本章节介绍应用服务网格CSM相关配置建议 概述 本文介绍应用服务网格相关资源配置的建议，避免因配置错误或者不合理导致的不符合预期的行为。 VirtualService（虚拟服务） 1. 虚拟服务资源需要配置到目标服务所在的命名空间下，不建议跨命名空间配置虚拟服务。 2. 一个特定host的路由规则只定义在一个虚拟服务资源下，同host存在多个虚拟服务资源时将只会生效最新创建的一个。 3. 虚拟服务资源下的host（虚拟服务对应的host或者路由目标中的host）建议配置成FQDN（fully qualified domain name）；如果使用短名，istio会根据虚拟服务资源定义的命名空间补全host，可能与实际的服务名不一致。 4. 对于一个服务，同时存在host模糊匹配和精准匹配的虚拟服务时，将以精准匹配的定义为准。 5. istio会在没有匹配到路由规则时默认访问目标服务的所有子集，但是这样没有执行任何流量治理策略；所以我们建议总是为服务定义一个默认路由，并通过目标规则定义流量策略，这样可以充分利用Envoy的流量治理能力，保证服务的访问总是在掌控之中。 DestinationRule（目标规则） 1. 业务访问中使用目标规则时的查找顺序是： 先查找客户端的命名空间中是否有要访问的服务的目标规则定义。 再查找服务端命名空间中是否有要访问的服务的目标规则定义。 最后查找根命名空间中的目标规则定义。 对于一次访问，如果目标规则没有定义在上面三个地方中，目标规则将不会生效，这里建议每个服务在自己所在的命名空间下定义目标规则。 2. 目标规则中的host也建议使用FQDN，避免不必要的错配。 3. 对于一个服务，同时存在host模糊匹配和精准匹配的目标规则时，将以精准匹配的定义为准。 4. 目标规则中可以针对某个服务的子集定义负载均衡、连接池、异常检测等策略，这些策略只有在虚拟服务中显式引用了该目标子集所产生的访问下才会生效，否则不生效。

本节介绍云等保专区产品的漏洞扫描配置类问题。 漏扫扫描如何进行接入配置？ 1. 用户登录后先进行资产管理设置，添加资产，便于后续对资产进行扫描，在菜单栏选择“ 资产管理 > 资产列表 ”，选择主机资产页签，点击“新增”。 在弹出的新建主机资产对话框中编辑相关信息，点击“提交”。 2. 接着创建扫描策略，制定扫描策略模板，使扫描任务更具针对性，在菜单栏选择“ 模板中心 > 漏洞模板 ”，选择主机策略页签，点击“新增”。 进入新建主机策略模板页面，编辑策略模板名称，选择策略规则（策略规则从等级、目标、类型三个维度进行分类），勾选对应的策略，点击“提交”。 3. 然后创建扫描任务，开启扫描任务后对于主机漏洞进行扫描，在菜单栏选择“ 任务管理 > 任务列表 ”，进入任务列表页面，点击“新增”，页面跳转至创建任务页面，具体操作请参见创建任务。 4. 最后扫描结束后，导出扫描报告，针对扫描结果分析资产安全风险，菜单栏选择“报告管理”，进入报告管理页面，点击“新增”。 进入新建报告页面，编辑相关信息，点击“输出报告”。

本文介绍了云防火墙（原生版）产品的操作日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 操作日志”，进入操作日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、危险等级、操作行为、日志内容进行筛选。 5. 操作日志列表包括发生时间、危险等级、操作行为、日志内容。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

4、基础配置 硬件配置选择完成后，左下角会计算当前配置需要费用。点击右下角“下一步”按钮进入基础配置页面。基础配置页面如下图所示，参数说明如下： 集群名称：集群名称可由大写字母、小写字母、数字及特殊符号（:/）组成，最大28字符。 登录方式：默认密码。 登录账号：用于登录弹性云主机的账号，默认为root。 登录密码：用于登录弹性云主机的密码，密码长度为1226字符，需包含大写字母、小写字母、数字和特殊符号（仅包括：~!@$%^+{[]}:,.?），不能包含root、toor相关大小写变形字符串和3位及以上连续数字或字符。 确认密码：与登录密码相同。 5、确认订单 基础配置填写完成后，点击右下角“下一步”按钮，进入确认订单页面。配置清单说明如下： 确认内容是否有误，点击画笔图标，即可回退到相应页面，修改集群信息。 勾选“我已阅读并同意《天翼云翼MapReduce服务协议》 《天翼云翼MapReduce服务等级协议》 ”，“立即购买”按钮变成高亮显示，点击并进入支付页面，购买后即可租用当前配置的集群。

