此小节介绍登录安全类问题。 如何设置云堡垒机登录安全锁？ 背景 CBH同一账户可以在同一台PC上的不同浏览器登录。 云堡垒机不支持同时登录同一用户账号。当同时登录同一用户账号时，“来源IP”将被锁定。 CBH目标是限制多人使用同一账号，同一账号专人使用，应该做到一个账号一人使用。 现象 为保障云堡垒机系统登录安全，在登录云堡垒机输入密码超过系统设置的次数限制后，用户“来源IP”或“用户”帐号将被锁定。 配置步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统配置 > 安全配置 > 用户锁定配置”，查看当前配置信息。 用户锁定配置信息 3 单击“用户锁定配置”区域的“编辑”，进入“用户锁定配置”参数配置页面。 配置锁定参数 4 用户根据需要配置参数，详细参数说明请参考表。 锁定配置参数说明 参数 说明 锁定方式 可选择“用户”和“来源IP”两种方式。1选择“用户”指密码错误超过输入限制次数后，用户帐号将被锁定。2选择“来源IP”指密码错误超过输入限制次数后，用户本地来源IP将被锁定，且局域网内同一网段IP都将被锁定。 尝试密码次数 用户通过最多能尝试登录云堡垒机的次数。 锁定时长 密码错误超过输入限制次数后，锁定的时间长度，单位为分钟。默认值为30分钟。 设置为0分钟表示需管理员解除锁定。 重置计数器时长 密码错误超过输入限制次数后，从设定时间提示的剩余被锁定时间。 5 单击“确定”，完成用户登录输入密码限制设置。 如何解锁登录云堡垒机时被锁定的用户/IP？

资源 类型 描述 天翼云帐户 全球性 您可以在所有区域使用同一个天翼云帐户。 资源标识符 区域性 每个资源的标识符（例如，实例ID、云硬盘ID、虚拟私有云ID）都与其区域相关联。 用户自定义的资源名称 区域性 每个资源名称（例如，安全组名称、密钥对名称）都与其区域相关联。尽管可以在多个区域创建名称相同的资源，但它们之间并无关联。 虚拟私有云 区域性 虚拟私有云与区域相关联，只能与同一区域的实例相关联。 弹性IP 区域性 弹性IP与区域相关联，只能与同一区域的实例相关联。 安全组 区域性 安全组与区域相关联，只能分配给同一区域的实例。 镜像 区域性 镜像与区域相关联，只能与同一区域的实例相关联。 实例 可用区 实例与可用区相关联，实例ID与区域相关联。 磁盘 可用区 磁盘与可用区相关联，只能挂载到同一可用区的实例上。 子网 可用区 子网与可用区相关联，只能与同一可用区的实例相关联。

本小节介绍漏洞扫描购买方法。 前提条件 已经注册天翼云账号并完成实名认证。 操作步骤 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 安全服务 > 漏洞扫描”。 3. 进入漏洞扫描产品详情页面，点击“立即订购”进入购买页面。 4. 进入漏洞扫描订购页面，根据需求选择规格 及订购数量，点击“立即购买”即可。

本章节为您介绍云审计支持哪些关键操作 云审计服务（Cloud Trace Service，简称CTS），是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后，系统开始记录云堡垒机实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。 操作名称 资源类型 事件名称 启动堡垒机实例 cbh StartInstance 关闭堡垒机实例 cbh StopInstance 重启堡垒机实例 cbh RebootInstance 升级堡垒机实例 cbh UpgradeInstance 回退升级的堡垒机实例 cbh RollbackInstance 重置堡垒机实例admin密码 cbh ResetInstancePassword 重置堡垒机实例admin登录方式 cbh ResetInstanceLoginMethod 删除故障云堡垒机实例 cbh DeleteInstance 变更堡垒机实例 cbh ResizeInstance 创建堡垒机实例 cbh CreateInstance 堡垒机实例绑定弹性公网IP cbh InstallInstanceEip 堡垒机实例解绑弹性公网IP cbh UninstallInstanceEip 修改堡垒机实例安全组 cbh UpdateInstanceSecurityGroup 切换堡垒机虚拟私有云 cbh SwitchInstanceVpc

