本节介绍如何为服务器安装/卸载服务器安全卫士Agent。 服务器安全卫士Agent是安装在云主机上的一款应用软件，用于检测云主机中存在的安全风险。 安装Agent后，才能使用服务器安全卫士的防护能力，包括资产管理、风险管理、入侵检测、网页防篡改等。 如果不安装Agent，将无法对云主机进行安全检测。 使用限制 目前支持安装Agent的操作系统请参见支持的操作系统。 注意 如果您的服务器操作系统不在支持范围内，安装Agent后可能存在兼容性问题，无法保证能正常使用服务器安全卫士（原生版）的防护能力。 如果您的服务器上已安装第三方安全软件，可能会导致服务器安全卫士的Agent无法正常安装和升级 ，建议您先关闭或卸载安全软件后再安装Agent。 安装Agent 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 点击“安装Agent”，弹出安装Agent窗口，按需选择Linux和Windows系统的安装命令。 Linux主机安装Agent 1. 选择Linux系统，复制安装命令。 2. 在Linux云主机中以管理员权限执行安装命令进行安装。 说明 手动安装Agent后，等待5分钟左右会自动连接，请耐心等待（无需重启服务器）。

本节介绍了如何获取天翼云提供的CNAME,并将域名或者业务的DNS解析指向天翼云提供的CNAME,这样访问的请求才能转发到边缘云节点上,达到安全防护效果。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1. 在控制台【安全与加速】—【域名管理】中复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 以DNSPod操作界面为例，配置如下 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctyun.cn，即表示CNAME配置已经生效，功能也已生效。 注意: 配置CNAME完毕，CNAME配置生效后，边缘安全加速平台—安全与加速服务生效。 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间。 添加时如遇添加冲突，可参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值（Resource Records，资源记录）相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许)。 X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录。 无限制：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。

漏洞类型关联布局 说明 系统内置漏洞类型暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“漏洞类型”页签，进入漏洞类型管理页面。 6. 在漏洞类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有漏洞类型 说明 暂不支持编辑系统内置漏洞类型。 自定义漏洞类型新增成功后，不支持修改类型标识。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“漏洞类型”页签，进入漏洞类型管理页面。 6. 在漏洞类型管理页面中，选择需要编辑的类型，并单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 7. 在编辑页面中，编辑对应类型的参数信息。 参数名称 参数说明 类型名称 自定义漏洞类型的名称。 类型标识 漏洞类型标识，不支持修改。 启动状态 设置漏洞类型的启动状态。 ：表示启用。 ：表示禁用。 描述 自定义漏洞的描述信息。 8. 在页面右下角单击“确认”。

本节介绍处理弱口令。 若您收到弱口令告警，则说明您的主机存在被入侵的风险。数据、程序都存储在系统中，若密码被破解，系统中的数据和程序将毫无安全可言，请及时修改弱口令。 出现弱口令告警的原因 设置的自动生成密码的方式过于简单，与弱口令检测的密码库相重合。 将同一密码用于多个子帐号，会被系统判定为弱密码。 排查弱口令 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、选择“风险预防 > 基线检查”，单击“经典弱口令检测”，查看存在的弱口令。 4、根据经典弱口令列表中的“弹性云主机名称”、“账号名”、“账号类型”和“弱口令使用时长”，登录待修改弱口令的主机，修改弱口令。 修改常见的服务器弱口令 系统名称 修改登录口令 说明 :: Windows系统 以Windows 10为例说明。 1. 登录Windows主机系统。 2. 单击左下角的，然后单击，弹出“Windows设置”窗口。 3. 在“Windows设置”窗口中，单击“帐户”。 4. 在左侧导航栏中，单击登录选项。 5. 在“登录选项”页面，请根据页面提示信息修改服务器密码。 Linux系统 登录Linux服务器，执行以下命令，修改用户登录口令。passswd [] 若不输入登录用户名，则修改的是当前用户的口令。 命令执行完成后，请根据提示输入新的口令。 说明 “user”为登录用户名。 MySQL数据库 1. 登录MySQL数据库。 2. 执行以下命令，查看数据库用户密码。 SELECT user, host, authenticationstring From user; 部分MySQL数据库版本可能不支持以上查询命令。 若执行以上命令没有获取到用户密码信息，请执行命令。 SELECT user, host password From user; 3. 执行以下命令，根据查询结果及弱密码告警信息，修改具体用户的密码。SET PASSWORD FOR '用户名 '@ '主机 'PASSWORD( '新密码'); 4. 执行以下命令，刷新修改的密码信息。flush privileges ； Redis数据库 1. 打开Redis数据库的配置文件redis.conf。 2. 执行以下命令，修改弱口令。requirepass; 若已存在登录口令，则将其修改为复杂口令。 若不存在登录口令，则添加为新口令。 说明 “password”为登录口令。 Tomcat 1. 打开Tomcat根目录下的配置文件“conf/tomcatuser.xml”。 2. 修改user节点的password属性值为复杂口令。

