本节主要介绍创建网格 ASM支持创建基础版网格，提供商用级网格服务。 前提条件 启用应用服务网格前，您需要创建或已有一个可用集群，并确保集群版本为v1.15及以上。 约束与限制 应用服务网格依赖集群CoreDNS的域名解析能力，请确保集群拥有足够资源，且CoreDNS插件运行正常。 集群启用Istio时，需要开通node节点（计算节点/工作节点）所在安全组的入方向7443端口规则，用于Sidecar自动注入回调。如果您使用CCE创建的默认安全组，此端口会自动开通。如果您自建安全组规则，请手动开通7443端口，以确保Istio自动注入功能正常。 操作步骤 步骤 1 登录应用服务网格控制台。 步骤 2 单击右上角“创建网格”。 步骤 3 设置网格参数。 网格类型 默认为基础版网格。 网格名称 网格的名称，取值必须以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾，长度范围为4~64个字符。 同一帐号下网格不可重名，且网格名称创建后不可修改。 Istio版本 网格支持的Istio版本。 启用IPv6 启用双栈网格需满足以下条件： 网格类型 Istio版本 支持启用的集群类型 集群网络类型 其他说明 基础版 1.18及以上 CCE Turbo集群 云原生网络2.0 集群需要已启用IPv6 说明 是否启用IPv6功能，仅istio1.18及以上版本的基础版网格支持。 低版本的网格升级到1.18及以上时，不支持升级后开启IPv4/IPv6双栈。 网格开启IPv4/IPv6双栈后不支持关闭， 未开启双栈的网格也不支持创建完成之后开启双栈。 集群 在集群列表中选择集群，或在列表右上角输入集群名称搜索需要的集群。仅可选择当前网格版本支持的集群版本。 Istio控制面节点 基础版网格的控制面组件安装在用户集群，因此需要选择用于安装Istio控制面的节点。如果需要高可用，建议选择两个或以上不同可用区的节点。 所选节点会被添加istio:master标签，网格组件会调度到该节点上。 步骤 4（可选）高级配置。 sidecar配置 选择命名空间，为命名空间设置标签istioinjectionenabled，其中的Pod在重启后会自动注入istioproxy sidecar。 如果不进行sidecar配置，可在网格创建成功后在“网格配置 > sidecar管理”中注入sidecar。具体操作请参考sidecar注入。 是否重启已有服务 ：会重启命名空间下已有服务关联的Pod，将会暂时中断业务。只有在重启后，已有服务关联的Pod才会自动注入istioproxy sidecar。 ：已有服务关联的Pod不会自动注入istioproxy sidecar，需要在CCE控制台，手动重启工作负载才会注入sidecar。 步骤 5 设置完成后，在页面右侧配置清单确认网格配置，确认无误后，单击“提交”。 创建网格预计需要1~3分钟，请耐心等待。当网格状态从“安装中”变为“运行中”，表示网格创建成功。 说明 启用网格期间会操作如下资源： 创建一个Helm应用编排release对象，作为服务网格控制面的资源。 开通节点的安全组，允许7443端口的入流量，使其支持对Pod进行自动注入。

