CNAME记录多长时间可以生效？ 这取决于您在当前的域名服务提供商设置的域名记录超时时间，以及当前域名服务提供商NS记录刷新的时间。一般情况，NS记录的刷新不会超过48小时。 CNAME解析变更提示冲突怎么办？ 对于同一个主机记录，CNAME解析记录值只能填写一个。不同DNS解析记录类型间存在冲突。例如，对于同一个主机记录，CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下，您可以先删除存在冲突的其他记录，再添加一条新的CNAME记录。 修改CNAME后发现界面有拦截信息 根据拦截页面的联系方式联系电信724小时值班人员处理或者微信沟通群（提供拦截截图及相关ID信息）。 修改CNAME后发现访问变慢 需工程师抓包查看从发送请求到接收响应时间差；客户侧同时抓包查看接收请求到发送响应时间差，对比分析排查访问延迟出现的问题原因。 修改CNAME后发现网站无法访问 1. 域名解析有问题，访客清除DNS缓存或者修改DNS解决。 2. SYN重传或request重传，需确认Web应用防火墙发送的SYN客户侧是否有接收到。客户侧协助抓包定位是否接收到SYN并且响应SYN ACK。 源站服务器侧响应异常怎么办？ 若是源站服务器侧直接响应回复的异常信息，云WAF拦截导致的访问异常是不会有服务器侧的响应的，类似“请勿重复提交”“上传失败”这样的弹窗应属于服务器响应，不是云WAF拦截导致的，如这样大规模的访问异常需要排查一下应用服务器的工作状态（例如进程、CPU、内存、Web日志等）是否存在异常并修复异常。

混合云统一安全管理 面向操作系统开发，能够提供跨平台（任何基础架构的公有云、私有云、混合云）、跨介质（物理机、虚拟机、容器）的统一安全管理能力。 支持任何基础架构技术构建的云平台，包括OpenStack、VMware、KVM、Docker等； 实现混合环境下，不同介质的内部流量统一监控、安全策略统一管理； 支持阿里云、青云、Ucloud、Azure等公有云平台； 支持Red Hat、CentOS、Ubuntu、Windows等常见操作系统版本。

场景四：在线教育 在线教育场景为老师与学生提供实时互动的视频教育体验，需要在边缘侧提供区域间稳定互联的低时延通信链路，从而有效支撑师生间多点对多点实时互动。ECX具有以下优势： 低时延：用户就近接入边缘计算节点，最大限度减少公网损耗。 弹性灵活：新业务敏捷启动，有效应对业务洪峰。 场景五：自建CDN 当前互联网企业或服务商自建CDN网络时，大多采取租赁IDC的模式，需要建设和维护遍布多地域的大量站点。ECX提供依托中国电信国内的边缘算力网络，具有丰富的机房、网络资源优势，以及全局管理和自动化运维能力，帮助用户快速搭建和维护CDN网络。 如何申请更多节点开通和查看权限？ 请您提前准备好您的业务场景、资源需求规模、资源分布等信息，联系您的客户经理，或者提交客服工单，或者直接拨打客服热线将您的需求告知相关人员，审核通过，权限开放后会有运营人员联系您。 ECX支持开放边缘云节点权限，提供专享节点，亦或按您的需求新增建设节点。 ECX虚拟机支持自定义规格吗？ 支持自定义规格，例如2vCPU 6GB内存。您可以联系您的客户经理，或者提交客服工单。一般建议您使用内存GB数量为vCPU核数的2倍或4倍，以便实现较高性价比。 ECX实例带宽资源有哪些类型？ ECX实例带宽有单线、三线、BGP资源，主要以电信线路为主，不同集群资源不同。如需三线、BGP资源您可以联系您的客户经理、线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1。

步骤3：网络配置 设置网络，包括“虚拟私有云”、“安全组”、“网卡”等信息。 参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

本节介绍如何配置集群策略。 在集群策略页面内，支持配置集群审计策略、告警策略、告警规则。 前提条件 已开启集群审计功能，具体操作请参见开启集群审计。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群策略”，进入集群策略页面。 3. 配置审计策略：进入“审计策略”页面，可配置审计事件保留周期、审计事件类型。 4. 配置告警策略：进入“告警策略”页面，默认内置日常运营、重保模式、高级防护对应策略。 点击添加按钮，进入策略添加页面，输入策略名称（必填）、策略描述（非必填）、选择对象、开启规则，点击保存。 5. 配置告警规则：进入“告警规则”页面，点添加按钮，进入规则添加页面，输入规则名称（必填）、规则描述（非必填）、风险等级、att&ck战术、att&ck技术、标签、配置规则组，点击保存。

