应用场景 大数据分析，如广告精准营销、电商、车联网等大数据分析场景。内存存储系统，如Memcache等。

科研文件规格 可用区 适用 指标 性能 科研文件专业入门版 厦门4、北碚1、哈密1 冷数据、应用和环境、模型文件等 IOPS 无最低性能保证 科研文件专业入门版 厦门4、北碚1、哈密1 冷数据、应用和环境、模型文件等 吞吐量 无最低性能保证 科研文件专业性能版 北京11 模型训练数据集 IOPS 每GB 2.6 IOPS，1300 IOPS 起 科研文件专业性能版 北京11 模型训练数据集 吞吐量 每GB 0.2 MB/s， 100 MB/s 起 科研文件企业版 福州6、扬州7、中卫4、厦门6、贵阳2 模型训练数据集 IOPS 每GB 50 IOPS + 1800 IOPS 基准，最大35000 IOPS 科研文件企业版 福州6、扬州7、中卫4、厦门6、贵阳2 模型训练数据集 吞吐量 每GB 0.5 MB/s + 120 MB/s 基准，最大350 MB/s

本文介绍应用托管的使用限制。 可用区限制 当前开放华东1、华南2、嘉峪关1、安顺4可用区，其他可用区请持续关注。华东1和华南2可与其他公有云产品VPC内网打通，如果与其他公有云产品内网互通诉求，请使用华东1或华南2的可用区。 配额限制 使用应用托管平台时，需注意配额限制，每个可用区的配额具体如下表所示。如果可用区配额不能满足业务使用，可通过联系客户经理或工单申请调整资源池和配额。 公共资源算力配额 分类 限制数量 单位 CPU 500 核 GPU 50 卡 内存 1000 GB 存储 5000 GB 项目空间算力配额 使用项目空间时，支持为项目空间成员分配算力配额（全部可用区总额），具体如下表所示。如果默认配额不能满足成员业务使用，可通过项目空间管理员调整配额。 分类 默认限制数量 单位 CPU 500 核 GPU 50 卡 资源售罄 在购买算力资源时，所选的产品规格可能已售罄，如果没有需要的产品规格，请联系客户经理或通过工单反馈，我们会根据资源库存情况，补充对应的产品规格。

功能 约束与限制 部署 数据库实例所部署的弹性云主机，对用户不可见，只允许应用程序通过IP地址和端口访问数据库。 数据库访问 ● 对于没有开通公网访问的关系数据库MySQL实例，只能通过同一个虚拟私有云内的弹性云主机进行访问。 ● 弹性云主机必须处于目标关系数据库MySQL版实例所属安全组允许访问的范围内。 ● 当关系数据库MySQL版实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 ● 关系数据库MySQL版只读实例必须与主实例在同一子网内创建。 ● 关系数据库MySQL版实例的默认访问端口为13049（实际端口以控制台为准），如需修改端口可通过管理控制台操作。具体操作，请参见 数据库存储引擎 关系数据库MySQL版服务目前支持的存储引擎为：InnoDB，版本包括：5.7和8.0。更多信息，请参见 数据库的权限 数据库权限分为root用户权限和非root用户权限，具体说明如下： ● root用户权限：在创建实例时，默认为实例分配管理员root用户权限。具体权限说明，请参见本文的 root权限说明 。为避免影响业务正常使用，建议您谨慎对root帐号执行revoke、drop user、rename user操作。 ● 非root用户权限：实例创建成功后，您也可以为该实例创建非root用户并分配权限。具体操作，请参见 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。具体操作，请参见 搭建数据库复制 关系数据库MySQL版本身提供主备或一主两备的高可用架构，无需用户手动搭建。备库主要用于可高用和容错性，不允许用户应用直接访问。 重启实例 必须通过管理控制台操作重启实例，不支持命令行重启实例。 具体操作，请参见

本章节主要介绍翼MapReduce服务在不同场景下的应用。 大数据在人们的生活中无处不在，在IoT、电子商务、金融、制造、医疗、能源和政府部门等行业均可以使用云MRS服务进行大数据处理。 海量数据分析场景 海量数据分析是现代大数据系统中的主要场景。通常企业会包含多种数据源，接入后需要对数据进行ETL（ExtractTransformLoad）处理形成模型化数据，以便提供给各个业务模块进行分析梳理，这类业务通常有以下特点： 对执行实时性要求不高，作业执行时间在数十分钟到小时级别。 数据量巨大。 数据来源和格式多种多样。 数据处理通常由多个任务构成，对资源需要进行详细规划。 例如在环保行业中，可以将天气数据存储在OBS，定期转储到HDFS中进行批量分析，在1小时内MRS可以完成10TB的天气数据分析。 详见下图：环保行业海量数据分析场景 该场景下MRS的优势如下所示。 低成本：利用OBS实现低成本存储。 海量数据分析：利用Hive实现TB/PB级的数据分析。 可视化的导入导出工具：通过可视化导入导出工具Loader，将数据导出到DWS，完成BI分析。 海量数据存储场景 用户拥有大量结构化数据后，通常需要提供基于索引的准实时查询能力，如车联网场景下，根据汽车编号查询汽车维护信息，存储时，汽车信息会基于汽车编号进行索引，以实现该场景下的秒级响应。通常这类数据量比较庞大，用户可能保存1至3年的数据。 例如在车联网行业，某车企将数据储存在HBase中，以支持PB级别的数据存储和毫秒级的数据详单查询。 详见下图：车联网行业海量数据存储场景 该场景下MRS的优势如下所示。 实时：利用Kafka实现海量汽车的消息实时接入。 海量数据存储：利用HBase实现海量数据存储，并实现毫秒级数据查询。 分布式数据查询：利用Spark实现海量数据的分析查询。 实时数据处理 实时数据处理通常用于异常检测、欺诈识别、基于规则告警、业务流程监控等场景，在数据输入系统的过程中，对数据进行处理。 例如在梯联网行业，智能电梯的数据，实时传入到MRS的流式集群中进行实时告警。 详见下图：梯联网行业低时延流式处理场景 该场景下MRS的优势如下所示。 实时数据采集：利用Flume实现实时数据采集，并提供丰富的采集和存储连接方式。 海量的数据源接入：利用Kafka实现万级别的电梯数据的实时接入。

