步骤四：手动为封禁IP解封 说明 当IP解封后，访问频率未超过设定阈值时，不会被封禁。 解除BOT防护动态拦截 1. 在“防护配置 > 对象防护配置”页面，选择“安全防护”页签，定位到“BOT防护”模块。 2. 单击拦截列表右侧的“解除拦截”，进入动态拦截页面。 3. 对于正在拦截中的对象，单击操作列的“解除拦截”可放开拦截。 解除攻击惩罚 1. 在“防护配置 > 对象防护配置”页面，选择“系统配置”页签，定位到“攻击惩罚”模块。 2. 单击惩罚列表右侧的“前去查看”，进入惩罚列表页面。 3. 对于正在惩罚中的拦截对象，单击操作列的“解除惩罚”可放开惩罚对象封禁。

本文主要介绍如何连接关系数据库SQL Server版。 连接关系数据库SQL Server版实例的方式包含两种： 公网访问：对于绑定了弹性IP（EIP）的实例，我们可以直接通过外网进行连接访问。具体申请弹性IP的操作步骤可以参考申请或释放外网地址 内网访问：若SQL Server实例未绑定弹性公网IP，则用户只能在同一个VPC内的ECS主机等访问SQL Server实例进行内网访问。在内网访问的情况下，建议应用程序、ECS主机、SQL Server实例都使用同一个VPC、子网及安全组，保证应用程序或者ECS能访问到SQL Server实例。

安装 Ingress 控制器 如果您尚未安装 Ingress 控制器，可以使用以下命令安装 NGINX Ingress Controller： plaintext kubectl apply f 配置 Ingress 资源 创建一个 Ingress 资源来公开您的服务。示例 Ingress 配置如下： plaintext apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: exampleingress namespace: default spec: rules: host: http: paths: path: / pathType: Prefix backend: service: name: exampleservice port: number: 80 替换 为您的公网 DNS 名称，exampleservice 为您的服务名称。 应用 Ingress 配置： plaintext kubectl apply f exampleingress.yaml 配置 DNS 将您的公网 DNS 名称指向 Ingress 控制器的外部 IP 地址。可以在您的域名注册商处配置 DNS 记录。例如： 类型：A 名称： 值：Ingress 控制器的外部 IP 地址 验证连接 配置完成后，您可以通过公网访问您的 Kubernetes 集群和服务。例如，在浏览器中访问： 安全注意事项 认证和授权：确保 API Server 启用了适当的认证和授权机制。 网络安全：使用 HTTPS 加密流量，确保数据传输的安全性。 防火墙：仅开放必要的端口，并限制访问来源 IP。 审计日志：启用审计日志，监控和记录访问行为。 常见问题 无法访问 API Server 检查防火墙规则是否正确配置。 确认 API Server 配置中的公网 IP 和 DNS 名称正确无误。 检查 API Server 日志以获取详细错误信息。

安装 Ingress 控制器 如果您尚未安装 Ingress 控制器，可以使用以下命令安装 NGINX Ingress Controller： plaintext kubectl apply f 配置 Ingress 资源 创建一个 Ingress 资源来公开您的服务。示例 Ingress 配置如下： plaintext apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: exampleingress namespace: default spec: rules: host: http: paths: path: / pathType: Prefix backend: service: name: exampleservice port: number: 80 替换 为您的公网 DNS 名称，exampleservice 为您的服务名称。 应用 Ingress 配置： plaintext kubectl apply f exampleingress.yaml 配置 DNS 将您的公网 DNS 名称指向 Ingress 控制器的外部 IP 地址。可以在您的域名注册商处配置 DNS 记录。例如： 类型：A 名称： 值：Ingress 控制器的外部 IP 地址 验证连接 配置完成后，您可以通过公网访问您的 Kubernetes 集群和服务。例如，在浏览器中访问： 安全注意事项 认证和授权：确保 API Server 启用了适当的认证和授权机制。 网络安全：使用 HTTPS 加密流量，确保数据传输的安全性。 防火墙：仅开放必要的端口，并限制访问来源 IP。 审计日志：启用审计日志，监控和记录访问行为。 常见问题 无法访问 API Server 检查防火墙规则是否正确配置。 确认 API Server 配置中的公网 IP 和 DNS 名称正确无误。 检查 API Server 日志以获取详细错误信息。

本文介绍SQL Server的经典应用场景。 企业级应用 SQL Server广泛应用于各种企业级应用程序，例如企业资源计划（ERP）、客户关系管理（CRM）等。因为企业级应用程序一般对可用性、可靠性和安全性有较高的要求，而且涉及大量数据和复杂数据模型，通常伴随着复杂的数据查询和分析操作，用来支持决策制定和业务智能。 金融行业 金融行业如银行、证券、保险、基金以及新兴的互联网金融领域，通常需要处理大量的敏感数据，并且受到各种法规和监管要求的约束，对安全性、合规性和可用性具有很高的要求。SQL Server的高可用性、多层次的安全机制、内置丰富的商业智能工具等特性，让其成为金融行业数据库服务的首选。 电子商务 电子商务行业通常在处理大量用户请求和交易数据的同时要求能快速响应，并且需要及时根据市场需求，实时分析销售趋势、定制营销策略，不断更新电子商务平台。SQL Server高性能、高可用性、弹性伸缩以及丰富的数据管理和分析能力，可以为电子商务企业提供稳定高效、高性价比的解决方案。 Windows环境 SQL Server是由Microsoft公司开发的数据库管理系统，所以和Windows操作系统紧密集成。在Windows环境中，SQL Server能够发挥操作系统的特性和优势，有利于提高数据库的性能。同时充分利用Microsoft生态系统，获得更好的集成和技术支持，确保业务系统的稳定性和可用性。例如政府和公共服务、教育机构等。

