参数 参数说明 可用区 选择集群工作区域下关联的可用区。 可用区是使用独立电源和网络资源的物理区域。通过内部网络互联，再以物理方式进行隔离，提高了应用程序的可用性。建议您在不同的可用区下创建集群。 虚拟私有云 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 选择需要创建集群的VPC，单击“查看虚拟私有云”进入VPC服务查看已创建的VPC名称和ID。如果没有VPC，需要创建一个新的VPC。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 选择需要创建集群的子网，单击“查看子网”可查看所选子网的详细信息，若VPC下未创建子网，请在VPC服务控制台单击“创建子网”进行创建。网络ACL出规则配置请参考 说明 创建MRS集群需要的IP数量和集群节点和组件个数相关，集群类型不影响IP数量。 MRS集群部署默认需要的IP数量为：集群节点数量+2（Manager+DB），如果部署集群时选择Hadoop、Hue、Sqoop或Loader、Presto组件，则每一个组件需要再加一个IP。若单独创建ClickHouse集群则需要的IP数量为：集群节点数量+1（Manager）。 安全组 安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 用户创建集群时，可自动创建安全组，也可选择下拉框中已有的安全组。 说明 选择用户自己创建的安全组时，请确保入方向规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则，源地址请勿使用0.0.0.0/0，否则会有安全风险。若用户不清楚可信任的IP访问范围，请选择自动创建。 弹性公网IP 通过将弹性公网IP与MRS集群绑定，实现使用弹性公网IP访问Manager的目的。 用户创建集群时，可选择下拉框中已有的弹性公网IP进行绑定。若下拉框中没有可选的弹性公网IP，可以单击“管理弹性公网IP”进入弹性公网IP服务进行创建。 说明 弹性公网IP必须和集群在同一区域。

服务端为Linux系统(以Centos7.2 64位操作系统为例) 1. 检查配置文件 执行以下命令，检查配置文件。 cat /etc/vsftpd/vsftpd.conf 确保下面的内容已经正确填入。 listenYES listenipv6NO pasvaddressxx.xx.xx.xx 弹性云主机的公网IP地址 pasvminport20000 被动模式下的最小端口 pasvmaxport20045 被动模式下的最大端口 2. 检查安全组配置 点击 控制中心 > 服务列表 > 弹性云主机 ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择 安全组 ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和配置文件“/etc/vsftpd/vsftpd.conf”中参数“pasvminport”和“pasvmaxport”之间的所有端口。 3. 重新进行客户端测试 a. 一种方法是使用FileZilla填写弹性云主机的公网ip，ftp的用户名和密码，端口填写21。 b. 另一种方法是在浏览器或者文件夹访问栏输入ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入ftp的用户名和密码。

可能原因 解决方案 EIP实例未绑定到云资源 排查EIP实例是否已绑定到目标云资源。登录弹性IP控制台，查看EIP的绑定状态，当状态为已绑定时，表示EIP已成功绑定到目标云资源。 EIP实例到期或欠费 检查EIP实例是否欠费。为避免实例停机对您的服务产生影响，请您及时续费或充值。 被云上安全策略拦截 检查是否被以下云上安全策略拦截： 云WAF拦截：网站接入Web应用防火墙（Web Application Firewall，简称WAF）后，出现访问异常。 云防火墙可监控互联网与公网IP资产之间的通信流量。若您启用云防火墙对EIP进行保护，可能会导致访问控制策略拦截流量的情况发生。 安全策略拦截 检查云主机系统防火墙策略限制、第三方安全防护软件等，同时检查网卡驱动是否安装正确。也可对云主机实例进行网络检查。 检查云主机加入安全组出入方向规则是否允许所需的流量流入流出。 路由配置有误 请检查EIP绑定实例的路由表中是否存在与公网路由相冲突的路由规则。 运营商禁止 完成云上安全策略及绑定资源安全策略排查后，如果还是无法访问EIP，考虑运营商可能对EIP进行了封禁。您可提交工单协助排查或拨打相关运营商的联系电话，咨询并核实具体原因。同时，为了降低对业务的影响，您可以考虑更换EIP。

