本小节介绍漏洞扫描产品优势。 扫描全面 天翼云漏洞扫描服务是一个具有高效、报告详尽、漏洞准确性强等特性的漏洞扫描服务产品，拥有超过 50,000 个漏洞的漏洞库和插件，每天自动更新漏洞库插件，可以更加全面的覆盖最新漏洞，准确发现扫描目标系统漏洞风险。 专业报告 结合资深安全专家、最新业界安全形势、大数据分析、威胁情报分析等输出有深度、有广度的专业漏洞扫描评估报告，并提出切实可行的安全整改建议，有利于用户全面掌握漏洞风险态势，合理高效安排加固工作。 快速发现 能够准确、快速的发现主机存在的漏洞风险，对发现的漏洞进行分析，及时提供专业含切实可行整改建议的扫描报告。 准确性强 详尽描述系统存在的漏洞种类、安全漏洞数量，危害级别等。描述漏洞时提供可行解决方案。 插件扩展性强、功能强大，可以对多种安全漏洞进行漏洞发现，使用多个扫描工具交叉扫描，降低误报，提高漏洞准确性。

本节介绍IAM授权。 概述 如果您需要针对不同资源，对用户设置不同的访问权限，以达到用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云资源的访问。 通过IAM，您可以为其他账号创建IAM用户，并使用策略来控制他们对云资源的访问范围。IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费，关于IAM的详细介绍，参见：统一身份认证。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用分布式容器云平台的其他功能。 注意 服务资源权限（IAM授权）仅针对注册集群、联邦、等系统资源有效，如果您需操作Kubernetes资源（如Deployment、Configmap和Service等），您还需配置Kubernetes集群内的RBAC权限，方可获得对应Kubernetes资源的操作能力。 概念 术语 说明 主账号 用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作，“拒绝”的优先级大于“允许”。 系统策略 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 数据权限 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。具体授权请参考：用户组授权统一身份认证。

本页介绍天翼云TeleDB数据库工单管理相关操作。 安装实例会产生对应的订单，可在本功能模块对这些工单进行管理。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择实例管理 > 工单管理 ，进入工单管理页面。 > 您可以在工单列表中查看当前的所有工单信息，包括工单号、产品、实例名称、业务类型、施工结果等。 3. 查看施工流程 > 在工单列表中，找到目标工单，然后单击操作 列的 查看流程 。 4. 编辑工单 > 在工单列表中，找到目标工单，然后单击操作 列的编辑 。系统会重新进入实例开通流程，系统会自动填入已有的工单信息方便用户快速重新下单。 5. 作废工单 > 在工单列表中，找到目标工单，然后单击操作 列的作废 。工单作废后，将释放相关占用的资源 6. 重新施工 > 在工单列表中，找到目标工单，然后单击操作 列的重新施工 。 > >

本文将介绍如何新增自定义基线检查计划。 操作场景 态势感知（专业版）支持根据基线检查计划检查您的资产是否存在风险，默认每隔3天，每次在00:00~06:00对您账号下当前region相关资产按照“安全上云合规检查1.0”遵从包自动执行基线检查，无需用户执行额外操作，系统默认开启。 另外，还可以自定义自动检测周期、时间以及检查范围。 约束与限制 同一个检查规范只能属于一个检查计划。 由于“等保2.0三级要求”、“GDPR”、“PCIDSS”、“NIST SP 80053”遵从包中的检查项为手动检查项目，因此不支持创建包含该遵从包的检查计划。 “操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在态势感知（专业版）侧执行基线检查，态势感知（专业版）仅支持查看HSS的基线检查结果。 支持检查“安全上云合规检查1.0”、“护网检查”、“云安全配置基线”遵从包中支持自动化项的检查项。 默认检查计划不支持变更包含的遵从包以及检查时间，仅支持执行开启或关闭操作。 创建检查计划 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在检查计划页面中，单击“创建计划”，系统右侧弹出新建检查计划页面。 6. 配置检查计划。 参数名称 参数说明 基本信息 计划名称 自定义检查计划的名称。命名规则如下： 计划名称由中文、字母、数字、下划线和连接符组成。 长度为1~255个字符。 基本信息 检查时间 下拉选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00 选择遵从包 勾选选择需要检测的遵从包。 7. 单击“确定”。 检查计划创建完成后，态势感知（专业版）会在指定的时间执行云服务基线扫描，扫描结果可以在“风险预防 > 基线检查”中查看。

