检查内网DNS地址与安全组配置 如您未对DNS进行修改，可使用root或Administrator账号登录相应云主机，输入如下命令： ping ces.{项目}.ctyun.cn 二类节点各资源池项目值可通过控制台“我的凭证”查询。 以苏州为例， ping ces.cnjssz1.ctyun.cn 如可正常连通，说明DNS地址正确可正常访问。 如无法连通，请按照如下操作指导进行配置修改。 修改DNS与添加安全组（Linux） 修改DNS与添加安全组（Windows） 如需获取二类节点各资源池内网DNS地址，可通过天翼云提供的内网DNS地址是多少？获取。

安全体检连通性检测说明。网络不可达将导致体检失败，请您根据以下提示对体检IP展开全面检测。 体检IP连通性检测是开始体检任务前的一项重要工作。体检IP与体检引擎互联网IP网络不通将会导致体检失败。 您可以点击体检IP列表右上角“检测联通性”，检测所有体检IP与体检引擎互联网IP的网络连通性。 当单个体检IP网络不可达时，您可以点击此体检IP的刷新按钮，完成单个IP的检测。 注意 当前体检引擎IP到此IP地址网络不可达，建议您检查： 1. 安全组策略是否限此IP访问。 2. 防火墙配置是否限制此IP访问。 3. 体检引擎互联网IP是否添加至白名单。 4. 此弹性IP是否正确绑定云主机。 5. 云主机是否正常开机。

空间托管是指跨账号安全运营，可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 空间托管流程 操作步骤 说明 1 创建托管视图 创建托管视图管理托管任务。 2 创建托管 态势感知（专业版）支持将项目中的工作空间托管给其他用户，托管后，可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 3 托管授权 由于托管是将本项目中的工作空间托管给其他用户，因此，需要双重授权。 1. 创建委托后，需要先在已有账号中，接收授权，同意将工作空间托管给其他用户。 2. 然后在目标账号的“工作空间 > 空间托管 > 我纳管的”菜单下进行托管授权，统一接收托管。 授权后，被托管空间将挂载到托管账号下的空间中，进行统一管理。 约束与限制 单账号单Region内最多创建1个空间托管视图。 单账号单Region空间托管视图（包含的纳管工作空间数）中的工作空间数 ≤ 100个。 跨账号跨Region空间托管视图（包含的纳管工作空间数）中的工作空间数 ≤ 10个。 单账号创建账号委托≤ 50个。

本文向您介绍在录入或者登录实例时失败的解决方案。 问题描述 连接实例失败，是在登录实例或者添加实例时常遇到的问题，如下。 登录失败：在查询窗口或者其他有实例登录功能的地方登录实例，提示“无法连接到数据库、请检查信息是否填写正确”。 添加失败：添加实例时，输入完所有实例信息后，点击测试连接提示连接失败 问题分析 连接实例失败有多种可能，涉及到用户输入、网络、账号密码等多个因素，针对不同因素所造成的实例连接失败问题，相应地有不同的解决方案。 解决方案 实例信息录入错误：这种情况是因为实例的连接地址包括IP和端口填写错误，请您检查IP和端口并填写正确地址。 账号密码输入错误：填写正确的有登录权限的数据库账号和密码。 实例白名单没有配置：对于云实例，一般会使用白名单访问的方式，只有在白名单内的IP，才允许访问该实例，因此需要在实例所在安全组中添加DMS服务的白名单。DMS服务的白名单地址如下： 117.89.250.178

本小节介绍安全专区创建用户账号方法。 操作方法 1.点击【添加用户】，按照页面提示完整填写用户信息，添加新的账号。 2.打开用户注册信息窗口。 用户名：填写用户邮箱作为用户名（系统将发送邮件到该邮箱）； 手机号：填写用户手机号（登录接收验证码）； 角色分配 安全管理员：负责安全策略配置； 审计人员：可查看及管理日志； 运维人员：业务系统运维人员只能登录云堡垒机，对业务系统进行操作。