为什么配置了访问控制白名单后还能访问后端主机？ 监听器配置了访问控制白名单后，仅允许特定IP访问负载均衡，仅转发来自所选访问策略组中设置的IP地址或地址段的请求。但是作为后端主机的云主机，除了作为负载均衡的后端主机接收流量，同时其本身IP地址也可以被其他方式访问。如果需要对作为后端主机的云主机进行访问控制，可以通过配置网络ACL或者安全组规则实现，详见 网络ACL的简介 和 安全组概述。

本章节主要介绍数据治理中心的配置HBase连接功能。 目前CDM支持连接的HBase数据源有以下几种： MRS HBase FusionInsight HBase Apache HBase MRS HBase 连接MRS上的HBase数据源时，相关参数如下表所示。 说明 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见《虚拟 > 添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS上的HBase连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrshbaselink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE HBase版本 HBase版本。 HBASE2X 运行模式 “HBASE2X”版本支持该参数。选择HBase连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 ：STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 STANDALONE 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hbase01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

本小节介绍态势感知用户管理。 用户管理 系统支持用户分权分级管理，可以创建不同的用户，分配不同的角色，进行系统的管理。 用户管理显示登录名称、用户名称、邮箱、角色、备注、状态，支持登录用户的添加、编辑、删除、锁定。 添加用户时，填写登录名称、用户名称、邮箱、设置密码、选择用户角色（支持多选）、填写备注，点击“保存”即可。 角色管理 支持对用户角色进行添加、编辑、删除、权限管理。 系统包括三种用户角色：普通用户、系统管理员、安全管理员。 系统管理员：拥有全功能。 普通用户：只可以查看数据，没有系统设置、用户管理的功能权限。 安全管理员：只能使用安全检查功能模块。

本节介绍了云数据库TaurusDB的使用限制说明。 TaurusDB使用上有一些固定限制，用来提高实例的稳定性和安全性，具体详见下表。 表功能使用限制 功能 使用限制 TaurusDB访问 如果TaurusDB数据库实例没开通公网访问，则该实例必须与弹性云主机在同一个虚拟私有云内才能访问。 弹性云主机必须处于目标TaurusDB数据库实例所属安全组允许访问的范围内。如果TaurusDB数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在TaurusDB数据库的安全组添加一条“入”的访问规则。“入”规则开放TCP协议，使用数据库实例的默认端口。 TaurusDB数据库实例的默认端口：主备版默认端口为3306，需用户手动修改端口号后，ECS或外网才能访问其他端口。具体操作请参见修改数据库端口。 数据库的root权限 创建实例页面只提供管理员root用户权限（仅限主备版）。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 数据迁移 使用mysqldump迁移TaurusDB数据。 重启TaurusDB实例 无法通过命令行重启，必须通过TaurusDB的管理控制台重启实例。 查看TaurusDB备份 TaurusDB数据库实例在对象存储服务上的备份文件，对用户不可见。

本节介绍了云数据库GaussDB 的约束与限制。 云数据库GaussDB 在使用上有一些固定限制，用来提高实例的稳定性和安全性。 功能 使用限制 数据库访问 弹性云主机必须处于目标云数据库GaussDB实例所属安全组允许访问的范围内。如果云数据库GaussDB实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在云数据库GaussDB的安全组添加一条“入”的访问规则。 云数据库GaussDB实例的默认端口为8000。 部署 实例所部署的服务器，对用户都不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的root权限 创建实例页面只提供管理员root用户权限。 说明： GaussDB为root用户开放了sysadmin权限。新创建实例的root用户都将拥有sysadmin权限，而存量实例执行版本升级后，root用户也将拥有sysadmin权限，如果需要进行版本升级，请联系客服处理。 如果存量实例未进行版本升级，则管理员root用户权限为：createrole，createdb和monadmin。由于旧版本root权限低于完整的管理员用户权限， 部分SQL语法/函数执行时会报权限不足，例如：create tablespace 等 重启云数据库GaussDB实例 无法通过命令行重启，必须通过云数据库GaussDB的管理控制台操作重启实例。

此小节介绍企业主机安全查看Agent管理。 可分类查看所有服务器是否安装Agent，同时可安装或卸载服务器的Agent，并提供安装指导及Agent下载链接。 约束限制 未开启防护不支持安装与配置相关操作。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 3、在左侧导航树选择“安装与配置 > Agent 管理”，进入Agent管理页面。 4、选择“Agent不在线（X）”，查看Agent未安装或离线的服务器；选择Agent在线（X），查看Agent在线的服务器。 5、单击“Agent安装指南”可查看Agent安装的快速指导。 6、单击“Agent版本说明”，可查看Agent的最新版本、历史版本及变