本文介绍如何查看集群节点详情。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面 3. 单击节点列表中的“节点名称”，可以查看节点的详细信息。 4. 在节点信息页面可以查看节点信息、集群组件信息、防御容器健康状态，节点的CPU占用、内存占用、磁盘占用率资源使用情况等信息。 5. 查看软件漏洞：在软件漏洞页面，可以查看该节点扫描的漏洞统计信息，存在高危、中危和低危的漏洞数量，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 6. 查看软件列表：软件列表页面展示当前节点中的软件包信息，包括软件名称、版本、文件路径、软件类型、漏洞数量等信息。单击软件前的“＋”号，可查看该软件的漏洞详情，再单击漏洞编号前的“＋”号，可查看该漏洞的介绍和参考网址等信息。

本节主要介绍设置SSL数据加密 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 SSL连接开启后，可以通过SSL方式连接实例，提高数据安全性。 使用须知 开启或关闭SSL会导致实例重启，请谨慎操作。 开启SSL，可以通过SSL方式连接数据库，具有更高的安全性。 目前已禁用不安全的加密算法，支持的安全加密算法对应的加密套件参考如下。 版本 支持的TLS版本 支持的加密算法套件 3.4 TLS 1.2 AES256GCMSHA384 AES128GCMSHA256 4.0 TLS 1.2 DHERSAAES256GCMSHA384 DHERSAAES128GCMSHA256 用户的客户端所在服务器需要支持对应的TLS版本以及对应的加密算法套件，否则会连接失败。 关闭SSL，可以采用非SSL方式连接数据库。 开启SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的数据库实例，单击实例名称。 步骤 5 在“基本信息”页面的“数据库信息”区域，单击SSL处的。 开启SSL 您也可以在左侧导航树，单击“连接管理”。在“基本信息”区域的“SSL”处，单击。 开启SSL安全连接 步骤 6 在弹出框中，单击“是”，开启SSL连接。 步骤 7 稍后可在“基本信息”区域，查看到SSL已开启。 SSL开启成功 步骤 8 SSL连接开启后，可以单击SSL处的，下载SSL证书，用于连接实例时使用。

本小节介绍服务器安全卫士报表系统。 报表系统帮助用户进行各类数据的报表导出，对报表文件进行管理。 目前有： 安全巡检报表word 版 安全巡检报表Html 合规基线报表 各类报表操作类似，下面以安全巡检报表word 为例进行介绍。 1.创建报表 单击“创建报表”按钮，进入创建报表页面。 1）选择报表模板 鼠标悬停在模板上，出现“查看”按钮，点击查看可以查看该模板的简介和预览图。 2）选择报表范围 不同报表模板对应的报表范围的条件不一样，根据具体的模板选定报表范围。 3）填写报表信息 填写报表的名称，描述，以及设定定时执行表达式。其中由于报表文件名在本地的限制，故报表名称不支持特殊字符。 4）创建成功 报表创建成功后，可返回首页的报表列表，也可以执行刚刚创建的报表作业。 2.执行报表 在报表列表页面，选择某一个报表作业，点击后边的“执行”按钮后，开始执行该报表作业。 3.下载报表 执行报表作业后，点击操作的“下载报表”按钮，可以下载最近一次生成的报表。

本页面主要介绍MySQL社区版本及关系数据库MySQL版本的生命周期。 说明 内核版本到期后，仅影响内核小版本的更新，不影响实例的新购和使用，版本新购等问题请关注并以对应公告为准。 天翼云关系数据库MySQL版在MySQL社区版本生命周期的基础上，延长了支持时间。在延长期内，天翼云会持续发布新的版本，新版本仅限于对严重影响实例安全和稳定性的问题进行修复。由于MySQL社区对安全类问题采取了保密处理，天翼云无法承诺修复所有严重的安全和稳定性问题。 延长支持时间的主要目的是为用户升级MySQL大版本提供更充裕的时间。在延长支持期间，我们仍建议用户升级大版本，以确保获得更全面的功能和安全保障。有关升级大版本的操作方法，请参见“升级数据库版本”。 MySQL社区主要大版本的生命周期时间以及MySQL的生命周期时间如下表所示。 说明 下表中的部分时间为预计时间，将会在生命周期结束或MySQL停止支持前进行修正，具体请以实际时间为准。 数据库大版本 社区发布时间 社区生命周期结束时间 停止支持时间 MySQL 5.7 2015年10月21日 2023年10月21日 预计2028年12月31日 MySQL 8.0 2018年04月19日 预计2026年04月 未定

