内网DNS支持更改主机DNS的操作,本文为您介绍如何更改主机DNS并使内网DNS配置生效。 为实现内网域名在 VPC 上的正常解析，用户需要将云主机内的 DNS 改成内网 DNS 服务地址。 查看内网DNS地址 1. 在内网 DNS 的列表中，可以看到如下红框内的提示。 2. 点击“查看列表”，可以看到内网DNS地址。 修改Linux云主机内DNS地址 1. 登录Linux弹性云主机。 2. 执行以下命令，打开resolv.conf文件。 vi /etc/resolv.conf 3. 按“i”键进入编辑模式。 4. 将“nameserver”修改为当前云主机所在VPC的内网DNS IP地址，按“ESC”后输入“：wq”保存配置。 修改Windows云主机内DNS地址 以Windows server 2016操作系统为例，以用户名Administrator，登录Windows弹性云主机。 1. 在任务栏的右下角，右击网络连接的图标，单击“打开网络和共享中心”。 2. 在左侧导航栏，单击“更改适配器设置”。 3. 双击“本地连接”。 4. 单击左下角的“属性”。 5. 选择“Internet 协议版本（TCP/IP）”，并单击“属性”。 6. 选择“使用下面的DNS服务器地址”，并根据界面提示填写当前云主机所在VPC的内网DNS IP地址。

kubectl describe volumesnapshot csidynamicsnapshotblock1 Name: csidynamicsnapshotblock1 Namespace: default Labels: snapshotSize0 Annotations: API Version: snapshot.storage.k8s.io/v1 Kind: VolumeSnapshot Metadata: Creation Timestamp: 20250826T06:02:27Z Finalizers: snapshot.storage.kubernetes.io/volumesnapshotassourceprotection snapshot.storage.kubernetes.io/volumesnapshotboundprotection snapshot.storage.kubernetes.io/volumesnapshotboundprotection Generation: 1 Managed Fields: API Version: snapshot.storage.k8s.io/v1 Fields Type: FieldsV1 fieldsV1: f:metadata: f:annotations: .: f:kubectl.kubernetes.io/lastappliedconfiguration: f:spec: .: f:source: .: f:persistentVolumeClaimName: f:volumeSnapshotClassName: Manager: kubectlclientsideapply Operation: Update Time: 20250826T06:02:27Z API Version: snapshot.storage.k8s.io/v1 Fields Type: FieldsV1 fieldsV1: f:metadata: f:finalizers: f:status: .: f:boundVolumeSnapshotContentName: f:creationTime: f:readyToUse: f:restoreSize: Manager: snapshotcontroller Operation: Update Time: 20250826T06:02:29Z API Version: snapshot.storage.k8s.io/v1 Fields Type: FieldsV1 fieldsV1: f:metadata: f:labels: .: f:snapshotSize: Manager: Gohttpclient Operation: Update Time: 20250826T06:15:09Z Resource Version: 14510083 UID: 148cbe18108a47ae8ef14d3e2dec5d87 Spec: Source: Persistent Volume Claim Name: csipvclocal2 Volume Snapshot Class Name: csidynamicsnapclassblock Status: Bound Volume Snapshot Content Name: snapcontent148cbe18108a47ae8ef14d3e2dec5d87 Creation Time: 20250826T06:02:29Z Ready To Use: true Restore Size: 22Gi Events: Type Reason Age From Message Warning SnapshotFinalizerError 43m snapshotcontroller Failed to check and update snapshot: snapshot controller failed to update default/csidynamicsnapshotblock1 on API server: Operation cannot be fulfilled on volumesnapshots.snapshot.storage.k8s.io "csidynamicsnapshotblock1": the object has been modified; please apply your changes to the latest version and try again Normal CreatingSnapshot 43m snapshotcontroller Waiting for a snapshot default/csidynamicsnapshotblock1 to be created by the CSI driver. Normal SnapshotCreated 43m snapshotcontroller Snapshot default/csidynamicsnapshotblock1 was successfully created by the CSI driver. Normal SnapshotReady 43m snapshotcontroller Snapshot default/csidynamicsnapshotblock1 is ready to use. Normal SnapshotCreated 43m snapshotcontroller Snapshot default/csidynamicsnapshotblock1 was successfully created by the CSI driver. Normal SnapshotReady 43m snapshotcontroller Snapshot default/csidynamicsnapshotblock1 is ready to use.

本节为您介绍如何关联/解关联VPC。 在关联VPC前，请确保已经为内网域名添加相应内网域名解析记录，具体操作请参见创建解析记录。 说明 VPC希望私网域名生效的话，除了关联VPC，还需要VPC内主机修改DNS指向内网DNS server。具体步骤您可参见 内网域名关联VPC后，在被关联VPC内的ECS上，您的内网域名将按照内网域名解析记录被解析，其公网解析记录则会被覆盖。 说明 VPC环境外，该内网域名的公网解析记录不受影响。通过为内网域名添加内网域名解析记录，可以防止记录为空的内网域名将需要使用的公网解析覆盖掉，造成异常。 假设您添加了如下内网域名example.com，并为其添加了相应内网域名解析记录。此时，您可以将该内网域名关联到VPC。关联VPC后，对应VPC内的ECS访问example.com下的域名时，会使用您为example.com添加的内网域名解析记录，而example.com在公网的解析将会被完全覆盖。 操作步骤 1. 已创建内网域名，并登录到内网DNS控制中心页面。 2. 可以看到已创建好的域名记录，在目标记录行“操作”列单击“关联VPC”。 3. 您可以在“VPC”下拉勾选目标VPC来关联VPC。 也可以在“VPC”下拉取消勾选目标VPC来解关联VPC。 关联、修改关联VPC时，需要至少选中一个VPC。 4. 填写完成后，点击“确定”完成关联VPC。 5. 可以在“已关联的VPC”看到VPC关联情况。

本节介绍服务器安全卫士（原生版）产品优势。 统一管理和运维 天翼云控制台上统一查看服务器资产和各项风险，快速构建安全可视化运维平台。自动收集云上服务器数据，实现云上安全威胁实时管控，让安全没有死角。 三位一体全面防护 提供事前预防、事中防御、事后检测的全面防护，全面降低服务器入侵风险。 防护资源占用少 正常的系统负载情况下，CPU占用率低，内存占用小，消耗极低；在系统负载过高时，Agent会主动降级运行，严格限制对系统资源的占用，确保业务系统正常运行。 用户使用方便快捷 无需登录云主机进行安装，简单配置防护策略即可实现防护；全部操作都有可视化界面，方便用户使用；平台级产品，用户无需切换资源池即可查看全部情况。 防护机制安全可靠 有先进的检测技术和丰富的检测库，提供精准防御，做到全方位安全防护；对Agent进程加壳防护，防止被篡改，采用加密传输与服务端通信，保证数据安全。通过5000+台服务器的运行实践，稳定性高达99.9%，2分钟内离线自动重启机制，保障系统始终处于检测状态。