本小节介绍Web应用防火墙自定义防护规则最佳实践。 网站接入云WAF防护后，您可以为其开启自定义防护策略功能，据HTTP请求头与请求内容匹配字段设置过滤条件并组合进行访问控制。 通过自定义防护规则，您可以通过对网站专有字段的识别，高精度地鉴别业务流量和攻击流量，进行精准防护。您也可以在发现0day漏洞或发生重点安全事件时依据攻击流量特征进行精准拦截，保护您的网站安全。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“自定义防护配置”页签。 5. 单击“新增规则”，进入新增自定义防护配置页面。

本节介绍如何查看WAF独享型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF独享型实例。 查看独享型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 5. 查看独享型实例列表。 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 实例ID 实例的ID。 运行状态 当前实例的运行状态，包括正常、异常、离线。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 节点个数 当前实例的节点个数。 资源池名称 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 实例IPv4 单机版：显示单机节点本身内网IPV4地址。 集群版：显示集群VIP的IPV4地址。 实例IPv6 单机版：显示单机节点本身内网IPV6地址。 集群版：显示集群VIP的IPV6地址。 公网代理IPv4 绑定在实例上的IPV4公网地址，用于互联网IPV4通信，需要手动绑定用户的IPV4地址。 公网代理IPv6 绑定在实例上的IPV6公网地址，用于互联网IPV6通信，需要手动绑定用户的IPV6地址。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 域名个数 当前实例支持防护的防护对象个数。 业务带宽 当前实例支持防护的业务带宽。 产品版本 实例的规格，单机版或集群版。 6. 单击目标实例操作列的“查看产品详情”。 7. 在产品信息页面，可以查看实例版本、实例名称、实例ID、到期时间、实例规格等信息，并支持对实例进行管理。

参数 是否必填 参数类型 说明 示例 下级对象 currentPage 是 Integer 分页当前页码 1 pageSize 是 Integer 每页大小 10 vulType 是 Array of Strings 漏洞类型 LINUXlinux漏洞，WINDOWSwindows漏洞, EMERGENCYVUL应急漏洞,APPLICATION应用漏洞,WEBCMSwebcms漏扫 bgGroupId 否 Array of Strings 业务分组id agentGuid 否 String agentGuid testagentguid handleStatus 否 String {HANDLEDHANDLED, UNHANDLEDUNHANDLED, IGNOREDIGNORED} UNHANDLED vulStatus 否 Integer 漏洞状态 0未处理 1已处理 2已加白 3修复中 4修复成功 5修复失败 6已忽略 7验证中 8修复成功需要重启 9扫描中 1 fixLevel 否 String 修复优先级 LOW低 MIDDLE中 HIGH高 LOW paramType 否 Integer 查询参数类型 1服务器名称；2服务器ip 5guid 1 param 否 String paramType对应的模糊查询参数值 1test title 否 String 漏洞公告标题 vulsaas cveId 否 String cve编号 CVE20191234 rebootRequired 否 Boolean 是否需要重启 true riskStatus 否 String 风险状态 NRISK无风险 RISK有风险 空全部 NRISK

本节介绍了云数据库TaurusDB实例的只读节点。 产品简介 TaurusDB实例支持只读节点。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读节点，利用只读节点满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读节点的连接地址，才能实现将写请求发往主节点，而将读请求发往只读节点。 功能特点 规格与实例一致。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。 功能限制 单个“包年/包月”和“按需计费”实例最多可以创建15个只读节点。 实例恢复：不支持通过任意时间点创建临时节点，不支持通过备份集覆盖节点。 数据迁移：不支持将数据迁移至只读节点。 数据库管理：不支持创建和删除数据库。 帐号管理：只读节点不提供创建帐号权限，如需增加只读实例帐号，请在主实例上操作。

本节介绍了如何使用libpq连接云数据库GaussDB 数据库。 云数据库GaussDB 主备版部署形态未对此接口在应用程序开发场景下的使用做验证。因此对使用此接口做应用程序开发存在的风险未知，故不推荐用户使用此套接口做应用程序开发。推荐用户使用ODBC或JDBC接口来替代。 前提条件 编译并且链接一个libpq的源程序，需要做下面的一些事情： 获取libpq驱动， 解压GaussDBKernelVxxxRxxxCxxEULER64bitLibpq.tar.gz文件，其中include文件夹下的头文件为所需的头文件，lib文件夹中为所需的libpq库文件。 说明： 除libpqfe.h外，include文件夹下默认还存在头文件postgresext.h，gsthread.h，gsthreadlocal.h，这三个头文件是libpqfe.h的依赖文件。 包含libpqfe.h头文件： include 通过I directory选项，提供头文件的安装位置（有些时候编译器会查找缺省的目录，因此可以忽略这些选项）。如： gcc I (头文件所在目录) L (libpq库所在目录) testprog.c lpq 如果要使用制作文件(makefile)，向CPPFLAGS、LDFLAGS、LIBS变量中增加如下选项： CPPFLAGS + I (头文件所在目录) LDFLAGS + L (libpq库所在目录) LIBS + lpq 常用功能示例代码 此处以示例来说明连接方式： 示例1： /testlibpq.c / include 示例2： /testlibpq2.c 测试外联参数和二进制I/O。​在运行这个例子之前，用下面的命令填充一个数据库 ​CREATE TABLE test1 (i int4, t text);​INSERT INTO test1 values (2, 'ho there');​期望的输出是：​​tuple 0: got i (4 bytes) 2 t (8 bytes) 'ho there' /