本文主要介绍了账号安全设置的一些建议。 账号安全的重要性 云时代中，越来越多的业务选择上云，然而云账号面临各种各样的安全威胁，密码泄露、账号共享、数据丢失、外部攻击等等。 一旦出现这类安全威胁，可能会导致数据丢失，严重情况甚至导致高额财产损失。 安全设置最佳实践 1、加强账号密码管理 安全性高的密码可以使帐号更安全。请尽量避免使用弱密码，建议密码长度超过14个字符，不使用键盘排列字符( 如qwert，asdf等) ，避免使用电话号码、身份证号、邮箱等与个人信息有明显联系的数据做密码。 避免在多个平台使用相同密码：为不同应用场合设置不同密码，避免其中一个账户密码被盗，其它帐户密码也被轻易破解。 定期或者不定期修改密码，避免长期使用固定密码，安全更有保障。 不要把明文密码保存在电脑、笔记本上，避免保存不当带来安全隐患。 2、请勿多人共享账号密码 如有多人协同业务的需要，可以通过主子账号、企业管理的方式，使用子用户（用户组）管理和策略管理的方式来控制其他用户使用天翼云资源的权限。 子用户（用户组）管理：主账号可在用户中心创建，子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。如有使用需求，请您提交工单，由我侧专项工程师协助您开通主子账号权限。

本节介绍了公网IP相关问题与处理方法。 场景排查 1. 检查安全组规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。 解决方案 1. 检查安全组规则。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 检查弹性云主机网卡对应的安全组是否放通了“入方向”的“ICMP”规则。 表 安全组规则 放向 类型 协议和端口 原地址 入方向 IPv4 Any：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 2. 检查“ 网络ACL”规则。 排查“网络ACL”是否放通。查看“网络ACL”状态，查看当前是开启状态还是关闭状态。 检查“弹性IP”绑定的网卡是否在“网络ACL”关联的子网下。 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 说明 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 3. 相同区域主机进行ping测试。 在相同区域的弹性云主机去ping没有ping通的弹性公网IP，如果可以正常ping通说明虚拟网络正常，请联系客服获取技术支持。

本页介绍了如何从零到使用文档数据库的操作步骤。 内网使用 1. 创建文档数据库 请参见新建文档数据库服务实例。 2. 创建同VPC下的弹性云主机 请参见弹性云主机快速入门创建弹性云主机。 3. 设置安全组 请参见设置安全组和白名单。 4. 在步骤2中创建的云主机上，连接文档数据库 请参见内网通过Mongo Shell连接实例。 5. 使用文档数据库 请参见用户指南。 公网使用 1. 创建文档数据库 请参见新建文档数据库服务实例。 2. 绑定弹性公网IP 请参见绑定与解绑弹性公网IP。 3. 设置安全组 请参见设置安全组和白名单。 4. 连接文档数据库 请参见公网通过Mongo Shell连接实例。 5. 使用文档数据库 请参见用户指南。

本节介绍了DDoS高防（边缘云版）的主要产品优势。 针对天翼云云内或云外用户业务，在遭受大流量 DDoS 攻击后，导致服务不可用时，都可以使用天翼云DDoS高防（边缘云版）服务。 与传统DDoS防护方案相比，天翼云DDoS高防（边缘云版）具有全场景支持、超强清洗能力、AI大数据协调、极简管理等优势，保障业务稳定、安全运行。 全场景支持 支持从网络层/传输层（L3/4）到应用层（L7）DDoS攻击的防护 支持IPv4/IPv6双栈协议 支持网站和非网站业务，覆盖金融、电商、游戏、政府等各类业务，充分满足用户不同业务的安全防护需求 依托天翼云攻防对抗实战经验，可为客户提供DDoS攻击演练服务，帮助用户提前发现内部潜在安全威胁，提升应急响应能力 超强清洗能力 海量边缘节点能力升级，防御总带宽超过12T 百G抗D节点支持大区粒度覆盖，根据攻击情况进行智能调度 分布式架构，减少单点故障概率，结合云原生、智能调度能力，实现资源动态扩容，有效应对业务突发和大流量攻击 根据用户需求进行规划资源，提供属地+三网的防护节点，就近接入，减少服务延迟，提高访问速度

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务RabbitMQ实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务RabbitMQ实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务RabbitMQ构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的RabbitMQ实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问RabbitMQ实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组。

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供给用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务RocketMQ实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务RocketMQ实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务RocketMQ构建隔离、私密的虚拟网络环境，提升RocketMQ实例的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的RocketMQ实例提供相同的访问策略。您可以通过为RocketMQ实例设置安全组，开通需访问RocketMQ实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组

