本文介绍零信任服务态势大屏。 背景说明 零信任态势大屏功能可协助企业快速查看对应的办公态势，内容包括企业终端安全、风险设备数、软件运行情况、设备资产、内网应用访问情况、内网安全防护、用户分布。 操作步骤 1. 登录边缘安全加速平台控制台，进入【零信任】控制台。 2. 在左侧导航栏，单击【态势大屏】。 功能说明 注意 零信任态势大屏功能需零信任服务套餐版本为企业版，详细版本差异可查看 基本设置 管理员可选择统计周期，刷新间隔，支持切换到边缘安全加速平台其他产品的态势大屏。 终端安全 统计企业终端设备的安全情况，展示合规检测、待处理病毒个数。 风险设备数 软件运行情况

检查安全组规则 Ping使用的是ICMP协议，请检查云主机对应的安全组是否放通了“入方向”的“ICMP”规则。 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，单击待变更安全组规则的弹性云主机名称。 系统跳转至该弹性云主机详情页面。 4. 选择“安全组”页签，展开安全组，查看安全组规则。 5. 单击安全组ID。 系统自动跳转至安全组页面。 6. 在入方向规则页签，单击“添加规则”，添加入方向规则。 表 安全组规则 方向 类型 协议和端口 源地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 7. 单击“确定”，完成安全组规则配置。 检查防火墙设置 如果云主机开启了防火墙，需要检查防火墙对Ping规则是否有限制。 Linux系统云主机 1. 执行以下命令查看防火墙状态，以CentOS 7操作系统为例。 Firewallcmd state 回显信息显示“running”代表防火墙已开启。 2. 查看云主机内部是否有安全规则所限制。 iptables L 回显信息如下图所示说明没有ICMP规则没有被限制。 图 查看防火墙规则 如果ICMP规则被限制，请执行以下命令启用对应规则。 iptables A INPUT p icmp icmptype echorequest j ACCEPT iptables A OUTPUT p icmp icmptype echoreply j ACCEPT

介绍分布式消息服务Kafka认证与访问控制方式 分布式消息服务Kafka支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务Kafka实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务Kafka实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务Kafka构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Kafka实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Kafka实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见配置安全组

统计项 操作 镜像数量 单击镜像数量，可跳转至“镜像安全 > 镜像管理”页面，查看镜像详情。 容器数量 单击容器数量，可跳转至“容器安全 > 实时检测”页面，查看容器安全检测详情。 节点数量 单击节点数量，可跳转至“节点安全”页面，查看节点安全扫描详情。 仓库数量 单击仓库数量，可跳转至“镜像安全 > 仓库配置”页面，管理配置镜像仓库。 集群数量 单击集群数量，可跳转至“安装配置 > 组件安装”页面，管理部署集群。

无法连接到集群如何处理？ 遇到该问题，请按照如下操作步骤排查解决。 1.先确认ECS实例和集群是否在同一个VPC。 如果在，执行步骤2。 如果不在，需要重新创建ECS实例，使之和集群在同一个VPC下。 2.查看集群的安全组的出方向和入方向是否已允许9200端口（TCP协议），或者允许的端口范围已包含9200端口（TCP协议）。 如果是，执行步骤3。 如果不是，请前往VPC页面，设置“安全组”的出方向和入方向已允许9200端口或允许的端口范围已包含9200端口。 3.查看ECS实例是否添加安全组。 如果有，检查安全组的配置规则是否满足要求，请参见“集群管理”中集群信息表格中“安全组”的描述，然后执行步骤4。 如果没有，从ECS的实例详情页面，进入VPC页面，选择“安全组”，添加安全组。 4.在ECS实例上，测试是否可以正常连接到集群。 ssh 说明 当集群包含多个节点时，需要逐个节点测试是否可以正常连接到该集群中的每个节点。 如果可以通信，说明网络是正常的。 如果端口不通，请联系技术支持协助排查。 为什么集群创建失败？ 集群创建失败原因有如下3种： 资源配额不足，无法创建集群。建议申请足够的资源配额。 如果集群配置信息中，“安全组”的“端口范围/ICMP类型”不包含“9200”端口，导致集群创建失败。请修改安全组信息或选择其他可用安全组。 7.6.2以及7.6.2之后的版本，集群内通信端口9300默认开放在用户VPC的子网上面。创建集群时需要确认所选安全组是否放通子网内的9300通信端口，如果未放通，请修改安全组信息或选择其他可用安全组。

