本文提供安全加速用户控制台使用指南。 安全加速用户控制台使用指南.pdf

本章节主要介绍DataArts Studio的开发一个Hive SQL作业流程。 本章节介绍如何在数据开发模块上进行Hive SQL开发。 场景说明 数据开发模块作为一站式大数据开发平台，支持多种大数据工具的开发。Hive是基于Hadoop的一个数据仓库工具，可以将结构化的数据文件映射为一张数据库表，并提供简单的SQL查询功能；可以将SQL语句转换为MapReduce任务进行运行。 环境准备 已开通MapReduce服务MRS，并创建MRS集群，为Hive SQL提供运行环境。 MRS集群创建时，组件要包含Hive。 已开通数据集成CDM，并创建CDM集群，为数据开发模块提供数据开发模块与MRS通信的代理。 CDM集群创建时，需要注意：虚拟私有云、子网、安全组与MRS集群保持一致，确保网络互通。 建立Hive的数据连接 开发Hive SQL前，我们需要在“管理中心 > 数据连接”模块中建立一个到MRS Hive的连接，数据连接名称为“hive1009”。 关键参数说明： 集群名：已创建的MRS集群。 绑定Agent：已创建的CDM集群。 开发Hive SQL脚本 在“数据开发 > 脚本开发”模块中创建一个Hive SQL脚本，脚本名称为“hivesql”。在编辑器中输入SQL语句，通过SQL语句来实现业务需求。 开发脚本 关键说明： 上图中的脚本开发区为临时调试区，关闭脚本页签后，开发区的内容将丢失。您可以通过“提交”来保存并提交脚本版本。 数据连接：建立Hive的数据连接创建的连接。

本节介绍了用户指南:云硬盘概述。 云容器引擎支持使用天翼云云硬盘存储卷。当前 cstorcsi 插件可提供云盘动态存储卷和静态存储卷功能，通过将云硬盘挂载至容器指定目录，实现数据持久化需求。 云硬盘挂载支持容器在同一可用区内迁移时，所挂载的云硬盘随之自动迁移。 通过挂载云硬盘，可将远端存储系统中的数据直接映射到容器内部。即使容器被删除，存储卷中的数据仍会保留在云硬盘中，确保数据的安全性与持久性。 使用限制 共享存储 非共享盘存储：仅支持单节点挂载，访问模式不可设置为 ReadWriteMany。 共享盘存储：支持多节点同时挂载，但卷模式仅限块设备（Block），不支持文件系统（Filesystem）。 卷模式与访问模式 卷模式 访问模式 Block ReadWriteOnce ReadWriteMany ReadOnlyMany Filesystem ReadWriteOnce 跨可用区 云硬盘不支持跨可用区挂载。当Pod重建时，会重新挂载原云盘。若由于其他限制无法调度到原可用区，则Pod将会处于Pending状态。 容量 单个数据盘最小容量10GB，最大容量为32TB，最小扩容容量为1GB，扩容步长为1GB。 挂载数量 单个节点允许挂载的数量受底层存储的限制，如有需要，请参照云硬盘产品文档。 节点类型 昇腾裸金属节点不支持挂载云盘。 磁盘模式 当前仅支持云硬盘磁盘模式为VBD。 云盘加密 暂不支持使用加密盘。 挂载应用类型 推荐使用有状态应用通过PVC模版方式挂载使用云盘。 无状态应用挂载使用云盘有诸多限制，比如当选择卷模式为Filesystem的存储卷时，无法为每个Pod配置独立的存储卷，所以要求Replica需要配置为1或者保证Pod均调度到同一节点上。此外，由于Deployment的升级策略，重启Pod时新的Pod可能一直无法挂载，故不推荐使用。 应用参数配置 创建工作负载时，如果配置了securityContext.fsgroup参数，kubelet在存储卷挂载完成后会执行chmod和chown操作，导致挂载时间延长。

GPUStack产品使用手册,含单机版和集群版(Worker、Server) 产品概述 1.1 产品介绍 GPUStack云服务是基于开源GPUStack构建的托管式AI模型部署平台，让您无需管理基础设施，即可在高性能GPU集群上轻松部署和运行各类AI模型，支持单机版和集群版（Worker、Server）。 单机版 集群版 面向用户 个人、中小团队或企业内部 企业研发团队、实验室、AI算力平台 适用场景 1. 个人开发者的大模型微调、推理效果验证 2. 小团队的算法原型开发、单卡模型性能测试 3. 教学科研场景的小规模 AI 实验 4. 临时算力需求（如短期模型 demo 制作) 1. 企业大模型训练 / 推理的规模化算力需求 2. 多团队共享 GPU 算力池的资源管控场景 3. 高并发模型服务（如智能客服等） 4. 异构 GPU 资源混合调度（支持 NVIDIA/昇腾等） 资源配置 单GPU服务器 Server节点：8C/16G 计算型服务器 Worker节点：1~N台GPU服务器（支持英伟达、昇腾等不同厂商GPU卡） 1.2 产品核心能力 资源管理：提供自动化GPU资源调度与集群管理，支持异构GPU设备统一纳管，实现资源利用率最大化与成本最优化； 模型部署：支持主流开源大模型一键部署，兼容Hugging Face、ModelScope等模型源，集成vLLM、SGLang和TensorRTLLM等高性能推理引擎，满足不同场景性能需求； 智能运维：内置自动扩缩容、故障转移与负载均衡机制，提供实时性能监控与告警，确保服务高可用性与稳定性； 安全管控：提供完善的认证授权体系与网络隔离策略，支持私有化部署与数据安全保障，满足企业级安全合规要求。

