本章节介绍如何查看AI网关的实例详情。 操作步骤 1. 登录AI网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择AI网关实例，点击目标实例名称或实例id，进入实例详情。 3. 跳转至实例概览页，查看实例信息、接入点、可观测信息、消费者认证等。 实例信息 基本信息 查看实例ID、名称、付费类型、创建时间、更新时间等信息。 运行信息 查看实例的业务状态、运行状态、实例规格等信息。 网络信息 查看实例的可访问端口、地区、可用区、VPC、子网、安全组等信息。 实例节点 查看实例节点列表，包括VPC的IPv4、IPv6、http端口、https端口、分布可用区等信息。 接入点 可查看当前实例绑定的弹性负载均衡ELB实例列表。 可观测信息 查看实例的链路追踪、日志投递配置项。 消费者认证 查看实例授权的消费者列表。

ACL支持删除,本文帮助您快速熟悉ACL的删除。 使用场景 当您不在需要使用网络ACL去进行安全防护时，您可以选择删除ACL。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在网络ACL列表页面，点击目标ACL操作列，点击“删除”，在二次确认弹窗中点击“确定”即可删除ACL。 注意 1、对于可用区资源池来说，您需要先解绑子网与ACL的关联关系后，才可执行删除ACL的操作。 2、对于地域资源池来说，您无需解绑子网与ACL，可直接删除ACL。ACL在删除后会自动解除与子网的关联关系。

本文介绍如何购买客户端加密模块。 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，点击“立即开通”。 3. 进入到密钥管理服务订购页面，服务名称选择“客户端加密模块”，选择服务数量（单次最多可购买 1000 个License）。 4. 阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击 “立即购买”。 5. 进入“订单详情”页面，确认支付金额，点击“立即支付”。 6. 完成订单支付，可在“订单详情”页查看订单状态，状态更新为“已完成”后代表服务已开通。 7. 服务开通后，您可在官网帮助文档下载SDK安装包并配置使用。

本文介绍如何购买客户端加密模块。 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，点击“立即开通”。 3. 进入到密钥管理服务订购页面，服务名称选择“客户端加密模块”，选择服务数量（单次最多可购买 1000 个License）。 4. 阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击 “立即购买”。 5. 进入“订单详情”页面，确认支付金额，点击“立即支付”。 6. 完成订单支付，可在“订单详情”页查看订单状态，状态更新为“已完成”后代表服务已开通。 7. 服务开通后，您可在官网帮助文档下载SDK安装包并配置使用。

对等连接产品为您提供灵活快捷的云上多VPC私网互联服务,本文带您了解对等连接的产品优势。 使用灵活，支持同账号、不同账号建连 支持在同一资源池内的同一用户不同VPC之间、不同用户VPC之间以及公有云与专属云的VPC之间创建对等连接。 安全可控，自主授权 不同用户之间的VPC创建对等连接时，需要用户提供对端账户名和VPC ID，且需要对端用户接受才可建立连接。 简单易用，配置灵活 天翼云提供Web管理平台，用户可登陆Web页面轻松实现对等连接创建、修改、删除以及路由策略配置等操作。 内网可达，无公网费用 使用对等连接的两个VPC通信时，通过资源池内部网络进行互通，不会绕行公网，也不产生公网费用。

操作名称 资源类型 事件名称 创建实例 instance NoSQLCreateInstance 删除实例 instance NoSQLDeleteInstance 扩容节点 instance NoSQLEnlargeInstance 缩容节点 instance NoSQLReduceInstance 重启实例 instance NoSQLRestartInstance 恢复到新实例 instance NoSQLRestoreNewInstance 磁盘扩容 instance NoSQLExtendInstanceVolume 重置密码 instance NoSQLResetPassword 修改实例名称 instance NoSQLRenameInstance 规格变更 instance NoSQLResizeInstance 绑定弹性公网IP instance NoSQLBindEIP 解绑弹性公网IP instance NoSQLUnBindEIP 实例冻结 instance NoSQLFreezeInstance 实例解冻 instance NoSQLUnfreezeInstance 创建备份 backup NoSQLCreateBackup 删除备份 backup NoSQLDeleteBackup 设置备份策略 backup NoSQLSetBackupPolicy 添加实例标签 tag NoSQLAddTags 修改实例标签 tag NoSQLModifyInstanceTag 删除实例标签 tag NoSQLDeleteInstanceTag 创建参数模板 parameterGroup NoSQLCreateConfigurations 修改参数模板 parameterGroup NoSQLUpdateConfigurations 修改实例参数 parameterGroup NoSQLUpdateInstanceConfigurations 复制参数模板 parameterGroup NoSQLCopyConfigurations 重置参数模板 parameterGroup NoSQLResetConfigurations 应用参数模板 parameterGroup NoSQLApplyConfigurations 删除参数模板 parameterGroup NoSQLDeleteConfigurations 删除扩容失败的节点 instance NoSQLDeleteEnlargeFailNode 切换SSL instance NoSQLSwitchSSL 修改实例安全组 instance NoSQLModifySecurityGroup 实例导出参数模板 instance NoSQLSaveConfigurations 回收站策略 instance NoSQLModifyRecyclePolicy

本节介绍如何查看云SaaS型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF云SaaS型实例。 查看云SaaS型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 在产品信息页面，可以查看实例版本、到期时间、实例规格等信息，并支持对实例进行管理。 相关操作 升级实例规格和扩展包 续订云SaaS型实例 退订云SaaS型实例

