本文主要介绍了自动续订规则及操作流程。 为避免由于未及时对资源采取续订操作，资源被到期冻结或超期释放，客户购买包月包年产品后，可设置开通自动续订。开通自动续订后，系统将在资源到期前自动续订，无需客户再手动操作。 适用范围 自动续订仅针对采用包月、包年计费模式的资源。 已到期资源不支持设置/修改自动续订。 自动续订仅适于 付费用户 ，不适用于非付费用户。 目前支持设置自动续订的产品有：弹性云主机、GPU云主机、物理机、云桌面、云硬盘、对象存储经典版、云主机备份、专属云计算独享型、专属云存储独享型、弹性IP、共享带宽、天翼云SDWAN、云间高速、关系数据库MySQL版、关系数据库Postgre SQL版、分布式关系数据库、分布式缓存服务Redis版、分布式缓存服务Memcache、文档数据库服务、云HBASE数据库、分布式消息服务RocketMQ、分布式消息服务RabbitMQ、分布式消息服务Kafka、Web应用防火墙、服务器安全卫士、域名无忧、DDos高防IP、云解析、登录保护、网站安全监测、内容安全。 单次最多支持20个资源实例批量续订。 开通、变更、关闭自动续订 用户在续订管理页可开通自动续订功能，变更自动续约周期，或关闭自动续订。 不关闭自动续订的情况下，只要预付费账户余额充足，或为后付费客户，系统将持续按设定的周期自动续订下去。 预付费用户可在官网自主控制自动续订功能的开通、变更、关闭。后付费用户需要客户经理协助开启自动续订权限后才可以自主管理。

本节介绍态势感知的产品优势。 见微知著的指标脉络与态势呈现 您可以通过态势感知即时查看大屏、定期订阅安全运营报告，了解安全运营核心关注指标。 云原生的资产盘点与风险预防 云上资产自动盘点，云安全配置自动检查，支持定位到资产，指导并辅助自动加固，帮助您告别黑资产、错配置的焦虑。同时避免传统的外挂式安全方案引入的隐式通道或安全设备漏洞。 智能高效的威胁检测与响应处置 专注于快速找到真正的威胁。通过每天对数十亿安全日志进行分析，利用多年沉淀经验，内置模型和研判剧本来降低合法事件的干扰。通过威胁及资产画像，与威胁告警环环关联，还原整个攻击链，配置自动化处置剧本进行响应，简化操作、提升安全性，提升了处理告警和事件的效率。 灵活的环境集成与作战协同 可通过配置连接到所有安全服务，进行数据对接或者联动操作；也可以定义您自己的模型、研判/处置剧本，以最佳适配您的安全需求。通过工作空间，还可以实现大型组织协同作战、MSSP（Managed Security Service Provider）托管等。

本文带您了解对象存储的相关术语及其基本概念。 桶（Bucket） 桶（Bucket）是对象存储（简称ZOS）中存储对象的容器，所有的对象都必须隶属于某个容器中。 存储桶通常具有唯一的名称，用于在对象存储系统中进行标识。您可以设置和修改桶的属性用来控制地域、访问权限、生命周期等，这些属性设置直接作用于该存储桶内所有对象，因此您可以通过灵活创建不同的桶来完成不同的管理功能。 在ZOS中，桶名必须是全局唯一的且不能修改，即用户创建的桶不能与其他已创建的桶名称相同。桶所属的地域在创建后也不能修改。用户只有对Bucket 拥有相应的权限，才可以对其进行操作，这样保证了数据的安全性，防止非授权用户的非法访问。 一个账号可创建100个桶，用户可通过工单申请扩大配额，最大配额1000个桶。 对于2023年9月30日后新创建的存储桶，单个桶的对象数量配额上限为4亿。当存储的对象数量达到该限制后，涉及新增对象的操作有被限制的风险。 对于2023年9月30日前创建的存储桶，单个桶的对象数量配额不建议超过4亿，如果您有单桶对象数量超过4亿的需求，请提交工单申请技术支持。 对象（Object） 对象（Object）是ZOS中数据存储的基本单位。 一个对象实际是一个文件的数据与其相关属性信息（元数据）的集合体，用户上传至ZOS的数据都以对象的形式保存在桶中。每个对象都有一个唯一的标识符，例如对象的键（Key）或统一资源定位符（URL）。文件可以是文本、图片、音频、视频等，用户可以上传、下载、删除和共享Object。

