本节介绍安全日志中的相关功能。 在“安全日志”菜单，可以查看应用阻止日志、我的申请和处理事项等相关记录。 当桌面处于管控状态，用户可在此查看被阻止运行的应用的历史纪录。 阻止日志 阻止历史 在此页面，可对阻止日志进行类型与状态的筛选，并支持搜索。 发起申请 点击阻止记录右侧的“推荐应用”，可向管理员推荐上架或申请放行该应用 我的申请 用户可以查看当前桌面用户向管理员提交的程序放行与应用推荐记录。 程序放行 在此页面，用户可以看到自己向管理员申请放行的历史记录。 应用推荐 在此页面，可以看到自己向管理员推荐应用的历史记录。 处理事项 管理员可以在这里处理“程序放行”、“应用推荐”和“应用发布”三种类型的申请。

本节介绍了如何在控制台停用域名。 使用场景 如果您需要停止针对某个域名的防护，您可以在边缘安全加速控制台进行停用操作。对域名进行停用操作后，控制台上域名状态将变更为“已停止”。天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意： 1、对域名进行停用操作后，边缘安全与加速服务节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 2、边缘安全加速平台套餐内默认包含一些流量，若套餐有效期内流量用尽，边缘安全加速平台安全与加速服务将会停止加速服务，将CNAME入口解析至客户源站地址，对域名进行停用操作后，控制台上域名状态将变更为“已停止”。 3、边缘安全加速平台客户退订套餐或套餐到期，边缘安全加速平台安全与加速服务会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态将变更为“已停止，1天后将加速域名的CNAME解析至不可用地址。 前提条件 域名状态为“已启用”。 停用域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云，调整为解析至其他CNAME或A记录 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.选择需要停用的域名，在操作栏点击【停用】按钮后，会进行弹窗提示，再次确认后，域名会进入停用流程，域名状态变成“配置中”。 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已停止”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。 适用计费项 根据所选购买区域，计费项略有不同： 在“一类节点”区域，通过数据库审计版本、数据盘扩容量大小进行计费： 计费项 说明 数据库审计版本 购买的数据库审计版本，目前可选标准版、高级版、企业版和旗舰版。 数据盘扩容 购买数据盘扩容的存储大小。 在“二类节点”区域，通过数据库审计实例个数、配套的云主机进行计费： 计费项 说明 数据库审计实例个数 购买的数据库审计实例个数。 云主机 开通数据库审计需要同步开通云主机，涉及购买云主机的规格、系统盘及数据盘。 在购买云服务页面底部，您将看到所需费用的明细。

本节介绍了创建用户并授权使用RDS的相关内容。 如果您需要对您所拥有的RDS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用RDS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将RDS资源委托给更专业、高效的其他账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用RDS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的RDS系统策略，并结合实际需求进行选择。RDS支持的系统权限，请参见：权限管理。 示例流程 图 给用户授权RDS权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予关系型数据库只读权限“RDS ReadOnlyAccess”。 说明 如果需要使用到对接其他服务的一些功能时，除了需要配置“RDS ReadOnlyAccess”权限外，还需要配置对应服务的权限。 例如：使用控制台连接实例时，除了需要配置“RDS ReadOnlyAccess”权限外，您还需要配置数据管理服务“DAS FullAccess”权限后，才可正常使用控制台登录数据库实例。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： − 在“服务列表”中选择云数据库 RDS，进入RDS主界面，单击右上角“购买关系型数据库”，尝试购买关系型数据库，如果无法购买关系型数据库（假设当前权限仅包含RDS ReadOnlyAccess），表示“RDS ReadOnlyAccess”已生效。 − 在“服务列表”中选择除云数据库 RDS外（假设当前策略仅包含RDS ReadOnlyAccess）的任一服务，若提示权限不足，表示“RDS ReadOnlyAccess”已生效。

