本节介绍如何退订WAF云SaaS型实例。 购买云SaaS型实例后，在实例到期被删除前，您可以随时在WAF控制台退订实例。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 单击“退订”，进入退订页面。 6. 确认退订信息后，单击“立即退订”。 7. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

此小节介绍解绑弹性公网IP。 当CBH实例需要重新绑定EIP或释放EIP时，需要为该实例解绑EIP。当实例成功解绑EIP后，则无法再通过该EIP登录云堡垒机系统。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击云堡垒机，进入云堡垒机实例界面。 5. 选择需要解绑弹性IP的实例，单击所在行“操作”列中的“更多 > 解绑弹性公网IP”，弹出的解绑弹性IP对话框。 6. 在弹出的解绑弹性IP对话框中，单击“确定”。解绑成功后，“弹性IP”列无IP信息，且“登录”按钮变为不可操作。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报规则功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 目前天翼云WAF通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理； 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高中低； 严重级别：恶意IP的严重级别，有严重、高、中、低； 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选

本章节主要介绍创建MRS Hive连接器。 MRS Hive连接适用于MapReduce服务，本教程为您介绍如何创建MRS Hive连接器。 前提条件 已创建CDM集群。 已获取MRS集群的Manager IP、管理员账号和密码，且该账号拥有数据导入、导出的操作权限。 MRS集群和CDM集群之间网络互通，网络互通需满足如下条件： −CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 −CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 −此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 新建MRS hive连接 1. 在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面，如下图所示。 图 选择连接器类型 2. 连接器类型选择“MRS Hive”后单击“下一步”，配置MRS Hive连接的参数，如下图所示。 图 创建MRS Hive连接 3. 单击“显示高级属性”可查看更多可选参数。这里保持默认，必填参数如下表所示。 表 MRS Hive连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。 说明 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。 4. 单击“保存”回到连接管理界面，完成MRS Hive连接器的配置。

本章节介绍如何测试PostgreSQL的性能。 PostgreSQL是一个开源对象关系型数据库管理系统，并侧重于可扩展性和标准的符合性，被业界誉为“最先进的开源数据库”。PostgreSQL面向企业复杂SQL处理的OLTP在线事务处理场景，支持NoSQL数据类型（JSON/XML/hstore），支持GIS地理信息处理，在可靠性、数据完整性方面有良好声誉，适用于互联网网站、位置应用系统、复杂数据对象处理等应用场景。 支持postgis插件，空间应用卓越，达到国际标准。更接近Oracle数据库，去 “O” 成本低。 适用场景丰富，费用低，随时可以根据业务情况弹性伸缩所需的资源，按需开支，量身订做。

本节将介绍密码及其使用场景,让您了解如何创建密码并了解相关约束限制。 密码 密码指使用设置初始密码方式作为云主机的鉴权方式，此时，您可以通过用户名密码方式登录云主机，Linux操作系统时用root用户和初始密码，Windows操作系统时用Administrator用户和初始密码。 使用场景 密码在弹性云主机系统中用于保护客户重要私人信息，为确保账户安全，建议妥善保管密码。在使用弹性云主机服务过程中，您会在以下场景遇到密码相关设置： 创建弹性云主机时设置密码。 如果您在购买弹性云主机进行高级配置时选择“密码”作为登录方式，可以单击“立即创建”创建密码。具体步骤可参见创建弹性云主机。 重置弹性云主机的登录密码。 如果您忘记密码或密码已过期，可通过“重置密码”进行密码重置。具体步骤可参见在控制台重置弹性云主机密码。

本节介绍如何申请开通Web应用防火墙（独享版）独享引擎。 前提条件 已获取管理控制台的登录账号（配置WAF Administrator或WAF FullAccess权限策略）与密码。 已成功申请虚拟私有云VPC。 已创建了资源集。 操作须知 申请成功后，独享引擎实例规格不能修改。 创建实例大约需要10分钟。当实例的运行状态为“运行中”时，说明实例已经创建成功。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 首次申请独享引擎时，在界面左侧，单击“立即申请独享模式”。 步骤5 在“申请Web应用防火墙”界面，配置WAF实例参数如下图。 WAF独享引擎实例参数说明： 参数名称 说明 计费模式 WAF独享引擎实例为按需计费，实例从创建成功开始计费到删除实例时结束计费，按实际使用时长（精确到秒）计费。 区域 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在申请WAF时，根据防护业务的所在区域就近选择申请的WAF区域。 可用区 选择区域中的可用区。 WAF实例名称前缀 设置WAF实例名称前缀，申请多个实例时，实例前缀名称相同。 WAF实例数量 设置申请的WAF实例个数。 WAF实例规格 选择实例的规格。WAF支持500Mbit/s和100Mbit/s两种规格。 CPU架构 选择实例的CPU架构。 CPU规格 选择实例的CPU规格。 预计最终规格 吞吐量的性能参考值。 虚拟私有云 选择源站所在的VPC。 业务网卡 选择VPC中已配置的子网。 安全组 选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。 说明 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。 步骤6 确认参数配置无误后，在页面右下角单击“下一步”。 步骤7 确认订单详情无误，单击“立即申请”。 步骤8 单击“返回独享引擎列表”，在独享引擎实例列表界面，可以查看实例的创建情况。

