 通过增加TC和Netem规则模拟Node内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节为您简单介绍数据安全运营中心内容。 天翼云数据安全运营中心是一个针对大数据汇聚、流动及交换共享过程中产生的数据安全风险推出的数据全流域安全管控方案，管控平台利用复杂系统建模方法和大数据智能分析，提供流动数据风险治理、数据安全合规监管能力。从数据、接口、人员三个视角建立规则模型，对数据归集、处理、共享、交换场景下的数据风险进行全域治理和合规监管，对发现的网络风险和数据安全风险进行及时预警和通报，建立适应数据动态流动的安全管控机制。 以管控平台为基础工具，可以建立数据层面从【资产识别】→【风险分析】→【监测预警】→【响应处置】→【工单管理】的数据安全监督管控闭环。

此小节介绍云堡垒机的资源标签。 云堡垒机标签用于标识CBH中被纳管的资源，达到对CBH系统中主机、应用资源进行分类的目的，并可以与运维资源进行关联识别。 当为主机或应用添加标签后，该资源所有关联的运维资源都会带上标签，从而可以对运维资源分类检索。一个主机或应用资源最多拥有10个标签。 下图说明了标签的工作方式。在此示例中，以标识云主机ECS资源为例，为每个运维资源分配了两个标签，“标签1”按照团队标识，“标签2”和“标签3”按照项目标识，用户可根据不同标签筛选所标识的资源。 标签示例 用户添加标签后，可在CBH系统通过标签检索资源，并管理资源标签，参见下表： CBH标签使用说明 界面入口 可执行操作 :: 桌面 > 最近登录主机 检索资源 桌面 > 最近登录应用 检索资源 桌面 > 可登录主机 检索资源 桌面 > 可登录应用 检索资源 资源 > 主机管理 添加标签、删除标签、编辑标签、检索资源 资源 > 应用发布 添加标签、删除标签、编辑标签、检索资源 运维 > 主机运维 添加标签、删除标签、检索资源 运维 > 应用运维 添加标签、删除标签、检索资源

本文通过图文说明新增证书的操作步骤。 功能介绍 Web应用防火墙（边缘云版）基于边缘云底座，HTTPS为边缘云网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在【证书管理】页面，找到右上角的添加证书按键。 3. 单击【添加证书】。 4. 输入证书备注名、证书公钥和证书私钥。 您需要提前准备好域名的证书文件和私钥文件。 需要准备的证书相关内容如下（上传时请确保证书有完整的证书链）： .crt（公钥文件）或.pem（证书文件） .key（私钥文件） 备注： 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，如果是其他格式，请自行转换为正确格式。

本节介绍了标签的操作场景、有关标签的基本知识、标签命名规则。 操作场景 标签是弹性云主机的标识。为弹性云主机添加标签，可以方便用户识别和管理拥有的弹性云主机资源。 您可以在创建弹性云主机时添加标签，也可以在弹性云主机创建完成后，在云主机的详情页添加标签，您最多可以给弹性云主机添加10个标签。 有关标签的基本知识 标签用于标识资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 标签示例 上图说明了标签的工作方式。在此示例中，您为每个云资源分配了两个标签，每个标签都包含您定义的一个“键”和一个“值”，一个标签使用键为“所有者”，另一个使用键为“用途”，每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如，您可以为帐户中的资源定义一组标签，以跟踪每个云资源的所有者和用途，使资源管理变得更加轻松。 标签命名规则 每个标签由一对键值对（KeyValue）组成。 每个弹性云主机最多可以添加10个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如下表所示。 标签命名规则 参数 规则 样例 ::: 标签键 不能为空。 对于同一台云主机，Key值唯一。 长度不超过36个字符。 只能由数字、英文字母、中划线“”、下划线“”、中文字符组成 Organization 标签值 长度不超过43个字符。 只能由数字、英文字母、中划线“”、下划线“”、点、中文字符组成 Apache

如果您需要禁用级别，请按照此章节进行操作，其中内置数据级别不支持禁用 约束限制 内置的数据级别不支持禁用。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 选择“级别配置”页签查看级别配置列表。 步骤 6 在目标级别操作列，单击“禁用”。 说明 被禁用的级别在创建或编辑模板时将不会显示。若要解除禁用状态，请在相应的级别操作列上点击“启用”按钮。