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

本文为您介绍VPC终端节点与天翼云其他云服务之间的关系。 VPC终端节点可以与其他云服务协同工作，实现不同云资源之间的高效通信。 相关服务 交互功能 相关内容 虚拟私有云 用户可以将其VPC内的服务资源配置为终端节点服务。 配置同帐号跨VPC通信的终端节点 配置不同帐号跨VPC通信的终端节点 VPN连接 通过VPN连接或云专线，您可以建立本地数据中心与VPC之间的连接，并使用VPC中的终端节点来通过内网访问云服务。 配置访问ZOS服务内网地址的终端节点 云专线 通过VPN连接或云专线，您可以建立本地数据中心与VPC之间的连接，并使用VPC中的终端节点来通过内网访问云服务。 配置访问ZOS服务内网地址的终端节点 对象存储ZOS 由系统配置为终端节点服务，可以购买终端节点访问该终端节点服务。 购买终端节点 内网DNS 由系统配置为终端节点服务，可以购买终端节点访问该终端节点服务。 购买终端节点 弹性负载均衡（内网） 支持将用户私有服务创建为终端节点服务，可以购买终端节点访问该终端节点服务。 创建终端节点服务 弹性云主机 支持将用户私有服务创建为终端节点服务，可以购买终端节点访问该终端节点服务。 创建终端节点服务 物理机 支持将用户私有服务创建为终端节点服务，可以购买终端节点访问该终端节点服务。 创建终端节点服务 虚拟IP 支持将用户私有服务创建为终端节点服务，可以购买终端节点访问该终端节点服务。 创建终端节点服务

本节为您介绍 自建PostgreSQL迁移至天翼云CTRDS PostgreSQL任务配置。 目标端配置请参照自建PostgreSQL迁移至自建PostgreSQL。

您可以随时手动续订包年包月的DDoS高防（边缘云版）服务，本文介绍手动续订操作方式。 续订规则 用户随时可以手动续订包月包年且未退订、未释放的资源，延长相关资源的使用时间。 手动续订方式 官网控制中心产品视图中找到需要续订的产品，点击“手动续订”，根据使用需要调整续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣。 手动批量续订 用户可以一次性手动续订多个包月包年且未退订、未释放资源，最多一次性续订50个资源。 批量续订方式：进入控制中心费用中心续订管理页面，通过筛选资源到期时间、筛选产品类型等，找到并勾选所需续订的多个资源，点击“批量续订”。 下单前如需确认资源详情，可点击右侧的下拉键查看资源ID、配置等。 批量续订的多个资源续订周期相同，如需对不同资源续订不同周期，需要分别下不同的续订订单。

本章节主要介绍如何创建分布式消息服务RabbitMQ实例。 RabbitMQ是一款基于AMQP协议的开源服务，用于在分布式系统中存储转发消息，服务器端用Erlang语言（支持高并发、分布式以及健壮的容错能力等特点）编写，支持多种语言的客户端，如：Python、Ruby、.NET、Java、JMS、C、PHP、ActionScript、XMPP、STOMP、AJAX等。 AMQP，即Advanced Message Queuing Protocol，高级消息队列协议，是应用层的一个开放标准协议。 前提条件 在创建RabbitMQ专享版实例前，需要保证存在可使用的虚拟私有云。创建虚拟私有云的方法，请参考《虚拟私有云用户指南》。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 为RabbitMQ授权 如果RabbitMQ实例需要开启IPv6功能，在创建实例前，需要授予RabbitMQ操作VPC终端节点的权限，否则会导致创建失败。 在IAM控制台创建委托，委托参数如下，其他参数保持默认，创建委托的具体步骤请参见《统一身份认证服务 用户指南》的“委托 > 委托其他云服务管理资源”章节。 委托名称：dmsadmintrust 委托类型：云服务 云服务：分布式消息服务 持续时间：永久 委托将拥有所选策略：DMS VPCEndpointAccess 操作步骤 步骤1 登录管理控制台。 步骤2 在管理控制台右上角单击，选择区域资源池。 说明 此处请选择与您的应用服务相同的区域。 步骤3 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务>RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤4 单击页面右上方的“购买RabbitMQ实例”。 每个项目默认最多可以创建100个RabbitMQ专享版实例，如果您想创建更多实例，请联系客服申请增加配额。 步骤5 选择“计费模式”、“区域”、“项目”和“可用区”。 步骤6 设置“实例名称”和“企业项目”。 步骤7 设置实例信息。 1. 版本：RabbitMQ的版本号，当前仅支持3.8.35。 2. 实例类型：支持“单机”和“集群”。 单机：表示部署一个RabbitMQ代理。 集群：表示部署多个RabbitMQ代理，实现高可靠的消息存储。 3. 鲲鹏实例：“创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 4. 规格：根据实际情况选择规格。 说明 为了保证服务的稳定可靠，RabbitMQ采用了默认的40%高水位配置。当内存占用率到达40%高水位后，会触发流控，生产者发送消息会被阻塞。为了避免高水位的产生，请及时消费积压在队列中的消息。 5. 代理个数：根据实例情况选择代理个数。 6. 存储空间：选择RabbitMQ实例的磁盘类型和存储空间总量。 单机实例的取值范围：100GB ~ 30000GB 集群实例的取值范围为：100GB 代理数 ~ 30000GB 代理数 7. 虚拟私有云：选择已经创建好的虚拟私有云和子网。 虚拟私有云可以为您的RabbitMQ专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 说明 虚拟私有云和子网在RabbitMQ实例创建完成后，不支持修改。 子网开启IPv6后，RabbitMQ实例支持IPv6功能。 实例创建成功后，不支持修改IPv6开关。 使用内网IPv6方式连接实例需要通过VPC终端节点实现，使用期间会产生VPC终端节点的费用。 8. 安全组：在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 图1 设置实例信息 步骤8 设置连接RabbitMQ实例的用户名和密码。 步骤9 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤10 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 您可以选择是否打开公网访问开关。 如果选择了开启，表示访问RabbitMQ实例可以通过弹性IP访问。这时页面会显示“弹性IP地址”，在“弹性IP地址”区域，您可下拉选择已有的弹性IP。另外，您可单击右侧的“创建弹性IP”，跳转到网络控制台的弹性IP页面，购买弹性IP。 图2 购买RabbitMQ实例时公网访问设置 说明 公网访问与VPC内访问相比，可能存在网络丢包和抖动等情况，且访问时延有所增加，因此建议仅在业务开发测试阶段开启公网访问进行调试。 如果用户在虚拟私有云的服务页面手动解绑定或删除EIP，相应RabbitMQ实例的公网访问功能会自动关闭。 2. 设置“SSL”。 客户端连接实例时SSL认证的开关。开启SSL，则数据加密传输，安全性更高。 SSL开关在实例创建完成后不支持修改，请明确是否需要开启 。 3. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击右侧的“查看预定义标签”，系统会跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个RabbitMQ实例最多支持设置20个不同标签。 4. 设置实例的描述信息。 步骤11 填写完上述信息后，单击“立即购买”，进入“规格确认”页面。 步骤12 确认实例信息无误且阅读并同意《分布式消息服务RabbitMQ服务等级协议》、《天翼云分布式消息服务协议》后，提交请求。 步骤13 在实例列表页面查看实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的RabbitMQ实例，然后重新创建。如果重新创建仍然失败，请联系客服。