本小节介绍终端杀毒linux客户端安装 方法1：通过管理中心一键部署 1.进入资产管理→主机页面。 2.在页面中点击新增按钮，会弹出新增主机池对话框，平台选择“非虚拟化平台”。 3.在对话框中输入主机池名称、选择添加方式、输入计算机名、IP地址，点击确定即可。 说明 名称：主机将要添加至的主机池名称，手动输入会新建一个以输入的名称命名的主机池、也可以选择管理中心现有的主机池。 添加方式：主机的添加方式分为单台计算机和网段范围内的多台计算机，默认为单台计算机，即一次添加一台主机；如果选择网段范围内的多台计算机，即一次性添加多台主机，如下图所示需要填写起始地址和结束地址。 4.添加成功后，主机状态为“未安装安全组件”。 5.选择刚才添加的主机，点击“安装安全组件”按钮。 6.在弹出的对话框中，输入主机用户名、密码（即ssh的用户名和密码），选择许可类型为服务器，点击确定，系统开始在主机上安装安全组件。 7.安装安全组件过程中的状态变化由未安装安全组件→正在安装→安装成功→连接中断→已连接，整个过程大约需要2分钟。 8.部署成功后，页面中会显示该主机池/资源池的服务器类型、部署地址，主机池名称、该主机池/资源池下的所有主机、系统版本信息、文件和网络特征库信息及当前的连接状态，如下图所示。 9.主机注册成功后，管理中心 “资产管理”→“虚拟机/终端”页面能够看到该机器，其实时防护状态正确。 10.如果安装失败，主机状态会显示为“安装失败”，可点击“安装失败”字样查看失败原因。

port 22 这一行的井号注释符去掉，修改22为2020。 图 修改为2020端口 3. 按“ESC”退出编辑模式，输入“:wq!”保存退出。 4. 执行以下命令重启sshd服务。 service sshd restart 或 systemctl restart sshd 5. （可选）配置防火墙。如防火墙关闭，可以忽略防火墙的配置操作。 CentOS 7的防火墙是firewalld，CentOS 6版本用的iptables，两者使用上有些差别，以下操作以CentOS 7为例。 执行如下命令查看防火墙状态：firewallcmd state 方法一：关闭防火墙并取消开机自启。 systemctl stop firewalld systemctl disable firewalld 方法二：在firewalld服务中添加新的端口。 i. 执行以下命令，添加2020端口规则。 firewallcmd zonepublic addport2020/tcp permanent firewallcmd reload ii. 查看添加的端口。在ports中已添加端口2020 tcp连接。 firewallcmd listall iii. 修改完成后重启防火墙。 systemctl restart firewalld.service 6. 修改安全组规则。 在“入方向”添加协议为“TCP”，端口为“2020”的规则。 使用2020端口验证远程登录云主机。 修改Linux弹性云主机的默认SSH端口后，使用新端口无法登录？ 问题现象 修改默认的SSH端口后，无法使用新的端口登录云主机 。 可能原因 安全组未放通新的端口。 防火墙未放通新的端口。 ssh配置文件中未添加新的端口信息。 hosts文件配置错误。 检查安全组规则 检查安全组是否设置正确。 以新的SSH端口号为2020为例，安全组规则在确保“出方向”Any、Any的情况下，“入方向”需要放通2020端口。 检查防火墙规则 检查iptables防火墙是否放通新的SSH端口，以2020端口为例。 1. 登录Linux弹性云主机。 2. 以CentOS 7.3操作系统为例，执行以下命令编辑iptables文件。 vi /etc/sysconfig/iptables 3. 添加2020端口规则 A INPUT m state state NEW m tcp p tcp dport 2020 j ACCEPT 4. 修改完成后重启iptables服务。 systemctl restart iptables 检查ssh配置文件 登录弹性云主机检查ssh配置文件。 1. 执行如下命令，查看是否配置了 Port 2020。 vi /etc/ssh/sshdconfig 2. 如未配置，请将“

开启资源账户可自动添加Empty的账户。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“资源账户配置”模块的右侧，单击“编辑”，进入“资源账户配置”页面。 4、自动添加Empty账户的状态默认为开启状态，可单击图标关闭或开启资源账户功能。 5、单击“确定”，完成配置。

如果您需要在弹性云主机的Linux实例上手工搭建LNMP平台的web环境,可以参考本文内容。 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境。该指导具体操作以CentOS 7.2 64位操作系统为例。 操作流程 安装nginx。 安装MySQL。 安装PHP。 浏览器访问测试。 前提条件 弹性云主机已绑定弹性IP。 弹性云主机所在安全组添加了如下表所示的安全组规则，具体步骤参见为安全组添加安全组规则。 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 操作步骤 安装nginx。 1. 登录弹性云主机。 2. 执行以下命令，下载对应当前系统版本的nginx包。 plaintext wget 3. 执行以下命令，建立nginx的yum仓库。 plaintext rpm ivh nginxreleasecentos70.el7.ngx.noarch.rpm 4. 执行以下命令，安装nginx。 plaintext yum y install nginx 5. 执行以下命令，启动nginx并设置开机启动。 plaintext systemctl start nginx systemctl enable nginx 6. 使用浏览器访问 “