支持根据自身的业务防护场景配置告警策略，并支持查看告警记录与发送告警信息。 功能介绍 网站接入后，您可以通过设置告警策略，当网站请求流量到达边缘节点时，若检测到攻击事件、异常流量并触发告警策略时，将向您发送告警通知，帮助您及时掌握业务的安全状态。本文介绍如何设置告警策略和查看告警记录。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置了对应的安全防护策略，才会生成告警，您可以按需配置防护策略，请参见网站防护配置概述。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 设置告警策略 1. 登录边缘安全加速控制台，在左侧导航栏中进入【运营管理】—【告警管理】—【告警策略】页面； 2. 单击【新增】按钮，可以根据需要配置适合的告警，支持配置的告警类型有Web防护告警、CC防护告警、DDoS防护告警、BOT防护告警、访问控制告警。 告警配置新增页面

参数 是否必填 参数类型 说明 示例 下级对象 clustername 是 String 集群名称： 大写字母、小写字母、数字和特殊符号 : /组成，最多支持28个字符 sjfwtest1 clustertype 是 String 集群类型： datalake：数据湖 dataanalysis：数据分析 dataservice：数据服务 cloudsearch：云搜索 realtimedataprocessing：实时数据流 customize：自定义 datalake components 是 String 组件信息： 多个组件“,”隔开 OpenLDAP,Kerberos,ZooKeeper,HDFS,YARN,Hive,Tez,Spark,Hudi,Iceberg,Ranger regionid 是 String 资源池ID bb9fdb42056f11eda1610242ac110002 availablezoneid 是 String 可用区ID cnhuadong1jsnj3Apublicctcloud vpcId 是 String VPC ID vpcn83zi9vuo0 subnetid 是 String 子网ID subnet8hzbyype9r securitygroupsid 是 String 安全组ID sgzfh4pgydhe enableipv6 否 Boolean 开启IPv6： true：开启 false：关闭 VPC支持时默认true false noderootpassword 是 String 节点的root密码： 长度为1226字符，需包含大写字母、小写字母、数字和特殊符号（仅包括：~!@$%^+{[]}:,.?），不能包含root、toor相关大小写变形字符串和3位及以上连续数字或字符 Juhwqe7h!21Da. ostype 是 String 操作系统类型： CTyun：CTyunOS Kylin：麒麟 CTyun hosttype 是 String 主机类型： ecs：云主机 dps：物理机 ecs cputype 是 String CPU类型： X86：X86 ARM：ARM X86 spectype 是 Integer 规格类型： 1：通用云主机 2：国产云主机 3：通用物理机 4：国产物理机 主机类型为“ecs”时可选“1”和“2”，为“dps”时可选“3”和“4” 1 dpstype 否 String 裸金属类型： EBM：弹性裸金属 SBM：标准裸金属 主机类型为“dps”时必填 EBM chargeinfo 是 Object 计费信息 表chargeinfo datasourceconfigs 否 Array of Objects 关联数据连接信息： 部署Hive和Ranger等组件时，可以关联数据连接，将元数据存储于关联的数据库 表datasourceconfig nodedetails 是 Array of Objects 节点组详情 表nodedetail

五、 内核升级指南 本章介绍用户升级内核的重要性、方法及注意事项； 5.1 内核作用及升级内核的重要性： Linux 内核的主要作用： ● 硬件管理： 内核负责与计算机硬件进行交互，管理各种硬件设备（如处理器、内存、硬盘、网络适配器等）。它确保这些硬件能够协同工作，以完成各种任务。 ● 系统调度： 内核负责管理运行在计算机上的各个进程（程序的执行实例）。它决定哪个进程在什么时间运行，如何分配处理器时间片，以实现高效的多任务处理。 ● 内存管理： 内核控制着计算机内存的分配和释放，以确保不同的程序和进程能够安全地共享系统内存资源。 ● 文件系统管理： 内核管理文件系统，使得应用程序可以读取、写入和操作文件。它处理文件和目录的创建、删除、移动等操作。 ● 设备驱动程序： 内核包含各种设备驱动程序，使操作系统能够与硬件设备进行通信。这些驱动程序允许操作系统识别和与设备交互，从而实现硬件的正常工作。 ● 安全性和权限管理： 内核负责管理用户和程序的访问权限，以确保系统的安全性。它通过访问控制列表和权限机制来限制不同用户和进程对系统资源的访问。 ● 系统调用： 内核提供系统调用接口，允许应用程序请求操作系统执行特定的任务，如文件操作、网络通信等。 升级内核是保持系统最新和高效的关键，升级内核有助于保持系统与时俱进，获得更好的性能、安全性和稳定性。 但是，升级内核需要谨慎，不当的升级可能会导致不稳定性或与现有软件不兼容的问题。 升级内核重要性： ● 每个新内核版本都会带来对硬件和软件的优化。通过升级内核，用户可以获得更好的性能和响应速度，从而提升整体系统体验。 ● 内核更新通常包括对已知漏洞和安全问题的修复。保持内核更新意味着您的系统能够抵御当前和未来的安全威胁。 ● 新的内核版本通常会增加对新硬件的支持。这对于那些计划使用最新硬件的用户来说尤为重要。

