本小节介绍公网IP如何增强DDoS防护能力。 IP 如何提升DDoS防护能力？ 若您的公网 IP 频繁遭遇 DDoS 攻击，持续超出 DDoS 基础防护阈值并触发平台防护封堵，可通过以下两种方式强化 DDoS 安全防护能力，降低再次被封堵的风险： 一、购买并配置 DDoS 高防产品（推荐） 天翼云和第三方合规厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力，您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。 业务 IP 接入高防防护后，将由高防 IP 替代其暴露在公网，攻击者仅能针对高防 IP 发起攻击；攻击流量会在高防资源池完成清洗过滤，仅正常业务流量回注至您的业务 IP，该流量通常不会超出 IP 的DDoS防护阈值，可有效避免触发 DDoS封堵。 同时请注意：若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP直接发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品厂商。 二、配置安全组（仅特定业务场景适用） 在绑定公网 IP 的云主机上配置安全组策略，仅允许指定 IP 和端口访问业务 IP，可在公网层面实现 IP 隐藏。该方式仅适用于无需对公网全面开放的业务（如组织内部跨公网访问场景），绝大多数面向公网的业务不适用此方案。 重要提示：若原业务 IP 已被攻击者获知，即便配置安全组使攻击者无法探活，仍可能遭受盲目攻击；攻击流量直达 IP 所在网络后，若流量超出基础防护阈值，依然会触发DDoS封堵。因此建议配置安全组的同时，同步更换业务 IP。

使用流程 序号 操作项 说明 0 （可选）接入“企业主机安全HSS”的“主机安全基线”日志到态势感知（专业版） 仅态势感知（专业版）专业版且启用了“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包场景需要执行该操作。 在目标工作空间左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入页面，打开“企业主机安全HSS”服务的“主机安全基线”前的按钮以及“自动转告警”列对应的按钮，单击“保存”，并在弹出的配置保存框中，单击“确定”。 1 定时执行基线检查 态势感知（专业版）将使用默认检查计划对所有资产进行检查。 默认检查计划：默认每隔3天检查一次，每次在00:00~06:00对您账号下当前区域的“安全上云合规检查1.0”遵从包所涉及的资产进行检查。 自定义基线检查计划：根据您的需求自定义遵从包和检查时间。 2 立即执行基线检查 基线检查功能支持定期自动检查和立即检查。 定期自动检查：根据系统默认基线检查计划或您自定义的基线检查计划，定时自动执行基线检查。 立即检查：如果您新增或修改了自定义的基线检查计划，您可以在基线检查页面选择该基线检查计划，立即执行基线检查，实时查看服务器中是否存在对应的基线风险。 3 查看基线检查结果 自动/手动基线检查完成后，可以查看基线检查结果，了解基线检查项影响的资产、基线项目详情等信息。 4 处理基线检查结果 基线检查完后，可以根据修复建议对风险项目进行处理。 查看风险项的改进建议：根据检测结果修复风险检查项。 反馈检查结果：检查项中的手动检查项，您在线下执行检查后，需要在控制台上反馈检查结果，以便计算检查项合格率。 导入检查结果：将线下检查结果数据信息导入至态势感知（专业版）基线检查中。 导出检查结果：将线上检查结果导出至本地。

本节介绍如何登录云防火墙（原生版）控制台。 方式一 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 网络安全 > 云防火墙（原生版）”，进入云防火墙（原生版）产品详情页面。 3. 单击“管理控制台”，进入云防火墙（原生版）控制台。 方式二 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）控制台。