本章节为您介绍告警日志的相关内容 当系统检测到违反安全策略或预定义规则的行为时，会生成对应等级的告警日志 ，以警示用户可能面临的安全隐患。 为了增强查询的便捷性和效率 ，系统还支持根据时间、特定字段、告警等级以及规则名称等多种条件进行精确筛选 ，确保用户能够迅速定位并处理潜在的安全风险。 检索告警日志 1.在左侧菜单栏选择“查询分析 > 告警日志”进入告警日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关告警日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看告警日志详情 1.在左侧菜单栏选择“查询分析 > 告警日志”进入告警日志页面。 2.在告警日志列表中，单击日志条目右侧的“详情”可以查看该告警记录的详细信息，包括告警记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击告警日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的告警日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的告警日志详情文件。

天翼云网页防篡改（原生版）产品（CTWT，WebpageTampering）具有广泛的应用场景，以下是三种常见的应用场景。 场景一：网站实时监管 政府、金融、交通等行业需要对网站进行实时监测，防止网站被植入涉恐、涉政、暗链、后门等，否则一旦网站出现被篡改问题，会严重影响政府、交通等单位形象，造成企业巨大损失。 场景二：重大活动保障 在重大活动保障期间，各行业的官网、业务系统等网站出现非法关键词，导致被监管单位通报，其声誉将受到影响，评分会受到严重影响。 场景三：等保合规 信息安全等级保护是我国信息安全保障的一项基本制度，要求网络经营者应符合网络安全等级保护制度的要求。天翼云网页防篡改（原生版）帮助有等保需求的用户，进行安全测评，满足等保合规的要求。

问题 我们在default命名空间部署bookinfo应用，我们在另外一个命名空间foo配置虚拟服务和目标规则，将各个服务的流量全部路由到v1版本，如下图所示： Bookinfo应用： 在foo命名空间定义的虚拟服务和目标规则： 此时通过Ingress gateway访问bookinfo应用显示对details和reviews服务的调用失败了。 原因 查看productpage日志可以看到，找不到上游的details和reviews服务（NC）。 原因在于目标规则的定义没有生效，我们在虚拟服务里定义的规则需要路由到v1版本，但是没有找到目标规则对v1版本的定义；这里建议您把目标规则定义到目标服务所在的命名空间或者根命名空间（默认istiosystem）。 在default命名空间重新定义了目标规则之后，服务可以正常访问了：

参数 参数说明 取值样例 名称 系统会随机产生一个名称，用户也可以进行修改。 alarmb6al 描述 告警规则描述（此参数非必填项）。 资源类型 配置告警规则监控的服务名称。 Elastic Cloud Server 维度 用于指定告警规则对应指标的维度名称。 ECSs 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 监控对象ID 资源ID。 监控指标 例如： CPU使用率 该指标用于统计测量对象的CPU使用率，以百分比为单位。 内存使用率 该指标用于统计测量对象的内存使用率，以百分比为单位。 CPU使用率 告警策略 触发告警的告警策略。 例如：监控周期为5分钟，连续三个周期平均值≥80% 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要 发送通知 配置是否发送邮件、短信通知用户。 触发条件 可以选择“出现告警”、“恢复正常”两种状态，作为触发告警通知的条件。

参数 说明 区域 终端节点服务所在区域。 不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 名称 可选参数。 终端节点服务的名称。 长度不大于16，支持大小写字母、数字、下划线、中划线。 如果您不填写该参数，系统生成的终端节点服务的名称为{region}.{serviceid}。 如果您填写该参数，系统生成的终端节点服务的名称为{region}.{Name}.{serviceid}。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。 可选择开启或关闭连接审批。 若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批，详细操作请查看 连接审批 。 端口映射 终端节点服务与终端节点建立连接关系，进行通信，协议可选择TCP。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明 通过“终端端口→ 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。 可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器：作为服务器使用。 此处选择“弹性负载均衡”。 说明： 安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的“添加安全组规则”。 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。 说明 弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。

事件目标是事件规则的一部分，负责消费经事件规则过滤与转换后的事件。 事件目标 事件总线EventBridge支持以下事件目标： 函数计算 分布式消息服务RocketMQ 分布式消息服务RabbitMQ 分布式消息服务Kafka HTTP、HTTPS地址

本文介绍了云防火墙（原生版）产品的入侵防御日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 入侵防御日志”，进入入侵防御日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、攻击类型、攻击等级、判断来源、目的IP地址、源IP地址、方向进行筛选。 5. 入侵防御日志列表包括发生时间、源IP地址、源端口、目的IP地址、目的端口、应用、攻击类型、等级、命中规则ID、命中规则名称、判断来源、方向和防御状态。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