本节介绍云安全中心服务等级协议，请点击查看。 天翼云云安全中心服务等级协议

本章介绍Git用户凭证泄露漏洞问题。 2020年4月15日，Git发布安全通告公布了一个导致Git用户凭证泄露的漏洞（CVE20205260）。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。 当URL中包含经过编码的换行符（%0a）时，可能将非预期的值注入到credential helper的协议流中。受影响Git版本对恶意URL执行git clone命令时，会触发此漏洞，攻击者可利用恶意URL欺骗Git客户端发送主机凭据。 漏洞编号 CVE20205260 漏洞名称 Git用户凭证泄露漏洞 影响范围 影响版本 Git 2.17.x < 2.17.3 Git 2.18.x < 2.18.2 Git 2.19.x < 2.19.3 Git 2.20.x < 2.20.2 Git 2.21.x < 2.21.1 Git 2.22.x < 2.22.2 Git 2.23.x < 2.23.1 Git 2.24.x < 2.24.1 Git 2.25.x < 2.25.2 Git 2.26.x < 2.26.0 安全版本 Git 2.17.4 Git 2.18.3 Git 2.19.4 Git 2.20.3 Git 2.21.2 Git 2.22.3 Git 2.23.2 Git 2.24.2 Git 2.25.3 Git 2.26.1 官网解决方案 目前官方已在最新版本中修复了该漏洞，请受影响的用户及时升级到安全版本。 官方下载链接：<

开源对比 相较于开源自建RabbitMQ，分布式消息服务RabbitMQ在低成本运维、堆积性、可观测性、集群可用性、安全保证、操作日志、OpenApi访问等方面更具优势。 对比项 开源自建 分布式消息服务RabbitMQ版 低成本运维 需要专业人员资源规划、部署、运维 一键开通，全托管。提供多种规格，按需使用，支持一键式节点数、磁盘存储空间和节点规格扩容。 堆积性 抗堆积性差，容易引发内存问题导致宕机 提供云原生引擎类型，支持海量消息堆积不受影响 可观测性 通过Management UI能够获取丰富的指标，但需要自建指标存储及展示的系统 提供监控告警能力，指标丰富，维度可精确到Vhost、Exchange和Queue，便于您快速发现和定位问题 集群可用性 需配套解决集群多节点负载均衡设置 集群内置负载均衡，支持跨AZ部署 安全保证 需要自行进行安全加固 VPC隔离，支持SSL通道加密 操作日志 无，需要自己开发 可追溯租户管理操作的记录 OpenApi访问 无，需要自己开发 提供简单的实例管理RESTFul API，使用门槛低

本章节介绍了云服务备份产品CBR的用户权限管理。 如果您需要对创建的CBR资源，设置不同的访问权限，以达到不同用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 系统默认提供两种用户权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CBR的使用权限，但是不希望他们拥有删除CBR等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CBR，但是不允许删除CBR的权限策略，控制他们对CBR资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CBR服务的其它功能。 IAM是天翼云提供权限管理的基础服务，关于IAM的详细介绍，请参见IAM产品帮助中心。 CBR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBR部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBR时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了CBR的所有系统权限。 表 CBR系统权限 策略名称 描述 策略类别 CBR FullAccess 云备份管理员权限，拥有该权限的用户可以操作并使用所有存储库、备份和策略。 系统策略 CBR BackupsAndVaultsFullAccess 云备份普通用户权限，拥有该权限的用户可以创建、查看和删除存储库和备份等，无法创建、更新和删除策略。 系统策略 CBR ReadOnlyAccess 云备份只读权限，拥有该权限的用户仅能查看云备份数据。 系统策略 下表列出了CBR常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统策略的关系 操作 CBR FullAccess CBR BackupsAndVaultsFullAccess CBR ReadOnlyAccess 查询存储库 √ √ √ 创建存储库 √ √ × 列举存储库 √ √ √ 更新存储库 √ √ × 删除存储库 √ √ × 绑定资源 √ √ × 解绑资源 √ √ × 创建策略 √ × × 更新策略 √ × × 绑定策略 √ √ × 解绑策略 √ √ × 删除策略 √ × × 执行备份 √ √ × 更新订单 √ √ × 查询agent状态 √ √ × 删除备份 √ √ × 使用备份恢复数据 √ √ × 挂载存储库 √ √ × 批量添加删除存储库标签 √ √ × 添加存储库标签 √ √ × 修改标签 √ √ ×

