本文向您介绍如何将标签批量关联资源。 通过TMS控制台，您可以搜索指定区域的全部资源标签和预定义标签，并支持为标签批量绑定多个云资源，每次操作最多支持批量绑定500个云资源。 搜索标签 1. 登录管理控制台，选择“管理与部署 > 标签管理服务”，进入标签管理服务界面。 2. 选择“标签关联资源”页签。 3. 选择搜索区域，系统将自动搜索该区域下的全部资源标签和预定义标签。 搜索结果列表将展示在页面下方。 4. 在搜索结果列表中，您还可以通过指定标签键、标签值或两者都指定，来进行更进一步的搜索过滤，以缩小搜索结果范围。 绑定资源 通过上述操作搜索出指定区域下的全部标签后，您可以为标签绑定云资源。 1. 在搜索结果列表中单击某一标签操作列的“绑定资源”，进入绑定资源页面。 2. 选择资源所在区域。 3. 选择资源类型。 4. 选择资源绑定方式： 1. 输入资源ID：在“资源ID”输入框中输入一个或多个资源的ID。每次最多支持输入500个资源ID。 2. 资源列表选择：在资源列表中勾选一个或多个资源。每次最多支持选择50个资源。 两种资源绑定方式每次最多支持批量绑定的云资源数量均有限制，如需绑定超出限制的云资源，请分多次操作。 5. 单击“确定”，标签绑定资源成功。

本章节介绍如何测试PostgreSQL的性能。 PostgreSQL是一个开源对象关系型数据库管理系统，并侧重于可扩展性和标准的符合性，被业界誉为“最先进的开源数据库”。PostgreSQL面向企业复杂SQL处理的OLTP在线事务处理场景，支持NoSQL数据类型（JSON/XML/hstore），支持GIS地理信息处理，在可靠性、数据完整性方面有良好声誉，适用于互联网网站、位置应用系统、复杂数据对象处理等应用场景。 支持postgis插件，空间应用卓越，达到国际标准。更接近Oracle数据库，去 “O” 成本低。 适用场景丰富，费用低，随时可以根据业务情况弹性伸缩所需的资源，按需开支，量身订做。

本页介绍天翼云TeleDB数据库监控概览。 操作场景 监控概览支持提供全面的实例监控功能，保证用户实时了解实例的运行状态。默认只保留一个月的监控数据。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，选择监控概览 页签。 2. 监控概览页面展示了整个集群的全局信息，包括全局事务管理器、协调节点和数据节点的基本信息，具体如下： 节点运行状态：包括三种状态，运行中/停止/异常 节点基本信息：节点名，主机ip，主备信息等 节点请求量：GTM节点不接受请求，不展示 节点连接数：GTM节点不接受业务连接，不展示 节点CPU占用率 节点内存占用大小

操作场景 当您需要对指定保护组下的所有资源停止保护时，可参考本章节执行停止保护操作。 停止保护后，保护组内满足条件的所有保护实例停止数据同步。 前提条件 保护组中保护实例的状态为“同步完成”、“同步中”或者“停止保护失败”时，才能停止保护。 保护实例的生产业务位于生产站点时，才能停止保护。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待停止保护的保护组所在站点复制对的保护组数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待停止保护的保护实例所在行操作列的“更多 > 停止保护”。如果有多个保护实例需要停止保护，可同时勾选需要停止保护的保护实例，单击保护实例列表上方的“停止保护”。 6. 在弹出的确认对话框中，确认待停止的保护实例信息后，单击“是”停止保护，保护实例状态变为“停止保护中”。 7. 执行完成后，保护实例状态变为“待保护”。

查看当前配置 SetMPIOSetting NewPathVerificationState Enabled 开启路径检测 SetMPIOSetting CustomPathRecovery Enabled 开启自定义路径恢复功能 2. 重启Windows 4. 运行iSCSI发起程序 1. Windows客户端运行iSCSI发起程序，在“开始”>“搜寻程序和文件”输入iSCSI打开iSCSI发起程序。 2. 在“发现”>“发现门户”中输入LUN对应target所在的服务器IP和Port。可以在服务器上使用命令./stor lun ls查询卷的Active target和Standby target。 plaintext ./stor lun ls 查看LUN所对应target的服务器IP和 Port 3. 在“目标”>“已发现的目标”中搜索到HBlock发布的iSCSI target，查看到状态是“不活动”，点击“连接”，勾选“启用多路径”，点击“确定”。 说明 需要先连接Active target，然后连接Standby target。 注意 Windows Server 2012 或2016：同一个target可以对应多个卷。在一个target可以对应多个卷时，如果不同卷对应的Acitve target和Standby target不同，iSCSI连接时，需要等待一会才能识别出所有卷。故建议每个target对应一个卷。 Windows Server 2008：一个target只能对应一个卷，且先建立的iSCSI连接必须为Active target，然后再建立Standby target连接，否则无法正常操作MPIO设备。 4. 启用CHAP认证（没有开启请忽略此步骤直接连接即可） 4. 若您的iSCSI target有开启CHAP认证，在弹出的连接到目标的对话框中，选择“高级”，勾选“启用CHAP登录”，在“名称”中输入在HBlock系统中设置的iSCSI认证的用户名，在“目标机密”中输入已设置的iSCSI认证的密码，然后点“确定”。 5. 客户端使用iSCSI共享磁盘。打开“服务器管理器”>“存储”>“磁盘管理”，将刚刚连接成功的状态是“脱机”的磁盘“联机”。然后点击“初始化”，再点击“新建卷”，指定盘符并格式化，完成后即可看到新增的 iSCSI 设备。 注意 如果卷容量小于等于2TiB时，可以使用MBR和GPT中的任意一种进行分区；如果卷容量大于2TiB，只能使用GPT分区。 如果客户端需要断开连接或者删除磁盘，需要先打开“服务器管理器”>“存储”>“磁盘管理”，点击磁盘右键进行“脱机”，然后在“iSCSI发起程序”中“断开iSCSI连接”。 如果客户端需要断开连接后再次接入，无需进行初始化、新建卷操作，重新连接后即可看到磁盘。 说明 如果想查询HBlock卷对应的磁盘，可以在客户端输入下列命令行查询。 plaintext wmic diskdrive get Name, Manufacturer, Model, InterfaceType, MediaType, SerialNumber 如下例所示，查询信息Name列对应的盘符号，对应“磁盘”上的“数目”列。SerialName对应HBlock的卷名称和uuid。