本小节介绍服务器安全卫士的产品优势。 扫描速度快 基于Agent扫描，执行主机资产清点和风险发现功能，扫描N台主机和1台所需时间一样。 精准检测 设立数万个监测指标，建立多维度、多层次的纵深检测体系，检测结果精准。 资源占用低 CPU占用率<1%，内存占用<40M，消耗极低。 强大的统一安全管控平台 服务器安全卫士是安全问题和安全事态的可视化实时分析平台，可实现统一策略管理，分角色管理，分账号管理，有效管理大批量主机系统。 精准查杀 结合多病毒检测引擎，实时监控病毒进程，查杀率高。多方分析“实锤”病毒信息，检测结果一站化体现，坚实可靠。 丰富的扩展功能 根据不同的业务需求（Web 服务器、存储服务器等），选择不同的功能组合，可根据需求灵活定制安全方案，做到最佳适应；根据用户的业务情况，通过用户自身的业务系统与我们的API 结合，向用户输出 API 集成开发的能力。

本文汇总了对象存储常用实践,当您完成了创建桶、上传文件和下载文件等基本操作后,可以参考ZOS的常用实践,满足您的业务场景。 常用实践 说明 云主机通过内网访问对象存储ZOS 本文介绍如何在虚拟私有云中创建终端节点，实现同资源池云主机通过内网访问对象存储。云主机和ZOS天然内网互通，内部访问不会产生公网流量，且时延更低安全性更高。 修改文件读写权限 本文介绍如何保证ZOS中数据的安全性，只允许资源拥有者或者被授权的用户访问。 使用对象存储迁移服务将第三方云厂商数据迁移至对象存储ZOS 本文为您提供使用对象存储迁移服务，将第三方云厂商数据迁移至对象存储ZOS的实践。 通过云监控服务实时监控对象存储ZOS信息 本文介绍在云监控创建报警规则实时监控ZOS性能状态。 大文件分段上传 本文帮助您了解ZOS大文件分段上传的最佳实践。 批量删除桶内对象 本文主要针对用户需要批量删除一个桶中的对象的场景，介绍几种批量删除的方法。 使用VPCE方式接入对象存储 本文介绍使用VPC终端节点方式接入对象存储的操作方式。

弹性云主机(CTECS,Elastic Cloud Server)属于天翼云弹性计算服务,由CPU、内存、镜像、云硬盘组成,是一种可随时获取、即开即用、可弹性扩展的计算服务器。帮助您搭建安全稳定环境及应用,并根据需求动态弹性扩展资源,使您简单上云,更专注于自身业务发展。

本文主要介绍 连接问题。 选择和配置安全组 Kafka实例支持使用内网通过同一个VPC访问、通过DNAT访问和公网访问，访问实例前，需要配置安全组。 使用内网通过同一个VPC访问实例 步骤 1 客户端和实例是否使用相同的安全组？ 是，如果保留了创建安全组后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，则无需添加其他规则。否则，请添加下表所示规则。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 否，执行步骤2。 步骤 2 参考如下配置安全组规则。 假设客户端和Kafka实例的安全组分别为：sg53d4、DefaultAll。以下规则，远端可使用安全组，也可以使用具体的IP地址，本章节以安全组为例介绍。 客户端所在安全组需要增加如下规则，以保证客户端能正常访问Kafka实例。 表 安全组规则 方向 策略 协议端口 目的地址 出方向 允许 全部 DefaultAll 图配置客户端安全组 Kafka实例所在安全组需要增加如下规则，以保证能被客户端访问。 表安全组规则 方向 策略 协议端口 源地址 入方向 允许 全部 sg53d4 图 配置Kafka实例安全组