安全体检产品当前支持按年订购，如开通自动续费，服务到期前，将为您自动续费1年。 到期说明 安全体检产品到期后，如您未开通自动续订，产品将自动冻结，届时您将无法操作体检IP、通知信息、启动体检、下载或预览报告等操作，产品将持续冻结15天，15天后，如您仍未完成续订操作，产品将销毁，您的所有数据将被清除并无法恢复。 续订说明 安全体检产品当前支持包月或包年订购，您可在产品服务到期前，选择续费，或者开通自动续费，服务到期前，将为您自动续费订购时选择的周期时长（例如订购时选择开通5个月，并勾选了自动续订，则开通5个月后到期时为您自动续期5个月）。 续订步骤 1. 登录产品控制台。 2. 点击“续订体检”按钮，跳转到安全体检续订界面。 3. 在续订页面，点击“立即续订“按钮，跳转到支付页面。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看续订结果。

检查NameNode节点是否进入安全模式 19.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS”，单击服务异常的NameService的“NameNode(主)”，显示NameNode WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 20.在NameNode WebUI，查看是否显示如下信息：“Safe mode is ON.” “Safe mode is ON.”表示安全模式已打开，后面的提示信息为告警信息，根据实际情况展现。 是，执行步骤21。 否，执行步骤24。 21.以root用户登录客户端。执行cd命令进入客户端安装目录，然后执行 source bigdataenv 。如果集群采用安全版本，要进行安全认证，执行kinit hdfs命令，按提示输入密码（向管理员获取密码）。如果集群采用非安全版本，需使用omm用户登录并执行命令，请确保omm用户具有客户端执行权限。 22.执行 hdfs dfsadmin safemode leave 。 23.在“运维 > 告警 > 告警”页签，查看该告警是否恢复。 是，处理完毕。 否，执行步骤24。 收集故障信息 24.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 25.在“服务”中勾选待操作集群的如下节点信息。 ZooKeeper HDFS 26.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 27.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本文介绍如何部署AD域控制器。 前提条件 在AD域控制器的云主机上已经安装AD域服务器。 操作步骤 1. 将域服务器升级升为域控制器。打开“服务器管理器”，点右上角点小旗子图标，点击“服务器提升为域控制器”。 2. 添加新林。由于是第一个AD控制器，点击“添加新林”，根域名处填域名sfs.com，点击“下一步”等待部署配置。 说明： 将域控制器添加到现有域：在现有的域控制器中添加新的域控制器。 将新域添加到现有林：在现有的林中新建域，与林中现有的域不同。 3. 设置目录服务还原密码。 说明： 林功能级别(包含Windows Server 2008到WindowsServer 2016级别)：Windows Server 2012 R2。 域功能级别(只包含Windows Server 2012 R2域功能)：Windows Server 2012 R2。 指定域控制器功能：默认即可。 键入目录服务还原模式(DSRM)密码：需设置复杂密码，否则无法通过规则校验。 4. 跳过DNS选项，点击“下一步”。用AD域服务器当DNS服务器，不需要单独指定。 5. NetBios域名保持默认，点击“下一步”。 6. 日志及数据配置保持默认，点击“下一步”。 说明： AD DS数据库是AD域服务器用来存放用户信息的地方。 AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘。 7. 检查配置信息，点击“下一步”。 8. 安装前自动进行先决条件检查，检查通过后点击“安装”，系统自动安装并重启。安装需要一段时间请耐心等待。 9. 查看是否安装成功。理论上重启后AD域即部署成功，打开“服务器管理器”，点击“工具>Active Directory用户和计算机”，在弹窗中依次点击“sfs.com>Domain Controllers”，若展示云主机名称即代表AD域部署成功。