本节简要介绍云存储网关。 云存储网关是中国电信天翼云自主研发的一款可在线下和云上部署的网关软件，方便用户将本地数据轻松上传到天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS），实现存储空间的弹性扩展。云存储网关作为本地与云端存储之间的桥梁，通过标准 iSCSI 协议（Internet小型计算机系统接口）提供块存储服务，帮助用户将全量数据自动同步到OOS中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。同时，云存储网关也可以将通用服务器及其管理的存储资源转换成高性能的虚拟存储阵列，承载企业核心业务数据。

本小节介绍DDoS高防IP使用说明类常见问题。 什么是DDoS高防IP？ 高防IP是针对服务器在遭受大流量的攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。 天翼云DDoS高防IP购买后操作步骤？ 接入防护配置设置，分配高防IP（网站同步分配CNAME），接入设置生效后进入防护配置；天翼云协助帮您将对网站IP重新备案并分配IP，该IP即为分配的转发IP；完成后将在高防节点对转发IP进行业务设置，设置成功后将可以进入防护配置。 网站类：将域名解析重新设置指向CNAME地址。 非网站类：设置业务访问接入只转发IP完成防护配置。 如何选择静态防护、还是动态防护？ 如客户业务IP是单个运营商（电信或联通或移动等），选静态。 如客户业务IP是多个运营商（例如电信+移动，电信+联通，或三家都有），选动态防护。 保底防护带宽如何选择？ 根据攻击带宽流量向上取整，例如遭受攻击11Gbps，则选择20Gbps。 回源业务带宽怎么选择？ 根据购买业务IP的出向流量向上取整，默认100Mbps。客户可根据服务器的出向流量来选择，通常100Mbps即可，最大支持300Mbps，超过300Mbps则新增订单。 端口数怎么选择？ 默认50个免费，最大100个（超过100个需下多套订单）。 防护对象尽量是域名，且需要域名备案。需客户进入域名管理后台，将域名的CNAME由原本的服务器地址解析指向至DDoS高防IP，并在服务器防火墙侧将分配的DDoS高防IP地址加入白名单。

本文为您介绍云搜索服务产品咨询类问题。 云搜索服务如何保证数据和业务运行安全？ 主机安全 云搜索服务提供如下安全措施： 通过VPC+安全组来确保VPC内主机的安全。 通过网络访问控制列表，可以允许或拒绝进出各个子网的黑白名单管控。 内部安全基础设施（包括网络防火墙、入侵检测和防护系统）等。 数据安全 云搜索服务内部，通过多副本、权限管控可对索引数据进行保护隔离。 网络安全 整个网络部署分两个部分进行，两部分物理隔离，保证业务、管理各自网络安全。 业务部分：主要是实例的网络，支持为用户提供业务通道，对外提供数据定义、索引、搜索能力。 管理部分：主要是管理控制台，用于管理云搜索服务。 云搜索服务创建实例时有哪些节点存储选项？ 目前云搜索服务支持高I/O、通用SSD、超高I/O规格，限制最大单盘6T容量。 云搜索服务的实例节点磁盘空间用于存放哪些文件？ 日志文件：Elasticsearch/OpenSearch日志。 数据文件：Elasticsearch/OpenSearch索引文件。 其他文件：集群配置文件、操作系统占用等。 云搜索服务支持哪些搜索功能？ 云搜索服务支持的搜索功能包括强大的全文检索，高亮显示，切面搜索，近实时索引，动态聚类，丰富的文档（如Word、PDF等格式）处理和地理信息搜索等。 云搜索服务使用的数据压缩算法是什么？ 天翼云云搜索服务，除了支持搜索引擎自带的LZ4和DEFLATE算法外，还额外支持了ZSTD压缩算法。具体介绍和使用方法可参考压缩算法章节。

