应用场景 客户端IP指的是访问者（用户设备）的IP地址。在Web应用开发中，通常需要获取客户端真实的IP地址。例如，投票系统为了防止刷票，需要通过获取客户端真实IP地址，限制每个客户端IP地址只能投票一次。 当您的网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。此时，您可直接通过WAF获取客户端的真实IP，也可以通过配置网站服务器获取客户端的真实IP。 本章节介绍了通过WAF直接获取真实IP的方法，以及不同类型的Web应用服务器（包括Tomcat、Apache、Nginx、IIS 6和IIS 7）如何进行相关设置，以获取客户端的真实IP。 方案架构 通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有CDN、WAF、高防等代理服务器（架构为“用户> CDN/WAF/高防等代理服务 > 源站服务器”）。 说明 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 在这种情况下，访问请求到达源站服务器之前可能经过了多层安全代理转发或加速代理转发，服务器如何获取发起请求的真实客户端IP呢？ 一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时，会在HTTP的头部中加入一条“XForwardedFor”记录，用来记录用户的真实IP，其形式为“XForwardedFor：客户端的真实IP，代理服务器1IP， 代理服务器2IP，代理服务器3IP，……”。 因此，您可以通过获取“XForwardedFor”对应的第一个IP来得到客户端的真实IP。

本节介绍如何配置重保防护的黑白名单规则。 重保防护支持配置全局IP黑白名单，对经过云WAF防护域名的访问源IP进行黑白名单设置，来自黑白名单中的IP地址/IP地址段的访问，WAF将不会做任何检测，直接拦截/放行。 支持添加IPv4、IPv6地址，支持添加IP地址段。 重保防护提供的全局IP黑白名单，检测逻辑优先级高于IP黑白名单检测；内部检测逻辑，白名单高于黑名单。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 重保防护场景”，进入重保防护配置页面。 5. 单击“新建黑白名单”，弹出新建黑白名单规则窗口，配置黑白名单规则参数，参数说明如下。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 生效范围 支持选择“全部防护对象”或“特定防护对象”。 全部防护对象：配置的黑白名单规则对所有已接入的域名生效。 特定防护对象：配置的黑白名单规则仅对所选域名生效，可以选择多个域名。 说明 不支持独享版防护对象和监听器防护对象。 6. 配置完成后，单击“确定”。可以在列表中查看已新建的黑白名单规则。

本文为您介绍将网站域名接入Web应用防火墙（原生版）实例时，服务器配置相关的常见问题。 当配置多个源站时，如何负载？ 如果您配置了多个源站IP地址，WAF支持使用轮询、IP Hash的方式对访问请求进行负载均衡。您可以根据需要自定义负载均衡算法。 负载方式 原理说明 适用场景 轮询算法 按照顺序将请求依次分发到服务器列表中的各个服务器上。 当新的请求到来时，轮询算法会依次将请求分发给下一个服务器，直到所有服务器都接收到了相同数量的请求，然后再次从第一个服务器开始，保证每台服务器都能平均分担负载。 轮询算法简单公平，适用于大多数情况。 IP Hash 根据客户端的IP地址计算出一个哈希值，然后使用该哈希值来确定请求应该转发到服务器列表中的哪一台服务器上。 这样可以保证同一个客户端的请求始终被转发到同一台服务器上，从而实现会话保持。 IP哈希算法适用于需要保持会话的场景。 如何通过WAF实现HTTPS访问？ 在添加网站域名时，需选择HTTPS协议及端口，这样用户即可通过HTTPS协议发送访问请求。 当您的网站不支持HTTPS回源时，您务必要选择HTTP回源选项，这样WAF将会通过HTTP 80端口将请求转发给源站。这样您可在无需改动源站服务器的前提下，通过WAF实现HTTPS访问，帮助您降低网站的负载损耗。 注意 用户可以选择HTTP回源方式，HTTP回源表示WAF使用HTTP协议向源站转发回源请求，默认回源端口是80。开启HTTP回源可以在无需改动源站服务器的前提下，通过WAF实现HTTPS访问，帮助您降低网站的负载损耗。 也可以选择HTTPS回源，选择HTTPS回源默认回源端口是443，开启HTTPS回源需要上传业务系统证书才能实现回源。

本节介绍如何查看WAF独享型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF独享型实例。 查看独享型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 5. 查看独享型实例列表。 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 实例ID 实例的ID。 运行状态 当前实例的运行状态，包括正常、异常、离线。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 节点个数 当前实例的节点个数。 资源池名称 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 实例IPv4 单机版：显示单机节点本身内网IPV4地址。 集群版：显示集群VIP的IPV4地址。 实例IPv6 单机版：显示单机节点本身内网IPV6地址。 集群版：显示集群VIP的IPV6地址。 公网代理IPv4 绑定在实例上的IPV4公网地址，用于互联网IPV4通信，需要手动绑定用户的IPV4地址。 公网代理IPv6 绑定在实例上的IPV6公网地址，用于互联网IPV6通信，需要手动绑定用户的IPV6地址。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 域名个数 当前实例支持防护的防护对象个数。 业务带宽 当前实例支持防护的业务带宽。 产品版本 实例的规格，单机版或集群版。 6. 单击目标实例操作列的“查看产品详情”。 7. 在产品信息页面，可以查看实例版本、实例名称、实例ID、到期时间、实例规格等信息，并支持对实例进行管理。