本小节介绍如何新增用户账号、资产和资产账号。 新增用户账号 在使用云堡垒机进行运维前，系统管理员需要先创建系统用户，并为系统用户分配角色身份。不同的角色身份，拥有不同的菜单权限和操作权限。 操作步骤 1. 管理员登录云堡垒机系统。 2. 角色身份切换到“管理角色”。 3. 在左侧导航栏，选择“用户管理 > 用户”，单击左上角的“新增”按钮。 4. 填写账号基本信息，并选择角色身份，单击“确定”。 参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 姓名 填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选“管理角色”、“审计角色”和“访问角色”。 用户组 选择该账户所属的用户组，用户组操作请参见：用户组章节。 认证方式 选择认证方式，可选“静态认证”和“令牌认证”。 生效时间 选择该账户可登录的时间段。 准入IP 选择可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。 注意 注册邮箱和手机号码系统强制全局唯一，账号注册成功后，系统将向用户注册邮箱发送随机密码、手机令牌及登录地址等信息，请确保注册邮箱的准确性。

本文介绍全站加速能否防止加速域名遭受网络攻击。 天翼云全站加速是面向公共的内容加速服务，不承担防止网络攻击的义务。当前仅具备基础的访问控制等防护能力，包括：Referer防盗链、IP黑/白名单、URL鉴权、UA黑/白名单、URI黑/白名单、全网带宽控制、有序回源等，不具备高阶的安全防护能力，无法防护所有的攻击行为。 如果您的加速域名有被攻击风险或正在遭受攻击，建议购买天翼云的边缘安全加速平台产品保证域名的正常使用。详情请见：高额账单风险说明。 对于多次被攻击，或者违反产品限制导致被攻击的域名，天翼云全站加速保留不再对该域名进行加速服务的权利。 违反产品限制接入的域名，若您的域名遭受攻击，您需要自行承担因攻击而产生的全额费用。

最佳实践概述 场景描述 概述：用户在天翼云的不同区域中创建了多个VPC，区域1的VPC通过VPN连接至区域2的其中一个VPC。区域2的VPC之间两两通过PPC互联，使得不同区域的VPC之间的网络数据互联互通。 典型行业：所有公有云行业应用。 适配场景：区域间业务、数据互联。 方案优势 提供IPSec加密通道，传输安全性高 区域间安全互联通道快速建立 云上业务、数据快速安全备份 不同云商间业务、数据安全互通

终端节点说明 主要作用：用户信息的发送和接收，信令信息的控制处理、安全保护等作用。 终端节点地址：

网络及高级配置 设置网络，包括"网卡"、"安全组"，这里，为安全和成本考虑，我们先不设置弹性IP，后续按需开放IP；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 4. 确认并支付 步骤二：配置弹性负载均衡 现在，我们已经有了两台 DeepseekR132B 服务器，接下来，我们利用弹性负载均衡构建一个可任意横向扩容的 Deepseek 集群。 1. 配置 vllm 服务 首先需要为所有服务器上的 vllm 服务配置相同的 apikey。 服务的配置文件目录在 /var/vllmservice.env ，我们将APIKEY 设置为想要的值。 然后重启服务。 plaintext systemctl restart vllm 2. 创建弹性负载均衡 我们参考弹性负载均衡官方文档进行服务创建。 1. 创建弹性负载均衡 在此例中，我们的Deepseek集群仅用于集群自带的 Open WebUI内网使用，不涉及外网通讯，因此 “网络类型” 选择 “内网”，如果你想将此集群暴露到外网，则选择外网。VPC和子网跟 Deepseek 服务器保持一致。 2. 创建监听器 完成网络负载均衡创建，接下来配置监听器，在负载均衡列表页，点击开始配置。 端口类型，选择 “HTTP”，端口填 8000。 进入下一步，创建健康检查。这里我们通过 HTTP 进行健康检查，返回码部分选择 2xx、3xx、4xx。 点击“立即创建”，完成创建。 3. 为监听器开通GPU云主机白名单 此时监听器列表中，我们可以看到访问Deepseek服务器的主机组地址为 “100.89.0.0/16”，我们需要在Deepseek集群的安全组中，为vllm端口配置此地址的白名单。 为Deepseek云主机所在的安全组新增规则，操作文档详见添加安全组规则帮助文档。 4. 为监听器添加后端云主机 选中主机，然后下一步。 设置端口为 “8000”。 点击确认即可完成配置。 5. 验证连通性 监听器页面，显示监控检查正常。 通过一台 Deepseek 服务器，测试负载均衡连通性。