检测Linux操作系统安全漏洞是否已修补完成 1. 单击spectremeltdownchecker获取spectremeltdownchecker.sh检测脚本。 2. 将步骤1获取的脚本上传至云主机。 3. 在云主机执行以下命令，并根据脚本提示判断Meltdown或Spectre漏洞是否已经修复。 chmod +x spectremeltdownchecker.sh sudo bash spectremeltdownchecker.sh 回显信息如下图所示。 图 执行脚本后的回显信息 OK为已修复漏洞，KO为未修复，如上图所示代表CVE20175753、CVE20175715、CVE20175754漏洞均已修复。 打开或关闭Linux操作系统的安全漏洞补丁开关 CPU的预测执行是一种性能优化技术，因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降。 如果您认为漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制，希望可以禁用部分或全部漏洞安全保护策略，那么可以参考以下操作启用或者禁用安全保护策略。 您可以根据如下具体情况配置系统来达到理想的安全策略： Meltdown漏洞 采取页表隔离pti（Page Table Isolation）来控制内核页表隔离功能，此功能适用于CVE20175754。 Spectre漏洞 采取间接分支限制预测ibrs（Indirect Branch Restricted Speculation）控制SPECCTRL模型特定寄存器（MSR）中的IBRS功能，结合retpoline，及间接分支预测障碍ibpb（Indirect Branch Prediction Barriers）控制PREDCMD模型特定寄存器（MSR）中的IBPB功能，此功能适用于CVE20175715。 说明 CVE20175753漏洞是通过内核补丁修复的，它无法禁用，并且它在Red Hat的性能测试中没有显示出任何可见的影响。 关闭Meltdown安全漏洞补丁 如果您想降低开启pti对系统的性能影响或者系统有更好的保护机制，您可以根据以下步骤操作： a. 根据不同的操作系统修改内核参数： CentOS、EulerOS、Ubuntu、Fedora、Red Hat：添加内核参数nopti Debian、OpenSUSE：添加内核参数ptioff b. 重启云主机。 关闭Spectre安全漏洞补丁 如果您认为Spectre漏洞修复对系统的性能影响不可接受或者系统有更好的保护机制，您可以根据以下步骤操作： a. 根据不同的操作系统修改内核参数： CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE：添加内核参数spectrev2off Ubuntu：添加内核参数nospectrev2off b. 重启云主机。 如果您使用的是以下操作系统，可以前往官网查询更多信息。 RedHat： SUSE： Ubuntu：

为了保证用户数据的安全，OOS提供以下安全策略来保障用户数据的安全性：用户签名验证、Bucket权限控制、访问控制、Bucket Policy安全策略、合规保留。详见API参考 安全策略。 在用户访问层面，所有针对OOS的数据请求都需要进行签名验证，OOS提供全方位的访问控制策略，使文件的拥有者对该文件有灵活的访问控制权。 在数据传输层面，不论是通过Web门户还是REST接口，用户的数据访问和操作都可以通过HTTPS协议进行，以确保数据传输中没有安全死角。 在数据存储层面，OOS将用户数据自动切片，进行分布式保存，并且对每片数据进行签名，即使数据被盗，没有用户的账号信息依然无法对数据进行破解，这样就充分保证了数据在存储层面的安全性。 在OOS系统的运维层面，通过利用天翼云的“虚拟云桌面”技术，运维人员无法直接访问生产系统，而必须一个可录像的“虚拟桌面”才能访问，运维人员的一举一动都将被记录在案。 在数据中心的运维层面，天翼云具备全球最先进的数据中心管理和运营能力。OOS部署在8级抗震、一级耐火、一级防水、通过ISO27001认证的的数据中心内部，与中国电信通信枢纽数据中心（武警守卫）同级别，具备完善的门禁制度、人员访控制度、设备巡检制度，确保物理层面的万无一失。

该任务指导用户通过管理控制台查看管道的信息，包括名称、所属数据空间和创建时间等。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开已创建的管道。 6. 单击待查看管道名称后的，右侧将显示管道的详细信息。 参数名称 参数说明 工作空间名称 当前管道所属工作空间的名称。 工作空间ID 当前管道所属工作空间的ID。 数据空间名称 当前管道所属数据空间的名称。 数据空间ID 当前管道所属数据空间的ID。 管道名称 当前管道的名称。 管道ID 当前管道的ID。 Shard数 管道的Shard数。 生命周期 管道内数据保存周期。 创建时间 管道的创建时间。 描述 管道的描述信息。