本章节主要介绍数据仓库服务的权限管理。 如果您需要对云上的DWS资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云帐号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DWS的使用权限，但是不希望他们拥有删除集群等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DWS，但是不允许删除集群的权限，控制他们对DWS资源的使用范围。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DWS服务的其它功能。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见统一身份认证用户指南中的“产品介绍”。 DWS权限 默认情况下，IAM管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DWS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DWS时，需要先切换至授权区域。 角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DWS服务，IAM管理员能够控制IAM用户仅能对某一类资源进行指定的管理操作。 如下表所示，包括了DWS的所有系统权限。 DWS系统权限 系统角色/策略名称 描述 类别 依赖关系 DWS ReadOnlyAccess 数据仓库服务只读权限，拥有该权限的用户仅能查看数据仓库服务资源。 系统策略 无 DWS FullAccess 数据仓库服务数据库管理员权限，拥有数据仓库服务所有权限。 系统策略 无 DWS Administrator DWS数据库管理员权限，拥有对数据仓库服务的所有执行权限。 拥有VPC Administrator权限的DWS用户可以创建VPC或子网。 拥有云监控Administrator权限的DWS用户，可以查看DWS集群的监控指标信息。 系统角色 依赖Tenant Guest和Server Administrator策略，需要在同项目中勾选依赖的策略。 DWS Database Access DWS数据库访问权限，拥有该权限的用户，可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。 系统角色 依赖DWS Administrator，需要在同项目中勾选依赖的策略。 下表列出了DWS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统策略。 说明 每个区域的每个项目首次使用弹性IP绑定功能时，系统将提示创建名称为“DWSAccessVPC”委托以授权DWS访问VPC。授权成功后，DWS可以在绑定弹性IP的虚拟机故障时切换至健康虚拟机。 在实际业务中，除了具备策略权限外还需要给不同角色的用户授予不同的资源操作权限。例如创建快照、重启集群等操作，详情请参见《数据仓库服务用户操作指南》中“策略语法：细粒度策略”章节。 默认情况下，只有云帐号或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。帐号中的IAM用户，默认没有查询委托和创建委托的权限，在使用弹性IP绑定功能时页面会屏蔽绑定按钮，此时需联系有“DWS Administrator”权限的用户在当前页面完成对DWS的委托授权。 DWS常用操作与系统权限的关系 操作 DWS FullAccess DWS ReadOnlyAccess DWS Administrator DWS Database Access 创建/恢复集群 √ x √ x 获取集群列表 √ √ √ x 获取单个集群详情 √ √ √ x 设置自动快照 √ x √ x 设置安全参数/参数组 √ x √ x 重启集群 √ x √ x 扩容集群 √ x √ x 重置密码 √ x √ x 删除集群 √ x √ x 设置可维护时间段 √ x √ x 绑定EIP x x √ x 解绑EIP x x √ x 创建DNS域名 √ x √ x 释放DNS域名 √ x √ x 修改DNS域名 √ x √ x 创建MRS连接 √ x √ x 更新MRS连接 √ x √ x 删除MRS连接 √ x √ x 添加/删除标签 √ x √ x 编辑标签 √ x √ x 创建快照 √ x √ x 获取快照列表 √ √ √ √ 删除快照 √ x √ x 复制快照 √ x √ x

高频Web攻击场景 你可以配置攻击挑战策略，针对短时间内发起高频大量web攻击（触发规则防护）的客户端ip，阻止该IP一段时间内的所有请求。使用该策略可以快速拦截恶意攻击Web的IP，快速应对恶意扫描、Web攻击威胁，提高攻防对抗效率。 BOT爬虫防护 当您的域名存在爬虫问题时，可以通过边缘安全加速平台的BOT防护模块配置针对性的防护策略来保护您的网站免受爬虫问题困扰。 严格防护模式 当您的业务需要严格的安全防护模式，不管任何请求进来时宁可被误拦截，也不允许进入系统内部时。您可以通过以下方式配置严格的防护策略。 在新增域名时，可以选择拦截模式，同时选择漏洞防护集合选择全量防护规则集合。 如果您已经完成新增域名，可以在域名管理中，选中需要配置策略的域名，然后进入【安全能力】——【Web应用防火墙】——【防护规则引擎】页面，配置全量防护规则集，并且调整防护模式为拦截。 您同时可根据业务、流量特征信息，配置高级防护、访问控制、CC配置等其他特殊的防护配置内容，如：您的域名只允许国内访问，则可以通过访问控制，封禁海外IP内容，只允许国内IP进行访问。 注意：使用严格防护模式的配置策略后，可能会产生大量误报内容，您可以通过分析攻击日志信息，利用加白、配置规则等方式对可信任的请求进行放行减少误报的情况。

防护原理 根据身份证、电话号码、银行卡前缀，采用自动机算法构建字典树。 将源站响应体内容作为文本串，利用字典树进行匹配，判断文本串中是否包含身份证等信息的前缀。 若相应内容中包含身份证的前缀，则根据身份证长度截取相应长度的字符串，利用身份证号码验证算法，验证是否为真实身份证号码。 响应体内没有检测到敏感词，则响应原内容给客户。 响应体内有检测到敏感词，则进行告警；如果动作为脱敏，则再将脱敏后的内容响应给客户。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【敏感信息防护】详细设置页。 配置说明 配置项分类 配置项 说明 基础信息 防护模式 设置敏感词防护策略的开关，可选择关闭、告警、脱敏 关闭：则防护功能不生效 告警：只记录敏感信息泄露日志，具体信息可查看攻击日志 脱敏：对响应内容的敏感数据使用替换部分数据内容，并会产生攻击日志 基础信息 敏感信息 设置需要脱敏处理的敏感信息类型，可选择手机号码/银行卡/身份证/邮箱/地址 基础信息 白名单 当部分敏感词不需要进行脱敏时，可以配置白名单，如果填写多个要使用分号隔开 防护目标 防护目标 需要检测的范围，默认为全站。一个防护条件支持设置多个且条件多个范围之间为且关系，匹配字段支持选择PATH、URI