云服务备份CBR与其他云服务的关系如下文介绍。 交互功能 相关服务 位置 ::: 云服务备份对弹性云主机中的云硬盘进行备份，支持将备份的数据恢复到弹性云主机的云硬盘中，以便于在弹性云主机数据丢失或损坏时自助快速恢复数据。同时支持将备份创建为镜像，以快速恢复业务运行环境。 弹性云主机 创建云主机备份 云服务备份对弹性云主机中的云硬盘进行备份，支持将备份的数据恢复到弹性云主机的云硬盘中，以便于在弹性云主机数据丢失或损坏时自助快速恢复数据。同时支持将备份创建为镜像，以快速恢复业务运行环境。 弹性云主机 创建云硬盘备份 云服务备份对弹性文件服务中的SFS Turbo文件系统进行备份，支持使用备份创建新的SFS Turbo文件系统，以便于在文件系统数据丢失或损坏时自助快速恢复数据。 弹性文件服务 创建SFS Turbo备份 云服务备份对物理机中的云硬盘进行备份，同时支持将备份的数据恢复到物理机的云硬盘中，以便于在物理机数据丢失或损坏时自助快速恢复数据。物理机与弹性云主机备份、管理等操作均一致。 物理机 什么是云服务备份 云服务备份对物理机中的云硬盘进行备份，同时支持将备份的数据恢复到物理机的云硬盘中，以便于在物理机数据丢失或损坏时自助快速恢复数据。物理机与弹性云主机备份、管理等操作均一致。 物理机 创建云主机备份 云服务备份通过服务器与对象存储服务的结合，将服务器的数据备份到对象存储中，高度保障用户的备份数据安全。 对象存储 什么是云服务备份 为云硬盘提供数据备份功能，同时，可以使用云硬盘备份创建新的云硬盘。 云硬盘 创建云硬盘备份 云服务备份支持通过云审计服务对备份服务资源的操作进行记录，以便用户可以查询、审计和回溯。 云审计 审计 IAM是支撑企业级自助的云端资源管理系统，具有用户身份管理和访问控制的功能。 统一身份认证 用户权限 当用户开通了云服务备份后，无需额外安装其他插件，即可在云监控查看对应存储库的性能指标，包括存储库使用率和存储库使用量。 云监控 监控指标说明

本文介绍了Windows Server 操作系统停止支持应对计划。 微软已经于2020年01月14日停止对Windows Server 2008/2008 R2操作系统提供支持，并于2023年10月10日停止对Windows Server 2012/2012 R2操作系统提供支持。如果您有使用上述操作系统的弹性云主机，建议您采取相应的措施以持续获得软件更新和安全补丁，以避免操作系统停止维护EOL（End of Life）带来影响。本文主要介绍Windows Server 2008/2008 R2/2012/2012 R2操作系统EOL的应对方案。 注意 如果您因业务需求需要继续使用Windows Server 2008/2008 R2/2012/2012 R2，请您仔细评估操作系统EOL带来的风险。 Windows Server EOL 如何应对 推荐您将Windows Server 2008/2008 R2/2012/2012 R2迁移到替代的操作系统，以继续获取软件更新和安全补丁。 迁移前，请先评估： 1、需要迁移到哪种目标操作系统。 您可以综合考虑安全合规、稳定性、操作系统兼容性、预算、长期OS策略等因素，决定具体的迁移方案。 2、根据需求评估操作系统的迁移方式。 （推荐）重新部署环境：重新部署环境指重新购买新实例以替换原实例或者针对已有实例切换操作系统。 注意 更换操作系统后，原来的旧系统盘会被释放且所有数据会被清空，请务必在更换操作系统前备份数据。 优缺点：该方式可以使用最新的操作系统，同时可以清除历史遗留问题，更有利于长期的系统健康和可维护性。但是在重新部署业务期间可能需要暂停服务，影响业务的连续性。 适用场景：如果您希望利用操作系统EOL的时机重新部署环境，可以选择此方案。 适用的目标操作系统：无限制。