4、基础配置 硬件配置选择完成后，左下角会计算当前配置需要费用。点击右下角“下一步”按钮进入基础配置页面。基础配置页面如下图所示，参数说明如下： 集群名称：集群名称可由大写字母、小写字母、数字及特殊符号（:/）组成，最大28字符。 登录方式：默认密码。 登录账号：用于登录弹性云主机的账号，默认为root。 登录密码：用于登录弹性云主机的密码，密码长度为1226字符，需包含大写字母、小写字母、数字和特殊符号（仅包括：~!@$%^+{[]}:,.?），不能包含root、toor相关大小写变形字符串和3位及以上连续数字或字符。 确认密码：与登录密码相同。 5、确认订单 基础配置填写完成后，点击右下角“下一步”按钮，进入确认订单页面。配置清单说明如下： 确认内容是否有误，点击画笔图标，即可回退到相应页面，修改集群信息。 勾选“我已阅读并同意《天翼云翼MapReduce服务协议》 《天翼云翼MapReduce服务等级协议》 ”，“立即购买”按钮变成高亮显示，点击并进入支付页面，购买后即可租用当前配置的集群。

4、基础配置 硬件配置选择完成后，左下角会计算当前配置需要费用。点击右下角“下一步”按钮进入基础配置页面。基础配置页面如下图所示，参数说明如下： 集群名称：集群名称可由大写字母、小写字母、数字及特殊符号（:/）组成，最大28字符。 登录方式：默认密码。 登录账号：用于登录弹性云主机的账号，默认为root。 登录密码：用于登录弹性云主机的密码，密码长度为1226字符，需包含大写字母、小写字母、数字和特殊符号（仅包括：~!@$%^+{[]}:,.?），不能包含root、toor相关大小写变形字符串和3位及以上连续数字或字符。 确认密码：与登录密码相同。 5、确认订单 基础配置填写完成后，点击右下角“下一步”按钮，进入确认订单页面。配置清单说明如下： 确认内容是否有误，点击画笔图标，即可回退到相应页面，修改集群信息。 勾选“我已阅读并同意《天翼云翼MapReduce服务协议》 《天翼云翼MapReduce服务等级协议》 ”，“立即购买”按钮变成高亮显示，点击并进入支付页面，购买后即可租用当前配置的集群。

4、基础配置 硬件配置选择完成后，左下角会计算当前配置需要费用。点击右下角“下一步”按钮进入基础配置页面。基础配置页面如下图所示，参数说明如下： 集群名称：集群名称可由大写字母、小写字母、数字及特殊符号（:/）组成，最大28字符。 登录方式：默认密码。 登录账号：用于登录弹性云主机的账号，默认为root。 登录密码：用于登录弹性云主机的密码，密码长度为1226字符，需包含大写字母、小写字母、数字和特殊符号（仅包括：~!@$%^+{[]}:,.?），不能包含root、toor相关大小写变形字符串和3位及以上连续数字或字符。 确认密码：与登录密码相同。 5、确认订单 基础配置填写完成后，点击右下角“下一步”按钮，进入确认订单页面。配置清单说明如下： 确认内容是否有误，点击画笔图标，即可回退到相应页面，修改集群信息。 勾选“我已阅读并同意《天翼云翼MapReduce服务协议》 《天翼云翼MapReduce服务等级协议》 ”，“立即购买”按钮变成高亮显示，点击并进入支付页面，购买后即可租用当前配置的集群。

编辑MCP服务 1. 登录 云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"MCP管理MCP服务"，单击目标MCP服务操作列的"编辑"。或者进入MCP服务详情页，单击右上角的"编辑"。 4. 在编辑MCP服务面板中修改描述、服务名称、路径和域名，然后单击"确定"。 发布MCP服务 1. 登录 云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"MCP管理MCP服务"，进入目标MCP服务详情页。 4. 当MCP服务状态为未发布或已发布(有修改)时，可以单击右上角的"发布"。 下线MCP服务 1. 登录 云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"MCP管理MCP服务"，进入目标MCP服务详情页。 4. 当MCP服务状态为已发布或已发布(有修改)，可以单击右上角的"下线"。 删除MCP服务 说明 MCP服务需先下线才能删除。 1. 登录 云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"MCP管理MCP服务"，单击目标MCP服务操作列的"删除"。

参数 参数类型 说明 示例 下级对象 id String 告警id testid agentGuid String 主机id testagentguid vmName String 主机名称 testhostname displayName String 实例名称 testdisplayname alarmGrade String 等级 高危 低危 中危 alarmName String 告警名称 文件异常删除 publicIp String 公网ip 192.168.1.1 privateIp String 私网ip 192.168.1.1 filePath String 文件路径 /test alarmTime String 告警时间 20200101 00:00:00 alarmStatus String 防御状态 已防御 已防御 alarmGradeCode String 等级 1低危 2中危 3高危 高危 alarmNameCode String 告警名称 delete文件异常删除 add文件异常添加 modify文件异常修改 delete alarmStatusCode String 防御状态 1已防御 1 alarmTimeGmtStr String 告警时间 20200101 00:00:00 alarmTimeGmtDate String 告警时间 20200101 00:00:00

