本章节介绍应用服务网格CSM产品定义 什么是应用服务网格CSM？ 天翼云应用服务网格（CSM）提供基于Sidecar技术的无侵入式服务治理能力，兼容开源istio服务网格，并基于开源实现做了功能增强，提供了丰富的流量治理、安全管控和观测能力，满足多语言、技术栈应用统一治理的需求，降低业务接入门槛。 核心功能 网格全生命周期管理：一键创建、销毁网格实例、网格规格扩容，支持日志、链路、指标等自动化配置；实现Sidecar定制化配置，支持Sidecar注入策略及Sidecar代理配置能力。 流量治理能力：支持原生的istio流量治理能力，并提供了本地限流、流量打标、全链路灰度等高阶治理能力；无缝对接云容器引擎，实现多集群统一治理。 可观测及安全策略：支持数据面指标监控，提供控制面和数据面日志及链路追踪能力；支持全链路加密通信，请求认证授权，集成外部授权服务和OPA策略引擎，支持控制台API操作审计。 应用服务网格CSM的核心功能说明如下。更多信息，请参见用户指南。 功能项 说明 相关文档 网格管理 网格可观测、OPA配置等配置能力，全局命名空间管理。 网格管理 sidecar管理 sidecar注入策略配置，sidecar代理配置。 sidecar管理 集群与工作负载管理 ServiceEntry管理，多集群管理。 集群与工作负载 流量治理 提供多集群治理能力，支持基于istio CRD的流量治理，以及扩展的高阶治理能力。 流量管理中心 安全策略 一键开启mTLS安全链路，支持丰富的请求认证和授权策略，支持使用外部授权服务对网格内的服务进行访问授权，支持一键集成OPA策略引擎。 网格安全中心 可观测管理 指标监控，数据面、控制面日志监控能力。 可观测管理中心 网格优化 sidecar资源管理，服务发现范围配置以及自适应配置分发配置。 网格优化中心 网关 ingress、egress网关生命周期管理。 网关

本小节介绍入门实践。 当您为主机开启安全防护后，可以根据业务需求使用HSS提供的一系列常用实践。 实践 描述 漏洞修复 []( 2020年4月15日，Git发布安全通告公布了一个导致Git用户凭证泄露的漏洞（CVE20205260）。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。当URL中包含经过编码的换行符（%0a）时，可能将非预期的值注入到credential helper的协议流中。受影响Git版本对恶意URL执行git clone命令时，会触发此漏洞，攻击者可利用恶意URL欺骗Git客户端发送主机凭据。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 SaltStack远程命令执行漏洞（CVE202011651/CVE202011652） Saltstack是基于python开发的一套C/S自动化运维工具，国外安全研究人员披露其中存在身份验证绕过漏洞（CVE202011651）和目录遍历漏洞（CVE202011652）漏洞，攻击者利用这些漏洞可实现远程命令执行、读取服务器上任意文件、获取敏感信息等。 本实践介绍通过HSS检测与修复这些漏洞的建议。 漏洞修复 OpenSSL高危漏洞（CVE20201967） OpenSSL安全公告称存在一个影响OpenSSL 1.1.1d、OpenSSL 1.1.1e、OpenSSL 1.1.1f的高危漏洞（CVE20201967），该漏洞可被用于发起DDoS攻击。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( Font Manager库远程代码执行漏洞（CVE20201020/CVE20200938） 当Windows Adobe Type Manager库未正确处理经特殊设计的多主机Adobe Type 1 PostScript格式字体时，Microsoft Windows中存在远程代码执行漏洞。对于除Windows 10之外的所有系统，成功利用此漏洞的攻击者可以远程执行代码。对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 []( CryptoAPI欺骗漏洞（CVE20200601） Windows CryptoAPI欺骗漏洞（CVE20200601）影响CryptoAPI椭圆曲线密码（ECC）证书检测机制，致使攻击者可以破坏Windows验证加密信任的过程，并可以导致远程代码执行。 本实践介绍通过HSS检测与修复该漏洞的建议。 勒索病毒防护 []( 勒索病毒攻击已成为当今企业面临的最大安全挑战之一。攻击者利用勒索病毒加密锁定受害者的数据或资产设备，并要求受害者支付赎金后才解锁数据，也存在即使受害者支付赎金也无法赎回数据情况。 为了预防勒索病毒攻击，避免被勒索面临巨大的经济损失风险，您可以使用“HSS+CBR”组合为服务器做好“事前、事中、事后”的勒索病毒防护。

