本节介绍如何开启病毒防御功能、修改病毒防御动作。 病毒防御（AntiVirus，AV）功能通过病毒特征检测来识别和处理病毒文件，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生，有效保护您的业务安全。 病毒防御功能支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 规格限制 仅专业版支持病毒防御功能。 开启病毒防御拦截病毒文件 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 病毒防御”，进入“病毒防御”页面。 5. 单击按钮，开启病毒防御功能。 说明 开启病毒防御功能后，防火墙“当前动作”默认为“禁用”，修改防御动作请参见“修改病毒防御动作提升防护效果”。

虚拟私有云支持主动访问公网,本文带您快速了解通过单个ECS访问公网和多个ECS访问公网。 单个弹性云主机访问公网 当您的某台弹性云主机需要主动访问公网，可以为弹性云主机绑定弹性IP，即可实现公网访问。 多个弹性云主机访问公网 如果您有多个弹性云主机实例需要访问公网，可以使用NAT网关服务，并将多个弹性云主机实例与NAT网关关联。按子网配置SNAT规则，轻松构建VPC的公网出口。对比弹性IP访问公网，在未配置DNAT规则时，外部用户无法通过公网直接访问NAT网关的公网地址，保证了弹性云主机的相对安全。 对于可用区资源池，云主机使用弹性IP或者NAT网关的操作方法可以参考如何通过弹性IP或者NAT网关访问公网页面。

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 可用区 是 多可用区资源池可选择伸缩组绑定的伸缩配置，在指定可用区扩缩容。当伸缩配置绑定的伸缩组使用优先级扩容策略时，可用区选择顺序将决定优先级。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格>请选择云主机” 创建配置，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，接下来根据实际业务需求配置云主机类型、vCPU、内存、镜像（支持公共镜像、私有镜像或共享镜像）、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址与互联网互通。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能对外提供访问服务，仅可在虚拟私有云内部进行内网互通。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。密钥对指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。 说明： 如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件且可以登录云主机，否则，将影响您正常登录弹性云主机。 密码指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码，并确认密码，确保能够成功登录云主机。 云监控 否 是否开启详细监控。若开启，在云主机创建成功后35分钟将自动执行详细监控Agent安装，可获取云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则通过该伸缩配置创建的云主机无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

如果您需要对天翼云上购买的运维安全中心实例资源进行管理，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并使用策略来控制对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有运维安全中心实例的使用权限，但是不希望员工拥有创建、变更规格、升级实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用实例，但是不允许创建、变更规格、升级CBH实例的权限策略，控制员工对实例资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用运维安全中心的其它功能。 运维安全中心实例权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBH实例部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北北京1）对应的项目（cnnorth1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBH实例时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对运维安全中心实例，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了运维安全中心实例的部分系统权限。 系统角色/策略名称 描述 类别 CBH FullAccess 运维安全中心实例的所有权限（支付权限除外）。 系统策略 CBH ReadOnlyAccess 运维安全中心实例只读权限，拥有该权限的用户仅能查看运维安全中心服务，不具备服务配置和操作权限。 系统策略 说明 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 如下表列出了CBH实例常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 CBH FullAccess CBH ReadOnlyAccess 创建运维安全中心 √ x 变更运维安全中心规格（变更规格） √ x 查询运维安全中心列表 √ √ 升级运维安全中心软件版本 √ x 查询ECS配额 √ x 绑定或解绑EIP √ x 重启运维安全中心 √ x 启动运维安全中心 √ x 关闭运维安全中心 √ x 查看运维安全中心可用区 √ x 检测当前配置是否支持创建IPv6运维安全中心 √ x 检测运维安全中心与License中心之间网络是否连通 √ x 修改运维安全中心网络，确保与License中心网络连通 √ x

分类 WAF云SaaS模式 域名接入 WAF云SaaS模式 ELB接入 WAF独享模式接入 使用场景 适用于个人、政企、金融客户 支持天翼云、其他公有云、线下IDC等公网访问场景 大型企业网站，对业务稳定性有较高要求的安全防护需求 适用于业务资产在云上，有较高个性化配置和资源独享的用户安全防护需求 产品优势 弹性扩容能力强，通过升级规格可以扩容防护能力 支持IPv6防护 不改变业务架构，水平扩展防护能力 旁路部署，业务零影响 可靠性高 当WAF发生故障时，流量将直接通过ELB发送给后端，不影响客户正常业务 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低 业务部署位置 业务服务器部署在天翼云、非天翼云或线下 业务服务器部署在天翼云 业务服务器部署在天翼云 防护对象 域名 域名、IP（公网IP/私网IP） 域名、IP（公网IP/私网IP） 服务版本 基础版、标准版、企业版、旗舰版 标准版、企业版、旗舰版 单机版、集群版 接入指导 1. 1. 1.

