本文为您介绍如何在配置迁移任务时自定义分区,并完成该迁移。 介绍说明 您在使用云迁移服务迁移云主机时，可能需要对某个磁盘按需分区。本文以Windows云主机迁移为例，在迁移任务配置中自定义分区后完成本次迁移，该主机存在系统盘C和数据盘E。如图1所示，天翼云ECS由系统盘和数据盘组成，分别为单独的磁盘。 图1：天翼云ECS面板 图2：云主机 操作步骤 1. 在迁移源端云主机上下载CMSAgent，并使用账号下云迁移服务AK/SK安装CMSAgent，具体步骤请参见在源端安装迁移Agent。 2. 迁移Agent启动成功后，登录云迁移控制中心。在“主机管理”页面查看源端云主机信息，迁移状态为“未绑定目标机“。 3. 此时单击“开始迁移”会提示绑定目标机，按指引跳转到目标机绑定界面。 4. 在“云主机选择弹窗”，选择目标机进行绑定。 5. 创建并启动迁移任务，具体步骤请参见创建目标机，检测目标机和绑定目标机。 6. 进入“配置迁移任务”页面，按需对“是否启用增量”、“网络测试”、“压缩率”进行配置，具体步骤请参考公共任务配置。 7. 按迁移源机和目标机盘符情况，对迁移盘符和目的盘符进行配置。如本例迁移源C盘配置： 8. 开始迁移前需要对目标机分区进行确认，单击“重置目标机分区”进行配置。 9. 可以看到目标机磁盘大小及默认分区请况。 10. 如需根据特殊情况调整，可点击目标机物理磁盘进行自定义分区配置。 11. 完成配置后，单击“确认分区”进行保存。 12. 完成以上配置后，可以单击“开始迁移”。 13. 可以看到迁移状态处于“准备阶段”，并可看到迁移任务进度。 14. 您可单击迁移状态以进入“任务追踪”查看任务进度。 15. 迁移任务启动后进入全量迁移。 16. 全量迁移完成后, 若任务配置勾选增量选项，则会自动进入增量迁移状态。 17. 停止迁移源机应用后，单击“引导修复”进行应用切换操作。 目标机开始恢复。 18. 片刻后引导修复完成，完成迁移任务。 19. 迁移任务完成后，目的端ECS会有一个单独系统盘和数据盘。此时完成自定义分区迁移。

本节介绍翼甲卫士的应用场景。 医疗行业，入侵防护+医患资料保护 实现病毒防护和入侵防御，保障医院业务稳定。 有效防止医患资料通过邮件、应用、网站等形式外发。 政务机关，病毒入侵防御+政务内网安全访问 保障政企单位办公环境不受到病毒入侵，保证数据安全。 搭建AI云电脑与政务内网的安全访问通道，保障内网办公。 教育行业，行为管控+实现绿色上网 实现病毒防护和入侵防御，保障教学环境安全。 对课室和电子教室的AI云电脑进行上网管控，限制AI云电脑访问非教育平台的网站。

挂起投递任务 数据投递新增并授权成功后，投递任务状态自动更新为投递中，如需停止投递，可挂起目标投递任务。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，单击目标投递任务所在行“操作”列的“挂起”。 挂起后，投递任务状态更新为“挂起”，则表示挂起投递任务成功。 启动投递任务 数据投递任务停止投递后，如需重启投递，可启动目标投递任务。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，单击目标投递任务所在行“操作”列的“启动”。 启动后，投递任务状态更新为“投递中”，则表示启动投递任务成功。

本文将为您介绍动态资源背景与概念。 业务需求是动态变化的，在用户实际使用弹性伸缩的过程中，也需要依据业务变化来动态进行伸缩活动，即动态扩展资源。 当业务访问请求是无规律且频繁变化时，您可以选择告警策略，业务主机的性能指标达到告警策略的阈值，则可以开始动态伸缩。 例如社交平台、新闻网站社遇到热点事件时：当检测到CPU使用率达90%，自动扩容1台实例，以确保满足业务计算需求；当CPU使用率降至30%，自动缩容1台实例，减少资源成本的浪费。 根据以上业务场景，可以配置两条告警策略： 当CPU使用率大于90%且连续出现2次时，增加1台云主机实例。 当CPU使用率小于30%且连续出现2次时，减少1台云主机实例。