本文介绍如何使用边缘安全加速平台实现终端管理。 产品介绍 边缘安全加速平台提供终端安全管理能力，通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 快速入门 注意 场景一：订购零信任企业版服务后，参考 场景二：仅订购终端管理套餐时，按照下文的描述即可接入。如需使用终端管理能力，在终端管理控制台进行配置。 进入终端管理控制台 登录边缘安全加速平台，在首页全部产品栏目，选择【终端管理】，进入产品配置页。 第一步：管理员设置企业认证标识 首次订购终端管理，需要设置企业认证标识。企业认证标识是客户端登录的重要凭据，为了方便使用，可把企业名称设置为企业认证标识。企业认证标识暂不支持在控制台修改，若有需要可提交工单进行配置。

数据源所在安全组放通弹性资源池的网段 1. 在DLI管理控制台，获取弹性资源池/队列的网段。 单击“资源管理 > 队列管理”，选择运行作业的队列，单击队列名称旁的按钮，获取队列的网段信息。 2. 登录VPC控制台。找到数据源所在的VPC。 3. 查找安全组名称，在“弹性网卡 > 更多 > 更改安全组”中可以查到所属安全组。 4. 在左侧导航树选择“访问控制 > 安全组”。 5. 单击外部数据源所属的安全组名称，进入安全组详情界面。 6. 在“入方向规则”页签中添加放通队列网段的规则。 详细的入方向规则参数说明请参考下表。 入方向规则参数说明 参数 说明 取值样例 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。 优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 端口：允许远端地址访问指定端口，取值范围为：1～65535。 本例中选择TCP协议，端口值不填或者填写为数据源的端口。 类型 IP地址类型。 IPV4 源地址 源地址用于放通来自IP地址或另一安全组内的实例的访问。 本例填写获取的队列网段。 描述 安全组规则的描述信息，非必填项。

快照数据安全 DWS的备份数据是以快照的形式存储在OBS上 。OBS已通过中国数据中心联盟的可信云安全认证。OBS上的数据支持访问权限控制，密匙访问，数据加密。DWS的快照数据仅用于数据的备份和恢复，无法被外界任何用户访问操作，包括DWS用户本身。DWS系统管理员可以通过DWS Console的快照管理和账单看到快照数据在OBS的空间使用情况。 网络访问安全 DWS的如下网络安全部署设计使租户之间实现100%的二三层网络隔离，满足政务，金融用户的高等级安全隔离需要。 DWS部署在租户专属的云主机环境中，不和任何其他租户共享，从物理上隔绝了数据因为计算资源共享而被泄露的可能性。 DWS集群的虚拟机通过虚拟私有云隔离，避免被其他租户发现和入侵。 网络划分为业务平面和管理平面，两个平面采用物理隔离的方式进行部署，保证业务、管理各自网络的安全性。 安全组规则保护，租户可以通过自定义安全组的功能，配置安全域的访问规则，提供灵活的网络安全性配置。 外部应用软件访问数据仓库服务支持SSL网络安全协议。 支持数据从OBS导入的加密传输。 数据仓库使用哪些安全防护？ 数据仓库服务使用IAM和虚拟私有云来控制用户、集群的网络安全隔离。用户对集群的访问则采用了SSL安全连接和安全算法套件，支持双向数字证书认证。 同时在每个集群中对节点的操作系统进行安全加固，仅允许合法地访问操作系统文件，提高数据安全性。

告警事件历史 1. 在Ecs应用详情左边导航栏中选择“告警事件历史“ 2. 在列表页查看告警事件列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警事件历史 告警发送历史 1. 在Ecs应用详情左边导航栏中选择“告警发送历史“ 2. 在列表页查看告警发送列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警发送历史 通知组 告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人，我们可以在通知组中设置接收人信息。 1. 在Ecs应用详情左边导航栏中选择“通知组“，进入”通知对象”，设置通知基本信息 具体使用说明可参考应用性能监控>用户指南>告警管理>通知对象 通知策略 创建告警通知策略，当告警触发时，只要不符合静默策略，就会依照通知策略在对应渠道发送告警信息给对应的通知对象。 1. 在Ecs应用详情左边导航栏中选择“通知策略“ 2. 查看左侧菜单栏“通知策略列表”，点击具体策略，右侧面板展示策略详情 具体使用说明可参考应用性能监控>用户指南>告警管理>通知策略