本节介绍云电脑开箱即用Hermes Agent的介绍。 产品核心优势 Hermes 是一个强大的 AI Agent 编排框架，旨在简化智能代理的构建、部署和管理过程。通过模块化架构和丰富的工具生态，让开发者能够快速构建复杂的 AI 应用。同时也是拥有内置学习循环的智能体，它从经验中创建技能，在使用过程中改进它们，促使自己持久化知识，并在跨会话中构建对您身份认知的深化模型。可通过微信、飞书、QQ等APP与你随时保持联系。 与OpenClaw的区别 OpenClaw 与 Hermes Agent 的核心差异在于“工具”与“伙伴”的定位不同： OpenClaw 是一款配置驱动的执行网关，强调透明可控、指令直达，擅长代码开发与国内主流平台的精准对接，适合需要“明确输入+稳定输出”的开发者场景； Hermes Agent 是一款具备持久记忆与自主进化能力的智能体，以目标为导向自动规划、执行并复盘，支持多端常驻且能持续学习用户习惯，更像一位“越用越默契的数字同事”。 简言之，侧重精准执行与开发集成选 OpenClaw，侧重长期陪伴、自主协作与能力进化选 Hermes。 支持镜像 已提供相应的Ubuntu镜像（Ubuntu 24.04 Hermes 64位）;妙逸镜像和Windows镜像后续会推出。 微信扫码体验

本章介绍函数工作流的事件函数的概述和优势。 概述 FunctionGraph支持事件类型函数。事件是指用于触发函数，通常为JSON格式的请求。用户作为事件源（事件的生产者），可以通过云服务平台或Cloud IDE触发函数并进行执行。在函数创建界面可以选择函数类型，事件类型的函数不受触发器类型的限制，当前FunctionGraph支持的所有类型触发器均可用于触发事件函数。 说明 1. FunctionGraph原生支持事件类型函数，在函数创建界面默认选择该类型。 2. 测试函数时在参数配置界面输入用户指定的事件JSON即可完成函数触发。 3. 用户也可以通过FunctionGraph支持的触发器进行事件函数触发。 优势 单机编程体验，简单易用 事件类型函数可以在FunctionGraph函数界面或Cloud IDE界面进行函数编辑或代码包上传，一键式完成函数云上部署，用户无需关心并处理函数的并发、故障恢复等问题。 高性能极速运行时 事件函数提供毫秒级函数启动、函数扩容、函数调用，秒级故障中断检测及秒级故障恢复。 便捷完备的工具链 提供完备的日志、调用链、debug及监控能力，支撑开发者“三步”上线函数应用。 限制 事件函数受限于事件格式（事件源），开发者在开发过程中需要遵循函数平台的函数开发规则。

购买步骤（二类节点） 1. 登录天翼云控制中心。 2. 选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3. 单击右上角的“立即购买”，进入数据库审计实例购买页。 4. 在订购页面，配置实例相关参数。 参数 说明 地域 选择数据库审计实例的地域。 尽量选择距离您更近的地域以提高访问速；购买完成后不支持修改地域。 可用区域 部分地域拥有多个可用区，选择其中一个可用区购买数据库审计实例；购买完成后不支持修改可用区。 CPU分类 选择实例的CPU架构。部分地域提供了X86和ARM架构，实际支持情况以订购页为准。 数据库审计名称 输入该数据库审计实例的名称。 实例数量 选择数据库审计的实例数量。 配套弹性云主机 配置数据库审计实例所需的云主机规格，不同实例规格所需的云主机规格详见产品规格。 数据库审计云主机：云主机的规格，即CPU、内存规格。不支持升降配。 系统盘：云主机的系统盘规格，根据您服务自身需求选择具体容量大小，不支持降配。 数据盘：云主机的数据盘规格，根据您服务自身需求选择具体容量大小，不支持降配。 虚拟私有云 选择数据库审计实例所属的VPC。 安全组 选择数据库审计实例所属的安全组。为正常使用数据库审计，请手动开通如下安全组规则：TCP协议1443、13001与13002入方向。 子网 选择数据库审计实例所属的子网。 弹性IP 绑定数据库审计实例的弹性IP。 若购买时未绑定弹性IP，等开通完成后，请在云主机手动同步绑定选择的弹性IP，具体操作请参考：绑定弹性公网IP。 管理员初始帐密 为数据库审计实例的超级管理员设置初始密码。 用户名：默认为超级管理员admin，不支持修改。 登录密码：设置初始密码。 确认密码：二次确认密码。 5. 选择“购买时长”，拖动时间轴设置购买时长。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 6. 确认参数配置无误后，阅读《天翼云数据库审计产品服务协议》并勾选“我已阅读并同意《天翼云数据库审计产品服务协议》”，单击“提交订单”。 7. 在订单详情页确认内容是否正确，确认无误后单击“立即支付”，在后续跳转页中完成支付即成功购买数据库审计服务。

本节介绍如何查看组件详情。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 组件漏洞”，进入组件漏洞页面。 3. 单击组件列表内的“组件名称”，可查看组件内存在的漏洞信息。 4. 进入漏洞信息页面，可查看不同危险等级漏洞的数量统计结果，漏洞详情展示了漏洞类型、漏洞编号、危险级别、软件、受影响的版本等信息。 5. 单击漏洞详情中的漏洞编号可查看漏洞介绍和参考地址等信息。

