本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

本文介绍若同时具备加速及安全防护需求,该如何选择开通安全与加速服务还是开通边缘接入服务。 当客户存在加速需求时，可以参见：边缘接入服务里的应用加速与安全与加速服务里的加速的区别是什么来选择开通合适的服务。 当客户存在安全防护需求时，可以参见：边缘接入服务里的DDoS与安全与加速服务里的DDoS高防的区别是什么来选择开通合适的服务。

本文介绍了DDoS防护开关的配置。 功能介绍 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击。 背景信息 边缘安全加速平台安全与加速服务中的DDoS防护能力（中国内地区域）将默认开启，若站点受到DDoS攻击将为您提供防护并消耗DDoS防护次数。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台，进入【安全与加速】工作台。 2. 在左侧导航栏中选择【安全能力】，进入【DDoS防护】菜单，并在左侧域名列表选择您要防护的域名。 防护域名 为您展示接入安全与加速服务的域名，并支持查看域名的DDoS防护状态以及域名配置状态。点击防护域名数统计区域，可筛选域名列表已防护或未防护的域名，您也可以通过下方查询框对域名进行其他条件的筛选。 点击右上角【新增域名】可进入域名新增页面，点击支持收起域名列表。 注意 当域名为配置中、已停用状态，不支持编辑防护配置。

本节介绍云等保专区产品的数据库审计。 数据库审计v1.0是专业的数据库应用安全防护产品，帮助用户应对网站运营中的安全风险，为数据库应用提供全方位的防护，提供覆盖数据库使用全生命周期的安全防护解决方案。 功能介绍 产品功能分为原始信息收集 、审计信息标准化 、审计信息筛选 、预警与报表四大模块。 原始信息收集 通过旁路镜像的模式部署 不改变用户现有网络结构 不占用数据库服务器资源 不影响数据库性能 支持分布式部署 实现配置与报表的集中管理 并发流量采集与处理、多点存储、多级管理 自动定期发现功能，及时发现未知数据库 审计信息标准化 支持国内外主流数据库，包括传统的数据库系统、大数据系统和Web系统等。 具体支持的系统和版本如下表所示： 数据库分类 数据库系统 版本 关系型 Oracle 8i、9i、10g、11g、12c、18c、19c、21c 关系型 MySQL 4.0、4.1、5.0、5.1、5.5、5.6、5.7、8.0 关系型 SQL Server 2000、2005、2008、2012、2014、2016、2017、2019 关系型 Sybase ASE 11.9、12.5 关系型 DB2 v80、v81、v82、v95、v97、v10.5、v11.1、v11.5 关系型 Informix IDS9 关系型 Oscar 5.5、5.7 关系型 达梦（DM） DM7、DM8 关系型 Cache 2010、2016 关系型 PostgreSQL 9、10、11、12、13、14 关系型 Teradata 所有版本 关系型 人大金仓（Kingbase） V6、V7、V8 关系型 GBase 8.5a、8.8s 关系型 MariaDB 5.1、5.2、5.3、5.5、10.0、10.1、10.2、10.3 关系型 Hana 1.0、2.0 关系型 GaussDB 100、200、300 关系型 LibrA 6 关系型 KDB 11 关系型 Sybase IQ 15.4 关系型 TiDB 4.X、5.X 关系型 Vertica 7、8、9、10、11 关系型 OceanBase 2.X 关系型 PolarDB MySQL、PostgreSQL、兼容Oracle语法 关系型 PolarDBX 1.0/MySQL5、1.0/MySQL8、2.0/MySQL5.7 关系型 AnalyticDB MySQL、PostgreSQL 关系型 TBase V2 关系型 HighGo 6.0 关系型 TDSQLC MySQL 5.7、8.0 关系型 TDSQLC PostgreSQL 10、14 非关系型 MongoDB 2.x、3.x、4.x、5.x 非关系型 HBase（protobuf） 所有版本 非关系型 HBase（thrift） Thrift1、thrift2 非关系型 Hive 1.X、2.X、3.X 非关系型 Redis 所有版本 非关系型 Elasticsearch 所有版本 非关系型 Cassandra 3.X 非关系型 HDFS 所有版本 非关系型 Impala 3.X 非关系型 Graphbase 6 非关系型 Greenplum 5、6 非关系型 Spark SQL（thrift） 1.x、2.x 非关系型 Spark SQL（RESTful） 1.x、2.x 非关系型 SSDB 所有版本 非关系型 ArangoDB 3.4.9 非关系型 Neo4j 4.2.0 非关系型 OrientDB 3.1.6 大数据 HBase（protobuf） 所有版本 大数据 HBase（thrift） thrift1、thrift2 大数据 Hive 1.X、2.X、3.X 大数据 Cassandra 3.X 大数据 HDFS 所有版本 大数据 Impala 3.X 大数据 Graphbase 5、6 大数据 Spark SQL（thrift） 1.x、2.x 大数据 Spark SQL（RESTful） 1.x、2.x 大数据 SSDB 所有版本 大数据 MAX COMPUTE 所有版本 图形 Graphbase 6 图形 ArangoDB 3.4.9 图形 Neo4j 4.2.0 图形 OrientDB 3.1.6 全文检索 Elasticsearch 所有版本 文档 MongoDB 2.x、3.x、4.x、5.x 文档 ArangoDB 3.4.9 键值 Redis 所有版本 其他 HTTP 所有版本 其他 Telnet 所有版本 其他 FTP 所有版本 RDS MySQL 5.5、5.6、5.7、8.0 RDS SQL Server 2008 R2云盘版、2012 Web、2012企业版 单机、2012企业版、2012标准版、2014企业版、2014标准版、2016 Web、2016企业版、2016标准版、2017 Web、2017企业集群版、2017标准版、2019 Web、2019企业集群版、2019标准版 RDS PostgreSQL 10、11、12、13、14 将不同数据库协议按照标准化的格式进行展示，方便管理人员阅读和分析。

