本章节主要介绍如何在已有物理机实例中手动安装Agent,实现主机监控。 您需要完成以下步骤： 1.添加域名解析地址：在物理机“/etc/resolv.conf”文件中添加各区域域名解析地址。 2.修改子网DNS地址：按物理机所在区域修改子网的DNS服务器地址。 3.配置安全组：用于下载Telescope包、发送指标数据、采集日志等。 此三步请参见内网DNS与安全组配置。 4.安装Agent：手动为物理机安装Agent，实现主机监控。 此步请参见安装Agent（Linux）。

态势感知支持自定义检测结果列表。 前提条件 已接收到安全产品的检测结果。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检测结果”，进入全部结果管理页面。 4. 单击，展开结果列表属性框。 5. 勾选结果属性。 6. 刷新结果列表，即可在列表查看目标属性。

安全防护 可追溯租户管理操作的记录。 提供用户鉴权和SASL授权访问机制，提供企业级的安全防护。 更多信息请参见功能特性。 应用场景 分布式消息服务kafka适用于物联网、电信、电子商务、金融服务等等行业，通常用于业务的流计算处理、日志聚合等场景。更多信息请参见应用场景。 使用限制 分布式消息服务kafka对实例、Topic等对象信息进行限制，使用时注意不要超过限制，以免程序出现异常。更多信息请参见使用限制。

本页介绍分布式融合数据库HTAP的功能特性。 一站式 HTAP 解决方案 采用独特的行列混合存储策略，将传统的行存储和高效的列存储智能融合，结合先进的MPP（大规模并行处理）架构和优化技术，为用户提供一站式的HTAP服务。用户可以在同一个系统中实时高效处理TP、AP混合负载，简化架构复杂性，降低管理成本。 弹性伸缩，灵活计费 基于存储计算分离架构的精心设计，支持用户根据实际需求灵活扩展存储和计算能力，无论是扩大存储容量还是增加计算资源，都能够轻松实现；提供包年包月和按需付费两种灵活的计费方式，让用户能够根据实际使用情况选择最适合的付费模式，实现资源成本的有效管理和控制。综合而言，不仅保障了高效的资源分配和优化，还显著降低了资源投入的总体成本。 多项企业级能力 提供丰富的企业级能力，帮助用户大幅降低运维成本，有效保障数据库服务的稳定、安全及高效。这些企业级能力，包括但不限于：实时监测系统的运行状态和性能指标，帮助用户迅速识别潜在问题，采取适当的措施以保障数据库的稳定性；提供参数模板功能，用户可以根据不同的业务需求灵活地管理和调整数据库参数，确保数据库持续高效运行；提供强大的用户管理和权限控制功能，确保数据访问安全且合规；提供灵活的安全审计功能，帮助用户追踪和监测数据访问情况，增强整体安全性。

本章节主要介绍天翼云物理机的使用场景。 对安全和监管高要求的场景 金融、证券等行业对业务部署的合规性，以及某些客户对数据安全有苛刻的要求。采用物理机部署，通过网络隔离、专线接入等方式确保独享资源，数据安全隔离，保障用户数据的安全。 核心数据库 泛政务、金融、互联网等行业客户的关键业务系统的核心数据库，其业务压力大、安全隔离要求高，可通过资源专享、网络隔离、性能有保障的物理机承载，满足业务需求。尤其类似Oracle等数据库，其部署复杂，对性能要求高，推荐采用物理机部署。 大数据场景 互联网、汽车、交通、政务等行业的大数据存储、大数据分析等相关业务，客户在云上自建大数据平台，推荐采用性能更强、兼容性更高的物理机服务器承载。同时，天翼云物理机服务器支持结合对象存储服务的存算分离方案。 容器场景 电商平台、游戏、疫情核酸平台等业务弹性要求较高，性能要求更高的场景，可采用物理机容器方案，相比虚机容器，物理机容器提供更高的部署密度、更低的资源开销、更加敏捷的部署效率。基于云原生技术帮助客户实现降低云化成本目标。 高性能计算 科研、基因测序、天气预测、能源勘探、影视渲染、人工智能等高性能计算场景下，对计算能力要求高、处理的任务多、并行数据量大。天翼云物理机采用高规格物理服务与本地SAS存储进行部署，提供强大的计算能力和存储性能。高计算性能、稳定性和实时性，避免虚拟化带来的性能损耗，满足业务对服务器的高计算性能、高稳定性、高实时性的诉求。