本节介绍服务器安全卫士（原生版）安全概览。 最近7日待处理风险 如下图所示，最近7日待处理风险展示您服务器的入侵检测、病毒文件、漏洞、安全基线和网页防篡改风险，和该项风险对应的服务器数量。 入侵检测 风险主机：展示7日内所有待处理的入侵检测事件个数，点击数字时会跳转到“入侵检测 > 告警中心”页面；风险主机统计7日内有入侵风险的服务器，包括所有的云主机和物理机，同一台服务器有不同的入侵风险时不重复叠加。 病毒文件 风险主机：展示7日内所有待处理的病毒文件个数，点击数字时会跳转到“文件安全 > 病毒查杀”页面；风险主机统计7日内有病毒文件的服务器，包括所有的云主机和物理机，同一台服务器有不同的病毒文件时不重复叠加。 漏洞风险 风险主机：展示7日内所有待处理的漏洞风险个数，点击数字时会跳转到“风险管理 > 漏洞扫描”页面；风险主机统计7日内有漏洞风险的服务器，包括所有的云主机和物理机，同一台服务器有不同的漏洞风险时不重复叠加。 安全基线 风险主机：展示7日内所有未处理的安全基线风险个数，包括基线检测和弱口令检测个数之和，点击数字时会跳转到“风险管理 > 基线检测”页面；风险主机统计7日内有基线风险的服务器，包括所有的云主机和物理机，同一台服务器有不同的基线风险时不重复叠加。 网页防篡改 风险主机：展示7日内所有未忽略的文件异常的事件数，点击数字时会跳转到“网页防篡改（原生版）> 防护状态”页面；风险主机统计7日内有网页篡改事件的服务器，包括所有的云主机和物理机。 说明 网页防篡改为增值服务，需要单独购买。若您未订购网页防篡改（原生版），则统计数字均显示为0。

本文介绍CC安全报表所展示的数据。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过CC攻击报表查询CC攻击防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【安全报表】【CC安全报表】页面。 查询功能 您可以在CC安全报表头部指定您要查询的域名、时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 报表内容： 说明 卡片栏 展示CC攻击事件数、CC攻击峰值、峰值取值时间、遭受CC攻击的网站数量。 攻击区域分布 国内攻击来源城市分布，按照攻击次数的范围展示为不同的颜色。 威胁事件排序情况：按照攻击次数的从多到少，将攻击来源区域进行TOP10排序，并计算不同攻击来源区域的占比。 攻击趋势 展示被攻击域名的QPS趋势图。 TOP攻击域名 按照请求数从多到少，展示被攻击域名的TOP10排序，并计算请求数的占比。 TOP URL排名 按照请求数从多到少，展示被攻击URL的TOP10排序，并计算请求数的占比。 TOP攻击IP 按照请求数从多到少，展示TOP攻击源IP，并展示其请求次数、区域及运营商。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud，VPC） 通过VPC服务，创建VPC，用户数据中心才可以通过VPN上云。 弹性云主机（Elastic Cloud Server，ECS） 通过ECS服务，定义安全组中的规则，将VPC中的弹性云主机划分成不同的安全域，以提升弹性云主机访问的安全性。 企业路由器（Enterprise Router，ER） 通过企业路由器ER，用户数据中心上云可以实现VPN和专线双通道互备。 仅企业版VPN网关支持，经典版VPN网关不支持。 NAT网关（NAT Gateway） 通过NAT网关服务，可以实现用户数据中心服务器访问公网或为公网提供服务。 弹性公网IP（EIP） 通过弹性公网IP，可以实现VPN网关通过公网和对端网关进行网络互通。 仅企业版VPN支持，经典版VPN不支持。 云监控（Cloud Eye） 通过云监控服务，查看VPN资源的监控数据，还可以获取可视化监控图表。 统一身份认证服务（Identity and Access Management，IAM） 通过IAM服务，针对您在云上创建的VPN资源，向不同用户设置不同的使用权限，可以帮助您安全地控制VPN资源的访问权限。 标签管理服务（Tag Management Service，TMS） 使用标签来标识虚拟专用网络，便于分类和搜索。 云审计服务（Cloud Trace Service，CTS） 记录与VPN服务相关的操作事件。

