本文为您介绍镜像服务的产品定义及产品类型。 镜像服务（CTIMS，Image Management Service）是弹性云主机可选择的运行环境模板，一般包括操作系统和预装软件。通过镜像用户可以在弹性云主机上实现应用场景的快速部署。 镜像类型 镜像分为公共镜像、私有镜像、共享镜像、安全产品镜像、应用镜像和云镜像市场。 公共镜像为系统默认提供的镜像。 私有镜像为用户自己创建的镜像。 共享镜像为其他用户共享的私有镜像。 安全产品镜像为预装了一些安全组件的镜像。 应用镜像为预装了一些常用应用与工具的镜像。 云镜像市场是由天翼云构建的标准化镜像服务平台，联合第三方镜像服务商（ISV）为用户提供预集成化的云主机镜像及配套服务。 详情如表所示： 镜像类型 说明 公共镜像 标准的操作系统镜像，所有用户均可以使用，包括操作系统以及预装的公共应用。 公共镜像的维护由天翼云提供，公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 官方公共镜像支持的操作系统类型包括：CentOS、Ubuntu、Windows、CTyunOS、KylinOS、Anolis、openEuler、Debian。当前大部分公共镜像免费，仅部分镜像收费，以控制台收费详情为准。 当前麒麟及统信镜像为不提供license的免费公共镜像，license需要用户自行购买。 私有镜像 私有镜像为用户自己基于实例或快照创建的镜像，或者从本地导入的镜像，包含已部署的应用或数据库等信息，仅用户自己可见。 私有镜像在标准上和安全性上不如公共镜像，用户需要自己把控自己使用的私有镜像，天翼云不保证用户私有镜像的安全性与可用性。 私有镜像包括系统盘镜像、数据盘镜像，其中： 系统盘镜像：包含用户运行业务所需的操作系统、应用软件的镜像，系统盘镜像可以用于创建弹性云主机，迁移用户业务到云； 数据盘镜像：只包含用户业务数据的镜像，数据盘镜像可以用于创建云硬盘，将用户的业务数据迁移到云上。 整机镜像：包含系统盘与数据盘，使用挂载有数据盘的云主机创建的整机镜像包含操作系统、应用软件，以及用户的业务数据。可用于快速发放相同配置的弹性云主机，实现数据搬迁。 共享镜像 其他用户共享出来的镜像，用户不用制作镜像就可以使用。 安全产品镜像 安全产品镜像为预装了一些安全组件的镜像，如DAS、EDR、网页防篡改等。 应用镜像 与基础的公共镜像相比，应用镜像预装了一些常见应用，可以实现快速部署特殊应用的目的。 云镜像市场 天翼云云镜像市场是由天翼云构建的标准化镜像服务平台，联合第三方镜像服务商（ISV）为用户提供预集成化的云主机镜像及配套服务。镜像市场中所有镜像均基于天翼云云主机操作系统深度定制，预封装了如DeepSeek大模型、数据库工具、运维管理面板等软件堆栈，实现云端应用的即开即用。用户可通过云镜像市场快速部署具备特定功能场景的云主机实例，大幅提升资源交付效率，让云主机即开即用、省时方便。

开源对比 相较于开源自建RabbitMQ，分布式消息服务RabbitMQ在低成本运维、堆积性、可观测性、集群可用性、安全保证、操作日志、OpenApi访问等方面更具优势。 对比项 开源自建 分布式消息服务RabbitMQ版 低成本运维 需要专业人员资源规划、部署、运维 一键开通，全托管。提供多种规格，按需使用，支持一键式节点数、磁盘存储空间和节点规格扩容。 堆积性 抗堆积性差，容易引发内存问题导致宕机 提供云原生引擎类型，支持海量消息堆积不受影响 可观测性 通过Management UI能够获取丰富的指标，但需要自建指标存储及展示的系统 提供监控告警能力，指标丰富，维度可精确到Vhost、Exchange和Queue，便于您快速发现和定位问题 集群可用性 需配套解决集群多节点负载均衡设置 集群内置负载均衡，支持跨AZ部署 安全保证 需要自行进行安全加固 VPC隔离，支持SSL通道加密 操作日志 无，需要自己开发 可追溯租户管理操作的记录 OpenApi访问 无，需要自己开发 提供简单的实例管理RESTFul API，使用门槛低

本节介绍智算套件概述。 前提条件 已创建云容器引擎智算版集群。 套件介绍 套件名称 版本 套件说明 驱动管理 1.0.2 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 1.8.0 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 1.0.5 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 1.0.3 为集群提供集群巡检、故障诊断等能力。 网络 1.0.3 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 1.0.0 支持数据集版本管理，提供弹性加载能力。 弹性训练 1.0.5 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 1.0.0 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 1.0.9 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 1.0.7 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

本文为您介绍密钥管理服务的定义及产品架构。 密钥管理服务（Key Management Service，KMS）是一站式密钥管理和数据加密服务平台，提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成，实现云上原生数据的加密保护。 产品架构 业务组件 业务组件 说明 参考文档 密钥管理 密钥管理组件提供密钥安全托管存储、生命周期管理以及密码运算能力。您可以在自建应用程序中，通过KMS提供的云原生接口实现数据加解密、签名验签等运算，同时KMS已对接天翼云云硬盘、对象存储、弹性文件、关系数据库MySQL版，为云服务提供服务端加密能力。 密钥管理概述 证书管理 证书管理组件提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书管理概述