本节主要介绍与其他云服务的关系 弹性云主机（Elastic Cloud Server，ECS） 将源端服务器的系统、应用和文件等数据迁移到天翼云弹性云主机。 弹性IP（Elastic IP，EIP） 创建迁移任务过程中支持采用公网迁移，要求目的端服务器配置有“弹性IP”。 虚拟私有云（Virtual Private Cloud，VPC） 在创建迁移任务前，通过虚拟私有云设置目的端弹性云服务器所在VPC的安全组。 云硬盘服务（Elastic Volume Service，EVS） 迁移任务创建并启动后，主机迁移服务会创建一块临时按需计费EVS卷，迁移完成删除该临时卷。 云审计服务（Cloud Trace Service，CTS） 通过云审计服务收集主机迁移服务操作记录，便于日后的查询、审计和回溯。 对象存储服务（Object Storage Service，OBS） 将源端对象数据迁移至天翼云创建的OBS桶中。

本文为您介绍分布式消息服务MQTT 的入门指引。 本章节将为您介绍分布式消息服务MQTT入门的基本流程，主要包括环境准备、创建实例、连接实例及消息收发，帮助您快速上手MQTT。 操作流程 步骤说明 1.环境准备 创建MQTT实例先要准备好虚拟私有云、子网和安全组，可选弹性公网IP。 2.创建实例 在订购分布式消息MQTT填写和确认实例名称、计费模式等信息，确认费用后点击下一步，等待开通流程结果通知成功后完成创建实例。 3.连接实例 创建用户密码、父主题等管理信息，对用户进行主题授权，绑定弹性IP，终端设备和云端应用通过MQTT客户端接入。 4.消息收发 使用MQTT SDK接入终端连接地址进行消息生产消费。

本文介绍浏览器访问提示:该网页无法正常运作,解决方式。 问题现象 域名接入安全与加速服务后，浏览器访问提示：该网页无法正常运作（ERREMPTYRESPONSE）。可能是因为请求触发了访问控制或者频率控制策略，并且处理动作为丢弃。 排查步骤 1.用客户端IP查看对应的攻击日志（日志与数据分析>实时日志>Web应用攻击日志），判断对应客户端IP是否触发攻击类型为访问控制或者频率控制的策略。 2.如果触发了访问控制或者频率控制策略，并且处理动作为丢弃，建议您如下操作： 如果处理动作为丢弃的防护规则是误配置的，可以将对应规则关闭或者删除。 如果处理动作为丢弃的防护规则是对所有请求进行防护的，但是要允许你使用的ip或者请求的url不受该规则约束，可以将对应ip或url加白，详情请参考防护白名单。 如果以上均无法解决，建议您联系我们协助解决。

本文介绍硬件连接器的路由配置。 功能介绍 当硬件连接器连接网线，接通公网后，即可通过控制台进行路由配置的管理，实现远程、集中配置下发。 操作说明 1. 登录边缘安全加速平台控制台，在首页产品能力选择零信任进入工作台。 2. 在左侧导航栏选择AOne零信任网络连接器管理。 3. 进入连接器实例页面，选择对应的硬件连接器，在操作栏可进行网络管理设置。 4. 在网络管理页面，通过顶部卡片切换，可进入路由配置页面。 路由配置 支持通过控制台下发IPv4静态路由、IPv6静态路由。 配置项 说明 状态 关闭则不向硬件连接器下发该路由配置 接口 选择路由配置需要生效的逻辑接口 目标地址 配置目标地址，如192.168.2.0/24 下一跳 配置下一条地址，如192.168.1.2 度量值 路由将按照最长掩码长度进行匹配。当目标地址一样时，按照度量值进行优先级匹配 度量值越小，优先级越高

本文介绍硬件连接器的路由配置。 功能介绍 当硬件连接器连接网线，接通公网后，即可通过控制台进行路由配置的管理，实现远程、集中配置下发。 操作说明 1. 登录边缘安全加速平台控制台，在首页产品能力选择零信任进入工作台。 2. 在左侧导航栏选择AOne零信任网络连接器管理。 3. 进入连接器实例页面，选择对应的硬件连接器，在操作栏可进行网络管理设置。 4. 在网络管理页面，通过顶部卡片切换，可进入路由配置页面。 路由配置 支持通过控制台下发IPv4静态路由、IPv6静态路由。 配置项 说明 状态 关闭则不向硬件连接器下发该路由配置 接口 选择路由配置需要生效的逻辑接口 目标地址 配置目标地址，如192.168.2.0/24 下一跳 配置下一条地址，如192.168.1.2 度量值 路由将按照最长掩码长度进行匹配。当目标地址一样时，按照度量值进行优先级匹配 度量值越小，优先级越高

本章节介绍如何使用云原生网关实现后端双向TLS认证 概述 云原生网关作为代理服务接收下游服务（DownStream）请求，并转发到上游服务（Upstream）；对于上游服务来说，云原生网关收敛了外部的请求，统一经过网关转发到上游。从安全角度考虑，上游服务可以添加认证鉴权规则实现对网关的身份认证和访问鉴权，确保上游服务安全性；其中一种实现方式就是在上游服务配置TLS策略，要求网关转发请求时提供客户端证书，实现对网关的身份认证，具体流程如下： 云原生网关支持配置证书，用于实现请求后端服务时服务端对网关的证书认证，本文说明具体配置流程。 前提条件 1. 部署后端HTTPS服务，并配置要求请求客户端提供证书； 2. 已开通云原生网关实例； 部署后端服务 我们采用云容器引擎部署后端服务，镜像采用我们的demo应用（已配置证书，并要求客户端请求时提供证书），部署完成后在云容器引擎控制台可以看到容器启动： 还需要部署关联到工作负载的Service，用于暴露工作负载，如下：

