本文为您介绍CC防护功能说明，以及如何配置系统默认、自定义防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 配置CC防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”模块，可以选择开启/关闭防护状态；同时可以直接选择防护模式，配置信息如下。 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求的基础上，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见下文[配置自定义CC防护策略](

本节介绍如何修改管道参数信息。 操作场景 管道创建成功后，可对管道 Shard数 、 描述 、生命周期进行修改。 约束与限制 系统创建的数据管道不支持编辑操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开已创建的管道。 6. 单击管道名称后的“更多 > 编辑”。 7. 从编辑管道页面中，配置管道参数，参数说明如下表所示。 参数名称 参数说明 数据空间 该管道所属的数据空间。系统默认，不支持修改。 管道名称 您创建管道时设置的名称，创建后不支持修改。 Shard数 该管道的Shard数量。取值范围为：164。 生命周期 该管道内数据的生命周期。取值范围：7180。 描述 可选参数，设置该管道的备注信息。 8. 单击“确定”。

本文介绍购买容器安全卫士的详细步骤。 容器安全卫士支持包年/包月计费模式，您可以根据业务规模选择容器安全卫士规格。 前提条件 已注册天翼云账号并完成实名认证。 约束限制 同一账号在同一个区域只能开通一个容器安全卫士实例，对应一个服务版本。 说明 原则上，在任何一个区域购买的容器安全卫士实例支持防护所有区域的业务，但为了防护及转发效率，建议在购买容器安全卫士实例时，根据防护业务所在区域就近选择购买容器安全卫士实例区域。 开通容器安全卫士实例，必须购买主套餐，可以在主套餐基础上叠加购买节点。 容器安全卫士实例生效期间，支持升级购买的服务版本以及扩增节点数量，但不支持降级。扩容节点与主套餐绑定，到期时间与主套餐一致，不支持单独续订、退订。 适用场景 用户业务服务器部署在天翼云上、非天翼云或线下，防护对象为节点、容器、镜像。 各服务版本推荐适用的场景说明如下： 标准版：适用云原生应用基本安全防护需求。 高级版：适用云原生应用高级安全防护需求。

此小节介绍云堡垒机产品定义。 云堡垒机提供云计算安全管控的系统和组件，包含部门、用户、资源、策略、运维、审计等功能模块，集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口，基于协议正向代理技术和远程访问隔离技术，实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。 服务特点 一个实例对应一个独立运行的系统，通过配置实例部署系统后台运行基本环境。系统环境独立管理，保障系统运行安全。 一个单点登录系统，提供统一的单点登录入口，轻松地集中管理大规模云上资源，避免资源账户泄露危险，保障资源信息安全。 符合“网络安全法”等法律法规，满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求； 满足金融监管部门的技术审计要求； 满足各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等）对运维审计的要求。

本文介绍如何在基于最新一代海光安全加密虚拟化CSV(China Secure Virtualization)3.0技术的云主机(下文简称为CSV云主机)中构建CSV3.0加密计算环境,并演示如何验证CSV功能,以及CSV云主机存在的一些功能限制。 概述 海光安全加密虚拟化CSV是一项基于国产海光CPU硬件的云主机保护技术，CSV云主机的运行时状态（如CPU寄存器、内存数据及中断处理等）均受到CPU硬件的隔离和加密保护，云厂商和外部攻击者均无法窃取或篡改CSV云主机的内部运行状态（如计算中的数据等）。关于海光CSV技术的更多信息，请参见Hygon Arch。 CSV云主机关键特性 内存隔离：通过处理器硬件机制，为每个云主机构建独立的、受保护的执行环境，实现云主机之间、云主机和宿主机之间的硬件级逻辑隔离。即使宿主机系统或管理员拥有最高权限，也无法读取或篡改虚拟机内的数据，从根本上杜绝了“从内部”被窥视的风险，实现数据在处理过程中的“可用不可见”。 内存加密：数据在内存中全程以密文形式存在，仅能在 CPU 内部解密使用。即使机房被入侵，攻击者通过物理手段也难以探测到或篡改内存中的数据内容。 远程证明：支持远程证明功能，允许信任域所有者验证其虚拟机是否在可信的硬件环境中启动，并且没有被篡改，增强了对基础设施的信任。 安全启动：确保虚拟机仅从经过签名和验证的引导加载程序启动，进一步加强了启动过程的安全性。 体验一致：提供与普通云主机完全一致的管理接口和操作体验，通过控制台、API 等，像创建和管理任何一台普通云主机一样，轻松创建和管理机密云主机，运维习惯无需任何改变。 应用无损：海光CSV可以为您的云主机和应用提供默认的安全保护，您的现有应用系统，无论是传统的 Java 还是现代的 Python 应用，均无需进行改造，可直接运行在机密云主机。