本节将为您介绍资源位置及如何申请扩大配额。 资源位置 有些资源可以在所有地区（全球）使用，而有些资源则特定于其所在的区域或可用区。 资源 类型 描述 天翼云帐户 全球性 您可以在所有区域使用同一个天翼云帐户。 资源标识符 区域性 每个资源的标识符（例如，实例ID、云硬盘ID、虚拟私有云ID）都与其区域相关联。 用户自定义的资源名称 区域性 每个资源名称（例如，安全组名称、密钥对名称）都与其区域相关联。尽管可以在多个区域创建名称相同的资源，但它们之间并无关联。 虚拟私有云 区域性 虚拟私有云与区域相关联，只能与同一区域的实例相关联。 弹性IP 区域性 弹性IP与区域相关联，只能与同一区域的实例相关联。 安全组 区域性 安全组与区域相关联，只能分配给同一区域的实例。 镜像 区域性 镜像与区域相关联，只能与同一区域的实例相关联。 实例 可用区 实例与可用区相关联，实例ID与区域相关联。 磁盘 可用区 磁盘与可用区相关联，只能挂载到同一可用区的实例上。 子网 可用区 子网与可用区相关联，只能与同一可用区的实例相关联。

本节介绍如何查看探测状态。 “探测状态”是指安全产品数据上报到SA的状态。通过查看探测状态，您可以判断是否正常上报当前产品数据。 探测状态说明 状态 说明 探测正常 表示一个小时内，数据接口被调用次数大于等于8次，接口连通性正常，“探测状态”检测正常，正常上报当前产品数据。 启用产品集成后一个小时内，默认探测状态为正常。 探测异常 表示一个小时内，数据接口被调用次数大于0次小于8次，接口连通性异常，“探测状态”检测异常，不能正常上报当前产品数据。 停止探测 表示已停止上报当前产品数据。 从未探测 表示从未上报当前产品数据。 说明 探测正常状态判断原则：启用产品集成上报数据后，产品可每5分钟调用一次探测接口确认连通性。通过记录产品调用数据接口次数，判断探测健康状态。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 安全产品集成”，进入产品集成管理页面。 3. 在探测状态中，选择目标状态，即可呈现该状态的全部产品。 4. 在产品介绍栏，即可查看从该产品接收的数据量，以及该产品探测状态。

本文主要介绍 API&kubectl类问题。 一、通过kubectl连接集群时，其配置文件config如何下载？ 步骤 1 登录CCE控制台，单击需要连接的集群名称，进入“集群信息”页面。 步骤 1 在“连接信息”版块中查看kubectl的连接方式。 步骤 3 在弹出的窗口中可以下载kubectl配置文件kubeconfig.json。 下载kubeconfig.json 二、 kubectl top node命令为何报错 故障现象 执行kubectl top node命令报错Error from server (ServiceUnavailable): the server is currently unable to handle the request (get nodes.metrics.k8s.io) 可能原因 执行kubectl时出现Error from server (ServiceUnavailable)时，表示未能连接到集群，需要检查kubectl到集群Master节点的网络是否能够连通。 解决方法 如果是在集群外部执行kubectl，请检查集群是否绑定公网IP，如已绑定，请重新下载kubeconfig文件配置，然后重新执行kubectl命令。 如果是在集群内节点上执行kubectl，请检查节点的安全组，是否放通Node节点与Master节点TCP/UDP互访，安全组的详细说明请参集群安全组规则配置

如何发起周期性会议？ 发起周期性会议的步骤如下： 1. 在AOne会议主界面，点击“预定会议”。 2. 在预定会议设置界面，找到并点击“重复”选项框。 3. 在弹出的选项中，勾选您需要的周期性会议类型（如每天、每周、每月等）。 4. 完成其他必要设置后，点击“预定会议”按钮即可完成周期性会议的预定。 如何开启会议水印？ 开启会议水印功能，可通过以下方式操作： 预定会议时开启（会议创建者）：在AOne会议主界面，点击“预定会议”，在预定会议界面找到并勾选“开启会议水印”选项即可。 会议中开启（主持人/联席主持人）：在AOne会议PC端会中页面，点击底部工具栏的“安全”按钮，在“会议管理”页中勾选“开启会议水印”选项即可。 如何锁定会议？ 开启锁定会议功能，可通过以下方式操作： 预定会议时锁定（会议创建者）：在AOne会议主界面，点击“预定会议”>展开“更多安全设置”选项，在“会议管理”页找到“锁定会议”选项>点击“锁定会议”旁边的下拉框>选择“仅主持人邀请可加入”即可。 会议中开启（主持人/联席主持人）：在AOne会议PC端的会中页面，点击底部工具栏的“安全”按钮，在“会议管理”页找到“锁定会议”选项>点击“锁定会议”旁边的下拉框>选择“仅主持人邀请可加入”即可。