实例数量 实例的数量指的是Pod的数量，设置Pod的数量有2种方式 手动设置：我们可以手动指定Pod的数量是多少，默认为1，这种方式下Pod的数量在我们手动更新之前是不会改变的 自动设置：这种方式下，Pod的数量会根据Pod的资源使用情况自动的调整，因此，自动伸缩需要我们设置Pod自动调整数量的规则以及自动调整数量的范围 伸缩规则：即告诉Pod通过什么规则来自动调整数量，目前我们可以通过cpu的使用百分比、cpu的使用量、内存的使用百分比、内存的使用量这四个规则来自动调整Pod数量 伸缩范围：即告诉Pod在哪个范围内自动调整数量，自动调整数量时不会超出这个范围 容器参数设置 镜像 可以添加多个容器在一个Pod中 容器的名称、镜像、镜像版本号是必填参数 镜像拉取策略： IfNotPresent：仅当主机上没有没有指定的镜像时才去拉取 Always：不管主机上是否有指定镜像，都会重新拉取 Never：从不拉取镜像 挂载点 如果有多个容器，那么数据卷可以挂载到任意容器的挂载点上 挂载点与上面介绍的数据卷是一一对应的关系 容器路径：必填且不能为/，表示要将数据卷挂载到容器里的哪个路径下 子路径：选填且不能以/开头，表示仅将数据卷中的子对象项挂载到容器路径下，子对象可以理解为目录的子目录或者ConfigMap的一个data项

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性云主机 用户若需要自己客户应用接入RocketMQ发送、消费消息，需先购买弹性云主机并确保和RocketMQ实例在同一VPC下。创建操作说明请参见创建弹性云主机。 其他工具 下载安装工具Eclipse3.6.0以上版本或者IntelliJ ，JDK 1.8.111以上版本。 生产消费验证涉及的SDK如下： rocketmq引擎版本：推荐使用的社区版Java SDK版本为4.9.3，请访问Apache RocketMQ官网下载。 ctgmq引擎版本（已调整白名单特性）：点击ctgmqSDK直接下载。

开启安全认证 Nacos引擎专享版默认关闭安全认证。可通过控制台开启安全认证。 说明 开启安全认证后，控制台仅能看到有权限访问的命名空间；同时没有配置用户名密码的客户端将无法访问Nacos实例，请谨慎操作。 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待开启安全认证的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 单击“开启安全认证”。 步骤 6 在弹出框中单击“确定”，该引擎开启安全认证成功。 关闭安全认证 说明 关闭安全认证后，无法对各个用户进行权限控制，客户端无需密码即可访问Nacos实例，访问控制台可以看到全部的命名空间，请谨慎操作。 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待关闭安全认证的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 单击“关闭安全认证”。 步骤 6 在弹出框中单击“确定”，待该引擎的状态变为“可用”时，该引擎关闭安全认证成功。

内网DNS产品广泛应用于多种场景，本文带您更快了解内网DNS经典应用场景。 企业内部访问的网站 对于那些仅在企业内部使用、不对外公开访问的网站，企业可以通过使用内网DNS来提供域名解析服务。内网DNS能够在企业内部解析域名与IP地址之间的映射关系，满足企业内部系统的域名解析需求。 节约公网带宽 为了解决企业内部用户频繁访问外网网站导致公网带宽负担增加的问题，可以在企业内部部署本地DNS服务器来优化域名解析流程。通过搭建本地DNS服务器，减少对公网DNS服务器的请求次数，节约公网带宽，并提高域名解析的效率。 用户上网行为管理 企业无需额外购买专门的防火墙或其他设备，可以通过内网DNS过滤来管理内部用户的上网行为。通过限制访问某些特定域名，如淘宝等网站，可以提高工作效率、保护网络安全和节约带宽资源。 云服务器主机名管理 场景说明 当部署多台云服务器时，可以根据云服务器的位置、用途和所有者等信息来规划主机名，并使用主机名为云服务器添加内网解析记录，可以直观的获取云服务器的信息，方便日常管理和维护。例如，您在某区域的某个可用区部署了20台云主机，其中10台用于网站A，10台用于网站B，则可以采用以下方式规划主机名和内网域名： 网站A：weba01.region1.az1.com~weba10.region1.az1.com 网站B：webb01.region1.az1.com~webb10.region1.az1.com 云服务器切换

若需配置钉钉群接收告警，或在联系人模块中添加钉钉机器人，需先在目标钉钉群内获取自定义机器人的 Webhook 地址。本文将详细介绍获取该地址的具体操作流程。 前提条件 已在钉钉中创建需要接受告警的钉钉群。 操作步骤 1. 进入PC版钉钉，打开您想要添加报警机器人的钉钉群，并单击右上角的群设置图标。 2. 在群设置 面板中点击机器人添加机器人。 3. 在智能群助手 面板单击添加机器人 ，继续单击添加机器人 ，然后选择添加自定义。 4. 在机器人详情 对话框单击添加。 5. 在添加机器人对话框中执行以下操作。 1. 设置机器人头像和名字。 2. 安全设置 选中自定义关键词，设置关键词为告警。 3. 选中我已阅读并同意《自定义机器人服务及免责条款》。 4. 单击完成。 6. 复制生成的机器人Webhook地址，然后单击完成 。 相关文档 获取到自定义机器人Webhook地址之后，您可以参考【钉钉机器人】，创建接收告警的钉群对象。