配置项 描述 示例 单元组名称 单元组自定义标识。 名称不支持数字或符号开头，长度为132个字符；仅支持输入[中文、数字、字母、 ]。 订单单元组 单元组编码 单元组唯一编码。 名称不支持数字或符号开头，长度为132个字符；仅支持输入[中文、数字、字母、 ]。 GORDER 服务类型 根据不同的访问诉求，赋予单元组内应用服务相应的路由类型，便于用户理解和管理。 中心服务 ：适用于数据不可拆分或还未拆分的应用服务；需选择中心单元，即主容灾单元，所有数据读写均在中心单元内。 普通服务 ：适用于数据水平拆分流量在单元内闭环的应用服务，请求按路由规则转发至指定单元，其他分片的流量将被接入层转发或数据层拦截。 本地服务 ：适用于副本类或只读类的应用服务，数据读写本地单元，不限制数据分片。 普通服务 应用流量封闭 配置流量在同单元内闭环。 是 路由标规整化策略 路由标处理 ：指定对路由标值的处理规则，对处理后的值进行路由计算。 正整数：直接根据路由标取值，值为正整数。 数值取模 ：指定模数，通过计算（路由标值%模数）落点将请求转发至对应单元。 正整数 10000 解析规则 应用服务类型 ：请求的服务类型。 HTTP：HTTP请求。 DUBBO：RPC请求，Dubbo框架。 MQ：消息生产消费。 路由标来源 ：路由标提取方式。 HTTP：header从header获取；cookie从cookie中获取；parameter从请求参数中获取。 DUBBO：parameter从方法参数获取；attachment从attachment中获取。 MQ：header从header获取；body从body中获取。 路由标名称 ：路由标提取标识。 HTTP：header指定key；cookie指定key；parameter指定key。 DUBBO：parameter指定第几个参数，序号从1开始；attachment指定key。 MQ：header指定key；body指定key。 注意 ：同应用服务类型下有多条解析规则时，以列表顺序从上往下逐个匹配。 HTTP header userId 流量比例 单元 ：规则匹配时转发的目标单元。 路由类型 ： 范围：范围匹配。 精确：精确匹配。 流量比例 ： 范围值：路由标计算落点的命中范围。 精确值：路由标计算落点的枚举列表，多个值用英文逗号分隔。 注意 ：同单元内流量路由匹配优先级：精确匹配 > 范围匹配。 广州单元 范围值[0,599]

节点部署原则 适用场景 组网规则 管理节点、控制节点和数据节点分开部署 （此方案至少需要8个节点） MN × 2 + CN × 9 + DN × n （推荐）数据节点数5002000时采用此方案 l 集群节点数超过200时，各节点划分到不同子网，各子网通过核心交换机三层互联，每个子网的节点数控制在200个以内，不同子网中节点数量请保持均衡。 l 集群节点数低于200时，各节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点、控制节点和数据节点分开部署 （此方案至少需要8个节点） MN × 2 + CN × 5 + DN × n （推荐）数据节点数100500时采用此方案 l 集群节点数超过200时，各节点划分到不同子网，各子网通过核心交换机三层互联，每个子网的节点数控制在200个以内，不同子网中节点数量请保持均衡。 l 集群节点数低于200时，各节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点、控制节点和数据节点分开部署 （此方案至少需要8个节点） MN × 2 + CN × 3 + DN × n （推荐）数据节点数30100时采用此方案 l 集群节点数超过200时，各节点划分到不同子网，各子网通过核心交换机三层互联，每个子网的节点数控制在200个以内，不同子网中节点数量请保持均衡。 l 集群节点数低于200时，各节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点和控制节点合并部署，数据节点单独部署 (MN+CN) × 3 + DN × n （推荐）数据节点数330时采用此方案 集群内节点部署在同一子网，集群内通过汇聚交换机二层互联。 管理节点、控制节点和数据节点合并部署 l 节点数小于6的集群使用此方案 l 此方案至少需要3个节点 说明 生产环境或商用环境不推荐使用此场景： l 管理节点、控制节点和数据节点合并部署时，集群性能和可靠性都会产生较大影响。 l 如节点数量满足需求，建议将数据节点单独部署。 l 如节点数量不满足将数据节点单独部署的要求，必须使用此场景时，需要使用双平面组网方式。将管理网络与业务网络流量隔离，防止业务平面的数据量过大，导致管理操作不能正常下发。 集群内节点部署在同一子网，集群内通过汇聚交换机二层互联。