使用自定义脚本实现数据库备份完成后，可以通过如下操作验证数据库备份结果是否成功。本章节以MY SQL数据库为例进行验证。 步骤1、登录MY SQL数据库，创建新的数据库。 步骤2、创建数据库成功后，创建存储过程，可以参考下图。 创建存储过程 步骤3、进入服务备份控制台，对目标弹性云主机创建数据库备份，并勾选数据库备份。 步骤4、待备份完成后，进入/home/rdadmin/Agent/log/rdagent.log，查看冻结、解冻日志，确定冻结解冻时间。 步骤5、使用新创建的数据库备份恢复目标弹性云主机。恢复成功后，登录云主机和数据库，查看表中最后一条插入数据对应的时间。 步骤6、对比步骤5日志显示的VSS冻结成功时间和步骤4的时间。冻结成功之前会停止插入数据，所以步骤5的时间比步骤4早。若步骤5的时间比步骤4早，则表示引用一致性备份成功。

工作项类型 说明 Epic 通常是公司重要战略举措，比如本样例项目中的“凤凰商城”，对于公司是一个与企业生存攸关的关键战略措施。 Feature 通常是对客户有价值的功能，可以通过使用特性满足客户的需求。比如凤凰商城中的“门店网络查询功能”，特性通常会通过多个迭代持续交付。 Story 通常是对一个功能进行用户场景细分，并且能在一个迭代内完成。 Task 通常是用户故事的细分，准备环境、准备测试用例等都可以是完成Story的细分任务。

本文介绍什么是应用加速产品。 应用加速（IP Application Accelerator，IPA）依托天翼云CDN平台的优质节点及线路，通过智能调度、传输优化等核心技术，为基于TCP/UDP协议的各类应用提供性能优化服务，包括企业办公系统（如OA、邮箱等）、业务系统（如ERP、DMS等）、金融及游戏行业的各种动态指令及接口等，可有效解决公网链路抖动、拥塞等问题，大幅提升办公系统、业务系统、生产系统等各类应用的访问速度与稳定性。 应用加速产品架构：

数据空间新增成功后，如果需要对其描述信息进行修改，可参见本节进行处理。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在待编辑数据空间所在行“操作”列，单击“编辑”。 6. 在弹出编辑数据空间界面，修改数据空间描述信息。 7. 单击“确定”。

获取挂载信息 1. 登录控制台后，进入块空间管理列表，找到需要查看详细信息的块空间，点击【查看】按钮，即可查询该块空间的详细信息。 2. 点击后，弹窗展示相关信息，以供块空间挂载配置使用。 挂载 根据不同的操作系统，可参考如下的挂载说明： Linux主机挂载 。 Windows主机挂载 。

本文主要介绍如何查看辅助弹性网卡基本信息。 操作场景 您可以在控制台查看您所拥有的辅助弹性网卡基本信息，包括ID、所属弹性网卡、VLAN、所属VPC、所属子网、私网IP、绑定的弹性IP、MAC地址及关联的安全组等信息。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在“弹性网卡”页面，选择“辅助弹性网卡”页签。 5. 在辅助弹性网卡列表中，单击需要查看详情的辅助“私有IP地址”，打开辅助弹性网卡的详情页。 1. “基本信息”页签：显示辅助弹性网卡的ID、所属弹性网卡、VLAN、所属VPC、所属子网、服务地址、MAC地址等信息。 2. “关联安全组”页签：显示辅助弹性网卡关联的安全组及其规则。 其他操作 在辅助弹性网卡详情页可以修改以下信息： 在“基本信息”页签，可以修改辅助弹性网卡的“描述”信息，以及变更绑定的弹性IP。 在“关联安全组”页签，可以修改关联的安全组。

本节介绍了申请须知。 在购买DRDS实例之前，您需要先做一系列的准备操作，包括评估实例规格，确定VPC及可用区，申请账号等。 注册账号后，如果需要对资源进行精细管理，请使用IAM服务创建IAM用户及用户组，并授权为IAM用户分配具体的操作权限。 评估实例规格 为了使所申请的DRDS服务能更好地满足应用需求，您需要先评估应用所需的计算能力和存储能力，结合业务类型及服务规模，选择合适的实例规格，主要包括：CPU、内存。 确定虚拟私有云（VPC） VPC为网络访问提供了逻辑隔离。您可以在创建VPC时，定义安全组、VPN、子网等网络特性。通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。 DRDS实例必须与应用程序、RDS for MySQL实例处于相同的VPC，以保证网络连通。 建议DRDS实例与应用程序、RDS for MySQL实例选择相同的安全组，三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 确定可用区 建议将应用程序和数据库服务（DRDS、RDS）配置在相同可用区，减少网络时延。