信息类型 参数 说明 基本信息 名称 DCS缓存实例的名称。单击“名称”后的可以修改实例名称。 基本信息 状态 DCS缓存实例状态。 基本信息 ID DCS缓存实例的ID。 基本信息 缓存类型 DCS的缓存类型，同时还会展示版本号，例如，Redis 5.0。 基本信息 实例类型 DCS缓存实例类型，支持“单机”、“主备”、“读写分离”、“Proxy集群”和“Cluster集群”。 基本信息 规格 DCS缓存实例规格。 基本信息 已用/可用内存 (MB) DCS缓存实例已经使用的内存量和您可以使用的最大内存量。 已使用的内存量包括两部分： 用户存储的数据； Redisserver内部的buffer（如client buffer、replbacklog等），以及内部的数据结构。 基本信息 CPU DCS缓存实例的CPU。 基本信息 企业项目 企业项目。单击参数后的可以修改企业项目。 基本信息 维护时间窗 运维操作时间。单击参数后的可以修改时间窗。 基本信息 描述 DCS缓存实例的描述信息。单击“描述”后的可以修改描述信息。 连接信息 访问方式 当前支持密码访问和免密访问两种方式。 连接信息 连接地址 DCS缓存实例的IP和端口号。单击连接地址后的可以修改端口号。 说明 DCS服务对接DNS之后创建的实例会显示域名连接地址，在此之前创建的实例仅支持IP地址，且不支持变更为域名连接地址的模式。 如果是Redis 4.0、Redis 5.0和Redis 6.0的主备实例，“连接地址”表示主节点的域名和端口号，“只读地址”表示备节点的域名和端口号。客户端连接时，可选择主节点或备节点的域名和端口号。 仅Redis 4.0/5.0/6.0实例支持修改端口，Redis 3.0实例不支持。 连接信息 IP地址 DCS缓存实例的IP和端口号。 网络信息 可用区 缓存节点所属的可用区。 网络信息 虚拟私有云 DCS缓存实例所在的私有网络。 网络信息 子网 DCS缓存实例所属子网。 网络信息 安全组 DCS缓存实例所关联的安全组。 当前仅Redis 3.0支持安全组访问控制，单击“安全组”后的可以修改安全组。 Redis 4.0及以上版本实例是基于VPCEndpoint，暂不支持安全组。 付费信息 计费方式 按需计费 付费信息 创建时间 DCS缓存实例开始创建时间。 付费信息 运行时间 DCS缓存实例完成创建时间。 实例拓扑 查看实例拓扑图，将鼠标移动到具体实例图标，可以查看该实例的总体监控信息，或者单击实例图标，可以查看实例历史监控信息。 仅主备、读写分离和集群实例显示实例的拓扑图。

本文汇总了使用虚拟私有云产品时常见的使用虚拟私有云与子网类问题。 什么是虚拟私有云？ 虚拟私有云（Virtual Private Cloud，以下简称VPC），为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 图 产品架构 VPC中可以使用哪些网段（CIDR）？ 您可以在指定的私有IP网段范围内，选择VPC的网段。VPC网段的选择需要考虑以下两点： IP地址数量：要为业务预留足够的IP地址，防止业务扩展给网络带来冲击。 IP地址网段：当前VPC与其他VPC、云下数据中心连通时，要避免IP地址冲突。 当前VPC支持的网段如下： VPC网段 IP地址范围 最大IP地址数 10.0.0.0/8~24 10.0.0.010.255.255.255 2^24216777214 172.16.0.0/12~24 172.16.0.0172.31.255.255 2^2021048574 192.168.0.0/16~24 192.168.0.0192.168.255.255 2^16265534

基线核查主要是针对主机的操作系统、数据库、虚拟化设备、软件基础、应用程序的配置合规性进行检查，并提供检测结果说明和加固建议。 功能说明 基线检查功能进行系统安全加固，降低入侵风险并满足安全合规要求。 展示基线漏洞详细信息以及漏洞发生IP地址。 记录基线合规相关风险信息，其中包括终端IP地址、基线名称、基线检查类型、发现时间及是否修改符合。

本小节介绍证书管理服务术语解释。 SSL证书 SSL证书是一种数字证书，用于在互联网上建立安全通信连接。SSL代表安全套接层（Secure Sockets Layer），它在客户端和服务器之间创建加密通道，确保敏感数据在传输过程中不会被未经授权的第三方截获或篡改。 签发（CA）机构 签发机构（Certificate Authority，CA）是一种可信的第三方机构，负责验证和签发数字证书。CA在互联网通信中发挥重要作用，确保通信的安全性和可靠性。 证书有效期 证书有效期指的是数字证书的有效时间范围，即从SSL证书的颁发日期到过期日期之间的时间段。在这段有效期内，SSL证书被认为是可信和有效的。 HTTPS加密协议 HTTPS（Hypertext Transfer Protocol Secure）是一种通过加密和身份验证来保护数据传输安全的网络通信协议。它是基于HTTP协议的安全版本，通过使用SSL（Secure Sockets Layer）或TLS（Transport Layer Security）协议来实现通信的加密和认证。 域名类型 证书域名类型分为单域名证书、通配符证书（泛域名证书）和多域名证书，不同域名类型的证书对应了它们适用的域名范围： 单域名证书适用于单个特定域名，例如：ctyun.cn。 通配符证书（泛域名证书）适用于一个主域名及其所有的子域名。 多域名证书可适用于多个相似域名，例如：ctyun.cn、ctyun.com、ctyun.com.cn、.ctyun.cn。

