本文介绍如何查询CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 查询功能 您可以在CC攻击事件表头部指定您要查询的域名（支持多选）及时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 攻击详情 攻击事件列表将展示被攻击域名、攻击开始时间、攻击结束时间、攻击峰值/QPS、攻击总次数。 点击单条攻击事件的攻击详情【查看】按钮，即可查询CC攻击事件的攻击趋势、TOP攻击IP、TOP URL排名。

一键解封 仅针对下发过“一键阻断”操作且执行成功的告警才可以执行“一键解封”操作。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理列表中，单击目标告警所在行“操作”列的“更多> 一键解封”。 同时，还可以在某条告警详情页面，单击页面右上角的“一键解封”。 6. 在弹出的一键解封确认框中，输入解封原因，并单击“确定”。

控制中心方式 如果用户已注册公有云，可在登录后开始使用云迁移服务。 1. 进入天翼云首页，在上方“产品”栏展开左侧服务导航栏并选择“安全及管理 > 管理工具 > 云迁移”。 2. 单击“管理控制台”，进入云迁移服务界面。 3. 您可以在上方 切换所在区域，并使用云迁移服务。 说明 说明：目前部分区域未上线云迁移服务，您可在云迁移帮助中心查看服务上线情况。

天翼云提供的公共镜像能否直接下载到本地，怎么操作？ 暂不支持直接下载公共镜像，您可以先通过公共镜像创建云主机，再将云主机制作为私有镜像，然后导出私有镜像至个人对象存储桶，再下载至本地。 参考链接如下： 跨账号同区域迁移云主机（迁移系统盘）或跨账号同区域迁移云硬盘（迁移数据盘） 导出镜像。 镜像为什么没有“导出”按钮 ？ 在镜像列表页面，有些镜像不支持导出功能，因此在“操作”列没有提供“导出”按钮。以下镜像不支持导出功能： 公共镜像 整机镜像 ISO镜像 安全产品镜像

监控项配置 每个监控项对应的采集器会定义一些采集参数，用户可以在页面更改采集参数，并且随着心跳参数下发到Agent，更改采集行为。比如默认情况，出于安全考虑APM不会采集redis指令里面的内容，如果用户有需求，可以更改监控项的采集参数，实现具体指令数据内容的采集。采集参数也可以定义在环境标签上面，这样对应的环境标签下的采集器会自动继承采集参数属性，实现配置自动化。 监控项视图 在指标监控详情界面，一个监控项会对应一个或者多个tab的视图，每个视图都对应一个指标集合。视图当前支持汇总表格、趋势图、最近数据表格和原始表格几种类型。

如果DSC内置的规则组不能满足您的敏感数据识别场景，可参考本章节自定义敏感数据规则组，自由组合规则，实现敏感数据的多场景识别。 约束条件 敏感数据规则组分为自定义的规则组和内置的规则组，内置的规则组不可新增、编辑和删除。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，并选择“规则组”页签，进入规则组列表。 4. 在规则组列表的左上角，单击“新增规则组”，弹出新增规则组对话框。 5. 在“新增规则组”对话框中配置规则组基本信息，如下图所示，相关参数说明如下表所示。 参数 参数说明 规则组名称 您可以自定义敏感数据规则组名称。 规则组名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 规则组名称不能与已有的规则组名称重复。 规则组描述 该规则组的备注信息，用于区别其他规则组。 规则添加 可选参数。勾选需要添加的敏感数据规则。 如果您想移除已选的规则，可在右边已选择的规则框中，找到目标规则，并在其所在行的“操作”列，单击移除。 6. 单击“确定”，完成敏感数据规则组的创建。