本文介绍如何配置镜像安全策略。 默认策略 有一个默认策略，默认为“启用”状态。默认策略应用对象为所有仓库、所有镜像，仅报警，不阻断。 添加策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像策略”，进入镜像策略页面。 3. 单击“添加策略”，进入添加策略页面。 4. 输入策略的基本信息。 5. 选择策略对象，即指定该策略应用的镜像。 6. 对指定仓库中的镜像添加规则，通过添加这些规则来查看镜像、仓库中有哪些漏洞。 说明 需要先输入策略的基本信息、选择策略对象后，才能添加具体规则。 7. 配置完成后单击“保存”，保存策略配置。 批量设置策略 还支持批量对策略进行处理，包括启用、禁用、删除。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全 > 镜像策略”，进入镜像策略页面。 3. 勾选策略名称前的复选框，选择要操作的策略。 4. 单击选择列表上方的“批量”按钮，展开批量操作。 5. 根据需要选择执行的操作，支持批量启用、禁用、删除。

本文汇总了使用虚拟私有云产品时常见的使用虚拟私有云与子网类问题。 什么是虚拟私有云？ 虚拟私有云（Virtual Private Cloud，以下简称VPC），为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 图 产品架构 VPC中可以使用哪些网段（CIDR）？ 您可以在指定的私有IP网段范围内，选择VPC的网段。VPC网段的选择需要考虑以下两点： IP地址数量：要为业务预留足够的IP地址，防止业务扩展给网络带来冲击。 IP地址网段：当前VPC与其他VPC、云下数据中心连通时，要避免IP地址冲突。 当前VPC支持的网段如下： VPC网段 IP地址范围 最大IP地址数 10.0.0.0/8~24 10.0.0.010.255.255.255 2^24216777214 172.16.0.0/12~24 172.16.0.0172.31.255.255 2^2021048574 192.168.0.0/16~24 192.168.0.0192.168.255.255 2^16265534

本文主要介绍连接未开启SASL的Kafka实例。 本章节介绍如何使用开源的Kafka客户端访问未开启SASL的Kafka实例的方法，其中包含在内网中通过同一个VPC连接实例和通过公网连接实例两个场景。如果是使用DNAT访问实例，请参考使用DNAT访问Kafka实例。 多语言客户端的使用，请参考Kafka官网： 说明 本章节主要描述使用命令行模式连接Kafka实例。 Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过修改配置参数来修改单IP的连接数。 前提条件 1.已配置正确的安全组。 访问未开启SASL的Kafka实例时，实例需要配置正确的安全组规则，具体安全组配置要求，请参考表安全组规则。 2.已获取连接Kafka实例的地址。 如果是使用内网通过同一个VPC访问，实例端口为9092，实例连接地址获取如下图。 图使用内网通过同一个VPC访问Kafka实例的连接地址（实例未开启SASL） 如果是公网访问，实例端口为9094，实例连接地址获取如下图。 图公网访问Kafka实例的连接地址（实例未开启SASL） 3.如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 4.已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本或者Kafka命令行工具2.7.2版本，确保Kafka实例版本与命令行工具版本相同。 5.已创建弹性云服务器，如果使用内网通过同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。在弹性云服务器中安装Java Development Kit 1.8.111或以上版本，并配置JAVAHOME与PATH环境变量，具体方法如下： 使用执行用户在用户家目录下修改“.bashprofile”，添加如下行。其中“/opt/java/jdk1.8.0151”为JDK的安装路径，请根据实际情况修改。 export JAVAHOME/opt/java/jdk1.8.0151 export PATH$JAVAHOME/bin:$PATH 执行source .bashprofile命令使修改生效。

