网络 参数 参数说明 区域 集群的工作区域。 可用区 显示创建集群时所选择的可用区信息。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 DWS集群创建成功后，其虚拟私有云将不能更改为其他的虚拟私有云，但是您可以编辑和修改当前的虚拟私有云。单击此处的虚拟私有云名称，进入虚拟私有云详情页面，您可以对虚拟私有进行设置。有关虚拟私有云的详细操作，请参见《虚拟私有云》帮助文档中的“虚拟私有云VPC管理”和“子网管理”章节。 子网 子网信息，创建集群时所选。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 DWS集群创建成功后，其子网将不能更改为其他子网，但是您可以编辑和修改当前的子网。单击此处的子网名称，进入子网详情页面，您可以对子网进行设置。有关子网的详细操作，请参见《虚拟私有云》帮助文档中的“虚拟私有云VPC管理”和“子网管理”章节。 安全组 显示创建集群时所选择的安全组信息。 DWS集群创建成功后，其安全组将不能更改为其他安全组，但是您可以编辑和修改当前的安全组，在当前的安全组中添加、删除或修改安全组规则。 单击此处的安全组名称，进入安全组详情页面，您可以对安全组进行设置。有关安全组的详细操作，请参见《虚拟私有云》帮助文档中的“安全组”章节。

通过内网连接实例 以Linux操作系统为例，指导您通过内网IP连接GeminiDB Redis实例。 使用须知 目标实例必须与弹性云主机在同一个虚拟私有云和子网内才能访问。 弹性云主机必须处于目标实例所属安全组允许访问的范围内。 场景一： 如果目标实例所属安全组为 默认安全组 ，则无需设置安全组规则。 场景二： 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，需要在实例安全组添加一条“入”的访问规则。 设置安全组的具体操作请参考设置安全组规则。 前提条件 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机用户指南》中“创建并登录弹性云主机”的内容。 注意 弹性云主机必须和实例在同一个虚拟私有云和子网内才能访问。 下载Redis客户端安装包。 内网IP连接 1. 登录弹性云主机，详情请参见《弹性云主机用户指南》中“创建并登录弹性云主机”的内容。 2. 将Redis客户端安装包上传到弹性云主机。 3. 解压客户端工具包。 tar xzf redis5.0.7.tar.gz 4. 在“src”目录下，连接数据库实例。 cd redis5.0.7 make cd src ./rediscli h p a 示例： ./rediscli h 192.168.xx.xx p 8635 a 参数 说明 待连接实例的内网IP。 您可以在“实例管理”页面，单击实例名称，进入“基本信息”页面，在节点信息列表中获取“内网IP”。 如果您创建的实例有多个节点，选择其中任意一个节点的内网IP即可连接GeminiDB Redis实例。 待连接实例的端口，一般默认为8635，具体请以实际端口为准。 获取实例端口的方法如下： 在“实例管理”页面，单击实例名称，进入“基本信息”页面，在“网络信息 > 数据库端口”处获取当前实例的端口信息。 创建GeminiDB Redis实例时设置的管理员密码。 5. 出现如下信息，说明连接成功。 IP:port> 通过公网连接实例 GeminiDB Redis支持使用弹性云主机或本地设备，通过公网连接GeminiDB Redis实例。

检查安全组规则 Ping使用的是ICMP协议，请检查云主机对应的安全组是否放通了“入方向”的“ICMP”规则。 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，单击待变更安全组规则的弹性云主机名称。 系统跳转至该弹性云主机详情页面。 4. 选择“安全组”页签，展开安全组，查看安全组规则。 5. 单击安全组ID。 系统自动跳转至安全组页面。 6. 在入方向规则页签，单击“添加规则”，添加入方向规则。 表 安全组规则 方向 类型 协议和端口 源地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 7. 单击“确定”，完成安全组规则配置。 检查防火墙设置 如果云主机开启了防火墙，需要检查防火墙对Ping规则是否有限制。 Linux系统云主机 1. 执行以下命令查看防火墙状态，以CentOS 7操作系统为例。 Firewallcmd state 回显信息显示“running”代表防火墙已开启。 2. 查看云主机内部是否有安全规则所限制。 iptables L 回显信息如下图所示说明没有ICMP规则没有被限制。 图 查看防火墙规则 如果ICMP规则被限制，请执行以下命令启用对应规则。 iptables A INPUT p icmp icmptype echorequest j ACCEPT iptables A OUTPUT p icmp icmptype echoreply j ACCEPT

本节介绍云等保专区的产品优势。 安全合规 遵照等保2.0要求，结合云平台业务特性设计，满足合规要求。 按需交付 为不同的云使用者提供适合自身业务需求的安全能力。 统一管理 实现云管以及安全管理平台的统一，避免用户使用多重管理界面，降低安全运维管理压力。 一站式等保 提供多种不同厂商丰富的云安全原子能力，满足租户等保合规诉求，一站式等保合规。 满足XC要求 云等保专区方案全面适配XC环境，兼容主流的芯片和操作系统，实现一云多芯的安全服务能力。