client.sources staticlogsource client.channels staticlogchannel client.sinks kafkasink LOGTOHDFSONLINE1 client.sources.staticlogsource.type spooldir client.sources.staticlogsource.spoolDir 监控目录 client.sources.staticlogsource.fileSuffix .COMPLETED client.sources.staticlogsource.ignorePattern ^$ client.sources.staticlogsource.trackerDir 传输过程中元数据存储路径 client.sources.staticlogsource.maxBlobLength 16384 client.sources.staticlogsource.batchSize 51200 client.sources.staticlogsource.inputCharset UTF8 client.sources.staticlogsource.deserializer LINE client.sources.staticlogsource.selector.type replicating client.sources.staticlogsource.fileHeaderKey file client.sources.staticlogsource.fileHeader false client.sources.staticlogsource.basenameHeader true client.sources.staticlogsource.basenameHeaderKey basename client.sources.staticlogsource.deletePolicy never client.channels.staticlogchannel.type file client.channels.staticlogchannel.dataDirs 数据缓存路径，设置多个路径可提升性能，中间用逗号分开 client.channels.staticlogchannel.checkpointDir 检查点存放路径 client.channels.staticlogchannel.maxFileSize 2146435071 client.channels.staticlogchannel.capacity 1000000 client.channels.staticlogchannel.transactionCapacity 612000 client.channels.staticlogchannel.minimumRequiredSpace 524288000 client.sinks.kafkasink.type org.apache.flume.sink.kafka.KafkaSink client.sinks.kafkasink.kafka.topic 数据写入的topic ，如flumetest client.sinks.kafkasink.kafka.bootstrap.servers XXX . XXX . XXX . XXX :kafka 端口号 , XXX . XXX . XXX . XXX :kafka 端口号 , XXX . XXX . XXX . XXX :kafka端口号 client.sinks.kafkasink.flumeBatchSize 1000 client.sinks.kafkasink.kafka.producer.type sync client.sinks.kafkasink.kafka.security.protocol SASLPLAINTEXT client.sinks.kafkasink.kafka.kerberos.domain.name Kafka Domain名称，安全集群必填，如hadoop.xxx.1com client.sinks.kafkasink.requiredAcks 0 client.sources.staticlogsource.channels staticlogchannel client.sinks.kafkasink.channel staticlogchannel 说明 client.sinks.kafkasink.kafka.topic：数据写入的topic。若kafka中该topic不存在，默认情况下会自动创建该topic。 client.sinks.kafkasink.kafka.bootstrap.servers：Kafkabrokers列表，多个用英文逗号分隔。默认情况下，安全集群端口21007，普通集群对应端口9092。 client.sinks.kafkasink.kafka.security.protocol：安全集群为SASLPLAINTEXT，普通集群为PLAINTEXT。 client.sinks.kafkasink.kafka.kerberos.domain.name： 普通集群无需配置此参数。安全集群对应此参数的值为Kafka集群中“kerberos.domain.name”对应的值。 具体可到Broker实例所在节点上查看${BIGDATAHOME}/MRSCurrent/1 X Broker/etc/server.properties。 其中X为随机生成的数字，请根据实际情况修改。同时文件需要以Flume客户端安装用户身份保存，例如root用户。 具体可到Broker实例所在节点上查看“${BIGDATAHOME}/FusionInsightCurrent/1XBroker/etc/server.properties”。 9. 参数配置并保存后，Flume客户端将自动加载“properties.properties”中配置的内容。当spoolDir生成新的日志文件，文件内容将发送到Kafka生产者，并支持Kafka消费者消费。

删除敏感数据规则组操作指导。 您可在数据安全中心DSC的敏感数据规则列表中删除不再使用的自定义敏感数据规则组。其中已在识别任务中使用的规则组、DSC内置规则组都不可删除。 前提条件 已添加敏感数据规则组。 约束条件 DSC内置的规则组不可删除。 如果待删除的规则组已在识别任务中使用，您需要先删除包含该规则组的敏感数据任务，再参照本章节删除该规则组。 规则组删除后将无法恢复，请谨慎操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，并选择“规则组”页签，进入规则组列表。 5. 在目标敏感规则组所在行的“操作”列，单击“删除”。 6. 在弹出的提示框中，单击“确定”。

镜像服务广泛应用于多种场景,本文带您更快了解镜像服务经典应用场景。 部署特定软件环境 适用场景 使用共享镜像、私有镜像都能帮助快速搭建特定的软件环境，免去了自行配置环境、安装软件等繁琐且耗时的工作，并能满足建站、应用开发、可视化管理等多种个性化需求，让弹性云主机“即开即用”，省时方便。 场景痛点 通常情况下，用户安装操作系统后，系统内没有安装一些常用的软件或配置，手动安装配置相当繁琐。当需要批量部署软件环境时，更是需要一个个去配置，相当费时费力。 推荐配置及架构 弹性云主机、物理机、镜像服务 产品优势 操作便捷：根据用户需求，用户可选取需要的镜像即可运行需要的环境，不再需要人工安装操作系统后再一个个部署需要的环境，对用户的时间和专业能力均没有要求。 安全稳定：天翼云提供的公共镜像皆已经过严格测试，能够保证镜像安全、稳定，保障用户业务的稳定不间断运行。 选择灵活：用户除了可以选择官方提供的公共镜像外，如果用户有特殊的需求，也可以根据自己的需求自己制作私有镜像上传，或者通过其他用户分享给自己使用。 云主机重装系统

服务部署在非中国大陆时，是否可使用DDoS高防（边缘云版）？ 不支持，DDoS高防（边缘云版）节点资源主要分布于中国大陆，定位于面向中国大陆区域的用户提供防护。 如果您的服务部署在非中国大陆，建议您开通边缘安全加速平台。 DDoS高防（边缘云版）是否支持海外区域防护？ 不支持，DDoS高防（边缘云版）节点资源主要分布于中国大陆，定位于面向中国大陆区域的用户提供防护。 如果您业务的用户群体涉及非中国大陆区域，建议您开通边缘安全加速平台。 客户的源站IP不是电信的，可以使用DDoS高防（边缘云版）吗？ 支持使用。DDoS高防（边缘云版）支持三网接入，不限制您源站是否使用电信IP。 只要您的源站与天翼云网络公网路由可达，即可使用DDoS高防（边缘云版）。 DDoS高防（边缘云版）过期后会怎样？ DDoS高防（边缘云版）过期后，域名将自动停用。 服务过期域名停用后的影响： 3天内，CNAME将解析到您的源站服务器。 3天后，CNAME将解析至黑洞地址。 详情请参考：停用域名。

