本小节介绍安全专区产品类常见问题。 安全专区相比传统安全组件有什么优势？ 与天翼云平台紧密集成，识别并管理云资产及安全状态； 集成多种满足等保合规的安全组件，单点登录，一键登录并管理所有安全组件； 提供全覆盖的安全态势管理能力，集中展现资产不同的安全状态信息； 集中管理云网边界、虚机、业务系统的漏洞、告警、用户行为和安全运行数据； 一键订购，产品自动交付，快速解决云上等保合规要求。 安全专区的防护功能是否就能满足等保合规需求？ 安全专区可满足等保二级、三级的安全技术合规要求。 一套安全专区的防护能服务于多少个系统？ 安全专区套餐可满足天翼云同个VPC甚至同数据节点的多个VPC的多个业务系统的安全防护要求； 根据资产数量的不同，可配置不同的安全组件授权及虚机资源，满足业务防护性能需求。 日志审计有没有整合在安全专区管理中心？ 有的，日志审计通过部署agent在主机进行管理。 安全专区在多个VPC场景下，资产是否能共同管理？ 多个VPC的情况下，通过VPC路由器进行对等连接打通安全专区VPC，安全专区VPC各功能组件对所有资产共同统一管理。 安全专区产品能否解耦订购？ 支持。 安全专区防火墙防护流量最大能支持多少，如果客户所需流量超过最大防火墙防护流量怎么办？ 目前防火墙最大防护流量能达到1.6G，如果客户所需流量超过1.6G，要先确认客户有多少个VPC，如果客户有多个VPC，可以采用防火墙下沉到各个VPC分别管理的解决方案，这种情况也要结合具体项目情况具体沟通。

本章节介绍如何为数据库安全审计实例所在的安全组添加TCP协议（8000端口）和UDP协议（70007100端口）。 Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（70007100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 说明 安全组规则也可以在成功安装Agent后进行添加。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 添加安全组规则 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入“数据库列表”界面。 5. 在“选择实例”下拉列表框中，选择需要添加安全组规则的数据库所属的实例。 6. 在数据库列表的上方，单击“添加安全组规则”。 7. 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default）。 8. 单击“前往处理”，进入“安全组”列表界面。 9. 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 10. 单击“default”，进入“基本信息”页面。 11. 选择“入方向规则”，检查安全组的入方向规则。请检查该安全组的入方向规则是否已为

适用场景 客户在应用托管中部署自研应用/第三方模型，与现有弹性云主机、数据库等云资源联动协同，实现完整复杂业务流程。 产品优势 资源协同，性能高效：共池内网打通，应用托管与弹性云主机、数据库、消息队列等云服务实现低延迟、高带宽内网通信，同时内网访问更具安全保障 业务整合成本低：已有公有云用户可直接复用弹性云主机、数据库等云上资源，无需额外迁移 / 重构，快速搭建完整业务架构，降低整合成本 部署灵活，场景覆盖广：支持自定义模型服务、MCP Server、智能体应用、自定义业务应用等多类型部署，结合丰富的云产品，满足业务的全场景需求 Aone 赋能应用与企业内网网络打通 适用场景 当企业同时使用公有云的应用托管服务和企业内网的各类系统时，需要实现两者之间的安全网络连通 产品优势 网络连通性优势：Aone 打通公有云应用与企业内网网络，保障安全稳定，实现公有云应用本地式访问企业内网资源，破解跨网资源访问壁垒 资源整合优势：整合公有云的应用托管能力和企业内网系统资源，实现资源的高效利用和协同工作，提升企业整体 IT 架构的运行效率：安全性优势 在打通网络的同时，保障了企业内网资源的安全访问，避免了因网络开放带来的安全风险，满足企业对数据和系统安全性的高要求

本文介绍如何操作病毒查杀、实时防护、黑白名单等能力。 背景 终端作为企业日常办公、业务处理、系统维护的设备，承载着企业重要的数据。在复杂严峻的外部网络环境中，极易遭遇非法访问、病毒入侵以及信息泄露等诸多安全风险。如今，移动办公与远程办公需求持续攀升，这无疑让终端安全面临着前所未有的挑战。因此，怎样强化终端的安全管理，有效抵御外来攻击，切实保障数据安全，已然成为终端安全领域的共同迫切诉求。 功能说明 企业管理员可以在控制台的终端防病毒页面，手动或者周期性配置病毒扫描策略，远程对员工客户端所在的环境进行扫描检测，最终在控制台对病毒进行统计和管理。 注意 终端防病毒扫描功能客户端版本号为2.3.x及以上，扫描病毒进行自动查杀需客户端版本为2.6.x以上，支持的操作系统为Windows、麒麟、统信。如有需要，请 同时，需注意订购套餐需满足以下条件之一： 1、已订购终端管理基础版，点击查看 2、零信任服务套餐为企业版，点此查看零信任服务

