本文介绍天翼云AOne会议账号相关问题。 AOne会议支持哪些类型的账号？ AOne会议支持两类账号： 企业用户账号：由企业订购开通AOne会议基础套餐，由企业管理员统一创建和管理，可用于加入会议、预定会议、快速会议等。 个人用户账号：由个人自行注册使用，仅支持加入会议。 个人用户账号与企业用户账号有什么区别？ 功能 企业用户账号 个人用户账号 加入会议 ✅ 支持 ✅ 支持 预定会议 ✅ 支持 ❌ 不支持 快速会议 ✅ 支持 ❌ 不支持 如何申请或开通企业账号？ 请联系您的专属客户经理订购AOne会议，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询。 同一个账号可以同时登录多个设备吗？ 可以。AOne会议账号支持在多端同时登录，但需注意以下限制： 同一时间，每个终端类型仅允许一个客户端保持登录状态。例如，您可以在Windows和iOS客户端上同时登录，但不能同时在两个Windows客户端上登录。 同一时间仅可在一个设备上加入同一场会议，不支持多个设备同时参加同一场会议。 一个账号可以同时发起多个会议吗？ 可以，一个账号同一时间在不同端可以发起不同的会议。 可以一个账号多人使用吗？ 不建议共享账号。涉及会议安全和权限管理，每个账号建议专人使用。企业应按实际使用人数开通相应账号数。

使用前须知。 微服务引擎（Cloud Service Engine，CSE），是用于微服务应用的云中间件，支持云贡献到Apache社区的注册配置中心Servicecomb引擎、开源增强的注册配置中心Nacos引擎。用户可结合其他云服务，快速构建云原生微服务体系，实现微服务应用的快速开发和高可用运维。 使用条件 已注册账号并登录。 当前登录账号拥有创建微服务引擎的权限。 登录微服务引擎控制台 1. 登录天翼云控制台。 2. 单击，选择区域。 3. 单击左上角，在服务列表选择“微服务引擎CSE”，进入微服务引擎控制台。 说明 当您使用从ServiceStage发放的微服务引擎实例时，如想在CSE中发放新实例，需要对CSE云服务进行授权。 当您没有授予任何权限时，由于CSE使用依赖VPC、DNS云服务，因此需要先创建云服务委托，将操作权限委托给CSE。 授权后，CSE将在统一身份认证服务为您创建名为cseadmintrust的委托，授权成功后，可以进入服务委托列表查看。该操作需要有Security Administrator角色权限，请到“统一身份认证”服务中确认。 如不授权，将影响微服务引擎部分功能的正常使用，包括：创建引擎、升级引擎、开启/关闭安全认证。

本章介绍天翼云关系型数据库产品功能的对比情况。 单机实例采用单个数据库节点部署架构。与主流的主备实例相比，单机实例只包含一个节点，没有备用节点用于故障恢复。 优势对比 单机实例 ：支持创建只读实例（Microsoft SQL Server除外）、错误日志、慢日志查询管理。相较于主备实例，单机实例少了一个数据库节点，可大幅节省用户成本。由于单机实例只有一个数据库节点，当该数据库节点出现故障时，恢复时间较长，因此，如果是对数据库可用性要求较高的敏感性业务，不建议使用单机实例。 主备实例（集群版同样为主备）：主备实例的备数据库节点仅用于故障转移和恢复场景，不对外提供服务。由于使用备数据库节点会带来额外性能开销，从性能角度来看，单机实例的性能与主备实例相同，甚至单机实例的性能可能会高于主备实例。 产品功能对比 产品功能 单机实例 主备实例（集群版同样为主备） ::: 节点数 1 2 监控与告警 支持 支持 安全组 支持 支持 备份与恢复 支持 支持 参数设置 支持 支持 SSL 支持 支持 日志管理 支持 支持 只读实例（需另建实例） 支持 支持 主备库切换 不支持 支持 手动主备切换 不支持 支持 实例规格变更 支持 支持

本文帮助您快速熟悉为云主机更改安全组操作场景和操作流程。 操作场景 安全组是一种重要的网络安全防护策略，用于管理和控制云主机的网络访问。当您创建好云主机并关联安全组后，可以根据业务需求随时更改安全组。 前提条件 已完成弹性云主机的创建，已关联安全组。 已创建另一个安全组，作为更换后的安全组。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角选择地域，此处选择华东华东1。 3. 选择“计算>弹性云主机”，进入云主机控制台。 4. 在云主机列表中，点击待更换安全组规则的云主机名称，进入云主机详情页面。 5. 在云主机详情页面，选择安全组页签，点击“更改安全组”按钮，弹出更改安全组弹窗。 6. 在更改安全组弹窗中，可下拉选择其他安全组进行关联。关联完成后单击“确定”，完成安全组的更改。 7. 更改完成后，可以在安全组页签下看到更改后的安全组。

