息壤科研助手致力于打造一站式高性能科研服务云平台,操作简易, 安全高效。平台融合算力、智能、应用,打造"开发机算力+科研智能体"一体化方案,它能解决企业、高校及科研单位诸多痛点,如找算力难、自建成本高、算力分配与数据共享难,还有科研软件部署维护难题。科研助手预置90 多个科研应用,涵盖 20 多个学科领域,支撑科研任务、教学实训、生物信息、工业仿真、具身智能、自动驾驶等场景。平台接入多种计算资源,支持一键部署、按需计费,让用户开箱即用,助力科研工作高效开展 。

本文通过图文介绍进入客户控制台的步骤。 操作步骤说明 1、打开天翼云官网，注册并登录。 2、右上角单击【控制中心】。 3、在【CDN与视频】下拉选择【边缘安全加速平台】，单击进入边缘安全加速控制台。

本章节介绍密评专区知识类常见问题。 如何确定被测信息系统密码应用等级？ GB/T 397862021中的密码应用等级一般由网络安全等级保护的级别确定。 信息系统根据GB/T 222402020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时，同步对应确定密码应用等级： 等保定级为第一级的网络与信息系统应遵循GB/T 397862021第一级密码应用基本要求。 等保定级为第二级的网络与信息系统应遵循GB/T 397862021第二级密码应用基本要求，以此类推。 对于未完成网络安全等级保护定级的重要信息系统，其密码应用等级至少为第三级。 因此在进行密码测评时，建议至少先完成等保的定级备案。 资源池没过密评，客户能部署云密评专区过密评，拿到测评报告吗？ 云平台是否过密评不会直接影响租户侧的密评结果。 若平台侧已经通过密评，那么云上租户在进行商用密码应用安全性评估时可复用平台侧的部分结果。如云平台已经进行了测评且拿到符合要求的密评报告，那么云上租户在进行测评时可复用物理和环境安全（即机房）的测评结果。 若平台侧没有通过密评，那么云上租户在进行密码测评时则不能复用平台侧的测评结果。需要按照密评标准GB/T 397862021《信息安全技术信息系统密码应用基本要求》逐条测评。

本节介绍如何创建并管理容器进程访问策略。 添加进程阻断策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 进程控制”，进入进程控制页面。 3. 单击“添加策略”，进入添加策略页面。 4. 在添加策略页面输入策略名称（必填）和描述信息（非必填），选择或输入目标对象（支持通配符），选择策略规则。 5. 单击“保存”按钮，系统提示保存成功，安全策略设置完毕。 管理进程阻断策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 进程控制”，进入进程控制页面。 3. 查找策略：搜索框支持按策略名称、启用状态查找目的策略。 4. 策略管理：在策略列表内，支持对已添加策略进行编辑、删除、开启、关闭。

本节介绍如何配置要扫描的基线。 1. 登录容器安全卫士产品控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在该页面单击右上角的“设置”按钮，进入设置页面。 4. 在设置页面，可见系统默认支持Docker CIS基线、Kubernetes CIS基线（1.3版本和1.6版本）、OpenShift基线、Ubuntu CIS基线、Centos CIS基线这五种合规检查项，选择并开启要进行扫描检测的合规项，单击“保存”按钮即可添加成功。

