本节介绍如何查看集群审计日志。 查看事件统计 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看事件统计信息：统计信息分为审计事件总数、操作用户总数、添加事件总数、删除事件总数、更新事件总数、查看事件总数、操作类型分布、资源操作分布、返回状态码、操作用户分布，帮助客户更直观的查看集群内的异常事件分布。 查看日志列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看页面下方的审计日志列表，方便用户溯源事件。 日志列表内，支持按照“安全状态”、“日志级别”、“日志所属阶段”、“操作对象”、“操作类型”、“对应客户端”、“客户端节点IP”、“API响应状态”进行筛选查询。 日志信息参数说明： 参数 说明 日志级别 审计日志根据日志策略可以选择事件保存的等级，根据等级不同，APIServer记录日志的详细程度也不同。 目前支持的日志等级有： None：不记录日志。 Metadata：只记录Request的一些metadata（例如user, timestamp, resource, verb等），但不记录Request或Response的body。 Request：记录Request的metadata和body。 RequestResponse：最全记录方式，会记录所有的metadata、Request和Response的Body。 日志所属阶段 审计日志根据日志策略可以选择在事件执行的某个阶段记录。 目前支持的事件阶段有： RequestReceived：接收到事件且在分配给对应handler前记录。 ResponseStarted：开始响应数据的Header但在响应数据Body发送前记录，这种一般应用在持续很长的操作事件，例如watch操作。 ResponseComplete：事件响应完毕后记录。 Panic：内部出现panic时记录。 操作对象 操作的资源类型。 所在集群 操作对象所属集群。 操作类型 操作类型分为get获取、watch监控、list获取、update更新、create创建、patch修改、delete删除这些类型。 update和patch的区别：update请求需要将整个修改后的对象提交给 k8s；而patch请求只需要将对象中某些字段的修改提交给k8s。 对应客户端 事件服务的客户端名称（在userAgent中定义）。 访问源IPv6/IPv4 事件服务的客户端所在节点的IP地址。 API响应状态 API响应状态码分为以下几类： “1XX”为信息性状态码（informational）。 “2XX”为成功状态码（Success）。 “3XX”为重定向状态码（Redirection）。 “4XX”为客户端错误状态码（Client Error）。 “5XX”为服务端错误状态码。 常用的状态码解释说明如下： 200：OK，请求成功，具体意义根据请求所使用的方法不同而不同。 201：Created，请求成功并创建了资源； 403：Forbidden，表示身份认证通过了，但是对服务器请求资源的访问被拒绝了； 404：Not Found，表示服务器找不到你请求的资源； 409：Conflict，表示请求与服务器当前状态冲突。通常发生在更新资源时，主要是处理并发问题的状态码。 500：Internal Server Error，表示服务器执行请求的时候出错了。 API请求URL API请求URL的地址。 安全状态 安全状态分为正常和异常这两种，异常是指触发了内置策略的事件。 请求时间 事件的请求时间。 4. 单击日志列表内的下拉按钮，可展开查看事件的json格式详情。

本节介绍IaC检查中文件列表各字段含义。 查看文件列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > IaC检查”，进入IaC检查页面。 3. 支持K8S manifests、Dockerfile、ConfigMap、Helm chart文件进行检查。 K8S manifests文件列表 K8S manifests文件列表内，支持按照“文件名称/路径”、“资源名称”、“资源类型”、“集群名称”、“命名空间”、“文件来源”、“扫描状态”、“风险等级”进行筛选查询。 K8S manifests文件列表内各字段意义说明如下： 参数 解释说明 文件名称/路径 K8S Manifests文件名称，以.yaml为后缀。 K8S Manifests是指用于定义、创建和管理Kubernetes资源的配置文件。这些配置文件以YAML或JSON格式编写，描述了应用程序、服务、存储等在Kubernetes集群上的部署和配置。 资源名称 K8S Manifests文件所属资源的名称。 资源类型 K8S Manifests文件所属资源的类型。 集群名称 K8S Manifests文件所属集群。 命名空间 K8S Manifests文件所属命名空间。 文件来源 文件分为本地上传、自动发现和GitLab同步。 扫描状态 扫描状态分为待扫描、扫描中、扫描完成和扫描失败。 风险等级 风险等级分为未知、高风险、中风险、低风险、无风险，未知代表该文件未经过扫描。 添加时间 添加或发现该K8S Manifests文件的时间。

方案架构 在以上操作中，我们通过应用中心创建了3个函数与1个云工作流，3个函数都挂载了Nas作为本地存储。工作流对3个函数做了编排，首先通过splitVideo函数将视频分片，随后使用foreach状态遍历分片列表，调用Transcode函数并行转码，foreach结束后，调用MergeVideo函数聚合分片。 该方案中，函数完成了视频处理的具体逻辑，工作流定义了对函数的编排和数据流转。用户只需要维护ZOS和Nas资源，ZOS作为持久化存储，Nas作为临时存储，其它资源均为serverless资源，相比传统自建方案，减少了运维成本。 此外，该方案还降低了开发难度与迭代周期，以添加通知逻辑为例，只需要在画布上简单拖动，添加通知节点即可实现。

