本页介绍了关系数据库MySQL版的监控安全风险。 关系数据库MySQL版提供多维度的监控指标和敏感操作保护，帮助您监控安全风险。 监控指标 关系数据库MySQL版提供基于云监控服务的资源监控能力，帮助您实时监控数据库实例，及时发现异常并自动告警或通知相关运维人员。 帮助您实时掌握实例运行过程中产生的运行指标和存储用量等信息，方便您预判风险及时处理。 关于关系数据库MySQL版支持的监控指标，以及如何创建监控告警规则等内容，请参见关系数据库MySQL版用户指南监控与告警支持的监控指标 。 敏感操作保护 关系数据库MySQL版管理控制台支持敏感操作保护，开启后执行删除实例等敏感操作时，系统会进行二次确认，进一步保证数据库实例配置和数据的安全性。

本节介绍了重置数据库账号密码的相关内容。 操作场景 您可重置自己创建的数据库账号密码，安全考虑，请定期（如三个月或六个月）修改密码，防止出现密码被暴力破解等安全风险。 限制条件 恢复中的实例，不可进行该操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页。 步骤 5 在左侧导航栏，单击“账号管理”，选择目标账号，单击操作列的“重置密码”。 步骤 6 在弹出框中输入新密码和确认密码，单击“确定”，提交修改。 密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@$%^+?,特殊字符。 密码不能与账号名或倒序的账号名相同。 建议您输入高强度密码，以提高安全性，防止出现密码被暴力破解等安全风险。 重置密码后数据库不会重启，权限不会发生变化。 结束

该任务指导用户通过管理控制台查看管道的信息，包括名称、所属数据空间和创建时间等。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开已创建的管道。 6. 单击待查看管道名称后的，右侧将显示管道的详细信息。 参数名称 参数说明 工作空间名称 当前管道所属工作空间的名称。 工作空间ID 当前管道所属工作空间的ID。 数据空间名称 当前管道所属数据空间的名称。 数据空间ID 当前管道所属数据空间的ID。 管道名称 当前管道的名称。 管道ID 当前管道的ID。 Shard数 管道的Shard数。 生命周期 管道内数据保存周期。 创建时间 管道的创建时间。 描述 管道的描述信息。

本文详细说明安全与加速扩展服务资费扩展服务资费。 安全与加速扩展服务资费 扩展服务 标准资费（月） 包年折扣 主套餐服务区域 适用版本 功能描述 域名扩展包 1000元/域名（一个一级域名） 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持一个主域名 DDoS防护带宽 详见《DDoS防护带宽服务资费》 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户遭受DDoS攻击的风险大，频率高建议订购DDoS防护带宽扩展服务。 当攻击峰值在防护带宽以内，则在中国内地服务区域提供不限次数的防护，并且不会扣除套餐中的防护次数。 DDoS弹性防护 详见《DDoS弹性防护服务资费》 按需计费方式不支持包年折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户已订购DDoS防护带宽，在中国内地服务区域，仍有遭遇超过DDoS防护带宽的攻击风险，则建议开启DDoS弹性防护。 弹性峰值（即攻击峰值DDoS防护带宽），将按阶梯计费。 若未触发弹性防护，则不收取任何费用。 DDoS防护IP 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 全球（非中国内地）、全球 基础版、高级版、企业版、旗舰版、定制版 在全球（非中国内地）服务区域，提供一个独享的全球Anycast广播的高防IP，支持订购多个 内容审核 1.3元/千张/日 按需计费方式不支持包年折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 对加速内容进行快速智能检测 Bot管理 3500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持通过人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫； 通过分析海量访问数据，利用内置的分析算法，识别智能爬虫； API安全 4500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供API资产高可见性和持续安全检测 态势感知大屏 1500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供网站整体业务及安全状况的可视化大屏分析 专家指导服务 100元/次/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供域名接入配置、安全配置指导服务 专家服务 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 724小时远程指导服务（配置指导、防护策略定制、监控和预警） Web防护 免费版：0元/月 基础版：800元/月 高级版：2500元/月 企业版：7600元/月 旗舰版：18000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户提供应对Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 IPv6改造 600元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户给解决网站外链不支持IPv6访问的问题，并解决“天窗问题”。 Websockets 500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 定制版 定制版 支持WebSockets协议 注意 适用于定制版的扩展服务为功能费用，需要订购流量或者带宽用于用量计费。

