本文为您介绍安全总览功能说明，以及支持查看的统计图表、数据含义。 Web应用防火墙（原生版）安全总览页面向您展示当前WAF实例中所有域名的防护统计记录、请求趋势图表以及攻击事件的分布状态等，帮助您了解网站业务的整体安全状态。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成防护对象接入并正常防护。 查询条件 在总览页面上方，选择要查询的防护对象和时间，查询总览数据。 查询条件说明： 防护对象：默认展示SaaS模式下已接入防护的相关数据，也可以查询其他模式下已接入防护的数据，或只查询某个防护对象的数据。 时间：查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间范围的防护统计数据。 防护统计数据 防护统计数据展示了网站域名收到的全部请求次数、全部攻击次数和触发了不同防护模块的防护次数，防护模块包括Web入侵防护、CC防护、精准访问防护、BOT防护、地域访问控制、IP黑白名单、防敏感信息泄露、Cookie防篡改、攻击惩罚。 单击全部攻击次数，可以跳转至防护事件列表页，查看统计数据对应的详细攻击事件记录。

本节主要介绍安装ICAgent ICAgent用于采集指标、日志和应用性能数据。对于在ECS、BMS控制台直接购买的主机，您需手动安装ICAgent。对于通过CCE间接购买的主机，ICAgent会自动安装。 ICAgent状态说明详见下表。 ICAgent状态 状态 说明 :: 运行 该主机ICAgent运行正常。 未安装 该主机未安装ICAgent。安装ICAgent，详细操作请参见8.1.1 安装ICAgent。 安装中 正在为该主机安装ICAgent。安装ICAgent预计需要1分钟左右，请耐心等待。 安装失败 该主机ICAgent安装失败，请卸载ICAgent—登录服务器卸载后重新安装。 升级中 正在升级该主机ICAgent。升级ICAgent预计需要1分钟左右，请耐心等待。 升级失败 该主机ICAgent升级失败。请卸载ICAgent—登录服务器卸载后重新安装。 离线 输入的AK/SK错误导致该主机ICAgent功能异常。请获取正确的AK/SK后重新安装。 异常 该主机ICAgent功能异常，请联系技术人员处理。 安装前提 • 在进行ICAgent安装前，需要先确保本地浏览器时间与服务器时区、时间都一致。若有多个服务器，则要保证本地浏览器、多个服务器的时区、时间都一致。否则，可能会导致安装后不能在界面上准确查看应用、服务器的指标数据。 • ICAgent进程需要使用root用户安装和运行。

本小节介绍态势感知应用场景，态势感知主要用于边界安全应用场景。 重点行业信息系统 能源、金融、交通、教育、医疗、市政、电信与互联网、政府部门等支撑关键业务的信息系统。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。 电子政务和门户 各级党政军门户网站，教育类网站，重大活动及会议保障， 重点新闻网站等。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。 大型互联网平台 注册用户、订单额或交易额较大，一旦发生网络安全事故，产生较严重影响，如敏感信息泄露、基础数据泄露等。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击信息泄露安全事件，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。

本章节主要介绍典型应用场景，以满足客户多样性的防护需求。 主机安全 统一安全管理 企业主机安全提供统一的主机安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。 安全风险评估 对主机系统进行安全评估，将系统存在的各种风险（帐户、端口、软件漏洞、弱口令等）进行展示，提示用户及时加固，消除安全隐患。 主动安全防御 通过清点主机安全资产，管理主机漏洞与不安全配置，预防安全风险；通过网络、应用、文件主动防护引擎主动防御安全风险。 黑客入侵检测 提供主机全攻击路径检测能力，能够实时、准确地感知黑客入侵事件，并提供入侵事件的响应手段，对业务系统“零”影响，有效应对APT攻击等高级威胁。 容器安全 容器镜像安全 即使在Docker Hub下载的官方镜像中也常常包含了漏洞，而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描，将镜像中存在的各种风险（镜像漏洞、账号、恶意文件等）进行展示，提示用户及时修改，消除安全隐患。 容器运行时安全 通常容器的行为是固定不变的，容器安全服务帮助企业制定容器行为的白名单，确保容器以最小权限运行，有效阻止容器安全风险事件的发生。