本文为您介绍接入域名时，如何配置放行回源IP地址段。 WAF使用特定的回源IP段，将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护后，您需要将回源IP段添加到源站安全软件的白名单中，放行该回源IP段。 为什么要放行回源IP段 WAF采用CNAME的方式将原本去向网站的请求转向到WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。此时由于网站接入WAF，访问网站的IP实际上变成了WAF的回源IP段，从网站的角度来看，访问其的来源IP变得更加集中，访问频率变得更高，服务器上的防火墙或安全软件很容易认为这些IP在发起攻击，从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑，WAF的请求将无法得到源站的正常响应。因此，在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 注意 将源站加入白名单的操作需要将源站的回源IP加入到业务整个访问链路上所有安全设备的白名单，例如边界防火墙白名单、IPS设备白名单、源站服务器中的安全组白名单以及服务器上具备访问控制能力的安全软件的白名单等。

本文主要介绍连接未开启SASL的Kafka实例。 本章节介绍如何使用开源的Kafka客户端访问未开启SASL的Kafka实例的方法，其中包含在内网中通过同一个VPC连接实例和通过公网连接实例两个场景。如果是使用DNAT访问实例，请参考使用DNAT访问Kafka实例。 多语言客户端的使用，请参考Kafka官网： 说明 本章节主要描述使用命令行模式连接Kafka实例。 Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过修改配置参数来修改单IP的连接数。 前提条件 1.已配置正确的安全组。 访问未开启SASL的Kafka实例时，实例需要配置正确的安全组规则，具体安全组配置要求，请参考表安全组规则。 2.已获取连接Kafka实例的地址。 如果是使用内网通过同一个VPC访问，实例端口为9092，实例连接地址获取如下图。 图使用内网通过同一个VPC访问Kafka实例的连接地址（实例未开启SASL） 如果是公网访问，实例端口为9094，实例连接地址获取如下图。 图公网访问Kafka实例的连接地址（实例未开启SASL） 3.如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 4.已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本或者Kafka命令行工具2.7.2版本，确保Kafka实例版本与命令行工具版本相同。 5.已创建弹性云服务器，如果使用内网通过同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。在弹性云服务器中安装Java Development Kit 1.8.111或以上版本，并配置JAVAHOME与PATH环境变量，具体方法如下： 使用执行用户在用户家目录下修改“.bashprofile”，添加如下行。其中“/opt/java/jdk1.8.0151”为JDK的安装路径，请根据实际情况修改。 export JAVAHOME/opt/java/jdk1.8.0151 export PATH$JAVAHOME/bin:$PATH 执行source .bashprofile命令使修改生效。

本节主要介绍OBS安全性相关问题。 我的数据存在OBS中，如何保证安全性？ OBS本身是非常安全的。OBS本身也提供端到端的安全服务。访问桶或对象时，如果桶或对象未公开，只有桶或对象的拥有者才能够访问，访问时需要提供访问密钥（AK/SK）。您还可以使用各种访问控制机制，例如桶策略和访问控制列表（ACL），选择性地向您的用户和用户组授予权限。传输数据时，OBS支持HTTPS/SSL协议；如果您需要更高安全性，可以开启服务端加密功能。 OBS会不会扫描我的数据用于其他用途？ 系统对数据做的扫描仅限于判断数据块是否存在和被损坏（如有损坏，会启动修复），不会读取具体的内容。 后台工程师能否导出我存在OBS中的数据？ 后台工程师无法导出用户数据。访问桶或对象时，如果桶或对象未公开，只有桶或对象的拥有者才能够访问，访问时需要提供访问密钥（AK/SK）。 OBS如何保证我的数据不会被盗用？ 只有桶或对象的拥有者才能访问，访问时需要提供访问密钥（AK/SK），并且还有ACL、桶策略、防盗链等多种访问控制机制保证数据的访问安全。 在使用AK和SK访问OBS过程中，密钥AK和SK是否可以更换？ 可以。在使用过程中，密钥AK和SK可以随时更换。 多个用户是否可以共享一对AK和SK来访问OBS？ 可以。不同的用户使用相同的一对AK和SK可以同时访问OBS中的资源，且访问到的资源相同。

本章节主要介绍翼MapReduce的多租户功能。 定义 多租户是MRS集群中的多个资源集合（每个资源集合是一个租户），具有分配和调度资源的能力。资源包括计算资源和存储资源。 背景 现代企业的数据集群在向集中化和云化方向发展，企业级大数据集群需要满足： 不同用户在集群上运行不同类型的应用和作业（分析、查询、流处理等），同时存放不同类型和格式的数据。 某些类型的用户（例如银行、政府单位等）对数据安全非常关注，很难容忍将自己的数据与其他用户的放在一起。 这给大数据集群带来了以下挑战： 合理地分配和调度资源，以支持多种应用和作业在集群上平稳运行。 对不同的用户进行严格的访问控制，以保证数据和业务的安全。 多租户将大数据集群的资源隔离成一个个资源集合，彼此互不干扰，用户通过“租用”需要的资源集合，来运行应用和作业，并存放数据。在大数据集群上可以存在多个资源集合来支持多个用户的不同需求。 对此，MRS企业级大数据集群提供了完整的企业级大数据多租户解决方案。 优势 合理配置和隔离资源 租户之间的资源是隔离的，一个租户对资源的使用不影响其他租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，其资源消费能够被测量和统计。 保证数据安全和访问安全 多租户场景下，分开存放不同租户的数据，以保证数据安全；控制用户对租户资源的访问权限，以保证访问安全。