本章节主要介绍跨源连接相关问题。 DLI增强型跨源连接为什么要创建对等连接 创建DLI增强型跨源连接时，创建对等连接的目的是打通网络。以MRS为例，如果DLI和MRS集群在同一个VPC中，安全组且放通的情况下，可以不用配置对等连接。 增强型跨源连接绑定队列失败 问题现象 客户创建增强型跨源连接后，在队列管理测试网络连通性，网络不通，单击对应的跨源连接查看详情，发现绑定队列失败，报错信息如下： Failed to get subnet 86ddcf50233a449d9811cfef2f603213. Response code : 404, message : {"code":"VPC.0202","message":"Query resource by id 86ddcf50233a449d9811cfef2f603213 fail.the subnet could not be found."} 原因分析 DLI跨源连接需要使用VPC、子网、路由、对等连接、端口功能，因此需要获得VPC（虚拟私有云）的VPC Administrator权限。 客户未给VPC服务授权导致绑定队列失败。 处理步骤 在DLI控制台，单击“全局配置”>“服务授权”，选择VPC服务，更新委托权限。 DLI增强型跨源连接DWS失败 问题现象 客户创建增强型跨源连接DLI和DWS，安全组已配置出方向规则到关联队列，使用的是密码形式的跨源认证，报DLI.0999: PSQLException: The connection attempt failed。 原因分析 出现该问题可能原因如下： 安全组配置不正确 子网配置不正确 处理步骤 1.检查客户安全组是否放通，安全组放通规则如下所示。 入方向规则：检查本安全组内的入方向网段及端口是否已开放，若没有则添加。 出方向规则：检查出方向规则网段及端口是否开放（建议所有网段开放）。 客户安全组入方向和出方向配置的都是DLI队列的子网。建议客户将入方向源地址配成0.0.0.0/0，端口8000，表示任意地址都可以访问DWS8000端口。 2.将入方向源地址配成0.0.0.0/0，端口8000，仍然无法连接，继续排查子网配置。客户的DWS子网关联了网络ACL。网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。关联子网后，网络ACL默认拒绝所有出入子网的流量，直至添加放通规则。通过检查，发现其DWS所在子网关联的ACL是空值。 因此，问题的原因是：客户子网关联了网络ACL，但是没有配置出入规则，造成IP地址不可访问。 3.客户配置子网出入规则后，测试成功。 创建跨源成功但测试网络连通性失败怎么办？

关闭IPv4公网访问（支持修改明文/密文接入） 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 3. 在管理控制台左上角单击，选择“应用中间件 > 分布式消息服务Kafka”，进入分布式消息服务Kafka专享版页面。 4. 单击Kafka实例的名称，进入实例的“基本信息”页面。 5. 关闭公网访问前，需要先关闭公网访问中的“明文接入”和“密文接入”。然后在“公网访问”后，单击，弹出确认关闭对话框。 6. 单击“确认”，跳转到“后台任务管理”页面。当任务状态显示为“成功”时，表示成功关闭公网访问。 关闭公网访问后，需要设置对应的安全组规则，才能成功通过内网连接Kafka。 表4 Kafka实例安全组规则（内网访问） 方向 协议 类型 端口 源地址 说明 入方向 TCP IPv4 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（明文接入）。 入方向 TCP IPv4 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（密文接入）。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问Kafka实例，无需添加表4的规则。

