如果不再需要某个工作空间，可以参照本节进行删除。 工作空间删除后，相关的资产会存在风险，且会影响资产的风险预防和处理，安全性能降低，删除后不可恢复，请谨慎操作。 约束与限制 删除时，工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除，工作空间内的所有内容将永久删除无法恢复。 删除工作空间 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 单击待编辑工作空间右侧的，进入工作空间详情页面。 5. 在工作空间的“基本信息”页签中，单击“删除”。 6. 在弹出的删除工作空间页面中，确认无误后，勾选“永久删除工作空间”，并在“确认删除”中输入工作空间名称，并单击“删除”。 注意 删除时，工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除，工作空间内的所有内容将永久删除无法恢复。

本文介绍如何设置防护规则的优先级。 如您需调整放行或阻断IP的优先级顺序您可以参照本节步骤设置规则的优先级。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 在需要调整优先级的防护规则所在行的“操作”列，单击“设置优先级”。 5. 选择“置顶”，或“移动至选中规则后”。 说明 选择置顶，表示将该策略设置为最高优先级。 选择“移动至选中规则后”，需要选择相应的规则，表示将该策略优先级设置到选择的规则之后。 6. 单击“确认”，完成设置优先级。

本文将为您介绍什么是财务管理。 什么是财务管理 财务管理，是指企业主账号通过为旗下不同组织创建或关联子账号形成主子账号体系，以主账号为核心，实现对子账号订单、账单、发票、资金的统一查看与集中管理，以此实现业务数据透明化与资金安全可控的集中管理模式。 产品优势 管理效率提升 通过财务管理，实现企业下多账号的账、票、订单统一管理。 可实现资金统一管控 可通过财务托管模式或财务独立模式下的资金拨款方式，实现企业主账号统一管控资金。 访问方式 天翼云目前通过企业中心实现多账号的财务统一管理。 访问路径：登录账号中心企业中心财务管理

本服务有哪些订购方式？ 本服务支持客户自主订购或委托客户经理订购 本服务与一站式智算服务平台有何关系？ 在客户已经基于一站式智算服务平台下单的情况下，若智算服务平台提供的已适配的模型清单能满足客户需求，则客户无需开通模型适配服务；若不满足，则可享受折扣下单模型适配专家服务产品。 开通服务是否有硬性算力购买要求？ 无购买高规格算力的硬性要求，基于国产化算力即可提供服务。

本节介绍了清除Windows弹性云主机的密码的操作场景、操作步骤。 操作场景 为安全起见，建议用户获取初始密码后，执行清除密码操作，清除系统中记录的初始密码信息。 该操作不会影响弹性云主机的正常登录与运行。清除密码后，系统不能恢复获取密码功能，因此，请在执行清除密码操作前，记录弹性云主机密码信息。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表，选择待获取密码的弹性云主机。 5. 选择“操作 > 更多”，单击“清除密码”。 系统弹窗提示用户是否确认清除密码。 6. 单击“确定”，执行清除密码操作。

问题描述 远程连接windows云服务器时提示：要远程连接，你需要具有通过远程桌面服务进行登录的权限。 处理方法 1. 打开cmd运行窗口，并输入“gpedit.msc”。 2. 单击“确定”，打开“本地组策略编辑器”。 3. 选择“计算机配置 > windows设置 > 安全设置 > 本地策略 > 用户权限分配”。 a. 查找并双击“允许通过远程桌面服务登录”。确保已添加“Administrators”和“Remote desktop users”。 b. 查找并双击“拒绝通过远程桌面服务登录”。如果有Administrator帐号，则需要删除。

本节指导用户通过漏洞扫描服务完成域名认证。 前提条件 已获取管理控制台的登录帐号与密码。 域名的“认证状态”为“未认证”。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，单击对应的网站信息“去认证”。 4. 进入域名认证入口，如下图所示。 5. 在弹出的“认证域名”对话框中，选择域名认证方式完成域名认证。一键认证，如下图所示。 6. 单击“完成认证”，进行域名认证。 执行完成后，该域名的状态为“已认证”。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您通过企业交换机可以建立云下IDC和云上VPC之间的二层网络。 云专线（Direct Connect, DC） 通过云专线在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 虚拟专用网络（Virtual Private Network, VPN） 通过VPN在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 统一身份认证服务（Identity and Access Management, IAM） 针对云上的企业交换机资源，您可以通过IAM进行权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。