操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【日志管理】—【业务日志】页面 3. 通过域名、时间周期进行组合查询业务日志。支持点击操作列【下载】按钮下载业务日志

在监控c应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍采用Jaeger SDK方式上报c应用的链路数据,具体如下。 前提条件 完成vpce接入。 背景信息 Jaeger是Uber推出的一款开源分布式追踪系统，兼容OpenTracing API，已在Uber大规模使用，且已加入CNCF开源组织。其主要功能是聚合来自各个异构系统的实时监控数据。 接入步骤 1、安装依赖包 plaintext dotnet add  package Jaeger dotnet add  package OpenTracing dotnet add  package OpenTracing.Contrib.NetCore 2、查看接入点信息 应用列表的接入指引会根据您所在资源池提供“通过 HTTP 上报数据”的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3、初始化SDK并设置exporters 新建文件JaegerServiceCollectionExtensions.cs，代码如下 plaintext using System; using System.Reflection; using Jaeger; using Jaeger.Reporters; using Jaeger.Samplers; using Jaeger.Senders.Thrift; using Microsoft.Extensions.Logging; using OpenTracing; using OpenTracing.Contrib.NetCore.Configuration; using OpenTracing.Util; namespace Microsoft.Extensions.DependencyInjection {     public static class JaegerServiceCollectionExtensions     {         private static readonly Uri jaegerUri  new Uri("endpoint"); //替换为上报数据的Endpoint         public static IServiceCollection AddJaeger(this IServiceCollection services)         {             if (services  null)                 throw new ArgumentNullException(nameof(services));             services.AddSingleton (serviceProvider >             {                 var serviceName  "";    //修改为自定义的服务名                 //ILoggerFactory loggerFactory  serviceProvider.GetRequiredService ();                 var loggerFactory  LoggerFactory.Create(builder >                   {                       // 添加控制台日志提供程序                       builder.AddConsole();                       // （可选）其他配置，例如设置日志级别                       // builder.SetMinimumLevel(LogLevel.Debug);                   });                 ISampler sampler  new ConstSampler(sample: true);                                  //将token替换为自己的鉴权token                 IReporter reporter  new RemoteReporter.Builder()                     .WithSender(new HttpSender.Builder(jaegerUri.ToString()).WithAuth("token").Build())                     .Build();                                 //IReporter reporter  new LoggingReporter(loggerFactory);                                 ITracer tracer  new Tracer.Builder(serviceName)                     .WithLoggerFactory(loggerFactory)                     .WithSampler(sampler)                     .WithReporter(reporter)                     .Build();                 GlobalTracer.Register(tracer);                 return tracer;             });             // Prevent endless loops when OpenTracing is tracking HTTP requests to Jaeger.             services.Configure (options >             {                 options.IgnorePatterns.Add(request > jaegerUri.IsBaseOf(request.RequestUri));             });                         return services;         }     } } 4、开启链路跟踪 plaintext using Jaeger; using Jaeger.Reporters; using Jaeger.Samplers; using Microsoft.Extensions.Logging; var builder  WebApplication.CreateBuilder(args); builder.Services.AddJaeger();        //ITracer对象的初始化和注册 builder.Services.AddOpenTracing();   //开启Http链路 builder.Services.AddControllers(); var app  builder.Build(); app.MapControllers(); app.Run();

在事件列表页面，可以筛选并查看所有告警事件。 功能入口 1. 登录【应用性能监控控制台】。 2. 在左侧导航栏选择告警管理>告警事件历史。 事件列表 事件列表页面显示了未恢复告警和已恢复告警的事件名称、通知策略、创建时间、事件数量、事件状态、事件对象。 在事件列表页面，您可以执行以下操作： 设置筛选字段，然后单击搜索，可以查看对应的告警事件。 字段 说明应用性能监控 事件名称 创建的告警规则的名称。 事件状态 告警事件的状态，共有以下3种状态： 告警中：告警事件持续被触发。 静默：在设置的自动恢复告警事件的时间内，和第一条告警事件名称和等级相同的告警事件的状态为静默。 已恢复：在设置的时间内，告警事件不再触发。 事件对象 监控任务名称或集群名称。 集成类型 告警事件对应的集成类型。 单击事件名称，查看目标事件的详细信息。更多信息，请参见下方【事件详情】。 事件详情 事件详情面板显示了事件的基本信息、监控数据和扩展字段。

本节介绍应用市场客户端的更多设置。 在客户端右上角有一个更多设置，点击按钮，可以设置下载安装目录、查看帮助手册和更新检查等。

本节主要介绍安装ICAgent ICAgent用于采集指标、日志和应用性能数据。对于直接购买的云主机、物理机，您需手动安装ICAgent。对于通过云容器引擎CCE开通订购的云主机，ICAgent会自动安装，您无需安装ICAgent。

类型 说明 主机记录 主机记录指域名前缀,例如 example.com 常用的解析如下: 网站解析:主机记录写www,解析的域名是www.example.com。 网站解析:主机记录为空,解析的域名是example.com。 子域名:主机记录写cdn,解析的域名是cdn.example.com。 邮箱解析:主机记录写mail,解析的域名是mail.example.com。 泛解析:主机记录写,解析的域名是.example.com,匹配example.com的所有子域名。 SRV主机记录格式:服务的名字.协议的类型,协议通常为TCP或UDP,服务为应用层服务名,如FTP/SIP等PTR反向解析记录格式:IPv4的格式,与地址192.168.1.2,相对应的反向解析域名为:2.1.168.192.inaddr.arpa,地址反转,后缀系统添加;IPv6的格式,与地址4321:0:1:2:3:4:567:89ab相对应的反向查找域名将为b.a.9.8.7.6.5.0.4.0.0.0.3.0.0.0.2.0.0.0.1.0.0.0.0.0.0.0.1.2.3.4.IP6.ARPA,地址反转,每一位16进制数间用"."分隔,后缀系统添加。 类型 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 TTL(秒) TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 值 填写IPv4地址，最多可以输入8个不重复地址，每行一个。 例:192.168.10.10 描述 可选参数，解析记录描述。