本章节介绍注册配置中心的计费项、计费方式和计费规则。本产品计费不包含负载均衡和容器服务等IaaS层资源的费用。 计费项 微服务引擎注册配置中心的计费项包含注册配置中心托管的普通实例费用、数据盘费用，其中数据盘费用单独计算。 计费方式 目前注册配置中心提供包年包月和按需付费两种付费模式。 按需付费：按需付费是后付费模式，您只需按实际情况进行使用，然后按照使用账单付费即可。为避免造成您的损失，如果您不想再使用此产品，则需要您在微服务引擎注册配置中心实例管理页面内将指定实例退订，系统才会正式停止计费。 包年包月：包年包月是预付费模式，按照包年包月的方式进行付费购买。只要您实际接入的实例数不超过您购买的实例数，不会造成额外的费用。包年包月的模式下，您需要在到期前进行续费或选择自动续费的方式，确保产品持续可用。 计费规则 实例计费规则 注册配置中心实例计费规则如下： 版本类型 主机类型 CPU(核） 内存（GB） 按需（元/节点/小时） 包月（元/节点/月） 注册配置中心单机版 X86通用型 2 4 0.461 221 注册配置中心集群版 X86通用型 2 4 0.77 369 注册配置中心集群版 X86通用型 4 8 1.413 677 注册配置中心集群版 X86通用型 8 16 2.7 1294 注册配置中心集群版 X86通用型 16 32 5.274 2528 注册配置中心企业版 X86通用型 2 4 1.51 724 注册配置中心企业版 X86通用型 4 8 2.869 1377 注册配置中心企业版 X86通用型 8 16 5.451 2616 注册配置中心企业版 X86通用型 16 32 10.357 4971 注册配置中心单机版（鲲鹏） ARM鲲鹏通用型 2 4 0.6 255 注册配置中心单机版（鲲鹏） ARM鲲鹏计算增强型 2 4 0.8 364 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 2 4 0.9 425 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 4 8 1.7 779 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 8 16 3.2 1489 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 16 32 6.1 2908 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 2 4 1.3 606 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 4 8 2.4 1111 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 8 16 4.5 2122 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 16 32 8.7 4144 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 2 4 1.8 833 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 4 8 3.3 1584 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 8 16 6.3 3009 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 16 32 12 5717 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 2 4 2.5 1188 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 4 8 4.8 2258 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 8 16 9 4288 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 16 32 17 8147 注册配置中心单机版（飞腾） ARM飞腾通用型 2 4 0.6 255 注册配置中心单机版（飞腾） ARM飞腾计算增强型 2 4 0.8 338 注册配置中心集群版（飞腾） ARM飞腾通用型 2 4 0.9 425 注册配置中心集群版（飞腾） ARM飞腾通用型 4 8 1.7 779 注册配置中心集群版（飞腾） ARM飞腾通用型 8 16 3.2 1489 注册配置中心集群版（飞腾） ARM飞腾通用型 16 32 6.1 2908 注册配置中心集群版（飞腾） ARM飞腾计算增强型 2 4 1.2 564 注册配置中心集群版（飞腾） ARM飞腾计算增强型 4 8 2.2 1033 注册配置中心集群版（飞腾） ARM飞腾计算增强型 8 16 4.2 1973 注册配置中心集群版（飞腾） ARM飞腾计算增强型 16 32 8.1 3854 注册配置中心企业版（飞腾） ARM飞腾通用型 2 4 1.8 833 注册配置中心企业版（飞腾） ARM飞腾通用型 4 8 3.3 1584 注册配置中心企业版（飞腾） ARM飞腾通用型 8 16 6.3 3009 注册配置中心企业版（飞腾） ARM飞腾通用型 16 32 12 5717 注册配置中心企业版（飞腾） ARM飞腾计算增强型 2 4 2.3 1104 注册配置中心企业版（飞腾） ARM飞腾计算增强型 4 8 4.4 2099 注册配置中心企业版（飞腾） ARM飞腾计算增强型 8 16 8.4 3987 注册配置中心企业版（飞腾） ARM飞腾计算增强型 16 32 15.8 7576 注册配置中心单机版（海光） X86海光通用型 2 4 0.6 255 注册配置中心单机版（海光） X86海光计算增强型 2 4 0.8 345 注册配置中心集群版（海光） X86海光通用型 2 4 0.9 425 注册配置中心集群版（海光） X86海光通用型 4 8 1.7 779 注册配置中心集群版（海光） X86海光通用型 8 16 3.2 1489 注册配置中心集群版（海光） X86海光通用型 16 32 6.1 2908 注册配置中心集群版（海光） X86海光计算增强型 2 4 1.2 574 注册配置中心集群版（海光） X86海光计算增强型 4 8 2.2 1052 注册配置中心集群版（海光） X86海光计算增强型 8 16 4.2 2011 注册配置中心集群版（海光） X86海光计算增强型 16 32 8.2 3926 注册配置中心企业版（海光） X86海光通用型 2 4 1.8 833 注册配置中心企业版（海光） X86海光通用型 4 8 3.3 1584 注册配置中心企业版（海光） X86海光通用型 8 16 6.3 3009 注册配置中心企业版（海光） X86海光通用型 16 32 12 5717 注册配置中心企业版（海光） X86海光计算增强型 2 4 2.4 1125 注册配置中心企业版（海光） X86海光计算增强型 4 8 4.5 2139 注册配置中心企业版（海光） X86海光计算增强型 8 16 8.5 4063 注册配置中心企业版（海光） X86海光计算增强型 16 32 16.1 7718 以订购注册配置中心集群版4C8G为例，若订购3节点，则价格为：677 3 2031元/月。 说明 企业版目前支持通过白名单方式开放订购，若您需要订购使用，请联系客户经理或提工单进行解决。