本节介绍云等保专区产品的下一代防火墙。 下一代防火墙能够提供应用层防火墙、入侵防护、防病毒、反APT、DOS防护、内容过滤、URL过滤、智能带宽管理、上网行为管控与审计等多重安全特性；同时，它全面适配云环境，支持主流的公有云、私有云及虚拟化平台；全特性支持RESTful API，具备高效的协同联动能力，能够提供立体化防护能力。 进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“下一代防火墙”，进入下一代防火墙资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到下一代防火墙控制台。 使用下一代防火墙 了解更多下一代防火墙相关操作内容，请下载阅读《云等保专区下一代防火墙 v1.0 用户指南》。

网络及高级配置 设置网络，包括"网卡"、"安全组"，这里，为安全和成本考虑，我们先不设置弹性IP，后续按需开放IP；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 4. 确认并支付 步骤二：配置弹性负载均衡 现在，我们已经有了两台 DeepseekR132B 服务器，接下来，我们利用弹性负载均衡构建一个可任意横向扩容的 Deepseek 集群。 1. 配置 vllm 服务 首先需要为所有服务器上的 vllm 服务配置相同的 apikey。 服务的配置文件目录在 /var/vllmservice.env ，我们将APIKEY 设置为想要的值。 然后重启服务。 plaintext systemctl restart vllm 2. 创建弹性负载均衡 我们参考弹性负载均衡官方文档进行服务创建。 1. 创建弹性负载均衡 在此例中，我们的Deepseek集群仅用于集群自带的 Open WebUI内网使用，不涉及外网通讯，因此 “网络类型” 选择 “内网”，如果你想将此集群暴露到外网，则选择外网。VPC和子网跟 Deepseek 服务器保持一致。 2. 创建监听器 完成网络负载均衡创建，接下来配置监听器，在负载均衡列表页，点击开始配置。 端口类型，选择 “HTTP”，端口填 8000。 进入下一步，创建健康检查。这里我们通过 HTTP 进行健康检查，返回码部分选择 2xx、3xx、4xx。 点击“立即创建”，完成创建。 3. 为监听器开通GPU云主机白名单 此时监听器列表中，我们可以看到访问Deepseek服务器的主机组地址为 “100.89.0.0/16”，我们需要在Deepseek集群的安全组中，为vllm端口配置此地址的白名单。 为Deepseek云主机所在的安全组新增规则，操作文档详见添加安全组规则帮助文档。 4. 为监听器添加后端云主机 选中主机，然后下一步。 设置端口为 “8000”。 点击确认即可完成配置。 5. 验证连通性 监听器页面，显示监控检查正常。 通过一台 Deepseek 服务器，测试负载均衡连通性。

如何从第三方云厂商将日志搬迁到天翼云。 若您在其他第三方云厂商使用日志服务，且已有大量的日志数据在第三方云厂商对象存储上，希望将日志搬迁到天翼云，对于不同的日志类型，请参考如下方法： 标准日志（搜索分析）：保存714天，主要用于应用运维等场景，该日志不需要搬迁到天翼云云。您可直接开通使用天翼云云日志服务，在运行14天后，第三方云厂商保存的日志将自然就老化删除。详细请参考云日志服务快速入门。 归档日志（等保合规）：保存180天以上，主要用于安全合规等场景，该日志一般转储存放到对象存储中。您使用对象存储的迁移功能，将第三方云厂商保存在对象存储中的文件迁移到天翼云对象存储服务中。详细操作请参考迁移第三方云厂商数据至天翼云对象存储。

