本章节主要介绍Logstash配置文件样例。 说明 以下样例以源端、目的端的elasticsearch集群访问类型一样为例。访问类型一样指的是同样是非安全集群或者同样是安全集群没有开启HTTPS访问。 如果源端、目的端的elasticsearch集群访问类型不一样，可以由下面的3个样例文件的input和output部分自由组合出您需要的配置文件。 非安全集群 当创建的Elasticsearch类型集群未开启安全模式时，接入样例可参考如下。 input { elasticsearch { 源端ES地址 hosts > ["xx.xx.xx.xx:9200", "xx.xx.xx.xx:9200"] 需要迁移的索引列表，以逗号分隔 index > "xxx,xxx,xxx" 以下保持默认即可 docinfo > true } } filter { 去掉一些logstash自己加的字段 mutate { removefield > ["@timestamp", "@version"] } } output { elasticsearch { 目的端ES地址 hosts > ["xx.xx.xx.xx:9200", "xx.xx.xx.xx:9200"] 目的端索引名称，以下配置为和源端保持一致 index > "%{[@metadata][index]}" 目的数据的id，如果不需要保留原id，可以删除以下这行，删除后性能会更好 documentid > "%{[@metadata][id]}" 以下保持默认即可 managetemplate > false ilmenabled > false } } 安全集群（没有开启HTTPS访问） 当创建的集群开启了安全模式，但是关闭了HTTPS访问，接入样例可参考如下。 input { elasticsearch {

运维用户客户端无法访问服务器、数据库等用户资产需要排查客户端到云堡垒机以及云堡垒机到运维资产的网络通路，重点排查安全组配置。 注意 请先确认以下配置均已正确配置： 运维终端已正确安装访问插件，并配置访问路径； 用户拥有访问及运维资产的授权。 排查步骤 1. 检查客户端到云堡垒机网络是否能连通。 在您的客户端使用ping命令测试客户端与堡垒机的网络是否连通，如果连接失败，请您登录堡垒机控制台，查看堡垒机EIP是否正常，检查云堡垒机实例安全组策略是否正确配置，确认IP和端口是否正确开放，具体请查阅安全策略配置方法。 2. 检查堡垒机到运维资产网络是否能连通。 检查云堡垒机实例到运维资产的网络和端口是否开放，需要检查运维资产所属安全组的安全端口访问策略限制，是否允许云堡垒机实例访问运维资产。

本文介绍镜像服务的产品优势。 快速部署 相比于传统的手工部署方式，利用包含应用的镜像可实现相同应用的弹性云主机批量快速部署。 方式比较项 镜像部署 手动部署 部署时长 3分钟 5分钟 1天 2天 部署过程 镜像里面已经包含了应用依赖的操作系统，运行环境以及预装的组件，因此使用镜像创建实例能够实现客户业务系统的快速部署。 选择合适的操作系统、数据库、应用软件、插件等，并需要安装和调试。 安全性 除私有镜像和共享镜像需要用户自行判断，其他公共镜像、安全产品镜像、应用镜像都经过天翼云测试和审核。 依赖开发部署人员的水平。 适用情况 公共镜像：正版操作系统，包含天翼云提供的初始化组件。 私有镜像：快速创建跟已有云主机相同软件环境，或进行环境备份。 共享镜像：快速创建跟其他用户已有云主机相同软件环境。 安全产品镜像：快速创建带有安全组件的云主机。 应用镜像：快速创建预装应用与工具的云主机。 完全自行配置，无基础设置。 安全可靠 公共镜像均经过天翼云的安全测试与审核，安全可靠。 公共镜像覆盖Windows、Ubuntu、CentOS等多款主流操作系统，皆经过严格测试，能够保证镜像安全、稳定。 镜像文件后端采用了冗余的方式存储，保证了高可用性。

本文说明应用加速产品升级情况。 尊敬的天翼云客户： 因业务调整，从2024年12月1日起，天翼云应用加速产品将并入边缘安全加速平台，边缘安全加速平台边缘接入服务可提供应用加速和边缘DDoS防护能力，相比于应用加速的应用场景更丰富。 新购客户：2024年12月1日起，将无法订购应用加速产品。如需订购，请订购其升级产品边缘安全加速平台边缘接入服务。 存量客户：应用加速产品将持续提供服务至您当前订单周期结束，但从2024年12月1日起，将无法进行续订和变更。如需续订，请订购其升级产品边缘安全加速平台边缘接入服务；如需变更，请先退订应用加速产品，再通过订购边缘安全加速平台的边缘接入服务来满足您的需求。 更多边缘安全加速平台信息详见： 如有任何问题，请您随时通过在线客服或服务热线4008109889联系我们，我们将竭诚为您服务。 感谢您对天翼云的支持！ 天翼云服务团队

本章节会介绍自建MySQL迁移操作步骤。 创建VPC 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击服务列表图标，选择“网络 > 虚拟私有云。进入虚拟私有云信息页面。 4、单击“创建虚拟私有云”购买VPC。 5、单击“立即创建”。 6、返回VPC列表，查看创建VPC是否创建完成。当VPC列表的VPC状态为“可用”时，表示VPC创建完成。 创建安全组 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。进入虚拟私有云信息页面。 4、选择“访问控制 > 安全组”。 5、单击“创建安全组”。 6、填写安全组名称等信息。 7、单击“确定”。 8、返回安全组列表，单击安全组名称“sg01”。 9、选择“入方向规则”，单击“添加规则”。 10、配置入方向规则，放通数据库3306端口。