本文介绍数据库管理服务为云数据库提供数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL、SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、青岛20、南昌5、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 用户已经开启了数据库审计，详见：开启数据库审计。 操作步骤 1. 登录数据库管理服务。 2. 在左侧菜单栏依次点击SQL治理 > SQL审计，进入SQL审计明细界面。 注意事项 SQL审计明细的日志记录默认只保存1天，可设置范围为1~3天。若需要更改最长保存时间（最长支持180天）请联系客户经理评估调整。 仅超级管理员、系统管理员和审计管理员可以进入SQL审计日志界面。 MySQL审计日志中影响行数、返回行数、扫描行数、执行耗时、锁等待时间若无法查看则为历史版本，有需要请联系数据库内核升级版本即可。 若DDS不支持数据库审计，需先升级数据库内核版本。 功能介绍 SQL审计的日志记录了历史所有数据库操作记录，您需要先选择查看的时间范围和实例，点击查询按钮即可查看。 SQL审计明细日志搜索 SQL审计日志支持多个维度的联合搜索，不同数据库类型搜索项存在差异，常见搜索项说明如下 搜索项 说明 时间范围 选择查询的时间范围 数据库类型 选择DMS支持的数据库类型，必填 实例 实例名称，必填 节点IP 数据库实例节点IP，必填 数据库名 实例中数据库名称，可使用通配符%，指代任意长度字符 SQL执行类型 选择SQL语句的类型 SQL文本 SQL语句文本，大小写不敏感，可使用通配符%，指代任意长度字符 按时间排序 是否将查询结果按照时间排序，开启后将严重影响查询性能，建议关闭 数据库账号 大小写不敏感，可使用通配符%，指代任意长度字符 客户端IP 客户端IP地址，可使用通配符%，指代任意长度字符 SQL执行结果 SQL执行是否成功 注意 由于MySQL审计日志数据量较大，搜索的时间范围跨度仅限1天。

本章主要介绍翼MapReduce的更新omm用户ssh密钥功能。 操作场景 在安装集群时，系统将自动为omm用户生成ssh认证私钥和公钥，用来建立节点间的互信。在集群安装成功后，如果原始私钥不慎意外泄露或者需要使用新的密钥时，系统管理员可以通过以下操作手动更改密钥值。 前提条件 已停止集群。 修改时禁止同时进行其他管理类操作。 操作步骤 1.以omm用户登录到需要替换ssh密钥的节点。 如果该节点是Manager管理节点，务必在主管理节点上执行相关操作。 2.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 3.执行以下命令，为节点生成新的密钥： 如果当前节点是Manager管理节点，执行以下命令： sh ${CONTROLLERHOME}/sbin/updatesshkey.sh 如果当前节点是非管理节点，执行以下命令： sh ${NODEAGENTHOME}/bin/updatesshkey.sh 执行上述命令时界面提示“Succeed to update ssh private key.”信息，表示ssh密钥生成成功。 4.执行以下命令将该节点的公钥拷贝到主管理节点： scp ${HOME}/.ssh/idrsa.pub omsip:${HOME}/.ssh/idrsa.pubbak omsip：表示主管理节点IP。 根据提示输入omm用户密码完成文件拷贝。 5.以omm用户登录到主管理节点。 6.执行以下命令，防止超时退出： TMOUT0 7.执行以下命令，切换目录： cd ${HOME}/.ssh 8.执行以下命令添加新的公钥信息： cat idrsa.pubbak >> authorizedkeys 9.执行以下命令移动临时公钥文件到其他目录，例如，移动到“/tmp”目录。 mv f idrsa.pubbak /tmp 10.拷贝主管理节点的authorizedkeys文件到集群内其他节点： scp authorizedkeys nodeip:/${HOME}/.ssh/authorizedkeys nodeip：集群内其他节点IP，不支持多个IP。 11.执行以下命令无需输入密码确认私钥替换完成： ssh nodeip nodeip：集群内其他节点IP，不支持多个IP。 12.登录FusionInsight Manager，在“主页”中单击待操作集群名称后的“ > 启动”，启动集群。

本节主要介绍智能视图服务的术语解释。 GB/T 28181 GB/T 28181《公共安全视频监控联网系统信息传输、交换、控制技术要求》是由公安部科技信息化局提出，由全国安全防范报警系统标准化技术委员会、公安部一所等多家单位共同起草的一部国家标准。标准规定了城市监控报警联网系统中信息传输、交换、控制的互联结构、通信协议结构，传输、交换、控制的基本要求和安全性要求，以及控制、传输流程和协议接口等技术要求。该标准适用于安全防范监控报警联网系统的方案设计、系统检测、验收以及与之相关的设备研发、生产，其他信息系统可参考采用。联网系统应对前端设备、监控中心设备、用户终端ID进行统一编码，该编码具有全局唯一性。 GB 35114 国标GB351142017《公共安全视频监控联网信息安全技术要求》，是由公安部提出，全国安全防范报警系统标准化技术委员会(SAC TC100)归口，并经国家质量监督检验检疫总局、国家标准化管理委员会批准发布的国家标准。该标准规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求，适用于公共安全领域视频监控系统的信息安全方案设计、系统检测及与之相关的设备研发与检测。GB351142017标准是国际国内第一个关于视频监控联网信息安全方面的技术标准，对于保障视频监控联网信息的安全具有重要作用。