在应用性能监控告警管理模块内完成企微机器人创建后，您可在通知策略中绑定目标企微群组作为告警接收方。当通知策略的匹配条件触发时，系统将自动向该企微群组推送告警通知；企微群接收通知后，即可在企微端内对相关告警进行后续管理与处置。 前提条件 已在企业微信中创建用于接收告警通知的企业微信群。 操作步骤 步骤一：获取机器人Webhook地址 1. 打开并登录企业微信。 2. 单击企业微信群右上角的图标，然后单击群机器人。 3. 在群机器人 页面，单击添加机器人 ，然后在机器人页面，单击“新创建一个机器人”。 4. 在添加机器人 页面自定义机器人名称，然后单击添加。 5. 右键点击机器人，查看资料，即可获取机器人webhook地址。 步骤二：在应用性能监控控制台中创建机器人 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 单击钉钉/飞书/企微 页签，然后单击企业微信。 3. 在新建机器人面板设置以下参数，然后单击确定。 配置项 说明 名称 自定义企业微信机器人的名称。 机器人地址 输入企业微信机器人的Webhook地址。 告警模板 可编辑告警模板内容，告警触发时将根据模板内容进行发送。 恢复模板 可编辑告警模板内容，告警恢复时将根据模板内容进行发送。 在企业微信群中管理告警 在企业微信群中收到告警通知后，您可以在企业微信群里查看并管理告警。 相关操作 创建机器人后，您可以在钉钉/飞书/企微页签查询、编辑或删除机器人： 编辑机器人：单击机器人右侧操作 列中的编辑 ，在编辑机器人面板修改信息，然后单击确定。 删除机器人：单击机器人右侧操作 列中的删除 ，并在提示对话框中单击确认。

在应用性能监控告警管理模块内完成企微机器人创建后，您可在通知策略中绑定目标企微群组作为告警接收方。当通知策略的匹配条件触发时，系统将自动向该企微群组推送告警通知；企微群接收通知后，即可在企微端内对相关告警进行后续管理与处置。 前提条件 已在企业微信中创建用于接收告警通知的企业微信群。 操作步骤 步骤一：获取机器人Webhook地址 1. 打开并登录企业微信。 2. 单击企业微信群右上角的图标，然后单击群机器人。 3. 在群机器人 页面，单击添加机器人 ，然后在机器人页面，单击“新创建一个机器人”。 4. 在添加机器人 页面自定义机器人名称，然后单击添加。 5. 右键点击机器人，查看资料，即可获取机器人webhook地址。 步骤二：在应用性能监控控制台中创建机器人 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 单击钉钉/飞书/企微 页签，然后单击企业微信。 3. 在新建机器人面板设置以下参数，然后单击确定。 配置项 说明 名称 自定义企业微信机器人的名称。 机器人地址 输入企业微信机器人的Webhook地址。 告警模板 可编辑告警模板内容，告警触发时将根据模板内容进行发送。 恢复模板 可编辑告警模板内容，告警恢复时将根据模板内容进行发送。 在企业微信群中管理告警 在企业微信群中收到告警通知后，您可以在企业微信群里查看并管理告警。 相关操作 创建机器人后，您可以在钉钉/飞书/企微页签查询、编辑或删除机器人： 编辑机器人：单击机器人右侧操作 列中的编辑 ，在编辑机器人面板修改信息，然后单击确定。 删除机器人：单击机器人右侧操作 列中的删除 ，并在提示对话框中单击确认。

本文主要介绍通过调整客户端实例以获得最佳性能的最佳实践。 建议您调整客户端实例以获得最佳性能，可以进行以下配置达到更好的性能表现： 1. 修改网络超时时间为2秒，网络异常时快速切换。 注意 强烈建议配置此参数，如使用默认配置在网络异常情况下，挂载耗时会较长。 plaintext echo 2 > /sys/module/ko2iblnd/parameters/timeout echo 2 > /sys/module/ksocklnd/parameters/socktimeout echo 'options ko2iblnd timeout2' >> /etc/modprobe.d/lustre.conf echo 'options ksocklnd timeout2' >> /etc/modprobe.d/lustre.conf 2. 对于超过8个vCPU核心的客户端实例类型，可以通过增加CPU分区，获取更好的性能。 plaintext echo 'options libcfs cpunpartitions4' >> /etc/modprobe.d/lustre.conf echo 'options libcfs cpupattern""' >> /etc/modprobe.d/lustre.conf 3. 对于内存超过64GiB的客户端实例类型，我们建议应用以下调整： plaintext sudo lctl setparam ldlm.namespaces..lrumaxage600000 sudo lctl setparam ldlm.namespaces..lrusize 4. 对于超过64 个vCPU核心的客户端实例类型，我们建议应用以下调整： plaintext echo "options ptlrpc ptlrpcdpercptmax32" >> /etc/modprobe.d/lustre.conf echo "options ksocklnd credits2560" >> /etc/modprobe.d/lustre.conf 挂载客户端后，需要应用以下调整： plaintext sudo lctl setparam osc.OST.maxrpcsinflight32 sudo lctl setparam mdc..maxrpcsinflight64 sudo lctl setparam mdc..maxmodrpcsinflight50 请注意，已知lctl setparam重启后不会继续有效。由于无法从客户端侧永久设置这些参数，因此建议实施启动cron作业，使用推荐的调整来设置配置。