本章节介绍了所依赖的资源及创建指导。 概述 在购买RocketMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RocketMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RocketMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 准备依赖资源 RocketMQ实例所需资源的具体要求和创建指导如表1所示。 表1 RocketMQ实例依赖资源 准备资源 要求 创建指导 VPC和子网 不同的RocketMQ实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。在创建VPC和子网时应注意如下要求：·创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。·创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。 安全组 不同的RocketMQ实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。在创建安全组时应注意如下要求：·创建安全组时，“模板”选择“自定义”。·创建安全组后，请保留系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则。·使用分布式消息服务RocketMQ必须添加表2所示安全组规则，其他规则请根据实际需要添加。 创建安全组的操作指导请参考创建安全组，为安全组添加规则的操作指导请参考添加安全组规则。 表2 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 VPC内访问元数据节点的端口 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口

本文将向您介绍如何通过边缘安全加速平台安全与加速服务设置Web规则白名单。 功能介绍 若您希望请求针对域名防护规则集中的某条规则加白，可以配置规则白名单。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见下文。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持使用Web规则白名单功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】【Web应用防火墙】，选择您要配置的域名，进入基础安全防护【防护规则引擎】详细设置页。 3. 选择您希望设置白名单范围的规则ID，点击操作列【加白】按钮，设置加白的匹配范围，粒度支持配置URI、IP、IPS、PATH、BODY等，支持配置多个生效条件。

