简述客户业务接入AOne边缘安全加速各个服务的基本条件。 安全与加速 限制项 具体要求 说明 ::: 加速域名 中国内地： 1.已在天翼云进行实名认证。 2.域名已在工信部备案且备案信息正常有效。 3.域名接入时需要经过内容审核。 加速范围为中国内地、全球的域名必须在工信部备案才能接入AOne安全与加速，否则天翼云无法提供加速服务。 域名额定用量 1.URL刷新：10000条/日。 2.目录刷新：1000条/日。 3.URL预取：2000条/日。 为防止资源滥用，AOne安全与加速限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请提交工单申请扩大额度。 回源 1.请求行&请求头：请求行的最大长度为64k，每个请求头的最大长度为64k，请求行加请求头的大小不能超过256k。 2.超时时间：客户端和网关保持TCP连接的超时时间，默认值 60s。 3.源站端口：http回源端口默认80，支持自定义。https端口默认443，不支持自定义，如需配置非443端口请提交工单申请。 详情请参考[]( 突发带宽限流 若您对AOne安全与加速有突发带宽控制需求，请提前提交工单申请配置全网带宽控制功能。全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 文件 通过AOne安全与加速传输的文件大小默认限制为单个文件最大不超过300MB。支持自定义。 请求方式 支持GET、PUT、POST和HEAD等请求方式。 可以通过回源HTTP请求头功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。

本章节主要介绍 鉴权策略。 安全模式 大数据平台用户完成身份认证后，系统还需要根据实际权限管理配置，选择是否对用户进行鉴权，确保系统用户拥有资源的有限或全部权限。如果系统用户权限不足，需要由系统管理员为用户授予各个组件对应的权限后，才能访问资源。安全模式或者普通模式集群均提供鉴权能力，组件的具体权限项在两种模式中相同。 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源的时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 安全版本的集群所有组件默认统一对及访问进行鉴权，不支持关闭鉴权功能。 普通模式 普通模式的集群不同组件使用各自原生开源的鉴权行为，详细鉴权机制下表所示。 在安装了Ranger服务的普通模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 普通模式组件鉴权一览表 服务 是否鉴权 是否支持开关鉴权 ClickHouse 鉴权 不支持修改 Flume 无鉴权 不支持修改 HBase 无鉴权 支持修改 HDFS 鉴权 支持修改 Hive 无鉴权 不支持修改 Hue 无鉴权 不支持修改 Kafka 无鉴权 不支持修改 Loader 无鉴权 不支持修改 Mapreduce 无鉴权 不支持修改 Oozie 鉴权 不支持修改 Spark2x 无鉴权 不支持修改 Storm 无鉴权 不支持修改 Yarn 无鉴权 支持修改 ZooKeeper 鉴权 支持修改

子网 云资源（例如云服务器、物理机等）必须部署在子网内。您可以在虚拟私有云内创建一个或多个子网，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改。 安全组 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 目前，天翼云已在全国多个地域开放，您可以根据需求选择适合自己的区域和可用区。更多信息请参见天翼云产品部署看板 。

配置检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 风险账户检测”。 3. 选择“字典匹配”页签，新增自定义规则或使用内置弱口令规则。 风险账户检查 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 风险账户检测”。 3. 选择“风险账户检查”页签，选择检查范围及检查类型后，单击“立即检查”。 4. 如下图所示，可显示风险账户及弱口令检测结果。

本小节介绍态势感知产品定义。 态势感知为用户提供统一的威胁检测平台。态势感知能够帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 态势感知系统通过资产管理、脆弱性评估、威胁检测等手段完成用户网络的安全检查、风险评估、可视化呈现。同时，通过与国家应急响应中心（CNCERT）权威监测平台的威胁情报、知识库对接，动态实时地完成应急协同、威胁情报接入、信息流转、防护规则更新等信息交换，做到用户安全风险的快速发现和信息闭环。

优势 概括词 简介文案 丰富 域名种类丰富 天翼云域名服务提供了丰富的域名种类供用户注册，可以提供中文、英文等几十种域名类型。 实时 实时注册 天翼云域名服务在注册时直连注册管理机构API，实现实时的注册和查询服务。 管理 完善的域名管理 在域名管理中心您可看到域名注册日期、到期日期、DNS配置、实名认证、域名证书信息等 安全 安全可信 天翼云域名服务提供一个安全可信的域名服务平台，保障用户个人隐私数据安全 性价比 高性价比 天翼云域名服务致力于让用户花最少的钱，为用户提供最好的产品和最优质的服务。

安全体检产品当前支持按年订购，如开通自动续费，服务到期前，将为您自动续费1年。 到期说明 安全体检产品到期后，如您未开通自动续订，产品将自动冻结，届时您将无法操作体检IP、通知信息、启动体检、下载或预览报告等操作，产品将持续冻结15天，15天后，如您仍未完成续订操作，产品将销毁，您的所有数据将被清除并无法恢复。 续订说明 安全体检产品当前支持包月或包年订购，您可在产品服务到期前，选择续费，或者开通自动续费，服务到期前，将为您自动续费订购时选择的周期时长（例如订购时选择开通5个月，并勾选了自动续订，则开通5个月后到期时为您自动续期5个月）。 续订步骤 1. 登录产品控制台。 2. 点击“续订体检”按钮，跳转到安全体检续订界面。 3. 在续订页面，点击“立即续订“按钮，跳转到支付页面。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看续订结果。