场景特点 用于海量大型数据或对性能敏感数据的加密保护，保证业务访问体验。 优势 高效易用：通过创建数据密钥，实现本地数据的离线加密，避免移动大量数据产生安全隐患。 双重加密：通过主密钥和数据密钥两级密钥结构，确保数据密钥的随机性和安全性，保证数据加密性能。 场景示意图 云产品透明加密 密钥管理服务（KMS）与多种云产品集成，提供服务端加密能能力，加密功能一键开启，加密过程透明无感知。 场景特点 为云上IT设施数据安全环境提供基础保障。 优势 服务端自动加密：无需用户自行实现复杂的加密能力，免改造。 安全保障：加密密钥通过KMS主密钥加密保护，满足安全合规要求。 场景示意图

本章节为您介绍如数据加密网关的相关内容。 数据加密网关是一种专门为保护数据库数据存储安全而设计的高性能密码设备。它基于数据加密技术，能够在数据进入数据库之前对其进行加密处理，从而确保数据的机密性和完整性。这款创新设备在当今数据安全需求日益增长的环境下，扮演着至关重要的角色。 注意 在正式接入生产环境前，强烈建议您使用测试环境配合数据加密网关进行充分调试验证，确保通过后再切换至生产环境。 若因未遵循此操作流程导致的系统故障或数据风险，相关责任需由接入方自行承担。 核心功能与优势 数据加密：数据库加密网关采用先进的加密算法，对数据进行实时加密。无论是静态数据还是传输中的数据，都能得到有效保护，防止未经授权的访问和数据泄露。 高性能处理：作为一款高性能密码网关设备，它具备出色的处理能力，能够在保证数据安全的同时，不降低数据库的读写性能。这使得它在处理大量数据时依然能够保持高效稳定。 密钥管理：内置完善的密钥管理系统，能够安全地生成、存储和管理加密密钥。密钥的严密管理是数据安全的重要保障，防止密钥泄露导致的数据风险。 透明加密：提供透明的加密服务，应用程序无需改动即可享受数据加密保护。数据库加密网关在后台自动完成加密和解密操作，简化了数据安全管理。 兼容性强：支持多种数据库系统和应用程序，无需对现有系统进行大规模改造即可部署。这使得它能够快速融入企业现有的IT架构，提供即时的数据安全防护。

背景信息 本文介绍如何使用IPsec VPN在两个VPC之间建立安全连接，实现两个VPC内的资源互访。 场景示例 以本文图中场景为例。某企业在华东1地域创建了一个vpc1，在青岛20地域创建了vpc2。两个VPC均已使用弹性云主机部署了业务，企业因后续发展，现在需要将vpc1和vpc2中的业务实现互相访问。 出于网络安全环境考虑，企业计划使用VPN网关，在两个VPC之间建立IPsec VPN连接，对数据进行加密传输，实现资源的安全互访。 前提条件 已经在天翼云华东1地域创建了vpc1，在青岛20地域创建了vpc2，两个VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.0.3 vpc2 青岛20 10.0.0.0/16 vpcr8jw6vfdnk ecm99df 10.0.0.62 您已经了解两个VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许两个弹性云主机实例互访。

高安全 针对企业各部门间不同的密级，私网NAT支持暴露限定网段的IP和端口，隔离高安全等级的业务。因为安全受限等原因，行业监管部门要求各机构和单位按指定IP地址接入，私网NAT可满足行业监管要求，将私网IP映射为指定IP进行接入。 零冲突 企业多部门间业务隔离，常常使用同一个私网网段，迁移上云后极易冲突。基于私网NAT网关的大小网映射能力，可支持云上的重叠网段互通，助力客户上云后网络零冲突。

本节介绍了容器镜像服务的产品优势。 简单易用 使用控制台对镜像操作，简单易用，支持镜像的全生命周期管理。 安全保障 支持容器镜像安全扫描，识别镜像中所有已知的漏洞信息。 开放兼容 全面支持社区Registry V2协议，支持使用CLI以及原生API方式管理镜像。 无缝集成 与云容器引擎无缝集成，构建云原生一站式解决方案。