为了调试和验证您的代码是否正常工作，通常情况下我们可以使用编程语言的标准日志记录功能输出日志以协助我们定位问题。 日志格式 为了便于将来的问题追踪和分析，建议您在打印日志时一并记录请求ID、时间、日志级别、日志内容。推荐您使用函数计算提供的getLogger()方法，该方法打印日志会包含这些信息。例如： 20240311 16:50:58.938 9bbd2f8173b9437ba38d005c346dc066 [INFO] hi serverless 不同运行时记录日志 不同编程语言日志打印的使用说明，请参考以下文档： Node.js日志记录说明 Python日志记录说明 Java日志记录说明 Go日志记录说明 C日志记录说明 PHP日志记录说明

业务场景 用户可以通过DLI内置的TPCH测试套件进行简单高效的交互式查询，无需用户上传数据，即可以体验DLI的核心功能。 DLI内置TPCH的优势 用户只需要登录DLI，完成授予权限，即可操作SQL语句，无需用户自己创建表和导入数据。 预置22条TPCH SQL查询模板，功能丰富，可满足大部分的商业场景，无需用户自行下载TPCH的查询语句，省时省力。 用最小的时间代价体验serverless化的DLI产品，领略数据湖带给我们的全新体验。 注意 子账号使用TPCH测试套件时，需要主账号为子账号赋权OBS访问权限和查看主账号表的权限；如果主账号未登录过DLI服务，子账号除上述权限外，还需要创建数据库和创建表的权限。 操作说明 具体操作指导详见 SQL模板管理。

本节主要介绍微服务部署 业务场景 基于ServiceStage可以方便快捷的将微服务部署到容器（如CCE）、虚拟机（如ECS），同时支持源码部署、jar/war包部署或docker镜像包部署。同时，ServiceStage支持 Java、PHP、Node.js、Go、Python多种编程语言应用的完全托管，包括部署、升级、回滚、启停和删除等。 本实践中使用了Java开发的后台组件和Node.js开发的前台组件。您可以通过容器部署的方式部署应用并将微服务实例注册到微服务引擎CSE中，weathermap应用需要创建以下组件： 前台组件：weathermapweb，基于Node.js语言开发的界面。 后台组件：weather、forecast、fusionweather，基于Java语言开发。 创建并部署后台应用组件 本实践需要创建3个应用组件，对应后台构建任务生成的3个软件包：weather、forecast、fusionweather。 这里以weather包为例介绍操作步骤，其余应用组件的具体步骤不再详述。 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、单击创建应用时创建的应用名称（例如weathermap）“操作”栏的“新增组件”。 3、“配置方式”选择“自定义配置”，“选择组件类型”选择“微服务”，单击“下一步”。 4、“选择运行时”选择“Docker”，单击“下一步”。 5、“选择框架/服务网格”选择“选择“Java Chassis”， 组件信息栏中“组件名称”输入weather。 6、单击“创建并部署”，部署组件。 1. “环境”：选择创建环境时创建的环境（例如testenv）。 2. “部署版本”：输入1.0.0。 3. “部署系统”：选择“云容器引擎”。 4. “实例数量”：设置为1。 5. 其他参数使用默认。 7、单击“下一步 组件配置”，进行组件配置。 1. “镜像”：单击“选择镜像”，在“我的镜像”页签搜索“weather”，选择创建组织创建的组织名称下的weather镜像包及其版本号，单击“确定”。 2. “微服务引擎”：默认选择创建环境时选择的微服务引擎。 说明 • 卸载应用组件部署以后，微服务会注册到设置的微服务引擎。 • 所有应用组件需要注册到同一个微服务引擎，才能互相发现。 8、设置环境变量。 展开“高级设置 > 组件配置”，在“环境变量”栏，单击“添加环境变量”，添加以下环境变量。 类型 变量名 变量/变量引用 ::: 手动添加 MOCKENABLED • true：资源准备时创建的CCE集群中的ECS节点如果没有绑定弹性公网IP或者不能访问公网时，需设置该参数值为true。则应用所用到的天气数据为模拟数据。 • false：资源准备时创建的CCE集群中的ECS节点如果已绑定弹性公网IP且能访问公网时，需设置该参数值为false或者不设置该参数。则应用所用到的天气数据为实时数据。 手动添加 servicecombcredentialsaccessKey 资源准备时获取的AK。 说明： • 仅当使用微服务引擎专业版时需要配置。 • 如果使用微服务引擎专享版，无需配置。 手动添加 servicecombcredentialssecretKey 资源准备时获取的SK。 说明： • 仅当使用微服务引擎专业版时需要配置。 • 如果使用微服务引擎专享版，无需配置。 9、单击“下一步 规格确认”，确认规格。 10、单击“部署”，部署组件。 11、参考以上步骤，依次创建并部署forecast和fusionweather组件，需要设置的参数如下表所示。 组件名称 选择镜像 环境变量 ::: forecast forecast 变量名称：MOCKENABLED 变量/变量引用： • true：资源准备时创建的CCE集群中的ECS节点如果没有绑定弹性公网IP或者不能访问公网时，需设置该参数值为true。则应用所用到的天气数据为模拟数据。 • false：资源准备时创建的CCE集群中的ECS节点如果已绑定弹性公网IP且能访问公网时，需设置该参数值为false或者不设置该参数。则应用所用到的天气数据为实时数据。 forecast forecast 变量名称：servicecombcredentialsaccessKey 变量/变量引用：资源准备时获取的AK。 forecast forecast 变量名称：servicecombcredentialssecretKey 变量/变量引用：资源准备时获取的SK。 fusionweather fusionweather 变量名称：servicecombcredentialsaccessKey 变量/变量引用：资源准备时获取的AK。 fusionweather fusionweather 变量名称：servicecombcredentialssecretKey 变量/变量引用：资源准备时获取的SK。