应用场景 开启域名监控后，可帮助用户监测多个站点的HTTPS业务状态，及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 说明 每个用户免费拥有1个域名监控配额，您可以通过该配额体验域名监控服务，具体操作请参见添加域名。 若需要持续监控多个域名，您可以购买更多配额，具体操作请参见购买域名监控服务。 功能优势 域名监控服务操作简单，无需花费大量时间和精力维护已有证书。 支持证书到期预警，不用担心证书到期而影响业务。 配额及有效期说明 每添加1个域名，消耗1个域名监控配额。添加域名后有效期为365天，“监控剩余天数”从添加域名成功后开始计时。 每续期1个配额，消耗1个域名监控配额。每个配额可续期365天，续期的天数将累加至原“监控剩余天数”。 监控指标 监控指标 说明 证书到期预警 按证书到期时间统计域名证书： 已到期证书 到期时间 30天 证书未知：统计未绑定证书的域名、域名信息配置错误的域名数量。 SSL漏洞扫描 支持统计如下类型的漏洞： 高风险漏洞 中风险漏洞 低风险漏洞 合规检测 统计ATS和PCI DSS合规情况： ATS（应用程序安全传输，App Transport Security）为Apple ATS规范，是苹果在iOS 9中首次推出的隐私安全保护功能。从2017年1月1日起，所有提交到App Store的App必须强制开启ATS。启用ATS后，它会屏蔽明文HTTP资源加载，强制App通过HTTPS连接网络服务，对传输数据进行加密，保障用户数据安全。 PCI DSS（支付卡协会数据安全标准，Payment Card Industry Data Security Standard）为支付卡行业安全标准，是目前广受国际认可的数据安全标准。PCI DSS要求在开放的公共网络上传输持卡人数据，需使用高强度加密算法对数据进行保护。 域名安全等级分布 共支持如下9个等级，A+为最高级。

本节介绍了容器镜像服务的产品介绍。 容器镜像服务是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。容器镜像服务与云容器引擎无缝集成，帮助企业降低交付复杂度，打造云原生应用一站式解决方案。 个人版功能 功能项 说明 镜像仓库管理 支持Linux、ARM等多架构的容器镜像管理，支持设置容器镜像的公开/私有权限 命名空间管理 通过命名空间组织、管理镜像仓库 镜像安全扫描 支持对容器镜像进行安全扫描，展示漏洞编号、漏洞位置、漏洞等级等详细信息 企业版功能（包含个人版的所有功能） 功能项 说明 存储隔离 每个用户的容器镜像、Helm Chart等存放于用户的对象存储中，实现存储隔离 Helm Chart管理 支持Helm Chart的管理、分发 镜像加速 支持加速镜像转换，部署业务工作负载时使用加速镜像，实现镜像数据免全量下载和在线解压，大幅度提升应用分发效率，缩短容器启动时间 镜像同步 支持跨资源池同步镜像 版本不可变 支持配置镜像版本不可变，保证相同版本的镜像仅被成功推送一次，可有效避免因误操作引起的版本覆盖问题 版本保留 支持配置版本保留规则，让用户自定义需要保留的镜像版本，实现镜像版本清理 镜像分享 支持将私有镜像分享给指定用户 操作审计 支持记录用户在容器镜像服务控制台内所进行的操作，为行为分析、安全分析等提供依据 访问控制 支持配置公网白名单

本页介绍分布式融合数据库HTAP的告警历史功能。 告警历史简介 在告警历史页面，可查看告警历史记录，支持对历史告警消息进行查询与搜索。 操作场景 用户可以通过控制台的“管理中心告警中心告警历史”中查看实例的异常触发告警的历史记录，告警历史包括用户开通的所有类型的数据库实例的告警历史，可通过筛选查询所需的历史记录。 操作步骤 搜索历史告警消息，可通过复杂查询筛选对应条件的告警历史。查询参数包括： 时间范围 告警类型 告警级别 告警状态 指定实例名称或主机IP 告警历史记录包含信息有： 告警对象：区分不同数据库类型的实例 实例名称/实例ID：实例的名称和ID。 发生时间：告警触发时间节点。 持续时间：告警持续的时长。 策略名称：触发告警的策略名称。 告警详情：触发告警的场景详细信息。 告警级别：告警等级，包括普通、告警、紧急三种告警等级，紧急程度从小到大逐步增加。 状态：告警状态，包括告警中、被抑制、静默中、已恢复四种状态。