对比维度 云服务备份 镜像服务 概念 备份是将云主机或者云硬盘某一时间节点的状态、配置和数据信息保存下来，以供故障时进行恢复，其目的是为了保证数据安全，提升高可用性。 镜像相当于云主机的“装机盘”，它提供了启动云主机所需的所有信息，其目的是为了创建云主机，批量部署软件环境。系统盘镜像包含运行业务所需的操作系统、应用软件，数据盘包含业务数据。整机镜像是系统盘镜像和数据盘镜像的总和。 使用方式 数据存储位置：与主机/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建备份的云硬盘删除，对应的备份不会被同时删除。 操作对象：保存云主机/磁盘指定时刻的数据，可以设置自动备份和过期自动删除。 用途：备份可以恢复数据至原主机/磁盘中，也可以直接创建新的磁盘或整机镜像。 是否可以导出至本地：否。 数据存储位置：与主机/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建镜像的主机/磁盘删除，对应的镜像不会被同时删除。 操作对象：可以将主机的系统盘和数据盘制作为私有镜像，也可以通过外部镜像文件制作私有镜像。 用途：系统盘镜像或整机镜像可以创建新的主机，数据盘镜像可以创建新的磁盘，实现业务迁移。 是否可以导出至本地：部分可以，整机镜像不支持导出至本地，详见 应用场景 适用场景： 数据备份与恢复 业务快速部署和迁移 适用场景： 服务器上云或云上迁移 部署特定软件环境 批量部署软件环境 服务器运行环境备份 优势 支持自动备份，可以定时定量保留服务器/磁盘某一时间节点的数据。 可以备份系统盘。可以将本地或者其他云平台的服务器数据盘镜像文件导入至镜像服务中。导入后，可使用该镜像创建新的云硬盘。

本文介绍如何在组网配置中如何查看和分析网络拓扑。 背景说明 AOne零信任网络通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通，分支机构互联情况则可以通过网络拓扑进行直观的分析和处理。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击网络拓扑。 网络拓扑 可选择图形或地图，并选择对应的分支机构，来查看分支机构的网络拓扑。

本节介绍了云数据库GaussDB 的备份概述。 云数据库GaussDB 支持数据库实例的备份和恢复，以保证数据可靠性。备份目前将以未加密的方式存储。 备份的作用 当数据库或表被恶意或误删除，虽然云数据库GaussDB 支持高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。 全量备份 全量备份（Full Backup）表示对所有目标数据进行备份，包含备份时刻点上数据库的全量数据，耗时时间长（和数据库数据总量成正比），自身即可恢复出完整的数据库。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 差量备份 差量备份（Differential Backup）只包含从指定时刻点之后的增量修改数据，耗时时间短（和增量数据成正比，和数据总量无关），但是必须要和全量备份数据一起才能恢复出完整的数据库。云数据库GaussDB 默认自动每30分钟对上一次自动备份后更新的数据进行备份，支持修改备份周期为最小15分钟，最大1440分钟。 自动备份 云数据库GaussDB 会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期保存数据库实例的自动备份。如果需要，您可以将保存的备份恢复。 手动备份 用户还可以创建手动备份对数据库进行备份，手动备份是由用户启动的数据库实例的全量备份，会一直保存，直到用户手动删除。

接口功能介绍 删除安全组v3 接口约束 无 URI POST /v3/securityGroup/delete 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 securityGroupOid 是 String 安全组ID 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj String 返回数据结构体。安全组id。 sgxxxxxxxxxxx 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "securityGroupOid":"sg41f5rni5zu4oufa85xwob" } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":"sg41f5rni5zu4oufa85xwob" } 状态码 请参考 状态码 错误码 请参考 错误码

本文介绍如何部署AD域控制器。 前提条件 在AD域控制器的云主机上已经安装AD域服务器。 操作步骤 1. 将域服务器升级升为域控制器。打开“服务器管理器”，点右上角点小旗子图标，点击“服务器提升为域控制器”。 2. 添加新林。由于是第一个AD控制器，点击“添加新林”，根域名处填域名sfs.com，点击“下一步”等待部署配置。 说明： 将域控制器添加到现有域：在现有的域控制器中添加新的域控制器。 将新域添加到现有林：在现有的林中新建域，与林中现有的域不同。 3. 设置目录服务还原密码。 说明： 林功能级别(包含Windows Server 2008到WindowsServer 2016级别)：Windows Server 2012 R2。 域功能级别(只包含Windows Server 2012 R2域功能)：Windows Server 2012 R2。 指定域控制器功能：默认即可。 键入目录服务还原模式(DSRM)密码：需设置复杂密码，否则无法通过规则校验。 4. 跳过DNS选项，点击“下一步”。用AD域服务器当DNS服务器，不需要单独指定。 5. NetBios域名保持默认，点击“下一步”。 6. 日志及数据配置保持默认，点击“下一步”。 说明： AD DS数据库是AD域服务器用来存放用户信息的地方。 AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘。 7. 检查配置信息，点击“下一步”。 8. 安装前自动进行先决条件检查，检查通过后点击“安装”，系统自动安装并重启。安装需要一段时间请耐心等待。 9. 查看是否安装成功。理论上重启后AD域即部署成功，打开“服务器管理器”，点击“工具>Active Directory用户和计算机”，在弹窗中依次点击“sfs.com>Domain Controllers”，若展示云主机名称即代表AD域部署成功。