虚拟私有云支持主动访问公网,本文带您快速了解通过单个ECS访问公网和多个ECS访问公网。 单个弹性云主机访问公网 当您的某台弹性云主机需要主动访问公网，可以为弹性云主机绑定弹性IP，即可实现公网访问。 多个弹性云主机访问公网 如果您有多个弹性云主机实例需要访问公网，可以使用NAT网关服务，并将多个弹性云主机实例与NAT网关关联。按子网配置SNAT规则，轻松构建VPC的公网出口。对比弹性IP访问公网，在未配置DNAT规则时，外部用户无法通过公网直接访问NAT网关的公网地址，保证了弹性云主机的相对安全。 对于可用区资源池，云主机使用弹性IP或者NAT网关的操作方法可以参考如何通过弹性IP或者NAT网关访问公网页面。

本文向您介绍如何创建企业版VPN网关。 场景描述 如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，创建VPN连接之前，需要创建VPN网关。 背景信息 根据对端网关IP地址个数不同，推荐的组网方式如下表所示。 表组网方式 对端网关IP个数 推荐组网 说明 1 VPN网关推荐使用双活模式，该场景占用1个VPN连接组配额。 2 VPN网关推荐使用主备模式，该场景占用2个VPN连接组配额。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，VPN网关推荐使用双活模式，主EIP、主EIP2各创建一条VPN连接，对接同一个对端网关的同一个IP地址。该场景下仅占用一个VPN连接组配额。 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，VPN网关推荐使用主备模式，主EIP、备EIP各创建一条VPN连接，对接到对端网关的不同IP地址。该场景下占用两个VPN连接组配额。 约束与限制 非国密型网关不支持变更为国密型网关。 关联企业路由器场景下，需要关注企业路由器的路由表条数规格限制。 前提条件 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见《虚拟私有云用户指南》。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见《虚拟私有云用户指南》。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见《企业路由器ER用户指南》。

区别项 云硬盘快照 云硬盘备份 存储位置 快照与云硬盘原始数据保存在同一套云存储集群中。 备份与云硬盘原始数据没有存储在同一套云存储集群中，以备份文件的形式存储在对象存储中，即使云硬盘损坏，也可以进行数据恢复。 数据同步 保存云硬盘指定时刻的数据。 可以设置自动快照策略。 如果将创建快照的云硬盘删除，那么对应的快照也会被同时删除或需用户手动删除。 重装操作系统或切换操作系统后，系统盘快照和数据盘快照不会被删除，其中数据盘快照可以照常使用。 系统盘保留单盘快照会导致主机重装/切换系统失败，建议主机重装/切换系统操作前先手动删除快照。 保存云硬盘指定时刻的数据，可以设置自动备份。 如果将创建备份的云硬盘删除，对应的备份不会被同时删除，还会独立存储于对象存储。 业务恢复 通过快照回滚来恢复云硬盘数据，或者以快照作为数据源来创建新的云硬盘，恢复业务。 用户可以恢复备份数据到云硬盘，或者以备份作为数据源来创建新的云硬盘，恢复业务。 使用场景 针对软硬件升级、系统变更等计划内操作场景，在执行升级/变更前可即时为数据创建快照，作为操作前的安全保护点，如升级异常、测试失败或变更出错，可通过快照快速回滚数据至变更前的精确状态，确保操作的安全性和可靠性。 针对误删、病毒感染、软硬件故障等突发风险场景，通过周期性定时备份为数据创建多个历史时间点的副本，出现故障时可将数据恢复到任意备份时间点的状态。