开通云资源授权后，可以访问私有OBS桶、数据库、大数据以及数据安全总览，获得了授权资产服务的权限如下表所示。 资产模块 服务策略 作用范围 备注 OBS OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 OBS EVS ReadOnlyAccess 区域 用于获取云硬盘列表 OBS OBS Adminstrator 全局 用于获取OBS服务投递日志 数据库 ECS ReadOnlyAccess 区域 用于获取自建数据库ECS列表 数据库 RDS ReadOnlyAccess 区域 用于获取RDS数据库列表及数据库列表相关信息 数据库 DWS ReadOnlyAccess 区域 用于获取DWS列表 数据库 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 数据库 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 大数据 ECS ReadOnlyAccess 区域 用于获取自建大数据ECS列表 大数据 CSS ReadOnlyAccess 区域 用于获取CSS数据集群列表及数据索引等相关信息 大数据 DLI Service User 区域 用于获取DLI队列及数据库 大数据 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 大数据 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 数据安全总览 Tenant Guest 区域 用于获取用户涉及数据存储处理等相关云服务的列表等 数据安全总览 OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 数据安全总览 EVS ReadOnlyAccess 区域 用于云硬盘列表获取 数据安全总览 OBS Adminstrator 全局 用于OBS服务投递日志

本文介绍边缘安全加速平台边缘接入服务不同套餐版本适用的业务规模、支持的功能情况。 套餐和版本概述 天翼云边缘安全加速平台边缘接入服务支持包年包月计费模式。本文介绍不同套餐版本适用的业务规模、支持的功能情况。 边缘安全加速平台边缘接入服务的套餐版本分为：基础版、定制版。 适用的业务规模 下表描述了不同版本适用的业务规模。一般情况下，对于中小型规模的企业网站，推荐您选择基础版。 注意 定制版不支持线上订购，若需要订购，请提交工单给天翼云客服。 加速区域 中国内地 全球（不含中国内地） 全球 价格（元/月） 2000 3000 3400 适用场景 适合访问请求和源站都在中国内地的TCP/UDP等四层加速场景。 适合如下三种加速场景： 1. 源站在海外访问请求在国内的TCP/UDP等四层加速场景。 2. 源站在国内访问请求在海外的TCP/UDP等四层加速场景。 3. 源站和访问请求都在海外的TCP/UDP等四层加速场景。 全球范围内加速您的四层TCP/UDP应用，不限制访问区域与源站所在地。 上下行带宽/流量 中国内地：10Mbps/1TB 全球（不含中国内地）：5Mbps/500GB 中国内地：2.5Mbps/250GB 全球（不含中国内地）：2.5Mbps/250GB 四层DDoS防护 防护流量：40Gbps 防护次数：1次 平台级尽力防护 中国内地：防护流量：40Gbps；防护次数：1次 全球（不含中国内地）：平台级尽力防护 IP应用加速域名个数 1 1 1 端口数 5 5 5

本文为您介绍BOT防护功能说明，以及如何配置BOT防护策略。 网站域名接入云WAF后，您可以选择开启BOT防护功能。通过BOT防护配置，用户可以根据BOT会话行为特征设置BOT对抗策略，对BOT行为动作处理，保护网站核心业务安全。 BOT防护模块提供了默认内置的防护规则，用户也可以自定义添加防护规则。 系统默认规则 WAF提供已知公开的BOT大类，包括Web爬虫、扫描器爬虫、语言库等爬虫类型，用户可以根据自身需求设置防护状态及处置动作，WAF将对命中的BOT请求进行相应处理。 自定义防护规则 用户可以根据实际业务情况自定义防护规则，WAF将根据命中防护规则的请求进行处理。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持BOT防护，请升级到更高版本使用。 配置BOT防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“BOT防护”区域，可以选择开启/关闭防护状态。 配置项 说明 状态 开启或关闭BOT防护。 防护策略 BOT提供了系统默认规则，用户也可以自定义规则。 单击“前去配置”，可以进入到对应的策略配置页面进行配置。

