本文为您介绍安装监控Agent的操作方法。 为保证您创建出来的云主机监控数据、功能正常，天翼云推荐您通过控制台上的相关功能自动为云主机安装云主机监控Agent，同时提供手动安装监控Agent、离线安装监控Agent功能，可根据您的需求场景选择不同的方式。 约束与限制 确保需要安装监控Agent所在的资源池支持监控Agent能力，可参考监控概览支持安装监控Agent的地区及Agent安装包下载路径查询。 确保安装时，云主机状态为运行中。 确保云主机可以正常访问curl 169.254.169.254:10063 及 169.254.169.254:10064。 安装成功后的监控进程不会被其他软件关闭。 说明 若云主机无法正常访问，请检查防火墙、安全组等服务是否屏蔽监控服务器地址。 创建云主机时自动安装监控Agent 操作步骤 1. 登录控制中心。 2. 单击左上角选择即将创建云主机所在的地域。 3. 单击“计算>弹性云主机”，进入云主机控制台。 4. 单击“创建云主机”，在高级配置页签，选中“开启详细监控”选项。按此配置创建出的云主机，将被自动安装监控Agent。 注意 若通过快照、备份、私有镜像、克隆创建云主机时，则： 选择开启详细监控：新创建的云主机会安装最新版本的云主机。 选择不开启详细监控：新创建的云主机与原快照、备份、私有镜像、被克隆云主机监控Agent保持一致。即，原场景已安装Agent，新创建云主机保持安装，安装版本与原场景一致；原场景未安装Agent，则新创建云主机也不安装。 为已创建的云主机安装、升级监控Agent

本节介绍了应用管控服务的最佳实践介绍。 通过应用市场的应用管控功能，管理员可以使用应用黑白名单对桌面实现有效的安全管控。 绑定黑名单规则的桌面，无法运行黑名单列表中的应用，当桌面运行黑名单中应用时会被阻止，且用户无法向管理员发起应用放行申请。 绑定白名单规则的桌面只能运行白名单列表中的应用，当桌面安装或运行非白名单中的应用时会被阻止。用户如需使用被阻止的应用，可在拦截提示中向管理员发起申请。如果管理员同意放行此应用，用户再次运行应用时即可正常使用。 前提条件 已开通天翼AI云电脑（政企版），详情请参见快速订购AI云电脑。 已开通应用市场，详情请参见开通应用市场。 注意事项 为了保证应用黑白名单的正常使用，在使用之前，请您务必认真阅读应用管控部分的功能介绍。详情请参见应用管控。 应用场景说明 企业只允许员工在AI云电脑中使用特定的应用时，可使用白名单，如教育培训，银行金融办公等场景；企业只限制员工在AI云电脑中不能使用某些应用时，可使用黑名单，如事业单位、互联网等场景。 操作步骤 步骤一：配置黑名单

多活架构对业务有要求吗？ 多活架构对业务是有一定要求的，主要包括业务规模和容灾级别、成本投入、技术实现、数据一致性、业务连续性和具体部署方案等方面。企业需要根据自身实际情况和业务需求，综合考虑这些因素，评估是否采用多活架构。 同时，多活架构对业务架构也存在配置要求，例如，在多活场景下业务架构需要有ELB负载均衡等资源的配置要求，MDR平台也会对业务应用配置有相关配置指导。 多云多活的客户群体有哪些？具有什么样的客户特征？ 多云多活的客户群体和客户特性： 1. 金融服务行业：例如银行、证券、支付服务提供商等，此客户群体需要处理大量的金融交易、对数据一致性和高可用性要求极高，以确保交易的安全和及时性。 2. 电子商务：例如线上零售商、电子支付平台等，此客户群体需要面对高并发的用户访问和交易请求，需要保证平台的高可用性和弹性扩展能力。 3. 媒体和娱乐：例如在线游戏平台、流媒体平台等，此客户群体需要支持大规模的内容分发和实时流媒体服务，以及全国甚至全球用户的高并发访问。 4. 社交媒体和通信：例如社交网络平台、即时通讯应用程序，此客户群体需要提供实时的社交互动和消息传递服务，要求系统具备低延迟和高可用性。 5. 医疗保健：例如医院信息系统、远程医疗服务平台，此客户群体需要处理大量的医疗数据和敏感信息，同时要求系统在灾难发生时能够快速恢复。 6. 制造和工业：例如大型制造企业、物流和供应链管理，此客户群体利用工业物联网（IIoT）技术进行设备监控和数据分析，要求系统高可用性和跨地域部署能力。 7. 政府和公共部门：政府信息系统、电子政务平台，为客户群体提供关键的公共服务，需要系统具备高可用性和强大的灾难恢复能力。 8. 教育：例如在线教育平台、大学和学术机构，此客户群体提供大规模在线学习和教育服务，需要支持全球用户的高并发访问和数据安全。 9. 科技和软件开发：例如软件开发公司、SaaS提供商、技术初创企业，需要高可用的开发和测试环境，以及能够支持持续集成和交付的云服务架构。