id19b723c2b3192) AI云电脑账号绑定的手机号单个自然日最多能收多少条短信？ AI云电脑是否支持多终端登录？ 天翼AI云电脑软件帐号支持最多5个终端同时登录，但无法在多个终端同时登录同一台AI云电脑。 什么是异常登录？ 您账号下已购的天翼AI云电脑，如出现具有安全风险的异常登录操作时，系统将自动登记及提示“异常记录”，提醒记录可在桌面工具栏的“安全中心“查看，请根据安全提示，及时处理异常记录，保护AI云电脑数据安全。 .有哪些异常登录？ 针对个人用户的使用情况： 1. 异地登录提醒：当您的天翼AI云电脑在非常驻地区有登录行为时，将会推送异地登录提醒。 2. 设备管理功能：在天翼AI云电脑软件帐号已登录的终端设备中，如出现陌生终端设备或不再使用的终端设备，请及时按提示操作“移除设备”。 异地登录是否一定是异常登录？ 异地登录不一定是异常登录，系统将根据具体情况进行判断。例如，您本人在异地登录了天翼AI云电脑，可“忽略”本次异常提醒，“忽略”后，在该地1个月内的登录将不再收到异地登录提醒，如1个月内在该地登录5次以上，系统将视该地为常驻地。 天翼AI云电脑（政企版）支持的终端 终端类型 终端 型号 说明 个人电脑 Windows Win7以上的台式机或者笔记本 XP系统建议重装win7 个人电脑 Mac 苹果一体机、Mac笔记本、Mac mini等 操作系统：Mac OS10.14及以上64位版本 个人电脑 Ubuntu瘦终端 天翼AI云电脑已通过适配的终端：终端适配列表 操作系统Ubuntu18.04及以上的瘦终端设备 个人电脑 安卓瘦终端 天翼AI云电脑已通过适配的终端：终端适配列表 适用Android7.0及以上版本的安卓瘦终端设备 个人电脑 国产化终端 天翼AI云电脑已通过适配的终端：终端适配列表 支持统信UOS v20，麒麟 v10系统 移动终端 安卓 各品牌4G/5G安卓手机 支持Android 7.0以上的手机和平板 移动终端 iOS 苹果手机、iPad 支持iOS 10.0系统以上设备

在购买DRDS实例之前，您需要先做一系列的准备操作，包括评估实例规格，确定虚拟私有云（VPC）及可用区等。 评估实例规格 在购买DRDS前，您需要根据应用的实际情况，评估所需要的计算和存储能力，同时结合业务类型及规模，选择合适的实例规格，更好地满足应用需求。实例规格主要包括：实例的性能类型、CPU和内存等，更多实例规格信息，请参见规格。 确定VPC VPC为DRDS实例提供了网络隔离和访问控制，在创建VPC时，利用子网、安全组等网络特性，可以更便捷、安全地进行内部网络的配置和管理。 注意 DRDS实例必须与MySQL实例在同一个VPC内，且两者的安全组需要确保DRDS与MySQL间网络互通。 建议 DRDS实例与应用程序处于在同一个VPC内，可以提高安全性和性能。 DRDS实例、MySQL实例与应用程序三者尽量选择同一个安全组，可以保证网络访问不受限制，并且便于统一管理。 确定可用区 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。

本小节介绍处理容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 说明 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面。 告警事件状态说明 告警事件状态 告警事件状态说明 存在告警的服务器 展示存在告警容器的数量。 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 4、 处理告警事件。 告警事件展示在“容器安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计。 批量处理勾选的告警 a.任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如表76所示。 处理单个告警 a.选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如表所示。 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。

本节主要介绍产品优势 云迁移工具RDA是天翼云为上云用户量身打造的迁移工具，可提供主机和对象存储在线迁移，助力企业快速上云，节省维护和使用成本。 操作简单 支持一键部署、图形化操作界面及常见问题一键修复。 安全可信 安全，传输加密，传输通道使用SSL加密，保证您数据传输安全性；认证和密码加密，存储的相关凭证采用了AESCBC进行双边加解密。 智能高效 对生产系统影响最小化，当CPU、IO、内存和带宽占用达到设定的阈值后暂停迁移/同步，等待资源空闲后自动恢复迁移/同步。 无缝迁移 迁移/同步过程业务不中断，生产系统无需停机/停服。