本文介绍了虚拟私有云服务的特性及优势。 灵活配置 自定义虚拟私有网络，按需划分子网，配置IP地址段、DHCP、路由表等服务。支持跨可用区部署弹性云主机。 安全可靠 VPC之间通过隧道技术进行100%逻辑隔离，不同VPC之间默认不能通信。 网络ACL对子网进行防护，安全组对云主机进行防护，多重防护您的网络更安全。 互联互通 默认情况下，VPC与公网是不能通信访问的，可以使用弹性公网IP、弹性负载均衡、NAT网关等多种方式连接公网。 默认情况下，两个VPC之间也是不能通信访问的，可以使用对等连接的方式，使用私有IP地址在两个VPC之间进行通信。 对于云上和云下网络二层互通问题，企业交换机支持二层连接网关功能，允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。 提供多种连接选择，满足企业云上多业务需求，让您轻松部署企业应用，降低企业IT运维成本。 优势对比 对比项 虚拟私有云 传统IDC 部署周期 用户无需工程规划，布线等复杂工程部署的工作。 用户基于业务需求在华为云上自主规划私有网络、子网和路由。 用户需要自行搭建网络并进行测试，整个周期很长，而且需要专业技术支持。 总成本 天翼云网络服务提供了多种灵活的计费方式，加上客户无需前期投入和后期网络运维，整体上降低了总体拥有成本（Total Cost of Ownership，TCO）。 用户需要机房、供电、施工、硬件物料等固定重资产投入，也需要专业的运维团队来保障网络安全。随着业务变化，资产管理成本也会随之上升。 灵活性 天翼云提供多种网络服务，用户可以根据具体需求搭配服务。当业务发展需要更多的网络资源（如带宽资源）时，可以方便快捷地进行动态扩展。 业务部署需要严格遵守前期网络规划，当业务需求发生变化时，无法便捷地动态调整网络。 安全性 VPC逻辑隔离，结合网络控制网络ACL、安全组功能和DDoS等安全服务，保障了云上资源的安全使用。 网络很难得到专业维护，安全性较差，需要配置专业的网络安全人员来看护。

（二）十字符病毒 1. 故障现象 名称由随机10字符组成的进程，运行时占用大量CPU资源，伴有网络流量较大、占满带宽的现象，无法通过kill命令终止该进程。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，同时查看计划任务、启动脚本等，排查是否存在可疑文件，并根据文件内容确认恶意脚本程序。 3. 排查过程 查看进程列表，确认占用CPU资源的主要进程。 由于病毒通常具有自动运行机制，因此常常藏身于计划任务中。查系统计划任务中是否存在可疑脚本，并对脚本进行进一步分析核查，可确认系统被感染病毒，病毒本体是/lib/libudev.so。 4. 解决方法： 终止病毒进程（强制终止该进程后，病毒程序还会自动拉起一个新的进程运行。 删除恶意程序脚本。 杀掉病毒进程。 清理计划任务内容。 删除病毒本体。 检查开机自启动项等内容，彻底清理病毒痕迹。 三，系统加固操作建议 针对Linux云主机，建议您绑定Linux开放22端口安全组，移除默认安全组，单独开放需要的端口，使用复杂密码并定期更换，同时定期对您的云主机制作私有镜像，操作方法请参考下列文档： 安全组概述 实例加入/移出安全组 配置安全组规则 修改云主机默认远程端口 通过云主机创建Linux系统盘镜像

本节介绍如何创建安全报告。 您可以通过获取安全报告，及时掌握资产的安全状况数据；CFW将按照设置的时间段以及接收方式将日志报告发送给您。 约束限制 单个防火墙实例中，最多可创建10个安全报告。 安全报告仅保留3个月，建议您定期下载，以满足等保测评以及审计的需要。 自定义报告不支持修改，如需修改可删除后重新创建。 创建安全报告 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> 安全报告”，进入“安全报告”页面。 5. 单击“创建新模板”创建报告模板，参数说明如下所示。 参数名称 参数说明 报告名称 自定义安全报告名称。 报告类型 安全日报 统计周期：每天00:00:00 ~ 24:00:00 报告将在生成后的次日自动发送至您设置的报告接收人。 安全周报 统计周期：周一00:00:00 ~ 周日24:00:00 报告将在生成后的指定时间自动发送至您设置的报告接收人。 自定义报告：自定义选择时间范围。 统计周期：您可自定义安全报告统计的时间范围 报告将会在创建成功一段时间后生成，生成后会自动发送至您设置的报告接收人。 统计周期 “报告类型”选择“自定义报告”时，需要配置日志统计周期。 报告发送时间 当“报告类型”选择为“日报”、“周报”时，需要设置报告发送时间点，默认发送上一个统计周期的日志报告。 说明 为了保证正确性，报告发送时间可能存在延迟。 通知群组 单击下拉列表选择已创建的主题，用于配置接收日志报告的终端。 6. 单击“确认”，安全报告创建完成。

本节为您介绍数据安全中心产品定义与须知。 据安全中心(Data Security Center)是新一代的云原生数据安全平台,提供敏感数据扫描，数据的分类分级、安全体检,水印溯源,脱敏等基础安全能力。通过数据安全总览整合数据全生命周期各阶段状态,对外整体呈现云上数据安全态势。 云上全场景覆盖 整合云上各类数据源，提供一站式数据保护和防御机制。支持结构化和非结构化类型数据，支持云原生和ECS自建场景。 全栈敏感数据防护 根据敏感数据发现策略来精确识别数据库中的敏感数据，基于多种预置脱敏算法+用户自定义脱敏算法，实现全栈敏感数据防护。 说明 DSC仅对数据进行敏感数据检测，不会对您的数据文件进行保存。