本文主要介绍远程桌面连接Windows云主机报错:0x1104如何处理。 问题描述 使用MSTSC方式登录Windows Server 2008操作系统的云主机，系统报错：检测到一个协议错误（代码 0x1104）。 图 协议错误（代码 0x1104） 可能原因 服务端安全组3389端口未开启。 服务端防火墙关闭。 服务端3389端口被其他进程占用。 远程桌面会话主机配置不正确。 处理方法 步骤 1 检查安全组设置。 检查3389端口入方向是否开启，若已开启，执行步骤2。 步骤 2 检查防火墙是否关闭。 1.登录Windows云主机。 2.单击桌面左下角的Windows图标，选择“控制面板 > Windows防火墙”。 3.单击“启用或关闭Windows防火墙”。 查看并设置防火墙的具体状态：开启或关闭。 如果正常，请执行步骤3。 步骤 3 使用VNC方式登录云主机，查看端口信息。 1.进入cmd命令窗，并执行以下命令。 netstat ano findstr ：3389 图 检查3389端口 如上图所示，3389端口被占用，进程PID为4。 2.打开任务管理器，查看PID为4的进程为System系统进程。 3.通常IIS服务和SQL Server会以System进程运行，执行以下HTTP命令进一步查看。 netsh http show servicestate 图 查看系统进程 4.如果可以看到3389端口被HTTP协议使用，可以确定是被IIS服务占用。 5.在浏览器输入“ 6.修改IIS使用其他端口，重启IIS服务。 步骤 4 如果以上检查均没有问题，请执行步骤5，检查是否由于远程桌面会话主机配置导致。 步骤 5 检查远程桌面会话主机配置。 1.通过VNC登录云主机。 2.打开cmd运行窗口，并输入“gpedit.msc”。 3.单击“确定”，打开“本地组策略编辑器”。 4.选择“计算机配置 > 管理模板 > Windows组件”，查找并双击“远程桌面服务”。 图 远程桌面服务 5.选择“远程桌面会话主机 > 安全 > 远程（RDP）连接要求使用指定的安全层”。 图 远程（RDP）连接要求使用指定的安全层 6.选择“已启用”，并将“安全层”设置为“RDP”。 图 设置安全层 7.单击“确定”。 8.配置完成后，打开“cmd”命令窗。 9.执行以下命令，刷新组策略。 gpupdate 图 刷新组策略

参数 普通IO 高IO 通用型SSD 超高IO 极速型SSD 每GB云硬盘的IOPS 2 6 8 50 50 单个云硬盘的最大IOPS 2200 5000 20000 33000 128000 单个云硬盘的基线IOPS 500 1200 1500 1500 1800 单个云硬盘IOPS上限 min (2200, 500 +2 × 容量) min (5000, 1800 + 8 × 容量) min (20000, 1800 + 12 × 容量) min (33000, 1800 + 50 × 容量) min (128000, 1800 + 50 × 容量) 单个云硬盘的IOPS突发上限 2200 5000 8000 16000 64000 云硬盘吞吐量性能计算公式 50 MB/s min (150, 100 + 0.15 × 容量) MB/s min (250, 100 + 0.5 × 容量) MB/s min (350, 120 + 0.5 × 容量) MB/s min (1000, 120 + 0.5 × 容量) MB/s 最大吞吐量 50 MB/s 150 MB/s 250 MB/s 350 MB/s 1000 MB/s API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD 典型应用场景 适用于大容量、读写速率中等、事务性处理较少的应用场景，例如企业的日常办公应用或者小型测试等。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 单队列访问时延 5 ms ~ 10 ms 1 ms ~ 3 ms 1 ms 1 ms 亚毫秒级

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP通过弹性云主机连接文档数据库实例。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务所属安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 安全性高，可实现DDS的较好性能。 公网连接 弹性IP 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于不同区域时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。