操作场景 为方便对CCE集群中的kubernetes配置参数进行管理，开发了配置管理功能，通过该功能您可以对核心组件进行深度配置。 约束与限制 本功能仅支持在v1.15及以上版本的集群中使用，V1.15以下版本不显示该功能。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”。 步骤 2 单击集群后的“更多 > 配置管理”。 步骤 3 在侧边栏滑出的“配置管理”窗口中，根据业务需求修改Kubernetes的参数值： 配置管理参数 组件 参数 详情 取值 docker defaultulimitnofile 限制容器内句柄数 kubeapiserver defaultnotreadytolerationseconds notReady容忍时间，NoExecute that is added by default to every pod that does not already have such a toleration. 默认：300 kubeapiserver defaultunreachabletolerationseconds unreachable容忍时间，NoExecute that is added by default to every pod that does not already have such a toleration. 默认：300 kubeapiserver maxmutatingrequestsinflight 在给定时间内的最大mutating请求数。 当服务器超过此值时，它会拒绝请求。 0表示无限制。 默认：1000 kubeapiserver maxrequestsinflight 在给定时间内的最大nonmutating请求数。 当服务器超过此值时，它会拒绝请求。 0表示无限制。 默认：2000 kubeapiserver servicenodeportrange nodeport端口范围 默认： 3000032767 取值范围： min≥30000 max≤65535 kubecontrollermanager concurrentdeploymentsyncs deployment的并发处理数 默认：5 kubecontrollermanager concurrentendpointsyncs endpoint的并发处理数 默认：5 kubecontrollermanager concurrentgcsyncs garbage collector的并发数 默认：20 kubecontrollermanager concurrentnamespacesyncs namespace的并发处理数 默认：10 kubecontrollermanager concurrentreplicasetsyncs replicaset的并发处理数 默认：5 kubecontrollermanager concurrentresourcequotasyncs resource quota的并发处理数 默认：5 kubecontrollermanager concurrentservicesyncs service的并发处理数 默认：10 kubecontrollermanager concurrentserviceaccounttokensyncs serviceaccounttoken的并发处理数 默认：5 kubecontrollermanager concurrentttlafterfinishedsyncs ttlafterfinished的并发处理数 默认：5 kubecontrollermanager concurrentrcsyncs rc的并发处理数 默认：5 kubecontrollermanager kubeapiqps 与kubeapiserver通信的qps 默认：100 kubecontrollermanager kubeapiburst 与kubeapiserver通信的burst 默认：100 kubescheduler kubeapiqps 与kubeapiserver通信的qps 默认：100 kubescheduler kubeapiburst 与kubeapiserver通信的burst 默认：100 步骤 4 单击“确定”，完成配置操作。 参考链接 kubeapiserver kubecontrollermanager kubescheduler

