公有云采用虚拟私有云（VPC）管理各服务的网络安全，比如DCS缓存服务，用户创建的DCS缓存实例，只允许被实例处于相同虚拟私有云的弹性云主机访问。 解决方案 天翼云的弹性云主机，如果绑定了弹性IP地址，用户可以从本地电脑远程访问。 因此，我们可以采用ssh工具的隧道代理机制，通过一台既能连接DCS缓存实例，又能被本地电脑访问的中转服务器，实现“代理转发”。 说明 Redis 4.0/5.0 Cluster集群实例暂不支持使用该方案进行公网访问。 前提条件 假设已申请DCS缓存实例一个，本地电脑可以连接互联网，且安装有MobaXterm、Redis客户端等工具。 申请一台弹性云主机（ECS），满足以下要求： 绑定弹性IP，公网可以访问ECS. ECS的虚拟私有云以及子网配置成与DCS缓存实例相同。 ECS配置正确的安全组访问规则。 为了方便，ECS使用linux操作系统。 这样保证ECS与DCS缓存实例网络互通，同时可以从本地电脑远程SSH连接ECS。 操作步骤 通过MobaXterm建立隧道作为跳板机 1.新建一个到ECS的SSH连接，使用22号端口。 图 连接ECS 2.SSH连接配置好后，输入登录用户和密码，连接上ECS。登录后输入TMOUT0，避免连接超时自动关闭。 图 输入TMOUT0 3.在MobaXterm工具中找到MobaSSHtunnal，建立隧道。 图 创建隧道 4.配置本地IP为127.0.0.1后，启动隧道。 图 启动隧道 5.本地电脑打开Redis客户端，以Redis命令行界面为例。连接DCS缓存实例，命令如下： Rediscli h 127.0.0.1 p 3306 a {password} 参数说明： h 主机名：localhost或者127.0.0.1，和隧道建立时配置的本地IP相同。 p 端口号：3306，和隧道建立时配置的本地侦听端口相同。 a 密码：DCS缓存实例连接密码。 6.连接成功，显示如下。 图 连接实例

参数 参数说明 名称 为备份策略设置名称，默认为“policy四位随机数”。只能由中文字符、英文字母、数字、下划线、中划线组成，且长度为264个字符。 是否启用 备份策略的启用状态，默认为不启动。 建议此处将备份策略启用，仅当备份策略为“启用”状态时，系统才会为绑定的云硬盘资源进行自动备份。 备份时间 设置备份任务的执行时间。此处选择的时间是细粒度至天之后的整点执行时间，用户可在一天内选择多个整点时间进行备份执行。 建议您选择业务量较少或无业务的时间进行备份，比如凌晨时间。 注意 设定的备份时间和控制台实际创建备份的时间可能存在差异。 如需要备份的资源总数据量较大，建议备份执行时间点不宜设置过于紧密。如果单个资源执行备份的时长超过两个备份执行时间间隔，则会跳过第二个备份时间点不进行备份。 例如：某磁盘的备份策略设置的备份时间点为：00:00，01:00，02:00。在00:00时，磁盘开始进行备份，由于磁盘此次备份增量数据较大，或者该时间段同时执行的备份任务较多，该次备份任务耗时90分钟，在01:30时完成备份。则01:00的备份时间点会跳过，在02:00时再执行备份，将只会产生两个备份。 若云硬盘备份策略、云硬盘自动快照策略和云主机备份策略的备份时间重叠，可能导致备份时间有重叠的备份任务失败而影响数据安全性。请您在设置时预留充足间隔，保障所有备份任务顺利执行。 备份周期 设置备份任务的执行日期。有两种方式，按周、按天。 按周：以周为周期，用户可指定在每周的周几进行备份，可以多选。 按天：以天为周期，用户可指定每隔几天进行一次备份，取值范围为1～30天。 按天备份的备份时间是每个月的固定时间，例如"每3天"表示执行备份的日期为每月1日、4日、7日，以此类推。备份策略在创建当月生效。举例来说，在某月2日创建备份周期为“每3天”的备份策略，则第一次备份日期为当月4日。"每3天"表示执行备份的日期为每月1日、4日、7日，以此类推。 建议选择无业务或者业务量较少的时间对云硬盘进行备份。 全量备份配置 若不配置定期全量备份，默认在绑定的存储库的首次备份进行全量备份，后续进行永久增量备份。 若您开启了定期全量备份，则会按照配置频次执行全量备份。 注意 仅上线华东1、华北2、沈阳8、乌鲁木齐7资源池。 保留规则 设置备份产生后的保留规则，即哪些备份将被保留。共有三种规则，按时间、按数量、永久保留。 按时间：可选择1个月、3个月、6个月、1年的固定保留时长或根据需要自定义保留时长。取值范围为1～99999天，当到达规定时间，备份将被自动删除。 按数量：单个云硬盘执行备份策略保留的备份总份数。取值范围为1～99999个。 永久保留：备份产生后将会被永久保留，用户可以手动将其删除。 说明 当保留规则为按数量保留，保留的备份数超过预设保留数值时，系统会按照时间自动删除最早创建的备份。 当保留规则为按时间保留，保留的备份超过预设时间时，系统会自动删除所有过期的备份。删除的备份不会影响其他备份的数据恢复。 修改备份策略或将云硬盘绑定到新策略，备份副本会按照新策略的保留规则执行自动删除。 高级保留选项 日备份：保留指定周期内每天最新的一个备份副本。 周备份：保留指定周期内每周最新的一个备份副本。 月备份：保留指定周期内每月最新的一个备份副本。 年备份：保留指定周期内每年最新的一个备份副本。 设置高级保留选项后，指定周期内每日/周/月/年最新的一个备份副本不受保留规则的影响。例如，设置“日备份：保留3天内，每天最新的一个备份”。假设某月1日起开始执行该备份策略，在3日时，除按“保留规则”对备份副本进行保留外，1日和2日两天最后创建的备份副本不受“保留规则”的影响，不会被自动删除。 注意 仅上线华东1、华北2资源池。 企业项目 支持为备份策略选择企业项目。