组件 参数 详情 默认 修改限制 容器引擎Docker配置 nativeumask execopt native.umask normal 不支持修改 dockerbasesize storageopts dm.basesize 0 不支持修改 insecureregistry 不安全的镜像源地址 false 不支持修改 limitcore 核数限制，节点池中创建的节点总核数不能超过该值 5368709120 defaultulimitnofile 容器内句柄数限制 {soft}:{hard} 该值大小不可超过节点内核参数nropen的值，且不能是负数。 节点内核参数nropen可通过以下命令获取：sysctl a grep nropen kubeproxy组件配置 conntrackmin sysctl w net.nfconntrackmax 131072 支持在节点池生命周期中修改 conntracktcptimeoutclosewait sysctl w net.netfilter.nfconntracktcptimeoutclosewait 1h0m0s kubelet组件配置 cpumanagerpolicy cpumanagerpolicy none 支持在节点池生命周期中修改 kubeapiqps 与kubeapiserver通信的qps 100 kubeapiburst 与kubeapiserver通信的burst 100 maxpods kubelet管理的pod上限 4020 podpidslimit k8s 限制进程数 1 withlocaldns 是否使用本地IP作为该节点的ClusterDNS false eventqps 事件创建QPS限制 5 allowedunsafesysctls 允许使用的不安全系统配置。 CCE从 1.17.17 集群版本开始，kubeapiserver开启了pod安全策略， 需要在pod安全策略的allowedUnsafeSysctls中增加相应的配置才能生效（1.17.17以下版本的集群可不配置）。 [] kubereservedmemsystemreservedmem 节点内存预留。 随节点规格变动，具体请参见节点预留资源计算公式 kubereservedmem，systemreservedmem之和小于内存的一半 topologymanagerpolicy 设置拓扑管理策略。合法值包括： restricted：kubelet 仅接受在所请求资源上实现最佳 NUMA对齐的Pod。 besteffort：kubelet会优先选择在 CPU 和设备资源上实现NUMA对齐的Pod。 none（默认）：不启用拓扑管理策略。 singlenumanode：kubelet仅允许在 CPU和设备资源上对齐到同一NUMA节点的Pod。 none 支持在节点池生命周期中修改须知修改topologymanagerpolicy和topologymanagerscope会重启kubelet， 并且以更改后的策略重新计算容器实例的资源分配，这有可能导致已经运行的容器实例重启甚至无法进行资源分配。 topologymanagerscope 设置拓扑管理策略的资源对齐粒度。合法值包括： container （默认)：对齐粒度为容器级 pod：对齐粒度为pod级 container oversubscriptionresource 节点超卖特性。仅 弹性云主机物理机 类型的节点池可见，设置为true表示开启节点超卖特性。 nicminimumtarget 节点池级别的节点最少绑定容器网卡数 默认：10 nicmaximumtarget 节点池级别的节点预热容器网卡上限检查值 默认：0 nicwarmtarget 节点池级别的节点动态预热容器网卡数 默认：2 nicmaxabovewarmtarget 节点池级别的节点预热容器网卡回收阈值 默认：2 容器引擎Containerd配置（仅使用Containerd的节点池可见） devmapperbasesize 单容器可用数据空间 不支持修改 limitcore 核数限制 5368709120 defaultulimitnofile 容器内句柄数限制 1048576 该值大小不可超过节点内核参数nropen的值，且不能是负数。 节点内核参数nropen可通过以下命令获取：sysctl a grep nropen

为何无法使用showmount e ip 查看共享文件目录？ 基于安全因素考虑，目前已禁用该命令。您可以通过登录海量文件服务控制台查看账号下所有的文件系统。 如何避免NFS4.0监听端口被误认为木马？ 问题描述： 在通过NFSv4.0协议挂载NAS文件系统后，会出现一个随机端口（0.0.0.0）被监听的情况，并且无法通过netstat命令确定监听所属的进程，这可能导致误判为文件传输受到木马攻击的情况。 问题原因： 该随机端口是NFSv4.0客户端为了支持Callback而监听的。由于内核参数fs.nfs.nfscallbacktcpport默认值为0，因此NFSv4.0客户端会随机选择一个端口进行监听，而这个随机端口本身并不会带来安全风险。 解决方案： 在挂载文件系统之前，您可以通过配置参数fs.nfs.nfscallbacktcpport来指定一个非零的确定值，以固定该监听端口。命令如下： 说明 请将下方命令中的替换为您希望使用的具体端口号。通过下述操作，您可以固定NFSv4.0客户端的Callback监听端口，避免随机端口的出现，从而减少误判为木马攻击的可能性。 plaintext sudo sysctl fs.nfs.nfscallbacktcpport 为什么写入文件系统的中文字符在客户端显示为乱码？ 问题描述： 在跨平台的环境中，例如在Linux或Windows客户端向海量文件系统写入中文字符（文件名、内容等），可能会导致在另一个平台的客户端显示为乱码的问题。 问题原因： Windows客户端默认使用GBK字符集进行中文编码码，而Linux客户端默认使用UTF8字符集进行中文编解码。当数据写入海量文件系统时，会以各自平台对应字符集编码后的内容进行存储。当在另一个平台上读取这些数据时，由于两个平台使用的字符集不兼容，无法正确解码，导致显示的内容变成了乱码。 解决方案： 建议您在 Windows客户端上使用CIFS协议挂载海量文件服务，在Linux客户端上使用NFS协议挂载文件系统，通过这种方式，可以避免平台不兼容的问题，确保中文字符能够正常显示和解码。