REST API生命周期管理 在微服务架构中，API 是系统集成与对外服务的关键接口。云原生 API 网关通过提供标准 REST API，支持从 API 设计到发布再到下线的全流程管理，使开发、测试、运维等各角色都能以统一方式高效管理接口。 WebSocket流量代理 WebSocket 协议支持客户端与服务器之间的持续、双向通信，具备连接持久性强、延迟低的优势。在K8s集群外部访问WebSocket服务时，云原生API网关作为入口，负责接收外部请求，进行认证鉴权、安全防护、流量管控等一系列自定义扩展处理，并根据预定义的路由规则将流量转发至对应的后端服务。 提供丰富的认证鉴权能力，降低安全接入成本 在云原生架构中，API网关作为统一入口，需要对所有外部请求进行身份认证和权限校验。云原生API网关支持 WT、HMAC、API Key、Basic等多种认证方式，并可对接OAuth2等外部认证服务，适配不同接入方的安全需求。 AI 代理 随着人工智能技术的快速发展，越来越多的企业开始将AI应用于各个业务场景，以提升效率、优化决策并创造新的价值。然而，企业在应用AI的过程中也面临着诸多挑战，例如模型管理复杂、数据安全风险等。AI网关是企业应用AI的桥梁，它充当着连接企业应用与AI模型、算法和数据的中间层，为企业提供安全、高效、可扩展的AI能力接入和管理服务。

此小节介绍登录安全类问题。 如何设置云堡垒机登录安全锁？ 背景 CBH同一账户可以在同一台PC上的不同浏览器登录。 云堡垒机不支持同时登录同一用户账号。当同时登录同一用户账号时，“来源IP”将被锁定。 CBH目标是限制多人使用同一账号，同一账号专人使用，应该做到一个账号一人使用。 现象 为保障云堡垒机系统登录安全，在登录云堡垒机输入密码超过系统设置的次数限制后，用户“来源IP”或“用户”帐号将被锁定。 配置步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统配置 > 安全配置 > 用户锁定配置”，查看当前配置信息。 用户锁定配置信息 3 单击“用户锁定配置”区域的“编辑”，进入“用户锁定配置”参数配置页面。 配置锁定参数 4 用户根据需要配置参数，详细参数说明请参考表。 锁定配置参数说明 参数 说明 锁定方式 可选择“用户”和“来源IP”两种方式。1选择“用户”指密码错误超过输入限制次数后，用户帐号将被锁定。2选择“来源IP”指密码错误超过输入限制次数后，用户本地来源IP将被锁定，且局域网内同一网段IP都将被锁定。 尝试密码次数 用户通过最多能尝试登录云堡垒机的次数。 锁定时长 密码错误超过输入限制次数后，锁定的时间长度，单位为分钟。默认值为30分钟。 设置为0分钟表示需管理员解除锁定。 重置计数器时长 密码错误超过输入限制次数后，从设定时间提示的剩余被锁定时间。 5 单击“确定”，完成用户登录输入密码限制设置。 如何解锁登录云堡垒机时被锁定的用户/IP？

约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 云服务器的“Agent状态”为“在线”且“防护状态”为“开启”。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“查看报告”。 查看防护报告 5、在查看报告界面，查看防护记录详情。 网页防篡改防护记录 查看网页防篡改防护事件 开启静态网页防篡改防护后，主机安全服务将立即对您添加的防护目录执行全面的安全检测。您可以查看所有主机防护文件被非法篡改的记录。 约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 云服务器的“Agent状态”为“在线”且“防护状态”为“开启”。 已开启静态网页防篡改。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3 、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在“主动防御 > 网页防篡改 > 防护事件”页面，查看主机防护文件被篡改记录。 防护事件