本文主要为您介绍如何绑定虚拟MFA、如何解绑虚拟MFA，以及用户手机丢失或删除虚拟MFA应用程序时如何解绑虚拟MFA。 什么是虚拟 MFA 虚拟 MFA 设备是能产生 6 位数字认证码的应用程序，遵循基于时间的一次性密码（TOTP）标准。此类应用程序可在移动硬件设备（包括智能手机）上运行，非常方便。使用虚拟MFA能够在用户名和密码之外再额外增加一层安全保护，是一种简单有效的安全实践方法。 如何绑定虚拟MFA 1、登录天翼云官网，在首页点击“我的个人中心”进入账号中心的“安全设置”页面，在登录保护虚拟MFA右侧点击“马上绑定“。 2、身份验证。 绑定虚拟 MFA时，需要先进行身份验证，可选择验证方式：手机，邮箱。验证通过后，进入安装APP流程。 3、安装天翼云APP（若已有则跳过此步骤）。 要使用虚拟MFA必须先在智能设备上安装一个MFA应用程序，才可继续进行操作。您可以直接使用天翼云App进行配置，或安装其他第三方应用程序，如 Google Authenticator。下面以天翼云APP为例绑定虚拟MFA。 4、在虚拟MFA应用程序中添加用户。 您可以通过扫描二维码、手动输入两种方式绑定虚拟MFA： 扫描二维码添加（推荐） 打开手机上安装的天翼云APP，进入“我的”页面，点击右上角“MFA”进入绑定页面，然后点击“扫码添加“，扫描“安全设置/绑定MFA”页面的二维码（PC端页面），扫描成功后，虚拟MFA列表中出现帐号名及对应的MFA动态码。 手动输入 打开手机上安装的天翼云APP，进入“我的”页面，点击右上角“MFA”进入绑定页面，然后点击“手动输入”，输入账号名和密钥并确定提交（点击PC端“安全设置/绑定MFA”页面的“扫描失败”查看账号名和密钥），虚拟MFA列表中出现帐号名及对应的MFA动态码。 ! 5、输入6位动态数字，点击“下一步”完成绑定。 ! 注意 绑定MFA 设备后，请勿随意删除卸载APP，否则会导致天翼云账号无法登录。如需要卸载APP、更换手机、升级手机系统版本，请先解绑MFA 只要手机不丢失或者没有删除验证 APP，则可在天翼云官网自助解绑虚拟MFA；若手机丢失或者未解绑就了删除验证 APP，需要申请人工解绑。

本节将介绍如何查看已有布局。 查看已有布局 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 页面布局”，默认进入页面布局管理页面。 5. 在布局管理页面，查看已有布局。 将鼠标悬停在目标布局上，并单击布局右上角，可以进入布局配置详情页面进行查看。

相关术语解释 VPN网关 VPN网关是VPN连接的接入点。一个VPN网关仅能绑定一个VPC，每个VPN网关可以创建多个VPN连接。每个VPN网关默认分配了一个公网IP地址，可以满足用户本地数据中心侧VPN设备或移动终端接入VPC的业务需求。 用户网关 用户企业侧的VPN网关，与VPC侧VPN网关互为本端、远端。用户侧数据中心VPN网关需具备固定公网IP，动态拨号公网IP无法进行IPsec VPN对接。如果用户侧公网IP进行了变更，则需要尽快在天翼云上进行同步修改。否则，会导致IPsec VPN协商失败，流量转发不通。 IPsec连接 IPsec连接是一种基于IP协议的加密技术，用于构建VPN网关和用户本地数据中心远端网关之间的安全、可靠的加密通道。VPN连接使用IKE（Internet Key Exchange，网络密钥交换协议）和IPsec协议对传输数据进行加密，保证数据安全可靠，并且IPsec VPN连接基于互联网进行传输，更加节约成本。 SSL 服务端 SSL 服务端是SSL VPN连接的客户端网关，主要实现数据包的封装与解封装。需要在 VPN 网关中进行 SSL 服务端的相关配置，如配置本端子网、客户端地址池、传输协议及端口等。 SSL 客户端 SSL VPN客户端是一种安全访问虚拟专用网络（VPN）的客户端应用程序，它使用安全套接层（SSL）协议来建立加密的远程连接，以确保数据在客户端和VPN服务器之间的传输安全。

本节介绍如何为服务器安装/卸载服务器安全卫士Agent。 服务器安全卫士Agent是安装在云主机上的一款应用软件，用于检测云主机中存在的安全风险。 安装Agent后，才能使用服务器安全卫士的防护能力，包括资产管理、风险管理、入侵检测、网页防篡改等。 如果不安装Agent，将无法对云主机进行安全检测。 使用限制 目前支持安装Agent的操作系统请参见支持的操作系统。 注意 如果您的服务器操作系统不在支持范围内，安装Agent后可能存在兼容性问题，无法保证能正常使用服务器安全卫士（原生版）的防护能力。 如果您的服务器上已安装第三方安全软件，可能会导致服务器安全卫士的Agent无法正常安装和升级 ，建议您先关闭或卸载安全软件后再安装Agent。 安装Agent 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 点击“安装Agent”，弹出安装Agent窗口，按需选择Linux和Windows系统的安装命令。 Linux主机安装Agent 1. 选择Linux系统，复制安装命令。 2. 在Linux云主机中以管理员权限执行安装命令进行安装。 说明 手动安装Agent后，等待5分钟左右会自动连接，请耐心等待（无需重启服务器）。