云容器引擎控制台创建Kubernetes自定义授权策略 注意 本步骤展示创建自定义ClusterRole，过程和创建Role类似。您可以根据实际的场景调整相应操作。 第一步：登录天翼云，进入到云容器引擎控制台，在左侧导航栏选择集群。 第二步：在集群管理界面，点击目标集群名称，然后在左侧导航栏，选择安全管理 > 角色。 第三步：在角色页面，点击Cluster Role页签，然后点击创建Cluster Role。 第四步：当点击创建Cluster Role后，会弹出一个YAML面板，您需要在面板上输入自定义策略的YAML内容，点击确定即可创建成功。 第五步：在左侧导航栏，选择安全管理 >授权，进入授权页面，选择子账号下面的用户，点击添加权限。 第六步：进入集群RBAC配置，点击添加权限，选择命名空间，选择自定义，然后选择里之前创建好的Cluster Role，点击下一步。 第七步：授权成功。 第八步：验证。 首先按照下图获取到对应的config，登录到集群主机保存test.config文件中。 查询集群的Pod。 kubectl get pod kubeconfigtest.config 没有权限查看集群的Service，提示forbidden。 kubectl get services kubeconfigtest.config 注意 当前云容器引擎授权管理仅支持自定义Cluster Role角色与集群内RABAC权限的绑定，暂不支持自定义Role角色与集群内RBAC权限的绑定。

本文介绍分布式消息服务RocketMQ入门指引的创建RocketMQ实例内容。 实例介绍 RocketMQ实例订购支持用户自定义规格和自定义特性，可根据业务需要定制相应规格的RocketMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富的用户选项。 操作步骤 1、在产品详情页点击立即开通按钮，或者进入消息管理控制台创建实例，进入订购分布式消息RocketMQ页面。 2、点击订购实例进入相应页面，左上角选择目标资源池。 1）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 2）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、1年。该模式提供自动续期功能。 计费模式为按需计费，则该选项隐藏无需选择。 3）引擎类型目前默认选择RocketMQ引擎，完全兼容开源客户端的高性能低延时的消息队列。ctgmq引擎已调整为白名单特性，如需了解该引擎请联系技术支持。 4）版本号默认4.9，实例创建后，不支持变更版本。建议服务端版本和客户端版本保持一致。 5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署，单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 6）提供集群版和单机版两种规格选择模式，单机版实例面向用户体验和业务测试场景，无法保证性能和高可用。如果需要在生产环境使用RocketMQ实例，建议购买集群版实例。 7）CPU架构支持X86计算和ARM计算两类。 8）选择X86计算，可以选择计算增强型（默认Intel）和海光计算增强型主机；选择ARM计算，可以选择鲲鹏计算增强型主机。通用型规格已调整为白名单特性，如需了解该规格参数请联系技术支持。 9）代理规格：针对不同主机类型，RocketMQ提供不同性能表现的规格参数。 10）代理数量：选择单机版该选项不展示，选择集群版此选择支持116代理选择。 11）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/超高IO两类。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 12）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 13）选择已有子网，若无子网，点击创建跳转到子网页面新增。 14）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 15）填写实例名称，系统默认实例名称，用户可直接修改。 16）选择企业项目，创建新的企业项目可以到IAM配置。 17）创建实例标签，标签由区分大小写的键值对组成，您最多可以设置 20 个标签。 3、 填写完上述信息后，单击“下一步”，进入费用确认页面。 4、 确认实例信息无误后，提交请求。 5、 在实例列表页面，查看RocketMQ实例是否创建成功。创建实例大约需要3到15分钟，此时实例状态为“创建中”。