查询轻量型主机详细信息 接口功能介绍 该接口提供用户轻量型云主机信息查询功能，用户可以根据此接口的返回值了解自己轻量型云主机的详细信息。 URI GET /v4/ecs/lite/details 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID，您可以调用regionID查看最新的天翼云资源池列表 888888c8888888e8a8888888ac888888 instanceID 是 String 云主机ID 88f888ea88ff88eca8bc888888888fe8 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码(800为成功，900为失败) 800 errorCode String 业务细分码，为product.module.code三段式码，详见错误码说明 Openapi.PatternCheck.NotValid message String 失败时的错误描述，一般为英文描述 SUCCESS description String 失败时的错误描述，一般为中文描述 成功 returnObj Object 成功时返回的数据 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 resourceID String 云主机资源ID f88bc88a88a888e8a88bf88888888888 instanceID String 云主机ID 88f888ea88ff88eca8bc888888888fe8 displayName String 云主机显示名称 ecs8888 instanceName String 云主机名称 ecs8888 osType Integer 操作系统类型，取值范围：1: linux，2: windows，3: redhat，4: ubuntu，5: centos，6: oracle 5 instanceStatus String 云主机状态，取值范围：backingup: 备份中，creating: 创建中，expired: 已到期，freezing: 冻结中，rebuild: 重装，restarting: 重启中，running: 运行中，starting: 开机中，stopped: 已关机，stopping: 关机中，error: 错误，snapshotting: 快照创建中 running expiredTime String 到期时间 20230419T09:37:53Z updatedTime String 更新时间 20221019T09:37:53Z createdTime String 创建时间 20221019T09:37:53Z attachedVolume Array of Strings 附加卷 ["8e8f8bc8b8ad8a8e8e8888cd88888e88"] addresses Object 网络地址信息 addresses secGroupList Array of Objects 安全组信息 securityGroup networkCardList Array of Objects 网卡信息 networkCard image Object 镜像信息 image flavor Object 规格信息 flavor vpcID String vpc ID b1a5ff70cdd142958a1707b7e53c5759 vpcName String vpc名称 liteecsnetwork zabbixName String 监控对象名称 8a8fdc88b8a888bb888f8b88888c88f8 bandwidth Integer 带宽 2 bootDiskSize Integer 系统盘大小 40 表 addresses 参数 参数类型 说明 示例 下级对象 addressList Array of Objects 网络地址列表 addressList 表 securityGroup 参数 参数类型 说明 示例 下级对象 securityGroupID String 安全组ID c6e1d96acff845c097db91fca62b5f26 securityGroupName String 安全组名称 VM79ab13b6 表 networkCard 参数 参数类型 说明 示例 下级对象 IPv4Address String IPv4地址 10.0.0.1 subnetID String 所处的子网ID f24f56956eaa4ff9b986fb8f33a7fad4 表 image 参数 参数类型 说明 示例 下级对象 imageID String 镜像ID b88888b8ff888888b88f8c8fbc888b88 imageName String 镜像名称 CentOS7.5.v120210303 表 flavor 参数 参数类型 说明 示例 下级对象 flavorID String 规格ID 8f8ba88888e8ea88ea8b888888dded88 flavorName String 规格名称 s7.medium.2 flavorCPU Integer VCPU 1 flavorRAM Integer 内存 2048 表 addressList 参数 参数类型 说明 示例 下级对象 addr String 地址 192.168.0.62 version Integer IP版本 4 type String 网络类型 fixed

本章节主要介绍数据治理中心DataArts Studio如何创建IAM用户并授予DataArts Studio权限。 创建IAM用户并授予DataArts Studio权限 如果您需要对您所拥有的DataArt Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DataArts Studio资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如操作步骤所示。 背景信息 给用户组授权之前，请您了解用户组可以添加的DataArts Studio工作空间角色权限，并结合实际需求进行选择。 约束与限制 DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 − IAM角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 − IAM策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

本文介绍了RDSPostgreSQL实例连接设置与访问的常见问题。 实例是否支持更换VPC RDSPostgreSQL不支持通过控制台更换VPC，订购实例时请谨慎选择实例VPC。 RDSPostgreSQL是否能跨地域内网访问 跨地域内网默认不能访问，不同区域的云服务之间内网互不相通。您可以通过公网访问，或者通过云连接/VPN打通网络实现内网访问。 如您需要跨地域访问实例时，您可为实例绑定弹性公网IP进行访问，请参见通过psql命令行公网连接实例。 外部服务器或应用程序如何访问VPC内的RDSPostgreSQL数据库 开通公网访问的实例 对于开通公网访问功能的云数据库实例，可以通过外网进行访问。 具体连接方式请参见：通过公网连接实例。 未开通公网访问的实例 对于未开通公网访问功能的云数据库实例，只能在相同资源池的相同VPC下通过内网访问。 具体连接方式请参见：通过内网连接实例。 绑定公网IP后无法ping通的解决方案 当实例绑定公网IP后无法ping通的排查方法如下： 1. 检查安全组规则。 2. 使用相同区域主机进行ping测试。 具体安全组配置方式，您可参考安全组配置示例。 应用程序是否需要支持自动重连数据库 建议您的应用程序支持自动重连数据库功能，以确保在数据库连接出现故障或断开连接时，应用程序能够自动重新连接数据库，提高系统的可用性和稳定性。同时，建议您采用长连接方式连接数据库，以减少频繁的连接和断开操作，降低资源消耗，提高系统性能。 ECS（弹性云主机）内网访问RDSPostgreSQL，是否受带宽限制 ECS、RDSPostgreSQL内网访问不受带宽限制，公网访问带宽限制根据您绑定的EIP产品带宽有所限制。 如何查看当前时间所有连接数据库的IP 如您需要查看当前实例所有连接的IP，您可在连通实例后，通过数据库命令行执行以下SQL语句，查看所有的活动IP连接数。 sql SELECT clientaddr FROM pgstatactivity WHERE state 'active';