本小节介绍云下一代防火墙安全产品如何登录web管理页面。 确保安全组已放行Web登录端口（通常是10443端口），以便允许远程访问管理界面。 获取您的云下一代防火墙的弹性IP地址（Elastic IP）。 打开Web浏览器，输入以下地址： 请将“弹性IP”替换为您的云下一代防火墙实例的实际弹性IP地址。 在登录页面上，输入您的用户名和密码。 单击登录或提交按钮。请注意，登录Web管理页面具有管理权限，因此需要妥善保护登录凭据。 建议采取以下措施来减少管理上的风险： 使用强密码：请使用复杂、长且唯一的密码，以增加安全性。 定期更改密码：定期更改登录密码，以减少潜在风险。

本文介绍如何查看订单。 操作步骤 1. 支付成功后进入“我的订单”页面。 2. 单击“详情”，待订单状态为开通完成后即可进入大模型安全测评页面。

本章节为您介绍数据识别相关内容。 数据识别模块包含数据标签和敏感数据两个子模块。主要功能是将 API 响应体解析后 ，根据标签对敏感数据进行识别，并展示识别到的敏感数据。 数据识别 API安全网关系统内置25个敏感数据标签，可识别身份证、手机号、邮箱、银行卡等敏感数据，并且支持用户自定义添加标签和识别规则。 新增标签 1.登录API安全网关。 2.在左侧导航栏选择“数据识别 > 数据标签”，进入数据标签页面，即可查看系统内现有的标签。 说明 列表默认展示标签名称、分类、分级、来源、描述。 来源为“系统内置”的标签不允许删除和编辑识别规则。 3.单击页面左上角的“新增”按钮，即可开始新增标签。 字段 说明 标签名称 自定义标签名称，名称不可重复。 启用状态 默认启用，可禁用；禁用后不识别该标签。 分类 默认未分类，可下拉选择内置分类。 分级 默认未分级，可下拉选择内置分级。 描述 自定义描述说明。 识别规则—正则表达式 填写正则表达式，系统可根据正则表达式识别标签。 4.填写完成后单击“保存”即可完成标签新增。

本节主要介绍如何提交剧本版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“版本信息”栏中目标版本所在行“操作”列的“编辑”。 7. 在剧本版本编辑页面，编辑版本信息。 8. 单击“确定”。 9. 在剧本版本管理页面中，单击“版本信息”栏中目标版本所在行“操作”列的“提交”，弹出提交审核确认框。 10. 在确认框中，单击“确认”，提交剧本版本。 说明 剧本版本提交后“版本状态”变为“待审核”。 剧本版本提交后不可以再编辑，如果需要编辑可以新建版本，或者在审核中驳回提交。 后续处理 剧本版本提交后，需要进行审核，详细操作请参见审核剧本版本。

本章主要介绍翼MapReduce的配置HDFS数据传输加密功能。 设置HDFS安全通道加密 默认情况下，组件间的通道是不加密的。您可以配置如下参数，设置安全通道为加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后应重启对应服务使参数生效。 详见下表：参数说明 配置项 描述 默认值 hadoop.rpc.protection 须知 设置后需要重启服务生效，且不支持滚动重启。 设置后需要重新下载客户端配置，否则HDFS无法提供读写服务。 设置Hadoop中各模块的RPC通道是否加密。通道包括： 客户端访问HDFS的RPC通道。 HDFS中各模块间的RPC通道，如DataNode与NameNode间。 客户端访问Yarn的RPC通道 NodeManager和ResourceManager间的RPC通道。 Spark访问Yarn，Spark访问HDFS的RPC通道。 Mapreduce访问Yarn，MapReduce访问HDFS的RPC通道。 HBase访问HDFS的RPC通道。 说明 设置后全局生效，即Hadoop中各模块的RPC通道的加密属性全部生效。 安全模式：privacy 普通模式：authentication 说明 “authentication”：只进行认证，不加密。 “integrity”：进行认证和一致性校验。 “privacy”：进行认证、一致性校验、加密。 dfs.encrypt.data.transfer 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。HDFS数据传输通道包括DataNode间的数据传输通道，客户端访问DataNode的DT（Data Transfer）通道。设置为“true”表示加密，默认不加密。 说明 仅当hadoop.rpc.protection设置为privacy时使用。 业务数据传输量较大时，默认启用加密对性能影响严重，使用时请注意。 如果互信集群的一端集群配置了数据传输加密，则对端集群也需配置同样的数据传输加密。 FALSE dfs.encrypt.data.transfer.algorithm 设置客户端访问HDFS的通道和HDFS数据传输通道的加密算法。只有在dfs.encrypt.data.transfer配置项设置为“true”，此参数才会生效。 说明 缺省值为“3des”，表示采用3DES算法进行加密。此处的值还可以设置为“rc4”，避免出现安全隐患，不推荐设置为该值。 3des dfs.encrypt.data.transfer.cipher.suites 可以设置为空或“AES/CTR/NoPadding”，用于指定数据加密的密码套件。如果不指定此参数，则使用“dfs.encrypt.data.transfer.algorithm”参数指定的加密算法进行数据加密。默认值为“AES/CTR/NoPadding”。 AES/CTR/NoPadding

