本文介绍在源站IP暴露的情况下,如何设置保护源站。 适用场景 场景1：如果您的源站服务器部署了防火墙，并且部署了访问控制策略，您必须在源站访问控制策略里为Aone安全与加速边缘云节点添加白名单，放行边缘云节点IP，避免由边缘安全加速平台安全与加速服务转发回源的请求被误拦截，影响网站正常访问。 场景2：为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 前提条件 已经订购边缘安全加速平台安全与加速服务基础版及以上套餐版本，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置回源IP方案 1.登录边缘安全加速平台控制台。 2.在工具回源IP管理中，单击【配置回源IP方案】，完成配置后，可在控制台查看回源IP段。 注意 1、如果您首次配置，请先到通知渠道页面编辑通知方式，然后再点击【配置回源IP方案】按钮。如果您有特殊的需求，可 2、创建时每个域名的任务会单独发送一次通知；后续回源IP列表更新时，所有启用的域名任务会合并结果后发送通知。 提示：控制台的回源ip管理配置不会覆盖后台客服人员配置的任务，如果您发现收到重复的通知，可提交工单联系我们进行确认。

本文简述强制跳转的场景及配置方法。 功能介绍 强制跳转功能，可以将用户到边缘节点的请求方式重定向为HTTP或HTTPS请求。天翼云边缘安全加速平台安全与加速服务支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTPS请求强制跳转为HTTP请求。 注意事项 当HTTPS开关未启用时，强制跳转只支持从HTTPS301或302重定向为HTTP。只有当HTTPS开启且完成证书配置的情况下，才支持从HTTP301或302重定向为HTTPS。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入请求协议页面，单击“编辑配置”。 4.变更“强制跳转”，从停用改为启用。 5.选择目标跳转场景，如“HTTP>HTTPS”、“HTTPS>HTTP”。 6.选择合适的跳转方式，如302跳转或301跳转。 配置界面 新增域名，配置强制跳转： 域名添加完成后，编辑强制跳转：

本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

步骤三：模拟测试源站是否正常 以如下具体加速场景为例： CDN加速域名：ctyun.cn。 回源域名：ctyun.cn1，解析出来的结果例如为1.1.1.1。 CDN加速域名访问端口：80。 回源域名访问端口：8080。 当我们访问防护域名得到异常响应时，例如403。 用户请求 方式1：修改Host文件（通常位于C:windowssystem32driversetc），绑定源站测试 浏览器开启无痕模式，输入 方式2：使用Curl命令工具进行验证 curl工具较为灵活，能测试多种情况，且无需频繁修改HOST文件，更为方便。 例如，本次的问题可以使用：curl vo /dev/null ' x 1.1.1.1:8080 测试源站。 当curl绑定源站结果与绑定边缘节点结果一致时，较大可能是源站出现了异常，边缘节点回源透传了源站的结果。 如果上述windows或curl工具测试均显示源站正常，这时可通过提交工单给天翼云客服，由天翼云技术团队为您进一步排查问题。

本文将向您介绍如何配置Web规则白名单。 功能介绍 若您希望请求针对域名防护规则集中的某条规则加白，可以配置规则白名单。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见下文； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版级以上版本，支持配置规则白名单功能 操作步骤 1、登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【WAF攻击日志】 2、识别出现误报的攻击，找到其攻击日志，并查看详情 3、点击添加白名单，将自动跳转至【域名规则】【规则白名单】【新增白名单】页面 4、边缘云WAF将自动识别您需要加白所在域名以及规则ID，您只需要配置白名单的生效范围即可。粒度支持配置URI、IP、IPS、PATH、BODY等，支持配置多个生效条件。

本章节为您介绍容器审计的相关内容。 容器审计概述 什么是容器审计？ 容器审计功能支持对容器集群中的各种操作和活动进行监控和记录，可帮助用户洞察容器生命周期的各个阶段，包括创建、启动、停止和销毁等。用户通过审计和分析，可以及时发现并处理安全问题，从而确保容器集群的安全性、稳定性。 支持的审计类型 集群容器：K8s审计日志、K8s事件、容器日志、容器运行指令。 非集群容器：容器日志、容器运行指令。 SWR镜像仓：镜像仓日志。 应用场景 容器环境异常事件排查分析：当容器环境出现异常操作或活动时，可通过容器审计日志定位异常事件发生时间和行动轨迹，从而总结出解决办法。 约束与限制 集群容器或非集群容器已开启容器版防护。 使用说明 完全启用容器审计功能，需满足以下条件： 1. 集群容器或非集群容器已接入HSS并开启容器版防护。 2. 完成部分审计类型的审计前提操作，具体如下表所示。 对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。 启用容器审计后，集群内的各类操作和活动日志将记录在HSS控制台，供您查看。