本文详细说明安全与加速扩展服务资费扩展服务资费。 安全与加速扩展服务资费 扩展服务 标准资费（月） 包年折扣 主套餐服务区域 适用版本 功能描述 域名扩展包 1000元/域名（一个一级域名） 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持一个主域名 DDoS防护带宽 详见《DDoS防护带宽服务资费》 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户遭受DDoS攻击的风险大，频率高建议订购DDoS防护带宽扩展服务。 当攻击峰值在防护带宽以内，则在中国内地服务区域提供不限次数的防护，并且不会扣除套餐中的防护次数。 DDoS弹性防护 详见《DDoS弹性防护服务资费》 按需计费方式不支持包年折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户已订购DDoS防护带宽，在中国内地服务区域，仍有遭遇超过DDoS防护带宽的攻击风险，则建议开启DDoS弹性防护。 弹性峰值（即攻击峰值DDoS防护带宽），将按阶梯计费。 若未触发弹性防护，则不收取任何费用。 DDoS防护IP 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 全球（非中国内地）、全球 基础版、高级版、企业版、旗舰版、定制版 在全球（非中国内地）服务区域，提供一个独享的全球Anycast广播的高防IP，支持订购多个 内容审核 1.3元/千张/日 按需计费方式不支持包年折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 对加速内容进行快速智能检测 Bot管理 3500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持通过人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫； 通过分析海量访问数据，利用内置的分析算法，识别智能爬虫； API安全 4500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供API资产高可见性和持续安全检测 态势感知大屏 1500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供网站整体业务及安全状况的可视化大屏分析 专家指导服务 100元/次/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供域名接入配置、安全配置指导服务 专家服务 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 724小时远程指导服务（配置指导、防护策略定制、监控和预警） Web防护 免费版：0元/月 基础版：800元/月 高级版：2500元/月 企业版：7600元/月 旗舰版：18000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户提供应对Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 IPv6改造 600元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户给解决网站外链不支持IPv6访问的问题，并解决“天窗问题”。 Websockets 500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 定制版 定制版 支持WebSockets协议 注意 适用于定制版的扩展服务为功能费用，需要订购流量或者带宽用于用量计费。

本页为您介绍WPS云文档天翼云版的产品规格 产品规格 版本 提供方式 收费方式 规格 业务类型 WPS云文档天翼云版 标准版 SaaS 用户数订阅年份 含商业基础版所有功能 100GB/人安全存储 完整的文件安全管控和企业管理模块 支持订购、续订、不支持试用 WPS云文档天翼云版 高级版 SaaS 用户数订阅年份 含商业标准版所有功能 200GB/人安全存储 Office二次开发接口 1对1专属售后支持 支持订购、续订、不支持试用 WPS云文档天翼云版 基础版 SaaS 用户数订阅年份 无账号数上限 50GB/人安全存储 大文件上传（2G） 可禁止文件移动到企业外 支持订购、续订、不支持试用 WPS云文档天翼云版 WPS会员 SaaS 用户数订阅年份 75种文档格式转换 65项办公特权 支持订购、续订、不支持试用 WPS云文档天翼云版 稻壳会员 SaaS 用户数订阅年份 800万+办公模板免费下载海量字体、图标、图表、图片资源任性用尊享60+项特权服务 支持订购、续订、不支持试用 WPS云文档天翼云版 超级会员 SaaS 用户数订阅年份 含稻壳会员、普通会员权益 支持订购、续订、不支持试用 WPS云文档天翼云版 咨询服务 SaaS 用户数订阅年份 对于非结构化数据管理、企业内文档资产管理提供咨询服务 支持订购、续订、不支持试用

为确保您的天翼云账号及云资源使用安全，如非必要都应避免直接使用天翼云账号（即主账号）来访问函数计算。推荐的做法是使用IAM身份（即IAM用户和IAM委托）来访问函数计算。 IAM用户 IAM用户需要由天翼云账号（即主账号）或拥有管理员权限的IAM用户、IAM委托来创建，且必须在获得授权后才能登录控制台或使用API访问天翼云账号下的资源。 对于IAM用户的使用，建议您： 使用天翼云账号创建一个IAM用户，并为IAM用户授予管理员权限，后续使用有管理员权限的IAM用户创建并管理其他IAM用户。 将人员用户和程序用户分离。 创建IAM用户时，支持设置控制台访问 和OpenAPI调用访问两种访问方式。控制台用户使用账号密码访问云产品控制台，API用户使用访问密钥AK（AccessKey）调用API访问云资源。建议您将两个不同的使用场景分离，避免误操作导致服务受到影响。对于通过控制台访问的用户，推荐为其开启MFA多因素认证。 按需为IAM用户分配最小权限。 最小权限是指授予用户执行某项任务所需的权限，不授予其他无需用到的权限。最小授权可以避免用户操作权限过大，提高数据安全性，减少因权限滥用导致的安全风险。 不要把IAM用户的AccessKey ID和AccessKey Secret保存在工程代码中，否则可能导致AK泄露，威胁您账号下所有资源的安全。建议您使用STS或环境变量等方式获取访问授权。 满足条件时对IAM用户设置SSO单点登录功能，实现直接使用企业自有的身份登录并访问天翼云资源。