不可以。 为确保用户主密钥的安全，用户只能在KMS中创建和使用用户主密钥，无法导出用户主密钥。

本文将帮助您了解TCP监听器获取客户端真实源IP地址的工作原理及操作步骤。 应用场景 在基于TCP的应用程序中，获取客户端真实源IP地址可以用于以下应用场景： 访问控制和安全策略：通过获取客户端真实源IP地址，应用程序可以实施访问控制策略，限制或允许特定IP地址的访问。这可以用于身份验证、防止未经授权访问、限制特定地理区域的访问等。例如，防火墙可以根据客户端IP地址来决定是否允许连接或阻止连接。 防止滥用、攻击和入侵检测：获取客户端真实源IP地址可以用于防止滥用和攻击行为。通过分析IP地址，可以实施阻止流量来自恶意IP地址的策略，如IP黑名单、限制恶意用户的连接速率或引入入侵检测系统。这有助于提高应用程序的安全性，并保护系统免受恶意活动的危害。 统计和分析：获取客户端真实源IP地址可以用于统计和分析访问模式和用户行为。通过分析IP地址，可以了解用户的地理位置、访问频率、使用设备和浏览器等信息。这些数据可以用于优化用户体验、定位目标受众、改进应用程序设计和定制内容。 安全审计和合规要求：获取客户端真实源IP地址有助于安全审计和合规要求的满足。通过记录和跟踪源IP地址，可以提供追溯用户行为的能力，以满足法规和合规性要求。这对于监测和报告滥用行为、保护用户隐私和满足法律要求非常重要。

本文主要介绍PodSecurityPolicy配置。 Pod安全策略（Pod Security Policy） 是集群级别的资源，它能够控制Pod规约中与安全性相关的各个方面。 PodSecurityPolicy对象定义了一组Pod运行时必须遵循的条件及相关字段的默认值，只有Pod满足这些条件才会被系统接受。 v1.17.17版本的集群默认启用Pod安全策略准入控制组件，并创建名为pspglobal的全局默认安全策略，您可根据自身业务需要修改全局策略（请勿直接删除默认策略），也可新建自己的Pod安全策略并绑定RBAC配置。 说明 除全局默认安全策略外，系统为kubesystem命名空间下的系统组件配置了独立的Pod安全策略，修改pspglobal配置不影响kubesystem下Pod创建。 在Kubernetes 1.25版本中， PodSecurityPolicy已被移除，并提供Pod安全性准入控制器（Pod Security Admission）作为PodSecurityPolicy的替代，详情请参见 修改全局默认Pod安全策略 修改全局默认Pod安全策略前，请确保已创建CCE集群，并且通过kubectl连接集群成功。 步骤 1 执行如下命令： kubectl edit psp pspglobal 步骤 2 修改所需的参数，请参考PodSecurityPolicy。 Pod安全策略开放非安全系统配置示例 节点池管理中可以为相应的节点池配置allowedunsafesysctls，CCE从1.17.17 集群版本开始，需要在pod安全策略的allowedUnsafeSysctls中增加相应的配置才能生效，详情请参见[PodSecurityPolicy](

本文介绍如何使用ECX部署OpenClaw钉钉机器人。 注意 配置钉钉机器人之前，请先确保已经购买ECX虚拟机并配置大模型服务。具体操作步骤，可参考指引：使用ECX部署OpenClaw。 创建钉钉机器人并获取配置 1、登录++钉钉开发者平台++。 2、创建应用。 3、创建机器人应用能力。 点击应用能力添加应用能力，选择机器人。 配置相关信息，消息接受模式选择Stream模式。 点击凭证与基础信息，获取并保存钉钉的Clinet ID 和 Client Secret 用于配置云主机信息。 注意 钉钉机器人有重名校验，若因名称不合法导致提交失败，可通过钉钉客服机器人进行名称校验及名称生成。 配置OpenClaw 钉钉助手 1、登录虚拟机，执行以下命令，将钉钉配置录入OpenClaw。 plaintext openclaw config set gateway.http.endpoints.chatCompletions.enabled true plaintext openclaw config set channels.dingtalkconnector '{ "gatewayToken": " ", "clientId": " ", "clientSecret": " ", "enabled": true }' 2、执行以下命令，重启gateway。 plaintext openclaw gateway restart 3、进入版本管理与发布，发布刚刚创建的应用及机器人配置。 4、点击开发配置权限管理，添加权限Card.Streaming.Write、Card.Instance.Write。