本文介绍数据库管理服务为云数据库提供数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL、SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、青岛20、南昌5、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 用户已经开启了数据库审计，详见：开启数据库审计。 操作步骤 1. 登录数据库管理服务。 2. 在左侧菜单栏依次点击SQL治理 > SQL审计，进入SQL审计明细界面。 注意事项 SQL审计明细的日志记录默认只保存1天，可设置范围为1~3天。若需要更改最长保存时间（最长支持180天）请联系客户经理评估调整。 仅超级管理员、系统管理员和审计管理员可以进入SQL审计日志界面。 MySQL审计日志中影响行数、返回行数、扫描行数、执行耗时、锁等待时间若无法查看则为历史版本，有需要请联系数据库内核升级版本即可。 若DDS不支持数据库审计，需先升级数据库内核版本。 功能介绍 SQL审计的日志记录了历史所有数据库操作记录，您需要先选择查看的时间范围和实例，点击查询按钮即可查看。 SQL审计明细日志搜索 SQL审计日志支持多个维度的联合搜索，不同数据库类型搜索项存在差异，常见搜索项说明如下 搜索项 说明 时间范围 选择查询的时间范围 数据库类型 选择DMS支持的数据库类型，必填 实例 实例名称，必填 节点IP 数据库实例节点IP，必填 数据库名 实例中数据库名称，可使用通配符%，指代任意长度字符 SQL执行类型 选择SQL语句的类型 SQL文本 SQL语句文本，大小写不敏感，可使用通配符%，指代任意长度字符 按时间排序 是否将查询结果按照时间排序，开启后将严重影响查询性能，建议关闭 数据库账号 大小写不敏感，可使用通配符%，指代任意长度字符 客户端IP 客户端IP地址，可使用通配符%，指代任意长度字符 SQL执行结果 SQL执行是否成功 注意 由于MySQL审计日志数据量较大，搜索的时间范围跨度仅限1天。

用户可通过“账号中心安全设置”页面设置密码有效期。 设置密码有效期 操作步骤 1、登录天翼云官网，在首页点击“我的账号中心”，进入“安全设置”页面，点击“密码策略密码有效期策略”右侧的“立即设置”按键。 2、可开启密码有效期。有效期支持输入 30 ~ 365 天。距离密码到期15天时开始提示用户修改密码。 3、密码有效期内，用户通过修改密码，可重置密码过期时间。 4、密码过期后，用户通过原密码无法登录账号，用户可通过“忘记密码”设置新密码，使用新密码登录账号。 5、新设置密码有效期后，密码过期时间同步更新。 取消设置密码有效期 操作步骤 1、登录天翼云官网，在首页点击“我的账号中心”，进入“安全设置”页面，点击“密码有效期策略”右侧的“立即设置”按键。 2、关闭密码有效期，密码永久有效，无过期时间。