本文介绍AIuse云电脑的产品特点 AIuse云电脑致力为AI构建任务执行平台，它依托天翼AI云电脑的强大算例，通过意图识别，模拟用户操作，自动完成任务的规划、决策与实施，助力AI的商业化落地。 多场景覆盖 搭建可定制云端桌面环境，依托标准化接口实现传统桌面软件自动化调用与批量操作，适配政企办公，研发测试等多场景使用。 灵活接入 提供标准化工具链与弹性运行环境、支持WebSdk、MCP等主流接入方式，无缝对接各种AI agent，兼容轻量调用与专业部署方式。 高效运行 依托天翼云强大算力底座，实现算力弹性伸缩与并发场景高效运行，保障桌面操作、软件运行及数据处理的流畅性与可靠性。 安全防护 采用企业级沙箱防护方案，构建多层次安全体系，用过严格权限隔离防范各类安全风险，保障企业核心业务数据安全合规。

参数项 参数值 实例名称 ecs01、ecs02 区域 华东华东1 操作系统 CentOS7.6 CPU 2vCPUs 内存 4GB 系统盘 40GB 数据盘 10GB 公网带宽 5 Mbit/s 安全组 默认安全组，开放22、80端口，实际业务中根据具体情况而定。 弹性IP 自动分配 登录方式 密码 创建密码 自定义

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

本节介绍如何进入数据分类分级制台,及如何使用数据分类分级。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“数据分类分级”，跳转到数据分类分级控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 数据安全专区”，进入数据分类分级控制台。 使用数据分类分级 请参见数据分类分级。

本节介绍如何进入数据分类分级制台,及如何使用数据分类分级。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“数据分类分级”，跳转到数据分类分级控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 数据安全专区”，进入数据分类分级控制台。 使用数据分类分级 请参见数据分类分级。

参数 描述 名称 弹性网卡名称，由数字、字母、中文、、组成，不能以数字、和开头。 VPC 选择弹性网卡归属的VPC，必填项。 子网 选择弹性网卡归属的子网，必填项。 主私网IPv4地址 自动分配 辅助私网IP 可以选择不设置、自动分配，或者指定地址。 安全组 选择弹性网卡所属安全组。

更换布局 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 目录定制”，进入目录定制页面。 5. 单击目标目录所在行“操作”列的“更换布局”，弹出更换布局页面。 6. 在更换布局页面中，选择需要替换的布局。 7. 单击“确定”。

本节介绍如何登录云防火墙（原生版）控制台。 方式一 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 网络安全 > 云防火墙（原生版）”，进入云防火墙（原生版）产品详情页面。 3. 单击“管理控制台”，进入云防火墙（原生版）控制台。 方式二 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）控制台。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

ECS无法连接到DDS实例的原因 遇到该问题，请参考以下步骤排查解决。以集群模式下实例为例说明。 步骤 1 先确认弹性云主机实例和文档数据库实例是否在同一个虚拟私有云。 如果在，执行步骤2。 如果不在，需要重新创建弹性云主机实例，使之和文档数据库实例在同一个虚拟私有云下。 步骤 2 查看弹性云主机实例是否添加安全组。 如果有，检查安全组的配置规则是否满足要求，然后执行步骤3。 如果没有，从弹性云主机的实例详情页面，进入虚拟私有云页面，选择“安全组”，添加安全组。 步骤 3 在弹性云主机上，测试是否可以正常连接到文档数据库实例地址的端口。 telnet {8635} 如果可以通信，说明网络是正常的，请检查数据库用户和密码。 如果端口不通，请联系售后技术支持协助排查。 客户端问题导致连接实例失败？ 客户端问题导致连接文档数据库实例失败，可以从以下几个方面检查。 1、弹性云主机的安全策略 对于Windows平台，可检查Windows的安全策略是否开放文档数据库端口。 对于Linux平台，可使用iptables检查防火墙及端口的放行情况。 2、应用配置错误常见的有IP写错、端口参数配置错误和JDBC等的连接参数配置错误。 说明： 如问题仍未解决，请联系售后技术支持。 服务端问题导致连接实例失败 文档数据库服务端可能出现的问题如下，请依次进行检测。 1、连接数满导致连接失败。 解决方法：通过云监控的资源监控功能查看连接数、CPU使用率等指标是否正常，如果达到上限，需要重启文档数据库实例、断开实例连接或扩容节点解决。 2、实例状态异常，比如实例重启卡住，文档数据库服务系统故障等。 解决方法：尝试重启功能。如果无法解决，请联系售后技术支持。