功能 商业版 免费版 软件许可证 导入软件许可证、查看软件许可证 支持 支持 卷 创建卷、扩容卷、修改卷、设置卷主备优先级或自动切换、触发卷对应target的主备切换、删除卷、设置卷的扩展属性、删除卷的指定扩展属性、删除卷所有的扩展属性、查询卷的扩展属性、查询卷、查询卷关联的QoS策略 支持 支持 卷 克隆卷、断开克隆与快照的关系链、还原卷、挂起卷、恢复还原中断或挂起的卷、清空卷 支持 不支持 快照 创建快照、修改快照、回滚快照、删除快照、查询快照 支持 不支持 一致性快照 创建一致性快照、修改一致性快照、回滚一致性快照、删除一致性快照、查询一致性快照 支持 不支持 备份 导出备份、导入备份 支持 不支持 iSCSI target 创建iSCSI target、删除iSCSI target、设置iSCSI target的CHAP认证、删除CHAP、迁移iSCSI target、修改iSCSI target下每个IQN允许建立的最大会话数、修改iSCSI target的回收策略、设置iSCSI target的允许访问列表、删除iSCSI target的允许访问列表、查询iSCSI target、查询iSCSI target连接、删除iSCSI target连接 支持 支持 存储池 创建存储池、添加节点到存储池、修改存储池、移除存储池内的节点、删除非基础存储池、查询存储池、查询存储池关联的QoS策略 支持 支持 QoS策略 创建QoS策略、修改QoS策略、设置卷关联的QoS策略、解除卷关联的QoS策略、设置存储池关联的QoS策略、解除存储池关联的QoS策略、设置存储池内卷的默认QoS策略、解除存储池内卷的默认QoS策略、删除QoS策略、查询QoS策略、查询QoS策略关联/可关联的对象信息 支持 不支持 集群拓扑 创建拓扑节点、修改拓扑节点信息、删除拓扑节点、查询拓扑信息 支持 支持 服务器 添加服务器、修改服务器属性（包括：修改服务器端口范围、设置服务器目标门户IP、设置服务器中HBlock可使用的内存、设置服务器默认数据目录）、删除服务器属性（服务器的targetPorttalIP配置）、移除服务器、查询服务器、添加数据目录、修改数据目录的容量配额、移除数据目录 支持 支持 服务器 迁移服务器上的基础服务 支持 不支持 监控 查询实时性能数据、导出性能数据（命令行）、查看历史性能数据（WEB/API） 支持 支持 告警 查看告警信息、导出告警、手动解除告警、静默告警、解除告警静默 支持 支持 事件 查看HBlock事件、导出HBlock事件 支持 支持 日志 发起HBlock日志采集、查看HBlock采集的日志、下载采集的HBlock日志文件、删除HBlock采集的日志 支持 支持 管理员密码 修改管理员密码 支持 支持 邮件设置 设置邮件通知功能、发送测试邮件、删除邮件配置、查询邮件配置 支持 支持 远程协助 设置远程协助、删除远程协助配置、查询远程协助配置 支持 支持 Pushgateway监控配置 添加Pushgateway监控配置、修改Pushgateway监控配置、删除Pushgateway监控配置、查询Pushgateway监控配置 支持 不支持 智维推送告警配置 添加向智维推送告警的配置、修改向智维推送告警的配置、删除向智维推送告警的配置、查询向智维推送告警的配置 支持 不支持 鉴权方式 设置鉴权方式、查询鉴权方式 支持 支持 高级试用功能 开启高级试用功能 不支持 支持 调整HBlock性能参数 调整HBlock性能参数、查看性能调优配置 支持 支持 服务管理 停止服务器上的HBlock服务、启动服务器上的HBlock服务、重启服务器上的HBlock服务 支持 支持 卸载HBlock 卸载HBlock 支持 支持 系统查询 查看HBlock信息、查看HBlock服务状态、查看HBlock版本 支持 支持 升级HBlock 查看升级状态 支持 支持 升级HBlock 升级HBlock 支持 2年内支持

安全组产品广泛应用于多种场景,本文带您更快了解安全组的经典应用场景。 不同安全组内的弹性云服务器内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台弹性云主机上与另一个安全组内的一台弹性云主机间共享数据， 设置为内网互通。 由于同一个VPC内，在同一个安全组内的弹性云服务器默认互通，无需配置。但是，在不同安全组内的弹性云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云主机内网互通。 安全组配置方法： 在云服务器所在安全组中添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通。 例如安全组sgA内的云服务器访问安全组sgB内的Oracle数据库服务，您需要通过在安全组sgB中添加一条入方向规则，放通Oracle(1521)端口，允许来自安全组sgA内云服务器的请求进入。安全组规则如下所示。 IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 TCP 入方向 1521 安全组：sgA 仅允许特定IP 地址远程连接弹性云主机 场景举例： 为了防止弹性云主机被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。

本页主要介绍下线I类型资源池对象存储能力的原因、影响和建议。 原因 因关系数据库MySQL版产品架构演进调整，天翼云将于2024年8月22日起，停止对部分资源池订购页提供对象存储的备份类型。 影响 涉及资源池：重庆2、南京3、广州X节点（均为I类型资源池） 。 影响范围：已开通对象存储的存量实例无影响，功能可以正常使用。新建实例无法使用对象存储功能。 建议 为保证客户体验，建议您优先使用同地域的II类型资源池，体验更加完善的产品能力。

本小节介绍安全告警事件概述。 企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵检测能力，用户可通过事件管理全面了解告警事件类型，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 约束限制 未开启防护不支持告警事件相关操作。 主机告警事件支持情况说明 事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

本文将为您介绍边缘安全加速平台提供的态势感知大屏功能。 功能介绍 边缘安全加速平台安全与加速服务提供态势感知大屏功能，从安全与加速、Web防护、DDoS防护、CC防护以及Bot防护帮助用户全方位掌握业务安全的整体态势。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，态势感知将对已接入域名进行数据监测，请参见添加服务域名。 购买大屏服务扩展项，支持态势感知大屏功能。 态势感知首页 首页从运营管理>态势大屏进入，为具备动态科技感的边缘安全加速平台拓扑图，主要功能有： 若统计期间内有攻击流量产生，此页面将出现红色告警提示并有红色线条指向对应的安全边缘节点，绿色线条则为正常流量； 标题：标题支持自定义，支持输入中英文字符，最多可输入20个； 提供五个大屏的入口，分别为：安全与加速大屏、DDoS态势感知大屏、CC安全态势感知大屏、Web安全态势感知大屏、BOT安全态势感知大屏，点击对应的大屏悬浮框，将跳转至新页面为您展示安全态势。