本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

参数名 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b securityGroupIDList 是 Array of Strings 安全组ID列表，非多可用区资源池不使用该参数，其安全组参数在弹性伸缩配置中填写 ['sgnd1h63d2j8'] recoveryMode 是 Integer 实例回收模式。取值范围：1：释放模式。 1 name 是 String 伸缩组名称 asgroup901f healthMode 是 Integer 健康检查方式。取值范围： 1：云主机健康检查。2：弹性负载均衡健康检查。 1 mazInfo 否 Array of Objects 【Deprecated】多可用区资源池的实例可用区及子网信息。mazInfo和subnetIDList参数互斥，如果资源池为多可用区时使用mazInfo则不传subnetIDList参数 mazInfo subnetIDList 否 Array of Strings 子网ID列表。支持一主多辅，最大支持输入5个网卡信息，顺序第一个网卡信息默认主网卡。mazInfo和subnetIDList参数互斥。 ['a8ffac57354b41afb85353b5cded4957'] moveOutStrategy 是 Integer 实例移出策略。取值范围：1：较早创建的配置较早创建的云主机。2：较晚创建的配置较晚创建的云主机。3：较早创建的云主机。4：较晚创建的云主机。 1 useLb 是 Integer 是否使用负载均衡。取值范围： 1：是 。 2：否。 2 vpcID 是 String 虚拟私有云ID vpc0wvmt7gh02 minCount 是 Integer 最小云主机数，取值范围：[0,50] 0 maxCount 是 Integer 最大云主机数，取值范围：[minCount,2147483647] 50 expectedCount 否 Integer 期望云主机数，取值范围：[minCount,maxCount]，非多可用区资源池不支持该参数 0 healthPeriod 是 Integer 健康检查时间间隔（周期），单位：秒，取值范围：[300,10080] 300 lbList 否 Array of Objects 负载均衡列表，useLb1时必填 lbList projectID 否 String 企业项目ID 0 configID 否 Integer 【Deprecated】伸缩配置ID 375 configList 否 Array of Integers 伸缩配置ID列表，最大支持传入10个伸缩配置。按输入伸缩配置的顺序，决定伸缩配置优先级。注意：该参数与configID不可同时传入，请尽量选择本参数。 [375] azStrategy 否 Integer 扩容策略类型，仅多可用区资源池支持，多可用区资源池必填。取值范围：1：均衡分布。 2：优先级分布。 1

工作组,类似于传统安全中的安全域、业务组等概念。本小节介绍微隔离防火墙工作组。 1.每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。工作组页面可以进行新建、修改、删除操作。 2.工作组页面右上方的搜索框可以对工作组进行过滤，页面中基本属性栏可以进行排序， 下箭头为正序，上箭头为反序。 3.点击按钮，即可在弹出框中进行工作组的建立，一个工作组名称唯一，并选择13个标签。新建的工作组会出现在业务拓扑页面。 4.点击工作组名称可进入工作组详细页面。详细页面分为基础信息、工作负载、策略、授权管理、包管理。 5.工作负载详情页面中的工作负载页面，可查看当前此工作组包含哪些工作负载，在此页面可批量将工作负载调整到外部，也可选择其他组的工作负载调整到本组。 6. 工作组详情页面中的策略页面，可查看作用于该工作组的所有策略，并可以调整本组的策略状态。点击展开可查看策略详情。 7. 工作负载详情页面中的策略页面，可查看与本工作组相关的授权码，即通过本授权码安装的工作负载，均自动位于该工作组。 8.点击授权码，可进入授权码详情页面。 9.工作负载详情页面中的包管理页面，包管理页面用于客户端模块的安装和升级，包含本组所有工作负载。 10.点击其中显示的数字，可显示具体工作负载Agent的版本信息。