域名配置检查是否准确 检查网站信息是否填写正确，包括域名、端口、协议、回源IP等内容。 检查是否有特殊端口，如果有特殊端口需求，您可以将需要使用的HTTP/HTTPS访问端口提交工单 配置，目前只有专业版和旗舰版支持配置非标特殊端口。 检查上传的HTTPS证书是否正确，证书是否合法有效，证书链是否完整。 检查源站是否有防火墙或访问限制，是否已加白AccessOne的回源IP。 验证业务是否正常 验证在各环境下是否都能正常访问业务系统，观察请求的状态码是否异常。 验证业务系统登录后的会话是否保持正常。 如果有手机端业务，检查是否有SNI兼容问题。 是否有配置只允许AccessOne回源IP访问源站，防止攻击者绕过AccessOne直接攻击源站。 域名安全运营 报表分析 您可以通过该模块查看CC攻击报表、WAF攻击报表、业务分析、热门分析等功能，详细操作见安全防护分析。 告警管理 您可以通过该模块配置告警规则及查看告警记录，详细操作见告警管理。 日志服务 可通过离线日志模块进行下载域名的访问日志，并通过安全防护日志进行查看WAF攻击日志、CC攻击日志。 态势感知 通过态势感知模块，您可以实时查看到业务整体的攻击情况，详细操作见态势感知。

本文将向您介绍如何通过边缘安全加速平台安全与加速服务设置Web规则白名单。 功能介绍 若您希望请求针对域名防护规则集中的某条规则加白，可以配置规则白名单。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见下文。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持使用Web规则白名单功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】【Web应用防火墙】，选择您要配置的域名，进入基础安全防护【防护规则引擎】详细设置页。 3. 选择您希望设置白名单范围的规则ID，点击操作列【加白】按钮，设置加白的匹配范围，粒度支持配置URI、IP、IPS、PATH、BODY等，支持配置多个生效条件。

修改证书 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在左侧导航栏单击“证书管理”。 5. 在证书列表中，在需要修改的证书所在行，单击“修改”。 6. 在“修改证书”对话框中，修改证书的相关信息。 7. 在确认对话框中单击“确定”，完成修改。 删除证书 删除证书时，只能删除未使用的证书，在使用中的证书无法删除。 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在左侧导航栏单击“证书管理”。 5. 在证书列表中，在需要修改的证书所在行，单击“删除”。 6. 在确认对话框中单击“是”，完成删除。 更换证书 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要修改HTTPS监听器的负载均衡名称。 5. 切换到“监听器”页签： 共享型负载均衡器，单击需要修改的HTTPS监听器名称右侧“修改”入口进入。 独享型负载均衡器，单击需要修改的HTTPS监听器名称右侧的“配置”入口进入，选择“修改监听器”。 6. “云主机证书”选择需要更换的证书，单击“下一步”。 7. 在“配置后端主机组”对话框中，单击右下角的“完成”。 说明 如果还有其他的服务也使用了待更换的证书，例如Web应用防火墙服务。请在所有服务上完成更换证书的操作，以免证书更换不全面而导致业务不可用。 弹性负载均衡的证书和私钥的更换对业务没有影响。

开启匿名用户访问。默认已开启。 writeenableYES 开放服务器的写权限（若要上传，必须开启）。默认已开启。 anonumask022 设置匿名用户所上传数据的权限掩码（反掩码）。默认已开启。 anonuploadenableYES 允许匿名用户上传文件。默认已注释，需取消注释。 anonmkdirwriteenableYES 允许匿名用户创建（上传）目录。默认已注释，需取消注释。 anonotherwriteenable YES 允许删除、重命名、覆盖等操作。需添加。 6. 按Esc键退出编辑模式，并输入:wq保存后退出。 7. 执行以下命令重启vsftpd服务使配置生效。 plaintext systemctl restart vsftpd.service 8. 关闭防火墙和增强型安全功能。 plaintext systemctl stop firewalld setenforce 0 3. 设置安全组 搭建好FTP站点后，需要配置弹性云主机的安全组规则，入方向添加一条放行FTP端口的规则，设置安全组规则如下表。 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和配置文件“/etc/vsftpd/vsftpd.conf”中参数“pasvminport”和“pasvmaxport”之间的所有端口 0.0.0.0/0 4. 客户端测试 1. 在Windows系统打开开始菜单，输入 cmd 命令打开命令提示符。 2. 建立ftp连接：ftp XX.XX.XX.XX （虚拟机公网ip地址）。 3. 输入配置好的用户名和密码，反馈如下表示访问成功。 4. ftp> pwd

本小节介绍SSL VPN的系统基本信息配置。 授权信息 在“系统设置 > 系统配置 > 授权信息”页面，可以查看设备当前的授权信息。 系统时间 “系统设置 > 系统配置 >日期与时间”用于设定系统时间。可以直接在界面上修改时间，也可以选择“自动与时间服务器同步”进行时间的同步。 注意 设备日志记录的时间与系统时间相关，请注意确保系统时间的准确性，手动获取本地时间和系统时间会重启设备，请勿在工作时间操作。 控制台配置 “系统设置 > 系统配置 > 控制台配置”用于设定SSL设备的设备名称、WEBUI管理页面端口、超时时间以及远程维护支持选项。 注意 为设备安全考虑，一般情况下建议禁用远程维护支持。 配置备份与恢复 “系统维护 > 配置备份/恢复”用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。 SSL的配置包含全局配置和SSL VPN配置，都是点击“下载当前配置”进行下载，两者的区别是： 全局配置：包含SSL设备系统配置、网络配置、SSL VPN设置、IPSec VPN配置以及防火墙设置等设备全部配置信息。导入全局配置时，设备需要重启。 SSL VPN配置：仅包含SSL VPN设置和SSL VPN选项的配置，导入SSL VPN配置时，设备仅重启SVPN相关服务。