配置步骤 以先配置DDoS高防（边缘云版），再配置Web应用防火墙（边缘云版）为例。 1. 进入DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。按照网站域名接入完成DDoS高防（边缘云版）的域名配置。 2. 进入Web应用防火墙（边缘云版）控制台，在左侧导航中，点击【域名管理】【域名列表】，点击右上角新增域名。 3. 填写需要接入的域名后，会弹窗提示"您的域名已经在DDoS高防(边缘云版)产品控制台新增，产品关联后才能同步网站通用配置，请确认是否关联"。 4. 点击确认后，系统会自动获取并完成网站配置，您可以点击【下一步】，进行网站安全配置。 5. 完成网站安全配置后，点击【提交】即可。 注意 DDoS高防（边缘云版）叠加Web应用防火墙（边缘云版）产品后，域名CNAME地址直接使用DDoS高防（边缘云版）提供的CNAME地址即可，无需调整。 您可以在DDoS高防（边缘云版）和Web应用防火墙（边缘云版）任一控制台进行网络配置的变更，配置修改将进行同步。

检查主备集群RegionServer之间的网络连接 2.执行ping命令，查看故障RegionServer节点和备集群RegionServer所在主机的网络连接是否正常。 是，执行步骤5 否，执行步骤3 3.联系网络管理员恢复网络。 4.网络恢复后，在告警列表中，查看本告警是否清除。 是，处理完毕。 否，执行步骤5。 检查主集群RegionServer的Region分布情况 5.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击“HMaster(主)”，打开该HBase实例的WebUI，查看Region Servers上Region分布是否均衡。 6.以omm用户登录故障RegionServer节点。 7.进入客户端安装目录，设置环境变量。 cd 客户端安装目录 source bigdataenv 如果集群采用安全版本，要进行安全认证。执行kinit hbase命令，按提示输入密码（向管理员获取密码）。 8.执行以下命令查看目前负载均衡功能是否打开。 hbase shell balancerenabled 是，执行步骤10。 否，执行步骤9。 9.在hbase shell中执行命令打开负载均衡功能，并执行命令查看确认成功打开。 balanceswitch true balancerenabled 10.执行balancer命令手动触发负载均衡。 说明 建议打开和手动触发负载均衡操作在业务低峰期进行。 11.观察该告警是否清除。 是，处理完毕。 否，执行步骤12。

本页介绍天翼云TeleDB数据库操作日志相关操作。 说明 操作日志默认按时间倒序。 您可以根据操作用户、操作内容或操作结果快速搜索目标日志。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 操作日志 ，进入用户日志 页面。 > 您可以查看当前用户的操作日志信息，包括日志产生时间、操作用户、操作内容和操作结果。

本节介绍服务器安全卫士（原生版）病毒查杀操作指南。 病毒扫描是服务器执行病毒扫描操作，发现病毒文件并处理的防护机制。 约束限制 请先购买企业版或旗舰版配额并绑定主机后，才能正常使用病毒查杀功能。 一键扫描 一键扫描为手动检测模式，用户需在病毒查杀页面单击一键扫描按钮，设置检测模式、生效范围。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“文件安全 > 病毒查杀”，进入病毒查杀页面。 3. 单击“一键扫描”，页面右侧弹出一键扫描设置窗口。 4. 在一键扫描设置窗口中，设置扫描参数。 参数说明如下： 参数 说明 检测模式 支持快速检测、全盘检测、自定义检测。 快速检测：扫描耗时短，有效扫描随系统自启动运行的风险文件。主要扫描系统常被利用的位置。 全盘检测：扫描服务器所有磁盘文件，清理磁盘中的木马病毒更彻底，相对比较耗时。 自定义检测：根据用户设置的指定目录有选择性的进行扫描。 设置生效范围 自定义选择需要执行病毒扫描任务的服务器。 5. 单击“确认”，设置完成。

本节主要介绍入门指引 灰度发布是迭代软件产品在生产环境安全上线的一种重要手段。本教程以Bookinfo应用为例，向您讲解服务网格基于Istio提供的服务治理能力。 Bookinfo应用灰度发布流程包含以下步骤： 图 Bookinfo应用灰度发布流程