安装Agent后，如果验证发现Agent与数据库安全审计实例之间通信异常，请参照本章节进行处理。 故障现象 在数据库端或应用端安装Agent后，在数据库上输入SQL语句，SQL语句列表中未显示该SQL语句。 可能原因 待审计的数据库信息有误 待审计的数据库未开启审计功能 数据库安全审计实例未配置安全组规则 待审计的数据库的安装节点Agent程序没有运行 处理步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择需要排查的数据库所属的实例。 6. 检查添加的数据库信息以及审计状态。 7. 检查待审计的数据库信息，如下图所示。 8. 检查数据库安全审计实例的入方向安全组规则。 在左侧导航树中，选择“实例列表”，进入实例列表界面。 单击需要处理的实例名称，进入实例概览页面。 在“网络配置信息”区域，记录数据库安全审计实例的“安全组”（例如Sysdefault）。 单击管理控制台上方的“服务列表”，选择“网络 > 虚拟私有云 VPC”，进入虚拟私有云列表界面。 在左侧导航树中，选择“访问控制 > 安全组”，进入安全组列表界面。 在列表右上方的搜索框中输入步骤8.3中记录的安全组“Sysdefault”后，单击 或按“Enter”，列表显示“Sysdefault”安全组信息。 单击“Sysdefault”，进入“入方向规则”页面。 检查“Sysdefault”安全组的入方向规则。 9. 添加数据库安全审计实例安全组的入方向规则。

本页介绍分布式融合数据库HTAP的创建实例流程。 详细的创建实例过程能够帮助您更好的开始使用天翼云分布式融合数据库HTAP。 操作场景 本节将介绍分布式融合数据库HTAP的创建实例过程。 分布式融合数据库HTAP支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。 注意事项 分布式融合数据库HTAP的性能，取决于用户订购分布式融合数据库HTAP时所选择的配置。可供用户选择的硬件配置为性能规格、存储类型以及存储空间等。 操作步骤 1. 登陆天翼云官网。 2. 选择“产品 > 数据库 > 分布式融合数据库HTAP”，进入分布式融合数据库HTAP产品详情页面，点击【立即开通】。 3. 进入开通页面，选择或输入实例的相关配置信息。 其中基础配置包括计费模式、区域、引擎类型、版本和可用区，可用区可以选择1个或者3个。 实例规格包括配置模板、性能类型、各节点规格及数量。 配置模板给出了入门配置和标准配置两种建议，您也可以自定义配置。 性能类型有三种，通用型、计算增强型、内存优化型，并可以搭配六代机和七代机使用。 计算节点至少1个，行存节点至少3个，列存节点可以为0个，管理节点固定为3个，监控节点固定为1个。计算节点、行存节点、列存节点可根据需求自定义数量，最大数量不超过50个。 数据备份默认开启，开启数据备份后，至少要添加一个同步节点。若不开启数据备份，则不用添加同步节点。 网络配置包括虚拟私有云、子网、安全组。 数据库设置可以设置实例名称，如果批量订购多个实例，从第二个实例开始，实例名称1，第三个实例名称2。 购买量包括购买时长、购买数量、是否自动续订，最多可以批量购买50个实例。 最后阅读并勾选服务协议，确认无误后点击【下一步】。 4. 点击【下一步】跳转到配置确认页面，可以看到所需开通实例的配置信息，包括第 2 步开通页面中所选则的基础配置、部署配置、实例规格、网络配置、购买量、实例名称，确认无误后点击【立即创建】。 5. 点击【立即创建】后跳转到支付页面，可以看到订单支付详情，确认无误后点击【立即支付】。 6. 支付成功后返回订单列表页面，能看到实例状态为 “开通中”。稍等一会后，刷新页面，待实例状态显示“已完成”，创建实例成功。

