操作步骤：为子账号授权或调整子账号权限。 注意 请提前创建好子用户，并需子用户登陆天翼云后才可以同步到云容器引擎控制台。 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要授权的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择安全管理 > 授权，进入角色授权页面。 4、点击管理权限操作单个子账号权限，或选择多个子账号后点击添加权限为多个子账号批量授权，点击后进入集群RBAC配置页面。 5、在集群RBAC配置页面中，可以对子账号已有的用户权限进行调整或为子账号新增权限，权限可以限定单个命名空间或不限制命名空间（集群权限），子账号可设置的权限有内置权限（管理员、运维人员、开发人员、受限人员）和自定义权限，选择自定义权限可选择集群中创建的任意Cluster Role进行授权。 6、点击下⼀步完成授权。

本文介绍 AIuse 云电脑在接入、凭证管理、资源隔离和文件传输方面的安全建议。 凭证安全 AIuse 云电脑通过 AccessKey 进行调用鉴权。AccessKey ID 和 AccessKey Secret 应作为敏感信息管理。 建议： 不要将 AccessKey Secret 提交到代码仓库。 不要在前端页面或客户端安装包中内置 Secret。 不要在日志、截图或错误信息中输出完整 Secret。 不同项目、环境和任务批次使用不同 AccessKey。 AccessKey 疑似泄露时立即禁用并更换。 权限最小化 AccessKey 应只关联必要的云电脑。对于临时任务、测试任务和生产任务，建议使用不同 AccessKey，并分别控制其可访问资源。 桌面环境隔离 AIuse 云电脑任务运行在云端桌面环境中。为降低任务之间的相互影响，建议： 高风险任务使用独立云电脑。 不同业务线使用不同云电脑。 批量任务按资源池分配桌面。 任务完成后清理临时文件和中间结果。 文件安全 FileSystem 能力可读取和写入云电脑中的文件。业务系统应对可访问路径进行限制，避免误操作系统目录或敏感目录。 建议： 为任务分配独立工作目录。 对输入和输出文件进行命名规范管理。 对临时下载地址设置有效期。 对重要文件写入前进行路径校验。 对任务输出中的敏感数据进行脱敏或加密处理。 截图安全 截图可能包含业务数据、个人信息或系统敏感信息。建议： 仅在必要时保存截图。 对截图设置访问权限和保存期限。 对外共享截图前进行脱敏。 不在公开文档、工单或即时通讯中传播包含敏感信息的截图。

本文为您介绍VPC终端节点产品的定义、产品架构及其访问方式。 VPC终端节点（VPC Endpoint）是一种能够将VPC私密地连接到终端节点服务（云服务、用户私有服务）的解决方案。通过使用VPC终端节点，VPC中的云资源无需使用弹性IP就可以直接访问终端节点服务，从而提高了访问效率。这种灵活、安全的组网方式为用户提供了更高效的连接方式，保障了数据的安全性和隐私。 产品架构 VPC终端节点由两种资源实例组成：终端节点服务和终端节点。 终端节点服务：将云服务或用户私有服务配置为VPC终端节点支持的服务，允许终端节点连接和访问这些服务。 终端节点：用于建立VPC和终端节点服务之间便捷、安全、私密的连接通道。 通过访问已连接到服务的终端节点的地址，服务使用方主机可方便地访问该终端节点连接的服务，同时利用私有网络通信的优势来确保数据的安全性和隔离性。 如何访问VPC终端节点 VPC终端节点提供了方便的Web化管理控制台，供用户直接使用。同时，也提供了API方式，以便用户可以将终端节点集成到自己的系统中进行二次开发和自动化管理。 控制台方式：用户可以直接登录管理控制台来访问VPC终端节点。 如果用户已经注册了帐户，可以直接登录管理控制台，并从主页选择“网络 > VPC终端节点”来访问。 如果用户尚未注册，需要先在天翼云官网进行注册，然后再登录管理控制台。 API方式： 如果用户需要将VPC终端节点集成到第三方系统，以进行二次开发，可以使用API方式访问VPC终端节点。具体可参考VPC终端节点API参考。 这种方式允许用户通过基于HTTPS的请求来管理VPC终端节点，从而实现对终端节点的各种操作。