本页主要介绍数据库代理支持的连接池类型，以及各类型的应用场景和工作原理。 连接池概述 数据库代理支持两种连接池：事务级连接池和会话级连接池。默认使用事务级连接池。两种连接池都能降低业务与数据库建立连接的频率，从而减少数据库建立连接带来的开销。 两者的区别在于连接复用的程度。数据库代理中连接分为前端连接和后端连接，前端连接时业务应用到数据库代理的连接。后端连接是指数据库代理到数据库实例的连接，这里连接池是特指后端连接的连接池。 当客户端发起连接会话请求时，只会与数据库代理建立前端连接，代理不会马上将其与后端数据库建立连接。当真正提交业务请求时，才会从连接池中查找可用的后端连接或者创建后端连接。 事务级连接池 应用场景 业务多为短连接，连接建立频繁； 连接数量很大。 工作原理 选择事务级连接池，当需要处理一个业务事务时，从连接池中查找是否存在可用的连接。如果存在则占用该空闲连接，否则代理与后端数据库创建一个新的后端连接。 在当前事务结束后将该连接放回连接池中。这样连接会被下一个事务使用，这个事务可能是当前业务会话，也可能是其他业务会话。 如上图所示：有事务的会话占用后端连接，没有事务的会话不占用连接，一个连接被多个会话轮流共用。因此它能显著减少后端数据的连接数量和连接频率，避免了空闲连接带来的资源浪费，特别适用于大量短连接的业务应用。 特别注意，事务级连接会在一些特殊的使用场景会转换为会话级连接： 执行锁操作LOCK TABLE, LOCK TABLES 或者FLUSH TABLES WITH READ LOCK； 执行了PREPARE 语句； 使用了TEMPORARY TABLE； 设置了SQLLOGBIN0； 使用sqlsafeupdates ，sqlselectlimit ，maxjoinsize 等safeupdates设置； 使用了SQLCALCFOUNDROWS 功能； 设置了FOREIGNKEYCHECKS ，UNIQUECHECKS，AUTOINCREMENTINCREMENT AUTOINCREMENTOFFSET ，GROUPCONCATMAXLEN 等等； SQL语句中包含了@ 字符。 会话级连接池

方向 协议/应用 端口 源地址 入方向 TCP 80 0.0.0.0/0

本文将介绍如何自定义控制台创建您的用户与组织列表,用于您的企业员工登录零信任客户端进行身份认证。 背景说明 企业员工在登录客户端时需要进行身份认证，本文主要介绍服务控制台创建用户与组织信息。 注意 如果已订购零信任服务或终端管理，可使用该功能进行创建用户，适用于登录AOne客户端；如果已订购“学术加速企业版”，可使用该功能创建用户，适用于登录学术加速客户端。 功能介绍 支持通过手动创建进行用户与组织关系构建。 支持通过表格模板批量导入进行用户与组织关系构建。 用户与组织列表管理，支持对用户重置密码，禁用账号，查看用户具备的应用系统权限等。 完成企业用户与组织信息构建后 ，您可以基于用户与组织关系进行差异化的应用权限管理和零信任策略下发。 操作步骤 1. 登录边缘安全加速控制台。 2. 在AOne零信任、AOne终端管理，AOne学术加速三个工作台进行操作。 3. 在左侧导航栏身份用户与组织，查看并处理用户与组织配置。 用户配置 用户信息字段说明 注意 建议账号不与手机号、邮箱重复，若重复，则以账号为主（如账号A为手机号1 , 账号B的手机号也为手机号1，则登录时采用手机号1则以账号A进行身份认证）。 字段 字段说明 备注 姓名 非必填，可填写员工姓名用于身份标识。 账号 必填，用于登录和唯一标识的账号，不可修改，可包含数字、符号（仅支持“” 、“·”），不允许企业内账号重复。 归属组织 勾选归属组织，默认位置为您的根组织节点，组织信息来源于组织分页管理的组织列表。 若使用批量导入用户功能，则此字段需要填写组织全路径，不同级别组织之间使用“”分隔，例如xx一级组织xx二级组织。 状态 用户状态分为正常、禁用和锁定。 若被锁定，则用户账号状态显示为“锁定”，若想将用户进行解锁正常登陆，请点击更多的解锁按钮 。 用户组 非必填，勾选适合的用户组，用户组信息来源于用户组管理栏目配置的用户组列表。 手机号 非必填，默认不允许企业内员工手机号重复，手机号可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 邮箱 非必填，默认不允许企业内员工邮箱重复，邮箱可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 初始密码 非必填，支持自定义填写密码，也支持点击自动生成按钮随机生成密码。若未设置则默认初始化密码，设置的密码均需满足登录策略密码策略配置的要求。 出于安全考虑，首次采用初始化密码必须修改密码，建议可采用“忘记密码”直接重置密码。 若使用批量导入用户功能，则无此字段，系统会根据密码策略自动生成用户初始密码。 是否审批负责人 非必填，定义其是否为审批负责人，仅定义是审批负责人的人员，才可被其他员工选中为其审批负责人。 审批负责人 非必填，主要用于权限申请环节，若配置需要审批负责人审核，则员工对应的审批负责人将进行审批。 员工属性 非必填，可定义员工属性，如外协、正式，其他。 备注 非必填，填写用户备注的一些信息。 账号有效期 非必填，若未选择，则默认是永久有效，可选择账号到期时间，在到期时间之后，该账号将被设置为禁用状态，被禁用的账号在登录后将进行拦截，需重新设置有效期，其账号状态才变成启用。若是被手动禁用的账号，在账号有效期过期后，除重新设置有效期外，还需手动进行账号启用。 通知方式 注意 目前该能力需提交工单或联系专属运营进行操作。 批量新增用户或单用户新增时刻进行选择是否通知用户。 目前仅支持短信通知，若未配置手机号则不进行发送通知。 通知内容：出于安全考虑可以默认仅通知账号，员工可通过“忘记密码”进行重置密码后登录；若同时勾选密码，则会发送初始密码+账号，首次登录将强制要求进行修改密码。

