本页为您介绍从天翼云数据库迁移/同步数据到天翼云数据库,同资源池不同VPC情况下,通过对等连接接入的方法。 在同资源池，不同VPC之间，网络默认不通，需要通过VPC打通的方式来实现网络互通。目前支持通过VPC对等连接的方式实现VPC间子网级的互通，注意需要保证源数据实例所在子网与目标数据库实例所在子网的网段不冲突。 以下分别介绍网络通信方式，DTS实例的配置流程和不同VPC间通过对等连接进行互通的配置流程。 网络通信方式 网络通信方式，见下图： DTS实例的配置流程 DTS实例订购成功后，选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“打通网络配置”将会自动识别，源端将显示“当前数据库不在同一个虚拟私有云(VPC)，需要配置对等连接打通⽹络”，点击“创建虚拟私有云(VPC)对等连接”将跳转到VPC控制台，可按VPC相关流程处理“创建对等连接”，具体页面如下： 不同VPC间通过对等连接互通的配置流程 创建VPC对等连接。 具体可参考天翼云对等连接相关文档进行配置。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档进行配置。 数据库添加白名单。 源数据库需要添加DTS实例的私网IP访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本文帮助您快速熟悉实例加入/移出安全组规则的操作场景和操作流程。 操作场景 安全组是一种重要的网络安全防护策略，用于管理和控制虚拟机实例或云服务实例的网络访问。当您创建好安全组后，可以将云服务器加入到该安全组，使这些实例受到安全组的保护。您可以根据业务需求随时将安全组加入/移出云服务器中。 在安全组界面管理云服务器时，主要包含以下操作： 加入安全组：将云服务器加入到指定的安全组中，原先已加入云服务器中的安全组仍正常生效。 移出安全组：将云服务器从指定的安全组中移出，解除该安全组与云服务器的绑定关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成弹性云主机、安全组的创建。 操作步骤 加入安全组 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要操作的安全组，单击安全组名称进入详情页； 6. 在安全组详情界面，选择安全组规则所属方向，单击“关联实例”，您可以根据需要添加相应的云资源； 7. 在“弹性云服务器”页签，单击“添加”，将一个或多个服务器加入到当前安全组中； 8. 在“辅助网卡”页签，单击“添加”，将一个或多个扩展网卡加入到当前安全组中； 9. 单击“确定”，即可调整云服务器与安全组之间的关联关系。 10. 加入完成后，该安全组中的规则将对新关联的云服务器生效。 注意 部分资源池暂不支持安全组界面关联物理机的功能，展示字段为“弹性云主机”，请根据您的需求选择。实际情况以控制台展示为准。

本章节主要介绍如何快速创建Kafka流式集群。 本章节为您介绍如何快速创建一个Kafka流式集群，Kafka集群使用Kafka和Storm组件提供一个开源高吞吐量，可扩展性的消息系统。广泛用于日志收集、监控数据聚合等场景，实现高效的流式数据采集，实时数据处理存储等。 快速创建Kafka流式集群 1.登录MRS管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 3.在创建集群页面，选择“快速创建”页签。 4.参考下列参数说明配置集群基本信息，参数详细信息请参考创建自定义集群。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20200321”。 版本类型：默认选择普通版（不同版本提供的组件有所不同，请根据需要选择版本类型）。 集群版本：不同版本集群提供的组件有所不同，请根据需要选择集群版本。 组件选择：选择“Kafka流式集群”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 CPU架构：默认即可。 集群节点：请根据自身需要选择集群节点规格数量等。MRS 3.x及之后版本集群Master节点规格不能小于64GB。 集群高可用：默认即可。MRS 3.x版本暂时不支持该参数。 LVM：默认即可。MRS 3.x版本暂时不支持该参数。 用户名：默认为“root/admin”，root用于远程登录ECS机器，admin用于登录集群管理页面。 密码：设置root用户和admin用户密码。 确认密码：再次输入设置的root用户和admin用户密码。 5.勾选“确认授权”开通通信安全授权，通信安全授权详情请参考授权安全通信。 6.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 7.单击“返回集群列表”，可以查看到集群创建的状态。单击“访问集群”，可以查看集群详情。 集群创建的状态过程请参见 集群概览章节查看集群状态部分 集群列表参数中的“状态”参数说明。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。 MRS系统界面支持同一时间并发创建10个集群，且最多支持管理100个集群。