如何从第三方云厂商将日志搬迁到天翼云。 若您在其他第三方云厂商使用日志服务，且已有大量的日志数据在第三方云厂商对象存储上，希望将日志搬迁到天翼云，对于不同的日志类型，请参考如下方法： 标准日志（搜索分析）：保存714天，主要用于应用运维等场景，该日志不需要搬迁到天翼云云。您可直接开通使用天翼云云日志服务，在运行14天后，第三方云厂商保存的日志将自然就老化删除。详细请参考云日志服务快速入门。 归档日志（等保合规）：保存180天以上，主要用于安全合规等场景，该日志一般转储存放到对象存储中。您使用对象存储的迁移功能，将第三方云厂商保存在对象存储中的文件迁移到天翼云对象存储服务中。详细操作请参考迁移第三方云厂商数据至天翼云对象存储。

本节介绍了容器镜像服务的产品介绍。 容器镜像服务是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。容器镜像服务与云容器引擎无缝集成，帮助企业降低交付复杂度，打造云原生应用一站式解决方案。 个人版功能 功能项 说明 镜像仓库管理 支持Linux、ARM等多架构的容器镜像管理，支持设置容器镜像的公开/私有权限 命名空间管理 通过命名空间组织、管理镜像仓库 镜像安全扫描 支持对容器镜像进行安全扫描，展示漏洞编号、漏洞位置、漏洞等级等详细信息 企业版功能（包含个人版的所有功能） 功能项 说明 存储隔离 每个用户的容器镜像、Helm Chart等存放于用户的对象存储中，实现存储隔离 Helm Chart管理 支持Helm Chart的管理、分发 镜像加速 支持加速镜像转换，部署业务工作负载时使用加速镜像，实现镜像数据免全量下载和在线解压，大幅度提升应用分发效率，缩短容器启动时间 镜像同步 支持跨资源池同步镜像 版本不可变 支持配置镜像版本不可变，保证相同版本的镜像仅被成功推送一次，可有效避免因误操作引起的版本覆盖问题 版本保留 支持配置版本保留规则，让用户自定义需要保留的镜像版本，实现镜像版本清理 镜像分享 支持将私有镜像分享给指定用户 操作审计 支持记录用户在容器镜像服务控制台内所进行的操作，为行为分析、安全分析等提供依据 访问控制 支持配置公网白名单

前提条件 已经在天翼云华东1地域创建了一个VPC1，VPC1中使用弹性云主机部署了相关业务。 已经获取各个办公点本地网关设备的公网IP地址。 已经了解VPC1中弹性云主机实例所应用的安全组规则以及各办公点所应用的安全组规则，并确保安全组规则允许弹性云主机实例、各个办公点、VPC1之间相互通信。 配置流程 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择目标资源池。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取值样例 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngateway1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 IPsec 企业项目 选择当前VPN网关归属项目。 default 本端类型 通过VPN网关接入的资源类型。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc682f 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) IPsec带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M IPsec连接数 选择对应的IPsec VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 资源到期后自动续订，按月购买时按月续订，按年购买时按年续订。 开启 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

设置高可用虚拟 VIP } garpmasterdelay 1 设置当切为主状态后多久更新 ARP 缓存 garpmasterrefresh 5 设置主节点发送 ARP 报文的时间间隔 trackinterface { eth0 使用绑定 VIP 的网卡 例如 eth0 } } > 2.3 启动keepalived： > > 3、在port为port5oq20ui7dl的实例中做同样的上述操作，keepalived的配置文件响应的地址需要修改下，然后启动keepalived服务。 注意 1、您需要将配置文件中的通信方式配置为单播通信方式做心跳检测。 2、您需要修改下配置文件中的vrrpgarpmasterrefresh参数，避免由于主备频繁切换或网络抖动等异常情况导致主备切换失败，建议配置值为 5s 。 步骤四：将虚拟IP与主备弹性云服务器绑定 点击绑定服务器，弹出的对话框中， 4.1 选择“服务器类型”：云主机/物理机 4.2 选择网卡：云主机支持多网卡，可选择主网卡/扩展网卡(需确保网卡与虚拟IP在同一子网内才可绑定）。 步骤五：放通安全组规则 放通绑定虚拟IP的弹性云服务器所在的安全组，即放通对端入向安全组规则协议为Any。 说明 1、出向默认是全通的，如果有做限制，请放通出向规则协议为Any。