本章节为您介绍企业路由器的应用场景。 企业客户的业务A部署在VPC1内，业务B部署在VPC2内，出于安全考虑，业务A和业务B互访的流量需要经过防火墙过滤清洗。 客户痛点 希望快速搭建满足安全要求的云上组网。 企业路由器价值 客户在组网中部署云防火墙，通过将VPC和云防火墙关联至企业路由器中不同的路由表，控制VPC1和VPC2互访流量经过防火墙。

本文主要介绍远程桌面连接Windows云主机报错:无法验证此远程计算机的身份如何处理。 问题描述 由于在安全软件中设置了安全登录限制，导致远程桌面连接Windows云主机报错：无法验证此远程计算机的身份。需要再次登录输入密码。 图 协议错误 可能原因 云主机安装了安全软件，防止有未知IP登录云主机。 解决方法 卸载安全软件。 登录安全软件，将登录安全等级修改为系统默认登录方式。

本章节主要介绍创建MRS Hive连接器。 MRS Hive连接适用于MapReduce服务，本教程为您介绍如何创建MRS Hive连接器。 前提条件 已创建CDM集群。 已获取MRS集群的Manager IP、管理员账号和密码，且该账号拥有数据导入、导出的操作权限。 MRS集群和CDM集群之间网络互通，网络互通需满足如下条件： −CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 −CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 −此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 新建MRS hive连接 1. 在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面，如下图所示。 图 选择连接器类型 2. 连接器类型选择“MRS Hive”后单击“下一步”，配置MRS Hive连接的参数，如下图所示。 图 创建MRS Hive连接 3. 单击“显示高级属性”可查看更多可选参数。这里保持默认，必填参数如下表所示。 表 MRS Hive连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。 说明 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。 4. 单击“保存”回到连接管理界面，完成MRS Hive连接器的配置。

此小节介绍如何开启数据库安全审计。 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计实例的所有数据库进行安全审计。开启数据库安全审计后，您可以查看被添加的数据库的审计结果。 前提条件 已成功添加并安装Agent，且Agent的运行状态为“正在运行”。 开启审计 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航栏中，选择“数据库列表”，进入“数据库列表”界面。 5. 在选择实例下拉框中，选择需要开启审计的数据库安全审计实例。 6. 在待开启审计所在行的“操作”列，单击“开启”，如图所示，开启审计功能。审计功能开启后，该数据库的“审计状态”为“已开启”，不需要重启数据库。开启数据库审计功能 验证审计效果 1. 开启审计后，在数据库上执行一条SQL语句（例如“show databases”）。 2. 登录管理控制台。 3. 在左侧导航树中，选择“数据库安全审计 > 总览”，进入数据库安全审计“总览”界面。 4. 在“选择实例”下拉列表框中，选择需要验证的数据库所属的实例。 5. 选择“语句”页签。 6. 在“时间”所在行右侧，单击，选择开始时间和结束时间，单击“提交”，SQL语句列表将显示步骤1中输入的SQL语句。

本文介绍全站加速产品的应用场景。 政府机构 针对因新政策发布造成的访问突增，通过多级缓存、智能路由、链路优化等技术，缓解源站压力。 IPv6协议支持，满足国家政策要求。 全链路安全传输方案，保障页面内容安全不被篡改。 全方位链路监控、源站监控，以及724小时专属技术支持，保障业务可靠性。 金融行业 适用于银行、保险、证券等对数据安全要求较高的行业。 全链路支持HTTPS、HTTP2.0协议，满足传输安全及性能提升需求。 基于自研的动态智能路由及多级缓存技术，保障全站内容快速交付。 电子商务 适用于网上购物平台、电子票务、网上支付等电子商务场景；通过多级缓存、智能路由等技术，有效缩短页面加载时间，提升浏览、搜索、下单、支付等操作的流畅性。 有序回源、全网带宽控制，缓解电商活动访问突增给源站带来的带宽及并发压力。 提供用户区域分布报表，帮助电商开展有针对性的促销活动。 娱乐资讯 适用于社交论坛、生活服务、新媒体等娱乐资讯场景；通过智能分离动静态内容，动态内容智能选择优质链路回源，提升注册、登录、聊天、搜索、发帖等交互信息即时性。 全球优质资源覆盖，提升各区域各运营商用户的访问速度和成功率，提升SEO排名。 提供源站负载均衡、源站全方位监控和离线服务模式，保障源站业务不中断。