配置OpenClaw飞书AI助手 1、登录虚拟机。 2、执行如下命令，配置模型和飞书集成的参数。 plaintext openclaw config set channels.feishu.appId openclaw config set channels.feishu.appSecret openclaw config set channels.feishu.enabled true 3、执行如下命令，重启openclaw。 plaintext openclaw gateway restart 4、登录飞书开发者平台。 5、选择“企业自建应用”页签，并单击您创建的飞书开放应用。 6、进入事件与回调，编辑订阅方式。 选择“长连接”。 在“已添加事件”区域，单击“添加事件”按钮。 在添加事件对话框中，选择“应用身份订阅”页签，并勾选“接收消息”及其它您需要订阅的事件，单击“确认添加”按钮。 7、回调配置。 选择“回调配置”页签，单击“订阅方式”旁的编辑按钮。 选择“使用 长连接 接收回调”，并单击“保存”按钮。 8、新建版本以使更新配置生效。 点击应用名称旁边创建版本。 单击页面底部的“保存”按钮，创建版本。 单击“确认发布”按钮，完成应用发布。

该任务指导用户通过漏洞扫描服务取消主机授权。 注意事项 取消主机授权后，将不能完全扫描出主机的安全风险，请谨慎操作。 前提条件 已获取管理控制台的登录账号与密码。 已添加主机。 已开通预置账号。 已在创建任务时授权通过网络连接到对应的主机，即已进行主机授权。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在目标主机的“操作”列，单击“更多”，在下拉框中，单击“解除授权”。解除授权后，“授权信息”的状态为“暂未配置”。 6. 单击“确定”，解除授权成功。

本章节主要介绍翼MapReduce的导出认证凭据文件操作。 操作场景 用户为安全模式集群进行应用开发的场景下，需要获取用户keytab文件用于安全认证。管理员可以通过FusionInsight Manager导出keytab文件。 说明 修改用户密码后，之前导出的keytab将失效，需要重新导出。 前提条件 下载“人机”用户的认证凭据文件前，需要使用Manager界面或者客户端修改过一次此用户的密码，否则下载获取的keytab文件无法使用。请参见修改用户密码。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在需导出文件的用户所在行，选择“更多 > 下载认证凭据”，待文件自动生成后指定保存位置，并妥善保管该文件。 认证凭据中会携带kerberos服务的“krb5.conf”文件。 解压认证凭据文件后可以获取两个文件： “krb5.conf”文件包含认证服务连接信息。 “user.keytab”文件包含用户认证信息。

本小节介绍渗透测试产品定义。 渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞，提前查找自身系统所存在的风险，避免风险给系统造成严重的影响。 渗透测试服务能够对目标网络、主机、数据库与应用系统的安全性做深入的探测，发现系统薄弱环节的过程。能够直观的让管理人员知道当前网络、主机、数据库与应用系统存在的安全弱点以及可能造成的影响，以便采取必要的防范措施。

本章节为您介绍如何配置日志存储时长。 针对多元化的业务场景与技术需求，企业对日志保留期限存在差异化要求。通过弹性配置WAF日志存储时长，可助力企业实现资源优化、系统性能强化与合规保障的多重目标： 提升系统效能：海量历史日志累积将显著降低检索分析效率。动态缩短非活跃日志存续期，可降低系统处理负载，使实时查询响应速度提升200%（数据依据具体场景浮动）。 满足合规基线：鉴于各行业监管政策（如GDPR、PCI DSS）及地域性法规对日志存留期存在强制性要求，弹性存储机制可确保持续满足最新合规框架，规避监管处罚风险。 保障审计完整性：周期性安全审计需依赖可回溯的日志证据链。通过设定覆盖审计窗口的存储周期（通常≥180天），确保证据完整性符合ISO 27001等审计标准要求。 适配业务演进：数字化转型进程中，日志分析需求呈现动态演进特征。支持按业务阶段灵活配置存储策略，实现安全资源与业务目标的精准对齐。 存储时长管理 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志分析”，进入日志分析页面。 5. 在右上方选择“存储时长管理”按钮，跳转至云日志服务控制台。 6. 跳转后，在单元管理模块，选择要编辑的日志单元，单击“编辑”按钮。 7. 按需选择日志保存时间，完成后单击“保存”即可。