简单易用 容器镜像服务的管理控制台简单易用，支持镜像的全生命周期管理 安全可靠 容器镜像服务遵循HTTPS协议保障镜像安全传输，提供账号间、账号内多种安全隔离机制，确保用户数据访问的安全 无缝对接CCE 容器镜像服务提供镜像部署入口，与云容器引擎CCE无缝对接，一键式部署容器应用 开放兼容 全面支持社区Registry V2协议，支持通过控制台或社区CLI管理镜像

本章节主要介绍 配置跨集群互信 。 操作场景 集群A需要访问另一个集群B的资源前，需要管理员用户为这两个集群设置互信。 如果未配置跨集群互信，每个集群资源仅能被本集群用户访问。MRS自动为每个集群定义一个唯一且不重复的“域名”，用于表示用户的基本使用范围。 说明 该章节操作仅适用于MRS 3.x之前版本集群。 MRS3.x及之后版本集群请参考 对系统的影响 配置跨集群互信后，外部集群的用户可以在本集群中跨域使用，请根据业务与安全要求，定期检视集群中用户的权限。 安全集群配置跨集群互信，需要重启KrbServer服务，集群在重启期间无法使用。 配置跨集群互信后，互信的两个集群均会增加内部用户“krbtgt/ 本集群域名 @ 外部集群域名 ”、“krbtgt/ 外部集群域名 @ 本集群域名 ”，不支持删除。密码默认为“Crossrealm@123”。 操作步骤 在MRS管理控制台，分别查看两个集群的所有安全组。 当两个集群的安全组相同，请执行步骤3。 当两个集群的安全组不相同，请执行步骤2。 1. 在VPC管理控制台，分别为每个安全组添加规则。 规则的“协议”为“ANY”，“方向”为“入方向”。 “源地址”为“安全组”且是对端集群的安全组。 为A集群的安全组添加入方向规则，源地址选择B集群（对端集群）的安全组。 为B集群的安全组添加入方向规则，源地址选择A集群（对端集群）的安全组。 说明 未开启Kerberos认证的普通集群执行步骤1~步骤2即可完成跨集群互信配置，开启Kerberos认证的安全集群请继续执行后续步骤进行配置。 2. 参见访问MRSManager（MRS2.x及之前版本）分别登录两个集群MRS Manager，单击“服务管理”，查看全部组件的“健康状态”结果，是否全为“良好”？ 是，执行步骤4。 否，任务结束，联系支持人员检查状态。 3. 查看配置信息。 a.分别在两个集群MRS Manager，选择“服务管理 > KrbServer > 实例”，查看两个KerberosServer部署主机的“管理IP”.。 b.单击“服务配置”，将“基础配置”切换为“全部配置”并在左侧导航树上选择“KerberosServer>端口”，查看“kdcports”的值，默认值为“21732”。 c.单击“域”，查看“defaultrealm”的值。 4. 在其中一个集群的MRS Manager，修改配置参数“peerrealms”。 详见下表：相关参数 参数名 描述 “realmname” 填写互信集群的域名，即步骤4中获得的“defaultrealm”的值。 “ipport” 填写互信集群的KDC地址，参数值格式为：外部集群KerberosServer部署的节点IP 地址:kdcport。 两个KerberosServer的IP地址使用逗号分隔，例如KerberosServer部署在10.0.0.1和10.0.0.2上，则对应参数值为“10.0.0.1:21732,10.0.0.2:21732”。 说明 l 如果需要配置与多个集群的互信关系，请单击添加新项目，并填写参数值。删除多余的配置项请单击。 l 最多支持与16个集群配置互信，且本集群的不同互信集群之间默认不存在互信关系，需要另外添加。 5. 单击“保存配置”，在弹出窗口中勾选“重新启动受影响的服务或实例。”，单击“确定”重启服务。若未勾选“重新启动受影响的服务或实例。”，请手动重启受影响的服务或实例。 界面提示“操作成功”，单击“完成”，服务成功启动。 6. 退出MRS Manager，重新登录正常表示配置已成功。 7. 在另外一个集群的MRS Manager，重复步骤5到步骤7。

本节介绍了公网IP相关问题与处理方法。 场景排查 1. 检查安全组规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。 解决方案 1. 检查安全组规则。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 检查弹性云主机网卡对应的安全组是否放通了“入方向”的“ICMP”规则。 表 安全组规则 放向 类型 协议和端口 原地址 入方向 IPv4 Any：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 2. 检查“ 网络ACL”规则。 排查“网络ACL”是否放通。查看“网络ACL”状态，查看当前是开启状态还是关闭状态。 检查“弹性IP”绑定的网卡是否在“网络ACL”关联的子网下。 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 说明 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 3. 相同区域主机进行ping测试。 在相同区域的弹性云主机去ping没有ping通的弹性公网IP，如果可以正常ping通说明虚拟网络正常，请联系客服获取技术支持。