本节将介绍如何创建快速查询。 操作场景 快速查询为态势感知（专业版）提供的用于保存查询分析操作的功能。您可以将某个常用的查询分析语句另存为快速查询，以便后续直接使用，快速执行查询分析操作。 前提条件 已配置索引，详细操作请参见配置索引。 创建快速查询 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理> 安全分析”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”。 更多查询分析详细操作请参见查询与分析。 7. 单击页面右上角“保存为快速查询”，在右侧页面中配置查询参数。 参数名称 参数说明 查询名称 设置快速查询的名称。 查询语句 系统自动生成上一步骤中输入的查询语句。 8. 单击“确定”。 创建快速查询后，您可以在管道数据的查询分析页面中，单击快速查询搜索框中的，并选择目标快速查询名称，即可使用快速查询。

本文为您介绍如何使用集群的API Server审计功能实现集群安全运维。 为了帮助集群管理人员更安全高效地运维集群，Serverless集群提供了API Server 的审计日志能力。这些日志直接来源于API Server 内部，详细记录了每一次对 Kubernetes API 的访问。通过分析这些日志，可以轻松定位“是谁在何时操作了哪个资源”，这对于追溯集群活动、排查故障、减轻安全运维压力是必不可少的。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 采集的日志将以日志流的形式发送到您账号下指定的云日志服务的日志项目中，且云日志服务使用统一的按量付费方式计费。 安装ctglogoperator日志插件 收集API Server审计日志需要先安装日志插件： 1. 登录云容器引擎管理控制台，在左侧导航栏选择“集群列表”。 2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择“插件” > “插件市场”。 3. 在插件市场页面，在插件列表中选择要安装的ctglogoperator插件，点击“安装”按钮。 也可以通过在左侧导航栏，选择运维管理 >下的日志中心，点击“安装插件”。 等待ctglogoperator插件安装完成。 4. 在左侧导航栏，选择运维管理下的日志中心。 5. 在日志中心页面，单击“kubernetes审计日志”页签，然后单击“立即开启”。 6. 在配置kubernetes审计日志接入页，选择创建或使用已有日志项目，修改日志存储时间，点击“确定”。

资产模块 服务策略 作用范围 备注 OBS OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 OBS EVS ReadOnlyAccess 区域 用于获取云硬盘列表 OBS OBS Adminstrator 全局 用于获取OBS服务投递日志 数据库 ECS ReadOnlyAccess 区域 用于获取自建数据库ECS列表 数据库 RDS ReadOnlyAccess 区域 用于获取RDS数据库列表及数据库列表相关信息 数据库 DWS ReadOnlyAccess 区域 用于获取DWS列表 数据库 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 数据库 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 大数据 ECS ReadOnlyAccess 区域 用于获取自建大数据ECS列表 大数据 CSS ReadOnlyAccess 区域 用于获取CSS数据集群列表及数据索引等相关信息 大数据 DLI Service User 区域 用于获取DLI队列及数据库 大数据 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 大数据 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 数据安全总览 Tenant Guest 区域 用于获取用户涉及数据存储处理等相关云服务的列表等 数据安全总览 OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 数据安全总览 EVS ReadOnlyAccess 区域 用于云硬盘列表获取 数据安全总览 OBS Adminstrator 全局 用于OBS服务投递日志

安全分析中的索引是一种存储结构，用于对日志数据中的一列或多列进行排序。不同的索引配置，将会产生不同的查询和分析结果，请根据您的需求合理配置索引。 如果您需要使用分析功能，必须配置字段索引。配置字段索引后，您可以指定字段名称和字段值（Key:Value）进行查询，缩小查询范围。例如查询语句level:error，表示查询level字段值包含error的日志。 前提条件 已完成数据接入，详细操作请参见数据集成。 配置字段索引 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 在数据管道检索页面，单击右上角“索引配置”，页面右侧展示索引配置页面。 7. 在索引配置页面中，配置索引参数。 1. 开启索引状态。 索引状态默认开启，索引状态关闭时，将无法索引和查询采集到的日志。 2. 配置索引参数，参数配置说明如下表所示。 参数名称 参数说明 字段名称 日志字段名称（key）。 字段类型 日志字段值（value）的数据类型，可选值为text、keyword、long、integer、double、float、date和json。 包含中文 查询时是否区分中英文。当字段类型选择“text”时，需要设置该参数。 开启开关后，如果日志中包含中文，则按照中文语法拆分中文内容，按照分词符配置拆分英文内容。 关闭开关后，按照分词符配置拆分所有内容。 示例：日志内容为：user:WAF日志用户张三。 关闭“包含中文”开关后，按照分词符半角冒号（:）进行拆分，日志会被拆分为user、WAF日志用户张三，您可以通过user或WAF日志用户张先生查找该日志。 开启“包含中文”开关后，日志服务后台分词器将日志拆分为user、WAF、日志、用户和张三，您通过日志或张先生等词都可以查找到该日志。 8. 单击“确定”。

