允许外部访问子网内实例的指定端口 本示例中，在子网内的实例上搭建了可供外部访问的网站，实例作为Web服务器，需要放通入方向的HTTP(80)和HTTPS(443)端口。当子网关联了网络ACL时，需要同时在网络ACL和安全组添加对应的规则。 在网络ACL中，添加如下表所示的规则： 添加定义规则01，允许任意IP地址通过HTTP协议，访问子网内实例的80端口。 添加定义规则02，允许任意IP地址通过HTTPS协议，访问子网内实例的443端口。 其中目的地址10.8.0.0/24为需要防护的子网网段。 方向 生效顺序 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 规则说明 入方向 1 IPv4 允许 TCP 0.0.0.0/0 全部 10.8.0.0/24 80 自定义规则01 入方向 2 IPv4 允许 TCP 0.0.0.0/0 全部 10.8.0.0/24 443 自定义规则02 入方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认规则 出方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认规则 在安全组中，添加如下表所示的规则： 入方向规则01：允许任意IP地址通过HTTP协议，访问实例的80端口。 入方向规则02：允许任意IP地址通过HTTPS协议，访问实例的443端口。 出方向规则03：允许任何流量从安全组内实例流出。 安全组的出方向规则设置比较宽松，本示例中出方向通过网络ACL默认规则防护，仅允许入站流量的响应流量出站，会拦截其他流量出站。 方向 优先级 策略 类型 协议端口 源地址/目的地址 规则说明 入方向 1 允许 IPv4 自定义TCP: 80 IP地址：0.0.0.0/0 规则01 入方向 1 允许 IPv4 自定义TCP:443 IP地址：0.0.0.0/0 规则02 出方向 1 允许 IPv4 全部 IP地址：0.0.0.0/0 规则03

VPC终端节点(VPC Endpoint)使您能够将 VPC 私密地连接到终端节点服务(天翼云服务、 用户私有服务) VPC终端节点（VPC Endpoint）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。分为“网关”和“接口”两种类型。 网关型：由系统配置的受VPC终端节点支持的云服务，用户可直接使用。 接口型：包括系统配置的云服务和用户自己创建的私有服务。 说明 云服务：指云平台上的一些服务被配置为终端节点服务，默认由系统直接配置。用户没有权限配置云服务，您在创建终端节点时可以根据区域直接选择系统中相应的云服务。 用户私有服务：指用户将自己VPC中的服务资源配置为终端节点服务，这些服务资源为增强型负载均衡或者云服务器。 终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。包括“接口终端节点”和“网关终端节点”两种类型。 接口终端节点：是指具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 网关终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。

本节为您介绍天翼云区域和可用区的概念及关系。 区域 区域（region）是指物理的数据中心的地理区域。区域从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 天翼云不同区域之间完全隔离，保证不同区域间最大程度的稳定性和容错性。为了降低访问时延、提高下载速度，建议您选择最靠近业务需求的区域。 相关特性 不同区域之间的网络完全隔离，不同区域的云产品默认不能通过内网通信。 如果不同区域之间的云产品之间有通信需求，可以通过公网 IP、VPN等方式进行通信。 如何选择区域 在天翼云中，资源创建或购买成功后不能更换区域，因此选择区域时，您需要慎重考虑以下几个因素： 1. 地理位置：用户和资源部署区域的距离越近，网络时延越低，访问速度越快。建议您基于业务场景对时延的要求选择区域。 中国内地：一般情况下建议选择和您目标用户所在区域最为接近的数据中心，可以进一步提升用户访问速度。如果使用天翼云承载您的全部业务，电信网络可以保证中国内地区域间的快速访问。 其他国家及地区：其他国家及地区提供的带宽主要面向非中国内地的用户。如果您在中国内地，使用这些区域会有较长的访问延迟，不建议您使用。 2. 资源价格及资源覆盖：不同区域的资源规格可能有差异，不同区域的产品覆盖可能有差异，请根据您的需求及预算选择合适的区域。 3. 产品之间的关系：如果多个天翼云产品一起搭配使用，需要注意：不同区域的云主机、对象存储、负载均衡等服务，内网不互通。 4. 经营性备案：如果您使用物理机作为Web服务器，您需要完成经营性备案，同时需要在指定的区域购买实例。（各省（或市）通信管理局对经营性备案的审批要求不同，请以当地管理局经营性备案网站公示内容为准。）

本文主要介绍如何使用Nginx分词模板。 Nginx 是一种常见的反向代理服务，实际业务中承载着大量服务请求。在运行过程中，服务会产生大量访问日志，通常导致用户面临日志分散、数据量庞大等问题。因此，如何高效地收集和管理这些日志数据，对业务的运维和运营具有重要意义。天翼云云日志服务支持Nginx日志提取采集。 Nginx 日志格式 Nginx 日志的格式可通过 logformat 命令进行定义，如下列格式： plaintext logformat main '$remoteaddr $remoteuser [$timelocal] ' '"$request" $status $bodybytessent ' '"$httpreferer" "$httpuseragent"'; 其中各字段含义为： 字段名 含义 remoteaddr 客户端 的IP 地址 remoteuser 客户端的名称 timelocal 服务器的本地时间 request HTTP 请求方法及 url 地址 status HTTP 请求的状态码 bodybytessent 发送给客户端的字节数 httpreferer 访问来源的页面链接地址 httpuseragent 客户端浏览器信息 Nginx 配置方式 在日志接入流程中创建采集配置步骤中，按如下参数说明配置切割模式： 在Nginx日志配置中，您需要填写 Nginx 配置文件（通常为 /etc/nginx/nginx.conf 或 /usr/local/nginx/conf/nginx.conf）中日志模板，通常以 logformat 开头，如以下所示： plaintext logformat main '$remoteaddr $remoteuser [$timelocal] ' '"$request" $status $bodybytessent ' '"$httpreferer" "$httpuseragent"'; LTS将根据 Nginx日志配置中的日志模板，自动生成日志提取正则表达式，如下所示 在正则表达式下方的样例日志中填写你需要采集的实际 Nginx 日志，并点击“验证”按钮，用来验证上述提取模式配置是否正确，如下所示 验证成功后，可在抽取结果中为每个字段设定名称或直接使用默认值：

为JAVA应用手工安装Agent 前提条件 部署APM Agent时，必须确保接入APM的机器与APM服务网络连通，Agent才能正常工作。 可使用Telnet命令测试目标机器与APM服务器网络是否连通。 选择“系统管理 > 访问密钥”进入访问密钥页面，查看获取接入javaagent所需的AK/SK。 图 获取AK/SK 操作步骤 步骤 1 下载JavaAgent，参考JavaAgent下载地址下载apmjavaagentx.x.x.zip，并将javaagent下载到需要接入APM机器的任意目录。 示例命令： curl O 步骤 2 执行tar命令解压javaagent。 示例命令： tar xvf apmjavaagentx.x.x.tar 步骤 3 修改javaagent中的apm.config配置文件。master.address配置请参见接入地址master.address配置，将AK/SK写入配置文件中，如下图所示。 图 写入AK/SK 步骤 4 修改java进程启动脚本。 在服务启动脚本的java命令之后，配置apmjavaagent.jar包所在路径，并指定java进程的组件名。 添加javaagent参数示例： java javaagent:/xxx/apmjavaagent/apmjavaagent.jarappName{appName} 当企业业务很多的情况下，也支持更为复杂一些的配置，添加javaagent参数的复杂模式如： java javaagent:/xxx/apmjavaagent/apmjavaagent.jarappNamemyApp,envmyEnv,envTagmyTag,businessmyBusiness,subBusinessmySub 说明 由于历史原因，APM启动参数设置的元数据，跟CMDB概念有一些冲突，这里进行说明。 启动参数一般会设置 javaagent:D:javaagentpackageapmjavaagentapmjavaagent.jarappNamexxx,envyyy,businesszzz,subBusinesssss,envTagxxx，在这里appName代表组件，business代表应用，subBusiness代表子应用，envTag代表环境标签。 如果没有在web界面对business参数进行设置，启动javaagent时系统就会报错；其他参数如果没有设置，在启动javaagent时会自动创建出来，包括子应用、组件、环境及环境标签等。 步骤 5 重启应用。