本文介绍如何使用边缘安全加速平台实现终端管理。 产品介绍 边缘安全加速平台提供终端安全管理能力，通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 快速入门 注意 场景一：订购零信任企业版服务后，参考 场景二：仅订购终端管理套餐时，按照下文的描述即可接入。如需使用终端管理能力，在终端管理控制台进行配置。 进入终端管理控制台 登录边缘安全加速平台，在首页全部产品栏目，选择【终端管理】，进入产品配置页。 第一步：管理员设置企业认证标识 首次订购终端管理，需要设置企业认证标识。企业认证标识是客户端登录的重要凭据，为了方便使用，可把企业名称设置为企业认证标识。企业认证标识暂不支持在控制台修改，若有需要可提交工单进行配置。

本节向您介绍数据安全中心的使用约束。 数据安全中心DSC仅支持管理天翼云上的数据资产，暂不支持管理其他云厂商的数据资产。 支持的数据源 关系型数据库（Relational Database Service，RDS） 对象存储服务（Object Storage Service，OBS） 数据仓库服务（Data Warehouse Service，DWS） 文档数据库服务（Document Database Service，DDS） MapReduce服务（MapReduce Service，MRS） 云搜索服务（Cloud Search Service，CSS） 数据湖探索服务（Data Lake Insight，DLI） 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 支持的数据库类型及版本 DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostgreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12

共享云硬盘可以挂载至不同操作系统的云主机吗？ 一块共享云硬盘不建议同时挂载至不同类型操作系统的云主机上使用。直接将共享云硬盘挂载给不同操作系统的多台云主机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 跨操作系统数据共享推荐使用弹性文件服务。 共享云硬盘可以挂载至不同账号的多台云主机吗？ 不可以。 共享云硬盘只能挂载至同一个账号下位于同一地域和同一可用区的云主机。 建议将共享云硬盘挂载至位于同一个反亲和性的云主机组内，从而来提高业务的可靠性。此外，建议配合使用SCSI锁，即将SCSI类型的共享云硬盘挂载到位于同一个反亲和性的云主机组内，以提升业务数据的安全性。 使用共享云硬盘必须搭建集群吗？ 是的。 共享云硬盘必须在集群管理环境中使用，这是由共享云硬盘的使用原理以及用户需求共同决定的。 直接将共享云硬盘挂载给多台云主机或物理机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 共享云硬盘本身并不具备集群管理能力，因此需要自行搭建集群系统来实现数据共享，如企业应用中常见的Windows MSCS集群、Veritas VCS集群和CFS集群等。

本小节介绍查看入侵告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、已处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、单击事件类型中的告警事件，可查看告警事件对应的受影响的服务器、发生时间等信息。 全部：展示发生的总的告警数。 告警事件：展示各告警事件发生的告警数。 5、单击事件类型的告警名称，可查看告警的详细信息

本小节介绍Agent。 Agent是企业主机安全（Host Security Service, HSS）提供的Agent，用于执行检测任务，全量扫描主机/容器；实时监测主机/容器的安全状态，并将收集的主机/容器信息上报给云端防护中心。 Agent的作用 每日凌晨定时执行检测任务，全量扫描主机/容器；实时监测主机/容器的安全状态；并将收集的主机/容器信息上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机/容器的攻击行为。 说明 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。 Linux Agent相关进程 Agent进程运行账号：root。 Agent包含以下进程： Agent进程名称 进程功能 进程所在路径 hostguard 该进程用于系统的各项安全检测与防护、Agent进程的守护和监控。 /usr/local/hostguard/bin/hostguard upgrade 该进程用于Agent版本的升级。 /usr/local/hostguard/bin/upgrade Windows Agent相关进程 Agent进程运行账号：system。 Agent包含以下进程： Agent进程名称 进程功能 进程所在路径 HostGuard.exe 该进程用于系统的各项安全检测与防护。 C:Program Files (x86)HostGuardHostGuard.exe HostWatch.exe 该进程用于Agent进程的守护和监控。 C:Program Files (x86)HostGuardHostWatch.exe upgrade.exe 该进程用于Agent升级。 C:Program Files (x86)HostGuardupgrade.exe