备份恢复 业务高峰时执行备份可能会备份失败，建议手动备份选择在业务低峰期间，自动备份建议根据业务需要自定义备份时间段（默认自动备份时间段为01:0002:00 (GMT+08:00)）。 实例写入业务较多时，建议备份策略设置成每天做一次自动备份。 建议根据业务需要设置备份保留天数（默认保留7天）。 建议根据业务需要设置Binlog本地保留时长（默认为0，表示Binlog备份完成后本地日志会被删除）。 使用表级时间点恢复功能时，建议提前确认所选时间点之前是否有对无主键大表的删除操作，如果有该操作，恢复完成时间不易评估。 删除实例后，自动备份的全量备份和Binlog备份也会删除，对数据有需要时，建议删除前进行手动全量备份。 SQL审计 需要定期做业务审计时，建议开启审计日志。 日常运维 建议定期关注慢日志和错误日志，提前识别业务问题。 建议定期关注数据库的资源使用情况，资源不足时，及时扩容。 建议关注实例监控，发现监控指标异常时，及时处理。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 安全 尽量避免数据库被公网访问，公网连接时必须绑定弹性公网IP。 尽量使用SSL连接，保证连接的安全性。

查看监控详情 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”。 3. 在域名监控列表找到需要查看监控数据的域名，单击操作列的“监控详情”。 4. 查看详细监控数据。 监控数据说明如下： 分类 参数 说明 概览 安全等级 域名安全评级。 概览 监控状态 扫描中 正常 概览 ATS 满足 不满足 概览 PCI DSS 满足 不满足 证书信息 SSL证书信息 通用名称：当前SSL证书的通用名称。 签名算法：当前SSL证书使用的签名算法。 证书透明（CT）：当前证书签发行为是否透明公开。true表示公开。 证书品牌：当前SSL证书的版本。包括标准版、SecureSite、GeoTrust、GlobalSign、CFCA、TrustAsia。 证书类型：当前SSL证书的种类。包括DV、OV、EV。 开始时间：当前SSL证书签发时间。 结束时间：当前SSL证书到期时间。 组织机构：组织名称。 备用名称：当前SSL证书的备用名称。 证书信息 证书链信息 颁发给：需要颁发证书的域名。 颁发者：SSL证书的颁发机构名称。 有效期：证书有效期。 协议与套件 协议 展示TLS协议类型的支持情况。 协议与套件 SSL漏洞检测 展示SSL漏洞检测信息。 协议与套件 套件 展示支持的加密套件详情。

检查系统中是否有不需要的文件 6. 以root用户登录HDFS客户端。执行cd命令进入客户端安装目录，然后执行source bigdataenv命令设置环境变量。 如果集群采用安全版本，要进行安全认证。 执行kinit hdfs命令，按提示输入密码。向管理员获取密码。 7. 执行hdfs dfs ls 文件或目录路径命令，检查该目录下的文件或目录是否是可以删除的无用文件。 是，执行步骤8。 否，执行步骤9。 8. 执行hdfs dfs rm r 文件或目录路径命令。确认删除无用的文件后，等待文件在垃圾站中超过保留时间后（NameNode的配置参数“fs.trash.interval”指定了垃圾站中数据的保留时间），检查本告警是否清除。 说明 说明 删除文件为高危操作，在执行操作前请务必确认对应文件是否不再需要。 是，处理完毕。 否，执行步骤 9。 收集故障信息 9. 在FusionInsight Manager首页，单击“运维 > 日志 > 下载”。 10. 在“服务”中勾选待操作集群的“HDFS”。 11. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 12. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 NameNodeJVM参数配置规则 NameNode JVM参数“GCOPTS”默认值为： Xms2G Xmx4G XX:NewSize128M XX:MaxNewSize256M XX:MetaspaceSize128M XX:MaxMetaspaceSize128M XX:+UseConcMarkSweepGC XX:+CMSParallelRemarkEnabled XX:CMSInitiatingOccupancyFraction65 XX:+PrintGCDetails Dsun.rmi.dgc.client.gcInterval0x7FFFFFFFFFFFFFE Dsun.rmi.dgc.server.gcInterval0x7FFFFFFFFFFFFFE XX:OmitStackTraceInFastThrow XX:+PrintGCDateStamps XX:+UseGCLogFileRotation XX:NumberOfGCLogFiles10 XX:GCLogFileSize1M Djdk.tls.ephemeralDHKeySize3072 Djdk.tls.rejectClientInitiatedRenegotiationtrue Djava.io.tmpdir${Bigdatatmpdir} NameNode文件数量和NameNode使用的内存大小成比例关系，文件对象变化时请修改默认值中的“Xms2G Xmx4G XX:NewSize128M XX:MaxNewSize256M”。参考值如下表所示。 文件对象数量 参考值 10,000,000 Xms6G Xmx6G XX:NewSize512M XX:MaxNewSize512M 20,000,000 Xms12G Xmx12G XX:NewSize1G XX:MaxNewSize1G 50,000,000 Xms32G Xmx32G XX:NewSize3G XX:MaxNewSize3G 100,000,000 Xms64G Xmx64G XX:NewSize6G XX:MaxNewSize6G 200,000,000 Xms96G Xmx96G XX:NewSize9G XX:MaxNewSize9G 300,000,000 Xms164G Xmx164G XX:NewSize12G XX:MaxNewSize12G

