本节介绍了巡检评分的相关内容。 巡检评分 数据管理服务支持对目标数据库实例进行巡检评分，您可以选择巡检时间段，手动发起巡检评分，及时了解数据库实例的运行情况。 本章节主要介绍如何在数据管理服务控制台进行巡检评分的操作。 使用须知 目前仅RDS for MySQL实例支持该功能。 数据管理服务支持的评分规则请参见评分规则。 前提条件 已成功登录目标RDS for MySQL实例，并且实例运行状态正常。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 单击页面左上角的 ，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 步骤 4 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 步骤 5 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 步骤 6 选择所需实例，单击“详情”，进入“实例概览”页面。 步骤 7 单击“日报”，进入日报页面。 步骤 8 单击右上角“发起诊断”，选择需要进行诊断的起止时间。时间跨度不能超过一天。 步骤 9 单击“确定”。 步骤 10 待诊断完成后，在巡检评分区域查看巡检评分的结果。 还可以单击操作列的“扣分详情”，查看具体扣分的项目和所扣分数。 结束

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

查看NPD事件 NPD上报的事件可以在节点管理页面查询。 步骤 1 登录CCE控制台。 步骤 2 单击集群名称进入集群，在左侧选择“节点管理”。 步骤 3 在节点所在行，单击“事件”，可查看节点相关事件。 查看节点事件 如下所示，当有事件上报可以查询。 AOM告警配置 针对NPD状态类检查项，您可以通过配置AOM（应用运维管理服务），以将异常状态转换为AOM告警，并通过短信、邮箱等方式通知到您。 步骤 1 登录AOM控制台。 步骤 2 在左侧导航栏选择“告警 > 告警规则”，在右上角单击“添加告警”。 步骤 3 设置告警规则。 规则类型：选择阈值类告警。 监控对象：选择命令行输入 命令行输入框： sum(problemgauge{clusterName"test"}) by (podIP,type) 告警条件：选择触发条件在1个监控周期内，如果平均值>1达到连续1次时，产生重要告警。 告警通知（可选）：若需要将告警通过邮件、手机方式通知您，可在告警通知处，为此告警规则配置行动规则。若此处无行动规则，请新建告警行动规则。

本文主要介绍 新建Pod检查。 检查内容 检查集群升级后，存量节点是否能新建Pod。 检查集群升级后，新建节点是否能新建Pod。 检查步骤 基于新建节点检查创建了新节点后，通过创建daemonset类型工作负载，在每个节点上创建Pod。 请登录CCE控制台，前往“资源>工作负载>守护进程集”，单击右上角“创建负载”或“YAML创建”。 建议您使用日常测试的镜像作为基础镜像。您可参照如下yaml部署最小应用Pod。 说明 该测试YAML将DaemonSet部署在default命名空间下，使用ngxin:perl为基础镜像，申请10m CPU，10Mi内存，限制100m CPU 50Mi内存。 apiVersion: apps/v1 kind: DaemonSet metadata: name: postupgradecheck namespace: default spec: selector: matchLabels: app: postupgradecheck version: v1 template: metadata: labels: app: postupgradecheck version: v1 spec: containers: name: container1 image: nginx:perl imagePullPolicy: IfNotPresent resources: requests: cpu: 10m memory: 10Mi limits: cpu: 100m memory: 50Mi 负载创建完毕后请检查该工作负载的Pod状态是否正常。 检查完毕后请登录CCE控制台，前往“资源>工作负载>守护进程集”，选择“postupgradecheck”工作负载并单击“更多>删除”删除该测试用工作负载。

同步数据源 在您新增数据源/目标后，需要对数据源进行同步操作，才可将相关数据同步至数据脱敏实例中。 1.使用系统管理员账号登录数据脱敏实例。 2.在左侧目标栏选择“数据资产管理 > 数据源/目标”，进入“数据源/目标”管理页面。 3.选择需要同步的数据源，可单击页面右上角的“全量同步”按钮，进行数据源同步操作；针对已经同步过数据的数据源，可单击“增量同步”按钮，对新增的数据进行同步。 4.开始同步后，您可以根据“最近同步进度”列查看数据源的同步进度，同步进度达到100%后，可在最近同步状态查看同步成功情况。 若显示“成功”则表示同步已完成。 若显示“失败”，您可将光标移动至上查看失败原因。 数据资产管理 1.使用系统管理员账号登录数据脱敏实例。 2.在左侧目标栏选择“数据资产管理 > 数据资产目录”，进入“数据资产目录”管理页面。 3.选择需要查看详情的数据资产，可单击“操作”列的“详情”按钮，进入详情页面。 4.可选择“操作”列的“敏感标签编辑”对数据资产的敏感字段进行编辑。