p822611039ebb1823) 在云智助手中申请开通企业专属智库。 说明 仅绑定管理员子账号的“AI云电脑用户账号”可看到企业专属智库的“申请”入口。 3.管理企业专属智库 开通成功后，管理员可对专属智库进行管理，包括知识内容的增删、编辑和检索等操作。 4.企业成员使用智库 开通成功后，企业成员可通过指定的智库进行问答，获取精准知识支持。 检查AI云电脑用户账号是否为管理员账号 【操作步骤】： 1.登录并进入“AI云电脑（政企版）”管理控制台； 2.点击“组织管理”，选择“用户管理”，进入“用户管理”页面； 3.检查登录云智助手的AI云电脑账号，是否绑定管理员子账号；若已绑定，即可在云智助手看到企业专属智库的“申请”入口。 申请开通企业专属智库 【操作步骤】： 1.以管理员身份的AI云电脑用户账号登录AI云电脑，打开“云智助手”； 2.点击“ 专属智库 ”，进入智库管理页面； 3.点击“申请开通”，提交申请后，审核预计需要23个工作日完成。

态势感知（专业版）支持实时检测整体资产的安全状态，评估整体资产安全健康得分。 通过查看安全评分，可快速了解未处理风险对资产的整体威胁状况。 资产安全风险修复后，为降低安全评分的风险等级，目前需手动忽略或处理告警事件，刷新告警列表中告警事件状态。告警事件状态刷新并启动重新检测后，安全评分将更新。 安全评分： 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面，对不合格的基线检查项目进行处理。 5. 在左侧导航栏选择“风险预防 > 漏洞管理”，进入漏洞管理页面，对漏洞进行处理。 6. 在左侧导航栏选择“威胁管理 > 告警管理”，进入全部告警管理页面，对告警事件进行处理。 7. 相应告警事件处理后，返回“态势感知 > 态势总览”页面，单击“重新检测”，检测后可查看更新的安全评分。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。

本章节介绍云原生API网关的企业项目 概述 参见IAM管理中的企业项目管理 前提条件 在IAM管理中已存在可用的企业项目，若没有请在企业项目管理中创建。 关联企业项目 目前云原生API网关只在订购实例时关联可选企业项目，参见创建网关实例实例配置说明

操作场景 节点访问 ( NodePort )是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 : ，可以从集群的外部访问一个NodePort服务。 约束与限制 “节点访问 ( NodePort )”默认为VPC内网访问，如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 创建service后，如果服务亲和从集群级别切换为节点级别，连接跟踪表将不会被清理，建议用户创建service后不要修改服务亲和属性，如需修改请重新创建servcie。 同一个节点内的容器不支持访问externalTrafficPolicy为local的service。 工作负载创建时设置 您可以在创建工作负载时通过控制台设置Service访问方式，本节以nginx为例进行说明。 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载实际监听的端口，取值范围为165535。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 2 完成配置后，单击“确定”。 步骤 3 单击“下一步：高级设置”进入高级设置页面，直接单击“创建”。 步骤 4 单击“查看工作负载详情”，在访问方式页签下获取访问地址，例如“192.168.0.160:30358”。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 说明： 如果当前Service被关联到Ingress，则更新Service的端口信息后Ingress将不可用，需要删除重建。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 步骤 4 设置节点访问参数： Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作 负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 5 单击“创建”。工作负载已添加“节点访问 ( NodePort )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 单击“远程登录”，弹出登录页面，输入用户密码登录。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。 说明： 节点访问(NodePort)会在集群内节点上分配一个虚拟IP，即可以在集群内部通过虚拟IP的验证方式验证。其中，虚拟IP访问端口默认与容器端口一致。 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 curl 192.168.0.160:30358 其中“192.168.0.160:30358”为步骤4中获取到的访问地址，即节点虚拟IP+访问端口。 回显如下表示访问成功。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在更新Service页面，访问类型选择“节点访问 ( NodePort )”。 步骤 3 更新节点访问参数： Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 4 单击“更新”。工作负载已更新Service。

本章主要介绍翼MapReduce的修改集群组件鉴权配置开关功能。 操作场景 集群部署为安全模式或者普通模式时，HDFS和ZooKeeper默认会对访问服务的用户进行鉴权，没有权限的用户无法访问HDFS和ZooKeeper中的资源。集群部署为普通模式时，HBase和Yarn默认不会对访问用户进行鉴权，所有用户可以访问HBase和Yarn中的资源。 管理员可以根据业务实际需要，在普通模式集群中配置开启HBase和Yarn鉴权，或关闭HDFS和ZooKeeper鉴权。 对系统的影响 修改开关后服务的配置将过期，需要重启对应的服务使配置生效。 开启HBase鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”。 3.单击“全部配置”。 4.搜索参数“hbase.coprocessor.region.classes”、“hbase.coprocessor.master.classes”和“hbase.coprocessor.regionserver.classes”。 将协处理器参数“org.apache.hadoop.hbase.security.access.AccessController”添加到以上参数原有参数值末尾，使用英文逗号与原有协处理器分隔。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。 关闭HBase鉴权 关闭HBase鉴权后，原有的权限数据会继续保留。如果需要删除权限信息，请在关闭鉴权后，进入hbase shell删除表hbase:acl。 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”。 3.单击“全部配置”。 4.搜索参数“hbase.coprocessor.region.classes”、“hbase.coprocessor.master.classes”和“hbase.coprocessor.regionserver.classes”。 将协处理器参数“org.apache.hadoop.hbase.security.access.AccessController”去除。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，CDN服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高TLS握手效率，提升HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【OCSP Stapling】模块，开启功能。 9. 单击【保存】，完成配置。 参数名 说明 OCSP Stapling 默认关闭，即不开启OCSP Stapling功能。开启OCSP Stapling功能之前，需要先完成HTTPS证书配置。