提交流程版本 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程“操作”列，单击“版本管理”，弹出流程版本管理页面。 6. 在流程版本管理页面中，单击“版本信息”栏中目标流程所在行的“操作”列的“提交”，弹出提交确认框。 7. 在确认框中，单击“确认”，提交流程版本。 说明 流程版本提交后“版本状态”更新为“待审核”。 流程版本提交后不可以再编辑，如果需要编辑可以新建版本，或者在审核中驳回提交。 激活/失活流程版本 说明 只有版本状态为未激活的流程版本才能激活。 每个流程只允许存在一个激活版本。 激活当前版本后，之前激活的版本将会失活。例如，此次激活V2版本，则处于已激活状态的V1版本将被取消激活，更新为未激活状态。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程“操作”列，单击“版本管理”，弹出流程版本管理页面。 6. 在流程版本管理页面中，单击“版本信息”栏中目标流程版本所在行的“操作”列的“激活”或者“取消激活”。 7. 在弹出确认框中，单击“确认”，完成激活/失活操作。

本章节介绍云密评专区的产品规格。 云密评专区主要包含三大类产品，分别为密码产品、国密套件和密评服务。 密码产品 产品名称 规格/版本 说明 综合安全网关 标准版 每个服务支持1000并发，可叠加，最多支持购买10个，建议搭配EIP使用 密钥管理 企业版 提供安全、可靠的密钥管理服务。 密钥管理购买后保存的密钥请在密钥管理服务中查询。 数据加密网关 标准版 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求。 协同签名服务 标准版 每个服务支持1000并发，可叠加，最多支持购买10个。 数字证书认证系统 标准版 支持1万证书签发，5个CA，兼容RSA、ECC、SM2算法。 国密套件 产品名称 规格/版本 说明 国密浏览器 标准版 兼容主流国产操作系统，满足国密安全传输要求。 智能密码钥匙 标准版 用作基于公钥体系的数字证书和私钥的安全载体，并能在硬件中进行加解密运算。 协同签名客户端 标准版 支持IOS、Android、Windows、Linux等操作系统，每个端占1个license，最多支持购买10000个。 证书管理服务 国密证书 提供权威证书管理服务（证书有效期至少为一年，购买时长小于一年会默认为一年时长）。 国密证书、国际证书购买后会保存至证书管理服务控制台。 证书管理服务 国际证书 提供权威证书管理服务（证书有效期至少为一年，购买时长小于一年会默认为一年时长）。 国密证书、国际证书购买后会保存至证书管理服务控制台。 证书管理服务 个人证书 提供权威证书管理服务（证书有效期至少为一年，购买时长小于一年会默认为一年时长）。 国密证书、国际证书购买后会保存至证书管理服务控制台。

服务器安全卫士（原生版）安全服务如何续费？ 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 配额管理”，进入配额管理页面。 3. 查看您已经订购的配额，选择所需续订的配额，点击“续订”；或勾选需要续订的配额，单击列表上方的“批量续订”。 4. 进入服务器安全卫士（原生版）续订页面，根据使用需要设置续订时长。 5. 续订时长设置完成后，在页面下方确认支付费用，阅读《天翼云服务器安全卫士（原生版）服务协议》，并勾选“我已阅读，理解并同意《天翼云服务器安全卫士（原生版）服务协议》“，在页面右下角单击“立即购买”。当续订周期达到1年或以上时，续订单将可享受包年折扣，续订金额显示折后价。 服务器安全卫士（原生版）安全服务如何退订？ 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 配额管理”，进入配额管理页面。 3. 查看您已经订购的配额，选择需要退订的配额，点击“退订”。 4. 进入退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。 5. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