本文介绍如何查看计费详情数据，可以了解安全加速的套餐详情和资源包使用情况。 CDN部分计费按照1000进制从Byte换算到Gbps。 套餐详情管理 安全加速的计费方式、WAF防护的套餐与计费、抗D服务的套餐与计费。 图 计费详情 资源包管理 资源包购买成功后次日00:00时生效，自动抵扣所覆盖产品产生的数据，有效期为一年； 资源包购买后不支持退款，到期后未用完的资源将清零，不支持转移到其他资源包； 购买多个资源包时，当某个资源包用尽后默认自动开启下一个临近到期的相同类别的资源包； 当资源包用尽或者过期后，默认转为按需计费。 1.订购安全加速产品后，可支持订购安全加速的资源包，并根据所开功能对资源包进行抵扣。 使用条件： 1）计费方式为“流量“：开通安全加速和WAF防护的用户，可抵扣“安全加速流量包“、“防护请求数包”和”静态https请求数包“；开通安全加速和抗D服务的用户，可抵扣”安全加速流量包“和“静态https请求数包”。 2）计费方式为“日带宽“：开通安全加速和WAF防护的用户，可抵扣“防护请求数包”和“静态https请求数包”；开通安全加速和抗D服务的用户，可抵扣“静态https请求数包”；计费方式为“日带宽”不能抵扣流量包，需要变更计费方式为“流量”。 2.资源包可叠加购买，购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 3.资源包不支持退订，资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 4.资源包的有效期为自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 5.资源包中的”安全加速流量包“是供边缘节点上行和下行总流量使用；“日带宽”计费客户，如需使用“安全加速流量包”，需将计费方式变更为“流量”。可叠加购买：购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 不支持退订：资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 有效期：自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 图 资源包管理

通过安全设置,可对主账号安全信息进行管理。 操作步骤 具体操作详见安全信息管理。

本文介绍了DDoS防护开关的配置。 功能介绍 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击。 背景信息 边缘安全加速平台安全与加速服务中的DDoS防护能力（中国内地区域）将默认开启，若站点受到DDoS攻击将为您提供防护并消耗DDoS防护次数。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台，进入【安全与加速】工作台。 2. 在左侧导航栏中选择【安全能力】，进入【DDoS防护】菜单，并在左侧域名列表选择您要防护的域名。 防护域名 为您展示接入安全与加速服务的域名，并支持查看域名的DDoS防护状态以及域名配置状态。点击防护域名数统计区域，可筛选域名列表已防护或未防护的域名，您也可以通过下方查询框对域名进行其他条件的筛选。 点击右上角【新增域名】可进入域名新增页面，点击支持收起域名列表。 注意 当域名为配置中、已停用状态，不支持编辑防护配置。

本章节主要介绍在DRDS管理控制台上修改安全组的方法。 使用须知 修改实例安全组后，可能导致当前实例与已关联的数据节点网络不通，请谨慎操作。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 在基本信息中可以看到安全组属性，单击【修改】按钮可以对安全组进行修改。 5. 修改完成后，可在实例的基本信息页面查看到已修改的安全组。 说明 如需了解更多安全组配置，请参考

本节介绍应用市场客户端的下载方式。 用户可通过客户端安装、升级、卸载平台和企业提供的各类应用，并且能处理各类安全审批相关的记录。目前AI云电脑中已预装此客户端，如未预装，可通过AI云电脑工具栏的快捷入口触发安装，或前往客户端下载页面进行下载。

本小节介绍安全专区访问安全组件方法。 打开左侧菜单栏进入『组件管理』 该页面可管理安全专区所有安全组件。 组件列表承载主机名称、所在数据中心、所属VPC、IP地址、许可及版本等信息。