本文简述如何查看边缘接入服务的计费详情,如何进行服务升级、退订、变更计费方式、变更加速区域等操作。 功能介绍 在计费详情页面，可以查看订购的边缘接入服务的套餐版本、加速区域、套餐内容、套餐内剩余量、已开通的扩展服务、服务生效时间、服务失效时间、当前的服务状态。 在计费详情页面，您还可以对当前订购的边缘接入服务进行服务升级、退订、变更计费方式、变更加速区域等操作。 界面说明 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【计费】【计费详情】页面。 3. 查看已订购边缘接入服务的套餐详情、对边缘接入服务进行服务升级、退订、变更计费方式、变更加速区域等操作。

本节将介绍用户通过管理控制台查看工作空间的信息，包括名称、类型和创建时间等。 约束与限制 新创建的工作空间需要初始化，工作空间创建完成后需要等待约10分钟后刷新查看。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 在工作空间界面，查看已有工作空间的信息。 当工作空间较多时，可以通过搜索功能，选择搜索条件并在搜索框中输入关键词，单击，即可快速查询指定工作空间。 工作空间参数说明： 参数名称 参数说明 名称 工作空间的名称。 类型 工作空间的类型。 工作空间分为普通工作空间和托管视图。 普通工作空间 未托管：未被托管视图纳管的工作空间，工作空间名称后不携带标签。 已托管：已经被托管视图纳管的工作空间，工作空间名称后会有“已托管”标签。 托管视图 托管视图：可用于纳管其他工作空间，实现多个工作空间集中管理，实现跨账号安全运营。托管视图更多信息请参见创建空间托管。 ID 工作空间的ID。 区域 工作空间所属区域。 项目 工作空间所属的项目。 更多 将鼠标悬停在“更多”上，可查看工作空间ID、区域、项目、企业项目、创建时间等信息。 托管状态 工作空间是否托管。 事件 该工作空间中的事件数量。事件更多信息请参见查看事件信息。 漏洞 该工作空间中的漏洞数量。漏洞更多信息请参见漏洞管理概述。 告警 该工作空间中的告警数量。告警更多信息请参见告警概述。 情报 该工作空间中的情报数量。情报更多信息请参见查看情报指标。 资产 该工作空间中已有资产的数量。资产管理更多信息请参见资产管理概述。 安全分析 该工作空间中已有数据空间数量。 实例 该工作空间中已有实例的数量。 剧本 该工作空间中已有剧本的数量。剧本更多信息请参见安全编排概述。 5. 如需查看某个工作空间的详细信息，可单击待查看工作空间右侧的，进入工作空间基本信息页面查看详细信息。 在工作空间详情页面，可查看工作空间的名称、创建时间、所属项目等信息。另外，还支持修改工作空间名称和描述信息。 在“标签”页签中，支持“编辑标签”，标签的详细操作请参考管理工作空间标签。 在“导航设置”页签，可以设置当前工作空间的目录，导航设置页签的参数含义如下： 参数名称 参数说明 面包屑导航显示开关 按钮默认开启。该开关用于控制是否允许用户返回外层导航目录。 开关打开：用户可返回外层空间管理导航目录。 开关关闭：用户无法返回外层空间管理导航目录。 工作空间导航设置 新增：用户自定义新增目录。 批量编辑：支持批量编辑，设置“落地页”，设置“是否显示”按钮。落地页即单击工作空间名称后进入空间详情的默认页面。 批量删除：支持批量删除目录，仅用户自定义的目录支持删除，系统内置目录不支持删除。 导航名称 导航目录所属的一级目录名称。单击一级目录名称前方的按钮可展开该一级目录下的二级目录名称。 目录状态 目录所属的类型。 发布者 目录的发布者。 布局 目录关联的布局。 目录地址 目录所在地址。系统自动生成的访问目录页面的地址。 中文别名 目录的中文名称。 英文别名 目录的英文名称。 落地页 设置单击工作空间名称后进入空间详情的默认页面。 一个工作空间必须有一个落地页。 只能设置允许显示的目录中的一个作为落地页。 一级目录不支持设置为落地页。 是否显示 控制该目录是否在导航栏显示。 操作 可对目录进行编辑、更换布局等操作。 编辑：支持编辑目录的“中文别名”、“英文别名”、“落地页”、“是否显示”。 更换布局：用户自定义的目录，或系统内置的关联了布局的目录支持更换布局。仅支持更换相同布局类型的其他布局。

本文主要介绍物理机的权限管理。 如果您需要对天翼云上购买创建的物理机服务器资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有物理机的使用权限，但是不希望他们拥有删除物理机等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用物理机，但是不允许删除物理机的权限，控制他们对物理机资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用物理机服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 物理机权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 物理机部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如江苏苏州）对应的项目（cnjssz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问物理机时，需要先切换至授权区域。 根据授权精度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对物理机服务，管理员能够控制IAM用户仅能对某一类物理机资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 物理机常用操作与系统权限的关系 如下表： 操作 物理机 FullAccess 物理机 CommonOperations 物理机 ReadOnlyAccess 创建物理机 √ x x 查看物理机列表 √ √ √ 查询物理机详情 √ √ √ 修改物理机名称 √ x x 启动物理机 √ √ x 关闭物理机 √ √ x 重启物理机 √ √ x 物理机挂载数据卷 √ √ x 物理机卸载数据卷 √ √ x 重装裸物理机操作系统 √ x x 一键重置物理机的密码 √ x x