步骤二：配置NAT网关 1. 配置SNAT规则。 1. 返回至企业路由器界面，在左侧导航栏中，选择“网络> NAT网关”，进入“公网NAT网关”页面。 2. 单击公网NAT网关的名称，进入“基本信息”页面，切换至“SNAT规则”页签。 3. 单击“添加SNAT规则”，参数详情如下表所示。 参数名称 参数说明 使用场景 SNAT规则使用的场景，选择“虚拟私有云”。 网段 选择“自定义”子网，使云服务器通过SNAT方式访问公网。 自定义：自定义一个网段或者填写某个VPC的地址。 说明 支持配置0.0.0.0/0的地址段，在多段地址配置时更方便。 可以配置32位主机地址，NAT网关只针对此地址起作用。 弹性公网IP 用来提供互联网访问的公网IP。 这里只能选择没有被绑定的弹性公网IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性公网IP，或者被绑定到当前公网NAT网关中SNAT规则上的弹性公网IP。 可选择多条EIP添加在SNAT规则中。一条SNAT规则最多添加20个EIP。SNAT规则使用多个EIP时，业务运行时会随机选取其中的一个。 监控 为SNAT连接数设置告警。 可通过设置告警及时了解SNAT连接数运行状况，从而起到预警作用。 描述 SNAT规则信息描述。最大支持255个字符。 2. 配置是VPCNAT的路由表。 1. 在左侧导航栏中，选择“网络> 虚拟私有云 > 路由表”，进入“路由表”页面。 2. 在“名称”列，单击NAT网关对应VPC的路由表名称，进入路由表“基本信息”页面。 3. 单击“添加路由”，参数详情见下表。 参数 说明 目的地址类型 选择“IP地址”。 目的地址 目的地址网段，填写VPC1的IP地址。 说明 不能与已有路由和VPC下子网网段冲突。 下一跳类型 在下拉列表中，选择类型“企业路由器”。 下一跳 选择下一跳资源。 下拉列表中将展示您创建的企业路由器名称。 描述 路由的描述信息，非必填项。 说明 描述信息内容不能超过255个字符，且不能包含“ ”。

态势感知SA与企业主机安全HSS服务的区别。 服务含义区别 态势感知（Situation Awareness，SA）是可视化威胁检测和分析的安全管理平台 。着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，帮助企业构建全局安全体系，呈现全局安全攻击态势。 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机 安全、容器 安全和 网页防篡改 ，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，SA是呈现全局 安全态势的服务，HSS是提升主机 和容器安全性的服务。 服务功能区别 SA通过采集 全网安全数据 （包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、基线检查维度，分类呈现资产安全状况。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 SA与HSS主要功能区别： 功能项 子功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 SA：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的帐号、端口、进程、Web目录、软件信息和自启动任务。 资产安全 网站资产 SA：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 基线检查 云服务基线 SA：针对云服务关键配置项，从“安全上云合规检查1.0”、“护网检查”风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 基线检查 主机基线 SA：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

此小节介绍云堡垒机应用场景。 任何企业都需要安全运维管理和审计，故任何企业都需要云堡垒机。云堡垒机能适用于各种企业运维场景，特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权限交叉、企业运维方式多样等场景。 严要求的审计合规场景 例如保险和金融行业，具有大量个人信息数据和金融资金操作行为，以及大量第三方机构代为运作，可能存在巨大违规操作、滥用职权等非法运作风险。 通过在云上部署云堡垒机系统，单点登录入口，集中管理账户和资源，部门权限隔离，核心资产多人审核授权，敏感操作二次复核授权，健全的运维审计机制，能够为高风险行业提供严要求审计功能，满足行业监管要求。 高效稳定的运维场景 例如极速发展的互联网企业，大量经营数据等敏感信息，暴露在公网，且由于服务高度公开，存在高度数据泄露风险。 云堡垒机在远程运维过程中，隐藏资产真实地址，解决远程运维资产信息暴露问题。同时提供全面的运维日志，为审计运维和代运维人员的操作行为，提供有效监控，减少网上安全事故，助力企业长久稳定发展。 大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理，云上人员账户数量不断增加，以及云上服务器、网络设备等资产数量也成倍增涨。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行，由于涉及提供商、代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产，可海量容纳庞大人员和资源数据，运维人员单点登录，解决运维人员维护多台资产效率低，易出错的问题。同时通过制定细粒度权限控制，资源操作全程记录，可审计全量用户操作行为，并对事故问题进行有效追溯，确保有效定责。此外，系统桌面实时呈现运维全景，并可接收异常行为告警通知，确保人员无法越权操作。

实时性能 实时性能页面展示了数据库实例各项关键指标，并提供日期对比功能，方便查看周期业务以及指标变化情况，及时发现异常。 操作步骤 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择所需实例，单击“详情”，进入DBA智能运维总览页面。 在性能页签下选择“实时性能”。 查看服务器的运行时间、连接信息和缓存池的状态。 单击“设置指标”，选择在实时性能页面展示的性能指标，观察性能指标的实时动态。 调整性能指标的采集周期，可设置范围为1~10秒。 根据业务场景需要，单击开始或暂停来开启或终止实时性能。 实时诊断 您可以通过实时诊断功能直观地查看数据库性能情况的全貌，快速确认是否存在异常。 操作步骤 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择所需实例，单击“详情”，进入DBA智能运维总览页面。 选择“性能 > 实时诊断”。 查看实例当前数据库的CPU、内存、IOPS、空间和连接的使用情况。 性能趋势对比查看 您可以通过性能趋势对比查看功能查看不同天同一时间段的历史动态趋势，对比分析数据库性能的变化趋势。

本文为您介绍GPU云主机的主要应用场景。 图形图像渲染 图形图像渲染场景下天翼云GPU云主机最高采用业界领先的GPU A10显卡，提供24G的大显存容量和强大的图形填充速率，支持多种图形加速接口，如DirectX 12、OpenGL 4.5、Vulkan 1.0等，配合英伟达官方vWS Licence 授权，为专业级CAD、视频渲染、图形处理提供所需的强大计算能力，为虚拟化工作站、桌面和应用程序提供行业内超高的用户性能，结合天翼云的对象存储、弹性云主机以及专线，可以快速构建自己的图像渲染以及分析计算中心。 科学计算 在科学计算领域，模拟仿真过程中，消耗大量计算资源的同时，会产生大量临时数据，对存储带宽与时延也有极高的要求。P系列计算加速型GPU云主机，最高采用业界领先的GPU显卡A100，提供40GB的显存容量和9.7TFLOPS双精度计算能力以及大吞吐的带宽。同时支持一机多卡模式，让用户可以在一台云主机上体验多卡的计算能力，达到计算性能翻倍。 AI深度学习 AI深度学习需要处理大批量数据，并不断迭代神经网络参数以满足业务对预测精度的要求，对运行稳定性要求更高，对服务器响应延时也有更高要求。P系列计算加速型GPU云主机，采用业界领先的GPU显卡，提供大容量显存和高双精度计算能力以及大吞吐的带宽，其深度学习TF32运算能力可到156 TFLOPS，支持常见的深度学习框架TensorFlow、Caffe、PyTorch、MXNet 等。配合天翼云弹性云主机、负载均衡、对象存储、关系型数据库RDS、云监控等服务，可以搭建一个功能完备的深度学习平台，能够快速、高效、低成本的完成训练、推理任务。

本文向您介绍专属云（计算独享型）退订与到期提醒的相关内容。 专属云退订 说明 专属云（计算独享型）资源池与池内资源是独立管理的。退订资源池仅是释放资源池本身，并不会自动清理或关闭您创建在池内的云服务器、硬盘、网络等具体资源 在进行专属云（计算独享型）资源池（专属云单元自研，SELFGEC）退订时，请确保其中所有资源已被妥善处理，资源池内所有相关资源已被退订/删除。如果您在退订资源池前，未对其中的资源进行逐一退订或删除，这些资源将继续保留并正常运行，因此会持续产生费用。为避免此类情况，请优先确认资源池内已无任何有效资源后，再执行资源池本身的退订操作。退订成功后，该资源池的入口将从您的控制台列表移除。 到期提醒 专属云（计算独享型）到期前7天、3天系统向您发送提醒短信和邮件。 以华东1的专属云为例，当【专属云资源池】距离到期7或3天时，您的绑定手机号将会收到：【天翼云】尊敬的XXX:您在华东1的专属云单元自研（SELFGEC）将于XXXXXXXX到期，到期后您的计算资源将被冻结，资源保留15天，保留期内您可进行续费，保留期后未续费的专属云（计算独享型）资源将完全销毁，无法恢复。 当华东1专属云资源池中的【底层宿主机】距离到期7或3天时，您的绑定手机号将会收到：【天翼云】尊敬的XXX:您在华东1专属云资源池的计算单元自研（SELFEC）将于XXXXXXXX到期，到期后您的计算资源将被冻结，资源保留15天，保留期内您可进行续费，保留期后未续费的专属云（计算独享型）资源将完全销毁，无法恢复。