本节介绍了设置GeminiDB Redis告警规则的具体方法。 操作场景 通过设置GeminiDB Redis告警规则，用户可自定义监控目标与通知策略，及时了解GeminiDB Redis运行状况，从而起到预警作用。 设置GeminiDB Redis的告警规则包括设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数。 操作步骤 1、登录管理控制台。 2、在左侧导航树，选择“告警 > 告警规则”。 3、在“告警规则”页面，单击“创建告警规则”。 4、根据界面提示配置告警参数。 5、配置完成后，单击“立即创建”，完成告警规则的创建。 告警规则创建完成后，当监控指标触发设定的告警策略时，云监控服务会在第一时间通过消息通知服务实时告知您云上资源异常，以免因此造成业务损失。

本文主要介绍异常 异常监控项是对应用的异常日志进行监控，比如java的日志异常监控，一旦用户采用log系统打印日志，就会被采集上来。具体的异常采集类型会根据不同的采集器类型有变化。 查看异常日志 步骤 1 登录管理控制台。 步骤 2 单击左侧，选择“应用性能管理 APM”，进入APM服务页面。 步骤 3 在左侧导航栏选择“应用监控 > 指标”。 步骤 4 在界面左侧树单击待查看接口调用的环境后的。 步骤 5 单击“异常”，切换至异常页签。页面默认展示所“全部实例”的“异常日志”异常日志信息。 异常指标包括：类名、异常类型、日志类型、总次数、消息以及以及异常堆栈。请参照下表 日志版本指标包括：logType以及版本。 图 异常监控数据 表 指标说明 指标集 参数 说明 ::: 异常 类名 发生异常的所在类 异常 异常类型 该异常的类型 异常 日志类型 该异常打印所属的日志类型 异常 次数 异常发生的次数 异常 异常消息 该异常产生的异常消息 异常 异常堆栈 该异常产生的异常堆栈 日志版本 日志类型 日志类型 日志版本 日志版本 日志类型对应的版本 单击蓝色数值，可以查看所选时间段内该线程的趋势图。 单击“消息”列的蓝色文字，可以查看消息的详细内容，包括：时间和消息内容。 单击“异常堆栈”列的“查看详情”可以查看异常的详细信息。 单击“异常堆栈”列的“历史信息”可以查看该类名的历史异常堆栈列表。 单击“版本”列的蓝色文字，可以查看该版本的日志详情。 步骤 6 在异常页签选择您想要查看的“实例名称”，并选择“异常日志”，可以查看该实例在对应采集器下的应用异常监控数据。 图 选择实例、异常日志

本节介绍如何查看WAF独享型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF独享型实例。 查看独享型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 5. 查看独享型实例列表。 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 实例ID 实例的ID。 运行状态 当前实例的运行状态，包括正常、异常、离线。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 节点个数 当前实例的节点个数。 资源池名称 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 实例IPv4 单机版：显示单机节点本身内网IPV4地址。 集群版：显示集群VIP的IPV4地址。 实例IPv6 单机版：显示单机节点本身内网IPV6地址。 集群版：显示集群VIP的IPV6地址。 公网代理IPv4 绑定在实例上的IPV4公网地址，用于互联网IPV4通信，需要手动绑定用户的IPV4地址。 公网代理IPv6 绑定在实例上的IPV6公网地址，用于互联网IPV6通信，需要手动绑定用户的IPV6地址。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 域名个数 当前实例支持防护的防护对象个数。 业务带宽 当前实例支持防护的业务带宽。 产品版本 实例的规格，单机版或集群版。 6. 单击目标实例操作列的“查看产品详情”。 7. 在产品信息页面，可以查看实例版本、实例名称、实例ID、到期时间、实例规格等信息，并支持对实例进行管理。

本节介绍了:使用 cubeopenkruise 使用应用原地升级的用户指南。 使用 cubeopenkruise 使用应用原地升级 OpenKruise是基于Kubernetes的一个标准扩展组件，可以配合原生Kubernetes使用，高效管理应用容器、Sidecar及镜像分发等功能。本文介绍如何使用OpenKruise部署云原生应用。 前提条件 已安装Kubernetes托管版集群，且集群版本不低于1.23。 背景信息 OpenKruise包含了多种自定义Workload，用于无状态应用、有状态应用、Sidecar容器、Daemon应用等部署管理，提供了原地升级等扩展策略。 使用说明 OpenKruise包含CloneSet、Advanced StatefulSet、Advanced DaemonSet等控制器。常用控制器说明如下： 控制器 功能 CloneSet 管理无状态应用，对标Kubernetes原生Deployment。关于CloneSet的详细介绍，请参见Cloneset。资源（YAML）的字段与Deployment不完全兼容，但功能上全覆盖，并提供比Deployment更丰富的策略。 Advanced StatefulSet 管理有状态应用，对标Kubernetes原生StatefulSet。关于Advanced StatefulSet的详细介绍，请参见Advanced StatefulSet。资源（YAML）字段与原生StatefulSet完全兼容，只需要把apiVersion改为apps.kruise.io/v1alpha1，另外提供了optional字段来扩展发布策略（原地升级、并行发布等） Advanced DaemonSet 管理Daemon应用，对标Kubernetes原生DaemonSet。关于Advanced DaemonSet的详细介绍，请参见Advanced DaemonSet。资源（YAML）字段与原生DaemonSet完全兼容，只需要把apiVersion改为apps.kruise.io/v1alpha1，另外提供了optional字段来扩展发布策略（热升级、灰度、按Node标签灰度等 SidecarSet 独立管理Sidecar容器和注入。关于SidecarSet的详细介绍，请参见SidecarSet。在独立CR中定义Sidecar容器和Label Selector，OpenKruise会在所有符合Selector条件的Pod创建时注入定义好的Sidecar容器，并支持对已注入Sidecar容器做原地升级 UnitedDeployment 管理不同区域下的多个Sub Workload，关于UnitedDeployment的详细介绍，请参见UnitedDeployment。目前支持将CloneSet、StatefulSet、Advanced StatefulSet作为Sub Workload，您可以用一个UnitedDeployment来定义不同区域中的Sub Workload部署Replicas。