本节介绍如何导入、导出漏洞。 约束与限制 仅支持导入.xlsx格式的文件，且文件大小不超过5MB。 态势感知（专业版）最多支持导出9999条漏洞信息。 导入漏洞 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在态势感知（专业版）管理页面选择“风险预防 > 漏洞管理”，进入漏洞管理页面。 5. 在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”、“WebCMS漏洞”、“应用漏洞”任意一个页签，进入对应漏洞管理页面。 6. 在漏洞管理页面中，单击漏洞管理列表上方的“导入”，弹出导入对话框。 7. 在导入漏洞对话框中，单击“下载模板”，并根据模板填写要求填写待导入漏洞信息。 8. 待导入漏洞文件填写完成后，在导入漏洞对话框中，单击“添加文件”，并选择你需要导入的Excel文件。 9. 选择完成后，单击“确认”，完成导入。 导出漏洞 最多支持导出9999条漏洞信息。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在态势感知（专业版）管理页面选择“风险预防 > 漏洞管理”，进入漏洞管理页面。 5. 在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”、“WebCMS漏洞”、“应用漏洞”任意一个页签，进入对应漏洞管理页面。 6. 在漏洞管理页面中，单击漏洞管理列表右上方的，弹出导出漏洞对话框。 7. 在导出漏洞对话框中，配置漏洞参数。 参数名称 参数说明 导出格式 默认导出excel格式的漏洞列表。 自定义导出列 选择导出表格中，需要导出的参数。 8. 单击“确定”。 系统将自动下载漏洞excel表格到本地。

在实例元数据页管理敏感列权限 具体操作流程如下： 1. 登录数据管理服务DMS。 2. 进入数据权限管理页面。在左侧菜单栏依次点击数据资产 >实例管理 ，选择某个实例，点击更多>数据权限管理按钮进入数据权限管理页面。 3. 选择需要授权的敏感列。切换到敏感列授权 页面，点击添加授权按钮进入授权页面，在左侧”请选择“框内勾选想要授权的敏感列的复选框，然后点击中间的”>“按钮，即可将当前页选中的敏感列加入到右侧”已选择“框内。 4. 选择需要授权的用户。从用户名下拉列表中选择至少一个用户。 5. 选择权限的类型。 6. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 7. 确定信息无误后，点击页面右下角的确认授权按钮即可完成授权。 在用户管理页管理敏感列权限 具体操作流程如下： 1. 登录数据管理服务DMS。 2. 进入数据授权页面。在左侧菜单栏依次点击安全协作>用户与角色 ，选择某个用户，点击数据授权 按钮进入数据授权页面；或者在左侧菜单栏依次点击安全协作>团队管理 ，切换到团队成员管理 页面，选择某个团队成员，点击数据授权按钮进入数据授权页面。 3. 搜索需要授权的敏感列。切换到敏感列授权页面，先输入库/模式/实例关键字搜索指定库/模式，然后输入列名、表名关键字搜索敏感列，再点击查询。也可以选择指定的团队、数据库类型、敏感等级对敏感列进行筛选。 4. 选择需要授权的敏感列。在左侧”请选择“框内勾选想要授权的敏感列的复选框，然后点击中间的”>“按钮，即可将当前页选中的敏感列加入到右侧”已选择“框内。 5. 选择权限的类型。 6. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 7. 确定信息无误后，点击页面右下角的确认授权按钮即可完成授权。

参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限，如何授权请参考MySQL迁移中Definer强制转化后如何维持原业务用户权限体系 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。

本章节主要介绍物理机的备份。 操作场景 为了保证数据安全，您可以对物理机中的所有云硬盘（系统盘和数据盘）进行备份，采用这种备份方式可以避免因备份创建时间差带来的数据不一致问题。云主机备份支持基于多云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复物理机数据，最大限度保障用户数据的安全性和正确性，确保业务安全。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。进入物理机列表页面。 3. 在待备份的物理机所在行，单击“更多 > 创建备份”。 系统跳转至“创建云主机备份”页面。 4. 根据界面提示完成如下操作： 选择服务器：在服务器列表中，默认会勾选待创建备份的物理机，保持默认即可。 备份配置：勾选“自动备份”，选择一个备份策略。 说明 将选择的物理机绑定到备份策略中，按照备份策略进行自动备份。 如果选择的物理机已绑定其他策略，在选择新的备份策略后，服务器会自动从原备份策略解绑，并绑定到新的备份策略。 您也可以勾选“立即备份”，选择的物理机将立即进行一次备份。 输入备份名称和描述，如果是首次备份，建议启动全量备份。