本章主要介绍步骤六：部署应用（ECS篇） 本章节以应用“phoenixsamplestandalone”为例，介绍如何将发布件部署至主机。若您需要了解如何署至CCE，请参照步骤六：部署应用（CCE篇）操作。 购买并配置ECS 本文档使用的是ECS，您也可以使用自己的Linux主机（Ubuntu 16.04操作系统）。 步骤 1 登录云主机控制台，购买云主机。 购买时的必要配置参照下表，表中未列出的配置可根据实际情况选择。 步骤 2 配置安全组规则。 样例项目的验证需要用到端口5000与5001，因此添加一条允许访问5000以及5001端口的入方向规则。 操作步骤如下： 1. 登录ECS页面，在列表中找到步骤步骤1中购买的ECS，单击服务器名称。 2. 选择“安全组”页签，参考“《云主机用户指南》>安全>安全组>配置安全组规格”添加一条协议为TCP、端口为50005001的入方向规则。 添加目标主机至项目 部署应用到ECS之前，需要先将目标主机添加到项目基础资源中。 步骤 1 进入“凤凰商城”项目，单击导航栏“设置 > 通用设置 > 基础资源管理”。 步骤 2 单击“新建主机集群”，输入集群名称“hosts”、选择操作系统（Linux）、关闭“使用代理机接入”开关，单击“保存”。 步骤 3 单击“新增目标主机”，在弹框中配置以下信息，勾选同意声明后，单击“添加”。 添加主机 配置项 配置建议 主机名 输入自定义主机名称。为了方便辨认，可与在购买并配置ECS时配置的ECS的名称保持一致。 IP 输入在购买并配置ECS中购买的ECS的IP。 用户名 输入“root”。 密码 输入在购买并配置ECS中购买的ECS的密码。 ssh端口 输入“22”。 步骤 4 页面显示一条主机记录，当“连通性验证”列的值显示为“成功”，表示主机添加完成。 若主机添加失败，请根据页面提示信息排查主机配置。

本页介绍如何连接分布式融合数据库HTAP的实例。 前提条件 分布式融合数据库HTAP实例正常运行。 分布式融合数据库HTAP实例连接方式 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在ECS上，且该ECS与分布式融合数据库HTAP实例处于同一区域，同一VPC时，建议单独使用内网IP连接ECS与分布式融合数据库HTAP实例。 安全性高，可实现分布式融合数据库HTAP的较好性能。 推荐使用内网连接 术语解释： VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 设置安全组规则 安全组的规则设置请参考快速入门准备工作。 通过内网连接分布式融合数据库HTAP实例 1. 天翼云官网首页右上角选择控制中心，登录进入控制中心界面。 2. 控制中心产品概览页左上角单击管理控制台，选择区域。 3. 选择数据库 > 分布式融合数据库HTAP，进入分布式融合数据库HTAP控制台。 4. 实例列表中可以查看到每个实例的连接地址，连接地址中包含IP和端口。 通过连接地址中的IP及端口（计算节点的主机IP及服务端口）即可连接数据库，如果实例有多个连接地址，可以用搭建负载均衡的方式进行连接。 5. 连接分布式融合数据库HTAP前必须新建用户，点击对应实例的更多 > 用户管理进入用户管理，填写用户名、主机、权限、用户密码等信息，创建连接用户并授权。 6. 登录云主机后打开命令行输入窗口，凭数据库连接的IP及端口，以及新建用户连接数据库，如下命令。 mysql h{hostname} P{port} u{user} p{password} 参数： h：主机IP，即分布式融合数据库“实例管理”页面中实例连接地址的IP”。 P：数据库端口，为“实例管理”页面中连接地址的端口。 u：用户名，即用户创建的数据库帐号（用户不能使用root账号登录，必须新建用户）。 p：密码，即数据库帐号对应的密码，为创建数据库用户时指定的密码。 示例： mysql h 172.16.X.X P 8635 u root –p ‘’

本页介绍了分布式融合数据库HTAP的实例连接方式。 分布式融合数据库HTAP实例连接方式 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在ECS上，且该ECS与分布式融合数据库HTAP实例处于同一区域，同一VPC时，建议单独使用内网IP连接ECS与分布式融合数据库HTAP实例。 安全性高，可实现分布式融合数据库HTAP的较好性能。 推荐使用内网连接 术语解释： VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 设置安全组规则 安全组的规则设置请参考快速入门准备工作。 通过内网连接分布式融合数据库HTAP实例 1. 天翼云官网首页右上角选择控制中心，登录进入控制中心界面。 2. 控制中心产品概览页左上角单击管理控制台，选择区域。 3. 选择“数据库 > 分布式融合数据库HTAP”。进入分布式融合数据库HTAP控制台。 4. 实例列表中可以查看到每个实例的连接地址，连接地址中包含IP和端口。 通过连接地址中的IP及端口（计算节点的主机IP及服务端口）即可连接数据库，如果实例有多个连接地址，可以用搭建负载均衡的方式进行连接。 5. 连接分布式融合数据库HTAP前必须新建用户，点击对应实例的“更多 > 用户管理”进入用户管理，填写用户名、主机、权限、用户密码等信息，创建连接用户并授权。 6. 登录云主机后打开命令行输入窗口，凭数据库连接的IP及端口，以及新建用户连接数据库，如下命令。 mysql h{hostname} P{port} u{user} p{password} 参数： h：主机IP，即分布式融合数据库“实例管理”页面中实例连接地址的IP”。 P：数据库端口，为“实例管理”页面中连接地址的端口。 u：用户名，即用户创建的数据库帐号（用户不能使用root账号登录，必须新建用户）。 p：密码，即数据库帐号对应的密码，为创建数据库用户时指定的密码。 示例： mysql h 172.16.X.X P 8635 u root –p ‘’

本文介绍设置Apache缓存策略的方法。 免责声明： 本文档包含第三方产品信息，该信息仅供参考。 背景说明 本文主要介绍Apache服务器的缓存策略配置方法，如果源站使用的是Apache，可参考此文进行设置。 详细信息 Apache设置缓存策略的具体方法有两种：使用modheaders模块或modexpires模块。 1. modheaders模块配置 使用modheaders配置源站响应缓存策略可按如下步骤： 1）确保apache安装了modheaders模块。 2）在httpd.conf 中设置LoadModule headersmodule modules/modheaders.so。 3）使用header set配置cachecontrol。 示例如下： 策略 示例 设置一个月 Header set CacheControl "maxage2592000″ 设置一周 Header set CacheControl "maxage604800″ 设置不缓存 Header set Expires "Mon, 01 Jan 2000 10:00:00 GMT" Header set CacheControl "nocache" Header set Pragma "nocache" 2. modexpires模块配置 使用modexpires模块配置源站响应缓存策略： 主要有如下三条指令： ExpiresActive指令：打开或关闭产生Expires和CacheControl标签的功能。 ExpiresByType指令：指定MIME类型文档的过期时间，例如text/html文档。 ExpiresDefault指令：所有文档的默认过期时间。 示例如下： ExpiresActive On：开启modexpires功能。 ExpiresDefault "access plus 1 months"：默认的过期时间是1个月。 ExpiresByType image/ "access plus 1 years"：图片的文件类型缓存时间为1年。 ExpiresByType text/ "access plus 1 years"：text类型缓存时间为1年。 ExpiresByType application/ "access plus 60 minutes"：application文件类型缓存60分钟。 其中，各种时间的表达方式有： 表达式 说明 access plus 1 years 过期时间设置为，访问开始计算的一年后。 now plus 30 days 当前时间的30天后。 modification plus 12 hours 过期时间设置为，文件最后修改时间的12小时后。 A2592000 过期时间设置为，访问开始计算的2592000秒后，即一个月后。 M86400 过期时间设置为，文件最后修改时间的86400秒后，即一天后；该方式只对静态文件起作用，脚本生成的动态页面不起作用。