本文主要介绍云专线的产品优势。 稳定时延 专线接入提供了高可靠的服务保证，单线接入可用性高，满足您的网络连接需求。 高安全性 用户通过云专线接入，用户独占网络链路，无惧数据泄露风险。 对上层应用透明承载，可承载数据、语音、视频等综合应用。 多端口多协议 天翼云专线接入支持100M、10G二种接入端口，支持MSTP、IPRAN、MPLS等多种接入协议，满足您多样网路接入需求。 支持大带宽 天翼云专线接入单线路最大支持10Gbps带宽连接。 稳定可靠 提供中国电信高质量链路，提供冗余方案，运营商级网络保障。 专用网络传数据，免去拥堵或故障绕行带来的时延，传输速率更有保障，传输更稳定。 接入方便 客户侧可选择IP虚拟专网、点到点专线等多种接入方式，可根据业务需求灵活选择。 每种接入方式均可与互联网接入同时使用，实现管理流量、业务流量分离。

安全保障 多种安全服务，多维度防护 Web应用防火墙、漏洞扫描等多种安全服务提供多维度防护。 安全评估 提供对用户云环境的安全评估，帮助用户快速发现安全弱点和威胁，同时提供安全配置检查，并给出安全实践建议，有效减少或避免由于网络中病毒和恶意攻击带来的损失。 智能化进程管理 提供智能的进程管理服务，基于可定制的白名单机制，自动禁止非法程序的执行，保障弹性云主机的安全性。 漏洞扫描 支持通用Web漏洞检测、第三方应用漏洞检测、端口检测、指纹识别等多项扫描服务。 软硬结合 搭载专业的硬件设备 弹性云主机搭载在专业的硬件设备上，能够深度进行虚拟化优化技术，用户无需自建机房。 随时获取虚拟化资源 可随时从虚拟资源池中获取并独享资源，并根据业务变化弹性扩展或收缩，像使用本地PC一样在云上使用弹性云主机，确保应用环境可靠、安全、灵活、高效。 弹性伸缩 自动调整计算资源 动态伸缩：基于伸缩组监控数据，随着应用运行状态，动态增加或减少弹性云主机实例。 定时伸缩：根据业务预期及运营计划等，制定定时及周期性策略，按时自动增加或减少弹性云主机实例。 灵活调整云主机配置 规格、带宽可根据业务需求灵活调整，高效匹配业务要求。 灵活的计费模式 支持包年/包月、按需计费模式购买云主机，满足不同应用场景，根据业务波动随时购买和释放资源。

前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持使用规则防护引擎功能。若为免费版，仅支持使用告警能力。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力基础安全防护【防护规则引擎】详细设置页。 配置说明 防护模式 防护模式支持选择关闭、告警、拦截，免费版默认仅提供告警能力。 选择防护规则模板 您可以根据您的网站业务场景选择适合的防护规则集 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择；敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注。 PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注。

本节介绍云下一代防火墙产品优势。 具有全面适应能力的软件防火墙 在云计算环境中，用户的计算、存储、数据资源都是运行在服务器的虚拟机上，在考虑安全防护的设计时，云下一代防火墙可在云主机上实现快速灵活的部署，支持在VMware、KVM、HyperV、XEN等主流虚拟化平台运行，可串联或单臂连接到虚拟网络中（如：虚拟应用服务器前端的网关，或者是VPC网络的边界网关），为虚拟网络或应用提供专业的边界网络安全防护功能。 以虚拟机形式部署设备，能够克服物理防火墙的限制，在云计算环境中可部署于更加靠近云主机的位置，对于云主机内部流量进行过滤，实现同时对于南北向和东西向流量的安全防护。同时，用户可以根据网络搭建需求，弹性调配和管理网络资源等，并且能够按需进行灵活迁移，充分发挥云计算优势。 拥有专业NGFW安全防护功能 云下一代防火墙拥有与NGFW相同的操作系统，具有丰富的网络安全防护功能，对网络威胁进行防御，能够满足企业分支及公有云多租户环境中的网络安全需求。 具备精细化应用管控，可为用户提供多维的应用风险分析和筛选，以及灵活的安全控制，包括策略阻止、会话限制、应用引流和智能流量管理等。同时，还具备入侵防御、病毒过滤、攻击防护、NAT等功能，满足客户对安全访问，攻击防护以及应用识别和控制等需求。 具备HA组网能力，满足配置和会话同步的要求，从而实现高可靠的冗余部署，保障用户业务的不间断连续运营。