内容预取 预取功能是指提交URL预取请求后，全站加速将会主动回源获取文件并将其缓存到节点。当用户首次请求时，就能直接从节点缓存中获取到该文件，无需再回源站。预取功能可提高缓存命中率，同时降低源站压力，适用于即将发布热门文件场景。 SSL/TLS SSL（Secure Sockets Layer，安全通讯协议），是一个构架于TCP之上的安全套接层，是为网络通信提供安全及数据完整性的一种安全协议。标准化之后的SSL名称为TLS（Transport Layer Security，传输层安全协议）。目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS，HTTPS即HTTP over TLS，就是更安全的HTTP，运行在HTTP层之下，TCP层之上，为HTTP层提供数据加解密服务。 OCSP OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在SSL握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低了HTTPS性能，严重影响用户体验。开启OCSP装订功能可有效缓解OCSP过程带来的阻塞效果。 QUIC QUIC全称：Quick UDP Internet Connections，是一种实验性传输层网络协议，提供与TLS/SSL相当的安全性，同时具有更低的连接和传输延迟。QUIC目前的主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。

为什么在云监控服务看不到监控数据？ 当出现以下情况时，有可能在云监控服务中看不到监控数据： 购买云服务资源后，首先确认该服务是否已对接云监控服务，请参考支持监控的服务列表。 已对接云监控的服务，由于各个服务采集上报监控数据的频率各有不同，请耐心等待一段时间。 弹性云服务器或裸金属服务器关机超过1小时以上。 云硬盘没有挂载给弹性云主机或物理机。 弹性负载均衡未绑定后端服务器或者后端服务器全部关机。 资源创建时间不足10分钟。 安装配置成功Agent后，为什么管理控制台没有操作系统监控数据或者显示数据滞后？ 安装配置Agent成功，并且云监控服务管理控制台界面“监控状态”开启开关后，需要等待2分钟，管理控制台上才会有操作系统监控数据。 若“插件状态”为“运行中”，“监控状态”开启，等待5分钟后仍没有操作系统监控数据，则需要排查ECS或BMS时间和管理控制台所在客户端时间是否一致。 Agent上报数据时取的是ECS或BMS的操作系统本地时间，管理控制台下发的请求时间范围是依赖用户客户端浏览器的时间，两者如果不匹配则可能导致管理控制台查不到操作系统监控数据。 修改物理机和监控服务时间一致参考命令： timedatectl settimezone 'Asia/Shanghai'。 为什么云监控服务中的网络流量指标值与弹性云服务器系统内工具检测的指标不同？ 因为云监控服务与弹性云主机系统内指标检测软件的采样周期不同。 云监控服务对弹性云主机、云硬盘的采样周期是4分钟（云主机类型为KVM的是5分钟），而系统内工具的采样周期一般为1秒，远远小于云监控服务的采样周期。 采样周期越大，短期内的数据失真越大。所以云监控服务更适合用于网站长期监测、长期监测运行在弹性云主机内的应用趋势等。 同时，使用云监控服务用户可通过设置阈值对资源进行提前告警，保证资源稳定可靠。

本文详细介绍AOne边缘安全加速平台支持资源包的购买方式。 购买说明 资源包与按量付费相比，资源包享有更高的折扣优惠，您可以根据业务的实际需要来选购最适合您的资源包。 有效期限 自购买起1年内有效，资源包到期则不可使用，为保障业务稳定“资源包用尽”或“资源包到期”前，请及时购买资源包。 退订说明 未使用的资源包均可进行退订，资源包使用后剩余流量不允许退订。 使用限制 对应产品服务套餐处于服务中才可使用该资源包，建议先进行购买对应产品服务。 操作说明： 1. 登录天翼云官网，访问边缘安全加速平台控制台，进入计费详情。 2. 选择资源包，进入资源包购买。 3. 点击资源包订购，可进行安全与加速流量资源包、安全与加速动态请求数资源包、零信任流量资源包、零信任短信资源包的订购。 4.提交订单并支付，立即生效。