企业网络上云及指定IP接入 大企业等机构上云，希望迁移上云保持组网不变，使用私网NAT网关无需对网络做任何更改即可保持原有方式互通。同时，行业监管部门要求指定地址接入，使用私网NAT网关将各部门的IP地址映射为指定地址接入行业监管部门，满足企业安全规范。 如下图所示，企业部门间存在网段重叠，使用私网NAT网关，实现企业各部门迁移上云后组网不变，部门间保持原有方式互通，简化了IDC上云的网络规划；使用私网NAT网关，配置SNAT规则，将各部门的IP地址映射为符合要求的10.0.0.33地址接入行业监管部门，提升企业的安全性。 图 企业网络上云及指定IP接入

支持审计的关键操作列表 事件来源 资源类型 操作事件 字段 安全 云堡垒机（原生版） 堡垒机列表查询 getList 安全 云堡垒机（原生版） 堡垒机详情查询 getDetail 安全 云堡垒机（原生版） 堡垒机升级 upgrade 安全 云堡垒机（原生版） 堡垒机升级结果查询 upgradeQuery 安全 云堡垒机（原生版） 堡垒机关机 halt 安全 云堡垒机（原生版） 堡垒机开机 start 安全 云堡垒机（原生版） 堡垒机重启 restart 安全 云堡垒机（原生版） 堡垒机绑定eip eipBind 安全 云堡垒机（原生版） 堡垒机解绑eip eipUnBind 安全 云堡垒机（原生版） 堡垒机单点登录 token 安全 云堡垒机（原生版） 堡垒机修改网卡ip changePrivateIp 安全 云堡垒机（原生版） 堡垒机修改安全组 changeSecurityGroup 安全 云堡垒机（原生版） 堡垒机查询主机资源消息 queryResourceInfo 安全 云堡垒机（原生版） 堡垒机查询主机路由信息列表 routeList 安全 云堡垒机（原生版） 堡垒机设置主机路由表 routeSet 安全 云堡垒机（原生版） 堡垒机设置单点跳转地址 ssoCustomIpSet

本小节介绍域名无忧应用场景。 长久以来，域名劫持事件频繁发生，受影响的企业遭受到经济和名誉的双重损失，无数网民也深受其害。大多数域名劫持事件的影响持续数个小时或更久，但是真正的故障时间并没有那么长。不过，由于各层服务器缓存受到根服务器影响，在电信运营商没有对递归DNS手动刷新的情况下，影响可持续数个小时。 域名实施监控场景 DNS污染的数据包并不是在网络数据包经过的路由器上，而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回，但由于旁路产生的数据包发回速度较国外DNS服务器发回速度快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。天翼云域名无忧会实时监控域名的解析结果与预设置的解析结果进行比对，如果检测到域名异常，则生成域名告警信息。 域名一键刷新场景 网域的局域域名服务器的缓存受到污染，就会把网域内的域名引往错误的服务器或服务器的网址，导致正确域名无法访问，给企业或个人带来不可估量的损失。天翼云域名无忧可以有效解决此问题，天翼云域名无忧实时监控电信所有省份DNS服务的解析结果，用户发现DNS解析异常，可以手动执行域名刷新操作，使域名快速恢复至可用状态。

安全组产品广泛应用于多种场景,本文带您更快了解安全组的经典应用场景。 不同安全组内的弹性云服务器内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台弹性云主机上与另一个安全组内的一台弹性云主机间共享数据， 设置为内网互通。 由于同一个VPC内，在同一个安全组内的弹性云服务器默认互通，无需配置。但是，在不同安全组内的弹性云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云主机内网互通。 安全组配置方法： 在云服务器所在安全组中添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通。 例如安全组sgA内的云服务器访问安全组sgB内的Oracle数据库服务，您需要通过在安全组sgB中添加一条入方向规则，放通Oracle(1521)端口，允许来自安全组sgA内云服务器的请求进入。安全组规则如下所示。 IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 TCP 入方向 1521 安全组：sgA 仅允许特定IP 地址远程连接弹性云主机 场景举例： 为了防止弹性云主机被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。

