适用场景 特别适合银行、证券等对数据安全要求极高的行业。 注意事项 天翼云CDN加速支持SM2（非对称加密算法）、SM3（密码杂凑算法）、SM4（分组加密算法）标准，提供更加安全的HTTPS传输协议（即国密HTTPS加密能力）。 如果您需要同时兼容国密和国际密码算法，请同时部署国密证书和国际标准证书。 使用国密算法，需要您提供国密签名证书及私钥、国密加密证书及私钥。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 单击【保存】，完成配置。

适用场景 特别适合银行、证券等对数据安全要求极高的行业。 注意事项 天翼云CDN加速支持SM2（非对称加密算法）、SM3（密码杂凑算法）、SM4（分组加密算法）标准，提供更加安全的HTTPS传输协议（即国密HTTPS加密能力）。 如果您需要同时兼容国密和国际密码算法，请同时部署国密证书和国际标准证书。 使用国密算法，需要您提供国密签名证书及私钥、国密加密证书及私钥。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 单击【保存】，完成配置。

本文介绍如何删除服务组。 服务组是多个端口的集合。通过使用服务组，可帮助您便捷防御高危端口，有效应对需要重复编辑访问规则的场景，并且方便管理这些访问规则。 操作步骤 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“访问控制>服务组管理”，进入“服务组管理”界面。 4.在待删除的服务组所在行的“操作”列，单击“删除”。 5.在弹出的“删除服务组”界面，确认删除的信息无误后，单击“是”，完成删除。 注意 删除服务组后无法恢复，请谨慎操作。

本文主要介绍物理机的权限管理。 如果您需要对天翼云上购买创建的物理机服务器资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有物理机的使用权限，但是不希望他们拥有删除物理机等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用物理机，但是不允许删除物理机的权限，控制他们对物理机资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用物理机服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 物理机权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 物理机部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如江苏苏州）对应的项目（cnjssz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问物理机时，需要先切换至授权区域。 根据授权精度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对物理机服务，管理员能够控制IAM用户仅能对某一类物理机资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 物理机常用操作与系统权限的关系 如下表： 操作 物理机 FullAccess 物理机 CommonOperations 物理机 ReadOnlyAccess 创建物理机 √ x x 查看物理机列表 √ √ √ 查询物理机详情 √ √ √ 修改物理机名称 √ x x 启动物理机 √ √ x 关闭物理机 √ √ x 重启物理机 √ √ x 物理机挂载数据卷 √ √ x 物理机卸载数据卷 √ √ x 重装裸物理机操作系统 √ x x 一键重置物理机的密码 √ x x

Iperf的测试网络的方法？ 前提条件 保证源端与目的端网络连通，以及天翼云上目的端服务器的安全组规则允许Iperf测试端口开放。 该测试需要在迁移前进行，而且在源端服务器上运行的业务对网络影响不大，否则测试数据不准。 测试步骤 1. 根据源端服务器的OS类型下载对应iperf版本。 2. 在源端服务器和目的端服务器（或者目的端服务器同一Region下的其他弹性云服务器）某一个目录下解压iperf工具。例如在Windows操作系统的iperf工具： 3. 在目的端服务器上，以命令行方式运行iperf（服务端模式运行，以Windows操作系统为例）： 1. 执行以下命令，进入iperf目录。 cd /d path 其中，path指2中iperf工具解压后在目的端服务器中的路径。 2. 执行以下命令，以服务端运行iperf。 iperf3 p port s 其中，port表示iperf工具的服务端监听端口，建议Windows操作系统使用8900端口（8900为目的端服务器使用的数据传输端口），Linux操作系统使用22端口（22为目的端服务器使用的数据传输端口）。您测试的时候也可以使用其他端口，但要保证目的端服务器安全组规则允许开放该TCP或者UDP端口。以Windows操作系统使用8900端口为例，当回显信息为Server listening on 8900时，表明服务端已经运行就绪。 4. 在源端服务器上，以命令行方式运行iperf（客户端模式运行），测试TCP带宽和UDP的抖动、丢包率和带宽（以Windows操作系统为例）。 1. 执行以下命令，进入iperf目录 cd /d path 其中，path指2中iperf工具解压后在源端服务器中的路径。 2. 执行以下命令，运行iperf工具，测试TCP带宽。 iperf3 c targetIP p port t time 其中，c是客户端模式运行。 targetIP 表示目的端服务器（即以服务端模式运行iperf的服务器）的IP地址。 port表示连接目的端服务器的端口。 time表示测试总时间，默认单位为秒。以Windows操作系统使用8900端口为例，iperf客户端连接到iperf服务端成功后会进行带宽（Bandwidth）测试，测试结束后查看结果即可： 3. 执行以下命令，运行iper测试UDP的抖动、丢包率和带宽。 iperf3 c targetIP p port u t time 其中，u表示测试UDP的抖动、丢包率和带宽。 targetIP 表示目的端服务器（即以服务端模式运行iperf的服务器）的IP地址。 port表示连接目的端服务器的端口。 time表示测试总时间，默认单位为秒。以Windows操作系统使用8900端口为例，iperf客户端连接到iperf服务端成功后会测试UDP的抖动（Jitter）、丢包率（Lost/Total Datagrame）和带宽（Bandwidth），测试结束后查看结果即可。 4. 若需要测试网络时延，可以使用ping命令。 ping targetiP targetIP 表示目的端服务器（即以服务端模式运行iperf的服务器）的IP地址。需要配置目的端服务器所在的VPC的安全组规则，允许ICMP协议报文通过。 5. 执行命令 iperf3 h，获取更多的iperf的使用帮助。