本文介绍安全加速计费类问题。 停用安全加速服务后，为什么仍有一部分费用产生？ 造成该情况的原因主要有以下两种： 1. 在停用安全加速服务后，若客户LocalDNS服务器中缓存未过期，LocalDNS会继续把访问已停用安全加速域名的请求解析到加速节点，造成少量安全加速流量计费。 2. 一些下载类软件也存在LocalDNS缓存，在这部分缓存过期前，下载类软件也会把访问已停用安全加速域名的请求解析到加速节点上，造成少量安全加速流量计费。 安全加速中基础带宽方式中日流量计费和日带宽峰值计费是否支持互相变更计费方式？ 此两种计费方式之间可以自由切换，新的计费方式将在下一个计费周期生效。需需要注意的是，一个计费周期内，仅能变更一次。 安全加速的收费项都有哪些？ 安全加速主要有两大功能项：waf防护功能和CC流量清洗功能，每个功能项下面会有不同的计费项 当用户开通了waf防护功能时： 计费项包括：waf防护包+上行+下行总带宽的日峰值带宽/流量+防护请求数+静态https请求数，按日扣费 当用户开通了CC流量清洗功能时： 计费项包括：CC流量清洗包+弹性带宽阶梯+上行+下行总带宽的日峰值带宽/流量+静态https请求数+动态请求数 当用户同时开通waf防护功能和CC流量清洗功能时： 计费项包括：waf防护包+上行+下行总带宽的日峰值带宽+防护请求数+CC流量清洗包+弹性带宽阶梯+静态https请求数，按日扣费 安全加速，但是没有开启https的功能，是否需要收费安全加速，但是没有开启https的功能，是否需要收费 使用安全加速，但是没有使用https的功能，是不会针对https的请求数去费用的。

本文介绍控制台（或API）用量分析里的流量与日志统计的流量有差异的原因。 客户控制台上可查询带宽、流量等统计数据，该数据同时也应用于生成计费账单，其流量会比基于访问日志统计的流量偏多。原因是全站日志中记录的流量数据是基于应用层日志中响应消息头+响应body体统计出的流量，而在实际网络请求中产生的网络流量，由于存在TCP/IP包头消耗和TCP重传，要比应用层统计到的流量数据高出7%~15%。因此按照业界标准，应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。 TCP/IP包头的消耗 HTTP请求是基于TCP/IP协议的，数据包是TCP/IP协议通信传输中的数据单位，我们在使用基于TCP/IP协议的网络时，网络中传递的其实就是数据包。每个数据包的大小最大是1500字节，这1500字节中包括了TCP和IP协议组成的40个字节的包头，这两个协议包头其实也会产生流量，但是却无法被应用层统计到，因此这40个字节的流量就不会被统计到日志里，这部分的流量会占到我们通过日志计算出流量的2.74%（40/1460）以上，即3%左右。 TCP重传 根据互联网中网络的负载情况，通常情况下，会有接近3%~10%的数据包会因为网络堵塞、设备故障等各种异常情况被丢弃。发生丢包后，服务器会对丢弃的数据包进行重传，这部分的具体操作是由内核层的协议栈处理完成的，通常无法被应用层统计到的，因此在一定程度上也会造成日志统计与实际网络响应流量的差异。 综上所述，天翼云全站加速产品取平均值10%作为网络层额外消耗的流量比例，即应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。

本文介绍全站加速的基本安全防护功能。 全站加速作为帮助用户加速获取资源文件的产品，其防御能力是不能和专业的安全防护产品所比的，如果需要抗DDoS和抗CC攻击的全站加速功能，请使用天翼云边缘安全加速平台产品。如下是全站加速的一些基本防护的配置： Referer防盗链功能：根据http请求的referer字段对请求来源的域名进行筛选和链接。全站加速支持三种referer防盗链设置：白名单、黑名单以及是否允许空referer。该方法主要通过URL过滤的方法对来源host的地址进行过滤，用户可指定请求来源的域名，通过该功能可以对请求来源做限制。需注意的是：黑、白名单互斥，用户只可选择配置二者其一。 IP黑/白名单：设置相应的IP黑、白名单来针对来源IP进行限制。需注意的是：黑、白名单互斥，用户只可选择配置二者其一。、 URL鉴权：配置URL鉴权后，全站加速会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 UA黑/白名单：配置允许用户使用的访问工具，UA白名单之外的访问工具全部拒绝访问（节点响应403），UA白名单之内的访问工具全部允许访问。UA黑名单之外的访问工具全部允许访问，UA黑名单之内的访问工具全部拒绝访问（节点响应403）。 URI黑/白名单：通过对用户访问的URI进行规则判断，按需放行或拒绝用户访问。允许访问时，全站加速会返回资源链接；拒绝访问时，全站加速会返回403响应码。 全网带宽控制：支持全网边缘总带宽限制，支持分时段控制，可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 有序回源：通过有序回源功能，可以根据源站负载有效控制并发回源量，保护源站服务器的稳定性，提供更佳的用户体验。

本章节主要介绍 初始化系统用户密码 。 操作场景 该任务指导管理员在用户遗忘密码或公共帐号密码需要定期修改时，通过Manager初始化密码。初始化密码后用户首次使用需要修改密码。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 对系统的影响 初始化MRS集群用户密码后，如果以前下载过用户认证文件，则需要重新下载并获取keytab文件。 初始化“人机”用户密码 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 在“权限配置”区域，单击“用户管理”。 3. 在要初始化密码用户所在行，单击“更多 > 初始化密码”，按界面提示信息修改用户密码。 在弹出窗口中输入当前登录的管理员密码确认管理员身份，单击“确定”，然后在“初始化密码”单击“确定”。 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@ $%^&()+[{}];:'", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 初始化“机机”用户密码 根据业务情况，准备好客户端，并登录安装客户端的节点。 1. 执行以下命令切换用户。 sudo su omm 2. 执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3. 执行以下命令，配置环境变量。 source bigdataenv 4. 执行以下命令，使用kadmin/admin登录控制台。 说明 kadmin/admin的默认密码为“KAdmin@123”，首次登录后会提示该密码过期，请按照提示修改密码并妥善保存。 kadmin p kadmin/admin 5. 执行以下命令，重置组件运行用户密码。此操作对所有服务器生效。 cpw 组件运行用户名 例如：cpw oms/manager 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@

本文内容主要介绍设置安全组 操作场景 为了保障数据库的安全性和稳定性，在使用文档数据库实例之前，您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。 注意事项 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和文档数据库可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当文档数据库服务加入该安全组后，即受到这些访问规则的保护。 当需要从安全组外访问安全组内的文档数据库时，需要为安全组添加相应的入方向规则。 操作步骤 步骤 1 在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“安全组”区域，选择“入方向规则”页签，单击“添加规则”，弹出添加入方向规则窗口。选择“出方向规则”页签，单击“添加规则”，弹出添加出方向规则窗口。 单击，可以依次增加多条规则。 步骤 4 根据界面提示配置安全组规则。 参数说明 参数 说明 取值示例 ::: 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口。 8635 类型 IP地址类型，支持IPv4和IPv6。 IPv6地址：2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b 源地址和目的地址 支持IP地址和安全组。 IP地址：该安全组规则在指定的IP地址范围生效。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 安全组：该规则授权特定安全组中的弹性云主机访问本安全组中的文档数据库，即该规则放通特定安全组中的弹性云主机所有的IP地址。 192.168.10.0/24 default 步骤 5 单击“确定”。

业务场景 基于ServiceStage可以方便快捷的将微服务部署到容器（如CCE）、虚拟机（如ECS）或无服务器（如CCI），同时支持源码部署、jar/war包部署或docker镜像包部署。同时，ServiceStage支持 Java、PHP、Node.js、Go、Python 多种编程语言应用的完全托管，包括部署、升级、回滚、启停和删除等。本实践中使用了Java开发的后台组件和Node.js开发的前台组件。 用户故事 在本实践中，您可以通过容器部署的方式部署应用并将微服务实例注册到微服务引擎CSE中，weathermap应用需要创建以下组件： 1. 前台组件：weathermapweb，基于Node.js语言开发的界面。 2. 后台组件：weather、forecast、fusionweather，基于Java语言开发。 创建并部署后台应用组件 此处需要创建3个应用组件，对应后台构建任务生成的3个软件包：weather、forecast、fusionweather。 这里以weather包为例介绍操作步骤，其余应用组件的具体步骤不再详述。 1. 登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2. 单击创建应用时创建的应用名称（例如weathermap）“操作”栏的“新增组件”。 3. “配置方式”选择“自定义配置”，“选择组件类型”选择“微服务”，单击“下一步”。 4. “选择运行时”选择“Docker”，单击“下一步”。 5. 选择Java Chassis框架/服务网格。 6. 设置组件信息，“组件名称”输入weather。 7. 单击“创建并部署”，部署组件。 a. “环境”：选择创建环境时创建的环境（例如testenv）。 b. “部署版本”：输入1.0.0。 c. “部署系统”：选择“云容器引擎”。 d. “实例数量”：设置为1。 e. 其他参数使用默认 8. 单击“下一步 组件配置”，进行组件配置。 a. “镜像”：单击“选择镜像”，在“我的镜像”页签搜索“weather”，选择创建组织创建的组织名称下的weather镜像包及其版本号，单击“确定”。 b. “微服务引擎”：默认选择创建环境时选择的微服务引擎。 c. 其他参数使用默认。 9. 设置环境变量。 选择“高级设置 > 组件配置”，进入“环境变量”，单击“添加环境变量”，添加如下环境变量。 10. 单击“下一步 规格确认”，确认规格。 11. 单击“部署”，部署组件。 12. 参考以上步骤，创建并部署forecast和fusionweather组件，需要设置的参数如下表所示。