本文主要介绍分布式消息服务RabbitMQ的准备环境。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为RabbitMQ专享版实例提供一个隔离的、用户自主配置和管理的虚拟网络环境。 1. 在创建RabbitMQ专享版实例前，确保已存在可用的虚拟私有云和子网。 创建方法，请参考创建虚拟私有云和子网。如果您已有虚拟私有云和子网，可重复使用，不需要多次创建。 在创建VPC和子网时应注意如下要求： 创建的VPC与使用的RabbitMQ服务应在相同的区域。 创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 2. 在创建RabbitMQ专享版实例前，确保已存在可用的安全组。 创建方法，请参考创建安全组。如果您已有安全组，可重复使用，不需要多次创建。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL加密） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL加密） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密） 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加上表中的规则。

产品相关术语解释，帮助您了解托管检测服务相关专业概念。 基线核查 基线核查是指对主机操作系统、数据库、软件和容器的配置进行安全检测，并提供检测结果说明和加固建议。基线核查可以帮您进行系统安全加固，降低入侵风险并满足安全合规要求。 漏洞预警 为用户提供漏洞预警服务，第一时间向用户发布高危漏洞预警信息，向用户通告漏洞的危害程度、影响范围、检测方法、及相关解决方案，便于用户及时掌握高风险级别漏洞信息，应对外部威胁；通过多个信息安全专栏向用户分享最近出现的网络安全攻击事件、境外黑客组织攻击行为、软硬件漏洞技术、病毒或恶意代码等有害程序事件和技术原理分析、安全技术研究报告，安全新闻或事件动态。 资产发现与管理 基于用户原有资产台账，通过主动上报、内外部扫描、网络流量分析等方式对资产进行识别归类，在服务过程中持续完善资产信息，并周期性稽查更新。服务专家对服务范围内资产进行精细化管理，通过工具和人工相结合的方式，与用户配合补充资产信息，包括IP地址、端口、资产类型、操作系统类型、数据库类型、中间件类型在内的各项属性。 安全监控 基于已部署的平台系统对用户主机、Web系统、域名等资产的告警事件进行实时监测分析，对告警信息进行分析研判，并对检测到的各项安全隐患包括且不限于漏洞利用、弱密码、Webshell写入、异常登录、木马回连等安全风险和异常行为进行处置，通过企业微信、钉钉等方式告知用户。

云点播产品主要优势。 一体化解决方案 提供集音视频上传、媒体资源管理于一体的音视频服务，客户可按需接入使用。 提供视频加密，防盗链等多种安全手段，保护媒资安全。 可与CDN紧密耦合，帮助用户快速上线业务。 专业视频处理 强大的云端处理能力，支持H.264/265/VP9等多种编码规格，支持4K/8K超高清视频的快速转码。 支持雪碧图截图、视频拼接、视频水印等常见专业场景需求。 播控安全 通过Referer黑白名单等安全技术，限制盗推、盗播等恶意行为。 支持基于 HLS 的标准加密，有效解决视频盗播带来的经济损失。

参数 说明 是否支持修改 IKE策略 版本 IKE密钥交换协议版本，支持的版本：v2。 × IKE策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IKE策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IKE策略 DH算法 支持的算法： Group 14（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 默认配置为：Group 15。 √ IKE策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：60~604800 默认配置为：86400。 √ IKE策略 本端标识 IPsec连接协商时，VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致，否则协商失败。 默认配置为：VPN网关的EIP。 × IPsec策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IPsec策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IPsec策略 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 默认配置为：DH group 15。 √ IPsec策略 传输协议 IPsec传输和封装用户数据时使用的安全协议。 目前支持的协议：ESP。 × IPsec策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800 默认配置：3600。 √

本文介绍在源站IP暴露的情况下，如何设置保护源站。 适用场景 场景1：如果您的源站服务器部署了防火墙，并且部署了访问控制策略，您必须在源站访问控制策略里为Aone安全与加速边缘云节点添加白名单，放行边缘云节点IP，避免由边缘安全加速平台安全与加速服务转发回源的请求被误拦截，影响网站正常访问。 场景2：为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 前提条件 已经订购边缘安全加速平台安全与加速服务基础版及以上套餐版本，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置回源IP方案 1.登录边缘安全加速平台控制台。 2.在工具回源IP管理中，单击【配置回源IP方案】，完成配置后，可在控制台查看回源IP段。 注意 1、如果您首次配置，请先到通知渠道页面编辑通知方式，然后再点击【配置回源IP方案】按钮。如果您有特殊的需求，可 2、创建时每个域名的任务会单独发送一次通知；后续回源IP列表更新时，所有启用的域名任务会合并结果后发送通知。 提示：控制台的回源ip管理配置不会覆盖后台客服人员配置的任务，如果您发现收到重复的通知，可提交工单联系我们进行确认。

downloadsforv12114) 支持使用PVC动态创建SFS Turbo子目录并挂载。 修复部分安全问题。 v1.21.12r4 ++v1.21.14++ 修复CVE202421626安全漏洞。 v1.21.11r20 ++v1.21.14++ Volcano支持节点池亲和调度。 Volcano支持负载重调度能力。 修复部分安全问题。 v1.21.11r10 ++v1.21.14++ 优化节点池伸缩时的事件信息。 修复部分安全问题。 v1.21.11r0 ++v1.21.14++ 节点池配置管理支持软驱逐和硬驱逐的设置。 修复部分安全问题。 v1.21.10r10 ++v1.21.14++ 负载均衡支持设置超时时间。 kubeapiserver高频参数支持配置。 修复部分安全问题。 v1.21.10r0 ++v1.21.14++ 增强docker版本升级时的可靠性。 优化集群节点时间同步能力。 优化节点重启后，docker运行时拉取镜像的稳定性。 修复部分安全问题。 v1.21.7r0 [++v1.21.14++](

