本文带您了解AI Store的产品优势。 全域AI资产聚合 汇聚算力、模型、应用、MCP四大类AI资产，覆盖多种行业需求，实现"一站式"采购体验。 全栈工具链支持 提供从算力调度、模型推理、应用开发、工具调用到运维管理的全链路服务支持，灵活选择所需的AI能力组件，快速构建自身的AI应用。 多种交付模式融合 创新性地支持"公有云、专属云、私有化"三种交付模式，满足不同客户的多样化需求。 公有云：资源(包括服务器、存储、网络）、部署、安全与监控均由天翼云提供和控制，客户拥有使用权。适合业务波动大、弹性扩展、快速迭代的场景。 专属云：运行在物理隔离的专用硬件上，独享资源环境，性能、安全更有保障。既相对独立，又保留了云服务的便捷。 适合对性能和安全有较高要求的场景。 私有化：部署在客户自有数据中心，所有资源、数据、运维完全由客户控制和管理。适合对数据安全和合规有极高要求的场景，或核心业务系统和敏感数据处理的场景。 安全可信生态体系 所有上架的算力资源、模型服务、应用产品和MCP能力均经过严格的安全审核和合规认证，确保数据安全和主权可控 。

本文向您介绍如何设置安全的密码。 在设置密码时，用户应尽量将密码长度设置在8到30位，建议加入数字、大小写字母、特殊符号组成。用户还可以选择购买天翼云安全防护产品，进一步加强弹性云主机的安全防护。关于弹性云主机的相关安全问题，用户还可以通过提交工单的方式联系客服，我们会尽快给予用户相应技术支持。 密码设置规则 参数 规则 样例 密码 1、密码长度范围为8到30位。 2、密码至少包含以下4种字符中的3种：大写字母、小写字母、数字、 ()~!@$%^&+。 3、密码不能以斜线号（/）开头。 Djsn6Gksn@d

本节主要介绍开启和关闭SSL安全连接。 GeminiDB Influx实例支持实例创建成功后，开启或关闭SSL安全连接。 使用须知 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 开启或关闭SSL安全连接时需要重启实例。 开启SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，开启SSL安全连接。 图 开启SSL安全连接 关闭SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，关闭SSL安全连接。 图 关闭SSL安全连接

负载均衡器可以跨资源节点关联后端云主机么？ 共享型负载均衡不支持跨资源节点关联后端云主机。 独享型负载均衡器支持跨资源节点、跨VPC添加后端云主机。 公网负载均衡的后端云主机要不要绑定EIP？ 负载均衡实例都是通过私网转发访问请求，不需要后端云主机绑定EIP。 如何检查后端云主机网络状态？ 确认虚拟机主网卡已经正确分配到IP地址。 登录云主机内部。 执行ifconfig命令或ip address查看网卡的IP信息。 说明 Windows云主机可以在命令行中执行ipconfig查看。 从云主机内部ping所在子网的网关，确认基本通信功能是否正常。 通常网关地址结尾为.1，可以在VPC详情页面中确认，切换“子网”页签，查看“网关”列，显示网关地址。 执行ping命令，观察能否ping通即可。若无法ping通网关则需首先排查二三层网络问题。 如何检查后端云主机网络配置？ 确认云主机使用的网卡安全组配置是否正确。 在弹性云主机详情页面查看网卡使用的安全组。 检查安全组规则是否放通了对应的网段： 对于独享型负载均衡，检查后端云主机所在的安全组入方向是否放通ELB所在VPC的网段。如果没有放通，请在安全组入方向规则中添加ELB所在VPC网段。 对于共享型负载均衡，检查客户后端服务安全组入方向是否放通了100.125.0.0/16网段。如果没有放行，请添加100.125.0.0/16网段的入方向规则。 注意 共享型实例四层监听器开启“获取客户端IP”功能后，后端云主机的安全组规则和网络ACL规则均无需放通100.125.0.0/16网段及客户端IP地址。 独享型实例四层监听器未开启“跨VPC后端”功能时，后端云主机安全组规则和网络ACL规则均无需放通ELB后端子网所在的VPC网段。 确认云主机使用网卡子网的网络ACL不会对流量进行拦截。 在虚拟私有云页面左侧导航栏，单击“网络ACL”，确认涉及的子网已放通。