以应用为维度,进行可视化拓扑展示。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控 」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用拓扑」查看相应信息。 功能说明 拓扑图是一种以图形化方式展示应用之间关系的图表，帮助开发人员或运维人员了解应用程序的整体结构和运行状况。 信息 拓扑图通常包括以下信息： 应用或服务的组成部分：例如数据库、缓存、消息队列、Web 服务器等，当前版本支持的插件见下表，暂未支持的插件会显示为unknown。 类别 支持的服务 其他基础服务 JavaMethod 其他基础服务 Netty 数据库 Mysql 数据库 ClickHouse 数据库 EsRestClient 数据库 MongoDb 缓存 Redis 缓存 Jedis 缓存 Lettuce 消息 KafkaConsumer 消息 KafkaProducer 消息 RabbitMqConsumer 消息 RabbitMqProducer Web容器 Tomcat 外部调用 HttpClient 组件之间的依赖关系：例如一个组件调用另一个组件的接口等，包含各项基础指标 指标名 说明 客户端 显示当前链路的客户端名称。 服务端 显示当前链路的服务端名称。 请求总量 显示当前链路在筛选时间段内的请求次数。 吞吐量 显示当前链路在筛选时间段内平均每分钟的请求量。 平均响应时间 显示当前链路在筛选时间段内所有请求的平均响应时间。 错误数 显示当前链路在筛选时间段内请求错误次数。 错误率 显示当前链路在筛选时间段内请求错误率，即：错误数/请求总量。 通过分析拓扑图，开发/运维人员可以快速定位应用中的问题，并进行及时的排查和修复。拓扑图还可以帮助开发/运维人员进行容量规划和性能优化，以提高应用程序或服务的性能和可靠性。

安全专区总览展示服务器安全状态、服务器数量、存在风险的服务器数量和未受保护的服务器数量，统一查看服务器资产安全状态。 功能说明 展示服务器安全状态、服务器数量、存在风险的服务器数量和未受保护的服务器数量，统一查看服务器资产安全状态。 资产总数：服务器资产以及资产的风险状态统计数据； 未防护资产：未被授权保护的服务器资产； 存在风险服务器：存在漏洞、基线风险、告警等安全风险的服务器； 存在风险网站：存在漏洞、基线风险等安全风险的网站。 点击存在风险的服务器数量、未受保护的服务器数量和存在风险的服务器数量，可跳转到资产管理页面查看具体服务器资产的安全信息，并详细分析资产安全状态。

本文介绍边缘接入服务计费常见问题。 开通IP应用加速前，要先订购边缘接入服务吗 边缘接入服务里的应用加速与安全与加速服务里的加速是否叠加计费 IP应用加速支持海外加速吗 购买边缘接入套餐后，已购买的流量/带宽、域名数、端口数、DDoS防护不够怎么办

什么是配额？ 对用户的资源数量和容量做了限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交您的申请，并告知您申请提高配额的理由。 在通过我们的审理之后，我们会更新您的配额并进行通知。 如何检查终端节点服务所在后端弹性云主机的网络配置？ 步骤如下： 1、确认弹性云主机使用的网卡安全组是否正确。 2、在弹性云主机详情页面查看网卡使用的安全组。 3、查看安全组入方向是否已放行198.19.128.0/20网段的地址，如果没有放行，请添加198.19.128.0/20网段的入方向规则，用户可根据自己的实际业务场景添加入方向规则。 4、确认弹性云主机网卡所在子网的网络ACL不会对流量进行拦截。 5、在虚拟私有云页面左侧如果可以进行网络ACL配置，请确认对等连接涉及的子网已放通。 VPC终端节点和对等连接有什么区别？ 具体请见下表。 类别 VPC对等连接 VPC终端节点 ::: 安全性 VPC内所有ECS、ELB、VIP等均可以被访问。 仅创建了终端节点服务的ECS、ELB可以被访问。 CIDR重叠 不支持。 如果两个VPC之间的子网网段有重叠或者完全相同，那么建立的对等连接将无效，无法相互通信。 支持。 VPC终端节点完全不受两个VPC子网网段重叠或者完全相同的影响，均可以正常通信。 通信方向 建立对等连接的两个VPC之间支持双向通信。 通过VPC终端节点建立连接的两个VPC之间，仅支持终端节点所在VPC访问终端节点服务所在后端资源的指定端口。 路由配置 两个VPC间创建对等连接后，需要在两端VPC内分别添加对等连接路由信息，才能使两个VPC互通。 通过VPC终端节点服务进行连接的两个VPC，服务已为用户配置好相应的路由信息，用户自己无需再配置。

镜像服务(CTIMS,Image Management Service)是弹性云主机实例可选择的运行环境模板,一般包括操作系统和预装软件。镜像服务包括公共镜像、私有镜像、共享镜像、安全产品镜像、应用镜像。通过镜像用户可以在云主机实例上实现应用场景的快速部署。