本文主要介绍弹性云主机支持审计的关键操作 弹性云主机（Elastic Cloud Server，以下简称ECS）是由CPU、内存、镜像、云硬盘组成的一种可随时获取、弹性可扩展的计算服务器，同时它结合VPC、虚拟防火墙、数据多副本保存等能力，为您打造一个高效、可靠、安全的计算环境，确保您的服务持久稳定运行。 通过云审计服务，您可以记录与弹性云主机相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的ECS操作列表 操作名称 资源类型 事件名称 创建云主机 ecs createServer 删除云主机 ecs deleteServer 启动云主机 ecs startServer 重启云主机 ecs rebootServer 关闭云主机 ecs stopServer 添加云主机网卡 ecs addNic 删除云主机网卡 ecs deleteNic 云主机挂载磁盘 ecs attachVolume 云主机器卸载磁盘 ecs detachVolume 重装操作系统 ecs reinstallOs 切换操作系统 ecs changeOs 变更规格 ecs resizeServer 说明 表2中ECS的操作，为底层（OpenStack）服务触发；部分事件名称与表1中重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表2中描述的事件。 表 云审计服务支持的ECS操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建云主机 server createServer 更新云主机 server updateServer 删除云主机 server deleteServer 操作云主机 server operateServer 设置元数据 server setMetadata 更新元数据/设置指定key的元数据 server updateMetadata 删除指定key的元数据 server deleteMetadata 云主机添加网卡 server createInterface 云主机卸载网卡 server detachInterface 清除指定虚拟机的密码(DB) server clearAdminPassword 云主机挂载卷 server attachVolume 云主机卸载卷 server detachVolume 更新配额 quotaSets updateQuotas 删除配额 quotaSets revertQuotasToDefaults 创建云主机组 serverGroup createServerGroup 删除云主机组 serverGroup deleteServerGroup 开启服务 computeService enableService 停止服务 computeService disableService 添加停止服务的原因 computeService logDisabledInfo 删除服务 computeService deleteService 创建规格 flavor createFlavor 删除规格 flavor deleteFlavor 添加/删除租户访问规格权限 flavor operateFlavorAccess 创建规格扩展属性 flavor createExtraSpecs 更新规格指定扩展属性 flavor updateExtraSpec 删除规格指定扩展属性 flavor deleteExtraSpec 创建keypair keypair createKeypair 删除keypair keypair deleteKeypair 创建主机组 hostAggregates createAggregate 更新主机组 hostAggregates updateAggregate 删除主机组 hostAggregates deleteAggregate 向主机组添加主机/从主机组移除主机/设置主机组元数据 hostAggregates operateAggregate

本文为您介绍合规检测功能的检测范围、前提条件、操作步骤以及配置介绍，帮助您更好地了解合规检测功能。 功能介绍 Web防护可以根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警。 检测范围 请求方法检测：只允许指定请求方法访问网站 请求协议检测：只允许指定协议版本访问网站 请求头部缺失检测：请求缺少指定头部禁止访问网站 数据重复检测：针对头部重复，参数重复进行拦截，禁止访问网站 请求数据长度限制：针对请求URL,头部参数进行长度限制，禁止访问网站 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用合规检测功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】 3. 进入“合规检测”页面，可以配置合规检测策略； 注意：域名新增时，会有一条全站合规检测的默认策略，可以通过【防护开关】来开启或者关闭，客户也可以自定义合规检测规则

创建关系数据库MySQL版实例后，需要将IP地址添加到白名单，该IP地址所属的设备才能访问该关系数据库MySQL版实例。本文介绍如何为关系数据库MySQL版设置IP白名单。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 主实例，只读实例，数据库代理的白名单彼此独立，各实例需要单独设置白名单。 前提条件 源IP能够与数据库实例所在的网络相互通信。 背景信息 关系数据库MySQL版实例已经支持安全组功能，在此基础上，使用IP白名单配置，可以强化数据库的安全管理。 管理白名单分组 创建白名单分组 注意 您可以在开通实例时选择是否将VPC网段加入到实例白名单中，使同一VPC内的云主机可访问该实例（目前仅部分资源池支持，以订购页实际显示为准），如果选择否，则即使同一VPC内云主机也访问不到数据库，需要在白名单中添加指定IP才可访问。 资源池架构升级前的实例，默认白名单功能是关闭的，即所有内网IP都可以访问；资源池架构升级后的实例（2024年12月30日前后），无论内网还是外网访问，无论是否同一VPC内，都需要配置白名单，只有白名单中的IP才可以访问数据库实例。 如果实例绑定了弹性IP，需要将访问弹性IP的源端地址的公网IP配置进白名单。（源端地址的公网IP指访问弹性IP对应机器的公网出口IP，可通过搜索引擎查询IP地址获取）。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击白名单与安全组，进入白名单与安全组管理页面。 5. 单击创建白名单分组。 6. 选择协议类型为IPv4或IPv6。 如选择IPv4协议，多个IP或者IP段通过英文分号分隔。如需放开特定网段需使用星号 代替，例如“172. . . ”、“192. 168 . . ”。 如选择IPv6协议，则需要填写具体的地址，不可用星号代替。 注意 IPv4和IPv6协议总共最多设置1000个IP地址或IP段，如果IP地址较多，建议将零散的IP合并为IP段，如：192.168.1.0/24。 如果IP段设置为 . . . ，则表示对所有公网开放。 7. 填写完毕，单击确定。 8. 从源IP访问数据库确认是否有连接报错。