托管检测与响应服务（原生版）服务能力、计费方式、核心能力等相关问题描述。 托管检测与响应服务是什么？ MDR，Managed Detection and Response Service，也称为安全检测与响应服务，在云计算中，安全托管检测与响应服务（MDR）是指用户外包给云提供商的网络安全服务。根据最近的行业研究，大多数组织（74％）有内部管理IT安全，但82％的IT专业人员表示他们已经与托管安全服务提供商建立了伙伴关系，或计划与之合作。企业转向安全托管检测与响应服务提供商可以减轻他们每天面临的与信息安全有关的压力，例如针对性云安全攻击事件，云安全运营经验不足，客户数据窃取，技能短缺和资源限制。 托管检测与响应服务能提供哪些能力？ 借助于用户在公有云多种环境中的网络安全设备与系统的日志数据和托管检测与响应服务平台能力，实现对用户在公有云中的网络安全运营工作的托管运营，减轻用户安全运营负担，提升用户公有云中业务系统的网络安全风险事件的响应与处置能力。 针对公有云提供丰富的网络安全运营服务，包括安全咨询、安全运营到应急响应等服务，充分满足用户在公有云上的合规与安全运营需求。 提供从云端EDR、合规处置工具到集成了SOAR能力的云端托管安全运营服务平台，满足公有云环境中的安全产品使用需求。 基于云上安全服务的最佳配置实践，为用户提供全面的安全评估服务，提供安全加固建议，并协助用户完成加固操作。

支持审计的关键操作列表 事件来源 资源类型 操作事件 字段 安全 数据库审计 实例删除 deleteVm 安全 数据库审计 查询实例列表 queryVoList 安全 数据库审计 更新实例备注 updateVm 安全 数据库审计 实例关闭 halt 安全 数据库审计 实例开启 start 安全 数据库审计 查询VPC列表 getVpcList 安全 数据库审计 查询子网列表 getSubnetList 安全 数据库审计 查询安全组列表 getSecurityList 安全 数据库审计 查询弹性IP列表 getEipList 安全 数据库审计 更新实例弹性IP eipUpdate 安全 数据库审计 查询可用区列表 getZoneList 查看云审计事件 1. 开通云审计服务。 具体操作请参见开通云审计服务云审计。 2. 在事件列表中，上方时间选择需要筛选的时间段，筛选条件选择事件来源 为“安全”，资源类型选择“数据库审计”，单击“查询”即可。 3. 在审计事件右侧点击“查看详情”，可以看到更详细的事件信息。 详细操作参见查看审计事件云审计。更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本文介绍了集群安全组规划配置的用户指南。 云容器引擎作为通用的容器平台，需配置适用于 Kubernetes 集群的安全组。创建集群时，支持选择默认新增和使用已有安全组。 选择默认新增会为 Master 节点和 Worker 节点共同创建一个安全组，安全组名称是：securitygroup{vpcID}。用户可以根据安全要求，登录天翼云控制台，点击产品 > 网络 > 虚拟私有云，在控制台左侧点击访问控制 > 安全组，根据名称找到对应安全组规则进行修改。 选择使用已有安全组，请参考集群自动创建的默认安全组规则放通指定端口，以确保集群中的正常网络通信。 安全组规则说明 方向 端口 协议 默认源/目的地址 说明 优先级（取值越小优先级越高） 是否支持修改 入方向规则 全部 TCP + UDP 198.19.128.0/20 VPCE内网地址段 99 不可修改 入方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 入方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 入方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 入方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP 169.254.169.254/32 主机元数据服务地址 99 不可修改 出方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 出方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 出方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 出方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP + UDP 0.0.0.0/0 默认全部放通，不建议修改 100 可修改 出方向规则 全部 TCP + UDP 0:0:0:0:0:0:0:0/0 默认全部放通，不建议修改 100 可修改

本文介绍如何环境设置。 集群创建前，需要完成对VPC、子网及安全组的设置，本章节介绍如何完成集群的环境设置。 步骤一：创建虚拟私有云 您需要创建虚拟私有云(Virtual Private Cloud，以下简称VPC)，提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化用户的网络部署。如果用户已有VPC，可重复使用，不需多次创建。关于创建VPC的详细信息可以参考虚拟私有云创建虚拟私有云VPC。 步骤二：创建子网 创建子网之前需要提前创建好虚拟私有云，如果用户已有子网，可重复使用，不需多次创建。关于子网创建的详细信息可参考虚拟私有云创建子网。 步骤三：设置安全组 设置安全组之前需提前创建好安全组。配置时需要在出方向、入方向分别添加允许6443、9080、9443、2379、2380端口的设置，关于安全组设置的详细信息可参见虚拟私有云安全组配置示例。