场景示意图 场景三： 攻防实战场景 随着逐步接受和了解公有云的安全性，企业用户的重点转向了公有云“内部”的安全。根据常见的责任分担模型，云运营商主要负责云基础设施的安全，而客户则负责云中数据和应用的安全，针对云中数据和应用的攻防实战就显得尤为重要了。 方案优势 提升数据关联性：通过关联和整合海量数据日志，企业可以提升运维效率，实现更加精准的监控和管理。 实时分析：利用先进的安全算力，实时关联和分析海量信息，有效提高运维的响应速度和决策能力。 高级威胁的有效发现：借助全局数据的支持，企业可以更有效地检测和应对复杂的高级威胁，提升威胁发现能力。 实战效果好：当前网络威胁的数量、复杂性，网络安全工作负载的增加以及攻击面的增长，专业人员经常抱怨依赖手动流程和大量的点工具来进行威胁检测和响应。云安全中心具备全局视野，多年安全维护经验，帮助用户实现各类威胁的检测和响应，能满足用户的实战诉求。 场景示意图

本文主要介绍使用私网NAT网关为VPC内计算实例实现线上线下互通添加安全组规则 操作场景 在目的VPC包含的云主机中添加入方向安全组规则，用于将转发到目的端的流量全部放通。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 在系统首页，选择“网络 > 虚拟私有云”。 4. 在左侧导航树选择“访问控制 > 安全组”。 5. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 6. 在入方向规则页签，单击“添加规则”，添加入方向规则。单击“+”可以依次增加多条入方向规则。 7. 单击“确定”，完成添加。

当您第一次在Web应用防火墙（边缘云版）控制台完成域名接入后，面对各种Web应用防火墙（边缘云版）防护配置项，您可能不知道如何进行配置。本文将引导您从不同角色的视角、场景快速熟悉Web应用防火墙（边缘云版）的防护模块和防护规则的配置，让您从最紧急、最关注的防护内容入手，了解如何使用Web应用防火墙（边缘云版）保护您的网站。 操作前提 已经在Web应用防火墙（边缘云版）控制台完成接入域名，并且域名已处于已启用的状态。更多信息见添加域名。 操作内容须知 本文描述都是建立在您已经完成域名新增，并且域名状态处于已启用的前提下进行操作，您可以参考功能的描述文档开启并设置相对应的功能。 除了特殊防护配置以外的内容，大部分的Web应用防火墙（边缘云版）防护配置均在域名列表中的“安全防护”页面完成。参照如下访问网站防护配置页面：登录Web应用防火墙（边缘云版）后，域名管理域名列表安全防护（详情见安全防护配置）。 选中需要配置的域名，点击安全防护开始配置域名安全防护内容。 本文会根据不同的角色或者业务视角来给您提供网站防护策略的配置建议。您可以根据您的实际需求和您对网站的熟悉程度来了解相关的网站防护配置。

本节介绍云等保专区产品的购买类问题。 云等保专区原子能力v2.0与v1.0有什么区别？ 云等保专区原子能力v2.0是当前主力销售版本，相较于v1.0架构有了重大升级。 新客户默认只能购买v2.0版本（漏洞扫描除外），v1.0版本仅支持存量用户购买。 由于v1.0、v2.0的版本架构不同，所以不支持已购v1.0的用户直接升级到v2.0版本。 云等保专区原子能力v2.0与v1.0价格存在部分差异，详情请见计费方式。 如何知道应当购买那些安全原子能力？ 当前天翼云根据多年安全经验以及最佳实践帮助用户更简单的通过等保，特地推出等保二级基础版、等保二级高级版、等保三级基础版以及等保三级高级版，您可根据当前在天翼云上业务的定级等级情况自主选择等保二级、三级套餐。 如何选择单个安全原子能力规格？ 当前安全组件规格分为基础版、高级版和企业版，每个规格有其对应参数，您可根据自身业务的流量、ECS的数量等综合评估，自助选择相应安全组件的规格。 是否支持单独购买安全原子能力？ 除了主机安全的“网页防篡改”不能单独购买，其他均支持单独购买。