配置项 说明 服务名称 可自定义输入服务名称。 分组 可设置服务所属分组。 保护阈值 该服务下的健康实例占总实例数比例不足阈值时，触发保护阈值。取值范围为0~1，默认为0。

本节介绍云容器引擎的最佳实践: 开启控制面过载保护。 简介 容器集群控制面的资源是有限的，如果控制面处理的请求超出资源能力限制，会导致集群性能显著下降，无法正常工作，因此有必要对控制面进行过载保护，以确保控制面稳定性，提高集群的可用性和可靠性。 控制面过载保护策略及触发条件 Kubernetes 1.31.6及以上版本支持集群过载保护功能。 开启集群过载保护功能后，当集群控制平面资源压力较大时，系统将根据负载等级按比例拒绝外部流量，通过减少处理外部请求来缓解系统压力。 集群过载监控 在安装Prometheus插件的集群，查询apisreveroverloadlevel获取集群过载等级，操作指引参见 Prometheus监控指标探索。 指标值对应含义如下： 0: 正常，不拒绝外部流量 1: 轻度过载，拒绝25%外部流量 2: 中度过载，拒绝50%外部流量 3: 重度过载，拒绝75%外部流量 4: 熔断，拒绝所有外部流量 开启或关闭集群控制面过载保护操作步骤 1、订购集群时可选择开启过载保护（默认开启）。 2、创建集群后开启或关闭过载保护。 1）若当前集群未开启过载保护功能，在集群概览页面将会有跳转提示，若无提示说明当前集群已开启过载保护功能，可直接前往配置中心进行修改。 2）点击提示信息跳转到集群配置中心页面，选择开启或关闭过载保护点击“确认配置”。 3）确定更新并等待控制面更新重启完成。 注意 1、专有版集群暂不支持过载保护功能。 2、仅Kubernetes1.31.6及以上版本集群支持过载保护功能。 3、开启或关闭过载保护功能会导致控制面重启，期间会导致服务短暂不可用，请在业务低峰期时进行。

本章介绍如何查看全部检测结果。 您可以在“全部结果”页面，获取安全状态的全视图，助您及时确定检测结果的优先级，统筹分析安全趋势。 “全部结果”支持以下特性： 支持呈现威胁告警、漏洞、风险、合规检查、违法违规、时讯舆情等领域信息。 支持实时接收安全产品检测数据，实时更新结果列表。 支持按时间范围、过滤场景等筛选结果。默认呈现近7天内检测结果。 支持查看检测结果详情，以及JSON格式的结果详情。 支持自定义结果列表呈现的属性。 支持标识检测结果的处理状态。 约束限制 按过滤场景筛选检测结果，最多可呈现10000条结果。 仅可呈现近180天的检测结果。 前提条件 已接收到安全产品的检测结果。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检查结果”，进入全部结果管理页面。 4. 筛选查看检测结果。 在场景列框选择过滤场景，单击搜索按钮，即可查看到目标场景下检测结果。 当过滤后的结果仍较多时，可补充过滤条件和选择时间范围，快速查找结果。 在筛选框补充过滤条件，添加一项或多项过滤条件，并配置相应条件属性，单击搜索按钮，快速查找指定条件属性的结果。 在时间过滤框中，选择检测结果发现的时间范围，单击“确认”，快速查找指定时间范围内的结果。 5. 查看检测结果列表。筛选后的列表，可查看满足条件的检测结果列表，以及结果统计信息。 6. 查看检测结果详情。 1. 单击列表中结果的“标题”，右侧滑出结果详情窗口。 2. 查看与该结果相关的“基本信息”、“描述”、“资源信息”、“攻击信息”、受影响的用户等信息。 参数 参数说明 基本信息 检测结果的基本信息，包括标题、严重等级、状态、发现时间、业务领域、公司名称、产品名称、类型等信息。 描述 检测结果的简要介绍。 资源信息 受影响的资源信息，包括资源名称、资源ID、资源类型、资源区域等信息。 环境信息 受影响的用户信息，包括租户ID、项目ID、用户所在区域等信息。 攻击信息 攻击来源信息，包括攻击源IP、攻击目标IP、攻击源端口、攻击目标端口等信息。 相关检测结果 相关联检测结果的信息，包括相关联资源名称、结果来源等信息。 漏洞信息 漏洞结果信息，包括漏洞ID、CVSS分数、CVSS版本、提供方等信息。 漏洞影响范围 漏洞影响范围信息，包括影响版本、安全版本等信息。 合规检查信息 合规检查基本信息，包括检查项、检查结果等信息。 涉及CVE 漏洞结果CVE编号。 参考链接/链接 结果相关参考链接。 修复建议/处置建议 结果修复或处置建议说明。 3. 单击“查看JSON”，查看JSON格式检测结果详情。