为了保证用户数据的安全，OOS提供以下安全策略来保障用户数据的安全性：用户签名验证、Bucket权限控制、访问控制、Bucket Policy安全策略、合规保留。详见API参考 安全策略。 在用户访问层面，所有针对OOS的数据请求都需要进行签名验证，OOS提供全方位的访问控制策略，使文件的拥有者对该文件有灵活的访问控制权。 在数据传输层面，不论是通过Web门户还是REST接口，用户的数据访问和操作都可以通过HTTPS协议进行，以确保数据传输中没有安全死角。 在数据存储层面，OOS将用户数据自动切片，进行分布式保存，并且对每片数据进行签名，即使数据被盗，没有用户的账号信息依然无法对数据进行破解，这样就充分保证了数据在存储层面的安全性。 在OOS系统的运维层面，通过利用天翼云的“虚拟云桌面”技术，运维人员无法直接访问生产系统，而必须一个可录像的“虚拟桌面”才能访问，运维人员的一举一动都将被记录在案。 在数据中心的运维层面，天翼云具备全球最先进的数据中心管理和运营能力。OOS部署在8级抗震、一级耐火、一级防水、通过ISO27001认证的的数据中心内部，与中国电信通信枢纽数据中心（武警守卫）同级别，具备完善的门禁制度、人员访控制度、设备巡检制度，确保物理层面的万无一失。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

筛选条件用于筛选符合场景中过滤条件的结果，呈现匹配的结果列表。 例如筛选条件添加产品名称和资源类型两个条件，属性分别为“企业主机安全”和“云服务器”，则匹配的结果必须同时符合这两个条件属性。 目前可添加的条件及属性如下： 标题：检测结果的标题内容，可输入关键字。默认按标题搜索。 严重等级：检测结果的风险等级，包括“致命”、“高危”、“中危”、“低危”、“提示”。 业务领域：检测结果所属业务领域，包括“威胁告警”、“漏洞”、“合规检查”、“违法违规”、“风险”、“舆情”、“安全公告”。 状态：用户对检测结果的处理状态，包括“未处理”、“已忽略”、“已线下处理”。 资源名称：检测结果来源资源的名称，需输入资源名称。 资源类型：检测结果来源资源的类型，包括“云服务器”、“虚拟私有云”、“安全组”、“弹性公网IP”、“磁盘”、“其他”。 公司名称：检测结果来源产品所属公司，需输入公司名全称。 产品名称：检测结果来源安全产品，需输入产品名全称。 约束限制 一个筛选条件仅能包含一组“标题”关键字。 一个筛选条件仅能包含一个“资源名称”。 一个筛选条件仅能包含一个“公司名称”。 一个筛选条件仅能包含一个“产品名称”。 创建筛选条件 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检测结果”，进入全部结果管理页面。 4. 添加筛选条件。 在筛选框添加过滤条件，添加一项或多项过滤条件，并配置相应条件属性。 在时间筛选框中，选择时间范围。 5. 单击筛选框后“保存”，弹出筛选条件保存窗口。 6. 配置筛选条件信息。 设置“场景名称”，自定义筛选条件名称。 （可选）勾选“设为默认筛选条件”。 7. 单击“确定”，返回全部结果列表页面，即可在场景列框查看新建的筛选条件。