为资产绑定安全规则 单条规则绑定资产 1.在左侧菜单栏选择“规则配置 > 安全规则 > 规则管理”进入安全规则页面。 2.选择需要启用的安全规则 ，单击该条目的资产数量字段中的图标。 3.在弹出“设置使用规则资产”窗口中，选择按“资产”或“集群”进行绑定，勾选需要绑定的“资产”或“集群”，单击“确定”即可完成绑定。 多条规则绑定资产 1.在左侧菜单栏选择“规则配置 > 安全规则 > 规则管理”进入安全规则页面。 2.勾选多条需要启用的安全规则，单击列表下方的“启用选中项”。 3.在弹出“设置使用规则资产”窗口中，选择按“资产”或“集群”进行绑定，勾选需要绑定的“资产”或“集群”，单击“确定”即可完成绑定。

日志菜单 日志说明 当SWG高阶网关检测存在安全威胁时将实时进行告警，您可通过对应防护日志进行查询处置情况。 介绍安全报表模块，支持查看六个月内、最长时间跨度为一个月的已防护域名的安全报表。在SWG高阶网关场景，仅需关注Web安全报表，您可以在这里查看实时或历史的攻击防护情况。

服务功能 功能模块 功能概述 基础版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ 安全概览 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据 √ √ 安全概览 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ 威胁告警 告警列表 通过将告警忽略、标记为线下处理，标识告警事件。 × √ 威胁告警 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 √ √

检查安装环境 安装Agent对安全组出方向端口以及第三方安全软件等有限制要求，为了保证您能成功安装Agent，请根据下述步骤确认能符合对应的要求后，再安装Agent。 1. 请确认服务器的操作系统在Agent操作系统限制列表内。 不在该列表中的操作系统不支持安装Agent。 2. 请确认服务器为正常运行状态。 非运行状态无法安装Agent。 3. 请确认预备安装Agent的磁盘容量大于300MB。 不足300MB会导致Agent安装失败。Agent安装路径不支持选择，默认如下： Linux：/usr/local/hostguard/ Windows：C:Program FilesHostGuard 4. 请确认服务器安全组出方向的设置允许访问100.125.0.0/16网段的10180端口（默认允许访问）。 该端口用于与HSS服务端通信。查看、修改安全组出方向规则的操作请参见修改安全组。 5. 请卸载第三方安全软件。 第三方安全软件与主机安全agent存在不兼容的情况，会影响主机安全的防护功能，如果服务器安装了第三方安全软件，请先卸载它们再安装主机安全Agent。 6. （可选）Linux主机，请关闭Selinux防火墙。 Selinux防火墙可能会导致Agent安装失败，您可以在Agent安装成功之后再打开。 修改安全组 安装Agent时，需要确保服务器安全组出方向允许访问100.125.0.0/16 网段的10180端口。您可以参考本节查看、修改ECS安全组规则。 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 在管理控制台左上角，单击，选择“计算 > 弹性云主机”，进入“弹性云主机”页面。 4. 在弹性云服务器列表中，单击目标ECS名称。 5. 单击目标安全组名称，进入目标安全组详请页面。 6. 选择“出方向规则”页签，按如下表所示添加规则。 协议 端口范围或ICMP类型 类型 目的地址 描述 TCP 10180 IPv4 IP地址 100.125.0.0/16 与HSS服务端进行通信。 为云平台主机安装Agent