本文重点介绍为天翼云物理机创建备份的最佳实践简介。 方案介绍 当我们部署在物理机上的系统出现外部病毒入侵、人为误操作、业务软件Bug等故障场景时，可以通过云服务备份为物理机创建定期自动备份（备份周期最小为1小时）。当上述故障发生时，可通过备份进行快速恢复，避免数据丢失。 云服务备份将物理机的配置和所包含的多个云硬盘数据备份到高可靠性等级的对象存储服务中，保障用户的备份数据安全。 应用场景 企业核心数据库场景和政企金融高安全场景对数据安全性有苛刻要求，建议使用本方案对物理机进行备份，提升数据可靠性。 优势 简单：可以自定义策略进行在线备份，备份设置简单易操作。 高效：支持增量备份、增量恢复，RTO可达分钟级。 可靠：同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题；对象存储服务的规格满足99.999999999%持久性标准。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 前提条件 1. 创建密钥对 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 2. 创建虚拟私有云 物理机使用虚拟私有云提供的网络，包括子网、安全组等。

本文介绍云备源的适用场景、注意事项和使用说明。 功能介绍 云备源服务可帮助天翼云客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则AOne安全与加速可无缝切换至云备源，实现网站业务高可用。 适用场景 如源站需要割接或源站服务能力不稳定，希望边缘安全加速平台安全与加速提供一站式备源能力，保障网站服务高可用时，可使用云备源服务。 注意事项 云备源为付费服务，公测期间暂不收费，收费时间另行通知。 云备源服务仅实现定期将网站内容从客户网站同步至备源，如需实现AOne安全与加速业务高可用，需同步在客户控制台将其配置为备源。 使用说明 该功能目前为公测期间，暂不支持控制台自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请说明如下信息： 参数 说明 示例 任务类型 触发云备源的任务类型，分为即时和定时两种： 1. 如为即时类型，请说明任务的具体开始时间。 2. 如为定时类型，请说明任务的开始时间和结束时间，以及任务间隔周期，间隔周期支持按周、日、小时、分、秒来进行设置。 1. 即时任务示例： 按如下时间开始： 开始时间：2023年11月28日17:00分00秒。 效果：该任务于2023年11月28日17:00分00秒开始执行文件同步，后续不再执行。 2. 定时任务示例： 按如下周期执行任务： 开始时间：2023年11月28日17:00分00秒。 结束时间：2025年11月28日17:00分00秒。 间隔周期：每日。 效果：该任务于2023年11月28日17:00分00秒开始执行同步，后续会在每天17:00分00秒自动同步新文件至备源。 备份入口地址 待备份内容的入口地址。 例如： 备份层级 备份地址的层级深度。 例如：3，表示从入口地址往下同步三层。 备份域名 待备份网站中需备份内容对应域名。 www.ctyun.cn，img1.ctyun.cn，img2.ctyun.cn，支持多个；默认为入口地址对应域名。 备份资源类型 待备份网站中的文件资源类型。 html、htm、jpeg，支持多个；默认为html、htm、shtml、js、css、jpg、jpeg、png、gif、svg、ico、ttf、woff2、asp、jsp、php、perl、cgi。如需备份无后缀名的文件，请单独说明。 是否存在同名文件更新 若存在同名文件更新，请给出对应文件后缀或其他特征。 是，html文件后缀。 备份文件量级 指同步任务需要备份的文件量级大小。 20GB。