您可以通过网络隔离开关，设置命名空间层面的网络策略。 例如命名空间default，网络隔离的默认状态为“隔离状态未开启”，表示“当前集群下的所有工作负载”都可以访问“命名空间default下的工作负载”。 若您需要设置其它工作负载不可以访问“命名空间default下的工作负载”，请参照以下步骤设置： 须知： 网络模型为“VPC网络”时不支持命名空间（namespace）的网络隔离，仅在“容器隧道网络”模式下支持。 前提条件 您已成功创建一个Kubernetes集群，参见购买混合集群。 您已成功创建一个命名空间，参见创建命名空间。 操作步骤 步骤 1 登录为CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。 步骤 2 在“集群”下拉框中，选择命名空间所在的集群。 步骤 3 在待设置命名空间（例如default）后，将网络隔离一栏的“隔离状态未开启”改为“隔离状态已开启”，开启后，当前集群内的其他工作负载都不能访问此命名空间下的工作负载。 设置完成后，当前集群内其它命名空间下的工作负载都不能访问default下的工作负载。

本文主要介绍如何使用第三方镜像。 操作场景 CCE支持拉取第三方镜像仓库的镜像来创建工作负载。 通常第三方镜像仓库必须经过认证（帐号密码）才能访问，而CCE中容器拉取镜像是使用密钥认证方式，这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用第三方镜像时，请确保工作负载运行的节点可访问公网。 通过界面操作 步骤 1 创建第三方镜像仓库的密钥。 单击集群名称进入集群，在左侧导航栏选择“配置项与密钥”，在右侧选择“密钥”页签，单击右上角“创建密钥”，密钥类型必须选择为kubernetes.io/dockerconfigjson，如下图所示。详细操作请参见创建密钥。 此处的“用户名”和“密码”请填写第三方镜像仓库的帐号密码。 图 添加密钥 步骤 2 创建工作负载时，可以在“镜像名称”中直接填写私有镜像地址，填写的格式为domainname/namespace/imagename:tag，并选择步骤1中创建的密钥。 步骤 3 填写其他参数后，单击“创建工作负载”。

配置项 说明 TCP端口 设置TCP检查访问的端口。 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。

本文帮助您了解对象存储创建桶的操作场景及方法。 操作场景 桶是对象存储（简称ZOS）中存储对象的容器。您需要先创建一个桶，然后才能在ZOS中存储数据。您可以通过ZOS控制台、API、SDK等方式创建桶。 约束与限制 存储桶一旦创建成功，名称和所处地域不能修改且不支持重命名。创建时，请设置合适的桶名称和地域。 桶名称全局唯一，在任何集群，都不能与已有的任何桶名称重复，包括其他用户创建的桶。 用户在每个资源池的默认配额为100个桶。完成升级的资源池新创建的桶无对象/文件数量限制，未升级的资源池单桶可承载的对象/文件数量为4亿，详情可见产品使用限制。 创建桶的方法 访问方式 创建桶方法 控制台 通过控制台创建桶 SDK 具体可参考开发者文档 API 具体可参考创建桶