物理机是否可以关联多个安全组？ 弹性裸金属支持关联多个安全组。 通过将弹性裸金属添加到不同的安全组中，您可以为其应用多个安全规则，以提供更灵活和细粒度的网络访问控制。这样可以实现不同层次、不同需求的安全隔离和保护。通过合理配置安全组规则，可以限制入站和出站流量，控制来源和目标IP地址、端口以及协议类型等，从而加强对物理机的网络安全防护。 说明：当弹性裸金属同时属于多个安全组时，它将同时遵循所有安全组规则。因此，在管理和配置安全组规则时，需要确保规则之间的协调和一致，以避免可能引发的网络通信故障。 安全组为什么无法绑定到物理机上？ 只有弹性裸金属支持关联安全组，标准裸金属不支持关联安全组。 标准裸金属不支持关联安全组，怎么解决网络端口无法访问的问题？ 参考关闭及禁用防火墙操作文档。 为什么有的子网不支持VPC和子网切换？ 多az资源池的标准裸金属不支持VPC/子网切换，建议您在多az资源池创建标准裸金属前，提前做好网络规划。 物理机可以和同一VPC内的弹性云主机通信吗？ 可以。 当物理机和弹性云主机在同一个子网内时，它们可以直接相互通信，无需经过路由器。建议在安全组规则中配置允许物理机和弹性云主机之间通信的策略。

Linux系统通过SCP方式上传到Linux云主机 SCP是一种安全的文件传输协议，可以方便地在本地计算机和远程服务器之间进行文件的复制操作，并通过SSH协议提供了数据加密和身份验证的安全保障。 如您的本地电脑使用和购买的云主机均使用Linux操作系统，您可通过SCP方式将本地文件上传至云主机。 前提条件： ● 本地操作系统类型为Linux。 ● 云主机操作系统类型为Linux。 ● 云主机配备弹性IP。 ● 云主机所在的安全组放行了22端口（SSH服务）。 操作步骤： scp sourcefile user@targetip:destinationfile 将本地文件通过scp方式上传到云主机上 scp r sourcedir user@targetip:destinationpath/ 将本地目录通过scp r方式上传到云主机上

云网紧密融合 充分体现中国电信云网融合的综合资源差异化优势，形成面向客户的一点上云、云间互联的新型服务形态。 高扩展性 新增节点云主机或VPC接入，以补点方式入网，即可实现对该客户全部站点的互通，可降低客户的组网成本。 高安全性 承载云间高速业务的主体DCI网络与资源池接入网络（如CN2、ChinaNet等）物理分离。 云间高速的客户业务承载，通过虚通道隔离客户数据，降低受公众网络、以及其他客户网络攻击的风险。

专属云（存储独享型）应用广泛，本文介绍存储专属云的典型应用场景。 搭配计算专属云 在安全、性能及可靠性要求极高的应用场景，如金融、政府等行业，通过物理资源物理隔离和网络资源逻辑隔离的结合，可以有效地保障业务的安全运行。此外，数据多副本保存技术和多种安全防护产品的应用，可以进一步提升系统的稳定性和安全性。 存储专属云可以与计算专属云中的云主机进行对接，以满足高性能、稳定性以及数据安全和监管等方面的业务需求。专属云服务不仅提供了高度的数据安全性，还具备了强大的扩展性和灵活性，可以满足不同行业和企业的个性化需求。 混合负载 针对专属客户的需求，开发人员在公有云上独立划分计算或专区，确保客户的数据在独享的计算或存储物理服务器中，与其他公有云客户不共享物理服务器。客户可以将专属云建设在公有云资源池上，专属云（存储独享型）服务支持多并发、高带宽应用场景，可以同时支持HPC、数据库、Email、OA办公、Web等多个应用混合部署。 与其他公有云服务相比，专属云具有更高的灵活性和可控性，客户可以根据自己的需求进行定制和扩展，无需担心与其他客户共享资源的问题。同时，专属云还具有更好的安全性和可靠性，可以为客户提供更加可靠的计算和存储服务。