设置降级 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务治理”。 步骤 5 单击需要治理的微服务。 步骤 6 单击“降级”。 步骤 7 单击“新增”。选择合理的策略，降级策略配置项如下表所示。 配置项 配置项说明 降级对象 选择需要降级的微服务与降级方法。 降级策略 l开启：开启降级。 l关闭：关闭降级。 步骤 8 单击“确定”，保存配置。 设置容错 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务治理”。 步骤 5 单击需要治理的微服务。 步骤 6 单击“容错”。 步骤 7 单击“新增”。选择合理的策略，容错策略配置项如下表所示。 配置项 配置项说明 容错对象 该应用依赖的应用或方法，下拉菜单可直接选择。 是否开启容错 开启：向容错对象发起请求时发生错误的处理策略，开启后，会根据选择的处理策略处理请求。 关闭：关闭容错策略，即使请求失败也会等到超时后，再返回失败结果。 容错策略 说明 当“是否开启容错”配置项设置为“开启”时配置。 lFailover 在不同服务器上重新尝试建立连接。 lFailfast 不再重新尝试建立连接，即请求失败时会立即返回失败结果。 lFailback 在同一个服务器上重新尝试建立连接。 lcustom − 尝试同一个服务器次数：尝试与同一个服务器重新建立连接的次数。 − 尝试新的服务器次数：尝试与新的服务器建立连接的次数。 步骤 8 单击“确定”，保存配置。

应用托管 OpenClaw 安全风险通告,请用户务必关注! 近日，CERT 披露 OpenClaw 存在多类高危安全漏洞，涵盖命令注入、代码执行、权限提升、路径遍历、认证绕过等，攻击者可利用漏洞在目标机器上执行任意命令、越权提权、窃取 / 篡改系统数据，可能导致业务系统被入侵、核心数据泄露、云托管环境横向渗透等严重风险。 在应用托管中使用OpenClaw 历史版本（26.3.13版本之前）的客户，请尽快升级至应用托管最新版本，该版本已修复当前披露的OpenClaw 相关安全漏洞。如继续使用存在漏洞的历史版本，业务系统将面临被攻击者控制、勒索、数据窃取等安全威胁，为了您的数据安全请及时完成版本升级，可联系您的客户经理，或者提交客服工单，亦或直接拨打热线电话：4008109889转1。

场景特点 用于海量大型数据或对性能敏感数据的加密保护，保证业务访问体验。 优势 高效易用：通过创建数据密钥，实现本地数据的离线加密，避免移动大量数据产生安全隐患。 双重加密：通过主密钥和数据密钥两级密钥结构，确保数据密钥的随机性和安全性，保证数据加密性能。 场景示意图 云产品透明加密 密钥管理服务（KMS）与多种云产品集成，提供服务端加密能能力，加密功能一键开启，加密过程透明无感知。 场景特点 为云上IT设施数据安全环境提供基础保障。 优势 服务端自动加密：无需用户自行实现复杂的加密能力，免改造。 安全保障：加密密钥通过KMS主密钥加密保护，满足安全合规要求。 场景示意图