本章节为您介绍如何配置日志存储时长。 针对多元化的业务场景与技术需求，企业对日志保留期限存在差异化要求。通过弹性配置WAF日志存储时长，可助力企业实现资源优化、系统性能强化与合规保障的多重目标： 提升系统效能：海量历史日志累积将显著降低检索分析效率。动态缩短非活跃日志存续期，可降低系统处理负载，使实时查询响应速度提升200%（数据依据具体场景浮动）。 满足合规基线：鉴于各行业监管政策（如GDPR、PCI DSS）及地域性法规对日志存留期存在强制性要求，弹性存储机制可确保持续满足最新合规框架，规避监管处罚风险。 保障审计完整性：周期性安全审计需依赖可回溯的日志证据链。通过设定覆盖审计窗口的存储周期（通常≥180天），确保证据完整性符合ISO 27001等审计标准要求。 适配业务演进：数字化转型进程中，日志分析需求呈现动态演进特征。支持按业务阶段灵活配置存储策略，实现安全资源与业务目标的精准对齐。 存储时长管理 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志服务”，进入日志服务页面。 5. 在右上方选择“存储时长管理”按钮，跳转至云日志服务控制台。 6. 跳转后，在单元管理模块，选择要编辑的日志单元，单击“编辑”按钮。 7. 按需选择日志保存时间，完成后单击“保存”即可。

天翼云账号登录场景 账号登录 1. 点击客户端左上角图标，弹出天翼云官网登录界面，支持短信登录 和账号登录。 2. 完成登录后，会同步用户云端的组织、个人、实例 等信息：悬停左上角首字母图标 可查看个人信息 、我的团队 、我的组织 ；实例列表新增智护模式 实例列表，智护实例列表 中包括了云端的团队实例 +客户端录入的内网实例。 3. 天翼云账号登录场景下，菜单栏新增安全协作 ，用户点击左侧图标也可进入。 说明 安全协作 ：包括团队管理 、用户与角色 、操作审计等功能。 实例录入 1. 天翼云账号登录后，默认进入开发空间 首页。 2. 点击左上方菜单栏开发空间 > 添加实例， 或直接在首页 点击添加实例 按钮，或首页 右侧实例列表 上方点击，打开添加实例弹窗。 3. 个人模式 ：实例录入详情可见免登录场景 实例录入。 4. 智护模式 ：新增所在团队 、数据来源 。数据来源可选天翼云 和内网 ，输入账密点击测试连接可验证网络连通性。 说明 智护模式 ：增强智能安全协作的实例模式，支持团队协作、工单审批、审计等企业级特性。 天翼云 ：即天翼云数据库。选择该数据来源，用户可添加在天翼云官网开通的云数据库并进行纳管，通过选择资源池及其下实例列表中的实例的方式进行添加。 内网 ：即用户本地直连数据库 ，支持内网地址，解决服务端无法连接用户局域网实例的问题。 5. 确认实例连接正常后，点击确定，完成实例录入。

本文帮助您了解如何操作跨账号网络实例授权。 跨域号授权 跨账号网络实例授权互通 ，可实现归属不同天翼云账号的 虚拟私有云 （VPC）、云专线网关、SDWAN、VPN网关 等网络实例，在同一云间高速组网内安全互联，满足企业多账号架构下的云间网络统一调度与互通需求。 在实际业务场景中，企业集团、大型政企及多分支机构普遍采用多账号分权管理模式：总公司、子公司、业务部门、项目组等分别使用独立天翼云账号，各自创建并管理专属 VPC 及云上资源。传统模式下，跨账号网络互通需通过复杂的专线对接或公网中转，配置繁琐、时延较高且安全管控难度大。 依托云间高速跨账号授权能力，资源归属账号可将自身 VPC 等网络实例，授权给云间高速管控账号统一纳管，无需变更账号归属、无需迁移资源，即可将分散在不同账号下的网络实例加入同一云间高速组网，实现端到端私网互通。 适用场景： 集团总账号统一组网、子公司账号独立运维的集团型多云管控场景 项目制交付中，不同项目账号资源需横向互通的多项目协同场景 政企内部按部门 / 业务线分账号管理，需跨部门云上互联的分权分域场景 混合云与多云对接场景下，跨账号云专线、VPC 统一接入云间高速的一体化组网场景 通过精细化授权与隔离机制，既保障各账号资源所有权与管理权限独立，又实现跨账号网络高效互通、统一调度，兼顾管理安全 与组网灵活性，适配企业复杂组织架构下的云网互联互通需求。 使用说明

资源 说明 VPC VPC1、VPC2、VPC3隔离，这3个VPC和VPC4互通。 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16，具体路由信息如“表VPC路由表”所示。 ER 不开启“默认路由表关联”和“默认路由表传播”功能，手动创建两个路由表，并添加4个“虚拟私有云（VPC）”连接，路由表作如下配置： 路由表1：关联VPC1连接、VPC2连接、VPC3连接，并在路由表1中创建VPC4连接的传播，路由自动学习VPC网段，路由信息如“表ER路由表1”所示。 路由表2：关联VPC4连接，并在路由表2中创建VPC1连接、VPC2连接、VPC3连接的传播，路由自动学习VPC网段，路由信息如“表ER路由表2”所示。 ECS 4个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。