创建安全组 说明 仅Redis 3.0实例需要安全组。 步骤 1 登录虚拟私有云管理控制台。 步骤 2在左侧导航选择“访问控制 > 安全组”，单击“创建安全组”。根据界面提示创建安全组。如无特殊需求，界面参数均可保持默认。 创建安全组时，“模板”选择“自定义”。 安全组创建后，请保留系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则。 使用DCS服务要求必须添加下表所示安全组规则，其他规则请根据实际需要添加。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 6379 0.0.0.0/0 通过内网访问Redis 3.0。 结束 申请弹性公网IP（可选） 说明 仅创建Redis 3.0实例，且需要通过公网访问DCS时，需要申请弹性公网IP，否则不需要申请弹性公网IP。 步骤 1 登录管理控制台。 步骤 2 单击页面上方的“服务列表”，选择“网络 > 弹性公网IP”。 步骤 3 单击“购买弹性IP”。 结束

参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性公网IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

参数 说明 虚拟私有云 云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者单击“前往控制台创建”来创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建云主机时，可支持选择多个安全组。此时，云主机的访问规则遵循几个安全组规则的并集。 注意：如需通过远程桌面连接到Windows云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：3389 如需通过ssh连接到Linux云主机，请在安全组中添加如下规则 方向：入方向 协议：TCP 端口范围：22 如需Ping云主机地址，请在安全组中添加如下规则 方向：入方向 协议：ICMP 类型：Any 网卡 添加一张主网卡，可使用已有内网IP地址，或自动分配。 弹性公网IP 将云主机与弹性IP绑定，使云主机通过固定的公网 IP 地址与互联网互通。 您可以根据实际情况选择以下三种方式： 不使用：云主机不能直接与互联网互通，仅可作为私有网络中部署业务或者集群所需云主机进行使用。 自动分配：自动为每台云主机分配独享带宽的弹性IP，带宽值可以由您设定。 使用已有：为云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建云主机。

主机安全的Agent可以部署在哪些操作系统的机器上？ 支持部署在如下操作系统： Windows server 2008、Windows server 2012、Windows server 2016、win 7、win 8、win 10 Centos 5.0 +、Redhat 5.0 + 、 Suse11 +、 Ubuntu 14 + 兆芯+中标麒麟V7.0、V10/统信UOSV20 龙芯+中标麒麟V7.0、V10/统信UOSV20 鲲鹏+中标麒麟V7.0、V10/统信UOSV20 飞腾+银河麒麟V4.0、V10 海光+中标麒麟V7.0、V10/统信UOSV20 主机安全EDR支持导出多少条防护日志？ EDR支持最多支持导出10万条防护日志，当前总数超过10万条的则导出最新的10万条。 操作日志和运维日志也是支持最多导出10万条。 主机安全EDR是否支持病毒查杀后进行自动处理？ 支持，在主机安全配置中选择“资产管理 > 病毒查杀”，点击“查杀设置”，可设置处理方式为自动处理。 Agent服务器性能占比？ 正常情况下内存大约100M，CPU不超过1%。 主机安全的漏洞补丁是如何更新的？ 补丁检测规则会自动从云等保专区的主机安全原子能力推送给Agent，云等保专区主机安全原子保持更新；Agent在检测到相应补丁后，需自行联网下载修复。

接口功能介绍 查询安全组列表v3 接口约束 无 URI GET /v3/securityGroup/describe 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx foreignGroupId 否 String 安全组UUID securityGroupName 否 String 安全组名称 pageNum 否 Integer 页码，至少1，默认1 pageSize 否 Integer 每页数量，最大100，默认10 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 total Long 总记录数 list Array of Objects 数据列表 list 表 list 参数 参数类型 说明 示例 下级对象 securityGroupOid String 安全组id securityGroupName String 安全组名字 osSecurityGroupName String os侧安全组名字 foreignGroupId String 安全组uuid isRelStrategy Boolean 是否关联策略： true:是。 false:否。 remark String 描述 createDate Long 创建时间，unix时间戳（毫秒） updateDate Long 更新时间，unix时间戳（毫秒）