本文介绍出现网站访问异常的情况如何处理。 网站接入Web应用防火墙（边缘云版）之后出现访问异常的情况，一般可以通过以下流程进行排查修复： 检查源站是否正常 可通过直接将域名指向源站IP的方式（修改本机HOSTS文件），不经过Web应用防火墙（边缘云版）防护节点直接访问源站，确认源站能否正常响应。如果直接访问源站也访问异常，证明是源站本身存在问题，需要到源站排查定位问题并修复处理。 检查是否被Web应用防火墙（边缘云版）服务误拦截 可通过Web应用防火墙（边缘云版）控制台的“日志管理 > WAF攻击日志”页面查看是否相关的攻击日志记录，如果有对应的攻击记录并分析确认该请求为正常请求则可通过添加白名单规则的方式放行请求。如果没有相关攻击日志记录，可进一步到“域名列表 >安全防护 > 安全基础配置”页面将防护模式开关修改成关闭，然后再尝试访问网站，如果访问异常的情况依旧存在，则证明不是Web应用防火墙（边缘云版）防护影响的异常，需要从其他方面排查。 常见请求错误的排查定位 400 Bad Request ：客户端请求提交的内容不符合源站程序的校验，请检查请求格式和源站要求的校验格式是否一致。 413 Request Entity Too Large ：请求体太大超过服务器限制，请检查源站的网关和WEB服务器限制的请求大小是否需要调大。 502 Bad Gateway：网关错误，请检查源站是否异常，如果直接访问源站正常，则检查是否有黑名单、iptables等防火墙限制了防护节点的回源请求。 HTTPS访问异常：确认上传到WAF控制台的HTTPS证书是否失效，检查HTTPS证书链是否完整。

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 可用区 是 多可用区资源池可选择伸缩组绑定的伸缩配置，在指定可用区扩缩容。当伸缩配置绑定的伸缩组使用优先级扩容策略时，可用区选择顺序将决定优先级。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格 > 请选择云主机“快速创建伸缩配置。创建配置时，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，根据实际业务需求配置云主机类型、vCPU、内存、镜像（支持公共镜像、私有镜像或共享镜像）、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址对外提供访问服务。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可在虚拟私有云内部使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽大小可以根据您的业务需要设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。 密钥对：指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 密码：指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码用于登录云主机。 云监控 否 是否开启详细监控。若开启，在云主机创建成功后35分钟将自动执行详细监控Agent安装，可获取云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则通过该伸缩配置创建的云主机无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

查询轻量型主机详细信息 接口功能介绍 该接口提供用户轻量型云主机信息查询功能，用户可以根据此接口的返回值了解自己轻量型云主机的详细信息。 URI GET /v4/ecs/lite/details 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID，您可以调用regionID查看最新的天翼云资源池列表 888888c8888888e8a8888888ac888888 instanceID 是 String 云主机ID 88f888ea88ff88eca8bc888888888fe8 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码(800为成功，900为失败) 800 errorCode String 业务细分码，为product.module.code三段式码，详见错误码说明 Openapi.PatternCheck.NotValid message String 失败时的错误描述，一般为英文描述 SUCCESS description String 失败时的错误描述，一般为中文描述 成功 returnObj Object 成功时返回的数据 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 resourceID String 云主机资源ID f88bc88a88a888e8a88bf88888888888 instanceID String 云主机ID 88f888ea88ff88eca8bc888888888fe8 displayName String 云主机显示名称 ecs8888 instanceName String 云主机名称 ecs8888 osType Integer 操作系统类型，取值范围：1: linux，2: windows，3: redhat，4: ubuntu，5: centos，6: oracle 5 instanceStatus String 云主机状态，取值范围：backingup: 备份中，creating: 创建中，expired: 已到期，freezing: 冻结中，rebuild: 重装，restarting: 重启中，running: 运行中，starting: 开机中，stopped: 已关机，stopping: 关机中，error: 错误，snapshotting: 快照创建中 running expiredTime String 到期时间 20230419T09:37:53Z updatedTime String 更新时间 20221019T09:37:53Z createdTime String 创建时间 20221019T09:37:53Z attachedVolume Array of Strings 附加卷 ["8e8f8bc8b8ad8a8e8e8888cd88888e88"] addresses Object 网络地址信息 addresses secGroupList Array of Objects 安全组信息 securityGroup networkCardList Array of Objects 网卡信息 networkCard image Object 镜像信息 image flavor Object 规格信息 flavor vpcID String vpc ID b1a5ff70cdd142958a1707b7e53c5759 vpcName String vpc名称 liteecsnetwork zabbixName String 监控对象名称 8a8fdc88b8a888bb888f8b88888c88f8 bandwidth Integer 带宽 2 bootDiskSize Integer 系统盘大小 40 表 addresses 参数 参数类型 说明 示例 下级对象 addressList Array of Objects 网络地址列表 addressList 表 securityGroup 参数 参数类型 说明 示例 下级对象 securityGroupID String 安全组ID c6e1d96acff845c097db91fca62b5f26 securityGroupName String 安全组名称 VM79ab13b6 表 networkCard 参数 参数类型 说明 示例 下级对象 IPv4Address String IPv4地址 10.0.0.1 subnetID String 所处的子网ID f24f56956eaa4ff9b986fb8f33a7fad4 表 image 参数 参数类型 说明 示例 下级对象 imageID String 镜像ID b88888b8ff888888b88f8c8fbc888b88 imageName String 镜像名称 CentOS7.5.v120210303 表 flavor 参数 参数类型 说明 示例 下级对象 flavorID String 规格ID 8f8ba88888e8ea88ea8b888888dded88 flavorName String 规格名称 s7.medium.2 flavorCPU Integer VCPU 1 flavorRAM Integer 内存 2048 表 addressList 参数 参数类型 说明 示例 下级对象 addr String 地址 192.168.0.62 version Integer IP版本 4 type String 网络类型 fixed