相关操作 参考手册 创建MySQL实例 步骤一： 配置MySQL实例 步骤二： 连接MySQL实例 步骤三：

本章节为您介绍数据脱敏的相关内容。 数据脱敏指在数据传输过程中，会根据算法规则自动地对敏感信息进行遮蔽或替换的过程，可以实时地保护用户的数据隐私，同时不影响系统的正常运行。 脱敏算法 API安全网关内置25种内置数据标签内置了脱敏算法，支持用户自定义添加脱敏算法并使用。 新增脱敏算法 1.登录API安全网关。 2.在左侧导航栏选择“数据脱敏 > 脱敏算法”，进入脱敏算法列表页面。 说明 数据标签与脱敏算法为一对多的关系，一个数据标签支持维护多个脱敏算法。 3.选择需要新增脱敏算法的敏感标签，单击“操作”列的“脱敏算法配置”，在弹出的对话框中单击“新增脱敏算法”即可开始新增脱敏算法。 字段 说明 算法名称 自定义算法名称，不可重复。 脱敏算法 可在下拉框中选择算法类型，目前支持： 姓名分割 姓名遮蔽 字符串分割 字符串按类型遮蔽 字符串按位遮蔽 固定值替换 参数配置 根据选择的算法配置对应参数，具体请参考控制台相关信息。 脱敏预览 输入样例，单击“预览”按钮即可预览具体的脱敏结果。 4.配置完成后，单击“确定”即可完成脱敏算法配置。

此小节介绍数据库安全查看审计信息。 添加的数据库连接到数据库安全审计实例后，您可以查看数据库的审计总览信息，包括数据库的总体审计情况、风险分布、会话统计以及SQL分布情况。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入总览界面，操作步骤如下图所示。 4. 查看数据库的总体审计情况，以及数据库的风险分布、会话统计和SQL分布信息，在“选择数据库”下拉列表框中，选择“全部数据库”或指定的数据库，可以查看实例中所有的数据库或指定的某个数据库的总览信息。选择审计的时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击按钮，选择开始时间和结束时间，查看指定的时间段的总览信息。 会话统计 SQL分布

多租户平台 租户是FusionInsight大数据平台的核心概念，使传统的以用户为核心的大数据平台向以多租户为核心的大数据平台转变，更好的适应现代企业多租户应用环境，如下图所示。 对于以用户为核心的大数据平台，用户直接访问并使用全部的资源和服务。 用户的应用可能只用到集群的部分资源，资源利用效率低。 不同用户的数据可能存放在一起，难以保证数据安全。 对于以租户为核心的大数据平台，用户通过访问租户来使用需要的资源和服务。 按照应用需求分配和调度出需要的资源，以租户来统一使用，资源利用效率高。 用户通过分配不同的角色获得使用不同租户资源的权限，以保障访问安全。 不同的租户之间数据隔离，以保证数据安全。

本文介绍弹性云主机实例出现了异地登录怎么办 如果出现异地登录，解决办法如下： 1. 确认异地登录的时间点，是否是自己或者其他管理员登录。 2. 如果不是合法管理员登录，可执行以下操作： 立即重置密码。 排查是否被病毒攻击。 使用安全组功能设置只允许特定的 IP 登录。

相关文档 访问控制策略的整体防护概况请参见通过策略助手查看防护信息。 流量趋势的整体防护概况请参见查看流量数据。 网络攻击防护的整体防护概况请参见通过安全看板查看攻击防御信息。

客户端打开后要求输入的企业标识如何获取？ 企业认证标识是登录客户端的重要凭证，建议采用自身公司身份相关的进行定义。 可登录边缘安全加速平台对应控制台企业服务进行获取。 问题故障分析 部署连接器后，仍然显示连接器“未激活”，如何定位排查？ 确认是否连接器能对外联网。 确认连接器是否对外网络出方向有进行防火墙限制，若有，需放开对应端口的网络出口访问。 客户端网络正常，但是客户端访问内部系统失败可能是什么原因？ 访问失败存在很多场景，以下列举几种常见情况，如未找到有效解决方式，请联系我们。 检查客户端是否处于在线状态，若非在线状态，则隧道连接已断开，无法访问内部系统。 检查应用是否针对该用户已授权，若未授权，则无法进行访问。 检查应用类型是否选择错误，如ssh 协议选择Web类型应用，则可能导致访问出现异常。 查询内网审计日志，判断是否被零信任网关拦截。 检查应用与连接器是否处于连通状态，可通过连接器机器telnet对应的应用ip和端口，确认是否是连接器与应用无法连通导致。 客户端短信验证码收不到如何解决？ 若您选择将手机号直接设置为登录账号，发送账号新增通知时，短信会携带手机号则短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含 "手机号”的短信进行严格校验，易触发拦截规则。 其他情况下若未收到短信，您可按以下方式排查： 检查平台手机号填写准确性，若填写错误可修正后尝试； 检查手机系统的「骚扰拦截箱」或「垃圾短信箱」（如华为手机在【安全中心 骚扰拦截】中查看，小米手机在【手机管家 骚扰拦截】中查询）； 查看第三方安全软件（如手机管家）的拦截记录，确认是否存在误拦截情况； 联系手机号所属运营商（移动 10086 / 联通 10010 / 电信 10000）查询短信发送状态。