IPsec VPN是否会自动建立连接？ 支持自动建立连接。 两个Region创建的VPN连接状态正常，为什么不能ping通对端ECS？ 安全组默认放行了出方向的所有端口，入方向需要按照实际需要添加放行规则，确认接收ping报文的ECS安全组放行了入方向的ICMP。 IDC与云端对接，VPN连接正常，子网间业务无法互相访问？ 连接状态正常，说明两端的协商参数没有问题，排查项如下： 用户侧数据中心设备子网路由是否从网关开始逐跳指向VPN出口设备。 VPN设备有安全设置放行了子网间的数据互访。 IDC子网访问云端数据不做NAT。 确保两侧公网IP（网关IP）间访问不被阻拦。 正在使用VPN出现了连接中断，提示数据流不匹配，如何排查？ 这通常是由于云上与用户侧数据中心设备配置的ACL不匹配造成的。 1. 首先确认两端VPN连接的子网信息是否配置一致，确保云端生成的ACL与用户侧数据中心ACL配置互为镜像 2. 用户侧数据中心感兴趣流配置推荐使用“子网/掩码”的格式，避免使用网络地址对象模式，即address object模式，address object为非标模式，容易引起不兼容问题。 正在使用VPN出现了连接中断，提示DPD超时，如何排查？ 出现DPD超时的连接中断是因为两端网络访问无数据，在SA老化后发送DPD未得到对端响应而删除连接。 解决方法 1. 开启用户侧数据中心设备的DPD配置，测试两端的数据流均可触发连接建立； 2. 在两端的主机中部署Ping shell脚本，也可在用户侧数据中心的子网的网关设备上配置保活数据，如NQA。

本节介绍了关系数据库MySQL产品生命周期的相关内容。 关系数据库MySQL版在MySQL社区版本生命周期的基础上，延长了支持时间。在延长期内，关系数据库MySQL会持续发布新的版本，新版本仅限于对严重影响实例安全和稳定的问题进行修复。由于MySQL社区对安全类问题进行了保密处理，天翼云关系数据库MySQL并不能承诺修复所有严重的安全和稳定性问题。 关系数据库MySQL基于MySQL开源社区提供数据库云服务，本文将为您介绍关系数据库MySQL的版本策略，您可以根据此信息进行规划，在创建实例、数据迁移等操作时选择更合适的目标版本。 天翼云延长支持停止服务时间，是为用户迁移业务提供更充裕的时间。数据迁移的具体操作，请参见版本升级。 天翼云对关系数据库MySQ各个版本的停售和停止服务时间参见下表。 说明 下表中时间为预计时间，请以实际停售、停止支持的公告时间为准。 当关系数据库MySQL某个版本停售后，您将无法新购该停售版本实例。 当关系数据库MySQL某个版本产品停止服务（即生命周期结束）后，将不再售卖，并且对已EOS的存量实例将不提供内核漏洞修复支持服务，建议将已EOS的存量实例尽快升级到最新的内核版本，避免严重影响实例安全和稳定。 请您提前制定版本升级或者数据迁移等操作的计划。 表 关系数据库MySQL各个版本生命周期 MySQL版本号 社区发布时间 社区生命周期结束时间 天翼云EOM（停售）时间 天翼云EOS（停止服务）时间 5.6 2013年2月5日 2021年2月5日 2025年10月10日（关于天翼云二类节点关系数据库 MySQL 5.6版本于2025年10月10日00:00（北京时间）停售的公告） 2026年4月10日 5.7 2015年10月21日 2023年10月21日 8.0 2018年4月19日 2026年4月

需要为添加的数据库选择添加Agent。 添加Agent 将待审计数据库添加至数据库安全审计实例后，您需要根据您在云上实际部署的数据库选择添加Agent的方式以及在应用端或数据库端安装Agent。Agent程序会获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，帮助您实现对数据库的安全审计。 完成添加Agent后，您还需要为Agent安装节点所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（70007100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 目前仅如下几种类型数据库支持免Agent审计。 GaussDB for MySQL RDS for SQLServer RDS for MySQL： 5.6（5.6.51.1及以上版本） 5.7（5.7.29.2及以上版本） 8.0（8.0.20.3及以上版本） 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库。 常见场景 请您根据数据库类型以及数据库部署场景，为待审计的数据库添加Agent。 ECS/BMS自建数据库的常见部署场景如图所示。 一个应用端连接多个ECS/BMS自建数据库 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图所示。 一个应用端连接多个RDS 多个应用端连接同一个RDS