步骤三：验证网络互通情况 添加对等连接路由信息后，执行以下操作以验证本端VPC和对端VPC之间的通信情况： 1. 登录到本端VPC内的弹性云主机，登录方法具体方法请参考弹性云主机快速入门中登录弹性云主机的相关文档。 2. 使用“ping”命令可以验证本端和对端VPC内的弹性云主机是否可以通信。 3. 若回显类似如下信息，表示两个VPC之间的对等连接创建成功。 注意 通过弹性云主机验证网络互通时，弹性云主机的安全组规则需要能允许访问流量的通过。如果弹性云主机加入的是默认安全组，由于默认安全组的规则允许ICMP的双向流量，不影响网络互通的验证。如果弹性云主机加入的是自定义安全组或是在加入默认安全组中添加了自定义规则，需要确保安全组规则能允许ICMP的流量，避免影响网络互通的验证。安全组的使用和配置请参考

本章节主要向您介绍虚拟私有云VPC的功能。 VPC提供丰富的功能供您灵活配置服务，构建多元化组网。 VPC的基本功能：虚拟私有云、子网、路由表和路由、虚拟IP、弹性网卡、辅助弹性网卡。 VPC的网络安全功能：安全组、网络ACL、IP地址组。 VPC的网络连接功能：VPC对等连接。 VPC的网络运维功能：VPC流日志、流量镜像。 功能名称 功能描述 虚拟私有云 虚拟私有云VPC是您在云上的私有网络，为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表等。此外，您可以通过弹性公网IP连通云内VPC和公网网络，通过云专线、虚拟专用网络等连通云内VPC和线下数据中心，构建混合云网络，灵活整合资源。 子网 子网是虚拟私有云内的IP地址集，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重复。 路由表和路由 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。VPC中的每个子网都必须关联一个路由表，一个子网只能关联一个路由表，但一个路由表可以同时关联至多个子网。 虚拟IP 虚拟IP（Virtual IP Address）是从VPC子网网段中划分的一个内网IP地址，是一种可以独立申请和删除的内网IP地址，适用于以下场景： 将一个或者多个虚拟IP同时绑定至一个云主机，可以通过任意一个IP地址（私有IP/虚拟IP）访问云主机。通常当单个云主机内同时部署了多种业务，此时可以通过不同的虚拟IP访问各个业务。 将一个虚拟IP同时绑定至多个云主机，虚拟IP需要搭配高可用软件（比如Keepalived），用来搭建高可用的主备集群。 弹性网卡 弹性网卡即虚拟网卡，您可以通过创建并配置弹性网卡，并将其附加到您的ECS实例上，实现灵活、高可用的网络方案配置。 辅助弹性网卡 辅助弹性网卡是一种基于弹性网卡的衍生资源，用于解决单个云主机实例挂载的弹性网卡超出上限，不满足用户使用需要的问题。辅助弹性网卡通过VLAN子接口挂载在弹性网卡上，您可以通过创建辅助弹性网卡，使单个云主机实例挂载更多网卡，实现灵活、高可用的网络方案配置。 安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 IP地址组 IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。 VPC对等连接 对等连接是建立在两个VPC之间的网络连接，不同VPC之间网络不通，通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 IPv4/IPv6双栈网络 IPv4/IPv6双栈可为您的实例提供两个不同版本的IP地址：IPv6地址在被加入共享带宽后，可以进行公网访问。 VPC流日志 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 流量镜像 VPC流量镜像功能可以镜像弹性网卡符合筛选条件的报文。您需要设置入方向和出方向的筛选条件，经过弹性网卡的流量符合筛选条件时，将被镜像到指定的云主机网卡，适用于网络流量检查、审计分析以及问题定位等场景。

步骤2：网络配置 1. 设置网络，包括“安全组”、“网卡”、“弹性IP”等信息。第一次使用网络服务时，系统将自动为您创建一个默认虚拟私有云，包括安全组、网卡。 参数 说明 虚拟私有云 弹性云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。更多关于虚拟私有云的信息，请参见《天翼云虚拟私有云用户使用指南》。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建弹性云主机时，可支持选择多个安全组（建议不超过5个）。此时，云主机的访问规则遵循几个安全组规则的并集。注意：1.如需通过远程桌面连接到Windows云主机，请在安全组中增加如下规则，方向：入方向，协议：TCP，端口范围：3389。2.如需通过远程桌面连接到Linux弹性云主机，请在安全组中增加如下规则，方向：入方向，协议：TCP，端口范围：22。3.如需Ping云主机地址，请在安全组中增加如下规则，方向：入方向，协议：ICMP，地址和掩码：0.0.0.0/0 网卡 包括主网卡和扩展网卡。订购主机时可设置主网卡和扩展网卡。网卡使用限制可参考[弹性云主机产品使用限制](