云原生网关 核心能力 传统平台 使用云原生网关 云原生特性 1.流量网关+业务网关模式，部署运维工作量大，资源消耗多。 2.云原生组件支持不够。 1.同时具备流量网关和微服务网关能力，资源消耗减半。 2.无缝对接云原生组件，更贴合云原生架构。 开箱即用 需要投入人力处理部署、运维和定制化开发工作。 即买即用型实例，用户只需专注于业务开发，无需关注资源购买及部署运维，更专业、更弹性、更可靠。 高集成 集成云原生组件的能力较弱。 可与自研产品体系无缝对接，例如容器服务、注册中心、日志服务、应用监控等，提供一站式的微服务解决方案。 高扩展 扩展能力较弱。 支持多语言插件化扩展，场景丰富、应用灵活。 监控分析 监控指标不够丰富，实现链路追踪等能力需要的成本较高。 提供丰富的指标监控、日志分析、链路追踪等功能，实现服务的可见、可管、可控。 安全可靠 不支持复杂的安全认证机制。 支持HTTPS加密通信，提供jwt、oidc认证，ip黑白名单等安全策略。 低成本 需要自己维护网关组件。 网关能力托管到云端，节省用户维护成本。

参数 描述 参数模板 数据库参数就像是数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。实例创建成功后，参数模板可进行修改。须知创建数据库实例时，为确保数据库实例正常创建，自定义参数模板中相关规格参数如下不会下发，而是采用系统默认的推荐值。“innodbbufferpoolsize”“innodblogbuffersize”“maxconnections”“innodbbufferpoolinstances”“innodbpagecleaners”“innodbparallelreadthreads”“innodbreadiothreads”“innodbwriteiothreads”“threadpoolsize”具体请参见 编辑参数模板 。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。请在下拉框中选择所在的企业项目，其中，default为默认项目。更多企业项目相关的信息，参见

本章节为您介绍数据库审计的一些报错及原因。 数据库审计运行正常但无审计记录？ 故障现象： 数据库安全审计实例功能正常，当触发数据库流量后，在SQL语句列表页面搜索执行的语句，不能搜索到相关的审计信息。 可能原因： 数据库已开启SSL。 数据库SQL SERVER协议已开启强行加密。 数据量过大，造成Agent进程假死。建议重启容器或优化审计规则以减少数据量。 说明 数据库开启SSL时，将不能使用数据库安全审计功能。关闭数据库SSL操作请参考： 数据库开启强行加密，数据库安全审计将无法获取文件内容进行分析。 数据库审计告警邮件异常 故障现象： 数据库审计实例功能正常，邮件收到高风险语句告警，但控制台未显示高风险SQL语句。 告警邮件发送延迟。 可能原因： 审计日志量超过了实例的处理能力，导致数据审计的延迟。 处理建议： 新增数据库审计实例，分担当前数据审计流量或者更改审计规则，优化缩小审计范围。 制定自动小时备份任务，避免数据量存储磁盘达到85%触发日志清理机制。

本节主要介绍部署组件 1、登录ServiceStage，选择“应用管理 > 应用列表”。 2、单击本例创建的应用名称，进入“应用概览”页面。 3、在“组件列表”选择已经创建的组件javatest，在“操作”栏单击“部署”。 4、设置基本配置。 “环境”：选择创建环境时已经创建的环境“testenv”。 “部署版本”：默认设置为“1.0.0”。 “部署系统”：选择“云容器引擎”。 “基础资源”：使用环境testenv中的CCE资源(自动加载)。 “实例数量”：设置为“1”。 “资源配额”：使用默认配置。 5、单击“下一步 组件配置”，进行组件配置。 “镜像”：默认加载已经配置的组件静态信息。 “微服务引擎”：默认使用环境testenv中的名称为“Cloud Service Engine”的微服务引擎专业版。 说明 应用组件部署以后，微服务会注册到选择的微服务引擎。 所有应用组件需要注册到同一个微服务引擎，才能互相发现。 设置环境变量。 选择“高级设置 > 组件配置”，进入“环境变量”，单击“添加环境变量”，添加如下环境变量。 类型 变量名 变量值 ::: 手动添加 servicecombcredentialsaccessKey AK值 手动添加 servicecombcredentialssecretKey SK值 添加如下环境变量。 其它参数使用默认配置。 6、单击“下一步 规格确认”，确认规格无误后，单击“部署”。等待组件部署完成。

本节主要介绍术语 环境 环境是用于应用部署和运行的计算、存储、网络等基础设施的集合。Servicestage把相同VPC下的基础资源（如CCE集群、ECS等）加上可选资源（如ELB、RDS、DCS等）实例组合为一个环境，如：开发环境，测试环境，预生产环境，生产环境。环境内网络互通，可以按环境维度来管理资源、部署服务，减少具体基础设施运维管理的复杂性。 基础设施 在ServiceStage中，基础设施指微服务应用托管与运维所依赖或可选依赖的基础类服务，如云容器引擎等。 应用 应用是一个功能相对完备的业务系统，由一个或多个特性相关的应用组件组成。 应用组件 应用组件是组成应用的某个业务特性实现，以代码或者软件包为载体，可独立部署运行。 微服务 微服务是业务概念，某个进程提供某种服务，那它就是个微服务。每一个服务都具有自主运行的业务功能，对外开放不受语言限制的API (最常用的是HTTP)。多个微服务组成应用程序。 在ServiceStage中，微服务对应应用组件。 微服务实例 微服务的最小运行和部署单元，通常对应一个应用进程。