本节基于天翼云分布式缓存服务实践所编写，用于指导您在以下场景使用DCS实现排行榜功能。 场景介绍 在网页和APP中常常需要用到榜单的功能，对某个keyvalue的列表进行降序显示。当操作和查询并发大的时候，使用传统数据库就会遇到性能瓶颈，造成较大的时延。 使用分布式缓存服务（DCS）的Redis版本，可以实现一个商品热销排行榜的功能。它的优势在于： 数据保存在缓存中，读写速度非常快。 提供字符串（String）、链表（List）、集合（Set）、哈希（Hash）等多种数据结构类型的存储。 实践指导 1. 准备一台弹性云主机（ECS），选择Windows系统类型。 2. 在ECS上安装JDK1.8以上版本和Eclipse，下载jedis客户端（点此处直接下载jar包）。 3. 在天翼云控制台购买DCS缓存实例。注意和ECS选择相同虚拟私有云、子网以及安全组。 4. 在ECS上运行Eclipse，创建一个java工程，为示例代码创建一个productSalesRankDemo.java文件，并将jedis客户端作为library引用到工程中。 5. 将DCS缓存实例的连接地址、端口以及连接密码配置到示例代码文件中。 6. 编译并运行得到结果。 代码示例 package dcsDemo02; import java.util.ArrayList; import java.util.List; import java.util.Set; import java.util.UUID; import redis.clients.jedis.Jedis; import redis.clients.jedis.Tuple; public class productSalesRankDemo { static final int PRODUCTKINDS 30; public static void main(String[] args) { //实例连接地址，从控制台获取 String host "192.168.0.246"; //Redis端口 int port 6379; Jedis jedisClient new Jedis(host, port); try { //实例密码 String authMsg jedisClient.auth(""); if (!authMsg.equals("OK")) { System.out.println("AUTH FAILED: " + authMsg); } //键 String key "商品热销排行榜"; jedisClient.del(key); //随机生成产品数据 List productList new ArrayList<>(); for(int i 0; i sortedProductList jedisClient.zrevrangeWithScores(key, 0, 1); for(Tuple product : sortedProductList) { System.out.println("产品ID： " + product.getElement() + ", 销量： " Double.valueOf(product.getScore()).intValue()); } System.out.println(); System.out.println(" "+key); System.out.println(" 前五大热销产品"); //获取销量前五列表并输出 Set sortedTopList jedisClient.zrevrangeWithScores(key, 0, 4); for(Tuple product : sortedTopList) { System.out.println("产品ID： " + product.getElement() + ", 销量： " Double.valueOf(product.getScore()).intValue()); } } catch (Exception e) { e.printStackTrace(); } finally { jedisClient.quit(); jedisClient.close(); } } }

本文介绍边缘接入服务里的应用加速与安全与加速服务里的加速的区别。 安全与加速服务中的加速是基于HTTP/HTTPS协议的加速，而边缘接入里的应用加速是基于TCP/UDP协议的加速，加速协议不同。 安全与加速服务中的加速是面向网站加速、交易加速、上传下载类加速，而边缘接入里的应用加速是面向游戏类加速、办公应用类加速，加速的客户群体不同。 安全与加速服务中的加速计费模式是基于流量/带宽，详见：安全与加速计费概述，而边缘接入里的应用加速计费是基于流量/带宽、域名、端口数，详见：边缘接入计费概述，售卖方式不同。

动态安全传输通道 源端服务器中的迁移Agent从主机迁移服务获取到迁移指令后，会动态生成安全证书和密钥并且通过OpenStack 元数据管理服务传输给目的端服务器，此后，目的端服务器会重启并使用新生成的动态安全证书建立安全的SSL通道。 图 安全传输通道

本节介绍如何启动单个基线检查项。 1. 登录容器安全卫士产品控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 在“启用状态”这一列，可自定义选择是否启用某项基线检查项。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的合规检测功能。 功能介绍 支持根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警。 检测范围 请求方法检测：只允许指定请求方法访问网站。 请求协议检测：只允许指定协议版本访问网站。 请求头部缺失检测：请求缺少指定头部禁止访问网站。 数据重复检测：针对头部重复、参数重复进行拦截，禁止访问网站。 请求数据长度限制：针对请求URL、头部参数进行长度限制，禁止访问网站。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持合规检测相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力基础安全防护【合规性检测】详细设置页。 注意 域名新增时，会有一条全站合规检测的默认策略，可以通过【防护开关】来开启或者关闭，您也可以自定义合规检测规则。