Iperf的测试网络的方法？ 前提条件 保证源端与目的端网络连通，以及天翼云上目的端服务器的安全组规则允许Iperf测试端口开放。 该测试需要在迁移前进行，而且在源端服务器上运行的业务对网络影响不大，否则测试数据不准。 测试步骤 1. 根据源端服务器的OS类型下载对应iperf版本。 2. 在源端服务器和目的端服务器（或者目的端服务器同一Region下的其他弹性云服务器）某一个目录下解压iperf工具。例如在Windows操作系统的iperf工具： 3. 在目的端服务器上，以命令行方式运行iperf（服务端模式运行，以Windows操作系统为例）： 1. 执行以下命令，进入iperf目录。 cd /d path 其中，path指2中iperf工具解压后在目的端服务器中的路径。 2. 执行以下命令，以服务端运行iperf。 iperf3 p port s 其中，port表示iperf工具的服务端监听端口，建议Windows操作系统使用8900端口（8900为目的端服务器使用的数据传输端口），Linux操作系统使用22端口（22为目的端服务器使用的数据传输端口）。您测试的时候也可以使用其他端口，但要保证目的端服务器安全组规则允许开放该TCP或者UDP端口。以Windows操作系统使用8900端口为例，当回显信息为Server listening on 8900时，表明服务端已经运行就绪。 4. 在源端服务器上，以命令行方式运行iperf（客户端模式运行），测试TCP带宽和UDP的抖动、丢包率和带宽（以Windows操作系统为例）。 1. 执行以下命令，进入iperf目录 cd /d path 其中，path指2中iperf工具解压后在源端服务器中的路径。 2. 执行以下命令，运行iperf工具，测试TCP带宽。 iperf3 c targetIP p port t time 其中，c是客户端模式运行。 targetIP 表示目的端服务器（即以服务端模式运行iperf的服务器）的IP地址。 port表示连接目的端服务器的端口。 time表示测试总时间，默认单位为秒。以Windows操作系统使用8900端口为例，iperf客户端连接到iperf服务端成功后会进行带宽（Bandwidth）测试，测试结束后查看结果即可： 3. 执行以下命令，运行iper测试UDP的抖动、丢包率和带宽。 iperf3 c targetIP p port u t time 其中，u表示测试UDP的抖动、丢包率和带宽。 targetIP 表示目的端服务器（即以服务端模式运行iperf的服务器）的IP地址。 port表示连接目的端服务器的端口。 time表示测试总时间，默认单位为秒。以Windows操作系统使用8900端口为例，iperf客户端连接到iperf服务端成功后会测试UDP的抖动（Jitter）、丢包率（Lost/Total Datagrame）和带宽（Bandwidth），测试结束后查看结果即可。 4. 若需要测试网络时延，可以使用ping命令。 ping targetiP targetIP 表示目的端服务器（即以服务端模式运行iperf的服务器）的IP地址。需要配置目的端服务器所在的VPC的安全组规则，允许ICMP协议报文通过。 5. 执行命令 iperf3 h，获取更多的iperf的使用帮助。

云日志服务支持对V2.17.0及以上版本的翼MR集群进行组件服务的日志监控与管理。 创建翼MR集群后，可从翼MR控制台内授权开通该集群的云日志服务功能，并前往云日志服务控制台查看日志详情。 云审计 云审计产品支持对V2.17.0及以上版本的翼MR集群进行操作记录的收集、存储与查询功能，可用于支撑合规审计、安全分析和问题定位等常见应用场景。 创建翼MR集群后，可前往云审计服务控制台查看操作记录。

内容审核是天翼云自主研发的具有文本、图片等多媒体风险识别与拦截的审核能力，对网络中产生的文本、图片内容进行涉黄、涉政、涉暴恐等敏感内容进行识别，帮助用户控制业务的违规风险，并大幅降低人工审核的人力成本。用户订购文本审核和图片审核产品后，无需进行模型开发，仅需API接口对接，即可便捷、高效、准确地对文本和图片内容进行风险识别，大幅减少网络、云存储中出现的违法违规内容。 本说明提供了内容安全产品API的描述、语法、参数说明及示例等内容。

相关操作 基线检查计划创建后，您可以查看检查计划、对检查计划进行编辑或删除。 查看已有检查计划 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知”，进入态势感知管理页面。 3. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。 4. 在检测设置页面中，查看已有的基线检查计划。 编辑检查计划 1. 在目标计划所在框的右上角单击“编辑”，系统右侧弹出编辑检查计划页面。 2. 编辑需要修改的计划参数。 3. 单击“确定”。 删除检查计划 1. 在目标计划所在框的右上角单击“删除”。 2. 在弹出的对话框中，单击“是”。

安全 透明双向认证：支持界面基于拓扑配置服务间的双向认证。 细粒度访问授权：支持界面基于拓扑配置服务间的访问授权（后台API可以配置Namespace级别授权，授权可以给一个特定的接口）。 可观察性 应用访问拓扑：支持网格应用访问拓扑，体现服务间依赖。 服务运行监控：支持服务访问信息，包括服务和服务各个版本的QPS和延时等指标。 访问日志：支持收集和检索服务的访问日志。 网格数据面服务框架 Spring Cloud：支持Spring Cloud SDK开发的服务在网格上统一管理。 Dubbo：支持Dubbo SDK开发的服务在网格上统一管理。