本文为您介绍Web应用防火墙（原生版）的产品优势。 WAF对网站业务流量进行多维度检测和防护，产品优势如下： 先进的检测技术 基于专家经验的三大引擎（安全模型检测引擎+智能语义检测引擎+机器学习检测引擎），结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术，支持多种常见编码自动还原能力，提供深度攻击防逃逸功能，构建完整的动态防御闭环，有效检测 SQL 注入、XSS 等基于形式语言的攻击类型，有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。 多样化环境的防护场景覆盖 基于“中心化管理，去中心化部署”的理念，支持云、管、端混合部署，支持对天翼云、异云、云下多样化环境全场景覆盖，满足用户“云边协同”的一体化防护要求。 灵活的可运营能力 具备事前自定义安全监测、事中安全动态防护封禁、事后上下文溯源分析全面面向攻防实战的产品能力。 高质量的规则集：持续优化的高质量攻击检测规则集，兼顾性能与效果且配置简单，对OWASP常见攻击类型进行了良好覆盖。 精细化的策略配置：支持自定义防护规则，基于会话特征灵活配置攻击识别、对抗策略，精准拦截，降低误报。

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

本文档为制作Windows系统私有镜像指导手册的步骤2,安装VirtIO驱动、QEMU Guest Agent。 操作场景 VirtIO驱动，用于弹性云主机识别云硬盘等存储设备，是Windows镜像必备驱动。 QEMU Guest Agent（简称qga），是天翼云平台弹性云主机执行关键功能的依赖工具。包括： 云主机重置密码 创建云主机快照 操作步骤 安装VirtIO和QEMU Guest Agent 说明 Windows虚拟机安装完成后，请检查VirtIO对应的CD驱动器下的文件。 如果CD驱动器主目录下存在virtiowinguesttools.exe文件，请直接执行此文件，按默认操作步骤执行，即可完成VirtIO驱动和QEMU Guest Agent的安装； 如果CD驱动器主目录下不存在virtiowinguesttools.exe文件，请执行主目录下的virtiowingtx64.msi文件安装VirtIO驱动，并运行/guestagent/qemugax8664.exe文件安装QEMU Guest Agent。安装过程中，请按默认操作步骤执行。 注意 如果您未按照 配置VirtIO和QEMU Guest Agent 打开PowerShell，将以下内容直接复制粘贴并执行。 StartService Name 'QEMU Guest Agent VSS Provider' StartService Name 'QEMUGA' SetService Name 'QEMU Guest Agent VSS Provider' StartupType Automatic SetService Name 'QEMUGA' StartupType Automatic

本节介绍天翼云电脑（政企版）的快速订购方式以及流程。 天翼AI云电脑（政企版）提供两种购买方式： 1.天翼云网门户订购：可在天翼云网门户产品“天翼AI云电脑（政企版）”产品详情页进行订购。 2.营业厅订购：请前往当地的电信营业厅咨询天翼AI云电脑（政企版）产品订购相关内容。 快速订购天翼AI云电脑（政企版） 1.登录并打开“天翼AI云电脑（政企版）”产品详情页； 2.点击“立即订购”前往快速订购页面； 3.订购类型选择“单实例桌面”； 4.根据需求选择相应的“规格类型”； 5.根据实际情况选择“镜像类型”，即开通AI云电脑实例的操作系统； 6.根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB，桌面实例默认已包含80GB高IO系统盘； 7.根据实际情况选择桌面所在的“VPC”和“子网“，如需对VPC和子网进行配置，可参考桌面网络管理； 8.分配桌面需要填写或导入桌面使用者的”邮箱“和“账号“，可批量输入；请输入桌面用户的真实有效邮箱，以确保可接收到桌面用户激活邮件； 9.选择桌面的“购买时长”； 10.确认相关的配置信息，单击“立即购买”，支付成功后，即完成单实例桌面开通。

本文向您介绍如何查看并导出CC攻击事件详情。 简介 天翼云WAF默认提供CC攻击事件，详细记录CC攻击事件攻击产生的时间、攻击时长和攻击详情，并且支持导出攻击事件。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通标准版及以上版本支持开启CC防护，识别CC攻击将自动拦截并生成攻击日志 操作步骤 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【CC攻击事件】页面 2. 通过域名、时间周期进行组合查询攻击日志 字段说明： 峰值QPS：CC攻击峰值QPS 攻击开始时间：CC攻击开始的时间 攻击结束时间：CC攻击结束的时间 攻击时长：CC攻击持续的时间 攻击详情：CC攻击QPS变化趋势、攻击请求数最高的前10个客户端IP、被攻击请求数最高的前10个URL

本章节介绍云容器集群节点网络包重复故障演练。 背景介绍 在云容器引擎（CCE）集群中，因配置错误、网络插件异常或协议缺陷，可能导致数据包被复制并多次送达目标节点。虽然 TCP 协议能够识别并丢弃重复的数据包，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 通过增加TC和Netem规则模拟Node内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