本节介绍了容器安全策略的用户指南。 PodSecurityPolicy（简称PSP）从Kubenetes 1.21版本开始被标记为弃用（deprecated）状态，为此云容器引擎提供了基于OPA策略和gatekeeper准入控制器，扩展了相应的策略治理状态统计和日志上报检索等能力，同时内置了种类丰富的策略治理规则库，在规则配置上也更加灵活简单，帮助企业安全运维管理人员更好的使用策略治理相关能力。 操作步骤 安装容器安全策略插件 cubesecurity 1、 选择指定容器集群，在菜单栏【安全管理】中选择【策略管理】。 2、 安装cubesecurity插件，插件安装成功后即可使用该功能。 查看集群当前策略治理状态 对于安装了策略治理相关组件的集群，您可根据以下操作查看集群当前策略治理状态。 1、选择指定容器集群，在菜单栏【安全管理】中选择【策略管理】。 2、选择【策略总览】Tab页即可查看集群当前策略治理状态，包括：策略开启总览、近7天拦截和告警结果统计。 创建策略实例 您可根据以下操作在指定集群中创建策略实例。 1、选择指定容器集群，在菜单栏【安全管理】中选择【策略管理】。 2、选择【我的策略】Tab页单击【创建策略实例】。 3、相关策略参数如下，配置完成后点击【确定】即可。 参数 说明 策略类型 Infra：基础设施层资源相关的策略类型。 CISK8s：基于CIS等K8s合规规范定制的策略类型。 PSP：替代Pod Security Policy（PSP）能力的策略类型。 K8sgeneral：基于最佳安全实践对K8s资源配置进行安全加固约束的通用策略类型。 实施动作 拦截：违反策略规则约束的指定资源部署会被拦截。 告警：违反策略规则约束的指定资源仍旧可以部署，只会产生对应违规审计的告警日志。 策略名称 根据选择的策略类型，在策略名称下拉列表中选择需要部署的策略模板名称。 参数配置 如果参数配置输入框中默认为空，说明规则不需要进行参数配置。 如果输入框中包含需要配置的参数模板，则请参考策略参数说明按照指定格式配置参数。

创建云数据库ClickHouse实例后，可以通过登录数据库管理服务DMS对数据库进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据库管理服务DMS登录云数据库ClickHouse。 数据管理服务（Data Management Service，DMS）是异构数据库的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前提条件 已创建云数据库ClickHouse实例 已创建数据库用户 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 分析型数据库> 云数据库ClickHouse ，进入云数据库ClickHouse产品页面。然后单击管理控制台，进入数据库实例列表。 2. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。

本节介绍IAM授权。 概述 如果您需要针对不同资源，对用户设置不同的访问权限，以达到用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云资源的访问。 通过IAM，您可以为其他账号创建IAM用户，并使用策略来控制他们对云资源的访问范围。IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费，关于IAM的详细介绍，参见：统一身份认证。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用分布式容器云平台的其他功能。 注意 服务资源权限（IAM授权）仅针对注册集群、联邦、等系统资源有效，如果您需操作Kubernetes资源（如Deployment、Configmap和Service等），您还需配置Kubernetes集群内的RBAC权限，方可获得对应Kubernetes资源的操作能力。 概念 术语 说明 主账号 用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作，“拒绝”的优先级大于“允许”。 系统策略 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 数据权限 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。具体授权请参考：用户组授权统一身份认证。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您可以将VPC接入企业路由器，快速打通云上网络，尤其对于多个VPC互通的组网，免去大量的对等连接配置。 统一身份认证服务（Identity and Access Management, IAM） 针对位于公有云上的企业路由器资源，您可以通过IAM进行精细的权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。 云监控（Cloud Eye） 使用云监控可以监控企业路由器实例以及企业路由器连接的网络情况，并对异常进行报警，保证业务的顺畅运行。 云审计服务（Cloud Trace Service, CTS） 使用云审计服务可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 云防火墙（Cloud Firewall，CFW） 您可以通过企业路由器、虚拟私有云VPC和云防火墙构建组网，实现云上VPC间的流量防护。

本节为您介绍物理机的产品定义,包括产品架构、机型对比等内容。 天翼云物理机是一款计算类产品，为您提供独享的物理机资源，不与其他用户共享计算资源和存储空间，具备资源隔离的优势。稳定性能的专属物理机，无虚拟化开销和性能损失，100%释放算力资源，满足核心数据库、关键应用系统、高性能计算和大数据等业务的需求。天翼云物理机的部署灵活，可以与其他云产品无缝对接，提供更多元化的资源构建选择，满足各种业务场景的需求。 产品架构 天翼云物理机通过和其他产品、服务组合，可以实现计算、存储、网络、镜像安装等功能。 跨可用区部署和内网互联 物理机可以在多个可用区进行部署，通过内网连接实现可用区之间的互联，即使某个可用区发生故障，也不会影响其他可用区的正常运行。 虚拟私有云和网络连接 可以建立虚拟私有云，创建独立的网络环境，包括子网和安全组设置，并使用弹性IP与外部网络进行连接。 镜像服务和快速部署 可以通过镜像服务对物理机进行镜像安装，还可以使用私有镜像批量创建物理机，以实现快速部署业务。 云硬盘 天翼云提供云硬盘服务，为物理机提供高性能、高可靠的块存储服务。 云监控和资源监测 云监控是确保物理机可靠性、可用性和性能的重要组成部分，可以使用云监控功能来监测物理机的资源状态。