本节介绍云下一代防火墙到到期与欠费。 到期 云下一代防火墙到期后，请在3个工作日内完成续订，否则无法正常使用。 注意 所有在云下一代防火墙后挂载运行的业务均会有业务中断的风险，业务中断的风险及影响还请用户根据自身业务自行评估；云墙到期1天后会锁定配置，无法进行配置变更和运维处理。 欠费 另外当使用时长超出购买时长时，即属于欠费状态。 欠费后，系统会回收云下一代防火墙安全产品，上述产品中的所有配置和信息均无法恢复。 建议 请到期后立刻申请续订，按照官网流程提供续订申请； 如遇紧急业务故障，请将弹性IP解绑回业务主机进行业务恢复。

本章节主要介绍翼MapReduce的删除用户操作。 操作场景 根据业务需要，管理员应在FusionInsight Manager删除不再使用的系统用户。 说明 用户删除后，已经发放的TGT在24小时内仍然有效，用户可以使用该TGT继续进行安全认证并访问系统。 如新建用户与已删除用户同名，则会继承已删除用户的拥有的所有Owner权限。建议根据实际业务需求决定是否删除该用户持有的资源。例如HDFS上的文件。 默认的admin用户无法删除。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要删除用户所在行，选择“更多 > 删除”。 说明 如果需要批量删除多个用户，勾选需要删除的用户后直接单击“删除”即可。 4. 在弹出的窗口单击“确定”完成删除操作。

本章节向您主要介绍VPN连接服务的主要优势。 高安全 采用专业设备，基于IKE和IPsec对传输数据加密，提供了电信级的高可靠性机制，从硬件、软件、链路三个层面保证VPN服务的稳定运行。 高可用 采用主备模式，正常情况下VPN网关和对端网关通过主连接进行通信；当主连接发生故障时，VPN连接会自动切换到备连接；故障恢复后，VPN连接会自动切回到主连接。 无缝扩展资源 将用户本地数据中心与云上VPC互联，业务快速扩展上云，实现混合云部署。 连通成本低 利用Internet构建IPsec加密通道，使用费用相对云专线服务更便宜。 即开即用 部署快速，实时生效，在用户数据中心的VPN设备进行简单配置即可完成对接。

参数名 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b securityGroupIDList 是 Array of Strings 安全组ID列表，非多可用区资源池不使用该参数，其安全组参数在弹性伸缩配置中填写 ['sgnd1h63d2j8'] recoveryMode 是 Integer 实例回收模式。取值范围：1：释放模式。 1 name 是 String 伸缩组名称 asgroup901f healthMode 是 Integer 健康检查方式。取值范围： 1：云主机健康检查。2：弹性负载均衡健康检查。 1 mazInfo 否 Array of Objects 【Deprecated】多可用区资源池的实例可用区及子网信息。mazInfo和subnetIDList参数互斥，如果资源池为多可用区时使用mazInfo则不传subnetIDList参数 mazInfo subnetIDList 否 Array of Strings 子网ID列表。支持一主多辅，最大支持输入5个网卡信息，顺序第一个网卡信息默认主网卡。mazInfo和subnetIDList参数互斥。 ['a8ffac57354b41afb85353b5cded4957'] moveOutStrategy 是 Integer 实例移出策略。取值范围：1：较早创建的配置较早创建的云主机。2：较晚创建的配置较晚创建的云主机。3：较早创建的云主机。4：较晚创建的云主机。 1 useLb 是 Integer 是否使用负载均衡。取值范围： 1：是 。 2：否。 2 vpcID 是 String 虚拟私有云ID vpc0wvmt7gh02 minCount 是 Integer 最小云主机数，取值范围：[0,50] 0 maxCount 是 Integer 最大云主机数，取值范围：[minCount,2147483647] 50 expectedCount 否 Integer 期望云主机数，取值范围：[minCount,maxCount]，非多可用区资源池不支持该参数 0 healthPeriod 是 Integer 健康检查时间间隔（周期），单位：秒，取值范围：[300,10080] 300 lbList 否 Array of Objects 负载均衡列表，useLb1时必填 lbList projectID 否 String 企业项目ID 0 configID 否 Integer 【Deprecated】伸缩配置ID 375 configList 否 Array of Integers 伸缩配置ID列表，最大支持传入10个伸缩配置。按输入伸缩配置的顺序，决定伸缩配置优先级。注意：该参数与configID不可同时传入，请尽量选择本参数。 [375] azStrategy 否 Integer 扩容策略类型，仅多可用区资源池支持，多可用区资源池必填。取值范围：1：均衡分布。 2：优先级分布。 1