介绍分布式消息服务RabbitMQ创建虚拟主机操作内容。 背景信息 虚拟主机，用作逻辑隔离，分别管理各自的交换器、队列和绑定，使得应用安全地运行在不同的虚拟主机上，相互之间不会干扰。一个实例下可以有多个虚拟主机，一个虚拟主机里面可以有若干个交换器和队列。生产者和消费者连接分布式消息服务 RabbitMQ 版需要指定一个虚拟主机。 操作步骤 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“虚拟主机”到达虚拟主机管理页面，点击“新建”按钮。 （5）点击“新建”后出现以下创建，输入虚拟主机名称后点击确定。 注意：设置虚拟主机名称时，有如下要求： 虚拟主机名称只能包含字母、数字、短划线（）、下划线（）。 虚拟主机名称长度限制在1~64个字符。 虚拟主机创建成功后，Vhost名称不可修改。

本文向您介绍Windows云主机如何配置多用户登录(Windows 2012)。 操作场景 本文档指导您配置Windows云主机实现多用户登录，以Windows Server 2012标准版R2中文版操作系统的云主机为例。 说明 远程桌面授权仅支持120天，过期后将因缺失远程桌面授权服务器许可证而导致多用户登录无法使用，需激活远程桌面授权。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考 操作须知 请确保云主机带宽资源充足，避免由于多用户同时操作负载过高导致云主机卡顿或登录异常。 所在安全组入方向已开放云主机登录使用的端口，默认使用3389端口。 云主机已经绑定弹性公网IP。 配置多用户登录后，不同的用户登录云服务器操作互相之间无影响。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考多用户登录Windows主机时无法打开浏览器。 操作步骤 步骤一：安装桌面会话主机和远程桌面授权。 1. 登录弹性云主机。 2. 在操作系统界面， 打开“服务器管理器”，单击“添加角色和功能”。 3. 保持默认参数，单击“下一步”。 4. 左侧导航栏选择“安装类型”，选择“基于角色或基于功能的安装”，单击“下一步”。 5. 左侧导航栏选择“服务器选择”，选择“从服务器池中选择服务器”，单击“下一步”。 6. 左侧导航栏选择“服务器角色”，选择“远程桌面服务”，单击“下一步”。 7. 左侧导航栏选择“功能”，在此页面保持默认参数，单击两次“下一步”。 8. 左侧导航栏选择“角色服务”，在此界面依次选择“远程桌面会话主机”和“远程桌面授权”，在弹出的窗口单击“添加功能”，单击“下一步”。 9. 确认在云主机上安装的角色，单击“安装(I)”。 10. 安装完成后，重启云主机。 第二步：允许多用户远程连接云主机。 1. 在运行里输入 gpedit.msc，打开计算机本地组策略 2. 选择“计算机配置>管理模板>windows组件>远程桌面服务>远程桌面会话主机>连接”，并依次设置“允许用户通过使用远程桌面服务进行远程连接”、“限制连接数量”和“将远程桌面服务用户限制到单独的远程桌面” 3. 右键单击“编辑”，设置“允许用户通过使用远程桌面服务进行远程连接”设置为“已启用”。 4. 右键单击“编辑”，设置“限制连接数量”选择为已启用，可根据具体数量设置，这里示例将允许的RD最大连接数设置为999。 5. 右键单击“编辑”，“将远程桌面服务用户限制到单独的远程桌面”选择已启用，或者已禁用，请注意此处已启用和已禁用的区别。本示例勾选“已启用”。 说明 l 已启用：多个用户同时登录的多用户登录，不能单个用户多登录 例如：配置为已启用，用户A、用户B、用户C可以分别使用账号A、账号B、账号C同时登录云主机，但是不支持用户A、用户B、用户C使用同一个账号同时登录云主机 l 已禁用：单个用户同时多个登录的多用户登录 例如：配置为已禁用，用户A、用户B、用户C可以使用同一个账号同时登录云主机 6. 运行cmd，输入 gpupdate /force，强制执行本地组策略，重启服务器，整个配置过程完成。 第三步：配置新用户并加入远程桌面用户组。 1. 在运行中输入 lusrmgr.msc，打开本地用户和组，进行新用户创建。 2. 单击“用户”，在空白处右键选择新用户。 3. 填写新用户信息，单击“创建”。 4. 单击“组”，双击打开Remote Desktop Users组，单击“添加”。 5. 进入选择用户界面，单击“高级”。 6. 在新的选择用户界面，单击“立即查找”，在下方搜索结果中选中需要远程登录的用户，并单击“确定”，完成添加，即可远程登录。 7. 单击“确定”，添加用户到Remote Dsektop Users组。

本节介绍了节点重置的用户指南。 节点重置是指将Kubernetes集群中的节点恢复到初始状态。这通常用于节点出现故障时的修复操作。在云容器引擎控制台节点功能中，您可以通过控制台来重置节点。 注意事项 重置节点将对节点操作系统进行重置安装，节点上已运行的工作负载业务将会中断，请在业务低峰期操作。 节点重置后系统盘挂载kubelet、containerd的数据盘将会被清空，重置前请事先备份重要数据。 用户节点如果有自行挂载了数据盘，重置完后会清除挂载信息，请事先备份重要数据，重置完成后请重新执行挂载行为，数据不会丢失。 节点上的工作负载实例的IP会发生变化，但是不影响容器网络通信。 操作过程中，后台会把当前节点设置为不可调度状态。 节点重置会清除用户单独添加的 K8S 标签和污点（通过节点池编辑功能添加的标签、污点不会丢失），可能导致与节点有绑定关系的资源（本地存储，指定调度节点的负载等）无法正常使用。请谨慎操作，避免对运行中的业务造成影响。 重置节点会导致与节点关联的localpv类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。重置节点时使用了本地持久存储卷的Pod会从重置的节点上驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为PVC对应的底层逻辑卷已经不存在了。 重置节点使用的相关配置是节点所在节点池的最新配置。