弹性云主机(CTECS,Elastic Cloud Server)是一种可随时获取、弹性可扩展的计算服务。云主机由 CPU、内存、镜像、云硬盘组成,同时结合VPC、安全组、数据多副本保存等能力,打造一个既高效又可靠安全的计算环境,确保服务持久稳定运行。

本文介绍使用天翼云SDWAN产品时常见的操作类问题。 天翼云SDWAN产品在使用时有什么使用条件及接入要求？ 在开通天翼云SDWAN服务之前，请您确保本地业务具备互联网访问能力；请提前做好企业总部/分支网络与云上各资源池网络之间的IP地址规划，尽量保证各站点内网IP地址没有重叠； 如果您的业务网段IP地址冲突无法避免，您也可以正常将设备接入天翼云SDWAN。需注意，在网段有冲突的情况下，在配置组网或者入云时，请提前做好NAT地址转换，NAT转换操作详见： 有自服务的操作界面么？ 天翼云SDWAN资源通过中国电信天翼云提供的统一服务界面进行管理。天翼云SDWAN产品的控制台地址为 /sdwan/dashbord。 天翼云SDWAN产品无资源池差别，您可以选择从任意资源池进入到该控制页面。 开通天翼云SDWAN服务后，控制台会生成对应的实例资源，您可以通过页面操作对资源进行不同的配置下发，比如：创建互联关系、配置路由规则、创建访问控制、ACL等。 天翼云SDWAN如何报障？ 天翼云SDWAN售后服务由天翼云SDWAN售后团队负责。客户报障有两种途径：1、拨打天翼云400售后服务电话，2、通过客户经理报障。 客户拨打热线电话（4008109889）报障： 1. 当客户通过电话报障时，天翼云400客服受理一线问题，填写工单，并将技术问题反馈到SDWAN运维团队客服； 2. SDWAN运维团队发起内部流程，处理问题； 3. 运维处理完客户故障，通知客户验收，结束报障处理。 通过客户经理报障： 1. 当客户联系客户经理时，客户经理也可直接联系天翼云SDWAN运维人员，SDWAN运维团队自行发起内部运维流程，处理客户问题； 2. SDWAN运维人员处理完客户故障后，反馈给客户经理处理结果。客户验收后，结束报障。

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5，5.6，5.7，8.0 PostgreSQL 10，11，12，13 Oracle 10g，11g，12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。

本节介绍了更新一键式重置密码插件(单台操作)的安装须知、前提条件等内容。 公有云平台提供了一键式重置密码功能。弹性云主机的密码丢失或过期时，如果您的弹性云主机提前安装了一键式重置密码插件，则可以应用一键式重置密码功能，给弹性云主机设置新密码。 更新一键式重置密码插件的操作请参考本节内容。 安装须知 1.该一键式重置密码插件仅适用于弹性云主机，不支持物理机使用。 2.弹性云主机需绑定弹性公网IP，才能更新一键式重置密码插件。 3.使用公共镜像创建的弹性云主机默认已安装一键重置密码插件，在更新前请先卸载一键式重置密码插件。 4.一键重置密码插件CloudResetPwdAgent已按照GNU General Public License v2.0协议开源至Github开源平台，开放、透明、安全，请您放心使用。 前提条件 对于Windows弹性云主机，需保证C盘可写入，且剩余空间大于300MB。 对于Linux弹性云主机，需保证根目录可写入，且剩余空间大于300MB。 使用SUSE 11 SP4镜像创建的弹性云主机，内存需要大于等于4GiB时才能支持一键式重置密码功能。 弹性云主机使用的VPC网络DHCP不能禁用。 弹性云主机网络正常通行。 弹性云主机安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16