在实例元数据页管理敏感列权限 具体操作流程如下： 1. 登录数据管理服务DMS。 2. 进入数据权限管理页面。在左侧菜单栏依次点击数据资产 >实例管理 ，选择某个实例，点击更多>数据权限管理按钮进入数据权限管理页面。 3. 选择需要授权的敏感列。切换到敏感列授权 页面，点击添加授权按钮进入授权页面，在左侧”请选择“框内勾选想要授权的敏感列的复选框，然后点击中间的”>“按钮，即可将当前页选中的敏感列加入到右侧”已选择“框内。 4. 选择需要授权的用户。从用户名下拉列表中选择至少一个用户。 5. 选择权限的类型。 6. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 7. 确定信息无误后，点击页面右下角的确认授权按钮即可完成授权。 在用户管理页管理敏感列权限 具体操作流程如下： 1. 登录数据管理服务DMS。 2. 进入数据授权页面。在左侧菜单栏依次点击安全协作>用户与角色 ，选择某个用户，点击数据授权 按钮进入数据授权页面；或者在左侧菜单栏依次点击安全协作>团队管理 ，切换到团队成员管理 页面，选择某个团队成员，点击数据授权按钮进入数据授权页面。 3. 搜索需要授权的敏感列。切换到敏感列授权页面，先输入库/模式/实例关键字搜索指定库/模式，然后输入列名、表名关键字搜索敏感列，再点击查询。也可以选择指定的团队、数据库类型、敏感等级对敏感列进行筛选。 4. 选择需要授权的敏感列。在左侧”请选择“框内勾选想要授权的敏感列的复选框，然后点击中间的”>“按钮，即可将当前页选中的敏感列加入到右侧”已选择“框内。 5. 选择权限的类型。 6. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 7. 确定信息无误后，点击页面右下角的确认授权按钮即可完成授权。

工作组，类似于传统安全中的安全域、业务组等概念。本小节介绍微隔离防火墙工作组。 1.每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。工作组页面可以进行新建、修改、删除操作。 2.工作组页面右上方的搜索框可以对工作组进行过滤，页面中基本属性栏可以进行排序， 下箭头为正序，上箭头为反序。 3.点击按钮，即可在弹出框中进行工作组的建立，一个工作组名称唯一，并选择13个标签。新建的工作组会出现在业务拓扑页面。 4.点击工作组名称可进入工作组详细页面。详细页面分为基础信息、工作负载、策略、授权管理、包管理。 5.工作负载详情页面中的工作负载页面，可查看当前此工作组包含哪些工作负载，在此页面可批量将工作负载调整到外部，也可选择其他组的工作负载调整到本组。 6. 工作组详情页面中的策略页面，可查看作用于该工作组的所有策略，并可以调整本组的策略状态。点击展开可查看策略详情。 7. 工作负载详情页面中的策略页面，可查看与本工作组相关的授权码，即通过本授权码安装的工作负载，均自动位于该工作组。 8.点击授权码，可进入授权码详情页面。 9.工作负载详情页面中的包管理页面，包管理页面用于客户端模块的安装和升级，包含本组所有工作负载。 10.点击其中显示的数字，可显示具体工作负载Agent的版本信息。