JWT 是一种轻量级的身份验证和鉴权机制，广泛应用于Web开发、API安全、单点登录等场景。服务网格支持配置JWT策略并应用到数据面实现请求身份认证，保护后端服务安全。 JWT策略配置说明 配置项 说明 安全策略名称 策略名称，如testjwt Issuer JWT的颁发者，如果请求带的JWT中的iss字段和此字段不一致，则该JWT会被拒绝 JWKS来源 用于验证JWT的密钥来源 jwks 用于验证JWT的密钥，当JWKS来源是jwks时填写 jwksUri 用于验证JWT的密钥URI，当JWKS来源是jwksUri时填写 Audience JWT颁发给的目标实体 JWTToken位置 获取JWT的位置，支持从请求头或者请求Query参数中获取 JWT透传 是否向后端透传JWT信息 将Payload通过Header透传 将JWT的Payload信息通过base64编码后添加到Header透传到后端 JWT策略绑定 策略生效粒度 当前支持命名空间、服务、工作负载、网关的生效粒度配置，说明如下 生效粒度 说明 命名空间 策略下发到所选择命名空间下所有数据面 服务 策略下发到所选服务关联的工作负载数据面 工作负载 策略下发到指定工作负载的数据面 网关 策略下发到网关 请求匹配规则 对于JWT策略、OIDC策略和自定义授权服务策略，支持基于请求特征匹配决定是否执行当前策略，支持的匹配项及说明如下 匹配项 说明 HTTP域名(Host) 匹配一组请求的域名 HTTP路径(Path) 匹配一组请求路径 HTTP方法(Method) 匹配一组请求的HTTP Method 端口(Port) 匹配一组请求的目标服务端口 说明 域名和路径匹配支持以下匹配模式 1. 精确匹配：如abc匹配abc字符串 2. 前缀匹配：abc匹配abc、abcd、abce等 3. 后缀匹配：abc匹配abc、xabc、zabc等 4. 存在匹配：匹配所有非空值 请求匹配支持黑白名单模式 1. 黑名单模式：选中请求必须执行认证策略 2. 白名单模式：选中请求跳过认证策略，其他请求需要执行策略

导出资源信息 云堡垒机支持批量导出资源信息，用于本地备份资源配置，以及便于快速管理资源基本信息。 为加强资源信息安全管理，支持加密导出资源信息。 导出的主机资源文件中包含主机基本信息、主机下所有资源账户信息、主机资源账户明文密码等。 导出的应用服务器文件中包含应用服务器基本信息、应用服务器帐户信息、应用路径信息、服务器帐户明文密码等。 导出的应用发布文件中包含应用发布基本信息、应用资源账户信息、应用资源账户明文密码等。 导出的资源账户文件中包含资源账户基本信息、关联资源信息、资源地址信息、资源账户明文密码等。 前提条件 已分别获取“主机管理”、“应用服务器”、“应用发布”、“资源账户”模块操作权限。 批量导出主机资源信息 1. 登录云堡垒机系统。 2. 选择“资源 > 主机管理”，进入主机管理列表页面。 3. 勾选需要导出的主机。 若不勾选，默认导出全部主机。 4. 单击“导出”，弹出导出主机资源确认窗口。 5. 导出确认。 （可选）设置加密密码：可选择设置。不设置，下载的主机资源文件为未加密的CSV格式；设置密码，下载的主机资源文件为加密的ZIP格式。 （必选）用户密码：输入当前用户的登录密码，验证通过才允许导出主机资源信息，确保资源账户密码安全。 单击“确定”，即可下载CSV格式文件或加密的ZIP格式文件保存到本地。 批量导出应用服务器信息 1. 登录云堡垒机系统。 2. 选择“资源 > 应用发布 > 应用服务器”，进入应用服务器列表页面。 3. 勾选需要导出的应用服务器。若不勾选，默认导出全部应用服务器。 4. 单击“导出”，弹出导出应用服务器确认窗口。 5. 导出确认。 （可选）设置加密密码：可选择设置。不设置，下载的应用服务器文件为未加密的CSV格式；设置密码，下载的应用服务器文件为加密的ZIP格式。 （必选）用户密码：输入当前用户的登录密码，验证通过才允许导出应用服务器信息，确保资源账户密码安全。 单击“确定”，即可下载CSV格式文件或加密的ZIP格式文件保存到本地。