若源站是域名，且回源HOST与域名源不同；以防护域名为：ctyun.cn，源站域名为：ctyun.cn1，回源HOST为：ctyun.cn2，访问异常的URL为： 1）dig ctyun.cn1，获取源站ip。 2）在C:WindowsSystem32driversetchosts文件中添加回源HOST：ctyun.cn2和上一步获取的IP地址的绑定关系。 3）用回源HOST替换URL中的防护域名，即替换为 4）每次测试前清除浏览器缓存，在浏览器中打开替换后的URL。 5）如果访问异常，则代表源站异常，请检查您的源站。 6）如果访问正常，则代表源站正常。 查看是否CDN节点问题 1）在客户端浏览器Chrome上输入访问的URL，按F12，选择“Network”>“headers”>“Remote Address”，获得边缘节点IP。 2）在C:WindowsSystem32driversetchosts文件中添加防护域名和边缘节点IP地址的绑定关系。 3）本地ping防护域名，如果能ping通，说明边缘节点正常。 4）本地ping防护域名，如果ping不通，说明边缘节点异常，请提交工单联系天翼云客服协助处理。 解决方案 1、客户端网络问题，可以联系您的网络供应商咨询解决。 2、源站问题 场景1：因业务原因，带宽、请求数突增，导致源站压力过大，从而引发源站响应超时，返回5xx状态码。 解决方案：常见的业务场景有：活动突发、新版本发布、大规模上新资源，遇到此类业务可能突增的场景，此类流量属于正常业务流量，如不配置相关限流策略，则不会被DDoS高防（边缘云版）拦截。建议提前开通CDN加速类产品，将您的大文件预取到边缘节点，以防止集中回源，导致源站响应异常。 场景2：源站服务器网络波动，导致波动时间内，所有回源的请求超时异常。 解决方案：源站网络ping外网ip，以及外网ip ping源站，测试源站网络是否有问题。如果问题持续时间长，建议联系服务器网络的供应商解决。 场景3：源站对某条URL的处理程序出错。 解决方案：检查是否加速域名的其他URL访问都正常。如果只有一条URL响应5XX，则检查网站访问日志、程序是否对特定的URL处理异常。 3、边缘节点问题。 若基本排除客户端网络问题、源站问题，则可以提交工单联系天翼云客服协助处理，方便快速定位、解决问题。 提交工单时，请附带如下信息： 1）加速域名。 2）访问异常的URL。 3）访问异常的边缘节点IP。 4）异常访问的时间范围。

本文介绍IP应用加速是否支持海外加速。 天翼云边缘接入IP应用加速支持海外加速。依托遍布全球的CDN优质节点及线路，通过智能调度及传输优化等核心自研技术，为企业跨国、跨境访问提供一站式全球加速服务。满足出海企业本地化节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 需要注意的是，开启海外加速需要额外付费，详见：边缘接入套餐资费。

产品架构 天翼云CDN主要由全局负载均衡系统、分布式缓存节点、运营支撑系统三大关键系统构成，具体如下图所示。 三大系统作用分别说明如下： 全局负载均衡系统：即调度系统，支持DNS、HTTPDNS、302调度等方式，为用户分配优质CDN节点，同时可基于监控数据对故障节点进行自动切换与恢复。 分布式缓存节点：遍布全球的分布式CDN节点，将网站内容分发至客户端。分级缓存的部署架构可以有效提升内容分发效率，降低回源带宽，提升用户体验。 运营支撑系统：包括监控系统、配置系统、内容管理系统和日志系统。其中，监控系统实时监控网络及节点健康情况；配置系统下发业务配置；内容管理系统下发内容刷新与预取任务；日志系统采集并分析用户访问日志，出具统计分析及计费数据。 加速原理 假设客户的加速域名为ctyun.cn并已接入天翼云CDN进行服务，某广州用户通过移动端或PC端发起HTTP请求时，所经历的实际业务流程如下图所示。 业务流程说明： 1. 用户向网站发起 DNS发起对ctyun.cn的域名解析请求。 2. Local DNS向该域名的权威DNS发起DNS解析请求。 3. 由于该域名已在天翼云CDN加速（客户已经别名到天翼云的一级CNAME域名），则该权威DNS返回类似ctyun.cn.ctdns.cn的CNAME记录值。 4. Local DNS继续向ctdns.cn的权威DNS发起查询请求。 5. 天翼云权威DNS基于全局负载均衡技术返回可以为用户服务的优质CDN边缘节点ip。 6. Local DNS将该ip返回给客户端，此时客户端即明确了目标边缘节点的ip。 7. 客户端向已获得的CDN边缘节点ip发起内容请求。若边缘节点有缓存，则直接返回内容给用户，访问结束。 8. 若CDN边缘节点无此内容，则边缘节点向中间节点发起请求并缓存内容。 9. 若中间节点无此内容，则中间节点回客户源站获取内容，响应给边缘节点并缓存。 10. 边缘节点返回用户所需的内容，访问结束。

本文介绍如何配置边缘接入服务IP应用加速的CNAME。 成功添加边缘接入IP应用加速域名后，系统会为您分配一个CNAME。您需要将您的应用的DNS解析记录指向该CNAME，访问请求才能转发到IP应用加速节点上，实现IP应用加速。本文介绍如何配置CNAME。 1. 登录边缘安全加速控制台，进入边缘接入控制台的【域名】【IP应用加速接入】的页面列表中复制域名/实例对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。配置CNAME完毕，CNAME配置生效后，IP应用加速服务也会立即生效。 注意 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录生效时间取决于客户设置的TTL时间。 3. 添加时如遇添加冲突，可考虑换一个加速域名，或参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，说明如下。 在RR值相同的情况下，同一条线路下，在几种不同类型的解析中不能共存(X为不允许)： X：在相同的RR值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了www.ctyun.cn的A记录，则不允许再设置 www.ctyun.cn的CNAME记录。 无限制： 在相同的RR值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了www.ctyun.cn的A记录，则还可以再设置 www.ctyun.cn的MX记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条RR值。如：已经设置了www.ctyun.cn的A记录，还可以再设置 www.ctyun.cn的A记录。 4. 验证边缘接入服务IP应用加速服务是否生效。 配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录生效时间取决于客户设置的TTL时间。 您可以ping或dig您所添加的加速域名，验证IP应用加速是否生效。