本节主要介绍如何编辑工作空间。 操作场景 工作空间新增成功后，您可以对工作空间的基本信息（ 名称 、标签和描述）进行修改。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 单击待编辑工作空间右侧的，进入工作空间详情页面。 5. 在工作空间的“基本信息”页签中，单击“编辑”。 6. 编辑工作空间名称、标签或描述后，单击“保存”。

天翼云为您提供一站式智算服务平台服务协议说明,请您点击查看。 一站式智算服务平台服务协议

本章节主要介绍如何预构建与注册。 在创建向量索引时，若选择使用“IVFGRAPH”和“IVFGRAPHPQ”的索引算法就需要对中心点向量进行预构建和注册。 背景信息 在向量索引加速算法中，IVFGRAPH和IVFGRAPHPQ适用于超大规模场景。这两种算法需要通过对子空间的切割缩小查询范围，子空间的划分通常采用聚类或者随机采样的方式。在预构建之前，需要通过聚类或者随机采样得到所有的中心点向量。 当完成生成中心点向量的工作之后，需要对中心点向量进行预构建和注册，以实现将中心点向量预构建GRAPH或者GRAPHPQ索引，同时注册到ES集群内，实现在多个节点间共享此索引文件。中心点索引在shard间复用能够有效减少训练的开销、中心点索引查询次数，提升写入以及查询的性能。 操作步骤 1.选择启用向量检索的集群，单击操作列“Kibana”，登录Kibana界面。 2.单击左侧导航栏的“Dev Tools”，进入操作界面。 3.创建中心点索引表。 −创建的索引命名为mydict，注意该索引的numberofshards数必须设置为1，否则无法注册。 −当需要使用IVFGRAPH索引时，中心点索引的algorithm设置为GRAPH。 −当需要使用IVFGRAPHPQ索引时，中心点索引的algorithm设置为GRAPHPQ。 PUT mydict { "settings": { "index": { "vector": true }, "numberofshards": 1, "numberofreplicas": 0 }, "mappings": { "properties": { "myvector": { "type": "vector", "dimension": 2, "indexing": true, "algorithm": "GRAPH", "metric": "euclidean" } } } } 4.写入中心点向量数据。 参考创建向量索引章节中的“导入向量数据”，将采样或者聚类得到的中心点向量写入上述创建的mydict索引中。 5.调用注册接口。 将上述创建的mydict索引注册具有全局唯一标识名称（dictname）的Dict对象。 PUT vector/register/mydict { "dictname": "mydict" } 6.创建IVFGRAPH或IVFGRAPHPQ索引。 在创建IVFGRAPH或者IVFGRAPHPQ索引时，不再需要指定dimension以及metric信息，只需指定之前注册好的dict名称即可。 PUT myindex { "settings": { "index": { "vector": true } }, "mappings": { "properties": { "myvector": { "type": "vector", "indexing": true, "algorithm": "IVFGRAPH", "dictname": "mydict", "offloadivf": false } } } } Field mappings参数 参数 说明 dictname 指定依赖的中心点索引名称。该索引字段的向量维度和度量方式将与dict索引保持一致，不再需要额外指定。 offloadivf 将底层索引实现的IVF倒排索引卸载到ES端实现，可以减少堆外内存的使用，以及减少写入/合并的性能开销，但是查询的性能也有一定的损失。采用默认值即可。 取值范围：true、false。 默认值：false。

天翼云为您提供多活容灾服务平台服务协议说明，请您点击查看。 天翼云多活容灾服务平台服务协议

本页为您介绍数据传输服务DTS如何监控安全风险。 数据传输服务为用户提供监控告警能力，使您了解数据迁移和数据同步的运行状况，并及时监控到异常告警做出反应，保证业务顺畅运行。 DTS提供基于迁移/同步流量BPS、迁移/同步性能RPS、迁移/同步网络延时、迁移/同步SQL执行RT（响应时间）等指标的监控能力。通过设置数据迁移/同步的告警规则，用户可自定义告警规则、设置通知邮件地址，及时了解数据传输服务的运行状况，从而起到预警作用。 监控告警支持用户和实例维度的告警，选择“用户”，表示告警范围为用户所有的DTS实例；选择“实例”，表示告警范围为指定的DTS实例。 监控告警按设置的告警间隔进行告警，一个监控周期的时间为30s，支持配置告警间隔为监控周期的整倍数。 数据迁移/数据同步如何创建告警规则，具体请参见数据迁移监控告警和数据同步监控告警。