VPN用户配置 登录云墙，打开【对象→用户→本地用户】，单击“新建 > 用户”，输入名称、密码、确认密码。 配置VPN安全域 打开【网络→安全域】，使用VPN安全域。 新建SSL VPN隧道接口 打开【网络→接口】，单击“新建 > 隧道接口”。 配置接口名称：tunnel10。 安全域：VPNHub。 IP地址配置：10.1.1.1/24。 注意 该IP地址是用于VPN登录时的网关地址，一般默认是XX.XX.XX.1/24的地址。 该地址网段涉及到下面SSL VPN地址池的配置，请根据自身网络进行规划。 逆向路由：关闭，防止出现环路。 配置出向策略 SNAT配置：VPN地址池转换为防火墙接口地址。 安全策略访问：VPN安全域（被转换接口安全域）。 VPN登录 1. 配置完成后，在PC1的浏览器中输入 Networks，Inc.”中的“WebVPN.cab”...请单击这里”。 2. 鼠标右键单击此提示信息，并点击“为此计算机上的所有用户安装此加载项”。系统提示下载并安装Hillstone Secure Connect，下载链接： 3. 安装完成后，安装SSL VPN拨号客户端，填写相应信息进行拨号后，即可访问内网业务，其中SSL VPN拨号客户端由云防火墙（原生版）工程师提供。 服务器地址：指本配置的VPN地址，具体内容由本单位管理员提供。 端口：指本配置的端口地址，具体内容由本单位管理员提供，默认为4433。 用户名：指本配置的用户信息，具体内容由本单位管理员提供。 密码：指本配置的密码信息，具体内容由本单位管理员提供。

本文为您介绍如何将天翼云云搜索OpenSearch实例接入公网访问。 新开启的云搜索实例默认不具备公网访问能力，您如果需要通过公网访问Dashboards、Cerebro或OpenSearch实例，需要为其绑定弹性IP或IPv6带宽，并配置安全组信息，才可使用公网访问。 约束限制 1. 开启公网访问后，会因此产生流量费用，请您提前根据自身需求，购买合适的产品。 2. 配置完成后，需要前往安全组设置页面，配置公网访问白名单后，才可正常使用。 3. 如果需要使用IPv6访问，需要在开通虚拟私有云VPC时即选择开通IPv6能力的子网，并在下单时选择该子网，不支持实例开通后再升级IPv6。 4. 订购1.2.0以上版本的实例，仅开启了HTTPS模式的实例才可以通过公网访问，关闭该模式则仅可通过内网访问。 开通IPv6访问能力的实例 您需要在订购时选择具备IPv6的虚拟私有云，选择子网后，会提示“该子网已开通IPv6”。并在IPv6访问处开启开关，如关闭，则仅可通过IPv4访问实例。 配置实例公网访问 您可以对已开通的实例进行公网访问的配置、修改、查看、解绑操作。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，在弹出的页面上选择需要绑定的公网IP类型，如果为IPv4，请在下拉列表中选择弹性IP地址；如果为IPv6，请选择IPv6的带宽名称。如果绑定失败，可以等待几分钟后再次尝试重新绑定。绑定的弹性IP或IPv6带宽需要处于空闲状态。 注意 IP绑定过后，要补充安全组方可实现本地电脑公网访问Dashboards、Cerebro或连接OpenSearch。 3. 修改绑定弹性IP或IPv6带宽，也需要在当前页面选择对应要修改的项目，点击“修改公网IP”进行重新绑定。 4. 解绑弹性IP或IPv6带宽，可关闭公网访问状态，或点击已绑定的项目后的解绑按钮，即可解绑当前的公网访问能力。 5. 实例退订将自动解绑已绑定的弹性IP或IPv6带宽，如弹性IP或IPv6带宽不再使用，您需要另外前往弹性IP的控制台退订相应的弹性IP或IPv6带宽才会停止对应产品的计费。