此小节介绍企业主机安全订阅安全报告。 指导您通过控制台的预设模板快速实现以周为单位或以月为单位的安全报告订阅。如需自定义，操作详情请参见创建安全报告。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 订阅说明 订阅安全报告均为免费，但报告内容会受防护配额版本支持的功能限制。 操作步骤 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击按月或按周的报告开关状态为 打开，开启安全报告的订阅，如需对报告进行编辑详情请参见编辑安全报告。 开启安全报告

本节主要介绍产品定义 应用运维管理（Application Operations Management）是云上应用的一站式运维管理平台，实时监控应用及云资源，采集各项指标、日志及事件等数据，提供告警及数据可视化功能，帮助您及时发现故障，全面掌握应用、资源及业务的实时运行状况。 运维遇到挑战 随着容器技术的普及，越来越多的企业通过微服务框架开发应用，业务实现更多使用云上服务，运维也转向云上的运维服务。对于云上应用的运维也提出了新的挑战： 运维人员技能要求高，配置繁杂，同时需要维护多套系统。对于分布式追踪系统，学习和使用成本高，并且稳定性差。 云化场景下的分布式应用问题分析困难主要表现在如何可视化微服务间的依赖关系、如何提高应用性能体验、如何将散落的日志进行关联分析、如何快速追踪问题。 AOM帮您解决 应用运维管理（Application Operations Management）是云上应用的一站式运维管理平台，实时监控应用及云资源，采集各项指标、日志及事件等数据，提供告警及数据可视化功能，帮助您及时发现故障，全面掌握应用、资源及业务的实时运行状况。

参数 参数说明 组件名称 组件对应的名称。 软件包 选择“Jar包”、“War包”或“Zip包”时，需设置“上传方式”：将软件包上传至OBS对象存储中 说明 运行时为“Java8”时，选择“Jar包”。 运行时为“Nodejs8”、“Php7”或者“Python3”时，选择“Zip包”。 Python框架 当步骤4选择的运行时是“Python3”时，需设置本参数。 除了“Python3Django”，选择其他框架均需设置“Module Name”和“Variable Name”： 如果Python工程入口文件名为server.py，则“Module Name”为“server”。 如果Python工程入口文件server.py的应用函数名称为appgetwsgiapplication()，则“Variable Name”为“app”。 开启构建 （可选）“软件包”选择“Jar包”、“War包”或“Zip包”时，可以设置“开启构建”参数，用于应用组件构建。 根据业务需要选择“组织”和“选择集群”参数。 也可选择“过滤节点标签”，可以通过节点标签将构建任务下发到固定节点上。新增过滤标签请参考“帮助中心 > 云容器引擎 > 用户指南 > 节点管理”。

本节介绍了公网白名单的用户指南。 为保障镜像制品及企业版实例安全，需要配置公网的访问控制策略，以限制通过公网访问企业版实例。 前置条件 本功能只能在企业版实例使用，对于个人版实例不支持使用此功能。 说明 在企业版实例开通后，会默认创建一条“127.0.0.1/32”的公网白名单，以限制所有来自公网的访问。 操作步骤 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择指定的企业版实例。 4. 在企业版实例管理页面的左侧菜单上选择"访问控制" "公网白名单"，在页面左上角点击 "添加公网白名单" 按钮。 5. 在弹出添加公网白名单选项卡中，录入地址段和备注信息，点击确定，各参数说明如下： 参数 是否必填 说明 地址段 必填 白名单放行地址段，如192.168.1.1/32、192.168.1.0/24 备注 非必填 此项白名单放通的补充说明信息，可以为空 6. 添加完成后，该白名单网段所包含IP的主机都可以正常访问实例。 注意 删除所有白名单后，公网下机器均可通过凭证访问企业版实例。请注意完全暴露在公网的企业版实例存在被攻击的风险，请谨慎操作。

本文主要介绍 网络策略（NetworkPolicy）。 网络策略（NetworkPolicy） NetworkPolicy是Kubernetes设计用来限制Pod访问的对象，通过设置NetworkPolicy策略，可以允许Pod被哪些地址访问（即入规则Ingress）、或Pod访问哪些地址（即出规则Egress）。这相当于从应用的层面构建了一道防火墙，进一步保证了网络安全。 NetworkPolicy支持的能力取决于集群的网络插件的能力，如CCE的集群只支持设置Pod的入规则。 默认情况下，如果命名空间中不存在任何策略，则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的规则可以选择如下3种： namespaceSelector：根据命名空间的标签选择，具有该标签的命名空间都可以访问。 podSelector：根据Pod的标签选择，具有该标签的Pod都可以访问。 ipBlock：根据网络选择，网段内的IP地址都可以访问。（CCE当前不支持此种方式） 约束与限制 当前仅容器隧道网络模型的集群支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置出方向（egress）。 不支持对IPv6地址网络隔离。 使用Ingress规则 使用podSelector设置访问范围 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: testnetworkpolicy namespace: default spec: podSelector: 规则对具有roledb标签的Pod生效 matchLabels: role: db ingress: 表示入规则 from: podSelector: 只允许具有rolefrontend标签的Pod访问 matchLabels: role: frontend ports:

态势感知（专业版）与企业主机安全HSS服务的区别。 服务含义区别 态势感知（专业版）是云原生的新一代安全运营中心，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 企业主机安全（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机 安全、容器 安全和 网页防篡改 ，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，态势感知（专业版）是呈现全局 安全态势的服务，HSS是提升主机 和容器安全性的服务。 服务功能区别 态势感知（专业版）通过采集 全网安全数据 （包括HSS、WAF、AntiDDoS等安全服务检测数据），提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 态势感知（专业版）与HSS主要功能区别： 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 态势感知（专业版）：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 资产安全 网站资产 态势感知（专业版）：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 主机漏洞 呈现主机漏洞扫描结果，管理主机漏洞。 态势感知（专业版）：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、WebCMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 基线检查 云服务基线 态势感知（专业版）：针对云服务关键配置项，从多种风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 基线检查 主机基线 态势感知（专业版）：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

本文帮助您了解对象存储接入管理( VPC)功能的操作步骤。 操作场景 通过在接入管理（VPC）功能中添加子网，您可以实现同一资源池中的云主机通过内网访问ZOS。 约束与限制 需进行接入管理的资源池 ：上海7、南京3、南京5、杭州2、合肥2、九江、广州6、武汉4、福州25、厦门3、郴州2、海口2、北京5、雄安2、石家庄20、内蒙6、晋中、辽阳1、西安5、乌鲁木齐4、乌鲁木齐27、中卫5、兰州2、西宁2、拉萨3、昆明2、重庆2、成都4、贵州3、上海33、宁波边缘云。以上资源池内网默认不互通，故需要通过接入管理配置与对象存储内网互通的云主机所在的VPC和子网。 无需进行接入管理的资源池 ：华东1、上海36、南昌5、青岛20、武汉41、长沙42、长沙37、南宁23、北京行业云20、华北2、西南1、上海32。以上资源池云主机默认与对象存储内网互通，无需接入管理即可实现内网访问。 添加子网后，请重启云主机或网卡。 如果没有可用的VPC，需先创建VPC。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择广东广州6。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台右上角点击“接入管理(VPC)”。 5. 点击“添加VPC”，选择需要与对象存储内网互通的云主机所在的VPC和子网，点击“确定”。 6. 添加成功后，控制台可查看已经添加过的VPC和子网。 7. 添加VPC和子网后，重启云主机网卡，便可通过内网地址访问ZOS。

组播成员目前支持跨地域跨VPC吗？ 组播成员暂不支持跨地域跨VPC，目前仅支持多个成员在同地域同VPC的场景下。一个VPC下目前仅支持创建一个组播域，同地域的多个组播域之间互不相通。您在选择组播成员（例如弹性云主机或弹性裸金属）的时候，请保证组播成员均在同一VPC下，避免造成流量不通的情况。 创建组播域时如何选择组播源来源？ 组播源来源分为”云内“和”云间“两种方式，一个组播域内仅支持一种来源。 当组播域中存在通过专线从 IDC 机房接入组播源的场景，需要选择云间组播域。 当组播域中的组播源全部都在天翼云内部，不存在组播源为 IDC 机房的场景，需要选择云内组播域。 使用混合组播网络前需要注意什么？ 如果您需要使用组播搭建混合组播网络，请您确保在使用组播功能前已完成如下的准备工作： 1、客户 IDC 机房到天翼云云上的专线已拉通； 2、客户侧边缘交换机已配置组播 PIM 协议，推荐使用 PIMSSM 模式，它比 ASM 模式减少了 RP 相关配置，能够直接建立最短路径树（SPT），配置简单，效率高； 3、已注册天翼云账号，并完成实名认证； 4、已完成基础环境配置，如开通VPC，配置好专线侧的路由。 使用混合组播网络时，路由如何配置？ 客户侧路由配置 ：专线网关创建好后，需要在专线网关中添加指向物理专线的路由条目来转发客户侧站点的流量。请您检查客户侧子网是否和待访问的 VPC 存在网段重叠或冲突情况，如存在此情况，路由可能无法联通。请您提前规划好网络。 云侧路由配置 ：您需要在云专线界面添加需要访问的 VPC 、子网，完成云侧路由的添加。

