主机漏洞扫描主要包含对应用服务、网络设备、安全设备等相关主机设备的漏扫扫描以及对应主机安全的相关服务和操作系统的漏洞进行扫描。本小节介绍安全专区主机漏洞。 漏洞数据来源 【资产管理】→【服务器】中，点击【扫描】，将漏洞数据同步到【主机漏洞】模块。 趋势分析图默认展示当前一周的数据，通过右上角可筛选不同的时间段查看趋势图： 安全管理中心 记录漏洞状态、漏洞所存在风险值，对时间段内所存在漏洞进行趋势分析。 1.点击【未处理漏洞数量】或者【风险项】（风险项颜色标注高、中、低风险）。 2.点击柱状图可筛选出相应的数据。 3.筛选出相应结果。 4.鼠标移至【趋势分析】中的曲线上，即可查看已处理漏洞、未处理漏洞、产生时间和处理时间。 5.点击【主机漏洞Top10】，查看详细漏洞分析、漏洞产生原因。 6.选择导出漏洞信息文件，确定保存即可。 7.对于某一个特定的风险终端进行精准定位，展示主机漏洞产生原因并记录扫描方案。 8.点击漏洞描述下的查看设置，展示风险的具体描述及其解决方案。

本节介绍如何查看告警信息及处理告警。 查看告警列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“安全告警”，进入安全告警页面。 3. 在页面上方切换云防火墙实例。 说明 默认展示近一天的告警，可在页面右上角自定义查看的时间范围。 查看告警详情 单击告警列表操作列的“详情”，进入告警详情页面。在该页面可以查看告警的详细信息。 处理告警 若您已手动处理告警，可将其“标记为已处理”，标记后，告警的状态将从“未处理”变为“已处理”。 操作步骤：单击“标记为已处理”，在弹出的确认框中，单击“确定”。

本章节主要介绍数据仓库服务如何创建集群。 在使用DWS 执行数据分析任务前，您首先要创建一个集群，一个DWS 集群由多个在相同子网中的节点组成，共同提供服务。请参考以下指导创建集群。 创建集群 1.登录DWS 管理控制台。 2.单击左侧导航栏的“集群管理”。 3.在“集群管理”页面，单击右上角“创建数据仓库集群”。 4.选择待创建的集群所属的区域。 区域 ：选择集群所属的工作区域。 可用分区 ：默认即可。 5.选择主机规格。 产品类型 ：根据客户需求选择，例如“ 云数仓 ”类型。 CPU 架构 ：根据客户需求选择，例如“ X86 ”架构。 节点规格 ：默认即可。 节点数量 ：默认即可，至少3个。 6.配置网络参数。 虚拟私有云 ：可以在下拉框中选择已有的虚拟私有云，如果未配置过虚拟私有云，可以单击“查看虚拟私有云”进入虚拟私有云管理控制台，新创建一个虚拟私有云例如“vpcdws”。然后回到DWS 管理控制台的创建集群页面，单击“虚拟私有云”下拉框旁边的进行刷新，再选择新创建虚拟私有云。 子网 ：创建虚拟私有云时会默认创建一个子网，您可以选择对应的子网名。 安全组 ：选择“自动创建安全组”。 自动创建的安全组，将被命名为“DWS ”，出方向允许所有访问，入方向只开放“数据库端口”以允许来自客户端或应用程序的访问。 如果您选择的是自定义创建的安全组，则需要在该安全组中添加一条入方向的规则，向访问DWS 的客户端主机开放DWS 集群的“数据库端口”，如下表所示。添加入规则的具体操作请参见《虚拟私有云用户指南》中的“安全性 > 安全组 > 添加安全组规则”章节。 安全组入规则配置样例 参数名 样例值 协议/应用 TCP 端口 8000 说明 输入创建DWS集群时设置的“数据库端口”，这个端口是DWS用于接收客户端连接的端口，默认为8000。 源地址 选择“IP地址”，输入访问DWS的客户端主机的IP地址和子网掩码，例如“192.168.0.10/16”。 公网访问 ：选择“现在购买”为集群购买一个弹性IP作为集群公网IP。并且，在“带宽”参数中设置弹性IP的带宽。 7.填写集群配置参数。 集群名称 ：输入“dwsdemo”。 集群版本 ：显示为当前集群版本，暂不支持修改。 默认数据库 ：显示为“gaussdb”。暂不支持修改。 管理员用户 ：默认为“dbadmin”，使用默认值即可。集群创建成功后，客户端连接集群数据库时将使用该数据库管理员用户及其密码。 管理员密码 ：输入密码。 确认密码 ：重复输入一次数据库管理员密码。 数据库端口 ：默认即可。客户端或应用程序将通过该端口连接集群中的数据库。 详见下图： 集群配置 8.配置集群所属的“企业项目”。已开通企业项目管理服务的用户才可以配置该参数。默认值为default。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 您可以选择默认的企业项目“default”或其他已有的企业项目。如果要创建新的企业项目，请登录企业管理控制台进行创建，详细操作请参考企业项目管理用户指南。 9.高级配置，在本示例中，选择“默认配置”即可。 默认配置 ：表示以下几项高级配置使用系统默认的配置。 CN部署量：CN即协调节点，默认部署3个CN节点。 自定义 ：选择该选项时页面上将显示CN部署量、这几项高级配置，需要用户进行自定义设置。 10.单击“立即创建”，进入“规格详情”页面。 11.单击“提交”。 提交成功后开始创建。单击“返回集群列表”返回集群管理页面，所创集群的初始状态为“创建中”，集群创建需要时间，请等待一段时间。创建成功后状态更新为“可用”，用户可以开始使用集群。