本文介绍GPU云主机相关的名词概念。 概念 介绍 GPU 图形处理器（Graphics Processing Unit）。相比CPU具有众多计算单元和更多的流水线，适合用于大规模并行计算等场景。 CUDA NVIDIA推出的通用并行计算架构，帮助您使用NVIDIA GPU解决复杂的计算问题。 cuDNN NVIDIA推出的用于深度神经网络的GPU加速库。 镜像 提供了运行实例所需的信息，包括操作系统、初始化应用数据等。 地域和可用区 实例和其他资源的部署物理位置。 SSH密钥对 一种安全便捷的登录认证方式，由公钥和私钥组成，仅支持Linux实例。 安全组 一种虚拟防火墙，您可以基于安全组控制实例的入流量和出流量。 弹性网卡 一种独立的虚拟网卡，可以绑定到弹性云主机或从弹性云主机解绑，实现业务的灵活扩展和迁移。 云硬盘 可弹性扩展的块存储设备，可以用作实例的系统盘或可扩展数据盘使用。 快照 某一时间点云盘数据状态的备份文件，用于备份或者恢复整个云盘。 VPC 虚拟私有云（Virtual Private Cloud）。为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助用户灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。

本节介绍了云数据库GaussDB 的产品优势。 高安全 云数据库GaussDB 拥有TOP级的商业数据库安全特性：数据动态脱敏，TDE透明加密，行级访问控制，密态计算。能够满足政企&金融级客户的核心安全诉求。 健全的工具与服务化能力 云数据库GaussDB 已经拥有云服务商用服务化部署能力，同时支持DAS、DRS等生态工具。有效保障用户开发、运维、优化、监控、迁移等日常工作需要。

本节介绍天翼云电脑（政企版）的快速订购方式以及流程。 天翼AI云电脑（政企版）提供两种购买方式： 1.天翼云网门户订购：可在天翼云网门户产品“天翼AI云电脑（政企版）”产品详情页进行订购。 2.营业厅订购：请前往当地的电信营业厅咨询天翼AI云电脑（政企版）产品订购相关内容。 快速订购天翼AI云电脑（政企版） 1.登录并打开“天翼AI云电脑（政企版）”产品详情页； 2.点击“立即订购”前往快速订购页面； 3.订购类型选择“单实例桌面”； 4.根据需求选择相应的“规格类型”； 5.根据实际情况选择“镜像类型”，即开通AI云电脑实例的操作系统； 6.根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB，桌面实例默认已包含80GB高IO系统盘； 7.根据实际情况选择桌面所在的“VPC”和“子网“，如需对VPC和子网进行配置，可参考桌面网络管理； 8.分配桌面需要填写或导入桌面使用者的”邮箱“和“账号“，可批量输入；请输入桌面用户的真实有效邮箱，以确保可接收到桌面用户激活邮件； 9.选择桌面的“购买时长”； 10.确认相关的配置信息，单击“立即购买”，支付成功后，即完成单实例桌面开通。

客户端登录配置 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3. 在“客户端登录配置”区域，单击“编辑”，弹出客户端登录配置窗口，根据界面提示配置系统客户端登录参数。 参数 说明 :: 登录超时 用户登录SSH客户端后，无操作退出登录的限定时间。 默认超时时间为30分钟。 取值范围为1～43200，单位为分钟。 SSH公钥登录 选择开启或关闭SSH公钥登录，默认。 SSH密码登录 选择开启或关闭SSH密码登录，默认。 若同时开启了“公钥登录”和“密码登录”，优先验证公钥登录方式。 4. 单击“确定”，返回安全配置管理页面，查看当前系统客户端登录配置。 更新系统Web证书 云堡垒机Web证书是验证系统网站身份和安全的SSL（Secure Sockets Layer）证书，遵守SSL协议的服务器数字证书，并由受信任的根证书颁发机构颁发。 云堡垒机系统默认配置安全的自签发证书，但受限于自签发证书的认证保护范围和认证保护时间，用户可替换证书。 本小节主要介绍在证书过期或安全扫描不通过时，用户如何更新证书，确保CBH系统安全。 前提条件 已获取证书，并下载签发证书。 上传证书绑定的域名已解析到绑定云堡垒机实例的弹性公网IP。 用户已获取“系统”模块管理权限。