本章节主要介绍创建连接MRS集群的SSH隧道并配置浏览器 。 操作场景 用户和MRS集群处于不同的网络中，需要创建一个SSH隧道连接，使用户访问站点的数据请求，可以发送到MRS集群并动态转发到对应的站点。 MAC系统暂不支持该功能访问MRS，请参考通过弹性公网IP访问内容访问MRS。 前提条件 准备一个SSH客户端用于创建SSH隧道，例如使用开源SSH客户端Git。请下载并安装。 已创建好集群，并准备pem格式的密钥文件或创建集群时的密码。 用户本地环境可以访问互联网。 操作步骤 1.登录MRS管理控制台，选择“集群列表 > 现有集群”。 2.单击指定名称的MRS集群。 记录集群的“安全组” 。 3.为集群Master节点的安全组添加一条需要访问MRS集群的IP地址的入规则，允许指定来源的数据访问端口“22”。 具体请参见“《虚拟私有云》帮助文档> 安全性 > 安全组 > 添加安全组规则”。 4.查询集群的主管理节点，具体请参考如何确认Manager的主备管理节点。 5.为集群的主管理节点绑定一个弹性IP地址。 具体请参见“《虚拟私有云》帮助文档”，为弹性云主机申请和绑定弹性公网IP。 6.在本地启动Git Bash，执行以下命令登录集群的主管理节点： ssh root@弹性 IP 地址或者 ssh i 密钥文件路径 root@弹性 IP 地址 7.执行以下命令查看数据转发配置： cat /etc/sysctl.conf grep net.ipv4.ipforward 系统查询到“net.ipv4.ipforward1”表示已配置转发，则请执行步骤9。 系统查询到“net.ipv4.ipforward0”表示未配置转发，则请执行步骤8。 系统查询不到“net.ipv4.ipforward”参数表示该参数未配置，则请执行以下命令后再执行步骤9。 echo "net.ipv4.ipforward 1"/etc/sysctl.conf 8.修改节点转发配置： a.执行以下命令切换root用户： sudo su root b.执行以下命令，修改转发配置： echo 1 > /proc/sys/net/ipv4/ipforward sed i "s/net.ipv4.ipforward0/net.ipv4.ipforward 1/g"/etc/sysctl.conf sysctlw net.ipv4.ipforward1 c.执行以下命令，修改sshd配置文件： vi /etc/ssh/sshdconfig 按I进入编辑模式，查找“AllowTcpForwarding”和“GatewayPorts”，并删除注释符号，修改内容如下，然后保存并退出： AllowTcpForwarding yesGatewayPorts yes d.执行以下命令，重启sshd服务： service sshd restart 9.执行以下命令查看浮动IP地址： ifconfig 系统显示的“eth0:FIHUE”表示为Hue的浮动IP地址，“eth0:wsom”表示Manager浮动IP地址，请记录“inet”的实际参数值。 然后退出登录：exit 10.在本地机器执行以下命令创建支持动态端口转发的SSH隧道： 使用命令 ssh i 密钥文件路径 v ND 本地端口地址 root@弹性IP 地址或者 ssh v ND 本地端口地址 root@弹性 IP 地址 ，然后输入创建集群时的密码。 其中，“本地端口地址”需要指定一个用户本地环境未被使用的端口，建议选择8157。 创建后的SSH隧道，通过“D”启用动态端口转发功能。默认情况下，动态端口转发功能将启动一个SOCKS代理进程并侦听用户本地端口，端口的数据将由SSH隧道转发到集群的主管理节点。 11.执行如下命令配置浏览器代理。 a.进入本地Google Chrome浏览器客户端安装目录。 b.按住“shift+鼠标右键”，选择“在此处打开命令窗口”，打开CMD窗口后输入如下命令： chrome proxyserver"socks5://localhost:8157" hostresolverrules"MAP 0.0.0.0 , EXCLUDE localhost" userdatadirc:/tmppath proxybypasslist"googlecom, gstatic.com, gvt .com, :80" 说明 8157为步骤10中配置的本地代理端口。 若本地操作系统为Windows 10，请打开Windows操作系统“开始”菜单，输入cmd命令，打开一个命令行窗口执行12中的命令。若该方式不能成功，请打开Windows操作系统“开始”菜单后，在搜索框中输入并执行11中的命令。 12.在新弹出的浏览器地址栏，输入Manager的访问地址。 Manager访问地址形式为 浮动IP 地址:28443/web 。 访问启用Kerberos认证的集群时，需要输入MRS集群的用户名和密码，例如“admin”用户。未启用Kerberos认证的集群则不需要。 第一次访问时，请根据浏览器提示，添加站点信任以继续打开页面。 13.准备站点的访问地址。 a.参考开源组件Web站点中的Web站点一览，获取Web站点的地址格式及对应的角色实例。 b.单击“服务管理”。 c.单击指定的服务名称，例如HDFS。 d.单击“实例”，查看NameNode的主角色实例“NameNode(主)”的“业务IP” 14.在浏览器输入访问Web站点真实地址并访问。 15.退出访问Web站点时，请终止并关闭SSH隧道。