态势感知（专业版）根据常用场景内置了多种模型模板（包括场景说明、模型原理、处置建议、使用约束等信息），本节介绍如何查看已有模型模板。 操作场景 态势感知（专业版）支持利用模型对管道中的日志数据进行扫描，如果不在模型设置范围内容，将产生告警提示。模型是基于模板而创建的，因此，需利用已有模板创建模型。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析 > 智能建模”，进入智能建模页面后，选择“模型模板”页签，进入模型模板页面。 5. 在模型模板页面，查看已有模型模板。 参数名称 参数说明 模型模板统计 显示可用模板和活跃模板数量。 可用模板：可用的模板总数。 活跃模板：指已经被用来创建模型的模板，会被统计为活跃模板。使用模板创建模型请参见新建或编辑模型。 严重程度 显示当前已有模板的严重程度统计情况，与模板关联的告警的严重程度一致，包含致命、高危、中危、低危、提示级别。 致命：致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危：高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危：中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危：低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示：对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。 模板列表 模板列表中，显示当前已有模板的严重程度、名称、模型类型、更新时间和创建时间等信息。 如需查看某个模型模板的详细信息，可单击模板所在行“操作”列的“详情”，右侧弹出当前模板详情页面。 在详情页面中可以查看当前模型模板的描述信息、查询规则、触发条件、查询计划等信息。

本章节为您介绍运维日志相关内容。 运维日志模块是保障数据库运维操作安全和合规的重要工具，通过记录和分析与数据库运维相关的操作日 志 ，帮助您确保运维操作的透明性和合法性。 该模块提供详细的日志信息和多条件筛选功能 ，支持安全 监控和问题排查 ，确保运维操作的合规性 ，有效提升数据库的运维管理水平。 运维日志主要包含 ： 身份权限相关日志 账号过期相关日志 僵尸账号相关日志 安全认证相关日志 登录超时相关日志 强管控阻断相关日志 检索运维日志 1.在左侧菜单栏选择“查询分析 > 运维日志”进入运维日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关运维日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看运维日志详情 1.在左侧菜单栏选择“查询分析 > 运维日志”进入运维日志页面。 2.在运维日志列表中，单击日志条目右侧的“详情”可以查看该运维记录的详细信息，包括运维记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击运维日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的运维日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的运维日志详情文件。

本节介绍了添加网卡的操作场景、操作步骤、后续任务。 操作场景 当您的弹性云主机需要多个网卡时，可以参考下面步骤为弹性云主机添加网卡。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 单击待添加网卡的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“弹性网卡”页签，并单击“绑定弹性网卡”。 6. 选择待增加的子网和安全组，如下图所示。 图 选择子网和安全组 安全组：您可以同时勾选多个安全组，此时，弹性云主机的访问规则遵循几个安全组规则的并集。 私有IP地址：如果需要给弹性云主机添加一张指定IP地址的网卡，用户需填写“私有IP地址”。 7. 单击“确定”。 后续任务 部分操作系统无法识别新添加的网卡，需手动激活网卡。下面以Ubuntu系统为例介绍具体激活网卡的操作步骤，其他操作系统请自行完成相关操作，如有问题，请参见对应操作系统的官网指导或手册来完成操作。 1. 在弹性云主机所在行的“操作”列下，单击“远程登录”。 登录弹性云主机。 2. 执行如下命令，查看网卡名称。 ifconfig a 例如，查询到的网卡名为：eth2。 3. 执行如下命令，进入相应目录。 cd /etc/network 4. 执行如下命令，打开interfaces文件。 vi interfaces 5. 在interfaces文件中，增加类似如下信息。 auto eth2 iface eth2 inet dhcp 6. 执行如下命令，保存并退出interfaces文件。 :wq 7. 执行命令ifup ethX或/etc/init.d/networking restart，使新增网卡生效。 上述命令中的X为具体的网卡名称序号，例如，ifup eth2。 8. 执行如下命令，查看回显信息中是否包括2查询到的网卡。 ifconfig 例如，回显信息中包含网卡eth2。 是，表示新增网卡生效，结束。 否，表示新增网卡未生效，执行9。 9. 登录管理控制台，在弹性云主机所在行的“操作”列下，选择“更多”，并单击“重启”。 10. 再次执行命令ifconfig，查看回显信息中是否包括2查询到的网卡。 1. 是，结束。 2. 否，请联系客服获取技术支持。

功能分类 功能项 功能描述 防护功能 DDoS网络层防护 支持TCP、UDP、ICMP网络协议防护，如SYN Flood ，ACK Flood，空连接等。 防护功能 畸形报文防护 支持对Ping of Death、Tear Drop、LAND、Fraggle等畸形报文进行过滤，判断报文合法性，丢弃异常请求。 防护功能 CC防护 CC防护根据访问者的URL，频率，行为等访问特征，智能识别CC攻击，避免源站资源耗尽，保证企业网站的正常访问。 防护功能 访问控制 可针对IP，IP段，IP端口，URI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 防护功能 频率控制 支持针对特定报文（十余种粒度组合），选择URL、ARGS、Header、Cookie、UA、IP其中一个或两个粒度进行频率统计，并设置对应的处理动作，以对高频请求进行控制。 告警策略 应用层CC告警 支持自定义CC攻击告警策略，对持续时长、QPS峰值、攻击次数进行监控和告警。 告警策略 网络层告警 支持自定义网络层攻击告警策略，对持续时长、pps峰值、bps峰值进行监控和告警。 告警策略 告警勿扰时间 支持设置勿扰时间，在特定时间内不进行告警。 业务接入 域名接入 支持HTTP、HTTPS、HTTP2协议的域名进行自助接入配置。 支持自定义回源HTTP请求头。 支持多个源站或域名回源，并对源站设置层级和权重。 支持指定回源协议或配置跟随协议。 支持请求强制跳转，即将请求的HTTP强制302跳转至HTTPS进行请求。 业务接入 端口接入 支持UDP、TCP协议协议的域名进行自助接入配置。 支持配置转发端口或转发端口段。 支持多个源站或域名回源。 安全分析 安全报表 支持查看CC安全报表、网络层安全报表，通过攻击趋势、攻击源TOP分析、攻击目标TOP分析等，掌握攻击态势。 安全分析 攻击事件 支持查看、导出CC攻击事件、网络层攻击事件。 业务分析 日志下载 支持下载业务请求全量日志，以对业务情况进行深入分析，为攻击排查，业务决策提供输入信息。 业务分析 业务用量 支持查看流量、带宽、请求次数、QPS、连接数、并发连接数、响应状态码的趋势，以掌握业务运行情况。