安全专区支持安全报告功能，支持对安全报告进行自定义配置。 功能说明 通过自定义报告内容、报告展示的数据类型和接收人邮箱地址，满足告警资产安全状况数据的需求。运营管理支持报告类型分不同种类，例如周报、月报、季报、年报。 存在自定义时间段查询，根据开始时间和结束时间进行查询并对安全运营模块进行实时监控和检查，该功能模块支持邮件定期发送及指定特定接收人。 自定义时间查询报告，默认展示一周的漏洞趋势数据，可选择时间段，选择开始时间和结束时间进行查询。 操作方法 1.对于查询，可点击“安全运营”，点击所查询事项，将可在右侧展示栏获取相关信息。 2.确定每日邮件发送时间，设置为定时任务，确定好每日邮件接收人，提交『保存配置』即可完成（系统则按该时间每天进行发送）。 3.在每日邮件接收人编辑框，输入要接收的邮箱后确认添加，点击【保存配置】按钮。 4.点击【报告预览】按钮，系统会下载一份pdf格式的安全报告。

本文介绍扫描镜像的详细步骤。 为了保障云原生供应链安全，您需要购买容器安全卫士实例，并进行安全扫描，通过仪表盘查看访问统计信息和攻击防护记录，掌握业务的安全状况。 步骤一：购买容器安全卫士实例 详细步骤请参见购买容器安全卫士。 步骤二 ：安装Sever/Agent 详细步骤请参见安装Server/Agent。 步骤三：扫描镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全 > 镜像管理”，在镜像管理页面可以对仓库镜像、节点镜像进行安全扫描。 3. 进入“仓库管理”页面，单击“添加仓库”，添加镜像仓库。 4. 扫描节点镜像。 1. 进入“节点镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 5. 扫描仓库镜像。 1. 进入“仓库镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 6. 在左侧导航栏选择“镜像安全 > 镜像策略”，进入页面配置镜像策略，配置漏洞、文件、软件包规则，防止风险流入供应链。 7. 在左侧导航栏选择“镜像安全 > 镜像设置”，进入页面配置镜像扫描规则、历史镜像保留时长、及周期性扫描规则。

本小节介绍Agent。 Agent是企业主机安全（Host Security Service, HSS）提供的Agent，用于执行检测任务，全量扫描主机/容器；实时监测主机/容器的安全状态，并将收集的主机/容器信息上报给云端防护中心。 Agent的作用 每日凌晨定时执行检测任务，全量扫描主机/容器；实时监测主机/容器的安全状态；并将收集的主机/容器信息上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机/容器的攻击行为。 说明 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。 Linux Agent相关进程 Agent进程运行账号：root。 Agent包含以下进程： Agent进程名称 进程功能 进程所在路径 hostguard 该进程用于系统的各项安全检测与防护、Agent进程的守护和监控。 /usr/local/hostguard/bin/hostguard upgrade 该进程用于Agent版本的升级。 /usr/local/hostguard/bin/upgrade Windows Agent相关进程 Agent进程运行账号：system。 Agent包含以下进程： Agent进程名称 进程功能 进程所在路径 HostGuard.exe 该进程用于系统的各项安全检测与防护。 C:Program Files (x86)HostGuardHostGuard.exe HostWatch.exe 该进程用于Agent进程的守护和监控。 C:Program Files (x86)HostGuardHostWatch.exe upgrade.exe 该进程用于Agent升级。 C:Program Files (x86)HostGuardupgrade.exe

本节介绍跨域互联关联的VPC如果需要互通，桌面安全组规则需允许对端访问的操作说明。 跨域互联关联的VPC如果需要互通，桌面安全组规则需允许对端访问。 规则方向：入方向 规则类型：允许 远端地址：对端VPC子网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“访问控制”，再点击“安全组”，选择“新增安全组”，添加安全组策略，出入方向放通相关互访网段（没特殊要求可全部放通）； 3.在“AI云电脑（政企版）”管理控制台页面，点击“策略管理”，点击“基础策略管理”，再点击“新建策略”，将上述创建安全组绑定到该策略； 4.在操作的基础策略实例中点击“分配”，将策略分配至对应桌面即可。 注意 若原有桌面已经有安全组及相关策略，则修改放通即可。

本文介绍网络层安全报表所展示的数据。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过网络层安全报表查询网络层防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 说明 网络层防护根据内置的智能识别算法进行攻击判断，未开放控制台配置。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【安全报表】【网络层安全报表】页面。 查询功能 您可以在网络层安全报表头部指定您要查询的时间范围。默认将展示最近7天。 报表内容： 说明 卡片栏 展示网络层攻击事件数、DDoS防护带宽峰值、DDoS峰值时间、DDoS攻击平均时长。 攻击趋势 展示被攻击的服务IP的攻击趋势图。（服务IP，即提供DDoS防护能力CNAME解析出的IP地址。） TOP攻击类型 根据攻击流量大小，计算攻击类型的占比情况。 攻击时长分布 根据攻击事件的持续时长，计算攻击时长的分布情况。