本文介绍了边缘安全加速平台安全与加速服务API防护模块下接口滥用拦截的使用方法。 功能介绍 攻击者常通过脚本、工具频繁调用某个接口完成账号暴力破解、批量注册等恶意行为。 高频的请求不仅不符合用户正常的操作行为，并且也容易导致接口高负载出现不稳定。 接口滥用拦截可识别客户端的异常高频的API请求，并进行实时拦截，防止接口被恶意滥用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 注意 未订购“API安全”扩展能力，接口滥用拦截功能设置“关闭”、“告警”动作，无法设置“拦截”动作。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入安全防护【接口滥用拦截】详细设置页。 配置说明

时间范围 统计周期 近1小时 1分钟、5分钟 近6小时 1分钟、5分钟、1小时 近1天 1分钟、5分钟、1小时 近1周 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近15天 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近30天 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近3月 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近6月 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近9月 1小时、1天 说明 1天只针对日志统计规则生成的指标。 近12月 1小时、1天 说明 1天只针对日志统计规则生成的指标。

本文介绍防护请求数资费。 销售品名称 规格（万次） 标准资费价格 安全加速WAF防护请求数包 100 16元 安全加速WAF防护请求数包 1000 154元 安全加速WAF防护请求数包 10000 1530元 安全加速WAF防护请求数包 100000 15300元 安全加速WAF防护请求数包 1000000 153000元

参数 参数类型 说明 示例 下级对象 securityGroupName String 安全组名称 id String 安全组id description String 安全组描述信息 vpcId String 虚拟私有云网ID securityGroupRules Array of Objects 安全组规则信息 securityGroupRules

本文主要介绍使用私网NAT网关为VPC内计算实例实现线上线下互通添加安全组规则 操作场景 在目的VPC包含的云主机中添加入方向安全组规则，用于将转发到目的端的流量全部放通。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 在系统首页，选择“网络 > 虚拟私有云”。 4. 在左侧导航树选择“访问控制 > 安全组”。 5. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 6. 在入方向规则页签，单击“添加规则”，添加入方向规则。单击“+”可以依次增加多条入方向规则。 表入方向规则参数说明 参数 说明 取值样例 优先级 规则的优先级，优先级数字越小，规则的优先级别越高 1 策略 安全组规则策略，支持的策略如下： 如果“策略”设置为允许，表示允许源地址访问安全组内云主机的指定端口。 如果“策略”设置为拒绝，表示拒绝源地址访问安全组内云主机的指定端口。 允许 协议 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”等协议。 TCP 端口 允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 22或2230 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 无需配置 7. 单击“确定”，完成添加。

本文介绍安全加速计费类问题。 停用安全加速服务后，为什么仍有一部分费用产生？ 造成该情况的原因主要有以下两种： 1. 在停用安全加速服务后，若客户LocalDNS服务器中缓存未过期，LocalDNS会继续把访问已停用安全加速域名的请求解析到加速节点，造成少量安全加速流量计费。 2. 一些下载类软件也存在LocalDNS缓存，在这部分缓存过期前，下载类软件也会把访问已停用安全加速域名的请求解析到加速节点上，造成少量安全加速流量计费。 安全加速中基础带宽方式中日流量计费和日带宽峰值计费是否支持互相变更计费方式？ 此两种计费方式之间可以自由切换，新的计费方式将在下一个计费周期生效。需需要注意的是，一个计费周期内，仅能变更一次。 安全加速的收费项都有哪些？ 安全加速主要有两大功能项：waf防护功能和CC流量清洗功能，每个功能项下面会有不同的计费项 当用户开通了waf防护功能时： 计费项包括：waf防护包+上行+下行总带宽的日峰值带宽/流量+防护请求数+静态https请求数，按日扣费 当用户开通了CC流量清洗功能时： 计费项包括：CC流量清洗包+弹性带宽阶梯+上行+下行总带宽的日峰值带宽/流量+静态https请求数+动态请求数 当用户同时开通waf防护功能和CC流量清洗功能时： 计费项包括：waf防护包+上行+下行总带宽的日峰值带宽+防护请求数+CC流量清洗包+弹性带宽阶梯+静态https请求数，按日扣费 安全加速，但是没有开启https的功能，是否需要收费安全加速，但是没有开启https的功能，是否需要收费 使用安全加速，但是没有使用https的功能，是不会针对https的请求数去费用的。