第三方软件目录 服务范围：示例 非服务范围：示例 SSH 通过SSH无法连接云主机、远程连接端口号修改 SSH的文件传输、隧道代理、远程执行命令、端口转发和SSH代理、安全加固功能 Windows mstsc远程连接 通过mstsc无法远程连接、远程连接端口号修改 资源共享和多人远程连接 SFTP SFTP无法启动，使用系统账号登录的配置方法 SFTP的用户配置以及用户访问权配置等，传输速度优化 FTP FTP无法启动，使用系统账号登录的配置方法 FTP服务安全加固，传输速度优化 Apache 端口无法监听以及网站无法访问 Apache的优化配置 IIS IIS启动后访问报错，网站无法访问，如403错误、404错误 托管和管理各种类型的 Web 应用程序和服务、脚本语言语法支持、配置优化 Nginx Nginx端口无法监听、网站无法访问 Nginx调优、代理转发 MySQL与Microsoft SQL Server MySQL以及SQL Server监听内网端口修改 MySQL以及SQL Server的SQL语句优化以及配置 Linux IPtables与Windows Firewall IPtables基本策略语法指导，如filter表的accept以及drop指导、nat以及端口转发以及windows firewall的关闭开启，入方向以及出方向基础规则 基于IPtables的负载均衡、链接追踪、限速、代理以及高级安全设置 Network以及NetworkManager 公共镜像的网卡获取IP异常、静态IP/动态IP配置 虚拟IP、bond、网卡策略的配置

当绑定的服务器或磁盘不再需要备份时，可以从存储库中解绑。资源从存储库中解绑后，将不再按照该存储库的策略执行自动备份，且系统将彻底删除资源产生的自动备份和手动备份，删除后将无法用于数据恢复，请谨慎操作。 当绑定的资源不再需要备份时，可以从存储库中解绑。 资源从存储库中解绑后，将不再按照该存储库的策略执行自动备份，且系统将彻底删除资源产生的自动备份和手动备份，删除后将无法用于数据恢复，请谨慎操作。 解绑资源时，对解绑资源的业务无任何性能影响。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 在任一备份页面，找到目标存储库，单击目标存储库名称。 3. 以解绑服务器为例。选择“绑定的服务器”页签。找到目标服务器，单击“解绑”。如下图所示。 图 解绑服务器 4. 确认信息无误后，单击“确定”。

前提条件 对于Windows弹性云主机，在线卸载云硬盘前，请确保没有程序正在对该云硬盘进行读写操作。否则，将造成数据丢失。 对于Linux弹性云主机，在线卸载云硬盘前，客户需要先登录弹性云主机，执行umount命令，取消待卸载云硬盘与文件系统之间的关联，并确保没有程序正在对该云硬盘进行读写操作。否则，卸载云硬盘将失败。 卸载非共享云硬盘 1、登录管理控制台。 2、选择“存储 > 云硬盘”。 进入“云硬盘”页面。 3、卸载云硬盘之前是否要先查看云硬盘挂载的云主机信息。 1.是，执行以下操作。 a.在云硬盘列表中，单击待卸载的云硬盘名称。进入云硬盘详情页面。 b.在“云主机”页签下，您可以查看当前云硬盘挂载的云主机。 c.勾选选择云主机，单击“卸载”。弹出“卸载”对话框。 d.单击“确定”，卸载云硬盘。 2.否，执行以下操作。 a.在云硬盘列表中，单击待卸载云硬盘所在行“操作”列下的“更多卸载”。弹出“卸载”对话框。b. 单击“确定”，卸载云硬盘。 返回云硬盘列表，此时云硬盘状态为“正在卸载”，表示云硬盘处于正在从云主机卸载的过程中。 当云硬盘状态为“可用”时，表示卸载成功。