本节介绍数据加密的权限管理说明。 如果您需要对云服务平台上购买的数据加密（以下简称DEW）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望这些开发人员拥有DEW的使用权限，但是不希望开发人员拥有删除DEW等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DEW，但是不允许删除DEW的权限策略，控制员工对云资源的使用范围。 如果系统帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DEW的其它功能。 数据加密权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KMS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KMS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 DEW系统权限 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 下表列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。

本文介绍CDN加速设置跨域资源共享CORS的方法。 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。 网站接入CDN加速后，文件的首次请求会因为CDN节点上没有缓存而回源。如果源站响应了一个未包含CORS头的文件，CDN会将此文件缓存下来直至缓存失效。在此期间如果客户端发起跨域请求，CDN将响应不包含CORS头的文件给客户端，客户端将出现“缺少AccessControlAllowOrigin”之类的异常报错。为解决此类问题，CDN需要配置添加CORS响应头来进行适配，具体配置过程，详情请见：跨域资源共享。

概述 云原生网关支持通过配置ip黑名单和白名单的方式限制客户端访问网关；黑白名单不能同时开启，同时只有一种能生效。 云原生网关默认读取请求中的Remoteaddr字段值作为客户端IP（即网络层IP）；如果您的客户端访问出口存在七层代理，此时Remoteaddr字段值为出口代理地址，可通过开启从xff头部获取ip配置选项，从XForwardedFor字段中获取客户端真实IP。 注意 通过ELB访问云原生网关时，网关看到的网络层地址是ELB出口IP；当前ELB采用四层代理模式，不会添加xff头部；我们将在后续的版本中优化ELB访问时的IP限制能力。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 在左侧导航栏，选择安全认证> 黑白名单。 4. 切换tab栏，填写黑名单或白名单。

本页为您介绍数据传输服务DTS如何监控安全风险。 数据传输服务为用户提供监控告警能力，使您了解数据迁移和数据同步的运行状况，并及时监控到异常告警做出反应，保证业务顺畅运行。 DTS提供基于迁移/同步流量BPS、迁移/同步性能RPS、迁移/同步网络延时、迁移/同步SQL执行RT（响应时间）等指标的监控能力。通过设置数据迁移/同步的告警规则，用户可自定义告警规则、设置通知邮件地址，及时了解数据传输服务的运行状况，从而起到预警作用。 监控告警支持用户和实例维度的告警，选择“用户”，表示告警范围为用户所有的DTS实例；选择“实例”，表示告警范围为指定的DTS实例。 监控告警按设置的告警间隔进行告警，一个监控周期的时间为30s，支持配置告警间隔为监控周期的整倍数。 数据迁移/数据同步如何创建告警规则，具体请参见数据迁移监控告警和数据同步监控告警。

功能名称 实现机制 屏蔽告警 SSH登录IP白名单 将IP加入SSH登录IP白名单，只允许白名单内的IP通过SSH登录指定服务器。 须知 启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中。 登录白名单 将IP加入登录白名单，用于忽略由该IP登录指定主机发生的帐户暴力破解告警事件。 在“入侵检测>白名单管理>登录白名单”将IP加入登录白名单，HSS将不会对该IP的“帐户暴力破解”登录事件进行告警。 异地登录 当不是来自“常用登录地”或者“常用登录IP”的登录行为时，将会进行异地登录告警。 提醒您有新的IP登录您的主机。 在“安装与配置>安全配置”中，将登录地与登录IP添加到“常用登录地”与“常用登录IP”，HSS将不会对来自“常用登录地”和“常用登录IP”的登录行为进行异地告警。

本页介绍天翼云TeleDB数据库角色管理相关操作。 系统内置租户管理员及只读两种角色，租户管理员可在本租户下新建自定义角色并赋予权限。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 角色管理 ，进入角色管理页面 3. 创建角色 > (1) 在角色管理 页面，单击创建角色 ，出现创建角色对话框。 > (2) 在创建角色 对话框，输入角色名称 ，权限类型选择 TeleDB ，勾选对应的权限，单击 确定 ，完成权限的添加。 4. 编辑角色 > (1) 单击目标角色所在的编辑按钮，修改对应的权限。 5. 删除角色 > (1) 单击目标角色所在行的删除按钮，即可删除对应的权限。 6. 查看角色详情 > (1) 单击目标角色所对应的详情 ，即可查看该角色所对应的具体权限。 7. 查看角色列表 > 您可根据权限名称和角色进行搜索。权限包括超级管理员、租户管理员、操作员、管理员、只读和自定义。

本小节介绍云日志审计Windows系统客户端配置。 Windows系统客户端配置 1.进入【日志采集】→【采集控制器】，点击“NXLog”客户端，进行下载。 压缩包内包括客户端配置程序、配置文件、操作方法。 相关配置文件需注意，“Host”为云日志审计IP地址。 2.配置文件修改后，重启服务。 Linux客户端配置 1.进入Linux系统，进行rsyslog进程配置。 命令： vim /etc/rsyslog.conf 2.修改配置如下： . @云日志审计IP地址（写入发送日志指向的云日志审计地址） 3.启动rsyslog服务。 systemctl start/restart rsyslog.service 其他类型资产日志配置 其他类型资产可选择内置syslog方式，填写云日志审计组件IP地址。 若配置完成，可到【安全概览】下查看资产设备的日志分析。