本文介绍如何实现同地域跨AZ挂载文件系统。 目录 操作场景 前提条件 操作步骤 操作场景 针对企业而言，业务上云越来越关注服务的稳定和连续性，海量文件通过支持同地域跨AZ挂载文件系统，实现业务的服务高可用，降低不可抗力因素对服务提供造成的影响。通过为文件系统添加不同的VPC，即可将文件系统挂载至不同可用区的云主机上，实现跨AZ访问。 前提条件 已有1个海量文件系统。 在同一个地域已创建2个不同的VPC。 在同一个地域不同的可用区已有2台云主机，分别归属于以上2个VPC。 操作步骤 1. 登录天翼云控制中心，在管理控制台左上角选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机弹性云主机快速入门。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 将文件系统分别挂载至两台不同可用区云主机，具体操作方法请参考挂载NFS文件系统到弹性云主机(Linux)。 5. 挂载成功后，可以在Linux 云主机上访问文件系统，执行读取或写入操作。您可以把文件系统当作一个普通的目录来访问和使用。依次执行如下命令在两个文件系统中创建文件、文件夹。 6. 依次执行如下命令读取文件内容。 plaintext cat /mnt/localpath/file2 cat /mnt/azpath/file2 7. 依次执行如下命令删除文件。

本页介绍天翼云TeleDB数据库内核资源相关参数。 maxfilesperprocess (integer) 设置每个服务器子进程允许同时打开的最大文件数目。默认是1000 个文件。如果内核强制一个安全的针对每个进程的限制，那么你不用操心这个设置。但是在 一些平台上（特别是大多数 BSD 系统），如果很多进程都尝试打开很多文件，内核将允许独立进程打开比个系统真正可以支持的数目大得多得文件数。如果你发现自己看到了“Too many open files”这样的失败，可尝试减小这个设置。这个参数只能在服务器启动时设置。 enableglobalplancache 是否开启global plancache，设置成on的时候，打开global plancache功能。设置成off的时候，关闭该功能。打开开关，表示打开全局执行计划缓存（global plancache）功能，能够让不同的连接共享同一份Plan Cache。这个参数改了之后需要重启生效。 enableglobalsyscache 是否开启global syscache，设置成on的时候，打开global syscache功能。设置成off的时候，关闭该功能。打开开关，表示打开全局元数据缓存功能，可以让所有进程共享同一个缓存条目，提高内存利用效率，降低因此发生OOM的风险。这个参数改了之后需要重启生效。 globalplancachesize 该参数表示可使用的global plancache的共享内存大小,单位MB，重启集群生效，不配置的话有默认参数。 globalcachesize 该参数表示可使用的元数据缓存的共享内存大小,单位MB，重启集群生效，不配置的话有默认参数。 enableremotedataaccessplan 是否开启RDA，默认off。设置成on的时候，打开RDA功能。设置成off的时候，关闭该功能。打开开关，表示打开远程数据访问（RDA）功能。参数类型：布尔。是否动态生效：是。

本节主要介绍修改实例安全组。 操作场景 GeminiDB Influx支持修改安全组。 使用须知 对于进行节点扩容中的实例，不可修改安全组。 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，选择指定的实例，单击实例名称。 4. 在左侧导航树，单击“连接管理”。 5. 在“内网安全组”区域，单击，选择实例所属安全组。 单击，提交修改。此过程约需1～3分钟。 单击，取消修改。 6. 稍后可在“安全组”区域，查看修改结果。

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的Bot防护策略功能设置白名单。 功能介绍 若您希望请求针对Bot防护策略加白，可以配置Bot防护策略白名单。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见下文。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持设置Bot防护策略白名单功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】【Bot防护】，选择您要配置的域名，进入基础配置【Bot策略白名单】详细设置页。