附：windows日志事件ID列表 事件ID 对应事件 35 更改时间源 36 时间同步失败 37 时间同步正常 41 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。 134 当出现时间同步源DNS解析失败时会出现此事件ID。 512 Windows启动事件 513 Windows关机事件 515 受信任的登录过程已经在本地安全机构注册 516 审核失败事件 517 清除安全事件日志事件 518 安全帐户管理器已加载通知数据包 519 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 520 更改系统时间事件 521 无法记录事件 528 登录成功事件 529 登录失败事件用户名未知或密码错误 530 登录失败事件时间限制 531 登录失败事件帐户当前已禁用 532 登录失败事件指定用户帐户已过期 533 登录失败事件不允许用户由此计算机登录 534 登录失败事件不允许该登录类型 535 登录失败事件指定帐户的密码已过期 536 登录失败事件NetLogon组件未激活 537 登录失败由于其他原因登录尝试失败 538 用户注销事件 539 登录失败试图登录时该帐户已锁定 540 登录成功事件 553 检测到重放攻击事件 560 准许对现有对象的访问 560 拒绝对现有对象的访问事件 562 指向对象的句柄已关闭 563 试图打开一个对象并打算将其删除 564 受保护对象已删除 565 访问权限已授予现有的对象类型 566 发生了一般对象操作 567 与使用的句柄关联的权限 568 尝试创建已审核文件的硬链接事件 574 对象权限被修改 576 对新登录指派特殊特权 592 创建新进程事件 592 创建新流程事件 600 对进程指派了主令牌事件 601 用户尝试安装服务事件 602 创建计划的作业事件 608 指派了用户帐户特权 609 移除了用户帐户特权 610 创建删除或修改了与另一域的信任关系 611 创建删除或修改了与另一域的信任关系 612 更改审核策略事件 613 更改IPsec策略事件 614 更改IPsec策略事件 615 更改IPsec策略事件 620 创建删除或修改了与另一域的信任关系 621 对帐户授予了系统访问权 622 从系统移除了系统访问权 623 更改审核策略事件 624 创建用户帐户事件 625 按用户刷新审核策略 626 启用了用户帐户 627 更改密码尝试事件 628 用户帐户密码设置或重置事件 630 删除用户帐户事件 631 启用了安全性的全局组更改事件 632 启用了安全性的全局组更改事件 633 启用了安全性的全局组更改事件 634 启用了安全性的全局组更改事件 635 启用了安全性的全局组更改事件 636 启用了安全性的全局组更改事件 637 启用了安全性的全局组更改事件 638 启用了安全性的全局组更改事件 639 启用了安全性的组更改事件 641 启用了安全性的组更改事件 642 更改用户帐户事件 643 更改域安全策略事件 644 帐户锁定尝试事件 644 用户帐户自动锁定事件 645 帐号及安全组策略更改事件 659 启用了安全性的通用组更改事件 660 启用了安全性的通用组更改事件 661 启用了安全性的通用组更改事件 662 启用了安全性的通用组更改事件 666 帐号及安全组策略更改事件 668 启用了安全性的组更改事件 672 已成功颁发和验证身份验证服务(AS)票证 675 预验证失败事件 680 帐户登录事件 681 登录失败尝试进行域帐户登录事件 682 用户已重新连接至已断开的终端服务器会话 683 用户未注销就断开终端服务器会话 685 更改用户帐户名称事件 698 更改目录服务还原模式密码事件 1074 查看计算机的开机、关机、重启的时间以及原因和注释。 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1102 日志清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4199 当发生TCP/IP地址冲突的时候出现此事件ID，用来排查用户IP网络的问题。 4608 Windows正在启动 4608 Windows启动事件 4609 Windows正在关闭 4609 Windows关机事件 4610 本地安全机构已加载身份验证包 4611 已向本地安全机构注册了受信任的登录进程 4611 受信任的登录过程已经在本地安全机构注册 4612 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。 4612 审核失败事件 4613 清除安全事件日志事件 4614 安全帐户管理器已加载通知包。 4614 安全帐户管理器已加载通知数据包 4615 LPC端口使用无效 4615 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 4616 系统时间已更改。 4616 更改系统时间事件 4617 无法记录事件 4618 已发生受监视的安全事件模式 4621 管理员从CrashOnAuditFail恢复了系统 4622 本地安全机构已加载安全包。 4624 帐户已成功登录 4624 登录成功事件 4625 帐户无法登录 4625 登录失败事件用户名未知或密码错误 4626 用户/设备声明信息 4626 登录失败事件时间限制 4627 集团会员信息。 4628 登录失败事件指定用户帐户已过期 4629 登录失败事件不允许用户由此计算机登录 4630 登录失败事件不允许该登录类型 4631 登录失败事件指定帐户的密码已过期 4632 登录失败事件NetLogon组件未激活 4633 登录失败由于其他原因登录尝试失败 4634 帐户已注销 4634 用户注销事件 4635 登录失败试图登录时该帐户已锁定 4636 登录成功事件 4646 IKE DoS防护模式已启动 4647 用户启动了注销 4648 使用显式凭据尝试登录 4649 检测到重播 4649 检测到重放攻击事件 4650 建立了IPsec主模式安全关联 4651 建立了IPsec主模式安全关联 4652 IPsec主模式协商失败 4653 IPsec主模式协商失败 4654 IPsec快速模式协商失败 4655 IPsec主模式安全关联已结束 4656 请求了对象的句柄 4656 准许对现有对象的访问 4656 拒绝对现有对象的访问事件 4657 注册表值已修改 4658 对象的句柄已关闭 4658 指向对象的句柄已关闭 4659 请求删除对象的句柄 4659 试图打开一个对象并打算将其删除 4660 对象已删除 4660 受保护对象已删除 4661 请求了对象的句柄 4661 访问权限已授予现有的对象类型 4662 对对象执行了操作 4662 发生了一般对象操作 4663 尝试访问对象 4663 与使用的句柄关联的权限 4664 试图创建一个硬链接 4664 尝试创建已审核文件的硬链接事件 4665 尝试创建应用程序客户端上下文。 4666 应用程序尝试了一个操作 4667 应用程序客户端上下文已删除 4668 应用程序已初始化 4670 对象的权限已更改 4670 对象权限被修改 4671 应用程序试图通过TBS访问被阻止的序号 4672 分配给新登录的特权 4672 对新登录指派特殊特权 4673 特权服务被召唤 4674 尝试对特权对象执行操作 4675 SID被过滤掉了 4688 已经创建了一个新流程 4688 创建新进程事件 4688 创建新流程事件 4689 一个过程已经退出 4690 尝试复制对象的句柄 4691 请求间接访问对象 4692 尝试备份数据保护主密钥 4693 尝试恢复数据保护主密钥 4694 试图保护可审计的受保护数据 4695 尝试不受保护的可审计受保护数据 4696 主要令牌已分配给进程 4696 对进程指派了主令牌事件 4697 系统中安装了一项服务 4697 用户尝试安装服务事件 4698 已创建计划任务 4698 创建计划的作业事件 4699 计划任务已删除 4700 已启用计划任务 4701 计划任务已禁用 4702 计划任务已更新 4703 令牌权已经调整 4704 已分配用户权限 4704 指派了用户帐户特权 4705 用户权限已被删除 4705 移除了用户帐户特权 4706 为域创建了新的信任 4706 创建删除或修改了与另一域的信任关系 4707 已删除对域的信任 4707 创建删除或修改了与另一域的信任关系 4708 更改审核策略事件 4709 IPsec服务已启动 4709 更改IPsec策略事件 4710 IPsec服务已禁用 4710 更改IPsec策略事件 4711 PAStore引擎（1％） 4711 更改IPsec策略事件 4712 IPsec服务遇到了潜在的严重故障 4713 Kerberos策略已更改 4714 加密数据恢复策略已更改 4715 对象的审核策略（SACL）已更改 4716 可信域信息已被修改 4716 创建删除或修改了与另一域的信任关系 4717 系统安全访问权限已授予帐户 4717 对帐户授予了系统访问权 4718 系统安全访问已从帐户中删除 4718 从系统移除了系统访问权 4719 系统审核策略已更改 4719 更改审核策略事件 4720 已创建用户帐户 4720 创建用户帐户事件 4721 按用户刷新审核策略 4722 用户帐户已启用 4722 启用了用户帐户 4723 尝试更改帐户的密码 4723 更改密码尝试事件 4724 尝试重置帐户密码 4724 用户帐户密码设置或重置事件 4725 用户帐户已被禁用 4725 帐户当前已禁用 4726 用户帐户已删除 4726 删除用户帐户事件 4727 已创建启用安全性的全局组 4727 启用了安全性的全局组更改事件 4728 已将成员添加到启用安全性的全局组中 4728 启用了安全性的全局组更改事件 4729 成员已从启用安全性的全局组中删除 4729 启用了安全性的全局组更改事件 4730 已删除启用安全性的全局组 4730 启用了安全性的全局组更改事件 4731 已创建启用安全性的本地组 4731 启用了安全性的全局组更改事件 4732 已将成员添加到启用安全性的本地组 4732 启用了安全性的全局组更改事件 4733 成员已从启用安全性的本地组中删除 4733 启用了安全性的全局组更改事件 4734 已删除已启用安全性的本地组 4734 启用了安全性的全局组更改事件 4735 已启用安全性的本地组已更改 4735 启用了安全性的组更改事件 4737 启用安全性的全局组已更改 4737 启用了安全性的组更改事件 4738 用户帐户已更改 4738 更改用户帐户事件 4739 域策略已更改 4739 更改域安全策略事件 4740 用户帐户已被锁定 4740 帐户锁定尝试事件 4740 用户帐户自动锁定事件 4741 已创建计算机帐户 4741 帐号及安全组策略更改事件 4742 计算机帐户已更改 4743 计算机帐户已删除 4744 已创建禁用安全性的本地组 4745 已禁用安全性的本地组已更改 4746 已将成员添加到已禁用安全性的本地组 4747 已从安全性已禁用的本地组中删除成员 4748 已删除安全性已禁用的本地组 4749 已创建一个禁用安全性的全局组 4750 已禁用安全性的全局组已更改 4751 已将成员添加到已禁用安全性的全局组中 4752 成员已从禁用安全性的全局组中删除 4753 已删除安全性已禁用的全局组 4754 已创建启用安全性的通用组 4755 启用安全性的通用组已更改 4755 启用了安全性的通用组更改事件 4756 已将成员添加到启用安全性的通用组中 4756 启用了安全性的通用组更改事件 4757 成员已从启用安全性的通用组中删除 4757 启用了安全性的通用组更改事件 4758 已删除启用安全性的通用组 4758 启用了安全性的通用组更改事件 4759 创建了一个安全禁用的通用组 4760 安全性已禁用的通用组已更改 4761 已将成员添加到已禁用安全性的通用组中 4762 成员已从禁用安全性的通用组中删除 4762 帐号及安全组策略更改事件 4763 已删除安全性已禁用的通用组 4764 组类型已更改 4764 启用了安全性的组更改事件 4765 SID历史记录已添加到帐户中 4766 尝试将SID历史记录添加到帐户失败 4767 用户帐户已解锁 4768 请求了Kerberos身份验证票证（TGT） 4768 已成功颁发和验证身份验证服务(AS)票证 4769 请求了Kerberos服务票证 4770 更新了Kerberos服务票证 4771 Kerberos预身份验证失败 4771 预验证失败事件 4772 Kerberos身份验证票证请求失败 4773 Kerberos服务票证请求失败 4774 已映射帐户以进行登录 4775 无法映射帐户以进行登录 4776 域控制器尝试验证帐户的凭据 4776 帐户登录事件 4777 域控制器无法验证帐户的凭据 4777 登录失败尝试进行域帐户登录事件 4778 会话重新连接到Window Station 4778 用户已重新连接至已断开的终端服务器会话 4779 会话已与Window Station断开连接 4779 用户未注销就断开终端服务器会话 4780 ACL是在作为管理员组成员的帐户上设置的 4781 帐户名称已更改 4781 更改用户帐户名称事件 4782 密码哈希帐户被访问 4783 创建了一个基本应用程序组 4784 基本应用程序组已更改 4785 成员已添加到基本应用程序组 4786 成员已从基本应用程序组中删除 4787 非成员已添加到基本应用程序组 4788 从基本应用程序组中删除了非成员。 4789 基本应用程序组已删除 4790 已创建LDAP查询组 4791 基本应用程序组已更改 4792 LDAP查询组已删除 4793 密码策略检查API已被调用 4794 尝试设置目录服务还原模式管理员密码 4794 更改目录服务还原模式密码事件 4797 试图查询帐户是否存在空白密码 4798 枚举了用户的本地组成员身份。 4799 已枚举启用安全性的本地组成员身份 4800 工作站已锁定 4801 工作站已解锁 4802 屏幕保护程序被调用 4803 屏幕保护程序被解雇了 4816 RPC在解密传入消息时检测到完整性违规 4817 对象的审核设置已更改。 4818 建议的中央访问策略不授予与当前中央访问策略相同的访问权限 4819 计算机上的中央访问策略已更改 4820 Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制 4821 Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制 4822 NTLM身份验证失败，因为该帐户是受保护用户组的成员 4823 NTLM身份验证失败，因为需要访问控制限制 4824 使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 用户被拒绝访问远程桌面。默认情况下，仅当用户是Remote Desktop Users组或Administrators组的成员时才允许用户进行连接 4826 加载引导配置数据 4830 SID历史记录已从帐户中删除 4864 检测到名称空间冲突 4865 添加了受信任的林信息条目 4866 已删除受信任的林信息条目 4867 已修改受信任的林信息条目 4868 证书管理器拒绝了挂起的证书请求 4869 证书服务收到重新提交的证书请求 4870 证书服务撤销了证书 4871 证书服务收到发布证书吊销列表（CRL）的请求 4872 证书服务发布证书吊销列表（CRL） 4873 证书申请延期已更改 4874 一个或多个证书请求属性已更改。 4875 证书服务收到关闭请求 4876 证书服务备份已启动 4877 证书服务备份已完成 4878 证书服务还原已开始 4879 证书服务恢复已完成 4880 证书服务已启动 4881 证书服务已停止 4882 证书服务的安全权限已更改 4883 证书服务检索到存档密钥 4884 证书服务将证书导入其数据库 4885 证书服务的审核筛选器已更改 4886 证书服务收到证书请求 4887 证书服务批准了证书请求并颁发了证书 4888 证书服务拒绝了证书请求 4889 证书服务将证书请求的状态设置为挂起 4890 证书服务的证书管理器设置已更改。 4891 证书服务中的配置条目已更改 4892 证书服务的属性已更改 4893 证书服务存档密钥 4894 证书服务导入并存档了一个密钥 4895 证书服务将CA证书发布到Active Directory域服务 4896 已从证书数据库中删除一行或多行 4897 启用角色分离 4898 证书服务加载了一个模板 4899 证书服务模板已更新 4900 证书服务模板安全性已更新 4902 已创建每用户审核策略表 4904 尝试注册安全事件源 4905 尝试取消注册安全事件源 4906 CrashOnAuditFail值已更改 4907 对象的审核设置已更改 4908 特殊组登录表已修改 4909 TBS的本地策略设置已更改 4910 TBS的组策略设置已更改 4911 对象的资源属性已更改 4912 每用户审核策略已更改 4913 对象的中央访问策略已更改 4928 建立了Active Directory副本源命名上下文 4929 已删除Active Directory副本源命名上下文 4930 已修改Active Directory副本源命名上下文 4931 已修改Active Directory副本目标命名上下文 4932 已开始同步Active Directory命名上下文的副本 4933 Active Directory命名上下文的副本的同步已结束 4934 已复制Active Directory对象的属性 4935 复制失败开始 4936 复制失败结束 4937 从副本中删除了一个延迟对象 4944 Windows防火墙启动时，以下策略处于活动状态 4945 Windows防火墙启动时列出了规则 4946 已对Windows防火墙例外列表进行了更改。增加了一条规则 4947 已对Windows防火墙例外列表进行了更改。规则被修改了 4948 已对Windows防火墙例外列表进行了更改。规则已删除 4949 Windows防火墙设置已恢复为默认值 4950 Windows防火墙设置已更改 4951 规则已被忽略，因为Windows防火墙无法识别其主要版本号 4952 已忽略规则的某些部分，因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则，因为它无法解析规则 4954 Windows防火墙组策略设置已更改。已应用新设置 4956 Windows防火墙已更改活动配置文件 4957 Windows防火墙未应用以下规则 4958 Windows防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目 4960 IPsec丢弃了未通过完整性检查的入站数据包 4961 IPsec丢弃了重放检查失败的入站数据包 4962 IPsec丢弃了重放检查失败的入站数据包 4963 IPsec丢弃了应该受到保护的入站明文数据包 4964 特殊组已分配给新登录 4965 IPsec从远程计算机收到一个包含不正确的安全参数索引（SPI）的数据包。 4976 在主模式协商期间，IPsec收到无效的协商数据包。 4977 在快速模式协商期间，IPsec收到无效的协商数据包。 4978 在扩展模式协商期间，IPsec收到无效的协商数据包。 4979 建立了IPsec主模式和扩展模式安全关联。 4980 建立了IPsec主模式和扩展模式安全关联 4981 建立了IPsec主模式和扩展模式安全关联 4982 建立了IPsec主模式和扩展模式安全关联 4983 IPsec扩展模式协商失败 4984 IPsec扩展模式协商失败 4985 交易状态已发生变化 5024 Windows防火墙服务已成功启动 5025 Windows防火墙服务已停止 5027 Windows防火墙服务无法从本地存储中检索安全策略 5028 Windows防火墙服务无法解析新的安全策略。 5029 Windows防火墙服务无法初始化驱动程序 5030 Windows防火墙服务无法启动 5031 Windows防火墙服务阻止应用程序接受网络上的传入连接。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows防火墙驱动程序无法启动 5037 Windows防火墙驱动程序检测到严重的运行时错 终止 5038 代码完整性确定文件的图像哈希无效 5039 注册表项已虚拟化。 5040 已对IPsec设置进行了更改。添加了身份验证集。 5041 已对IPsec设置进行了更改。身份验证集已修改 5042 已对IPsec设置进行了更改。身份验证集已删除 5043 已对IPsec设置进行了更改。添加了连接安全规则 5044 已对IPsec设置进行了更改。连接安全规则已修改 5045 已对IPsec设置进行了更改。连接安全规则已删除 5046 已对IPsec设置进行了更改。添加了加密集 5047 已对IPsec设置进行了更改。加密集已被修改 5048 已对IPsec设置进行了更改。加密集已删除 5049 IPsec安全关联已删除 5050 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙（FALSE 5051 文件已虚拟化 5056 进行了密码自检 5057 加密原语操作失败 5058 密钥文件操作 5059 密钥迁移操作 5060 验证操作失败 5061 加密操作 5062 进行了内核模式加密自检 5063 尝试了加密提供程序操作 5064 尝试了加密上下文操作 5065 尝试了加密上下文修改 5066 尝试了加密功能操作 5067 尝试了加密功能修改 5068 尝试了加密函数提供程序操作 5069 尝试了加密函数属性操作 5070 尝试了加密函数属性操作 5071 Microsoft密钥分发服务拒绝密钥访问 5120 OCSP响应程序服务已启动 5121 OCSP响应程序服务已停止 5122 OCSP响应程序服务中的配置条目已更改 5123 OCSP响应程序服务中的配置条目已更改 5124 在OCSP Responder Service上更新了安全设置 5125 请求已提交给OCSP Responder Service 5126 签名证书由OCSP Responder Service自动更新 5127 OCSP吊销提供商成功更新了吊销信息 5136 目录服务对象已修改 5137 已创建目录服务对象 5138 目录服务对象已取消删除 5139 已移动目录服务对象 5140 访问了网络共享对象 5141 目录服务对象已删除 5142 添加了网络共享对象。 5143 网络共享对象已被修改

