天翼云轻量型云主机致力于为用户打造极致体验，本文为您讲解轻量型云主机的产品优势。 快捷易用，简单方便 轻量型云主机融合计算、存储、网络等常用基础云服务，使创建和管理云服务器及应用系统变得更简单。用户无需购买硬件设备、搭建本地服务器，同时也避免了后续繁琐的运维工作。使用轻量型云主机降低了成本和精力投入，帮助用户更快上手，迅速部署业务到云。 规格丰富，按需选择 提供多种云资源套餐，支持套餐升级；支持单独购买数据盘~~并~~进行挂载，提供多种存储类型的云硬盘，满足用户各类场景需求。 为了满足多种实际业务需求，轻量型云主机服务提供了基础型、进阶型两款精心搭配的云资源套餐，适配中小型轻量化业务性能需求。另提供随心购套餐，方便用户自定义套餐规格大小，灵活选择。同时，用户可选购普通IO、高IO、通用SSD、超高IO类型云硬盘，拓展数据存储容量。 性价比高，服务优质 轻量型云主机以套餐方式售卖计算、存储和网络资源，使开支清晰直观，方便用户更好地控制和管理成本。与相同配置的云主机相比，轻量型云主机套餐价格更低，能在保证高性能的前提下，提供更高的性价比。 此外，轻量型云主机部署在五星级电信IDC环境，拥有专业的运营团队，提供全年无休的724小时服务，确保用户获得高质量的支持和服务。

本节介绍了SSH密码方式登录的操作场景、前提条件、本地使用Windows操作系统登录流程、本地使用Linux操作系统。 操作场景 本节操作介绍在Windows和Linux环境中使用SSH密码方式远程登录Linux云主机的操作步骤。 前提条件 弹性云主机状态为“运行中”。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 如果Linux弹性云主机采用密钥方式鉴权，已获取root用户的密码，具体操作请参见获取Windows弹性云主机的密码。 所在安全组入方向已开放22端口，配置方式请参见配置安全组规则。 使用的登录工具（如PuTTY）与待登录的弹性云主机之间网络连通。例如，默认的22端口没有被防火墙屏蔽。 本地使用Windows操作系统 如果本地主机为Windows操作系统，可以按照下面方式登录云主机。 下面步骤以PuTTY为例。 1. 在以下路径中下载PuTTY和PuTTYgen。 2. 运行PuTTY。 3. 单击“Session”。 a. Host Name (or IP address)：输入云主机的弹性IP。 b. Port：输入 22。 c. Connection Type：选择 SSH。 d. Saved Sessions：任务名称，在下一次使用putty时就可以单击保存的任务名称，即可打开远程连接。 图 单击“Session” 4. 单击“Window”，在“Translation”下的“Received data assumed to be in which character set:”选择“UTF8”。 5. 单击“Open”。 如果首次登录服务器，PuTTY会显示安全警告对话框，询问是否接受服务器的安全证书。单击“是”将证书保存到本地注册表中。 6. 建立到云主机的SSH连接后，根据提示输入用户名和密码登录云主机。 说明 如果是公共镜像（包括CoreOS），首次登录时，登录用户名、密码如下： 用户名：root 密码：购买云主机时，您设置的密码

示例： 请求路径： 请求： 返回结果： { "code": 100000, "message": "success", "result": [ { "cdnip": "true", "nodelevel": " ", "ipv6": "xxx:xxx:xxx:xxx::xxx", "roomaddress": " ", "areacnname": "呼和浩特市", "ispName": "电信", "areaenname": "huhehaote" }, { "cdnip": "true", "nodelevel": " ", "ipv4": "xx.xx.xx.xx", "roomaddress": " ", "areacnname": "通州区", "ispName": "电信", "areaenname": "tongzhou" } ] } 错误码请参考：参数code和message含义

云点播转码能判断moov box位置吗? 云点播转码能判断moov box位置吗？ 如果MP4视频的meta信息存储在视频文件尾部，那么浏览器通过网络传输协议加载远程资源服务器视频流时，浏览器不能迅速得到视频meta信息（全局信息），这会导致浏览器不能很好的对视频进行预加载处理，所以就会出现拖拽访问卡顿的问题。 解决办法是在生成目标视频时，将metadata信息（moov）提前至视频第一帧的前面。 云点播在转码后默认会将moov box放置在mp4文件头部，不支持自定义配置。