分类 高危操作 导致后果 误操作后解决方案 Master节点 修改集群内节点安全组 可能导致master节点无法使用说明命名规则：集群名称ccecontrol随机数 参照 节点到期或被销毁 该master节点不可用 不可恢复。 重装操作系统 master组件被删除 不可恢复。 自行升级master或者etcd组件版本 可能导致集群无法使用 回退到原始版本。 删除或格式化节点/etc/kubernetes等核心目录数据 该master节点不可用 不可恢复。 更改节点IP 该master节点不可用 改回原IP。 自行修改核心组件（etcd、kubeapiserver、docker等）参数 可能导致master节点不可用 按照推荐配置参数恢复，详情请参见 自行更换master或etcd证书 可能导致集群不可用 不可恢复。 Node节点 修改集群内节点安全组 可能导致节点无法使用说明命名规则：集群名称ccenode随机数 参照 节点被删除 该节点不可用 不可恢复。 重装操作系统 节点组件被删除，节点不可用 重置节点，具体请参见 升级节点内核 可能导致节点无法使用或网络异常说明节点运行依赖系统内核版本，如非必要， 请不要使用yum update更新或重装节点的操作系统内核 （使用原镜像或其它镜像重装均属高危操作） 重置节点，具体请参见 更改节点IP 节点不可用 改回原IP。 自行修改核心组件（kubelet、kubeproxy等）参数 可能导致节点不可用、修改安全相关配置导致组件不安全等 按照推荐配置参数恢复，详情请参见 修改操作系统配置 可能导致节点不可用 尝试还原配置项或重置节点，具体请参见 删除或修改/opt/cloud/cce、/var/paas目录，删除数据盘 节点不可用 重置节点，具体请参见 修改节点内目录权限、容器目录权限等 权限异常 不建议修改，请自行恢复。 对节点进行磁盘格式化或分区，包括系统盘、docker盘和kubelet盘 可能导致节点不可用 重置节点，具体请参见 在节点上安装自己的其他软件 导致安装在节点上的Kubernetes组件异常，节点状态变成不可用，无法部署工作负载到此节点 卸载已安装软件，尝试恢复或重置节点，具体请参见 修改NetworkManager的配置 节点不可用 重置节点，具体请参见 删除节点上的cfepause等系统镜像 导致无法正常创建容器，且无法拉取系统镜像 请从其他正常节点拷贝该镜像恢复

本文为您介绍如何用curl命令接入OpenSearch实例。 概述 使用 Curl 是最简单直接的方式访问 OpenSearch 实例。它允许用户通过命令行发送 HTTP/HTTPS请求与实例进行交互，例如创建索引、查询集群状态等操作。 前提条件 已开通天翼云云搜索服务OpenSearch实例。 实例已绑定公网IP，具体可参考“实例公网访问”章节。 本地已按照Curl工具。 操作步骤 实例使用HTTP协议访问OpenSearch实例 plaintext curl u : " user：OpenSearch实例用户名，比如admin。 password：该用户密码，比如用户配置的OpenSearch实例admin用户密码。 host：主机IP，即实例绑定的公网IP。 port：端口号，一般是9200。 实例使用HTTPS协议访问OpenSearch实例 方式一：忽略证书校验（适用于自签名证书或快速测试） 在使用自签名证书时，可以使用k 或 insecure 参数跳过安全校验： plaintext curl u k : " 方式二：指定证书访问（推荐生产环境） 为了保证通信的绝对安全，推荐通过cacert 参数指定根证书的绝对路径来进行访问： plaintext curl u : " cacert /path/to/your/ca.pem 证书可以从云搜索服务控制台 “安全设置”页面下载。