本文简述了边缘安全加速平台如何批量启用、停用、删除域名。 前提条件 已经订购边缘安全加速平台安全与加速服务，并且套餐支持的域名数量未超过限制。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才可以接入边缘安全加速平台安全与加速服务。 操作步骤说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.点击列表上方的【批量操作】。 4.单击【批量启用】，您可以选择多个域名，调整域名状态为启用。 5..单击【批量停用】，您可以选择多个域名，调整域名状态为停用。 6.单击【批量删除】，您可以选择多个域名删除。 注意 批量操作限制单次最多操作20个域名，如您有多个域名需要启用、停用或删除，可以分多次批量操作。

本文提供了天翼云边缘安全加速平台零信任服务隐私政策(详细版)查看地址。 天翼云边缘安全加速平台零信任服务隐私政策（详细版），详情请参见这里。

事件来源 资源类型 操作事件 事件级别 操作字段 容器服务 弹性容器实例ECI 订购弹性容器实例ECI 普通 ECIScheduling 容器服务 弹性容器实例ECI 更新弹性容器实例ECI 普通 ECIUpdating 容器服务 弹性容器实例ECI 重启弹性容器实例ECI 普通 ECIRestarting 容器服务 弹性容器实例ECI 退订弹性容器实例ECI 告警 ECITerminating

本文介绍边缘接入服务IP应用加速功能概述。 以下介绍边缘接入服务IP应用加速的主要功能。 功能类型 功能项 功能描述 相关文档 加速范围 TCP/UDP加速 支持基于TCP/UDP协议的所有应用，甚至私有协议的应用加速。 加速范围 HTTPS无证书加速 HTTPS协议，无需部署证书，即可实现加速，保证数据安全不被篡改。 访问控制 IP黑白名单 通过配置访问的IP黑白名单来对访问者身份进行识别和过滤，屏蔽非法访问。 [](11)IP黑白名单 访问控制 区域访问控制 天翼云边缘接入服务IP应用加速区域访问控制功能可通过设置区域访问控制黑白名单，从而仅允许或者限制部分区域的用户访问。 区域访问控制 访问控制 全网带宽控制 支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速或者拒绝操作。 [](11)全网带宽控制 回源相关 域名/IP回源方式 支持域名方式回源，或者IP方式回源。 [](11)回源配置 回源相关 源站负载均衡 支持主备、择优、按权重轮询、基于客户端IP哈希等多种源站负载均衡策略。 [](11)回源配置 回源相关 传递用户IP回源 支持tcpoption、proxyprotocol传递用户IP回源。 [](11)[]( 日志管理 日志下载 日志下载模块，支持客户下载加速域名的访问日志，支持批量下载。 [](11)[]( 性能优化 内容优化 通过智能压缩技术，优化传输内容，提升传输效率。 [](11)Gzip压缩 性能优化 多路传输 支持多路传输功能，开启多路传输功能后，有利于提升数据传输效率，在单条路径质量波动较大时有显著的效果。 [](11)多路传输 智能选路 实时探测 节点间实时探测获取当前网络状况，并上报智能选路中心，作为选路依据。 智能选路 快速选路 利用加速节点间实时探测的RTT值，结合天翼云自研的最优链路算法，获取最优传输路径，保障回源效果。 智能选路 稳健选路 利用加速节点间实时探测的RTT和丢包率数据，结合天翼云自研的最优链路算法，获取最优传输路径，保障回源效果。 可靠传输 多点覆盖 边缘节点采用多点覆盖，避免单节点故障造成访问故障，提高可靠性。 可靠传输 零时延切换 当边缘节点与下一跳节点建连时，若发现下一跳节点故障时，零时延切换到其他回源链路去。

参数 示例值 描述 ccse.ctyun.cn/eniinstanceid portxxx ECI容器实例的网卡ID k8s.ctyun.cn/eciinstanceid ecixxxxx ECI容器实例的ID k8s.ctyun.cn/eciinstancecpu "1.0" ECI容器实例CPU大小 k8s.ctyun.cn/eciinstancemem "1.0" ECI容器实例Memory大小 k8s.ctyun.cn/eciinstancezone cnxxxxxxxxpublicctcloud ECI容器实例所在可用区名称 k8s.ctyun.cn/ecivpc vpcxxxxxx ECI容器实例所属VpcId k8s.ctyun.cn/ecisubnet subnetxxxxxx ECI容器实例所属子网ID k8s.ctyun.cn/ecisecuritygroup sgxxxxxx ECI容器实例所在的安全组ID k8s.ctyun.cn/ecirequestid 80e90ccca5b54034acae7c0c8eeb376f 请求ID k8s.ctyun.cn/k8sversion v1.25.6 集群版本 k8s.ctyun.cn/clusterdns 10.96.0.10 集群DNS服务器的IP地址 k8s.ctyun.cn/clusterdomain cluster.local 集群本地域名 k8s.ctyun.cn/vkversion v1.2.020240829 cubevk版本

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的访问控制功能设置网站白名单。 功能介绍 若存在您完全信任的请求，支持在边缘安全加速平台控制台配置网站白名单策略，符合条件的请求将不经过安全与加速服务任意的防护策略。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见下文。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通高级版及以上版本，支持使用访问控制功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【访问控制】详细设置。

本文将介绍如何导出CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件并将事件导出为.xls文件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 3.指定要导出的CC攻击事件的域名及时间范围，点击【查询】按钮。 4.点击【导出】按钮，会将查询结果导出为.xls文件。