本文介绍边缘安全加速平台边缘接入服务不同套餐版本适用的业务规模、支持的功能情况。 套餐和版本概述 天翼云边缘安全加速平台边缘接入服务支持包年包月计费模式。本文介绍不同套餐版本适用的业务规模、支持的功能情况。 边缘安全加速平台边缘接入服务的套餐版本分为：基础版、定制版。 适用的业务规模 下表描述了不同版本适用的业务规模。一般情况下，对于中小型规模的企业网站，推荐您选择基础版。 注意 定制版不支持线上订购，若需要订购，请提交工单给天翼云客服。 加速区域 中国内地 全球（不含中国内地） 全球 价格（元/月） 2000 3000 3400 适用场景 适合访问请求和源站都在中国内地的TCP/UDP等四层加速场景。 适合如下三种加速场景： 1. 源站在海外访问请求在国内的TCP/UDP等四层加速场景。 2. 源站在国内访问请求在海外的TCP/UDP等四层加速场景。 3. 源站和访问请求都在海外的TCP/UDP等四层加速场景。 全球范围内加速您的四层TCP/UDP应用，不限制访问区域与源站所在地。 上下行带宽/流量 中国内地：10Mbps/1TB 全球（不含中国内地）：5Mbps/500GB 中国内地：2.5Mbps/250GB 全球（不含中国内地）：2.5Mbps/250GB 四层DDoS防护 防护流量：40Gbps 防护次数：1次 平台级尽力防护 中国内地：防护流量：40Gbps；防护次数：1次 全球（不含中国内地）：平台级尽力防护 IP应用加速域名个数 1 1 1 端口数 5 5 5

本文为您介绍添加受保护服务器的操作流程。 操作场景 保护组创建完成后，将需要容灾的服务器添加到指定的保护组中。 约束与限制 单次添加时，至少选择1个服务器进行保护，最多可以选择10个服务器。 目前仅支持64位操作系统，且服务器的规格不能小于2CPU+4GB内存。详情请参见支持的操作系统版本。 暂不支持将挂载了X系列云硬盘（如XSSD1等）的云主机添加为受保护的服务器。 注意事项 由于云容灾服务需要连通服务端VPC，如果受保护的服务器使用非默认安全组，请确认所使用的安全组配置了出方向规则，示例如下： 具体请参见安全组规则。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入云上容灾。 板块展示：默认进入板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 列表展示：默认是板块展示，可单击右上角图标切换为列表展示。找到目标保护组，单击目标保护组名称，进入保护组页面。 5. 在保护组页面，在“受保护的服务器”页签，单击“添加受保护服务器”，进入云主机列表页面。 6. 在云主机列表页面，选择需要受保护的服务器，单击“确认”。 7. 待云主机状态变为“已初始化”，说明添加完成。

本章节主要介绍连接类问题。 RabbitMQ如何配置安全组？ RabbitMQ实例支持VPC内访问和公网访问，配置安全组的方式如下： VPC内访问实例 客户端只能部署在与RabbitMQ专享实例处于相同虚拟私有云（VPC）和相同子网的弹性云主机（ECS）上。 除了ECS、RabbitMQ专享实例必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，客户端才能访问RabbitMQ专享实例。 1. 建议ECS、RabbitMQ专享实例配置相同的安全组。安全组创建后，默认包含组内网络访问不受限制的规则。 2. 如果配置了不同安全组，可参考如下配置方式： 说明 假设ECS、RabbitMQ专享实例分别配置了安全组：sg53d4、sgRabbitMQ、DefaultAll。 以下规则，远端可使用安全组，也可以使用具体的IP地址。 ECS所在安全组需要增加如下规则，以保证客户端能正常访问RabbitMQ专享实例。 图 配置ECS安全组 表 安全组规则 方向 协议端口 目的地址 出方向 全部放通 DefaultAll RabbitMQ专享实例所在安全组需要增加如下规则，以保证能被客户端访问。 图 配置RabbitMQ专享实例安全组 表 安全组规则 方向 协议端口 源地址 入方向 全部放通 sg53d4 通过公网访问实例 RabbitMQ实例所在安全组需要增加如下规则，以保证能被客户端访问。 表 安全组规则 方向 协议端口 源地址 入方向 TCP:5672 0.0.0.0/0 具体如下图所示。 图 安全组规则1

定期的网络安全自我检测、评估 配备漏洞扫描系统，网络管理人员可以定期进行网络安全检测服务，安全检测可帮助客户最大可能地消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效地利用已有系统，优化资源，提高网络运行效率。 网络建设和网络改造前后的安全规划评估和成效检验 网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全规划评估和成效检验。 网络承担重要任务前的安全性测试 网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全性测试。 满足合规性需求（网络安全法、等保） 定期开展漏洞扫描发现主机风险，主动防御风险也是公安局主推的等保要求以及网络安全法要求中的合规要求，其主要目的是：消除与降低安全隐患、周期性地评估和加固工作相结合，尽可能避免安全风险的发生。

本文向您介绍通过企业版VPN实现云上云下网络互通（主备模式）的组网和资源规划。 数据规划 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 VPN网关 HA模式 主备 VPN网关 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 备EIP：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE/IPsec策略 IKE策略 版本：v2 认证算法：SHA2256 加密算法：AES128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IKE/IPsec策略 IPsec策略 认证算法：SHA2256 加密算法：AES128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

本小节介绍域名无忧产品定义与优势。 产品定义 域名是互联网业务的入口，域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据，使用户在访问相关域名时返回虚假IP地址或使用户的请求失败。因此域名系统故障、配置错误、恶意篡改将直接造成业务中断，给政府和企业客户信誉带来恶劣影响的同时，还可能造成巨大的经济损失。 天翼云域名无忧为天翼云用户自助实现域名监测、域名告警、域名刷新，通过对电信所有省份的DNS服务器的检测及时发现域名是否被污染，并且提供按次刷新的服务，清除DNS服务器缓存还原原始DNS解析记录。 产品优势 智能监控 实时监控客户域名列表的安全状态，支持对监控指标设置报警规则，提供多种告警方式并及时预警，为客户域名的安全和稳定保驾护航。 秒级刷新 得益于中国电信骨干网络控制能力，实现中国电信全网缓存DNS服务器的秒级刷新，高速解决客户遭遇的域名劫持问题。 便捷操作 客户登录服务平台即可便捷查看各项指标，启动域名修正服务。