本文介绍了如何在公网连接RDSPostgreSQL。 RDSPostgreSQL支持客户以公网形式通过PostgreSQL客户端连接实例。 前提条件 1.绑定弹性IP并设置安全组规则 订购并创建弹性公网IP，请参见申请弹性IP。 获取本地设备的IP地址，以便配置安全组使用。 配置安全组规则，将本地设备IP地址及目标实例端口加入安全组允许访问范围中。安全组设置参见添加安全组规则。 2.安装PostgreSQL客户端 请参见数据库基本使用安装PostgreSQL客户端。 命令行连接 通过公网连接RDSPostgreSQL实例。以Linux系统为例，可以执行如下命令： psql h p U d 参数说明： ：主机IP，即控制台页面的实例列表>实例详情页面中的网络下的"弹性IP"。 ：数据库端口，为“实例详情”页面中的数据库端口。 ：用户名，即 PostgreSQL数据库帐号（默认管理员帐号为 root）。 ：数据库名，即PostgreSQL实例里面的数据库，默认初始化的数据库名是postgres。 示例： psql h xx.xx.xx.xx p xxxx U root –d postgres

本章节向您介绍什么是网络ACL。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同，安全组对云主机、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。 网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。 以下图为例， 如下图所示。 图 安全组与网络ACL在区域A内，某客户的虚拟私有云VPCX有两个子网，子网SubnetX01关联网络ACL FwA，SubnetX01内部署的实例面向互联网提供Web服务。子网SubnetX02关联网络ACL FwB，基于对等连接连通SubnetX02和SubnetY01的网络，通过SubnetY01内的实例远程登录SubnetX02内的实例。 FwA的规则说明： 入方向自定义规则，允许外部任意IP地址，通过TCP (HTTP)协议访问SubnetX01内实例的80端口。如果流量未匹配上自定义规则，则匹配默认规则，无法流入子网。 网络ACL是有状态的，允许入站请求的响应流量出站，不受规则限制，因此SubnetX01内实例的响应流量可流出子网。非响应流量的其他流量则匹配默认规则，无法流出子网。 FwB的规则说明： 入方向自定义规则，允许来自SubnetY01的流量，通过TCP (SSH)协议访问子网SubnetX02内实例的22端口。 出方向自定义规则，放通ICMP协议全部端口，当在SubnetX02内实例ping测试网络连通性时，允许去往SubnetY01的流量流出子网。 说明 图中提供的示例仅为您展示了网络ACL对出入子网的流量控制。在实际业务中，除了网络ACL，实例上绑定的安全组也会影响出入实例的流量。

本节主要介绍常见问题。 如何解决新增节点时提示弹性IP不足的问题？ 问题描述 在CCE集群中新增节点时，在“弹性IP”处选择“自动创建”，但创建节点失败，提示弹性IP不足。 解决方法 您可以有两种方法解决弹性IP不足的问题。 方法一：解绑已绑定弹性IP的虚拟机，再重新添加节点。 a. 登录弹性云主机控制台。 b. 在弹性云主机列表中，找到待解绑云服务器，单击云服务器名称。 c. 在打开的弹性云主机详情页中，单击“弹性公网IP”页签，在公网IP列表中单击待解绑IP后的“解绑”，为该云服务器解绑弹性IP，单击“确定”。 d. 返回CCE控制台创建节点页面中，选择“使用已有”重新新增节点的操作。 方法二：提高弹性IP的配额。 天翼云对用户的资源数量和容量做了配额限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交工单申请，并告知您申请提高配额的理由。 在通过审理之后，我们会更新您的配额并进行通知。 如何快速清理已删除节点上的CCE组件？ 使用场景 若集群中包含纳管节点，删除对应集群和节点不会删除对应的ECS，此时请按照界面提示清理节点上CCE组件。若未按照提示清理节点组件，后续需要清理ECS时，可按照如下操作进行清理。 操作步骤 1登录CCE控制台。 2在左侧导航栏中选择“集群管理 > 节点管理”，在右侧的节点列表中找到要执行操作的纳管节点，在节点的“操作”区域下单击“更多 > 移除”。 3在弹出的“移除纳管节点”对话框中输入"REMOVE"确认移除节点，单击“确认”。 4、认真阅读弹出的“提示”页面内容，按照步骤清理CCE相关资源。 如何加固CCE集群的节点VPC安全组规则？ CCE作为通用的容器平台，安全组规则的设置适用于通用场景。用户可根据安全需求，通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 安全组查找路径：登录控制台，单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”。 其中，控制节点的安全组名称是：{集群名}ccecontrol{随机ID}；用户节点的安全组名称是：{集群名}ccenode{随机ID}。 安全组中必须开启的端口如下： {集群名}ccecontrol{随机ID}： •源地址属于本安全组规则的需全部放通。 •5444、8445、9443、4789端口的规则不能修改。 •5443端口需对VPC网段、容器网段放通。 {集群名}ccenode{随机ID}： •源地址属于本安全组规则的需全部放通。 •4789、10250端口的规则不能修改。 •3000032767端口需对VPC网段、容器网段和ELB的网段放通。