本小节介绍云下一代防火墙新建子网及网卡。 1.登录云主机控制台，打开虚拟私有云，创建子网。 2.创建子网，保证创建子网与现有子网不冲突即可。 3.创建子网，并自定义子网名称和网段。 4.子网创建完成后，打开云下一代防火墙控制台页面，选择子网和安全组。 5.修改网卡属性，关闭源目检查。 网卡新增成功后，可进入云下一代防火墙web页面进行配置即可。

本节介绍云下一代防火墙到到期与欠费。 到期 云下一代防火墙到期后，请在3个工作日内完成续订，否则无法正常使用。 注意 所有在云下一代防火墙后挂载运行的业务均会有业务中断的风险，业务中断的风险及影响还请用户根据自身业务自行评估；云墙到期1天后会锁定配置，无法进行配置变更和运维处理。 欠费 另外当使用时长超出购买时长时，即属于欠费状态。 欠费后，系统会回收云下一代防火墙安全产品，上述产品中的所有配置和信息均无法恢复。 建议 请到期后立刻申请续订，按照官网流程提供续订申请； 如遇紧急业务故障，请将弹性IP解绑回业务主机进行业务恢复。

本文介绍如何配置CNAME。 要启用CDN安全加速服务，需要您将加速域名的DNS解析指向我们提供的CNAME，这样访问加速域名的请求才能转发到CDN节点上，达到加速效果。 1.在控制台【域名管理】的域名列表中复制加速域名对应的CNAME； 图 复制CNAME页 2.前往您的域名解析(DNS)服务商(如阿里云解析（原万网）、腾讯云解析（原DNSPod）、新网等)，添加该CNAME记录。下面以您的域名在新网为例，其他域名解析服务商请联系对应厂商技术支持处理。 3.登录新网的域名解析控制台，进入对应域名的域名解析页； 4.选择【添加新的别名】； 图 添加别名页 【记录类型】选择为 CNAME； 【主机记录】即域名的前缀。例如，要添加 example.ctyun.cn1，前缀就是example ； 【记录值】填写为您复制的CNAME值； 解析线路和TTL 默认值即可。 5.确认填写信息无误后，单击【提交】； 6.验证CDN服务是否生效； 配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效； 您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，CDN功能也已生效。 图 检查域名指向页 注意: 1.配置CNAME完毕，CNAME配置生效后，安全加速服务生效 2.CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间； 3.添加时如遇添加冲突，可考虑换一个加速域名，或参考以下“解析记录互斥规则” 调整记录; 解析记录互斥规则： 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许) 1.X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录； 2.无限制： 在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录； 3.可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。