参数名 说明 HTTP 无论用户请求的协议是HTTP还是HTTPS，节点以HTTP协议回源。 HTTPS 无论用户请求的协议是HTTP还是HTTPS，节点HTTPS协议回源。 跟随 客户端以HTTP或HTTPS协议请求全站加速，节点跟随客户端的协议请求源站。注意回源协议采用HTTPS主要是为了保证信息在传输过程中不被改写或记录，如果您仅需要对敏感的那部分数据（例如：用户身份验证数据）采用更安全的HTTPS协议传输，其他非敏感数据（例如：图片）采用HTTP协议传输，建议您回源协议配置为跟随。

本文简述了如何查询域名基础信息及基础信息包含的内容。 功能介绍 域名基础信息包括 CNAME、加速区域、产品类型、创建时间。 参数 说明 CNAME 展示天翼云提供的域名解析CNAME。用户需要在域名的DNS服务商处配置该CNAME，将流量解析至天翼云边缘节点。参考配置CNAME。 加速区域 展示域名的加速区域 产品类型 展示域名所属产品类型 创建时间 展示域名接入时间 功能截图 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名，即可查看。 注意 如果您的域名状态在新增中，需要新增完成，才能查看域名基础配置。 如果您的域名状态为已停用、停用中、配置中，则只能查看配置，无法编辑。

本章节为您介绍如何进行网关服务优化。 网关服务优化策略可以用于优化外部应用访问。 新增优化策略 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关高级设置”，选择“网关服务优化策略”页签。 3. 在实例页面左上角单击“新增优化策略”。 4. 在弹出的对话框中配置相关参数。 参数 参数说明 策略名 自定义需要新增的优化策略名。 IO超时 设置网关策略的IO超时值。 压缩 选择是否开启压缩。 缓存 选择是否开启缓存。 连接复用 选择是否开启连接复用。 5. 配置完成后单击“确定”即可完成新增。 相关操作 编辑优化策略：选择需要编辑的网关服务优化策略，单击“操作”列的“编辑”，在弹出的对话框中修改相关配置，编辑完成后单击“确定”即完成修改。

本文介绍了日志与审计的相关说明。 RDSPostgreSQL提供了多种日志服务与审计服务，您可根据需要查看或开启相关服务。 操作审计 RDSPostgreSQL记录了用户针对实例的关键操作，可用于支撑安全分析、合规审计和问题定位等常见应用场景。 操作日志的详细介绍和查看方法，请参见操作日志。 日志 RDSPostgreSQL当前提供多项日志监控服务，帮助用户定位分析问题，优化查询语句。 支持查看实例中，执行过慢的SQL执行情况，并可根据SQL关键字、执行时间等进行筛选，协助用户分析优化，提升业务效率。详细介绍请参见慢日志。 支持查看错误日志，通过日志情况分析系统中存在的问题。详细请参见错误日志。

本小节介绍安全专区威胁分析告警列表。 功能说明 展示源IP地址、目的IP地址、来源的组件类型、告警等级以及告警产生时间等。 查询方法 1.根据条件查询，选择高威胁统计，可出现如下：被攻击目标IP地址、产生日志组件类型、告警等级、告警事件描述、被攻击具体时间、处理状态等设置。 2.可根据已处理或者未处理方式，选择组件类型，填写“攻击者IP”和“目标IP”进行数据筛选。 3.告警处理操作：查看未处理状态，点击【去处理】。 即可跳转到相应组件管理页面进行处理。

退订服务器是否影响现有程序运行？ 问题描述 退订服务器是否影响现有程序运行？ 解决方法 容器部署，退订服务器后服务实例将会在CCE集群内重新调度。 如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？ 问题描述 基于Java Chassis开发的微服务注册到开启了安全认证的微服务引擎专享版，微服务的注册发现地址使用微服务引擎服务注册发现的IPv4地址，可以注册成功并正常启动。 如果修改微服务的注册发现地址为微服务引擎注册发现的IPv6地址后，注册失败并报错“java.net.SocketException: Protocol family unavailable”。 可能原因 创建微服务引擎专享版时，当选择开启了IPv6的VPC网络时，创建引擎支持IPv6网络。当部署服务使用IPv6网段且选择容器部署时，选择的CCE集群需要开启IPv6双栈开关。 如果选择的CCE集群资源没有开启IPv6开关，就会导致服务网络不通，报错“java.net.SocketException: Protocol family unavailable”。 解决方法 步骤 1 修改部署了微服务应用的环境，添加开启了“IPv6双栈”开关的CCE集群。 修改环境，请参考。 步骤 2 重新部署应用，请参考。 如何处理操作微服务引擎专享版时遇到非微服务引擎本身错误？ 问题描述 在对微服务引擎专享版执行创建、删除、变更规格、升级等操作时，可能会遇到非微服务引擎本身的错误。 例如，在创建微服务引擎专享版时，集群部署失败，报错如下： {"errorcode":"SVCSTG.00500400","errormessage":"{"kind":"Status","apiVersion":"v1","metadata":{},"status":"Failure","code":400,"errorCode":"CCE.01400013","errorMessage":"Insufficient volume quota.","errorcode":"CCECM.0307","errormsg":"Volume quota is not enough","message":"volume quota checking failed as [60/240] insufficient volume size quota","reason":"QuotaInsufficient"}"} 解决方法 页面上展示的错误信息中已经包含相应服务的错误码，根据错误码和错误信息联系相应服务的技术支持工程师提供支持。