本章节介绍如何编辑敏感数据规则组 您可以通过以下操作进行编辑敏感数据规则组： 修改“则组名称”以及“规则组描述”。 添加敏感数据规则。 移除敏感数据规则。 前提条件 已添加敏感数据规则组。 敏感数据规则组的“规则组类型”为“自定义”。 约束条件 DSC内置的敏感数据规则组不可编辑。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，并选择“规则组”页签，进入规则组列表。 5. 在目标敏感规则组所在行的“操作”列，单击“编辑”，系统弹出编辑规则组的对话框。 6. 在“编辑规则组”对话框中编辑规则组参数，相关参数说明如下表所示。 参数 参数说明 规则组名称 您可以自定义敏感数据规则组名称。 规则组名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 规则组名称不能与已有的规则组名称重复。 规则组描述 该规则组的备注信息，用于区别其他规则组。 规则添加 可选参数。勾选需要添加的敏感数据规则。 如果您想移除已选的规则，可在右边已选择的规则框中，找到目标规则，并在其所在行的“操作”列，单击移除。 7. 单击“确定”，完成规则组的编辑。

本节介绍服务器安全卫士（原生版）服务器列表。 您可以在服务器列表页面查看所有主机资产的防护状态和服务器详细信息。 注意 仅支持对Agent状态 为“在线”，防护状态为“防护中”的云主机进行检测。云主机离线后将不会进行检测。 查看服务器防护状态 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. （可选）选择业务分组，服务器列表将只展示该分组中的服务器。 4. 服务器列表包括以下字段：服务器、操作系统、地域、服务器状态、Agent状态、防护状态、风险状态、配额版本。 参数 说明 服务器 包括主机名称、实例名称、私网IP、公网IP。 操作系统 服务器的操作系统。 地域 服务器所属地域。 服务器状态 包括已关机、运行中。 Agent状态 包括在线、离线。 在线：Agent控制通路和数据通路均连接正常。 离线：Agent控制通路或数据通路连接异常。 防护状态 包括防护中、未防护。 防护中：表明该服务器处于正常防护中，此时Agent状态为在线且已经为该台服务器开启防护。防护中又分为“高级防护”和“免费防护”。 未防护：表明该服务器未开启防护或Agent已离线。 风险状态 包括安全、风险、未知3种状态。 无风险：表明该服务器无基线、漏洞、入侵和网页篡改的风险。 风险：表明该服务器有基线、漏洞、入侵和网页篡改的一种或几种风险。 未知：表明该服务器未开启防护或Agent已离线。 配额版本 服务器使用的防护配额版本，包括免费版、企业版、旗舰版。 Agent版本 服务器当前安装的Agent版本，版本过低时会显示为“升级”提示按钮。

本文为您介绍租户集群为自建集群的集群组件安装步骤。 注意事项 集群组件在运行时会挂载k8s node宿主机的/data（非crio）和/root（crio）目录，请确保目录的权限正常。 请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 获取部署脚本 1. 进入容器安全卫士产品控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”，进入组件安装页面。 3. 单击“集群组件部署”，进入集群组件部署页面。 4. 选择“是否为天翼原生k8s集群”，此处选择“自建集群”；选择集群所在的资源池。 5. 下载镜像。 1. 选择容器运行环境（支持docker、containerd、CRIO）。 2. 选择集群CPU架构（支持X86、ARM架构）。 3. 单击“下载镜像Tar包”下载镜像Tar包到本地，然后加载至您的私有仓库中（请不要修改镜像名称）。 Tar包中包含4个镜像，分别为： library/dosecagent:20241224T19.31.05V5.2.0release298e83b85cc6c5bc,library dosechosttool:alpineV3.8,library dosecscanner:20250106T17.38.12V5.2.0releasebd003dd3e87a1881,library dosecserver:20250107T11.36.00V5.2.1sp891.1release287a57d168109d92 6. 生成部署脚本。 1. 选择集群所在的VPC、VPC子网，输入私有仓库的地址、账号、密码。 2. 单击“生成yaml文件”，并将yaml文件保存到本地。 注意 系统会根据您的输入自动生成yaml。 容器安全卫士不会保存您的私有仓库用户名和密码以保证安全。 下载后的包，内容请勿进行修改。 下载的脚本仅能用于一个k8s集群使用，若在不同集群重复使用可能造成数据异常。