介绍分布式消息服务Kafka删除用户功能操作内容。 场景描述 Kafka删除用户的场景描述如下： 用户离职或不再需要访问权限：当用户离开组织或不再需要访问Kafka集群时，可以删除其用户账户。这可以确保已离职的用户无法再访问和操作Kafka，提高安全性和合规性。 角色调整或合并：在某些情况下，可能需要对用户角色进行调整或合并。如果某个角色不再需要或与其他角色重复，可以删除相关的用户账户和角色，以简化管理和维护。 用户账户过期或失效：如果用户账户的有效期已过或由于某种原因失效，可以删除该用户账户。这有助于清理无效的用户账户，减少安全风险和资源浪费。 安全审计和合规要求：根据安全审计和合规要求，可能需要删除某些用户账户。例如，当用户账户存在安全风险或违反合规规定时，需要及时删除相关账户以保护系统安全和数据隐私。 数据隔离和资源管理：在多租户环境中，当某个租户不再需要使用Kafka集群时，可以删除其相关的用户账户。这有助于释放资源，提高资源利用率和性能。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入应用用户管理页面，点击指定用户其右侧的“删除”按钮。 注意事项 Kafka删除用户时需要注意以下事项： 确认用户身份：在删除用户之前，确保要删除的用户的身份是正确的。验证用户的身份可以防止误删除或删除错误的用户账户。 备份和迁移数据：如果用户账户中存在重要的数据或信息，建议在删除用户之前进行数据备份和迁移。这可以确保数据的安全性和完整性，并防止数据的丢失或泄露。 通知相关人员：在删除用户之前，及时通知相关的管理人员或团队成员。这有助于协调和沟通，确保删除用户的操作得到充分的授权和确认。 关注系统性能：删除用户时，要注意对Kafka集群的性能影响。大规模的用户删除操作可能会对系统造成一定的负载和延迟，因此在合适的时间窗口进行删除操作，以减少对业务的影响。

配置安全组白名单 操作步骤 1. 在控制台点击实例所在安全组，入方向规则点击添加规则，在弹出的填写框内的端口处填写“5601,9200,9000”，选择需要配置的策略为IPv4或IPv6，在源地址下方的IP地址格子中填写需要访问设备的出口公网IP地址，点击确定保存。 2. 成功后会在安全组增加对应规则，此时可以通过绑定的公网IP地址端口访问对应对象。 通过公网IP地址接入实例 公网访问配置完成后，实例将会获得一个“公网访问”的IP地址，用户可以通过公网IP地址和端口接入实例。 例如，Dashboards可直接点击页面链接进行访问。 OpenSearch实例可以通过Curl命令查询索引信息： plaintext curl u username:password k ' 其中IP为绑定的公网IP，username和password表示实例的用户名和密码。 开启/关闭实例HTTPS访问 云搜索服务默认开启对OpenSearch实例的HTTPS访问模式，仅在该模式下可以绑定公网IP，您可关闭开关，实例将切换为HTTP访问模式，该模式下实例仅可通过内网访问，已绑定的公网IP将自动解绑。 该功能仅针对购买云搜索服务V1.2.0以上版本适用。

