本章节介绍云原生网关CGW子产品的产品规格 云原生网关版本&规格 版本 节点规格 节点数量 基础版 2C4G/4C8G/8C16G/16C32G 1 集群版 2C4G/4C8G/8C16G/16C32G 2 ~ 9 x86架构云原生网关性能数据 主机类型 版本 安全水位线QPS（30% CPU，应答包1K，HTTP请求） X86通用型 基础版2C4G 2500 X86通用型 基础版4C8G 5000 X86通用型 基础版8C16G 9000 X86通用型 集群版2C4G3节点 7500 X86通用型 集群版4C8G3节点 15000 X86通用型 集群版8C16G3节点 27000 X86通用型 集群版16C32G3节点 60000 arm架构云原生网关性能数据 主机类型 版本 安全水位线QPS（30% CPU，应答包1K，HTTP请求） ARM鲲鹏通用型 基础版2C4G 1500 ARM鲲鹏通用型 基础版4C8G 3000 ARM鲲鹏通用型 基础版8C16G 6000 ARM鲲鹏通用型 集群版2C4G3节点 4500 ARM鲲鹏通用型 集群版4C8G3节点 9000 ARM鲲鹏通用型 集群版8C16G3节点 18000 ARM鲲鹏通用型 集群版16C32G3节点 36000

支持普通集成的天翼云服务列表 天翼云工作流支持通过OpenAPI集成多个服务，涵盖以下产品分类： 产品分类 产品名称 存储 混合存储网关、云硬盘、弹性文件服务、媒体存储、云备份、云硬盘备份、对象存储、云主机备份、海量文件服务 OceanFS、云容灾、对象存储（经典版）I型、并行文件 网络与CDN 弹性IP、天翼云SDWAN、NAT网关、VPN连接、云间高速、虚拟私有云、弹性负载均衡、共享流量包、智能边缘云、云专线CDA、应用加速、边缘安全加速平台、CDN加速、智能DNS、VPC终端节点、全站加速、科研助手 计算 弹性云主机、天翼云电脑（政企版）、函数计算、弹性高性能计算、镜像服务、弹性伸缩服务、物理机、云骁智算平台、数据加密 数据库 关系数据库SQL Server版、关系数据库PostgreSQL版、分布式关系型数据库、关系数据库MySQL版、数据传输服务、文档数据库服务、数据管理服务、分布式缓存服务Redis版、时序数据库Influx版、分布式融合数据库HTAP、云数据库ClickHouse 监控与管理 云日志服务、应用性能监控 应用服务 API网关、EasyCoding敏捷开发平台、软件开发生产线CodeArts 数据库 关系型数据库MySQL版（CTRDS）、关系型数据库PostgreSQL版、关系型数据库SQL Server版、云数据库GaussDB、分布式关系型数据库、分布式融合数据库HTAP、文档数据库服务、时序数据库Influx版、分布式缓存服务Redis版 人工智能 AI能力开放平台、慧聚一站式智算服务平台 大数据 云搜索服务、大数据管理平台 DataWings、翼MapReduce 容器与中间件 应用服务网格、弹性容器实例、分布式容器云平台、容器镜像服务、分布式消息服务RabbitMQ、分布式消息服务RocketMQ、微服务应用平台MSAP、云容器引擎、分布式消息服务Kafka、微服务引擎注册配置中心、微服务引擎MSE、应用性能监控apm、分布式容器云平台CCSE ONE 安全及管理 云防火墙（原生版）、统一身份认证、密钥管理、服务器安全卫士（原生版）、云监控、Web应用防火墙（原生版）、证书管理服务、DDoS高防（边缘云版）、云堡垒机、Web应用防火墙（边缘云版）、云审计 企业应用 云通信短信 视频 视频直播、智能视图服务、云点播 专属云 专属云（计算独享型） 价格 账务 其他 数据库审计、云日志服务、轻量型云主机、云原生网关、API网关 说明 ：具体支持的服务和API请参考天翼云OpenAPI文档。

本章节介绍云原生网关的插件配置 概述 云原生网关中提供了丰富的插件功能，可以满足用户特定的流量管理、可观测性、安全性能、请求/响应转换等需求，从而提高了网关的可扩展性，使得用户能够根据具体的应用场景进行灵活配置，实现高度个性化的云原生网关服务。 插件配置 目前云原生网关支持全局和路由级别两种粒度的插件配置： 1. 全局插件 ：应用于整个网关实例，对所有的路由都生效。一种插件类型只能有一个全局插件配置，应用于全体路由上。 2. 路由级插件 ：可灵活绑定在某一条路由上，只对特定的路由生效，允许根据具体的路由定制化功能。一种插件类型可以有多个不同的路由级插件配置，每个路由级插件配置可灵活应用于多条路由上。 3. 路由策略 ：也是由插件配置实现的，支持限流、重写等策略，应用在具体路由上。 当在路由上同时配置了某一种插件类型的全局插件、路由级插件和路由策略时，插件生效的优先级为：全局插件> 路由策略 路由级插件，即以全局插件中的配置为准。若在路由上只同时配置同一插件类型的路由级插件和路由策略，则以最新的插件配置为准。