本章节介绍如何通过公网连接数据库实例。 准备工作 1、安装Microsoft SQL Server客户端 2、 绑定弹性公网IP并设置安全组规则 对目标实例绑定弹性公网IP。 获取本地设备的IP地址。 设置安全组规则。 将获取的IP地址及目标实例的端口加入安全组允许访问的范围中。 使用ping命令连通2.a 中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 普通连接 步骤 1 启动SQL Server Management Studio客户端。 步骤 2 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中填选登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 主机IP为已绑定的弹性公网IP地址。 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQL Server身份验证”。 “登录名”即待访问的关系型数据库帐号，默认管理员帐号为rdsuser。 “密码”即待访问的数据库帐号对应的密码。 步骤 3 单击“连接”，连接实例。 若连接失败，请确保各项准备工作正确配置后，重新尝试连接。

本节介绍了如何在控制台上创建云数据库GaussDB 的实例。 操作场景 本章将介绍在云数据库GaussDB 的管理控制台创建实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，单击“创建数据库实例”。 步骤 3 在创建实例页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 基本信息 参数 描述 区域 租户当前所在区域，也可在页面左上角切换。说明不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库版本 云数据库GaussDB 目前支持3.103、2.7版本。 实例类型 “分布式版”：分布式形态能够支撑较大的数据量，且提供了横向扩展的能力，可以通过扩容的方式提高实例的数据容量和并发能力。“主备版”：适用于数据量较小，且长期来看数据不会大幅度增长，但是对数据的可靠性，以及业务的可用性有一定诉求的场景。 部署形态 独立部署：将数据库组件部署在不同节点上。适用于可靠性、稳定性要求较高，实例规模较大的场景。高可用（1主2备）：采用一主两备三节点的部署模式，包含一个分片。 事务一致性 仅分布式版形态有该参数。l 强一致性：应用更新数据时，用户都能查询到全部已经成功提交的数据，对性能有影响。l 最终一致性：应用更新数据时，用户查询到的数据可能不相同，有可能是更新后的值，也有可能是更新前的值，但经过一段时间后，查询到的数据是更新后的值，该种类型通常具有较高的性能。 切换策略 l 数据高可靠：对数据一致性要求高的系统推荐选择数据高可靠，在故障切换的时候优先保障数据一致性。l 业务高可用：对业务在线时间要求高的系统推荐使用业务高可用，在故障切换的时候优先保证数据库可用性。说明在业务高可用场景下需要谨慎修改如下数据库参数：l recoverytimetarget：不当修改该参数会导致实例频繁进行强制切换，请在技术人员指导下进行修改。l auditsystemobject：不当修改该参数会导致丢失DDL审计日志，请在技术人员指导下进行修改。 副本集数量 仅分布式部署形态可选。每个分片下1主多副本的部署方案，3副本就是1主2备的部署方式。 分片数量 仅分布式部署形态可选。一个分片指的是一组DN副本集，分片内的DN数量与“副本集数量”参数有关，例如副本集数量为3，则一个分片就包含一主两备三个DN节点。 协调节点数量 仅分布式部署形态可选。数据库中包含的协调节点（CN，Coordinator Node）数量，协调节点负责接收来自应用的访问请求，并向客户端返回执行结果；负责分解任务，并调度在各分片上并行执行。须知CN数量必须小于或等于两倍的分片数。 可用区 可用区只支持部署在一个或者三个可用区。可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择。 规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。 网络 参数 描述 虚拟私有云 GaussDB实例所在的虚拟专用网络，可以对不同业务进行网络隔离。需要创建或选择所需的虚拟私有云。 说明 GaussDB实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建GaussDB实例的子网默认开启DHCP功能，不可关闭。创建实例时GaussDB会自动配置内网地址。 说明 创建实例时支持选择IPv6子网。选择IPv6子网后，实例的数据浮动IP地址将绑定IPv6地址，连接数据库时也可使用IPv6地址进行连接。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 IPv6实例的约束限制： 创建实例所选规格需要支持IPv6。 创建实例所选的可用区支持IPv6。 需要实例为8.102.0及以上版本。 内网安全组 控制网络出/入方向及端口的访问，默认添加了GaussDB实例所属的内网安全组访问。 创建分布式版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：4000060480,20050,50005001,23792380,6000,6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 创建主备版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：20050，50005001，23792380，6000，6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 内网安全组限制实例的安全访问规则，加强GaussDB与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 数据库端口 数据库对外开放的端口，默认为8000，可选范围为：1024~39989。 如下端口被系统占用，不可设置： 2378~2380、2400、4999~5001、5100、5500、 5999~6001、6009~6010、6500、8015、8097、8098、8181、9090、9100、9180、 9187、9200、12016、12017、20049、20050、21731、21732、32122~32126、39001。 单浮动IP策略 是否开启单浮动IP策略，如果开启，实例将只有一个浮动IP绑定主节点，如果发生主备倒换，浮动IP不会发生变化；如果不开启，每个节点都会绑定一个浮动IP，如果发生主备倒换，浮动IP会发生变化。 单浮动IP约束限制如下： 仅支持3.206及以上的主备版实例。 仅创建时支持修改，创建后不支持切换单浮动IP策略。 数据库配置 参数 描述 管理员帐户名 数据库的登录名称默认为root。 管理员密码 请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。须知设置的密码需满足以下几个条件：l 8到32个字符。l 至少包含大写字母（AZ），小写字母（az），数字（09），非字母数字字符（限定为~!@