导入/导出API 1.登录API安全网关。 2.在左侧导航栏选择“资源 > API”，进入API列表页面。 3.单击页面上方的“导入/导出API”按钮。 4.在弹出的对话框中选择YAML或JSON文件导入即可。 说明 目前仅支持YAML、JSON两种文本格式的描述文件。 导入已存在的API会默认跳过，最多可创建50个API。 上传的文件将覆盖编辑器中的内容，文件大小不可以超过100KB。 后续操作 生命周期管理：选择需要上线/下线的API，单击“操作”列的“上线/下线”按钮即可上线/下线API。 配置API：选择需要配置的API，单击“操作”列的“配置”按钮即可配置API。 删除API：选择需要删除的API，单击“操作”列的“删除”按钮即可删除API。 查看API：选择需要查看的API，单击“操作”列的“更多 > 查看”按钮即可查看API。 克隆API：选择需要克隆的API，选择“操作”列的“更多 > 克隆”按钮即可克隆API。

日志采集与分析 主机和云服务的日志数据，不方便查阅并且会定期清空。云日志服务采集日志后，日志数据可以在云日志控制台以简单有序的方式展示、方便快捷的方式进行查询，并且可以长期存储。对采集的日志数据，可以通过关键字查询、模糊查询等方式简单快速地进行查询，适用于日志实时数据分析、安全诊断与分析、运营与客服系统等，例如云服务的访问量、点击量等，通过日志数据分析，可以输出详细的运营数据。 合理优化业务性能 网站服务（数据库、网络等）的性能和服务质量是衡量用户满意度的关键指标，通过用户的拥塞记录日志发现站点的性能瓶颈，以提示站点管理者改进网站缓存策略、网络传输策略等，合理优化业务性能。例如： 分析历史网站数据，构建业务网络基准。 及时发现业务性能瓶颈，合理扩容或流量降级。 分析网络流量，优化网络安全策略。 快速定位网络故障 网络质量是业务稳定的基石，将日志上报至云日志服务，确保问题发生时能及时查看、定位问题，助力您快速定位网络故障，进行网络回溯取证。例如： 快速定位问题根源的云服务器，例如带宽过度使用的云服务器。 通过分析访问日志，判断业务是否遭到了攻击、非法盗链和不良请求等，及时定位并解决问题。

参考《一站式智算服务平台用户使用手册》，点击下方链接下载查看。 一站式智算服务平台用户使用手册.pdf

天翼云为您提供多活容灾服务平台等级条款说明，请您点击查看。 天翼云多活容灾服务平台等级条款

本节介绍如何扫描集群内的组件，发现组件上的漏洞。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 组件漏洞”，进入组件漏洞页面。 3. 单击组件漏洞列表右上角的“开始扫描”，对集群内的组件进行扫描，获取全部组件漏洞信息。 4. 扫描完成后，即可查看组件漏洞列表。 组件漏洞列表内，支持按照“组件名称”“组件版本”“集群名称”“集群版本”“命名空间”“节点名称”“危险级别”进行筛选查询。 组件列表参数说明： 参数 说明 组件名称 Kubernetes集群中的组件主要有以下几类： 控制平面组件（Control Plane Components）：控制平面的组件对集群做出全局决策（比如调度），以及检测和响应集群事件。包括kubeapiserver、etcd、kubescheduler、kubecontrollermanager、cloudcontrollermanager等组件。 Node组件：节点组件在每个节点上运行，维护运行的Pod并提供Kubernetes运行环境。包括kubelet、kubeproxy等组件。 容器运行时（Container Runtime）组件：容器运行时组件是负责运行容器的软件。 第三方插件：插件使用Kubernetes资源（DaemonSet、Deployment等）实现集群功能。因为这些插件提供集群级别的功能，插件中命名空间域的资源属于kubesystem命名空间。包括DNS、Dashboard等组件。 组件版本 组件的版本。 集群名称 组件所属集群的名称。 集群版本 组件所属集群的版本。 命名空间 组件所属命名空间。 节点名称 组件运行所在节点的名称。 漏洞数量 显示组件内存在的不同风险等级的漏洞数量统计信息。 最后一次扫描时间 该组件最后一次被扫描的时间。