ECS无法连接到DDS实例的原因 遇到该问题，请参考以下步骤排查解决。以集群模式下实例为例说明。 步骤 1 先确认弹性云主机实例和文档数据库实例是否在同一个虚拟私有云。 如果在，执行步骤2。 如果不在，需要重新创建弹性云主机实例，使之和文档数据库实例在同一个虚拟私有云下。 步骤 2 查看弹性云主机实例是否添加安全组。 如果有，检查安全组的配置规则是否满足要求，然后执行步骤3。 如果没有，从弹性云主机的实例详情页面，进入虚拟私有云页面，选择“安全组”，添加安全组。 步骤 3 在弹性云主机上，测试是否可以正常连接到文档数据库实例地址的端口。 telnet {8635} 如果可以通信，说明网络是正常的，请检查数据库用户和密码。 如果端口不通，请联系售后技术支持协助排查。 客户端问题导致连接实例失败？ 客户端问题导致连接文档数据库实例失败，可以从以下几个方面检查。 1、弹性云主机的安全策略 对于Windows平台，可检查Windows的安全策略是否开放文档数据库端口。 对于Linux平台，可使用iptables检查防火墙及端口的放行情况。 2、应用配置错误常见的有IP写错、端口参数配置错误和JDBC等的连接参数配置错误。 说明： 如问题仍未解决，请联系售后技术支持。 服务端问题导致连接实例失败 文档数据库服务端可能出现的问题如下，请依次进行检测。 1、连接数满导致连接失败。 解决方法：通过云监控的资源监控功能查看连接数、CPU使用率等指标是否正常，如果达到上限，需要重启文档数据库实例、断开实例连接或扩容节点解决。 2、实例状态异常，比如实例重启卡住，文档数据库服务系统故障等。 解决方法：尝试重启功能。如果无法解决，请联系售后技术支持。

设置降级 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务治理”。 步骤 5 单击需要治理的微服务。 步骤 6 单击“降级”。 步骤 7 单击“新增”。选择合理的策略，降级策略配置项如下表所示。 配置项 配置项说明 降级对象 选择需要降级的微服务与降级方法。 降级策略 l开启：开启降级。 l关闭：关闭降级。 步骤 8 单击“确定”，保存配置。 设置容错 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务治理”。 步骤 5 单击需要治理的微服务。 步骤 6 单击“容错”。 步骤 7 单击“新增”。选择合理的策略，容错策略配置项如下表所示。 配置项 配置项说明 容错对象 该应用依赖的应用或方法，下拉菜单可直接选择。 是否开启容错 开启：向容错对象发起请求时发生错误的处理策略，开启后，会根据选择的处理策略处理请求。 关闭：关闭容错策略，即使请求失败也会等到超时后，再返回失败结果。 容错策略 说明 当“是否开启容错”配置项设置为“开启”时配置。 lFailover 在不同服务器上重新尝试建立连接。 lFailfast 不再重新尝试建立连接，即请求失败时会立即返回失败结果。 lFailback 在同一个服务器上重新尝试建立连接。 lcustom − 尝试同一个服务器次数：尝试与同一个服务器重新建立连接的次数。 − 尝试新的服务器次数：尝试与新的服务器建立连接的次数。 步骤 8 单击“确定”，保存配置。

本节介绍态势感知（专业版）的漏洞管理功能的背景及支持的漏洞类型。 背景介绍 漏洞是指在操作系统实现、安全策略、软件等方面存在的缺陷或弱点，这些缺陷或弱点可能被攻击者利用，从而导致系统被破坏、数据泄露、服务中断或其他安全问题。态势感知（专业版）通过集成企业主机安全（Host Security Service，HSS）漏洞扫描数据以及手动导入漏洞数据，集中呈现云上资产漏洞风险，帮助用户及时发现资产安全短板，修复危险漏洞。 查看漏洞详情：介绍如何查看漏洞的详细信息。 修复漏洞：当扫描到服务器存在漏洞时，您需要及时根据漏洞的危害程度结合实际业务情况处理漏洞，避免漏洞被入侵者利用入侵您的服务器。如果漏洞对您的业务可能产生危害，建议您尽快修复漏洞。对于Linux漏洞、Windows漏洞，您可以在企业主机安全控制台一键自动修复，对于WebCMS漏洞、应用漏洞、应急漏洞和网站漏洞，暂不支持自动修复，您可以参考漏洞详情界面提供的修复建议手动修复。 忽略或取消忽略漏洞：某些漏洞只在特定条件下存在风险，比如某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在危害。如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。忽略后，下次HSS漏洞扫描后仍然会对该漏洞进行告警，态势感知（专业版）也将同步漏洞信息。如果已忽略的漏洞需要再次关注，可以取消之前的忽略操作。 导入或导出漏洞：介绍如何导入或导出漏洞。