云下一代防火墙实例订购需提供设备序列号S/N(即序列号)，设备初始化登录成功后可进行查询。本小节介绍云下一代防火墙查询序列号方法。 1.在云主机控制台选择远程登录，输入默认用户名密码后，按照要求进行密码修改。 2.命令行输入以下命令进行配置查询show version。 3.查询完成后，记录S/N号(即序列号)，稍后订购实例时进行提供。

本章节为您介绍堡垒机应用资产相关内容 在一台支持远程桌面的Windows系统服务器上部署浏览器应用（Web应用），通过云堡垒机的应用发布功能，将浏览器应用纳入云堡垒机进行管理。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 添加的主机和应用资源数量总和不能超过资产数。 Windows应用服务器仅支持2016版本。 添加应用发布前，需已添加应用服务器。 添加应用服务器 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 应用资产”，并且在左上方选择“应用服务器”，进入“应用服务器”页面。 3.单击“新增”按钮，弹出“新增应用服务器”对话框，并填写相关内容。 参数 填写说明 服务器名称 自定义服务器名称，在同一堡垒机内应用服务器名称不得重复。 服务器类型 选择服务器类型，当前版本仅支持Windows。 服务器IP地址 填写访问应用的服务器真实IP地址或域名。 端口 填写访问应用发布服务器的端口，Windows服务器默认为5901。 服务器描述 填写应用服务器的简要描述。 服务器账户 填写访问应用的服务器账户。 密码 填写访问应用的服务器账户的密码。 app类型和路径 填写限制应用资源访问应用服务器上的具体应用的程序路径。 每种程序类型有一个默认启动路径，也可自定义启动路径。 例如：限制只能访问应用设备的Chrome浏览器，默认启动路径为“C:DevOpsToolsChromechrome.exe”。 注意 路径中请勿输入Administrator，否则程序可能无法启动。 4.填写完成后，单击“提交”即可完成新增应用服务器。

本文介绍云SSO用户的管理 创建用户 1. 登录云SSO控制台（++中国电信天翼云管理中心++）。 2. 左侧菜单栏点击“云SSO”用户 3. 点击右上角“创建用户” 4. 在创建用户面板，设置用户基本信息，然后单击确定 5. 选择密码初始化方式 向用户发送一封包含密码设置说明的邮件:用户可登录邮箱后自行设置密码 生成随机的一次性密码:由系统自动生成，云SSO用户创建完成后会弹窗显示 6. 为云SSO用户分配用户组； 7. 主账号进入云SSO用户的详情页，点击发送验证邮件（注意：请进入管理页面手动点击发送验证邮件）； 8. 登录云SSO用户的关联邮箱，完成云SSO用户的创建验证 9. 登录“云SSO控制台”“云SSO用户”选择该用户信息，点击“启用”按钮。 10. 完成创建。 查看用户详情 在云SSO用户页面，单击目标用户名称，可查看用户的以下信息： 用户名、用户ID、姓名、状态、邮件地址、创建时间、创建方式、更新时间等信息。 启用云SSO用户 1. 完成邮箱初始化验证的用户可以进行用户启用。 2. 主账号可进入云SSO用户详情页，点击发送验证邮件。 3. 在“云SSO控制台”“云SSO用户”选择该用户信息，点击“启用”按钮。 禁用云SSO用户 1. 在“云SSO控制台”“云SSO用户”选择该用户信息，点击“禁用”按钮 2. 禁用后，云SSO用户将无法登录组织内的成员账号。