查询分析结果可以通过柱状图形式进行展示。 柱状图是一种由矩形表示类别的数据显示方法，可以在多个数据和趋势分析之间进行清晰比较。态势感知（专业版）中，柱状图默认采用垂直柱子（即矩形块的宽度一定，高度代表数值大小）来展示数据。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”。 7. 选择“图表统计”页签，并在图表统计页面右侧的“图表类型”中单击。 8. 配置柱状图参数。 参数类别 参数名称 参数说明 基本配置 标题 自定义线图标题名称。 图表配置 X轴标题 自定义X轴标题名称。 图表配置 Y轴标题 自定义Y轴标题名称。 图表配置 X轴字段 选择X轴显示字段。 图表配置 Y轴字段 选择Y轴显示字段。 图例配置 显示图例 确认是否显示图例。 图例配置 图例位置 开启显示图例时须配置。 图例在图表中的位置，可以配置为上、下、左和右。 图表设置完成后，左侧可预览配置后的数据分析情况。

场景说明 应对业务弹性扩展与持续交付需求，通过模板一键式快速部署多套隔离且一致的应用环境。 场景痛点 环境搭建效率低下：业务扩展或新版本测试时，手动重复创建环境流程繁琐，无法快速响应需求。 环境一致性难以保证：人工操作易产生配置差异，导致开发、测试、预生产环境与生产环境不一致，引发部署风险。 产品优势 模板化一键复制 基于经过验证的模板，可在数分钟内快速复制出包括网络、计算、数据库在内的完整应用环境，效率远超人工搭建，实现对业务的快速响应。 高效资源调度与生命周期管理 提供强大的资源栈组管理能力，可对多套环境进行集中监控、批量操作和统一运维，显著提升管理效率，避免环境混乱。 资源复用与成本优化 支持快速创建与销毁环境，轻松应对临时性测试需求。结合价格预测与资源分析功能，实现按需取用，有效避免资源闲置，节约成本。 内嵌安全合规管控 在快速复制环境的同时，自动继承模板中预设的安全与合规配置（网络策略、权限规则等），确保每套新环境都“部署即合规”，有效管控多环境安全风险。

本节介绍了DDoS高防（边缘云版）的主要产品优势。 针对天翼云云内或云外用户业务，在遭受大流量 DDoS 攻击后，导致服务不可用时，都可以使用天翼云DDoS高防（边缘云版）服务。 与传统DDoS防护方案相比，天翼云DDoS高防（边缘云版）具有全场景支持、超强清洗能力、AI大数据协调、极简管理等优势，保障业务稳定、安全运行。 全场景支持 支持从网络层/传输层（L3/4）到应用层（L7）DDoS攻击的防护 支持IPv4/IPv6双栈协议 支持网站和非网站业务，覆盖金融、电商、游戏、政府等各类业务，充分满足用户不同业务的安全防护需求 依托天翼云攻防对抗实战经验，可为客户提供DDoS攻击演练服务，帮助用户提前发现内部潜在安全威胁，提升应急响应能力 超强清洗能力 海量边缘节点能力升级，防御总带宽超过12T 百G抗D节点支持大区粒度覆盖，根据攻击情况进行智能调度 分布式架构，减少单点故障概率，结合云原生、智能调度能力，实现资源动态扩容，有效应对业务突发和大流量攻击 根据用户需求进行规划资源，提供属地+三网的防护节点，就近接入，减少服务延迟，提高访问速度

本章节会介绍天翼云关系型数据库如何创建新实例。 操作场景 本节将介绍在关系型数据库服务的管理控制台创建实例的过程。 RDS for MySQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 步骤 1. 登录管理控制台。 步骤 2. 单击管理控制台左上角的，选择区域和项目。 步骤 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4. 在“实例管理”页面，单击“创建数据库实例”。 步骤 5. 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图1 创建数据库实例 计费模式 包年/包月 ： 若选择该模式，跳过步骤1，执行步骤2。 按需计费 ： 若选择该模式，继续执行步骤1。 表1 基本信息 参数 描述 :: 区域 租户当前所在区域，也可在页面左上角切换。 说明 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 MySQL。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： − 相同，主机和备机会部署在同一个可用区。 − 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 单机：采用单个数据库节点部署架构，与主流的主备实例相比，它只包含一个节点，但具有高性价比。适用于个人学习、微型网站以及中小企业的开发测试环境。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 表2 规格与存储 参数 描述 :: 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量90MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 数据库创建成功后可进行扩容。 表3 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 说明 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 表4 数据库配置 参数 描述 :: 管理员帐户 数据库的登录名默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入!@