结果验证 安全组规则配置完成后，我们需要验证对应的规则是否生效。假设您在弹性云主机上部署了网站，希望用户能通过TCP（80端口）访问到您的网站，您添加了一条入方向规则，如下表所示。 表 安全组规则 方向 协议/应用 端口 源地址 :::: 入方向 TCP 80 0.0.0.0/0 Linux弹性云主机 Linux弹性云主机上验证该安全组规则是否生效的步骤如下所示。 1.登录弹性云主机。 2.运行如下命令查看TCP 80端口是否被监听。 netstat an grep 80 如果返回结果如下图所示，说明TCP 80端口已开通。 Linux TCP 80端口验证结果 3.在浏览器地址栏里输入“ 如果访问成功，说明安全组规则已经生效。 Windows弹性云主机 Windows弹性云主机上验证该安全组规则是否生效的步骤如下所示。 1. 登录弹性云主机。 2. 选择“开始 > 附件 > 命令提示符”。 3. 运行如下命令查看TCP 80端口是否被监听。 netstat an findstr 80 如果返回结果如下图所示，说明TCP 80端口已开通。 Windows TCP 80端口验证结果 4. 在浏览器地址栏里输入“ 如果访问成功，说明安全组规则已经生效。

参数 描述 虚拟私有云 实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您可根据需要创建或选择所需的虚拟私有云。 说明 目前云数据库GaussDB(for Redis)实例创建完成后不支持切换虚拟私有云VPC，请谨慎选择所属虚拟私有云。如需与ECS进行内网通信，云数据库GaussDB(for Redis)实例与需要通信的ECS需要处于同一个虚拟私有云下，或者不同虚拟私有云之间配置对等连接。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 说明 目前不支持选择IPV6网段的子网，建议您在使用时创建并选择IPV4网段的子网。 内网安全组 安全组限制安全访问规则，加强云数据库GeminiDB Redis与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。如果没有可用的安全组，系统自动为您分配资源。 IPv6 启动IPv6后，可通过IPv6地址连接实例。 说明 当所选可用区、规格和子网均支持IPv6，实例才支持开启IPv6。

步骤二：网络配置 网络配置 1. 设置“网络”：在下拉列表中选择可用的虚拟私有云、子网，并设置私有IP地址的分配方式。 弹性云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。 您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。 更多关于虚拟私有云的信息，请参见《虚拟私有云用户指南》。 说明 弹性云主机使用的VPC网络DHCP不能禁用。 第一次使用公有云服务时，系统将自动为您创建一个虚拟私有云，包括安全组、网卡。 2. 添加“扩展网卡”：可选配置。您可以添加多张扩展网卡，并指定网卡（包括主网卡）的IP地址。 说明 指定IP地址时，如果是批量创建多台弹性云主机： 此时，该IP地址为起始IP地址。 请确保IP地址在子网范围内且连续可用。 其他子网不能与指定IP的子网相同。 − 系统默认分配IPv4地址，勾选“自动分配IPv6地址”后，网卡支持双栈类型，分配IPv4/IPv6双栈地址。在同一VPC内，弹性云主机通过IPv6地址在双栈ECS之间进行内网访问。如需访问外网，您需要开启“IPv6带宽”并选择共享带宽，此时弹性云主机可以通过IPv6地址与互联网上的IPv6网络进行访问。 弹性云主机创建成功后，需手动配置弹性云主机，动态获取IPv6地址，启用IPv6功能。具体操作请参见“动态获取IPv6地址”。 说明 当前仅支持在创建弹性云主机时开启IPv6功能，开启成功后，不能修改。 3. 设置“安全组”：在下拉列表中选择可用的安全组，或新建安全组使用。 安全组用来实现安全组内和安全组间弹性云主机的访问控制，加强弹性云主机的安全保护。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 创建弹性云主机时，可支持选择多个安全组（建议不超过5个）。此时，弹性云主机的访问规则遵循几个安全组规则的并集。 安全组规则的配置会影响弹性云主机的正常访问与使用，常用端口与协议的用途如下，请按需开启： − 80端口：浏览网页的默认端口，主要用于HTTP服务。 − 443端口：网页浏览端口，主要用于HTTPS服务。 − ICMP协议：用于ping云主机之间的通信情况。 − 22端口：用于Linux云主机的SSH方式登录。 − 3389端口：用于Windows云主机的远程桌面登录。 说明 弹性云主机初始化需要确保安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16 4. 设置“弹性公网IP”。 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。 您可以根据实际情况选择以下三种方式： − 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 − 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 − 使用已有：为弹性云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建弹性云主机。 5. 设置“公网带宽”。 “弹性公网IP”选择“现在购买”时，需配置该参数。其中“按带宽计费”和“按流量计费”均为独享带宽，一个带宽只能被一个弹性公网IP使用。 − 按带宽计费：按照购买的带宽大小计费。 − 按流量计费：按照实际使用的流量来计费。 说明 “包年/包月”方式购买的弹性云主机EIP，仅支持“按带宽计费”方式。 − 加入共享带宽：一个带宽中可以加入多个弹性公网IP，多个弹性公网IP共用一个带宽。 说明 一个共享带宽支持添加的弹性公网IP个数有限，如果配额不足，可以选择切换使用其他共享带宽，或者申请扩大共享带宽的EIP配额。 包年/包月方式购买的共享带宽，到期后系统自动删除，并给该共享带宽中添加的EIP创建按流量计费的独占带宽。 6. 设置“带宽大小”。根据业务需要，选择所需的带宽大小，单位Mbit/s。 7. 设置“释放行为”。（苏州、广州4资源池支持）对于勾选了“随实例释放”的弹性IP，将在删除云主机同时执行删除。