此小节介绍企业主机安全资产概览。 展示您所使用全量资产的状态和清点情况。包括Agent状态、防护状态、配额情况以及帐号、端口、进程、软件、自启动项的清点情况。 约束限制 未开启防护不支持查看资产概览。 操作步骤 1. 登录管理控制台。 2. 在页面左上角选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3. 选择“资产管理>资产概览”，进入资产概览总览页，查看资产状态和资产清点情况。

本章节主要介绍翼MapReduce的用户组管理操作。 操作场景 FusionInsight Manager最大支持5000个用户组（包括系统内置用户组）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同用户组。用户组通过绑定角色获取操作权限，用户加入用户组后，可获得用户组具有的操作权限。用户组同时可以达到对用户进行分类并统一管理多个用户。 前提条件 管理员已明确业务需求，并已创建业务场景需要的角色。 已登录FusionInsight Manager。 添加用户组 1. 选择“系统 > 权限 > 用户组”。 2. 在组列表上方，单击“添加用户组”。 3. 填写“组名”和“描述”。 “组名”由数字、字母、或下划线、中划线（）或空格组成，不区分大小写，长度为1～64位，不能与系统中已有的用户组名相同。 4. 在“角色”，单击“添加”选择指定的角色并添加。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 5. 在“用户”，单击“添加”选择指定的用户并添加。 6. 单击“确定”完成用户组创建。 查看用户组信息 用户组列表默认显示所有用户组。单击指定用户组名称左侧的箭头展开详细信息，可以查看此用户组中的用户数、用户以及绑定的角色。 修改用户组信息 在要修改信息用户组所在的行，单击“修改”，修改用户组信息。

本文主要介绍网络管理类问题。 一、集群安全组规则配置 CCE作为通用的容器平台，安全组规则的设置适用于通用场景。集群在创建时将会自动为Master节点和Node节点分别创建一个安全组，其中Master节点的安全组名称是： {集群名}ccecontrol{随机ID} ；Node节点的安全组名称是： {集群名}ccenode{随机ID} 。使用CCE Turbo集群时会额外创建一个ENI的安全组，名为 {集群名}cceeni{随机ID} 。 用户可根据安全需求，登录CCE控制台，单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”，找到CCE集群对应的安全组规则进行修改和加固。 如集群在创建时需要指定节点安全组，请参考集群自动创建的Node节点安全组规则放通指定端口，以保证集群中的正常网络通信。 注意 安全组规则的 修改和删除可能会影响集群的正常运行 ，请谨慎操作。如需修改安全组规则，请尽量避免对CCE运行依赖的端口规则进行修改。 Node节点安全组规则 入方向 集群自动创建Node节点的安全组名称为 {集群名}ccenode{随机ID} ，默认入方向规则如下图所示， 源地址属于本安全组的需全部放通 ，其余端口说明见下表。 VPC网络模型Node节点默认安全组 VPC网络模型Node节点安全组默认端口说明 端口 默认源地址 说明 是否可修改 修改建议 UDP：全部TCP：全部 VPC网段 Node节点之间互访、Node节点与Master节点互访。 不建议修改 不涉及 ICMP：全部 Master节点网段 Master节点访问Node节点。 不建议修改 不涉及 TCP：3000032767UDP：3000032767 所有IP地址 集群NodePort服务默认访问端口范围。 可修改 端口需对VPC网段、容器网段和ELB的网段放通。 全部 容器网段 节点与容器互访。 不建议修改 不涉及 全部 Node节点网段 Node节点之间互访。 不建议修改 不涉及 TCP：22 所有IP地址 允许SSH远程连接Linux弹性云服务器。 建议修改 不涉及 容器隧道网络模型Node节点默认安全组 容器隧道网络模型Node节点安全组默认端口说明 端口 默认源地址 说明 是否可修改 修改建议 UDP：4789 所有IP地址 容器间网络互访。 不建议修改 不涉及 TCP：10250 master节点网段 master的主动访问node的kubelet（如执行kubectl exec {pod}）。 不建议修改 不涉及 TCP：3000032767UDP：3000032767 所有IP地址 集群NodePort服务默认访问端口范围。 可修改 端口需对VPC网段、容器网段和ELB的网段放通。 TCP：22 所有IP地址 允许SSH远程连接Linux弹性云服务器。 建议修改 不涉及 全部 本安全组和VPC网段 源地址属于本安全组和VPC网段的需全部放通。 不建议修改 不涉及 出方向 对于 出方向规则 ，CCE创建的安全组默认全部放通，通常情况下不建议修改。如需加固出方向规则，请注意如下端口需要放通。 Node节点安全组出方向规则最小范围 端口 放通地址段 说明 UDP：53 子网的dns服务器 用于域名解析。 UDP：4789（仅容器隧道网络模型的集群需要） 所有IP地址 容器间网络互访。 TCP：5443 Master节点网段 master的kubeapiserver的监听端口。 TCP：5444 VPC网段、容器网段 kubeapiserver服务端口，提供k8s资源的生命周期管理。 TCP：6443 Master节点网段 TCP：8445 VPC网段 Node节点存储插件访问Master节点。 TCP：9443 VPC网段 Node节点网络插件访问Master节点。