本节介绍了在移动设备上登录Windows云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作以“Windows Server 2012 R2 数据中心版 64位”操作系统为例，介绍如何通过Microsoft Remote Desktop客户端登录Windows实例。 前提条件 云主机状态为“运行中”。 已获取Windows云主机用户名和密码。 云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 移动设备已安装Microsoft Remote Desktop。 操作步骤 1. 启动RD Client。 2. 在“Remote Desktop”页面右上角，单击图标，选择“Desktop”。 图 Remote Desktop 3. 在“Add desktop”页面，设置登录信息后，单击“SAVE”。 − PC name：输入需要登录的Windows实例的弹性公网IP地址。 − 按以下步骤设置“User name”： i. 单击“User name”，在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 ii. 输入Windows实例帐号“administrator”，并输入实例的登录密码，单击“SAVE”。 图 输入登录信息 图 保存填写的登录信息 4. 在“Remote Desktop”页面，单击需要登录的Windows实例图标。 图 登录Windows实例 5. 确认信息后，单击“CONNECT”。 图 CONNECT 至此，您已经登录Windows实例。 图 登录成功

添加域名组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制 > 对象组管理”，进入“对象组管理”界面。 5. （可选）如果添加网络域名组，则选择“网络域名组”页签。 6. 切换至“域名组”页签，单击“添加域名组”，弹出“添加域名组”，填写参数如下所示。 参数名称 参数说明 域名组类型 应用型/网络型 域名组名称 自定义域名组名称。 描述 （可选）设置该域名组的备注信息。 域名 输入域名，规则如下： 支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，.example.com）。 多个域名以英文逗号、英文分号、换行符、空格分隔。 说明 输入的域名请勿重复。 添加域名组中域名 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“域名组”页签，单击添加的域名组名称。弹出“域名组”弹窗。 6. 单击“添加域名”，弹出“添加域名”对话框，填写域名信息。 单击添加可添加多个域名。 7. 确认无误后，单击“确认”，完成添加。

本小节介绍公网IP如何增强DDoS防护能力。 IP 如何提升DDoS防护能力？ 若您的公网 IP 频繁遭遇 DDoS 攻击，持续超出 DDoS 基础防护阈值并触发平台防护封堵，可通过以下两种方式强化 DDoS 安全防护能力，降低再次被封堵的风险： 一、购买并配置 DDoS 高防产品（推荐） 天翼云和第三方合规厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力，您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。 业务 IP 接入高防防护后，将由高防 IP 替代其暴露在公网，攻击者仅能针对高防 IP 发起攻击；攻击流量会在高防资源池完成清洗过滤，仅正常业务流量回注至您的业务 IP，该流量通常不会超出 IP 的DDoS防护阈值，可有效避免触发 DDoS封堵。 同时请注意：若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP直接发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品厂商。 二、配置安全组（仅特定业务场景适用） 在绑定公网 IP 的云主机上配置安全组策略，仅允许指定 IP 和端口访问业务 IP，可在公网层面实现 IP 隐藏。该方式仅适用于无需对公网全面开放的业务（如组织内部跨公网访问场景），绝大多数面向公网的业务不适用此方案。 重要提示：若原业务 IP 已被攻击者获知，即便配置安全组使攻击者无法探活，仍可能遭受盲目攻击；攻击流量直达 IP 所在网络后，若流量超出基础防护阈值，依然会触发DDoS封堵。因此建议配置安全组的同时，同步更换业务 IP。