使用文件传输 1. 使用访问用户登录云堡垒机（原生版）。 2. 在左侧导航栏选择“资产访问”，在“资产访问”页面选择“文件传输”页签。 3. 选择需要访问的资产，单击“访问协议”，在右侧选择和填写相关内容后，单击需要使用的运维工具(如Filezilla、WinSCP等)，即可使用文件传输。 说明 仅企业版/高级版支持H5运维。标准版不支持H5运维。 做H5运维操作前请先放通18443端口，参见安全组策略设置。可使用telnet 堡垒机IP 18443命令验证端口是否放通。 不支持传输大小超过1G的超大文件，建议分批次上传/下载文件，或通过客户端工具传输文件。 请务必确认您传输的文件不包含任何敏感数据（如密码、密钥、身份证号等）、恶意代码（如病毒、木马、脚本后门等）或未授权的受控信息。如需对文件内容进行安全检查，建议提前使用本地杀毒软件或内容检测工具进行扫描。 访问数据库资产 方式一：堡垒机单点登录 说明 堡垒机单点登录运维数据库仅适用于Windows系统用户，对于Mac系统请使用方式二：“本地访问初始化”登录。 1. 使用访问用户登录云堡垒机（原生版）。 2. 在左侧导航栏选择“资产访问”，在“资产访问”页面选择“数据库”页签。 3. 选择需要访问的资产，单击“访问协议”，在右侧选择和填写相关内容后，单击需要使用的运维工具(如Navicat、DBeaver等)，即可单点登录访问数据库资产。 说明 支持纳管的数据库请参考：使用限制章节。

本节介绍AIuse云电脑的功能说明。 功能简介 AIuse云电脑致力为AI构建任务执行平台，它依托天翼AI云电脑的强大算例，通过意图识别，模拟用户操作，自动完成任务的规划、决策与实施，助力AI的商业化落地 多场景覆盖：搭建可定制云端桌面环境，依托标准化接口实现传统桌面软件自动化调用与批量操作，适配政企办公，研发测试等多场景使用。 灵活接入：提供标准化工具链与弹性运行环境、支持WebSdk、MCP等主流接入方式，无缝对接各种AI agent，兼容轻量调用与专业部署方式。 高效运行：依托天翼云强大算力底座，实现算力弹性伸缩与并发场景高效运行，保障桌面操作、软件运行及数据处理的流畅性与可靠性。 安全防护：采用企业级沙箱防护方案，构建多层次安全体系，用过严格权限隔离防范各类安全风险，保障企业核心业务数据安全合规。 试用申请说明 使用指南 您可以为您的不同场景/不同项目创建不同的AccessKey，用于灵活的分权控制对应的云电脑来实现不同的任务。 创建AccessKey 1. 进入协同套件Aiuse云电脑功能专区； 2. 再专区卡片点击前往管理； 3. 在服务管理页面，点击创建AccessKey； 4. 在输入框中输入AccessKey名称等相关信息，点击确定。 注意 AccessKey为重要鉴权凭证，为了您的信息安全请妥善保管，切勿随意分享给他人。

本章节介绍故障演练服务的产品优势。 产品优势 故障演练服务深度融合云原生应用产品体系，固化组织流程，标准化应用接入、流程编排、故障注入、指标观测、系统保护等混沌工程实验管理，帮助用户及时发现业务潜在风险、验证高可用处置预案，提高系统的可靠性和韧性。 相比于业务自建的或采用开源方案实现故障演练面临的易用性差 、故障类型少 、观测能力弱 及缺乏生态整合等核心痛点，产品具备如下多种优势。 简单易用 白屏化操作，系统零改造，可视化流程编排，支持故障分组定义与串/并行工作流模式。 场景丰富 覆盖从基础设施到应用层与云服务的原子故障注入能力，提供具备业务含义的故障场景组合。 安全高效 多维度数据与权限管理，关联系统运行指标，实现隔离与熔断双重防护。 一站整合 深度整合云原生应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