本文介绍上传加速的应用场景及配置说明等。 什么是上传加速？ 随着自媒体时代的到来，用户上传图片、大文件、短视频的需求日益增长，传统CDN主要针对的是源站向客户端分发内容的加速，而用户上传的内容，往往都是纯动态内容，无法通过缓存的方式进行加速。 天翼云边缘安全加速平台提供了一种上传加速服务，针对用户上行传输数据全程加速。使用本方案后，用户请求自动被调度到最近的节点，节点接收到用户上传的数据后，通过如下技术将用户上传的内容快速上传到源站： 根据您的用户分布，天翼云全站加速产品可在全球各地选择最优的边缘节点供用户接入。 用户上传内容到边缘节点后，全站加速平台通过智能选路选出最优回源路径，快速地将用户上传的内容传输到源站或者云端。 应用场景 上传加速主要应用场景包括：图片上传、音视频上传、新闻素材和稿件上传等场景。 配置说明 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2.单击【编辑配置】，找到【上传加速】配置模块。 配置参数说明： 参数名 配置值 说明 上传加速 开启/关闭 开启后将提供上传加速能力 注意 开放试用，开启后上传大小默认限制为: 300M ，建议叠加动态加速配置可使上传加速效果更佳。 配置界面：

新增白名单规则 白名单是在请求阶段将符合规则条件的请求跳过策略，当请求符合白名单配置的条件时，将不执行指定的策略。 1.登录API安全网关。 2.在左侧导航栏选择“策略管理 > 白名单”，进入白名单管理页面。 3.单击页面上方的“新增”按钮，即可开始新增白名单规则。 选项 说明 名称 自定义规则名称，不允许重复。 启用 默认启用，禁用后规则不生效。 规则描述 输入规则描述信息。 服务 默认选择全部，可指定一个服务。 API 默认选择全部，可指定多个API。 规则条件 内置条件 至少配置一项条件，每个条件至多添加一次。运算符支持：等于、不等于、正则匹配、正则匹配（不区分大小写） 客户端IP：匹配/不匹配客户端IP，支持IP和子网掩码格式； 请求URL：设置请求URL规则条件，如/get； 请求方法：设置请求方法条件，如GET、POST、PUT……； 请求体：设置请求体条件 HOST：设置HOST条件； UA：设置UA条件； Referer：设置Referer条件； 请求头 配置自定义请求头表达式，如：”ContentType”, ””, ”application/json”。 生效范围 安全规则：满足规则条件的请求不触发安全规则策略； 访问控制：满足规则条件的请求不触发访问控制策略； 动态脱敏：满足规则条件的请求不进行脱敏； 数据识别：满足规则条件的请求不触发敏感数据识别。 生效时间 可选择任意时间，以及每天、每周、每月指定时间，超出生效时间规则无效。 有效期 可选择永久有效、自定义时间。过期后规则不生效。 4.填写完成后，单击“提交”即可完成白名单规则新增。

托管检测与响应服务（原生版）护航版服务内容及购买操作步骤说明。 服务内容 1. 提供定制化护航保障方案。 2. 提供安全检查，包括安全产品策略、资产基线配置、协助开展安全加固。 3. 持续监控云上安全状态，提供护航日报。 4. 提供应急响应服务。 5. 提供关键业务渗透测试服务。 6. 提供724小时云端专家团队值守。 7. 服务1年内有效，订购后不支持退订。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击护航版“立即购买”按钮，跳转到护航版购买页面。 3. 在护航版服务购买详情页面，【产品配置】栏，按需求选择护航前安全检查、护航时长、防护资产扩展包、蓝军攻击服务。 护航前安全检查： 必选项，单位为天，最低选购时长为5天，每增加50个资产需要增加一天服务时长。 护航时长： 必选项，单位为天，最低选购时长为1天，用户可根据实际护航天数选购护航时长。 防护资产扩展包： 可选项，单位为个，每超过50个资产，需要购买一个扩展包，用户根据防护资产数量选择对应扩展包数量。 蓝军攻击服务： 可选项，单位为次，每次提供3人5天蓝军攻击服务，用户根据自身需求选购次数。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