本文介绍回源URI改写功能的适用场景和配置说明。 功能介绍 回源URI改写可以实现在用户请求需要回源时进行URI改写， 配置回源URI改写功能后，全站加速节点向源站发起回源请求时将使用改写后的URI。 适用场景 1. 源站服务器的资源所在的路径发生了变化，而用户仍然使用原来的URI，此时可在客户控制台配置回源URI改写功能，将原URI指向新的资源路径。 2. 源站内有同样的资源在多个地方复用，也可以通过回源URI改写将资源指向指定的资源路径。 注意事项 1. 回源URI改写功能只能针对请求URI进行改写，无法对URI后的参数进行改写，若要对URI后的参数进行改写，详情请见：回源参数改写。 2. URI改写会按照从上到下顺序执行规则列表，因此规则列表的顺序会影响改写结果。 3. 单个域名可配置的回源URI改写的规则上限是50条。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【回源URI改写】模块，单击【增加规则】。 6. 配置【改写模式】、【待改写PATH】、【改写后PATH】。 7. 单击【保存】，完成配置。 参数名 说明 改写模式 默认解码，对回源URI解码后改写，回源时再编码；选择编码，对回源URI原始编码改写，回源时不再编码。 待改写PATH 以/开头的URI，不含 改写后PATH 以/开头的URI，不含 操作 可删除配置。

本文介绍回源SNI功能的原理和使用说明。 功能介绍 如果一个源站IP地址绑定多个域名，且CDN加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，CDN节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认CDN节点请求的具体域名，然后返回该域名对应的SSL证书给CDN节点。 设置回源SNI后的工作流程如下： 1. 当CDN节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. CDN节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

本文介绍缓存过期时间设置方法。 功能介绍 缓存过期时间指源站资源在CDN节点缓存的时长，在缓存未过期前，对应资源会直接从CDN节点响应给用户；达到预设缓存过期时间后，资源将会被CDN节点标记为缓存过期。此时如果客户端向CDN节点请求该资源，CDN会携带IfModifiedSince请求头或IfNoneMatch请求头回源站校验内容是否有更新，如有更新则获取最新资源并缓存到CDN节点，如无更新则继续使用原有缓存文件。您可以根据业务需求，按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。 注意事项 1. 您可基于天翼云默认推荐的缓存设置，按需进行调整后，直接使用，当前默认推荐配置如下： 2. 如您删除了上述默认推荐设置，且未添加其他任何设置情况下，全局默认优先遵循源站缓存头，包括Pragma:nocache、CacheControl、Expires响应头；其优先级从高到底分别如下：Pragma:nocache、CacheControl:nocache/private/nostore > CacheControl：maxagen (n≥0)>Expires。如源站无任何上述缓存头设置，则在CDN节点上不缓存。默认忽略参数缓存，若不同参数文件内容不同，需设置为不忽略参数。 3. 如果加速域名下的文件访问热度过低（指同个文件在一段时间内被访问的频次过低），则很可能在过期时间到来之前被其他热度更高的文件覆盖。即：即使某个文件配置的缓存时间较长，如1个月，仍有可能在1个月内重复回源。 4. 天翼云CDN节点的缓存时间，最长可以设置为3年，即1095天。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list< string > 否 产品类型 传“006”代表全站加速，不传代表全部产品。 busitype list< int > 否 业务类型 0(base)，1(upload)，2(websocket)，不传默认所有业务类型 domain list< string > 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list< int > 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看 isp list< string > 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6、other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有应用层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 abroad int 否 区域 0(国内)，1(国外)，不传或为空默认返回全部区域 groupby list< string > 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，busitype，domain，province，isp，networklayerprotocol，applicationlayerprotocol，abroad 。

本节介绍服务器安全卫士(原生版)基线检测操作指南。 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项，例如不必要的服务开启、过时的软件版本、未启用的安全特性等。通过基线检测，可以及时发现并修复这些潜在的安全风险。 版本限制 仅企业版、旗舰版支持基线检测功能。 新建基线检测策略 基线检测设置分为一键检测和定时检测。当您需要进行基线检测时，先设置您需要的基线策略。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 该页面展示了已经设置好的基线策略，包括策略名称、检查周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。 4. 单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”即可完成新建基线策略。 编辑基线检测策略 若您需要对已有的基线策略进行编辑，点击该策略操作列中的“编辑”，可以修改策略的所有信息，包括策略名称、检查时间、已选择的基线名称和服务器，修改完成后点击“确认”即可完成基线策略编辑。 删除基线检测策略 若您需要删除已有的基线策略，点击该策略操作列中的“删除”，在提示框中点击“确认”即可完成基线策略删除。