Web应用防火墙对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。 精准高效的威胁检测 采用规则和AI双引擎架构，默认集成最新的防护规则和优秀实践。 企业级用户策略定制，支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等，使网站防护更精准。 0day漏洞快速修复 专业安全团队724小时运营，实现紧急0day漏洞2小时内修复完成，帮助用户快速抵御最新威胁。 保护用户数据隐私 支持用户对攻击日志中的账号、密码等敏感信息进行脱敏。 支持PCIDSS标准的SSL安全配置。 支持TLS协议版本和加密套件的配置。

本节介绍漏洞扫描服务主要的应用场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

此小节介绍企业主机安全。 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 企业主机安全工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图所示。 企业主机安全服务的组件功能及工作流程说明如下： 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443 。 每日凌晨定时执行检测

物理机与弹性云主机的主要区别是什么？ 弹性云主机由多个租户共享物理资源，而物理机的资源归用户独享。对于关键类应用或性能要求较高的业务（如Oracle RAC、大数据集群、企业中间件系统），并且要求安全可靠的运行环境，使用物理机更合适。 物理机与物理服务器有什么区别？ 天翼云物理机，让物理服务器具有了自动发放、自动运维、VPC互联、支撑对接共享存储等云的能力。可以像虚拟机一样灵活的发放和使用，同时又具备了极致的计算、存储、网络能力。 “删除”按钮是什么意思？ “删除”是指删除已申请的物理机，删除时可以选择同时删除弹性IP及绑定的云硬盘。如果不选择，则会保留，您需要进行单独删除操作。

本页介绍了文档数据库服务如何创建并登录弹性云主机。 创建并登录弹性云主机，请参见弹性云主机快速入门创建弹性云主机和弹性云主机快速入门登录弹性云主机。 该弹性云主机用于连接文档数据库实例，需要与待连接的实例处于同一虚拟私有云子网内。 创建弹性云主机时，要选择操作系统，例如centos7.6，并为其绑定EIP。 正确配置安全组，使弹性云主机可以直接连接文档数据库服务。

开通天翼云网站安全监测服务，须注册天翼云账户并确保已实名认证。 1、天翼云账号注册指导文档： 2、实名认证说明文档： 也可参考开通步骤如下： 【步骤1】注册并登录天翼云官网； 天翼云官网登录页面 【步骤2】未实名认证的用户需完成实名认证才能开通网站安全监测服务； 【步骤3】实名认证后进入网站安全监测产品详情页快速了解产品，之后单击“立即开通”； 产品详情页面 【步骤4】在购买页面选择适合的版本和所需功能，勾选并阅读服务协议，确认无误后点击“立即开通”，网站安全监测服务即开通； 产品开通页 【步骤5】网站安全监测服务开通后，便可以根据操作手册去控制台开始接入您要监测的域名（天翼云网站安全监测控制台

本节介绍如何查看基线整体检查通过率和单个基线检查项的通过结果，并支持导出某个基线的检查结果。 查看基线整体检查通过率 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 查看基线管理列表，包括基线名称、适用版本、基线版本、基线检查项和检测通过率等，可通过检测率的条形图查看检查通过率的百分比。 查看单个检查项通过结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面，可查看单个基线检测项是否通过检查。 导出检查结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 点击列表右上方的“导出”按钮，该导出任务会添加至“任务中心 > 下载任务管理”，开始生成Excel格式的基线合规检查结果报表。 5. 在“任务中心 > 下载任务管理”中，找到对应下载任务，待下载文件生成完毕后，单击“下载”按钮即可下载至本地。