类型 限制项 默认配额 备注 数据查询 最大查询时间范围 11000 暂不支持调整 数据查询 单次接口查询超时时间 30秒 暂不支持调整 数据查询 单次查询最多扫描时间线数量 2万 可提交工单申请扩容，扩容不会对之前上报数据生效。 数据查询 单次查询扫描最大数据量 1000万 暂不支持调整 数据查询 单次查询返回的最大数据量 100万 暂不支持调整 数据查询 最大查询QPS 50QPS 暂不支持调整 数据采集和上报 每个数据点最大支持大小 32kB，超过会解析失败 暂不支持调整 数据采集和上报 每个用户最大时间线数量 实际上系统会在到达限额之前为您自动做相关的扩容，因此您无需关注该限制。 数据采集和上报 每次上报请求总数据量大小 不超过1MB（最多一次上报1024个指标，因此理论上不会超过） 不支持调整，超过1 MB数据会被全部丢弃。 数据采集和上报 单指标Label长度限制 Label Key或者Label Value字符串长度不超过256个字符。 不支持调整，超限会被调换为MAXTAGVALUELIMITED 数据采集和上报 单个指标的标签数限制 64个 超出可能会造成数据丢失 数据采集和上报 默认数据保存时长 Prometheus实例 for 云服务默认保存30天，其他类型实例默认保存15天。 您可在控制台自行调整数据存储时长。 数据采集和上报 Agent单副本默认配置（3核4 G）一次最多能采集的数据点数 350万 建议您扩容副本 数据采集和上报 Agent单副本默认配置（3核4 G）最大采集Target数 1000个 建议您扩容副本 数据采集和上报 1个Target 30秒内可以最大可采集的数据点数 60万 建议您扩容副本 数据采集和上报 Agent HPA最大副本数 20 若超限，您可在控制台手动增加副本数。 数据采集和上报 Agent 支持的ACK集群版本 待测 建议您升级Kubernetes版本 告警 告警规则查询返回结果数 500 其他 单集群Recording Rules数量上限 100 超限不限制使用，但是计算可能会有延迟 其他 共享版Grafana每个租户最多能创建的Folder数量 10