执行还原 在“集群备份”的列表或者备份详情页都可以执行还原操作，点击还原会弹出还原任务的创建页面。 名称 说明 名称 必填，还原任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且还原任务是当前集群中唯一 重定义命名空间 选填，可以将备份包中指定命名空间的资源还原到目标命名空间中 数据清洗 选填，此属于高级选项，可对导入资源的Annotation和Lable值进行增删替换操作 数据清洗各字段说明： 名称 说明 命名空间 选填，可输入多个命名空间，多个用‘,’分隔，按照源命名空间进行筛选，符合条件的资源会执行数据清洗操作 资源类型 选填，可输入多个资源类型，即资源的kind字段，多个用‘,’分隔，符合条件的资源会执行数据清洗操作 标签选择器 选填，输入k8s的标签选择器语句，可根据该选择条件进行资源筛选,符合条件的资源会执行数据清洗操作 操作 必填，可输入多个操作内容，可以新增、删除或者替换资源中的annotation和label 配置完成后点击“导入”开始执行还原操作。 在备份任务详情页面的“相关还原记录”列表中，可查看还原任务的执行情况。可展示还原任务的名称、源目标命名空间的映射关系、任务执行状态和还原任务的创建日期。 上传备份包 集群备份功能支持从外部导入备份包到当前集群中，备份包的获取方式可参考执行备份一节中，备份列表操作列的说明。 在集群备份的列表中，点击“上传”按钮，在输入框录入名称，点击“点击上传”按钮，弹出文件选择对话框中选择先前下载好的备份包，即可上传。上传后，会在备份任务列表中显示刚上传的备份包信息。

本节介绍了节点重置的用户指南。 节点重置是指将Kubernetes集群中的节点恢复到初始状态。这通常用于节点出现故障时的修复操作。在云容器引擎控制台节点功能中，您可以通过控制台来重置节点。 注意事项 重置节点将对节点操作系统进行重置安装，节点上已运行的工作负载业务将会中断，请在业务低峰期操作。 节点重置后系统盘挂载kubelet、containerd的数据盘将会被清空，重置前请事先备份重要数据。 用户节点如果有自行挂载了数据盘，重置完后会清除挂载信息，请事先备份重要数据，重置完成后请重新执行挂载行为，数据不会丢失。 节点上的工作负载实例的IP会发生变化，但是不影响容器网络通信。 操作过程中，后台会把当前节点设置为不可调度状态。 节点重置会清除用户单独添加的 K8S 标签和污点（通过节点池编辑功能添加的标签、污点不会丢失），可能导致与节点有绑定关系的资源（本地存储，指定调度节点的负载等）无法正常使用。请谨慎操作，避免对运行中的业务造成影响。 重置节点会导致与节点关联的localpv类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。重置节点时使用了本地持久存储卷的Pod会从重置的节点上驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为PVC对应的底层逻辑卷已经不存在了。 重置节点使用的相关配置是节点所在节点池的最新配置。

DCS实例配置建议 连接池化 因lettuce底层采用基于netty的NIO模式，和redis server进行通信，不同于jedis的BIO模式。底层采用长连接 + 队列的组合模式，借助TCP顺序发、顺序收的特性，来实现同时处理多请求发送和多响应接收，单条连接可支撑的QPS在3K~5K不等，线上系统建议不要超过3K。lettuce本身不支持池化，且在springboot中默认不开启池化，如需开启池化，需通过手动引入commonspool2组件，并关闭LettuceConnectionFactory.shareNativeConnection（共享连接）来实现池化。 因每条lettuce连接默认需要配置两个线程池I/O thread pools、computation thread pool，用于支撑IO事件读取和异步event处理，如配置成连接池形式使用，每个连接都将会创建两个线程池，对内存资源的占用偏高。鉴于lettuce的底层模型实现，及单连接突出的处理能力，不建议通过池化的方式使用lettuce。 拓扑刷新 在连接cluster类型实例中，lettuce会在初始化时，向配置的节点列表随机发送cluster nodes来获取集群slot的分布信息。如后续cluster扩/缩容、主备切换等，会导致集群拓扑结构发生变化， lettuce默认是不感知的，需手动开启主动感知拓扑结构变化， 如下： − 基于application.properties配置 开启自适应拓扑刷新 spring.redis.lettuce.cluster.refresh.adaptivetrue 开启每10s定时刷新拓扑结构 spring.redis.lettuce.cluster.refresh.period10S − 基于API配置 ClusterTopologyRefreshOptions topologyRefreshOptions ClusterTopologyRefreshOptions.builder() .enableAllAdaptiveRefreshTriggers() .enablePeriodicRefresh(Duration.ofMillis(redisClusterTopologyRefreshPeriodMillis)) .build(); ClusterClientOptions clientOptions ClusterClientOptions.builder() ... ... .topologyRefreshOptions(topologyRefreshOptions) .build(); 爆炸半径 因lettuce底层采用的是单长连接 + 请求队列的组合模式，一旦遇到网络抖动/请求，或连接失活，将影响所有请求，尤其是在连接失活场景中，将尝试tcp重传，直至重传超时关闭连接，待连接重建后才能恢复。在重传期间请求队列会不断堆积请求，上层业务非常容易出现批量超时，甚至在部分操作系统内核中的重传超时配置过长，致使业务系统长时间处于不可用状态。因此， 不推荐使用lettuce组件，建议用jedis组件替换 。

软件正版管理功能用于管控企业购买的正版化商业软件,帮助您辅助分析终端盗版软件的状况。 背景说明 企业经常因为员工使用盗版软件而陷入法律纠纷，管理员需要查看哪些软件授权超额使用了，以保障企业内部安全合规使用商业付费软件。 注意 客户端版本：支持Windows客户端，需为2.23.10及以上客户端。支持macOS客户端，需为2.24.10及以上客户端。 套餐版本：已订购终端管理基础版套餐或零信任企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开软件管控并点击【正版管理】，查看正版管理相关内容。 3. 可根据业务需求进行相关配置。 正版采集 在页面右上角打开正版软件采集开关，即可把企业员工的正版软件安装情况采集到控制台展示。 正版分析 开启“正版软件采集”并配置“正版软件管控策略”后，即可查看企业员工的正版分析数据。 1.概览 超额软件数量：有多少软件处在超额状态。 超额授权数量：超额安装的软件授权数量求和。 已开启监控 / 软件总数：已开启软件监控的数量、软件总数。 正版分析检测周期：默认为2小时。 最新上报时间：最近一次软件采集和分析的时间。 2.统计分析 授权超额排行 TOP 10：软件超额安装数量从大到小排列。 接收卸载任务排行 TOP 10：某台设备的软件接收到卸载任务，则纳入计数。所有软件的计数求和即为这台设备的接收次数。 忽视卸载任务排行 TOP 10：某台设备的软件接收到卸载任务后，如果软件仍在使用，则纳入计数。所有软件的计数求和即为这台设备的忽视次数。