SDWAN服务支持接入客户端，您可以通过在客户端登录APP的方式访问特定的SDWAN网络，而无需额外购买智能网关设备，操作更加便捷的同时节省开销。 使用场景 用户在手机、电脑等移动终端安装智能网关APP客户端后，可通过天翼云SDWAN加密安全上云，无需购买智能网关设备，便可以随时随地通过移动设备进行远程办公和远程运维，极大地提高了工作的灵活性和效率。 使用流程 1. 创建APP实例 智能网关APP实例是客户端的管理控制中心，您可以通过APP实例执行创建客户端账号、进行组网管理等操作。具体操作，请参考创建智能网关APP实例页面。 2. 激活 智能网关APP实例执行激活操作，激活后，便可以通过当前实例接入已绑定的SDWAN网络。具体操作，请参考激活页面。 3. 创建客户端账号 您需要在智能网关实例中创建客户端账号、密码，用于登录客户 端。具体操作，请参考创建客户端账号页面。 4. 下载客户端 点击“下载”按钮，扫码下载客户端软件，即可在您的电脑、手机等移动终端上安装客户端APP，具体操作，请参考安装客户端页面。 5. 创建关联关系 将智能网关APP实例与指定SDWAN下的智能网关进行关联，帮助您轻松实现移动办公，具体操作请参考创建互联关系页面。

“安全概览”页面查看资产安全总览情况，并进行相关操作。 SA的“安全概览”页面实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 您可以在“安全概览”页面查看您的资产安全总览情况，并进行相关操作。“安全概览”分为以下几个板块： 安全评分 安全监控 安全趋势 安全评分 “安全评分”板块根据不同版本的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况，如下图。 分值范围为0～100，分值越大表示风险越小，资产更安全。 分值环形图不同颜色表示不同威胁等级。例如，黄色对应“中危”。 单击“立即处理”，系统右侧弹出“安全风险处理”页面，您可根据该页面的提示，参考对应的帮助文档或直接对风险进行处理。 安全风险处理页面中包含所有需要您尽快处理的安全风险和威胁，分为“威胁告警”、“漏洞”、“合规检查”三大类别。 “安全风险处理”页面中显示的数据为最近/最新检测后的数据结果，“检测结果”页面（单击“前往处理”，进入该页面）显示的是所有检测时间的各类数据详情，因此，安全风险处理页面的数据总数≤检测结果页面的数据总数。 处理安全风险 ： 1. 在“安全评分”栏中，单击“立即处理”，系统右侧弹出“安全风险处理”页面。 2. 在“安全风险处理”页面中，单击“前往处理”，进入检测结果页面。 3. 选择一个或多个“未处理”状态的结果，单击“忽略”或“标记为线下处理”，对不同检测结果批量执行相应的处理操作。 忽略：如果确认该检测结果不会造成危害，在“忽略风险项”窗口记录“处理人”、“忽略理由”，可标记为“已忽略”状态。 标记为线下处理：如果该检测结果已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。 资产风险修复，并手动刷新告警事件状态后，安全评分实时更新。资产安全风险修复后，也可以直接单击“重新检测”，重新检测资产并进行评分。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果，非实时数据，如需获取最新数据及评分，可单击“重新检测”，获取最近的数据。

查看安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看已有安全组。 3. 选中所要查看安全组规则的安全组，单击安全组的名称进入安全组的详情页。 4. 单击【入规则】可查看当前安全组下已有的入方向规则。 5. 单击【出规则】可查看当前安全组下已有的出方向规则。 删除安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户已有安全组。 3. 选中所要删除安全组规则的安全组，单击对应操作栏中的【编辑规则】，进入安全组的编辑页面。 4. 在编辑页面中单击【入方向规则】或者【出方向规则】，选中所要删除的安全组规则，在对应的操作栏中单击【删除】，再单击【提交】执行删除，删除后立即生效。

本章节主要介绍典型应用场景，以满足客户多样性的防护需求。 主机安全 统一安全管理 企业主机安全提供统一的主机安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。 安全风险评估 对主机系统进行安全评估，将系统存在的各种风险（帐户、端口、软件漏洞、弱口令等）进行展示，提示用户及时加固，消除安全隐患。 主动安全防御 通过清点主机安全资产，管理主机漏洞与不安全配置，预防安全风险；通过网络、应用、文件主动防护引擎主动防御安全风险。 黑客入侵检测 提供主机全攻击路径检测能力，能够实时、准确地感知黑客入侵事件，并提供入侵事件的响应手段，对业务系统“零”影响，有效应对APT攻击等高级威胁。 容器安全 容器镜像安全 即使在Docker Hub下载的官方镜像中也常常包含了漏洞，而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描，将镜像中存在的各种风险（镜像漏洞、账号、恶意文件等）进行展示，提示用户及时修改，消除安全隐患。 容器运行时安全 通常容器的行为是固定不变的，容器安全服务帮助企业制定容器行为的白名单，确保容器以最小权限运行，有效阻止容器安全风险事件的发生。