本小节介绍Web应用防火墙产品优势。 灵活的部署与应用方式 通过DNS解析方式接入，不需要安装任何软件，更不需要修改网站的任何代码，光速生效，一键启停，方便快捷。 灵活回源支持 WAF可以在云防护节点将HTTPS业务流量转化为HTTP业务流量回源，降低源站负载消耗，优化业务性能。 实时更新、智能学习的安全资料库 中国电信每天都在主动收集来自全世界的网站攻击手段、最新漏洞、补丁信息等安全资料，会比用户网站更早发现各类安全问题和攻击手段。一旦被认定为未知的安全问题和新型攻击手段，云防护平台将会自动更新所有安全节点的防护规则和监测范围，使所有加入云防护的网站免受未知攻击、漏洞等的危害。另外还会定期学习用户网站访问日志，不断细化为每一个网站量身定制的安全规则，无需用户人工干预，完善用户网站安全。 服务应急响应指标 网站安全防护服务为您提供7×24小时的专家团队技术支持，具备完善的故障监控、自动告警、快速响应等一系列应急响应机制。 专家级定制化安全报告 权威规则库，覆盖各类主流Web入侵类型，专业攻防团队实时更新防护系统。 特殊行为防护主动激励 主动识别绕过标准检测方法的恶意程序，在它们造成破坏之前减轻威胁。

软件资产的合规管控 服务器上运行着各种应用系统，应用系统由不同的开发框架、中间件和开发类库等组成。在企业的安全管理规范下，实施黑名单管控机制，有些框架、中间件不可使用。 使用服务器安全卫士的资产清点分级视图，找出不合规的软件资产。如Nginx版本号小于<1.10.3属于不合规版本。 快速定位受影响的资产 新的漏洞出来以后，没有PoC检测，也没有漏洞的编号，如何在企业范围内查找受影响的资产范围，即定位该漏洞的影响范围。 通过资产清点查找受影响的资产范围，进一步查询该资产的管理员信息，进行下一步处置动作。

步骤 3：安装引导 Windows 支持三种安装方式：命令安装、安装包安装、命令+安装包安装。 【命令安装】 适用于批量安装（需支持 PowerShell 组件）。 选择 Agent 安装到的目录位置（默认为：C:Program FilesTitanAgent），选择命令执行的应用（CMD 或 Powershell），在应用中以管理员权限运行命令，即可安装 Agent。 【安装包安装】 适用于单台安装，用户可使用操作界面安装。 需下载安装包，按照安装流程操作，填入安装程序所需的"安装参数"，点击"安装"，即可安装 Agent。 【安装包+命令】 适用于批量安装，安装包分发到各主机，批量执行命令。 需下载安装包，输入安装包所在位置和 Agent 安装到的目录位置（默认为： C:Program FilesTitanAgent），才可生成安装命令；生成命令后，在 cmd 中以管理员权限运行命令，即可安装 Agent。

适用场景 应用：大规模并行处理(MPP) 数据仓库，MapReduce和Hadoop分布式计算，大数据计算 。 场景特点：适合处理海量数据、需要高I/O能力，要求快速数据交换和处理的场景。 使用场景：分布式文件系统 ，网络文件系统、日志或数据处理应用。 规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 辅助网卡个数上限 本地盘（GiB） 虚拟化类型 d7.xlarge.4 4 16 5/1.7 60 50 2 3 32 2 × 3600 KVM d7.2xlarge.4 8 32 10/3.5 120 100 4 4 64 4 × 3600 KVM d7.4xlarge.4 16 64 20/6.7 240 150 4 6 96 8 × 3600 KVM d7.6xlarge.4 24 96 25/10 350 200 8 8 128 12 × 3600 KVM d7.8xlarge.4 32 128 30/13.5 450 300 8 8 192 16 × 3600 KVM d7.12xlarge.4 48 192 40/20 650 400 16 8 256 24 × 3600 KVM d7.16xlarge.4 64 256 42/27 850 500 16 8 256 32 × 3600 KVM

为了极致的使用体验,本文为您介绍可以访问公网的产品。 公有云提供弹性公网IP（EIP）、NAT网关、弹性负载均衡（ELB）等方式连接公网。 EIP EIP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。拥有多种灵活的计费方式，可以满足各种业务场景的需要。 ELB ELB将访问流量自动分发到多台弹性云服务器，扩展应用系统对外的服务能力，实现更高水平的应用容错。为负载均衡器配置需要监听的端口信息以及弹性云服务器，通过监听器来检查后端弹性云服务器的运行状态，确保将请求发送到正常的弹性云服务器上，提高系统可用性。 NAT网关 NAT网关能够为VPC内的弹性云服务器提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。

参数说明 说明 计算公式 定义业务指标的计算逻辑，以便指导开发者根据计算公式设计原子指标、衍生指标。业务指标是为了指导技术指标的落地，实际并不做运算。 统计周期 指定指标的统计周期，以便指导开发者根据统计周期设计时间限定。 统计维度 可以在下拉列表中选择已经创建的维度。维度的创建请参见 统计口径和修饰词 限定是对业务场景限定抽象，用于度量范围的圈定。 刷新频率 指标数据的刷新频率。开发者或运维者可以依据指标的刷新频率，合理设置衍生指标的调度频率。 指标应用场景 描述指标的应用场景。 关联技术指标类型 下拉选择与业务指标关联的技术指标类型，包含衍生指标和复合指标。 关联技术指标 下拉选择与业务指标关联的技术指标。 度量对象 衡量该指标的度量字段。 计量单位 指标的计量单位。