本节介绍态势感知（专业版）的漏洞管理功能的背景及支持的漏洞类型。 背景介绍 漏洞是指在操作系统实现、安全策略、软件等方面存在的缺陷或弱点，这些缺陷或弱点可能被攻击者利用，从而导致系统被破坏、数据泄露、服务中断或其他安全问题。态势感知（专业版）通过集成企业主机安全（Host Security Service，HSS）漏洞扫描数据以及手动导入漏洞数据，集中呈现云上资产漏洞风险，帮助用户及时发现资产安全短板，修复危险漏洞。 查看漏洞详情：介绍如何查看漏洞的详细信息。 修复漏洞：当扫描到服务器存在漏洞时，您需要及时根据漏洞的危害程度结合实际业务情况处理漏洞，避免漏洞被入侵者利用入侵您的服务器。如果漏洞对您的业务可能产生危害，建议您尽快修复漏洞。对于Linux漏洞、Windows漏洞，您可以在企业主机安全控制台一键自动修复，对于WebCMS漏洞、应用漏洞、应急漏洞和网站漏洞，暂不支持自动修复，您可以参考漏洞详情界面提供的修复建议手动修复。 忽略或取消忽略漏洞：某些漏洞只在特定条件下存在风险，比如某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在危害。如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。忽略后，下次HSS漏洞扫描后仍然会对该漏洞进行告警，态势感知（专业版）也将同步漏洞信息。如果已忽略的漏洞需要再次关注，可以取消之前的忽略操作。 导入或导出漏洞：介绍如何导入或导出漏洞。

本文为您介绍证书管理功能模块详情。 证书管理组件为您提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书生命周期管理 证书管理模块提供高可用、高安全的密钥和证书托管能力，您可以通过控制台或API集中管理证书。 功能 说明 证书托管 支持管理密钥和证书，可以生成证书请求、导入证书和证书链、启用/禁用证书、吊销或删除证书等。 密钥安全存储 证书管家使用托管密码机保障证书密钥的产生、存储安全。 API便于集成 支持多个API接口，帮助在开发环境高效集成证书服务，快速进行产品部署，为您提供快速开发上线证书相关功能的能力。 支持的证书类型 证书类型 说明 数字证书（含私钥） 支持通过证书管理服务生成证书请求，导入或导出数字证书及其证书链，证书私钥由KMS硬件安全模块保护。 Ukey证书（不含私钥） 支持将Ukey中的证书（不含私钥）导出并存入KMS，由KMS统一托管，并支持调用KMS提供的接口实现身份认证中的验签运算。 证书运算API KMS提供云原生的证书运算类API，帮助在开发环境高效集成证书服务，快速实现证书调用。 功能 说明 参考文档 加密解密 证书公钥运算：使用指定证书加密数据。 证书私钥运算：使用指定证书解密数据。 证书公钥加密 证书私钥解密 签名验签 证书私钥运算：使用指定证书生成数字签名。 证书公钥运算：使用指定证书验证数字签名。 证书私钥签名 证书公钥验签

。 所在子网 选择所在子网，若您还没有所在子网，请参照创建所在子网。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，最长40字符，只能包含小写字母、数字及分隔符()，且必须以小写字母开头，数字或小写字母结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 启用监控指标 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用访问日志采集 启用后，可在控制台观测分析中查看访问日志，若您还没有开通云日志服务，可先点击提示链接前往开通。 网关实例创建可能需要5分钟左右时间，请耐心等待。 添加服务 首先部署好后端服务，进入实例详情页，选择服务列表菜单，点击创建服务，选择固定地址服务，填入后端服务的ip和端口，如下图所示：

配置步骤 1. 登录DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。 2. 选择需要防护的域名，在操作栏点击【防护配置】。 3. 进入CC防护配置页面，点击【编辑】。 4. 在编辑页面可进行防护开关、防护模式、防护时长配置。具体说明可参见CC防护配置。 5. 配置完成后，点击保存。该域名会进入“配置中”状态，配置成功后，域名状态会变为“已启用”。 报表分析 DDoS高防（边缘云版）产品提供CC相关的报表数据，能清晰直观地展示您的网站遭受的攻击情况。其中包含 TOP URL、TOP 攻击IP及攻击区域分布信息，您可结合报表数据进一步配置相应的防护规则，更好地保障您的网站服务稳定。更多信息，请参见安全分析。 1. 登录DDoS高防（边缘云版）控制台,在左侧导航中，单击 【安全分析】【安全报表】。 2. 进入【CC安全报表】tab页面，可选择域名及时间维度等过滤条件查看详细攻击情况。 告警监控 针对应用层CC攻击，DDoS高防（边缘云版）提供了相应的告警策略，您可根据实际业务情况结合报表数据配置相应的告警策略。更多信息，请参见告警管理。