本节介绍天翼量子AI云电脑客户端支持的系统、浏览器版本，以及下载地址。 说明：新版本客户端目前处于灰度测试阶段，将逐步向更多用户开放，感谢您的耐心等待。 若您希望申请试用，可发送邮件至指定邮箱：clouddesktop@chinatelecom.cn 1. 前言 欢迎广大用户下载安装天翼量子AI云电脑全新视觉客户端，当前文档适用于Windows客户端，Mac客户端，Ubuntu瘦终端，安卓瘦终端，国产化终端（银河麒麟/统信UOS），Web客户端的使用帮助文档。 2. 产品定义 天翼量子AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的Clink数据安全传输协议，实现低延时、高画质、带宽占用少、多终端接入，打造从端到云全链路的安全防护体系，用户通过终端快速访问调取云端资源，实现统一管理、便捷维护，多重数据安全防护，随时随地共享数据、安全办公。 3. 客户端支持的最低系统版本 天翼量子AI云电脑客户端支持Windows，MacOS12.0，Android7.0，iOS10、Ubuntu18.04，UOS V20，Kylin V10等以上系统版本。 4. Web客户端接入的最低浏览器版本 支持Chrome70+、Firefox72+、edge、UOS 5.2.1200+、奇安信1.0.1365+等浏览器接入。Web客户端访问地址：[

本章节主要介绍天翼云与客户在安全性方面各自应承担的责任。 为明确翼MapReduce产品在云服务环境下的安全责任边界，保障客户与天翼云协同构建安全可信的服务体系，本文将介绍天翼云与客户在安全性方面各自应承担的责任。 天翼云安全责任 天翼云负责保障云服务自身安全。责任包括： 基于天翼云综合安全产品体系，保障翼MapReduce产品内部使用的计算、存储、网络等基础设施，以及运行其上的平台服务与应用服务的安全性。 基于天翼云账号认证体系，为客户提供云上账户安全管理能力，包括但不限于支持主子账号、分组授权、细粒度授权等账户安全管控手段。 基于天翼云的监控与日志管理等能力，为客户提供翼MapReduce产品控制台操作及组件服务指标的安全监控能力。 未经客户授权，不接触和处理客户的业务数据。 客户安全责任 客户负责云服务内部的安全，正确配置和使用天翼云提供的产品能力和服务，责任包括： 负责数据的备份、加密，并对翼MapReduce产品中使用的所有密钥进行妥善管理。 负责访问权限控制，在账户设置中遵循最小权限原则，保护天翼云账户认证凭证。 遵循天翼云提供的安全原则和建议，对翼MapReduce产品中所使用的服务器、虚拟私有云、安全组、网络等基础设施进行合理配置，避免因配置不当而引发的安全风险与问题，承担数据安全主体责任。 管理安装在翼MapReducce集群上的组件服务，对其进行合理配置与使用，避免因不当配置引发的安全风险与问题。 不使用天翼云产品和服务从事非法的数据处理活动。

安全防护 云数据库 GeminiDB具有多层网络防护。通过虚拟私有云、子网、安全组、DDoS防护以及SSL安全访问等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 基于虚拟私有云技术，真正实现租户隔离和访问控制。 通过传输层SSL安全协议，提供安全及数据完整性保障。 可在IP及端口层面进行安全访问限制，加强云数据库 GeminiDB与其他服务间的安全访问。 性能监控 云数据库 GeminiDB具有完善的性能监控，为您分担60%以上的运维工作。对CPU使用率、IOPS、网络吞吐量等实例信息实时监控及报警，随时随地了解实例动态。 易用性 即开即用 您可以通过控制台实时创建目标实例，配合服务器一起使用，通过内网连接数据库，有效地降低应用响应时间、节省公网流量。 高度兼容 目前，云数据库 GeminiDB兼容InfluxDB协议、Redis协议。 易扩展 云数据库GeminiDB作为基于计算存储分离的分布式数据库服务，可达到分钟级计算节点扩展，秒级存储扩容。

步骤3：网络配置 设置网络，包括“虚拟私有云”、“安全组”、“网卡”等信息。 参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

步骤3：网络配置 设置网络，包括“虚拟私有云”、“安全组”、“网卡”等信息。 参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性公网IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