备案过程中系统会智能校验，协助您提前检测问题、及时修改，以便提升效率，下面常见的报错提醒： 1.域名信息核验不符合要求： 处理办法： 登录域名注册商网站或联系您的域名注册商，变更域名实名认证信息。具体域名要求请参考：< 2.网站名称不符合要求： 处理办法： 个人备案网站名称建议： 1）个人网站名称要尽量体现个人网站的主要内容； 2）使用3个或3个以上汉字。不涉及到行业、企业、产品等信息。不使用个人姓名、地名、成语命名。不使用纯数字、纯英文命名，不能包含特殊符号。不能使用敏感词语（如反腐、赌博、廉政、色情等）命名； 3）网站服务名称不涉及到 “某公司”、“某俱乐部”、“某团体”、“某社区” 等明显非个人性质的网站服务名称，不涉及经营性内容，如 “购买”、“买卖”、“交易”、“优惠券”、“电子商务” 等； 4）个人网站服务名称不包含地名。 企业备案网站名称建议： 1）推荐使用公司全称或简称作为网站服务名称，允许多个网站的服务名称相同； 2）主办单位不是国家级单位，其网站不能以 “中国”、“国家” 等关键词命名，如果含有必须提供相关职能部门的审批文件； 3）网站服务名称应与前置审批或专项审批的取得情况相对应。无新闻、出版、药监、文化、广电等前置审批或专项审批的网站，不能以相关领域关键词命名； 4）若网站服务名称或服务内容涉及到金融类，如确实涉及，建议先到本省金融办进行办理专项审批。提交时，同时上传审批文件电子版，否则有被退回的风险； 5）如使用与企业经营范围完全不相关的产品来命名，一般都比较难通过。可在备注增加相关说明并上传商标或专利文件，以增加通过的可能性。 3.未备案网站开启访问： 处理办法：未备案的域名不能开放访问，在审核期间需要您将域名停止解析或关闭网站，待备案成功以后即可解析并开放访问。 4.已备案网站未开站或网站内容不合格： 处理办法 ：已备案网站提供对外访问，在网站底部添加服务备案号并链接工信部[ICP/IP地址/域名信息备案管理系统](

本节主要介绍权限管理。 创建并授权使用性能测试 如果您需要对您所拥有的云性能测试服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用性能测试资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将性能测试资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用性能测试服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 性能测试服务部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问性能测试服务时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略，策略是角色的升级版。当前性能测试服务仅支持通过系统角色授权。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各云服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

本节介绍如何对主机进行授权。 操作场景 该任务指导用户通过漏洞扫描服务对已添加的Linux主机进行扫描授权。 前提条件 已获取管理控制台的登录账号与密码。 已添加Linux主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。 8. 单击“确定”，Linux主机授权成功。