为什么配置了访问控制白名单后还能访问后端主机？ 监听器配置了访问控制白名单后，仅允许特定IP访问负载均衡，仅转发来自所选访问策略组中设置的IP地址或地址段的请求。但是作为后端主机的云主机，除了作为负载均衡的后端主机接收流量，同时其本身IP地址也可以被其他方式访问。如果需要对作为后端主机的云主机进行访问控制，可以通过配置网络ACL或者安全组规则实现，详见 网络ACL的简介 和 安全组概述。

本节主要介绍如何启用剧本。 完成剧本版本审核后可启用剧本 前提条件 已激活剧本版本，具体操作请参见激活/失活剧本版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在待启用剧本所在行“操作”列，单击“启用”，弹出启用确认信息框。 6. 选择启用的剧本版本后，单击“确认”，完成剧本启用。

本文主要介绍 容器如何访问VPC内部网络。 前面章节介绍了使用Service和Ingress访问容器，本节将介绍如何从容器访问内部网络（ VPC内集群外 ），包括VPC内访问和跨VPC访问。 VPC内访问 根据集群容器网络模型不同，从容器访问内部网络有不同表现。 容器隧道网络 容器隧道网络在节点网络基础上通过隧道封装网络数据包，容器访问同VPC下其他资源时，只要节点能访问通，容器就能访问通。如果访问不通，需要确认对端资源的安全组配置是否能够允许容器所在节点访问。 VPC网络 VPC网络使用了VPC路由功能来转发容器的流量，容器网段与节点VPC不在同一个网段，容器访问同VPC下其他资源时， 需要对端资源的安全组能够允许容器网段访问 。 例如集群节点所在网段为192.168.10.0/24，容器网段为172.16.0.0/16。 VPC下（集群外）有一个地址为192.168.10.52的ECS，其安全组规则仅允许集群节点的IP网段访问。 此时如果从容器中ping 192.168.10.52，会发现无法ping通。 kubectl exec test016cbbf97b78krj6h it /bin/sh / ping 192.168.10.25 PING 192.168.10.25 (192.168.10.25): 56 data bytes ^C 192.168.10.25 ping statistics 104 packets transmitted, 0 packets received, 100% packet loss 在安全组放通容器网段172.16.0.0/16访问。 此时再从容器中ping 192.168.10.52，会发现可以ping通。 $ kubectl exec test016cbbf97b78krj6h it /bin/sh /

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云CDN控制台开启HTTPS协议，可实现客户端和天翼云CDN节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在CDN节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向CDN节点发起HTTPS请求。 2. CDN节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给CDN节点。 4. CDN节点使用对应私钥进行解密，得到密钥。 5. CDN节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对CDN节点传输的加密数据进行解密，从而获取相应数据。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 单击【保存】，完成配置。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP通过弹性云主机连接文档数据库实例。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务所属安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 安全性高，可实现DDS的较好性能。 公网连接 弹性IP 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于不同区域时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。

安全 尽量避免数据库被公网访问，公网连接时必须绑定弹性公网IP，设置合适的白名单。 尽量使用SSL连接，保证连接的安全性。

开通云资源授权后，可以访问私有OBS桶、数据库、大数据以及数据安全总览，获得了授权资产服务的权限如下表所示。 资产模块 服务策略 作用范围 备注 OBS OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 OBS EVS ReadOnlyAccess 区域 用于获取云硬盘列表 OBS OBS Adminstrator 全局 用于获取OBS服务投递日志 数据库 ECS ReadOnlyAccess 区域 用于获取自建数据库ECS列表 数据库 RDS ReadOnlyAccess 区域 用于获取RDS数据库列表及数据库列表相关信息 数据库 DWS ReadOnlyAccess 区域 用于获取DWS列表 数据库 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 数据库 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 大数据 ECS ReadOnlyAccess 区域 用于获取自建大数据ECS列表 大数据 CSS ReadOnlyAccess 区域 用于获取CSS数据集群列表及数据索引等相关信息 大数据 DLI Service User 区域 用于获取DLI队列及数据库 大数据 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 大数据 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 数据安全总览 Tenant Guest 区域 用于获取用户涉及数据存储处理等相关云服务的列表等 数据安全总览 OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 数据安全总览 EVS ReadOnlyAccess 区域 用于云硬盘列表获取 数据安全总览 OBS Adminstrator 全局 用于OBS服务投递日志