安全组配置错误 问题现象：随便进入一个pod容器内部，使用service ip:端口可以正常访问，但是使用service域名:端口就不通。 可能原因：查看dns日志一直没有变化，说明没有请求到达dns。可能是修改了容器使用的安全组，拦截了UDP协议下53端口的通信。 解决方法：修改集群安全组，放开UDP协议的53端口规则。

计费项 基础版 标准版 企业版 旗舰版 适用范围 适合个人网站、小型网站等只需要满足基础安全需求对业务没有特殊安全需求用户，不适用于商业用户 适用于对少量用户提供业务服务，没有大量高频访问中小型网站，没有特殊安全需求，仅需要满足基础防护能力 适用中大型企业或服务对互联网公众开放，有较高访问频率，并有较高数据安全与网络安全防护需求的网站防护 适用于大型及超大型复杂业务网站防护或有特殊定制安全需求的用户（支持定制需求，定制需求需要和客户经理联系） 主套餐 99元/月 3880元/月 9800元/月 29800元/月 域名扩展包 600元/个/月 1000元/个/月 2000元/个/月 业务扩展包 1000元/个/月 2000元/个/月 2000元/个/月 规则扩展包 70元/个/月 70元/个/月 70元/个/月

本节介绍了云主机相关的术语解释。 实例 实例即弹性云主机，是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。 镜像 镜像是一个包含了软件及必要配置的弹性云主机模板，至少包含操作系统，还可以包含应用软件（例如，数据库软件）和私有软件。通过镜像，您可以创建弹性云主机。 公共镜像 公共镜像为系统默认提供的镜像，常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 私有镜像 私有镜像为用户自己创建的镜像。包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 云硬盘 云硬盘（Elastic Volume Service，EVS）可以为弹性云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。

此小节介绍运维用户客户端无法访问用户资产的处理方法。 运维用户客户端无法访问服务器、数据库等用户资产需要排查客户端到云堡垒机以及云堡垒机到运维资产的网络通路，重点排查安全组配置。 注意 请先确认以下配置均已正确配置： 运维终端已正确安装访问插件，并配置访问路径； 用户拥有访问及运维资产的授权。 排查步骤 1. 检查客户端到云堡垒机网络是否能连通。 在您的客户端使用ping命令测试客户端与堡垒机的网络是否连通，如果连接失败，请您登录堡垒机控制台，查看堡垒机EIP是否正常，检查云堡垒机实例安全组策略是否正确配置，确认IP和端口是否正确开放，具体请查阅安全策略配置方法。 2. 检查堡垒机到运维资产网络是否能连通。 检查云堡垒机实例到运维资产的网络和端口是否开放，需要检查运维资产所属安全组的安全端口访问策略限制，是否允许云堡垒机实例访问运维资产。

对象存储可以存储多少数据，有上限吗？ 对象存储（简称ZOS）的总存储容量没有限制，并且单个存储桶（Bucket）的容量也没有限制，这意味着您可以根据实际需求存储任意数量和大小的数据。 然而，为了维护系统的稳定性和资源平衡，初始情况下，每个用户在一个资源池中默认配额为100个存储桶。如果您需要更多的存储桶数量，可以通过提交工单申请来扩大配额。最大配额为1000个存储桶。 另外，通过控制台上传的文件大小有一定限制，目前只支持上传小于5 GB的文件。如果需要上传超过5 GB的文件，可以使用SDK、API或S3Browser进行上传操作。 对象存储安全吗？ 对象存储提供了多种安全措施来确保数据的安全性： 数据加密传输：对象存储通过使用安全的传输协议（如HTTPS）来加密数据在网络传输过程中的传输流量，防止数据被窃听或篡改。 服务端加密存储：对象存储可以提供服务端加密功能，将数据在存储时进行加密，确保数据在储存介质上的安全。 访问控制和权限设置：您可以通过设置存储桶的权限，来控制谁能够访问桶中的数据。您可以选择公共或私有的访问权限，并可以根据需要进行细粒度的访问控制。 防盗链：对象存储支持防盗链功能，可以限制只允许特定来源的请求访问您的存储桶中的数据，防止恶意盗链和未经授权的访问。 跨域访问设置：您可以通过设置跨域资源共享策略，控制允许跨域访问的来源，增加数据的安全性。 对象存储本身是安全的，并且提供了多种安全功能和控制选项，以确保您存储的数据在传输和存储过程中的安全性。但同时，您也需要根据实际情况合理设置安全策略和权限，以确保数据的绝对安全。