本节介绍如何为云主机安装云备份客户端。 操作场景 云备份通过客户端提供备份服务。备份操作前，需要在备份目标机器中安装客户端。可在控制台进行客户端安装操作，操作简单方便。 约束与限制 操作系统限制：ECS支持 CentOS7.0/7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9、Ubuntu16.04/18.04/20.04、Windows Server 2012/2016/2019 、 KylinOS V10 SP1/SP2系列操作系统，目前仅支持64位系统。 ECS文件备份时，ECS必须处于开机状态。 每个ECS仅允许安装一个客户端。若想更新客户端至最新版本，可以升级客户端。 注意事项 由于云备份服务需要连通服务端VPC，如果备份目标云主机使用非默认安全组，请确认所使用的安全组配置了出方向规则，示例如下： 具体请参见安全组规则。 操作步骤 为单个ECS安装客户端 1. 登录控制中心并选择地域，此处选择华东华东1。 2. 选择“存储>云备份”，进入云备份控制台。单击左侧“ECS文件备份”按钮，进入文件备份控制台。 3. 单击“ECS资源”按钮，可以看到现有的ECS资源，选择待安装客户端的弹性云主机，单击操作栏下的“安装客户端”，此时会下发客户端安装命令，启动客户端安装流程。 5. 等待客户端状态变为“已激活”，即可使用客户端为云主机进行备份。 为多个ECS批量安装客户端 1. 登录控制中心并选择地域，此处选择华东华东1。 2. 选择“存储>云备份”，进入云备份控制台。单击左侧“ECS文件备份”按钮，进入文件备份控制台。 3. 单击“ECS资源”按钮，可以看到现有的ECS资源，在复选框选择多个待安装客户端的弹性云主机，单击界面左上方“批量安装”。 4. 在弹出的界面确认此次可进行客户端安装操作的云主机信息，点击“确定”后下发客户端安装命令，启动客户端安装流程。

本页介绍了如何管理天翼云RDSPostgreSQL产品的只读实例。 RDSPostgreSQL产品支持管理只读实例的功能，主要包括以下操作： 基础操作：重启、停止、升级等，支持绑定EIP和设置标签。 生命周期：退订、扩容（包括规格扩容和磁盘扩容）等。 参数设置：修改实例参数，并支持设置参数模板应用到只读实例。 实例操作：包括空闲连接查杀、清理在线表等。 实例监控：资源监控（主机资源包括CPU、IO等核心监控数据）、引擎监控（QPS、TPS、连接数、缓存等内核指标监控）、日志监控（慢日志、错误日志等）以及操作日志（包括控制台操作在内的监控等）。 数据库安全：白名单管理、数据库审计等安全操作。

本文介绍边缘安全加速平台的安全与加速服务在CC攻击常见场景中的推荐防护策略和配置。 CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。以下是一些常见的CC攻击场景及WAF在不同场景下提供的具体防护策略和配置。 场景1：高频海量的虚假请求耗尽服务器资源 攻击者利用大量的虚假请求，不断向目标网站发送超过正常用户请求频率的请求，导致目标网站无法正常服务，这个最常见的一种CC攻击场景。您可以关注您的网站请求数趋势，如果请求QPS在某一时刻突然异常突增很多(比正常业务QPS突增超过10倍)，就很有可能是受到了CC攻击。 针对超过正常请求频率的攻击，最直接有效的防护方式就是配置频率控制，通过限制指定URL的访问频率，拦截超过网站正常业务请求频率的攻击。如：配置登录接口的单IP访问频率达到每分钟50次时则进行拦截，具体配置如下图： 除此之外，您还可以通过开启CC防护功能对CC攻击进行防护，设置URL达到指定阈值后则进行挑战，通过CC防护策略来校验请求是否来自于真实浏览器（注意：该功能不适用于不能执行JS的环境，如API、Native App、Websocket等） 配置示例：以下配置在阈值请求达到每10秒5000次时，则会开启CC攻击防护。