本文主要介绍如何更改辅助弹性网卡所属安全组。 操作场景 辅助弹性网卡创建完成后，您可以更改其所属的安全组。 更改辅助弹性网卡所属的安全组有两种方法： 在辅助弹性网卡列表中进行更改。 进入辅助弹性网卡详情页进行更改。 操作步骤 在辅助弹性网卡列表中，更改所属安全组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在“弹性网卡”页面，选择“辅助弹性网卡”页签。 5. 在辅助弹性网卡列表中，单击操作列的“更改安全组”。 6. 在“更改安全组”页面勾选需要关联的安全组。 7. 单击“确定”，完成更改。 在辅助弹性网卡详情页，更改所属安全组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在“弹性网卡”页面，选择“辅助弹性网卡”页签。 5. 单击待修更改安全组的辅助弹性网卡的“私有IP地址”，进入辅助弹性网卡详情页。 6. 在“关联安全组”页签下，单击“更改安全组”。 7. 在“更改安全组”页面勾选需要关联的安全组。 8. 单击“确定”，完成更改。

进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“主机安全 > 主机安全v1.0”，进入主机安全v1.0资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到主机安全v1.0控制台。 使用主机安全v1.0 了解更多主机安全v1.0相关操作内容，请下载阅读《云等保专区主机安全 v1.0 用户指南》。

参数 描述 虚拟私有云 关系数据库MySQL版实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意： 目前关系数据库MySQL版实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系数据库MySQL版实例的子网默认开启DHCP功能，不可关闭。 创建实例时关系数据库MySQL版会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系数据库MySQL版服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系数据库MySQL版服务默认为您分配内网安全组资源。

本节介绍安全云应用的产品介绍。 产品简介 安全云应用是一种基于天翼云托管的应用程序流式传输服务，通过天翼云自研的clink传输协议，将音视频、图像、外设等信息传输到用户的远程设备上，实现跨平台、安全、易用的应用程序访问。 注意 目前安全云应用功能仅在部分资源池（石家庄3、郴州2、佛山3）开放，如当前资源池的AI云电脑（政企版）控制台没有安全云应用的功能菜单，请联系运维客服进行开通（运维客服邮箱：clouddesktop@chinatelecom.cn）。 应用场景 国产化转型 在国产操作系统上无缝运行Windows应用，确保用户业务系统的连续性，轻松实现国产化转型。 安全办公场景 远程访问应用，内外网隔离，兼顾外网访问需求的同时，最大限度保证用户数据安全。 支持的操作系统 服务桌面：承载云应用运行的AI云电脑，支持Windows Server 2019 用户桌面：用户使用的国产化AI云电脑，统信V20, 麒麟V10，中科方德 产品规格 规格类型 功能适用 规格参数 系统支持 基础版 适用于简单办公、文档编辑、客户服务等场景 2C4G 80G系统盘 Windows 标准版 适用于视频娱乐，在线会议，OA办公等场景 4C8G 80G系统盘 Windows 旗舰版 适用于高效办公，开发设计，视频监控等场景 8C16G 80G系统盘 Windows

FTP防火墙故障的解决步骤 1. 在开始中搜索IIS，在Internet信息服务（IIS）管理器界面中找到FTP防火墙设置。 图5 打开FTP站点的防火墙 2. 双击FTP防火墙支持，设置数据通道端口范围（可指定的有效端口范围是102565535），防火墙的外部IP地址中输入该云主机的公网IP地址，设置完成后点击右侧的应用。 图6 调整FTP防火墙中的数据通道端口范围 3. 重启云主机使FTP防火墙配置生效。 云主机设置安全组及防火墙 在云主机内搭建好FTP站点后，需要在云主机安全组的入方向添加一条放行FTP端口的规则，请按以下步骤进行操作。 1. 进入弹性云主机的管理控制台页面，进入云主机控制台，在顶端菜单栏处选择云主机所在的地理区域，在云主机列表中找到内部搭建了FTP的云主机，点击云主机的名称进入详情页面。 图7 打开云主机的安全组 2. 在云主机详情页面，选择“安全组”，点击云主机当前的安全组，确定安全组入口规则中有TCP协议的开放端口中涵盖了本文中“FTP防火墙故障的解决步骤”中步骤2指定的端口范围。如无请按本文中“云主机安全组规则添加的解决步骤”进行处理。