本文介绍内外网隔离的适用场景和配置方法。 基本概念 内网：即局域网，是指在某一区域内由多台计算机互联成的计算机组。局域网内的IP是可以自定义分配管理，局域网是封闭型的，仅局域网内进行互联互通。 外网：即广域网，又称公网。是连接不同地区局域网或城域网计算机通信的远程网。公网的IP是固定分配的，一般不会随意变更，且公网IP是需要进行相关报备。 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 功能说明 可针对常用的互联网域名、ip设定黑白名单进行互联网行为控制，主要差异如下： 互联网流量白名单设置：适用于重保、企业安全要求等级较高的场景，需要牺牲一定的客户体验。设置需访问、且安全的域名或IP为白名单，连接内网时仅放行白名单内的互联网流量，其他均不可访问；断开内网才可访问互联网流量。 互联网流量黑名单设置：仅设置已识别到的攻击域名或IP，访问该域名或IP时进行阻断，比如企业内部已识别该域名为钓鱼网站，则可直接配置禁用。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP通过弹性云主机连接文档数据库实例。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务所属安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 安全性高，可实现DDS的较好性能。 公网连接 弹性IP 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于不同区域时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。

步骤二：开通服务 用户首次进入服务器安全卫士（原生版）控制台时，需要先开通服务。开通服务后，服务器默认处于“免费版”防护状态。 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 工作负载安全 > 服务器安全卫士（原生版）”，进入服务器安全卫士（原生版）产品详情页，选择“管理控制台”。 3. 进入服务器安全卫士（原生版）管理控制台后，弹出下方“服务开通申请”对话框。 4. 阅读《天翼云服务器安全卫士（原生版）服务协议》后，勾选“我已阅读并同意相关协议《天翼云服务器安全卫士（原生版）服务协议》”，单击“同意”，即可开通服务器安全卫士（原生版）服务。 步骤三：切换防护配额 将基础版配额切换至企业版、旗舰版。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 您可对需要防护的服务器进行“切换版本”。选择您需要切换版本的服务器，可进行单台服务器的配额版本切换，也可以选择多台服务器进行批量切换。 单台服务器切换版本 在服务器列表中找到您需要切换版本的服务器，单击操作列的“切换版本”，弹出切换版本窗口。选择配额版本和配额后，单击“确定”，完成版本切换。 批量切换版本 在服务器列表中勾选需要切换版本的服务器，单击列表上方的“批量切换版本”，弹出切换版本窗口。选择配额版本，单击“确定”，配额和服务器按照顺序一一匹配。 说明 批量切换版本时，服务器按照图中顺序与配额绑定，配额的绑定顺序按照到期时间从早到晚进行绑定。

本章介绍天翼云关系型数据库的产品有哪些使用约束和限制。 关系型数据库服务上的RDS for PostgreSQL在使用上有一些固定限制，用来提高实例的稳定性和安全性，具体详见下表。 功能 使用限制 :: 数据库访问 如果关系型数据库实例未开通公网访问，则该实例必须与弹性云主机处在同一个虚拟私有云内才能相互访问。 关系型数据库只读实例必须创建在与主实例相同的一个子网内。 弹性云主机必须处于目标关系型数据库实例所属安全组允许访问的范围内。 如果关系型数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在关系型数据库的安全组添加一条“入”的访问规则。 RDS for PostgreSQL实例的默认端口为5432，需用户手动修改端口号后，才能访问其他端口。 部署 实例所部署的弹性云主机，对用户都不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的root权限 创建实例页面只提供管理员root用户权限。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 搭建数据库复制 RDS for PostgreSQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备实例不对用户开放，用户应用不可直接访问。 重启RDS实例 无法通过命令行重启，必须通过关系型数据库服务的管理控制台操作重启实例。