本节介绍了: cstorcsi插件的用户指南。 云容器引擎服务提供cstorcsi插件，基于Kubernetes容器存储接口（CSI），深度融合天翼云存储服务云硬盘、弹性文件存储、对象存储、并行文件和海量文件等，并完全兼容Kubernetes原生的存储服务。 插件介绍 cstorcsi插件包括cstorcsiprovisioner和cstorcsinodeplugin两部分。 cstorcsiprovisioner以无状态负载形态部署，通过将云存储服务的功能与 Kubernetes 的存储框架无缝集成，使用户能够通过 Kubernetes API 动态创建和删除存储卷，而无需直接与云存储服务进行交互； cstorcsinodeplugin以守护进程形态部署在所有节点，将存储卷与节点上的容器运行时进行集成，并提供对存储卷的挂载、卸载和快照等操作的支持，以使容器可以方便地使用存储卷提供的持久性存储功能。 版本推荐 目前CSI版本中，4.0及以上版本为新版插件，4.0以下版本为旧版插件。两版插件的实现逻辑存在差异，建议优先采用新版插件。 新版插件完全兼容旧版插件的所有功能，不存在兼容性问题。 插件安装 前提条件 大部分资源池插件安装无需配置用户AK和SK，仅少部分资源池在安装前需要配置。如需配置AK和SK，请先到天翼云门户“用户”“安全设置”“用户AccessKey”中获取AK和SK。 预付费账号请检查天翼云账户余额是否在100元以上，cstorcsi插件开通的存储为按需付费方式，需要账户余额在100元以上才可正常开通。 强烈建议使用CStorCSI的最新版本，至少选择4.0及其以上版本，越高的版本具备更多特性，更好的性能，更好的兼容性。最新CSI版本兼容之前的CSI版本。

本章节介绍自动检查项目执行检查的操作。 基线检查项目分为“自动检查”和“手动检查”项目两种，本章节介绍自动检查项目执行检查的操作。 为了解最新的云服务基线配置状态，您需要执行扫描任务，扫描结束后才能获取云服务基线的风险配置。 基线检查功能支持定期自动检查和立即检查。 定期自动检查：根据SA为您提供的默认基线检查计划或您自定义的基线检查计划，定时自动执行基线检查。默认检查计划每隔3天在0点的时候自动执行基线检查。 立即检查：如果您新增或修改了自定义的基线检查计划，您可以在基线检查页面选择该基线检查计划，立即执行基线检查，实时查看服务器中是否存在对应的基线风险。 约束限制 “立即检查”任务在10分钟内仅能执行一次。 手动立即执行“定期自动检查任务”在10分钟内仅能执行一次。 前提条件 已配置自定义的基线检查计划。 立即检查所有检查规范 SA可根据您设置的检查规范，立即执行已配置的检查规范。 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“基线检查”，并在基线检查页面右上角单击“设置检查规范”，系统弹出选择检查规范窗口。 4. 在弹出的选择规范窗口中，选择检查规范，并单击“确定”。 5. 在页面右上角单击“立即检查”，立即执行扫描任务。 刷新页面，查看“最近检查时间”，即可确认是否为最新的扫描结果。 系统将立即执行已配置的检查规范。

本节介绍如何通过云审计服务查询实例相关操作。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶或日志审计（原生版）服务中。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 若您使用云审计提供的转储至对象存储服务（ZOS）功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 若您使用云审计提供的转储至日志审计（原生版）功能，需要开通日志审计（原生版）服务并支付产生的费用，该费用以日志审计（原生版）产品的计费为准，参考计费说明日志审计（原生版）。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。

本节介绍态势感知的应用场景。 云安全的理念是“三分建设，七分运营”，态势感知（专业版）的应用场景即是占了七分的安全运营。主要有以下几个应用场景： 日常安全运营 日常过程中，基于安全运营中关注的要素，对各个安全目标，执行各安全运营流程剧本，从而发现并消减风险，并对流程进行持续改进，避免风险再次发生。 重大保障 重大节日、假日、活动、会议期间，进行高强度724的安全保障，侧重于防攻击，保障业务可用性不因安全攻击受影响。 防护演练 国家机关单位、地方政府、企业组织的攻防演练中，进行高强度的安全防守保障，侧重于防入侵，保障不因入侵失分被问责（通报、批评等）。 安全评估 重大保障及防护演练前，信息全面的脆弱性盘点，包括白盒方式的基线评估、黑盒方式的攻击面、攻击路径探测。