本节主要介绍OBS的功能特性。 功能名称 功能描述 天翼云发布区域 备注 :::: 标准存储 访问时延低和吞吐量高，适用于有大量热点文件（平均1个月多次）或小文件（小于1MB），且需要频繁访问数据的业务场景，例如：大数据、移动应用、热点视频、社交图片等场景。 全部 低频访问存储 适用于不频繁访问（平均1年少于12次）但在需要时也要求快速访问数据的业务场景，例如：文件同步/共享、企业备份等场景。 苏州、广州4、武汉2 归档存储 适用于很少访问（平均1年访问1次）数据的业务场景，例如：数据归档、长期备份等场景。 归档存储安全、持久且成本极低，可以用来替代磁带库。 为了保持成本低廉，数据恢复时间可能长达数分钟到数小时不等。 苏州、广州4、武汉2、福州 桶管理 桶是OBS中存储对象的容器。 OBS提供创建、列举、搜索、查看、删除等基本功能，帮助您便捷的进行桶管理。 全部 对象管理 对象是OBS中数据存储的基本单位。 OBS提供上传、下载、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的对象管理需求。 全部 权限管理 OBS通过IAM权限、桶/对象策略和ACL三种方式配合进行权限管理。 您可以通过IAM自定义策略授予IAM用户细粒度的OBS权限，也可以对桶和对象设置不同的策略及ACL来控制桶和对象的读写权限。 全部 服务端加密 您可以将数据加密后存储到OBS中，提高数据的安全性。OBS提供SSEKMS服务端加密方式。 贵州、西安2、苏州、广州4、华北、成都3、北京2、武汉2、杭州、上海4、深圳、长沙2、芜湖、南昌、乌鲁木齐、福州 生命周期管理 您可以通过生命周期规则来管理对象的生命周期，例如定期将桶中的对象删除或者转换对象的存储类别。 全部 静态网站托管 您可以将静态网站文件上传至OBS桶中，并对这些文件赋予匿名用户可读权限，然后将该桶配置成静态网站托管模式，以实现在OBS上托管静态网站。 全部 须安全审批后加白 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。 而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。 OBS支持CORS规范，允许跨域请求访问OBS中的资源。 全部 防盗链 为了防止用户在OBS的数据被其他人盗链，OBS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 全部 自定义域名 您可以将自定义域名绑定到OBS桶，然后使用自定义域名访问桶中的数据。 例如，您需要将网站中的文件迁移到OBS，并且不想修改网页的代码，即保持网站的链接不变，此时可以使用自定义域名绑定功能。 全部 须安全审批后加白 桶清单 可以用来帮助您管理桶内对象，你可以配置一个清单规则，定期扫描桶中指定的对象或拥有相同前缀的对象，生成这些对象的元数据内容，如对象大小、修改时间、存储类别等，并以CSV格式保存到指定的桶中。 广州4、苏州、华北、贵州、成都3、西安2、杭州、福州、深圳、北京2、上海4、长沙2、芜湖、武汉2、兰州、南昌 图片处理 您可以使用图片处理功能对存放在OBS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 广州4、苏州、杭州、华北、福州、芜湖、兰州 并行文件系统 并行文件系统（Parallel File System）是OBS提供的一种经过优化的高性能文件系统，能够快速处理高性能计算（HPC）工作负载。 您可以按照标准的OBS接口读取并行文件系统中的数据，也可以利用obsfs工具（按照POSIX文件语义读写数据）将创建的并行文件系统挂载到云端Linux服务器上，并能像操作本地文件系统一样对并行文件系统内的文件和目录进行在线处理。 全部 日志管理 您可以通过日志管理功能获取桶的访问数据。开启日志管理功能后，桶的每次操作将会产生一条日志，并将多条日志打包成一个日志文件保存在目标桶中，您可以基于日志文件进行请求分析或日志审计。 全部 多版本控制 您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 全部 追加写对象 您可以通过AppendObject接口在指定桶内的一个Appendable对象尾追加上传数据。通过AppendObject创建的对象为Appendable对象，通过PutObject创建的对象是Normal对象。 全部 自定义元数据 您可以添加、修改或删除桶中已上传对象的元数据。 全部 桶配额 您可以设置桶空间配额，用以限制单个桶可存储的最大数据量，最大可设置为2631，单位Byte（字节）。新创建的桶默认不限制配额。 全部 碎片管理 您可以通过桶的碎片管理功能，对多段上传时某些特殊情况下产生的碎片进行清理，以节省存储空间。 全部 归档数据直读 默认情况下OBS中归档存储类别的对象需要恢复后才能下载，您也可以开启桶归档数据直读功能，开启后存储类别为归档存储的对象可以直接下载，无需提前恢复。归档数据直读会收取相应的费用。 苏州、广州4、武汉2 对象分享 您可以将存放在OBS中的文件或文件夹以临时URL的形式分享给所有用户。分享强调临时性，所有分享的URL都是临时URL，存在有效期。 您可以通过OBS控制台以及客户端工具OBS Browser+设置文件临时分享。如果想要设置永久的权限，请通过桶策略或对象策略实现。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、兰州、南昌、乌鲁木齐、内蒙3、西宁、中卫、郑州、青岛、海口、重庆 企业项目 您可以在创建桶时指定桶所属的企业项目，更方便的进行桶资源和权限管理。 全部 桶加密 您可以为桶配置默认加密，配置后，上传到桶中的对象都会自动进行加密。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、南昌、乌鲁木齐 桶标签 桶标签用于标识OBS中的桶，以此来达到对OBS中的桶进行分类的目的。当为桶添加标签时，该桶上所有请求产生的计费话单里都会带上这些标签，从而可以针对话单报表做分类筛选，进行更详细的成本分析。 苏州、广州4、华北、北京2、上海4、成都3、深圳、贵州、西安2、杭州、长沙2、芜湖、武汉2、福州、兰州、南昌 多AZ 您可以在创桶的时候选择将桶中数据冗余存储在多个可用区，以获得更高的数据可靠性。OBS采用Erasure Code（EC，纠删码）算法做数据冗余，不是以副本的形式存储。 苏州、广州4、华北 监控 您可以通过OBS控制台或者云监控服务（Cloud Eye）控制台监控桶的流量统计和请求次数等指标，方便您及时了解目前资源的使用状况、并合理规划使用计划。 苏州、广州4、西安2、华北、杭州 审计 您可以通过云审计服务（CTS）对OBS中桶和对象的各类事件操作记录进行收集、存储和查询，用于安全分析、合规审计、资源跟踪和问题定位等。 依赖云审计CTS 工具 OBS提供OBS Browser+、obsfs工具，满足不同场景下数据迁移和数据管理需求。 全部 API OBS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除桶，上传、下载、删除对象等操作。 全部 SDK OBS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、Go 全部 线下提供