本章节主要介绍翼MapReduce从零开始使用Kerberos认证集群。 本章节提供从零开始使用安全集群并执行MapReduce程序、Spark程序和Hive程序的操作指导。 翼MR 3.x版本Presto组件暂不支持开启Kerberos认证。 本指导的基本内容如下所示： 1.创建安全集群并登录其Manager 2.创建角色和用户 3.执行MapReduce程序 4.执行Spark程序 5.执行Hive程序 创建安全集群并登录其Manager 1.创建安全集群，请参见创建自定义集群页面，开启“Kerberos认证”参数开关，并配置“密码”、“确认密码”参数。该密码用于登录Manager，请妥善保管。 2.登录翼MR管理控制台页面。 3.单击“集群列表”，在“现有集群”列表，单击指定的集群名称，进入集群信息页面。 4.单击“集群管理页面”后的“前往Manager”，打开Manager页面。 若用户创建集群时已经绑定弹性公网IP。 a. 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理 。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问Manager服务 。 b.勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问翼MR Manager页面。” 若用户创建集群时暂未绑定弹性公网IP。 a.在弹性公网IP下拉框中选择可用的弹性公网IP或单击“管理弹性公网IP”创建弹性公网IP。 b.添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请点击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理 。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问Manager服务 。 c.勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问翼MR Manager页面。” 5.单击“确定”，进入Manager登录页面，如需给其他用户开通访问Manager的权限，请参见用户操作指南访问集群Manager章节，添加对应用户访问公网的IP地址为可信范围。 6.输入创建集群时默认的用户名“admin”及设置的密码，单击“登录”进入Manager页面。

AntiDDoS流量清洗计费类问题 天翼云所有节点都支持AntiDDoS流量清洗服务么？ 目前仅适用于广州4、苏州、华北、西安2、贵州、 成都3、 芜湖、 上海4、 杭州、 长沙2、 福州、 武汉2、 兰州、 南昌、北京2、深圳、西宁、重庆、乌鲁木齐（新疆）、青岛、 石家庄、 郑州、南宁、昆明、海口、中卫（银川）、太原、哈尔滨、天津、沈阳3、长春、内蒙3节点。 AntiDDoS服务是付费的吗? AntiDDoS服务作为安全服务的基础服务，目前属于免费服务。

本节介绍操作手册,方便用户更好使用本产品。 分布式容器云平台用户操作手册.pdf

如何检查后端主机网络配置？ 1. 确认安全组配置是否放通 100.89.0.0/16 地址。在弹性云主机详情页，查看安全组规则，检查是允许 100.89.0.0/16 地址段的流量。如果没有，则需要根据具体情况添加或调整安全组规则，对100.89.0.0/16 地址段的流量放行。 2. 确认网络ACL是否放通 100.89.0.0/16地址。在弹性云主机所在子网的详情页，查看ACL规则，检查是允许 100.89.0.0/16 地址段的流量。如果没有，则需要根据具体情况添加或调整ACL规则，对100.89.0.0/16 地址段的流量放行。 如何检查通过EIP访问后端主机？ 1. 首先搭建后端主机上的服务，完成弹性负载均衡和后端主机配置。 2. 如果是内网负载均衡，需要先为弹性负载均衡绑定EIP。 3. 通过访问EIP的IP地址检查服务是否正常。Linux系统下可通过 curl 命令进行测试，Windows系统下可用浏览器访问进行测试。

出入向地址转换策略配置完成后，需针对流量进行安全检测，该功能由安全策略实现。 操作方法 1.打开菜单栏，【策略→安全策略→策略→新建策略】。 2.需配置名称，源目安全域、地址，及对应放行的服务，可与NAT策略保持一致。 3.防护模板调用，可根据需求调用防护模板，使对应安全策略生效。 4.配置会话日志记录。

功能 说明 开启HTTPS功能，实现客户端和CDN节点之间使用HTTPS加密传输。 相对于HTTP1.1，HTTP2.0新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决HTTP1.1中存在的一些问题，优化请求性能。 用户到CDN节点的请求需要强制跳转为HTTP或者HTTPS时，可以配置强制跳转功能。 开启OCSP装订功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中，提升HTTPS响应性能。 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。 TLS即安全传输层协议，目的是为互联网通信提供安全及数据完整性保障，您可以按需对不同加速域名配置不同的TLS协议版本。 CDN支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 HSTS是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。 网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。在Client Hello和Server Hello消息交换之后，客户端发送密码支持套件列表，服务器从列表中选择密码套件进行响应。

该任务指导用户通过漏洞扫描服务停止资产的监测。 前提条件 已获取管理控制台的登录帐号与密码。 已开启资产的监测任务。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”。 3. 在左侧导航树中，选择“安全监测”，进入“安全监测”界面，如下图所示。 4. 在目标监测任务所在行的“操作”列中，单击“暂停监测”，在弹出的对话框中，单击“确认”。 说明 如果用户需要再次开启监测任务，在目标监测任务所在行的“操作”列中，单击“开启监测”，开启监测任务。