前提条件 已购买标准版及以上版本堡垒机，并已完成堡垒机配置。 安全区域边界：安全审计 等保条例：应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 本条款主要考察：是否有进行安全审计。云堡垒机支持对云服务器运维操作进行监控和审计。 使用有审计模块权限的账号登录云堡垒机，单击“审计 > 历史会话审计”，进入“历史会话”页面。 在历史会话页面可分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等。 等保条例：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 本条款主要考察：日志是否按照要求进行记录。 使用管理员账号登录云堡垒机，单击“审计 > 历史会话审计”，进入“历史会话”页面。 主要包含资源名称、类型、主机IP、资源账户、起止时间、会话时长、会话大小、操作用户、操作用户来源IP、操作用户来源MAC、登录方式、运维记录、文件传输记录、会话协同记录等信息。 等保条例：应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 使用管理员账号登录云堡垒机，单击“系统 > 数据维护”，单击“日志备份”，进入“日志备份”页面。 在“日志备份”页面，可以创建、查看日志备份，支持系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。也支持备份至Syslog服务器、FTP/SFTP服务器和OBS桶。 等保条例：应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析； 本条款主要考察：是否能够对远程访问的用户行为进行审计与数据分析。

其他云数据库的配置流程 申请公网IP并绑定到数据库实例 不同云厂商的数据库实例对应方法不同，具体操作步骤可参考具体云官网资料进行设置。 VPC网络安全策略放通 需要在其他云数据库实例所在的VPC放通以上【DTS实例的配置流程】中配置的公网IP的访问权限，一般包括网络ACL和实例安全组，具体可参考各厂商云数据库官方文档进行操作。 数据库添加白名单 数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本小节介绍DDoS高防IP产品定义。 “天翼云DDoS高防IP”用户无需额外安装任何软件和部署硬件设备，无需人员培训，不受主备线路更换的限制。“天翼云DDoS高防IP”将多个云平台业务统一配置天翼云抗DDoS服务，电信天翼云会为每个独立的一级域名网站提供高防解析域名/IP地址，而后客户仅需将平台的域名CNAME解析更改新分配的IP，接入高防机房平台即可享受全面的DDoS攻击防护服务。 “天翼云DDoS高防IP”利用BGP实现了对攻击流量牵引导流的秒级全网生效，一条策略配置，全网生效；支持境内、境外流量防护。 DDoS防护服务在客户使用流量监控服务基础之上，向用户提供“天翼云DDoS高防IP”客户端、自服务界面、热线申告、邮箱申告四种服务方式。

实践 描述 防火墙作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用防火墙SSL VPN服务，该服务需单独配置。

本节介绍了本地Windows主机使用FTP上传文件到Windows/Linux云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作介绍如何在Windows操作系统的本地主机上使用FTP上传文件到云主机。 前提条件 已在待上传文件的云主机中搭建 FTP 服务。 操作步骤 1. 在Windows本地主机上安装FileZilla。下载FileZilla。 2. 在Windows本地主机打开 FileZilla，填写待连接的云主机信息，单击“快速连接”。 − 主机：云主机的弹性公网IP。 − 用户名：搭建FTP时设置的用户名。 − 密码：搭建FTP时设置的用户对应的密码。 − 端口：FTP链接端口，默认使用21端口。 图 连接云主机 3. 您可以选择左侧本地计算机的文件，拖拽到右侧的远程云主机，完成文件上传到云主机。

本例我们以Windows Server 2012数据中心版为例。 操作步骤 1. 与本地主机操作一致，首先通过VNC或其余远程登录方式登录轻量型云主机。 2. 右键单击桌面，选择屏幕分辨率，在弹出页面，选择合适的分辨率，点击确定、应用即可。