介绍分布式消息服务Kafka监控安全风险 分布式消息服务Kafka提供资源和操作监控能力，可以对每个消息实例实时监控、告警和通知操作。用户可以实时掌握实例、主题、消费组的生产消费情况，包括流量、堆积量、重平衡次数等关键信息。 分布式消息服务Kafka支持的监控指标等内容，参考监控信息。

本文介绍如何为ECI Pod配置独立安全组。 当用户创建ECI Pod（ECI实例）时，需要指定待绑定的安全组信息，使得ECI实例的出向和入向流量得到控制。 背景信息 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 在pod的annotations中添加注解：k8s.ctyun.cn/ecisecuritygroup，并指定需要使用的安全组。通过kubectl客户端创建nginx.yaml。 shell apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxsg" namespace: "default" spec: replicas: 1 selector: matchLabels: name: "nginxsg" template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgw9f6mehmq0 labels: name: "nginxsg" spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "1" memory: 1Gi 创建pod： plaintext kubectl create f nginx.yaml 在ECI控制台可以看到ECI实例开通成功，并且使用的是指定的安全组：

本节主要介绍创建微服务引擎 微服务引擎专享版采用物理隔离的方式部署，租户独占微服务引擎，您可以根据业务需要创建使用。 前提条件 微服务引擎专享版运行于虚拟私有云，创建微服务引擎前，需保证有可用的虚拟私有云和子网。 创建虚拟私有云和子网，请参考“帮助中心 > 虚拟私有云 > 用户指南 > 虚拟私有云和子网 > 创建虚拟私有云和子网”。 如果引擎创建帐号权限为创建引擎的最小权限，如权限管理的“cse:engine:create”所示。则需要由管理员帐号为其预置VPC默认安全组cseenginedefaultsg，并添加如所示规则。 添加安全组规则，请参考《虚拟私有云用户指南》中“安全组 > 添加安全组规则”章节。 表 默认安全组cseenginedefaultsg规则说明 方向 类型 协议 端口范围/ICMP类型 远端 入方向 IPv4 TCP 3010030130 ANY 入方向 IPv4 ICMP Any 0.0.0.0/0 入方向 IPv6 ICMP Any ::/0 入方向 IPv6 TCP 3010030130 ANY 出方向 IPv4 ANY Any ANY 操作步骤 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击“购买微服务引擎” 。 3、填写参数，其中带“”标志的参数为必填参数，参数说明如下表所示。 表 参数说明 参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。 4、单击“下一步”，进入确认微服务引擎规格的页面。确认无误后，单击“提交”，开始创建微服务引擎。 创建微服务引擎专享版大约需要10~30分钟。 创建成功后，微服务引擎的“状态”为“可用”。 如果创建失败，可单击，在弹出菜单选择“重试”，重新创建。 说明 如果重试失败，可以删除创建失败的微服务引擎。删除微服务引擎专享版，请参考删除微服务引擎专享版。 如果未及时删除重试失败的微服务引擎，会占用计算资源。系统会在UTC时间每日18:00统一清理资源。