相关操作 编辑白名单策略 如果创建策略完成后，您需要修改策略模式、防护动作或防护的服务器，您可以编辑白名单策略。 1、在目标策略所在行的操作列，单击“编辑”。 2、在编辑策略弹窗中完成信息修改后，单击“确认”。 删除白名单策略 如果不再需要企业主机安全为您的某个策略中关联的所有服务器提供应用进程控制防护，且无需保留企业主机安全已学习到的应用进程信息，您可以删除白名单策略。删除后，如果后续再次开启应用进程控制，企业主机安全需要重新学习服务器，请谨慎操作！ 1、在目标策略所在行的操作列，单击“删除”。 2、在弹窗中，单击“确认”。 确认学习结果 企业主机安全学习完白名单策略关联的服务器后，输出的学习结果中可能存在一些特征不明显的可疑进程需要再次进行确认，您可以手动或设置系统自动将这些可疑进程确认并分类标记为可疑、恶意或可信进程。 学习结果确认方式，在创建白名单策略时可设置： “学习结果确认方式”选择的“自动确认可疑进程”：系统将根据应用进程情报自动对可疑进程进行分类标记。 “学习结果确认方式”选择的“手动确认可以进程”：您需要手动对可疑进程进行分类标记。具体操作您可以参考本章节。 前提条件 已完成策略创建，且策略状态为“学习完成，未生效”。具体操作请参见创建白名单策略。

本文简述缓存过期时间配置方法。 功能介绍 缓存过期时间指源站资源在边缘节点缓存的最大时长，超过该时长，资源将会被边缘节点标记为已过期。如果客户端请求的资源在边缘节点上已过期，边缘节点会回源获取最新资源缓存到边缘节点上，供其他请求使用。 边缘安全加速平台—安全与加速服务支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 注意事项 默认开启去问号参数缓存，若需要带问号后参数缓存，请选择关闭该功能。 权重支持自定义生效顺序，优先级数字大则优先生效。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2.单击【编辑配置】。 3单击【增加规则】，选择类型，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 4.选择过期时间单位，如秒、分钟、小时、天，再填写对应的过期时间。 5.选择缓存规则，默认为强制缓存。 6.去问号缓存默认为开启，如需要带问号后参数缓存，请选择关闭该功能。 7.选择权重。权重支持自定义，优先级数字大则优先生效。

本文通过图文说明预取功能的操作方法及注意事项。 功能介绍 预取功能是指提交URL预取请求后，边缘安全加速平台—安全与加速将会主动将对应的资源缓存到节点上，当用户首次请求时，就能直接从边缘节点缓存中获取到最新的资源，边缘节点无需再回源站获取。常用于热门文件发布或是大型推广活动前做内容预取，可以降低热点文件发布后源站的回源压力，提升缓存命中率，优化首批访问用户的访问体验。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【刷新预取】页面。 2.在【刷新预取】页面，选中【URL预取】单击【创建任务】。 3.按照URL预取下方的提示内容，填写待预取URL。 4.配置完成后，单击【确定】提交。 5.完成预取任务提交后，如要查看任务执行进度和结果，可以选择具体的时间、输入目标域名，或者选择一种特定的任务状态类型查看预取任务的执行情况。

导入剧本信息 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在剧本管理列表右上角单击“导入”，弹出导入剧本窗口。 6. 单击“添加文件”，并选择待导入文件。 7. 单击“上传”。 导出剧本信息 说明 态势感知（专业版）支持导出“剧本状态”为“已启用”的剧本。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 勾选需导出的剧本，单击列表右上角的，弹出导出剧本确认信息框。 6. 在弹出的确认框中，单击“确认”，导出剧本信息到本地。

本节介绍了用户指南： 使用HostPath存储卷。 HostPath存储卷能将主机节点文件系统上的文件或目录挂载直接挂载到业务Pod 中。由于该方式存在诸多安全风险，且不适用于高可用场景，一般业务应用不推荐使用。 背景信息 云容器引擎服务兼容kubernetes原生HostPath本地挂载方案，关于HostPath特定场景使用用法及注意点参见：Kubernetes官方 使用限制 HostPath 存储卷可能会暴露特权系统凭据（例如 Kubelet）或特权 API（例如容器运行时套接字），可用于容器逃逸或攻击集群的其他服务； 具有相同配置（例如基于同一 PodTemplate 创建）的多个 Pod 会由于节点上文件的不同而在不同节点上有不同的行为； 主机节点上特定文件或目录只能由 root 用户写入。如需访问这些文件，需要在特权容器中以 root 身份运行进程，或者修改主机上的文件权限以便容器能够写入 hostPath 卷。 挂载模式 HostPath支持以下几种挂载模式： 类型 描述 空字符串（默认）用于向后兼容，这意味着在安装 hostPath 卷之前不会执行任何检查。 DirectoryOrCreate 如果在给定路径上什么都不存在，那么将根据需要创建空目录，权限设置为 0755，具有与 kubelet 相同的组和属主信息。 Directory 在给定路径上必须存在的目录。 FileOrCreate 如果在给定路径上什么都不存在，那么将在那里根据需要创建空文件，权限设置为 0644，具有与 kubelet 相同的组和所有权。 File 在给定路径上必须存在文件。