2.13 安装系统 分区完成后会进行Windows系统的安装。 系统安装完成后会自动重启。 2.14 设置Administrator用户密码 创建用户时会自动创建Administrator用户并设置密码，不建议新建其他用户，可能有安全隐患。物理机装机系统只在装机时为Administrator用户设置密码，不考虑其他用户。 2.15 进入Windows系统 完成上面的配置后，即可进入Windows系统 使用“发送按键”解锁Windows屏保 输入密码后即可进入系统 3. 安装软件、配置系统 这一步安装镜像中需要的软件，配置系统等。用户可根据自身需要进行定制，Windows定制镜像主要分两部分，第一部分是基础配置，第二部分用户定制配置。 3.1 基础配置 由于Windows相关驱动和脚本配置不易获取，本文将提供常用配置和软件包打包为iso，方便用户完成物理机镜像基础配置。其中包含系统升级、远程桌面配置、硬件驱动安装、防火墙配置、ntp配置等基础配置，适配不同的标准物理机设备。 本文提供windowsserver2016、windowsserver2019、windowsserver2022系统的基础配置包，windowsservercustomize.iso配置包下载地址为：< （访问码：9ee7） windowsserver2016customize.iso配置包中的文件结构如下： plaintext windowsserver2016customize ├─Configs 配置文件 │ └─ ├─Drivers 驱动文件 │ ├─ │ ├─ ├─Packages 软件安装文件 ├─customize.cmd 配置脚本 └─cleanup.cmd 清理镜像脚本

为什么IPsec连接状态为“第二阶段协商成功”，但本地数据中心内的服务器无法访问VPC内的云主机实例？ VPC的路由配置、安全组规则或本地数据中心的路由配置、访问控制策略未允许本地数据中心内的服务器访问VPC内的云主机实例。 分类 解决方案 VPC 排查VPC路由表中的路由配置。确保VPC路由表内已存在相关路由使云主机实例可以对服务器的访问做出应答。 排查VPC应用的安全组规则。确保安全组规则允许云主机实例和服务器之间互相访问。 本地数据中心 排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以通过IPsec VPN连接访问云主机实例。 排查本地数据中心的访问控制策略。确保本地数据中心允许云主机实例和服务器互相访问。 为什么IPsec连接状态为“第二阶段协商成功”，但IPsec VPN连接单向不通？ 原因： 在IPsec连接的对端网关设备使用的是华为防火墙的情况下，如果对端网关设备的出接口配置了nat enable，将会导致从该接口发出的所有数据包的源IP地址都被转换为该接口的IP地址，导致IPsec VPN连接单向不通。 解决方案： 1. 运行nat disable命令，关闭出接口的NAT功能。 2. 设置NAT策略。 natpolicy interzone trust untrust outbound policy 0 action nonat policy source 192.168.0.0 mask 24 policy destination 192.168.1.0 mask 24 policy 1 action sourcenat policy source 192.168.0.0 mask 24 easyip Dialer0 其中： 192.168.0.0：网关设备的私网网段。 192.168.1.0：VPC的私网网段。 Dialer0：网关设备的出接口。

开通的教师、学生云电脑遇到无法连接，无法使用广播优化，无法批量控制终端等问题，应该如何定位解决？ 检查教师、学生云电脑在同一个VPC，已开启网络互通，已开启组播功能。 检查教师、学生本地终端使用有线连接，且在同一个局域网。 检查教师本地终端不存在多网卡，禁用多余网卡。 检查教师、学生本地终端已关闭防火墙。 广播优化出现花屏、卡顿、部分学生无法接收到画面等现象，应该如何定位解决？ 检查本地是否使用有线网络正确连接，换用更稳定的交换机或者路由器。 在电教室局域网内，可以放置其他非教师、非学生终端吗？ 可以。非教师、非学生终端上客户端版本保持在v2.6及以上版本即可。并且教师桌面如果在其他非电教室内的其他地点登录，同局域网内的其他终端客户端如有发生频繁异常退出，可以升级客户端版本保持在v2.6及以上版本即可。 是否有教师、学生推荐的本地终端列表？ 教师本地终端推荐至少4G内存；学生本地终端推荐至少2G内存，且支持WOL网络唤醒。 教师本地终端 学生本地终端 终端类型 实达TC9070X2Z、实达TC9050X4Z 升腾C33M、升腾C31M 瘦终端 升腾C51、升腾C32 升腾C33M、升腾C31M 瘦终端 朝歌Z93C、朝歌Z93A 视源DT21NB、视源DT24NB、升腾VAR210 一体机 天翼云TY274H、AOC A24925 升腾C30A 一体机 注意 教师和学生本地终端需要安装相同的客户端类型，例如教师和学生本地终端均安装统一客户端，或者教师和学生本地终端均安装安卓客户端。 更多教师、学生本地终端搭配可在满足以上要求的前提下，从

请您根据以下处置建议，对系统展开检查，减少脆弱性暴漏。 体检完成后，您可以根据体检报告及漏洞详单查看互联网业务的漏洞开放、弱口令、高危端口开放等安全问题。体检报告包含推荐的处置建议，产线可根据这些建议，完成漏洞修复并及时更新线上系统，防止被攻击人员利用，造成损失。 通用处置建议 安全体检建议对存在漏洞的主机参考附件中提出的解决方案进行漏洞修补、安全增强。 建议所有Windows系统使用"Windows Update"进行更新。 对于大量终端用户而言，可以采用WSUS进行自动补丁更新，也可以采用补丁分发系统及时对终端用户进行补丁更新。 对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。 对于存在弱口令或是空口令的服务，在一些关键服务上，应加强口令强度，同时需使用加密传输方式，对于一些可关闭的服务来说，建议关闭该服务以达到安全目的。 对于UNIX系统订阅厂商的安全公告，与厂商技术人员确认后进行漏洞修补、补丁安装、停止服务等。 由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞，攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。 建议采用安全体检系统定期对网络进行评估，真正做到未雨绸缪。 远程安全评估系统建议对存在不合规检查项的主机参考对应的检查点详情中提出的调整方案和标准值进行修正。