本章节向您介绍如何修改安全组基本信息及安全组规则。 修改安全组基本信息 操作场景 安全组创建完成后，您可以修改安全组的名称和描述。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列下的“更多 > 修改”，弹出“修改安全组”对话框。 3. 根据界面提示，修改安全组的名称和描述信息。 4. 参数修改完成后，单击“确定”，保存修改。 修改安全组规则 操作场景 当安全组规则设置不满足需求时，您可以修改安全组中的规则，保证云主机等实例的网络安全。您可以修改安全组规则的端口号、协议、IP地址等。 约束与限制 当您修改安全组规则前，请您务必了解该操作可能带来的影响，避免误操作造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。 在入方向中，下表中的入方向规则，确保安全组内实例的内网网络互通，不建议您修改该安全组规则。 在出方向中，下表中的出方向规则，允许所有流量从安全组内实例流出。如果您修改了该规则，可能导致安全组内的实例无法访问外部，请您谨慎操作。 方向 策略 类型 协议端口 源地址/目的地址 入方向 允许 IPv4 全部 源地址：当前安全组 入方向 允许 IPv6 全部 源地址：当前安全组 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 出方向 允许 IPv6 全部 目的地址：::/0

本小节介绍云下一代防火墙如何开启防护功能？ 登录管理界面：首先，使用管理员凭据登录到云下一代防火墙的管理界面，可以在Web浏览器中输入设备的管理方式来访问云下一代防火墙管理界面。 导航到防护功能：在管理界面对象中，找到防护功能（IPS、AV、URL、OQS、IP信誉库、僵尸网络防御、云沙箱）进行防护功能模版的配置，防护功能模版详细操作详见云下一代防火墙WebUI用户手册。 启用防护策略：选择外网卡的安全域（网络安全域）或安全策略，然后开启且调用所需的安全功能模板。 监控和日志记录：启用监控和日志记录功能（监控日志编辑对应日志开启日志缓存），以跟踪安全事件、威胁检测以及系统性能。这有助于实时监视和分析潜在的威胁。 测试和优化：在启用防护功能后，建议进行测试以确保其正常运行，并进行必要的优化，以适应业务需求。

操作步骤 导入规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要导入安全组规则的安全组，单击安全组名称进入详情页，进入安全组详情页。 6. 在安全组详情界面，单击“导入规则”按钮，选择需要导入的文件； 7. 在导入规则弹窗中，您可以选择“下载模板”，在模板中填好需要导入的安全组规则。模板中需要填写的规则字段，具体可以参考添加安全组规则页面。 8. 在弹窗中将会自动生成预览规则，如果存在导入失败的规则，您可以在预检查列查看失败原因。单击“确定”按钮，可以将文件中安全组规则导入安全组中。 导出规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要导出安全组规则的安全组，单击安全组名称进入详情页，进入安全组详情页。 6. 在安全组详情界面，单击“导出规则”按钮。 7. 单击“确定”按钮，可以将当前安全组规则导出成文件。