本章节主要介绍安全认证原理和认证机制。 功能 开启了 Kerberos认证的安全模式集群，进行应用开发时需要进行安全认证。 Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”，后来沿用作为安全认证的概念，使用Kerberos的系统在设计上采用“客户端/服务器”结构与AES等加密技术，并且能够进行相互认证（即客户端和服务器端均可对对方进行身份认证）。可以用于防止窃听、防止replay攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。 结构 Kerberos的原理架构如下图所示，各模块的说明如下图所示。 原理架构 模块说明 模块 说明 Application Client 应用客户端，通常是需要提交任务（或者作业）的应用程序。 Application Server 应用服务端，通常是应用客户端需要访问的应用程序。 Kerberos 提供安全认证的服务。 KerberosAdmin 提供认证用户管理的进程。 KerberosServer 提供认证票据分发的进程。 步骤原理说明： 应用客户端（Application Client）可以是集群内某个服务，也可以是客户二次开发的一个应用程序，应用程序可以向应用服务提交任务或者作业。 1. 应用程序在提交任务或者作业前，需要向Kerberos服务申请TGT（TicketGranting Ticket），用于建立和Kerberos服务器的安全会话。 2. Kerberos服务在收到TGT请求后，会解析其中的参数来生成对应的TGT，使用客户端指定的用户名的密钥进行加密响应消息。 3. 应用客户端收到TGT响应消息后，解析获取TGT，此时，再由应用客户端（通常是rpc底层）向Kerberos服务获取应用服务端的ST（Server Ticket）。 4. Kerberos服务在收到ST请求后，校验其中的TGT合法后，生成对应的应用服务的ST，再使用应用服务密钥将响应消息进行加密处理。 5. 应用客户端收到ST响应消息后，将ST打包到发给应用服务的消息里面传输给对应的应用服务端（Application Server）。 6. 应用服务端收到请求后，使用本端应用服务对应的密钥解析其中的ST，并校验成功后，本次请求合法通过。

本节介绍了无法导入密钥对,怎么办的相关内容。 当您的浏览器是IE9时，可能无法导入密钥对或无法使用文件注入功能，请参考如下步骤修改浏览器默认属性后重试。 1. 在浏览器主界面，单击。 2. 选择“Internet选项”。 3. 单击选择“安全”页签。 4. 单击“Internet”。 5. 如果安全级别显示为“自定义”，单击“默认级别”按钮，把设置还原为默认级别。 6. 滑动安全级别滑块，把安全级别调到“中”级别，单击“应用”按钮。 7. 选择“自定义级别”。 8. 将“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”设置为“提示”。 9. 单击“确定”。

CSRF防护的方式 验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持CSRF防护功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【CSRF防护】详细设置页。

本节主要介绍编辑登录规则和清除登录规则。 点击“访问控制”>“安全设置”，进入“安全设置”页面，在“登录安全设置”处可以进行编辑登录规则和清除登录规则。 登录策略是一组规则，定义IAM用户可以设置的登录类型，该规则将应用于IAM用户设置登录规则。 编辑登录规则 在“登录安全设置处”点击“编辑登录规则”，可以对IAM用户登录规则进行重新设置。 项目 描述 :: 限定登录时长 登录失败次数的限定时间。如果在限定登录时长内IAM用户达到登录失败次数后，会被锁定一段时间，锁定时间结束后，才能重新登录。 取值：整数形式，[15, 60]，单位是分钟。 登录失败次数 IAM用户在限定时间内允许连续登录失败的次数。 取值：整数形式，[5, 10]。 锁定时间长度 IAM用户被锁定的时间。 取值：整数形式，[15, 60]，单位是分钟。 是否允许单用户同时多点登录 是否允许IAM用户同一时刻在多个客户端登录。当配置为不允许时，则IAM用户不能同时在多个客户端登录，即最后一次的登录会保持，之前的登录将被强制下线。系统默认配置为允许。 登录Session过期时间长度 IAM用户登录控制台后，在无任何操作时，保存会话的时间长度。 取值：整数形式，[10, 30]，单位是分钟。 清除登录规则 在“登录安全设置”处点击“清除登录规则”，改为默认登录规则。默认登录规则为： 限定时间长度：15分钟。 登录失败次数：5。 锁定时间长度：15分钟。 是否允许单用户同时单点登录：允许。 登录Session过期时间长度：30分钟。

等保咨询适用于系统未开展测评和已开展测评的情况。 客户部署在天翼云上的系统有等级保护需求，可采购云等保咨询服务，轻松过等保。 系统未开展测评 等保测评技术指导：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 差距分析评估：提供系统差距的安全风险分析，并输出《差距分析评估》。 差距整改方案：提供差距整改安全方案。 系统已开展测评 差距分析评估：提供系统差距的安全风险分析，并输出《差距分析评估》。 差距整改方案：提供差距整改安全方案，指导整改。