本文简述强制跳转的场景及配置方法。 功能介绍 强制跳转功能，可以将用户到边缘节点的请求方式重定向为HTTP或HTTPS请求。天翼云边缘安全加速平台安全与加速服务支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTPS请求强制跳转为HTTP请求。 注意事项 当HTTPS开关未启用时，强制跳转只支持从HTTPS301或302重定向为HTTP。只有当HTTPS开启且完成证书配置的情况下，才支持从HTTP301或302重定向为HTTPS。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入请求协议页面，单击“编辑配置”。 4.变更“强制跳转”，从停用改为启用。 5.选择目标跳转场景，如“HTTP>HTTPS”、“HTTPS>HTTP”。 6.选择合适的跳转方式，如302跳转或301跳转。 配置界面 新增域名，配置强制跳转： 域名添加完成后，编辑强制跳转：

本小节介绍安全专区资产管理服务器主机资产风险分析。 功能说明 资产风险分析页面把所筛选的资产相关的未处理的告警、漏洞、基线、补丁、病毒五类安全数据整合在一个页面展示，方便安全管理员分析。 配置方法 1.进入【资产管理】→【服务器】，点击【资产风险分析】，可查询分析指定服务器的各类安全漏洞、威胁、报警。 在左侧分组选定需要分析的指定服务器分组及服务器，进行资产信息筛选。页面右边栏实时同步更新所选择资产的展示，其中根据告警分析、安全告警、系统漏洞、基线合规、系统补丁及病毒感染等几大模块。 安全告警模块，实时更新服务器所出现问题，展示服务器IP地址、出现告警的问题、出现问题的服务设施以及告警的风险等级。 2.点击右上角【详情】，即进入【告警中心】，可查询更详细的告警信息。 3.系统漏洞展示具体IP地址所发生的具体漏洞信息，分类漏洞等级情况。点击【详情】，即进入【威胁分析】→【待办告警】进行详细处理。 4.基线合规、系统补丁及病毒感染等模块都展示了系统风险状态、漏洞所属类型、漏洞所属风险等级。 5.点击【基线合规】→【详情】，即页面跳转进入【风险分析】→【基线合规】进行分析、处理。 6.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【补丁漏洞】进行分析、处理。 7.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【主机漏洞】进行分析、处理。

AOne零信任单点登录 AOne零信任提供丰富的身份认证、应用接入能力，同时也提供应用的单点登录模式，结合零信任自身安全管理，可进一步提高企业安全、效率。详细配置见单点登录配置。

配置检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 风险账户检测”。 3. 选择“字典匹配”页签，新增自定义规则或使用内置弱口令规则。 风险账户检查 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“主机安全 > 风险账户检测”。 3. 选择“风险账户检查”页签，选择检查范围及检查类型后，单击“立即检查”。 4. 如下图所示，可显示风险账户及弱口令检测结果。

本文简要介绍组播的使用限制及使用前提。 使用限制 在VPC中创建的弹性网卡，如果未绑定到云服务器，不支持加入组播网络。 弹性网卡被指定为组播成员后，如果您在VPC中删除该弹性网卡，则该弹性网卡关联的组播对象关系自动解除，当前弹性网卡（辅助网卡）仅支持动态加入。 在云间组播场景时，若组播成员同时选择IGMPv2和IGMPv3加入组播组，则只会接受IGMPv2的（，G）的report。 同地域的多个组播域之间互不相通。 一个VPC下仅支持创建一个组播域。 一个组播域下支持创建多个组播组，各个组播组的IP地址不能相同。 仅支持弹性网卡的主私网IP地址作为组播网络通信对象，弹性网卡其余IP地址不支持组播通信。 当前不支持IPv6类型组播，仅支持IPv4类型。 对于知名组播地址（224.0.0.0～224.0.0.255，239.0.0.0～239.255.255.255）会做下发限制，暂不允许添加，如您的页面不支持添加知名组播地址的特殊入口，联系工单开放白名单功能。 组播资源的配额限制如下表所示。 资源 默认配额 提升配额 单个租户可以创建的组播域数量 50 不可申请 单个组播域可以创建的组播组数量 30 不可申请 使用前提 1、您已创建虚拟私有云、云服务器等实例。如有云上云下建立组播的需求，需提前准备好云专线。 2、您已配置好客户侧路由及云内专线与VPC的关系（专线的配置仅当云上云下建立组播的时候需要）。 3、确保安全组已放通组播源和组播成员对应的端口号。