策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

本小节介绍态势感知控制台功能。 控制台用来统计分析用户单位的资产情况、所面临的威胁情况、单位整体的安全态势评分、威胁资产、漏洞资产、威胁方、实时消息提示及威胁情报。 控制台首行数字贴：统计资产总量、高危漏洞资产、受攻击资产、失陷主机、勒索软件主机、恶意软件主机、漏洞利用主机、威胁总量。 安全态势评分：是系统基于当前单位的资产情况、漏洞情况、威胁情况量化出来的一个分值。 分值越高，表示系统安全系数越高。 系统的安全级别分为：优、良、中、差、危五个级别。 资产威胁排行：根据最近24小时的异常行为次数统计了风险资产的top5。 资产漏洞排行：根据最近24小时的漏洞数值统计了风险资产的top5。 威胁方排行：根据最近24小时的攻击情况，统计了威胁方top5。 实时地图、实时威胁：展示系统检测到的实时异常行为情况，攻击线表示威胁方针对资产的异常行为，箭头代表了攻击方向。 消息提示：展示系统产生的操作提示，高危漏洞、威胁等检测结果，动态滚动提示。 威胁情报：对接国家中心的威胁预警，包括漏洞公告、恶意代码通告等。 安全资讯：对接国家中心的安全态势报告，包括网络安全信息与动态周报、国家信息安全漏洞共享平台周报、CNCERT互联网安全威胁报告等。

本文介绍AOne在金融行业的最佳实践。 背景信息 数字化发展使得金融机构的业务更加依赖于信息技术和网络通信。用户期望能够在任何时间、任何地点通过互联网进行交易，并且希望能够获得流畅、高效的体验。这也意味着大量敏感数据（如个人身份信息、账户信息等）通过互联网传输和处理。随着数字化交易的增加，网络犯罪活动也在不断演进，金融机构必须采取强大的安全措施来防止数据泄露、欺诈行为和黑客攻击。 天翼云边缘安全加速平台AOne基于CDN动静态加速、WAF、DDoS防护能力，帮助保护客户数据和防范网络攻击，满足监管要求，并确保业务连续性；同时，加速服务优化网络性能，提供快速、流畅的用户体验，增强金融机构的竞争力和客户信任。 技术架构 应用场景 网络安全防护场景 业务挑战：金融机构面临各种网络安全威胁，如DDoS攻击、Web应用攻击、数据泄露等，这可能导致网络中断、敏感数据泄露和业务损失。 方案优势：AOne提供强大的边缘安全防护，通过全球部署的边缘节点，及时检测和缓解DDoS攻击，使用WAF技术监控和过滤恶意请求，实现数据加密和安全访问控制，保护网络和应用程序免受攻击。

复制策略 通过复制策略，可以快速添加一个和已有策略类似的策略。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，在已有策略的操作列单击“复制策略”，进入复制策略页面。 4. 策略配置的详细说明请参考添加策略。 编辑策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，在已有策略的操作列单击“编辑”，进入编辑策略页面。 4. 在策略编辑界面，可以修改策略名称、策略应用的对象、检测规则配置对应的处理方式。策略配置的详细说明请参考添加策略。 批量管理策略 支持批量对策略进行管理，包括启用、禁用、删除。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，勾选入侵行为名称前的复选框，选择要操作的策略。 4. 单击选择列表上方的“批量”按钮，展开批量操作。 5. 根据需要选择执行的操作，支持批量启用、禁用、删除。

本节介绍天翼云数据安全中心服务协议。 天翼云数据安全中心服务协议

切换镜像 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击“计算增强型AI云电脑”，进入“计算增强型AI云电脑”页面； 3. 在需要切换镜像的实例所在行，点击“管理”，选择“切换镜像”操作； 4. 选择执行时间； 立即执行：实例立即执行切换镜像的程序； 暂不执行：用户或管理员选择系统重装操作时，实例才执行切换镜像的程序； 5. 点击“确认”，即完成实例的镜像切换。 注意 镜像切换后，安装在系统盘的程序、数据将清除，数据盘的数据将保留，若非实例故障，通常不建议使用此功能。 安全组管理 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击“计算增强型AI云电脑”，进入“计算增强型AI云电脑”页面； 3. 在需要管理安全组的实例所在行，点击“管理”， 选择“安全组管理”操作； 4. 点击新建，选择需要绑定的安全组和对应的网卡，点击“确定”，即完成实例的安全组绑定。 网卡管理 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击“计算增强型AI云电脑”，进入“计算增强型AI云电脑”页面； 3. 在需要管理网卡的实例所在行，点击“管理”， 选择“网卡管理”操作； 4. 点击添加网卡，选择 VPC 子网并填写 IP 地址，点击“确定”，即完成实例网卡的创建。