对比类 对比项 分布式消息服务Kafka 开源Kafka 简单易用 立等可用 即开即用，可视化操作，自助创建，自动化部署，分钟级创建实例，立即使用，实时查看和管理消息实例。 自行准备服务器资源，安装配置必要的软件并进行配置，等待时间长。 易出错。 简单API 提供简单的实例管理RESTFul API，使用门槛低。 无 成本低廉 按需使用 提供多种规格，按需使用，支持一键式在线进行实例代理个数、磁盘存储空间和代理规格扩容。 搭建消息服务本身需要费用，而且即使没有使用，所占用资源本身依旧要收费。 成本低廉 完全托管 租户不需要单独采购硬件资源，直接使用就绪的服务，无需额外成本。 需要购买硬件资源，自行搭建整个消息服务，使用和维护成本高。 实践验证 成熟度高 经受电商网站大规模访问考验，并且已经在云服务平台许多产品中使用，广泛部署运行在分布于世界各地的电信级客户云业务系统里。满足严苛的电信级故障模式库标准。紧随社区主流版本，修复开源bug，持续上线新功能，进行版本升级。 使用开源软件成熟度低，无法保证关键业务，商业案例少；自研周期长，并需要长时间进行验证。 实践验证 能力强大 100%兼容开源，支持一键扩容，深度优化开源代码提升性能和可靠性，支持消息查询等高级特性。 功能不完善，需额外投入进行开发。 稳定可靠 稳定高可用 支持跨AZ部署，提升可靠性。故障自动发现并上报告警，保证用户关键业务的可靠运行。 需要自己开发或基于开源实现，开发成本高昂，无法保证业务可靠运行。 稳定可靠 无忧运维 后台运维对租户完全透明，整个服务运行具有完备的监控和告警功能。有异常可以及时通知相关人员。避免724小时人工值守。 需要自行开发完善运维功能，尤其是告警及通知功能，否则只能人工值守。 稳定可靠 安全保证 VPC隔离，支持SSL通道加密。 需要自行进行安全加固。

操作场景 本节操作介绍Linux云服务器切换密钥登录为密码登录的操作步骤。 操作步骤 1. 使用root身份编辑Linux云服务器的ssh配置文件。 su root vim /etc/ssh/sshdconfig 修改如下配置项： –把PasswordAuthentication no 改为 PasswordAuthentication yes。 –把PermitRootLogin no 改为 PermitRootLogin yes。 2. 重启sshd服务使配置生效，并查看服务状态。 systemctl restart sshd systemctl status sshd 3. 设置root密码，然后就可以通过密码远程登录云主机。 passwd root

云墙目前不支持web界面导入授权，需要进入后台进行授权导入。 操作方法 1.通过天翼云官网进行远程登录，登录至CLI界面，输入以下命令导入授权。 2.授权导入命令：exec license install证书内容字符串，授权模块需单独进行导入，导入完成后，进行重启即可。 说明 以上操作有任何问题，均可向天翼云客服提交工单咨询。 3.重启完成后，重新登录云下一代防火墙查看许可证状态。

特殊场景说明 天翼云提供的弹性IP默认为电信单线IP，和异网互通时需要通过其他运营商的互联互通节点，高峰期可能存在因网络拥塞导致的偶现丢包、带宽衰减等现象。 注意 从2025年9月起，天翼云EIP将不再保留或传递数据包中的DSCP值，出入公网流量的DSCP字段将被清零，请提前评估影响并调整策略。 绑定云主机/物理机实例限制 在绑定EIP时需要满足以下条件 云主机/物理机实例的地域必须与弹性IP的地域相同。 云主机/物理机实例必须为正常及稳定状态，正在运行或已停止，订单状态未完成或者已冻结/已过期时，不可执行绑定操作。 从2023年10月15日起，根据您云服务器的 vCPU 配置差异，单台云服务器对弹性IP的绑定操作受到云服务器支持绑定的弹性 IP 数量上限控制，具体如下表所示： 云服务器的vCPU核数 支持绑定的弹性IP个数上限（包含通过网卡及虚拟IP 绑定的弹性IP ） 15 2 611 3 1217 4 18 23 5 24 29 6 30 35 7 36 41 8 42 47 9 ≥ 48 10 注意 若您在功能生效前云服务器已绑定了超限额的弹性IP，将不会对您的弹性IP进行解绑，仅对您的绑定操作进行限制。

本节介绍了如何设置云数据库TaurusDB的安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和TaurusDB数据库实例提供访问策略。为了保障数据库的安全性和稳定性，在使用TaurusDB数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接TaurusDB实例时，设置安全组分为以下两种情况： ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则，执行通过内网连接TaurusDB实例。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的 入方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和TaurusDB数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当TaurusDB数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的TaurusDB数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的TaurusDB数据库实例。