关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

本文介绍域名绑定标签的步骤。 功能介绍 标签为域名分类管理工具，通过标签功能对具有相同属性的域名进行分类管理。本文介绍如何为域名绑定标签，实现标记域名或为域名分组。 配置说明 1. 登录边缘安全加速控制台。 2. 击左侧导航【域名】【接入管理】。 3. 域名列表里可以进行标签管理，点击新增则可以关联对应标签。 参数名 配置值 说明 请选择标签组 已创建的标签组 例如：Businesssystem。 请选择标签 已创建的标签 例如：CRM。该项不允许为空，否则将无法生效。 已选择标签 显示已选择的标签组和标签 注意事项 每个域名最多绑定20个标签。 标签选项不允许为空，否则将无法生效。 域名新增中不允许设置标签。

本文简述了如何查询域名基础信息及基础信息包含的内容。 功能介绍 域名基础信息包括 CNAME、加速区域、产品类型、创建时间。 参数 说明 CNAME 展示天翼云提供的域名解析CNAME。用户需要在域名的DNS服务商处配置该CNAME，将流量解析至天翼云边缘节点。参考配置CNAME。 加速区域 展示域名的加速区域 产品类型 展示域名所属产品类型 创建时间 展示域名接入时间 功能截图 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名，即可查看。 注意 如果您的域名状态在新增中，需要新增完成，才能查看域名基础配置。 如果您的域名状态为已停用、停用中、配置中，则只能查看配置，无法编辑。

本文介绍了日志与审计的相关说明。 RDSPostgreSQL提供了多种日志服务与审计服务，您可根据需要查看或开启相关服务。 操作审计 RDSPostgreSQL记录了用户针对实例的关键操作，可用于支撑安全分析、合规审计和问题定位等常见应用场景。 操作日志的详细介绍和查看方法，请参见操作日志。 日志 RDSPostgreSQL当前提供多项日志监控服务，帮助用户定位分析问题，优化查询语句。 支持查看实例中，执行过慢的SQL执行情况，并可根据SQL关键字、执行时间等进行筛选，协助用户分析优化，提升业务效率。详细介绍请参见慢日志。 支持查看错误日志，通过日志情况分析系统中存在的问题。详细请参见错误日志。

DDoS封堵状态 DDoS封堵状态是指公网IP的外网访问被阻断的状态。 流量峰值 流量峰值指一段时间内IP入向流量速率的最大值，当IP的流量峰值超过DDoS防护阈值和网络承受能力时，IP所在服务器和网络的稳定性会受到影响，根据用户协议，IP会进入封禁状态。流量峰值可用于获知DDoS攻击强度，以此选用合适规格的DDoS高防产品。 DDoS防护建议 DDoS防护建议指DDoS基础防护产品为用户提供的避免遭受DDoS攻击和DDoS封堵的建议，包括配置安全组限制访问源，配置DDoS高防IP，检查管控业务IP泄露渠道等。

步骤四：浏览器打开Cloudreve 1. 在虚拟机管理界面的安全组选项中，对浏览器所在机器的ip地址和Cloudreve所使用的5212端口在出方向和入方向进行放开，本文采用的是对全部协议和端口进行放通。 2. 在本地浏览器输入弹性云主机的 弹性IP:5212，打开Cloudreve登录页面。 3. 点击登录按钮后，进入网盘页面，可以进行内容上传、新建文件夹、共享内容等。

立即执行某个检查计划 本部分将介绍如何立即执行某个检查计划，配置后，系统将立即执行已选择的基线检查计划。 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。 4. 在检测设置页面，选择检查计划所在的区域。 5. 在待执行立即手动检查的检查计划所在栏的上方单击“立即检查”。 系统将立即执行已选择的基线检查计划。

步骤四：手动为封禁IP解封 说明 当IP解封后，访问频率未超过设定阈值时，不会被封禁。 解除BOT防护动态拦截 1. 在“防护配置 > 对象防护配置”页面，选择“安全防护”页签，定位到“BOT防护”模块。 2. 单击拦截列表右侧的“解除拦截”，进入动态拦截页面。 3. 对于正在拦截中的对象，单击操作列的“解除拦截”可放开拦截。 解除攻击惩罚 1. 在“防护配置 > 对象防护配置”页面，选择“系统配置”页签，定位到“攻击惩罚”模块。 2. 单击惩罚列表右侧的“前去查看”，进入惩罚列表页面。 3. 对于正在惩罚中的拦截对象，单击操作列的“解除惩罚”可放开惩罚对象封禁。