参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池id azName 否 String 可用区编码，若资源池无可用则不传 cnxinan12A vpcId 是 String vpc Id subnetId 是 String 子网id zoneId 是 String 区域id，值同regionId zoneType 是 String 是否为蒙贵资源池，1：蒙贵，2：非蒙贵 2 cpuNum 是 String CPU核数，取值范围:[2,4,8,16] 2 memSize 是 String 内存大小，取值范围:[4,8,16,32] 4 flavorType 是 String 云主机规格类型 CPUS7 flavorUuid 否 String 云主机规格id 注：自研池云主机必传此参数 flavorRef 否 String 合营池云主机规格名称，资源池为合营池时必传 c7.large.2 sysVolumeSize 否 String 系统盘大小(G)，取值范围:401000 注：自研池必传此参数 40 version 否 String 云主机销售品版本，取值范围：[v1，v2] 注：自研池时必传 v1 securityGroupIdList 否 String 安全组id，需要在下单前创建好安全组 安全组命名规则：cfwssoxxxxxx 安全组入向规则：指定端口、访问源，TCP协议 安全组出向规则：全放通 securityGroups 否 Array of Objects 安全组id列表 合营池下单传此参数 securityGroups vmName 是 String 云主机实例名称，命名规则：CFWxxxx CFWa4f0 publicIpId 否 String 开通资源所在资源池下未绑定的弹性IP的id 注：自研池传此参数 publicIp 否 String 开通资源所在资源池下未绑定的弹性IP地址 注：合营池传此参数 adminPass 否 String 云主机初始化密码 cpuArch 是 String 云主机cpu架构，取值范围：x86，arm x86 networkCards 是 Array of Objects 网卡信息 networkCards projectId 否 String 企业项目id 自研池必传，无企业项目时传默认值：0 合营池非必填参数 0

本章节为您介绍数据安全专区IAM权限的相关内容 本文为您介绍数据安全专区的权限管理能力，支持通过IAM实现对数据安全专区的访问控制、权限分配。 数据安全专区通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制数据安全专区服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 数据安全专区IAM策略说明 天翼云为数据安全专区提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 dszSecAdmin 数据安全专区安全管理员策略，不支持订单相关操作。 系统策略 资源池 dszAudAdmin 数据安全专区审计管理员策略，不支持订单相关操作 系统策略 资源池 dszSysAdmin 数据安全专区系统管理员策略，不支持订单相关操作 系统策略 资源池 dszAuthAdmin 数据安全专区权限管理员策略，不支持订单相关操作 系统策略 资源池 dszApproveAdmin 数据安全专区审批管理员策略，不支持订单相关操作 系统策略 资源池 数据安全专区订单业务员 支持数据安全专区购买、续订、退订、升配、降配权限。 系统策略 全局级

场景架构 搭配使用产品 在该场景实施建设时，您也可以搭配使用以下产品： 弹性云主机CTECS：用于承载迁移后的业务系统和应用集群。 弹性IP EIP：为迁移后的服务器提供静态公网IP，保证业务的外部访问能力。 对象存储CTOOS：用于存储迁移后的对象数据，满足数据的持久化存储需求。 高密特殊上云迁移 场景说明 政府单位以及部分特殊企业，具有较高的安全需求；需要采取一系列措施来确保数据和信息的安全性。在这种场景下，通常会对内外网进行隔离，限制上云迁移软件的使用。 场景痛点 无法直接互联：由于内网与互联网之间存在隔离，使得传统的迁移产品无法直接与内网进行互通。 安全性需求高：对数据和信息的安全性要求较高，传输过程需要采取加密措施来确保数据的安全传输。 产品优势 自研数据加密传输算法：CMS针对性开发了自研公网数据加密传输算法，提高数据在公网传输的安全性，确保数据不被非法访问。 内网代理跳转转发：CMS能够通过代理对网闸隔离后的内网数据进行跳转转发，实现内外网的数据通信，无需直接打通内网与互联网。 多方面的安全设计：CMS从数据处理、数据传输、连接设计、分权管理等各个角度对安全性进行设计，确保整个迁移过程的安全性，满足高密特殊场景的安全需求。

本文介绍了边缘安全加速平台域名管理操作基础配置的使用方法。 使用场景 边缘安全加速控制台域名列表中提供域名的快捷跳转配置功能，可直接在域名列表中选择对应域名、对应配置模块跳转进行配置查看及编辑。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面，选择在目标域名，点击操作栏【基础配置】。 3.点击需要配置的模块，跳转至对应配置页面。 功能模块 说明 回源配置 包括源站配置、回源协议、回源端口、回源HOST、回源URL改写配置项。 请求协议 包括请求协议、证书、强制跳转配置项。 HTTPS配置 包括HTTP2.0配置项。 头部修改 包括HTTP响应头、回源HTTP请求头配置项。 文件处理 包括文件压缩等配置项 IPv6外链改造 包括IPv6外链改造、网站首页IPv6标识。 Websocket 包括Websocket开关。