专属云中的云容器引擎 场景特点：专属云容器引擎在天翼公有云中为企业用户提供物理隔离的资源和服务专属云空间。租户独占计算资源和存储资源，并使用天翼云高可靠的云网络，满足租户应用系统的高可靠、高性能和高安全等要求，支撑企业关键应用，减轻企业运维负担 场景优势： 专属隔离 租户在专属云中独享计算资源、存储资源和容器集群，与公有云其它租户的资源物理隔离，满足特殊行业核心数据隔离合规等要求 安全可靠 资源独占零抖动，服务专享高安全，可支持云上云下双中心、多点容灾备份 灵活组合 专属云中的云容器引擎支持与数据库、应用平台等服务实例对接，可灵活搭配公有云服务，实现资源弹性扩容

操作场景 本节操作介绍在Windows和Linux环境中使用SSH密码方式远程登录Linux云主机的操作步骤。 前提条件 Linux云主机状态处于“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 如果创建Linux云主机时登录方式设置的为密钥，请通过重置密码功能，设置Linux云主机的登录密码后执行本节操作。重置密码请参考：在控制台重置弹性云主机密码。 您所使用的SSH登录工具（例如PuTTY）已经正确配置，并且与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 本地使用Windows操作系统 如果本地主机为Windows操作系统，可以按照以下方式登录云主机。下面的步骤以PuTTY为例： 1. 您可通过官方途径下载PuTTY和PuTTYgen。 2. 运行PuTTY。 3. 在PuTTY的配置界面中，填写以下信息： Host Name (or IP address)：输入Linux云主机的弹性IP。 Port：输入 22。 Connection Type：选择 SSH。 Saved Sessions：为任务设置一个名称，以便下次使用PuTTY时可以直接打开该任务。 4. 单击"Window"，在"Translation"下的"Received data assumed to be in which character set:"选择"UTF8"。 5. 单击“Open”。如果首次登录服务器，PuTTY会显示安全警告对话框，询问是否接受服务器的安全证书。单击"是"将证书保存到本地注册表中。 6. 建立到Linux云主机的SSH连接后，根据提示输入用户名和密码登录云主机。

本文汇总了云等保专区各原子能力的常见应用场景，并提供详细的方案描述和操作指导。 原子能力名称 版本 最佳实践文档 主机安全 v1.0 主机勒索病毒有效防护 主机安全 v2.0 主机安全防护最佳实践 云上勒索病毒防护实践 弱口令安全最佳实践 漏洞扫描最佳实践 等级保护测评合规最佳实践 二类节点资产纳管最佳实践 Web应用防火墙 v1.0 Web应用防火墙高可用部署方案 Web应用防火墙 v2.0 WAF接入配置最佳实践 防护配置最佳实践 Web基础防护规则引擎配置最佳实践 CC攻击防护最佳实践 下一代防火墙 v1.0 下一代防火墙高可用部署方案 下一代防火墙 v2.0 IPv6切换方案 双向访问控制 SSL VPN远程拨入 堡垒机 v2.0 数据库运维实名审计 收敛资产运维暴露面 资产运维细粒度权限管控 数据库审计 v2.0 审计云上自建数据库 审计云数据库 日志审计 v2.0 程序定位日志采集异常 程序日志定位告警异常

本章节主要介绍新建MySQL连接。 前提条件 在创建数据连接前，请确保您已创建所要连接的数据湖（如DataArts Studio所支持的数据库、云服务等）。 1. 在创建DWS类型的数据连接前，您需要先在DWS服务中创建集群，并且具有KMS密钥的查看权限。 2. 在创建MRS HBase、MRS Hive、MRS Kafka、MRS Ranger、MRS Spark、MRS Presto类型的数据连接前，需确保您已创建MRS集群，并且在创建数据链接时已创建选择所需要的组件。 3. 在创建RDS类型的数据连接前，请确保您已创建RDS数据库实例。DataArts Studio平台目前仅支持RDS中的MySQL和PostgreSQL数据库引擎。 在创建数据连接前，请确保待连接的数据湖与DataArts Studio实例之间网络互通。 1. 如果数据湖为云下的数据库，则需要通过公网或者专线打通网络，确保数据源所在的主机可以访问公网，并且防火墙规则已开放连接端口。 2. 如果数据湖为云上服务（如DWS、MRS等），则网络互通需满足如下条件： ①DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。 ②DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档有关“添加路由信息”的章节，配置安全组规则请参见《虚拟私有云》帮助文档中有关“ 添加安全组规则”的章节。 ③此外，您还必须确保该云服务的实例与DataArts Studio工作空间所属的企业项目必须相同，如果不同，您需要修改工作空间的企业项目。