本文主要介绍使用零信任和终端管理时发现异常行为的终端处置记录功能。 背景说明 处置记录展示企业配置的零信任策略规则和终端管理合规检测的实时处置记录，以便于企业对异常登录、访问等行为的观察和处置。 操作步骤 1. 登录边缘安全加速控制台，进入对应服务； 2. 在左侧导航栏，选择日志>策略处置记录，可查看处置事件或进行取消处置操作； 3. 可根据业务需求进行相关操作。 功能说明 处置记录事件数据集来源于AOne零信任>安全>动态授权、AOne终端管理>安全>终端安全>合规检测。 将统计整体处置概览情况，包括处置动作分布情况，命中策略和处置对象统计。 字段 说明 备注 监控（观察） 若触发策略，则记录处置记录，并将该用户的内网访问行为记录到威胁防护日志 挑战认证 若触发策略，则不允许访问内网，触发挑战认证弹窗，用户需短信验证码校验通过后才允许继续访问内网，并将该用户的内网访问行为记录到威胁防护日志 访问阻断 若触发策略，处置周期内不允许访问内网，直到恢复处置时，才允许继续访问，在恢复处置前，将该用户的内网访问行为记录到威胁防护日志 注销登录 若触发策略，将对已经登录客户端用户进行注销登录，登出处理，用户再次登录后，待不再匹配到策略才会放行登录，否则会再次注销登录处理 处置中记录：根据企业在在不同模块配置的策略，若检测到匹配策略的行为，则触发处置动作，并在处置中记录该事件。 对于支持周期性检测，能够自动恢复处置的策略，若用户在新的检测周期已经不再匹配到规则，则该处置中记录将移动到已恢复记录。

3.3 配置ssh服务器 下面是对ssh服务器的一些配置。 plaintext sed e "s/^ ?PubkeyAuthentication./PubkeyAuthentication yes/g" e "s/^ ?PasswordAuthentication./PasswordAuthentication yes/g" e "s/^ ?PermitRootLogin./PermitRootLogin yes/g" e "s/^ ?UseDNS./UseDNS no/g" e "s/^ ?GSSAPIAuthentication./GSSAPIAuthentication no/g" i.bak /etc/ssh/sshdconfig 说明： PubkeyAuthentication yes：允许公钥认证访问。使用公钥认证访问通常更为安全。 PasswordAuthentication yes：允许使用密码认证访问。密码认证访问不如公钥认证访问安全。但默认镜像中没有公钥（在镜像中捆绑固定的公钥可能有安全隐患），需要使用密码认证访问。您可以在装机登录后配置好ssh公钥，然后禁用密码认证访问。 PermitRootLogin yes：允许root用户登录。允许root用户登录可能不够安全。但默认镜像中不创建其他普通用户。在镜像中创建普通用户并为其捆绑固定的密码可能有安全隐患。物理机装机时只会为root用户设置密码。您可以在装机登录后创建其他用户，然后禁用root用户登录。 UseDNS no：禁用反向DNS解析。未连通公网的机器上DNS不可用，会导致ssh连接缓慢或失败。 GSSAPIAuthentication no：禁用GSSAPI认证访问。GSSAPI认证需要自行配置才能使用。开启可能会导致ssh连接缓慢或失败。 注意 请不要在镜像中留ssh公钥或新建非root用户，可能有安全隐患。若相应的ssh私钥或用户密码泄露，继续使用该镜像会扩大受影响范围。

3.3 配置ssh服务器 下面是对ssh服务器的一些配置。 plaintext sed e "s/^ ?PubkeyAuthentication./PubkeyAuthentication yes/g" e "s/^ ?PasswordAuthentication./PasswordAuthentication yes/g" e "s/^ ?PermitRootLogin./PermitRootLogin yes/g" e "s/^ ?UseDNS./UseDNS no/g" e "s/^ ?GSSAPIAuthentication./GSSAPIAuthentication no/g" i.bak /etc/ssh/sshdconfig 说明： PubkeyAuthentication yes：允许公钥认证访问。使用公钥认证访问通常更为安全。 PasswordAuthentication yes：允许使用密码认证访问。密码认证访问不如公钥认证访问安全。但默认镜像中没有公钥（在镜像中捆绑固定的公钥可能有安全隐患），需要使用密码认证访问。您可以在装机登录后配置好ssh公钥，然后禁用密码认证访问。 PermitRootLogin yes：允许root用户登录。允许root用户登录可能不够安全。但默认镜像中不创建其他普通用户。在镜像中创建普通用户并为其捆绑固定的密码可能有安全隐患。物理机装机时只会为root用户设置密码。您可以在装机登录后创建其他用户，然后禁用root用户登录。 UseDNS no：禁用反向DNS解析。未连通公网的机器上DNS不可用，会导致ssh连接缓慢或失败。 GSSAPIAuthentication no：禁用GSSAPI认证访问。GSSAPI认证需要自行配置才能使用。开启可能会导致ssh连接缓慢或失败。 注意 请不要在镜像中留ssh公钥或新建非root用户，可能有安全隐患。若相应的ssh私钥或用户密码泄露，继续使用该镜像会扩大受影响范围。