cloudconfig chpasswd: list: root: expire: False 创建弹性云主机成功后，您可以使用重置的密码登录弹性云主机。为了确保密码安全，建议您在第一次登录弹性云主机后修改root用户的密码。 案例2 以下是通过实例自定义数据注入来为Linux弹性云主机更新系统软件包并启动httpd服务的示例。 请按照以下示例注入实例自定义数据： !/bin/bash yum update y service httpd start chkconfig httpd on 注入成功后，您的弹性云主机将会更新系统软件包，并启动httpd服务。您可以通过访问弹性云主机的公网IP地址来使用httpd服务。请确保您的操作系统支持yum包管理器，并且已经安装了httpd服务。 案例3 以下是通过实例自定义数据注入来激活Linux弹性云主机的root用户远程登录权限的示例。 实例自定义数据注入示例： cloudconfig disableroot: false runcmd: sed i 's/^PermitRootLogin.$/PermitRootLogin withoutpassword/' /etc/ssh/sshdconfig sed i '/^KexAlgorithms.$/d' /etc/ssh/sshdconfig service sshd restart 注入成功后，您将能够使用SSH密钥方式以root帐户登录弹性云主机。该示例中的自定义数据使用cloudconfig格式，并通过runcmd字段执行了一系列命令，包括修改/etc/ssh/sshdconfig文件中的配置，重启sshd服务使更改生效。 说明 激活root用户远程登录权限可能存在安全风险，建议在完成必要的任务后再禁用root用户的远程登录权限，以提高系统的安全性。

本小节介绍云下一代防火墙如何开启防护功能? 登录管理界面：首先，使用管理员凭据登录到云下一代防火墙的管理界面，可以在Web浏览器中输入设备的管理方式来访问云下一代防火墙管理界面。 导航到防护功能：在管理界面对象中，找到防护功能（IPS、AV、URL、OQS、IP信誉库、僵尸网络防御、云沙箱）进行防护功能模版的配置，防护功能模版详细操作详见云下一代防火墙WebUI用户手册。 启用防护策略：选择外网卡的安全域（网络安全域）或安全策略，然后开启且调用所需的安全功能模板。 监控和日志记录：启用监控和日志记录功能（监控日志编辑对应日志开启日志缓存），以跟踪安全事件、威胁检测以及系统性能。这有助于实时监视和分析潜在的威胁。 测试和优化：在启用防护功能后，建议进行测试以确保其正常运行，并进行必要的优化，以适应业务需求。

本文主要介绍管理节点标签。 节点标签可以给节点打上不同的标签，给节点定义不同的属性，通过这些标签可以快速的了解各个节点的特点。 节点标签使用场景 节点标签的主要使用场景有两类。 节点管理：通过节点标签管理节点，给节点分类。 工作负载与节点的亲和与反亲和： 有的工作负载需要的CPU大，有的工作负载需要的内存大，有的工作负载需要IO大，可能会影响其他工作负载正常工作等等，此时建议给节点添加不同标签。在部署工作负载的时候，就可以选择相应标签的节点亲和部署，保证系统正常工作；反之，可以使用节点的反亲和部署。 一个系统可以分为多个模块，每个模块由多个微服务组成，为保证后期运维的高效，可以将节点打上对应模块的标签，让各模块部署到各自的节点模块上，互不干扰，方便开发到各自节点上去维护。 节点固有标签 节点创建出来会存在一些固有的标签，并且是无法删除的，这些标签的含义请参见下表。 表节点固有标签 键 说明 新：topology.kubernetes.io/region 旧：failuredomain.beta.kubernetes.io/region 表示节点当前所在区域。 新：topology.kubernetes.io/zone 旧：failuredomain.beta.kubernetes.io/zone 表示节点所在区域的可用区。 新：node.kubernetes.io/baremetal 旧：failuredomain.beta.kubernetes.io/isbaremetal 表示是否为物理机节点。例如：false，表示非物理机节点 node.kubernetes.io/containerengine 表示容器引擎。例如：docker、containerd node.kubernetes.io/instancetype 节点实例规格。 kubernetes.io/arch 节点处理器架构。 kubernetes.io/hostname 节点名称。 kubernetes.io/os 节点操作系统类型。 node.kubernetes.io/subnetid 节点所在子网的ID。 os.architecture 表示节点处理器架构。例如：amd64，表示AMD64位架构的处理器 os.name 节点的操作系统名称。 os.version 操作系统节点内核版本。 node.kubernetes.io/containerengine 节点所用容器引擎。 accelerator GPU节点标签。 cce.cloud.com/ccenodepool 节点池节点专属标签。