本文主要介绍DRDS与其他服务的关系。 虚拟私有云（VPC） VPC是基于天翼云创建的自定义私有网络，为DRDS提供一个逻辑上完全隔离的专有网络。使用VPC中的安全组、IP地址段、带宽等网络特性，可增强访问 DRDS服务的安全性。 弹性云主机（ECS） 成功购买DRDS实例后，您需要通过弹性云主机连接使用DRDS实例。 关系型数据库服务（MySQL） 购买DRDS实例后，可以关联同一虚拟私有云中的MySQL实例，实现分布式数据库计算与存储。 弹性IP（EIP） 为您的实例提供公网访问方式。

通过Web应用防火墙，轻松应对各种Web安全风险，本节介绍Web应用防火墙支持功能。 功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 WAF支持的防护对象：域名或IP，云上或云下的Web业务。 业务配置 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 业务配置 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 业务配置 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录（路径）遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。 Webshell检测防护：通过上传接口植入网页木马。 识别精准： 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：urlencode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 Web应用安全防护 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 Web应用安全防护 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 Web应用安全防护 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 Web应用安全防护 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 Web应用安全防护 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 Web应用安全防护 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 Web应用安全防护 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 Web应用安全防护 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 Web应用安全防护 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级设置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 高级设置 连接保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 高级设置 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置。 高级设置 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

配置安全组白名单 操作步骤 在控制台点击实例所在安全组，入方向规则点击添加规则，在弹出的填写框内的端口处填写“5601,9200,9000”，选择需要配置的策略为IPv4或IPv6，在源地址下方的IP地址格子中填写需要访问设备的出口公网IP地址，点击确定保存。 成功后会在安全组增加对应规则，此时可以通过绑定的公网IP地址端口访问对应对象。 通过公网IP地址接入实例 公网访问配置完成后，实例将会获得一个“公网访问”的IP地址，用户可以通过公网IP地址和端口接入实例。 例如：Kibana可直接点击页面链接进行访问。 Elasticsearch实例可以通过Curl命令查询索引信息： curl u username:password k ' 其中IP为绑定的公网IP，username和password表示实例的用户名和密码。 开启/关闭实例HTTPS访问 云搜索服务默认开启对Elasticsearch实例的HTTPS访问模式，仅在该模式下可以绑定公网IP，您可关闭开关，实例将切换为HTTP访问模式，该模式下实例仅可通过内网访问，已绑定的公网IP将自动解绑。 该功能仅针对购买云搜索服务V1.2.0以上版本适用。

此小节介绍数据库安全如何查看审计报表。 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后，您可以立即生成审计报表，并在线预览或下载审计报表。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 立即生成审计报表 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表管理页面，操作步骤如下图所示。 4. 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”，如下图所示。 5. 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库，如下图所示。 6. 单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以预览或下载报表。 预览或下载审计报表 预览或下载审计报表前，请确认报表的“状态”为“100%”。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表结果页面，操作步骤如下图所示。 4. 在需要预览或下载的报表所在行的“操作”列，单击“预览”或“下载”，如下图所示，在线预览报表结果，或下载并查看报表。 设置报表的执行任务 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表管理页面，操作步骤如下图所示。 4. 在需要立即生成报表的模板所在行的“操作”列，单击“设置任务”，如下图所示。 5. 在弹出的对话框中，设置计划任务参数，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 启动任务 开启或关闭计划任务。 邮件通知 开启或关闭邮件通知。数据库安全审计默认开启邮件通知，当数据库生成报表时，数据库安全审计将发送通知邮件。 报表类型 选择生成的报表类型，可以选择：l 日报l 周报l 月报 日报 执行方式 选择报表执行的方式，可以选择：l 执行一次l 周期执行 执行一次 执行时间 选择报表执行的时间点。 18点 格式 当前支持PDF格式。 PDF 数据库 选择执行报表任务的数据库。 6. 单击“确定”。

参数 说明 区域 终端节点服务所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。可选择开启或关闭连接审批。若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批 端口映射 终端节点服务与终端节点建立连接关系，进行通信，协议可选择TCP。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明： 通过“终端端口 → 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器：作为服务器使用。此处选择“弹性负载均衡”。 说明： 安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。 说明： 弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。