本文为您介绍证书管理功能模块详情。 证书管理组件为您提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书生命周期管理 证书管理模块提供高可用、高安全的密钥和证书托管能力，您可以通过控制台或API集中管理证书。 功能 说明 证书托管 支持管理密钥和证书，可以生成证书请求、导入证书和证书链、启用/禁用证书、吊销或删除证书等。 密钥安全存储 证书管家使用托管密码机保障证书密钥的产生、存储安全。 API便于集成 支持多个API接口，帮助在开发环境高效集成证书服务，快速进行产品部署，为您提供快速开发上线证书相关功能的能力。 支持的证书类型 证书类型 说明 数字证书（含私钥） 支持通过证书管理服务生成证书请求，导入或导出数字证书及其证书链，证书私钥由KMS硬件安全模块保护。 Ukey证书（不含私钥） 支持将Ukey中的证书（不含私钥）导出并存入KMS，由KMS统一托管，并支持调用KMS提供的接口实现身份认证中的验签运算。 证书运算API KMS提供云原生的证书运算类API，帮助在开发环境高效集成证书服务，快速实现证书调用。 功能 说明 参考文档 加密解密 证书公钥运算：使用指定证书加密数据。 证书私钥运算：使用指定证书解密数据。 证书公钥加密 证书私钥解密 签名验签 证书私钥运算：使用指定证书生成数字签名。 证书公钥运算：使用指定证书验证数字签名。 证书私钥签名 证书公钥验签

。 所在子网 选择所在子网，若您还没有所在子网，请参照创建所在子网。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，最长40字符，只能包含小写字母、数字及分隔符()，且必须以小写字母开头，数字或小写字母结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 启用监控指标 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用访问日志采集 启用后，可在控制台观测分析中查看访问日志，若您还没有开通云日志服务，可先点击提示链接前往开通。 网关实例创建可能需要5分钟左右时间，请耐心等待。 添加服务 首先部署好后端服务，进入实例详情页，选择服务列表菜单，点击创建服务，选择固定地址服务，填入后端服务的ip和端口，如下图所示：

配置步骤 1. 登录DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。 2. 选择需要防护的域名，在操作栏点击【防护配置】。 3. 进入CC防护配置页面，点击【编辑】。 4. 在编辑页面可进行防护开关、防护模式、防护时长配置。具体说明可参见CC防护配置。 5. 配置完成后，点击保存。该域名会进入“配置中”状态，配置成功后，域名状态会变为“已启用”。 报表分析 DDoS高防（边缘云版）产品提供CC相关的报表数据，能清晰直观地展示您的网站遭受的攻击情况。其中包含 TOP URL、TOP 攻击IP及攻击区域分布信息，您可结合报表数据进一步配置相应的防护规则，更好地保障您的网站服务稳定。更多信息，请参见安全分析。 1. 登录DDoS高防（边缘云版）控制台,在左侧导航中，单击 【安全分析】【安全报表】。 2. 进入【CC安全报表】tab页面，可选择域名及时间维度等过滤条件查看详细攻击情况。 告警监控 针对应用层CC攻击，DDoS高防（边缘云版）提供了相应的告警策略，您可根据实际业务情况结合报表数据配置相应的告警策略。更多信息，请参见告警管理。