本文主要介绍CCE容器弹性引擎。 CCE容器弹性引擎（ccehpacontroller）插件是一款CCE自研的插件，能够基于CPU利用率、内存利用率等指标，对无状态工作负载进行弹性扩缩容。 安装本插件后，可在“弹性伸缩”页面的“工作负载伸缩”页签下，创建CustomedHPA策略，具体请参见创建工作负载弹性伸缩（CustomedHPA）。 主要功能 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长。 支持按照实际指标值执行不同的扩缩容动作。 约束与限制 仅支持在v1.15及以上版本的CCE集群中安装本插件。 若ccehpacontroller版本低于1.2.11，则必须安装prometheus插件，若版本大于或等于1.2.11，则需要安装能够提供Metrics API的插件，如metricsserver和Prometheus。若使用Prometheus，需要将Prometheus注册为Metrics API的服务，详见提供资源指标。 安装插件 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，在右侧找到 ccehpacontroller ，单击“安装”。 步骤 2 该插件可配置“单实例”或“自定义”规格，选择后单击“安装”。 说明 单实例仅用于验证场景，商用场景请根据集群规格使用"自定义"资源配置，ccehpacontroller插件的规格大小主要受集群中总容器数量和伸缩策略数量影响，通常场景下建议每5000容器配置CPU 500m, 内存1000Mi资源，每1000伸缩策略CPU 100m，内存500Mi。

本文将介绍爬虫情报规则，从背景信息、相关配置项、相关操作帮助您更好地理解爬虫情报规则。 功能介绍 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 注意 目前控制台尚未开放爬虫情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 边缘云WAF安全团队基于天翼云积累的海量威胁情报库，并经过离线分析技术，收集国内外公开的、已知的恶意爬虫IP；另外，通过反向解析技术，收录了众多SE类别的爬虫信息，两者结合形成爬虫情报库，内置近10万条友好爬虫与已知恶意爬虫IP信息，目前仍持续更新中。 针对已知爬虫，边缘云WAF为爬虫情报进行标识与分类，例如搜索引擎类的爬虫，分为谷歌爬虫、360爬虫、百度爬虫等各类标识，您可以仅针对其中的某类搜索引擎标识进行加白的动作，则后续此类爬虫IP将不经过边缘云WAF的Bot防护策略。对于恶意爬虫，您也可以对其进行一键封禁的操作，边缘云WAF将会对其进行拦截，避免网站业务遭受已知恶意爬虫的攻击。

在使用记录集的过程中，如果发现记录集的配置信息不符合您的业务需求，可以通过修改记录集功能，重新配置TTL、值、描述等参数。 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS服务” 进入内网DNS服务页面。 3. 在“总览”页签，选择“我的资源”下的“内网域名”。进入域名列表页。 4. 在域名列表页面，单击域名名称。 系统进入该域名的记录集页面。 5. 选择待修改的记录集，单击“操作”列下的“修改”。系统进入“修改记录集”页面。 根据实际需要，修改记录集的配置参数。系统支持修改记录集的TTL、值和描述。 6. 单击“确定”，保存修改后的记录集。

当用户无需使用该记录集时，可以使用删除记录集功能。 删除记录集后，对应类型的记录集功能会失效。例如，如果删除A类型记录集，该域名将无法被解析为一个IPv4地址。如果删除CNAME类型记录集，该别名将无法映射到之前指定的域名上。 1. 登录管理控制台，并选择目标区域。 2. 选择“网络 > 内网DNS服务”。 进入内网DNS服务页面。 3. 在“总览”页签，选择“我的资源”下的“内网域名”。进入域名列表页。 4. 在域名列表页面，单击域名名称。 进入该域名的记录集页面，选择待删除的记录集，单击“操作”列下的“删除”。 5. 单击“确定”，确认删除该记录集。

本节介绍服务器安全卫士（原生版）弱口令检测操作指南。 通过与弱口令库对比，检测系统账号和应用账号口令是否属于常用的弱口令，提示用户修改不安全的口令。 Linux系统支持检测系统弱口令和数据库等应用弱口令。 Windows系统仅支持系统账号的弱口令检测。 版本限制 仅企业版、旗舰版支持弱口令检测功能。 执行弱口令检测 弱口令检测提供如下检测方式： 一键检测 如果用户想立即了解服务器当前是否存在弱口令，可以执行“一键扫描”，立即手动检测服务器中的漏洞。 定时检测 用户可以开启“定时扫描”，配置定时检测周期和范围，定期对服务器上存在的弱口令进行自动检测。 一键检测 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 弱口令检测”，进入弱口令检测页面。 3. 单击“一键扫描”，页面右侧弹出一键检测设置窗口。 4. 设置检测参数，参数说明如下。 参数 说明 弱口令分类 支持“应用弱口令”和“系统弱口令”。 设置生效范围 选择检测哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要检测的服务器。 说明 以下服务器不能被选中执行弱口令检测： 使用“免费版”的服务器。 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。 5. 单击“确认”，立刻开始本次弱口令检测。 说明 检测需要一定的时间，请耐心等待，期间您可以切换页面执行其他操作。等待过程中您可以手动刷新页面查看最新检测数据。