配置项 描述 实例名称 填写集群的实例名称 企业项目 按需选择企业项目 计费模式 默认使用按需计费模式 Kubernetes版本 显示当前Serverless集群支持的Kubernetes版本 部署方式 支持单可用区部署、多可用区部署 可用区 按需选择可用区 API Server访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。同时，您也可以选择是否使用EIP暴露API Server，选择不开放时，则无法通过外网访问集群API Server 虚拟私有云 集群所使用的VPC，支持使用已有的VPC或创建虚拟私有云 所在子网 集群所使用的子网，支持使用已有的子网或创建子网 默认安全组 安全组是一种虚拟防火墙，能够控制实例的出入站流量，Serverless集群会自动生成一条默认的安全组，以确保容器之间能正常通信 启用IPv6 启用IPv6双栈将创建双栈Serverless集群 Service CIDR 设置Service CIDR。Service网段不能与VPC及VPC内已有集群使用的网段重复，并且Service地址段也不能和Pod地址段重复。集群创建成功后不能再修改该网段 自定义证书SAN 按需添加自定义的IP或域名，以实现对客户端的访问控制 集群本地域名 填写集群的本地域名 集群删除保护 设置是否启用集群删除保护，防止通过控制台或者API误删除集群 集群标签 为集群绑定标签，作为云资源的标识 集群描述 按需对集群进行描述说明 时区 集群所要使用的时区

本章节主要介绍使用DataArts Studio前的准备。 在使用DataArts Studio前，您应首先进行数据与业务调研，选择合适的数据治理模型。 然后参考本章节，预先做好以下准备工作： DataArts Studio准备工作 准备数据源 准备数据湖 DataArts Studio准备工作 如果您是第一次使用DataArts Studio，请参考用户指南中的“准备工作”章节，完成创建DataArts Studio实例、创建工作空间等一系列操作。然后找到对应的工作空间，即可开始数据开发与运营。 准备数据源 在实际业务中，源端数据源大多为云下的MySQL、PostgreSQL、HBase、Hive等类型，您需要作如下准备： 确保数据源所在的主机可以访问公网。 获取数据源的公网连接地址、数据库端口、数据库管理员用户及密码等信息。 确保防火墙规则出方向已开放数据库端口，允许数据传输到云上。 准备好数据源之后，后续您可以通过数据集成将数据源迁移到数据湖底座中，然后再通过DataArts Studio进行数据开发、治理和运营等活动。 准备数据湖 在使用DataArts Studio前，您需要根据业务场景选择符合需求的云服务作为DataArts Studio的数据湖底座，用于存储原始数据和数据开发过程中的数据，并进行后续的数据开发、治理和运营等活动。DataArts Studio平台当前支持的数据湖产品请参见DataArts Studio支持的数据源。 准备好数据湖之后，您可以通过创建数据连接将DataArts Studio与数据湖底座连接起来，然后进行下方1和2的操作。1和2的操作样例可参考快速入门中的“2：准备工作”章节。

请求JSON参数 参数 类型 是否必传 名称 描述 ::: starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持： “001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速), “014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速), “010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看省份及对应的省编码 isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商及对应的运营商编码 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为 producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

本章节主要介绍翼MapReduce的查看主机概览操作。 总览 登录FusionInsight Manager以后，单击“主机”，在主机列表单击指定的主机名称，可以访问主机详情页面，主要包含基本信息区、磁盘状态区、角色列表区和监控图表等。 基本信息区 主机详情页面的基本信息包含该主机的各个关键信息，例如管理IP地址、业务IP地址、主机类型、机架、防火墙、CPU核数、操作系统等信息。 磁盘状态区 磁盘状态区包含了该主机所有为集群配置的磁盘分区，并显示每个磁盘分区的使用情况。 实例列表区 实例列表区显示了该主机所有安装的角色实例，并显示每个角色实例的状态，单击角色实例名称后的日志文件，可在线查看该实例对应日志文件内容。 告警和事件的历史记录 告警和事件的历史记录区显示了当前主机上报的关键告警与事件记录，系统最多可显示20条历史记录。 图表 主机详情页面的右侧展示图表区，包含该主机的各个关键监控指标报表。 用户可以单击右上角的“ > 定制”，自定义在图表区展示的监控报表。选择时间区间后，单击“ > 导出”，可以导出指定时间区间内的详细监控指标数据。 单击监控指标标题后的可以打开监控指标的解释说明。 单击主机的“图表”页签，可直接查看该主机的全量监控图表信息。

本小节介绍漏洞扫描售前类常见问题。 什么是漏洞扫描服务？ 漏洞扫描服务是通过在公网或内网，基于漏洞数据库，通过扫描对指定的远程或者本地计算机系统的安全脆弱性检测，发现可利用漏洞的一种安全检测行为。可对公网或内网的资产进行扫描，扫描完成后出具专业扫描报告，并提供漏洞修复建议。 漏洞扫描服务有哪些功能？ 多种评估类型：评估主机系统、网络和应用程序的弱点，检测系统内的恶意软件，发现Web服务器和服务的弱点。 丰富的评估能力：网络设备，包括下一代防火墙、操作系统、数据库、Web应用、虚拟和云环境等，扫描IPv4、IPv6和混合网络，可根据需求设置扫描任务运行时间和频率。 两种扫描模式：漏洞扫描器在选择扫描方式时可使用非登录扫描和登录扫描方式，登录扫描能够更深入全面的发现主机漏洞。 持续管理：扫描器可以配置为自动更新，扫描器不断更新高级威胁及零日漏洞插件。 多种报告：自定义报告以按漏洞或主机排序，创建执行摘要或比较扫描结果以突出显示更改，可提供XML、PDF、CSV和HTML类型的报告。 漏洞扫描服务有什么优势？ 快速发现：能够准确、快速的发现主机存在的漏洞风险，对发现的漏洞进行分析，及时提供专业含切实可行整改建议的扫描报告。 准确详尽：详尽描述系统存在的漏洞种类、安全漏洞数量、危害级别等，描述漏洞时提供可行解决方案。 准确性强：插件扩展性强、功能强大，可以对多种安全漏洞进行漏洞发现，使用多个扫描工具交叉扫描，降低误报，提高漏洞准确性。

