本文介绍配置安全组及其规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 安全组实践建议 云上的安全组提供类似虚拟防火墙功能，用于设置单台或多台ECS实例的网络访问控制，是重要的安全隔离手段。创建ECS实例时，您必须选择一个安全组。您还可以添加安全组规则，对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。 在使用安全组前，您应先了解以下实践建议： 最重要的规则：安全组应作为白名单使用。 开放应用出入规则时应遵循最小授权原则。例如，您可以选择开放具体的端口，如80端口。 不应使用一个安全组管理所有应用，因为不同的应用存在不同的访问控制需求。对于分布式应用来说，不同的应用类型应该使用不同的安全组，例如，您应对Web层、Service层、Database层、 Cache层使用不同的安全组，暴露不同的出入规则。 避免为每台实例单独设置一个安全组，控制管理成本。 尽可能保持单个安全组的规则简洁。因为如果单个安全组规则过多，增加或者删除规则就变得很复杂，就会增加管理的复杂度。 天翼云的控制台提供了克隆安全组和安全组规则的功能。如果您想要修改线上的安全组和规则，您应先克隆一个安全组，再在克隆的安全组上进行调试，避免直接影响线上应用。（部分资源池支持，可提工单申请克隆功能。） 安全组TCP、UDP报文分片后，分片不带有端口信息，需要将端口范围指定为165535，不进行端口过滤。目前仅合肥2支持UDP大包分片后指定端口过滤功能，如有UDP大包分片，需要指定端口号过滤的需求，可联系客户经理开通此功能。 如果您想实现在不同安全组的资源之间的网络互通，您可使用安全组方式授权。同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。

模块 功能说明 说明 应用场景 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

分布式融合数据库HTAP实例是否会受其他用户实例的影响？ 用户的分布式融合数据库HTAP实例不会受其他用户实例的影响。 因为实例之间是相互独立的，每个实例都有各自的计算资源、存储资源等，资源上实现了隔离。这种隔离性确保每个用户在使用分布式融合数据库HTAP实例时都能获得可靠和独立的数据库服务。

创建Task节点 特性简介 支持创建Task节点，只作为计算节点，不存放持久化的数据，是实现弹性伸缩的基础。 客户价值 在翼MR服务只作为计算资源的场景下，使用Task节点可以节省成本，并可以更加方便快捷地对集群节点进行扩缩容，满足用户对集群计算能力随时增减的需求。 用户场景 当集群数据量变化不大而集群业务处理能力需求变化比较大，大的业务处理能力只是临时需要，此时选择添加Task节点。 临时业务量增大，如年底报表处理。 需要在短时间内处理完原来需要处理很久的任务，如一些紧急分析任务。 升级Master节点规格 翼MR大数据集群采用Manager实现集群的管理，而管理集群的相关服务，如HDFS存储系统的NameNode，Yarn资源管理的ResourceManager，以及MRS的Manager管理服务都部署在集群的Master节点。 随着新业务的上线，集群规模不断扩大，Master节点承担的管理负荷也越来越高，企业用户面临CPU负载过高，内存使用率超过阈值的问题。通常自建大数据集群需要完成数据搬迁，采购升级节点硬件配置实现Master规格提升，而MRS服务借助云服务的优势，实现一键式Master节点升级，并在升级过程中通过Master节点的主备HA保证已有业务的不间断，方便快捷帮助用户解决主节点规格升级问题。 隔离主机 用户发现某个主机出现异常或故障，无法提供服务或影响集群整体性能时，可以临时将主机从集群可用节点排除，使客户端访问其他可用的正常节点。在为集群安装补丁的场景中，也支持排除指定节点不安装补丁。隔离主机仅支持隔离非管理节点。 主机隔离后该主机上的所有角色实例将被停止，且不能对主机及主机上的所有实例进行启动、停止和配置等操作。另外，主机隔离后无法统计并显示该主机硬件和主机上实例的监控状态及指标数据。