本节介绍态势感知的应用场景。 资产风险管理 云上业务众多，云上资产日益庞大，以及云资产的变化频繁，大大增加了云上安全风险。 态势感知集中呈现云上所有资产安全状况，实时监控云上业务整体安全，让服务器中的漏洞、威胁和攻击情况一目了然，保障所有资产的安全，帮助企业轻松应对资产安全风险。 威胁事件告警 面对云上各类安全威胁，以及不断涌出的新型威胁类型，态势感知通过汇集全网流量数据和安全防护设备日志信息，能够实时检测和监控云上安全风险，实时呈现告警事件的统计信息，并可对各种威胁事件进行汇聚统计。 此外，针对常见的暴力破解、Web攻击、僵尸主机威胁事件，可预制的安全防护策略有效防御威胁风险，提升运维效率。 风险配置管理 支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

安全体检体检报告内容简介，您可以根据报告内容开展安全检查及加固。 体检任务完成后，产品将根据本次体检结果，自动生成PDF格式体检报告以及Excel版本漏洞详单。您可以通过控制台预览或下载报告及漏洞详单，如果您已经配置通知信息，将自动向指定邮箱发送报告及详单内容。 报告名称：《安全体检服务报告.pdf》《安全体检漏洞详情.xls》 报告内容： 安全体检报告共包含体检概述、体检结果概述、急需处理的高危端口、急需处理的弱口令、急需处理的高中危漏洞、漏洞详单、报告说明等7大块内容。 主要体检内容：针对全量体检IP进行高危端口开放探测；针对全量体检IP互联网开放服务进行弱口令探测；针对全量体检IP的操作系统漏洞、中间件漏洞进行探测和发现，提供修复建议及加固参考。 安全体检报告内包含详细的处置建议，您可以根据报告内容快速开展修复工作。 安全体检漏洞详情包括任务信息、漏洞风险类别和资产综述3块内容。

通过安全设置,可对主账号安全信息进行管理。 操作步骤 具体操作详见安全信息管理。

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

本文帮助您更快了解云主机备份产品与其他云服务的关联关系。 云主机备份通过与其他云服务的关联，能够提供全面的数据保护和恢复解决方案，以满足用户对数据安全和可靠性的需求。 弹性云主机 云主机备份提供对弹性云主机的备份保护服务，并支持利用备份数据恢复弹性云主机的数据，以便于在弹性云主机数据丢失或损坏时自助快速恢复数据。 对象存储服务 云主机备份通过云主机与对象存储服务的结合，将云主机的数据备份到对象存储中，高度保障用户的备份数据安全。