安全组产品广泛应用于多种场景,本文带您更快了解安全组的经典应用场景。 不同安全组内的弹性云服务器内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台弹性云主机上与另一个安全组内的一台弹性云主机间共享数据， 设置为内网互通。 由于同一个VPC内，在同一个安全组内的弹性云服务器默认互通，无需配置。但是，在不同安全组内的弹性云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云主机内网互通。 安全组配置方法： 在云服务器所在安全组中添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通。 例如安全组sgA内的云服务器访问安全组sgB内的Oracle数据库服务，您需要通过在安全组sgB中添加一条入方向规则，放通Oracle(1521)端口，允许来自安全组sgA内云服务器的请求进入。安全组规则如下所示。 IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 TCP 入方向 1521 安全组：sgA 仅允许特定IP 地址远程连接弹性云主机 场景举例： 为了防止弹性云主机被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。

本文简要介绍了如何创建组播域。 操作场景 您需要通过创建组播域来划分一个组播网络范围，仅在此组播域内的组播源和组播成员才能发送和接收组播流量。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录管理控制台。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在系统首页， 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面 。 4. 在左侧导航栏，选择“组播”。 5. 进入组播操作页，在界面右侧详情区域单击“创建组播域”。 6. 在创建组播域对话框，根据以下信息进行配置，然后单击“确定”创建完成。 配置项 说明 组播域名称 输入组播域的名称。 组播域来源 选择组播域的来源，支持云间和云内两种方式，只可同时选择一项。 当组播域中存在通过专线从 IDC 机房接入组播源的场景，需要选择云间组播域。 当组播域中的组播源全部都在天翼云内部，不存在组播源为 IDC 机房的场景，需要选择云内组播域。 所属vpc 选择组播域关联的VPC。 成员加入方式 选择组播成员加入组播域的方式，支持动态加入和静态加入。成员动态加入和静态加入只可同时选择一项。 成员动态加入时，根据行情接收者 APP 所使用的 IGMP 版本选择IGMP 协议，IGMPv2、IGMPv3至少选择一个。 云间组播域选择IGMPv3协议时，需填写SSM组地址。SSM组地址默认为232.0.0.0/8，可输入范围格式如225.0.0.0/24225.100.100.0/24，多个IP地址间用“;”隔开。 成员静态加入时，需手动填写组播组地址，目前只支持填写单个地址且不可相同。 描述 输入组播域的描述信息。 注意 1、目前成员静态加入方式只支持云服务器的主网卡。系统将以该网卡的主私网IP地址接收组播流量。 2、一个组播组地址可以添加多个网卡。 3、组播接收云服务器所在的安全组需放通组播源的端口和地址。 4、知名组播地址（224.0.0.0～224.0.0.255，239.0.0.0～239.255.255.255）会做下发限制，暂不允许添加，如您的页面不支持添加知名组播地址的特殊入口，联系工单开放白名单功能。

安全组规则设置 堡垒机弹性IP安全组访问规则设置请参见：虚拟私有云添加安全组规则。 注意 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和堡垒机实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当堡垒机实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的堡垒机实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的堡垒机实例。

本小节介绍使用堡垒机实现资产运维细粒度权限管控最佳实践。 背景 传统的权限网格比较粗放，围城内的大部分用户默认具有超范围的权限，外围用户通过VPN连接企业网络后，也默认具备“围城内用户”的身份和权限，越权访问、敏感操作比比皆是且无从管控，发生数据泄露等安全事故后也难以审计追溯具体详情。 天翼云堡垒机提供完善的用户访问授权和精细的操作权限管控，非授权用户无法访问指定资产，授权用户访问资产后无法执行未授权的指定敏感操作。 解决方案 访问授权 1.管理员登录堡垒机。 2.左侧菜单选择“授权管理>资产访问授权”。 3.选择“资产访问授权”标签页，点击“新增”切换至授权配置页，在基本属性模块支持配置访问的协议、访问的端口以及授权有效期；维度属性模块可配置主账号(组)和资产(组)以及资产从账号的关联关系。 4、配置完成后，表示主账号(人员账号)可以在指定有效期内，使用指定的资产账户访问指定的资产。 命令授权 1.左侧菜单选择“授权管理>字符命令授权”。 2.在“命令组”标签页，点击【新增】，在属性中添加需要管控的命令集以及针对性的响应动作。支持以正则表达式的方式匹配相关命令。 3.在“命令授权”标签页，点击【新增】，填写指定用户和资产属性，选择创建的命令组提交。 在维度属性模块中，可配置命令管控策略需要关联生效的“用户 资产账户 资产”场景。 4.配置完成后，表示指定的用户使用指定的资产账户登录资产后，在资产上执行指定的命令时，将会触发策略中指定的响应动作。 5.文件传输配置原理同字符指令，可匹配具体的上传、下载等操作触发相关响应动作。 6.数据库指令配置原理同字符指令，可匹配sql类型、表名及条件去触发阻断或脱敏等动作。