本章节为您介绍如何快速使用综合安全网关服务。 步骤一：新增网关服务证书 说明 一个综合安全网关实例仅支持创建一个网关服务证书，若您的服务已创建证书则无法再新增。 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务证书”，单击页面左上角的“新增证书”按钮。 3. 在弹出的“新增网关服务证书”对话框中，选择需要新增的证书规格。 4. 选择完成后，单击“确定”完成证书新增。 步骤二：生成证书CSR 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务证书”。 3. 选择需要生成CSR的证书，单击“操作”列的“CSR请求”按钮。 4. 在弹出的对话框中配置CSR相关内容。 5. 配置完成后，单击“生成证书请求”，会在“证书请求”栏中生成CSR。 6. 根据您业务自身需求选择复制保存或者下载文件保存。 步骤三：新增网关服务并配置 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，在页面左上角单击“开通网关服务”。 3. 在弹出的“新增网关服务”的对话框中配置网关服务参数。 4. 确认填写的内容后，单击“确定”完成新增网关服务。 5. 配置完成后返回到“网关服务管理”页面，单击“操作”列的“配置”按钮开始配置网关。 6. 在弹出的“配置网关服务”对话框中，配置相关参数。

组播 由于Oracle RAC的private network需要组播功能的支持，因此需要配置VPC虚拟网络的组播功能。可以通过“网络控制台>组播”选项进入组播配置。创建组播域的配置中，选择“组播域来源”为“云内”，选择之前步骤创建的VPC虚拟网络，“成员加入方式”选择“动态加入”，协议支持版本选择IGMPv2和IGMPv3，如示例所示： 安全组 由于默认安全组，仅开通22端口和ping服务，子网内的集群节点无法进行正常的TCP、UDP包通信，需要单独设置安全组，放行子网内的网络通信（需配置新的安全组oracleracsg，并应用于public和private网络的网卡）。

本章节介绍密码服务知识类常见问题。 如何确定被测信息系统密码应用等级？ GB/T 397862021中的密码应用等级一般由网络安全等级保护的级别确定。 信息系统根据GB/T 222402020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时，同步对应确定密码应用等级： 等保定级为第一级的网络与信息系统应遵循GB/T 397862021第一级密码应用基本要求。 等保定级为第二级的网络与信息系统应遵循GB/T 397862021第二级密码应用基本要求，以此类推。 对于未完成网络安全等级保护定级的重要信息系统，其密码应用等级至少为第三级。 因此在进行密码测评时，建议至少先完成等保的定级备案。 资源池没过密评，客户能部署密码服务过密评，拿到测评报告吗？ 云平台是否过密评不会直接影响租户侧的密评结果。 若平台侧已经通过密评，那么云上租户在进行商用密码应用安全性评估时可复用平台侧的部分结果。如云平台已经进行了测评且拿到符合要求的密评报告，那么云上租户在进行测评时可复用物理和环境安全（即机房）的测评结果。 若平台侧没有通过密评，那么云上租户在进行密码测评时则不能复用平台侧的测评结果。需要按照密评标准GB/T 397862021《信息安全技术信息系统密码应用基本要求》逐条测评。

平安校园 通过iBox接入高清摄像机，结合深度学习技术，提供人员识别、周界入侵、 离岗检测、车牌识别、烟火识别、吸烟识别、人群聚集、区域入侵等智能化算法，有效防范人员安全隐患、预防校园欺凌，提升事件处置效率，切实解决学校安全难题，提升安全保卫工作效能，构建和谐平安校园，实现校园安全管理智能化、流程化、科学化。 智慧城管 重点面向智慧城管建设中的智能视频分析需求，内置街面秩序、市容环境、沿街广告、突发事件、施工管理等场景AI算法，可切实提高城市治理智能化水平。 加油站作业合规 iBox边缘盒子在加油站场景中提供了关键的边缘AI能力，专注于卸油区、桶装加油和罐装加油的合规检测。它能够实时监控并分析操作流程，确保所有活动符合安全和操作规范，从而有效提升加油站的安全性和管理效率。

本小节介绍等保咨询简化版与标准版各自的功能。 等保咨询简化版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 等保测评技术指导：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 差距分析评估：提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 等保咨询标准版 包含所有简化版服务内容，提供针对性的等保合规要求的整改安全方案。、 等保测评技术指导：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 差距分析评估：提供系统差距的安全风险分析，并输出《差距分析评估》。 差距整改方案：提供针对性的等保合规要求的整改安全方案，指导整改。