业务场景分析 多个并发请求同时修改同一份数据， 比如多个营业员并发对同一个客户的资料进行修改。 同时修改同一份数据会并发冲突，导致数据不正确的可能，对业务产生不可预估的影响。目前几乎很多大型网站及应用都是分布式部署的，分布式场景中的数据一致性问题一直是一个比较重要的话题。 解决方案 对于分布式锁可以基于数据库实现分布式锁，但带来的问题是性能不足，无法满足大型应用的高并发使用场景。这时基于缓存（Redis等）去实现分布式锁，带来了显著性能优势。 Redis实现分布式锁的原理是基于: 存在判断KEY是否存在的命令，以及KEY设置TTL，防止死锁的机制。 下面是一个简单的实现思路： （1）获取锁的时候，使用setnx加锁，并使用expire命令为锁添加一个超时时间，超过该时间则自动释放锁，锁的value值为一个随机生成的UUID，通过此在释放锁的时候进行判断。 （2）获取锁的时候还设置一个获取的超时时间，若超过这个时间则放弃获取锁。 （3）释放锁的时候，通过UUID判断是不是该锁，若是该锁，则执行delete进行锁释放。 由于开源已经有非常多成熟的方案， 下面是基于redisson（一个开源的JAVA redis库）实现分布式锁，可参考如下示例： maven org.redisson redisson 3.25.0 示例代码 RLock lock redisson.getLock("myLock"); // traditional lock method lock.lock(); // or acquire lock and automatically unlock it after 10 seconds lock.lock(10, TimeUnit.SECONDS); // or wait for lock aquisition up to 100 seconds // and automatically unlock it after 10 seconds boolean res lock.tryLock(100, 10, TimeUnit.SECONDS); if (res) { try { ... } finally { lock.unlock(); } }

本文介绍回源SNI功能的原理和使用说明。 功能介绍 如果一个源站IP地址绑定多个域名，且CDN加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，CDN节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认CDN节点请求的具体域名，然后返回该域名对应的SSL证书给CDN节点。 设置回源SNI后的工作流程如下： 1. 当CDN节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. CDN节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

本文通过图文介绍如何停用域名和删除域名。 背景说明 如果客户的网站因业务变更需要停止CDN加速服务，客户可以通过CDN控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”，且天翼云CDN会立即将加速域名的CNAME解析至不可用地址。 删除域名 对域名进行删除操作后，天翼云CDN会直接删除加速域名在CDN节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至CDN节点，则会响应403。 注意事项 停用CDN加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云CDN入口，调整为解析至其他CNAME或A记录。该调整完成后，客户可以通过CDN加速控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用CDN加速域名 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，选择对应域名，单击【操作】列下的【更多】，可看到【停用】按钮。 4. 单击【停用】按钮，单击【确认停用】。 如您需要删除已停用域名，等待停用域名工单完成后继续按如下删除CDN加速域名的流程进行操作。

本文介绍如何关闭加速服务。 如果客户的网站因业务变更需要关闭全站加速服务，可以通过客户控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，天翼云会将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为【已停止】。 对域名进行停用操作后，节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行【启用】操作。 删除域名 对域名进行删除操作后，天翼云会直接删除加速域名在节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至节点，则会响应403。 注意事项 停用全站加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云全站加速入口，调整为解析至其他CNAME或A记录。该调整完成后，可以通过客户控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。 操作步骤 停用全站加速域名 1. 登录客户控制台。 2. 左侧导航栏单击选择【域名管理】。 3. 单击【域名列表】，选择对应域名，操作列点击【更多】可看到【停用】按钮。 4.单击【停用】按钮，跳出【停用确认】框，点击【确认停用】后进入停用流程。 如您需要删除已停用域名，等待停用域名流程完成后继续按如下删除加速域名的流程进行操作。