本章节主要介绍故障演练服务产品类问题。 故障演练服务解决什么问题？ 故障演练服务是云原生混沌工程平台，深度融合云原生应用产品体系，提供标准化引导、正确性约束和自动化运行的实验管理，支持大规模、低成本、影响可控、形式多样的应用故障演练，帮助企业增强应用系统的容错能力和恢复能力，提升客户应用云上运行的稳定性。 产品能力： 标准化流程管理：固化演练流程，提供组织、人员、应用、资源等多维度的数据与权限管理规范。 丰富的故障场景：实现涵盖应用不同分层的原子故障注入能力，并提供具备业务含义的故障场景组合。 完备的演练防护：实现隔离与熔断双重演练防护，包括权限隔离、环境隔离和范围隔离，以及主动熔断、指标熔断和超时熔断等多种保护机制。 一站式接入管理：深度整合现有应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。 解决痛点： 技术要求高：异构的故障源，从基础设施到操作系统，从容器环境到应用进程，以及依赖的中间件，都需要理解其原理才能模拟故障。 实施难度大：跨团队、长流程、多权限，故障演练不仅是技术问题，更涉及组织流程与制度，需要建立相应规范。 影响不可控：故障是已知的，影响是未知的。如何感知并最小化“爆炸半径”，既要有处置预案，又要有工具支持。

容器化的优势 Docker使用Google公司推出的Go语言进行开发实现，基于Linux内核的cgroup，namespace，以及AUFS类的Union FS等技术，对进程进行封装隔离，属于操作系统层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程，因此也称其为容器。 Docker在容器的基础上，进行了进一步的封装，从文件系统、网络互联到进程隔离等，极大的简化了容器的创建和维护。 传统虚拟机技术通过Hypervisor将宿主机的硬件资源（如内存、CPU、网络、磁盘等）进行了虚拟化分配，然后通过这些虚拟化的硬件资源组成了虚拟机，并在上面运行一个完整的操作系统，每个虚拟机需要运行自己的系统进程。而容器内的应用进程直接运行于宿主机操作系统内核，没有硬件资源虚拟化分配的过程，避免了额外的系统进程开销，因此使得Docker技术比虚拟机技术更为轻便、快捷。 作为一种新兴的虚拟化方式，Docker跟虚拟机相比具有众多的优势： 更高效的利用系统资源 由于容器不需要进行硬件虚拟化分配以及运行完整操作系统等额外开销，Docker对系统资源的利用率更高。无论是应用执行速度、内存损耗或者文件存储速度，都要比传统虚拟机技术更高效。因此，相比虚拟机技术，一个相同配置的主机，往往可以运行更多数量的应用。

参数 说明 虚拟私有云 文档数据库服务实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。

不同帐号下的弹性云主机内网是不通的。 不同的账号和内网地址之间存在隔离机制，这种隔离机制可以保护用户的数据安全和隐私，避免不同用户之间的数据泄露或恶意攻击。同时也可以避免不同用户之间的网络冲突和干扰，确保每个用户的应用程序和数据在网络传输过程中的安全性和稳定性。

本文为您介绍容器安全卫士的功能特性。 通过容器安全卫士服务，可以轻松应对各种云原生应用威胁和风险。 仪表盘 仪表盘通过图标可视化方式展示了镜像、容器、节点、镜像仓库、集群这些重要资产的数量统计信息、部署安全信息、以及安全威胁分布情况。可以更直观地显示各资产信息统计、漏洞信息统计、报警信息。使客户能够更快速的识别和了解威胁情况。 趋势和历史记录 提供可视化的界面和报告，以展示威胁情报的相关统计数据、趋势等信息，帮助决策者理解威胁情报的现状和趋势。 告警和事件管理 集成告警和事件管理系统，将安全事件和告警信息汇总展示在大屏幕上，并提供快速的事件处理和跟踪功能。 资产管理 展示每个资产的详细信息，包括集群资产、节点资产、命名空间、工作负载等资产，以帮助用户全面了解资产的特征和配置。 漏洞数据集成和可视化 将漏洞扫描结果数据进行集成，以可视化的方式展示漏洞分布、统计信息，帮助用户全面了解漏洞态势。 网络可视化 对容器环境中网络流量进行绘图，打破网络黑洞，支持对进程、容器、pod、服务、主机级别的网络监测。通过对单个业务之间，业务组之间，以及租户之间的网络访问策略配置，实现业务之间隔离，来减小被入侵之后的影响范围；通过网络拓扑图，从网络层面判断入侵影响范围。 容器安全卫士自动检测发现Kubernetes集群内的运行容器，应用以及镜像，关联相应的安全风险进行汇总，展示安全风险的数量以及风险级别的分布。支持自动发现容器内进程之间、容器之间、POD之间、服务之间、节点之间的网络连接状态，展示连接的原地址，目的地址以及端口。并对异常连接进行预警。支持对Kubernetes集群内POD之间的通信进行网络隔离控制、隔离策略支持配置POD的间的访问规则、阻断来自其他命名空间的所有流量、允许来自外部客户端的流量等。 支持租户隔离 支持对Kubernetes集群内租户进行隔离控制，租户之间默认禁止直接通信，可以通过配置RBAC、POD策略、网络策略等实现租户间的访问策略。 支持自定义网络策略 支持对Kubernetes集群内的隔离策略管理，展示各个POD已经配置的隔离策略并能进行配置和应用。 可视化的展示视角 通过雷达可视图的展示方式，用户可以查看到容器内进程之间、容器之间、POD之间、服务之间、节点之间的网络进出站信息，对指定的网桥、网卡进行流量的DPI分析，有助于识别、阻断流向异常的流量。 多种类型策略支持 基于用户不同的使用环境与业务需求，支持多种策略类型，包括： IPtables模式（可针对不同的资源之间设置网络访问策略）。 OVS模式（在OpenShift环境下， 针对不同的资源之间设置网络访问策略）。 NetworkPolicy模式（为指定资源设置允许进出站访问）。

Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 正则防护 经验规则集，自动为网站防御SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何Web应用防火墙防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 0day漏洞 0day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC安全防护 根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。

本文向您介绍Hypervisor安全的相关知识。 Hypervisor Hypervisor是一种运行在物理机上的软件，可以在单个物理机上创建、运行和管理多个虚拟机。Hypervisor根据需要将底层物理计算资源（如cpu、内存）进行抽象统一管理，并按需将资源分配给各个虚拟机。Hypervisor实现了同一物理机上不同虚拟机之间的资源隔离，避免数据窃取或恶意攻击，同时保证虚拟机的资源使用不受周边虚拟机的影响。用户使用虚拟机时，只能访问属于自己的虚拟机的资源（如硬件、软件和数据），不能访问其他虚拟机的资源，保证了虚拟机的数据隔离和安全。 CPU隔离 CPU虚拟化是Hypervisor中最核心的部分，内存虚拟化和IO虚拟化都依赖于CPU虚拟化的正确实现。 X86架构中为了保护指令的运行，提供了指令的4个不同特权级别，术语称为Ring，优先级从高到低依次为： 1. Ring 0：最高特权级别，被用于运行操作系统内核。 2. Ring 1：用于操作系统服务。 3. Ring 2：用于操作系统服务。 4. Ring 3：用于应用程序。 Hypervisor运行在最高特权级别，可以控制物理处理器上的所有关键资源；而虚拟机操作系统运行在非最高级特权级别，所以其访问物理资源的敏感指令会陷入到Hypervisor中通过软件的方式进行模拟。通过拦截并模拟虚拟机的敏感指令，Hypervisor实现了虚拟机vCPU的隔离，有效防止了虚拟机越权恶意攻击物理机或其他虚拟机。

本页面介绍了云数据库ClickHouse产品购买类的常见问题。 云数据库ClickHouse产品与购买实例有关常见问题总结： 云数据库ClickHouse 实例是否会受其他用户实例的影响 ? 每个云数据库ClickHouse实例都是完全隔离的。具体来说: 每个用户的云数据库ClickHouse实例分配独立的计算和存储资源,不会共享CPU内存等物理节点。 各个实例的数据库、表结构和数据都相互隔离,不会相互访问。 实例间网络也进行了隔离,不会互相影响网络带宽和延迟。 系统层面进行了安全及隔离控制,保障各实例之间不受互相影响。 所以,一个用户的实例发生问题或下线不会影响其他用户正常使用。各实例之间互相独立运行。 云数据库ClickHouse单双副本实例各有什么特点? 下面详细解释单双副本实例的区别: 单副本： 每个节点只存储一份数据,单点故障会导致部分数据 unavailable。 性能提升,但容错能力较差。 双副本： 每个数据会存储两份副本。 每个节点存储部分数据，任何一个节点down后其他节点还能提供服务。 整体可用性提升，但写入压力和存储空间占用较高。 请根据自身容错要求选择使用单双副本。 云数据库ClickHouse如何选择合适的计费方式？ 在业务处于发展期时，可以选择按需计费的灵活计费方式。 当业务进入稳定期后，可以选择包年包月的计费方式并享受按年计费折扣。