联系服务人员 如果无法确定原因并解决问题，请联系企业管理员。 为什么在互联网环境连接DWS后，解绑了EIP不会立即返回失败消息？ 这是因为解绑了EIP后，会导致网络断开。但是此过程中，TCP协议层因keepalive等的设置，无法及时识别物理连接已经故障，导致gsql，ODBC和JDBC等客户端无法及时识别网络故障。 客户端等待数据库返回的时间与keepalive参数的设置相关，具体可以表示为：keepalivetime + keepaliveprobes keepaliveintvl。 因为keepalive参数涉及到网络的通信的稳定性，所以可根据具体的业务压力与网络状况进行调整。 如果是Linux环境，使用sysctl命令修改如下参数： net.ipv4.tcpkeepalivetime net.ipv4.tcpkeeapliveprobes net.ipv4.tcpkeepaliveintvl 以修改net.ipv4.tcpkeepalivetime参数值为例，执行如下命令将参数值修改为120秒： sysctl net.ipv4.tcpkeepalivetime120 如果是Windows环境，修改注册表“HKEYLOCALMACHINESYSTEMCurrentControlSetservicesTcpipParameters”中的如下配置信息： KeepAliveTime KeepAliveInterval TcpMaxDataRetransmissions（相当于tcpkeepaliveprobes） 说明 如果以上参数不在注册表“HKEYLOCALMACHINESYSTEMCurrentControlSetservicesTcpipParameters”中，可以在注册表编辑器对应路径下右键单击“新建 > DWORD值”进行添加。 使用公网IP连接集群时如何设置白名单？ 用户可以登录VPC管理控制台手动创建一个安全组，然后回到DWS 创建集群页面，单击“安全组”下拉列表旁边的按钮，刷新后在“安全组”下拉列表中选择新建的安全组。 为了使DWS客户端可以连接集群，用户需要在新建的安全组中添加一条入规则，开放DWS 集群的数据库端口的访问权限。 协议：TCP。 端口范围：8000。指定为创建DWS 集群时设置的数据库端口，这个端口是DWS 用于接收客户端连接的端口。 源地址：选中“IP地址”，然后指定为客户端主机的IP地址，例如“192.168.0.10/32”。 添加入方向规则 添加完成后，即设置白名单成功。

配置暴力破解规则 说明 Agent 版本低于 5.1.0，不支持配置自定义规则功能，使用此功能需升级 Agent 版本。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在暴力破解模块，单击“规则配置”按钮，开始暴力破解规则设置。 4. 配置暴力破解规则参数。 参数说明如下： 参数 说明 检查阈值 配置服务器在一段时间内连续登录失败超过的次数。 时间配置限制：11440分钟。 登录失败次数限制：1100次。 封禁时长 选择封禁时长，支持选择：不封禁、5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时。 防护场景 选择需要配置的防护场景，默认选择RDP暴力破解 、SSH暴力破解 ，支持选择FTP暴力破解 、MySQL暴力破解 、SQLServer暴力破解。 5. 当所有字段都设置完成后，单击“确认”。 配置勒索诱饵防护 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在勒索诱饵防护模块，单击“配置规则”，开始配置勒索诱饵防护。 4. 在页面右侧弹出的防护设置页面，配置防护参数。 参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动隔离。 手动处理：人工手动对勒索病毒文件进行处理。 自动隔离：检测出勒索病毒文件自动隔离。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。 指定防护目录 根据用户的特定防护场景，可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 5. 配置完成后，单击“确认”。 绑定存储库：选择一个可用状态的存储库，备份数据大小应小于存储库剩余容量。

弹性负载均衡是否支持TCP长连接？ 客户端到弹性负载均衡之间支持TCP长连接。长连接可以省去较多的TCP建立和关闭的操作，减少浪费，节约时间。对于频繁请求资源的客户来说，适合长连接。 注意：当后端主机发生迁移时、弹性负载均衡和后端主机的连接会中断，继而造成TCP长连接出现中断，需要客户端重新发起连接请求。 弹性负载均衡是否支持后端FTP服务？ 弹性负载均衡不支持后端FTP服务。如果是搭建FTP服务的场景，请避免使用弹性负载均衡进行流量分发。 弹性负载均衡是否有防DDoS攻击和Web代码层次安全的功能？ 弹性负载均衡没有防DDoS攻击和Web代码层次安全的功能。如果有相关的安全需求，请在后端主机进行相应的安全防范。 弹性负载均衡对于IPv6网络的支持情况是怎样的？ 弹性负载均衡支持通过IPv6地址对私网和公网提供服务。 对私网提供服务：创建负载均衡器时，如果选择已开启IPv6的VPC和子网，可以为选择负载均衡器分配IPv6地址。负载均衡可通过该IPv6地址对VPC提供私网服务。 对公网提供服务：创建负载均衡器时，如果选择已开启IPv6的VPC和子网，可以为选择弹性负载均衡实例分配IPv6地址。为分配了IPv6地址的弹性负载均衡绑定IPv6带宽后，可对通过IPv6地址对公网提供服务。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 kafkalink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 用户名 需要配置MRS Manager的用户名和密码。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 是