本文主要介绍使用零信任和终端管理时发现异常行为的终端处置记录功能。 背景说明 处置记录展示企业配置的零信任策略规则和终端管理合规检测的实时处置记录，以便于企业对异常登录、访问等行为的观察和处置。 操作步骤 1. 登录边缘安全加速控制台，进入对应服务； 2. 在左侧导航栏，选择日志>策略处置记录，可查看处置事件或进行取消处置操作； 3. 可根据业务需求进行相关操作。 功能说明 处置记录事件数据集来源于AOne零信任>安全>动态授权、AOne终端管理>安全>终端安全>合规检测。 将统计整体处置概览情况，包括处置动作分布情况，命中策略和处置对象统计。 字段 说明 备注 监控（观察） 若触发策略，则记录处置记录，并将该用户的内网访问行为记录到威胁防护日志 挑战认证 若触发策略，则不允许访问内网，触发挑战认证弹窗，用户需短信验证码校验通过后才允许继续访问内网，并将该用户的内网访问行为记录到威胁防护日志 访问阻断 若触发策略，处置周期内不允许访问内网，直到恢复处置时，才允许继续访问，在恢复处置前，将该用户的内网访问行为记录到威胁防护日志 注销登录 若触发策略，将对已经登录客户端用户进行注销登录，登出处理，用户再次登录后，待不再匹配到策略才会放行登录，否则会再次注销登录处理 处置中记录：根据企业在在不同模块配置的策略，若检测到匹配策略的行为，则触发处置动作，并在处置中记录该事件。 对于支持周期性检测，能够自动恢复处置的策略，若用户在新的检测周期已经不再匹配到规则，则该处置中记录将移动到已恢复记录。

审核流程版本 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程“操作”列，单击“版本管理”，弹出流程版本管理页面。 6. 在流程版本管理页面中，单击目标流程所在行的“操作”列的“审核”，弹出审核确认框。 7. 在审核确认框中，选择“审核意见”，参数说明如下所示。 参数 说明 审核意见 勾选审核结论。 通过，通过后流程版本状态更新为已激活。 驳回，驳回后流程版本状态更新为审核驳回，可再次编辑后提交。 驳回原因 输入审核意见（当审核意见勾选驳回时必填）。 说明 审核驳回后的流程版本可进行编辑，具体操作请参见管理流程版本。 流程版本状态变化：当前流程仅有一个流程版本时，审核通过后的流程“版本状态”默认为“已激活”。 8. 单击“确定”，完成审核流程版本。 启用流程 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程所在行的“操作”列，单击“启用”，页面弹出启用确认框。 6. 在弹出的确认框中，选择启用的流程版本后，单击“确定”，完成流程启用。

操作步骤 注意 操作都是以root账号操作，云主机中没有运行其他的进程，避免端口被占用。 步骤一：放开云主机TCP22330端口 1. 登录“控制中心”，点击“计算>弹性云主机”进入弹性云主机控制台页面。 2. 找到目标云主机，点击名称进入云主机详情页。 3. 在详情页下方，点击“安全组”页签，在该页签默认安全组下点击“添加规则”，具体操作请参考添加安全组规则。 4. 添加“入方向”规则，各参数选项如下图。 5. 添加完成之后，在默认安全组下会显示相应的规则。 步骤二：在云主机中挂载文件系统 1. 以root用户登录弹性云主机，登录方式参考登录Linux弹性云主机。 2. 执行以下命令安装NFS客户端。 yum install nfsutils y 3. 执行如下命令创建本地路径“/mnt/wordpressdata”。 mkdir /mnt/wordpressdata 4. 执行如下命令，挂载文件系统。挂载地址可在文件系统详情页获取，“/mnt/wordpressdata”是本地挂载路径。挂载操作请参考挂载NFS文件系统到弹性云主机 (Linux)。 mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,wsize1048576,rsize1048576,timeo600 挂载地址 /mnt/wordpressdata 5. 挂载完成后，通过 df h 查看挂载情况。

本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境 简介 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境。该指导具体操作以CentOS 7.2 64位操作系统为例。 Linux实例手工部署LNMP环境具体操作步骤如下： 1.安装nginx。 2.安装MySQL。 3.安装PHP。 4.浏览器访问测试。 前提条件 1.弹性云主机已绑定弹性公网IP。 2.弹性云主机所在安全组添加了如下表所示的安全组规则，具体步骤参见为安全组添加安全组规则。 表 安全组规则 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 操作步骤 1.安装nginx。 a.登录弹性云主机。 b.执行以下命令，下载对应当前系统版本的nginx包。 wget c.执行以下命令，建立Nginx的yum仓库。 rpm ivh nginxreleasecentos70.el7.ngx.noarch.rpm d.执行以下命令，安装Nginx。 yum y install nginx e.执行以下命令，启动Nginx并设置开机启动。 systemctl start nginx systemctl enable nginx f.查看启动状态。 systemctl status nginx.service g.使用浏览器访问“ 图 测试访问nginx