本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

参数 说明 虚拟私有云 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 选择创建集群需要的VPC，单击“查看虚拟私有云”进入VPC服务查看已创建的VPC名称和ID。如果没有VPC，需要创建一个新的VPC。 说明 此处您选择的VPC必须包含网段（CIDR），否则集群将无法创建成功。新建的VPC默认包含网段（CIDR）。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 选择创建集群需要的子网，可进入VPC服务查看VPC下已创建的子网名称和ID。 安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。单击“查看安全组”可了解安全组详情。 说明 请确保安全组的“端口范围/ICMP类型”为“Any”或者包含端口9200的端口范围。

本节主要介绍安全组的组成、产品优势、应用场景和使用限制。 安全组概述 安全组用于虚拟机的出入流量的访问控制，其由一系列的安全组规则组成，是云上网络安全防护的主要方式。安全组通过设置的规则实现具体的访问控制，当虚拟机实例或者网卡加入到对应安全组后，即受到这些规则的保护。安全组具备有状态的特性，即数据包在入方向是被允许的，则对应此连接在出方向也自动被允许，反之亦然。 根据业务的访问控制需求，可以创建自定义安全组，也可以在默认安全组中添加或者删除安全组规则来调整安全访问策略。 每个虚拟机实例或者网卡至少加入一个安全组，可以同时加入多个安全组。 默认安全组 系统默认为用户创建的安全组，不同安全组规则不同，具体规则可进入安全组详情页查看。 安全组规则 安全组规则由源/目的IP、协议、端口、策略（允许或者拒绝）和优先级组成，其包括入方向和出方向的规则。 应用场景 根据业务的安全访问控制需求，为不同的应用使用不同的安全组，确保应用之间的安全隔离。 针对公网和混合云方向做安全隔离，使对应的虚拟机只对外暴露相关的服务协议和端口，防止额外的端口暴露，确保应用安全。 产品优势 灵活配置：安全组可基于业务需求实时调整对应的安全规则。 访问隔离：通过不同的安全组设置，实现了不同虚拟机之间的访问控制隔离。

本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

物理机服务为您提供优质的服务体验,本文带您了解产品优势。 安全稳定 天翼云物理机提供硬件隔离，确保敏感数据物理隔离，避免与其他租户共享计算资源，提供了更高的安全性和隔离性。 性能可靠 用户可以在无虚拟化层的情况下直接访问物理硬件资源，获得更高的性能和更低的延迟。这使用户可以将自己的操作系统、虚拟化软件和应用程序部署到物理机上，获得与传统物理机相似的性能。 高吞吐低时延 结合天翼云全新分布式4.0架构及深度学习智能调度引擎，实现超大规模部署，云网络访问性能带宽最高可达50Gbps，支持高带宽、低时延云存储，满足企业数据库、大数据、容器、HPC、AI等关键业务部署密度和性能诉求。 灵活可控 天翼云物理机允许用户根据需求选择硬件配置、存储选项和网络设置，并根据需要进行动态调整。用户可以定制适合自己业务需求的物理机环境，提供灵活的部署和管理选项。

数据类型 说明 采集和存储方式 数据用途 服务工单数据 技术类、业务类工单清单。 工单的编号、描述、问题分类、创建时间、解决时间等工单信息。 经自动化工具调用工单API查询结果，中途不存储数据，月报结果按照租户隔离存储。 自动化统计分析，生成月报“服务工单”内容。 云服务资源实例数据 客户创建的资源列表，各资源数量。 资源id、名称、状态、规格、创建时间、IP地址、使用量及服务资源相关的基本配置信息。 经自动化工具调用云服务API查询结果，中途不存储数据，月报结果按照租户隔离存储。 自动化统计分析，生成月报“资源概况”内容。 资源负载监控数据 CPU使用率、内存使用率、磁盘使用率、磁盘读写速率、 IP出口带宽、IP入口带宽、并发连接数、新建连接数、网络延迟、网络丢包率等资源监控指标。 经自动化工具调用云服务API查询结果，中途不存储数据，月报结果按照租户隔离存储。 自动化统计分析，生成月报“资源概况”内容。