本章节主要介绍物理机的备份。 操作场景 为了保证数据安全，您可以对物理机中的所有云硬盘（系统盘和数据盘）进行备份，采用这种备份方式可以避免因备份创建时间差带来的数据不一致问题。云主机备份支持基于多云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复物理机数据，最大限度保障用户数据的安全性和正确性，确保业务安全。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。进入物理机列表页面。 3. 在待备份的物理机所在行，单击“更多 > 创建备份”。 系统跳转至“创建云主机备份”页面。 4. 根据界面提示完成如下操作： 选择服务器：在服务器列表中，默认会勾选待创建备份的物理机，保持默认即可。 备份配置：勾选“自动备份”，选择一个备份策略。 说明 将选择的物理机绑定到备份策略中，按照备份策略进行自动备份。 如果选择的物理机已绑定其他策略，在选择新的备份策略后，服务器会自动从原备份策略解绑，并绑定到新的备份策略。 您也可以勾选“立即备份”，选择的物理机将立即进行一次备份。 输入备份名称和描述，如果是首次备份，建议启动全量备份。

本章节介绍如何编辑敏感数据规则组 您可以通过以下操作进行编辑敏感数据规则组： 修改“则组名称”以及“规则组描述”。 添加敏感数据规则。 移除敏感数据规则。 前提条件 已添加敏感数据规则组。 敏感数据规则组的“规则组类型”为“自定义”。 约束条件 DSC内置的敏感数据规则组不可编辑。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，并选择“规则组”页签，进入规则组列表。 5. 在目标敏感规则组所在行的“操作”列，单击“编辑”，系统弹出编辑规则组的对话框。 6. 在“编辑规则组”对话框中编辑规则组参数，相关参数说明如下表所示。 参数 参数说明 规则组名称 您可以自定义敏感数据规则组名称。 规则组名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 规则组名称不能与已有的规则组名称重复。 规则组描述 该规则组的备注信息，用于区别其他规则组。 规则添加 可选参数。勾选需要添加的敏感数据规则。 如果您想移除已选的规则，可在右边已选择的规则框中，找到目标规则，并在其所在行的“操作”列，单击移除。 7. 单击“确定”，完成规则组的编辑。

本节介绍服务器安全卫士（原生版）服务器列表。 您可以在服务器列表页面查看所有主机资产的防护状态和服务器详细信息。 注意 仅支持对Agent状态 为“在线”，防护状态为“防护中”的云主机进行检测。云主机离线后将不会进行检测。 查看服务器防护状态 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. （可选）选择业务分组，服务器列表将只展示该分组中的服务器。 4. 服务器列表包括以下字段：服务器、操作系统、地域、服务器状态、Agent状态、防护状态、风险状态、配额版本。 参数 说明 服务器 包括主机名称、实例名称、私网IP、公网IP。 操作系统 服务器的操作系统。 地域 服务器所属地域。 服务器状态 包括已关机、运行中。 Agent状态 包括在线、离线。 在线：Agent控制通路和数据通路均连接正常。 离线：Agent控制通路或数据通路连接异常。 防护状态 包括防护中、未防护。 防护中：表明该服务器处于正常防护中，此时Agent状态为在线且已经为该台服务器开启防护。防护中又分为“高级防护”和“免费防护”。 未防护：表明该服务器未开启防护或Agent已离线。 风险状态 包括安全、风险、未知3种状态。 无风险：表明该服务器无基线、漏洞、入侵和网页篡改的风险。 风险：表明该服务器有基线、漏洞、入侵和网页篡改的一种或几种风险。 未知：表明该服务器未开启防护或Agent已离线。 配额版本 服务器使用的防护配额版本，包括免费版、企业版、旗舰版。 Agent版本 服务器当前安装的Agent版本，版本过低时会显示为“升级”提示按钮。