本章节主要介绍安装配置物理机监控agent。 操作场景 当您购买了一台物理机后，了解其运行状态一定是您的迫切需求，天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。本章节指导您如何为物理机服务器安装及配置Agent插件。 前提条件 物理机服务器可以正常使用。 物理机服务器内DNS Server正常工作，配置方法请参考内网DNS与安全组配置。 操作步骤 1. 添加域名解析地址：在物理机“/etc/resolv.conf”文件中添加各区域域名解析地址。 2. 修改子网DNS地址：按物理机所在区域修改子网的DNS服务器地址。 3. 配置安全组：用于下载Telescope包、发送指标数据、采集日志等。 此第三步请参见内网DNS与安全组配置。 4. 下载telescope安装包，访问地址参考云监控服务安装Agent（Linux）。 5. 安装Agent：手动为物理机安装Agent，实现主机监控。 此步请参见安装配置云监控服务安装Agent（Linux）。 6. 配置Agent，使用root账号，登录物理机。 7. 执行以下命令，切换至Agent安装路径的bin下。 cd /usr/local/telescope/bin 8. 修改配置文件conf.json。 a. 执行以下命令，打开配置文件conf.json。 vi conf.json b. 修改文件中的参数，具体参数请参见下表。 { "InstanceId":"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "ProjectId": "b5b92ee0xxxxxxxxxxxxxxxxcab92396", "AccessKey": "QZ0XGJXFxxxxxxxxT65R", "SecretKey": "lEv2aXAGwxxxxxxxxxxxxxxxxxxxxF8t0Bf18Tn2", "RegionId": "cnhz1" } 公共配置参数 参数 说明 :: InstanceId 物理机ID，可通过登录管理控制台，在物理机列表中查看。 说明 InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，请参考下两条。 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 InstanceId必须与实际的物理机资源ID一致，否则云监控界面将看不到对应物理机资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看物理机资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证>管理访问秘钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 注意 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。 配置的AccessKey必须在“我的凭证 >管理访问秘钥”列表中，否则将鉴权失败，云监控界面看不到操作系统监控数据 RegionId 区域ID，例如：物理机资源所属区域为“杭州”，则RegionID为“cnhz1”。 9. 修改云监控指标采集模块的配置文件confces.json。 a. 执行以下命令，打开公共配置文件confces.json。 vi confces.json b. 修改文件中的参数，具体参数请参见下表。 { "Endpoint": " } 指标采集模块参数配置 参数 说明 :: Endpoint 物理机资源所属区域的云监控Endpoint URL，例如：物理机资源所属区域为“杭州”，则URL中使用“ces.cnhz1.ctyun.cn”。 说明 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，等待35分钟，刷新即可。 10. 管理Agent ，查看Agent状态。 11. 登录天翼云物理机服务器，执行以下命令，查看Agent状态。 service telescoped status 当系统返回以下内容，则表示Agent为正常运行状态。 "Telescope process is running well." 启动Agent 执行以下命令，启动Agent。 /usr/local/telescope/telescoped start 重启Agent 执行以下命令，重启Agent。 /usr/local/telescope/telescoped restart 停止Agent 执行以下命令，停止Agent。 service telescoped stop 说明 如果Telescope安装失败，可能会导致无法正常停止Agent，可通过执行以下命令进一步尝试： /usr/local/telescope/telescoped stop 卸载Agent 用户可手动卸载Agent插件，卸载后将不再监控BMS实例监控数据。如需再次使用，请参考安装Agent重新安装。 执行以下命令，即可卸载Agent。 /usr/local/telescope/uninstall.sh 12. 查看监控指标 以上配置完成后，进入控制台界面，选择“管理与部署 > 云监控”，在左侧导航栏选择“主机监控 > 物理机”，列表展示该物理机的名称/ID、主机状态、插件状态等信息。