参数 说明 区域 终端节点服务所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。可选择开启或关闭连接审批。若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批 端口映射 终端节点服务与终端节点建立连接关系，进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明： 通过“终端端口 → 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云主机：作为服务器使用。 物理机：作为服务器使用此处选择“弹性负载均衡”。说明安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。说明弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。

本章节主要介绍约束与规范。 在使用翼MapReduce前，您需要认真阅读并了解以下使用规则。 1. 集群必须创建在VPC子网内。 2. 创建集群时，从下拉框中选择已有的安全组。集群创建完成后，请勿随意删除或更改已使用的安全组，否则可能导致集群异常，影响集群的使用。 1. 集群使用的安全组请勿随意放开权限，避免被恶意访问。 2. 创建安全组时，出、入方向规则中的端口需要放开，授权策略不能选择“拒绝”，否则会导致不能部署集群和拉起服务。 3. 部署Hive/Ranger/Amoro/Hue/DolphinScheduler组件时，元数据配置的数据库与集群需要在同一个VPC下，并通过内网地址进行连接。 4. 请根据业务需要规划集群节点的磁盘，如果需要存储大量业务数据，请增加云硬盘数量或存储空间，以防止存储空间不足影响节点正常运行。 5. 集群节点仅用于运行翼MapReduce集群，其他客户端应用程序、用户业务程序建议申请独立弹性云服务器部署。

天翼云网站安全监测服务协议，详情请参见[](

本节介绍使用集群联邦实现应用多活容灾。 CCE One集群联邦支持将工作负载的实例分发至多个集群中，避免单集群故障引发业务中断，保障业务连续性。 前提条件 1. 已创建两个及以上的注册集群，具体操作参见 订购注册集群 章节。若已有集群，无需重复操作。 2. 已开通CCE One集群联邦实例。 环境搭建 1. 登录CCE One控制台，在左侧导航栏选择“集群资源” > “集群管理”，进入集群管理界面，确认待操作集群均处于“运行中”状态。 2. 在CCE One控制台左侧导航栏选择“舰队联邦” > “舰队管理”，新建一个容器舰队，并将待操作集群添加至舰队中。 3. 在CCE One控制台左侧导航栏选择“舰队联邦” > “联邦管理”，选择待操作联邦实例，进入联邦管理界面，查看“成员信息”，确认舰队及其下集群已接入联邦。 4. 在联邦管理界面左侧导航栏选择“工作负载” > “无状态”，创建一个nginx无状态负载。 填写负载名称、命名空间、实例数量、容器镜像等信息后，点击”下一步：调度与差异化“。 调度与差异化配置中，调度方式选择“集群权重”，并将两个集群权重设置为1:1。 注意 1. 如果待操作的多个集群位于不同资源池，建议打开“差异化配置”，按集群所在的资源池配置对应容器镜像，避免镜像拉取失败。 2. 配置完成后，点击“创建工作负载”进行创建，等待工作负载运行。

本文介绍如何指定vCPU和内存创建实例。 大部分场景下，如果没有特殊的规格需求（如GPU、本地盘等），推荐您指定vCPU和内存来创建ECI实例，系统会尝试使用多种ECS规格进行支撑，以提供比ECS单规格更好的弹性和资源供应能力。 规格说明 您可以指定实例或者容器的vCPU和内存来创建ECI实例。如果指定的vCPU和内存不符合要求，系统将自动按照ECI支持的规格进行规整。规整时将向最接近的ECI规格进行规整，同时需满足指定的vCPU和内存≤ECI规格的vCPU和内存。例如：在华东1地域创建ECI实例时，声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。所有ECI支持地域均支持的规格： CPU( 核） 内存（ GB ） 1 2、4 2 4、8、16 4 8、16、32 8 16、32、64 12 24、48 16 32、64 32 64、128 64 128、256 配置说明 指定vCPU和内存创建ECI Pod时，支持以下两种： 1. 指定Pod内容器的vCPU和内存：通过定义Containers的limits或requests来指定。 2. 指定Pod级别的vCPU和内存：通过在Pod metadata中添加k8s.ctyun.cn/eciusespecs的Annotation来指定。 指定ECI Pod内容器的vCPU和内存 每个ECI Pod最多支持20个容器，每个容器的vCPU和内存规格可以自定义配置，但汇总到Pod级别时需满足ECI Pod的vCPU和内存约束。对于不满足的情况，系统会进行自动规整，并按规整后的规格进行计费。