本节介绍如何处理暴力破解告警事件。 暴力破解是一种常见的入侵攻击行为，攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制，严重危害资产的安全。 态势感知联动企业主机安全服务（HSS），接收HSS检测到的暴力破解行为，集中呈现和管理告警事件，提升运维效率。 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 1. 请立即确认登录主机的源IP的可信情况。 2. 请立即修改被暴力破解的系统账户口令。 3. 请立即执行检测入侵风险账户，排查可疑账户并处理。 4. 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 1. 请及时确认登录主机的源IP的可信情况。 2. 请及时登录主机系统，全面排查系统风险。 3. 请根据实际需求升级HSS防护能力。 4. 请根据实际情况加固主机安全组、防火墙配置。

关闭IPv4公网访问（不支持修改SASL开关） 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 3. 在管理控制台左上角单击，选择“应用中间件 > 分布式消息服务Kafka”，进入分布式消息服务Kafka专享版页面。 4. 单击Kafka实例的名称，进入实例的“基本信息”页面。 5. 在“公网访问”后，单击，完成公网访问的关闭。 您可以在实例的“后台任务管理”页面，查看当前任务的操作进度。任务状态为“成功”，表示操作成功。 关闭公网访问后，需要设置对应的安全组规则（请见表2），才能通过内网成功连接Kafka。 表2 Kafka实例安全组规则（内网访问） 方向 协议 类型 端口 源地址 说明 入方向 TCP IPv4 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP IPv4 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问Kafka实例，无需添加表2的规则。

本章节主要介绍的是配置跨Manager集群互信。 操作场景 当不同的两个Manager系统下安全模式的集群需要互相访问对方的资源时，管理员可以设置互信的系统，使外部系统的用户可以在本系统中使用。 每个系统用户安全使用的范围定义为“域”，不同的Manager系统需要定义唯一的域名。跨Manager访问实际上就是用户跨域使用。 说明 最多支持配置500个互信集群。 对系统的影响 配置跨集群互信后，外部系统的用户可以在本系统中使用，请管理员根据企业业务与安全要求，定期检视Manager系统中用户的权限。 配置跨集群互信时需要停止所有集群，会造成业务中断。 配置跨集群互信后，互信的集群中均会增加Kerberos内部用户“krbtgt/ 本集群域名 @ 外部集群域名 ”、“krbtgt/ 外部集群域名 @ 本集群域名 ”，用户不能删除。请管理员根据企业安全要求，及时且定期修改密码，需同时修改互信系统中4个用户且密码保持一致。具体请参见修改组件运行用户密码。修改密码期间可能影响跨系统业务应用的连接。 配置跨集群互信后，各个集群都需要重新下载并安装客户端 配置跨集群互信后，验证配置后是否可以正常工作，且如何使用本系统用户访问对端系统资源，请参见配置跨集群互信后的用户权限。