本节主要介绍产品定义。 什么是云容器引擎？ 云容器引擎(CT Cloud Container Engine，简称CCE)提供高可靠、高性能的企业级Kubernetes集群托管服务，支持运行Docker容器，帮助用户在云上轻松部署、管理和扩展容器化应用程序。 为什么选择云容器引擎？ 云容器引擎深度整合高性能的计算（ECS）、网络（VPC/EIP/ELB）、存储（EVS/OBS/SFS）等服务，支持多可用区（Available Zone，简称AZ）、多区域（Region）容灾等技术构建Kubernetes高可用集群。 产品形态 云容器引擎包含多种产品形态。 集群类型 CCE Standard CCE Turbo 产品定位 标准版本集群，提供高可靠、安全的商业级容器集群服务。 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速。 使用场景 面向有云原生数字化转型诉求的用户，期望通过容器集群管理应用，获得灵活弹性的算力资源，简化对计算、网络、存储的资源管理复杂度。 适合对极致性能、资源利用率提升和全场景覆盖有更高诉求的客户。 网络模型 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 hostPort 支持 不支持 网络性能 VPC网络叠加容器网络，性能有一定损耗 VPC网络和容器网络融合，性能无损耗 容器网络隔离 容器隧道网络模式：集群内部网络隔离策略，支持NetworkPolicy。 VPC网络模式：不支持 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 容器资源隔离 普通容器：Cgroups隔离 安全容器：当前仅物理机支持，提供虚机级别的隔离 普通容器：Cgroups隔离 边缘基础设施管理 不支持 支持管理智能边缘小站

本文介绍DRDS怎么选择安全组。 DRDS使用中有两个场景需要考虑VPC、子网、安全组，包括实例订购、实例访问使用。 实例订购 订购DRDS实例，需选择VPC、子网、安全组。如用户未创建VPC、子网或者安全组，请通过天翼云“控制中心虚拟私有云”进入VPC管理页面，创建VPC、子网或者安全组（访问控制安全组），系统会默认创建一个安全组，用户可以新建或者在默认安全组基础上修改。 实例订购完成，无法修改实例所在VPC及子网，请提前规划DRDS实例所在的VPC及子网（比如：和应用程序或者ECS主机在同一个VPC，方便使用），避免后续需要修改。 实例访问 若DRDS实例未绑定弹性公网IP，则用户只能在同一个VPC内的ECS主机等访问DRDS实例，建议应用程序、ECS主机、DRDS、MySQL实例都使用同一个VPC、子网及安全组，保证应用程序或者ECS能访问到DRDS实例。 用户可以通过安全组规则，限制可以访问DRDS实例的IP、协议、端口等，具体安全组规则修改可以参考修改安全组规则。 修改安全组，务必确保安全组允许用户的应用程序或弹性云主机能访问DRDS实例端口，避免修改出入规则后导致无法访问。

基础配置 1. 根据您的需要选择计费方式：包年/包月或按量付费。 规格分类处选择“GPU加速/AI加速型”，在下方的规格列表的pi2和pi7中选择需要的规格。 2. 选择镜像“ubuntuLLaMA2StableDiffusionWebUIGPU（预装大模型环境）(60GB)”或“ubuntuLLaMA3StableDiffusionWebUIGPU（预装大模型环境）(60GB)，点击“下一步：网络配置”。 网络配置 1. 点击“创建安全组”按钮，跳转至网络控制台安全组页面。 2. 点击“创建安全组”按钮，在弹窗中等待模板下拉菜单选择“开放全部端口” 3. 点击“确定”，完成安全组创建。 4. 返回云主机订购页面，点击“选择安全组”按钮，在安全组列表中勾选刚才创建的安全组。 5. 点击“确定”，完成安全组选择。 6. 弹性IP选择“自动分配”，根据需要选择带宽大小。为确保大模型学习机顺畅运行，如有其他数据下载需求, 建议10M以上, 否则建议5M及以下。 7. 点击“下一步：高级配置”。 8. 根据提示完成高级配置，点击“下一步：确认配置”。确认配置无误后，点击“立即购买”。 9. 支付成功后返回云主机控制台，选择订购云主机所在的地域。云主机状态变更为“运行中”后即为开通成功，可以进行后续操作。