Web应用防火墙主要包括4大类应用场景，本小节介绍Web应用防火墙应用场景。 政企教育医卫行业场景 场景特点 政企行业、教育行业和医卫行业，包括门户网站作为提供给互联网用户获取信息服务的重要渠道，多面临网页被篡改、网页挂马、跨站攻击、SQL注入攻击等安全威胁，同时也面临上级单位和测评机构的监管压力，一旦发生安全事件，将严重影响其形象和公信力。 能解决的问题 政企类用户经常遭受来自境外地区的各类SQL注入等类型攻击，通过WAF可以制定针对指定境外地区直接进行封禁，阻断所有来自风险地区的访问请求，以及WAF可以根据内置的策略等级模式将安全性要求较高的业务重点保障，有效将99%的攻击自动进行禁封。 金融行业场景 场景特点 金融行业面临注入、跨站等多种安全问题，导致用户账号密码泄露，危及用户资金财产安全，进而严重影响企业的形象并承受经济损失。 能解决的问题 网站遭遇大量Web暴力破解请求企图获取平台登录信息，若被获取登录信息后将进一步被攻击者进行渗透，部署WAF后可通过WAF内置CC策略以及暴力破解特征库自动阻断该类型请求并发送告警至自服务平台，大大增加了网站的安全等级，并且可以主动发现并进行禁封或进行攻击溯源。

本章节介绍如何导出数据库实例。 操作场景 您可以导出实例列表（所有实例或根据一定条件筛选出来的目标实例），查看并分析实例信息。 导出所有实例 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例列表右上角，默认选择所有的数据库实例，在导出弹框勾选所需导出信息，单击“导出”。 步骤 5 导出任务执行完成后，您可在本地查看到一个“.csv”文件。 导出筛选的目标实例 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，根据引擎类型、实例名称、实例ID、实例内网地址、实例标签等条件，筛选实例，或勾选需要导出的实例，单击实例列表右上角，在导出弹框勾选所需导出信息，单击“导出”。 步骤 5 导出任务执行完成后，您可在本地查看到一个“.csv”文件。

操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏选择“智能DBA助手 > 实时诊断”。 步骤 6 选择“锁&事务”页签，输入管理员密码登录实例。 步骤 7 在“锁&事务”页签，可以进行如下操作。 在“元数据锁”页签，支持创建锁分析，查看当前数据库是否有元数据锁。 说明 默认显示锁等待时间>10s的锁个数，可自定义锁等待时间。 在“Innodb锁等待”页签，支持创建锁分析，查看当前数据库是否存在锁等待。 说明 默认显示锁等待时间>10s的锁个数，可自定义锁等待时间。 在“最近死锁分析”页签，支持创建锁分析，基于SHOW ENGINE INNODB STATUS返回的最近一次死锁日志进行分析。如果发生过多次死锁，只会对最近一次死锁进行分析。 说明 仅支持查看最近7天创建的锁分析数据。 在“全量死锁分析”页签，打开全量死锁分析开关，定时对错误日志进行分析，解析其中的死锁信息，并进行全面的死锁分析。 说明 仅支持查看最近7天创建的锁分析数据。 结束

弹性文件服务可在计算服务重启时自动挂载,本文帮助您了解弹性文件服务自动挂载的操作步骤。 操作场景 为避免已挂载文件系统的计算服务重启后，文件系统挂载信息丢失，可以在计算服务中设置重启后进行自动挂载。本文以云主机为例说明。 前提条件 文件系统已挂载至云主机，挂载具体操作步骤参见挂载NFS文件系统到弹性云主机 (Linux)。 操作步骤 不同操作系统的设置步骤不同，请根据您的操作系统参考以下步骤进行设置。 CentOS或CTyunOS系统 1. 以root用户登录云主机，具体操作请参考登录Linux弹性云主机弹性云主机快速入门。 2. 执行 vi /etc/rc.d/rc.local 编辑rc.local文件，在文件末尾新增挂载信息，挂载地址可在文件系统详情页获取。配置完成后，单击“Esc”键，并输入 :wq，保存文件并退出。配置样例如下： sleep 10s && sudo mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 3. 执行 chmod +x /etc/rc.d/rc.local 。 4. 完成上述配置后，当云主机重启后，系统会等待10s后自动挂载。 Ubuntu系统 1. 以root用户登录云主机，手动拷贝rclocal服务。 cp /usr/lib/systemd/system/rclocal.service /etc/systemd/system/ 2. 在rclocal.service中增加依赖项，防止自启动告警。打开文件 vi /lib/systemd/system/rclocal.service，增加如下内容： [Install] WantedBymultiuser.target Aliasrclocal.service 3. 在rc.local中编写自启动挂载指令。执行 vi /etc/rc.local打开文件，在文件添加以下内容。第二行为文件系统挂载命令，挂载地址在文件系统详情页获取，在文件系统详情页选择挂载地址点击复制即可，本地挂载路径为云主机上用于挂载文件系统的本地路径，例如“/mnt/sfs”。 !/bin/bash mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 4. 设置权限和开机自启动。 chmod +x /etc/rc.local systemctl start rclocal systemctl status rclocal systemctl enable rclocal 设置成功后如下图：