本章节主要介绍通过Windows弹性云主机访问。 MRS支持通过Windows弹性云主机访问开源组件Web站点。该方式操作较为复杂，推荐不支持EIP功能的MRS集群使用。 1. 在MRS管理控制台，单击“集群列表”。 2. 在 “现有集群” 列表中，单击指定的集群名称。 记录集群的“可用区”、“虚拟私有云”、“集群控制台地址”、“安全组”。 说明 集群控制台地址获取方式：远程登录Master2节点，执行“ifconfig”命令，系统回显中“eth0:wsom”表示集群控制台地址，请记录“inet”的实际参数值。如果在Master2节点无法查询到集群控制台地址，请切换到Master1节点查询并记录。如果只有一个Master节点时，直接在该Master节点查询并记录。 3. 在ECS管理控制台，创建一个新的弹性云主机。 弹性云主机的“可用区”、“虚拟私有云”、“安全组”，需要和待访问集群的配置相同。 选择一个Windows系统的公共镜像。例如，选择一个标准镜像“Windows Server 2012 R2 Standard 64bit(40GB)”。 其他配置参数详细信息，请参见“弹性云主机 > 用户指南 > 快速入门 > 创建并登录Windows弹性云主机”。 说明 如果ECS的安全组和MRS集群的“安全组”不同，用户可以选择以下任一种方法修改配置： 将ECS的安全组修改为MRS集群的安全组，请参见“ 用户指南 > 安全组 > 更改安全组”。 在集群Master节点和Core节点的安全组中添加两条安全组规则使ECS可以访问集群，“协议”需选择为“TCP”，“端口”需分别选择“28443”和“20009”。请参见“虚拟私有云 > 用户指南 > 安全性 > 安全组 > 添加安全组规则”。 4. 在VPC管理控制台，申请一个弹性IP地址，并与ECS绑定。 具体请参见“虚拟私有云>用户指南 > 弹性公网IP > 为弹性云主机申请和绑定弹性公网IP”。 5. 登录弹性云主机。 登录ECS需要Windows系统的帐号、密码，弹性IP地址以及配置安全组规则。具体请参见“弹性云主机> 用户指南 > 实例 > 登录弹性云主机 > 登录Windows弹性云主机”。 6. 在Windows的远程桌面中，打开浏览器访问Manager。 例如Windows 2012操作系统可以使用Internet Explorer 11。 Manager访问地址形式为 https:// 集群控制台地址 :28443/web 。访问时需要输入MRS集群的用户名和密码，例如“admin”用户。 说明 集群控制台地址：远程登录Master2节点，执行“ifconfig”命令，系统回显中“eth0:wsom”表示集群控制台地址，请记录“inet”的实际参数值。如果在Master2节点无法查询到集群控制台地址，请切换到Master1节点查询并记录。如果只有一个Master节点时，直接在该Master节点查询并记录。 如果使用其他MRS集群用户访问Manager，第一次访问时需要修改密码。新密码需要满足集群当前的用户密码复杂度策略。 默认情况下，在登录时输入5次错误密码将锁定用户，需等待5分钟自动解锁。 7. 请参考开源组件Web站点页面提供的站点地址访问开源组件Web站点。

本页介绍天翼云TeleDB数据库设置相关参数。 wallevel (enum) wallevel决定多少信息写入到 WAL 中。默认值是logical， 它写入足够的数据以支持WAL归档和复制，包括在备用服务器上运行只读查询。 minimal删除除了从崩溃或立即关闭中恢复所需的信息之外的所有日志记录。 最后，logical会增加支持逻辑解码所需的信息。每个层次包括所有更低层次 记录的信息。这个参数只能在服务器启动时设置。在minimal级别中，某些批量操作的 WAL 日志可以被安全地跳过，这可以使那些操作更快。这种优化可以应用的操作包括：CREATE TABLE ASCREATE INDEXCLUSTERCOPY到在同一个事务中被创建或截断的表中但最少的 WAL 不会包括足够的信息来从基础备份和 WAL 日志中重建数据，因此，要启用 WAL 归档（archivemode）和流复制，必须使用replica或更高级别。在logical层，与replica相同的信息会被记录，外加上 允许从 WAL 抽取逻辑修改集所需的信息。使用级别 logical将增加 WAL 容量，特别是如果为了REPLICA IDENTITY FULL配置了很多表并且执行了很多UPDATE和DELETE 语句时。 fsync (boolean) 如果打开这个参数，数据库服务器将尝试确保更新被物理地写入到磁盘，做法是发出fsync()系统调用或者使用多种等价的方法（见walsyncmethod）。这保证了数据库集簇在一次操作系统或者硬件崩溃后能恢复到一个一致的状态。虽然关闭fsync常常可以得到性能上的收益，但当发生断电或系统崩溃时可能造成不可恢复的数据损坏。因此，只有在能很容易地从外部数据中重建整个数据库时才建议关闭fsync。能安全关闭fsync的环境的例子包括从一个备份文件中初始加载一个新数据库集簇、使用一个数据库集簇来在数据库被删掉并重建之后处理一批数据，或者一个被经常重建并却不用于失效备援的只读数据库克隆。单独的高质量硬件不足以成为关闭fsync的理由。当把fsync从关闭改成打开时，为了可靠的恢复，需要强制在内核中的所有被修改的缓冲区进入持久化存储。这可以在多个时机来完成：在集簇被关闭时或在fsync因为运行initdb synconly而打开时、运行sync时、卸载文件系统时或者重启服务器时。在很多情况下，为不重要的事务关闭synchronouscommit可以提供很多关闭fsync的潜在性能收益，并不会有的同时，关闭fsync可以提供很多潜在的性能优势，而不会有伴随着的数据损坏风险。fsync只能在postgresql.conf文件中或在服务器命令行上设置。如果你关闭这个参数，请也考虑关闭fullpagewrites。