本文为您介绍如何快速创建SSL VPN连接。 前提条件 客户端可以访问互联网。 客户端的私网网段和VPC的私网网段没有重合，否则无法访问VPC内的网络资源。 您已了解VPC中所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。 使用流程 1. 创建VPN网关。 创建VPN网关并开启SSL VPN功能。 2. 创建SSL服务端。 创建相应的SSL服务端，用于接入用户侧连接SSL VPN服务。 3. 创建SSL客户端。 在控制台创建SSL客户端，用于生成客户端连接SSL VPN服务端的配置。 4. 下载客户端证书。 在控制台下载客户端证书，一共三个证书。 5. 配置客户端。 下载客户端软件，安装并配置客户端。详情请参见SSL VPN（Windows客户端双因子认证）、SSL VPN（Android客户端双因子认证）、SSL VPN（macOS客户端双因子认证）步骤五操作。 6. 测试连通性。 登录客户端，访问VPC，测试网络连通性。

本小节介绍Web应用防火墙自定义防护规则最佳实践。 网站接入云WAF防护后，您可以为其开启自定义防护策略功能，据HTTP请求头与请求内容匹配字段设置过滤条件并组合进行访问控制。 通过自定义防护规则，您可以通过对网站专有字段的识别，高精度地鉴别业务流量和攻击流量，进行精准防护。您也可以在发现0day漏洞或发生重点安全事件时依据攻击流量特征进行精准拦截，保护您的网站安全。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“自定义防护配置”页签。 5. 单击“新增规则”，进入新增自定义防护配置页面。

方案架构 方案防护措施 事前预防 提供漏洞检测能力：主动发现系统、应用、数据库等存在的漏洞风险，并支持一键漏洞修复，避免被攻击者利用。 提供基线检查能力：一键核查服务器、数据库等的安全合规配置，如弱口令、配置文件等，消除部分安全隐患。 提供数据备份能力：对关键数据采取实时备份/定时备份等方式对数据进行备份，在被勒索后，可以对备份数据一键恢复，减少损失。 事中防御 提供入侵检测和病毒查杀能力：在网络层面阻断勒索病毒的下载传播，在主机层面识别、阻断和隔离勒索病毒，实现对已知勒索病毒的防御。 提供诱饵防护能力（旗舰版功能）：利用投放在关键位置的诱饵文档，实时监控诱饵文档的改动，一旦单位时间内多个诱饵文件连续发生改动，立即产生报警，终止修改诱饵文件的进程，并隔离进程对应的文件 ，实现对未知勒索病毒的检测和查杀能力。 事后补救防御 提供数据恢复能力：遭遇黑客攻击、人为删除等恶性事件时，将备份的特定时间节点数据进行数据恢复，覆盖被加密或损坏的数据。

参数 说明 账号名称 数据库账号名称在1到128个字符之间，由字母、数字、中划线或下划线组成，不能包含其他特殊字符，不能和系统用户名称相同。系统用户包括：rdsadmin, rdsuser, rdsbackup, rdsmirror。 密码 长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~ ! @ $ % ^ + ? , 特殊字符。 密码不能包含数据库账号名称或名称的逆序。 密码不能是易于破解的弱密码，否则会因弱密码拦截导致创建用户失败。建议您输入高强度密码，以提高安全性，防止出现密码被暴力破解等安全风险。 权限 可以为创建的用户指定角色权限，包括CREATEDB、CREATEROLE、REPLICATION。 CREATEDB：代表该用户具备创建数据库的权限。当不指定此属性时，新创建的用户默认无法创建数据库。 CREATEROLE：代表该用户具备创建其它用户角色的权限。当不指定此属性时，默认无法使用此用户创建新用户。 REPLICATION：代表该用户具备使用流复制或逻辑复制的能力。当不指定此属性时，默认无法使用此用户搭建流复制或逻辑复制。 备注 长度可在0~512个字符之间。

本文为您介绍轻量型云主机的应用场景。 轻量级应用服务搭建 场景说明 个人或企业用户需要搭建网站或小程序，例如搭建博客、门户网站、微信小程序或公众号后台服务在这些场景下，网站的稳定运行和系统的安全性非常重要。 产品优势 用户无需购买和维护本地物理设备，降低了时间和成本投入。 支持多种套餐按需选择，套餐内容可自定义搭配，满足多种场景需求，同时套餐升级不影响业务正常运行。 提供防火墙规则和监控等服务，确保网站的安全和稳定性。 个人云端环境 场景说明 学生、个人或开发者需要创建即开即用的学习或开发实验环境，以进行学习、开发和测试。 产品优势 价格优惠，提供高性价比的计算、存储和网络资源套餐，适合个人开发者的使用需求。 提供安全可靠系统镜像资源，方便用户快速获取。支持Ubuntu、CentOS等常用 Linux 系统镜像以及Windows系统镜像。 云端环境更加方便和灵活，用户可以即时创建和删除环境，不需要担心硬件维护和管理。 企业服务搭建 场景说明 前端开发过程中不可避免会用到图片、视频等多媒体物料，常见的处理方案通常会进行动静分离，将图片等资源放置在图床上，除了使用业界常用的图床资源，我们也可以使用轻量型云主机为自己搭建一个图床，获得更好的基础服务，提升开发体验及效率。