本文为您介绍Web应用防火墙客户控制台【态势感知】的开启条件以及操作步骤。 功能介绍 客户如果购买了态势感知大屏服务，可以在控制台查看实时的安全态势感知服务。安全态势感知服务根据客户维度，实时展示客户业务整体的攻击情况，主要包括：攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通Web应用防火墙（边缘云版）扩展服务可视化大屏服务，支持使用态势感知，具体请见可视化大屏服务 操作步骤 登录Web应用防火墙（边缘云版）控制台 在左侧导航栏中选择【态势感知】，浏览器将跳转至新页面，为您展示目前已接入域名的安全态势

本文为您介绍Ubuntu系统部署Palworld幻兽帕鲁服务器的最佳实践。 1. 登录云主机控制台，选择创建云主机的资源池，点击“创建云主机”按钮。 2. 基础配置。 CPU架构选择“X86计算”，规格分类选择“通用型”。为确保游戏顺畅运行，建议您选择4C16G及以上的规格。 镜像类型选择“应用镜像”，镜像下拉菜单中选择“ubuntu”“幻兽帕鲁（Palworld）Ubuntu”。 点击“下一步：网络配置”。 3. 网络配置。 点击“创建安全组”按钮，跳转至网络控制台安全组页面。 点击“创建安全组”按钮，在弹窗中等待模板下拉菜单选择“开放全部端口”。 点击“确定”，完成安全组创建。 返回云主机订购页面，点击“选择安全组”按钮，在安全组列表中勾选刚才创建的安全组。 点击“确定”，完成安全组选择。 弹性IP选择“自动分配”，根据需要选择带宽大小。为确保游戏顺畅运行，建议带宽选择10M以上。 点击“下一步：高级配置”。 4. 根据提示完成高级配置，点击“下一步：确认配置”。 确认配置无误后，点击“立即购买”。 5. 完成支付后，返回云主机控制台，确认云主机状态为“运行中”，则可以进行后续操作。 6. 添加安全组规则 在云主机列表中点击云主机名称，进入云主机详情页。点击安全组页签，点击“添加规则”按钮，新增IP放行。 在添加规则弹窗中： 1）协议选择“UDP”。 2）端口范围填写“8211”。 端口也可自定义进行修改，修改后可提高服务器的安全性： 登录云主机后，首先使用密码登录root用户，执行以下命令进入编辑配置界面。 vim /etc/rc.local 按i进入编辑状态，将第二行改为： su steam c "cd /home/steam/.steam/SteamApps/common/PalServer;steamcmd +login anonymous +appupdate 2394010 validate +quit;nohup ./PalServer.sh portxxx &" 其中xxx为165535中的任意希望启用的端口，修改完成后按esc退出编辑，再输入:wq进行保存并退出。 3）地址处将“1.1.1.1”更改为自己的IP地址。 点击“确定”，完成安全组规则修改。 7. 进入游戏。 先在云主机控制台云主机列表中找到云主机的公网IP地址。 启动游戏，在游戏界面选择“加入多人游戏（专用服务器）”。在地址输入框输入“公网IP:8211”，点击“联系”即可进入帕鲁世界。

维度 子维度 CCE Turbo集群 CCE集群 集群 定位 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速 标准版本集群，提供商用级的容器集群服务 集群 节点形态 支持虚拟机和物理机混合 支持虚拟机和物理机混合 网络 网络模型 云原生网络2.0 ：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络1.0 ：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 网络 网络性能 VPC网络和容器网络融合，性能无损耗 VPC网络叠加容器网络，性能有一定损耗 网络 容器网络隔离 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 隧道网络模式：集群内部网络隔离策略，支持Networkpolicy。 VPC网络模式：不支持 安全 隔离性 物理机：安全容器，支持虚机级别的隔离 虚拟机：普通容器 普通容器，Cgroups隔离

设置弹性云主机安全组规则 1. 单击弹性云主机名称，查看弹性云主机详情，在弹性云主机详情页面，选择“安全组”。 2. 在“安全组”界面，进入安全组详情界面。 3. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 4. 根据界面提示配置安全组规则。部署JavaWeb环境需为弹性云主机添加两个安全组规则。 1. 为云主机添加ICMP安全组规则。 如果云主机默认设置是禁止ICMP规则，当ping弹性服务器IP时会显示超时。因此首先为云主机添加ICMP规则。 图3 添加ICMP规则 注意 天翼云云主机默认设置是放行ICMP规则。 2. 为云主机添加web项目分配端口的访问规则，以8080 端口为例。 图4 添加8080端口 安装jdk 1. 执行如下命令，进入jdk目录。 plaintext cd /home/webDemo/jdk 2. 解压jdk安装包到jdk目录下。 plaintext tar xvf jdk17linuxx64bin.tar.gz C /home/webDemo/jdk/ 3. 配置环境变量。 plaintext vim /etc/profile 4. 在底部添加以下内容。 plaintext set java environment JAVAHOME/home/webDemo/jdk/jdk17.0.x JREHOME$JAVAHOME PATHJAVAHOME/bin:JAVAHOME/bin:PATH CLASSPATH.:JAVAHOME/lib/dt.jar:JAVAHOME/lib/dt.jar:JREHOME/lib/tools.jar export JAVAHOME JREHOME PATH CLASSPATH 说明 “jdk17.0.x”表示jdk安装包的具体版本，实际值需要从步骤2的返回值中获取。 例如：jdk17.0.8。 5. 执行以下命令保存并退出。 plaintext :wq 6. 执行以下命令使/etc/profile里的配置生效。 plaintext source /etc/profile 7. 验证安装。 plaintext java version 回显信息如下所示，验证安装jdk成功。