本文介绍访问请求响应403状态码如何排查和处理。 问题描述 网站接入Web应用防火墙（边缘云版）之后，当访问请求有可能对网站造成安全威胁时，WAF防护引擎会拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案 当请求响应403拦截时，您可以通过Web应用防火墙（边缘云版）控制台查看具体的攻击拦截信息： 在Web应用防火墙（边缘云版）控制台，通过安全分析 > WAF攻击报表，查看WAF攻击数据的多维度统计分析。也可以通过日志管理 > WAF攻击日志查看每条拦截请求的攻击详细信息，其中事件ID跟拦截请求响应内容中的RequestID对应。 通过分析攻击日志详情后，如果您认为该拦截的请求是正常业务请求，可通过点击日志详情页面的"添加白名单"按钮，进入添加白名单页面添加对应的白名单规则。

有安全经验的使用者如何配置符合自己网站的安全策略 如果您有了解过网站安全的相关知识，或者有网站安全运维的经验，那么当你的网站遭到Web攻击时，您可以根据边缘安全加速平台控制台的安全报表、攻击日志等内容进行快速排查定位，并及时修改安全防护配置解决问题，防止问题严重性进一步扩大。根据上述描述推荐您在域名接入到边缘安全加速平台的安全服务后，根据实际业务场景使用如下防护功能： 配置规则 当您的域名存在误报情况时，您可以设置域名规则白名单来减少误报，对于符合白名单规则的请求，安全防护引擎可以根据您的配置直接放行请求。 操作导航：在控制台的“安全能力 > Web应用防火墙>防护规则引擎”页面中选中具体规则添加白名单，完成相关配置。 您也可以通过防护控制模块设置具体的防护模块白名单，加白部分防护模块，使域名防护更加精确。 配置访问控制策略 您可以使用访问控制功能针对指定的IP地址，IP段或者地区来源的访问请求进行封禁。或者只允许指定部分IP、IP段、地区访问您的业务，例如：封禁海外IP地址。您也可以使用访问控制功能限制某些接口请求频率不能过高。 针对具体攻击场景的防护策略配置 您也可以配置CC攻击防护、攻击挑战、敏感词、网页防篡改等策略来应对各种Web攻击场景，维持网站稳定，如下图所示： 特殊的防护配置 如果您存在特殊的配置在页面上无法进行配置时，可以联系我们天翼云安全专家，沟通具体的解决方案。

本文介绍弹性文件存储卷概述。 Serverless集群支持使用天翼云弹性文件存储卷。当前cstorcsi插件支持使用弹性文件静态存储卷，通过将弹性文件存储卷挂载到容器指定目录下，以实现数据持久化需求。 弹性文件提供按需扩展的高性能文件存储，可为云上多个弹性云主机、容器、物理机等计算服务提供大规模共享访问，具备高可用性和高数据持久性。提供标准的POSIX文件访问接口，可以将现有应用与文件存储无缝集成。 使用限制 规格类型 当前cstorcsi插件支持SFS Turbo标准型、SFS Turbo性能型。 文件协议 当前cstorcsi插件仅支持NFS协议。 容量 单个文件系统最小容量为500GB。 文件系统加密 当前暂不支持使用加密。 性能规格 SFS Turbo标准型、SFS Turbo性能型规格对比：弹性文件性能对比。 说明 最大IOPS、最大带宽两个参数的值均为读写总和，比如最大IOPSIOPS读+IOPS写。 最大IOPS大小与容量无关。 时延是指低负载情况下的最低延迟，非稳定时延。 使用场景 根据业务需求，弹性文件类型的存储常见以下使用场景： 使用弹性文件动态存储卷（暂不支持）：即用户无需预先创建文件系统和PV，只需创建PVC时指定存储类（StorageClass），存储插件cstorcsi就会自动创建文件系统及对应PV资源，推荐使用。 使用弹性文件静态存储卷：即用户预先创建文件系统，并创建对应的PV资源。之后在创建PVC时选择已有PV进行挂载。适用于已有可用的底层存储或底层存储需要包周期的场景。 有状态负载挂载弹性文件：支持有状态负载通过PVC模版的方式，实现为每一个Pod关联一个独有的PVC及PV，当Pod被重新调度后，仍然能够根据该PVC名称挂载原有的数据。

当有数据库内核对应的小版本更新时，您可以在控制台进行版本升级。本文介绍了关系数据库MySQL版升级数据库内核小版本的具体操作。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 业务运行状态正常且主备实例延迟不大于10秒。 实例机器磁盘不超过85%，并且每个库状态都正常（不占用系统盘），单机版本磁盘使用率不大于45%。 只读实例不支持单独升级。 当前数据库内核版本是最新版不能进行小版本升级，新购买的实例内核默认为最新版本。 注意事项 升级数据库内核小版本会重启MySQL实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，且确保您的应用有自动重连机制。 主备实例升级内核小版本期间会触发一次主备切换；如果主备实例在不同AZ，则会触发两次主备切换。 升级主实例小版本时，如有只读实例，也会同步升级只读实例的小版本，升级完成会重启实例，请您选择合适的时间升级。 升级内核小版本后，实例会升级到新的内核小版本，无法降级。 升级过程屏蔽操作：基本信息（修改密码、重置账号权限、修改端口、设置可维护时间）、备份恢复（屏蔽手动的备份和恢复，如果升级的时候在自动备份，会备份失败，不用干预）、参数设置、数据库管理、账号管理、可用性管理。 如当前实例是一主一备且复制方式为半同步复制方式，升级过程中会自动将复制方式改为异步复制，升级完成后再调整回半同步复制。 升级前的备份文件不可进行恢复。建议升级完成发起一次全量备份。