本章节主要介绍翼MapReduce的查看集群静态资源操作。 操作场景 大数据管理平台支持通过静态服务资源池对没有运行在Yarn上的服务资源进行管理和隔离。系统支持基于时间的静态服务资源池自动调整策略，使集群在不同的时间段自动调整参数值，从而更有效地利用资源。 系统管理员可以在FusionInsight Manager查看静态服务池各个服务使用资源的监控指标结果，包含监控指标如下： 服务总体CPU使用率 服务总体磁盘IO读速率 服务总体磁盘IO写速率 服务总体内存使用大小 说明 启用多实例功能后，支持管理HBase所有服务实例使用的CPU、I/O和内存总量。 操作步骤 1. 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2. 在“配置组列表”，单击一个配置组，例如“default”。 3. 查看系统资源调整基数。 “系统资源调整基数”表示集群中每个节点可以被集群服务使用的最大资源。如果节点只有一个服务，则表示此服务独占节点可用资源。如果节点有多个服务，则表示所有服务共同使用节点可用资源。 “CPU”表示节点中服务可使用的最大CPU。 “Memory”表示节点中服务可使用的最大内存。 4. 在图表区域，查看集群服务资源使用状态指标数据图表。 说明 可通过“为图表添加服务”，将特定服务的静态服务资源数据添至图表，最多可选择12个服务。 管理单个图表的操作，可参见

配置项 说明 虚拟私有云 1.选择集群所在的虚拟私有云。 2.可跳转至虚拟私有云控制台 安全组名称 1.安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的节点提供安全访问策略。 2.集群在创建时为您自动创建安全组，为保证集群的正常使用请勿随意修改、删除安全组。 3.安全组名称由数字、字母、中文、、组成，不能以数字、和开头，长度232个字符。

安全防护 云数据库 GeminiDB具有多层网络防护。通过虚拟私有云、子网、安全组、DDoS防护以及SSL安全访问等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 基于虚拟私有云技术，真正实现租户隔离和访问控制。 通过传输层SSL安全协议，提供安全及数据完整性保障。 可在IP及端口层面进行安全访问限制，加强云数据库 GeminiDB与其他服务间的安全访问。 性能监控 云数据库 GeminiDB具有完善的性能监控，为您分担60%以上的运维工作。对CPU使用率、IOPS、网络吞吐量等实例信息实时监控及报警，随时随地了解实例动态。 易用性 即开即用 您可以通过控制台实时创建目标实例，配合服务器一起使用，通过内网连接数据库，有效地降低应用响应时间、节省公网流量。 高度兼容 目前，云数据库 GeminiDB兼容InfluxDB协议、Redis协议。 易扩展 云数据库GeminiDB作为基于计算存储分离的分布式数据库服务，可达到分钟级计算节点扩展，秒级存储扩容。