本文介绍通过回调信息获取录制和截图文件的地址。 录制文件 通过录制回调参数中的【VideoUrl】参数即可获取录制文件的存储路径。默认录制回调参数如下所示： 参数名 类型 说明 UniqName string 客户标识 StreamId string 流名 AppName string 应用名 FileFormat string 录制文件格式，支持hls，mp4，flv，aac StartTime string 录制文件开始时间，Unix 时间戳格式，例如：1653901448 EndTime string 录制文件结束时间，Unix 时间戳格式，例如：1653901448 Duration string 录制文件持续时间，单位为s（秒） FileSize int 录制文件大小，单位B VideoUrl string 录制文件路径 截图文件 通过截图回调参数中的【PicUrl】参数即可获取截图文件的存储路径。默认截图回调参数如下所示： 参数名 类型 说明 UniqName string 客户标识 StreamId string 流名 AppName string 应用名 FileFormat string 截图文件格式，支持jpg，png StartTime string 截图时间，Unix 时间戳格式，例如：1653901448 FileSize int 截图文件大小，单位B Width string 截图文件宽，单位像素 Height string 截图文件高，单位像素 PicUrl string 截图文件路径

参数 说明 组织 镜像所属组织。 名称 镜像名称。 类型 镜像类型，可选择： 公开 私有 说明 公开镜像所有用户都可以下载使用。 如果您的机器与镜像仓库在同一区域，访问仓库是通过内网访问。 如果您的机器与镜像仓库在不同区域，通过公网才能访问仓库，下载跨区域仓库的镜像需要机器可以访问公网。 分类 镜像分类，可选择： 应用服务器 Linux Windows Arm 框架与应用 数据库 语言 其他 描述 输入镜像仓库描述，030000个字符。

本节介绍了弹性云主机数据库应用类相关问题。 弹性云主机上是否可以搭建数据库？ 可以，我们不限制。您可以安装任何类型的数据库。 弹性云主机是否支持Oracle数据库？ 支持，但是我们建议您在正式使用前，先做性能测试看是否能满足您的需要。

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 获取连接调用链上报时间阈值(ms) integer JAVA 1 2.1.6 获取连接调用链上报时间阈值(ms)。 getConnection时是否获取池内信息 radio JAVA 1 2.1.6 getConnection时是否获取池内信息。

微服务和其他平台服务有什么不同？ 微服务是构建应用系统的架构模式，平台服务是云平台提供给平台用户使用的中间件服务。 在使用上，平台服务需要进行订购流程进行服务开通。对于微服务，需自己开发并使用平台提供的服务发现能力进行服务发现。

本文主要介绍如何更改安全组。 背景说明 安全组是一个逻辑上的分组，为同一个虚拟私有云VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 当创建安全组时，需要用户添加对应的入方向和出方向访问规则，放通启用应用一致性备份需要的端口，以免应用一致性备份失败。 操作说明 使用应用一致性备份前需要先更改安全组。云主机备份为了您的网络安全考虑，在使用前未设置安全组入方向，需要您手动进行配置。 安全组的出方向需要设置允许100.125.0.0/16网段的165535端口，入方向需要设置允许100.125.0.0/16网段的5952659528端口。出方向规则默认为0.0.0.0/0，即数据报文全部放行。若未修改出方向默认规则，则无需重新设置。 操作步骤 步骤1、登录弹性云主机控制台。 登录管理控制台。 单击管理控制台右上角的，选择区域和项目。 选择“计算 > 弹性云主机”。 步骤2、单击左侧导航树中的“弹性云主机”，在服务器界面选择目标服务器。进入目标服务器详情。 步骤3、选择“安全组”页签，选择目标安全组，弹性云服务器界面单击列表右侧“更改安全组规则”。 步骤4、在安全组界面，选择“入方向规则”页签，单击“添加规则”，弹出“添加入方向规则”对话框。选择“TCP”协议，在“端口”中输入“5952659528”，在源地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成入方向规则设置。 步骤5、选择“出方向规则”页签，单击“添加规则”，弹出“添加出方向规则”对话框。选择“TCP”协议，在“端口”中输入“165535”，在目的地址中选择“IP地址”，输入“100.125.0.0/16”。适当补充描述后，单击“确定”，完成出方向规则设置。