本节主要介绍步骤二：设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1. 登录管理控制台。 步骤 2. 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3. 在左侧导航树选择“访问控制 > 安全组”。 步骤 4. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6. 根据界面提示配置安全组规则。 步骤 7. 单击“确定”。

本章节介绍如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的 入方向规则 。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本文将为您简要介绍边缘安全加速平台安全与加速服务目前支持的安全防护能力。 接入防护前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 DDoS防护 DDoS防护 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 Web防护 []( 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web防护 []( 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web防护 []( 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web防护 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web防护 []( 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫 可以防护Cookie盗用、Cookie篡改、Cookie信息泄露等攻击事件。需要客户端支持携带Cookie，通常小程序、APP、API可能不支持 Web防护 []( 支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web防护 []( 支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web防护 []( 支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未被网站所有者允许的广告内容）进行防护 Web防护 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot防护 设置高频爬虫限制 防止攻击者盗用合法Cookie进行大量请求，限制不同粒度的访问速率 当出现搜索引擎爬取粒度过大导致服务宕机时，可以通过此功能限制爬虫频率 Bot防护 设置爬虫陷阱 在页面里面嵌入不可见链接，当爬虫触碰链接时进行防护 防护网页爬虫 Bot防护 设置人机识别策略 通过cookie挑战、跳转挑战、人机挑战等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持； 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot防护 []( 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot防护 []( 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 []( 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 []( 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 访问控制/限流 设置频率控制 支持控制请求的访问频率 设置客户端IP访问域名首页的次数限制 防护白名单 []( 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 []( 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 设置Bot策略白名单 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 API安全 API自发现 API自发现功能能够帮助用户从访问日志中自动发现API接口的请求，并生成API资产，无需用户手动新增 梳理站点API资产 API安全 业务监测 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 协助用户识别API业务是否运行正常 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险 协助用户识别站点漏洞情况

SQL限流功能可以控制数据库请求访问量和SQL并发量，保障服务的可用性。 前提条件 仅限来源为天翼云RDS的MySQL数据库。 实例暂时仅支持MySQL 8.0以上版本。 已录入DMS中，且实例状态正常的数据库实例。 应用场景 场景 说明 慢SQL 防止慢SQL执行导致整体系统繁忙。 高频访问SQL 通过设置合适的限流参数，可以限制数据库中高频访问SQL的执行，避免这些SQL对数据库的性能和稳定性造成影响。 恶意攻击 防止恶意攻击者通过大量请求耗尽数据库资源，从而保护数据库的安全。 SQL限流范围 参数 说明 通过SQL语句限流 根据SQL语句的digest进行匹配从而限流。 通过SQL类型+库+表限流 对指定库表下特定类型的SQL进行匹配从而限流。 选择SQL类型，取值如下：SELECT 、 UPDATE 、 DELETE 、INSERT、REPLACE。 说明 SQL语句计算digest时不会包含输入SQL语句结尾的";" 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 会话管理 ，进入会话管理页面。 3. 在会话管理页面下方，点击SQL限流页签，即可查看、创建、结束限流任务。 功能介绍 SQL限流功能可以控制数据库请求访问量和SQL并发量，保障服务的可用性。 注意 主实例配置的限流规则，在只读实例上也同样生效，反之亦然。

本节介绍如何为防护域名开启IPv6防护。 如果需要对网站的IPv6请求流量进行防护，可以在域名接入WAF时开启IPv6功能。开启IPv6功能后，所有IPv6请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量转发给源站，实现恶意流量的拦截。 约束限制 IPv6功能仅支持在添加域名时配置，完成域名接入后IPv6配置无法修改，若需要修改，需要先删除已接入的域名，然后再重新接入域名。 若您的域名接入时未开启IPv6功能，后续需要开启IPv6请求防护时，需要重新接入域名。 若您的域名接入时开启了IPv6功能，如需关闭IPv6请求防护，需要重新接入域名。 基础版不支持开启IPv6功能，若需要防护IPv6流量，请购买标准版、企业版或旗舰版。 开启IPv6防护 域名首次接入WAF防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 点击“添加防护对象”进入域名接入信息配置页，打开IPv6开关，其余参数说明及操作请参见添加防护对象。