本章主要介绍概述 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云主机上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图1 通过内网连接实例 步骤一： 创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二： 设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三： 通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

购买 安全专区按套餐购买，用户可根据自身业务规模选购对应的组件规格，具体请参照价格。 安全专区根据用户开通的套餐及规格自动在用户指定开通的VPC内新开相应的功能承载虚机。根据等级保护的要求，安全能力组件需要独立的网管网段。 注意 强烈建议购买开通之前，用户在VPC内新创建一个子网作为安全专区的开通子网段，然后在订购页面选定新子网进行业务开通。 安全专区开通后，不能对安全专区的承载虚机进行任何手动操作。 升级 用户可以点击升级操作，增加安全组件的规格。 续订 用户可以通过续订，延长产品服务有效时间。 退订 本产品不支持退订。

总览 态势感知（专业版）“总览”页面实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全，包括资产的安全评估结果、安全监控和安全趋势等信息，可以全面了解资产的安全情况。总览页面实时呈现态势感知（专业版）所有工作空间的整体安全评估结果，查看方法请参见查看总览。 态势总览 “态势总览”页面实时呈现当前工作空间中资源的整体安全评估状况，包括资产的安全评估结果、安全监控和安全趋势等信息，可以全面了解资产的安全情况。目标工作空间的“态势感知> 态势总览”页面呈现当前单个工作空间的安全评估结果，查看方法请参见查看态势总览。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的安全或危险，仅作为资产遭受攻击严重程度的参考。安全大屏中的可以还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力，实现一屏全面感知。 安全评分 态势感知（专业版）实时呈现您云上资产的整体安全评估状况，并根据态势感知（专业版）的威胁检测能力，评估整体资产安全健康得分。 安全评分每天凌晨2:00自动更新，也支持通过在页面中单击“重新检测”来进行实时更新。 如下将介绍在安全评分中，不同分值的含义以及扣分项的详细情况。 安全分值 SecMaster根据威胁检测能力，评估整体资产安全健康得分。 风险等级包括“无风险”、“提示”、“低危”、“中危”、“高危”和“致命”。 分值范围为0～100，分值越大表示风险越小，资产更安全。 分值从0开始，每隔20取值范围对应不同的风险等级，例如分值范围40~60对应风险等级为“中危”。 分值环形图不同色块表示不同威胁等级，例如黄色对应“中危”。 资产风险修复，并手动刷新告警事件状态后，安全评分可以通过手动单击“重新检测”进行更新。 说明 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 风险等级 安全分值 分值说明 无风险 100分 恭喜您，您的资产当前安全状况良好。 提示 80≤分值<100 您的资产存在少量的安全隐患，建议您及时加固安全防护体系。 低危 60≤分值<80 您的资产存在较多的安全隐患，建议您及时加固安全防护体系。 中危 40≤分值<60 您的资产防御黑客入侵的能力较弱，建议您立即加固安全防护体系。 高危 20≤分值<40 您的资产存在较高的黑客入侵和病毒感染的风险，建议您立即处理。 致命 0≤分值<20 您的资产很可能遭受到黑客入侵和病毒感染的威胁，建议您立即处理。 安全评分扣分项 安全评分扣分项及其分值情况如下所示： 分类 扣分项 单项扣分值 处理建议 最高扣分上限 安全服务启用 未开启安全相关服务 不扣分 开启安全相关服务 30 合规检查 存在未处理的致命不合规项 10 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的高危不合规项 5 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的中危不合规项 2 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 合规检查 存在未处理的低危不合规项 0.1 按照合规修复建议指导进行合规问题修复，修复后重新触发扫描任务，自动刷新评分。 20 漏洞 存在未处理的致命漏洞 10 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的高危漏洞 5 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的中危漏洞 2 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 漏洞 存在未处理的低危漏洞 0.1 按照漏洞修复建议指导进行漏洞修复，修复后重新触发漏洞扫描任务，自动刷新评分。 20 威胁告警 存在未处理的致命告警事件 10 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的高危告警事件 5 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的中危告警事件 2 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30 威胁告警 存在未处理的低危告警事件 0.1 按照威胁事件处置指导建议进行修复，修复后自动刷新评分。 30

本章介绍查看异地登录的源IP方法。 告警策略 异地登录检测功能实时检测您服务器上的异地登录行为，您配置常用登录地后，对于在非常用登录地的登录行为HSS会立即进行告警。 在控制台查看异地登录记录 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“入侵检测 > 安全告警事件 > 主机安全告警”，查看“异常登录”，单击告警名称“异地登录”查看详情。 本地查看登录记录 对于linux主机，您可以在“/var/log/secure”和“/var/log/message”路径下查看日志，或使用last命令查看登录记录中是否有异常登录。