本章节会为您指导如何配置堡垒机相关通知的发送功能。 云堡垒机支持发送以下通知内容至您设置的接收邮箱或者站内信： CPU、内存、磁盘资源使用率超过80% 账号密码剩余3天过期 用户恶意登录情况告警 访问人员执行敏感命令(字符、数据库) 达到风险等级设置发送告警。 说明 邮件通知需校验，如果没有配置邮件服务器，“邮件通知“选项为禁用状态。 对于系统状态的告警，触发后，下一次提醒间隔时长为24小时。 敏感命令告警，可展开自定义选择风险等级，默认为勾选：警告、危险、致命。 设置邮件服务器 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“系统管理 > 通知和告警”，进入“通知和告警”页面。 3. 在右侧邮件服务器模块，单击“编辑”按钮配置邮件服务器。 参数 参数说明 服务地址 填写您的邮件服务器地址。 服务端口 填写您的邮件服务器端口 安全通信 选择是否开启安全通信。安全通信支持TLS/SSL协议。 发送人账号 填写发送邮件的邮箱账号。 发送人密码 填写发送邮件的邮箱密码。 4. 单击“保存”完成邮件服务器配置。 5. 完成邮件服务配置后，单击“测试邮件服务”，在弹窗中填写发送测试邮件的邮件地址，单击“发送测试邮件”即可测试邮件是否可以正常发送。 邮件发送成功后在测试邮箱中会收到一封测试邮件，邮件服务配置正确。 若提示邮件发送失败，请检测配置的邮件服务信息，更正后再次测试。

本章节会为您指导如何配置堡垒机相关通知的发送功能。 云堡垒机支持发送以下通知内容至您设置的接收邮箱或者站内信： CPU、内存、磁盘资源使用率超过80% 账号密码剩余3天过期 用户恶意登录情况告警 访问人员执行敏感命令(字符、数据库) 达到风险等级设置发送告警。 说明 邮件通知需校验，如果没有配置邮件服务器，“邮件通知“选项为禁用状态。 对于系统状态的告警，触发后，下一次提醒间隔时长为24小时。 敏感命令告警，可展开自定义选择风险等级，默认为勾选：警告、危险、致命。 设置邮件服务器 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“系统管理 > 告警和通知”，进入“告警和通知”页面。 3.在左侧邮件服务器模块，单击“编辑”按钮配置邮件服务器。 参数 参数说明 服务器地址 填写您的邮件服务器地址。 服务端口 填写您的邮件服务器端口 安全通信 选择是否开启安全通信。 安全通信支持TLS/SSL协议。 发送人账号 填写发送邮件的邮箱账号。 发送人密码 填写发送邮件的邮箱密码。 4.单击“保存”完成邮件服务器配置。 后续操作 完成邮件服务配置后，单击“测试邮件服务”，在弹窗中填写发送测试邮件的邮件地址，单击“发送测试邮件”即可测试邮件是否可以正常发送。 邮件发送成功后在测试邮箱中会收到一封测试邮件，邮件服务配置正确； 若提示邮件发送失败，请检测配置的邮件服务信息，更正后再次测试。

网络及高级配置 设置网络，包括"网卡"、"安全组"，这里，为安全和成本考虑，我们先不设置弹性IP，后续按需开放IP；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 4. 确认并支付 步骤二：配置弹性负载均衡 现在，我们已经有了两台 DeepseekR132B 服务器，接下来，我们利用弹性负载均衡构建一个可任意横向扩容的 Deepseek 集群。 1. 配置 vllm 服务 首先需要为所有服务器上的 vllm 服务配置相同的 apikey。 服务的配置文件目录在 /var/vllmservice.env ，我们将APIKEY 设置为想要的值。 然后重启服务。 plaintext systemctl restart vllm 2. 创建弹性负载均衡 我们参考弹性负载均衡官方文档进行服务创建。 1. 创建弹性负载均衡 在此例中，我们的Deepseek集群仅用于集群自带的 Open WebUI内网使用，不涉及外网通讯，因此 “网络类型” 选择 “内网”，如果你想将此集群暴露到外网，则选择外网。VPC和子网跟 Deepseek 服务器保持一致。 2. 创建监听器 完成网络负载均衡创建，接下来配置监听器，在负载均衡列表页，点击开始配置。 端口类型，选择 “HTTP”，端口填 8000。 进入下一步，创建健康检查。这里我们通过 HTTP 进行健康检查，返回码部分选择 2xx、3xx、4xx。 点击“立即创建”，完成创建。 3. 为监听器开通GPU云主机白名单 此时监听器列表中，我们可以看到访问Deepseek服务器的主机组地址为 “100.89.0.0/16”，我们需要在Deepseek集群的安全组中，为vllm端口配置此地址的白名单。 为Deepseek云主机所在的安全组新增规则，操作文档详见添加安全组规则帮助文档。 4. 为监听器添加后端云主机 选中主机，然后下一步。 设置端口为 “8000”。 点击确认即可完成配置。 5. 验证连通性 监听器页面，显示监控检查正常。 通过一台 Deepseek 服务器，测试负载均衡连通性。