此小节介绍云堡垒机应用场景。 任何企业都需要安全运维管理和审计，故任何企业都需要云堡垒机。云堡垒机能适用于各种企业运维场景，特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权限交叉、企业运维方式多样等场景。 严要求的审计合规场景 例如保险和金融行业，具有大量个人信息数据和金融资金操作行为，以及大量第三方机构代为运作，可能存在巨大违规操作、滥用职权等非法运作风险。 通过在云上部署云堡垒机系统，单点登录入口，集中管理账户和资源，部门权限隔离，核心资产多人审核授权，敏感操作二次复核授权，健全的运维审计机制，能够为高风险行业提供严要求审计功能，满足行业监管要求。 高效稳定的运维场景 例如极速发展的互联网企业，大量经营数据等敏感信息，暴露在公网，且由于服务高度公开，存在高度数据泄露风险。 云堡垒机在远程运维过程中，隐藏资产真实地址，解决远程运维资产信息暴露问题。同时提供全面的运维日志，为审计运维和代运维人员的操作行为，提供有效监控，减少网上安全事故，助力企业长久稳定发展。 大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理，云上人员账户数量不断增加，以及云上服务器、网络设备等资产数量也成倍增涨。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行，由于涉及提供商、代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产，可海量容纳庞大人员和资源数据，运维人员单点登录，解决运维人员维护多台资产效率低，易出错的问题。同时通过制定细粒度权限控制，资源操作全程记录，可审计全量用户操作行为，并对事故问题进行有效追溯，确保有效定责。此外，系统桌面实时呈现运维全景，并可接收异常行为告警通知，确保人员无法越权操作。

私钥地址：sshkeygen指定的私钥文件地址。 username默认为root。 ip为ELB绑定的EIP。 Port为平台分配的ELB监听端口。 查看SSH访问配置：启用SSH后，开发机进入运行中状态且EIP绑定成功时可以查看公网访问指令。 参数 说明 启用SSH 开发机创建完成后用户不能自行关闭远程登录： 1）可以联系平台运维同事后台操作关闭当前开发机的远程登录开关； 2）或者删除当前账号的白名单，删除后当前账户机器子账号不具备远程登录开发机的能力，并且会关闭所有已经 开启远程登录开发机的开关。 SSH公钥 默认显示密文，公钥为平台为您创建的用于身份验证，实现远程服务器登录操作。 公网访问 访问开发机的指令，只有当状态为绑定成功时才能正常进行远程登录，其余状态： 1）绑定中，表示当前EIP正在绑定，用户可点击刷新按钮重试获取绑定状态； 2）绑定失败，表示当前EIP绑定失败，用户可以点击刷新按钮重试绑定。 本地访问开发机：输入公网访问指令 费用：当开启了远程登录，平台会为用户创建一个EIP，只有当账号下所有开发机被删除后才会删除EIP，因此会产生网络费用。计费详情查看。

如远程登录提示密码错误，可通过 "重置密码" 功能设置新密码。 您可以通过弹性云主机控制台重置密码，点击更多重置密码更改密码，使用新密码再进行登录。具体操作步骤如下： 1. 打开弹性云主机控制台页面。 2. 选择您需要重置密码的弹性云主机，点击“更多”按钮。 3. 在弹出的下拉菜单中，选择“重置密码”选项。 4. 在弹出的重置密码窗口中，您需要输入一个新的密码，并确认一遍输入正确的密码。请注意密码的规则为8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@$%^&+{}[]:;'<>,.?/ 中的特殊符号），且不能以斜线号（/）开头，不能包含连续字符。 5. 点击“确定”按钮，系统会提示您，重置密码成功。 6. 使用新密码登录弹性云主机控制台，进行后续操作。 更多可以参考在控制台重置密码。

本节介绍天翼AI云电脑(公众版)在计费方面的常见问题。 天翼AI云电脑是如何计费，如何开通？ 天翼AI云电脑（公众版）使用包年包月的计费方式，订购方式如下： 1. 应用内订购：天翼AI云电脑App、天翼云App已提供“订购AI云电脑”服务。 2. 天翼云官网订购：可在天翼云网门户产品“天翼AI云电脑（公众版）”产品详情页进行自助订购。 3. 营业厅订购：请前往当地的电信营业厅咨询天翼AI云电脑产品订购相关内容。 天翼AI云电脑（政企版）使用包年包月的计费方式，开通方式如下： 方式一：通过“单实例”方式开通，选择开通参数后支付将立即开通天翼AI云电脑（政企版）。 方式二：通过“资源包”方式开通，先订购资源包，之后选择资源包开通天翼AI云电脑（政企版）。 备注：如有上网需要，需要单独开通上网带宽，绑定VPC、子网后使用。 天翼AI云电脑操作系统是否需要收费？ 无需额外收费，默认提供Windows Server 2008、Windows Server2016、Windows Server2019系统，均已正版激活。 天翼AI云电脑（政企版）使用的Linux系统（Ubuntu、Centos）也无需额外收费。