参数 描述 数据流动方向 选择“自建自建”。 源数据库引擎 选择“Oracle”。 目标数据库引擎 选择“Kafka”。 网络类型 此处以“公网网络”为示例。目前支持可选公网网络、VPC网络和VPN、专线网络。 可用区 选择DRS实例创建在哪个可用区，选择跟源或目标库相同的可用区性能更优。 VPC 选择可用的虚拟私有云。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步类型 请选择内网安全组。内网安全组限制实例的安全访问规则，加强安全访问。 标签 对于已成功关联企业项目的用户，仅需在“企业项目”下拉框中选择目标项目。 如果需要自定义企业项目，请前往项目管理服务进行创建。关于如何创建项目，详见《项目管理用户指南》。 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见 标签管理。

通过查看数据库安全审计实例的概览信息，您可以查看实例的基本信息、网络配置信息和关联数据库信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 实例列表”，进入实例列表界面。 5. 单击需要查看信息的实例名称，进入实例概览页面。查看实例的“基本信息”、“网络配置信息”和“关联数据库”，相关参数说明如下所示。 实例概览信息参数说明 类别 参数名称 说明 基本信息 实例名称 实例的名称。单击名称后的可以修改实例名称。 基本信息 状态 实例当前的运行状态，包括： 运行中 创建中 故障 已关闭 已冻结 公安冻结 违规冻结 未实名认证冻结 合作伙伴冻结 创建失败 基本信息 实例ID 实例的ID，由系统自动生成。 基本信息 可用区 实例所在的可用区。 基本信息 版本 当前实例的版本。 基本信息 备注 实例的备注信息。单击备注后的可以修改备注信息。 基本信息 性能规格 实例的性能规格。 基本信息 计费模式 实例的计费模式。 基本信息 创建时间 实例创建的时间。 基本信息 企业项目 实例所属的企业项目。 基本信息 剩余天数 实例可以使用的剩余天数。 网络配置信息 虚拟私有云 实例所在的虚拟私有云。 网络配置信息 安全组 实例所在的安全组。 网络配置信息 子网 实例所在的子网。 网络配置信息 内网IP 实例的IP地址。 关联数据库 实例已关联的数据库信息。 单击“管理数据库”，跳转到数据库列表页面。

场景说明 RocketMQ的修改实例的场景描述如下： 在使用RocketMQ时，可能会遇到需要修改实例的场景，例如： 业务变更：当业务需求发生变化，需要修改RocketMQ实例的名称以反映新的业务逻辑时，可以进行实例名称的修改。例如，当新增或调整了某个业务模块，需要将其对应的实例名称修改为更准确的名称，以便于管理和监控。 消息处理速度优化：当消息的处理速度较慢或不稳定时，可以通过调整消息保存时长参数来优化消息的处理效率。例如，可以缩短消息的保存时长，减少消息在系统中的停留时间，以提高消息的实时性和处理速度。 安全配置修改：当需要修改RocketMQ实例的安全配置时，可以进行相应的修改。 需要注意的是，在进行实例的修改时，应该谨慎操作，并根据实际需求和系统情况进行调整。同时，修改实例时应该遵循RocketMQ的最佳实践和建议，以确保系统的稳定性和性能。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、进入实例列表，在实例名称点击修改按钮，直接修改实例名称字段。 4、 点击【管理】按钮进入管理菜单。点击修改配置，在弹出窗口修改实例描述和消息保存时长等信息。 注意 实例描述长度限制为0~256个字符。 您可以调整消息保存时长参数，实现消息容量消耗的控制。安全生产和稳定性保障限制，消息需要至少保留24小时。 要完整支持延时消息的功能，消息需要至少保留48小时。 4、 点击修改安全组，选择变更用户安全组。

本文介绍插件管理相关概念。 态势感知（专业版）支持将安全编排流程中使用的插件进行统一管理。 名词解释 插件 ：是包含函数、连接器、公共库的聚合。插件有自定义插件和商业插件两种类型，其中，自定义的插件可以在集市中显示，也可以在剧本中使用。 插件集 ：是具有相同业务场景的插件集合。 函数 ：是可以在剧本中选用的执行函数，在剧本中执行特定的行为。 连接器 ：是用于连接数据源，将告警、事件等安全数据接入态势感知（专业版），包括事件触发和定时触发两种连接器类型。 公共库 ：是一个公共模块，包含在其他组件中会使用到的API调用和公共函数。

本文主要介绍了密码修改的常规方式。 用户可通过“账号中心安全设置”页面修改登录密码。 操作步骤 1、登录天翼云官网，在首页点击“我的个人中心”进入账号中心的“安全设置”页面，在基本设置 登录密码右侧点击“立即修改“。 2、选择修改方式。可选择“通过短信验证码修改”或“通过邮箱验证码修改”。 注意 若邮箱未验证，选择“通过邮箱验证码修改”后需要先进行邮箱验证。 3、填写验证码后，设置新密码。填写验证码后，根据提示填写新密码，确认密码后点击“提交”即可完成密码修改。 说明 若以上方式均不可用，可拨打客服热线获取帮助。客服热线 4008109889