本文介绍AnyWhere集群。 天翼云CCE Anywhere集群是面向分布式云场景，提供的一种全新本地 Kubernetes 集群部署选项：构建在Kubernetes子项目Cluster API（CAPI）之上，通过申明式API和控制器模式,让您在自己管理的IDC基础设施或边缘设施中，创建、管理和升级基于天翼云CCE Distro发行版的Kubernetes集群；拥有与云上CCE发行版相同可靠性和安全性的同时，通过连接到云上注册集群，可获得标准化集群运维（含日志、监控、巡检、诊断、备份等）、丰富的插件扩展，以及智算套件、集群联邦等高阶扩展能力，实现轻量敏捷、云边一体的分布式容器云服务。 产品优势 公有云标准化交付，相同可靠性与安全性。 丰富扩展能力，将云上现代化操作实践和工具适配本地集群环境。 支持纯离线环境部署交付。 基于云原生开源标准构建。 应用场景 将本地应用从虚拟机迁移到现代化容器。 基于容器构建内部开发平台，以标准化团队资源使用。 将本地基础设施容器化后，与云上资源打通以实现极致弹性能力。 将本地基础设施容器化后，接入CCE One集群联邦以实现分布式智算能力。 施工指南

2.1.1 高性能计算集群（HCC） 大模型精简版 功能定位：包含 Slurm 调度系统、apptainer 高性能容器，实现deepseek服务一键启停。 开通步骤： 1. 登录天翼云控制台，进入“弹性高性能计算”产品页面，选择“高性能计算集群”，点击进入集群控制台。 2. 点击“创建集群”，在集群类型中选择“大模型精简版”。 3. 依次配置各项参数，包括计费模式、地域、可用区、集群名称、虚拟私有云、安全组、共享存储（ SFS 或 OceanFS）、管理节点和计算节点的对应规格、镜像、磁盘、子网、登录密码。（注：当前 大模型精简版 暂不支持无计算节点的集群创建，需至少配置1台计算节点） 4. 确认所有配置无误后，提交订单并完成集群创建，等待节点纳管完成，直至集群页面显示“可用”“配置完成”状态。 5. 点击已创建的集群，选择左侧“节点”栏，删除配置的计算节点，仅保留管理节点即可。 2.2 NVMe 磁盘挂载配置 昇腾910B物理机默认配备2×3.2T NVMe SSD，请格式化后用于存储模型文件，提升推理性能。 需将节点的nvme1n1和nvme0n1两块 NVMe 盘分别挂载至/mnt/nvme1n1和/mnt/nvme0n1目录。 可通过以下脚本实现自动化挂载及开机自动挂载的配置： shell !/bin/bash

使配置立即生效 5. 执行如下命令拉取ownCloud镜像： plaintext docker pull owncloud 6. 创建ownCloud容器并运行，ownCloud参数说明如下： 参数 说明 owncloud 容器名称。 /data/owncloud/:/var/www/html 目录映射，/data/owncloud/为数据文件存储的目录，该配置可将数据存储到文件系统中。 p 7070:80 端口映射，本次使用7070端口。 7. 执行如下命令，创建owncloud容器并运行 plaintext docker run p 7070:80 d v /data/owncloud/:/var/www/html owncloud 8. 执行如下命令，检查ownCloud容器 plaintext docker ps 可以查看owncloud的ContanerID及端口情况，状态为up说明运行中。 步骤四：浏览器打开ownCloud 1. 在虚拟机管理界面的安全组选项中，对浏览器所在机器的ip地址和ownCloud所使用的7070方向和入方向进行放开。本文采用的是对全部协议和端口进行放通。 2. 在本地浏览器输入弹性云主机的弹性IP:7070,打开ownCloud登录页面。设定管理员账号和密码，点击“安装完成”。 3. 安装完成后进入网盘页面，可以进行内容上传，新建文件夹，共享内容等。

本文介绍了数据管理服务实例录入的两种方法。 您可以在实例列表 页、数据资产 页及团队管理页录入新实例。 前提条件 已准备好支持录入的数据库类型，详细请参见添加云数据库、添加公网/直连数据库等。 通过实例列表录入实例 1. 在右侧菜单栏中点击实例列表 。 2. 在实例列表页面点击 添加实例 。 3. 在添加实例弹窗中输入实例名称、环境、实例属性、数据来源、数据库类型等信息后，点击添加，即可录入新实例。 通过实例管理页录入实例 1. 在左侧菜单栏中，选择 数据资产 >实例管理。 2. 在打开的实例列表页点击添加实例按钮。 3. 在添加实例弹窗输入实例名称、环境、实例属性、数据来源、数据库类型等信息后，点击添加，即可录入新实例。 通过团队管理页录入实例 1. 在左侧菜单栏中，选择 安全协作 > 团队管理 。 2. 进入团队管理页后，点击切换团队实例管理标签页。 3. 点击团队实例管理页左上方的添加实例至团队按钮。 4. 输入实例名称、环境、实例属性、数据来源、数据库类型等信息后，点击添加，即可录入新实例。