如果是局部访问慢，则可从如下角度查看 1. 是否DNS设置错误导致？ 个别用户可能存在local DNS设置错误，导致出现跨地域或跨运营商访问。因为CDN的权威DNS是基于用户请求的localDNS来判断所属的地区和运营商，从而将请求引导至对应最近的CDN节点，如果用户使用的localDNS错误，例如北京电信的用户使用了福建联通的localDNS，则可能会被引导至联通的节点，导致用户访问响应慢。解决该问题的方式是引导用户设置正确的localDNS，或将其设置为自动获取。 2. 是否存在中国内地用户访问到海外节点？ 如域名选择的加速范围为全球（不含中国内地），则此时国内用户将访问到海外节点，涉及跨国链路，时延较高。此场景下建议将域名加速范围调整为全球，或国内用户使用独立的域名站点，并设置对应域名加速范围为中国内地，通过上述两种方式使得国内用户将访问到国内节点，海外用户访问到海外节点，访问效果得到提升。 3. 是否用户至CDN节点侧网络情况差导致？ 如仅某省份运营商访问慢，可以通过基调或博睿中对应省份运营商用户到CDN节点的ping信息进行网络情况的初步判断，如果仅少量用户ping的网络延时异常，则可能是对应客户端出口网络问题。 如以上参考维度均未排查出问题，请提交工单至天翼云客服人工处理。

本节介绍了使用云容器引擎与自建K8S的对比,有利于用户选择云容器引擎产品。 功能 云容器引擎 自建Kubernetes 集群管理 通过控制台一键创建集群，支持创建跨AZ高可用的集群 提供容器优化的OS镜像，提供稳定测试和安全加固的Kubernetes和Docker版本 支持多集群管理，支持跨AZ高可用集群，支持集群联邦管理 用户手动部署集群并自行开发 用户自行探索和开发 应用管理 支持灰度发布，支持蓝绿发布 支持应用监控、应用弹性伸缩 内置模板市场，支持Helm应用一键部署；支持服务目录，简化云服务集成 用户自行探索和开发 网络管理 提供针对天翼云优化的高性能VPC/ENI网络插件，性能优于普通网络方案 支持容器访问策略和容器带宽限制 需要挑选社区网络插件进行适配 用户自行探索和开发 存储管理 支持天翼云盘挂载，提供标准的CSI、FlexVolume驱动 支持存储卷自动创建、迁移 用户自行探索和开发 运维管理 支持Kubernetes新版本一键升级，支持集群组件生命周期管理 支持集群手动和自动弹性伸缩 提供高性能日志采集Agent，自动实现日志服务集成 用户手动运维控制面 服务保障 天翼云专业容器团队作为技术支持，为集群提供及时的稳定性和安全响应 需要组建专门团队 安全管理 支持镜像扫描/镜像签名 支持容器运行时安全检测 用户自行构建安全能力

本节主要介绍通过公网连接TaurusDB实例。 TaurusDB实例提供Linux操作系统和Windows操作系统连接实例的方法。 Linux操作系统下使用MySQL客户端连接实例，并且提供SSL连接（推荐）和非SSL连接两种连接方式。其中，SSL连接实现了数据加密功能，具有更高的安全性。 Windows操作系统下使用MySQLFront客户端连接实例。 操作场景 通过公网连接TaurusDB实例的场景如下： VPC中的TaurusDB实例被不同VPC中的弹性云主机访问。 VPC中的TaurusDB实例被公共网络中的服务器访问。 前提条件 1. 创建并登录弹性云主机。 2. 绑定弹性IP并设置安全组规则 。 1. 对目标实例绑定弹性IP。关于如何绑定弹性IP，请参见绑定弹性IP。 2. 获取本地设备的IP地址。 3. 设置安全组规则。将2中获取的IP地址及目标实例的端口加入安全组允许访问的范围中。关于如何设置安全组规则，请参见设置安全组规则章节。 4. 使用ping命令连通1中绑定的弹性IP地址，确保本地设备可以访问该弹性IP地址。 3. 在准备的弹性云主机上安装客户端 。 Linux操作系统中，您需要在弹性云主机上安装MySQL客户端。建议您下载的MySQL客户端版本高于已创建的TaurusDB实例中数据库版本。 如何获取相应安装包及完成安装，请参见如何安装MySQL客户端。 Windows操作系统中，您可以使用任何通用的数据库客户端连接到TaurusDB实例且连接方法类似。 本章节以MySQLFront为例，描述Windows操作系统连接实例具体操作步骤，详情请参见使用MySQLFront连接实例。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址，具体请参见 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 跨网段访问配置 现在设置 配置源端对应的网段，确保在源端ECS网络与实例节点网络连通的前提下， 可以在ECS端连接实例。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以参考

安全VIP服务可以提供724安全值守服务。对接入域名评估与加固指导。可以协助客户对重点系统进行安全体检，并指导客户进行安全优化。根据业务情况，定制整体防护方案和服务支撑。在重保和护网期间安全专家指导安全策略对安全事件进行及时响应。 glmoscodeexplain 如何开通安全VIP服务？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 注意 暂时不支持单独退订安全VIP服务，如果需要单独退订，请