本文介绍了如何使用统一身份认证(Identity and Access Management,简称IAM)服务对访问云硬盘资源进行精细的权限管理。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“步骤二：创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。云硬盘EVS相关的系统策略包含如下： Evs Admin：云硬盘服务的管理者权限，包含云硬盘所有控制权限（不含订单类权限）； Evs Viewer：云硬盘服务的观察者权限，包含云硬盘的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“步骤二：创建自定义策略”。

操作场景 本节操作介绍如何在移动设备上连接Linux实例，轻松地连接和管理您的Linux云主机。 以iTerminalSSH Telnet为例介绍如何在iOS设备上连接 Linux 实例，详细操作请参考iOS设备上登录Linux云主机。 以JuiceSSH为例介绍如何在Android设备上连接 Linux 实例，详细操作请参考Android设备上登录Linux云主机。 前提条件 Linux云主机状态处于“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 确保使用的登录终端与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 iOS设备上登录Linux云主机 如果您使用iOS设备，请确保已经安装了SSH客户端工具，我们以Termius为例。本示例中使用CentOS 7.6操作系统，使用用户名和密码进行认证。 1. 在iOS设备上启动Termius应用，并单击"New Host"。 2. 在SSH页面上，输入连接信息后，单击 Save。需要提供以下连接信息： Alias（别名）：为连接设置一个名称，例如"ecs01"。 Hostname（主机名）：输入要连接的Linux实例的公网IP地址。 Use SSH（使用SSH）：确保SSH登录配置已打开。 Host（主机）：输入要连接的Linux实例的固定公网IP或弹性IP。 Port（端口）：输入端口号22。 用户名：输入用户名"root"。 密码：输入实例的登录密码。 3. 点击右上角的"Save"按钮，保存登录信息。在Hosts页面上，点击连接的名称以远程连接服务器。 4. 当出现欢迎登录提示时，您已成功连接到Linux云主机。

本章节介绍如何创建一个Eureka引擎实例 概述 Eureka是一个Java体系的服务发现组件，用于实现服务的自动注册与发现即客户端完成微服务项Eureka注册，采用心跳续约策略，而服务端作为注册中心，通过接受心跳保持服务健康状态。本文将介绍如何创建一个Eureka引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”，推荐您开通集群版，以保障实例的高可用性； 引擎类型：若您需要开通Eureka引擎，则选中“Eureka”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本章节主要介绍节点排水。 操作场景 您可以通过控制台使用节点排水功能，系统会将节点设置为不可调度，然后安全地将节点上所有符合节点排水规则的Pod驱逐，后续新建的Pod都不会再调度到该节点。 在节点故障等场景下，该功能可帮助您快速隔离故障节点，被驱逐的Pod将会由工作负载controller转移到其他正常可调度的节点上。 约束与限制 仅以下指定版本的集群支持节点排水功能： v1.21集群：v1.21.10r0及以上版本 v1.23集群：v1.23.8r0及以上版本 v1.25集群：v1.25.3r0及以上版本 v1.25以上版本集群 IAM用户在使用节点排水功能时，至少需要具有以下一项权限，详情请参见命名空间权限（Kubernetes RBAC授权）。 clusteradmin（管理员权限）：对全部命名空间下所有资源的读写权限。 drainageeditor：节点排水操作权限，可执行节点排水。 drainageviewer：节点排水只读权限，仅可查看节点排水状态，无法执行节点排水。 节点排水规格 节点排水功能会安全驱逐节点上的Pod，但对于满足以下过滤规则的Pod，系统会进行例外处理： 表 节点排水规则 Pod筛选条件 使用强制排水 不使用强制排水 Pod的status.phase字段为Succeeded或Failed 删除 删除 Pod不受工作负载controller管理 删除 放弃排水 Pod由DaemonSet管理 忽略 放弃排水 Pod中挂载了emptyDir类型的volume 驱逐 放弃排水 由kubelet直接管理的静态Pod 忽略 忽略 说明 节点排水过程中可能会对Pod执行的操作如下： 删除：Pod会从当前节点上删除，不会再重新调度至其他节点。 驱逐：Pod会从当前节点上删除，且会重新调度至其他节点。 忽略：Pod不会被驱逐或删除。 放弃排水：若节点上存在放弃排水的Pod，节点排水过程会中止，不会驱逐或删除任何Pod。