本文介绍在AOne零信任如何进行客户端设置。 背景说明 企业可根据不同的安全要求和合规标准设置不同的客户端策略。 功能说明 超时注销登录 用户账号长时间连接内网，存在账号盗用、占用会话导致并发超过上限等风险，管理员可自定义配置超时注销策略。变更配置后续重新登录客户端才可生效。 根据企业场景配置账号超时注销方式，企业可分别对桌面端和移动端设置不同的超时规则，当客户端连接内网或无内网访问流量达到设定时间（桌面端默认 5 小时、移动端默认 3 小时 ），就会自动注销登录状态，再次访问内网时需重新登录，这样能有效保障内网访问安全 。 注意 移动端暂未发版本，有需要可以 客户端限速 可根据企业场景进行单客户端访问限速，限速仅针对内网访问进行，若您订购的是“带宽计费”，则带宽超量达到阈值后则会进行自动限速，配置详情见客户端限速。 客户端自保护 支持客户端防卸载能力，适用于企业强管控合规要求，配置详情见客户端自保护。 开机自动启用AOne 开机自动启用（自启动）是指设备开机或用户登录系统后，应用程序或系统服务无需手动触发，即可自动在前台或后台运行的功能，配置详情见开机自动启用AOne。

本章节为您介绍用户管理的相关内容。 用户管理是指管理当前实例下所有用户信息，提供新增、编辑、Ukey绑定、重置等功能。 新增用户 1. 登录综合安全网关实例。 2. 选择“系统管理 > 用户管理”，进入“用户管理”页面。 3. 单击页面左上角的“添加用户”，在弹出的“添加用户”窗口中配置用户参数。 参数 是否可选 参数说明 登录名 必选 自定义用户的登录名，配置后不可修改。 别名 可选 设置用户的别名。 角色 必选 选择该登录用户在系统中的角色。 支持如下四种角色： 操作员（ctyunoperator） 日志审计员（ctyunauditor） 系统管理员（ctyunuseradmin） 超级管理员（ctyunadmin） 手机号码 可选 填写手机号。 邮箱地址 可选 填写新增用户的邮箱地址。 地址 可选 填写新增用户的地址。 输入密码 必选 设置用户的密码。 确认密码 必选 二次确认密码。 4. 配置完成后，单击“确定”完成用户添加。 后续操作 说明 系统初始的超级管理员用户不支持编辑和删除。 编辑用户：选择需要编辑的用户，单击“操作”列的“编辑”按钮，修改用户的相关信息后单击“确定”完成修改。 绑定UKey：选择需要绑定UKey的用户，单击“操作”列的“UKEY绑定”按钮，在弹出的对话框中填写UKEY序列号及PIN码完成绑定。 注意 首次使用UKEY需要在综合安全网关登录页面下载并安装UKEY插件。 解绑UKey：选择需要解绑UKey的用户，单击“操作”列的“UKEY解绑”按钮，在弹出的对话框中填写PIN码完成解绑。 重置用户密码：选择需要重置密码的用户，单击“操作”列的“设置口令”按钮，在弹出的对话框中单击“确定”完成重置。

本节介绍了:集群资源。 操作场景 查询集群的VPC和安全组信息。 前提条件 在查看集群信息前，您需要存在⼀个可用集群。若没有可⽤集群，请参照 快速入门​>​>创建一个集群 内容进行创建。

本文为您介绍云审计产品的定义。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。

本节介绍了一键式重置密码插件漏洞说明 漏洞说明 弹性云主机提供了重置密码功能，当弹性云主机的密码丢失或过期时，可使用该功能进行一键式重置密码。 2022年1月14日以前的旧版本一键式重置密码插件“CloudResetPwdUpdateAgent ”使用了Apache Log4j2组件，会被安全工具扫描出漏洞。 表 漏洞信息 漏洞类型 CVEID 漏洞级别 披露/发现时间 修复时间 Apache Log4j2 远程代码执行 CVE202144228 严重 20211209 2022114 Apache Log4j2 远程代码执行 CVE202145046 严重 20211215 2022114 Apache Log4j2 拒绝服务 CVE202145105 中 20211218 2022114 Apache Log4j2 远程代码执行 CVE202144832 中 20211229 2022114 Apache Log4j2 信息泄露 CVE20209488 低 20200427 2022114 漏洞影响 一键式重置密码插件是弹性云主机内部运行的客户端进程，不对外提供任何网络服务。经分析验证，一键式重置密码插件无可利用条件，无安全风险。