本小节介绍终端安全EDR客户端安装方法。 1.通过远程登录进入业务云主机，使用终端安全EDR内网地址，该界面登录如下图，点击客户端下载安装。 2.根据安装提示，完成客户端安装。

翼共享 翼共享是一款针对天翼AI云电脑（政企版）打造的企业级文件共享解决方案。通过AI云电脑挂载访问，支持实时读写，性能体验趋近于数据盘，传输速度更快。详情可查看翼共享帮助指导。 数据安全：文件数据不出AI云电脑，并支持通过翼加密实现文件加密保护。用户操作留存日志审计。 读写速率：采用NAS共享文件系统，支持文件实时读写，性能体验趋近于数据盘。 权限配置：支持按部门/用户配置读写权限，并支持自定义企业/个人空间容量分配。 翼察 翼察（AI云电脑安全办公平台）是基于AI云电脑办公场景探索而得的政企一体化安全办公解决方案。为政企办公场景提供身份、终端、网络、应用、数据五位一体的可信防护。 终端管理：以终端管理为核心，为政企客户提供终端多位一体、统一管理的安全解决方案。 远程接入：以用户身份为核心的远程安全接入，帮助客户快速接入内网访问，有效保护政企内部数据资产。 安全办公：整合终端管理、远程接入等技术，帮助用户构建全面覆盖、动态可信的办公一体化防御体系。

本文介绍什么是RBI云端浏览器。 什么是远程浏览器隔离（RBI） Web浏览器是整个网络环境中最广泛应用的软件之一，因浏览器漏洞导致的网络安全事件层出不穷，同时浏览器漏洞的存在是难免的，往往是通过事后修补都方式，都依赖人员意识。远程浏览器隔离（RBI）主要解决Web浏览器访问问题，它可以在云服务器上加载网页并执行相关代码，远离用户的本地设备以及企业的内部网络。在结束网页浏览后会删除用户浏览会话记录，因此，与会话相关的恶意 cookie 或下载内容都会被清除。 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。 当用户使用浏览器访问网页时，Web隔离系统利用RBI技术，将网页内容加载到远端浏览器上，在远端的浏览器上执行渲染后，将渲染的结果以图像的方式传到用户端浏览器上显示。 可管控限制用户在浏览器内执行有风险的操作，包括限制下载、上传、复制粘贴、键盘输入和打印功能。 零信任可安全连通内网进行身份认证、权限管控，提供完整链路访问。

步骤说明 在目标VPC中的ECS实际中添加入方向安全组规则，用于放行私网NAT过来的访问流量。 操作步骤 具体操作参见添加安全组规则。 步骤九：测试连通性 步骤说明 我们通过验证弹性云主机是否可以通过私网NAT网关访问另一个VPC的ECS服务，来测试网络连通性。 操作步骤 1. 登录天翼云控制台，选择”计算>弹性云主机”。 2. 进入弹性云主机控制台，选择准备工作中创建的弹性云主机，点击右侧“远程登录”登录弹性云主机。 3. 登录完成，通过nc访问的云资源DNAT后的地址及端口，测试云主机是否能够通过私网NAT网关访问。 说明弹性云主机可以通过转换后的中转IP地址，实现重叠地址段的服务访问。