托管检测与响应服务（原生版）服务能力、计费方式、核心能力等相关问题描述。 托管检测与响应服务是什么？ MDR，Managed Detection and Response Service，也称为安全检测与响应服务，在云计算中，安全托管检测与响应服务（MDR）是指用户外包给云提供商的网络安全服务。根据最近的行业研究，大多数组织（74％）有内部管理IT安全，但82％的IT专业人员表示他们已经与托管安全服务提供商建立了伙伴关系，或计划与之合作。企业转向安全托管检测与响应服务提供商可以减轻他们每天面临的与信息安全有关的压力，例如针对性云安全攻击事件，云安全运营经验不足，客户数据窃取，技能短缺和资源限制。 托管检测与响应服务能提供哪些能力？ 借助于用户在公有云多种环境中的网络安全设备与系统的日志数据和托管检测与响应服务平台能力，实现对用户在公有云中的网络安全运营工作的托管运营，减轻用户安全运营负担，提升用户公有云中业务系统的网络安全风险事件的响应与处置能力。 针对公有云提供丰富的网络安全运营服务，包括安全咨询、安全运营到应急响应等服务，充分满足用户在公有云上的合规与安全运营需求。 提供从云端EDR、合规处置工具到集成了SOAR能力的云端托管安全运营服务平台，满足公有云环境中的安全产品使用需求。 基于云上安全服务的最佳配置实践，为用户提供全面的安全评估服务，提供安全加固建议，并协助用户完成加固操作。

本章节主要介绍集群（未启用Kerberos认证）安全配置建议。 Hadoop社区版本提供两种认证方式Kerberos认证（安全模式）和Simple认证（普通模式），在创建集群时，MRS支持配置是否启用Kerberos认证。 在安全模式下MRS集群统一使用Kerberos认证协议进行安全认证。 而普通模式下MRS集群各组件使用原生开源的认证机制，一般为Simple认证方式。而Simple认证，在客户端连接服务端的过程中，默认以客户端执行用户（例如操作系统用户“root”等）自动完成认证，管理员或业务用户不显示感知认证。而且客户端在运行时，甚至可以通过注入UserGroupInformation来伪装成任意用户（包括superuser），集群资源管理接口和数据控制接口在服务端无认证和鉴权控制，很容易被黑客利用和攻击。 所以在普通模式下，必须通过严格限定网络访问权限来保障集群的安全。操作建议如下： 尽量将业务应用程序部署在同VPC和子网下的ECS中，避免通过外网访问MRS集群。 配置严格限制访问范围的安全组规则，禁止对MRS集群的入方向端口配置允许Any或0.0.0.0的访问规则。 如需从集群外访问集群内组件原生页面，请参考创建连接MRS集群的SSH隧道并配置浏览器进行配置。

本章节主要介绍翼MapReduce的Capacity Scheduler模式下清除租户非关联队列操作。 操作场景 在Yarn Capacity Scheduler模式下，删除租户的时候，只是把租户队列的容量设置为0，并且把状态设为“STOPPED”，但是队列在Yarn的服务里面仍然残留。由于Yarn的机制，无法动态删除队列，管理员可以执行命令手动清除残留的队列。 对系统的影响 脚本运行过程中会重启controller服务，同步Yarn的配置，并重启主备ResourceManager实例。 重启controller服务时，无法登录和操作FusionInsight Manager。 重启主备ResourceManager实例后，Yarn组件以及依赖Yarn的组件会出现短暂的服务不可用告警。 前提条件 已删除某个租户，但该租户对应的队列依然存在。 操作步骤 1. 确定该租户对应的队列依然存在。 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Yarn”。通过“ResourceManager(主)”链接进入ResourceManager WebUI界面。 单击左侧“Scheduler”界面，可以查看租户对应的队列依然存在，且状态为“STOPPED”，“Configured Capacity”值为0。 2. 以omm用户登录主管理节点。 3. 执行以下目录，执行“cleanQueuesAndRestartRM.sh”脚本。 cd ${BIGDATAHOME}/omserver/om/sbin ./cleanQueuesAndRestartRM.sh c 集群ID 说明 “集群ID”为需执行操作集群ID号，可在FusionInsight Manager的“集群 > 待操作集群的名称 > 集群属性”中查看。 在脚本运行过程中，需输入yes及管理员密码。 Running the script will restart Controller and restart ResourceManager. Are you sure you want to continue connecting (yes/no)?yes Please input admin password: Begin to backup queues ... ... 4. 脚本运行成功后，在FusionInsight Manager界面，选择“集群 > 待操作集群名称 > 服务 > Yarn”。通过“ResourceManager(主)”链接进入ResourceManager WebUI界面。 5. 单击左侧“Scheduler”界面，确认被删除租户的队列已经清除。