本文主要介绍外设管控功能。 背景说明 外设是企业员工工作中必不可少的工具，攻击者可能利用这些外设进行病毒传播、获取敏感信息等。所以企业需要对外设进行管控，尤其是U盘和移动硬盘。 数据泄露的方式很多，仅通过网络流量检测数据泄露情况是远远不够的，物理方式外泄数据也不容忽视。外设管控帮助企业在物理设备层建立起数据防泄漏围墙。 功能说明 企业管理员可以在控制台的外设管控页面，手动配置管控策略，启用外设管控，阻止员工随意传输数据，防止敏感数据泄露。 注意 如需使用外设管控能力，请开启管控策略。 同时，需注意订购套餐需满足以下条件之一： 1、已订购终端管理基础版，点击查看 2、零信任服务套餐为企业版，点此查看零信任服务 操作步骤 管控策略 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【终端安全】里的【外设管控】。 3. 管控策略卡片中点击“编辑”进行配置。 4. 设备类型包括U盘、便携设备。 注意 U盘管控支持Windows系统、Mac系统、麒麟系统、统信系统。 便携设备支持Windows系统、麒麟系统、统信系统。 说明 读写：不对读写做限制，允许外设接入终端。 只读：允许从外设读数据，不允许往外设写数据。 禁用：不允许外设接入终端。 5. 管控对象中支持多个维度（组织、用户组、用户、设备）进行勾选。 6. 企业管理员可以查询到对外设管控操作的记录明细。

Windows 2008操作系统 步骤 1检查是否启用IPv6。 打开cmd窗口，执行如下命令，查看当前云主机是否启用IPv6。 ipconfig 如果已启用IPv6，则会显示IPv6的地址。 显示IPv6的地址 如果显示只有本地链接IPv6地址，则表示无法动态获取到IPv6地址。请执行步骤2。 如果未启用IPv6，则不会显示IPv6的地址。请执行步骤3。 未启用IPv6 说明： Windows公共镜像默认已经配置了IPv6动态获取功能，即回显为情况一，无需特殊配置。 步骤 2 配置动态获取IPv6。 1. 单击“开始 > 控制面板”。 2. 单击“网络和共享中心”。 3. 左键单击“更改适配器设置”。 4. 右键单击网络连接并选择“属性”。 5. 勾选“Internet协议版本 6 (TCP/IPv6)”，然后单击“确定”。 配置动态获取IPv6 6. 执行步骤1检查是否已开启动态获取IPv6。 步骤 3启用和配置IPv6。 1. 选择“开始 > 控制面板 > 网络连接 > 本地连接”。 2. 选择“属性”，确认勾选以下选项后单击“安装”。 启用和配置IPv6 3. 选择“协议”，然后单击“添加”。 添加协议 4. 在网络协议列表中选择“Microsoft TCP/IP版本 6”，然后单击“确定”。 网络协议列表 5. （可选配置）根据操作系统不同请分别执行以下命令。 Windows Server 2008操作系统云主机请在PowerShell或者cmd中执行如下命令： netsh interface ipv6 set global randomizeidentifiersdisable 设置云主机先禁用本地连接，再重启本地连接。 禁用本地连接：单击“开始 > 控制面板 > 网络和共享中心 > 更改适配器配置”，选择本地连接，单击右键选择“禁用”。 重启本地连接：单击“开始 > 控制面板 > 网络和共享中心 > 更改适配器配置”，选择本地连接，单击右键选择“启用”。 6. 执行步骤1检查是否已开启动态获取IPv6。

本文介绍如何配置增强高速网卡(SUSE Linux Enterprise Server 11系列)。 下面以SUSE Linux Enterprise Server 11 SP4操作系统为例，举例介绍物理机增强高速网卡的配置方法。 增加网卡： 1.以“root”用户，使用密钥或密码登录物理机。 2.进入物理机的命令行界面，查询网卡信息。 ip link 返回信息示例如下： 1: lo: mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: mtu 8888 qdisc mq master bond0 state UP mode DEFAULT group default qlen 1000 link/ether fa:16:00:57:90:c9 brd ff:ff:ff:ff:ff:ff 3: eth1: mtu 8888 qdisc mq master bond0 state UP mode DEFAULT group default qlen 1000 link/ether fa:16:00:57:90:c9 brd ff:ff:ff:ff:ff:ff 4: eth2: mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether 40:7d:0f:52:e3:a5 brd ff:ff:ff:ff:ff:ff 5: eth3: mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether 40:7d:0f:52:e3:a6 brd ff:ff:ff:ff:ff:ff 6: bond0: mtu 8888 qdisc noqueue state UP mode DEFAULT group default qlen 1000 link/ether fa:16:00:57:90:c9 brd ff:ff:ff:ff:ff:ff 说明 其中，“eth0”和“eth1”为承载VPC网络的网络设备，“eth2”和“eth3”为承载自定义VLAN网络的网络设备。 3.设置udev规则。 执行以下命令创建“80persistentnet.rules”文件。 cp /etc/udev/rules.d/70persistentnet.rules /etc/udev/rules.d/80persistentnet.rules 将2中查询到的，且“80persistentnet.rules”中未体现的网卡MAC地址和名称，写入该文件中，使得物理机重启复位后，网卡名称和顺序不会发生改变。 说明 网卡的MAC地址和名称中的字母，请使用小写字母。 vim /etc/udev/rules.d/80persistentnet.rules 修改后的示例如下： SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"f4:4c:7f:5d:b7:2a", NAME"eth0" SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"f4:4c:7f:5d:b7:2b", NAME"eth1" SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"40:7d:0f:52:e3:a5", NAME"eth2" SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"40:7d:0f:52:e3:a6", NAME"eth3" 4.创建“eth2”和“eth3”网卡的配置文件。 可通过复制已有网卡配置文件的方式快速创建。 cd /etc/sysconfig/network cp ifcfgeth0 ifcfgeth2 cp ifcfgeth1 ifcfgeth3 修改“eth2”和“eth3”网卡的配置文件。 vi ifcfgeth2 “eth2”网卡配置文件的修改示例如下： STARTMODEauto MTU8888 NMCONTROLLEDno BOOTPROTOSTATIC DEVICEeth2 USERCONTRLno LLADDR40:7d:0f:52:e3:a5 TYPEEthernet 说明 其中，参数参数“MTU”配置为“8888”,“BOOTPROTO”需要配置为“STATIC”，参数“DEVICE”、“LLADDR”根据实际需要填写。 vi ifcfgeth3 “eth3”网卡配置文件的修改示例如下： STARTMODEauto MTU8888 NMCONTROLLEDno BOOTPROTOSTATIC DEVICEeth3 USERCONTRLno LLADDR40:7d:0f:52:e3:a6 TYPEEthernet 修改完成后，保存并退出。 5.将“eth2”和“eth3”组bond，假设为“bond1”。 创建ifcfgbond1文件并修改配置： cp ifcfgbond0 ifcfgbond1 vi ifcfgbond1 “bond1”网卡配置文件的修改示例如下： BONDINGMASTERyes TYPEBond MTU8888 STARTMODEauto BONDINGMODULEOPTS"mode1 miimon100" NMCONTROLLEDno BOOTPROTOSTATIC DEVICEbond1 USERCONTRLno LLADDR40:7d:0f:52:e3:a5 BONDINGSLAVE1eth2 BONDINGSLAVE0eth3 IPADDR10.10.10.104 NETMASK255.255.255.0 NETWORK10.10.10.0 修改完成后，保存并退出。 6.执行以下命令，启动新增的bond1网卡。 ifup bond1 7.查询IP地址信息，可查看到IP地址已分配。 ip addr show 示例如下： 1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo validlft forever preferredlft forever inet6 ::1/128 scope host validlft forever preferredlft forever 2: eth0: mtu 8888 qdisc mq master bond0 state UP group default qlen 1000 link/ether fa:16:00:57:90:c9 brd ff:ff:ff:ff:ff:ff 3: eth1: mtu 8888 qdisc mq master bond0 state UP group default qlen 1000 link/ether fa:16:00:57:90:c9 brd ff:ff:ff:ff:ff:ff 4: eth2: mtu 1500 qdisc mq master bond1 state UP group default qlen 1000 link/ether 40:7d:0f:52:e3:a5 brd ff:ff:ff:ff:ff:ff 5: eth3: mtu 1500 qdisc mq master bond1 state UP group default qlen 1000 link/ether 40:7d:0f:52:e3:a5 brd ff:ff:ff:ff:ff:ff 6: bond0: mtu 8888 qdisc noqueue state UP group default qlen 1000 link/ether fa:16:00:57:90:c9 brd ff:ff:ff:ff:ff:ff inet 172.16.2.44/24 brd 172.16.2.255 scope global bond0 validlft forever preferredlft forever inet6 fe80::f816:ff:fe57:90c9/64 scope link validlft forever preferredlft forever 7: bond1: mtu 1500 qdisc noqueue state UP group default qlen 1000 link/ether 40:7d:0f:52:e3:a5 brd ff:ff:ff:ff:ff:ff inet 10.10.10.104/24 brd 10.10.10.255 scope global bond1 validlft forever preferredlft forever inet6 fe80::427d:fff:fe52:e3a5/64 scope link validlft forever preferredlft forever 8.参考上述步骤，完成其他物理机上的配置。