本节介绍了创建用户并授权使用RDS的相关内容。 如果您需要对您所拥有的RDS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用RDS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将RDS资源委托给更专业、高效的其他账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用RDS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的RDS系统策略，并结合实际需求进行选择。RDS支持的系统权限，请参见：权限管理。 示例流程 图 给用户授权RDS权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予关系型数据库只读权限“RDS ReadOnlyAccess”。 说明 如果需要使用到对接其他服务的一些功能时，除了需要配置“RDS ReadOnlyAccess”权限外，还需要配置对应服务的权限。 例如：使用控制台连接实例时，除了需要配置“RDS ReadOnlyAccess”权限外，您还需要配置数据管理服务“DAS FullAccess”权限后，才可正常使用控制台登录数据库实例。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： − 在“服务列表”中选择云数据库 RDS，进入RDS主界面，单击右上角“购买关系型数据库”，尝试购买关系型数据库，如果无法购买关系型数据库（假设当前权限仅包含RDS ReadOnlyAccess），表示“RDS ReadOnlyAccess”已生效。 − 在“服务列表”中选择除云数据库 RDS外（假设当前策略仅包含RDS ReadOnlyAccess）的任一服务，若提示权限不足，表示“RDS ReadOnlyAccess”已生效。

本章介绍通过公网使用弹性云主机连接云数据库GaussDB 实例。 准备工作 云数据库GaussDB 提供gsql工具帮助您在命令行下连接数据库，您需要提前创建一台弹性云主机用于安装gsql工具。具体请参见《弹性云主机用户指南》。 须知 操作系统需要选择Euler操作系统。gsql支持的操作系统版本如下： X86：EulerOS V2.0SP5。 绑定弹性公网IP 如果您想要通过公网访问数据库实例，那么您需要为数据库实例绑定弹性公网IP，具体操作请参考绑定和解绑弹性公网IP。 设置安全组规则 在访问数据库前，您需要将访问数据库的IP地址，或者IP段加入安全组入方向的访问规则，操作请参见设置安全组规则。 远程连接数据库 步骤 1 登录申请的弹性云主机。 步骤 2 在申请的弹性云主机上，上传客户端工具包并配置gsql的执行环境变量。 1. 以root用户登录客户端机器。 2. 创建“/tmp/tools”目录。 mkdir /tmp/tools 3. 获取GaussDB软件包并解压。 unzip GaussDBopengaussclienttools.zip 4. 根据申请的弹性云主机的操作系统架构进入不同目录，获取“GaussDBKernelxxxEULER64bitgsql.tar.gz”，并上传到申请的弹性云主机“/tmp/tools”路径下。 说明 软件包相对位置为安装时所放位置，根据实际情况填写。 5. 解压文件。 cd /tmp/tools tar zxvf GaussDBKernelV500R001C00EULER64bitgsql.tar.gz 6. 设置环境变量。 打开“~/.bashrc”文件。 vi ~/.bashrc 在其中输入如下内容后，单击“ESC”退出编辑模式，使用“:wq!”命令保存并退出。 export PATH/tmp/tools/bin:$PATH export LDLIBRARYPATH/tmp/tools/lib:$LDLIBRARYPATH 使环境变量配置生效。 source ~/.bashrc 步骤 2 执行如下指令，根据提示输入密码，连接数据库。 数据库创建成功后，会默认生成名称为postgres的数据库，此处以postgres库为例。 gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: postgres为需要连接的数据库名称，10.0.0.0为实例绑定的公网IP地址，root为登录数据库的用户名，8000为实例的端口号。