天翼云弹性文件服务支持双活和多AZ吗？ 在双活模式下，用户的业务数据同时写入两个数据中心，当其中一个数据中心出现故障时，另一个仍然可以提供服务，不影响用户读写存储服务。多AZ（可用区）可以是指用户的数据跨多个AZ存储，当其中一个AZ出现故境不可用时，其它的AZ仍然可以提供可靠的服务，不影响用户业务。天翼云弹性文件服务属于分布式存储，目前提供AZ内冗余存储能力，不支持双活和多AZ模式。可以通过添加多个VPC，实现同地域跨AZ访问，具体操作请参考跨AZ挂载文件系统。 如何快速删除弹性文件系统中过大的存储文件数据? 您可以并行删除没有相互包含关系的子目录。为了实现这个目的，您可以同时打开多个终端，并进入文件系统挂载目录（例如/mnt）。然后，您可以在每个终端中使用 rm rf命令，同时删除这些没有相互包含关系的子目录，这样可以提高删除速度并节省时间。 文件系统资源退订后，天翼云还会存储我的数据吗? 不会。当文件系统资源退订后，数据会立即被清除，天翼云不会保留您已删除的数据。如果弹性文件服务资源因您的账户欠费处于停服状态，资源保留期为15天。如果您在保留时间内未补足欠款，天翼云将视为您主动放弃弹性文件存储服务，并终止服务条款，停止为您提供服务。此时，天翼云将清理删除您在其平台上保存的所有数据，清理后的数据将不可恢复。更多详细信息，请参考弹性文件服务等级协议（SLA）和欠费说明。

托管检测与响应服务（原生版）护航版服务内容及购买操作步骤说明。 服务内容 1. 提供定制化护航保障方案。 2. 提供安全检查，包括安全产品策略、资产基线配置、协助开展安全加固。 3. 持续监控云上安全状态，提供护航日报。 4. 提供应急响应服务。 5. 提供关键业务渗透测试服务。 6. 提供724小时云端专家团队值守。 7. 服务1年内有效，订购后不支持退订。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击护航版“立即购买”按钮，跳转到护航版购买页面。 3. 在护航版服务购买详情页面，【产品配置】栏，按需求选择护航前安全检查、护航时长、防护资产扩展包、蓝军攻击服务。 护航前安全检查： 必选项，单位为天，最低选购时长为5天，每增加50个资产需要增加一天服务时长。 护航时长： 必选项，单位为天，最低选购时长为1天，用户可根据实际护航天数选购护航时长。 防护资产扩展包： 可选项，单位为个，每超过50个资产，需要购买一个扩展包，用户根据防护资产数量选择对应扩展包数量。 蓝军攻击服务： 可选项，单位为次，每次提供3人5天蓝军攻击服务，用户根据自身需求选购次数。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