本节介绍了容器镜像服务的产品架构 容器镜像服务提供简单易用、安全可靠的容器镜像、Helm Chart 等符合 OCI 标准的云原生制品的托管、分发能力。

启用产品集成，并接入安全产品数据后，您可以管理集成列表，并可查看从产品接收的统计结果数量。 查看产品集成列表 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 安全产品集成”，进入产品集成管理页面。 3. 选择“集成类型”和“探测状态”。 集成类型分为“检测结果类产品集成”、“调查分析类产品集成”。 探测状态分为“探测正常”、“探测异常”、“从未探测”、“停止探测”。 4. 选择“产品名称”、“产品类型”或“公司名称”筛选条件。 5. 在搜索框输入关键字，单击搜索按钮，即可查看到满足条件的产品。 查看产品集成结果 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 安全产品集成”，进入产品集成管理页面。 3. 查询目标产品。 选择“已集成”、集成类型和探测状态，查找符合条件的产品。更多查询方式请参见查看产品集成列表。 4. 查看接收结果数量。 在目标产品列框，可查看从该产品的接收的全部和近一小时接收的结果数量。 单击“查看”，可跳转到“全部结果”管理页面，呈现该产品的检测结果列表。更多检测结果说明，请参见查看全部检测结果。

托管检测与响应服务（原生版）具备724小时检测响应、SOAR、威胁感知、护航保障等核心能力。 724小时威胁检测与响应 全天候提供威胁检测与响应，通过汇聚云上安全产品数据，集中检测分析，及时发现威胁，快速处置。 SOAR自动处置 通过编排处置能力，秒级响应安全事件，并通过剧本库，持久化安全场景。 高级别威胁感知 通过集成漏洞库、威胁情报，实时感知高危漏洞开放及国内外APT攻击。 护航保障 提供护航保障服务，解决重要时期网络安全保障需求。

参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 bucket名称 桶的名称，注意以下命名规则: 桶名称全局唯一，在任何集群，都不能与已有的任何桶名称重复，包括其他用户创建的桶。 存储桶一旦创建成功，名称不能修改且不支持重命名。 长度范围为3到63个字符，支持小写字母、数字、中划线（）、英文句号（.）。 禁止两个英文句号（.）或英文句号（.）和中划线（）相邻，禁止以英文句号（.）和中划线（）开头或结尾。 禁止使用IP地址。 如果名称中包含英文句号（.），访问桶或对象时可能会进行安全证书校验。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考 服务端加密 开启服务端加密功能，上传的对象将以加密的方式存储在ZOS中。下载对象时，ZOS会自动将加密文件解密后再提供给用户。选择加密方式，取值范围如下： 关闭 :不启用服务器端加密。 ZOS完全托管 : 使用ZOS托管的密钥进行加密。 KMS: 使用KMS默认托管的CMK或指定CMK ID进行加解密操作 。 2种加密方式的对比见 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。