应用场景 鲲鹏通用计算增强型弹性云主机适用于对自主研发、安全隐私要求较高的政企金融场景，对网络性能要求较高的互联网场景，对核数要求较多的大数据、HPC场景，对成本比较敏感的建站、电商等场景。

本文为您介绍数据定时灾备安装部署的相关操作。 概要 数据定时灾备可作为企业级数据备份与恢复功能的软件，支持常见文件系统、数据库、大数据平台备份和恢复。提供多种备份方式满足用户备份策略需求，备端重删压缩技术可节约备份空间，传输压缩可节省带宽资源、传输加密保障数据传输安全性，支持块存储、磁带库、对象存储等存储介质，为企业核心业务数据保驾护航。 数据定时灾备可按照网络配置与drnode安装部署进行配置。除此之外，若需将对象存储作为备份设备，备份服务器需要安装dto程序，用于读取本地存储及对象存储数据并进行传输。DTO的安装分为两种方式：软件包安装和压缩包解压安装。 注意： DTO有关软件程序的安装必须在Linux的root用户、Windows的administrator用户或其他具有超级权限的用户下进行。 DTO当前只支持操作系统为CentOS Linux 7.9 64 位、银河麒麟高级服务器操作系统 V10 SP2 64 位 ARM版。 Linux系统安装DTO包（RPM包） DTO软件程序可以部署在物理主机或虚拟机上，在Linux操作系统下安装DTO，用户需要准备适配的操作系统，下文描述以CentOS和RHEL，SUSE及银河麒麟v10系的Linux为例，安装步骤如下： 1. 将DTO安装包上传到服务器，执行dto安装包的安装命令进行安装，命令参考：rpm ivh 包名.rpm。 2. 安装完成后，确认当前DTO版本信息与安装包名的版本是否一致，命令参考：rpm qa grep dto。 3. 查看DTO服务状态，命令参考：systemctl status drdto。

本章介绍如何修改SQL Server数据库实例的参数组。 最佳实践概述 场景描述 概述：SQL Server是老牌商用级数据库，成熟的企业级架构，轻松应对各种复杂环境。一站式部署、保障关键运维服务，大量降低人力成本。根据华为国际化安全标准，打造安全稳定的数据库运行环境。被广泛应用于政府、金融、医疗、教育和游戏等领域。 典型行业：互联网企业、政府、医疗、金融 适配场景：企业级架构 方案优势 高安全性 弹性扩容 高可靠性 前提条件 需搭配开通ECS等产品 资源规划 网络资源规划 资源类型 配置项 配置明细 说明 :::: 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 弹性计算资源规划 资源类型 配置项 配置明细 说明 :::: ECS ECS名称 ecsbendi 自定义，易理解可识别 ECS 规格 通用计算增强型 c3.large.2 2vCPUs 4GiB 本示例中选择的规格。实际选择的规格需要结合业务场景选择，请参考弹性云服务器的实例规格。 ECS 操作系统 Windows 2016 ECS 系统盘 通用型SSD 40GiB 数据库资源规划 资源类型 配置项 配置明细 说明 :::: RDS RDS实例名 rds8c73 自定义，易理解可识别 RDS 数据库版本 SQL Server 2012标准版 本示例中为单机。实际使用时，为提升业务可靠性，推荐选择主备RDS实例。 RDS 实例类型 单机 RDS 存储类型 SSD RDS 可用区 可用区1 本示例中未单机，实际业务场景推荐选择主备RDS实例，此时建议将两个实例创建在不同的可用区，提升业务可靠性。 RDS 规格 2 vCPUs 4 GB

本小节介绍SSL VPN的其他设置，包括设置密码安全策略、是否开启防暴力破解等。 密码安全策略 密码安全策略可以要求用户必须修改初始密码，并且满足密码复杂度要求。 1. 在“认证设置 > 主要认证 > 本地密码认证”设置页面。 2. 勾选“启用密码安全策略”，并开启响应复杂度要求。 开启防暴力破解选项 防暴力破解可以避免恶意用户暴力破解SSL账号，入侵内网系统。 1. 在“认证设置 > 认证选项设置 > 密码认证选项”设置页面。 2. 勾选防暴力破解选项下的三个选项即可。 端口设置 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护SSL VPN管理端口4430。 登录控制台的云主机实例详情页面，选择“安全组”功能。这里您可以创建和管理安全组规则。 然后，点击“配置规则”下的“入方向规则”。在规则配置中，选择“添加入方向规则”，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

本文主要介绍 连接问题。 选择和配置安全组 Kafka实例支持使用内网通过同一个VPC访问、通过DNAT访问和公网访问，访问实例前，需要配置安全组。 使用内网通过同一个VPC访问实例 步骤 1 客户端和实例是否使用相同的安全组？ 是，如果保留了创建安全组后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，则无需添加其他规则。否则，请添加下表所示规则。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 否，执行步骤2。 步骤 2 参考如下配置安全组规则。 假设客户端和Kafka实例的安全组分别为：sg53d4、DefaultAll。以下规则，远端可使用安全组，也可以使用具体的IP地址，本章节以安全组为例介绍。 客户端所在安全组需要增加如下规则，以保证客户端能正常访问Kafka实例。 表 安全组规则 方向 策略 协议端口 目的地址 出方向 允许 全部 DefaultAll 图配置客户端安全组 Kafka实例所在安全组需要增加如下规则，以保证能被客户端访问。 表安全组规则 方向 策略 协议端口 源地址 入方向 允许 全部 sg53d4 图 配置Kafka实例安全组