功能 描述 首页 资产总量分布 统计资产总数及不同类型资产数目及占比。 统计主机风险资产、网站风险资产占比（风险等级非信息类资产）。 首页 弱点总量分布 统计当前发现的所有弱点数及根据不同弱点类型统计弱点数目。 首页 资产风险分布 从不同风险等级维度统计风险资产数量。 首页 风险主机TOP5 根据风险主机弱点数，列出风险数最多的5个主机资产。 首页 风险网站TOP5 根据风险网站的弱点数，列出风险数最多的5个网站资产。 首页 主机资风险/服务分布 统计主机资产出现次数最多的10个弱点、漏洞风险、服务类型、端口。 首页 网站资产风险/服务分布 统计网站资产出现次数最多的10个弱点、漏洞风险、服务类型。 首页 弱点发现趋势 按时间展示弱点的趋势状态，弱点的数据包括所有扫描类型的数据（不包含信息类漏洞）。 资产管理 资产列表 支持主机资产、网站资产两种类型。 支持新增、导入、导出、删除、编辑资产。 支持按照组织视角展示资产。 资产管理 授权管理 支持主机授权信息管理。 支数据库授信息管理。 任务管理 创建任务 支持创建通用任务、专项任务。 通用任务支持主机扫描、网站扫描、数据库扫描、基线配置核查、事件内容。 专项任务支持弱口令扫描、存活主机探测、大数据漏洞扫描、物联网漏洞扫描、信创漏洞扫描。 任务管理 任务列表 支持查看已下发的所有扫描任务，可对任务进行集中管理，包括查询任务、新增任务、执行任务等。 模板中心 漏洞模板 支持主机策略、网站策略、数据库策略管理。 支持新增、编辑、另存为、删除、查看策略。 支持使用自定义策略下发扫描任务。 模板中心 基线模板 支持工信部、公安部行业基线核查模板。 支持对应用程序、操作系统、网络设备、虚拟化设备、数据库五类资产的安全配置进行核查。 支持查看基线模板详情。 模板中心 扫描参数 支持设置主机扫描、网站扫描高级参数模板。 可根据需要设置与恢复默认扫描参数配置。 模板中心 字典模板 主机扫描和弱口令发现任务中引用的各协议弱口令字典。可自定义弱口令字典。 模板中心 报告模板 根据不同任务类型，设置离线报告导出的内容。 支持设置主机扫描报告、网站扫描报告、数据库扫描报告、基线核查报告、事件内容报告。 支持系统默认模板及自定义报告内容模板。 模板中心 端口列表 系统默认提供的端口列表模板。 报告管理 报告管理 支持对已扫描完成的任务导出离线报告。 支持对已导出报告进行下载。 系统管理 用户管理 支持角色管理及用户管理。 支持新增角色、编辑角色、删除角色。 支持新增用户，并指定用户角色。 系统管理 系统设置 提供系统服务、升级、数据备份等管理功能。 支持在线升级和离线升级。 支持系统SSH服务开启、系统重启、系统关闭、网卡重启操作。 支持设置系统时间。 支持根据需要备份系统数据。 系统管理 配置管理 提供网络配置、安全配置、告警配置、版权配置功能。 支持网卡设置、路由配置、DNS配置、网关配置。 支持密码安全复杂度、登录安全设置、超时设置、磁盘告警设置、多因子认证设置。 支持验证码登录、认证证书登录、用户名密码登录。 系统管理 引擎管理 支持对系统各个引擎状态进行查看与监控。 系统管理 常用工具 支持Ping、Traceroute、Dig、Telnet、SSH、CURL、Nmap命令工具。 系统管理 许可管理 支持查看许可授权内容及更新许可。

配置异步调用目标服务 说明 配置异步调用目标前，请先创建函数。 1. 登录函数计算控制台，在左侧导航栏，单击函数。 2. 在函数页面，单击目标函数。 3. 在函数配置页面，选择配置页签。 4. 在左侧导航栏，选择异步配置页签，按需配置参数信息。 配置成功目标 1. 在成功目标 区域，单击编辑。 在成功目标 面板，成功时调用其他服务 选择启用，然后配置当函数成功执行后将需要发送结果的目标云服务。参数信息如下： 参数 说明 目标服务 函数计算。当目标服务选择的是函数计算时，需配置以下参数信息： 函数名称 ：指定目标函数的名称。 版本或别名：指定函数的别名或版本。 2. 单击部署。 配置失败目标 1. 在失败目标 区域，单击编辑。 2. 在失败目标 面板，失败时调用其他服务 选择启用，然后配置当函数执行失败后需要发送消息的目标云服务。 配置失败目标的参数，请参见配置成功目标。 3. 单击部署。 常见问题 如何触发函数的异步调用？ 可以通过以下方式对函数计算的函数发起一次异步调用。 登录函数计算控制台，找到目标函数，然后在测试 页，勾选我想通过异步的方式进行调用。 创建HTTP触发器，触发HTTP调用，设置参数xfcinvocationtype的值为Async。 调用OpenAPI接口，设置参数xFcInvocationType的值为Async。 创建支持异步调用的触发器异步触发函数。 后续操作 如果希望获得函数异步请求各个阶段的状态，可通过开启任务模式来实现，具体信息参见异步任务。

本章节介绍如何管理服务。 概述 完成服务创建后，可以在服务管理页面查看已创建的服务列表，同时也可以对服务进行查看、编辑和删除等操作。 查看服务 服务完成创建后，可以在服务管理页面查看服务。 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务。 3. 查看服务时，支持通过服务来源和服务名称筛选服务。 4. 单击服务名称，可跳转至服务概览页面查看服务的详细信息。 编辑服务 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务。 3. 单击需要变更的服务对应的编辑，在编辑服务面板，修改服务相关参数，然后单击确定。 删除服务 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务。 3. 单击需要变更的服务对应的删除。 4. 在删除服务面板，单击确定，完成删除服务。