本节包含了内存优化型弹性云主机的概述、规格和适用场景。 概述 内存优化型弹性云主机内存要求高，数据量大并且数据访问量大，同时要求快速的数据交换和处理。适用于广告精准营销、电商、车联网等大数据分析场景。 规格名称 计算 磁盘类型 网络 :::: 内存优化型M7n CPU/内存配比：1:8 vCPU数量范围：296 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.4GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：850万PPS 最大内网带宽：40Gbps 内存优化型M7 CPU/内存配比：1:8 vCPU数量范围：2128 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：1200万PPS 最大内网带宽：42Gbps 内存优化型M6nl CPU/内存配比：1:8 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.5GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：800万PPS 最大内网带宽：40Gbps 内存优化型M6 CPU/内存配比：1:8 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：1000万PPS 最大内网带宽：40Gbps 内存优化型M6s CPU/内存配比：1:8 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：850万PPS 最大内网带宽：34Gbps 内存优化型M3 CPU/内存配比：1:8 vCPU数量范围：260 处理器：英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：500万PPS 最大内网带宽：17Gbps 类型 CPU基频/睿频 CPU型号 ::: M7n 2.6GHz/3.4GHz 6348 M7 3.0GHz/3.5GHz 8378A M6nl 3.0GHz/3.5GHz 6248R M6 3.0GHz/3.4GHz 6266(88HT) M6s 2.6GHz/3.5GHz 6278C M3 3.0GHz/3.4GHz 6151(72HT) 说明 对于Linux系统的弹性云主机，当v7代系以下规格的操作系统内核为5.16及以上版本时，不支持AVX指令，如需支持AVX指令，需使用低内核版本的操作系统，或变更为v7代系及以上版本的规格。 您可以通过 uname r 命令查看操作系统内核版本，也可以参考 M7n型弹性云主机搭载第三代英特尔® 至强® 可扩展处理器 ，受益于IceLake架构，性能全面提升 。 M7型弹性云主机搭载第三代英特尔® 至强® 可扩展处理器，在性能、安全、稳定性等方面全面升级，最大核数升级至128U，内存频率升级至3200MHz，适用于高内存计算应用。 M6nl型弹性云主机搭载第二代英特尔® 至强® 可扩展处理器 ，功能使用上与C6/M6完全相同。 M6型弹性云主机搭载第二代英特尔® 至强® 可扩展处理器 ，多项技术优化，计算性能强劲稳定。配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力；提供最大512GiB基于DDR4的内存实例，适用于高内存计算应用。 M3型弹性云主机基于KVM虚拟化平台，特别适合处理内存中的大型数据集，搭载英特尔® 至强® 可扩展处理器，同时搭载全新网络加速引擎，以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更高的网络性能，提供最大512GiB基于 DDR4 的内存实例，适用于高内存计算应用。 M1型弹性云主机内存要求高，数据量大并且数据访问量大，同时要求快速的数据交换和处理。适用于广告精准营销、电商、车联网等大数据分析场景。 在售：M7n、M7、M6nl、M6、M6s。

本小节介绍安全专区资产管理资产总览。 资产管理总览页面展现资产信息，展示用户资产分布及安全状态情况。

管理报表 报表管理页面生成安全报表后，提供安全报表查看和下载能力。

背景说明 随着生成式AI工具的普及，员工为提升效率普遍绕过IT监管私自使用AI工具，导致企业面临数据泄露与知识产权流失、漏洞与攻击面扩大等安全风险。AI 应用漏洞检测功能 通过自动化扫描、多维度风险分析、全流程漏洞管理 ，帮助企业精准识别 AI 组件漏洞，构建从 “发现 响应 标记” 的闭环管理体系，解决传统安全工具对 AI 资产 “看不见、管不住” 的核心痛点。 功能说明 支持超过 30+ 种 AI 应用组件漏洞检测，通过多视图查看及标记能力实现漏洞高效管理，帮助用户掌握 AI 应用漏洞风险状况。 ⚠️注意：1、已订购终端管理企业版套餐用户。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【AI 安全检测】【AI应用漏洞检测】，查看 AI 应用漏洞检测功能。 3. 可根据业务需求进行相关扫描和漏洞标记。 AI 漏洞扫描 1. 在 “AI 风险概况” 模块，点击【下发扫描】按钮，可针对组织、用户组、用户、设备主动触发对终端 AI 应用的漏洞扫描，获取最新漏洞数据。 2. 扫描完成后，“最新扫描时间” 将更新为本次扫描时间。