字段 说明 PASSTHROUGH 客户端呈现的SNI 字符串将用作 VirtualService 中 TLS 路由的匹配条件，以确定服务注册表中的目标服务。 SIMPLE 具有标准TLS 语义的安全连接，在此模式下，握手期间不会请求客户端证书。 MUTUAL 使用双向TLS 对下游进行安全连接，通过提供服务器证书进行身份验证，在握手期间还将请求客户端证书，并且客户端需要发送至少一个有效证书。 AUTOPASSTHROUGH 类似于透明传输模式，但具有此TLS 模式的服务器不需要关联的 VirtualService 将 SNI 值映射到注册表中的服务，目标详细信息，如服务/子集/端口，被编码在 SNI 值中，代理将转发到由 SNI 值指定的上游（Envoy）集群（一组端点），此服务器通常用于在不同的 L3 网络中提供服务之间的连通性，否则这些服务之间的端点之间没有直接连通性，使用此模式假定源和目标均使用 Istio mTLS 来保护流量。 ISTIOMUTUAL 通过提供服务器证书进行身份验证，从下游使用双向TLS 进行安全连接，与 Mutual 模式相比，此模式使用由 Istio 自动为 mTLS 认证生成的证书，代表网关工作负载的身份，当使用此模式时，TLSOptions 中的所有其他字段都应为空。 OPTIONALMUTUAL 类似于MUTUAL 模式，但客户端证书是可选的，与 SIMPLE 模式不同，握手期间仍会明确请求客户端证书，但客户端不需要发送证书，如果提供了客户端证书，则将对其进行验证。应指定 cacertificates 以验证客户端证书。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 说明 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址。 说明 目前支持选择IPV4和IPV6网段的子网。 内网安全组 内网安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 数据库端口 数据库端口默认8635，实例创建成功后可修改。文档数据库服务访问的数据库端口与数据库缺省值有区别，且需在安全组中添加相应规则，以免影响使用。 跨网段访问配置 现在设置 通过内网连接副本集实例时，当客户端和副本集实例部署在不同网段时，且客户端所在的网段不在“192.168.0.0/16”，“172.16.0.0/24”和“10.0.0.0/8”时，需要进行跨网段访问配置，以实现网络互通。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以配置“对等连接”。 跨网段访问配置当前最多可支持配置9个源端网段， 源端网段之间允许重叠但不能重复。即设置的源端网段之间可以有交集但不能完全一样，禁止使用127开头的网段，允许的IP掩码范围为832。 创建后设置 暂不配置源端对应网段。 IPV6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。

防网页篡改 攻击者利用黑客技术，在网站服务器上留下后门或篡改网页内容，造成经济损失或带来负面影响。用户可通过Web应用防火墙配置网页防篡改规则，以实现： 挂马检测 检测恶意攻击者在网站服务器注入的恶意代码，保护网站访问者安全。 页面不被篡改 保护页面内容安全，避免攻击者恶意篡改页面，修改页面信息或在网页上发布不良信息，影响网站品牌形象。 内容安全检测 网站/新媒体内容安全检测 内容合法合规性检测 国家政策要求各地方机构要认真落实意识形态工作和网络内容安全工作责任制。为响应国家政策，内容安全检测服务可对网站/新媒体内容进行合法合规检测，主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等，有效帮助您降低内容风险。 内容准确性检测 对网站/主流新媒体平台的内容进行准确性检测，主要对文本、图片、视频、语音进行表述规范审核，如对错别字、生僻字、词法表述、语法表述等内容进行检测审核。

参数 说明 虚拟私有云 SQL Server实例所在的虚拟专用网络，可对不同业务进行网络隔离，您可以根据需求选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效。 安全组 安全组限制实例的安全访问规则，加强SQL Server与其他服务间的安全访问。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 IP地址 这里特指用户连接数据库的VPC IP地址。提供自动分配IP及手动指定IP两个选项，手工指定IP允许用户自行指定一个未被占用的VPC IP地址。 端口 允许指定数据库端口，默认1433。

本节主要介绍创建参数模板 数据库参数模板类似于数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个数据库实例。 使用须知 文档数据库服务和关系型数据库不共享参数模板配额。 每个用户最多可以创建100个文档数据库服务参数模板，集群、副本集实例共享该配额。 集群 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航树，单击“参数模板管理”。 步骤 5 在“参数模板管理”页面，单击“创建参数模板”。 步骤 6 选择数据库版本、集群实例类型和节点类型，命名参数模板，并添加参数模板的描述，单击“确定”，创建参数模板。 选择该数据库引擎参数模板所需应用的节点类型，例如：您需要创建config节点适配的参数模板，请选择“config”。 参数模板名称在1到64位之间，需要以字母开头，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256位，不能包含回车和>!<"&'特殊字符。 步骤 7 您可在“参数模板管理”页面的“集群”页签，查看并管理创建完成的参数模板。

本节介绍如何开启Cookie安全属性。 当“对外协议”配置为HTTPS时，WAF支持开启“Cookie安全属性”，开启后会将Cookie的HttpOnly和Secure属性设置为true。 Cookie是后端Web Server插入的，可以通过框架配置或setcookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 约束条件 “对外协议”包含“HTTP”时，“Cookie安全属性”默认为关闭状态，不支持开启。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“高级配置”栏中“Cookie安全属性”列单击，开启Cookie安全属性。