本节介绍了密钥对、使用场景、创建密钥对操作指引、约束与限制。 密钥对 密钥对，即SSH密钥对，是为用户提供远程登录云主机的认证方式，是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥，公钥自动保存在系统中，私钥由用户保存在本地。若用户将公钥配置在Linux云主机中，则可以使用私钥登录Linux云主机，而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云主机，因此，可以防止由于密码被拦截、破解造成的帐户密码泄露，从而提高Linux云主机的安全性。 您可以通过数据加密服务（Data Encryption Workshop）管理密钥对，包括创建、导入、绑定、查看、重置、替换、解绑、删除密钥对等。 本章节主要介绍如何创建和导入密钥对。 使用场景 用户在购买弹性云主机时，建议选择密钥对进行用户身份认证，或者通过提供的密钥对获取Windows操作系统弹性云主机的登录密码。 1. 登录Linux操作系统的弹性云主机。若用户购买的是Linux操作系统的弹性云主机，可以直接使用密钥对远程登录云主机。 1. 创建弹性云主机时，选择“密钥对方式”登录，详细操作，请参见步骤三：高级配置的“设置‘登录凭证’”。 2. 创建弹性云主机完成后，通过“绑定密钥对”的方式为云主机绑定密钥对。 2. 获取Windows操作系统弹性云主机的登录密码若用户购买的是Windows操作系统的弹性云主机，可以通过密钥对的私钥获取登录密码，该密码为随机密码，安全性高。详细内容，请参见获取Windows弹性云主机的密码

为保障您的天翼云弹性云主机系统时间精准统一,避免因时钟偏差引发业务异常、日志时序错乱、合规审计不达标等问题,推荐您配置天翼云内网 NTP 时间同步服务。本文为您介绍内网 NTP 时间同步的核心作用,以及红帽系、Debian 系 Linux 操作系统的标准化配置方法。 一、内网 NTP 时间同步核心作用 保障业务稳定运行：确保分布式集群、数据库主从同步、交易订单等业务的时序一致性，避免因时钟偏差引发数据错乱、服务异常。 提升运维排障效率：统一全量云主机系统时间，保障日志时序准确，便于故障溯源与问题定位。 满足合规审计要求：符合网络安全等级保护等监管规范对系统时间统一、日志可追溯的硬性要求。 低延迟高可靠：使用天翼云内网 NTP 专用地址，无需占用公网带宽，同步链路稳定、精度更高。 二、前置说明 适用范围：天翼云弹性云主机，涵盖红帽系（RHEL 7/8/9、CentOS 7/Stream、Rocky Linux、AlmaLinux 等）、Debian 系（Debian 10/11/12、Ubuntu 18.04+）Linux 操作系统。 天翼云内网 NTP 服务器地址：169.254.169.254。 三、配置步骤 红帽系操作系统配置（chronyd） 红帽系操作系统官方推荐使用 chronyd 服务实现时间同步，RHEL 8/9 系列默认预装并启用，配置步骤如下： 1. 备份原始配置文件（便于异常回滚） plaintext cp /etc/chrony.conf /etc/chrony.conf.bak 2. 写入天翼云内网 NTP 配置 清理原有NTP源配置 plaintext sed i E '/^(poolserver)/d' /etc/chrony.conf 新增内网NTP同步配置 plaintext cat >> /etc/chrony.conf << EOF server 169.254.169.254 iburst prefer EOF 3. 重启服务并配置开机自启 plaintext systemctl restart chronyd systemctl enable now chronyd

审计 功能 范围 RDS SQL审计 只记录SQL访问操作。 应用于使用RDS数据库场景。 DBSS审计 审计所有的数据库风险操作。在记录SQL访问的基础上进行安全检测、统计分析、风险识别、生成报表等功能，保障云上数据库的安全。 应用于所有数据库场景，包括用户自建数据库。