本章节向您介绍 VPC对等连接组网迁移资源规划。 网络规划说明 规划VPC及其子网的网段、VPC路由表和ER路由表信息。 迁移过程中，除了添加ER和VPC之间通信的路由，还需要添加一些迁移过程中的验证路由和临时通信路由，迁移完成可以删掉不需要的路由，VPC对等连接迁移组网规划。 不同迁移过程中组网如下三个示意图所示： 迁移前组网示意图如下图所示。 迁移中组网示意图如下图所示。 迁移后组网示意图如下图所示。 说明 以上路由规划详情仅为示例，供您参考，您需要根据实际业务情况规划路由。 VPC对等连接迁移组网规划总体说明表如下所示。 路由表 说明 VPC路由表 迁移前，在VPC的路由表中，指向对等连接的路由目的地址为VPC的子网网段，未覆盖整个VPC网段，因此该对等连接不是连通整个VPC网段，而是连通VPC的子网。 迁移中，需要在VPC路由表中，添加指向VPC对等连接的临时通信路由、指向ER的大网段路由和验证路由。 指向VPC对等连接的临时通信路由，确保迁移过程中，删除原有VPC对等连接路由时流量不中断。 该路由的下一跳可以选择VPC关联的任意对等连接，目的地址不能被其他业务占用，可以选择不常用的任意路由地址。本示例中的地址为1.1.1.1/32、1.1.1.2/32、1.1.1.3/32。 指向ER的大网段路由，用作VPC和ER的通信。 该路由的目的地址即需要覆盖待迁移的所有VPC网段，又不能被其他业务占用。本示例中大网段的地址为172.16.0.0/14，覆盖172.16.0.0/16、172.17.0.0/16和172.18.0.0/16三个VPC网段。 指向ER的验证路由，用于验证VPC和ER的通信。 验证路由网段不能被VPC对等连接覆盖，无法通过对等连接通信，用来验证VPC和ER之间的网络通信情况。本示例中验证路由的地址为172.16.253.0/29、172.17.253.0/29、172.18.253.0/29。 迁移完成后，需要在VPC路由表中删除验证路由和临时通信路由。 ER路由表 迁移中，在ER路由表中，增加指向VPC网段的路由，用于ER和VPC的通信。 开启ER“默认路由表关联”和“默认路由表传播”功能，那么在ER中添加“虚拟私有云（VPC）”连接，系统会自动添加ER指向VPC的路由，无需手动添加。 注意 迁移时，请在VPC路由表中，务必添加指向VPC对等连接的临时通信路由，由于VPC对等连接功能的限制，此路由可以确保迁移过程中，删除VPC对等连接路由时流量不中断。此处流量不中断仅针对本文的方案，您的实际迁移过程中可能会中断流量。指向ER的大网段路由需要覆盖业务范围内的所有VPC网段，如果一个大网段路由不够，您可以根据实际情况规划多个大网段路由。 迁移时，如果VPC对等连接两端的VPC网段存在重叠，则不能开启企业路由器的“默认路由表传播”功能。由于该功能是将整个VPC网段学习到ER路由表中用作目的地址，那么VPC网段重叠时，会导致ER路由表内路由冲突。此时，您需要手动在ER路由表中添加指向VPC连接的路由。 迁移完成后，您可以根据实际业务需要，选择继续使用大网段路由，或者添加和原有路由目的地址一致的路由后，再删除大网段路由。 以下是vpcA的路由表RTBVPCA的规划内容。 目的地址 下一跳类型 下一跳 路由类型 路由作用 存在阶段 172.17.0.0/24 对等连接 peerAB 自定义 目的地址指向vpcB的子网subnetB01 连通子网subnetA01和subnetB01 迁移前/迁移中 172.18.0.0/24 对等连接 peerAC 自定义 目的地址指向vpcC的子网subnetC01 连通子网subnetA01和subnetC01 迁移前/迁移中 1.1.1.1/32 对等连接 peerAB 自定义 目的地址指向任意未被业务占用的IP地址 确保迁移时，VPC对等连接流量不中断 迁移中 172.16.0.0/14 企业路由器 erABC 自定义 目的地址指向覆盖3个VPC的大网段 连通vpcA和erABC 迁移中/迁移完成 172.17.253.0/29 企业路由器 erABC 自定义 目的地址指向vpcB的子网subnetB02 连通subnetB02和erABC 迁移中 172.18.253.0/29 企业路由器 erABC 自定义 目的地址指向vpcC的子网subnetC02 连通subnetC02和erABC 迁移中 以下是vpcB的路由表RTBVPCB的规划内容。 目的地址 下一跳类型 下一跳 路由类型 路由作用 存在阶段 172.16.0.0/24 对等连接 peerAB 自定义 目的地址指向vpcA的子网subnetA01 连通子网subnetA01和subnetB01 迁移前/迁移中 172.18.0.0/24 对等连接 peerBC 自定义 目的地址指向vpcC的子网subnetC01 连通子网subnetB01和subnetC01 迁移前/迁移中 1.1.1.2/32 对等连接 peerAB 自定义 目的地址指向任意未被业务占用的IP地址 确保迁移时，VPC对等连接流量不中断 迁移中 172.16.0.0/14 企业路由器 erABC 自定义 目的地址指向覆盖3个VPC的大网段 连通vpcB和erABC 迁移中/迁移完成 172.16.253.0/29 企业路由器 erABC 自定义 目的地址指向vpcA的子网subnetA02 连通subnetA02和erABC 迁移中 172.18.253.0/29 企业路由器 erABC 自定义 目的地址指向vpcC的子网subnetC02 连通subnetC02和erABC 迁移中 以下是vpcC的路由表RTBVPCC的规划内容。 目的地址 下一跳类型 下一跳 路由类型 路由作用 存在阶段 172.16.0.0/24 对等连接 peerAC 自定义 目的地址指向vpcA的子网subnetA01 连通子网subnetA01和subnetC01 迁移前/迁移中 172.17.0.0/24 对等连接 peerBC 自定义 目的地址指向vpcB的子网subnetB01 连通子网subnetB01和subnetC01 迁移前/迁移中 1.1.1.3/32 对等连接 peerAC 自定义 目的地址指向任意未被业务占用的IP地址 确保迁移时，VPC对等连接流量不中断 迁移中 172.16.0.0/14 企业路由器 erABC 自定义 目的地址指向覆盖3个VPC的大网段 连通vpcC和erABC 迁移中/迁移完成 172.16.253.0/29 企业路由器 erABC 自定义 目的地址指向vpcA的子网subnetA02 连通subnetA02和erABC 迁移中 172.17.253.0/29 企业路由器 erABC 自定义 目的地址指向vpcB的子网subnetB02 连通subnetB02和erABC 迁移中 以下是erABC路由表defaultRouteTable的规划内容。 目的地址 下一跳 连接资源 路由类型 路由作用 存在阶段 172.16.0.0/16 erattachA vpcA 传播路由 目的地址指向vpcA 连通vpcA和erABC 迁移中/迁移完成 172.17.0.0/16 erattachB vpcB 传播路由 目的地址指向vpcB 连通vpcB和erABC 迁移中/迁移完成 172.18.0.0/16 erattachC vpcC 传播路由 目的地址指向vpcC 连通vpcC和erABC 迁移中/迁移完成 源规划说明 迁移过程中，除了创建企业路由器，还需要创建一些迁移所需要的临时资源，迁移完成可以释放资源，VPC对等连接迁移资源。 说明 以下资源规划详情仅为示例，供您参考，您需要根据实际业务情况规划资源。 VPC对等连接迁移资源规划总体说明如下表所示。 资源 说明 虚拟私有云VPC 迁移前，原有3个VPC，每个VPC各有一个子网，关联至VPC默认路由表。 迁移中，在原有VPC下，各新增一个迁移验证子网，该子网网络不能被业务占用。迁移验证子网无法通过对等连接通信，用来验证VPC和ER之间的网络通信情况。 迁移完成后，删除迁移验证子网，释放资源。 VPC对等连接 迁移完成后，删除VPC对等连接，释放资源。 弹性云主机ECS 迁移前，原有3个云主机，运行实际业务。 迁移中，在VPC迁移验证子网内，各创建一个云主机，因此用来验证VPC和ER之间的网络通信情况。 迁移完成后，删除迁移验证子网内的ECS，释放资源。 企业路由器ER 迁移中，创建ER，并添加3个“虚拟私有云（VPC）”连接。 创建ER时，开启“默认路由表关联”和“默认路由表传播”功能，可以免去手动添加路由。 在ER中添加3个“虚拟私有云（VPC）”连接，不开启“配置连接侧路由”功能。 开启该功能后，会自动VPC路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。迁移时，需要手动在VPC路由表中添加规划的大网段路由，不能使用自动添加的路由。 注意 如果VPC对等连接两端的VPC网段存在重叠，则不能开启企业路由器的“默认路由表传播”功能。由于该功能是将整个VPC网段学习到ER路由表中用作目的地址，那么VPC网段重叠时，会导致ER路由表内路由冲突。此时，您需要手动在ER路由表中添加指向VPC连接的路由。 VPC资源规划详情如下表所示。 VPC名称 VPC网段 子网名称 子网网段 关联路由表 子网作用 存在阶段 vpcA 172.16.0.0/16 subnetA01 172.16.0.0/24 默认路由表 业务子网 迁移前/迁移完成 vpcA 172.16.0.0/16 subnetA02 172.16.253.0/29 默认路由表 迁移验证子网，验证VPC和ER之间的网络通信 迁移中 vpcB 172.17.0.0/16 subnetB01 172.17.0.0/24 默认路由表 业务子网 迁移前/迁移完成 vpcB 172.17.0.0/16 subnetB02 172.17.253.0/29 默认路由表 迁移验证子网，验证VPC和ER之间的网络通信 迁移中 vpcC 172.18.0.0/16 subnetC01 172.18.0.0/24 默认路由表 业务子网 迁移前/迁移完成 vpcC 172.18.0.0/16 subnetC02 172.18.253.0/29 默认路由表 迁移验证子网，验证VPC和ER之间的网络通信 迁移中 VPC对等连接资源规划详情如下表所示。 VPC对等连接名称 本端VPC 对端VPC 对等连接作用 存在阶段 peerAB vpcA vpcB 连通vpcA的子网subnetA01和vpcB的子网subnetB01网络 迁移前/迁移中 peerAC vpcA vpcC 连通vpcA的子网subnetA01和vpcC的子网subnetC01网络 迁移前/迁移中 peerBC vpcB vpcC 连通vpcB的子网subnetB01和vpcC的子网subnetC01网络 迁移前/迁移中 ECS资源规划详情如下表所示。 ECS名称 VPC名称 子网名称 私有IP地址 镜像 安全组 ECS作用 存在阶段 ecsA01 vpcA subnetA01 172.16.0.139 公共镜像：CentOS 8.2 64bit sgdemo：通用Web服务器 运行业务的云主机 迁移前/迁移中/迁移完成 ecsA02 vpcA subnetA02 172.16.253.3 公共镜像：CentOS 8.2 64bit sgdemo：通用Web服务器 迁移验证子网内的ECS，验证VPC和ER之间网络通信 迁移中 ecsB01 vpcB subnetB01 172.17.0.93 公共镜像：CentOS 8.2 64bit sgdemo：通用Web服务器 运行业务的云主机 迁移前/迁移中/迁移完成 ecsB02 vpcB subnetB02 172.17.253.4 公共镜像：CentOS 8.2 64bit sgdemo：通用Web服务器 迁移验证子网内的ECS，验证VPC和ER之间网络通信 迁移中 ecsC01 vpcC subnetC01 172.18.0.220 公共镜像：CentOS 8.2 64bit sgdemo：通用Web服务器 运行业务的云主机 迁移前/迁移中/迁移完成 ecsC02 vpcC subnetC02 172.18.253.5 公共镜像：CentOS 8.2 64bit sgdemo：通用Web服务器 迁移验证子网内的ECS，验证VPC和ER之间网络通信 迁移中 ER资源规划详情如下表所示。 ER名称 AS号 默认路由表关联 默认路由表传播 自动接受共享连接 关联/传播路由表 连接 存在阶段 erABC 64512 开启 本示例选择“开启”。 如果您的VPC网段存在重叠，则不能开启。 本示例不“开启”。 如果您要将不同账号下的VPC接入ER构建组网，则您可以开启该功能。 默认路由表 erattachA 迁移中/迁移完成 erABC 64512 开启 本示例不“开启”。 如果您的VPC网段存在重叠，则不能开启。 本示例不“开启”。 如果您要将不同账号下的VPC接入ER构建组网，则您可以开启该功能。 默认路由表 erattachB 迁移中/迁移完成 erABC 64512 开启 本示例不“开启”。 如果您的VPC网段存在重叠，则不能开启。 本示例不“开启”。 如果您要将不同账号下的VPC接入ER构建组网，则您可以开启该功能。 默认路由表 erattachC 迁移中/迁移完成 “虚拟私有云”连接资源规划详情如下表所示。 连接名称 连接类型 虚拟私有云 子网 配置连接侧路由 存在阶段 erattachA 虚拟私有云（VPC） vpcA subnetA01 不开启 迁移中/迁移完成 erattachB 虚拟私有云（VPC） vpcB subnetB01 不开启 迁移中/迁移完成 erattachC 虚拟私有云（VPC） vpcC subnetC01 不开启 迁移中/迁移完成