违规管控记录快速查询 当天翼云对您使用的产品或服务进行处置时，会将相关违规信息与处置类型以通知形式发送给您： 您可查收账号绑定手机的短信以了解处置通知信息，也可登录邮箱或站内信查询管控详细信息； 您可通过服务热线4008109889或提交工单联系客服查询。 安全事件管控记录查询常见问题 我收到了管控通知，但不清楚是哪里违规？ 您可参考《++安全违规信息类型说明++》、《++安全违规行为类型说明++》中有关规则进行排查。同时建议您检查网站或操作系统是否存在黑客入侵或病毒，从而导致出现违规行为。 我想查询违规信息的详细内容/快照？ 天翼云不会直接向您透露违规信息的详细内容/快照，若您对违规管控存在异议，请通过工单入口提交诉求，工作人员将在13个工作日内给予您反馈。 我收到了欺诈相关告警，请问我哪里涉诈了？ 您的产品或服务可能传播、存储了涉嫌欺诈的相关信息，或您用于搭建应用的工具、模板可能广泛应用于欺诈等违法行为。请您先根据《++安全违规信息类型说明++》（欺诈类细则）、《++欺诈类违规管控快速处理++》排查是否存在规则中已明确的欺诈相关信息，若您已完成整改或确认业务场景合规，可前往工单提交相关说明，天翼云会在13个工作日内予以反馈。

本文主要介绍使用零信任和终端管理时发现异常行为的终端处置记录功能。 背景说明 处置记录展示企业配置的零信任策略规则和终端管理合规检测的实时处置记录，以便于企业对异常登录、访问等行为的观察和处置。 操作步骤 1. 登录边缘安全加速控制台，进入对应服务； 2. 在左侧导航栏，选择日志>策略处置记录，可查看处置事件或进行取消处置操作； 3. 可根据业务需求进行相关操作。 功能说明 处置记录事件数据集来源于AOne零信任>安全>动态授权、AOne终端管理>安全>终端安全>合规检测。 将统计整体处置概览情况，包括处置动作分布情况，命中策略和处置对象统计。 字段 说明 备注 监控（观察） 若触发策略，则记录处置记录，并将该用户的内网访问行为记录到威胁防护日志 挑战认证 若触发策略，则不允许访问内网，触发挑战认证弹窗，用户需短信验证码校验通过后才允许继续访问内网，并将该用户的内网访问行为记录到威胁防护日志 访问阻断 若触发策略，处置周期内不允许访问内网，直到恢复处置时，才允许继续访问，在恢复处置前，将该用户的内网访问行为记录到威胁防护日志 注销登录 若触发策略，将对已经登录客户端用户进行注销登录，登出处理，用户再次登录后，待不再匹配到策略才会放行登录，否则会再次注销登录处理 处置中记录：根据企业在在不同模块配置的策略，若检测到匹配策略的行为，则触发处置动作，并在处置中记录该事件。 对于支持周期性检测，能够自动恢复处置的策略，若用户在新的检测周期已经不再匹配到规则，则该处置中记录将移动到已恢复记录。

审核流程版本 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程“操作”列，单击“版本管理”，弹出流程版本管理页面。 6. 在流程版本管理页面中，单击目标流程所在行的“操作”列的“审核”，弹出审核确认框。 7. 在审核确认框中，选择“审核意见”，参数说明如下所示。 参数 说明 审核意见 勾选审核结论。 通过，通过后流程版本状态更新为已激活。 驳回，驳回后流程版本状态更新为审核驳回，可再次编辑后提交。 驳回原因 输入审核意见（当审核意见勾选驳回时必填）。 说明 审核驳回后的流程版本可进行编辑，具体操作请参见管理流程版本。 流程版本状态变化：当前流程仅有一个流程版本时，审核通过后的流程“版本状态”默认为“已激活”。 8. 单击“确定”，完成审核流程版本。 启用流程 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程所在行的“操作”列，单击“启用”，页面弹出启用确认框。 6. 在弹出的确认框中，选择启用的流程版本后，单击“确定”，完成流程启用。