操作步骤 1. 购买数据安全中心DSC。 2. 在左侧导航树中，选择“安全 > 数据安全中心”。 3. 点击左侧导航树中的“资产列表”，单击页面右上角的“云资产委托授权”。 4. 在对象存储OBS资产所在行的“操作”列，单击开启授权。 5. 添加对象存储OBS资产，具体的操作请参见添加OBS资产。 6. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，单击“新建任务”，配置敏感数据的扫描任务。 “数据类型”选择步骤5中添加的OBS资产，其他配置请参见创建敏感数据识别任务。 7. 在左侧导航树中选择“敏感数据识别 > 识别任务”，进入识别任务页面。 8. 单击目标任务“操作”列的“识别结果”查看识别结果。 在页面左上角，识别任务名称选择dsctest、资产类型选择OBS、资产名称选择全部资产，筛选OBS敏感数据识别结果，识别结果如下图所示。 9. 单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框。 在“安全总览”页面查看“数据存储安全”模块，如果风险数据库中存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 在异常告警列表中，根据风险等级查看异常情况，排查是否存在高风险事件。具体操作请参见查看风险行为检测事件详情和查看Access Key泄露检测事件详情。 在OBS控制台，为了解决存在风险的桶或文件，可以修改其读写权限。

本文介绍事件流中事件目标的元数据参数。 请求参数 参数 类型 是否必选 描述 eventStreamName String 是 事件流名。 streamSource Object 是 事件源项。详见事件源参数。 desc String 否 事件流描述。 filterPattern String 是 事件过滤项。 transform Object 是 事件转换项。 streamSink Object 是 事件目标项。详见表StreamSink，更多信息请参考下文事件目标的格式。 表 StreamSink 参数 类型 是否必选 描述 type String 是 事件目标类型。 params Array of Objects 是 事件目标参数，详见表Params。 表 Params 参数 是否必填 参数类型 说明 resourceKey 是 String 事件目标参数名。 value 是 String 事件目标参数值。 form 是 String 事件目标参数格式。 template 否 String 事件目标参数模板样式。 分布式消息服务Kafka 当事件目标选择分布式消息服务Kafka时，事件目标的type值为kafka，params中的resourceKey字段中含义如下表所示。 resourceKey 是否必传 form value template instanceId 是 CONSTANT 分布式消息服务Kafka实例Id。 说明 实例Id可在分布式消息服务Kafka管理控制台实例详情页获取。 无 topic 是 CONSTANT Kafka主题。 无 value 是 CONSTANT ORIGINAL JSONPATH TEMPLATE 消息体。 如果form选择TEMPLATE，则在此处配置模板。详见事件内容转换。 key 是 CONSTANT EMPTY JSONPATH TEMPLATE 消息键值。 如果form选择TEMPLATE，则在此处配置模板。详见事件内容转换。 事件目标部分的参数示例如下： plaintext { "type": "kafka", "params": [ { "resourceKey": "instanceId", "value": "356b3496b87xxxxxxxxfe7deef7fe35", "form": "CONSTANT" }, { "resourceKey": "topic", "value": "test2", "form": "CONSTANT" }, { "resourceKey": "value", "value": "", "form": "ORIGINAL" }, { "resourceKey": "key", "value": "", "form": "EMPTY" } ] }

前提：已开通云原生API网关实例、租户在当前资源池中已开通应用性能监控APM服务 功能入口 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，展开 "告警管理"菜单，点击“告警规则”。 展示当前租户下所有告警规则信息，支持基础的增删改查、起停、查看告警事件历史操作。 创建/编辑告警规则 告警名称：您可自定义告警名称。 云原生API网关：展示当前租户下所有可用实例，支持多选。 告警详情：包含告警分组、告警指标、告警条件、筛选条件、告警内容。 持续时间 ：支持设置延迟告警。 告警等级 ：一般、次要、重要、紧急。 通知策略 ：可以选择通知策略菜单里设置的策略。 标签 ：自定义标签，用于筛选。 启动/停止 对于暂时不用的告警策略，您可以操作停止。 告警事件历史 点击跳转告警事件历史菜单，显示该告警规则触发的实际告警记录。

根据等级保护2.0要求，对系统管理员、审计管理员和安全管理员的管理主体、权限控制和管控过程提出明确要求，同时要求安全管理中心内的管理系统符合“三权分立”权限管理模式。 安全管理中心默认以下权限分配： 模块名称/角色名称 租户系统管理员 租户安全管理员 租户运维管理员 租户审计管理员 总览 √ √ √ 系统管理 用户管理 √ 白名单 √ 操作日志管理 √ √ √ 资产管理 √ √ √ 总览 √ √ √ 服务器 √ √ √ 域名 √ √ √ 运营管理 √ √ √ 安全报告 √ √ √ 组件管理 √ √ √ 安全组件 √ √ √ 威胁分析 √ √ √ 风险分析 √ √ √ 主机漏洞 √ √ √ 网站漏洞 √ √ √ 补丁漏洞 √ √ √ 基线合规 √ √ √ 病毒 √ √ √ 设置 √

参数 参数类型 说明 示例 下级对象 riskLevel Integer 风险等级 1低危 2中危 3高危 1 riskCount Integer 风险数量 1