本文为您介绍网站防护配置最佳实践。 网站接入WAF实例后，您可以按照以下推荐防护模块对已接入的网站进行防护策略配置。 Web基础防护 一般情况下，建议选用“拦截”模式，并选用“正常规则组”防护策略。 防护规则组：可选择宽松规则组、正常规则组、严格规则组。 正常规则组：中等宽松规则组，该规则组综合考虑误报和漏报策略检测情况，选择均衡的规则策略进行匹配，一般情况下，该种策略为默认推荐规则，建议用户选择正常策略。 宽松规则组：该规则组更关注精准攻击拦截度，对于疑似攻击行为的访问请求将会认定为安全从而放行，如需减少误拦截，可选用该规则组。 严格规则组：该规则组关注攻击拦截的覆盖程度，会全面拦截攻击和疑似攻击行为，如需尽可能保证业务的安全性，可选用该规则组。 处置动作：可选择拦截、观察两种动作。 拦截：将会拦截掉所有攻击行为，并产生告警拦截日志。 观察：会放行所有攻击行为，但会产生告警日志。 说明 业务接入WAF防护一段时间后（一般为2~3天），如果出现网站业务的正常请求被WAF误拦截的情况，您可以通过设置自定义规则组的方式提升Web防护效果。相关操作，请参见自定义防护规则组，提升Web攻击防护效果。