安全体检产品当前支持按年订购，如开通自动续费，服务到期前，将为您自动续费1年。 到期说明 安全体检产品到期后，如您未开通自动续订，产品将自动冻结，届时您将无法操作体检IP、通知信息、启动体检、下载或预览报告等操作，产品将持续冻结15天，15天后，如您仍未完成续订操作，产品将销毁，您的所有数据将被清除并无法恢复。 续订说明 安全体检产品当前支持包月或包年订购，您可在产品服务到期前，选择续费，或者开通自动续费，服务到期前，将为您自动续费订购时选择的周期时长（例如订购时选择开通5个月，并勾选了自动续订，则开通5个月后到期时为您自动续期5个月）。 续订步骤 1. 登录产品控制台。 2. 点击“续订体检”按钮，跳转到安全体检续订界面。 3. 在续订页面，点击“立即续订“按钮，跳转到支付页面。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看续订结果。

此小节介绍云堡垒机的运维任务。 支持分步骤同时对多个SSH协议资源批量执行多种运维操作，可同时运维操作包括执行命令、执行脚本、传输文件。 新建运维任务 云堡垒机支持自动运维任务功能，用户可按步骤自动执行命令和脚本方式运维多个目标资源，并可设置自动执行步骤将系统磁盘文件或本地文件快速上传到多个目标主机路径。此外，可设置执行周期和时间定期执行任务，并可同时执行多种任务步骤类型，实现多台资源设备自动化运维，提高运维效率。 运维任务执行后，按照步骤顺序依次自动执行操作，并返回执行结果。 约束限制 仅专业版云堡垒机支持快速运维功能。 仅支持对Linux主机（SSH协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 运维任务仅能由个人帐户管理，不能被系统内其他用户管理。 前提条件 已获取“运维任务”模块管理权限。 已获取资源访问控制权限，即已配置访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 运维任务 > 任务列表”，进入运维任务列表页面。 3 单击“新建”，弹出新建运维任务窗口。 4 配置任务基本信息。 运维任务基本信息参数说明 参数 说明 :: 任务名称 自定义的运维任务名称，系统内“任务名称”不能重复。 执行方式 选择运维任务执行的方式，包括“手动执行”、“定时执行”、“周期执行”。 “定时执行”和“周期执行”需同时配置动作执行时间或周期。 手动执行：手动触发执行任务。 定时执行：定期自动触发执行任务。仅执行一次。 周期执行：周期自动触发执行任务。可按周期执行多次。 执行时间 定期执行任务的日期。默认执行时刻为日期的凌晨零点。 执行周期 执行周期同步，需输入任务执行周期。 可选择每分钟、每小时、每天、每周、每月。 需同时选择“结束时间”，否则将无限期按周期执行任务。 更多选项 （可选）用户对资源账户执行任务权限不够时，需勾选上“提权执行”，用户需在该主机资源的Sudoers文件下执行任务。 任务描述 简要描述运维任务信息。 5 单击“下一步”，配置执行帐户或帐户组，选择已创建的SSH协议类型资源账户或帐户组。 配置执行资源账户 6 单击“下一步”，配置任务步骤。 单击“添加任务步骤”，选择添加任务类型“执行命令”、“执行脚本”或“传输文件”。 选择一个或多个任务类型，并配置任务参数。 运维任务步骤数不限制，一个任务可添加多个执行步骤。 7 单击“确定”，返回任务列表页面，查看新建的运维任务。 任务执行完成后，可以下载执行日志，获取任务执行结果。

本文介绍如何查看容器列表及列表参数说明。 在容器安全的实时监测页面，支持按“节点”和“命名空间”进行分类查看集群中的容器信息。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 分类查看容器信息：选择“节点”和“命名空间”页签，可以更直观地分类查看集群中各个节点和各个命名空间上的容器信息。 4. 查看汇总统计信息：容器列表上方汇总展示了当前节点或命名空间中各类型的容器数量，包括运行中容器、特权容器、节点启动容器、有漏洞的容器和有异常行为的容器等，单击想要查看的容器类型，下方容器列表会根据单击选择的条件进行筛选。 5. 随着在左侧树形结构中的选择改动，右侧统计结果将响应式动态变化。 6. 查看容器列表：容器列表内，支持按照“容器名称”、“镜像名称”、“Pod名称”、“容器标签”、“容器IP”、“容器类型”、“运行状态”、“安全状态”等进行筛选查询。 容器列表内各参数说明如下： 参数 说明 容器名称 容器的名称。 容器类型 容器类型分为集群启动容器、节点启动容器和特权容器。 Pod名称 容器所属Pod的名称。 应用 容器所提供的应用服务，如kubernetes、apache、nginx等。 镜像名称 关联镜像是指该容器基于哪个镜像构建的。 运行状态 运行状态分为运行中、停止运行、已暂停、已删除。 安全状态 安全状分为“有异常”和“无异常”，有异常是指触发了安全策略产生告警的容器。 7. 查看图标说明：在容器列表左下角，可查看容器列表中图标的说明信息，前三个图标（节点启动容器、集群启动容器、特权容器）表示的是容器类型，其余图标表示的是容器列表中的应用。