本文为您介绍租户集群为自建集群的集群组件安装步骤。 注意事项 集群组件在运行时会挂载k8s node宿主机的/data（非crio）和/root（crio）目录，请确保目录的权限正常。 请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 获取部署脚本 1. 进入容器安全卫士产品控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”，进入组件安装页面。 3. 单击“集群组件部署”，进入集群组件部署页面。 4. 选择“是否为天翼原生k8s集群”，此处选择“自建集群”；选择集群所在的资源池。 5. 下载镜像。 1. 选择容器运行环境（支持docker、containerd、CRIO）。 2. 选择集群CPU架构（支持X86、ARM架构）。 3. 单击“下载镜像Tar包”下载镜像Tar包到本地，然后加载至您的私有仓库中（请不要修改镜像名称）。 Tar包中包含4个镜像，分别为： library/dosecagent:20241224T19.31.05V5.2.0release298e83b85cc6c5bc,library dosechosttool:alpineV3.8,library dosecscanner:20250106T17.38.12V5.2.0releasebd003dd3e87a1881,library dosecserver:20250107T11.36.00V5.2.1sp891.1release287a57d168109d92 6. 生成部署脚本。 1. 选择集群所在的VPC、VPC子网，输入私有仓库的地址、账号、密码。 2. 单击“生成yaml文件”，并将yaml文件保存到本地。 注意 系统会根据您的输入自动生成yaml。 容器安全卫士不会保存您的私有仓库用户名和密码以保证安全。 下载后的包，内容请勿进行修改。 下载的脚本仅能用于一个k8s集群使用，若在不同集群重复使用可能造成数据异常。

分布式容器云平台 CCE One 是面向多云、多集群等场景推出的企业级容器云平台,实现对集群、应用、数据、服务与策略的统一管控。

本文主要为您介绍如何开启防敏感信息泄露防护，以及如何配置防敏感信息泄露规则。 网站域名接入Web应用防火墙后，您可以选择开启防敏感信息泄露功能，并配置防敏感信息泄露规则，可对网页中的敏感信息或指定的HTTP响应码页面进行过滤或拦截。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持防敏感信息泄露功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防敏感信息泄露”模块，可以选择开启/关闭防护。 7. 点击防护规则右侧的“前去配置”，进入防敏感信息泄露规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置防敏感信息泄露规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 选择需要在响应信息中检测的敏感信息类型，包括敏感信息、响应码、关键字。 敏感信息：用户的个人身份信息，包括身份证号、电话号码、电子邮箱等。 响应码：指定的HTTP响应码，比如401、402、403等。 关键字：自定义需要检测关键字。 匹配内容 根据所选匹配条件，对应不同的内容。 敏感信息：包括身份证号、电话号码、电子邮箱等。 响应码：选择特定的HTTP请求状态码。 关键字：需要手动输入匹配的关键字。 防护路径 需要防护的URL的路径。 执行动作 选择在响应信息中检测到敏感信息后系统执行的动作。 观察：仅通过日志记录匹配到的页面和内容，不进行拦截。 信息脱敏全部屏蔽：对匹配到的内容，将被全部进行脱敏展示。 信息脱敏自定义范围：选择该项，还需要配置“显示”或“屏蔽”具体的范围。 拦截：拦截匹配到的页面和内容，并向发起请求的客户端返回拦截响应页面。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍精准访问控制功能说明，以及如何配置自定义访问控制策略。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 使用限制 基础版不支持精准访问控制功能，请升级到更高版本使用。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“精准访问控制”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入精准访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、过期时间、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截：选择拦截时，支持开启“攻击惩罚”。 说明 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。