本节介绍如何创建 VLLM 前缀匹配智能路由。 前置条件 前缀缓存匹配依赖分布式缓存服务 Redis 做为 KVCache 分布信息元数据存储服务，因此需要针对智算套件集群创建对应的 Redis 服务，并放开白名单和内网访问端口。 1. 通过控制台查看智算套件集群资源信息，包括“虚拟专有网络 VPC”、“安全组”、“集群子网”等。 如果集群 VPC 包含多个子网，可通过查看“虚拟专有网络 VPC”详情获取多个子网网段，后续创建 Redis 服务需要用到子网网段信息，如下： 2. 前往“分布式缓存服务Redis版”控制台，创建集群对应的 Redis 服务实例。 实例需求： a. Redis 版本大于等于 6.0； b. Redis 和智算集群处于同一 VPC 其它创建参数请结合集群业务需求进行修改。 3. 等待 Redis 服务创建成功，点击实例详情，并设置安全组和白名单，确保集群内服务可以访问 Redis 实例。 实例需求： a. Redis 实例安全组需要放开入方向 6379 端口流量； b. Redis 实例需要将集群子网网段添加到白名单； 1）点击查看实例详情 2）添加集群子网网段到 Redis 白名单 3）查看 Redis 实例安全组，并前往网络控制台修改安全组规则，添加放开入方向 6379 端口规则 点击修改可以查看安全组编码，复制并前往网络控制台 通过搜索查询到对应的 Redis 实例的安全组，并添加规则 至此，创建前缀缓存匹配路由所需的 Redis 实例创建并配置完毕。

本文介绍如何隔离容器。 支持将存在异常的Pod进行隔离，被隔离的Pod将不允许与其他资源进行通信。 注意事项 特权容器、节点启动容器、安全容器、pause应用类型容器暂不支持隔离。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“隔离Pod”。 4. 在弹出的对话框中，输入说明信息。 5. 单击“确认”，隔离容器。

本节介绍如何对上传的文件进行IaC扫描。 前提条件 已上传需要检测的K8S manifests、dockerfile、Configmap文件。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > IaC检查”，进入IaC检查页面。 3. 选择检查的文件类型。 4. 单击检查列表操作列的“扫描”按钮或者列表右上角的“开始扫描”，可对已上传的文件进行检测。 5. 扫描后，到“任务中心 > 扫描任务队列 > IaC安全扫描队列”中查看扫描状态及生成扫描结果。

本文介绍如何对集群节点进行扫描。 扫描节点 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面。 3. 单击节点列表右上方的“开始扫描”，可选择扫描全部节点或者仅扫描列表中勾选的节点。 4. 单击“确定”，立即开始扫描，扫描状态变为“扫描中”。 重新扫描 扫描完成后，可以单击操作列的“重新扫描”，重新对节点进行扫描。

此小节介绍用户登录提示“您的账户已经被锁定,请自助解锁或联系管理员”问题如何处理。 账号密码被锁定主要有以下几种情况： 忘记密码，连续输错N次密码后账号自动锁定。 账号、密码超过有效期，自动锁定。 账号空闲超过阈值未登录系统。 管理员主动锁定。 忘记密码 在云堡垒机实例登录页面点击忘记密码，通过注册邮箱重置密码，解锁账号。 注意 忘记密码自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击忘记密码。 2. 输入用户名、邮箱等信息，验证用户身份。 3. 输入新登录密码，点击确定后，密码重置成功。 密码过期锁定 在云堡垒机实例登录页面点击自助解锁，通过注册邮箱解锁账号。 注意 密码过期自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击自助解锁链接。 2. 进入自助解锁功能后，输入用户名、邮箱和动态验证码，验证用户身份。 3. 输入更新后的密码，注意输入密码需要符合密码安全策略，点击确认。 4. 解锁成功。 其他原因账号被锁定 联系管理员解锁。管理员登入云堡垒机管理后台，在账号管理中可解锁用户账号、更改密码。

本节介绍如何创建并管理容器防篡改策略。 添加文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 单击“添加策略”，进入添加策略页面。 4. 在新建策略页面输入策略名称（必填）和描述信息（非必填），选择或输入目标对象（支持通配符），设置监控路径。 5. 单击“保存”按钮，系统提示保存成功，安全策略设置完毕。 管理文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 查找策略：搜索框支持按策略名称、启用状态查找目的策略。 4. 策略管理：在策略列表内，支持对已添加策略进行查看、编辑、删除、开启、关闭。