本节介绍了配置CloudInit工具的操作场景、前提条件、配置步骤说明等内容。 操作场景 CloudInit工具安装完成后，请参考本节操作配置CloudInit工具。 前提条件 已安装CloudInit工具。 已为云主机绑定弹性公网IP。 已登录云主机。 云主机的网卡属性为DHCP方式。 配置步骤说明 包含如下两步操作： 1. 配置CloudInit工具。 具体操作请参考下文“配置CloudInit工具”。 2. 检查CloudInit工具相关配置是否成功。 具体操作请参考下文“检查CloudInit工具相关配置是否成功”。 配置CloudInit工具 1. 用户可以根据需要根据用户类型配置登录云主机的用户权限。使用root账户登录，需要开启root用户的ssh权限，并开启密码远程登录。 − 若用户选择注入密码，则通过自己注入的密码进行远程SSH或noVNC登录。 − 若用户选择注入密钥，则通过自己注入的密钥进行远程SSH登录。 执行以下命令，在vi编辑器中打开“/etc/cloud/cloud.cfg”。 vi /etc/cloud/cloud.cfg 2. （可选）在“/etc/cloud/cloud.cfg”中配置“applynetworkconfig”为“false”。 对于使用CloudInit 18.3及以上版本的用户，需执行本操作。 配置示例 3. 设置开放root密码远程登录并开启root用户的ssh权限。以CentOS 6.7系列操作系统为例，配置文件中的“disableroot”字段为“1”表示为禁用，为“0”表示不禁用（部分OS的CloudInit配置使用“true”表示禁用，“false”表示不禁用）。设置“disableroot”值为“0”，“sshpwauth”为“1”，“lockpasswd”设置为“false”，“false”表示不锁住用户密码。 users: name: root lockpasswd: False disableroot: 0 sshpwauth: 1 4. 开启机器名更新机制，请勿注释或删除“ updatehostname”语句。 cloudinitmodules: migrator bootcmd writefiles growpart resizefs sethostname updatehostname updateetchosts rsyslog usersgroups ssh 5. 执行以下命令，在vi编辑器中打开“/etc/ssh/sshdconfig”。 vi /etc/ssh/sshdconfig 6. 将“sshdconfig”中的“PasswordAuthentication”的值修改为“yes”。 说明： 如果是SUSE和openSUSE操作系统，需要同时配置“sshdconfig”文件中的以下两个参数为“yes”。 PasswordAuthentication ChallengeResponseAuthentication 7. 确保删除镜像模板中已经存在的linux账户和“/home/linux”目录。 userdel linux rm fr /home/linux 8. 配置agent访问OpenStack数据源。 在“/etc/cloud/cloud.cfg”最后一行添加如下内容，配置agent访问OpenStack数据源。 datasourcelist: [ OpenStack ] datasource: OpenStack: metadataurls: [' maxwait: 120 timeout: 5 说明： maxwait和timeout可由用户自定义是否需要配置，上述回显信息中maxwait和timeout的取值仅供参考。 当操作系统版本低于Debian8、CentOS 5时，不支持配置agent访问OpenStack数据源。 CentOS、EulerOS操作系统云主机必须要禁用默认的zeroconf路由，以便精确访问OpenStack数据源。 echo "NOZEROCONFyes" >> /etc/sysconfig/network 9. 在配置文件“/etc/cloud/cloud.cfg”中禁用CloudInit接管网络。 当CloudInit版本等于或高于0.7.9版本时，在配置文件“/etc/cloud/cloud.cfg”中增加如下内容，禁用CloudInit接管网络。 network: config: disabled 说明： 增加的内容需严格按照yaml格式进行配置。 禁用CloudInit接管网络 10. 在配置文件“/etc/cloud/cloud.cfg”中补充如下内容。 manageetchosts: localhost 防止启动云主机时，系统长时间卡在“Waiting for cloudResetPwdAgent”状态。 新增manageetchosts:localhost 11. 修改配置文件“cloudinitmodules”。 在“cloudinitmodules”中将ssh从最后提前到第一位处理，提高云主机ssh登录速度。 提高云主机ssh登录速度 12. 修改以下配置使得镜像创建的云主机主机名不带“.novalocal”后缀且主机名称中可以带点号。 a. 执行如下命令，修改 “init.py”文件。 vi /usr/lib/python2.7/sitepackages/cloudinit/sources/init.py 按“i”进入编辑模式，根据关键字toks查询，修改内容如下回显信息所示。 if toks: toks str(toks).split('.') else: toks ["ip%s" % lhost.replace(".", "")] else: toks lhost.split(".novalocal") if len(toks) > 1: hostname toks[0]