本章节介绍故障演练服务的产品优势。 产品优势 故障演练服务深度融合云原生应用产品体系，固化组织流程，标准化应用接入、流程编排、故障注入、指标观测、系统保护等混沌工程实验管理，帮助用户及时发现业务潜在风险、验证高可用处置预案，提高系统的可靠性和韧性。 相比于业务自建的或采用开源方案实现故障演练面临的易用性差 、故障类型少 、观测能力弱 及缺乏生态整合等核心痛点，产品具备如下多种优势。 简单易用 白屏化操作，系统零改造，可视化流程编排，支持故障分组定义与串/并行工作流模式。 场景丰富 覆盖从基础设施到应用层与云服务的原子故障注入能力，提供具备业务含义的故障场景组合。 安全高效 多维度数据与权限管理，关联系统运行指标，实现隔离与熔断双重防护。 一站整合 深度整合云原生应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

本节主要介绍边边网络的组成、产品优势、应用场景和使用限制。 针对处于相同或者不同边缘云地域下的多VPC之间内网互通场景，边边网络EEN(Edge to Edge Network)提供多VPC内网互通服务，其可以快速构建安全、稳定、灵活的边边互通网络。 边边网络提供路由控制功能，当VPC加入边边网络实例时，系统会自动将VPC下所有子网的路由自动添加到边边网络实例的路由表，添加后路由默认不开启，需手动开启；当VPC和边边网络实例解除关联后，对应的路由会自动删除。若关联的多个VPC下的子网CIDR有重叠冲突或者包含冲突时，当两个子网路由均需开启时，后开启的路由将因冲突不能开启。 应用场景 同地域多VPC内网互通组网 针对ECX同一地域下的两个以上的VPC之间内网互通组网需求，建议使用EEN关联多个VPC的方式实现内网互通，该方式可以代替传统的VPC对等连接功能，简化多VPC之间内网互通的网络结构和配置，同时还保留后续跨边缘云地域的内网组网能力。 跨地域多VPC内网互通组网 针对ECX边缘云不同地域下的多个VPC之间的内网互通组网需求，建议使用EEN关联多个VPC的方式实现内网互通，该方式代替传统的VPN和专线方案快速实现跨边缘云地域多VPC内网组网，可以简化配置和成本，同时提供安全、优质、稳定的网络质量。 同一边边网络实例可以同时支持ECX边缘云同地域多VPC内网互通和跨地域多VPC内网互通需求。

本节介绍了云容器引擎的最佳实践:集群网络地址段规划实践。 在云容器引擎创建集群时，需要根据具体业务需求规划VPC大小和数量、子网大小和数量、容器网段和服务网段。本文介绍集群各类地址作用，以及如何规划地址段。 约束与限制 使用VPN方式访问集群时，需注意VPN网络与集群所在的VPC网段、容器网段和服务网段不能冲突。 集群各网段基本概念 VPC网段 虚拟私有云（Virtual Private Cloud，VPC）是隔离的、私密的网络环境，可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 子网网段 云资源（例如云服务器、数据库服务等）须部署在子网内，同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改，请合理规划网络。 下图所示，VPC网段结构： 容器网段（Pod网段） 订购集群时，可指定容器网段（即Pod网段）。针对选择的网络插件，容器网段有不同限制： 1、Calico IPIP隧道网络： 可指定一个私有地址段作为容器网段，该地址段仅在集群内有效。网段大小影响后续可添加节点数及可创建Pod数上线，建议使用大网段，例如172.16.0.0/16，如下所示： VPC网段 容器网段 Service网段 最大可分配Pod地址数 192.168.0.0/16 172.16.0.0/16 10.96.0.0/16 65536 容器网段不能与节点所在的VPC网段重叠。例如节点使用子网网段192.168.1.0/24，所属VPC网段为192.168.0.0/16，则不能使用与192.168.0.0/16重叠的网段作为容器网段。

本页面主要介绍云间高速(标准版)对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云++云审计服务++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“广域云网”，资源类型选择“云间高速（标准版）”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

弹性负载均衡产品支持查看后端云主机,本文帮助您快速熟悉查看后端云主机的方法。 操作场景 天翼云弹性负载均衡支持已添加的后端云主机详情及其状态。还支持查看特定云主机相关的弹性网卡、云硬盘、安全组、弹性IP等信息。 前提条件 您已经创建了云主机，并添加云主机到特定的负载均衡监听器上，且后端云主机处于“运行中”状态。 操作步骤 1. 登录天翼云控制中心。 2. 选择“网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。 5. 选定特定的后端主机组，在云主机列表中可查看已添加的后端云主机。 6. 点击特定的云主机的名称，即可查看改云主机详情。