本文为您介绍容器安全卫士的产品定义及安全能力。 容器安全卫士是作用于容器集群的安全防护产品，提供了对容器环境下，业务动态及静态安全风险的事前发现、事中预警、事后溯源的安全闭环。可方便快捷的解决业务容器化后带来的安全问题。 容器安全卫士产品主要安全能力包括：深度资产清单、实时风险发现、快速安全防护、及时事后溯源。 深度资产清单 对容器集群等基础资产可进行自动清点，在此基础上，还会进一步识别容器进程、容器挂载、容器端口、容器软件等深度资产信息，并会进行全资产的关联，便于分析。 实时风险发现 针对静态风险，会识别漏洞、恶意文件、软件许可、风险软件、敏感信息等全面的风险。针对动态风险，采用触发式的方式，实时监测业务产生的所有行为，并进行智能研判，快速预警。 快速安全防护 基于相关能力可快速定位风险影响范围，同时提供详细的风险信息，帮助用户对风险进行判断，确定风险后，可立即进行加白、隔离等快速安全防护处置。 及时事后溯源 由于容器特性，在容器消逝后，运行过程中的行为数据不再保留。容器安全卫士不但会记录正在运行业务的容器及相关信息，对已经消逝的容器也会对其详细行为信息进行保留，以防止事后发现安全事件无法溯源的问题。

指导用户初始化专属加密实例、安装安全代理软件并授权。 在您支付完成后，我们会根据您反馈的邮寄地址，将初始化专属加密实例的Ukey邮寄给您，请您耐心等待。同时，专属加密服务安全专家会通过您提供的联系方式，与您取得联系，将配套的软件及相关指导文档发送给您。软件分为两类，一类用于管理云加密实例；另一类是业务调用时依赖的安全代理软件和SDK。 前提条件 在实例化专属加密实例后，用户需要获取以下信息，初始化专属加密实例、安装安全代理软件并授权。 信息获取 名称 说明 来源 Ukey 保存专属加密实例的权限管理信息。 订单付款后，且实例化专属加密实例成功后，由专属加密服务邮寄到您的Ukey收件地址。 专属加密实例管理工具 配合Ukey，远程管理专属加密实例。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 专属加密实例配套文档 《专属加密实例用户手册》和《专属加密实例安装手册》。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 安全代理软件 与专属加密实例建立安全通道。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 SDK 用于提供专属加密实例的API接口，用户通过调用SDK与专属加密实例建立安全连接。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 专属加密实例管理节点（例如：ECS） 运行专属加密实例管理工具，与专属加密实例处于同一VPC，并分配弹性IP地址用于远程连接。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 业务APP节点（例如：ECS） 运行安全代理软件和用户的业务APP，与专属加密实例处于同一VPC。 无

本文介绍如何查看计费详情数据，可以了解安全加速的套餐详情和资源包使用情况。 CDN部分计费按照1000进制从Byte换算到Gbps。 套餐详情管理 安全加速的计费方式、WAF防护的套餐与计费、抗D服务的套餐与计费。 图 计费详情 资源包管理 资源包购买成功后次日00:00时生效，自动抵扣所覆盖产品产生的数据，有效期为一年； 资源包购买后不支持退款，到期后未用完的资源将清零，不支持转移到其他资源包； 购买多个资源包时，当某个资源包用尽后默认自动开启下一个临近到期的相同类别的资源包； 当资源包用尽或者过期后，默认转为按需计费。 1.订购安全加速产品后，可支持订购安全加速的资源包，并根据所开功能对资源包进行抵扣。 使用条件： 1）计费方式为“流量“：开通安全加速和WAF防护的用户，可抵扣“安全加速流量包“、“防护请求数包”和”静态https请求数包“；开通安全加速和抗D服务的用户，可抵扣”安全加速流量包“和“静态https请求数包”。 2）计费方式为“日带宽“：开通安全加速和WAF防护的用户，可抵扣“防护请求数包”和“静态https请求数包”；开通安全加速和抗D服务的用户，可抵扣“静态https请求数包”；计费方式为“日带宽”不能抵扣流量包，需要变更计费方式为“流量”。 2.资源包可叠加购买，购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 3.资源包不支持退订，资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 4.资源包的有效期为自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 5.资源包中的”安全加速流量包“是供边缘节点上行和下行总流量使用；“日带宽”计费客户，如需使用“安全加速流量包”，需将计费方式变更为“流量”。可叠加购买：购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 不支持退订：资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 有效期：自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 图 资源包管理

参数 是否必填 参数类型 说明 示例 下级对象 desktopOid 是 String 桌面id securityGroupOid 是 String 安全组id portOid 否 String 网卡id，参数为空表示桌面移除安全组，参数非空表示桌面网卡移除安全组

参数 是否必填 参数类型 说明 示例 下级对象 desktopOid 是 String 桌面id securityGroupOid 是 String 安全组id portOid 否 String 网卡id，参数为空表示桌面绑定安全组，参数非空表示桌面网卡绑定安全组