本文主要介绍容器基本信息。 工作负载是Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，一个Pod可以封装1个或多个容器，您可以单击右上方的“添加容器”，添加多个容器镜像并分别进行设置。 表 镜像参数说明 参数 说明 容器名称 为容器命名。 镜像名称 单击后方“选择镜像”，选择容器使用的镜像。如果需要使用第三方镜像，请参见如何使用第三方镜像。 镜像版本 选择需要部署的镜像版本。 更新策略 镜像更新/拉取策略。可以勾选“总是拉取镜像”，表示每次都从镜像仓库拉取镜像；如不勾选则优使用节点已有的镜像，如果没有这个镜像再从镜像仓库拉取。 CPU配额 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。申请和限制的具体请参见设置容器规格。 GPU配额 当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 不限制：表示不使用GPU。 独享：单个容器独享GPU。 共享：容器需要使用的GPU百分比，例如设置为10%，表示该容器需使用GPU资源的10%。 NPU配额 使用NPU芯片（昇腾D310）的数量，必须为整数。必须安装NPU插件后才能使用。 特权容器 特权容器是指容器里面的程序具有一定的特权。若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 初始化容器 选择容器是否作为初始化容器。Init 容器是一种特殊容器，在 Pod 内的应用容器启动之前运行。详细说明请参见Init 容器。

ECI实例通过容器镜像中的预设参数来启动容器。通过设置容器启动命令和参数，可以定义容器的启动行为和初始化过程，保证容器能够正确运行并提供所需服务。本文介绍如何为容器设置启动命令和参数。 ECI实例中支持多种方式启动容器，包括以下几种方式： 默认方式：使用容器镜像中的ENTRYPOINT或CMD参数启动。 自定义：通过控制台或者OpenAPI订购ECI实例时，手动指定启动命令和参数。 功能说明 工作目录：在容器镜像的构建过程中，可以通过WORKDIR指定容器的工作目录。当用户创建ECI实例时，支持用户自定义工作目录，该目录将覆盖镜像中定义的目录。如果用户未定义工作目录，镜像中也未指定WORKDIR，则默认工作目录将是根目录。 启动命令和参数：在容器镜像的构建过程中，可以通过ENTRYPOINT或CMD指定容器的启动命令和参数。当用户创建ECI实例时，支持用户自定义容器的启动命令和参数。如果用户未定义容器的启动命令和参数，则将以容器镜像中指定的ENTRYPOINT或CMD启动。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置中为每个容器指定各自的启动命令和参数，输入参数后点击【+添加参数】即可。

本节介绍如何查看容器信息。 您可以在容器管理页面查看容器信息，了解容器状态、所属集群以及安全风险情况等。本章节介绍如何查看容器信息。 约束限制 仅支持对Linux镜像执行安全扫描。 仅HSS容器版支持该功能。 仅支持Docker引擎的本地镜像上报到企业主机安全控制台。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、查看容器信息和安全状态。 您可以在容器列表查看容器名称、状态、是否有安全风险，重启次数、所属POD、所属集群等相关信息。 查看容器详细信息。 单击目标容器名称，进入容器详情页面查看容器镜像、进程、端口、数据挂载等相关信息。 查看容器安全风险分布。 鼠标滑动至有风险的目标容器所在行的安全风险列，查看容器存在低危、中危、高危、致命风险的数量。

本节介绍如何查看容器信息。 您可以在容器管理页面查看容器信息，了解容器状态、所属集群以及安全风险情况等。本章节介绍如何查看容器信息。 约束限制 仅支持对Linux镜像执行安全扫描。 仅HSS容器版支持该功能。 仅支持Docker引擎的本地镜像上报到企业主机安全控制台。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、查看容器信息和安全状态。 您可以在容器列表查看容器名称、状态、是否有安全风险，重启次数、所属POD、所属集群等相关信息。 查看容器详细信息。 单击目标容器名称，进入容器详情页面查看容器镜像、进程、端口、数据挂载等相关信息。 查看容器安全风险分布。 鼠标滑动至有风险的目标容器所在行的安全风险列，查看容器存在低危、中危、高危、致命风险的数量。

本文介绍如何使用ECX部署OpenClaw,配置大模型服务并使用WebUI进行配置管理。 购买边缘云主机 1、登录++智能边缘云控制台++。 2、进入边缘虚拟机实例，创建虚拟机。 点击【新建实例】。 就近选择云主机地域可用区，实例规格选择通用计算型，建议规格至少为s6.large.2（2vCPU，4GB内存）。 镜像选择：镜像市场镜像，大模型，openclaw，勾选镜像协议；系统盘容量不低于100GB。 网络配置选择新购买公网IP，公网带宽上限至少为5Mbps。若无可用VPC，可点击前往VPC和子网自助创建后，点击刷新图标更新信息。 点击安全组管理，新建安全组。 其中入方向放通0.0.0.0/0 22、0.0.0.0/0 18789，出方向全放通。 确认信息无误，勾选协议并提交。 点击立即支付，完成订单支付。 支付成功后，点击控制台，进入边缘虚拟机控制台，刷新页面可看到刚刚创建的虚拟机。 3、当虚拟机运行状态为“运行中”，登录虚拟机，执行如下命令，查看OpenClaw服务运行状态，确认其是否正常启动。 shell systemctluser status openclawgateway.service 若显示服务状态为active（running），证明OpenClaw服务已经正常启动。