操作场景 本节操作介绍在Windows和Linux环境中使用SSH密码方式远程登录Linux云主机的操作步骤。 前提条件 Linux云主机状态处于“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 如果创建Linux云主机时登录方式设置的为密钥，请通过重置密码功能，设置Linux云主机的登录密码后执行本节操作。重置密码请参考：在控制台重置弹性云主机密码。 您所使用的SSH登录工具（例如PuTTY）已经正确配置，并且与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 本地使用Windows操作系统 如果本地主机为Windows操作系统，可以按照以下方式登录云主机。下面的步骤以PuTTY为例： 1. 您可通过官方途径下载PuTTY和PuTTYgen。 2. 运行PuTTY。 3. 在PuTTY的配置界面中，填写以下信息： Host Name (or IP address)：输入Linux云主机的弹性IP。 Port：输入 22。 Connection Type：选择 SSH。 Saved Sessions：为任务设置一个名称，以便下次使用PuTTY时可以直接打开该任务。 4. 单击"Window"，在"Translation"下的"Received data assumed to be in which character set:"选择"UTF8"。 5. 单击“Open”。如果首次登录服务器，PuTTY会显示安全警告对话框，询问是否接受服务器的安全证书。单击"是"将证书保存到本地注册表中。 6. 建立到Linux云主机的SSH连接后，根据提示输入用户名和密码登录云主机。

资产模块 服务策略 作用范围 备注 OBS OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 OBS EVS ReadOnlyAccess 区域 用于获取云硬盘列表 OBS OBS Adminstrator 全局 用于获取OBS服务投递日志 数据库 ECS ReadOnlyAccess 区域 用于获取自建数据库ECS列表 数据库 RDS ReadOnlyAccess 区域 用于获取RDS数据库列表及数据库列表相关信息 数据库 DWS ReadOnlyAccess 区域 用于获取DWS列表 数据库 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 数据库 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 大数据 ECS ReadOnlyAccess 区域 用于获取自建大数据ECS列表 大数据 CSS ReadOnlyAccess 区域 用于获取CSS数据集群列表及数据索引等相关信息 大数据 DLI Service User 区域 用于获取DLI队列及数据库 大数据 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 大数据 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 数据安全总览 Tenant Guest 区域 用于获取用户涉及数据存储处理等相关云服务的列表等 数据安全总览 OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 数据安全总览 EVS ReadOnlyAccess 区域 用于云硬盘列表获取 数据安全总览 OBS Adminstrator 全局 用于OBS服务投递日志

本文介绍QUIC协议在短视频加速的应用实践。 背景信息 QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。Google推出的QUIC被称为GQUIC，IETF制定的QUIC称为IQUIC。 QUIC的主要优势如下： 1. 握手建连更快。 2. 避免队首阻塞的多路复用。 3. 支持连接迁移。 4. 可插拔的拥塞控制。 5. 前向纠错（FEC）。 协议详细介绍，详情请见：HTTP3.0(QUIC)协议。 适用场景 1. 图片业务：可降低图片加载时间。 2. 短视频业务：可提升视频秒开率，并且降低弱网环境卡顿率。 3. 直播业务：可提升播放稳定性，降低因网络波动带来的卡顿率。 如何验证CDN已开启QUIC功能 QUIC协议暂不支持客户自助开启，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 QUIC属于双边协议，需要客户端同步支持。如您已开通QUIC功能，可以使用Chrome浏览器或者基于Chrome内核的浏览器来访问对应网站域名，并在浏览器开启开发者工具进行抓包验证。目前较新版本的Chrome浏览器已默认开启QUIC。 一般情况下，Chrome浏览器和服务器端协商使用QUIC协议要经过如下步骤： 1. 首次访问，客户端会先发起正常的TCP请求。 2. 服务端如果支持QUIC，会通过响应头部返回altsvc信息告知客户端自己支持QUIC及对应版本（如下图），其含义是服务器在443端口开启QUIC，最大缓存时间是2592000秒（30天），支持的QUIC版本IQUIC。 3. 下次访问，客户端会同时发起TCP连接和QUIC连接进行竞速。 4. 一旦QUIC竞速连接获胜，则后续会采用QUIC协议发送请求，如果在浏览器进行抓包（快捷键F12打开开发者工具），可在Protocol列查看其具体的协议，如下图所示，这里显示的h3即表示采用的是IQUIC。 注意 如果没有Protocol列，右键点击Header Options，勾选Protocol列即可。 5. 如遇网络或服务器不支持QUIC，客户端标记QUIC为broken。 6. 传输中的QUIC请求立即用TCP进行重发。 7. 5min后尝试重试QUIC，下一次尝试增大到10min。 8. 一旦再次成功采用QUIC，会把broken标记取消。