本小节介绍镜像漏洞。 本章节指导用户查看私有镜像上存在的漏洞，并判断是否需要“忽略”漏洞。 前提条件 已开启容器节点防护。 检测方式 用户开启容器节点防护后，容器安全服务自动执行对Linux镜像的安全扫描。 约束限制 仅支持查看Linux镜像存在的漏洞。 查看私有镜像仓库漏洞 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航树中，选择“风险预防 > 容器镜像安全”，选择“容器镜像漏洞 > 私有镜像仓库漏洞”页签，查看私有镜像窗口漏洞。 说明 单击风险镜像名称，可查看该风险镜像的漏洞概况，包括漏洞名称、修复紧急度、受影响镜像个数、漏洞描述等信息。 漏洞参数说明 参数名称 说明 操作 漏洞名称 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见步骤3。 修复紧急度 提示您是否需要立刻处理该漏洞。 受影响镜像数（个） 显示受该漏洞影响的镜像个数。 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 3、 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表。

本小节介绍手动解除误拦截IP。 在30秒内，账户暴力破解次数达到5次及以上，或者3600秒内，账户暴力破解次数达到15次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入。若已拦截IP为合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），您可以参照本章节手动解除拦截IP。 手动解除被拦截的可信IP，仅可以解除本次HSS对该IP的拦截。若再次发生多次密码输错，该IP仍会被HSS拦截。 说明 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 当HSS检测到拦截IP超过默认拦截时间后，主机不再被暴力破解攻击，将会自动解除拦截。 手动解除拦截IP 1、登录管理控制台。、 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在左侧导航树中，选择“入侵检测 > 事件管理”。 4、在安全告警统计区域中，单击“已拦截IP”。 5、在弹出的“已拦截IP”页面，勾选误禁IP后，单击列表上方的“解除拦截”，解除拦截IP。

本文简述强制跳转的场景及配置方法。 功能介绍 强制跳转功能，可以将用户到边缘节点的请求方式重定向为HTTP或HTTPS请求。天翼云边缘安全加速平台安全与加速服务支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTPS请求强制跳转为HTTP请求。 注意事项 当HTTPS开关未启用时，强制跳转只支持从HTTPS301或302重定向为HTTP。只有当HTTPS开启且完成证书配置的情况下，才支持从HTTP301或302重定向为HTTPS。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入请求协议页面，单击“编辑配置”。 4.变更“强制跳转”，从停用改为启用。 5.选择目标跳转场景，如“HTTP>HTTPS”、“HTTPS>HTTP”。 6.选择合适的跳转方式，如302跳转或301跳转。 配置界面 新增域名，配置强制跳转： 域名添加完成后，编辑强制跳转：

云堡垒机每一个实例对应一个独立运行的云堡垒机运维管理系统环境。 用户首先需要购买一个云堡垒机实例，购买后，系统默认创建一个云堡垒机管理员账号（默认管理员用户admin），可通过该账号单点登录云堡垒机系统；登录实例后，根据提示配置运维管理环境，实现云堡垒机实时远程高效运维管理。 前提条件 已获取管理控制台的登录账号与密码。 已购买至少一个弹性公网IP（Elastic IP，EIP）。 注意 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 单击右上角的“购买堡垒机”，进入产品订购页。 4. 选择“云堡垒机实例”基础信息和资产规格。 参数 说明 计费模式 选择实例计费模式，仅支持“包年/包月”模式。 包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 部署架构 选择新购堡垒机的部署架构，目前支持：通用性x86、鲲鹏ARM、海光X86、飞腾ARM。 地域/可用区 选择实例应用区域和可用区，即提供云堡垒机服务的区域和可用区。 建议根据待管理ECS、RDS等服务器上资源的区域和可用区选择，可以降低网络时延、提高访问速度。 实例名称 自定义实例名称。 长度为215字符，以字母开头，可包含数字、“.”、“”、“”，不可包含中文。 实例规格 选择实例规格，目前仅支持“单机版”。 版本 支持“高级版”，该版本支持的功能清单请到功能特性查看。 资产规格 选择需要纳管的资产数，堡垒机不同版本支持的资产数略有不同，请根据实际需要选择。 5. 配置云堡垒机实例的网络信息。 参数 说明 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 注意 默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 云堡垒机支持直接管理同一区域同一VPC网络下的ECS等资源，通过堡垒机纳管资源后，可直接访问并管理对应的资源。 订购完成后，虚拟私有云不支持修改。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 说明 一个安全组为同一个VPC网络内具有相同安全保护需求、并相互信任的堡垒机资源提供访问策略。当云堡垒机加入安全组后，即受到该安全组中访问规则的保护。 云堡垒机可与资源主机ECS等共用安全组，各自调用安全组规则互不影响。 如需修改安全组，请参见更改安全组。 子网 选择当前VPC内子网。 说明 子网需在VPC的网段内。 弹性IP （可选）选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 6. 选择配套的弹性云主机规格，包括云主机规格、系统盘、数据盘。 云主机规格默认选择最低规格，您可在下拉框中选择主机规格或者输入规格名称进行搜索（支持模糊搜索）。 系统盘和数据盘默认选择最低规格，您可根据业务实际需求进行适量提升。 具体云主机规格需求如下： 版本 资产规格 并发数 推荐云主机规格 版本 资产规格 并发数 CPU 内存 系统盘 数据盘 高级版 10资产 10并发上线 2核 8GB 40GB 300GB 高级版 20资产 20并发上限 2核 8GB 50GB 300GB 高级版 50资产 50并发上限 4核 16GB 50GB 500GB 高级版 100资产 100并发上限 8核 32GB 50GB 800GB 高级版 200资产 200并发上限 8核 32GB 50GB 800GB 高级版 500资产 500并发上限 12核 48GB 50GB 2048GB 高级版 1000资产 1000并发上限 16核 64GB 50GB 2048GB 高级版 2000资产 2000并发上限 16核 128GB 50GB 2048GB 高级版 5000资产 2000并发上限 24核 192GB 50GB 4096GB 高级版 10000资产 2000并发上限 32核 192GB 50GB 4096GB 7. 选择“购买时长”，可按月或按年购买云堡垒机。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 8. 确认参数配置无误后，阅读并同意相关协议，单击“立即购买”。 9. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