本章节主要介绍翼MapReduce的多租户功能。 定义 多租户是MRS集群中的多个资源集合（每个资源集合是一个租户），具有分配和调度资源的能力。资源包括计算资源和存储资源。 背景 现代企业的数据集群在向集中化和云化方向发展，企业级大数据集群需要满足： 不同用户在集群上运行不同类型的应用和作业（分析、查询、流处理等），同时存放不同类型和格式的数据。 某些类型的用户（例如银行、政府单位等）对数据安全非常关注，很难容忍将自己的数据与其他用户的放在一起。 这给大数据集群带来了以下挑战： 合理地分配和调度资源，以支持多种应用和作业在集群上平稳运行。 对不同的用户进行严格的访问控制，以保证数据和业务的安全。 多租户将大数据集群的资源隔离成一个个资源集合，彼此互不干扰，用户通过“租用”需要的资源集合，来运行应用和作业，并存放数据。在大数据集群上可以存在多个资源集合来支持多个用户的不同需求。 对此，MRS企业级大数据集群提供了完整的企业级大数据多租户解决方案。 优势 合理配置和隔离资源 租户之间的资源是隔离的，一个租户对资源的使用不影响其他租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，其资源消费能够被测量和统计。 保证数据安全和访问安全 多租户场景下，分开存放不同租户的数据，以保证数据安全；控制用户对租户资源的访问权限，以保证访问安全。

本节介绍了云数据库TaurusDB的使用限制说明。 TaurusDB使用上有一些固定限制，用来提高实例的稳定性和安全性，具体详见下表。 表功能使用限制 功能 使用限制 TaurusDB访问 如果TaurusDB数据库实例没开通公网访问，则该实例必须与弹性云主机在同一个虚拟私有云内才能访问。 弹性云主机必须处于目标TaurusDB数据库实例所属安全组允许访问的范围内。如果TaurusDB数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在TaurusDB数据库的安全组添加一条“入”的访问规则。“入”规则开放TCP协议，使用数据库实例的默认端口。 TaurusDB数据库实例的默认端口：主备版默认端口为3306，需用户手动修改端口号后，ECS或外网才能访问其他端口。具体操作请参见修改数据库端口。 数据库的root权限 创建实例页面只提供管理员root用户权限（仅限主备版）。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 数据迁移 使用mysqldump迁移TaurusDB数据。 重启TaurusDB实例 无法通过命令行重启，必须通过TaurusDB的管理控制台重启实例。 查看TaurusDB备份 TaurusDB数据库实例在对象存储服务上的备份文件，对用户不可见。

本节介绍了云数据库GaussDB 的约束与限制。 云数据库GaussDB 在使用上有一些固定限制，用来提高实例的稳定性和安全性。 功能 使用限制 数据库访问 弹性云主机必须处于目标云数据库GaussDB实例所属安全组允许访问的范围内。如果云数据库GaussDB实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在云数据库GaussDB的安全组添加一条“入”的访问规则。 云数据库GaussDB实例的默认端口为8000。 部署 实例所部署的服务器，对用户都不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的root权限 创建实例页面只提供管理员root用户权限。 说明： GaussDB为root用户开放了sysadmin权限。新创建实例的root用户都将拥有sysadmin权限，而存量实例执行版本升级后，root用户也将拥有sysadmin权限，如果需要进行版本升级，请联系客服处理。 如果存量实例未进行版本升级，则管理员root用户权限为：createrole，createdb和monadmin。由于旧版本root权限低于完整的管理员用户权限， 部分SQL语法/函数执行时会报权限不足，例如：create tablespace 等 重启云数据库GaussDB实例 无法通过命令行重启，必须通过云数据库GaussDB的管理控制台操作重启实例。