通过内网域名或节点IP访问集群 1.获取内网域名或者节点IP。 当前用户 登录console控制台，单击集群名称，进入集群“基本信息”页面，选择“终端节点服务”，查看内网域名，如下图。 其他用户 如果您申请了终端节点，登录终端节点控制台，单击“ID”，进入终端节点基本信息页面查看内网域名。如下图。 2.在弹性云主机中，直接通过cURL执行API或者开发程序调用API并执行程序即可使用集群。 弹性云主机需要满足如下要求： 为弹性云主机分配足够的磁盘空间。 此弹性云主机的VPC需要与集群在同一个VPC中，开通终端节点服务后，可以实现跨VPC访问。 此弹性云主机的安全组需要和集群的安全组相同。 如果不同，请修改弹性云主机安全组或配置弹性云主机安全组的出入规则允许集群所有安全组的访问。修改操作请参见《虚拟私有云》帮助文档。 待接入的ES集群，其安全组的出方向和入方向需允许TCP协议及9200端口，或者允许端口范围包含9200端口。 例如，使用cURL执行如下命令，查看集群中的索引信息，集群中的内网访问地址为“vpcep7439f7f62c6647d4b5f3790db4204b8d.region01.ctyun.cn”，端口为“9200”。 如果接入集群未启用安全模式，接入方式为： curl ' 如果接入集群已启用安全模式，则需要使用https方式访问，并附加用户名和密码，在curl命令中添加u选项。 curl u username:password k '

本章主要介绍通过弹性公网IP访问 。 为了方便用户访问开源组件的Web站点，MRS集群支持通过为集群绑定弹性公网IP的方式，访问MRS集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 为集群绑定弹性公网IP并添加安全组规则 1.在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步，待IAM用户同步成功后，在集群详情页会出现“组件管理”页签。 2.单击“集群管理页面”右侧的“前往 Manager”。 3.弹出访问MRS Manager页面，绑定弹性公网IP并添加安全组规则。仅首次访问该集群的组件开源站点时，需要如下配置。 a. 绑定弹性公网IP，在弹性公网IP下拉框中选择可用的弹性公网IP。若没有可用的弹性公网IP，请单击“管理弹性公网IP”创建弹性公网IP后在该页面引用。若创建集群时已绑定弹性公网IP，请跳过该步骤。 b. 选择待添加的安全组规则所在安全组，该安全组在创建群时配置。 c. 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问MRS组件。 d. 勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问MRS Manager页面。” e. 单击“确定”，进入登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 4.登录Manager页面，选择“集群 > 服务 > HDFS > NameNode WebUI> NameNode( 主机名称 ，主)”，访问开源组件Web站点。此处仅以HDFS NameNode为例介绍，其他组件访问地址请参考开源组件Web站点页面提供的站点地址。

双因子认证 双因子认证是指结合密码以及验证码两种条件对用户登录行为进行认证的方法。 网页防篡改 网页防篡改为用户的文件提供保护功能，避免指定目录中的网页、电子文档、图片等类型的文件被黑客、病毒等非法篡改和破坏。 集群 集群是同一个子网中一个或多个弹性云主机（又称：节点）通过相关技术组合而成的计算机群体，为容器运行提供计算资源池。 节点 在容器中，每一个节点对应一台弹性云主机（Elastic Cloud Server，ECS），容器运行在节点上。 镜像 镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 容器（Container）是镜像的实例，容器可以被创建、启动、停止、删除、暂停等。 安全策略 安全策略是指容器运行时需要遵循的安全规则，如果容器违反了安全策略，容器安全服务控制台的“运行时安全”页面会显示容器异常。 防护配额 目标主机开启检测防护需要绑定的对象，即防护配额。 在主机安全服务购买的不同版本的数量在控制台中是以防护配额的描述呈现。 示例： 购买了1个企业版，即企业版可用防护配额数量为1个，只能绑定任意1台主机； 购买了10个旗舰版，即旗舰版可用防护配额数量为10个，可分配至10台不同主机进行分别绑定；

参数 说明 示例 名称 事件源名。 source1 请求类型 支持的请求类型： HTTP HTTPS HTTP&HTTPS HTTPS 请求方法 选择支持的HTTP请求方法。取值如下： GET POST PUT DELETE HEAD PATCH GET 安全配置 选择安全配置的类型。取值如下： 无需配置：不配置，接收到的所有URL请求均转换为事件推送到事件总线EventBridge。 IP网段：输入IP网段。只有使用网段内的IP地址访问的URL才能触发事件，其余请求均会被过滤。 安全域名：输入安全的域名信息。只有使用该域名访问的URL才能触发事件，其余请求均会被过滤。 无需配置