企业项目 参数 描述 企业项目 企业项目是对主账号下的资源进行统一分配管理的工具，不同企业项目下的资源相互逻辑隔离，但不影响业务关联。 在不同企业项目下的用户组，相互间无法看到彼此资源。 同一个用户组可以绑定多个企业项目。用户组通过绑定企业项目实现资源的逻辑隔离，策略通过绑定用户组，实现不同用户组的权限分配。 RDSPostgreSQL产品已支持企业项目迁移功能，具体操作详见迁出企业项目资源。 网络 参数 描述 :: 虚拟私有云 RDSPostgreSQL实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见创建虚拟私有云VPC。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建RDSPostgreSQL实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDSPostgreSQL会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 安全组 内网安全组限制实例的安全访问规则，加强RDSPostgreSQL服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 注意 目前RDSPostgreSQL实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。

物理机如何保证数据安全？ 物理机通过提供性能优越、资源隔离、本地磁盘支持和云硬盘备份等功能，确保用户数据的安全性和可靠性。无论是通过资源隔离、数据冗余存储还是备份和恢复，物理机致力于提供高级别的数据保护，满足用户对数据安全的需求。 性能和资源隔离： 物理机为用户独占计算资源，无需与其他租户共享，从而保证了数据处理的性能和资源的隔离。这样可以避免其他租户对您的数据访问或干扰。 无虚拟化开销： 物理机没有虚拟化层的存在，您的应用程序可以直接访问物理机的处理器和内存，无需经过虚拟化带来的性能开销。这可以提供更高的性能和更低的延迟，同时降低了虚拟化带来的安全风险。 本地磁盘支持： 对于带有本地磁盘的物理机，支持本地磁盘组RAID。RAID技术可以在多个磁盘之间进行数据冗余存储，提高数据的容错能力和可靠性。即使其中一个磁盘出现故障，数据仍然可以恢复或继续访问，从而保护数据的安全性。 云硬盘备份和恢复： 对于无本地磁盘的物理机，可以使用云硬盘作为系统盘，并通过云服务器备份服务来保护数据。备份服务支持基于多块云硬盘的一致性快照技术，可以定期对物理机的数据进行备份，确保数据的安全性和正确性。在数据丢失或损坏的情况下，可以利用备份数据进行恢复，最大限度地保障业务的连续性和数据的安全性。

本章节介绍如何创建一个 Nacos引擎实例 概述 Nacos引擎包括配置中心和注册中心，提供动态配置、服务发现和服务健康监测等简单易用的特性，经过实践检验具备高性能和高可用性，帮助用户管理配置、注册和发现微服务，更加快捷方便地构建、交付和管理微服务平台。 为了方便您开通实例，从天翼云官网控制中心> 微服务工具与平台 > 微服务引擎MSE，点击进入产品页面，点击左侧菜单栏的注册配置中心>实例列表，进入注册配置中心控制台。本文将介绍如何创建一个Nacos引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”或“企业版”，推荐您开通集群版或企业版，以保障实例的高可用性，企业版目前支持通过白名单方式开放订购，若您需要订购使用，请联系客户经理或提工单进行解决。 引擎类型：若您需要开通Nacos引擎，则选中“Nacos”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本章节主要介绍虚拟私有云。 使用虚拟私有云（Virtual Private Cloud，VPC），您可以在您自己的逻辑隔离区域中定义虚拟网络，为物理机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置物理机的内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间的访问规则，加强物理机的安全保护。

功能 功能描述 应用 Serverless应用中心提供应用创建和导入功能，支持多种业务场景。您可以根据业务情况选择合适的应用。 环境 环境提供基础设施的管理能力。您可以通过环境隔离服务，例如不同地域、不同VPC间服务隔离，实现生产服务的高可用或者低延迟。 流水线 Serverless应用中心提供基础的流水线功能，允许用户以高自由度编辑并运行流程，以便于将代码部署到Serverless应用中。