使用组播功能时，安全组如何放通？ 为保证您的组播流量顺利到达云上，您需要放通弹性云服务器（弹性云主机或弹性裸金属）所在的安全组。对于期货券商来说，由于行情信息一般是先使用 TCP 单播到交易所行情查询服务器进行用户验证，再使用 UDP组播进行行情的分发。所以需要检查行情软件的配置文件，找到 TCP 的端口号和 UDP 的端口号，并放通行情服务器虚拟机所在的安全组。

参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池id azName 否 String 可用区编码，若资源池无可用则不传 cnxinan12A vpcId 是 String vpc Id subnetId 是 String 子网id zoneId 是 String 区域id，值同regionId zoneType 是 String 是否为蒙贵资源池，1：蒙贵，2：非蒙贵 2 cpuNum 是 String CPU核数，取值范围:[2,4,8,16] 2 memSize 是 String 内存大小，取值范围:[4,8,16,32] 4 flavorType 是 String 云主机规格类型 CPUS7 flavorUuid 否 String 云主机规格id 注：自研池云主机必传此参数 flavorRef 否 String 合营池云主机规格名称，资源池为合营池时必传 c7.large.2 sysVolumeSize 否 String 系统盘大小(G)，取值范围:401000 注：自研池必传此参数 40 version 否 String 云主机销售品版本，取值范围：[v1，v2] 注：自研池时必传 v1 securityGroupIdList 否 String 安全组id，需要在下单前创建好安全组 安全组命名规则：cfwssoxxxxxx 安全组入向规则：指定端口、访问源，TCP协议 安全组出向规则：全放通 securityGroups 否 Array of Objects 安全组id列表 合营池下单传此参数 securityGroups vmName 是 String 云主机实例名称，命名规则：CFWxxxx CFWa4f0 publicIpId 否 String 开通资源所在资源池下未绑定的弹性IP的id 注：自研池传此参数 publicIp 否 String 开通资源所在资源池下未绑定的弹性IP地址 注：合营池传此参数 adminPass 否 String 云主机初始化密码 cpuArch 是 String 云主机cpu架构，取值范围：x86，arm x86 networkCards 是 Array of Objects 网卡信息 networkCards projectId 否 String 企业项目id 自研池必传，无企业项目时传默认值：0 合营池非必填参数 0

section73d07d61f523919c)。 系统盘 选择系统盘的存储容量。推荐系统盘规格请参考：堡垒机资产规格。 数据盘 选择数据盘的存储容量。推荐数据盘规格请参考：堡垒机资产规格。 企业项目 选择堡垒机所属的企业项目。 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 子网 选择当前VPC内子网。 子网需在VPC的网段内。 弹性IP 选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 购买时长 选择实例使用时长。 可按月或按年购买云堡垒机。 5. 配置完成后，确认订单无误并阅读《天翼云云堡垒机（原生版）服务协议》后，勾选“我已阅读并同意《天翼云云堡垒机（原生版）服务协议》”，单击“立即购买”。 6. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 说明 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址。 说明 目前支持选择IPV4和IPV6网段的子网。 内网安全组 内网安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 数据库端口 数据库端口默认8635，实例创建成功后可修改。文档数据库服务访问的数据库端口与数据库缺省值有区别，且需在安全组中添加相应规则，以免影响使用。 跨网段访问配置 现在设置 通过内网连接副本集实例时，当客户端和副本集实例部署在不同网段时，且客户端所在的网段不在“192.168.0.0/16”，“172.16.0.0/24”和“10.0.0.0/8”时，需要进行跨网段访问配置，以实现网络互通。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以配置“对等连接”。 跨网段访问配置当前最多可支持配置9个源端网段， 源端网段之间允许重叠但不能重复。即设置的源端网段之间可以有交集但不能完全一样，禁止使用127开头的网段，允许的IP掩码范围为832。 创建后设置 暂不配置源端对应网段。 IPV6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。