本章节会介绍如何通过公网连接数据库实例。 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 ①　对目标实例绑定弹性IP。 ②　获取本地设备的IP地址。 ③　设置安全组规则。 ④　使用ping命令连通绑定的弹性IP地址，确保本地设备可以访问该弹性IP地址。 ⑤　使用客户端连接实例。 使用MySQLFront连接实例 步骤 1. 启动MySQLFront客户端。 步骤 2. 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 3. 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的弹性IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4. 在打开登录信息窗口，选中创建的连接，单击“打开”，如下图所示。 若连接信息无误，即会成功连接实例。 图3 打开登录信息 说明 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

本文介绍弹性容器实例ECI的产品定义。 弹性容器实例（简称ECI）是基于天翼云自研的、敏捷安全的Serverless容器运行服务，具备极速启动、安全可靠、成本低的特点，完全免运维，按使用量付费。 产品概述 天翼云弹性容器实例ECI提供了多种部署方式，包括通过OpenAPI和控制台部署容器应用。此外，您还可以通过天翼云云容器引擎和 Serverless容器引擎产品部署业务，并无缝使用天翼云网络、存储等其它资源服务。无论是哪种部署方式，弹性容器实例ECI都将为您提供快速响应的容器运行环境，实现极高的成本效益。 在使用弹性容器实例ECI时，所有容器都基于完全隔离的资源，您可以按照应用场景的实际需求进行定制和管理，从而更好地支持您的业务发展。同时，弹性容器实例ECI提供了丰富的应用实例化配套服务，包括数据存储、负载均衡、弹性伸缩、监控告警等，从而可以为您提供可靠、稳定、高效的容器运行环境。 产品架构 弹性容器实例 ECI 向下基于天翼云计算、网络及存储构建坚实底座，容器镜像服务CRS 提供了容器镜像全生命周期的托管服务。向上无缝集成天翼云Serverless容器引擎服务，方便用户管理其业务负载。在应用形态上，适用于大数据计算、事件驱动、DevOps、AI大模型等各类应用场景。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

如何隐藏实例地址？ 为了更好的保护数据安全，数据管理服务DMS提供了隐藏实例地址功能，实例开启此功能后，该实例地址与端口在DMS平台上将统一显示为:。 此功能仅限管理员或团队管理员，您可以通过以下几种途径开启/关闭隐藏实例地址功能： 添加新实例时：选中隐藏实例地址选项可开启隐藏实例地址功能。 已有实例如何开启/关闭隐藏实例地址：点击菜单数据资产 >实例管理，在实例列表中点击编辑打开编辑实例弹窗，勾选/取消勾选隐藏实例地址选项。 禁用实例有何用途？ 禁用实例是指在数据管理服务DMS中，将某个数据库实例设置为不可用状态。当实例被禁用时，被禁用的实例将从实例收藏夹中移除，且用户将无法访问和使用该实例，直到该实例被重新启用。 禁用实例通常用于在进行维护、升级或其他操作时，暂时限制对实例的访问，以确保数据安全和系统稳定。 禁用/启用实例功能仅限管理员或团队管理员，用户可通过以下路径对实例进行禁用/启用操作： 点击菜单数据资产 >实例管理，在实例列表中点击禁用实例/启用实例进行操作。 如何使用查询功能？ 数据管理服务DMS提供了多个查询功能的入口，您可以通过以下路径使用查询功能： 点击菜单实例列表，点击实例名称展开数据库列表，双击库名称使用查询功能。 点击菜单数据资产 >实例管理，在实例列表中点击查询操作使用查询功能。 点击菜单安全协作>团队管理，切换团队实例管理标签页，在实例列表中点击查询操作使用查询功能。 点击菜单个人中心>我的团队，切换团队实例标签页，在实例列表中点击查询操作使用查询功能。 需要注意的是，使用查询功能前请先获取查看/使用某个实例的权限，否则将无法使用此功能。