高级特性对比 表高级特性对比 特性类型 描述 独享型 共享型 支持选择实例规格 负载均衡提供多种规格供选择，不同规格的实例提供差异化的性能指标，可以根据具体的业务访问量，选择合适的规格。 详见独享型负载均衡实例规格。 √ ╳ 支持全链路HTTPS数据传输 添加监听器时，前端协议选择“HTTPS”，后端协议也支持选择“HTTPS”。 √ ╳ 支持IPv6地址 负载均衡支持转发来自IPv6客户端的请求。支持将负载均衡当前使用IPv6地址修改为其它子网的IP地址。 √ ╳ 支持修改IPv4私有IP 可以将负载均衡当前使用IPv4私有IP修改为当前子网或者其它子网的目标IP地址。 √ ╳ 支持慢启动（后端服务延时接收流量） 弹性负载均衡支持七层（HTTP/HTTPS）后端协议开启慢启动功能，在设置的慢启动时间内线性增加请求分配权重， 达到请求数线性增加的目的。慢启动能够实现业务的平滑启动，完美避免业务抖动问题。 √ ╳ 支持HTTPS双向认证 开通双向认证，除了配置主机的证书之外，还需要配置客户端的证书，以实现通信双方的双向认证功能。 此功能目前仅支持协议类型为HTTPS的监听器。 √ √ 支持自定义超时时间 弹性负载均衡支持配置和修改监听器的超时时间（空闲超时时间、请求超时时间、响应超时时间）， 方便用户根据自身业务情况，自定义调整超时时间。例如，HTTP/HTTPS协议客户端的请求文件比较大， 可以增加请求超时时间，以便能够顺利完成文件的传输。独享型负载均衡支持修改TCP/UDP/HTTP/HTTPS协议的超时时间。 共享型负载均衡器支持修改TCP/HTTP/HTTPS协议的超时时间，但是不支持修改UDP的超时时间。 √ √ 支持安全策略 对于银行，金融类加密传输的应用 ，在创建和配置HTTPS监听器时，您可以选择使用安全策略， 可以提高您的业务安全性。安全策略包含TLS协议版本和配套的加密算法套件。 √ √

本文主要介绍如何设置告警规则。 操作场景 RDSPostgreSQL产品支持设置告警规则，用户可自定义监控目标与通知策略，以便及时了解数据库服务运行状况，从而起到预警作用。 约束限制 仅RDSPostgreSQLⅡ类资源池支持设置告警规则。 设置告警规则的步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【监控中心】→【告警设置】→“新建策略”进行告警规则的设置。 5. 完成告警规则参数填写后，点击保存，并开启告警规则。 告警规则参数解释 参数名 参数解释 策略名称 告警策略的名称，一个告警策略可以包含多个告警规则。 资源池 告警策略对应的资源池。 备注 告警策略的备注信息。 告警对象 可选择天翼云数据库组件，并选择对应的告警实例。例如可以选择“实例PostgreSQL”，然后点击“选择实例”选择对应的实例到告警规则中。 模板类型 支持手动创建告警规则，用户也可在“告警中心”>“告警模板”中创建模板然后通过应用已有模板创建告警规则。 阈值告警 支持选择实例CPU使用率、内存使用率、磁盘使用率、TPS、QPS、wal日志空间等监控指标。 事件告警 支持选择实例状态、agent进程状态、备份程序状态、集群状态指标。 沉默周期 指告警发生后如果未恢复正常，间隔多久重复发送一次告警通知。 告警级别 支持选择紧急、告警、普通三种告警级别。 告警方式 支持选择邮箱、短信和企业微信，支持同时选择多种告警方式进行告警。填写后将额外推送告警消息至指定的告警方式。 告警联系人 选择后会将告警信息推送至联系人绑定的邮箱和短信。 告警联系组 选择后会将告警信息推送至该组内的联系人。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

此小节介绍设置告警通知。 通过设置告警通知，当数据库发生设置的告警事件时，您可以收到告警的通知邮件。您可以开启或关闭告警通知、设置告警的风险等级以及系统资源的告警信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置告警通知的实例。 6. 选择“告警通知”页签。 7. 设置告警通知，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 告警通知 开启或关闭告警通知。数据库安全审计默认开启告警通知，当数据库发生设置的告警事件时，数据库安全审计将发送告警通知邮件。：开启：关闭 告警方式 当前支持邮件通知的告警方式。 邮件通知 每天发送告警总条数 每天允许发送的告警总条数。须知如果每天的告警数超出该参数值，超出部分的告警信息将不会发送通知。 30 告警风险等级 选择产生告警通知的风险日志告警风险等级，可以选择：高中 低 高 CPU告警阈值(%) 设置审计实例系统资源CPU告警的阈值。当超过该阈值时，产生告警通知。 80 内存告警阈值(%) 设置审计实例系统资源内存告警的阈值。当超过该阈值时，产生告警通知。 80 磁盘告警阈值(%) 设置审计实例系统资源磁盘告警的阈值。当超过该阈值时，产生告警通知。 80 8. 单击“应用”。

本节介绍了DRDS版本升级的操作场景、注意事项、操作步骤等内容。 什么是DRDS系列优选版本？ DRDS内核版本通常由4位数字组成（如3.0.8.x），取前三位数字作为大版本号（如3.0.8）。每个大版本会在版本迭代过程中发布一系列小版本，本系列优选版本是当前大版本下的推荐版本，通常是最新且最稳定的小版本。对于同一大版本下的DRDS实例，将内核版本升级至本系列优选版本属于小版本升级，通常涉及问题修复和优化，语法兼容风险较小，推荐客户将实例升级至本系列优选版本。 什么是DRDS最新版本？ 当前DRDS最新大版本的优选版本。 操作场景 DRDS支持手动升级内核版本，可选择当前系列优选版本和最新版本升级。 系列优选版本：相同大版本下的推荐版本。改动较小，兼容风险较小。 最新版本：最新大版本下的推荐版本。改动涉及新特性、性能优化、问题修复，属于大版本升级，存在兼容性风险，建议升级前做充分的业务测试。 新创建的DRDS实例默认为最新版本。如果华为云有新的内核版本发布时，您可以在“实例管理”页面的“版本”列看到内核版本升级提示，单击“版本升级”弹出升级版本弹窗。 注意事项 升级数据库内核版本会重启DRDS实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 如果实例已经为本系列优选版本，则只可升级至最新版本。 如果当前版本与升级目标版本跨度较大，请务必在测试实例上做好充分的业务兼容性测试后，再进行生产实例的版本升级，确保生产业务稳定不受影响。 版本升级后如有业务不兼容问题，可及时将版本回滚至升级前版本，详细内容请参考版本回滚。