此小节介绍登录系统故障。 登录云堡垒机系统异常怎么办？ 问题现象 IP地址无法连接，网页打不开，不能通过互联网页面正常登录。 登录系统后界面异常无法显示。 登录系统提示授权未生效。 AD域认证的用户登录失败。 堡垒机不能正常登录，公网地址也不能访问。 可能原因 原因一：系统磁盘空间满了，磁盘空间使用率过高。 原因二：系统软件版本未更新，存在磁盘空间被占用，未被释放可能。 原因三：用户登录使用浏览器或浏览器版本，与系统不兼容。 原因四：实例配置安全组不合理。 原因五：实例配置VPC内，网络ACL规则配置不合理，或登录IP被网络ACL限制。 原因六：配置AD域认证时，未禁用SSL加密认证。 原因七：堡垒机版本较低。 解决办法 原因一： 定期“手动删除”指定日期前的日志、视频等历史数据。设置磁盘空间满时日志“自动删除”，保证磁盘有足够空间。 对云堡垒机实例进行规格变更，满足大容量磁盘需求。 建议配置系统性能的磁盘空间使用率告警通知，当磁盘空间使用率超过设定阈值时，提示系统消息告警。 原因二： 在云堡垒机管理控制台“重启”云堡垒机实例，检查故障是否解决。若不能解决，需“升级”云堡垒机到最新版本，并根据实际需求进行规格变更。 原因三： 更换浏览器或升级浏览器版本，Web登录推荐使用浏览器及版本。 原因四： 若因安全组配置不合理导致异常，请先排查安全组规则，并根据CBH建议安全组规则，配置安全组规则，再重新登录云堡垒机系统。 原因五： 若因网络ACL配置不合理导致异常，请先排查网络ACL规则，并参考CBH安全组规则放开出/入方向端口，再重新登录云堡垒机系统。 若因云堡垒机登录IP被网络ACL限制，请先排查网络ACL规则，并重新配置ACL规则，添加云堡垒机公网IP（即弹性IP）为允许。 说明 浏览器登录云堡垒机需放开入方向TCP协议22333端口，SSH客户端登录云堡垒机需放开入方向TCP协议2222端口。 原因六： 系统管理员admin登录云堡垒机系统，重新配置AD域认证，取消SSL加密认证。 检查用户登录IP地址和MAC地址是否被加入用户访问限制，请参见用户登录限制。 检查访问控制策略是否限制了用户IP地址，请参见访问控制限制。 如果通过上述排查，仍然无法登录云堡垒机系统，请单击管理控制台右上方的“工单”，填写工单反馈问题现象，联系技术支持。

为减少安全隐患和稳定性风险,云容器引擎建议用户及时升级kubernetes版本。用户使用云容器引擎控制台升级集群的Kubernetes版本,本文介绍集群升级前后的注意事项、升级流程、操作步骤等。 升级集群的好处 云容器引擎使用kubernetes的原生v . . 版本语义，目前尚只支持4个次要版本，分别为v1.23.3, v1.25.6, v1.27.8, v1.29.3版本。云容器引擎会定期发布支持的Kubernetes版本并逐步停止对过期版本的技术支持。建议使用v1.23.3版本的用户尽快升级到更高版本kubernetes，已获得更好的使用体验。 主动升级集群有以下好处： 降低安全和稳定性风险：随着Kubernetes版本迭代，会不断优化及修复发现的安全及稳定性漏洞，长久使用过期版本集群会给业务带来安全和稳定性风险。 享受更好的维护支持：对于过期Kubernetes版本，云容器引擎不再提供安全补丁和问题修复，也无法保证过期版本的技术支持质量。使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的新功能：随着社区Kubernetes版本的演进，新版本包含新的功能和改进，云容器引擎也将适配新版本，为您带来更好的开发和运维体验。

本文介绍弹性文件服务安全文件系统加密方面的内容。 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 文件系统加密具体操作步骤请参见加密。

本文介绍弹性文件服务安全文件系统加密方面的内容。 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 文件系统加密具体操作步骤请参见加密。

分类 高危操作 导致后果 误操作后解决方案 master节点 修改集群内节点安全组 可能导致master节点无法使用 说明 命名规则：集群名称ccecontrol随机数 参考购买混合集群，对安全组进行修复，放通安全组。 master节点 节点到期或被销毁 该master节点不可用 不可恢复。 master节点 重装操作系统 master组件被删除 不可恢复。 master节点 自行升级master或者etcd组件版本 可能导致集群无法使用 回退到原始版本。 master节点 删除或格式化节点/etc/kubernetes等核心目录数据 该master节点不可用 不可恢复。 master节点 更改节点IP 该master节点不可用 改回原IP。 master节点 自行修改核心组件（etcd、kubeapiserver、docker等）参数 可能导致master节点不可用 按照推荐配置参数恢复，详情请参见集群管理>配置管理。 master节点 自行更换master或etcd证书 可能导致集群不可用 不可恢复。 worker节点 修改集群内节点安全组 可能导致节点无法使用 说明 命名规则：集群名称ccenode随机数 参照购买混合集群，对安全组进行修复，放通安全组。 worker节点 节点被删除 该节点不可用 不可恢复。 worker节点 重装操作系统 节点组件被删除，节点不可用 重置节点，具体请参见重置节点。 worker节点 升级节点内核 可能导致节点无法使用或网络异常 说明 CCE集群依赖系统内核版本，如非必要，请不要使用yum update更新或重装节点的操作系统内核（使用原镜像或其它镜像重装均属高危操作） worker节点 更改节点IP 节点不可用 改回原IP。 worker节点 自行修改核心组件（kubelet、kubeproxy等）参数 可能导致节点不可用、修改安全相关配置导致组件不安全等 按照推荐配置参数恢复。 worker节点 修改操作系统配置 可能导致节点不可用 尝试还原配置项或重置节点，具体请参见重置节点。 worker节点 删除/opt、/var/paas目录，删除数据盘 节点不可用 重置节点，具体请参见重置节点。 worker节点 修改节点内目录权限、容器目录权限等 权限异常 不建议修改，请自行恢复。 worker节点 对节点进行磁盘格式化或分区 节点不可用 重置节点，具体请参见重置节点。 worker节点 在节点上安装自己的其他软件 导致安装在节点上的Kubernetes组件异常，节点状态变成不可用，无法部署工作负载到此节点 卸载已安装软件，尝试恢复或重置节点，具体请参见重置节点