检查CBH系统环境是否配置合理 1. 登录云堡垒机系统，检查纳管资源IP地址、端口等是否设置正确。 2. 检查资源关联访问控制策略，是否设置IP限制。修改访问控制策略，解除对用户“来源IP”的限制。 3. 检查云堡垒机实例关联的安全组，排查安全组的端口配置是否合理。建议按照CBH推荐端口，重新配置CBH安全组。 用户若通过Web浏览器方式登录资源，请手动添加安全组规则TCP协议443入方向。 4. 检查云堡垒机所在内网关联的网络ACL ，排查ACL规则配置是否合理。 解除云堡垒机IP地址的访问限制，以及在“目的地址”中添加资源IP地址，允许云堡垒机访问资源。 5. 重新设置后，尝试重新通过CBH系统登录资源。 检查主机实例环境是否合理配置 1. 管理员登录主机实例管理控制台。 2. 检查主机资源是否与CBH实例在同一区域同一VPC环境下，CBH仅支持直接访问同一区域同一VPC下资源。 3. 检查主机实例关联的安全组规则，排查安全组规则配置是否合理。 解除对CBH的IP地址的访问限制，在源地址中添加CBH的IP地址，允许CBH访问资源。 4. 重新设置后，尝试重新通过CBH系统登录资源。 检查主机资源是否能接受CBH访问 1. 管理员直接登录主机资源。 2. 输入命令 route n ，检查主机的路由表，是否存在丢失CBH路由现象。 3. 检查主机登录方式及登录安全加固措施，建议从以下几个方面排查： 1. Linux云服务器SSH登录的安全加固 2. Windows弹性云服务器登录方式概述 3. Linux弹性云服务器登录方式概述 4. 解除安全加固的限制后，尝试重新通过CBH系统登录资源。 如果通过上述排查，仍然无法解决问题，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。 通过Web浏览器登录主机资源，报Code：C769错误怎么办？

本文帮助您快速熟悉修改安全组规则的操作场景和操作流程。 操作场景 当安全组规则创建成功后，针对不满足当前业务需求的访问控制规则，您可以选择修改规则操作，保障云服务器的安全及正常业务运行。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要复制规则的安全组，单击安全组名称进入详情页，进入安全组详情页。 6. 在“安全组”详情界面，选择安全组规则所属方向，找到需要修改的安全组规则所在行。 7. 单击操作列的“修改”，根据页面提示信息进行修改。安全组规则参数的详细介绍，请参见添加安全组规则页面。 8. 点击“确定”按钮。修改完成后，安全组中的云服务器将根据修改后的规则进行业务流量控制。

此小节介绍如何防止云堡垒机运维的服务器被绕过。 云堡垒机没有防绕过的功能，运维用户只要掌握服务器账号密码，即可直接登录服务器并运维。 为避免云堡垒机被绕过，需要设置服务器安全组，配置入方向仅对云堡垒机IP地址开放，拒绝其他地址访问，实现只通过云堡垒机登录的目的。 操作步骤 1. 登录管理控制台。 2. 在产品服务列表页，选择“网络 > 弹性IP”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在安全组界面找到服务器的安全组，单击安全组操作列的“添加规则”，进入安全组详情界面。 5. 在安全组详情界面，选择“入方向规则”页签，单击“添加规则”，弹出添加规则窗口。 6. 授权对象（源地址）配置为云堡垒机的IP地址。 7. 配置完成后，单击“确定”。

前提条件 已获取管理控制台的登录账号与密码。 已购买至少一个弹性公网IP（Elastic IP，EIP）。 注意 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。 购买步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 单击右上角的“购买堡垒机”，进入产品订购页。 4. 配置“云堡垒机实例”相关参数，参数说明如下。 参数 说明 计费模式 实例计费模式，仅支持“包年/包月”模式。 包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 地域/可用区 选择云堡垒机实例应用区域，即提供云堡垒机服务的区域。 建议根据待管理ECS、RDS等服务器上资源的区域选择，可以降低网络时延、提高访问速度。 部署架构 选择新购堡垒机的部署架构，目前支持：通用性x86、鲲鹏ARM、海光X86、飞腾ARM。 实例类型 支持“单机版”和“主备版”。 可用区 实例类型选择“主备版”时，可以分别为主节点和备节点选择不同的可用区。 实例名称 自定义云堡垒机实例名称。 长度为215字符，以字母开头，可包含数字、“.”、“”、“”，不可包含中文。 版本 目前支持“标准版”和“企业版”，各版本支持的功能请参见功能特性。 资产规格 选择需要纳管的资产数，堡垒机在不同资源池版本支持的资产数略有不同，请根据实际需要选择。 支持10/20/50/100/200/500/1000/2000/5000/10000资产规格。 企业项目 选择堡垒机实例所属的企业项目。 说明 订购完成后，企业项目不支持修改。 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 注意 默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 云堡垒机支持直接管理同一区域同一VPC网络下的ECS等资源，通过堡垒机纳管资源后，可直接访问并管理对应的资源。 订购完成后，虚拟私有云不支持修改。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 说明 一个安全组为同一个VPC网络内具有相同安全保护需求、并相互信任的堡垒机资源提供访问策略。当云堡垒机加入安全组后，即受到该安全组中访问规则的保护。 云堡垒机可与资源主机ECS等共用安全组，各自调用安全组规则互不影响。 如需修改安全组，请参见更改安全组。 子网 选择当前VPC内子网。 说明 子网选择必须在VPC的网段内。 弹性IP （可选）选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 存储扩容 根据您业务自身的需求选择需要扩容的数据盘大小。 5. 选择“购买时长”，可按月或按年购买云堡垒机。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 6. 确认参数配置无误后，阅读并同意相关协议，单击“立即购买”。 7. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