步骤3：网络配置 设置网络，包括“虚拟私有云”、“安全组”、“网卡”等信息。 参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性公网IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

本节介绍如何查看GPU云主机的详细信息,包括GPU云主机名称、系统盘、数据盘、虚拟私有云、网卡、安全组等信息。 在您申请了GPU云主机后，可以通过管理控制台查看您的GPU云主机。 操作步骤 1. 登录控制中心。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表中的右上角，输入GPU云主机名、IP地址或ID，并单击进行搜索。 4. 单击待查询GPU云主机的名称。 5. 系统跳转至该GPU云主机详情页面。 6. 查看GPU云主机的详细信息。 7. 您可以选择“云硬盘/网卡/安全组/弹性IP/监控”页签，更改GPU云主机安全组、为GPU云主机添加网卡、绑定弹性IP等。

本节介绍云安全中心服务协议，请点击查看。 天翼云云安全中心服务协议

Web应用防火墙（原生版） Web应用防火墙（原生版）（CTWAF，Web Application Firewall，简称WAF）基于三大引擎（安全模型检测引擎+智能语义检测引擎+机器学习检测引擎），结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术，支持多种常见编码自动还原能力，提供深度攻击防逃逸功能，构建完整的动态防御闭环，有效检测 SQL 注入、XSS 等基于形式语言的攻击类型，有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。可为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。更多信息请参考++Web应用防火墙++ 配置方式： 如果您拥有弹性IP、公网NAT网关、弹性负载均衡等网络资产，并需要进行公网流量出入的互联网边界防护需求，您可以在云防火墙的“互联网边界开关”页面将这些网络资产接入云防火墙，并配置相关的互联网边界访问控制规则。具体操作，请参见++防火墙开关互联网边界防火墙++、++访问控制配置互联网边界防护规则++ 如果您拥有对等连接、云间高速、云专线等网络资产，并需要针对内网互访进行VPC边界防护，您可以在云防火墙的“VPC边界开关”页面将内网互访流量接入云防火墙，并配置相关的VPC边界访问控制规则。具体操作，请参见++防火墙开关VPC边界防火墙++、++访问控制配置VPC边界防护规则++

IPv4/IPv6双栈网络的使用限制 当前IPv4/IPv6双栈网络暂不收费，后续定价会根据中国电信收费策略的变化进行调整。 弹性云主机ECS部分规格支持IPv6网络，只有选择支持IPv6的ECS，才可以使用IPv4/IPv6双栈网络。 流量镜像的使用限制 流量镜像的报文采用标准的VXLAN报文格式封装。当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时，系统会对报文进行截断。为了防止报文被截断，建议您在IPv4场景下，设置弹性网卡的MTU值比链路支持的MTU值至少小64字节。 当镜像源为弹性网卡时，仅支持c7n、m7n规格的ECS弹性网卡作为镜像源。 如果一个弹性网卡已被用作镜像源，则镜像目的不能使用该弹性网卡。 流量镜像会占用弹性网卡绑定实例的带宽，并且不做独立限速。 当一个镜像目的实例需要接收来自多个镜像源的流量镜像时，为了确保正常使用，请您根据业务实际需要合理规划云主机的规格。 根据流量镜像的匹配规则，同一个镜像源的同一个报文同时符合多个筛选条件规则，也仅会被匹配一次，并且根据采集策略决定是否镜像到目的实例。 对于镜像源弹性网卡已被安全组或者网络ACL拦截丢弃的报文，流量镜像不会镜像该部分报文。 当镜像源的报文符合筛选条件被镜像时，该报文不受镜像源安全组或者网络ACL出方向规则约束，即您无需在镜像源的安全组或者网络ACL做额外配置。但是如果需要将报文镜像到镜像目的实例时，则需要为镜像目的实例所在的安全组和网络ACL配置以下规则： 安全组规则：允许来自镜像源的UDP协议报文访问镜像目的的4789端口。 假如镜像源弹性网卡的私有IP地址为192.168.0.27，则安全组规则配置示例下表所示。 规则类别 策略 类型 协议端口 源地址 入方向规则 允许 IPv4 自定义UDP：4789 IP地址：192.168.0.27/32 此处仅为示例，请根据实际情况配置。 不同的虚拟私有云VPC之间网络不通，如果镜像源和镜像目的实例不在同一个VPC内，则您需要使用VPC对等连接连通VPC之间的网络。