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容。 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的 OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本文将从背景介绍、账户安全防护原理、前提条件、操作步骤等方面向您介绍账户安全防护提供的撞库防护、暴力破解防护、批量注册防护功能。 功能介绍 边缘安全加速平台安全与加速服务支持撞库防护、暴力破解防护、批量注册防护等策略以全方位保障用户的账户安全。 注意 目前控制台尚未开放以上功能，如有防护需求请通过 背景介绍 在网络环境中，账户安全是保障用户权益的重要一环。黑客能够通过撞库、暴力破解等各种手段获取用户对平台的访问权限，然后利用这些权限来窃取用户的账号密码和敏感数据，从而进行一系列违法获益的行为，严重损害了用户的数据安全甚至财产安全。 撞库是什么？ 撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址，这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发，通过碰撞用户名得到账号密码信息。

本文主要介绍与其他服务的关系 容器镜像服务需要与其他云服务协同工作，容器镜像服务和其他云服务的关系如下图： 云容器引擎 云容器引擎（Cloud Container Engine，简称CCE）提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 容器镜像服务能无缝对接CCE，您可以将容器镜像服务中的镜像部署到CCE中。 云审计服务 云审计服务（Cloud Trace Service，简称CTS）为您提供云服务资源的操作记录，记录内容包括您从公有云管理控制台或者开放API发起的的云服务资源操作请求以及每次请求的结果，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过CTS，您可以记录与容器镜像服务相关的操作事件，便于日后的查询、审计和回溯。

本文带您了解天翼云加密相关产品 天翼云支持以下方式，助您对弹性云主机资源进行加密，从而提升数据的安全性。 云硬盘加密 天翼云云硬盘支持系统盘加密和数据盘加密。 云硬盘加密功能 ：创建云硬盘时，用户可以选择是否加密此云硬盘，云硬盘创建完成后加密属性无法更改。 云主机系统盘加密 ：创建云主机时，支持在创建时直接设置系统盘加密。 云主机数据盘加密 ：创建云主机时，支持在创建时直接设置数据盘加密。 云硬盘加密与快照 ：加密云硬盘生成的快照及通过这些快照创建的云硬盘将自动继承加密功能属性。 云硬盘加密与备份 ：加密云硬盘生成的备份及通过这些备份创建的云硬盘将自动继承加密功能属性。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。KMS对密钥的所有操作都会进行访问控制及日志跟踪，并提供所有密钥的使用记录，满足审计和合规性要求。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥（Default CMK） ：用户第一次通过对应云服务使用KMS加密时，系统自动生成的并托管在用户账号下的服务密钥。 用户主密钥（Customer Master Key，CMK） ：用户主密钥包括对称密钥及非对称密钥，主要用于加密保护数据密钥并产生信封，也可直接用于加密少量的数据。用户可以调用KMS的API CreateKey创建一个用户主密钥。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。 每个地域的加密云硬盘，都需要通过256位数据密钥（DK）进行加密，此数据密钥（DK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

管控规则是通过一系列风险管控因子对数据库实现安全管控的规则集合,用户在使用DMS的查询窗口、数据导出、数据导入、SQL变更、实例管理、可视化编辑等功能时,可以设置管控规则对这些行为进行安全管控,进而可以在DMS平台内实现符合安全规范的数据库研发及变更流程。本文主要介绍管控规则集的新增、删除、编辑、复制创建等功能的使用方法。 前提条件 组织版本为企业版。 用户需要具有进入SQL风险 页面的菜单权限。菜单权限请参考权限说明。 用户在组织内添加了实例并绑定风险管控规则。 应用场景 场景 方案 针对所有数据库类型的高危风险操作统一拦截，如不同功能模块下的删表、删库语句。 管控规则集适配公有云所有的数据库类型。系统内置两种规则集，宽松规则集适合开发/测试环境的实例，严格规则集适合生产环境的实例。 管控规则集支持对DDL、DML、导出数据三种操作创建风险识别规则，三种操作行为涵盖了查询窗口、导入导出工单、SQL变更工单、数据库账号管理、可视化编辑等所有可能产生高危操作的功能场景，且每种风险规则提供多种风险管控因子，方便对用户的行为进行更精细化的管控。 管控规则集支持自定义审批流程，针对某种操作识别出来的风险等级，用户可以指定审批流程。 用户特定操作识别及自定义审批流程，如配置导出行数超过1000的工单由超级管理员审批。 管控规则集适配公有云所有的数据库类型。系统内置两种规则集，宽松规则集适合开发/测试环境的实例，严格规则集适合生产环境的实例。 管控规则集支持对DDL、DML、导出数据三种操作创建风险识别规则，三种操作行为涵盖了查询窗口、导入导出工单、SQL变更工单、数据库账号管理、可视化编辑等所有可能产生高危操作的功能场景，且每种风险规则提供多种风险管控因子，方便对用户的行为进行更精细化的管控。 管控规则集支持自定义审批流程，针对某种操作识别出来的风险等级，用户可以指定审批流程。 用户对不同环境的实例有不同的管控需求，如生产环境需要比较严格的管控规则，开发环境则需要一些宽松的规则，甚至无规则管控。 管控规则集适配公有云所有的数据库类型。系统内置两种规则集，宽松规则集适合开发/测试环境的实例，严格规则集适合生产环境的实例。 管控规则集支持对DDL、DML、导出数据三种操作创建风险识别规则，三种操作行为涵盖了查询窗口、导入导出工单、SQL变更工单、数据库账号管理、可视化编辑等所有可能产生高危操作的功能场景，且每种风险规则提供多种风险管控因子，方便对用户的行为进行更精细化的管控。 管控规则集支持自定义审批流程，针对某种操作识别出来的风险等级，用户可以指定审批流程。