方式2：通过云镜像市场创建云主机部署OpenClaw 说明 以下资源池支持使用方式2部署： 西南1、华南2 。 1. 登录天翼云官网，进入天翼云控制台计算控制台弹性云主机，点击“创建云主机”按钮。 2. 云主机配置。 CPU架构选择“X86计算”，规格分类选择“经济型”，云主机规格推荐使用【经济型 e.large.2】的规格。 注意 仅经济型（E）实例支持通过公有云生态专区应用进行应用配置。 镜像类型选择云镜像市场/应用镜像，并选取“OpenClawv2026.3.13Ubuntu24.04”镜像。 点击“下一步：网络配置”。 3. 网络配置。 点击“创建安全组”按钮，跳转至网络控制台安全组页面。 点击“创建安全组”按钮，在弹窗中模板下拉菜单选择“通用Web服务器”。 点击“确定”，完成安全组创建。返回云主机订购页面，点击“选择安全组”按钮，在安全组列表中勾选刚才创建的安全组。 弹性IP选择“自动分配”，根据需要选择带宽大小。为确保OpenClaw顺畅运行，建议带宽选择5M以上。 注意 通过订购云主机部署OpenClaw时，请确保： 1. 云主机已绑定弹性IP，否则OpenClaw应用将无法通过WebUI访问，也无法通过公有云生态专区应用页面进行模型、通道、技能等配置。 2. 云主机已绑定安全组，且入方向规则开放端口18789，否则无法在公有云生态专区进行应用配置。 4. 根据提示完成高级配置，点击“下一步：确认配置”。确认配置无误后，点击“立即购买”。 5. 完成支付后，返回[云主机控制台](

此小节介绍云堡垒机相关术语。 云堡垒机 云堡垒机是用于提供云计算安全管控的系统和组件，可以实现对运维资源的4A全面安全管控。云堡垒机包含用户管理、资源管理、策略、审计和工单等功能模块，支持对Windows或Linux等操作系统的主机提供安全管控保护。云堡垒机是集统一资产管理与单点登录、多种终端访问协议、文件传输功能于一体的运维安全管理与审计产品。 资产数 资产数表示云堡垒机管理的虚拟机等设备上运行的资源数，资源数是同一个虚拟机对应的需要运维的协议和应用总数。 并发数 并发数是指云堡垒机上同一时刻连接的运维协议连接数。 实例 实例是 Kubernetes 部署应用或服务的最小的基本单位。 云堡垒机实例 一个云堡垒机实例代表了一个独立运行的云堡垒机系统。 云堡垒机系统 云堡垒机系统是云堡垒机实际运维功能核心，后台采用EulerOS操作系统，包含用户管理、资源管理、策略、审计和工单等功能模块，支持对Windows或Linux等操作系统的主机提供安全管控保护。 区域 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。

通过ECS访问FusionInsight Manage 1. 在MRS管理控制台，单击“集群列表”。 2. 在“现有集群”列表中，单击指定的集群名称。 记录集群的“可用区”、“虚拟私有云”、“集群管理页面”、“安全组”。 3. 在管理控制台首页服务列表中选择“弹性云主机”，进入ECS管理控制台，创建一个新的弹性云主机。 弹性云主机的“可用区”、“虚拟私有云”、“安全组”，需要和待访问集群的配置相同。 选择一个Windows系统的公共镜像。例如，选择一个标准镜像“Windows Server 2012 R2 Standard 64bit(40GB)”。 其他配置参数详细信息，请参见“弹性云主机 > 用户指南 > 快速入门 > 创建并登录Windows弹性云主机”。 说明 如果ECS的安全组和Master节点的“默认安全组”不同，用户可以选择以下任一种方法修改配置： 将ECS的安全组修改为Master节点的默认安全组，请参见“ 用户指南 > 安全组 > 更改安全组”。 在集群Master节点和Core节点的安全组添加两条安全组规则使ECS可以访问集群，“协议”需选择为“TCP”，“端口”需分别选择“28443”和“20009”。请参见“虚拟私有云 > 用户指南 > 安全性 > 安全组 > 添加安全组规则”。 4. 在VPC管理控制台，申请一个弹性IP地址，并与ECS绑定。 具体请参见“虚拟私有云>用户指南 > 弹性公网IP > 为弹性云主机申请和绑定弹性公网IP”。 5. 登录弹性云主机。 登录ECS需要Windows系统的帐号、密码，弹性IP地址以及配置安全组规则。具体请参见“弹性云主机 > 用户指南 > 实例 > 登录弹性云主机 > 登录Windows弹性云主机”。 6. 在Windows的远程桌面中，打开浏览器访问Manager。 例如Windows 2012操作系统可以使用Internet Explorer 11。 Manager访问地址为“集群管理页面”地址。访问时需要输入集群的用户名和密码，例如“admin”用户。 如果使用其他集群用户访问Manager，第一次访问时需要修改密码。新密码需要满足集群当前的用户密码复杂度策略。请咨询管理员。 默认情况下，在登录时输入5次错误密码将锁定用户，需等待5分钟自动解锁。 7. 注销用户退出Manager时移动鼠标到右上角 ，然后单击“注销”。