本节介绍了如何在边缘安全加速平台使用安全加速服务的域名规则防护引擎为您的网站做好WEB应用攻击防护。 应用场景 攻击者经常会采用SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等Web攻击手段对网站进行攻击。您的网站接入安全与加速服务后，可以通过配置对应的WAF漏洞防护集合规则来抵御这些Web应用类型攻击。 如何配置防护策略 网站接入边缘安全加速平台后，安全与加速服务根据不同的业务场景内置了不同的规则模板，您可以根据业务情况选择规则模板，并且设置规则模板的防护模式。每种规则模板针对不同的场景进行Web防护，减少正常请求的误报漏报，提高在您选择的场景下的拦截非法请求的成功率。 默认提供七种防护规则集合： 全量防护规则：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截）。 敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，可能存在一定漏报。 PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则。 JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则。 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则。 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则。 关于域名规则开关的选项说明： 关闭：关闭规则防护，不会对Web攻击进行有效拦截和记录。 告警：WAF不会拦截任何Web攻击，仅会根据域名规则匹配到的Web攻击记录到攻击日志。 拦截：WAF会根据域名规则内容匹配，如果请求与域名规则匹配上会拦截请求，并记录到攻击日志中。 除了控制全量域名规则的开关，您还可以根据您网站特性，选择一些误报率较高的域名规则进行关闭，减少误报率，如下图：

实践建议 以下是一些关于安全组的建议和实践经验，帮助确保您的云环境的安全性，您可根据具体需求和环境来制定适合的安全组策略： 原则上，安全组规则取最小权限原则，通过设置所需的端口和协议，限制对必要IP地址的访问。只允许最少必要的流量进出您的资源实例。 定期更新安全组规则，以适应您的业务需求的变化。不再需要的规则应被删除，根据业务变化添加新的安全组规则。 根据资源的安全需求，将资源实例划分为不同的安全组。通过多层级的安全组可以实现细粒度的安全控制，确保安全性与灵活性之间的平衡。 通过有规范的命名等方式有意识地规划和管理安全组规则，易于查找。 安全组应与其他安全措施如网络ACL、防火墙等结合使用，以提供更全面的安全保护。 建议您不要直接修改线上环境使用的安全组，修改后的安全组会自动应用在安全组内的所有云服务器上，因此您可以先克隆一个安全组，在测试环境中进行调试，确保修改后云服务器之间的通讯正常，再将修改后的安全组同步到线上环境。

本小节介绍云防火墙（原生版）双向访问控制最佳实践。 背景信息 云防火墙（原生版）作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址。 访问互联网业务是否存在限制，是否需要记录上网行为审计。 对外发布业务云主机信息，内网IP及对应公网IP。 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 配置流程 云计算边界扩展针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1. 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》。 2. 访问互联网业务是否存在限制，是否需要记录上网行为审计。 3. 对外发布业务云主机信息，内网IP及对应公网IP。 4. 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 5. 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 6. 是否有WAF/CDN业务访问，提供源站白名单。 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置，登录云墙【网络】→【接口】→【接口配置】。 3 配置基础准备环境 按需配置对象薄、地址薄等信息，登录云墙【对象】→【服务薄】/【地址薄】。 4 配置出向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【源NAT】。 5 配置入向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【目的NAT】。 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】。 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】。 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

产品优势 资源独享：独享宿主机的所有资源，包括CPU、内存等，保证性能的绝对稳定和实例间互访的稳定性。 灵活扩展：根据行业特点和业务要求灵活定制所需专属云资源，也可以按需使用公共资源池资源。 安全可信赖的云生态：天翼云始终将安全与数据合规融入到云平台框架体系及云产品服务功能之中，为用户打造安全可信赖的云生态。 VIP服务：以用户为中心，724VIP用户运维服务。 场景架构 场景三：对安全有高要求的行业 场景说明 对于安全、性能及可靠性有高要求的应用场景，如金融、政府行业等。可通过计算资源物理隔离，网络及存储资源逻辑隔离来充分保障业务安全运行，为用户打造一个立体的安全防护环境。 产品优势 安全隔离：专属云通过物理手段将系统、设备或资源与公有云资源隔离开，有效防止未经授权的访问或干扰，并可减少用户之间的资源相互影响。 灵活扩展：根据行业特点和业务要求灵活定制所需专属云资源，也可以按需使用公共资源池资源。 安全可信赖的云生态：天翼云始终将安全与数据合规融入到云平台框架体系及云产品服务功能之中，为用户打造安全可信赖的云生态。 VIP服务：以用户为中心，724VIP用户运维服务。