本文介绍如何指定vCPU和内存创建实例。 大部分场景下，如果没有特殊的规格需求（如GPU、本地盘等），推荐您指定vCPU和内存来创建ECI实例，系统会尝试使用多种ECS规格进行支撑，以提供比ECS单规格更好的弹性和资源供应能力。 规格说明 您可以指定实例或者容器的vCPU和内存来创建ECI实例。如果指定的vCPU和内存不符合要求，系统将自动按照ECI支持的规格进行规整。规整时将向最接近的ECI规格进行规整，同时需满足指定的vCPU和内存≤ECI规格的vCPU和内存。例如：在华东1地域创建ECI实例时，声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。所有ECI支持地域均支持的规格： CPU( 核） 内存（ GB ） 1 2、4 2 4、8、16 4 8、16、32 8 16、32、64 12 24、48 16 32、64 32 64、128 64 128、256 配置说明 指定vCPU和内存创建ECI Pod时，支持以下两种： 1. 指定Pod内容器的vCPU和内存：通过定义Containers的limits或requests来指定。 2. 指定Pod级别的vCPU和内存：通过在Pod metadata中添加k8s.ctyun.cn/eciusespecs的Annotation来指定。 指定ECI Pod内容器的vCPU和内存 每个ECI Pod最多支持20个容器，每个容器的vCPU和内存规格可以自定义配置，但汇总到Pod级别时需满足ECI Pod的vCPU和内存约束。对于不满足的情况，系统会进行自动规整，并按规整后的规格进行计费。

配置安全组白名单 操作步骤 1. 在控制台点击实例所在安全组，入方向规则点击添加规则，在弹出的填写框内的端口处填写“5601,9200,9000”，选择需要配置的策略为IPv4或IPv6，在源地址下方的IP地址格子中填写需要访问设备的出口公网IP地址，点击确定保存。 2. 成功后会在安全组增加对应规则，此时可以通过绑定的公网IP地址端口访问对应对象。 通过公网IP地址接入实例 公网访问配置完成后，实例将会获得一个“公网访问”的IP地址，用户可以通过公网IP地址和端口接入实例。 例如，Dashboards可直接点击页面链接进行访问。 OpenSearch实例可以通过Curl命令查询索引信息： plaintext curl u username:password k ' 其中IP为绑定的公网IP，username和password表示实例的用户名和密码。 开启/关闭实例HTTPS访问 云搜索服务默认开启对OpenSearch实例的HTTPS访问模式，仅在该模式下可以绑定公网IP，您可关闭开关，实例将切换为HTTP访问模式，该模式下实例仅可通过内网访问，已绑定的公网IP将自动解绑。 该功能仅针对购买云搜索服务V1.2.0以上版本适用。

本章节向您主要介绍VPN连接服务的相关术语概念。 IPsec VPN IPsec VPN是一种加密的隧道技术，通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。 假设您在云上已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），同时您在自己的数据中心也有2个子网（192.168.3.0/24，192.168.4.0/24），那么您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 支持站点到站点VPN（SitetoSite VPN），可实现VPC子网和数据中心局域网互访。 VPN网关 VPN网关是虚拟专用网络在天翼云上的虚拟网关，与用户本地网络、数据中心的对端网关建立安全私有连接。 VPN网关需要与用户数据中心的对端网关配合使用。 VPN连接 VPN连接是VPN网关和对端网关之间的安全通道，使用IKE和IPsec协议对传输数据进行加密。 VPN连接使用IPsec协议对传输数据进行加密，保证数据安全可靠。 VPN网关带宽 VPN网关带宽指的是出云方向的带宽，即从VPC发往用户侧数据中心的带宽。 按需按流量计费场景下，VPN网关的带宽大小不影响价格。建议您根据实际需求来设置带宽大小，以免因为程序错误或恶意访问导致产生大量计费流量。