本页为其他云MySQL迁移到RDS for MySQL时如何创建VPC和安全组的介绍。 创建安全组 操作场景 您可以创建安全组并定义安全组中的规则，比如，将VPC中的划分成不同的安全域，以提升访问的安全性。建议您将不同公网访问策略的划分到不同的安全组。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在“安全组”界面，单击“创建安全组”。 5. 在“创建安全组”界面，根据界面提示配置参数。 6. 单击“确定”。 创建虚拟私有云VPC 操作步骤 1. 登录控制中心，在系统首页，单击【网络 > 虚拟私有云】。 2. 在【虚拟私有云列表】界面，单击【创建虚拟私有云】。 3. 在【申请虚拟私有云】页面，根据界面提示配置参数。 参数说明如下表： 4. 参数 说明 取值样例 名称 VPC名称。 VPC001 网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。 目前支持的网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624 192.168.0.0/16 子网名称 子网的名称。 subnet001 子网网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 网关 子网的网关。 192.168.0.1 开启IPv6 开启IPv6功能后，将自动为VPC分配IPv6网段，当VPC下所有子网均关闭IPv6后，才能关闭VPC的IPv6功能。 注：如果需要通过IPv6与公网互通，请购买IPv6带宽或共享带宽，并将需要通公网的IPv6地址绑定到IPv6带宽或共享带宽。 5. 单击【立即创建】。

本文介绍配置安全组的入方向规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 弹性云主机是天翼云提供的云服务器。安全组（Security Group）是用于设置云服务器实例的网络访问控制的虚拟防火墙，一般是作为流量访问白名单存在，以下是一些ECS安全组的最佳实践： 开放原则 默认拒绝所有流量：新建的安全组规则默认情况下拒绝所有入站和出站流量，这是一种良好的安全实践。 仅开放必要的端口和协议，避免使用0.0.0.0/0规则：根据应用需求，只开放必要的端口和协议，例如HTTP（80端口）、HTTPS（443端口）等。避免开放不必要的端口，以减少攻击面。 分组原则 根据应用需求进行分组：根据应用程序或服务的需求，可以将安全组规则进行分组。例如，将Web服务器相关的规则放在一个Web层安全组中，数据库服务器相关的规则放在另一个Database层安全组中。这样可以更好地管理和组织安全组规则，暴露不同的出入规则和权限。 避免过度复杂化：尽量避免创建过多的安全组，以免管理和维护变得复杂。根据实际情况合理划分安全组，保持简洁和易于管理。 授权原则 基于最小权限原则：为安全组授权时，应遵循最小权限原则，仅授予实例所需的访问权限。只开放必要的端口和IP地址范围，避免授权过度，减少潜在的安全风险。 限制访问来源：根据实际需求，限制访问来源的IP地址或IP地址段。仅允许特定的IP地址或IP地址段访问云主机，以增加安全性。

本页面介绍云数据库ClickHouse在安全上的表现。 云数据库ClickHouse是一个高性能、可扩展的列式数据库管理系统，专为大规模数据分析和实时查询而设计。它具有出色的查询性能、高度并行化的架构以及卓越的数据压缩能力。云数据库ClickHouse支持标准SQL查询语言，并提供了各种强大的功能和灵活的数据处理选项，使用户能够快速分析大规模数据集。无论是在数据仓库、日志分析、实时报表还是大数据分析等领域，云数据库ClickHouse都是一个强大而可靠的选择。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 云数据库ClickHouse为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组等功能。这些特性可以帮助租户更好地管理和保护其数据库。 网络隔离 云数据库ClickHouse实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，云数据库ClickHouse会为租户分配此子网的 IP 地址，用于连接数据库。云数据库ClickHouse实例运行在租户独立的虚拟私有云内，可提升云数据库ClickHouse实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

本节介绍如何查看已创建的安全报告及其展示的信息。 查看/下载最新安全报告 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> 安全报告”，进入“安全报告”页面。 5. 单击目标报告的“获取最新报告”，跳转至“安全报告预览”页，可查看报告信息。 6. 如需下载，单击右下角的“下载”，可获取报告。 查看/下载历史安全报告 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> 安全报告”，进入“安全报告”页面。 5. 单击目标报告的“历史报告”，弹出“历史报告”，可查看报告列表。 6. 单击“操作”列的“获取报告”，可查看报告信息。 7. 如需下载，单击右下角的“下载”，可获取报告。