本文介绍网页防篡改功能。 功能介绍 网页防篡改功能用于保护网站核心静态页面，通过对比源站响应与媒体存储中心缓存的响应，保护网站因为源站页面被恶意篡改带来的负面影响，同时您可以根据需要配置防篡改规则。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通套餐为基础版及以上版本，支持使用网页防篡改功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“网页防篡改”页面，可以配置网页防篡改策略； 配置说明 配置项 说明 防护状态 可以选择开启或者关闭策略 规则名称 支持设置规则名称 URI 填写需要防篡改防护的完整URL地址，例如 处理动作 支持拦截/告警/返回WAF缓存页面 拦截：对命中防篡改策略的请求进行拦截 告警：对命中防篡改策略的请求生成攻击日志，并返回被篡改后的页面 返回WAF缓存页面：命中防篡改策略后会返回边缘云WAF缓存的页面，即用户侧展示为被篡改前的页面，并且攻击日志将记录此次命中信息 域名是否有CDN加速 您的域名如果有CDN加速，则需要填写请求协议、源站IP、回源端口、回源HOST 注意 填写的URL必须是静态文件，ContentType: text/html、ContentType: text/html; charsetxxx格式。 自动获取的静态资源，目前只有js, css, jpg, jpeg, png, gif, bmp, svg后缀文件。

本文将从功能简介、背景信息、前提条件、防护逻辑等方面介绍如何进行扫描防护。 功能介绍 边缘云WAF提供的扫描防护功能支持自动识别常见扫描器特征，一旦发现扫描器访问将对其进行拦截。 注意 目前控制台尚未开放扫描防护功能，如有防护需求请通过 背景信息 边缘云WAF安全团队基于对常见扫描器的特征分析，输出扫描器识别模型，能够精准识别并拦截主流扫描器包括但不限于：Sqlmap、AWVS、Nessus、Appscan、Webinspect、Netsparker、Nikto、Rsas等。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版及以上版本支持使用扫描器防护功能 扫描防护逻辑 针对扫描器防护功能，边缘云WAF支持扫描器特征识别与扫描器访问拦截两个模块。 扫描器特征识别 通过请求中的扫描器或自动化工具特征识别扫描器，形成两百余条扫描器识别规则，能够满足常见的扫描器识别需求。