查看并处理Access Key泄露检测事件的方式方法 数据安全中心DSC可以检测git代码库中包含访问密钥ID（AK）和秘密访问密钥（SK）的访问密钥泄露，并将检测结果在列表中展示。您可根据需要对异常事件进行查看和处理。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > Access Key泄漏检测”，进入“Access Key泄露检测”页面。 Access Key泄露检测参数列表： 参数名称 参数说明 Access Key ID 访问密钥ID。 可单击“去Access Key管理”，管理（创建、编辑、启用/停用、删除）访问密钥。 情报来源 该Access Key泄露检测事件的来源。如github。 受影响账户 该Access Key泄露检测事件可能会影响到的帐户。 泄露类型 Accesskey 首次发现时间 首次爬取到该泄露事件的时间。 处理状态 根据事件详情对事件进行判断和处理后，有以下状态： 待处理：还未处理。 已处理（已手动删除）：已登录GitHub手动删除/隐藏已泄露的Access Key及相关内容。 已处理（已手动禁用）：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 已处理（加入白名单）：该事件加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警，请慎重选择。 4. 在目标事件的“操作”列，单击“查看”，可查看“Access Key泄露详情”、“代码片段”、“相关推荐”。 5. 可根据事件的推荐策略，对事件进行处理。并在目标事件的“操作”列，单击“处理”。 6. 在弹出的对话框，选择“处理方式”，并单击“确定”。 处理方式为： 手动删除：已登录GitHub手动删除或隐藏已泄露的Access Key及相关内容。 禁用Access Key：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 加入白名单：该事件不存在风险，不进行处理，加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警。

本节主要介绍购买混合集群。 您可以通过云容器引擎控制台非常方便快速的创建Kubernetes集群。Kubernetes是大规模容器集群管理软件，一个集群可以管理一组节点资源。 CCE集群支持虚拟机与裸金属服务器混合、支持GPU等异构节点的混合部署，基于高性能网络模型提供全方位、多场景、安全稳定的容器运行环境，您可以通过购买节点实现多种场景的混合部署。 前提条件 创建首个集群前，您必须先确保已存在虚拟私有云，否则无法创建集群。若您已有虚拟私有云，可重复使用，无需重复创建。 虚拟私有云为CCE集群提供一个隔离的、用户自主配置和管理的虚拟网络环境。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 若使用密码登录节点，请跳过此操作。 创建集群前，请提前规划好容器网段和服务网段。网段参数在集群创建后不可更改，需要重新创建集群才能调整，请谨慎选择。 创建集群须知 创建集群过程中会同步创建一些基础资源，列表如下： 资源名称 描述 控制节点及其相关资源 存在于云容器引擎资源租户下，用户不可见。 弹性云主机（可选创建） 集群节点，即用户的计算资源，对应“弹性云主机”中的ECS。 ECS命名规则为：集群名称随机数，可自定义，批量创建时会再加一串随机数。 安全组 集群会创建两个安全组，一个用于管理集群控制节点的安全组，一个用于管理集群工作节点的安全组。 警告 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 1. 控制节点安全组 命名规则：集群名称ccecontrol随机数 作用： 出方向允许。 其他节点访问控制节点kubernetes相关服务。 2. 工作节点安全组 命名规则：集群名称ccenode随机数 作用： 出方向允许。 开放linux或windows远程登录（22、3389）。 kubernetes组件之间访问使用（4789、10250）。 kubernetes用于对外开放的端口（3000032767）。 相同安全组之间可以互相访问。 磁盘（可选创建） 分别给各个节点创建两个磁盘，一个是节点的系统盘，一个是给docker运行使用的数据盘。 弹性IP（可选创建） 需用户选择，给节点绑定弹性IP ，可以使节点访问外网。