本节介绍了什么是云容器引擎,便于用户对容器产品有个总体认识。 云容器引擎提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；获得信通院可信云《全栈容器云解决方案》认证，兼容主流国产化服务器和操作系统，取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用，实现业务的快速交付与持续创新。 产品形态 云容器引擎包含专有版集群和托管版集群两种产品形态。各资源池对集群类型的支持情况以容器集群订购页面显示为准。自2026年4月1日起，原支持托管版的资源池将停止专有版集群的新建操作，但存量专有版集群业务可继续正常使用。 比较项 专有版集群 托管版集群 比较项 专有版集群 单实例 高可用 特点 自行创建控制节点（Master节点）以及工作节点（Worker节点） 只需创建工作节点（Worker节点），控制节点（Master节点）由云容器引擎创建并托管，您无需管理控制节点 计费项 集群管理、控制节点、工作节点以及其他IaaS云资源 集群管理、工作节点以及其他IaaS云资源 应用场景 适用于所有场景，您可以对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群 适用于个人学习体验 适用于对性能、可用性和安全性有更高要求的企业级用户 用户画像 有Kubernetes开发运维背景，懂Kubernetes 对控制节点（Master节点）有定制化需求 有明确的集群资源规划，完全自管集群 Kubernetes新手，用于个人学习体验 个人开发与测试 减少对Kubernetes的运维投入以及成本投入 不关心控制节点（Master），只关注业务应用 企业生产系统部署

关系数据库MySQL版支持为部分已创建的实例切换虚拟私有云VPC,并根据实际需要设置子网。本文介绍为实例切换VPC/子网的功能和操作步骤。 注意 除广州4，苏州外II类型资源池都支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 如果主实例已开通只读实例和数据库代理，则不支持切换VPC，需先进行退订。 使用云硬盘备份类型的实例不支持切换VPC，仅对象存储备份类型实例支持。 实例状态不为运行中时，可能会导致切换失败。 受底层网络限制，IPv4和IPv6的VPC和子网无法互相切换。 如果实例有IPv6地址，要求修改后的子网有开启IPv6功能。如果实例没有IPv6地址，要求修改后的子网关闭IPv6功能。 切换VPC时，不可进行弹性IP与IPv6带宽绑定，可于切换后操作。 可用IP数量不足可能导致切换失败，可重试切换VPC或选择其他VPC。 切换VPC后，会为您将切换后的VPC网段加入到白名单配置中，旧的VPC网段可自行前往IP白名单删除。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域，单击虚拟私有云 参数右侧的切换VPC/子网。 5. 在对话框内选择需要切换的VPC，然后选择需要的子网和安全组。 注意 如仅修改子网，则选择同VPC下的其他子网即可，您需注意：子网修改后连接地址会发生变化，会自动将新的网段加入到白名单，可自行前往修改。 6. 勾选同意框，并单击确定，开始切换VPC和子网，期间服务不可用。 切换后，实例状态重回运行中。 您可以在网络区域，看到新的VPC信息。 注意 为防止实例异常影响使用，执行VPC和子网切换后，请确保切换后的网络已加入到白名单中。 切换VPC期间会重启导致服务不可用，并会更换实例的连接地址，请在切换VPC后及时将业务中的连接地址进行变更，建议在业务低峰期切换。 切换VPC后，连接地址会发生切换，如果此前绑定了弹性IP，则会为您将弹性IP绑定到新的连接地址，IPV6带宽与内网域名同理，都会为您自动绑定到新的连接地址。

ping 172.17.0.21 PING 172.17.0.21 (172.17.0.21) 56(84) bytes of data. 64 bytes from 172.17.0.21: icmpseq1 ttl64 time0.849 ms 64 bytes from 172.17.0.21: icmpseq2 ttl64 time0.455 ms 64 bytes from 172.17.0.21: icmpseq3 ttl64 time0.385 ms 64 bytes from 172.17.0.21: icmpseq4 ttl64 time0.372 ms ... 172.17.0.21 ping statistics 注意 本示例中ECSA01和RDSB01位于同一个安全组内，因此只要VPCA和VPCB之间的对等连接创建成功后，就可以实现网络互通。如果您需要连通的实例位于不同的安全组内，那么您需要在安全组的入方向规则中，添加放通对端安全组的规则。 对于更多对等连接网络不通的问题，处理方法请参见为什么对等连接创建完成后不能互通？。

本节介绍了用户指南: 使用HostPath存储卷。 HostPath存储卷能将主机节点文件系统上的文件或目录挂载直接挂载到业务Pod 中。由于该方式存在诸多安全风险，且不适用于高可用场景，一般业务应用不推荐使用。 背景信息 云容器引擎服务兼容kubernetes原生HostPath本地挂载方案，关于HostPath特定场景使用用法及注意点参见：Kubernetes官方 使用限制 HostPath 存储卷可能会暴露特权系统凭据（例如 Kubelet）或特权 API（例如容器运行时套接字），可用于容器逃逸或攻击集群的其他服务； 具有相同配置（例如基于同一 PodTemplate 创建）的多个 Pod 会由于节点上文件的不同而在不同节点上有不同的行为； 主机节点上特定文件或目录只能由 root 用户写入。如需访问这些文件，需要在特权容器中以 root 身份运行进程，或者修改主机上的文件权限以便容器能够写入 hostPath 卷。 挂载模式 HostPath支持以下几种挂载模式： 类型 描述 空字符串（默认）用于向后兼容，这意味着在安装 hostPath 卷之前不会执行任何检查。 DirectoryOrCreate 如果在给定路径上什么都不存在，那么将根据需要创建空目录，权限设置为 0755，具有与 kubelet 相同的组和属主信息。 Directory 在给定路径上必须存在的目录。 FileOrCreate 如果在给定路径上什么都不存在，那么将在那里根据需要创建空文件，权限设置为 0644，具有与 kubelet 相同的组和所有权。 File 在给定路径上必须存在文件。