本节介绍了添加网卡的操作场景、操作步骤、后续任务。 操作场景 当您的弹性云主机需要多个网卡时，可以参考下面步骤为弹性云主机添加网卡。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 单击待添加网卡的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“弹性网卡”页签，并单击“绑定弹性网卡”。 6. 选择待增加的子网和安全组，如下图所示。 图 选择子网和安全组 安全组：您可以同时勾选多个安全组，此时，弹性云主机的访问规则遵循几个安全组规则的并集。 私有IP地址：如果需要给弹性云主机添加一张指定IP地址的网卡，用户需填写“私有IP地址”。 7. 单击“确定”。 后续任务 部分操作系统无法识别新添加的网卡，需手动激活网卡。下面以Ubuntu系统为例介绍具体激活网卡的操作步骤，其他操作系统请自行完成相关操作，如有问题，请参见对应操作系统的官网指导或手册来完成操作。 1. 在弹性云主机所在行的“操作”列下，单击“远程登录”。 登录弹性云主机。 2. 执行如下命令，查看网卡名称。 ifconfig a 例如，查询到的网卡名为：eth2。 3. 执行如下命令，进入相应目录。 cd /etc/network 4. 执行如下命令，打开interfaces文件。 vi interfaces 5. 在interfaces文件中，增加类似如下信息。 auto eth2 iface eth2 inet dhcp 6. 执行如下命令，保存并退出interfaces文件。 :wq 7. 执行命令ifup ethX或/etc/init.d/networking restart，使新增网卡生效。 上述命令中的X为具体的网卡名称序号，例如，ifup eth2。 8. 执行如下命令，查看回显信息中是否包括2查询到的网卡。 ifconfig 例如，回显信息中包含网卡eth2。 是，表示新增网卡生效，结束。 否，表示新增网卡未生效，执行9。 9. 登录管理控制台，在弹性云主机所在行的“操作”列下，选择“更多”，并单击“重启”。 10. 再次执行命令ifconfig，查看回显信息中是否包括2查询到的网卡。 1. 是，结束。 2. 否，请联系客服获取技术支持。

只读实例白名单配置 注意 只读实例与主实例的白名单无关联，需要单独对只读实例进行白名单设置才可以访问只读实例。 1. 在实例列表中，单击目标只读实例名称，进入实例基本信息页面。 2. 单击白名单与安全组，进入白名单与安全组管理页面。 3. 单击创建白名单分组，或者对已有的白名单分组进行修改。 4. 选择对应的协议，设置IP白名单，多个ip地址用英文分号分隔即可。 5. 点击确定，设置完毕，稍后可进行连接访问。

本节介绍了用户创建弹性云主机成功后远程登录提示密码错误的处理方法。 处理方法 通过检查弹性云主机的网络配置，是否导致弹性云主机Cloudinit失败，检查步骤如下： 弹性云主机所在安全组80端口“出方向”和“入方向”是否放通。 弹性云主机所在子网DHCP是否放通。 说明 弹性云主机所在的安全组80端口、弹性云主机子网DHCP放通后，重启弹性云主机，等待3～5分钟，远程登录输入密码或密钥可以登录。

本节介绍态势感知的威胁告警功能简介。 背景信息 态势感知威胁告警功能汇集了多个安全服务的告警能力，按照告警类型和等级统一维度呈现，可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。 同时，通过威胁分析，从攻击源和受攻击资产两个维度，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。 态势感知威胁告警支持以下功能项： 告警列表：通过“实时监控”云上威胁告警事件，并接入HSS、WAF等服务上报的告警事件，提供告警通知和监控，记录近180天告警事件详情。 威胁分析：从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。 告警类型 目前SA支持检测8类威胁告警事件，共包括200+种子告警类型。 DDoS事件 “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型的DDoS威胁。 网络层攻击：NTP Flood攻击、CC攻击等。 传输层攻击：SYN Flood攻击、ACK Flood攻击等。 会话层攻击：SSL连接攻击等。 应用层攻击：HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解事件 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。

本小节介绍DDoS攻击缓解最佳实践。建议客户通过以下方式缓解DDoS攻击带来的影响。 缩小暴露面 隔离资源和不相关的业务，降低被攻击的风险。 配置安全组，尽量避免将非业务必须的服务端口暴露在公网上，从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。 优化业务架构 利用公共云的特性设计弹性伸缩和灾备切换的系统。 科学评估业务架构性能 在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。 优化DNS解析 通过智能解析的方式优化DNS解析，可以有效避免DNS流量攻击产生的风险。同时，建议您将业务托管至多家DNS服务商，并可以从以下方面考虑优化DNS解析。 屏蔽未经请求发送的DNS响应信息 丢弃快速重传数据包 启用TTL 丢弃未知来源的DNS查询请求和响应数据 丢弃未经请求或突发的DNS请求 启动DNS客户端验证 对响应信息进行缓存处理 使用ACL的权限 利用ACL、BCP38及IP信誉功能 服务器安全加固 提升服务器自身的连接数等性能。 对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本。 确保服务器的系统文件是最新的版本，并及时更新系统补丁。 对所有服务器主机进行检查，清楚访问者的来源。 过滤不必要的服务和端口。例如，对于WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上设置阻止策略。