项目 项目用于将资源（计算资源、存储资源和网络资源等）进行分组和隔离。项目可以是一个部门或者一个项目组。一个账户中可以创建多个项目。 对于内网DNS服务，内网域名和反向解析属于区域级别的资源。因此，系统会基于项目实现内网域名、反向解析资源的隔离和管理。在创建、查询、设置内网域名和反向解析前，用户需先指定区域和项目，然后在指定项目下执行相关操作。

本文介绍GPU云主机相关的名词概念。 概念 介绍 GPU 图形处理器（Graphics Processing Unit）。相比CPU具有众多计算单元和更多的流水线，适合用于大规模并行计算等场景。 CUDA NVIDIA推出的通用并行计算架构，帮助您使用NVIDIA GPU解决复杂的计算问题。 cuDNN NVIDIA推出的用于深度神经网络的GPU加速库。 镜像 提供了运行实例所需的信息，包括操作系统、初始化应用数据等。 地域和可用区 实例和其他资源的部署物理位置。 SSH密钥对 一种安全便捷的登录认证方式，由公钥和私钥组成，仅支持Linux实例。 安全组 一种虚拟防火墙，您可以基于安全组控制实例的入流量和出流量。 弹性网卡 一种独立的虚拟网卡，可以绑定到弹性云主机或从弹性云主机解绑，实现业务的灵活扩展和迁移。 云硬盘 可弹性扩展的块存储设备，可以用作实例的系统盘或可扩展数据盘使用。 快照 某一时间点云盘数据状态的备份文件，用于备份或者恢复整个云盘。 VPC 虚拟私有云（Virtual Private Cloud）。为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助用户灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。

本文主要介绍 网络策略（NetworkPolicy）。 网络策略（NetworkPolicy） NetworkPolicy是Kubernetes设计用来限制Pod访问的对象，通过设置NetworkPolicy策略，可以允许Pod被哪些地址访问（即入规则Ingress）、或Pod访问哪些地址（即出规则Egress）。这相当于从应用的层面构建了一道防火墙，进一步保证了网络安全。 NetworkPolicy支持的能力取决于集群的网络插件的能力，如CCE的集群只支持设置Pod的入规则。 默认情况下，如果命名空间中不存在任何策略，则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的规则可以选择如下3种： namespaceSelector：根据命名空间的标签选择，具有该标签的命名空间都可以访问。 podSelector：根据Pod的标签选择，具有该标签的Pod都可以访问。 ipBlock：根据网络选择，网段内的IP地址都可以访问。（CCE当前不支持此种方式） 约束与限制 当前仅容器隧道网络模型的集群支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置出方向（egress）。 不支持对IPv6地址网络隔离。 使用Ingress规则 使用podSelector设置访问范围 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: testnetworkpolicy namespace: default spec: podSelector: 规则对具有roledb标签的Pod生效 matchLabels: role: db ingress: 表示入规则 from: podSelector: 只允许具有rolefrontend标签的Pod访问 matchLabels: role: frontend ports:

威胁处置 威胁处置支持恢复被隔离的文件，支持解封被隔离的IP。 恢复文件：支持恢复被隔离的文件，恢复至原文件路径。 解封IP：手动解放被禁止访问的IP地址，解封后对应IP可正常访问服务器。 导出告警 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。 3. 单击告警列表右上角的“导出”按钮，导出告警。 如果您只需要导出某个ATT&CK攻击阶段的告警或某一类告警，您可以先选中相应的ATT&CK攻击阶段或告警事件类型，再单击“导出”按钮。 4. 页面右上角会显示导出状态，当导出完成后，单击“下载”，将告警列表下载到本地。 注意 若“关闭”页面，此时告警列表还未下载到本地，若需要下载，则需要重新导出。

本节内容介绍了专属云（计算独享型）的产品定义。 专属云（计算独享型）（CTDeC，Dedicated Cloud）是在公有云上隔离出来的专属虚拟计算资源池，用户独享物理隔离的计算资源。在专属云内，用户可在管理控制台统一管理，就像自建私有云一样灵活使用专属云资源。 用户需要申请专属云（计算独享型）服务后才予以开通权限，请联系专属客户经理提交开通申请，或者拨打天翼云客服电话4008109889。