本章节主要介绍数据仓库服务如何创建集群。 在使用DWS 执行数据分析任务前，您首先要创建一个集群，一个DWS 集群由多个在相同子网中的节点组成，共同提供服务。请参考以下指导创建集群。 创建集群 1.登录DWS 管理控制台。 2.单击左侧导航栏的“集群管理”。 3.在“集群管理”页面，单击右上角“创建数据仓库集群”。 4.选择待创建的集群所属的区域。 区域 ：选择集群所属的工作区域。 可用分区 ：默认即可。 5.选择主机规格。 产品类型 ：根据客户需求选择，例如“ 云数仓 ”类型。 CPU 架构 ：根据客户需求选择，例如“ X86 ”架构。 节点规格 ：默认即可。 节点数量 ：默认即可，至少3个。 6.配置网络参数。 虚拟私有云 ：可以在下拉框中选择已有的虚拟私有云，如果未配置过虚拟私有云，可以单击“查看虚拟私有云”进入虚拟私有云管理控制台，新创建一个虚拟私有云例如“vpcdws”。然后回到DWS 管理控制台的创建集群页面，单击“虚拟私有云”下拉框旁边的进行刷新，再选择新创建虚拟私有云。 子网 ：创建虚拟私有云时会默认创建一个子网，您可以选择对应的子网名。 安全组 ：选择“自动创建安全组”。 自动创建的安全组，将被命名为“DWS ”，出方向允许所有访问，入方向只开放“数据库端口”以允许来自客户端或应用程序的访问。 如果您选择的是自定义创建的安全组，则需要在该安全组中添加一条入方向的规则，向访问DWS 的客户端主机开放DWS 集群的“数据库端口”，如下表所示。添加入规则的具体操作请参见《虚拟私有云用户指南》中的“安全性 > 安全组 > 添加安全组规则”章节。 安全组入规则配置样例 参数名 样例值 协议/应用 TCP 端口 8000 说明 输入创建DWS集群时设置的“数据库端口”，这个端口是DWS用于接收客户端连接的端口，默认为8000。 源地址 选择“IP地址”，输入访问DWS的客户端主机的IP地址和子网掩码，例如“192.168.0.10/16”。 公网访问 ：选择“现在购买”为集群购买一个弹性IP作为集群公网IP。并且，在“带宽”参数中设置弹性IP的带宽。 7.填写集群配置参数。 集群名称 ：输入“dwsdemo”。 集群版本 ：显示为当前集群版本，暂不支持修改。 默认数据库 ：显示为“gaussdb”。暂不支持修改。 管理员用户 ：默认为“dbadmin”，使用默认值即可。集群创建成功后，客户端连接集群数据库时将使用该数据库管理员用户及其密码。 管理员密码 ：输入密码。 确认密码 ：重复输入一次数据库管理员密码。 数据库端口 ：默认即可。客户端或应用程序将通过该端口连接集群中的数据库。 详见下图： 集群配置 8.配置集群所属的“企业项目”。已开通企业项目管理服务的用户才可以配置该参数。默认值为default。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 您可以选择默认的企业项目“default”或其他已有的企业项目。如果要创建新的企业项目，请登录企业管理控制台进行创建，详细操作请参考企业项目管理用户指南。 9.高级配置，在本示例中，选择“默认配置”即可。 默认配置 ：表示以下几项高级配置使用系统默认的配置。 CN部署量：CN即协调节点，默认部署3个CN节点。 自定义 ：选择该选项时页面上将显示CN部署量、这几项高级配置，需要用户进行自定义设置。 10.单击“立即创建”，进入“规格详情”页面。 11.单击“提交”。 提交成功后开始创建。单击“返回集群列表”返回集群管理页面，所创集群的初始状态为“创建中”，集群创建需要时间，请等待一段时间。创建成功后状态更新为“可用”，用户可以开始使用集群。

本节介绍了用户创建弹性云主机成功后远程登录提示密码错误的处理方法。 处理方法 通过检查弹性云主机的网络配置，是否导致弹性云主机Cloudinit失败，检查步骤如下： 弹性云主机所在安全组80端口“出方向”和“入方向”是否放通。 弹性云主机所在子网DHCP是否放通。 说明 弹性云主机所在的安全组80端口、弹性云主机子网DHCP放通后，重启弹性云主机，等待3～5分钟，远程登录输入密码或密钥可以登录。

本节介绍如何查看集群审计日志。 查看事件统计 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看事件统计信息：统计信息分为审计事件总数、操作用户总数、添加事件总数、删除事件总数、更新事件总数、查看事件总数、操作类型分布、资源操作分布、返回状态码、操作用户分布，帮助客户更直观的查看集群内的异常事件分布。 查看日志列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看页面下方的审计日志列表，方便用户溯源事件。 日志列表内，支持按照“安全状态”、“日志级别”、“日志所属阶段”、“操作对象”、“操作类型”、“对应客户端”、“客户端节点IP”、“API响应状态”进行筛选查询。 日志信息参数说明： 参数 说明 日志级别 审计日志根据日志策略可以选择事件保存的等级，根据等级不同，APIServer记录日志的详细程度也不同。 目前支持的日志等级有： None：不记录日志。 Metadata：只记录Request的一些metadata（例如user, timestamp, resource, verb等），但不记录Request或Response的body。 Request：记录Request的metadata和body。 RequestResponse：最全记录方式，会记录所有的metadata、Request和Response的Body。 日志所属阶段 审计日志根据日志策略可以选择在事件执行的某个阶段记录。 目前支持的事件阶段有： RequestReceived：接收到事件且在分配给对应handler前记录。 ResponseStarted：开始响应数据的Header但在响应数据Body发送前记录，这种一般应用在持续很长的操作事件，例如watch操作。 ResponseComplete：事件响应完毕后记录。 Panic：内部出现panic时记录。 操作对象 操作的资源类型。 所在集群 操作对象所属集群。 操作类型 操作类型分为get获取、watch监控、list获取、update更新、create创建、patch修改、delete删除这些类型。 update和patch的区别：update请求需要将整个修改后的对象提交给 k8s；而patch请求只需要将对象中某些字段的修改提交给k8s。 对应客户端 事件服务的客户端名称（在userAgent中定义）。 访问源IPv6/IPv4 事件服务的客户端所在节点的IP地址。 API响应状态 API响应状态码分为以下几类： “1XX”为信息性状态码（informational）。 “2XX”为成功状态码（Success）。 “3XX”为重定向状态码（Redirection）。 “4XX”为客户端错误状态码（Client Error）。 “5XX”为服务端错误状态码。 常用的状态码解释说明如下： 200：OK，请求成功，具体意义根据请求所使用的方法不同而不同。 201：Created，请求成功并创建了资源； 403：Forbidden，表示身份认证通过了，但是对服务器请求资源的访问被拒绝了； 404：Not Found，表示服务器找不到你请求的资源； 409：Conflict，表示请求与服务器当前状态冲突。通常发生在更新资源时，主要是处理并发问题的状态码。 500：Internal Server Error，表示服务器执行请求的时候出错了。 API请求URL API请求URL的地址。 安全状态 安全状态分为正常和异常这两种，异常是指触发了内置策略的事件。 请求时间 事件的请求时间。 4. 单击日志列表内的下拉按钮，可展开查看事件的json格式详情。