对象存储的产品优势 云上对象存储相对于自建存储服务器在存储空间、存储成本、存储可靠性、存储安全性、存储易用性、存储灵活性和存储兼容性等方面具备明显的优势。这些优势使得对象存储成为处理大规模数据存储需求的理想选择，并广泛应用于云计算和大数据领域。 弹性扩展，海量存储空间 对象存储具备海量的存储空间，对称分布式架构下理论容量可无限弹性扩展，且支持在线扩容，实施过程业务无中断，用户无需担心存储空间不足及资源扩容问题。 稳定可靠，数据持久可用 硬件层：物理设备部署在八级抗震、一级耐火、一级防水、通过ISO27001认证的数据中心内部；核心部件如CPU、内存、风扇等全部具备冗余保护和异常监控，实时感知器件状态。 数据层：存储集群AZ内支持纠删码方式数据冗余，硬件设备冗余等保护手段，集群间支持跨站点数据复制和多AZ高可用能力，实现多级可靠性保障。对象存储服务可用性可达99.995%，数据持久性高达99.9999999999%（12个9）。 安全可信，多层数据防护 权限控制：支持ACL访问控制、桶策略授权、STS临时授权、防盗链等多种权限控制手段，灵活控制数据可访问性。 数据加密：支持服务端数据加密，数据一致性校验以及Https安全传输，保障数据存储和传输中均安全可信。 合规保护：支持配置数据的合规保护周期策略，保护期内数据只可读取无法被删除篡改，关键数据加固防护。 版本控制：支持数据多版本能力，允许创建数据的多个保护版本，即使发生意外误删亦可进行还原恢复。

本文向您介绍CentOS 7修改SSH默认端口后无法连接的解决方案。 问题现象 由于默认远程登录端口容易遭受暴力破解，导致一系列使用问题。基于安全性的考虑，修改默认远程登录端口是常用的安全防护手段。但修改后可能会存在无法远程登录的问题。本文以CentOS 7为例，介绍此类问题的解决方案。 前提条件 操作系统内已将默认远程登录端口修改为1234。 解决方案 1. 查看安全组是否放通1234端口的入方向权限。如果未放通，请添加规则放通该端口。 安全组规则关键信息： 方向：入方向 授权策略：允许 协议：TCP 端口：1234 远端：0.0.0.0/0（如果您的访问地址为固定地址或地址范围，可根据实际情况修订） 2. 查看操作系统是否开启防火墙。执行以下命令查看防火墙状态，可见示例中active为开启状态。 systemctl status firewalld 如果您需要使用防火墙，请前进到步骤3进一步确认防火墙规则。如果您无需使用，可执行下方命令关闭防火墙，以及关闭防火墙开机自启动： systemctl stop firewalld systemctl disable firewalld 3. 执行以下命令，查看防火墙规则，确认规则中是否放行1234端口。示例中，防火墙当前zone为public，该zone只放行了dhcpv6client和ssh服务，意味着ssh服务默认端口22被放行，但当ssh修改为其它端口将无法访问。

产品优势 一句话命令，跨终端远程智控 CoSpace是云智助手新增的AI云电脑桌面智能体功能，作为办公场景下的全天候AI工作伙伴，主打"一句话命令、跨终端远程智控云电脑"核心能力。用户无需额外下载，通过简单对话即可完成文件查找、办公软件操作、任务执行等复杂办公需求。 多端无缝接入 支持移动端、桌面端、H5端等多端访问，实现真正的跨终端协同办公。无论您身在何处，都能随时随地智控云电脑。 企业级安全保障 依托天翼云强大算力底座，采用企业级沙箱防护方案，构建多层次安全体系，通过严格权限隔离防范各类安全风险，保障企业核心业务数据安全合规。 零门槛快速体验 云电脑已内置CoSpace专属镜像选择，用户一键开通或者切换到CoSpace后，只需在云智助手侧边栏点击「CoSpace智协空间」入口即可直接使用，技术小白也能轻松上手。 开通指引 开通步骤 方式一：新用户订购开通CoSpace专属镜像 1. 扫描以下二维码，或复制链接至浏览器打开++产品详情页++，点击“立即订购”； 2. 登录成功后，选择对应“Windows Server 2022 CoSpace智协空间 64位”镜像，其他配置按需选择，点击“立即购买”完成下单，可参照++快速订购流程++； 3. 下载云电脑客户端，登录即可使用。 注意CoSpace智协空间镜像会在按照资源池陆续上架，如所选择资源池未出现，请耐心等待。