弹性云主机(CTECS,Elastic Cloud Server)是一种可随时获取、弹性可扩展的计算服务。云主机由 CPU、内存、镜像、云硬盘组成,同时结合VPC、安全组、数据多副本保存等能力,打造一个既高效又可靠安全的计算环境,确保服务持久稳定运行。

本章节主要介绍虚拟私有云。 使用虚拟私有云（Virtual Private Cloud，VPC），您可以在您自己的逻辑隔离区域中定义虚拟网络，为物理机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置物理机的内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间的访问规则，加强物理机的安全保护。

本章节介绍了云上使用分布式消息服务RocketMQ需要准备的云主机、网络等相关环境。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为RocketMQ实例提供一个隔离的、用户自主配置和管理的虚拟网络环境。 1. 在创建RocketMQ实例前，确保已存在可用的虚拟私有云和子网。 创建方法，请参考创建虚拟私有云和子网。如果您已有虚拟私有云和子网，可重复使用，不需要多次创建。 在创建VPC和子网时应注意如下要求： 创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。 创建VPC和子网时，配置参数建议使用默认配置。 2. 在创建RocketMQ实例前，确保已存在可用的安全组。 创建方法，请参考创建安全组。如果您已有安全组，可重复使用，不需要多次创建。 在创建安全组时应注意如下要求： 创建安全组时，“模板”选择“自定义”。 使用分布式消息服务RocketMQ必须添加表1所示安全组规则，其他规则请根据实际需要添加。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 通过内网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口 说明 安全组创建后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则。此时使用内网通过同一个VPC访问RocketMQ实例，无需添加表1的规则。

本节主要介绍通过负载均衡地址连接实例（推荐） 。 操作场景 本章节以Linux操作系统为例，指导您通过负载均衡地址的方式连接GeminiDB Influx实例。 使用须知 目标实例必须与弹性云主机在同一个虚拟私有云和子网内才能访问。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为 默认安全组 ，则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 前提条件 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机快速入门》中购买弹性云主机的内容。 下载InfluxDB客户端，以Linux 64bit为例。 SSL连接 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 使用如下命令，进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 ./influx ssl unsafeSsl username ' ' password ' ' host port 示例： ./influx ssl unsafeSsl username 'rwuser' password ' ' host 192.xx.xx.xx port 8635 表1 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 待连接实例的负载均衡地址。负载均衡地址目前处于公测阶段，如需使用，请您联系客服申请开通。 场景一：在创建实例之前，如果您已经申请开通了负载均衡地址，您可以在创建实例页面查看到系统默认勾选负载均衡地址。待实例创建成功后，您可以单击实例名称，进入“基本信息”页面，在网络信息区域获取到“负载均衡地址”。 场景二：如果实例已创建成功，此时如果需要使用负载均衡地址，则需要联系客服帮您开通。开通成功后，您可以单击实例名称，进入“基本信息”页面，刷新页面，在网络信息区域获取到“负载均衡地址”。 实例的端口。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 负载均衡地址”处获取端口信息。 5. 出现如下信息，说明连接成功。 Connected to version 1.7.4 InfluxDB shell version：1.7.9 >

本文介绍Kafka如何配置安全组 客户端只能部署在与Kafka实例处于相同虚拟私有云（VPC）和相同子网的弹性云主机（CTECS）上。 除了CTECS、Kafka实例必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，客户端才能访问Kafka实例。 如果CTECS、Kafka实例配置相同的安全组，安全组创建后，默认包含组内网络访问不受限制的规则。 如果CTECS、Kafka实例配置了不同安全组，可参考如下配置方式： 说明 假设CTECS、Kafka实例分别配置了安全组：sgsCTECS、sgsKafka。 以Kafka访问端口9098为例，其它实例请以实际情况为准。 以下规则，远端可使用安全组，也可以使用具体的IP地址。 配置CTECS所在安全组。CTECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问Kafka实例。如果出方向规则不受限，则不用添加。 配置Kafka实例所在安全组。Kafka实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。