本节介绍如何为Web应用防火墙v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 Web应用防火墙设备开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 Web应用防火墙开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的Web应用防火墙、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启Web应用防火墙系统 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 重启”。 登录Web应用防火墙界面 在云等保专区左侧导航栏，选择“Web应用防火墙”，在目标资源右侧操作列单击“配置”，进入Web应用防火墙界面。 开启IPv6防护 开通Web应用防火墙v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

本文说明安全加速产品升级情况。 尊敬的天翼云客户： 因业务调整，从2024年12月1日起，天翼云安全加速产品将并入边缘安全加速平台，边缘安全加速平台安全与加速服务可提供提供动静态加速、DDoS防护、Web防护、Bot管理和API安全能力，相比于安全加速的应用场景更丰富。 新购客户：2024年12月1日起，将无法订购安全加速产品。如需订购，请订购其升级产品边缘安全加速平台安全与加速服务。 存量客户：安全产品将持续提供服务至您当前订单周期结束，但从2024年12月1日起，将无法进行续订和变更。如需续订，请订购其升级产品边缘安全加速平台安全与加速服务；如需变更，请先退订安全加速产品，再通过订购边缘安全加速平台的安全与加速服务服务来满足您的需求。 如有任何问题，请您随时通过在线客服或服务热线4008109889联系我们，我们将竭诚为您服务。 感谢您对天翼云的支持！ 天翼云服务团队

注： 每一步请截图保存结果备查 插件版本 云监控插件版本分为：ctcmagent 与 telegrafagent。最新版本为 telegrafagent，因新版 telegrafagent 具有cpu、内存消耗低等优点，如果资源池具备条件，建议您安装最新版 telegrafagent。 注意 本文主要介绍 CtcmAgent 插件问题排查，telegrafagent 相关排查信息参见 当前 telegrafagent 仅支持部分地区，除 telegrafagent 支持地区外即默认为 CtcmAgent 支持地区。telegrafagent 支持地区参见 确认插件版本 在主机内输入如下命令，对应命令有显示，则表明安装了对应 agent 版本。 shell systemctl status ctcmagent systemctl status telegraf CtcmAgent： telegrafagent： 如果是 telegrafagent，则参见telegrafagent 排查指引。 一、Linux系统监控无数据问题 1. 重启查看服务状态 systemctl status ctcmagent 若为: Unit ctcmagent.service could not be found ，则为系统未安装监控服务，跳过后边步骤即可 下面示例为运行中： 2. 查看网络连通问题 ping 169.254.169.254 若ping不通，说明网络连通故障或目标IP禁ping 执行 curl 169.254.169.254:10051 或 telnet 169.254.169.254 10051 若报错，则目标主机的10051不通，网络存在问题 正常应该为