如果您需要对云上购买的CTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CTS的使用权限，但是不希望他们拥有删除CTS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CTS，但是不允许删除CTS的权限策略，控制他们对CTS资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CTS服务的其它功能。 IAM提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 CTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CTS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略，策略是角色的升级版。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，CTS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如表1所示，包括了CTS的所有系统权限。 表 1 CTS系统权限 系统角色/策略名称 描述 类别 依赖关系 CTS FullAccess 云审计服务的所有权限。 系统策略 无 CTS ReadOnlyAccess 云审计服务的只读权限。 系统策略 无 CTS Administrator 云审计服务的管理员权限，拥有CTS的所有权限。 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、OBS Administrator和Security Administrator。 表2列出了CTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限的关系 操作 CTS FullAccess CTS ReadOnlyAccess CTS Administrator 查询事件列表 √ √ √ 查询配额 √ √ √ 创建追踪器 √ × √ 修改追踪器 √ × √ 停用追踪器 √ × √ 启用追踪器 √ × √ 查询追踪器 √ √ √ 删除追踪器 √ × √ 创建关键操作通知 √ × √ 修改关键操作通知 √ × √ 停用关键操作通知 √ × √ 启用关键操作通知 √ × √ 查询关键操作通知 √ √ √ 删除关键操作通知 √ × √

本文为您介绍如何快速配置CC防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 CC防护模式配置 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”区域，可以选择开启/关闭防护状态；同时可以直接选择防护模式。 配置项说明如下： 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见设置[自定义CC防护策略](

第5章 前提条件 客户需提前至少20个工作日申请驻场运维服务，天翼云解决方案架构师评估需求可行性，确定是否提供驻场运维服务。 购买驻场运维服务，客户须提供安全的办公环境，并保障天翼云驻场人员的人身安全。 驻场运维服务，客户需签署驻场运维服务进场和离场报告或签到表。 客户需在天翼云提供驻场运维服务后，提供必要的协助配合天翼云开展驻场运维工作。 客户需审核天翼云制定的驻场运维服务计划和服务方案，以书面形式（包括但不限于电子邮件）确认。如无正当技术理由，不能否定双方已确认的服务计划和服务方案。 客户需授权天翼云对云上资源进行监控和分析。 第6章 服务地点 驻场运维服务，客户需提供驻场地址。 第7章 服务内容 服务内容 服务描述 交付物 专属运维专家 专属运维专家作为统一服务接口，保障天翼云的稳定性 专属运维专家 运维群 为客户提供微信、企业微信或钉钉群中的一种，驻场运维服务响应时间小于5分钟 《运维群》 日常巡检 每天执行日常巡检，提前发现问题，按需提供巡检报告。5 8规格每工作日巡检一次，7 24规格每天巡检一次 《巡检报告》 风险处理 对巡检发现的容量、性能、安全、稳定性等风险，给出风险修复方案并通知客户执行实施优化 《风险处理清单》 故障处理 协调各方资源，快速进行故障定位并按需输出故障报告 《故障报告》 技术支持 提供云产品的使用支持，包括资源开通、配置、问题处理等 《常见问题列表》 监控告警 帮助客户监控云上资源，设置告警阈值，及时了解告警事件，快速处理告警事件 《告警事件清单》 备份管理 帮助客户按需设计备份方案，定期备份和检查备份可用性 《备份方案》 变更管理 云产品的升级、扩容、变更方案等的评审、协调、测试工作 《变更清单》 需求管理 提交客户需求，合理的需求排期进行研发 《需求清单》 成本优化 分析客户资源使用率并给出优化建议，降低客户成本 《成本优化》 运维月报 每月输出平台运维月报，汇报当月运维情况和优化建议 《运维月报》 服务说明： 专属运维专家作为天翼云驻场运维服务的统一接口，对接客户的运维工作。 天翼云为客户提供驻场运维服务群，可按客户习惯提供微信群、企业微信群或钉钉群中的一种，并承诺响应时间SLA。 专属运维专家定期向客户负责人汇报云上资源运行情况、风险修复情况、问题处理进展、资源使用情况等，并给出相应的优化建议。 故障处理，包括故障上报、资源协调、汇报进展、输出故障报告等，原则上只对重大级别的故障（影响关键业务运行）输出《故障处理报告》，其他情况由客户和专属运维专家协商是否输出《故障处理报告》。 天翼云不负责非天翼云平台和产品（如第三方软件、应用）的运维工作。 因客户自身原因导致的故障，不属于天翼云驻场运维服务范围。