本文主要为您介绍如何开启隐私屏蔽功能，以及如何配置隐私屏蔽防护规则。 网站域名接入Web应用防火墙后，您可以选择开启隐私屏蔽功能。通过配置隐私屏蔽规则，可以避免用户的密码等隐私信息出现在事件日志中。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持隐私屏蔽功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“隐私屏蔽”模块，可以选择开启/关闭防护。 7. 单击防护规则右侧的“前去配置”，进入隐私屏蔽规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置隐私屏蔽规则。 参数说明如下： 配置项 说明 域名 此处不可修改。可返回防护规则页面，在页面右上角进行域名切换。 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 网页地址 输入网站静态页面路径。 路径格式为：协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如“ 路径不支持通配符或参数，支持输入端口。 字段范围 设置屏蔽的字段。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Body：请求体参数。 URI：URI参数。 屏蔽关键词 根据字段范围设置屏蔽关键词，被屏蔽的关键词将不会出现在日志中。 默认已勾选银行卡、手机、身份证等关键词，也可以单击“自定义屏蔽关键词正则表达式”手动输入正则表达式，根据正则表达式对匹配的数据进行隐私屏蔽。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本章节介绍网格实例的权限及标签管理 实例权限管理 IAM主子账号权限 应用服务网格支持天翼云CTIAM产品功能，可以实现主账号对子账号的数据权限管理与“部分”功能权限管理。主子账号功能及权限管理，请参考产品文档：统一身份认证。 应用服务网格提供两个默认策略，分别是使用者权限和管理者权限，如图所示。其中使用者权限对应用服务网格实例拥有只读权限。管理者权限对应用服务网格实例拥有管理维护权限。 策略名称 策略描述 应用服务网格CSMadmin 应用服务网格CSM默认管理员策略，拥有所有权限（适用于一类节点资源池） 应用服务网格CSMviewer 应用服务网格CSM默认使用者策略，拥有实例的只读权限（适用于一类节点资源池） 资源标签 在应用服务网格的实例列表页面中，提供给应用服务网格实例添加资源标签，并根据资源标签筛选实例的功能。如下图所示： 光标悬浮在应用网格实例对应的标签列的图标处，点击添加按钮即可编辑网格实例对应的资源标签。 点击标签筛选按钮，即可根据资源标签筛选服务网格实例。

本章节从整体上介绍应用服务网格CSM全链路灰度功能 微服务架构中往往存在多个服务，多数场景下，在做业务灰度时整个调用链中也会有不止一个服务，通过应用服务网格全链路灰度功能可以实现对整个调用链统一的灰度控制。 应用服务网格全链路灰度中的架构包括ingress gateway（入口网关）以及微服务（如下图中的app1、app2、app3）,通过全链路灰度可以实现对app1、app2、app3统一的灰度控制。 应用服务网格全链路灰度中的相关概念说明如下： ingress gateway：服务网格入口网关，实现网格内微服务对外暴露，并提供微服务入口应用的灰度控制能力。 泳道组：可以类比作游泳池，微服务是泳池中的游泳者。 泳道：可以类比做泳池中的泳道，泳道之间相互隔离；微服务可以根据版本的不同分散在不同的泳道游泳。

您可以修改账号下所有前端监控应用的上报数据总量的限额。 功能入口 1. 选择目标资源池，并登录 FMS 组件控制台 2. 在左侧导航栏中选择「设置」 3. 在顶部导航栏中选择「限额设置」 操作步骤 1. 修改「日消费限额」值。 2. 点击「保存」生效。

数据库类型 POSTGRESQL 数据库版本 7.4 数据库IP地址 192.168.1.31 应用端IP地址 （安装节点IP地址） 192.168.1.132 端口 8000 操作系统 LINUX64