数据安全中心用户指南 天翼云数据安全中心用户指南.pdf

敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据。 敏感数据举例： 个人：家庭住址、工作单位、银行卡号、身份证号码 企业或组织：财务信息、客户资料、技术资料、重大决策等公司核心信息。 天翼云数据安全中心（Data Security Center，简称DSC）为您提供静态数据脱敏功能：能够根据脱敏规则对大批量数据进行统一变形转换处理。静态脱敏的应用场景多为：开发测试、数据分享、数据研究。可以将生产环境中的敏感数据交付至开发、测试或者外发环境。 为何敏感数据会泄露 内部原因 员工（包括在职员工、待离职员工、合作伙伴、外包人员）盗窃数据 重要笔记本电脑和移动设备的丢失或失窃 敏感数据越权访问和存储 企业员工打印、外和复制敏感数据 意外传输敏感数据 外部原因 基础措施不可控，避免数据存储系统存在安全漏洞 配置不当导致的外部攻击 敏感数据越权访问和存储 场景 场景假设：“rsddsctest”数据库中“dscyunxiaoke”表中存储了银行员工信息。 处理方案：当前需要对敏感数据进行敏感数据识别并完成脱敏，可选择识别规则组“银行金融领域模板”，该模板为预置模板，能识别出敏感数据并生成识别结果数据报告，再对识别出的敏感数据进行“Hash脱敏”中的SHA256算法进行脱敏处理，以此来达到保护敏感数据得目的。

操作场景 本节操作以使用Mac OS系统自带的“终端（Terminal）”远程连接Linux操作系统云主机。 前提条件 云主机状态为“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 弹性云主机已经绑定弹性IP。 所在安全组入方向已开放3389端口。 操作步骤 您可以通过Mac OS系统自带的终端（Terminal）登录Linux云主机： SSH密码方式 1. 打开系统自带的终端（Terminal），执行以下命令 ssh 用户名@弹性IP 说明 如果是公共镜像（包括CoreOS），用户名为“root”。 2. 输入登录密码并按下回车键，以完成登录。 SSH密钥方式 1. 打开系统自带的终端（Terminal）应用程序。 2. 在终端中执行以下命令，变更密钥文件的权限。下面的步骤以私钥文件"kp101.pem"为例进行介绍。 chmod 400 /path/kp101.pem 说明 上述命令中的"path"为密钥文件的存放路径。 3. 执行以下命令登录云主机。 ssh i /path/kp101.pem 用户名@弹性IP 说明 如果是“CoreOS”的公共镜像，用户名为“core”。 如果是“非CoreOS”的公共镜像，用户名为“root”。

本章节为您介绍云审计IAM权限的相关内容 本文为您介绍云审计的权限管理能力，支持通过IAM实现对云审计的访问控制、权限分配。 云审计通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云审计服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云审计IAM策略说明 天翼云为云审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 cloudauditadmin 云审计管理员策略。 系统策略 全局 cloudauditviewer 云审计查看策略。 系统策略 全局 cloudauditauditor 云审计审计员策略。 系统策略 全局

产品优势：极简部署、智能防护、可视可溯、丰富生态 极简部署 作为一款云SaaS服务，可以对公网资产、内部资产自动安全盘点，一键开启防护，支持原有安全策略一键导入，可随业务按需动态扩容。 智能防护 AI算法实时检测和拦截恶意流量；并通过自带的入侵防御引擎（IPS），对恶意流量进行实时检测和精准防御。 可视可溯 全场景流量日志、访问日志、入侵攻击日志记录，并通过报表分析呈现，支持审计及高级威胁溯源分析。 丰富生态 支持无缝集成第三方厂家威胁检测分析引擎，云上云下统一生态，客户原线下安全策略资产无缝平移。

本章节介绍了如何创建GaussDB 的实例，用作迁移任务目标库。 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“数据库 > 云数据库GaussDB ”。 4. 在左侧导航栏选择GaussDB > 实例管理。 5. 单击“购买数据库实例”。 6. 配置实例名称和实例基本信息。 7. 选择实例规格。 本示例中为测试实例，选择较小的测试规格，实际可选规格以界面为准。 8. 选择实例所属的VPC和安全组、配置数据库端口。 9. 配置实例密码等信息。 10. 单击“立即购买”。 11. 返回实例列表。 当实例运行状态为“正常”时，表示实例创建完成。

场景四：端口不匹配问题 域名配置的端口与访问请求到的端口不匹配时，会导致出现403。具体报错如下： 解决方案：如果是访问时指定了错误的端口，请调整为正确端口后，再发起请求。如果是域名配置的端口不准确，请在控制台进行端口配置调整，配置生效后，再重新发起请求。 场景五：安全与加速服务的安全策略，被边缘节点拦截。 网站接入安全与加速服务之后，当访问请求有可能对网站造成安全威胁时，安全防护节点拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案：当请求响应403拦截时，您可以通过边缘安全加速控制台查看具体的攻击拦截信息，其中事件ID跟拦截请求响应内容中的RequestID对应，具体查看方式WAF攻击日志。 若存在误拦截等情况，可进行修改相应的安全策略或进行规则加白。