常见问题规避 1. IP地址冲突：规划阶段严格校验各VPC CIDR范围，禁止重叠。 2. 路由环路：避免在多个对等连接互通的情况下，在VPC的路由表中配置重复目的地址路由条目。 3. 安全组过度开放：禁止配置 0.0.0.0/0 允许所有端口，按需细化规则。 通过以上设计，可在天翼云单地域多VPC环境下实现 安全隔离、灵活互通、成本可控 的云网络架构，适用于中大型企业多业务线协同或复杂业务分层场景。

本节介绍了用户创建弹性云主机成功后远程登录提示密码错误的处理方法。 处理方法 通过检查弹性云主机的网络配置，是否导致弹性云主机Cloudinit失败，检查步骤如下： 弹性云主机所在安全组80端口“出方向”和“入方向”是否放通。 弹性云主机所在子网DHCP是否放通。 说明 弹性云主机所在的安全组80端口、弹性云主机子网DHCP放通后，重启弹性云主机，等待3～5分钟，远程登录输入密码或密钥可以登录。

本文主要介绍如何使用客户端优化设置能力。 背景说明 针对系统老旧或性能不足的老旧低配设备，管理员通常期望可以自适应降级安全策略以保障设备可以正常使用。 操作步骤 1.登录边缘安全加速控制台，进入AOne终端管理或者AOne零信任工作台。 2.在左侧导航栏，选择设置客户端设置优化设置，查看相应的配置和管理。 3.可根据业务需求进行相关配置操作。 功能说明 注意 客户端版本：需为2.23.10及以上客户端，目前支持Windows客户端。 满足任意一点即为老旧低配设备： 1. 系统老旧（Windows 7、Windows 7 SP1 、Windows 8、Windows 8.1）。 2. 性能配置不足（2C≤CPU<4C 或 4G≤内存<8G），此处CPU指逻辑4核。 当打开此开关时，将针对老旧低配设备做安全策略自适应调整，保障设备安全的同时缓解性能压力。自适应调整说明如下： 1. 文件实时防护自适应降级，即不会触发高等级防护。 2. 局域网共享防护自动关闭。

本章节为您介绍云审计支持哪些关键操作 云审计服务（Cloud Trace Service，简称CTS），是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后，系统开始记录云堡垒机实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。 操作名称 资源类型 事件名称 启动堡垒机实例 cbh StartInstance 关闭堡垒机实例 cbh StopInstance 重启堡垒机实例 cbh RebootInstance 升级堡垒机实例 cbh UpgradeInstance 回退升级的堡垒机实例 cbh RollbackInstance 重置堡垒机实例admin密码 cbh ResetInstancePassword 重置堡垒机实例admin登录方式 cbh ResetInstanceLoginMethod 删除故障云堡垒机实例 cbh DeleteInstance 变更堡垒机实例 cbh ResizeInstance 创建堡垒机实例 cbh CreateInstance 堡垒机实例绑定弹性公网IP cbh InstallInstanceEip 堡垒机实例解绑弹性公网IP cbh UninstallInstanceEip 修改堡垒机实例安全组 cbh UpdateInstanceSecurityGroup 切换堡垒机虚拟私有云 cbh SwitchInstanceVpc

本文介绍如何查看集群节点详情。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面 3. 单击节点列表中的“节点名称”，可以查看节点的详细信息。 4. 在节点信息页面可以查看节点信息、集群组件信息、防御容器健康状态，节点的CPU占用、内存占用、磁盘占用率资源使用情况等信息。 5. 查看软件漏洞：在软件漏洞页面，可以查看该节点扫描的漏洞统计信息，存在高危、中危和低危的漏洞数量，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 6. 查看软件列表：软件列表页面展示当前节点中的软件包信息，包括软件名称、版本、文件路径、软件类型、漏洞数量等信息。单击软件前的“＋”号，可查看该软件的漏洞详情，再单击漏洞编号前的“＋”号，可查看该漏洞的介绍和参考网址等信息。

易扩展 按需扩展：SharedNothing开放架构，可随时根据业务情况增加节点，扩展系统的数据存储能力和查询分析性能。 扩容后性能线性提升：容量和性能随集群规模线性提升，线性比0.8。 扩容不中断业务：扩容过程中支持数据增、删、改、查，及DDL操作(Drop/Truncate/Alter table)，表级别在线扩容技术，扩容期间业务不中断、无感知。 高可靠 ACID 支持分布式事务ACID（Atomicity，Consistency，Isolation，Durability），数据强一致保证。 全方位HA设计 DWS所有的软件进程均有主备保证，集群的协调节点（CN）、数据节点（DN）等逻辑组件全部有主备保证，能够保证在任意单点物理故障的情况下系统依然能够保证数据可靠、一致，同时还能对外提供服务。 安全 DWS支持数据透明加密，同时可与数据库安全服务（DBSS）对接，基于网络隔离及安全组规则，保护系统和用户隐私及数据安全。DWS还支持自动数据全量、增量备份，提升数据可靠性。