服务器安全卫士检测防护挖矿 1.提高攻击门槛，有效缩减90% 攻击面 事实证明，90% 的攻击事件都利用了未修补的漏洞，且攻击者的手段不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。而传统的漏洞扫描器仅为按季度或按年的周期性扫描，在未进行检测期间，新的漏洞很容易被黑客利用入侵。因此，企业需要能够实现风险持续性地监测与分析产品，能够化被动为主动，深入发现内部暴露的问题和风险，持续有效地对风险进行处理，从而提高攻击门槛，缩减修复窗口期。 持续更新的补丁库以及agent 探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的漏洞。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。 自动识别应用配置缺陷，通过比对攻击链路上的关键攻击路径，发现并处理配置中存在的问题，大大降低可被入侵的风险。如下图中黑客利用redis 应用漏洞的攻击链路，针对黑客的每一步探测，系统均会进行持续性的检测，及时发现并处理某个配置缺陷，将有效解决潜在安全隐患、阻断黑客的进一步活动。 持续关注国内外最新安全动态及漏洞利用方法，不断推出最新漏洞的检测能力，至今已积累50000+ 的高价值漏洞库，包括系统 / 应用漏洞、EXP/POC 等大量漏洞，覆盖全网 90% 安全防护。同时，基于 Agent 的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。 精准检测几十种应用弱密码，覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN 等。获取应用账号密码的明文或哈希值，与弱密码表中的明文密码或者明文密码计算出的哈希值比较，确定是否为弱密码。如口令未发生新的变更，不再重复对弱口令进行检测。通过分布式的 Agent 对全量主机的弱口令检测，一方面极大的提高工作效率，另一方面对流量及业务的影响也降到了最低。同时，结合企业特征，系统能智能识别更多组合弱口令，支持用户自定义口令字典以及组合弱口令字典，能有效预防被黑客定向破译的风险。 2.多锚点的检测能力，实时发现失陷主机 传统的入侵防护方案能够很好地抵御已知的攻击，但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。因此，如何实现有效的入侵检测并提供实时的告警和响应手段已经成为安全建设亟需解决的问题。当前的攻击手段千变万化，但是攻击成功后要做的事情却是归一化的。因此，服务器安全卫士将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。 通过实时监控登录行为，可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为，并进行自动化封停处理，使得黑客不能进行更多的尝试，自动封停后会根据预定义的封堵时间进行解封。 自动化地监控关键的Web 目录，结合恶意样本库、正则库、相似度匹配等多种检测方法，实时感知文件变化，从而能够及时发现 Web 后门，并对后门的恶意代码内容进行清晰标注。 通过对用户进程行为进行实时监控，结合行为的识别方法，及时发现进程的非法Shell 连接操作产生的反弹 Shell 行为，有效感知“0Day”漏洞利用的行为痕迹，并提供反弹 Shell 的详细进程树。 通过对用户进程行为进行实时监控，结合行为识别技术，我们能及时发现进程的提权操作并通知用户，并提供提权操作的详细信息。 通过分析常见的远程命令漏洞利用实例，利用模式识别的方式，实时监控用户进程行为的各项特征，对主机中进程异常的执行行为和执行命令内容进行精确匹配，能有效发现黑客利用漏洞执行命令的行为痕迹，并及时进行告警。告警信息提供整个漏洞利用过程的进程树信息，帮助用户准确分析黑客的入侵路径和目的，功能同时也支持用户自定义规则进行检测，可帮助适应客户多样化的业务流程，精准覆盖各类RCE 攻击的监控场景。 通过分析挖矿木马程序的行为特征，针对挖矿常见的特征研制多种检测模型，对挖矿进程执行的命令、挖矿在主机中的行为、挖矿文件的信息以及挖矿本身具备的属性都设置了相应的锚点进行监控，提供用户全方位的挖矿检测和防护能力。云端+ 客户端的双重检测模式，让挖矿程序的每一个特征和行为，都会被实时发现并上报告警，同时给出专业角度的安全分析。不仅支持对挖矿进行隔离、删除、修复验证等多种处理方式，同时也提供检测规则的高度自定义能力，方便用户对挖矿木马进行快速响应和预防。功能实现了从监控发现、检测分析、响应处理、设置预防的安全闭环能力，为用户提供稳定持续高效的安全服务。

本节主要介绍功能特性 微服务引擎是微服务应用的云中间件，可为用户提供注册发现、服务治理、配置管理等企业级应用服务能力。 服务注册与发现 微服务引擎的注册发现中心Apache ServiceComb Service Center是一款restful风格的、高可用无状态的服务注册发现中心，提供微服务发现和微服务管理功能。服务提供者可以将自身的实例信息注册到注册发现中心，以供服务消费者发现并使用。 微服务治理 提供熔断、隔离、限流、负载均衡等微服务治理能力。微服务架构存在一些常见的故障模式，通过这些治理能力，能够减少故障对于整体业务的影响，避免产生雪崩效应。 服务配置管理 配置管理可为所有微服务提供统一的配置管理视图，有效降低配置管理的复杂性，搭配服务治理控制台，可在微服务运行态对微服务的行为进行调整，满足不升级应用即可适配业务场景变化的业务诉求。 灰度发布 为保障新特性平稳上线，可以先选择少部分用户试用，待新特性成熟以后，再让所有用户使用。微服务引擎的灰度发布功能可以保证整体系统的稳定，在初始灰度的时候就可以发现、调整问题，降低版本升级风险。 微服务仪表盘 微服务引擎可将有关联的微服务间调用依赖关系进行可视化展现，并提供各微服务实例的接口运行统计，如吞吐量、时延和调用成功率等指标，并集成在实时监控仪表盘中。