配置会话在开启后，当CPU和内存使用率超过服务器配置时，将自动禁止新增会话。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“会话限制配置”模块的右侧，单击“编辑”，进入“会话限制配置”页面。 4、开启会话限制的开关状态为默认开启，并设置CPU和内存的使用率，当达到设置的使用率，将停止新增会话。 5、单击“确定”，完成配置。

查看基线检查详情 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 约束限制 未开启防护不支持基线相关操作。 前提条件 配置检查只有开启了防护且防护配额在企业版及以上的主机数据才会显示在列表中。 检查项列表 检查项 说明 配置检查 目前支持的检测标准及类型如下： 1、Linux系统： 云安全实践：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOSext。 等保合规：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Redhat6、Redhat7、Redhat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18。 2、Windows系统： 云安全实践：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows2008、Windows2012、Windows2016、Windows2019。 口令复杂度策略检测 检测系统帐号的口令复杂度策略。 经典弱口令检测 通过与弱口令库对比，检测帐号口令是否属于常用的弱口令。 支持MySQL、FTP及系统帐号的弱口令检测。 查看配置检查 查看配置检查的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、 无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。 云安全实践 等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、单击目标检查项“操作”列的“检测详情”，查看检查项描述、审计描述和修改建议。 您需要确认检查的风险项是否是致命或需要修改的风险。 如果是，可根据修改建议对目标检查项进行修改。如果不是，可在配置检查项列表页面单击目标检查项“操作”列的“忽略”操作进行忽略。 查看检查项详情 查看口令复杂度策略检测 查看口令复杂度策略检测的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“口令复杂度策略检测”页签，查看口令复杂度策略检测的风险统计项及修改建议，参数说明如表59所示。 口令复杂度策略检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及IP地址。 口令长度 目标服务器的口令长度是否符合标准。 符合 不符合 大写字母 目标服务器的口令大写字母是否符合标准。 符合 不符合 小写字母 目标服务器的口令小写字母是否符合标准。 符合 不符合 数字 目标服务器的口令数字是否符合标准。 符合 不符合 特殊字符 目标服务器的口令特殊字符是否符合标准。 符合 不符合 建议 对目标服务器发现的口令风险的修改建议。 查看经典弱口令检测 查看经典弱口令检测的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“经典弱口令检测”页签，查看服务器中存在风险的弱口令帐号的统计，参数说明如表所示。 经典弱口令检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及IP地址。 帐号名称 目标服务器中被检测出是弱口令的帐号。 帐号类型 帐号的类型。 弱口令使用时长（单位：天） 目标弱口令使用的时间周期。 注意 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证 ：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 口令设置建议：设置长度超过8个字符且均包含大写字母、小写字母、数字和特殊字符。 导出基线检查报告 在基线检查页面，可对配置检查和经典弱口令检查详情进行导出，列表右上角单击 ，可将所有云服务器的配置检测风险列表下载到本地。 不支持对单个云服务器执行导出。 单次最大导出告警数为5000条。

产品优势 一句话命令，跨终端远程智控 CoSpace是云智助手新增的AI云电脑桌面智能体功能，作为办公场景下的全天候AI工作伙伴，主打"一句话命令、跨终端远程智控云电脑"核心能力。用户无需额外下载，通过简单对话即可完成文件查找、办公软件操作、任务执行等复杂办公需求。 多端无缝接入 支持移动端、桌面端、H5端等多端访问，实现真正的跨终端协同办公。无论您身在何处，都能随时随地智控云电脑。 企业级安全保障 依托天翼云强大算力底座，采用企业级沙箱防护方案，构建多层次安全体系，通过严格权限隔离防范各类安全风险，保障企业核心业务数据安全合规。 零门槛快速体验 云电脑已内置CoSpace专属镜像选择，用户一键开通或者切换到CoSpace后，只需在云智助手侧边栏点击「CoSpace智协空间」入口即可直接使用，技术小白也能轻松上手。 开通指引 开通步骤 方式一：新用户订购开通CoSpace专属镜像 1. 扫描以下二维码，或复制链接至浏览器打开++产品详情页++，点击“立即订购”； 2. 登录成功后，选择对应“Windows Server 2022 CoSpace智协空间 64位”镜像，其他配置按需选择，点击“立即购买”完成下单，可参照++快速订购流程++； 3. 下载云电脑客户端，登录即可使用。 注意CoSpace智协空间镜像会在按照资源池陆续上架，如所选择资源池未出现，请耐心等待。