本章节主要介绍翼MapReduce服务KrbServer健康检查指标项说明。 禁用操作 下表中描述了在集群操作与维护阶段，观察进行日常操作时应注意的禁用操作。 禁用操作 类别 操作风险 严禁删除ZooKeeper相关数据目录 ClickHouse/HDFS/Yarn/HBase/Hive等很多组件都依赖于ZooKeeper，在ZooKeeper中保存元数据信息。删除ZooKeeper中相关数据目录将会影响相关组件的正常运行。 严禁JDBCServer主备节点频繁倒换 频繁主备倒换将导致业务中断。 严禁删除Phoenix系统表或系统表数据(SYSTEM.CATALOG、SYSTEM.STATS、SYSTEM.SEQUENCE、SYSTEM. FUNCTION) 删除系统表将导致无法正常进行业务操作。 严禁手动修改Hive元数据库的数据（hivemeta数据库） 修改Hive元数据可能会导致Hive数据解析错误，Hive无法正常提供服务。 禁止对Hive的元数据表手动进行insert 和update操作 修改Hive元数据可能会导致Hive数据解析错误，Hive无法正常提供服务。 严禁修改Hive私有文件目录hdfs:///tmp/hivescratch的权限 修改该目录权限可能会导致Hive服务不可用。 严禁修改Kafka配置文件中broker.id 修改Kafka配置文件中broker.id将会导致该节点数据失效。 严禁修改节点主机名 主机名修改后会导致该主机上相关实例和上层组件无法正常提供服务，且无法修复。 禁止重装节点OS 该操作会导致MRS集群进入异常状态，影响MRS集群使用。 禁止使用私有镜像 该操作会导致MRS集群进入异常状态，影响MRS集群使用。 以下各表分别描述了各组件在操作与维护阶段，进行日常操作时应注意的高危操作。

本章节主要介绍翼MapReduce组件Spark的操作使用说明。 Sparkbeeline连接的目标可以是spark thrift server、也可以是kyuubi server。 我们以spark thrift server为例，提供链接流程如下： 1. 首先配置spark thrift相关配置。 1. Sparkenv.sh 中配置需要配置JAVAHOME、HADOOPHOME、HADOOPCLASSPATH、HADOOPCONFDIR等环境变量。 2. SPARKHOME/conf 路径下的hivesite.xml文件中，需要配置如下： hive.server2.transport.mode Set this to value: http hive.server2.thrift.http.port HTTP port number to listen on; default is 10001 如果hivesite.xml是软连接，且spark和hive混布，那么需要直接cp该文件到SPARKHOME/conf下面。 3. Sparkdefaults.conf中如果hadoop集群开启了Kerberos认证，那么需要配置spark.sql。 2. 启动spark thrift server。 SPARKHOME/sbin/startthriftserver.sh 3. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 1. 首先klist kt ，获取keytab文件的principal，例如 klist kt user.keytab 获得 user/hostname@realm。 2. 然后kinit kt ，例如 kinit kt user.keytab user/hostname@realm。 3. Kinit认证完成登录后，可以klist l查看。 4. Beeline链接sparkthriftserver。 SPARKHOME/bin u ‘jdbc:hive2:// : / ;principaluser/hostname@realm?spark.yarn.queueroot.default’ n user 5. 执行如下命令查询所有表，返回结果中存在表test，即表示访问OBS成功。 show databases

本章节主要介绍翼MapReduce的集群管理操作。 总览 登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 概览”可以查看当前集群的主要状态信息。 在“概览”页面上可对当前集群进行基本管理操作，如启动、停止、滚动重启、同步配置等，具体如下表所示。 维护管理功能 操作入口 说明 “启动” 将集群中所有服务启动。 “停止” 将集群中所有服务停止。 “更多 > 重启” 将集群中所有服务重启。 “更多 > 滚动重启” 为集群中所有服务提供不中断业务的重启操作，具体可参考滚动重启集群。 “更多 > 同步配置” 为集群中所有服务启用新的配置参数。 “更多 > 重启配置过期的实例” 为集群中所有服务重启配置过期的实例，具体可参考管理配置过期。 “更多 > 健康检查” 为OMS、集群所有服务和所有节点进行健康检查，健康检查可以包含三方面检查项：各检查对象的运行状态、相关的告警和自定义的监控指标，检查结果并不能等同于界面上显示的“运行状态”。健康检查的结果可直接在检查列表左上角单击“导出报告”，选择导出结果。如果发现问题，可以单击“查看帮助”。 “ 更多 > 下载客户端” 为用户下载默认的客户端，具体可参考下载客户端。 “ 更多 > 导出安装模板” 将集群所有安装配置批量导出，例如集群认证模式、节点信息、服务配置等，可用于相同环境下集群重新安装的场景。 “更多 > 导出配置” 将集群所有服务的配置批量导出。 “更多 > 进入维护模式/退出维护模式” 配置集群进入/退出维护模式。 “更多 > 维护模式视图” 查看集群进入维护状态的服务或主机。