本文介绍天翼云AOne会议产品计费概述信息，帮助您快速了解AOne会议的计费构成与使用规则。 计费构成 AOne会议的计费体系由基础套餐（必选） 与增值服务（可选）两部分构成，用户可根据业务场景灵活选择。 基础套餐 套餐为会议使用的基础能力包，按高级账号数量计费： 高级账号支持加入会议、快速会议、预定会议等会前控制能力，同时支持发起云录制、会议安全管控等能力。 每个账号可独立创建和管理会议，满足日常办公与协作需求。 增值服务 针对更高规格会议或者对会议转直播观看等场景，AOne会议支持按需订购以下增值服务： 大型会议室：支持发起超大规模会议接入，按并发参会人数选购不同规格的大型会议室。 直播观看时长：支持将会议内容直播给未参会人员观看，按直播观看总时长（单位：分钟）计费。 计费说明 AOne会议采用预付费计费模式，基础套餐（必选）和增值服务（可选）均需提前订购并支付费用，订购规则和使用限制如下： 基础套餐订购规则 AOne会议提供免费版、标准版、旗舰版多种套餐版本，包周期计费，支持包月或包年订购。 用户可根据实际使用需求选择周期，系统按周期一次性收取费用。 套餐订购成功后即刻生效，有效期内可正常使用对应会议能力。

本文介绍CDN控制台概览页相关模块的用途。 天翼云CDN控制台可以帮助您新增加速域名，完成域名配置等基本操作，同时提供了数据分析和日志下载等服务，您可以了解自身业务的基本流量趋势。 CDN控制台功能界面介绍： 1. 导航栏： 控制台左侧菜单栏主要功能为概览、域名管理、证书管理、数据分析、刷新预取、日志下载、计费详情、API文档。 概览：可展示今日或本月的流量/带宽、近七天流量/带宽趋势、证书统计、域名统计、产品计费、信息中心。 域名管理：支持添加加速域名、管理、删除已有加速域名，并可以对加速域名基本信息和配置信息进行更改，支持对域名配置变更生成的域名操作工单进行状态跟踪和闭环以及历史工单溯源查询。支持标签管理功能方便客户做域名分类管理。 证书管理：可供客户自助添加、删除https证书，查看证书详情。 数据分析：数据分析模块支持客户自助查询，主要包含：用量查询、热门分析、用户分析。 刷新预取：您可以选择URL刷新、目录刷新、正则刷新和URL预取。同时您可以通过【查看任务】查看刷新、预取任务的具体状态。 日志下载：可通过搜索域名、选择时间，下载该域名在该时间段的日志。 诊断工具：可通过该诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 边缘函数：可创建边缘函数、查看已创建边缘函数的使用情况。 计费详情：可查看产品按量计费和资源包使用情况。 API文档：可查看平台已支持客户调用的API功能及相关语法说明。 2. 流量/带宽： 展示客户所有域名的今日或者本月的总流量、峰值带宽。 3. 近七天趋势： 展示客户所有域名的近七天总流量趋势和带宽趋势图。 4. 证书统计： 统计客户证书总数和即将过期的证书数量。 5. 域名统计： 统计客户的域名总数，并且可以管理、添加域名，进入刷新预取的页面。 6. 产品计费： 展示客户使用的每个产品的计费方式，并且可以快捷进入订购CDN加速资源包的页面。 7. 信息中心： 该区域分为公告、域名信息、常见问题、使用手册四部分。 公告：显示更新说明、版本发布、CDN相关动态等信息。 域名信息：显示域名的操作信息。 常见问题：介绍在使用天翼云CDN中所遇到的常见问题的解决方案。 使用手册：介绍客户如何使用控制台的操作手册。 8. 语言切换： 支持客户通过语言切换按键，使用简体中文或English访问CDN控制台页面，当切换到【English】后，控制台界面将切换为全英文展示。

本章节向您介绍如何修改安全组基本信息及安全组规则。 修改安全组基本信息 操作场景 安全组创建完成后，您可以修改安全组的名称和描述。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列下的“更多 > 修改”，弹出“修改安全组”对话框。 3. 根据界面提示，修改安全组的名称和描述信息。 4. 参数修改完成后，单击“确定”，保存修改。 修改安全组规则 操作场景 当安全组规则设置不满足需求时，您可以修改安全组中的规则，保证云主机等实例的网络安全。您可以修改安全组规则的端口号、协议、IP地址等。 约束与限制 当您修改安全组规则前，请您务必了解该操作可能带来的影响，避免误操作造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。 在入方向中，下表中的入方向规则，确保安全组内实例的内网网络互通，不建议您修改该安全组规则。 在出方向中，下表中的出方向规则，允许所有流量从安全组内实例流出。如果您修改了该规则，可能导致安全组内的实例无法访问外部，请您谨慎操作。 方向 策略 类型 协议端口 源地址/目的地址 入方向 允许 IPv4 全部 源地址：当前安全组 入方向 允许 IPv6 全部 源地址：当前安全组 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 出方向 允许 IPv6 全部 目的地址：::/0