套件名称 套件说明 驱动管理 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 为集群提供集群巡检、故障诊断等能力。 网络 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 支持数据集版本管理，提供弹性加载能力。 弹性训练 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

本节主要介绍产品优势 数据管理服务支持MySQL等类型主流版本实例管理。提供优质的可视化操作界面，大幅提高工作效率，让数据管理变得既安全又简单。 随时随地 使用Web界面呈现，无需安装本地客户端，随时随地可用。 内核源码优化 围绕运维痛点，对内核进行优化和加强，提供了诸如连接被打满时的数据库紧急运维能力、全量SQL语句的记录和分析能力等。 操作安全保障 内置安全保护措施，有效保障数据库的稳定运行，让用户操作起来更安心。例如：用户执行一个慢SQL时，DAS会自动设置超时机制，防止因慢SQL执行时间过久而导致的数据库性能抖动。 特性丰富 DAS提供更多高级特性，例如：SQL语句诊断、SQL任务定时执行、10G容量的数据导入导出、跨实例的数据库表结构同步，支持MySQL等多种数据库类型。

Linux系统通过SCP方式上传到Linux云主机 SCP是一种安全的文件传输协议，可以方便地在本地计算机和远程服务器之间进行文件的复制操作，并通过SSH协议提供了数据加密和身份验证的安全保障。 如您的本地电脑使用和购买的云主机均使用Linux操作系统，您可通过SCP方式将本地文件上传至云主机。 前提条件： ● 本地操作系统类型为Linux。 ● 云主机操作系统类型为Linux。 ● 云主机配备弹性IP。 ● 云主机所在的安全组放行了22端口（SSH服务）。 操作步骤： scp sourcefile user@targetip:destinationfile 将本地文件通过scp方式上传到云主机上 scp r sourcedir user@targetip:destinationpath/ 将本地目录通过scp r方式上传到云主机上

配置安全组白名单 在控制台点击实例所在安全组，入方向规则点击添加规则，在弹出的填写框内的端口处填写“9600”，选择需要配置的策略为IPv4或IPv6，在源地址下方的IP地址填写框中填写需要访问设备的出口公网IP地址，点击确定保存。 成功后会在安全组增加对应规则，此时可以通过绑定的公网IP地址端口访问对应对象。 通过公网IP地址接入实例 公网访问配置完成后，实例将会获得一个“公网访问”的IP地址，用户可以通过公网IP地址和端口接入实例。 Logstash可以通过Curl命令来获取相应状态。 例如： curl ip:9600?pretty 可以获取Logstash的简要信息并验证网络连通性。 Logstash接入公网一般用于迁移外部Elasticsearch、OpenSearch等实例的场景中，需要在Logstash实例的管道配置中将输入部分的集群地址配置为实际的公网地址。

本章节主要介绍集群互信概述。 功能介绍 默认情况下，安全模式下的大数据集群用户只能访问本集群中的资源，无法在其他安全模式集群中进行身份认证并访问资源。 特性描述 域 每个系统用户安全使用的范围定义为“域”，不同的Manager系统需要定义唯一的域名。跨Manager访问实际上就是用户跨域使用。 用户加密 配置跨Manager互信，当前Kerberos服务端仅支持并使用“aes256ctshmacsha196:normal”和“aes128ctshmacsha196:normal”加密类型加密跨域使用的用户，不支持修改。 用户认证 配置跨Manager集群互信后，两个系统中只要存在同名用户，且对端系统的同名用户拥有访问自身系统中某个资源的对应权限，则可以使用当前系统用户访问远程资源。 直接互信 系统在配置互信的两个集群分别保存对端系统的互信票据，通过互信票据访问对端系统。