在同一区域中，VPC终端节点可以建立终端节点（VPC内云资源）到终端节点服务（用户私有服务、云服务）的便捷、安全、私密连接通道。 基于上述功能，VPC终端节点主要应用于以下场景。 高速上云 本地数据中心可以通过VPN或者云专线连通VPC，利用建立的终端节点通过内网访问终端节点服务（用户私有服务、云服务）。 如上图所示，本地数据中心通过VPN或者云专线与VPC 1连通，实现： 利用终端节点1，通过内网访问云服务（如OBS、DNS等）。 利用终端节点2，访问VPC 1的云资源（如ECS 1）。 利用终端节点3，跨VPC访问VPC 2的云资源（如ECS 2）。 这种场景具有以下优势： 简单快速 本地数据中心直连终端节点服务，无需经过公网，访问时延小，效率高。 成本低廉 本地数据中心访问云上资源不占用用户的公网资源，降低使用成本。 跨VPC连接 在同一区域中，由于VPC之间逻辑隔离，不同VPC内的云资源不能直接通信。利用在不同VPC间建立的终端节点到终端节点服务的连接通道，可以实现跨VPC的资源通信。 如上图所示，利用终端节点与终端节点服务建立的跨VPC连接通道，实现VPC 1中的云资源（如ECS）通过内网访问VPC 2中的云资源（如ELB）。 这种场景具有以下优势： 性能高效 每个网关节点可支持百万级会话。 简化操作 资源秒级创建，快速生效，操作简单。 具体示例请参考： 配置跨VPC通信的终端节点（同一帐号） 配置跨VPC通信的终端节点（不同帐号）

威胁分析页面顶部的数据统计栏展示了所有安全组件产生的告警数量及风险级别。 风险项级别分为5级： 严重（红）； 高（橙）； 中（黄）； 低（蓝）； 提示（绿）。 统计项目包括存在告警的服务器数量、待处理告警数、急需处理告警数、所有告警总数，急需处理报警包括严重与高级别报警 。 点击统计项目数字及风险项级别，可以把统计项目与风险级别加为筛选条件，页面下方的趋势图、告警云、TOP10、告警列表会即时根据筛选结果更新。 如需取消筛选条件，在告警列表头上方删除条件。

本节介绍如何使用的公共接入点接入Kafka的方法，文档以Java代码为例。 前提条件 已配置正确的安全组。 已获取连接Kafka实例的地址。 如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 已创建弹性云服务器，如果使用内网同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。 使用内网同一个VPC访问，实例端口为8090，实例连接地址从控制台实例详情菜单处获取，如下图所示。 Maven中引入Kafka客户端 java Kafka实例基于社区版本2.8.2/3.6.2，推荐客户端保持一致。 org.apache.kafka kafkaclients 2.8.2/3.6.2 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); 生产者代码示例 java package com.justin.kafka.service.gw.plain; import org.apache.kafka.clients.producer.Callback; import org.apache.kafka.clients.producer.KafkaProducer; import org.apache.kafka.clients.producer.ProducerConfig; import org.apache.kafka.clients.producer.ProducerRecord; import org.apache.kafka.clients.producer.RecordMetadata; import org.apache.kafka.common.serialization.StringSerializer; import java.util.Properties; public class Producer { private final KafkaProducer producer; public final static String TOPIC "testtopic"; public final static String BROKERADDR "192.168.0.11:8090,192.168.0.9:8090,192.168.0.10:8090"; public Producer() { Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.ACKSCONFIG, "all"); props.put("retries",3); producer new KafkaProducer<>(props); } public void produce() { try { for (int i 0; i (TOPIC, data), new Callback() { public void onCompletion(RecordMetadata metadata, Exception exception) { if (exception ! null) { // TODO: 异常处理 exception.printStackTrace(); return; } System.out.println("produce msg completed, partition id " + metadata.partition()); } }); } } catch (Exception e) { // TODO: 异常处理 e.printStackTrace(); } producer.flush(); producer.close(); } public static void main(String[] args) { Producer producer new Producer(); producer.produce(); } }

本节介绍智算安全专区的应用场景。 大模型安全卫士 模型输入输出内容违规 场景特点：使用者输入违规内容（如违法犯罪、暴力色情等），诱导模型生成不相关或非法内容，造成不良影响。 解决方案：内置大模型内容安全引擎，在输入阶段评估提示词，防止生成非法结果；在输出阶段检测违规内容，及时阻断并进行事后审计。支持模型接口代理方式实时检测与阻断，通过三道过滤防线保障内容安全。 敏感数据安全脱敏 场景特点：在问答结果输出阶段，应用可能带出个人简历、薪资情况等敏感信息，导致泄露。 解决方案：在数据输入阶段介入脱密信息处理，使进入RAG 语料库的资料均为脱敏后材料，基于大模型的智能脱敏在保护敏感信息的同时保留数据可用性。 大模型安全测评 面向部署于息壤智算云平台并通过互联网提供服务的大模型系统，提供专业的安全评估服务。通过云端检测平台对暴露在公网的大模型进行全方位的安全检测与分析。该方案的制定基于以下核心考量： 业务必要性：大模型服务需通过互联网对外开放接口 安全挑战：面临来自互联网侧的黑客攻击与安全威胁 防护体系：通过构建管理规范、技术防护和运营保障三位一体的安全防御机制，实现风险的有效管控与消减 大模型安全护栏