方式二：无域名接入 前提条件 已经订购边缘安全加速平台边缘接入服务，并且套餐+域名扩展包支持的域名数量未超过限制。 使用无域名接入方式时，不支持80、8080、443、8443端口的TCP请求端口，如需配置80、8080、443、8443端口的TCP请求端口请使用域名接入方式。 操作步骤 1. 登录边缘安全加速控制台，进入边缘接入控制台的【域名】【IP应用加速接入】，这个页面您可以查看已添加的域名/实例的信息，包括域名/实例名称、接入方式、CNAME、加速区域、状态、IPv6解析、DDoS防护、操作等信息。点击左上角【新增接入】。 2. 接入方式选择"无域名接入"，必须填写实例名称，选择加速区域（中国内地、全球（不含中国内地）、全球），是否启用IPv6。基本信息详细介绍详见：基本信息。 3. 根据您的需要，配置【回源配置】、【访问控制】、【传递用户IP回源】等相关功能。回源配置详细介绍详见：回源配置。IP黑白名单详细介绍详见：IP黑白名单。传递用户IP回源详细介绍详见：传递用户IP回源。 4. 完成加速配置后，点击右下角的下一步，进入安全防护配置页面，按需开启DDoS防护后提交。 5. 新增接入完成后，可通过【IP应用加速接入】首页列表查看该域名所处状态。 6. 域名配置完成，生成域名CNAME，域名状态变更为【已启用】，即可以在【IP应用加速接入】首页列表中，查看对应域名的详情，进行停用/启用/删除等操作，也可以开启IPv6解析开关，修改加速配置或安全防护配置等。

本文通过图文说明刷新功能的类别,操作方法及注意事项。 功能介绍 天翼云边缘安全加速平台—安全与加速服务支持URL刷新、目录刷新和正则刷新三种内容刷新方式。不同刷新方式实现机制稍有不同，但最终都能确保用户访问时获得最新的内容。常用于客户对源站内容做更新后，需要边缘节点上对该内容做同步更新的场景。 URL刷新：执行URL刷新请求后，边缘节点会直接删除URL对应的缓存内容，此时，如果客户端向边缘节点请求该内容，节点会回源站获取并缓存新的内容，同时返回给用户。 目录刷新/正则刷新：执行目录或正则刷新请求后，节点缓存将被标记为缓存过期状态（也叫缓存置过期），此时，如果客户端向边缘节点请求该内容，节点会携带IfModifiedSince请求头或IfNoneMatch请求头回源站校验内容是否有更新。如果源站响应304，说明源站内容未更新，节点则只更新缓存状态不拉取新内容，使用已有缓存响应给用户；如果源站响应200或206，说明源站内容有更新，节点将拉取新内容并缓存，使用新内容响应给用户。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【刷新预取】页面。 2.在【刷新预取】页面，单击【创建任务】。 3.按实际场景需求，选择【URL刷新】、【目录刷新】或【正则刷新】。 4.按照对应刷新类型标题下方的提示内容，填写待刷新URL。 5.配置完成后，单击【确定】。 6.完成刷新任务提交后，如要查看任务执行进度和结果，可以选择具体的时间、输入目标域名，或者选择一种特定的任务状态类型查看刷新任务的执行情况。

本文介绍如何开启加速服务,您可以通过配置缓存规则,实现静态加速,也可以通过开启动态加速开关,实现动态加速能力。 前提条件 已经订购边缘安全加速平台—安全与加速服务，并且完成添加域名。 功能介绍 天翼云边缘安全加速平台根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据边缘节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。目前客户控制台上默认所有源站权重相同，如您需要对不同源站配置不同的权重，请提交工单申请。 保持登录：基于客户端IP进行哈希，保证相同客户端IP的多次请求始终访问到相同的源站。 操作步骤说明 1.登录边缘安全加速控制台，选择【加速管理】【CDN加速配置】，在域名列表中，选中要配置的域名 2.如果您要实现静态加速，选择【缓存配置】，配置详情参见缓存配置。 3.如果您要实现动态加速，选择【动态配置】，您可以选择适合的选路方式。 快速选路：使用rtt来作为计算因子进行加权运算，来选择回源最佳路径。 稳健选路：使用rtt、tcp重传比作为计算因子进行加权运算，来选择回源最佳路径。 应用层选路：使用rtt、源站可用性、下载速率、首包时间作为计算因子进行加权运算，来选择回源最佳路径。 注意 开启动态加速后，在套餐基础上，客户端用户与边缘节点的动态优化请求数将被计费，计费详见：