本章节主要介绍密钥与密码。 创建密钥对 操作场景 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 新建密钥对 如果没有可用的密钥对，需要新建一个密钥对，生成公钥和私钥，并在登录物理机时进行鉴权。创建密钥对的方法如下： 通过管理控制台创建密钥对，公钥自动保存在系统中，私钥由用户保存在本地。 通过puttygen.exe工具创建密钥对，公钥和私钥均保存在用户本地。 使用已有密钥对 如果本地已有密钥对，可以直接选择管理控制台的“导入密钥对 > 选择文件”导入密钥。 约束与限制 当前支持的加解密算法为： SSH2（RSA，1024） SSH2（RSA，2048） SSH2（RSA，4096） 私钥是保证您的物理机安全的重要手段之一，用于SSH登录身份认证，为保证物理机安全，只能下载一次，请妥善保管。 通过管理控制台创建密钥对 1.登录天翼云，进入控制中心。 2.选择“计算 > 物理机服务”。 3.在左侧导航树中，选择“密钥对”。 4.在“密钥对”页面，单击“创建密钥对”。 5.输入密钥名称。 6.单击“确定”。 7.在系统弹出的提示框中单击“确定”。 请根据提示信息，查看并保存私钥。为保证安全，私钥只能下载一次，请妥善保管。

本节介绍如何进行集群扫描设置，包括是否自动扫描新增集群、扫描周期。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 单击页面右上角的设置图标，进入集群设置页面。 4. 在基本设置页面内，可以设置是否自动扫描新增集群、扫描周期。

开源对比 相较于开源自建RabbitMQ，分布式消息服务RabbitMQ在低成本运维、堆积性、可观测性、集群可用性、安全保证、操作日志、OpenApi访问等方面更具优势。 对比项 开源自建 分布式消息服务RabbitMQ版 低成本运维 需要专业人员资源规划、部署、运维 一键开通，全托管。提供多种规格，按需使用，支持一键式节点数、磁盘存储空间和节点规格扩容。 堆积性 抗堆积性差，容易引发内存问题导致宕机 提供云原生引擎类型，支持海量消息堆积不受影响 可观测性 通过Management UI能够获取丰富的指标，但需要自建指标存储及展示的系统 提供监控告警能力，指标丰富，维度可精确到Vhost、Exchange和Queue，便于您快速发现和定位问题 集群可用性 需配套解决集群多节点负载均衡设置 集群内置负载均衡，支持跨AZ部署 安全保证 需要自行进行安全加固 VPC隔离，支持SSL通道加密 操作日志 无，需要自己开发 可追溯租户管理操作的记录 OpenApi访问 无，需要自己开发 提供简单的实例管理RESTFul API，使用门槛低

本节介绍智算套件概述。 前提条件 已创建云容器引擎智算版集群。 套件介绍 套件名称 版本 套件说明 驱动管理 1.0.2 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 1.8.0 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 1.0.5 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 1.0.3 为集群提供集群巡检、故障诊断等能力。 网络 1.0.3 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 1.0.0 支持数据集版本管理，提供弹性加载能力。 弹性训练 1.0.5 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 1.0.0 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 1.0.9 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 1.0.7 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

本文为您介绍密钥管理服务的定义及产品架构。 密钥管理服务（Key Management Service，KMS）是一站式密钥管理和数据加密服务平台，提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成，实现云上原生数据的加密保护。 产品架构 业务组件 业务组件 说明 参考文档 密钥管理 密钥管理组件提供密钥安全托管存储、生命周期管理以及密码运算能力。您可以在自建应用程序中，通过KMS提供的云原生接口实现数据加解密、签名验签等运算，同时KMS已对接天翼云云硬盘、对象存储、弹性文件、关系数据库MySQL版，为云服务提供服务端加密能力。 密钥管理概述 证书管理 证书管理组件提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书管理概述

本文介绍弹性文件服务安全文件系统加密方面的内容。 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 文件系统加密具体操作步骤请参见加密。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。