本文介绍访问接入安全与加速响应403状态码可能的原因及解决方案。 问题现象 接入安全与加速服务后，访问对应网站资源，边缘节点响应403状态码，无法访问资源。 可能原因及解决方案 场景一：加速域名没有接入安全与加速服务 若域名没有接入安全与加速服务，该域名请求访问到边缘节点时，边缘节点会直接响应403。具体报错如下： 解决方案：针对加速域名未在接入安全与加速服务，可以将需要加速的域名接入，详情参见添加服务域名。 场景二：源站响应403问题 当用户端对该资源发起请求，边缘节点转发回源，源站如果响应403状态码给边缘节点，边缘节点会将403响应给用户端。具体报错如下： 解决方案：针对源站响应的403，需要源站排查对应原因，源站修改对应响应后，用户端再重新发起请求。 场景三：URL违规问题 当边缘节点对某资源下发封禁任务后，用户再访问该资源，边缘节点会响应403。以及当客户开启边缘节点内容审核增值服务，在平台发现违规资源时，边缘节点会自动下发封禁任务，此时如果客户对该域名配置启用了URL封禁的策略，此时也会响应403。这两类均归结为URL违规问题。当因为URL违规而进行封禁出现403时，DenyReason响应头可能会出现如下几种：deny by blockcatchkeyignoreurl、deny by blockfullurl、deny by blockignoreurl、deny by blockcatchkeyplusurl。具体报错示例如下： 解决方案：针对URL违规引起的403 ，对违规的内容进行整改，确保整改后内容为合法。

本章节列举了使用云主机备份过程中的计费类问题,以及相对应的解答。 功能包和存储包分别是什么？ 功能包：需要备份的云主机的磁盘空间。 存储包：备份数据所占用的存储空间。 例如：某用户拥有一个分配空间为100GB的云主机，初始数据容量20GB，后续每日新写入1GB数据。该用户购买了一个月的100GB云主机功能包和100GB的存储包，配置自动备份策略，每日进行一次备份，保留7日，在第7天时，用户使用了功能包中100GB容量，以及存储包中20+1626GB的容量。 使用资源包有哪些注意事项？ 只有开通了云主机备份服务后，才能使用资源包；开通云主机备份服务需满足账号余额大于100；上海 4/ 苏州 / 杭州 / 芜湖 / 福州 / 深圳 / 广州 4/ 长沙 2 / 武汉 2 / 西安 2 / 贵州 / 成都 3/ 北京 2/华北， 功能升级完成。备份策略的执行不再校验账号的按需权限（账户余额大于100元），备份策略会正常执行，以最大限度保障您的数据安全性，确保业务安全。 购买的资源包在生效期内，扣费方式是先扣除已购买的资源包内的额度后，超出部分以按量付费方式进行结算； 资源包请按节点购买，同一节点下同一类型的多个资源包可以累加后进行费用抵扣。 怎么查看当前备份功能和存储已使用空间？ 功能费用按照备份云主机的系统盘、数据盘空间总和，可根据本节点下所有待备份云主机的磁盘空间进行资源包大小叠加计算。 进入云主机备份控制台，查看当前备份中所绑定云服务器的磁盘空间（系统盘+数据盘），总和即为备份功能已使用空间。 存储资源费用根据备份数据实际占用的存储空间收费，可根据本节点下所有备份副本已使用备份空间总和叠加计算。 进入云主机备份控制台，查看当前备份中所有备份副本已使用空间，总和即为备份存储已使用空间。

健康检查默返回状态码说明 HTTP状态码 说明 HTTP状态码 200 表示正常响应。当健康检查请求成功被云主机处理并返回有效的响应时，通常会返回200状态码。 HTTP状态码 3xx 重定向。在健康检查中，重定向状态码可能会出现在特定情况下。 HTTP状态码 4xx 客户端错误。这些状态码表示请求存在问题，可能是由于无效的URL、参数错误等。健康检查中，如果主机返回了4xx状态码，通常表示主机无法正常处理该请求。 HTTP状态码 5xx 主机错误。这些状态码表示主机在处理请求时遇到了错误。在天翼云健康检查中，如果主机返回了5xx状态码，通常表示主机出现了故障或内部错误。 健康检查异常排查 当健康检查探测到您的后端主机异常时，弹性负载均衡将不再向异常的后端主机转发流量。直到健康检查检测到后端主机恢复正常时，弹性负载均衡才会向此主机继续转发流量。那么当您遇到健康检测异常可以按如下思路进行排查： 检查后端主机组是否关联监听器 检查健康检查配置：检查健康检查配置参数信息，例如域名、协议是否正确，检查您配置的健康检查端口和监听的端口是否一致，检查路径是否正确等。 检查主机所在安全组、网络ACL是否放行ELB健康检查源地址网段100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6）。 检查后端主机是否正常：后端主机当前宕机或不可访问，会导致检查异常。 检查主机防火墙、路由。

平台化全流程管理 AI训练的高效执行，依赖于大数据团队、数据标注团队、算法开发团队、性能优化团队以及算法工程化团队等多个专业角色的紧密协作。 一站式智算服务平台，一个集成化的平台化工具，将以上所有角色都汇聚于一个统一的平台之上，提供从数据处理、模型开发、模型训练到最终模型部署应用的全栈服务。 管理者能够在平台上实现统一管理和查看，确保各环节的无缝衔接，让各角色参与者能借助平台完美协同工作，实现数据互通、环境互通，确保数据和模型安全，全程不出平台实现训练开发资产的一站式沉淀与管理，能显著提升企业整体工作效率，实现AI生产的流水线化运作。