本章主要介绍了在天翼云上如何使用弹性云主机的Linux实例使用vsftpd软件搭建FTP站点。 应用场景 本文介绍了在天翼云上如何使用弹性云主机的Linux实例使用vsftpd软件搭建FTP站点。vsftpd全称是“very secure FTP daemon”，是一款在Linux发行版中使用较多的FTP服务器软件。该指导具体操作以CentOS 7.2 64位操作系统为例。 方案架构 方案优势 快速构建站点，组网架构简单。 网站安全易用。 资源和成本规划 表 资源和成本规划 资源 资源说明 成本说明 虚拟私有云VPC VPC网段：192.168.0.0/16 免费 虚拟私有云子网 可用区：可用区1子网网段：192.168.0.0/24 免费 安全组 入方向规则（主动模式）：协议/应用： TCP端口：20、21源地址：0.0.0.0/0 入方向规则（被动模式）：协议/应用： TCP端口：21以及vsftpdconf配置文件中的端口源地址：0.0.0.0/0 免费 弹性云主机 计费模式：包年/包月 可用区：可用区1 规格：s6.large.2 镜像：CentOS 7.2 64bit 系统盘：40G 弹性公网IP：现在购买 线路：全动态BGP 公网带宽：按流量计费 带宽大小：5 Mbit/s ECS涉及以下几项费用：云主机云硬盘弹性公网IP vsftpd 是一款免费、开源的ftp软件 免费

本章介绍使用主机迁移服务，需要注意哪些地方。 迁移前须知 迁移系统版本较老的服务器（如Windows 2008），可能出现系统内核无法兼容的情况，需提前做好评估，明确是否适合直接迁移，以免迁移后业务无法运行。 迁移前，建议关闭源端服务器中可能导致SMSAgent启动失败的软件（如杀毒软件）。如果不确定是否有冲突的软件，迁移前请做好数据备份。 Linux块级迁移目前处于公测阶段，建议只在测试场景下使用。 虚拟化驱动UVP VMTools的版本不能低于2.5.0，否则可能导致目的端无法启动。 迁移网络须知 请参考主机迁移对网络安全的配置与条件，提前准备并配置完成。 请参见如何配置云主机安全组规则，提前准备并配置完成。 迁移对网络质量有一定要求，可以通过SMS提供的网络质量检测功能，评估当前迁移网络环境质量，及时做出调整，避免因网络质量问题，导致迁移失败。 迁移过程中会占用一定的源端主机资源，如内存，CPU，磁盘IO和网速等，请您根据实际业务场景设置合适的网络限流。Linux源端限流依赖系统自带的TC(TrafficControl)组件，如果TC组件未安装或者异常可能存在限流失效的情况。

步骤二：对端账号接受VPC对等连接 不同账户创建对等连接，本端账户创建完成后，需要联系对端账户接受对等连接请求之后，该对等连接才算创建完成。本示例中，账户A通知账户B接受对等连接。 1. 对端账户登录管理控制台，并选择目标区域。 2. 在控制台首页打开服务列表，选择“网络 > 虚拟私有云”。 进入虚拟私有云列表页面。 3. 在左侧导航栏，选择“虚拟私有云 > 对等连接”。 进入对等连接列表页面。 4. 在对等连接列表中，找到待接受的对等连接请求。 5. 确认无误后，单击目标对等连接所在行的操作列下的“接受请求”。 待对等连接状态变为“已接受”，表示对等连接创建完成。 6. 执行“添加VPC对等连接路由”，为对等连接添加路由。 步骤三：添加VPC对等连接路由 添加VPC对等连接路由（路由表已解耦） 通常情况下，您需要在对等连接两端VPC的路由表中分别添加去程和回程路由，才可以实现通信。 本端账户在本端VPC的路由表中添加路由，对端账户在对端VPC的路由表中添加路由。本示例中，账户A在VPCA的路由表中添加路由，账户B在VPCB的路由表中添加路由。 1. 执行以下操作，在本端VPC路由表中添加对等连接路由。 在本端账户的对等连接列表中，单击目标对等连接的名称。 进入对等连接详情页面。 在对等连接详情页面下方区域，单击“添加路由”。 弹出对等连接的“添加路由”对话框。 根据界面提示，在VPC路由表中添加路由，参数说明如下表所示。