创建授权策略 1. 进入服务网格控制台，选择 网格安全中心 > 授权策略，选择命名空间，列表页默认展示当前命名空间下的授权策略。 2. 选择左上角 使用YAML创建，选择配置模板，编辑保存策略即可。 修改授权策略 1. 进入服务网格控制台，选择 网格安全中心 > 授权策略，选择命名空间，列表页默认展示当前命名空间下的授权策略。 2. 选择右侧操作栏的修改，编辑保存策略即可。 删除授权策略 1. 进入服务网格控制台，选择 网格安全中心 > 授权策略，选择命名空间，列表页默认展示当前命名空间下的授权策略。 2. 选择右侧操作栏的删除，即可删除选中的策略。 AuthorizationPolicy配置说明： 字段 类型 必选 说明 selector WorkloadSelector No 工作负载选择器，选择策略生效的工作负载。 rules Rule No 一组匹配规则，至少匹配其中一个才认为是匹配； 1，规则列表为空时，默认不匹配。 2，当Action为ALLOW时，实际行为是所有的请求都被拒绝。 action Action No 授权策略的行为，支持以下可选值： 1，ALLOW：如果匹配则允许访问，action默认值。 2，DENY：如果匹配则拒绝访问。 3，AUDIT：匹配的请求将被审计。 4，CUSTOM：使用外部授权服务对请求进行授权。 provider ExtensionProvider (oneof) No 指定外部授权服务，需要跟actionCUSTOM时一起使用；引用MeshConfig中的extension provider。

2、权限管理 进入权限管理界面，在个人权限中申请“个人手机号信息”与“通讯录个人信息读权限”两个权限和申请通讯录管理中的所有权限。 3、安全设置 进入安全设置界面，配置重定向URL（回调域名）参数，填写AOneId控制台域名。 4、应用发布 配置完成后需要进行应用发布，如不发布应用版本，配置修改无效。 进入版本管理与发布界面，点击“创建新版本”按钮，填写版本详情资料后点击“保存”后发布应用。 管理员创建钉钉同步任务 仅将钉钉的用户与组织信息进行同步到AOne，AOne进行认证管理（即密码由AOne管理）。 1. 登录边缘安全加速。 2. 支持在AOne零信任工作台进行操作。 3. 在左侧导航栏身份第三方组织，选择同步身份源菜单。 4. 点击“添加同步任务”，按需选择同步任务，完成任务配置。

配置安全组白名单 操作步骤 在控制台点击实例所在安全组，入方向规则点击添加规则，在弹出的填写框内的端口处填写“5601,9200,9000”，选择需要配置的策略为IPv4或IPv6，在源地址下方的IP地址格子中填写需要访问设备的出口公网IP地址，点击确定保存。 成功后会在安全组增加对应规则，此时可以通过绑定的公网IP地址端口访问对应对象。 通过公网IP地址接入实例 公网访问配置完成后，实例将会获得一个“公网访问”的IP地址，用户可以通过公网IP地址和端口接入实例。 例如：Kibana可直接点击页面链接进行访问。 Elasticsearch实例可以通过Curl命令查询索引信息： curl u username:password k ' 其中IP为绑定的公网IP，username和password表示实例的用户名和密码。 开启/关闭实例HTTPS访问 云搜索服务默认开启对Elasticsearch实例的HTTPS访问模式，仅在该模式下可以绑定公网IP，您可关闭开关，实例将切换为HTTP访问模式，该模式下实例仅可通过内网访问，已绑定的公网IP将自动解绑。 该功能仅针对购买云搜索服务V1.2.0以上版本适用。

查询分析结果可以通过饼图形式进行展示。 饼图用于表示不同分类的占比情况，通过弧度大小来对比各种分类。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”。 7. 选择“图表统计”页签，并在图表统计页面右侧的“图表类型”中单击。 8. 配置饼图参数。 参数类别 参数名称 参数说明 基本配置 标题 自定义线图标题名称。 图表配置 分类 数据分类。 图表配置 数列值 分类数据对应的数值。 图例配置 显示图例 确认是否显示图例。 图例配置 图例位置 开启显示图例时须配置。 图例在图表中的位置，可以配置为上、下、左和右。 图表设置完成后，左侧可预览配置后的数据分析情况。