短信发送成功了，也已经发返回成功的状态码，但用户手机接收不到是什么原因？ 可能有如下原因：建议手机重启，手机短信存储空间已满，建议删除一些无用短信后再查看是否接收正常；手机是双卡双待，建议将卡取出交换一下卡槽，另外，手机是否安装了安全软件，安全软件将短信拦截到垃圾中心。 客户调用API出现报错如何处理？ 客户调用API接口错误返回状态码，以3开头的请查看状态码详见：云通信错误码。 错误码报错30037、30038、30039、30040、30041短信发送超限应如何解决？ 处理办法：该错误码是指触发短信默认流控限制。具体流控限制如下，请遵循以下限制发送短信：该客户对同一个手机号码发送短信默认限制为支持2条/分钟，5条/小时，10条/天。客户可通过控制台消息配置发送频率修改。 云通信AK/SK如何获取？ 登录天翼云官网，前往个人中心在安全设置中查看用户AK/SK。 给用户发送短信后，如何获取用户的短信上行回调、时间回调、状态回调？ 登录控制台消息配置栏里进行URL的输入配置，通过接口可直接获取上行回调、事件回调、状态回调，详情参考：回调消息简介与配置流程。 使用群发助手时，当一批群发手机号中出现个别手机号错误后，目前发送的机制是什么样的？ 在批量发送时，会自动提示手机号格式错误，请删掉格式错误的手机号。在发送中出现某个手机号发送失败，不影响其他手机号的正常发送。

本文主要从四个方面介绍了花卷慧办产品优势。 多模态AI智能引擎 通过会议、文档、个人助力三大高频场景，提供会议纪要、智能总结、智能体等丰富的 AI 功能，让 AI 从“提效工具”升级为“智能工作伙伴”，实现解放生产力与激发创造力的双重目标。 一体化协同平台 基于零信任网络、终端管控能力，集成会议、云空间、消息、邮件、日程等协作工具，同时支持接入由服务商代开发及企业自建的应用，为用户终结应用切换，打造唯一工作入口。 澎湃算力 基于息壤智算服务底座，支持企业级高性能需求，无论业务规模如何增长，始终享受极致流畅、不卡顿的稳定体验。 安全办公 构建覆盖终端、网络、数据的一站式纵深防御体系，全栈信创自主可控筑牢数字资产壁垒。

本章节介绍云原生API网关的优势。 高性能 云原生架构，Nginx + LuaJIT内核，低内存占用，事件驱动架构可高效支持 高吞吐、低延迟业务场景。 高可用 集群 & 多可用区部署，内置实时健康检查、流量管控、熔断、自动故障转移等能力，上游服务异常时，可自动切换流量或降级处理，确保业务连续性。 强扩展性 丰富的插件列表，支持热插拔，无需重启网关即可动态调整 API 处理能力。 易用性 开箱即用，提供可视化配置界面，简化API运营，降低使用门槛。 生态集成 深度融合天翼云微服务、可观测产品，构建一体化云原生API生态，助力企业快速构建数字化能力。 AI 代理 内置AI网关能力，提供 安全、高效、可扩展的AI访问和管理方案，加速企业AI业务落地。

问题描述 远程连接windows云服务器时提示：要远程连接，你需要具有通过远程桌面服务进行登录的权限。 处理方法 1. 打开cmd运行窗口，并输入“gpedit.msc”。 2. 单击“确定”，打开“本地组策略编辑器”。 3. 选择“计算机配置 > windows设置 > 安全设置 > 本地策略 > 用户权限分配”。 a. 查找并双击“允许通过远程桌面服务登录”。确保已添加“Administrators”和“Remote desktop users”。 b. 查找并双击“拒绝通过远程桌面服务登录”。如果有Administrator帐号，则需要删除。

枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"scaRuleId": 1, "scaName": "Unix系统基线检测"} 响应示例 {"message": "success", "traceId": "asaadasd11111", "statusCode": "200", "error": "CTCSSCN000000", "returnObj": {"agents": 1, "totalPassingRate": "1", "totalTitle": 1, "totalPassed": 1, "totalFailed": 1, "baseScaMongoDtoPageInfo": {"total": 100, "list": [{"id": "CtyunLinuxBenchmarkTemplate.json", "passingRate": "0.92", "failed": 1, "relationAgent": 1, "itemTotal": 1, "file": "CtyunLinuxBenchmarkTemplate.json", "passed": 1, "strategyId": 1, "timestamp": "20200101 00:00:00", "scaId": 1, "name": "天翼云Linux操作系统安全配置基线", "riskInfo": [{"riskLevel": 1, "riskCount": 1}]}], "pageNum": 1, "pageSize": 10}}} 状态码 请参考 状态码 错误码 请参考 错误码