本节介绍了云审计的相关内容。 支持审计的关键操作列表 操作场景 云审计服务（CTCloud Trace Service，CTS），是公有云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与镜像服务相关的操作事件，便于日后的查询、审计和回溯。 前提条件 使用云审计服务前需要先开通云审计服务，如果不开通云审计服务，则无法对资源操作进行记录。开通后CTS会自动创建一个追踪器，并将当前租户的所有操作记录在该追踪器中。CTS最多显示近7天的事件，为了长期保存操作记录，可以将事件文件保存至对象存储服务中。 支持审计的关键操作列表 云审计服务支持的IMS操作列表 操作名称 资源类型 事件名称 ::: 创建镜像 ims createImage 修改镜像 ims updateImage 批量删除镜像 ims deleteImage 复制镜像 ims copyImage 导出镜像 ims exportImage 新增成员 ims addMember 批量修改成员 ims updateMember 批量删除成员 ims deleteMemeber 由IMS触发的操作与OpenStack原生接口的关系 操作名称 事件名称 服务类型 资源类型 归属 ::::: 创建镜像 createImage IMS image glance 修改镜像信息/上传镜像 updateImage IMS image glance 删除镜像 deleteImage IMS image glance 添加标签 addTag IMS image glance 删除标签 deleteTag IMS image glance 添加镜像成员 addMember IMS image glance 修改镜像成员信息 updateMember IMS image glance 删除镜像成员 deleteMember IMS image glance

本章节主要介绍翼MapReduce的删除租户操作。 操作场景 根据业务需求，对于当前不再使用的租户，管理员可以通过FusionInsight Manager删除租户，释放租户占用的资源。 前提条件 已添加租户。 检查待删除的租户是否存在子租户，如果存在，需要先删除全部子租户，否则无法删除当前租户。 待删除租户的角色，不能与任何一个用户或者用户组存在关联关系。 操作步骤 1. 登录FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，选择待删除的租户，单击。 说明 根据业务需求，需要保留租户已有的数据时请同时勾选“保留该租户的数据。”，否则将自动删除租户对应的存储空间。 如果使用不属于supergroup组的用户执行删除租户操作，并且不保留租户数据，需要使用属于supergroup组的用户登录HDFS客户端，手动清理租户对应的存储空间，以免数据残留。 3. 单击“确定”，删除租户。 保存配置需要等待一段时间，租户成功删除。租户对应的角色、存储空间将删除。 说明 租户删除后，Yarn中对应的租户任务队列不会被删除。同时Yarn角色管理中，此租户任务队列不再显示。

态势感知（专业版）与其他安全防护服务（WAF、HSS、AntiDDoS、DBSS）的关系与区别。 态势感知（专业版）与其他安全防护服务（WAF、HSS、AntiDDoS、DBSS）的关系与区别如下： 关联 态势感知（专业版）：作为安全管理服务，依赖于其他安全服务提供威胁检测数据，进行安全威胁风险分析，呈现全局安全威胁态势，并提供防护建议。 其他安全服务：威胁检测数据可以统一汇聚在SecMaster中，呈现全局安全威胁攻击态势。 区别 态势感知（专业版）：仅为可视化威胁检测和分析的平台，不实施具体安全防护动作，需与其他安全服务搭配使用。 其他安全服务：仅展示对应服务的检测分析数据，并实施具体安全防护动作，不会呈现全局的威胁攻击态势。 态势感知（专业版）与其他安全防护服务区别，详细内容如下表。 服务名称 服务类别 关联与区别 防护对象 态势感知（专业版） 安全管理 态势感知（专业版）着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 AntiDDoS流量清洗（AntiDDoS） 网络安全 AntiDDoS集中于异常DDoS攻击流量的检测和防御，相关攻击日志、防护等数据同步给态势感知（专业版）。 保障企业业务稳定性。 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略，相关告警、防护等数据同步给态势感知（专业版）。 保障主机整体安全性。 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。相关入侵日志、告警数据等同步给态势感知（专业版），呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计，相关审计日志、告警数据等同步给态势感知（专业版）。 保障云上数据库安全和资产安全。