创建委托 1. 登录IAM服务控制台。 2. 选择“委托 > 创建委托”。 3. 设置“委托名称”。例如：DataArts Studioagency。 4. “委托类型”选择“云服务”，在“云服务”中选择数据治理中心DataArts Studio，将操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用其他云服务，代替您进行一些资源运维工作。 5. “持续时间”选择“永久”。 6. 在“权限选择”区域中，单击“配置权限”。 7. 在弹出页面中搜索“Tenant Administrator”策略，勾选“Tenant Administrator”策略并单击“确定”，如下图所示。 − 因Tenant Administrator策略具有除统一身份认证服务IAM外，其他所有服务的所有执行权限。所以给委托服务DataArts Studio配置Tenant Administrator，可访问周边所有服务。 − 若您想达到对权限较小化的安全管控要求，Tenant Administrator可不配置，仅配置OBS OperateAccess权限（因作业执行过程中，需要往obs写执行日志信息，因此需要添加 OBS OperateAccess权限。）。然后再根据作业中的节点类型，配置不同的委托权限。例如某作业仅包含Import GES节点，可配置GES Administrator权限和OBS OperateAccess权限即可。详细方案请参考配置权限。 8. 单击“确定”完成委托创建。 配置权限 将帐号的操作权限委托给DataArts Studio服务后，需要配置委托身份的权限，才可与其他服务进行交互。 为实现对权限较小化的安全管控要求，可根据作业中的节点类型，以服务为粒度，参见下表配置相应的服务Admin权限。 也可精确到具体服务的操作、资源以及请求条件等。根据作业中的节点类型，以对应服务API接口为粒度进行权限拆分，满足企业对权限最小化的安全管控要求。参见下表进行配置。例如包含Import GES节点的作业，您只需要创建自定义策略，并勾选ges:graph:getDetail（查看图详情），ges:jobs:getDetail（查询任务状态），ges:graph:access（使用图）这三个授权项即可。 须知 MRS相关的节点（MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce），以及通过直连方式的（MRS Spark SQL、MRS Hive SQL）节点，由于部分MRS集群不支持委托方式提交作业，所以这类作业不能配置委托。 支持委托方式提交作业的MRS集群如下： 非安全集群 安全集群，集群版本大于2.1.0，并且安装了MRS 2.1.0.1及以上版本的补丁。 配置服务级Admin权限 因作业执行过程中，需要往obs写执行日志信息，因此粗粒度授权时，所有作业都需要添加 OBS OperateAccess权限。 配置相关节点的admin权限 节点名称 系统权限 权限描述 CDM Job DAYU Administrator 数据治理中心服务的所有执行权限。 Import GES GES Administrator 图引擎服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL（通过MRS API方式连接MRS集群的） MRS Administrator KMS Administrator MRS Administrator：MapReduce服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 KMS Administrator：数据加密服务加密密钥的管理员权限。 MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client（通过代理方式连接集群） DAYU Administrator KMS Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 KMS Administrator：数据加密服务加密密钥的管理员权限。 DLI Flink Job、DLI SQL、DLI Spark DLI Service Admin 数据湖探索的所有执行权限。 DWS SQL、Shell、RDS SQL（通过代理方式连接数据源） DAYU Administrator KMS Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 KMS Administrator：数据加密服务加密密钥的管理员权限。 CSS DAYU Administrator Elasticsearch Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 Elasticsearch Administrator：云搜索服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 Create OBS、Delete OBS、OBS Manager OBS OperateAccess 查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限 SMN SMN Administrator 消息通知服务的所有执行权限。 配置细粒度权限（根据各服务支持的授权项，创建自定义策略。） 创建自定义策略的详细操作请参见统一身份认证用户指南中的有关“创建自定义策略”的章节。 说明 作业执行过程中，需要向OBS中写入执行日志。当采取精细化授权方式时，任何类型的作业均需要添加OBS的如下授权项： obs:bucket:GetBucketLocation obs:object:GetObject obs:bucket:CreateBucket obs:object:PutObject obs:bucket:ListAllMyBuckets obs:bucket:ListBucket CDM Job节点隶属于DataArts Studio模块，DataArts Studio不支持细粒度授权。因此包含这几类节点的作业，给服务配置权限仅支持DataArts Studio Administarator。 CSS不支持细粒度授权，且需要通过代理执行。因此包含这类节点的作业，需要配置DataArts Studio Administarator和Elasticsearch Administrator权限。 SMN不支持细粒度授权，因此包含这类节点的作业，需要配置SMN Administarator权限。 自定义策略 节点名称 授权项 Import GES ges:graph:access ges:graph:getDetai ges:jobs:getDetail MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL（通过MRS API方式连接MRS集群的） mrs:job:delete mrs:job:stop mrs:job:submit mrs:cluster:get mrs:cluster:list mrs:job:get mrs:job:list kms:dek:crypto kms:cmk:get MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client（通过代理方式连接集群） kms:dek:crypto kms:cmk:get DataArts Studio Administarator(角色) DLI Flink Job、DLI SQL、DLI Spark dli:jobs:get dli:jobs:update dli:jobs:create dli:queue:submitjob dli:jobs:list dli:jobs:listall DWS SQL、Shell、RDS SQL（通过代理方式连接数据源） kms:dek:crypto kms:cmk:get DataArts Studio Administarator(角色) Create OBS、Delete OBS、OBS Manager obs:bucket:GetBucketLocation obs:bucket:ListBucketVersions obs:object:GetObject obs:bucket:CreateBucket obs:bucket:DeleteBucket obs:object:DeleteObject obs:object:PutObject obs:bucket:ListAllMyBuckets obs:bucket:ListBucket