容器IP地址管理 云原生网络2.0下的BMS节点和ECS节点分别使用的是弹性网卡和辅助弹性网卡： Pod的IP地址从配置给容器网络的VPC子网上直接分配，无需为节点分配一个单独的小网段。 ECS节点添加到集群中，先绑定用于承载辅助弹性网卡的弹性网卡，待弹性网卡绑定完成后，即可绑定辅助弹性网卡。 ECS节点上绑定的弹性网卡数： 该节点最多可绑定的辅助弹性网卡数/64 ，向上取整。 ECS节点上绑定的总网卡数： 用于承载辅助弹性网卡的弹性网卡数+当前Pod使用的辅助弹性网卡数+预热的辅助弹性网卡数 。 BMS节点上绑定的网卡数： 当前Pod使用的弹性网卡数+预热的弹性网卡数 。 Pod创建时，优先从节点的预热网卡池中随机分配一个可用的网卡。 Pod删除时，网卡释放回节点的预热网卡池。 节点删除时，将释放节点上所有已绑定的网卡（弹性网卡释放回集群预申请的网卡池，辅助弹性网卡直接删除）。 云原生2.0网络目前支持两种网卡预热策略：节点容器网卡动态预热策略 和 节点绑定容器网卡数总量高低水位策略（废弃中） 。使用场景如下表所示： 表 容器网卡预热策略对比表 容器网卡预热策略 节点容器网卡动态预热策略（默认策略） 节点绑定容器网卡数总量高低水位策略（废弃中） 管理策略 节点最少绑定容器网卡数（nicminimumtarget）：保障节点最少有多少张容器网卡绑定在节点上（未被Pod使用+已被Pod使用） 节点预热容器网卡上限检查值（nicmaximumtarget）：当节点绑定的容器网卡数超过该值，不再主动预热容器网卡 节点动态预热容器网卡数：当Pod使用完节点最少绑定容器网卡数（nicminimumtarget）后，会始终额外预热多少张容器网卡 节点预热容器网卡回收阈值(nicmaxabovewarmtarget)：只有当 节点上空闲的容器网卡数 节点动态预热容器网卡数(nicwarmtarget) 大于此阈值时，才会触发预热容器网卡的解绑回收 节点绑定容器网卡数低水位：保障节点至少会绑定多少张网卡（未被Pod使用+已被Pod使用） 节点绑定容器网卡数高水位：保障节点至多会绑定多少张网卡，超过该值会尝试解绑未被使用的空闲网卡 适用场景 在尽可能提高IP资源利用率的前提下，尽可能加快Pod的启动速度，适用于容器网段IP地址数紧张的场景 通过合理配置上述四个参数，可适用于各种业务场景。 适用于容器网段IP地址数充足，且节点上Pod数变化剧烈，但固定在某个范围的场景 说明 1.19.16r2、1.21.5r0、1.23.3r0到1.19.16r4、1.21.7r0、1.23.5r0之间的集群版本只支持nicminimumtarget和nicwarmtarget两个容器网卡动态预热参数配置，绑定网卡数总量高低水位配置优先级高于容器网卡动态预热配置。 1.19.16r4、1.21.7r0、1.23.5r0、1.25.1r0及以上集群版本支持全部四个容器网卡动态预热参数配置，容器网卡动态预热配置优先级高于绑定网卡数总量高低水位配置。 图节点容器网卡动态预热策略 针对节点容器网卡动态预热策略，CCE提供了四个参数配置，您可以根据业务规划，集群规模以及节点上可绑定的网卡数，合理设置这四个参数。 表容器网卡动态预热参数 容器网卡动态预热参数 默认值 参数说明 配置建议 节点最少绑定容器网卡数(nicminimumtarget) 10 保障节点最少有多少张容器网卡绑定在节点上，支持数值跟百分比两种配置方式。 数值配置：参数值需为正整数。例如10，表示节点最少有10张容器网卡绑定在节点上。当超过节点的容器网卡配额时，后台取值为节点的容器网卡配额。 百分比配置：参数值范围为1%100%。例如10%，如果节点容器网卡配额128，表示节点最少有12张（向下取整）容器网卡绑定在节点上。建议nicminimumtarget与nicmaximumtarget为同类型的配置方式（同采用数值配置或同采用百分比配置）。 建议配置为大部分节点平时日常运行的Pod数。 节点预热容器网卡上限检查值(nicmaximumtarget) 0 当节点绑定的容器网卡数超过节点预热容器网卡上限检查值(nicmaximumtarget)，不再主动预热容器网卡。 当该参数大于等于节点最少绑定容器网卡数(nicminimumtarget)时，则开启预热容器网卡上限值检查；反之，则关闭预热容器网卡上限值检查。支持数值跟百分比两种配置方式。 数值配置：参数值需为正整数。例如0，表示关闭预热容器网卡上限值检查。当超过节点的容器网卡配额时，后台取值为节点的容器网卡配额。 百分比配置：参数值范围为1%100%。例如50%，如果节点容器网卡配额128，表示节点预热容器网卡上限检查值64（向下取整）。 建议nicminimumtarget与nicmaximumtarget为同类型的配置方式（同采用数值配置或同采用百分比配置）。 建议配置为大部分节点平时最多运行的Pod数。 节点动态预热容器网卡数(nicwarmtarget) 2 当Pod使用完节点最少绑定容器网卡数(nicminimumtarget)后，会始终额外预热多少张容器网卡，只支持数值配置。 当节点动态预热容器网卡数(nicwarmtarget) + 节点当前绑定的容器网卡数 大于 节点预热容器网卡上限检查值(nicmaximumtarget) 时，只会预热nicmaximumtarget与节点当前绑定的容器网卡数的差值。 建议配置为大部分节点日常10s内会瞬时弹性扩容的Pod数。 节点预热容器网卡回收阈值(nicmaxabovewarmtarget) 2 只有当节点上空闲的容器网卡数 节点动态预热容器网卡数(nicwarmtarget) 大于此阈值 时，才会触发预热容器网卡的解绑回收。只支持数值配置。 调大此值会减慢空闲容器网卡的回收，加快Pod的启动速度，但会降低IP地址的利用率，特别是在IP地址紧张的场景，请谨慎调大 。 调小此值会加快空闲容器网卡的回收，提高IP地址的利用率，但在瞬时大量Pod激增的场景，部分Pod启动会稍微变慢。 建议配置为大部分节点日常在分钟级时间范围内会频繁弹性扩容缩容的Pod数 大部分节点日常10s内会瞬时弹性扩容的Pod数。 说明 上述容器网卡动态预热参数支持集群级别的全局配置和节点池级别的差异化配置，其中节点池级别的容器网卡动态预热配置优先级高于集群级别的容器网卡动态预热配置。 容器网络组件会为每个节点维护一个可弹性伸缩的预热容器网卡池，定时（约10s一次）检测并计算需要绑定的预热容器网卡数 或需要解绑的空闲容器网卡数 : 需要绑定的预热容器网卡数 min(nicmaximumtarget 当前绑定的容器网卡总数，max(nicminimumtarget 当前绑定的容器网卡总数，nicwarmtarget 当前空闲的容器网卡数)) 需要解绑的空闲容器网卡数 min(当前空闲的容器网卡数 nicwarmtarget nicmaxabovewarmtarget，当前绑定的容器网卡总数 nicminimumtarget) 节点上当前预热的容器网卡数稳态后会维持在以下区间内： 当前预热的容器网卡数区间最小值 min(max(nicminimumtarget 当前绑定的容器网卡总数，nicwarmtarget), nicmaximumtarget 当前绑定的容器网卡总数) 当前预热的容器网卡数区间最大值 max(nicwarmtarget+ nicmaxabovewarmtarget, 当前绑定的容器网卡总数 nicminimumtarget) Pod创建时，优先从节点的预热容器网卡池中顺序分配（最早未被使用的）一张空闲的容器网卡，如没有可用的空闲网卡，会新创建一张网卡（辅助弹性网卡）或 新绑定一张网卡（弹性网卡）以分配给该Pod。 Pod删除时，对应的容器网卡先释放回节点的预热容器网卡池，2分钟冷却时间内可供下一个Pod循环使用，超过2分钟冷却时间后且节点预热容器网卡池计算出需要释放该容器网卡，才会释放该容器网卡。 图节点绑定容器网卡数总量高低水位策略 针对总量高低水位算法，CCE提供了一个配置参数，您可以根据业务规划，集群规模以及节点上可绑定的网卡数，合理设置这个参数： 节点绑定容器网卡数低水位：默认为0，保障节点至少会绑定多少张网卡（未被Pod使用+已被Pod使用）。ECS节点预绑定低水位网卡数节点绑定网卡数低水位节点总辅助弹性网卡数；BMS节点预绑定低水位网卡数节点绑定网卡数低水位节点总弹性网卡数。 节点绑定容器网卡数高水位：默认为0，保障节点至多会绑定多少张网卡，超过该值会尝试解绑未被使用的空闲网卡。ECS节点预绑定高水位网卡数节点绑定网卡数高水位节点总辅助弹性网卡数；BMS节点预绑定高水位网卡数节点绑定网卡数高水位节点总弹性网卡数。 容器网络组件会为每个节点维护一个可弹性伸缩的容器网卡池： 当已绑定容器网卡数量（Pod使用的容器网卡数+预绑定的容器网卡数） 预绑定高水位容器网卡数 ，且 节点预绑定的容器网卡数>0 时，会定时释放预绑定的容器网卡（超过2分钟未被使用的空闲网卡），直到 Pod使用的容器网卡数+预绑定的容器网卡数节点预绑定高水位容器网卡数 或Pod使用的容器网卡数 > 节点预绑定高水位容器网卡数 且 节点预绑定的容器网卡数0。