概述 API分组管理用于将相关API组织在一起，方便统一管理和配置，实现更高效的运维。 操作步骤 1. 登录微服务引擎MSE 云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > 分组管理。 创建分组 在分组列表中，点击创建API分组 即可打开创建API分组的弹窗。在弹窗中，需要填写基础路径 （BasePath）。BasePath表示该分组下所有API的访问路径前缀，访问分组下的API时，需要添加该前缀。如果不需要设置特定前缀，可以填写“/”。基础路径在创建后，可点击编辑进行修改。分组创建后，即可在分组下创建API。 删除分组 点击删除，即可删除API分组，如果分组下存在API，会禁止删除分组。

如何获取企业微信机器人的key？ 在配置告警通知联系组时，若开启微信机器人，需要输入key，请根据以下步骤获取微信机器人的key。 注意 企业微信群必须是内部群，外部群无法添加机器人。 1. 登录企业微信客户端，选择需要添加微信机器人的群聊。 2. 单击群聊右上角的“更多”图标。 3. 在群管理模块，选择“群机器人”，添加群机器人。 4. 复制并记录Webhook地址。 Webhook地址中，“key”后的部分即为通知联系组配置微信机器人所需的key。 说明 例如：Webhook地址为

本章节主要介绍天翼云物理机的使用场景。 对安全和监管高要求的场景 金融、证券等行业对业务部署的合规性，以及某些客户对数据安全有苛刻的要求。采用物理机部署，通过网络隔离、专线接入等方式确保独享资源，数据安全隔离，保障用户数据的安全。 核心数据库 泛政务、金融、互联网等行业客户的关键业务系统的核心数据库，其业务压力大、安全隔离要求高，可通过资源专享、网络隔离、性能有保障的物理机承载，满足业务需求。尤其类似Oracle等数据库，其部署复杂，对性能要求高，推荐采用物理机部署。 大数据场景 互联网、汽车、交通、政务等行业的大数据存储、大数据分析等相关业务，客户在云上自建大数据平台，推荐采用性能更强、兼容性更高的物理机服务器承载。同时，天翼云物理机服务器支持结合对象存储服务的存算分离方案。 容器场景 电商平台、游戏、疫情核酸平台等业务弹性要求较高，性能要求更高的场景，可采用物理机容器方案，相比虚机容器，物理机容器提供更高的部署密度、更低的资源开销、更加敏捷的部署效率。基于云原生技术帮助客户实现降低云化成本目标。 高性能计算 科研、基因测序、天气预测、能源勘探、影视渲染、人工智能等高性能计算场景下，对计算能力要求高、处理的任务多、并行数据量大。天翼云物理机采用高规格物理服务与本地SAS存储进行部署，提供强大的计算能力和存储性能。高计算性能、稳定性和实时性，避免虚拟化带来的性能损耗，满足业务对服务器的高计算性能、高稳定性、高实时性的诉求。

为什么在企业项目上进行授权后，子用户仍缺少部分权限？ 企业项目上进行授权后，代表该用户组下的子用户，对于企业项目下的资源能够拥有策略指定的权限。但是对于部分没有企业项目属性的服务，这种情况下将无法生效。例如，在企业项目上，为指定用户组A绑定策略“ecs admin”后，用户组A下的子用户能够查看企业项目下资源的云主机实例，但是使用安全组规则时仍会报错，此时是因为安全组规则不具有企业项目属性，需要额外在IAM中完成授权。IAM授权的详细步骤请参考用户组授权。 为什么在按照企业项目设置了用户组和策略，但是用户看到了不在该企业项目下的资源/按企业项目隔离用户可见资源失效？ 这种情况可能是由于在资源池/全局范围上进行了IAM授权，覆盖了企业项目授权的隔离作用。解决方案是，针对需要在企业项目上进行隔离的权限，只在企业项目上通过设置用户组和策略完成授权。例如，如果需要子用户只能看到特定企业项目下的云主机ECS，在该企业项目下，配置子用户所属的用户组，同时配置ecs admin。同时，查询该用户的资源池/全局授权情况（可以通过授权管理，或子用户查看中的权限管理查看用户和所属用户组上的权限配置），如果存在ecs admin这类云主机权限，取消该授权。最后，重新登录子用户查看是否能够隔离资源。 关于资源池/全局授权和企业项目授权之间的关系，详见IAM授权与企业项目授权。