本文为您介绍统一身份认证IAM。 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“第2步：创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。云硬盘备份VBS相关的系统策略包含如下： VBS Admin：云硬盘备份服务的管理者权限，包含云硬盘备份所有控制权限（不含订单类权限）； VBS Viewer：云硬盘备份服务的观察者权限，包含云硬盘备份服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“[第2步：创建自定义策略](

本章介绍关系数据库的优势，关系型数据库具有低成本、高安全性、高可靠性等优势，相对传统数据库运维繁琐等缺陷，关系型数据库使用更加方便简单。 低成本 即开即用 您可以通过官网实时生成目标实例，关系型数据库服务配合弹性云服务器一起使用，通过内网连接关系型数据库可以有效的降低应用响应时间、节省公网流量费用。 弹性扩容 可以根据您的业务情况弹性伸缩所需的资源，按需开支，量身订做。配合云监控（Cloud Eye）监测数据库压力和数据存储量的变化，您可以灵活调整实例规格。 完全兼容 您无需再次学习，关系型数据库各引擎的操作方法与原生数据库引擎的完全相同。关系型数据库还兼容现有的程序和工具。 运维便捷 RDS的日常维护和管理，包括但不限于软硬件故障处理、数据库补丁更新等工作，保障关系型数据库运转正常。提供专业数据库管理平台，重启、重置密码、参数修改、查看运行日志、恢复数据等一键式功能。提供CPU利用率、IOPS、连接数、磁盘空间等实例信息实时监控及报警，让您随时随地了解实例动态。 高安全性 网络隔离 通过虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组实现网络隔离。虚拟私有云允许租户通过配置虚拟私有云入站IP范围，来控制连接数据库的IP地址段。关系型数据库实例运行在租户独立的虚拟私有云内，可提升关系型数据库实例的安全性。您可以综合运用子网和安全组的配置，来完成关系型数据库实例的隔离。

本小节介绍处理容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 说明 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面。 告警事件状态说明 告警事件状态 告警事件状态说明 存在告警的服务器 展示存在告警容器的数量。 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 4、 处理告警事件。 告警事件展示在“容器安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计。 批量处理勾选的告警 a.任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如表76所示。 处理单个告警 a.选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如表所示。 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。

在购买DRDS实例之前，您需要先做一系列的准备操作，包括评估实例规格，确定虚拟私有云（VPC）及可用区等。 评估实例规格 在购买DRDS前，您需要根据应用的实际情况，评估所需要的计算和存储能力，同时结合业务类型及规模，选择合适的实例规格，更好地满足应用需求。实例规格主要包括：实例的性能类型、CPU和内存等，更多实例规格信息，请参见规格。 确定VPC VPC为DRDS实例提供了网络隔离和访问控制，在创建VPC时，利用子网、安全组等网络特性，可以更便捷、安全地进行内部网络的配置和管理。 注意 DRDS实例必须与MySQL实例在同一个VPC内，且两者的安全组需要确保DRDS与MySQL间网络互通。 建议 DRDS实例与应用程序处于在同一个VPC内，可以提高安全性和性能。 DRDS实例、MySQL实例与应用程序三者尽量选择同一个安全组，可以保证网络访问不受限制，并且便于统一管理。 确定可用区 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。