本小节介绍如何使用AntiDDoS流量清洗。 AntiDDoS流量清洗服务（以下简称AntiDDoS）为弹性公网IP提供四到七层的DDoS攻击防护和攻击实时告警通知。同时，AntiDDoS可以提升用户带宽利用率，确保用户业务稳定运行。 AntiDDoS通过对互联网访问弹性公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，AntiDDoS为用户生成监控报表，清晰展示网络流量的安全状况。 本指南通过查看公网IP、开启AntiDDoS告警通知、配置AntiDDoS防护策略，以及查看监控和拦截报告的方式，指导您快速上手AntiDDoS流量清洗服务。 准备环境 1. 登录天翼云控制中心。 2. 在控制中心选择“计算 > 弹性云主机”，创建一台弹性云主机（ECS），用于AntiDDoS流量清洗提供DDoS攻击保护的弹性公网IP。 说明 ECS需要绑定一个弹性IP，具备外网访问权限。 如果用户已有VPC和ECS，可重复使用，无需多次创建。 查看公网IP 1. 选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS流量清洗页面。 2. 选择“公网IP”页签，查看已开启AntiDDoS防护的公网IP。 说明 购买了公网IP后，自动开启AntiDDoS“默认防护”。开启AntiDDoS防护后，即可对开启防护的IP地址提供DDoS攻击保护。 开启AntiDDoS防护后，当检测到报文总流量达到120Mbps时，触发流量清洗功能。如果需要配置AntiDDoS的防护策略，可以修改防护参数。 AntiDDoS为普通用户提供2Gbps的DDoS攻击防护，最高可达5Gbps，系统会对超过黑洞阈值的受攻击公网IP进行黑洞处理，正常访问流量会丢弃；对于可能会遭受超过5Gbps流量攻击的应用，建议您购买DDoS高防服务，提升防护能力。

本文介绍同VPC使用多NAT网关的操作实践。 使用背景 天翼云部分资源池支持同一个VPC内支持创建多个公网NAT网关，可以通过不同的公网NAT网关转发去往不同目的地址的流量，也可以使用不同的自定义路由表关联不同的子网使得不同的子网使用不同的NAT网关访问公网，实现更精细化地公网网络的访问管理。 方案优势 根据用户需求，灵活构建网络路由，通过不同的NAT网关转发去往不同目的地址的流量，并可以针对不同的NAT网关做不同的安全防护，实现更精细化地部署公网访问网络。 方案涉及产品 弹性IP、VPC、弹性云主机、NAT网关。 方案架构 本次组网方案如下： 1. VPC创建两个子网（子网1，子网2），同时创建两张自定义路由表（路由表1），分别关联两个子网。 2. 两个路由表配置不同的公网路由，指向不同的NAT网关。 3. 两个NAT网关配置对应的SNAT规则使得对应的子网可以访问公网。 架构如图所示： 操作步骤 步骤一：创建云上VPC环境和云主机 此次实验使用单个VPC，VPC中有两个子网，每个子网下有一台云主机，用于验证网络连通性，不需要绑定弹性IP。 VPC、子网创建具体操作步骤参见虚拟私有云创建VPC、子网搭建私有网络。 创建云主机具体操作步骤参见弹性云主机创建弹性云主机。

如果您需要对您所拥有的CBR进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的云平台账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用CBR资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将CBR资源委托给更专业、高效的其他云平台账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果云平台账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用CBR服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图所示。 示例流程 1. 创建用户组并授权：在IAM控制台创建用户组，并授予云服务备份只读权限“CBR ReadOnlyAccess”。 2. 创建用户并加入用户组：在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限：新创建的用户登录控制台，切换至授权区域，验证权限： 1. 在“服务列表”中选择云服务备份，进入CBR的云主机备份，单击右上角“创建云主机备份存储库”，尝试创建云主机备份存储库，如果无法创建云主机备份存储库，表示“CBR ReadOnlyAccess”已生效。 2. 在“服务列表”中选择除云服务备份外的任一服务，如果提示权限不足，表示“CBR ReadOnlyAccess”已生效。