本文主要介绍云防火墙的功能特性。 为满足不同场景下的防护需求，云防火墙提供了“标准版”、“专业版”供您使用，包括访问控制、攻击防御、流量分析以及日志审计等功能。 总览 总览呈现云上资产的整体防护和安全策略配置情况，助您全面了解资产的安全状态。 功能名称 功能描述 标准版 专业版（包周期） 总览 实时展示云上资产的安全防护状态，帮助您全面了解攻击事件和异常流量等安全风险。 ✓ ✓ 资产管理 云防火墙提供对云上资产的安全防护，有效降低安全风险。 资源名称 功能描述 标准版 专业版（包周期） IPv4 支持对IPv4资产的防护 ✓ ✓ IPv6 支持对IPv6资产的防护 ✓ ✓ EIP 云防火墙通过对弹性公网IP（EIP）的防护实现互联网边界流量的防护。 ✓ ✓ VPC（私网IP） 云防火墙通过对虚拟私有云（VPC）的防护实现VPC和VPC之间、本地数据中心（IDC）和云上VPC之间流量的防护。 × ✓ 云上资产的防护规格： 功能名称 标准版 专业版（包周期） 防护的公网IP（EIP）数量 20个（可扩容，最大扩容至2000个） 50个（可扩容，最大扩容至2000个） 防护的VPC数量 × 2个（可扩容，最大扩容至100个） 互联网边界防护带宽 10Mbps（可扩容，最大扩容至5,000Mbps） 50Mbps（可扩容，最大扩容至5,000Mbps） VPC边界防护带宽 × 200Mbps（随VPC数量扩容）

本文介绍边缘安全加速平台的首页。 简介 边缘安全加速平台服务首页，整体展示所有产品的开通情况、概览指标、计费余量等。 操作步骤 1. 登录 边缘安全加速平台控制台首页 。 2. 首页内容分为：已开通产品、产品优惠、全部产品、帮助文档、产品推荐、AOne助手共六个模块。 内容介绍 消息中心 顶部支持查看平台推送的未读消息，点击则进入消息中心，对历史消息进行浏览，并支持一键已读。 目前支持推送域名配置、规则更新动态、系统公告。 态势大屏 顶部支持查看态势大屏，点击顶部的【态势大屏】，选择”点击前往“后进入对应产品的态势大屏。 已开通产品 具体字段的说明如下： 产品 概览指标 说明 安全与加速 域名防护数 目前已开启防护策略的域名数以及总域名数占比 安全与加速 已订购流量/剩余流量 已订购流量套餐内流量+资源包总量；剩余流量已订购流量中剩余可用流量 安全与加速 已订购请求数/剩余请求数 已订购请求数套餐内动态请求数+动态请求数资源包总量；剩余流量已订购请求数中剩余可用量 边缘接入 今日/本月总流量 域名今日已使用流量和本月已使用流量 边缘接入 今日/本月带宽峰值 域名今日带宽峰值和本月带宽峰值 开发者平台 函数数量 开发者服务中已使用的边缘函数的数量 开发者平台 本月调用次数 本月函数的调用次数 开发者平台 本月出流量 本月已使用函数的出流量大小 零信任 已添加/已购买用户数 统计目前零信任服务中已购买的用户数和已使用的用户数 零信任 套餐剩余流量 零信任套餐内剩余的流量 零信任 本月带宽峰值 零信任本月用户的带宽峰值 终端管理 已用授权点数 终端设备列表中已使用的端点总数 终端管理 总授权额度 终端管理已购买的端点总数 学术加速 用户总数 学术加速已使用的用户数 学术加速 剩余流量 学术加速套餐内剩余的流量

本章节主要介绍安全配置。 设置安全通道加密 默认情况下，组件间的通道是不加密的。您可以配置如下参数，设置安全通道是加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > 服务名 > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后需要重启对应服务。 详见下表：参数说明 配置参数 说明 缺省值 hbase.rpc.protection 设置HBase通道是否加密，包含HBase客户端访问HBase服务端的RPC（remote procedure call）通道，HMaster和RegionServer间的RPC通道。设置为“privacy”表示通道加密，认证、完整性和隐私性功能都全部开启，设置为“integrity”表示不加密，只开启认证和完整性功能，设置为“authentication”表示不加密，仅要求认证报文，不要求完整性和隐私性。 说明 privacy会对传输内容进行加密，包括用户token等敏感信息，以确保传输信息的安全，但是该方式对性能影响很大，对比另外两种方式，会带来约60%的读写性能下降。请根据企业安全要求修改配置，且客户端与服务端中该配置项需使用相同设置。 dfs.encrypt.data.transfer 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。HDFS数据传输通道包括DataNode间的数据传输通道，客户端访问DataNode的DT（Data Transfer）通道。设置为“true”表示加密，默认不加密。 “false” dfs.encrypt.data.transfer.algorithm 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。只有在dfs.encrypt.data.transfer配置项设置为true，此参数才会生效。 缺省值为“3des”，表示采用3DES算法进行加密。此处的值还可以设置为“rc4”，避免出现安全隐患，不推荐设置为该值。 “3des” hadoop.rpc.protection 设置Hadoop中各模块的RPC通道是否加密。包括： 客户端访问HDFS的RPC通道。 HDFS中各模块间的RPC通道，如DataNode与NameNode间。 客户端访问Yarn的RPC通道。 NodeManager和ResourceManager间的RPC通道。 Spark访问Yarn，Spark访问HDFS的RPC通道。 MapReduce访问Yarn，Mapreduce访问HDFS的RPC通道。 HBase访问HDFS的RPC通道。 默认设置为“privacy”表示加密，“authentication”表示不加密。 说明 您可以在HDFS组件的配置界面中设置该参数的值，设置后全局生效，即Hadoop中各模块的RPC通道是否加密全部生效。 安全模式：privacy 普通模式：authentication