步骤二：网络配置 网络配置 1. 设置“网络”：在下拉列表中选择可用的虚拟私有云、子网，并设置私有IP地址的分配方式。 弹性云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。 您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。 更多关于虚拟私有云的信息，请参见《虚拟私有云用户指南》。 说明 弹性云主机使用的VPC网络DHCP不能禁用。 第一次使用公有云服务时，系统将自动为您创建一个虚拟私有云，包括安全组、网卡。 2. 添加“扩展网卡”：可选配置。您可以添加多张扩展网卡，并指定网卡（包括主网卡）的IP地址。 说明 指定IP地址时，如果是批量创建多台弹性云主机： 此时，该IP地址为起始IP地址。 请确保IP地址在子网范围内且连续可用。 其他子网不能与指定IP的子网相同。 − 系统默认分配IPv4地址，勾选“自动分配IPv6地址”后，网卡支持双栈类型，分配IPv4/IPv6双栈地址。在同一VPC内，弹性云主机通过IPv6地址在双栈ECS之间进行内网访问。如需访问外网，您需要开启“IPv6带宽”并选择共享带宽，此时弹性云主机可以通过IPv6地址与互联网上的IPv6网络进行访问。 弹性云主机创建成功后，需手动配置弹性云主机，动态获取IPv6地址，启用IPv6功能。具体操作请参见“动态获取IPv6地址”。 说明 当前仅支持在创建弹性云主机时开启IPv6功能，开启成功后，不能修改。 3. 设置“安全组”：在下拉列表中选择可用的安全组，或新建安全组使用。 安全组用来实现安全组内和安全组间弹性云主机的访问控制，加强弹性云主机的安全保护。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 创建弹性云主机时，可支持选择多个安全组（建议不超过5个）。此时，弹性云主机的访问规则遵循几个安全组规则的并集。 安全组规则的配置会影响弹性云主机的正常访问与使用，常用端口与协议的用途如下，请按需开启： − 80端口：浏览网页的默认端口，主要用于HTTP服务。 − 443端口：网页浏览端口，主要用于HTTPS服务。 − ICMP协议：用于ping云主机之间的通信情况。 − 22端口：用于Linux云主机的SSH方式登录。 − 3389端口：用于Windows云主机的远程桌面登录。 说明 弹性云主机初始化需要确保安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16 4. 设置“弹性公网IP”。 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。 您可以根据实际情况选择以下三种方式： − 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 − 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 − 使用已有：为弹性云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建弹性云主机。 5. 设置“公网带宽”。 “弹性公网IP”选择“现在购买”时，需配置该参数。其中“按带宽计费”和“按流量计费”均为独享带宽，一个带宽只能被一个弹性公网IP使用。 − 按带宽计费：按照购买的带宽大小计费。 − 按流量计费：按照实际使用的流量来计费。 说明 “包年/包月”方式购买的弹性云主机EIP，仅支持“按带宽计费”方式。 − 加入共享带宽：一个带宽中可以加入多个弹性公网IP，多个弹性公网IP共用一个带宽。 说明 一个共享带宽支持添加的弹性公网IP个数有限，如果配额不足，可以选择切换使用其他共享带宽，或者申请扩大共享带宽的EIP配额。 包年/包月方式购买的共享带宽，到期后系统自动删除，并给该共享带宽中添加的EIP创建按流量计费的独占带宽。 6. 设置“带宽大小”。根据业务需要，选择所需的带宽大小，单位Mbit/s。 7. 设置“释放行为”。（苏州、广州4资源池支持）对于勾选了“随实例释放”的弹性IP，将在删除云主机同时执行删除。

负载均衡器可以跨资源节点关联后端云主机么？ 共享型负载均衡不支持跨资源节点关联后端云主机。 独享型负载均衡器支持跨资源节点、跨VPC添加后端云主机。 公网负载均衡的后端云主机要不要绑定EIP？ 负载均衡实例都是通过私网转发访问请求，不需要后端云主机绑定EIP。 如何检查后端云主机网络状态？ 确认虚拟机主网卡已经正确分配到IP地址。 登录云主机内部。 执行ifconfig命令或ip address查看网卡的IP信息。 说明 Windows云主机可以在命令行中执行ipconfig查看。 从云主机内部ping所在子网的网关，确认基本通信功能是否正常。 通常网关地址结尾为.1，可以在VPC详情页面中确认，切换“子网”页签，查看“网关”列，显示网关地址。 执行ping命令，观察能否ping通即可。若无法ping通网关则需首先排查二三层网络问题。 如何检查后端云主机网络配置？ 确认云主机使用的网卡安全组配置是否正确。 在弹性云主机详情页面查看网卡使用的安全组。 检查安全组规则是否放通了对应的网段： 对于独享型负载均衡，检查后端云主机所在的安全组入方向是否放通ELB所在VPC的网段。如果没有放通，请在安全组入方向规则中添加ELB所在VPC网段。 对于共享型负载均衡，检查客户后端服务安全组入方向是否放通了100.125.0.0/16网段。如果没有放行，请添加100.125.0.0/16网段的入方向规则。 注意 共享型实例四层监听器开启“获取客户端IP”功能后，后端云主机的安全组规则和网络ACL规则均无需放通100.125.0.0/16网段及客户端IP地址。 独享型实例四层监听器未开启“跨VPC后端”功能时，后端云主机安全组规则和网络ACL规则均无需放通ELB后端子网所在的VPC网段。 确认云主机使用网卡子网的网络ACL不会对流量进行拦截。 在虚拟私有云页面左侧导航栏，单击“网络ACL”，确认涉及的子网已放通。