本小节介绍日志审计(原生版)报表用户指南。 报表是将日志审计（原生版）获取到的数据源数据，按报表的形式展示。 内置报表包括：攻击事件报表、审计事件报表、恶意程序报表、应用服务器报表、网络设备报表、防火墙事件报表、windows审计报表、Linux审计报表、天翼云堡垒机审计报表。 新增报表组 您需要在报表组中新增自定义报表，首先需要新增报表组。 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 报表”，进入“报表”页面。 3. 单击“新增组”，填写“报表组名称”和“报表组描述”。 4. 填写完成后，单击“确认”完成报表组的新增。 新增报表 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 报表”，进入“报表”页面。 3. 选择需要新增报表的组，单击“新增报表”，进入“配置报表”页面。 4. 在“配置报表”页面，填写相关内容。 参数 参数说明 取值样例 名称 填写自定义报表模板的名称，在同一个报表组内不支持重名的报表。 Test 标题 填写报表文件的大标题。 Test 数据源 选择报表内容生成的数据源，如何配置数据源请参考数据源。 保存时间 选择报表生成后在系统内保存的时间，以天为单位。 7天 纸张大小 选择生成报表的纸张大小模板，支持选择“A3”、“A4”。 A4 纸张方向 选择生成报表的纸张方向。 垂直 页眉/页脚 根据需求选择是否开启。 5. 在页面右侧，拖拽需要配置的文档模板模块，完成报表模板的配置。 6. 配置完成后单击“提交”，完成报表的配置。

CSRF防护的方式 验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持CSRF防护功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【CSRF防护】详细设置页。

本文介绍配置安全组的入方向规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 弹性云主机是天翼云提供的云服务器。安全组（Security Group）是用于设置云服务器实例的网络访问控制的虚拟防火墙，一般是作为流量访问白名单存在，以下是一些ECS安全组的最佳实践： 开放原则 默认拒绝所有流量：新建的安全组规则默认情况下拒绝所有入站和出站流量，这是一种良好的安全实践。 仅开放必要的端口和协议，避免使用0.0.0.0/0规则：根据应用需求，只开放必要的端口和协议，例如HTTP（80端口）、HTTPS（443端口）等。避免开放不必要的端口，以减少攻击面。 分组原则 根据应用需求进行分组：根据应用程序或服务的需求，可以将安全组规则进行分组。例如，将Web服务器相关的规则放在一个Web层安全组中，数据库服务器相关的规则放在另一个Database层安全组中。这样可以更好地管理和组织安全组规则，暴露不同的出入规则和权限。 避免过度复杂化：尽量避免创建过多的安全组，以免管理和维护变得复杂。根据实际情况合理划分安全组，保持简洁和易于管理。 授权原则 基于最小权限原则：为安全组授权时，应遵循最小权限原则，仅授予实例所需的访问权限。只开放必要的端口和IP地址范围，避免授权过度，减少潜在的安全风险。 限制访问来源：根据实际需求，限制访问来源的IP地址或IP地址段。仅允许特定的IP地址或IP地址段访问云主机，以增加安全性。

提升操作系统访问安全性 使用密钥对登录实例 密钥对由公钥和私钥组成，是一种安全的身份认证方式，相较于传统账号密码登录，具备更高安全性与便捷性,为提高安全性，建议使用密钥对登录实例。 天翼云密钥对默认采用 RSA2048 位加解密算法，密钥对的安全强度远高于常规密码，能有效杜绝暴力破解风险，避免因密码泄露导致的实例被非法登录。将公钥配置在 Linux 实例后，用户可在本地或其他实例中，通过私钥直接登录目标实例，无需重复输入密码，对于批量管理多台 Linux 实例场景，密钥对登录能大幅提升运维效率。 配置建议：创建实例时可直接指定密钥对，或在实例创建后绑定密钥对；建议在 SSH 配置文件中禁用密码登录，仅支持密钥对登录，进一步强化登录安全。更多信息，请参见++密钥对使用场景介绍++ 避免敏感端口 0.0.0.0/0 授权 未对端口授权进行管理的情况下，云主机允许任意来源的访问，可能导致网络中的攻击者在未经授权的情况下，通过Linux操作系统22端口（用于SSH连接）或Windows操作系统的3389端口（用于RDP远程桌面服务）登录到操作系统中，对系统进行攻击。安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。更多信息，请参见++安全组概述++。 安全加固操作系统