用户使用手册 天翼云安全专区终端安全EDR用户使用指南.pdf 天翼云安全专区云防火墙用户使用指南.pdf 天翼云安全专区云堡垒机用户手册使用指南.pdf 天翼云安全专区云数据库审计用户使用指南.pdf 天翼云安全专区云日志审计用户使用指南.pdf 天翼云安全专区安全管理中心用户使用指南.pdf

对于DAYU User 账号权限的IAM用户而言，DataArts Studio工作空间角色决定了其在工作空间内的权限。如果您需要与DAYU User账号权限的IAM用户协同使用DataArts Studio实例，请参考 创建IAM用户并授予DataArts Studio权限的操作准备必要的IAM用户，然后参考本章节将该用户添加为工作空间成员并配置工作空间角色。 工作空间角色决定了该用户在工作空间内的权限，当前有管理员、开发者、部署者、运维者和访客这几种预置角色可被分配，您也可以参考（可选）自定义工作空间角色自定义角色。各角色权限的详细说明请参见产品介绍中的“DataArts Studio权限列表”章节。 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。

本文将为您介绍云硬盘随云主机释放规则以及如何在控制台上设置。 随实例释放按需计费云硬盘 针对按需计费云硬盘，您可以手动释放云硬盘，也可以设置随实例释放云硬盘（如果云硬盘开启了随实例释放，则在释放云主机实例时云硬盘会自动一起释放）。 应用场景 以下几种按需计费云硬盘，可以对其设置“随实例释放云硬盘”，即可实现在释放云主机时同时释放该云硬盘。您也可以根据业务需要随时关闭该选项。 单独创建的云硬盘。 随云主机一起订购，但已进行产品拆分的数据盘。 约束与限制 仅按需计费云硬盘支持该功能。 仅非共享盘支持该功能。 按需计费云硬盘，删除后放入回收站，保留此设置信息；从回收站恢复云硬盘，该设置仍然生效。 云硬盘状态为“未挂载”或“已挂载”状态下，支持设置“云硬盘随实例释放”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘列表页。 4. 在待设置释放策略的云硬盘所在行，单击“操作 >更多> 随实例释放设置”，进入“随实例释放设置”窗口。 5. 在“随实例释放设置”窗口，您可以为该盘设置或修改释放策略。 勾选“云硬盘随实例释放”，云硬盘和实例将保持一致的删除动作； 不勾选“云硬盘随实例释放”，云硬盘不随实例删除动作而删除。 对于已设置过释放策略的云硬盘，可通过该操作修改设置。 6. 确定云硬盘释放设置后，您可以点击“确定”，设置释放策略的命令将被下发。若您不需设置释放策略，可点击“取消”退出当前操作。 7. 释放策略设置成功后，您可以在云硬盘详情页面查看云硬盘随实例释放的配置详情是否和预期一致。

操作场景 天翼云后端主机组不仅可以添加同一VPC内的云主机作为后端主机，还支持通过跨VPC后端功能将其他VPC的IP地址添加为后端主机。 使用须知 添加跨VPC后端IP功能目前仅在集群模式资源池上线。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 跨VPC后端IP添加仅支持同账号对等连接的对端VPC后端主机以IP形式添加，不支持添加跨账号的VPC内资源。该功能需要加白名单开通。 您最多可添加100个跨VPC后端IP，如需要申请更多，则需申请增加配额。 操作步骤 1. 登录天翼云控制中心。 2. 选择网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。选定特定的后端主机组，选择跨VPC后端IP类型，点击“添加”按钮。 5. 在弹出添加跨VPC后端IP窗口，依据跨VPC后端IP参数配置完成添加跨VPC后端IP参数配置。 6. 点击“增加一条跨VPC后端IP”新增一行，可连续添加多行。点击“确定”按钮，完成添加跨VPC后端IP设置。 跨VPC后端IP参数配置 跨VPC后端IP配置 说明 选择网络 选择ELB实例所在VPC之外的其它VPC，从下拉列表框选择。 批量添加端口 跨VPC后端IP的服务端口一致时，可在此输入框输入端口，点击确定自动填充所有跨VPC后端IP的端口设置。 后端IP添加 填写跨VPC后端IP、端口、权重，权重不填写缺省为1，支持移除操作；端口范围为165535；权重取值范围为 1 256。 添加完成后，如有需要您可以移除跨VPC后端IP 或者修改端口、权重。