本文主要介绍 配置镜像拉取策略。 创建工作负载会从镜像仓库拉取容器镜像到节点上，当前Pod重启、升级时也会拉取镜像。 默认情况下容器镜像拉取策略imagePullPolicy是 IfNotPresent ，表示如果节点上有这个镜像就直接使用节点已有镜像，如果没有这个镜像就会从镜像仓库拉取。 容器镜像拉取策略还可以设置为 Always ，表示无论节点上是否有这个镜像，都会从镜像仓库拉取，并覆盖节点上的镜像。 apiVersion: v1 kind: Pod metadata: name: nginx spec: containers: image: nginx:alpine name: container0 resources: limits: cpu: 100m memory: 200Mi requests: cpu: 100m memory: 200Mi imagePullPolicy: Always imagePullSecrets: name: defaultsecret 在CCE控制台也可以设置镜像拉取策略，在创建工作负载时设置。如下所示，勾选表示总是拉取镜像（Always），不勾选就是IfNotPresent。 注意 建议您在制作镜像时，每次制作一个新的镜像都使用一个新的Tag，如果不更新Tag只更新镜像，当拉取策略选择为IfNotPresent时，CCE会认为当前节点已经存在这个Tag的镜像，不会重新拉取。

本文主要介绍CCE发布Kubernetes 1.13版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.13版本所做的变更说明。 表 v1.13版本集群说明 Kubernetes版本（CCE增强版） 版本说明 v1.13.10r0 主要特性： 负载均衡支持设置名称 4层负载均衡支持健康检查，7层负载均衡支持健康检查/分配策略/会话保持l CCE集群支持创建物理机节点（容器隧道网络） 支持AI加速型节点（搭载海思Ascend 310 AI处理器），适用于图像识别、视频处理、推理计算以及机器学习等场景 支持配置docker baseSize 支持命名空间亲和调度 支持节点数据盘划分用户空间 支持集群cpu管理策略 支持集群下的节点跨子网（容器隧道网络） v1.13.7r0 主要特性： Kubernetes同步社区1.13.7版本 支持网络平面（NetworkAttachmentDefinition） 参考链接 社区v1.11与v1.13版本之间的CHANGELOG v1.12到v1.13的变化： v1.11到v1.12的变化：

本文将介绍如何使用边缘安全加速平台安全与加速服务的内容安全监测功能。 功能介绍 天翼云监测系统平台依托海量数据训练的先进深度学习模型，能够精准监测网页中的文本与图片元素，快速识别并提取其中的敏感内容及其所属类别。平台支持多种主流内容格式，包括txt、html、wmlc、wml、xhtml、mht等，可全面覆盖各类网站的文本与图片内容监测需求。在合规性监测方面，平台涵盖涉黄、涉毒、涉政、赌博、暴恐、邪教等关键类别，能够对网站文本和图片内容进行全方位筛查，确保网络空间的健康与安全。 支持监测的图像格式包括但不限于JPEG、GIF、PNG、BMP、TIFF、JPEG2000；支持监测的文本格式包括但不限于Big5、UTF8、GBK、GB2312。 监测任务发现页面出现敏感信息后，将第一时间通知用户。用户可参考天翼云提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为基础版及以上版本。 监测任务配置 若您需要监测网站文本、图片内容的合规性，请先配置监测任务。 配置项 配置项说明 任务名称 支持配置任务名称，如客户名内容安全监测 检测开关 开启或关闭 检测URI 默认输入/，即监测首页。默认去问号监测，即去除URL中问号（?）及其后的所有参数部分，仅对URL的主路径部分进行监测。 检测范围 默认检测当前页面及一级链接，支持配置检测范围至七级链接 监测周期 支持配置监测周期，可选3、6、12、24小时，默认监测周期为24小时 监测项 支持配置文本监测、图片监测 文本检测可支持AI审核或规则匹配，其中AI审核支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。另外支持配置白名单词库与白名单URL，在白名单范围内的信息将不进行监测。规则匹配则支持从现有的敏感词库中匹配敏感词进行监测 图片监测支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。并支持配置白名单URL，白名单内的URL将不进行监测. 支持选择是否监测外链，若现在是，可检测网站引入的外链是否有内容安全风险。 告警设置 连续检测N次异常则产生通知 通知方式 即告警通知和短信通知