本节介绍如何为包周期的态势感知（专业版）订单进行续费。 态势感知（专业版）续费是在原已购买的版本规格的基础上，延长使用时间。续费操作不能变更版本规格，即不能改变“主机配额”。 续费操作仅针对包周期版本。 包周期（包年/包月）模式为预付费方式。当购买的包周期版本到期时，用户需通过续费延长使用期。 按需计费为按小时计费，即开即用。在账户余额充足前提下，不涉及过期情况，即无需续费操作。 手动续费 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“已购资源”，进入已购资源页面后，在待续费态势感知（专业版）版本所在region栏中，单击“续费”，系统跳转至费用中心“续费管理”页面。 4. 在态势感知（专业版）实例所在行，单击“续费”，跳转至“续费”页面。 5. 配置“续费时长”，如选择“一年”。 6. （可选）设置并勾选“统一到期时间”。默认将统一到期时间设置为每月1号23:59:59 GMT+08:00。 7. 单击“去支付”，跳转至支付页面，完成付款。 返回续费管理页面，可查看态势感知（专业版）已续费成功。 开通自动续费 在账户余额充足前提下，已配置“自动续费”后，包周期版本的资产配额、增值包、安全编排将自动续费，延长使用周期。 1. 登录管理控制台。 2. 单击“费用与成本 > 续费管理”，跳转至费用中心“续费管理”页面。 3. 在“手动续费项”页签，选择态势感知（专业版）专业版实例，单击“开通自动续费”，跳转至自动续费配置页面。 4. 选择配置“自动续费周期”和勾选“预设自动续费次数”。 5. 单击“开通”，完成自动续费配置。 6. 返回续费管理页面，在“自动续费项”页签，可查看态势感知（专业版）已开通自动续费。 后续将根据配置，自动续费延长使用期。

本节主要介绍如何导入、导出情报指标。 约束与限制 仅支持导入.xlsx格式的文件，且文件大小不超过5MB。 最多支持导出9999条情报指标信息。 导入指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，单击指标列表左上角的“导入”。 6. 在弹出的“导入”对话框中，单击“下载模板”，并根据模板填写要求填写待导入情报指标信息。 7. 待导入情报指标文件填写完成后，在导入情报指标对话框中，单击“添加文件”，选择你需要导入的Excel文件。 8. 选择完成后，单击“确定”，完成导入。 导出指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，勾选您需要导出的指标，并单击列表右上角的，弹出导出对话框。 6. 在导出指标对话框中，配置参数。 参数名称 参数说明 导出格式 默认导出excel格式的指标列表。 自定义导出列 选择导出表格中，需要导出的参数。 7. 单击“确定”。 系统将自动下载指标excel表格到本地。

本节指导用户通过密钥管理界面使用在线工具加解密不大于4KB的数据。 前提条件 自定义密钥处于“启用”状态。 约束条件 在线工具不支持通过默认密钥加解密小数据。 用户可使用调用API接口的方式，使用默认密钥加解密小数据。 加密数据时，使用当前指定的密钥加密数据。 解密数据时，在线工具自动识别并使用数据被加密时使用的密钥解密数据，如果加密时使用的密钥已被删除，会导致解密失败。 加密数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标自定义密钥的别名，进入密钥详细信息在线工具加密数据页面。 步骤 5 在“加密”文本框中输入待加密的数据。 步骤 6 单击“执行”，右侧文本框显示加密后的密文数据。 说明 加密数据时，使用当前指定的密钥加密数据。 用户可单击“清除”，清除已输入的数据。 用户可单击“复制到剪切板”拷贝加密后的密文数据，并保存到本地文件中。 解密数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 解密数据时，可单击任意“启用”状态的非默认密钥别名，进入该密钥的在线工具页面。 步骤 5 单击“解密”，在左侧文本框中数据待解密的密文数据。 说明 在线工具自动识别并使用数据被加密时使用的密钥解密数据。 若该密钥已被删除，会导致解密失败。 步骤 6 单击“执行”，右侧文本框中显示解密后的明文数据。 说明 用户可直接单击“复制到剪切板”拷贝解密后的明文数据，并保存到本地文件中。