本文为您介绍弹性云主机的定义和产品架构。 弹性云主机（CTECS，Elastic Cloud Server）是一种可随时获取、弹性可扩展的计算服务。云主机由CPU、内存、镜像、云硬盘等组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保服务持久稳定运行。 弹性云主机的开通和使用非常便捷、高效，您只需要指定CPU、内存、镜像等配置信息。开通完成后，您就可以像使用本地PC或物理服务器一样在云上使用弹性云主机，同时您也可以按需随时调整弹性云主机的规格配置。 产品架构 弹性云主机，整合了计算、存储与网络等资源，通过和其他产品、服务组合，为用户提供安全可靠、高性能、弹性可伸缩的虚拟计算服务，可覆盖各种不同量级的业务场景。 产品使用入口：您可以通过控制台、OpenAPI管理和使用弹性云主机。 计费方式：您可以按需选择弹性云主机计费方式，可选包年包月或按量计费。 地域/可用区：您可以按需选择创建云主机的地域和可用区。 云主机组：可以在创建弹性云主机时，通过加入云主机组。通过设置反亲和策略，将云主机尽量分散地部署在不同的宿主机上，以提高业务的可靠性。 操作日志：开启云审计服务后，系统会记录弹性云主机相关的操作事件，您可以在控制台操作日志界面进行查看。 配额管理：为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少台弹性云主机、多少块云硬盘。如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 访问控制：可以进行精细的权限管理，以达到不同用户之间的权限隔离。 镜像服务：镜像包含了初始系统环境、应用环境、软件配置等信息，您通过公共镜像、私有镜像、共享镜像、安全产品镜像或应用镜像批量创建弹性云主机，可以实现业务的快速部署。 快照服务：快照指的是云硬盘数据在某个时刻的完整拷贝或镜像，是一种重要的数据容灾手段，当数据丢失时，可通过快照将数据完整的恢复到快照时间点。 云硬盘：可以像物理硬盘一样分区格式化，满足大部分通用业务场景下的数据存储需求。 云备份：为弹性云主机提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。 虚拟私有云：通过虚拟私有云建立专属的网络环境，设置子网、安全组，并通过弹性公网IP实现外网连接。 安全组：安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机提供访问策略。 弹性伸缩：可以灵活调整弹性云主机数量，高效匹配业务要求。 云迁移：支持将客户云下或其他云的计算资源迁移至天翼云。 云监控：通过云监控用户可以实时观测弹性云主机的使用情况。

Cloudinit Cloudinit是开源的云初始化程序，能够对新创建弹性云主机中指定的自定义信息（主机名、密钥和用户数据等）进行初始化配置。 通过Cloudinit进行弹性云主机的初始化配置，将对您使用弹性云主机、镜像服务和弹性伸缩产生影响。 CPU积分 CPU积分是一种用来衡量云主机计算、存储以及网络配置利用率的方式。云主机利用CPU积分机制保证云主机基准性能，解决超分云主机长期占用CPU资源的问题。 云备份 云备份（Cloud Backup and Recovery，CBR）可以为云主机、云硬盘提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。 快照 指定的单个或多个云硬盘（系统盘或数据盘），可以支持快速备份和恢复快速保存指定时刻云硬盘的数据。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，用户可在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。也可在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。还可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。

本节介绍了查看弹性云主机详细信息的操作场景、操作步骤。 操作场景 在您申请了弹性云主机后，可以通过管理控制台查看和管理您的弹性云主机。本节介绍如何查看弹性云主机的详细配置，包括弹性云主机名称、镜像信息、系统盘、数据盘、虚拟私有云、网卡、安全组、弹性IP等信息。 如需查看弹性云主机的私有IP地址，请直接在弹性云主机列表页进行查看。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。系统进入弹性云主机列表页，您可以在本页面查看您已创建的弹性云主机，以及弹性云主机的私有IP地址等基本信息。 3. 在弹性云主机列表中的上方，输入弹性云主机名、IP地址或ID，并单击进行搜索。 4. 单击待查询弹性云主机的名称。系统跳转至该弹性云主机详情页面。 5. 查看弹性云主机的详细信息。可以选择“云硬盘/网卡/安全组/弹性IP/监控”页签，更改弹性云主机安全组、为弹性云主机添加网卡、绑定弹性IP等。