本节介绍了如何使用密钥对的相关内容。 问题描述 用户在购买弹性云主机时会选择弹性云主机的规格及登录方式，如果选择密钥对登录方式，需要选择已有密钥对或创建新的密钥对。 如果没有可用的密钥对，请在控制台创建新的密钥对进行使用。 处理方法 1. 在云主机控制台左侧导航栏中选择“密钥对”，并单击“创建密钥对”。 2. 创建成功后，下载私钥到本地。 3. 在购买弹性云主机时，在“密钥对”处选择已创建或已有的密钥对。

本章介绍使用限制内容。 配额 容器镜像服务对单个用户的组织数量限定了配额。 当前容器镜像服务的配额如下表所示。如果您需要添加更多的组织，请提交工单申请。 资源类型 配额 组织数量 5 上传镜像限制 使用客户端上传镜像，镜像的每个layer大小不能超过10G。 使用页面上传镜像，每次最多上传10个文件，单个文件大小（含解压后）不得超过2G。 特性限制 苏州和广州4资源池已开启IPV6双栈特性，您使用Docker或containerd容器镜像时，能够同时兼容IPV4和IPV6协议。

本文档提供了VPN连接API的描述、语法、参数说明及示例等内容。 现已支持的资源池 资源池 状态 :: 广州6 √ 合肥2 √ 湛江 √ 宁波边缘云 √ 西安5 √ 西宁政务云 √ 玉溪 √ 乌鲁木齐4 √ 厦门3 √ 十堰1 √ 福州4 √ 佛山3 √ 兰州2 √ 固原政务云 √ 吴忠政务云 √ 石嘴山政务云 √ 内蒙6 √ 襄阳 √ 南京4 √ 上海7 √ 西安4 √ 南宁2 √ 武汉4 √ 昆明2 √ 晋中1 √ 北京5 √ 南京3 √ 海口2 √ 成都4 √ 中卫2 √ 西宁2 √ 杭州2 √ 贵州3 √ 芜湖2 √ 拉萨3 √ 泉州1 √ 福州3 √ 重庆2 √ 西安3 √ 雄安2 √ 郴州2 √ 九江 √ 南京2 √

名称 二级节点 三级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 pageNum Integer 页码 pageSize Integer 每页最大条数 total Integer 总记录数 pageTotal Integer 总页数 List Array confirmFlag Boolean 通知是否确认，true为已确认 notifyContent String 通知内容： 实例创建是否成功、实例已删除、实例已暂停 notifyId Integer 通知唯一ID notifyLevel String 通知等级： notice:普通通知 warning:提醒通知 notifyTime String 创建时间 notifyType String 通知类型： InstanceOperation：实例操作 updateTime String 更新时间 userId Long 用户ID

操作 说明 修改任务保留时间 单击“任务保留时间”下拉列表，根据需要选择时长，可选天数范围为1~30天。 搜索任务 在搜索框中输入待搜索内容，单击 “搜索符号”搜索，即可在页面中查看搜索结果。 删除任务 在列表中勾选待删除的任务，单击“删除”，即可将所选任务从回收站中删除。 恢复任务 在列表中勾选待恢复的任务，单击“恢复”，即可将所选任务恢复到编译构建服务的任务列表中。 清空回收站 单击“清空回收站”，可将回收站中所有任务删除。

如预付费用户出现余额不足的情况（低于100元），云日志服务会自动停止，不再提供读写和索引服务。用户所占用的云日志存储空间资源仍会持续扣费。如果涉及日志转储，相关情况可参考对象存储产品在余额不足后的服务状态介绍。在云日志服务最后存储的日志达到7天后，云日志的存储功能不再进行扣费。所有存储的日志内容将被销毁。 用户一旦充值大于100元，云日志服务将重新开始服务，相关日志读写、索引与存储功能将恢复正常。