本节主要介绍了STS临时授权功能的典型场景和具体使用方法。 应用场景 某企业X开发了一款移动应用（App），并使用OOS服务。App需要直连OOS上传或下载数据，但是App运行在用户自己的移动设备上，这些设备不受企业X的控制。企业X有如下要求： 直传数据：企业X不希望所有App都通过企业的服务端应用服务器（Application Server）来进行数据中转，而希望能够直连OOS上传或下载数据。 安全管控：企业X不希望将访问密钥（AccessKey）保存到移动设备中，因为移动设备是归属于用户控制，属于不可信的运行环境。 风险控制：企业X希望将风险控制到最小，每个App直连OOS时都必须拥有最小的访问权限且访问时效需要很短。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 应用服务器在OOS上为每个APP创建一个IAM用户，并为每个IAM用户附加最小的访问权限（如调用STS接口、仅对自己目录下的资源有所有权，对于其他用户的目录无权限）。当移动应用（App）直连OOS上传或下载数据时，App需要向应用服务器申请访问凭证。应用服务器以该APP的IAM用户身份，调用STS API接口获取临时安全访问凭证，并将临时安全访问凭证传递给App，App使用临时安全访问凭证访问OOS。 具体步骤如下所示： 1. OOS为应用服务器创建IAM用户并附加权限策略。具体策略可参考下列示例： { "Version": "20121017", "Statement": [ { "Sid": "AllowListAllBuckets", "Effect": "Allow", "Action": [ "oos:ListAllMyBucket" ], "Resource": "" }, { "Sid": "AllowListYourselfFolder", "Effect": "Allow", "Action": [ "oos:ListBucket" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname" ], "Condition": { "StringLike": { "oos:prefix": [ "${ctyun:username}/" ] } } }, { "Sid": "AllowControleYourselfFolder", "Effect": "Allow", "Action": [ "oos:GetObject", "oos:ListMultipartUploadParts", "oos:DeleteObject", "oos:PutObject", "oos:DeleteMultipleObjects", "oos:AbortMultipartUpload" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname/${ctyun:username}/" ] }, { "Sid": "AllowCallSTS", "Effect": "Allow", "Action": [ "iam:GetSessionToken" ], "Resource": "" } ] } 2. APP向应用服务器申请临时访问凭证。 3. 应用服务器调用STS接口获取临时安全访问凭证。 请求示例 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzdate: Tue, 21 Aug 2012 17:54:50 GMT ContentMD5: 8dYiLewFWZyGgV2Q5FNI4W Authorization:AWS fad0e782cd5132563e38:xQE0diMbLRepdf3YB+FIEXAMPLE ContentLength: 445 ActionGetSessionToken&DurationSeconds129600 响应示例 HTTP/1.1 200 OK xamzrequestid: 996c76696e6727732072657175657374 Date: Mon, 1 Nov 2010 20:34:56 GMT ContentType:text/xml;charsetUTF8 ContentLength: 533 Server: CTYUN 8b2b75f5a04e458b0da3a01602e78b089528b915c2 sts.6b7fd 17b69c15f 20230427T13:52:08.282Z 62c80e3868a14804 4. 应用服务器将获取的临时安全访问凭证传递给APP。 5. APP使用临时安全访问凭证访问OOS资源，进行数据直传。 调用时输入步骤3返回的信息： AccessKeyId：sts.6b7fd SecretAccessKey：17b69c15f SessionToken：8b2b75f5a04e458b0da3a01602e78b089528b915c2 注意 由于生成的临时安全访问凭证是默认继承IAM用户的权限，所以我们在为IAM用户创建策略的时候，仅分配STS接口权限和所需操作的最小权限，不推荐分配CreateUser、CreateAccessKey、UpdateLoginProfile等权限，以防止临时安全访问凭证权限过大。

注意事项 当开通天翼云边缘安全加速平台—安全与加速服务加速全球或全球（不含中国内地）服务时，支持开通高性能网络增值服务。 高性能网络服务开通后不会直接生效，需要针对域名配置开启高性能网络服务才会生效。具体请参考高性能网络中配置说明。 因高性能网络为非必须的精品增值服务，涉及计费，如无需使用，请及时退订服务。