本节主要介绍边边网络的组成、产品优势、应用场景和使用限制。 针对处于相同或者不同边缘云地域下的多VPC之间内网互通场景，边边网络EEN(Edge to Edge Network)提供多VPC内网互通服务，其可以快速构建安全、稳定、灵活的边边互通网络。 边边网络提供路由控制功能，当VPC加入边边网络实例时，系统会自动将VPC下所有子网的路由自动添加到边边网络实例的路由表，添加后路由默认不开启，需手动开启；当VPC和边边网络实例解除关联后，对应的路由会自动删除。若关联的多个VPC下的子网CIDR有重叠冲突或者包含冲突时，当两个子网路由均需开启时，后开启的路由将因冲突不能开启。 应用场景 同地域多VPC内网互通组网 针对ECX同一地域下的两个以上的VPC之间内网互通组网需求，建议使用EEN关联多个VPC的方式实现内网互通，该方式可以代替传统的VPC对等连接功能，简化多VPC之间内网互通的网络结构和配置，同时还保留后续跨边缘云地域的内网组网能力。 跨地域多VPC内网互通组网 针对ECX边缘云不同地域下的多个VPC之间的内网互通组网需求，建议使用EEN关联多个VPC的方式实现内网互通，该方式代替传统的VPN和专线方案快速实现跨边缘云地域多VPC内网组网，可以简化配置和成本，同时提供安全、优质、稳定的网络质量。 同一边边网络实例可以同时支持ECX边缘云同地域多VPC内网互通和跨地域多VPC内网互通需求。

指标类别 指标名称 指标说明 示例 带宽/流量 域名边缘带宽（Mbps） 支持设定“>、>、<、<、”某个具体的带宽值。 >1000 带宽/流量 域名流量（一段时间内）（GB） 支持设定“>、>、<、<、”某个具体的流量值。 >500 带宽/流量 域名边缘带宽增长率相比10min前（%） 支持设定“>、>、<、<、”某个具体的比例。 >20 带宽/流量 域名边缘带宽增长率（%） 支持设定“>、>、<、<、”某个具体的比例。 >50 带宽/流量 域名边缘带宽下降率相比10min前（%） 支持设定“>、>、<、<、”某个具体的比例。 >20 带宽/流量 域名边缘带宽下降率（%） 支持设定“>、>、<、<、”某个具体的比例。 >20 请求数 域名请求数量（次） 支持设定“>、>、<、<、”某个具体的数量。 >1000000 请求数 域名请求增长率相比10min前（%） 支持设定“>、>、<、<、”某个具体的比例。 >20 请求数 域名qps增长率（%） 支持设定“>、>、<、<、”某个具体的比例。 >30 请求数 域名请求下降率相比10min前（%） 支持设定“>、>、<、<、”某个具体的比例。 >20 请求数 域名全网qps下降率（%） 支持设定“>、>、<、<、”某个具体的比例。 >30 状态码 域名5xx占比（%） 支持设定“>、>、<、<、”某个具体的比例。 >1 状态码 域名5xx数量（次） 支持设定“>、>、<、<、”某个具体的数量。 >1000 状态码 域名4xx占比（%） 支持设定“>、>、<、<、”某个具体的比例。 >1 状态码 域名4xx数量（次） 支持设定“>、>、<、<、”某个具体的数量。 >1000 状态码 域名边缘4xx占比增长（%） 支持设定“>、>、<、<、”某个具体的比例。 >20

本文将介绍如何查询网络层攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过网络层安全报表查询网络层防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 说明 网络层防护根据内置的智能识别算法进行攻击判断，未开放控制台配置。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【网络层攻击事件】页面。 查询功能 您可以在网络层攻击事件表头部指定您要查询的时间范围。默认将展示最近7天。 攻击详情 攻击事件列表将展示攻击开始时间、攻击结束时间、攻击峰值带宽、攻击峰值时间、被攻击域名和攻击类型。 点击单条攻击事件的操作【详情】按钮，即可查看网络层攻击事件的攻击趋势、TOP攻击源IP。 注意 TOP攻击源IP的统计功能默认关闭，攻击详情中将不进行展示。如需开通，请

本文介绍如何查看容器详情，及容器详情页面的详细说明信息。 进入容器详情页面 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表中的容器名称，可以查看容器的基本信息、进程、端口、数据挂载、软件、配置等信息。 查看容器基本信息 容器信息页面展示了容器的基本信息、运行情况、安全状态等信息。 查看容器审计 容器审计页面统计展示了正常事件和异常事件的数量随时间变化的折线图。 查看容器进程信息 进程信息页面展示了容器内的进程名称、父进程ID、进程ID、启动用户、运行时间、更新时间等信息。 查看容器端口信息 端口页面展示了容器的端口信息，包括容器端口、进程、节点端口、IPv4、IPv6、绑定IP、协议信息。 查看数据挂载 数据挂载页面展示了容器的数据挂载信息，包括数据卷名、源路径、目标路径、数据挂载方式、数据加载方式。

日志下载步骤 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【运营管理】【日志服务】【离线日志】页面。 3. 筛选对应域名/实例，选择时间后，单击下载对应域名/实例的日志。默认支持近30天的日志下载，同时支持单个日志下载和批量下载。 单日志下载：选中单个域名后面的文件下载键进行单个日志文件下载。 批量下载：第一列选中多个域名，并点击【批量下载】可进行批量日志下载。