查看日志数据的存储位置 日志数据接入完成后，请前往安全分析的安全数据表页面查看接入的日志数据： 1. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 2. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 在管道数据检索页面即可查看接入的日志数据。 相关操作 取消数据接入 1. 在云服务接入管理页面，单击待取消接入云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。 2. 在设置页面，单击“日志接入”列的，关闭接入的云服务日志。 编辑数据接入生命周期 1. 在云服务接入管理页面，单击对应云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。 2. 在设置页面，单击日志所在行操作列的“编辑”按钮。 3. 在弹出的编辑页面，修改“生命周期”配置，输入生命周期时间。 4. 修改完成后，单击“确定”。 取消自动转告警 1. 在云服务接入管理页面，单击对应云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。 2. 在设置页面，单击“自动转告警”列的，关闭告警映射。

标准快速 全栈云服务集成一体 , 多种增值能力可选，大幅减少建设时间。 国产化和x86多种配置可选，满足客户不同需求场景。 标准产品规格及售卖模式，快速匹配客户需求。 到货后110个工作日即可完成产品部署交付，虚拟资源即开即用。 安全稳定 采用自研云底座，历经大规模客户业务验证。 数据多副本（双副本或三副本）、故障HA、快照与备份等多项技术保障数据高可靠。 高效管理 内置云管平台，可视化资源开通及运营管理。 可整合多一体机集群，提供混合多资源池管理能力。 支持VPN服务，帮助客户以低成本快速构建专有企业云网。 极简运维 多维度监控、告警数据，帮助用户提前发现业务运行隐患。 属地化运维和724小时在线服务，全方位解决客户后顾之忧。

本章节介绍故障演练服务的产品优势。 产品优势 故障演练服务深度融合云原生应用产品体系，固化组织流程，标准化应用接入、流程编排、故障注入、指标观测、系统保护等混沌工程实验管理，帮助用户及时发现业务潜在风险、验证高可用处置预案，提高系统的可靠性和韧性。 相比于业务自建的或采用开源方案实现故障演练面临的易用性差 、故障类型少 、观测能力弱 及缺乏生态整合等核心痛点，产品具备如下多种优势。 简单易用 白屏化操作，系统零改造，可视化流程编排，支持故障分组定义与串/并行工作流模式。 场景丰富 覆盖从基础设施到应用层与云服务的原子故障注入能力，提供具备业务含义的故障场景组合。 安全高效 多维度数据与权限管理，关联系统运行指标，实现隔离与熔断双重防护。 一站整合 深度整合云原生应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

本章节介绍故障演练服务的产品优势。 产品优势 故障演练服务深度融合云原生应用产品体系，固化组织流程，标准化应用接入、流程编排、故障注入、指标观测、系统保护等混沌工程实验管理，帮助用户及时发现业务潜在风险、验证高可用处置预案，提高系统的可靠性和韧性。 相比于业务自建的或采用开源方案实现故障演练面临的易用性差 、故障类型少 、观测能力弱 及缺乏生态整合等核心痛点，产品具备如下多种优势。 简单易用 白屏化操作，系统零改造，可视化流程编排，支持故障分组定义与串/并行工作流模式。 场景丰富 覆盖从基础设施到应用层与云服务的原子故障注入能力，提供具备业务含义的故障场景组合。 安全高效 多维度数据与权限管理，关联系统运行指标，实现隔离与熔断双重防护。 一站整合 深度整合云原生应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

参数 子参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目 服务器选择 已有服务器 在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 根据需求，您可以配置虚拟私有云、子网、安全组等参数，详细说明参见创建新服务器。

本章节介绍如何对数据库实例绑定公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云服务器上。 绑定弹性公网IP 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏，单击“连接管理”，单击“绑定弹性公网IP”。 步骤 3 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，获取弹性公网IP。 步骤 4 在“连接管理”页面，查看绑定成功的弹性公网IP。 您也可以在“任务中心”页面，查看“实例绑定弹性公网IP”任务的执行进度及结果。

在开始 API 接入前，请确保已完成以下准备工作： 1. 开通产品：已在天翼云控制中心成功开通大模型安全护栏服务。 2. 创建应用：在控制台“应用管理”中创建至少一个应用，并从应用的编辑页面获取以下鉴权凭证： 凭证名称 说明 获取位置 accountid 租户 ID 天翼云控制台账号信息页 XAPPCODE 应用编码 应用管理 > 操作 > 编辑 publicKey 公钥 应用管理 > 操作 > 编辑 privateKey 私钥 应用管理 > 操作 > 编辑 （请妥善保管，勿泄露） 获取服务地址 ：确认服务的{host}和{port}（由天翼云平台提供，请通过工单或者服务热线（4008109889）获取）。