本节将介绍用户通过管理控制台查看工作空间的信息，包括名称、类型和创建时间等。 约束与限制 新创建的工作空间需要初始化，工作空间创建完成后需要等待约10分钟后刷新查看。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 在工作空间界面，查看已有工作空间的信息。 当工作空间较多时，可以通过搜索功能，选择搜索条件并在搜索框中输入关键词，单击，即可快速查询指定工作空间。 工作空间参数说明： 参数名称 参数说明 名称 工作空间的名称。 类型 工作空间的类型。 工作空间分为普通工作空间和托管视图。 普通工作空间 未托管：未被托管视图纳管的工作空间，工作空间名称后不携带标签。 已托管：已经被托管视图纳管的工作空间，工作空间名称后会有“已托管”标签。 托管视图 托管视图：可用于纳管其他工作空间，实现多个工作空间集中管理，实现跨账号安全运营。托管视图更多信息请参见创建空间托管。 ID 工作空间的ID。 区域 工作空间所属区域。 项目 工作空间所属的项目。 更多 将鼠标悬停在“更多”上，可查看工作空间ID、区域、项目、企业项目、创建时间等信息。 托管状态 工作空间是否托管。 事件 该工作空间中的事件数量。事件更多信息请参见查看事件信息。 漏洞 该工作空间中的漏洞数量。漏洞更多信息请参见漏洞管理概述。 告警 该工作空间中的告警数量。告警更多信息请参见告警概述。 情报 该工作空间中的情报数量。情报更多信息请参见查看情报指标。 资产 该工作空间中已有资产的数量。资产管理更多信息请参见资产管理概述。 安全分析 该工作空间中已有数据空间数量。 实例 该工作空间中已有实例的数量。 剧本 该工作空间中已有剧本的数量。剧本更多信息请参见安全编排概述。 5. 如需查看某个工作空间的详细信息，可单击待查看工作空间右侧的，进入工作空间基本信息页面查看详细信息。 在工作空间详情页面，可查看工作空间的名称、创建时间、所属项目等信息。另外，还支持修改工作空间名称和描述信息。 在“标签”页签中，支持“编辑标签”，标签的详细操作请参考管理工作空间标签。 在“导航设置”页签，可以设置当前工作空间的目录，导航设置页签的参数含义如下： 参数名称 参数说明 面包屑导航显示开关 按钮默认开启。该开关用于控制是否允许用户返回外层导航目录。 开关打开：用户可返回外层空间管理导航目录。 开关关闭：用户无法返回外层空间管理导航目录。 工作空间导航设置 新增：用户自定义新增目录。 批量编辑：支持批量编辑，设置“落地页”，设置“是否显示”按钮。落地页即单击工作空间名称后进入空间详情的默认页面。 批量删除：支持批量删除目录，仅用户自定义的目录支持删除，系统内置目录不支持删除。 导航名称 导航目录所属的一级目录名称。单击一级目录名称前方的按钮可展开该一级目录下的二级目录名称。 目录状态 目录所属的类型。 发布者 目录的发布者。 布局 目录关联的布局。 目录地址 目录所在地址。系统自动生成的访问目录页面的地址。 中文别名 目录的中文名称。 英文别名 目录的英文名称。 落地页 设置单击工作空间名称后进入空间详情的默认页面。 一个工作空间必须有一个落地页。 只能设置允许显示的目录中的一个作为落地页。 一级目录不支持设置为落地页。 是否显示 控制该目录是否在导航栏显示。 操作 可对目录进行编辑、更换布局等操作。 编辑：支持编辑目录的“中文别名”、“英文别名”、“落地页”、“是否显示”。 更换布局：用户自定义的目录，或系统内置的关联了布局的目录支持更换布局。仅支持更换相同布局类型的其他布局。

本节介绍创建国产化版云电脑的操作说明。 操作场景 AI云电脑国产化版，是基于国产化软硬件及自研技术栈实现，技术安全可信。具备更强性能，软硬件均为国产自研，符合国产化要求，适合国产化安全办公，数据存储，组合网络，高效运维等管理需求。 目前功能尚未全面放开订购，如需订购，请联系您的专属客户经理，或拨打天翼云客服电话： 4008109889 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.进入“创建桌面”页面，“来源”选择“单实例”； 4.选择“Linux”系统类型； 5.选择“AI云电脑国产化版”规格类型； 6.根据实际情况选择AI云电脑国产化版的架构和芯片、规格； 7.选择AI云电脑的“镜像类型”； 8.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 9.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 10.选择账号类型，并填写分配电脑的账号信息； 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 11.选择桌面的“购买时长”； 12.确认相关的配置信息，单击“立即购买”，支付成功后，即完成国产化版AI云电脑的开通。

创建云数据库ClickHouse实例后，可以通过登录数据库管理服务DMS对数据库进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据库管理服务DMS登录云数据库ClickHouse。 数据管理服务（Data Management Service，DMS）是异构数据库的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前提条件 已创建云数据库ClickHouse实例 已创建数据库用户 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 分析型数据库> 云数据库ClickHouse ，进入云数据库ClickHouse产品页面。然后单击管理控制台，进入数据库实例列表。 2. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。

本节介绍了备份弹性云主机的操作场景、云主机备份操作步骤、云硬盘备份操作步骤。 操作场景 云备份（Cloud Backup and Recovery，CBR）提供对云硬盘和弹性云主机的备份保护服务，支持基于快照技术的备份服务，并支持利用备份数据恢复服务器和磁盘的数据。云备份最大限度保障用户数据的安全性和正确性，确保业务安全。 云备份提供申请即用的备份服务，使您的数据更加安全可靠。例如，当磁盘或服务器出现故障或者人为错误导致数据误删时，可以自助快速恢复数据。 云主机备份操作步骤 1.登录管理控制台。 2.选择“存储 > 云备份 > 云主机备份”。 3.单击“创建云主机备份存储库”。 详细操作，请参见《云备份用户指南》中“创建存储库”章节。 4.云主机备份存储库创建后，通过向存储库绑定服务器来进行备份操作。 详细操作，请参见《云备份用户指南》中“绑定云主机或磁盘”章节。 5.创建备份。 详细操作，请参见《云备份用户指南》中“创建备份”章节。 云硬盘备份操作步骤 1.登录管理控制台。 2.选择“存储 > 云备份 > 云硬盘备份”。 3.单击“创建云硬盘备份存储库”。 详细操作，请参见《云备份用户指南》中“创建存储库”章节。 4.云硬盘备份存储库创建后，通过向存储库绑定磁盘来进行备份操作。 详细操作，请参见《云备份用户指南》中“绑定云主机或磁盘”章节。 5.创建备份。 详细操作，请参见《云备份用户指南》中“创建备份”章节。