本文为您介绍接入域名时，如何配置放行回源IP地址段。 WAF使用特定的回源IP段，将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护后，您需要将回源IP段添加到源站安全软件的白名单中，放行该回源IP段。 为什么要放行回源IP段 WAF采用CNAME的方式将原本去向网站的请求转向到WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。此时由于网站接入WAF，访问网站的IP实际上变成了WAF的回源IP段，从网站的角度来看，访问其的来源IP变得更加集中，访问频率变得更高，服务器上的防火墙或安全软件很容易认为这些IP在发起攻击，从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑，WAF的请求将无法得到源站的正常响应。因此，在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 注意 将源站加入白名单的操作需要将源站的回源IP加入到业务整个访问链路上所有安全设备的白名单，例如边界防火墙白名单、IPS设备白名单、源站服务器中的安全组白名单以及服务器上具备访问控制能力的安全软件的白名单等。

参数 参数说明 集群名称 集群的名称，创建集群时设置。单击 可对集群名称进行修改。 当MRS集群为MRS 3.x之前版本时，修改集群名称后仅MRS管理控制台界面显示的集群名称修改，MRS Manager中集群名称不会同步修改。 集群状态 集群状态信息，请参见 集群管理页面 Manager页面入口。 针对MRS 3.x及以后版本，具体请参见 。 针对MRS 3.x之前版本，需要根据提示绑定弹性公网IP及添加安全组规则后才能进入MRS Manager页面，具体请参见 访问MRS Manager（MRS 2.x及之前版本） 。 具体操作请参见 访问FusionInsight Manager（MRS 3.x及之后版本） 。 集群版本 MRS版本信息。 集群类型 支持以下集群类型： 分析集群：用来做离线数据分析，提供的是Hadoop体系的组件。 流式集群：用来做流处理任务，提供的是流式处理组件。 混合集群：既可以用来做离线数据分析，也可以用来做流处理任务，提供的是Hadoop体系的组件和流式处理组件。 自定义：全量自定义组件组合的MRS集群，MRS 3.x及之后版本支持此类型。 集群ID 集群的唯一标识，创建集群时系统自动赋值，不需要用户设置。 创建时间 显示集群创建的时间。 可用区 集群工作区域下的可用区，创建集群时设置。 默认生效子网 子网信息，创建集群时所选。 当子网IP不足时，单击“切换子网”切换到当前集群相同VPC下的其他子网，实现可用子网IP的扩充。切换子网不会影响当前已有节点的IP地址和子网。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 弹性公网IP 通过将弹性公网IP与MRS集群绑定，实现使用弹性公网IP访问Manager的目的。 OBS权限控制 单击“单击管理”，修改MRS用户与OBS权限的映射关系，具体请参考 数据连接 单击“单击管理”，查看集群关联的数据连接类型，具体请参考 委托 单击“管理委托”，为集群绑定或修改委托。 通过绑定委托，您可以将部分资源共享给ECS或BMS云服务来管理，例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见 密钥对 密钥对名称，创建集群时设置。 如果创建集群时设置的登录方式为密码，则不显示。 Kerberos认证 登录Manager管理页面时是否启用Kerberos认证。 日志记录 用于收集集群创建失败及扩缩容失败的日志。 安全组 集群的安全组名称。 数据盘密钥名称 用于加密数据盘的密钥名称。如需对已使用的密钥进行管理，请登录密钥管理控制台进行操作。 数据盘密钥ID 用于加密数据盘的密钥ID。 IAM用户同步 可以将IAM侧用户信息同步至MRS集群，用于集群管理。具体请参见 说明 集群详情页的“组件管理”、“租户管理”和“备份恢复”页签需要同步用户后方可使用。MRS 3.x版本集群同步后可使用“组件管理”。 通讯安全授权 展示安全授权状态，通过 可关闭和开启安全授权。关闭安全授权属于高危操作，请谨慎处理。详细信息请参考

配置暴力破解规则 说明 Agent 版本低于 5.1.0，不支持配置自定义规则功能，使用此功能需升级 Agent 版本。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在暴力破解模块，单击“规则配置”按钮，开始暴力破解规则设置。 4. 配置暴力破解规则参数。 参数说明如下： 参数 说明 检查阈值 配置服务器在一段时间内连续登录失败超过的次数。 时间配置限制：11440分钟。 登录失败次数限制：1100次。 封禁时长 选择封禁时长，支持选择：不封禁、5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时。 防护场景 选择需要配置的防护场景，默认选择RDP暴力破解 、SSH暴力破解 ，支持选择FTP暴力破解 、MySQL暴力破解 、SQLServer暴力破解。 5. 当所有字段都设置完成后，单击“确认”。 配置勒索诱饵防护 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在勒索诱饵防护模块，单击“配置规则”，开始配置勒索诱饵防护。 4. 在页面右侧弹出的防护设置页面，配置防护参数。 参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动隔离。 手动处理：人工手动对勒索病毒文件进行处理。 自动隔离：检测出勒索病毒文件自动隔离。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。 指定防护目录 根据用户的特定防护场景，可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 5. 配置完成后，单击“确认”。 绑定存储库：选择一个可用状态的存储库，备份数据大小应小于存储库剩余容量。