本章节主要介绍如何创建、修改和删除实例的内网域名。 注意 实例内网域名功能仅西南1、华东1、武汉41（II类型资源池）支持，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 使用场景 该功能提供关系数据库MySQL版实例的内网访问地址 ，用于同一VPC或内网环境下的应用（如ECS、容器服务等）安全、低延迟地连接数据库，避免公网暴露风险。 约束限制 修改内网域名，将导致数据库连接中断，请修改对应的应用程序连接地址。 内网域名的名称唯一，默认内网域名格式为：实例ID.rds.mysql.域名。 当您在切换VPC时，由于切换VPC会引起连接地址的变更，此时不允许内网域名的设置。 设置内网域名 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在实例信息 区域，找到IPv4地址，单击内网域名 参数旁的设置。 5. 按照提示，先前往内网DNS控制台创建一个域名，并关联本实例的VPC。 6. 回到MySQL控制台，即可在域名中选择以上步骤中创建的域名。 7. 在实例内网域名中，填写您想定义为该实例的内网域名。 8. 单击确定。 9. 确定后，需要更改主机DNS使内网DNS配置生效，具体的步骤可参考更改主机DNS使内网DNS配置生效。 10. 配置后即可访问。 注意 域名（主域名）和实例内网域名不同，域名是于DNS控制台创建的主域名，MySQL控制台的内网域名是针对该实例的一个内网域名，以主域名为后缀创建。 一个主域名可以绑定多个VPC，一个VPC内可能有多个实例；一个主域名可以应用于多个实例，但一个实例内网域名只能绑定一个实例。 您在DNS网络控制台最多可以创建10个域名，相关限制可参考内网DNS官网文档。

扩容过程中涉及数据迁移吗？ 扩容过程不涉及数据迁移。 选择和配置安全组 安全组是一种网络安全配置，用于控制云计算平台中虚拟机实例的网络访问。它是一种虚拟防火墙，可以定义入站和出站的网络流量规则，以保护虚拟机实例的安全。Kafka在购买实例页面用户可选择安全组。 是否支持跨Region访问？ 可购买弹性IP，通过公网IP绑定功能实现外网访问，也可通过购买云间高速产品服务进行访问。 Kafka实例是否支持不同的子网？ 支持。相同VPC内可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 Kafka实例的内网连接地址可以修改吗？ 不支持修改，也不支持指定IP地址。 开启公网访问后，在哪查看公网IP地址？ Kafka管理控制台。在实例列表页在操作列，目标实例行点击“设置公网ip”，查看具体地址。 Kafka支持服务端认证客户端吗？ 分布式消息服务Kafka不支持服务端认证客户端。 不同实例中，使用的SSL证书是否一样？ 在Kafka中，每个实例使用的SSL证书通常是不同的。SSL证书是用于加密和验证Kafka实例之间的通信的一种安全机制。每个Kafka实例都需要有自己的证书来确保通信的安全性和身份验证。 SSL证书包括公钥和私钥。公钥用于加密通信，私钥用于解密通信。为了确保安全性，私钥应该是保密的，并且只有Kafka实例才能访问。 在Kafka集群中，每个实例都应该有自己的证书和私钥对。这样可以确保每个实例都有独立的加密和身份验证机制。如果多个实例共享相同的证书和私钥，那么一个实例的私钥可能会被其他实例访问，从而降低了通信的安全性。 因此，为了确保每个Kafka实例之间的通信安全，建议为每个实例生成独立的SSL证书和私钥。这样可以确保每个实例都有独立的加密和身份验证机制，提高整个Kafka集群的安全性。