1. 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。相关的系统策略包含如下： vpc Admin：弹性IP/共享流量包/IPv6服务的管理者权限，包含弹性IP/共享流量包所有控制权限（不含订单类权限）； vpc Viewer：弹性IP/共享流量包/IPv6服务的观察者权限，包含弹性IP/共享流量包服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略“。

实例画像支持查看实例多维度评分详情、节点监控与告警信息，并提供告警触发源分析，引导用户快速排查实例存在的问题。 前提条件 仅限来源为天翼云RDS的MySQL数据库。 已录入DMS中，且实例状态正常的数据库实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 实例画像，进入实例画像界面。 3. 在左上方区域，选择目标实例，查看实例画像。 功能介绍 实例画像主要从数据库可用性、数据库可靠性、数据库性能、数据库可维护性、数据库安全性5个维度评估实例的健康评级，并结合告警信息给出触发源分析与建议。 实例画像 实例画像从五个维度进行评分，实例总得分取五个维度中的最低评分，健康评级依据实例总得分计算得出，具体详见评分规则，支持选择时间段进行查询。 数据库可用性：数据库服务的连续性，主要检查数据库是否发生过服务中断（如重启、无法响应等）。 数据库性能：数据库的关键性能指标平稳，主要检查相关指标均值是否存在波峰，以及资源使用率是否正常。 数据库可维护性：数据库的表设计、应用程序逻辑设计的合理性表现，主要检查是否存在非分区大对象、死锁、元数据锁、空间不足等问题。 数据库可靠性：数据的可恢复能力达到RPO为0，主要检查数据库的备份策略、主从复制的健康度等。 数据库安全性：数据库的安全管理关键指标，主要检查密码复杂度配置、访问白名单配置、连接安全协议、密码加密算法等。

本文介绍镜像设置，包括镜像扫描设置、指定可信镜像、查看风险评分。 扫描设置 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像设置”，进入镜像设置页面。 3. 选择“扫描设置”页签。设置扫描类型、自动扫描节点新增镜像和周期扫描等。 扫描类型支持如下两种： 快速扫描：只扫描包管理器安装的软件。 深度扫描：在快速扫描的基础上增加扫描第三方依赖库、Web框架库和病毒木马等恶意文件。 4. 配置完成后，单击“保存”。 指定可信镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像设置”，进入镜像设置页面。 3. 选择“可信镜像”页签。指定可信任的仓库、基础镜像、节点镜像，可对非信任的镜像进行忽略、报警、阻断的操作。 说明 如需使用镜像阻断功能，请在“安装配置 > 组件安装”页面中开启镜像所在集群的镜像阻断功能，详细操作请参见 4. 配置完成后，单击“保存”。

介绍云SSO的使用场景 使用场景 通过云SSO（SingleSignOn）可以创建用户和用户组，创建的用户通过指定的云SSO门户地址登录后，可集中管理和访问天翼云下多个帐号的资源。 云SSO可与满足条件的企业身份管理系统进行单点登录（SSO）配置，可以直接使用企业原有的身份管理系统，以云SSO用户身份访问天翼云账号，提升企业用户管理效率，降低安全风险。

本章节向您介绍VPN连接故障排查的常规检查项，帮助您快速定位并解决连接问题。 用户在使用VPN连接经典版过程中，可能会出现由于配置错误（云侧或用户侧协商策略、防火墙、路由表、域间策略、NAT配置、安全组等信息配置）而导致连接故障或无法PING通。 检查VPN两侧协商信息 确认PSK共享密钥是否一致。 确认IKE策略、IPsec策略协商参数是否一致。 确认两侧的本地子网和远端子网配置是否互为镜像。 检查客户防火墙ACL和云端安全组配置 确认放行去往天翼云VPC子网的数据流。 确认放行来自天翼云VPC子网的数据流。 检查防火墙路由表 确认存在目标地址为天翼云VPC子网的路由信息： 确认配置去往天翼云目标网络的路由信息，路由表或VPN路由表中存在路由信息。 确认路由转发表状态正常。 注意 路由易错配置： 目的网段与天翼云VPC网段不一致，导致前往天翼云的流量无法路由到配置IPsec策略的公网口。 配置静态路由时指定出接口，而非指定下一跳。在ethernet类型的网络中，出接口会因为无法学习到对端的ARP信息而导致路由转发失败。 将路由的下一跳地址指定为天翼云端的VPN网关地址。部分友商设备会因为路由信息无法自动迭代而不可行；由于VPN流量是要从公网口发出的，因此下一跳地址必须是运营商提供的网关地址。 检查客户防火墙域间策略 trust到untrust：放行本地VPC到云上VPC子网访问策略。 untrust到trust：放行云上VPC到本地VPC子网访问策略。