响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 请求成功(200)或失败(非200) 200 error String 错误码，三段式 ECI.Openapi.StatusReasonInternalError message String 错误信息描述 Internal error occurred returnObj Object 返回信息 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 requestId String 请求ID a4f0f36e7e754045a73aa2507b26 nextToken String 下一个查询开始的Token 1719493729.2.9 totalCount Integer 查询到的ECI实例数量 2 containerGroups Array of Objects ECI容器组信息 containerGroup 表 containerGroup 参数 参数类型 说明 示例 下级对象 cpu Float ECI容器实例CPU大小 1 memory Float ECI容器实例Memory大小 2 gpu Float ECI容器实例GPU卡数 1 vpcId String ECI容器实例所在VpcId vpcctt6yag121 vSwitchId String ECI容器实例所在的子网ID subnety9n723knrg securityGroupId String ECI容器实例所在的安全组ID sg5bvqyvrmch containers Array of Objects 容器信息 container restartPolicy String ECI容器组的重启策略。 Always/OnFailure/Never tags Array of Objects ECI实例的标签 tag containerGroupId String ECI容器实例的ID ecid4nr3seelxi2zo8u status String ECI容器实例的状态 Running intranetIp String ECI容器实例的IP 192.168.0.16 internetIp String ECI容器实例的公网IP 100.126.12.206 ipv6Address String ECI容器实例的IPV6 fc00:100:4009:9602:1b53:2487:7899:e81a creationTime String ECI容器实例的创建时间 20240108T15:00:00Z succeededTime String ECI容器实例的创建时间 20240108T15:00:00Z failedTime String ECI容器实例的执行失败的时间 20240108T15:00:00Z vmId String ECI容器实例所在的虚机ID 37d213df7cebb3c01cd18ea7eb594b5e tenantEniInstanceId String ECI容器实例的网卡ID portfusq04f7d8 containerGroupName String ECI容器实例的名字 ecivh8az8 表 tag 参数 参数类型 说明 示例 下级对象 key String Tag标识的Key tagKey value String Tag标识的Value tagValue 表 container 参数 参数类型 说明 示例 下级对象 name String 容器名 test image String 容器镜像 nginx:latest imagePullPolicy String 容器镜像拉取策略 Always cpu Float 容器CPU大小 1 memory Float 容器Memory大小 2 gpu Float 容器GPU卡数 1 command Array of Strings 容器启动命令 /bin/sh args Array of Strings 容器启动参数 []string{"c","/app"} ports Array of Objects 容器端口 port environmentVar Array of Objects 容器环境变量 environmentVar livenessProbe Object 容器存活探针 livenessProbe readinessProbe Object 容器就绪探针 readinessProbe lifecycle Array of Objects 生命周期 lifecycle previousState Array of Objects 之前状态 state currentState Array of Objects 当前状态 state 表 port 参数 参数类型 说明 示例 下级对象 name String 容器端口名 xxx port Integer 容器端口号 80 protocol String 容器端口协议 TCP/UDP 表 environmentVar 参数 参数类型 说明 示例 下级对象 key String 容器环境变量名 product value String 容器环境变量值 eci 表 livenessProbe 参数 参数类型 说明 示例 下级对象 exec Object 命令行 exec httpGet Object Http请求 httpGet tcpSocket Object TCPSocket tcpSocket initialDelaySeconds Integer 执行第一次探活判断操作需要等待的时间 1 timeoutSeconds Integer 执行一次探活判断操作的超时时间 1 periodSeconds Integer 执行一次探活判断操作的间隔时间 1 successThreshold Integer 探活判断多少次判定容器存活正常 1 failureThreshold Integer 探活判断多少次判定容器未存活异常 1 表 readinessProbe 参数 参数类型 说明 示例 下级对象 exec Object 命令行 exec httpGet Object Http请求 httpGet tcpSocket Object TCPSocket tcpSocket initialDelaySeconds Integer 执行第一次就绪判断操作需要等待的时间 1 timeoutSeconds Integer 执行一次就绪判断操作的超时时间 1 periodSeconds Integer 执行一次就绪判断操作的间隔时间 1 successThreshold Integer 就绪判断多少次判定容器存活正常 1 failureThreshold Integer 就绪判断多少次判定容器未存活异常 1 表 exec 参数 参数类型 说明 示例 下级对象 command Array of Strings 命令 []string{"/bin/sh", "c", "/exec"} 表 httpGet 参数 参数类型 说明 示例 下级对象 scheme String 协议 HTTPS/HTTP port Integer 端口 80 path String URL路径 /healthz 表 tcpSocket 参数 参数类型 说明 示例 下级对象 port Integer 端口 80 表 lifecycle 参数 参数类型 说明 示例 下级对象 lifecyclePostStartHandlerExec Array of Strings 容器启动后执行的命令，如果执行失败会重启容器 []string{"curl", "localhost:80"} lifecyclePreStopHandlerExec Array of Strings 容器停止前执行的命令，如果执行失败会重启容器 []string{"curl", "localhost:80"} 表 state 参数 参数类型 说明 示例 下级对象 startTime String 容器运行开始时间 20240108T15:00:00Z finishTime String 容器运行结束时间 20240108T15:00:00Z state String 容器状态，Waiting: 等待启动中; Running: 运行中; Terminated: 运行失败 Running message String 容器状态信息 Backoff 5m0s restarting failed signal Integer 容器状态信号 1 exitCode Integer 容器运行退出码 1 reason String 原因 Completed

事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。