在开始 API 接入前，请确保已完成以下准备工作： 1. 开通产品：已在天翼云控制中心成功开通大模型安全护栏服务。 2. 创建应用：在控制台“应用管理”中创建至少一个应用，并从应用的编辑页面获取以下鉴权凭证： 凭证名称 说明 获取位置 accountid 租户 ID 天翼云控制台账号信息页 XAPPCODE 应用编码 应用管理 > 操作 > 编辑 publicKey 公钥 应用管理 > 操作 > 编辑 privateKey 私钥 应用管理 > 操作 > 编辑 （请妥善保管，勿泄露） 获取服务地址 ：确认服务的{host}和{port}（由天翼云平台提供，请通过工单或者服务热线（4008109889）获取）。

本章节主要介绍物理机的登录类的问题。 物理机开机或者重启后，无法登录或云硬盘丢失，如何解决？ 问题描述 物理机开机或重启后，无法登录或云硬盘丢失。 可能原因 网络拥塞或者丢包导致物理机获取IP或者挂载数据卷（云硬盘）失败。 解决方案 重启物理机，如果多次重启无效，请联系客服。 远程登录物理机时，对浏览器版本有什么要求？ 用户采用远程登录方式访问物理机时，使用的浏览器应满足下表。 支持的浏览器版本 浏览器 版本 Google Chrome 31.0及以上 Mozilla FireFox 27.0及以上 Internet Explorer 10.0及以上 远程登录物理机时界面操作无响应，如何解决？ 问题描述 远程登录物理机时，按“Enter”后界面无任何响应。 可能原因 物理机操作系统内部配置不允许通过远程访问。 解决方案 登录物理机，进入操作系统进行相关设置，各操作系统的配置有所不同，以下仅提供部分操作系统配置示例， 步骤 1修改配置文件。 对于SUSE Linux Enterprise Server 12 SP2/SUSE Linux Enterprise Server 12 SP1/Ubuntu 16.04 Server/CentOS Linux 7.3/EulerOS 2.2操作系统，使用vi编辑器打开“/etc/default/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 对于Oracle Linux 7.3/Red Hat Enterprise Linux 7.3操作系统，使用vi编辑器打开“/etc/sysconfig/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 步骤 2 刷新配置。 对于SUSE Linux Enterprise Server 12 SP2/Oracle Linux 7.3/Red Hat Enterprise Linux 7.3/CentOS Linux 7.3/EulerOS 2.2操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grub2mkconfig o /boot/grub2/grub.cfg systemctl enable serialgetty@ttyS0 对于Ubuntu 16.04 Server操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grubmkconfig o /boot/grub/grub.cfg systemctl enable serialgetty@ttyS0 步骤 3（可选）修改安全配置文件。 如果使用root用户通过串口进行登录，需要修改安全配置文件。在“/etc/securetty”最后添加如下信息： 步骤 4执行reboot重启操作系统。 物理机操作系统配置完成后，重新远程登录，确认是否可以登录成功。

本小节介绍终端杀毒计费模式。 计费模式 产品规格 收费模式 标准价格（元/个/月） 控制中心版 按月计费 40 购买 1.用户订购时，在客户端数量栏：请选择需要安装防病毒插件能力的终端数量 （云主机或云桌面）总数，主机镜像数量：为制作授权填写需杀毒主机镜像数量，请用户根据自己终端中系统镜像类别填写各类镜像数量，此数量之和应等于购买的客户端数量。 注意 此产品为人工开通，开通时间为小时计，请耐心等待。 2.在终端杀毒开通同时，用户需自行在控制中心（可任选节点）开通云主机，开通时请在公共镜像安全产品中选择终端杀毒，并绑定弹性公网IP。 3.终端杀毒完成开通后，在控制中心中找到对应的终端杀毒实例获取license。 扩容 用户可在控制台实例处选择扩容按钮，对客户端数量进行扩容。 续订 用户可在控制台实例处选择续订按钮，对实例时长进行续订。 退订 无特殊情况本产品不支持退订。

服务类型 计费项说明 适用的计费模式 计费公式 SSL证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 私有（内网）证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 个人证书 个人证书是由权威CA机构颁发的数字身份证，用于身份认证、数据签名和加密通信等场景。 按个计费 个人证书单价 ×购买数量 × 有效期（购买年份） 证书托管服务 对于天翼云上云产品，实现证书更新后的自动替换能力。 按次计费 托管证书服务单价 × 购买数量 第三方证书部署服务 上传证书一键部署到云产品的服务，将证书部署到一个云产品资源，需要消耗一次部署服务。 按次计费 部署服务单价 × 购买数量 域名监控服务 开启域名监控后，可帮助监测多个站点的HTTPS业务状态，并及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 按次计费 域名监控服务单价 × 购买数量