服务器安全卫士（原生版）安全服务如何续费？ 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 配额管理”，进入配额管理页面。 3. 查看您已经订购的配额，选择所需续订的配额，点击“续订”；或勾选需要续订的配额，单击列表上方的“批量续订”。 4. 进入服务器安全卫士（原生版）续订页面，根据使用需要设置续订时长。 5. 续订时长设置完成后，在页面下方确认支付费用，阅读《天翼云服务器安全卫士（原生版）服务协议》，并勾选“我已阅读，理解并同意《天翼云服务器安全卫士（原生版）服务协议》“，在页面右下角单击“立即购买”。当续订周期达到1年或以上时，续订单将可享受包年折扣，续订金额显示折后价。 服务器安全卫士（原生版）安全服务如何退订？ 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 配额管理”，进入配额管理页面。 3. 查看您已经订购的配额，选择需要退订的配额，点击“退订”。 4. 进入退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。 5. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

本章主要介绍使用软件开发生产线快速搭建项目（ECS篇） 本文基于软件开发生产线内置代码仓库，介绍如何使用软件开发生产线完成项目的开发、构建与部署，实现持续交付。 本文采用的ECS部署，若需了解CCE部署方法，请参考使用软件开发生产线快速搭建项目（CCE篇）。 准备工作 1. 拥有天翼云帐号。若没有，请先注册天翼云帐号。 2. 已购买软件开发生产线。 3. 已购买弹性IP。 4. 已购买云主机，购买时的必要配置可参考下表，表中未列出的配置可根据实际情况选择。完成购买后，参考“《云主机用户指南》​>安全​>安全组​>配置安全组规格”添加端口22及8080的入方向规则。 表 云主机配置 配置分类 配置项 配置建议 ::: 基础配置 计费模式 选择“按需计费”。 基础配置 CPU架构 选择“x86计算” 基础配置 规格 选择2核4G或以上规格。 基础配置 镜像 选择“公共镜像 > CentOS > CentOS 7.6 64bit(40GB)”。 网络配置 弹性IP 选择“使用已有”。 高级配置 登录凭证 选择“密码”。 高级配置 密码 输入自定义密码。

本文为您介绍IAM的产品功能。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号或者云服务管理资源等。 精细的权限管理 使用IAM，您可以将帐号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理。 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证，不必与其他人员共享您的帐号密码，系统会通过身份凭证中携带的权限信息允许用户安全地访问您帐号中的资源。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权，只需规划用户组，并将对应权限授予用户组，然后将用户添加至用户组中，用户就继承了用户组的权限。如果用户权限变更，只需在用户组中移除用户或将用户添加进其他用户组，就可以实现快捷的用户授权。 委托其他帐号或者云服务管理资源 通过委托信任功能，您可以将自己的操作权限委托给其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限代替您进行日常工作。

云堡垒机支持管理哪些数据库？ 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 如何配置云堡垒机的安全组？ 参考安全组策略设置。 云堡垒机是否支持纳管非天翼云服务器？ 支持。 只要与云堡垒机网络可达并且协议支持，且云服务器操作系统在云堡垒机支持的操作系统清单，就可以通过天翼云云堡垒机纳管。 云堡垒机是否支持内网访问运维页面？ 支持。 云堡垒机提供绑定EIP功能，支持用户通过互联网远程直接运维资产。 同时云堡垒机自身也提供私网接入地址，用户可以通过vpn远程拨入云堡垒机实例所在vpc，然后使用云堡垒机实例私网地址接入运维内网资产。 租户是否能进入云堡垒机的操作系统？ 不可进入。 云堡垒机实例部署的服务器租户不可见，用户无法访问服务器操作系统，从而也避免进入操作系统破坏数据完整性，影响云堡垒机的安全合规。