部署快捷，适配广泛 集成分布式算力调度、模型并行推理和多种运算加速能力，提升模型推理性能，实现推理服务的快捷部署。同时，适配多种模型结构，灵活支持用户各类复杂推理应用需求。 集成多种AI框架 集成多种AI框架，包括国产AI框架，支持各种主流大模型。 安全可信 符合数据监管要求，不设置数据埋点，不收集存储用户的入参和出参数据，从根本上保证了用户的数据隐私安全。 卓越的客户服务 31省本地化的销售网络体系，提供“家门口”的精细化客户服务。724小时的免费运维服务，全力保障客户业务稳定运行。

本小节介绍云下一代防火墙配置登录方式指导。 云下一代防火墙需要云主机承载，如需正常被外网访问，需在安全组下放行云下一代防火墙web登录访问端口。 注意 图例安全组做了any放行，后期具体配置还请根据业务需求做端口放行，不建议开启any。 打开浏览器，地址栏输入 说明 该用户名密码与后台登录用户名密码一致。 初始用户名密码请提交工单咨询。

如果您需要在弹性云主机的Linux实例上手工搭建LNMP平台的web环境,可以参考本文内容。 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境。该指导具体操作以CentOS 7.2 64位操作系统为例。 操作流程 安装nginx。 安装MySQL。 安装PHP。 浏览器访问测试。 前提条件 弹性云主机已绑定弹性IP。 弹性云主机所在安全组添加了如下表所示的安全组规则，具体步骤参见为安全组添加安全组规则。 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 操作步骤 安装nginx。 1. 登录弹性云主机。 2. 执行以下命令，下载对应当前系统版本的nginx包。 plaintext wget 3. 执行以下命令，建立nginx的yum仓库。 plaintext rpm ivh nginxreleasecentos70.el7.ngx.noarch.rpm 4. 执行以下命令，安装nginx。 plaintext yum y install nginx 5. 执行以下命令，启动nginx并设置开机启动。 plaintext systemctl start nginx systemctl enable nginx 6. 使用浏览器访问 “

本节介绍如何查看探测状态。 “探测状态”是指安全产品数据上报到SA的状态。通过查看探测状态，您可以判断是否正常上报当前产品数据。 探测状态说明 状态 说明 探测正常 表示一个小时内，数据接口被调用次数大于等于8次，接口连通性正常，“探测状态”检测正常，正常上报当前产品数据。 启用产品集成后一个小时内，默认探测状态为正常。 探测异常 表示一个小时内，数据接口被调用次数大于0次小于8次，接口连通性异常，“探测状态”检测异常，不能正常上报当前产品数据。 停止探测 表示已停止上报当前产品数据。 从未探测 表示从未上报当前产品数据。 说明 探测正常状态判断原则：启用产品集成上报数据后，产品可每5分钟调用一次探测接口确认连通性。通过记录产品调用数据接口次数，判断探测健康状态。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 安全产品集成”，进入产品集成管理页面。 3. 在探测状态中，选择目标状态，即可呈现该状态的全部产品。 4. 在产品介绍栏，即可查看从该产品接收的数据量，以及该产品探测状态。

本文主要介绍 API&kubectl类问题。 一、通过kubectl连接集群时，其配置文件config如何下载？ 步骤 1 登录CCE控制台，单击需要连接的集群名称，进入“集群信息”页面。 步骤 1 在“连接信息”版块中查看kubectl的连接方式。 步骤 3 在弹出的窗口中可以下载kubectl配置文件kubeconfig.json。 下载kubeconfig.json 二、 kubectl top node命令为何报错 故障现象 执行kubectl top node命令报错Error from server (ServiceUnavailable): the server is currently unable to handle the request (get nodes.metrics.k8s.io) 可能原因 执行kubectl时出现Error from server (ServiceUnavailable)时，表示未能连接到集群，需要检查kubectl到集群Master节点的网络是否能够连通。 解决方法 如果是在集群外部执行kubectl，请检查集群是否绑定公网IP，如已绑定，请重新下载kubeconfig文件配置，然后重新执行kubectl命令。 如果是在集群内节点上执行kubectl，请检查节点的安全组，是否放通Node节点与Master节点TCP/UDP互访，安全组的详细说明请参集群安全组规则配置