本文介绍了AOne平台子用户管理概述。 需求场景 AOne边缘安全加速平台包含多种服务，如安全与加速、边缘接入、零信任、开发者平台等；同时某些服务（如安全与加速），还可能涉及不同的域名资源。 某些用户场景，需要多个可访问AOne平台控制台的账号，并且针对不同的账号设置不同访问的权限，常见的需求包括： 添加子用户A，具有AOne所有的访问、编辑权限（所有菜单、所有域名）。 添加子用户B，只具有AOne安全与加速服务控制台的访问权限，不可访问零信任、边缘接入等其他服务控制台。 添加子用户C，只具有AOne安全与加速服务控制台的可查看权限，不具备编辑权限。 添加子用户D，只具有AOne安全与加速服务控制台部分域名的配置权限，不可查看、配置其他域名资源。 …… 总结：用户需要能够设置不同角色，从子用户可访问的菜单、子用户可访问的域名、子用户的可读/可写权限三个维度进行授权。 最佳实践 AOne边缘安全加速平台已对接CDN+ IAM组件，可实现在CDN+平台的工作区创建子用户，并为子用户分配不同的角色。 AOne边缘安全加速平台包含三种内置角色，内置角色的权限策略用户不编辑，此外支持定制角色实现更复杂的访问控制场景。 内置角色 角色说明 边缘安全加速平台管理者 最高权限，具备该角色的用户可查看配平台所有菜单、所有域名，并且具备编辑权限。 边缘安全加速平台参与者 查看权限，具备该角色的用户可查看平台所有菜单，但是无法查看任何域名并且不具备安全与加速服务控制台的编辑权限 边缘安全加速平台查看者 查看权限，具备该角色的用户可查看平台所有菜单、所有域名，但是不具备安全与加速服务控制台的编辑权限。 说明 边缘安全加速平台参与者与查看者角色，当前仅针对安全与加速服务控制台的可编辑权限进行了限制，其余服务控制台暂未进行限制，仍具备编辑权限。 当内置角色的权限能够满足用户授权需求时，可直接给子用户赋予内置角色。操作步骤参考：新增子用户关联内置角色。 当内置角色的权限不能满足用户授权需求时，可创建定制角色后，给子账号赋予定制角色。操作步骤参考：新增子用户关联定制角色。

时间点 作业B（小时调度，开始时间00:00，间隔时间10小时） 作业A（天调度，每天02:00执行） 第1天00:00 执行 第1天02:00 检查 [第0天00:00:00, 第1天00:00:00) 区间，无作业B实例运行，不执行 第1天10:00 执行 第1天20:00 执行 第2天00:00 执行 第2天02:00 检查[第1天00:00:00, 第2天00:00:00) 区间，有作业B实例运行完成，执行作业A 第2天10:00 执行 第2天20:00 执行 ... ... ...

等保合规检查 帮助客户实现主机系统安全基线的建立，形成针对不同系统的详细漏洞要求和Checklist要求，为标准化的技术安全操作提供了框架和标准，主要的应用场景有新业务系统上线安全检查，合规性安全检查（上级检查）、日常安全检查等。通过对目标主机系统展开合规安全检查，找出不符合的项并选择和实施安全措施来控制安全风险。 统一安全管理 主机安全服务提供统一的主机安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。

本节介绍如何查看已创建的安全报告及其展示的信息。 查看/下载最新安全报告 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> 安全报告”，进入“安全报告”页面。 5. 单击目标报告的“获取最新报告”，跳转至“安全报告预览”页，可查看报告信息。 6. 如需下载，单击右下角的“下载”，可获取报告。 查看/下载历史安全报告 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> 安全报告”，进入“安全报告”页面。 5. 单击目标报告的“历史报告”，弹出“历史报告”，可查看报告列表。 6. 单击“操作”列的“获取报告”，可查看报告信息。 7. 如需下载，单击右下角的“下载”，可获取报告。