本小节介绍容器安全内容。 容器安全能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、容器文件监控、容器信息收集和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

本文介绍了边缘安全加速平台API防护模块下API资产列表的使用方法。 功能介绍 API资产管理列表展示了客户粒度，即所有接入域名下的API资产。用户可在API资产列表中进行查询、新增、删除、编辑等操作。 API资产定义 边缘安全加速平台对于API资产的定义由三部分组成：域名、URI、Method。 以API资产 Post ddoscloudglobal.ctapi.ctyun.cn/ctapi/v1/cert/create 为例： 域名为：ddoscloudglobal.ctapi.ctyun.cn URI为：/ctapi/v1/cert/create Method为：Post 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单。 3. 进入任意域名，点击右侧【资产管理】按钮，进入【API资产列表】页面。 新增API 新增API资产当前支持两种方式： 手动新增API：手动配置域名、URI、Method定义一条API资产。 API自发现：基于访问日志进行特征识别，自动发现业务中的API请求。配置详情参见API自发现。

本文为您介绍深信服防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK ctSang4 IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 登录深信服防火墙的Web管理页面，单击导航栏中的 IPsec VPN设置 > 第三方对接 > 第一阶段 ，单击列表上方的“新增”按钮，根据天翼云IPsec连接的IKE协议信息配置防火墙的第一阶段配置。 2. 单击导航栏中的 IPsec VPN设置 > 第三方对接 > 第二阶段 ，单击“入站策略”列表上方的“新增”按钮，根据天翼云IPsec连接的网络信息，配置防火墙的第二阶段入站策略。 3. 单击导航栏中的 IPsec VPN设置 > 第三方对接 > 第二阶段 ，单击“出站策略”列表上方的“新增”按钮，根据天翼云IPsec连接的网络信息，配置防火墙的第二阶段出站策略。 4. 单击导航栏中的 IPsec VPN设置 > 第三方对接 > 安全选项 ，查看是否有与天翼云IPsec连接配置相同的认证算法与加密算法组合；如果没有，请单击列表下方的“新增”按钮添加一个算法组合，或单击列表后面的“编辑”进行修改，使算法与天翼云IPsec连接中的配置相同。 5. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

为什么查看事件窗口中，有些事件的IP、code、request、response和message字段为空？ IP、code、request、response和message字段并非云审计服务规定的必备字段： IP：当trace type为SystemAction时，表示本次操作由服务内部触发，此时缺失IP字段为正常情况。 request/response/code：这三个字段是表示本次操作所对应的请求内容、请求结果及HTTP返回码，在有些情况下，这些字段本身为空，或不具备业务意义，产生该事件的云服务会根据实际情况选择某字段留空。 message：该字段为预留字段，若其他云服务基于业务需要，需要增加额外信息时，可附加在该字段内，缺失为正常情况。 为什么事件列表中有些事件的为超链接可以跳转，有些为非超链接？ 目前CTS仅支持部分ECS、EVS、VBS、IMS、AS、CES和VPC的操作通过跳转到对应云资源的详情页面，该功能正在逐步完善。 为什么事件列表中的某些操作被记录了两次？ 对于异步调用事件，会产生两条事件记录，其事件名称、资源类型、资源名称等字段相同。在事件列表中，看起来是重复记录了操作（例如，Workspace的deleteDesktop事件），但实际上，这两条事件是相互关联、但内容不同的两条记录，典型的异步调用场景时间如下： 第一条事件：记录用户发起的请求； 第二条事件：记录用户请求的操作结果，通常与第一条时间记录有数分钟的延迟，记录用户请求的实际响应结果。 两条事件需要结合在一起，才能反映用户本次操作的真实结果。 为什么在事件列表中按照操作用户进行筛选时，存在useraccount/opservice用户？ 当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时，可能存在用户自身的权限不足的问题，因此在确保符合安全要求的前提下，会临时对该请求中的用户身份进行提权，请求完成后提权结束，但会将提权行为记录到该请求发送到CTS的日志当中，此时的操作用户将记录为useraccount/opservice。