第一章 概述 第一条 为了更好的规范天翼云平台的安全管理，维护天翼云产品稳定有序的运营环境，提升用户使用天翼云产品及服务的体验，依据《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《中华人民共和国反电信网络诈骗法》等相关法律法规，以及《天翼云网站服务条款》和天翼云产品条款等相关规则、协议，特制定“云平台安全规则”（以下简称 “本规则”）。 第二条 本规则是指用户在使用天翼云产品过程中，针对所发布、存储、指向的信息以及所产生网络行为，均需遵循的规则。 第三条 本规则适用于所有天翼云用户（包括渠道伙伴等）。 第四条 用户需严格遵守国家法律法规以及行政法规等规范性文件，依据相关法律法规，向对应对象合法提供产品及服务，切实履行各项义务，并自行承担由此产生的全部责任（包括但不限于履行信息网络安全管理义务、建立健全各项网络安全管理制度，以及全面落实各项安全保护技术措施）。 第五条 对任何涉嫌违反国家法律、行政法规等规范性文件的行为，本规则已有规定的，适用本规则；本规则尚无规定的，天翼云有权依照规范性文件和《天翼云网站服务条款》的要求进行处理。在本规则以外，以"声明"、"通知"、"规则"、“公告”等形式由天翼云在官网（www.ctyun.cn）上发布的，对用户在使用天翼云产品时提出的要求（如"禁止使用天翼云服务从事虚拟货币相关活动的声明"），可适用本规则进行处理。 天翼云有权变更本规则并在官网上予以公告生效。若用户不同意相关变更，应立即停止使用天翼云的相关服务或产品。天翼云有权对用户行为及应适用的规则进行单方认定，并据此处理。

本文主要介绍影响负载均衡的因素。 一般情况下，影响负载均衡分配的因素包括分配策略、会话保持、长连接、权重等。换言之，最终是否均匀分配不仅与分配策略相关，还与使用的长短连接、后端的性能负载等相关。 流量分配策略：负载均衡器会接收来自客户端的请求，并将请求转发到一个或多个后端云主机中进行处理。请求的流量分发与负载均衡器所绑定的后端主机组配置的分配策略类型相关。 会话保持：指负载均衡器可以识别客户与云主机之间交互过程的关联性，在实现负载均衡的同时，保持将其他相关联的访问请求分配到同一台云主机上。 长连接：指在一个连接上可以连续发送多个数据包，在连接保持期间，如果没有数据包发送，需要双方发链路检测包。 权重：仅当流量分配策略为加权轮询算法、加权最少连接算法和源IP算法时支持权重设置。将后端云主机的权重值批量设置为“0”，可以实现批量屏蔽后端云主机。

包含应用系统的云主机是否可以备份？ 支持备份。 针对数据库或邮件系统等有一致性要求的应用，建议在备份前，暂停所有数据的写操作，再进行备份。如果无法暂停写操作，则可以将应用系统停止或者将云主机关机，进行离线的备份。如果备份前不进行任何操作，则恢复后，云主机的状态类似异常掉电后再启动，数据库会进行日志回滚操作保证一致性。 如何区分备份是自动备份还是手动备份？ 如果您未自定义或更改备份名称，通常我们会通过备份名称的前缀来区分不同类型的备份。自动周期性备份和一次性手动备份的默认名称如下： 自动备份：autoxxxx 手动备份：Manualxxxx或自定义 如果您已更改备份名称并且删除了备份名称的前缀，一旦修改完成，就会难以区分备份是自动备份还是手动备份。为了方便您进行识别，建议您在备份名称中保留“autobk”的前缀。即使修改了名称，系统对自动备份和手动备份的辨别不会受到影响，自动备份仍将按照策略的保留规则自动过期。 删除备份会对云主机造成性能影响吗？ 不会。 备份不会存储在云主机中，因此删除备份不会对云主机造成任何性能影响。 删除资源后还可以使用备份恢复数据吗？ 数据恢复有两种方式，恢复数据至源云主机和使用备份创建新的云主机。 当源云主机删除，用户将无法恢复数据至源云主机。 当源云主机删除，选择创建新的云主机恢复数据是可行的，云主机资源和云主机备份并不会存放在一起，两者是独立存在的。删除云主机资源，并不会删除云主机备份，您可以使用备份创建新的云主机，新建的云主机在初始状态就具有备份中的数据。具体操作可参考使用备份申请云主机。