（可选 ）步骤三：为指定Topic/ 消费组设置特殊权限 1. 单击用户名称，进入用户详情页面。 2. 在“Topic权限”/“消费组权限”页签中，单击添加权限，弹出“添加权限”对话框。 3. 勾选需要添加权限的Topic或者消费组，选择所需的特殊权限，单击“确定”。 指定Topic或者消费组的特殊权限会覆盖默认权限，如图2中，test01的实际权限为发布+订阅。 图2 用户详情页面 步骤四：通过用户访问服务端 实例开启ACL访问控制后，消息生产者和消费者都需要增加用户认证信息。

参数 参数类型 说明 示例 下级对象 alive Integer 实例是否存活,0:存活，1:异常 0 createTime String 创建时间，格式为：yyyy:MM:dd HH:mm:ss 20230505 17:56:18 diskRated Integer 磁盘使用率 0 diskSize Integer 实例数据最大磁盘空间，单位G 0 diskTotal String 磁盘总大小 24G diskType String 磁盘类型，例如：SATA，SSD SATA diskUsed String 已使用磁盘 12G expireTime String 过期时间，格式：yyyyMMdd HH:mm:ss 20230505 17:56:18 machineSpec String 实例机器规格 netName String VPC名称 orderId Integer 订单id 1 outerProdInstId String 对外的实例ID，对应PaaS平台 prodDbEngine String 数据库实例引擎 prodInstFlag String 实例标识 prodInstId String 实例id prodInstName String 实例名称 prodInstSetName String 实例集群名称 prodOrderStatus Integer 订单状态，0：正常，1：冻结，2：删除，3：操作中，4：失败,2005:扩容中 0 prodRunninStatus Integer 实例状态： 0:运行中 1:重启中 2:备份中 3:恢复中 1001:已停止 1006:恢复失败 1007:VIP不可用 1008:GATEWAY不可用 1009:主库不可用 1010:备库不可用 1021:实例维护中 2000:开通中 2002:已退订 2005:扩容中 2011:冻结 0 prodType Integer 实例部署方式 0：单机，1：一主一备，2：一主两备，3：只读实例 1 readPort Integer 读端口 5432 securityGroup String 安全组名称 subnet String 子网名称 userId Long 用户ID 147 vip String 虚拟ip地址 vip6 String vip6 vpcId String VPCID writePort Integer 写端口 6543 parameterGroupUsed String 参数配置所使用的名称，对应PaaS平台 spuCode String 规格id 10003011 toolType Integer 备份工具类型，1：pgbaseback，2：pgbackrest，3：s3 1 subnetId String 子网id securityGroupId String 安全组id hostSeries String 性能类型 鲲鹏通用型(一代机) backupDiskType String 备份空间类型 backupDiskSize String 备份空间大小,当为对象存储时，不返回值 backupUsageDiskSize String 备份已使用空间 10G backupFreeSpace String 备份免费空间 100G billMode Integer 计费模式,1包周期,2按需

参数 参数类型 说明 示例 下级对象 alive Integer 实例是否存活,0:存活，1:异常 0 createTime String 创建时间，格式为：yyyy:MM:dd HH:mm:ss 20230505 17:56:18 diskRated Integer 磁盘使用率 0 diskSize Integer 实例数据最大磁盘空间，单位G 0 diskTotal String 磁盘总大小 24G diskType String 磁盘类型，例如：SATA，SSD SATA diskUsed String 已使用磁盘 12G expireTime String 过期时间，格式：yyyyMMdd HH:mm:ss 20230505 17:56:18 machineSpec String 实例机器规格 netName String VPC名称 orderId Integer 订单id 1 outerProdInstId String 对外的实例ID，对应PaaS平台 prodDbEngine String 数据库实例引擎 prodInstFlag String 实例标识 prodInstId String 实例id prodInstName String 实例名称 prodInstSetName String 实例集群名称 prodOrderStatus Integer 订单状态，0：正常，1：冻结，2：删除，3：操作中，4：失败,2005:扩容中 0 prodRunninStatus Integer 实例状态： 0:运行中 1:重启中 2:备份中 3:恢复中 1001:已停止 1006:恢复失败 1007:VIP不可用 1008:GATEWAY不可用 1009:主库不可用 1010:备库不可用 1021:实例维护中 2000:开通中 2002:已退订 2005:扩容中 2011:冻结 0 prodType Integer 实例部署方式 0：单机，1：一主一备，2：一主两备，3：只读实例 1 readPort Integer 读端口 5432 securityGroup String 安全组名称 subnet String 子网名称 userId Long 用户ID 147 vip String 虚拟ip地址 vip6 String vip6 vpcId String VPCID writePort Integer 写端口 6543 parameterGroupUsed String 参数配置所使用的名称，对应PaaS平台 spuCode String 规格id 10003011 toolType Integer 备份工具类型，1：pgbaseback，2：pgbackrest，3：s3 1 subnetId String 子网id securityGroupId String 安全组id hostSeries String 性能类型 鲲鹏通用型(一代机) backupDiskType String 备份空间类型 backupDiskSize String 备份空间大小,当为对象存储时，不返回值 backupUsageDiskSize String 备份已使用空间 10G backupFreeSpace String 备份免费空间 100G billMode Integer 计费模式,1包周期,2按需