本文内容主要介绍绑定弹性公网IP 操作场景 副本集实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 注意事项 在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 副本集实例仅支持Primary和Secondary节点绑定弹性公网IP。对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性IP 步骤 1 在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“基本信息”区域的目标节点上，单击“绑定弹性IP”。 步骤 4 在弹出框的弹性IP列表中，显示“未绑定”状态的弹性IP，选择所需绑定的弹性IP，单击“确定”，提交绑定任务。如果没有可用的弹性IP，单击“查看弹性IP”，创建新的弹性IP。 步骤 5 在目标节点的“弹性IP”列，查看绑定成功的弹性IP。 解绑弹性IP 步骤 1 对于已绑定弹性公网IP的节点，在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“基本信息”区域的目标节点上，单击“解绑弹性IP”。 步骤 4 在弹出框中，单击“确定”，解绑弹性公网IP。

关系数据库MySQL版支持为部分已创建的实例切换虚拟私有云VPC,并根据实际需要设置子网。本文介绍为实例切换VPC/子网的功能和操作步骤。 注意 除广州4，苏州外II类型资源池都支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 如果主实例已开通只读实例和数据库代理，则不支持切换VPC，需先进行退订。 使用云硬盘备份类型的实例不支持切换VPC，仅对象存储备份类型实例支持。 实例状态不为运行中时，可能会导致切换失败。 受底层网络限制，IPv4和IPv6的VPC和子网无法互相切换。 如果实例有IPv6地址，要求修改后的子网有开启IPv6功能。如果实例没有IPv6地址，要求修改后的子网关闭IPv6功能。 切换VPC时，不可进行弹性IP与IPv6带宽绑定，可于切换后操作。 可用IP数量不足可能导致切换失败，可重试切换VPC或选择其他VPC。 切换VPC后，会为您将切换后的VPC网段加入到白名单配置中，旧的VPC网段可自行前往IP白名单删除。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域，单击虚拟私有云 参数右侧的切换VPC/子网。 5. 在对话框内选择需要切换的VPC，然后选择需要的子网和安全组。 注意 如仅修改子网，则选择同VPC下的其他子网即可，您需注意：子网修改后连接地址会发生变化，会自动将新的网段加入到白名单，可自行前往修改。 6. 勾选同意框，并单击确定，开始切换VPC和子网，期间服务不可用。 切换后，实例状态重回运行中。 您可以在网络区域，看到新的VPC信息。 注意 为防止实例异常影响使用，执行VPC和子网切换后，请确保切换后的网络已加入到白名单中。 切换VPC期间会重启导致服务不可用，并会更换实例的连接地址，请在切换VPC后及时将业务中的连接地址进行变更，建议在业务低峰期切换。 切换VPC后，连接地址会发生切换，如果此前绑定了弹性IP，则会为您将弹性IP绑定到新的连接地址，IPV6带宽与内网域名同理，都会为您自动绑定到新的连接地址。

本文介绍创建及管理内网访问内容。 功能概述 内网访问用于管理接入应用托管的VPC终端节点，已完成VPC接入的云资源，可通过内网访问域名连接应用托管中的应用，保障访问安全性。 操作步骤 步骤 1：进入内网访问页面 1. 登录天翼云应用托管控制台，在左侧导航栏选择网络 → 内网访问，进入内网访问管理页面。 步骤 2：接入 VPC 1. 委托授权（首次操作需执行，为平台授权）： 弹出「创建委托」弹窗，展示所需授予的权限： VPC 终端节点：查询、创建、删除等权限； 虚拟私有云：查询 VPC、子网等权限； 内网 DNS：查询、创建、删除 DNS 记录等权限。 点击【确认授权】，平台自动创建名为 CtyunAssumeRoleForAPP 的委托。 注意：请勿删除或修改此委托，否则会导致内网访问功能异常。 2. 完成委托授权后，点击【接入 VPC】按钮，弹窗【VPC终端节点配置】完成以下内容配置并提交，VPC即接入成功。 选择 可用区； 选择 虚拟私有云（下拉框展示当前账号下可用 VPC），若需新的虚拟私有云，请点击【去创建】； 点击【确认配置】提交。