本章节主要介绍翼MapReduce服务的产品定义、架构与优势。 产品定义 翼MapReduce（简称：“翼MR”），是基于当前开源新版本大数据组件进行产品化封装，可以为客户提供快速部署、便捷维护的HDFS、YARN、Spark、Flink、Hive、Doris、Kafka、HBase等高性能的大数据组件以及运维管理平台，同时产品默认提供强安全验证能力，具备高安全、高扩展、快捷运维等特色，支持批量数据处理、流式数据处理、离线数据分析、在线查询等场景。 产品架构 翼MR集群各个版本组件情况请参见版本概述。 详见下图：翼MR架构图 翼MR架构包括了基础设施和大数据处理流程各个阶段的能力。 ● 基础设施 基于天翼云弹性云主机CTECS构建的大数据集群，整体集群的高可靠和高安全能力可以得到虚拟化底层的充分保证。 虚拟私有云（CTVPC）为每个租户提供虚拟的内部网络，默认与其他网络隔离，同时通过配套的安全组访问控制确保网络层面的安全性。 云硬盘（CTEVS）提供不同规格和性能表现的高可靠存储能力。 弹性云主机（CTECS）提供的弹性可扩展虚拟服务器，结合上述的CTVPC、安全组、CTEVS数据多副本和灾备能力为客户打造一个高效、可靠、安全的业务集群环境。 物理机服务（CTDPS）是基于天翼云软硬结合技术研发的一款拥有极致性能的裸金属服务器，兼具云主机的灵活弹性、物理机的稳定，提供算力强劲的计算类服务，提供专属的云上物理服务器，为大数据、核心数据库、高性能计算等业务提供服务稳定、数据安全、性能卓越的算力服务。 ● 数据集成 数据集成层提供了客户的数据集成进翼MR集群的能力，包括：Kafka、Logstash、SeaTunnel、Flume，支持各种数据源导入数据到翼MR大数据集群中。 ● 数据存储 翼MR支持结构化和非结构化数据在集群中的存储，并且支持多种高效的格式来满 足不同计算引擎的要求。 – HDFS是大数据上通用的分布式文件系统。 – Doris是实时数据仓库服务，具有高并发、低延迟的特点。 – HBase支持带索引的数据存储，适合高性能基于索引查询的场景。 – Elasticsearch支持结构化/非结构化数据的检索、分析场景。 ● 数据调度和计算处理 – 翼MR提供多种主流计算引擎：MapReduce（批处理）、 Spark（内存计算）、Flink（流计算），满足多种离线或实时大数据应用场景，将数据进行结构和逻辑的转换，转化成满足业务目标的数据模型。 – 基于预设的数据模型，使用易用SQL的数据分析，用户可以选择Hive（数据仓库），SparkSQL以及Trino交互式查询引擎。 ● 翼MR Manager 为确保大数据组件服务的高可用性，以Hadoop为基础的大数据生态的各种组件均需要以分布式的方式进行部署，涉及其中的部署、管理和运维复杂度要求较高。翼MR提供了统一的运维管理平台翼MR Manager，包括可视化引导式部署集群能力。同时翼MR Manager还提供了租户与资源管理能力，以及翼MR中各类大数据组件的运维，并提供监控、告警、配置等一站式运维能力。

天翼云物理机服务器如何保证数据安全？ 天翼云物理机服务器具备物理机级的性能和隔离性，用户独占计算资源，并且无任何虚拟化开销。存储在高性能高可靠的服务器上的数据，自然也会很安全。 带有本地磁盘的物理机服务器，支持本地磁盘组RAID，磁盘数据冗余存储，提升容错能力，确保数据安全。 无本地磁盘的天翼云物理机服务器，支持从云硬盘启动（即系统盘为云硬盘，且称之为快速发放物理机服务器）。云服务器备份可以对物理机服务器提供备份保护，支持基于多块云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复服务器数据，最大限度保障用户数据的安全性和正确性，确保业务安全。

%^+?,特殊字符。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 请妥善保管您的密码，因为系统将无法获取您的密码信息。 确认密码 必须和管理员密码相同。 参数模板 数据库参数模板就像是数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。对于HA实例创建成功后，主备参数模板相同。实例创建成功后，参数模板可进行修改。 须知 创建数据库实例时， 为确保数据库实例正常创建，自定义参数模板中相关规格参数如下不会下发， 而是采用系统默认的推荐值。 “backlog” “innodbiocapacitymax” “maxconnections” “innodbiocapacity” “innodbbufferpoolsize” “innodbbufferpoolinstances” 您可以在实例创建完成之后根据业务需要进行调整。 表5 标签 参数 描述 标签 可选配置，对关系型数据库的标识。使用标签可以方便识别和管理您拥有的关系型数据库服务资源。每个实例最多支持10个标签配额。 实例创建成功后，您可以单击实例名称，在标签页签下查看对应标签。 表6 购买周期 参数 描述 购买时长（包年/包月） 选择所需的时长，系统会自动计算对应的配置费用，时间越长，折扣越大。 购买数量 关系型数据库服务支持批量创建实例，如果您选择创建主备实例，数量选择为1，那么会同步创建一个主实例和一个备实例。 关系型数据库的性能，取决于用户申请关系型数据库时所选择的配置。可供用户选择的硬件配置项为性能规格、存储类型以及存储空间。 步骤 6 对于按需计费的实例，进行规格确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改实例信息。 如果规格确认无误，单击“提交申请”，完成购买实例的申请。 跳过步骤7和步骤8，直接执行步骤9。 步骤 7 对于包年/包月模式的实例，进行订单确认。 如果需要重新选择实例规格，单击“上一步”，回到上个页面修改关系型数据库实例信息。 如果订单确认无误，单击“去支付”，进入“付款”页面。 如果暂不确定实例规格，单击“提交，暂不付款”，系统将保留您的订单，稍后可在“费用 > 我的订单”中支付或取消订单。 对于“包年/包月”模式的实例，付款成功后，才会创建。 步骤 8 选择付费方式，完成付费。 本操作仅适用于包年/包月计费方式。 步骤 9 关系型数据库实例创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 创建实例过程中，状态显示为“创建中”。您可以通过“任务中心”查看详细进度和结果。在实例列表的右上角，单击刷新列表，可查看到创建完成的实例状态显示为“正常”。 创建实例时，系统默认开启自动备份策略，后期可修改。实例创建成功后，系统会自动创建一个全量备份。 数据库端口默认为3306，实例创建成功后可修改。 具体请参见 修改数据库端口。