本节介绍云下一代防火墙产品定义。 云下一代防火墙（CTECFW Extended Capacity Firewall）是专门为云计算环境设计的虚拟化网络安全产品，内嵌网络防火墙专用操作系统，以虚拟主机形态提供高性价比、不同安全等级应用之间的安全隔离防护的云安全边界解决方案，为客户提供了下一代防火墙、高可用性（HA）、入侵防御 （IPS）、病毒过滤（AV）、带宽管理（QoS）僵尸网络防护（C&C）、云沙箱（SandBox）等丰富功能，降低客户初始采购和管理维护成本。

本小节介绍网络安全法、等保2.0以及测评机构等概念。 《中华人民共和国网络安全法》 《中华人民共和国网络安全法》是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定的法规。 测评机构 信息安全等级保护测评机构是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事非涉密信息系统及资源安全等级测评工作的机构。 等保2.0 等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策，基本制度。 等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、 事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、 基础信息网络、 云计算、 大数据、 物联网、 移动互联网和工业控制信息系统等级保护对象的全覆盖。 ECS 弹性云主机（Elastic Cloud Server，ECS）是由 CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云主机创建成功后，您就可以像使用自己的本地 PC 或物理服务器一样，在云上使用弹性云主机。 RDS RDS是关系型数据库服务（Relational Database Service）的简称，是一种即开即用、稳定可靠、可弹性伸缩的在线数据库服务。具有多重安全防护措施和完善的性能监控体系，并提供专业的数据库备份、恢复及优化方案，使您能专注于应用开发和业务发展。

参数 描述 虚拟私有云、子网、安全组 VNode所属的虚拟私有云、子网、安全组 可用区 VNode所属的可用区 KubeConfig VNode要连接的Kubernetes集群的kubeconfig 标签 VNode绑定的标签信息 污点 VNode绑定的污点信息

虚拟私有云支持创建VPC、子网搭建私有网络,本文帮助您了解创建VPC、子网搭建私有网络操作流程。 前提条件 注册天翼云账号。 操作步骤 创建VPC步骤 1. 登录控制中心； 2. 在控制中心找到【网络控制台】，单击【虚拟私有云】； 3. 在【虚拟私有云列表】界面，单击【创建虚拟私有云】，打开创建建虚拟私有云详情页； 4. 在【申请虚拟私有云】页面，根据界面提示配置参数。 参数名称 是否必填 含义 例子 VPC基本信息 地域 是 当前资源创建的region名称 上海上海36 名称 是 VPC的名称 VPC1 VPC网段（IPv4） 是 虚拟私有云VPC的IPv4网段范围 192.168.0.0/16 VPC网段（IPv6） 否 是否分配虚拟私有云VPC的IPv6地址，仅部分可用区资源池支持为VPC开启IPv6，不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 开启 IPv6地址类型 是 开启IPv6的情况下，显示此选项，默认仅支持中国电信单线 中国电信单线 VPC IPv6地址段 是 开启IPv6的情况下，显示此选项。 自动分配: 系统会在客户选定的IPv6地址类型中自动分配一个56位的可用网段。 手动分配：您可以输入十进制数字，来自定义VPC的IPv6网段。 IPv6地址类型为中国电信单线时，仅支持自动分配。 自动分配 企业项目 是 当前VPC所属的企业项目 default VPC描述 否 自定义的VPC描述文案 用于政务网的VPC 子网配置 子网类型 是 普通子网：默认选项，此类子网中可以用于创建除标准裸金属服务器外的资源，推荐选择； 标准裸金属子网：仅支持创建标准裸金属服务器和虚拟IP，仅部分可用区资源池支持此选项；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 普通子网 子网名称 是 子网的名称 政务子网 子网网段(IPv4) 是 子网的私有IPv4网段 192.168.0.0/24 网关(IPv4) 是 子网的网关地址 对于可用区资源池，网关地址默认为.1,不可以指定其他地址（部分可用区资源池指定其他地址；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准） 对于地域资源池，网关地址默认为.1,可以指定其他地址 192.168.0.1 DHCP(IPv4) 是 子网的DHCP地址，仅部分可用区资源池支持指定；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 192.168.0.2 子网IPv6网段 否 是否分配子网的IPv6地址 开启 子网IPv6地址段 是 子网开启IPv6的情况下，显示此选项。 自动分配: 系统会在客户选定的IPv6地址类型中自动分配一个56位的可用网段。 手动分配：您可以输入十进制数字，来自定义VPC的IPv6网段。 IPv6地址类型为中国电信单线时，仅支持自动分配。 仅部分可用区资源池支持此选项；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 自动分配 DNS服务器地址 否 子网内的云主机访问公网时的DNS 服务器地址，DNS服务器地址最多支持两个IP，请以英文逗号隔开。若您想要通过内网DNS访问云上服务，可以设置的DNS服务器地址为100.95.0.1。 100.95.0.1 子网描述 否 自定义的子网描述文案 政务网VPC1的xx业务子网