本节介绍如何查看集群安全检查结果。 查看统计信息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 点击数据统计切换按钮，可分别查看个检查项的数据统计图和环形图占比。 查看检查结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 在安全检查页面下方，可查看各项检查项的检查结果。 安全检查信息参数说明： 参数 解释说明 检查项 检查项的名称。 分类 检查项所属类型，包括信息泄露、危险访问、远程代码执行、特权升级、拒绝服务等多种类型。 描述 检查项的描述信息。 危害级别 危害级别分为高危、中危、低危。 影响节点数量 受该安全漏洞影响的节点数量。 点击数量，可查看受影响的节点名称。 检查是否通过 集群在该项安全检查中是否通过。

本章介绍如何删除服务器记录。 操作场景 您可根据业务需求，删除服务器记录。 注意 删除服务器记录以后，如果您想再进行注册，需要重启Agent。 删除服务器记录仅是删除在主机迁移服务上注册的记录，非删除源端或目的端服务器。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面选择需要删除的服务器记录，在“操作”列单击“更多 > 删除”。或勾选需要删除的服务器记录，单击服务器名称/ID列上方的“更多 > 删除”。 4. 在弹出的“删除”窗口，单击“确定”。

四、集群删除失败：弹性网卡残留 CCE在删除集群时，会连接集群的kubeapiserver查询集群对接的周边资源信息，例如Turbo集群对接的弹性网卡/弹性辅助网卡等，当CCE集群的状态为不可用，冻结，休眠等状态时，删除集群有可能会出现查询资源失败而导致集群删除失败的情况。 故障现象 删除集群失败。 问题根因 该场景引起的原因是连接集群的kubeapiserver查询集群对接的弹性网卡/弹性辅助网卡失败导致无法删除弹性网卡，CCE创建的用于弹性网卡/弹性辅助网卡的安全组由于弹性网卡残留删除时报错了409，最终导致了集群删除失败。 操作步骤 步骤 1 复制报错信息中的资源ID f5b0282b63064a4ba64dbd32e26c3846，进入到vpc服务的安全组界面，根据ID过滤安全组。 步骤 2 单击进入安全组详情界面，选择关联实例页签。 导致安全组残留的原因是关联了弹性网卡实例，辅助弹性网卡实例，单击其他页签，可以看到有残留的弹性网卡，将残留的弹性网卡（辅助弹性网卡会自动删除）删除。 步骤 3 在弹性网卡界面将上一步查询到的网卡删除。 可以用ID过滤需要删除的弹性网卡，也可以通过集群ID的名称过滤需要删除的弹性网卡，如示例中残留的集群ID，在弹性网卡界面通过名称过滤。 步骤 4 清理完成后，到安全组确认clusterNamecceenixxx的安全组已经没有关联的实例了，然后到CCE控制台就能正常删除集群了。 五、CCE集群升级时，升级集群插件失败如何排查解决？

本章节介绍印刷文字识别（OCR) 安全相关的常见问题与解答。 是否可以设置IP白名单呢？ OCR是API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 OCR传输的数据是否经过加密呢？ 天翼云印刷文字识别采用天翼云官网标准EOP网关，数据传输过程有全链路安全保障。若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用OCR服务，图片数据是否会存储？ 因相关规定限制，印刷文字识别公有云服务数据不落盘，用户的图片数据和识别数据均不保留。使用OCR服务后，图片数据就会立即释放，不会存储。

可修改项 说明 实例名称 填写实例的名称，根据规划自定义。 描述 填写实例的描述信息。 时间窗 指允许云服务技术支持对实例进行维护的时间段。如有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用监听端口。 说明： 更换安全组时，新的安全组须满足专享版实例的前端API调用以及访问后端服务所需出入规则。 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 弹性IP地址 指允许外部服务通过弹性IP地址，调用专享版实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”。 您需要使用独立域名/子域名访问，使用子域名访问时存在单日访问次数限制。 可在创建API分组后，为分组绑定独立域名，独立域名需要解析到专享版实例的弹性IP。 出口地址 指允许专享版实例API的后端服务部署在外部网络，API网关为实例开启公网出口。公网出口可随时关闭或开启。 出公网带宽 出公网带宽可配置范围为1~2000Mbit/s，费用按小时计算，以弹性公网IP服务的价格为准。