本章节会介绍如何修改数据库安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 注意事项 开启读写分离功能后，如果需要修改实例安全组，请联系客服申请。 读写分离开启状态下修改主实例的安全组，会同时修改只读实例的安全组，只读实例不允许单独修改。请提前检查修改后的安全组配置是否符合预期，避免对现有业务产生影响。 RDS实例所绑定的安全组可以进行添加、修改安全组规则、删除等操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“安全组”处，单击“管理”。 您可以同时勾选多个安全组，数据库实例的访问规则先根据绑定安全组的顺序，再根据组内规则的优先级生效。 如需创建新的安全组，请单击“创建安全组”。 说明 使用多个安全组可能会影响网络性能，建议您选择安全组的数量不多于5个。 步骤 6 单击“是”，提交修改。 结束

简述客户业务接入AOne边缘安全加速各个服务的基本条件。 安全与加速 限制项 具体要求 说明 ::: 加速域名 中国内地： 1.已在天翼云进行实名认证。 2.域名已在工信部备案且备案信息正常有效。 3.域名接入时需要经过内容审核。 加速范围为中国内地、全球的域名必须在工信部备案才能接入AOne安全与加速，否则天翼云无法提供加速服务。 域名额定用量 1.URL刷新：10000条/日。 2.目录刷新：1000条/日。 3.URL预取：2000条/日。 为防止资源滥用，AOne安全与加速限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请提交工单申请扩大额度。 回源 1.请求行&请求头：请求行的最大长度为64k，每个请求头的最大长度为64k，请求行加请求头的大小不能超过256k。 2.超时时间：客户端和网关保持TCP连接的超时时间，默认值 60s。 3.源站端口：http回源端口默认80，支持自定义。https端口默认443，不支持自定义，如需配置非443端口请提交工单申请。 详情请参考[]( 突发带宽限流 若您对AOne安全与加速有突发带宽控制需求，请提前提交工单申请配置全网带宽控制功能。全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 文件 通过AOne安全与加速传输的文件大小默认限制为单个文件最大不超过300MB。支持自定义。 请求方式 支持GET、PUT、POST和HEAD等请求方式。 可以通过回源HTTP请求头功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。

安全防护 可追溯租户管理操作的记录。 提供用户鉴权和SASL授权访问机制，提供企业级的安全防护。 更多信息请参见功能特性。 应用场景 分布式消息服务kafka适用于物联网、电信、电子商务、金融服务等等行业，通常用于业务的流计算处理、日志聚合等场景。更多信息请参见应用场景。 使用限制 分布式消息服务kafka对实例、Topic等对象信息进行限制，使用时注意不要超过限制，以免程序出现异常。更多信息请参见使用限制。

该任务指导用户通过漏洞扫描服务删除已创建的监测任务。 前提条件 已获取管理控制台的登录帐号与密码。 已创建监测任务。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”。 3. 在左侧导航树中，选择“安全监测”，进入“安全监测”界面。 4. 在目标监测任务所在行的“操作”列中，单击“删除任务”，在弹出的对话框中，单击“确认”。

sectiond1d6713199dc6481) 安全监控 安全趋势 各个板块数据统计周期及更新频率如下表所示： 参数名称 统计周期 更新频率 说明 安全评分 实时 每天2:00自动更新 随手动单击“重新检测”更新而更新 根据是否开启各安全服务防护、未处理的配置问题等级及个数、未处理的漏洞等级及个数、未处理的威胁事件等级及个数等计算而来，详细评分信息请参见安全评分。 威胁告警 近7天 每5分钟 当前工作空间内，“威胁管理 > 告警管理”中的告警总和。 漏洞 近7天 每5分钟 当前工作空间内，“风险预防 > 漏洞管理”中的漏洞总和。 合规检查 实时 每5分钟 当前工作空间内，“风险预防> 基线检查”中的问题总和。 安全趋势 近7天 每5分钟 “安全趋势”板块展示近7天内您的整体资产安全健康得分的趋势图。 安全评分 “安全评分”板块根据态势感知（专业版）的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况。 安全评分每天凌晨2:00自动更新，也支持通过单击“重新检测”来进行实时更新。 分值范围为0～100，分值越大表示风险越小，资产更安全，安全分值详细说明请参见[安全评分](/document/10564662/11084525