数据安全运营中心 数据资产识别与管理：支持数据库、API 接口、应用系统、文件服务等多类型资产的自动发现（探针上报、日志识别、数据对接），消除 “幽灵资产” 监管盲区。 业务合规建模分析：通过数据资产精细化管理与风险可视化，支撑数据合规开发利用，释放数据要素价值。 数据安全全流程运营：标准化处置闭环：构建 “告警采集 智能研判 工单流转 处置归档” 全流程，支持多级审批与角色协同，同时支持自定义工单模板与流程节点，支持风险等级自动匹配处置优先级，实现安全事件 “发现即响应，处置即闭环”，大幅提升事件响应效率。 技术创新灵活高效：通过荧光靶点识别技术（FTRA）实现敏感数据流转全链路可视化，串联用户访问、API 调用、数据库操作等环节，清晰呈现数据从 “产生 传输 存储 使用” 的完整路径，作为数据安全风险评估监测的衡量标准。 数据安全服务 数据安全咨询规划服务：依据《数据安全法》《个人信息保护法》《网络数据安全管理条例》（征求意见稿）等法规要求，为客户制定针对性的数据安全咨询服务内容，提供数据安全咨询服务报告 。 数据分类分级服务：依据各行业数据安全分类分级标准规范，为客户建立统一的数据资产安全等级标准，在企业内部各部门的协同配合下形成涵盖业务、运营、财务、人事、合规等各类型数据资产安全等级清单 。

设置应用控制策略后，业务云主机访问互联网需要对防火墙分配弹性IP地址。本小节介绍安全专区源地址转换方法。 配置方法： 点击【策略】→【地址转换】→【IPV4地址转换】→【新增】→【源地址转换】，进行相关策略配置。 原始数据包 源区域：选择“L3untrustA”； 网络对象：勾选区域，填写需要访问互联网的业务云主机对象； 目的区域/接口：选择“L3untrustA”； 网络对象：全部互联网对象。 转换后数据包 源地址转换为：指定IP； IP地址：eth0地址（与绑定弹性公网IP对应的私有地址）。

限制项 具体要求 说明 连接器部署 企业内网应用添加后，需要将连接器部署到对应的网络环境内，才能登录零信任客户端远程访问局域网应用。 详情请参考 禁止跨境连接 天翼云边缘安全加速平台零信任网络在相关政策法规内提供服务，不支持建立跨境连接，请勿把连接器部署到非中国内地地域。 客户端IP限制 鉴于安全监管要求，默认开启非中国内地访问限制（即非中国内地用户将无法使用VPN内网连接功能），如有此类业务场景需求，需 连接器数量限制 根据不同套餐版本对连接器集群或是部署的连接器实例数进行限制，详细请参考

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

FTP/SFTP远程备份失败怎么办？ 问题现象 云堡垒机配置了FTP/SFTP远程备份，报“请检查服务器密码或网络连接情况”错误，不能启动远程备份。 选择备份具体某一天日志，提示“备份正在执行”，但远程服务器未接收到该备份文件。 可能原因 原因一：云堡垒机配置的FTP/SFTP服务器账户或密码错误，导致远程备份失败。 原因二：云堡垒机与FTP/SFTP服务器的网络连接不通，导致远程备份失败。 原因三：FTP/SFTP服务器用户目录限制文件上传，导致远程备份失败。 原因四：被选择日期当天的运维日志量大，备份传输速率慢，长时间未备份完成，导致在远程服务器不能及时查看备份文件。 解决办法 原因一： 登录ECS管理控制台，VNC方式登录一台Linux主机，通过Linux主机登录FTP/SFTP服务器，验证服务器账户和密码。验证成功后，重新配置FTP/SFTP服务器远程备份账户和密码，尝试备份。 原因二： 登录云堡垒机系统，通过网络诊断，检查与FTP/SFTP服务器之间网络连接情况。 网络连接正常，请排查其他可能原因。 网络连接异常，请参考CBH安全组规则，检查云堡垒机和FTP/SFTP服务器主机安全组是否放开22端口；检查FTP/SFTP服务器主机的ACL是否放开22端口，并添加云堡垒机公网IP（即弹性IP）为允许。 原因三： 开启用户目录上传权限。 登录云堡垒机系统，选择“系统 > 数据维护 > 日志备份”，重新正确配置FTP/SFTP服务器的“存储路径”。 说明 “存储路径”置空表示备份内容存放到FTP/SFTP服务器用户的主目录下，例如绝对路径/home/用户名；配置的路径需以英文句号开头，例如配置路径为 ./test/abc，则其绝对路径为/home/用户名/test/abc。 原因四： 请您耐心等待，建议备份启动后的第二天再查看服务器上备份文件。

本节为您介绍镜像服务常见的云主机创建类问题。 云主机购买成功后可以换镜像吗？ 可以。 如果由于镜像选择错误，业务需求变化，或者其他原因需要更换镜像，可以使用“切换操作系统”功能进行更换。 天翼云支持不同镜像类型（包括公共镜像、私有镜像、共享镜像以及安全产品镜像）与不同操作系统之间互相切换。您可以将现有的操作系统切换为不同镜像类型的操作系统。 使用私有镜像创建的云主机，是否可以与生成镜像的云主机硬件规格不同？ 可以不同。 使用私有镜像创建的云主机，其系统盘大小可以指定，必须大于等于镜像的系统盘大小，且小于1024GB，因此系统盘大小可以与原云主机不同，可以大于等于原云主机的系统盘大小。CPU、内存、带宽、数据盘可以根据需要进行修改，不受原云主机配置的限制。 使用镜像创建云主机，可以指定系统盘大小吗？ 可以指定系统盘大小，需要满足以下要求： 系统盘大小需要大于等于40G，小于等于2048G。 如果使用的是私有镜像，由于系统盘需要有足够的空间运行镜像文件，系统盘大小不能小于镜像的磁盘容量大小。 使用外部导入的私有镜像所创建的云主机在启动过程中提示找不到分区，如何处理？ 在不同平台之间迁移或导入外部镜像时，磁盘分区的ID可能会发生变化，导致系统无法正确识别分区。 通过将磁盘分区标识改为使用UUID来引用分区可以解决这个问题。UUID是一个唯一的标识符，不会受到平台变化的影响，因此在启动时系统可以正确地找到并加载分区。