排查项四：安全组是否被修改 登录VPC控制台，在左侧栏目树中单击“访问控制 > 安全组”，找到集群控制节点的安全组。 控制节点安全组名称为：集群名称cce control 编号。您可以通过集群名称查找安全组，再进一步在名称中区分“ccecontrol”字样，即为本集群安全组。 排查安全组中规则是否被修改，安全的详细说明请参见集群安全组规则配置 排查项五：检查安全组规则中是否包含Master和Node互通的安全组策略 请检查安全组规则中是否包含Master和Node互通的安全组策略。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）。 安全的详细说明请参见集群安全组规则配置 排查项六：检查磁盘是否异常 新建节点会给节点绑定一个100G的docker专用数据盘。若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。 集群新建节点时的数据盘 请检查节点挂载的数据盘是否已被卸载。若已卸载请重新挂载数据盘，再重启节点，节点可恢复。 磁盘检查

本节介绍如何查看基线整体检查通过率和单个基线检查项的通过结果，并支持导出某个基线的检查结果。 查看基线整体检查通过率 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 查看基线管理列表，包括基线名称、适用版本、基线版本、基线检查项和检测通过率等，可通过检测率的条形图查看检查通过率的百分比。 查看单个检查项通过结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面，可查看单个基线检测项是否通过检查。 导出检查结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 点击列表右上方的“导出”按钮，该导出任务会添加至“任务中心 > 下载任务管理”，开始生成Excel格式的基线合规检查结果报表。 5. 在“任务中心 > 下载任务管理”中，找到对应下载任务，待下载文件生成完毕后，单击“下载”按钮即可下载至本地。

本文介绍边缘安全加速平台计费项。 服务 计费构成 计费说明 安全与加速 计费概述 安全与加速的计费总体说明，详见安全与加速计费概述。 安全与加速 基础套餐 您可以根据您的企业规模和需求，按需购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速套餐资费。 安全与加速 套餐外超出 如有流量、带宽、请求数需求，可购买相应扩展服务，具体计费请参考安全与加速套餐超出资费。 安全与加速 扩展服务 如有域名扩展、DDoS需求，可购买相应扩展服务，具体计费请参考安全与加速扩展服务资费。 零信任服务 基础套餐 按需购买不同规格套餐获得相应标准的安全与加速服务，具体请见零信任服务计费模式。 零信任服务 扩展服务 如有终端、流量扩展需求，可购买相应扩展服务，具体计费请参考零信任服务计费模式。 终端管理 基础套餐 终端管理按照设备端点数进行收费，可购买多个端点数，具体请见终端管理计费模式 边缘接入 计费概述 边缘接入的计费总体说明，详见：边缘接入计费概述。 边缘接入 基础套餐 您可以根据企业规模和需求，按需购买不同规格套餐获得相应标准的边缘接入服务，具体请见：边缘接入套餐资费。 边缘接入 套餐外超出 如有流量需求，可按需计费；如有域名、端口数等需求，可购买相应扩展服务，具体计费请参考：边缘接入套餐超出资费。 开发者平台 基础套餐 您可以根据企业规模和需求，按需购买不同规格套餐获得相应标准的开发者平台服务，具体详见：[开发者平台套餐资费](

态势感知（专业版）支持实时检测整体资产的安全状态，评估整体资产安全健康得分。 通过查看安全评分，可快速了解未处理风险对资产的整体威胁状况。 资产安全风险修复后，为降低安全评分的风险等级，目前需手动忽略或处理告警事件，刷新告警列表中告警事件状态。告警事件状态刷新并启动重新检测后，安全评分将更新。 安全评分： 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面，对不合格的基线检查项目进行处理。 5. 在左侧导航栏选择“风险预防 > 漏洞管理”，进入漏洞管理页面，对漏洞进行处理。 6. 在左侧导航栏选择“威胁管理 > 告警管理”，进入全部告警管理页面，对告警事件进行处理。 7. 相应告警事件处理后，返回“态势感知 > 态势总览”页面，单击“重新检测”，检测后可查看更新的安全评分。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。

任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升弹性云主机访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的弹性云主机无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。默认规则是在出方向上的数据报文全部放行， 安全组内的弹性云主机无需添加规则即可互相访问。当默认访问规则可以满足需求时， 则无需单独再为该安全组添加安全组规则。

本章节介绍通过内网连接Microsoft SQL Server实例的流程。 本章介绍如何在管理控制台创建Microsoft SQL Server实例，并通过内网使用弹性云服务器上连接Microsoft SQLServer实例。 步骤一：创建实例。根据业务需求，确认Microsoft SQL Server实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接Microsoft SQL Server实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 步骤三：通过内网连接Microsoft SQL Server实例。