本章节为您介绍服务版本差异。 数据分类分级实例 数据安全专区的数据分类分级实例仅有标准版可选择。 版本 支持纳管的数据库数量 支持的数据库字段数 产品能力 标准版 4/8/16/32 3万/7万/15万/30万字段以内 提供流程化的数据分类分级能力 数据脱敏与水印实例 数据安全专区的数据脱敏与水印实例支持标准版、高级版、企业版三种规格供您选择。 版本 支持纳管的数据库数量 数据脱敏能力 水印溯源能力 基本数据库 国产数据库 大数据组件 标准版 4/8/16/32 √ √ √ × × 高级版 4/8/16/32 √ √ √ √ × 企业版 4/8/16/32 √ √ √ √ √ 数据库安全网关 数据安全专区的数据库安全网关实例仅有标准版可选择。 版本 支持纳管的资产数量 产品能力 标准版 4/8/16/32 提供数据库准入、访问控制、攻击防护、动态脱敏、 运维审批等多种能力 API安全网关 API安全网关支持标准版 、高级版 、企业版 、旗舰版。 版本 TPS指标 API全生命周期管理 API攻击防护 API访问控制 API动态脱敏 API数据水印 标准版 2000 √ √ √ √ √ 高级版 4000 √ √ √ √ √ 企业版 6000 √ √ √ √ √ 旗舰版 20000 √ √ √ √ √

本小节介绍证书管理服务术语解释。 SSL证书 SSL证书是一种数字证书，用于在互联网上建立安全通信连接。SSL代表安全套接层（Secure Sockets Layer），它在客户端和服务器之间创建加密通道，确保敏感数据在传输过程中不会被未经授权的第三方截获或篡改。 签发（CA）机构 签发机构（Certificate Authority，CA）是一种可信的第三方机构，负责验证和签发数字证书。CA在互联网通信中发挥重要作用，确保通信的安全性和可靠性。 证书有效期 证书有效期指的是数字证书的有效时间范围，即从SSL证书的颁发日期到过期日期之间的时间段。在这段有效期内，SSL证书被认为是可信和有效的。 HTTPS加密协议 HTTPS（Hypertext Transfer Protocol Secure）是一种通过加密和身份验证来保护数据传输安全的网络通信协议。它是基于HTTP协议的安全版本，通过使用SSL（Secure Sockets Layer）或TLS（Transport Layer Security）协议来实现通信的加密和认证。 域名类型 证书域名类型分为单域名证书、通配符证书（泛域名证书）和多域名证书，不同域名类型的证书对应了它们适用的域名范围： 单域名证书适用于单个特定域名，例如：ctyun.cn。 通配符证书（泛域名证书）适用于一个主域名及其所有的子域名。 多域名证书可适用于多个相似域名，例如：ctyun.cn、ctyun.com、ctyun.com.cn、.ctyun.cn。

本文带您了解并行文件服务 HPFS 产品相关术语。 文件系统 文件系统是操作系统中用于管理和存储数据文件的层次结构。它负责将存储设备上的数据组织成文件和目录，并提供文件的创建、读取、写入、删除等操作接口。文件系统决定了数据的存储方式、命名规则、访问权限等。 文件是用户数据与其相关属性信息（元数据）的集合体，用户的数据以文件的形式保存在文件系统中。 并行文件是文件系统的一种，专为支持并行计算、并行访问而设计，能够高效处理大规模数据的并行读写操作。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称 VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在 VPC 中定义安全组、VPN、IP 地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 子网 子网是用来管理弹性云主机网络平面的一个网络，可以提供 IP 地址管理、DNS 服务，子网内的弹性云主机 IP 地址都属于该子网。默认情况下，同一个 VPC 的所有子网内的弹性云主机均可以进行通信，不同 VPC 的弹性云主机不能进行通信。 POSIX 文件访问接口 POSIX（Portable Operating System Interface）文件访问接口是一种标准的文件访问接口，用于在不同操作系统之间提供统一的文件访问方式。 并行文件服务向应用提供标准的 POSIX 文件访问接口，使得用户可以像访问本地文件一样访问存储在并行文件系统中的文件。