本文将为您介绍天翼云云通信的应用场景，方便您了解短信服务。 短信验证码 随着移动互联网的发展，各类APP不断涌出，出现爆发性的登录、验证需求，验证码业务需求日益广泛。短信验证码是企业给消费者（用户）的一个凭证，通过短信验证码注册和验证身份，降低了非法注册数量，提高了用户质量。 在移动互联网的大潮形势下，国内的各行各业，包括银行、大型互联网、电子商务等都已经相继采用了短信验证码的形式来保障用户安全。短信验证码已应用于APP、网站的注册； 登录账户、异地登录的安全提示； 找回密码的安全验证； 支付认证、身份校验、手机绑定等多种场景。 系统信息推送（短信通知） 随着无纸化办公时代的到来，各类通知的需求日益增加，如会议通知、短信公文 、故障预警与人员调度、信用卡或借记卡查询、帐务变动提醒、客户关怀、节日问候等等。 向注册用户下发系统相关信息，其中包含： 服务开通、升级或维护、价格变更、 订单确认、物流快递情况、消费确认和支付提醒等短信。

本节主要介绍设置微服务引擎公网访问 状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 须知 将未配置安全认证鉴权能力的微服务引擎开放到公网将面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 1、进入微服务引擎页面，单击左侧菜单栏的“引擎列表”。 2、单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、单击并开启“公网访问”开关。 4、单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的 “√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 1、进入微服务引擎页面，单击左侧菜单栏的“引擎列表”。 2、单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、单击并关闭“公网访问”开关。 4、在弹出对话框单击“确定”。

本文介绍如何查看订单。 操作步骤 1. 支付成功后进入“我的订单”页面。 2. 单击“详情”，待订单状态为开通完成后即可进入大模型安全测评页面。

请参见天翼云运维安全中心（云堡垒机）服务等级协议。

本小节介绍终端杀毒资产管理排序/过滤/搜索。 操作步骤 1.虚拟机列表排序 点击虚拟机列表头中右侧的 ，可以按照虚拟机/终端 名、操作系统、安全配置、主机池/项目、主机对虚拟机列表进行排序，方便管理员查看。 2.虚拟机过滤 虚拟机/终端页面可以根据实时防护状态来对虚拟机进行过滤，方便用户查看。 3.搜索虚拟机 管理员可以按照虚拟机名、操作系统、安全配置和主机对虚拟机进行搜索。支持模糊匹配、不区分大小写。

本小节介绍日志审计(原生版)新增资产。 日志审计（原生版）提供集中化的统一管理平台，将所有的需要审计的设备统一纳管入平台中，进行信息资产的统一日志管理。 在使用日志审计（原生版）之前，您需要先纳管资产，以便服务可以进行日志管理。 新增资产组 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 单击页面上的“新增组”。 4. 在弹出的对窗口中填写“资产组名称”，填写完成后单击“确认”即可新增资产组。 参数 参数说明 父资产组 不可选择，系统默认填写。 资产组名称 填写您需要创建的资产组名称，最大长度不超过64个字符。 新增资产 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要新增资产的资产组，进入资产组页面后，单击“新增资产”。 下图以选择默认的资产组为例，实际请根据业务情况自行选择资产组。 4. 进入“新增”页面，填写待新增的资产内容（下表仅展示必填项，完整的填写内容请参考新增资产）。 注意 日志采集方式、资产类型和IP需要根据实际情况选择。 参数 参数说明 取值样例 基本属性 资产名称 填写您的资产名称，最大长度不超过64个字符。 资产示例 基本属性 管理IP 填写待纳管设备的主识别IP，请确保IP真实有效。 0.0.0.0 基本属性 资产大类 在下拉框中选择待纳管资产的设备类别。 主机 基本属性 资产小类 在下拉框中选择待纳管资产的具体设备类型。 服务器/其他 基本属性 SyslogUdp采集 选择是否开始SyslogUdp采集，默认开启，建议选择开启。 开启 安全属性 机密性 选择待纳管资产的机密等级，可选110级，默认选择1级。 1级 安全属性 完整性 选择待纳管资产的完整等级，可选110级，默认选择1级。 1级 安全属性 可用性 选择待纳管资产的可用等级，可选110级，默认选择1级。 1级 安全属性 资产价值 选择待纳管资产的资产价值，可选“低”、“中”、“高”，默认为“低”。 低 安全属性 等保级别 选择待纳管资产的等保等级，可选110级，默认选择1级。 1级 接口 IP 与“管理IP”一致，请确保IP真实有效。 0.0.0.0 接口 IP类型 选择纳管资产的IP类型，请如实选择。 公网