添加出方向规则 1. 进入“AI云电脑（政企版）”管理控制台； 2. 点击“网络管理”，选择“网络ACL”，进入网络ACL管理页面； 3. 选择需添加出方向规则的ACL所在行，点击“配置规则”按钮，进入网络ACL详情页面； 4. 选择“出方向规则”，进入出方向规则管理页面； 5. 点击“添加规则”按钮，进入添加出方向规则页面； 6. 配置出方向规则的“名称”、“类型”、“策略”等信息； 7. 确认配置信息后，点击“确定”，即完成出方向规则的创建。 关联子网 1. 进入“AI云电脑（政企版）”管理控制台； 2. 点击“网络管理”，选择“网络ACL”，进入网络ACL管理页面； 3. 选择需关联子网的ACL所在行，点击“配置规则”按钮，进入网络ACL详情页面； 4. 选择“关联子网”，进入关联子网管理页面； 5. 点击“关联”按钮，进入关联子网页面； 6. 选择需要关联的子网； 7. 点击“确定”，即完成子网的关联。 关闭网络ACL 1. 进入“AI云电脑（政企版）”管理控制台； 2. 点击“网络管理”，选择“网络ACL”，进入网络ACL管理页面； 3. 选择需关闭网络ACL的所在行，点击“更多”按钮； 4. 点击“关闭”按钮，进入关闭网络ACL确认页面； 5. 点击“确定”，即完成网络ACL的关闭。 删除网络ACL 1. 进入“AI云电脑（政企版）”管理控制台； 2. 点击“网络管理”，选择“网络ACL”，进入网络ACL管理页面； 3. 选择需删除网络ACL的所在行，点击“更多”按钮； 4. 点击“删除”按钮，进入删除网络ACL确认页； 5. 点击“确定”，即完成网络ACL的删除。 说明 修改（删除）入/出方向规则、向前（向后）插入入/出方向规则、关闭（开启）入/出方向规则等操作，可参考上述类似的操作。

此章节为您介绍如何新增系统的角色。 在“二类节点”区域购买的实例【日志审计（原生版）支持的区域请参见支持的区域】，支持角色管理功能。通过给用户关联不同的角色，赋予用户在系统中不同模块的操作权限。 注意 只有初始用户具有删除角色的权限。 创建角色 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“系统配置 > 角色管理”，进入“角色管理”页面。 3.单击页面上方的“新增”，在弹出的对话框中填写内容以新建角色。 参数 参数说明 取值样例 角色编码 填写新建角色的自定义编码，由316位的数字字母下划线组成。 Operation 角色名称 填写新建角色的自定义名称。 运维人员 可授出角色 选择可赋予该角色的角色。 普通用户 4.单击“提交”，完成角色的创建。 修改角色 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“系统配置 > 角色管理”，进入“角色管理”页面。 3.选择需要修改的角色，单击“操作”列的“修改”。 4.在弹出的对话框中修改需要调整内容，单击“提交”，完成角色修改。 配置角色模块权限 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“系统配置 > 角色管理”，进入“角色管理”页面。 3.选择需要配置权限的角色，单击“操作”列的“更多”，选择待配置的权限。 4.根据角色的业务需求，勾选需要配置的模块。 5.单击“提交”，完成权限配置。

本文介绍了RDSPostgreSQL实例连接设置与访问的常见问题。 实例是否支持更换VPC RDSPostgreSQL不支持通过控制台更换VPC，订购实例时请谨慎选择实例VPC。 RDSPostgreSQL是否能跨地域内网访问 跨地域内网默认不能访问，不同区域的云服务之间内网互不相通。您可以通过公网访问，或者通过云连接/VPN打通网络实现内网访问。 如您需要跨地域访问实例时，您可为实例绑定弹性公网IP进行访问，请参见通过psql命令行公网连接实例。 外部服务器或应用程序如何访问VPC内的RDSPostgreSQL数据库 开通公网访问的实例 对于开通公网访问功能的云数据库实例，可以通过外网进行访问。 具体连接方式请参见：通过公网连接实例。 未开通公网访问的实例 对于未开通公网访问功能的云数据库实例，只能在相同资源池的相同VPC下通过内网访问。 具体连接方式请参见：通过内网连接实例。 绑定公网IP后无法ping通的解决方案 当实例绑定公网IP后无法ping通的排查方法如下： 1. 检查安全组规则。 2. 使用相同区域主机进行ping测试。 具体安全组配置方式，您可参考安全组配置示例。 应用程序是否需要支持自动重连数据库 建议您的应用程序支持自动重连数据库功能，以确保在数据库连接出现故障或断开连接时，应用程序能够自动重新连接数据库，提高系统的可用性和稳定性。同时，建议您采用长连接方式连接数据库，以减少频繁的连接和断开操作，降低资源消耗，提高系统性能。 ECS（弹性云主机）内网访问RDSPostgreSQL，是否受带宽限制 ECS、RDSPostgreSQL内网访问不受带宽限制，公网访问带宽限制根据您绑定的EIP产品带宽有所限制。 如何查看当前时间所有连接数据库的IP 如您需要查看当前实例所有连接的IP，您可在连通实例后，通过数据库命令行执行以下SQL语句，查看所有的活动IP连接数。 sql SELECT clientaddr FROM pgstatactivity WHERE state 'active';