策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √

修改用户 1. 登录DWS管理控制台，在左侧导航栏中，选择“集群 > 专属集群”。 2. 在集群列表中，单击指定集群的名称，进入“集群详情”页面。 3. 在左侧导航栏中，单击“用户管理”，进入用户管理页面。 4. 在用户列表中选择其中一个用户，单击“修改”按钮，跳转导修改用户详情页面。 5. 修改用户信息，确认无误后单击“下一步”。 6. 角色配置，选择需要对该用户授权的角色，单击“下一步”。 7. 权限配置，选择权限类型后，可单击所在行“修改”操作按钮对权限进行添加或移除。 8. 授权完毕，单击“保存”完成修改。 删除用户 前提条件 先确认是否存在未删除的表等数据库对象依赖关系，如果有的话请先删除关系，否则用户将删除失败。 操作步骤 1. 登录DWS管理控制台，在左侧导航栏中，选择“集群 > 专属集群”。 2. 在集群列表中，单击指定集群的名称，进入“集群详情”页面。 3. 在左侧导航栏中，单击“用户管理”，进入用户管理页面。 4. 在用户列表中选择其中一个用户，单击“删除”按钮，弹出确认页面。 5. 确认无误后，单击“确定”删除用户。 角色管理 创建角色 1. 登录DWS管理控制台，在左侧导航栏中，选择“集群 > 专属集群”。 2. 在集群列表中，单击指定集群的名称，进入“集群详情”页面。 3. 在左侧导航栏中，单击“用户管理”，进入用户管理页面。 4. 切换至“角色列表”页签，单击“创建角色”按钮，跳转至创建角色详情页面。 5. 完善常规配置角色信息，参数描述如下所示： 角色信息常规配置参数信息 参数名称 描述 样例值 角色名称 以字母开头，可以包含字母、数字、下划线，长度不超过63个字符。 dwsdemo 到期时间 设置该角色权限的到期时间。 系统管理员 表示该角色是否拥有系统管理员权限。 创建数据库 表示该角色是否有创建数据库权限。 创建角色 表示该角色是否有创建用户、角色权限。 继承权限 表示该角色是否“继承”它所在组的角色的权限。默认打开，不推荐修改。 6. 确认无误后，单击“下一步”。 7. 权限配置，配置该角色拥有的权限。 单击“添加”，添加一条权限配置，选择数据库对象类型以及对应的数据库对象。然后选择权限进行授权。 8. 授权完毕，单击“立即创建”。完成角色创建。

本节介绍如何创建边缘裸金属实例。 创建边缘裸金属注意事项 裸金属资源池需独立规划部署，创建边缘裸金属资源前请与您的客户经理联系确认资源池实际库存量。 由于边缘裸金属的资源特性及安全要求，部分资源配置功能需要运营运维人员处理，请在创建前联系您的客户经理，我们将为您的资源创建提供一对一专人服务。 创建资源时，请注意保存您设置的登录密码。创建完成后，账号密码仅会通过注册账号邮箱下发一次，收到邮件后即可远程登录，请注意妥善保存，防止密码泄露。 基于安全考虑，部分装机镜像默认开启系统防火墙，如您无法建立远程连接，可以联系您的客户经理，并提供您用于远程连接的本地资源IP地址，由运营运维人员帮您修改系统防火墙配置，即可继续访问。 操作步骤 1. 登录ECX控制台。 2. 单击左侧导航栏【边缘裸金属>裸金属服务器】，再点击右上角【+购买裸金属服务器】可进入创建裸金属实例页面。 3. 选择付费方式，支持包年包月以及按需付费两种方式。 4. 选择区域集群。 5. 选择实例规格，根据选中的集群不同，实例规格库存不同，请以页面展示为准。 6. 选择需要安装的操作系统并配置账号密码，目前操作系统支持公有镜像和自定义镜像。 7. 选择是否出网，如是，则默认创建双Bond网卡，自动分配出网网卡与内网网卡，内网网卡需指定VPC，如否，则默认创建全bond网卡，需指定VPC。 或 8. 带宽支持【新增独享带宽】、【新增共享带宽】以及【加入已有共享带宽】，其中，若选择新增共享带宽，在该资源开通后，后续裸金属开通可选择加入该共享带宽。 9. 带宽计费方式与实例付费方式关联，若实例付费方式选择【包年包月】，则带宽计费方式仅可选择“包年包月”；若实例付费方式选择【按需计费】，则带宽计费方式可选择“按使用流量”。 10. 设置公网带宽上限。 11. 确认配置并单击【下一步：确认下单】。

问题现象 当用户通过VNC方式登录Linux系统云主机时，界面可能出现乱码（如下图所示），您可以通过执行以下操作处理该故障。 可能原因 查看的文件过大或物理按键被意外持续按住。 处理方法 方法一： 检查是否有物理按键下按情况，包括Ctrl、Alt、Shift按键，用户可尝试按下该按键进行调整。 方法二： 初始化终端界面，刷新当前终端屏幕，在命令行，执行以下命令。 plaintext reset 若以上方法均无法解决问题，请联系工单进行处理。

问题现象 当用户通过VNC方式登录Linux系统云主机时，界面可能出现乱码（如下图所示），您可以通过执行以下操作处理该故障。 可能原因 查看的文件过大或物理按键被意外持续按住。 处理方法 方法一： 检查是否有物理按键下按情况，包括Ctrl、Alt、Shift按键，用户可尝试按下该按键进行调整。 方法二： 初始化终端界面，刷新当前终端屏幕，在命令行，执行以下命令。 plaintext reset 若以上方法均无法解决问题，请联系工单进行处理。