本文介绍了关系数据库MySQL版的关键配置参数信息，合理的参数可以发挥数据库MySQL最大的性能，不合适的参数值可能会影响业务运行。 本文只列举了一些重要参数说明，如需要查看更多参数详细说明，请参见 MySQL官网 。通过控制台界面修改MySQL参数值，请参见 修改参数组。 修改敏感参数 若干参数相关说明如下： lowercasetablenames 云数据库默认值："1" 作用 ：mysql设置大小写是否敏感的一个参数。默认值"1"，表示创建数据库及表时，存储在磁盘是小写的，比较的时候是不区分大小写。 目前关系数据库MySQL版仅支持lowercasetablenames1，不区分大小写，后续将推出支持区分大小写功能，请关注产品动态。 innodbflushlogattrxcommit 云数据库默认值： " 1" 作用 ：该参数控制提交操作安全和高性能之间的平衡。设置为默认值"1"，每次事务提交时，将log buffer的数据写入到log file中，并且同时将log file向磁盘中写入 ；当设为"0"时，每秒将写入log buffer到log file中，且同时将log file向磁盘中写入 （该模式下在事务提交的时候，不会主动触发写入磁盘的操作）；如果设为"2"，则每次事务提交时 将log buffer的数据 写入到log file中，大约每秒将log file向磁盘中写入，与log buffer写入不同步 。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。设置为"0"时，写入速度快，但是不安全，如果mysqld进程崩溃，导致上一秒的所有事务中的操作数据丢失。设置为"1"时，写入速度最慢，但是安全，即使mysqld进程崩溃或者服务主机宕机，log可能最多只丢失一个语句或者一个事务的操作数据。设置为"2" 时，写入速度快，比 "0" 安全，只有服务主机宕机时，会导致上一秒的所有事务中的操作数据丢失。 POC建议值："2" syncbinlog 云数据库默认值："1" 作用 ：该参数控制MySQL 的二进制日志（binary log）同步到磁盘的频率，取值：0N。设置为默认值"1"，表示每进行1次事务提交之后，MySQL将进行一次fsync之类的磁盘同步指令来将binlogcache中的数据强制写入磁盘，是最安全的设置；设置为"0"时，表示当事务提交之后，MySQL不做fsync之类的磁盘同步指令刷新binlogcache中的信息到磁盘，而让Filesystem自行决定什么时候来做同步，或者cache满了之后才同步到磁盘。此时的性能最好，但风险也是最大，因为断电或操作系统崩溃情况下，在binlogcache中的所有binlog信息都会被丢失。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。 POC 建议值 ："1000" innodbbufferpoolsize 云数据库默认值 ： "规格参数，开通的不同实例规格默认值不同"。 作用 ：该参数定义了 InnoDB 存储引擎的表数据和索引数据的最大内存缓冲区大小，数据在内存中的读写速度是磁盘读写速度的很多倍，增加该值可减少磁盘I/O。 影响：过大的buffer pool可能导致系统OOM崩溃，请谨慎修改。 POC建议值：32G及以上规格可将其调整至内存的70%~75%。

本节主要介绍IAM用户密码。 对于IAM用户，点击“访问控制”>“安全凭证”>“密码”，可以修改登录密码。 注意 只有具有更改密码权限用户的子用户才能进行更改密码。根用户的密码通过天翼云页面修改。

镜像服务广泛应用于多种场景,本文带您更快了解镜像服务经典应用场景。 部署特定软件环境 适用场景 使用共享镜像、私有镜像都能帮助快速搭建特定的软件环境，免去了自行配置环境、安装软件等繁琐且耗时的工作，并能满足建站、应用开发、可视化管理等多种个性化需求，让弹性云主机“即开即用”，省时方便。 场景痛点 通常情况下，用户安装操作系统后，系统内没有安装一些常用的软件或配置，手动安装配置相当繁琐。当需要批量部署软件环境时，更是需要一个个去配置，相当费时费力。 推荐配置及架构 弹性云主机、物理机、镜像服务 产品优势 操作便捷：根据用户需求，用户可选取需要的镜像即可运行需要的环境，不再需要人工安装操作系统后再一个个部署需要的环境，对用户的时间和专业能力均没有要求。 安全稳定：天翼云提供的公共镜像皆已经过严格测试，能够保证镜像安全、稳定，保障用户业务的稳定不间断运行。 选择灵活：用户除了可以选择官方提供的公共镜像外，如果用户有特殊的需求，也可以根据自己的需求自己制作私有镜像上传，或者通过其他用户分享给自己使用。 云主机重装系统

本文为您介绍统一身份认证IAM。 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“第2步：创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。云主机备份CSBS相关的系统策略包含如下： CSBS Admin：云主机备份服务的管理者权限，包含云主机备份所有控制权限（不含订单类权限）； CSBS Viewer：云主机备份服务的观察者权限，包含云主机备份服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“[第2步：创建自定义策略](