应用托管 OpenClaw 安全风险通告,请用户务必关注! 近日，CERT 披露 OpenClaw 存在多类高危安全漏洞，涵盖命令注入、代码执行、权限提升、路径遍历、认证绕过等，攻击者可利用漏洞在目标机器上执行任意命令、越权提权、窃取 / 篡改系统数据，可能导致业务系统被入侵、核心数据泄露、云托管环境横向渗透等严重风险。 在应用托管中使用OpenClaw 历史版本（26.3.13版本之前）的客户，请尽快升级至应用托管最新版本，该版本已修复当前披露的OpenClaw 相关安全漏洞。如继续使用存在漏洞的历史版本，业务系统将面临被攻击者控制、勒索、数据窃取等安全威胁，为了您的数据安全请及时完成版本升级，可联系您的客户经理，或者提交客服工单，亦或直接拨打热线电话：4008109889转1。

本节介绍如何添加、复制、删除时间计划。 您可以通过设置防护规则的生效时间段，确保规则仅在指定的时间段内生效。 应用场景 配置测试策略：为测试策略设置生效时间段，在测试期间，策略自动生效，确保测试的顺利进行；在测试结束时，策略会自动失效，无需手动操作。 控制公网暴露：当业务需要对外部开放端口时（例如仅办公时间开放），设置生效时间段可以有效减少公网暴露，降低潜在的安全风险。 特殊时间段的临时需求：临时的公网放行需求，无需担心忘记删除的安全风险。 添加时间计划 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”页面。 5. 切换至“时间计划”页签，单击“添加时间计划”，弹出“添加时间计划”界面，填写参数信息。 参数名称 参数说明 时间计划名称 自定义时间计划的名称。 描述 （可选）标识该计划的使用场景和用途，以便后续运维时快速区分不同计划的作用。 周期计划 添加周期计划 （可选）设置后，规则将在每周的固定时间段生效。 说明 当资源所在时区和本地时区不一致时，需要配置“资源所在时区”，即当前region所属地区的时区。 绝对计划 时间设置方式 当资源所在时区和本地时区不一致时，需要选择“时间设置方式”。防火墙引擎执行时按照“资源所在时区”的时间执行。 本地时区：当前客户端浏览器所属时区。 资源所在时区：云防火墙引擎所在地，即当前region所属地区的时区。 绝对计划 开始时间 设置规则生效的时间。 绝对计划 结束时间 （可选）设置规则失效的时间。 6. 单击“确认”，完成添加。

开启防护后，云防火墙默认放行所有流量，配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控，防止内部威胁扩散，增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能，区别如下表所示，流量命中某一条策略时，执行该策略的动作，各功能的防护顺序请参见“云防火墙的防护顺序是什么”。 防护规则和黑/白名单的区别如下： 类型 支持的防护对象 网络类型 防护后的动作 应用场景&特点 配置方式 防护规则 五元组 IP地址组 地理位置（地域） 域名和域名组 公网IP 私网IP 设置为“阻断”：流量直接拦截。 设置为“放行”：流量被“防护规则”功能放行后，再经过入侵防御（IPS） 功能检测。 通过具体的特征识别指定流量，适用于需要精细化控制特定流量的情况；例如通过协议类型、端口号、应用等特征配置规则。 通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 公网IP 私网IP 直接拦截流量。 快速拦截已识别的安全威胁，适用于已知恶意流量数据的情况。 通过添加黑白名单拦截/放行流量 白名单 五元组 IP地址组 公网IP 私网IP 流量被云防火墙放行，不再经过其它功能检测。 快速放行可信流量，适用于明确可信IP地址的情况。 通过添加黑白名单拦截/放行流量

本小节介绍开启容器防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “企业主机安全 > 资产管理 > 容器管理”页面“容器节点管理”中“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、 在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 容器节点管理 4、在“节点列表”中单击目标服务器“操作”列的“开启防护”，为需要开启防护的节点开启防护。 5、您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启节点防护。 包年/ 包月 在“您确定要对以下集群开启防护吗？”对话框中，“计费模式”选择“包年/包月”，阅读并确认“《容器安全服务免责声明》”。 “防护配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费 在“您确定要对以下集群开启防护吗？”对话框中，“计费模式”选择“按需计费”，阅读并确认“《容器安全服务免责声明》”。 6、在弹出的提示框中，阅读“《容器安全服务免责声明》”后，并勾选“我已阅读并同意《容器安全服务免责声明》”。 7、单击“确定”，开启节点防护，目标服务器“容器防护状态”变更为“防护中”，说明该节点已开启防护。 注意 一个容器安全配额防护一个集群节点。