本节介绍如何处理检测结果。 当接收到检测结果后，您可标记结果处理状态。 忽略：如果确认该检测结果不会造成危害，在“忽略风险项”窗口记录“处理人”、“忽略理由”，可标记为“已忽略”状态。 标记为线下处理：如果该检测结果已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。 说明 由于SA中的检测结果汇聚了企业主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务上报的告警数据，因此，处理检测结果时须注意以下顺序： 1. 需先在SA检测结果详情页面查看来源。 2. 前往来源服务进行优先处理。 3. 处理后再到SA中来标记结果处理状态。 例如，告警显示来源产品名称为HSS，则需在HSS控制台上进行处理后，再在SA中进行标记处理。 前提条件 已接收到安全产品的检测结果。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检测结果”，进入全部结果管理页面。 4. 筛选检测结果。 5. 批量标记检测结果。 选择一个或多个“未处理”状态的结果，单击“忽略”或“标记为线下处理”，对不同检测结果批量执行相应的处理操作。 6. 单个标记检测结果。 在结果列表对应“操作”列，单击“忽略”或“标记为线下处理”，对单个检测结果执行相应处理操作。 在结果详情窗口，右下角单击“忽略”或“标记为线下处理”，对单个检测结果执行相应处理操作。

本页介绍了三种规格文档数据库服务特性，以及新建并连接实例的操作流程。 三种规格特性及适用场景 文档数据库服务提供了集群版、副本集和单机版三种规格的实例，分别采用不同的部署架构，能够满足不同的业务场景。 集群版 分片集群提供Mongos、Shard、ConfigServer三类节点，每个Shard和ConfigServer基于副本集（每个副本集使用三节点主从模式）组成。 适用于高并发读写的场景，可以自由地选择Mongos和Shard节点的个数和配置，扩展性能及存储空间，构建不同性能的分片集群实例，满足不同的业务需求。 副本集 副本集提供不同角色的节点，一个可供读写的Primary节点，一个、三个或五个提供高可用的Secondary节点，一个隐藏的Hidden节点，0~5个只读的ReadOnly节点。 适用于需要保证高可用，读多写少的中小型业务系统，可按需增加Secondary节点和ReadOnly节点，扩展读性能。 单机版（单节点） 单机版仅部署一个节点在虚拟机上，没有高可用等高级特性，优点是性价比高。 适用于研发测试、学习培训、以及非企业核心数据存储的场景。 新建并连接数据库 1. 新建实例 根据业务需要定制相应计算能力和存储空间的实例。 2. 设置安全组 将需要连接实例的设备添加至实例的安全组访问规则中，以允许外部设备能够访问该实例。 使用内网连接实例，当实例和弹性云主机处于不同安全组时，或者使用公网连接实例时，需要配置安全组访问规则。 3. 绑定弹性IP（可选） 如果要使用公网地址连接实例，需要先申请并绑定弹性公网IP。 4. 连接实例 提供内网、公网、程序代码连接单机版（单节点）、副本集、分片集群实例的操作。

本节介绍如何授权用户使用服务器安全卫士（原生版）服务。 服务器安全卫士（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制服务器安全卫士（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 IAM策略说明 天翼云为服务器安全卫士（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 ctcsscn admin 服务器安全卫士所有权限。 系统策略 全局级 ctcsscn viewer 服务器安全卫士只读权限。 系统策略 全局级

本节介绍如何查看集群审计日志。 查看事件统计 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看事件统计信息：统计信息分为审计事件总数、操作用户总数、添加事件总数、删除事件总数、更新事件总数、查看事件总数、操作类型分布、资源操作分布、返回状态码、操作用户分布，帮助客户更直观的查看集群内的异常事件分布。 查看日志列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看页面下方的审计日志列表，方便用户溯源事件。 日志列表内，支持按照“安全状态”、“日志级别”、“日志所属阶段”、“操作对象”、“操作类型”、“对应客户端”、“客户端节点IP”、“API响应状态”进行筛选查询。 日志信息参数说明： 参数 说明 日志级别 审计日志根据日志策略可以选择事件保存的等级，根据等级不同，APIServer记录日志的详细程度也不同。 目前支持的日志等级有： None：不记录日志。 Metadata：只记录Request的一些metadata（例如user, timestamp, resource, verb等），但不记录Request或Response的body。 Request：记录Request的metadata和body。 RequestResponse：最全记录方式，会记录所有的metadata、Request和Response的Body。 日志所属阶段 审计日志根据日志策略可以选择在事件执行的某个阶段记录。 目前支持的事件阶段有： RequestReceived：接收到事件且在分配给对应handler前记录。 ResponseStarted：开始响应数据的Header但在响应数据Body发送前记录，这种一般应用在持续很长的操作事件，例如watch操作。 ResponseComplete：事件响应完毕后记录。 Panic：内部出现panic时记录。 操作对象 操作的资源类型。 所在集群 操作对象所属集群。 操作类型 操作类型分为get获取、watch监控、list获取、update更新、create创建、patch修改、delete删除这些类型。 update和patch的区别：update请求需要将整个修改后的对象提交给 k8s；而patch请求只需要将对象中某些字段的修改提交给k8s。 对应客户端 事件服务的客户端名称（在userAgent中定义）。 访问源IPv6/IPv4 事件服务的客户端所在节点的IP地址。 API响应状态 API响应状态码分为以下几类： “1XX”为信息性状态码（informational）。 “2XX”为成功状态码（Success）。 “3XX”为重定向状态码（Redirection）。 “4XX”为客户端错误状态码（Client Error）。 “5XX”为服务端错误状态码。 常用的状态码解释说明如下： 200：OK，请求成功，具体意义根据请求所使用的方法不同而不同。 201：Created，请求成功并创建了资源； 403：Forbidden，表示身份认证通过了，但是对服务器请求资源的访问被拒绝了； 404：Not Found，表示服务器找不到你请求的资源； 409：Conflict，表示请求与服务器当前状态冲突。通常发生在更新资源时，主要是处理并发问题的状态码。 500：Internal Server Error，表示服务器执行请求的时候出错了。 API请求URL API请求URL的地址。 安全状态 安全状态分为正常和异常这两种，异常是指触发了内置策略的事件。 请求时间 事件的请求时间。 4. 单击日志列表内的下拉按钮，可展开查看事件的json格式详情。