添加审计范围后，您可以查看审计范围信息，启用、编辑、禁用或删除审计范围。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加审计范围。 启用、编辑和删除审计范围前，请确认审计范围的状态为“已禁用”。 禁用审计范围前，请确认审计范围的状态为“已启用”。 注意 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 查看审计范围信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要查看审计范围的实例。 6. 查看审计范围信息，相关参数说明如下所示。 在列表右上方输入审计范围名称的关键字，可以搜索指定的审计范围。 审计范围信息参数说明 参数名称 说明 名称 审计范围的名称。 例外IP 该审计范围内的白名单IP。 源IP 访问数据库的IP地址或IP地址段。 源端口 审计的IP地址端口。 数据库名称 审计范围的数据库。 数据库帐户 数据库的用户名。 状态 审计范围的状态，包括： 已启用 已禁用 根据需要，您还可以对审计范围执行以下操作： 启用 在需要启用的审计范围所在行的“操作”列，单击“启用”，数据库安全审计将对该审计范围的数据库进行审计。 编辑（仅自定义创建审计范围的支持） 在需要编辑的审计范围所在行的“操作”列，单击“编辑”，在弹出的对话框中，您可以修改审计范围。 禁用 在需要禁用的审计范围所在行的“操作”列，单击“禁用”，在弹出的对话框中，单击“确定”，可以禁用该审计范围。禁用审计范围后，该审计范围规则将不在审计中执行。 删除（仅自定义创建审计范围的支持） 在需要删除的审计范围所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，可以删除该审计范围。删除审计范围后，如果需要对该审计范围进行审计，请重新添加该审计范围。

本文主要介绍ELB的权限。 如果您需要对云上创建的弹性负载均衡资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云上资源的访问。详请请参见统一身份认证。 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云上资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ELB的使用权限，但是不希望他们拥有删除负载均衡器等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用负载均衡器，但是不允许删除负载均衡器的权限策略，控制他们对ELB资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ELB服务的其它功能。 ELB权限 默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ELB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该策略仅对此项目生效，如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ELB时，需要先切换至授权区域。 根据授权精度程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云上各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 ELB系统权限表 系统角色/策略名称 描述 类型 ELB FullAccess 操作权限：对弹性负载均衡服务的所有执行权限。作用范围：项目级服务。 系统策略 ELB ReadOnlyAccess 操作权限：对弹性负载均衡服务的只读权限。作用范围：项目级服务。 系统策略 常用操作与系统策略的关系 操作 ELB FullAccess ELB ReadOnlyAccess 创建负载均衡器 √ × 查询负载均衡器 √ √ 查询负载均衡器状态树 √ √ 查询负载均衡器列表 √ √ 更新负载均衡器 √ × 删除负载均衡器 √ × 创建监听器 √ × 查询监听器 √ √ 修改监听器 √ × 删除监听器 √ × 创建后端主机组 √ × 查询后端主机组 √ √ 修改后端主机组 √ × 删除后端主机组 √ × 创建后端主机 √ × 查询后端主机 √ √ 修改后端主机 √ × 删除后端主机 √ × 创建健康检查 √ × 查询健康检查 √ √ 修改健康检查 √ × 关闭健康检查 √ × 创建弹性公网IP × × 绑定弹性公网IP × × 查询弹性公网IP √ √ 解绑弹性公网IP × × 查看监控指标 × × 查看访问日志 × ×

本小节介绍证书管理服务权限管理。 如果您需要对天翼云上购买的证书管理服务（CCMS）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有证书管理服务（CCMS）的使用权限，但是不希望他们拥有删除CCMS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CCMS，但是不允许删除CCMS的权限策略，控制他们对天翼云CCMS资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CCMS服务的其它功能。IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 CCMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组/用户授予策略或角色，才能使得用户组/用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置权限，访问CCMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM提供的一种细粒度授权的能力，可以具体到服务的操作。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CCMS服务，管理员能够控制IAM用户仅能对CCMS进行指定的管理操作。 如下表所示，包括了CCMS所有系统角色。 角色名称/策略名称 描述 类别 依赖关系 ccms admin SSL证书管理服务管理员权限，拥有服务的所有权限。 系统策略 购买证书需要依赖bss admin策略、mkt admin策略。 bss admin策略：系统策略，订单费用中心（BSS）管理员，拥有该服务下的所有权限。 mkt admin策略：系统策略，营服中心管理员，拥有该服务下的所有权限。 ccms viewer SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书、csr、联系人、公司进行增删改权限。 系统策略 无 说明 如需购买SSL证书，账号除了必须拥有“ccms admin”之外，还需要拥有“bss admin”权限和“mkt admin”权限。