本小节介绍Agent和其他安全软件的冲突。 Agent可能会和DenyHosts这款软件产生冲突。 冲突表现：若登录主机的IP地址被识别为攻击IP，但是无法被“解封”。 冲突原因：企业主机安全服务和DenyHosts会同时封禁可能为攻击IP的登录IP地址，企业主机安全服务无法解封DenyHosts中封禁的IP地址。 处理方法： 建议停止DenyHosts。 1. 以root用户登录ECS。 2. 执行以下命令，检查是否安装了DenyHosts。 ps ef grep denyhosts.py 若界面回显类似以下信息，则说明安装了DenyHosts。 3. 执行以下命令，停止DenyHosts。 kill 9 'cat /var/lock/denyhosts' 4. 执行以下命令，取消DenyHosts的自启动。 chkconfig deldenyhosts ；

本章节主要介绍数据湖探索（DLI）的术语解释。 租户 数据湖探索支持多个组织、部门或应用共享使用资源。通过提供一个逻辑实体来统一使用不同资源和服务，这个逻辑实体就是租户。多个不同的租户统称多租户。租户对应公司。一个租户可以创建多个子用户，并可以对不同用户授予不同权限。 项目 各个服务中的一些可以访问的资源集合称为项目。一个账号可以在一个区域下创建多个项目，并基于项目进行授权。不同项目下的资源相互隔离。项目可以是一个部门或者一个项目组。 数据库 数据湖探索中数据库的概念、基本用法与Oracle数据库基本相同，它还是数据湖探索管理权限的基础单元，赋权以数据库为单位。 在数据湖探索中，表和数据库是定义底层数据的元数据容器。表中的元数据让数据湖探索知道数据所在的位置，并指定了数据的结构，例如列名称、数据类型和表名称。数据库是表的逻辑分组。 元数据 元数据（Metadata）是用来定义数据类型的数据。主要是描述数据自身信息，包含源、大小、格式或其它数据特征。数据库字段中，元数据用于诠释数据仓库的内容。 计算资源 数据湖探索服务中的队列即为计算资源，计算资源是使用数据湖探索服务的基础，用户执行的SQL作业和Spark作业都需要使用计算资源。 存储资源 存储资源是数据湖探索服务内部存储的资源，用于存储数据库和数据湖探索表，是向数据湖探索导入数据的必备条件，体现用户数据存储在数据湖探索中的数据量。

本文介绍AOne于在线教育场景的最佳实践。 背景信息 在在线教育场景中，AOne安全与加速服务的最佳实践旨在提供全面的安全防护和性能优化，为在线教育平台和学习者提供稳定、高效、安全的学习环境。随着在线教育的迅速发展，越来越多的学生和教育机构转向在线学习，但在线教育也面临一系列挑战，包括网络安全威胁、带宽需求、延迟问题以及高并发等。 天翼云边缘安全加速平台AOne基于全球部署的1800+边缘节点，帮助在线教育平台和学习者克服网络安全、带宽、延迟和高并发等挑战，提供更加安全、高效和稳定的学习环境。 技术架构 应用场景 学习内容加速传输 业务挑战：在线教育平台通常提供大量的学习内容，包括视频、课件、教材等，这些内容需要快速传输到学习者的设备上。然而，由于网络延迟和带宽限制，学习内容可能加载缓慢，影响学习体验。 方案优势：通过内容分发网络（CDN）加速技术，AOne在全球各地部署服务器节点，将学习内容缓存在离学习者最近的节点上。这样可以大大减少学习内容的加载时间，提高传输速度，优化学习体验。

本小节介绍等保咨询的产品定义。 信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。《中华人民共和国网络安全法》在2017年6月1日施行，作为网络安全基础性法律，在第21条明确规定了“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”。 等保咨询为客户提供等级保护咨询服务，包括提供等保系统定级咨询、备案咨询、安全自评估、制定差距整改方案等全流程一站式等保测评指导服务。

参数 描述 IP地址或域名 源数据库的IP地址或域名。说明对于RAC集群，建议使用SCAN IP接入，提高访问性能。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库服务名 数据库服务名（Service Name/SID），客户端可以通过其连接到Oracle，具体查询方法请参照界面提示。 PDB名称 PDB同步仅在Oracle12c及以后的版本支持，该功能为选填项，当需要迁移PDB中的表时开启。PDB功能开启后，只能迁移该PDB中的表，并且需要提供CDB的service name/sid及用户名和密码，不需要PDB的用户名和密码。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 如启用SSL安全连接，请在源库开启SSL，并确保相关配置正确后上传SSL证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。

主机漏洞扫描 支持深入扫描：通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描：可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 支持中间件扫描。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。