本文向您介绍云主机网络延迟和丢包,如何定位的解决方案。 问题概述 当您的云主机出现网络延迟和丢包的问题，可能出现以下三种情况。 云主机被入侵：云主机如果发生被黑客入侵或者中毒情况，那么可能病毒程序可能会频繁发送数据包造成带宽超出上限，从而导致丢包现象，严重的情况下可能会使远程登录服务无法使用。 云主机本地网络故障：系统中可能存在业务进程传输io过大导致网络丢包，比如云主机在大量传输文件等。 云主机应用运行异常：应用运行异常会导致网络丢包，如某个应用占用很高的CPU、内存，造成云主机资源不足。 解决方案 云主机被入侵的排查方式： 可以通过 netstat anpt 命令查看系统是否存在异常连接。 可以通过查询图中Foreign Address字段中的IP地址归属判断云主机是否存异常连接，如果IP地址归属为国外地址或者非业务访问连接地址，那么云主机有可能被攻击或中毒。这种情况下建议在云主机中安装专业杀毒软件或者重装云主机系统，并对云主机做相关基于业务场景的安全加固，确保不会再次发生中毒现象。 本地网络故障的排查方式 以CentOS 7.6为例，执行以下命令，安装iotop工具。 plaintext yum install y iotop 可通过图中DISK READ和DISK WRITE字段以及COMMAND字段判断某个进程的读写情况。若存在IO流量值很大的情况，需要考虑对相应进程进行整改以确保网络稳定性。比如关闭正在传输的进程，或者分批次进行文件传输等。

本章节主要介绍云搜索服务的安全模式集群。 当前我们提供的Elasticsearch 6.5.4及之后版本集群为您增加了安全模式功能，当您开启后，安全模式将会为您提供身份验证、授权以及加密等功能。 以下功能介绍以kibana可视化界面操作为例。 说明 安全模式只能在创建集群时开启。集群创建成功后，不支持开启或者关闭安全模式。 基本名词解释 安全模式名词解释 名词 描述 Permission 单个动作，例如创建索引（例如indices:admin/create）。 Action group操作组 一组权限。例如，预定义的SEARCH操作组授权角色使用search和msearchAPI。 Role角色 角色定义为权限或操作组的组合，包括对集群，索引，文档或字段的操作权限。 Backend role后端角色 （可选）来自授权后端的其他外部角色（例如LDAP / Active Directory）。 User用户 用户可以向Elasticsearch集群发出操作请求。用户具有凭证（例如，用户名和密码）、零个或多个后端角色以及零个或多个自定义属性。 Role mapping角色映射 用户在成功进行身份验证后会担任角色。角色映射，就是将角色映射到用户（或后端角色）。例如，kibanauser（角色）到jdoe（用户）的映射意味着John Doe在获得kibanauser身份验证后获得了所有权限。同样，allaccess（角色）到admin（后端角色）的映射意味着具有后端角色admin（来自LDAP / Active Directory服务器）的任何用户都获得了allaccess身份验证后的所有权限。您可以将每个角色映射到许多用户和/或后端角色。