本节介绍了续订企业版实例的用户指南。 1. 登录容器镜像服务控制台 。 2. 点击企业版实例的续订按钮。 3. 在续订页面选择续订时长。 4. 点击立即订购完成续订。

本节主要介绍重建实例。 在回收站保留期限内的实例可以通过重建实例恢复数据。 登录云数据库GeminiDB控制台。 在“回收站”页面，在实例列表中找到需要恢复的目标实例，单击操作列的“重建”。 在“重建新实例”页面，选填配置后，提交重建任务。

前提条件 已申请DRDS实例和带只读实例的数据节点。 已经创建好逻辑库。 操作步骤 1、登录分布式关系型数据库控制台。 2、单击目标实例名称，进入实例基本信息页面。 3、在左侧导航栏，单击“DN管理”页签。 4、开启读写分离。 5、设置读写权重。

批量导出防护规则操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 单击“下载模板”，下载导入规则模板到本地。 5. 单击“导出规则”，导出规则到本地。

本文主要介绍使用Mac远程连接Windows云主机报错:证书或相关链无效怎么处理。 问题描述 使用Mac版Microsoft Remote Desktop工具，远程连接Windows云主机。 图 Mac版Microsoft Remote Desktop工具 由于Mac系统的特殊性，在使用Mac系统远程登录Windows云主机时，需要在Mac端和Windows云主机内部执行相关配置，才能远程连接成功。使用Mac远程连接时，出现报错“证书或相关链无效”。 图 证书或相关链无效 可能原因 云主机策略组设置的问题。 操作步骤 1.在本地主机左上角的菜单栏选择“RDC > 首选项”打开Microsoft Remote Desktop的偏好设置。 图 选择首选项 2.选择“安全性”，并修改参数配置。 图 选择安全性 3.再次远程连接Windows云主机，如果仍出现报错“证书或相关链无效”，请执行4。 4.使用控制台提供的远程连接功能（VNC方式）登录Windows云主机。 5.按快捷键“Win+R”打开“运行”窗口。 6.输入“gpedit.msc”，进入“本地组策略编辑器”。 7.在左侧导航栏，选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 安全”。 图 远程桌面会话主机 8.根据界面提示，修改如下两项配置： −启用“远程（RDP）连接要求使用指定的安全层”。 图 远程（RDP）连接要求使用指定的安全层 −禁用“要求使用网络级别的身份验证对远程连接的用户进行身份验证”。 图 远程连接身份认证 9.关闭组策略编辑器，然后重启云主机。

修改Windows系统实例默认远程端口，以Windows Server 2012数据中心版为例。 操作步骤 1. 登录控制中心，进入轻量型云主机列表页面。 2. 通过控制台VNC远程登录待修改端口的Windows轻量型云主机实例。 3. 修改注册表子项PortNumber的值。 4. 右键单击Windows 徽标键，选择运行，启动运行窗口。 5. 在运行窗口的文本框内输入regedit.exe后按回车键，打开注册表编辑器。 6. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 7. 在列表中找到注册表子项PortNumber并右键单击，选择修改，进入修改窗口。 8. 在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击“确定”。 9. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 10. 在右侧列表中找到注册表子项PortNumber并右键单击，选择修改（可以使用键盘方向键向下寻找）。 11. 在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击确定。 12. 在轻量型云主机管理控制台中将此台云主机进行重启。 13. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 14. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。

本文介绍如何使用花卷慧办创建同步任务,将钉钉的组织机构数据同步至花卷慧办平台。 功能介绍 钉钉是一款多端沟通和协同平台，在花卷慧办配置钉钉同步任务并开启钉钉服务商的企业登录，即可实现将钉钉中的用户和组织信息同步至花卷慧办，通过花卷慧办进行认证管理帮助用户实现登录功能。 本文介绍如何创建钉钉同步任务。 前置条件 请提前开通钉钉企业管理员权限，如未开通，请先开通后操作。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可联系我们进行开启。 操作步骤 管理员创建钉钉应用 1. 创建应用 访问钉钉开放平台，在应用开发钉钉应用界面中创建应用。 应用创建完成后，在应用详情中的凭证与基础信息界面，查看并记录下App ID、Client ID和 Client Secret用于后续创建同步任务。