本节介绍了分布式消息服务RabbitMQ产品实例如何购买。 实例介绍 RabbitMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RabbitMQ实例，可根据业务需要可定制相应规格的RabbitMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1. 登录管理控制台。 2. 进入RabbitMQ管理控制台。 3. 在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 4. 点击“购买实例”跳转到购买页面，根据页面订购说明进行产品开通。 5. 下载安装工具Eclipse3.6.0以上上版本或者IntelliJ，JDK 1.8.111以上版本。 实例规格选择说明 以下规格选型适用于6个节点： 芜湖2、南京3、上海7、福州25、重庆2、北京5。 此6个节点可以选择普通版和高级版。 存储空间说明：目前基础版和高级版规格如下： 产品类型 产品规格 高级版本 三节点 8核16GB lvs节点 4核8GB总磁盘范围 300GB – 6000GB 基础版本 三节点 4核8G lvs节点 4核8GB总磁盘范围 300GB – 6000GB 在集群模式中，RabbitMQ需要对消息持久化写入到磁盘中，因为，您在创建RabbitMQ实例选择存储空间时，建议根据业务消息体积预估以及镜像队列副本数量选择合适的存储空间。镜像队列副本数最大为集群的节点数，目前都是3。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB3 + 预留磁盘大小100GB。 （1）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （2）区域默认为当前资源池，页面左上角切换区域。 （3）选择类型，用户可选高级版和基础版两个版本。其中高级版规格为8核16GB，适用于大型应用系统。基础版规格为4核8GB，适用于中、小型企业应用。 （4）服务节点数出于高可用考虑，默认3个。 （5）选择主机类型，包括2系列、3系列和6系列。主机类型详细内容请参见弹性云主机规格。 （6）选择存储空间，包括磁盘类型和空间。 磁盘类型默认提供普通IO。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以300G起步，可以以100倍数增加磁盘空间。 （7）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （8）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （9）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （10）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 （11）选择购买时长，拖动选择112个月。 （12）勾选自动续订。按月购买：自动续订周期为1个月；按年购买：自动续订周期为1年。 （13）填写购买数量，单次最多可批量申请5个分布式消息服务。 以下规格选型适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 这些节点可选择通用型和计算增强型，具体情况如下： 主机类型 节点数（个） 实例规格 存储IO 存储空间GB 通用型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 计算增强型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 （1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 （3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 （7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/普通IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。

本小节介绍证书管理服务个人数据保护机制。 为了确保您的个人数据（例如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，CCMS通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 收集范围 CCMS收集及产生的个人数据如下表所示： 类型 收集方式 是否可以修改 是否必须 租户ID 在控制台进行任何操作时Token中的租户ID 在调用API接口时Token中的租户ID 否 是，租户ID是证书资源身份标识 姓名 在申请SSL证书时填写的联系人姓名 是 是，证书审核人工认证阶段必须 邮箱 在申请SSL证书或私有证书时填写的邮箱 申请SSL证书时填写的邮箱：是 申请私有证书时填写的邮箱：否 申请SSL证书时填写的邮箱：是，证书审核人工认证阶段必须 申请私有证书时填写的邮箱：否 手机号码 在申请SSL证书时填写的联系人手机号 是 是，证书审核人工认证阶段必须 企业营业执照 在申请SSL证书时，可以选择上传企业营业执照 是 否 银行开户许可 在申请SSL证书时，可以选择上传银行开户许可 是 否 企业项目ID 在申请或使用SSL证书、私有证书时，可以为证书分配企业项目 是 已开通企业项目：是 未开通企业项目：否