本文为您介绍证书管理功能模块详情。 证书管理组件为您提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书生命周期管理 证书管理模块提供高可用、高安全的密钥和证书托管能力，您可以通过控制台或API集中管理证书。 功能 说明 证书托管 支持管理密钥和证书，可以生成证书请求、导入证书和证书链、启用/禁用证书、吊销或删除证书等。 密钥安全存储 证书管家使用托管密码机保障证书密钥的产生、存储安全。 API便于集成 支持多个API接口，帮助在开发环境高效集成证书服务，快速进行产品部署，为您提供快速开发上线证书相关功能的能力。 支持的证书类型 证书类型 说明 数字证书（含私钥） 支持通过证书管理服务生成证书请求，导入或导出数字证书及其证书链，证书私钥由KMS硬件安全模块保护。 Ukey证书（不含私钥） 支持将Ukey中的证书（不含私钥）导出并存入KMS，由KMS统一托管，并支持调用KMS提供的接口实现身份认证中的验签运算。 证书运算API KMS提供云原生的证书运算类API，帮助在开发环境高效集成证书服务，快速实现证书调用。 功能 说明 参考文档 加密解密 证书公钥运算：使用指定证书加密数据。 证书私钥运算：使用指定证书解密数据。 证书公钥加密 证书私钥解密 签名验签 证书私钥运算：使用指定证书生成数字签名。 证书公钥运算：使用指定证书验证数字签名。 证书私钥签名 证书公钥验签

按服务器维度查看风险 支持查看单个云主机的安全风险详情，包括入侵检测、病毒查杀、漏洞风险、安全基线、网页防篡改等风险。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 可以看到全部主机的防护状态和风险情况。 3. 在搜索框中输入您需要查看的服务器名称或IP，则显示出该服务器的名称、服务器ID、服务器IP、操作系统、地域、服务器状态、Agent状态、防护状态、风险状态、配额版本。 4. 点击服务器名称时，跳转至该服务器的 “资产指纹详情”页面。 通过此页面，可以快速地查看该服务器的资产详情，包括端口、账号、进程、软件详情；也可以快速查看各个风险事件，包括入侵检测、漏洞扫描、风险管理及网页防篡改的风险情况。 按风险维度查看风险 在左侧导航栏分别选择“风险管理”、“入侵检测”、“网页防篡改（原生版）”、“文件安全”，分别查看防护服务器的检测结果。

场景3：利用海外或公有云IP发起CC攻击 在CC攻击中，经常出现攻击来源于海外IP、公有云IP和IDC机房IP的情况。我们可以通过识别这些IP防止CC攻击。 您可以使用访问控制功能，限制指定地理位置的IP对网站访问，如：限制除中国地区外的其他地区不可访问，从而阻止来自海外IP的攻击。 此外，WAF提供的Bot防护功能，可针对常见IDC IP库的IP进行访问拦截，如您需要开通此功能，可提交工单申请。 场景4：针对关键接口的CC攻击 关键接口CC攻击是指通过大量恶意请求网页环境的关键接口，如登录、注册等从而使服务不可用的攻击手段。针对此类攻击您可以使用WAF的账户安全防护功能（撞库防护、暴力破解），对指定接口进行防护，具体配置操作请参考：安全防护配置账户安全防护。 场景5：大规模扫描和爬取行为 大规模的恶意扫描行为会给服务器带来很大压力，除了限制访问请求频率外，您还可以使用以下几种防护配置加强防护效果： 攻击挑战：攻击挑战功能可发现在短时间内发起多次请求的IP，并在一段时间内阻断该IP的所有请求，具体配置操作请参考：安全配置防护高级防护攻击挑战。 扫描器访问拦截：该功能可自动封禁来自常见扫描工具访问请求，如您需要开通此功能，可提交工单申请。 Bot防护：Bot防护可限制对网站的大规模爬取行为，如您需要开通此功能，可提交工单申请。

本节主要介绍重置管理员密码。 操作场景 GeminiDB Influx支持重置数据库管理员密码，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。 使用须知 实例状态为“正常”、“备份中”、“恢复检查中”、“存储扩容中”，以及个别节点异常时，支持重置密码。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。 方法一 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击操作列“更多 > 重置密码”。 4. 输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@ %^+?的组合。 5. 若您已开启操作保护，在弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 方法二 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击实例名称，进入“基本信息”页面。 4. 在“数据库信息”区域，单击“管理员账户名”处的“重置密码”。 5. 输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@ %^+?的组合。 6. 若您已开启操作保护，在弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。

通过云审计服务，您可以对DRDS关键操作进行审计。本文为您介绍DRDS关键操作和查询步骤。 背景信息 DRDS关键操作审计已对接天翼云云审计服务，云审计服务提供对DRDS关键操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 注意 若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，具体计费信息，请参考计费说明。 通过云审计能查询到多久前的操作事件：7天。 操作后多久可以通过云审计查询到数据：5分钟。 更多云审计的限制信息，请参见使用限制。