本节介绍了清除Windows弹性云主机的密码的操作场景、操作步骤。 操作场景 为安全起见，建议用户获取初始密码后，执行清除密码操作，清除系统中记录的初始密码信息。 该操作不会影响弹性云主机的正常登录与运行。清除密码后，系统不能恢复获取密码功能，因此，请在执行清除密码操作前，记录弹性云主机密码信息。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表，选择待获取密码的弹性云主机。 5. 选择“操作 > 更多”，单击“清除密码”。 系统弹窗提示用户是否确认清除密码。 6. 单击“确定”，执行清除密码操作。

冷启动优化最佳实践 相比于其他函数上传代码方式部署，容器镜像会带来额外的数据下载和解压的时间。为了更好的冷启动体验，推荐以下最佳实践： 容器镜像地址推荐使用与函数计算同地域的VPC镜像地址，减少镜像拉取延时。 镜像进来裁剪体积，基于类似Alpine或Ubuntu这样的最小镜像或者是其他镜像中精简版本构建自定义镜像。仅保留必要的依赖。 容器镜像配合预留实例一起使用。 在资源允许和线程安全的情况下，搭配使用单实例多并发功能，可避免不必要的冷启动，同时降低成本。更多信息，请参见配置单实例并发度。 计费说明 容器镜像函数的计费项与其他类型函数的计费项一致。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您通过企业交换机可以建立云下IDC和云上VPC之间的二层网络。 云专线（Direct Connect, DC） 通过云专线在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 虚拟专用网络（Virtual Private Network, VPN） 通过VPN在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 统一身份认证服务（Identity and Access Management, IAM） 针对云上的企业交换机资源，您可以通过IAM进行权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。

本章节主要介绍翼MapReduce的删除用户操作。 操作场景 根据业务需要，管理员应在FusionInsight Manager删除不再使用的系统用户。 说明 用户删除后，已经发放的TGT在24小时内仍然有效，用户可以使用该TGT继续进行安全认证并访问系统。 如新建用户与已删除用户同名，则会继承已删除用户的拥有的所有Owner权限。建议根据实际业务需求决定是否删除该用户持有的资源。例如HDFS上的文件。 默认的admin用户无法删除。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要删除用户所在行，选择“更多 > 删除”。 说明 如果需要批量删除多个用户，勾选需要删除的用户后直接单击“删除”即可。 4. 在弹出的窗口单击“确定”完成删除操作。

本章节向您主要介绍VPN连接服务的主要优势。 高安全 采用专业设备，基于IKE和IPsec对传输数据加密，提供了电信级的高可靠性机制，从硬件、软件、链路三个层面保证VPN服务的稳定运行。 高可用 采用主备模式，正常情况下VPN网关和对端网关通过主连接进行通信；当主连接发生故障时，VPN连接会自动切换到备连接；故障恢复后，VPN连接会自动切回到主连接。 无缝扩展资源 将用户本地数据中心与云上VPC互联，业务快速扩展上云，实现混合云部署。 连通成本低 利用Internet构建IPsec加密通道，使用费用相对云专线服务更便宜。 即开即用 部署快速，实时生效，在用户数据中心的VPN设备进行简单配置即可完成对接。

WinSCP工具可以实现在本地与远程计算机之间安全地复制文件。 1. 通过WinSCP官网，下载 WinSCP 客户端并安装。 2. 启动WinSCP，启动后界面如下： 填写说明： 协议：选填 SFTP 或者 SCP 均可。 主机名：云主机的公网 IP。登录管理控制台即可查看对应云主机的公网 IP。 端口：默认 22。 用户名：root。 密码：购买云主机设置的密码。 3. 单击“登录”，进入 “WinSCP” 文件传输界面。 4. 登录成功之后，您可以选择左侧本地计算机的文件，拖拽到右侧的远程云主机，完成文件上传到云主机。