本节为您介绍Windows版 CMSSMSAgent 安装启动步骤指引。 1. 使用administrator权限的用户登录迁移源端windows主机； 2. 单击左侧导航栏“迁移Agent”，阅读并对“迁移前检查项”进行核对。 4. 在当前页面的“windows系统CMSSMSAgent安装”处，单击按钮下载所需CMSSMSAgent。 5. 在源机中查看下载好的应用程序安装包。 6. 双击进入安装程序，安装过程中，输入对应的用户AK/SK。 7. 双击图标启动CMSSMSAgent。 8. 在windows桌面右下角任务栏处，找到对应图标，启动迁移服务。 9. 提示“启动成功”弹窗即完成agent安装与启动，可在“主机管理”看到迁移源主机。

本小节介绍如何新增事件过滤规则。 事件过滤规则是对采集到的日志进行过滤，将不需要审计的日志条件填入规则，不再审计过滤的日志。可对事件过滤规则进行新增、查看、编辑、删除操作。 新增事件过滤规则 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“风险分析 > 事件策略 > 事件过滤规则”。 3. 单击“新增规则”，弹出新增规则窗口。 4. 配置过滤规则，填写完成后单击“提交”。 参数 参数说明 取值样例 规则名称 自定义过滤规则名称。 Test 相关采集器 选择日志采集器，目前仅可选择“logp” logp 过滤规则 根据业务实际情况填写过滤规则。 目标端口等于8080 相关操作 规则配置完成后，在规则列表，支持查询规则、查看规则详情、编辑规则、删除规则。 查询规则：在查询栏中，填写需要查询的条件，点击搜索图标，列表展示过滤后的规则。 查看规则详情：单击规则列表操作列的“查看”按钮，查看事件过滤规则详情。 修改规则：单击规则列表操作列的“修改”按钮，弹出修改界面，修改事件过滤规则。 删除规则：单击规则列表操作列的“更多 > 删除”按钮，在弹出的提示框中，单击“确定”。

此小节介绍云堡垒机产品定义。 云堡垒机（原生版）是一款运维安全管理产品，提供云上安全运维通道，集中管理云上资产及特权账号，统一监控审计运维操作行为，帮助企业满足等保合规测评要求。 产品功能 资产账密管理 支持统一管理、授权资产特权账户，账户在堡垒机中统一存储管理。 特权账户由堡垒机统一代理单点登录， 运维人员登录堡垒机后，无需输入资产账密即可自动登录服务器等资产，降低账密泄漏风险。 资产运维 支持WEB运维，支持主流浏览器无插件化运维，让运维脱离工具和操作系统束缚，随时随地远程运维。 支持PuTTY、SecureCRT、Xshell、WinSCP、Mstsc等专业运维工具完成运维。 安全认证 支持账密+OTP+短信双因子身份认证，保证运维用户登录堡垒机及资产的认证安全。 运维安全管控 支持命令控制、文件操作控制，对服务器中敏感、高危操作进行管控。 支持工单管理审批模式，重要运维需要授权人审批授权才能执行运维指令，保障敏感核心资源安全。 资产访问授权 集中管控用户访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置，保障了系统管理安全和资源运维安全。

用户导出 云堡垒机（原生版）支持批量导出已在控制台保管的账户信息，同时也支持导出admin账户信息。 说明 若您需要导出admin账户信息，则默认不勾选用户，直接单击“导出”即可获取。 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3.勾选需要导出的用户信息，单击“导出”即可生成用户信息表格导出。 用户加锁/解锁 云堡垒机支持对用户进行加锁操作，在锁定期间该用户无法登录云堡垒机。 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3.勾选需要加锁/解锁的用户信息，单击“加锁”/“解锁”即可锁定或解锁用户。 用户删除 云堡垒机系统用户支持一键删除和批量删除，用户被删除后，用户账号所有关联的权限将失效。 注意 用户删除后信息无法恢复，请谨慎操作！ 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3.勾选需要删除的用户信息，单击“删除”。 4.在弹出的对话框中单击“确定”即可删除用户。