conditions表 参数 参数类型 必选 说明 匹配方式 示例 bucket String 否 存储桶名称。 bucket {"bucket": "examplebucket"} key String 否 上传对象的名称。 eq、startswith ["eq", "$key", "ExampleObject"] xamzalgorithm String 是 指定签名的版本和算法，固定值为AWS4HMACSHA256。 xamzalgorithm {"xamzalgorithm": "AWS4HMACSHA256"} xamzcredential String 是 指明派生密钥的参数集。格式： / / /s3/aws4request。 xamzcredential {"xamzcredential": "afwnu54/20241216/useast1/s3/aws4request"} xamzdate String 是 请求的时间（遵循ISO 8601日期和时间标准）。格式：20241216T020211Z。 xamzdate {"xamzdate": "20241216T020211Z"} contentlengthrange String 否 上传对象时的最小以及最大允许的大小，单位是字节。 contentlengthrange ["contentlengthrange", 1, 10] successactionstatus String 否 上传成功后的返回状态码。 eq、startswith ["eq", "$successactionstatus", "201"] contenttype String 否 限制对象的文件类型。 eq、startswith ["eq", "$contenttype", "image/jpg"] xamzsecuritytoken String 否 安全令牌。仅在通过STS构造POST签名时需要该参数。可以通过调用STS服务的AssumeRole接口获取安全令牌。 xamzsecuritytoken {"xamzsecuritytoken": "ek+NvIdz"} cachecontrol String 否 缓存控制。 eq、startswith ["eq", "$cachecontrol", "nocache"]

本章节主要介绍安装客户端（3.x及之后版本）。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。Flume客户端安装请参见“组件操作指南 > 使用Flume > 安装Flume客户端”。 客户端可以安装集群内节点，也可以安装在集群外节点，本章节以安装目录“/opt/client”为例进行介绍，请以实际集群版本为准。 在集群外节点安装客户端前提条件 已准备一个Linux弹性云主机，主机操作系统及版本建议参见下表。 CPU架构 操作系统 支持的版本号 x86计算 Euler EulerOS 2.5 SUSE SUSE Linux Enterprise Server 12 SP4（SUSE 12.4） RedHat RedHat7.5x8664（RedHat 7.5） CentOS CentOS7.6版本（CentOS 7.6） 鲲鹏计算(ARM) Euler EulerOS 2.8 CentOS CentOS7.6版本（CentOS 7.6） 同时为弹性云服务分配足够的磁盘空间，例如“40GB”。 弹性云主机的VPC需要与MRS集群在同一个VPC中。 弹性云主机的安全组需要和MRS集群Master节点的安全组相同。 弹性云主机操作系统已安装NTP服务，且NTP服务运行正常。 若未安装，在配置了yum 源的情况下，可执行yum install ntp y命令自行安装。 需要允许用户使用密码方式登录Linux弹性云主机（SSH方式）。

本文介绍边缘接入服务计费常见问题。 开通IP应用加速前，要先订购边缘接入服务吗 边缘接入服务里的应用加速与安全与加速服务里的加速是否叠加计费 IP应用加速支持海外加速吗 购买边缘接入套餐后，已购买的流量/带宽、域名数、端口数、DDoS防护不够怎么办

本文介绍弹性文件服务安全监控告警方面的内容。 云监控服务是天翼云针对云网资源的一项监控服务，弹性文件通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 关于弹性文件服务支持的监控指标，以及如何创建监控告警规则等内容，请参见监控。

操作名称 授权项 备注 创建数据库实例 gaussdb:instance:creategaussdb:param:list 界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get创建加密实例需要在项目上配置:kms:cmk:getkms:cmk:list操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 规格变更 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 扩容节点 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 磁盘扩容 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 重启数据库实例 gaussdb:instance:restart 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 删除数据库实例 gaussdb:instance:delete 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 查询数据库实例列表 gaussdb:instance:list 无 实例详情 gaussdb:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc: :get和vpc: :list。显示磁盘已使用大小，需要配置ces::list。 修改数据库实例密码 gaussdb:instance:modify 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 修改实例名称 gaussdb:instance:modify 无 绑定/解绑公网IP gaussdb:instance:modify 界面列出公网IP需要配置：vpc:publicIps:getvpc:publicIps:list操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 创建参数模板 gaussdb:param:creategaussdb:param:list 无 修改参数模板 gaussdb:param:modify 无 获取参数模板列表 gaussdb:param:list 无 应用参数模板 gaussdb:param:apply 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create 删除参数模板 gaussdb:param:delete 无 创建手动备份 gaussdb:backup:create 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 获取备份列表 gaussdb:backup:list 无 修改备份策略 gaussdb:instance:modifyBackupPolicy 无 删除手动备份 gaussdb:backup:delete 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 恢复到新实例 gaussdb:instance:create 界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create 查询项目标签 gaussdb:tag:list 无 批量添加删除项目标签 gaussdb:instance:dealTag 无 修改配额 gaussdb:quota:modify 无