快速交付 提供软硬一体化交付方案，预置大模型、混合云管平台及高性能基础设施，支持全流程自动化部署，最快仅需2天即可完成环境搭建。 全栈管理 打造全栈式管理平台，涵盖计算、存储、网络及大模型资源的一站式管理功能，支持大模型的纳管调用，助力用户快速构建专属问答助手。 安全可控 确保本地化部署，满足政务、医疗等行业"数据不出机房"的安全要求，同时通过严格的权限隔离机制，全面保障信息安全。 极简运维 多维度监控、告警数据，帮助用户提前发现业务运行隐患；属地化运维和724小时在线服务，全方位解决客户后顾之忧。

天翼云智能体引擎（Agent Engine）是一款面向企业级Agent的基础设施服务，为开发者和企业提供安全、弹性、可扩展的云端沙箱运行环境，助力 AI Agent 在多场景下稳定运行与规模化部署。 产品架构 产品功能 功能模块 说明 Agent运行时 负责管理智能体运行、会话和资源调度等核心能力的运行引擎/框架 Agent沙箱 提供安全隔离的云端沙箱运行环境，支持多种类型Agent执行和调用 Agent工具库 集中管理Agent执行需要的工具、模型及存量系统MCP服务，提升智能体的系统交互能力，支持快速集成与便捷调用 认证与权限 统一管理凭证机权限控制，保障调用链交互过程的安全性与合规性

本节介绍服务器安全卫士（原生版）与其他云服务关系。 统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本节介绍了MySQL功能约束与限制。 关系型数据库服务上的RDS for MySQL在使用上有一些固定限制，用来提高实例的稳定性和安全性，具体详见下表。 MySQL功能约束与限制 功能 使用限制 数据库访问 如果关系型数据库实例没开通公网访问，则该实例必须与弹性云主机在同一个虚拟私有云内才能访问。 关系型数据库只读实例必须创建在与主实例相同的一个子网内。 弹性云主机必须处于目标关系型数据库实例所属安全组允许访问的范围内。 如果关系型数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在关系型数据库的安全组添加一条“入”的访问规则。 RDS for MySQL实例的默认端口为3306，需安全组放开后，才能访问其它端口。 部署 实例所部署的弹性云主机，对用户都不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的root权限 创建实例页面只提供管理员root用户权限。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 RDS for MySQL存储引擎 MySQL数据库只有InnoDB存储引擎支持完整的备份、恢复等服务功能，因此RDS for MySQL推荐使用InnoDB引擎,不支持MyISAM引擎、FEDERATED引擎和Memory引擎。 搭建数据库复制 RDS for MySQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备实例不对用户开放，用户应用不可直接访问。 支持的表数量 RDS for MySQL支持表数量上限为50万。 大于50万张表时，会导致备份和小版本升级失败，影响数据库可用性。 重启RDS实例 无法通过命令行重启，必须通过关系型数据库服务的管理控制台操作重启实例。 创建只读实例 只有存储类型是极速型SSD的主备实例或者主实例才能创建存储类型是极速型SSD的只读实例。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

本章介绍如何在控制台创建副本集实例、以及创建后如何设置安全组、并通过内网连接副本集实例。 操作场景 本章介绍如何在控制台创建副本集实例、以及创建后如何设置安全组、并通过内网连接副本集实例。 使用流程 初次创建实例到可以开始使用实例，您需要完成如下操作： 内网访问数据库实例