构造请求说明 请求地址 {终端节点地址}+{对应接口URI}。 终端节点地址： 对应接口URI：每个API对应一个接口URI，请参考各个接口文档中的URI。 通信协议 天翼云API 的接口均通过 HTTPS 进行通信，保护用户数据的机密性和完整性，确保网络通信的安全性。 请求方法 支持的 HTTP 请求方法：POST。 POST 请求支持的 ContentType 类型：application/json。 请求头及说明 Key Value(说明) ContentType application/json ctyuneoprequestid 用户请求id，通过uuid生成，形如33dfa732b27b464fb15a21ed6845afd5 EopAuthorization 由天翼云官网accessKey和securityKey经签名后生成，签名逻辑详见后续说明 eopdate 请求时间，形如yyyymmddTHHMMSSZ，例如20211221T163014Z host 终端节点域名 appkey 控制台我的应用中每个应用具有的AppKey信息，鉴权时需要加入header

操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表右上方，单击“创建安全组”，进入“创建安全组”页面。 3. 根据界面提示，设置安全组参数，设置完成后，点击“确定”，完成安全组创建。 以下是安全组参数说明表。 参数 参数说明 取值样例 名称 必选参数。 输入安全组的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 sgAB 模板 必选参数。 安全组预设规则中预先配置了入方向规则和出方向规则，您可以根据业务选择所需的预设规则，快速完成安全组的创建。 通用Web服务器 描述 可选参数。 安全组的描述信息。 描述信息内容不能超过255个字符，且不能包含“ ”。 添加安全组规则 操作场景 安全组实际是网络流量访问策略，由入方向规则和出方向规则共同组成。常见的安全组规则应用场景包括：允许或者拒绝特定来源的网络流量、允许或拒绝特定协议的网络流量、屏蔽不需要开放的端口、以及配置服务器的特定访问权限等。 使用须知 配置安全组规则前，您需要规划好安全组内实例的访问策略。 安全组的规则数量有限制，请您尽量保持安全组内规则的简洁。 在安全组规则中放开某个端口后，您还需要确保实例内对应的端口也已经放通，安全组规则才会对实例生效。 安全组入方向规则的源地址设置为0.0.0.0/0或::/0，表示允许或拒绝所有外部IP地址访问您的实例，如果将“22、3389、8848”等高危端口暴露到公网，可能导致网络入侵，造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。 通常情况下，同一个安全组内的实例默认网络互通。当同一个安全组内实例网络不通时，可能情况如下有： 当实例属于同一个VPC时，请您检查入方向规则中，是否删除了同一个安全组内实例互通对应的规则。 不同VPC的网络不通，所以当实例属于同一个安全组，但属于不同VPC时，网络不通。

本文帮助您快速熟悉添加安全组规则的操作场景和操作流程。 操作场景 安全组创建成功后，当您的云主机需要与外部网络通讯时，您可根据业务需求自定义添加新的出方向、入方向安全组规则，这可以帮助保护云主机免受未经授权的访问。 入方向：指从外部访问安全组规则下的弹性云主机。 出方向：指安全组规则下的弹性云主机访问安全组外的实例。 安全组规则有数量限制，您应尽量保持规则的精简。 前提条件 您已经完成云主机的创建，已关联安全组。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角选择地域，此处选择华东华东1。 3. 选择“计算>弹性云主机”，进入云主机控制台。 4. 在云主机列表中，点击待添加安全组规则的云主机名称，进入云主机详情页面。 5. 选择安全组页签，在安全组列表中，点击安全组名称左侧的展开符，可将安全组详情信息展开 6. 修改安全组规则需要单击安全组名称跳转进入安全组详情。 7. 在安全组详情页面，配置安全组规则后，返回云主机控制台刷新。 安全组规则具体配置请参考“安全组”。 注意 安全组规则的修改将影响所有当前使用该安全组的云主机。

子账号使用流程 前置条件 子账号为IAM普通用户角色且已登录到一站式智算平台 主账号使用流程 若子账号为IAM管理员角色，则其拥有全部操作权限，操作流程和主账号别无二致，故角色为IAM管理员的子账号使用流程参见主账号使用流程章节；角色为IAM普通用户的子账号，使用流程如下： 子账号的使用流程主要是为了进行任务作业，具体步骤如下： 流程 子任务 说明 详细指导 数据集准备与处理 创建基础数据集 可上传基础数据集到ZOS或HPFS 基础数据集 数据集准备与处理 创建标注数据集 创建标注数据集，可对数据集进行标注，并发布为新的数据集 标注数据集 数据集准备与处理 数据清洗 可以对数据 数据处理 镜像准备 预置镜像 预置镜像即平台预先设置的完整镜像，可直接用于创建任务时使用 预置镜像 镜像准备 自定义镜像 可以通过开发机自主制作镜像或通过天翼云容器镜像服务将镜像服务内的容器共享给一体化智算平台 自定义镜像 镜像准备 他人分享镜像 可将自己的镜像分享给他人使用 镜像分享 代码准备 导入代码包 将代码上传到平台 我的代码包 模型准备 导入模型 可将用户自己的模型或在平台训练、精调好的模型导入到平台进行版本管理、评估及部署 我的模型 AI作业 模型开发 可通过启动和管理在线JupyterLab或VSCode集成开发环境在线编程进行模型开发 开发机 AI作业 模型训练 创建自定义创建训练任务，支持单机和多机分布式训练 训练任务 AI作业 模型精调 零代码快速创建和管理精调任务，提供全参微调和lora微调两种精调方式。基于平台的基础大模型，选择训练数据集和算力即可快速启动精调任务。 模型精调 AI作业 模型评估 可对模型进行评估，自动评估打分，生成评估报告 模型评估 AI作业 模型压缩 不减少模型效果的前提下压缩模型大小，进而提升模型在推理调用时的性能 模型压缩 AI作业 模型部署 部署模型，提供推理服务 模型服务 AI作业 体验模型 可以对预置模型和自己部署的模型进行体验 体验中心 综合管理 工作空间管理 查看工作空间相关信息，若是工作空间的管理员可以进行相关操作 工作空间 综合管理 操作审计 对平台操作事件进行跟踪 操作审计