安全体检体检报告内容简介，您可以根据报告内容开展安全检查及加固。 体检任务完成后，产品将根据本次体检结果，自动生成PDF格式体检报告以及Excel版本漏洞详单。您可以通过控制台预览或下载报告及漏洞详单，如果您已经配置通知信息，将自动向指定邮箱发送报告及详单内容。 报告名称：《安全体检服务报告.pdf》《安全体检漏洞详情.xls》 报告内容： 安全体检报告共包含体检概述、体检结果概述、急需处理的高危端口、急需处理的弱口令、急需处理的高中危漏洞、漏洞详单、报告说明等7大块内容。 主要体检内容：针对全量体检IP进行高危端口开放探测；针对全量体检IP互联网开放服务进行弱口令探测；针对全量体检IP的操作系统漏洞、中间件漏洞进行探测和发现，提供修复建议及加固参考。 安全体检报告内包含详细的处置建议，您可以根据报告内容快速开展修复工作。 安全体检漏洞详情包括任务信息、漏洞风险类别和资产综述3块内容。

统计项 操作 镜像数量 单击镜像数量，可跳转至“镜像安全 > 镜像管理”页面，查看镜像详情。 容器数量 单击容器数量，可跳转至“容器安全 > 实时检测”页面，查看容器安全检测详情。 节点数量 单击节点数量，可跳转至“节点安全”页面，查看节点安全扫描详情。 仓库数量 单击仓库数量，可跳转至“镜像安全 > 仓库配置”页面，管理配置镜像仓库。 集群数量 单击集群数量，可跳转至“安装配置 > 组件安装”页面，管理部署集群。

说明：本章节会介绍如何修改数据库内网安全组 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 5. 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 6. 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

本文主要介绍磁盘备份 什么是磁盘备份 磁盘备份即云备份（Cloud Backup and Recovery，CTCBR），可以为磁盘创建在线备份，无需关闭云主机。针对病毒入侵、人为误删除、软硬件故障等导致数据丢失或者损坏的场景，可通过任意时刻的备份恢复数据，以保证用户数据正确性和安全性，确保您的数据安全。

本文为您介绍容器安全卫士的产品定义及安全能力。 容器安全卫士是作用于容器集群的安全防护产品，提供了对容器环境下，业务动态及静态安全风险的事前发现、事中预警、事后溯源的安全闭环。可方便快捷的解决业务容器化后带来的安全问题。 容器安全卫士产品主要安全能力包括：深度资产清单、实时风险发现、快速安全防护、及时事后溯源。 深度资产清单 对容器集群等基础资产可进行自动清点，在此基础上，还会进一步识别容器进程、容器挂载、容器端口、容器软件等深度资产信息，并会进行全资产的关联，便于分析。 实时风险发现 针对静态风险，会识别漏洞、恶意文件、软件许可、风险软件、敏感信息等全面的风险。针对动态风险，采用触发式的方式，实时监测业务产生的所有行为，并进行智能研判，快速预警。 快速安全防护 基于相关能力可快速定位风险影响范围，同时提供详细的风险信息，帮助用户对风险进行判断，确定风险后，可立即进行加白、隔离等快速安全防护处置。 及时事后溯源 由于容器特性，在容器消逝后，运行过程中的行为数据不再保留。容器安全卫士不但会记录正在运行业务的容器及相关信息，对已经消逝的容器也会对其详细行为信息进行保留，以防止事后发现安全事件无法溯源的问题。