设置弹性云主机安全组规则 1.单击弹性云主机名称，查看弹性云主机详情，在弹性云主机详情页面，选择“安全组”。 2.在“安全组”界面，单击“更改安全组规则”，进入安全组详情界面。 3.在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 4.根据界面提示配置安全组规则。 部署JavaWeb环境需为弹性云主机添加两个安全组规则。 a.为云主机添加ICMP安全组规则。 如果云主机默认设置是禁止ICMP规则，当ping弹性服务器IP时会显示超时。因此首先为云主机添加ICMP规则。 图 添加ICMP规则 b.为云主机添加web项目分配端口的访问规则，以8080 端口为例。 图 添加8080端口 安装jdk 1.执行如下命令，进入jdk目录。 cd /home/webDemo/jdk 2.解压jdk安装包到jdk目录下。 tar xvf jdk17linuxx64bin.tar.gz C /home/webDemo/jdk/ 3.配置环境变量。 vi /etc/profile 4.在底部添加以下内容。 set java environment JAVAHOME/home/webDemo/jdk/jdk17.0.x JREHOME$JAVAHOME PATH$JAVAHOME/bin:$PATH CLASSPATH.:$JAVAHOME/lib/dt.jar:$JREHOME/lib/tools.jar export JAVAHOME JREHOME PATH CLASSPATH 说明： “jdk17.0.x”表示jdk安装包的具体版本，实际值需要从步骤2的返回值中获取。 例如：jdk17.0.3 5.执行以下命令保存并退出。 :wq 6.执行以下命令使/etc/profile里的配置生效。 source /etc/profile 7.验证安装。 java version 8.回显信息如下所示验证安装jdk成功。 [root@ecsc525web ~]

本小节介绍云下一代防火墙计费类常见问题。 云下一代防火墙安全产品有几个规格？ 下一代防火墙安全产品分为标准版、高级版和旗舰版，三个版本基本功能相同但性能不同，所需弹性云主机的配置也不同，上述三个版本均可购买额外的安全扩展功能，不同版本规格详细信息可参考规格。 云下一代防火墙安全产品各个版本有什么功能？ 云下一代防火墙安全产品有基础功能、防病毒、URL过滤、带宽管理、僵尸网络防护、IP信誉库和云沙箱等功能。 其中，基础功能包含入侵防御、应用识别、攻击防护、地址映射等功能，基础功能三个版本通用；标准版和高级版可扩展功能一致，能够扩展增加防病毒、URL过滤、带宽管理等功能；旗舰版可扩展防病毒、URL过滤、带宽管理、僵尸网络防护、IP信誉库和云沙箱全部功能。 云下一代防火墙是否可以按月计费？ 云下一代防火墙支持按月/按年计费，最低订购时长为1个月。 云主机和云下一代防火墙计费是否重复？ 云主机订购费用和云下一代防火墙的计费是不同步的，云主机计算属于资源计算，需要按照平台云主机计费标准；云下一代防火墙安全产品属于服务计费，会根据使用规格、时长、功能等项目进行计费。

本小节介绍云堡垒机运维登录远程桌面提示“ 网络连接错误”操作指导。 云堡垒机没有防绕过的功能，运维用户只要掌握服务器账号密码，即可直接登录服务器并运维。 为避免云堡垒机被绕过，需要设置服务器安全组，配置入方向仅对云堡垒机IP地址开放，拒绝其他地址访问，实现只通过云堡垒机登录的目的。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > 弹性ip”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 5. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口，规则配置中原地址配置云堡垒机的IP地址。

在云主机上搭建网站对外提供Web服务 安全组默认拒绝所有来自外部的请求，如果您在云主机上搭建了可供外部访问的网站，则您需要在安全组入方向添加对应的规则，放通对应的端口，例如HTTP(80)、HTTPS(443)。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 80 IP地址：0.0.0.0/0 入方向 1 允许 IPv4 自定义TCP: 443 IP地址：0.0.0.0/0 注意 端口80、443需要在天翼云备案中心完成备案后，才可放开流量通路。 使用ping命令验证网络连通性 ICMP协议用于网络消息的控制和传递，因此在进行一些基本测试操作之前，需要开通ICMP协议访问端口。比如，您需要在某个人PC上使用ping命令来验证云主机的网络连通性，则您需要在云主机所在安全组的入方向添加以下规则，放通ICMP端口。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 ICMP：全部 IP地址：0.0.0.0/0 入方向 1 允许 IPv6 ICMP：全部 IP地址：::/0 实现不同安全组的实例内网网络互通 同一个VPC内，位于不同安全组内的实例网络不通。如果您需要在同一个VPC内的实例之间共享数据，比如安全组sgA内的云服务器访问安全组sgB内的MySQL数据库，您需要通过在安全组sgB中添加一条入方向规则，允许来自安全组sgA内云主机的内网请求进入。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sgA 注意 如果您通过中间网络实例在不同子网的实例之间转发流量，由于存在中间网络实例，此时安全组规则的源地址选择实例所在的安全组时，无法放通中间网络实例转发的流量，源地址必须设置成中间网络实例的私有IP地址或者子网网段。

参数 描述 虚拟私有云 TaurusDB数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离，以提高网络安全性。 您需要选择所需的虚拟私有云和子网。如果没有可选的虚拟私有云，TaurusDB会为您分配一个默认的虚拟私有云（defaultvpc），您也可以使用已有、新建VPC和子网。 须知 TaurusDB实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 内网安全组 内网安全组限制实例的安全访问规则，加强TaurusDB数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，TaurusDB数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。