防护原理 根据身份证、电话号码、银行卡前缀，采用自动机算法构建字典树。 将源站响应体内容作为文本串，利用字典树进行匹配，判断文本串中是否包含身份证等信息的前缀。 若相应内容中包含身份证的前缀，则根据身份证长度截取相应长度的字符串，利用身份证号码验证算法，验证是否为真实身份证号码。 响应体内没有检测到敏感词，则响应原内容给客户。 响应体内有检测到敏感词，则进行告警；如果动作为脱敏，则再将脱敏后的内容响应给客户。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【敏感信息防护】详细设置页。 配置说明 配置项分类 配置项 说明 基础信息 防护模式 设置敏感词防护策略的开关，可选择关闭、告警、脱敏 关闭：则防护功能不生效 告警：只记录敏感信息泄露日志，具体信息可查看攻击日志 脱敏：对响应内容的敏感数据使用替换部分数据内容，并会产生攻击日志 基础信息 敏感信息 设置需要脱敏处理的敏感信息类型，可选择手机号码/银行卡/身份证/邮箱/地址 基础信息 白名单 当部分敏感词不需要进行脱敏时，可以配置白名单，如果填写多个要使用分号隔开 防护目标 防护目标 需要检测的范围，默认为全站。一个防护条件支持设置多个且条件多个范围之间为且关系，匹配字段支持选择PATH、URI

本章节为您介绍网关服务组的相关操作。 SSL网关服务功能是由网关服务器实现的，而网关服务器则由网关服务器组统一管理，网关服务与网关服务器组是一对一的关系。 提供服务器组的新增、编辑、删除、查看服务器列表，以及服务器的添加、修改、删除、启用/停用等功能。 新增服务器组 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务器组”，单击页面左上角的“新增服务器组”。 3. 在弹出的对话框中填写相关内容。 参数 参数说明 分组名称 自定义服务器组的名称。创建完成后不支持修改。 服务类型 选择服务器组的服务类型。 4. 确认后单击“确定”即完成创建。 相关操作： 服务器组创建完成，您可以根据需要编辑、删除服务器组。 编辑服务器组：选择需要编辑的服务器组，单击“操作”列的“编辑”即可修改。 删除服务器组：选择需要删除的服务器组，单击“操作”列的“删除”即可删除服务器组。 查看服务器列表：点击服务器组右侧的“查看服务器列表”，即可跳转到网关服务器组详情页面。 添加服务器 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务器组”，选择需要添加服务器的服务器组，单击“操作”列的“添加服务器”。 3. 在弹出的对话框中配置服务器的参数。 参数 参数说明 IP 填写密码机的IP地址。 端口 填写密码机的端口。 权重 选择密码机的权重。 描述 自定义密码机的描述。 启用 选择添加后密码机的启用状态。 4. 填写完成后，单击“确定”完成服务器添加。

操作步骤2：在资源端侧授权 1. 登录 云原生API网关控制台。 2. 找到不同资源端的消费者管理页面。 3. 点击授权，选择消费者列表>"确定"。 对于实例，在左侧导航栏，选择 "实例"，进入实例概览页>消费者认证页签。 对于API，在左侧导航栏，选择 "API"，进入"REST API"详情页>消费者认证页签。 对于接口，在左侧导航栏，选择 "API"，进入"REST API"详情页，单击接口>消费者认证页签。 对于路由，在左侧导航栏，选择 "API"，进入"HTTP/WebSocket API"详情页，单击路由>消费者认证页签。 解除授权 操作步骤1：在消费者管理侧解除授权 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "消费者"，并在顶部菜单栏选择地域。 3. 在消费者页面，单击目标消费者进入详情页>消费者授权页签。 4. 在已授权列表中，支持批量勾选后点击"解除授权"，也支持对单个资源右侧操作栏点击"解除授权"。 操作步骤2：在资源端侧解除授权 1. 登录 云原生API网关控制台。 2. 找到不同资源端的"消费者管理页面"。 3. 已授权消费者列表右侧操作栏中点击"解除授权"。 对于实例，在左侧导航栏，选择 "实例"，进入实例概览页>消费者认证页签。 对于API，在左侧导航栏，选择 "API"，进入"REST API"详情页>消费者认证页签。 对于接口，在左侧导航栏，选择 "API"，进入"REST API"详情页，单击接口>消费者认证页签。 对于路由，在左侧导航栏，选择 "API"，进入"HTTP/WebSocket API"详情页，单击路由>消费者认证页签。 资源端开启消费者认证 注意 在资源端开启消费者认证后，需为当前路由/接口绑定消费者授权关系，否则无法访问。

本节为您介绍服务器迁移服务的功能特性。 数据"0"丢失 在数据传输过程中，服务器迁移服务通过数据校验确保数据的一致性，保障数据在迁移过程中不发生丢失。同时，通过数据稽核功能，用户可以准确检验两端数据的异同，实现真正意义上的数据"0"丢失。 增量同步 配置迁移任务时可以选择启用增量，启用增量后会在全量迁移完成后进入持续的增量状态，持续性地将源机的文件变动增量同步到目标机，直到用户按照计划割接时间停止业务后手动点击“停止增量”结束增量同步。 传输控制进程分离 服务器迁移服务将控制流量与监控流量区分，有效避免数据传输过程中网络中断导致任务失败的情况。监控流量将源机和目标机的监控数据通过单独传输上报至平台，让用户可以查看传输进度、使用率以及迁移状态。 批量绑定 服务器迁移服务支持通过Excel模板批量导入源机和目标机的对应关系，避免重复操作，减少用户手动配置的工作量，提高操作的便捷性。 自定义分区 用户可以在服务器迁移服务上对目标机进行灵活的扩缩容分区操作。根据当前的资源使用情况，可以自由调整资源，提高资源利用率。 断点续传 服务器迁移服务支持断网续传和重启续传功能，有效避免用户因网络波动或误操作Agent等情况导致的任务中断，保障任务的稳定性。 代理迁移 服务器迁移服务提供代理迁移功能，通过代理对网闸隔离后的内网进行跳转转发，无需直接打通内网与互联网，从而保障了迁移过程的安全性，满足相关安全需求。