操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具执行以下命令。 plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 单击桌面左下角Windows按键，选择这台电脑，右键单击“这台电脑”，选择“映射网络驱动器”。 6. 在弹出窗口中，设置“驱动器”盘符名称及文件夹（即在文件系统中看到的挂载目录），文件夹内容为文件系统的挂载地址，可在文件系统的详情页获取。勾选“登录时重新连接”可在云主机重启后自动挂载文件系统。设置完毕后单击完成。 7. 单击桌面左下角Windows按键，单击“这台电脑”，在网络位置处将出现已挂载的文件系统，此时您可以像使用一般的文件系统一样进行创建、修改删除文件，构造自己的文件系统。

Web应用防火墙（边缘云版）最终的业务带宽套餐内包含的带宽+带宽扩展的带宽。本文介绍业务带宽的查询和订购。 glmoscodeexplain 如何了解业务所需带宽？ 首先，接入Web应用防火墙（边缘云版）防护总业务带宽需要大于网站日常业务带宽峰值。例如，如果您的网站日常业务带宽为115Mbps，那您需要购买标准版的套餐（包含100Mbps）+20Mbps的带宽扩展或者购买专业版套餐即可满足业务日常需求。 怎么查询您当前的业务带宽？ 您可以登陆天翼云官网，在首页右上角点击“控制中心“在控制中心页面点击安全点击”Web应用防火墙（边缘云版）“跳转至Web应用防火墙（边缘云版）用户控制台； 在用户控制台页面点击“统计分析”“业务分析“根据时间筛选可以查看业务当前使用的带宽峰值数据； 在用户控制台页面点击“计费详情”查看您当前可使用的总的业务带宽峰值套餐带宽峰值+带宽扩展的带宽峰值。 如何购买带宽扩展包？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 备注：带宽扩展包不享受包年折扣。 注意 暂时不支持单独退订带宽扩展包，如果需要单独退订，请

云监控的主机监控服务通过在主机上安装agent插件，为您提供主机的数据监控服务。 插件版本 云监控插件版本分为：ctcmagent与telegrafagent。最新版本为telegrafagent，因新版telegrafagent具有cpu、内存消耗低等优点，如果资源池具备条件，建议您安装最新版telegrafagent。 注意 本文主要介绍ctcmagent 插件相关信息，telegrafagent相关信息参见 当前telegrafagent仅支持部分地区，除telegrafagent支持地区外即默认为ctcmagent 支持地区。telegrafagent支持地区参见 操作场景 目前ctcmagent只支持Linux操作系统和Windows操作系统。其中Windows操作系统建议为windows7及以上，Linux操作系统支持参考“Agent插件获取”章节表格中内容。 Agent插件获取 系统类型 安装包地址 说明 windows < 标准版，需python2/3基础环境。 windows 无python依赖版本 Linux x86 centos6 < Linux x86 centos7 Linux x86 UOS < Linux x86 debian10 < Linux x86 kylin < Linux x86 ubuntu1820 Linux x86 Anolis Linux x86 openEuler < Linux arm64 centos78 < Linux arm64 UOS < Linux arm64 ctyunos2 < Linux arm64 kylin < Linux arm64 openEuler < Linux arm64 ubuntu24 <

此小节介绍如何变更云堡垒机配置。 当云堡垒机的规格不能满足需求时，可对云堡垒机实例进行规格升级，购买更高规格的标准版或专业版 ，扩大系统数据盘容量、最大并发数、最大资产数等配置。 注意 用户必须在变更规格前备份数据，因变更规格有失败风险，以防因变更规格失败而影响使用； 变更规格过程约需要30min，变更规格期间云堡垒机系统不可用，业务中断，建议用户不要使用云堡垒机，以免数据丢失； 变更规格只对数据盘进行变更规格，不会影响系统盘。变更规格到新版本后，后台为用户变更规格CPU、内存、带宽等，不影响原有EIP的使用。 约束限制 云堡垒机提供标准版和专业版两个功能版本，每个版本配备7种资产规格。 当前仅支持版本规格变更规格，不支持版本规格缩容。 前提条件 已获取管理控制台的登录帐号与密码。 已备份系统数据。 变更规格有失败的风险，因此在变更规格前必须备份数据，以防因变更规格失败而影响数据的使用。 已升级当前版本。 变更规格到 专业版 ，需确保云堡垒机软件版本在3.2.16.0及以上。 已绑定EIP，且EIP可用。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击，进入云堡垒机实例界面。 5. 选择需变更规格的实例，单击所在行“操作”列中“更多 > 变更规格”，跳转到“变更规格”页面。 6. 择需变更的“性能规格”，单击“立即购买”。 7. 进入“订单详情”页面，确认订单无误后，单击“提交订单”。 8. 在支付页面完成付款。 9. 后台自动进行变更规格操作，整个变更规格过程需30min左右，且实例的运行状态将会由“变更中”到“正在重启”。 10. 实例运行状态变为“运行”，即可正常使用云堡垒机。

参数 描述 源库类型 选择ECS自建库。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。