本章节主要介绍如何查看已有情报指标信息。 操作场景 可以查看情报指标的威胁度、发现时间、状态等信息。支持翻页查看或自定义过滤条件筛选情报指标。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理> 情报管理”，进入情报管理页面。 5. 在情报管理页面查看情报指标信息。 参数名称 参数说明 情报类型 呈现所有类型情报指标总数及对应类型下情报指标数量。 超期情报 呈现已超过威胁情报指标设置的失效时间，且还未关闭的威胁情报指标总数。 情报状态 呈现不同状态的情报指标总数及对应状态下情报指标数量。 关闭：已经关闭的情报指标数量。 作废：已经作废的情报指标数量。 打开：处于打开状态的情报指标数量。 威胁度 呈现不同威胁程度对应的情报指标数量。 黑：表示危险，威胁程度为黑的情报指标数量。 灰：表示一般，威胁程度为灰的情报指标数量。 白：表示安全，威胁程度为白的情报指标数量。 情报管理列表 展示情报的详细信息。 在情报指标列表中下方可以查看情报指标总条数。其中，使用翻页查看时最多可查看10000条情报指标信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 情报指标列表中，可以查看情报的威胁度、发现时间、状态等信息。如需查看某个指标详细信息，可单击指标名称，页面右侧将展示指标的详细信息。 在情报概览页面可以查看情报的基本信息和关联信息（包括关联的威胁指标、告警、事件）。 在关联信息中，可以将情报指标和其他情报指标、告警和事件进行绑定或解绑操作。

本节介绍如何购买态势感知专业版。 操作场景 态势感知（专业版）专业版支持包周期和按需方式进行购买，您可以根据业务需求进行购买。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面左上角的“服务列表”，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在总览页面中，单击购买按钮，进入购买态势感知（专业版）页面。 4. （可选）购买访问授权。 首次购买需要进行访问授权，获取账号中的ECS主机资产信息。在弹出的访问授权页面中，勾选“同意授权”并单击“确认”。 5. 在购买态势感知（专业版）页面，配置购买参数。 参数名称 说明 计费模式 请根据您的需求选择“包周期”或“按需”计费模式。 包周期：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。 按需：一种后付费模式，即先使用再付费，按照实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。 区域 根据已有云上资源所在的区域选择态势感知（专业版）的区域。 版本 选择“专业版”。 配额数 配额数是指主机资产支持防护的最大主机数量。 请根据当前账户下所有主机资产总数设置配额数，可设置最大主机配额需等于或大于当前账户下主机总数量，且不支持减少。 说明 配额数最大限制为10000台。 为避免主机资产在防护份额外，不能及时感知攻击威胁，而造成数据泄露等安全风险。当主机资产数量增加后，请及时增加配额数。 购买时长 选择“购买时长”。 其中，选择按1个月进行收费时，到期将自动续费。 6. 确认参数配置无误后，在页面右下角单击“立即购买”。 7. 确认订单详情无误后，阅读并同意相关协议，单击“去支付”。 8. 在支付页面，选择付款方式完成付款，完成购买操作。

操作步骤 1.登录翼MR管理控制台。 2.选择 “集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.选择“节点管理”页签，在需要扩容的节点组的“操作”列单击“扩容”，进入扩容集群页面。只有运行中的集群才能进行扩容操作。 4. 设置“扩容节点数量”、“启动组件”和“执行引导操作”参数，并单击“确定”。 说明 若集群中没有Task节点组，请参考下方 配置Task节点 。 如果创建集群时添加了引导操作，则“执行引导操作”参数有效，开启该功能时扩容的节点会把创建集群时添加的引导操作脚本都执行一遍 。 如果“新节点规格”参数有效，则表示与原有节点相同的规格已售罄或已下架，新扩容的节点将按照“新节点规格”增加 。 扩容集群前需要检查集群安全组是否配置正确，要确保集群入方向安全组规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则 。 5.进入“扩容节点”窗口，单击“确定”。 6.弹出扩容节点提交成功提示框。 集群扩容过程说明如下： 扩容中：集群正在扩容时集群状态为“扩容中”。已提交的作业会继续执行，也可以提交新的作业，但不允许继续扩容和删除集群，也不建议重启集群和修改集群配置。 扩容成功：集群扩容成功后集群状态为“运行中”。 扩容失败：集群扩容失败时集群状态为“运行中”。用户可以执行作业，也可以重新进行扩容操作。 扩容成功后，可以在集群详情的“节点管理”页签查看集群的节点信息。

本章节主要介绍使用Spark的操作指导。 前提条件 已安装客户端。 例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Spark客户端 1. 安装客户端。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 直接执行命令。例如： 7. plaintext sparksql