本文为您介绍如何通过密钥管理控制台创建证书并导入控制台实现托管。 支持数字证书和Ukey证书，关于两种证书的区别，请参见证书管理概述。 创建数字证书 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择服务所在的区域。 3. 在左侧导航栏，点击证书管理， 进入数字证书管理页，点击创建证书。 4. 在弹出的创建证书对话框，根据页面提示进行配置信息填写。 配置项说明： 配置项 说明 主体名称（CN） 证书使用的主体名称。 国家/地区（C） 使用ISO 31661的二位国家代码，例如：CN代表中国。 省/市（ST） 省、直辖市、自治区或特别行政区名称。 城市（L） 城市名称。 公司名称（O） 企业、单位、组织或机构的法定名称。 部门名称（OU） 部门名称。 单击右侧加号，可以添加多个部门名称，最多可添加5个。 邮箱（E） 证书持有者或管理者邮箱。 主体别名 当证书为DV证书时，可使用主体别名生成多域名证书请求。最多可添加10个。 密钥类型 取值：RSA2048、SM2（企业版支持） 私钥可否导出 证书私钥是否需要导出使用。取值： 是：证书私钥需要导出使用。 否：证书私钥不需要导出使用。 建议选择否，以便使用更高安全级别的密钥保护。 企业项目 选择证书归属的企业项目，默认为default。 5. 证书信息填写完成后，点击 创建证书 ，系统会返回证书ID及证书请求，点击 下载证书请求 ，下载完成点击 确定 。 6. 下载csr格式的证书请求文件后，将其提交给CA机构，获取正式的证书和证书链。 7. 将证书和证书链导入证书管理服务，在证书列表页面，找到目标证书，点击 更多导入证书。 8. 在导入证书对话框，输入或上传CA机构颁发的证书和证书链，点击 确定 。 9. 导入证书成功后，证书状态为 启用中 ，您可以使用证书进行签名验签等操作。

当发生病毒入侵、人为误删除、数据丢失等事件时，可以使用SFS Turbo备份数据创建新的文件系统，创建后的文件系统原始数据将会和SFS Turbo备份状态的数据内容相同。 当发生病毒入侵、人为误删除、数据丢失等事件时，可以使用SFS Turbo备份数据创建新的文件系统，创建后的文件系统原始数据将会和SFS Turbo备份状态的数据内容相同。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 选择“备份副本”页签，找到存储库和文件系统所对应的备份。 3. 目标SFS Turbo备份所在行的“状态”栏为“可用”时，单击“操作”列下单击。 说明 创建备份请参考 4. 配置文件系统相关数据。如下图所示。 图 创建文件系统 说明 要了解这些参数的详细说明，请参见《弹性文件服务用户指南》里章节“创建文件系统”中“创建SFS Turbo文件系统”相关参数解释。 可以修改文件系统的类型，但只能进行同类型文件系统之间的修改。例如：标准型文件系统可以修改为性能型文件系统，但不能修改为标准型增强版文件系统。 创建的SFS Turbo文件系统只能为按需计费模式。 5. 单击“立即购买”。 6. 核对文件系统信息，单击“去支付”。 7. 根据界面提示付款，单击“确认付款”。 8. 返回弹性文件服务界面，确认创建新文件系统是否成功。 文件系统状态要经过“正在创建”、“可用”、“正在恢复”和“可用”四个状态。支持即时恢复特性的情况下由于速度很快，可能无法看到“正在恢复”状态。当状态从“正在创建”变更为“可用”时表示文件系统创建成功。当状态从“正在恢复”变更为“可用”时表示备份数据已成功恢复到创建的文件系统中。

本文介绍如何使用异常行为智能识别。 功能介绍 基于智能算法和大数据行为分析，分析客户业务流量的特征，智能识别攻击和误拦截请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为旗舰版及以上版本。 设置异常行为智能识别模型 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【智能防护】菜单，选择【异常行为智能识别】模块。 3. 选择业务适合的【分析模型】，模型配置说明如下： 配置说明 配置项 说明 开关 分析模型开关。 开关开启，模型运行； 开关关闭，模型停止运行。 分析域名 选择需要分析的对象，选择已经完成接入服务的域名。 异常判断条件 不同分析模型的分析条件不同，您可以根据实际的业务场景选择适合的模型。 异常客户端IP识别多UA：适用于单客户端IP有多UA的攻击特征； 异常客户端IP识别扫描大量URL：适用于单客户端IP扫描大量URL的攻击特征； 异常客户端IP识别攻击集中少量URL：适用于单客户端IP集中攻击少量URL的攻击特征； 异常客户端IP识别反复触发策略：适用于单客户端IP反复触发访问控制/频率控制/CC防护策略的攻击特征； 异常客户端IP+UA识别反复攻击少量URL：适用于单客户端（IP+UA），反复攻击少量的URL的攻击特征； 异常UA识别识别单客户端IP变更UA扫描：适用于单客户端IP变更UA扫描的攻击特征。 分析频率 分析频率为分析任务执行频率；统计周期超过12小时，建议分析频率设置大于等于5分钟；统计周期达到24小时，建议分析频率设置大于等于10分钟。 URL是否统计问号后参数 统计URL的范围是否包含问号后参数。 注意 如果我们开放的分析模型不能满足您的需求，请通过

如意宝典产品使用手册 一、产品概述 1. 产品介绍 如意宝典是一款基于检索增强生成（RAG）架构的新一代 AI 知识引擎软件，旨在帮助金融机构（银行 / 保险）、高端制造企业、法律机构、医药企业、教育平台等企业及开发者解决企业知识碎片化查询效率低、知识传承断层与培训成本高、一线岗位客户问题响应慢、非结构化文档解析能力弱且知识时效性差、敏感知识安全管控难等问题。 2. 产品核心能力 产品部署于天翼云弹性云主机集群，利用云平台的计算资源弹性扩展能力，保障高并发场景下的服务稳定性。用户可通过标准化接口实现知识库的一键式云端部署，免除传统系统复杂的部署流程和硬件维护成本。云端服务具备自动容灾和负载均衡能力，在保障高并发场景服务稳定性的同时，显著降低系统运维复杂度。 产品可满足多领域知识服务需求：在智能客服场景中，系统可快速定位历史工单关联信息生成解决方案；面向研发领域，能够精准关联技术文档与代码库提供开发建议；对于企业培训场景，可整合分散的培训资料生成结构化学习路径；在专业咨询领域，支持法律条文与判例库的交叉引用分析，或医疗知识库与诊疗指南的智能匹配，为专业决策提供知识支撑。 同应用分基础型、进阶型、企业版三个规格，不同规格在 CPU 算力、GPU 算力数量及配置上存在差异： 基础型：含 1 台通用型云主机（4 核 CPU、8G 内存、200G 磁盘）+1 台算力服务（32 核 CPU、128G 内存、48G 显存（2A10）、200G 磁盘），部署后端服务 + MySQL 数据库 + 向量数据库 + Redis 进阶型：含 1 台通用型云主机（4 核 CPU、8G 内存、200G 磁盘）+2 台算力服务（单台 32 核 CPU、128G 内存、48G显存（2A10）、200G 磁盘），部署后端服务 + MySQL 数据库 + 向量数据库 + Redis 企业型：含 1 台通用型云主机（8 核 CPU、16G 内存、500G 磁盘）+3 台算力服务（单台 32 核 CPU、128G 内存、48G 显存（2A10）、200G 磁盘），部署后端服务 + MySQL 数据库 + 向量数据库 + Redis

该任务指导用户通过漏洞扫描服务对已添加的Linux主机进行扫描授权。 前提条件 已获取管理控制台的登录账号与密码。 已添加Linux主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。 8. 单击“确定”，Linux主机授权成功。

本节介绍如何通过漏洞扫描服务为Linux系统的主机配置跳板机。 操作场景 该任务指导用户通过漏洞扫描服务为Linux系统的主机配置跳板机。 说明 当前仅支持添加Linux系统跳板机。 前提条件 已获取管理控制台的登录账号和密码。 已添加Linux系统的主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要添加跳板机的主机，单击“批量配置跳板机”。 说明 用户也可以单台主机添加跳板机，在目标主机所在行的“操作”列，单击“配置跳板机”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 在“配置跳板机”对话框中，选择已有跳板机，或者单击“添加新的跳板机”，添加跳板机，如下图所示。 说明 如果需要修改已有跳板机，单击“编辑”，进行修改。 如果需要删除已有跳板机，单击“删除”，删除跳板机。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，配置说明如下表所示。 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 7. 单击“确定”，跳板机配置成功。 如果需要解除绑定主机的跳板机，在目标主机的“操作”列，单击“更多 > 解除跳板机”，解除跳板机。