本章节介绍关系型数据库如何绑定和解绑公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是8635，那么需确保安全组开通了8635端口的访问。 注意事项 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云主机上。 前提条件 用户需要在VPC申请一个弹性公网IP。 只有主实例和只读实例才能绑定弹性公网IP。 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 说明 部分已创建实例暂不支持该功能，因为其连接地址的创建方式不支持绑定弹性公网IP。 绑定弹性公网IP 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4、在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 5、选择“弹性公网IP”页面，单击“绑定弹性公网IP”。 6、在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“确定”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 7、在“弹性公网IP”页面，查看绑定成功的EIP。 您也可以在“任务中心”页面，查看绑定弹性公网IP任务的执行进度及结果。

一级能力 二级能力 功能介绍 病毒查杀 周期查杀 企业管理员可以周期性对员工设备进行病毒检测并自动查杀，有效发现和清除终端已存在的病毒 下发查杀 企业管理员可以立即对员工设备进行病毒检测并自动查杀，立即对员工设备进行风险摸底 右键查杀 企业员工快捷对文件、文件夹进行查杀 自定义扫描 企业员工自定义选择本机文件夹、局域网文件夹进行查杀 隔离区 把检测出的病毒文件备份至隔离区 信任区 为了防止误杀，把一些确认安全的文件、文件夹加进信任区，病毒查杀将跳过这些文件 黑白名单 企业管理员可以把误报的文件快速全租户加白；把漏报的文件快速全租户加黑 实时防护 文件实时防护 查杀任务只能指定时间触发，做不到实时防护，因此需要对即将进入设备的病毒进行实时监控。比如文件下载、复制、落地、文件读写等所有文件操作 U盘防护 U盘是携带病毒的常见外设，因此插入U盘时，需要进行病毒防护 局域网共享防护 局域网共享路径是病毒常见的横向扩散手段，因此本机电脑对局域网共享路径进行操作时需要实时监控，比如文件上传、执行等 漏洞补丁 漏洞修复 企业员工对设备进行漏洞扫描和补丁修复，有效发现和修复设备存在的紧急漏洞，加固操作系统的安全性 补丁管理 企业员工对已安装补丁进行查看和卸载 周期扫描 企业管理员可以周期性对员工设备进行漏洞扫描并自动修复，有效发现和修复终端存在的系统漏洞 下发扫描 企业管理员可以立即对员工设备进行漏洞扫描并自动修复，立即对员工设备进行漏洞风险摸底 处置能力 对于企业员工自行扫描但暂未处理的漏洞，企业管理员支持在控制台一键修复 外设管控 U盘 企业管理员对员工的U盘、SD卡、外接硬盘进行禁用、只读、审计管控，有效阻止风险入侵，有效防止文件外泄 便携设备 企业管理员对员工的便携设备进行禁用、审计管控，有效阻止风险入侵，有效防止文件外泄 外设白名单 对于企业的特殊外设，比如老板的U盘往往不需要管控，可以提前置为白名单，白名单设备不受策略管控 弹窗拦截 广告弹窗拦截 对于已安装软件，支持自动拦截广告、骚扰、恶意弹窗。为⽤⼾提供⽆⼲扰的纯净操作环境，赋能绿色上网诉求 问题软件防护 对于正在安装的软件，支持阻止捆绑、静默、强制的安装行为 接入DeepSeek 接入DeepSeek 凭借DeepSeek先进的自然语言处理与推理能力，帮助企业精准分析终端安全威胁并提供优化策略，无需登录也可以轻松使用 防钓鱼 IM防钓鱼 面向办公网钓鱼防护场景，支持检测IM工具下载的文件是否带毒、是否为伪装文件，工具包括（钉钉、企业微信、飞书、QQ、微信、TIM（腾讯）） 邮件防钓鱼 面向办公网钓鱼防护场景，支持检测邮件附件是否带毒、是否为伪装文件，邮箱客户端包括（AOnemail、Outlook（微软）、Thunderbird（Mozilla）、FoxMail（腾讯）、网易邮箱大师（网易）、Windows Mail（微软）） AI安全检测 应用发现 支持盘点Windows、MAC设备上运行的大模型组件，包括应用名称、版本、应用描述、所属设备和用户等，高效构建AI应用资产全景 应用漏洞 支持超过 30+种 AI 应用组件漏洞检测，通过多视图查看及标记能力实现漏洞高效管理 适配信创 病毒查杀 与Windows系统类似，麒麟/统信终端支持全盘扫描、快速扫描、自定义扫描、周期扫描、下发扫描、隔离区、信任区、黑白名单 软件管理 软件分析 通过周期性采集上报软件资产，统计最新的终端设备软件安装总数量，范围包括系统安装软件，运行软件 软件管控 企业管理员支持对员工电脑里的软件下发黑名单管控策略，即选中的软件禁止运行 风险软件 企业管理员支持一键禁止员工使用黑客工具、远程控制工具（这两类软件，通常容易被攻击者利用） 上网行为管控 上网分析 上网行为分析将采集员工互联网上网行为 上网管控 通过配置管控策略限制员工的上网行为 合规检测 合规检测 针对企业员工终端合规基线情况进行检测，不符合终端合规检测要求则进行相关处置