本章节主要介绍节点排水。 操作场景 您可以通过控制台使用节点排水功能，系统会将节点设置为不可调度，然后安全地将节点上所有符合节点排水规则的Pod驱逐，后续新建的Pod都不会再调度到该节点。 在节点故障等场景下，该功能可帮助您快速隔离故障节点，被驱逐的Pod将会由工作负载controller转移到其他正常可调度的节点上。 约束与限制 仅以下指定版本的集群支持节点排水功能： v1.21集群：v1.21.10r0及以上版本 v1.23集群：v1.23.8r0及以上版本 v1.25集群：v1.25.3r0及以上版本 v1.25以上版本集群 IAM用户在使用节点排水功能时，至少需要具有以下一项权限，详情请参见命名空间权限（Kubernetes RBAC授权）。 clusteradmin（管理员权限）：对全部命名空间下所有资源的读写权限。 drainageeditor：节点排水操作权限，可执行节点排水。 drainageviewer：节点排水只读权限，仅可查看节点排水状态，无法执行节点排水。 节点排水规格 节点排水功能会安全驱逐节点上的Pod，但对于满足以下过滤规则的Pod，系统会进行例外处理： 表 节点排水规则 Pod筛选条件 使用强制排水 不使用强制排水 Pod的status.phase字段为Succeeded或Failed 删除 删除 Pod不受工作负载controller管理 删除 放弃排水 Pod由DaemonSet管理 忽略 放弃排水 Pod中挂载了emptyDir类型的volume 驱逐 放弃排水 由kubelet直接管理的静态Pod 忽略 忽略 说明 节点排水过程中可能会对Pod执行的操作如下： 删除：Pod会从当前节点上删除，不会再重新调度至其他节点。 驱逐：Pod会从当前节点上删除，且会重新调度至其他节点。 忽略：Pod不会被驱逐或删除。 放弃排水：若节点上存在放弃排水的Pod，节点排水过程会中止，不会驱逐或删除任何Pod。

本节介绍如何为包周期的态势感知（专业版）订单进行续费。 态势感知（专业版）续费是在原已购买的版本规格的基础上，延长使用时间。续费操作不能变更版本规格，即不能改变“主机配额”。 续费操作仅针对包周期版本。 包周期（包年/包月）模式为预付费方式。当购买的包周期版本到期时，用户需通过续费延长使用期。 按需计费为按小时计费，即开即用。在账户余额充足前提下，不涉及过期情况，即无需续费操作。 手动续费 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“已购资源”，进入已购资源页面后，在待续费态势感知（专业版）版本所在region栏中，单击“续费”，系统跳转至费用中心“续费管理”页面。 4. 在态势感知（专业版）实例所在行，单击“续费”，跳转至“续费”页面。 5. 配置“续费时长”，如选择“一年”。 6. （可选）设置并勾选“统一到期时间”。默认将统一到期时间设置为每月1号23:59:59 GMT+08:00。 7. 单击“去支付”，跳转至支付页面，完成付款。 返回续费管理页面，可查看态势感知（专业版）已续费成功。 开通自动续费 在账户余额充足前提下，已配置“自动续费”后，包周期版本的资产配额、增值包、安全编排将自动续费，延长使用周期。 1. 登录管理控制台。 2. 单击“费用与成本 > 续费管理”，跳转至费用中心“续费管理”页面。 3. 在“手动续费项”页签，选择态势感知（专业版）专业版实例，单击“开通自动续费”，跳转至自动续费配置页面。 4. 选择配置“自动续费周期”和勾选“预设自动续费次数”。 5. 单击“开通”，完成自动续费配置。 6. 返回续费管理页面，在“自动续费项”页签，可查看态势感知（专业版）已开通自动续费。 后续将根据配置，自动续费延长使用期。

本节主要介绍如何导入、导出情报指标。 约束与限制 仅支持导入.xlsx格式的文件，且文件大小不超过5MB。 最多支持导出9999条情报指标信息。 导入指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，单击指标列表左上角的“导入”。 6. 在弹出的“导入”对话框中，单击“下载模板”，并根据模板填写要求填写待导入情报指标信息。 7. 待导入情报指标文件填写完成后，在导入情报指标对话框中，单击“添加文件”，选择你需要导入的Excel文件。 8. 选择完成后，单击“确定”，完成导入。 导出指标 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面中，勾选您需要导出的指标，并单击列表右上角的，弹出导出对话框。 6. 在导出指标对话框中，配置参数。 参数名称 参数说明 导出格式 默认导出excel格式的指标列表。 自定义导出列 选择导出表格中，需要导出的参数。 7. 单击“确定”。 系统将自动下载指标excel表格到本地。

本节指导用户通过密钥管理界面使用在线工具加解密不大于4KB的数据。 前提条件 自定义密钥处于“启用”状态。 约束条件 在线工具不支持通过默认密钥加解密小数据。 用户可使用调用API接口的方式，使用默认密钥加解密小数据。 加密数据时，使用当前指定的密钥加密数据。 解密数据时，在线工具自动识别并使用数据被加密时使用的密钥解密数据，如果加密时使用的密钥已被删除，会导致解密失败。 加密数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标自定义密钥的别名，进入密钥详细信息在线工具加密数据页面。 步骤 5 在“加密”文本框中输入待加密的数据。 步骤 6 单击“执行”，右侧文本框显示加密后的密文数据。 说明 加密数据时，使用当前指定的密钥加密数据。 用户可单击“清除”，清除已输入的数据。 用户可单击“复制到剪切板”拷贝加密后的密文数据，并保存到本地文件中。 解密数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 解密数据时，可单击任意“启用”状态的非默认密钥别名，进入该密钥的在线工具页面。 步骤 5 单击“解密”，在左侧文本框中数据待解密的密文数据。 说明 在线工具自动识别并使用数据被加密时使用的密钥解密数据。 若该密钥已被删除，会导致解密失败。 步骤 6 单击“执行”，右侧文本框中显示解密后的明文数据。 说明 用户可直接单击“复制到剪切板”拷贝解密后的明文数据，并保存到本地文件中。