本文介绍如何查看安全分析报表。 在天翼云SCDN客户控制台的【安全分析】页面，客户可以查看waf、CC攻击日志和waf报表分析、CC报表分析情况； 界面中展示的是您所选域名、时间的攻击日志情况； 图 安全分析CC攻击日志 图 WAF报表分析 图 CC报表分析 图 抗D报表分析 图 网络层攻击事件

参数 参数类型 说明 示例 下级对象 vpcID String vpc id vpc077343 securityGroupID String 安全组id sec88238sjad securityGroupName String 安全组名称 secosm vpcName String vpc名称 vpcosm bandwidth String 带宽 100Mbps createdAt String 创建时间 2024/10/10 10:10 expireDate String 到期时间 2024/10/10 10:10

本章节主要介绍如何创建Elasticsearch集群。 场景描述 当创建的集群类型不同时，需要关注如表1所示的关键参数的配置。 表1 集群创建差异 集群类型 “安全模式” “HTTPS访问” “公网访问” “Kibana公网访问” 非安全模式的集群 关闭 不涉及 不支持启用 不支持启用 安全模式+HTTP协议的集群 开启 关闭 不支持启用 支持启用 安全模式+HTTPS协议的集群 开启 开启 支持启用 支持启用 前提条件 已经完成待创建的Elasticsearch集群规划。 创建集群 1. 登录云搜索服务管理控制台。 2. 在总览页面单击右上角的“创建集群”，进入“创建集群”页面。 或者左侧导航栏单击“集群管理> Elasticsearch”，单击右上角的“创建集群”，进入“创建集群”页面。 3. 在“基础配置”页面，完成Elasticsearch集群的基本信息和资源配置。 表2 Elasticsearch集群的基础配置 参数 说明 计费模式 集群支持包年/包月和按需计费两种模式。 l 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，最长时长为3年。如果购买时长超过9个月，建议包年购买，价格更优惠。 l 按需计费：按实际使用时长计费，计费周期为一小时，不足一小时按一小时计费。 订购周期 选择包年/包月模式后，需要选择购买时长。 您可以根据需求，选择是否需要“自动续费”。 当前区域 选择集群的所在区域。 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 可用区 选择集群工作区域下关联的可用区。 最多支持配置3个“可用区”。 集群类型 选择“Elasticsearch”。 集群版本 选择所需的集群版本，支持的版本以界面可选项为准。 集群名称 自定义集群名称，可输入的字符范围为4～32个字符，只能包含数字、字母、中划线和下划线，且必须以字母开头。 节点数量 集群中的数据节点个数。可选节点数为1~32，建议节点数为3或3以上，以提升集群可用性。 l 当集群未启用Master节点和Client节点时，数据节点将同时承担集群管理、存储数据、提供接入集群和分析数据的职责。此时，为保证集群中数据的稳定性，建议设置节点数量大于等于3个。 l 当集群启用了Master节点但未启用Client节点时，数据节点将用于存储数据并提供接入集群和分析数据的功能。 l 当集群未启用Master节点但启用了Client节点时，数据节点将用于存储数据并提供集群管理功能。 l 当集群同时启用了Master节点和Client节点时，数据节点将仅用于存储数据。 说明 当集群中数据节点的数量和可用区的数量不是整数倍关系时，集群的数据会分布可能会不均匀，从而影响数据查询或写入业务。 CPU架构 支持“X86计算”和“鲲鹏计算”两种类型。具体支持的类型由实际区域环境决定。 节点规格 集群中数据节点的规格。您可以根据需求，选择对应的规格。每个集群只能选择一个规格。 节点存储 当“节点规格”选择的是云硬盘时，需要选择集群数据节点的云硬盘类型。节点存储支持普通I/O、高I/O、超高I/O。 节点存储容量 设置数据节点的存储空间大小，其取值范围与“节点规格”关联，不同的规格允许的取值范围不同。 节点存储容量只支持配置为20的倍数。 启用Master节点 Master节点负责管理集群中所有节点任务，如元数据管理、索引创建与删除、分片分配等。在大规模集群的元数据管理、节点管理、稳定性保障和集群操作控制中发挥着至关重要的作用。 启用Master节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”必须是不小于3的奇数，最多设置9个节点。“节点存储”的存储容量为固定值，存储类型可以根据实际情况选择。 启用Client节点 Client节点负责接收并协调外部请求，如search和write请求，在处理高负载查询、复杂聚合、大量分片管理以及优化集群扩展性方面发挥着重要作用。 启用Client节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”可设置为1~32任意数值。“节点存储”的存储容量为固定值，存储类型可以根据实际情况选择。 启用冷数据节点 冷数据节点用于存储对查询时延要求不高，但数据量较大的历史数据，是管理大规模数据集和优化存储成本的有效方式。 启用冷数据节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”可设置为1~32任意数值。