本章节主要介绍翼MapReduce的切换Ranger鉴权操作。 操作场景 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 说明 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 非安全模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 启用Ranger鉴权后，该组件所有鉴权将由Ranger统一管理，原鉴权插件设置的权限将会失效（HDFS与Yarn的组件ACL规则仍将生效），请谨慎操作，建议提前在Ranger上做好权限部署。 停用Ranger鉴权后，该组件所有鉴权将由组件自身权限插件管理，Ranger上设置的权限将会失效，请谨慎操作，建议提前在Manager上做好权限部署。 启用Ranger鉴权 1. 登录FusionInsight Manager。 2. 选择“集群 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 在服务详情页面单击“更多”，选择“启用Ranger鉴权”。 5. 输入当前登录的用户密码确认身份，单击“确定”。 6. 在服务列表，重启配置过期的服务。

本文介绍科研助手的技术运维类常见问题。 作业运行常见问题 1. 作业提交后，为什么没有立刻启动？ 作业提交后会由平台进行调度，根据优先级排队等待资源，等待时间依资源池繁忙程度而定。一个作业内可以包含多个任务节点和实例，有可能出现作业中某些实例分配了资源开始运行，其它实例还在等待的情况。 2. 作业运行结束后，其中的数据是否还在？ 作业运行结束后，其中的数据将被销毁，请在作业业务逻辑中及时保存数据，例如将数据存储到对象存储等持久化存储介质中。 3. 通过息壤·科研助手提交的作业，是否支持节点间通信？ 同一个集群内的实例，可以通过内网 IP 进行通信，不同集群间实例不能互相通信。 调试和查错常见问题 1. 如何进行开发调试？ 息壤·科研助手提供了开发环境，可现在开发环境进行单机调试。 2. 如果程序执行失败怎么调试？ 程序失败时可以通过查看作业和实例事件获取更多的作业运行信息。如果问题还未能解决，请联系售后技术支持。

本节介绍公共算力服务的产品相关问题。 公共算力服务适用哪些场景？ 场景一：企业、个人的通用计算应用场景，平台实现了算力标准化、普惠化。 场景二：社会闲余算力接入，基于算力并网实现对社会算力并网，算力云化。 如何开通公共算力服务？ 请您提前准备天翼云账号，完成实名认证，登录公共算力服务控制台，即可使用公共算力的服务。 如何申请更多资源池权限？ 请您提前准备好您的业务场景、资源需求规模、资源分布等信息，联系您的客户经理，或者提交客服工单，或者直接拨打客服热线将您的需求告知相关人员。审核通过，权限开放后会有运营人员联系您。 公共算力服务支持哪些资源类型？ 公共算力服务提供包含计算、存储和网络在内的多类资源，如裸金属、VPC、弹性IP、子网ACL、NAT网关、通用文件存储、并行文件存储等资源类型（不同资源池的可用资源类型有差异）。资源按需开放，如需购买请联系您的客户经理，或者提交客服工单，亦或直接拨打客服热线。

本节介绍天翼AI云电脑配置的OpenClaw默认模型,以及如何购买算力。 免费tokens规则 云电脑OpenClaw默认模型 API 如何切换模型（使用云电脑中云智助手） 在云智助手更新算力模型 在云智助手中获取配置项 模型API 连通性验证 如何切换模型（使用第三方算力API） 如何在云智助手购买算力 如何购买息壤的算力 获取息壤模型调用APIKey 在云电脑的小龙虾（OpenClaw）中配置模型 模型API 连通性验证 OpenClaw 响应很慢怎么办？ 免费tokens规则 1. 赠送规则 用户每购买 / 领取一台云电脑，并开通 OpenClaw 镜像，即可获赠 2500 万 tokens 免费算力额度。 若用户购买多台云电脑，赠送 tokens 数量 购买台数 × 2500 万 tokens。 2. 有效期 赠送 tokens 有效期至 2026 年 12 月 31 日，过期未使用将会失效，若在此期间云电脑被注销，则tokens也会自动清零。 3. 后续调整 活动结束后或额度调整将以平台实时政策为准，请关注产品内公告。