每次 API 请求均需在 HTTP Header 中携带完整的鉴权信息。认证机制包含两套签名，需同时传入： 业务签名（XHMACSIGNATURE）：基于公私钥对请求进行业务级签名验证。 EOP 平台签名（EopAuthorization）：天翼云 EOP 平台标准认证签名，基于 AK/SK 与请求信息动态生成。 请求消息头（完整列表） 参数名 是否必填 说明 示例值 ContentType 是 消息体类型 application/json accountid 是 租户 ID tenant001 XAPPCODE 是 应用编码（即AK） yourappcode XREQUESTDATE 是 当前毫秒级时间戳 1713600000000 XHMACSIGNATURE 是 业务签名：使用privateKey对message做 HMACSHA256 后再 Base64 编码 Base64(HMACSHA256(privateKey, message)) ctyuneoprequestid 是 请求流水号，32 位随机 UUID 0ffb9b07d5a84e19b3ce12dfb9705a1d Eopdate 是 请求时间，格式yyyyMMdd'T'HHmmss'Z'，使用北京时间（UTC+8），TZ 仅为格式符号 20221107T093029Z EopAuthorization 是 EOP 平台认证签名信息 见下方生成说明 业务签名（XHMACSIGNATURE）生成方法 message 构造格式： java message publicKey + "" + XREQUESTDATE 签名算法（Java 示例）： java importcn.hutool.crypto.digest.HMac; importcn.hutool.crypto.SecureUtil; importcn.hutool.core.codec.Base64; String publicKey "yourpublickey";// 从控制台应用管理获取 String privateKey "yourprivatekey";// 从控制台应用管理获取，请勿泄露 long time System.currentTimeMillis();// 当前毫秒时间戳，即 XREQUESTDATE String message publicKey +""+ time; HMac hMac SecureUtil.hmacSha256(privateKey); String xHmacSignature Base64.encode(hMac.digest(message)); // Header 中传入： // XREQUESTDATE: time // XHMACSIGNATURE: xHmacSignature 签名算法（Python 示例）： python import hmac import hashlib import base64 import time publickey "yourpublickey" privatekey "yourprivatekey" timestamp str(int(time.time() 1000)) 毫秒时间戳 message publickey +""+ timestamp xhmacsignature base64.b64encode( hmac.new( privatekey.encode("utf8"), message.encode("utf8"), hashlib.sha256 ).digest() ).decode("utf8")

本文主要介绍DRDS的分布式事务。 分布式事务介绍 使用分布式关系型数据库后，一个事务如果涉及到多个物理数据库节点操作，可能会出现部分物理节点处理成功、部分失败的中间状态。按照传统的数据库操作方式无法保障数据的一致性及可用性，这就是在分布式数据库中需要解决的分布式事务问题。 分布式事务解决方案 这里主要列出由DRDS提供的几种分布式事务解决方案。 补偿型事务方案 基本原理 应用发起的事务涉及多个后端数据库节点的修改。 在COMMIT前，DRDS会保存整个分布式事务中涉及的所有SQL。 当COMMIT部分出错的时候，DRDS会给应用返回处理成功。 DRDS记录事务的出错节点，让事务补偿器进行事务补偿。 DRDS事务补偿器自动对事务中出错节点进行事务补偿，记录补偿结果。 应用在进入下一环节时，需要检查以上数据是否完整。 基本流程 启动分布式事务：dt start [tab]; 会返回事务ID。 执行SQL：如果SQL涉及到的表在某些节点中处于事务补偿状态，这些表在该节点中的数据不能被访问， 因此SQL执行的时候会被锁住或者返回错误。 commit分布式事务：commit的时候会先执行次要节点，然后再执行主要节点。主要节点是最后一条SQL对应的唯一节点。 检查是否有wanrings返回：show warnings。 如果有warnings返回，使用事务ID，查询补偿是否完成：dt status tid。 补偿示例 sql public void transferOwn throws Exception { public static final String name "com.mysql.jdbc.Driver"; public static final String user "drdsUser"; public static final String password ""; Class. forName (name)；//指定连接类型 String url ”ip:port”； String schema "schemaName"； Connection c DriverManager.getConnection (String. format( "jdbc:mysql://%s/ %s ?user%s&password%s&useUnicodetrue&characterEncodingutf8"， url, schema, userName, password))； c.setAutoCommit (false)； Statement s c.createStatement()； //开启分布式事务 s.execute ("dt start")； //执行业务逻辑 s. execute ("xxx;")； c.commit()； }

使用限制 暂不支持虚拟化软件安装和再进行虚拟化（如安装使用 VMware 或者 HyperV）。 暂不支持声卡应用、直接加载外接硬件设备（如U盘、外接硬盘、银行U盾等）。