背景信息 本文介绍如何使用IPsec VPN在两个VPC之间建立安全连接，实现两个VPC内的资源互访。 场景示例 以本文图中场景为例。某企业在华东1地域创建了一个vpc1，在青岛20地域创建了vpc2。两个VPC均已使用弹性云主机部署了业务，企业因后续发展，现在需要将vpc1和vpc2中的业务实现互相访问。 出于网络安全环境考虑，企业计划使用VPN网关，在两个VPC之间建立IPsec VPN连接，对数据进行加密传输，实现资源的安全互访。 前提条件 已经在天翼云华东1地域创建了vpc1，在青岛20地域创建了vpc2，两个VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.0.3 vpc2 青岛20 10.0.0.0/16 vpcr8jw6vfdnk ecm99df 10.0.0.62 您已经了解两个VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许两个弹性云主机实例互访。

为减少安全隐患和稳定性风险,云容器引擎建议用户及时升级kubernetes版本。用户使用云容器引擎控制台升级集群的Kubernetes版本,本文介绍集群升级前后的注意事项、升级流程、操作步骤等。 升级集群的好处 云容器引擎使用kubernetes的原生v . . 版本语义，目前尚只支持4个次要版本，分别为v1.23.3, v1.25.6, v1.27.8, v1.29.3版本。云容器引擎会定期发布支持的Kubernetes版本并逐步停止对过期版本的技术支持。建议使用v1.23.3版本的用户尽快升级到更高版本kubernetes，已获得更好的使用体验。 主动升级集群有以下好处： 降低安全和稳定性风险：随着Kubernetes版本迭代，会不断优化及修复发现的安全及稳定性漏洞，长久使用过期版本集群会给业务带来安全和稳定性风险。 享受更好的维护支持：对于过期Kubernetes版本，云容器引擎不再提供安全补丁和问题修复，也无法保证过期版本的技术支持质量。使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的新功能：随着社区Kubernetes版本的演进，新版本包含新的功能和改进，云容器引擎也将适配新版本，为您带来更好的开发和运维体验。

删除 1. 选择要删除的分组规则； 2. 点击规则管理→删除； 3. 在打开的“删除确认”对话框中点击确定即可。 调整优先级 分组规则按从上至下的顺序进行匹配，调整分组规则优先级可以改分组规则的匹配结果。 1. 选择要调整优先级的分组规则； 2. 点击 调整优先级置顶/上移/下移/置底； 3. 返回虚拟机/终端列表。 在分组规则页面，点击 “返回虚拟机/终端列表”按钮即可返回虚拟机/终端页面。 主机添加成功后，虚拟机页面会显示主机中所有虚拟机信息。包括虚拟机名称、虚拟机状态、虚拟机操作系统、安全配置、所属主机池或项目、所属主机、实时防护状态和安全检测状态。 主机添加成功后，虚拟机页面会显示主机中所有虚拟机信息。包括虚拟机名称、虚拟机状态、虚拟机操作系统、安全配置、所属主机池或项目、所属主机、实时防护状态和安全检测状态。 以下是虚拟机列表中虚拟机状态和和实时防护状态说明： 虚拟机处于挂起或停止状态时，管理中心是无法获取其实时防护状态的，所以会显示为空。

本页为您介绍WPS云文档天翼云版的产品规格 产品规格 版本 提供方式 收费方式 规格 业务类型 WPS云文档天翼云版 标准版 SaaS 用户数订阅年份 含商业基础版所有功能 100GB/人安全存储 完整的文件安全管控和企业管理模块 支持订购、续订、不支持试用 WPS云文档天翼云版 高级版 SaaS 用户数订阅年份 含商业标准版所有功能 200GB/人安全存储 Office二次开发接口 1对1专属售后支持 支持订购、续订、不支持试用 WPS云文档天翼云版 基础版 SaaS 用户数订阅年份 无账号数上限 50GB/人安全存储 大文件上传（2G） 可禁止文件移动到企业外 支持订购、续订、不支持试用 WPS云文档天翼云版 WPS会员 SaaS 用户数订阅年份 75种文档格式转换 65项办公特权 支持订购、续订、不支持试用 WPS云文档天翼云版 稻壳会员 SaaS 用户数订阅年份 800万+办公模板免费下载海量字体、图标、图表、图片资源任性用尊享60+项特权服务 支持订购、续订、不支持试用 WPS云文档天翼云版 超级会员 SaaS 用户数订阅年份 含稻壳会员、普通会员权益 支持订购、续订、不支持试用 WPS云文档天翼云版 咨询服务 SaaS 用户数订阅年份 对于非结构化数据管理、企业内文档资产管理提供咨询服务 支持订购、续订、不支持试用