2.13 安装系统 分区完成后会进行Windows系统的安装。 系统安装完成后会自动重启。 2.14 设置Administrator用户密码 创建用户时会自动创建Administrator用户并设置密码，不建议新建其他用户，可能有安全隐患。物理机装机系统只在装机时为Administrator用户设置密码，不考虑其他用户。 2.15 进入Windows系统 完成上面的配置后，即可进入Windows系统 使用“发送按键”解锁Windows屏保 输入密码后即可进入系统 3. 安装软件、配置系统 这一步安装镜像中需要的软件，配置系统等。用户可根据自身需要进行定制，Windows定制镜像主要分两部分，第一部分是基础配置，第二部分用户定制配置。 3.1 基础配置 由于Windows相关驱动和脚本配置不易获取，本文将提供常用配置和软件包打包为iso，方便用户完成物理机镜像基础配置。其中包含系统升级、远程桌面配置、硬件驱动安装、防火墙配置、ntp配置等基础配置，适配不同的标准物理机设备。 本文提供windowsserver2016、windowsserver2019、windowsserver2022系统的基础配置包，windowsservercustomize.iso配置包下载地址为：< （访问码：9ee7） windowsserver2016customize.iso配置包中的文件结构如下： plaintext windowsserver2016customize ├─Configs 配置文件 │ └─ ├─Drivers 驱动文件 │ ├─ │ ├─ ├─Packages 软件安装文件 ├─customize.cmd 配置脚本 └─cleanup.cmd 清理镜像脚本

本地数据中心的什么设备可以建立IPsec VPN连接？ 设备型号多为路由器、防火墙等，天翼云的VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与天翼云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 IPsec VPN连接支持将两个VPC互连吗？ 支持将两个VPC互连。不仅可以实现天翼云不同区域资源池中VPC互通， 也可以连通其他云服务商的VPC网络（前提是对方也具备相同的VPN接入能力）。 为这两个VPC分别创建VPN网关，并为两个VPN网关创建用户网关和IPsec连接。将两个IPsec连接的用户网关设置为对方VPN网关的网关IP，将两个VPN连接的对端网段设置为对方VPC的网段，两个VPN连接的预共享密钥和算法参数需保持一致。 是否可以通过IPsec连接实现跨境访问国外网站？ 不可以。IPsec连接仅支持在中国境内实现将云上的VPC子网和用户侧数据中心的数据中心网络打通的场景。 如果您有跨境访问国外网站的需求，建议使用天翼云SDWAN产品的跨境能力。SDWAN是一种基于软件定义的广域网（WAN）技术，它可以提供更加灵活、智能和安全的网络连接服务。通过天翼云SDWAN的跨境能力，您可以在中国和国外之间建立一个安全的网络连接，实现跨境访问和数据传输。

Redis实例每个DB空间大小和选择DB？ 每个分布式缓存Redis版有256个DB，从DB0到DB255。每个DB没有单独的内存占用量限制，DB可以使用的内存容量受Redis实例的总内存限制。 您可以使用SELECT命令在不同DB之间切换。例如，要切换到DB108，可以使用如下命令 select 108 为什么实例实际可用内存比申请规格小而且已使用内存不为0？ 系统开销会占用部分资源，主备实例的持久化也需要一部分资源，因此实际可使用内存会比申请规格略小。 实例无法删除是什么原因？ 当实例处于运行中时才能执行删除操作。 是否支持跨可用区部署？ 标准版主备与集群版主备支持多可用区部署，在创建实例时可选择跨可用区部署。 实例是否支持变更可用区？ 不支持变更可用区，如需要变更，请重新创建实例 Redis实例是否支持读写分离？ 目前暂不支持读写分离 Redis的安全加固方面有哪些建议？ 访问控制：在 Redis 配置中启用密码认证，设置一个强密码来限制对 Redis 实例的访问。可以在 Redis 配置文件的 requirepass 参数中设置密码，并使用 AUTH 命令在客户端进行身份验证。此外，确保只允许受信任的客户端访问 Redis，通过配置 bind 参数限制可连接的 IP 地址。 此外将 Redis 实例放置在安全的网络环境中，例如通过防火墙或安全组设置适当的网络策略，限制对 Redis 端口的访问。只允许需要访问 Redis 的受信任主机或网络访问 Redis 实例。

首次启动Agent时无法启动该如何处理？ 因部分Windows机型权限限制，会导致第一次启动Agent无法启动，可使用如下方式启动Agent。 1. 右键单击开始菜单。 2. 单击“运行”，输入cmd，进入命令行提示符界面。 3. 输入cd C:SMSAgentPy2，切换到Agent安装目录，执行SMSAgentDeploy.exe。 Windows Agent双击无法运行 安装Windows Agent，双击SMSAgent安装程序没有响应，无法进入安装向导。为系统设置的安全策略锁定了该文件，需要解除对该文件的锁定。右键单击SMSAgentpy运行程序查看属性，勾选“解除锁定”，单击“确定”，然后重新运行。 启动Agent时出现“IO监控启动失败”，该如何处理？ 如果在源端服务器上启动Agent时，出现“IO监控失败”。请进行以下排查： 1. 卸载Agent并且重新安装。 2. 检查源端服务器是否有安装杀毒软件，有以下两种情况： 1. 当系统安装杀毒软件，安全软件或防火墙时，会出现弹窗拦截IO监控驱动。出现拦截提示后，“允许本次操作”可以让杀毒软件允许IO监控程序运行。 2. 不出现拦截页面，直接拦截。这种情况需要手动将IO监控驱动：C:WindowsSystem32driversHwDiskMon.sys添加到杀毒软件的信任区域中，然后重启agent。如果还是不行，则需要卸载杀毒软件。部分杀毒软件会有一个安全防护进程长期驻留，单纯关闭可能无法解决驱动拦截问题。 3. 修改配置文件，不启动IO监控。如果不需要同步数据，可以通过修改配置文件，取消IO监控。修改Agent安装目录config下 gproperty.cfg的 enablesync为False，然后重启Agent。