本章节会介绍关系型数据库的定义以及包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台，让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 Microsoft SQL Server Microsoft SQL Server是老牌商用级数据库，成熟的企业级架构，轻松应对各种复杂环境。一站式部署、保障关键运维服务，大量降低人力成本。被广泛应用于政府、金融、医疗、教育和游戏等领域。云数据库SQL Server具有即开即用、稳定可靠、安全运行、弹性伸缩、轻松管理和经济实用等特点。 拥有高可用架构、数据安全保障和故障秒级恢复功能，提供了灵活的备份方案。

本文介绍了云防火墙(原生版)产品入侵防御的防护配置功能。 云防火墙（原生版）的入侵防御功能支持防护网络攻击，可以实时检测并拦截恶意端口扫描、暴力破解、远程代码执行、漏洞利用等云上常见等网络攻击，避免服务器被挖矿或勒索。 防护配置 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“入侵防御 > 防护配置”。 3. 在页面上方切换云防火墙实例。 4. 配置防护模式。 观察模式：针对攻击行为仅记录及告警，不拦截。 拦截模式：自动拦截攻击行为，并记录且告警。 5. 高级设置。 虚拟补丁：针对可被远程利用的高危漏洞，应急漏洞，在网络层提供热补丁，实时拦截漏洞攻击行为，避免修复主机漏洞时对业务产生的中断影响。 DDoS防护：针对常见DDoS攻击进行实时自动防御。 病毒防护：通过病毒特征检测来识别病毒文件并产生日志。 6. 创建白名单。 说明 部分实例不支持使用白名单功能。 参数名称 参数说明 名称 自定义名单名称。名称长度不能超过100个字符。 IP版本 支持IPv4、IPv6。 源IP地址 根据所选IP版本，输入对应的IP地址或使用已添加的地址簿： 输入IP：使用“/”隔开掩码。 注意 添加出向规则时，源IP地址配置请配置弹性IP所绑定的内网IP，切勿直接配置弹性IP地址，否则规则无法正常生效。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见[添加IP地址簿](

本节主要介绍远程协助的错误码。 HTTP status 错误码 错误信息 描述 :::: 400 CanNotConnectToServer Can not connect to the server IP [:port]. 无法连接指定的服务器。 400 InvalidHost The host is invalid. host无效。 400 MissingRemoteAccessHost Value null at 'host' failed to satisfy constraint: Argument must not be null. 启用远程协助时，host不能为空。 404 NoSuchRemoteAccessConfiguration Remote access is not configured. 没有配置远程协助。 409 RemoteAccessAlreadyEnabled Remote access to the Host :Port has been enabled, and the remote access code is: CODE. If you want to change the Host and Port, please disable the remote access first. 已经启用了远程协助，再次启用时Host、Port和第一次填写的不一致。

步骤七：验证连通性 1. 登录天翼云控制台，选择“计算>弹性云主机”。 2. 进入弹性云主机控制台，选择准备工作中创建的不带弹性IP的弹性云主机，点击右侧“远程登录”登录弹性云主机。 3. 登录完成，通过ping外网地址，例如ctyun.cn，测试云主机是否能够通过NAT网关访问公网。 可以ping通，说明网络连通。 4. 执行curl 5. 经测试，该IP地址即为SNAT IP地址池中随机的EIP。

本节主要介绍如何使用API删除远程协助。 此操作用来删除远程协助配置。 说明 如果不填写serverId，表示删除当前被请求的服务器的远程协助配置。 请求语法 plaintext DELETE /rest/v1/system/config/remoteAccess/serverId HTTP/1.1 Date: date Host: ip:port Authorization: authorization 请求示例 删除远程协助配置。 plaintext DELETE /rest/v1/system/config/remoteAccess/hblock1 HTTP/1.1 Date: Thu, 17 Mar 2022 09:37:30 GMT Authorization: HBlock userName:signature Host: 192.168.0.121:1443 响应示例 plaintext HTTP/1.1 204 No Content xhblockrequestid: a4e3bc5f38a24992ab70da684388d6f6 Connection: keepalive Date: Thu, 17 Mar 2022 09:37:30 GMT Server: HBlock