个性化数据访问 细粒度权限管控允许为不同用户或角色定制数据访问视图。例如，在一个销售系统中，销售人员可能只需要访问客户的基本信息，而经理则可以查看更详细的销售记录和分析数据。这种个性化的权限配置提高了工作效率。 多租户环境 在多租户环境中，细粒度权限管控能够有效隔离不同租户的数据，确保每个租户只能访问自己的数据。即使多个租户共享同一个搜索引擎集群，他们的数据依然能够得到严格的保护。 最小权限原则 细粒度权限控制支持最小权限原则（Principle of Least Privilege），确保用户仅能访问其工作所需的最小数据范围，从而减少潜在的安全风险。 技术实现与应用 管理员可以通过 OpenSearch 的安全模块，使用文档级别安全（DocumentLevel Security, DLS）和字段级别安全（FieldLevel Security, FLS）配置细粒度权限。DLS 允许基于查询条件限制用户对特定文档的访问，而 FLS 则允许管理员指定哪些字段对特定用户可见或不可见。 这些权限配置可以通过 OpenSearch 的 REST API 或管理工具来实现和管理。管理员还可以结合角色和用户组的概念，为不同用户群体配置统一的权限策略，从而简化权限管理流程。 操作示例 我们创建一个role publicrole，创建一个user publicuser1，目标是让这个user只能查看pub开头的索引里public字段为true的文档。 创建角色： PUT plugins/security/api/roles/publicrole { "clusterpermissions": [ "" ], "indexpermissions": [{ "indexpatterns": [ "pub" ], "dls": "{"term": { "public": "true"}}", "allowedactions": [ "read" ] }] } 创建用户： PUT plugins/security/api/internalusers/publicuser1 { "password": "" } 创建Mapping： PUT plugins/security/api/rolesmapping/publicrole { "users" : [ "publicuser1" ] } 创建索引： pub索引，插入两条数据 POST pubindex/doc/ { "name": "robert", "age": "30", "public": "true" } POST pubindex/doc/ { "name": "mike", "age": "55", "public": "false" } 非pub索引 POST secindex/doc/ { "name": "jane", "age": "18", "public": "true" } 我们开始搜索，预期是publicuser1搜索pubindex可以返回一条结果，搜索secindex无结果。而admin用户搜索pubindex可以返回两条结果，搜索secindex可以返回一条结果。 GET pubindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 4, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 1, "relation" : "eq" }, "maxscore" : 2.0, "hits" : [ { "index" : "pubindex", "id" : "xBnh0okBxCORqeQrGobf", "score" : 2.0, "source" : { "name" : "robert", "age" : "30", "public" : "true" } } ] } } GET pubindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 1, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 2, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "pubindex", "id" : "xBnh0okBxCORqeQrGobf", "score" : 1.0, "source" : { "name" : "robert", "age" : "30", "public" : "true" } }, { "index" : "pubindex", "id" : "xRnh0okBxCORqeQrMobq", "score" : 1.0, "source" : { "name" : "mike", "age" : "55", "public" : "false" } } ] } } GET secindex/search {"size": 10,"query": {"matchall": {}}} { "error" : { "rootcause" : [ { "type" : "securityexception", "reason" : "no permissions for [indices:data/read/search] and User [namepublicuser1, backendroles[], requestedTenantnull]" } ], "type" : "securityexception", "reason" : "no permissions for [indices:data/read/search] and User [namepublicuser1, backendroles[], requestedTenantnull]" }, "status" : 403 } GET secindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 1, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 1, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "secindex", "id" : "xhnh0okBxCORqeQrTYbM", "score" : 1.0, "source" : { "name" : "jane", "age" : "18", "public" : "true" } } ] } } 搜索引擎的细粒度权限管控功能通过支持文档级别和字段级别的权限控制，为企业提供了强大的数据安全和管理能力。 这种精确的权限配置不仅帮助企业保护敏感信息，还能够在多租户环境和个性化数据访问需求下提供高效的解决方案。通过细粒度的权限管控，企业可以确保数据的安全性、隐私性和合规性，同时实现灵活的业务支持。

本文为您介绍如何购买智能网关（vCPE）。 操作场景 您可以在智能网关管理控制台购买智能网关vCPE实例，也可联系客户经理开通vCPE实例。创建后您可以通过vCPE实例管理部署了智能网关vCPE镜像的云主机。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关列表页面，单击“创建智能网关”按钮，进入创建智能网关页面。 5. 根据页面提示配置参数，参数信息如下： 参数 描述 例子 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、"" Test01 区域 所属位置信息 中国内地 基础带宽 带宽大小 5Mbps 网关形态 可选择硬件版、软件版 软件版 设备类型 vCPE vCPE 使用方式 可选择单机、双机备份 单机 购买数量 购买智能网关的个数 1 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理 default 6. 单击“提交订单按钮”。

本文向您介绍镜像如何部署Windows环境。 简介 本节介绍如何使用天翼云镜像，通过重装系统部署Windows环境。如果您已经购买了弹性云主机，想切换成Windows系统，或者想使用镜像重新部署已经预装了其它软件的环境，可以参考本文档的介绍和操作指导。 重装系统的约束与限制可以参见重装操作系统。 操作步骤 1. 登录天翼云控制台。 2. 选择“计算>弹性云主机”。 3. 选中指定的云主机，将云主机进行关机操作。 如果云主机已经处于关机状态，则可以直接执行重装系统操作。重装系统后，系统盘数据将会丢失，如果想要保留某些数据，可以先进行备份。 4. 选择云主机列表操作栏中的“更多”选项，选择“一键重装”。 5. 如果需要批量云主机重装系统，勾选多个云主机实例，选择云主机列表上方的“更多”选项，选择“一键重装”。 6. 仔细阅读一键重装页面的提示信息，选择需要的Windows镜像。镜像可以选择公共镜像、私有镜像、共享镜像、安全产品镜像。 7. 设置密码和用户数据。密码为必填项，用户数据可以暂不配置。点击“确定”按钮，即可进行重装系统的操作。 8. 可以在云主机列表看到重装云主机的状态。 9. 重装完成后，云主机的状态会恢复成“关机”，此时云主机可以正常使用。

购买内容安全检测服务时，如何确定网站检测配额？ WAF内容安全检测服务按新媒体账号或网站地址个数确定检测配额，1个新媒体账号或1个网站地址占1个检测配额。 基于网站内容来判定配置几个检测网站，同一个组织和同一类内容被认定成一个网站，具体可参见以下几个场景。 说明 WAF支持批量购买内容安全检测服务，可一次输入一个或多个检测对象（新媒体或网站）进行安全检测，最多支持一次输入100个检测对象。 “检测对象类型”为“网站”时，检测对象的每一行表示一个检测网址，多个网址以回车换行分割；同一行内的网址和备注之间以英文逗号分割，如无备注，可只输入网址，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 “检测对象类型”为“新媒体”时，检测对象的每一行表示一个新媒体账号，多个新媒体账号以回车换行分割；同一行内的新媒体账号和备注之间以英文逗号分割，每行最多支持500个英文字符（1个中文字符等于2个英文字符）。 场景一：同一官网域名对应的内容，占一个网站检测配额 举例：XX官网里有“产品中心”、“品牌活动”、“网络商城”等板块，但这些板块都同属于官网域名，算一个网站，占一个检测网站配额，即在购买内容安全检测服务时，“检测对象类型”选择“网站”，“检测对象”配置为XX官网的网址即可。 场景二：不同域名对应的网站，检测配额独立计算 举例 ：某官网（ 场景三：域名相同但网站名称不同，检测配额独立计算 举例 ：某省省法院官网（