本章节向您介绍VPN连接服务故障排查中常见配置问题及解决方案，帮助您加速解决连接问题。 PSK不一致：单独更新预共享密钥会在下一次IKE协商时生效，最长等待一个IKE的生命周期，须确认两端更新密钥一致。 协商策略不一致：请仔细排查IKE中的认证算法、加密算法、版本、DH组、协商模式和IPsec中的认证算法、加密算法、封装格式、PFS算法，特别注意PFS和云下配置一致，部分设备默认关闭了PFS配置。 感兴趣流：两端ACL配置不互为镜像，特别注意云下的ACL配置不能采用地址组名称，要使用真实的IP地址+掩码。 NAT配置：云下子网访问云上子网配置为NONAT，云下公网IP不能被二次NAT为设备的接口IP。 安全策略：放行云下子网访问云上子网的所有协议，放行两个公网IP间的ESP、AH及UDP的500和4500端口。 路由配置：添加访问云上子网的出接口路由为隧道接口或IPsec协商出口，注意出接口的下一跳ARP解析要可达。

用户删除 1. 登录数据管理服务平台。 2. 在左侧菜单栏依次点击 安全协作 > 用户与角色。 3. 在用户列表中，找到需要进行删除的用户，单击该用户右侧操作列的删除按钮，弹出删除确认框 。 4. 点击确认按钮即可删除目标用户。 查询用户 1. 登录数据管理服务平台。 2. 在左侧菜单栏依次点击 安全协作 > 用户与角色。 3. 在页面上方有条件过滤框，点击查询按钮即可按照过滤条件内容筛选目标用户。 4. 点击重置按钮，清空过滤框内容，加载当前组织下的全部用户。 批量查询设置 1. 登录数据管理服务平台。 2. 在左侧菜单栏依次点击 安全协作 > 用户与角色。 3. 在用户列表中，找到需要进行查询设置的用户，可在左侧勾选多个用户。 4. 点击批量查询设置按钮，可为已选中的用户统一配置单日查询次数和行数限制。 用户打标 登录数据管理服务平台。 在左侧菜单栏依次点击 安全协作 > 用户与角色。 在用户列表中，找到需要进行打标设置的用户。 点击标签图标，可为已选中的用户设置标签信息。

OpaPolicy配置说明 字段 类型 必选 说明 workloadSelector WorkloadSelector No 选择策略生效的工作负载。 policy string No Rego策略。 创建OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 选择使用YAML创建。 修改OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 列表页会展示当前命名空间下的OPA策略，找到要修改的策略，选择右侧操作栏的修改，编辑提交即可。 删除OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 列表页会展示当前命名空间下的OPA策略，找到要修改的策略，选择右侧操作栏的删除即可。

本小节介绍态势感知控制台功能。 控制台用来统计分析用户单位的资产情况、所面临的威胁情况、单位整体的安全态势评分、威胁资产、漏洞资产、威胁方、实时消息提示及威胁情报。 控制台首行数字贴：统计资产总量、高危漏洞资产、受攻击资产、失陷主机、勒索软件主机、恶意软件主机、漏洞利用主机、威胁总量。 安全态势评分：是系统基于当前单位的资产情况、漏洞情况、威胁情况量化出来的一个分值。 分值越高，表示系统安全系数越高。 系统的安全级别分为：优、良、中、差、危五个级别。 资产威胁排行：根据最近24小时的异常行为次数统计了风险资产的top5。 资产漏洞排行：根据最近24小时的漏洞数值统计了风险资产的top5。 威胁方排行：根据最近24小时的攻击情况，统计了威胁方top5。 实时地图、实时威胁：展示系统检测到的实时异常行为情况，攻击线表示威胁方针对资产的异常行为，箭头代表了攻击方向。 消息提示：展示系统产生的操作提示，高危漏洞、威胁等检测结果，动态滚动提示。 威胁情报：对接国家中心的威胁预警，包括漏洞公告、恶意代码通告等。 安全资讯：对接国家中心的安全态势报告，包括网络安全信息与动态周报、国家信息安全漏洞共享平台周报、CNCERT互联网安全威胁报告等。