适用场景 用户Web业务服务器部署在天翼云上、非天翼云或线下，防护对象为域名。 各服务版本推荐适用的场景说明如下： 服务版本 适用场景说明 基础版 适用个人网站防护。 标准版 适用中小型网站，对业务没有特殊的安全需求。 企业版 适用中型企业级网站或服务对互联网公众开放的网站，关注数据安全且具有高标准的安全需求。 旗舰版 适用中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，默认进入“云SAAS型”页签，单击“立即购买”。 首次使用WAF时，进入如下欢迎页面，单击“立即购买”。 5. 在产品订购页面，选择版本、企业项目、规格和购买数量。 参数说明如下： 参数 说明 版本选择 此处选择“WAF 云SaaS模式”。 企业项目 选择新购产品所在的企业项目，企业项目相关内容请参考：企业项目管理。 说明 仅一类资源池支持选择企业项目。 规格选择 提供四个规格：基础版、标准版、企业版、旗舰版，关于产品规格信息对比，请参见产品规格。 购买数量 一个账号支持购买一个包周期实例，实例必须绑定一个主套餐版本。 6. 选择标准版、企业版、旗舰版时，支持叠加购买“域名扩展包”、“业务扩展包”、“规则扩展包”，可以设置购买数量。 7. （可选）填写交付联系方式。 说明 为保障产品顺利交付，天翼云提供免费交付服务，请提供交付联系方式，订购完成后，天翼云安全专家会与您取得联系。 8. 选择“购买时长”，拖动时间轴设置购买时长。 说明 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 “基础版”最多支持一次性付费1年。 9. 确认参数配置无误后，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。 10. 进入“付款”页面，完成付款。

计费组成 Web应用防火墙（原生版）计费项由主套餐（必选）和资源扩展包（可选）组成，费用计算公式如下： 用户费用（主套餐费用月费用+资源扩展包费用月费用） 购买包年/包月时长 购买折扣（包年折扣与促销优惠活动无法同享） 如何选购适合的版本 Web应用防火墙（原生版）提供WAF云SaaS模式 和WAF独享模式供用户选择，两种模式的基本功能保持一致，根据用户需求侧重点，有如下建议： 对于需要满足基础防护、计划短期使用 的用户，鼓励购买独享模式。购买1年及以内，独享模式价格更便宜能满足基本防护需求。 对于有高可用需求、需要长期进行Web防护 的用户，鼓励购买SaaS模式。SaaS模式产品可用性更强，且购买2年及以上，SaaS模式能够享受更优惠的价格。 如何选购适合的规格 WAF是以域名为防护对象进行防护的产品，所以WAF的防护性能受到用户需要防护的所有域名总访问量的影响，如何选购合适的规格对需要防护的域名进行防护，有如下几种建议的方法： 1. 通过百度站长统计或其他带有统计功能的统计应用，统计所需要防护站点一天的访问量，计算平均访问请求数，从而选择出合适的产品规格。 2. 通过Nginx内置状态模块和相关工具查看Nginx每秒处理的请求数，从而了解到所需要防护站点总的访问请求数量，若只防护了该站点下部分域名，可以购买小于总请求数量的产品规格，即可满足需求。 3. 通过访问站点处理流量大小估算访问请求数量大小，根据经验值，推荐每个HTTP请求访问大小约为3KB左右，可通过站点实时带宽除以3KB推测出站点访问量大小。 注意 百度站长统计等统计数据仅支持接入了相关统计的站点，对未接入的站点无统计数据。 需要购买的规格为所需防护域名的访问请求量，同站点下其他域名不需要进行防护，则不需要购买匹配所有域名访问对应访问量的规格。 Nginx组件相关统计模块需要手动开启，同时该组件为非默认模块组件，需要相关业务在编译时将统计模块编译入业务服务中。 通过均值计算出的产品规格仅能保证业务在平稳运行状态下的防护，若业务呈现波动情况，如早晚高峰等，建议按照访问峰值购买产品规格。