本文介绍云容器引擎Serverless版的产品优势。 开箱即用 一键创建 Kubernetes 集群、直接部署应用程序，无需管理Kubernetes节点和服务器。 原生兼容 提供完善的Kubernetes兼容能力，支持原生Kubernetes应用和生态，可以轻松迁移已有的Kubernetes应用程序。 安全隔离 Pod基于弹性容器实例ECI服务运行，实现了安全隔离的容器运行环境，避免了容器实例间相互影响的问题。 降低成本 提供按需创建、按量计费的模式，避免了不必要的资源浪费和成本费用，同时Serverless也大大降低了运维成本。 服务集成 支持与天翼云基础服务无缝集成，可以使用一体化控制台高效操作。

本节介绍云等保专区产品的计费方式,包括计费模式、计费项。 计费模式 云等保专区产品采用包周期计费模式，起售周期为3个月。 支持续订，续订周期为1个月起。关于续订的更多信息请参见续订。 计费项 云等保专区根据产品类型 、产品版本 、产品数量 、产品规格 进行收费。详细价格请参见产品价格。 说明 在“二类节点”区域 （云等保专区支持的区域请参见支持的区域），除“云安全中心v2.0、主机安全v2.0、Web应用防火墙v2.0 SaaS版”外，购买其他原子能力时还需要同时购买原子能力所依赖的基础资源（包括弹性云主机、弹性IP等），基础资源与原子能力一起计费，统一下单。相关基础资源的价格请以对应产品的实际定价为准，详细说明请参见云主机计费说明、弹性IP计费说明。 云等保专区提供等保固定套餐，用户可以根据自身诉求选择不同版本套餐；也可以根据实际情况，选择自定义版，自行搭配进行选择。 套餐 说明 固定套餐 提供等保二级基础版、等保二级高级版、等保三级基础版以及等保三级高级版固定套餐。更多信息请参见[产品套餐说明](

本节介绍网络的用户指南：为Pod配独占网卡和固定IP及独立子网、安全组。 背景信息 独占ENI模式可为Pod提供最佳网络性能，提供高网络吞吐量和无限接近主机的网络延迟，适用于对网络性能有严格需求的场景，如视频流、科学计算等。该模式下，Cubecni插件将弹性网卡（ENI）投射到Pod给Pod独占使用，支持为有状态集（StatefulSet）提供固定IP能力，以及Pod或Namespace粒度的子网和安全组配置。 使用限制 Cubecni支持版本为v1.1.3，可检查kubesystem下守护进程cubecni的cubecnidaemon镜像版本是否不低于v1.1.3 独占ENI的Pod不支持NetworkPolicy，可配置安全组实现访问控制 使用独占ENI的Pod，其部署密度受到云主机ENI数限制，详见弹性网卡使用限制 固定ENI（IP）只适用于有状态集 该特性目前处于内测阶段，仅对以下资源池开放：华东1，华北2，长沙42，杭州7，上海15，乌鲁木齐7，武汉41，芜湖4，西安7，西南1，西南2，上海36，呼和浩特3 使用方法 步骤1和步骤2可选，用于声明带特定标签的Pod或特定Namespace下的Pod的独占ENI使用哪些子网和安全组，从而实现Namespace或Pod粒度的子网和安全组配置； 步骤3演示如何创建使用独占ENI的Pod，步骤4演示如何创建使用固定ENI（IP）的有状态集。

主要功能 云容器引擎支持对容器应用的全生命周期管理，具有以下功能： 集群管理 通过控制台一键创建Kubernetes集群，支持跨可用区高可用。 一站式容器管理 容器应用全生命周期管理。 高性能容器隧道网络、VPC网络等容器网络。 云硬盘EBS、弹性文件存储SFS、对象存储OBS等持久化存储支持。 资源、应用、容器多维度监控。 基于角色的权限管理和容器运行时安全。 应用市场内容 对接容器镜像服务SWR，支持自定义镜像和共享镜像。

设置应用控制策略后，业务云主机访问互联网需要对防火墙分配弹性IP地址。本小节介绍安全专区源地址转换方法。 配置方法： 点击【策略】→【地址转换】→【IPV4地址转换】→【新增】→【源地址转换】，进行相关策略配置。 原始数据包 源区域：选择“L3untrustA”； 网络对象：勾选区域，填写需要访问互联网的业务云主机对象； 目的区域/接口：选择“L3untrustA”； 网络对象：全部互联网对象。 转换后数据包 源地址转换为：指定IP； IP地址：eth0地址（与绑定弹性公网IP对应的私有地址）。