共享盘类型选择 安全需求优先 NAS 共享盘：如果您极其重视数据安全，且希望数据仅在天翼AI云电脑环境内流转，不暴露在公网环境中，NAS 共享盘是匹配高密级数据场景的选择。它只能通过AI云电脑挂载访问，这种特性极大地降低了数据在公网环境下可能面临的安全风险，为数据提供了更可靠的安全保障。例如，对于一些对数据保密性要求极高的企业，如金融、科研等行业，其核心数据的存储和共享使用 NAS 共享盘能有效防止数据泄露。 网络共享盘：虽然网络共享盘也具备一定的安全措施，但由于支持公网访问，相比之下，数据面临的安全风险会略高一些。不过，它的权限管控和访问审计功能非常强大，能通过细致的权限设置和全面的操作记录，对企业内部的数据访问进行严格管理和监控，从而在一定程度上保障数据安全。适用于对合规性管理要求较高的大型企业，即便数据在公网环境下有访问需求，也能通过严格的权限和审计机制降低风险。 功能需求侧重 NAS 共享盘：主要功能在于满足基本的文件共享存储需求。在企业内部，员工可以便捷地共享办公文档、项目资料等，提供一个集中的文件管理平台。如果您的企业或团队主要需求是简单高效地进行文件共享，对其他复杂功能需求较少，NAS 共享盘完全可以满足日常工作中的文件协作需求。 网络共享盘：除了文件共享功能外，更强调权限管控、访问审计以及与其他企业系统的集成功能。对于大型企业而言，不同部门和职位对数据的访问和操作权限有严格要求，网络共享盘能够设置细致的权限，满足这种精细化管理需求。同时，与 ERP、CRM 等系统的集成功能，能实现企业数据的无缝流通，提高整体信息化管理水平，促进业务流程的自动化和数据的统一管理，适合业务流程复杂、信息化程度高的大型企业。

本节介绍如何进行集群扫描设置，包括是否自动扫描新增集群、扫描周期。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 单击页面右上角的设置图标，进入集群设置页面。 4. 在基本设置页面内，可以设置是否自动扫描新增集群、扫描周期。

操作流程 云服务备份数据库备份的主要流程如下图所示。 更改安全组：使用数据库备份前需要先更改云服务器的安全组。 安装agent：更改云服务器的安全组和在云服务器安装agent没有严格的先后顺序，在执行服务器备份前完成两项操作即可。 创建数据库备份：在备份服务器前创建数据库备份存储库后，绑定相应的云服务器，即可创建数据库备份。 修改或编写自定义脚本：在完成控制台上的数据库备份后，需要在云服务器中的数据库上修改或编写自定义脚本，才能完成数据库备份。 验证数据库备份结果：使用自定义脚本实现数据库备份后，可以通过操作验证数据库备份结果是否成功。 恢复服务器数据：可以使用备份恢复云服务器的数据，数据库应用和数据等将与备份时间点的数据保持一致。