本文介绍如何使用边缘安全加速平台实现终端管理。 产品介绍 边缘安全加速平台提供终端安全管理能力，通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 快速入门 注意 场景一：订购零信任企业版服务后，参考 场景二：仅订购终端管理套餐时，按照下文的描述即可接入。如需使用终端管理能力，在终端管理控制台进行配置。 进入终端管理控制台 登录边缘安全加速平台，在首页全部产品栏目，选择【终端管理】，进入产品配置页。 第一步：管理员设置企业认证标识 首次订购终端管理，需要设置企业认证标识。企业认证标识是客户端登录的重要凭据，为了方便使用，可把企业名称设置为企业认证标识。企业认证标识暂不支持在控制台修改，若有需要可提交工单进行配置。

更新浏览器沙箱模板 更新浏览器沙箱模板和创建浏览器沙箱模板最主要的区别在于模板名称，网络配置和内置环境变量配置是不可修改的，其余都相同，这里就不再赘述了。 浏览器沙箱调试 前置操作 1. 登录智能体引擎控制台。 2. 左侧导航沙箱菜单下，创建浏览器沙箱模板。 3. 进入浏览器沙箱模板后，创建浏览器沙箱实例。沙箱实例列表操作列点击调试，进入浏览器沙箱实例调试页面。 执行CDP指令 操作步骤 1. 在选择执行命令 下拉列表中选择导航到 URL。 2. 在命令参数中输入目标 URL （比如 3. 点击执行命令，查看右侧VNC窗口中的浏览器变化。 录制回放 前置操作 1. 登录智能体引擎控制台。 2. 左侧导航沙箱菜单下，创建浏览器沙箱模板。 3. 进入浏览器沙箱模板后，创建浏览器沙箱实例。沙箱实例列表操作列点击调试，进入浏览器沙箱实例调试页面。 录制 操作步骤 1. 在调试页面打开录制按钮。 2. 执行CDP指令操作。 3. 关闭录制按钮。 4. 在录制回放页面中查看录制数据，并可以对录制结果进行下载 或者删除操作。

更新浏览器沙箱模板 更新浏览器沙箱模板和创建浏览器沙箱模板最主要的区别在于模板名称，网络配置和内置环境变量配置是不可修改的，其余都相同，这里就不再赘述了。 浏览器沙箱调试 前置操作 1. 登录智能体引擎控制台。 2. 左侧导航沙箱菜单下，创建浏览器沙箱模板。 3. 进入浏览器沙箱模板后，创建浏览器沙箱实例。沙箱实例列表操作列点击调试，进入浏览器沙箱实例调试页面。 执行CDP指令 操作步骤 1. 在选择执行命令 下拉列表中选择导航到 URL。 2. 在命令参数中输入目标 URL （比如 3. 点击执行命令，查看右侧VNC窗口中的浏览器变化。 录制回放 前置操作 1. 登录智能体引擎控制台。 2. 左侧导航沙箱菜单下，创建浏览器沙箱模板。 3. 进入浏览器沙箱模板后，创建浏览器沙箱实例。沙箱实例列表操作列点击调试，进入浏览器沙箱实例调试页面。 录制 操作步骤 1. 在调试页面打开录制按钮。 2. 执行CDP指令操作。 3. 关闭录制按钮。 4. 在录制回放页面中查看录制数据，并可以对录制结果进行下载 或者删除操作。

场景一：企业管理员创建桌面 管理员路径： 1. 登录云电脑管理台； 2. 进入桌面管理－选择创建桌面； 3. 选择需要开通桌面类型； 4. 选择购买的套餐类型和时长； 5. 选择需要的桌面信息； 6. 确认价格进行支付； 7. 支付成功反馈后服务开通完成。 说明 1.支持单实例包月订购类型的云电脑。 2.支持以下规格类型的云电脑开通3D模式：普通云电脑（标准办公型）、XC云电脑（信创/国产化机型）、GPU云电脑（图形加速型）。 场景二：企业管理员对桌面进行批量开通3D模式 1. 登录云电脑管理台； 2. 进入【桌面管理】模块； 3. 批量选择目标云电脑实例； 4. 在更多操作中，找到并点击【3D模式开启】； 5. 选择套餐并确认开通； 6. 进入支付模块进行支付开通； 7. 支付成功反馈后服务开通完成。 说明 目前支持批量开通3D模式的云电脑类型：普通单实例云电脑（标准办公型）、普通资源包桌面（资源共享型）、GPU云电脑（图形加速型）、XC云电脑/信创云电脑（国产化机型）、研发云电脑（开发测试型）。