本节介绍了无公网IP的弹性云主机访问Internet的操作场景、前提条件、Linux操作系统的代理主机。 操作场景 为保证安全和节省公网IP资源，通常只为特定的弹性云主机配置公网IP，可直接访问Internet，其他弹性云主机只配置私网IP，无法直接访问Internet。因此，当只配置了私网IP的弹性云主机需要访问Internet，执行软件升级、给系统打补丁或者其它需求时，可选择一台绑定了公网IP的弹性云主机作为代理弹性云主机，为其他无公网IP的云主机提供访问通道，正常访问Internet。 说明 优先推荐您使用NAT（NAT Gateway）网关服务。NAT网关能够为VPC内的弹性云主机提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。 前提条件 已拥有一台绑定了公网IP的弹性云主机作为代理弹性云主机。 代理弹性云主机和其他需要访问Internet的弹性云主机均处于同一网段，并且在同一安全组内。 Linux操作系统的代理主机 本节操作中，以代理弹性云主机的操作系统是CentOS 6.5为例。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页，输入代理云主机名称进行搜索。 5. 单击代理弹性云主机的名称，查看详情。 6. 在代理弹性云主机详情页面，选择“弹性网卡”页签，并展开，将“源/目的检查”选项设置为“OFF”。 默认情况下，“源/目的检查”状态为“启用”，系统会检查弹性云主机发送的报文中源IP地址是否正确，否则不允许弹性云主机发送该报文。这有助于防止伪装报文攻击，提升安全性。但在该场景中，这种保护机制会导致报文的发送者无法接收到返回的报文。因此，需设置“源/目的检查”状态为禁用。 7. 登录代理弹性云主机。 详细操作方法请参见Linux弹性云主机登录方式概述。 8. 执行以下命令，检测代理弹性云主机是否可以正常连接Internet。 ping www.baidu.com 回显包含类似如下信息时，表示代理弹性云主机可正常连接Internet。 检测是否可以正常连接Internet 9. 执行以下命令，查看代理弹性云主机的IP转发功能是否开启。 cat /proc/sys/net/ipv4/ipforward − 回显为“0”表示关闭，请执行10。 − 回显为“1”表示开启，请执行16。 10. 执行以下命令，打开IP转发功能配置文件。 vi /etc/sysctl.conf 11. 按“i”，进入编辑模式。 12. 修改如下参数的值。 将参数“net.ipv4.ipforward ”的值修改为“1”。 说明：如果“sysctl.conf”文件中不存在参数“net.ipv4.ipforward ”，执行以下命令进行添加： echo net.ipv4.ipforward1 >> /etc/sysctl.conf 13. 按“Esc”，输入 :wq ，按“Enter”。 保存设置并退出vi编辑器。 14. 执行以下命令，使配置文件修改生效。 sysctl p /etc/sysctl.conf 15. 执行以下命令，清除原有iptables规则。 iptables F 16. 执行以下命令，配置SNAT，使代理弹性云主机所在的网段内其他弹性云主机可通过代理弹性云主机访问Internet。 iptables t nat A POSTROUTING o eth0 s subnet/netmaskbits j SNAT to natinstanceip 假设代理弹性云主机所在的网段为192.168.125.0，子网掩码为24位，私网IP地址为192.168.125.4，则执行如下命令。 iptables t nat A POSTROUTING o eth0 s 192.168.125.0/24 j SNAT to 192.168.125.4 为了确保重启后上述规则不丢失，可以执行vi /etc/rc.local 编辑rc.local 文件，将步骤16中的规则复制到rc.local文件，按“ESC”退出编辑模式，输入“:wq”保存并退出。 17. 执行以下命令，保存iptables的配置并设置开机自启动。 service iptables save chkconfig iptables on 18. 执行以下命令，查看SNAT配置是否成功。 iptables t nat list 回显类似如下图所示时，表示SNAT配置成功。 图 SNAT配置成功 19. 添加自定义路由。 1. 登录管理控制台。 2. 选择“网络 > 虚拟私有云”。 3. 选择需要添加路由表的虚拟私有云，在“路由表”页面，单击“添加路由”。 4. 根据界面提示，填写路由信息。 目的地址：是目的网段，默认是0.0.0.0/0。 下一跳地址：是代理弹性云主机的私有IP地址。 您可以在弹性云主机页面，查看该弹性云主机的私有IP地址。 20. 如需删除添加的iptables规则，需执行以下命令： iptables t nat D POSTROUTING o eth0 s subnet/netmaskbits j SNAT to natinstanceip 假设代理弹性云主机所在的网段为192.168.125.0，子网掩码为24位，私网IP地址为192.168.125.4，则执行如下命令。 iptables t nat D POSTROUTING o eth0 s 192.168.125.0/24 j SNAT to 192.168.125.4

数据库安全审计提供用户行为发现审计、多维度分析、实时告警和报表功能。 用户行为发现审计 关联应用层和数据库层的访问操作。 提供内置或自定义隐私数据保护规则，防止审计日志中的隐私数据（例如，帐号密码）在控制台上以明文显示。 多维度线索分析 行为线索 支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL分布等多维度的快速分析。 会话线索 支持根据时间、数据库用户、客户端等多角度进行分析。 语句线索 提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件。 风险操作、SQL注入实时告警 风险操作 支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为。 SQL注入 数据库安全审计提供SQL注入库，可以基于SQL命令特征或风险等级，发现数据库异常行为立即告警。 系统资源 当系统资源（CPU、内存和磁盘）占用率达到设置的告警阈值时立即告警。 针对各种异常行为提供精细化报表 会话行为 提供客户端和数据库用户会话分析报表。 风险操作 提供风险分布情况分析报表。