本文介绍CDN加速使用天翼云媒体存储作为源站时的计费方式。 背景说明 天翼云CDN加速可为媒体存储上存储的静态资源（包括静态脚本、图片、音频、视频等文件）进行分发加速。利用天翼云CDN全球加速节点和全局负载均衡调度的能力，可将热点资源提前下发至边缘节点，当终端用户发出资源访问/下载请求时，就近获取所需要的资源。从而降低源站压力，减少传输延迟，显著提升用户体验。 费用说明 当选择天翼云的媒体存储作为源站时，则会产生CDN加速的产品费用+媒体存储的产品费用。 计费产品 计费说明 CDN加速产品 主要为CDN加速下行流量费用。如果还有开启其他增值服务，则根据实际情况按量收费。 媒体存储产品 主要为流量费用、存储费用、请求费用。根据实际情况按量收费，详情请见：媒体存储计费项。 流量费用说明 当媒体存储作为CDN加速源站时，会产生CDN加速下行流量费用（由CDN加速收费）和媒体存储将内容传输到天翼云CDN所产生的流量费用（由媒体存储收费）。 CDN加速下行流量费用：用户从CDN加速节点请求资源，节点将资源响应给客户端时产生的流量费用；流量从CDN加速流向客户端，消耗的流量由CDN加速收费。详情请见：基础服务计费（必选）。 媒体存储将内容传输到天翼云CDN所产生的流量费用：流量从媒体存储流向CDN加速，由媒体存储收费。其中，天翼云CDN回源流出流量较普通公网流出流量可享受优惠费率，详情请见：媒体存储计费项说明。 注意 您需要在CDN控制台【域名管理】【域名列表】【回源配置】【源站配置】中选择【

使用云应用引擎部署应用，您可以使用健康检查功能查看应用与业务运行是否正常，以便运行异常时定位问题。本文介绍如何在云应用引擎控制台配置健康检查。 功能入口 场景不同，操作入口也有所不同 创建应用 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后选择单击创建应用 2. 在应用基本信息向导页面进行配置后，单击下一步：高级设置。 对正在运行的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作 对已停止的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 健康检查配置指引 根据需求启用应用实例存活检查（Liveness配置）、启用应用业务就绪检查（Readiness配置）或启用应用启动探测（StartupProbe配置）。三者需要配置的参数项相同，参数解释如下 Liveness探针配置 配置项 说明 路径 访问HTTP Server的路径。 端口 访问HTTP Server的端口。 高级设置 展开高级设置后，选择判断返回的字符串中是否包含设置的关键字。 协议 选择HTTP 或HTTPS。 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 Readiness探针配置 配置项 说明 TCP端口 设置TCP检查访问的端口。 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 Startup探针配置 配置项 说明 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 执行命令 设置应用实例或者进程内部执行的健康检查命令。如果该命令返回码为0，则表示应用健康。 健康检查相关命令，请参见Kubernetes官网Configure Probe

子账号使用流程 前置条件 子账号为IAM普通用户角色且已登录到一站式智算平台 主账号使用流程 若子账号为IAM管理员角色，则其拥有全部操作权限，操作流程和主账号别无二致，故角色为IAM管理员的子账号使用流程参见主账号使用流程章节；角色为IAM普通用户的子账号，使用流程如下： 子账号的使用流程主要是为了进行任务作业，具体步骤如下： 流程 子任务 说明 详细指导 数据集准备与处理 创建基础数据集 可上传基础数据集到ZOS或HPFS 基础数据集 数据集准备与处理 创建标注数据集 创建标注数据集，可对数据集进行标注，并发布为新的数据集 标注数据集 数据集准备与处理 数据清洗 可以对数据 数据处理 镜像准备 预置镜像 预置镜像即平台预先设置的完整镜像，可直接用于创建任务时使用 预置镜像 镜像准备 自定义镜像 可以通过开发机自主制作镜像或通过天翼云容器镜像服务将镜像服务内的容器共享给一体化智算平台 自定义镜像 镜像准备 他人分享镜像 可将自己的镜像分享给他人使用 镜像分享 代码准备 导入代码包 将代码上传到平台 我的代码包 模型准备 导入模型 可将用户自己的模型或在平台训练、精调好的模型导入到平台进行版本管理、评估及部署 我的模型 AI作业 模型开发 可通过启动和管理在线JupyterLab或VSCode集成开发环境在线编程进行模型开发 开发机 AI作业 模型训练 创建自定义创建训练任务，支持单机和多机分布式训练 训练任务 AI作业 模型精调 零代码快速创建和管理精调任务，提供全参微调和lora微调两种精调方式。基于平台的基础大模型，选择训练数据集和算力即可快速启动精调任务。 模型精调 AI作业 模型评估 可对模型进行评估，自动评估打分，生成评估报告 模型评估 AI作业 模型压缩 不减少模型效果的前提下压缩模型大小，进而提升模型在推理调用时的性能 模型压缩 AI作业 模型部署 部署模型，提供推理服务 模型服务 AI作业 体验模型 可以对预置模型和自己部署的模型进行体验 体验中心 综合管理 工作空间管理 查看工作空间相关信息，若是工作空间的管理员可以进行相关操作 工作空间 综合管理 操作审计 对平台操作事件进行跟踪 操作审计