任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。该任务是创建一个完整的虚拟私有云的第一步。 创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 申请和绑定弹性IP 必选任务。可以通过申请弹性IP并将弹性IP绑定到上，实现弹性云主机访公网的目的。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。

本章节为您介绍API安全网关的查询分析模块功能。 查询分析包含两个模块：审计日志和告警日志。审计日志保存访问API安全网关系统的流量记录，告警日志保存API网关规则预警的告警信息。 审计日志 1.登录API安全网关。 2.在左侧导航栏选择“查询分析 > 审计日志”，进入审计日志页面，即可查看审计日志。 单击右上角的“展开”可以设置查询条件（开始时间、响应码、客户端IP、上游、请求URL）。 大模型审计日志 1.登录API安全网关。 2.在左侧导航栏选择“查询分析 > 大模型审计”，进入大模型审计页面，即可查看大模型审计日志。 告警日志 告警日志记录安全规则和访问控制模块的策略配置检测到的告警。 1.登录API安全网关。 2.在左侧导航栏选择“查询分析 > 告警日志”，进入告警日志页面，即可查看告警日志。 流控日志 说明 日志来源为被API熔断、并发限制、请求数限制、请求速率限制四种插件阻断的流量。 1.登录API安全网关。 2.在左侧导航栏选择“查询分析 > 流控日志”，进入流控日志页面，即可查看流控日志。

本小节介绍计费概述。 通过阅读本文，您可以快速了解主机安全服务（Host Security Service，HSS）的计费模式、计费项、续费、欠费等主要计费信息。 计费模式 主机安全服务提供包年/包月、按需计费两种计费模式，以满足不同场景下的用户需求。包年/包月是一种预付费模式，即先付费再使用，按照订单的购买周期进行结算，因此在购买之前，您必须确保帐户余额充足。按需计费是一种后付费模式，即先使用再付费，按照主机安全服务实际使用时长计费。 计费项 主机安全服务的计费项为配额版本费用。 续费 包年/包月主机安全服务在到期后会影响主机防护效果。如果您想继续使用主机安全服务，需要在规定的时间内为主机安全服务进行续费，否则主机防护配置等数据可能会丢失。续费包括手动续费和自动续费两种方式，您可以根据需求选择。了解更多关于续费的信息，请参见续费。 欠费 欠费后，可以查看欠费详情。为防止相关资源不被停止或者释放，请及时进行充值，帐号将进入欠费状态，需要在约定时间内支付欠款。

使用天翼云CDN 使用天翼云CDN进行中国内地或全球加速时，域名需要在工信部存在备案号，ICP备案信息不强制要求接入天翼云。如果您想将ICP备案接入天翼云，具体操作请参见备案操作手册。

使用天翼云CDN 使用天翼云CDN进行中国内地或全球加速时，域名需要在工信部存在备案号，ICP备案信息不强制要求接入天翼云。如果您想将ICP备案接入天翼云，具体操作请参见备案操作手册。