配置项 描述 实例名称 填写集群的实例名称 企业项目 按需选择企业项目 计费模式 默认使用按需计费模式 Kubernetes版本 显示当前Serverless集群支持的Kubernetes版本 部署方式 支持单可用区部署、多可用区部署 可用区 按需选择可用区 API Server访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。同时，您也可以选择是否使用EIP暴露API Server，选择不开放时，则无法通过外网访问集群API Server 虚拟私有云 集群所使用的VPC，支持使用已有的VPC或创建虚拟私有云 所在子网 集群所使用的子网，支持使用已有的子网或创建子网 默认安全组 安全组是一种虚拟防火墙，能够控制实例的出入站流量，Serverless集群会自动生成一条默认的安全组，以确保容器之间能正常通信 启用IPv6 启用IPv6双栈将创建双栈Serverless集群 Service CIDR 设置Service CIDR。Service网段不能与VPC及VPC内已有集群使用的网段重复，并且Service地址段也不能和Pod地址段重复。集群创建成功后不能再修改该网段 自定义证书SAN 按需添加自定义的IP或域名，以实现对客户端的访问控制 集群本地域名 填写集群的本地域名 集群删除保护 设置是否启用集群删除保护，防止通过控制台或者API误删除集群 集群标签 为集群绑定标签，作为云资源的标识 集群描述 按需对集群进行描述说明 时区 集群所要使用的时区

本小节介绍漏洞扫描功能特性。 产品主要定位主机系统漏洞发现，弱口令检测、配置脆弱性检测，扫描覆盖多种系统环境，如：Windows、UNIX、Linux、Solaris等，帮助客户发现主机中存在的漏洞风险，根据不同漏洞提供解决建议。 漏洞扫描 多种评估类型：评估主机系统、网络和应用程序的弱点，检测系统内的恶意软件，发现Web服务器和服务的弱点。 丰富的评估能力：网络设备，包括下一代防火墙、操作系统、数据库、Web应用、虚拟和云环境等，扫描IPv4、IPv6和混合网络，可根据需求设置扫描任务运行时间和频率。 两种扫描模式：漏洞扫描器在选择扫描方式时可使用非登录扫描和登录扫描方式，登录扫描能够更深入全面的发现主机漏洞。 持续管理：扫描器可以配置为自动更新，扫描器不断更新高级威胁及零日漏洞插件。 多种报告：自定义报告以按漏洞或主机排序，创建执行摘要或比较扫描结果以突出显示更改，可提供XML、PDF、CSV和HTML类型的报告。 开放端口 SYN扫描：端口扫描是计算机入侵者常用的一种漏洞发现方式，攻击者可以通过它了解到主机攻击弱点，一个开放端口就是一个潜在的通信通道，也就是一个入侵通道。如主机开启FTP服务，默认会开放两个端口，一般为20和21端口，入侵者使用端口扫描发现这两个开放状态的端口后将针对展开入侵行为，成功入侵将对企业造成不可估量损失。而网络运营者主动通过端口扫描发现开放端口，分析开放端口潜在风险，做好开放端口访问限制，识别不必要的开放端口并及时关闭，可避免端口被入侵者利用，提高主机防护能力。

本节主要介绍步骤一（2）：创建出云迁移任务 数据库复制服务提供出云的功能，可以将本云上的数据库迁移至用户端数据库，方便进行数据回流处理。 本章节将以RDS for MySQL到ECS自建MySQL的迁移为示例，介绍在同一VPC网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 VPC网络适合本云内数据库之间的迁移。在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足出云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息。 图 迁移任务信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择出云。 出云指源端数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 目前支持公网网络、VPC网络和VPN、专线网络类型，您可以根据具体的业务场景进行设置，此处场景以VPC网络为示例。 VPC网络：适合云上数据库之间的迁移。 VPN、专线网络：适合通过VPN、专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 公网网络：适合将其他云下或其他平台的数据库迁移到目标数据库。 源数据库实例 用户需要迁移的数据库实例。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 源数据库对应的数据库用户名。 数据库密码 源数据库对应的数据库密码。任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 源数据库的用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限。 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 说明： 目标数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 4、在“迁移设置”页面，设置迁移用户和迁移对象等信息，单击“下一步”。 图 迁移模式 表 迁移模式 参数 描述 快照模式 如果您选择的是全量迁移模式的任务，数据库复制服务支持设置快照模式。 非快照式 适用于停止业务数据写入的导出，如果全量迁移中仍然有业务数据的修改，则导出数据为时间点非水平一致。稳定性和性能要优于快照式全量迁移。 快照式 可以在业务运行时产生一份时间水平一致的快照数据，具有业务数据分析价值，过程中的数据变化不会体现在导出数据中。 说明 快照读会使用MySQL备份锁进行全局锁表，在开启一致性读后自动解锁（加锁时间在3s以内），备份锁会对此期间的DML或者DDL操作造成阻塞，建议用户选择源库空闲的时间段使用快照备份功能。 目前仅MySQL全量模式的迁移任务支持快照模式设置。 是否过滤DROP DATABASE 增量迁移过程中，源数据库端执行的DDL操作在一定程度上会影响数据的迁移能力，为了降低迁移数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示数据迁移过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示数据迁移过程中将相关操作同步到目标库。 说明 目前仅支持RDS for MySQL实例>MySQL数据库数据库的全量+增量的迁移场景。 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 迁移 当您选择迁移用户时，请参见《数据库复制服务用户指南》中“迁移用户”章节进行数据库用户、权限及密码的处理。 不迁移 迁移过程中，将不进行用户、权限和密码的迁移。 迁移对象 您可以根据业务需求，选择全部对象迁移、表级迁移或者库级迁移。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 表级迁移：将选择的表级对象迁移至目标数据库。 库级迁移：将选择的库级对象迁移至目标数据库。 如果有切换源数据库的操作或源库迁移对象变化的情况，请务必在选择迁移对象前单击右上角的按钮，以确保待选择的对象为最新源数据库对象。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 选择对象的时候，对象名称的前后空格不显示，中间如有多个空格只显示一个空格。 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 5、在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在待确认项，需要阅读并确认详情后才可以继续执行下一步操作 6、在“任务确认”页面，选择迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 说明 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，强烈建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 7、迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。