包含应用系统的云主机是否可以备份？ 支持备份。 针对数据库或邮件系统等有一致性要求的应用，建议在备份前，暂停所有数据的写操作，再进行备份。如果无法暂停写操作，则可以将应用系统停止或者将云主机关机，进行离线的备份。如果备份前不进行任何操作，则恢复后，云主机的状态类似异常掉电后再启动，数据库会进行日志回滚操作保证一致性。 如何区分备份是自动备份还是手动备份？ 如果您未自定义或更改备份名称，通常我们会通过备份名称的前缀来区分不同类型的备份。自动周期性备份和一次性手动备份的默认名称如下： 自动备份：autoxxxx 手动备份：Manualxxxx或自定义 如果您已更改备份名称并且删除了备份名称的前缀，一旦修改完成，就会难以区分备份是自动备份还是手动备份。为了方便您进行识别，建议您在备份名称中保留“autobk”的前缀。即使修改了名称，系统对自动备份和手动备份的辨别不会受到影响，自动备份仍将按照策略的保留规则自动过期。 删除备份会对云主机造成性能影响吗？ 不会。 备份不会存储在云主机中，因此删除备份不会对云主机造成任何性能影响。 删除资源后还可以使用备份恢复数据吗？ 数据恢复有两种方式，恢复数据至源云主机和使用备份创建新的云主机。 当源云主机删除，用户将无法恢复数据至源云主机。 当源云主机删除，选择创建新的云主机恢复数据是可行的，云主机资源和云主机备份并不会存放在一起，两者是独立存在的。删除云主机资源，并不会删除云主机备份，您可以使用备份创建新的云主机，新建的云主机在初始状态就具有备份中的数据。具体操作可参考使用备份申请云主机。

包含应用系统的云硬盘是否可以备份？ 支持备份。 针对数据库或邮件系统等有一致性要求的应用，建议在备份前，暂停所有数据的写操作，再进行备份。 如果无法暂停写操作，则可以将应用系统停止或者将云主机停机，进行离线的备份。 云硬盘备份是否可备份共享盘？ 目前暂时无法对共享盘进行备份，后续将逐渐完善功能。 如果您有具体需求，可以通过客服电话等方式联系产品售前经理或解决方案经理，我们会根据您的业务为您定制合适的解决方案。 系统盘备份能恢复吗？ 能。 用户可使用备份恢复系统盘，恢复系统盘前需要将系统盘从云主机上卸载或者关闭云主机。 您也可以通过系统盘备份创建新的云硬盘，但是新创建的云硬盘当前暂不支持作为系统盘使用。 云硬盘到期后还能进行备份吗？ 不能。 云硬盘到期后，不会再创建新的备份。云硬盘到期后已经在执行中的备份和恢复任务还会继续进行，但是备份和恢复的速度会变慢。建议您关注云硬盘的到期时间，及时续订，以免影响您的业务。 为什么备份同一个盘，备份副本容量的大小有差异？有的备份副本容量比硬盘的实际数据还小？ 云硬盘备份通常分为全量备份和增量备份两种类型，同时云硬盘备份会将数据压缩后再存入对象存储中。系统默认首次备份为全量备份，全量备份将会备份整个云硬盘的所有数据。首次备份后，均执行增量备份，增量备份仅备份自上次备份以来发生变化的数据，因此增量备份占用空间将比全量备份小，部分增量备份会比云硬盘实际数据还小。 全量备份和增量备份都可以恢复云硬盘的全量数据。您可以通过将某个数据量较小的备份副本恢复到新盘，观察新盘数据与原盘数据差异来验证数据是否有缺失。

Ⅱ类资源池操作步骤 方式一：修改当前实例的参数 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在实例管理页面，选择"实例列表"第一列"实例名称/实例ID"，点击指定的实例，进入并选择"参数设置"。 6. 在参数列表页面，查询需要修改的参数，并按照"可修改值范围"提示进行参数值的修改。 单击"保存"，在弹出框中单击"确定"，保存修改，若修改的参数包括静态参数，则会提示需要重启才能生效。请您根据实际情况选择重启，或者后续手动重启数据库实例。 单击"取消"，放弃本次修改。 单击"预览"，可预览本次修改参数的原先值和修改值。 参数修改完成后，您可以在参数列表的右上侧点击"查看历史修改记录"按钮，查参数修改记录。 方式二：修改自定义参数模板并应用到实例 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【参数模板】，点击进入参数模板管理页。 5. 在"参数模板"界面，选择并点击需要修改的自定义参数模板名称，进入参数列表界面。 6. 在参数列表界面，根据您的需要修改对应的参数值。 单击"保存"，在弹出框中单击"确定"，保存修改。 单击"取消"，放弃本次修改。 7. 参数模板修改后，不会立即对您的数据库实例生效。您需要进行"应用"操作并选择需要应用的实例才可生效。 8. 涉及到静态参数的修改，需要执行实例重启操作后生效。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

步骤三：清除资源 为了防止您为不需要的服务付费或影响其他虚拟私有云及网络服务的使用，建议您删除堆栈，清理资源。 步骤 1 登录AOS控制台。 步骤 2 在左侧导航栏中，单击“我的堆栈”。 步骤 3 勾选已创建成功的应用堆栈，单击“删除堆栈”，根据界面提示删除堆栈。