此小节介绍企业主机安全创建策略组。 您可根据自己服务器不同使用情况创建对应的策略组，创建后可对目标服务器进行更有力的扫描检测。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 前提条件 已购买旗舰版。 注意 目前仅支持对旗舰版的策略组进行自定义创建，若没有开启旗舰版防护的主机，创建后不会生效。 创建策略组 以下以旗舰版的Linux策略为例。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、选择tenantlinuxpremiumdefaultpolicygroup或tenantwindowspremiumdefaultpolicygroup策略组，单击该策略组“操作”列的“复制”。以下以Linux策略组为例。 复制策略组 6、在弹出的对话框中，输入“策略组名称”和“描述”。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 创建策略组 7、单击“确认”，将会创建一个新的策略组。 8、单击已创建的策略组名称，进入策略组的策略页面。 Linux策略组详情 9、单击策略名称，修改具体的策略内容，详细信息请参见8.1.3 编辑策略内容。 10、策略内容修改完成后，单击策略所在行的“开启”或者“关闭”，开启或者关闭对应的策略。

VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站，限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。在“访问控制 >互联网边界规则 > 黑名单规则”中配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。在“访问控制 >互联网边界规则 > 黑名单规则”中配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。

本文将为您简要介绍边缘安全加速平台安全与加速服务目前支持的安全防护能力。 接入防护前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 DDoS防护 DDoS防护 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 Web防护 []( 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web防护 []( 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web防护 []( 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web防护 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web防护 []( 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫 可以防护Cookie盗用、Cookie篡改、Cookie信息泄露等攻击事件。需要客户端支持携带Cookie，通常小程序、APP、API可能不支持 Web防护 []( 支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web防护 []( 支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web防护 []( 支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未被网站所有者允许的广告内容）进行防护 Web防护 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot防护 设置高频爬虫限制 防止攻击者盗用合法Cookie进行大量请求，限制不同粒度的访问速率 当出现搜索引擎爬取粒度过大导致服务宕机时，可以通过此功能限制爬虫频率 Bot防护 设置爬虫陷阱 在页面里面嵌入不可见链接，当爬虫触碰链接时进行防护 防护网页爬虫 Bot防护 设置人机识别策略 通过cookie挑战、跳转挑战、人机挑战等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持； 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot防护 []( 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot防护 []( 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 []( 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 []( 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 访问控制/限流 设置频率控制 支持控制请求的访问频率 设置客户端IP访问域名首页的次数限制 防护白名单 []( 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 []( 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 设置Bot策略白名单 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 API安全 API自发现 API自发现功能能够帮助用户从访问日志中自动发现API接口的请求，并生成API资产，无需用户手动新增 梳理站点API资产 API安全 业务监测 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 协助用户识别API业务是否运行正常 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险 协助用户识别站点漏洞情况

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

本文为您介绍如何通过注解实现ECI Pod环境变量获取元Pod IP和 EIP IP。 操作步骤 1. 打开云容器引擎集群控制台，点击集群名称。 2. 选择工作负载菜单，点击无状态，进入无状态列表页。 3. 点击“新增YAML”按钮。 4. 为Pod 添加注解，以Deployment 为例： plaintext k8s.ctyun.cn/eciwitheip: "true" 可选，设置则自动分配 EIP k8s.ctyun.cn/eipbandwidth: "5" 可选，单位 Mbps，默认 5Mbps deployment 完整模板，其中环境变量设置如下，获取Pod IP和EIP IP： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciwitheip: "true" k8s.ctyun.cn/eipbandwidth: "5" labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 env: name: PODIP valueFrom: fieldRef: fieldPath: status.podIP name: PODEIP valueFrom: fieldRef: fieldPath: "metadata.annotations['k8s.ctyun.cn/allocatedeipAddress']" nodeName: vndc2hq918w25w2vqracnhuadong1jsnj3apublicctcloud 注意 通过yaml 创建，此处需要指定节点为 vnode： shell nodeName: "vndc2hq918w25w2vqracnhuadong1jsnj3apublicctcloud" 5. 创建完成在ECI 控制台，找到对应的ECI Pod，进入详情页面，选择远程连接页签，可以看到环境变量已生效。 6.

参数 描述 管理员帐户名 数据库的登录名称默认为rdsuser。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~!@%^+?,特殊字符。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 请妥善保管您的密码，因为系统将无法获取您的密码信息。实例创建成功后，如需重置密码，请参见 确认密码 必须和主密码相同。 参数模板 数据库参数模板就像是数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。对于HA实例创建成功后，主备参数模板相同。实例创建成功后，参数模板可进行修改。须知创建数据库实例时， 为确保数据库实例正常创建，自定义参数模板中规格相关的参数“max server memory (MB)”不会下发， 而是采用系统默认的推荐值。 您可以在实例创建完成之后根据业务需要进行调整。