本节介绍了云容器引擎的最佳实践：有状态工作负载配置存储实践。 对于有状态应用实例需要持久化状态，每个实例有其独特的身份和持久化的数据存储。有状态应用的存储使用跟其他的工作负载存在差异。 使用方法 有状态应用PVC使用方法选择包括:已有存储卷申明（PVC）和存储卷申明模版（VolumeClaimTemplate）。 已有存储卷声明（PVC）方式较少使用，适用于有状态工作负载的多个副本共享同一PVC的场景。但实际需求中，要求每个副本具备独立存储的情况并不常见。 存储卷声明模板（VolumeClaimTemplate）是有状态工作负载特有的配置项。通过在该工作负载中定义模板，K8S会在创建每个副本时自动生成一个与之对应的PVC，命名规则为{存储声明模板名称}{有状态工作负载名称}{序号}。本文将重点阐述此方法。 注意 有状态工作负载删除后，其关联的PVC会保留。若用户确认不再需要，需手动删除这些PVC。（可通过启用K8S特性门控StatefulSetAutoDeletePVC为true，实现有状态工作负载删除后自动清理PVC）。 若不删除PVC，后续在同一命名空间内创建同名有状态工作负载并使用同名存储卷声明模板时，新工作负载将自动复用原有的PVC。 1. 点击“创建存储卷申明模版”. 2. 定义模版的存储申明类型、已有存储类、容量、卷模式、访问模式. 存储申明类型： 天翼云各类型的产品，用户根据需要自行选择对应的产品。 已有存储类： 用户需要提前创建好产品对应的存储类，用于动态分配。 容量： 存储容量大小 卷模式： 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。目前仅云硬盘支持该功能 访问模式： 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载 3. 创建了一个有状态负载test，存储卷申明模版如下： 4. 有状态工作负载成功启动。 5. 查看pod的yaml，可以看到test1的pod，使用了disktest1这个PVC。 6. PVC列表中，两个PVC均被创建出来并且bound。

本节主要介绍管理微服务引擎专享版安全认证 同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 3、在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 4、升级引擎至1.2.0或以上版本。 单击“升级引擎至新版本”。 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 等待升级成功后，单击“返回微服务引擎”。 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 在“安全”区域，开启安全认证开关。 5、在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 6、（可选）参考角色管理，根据业务需要，创建角色。 7、（可选）参考账号管理，根据业务需要，创建帐号。 8、在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 9、根据提示确认已经完成所有配置后，勾选“确保已配置”。 10、单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

本节介绍了如何设置云数据库GaussDB 的安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和云数据库GaussDB 实例提供访问策略。 创建分布式版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：4000060480,20050,50005001,23792380,6000,6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 创建主备版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：20050，50005001，23792380，6000，6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 为了保障数据库的安全性和稳定性，在使用云数据库GaussDB 实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接云数据库GaussDB 实例时需要为云数据库GaussDB 和ECS分别设置安全组规则。 设置云数据库GaussDB安全组规则：为云数据库GaussDB 所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库GaussDB 实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库GaussDB 实例时，需要为安全组添加相应的入方向规则。 说明： 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库GaussDB 实例。

安全组规则设置 堡垒机弹性IP安全组访问规则设置：虚拟私有云添加安全组规则。 注意 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和堡垒机实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当堡垒机实例加入该安全组后，即受到这些访问规则的保护； 默认情况下，一个租户可以创建500条安全组规则； 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条； 当需要从安全组外访问安全组内的堡垒机实例时，需要为安全组添加相应的入方向规则； 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的堡垒机实例。

关闭订阅 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的开关，使其状态为打开，表示目标报告订阅已关闭。 删除报告 注意 默认的按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板不可删除。 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。 查看安全报告 服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“删除”，对目标报告进行删除。