“节点存储”的存储类型和存储容量可以根据实际情况选择。 开启冷数据节点之后，支持切换集群的冷热数据，详情请参见2.7.9 切换Elasticsearch集群冷热数据。 说明 当集群中冷数据节点的数量和可用区的数量不是整数倍关系时，集群的数据会分布可能会不均匀，从而影响数据查询或写入业务。 企业项目 如果开通了“企业项目”，在创建集群时可以给集群绑定一个企业项目。 在下拉框中选择企业项目，单击“查看项目管理”跳转到“企业项目管理”管理控制台，查看已有的企业项目。 4. 单击“下一步：网络配置”。 5. 在“网络配置”页面，完成Elasticsearch集群的网络和安全模式配置。 表3 Elasticsearch集群的网络配置 参数 说明 虚拟私有云 指定集群节点使用的虚拟专用网络，实现不同业务的网络隔离。 单击“查看虚拟私有云”跳转到虚拟私有云列表，查看已创建的VPC名称和ID。 如果没有合适的VPC，建议联系CSS服务管理员新建VPC，具体请参见。 说明 此处选择的VPC必须包含网段（CIDR），否则集群将无法创建成功。新建的VPC默认包含网段（CIDR）。 子网 集群使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 选择当前虚拟私有云下集群需要的子网。 当选择的虚拟私有云支持IPv6，则在下拉框中选择是否分配IPv6地址。只有7.6.2和7.10.2版本的Elasticsearch集群支持分配IPv6地址。 安全组 安全组起着虚拟防火墙的作用，为集群提供安全的网络访问控制策略。 选择集群需要的安全组，单击“查看安全组”跳转到安全组列表，可以了解安全组详情。 说明 请确保安全组的“端口范围/ICMP类型”为“Any”或者包含端口9200的端口范围。 如果创建的集群为7.6.2及以上版本，则需要确保同安全组内节点之间的端口全放通。如果无法放通同安全组内节点之间的全部端口，请至少确保9300端口的通信。 放开9300端口通信后，如果集群磁盘使用率较高，可清理过期数据，释放磁盘存储空间。 安全模式 选择是否开启集群安全模式。 l默认开启，则创建的是安全模式的集群。安全模式的集群会对集群进行通讯加密和安全认证。因此必须配置集群的“管理员账户名”和“管理员密码”。 − 管理员账户名 默认为admin。 − 设置并确认管理员密码 。要记住设置的密码，后续访问集群需要输入密码。 l不开启，则创建的是非安全模式的集群。非安全模式的集群无需安全认证即可访问，并且采用HTTP明文传输数据。建议确认访问环境的安全性，勿将访问接口暴露到公网环境上。 HTTPS访问 只有开启集群的安全模式才可以启用HTTPS访问，开启HTTPS访问后，访问集群将进行通讯加密。 说明 安全集群使用HTTPS通信，相比非安全集群使用HTTP通信在读取性能上会降低，预期相对HTTP集群在大并发压力下有20%的性能劣化。如果想要读取性能快，又想要使用安全集群所提供的用户权限隔离资源（索引、文档、字段等）的功能，则可以关闭HTTPS访问。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 公网访问 仅当集群开启了“安全模式”和“HTTPS访问”时，才可以选择是否配置“公网访问”。配置公网访问后，用户可以获得一个公网访问的IP地址，通过这个IP地址可以在公网访问该安全集群。 6. 单击“下一步：高级配置”。 7. 在“高级配置”页面，完成Elasticsearch集群的快照和其他高级配置。 a. 设置集群快照。 系统默认打开集群快照开关，如果您不需要启用自动快照，可以在“集群快照开关”右侧关闭。自动快照会创建委托访问对象存储服务OBS，快照存储在OBS标准存储中需额外计费。 表4 集群快照基础配置 参数 说明 OBS桶 在下拉框中选择存储快照的OBS桶。也可以单击右侧的“创建桶”新建OBS。 创建或者已存在的OBS桶需满足如下条件： l“存储类别”为“标准存储”。 l“区域”须与创建的集群所在区域相同。 备份路径 快照在OBS桶中的存放路径。 备份路径配置规则： l备份路径不能使用符号“:?"<>”。 l备份路径不能以“/”开头。 l备份路径不能以“.”开头或结尾。 l备份路径的总长度不能超过1023个字符。 IAM委托 指当前账号授权云搜索服务访问或维护存储在OBS中数据。如果没有合适的委托可以联系CSS服务管理员新建IAM委托。 所选的IAM委托需满足如下条件： l“委托类型”选择“云服务”。 l“云服务”选择“Elasticsearch”或者“云搜索服务 CSS”。 l必选策略：“Tenant Administrator”或“OBS Administrator” 表5 设置自动创建快照 参数 说明 快照名称前缀 快照名称前缀的长度为1～32个字符，只能包含小写字母、数字、中划线和下划线，且必须以小写字母开头。快照名称由快照名称前缀加上时间戳组成，例如自动生成的快照名称为“snapshot1566921603720”。 时区 指备份时间对应的时区，不支持修改。基于此时区选择备份开始时间。 备份开始时间 指每天自动开始备份的时间，只能指定整点时间，如00:00、01:00，取值范围为00:00～23:00。请在下拉框中选择时间。 8. 单击“下一步：确认配置”，确认完成后单击“立即创建”开始创建集群。 9. 单击“返回集群列表”，系统将跳转到“集群管理”页面。您创建的集群将展现在集群列表中，且集群状态为“创建中”，创建成功后集群状态会变为“可用”。 如果集群创建失败，请根据界面提示重新创建集群。