本节介绍如何使用的安全接入点接入Kafka的方法，文档以Java代码为例。 前提条件 已配置正确的安全组。 已获取连接Kafka实例的地址。 如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 已创建弹性云服务器，如果使用内网同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。 需要用户先在用户管理页面创建用户，然后给对应的topic授予生产消费权限。 使用内网同一个VPC访问，实例端口为8092，实例连接地址从控制台实例详情菜单处获取，如下图所示。 Maven中引入Kafka客户端 java Kafka实例基于社区版本2.8.2/3.6.2，推荐客户端保持一致。 org.apache.kafka kafkaclients 2.8.2/3.6.2 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLPLAINTEXT"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); 生产者代码示例 java package com.justin.kafka.service.gw.sasl; import org.apache.kafka.clients.CommonClientConfigs; import org.apache.kafka.clients.producer.Callback; import org.apache.kafka.clients.producer.KafkaProducer; import org.apache.kafka.clients.producer.ProducerConfig; import org.apache.kafka.clients.producer.ProducerRecord; import org.apache.kafka.clients.producer.RecordMetadata; import org.apache.kafka.common.config.SaslConfigs; import org.apache.kafka.common.serialization.StringSerializer; import java.util.Properties; public class Producer { private final KafkaProducer producer; public final static String TOPIC "testtopic2"; public final static String BROKERADDR "192.168.0.11:8092,192.168.0.9:8092,192.168.0.10:8092"; public Producer() { Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLPLAINTEXT"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); props.put(ProducerConfig.ACKSCONFIG, "all"); props.put("retries",3); producer new KafkaProducer<>(props); } public void produce() { try { for (int i 0; i (TOPIC, data), new Callback() { public void onCompletion(RecordMetadata metadata, Exception exception) { if (exception ! null) { // TODO: 异常处理 exception.printStackTrace(); return; } System.out.println("produce msg completed, partition id " + metadata.partition()); } }); } } catch (Exception e) { // TODO: 异常处理 e.printStackTrace(); } producer.flush(); producer.close(); } public static void main(String[] args) { Producer producer new Producer(); producer.produce(); } }

本文为终端节点介绍。 主要作用：用户信息的发送和接收，信令信息的控制处理、安全保护等作用。

本小节介绍终端杀毒虚拟机/终端配置。 执行防恶意软件扫描 查看资产管理→虚拟机/终端界面，查看各虚拟机的防恶意软件状态，在正确完成部署后，应为绿色的盾牌标记。 执行手动扫描 在资产管理→虚拟机/终端界面下，勾选具体的虚拟机终端，点击安全操作，选择具体的手动扫描方式，如快速扫描等。 下发扫描操作后，防恶意软件状态会由“等待扫描”开始，然后显示具体扫描进度，最终显示扫描成功。 执行定期扫描 在安全策略→安全配置下，点击“防恶意软件”配置项的“手动/定期扫描”选项卡，配置具体的定期扫描参数，支持“每天”、“每月”、“每周”的定期频率，设置完成后，点击保存，并将该安全策略应用于具体虚拟机。 防恶意软件事件统计 默认以柱状图的形式展现文件感染次数排名前5的虚拟机/终端，排序从高到低。左上角可选择展现排名前5的分组，右上角可选择以饼图的形式展现。 鼠标悬停至柱状图上，能显示具体的数值，鼠标点击柱状图，会自动跳转至分析→防恶意软件页面。

本小节介绍终端杀毒虚拟机/终端配置。 执行防恶意软件扫描 查看资产管理→虚拟机/终端界面，查看各虚拟机的防恶意软件状态，在正确完成部署后，应为绿色的盾牌标记。 执行手动扫描 在资产管理→虚拟机/终端界面下，勾选具体的虚拟机终端，点击安全操作，选择具体的手动扫描方式，如快速扫描等。 下发扫描操作后，防恶意软件状态会由“等待扫描”开始，然后显示具体扫描进度，最终显示扫描成功。 执行定期扫描 在安全策略→安全配置下，点击“防恶意软件”配置项的“手动/定期扫描”选项卡，配置具体的定期扫描参数，支持“每天”、“每月”、“每周”的定期频率，设置完成后，点击保存，并将该安全策略应用于具体虚拟机。 防恶意软件事件统计 默认以柱状图的形式展现文件感染次数排名前5的虚拟机/终端，排序从高到低。左上角可选择展现排名前5的分组，右上角可选择以饼图的形式展现。 鼠标悬停至柱状图上，能显示具体的数值，鼠标点击柱状图，会自动跳转至分析→防恶意软件页面。

本节介绍密钥管理导入密钥的方法。 当用户使用KMS管理控制台创建自定义密钥时，KMS系统会自动为该自定义密钥生成密钥材料。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的“导入密钥”功能创建密钥材料为空的自定义密钥，并将自己的密钥材料导入该自定义密钥中。 注意事项 安全性 用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时，需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。 可用性与持久性 在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别，如下表所示。 密钥材料来源 区别 导入的密钥 可以手动删除密钥材料，但不能删除该自定义密钥及其元数据。 在导入密钥材料时，可以设置密钥材料失效时间，密钥材料失效后，KMS将在24小时以内自动删除密钥材料，但不会删除该自定义密钥及其元数据。建议用户在本地密钥管理基础设施中安全地备份一份密钥材料，以便密钥材料失效或误删除时重新导入该密钥材料。 KMS创建的密钥 不能手动删除密钥材料。 不能设置密钥材料的失效时间。