本章节主要介绍数据治理中心的新建连接功能。 操作场景 用户在创建数据迁移的任务前，需要先创建连接，让CDM集群能够读写数据源。一个迁移任务，需要建立两个连接，源连接和目的连接。不同的迁移方式（表或者文件迁移），哪些数据源支持导出（即作为源连接），哪些数据源支持导入（即作为目的连接），详情请参见支持的数据源。 不同类型的数据源，创建连接时的配置参数也不相同，本章节指导用户根据数据源类型创建对应的连接。 约束限制 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 前提条件 已具备CDM集群。 CDM集群与目标数据源可以正常通信。 1. 如果目标数据源为云下的数据库，则需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP、CDM云上安全组出方向放通云下数据源所在的主机、数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 2. 如果目标数据源为云上服务（如DWS、MRS及ECS等），则网络互通需满足如下条件： ①CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 ②CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 ③此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 已获取待连接数据源的地址、用户名和密码，且该用户拥有数据导入、导出的操作权限。 使用Agent时需用主账户给子账户赋予CDM操作权限。

本小节介绍服务器安全卫士的应用场景。 主机安全防护 主机安全，是企业网络安全的最后一公里，一旦被攻击会直接影响到企业业务。正因如此，国家相关法律法规对主机的入侵检测和恶意木马的防护都有严格的要求。入侵检测以生产服务器为安全防护中心，横跨物理和虚拟环境，私有云、公有云和混合云等多种云环境下物理机、云主机、虚拟机，甚至容器等工作负载，能够实时、准确地感知入侵事件，发现失陷主机，并根据入侵场景不同，提供了包括自动封停、手动隔离、黑 / 白名单和自定义处理任务等多种处理方式，让用户从根本上解决入侵事件。有主机的地方就需要主机入侵检测。 发现新型漏洞 至今已积累30000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网90%安全防护。同时，基于Agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。更新的补丁库以及Agent探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

此小节介绍云堡垒机产品定义。 云堡垒机提供云计算安全管控的系统和组件，包含部门、用户、资源、策略、运维、审计等功能模块，集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口，基于协议正向代理技术和远程访问隔离技术，实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。 服务特点 一个实例对应一个独立运行的系统，通过配置实例部署系统后台运行基本环境。系统环境独立管理，保障系统运行安全。 一个单点登录系统，提供统一的单点登录入口，轻松地集中管理大规模云上资源，避免资源账户泄露危险，保障资源信息安全。 符合“网络安全法”等法律法规，满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求； 满足金融监管部门的技术审计要求； 满足各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等）对运维审计的要求。

本章节主要介绍连接类问题。 RabbitMQ如何配置安全组？ RabbitMQ实例支持VPC内访问和公网访问，配置安全组的方式如下： VPC内访问实例 客户端只能部署在与RabbitMQ专享实例处于相同虚拟私有云（VPC）和相同子网的弹性云主机（ECS）上。 除了ECS、RabbitMQ专享实例必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，客户端才能访问RabbitMQ专享实例。 1. 建议ECS、RabbitMQ专享实例配置相同的安全组。安全组创建后，默认包含组内网络访问不受限制的规则。 2. 如果配置了不同安全组，可参考如下配置方式： 说明 假设ECS、RabbitMQ专享实例分别配置了安全组：sg53d4、sgRabbitMQ、DefaultAll。 以下规则，远端可使用安全组，也可以使用具体的IP地址。 ECS所在安全组需要增加如下规则，以保证客户端能正常访问RabbitMQ专享实例。 图 配置ECS安全组 表 安全组规则 方向 协议端口 目的地址 出方向 全部放通 DefaultAll RabbitMQ专享实例所在安全组需要增加如下规则，以保证能被客户端访问。 图 配置RabbitMQ专享实例安全组 表 安全组规则 方向 协议端口 源地址 入方向 全部放通 sg53d4 通过公网访问实例 RabbitMQ实例所在安全组需要增加如下规则，以保证能被客户端访问。 表 安全组规则 方向 协议端口 源地址 入方向 TCP:5672 0.0.0.0/0 具体如下图所示。 图 安全组规则1