本文介绍扫描镜像的详细步骤。 为了保障云原生供应链安全，您需要购买容器安全卫士实例，并进行安全扫描，通过仪表盘查看访问统计信息和攻击防护记录，掌握业务的安全状况。 步骤一：购买容器安全卫士实例 详细步骤请参见购买容器安全卫士。 步骤二 ：安装Sever/Agent 详细步骤请参见安装Server/Agent。 步骤三：扫描镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全 > 镜像管理”，在镜像管理页面可以对仓库镜像、节点镜像进行安全扫描。 3. 进入“仓库管理”页面，单击“添加仓库”，添加镜像仓库。 4. 扫描节点镜像。 1. 进入“节点镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 5. 扫描仓库镜像。 1. 进入“仓库镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 6. 在左侧导航栏选择“镜像安全 > 镜像策略”，进入页面配置镜像策略，配置漏洞、文件、软件包规则，防止风险流入供应链。 7. 在左侧导航栏选择“镜像安全 > 镜像设置”，进入页面配置镜像扫描规则、历史镜像保留时长、及周期性扫描规则。

镜像服务(CTIMS,Image Management Service)是弹性云主机实例可选择的运行环境模板,一般包括操作系统和预装软件。镜像服务包括公共镜像、私有镜像、共享镜像、安全产品镜像、应用镜像。通过镜像用户可以在云主机实例上实现应用场景的快速部署。

本文为终端节点介绍。 主要作用：用户信息的发送和接收，信令信息的控制处理、安全保护等作用。

什么是有效块数据？ 有效块数据是在某个文件系统下（例如EXT）已经被系统分配或使用了块，而未被分配和使用的块可以被系统分配使用但是迁移的时候不会被传输到目的端，从而减少数据迁移和增加迁移效率。 主机迁移服务与镜像迁移有什么区别？ 主机迁移服务 主机迁移服务是一种P2V/V2V迁移服务，可以帮您把X86物理服务器或者私有云、公有云平台上的虚拟机迁移到天翼云弹性云主机上，从而帮助您轻松地把服务器上的应用和数据迁移到天翼云。 特点： 界面化操作，简单易用，只需要源端服务器安装和配置Agent、在服务端配置目的端服务器并启动迁移，其他事情都由主机迁移服务完成。 在迁移过程中无需中断业务，支持断点续传。 安全性高，使用AK/SK校验迁移Agent身份；传输通道使用SSL加密。 限制条件： 源端服务器约束与限制请参见兼容性列表与使用限制有哪些？。 镜像服务迁移 将需要迁移的服务器在线下制作成镜像文件，完成初始化配置（配置网络属性、安装XEN和KVM驱动）后，直接导入天翼云镜像服务控制台，然后使用该镜像创建新的ECS。 特点： 利用镜像导入功能，将已有的业务服务器制作成镜像后导入到云平台（当前支持vhd、vmdk、qcow2、raw等多种格式），方便企业业务上云。 支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi、qed、zvhd和zvhd2格式的镜像文件，其他格式可以使用qeumimg工具进行格式转换。 兼容SUSE、Oracle Linux、RedHat、Ubuntu、OpenSUSE、CentOS、Debian、Fedora、EulerOS等多种操作系统。 使用镜像共享功能，可以实现云服务器在不同账号之间迁移。 可制作成系统镜像盘和数据盘镜像，在云平台重复利用，看用于批量部署。 限制条件： 占用一定的本地存储空间，对镜像文件大小有限制（不超过1TB）。

对等连接支持查看已创建的对等连接的详细信息,本文帮助您快速熟悉如何查看已创建的对等连接。 操作场景 创建对等连接之后，两端账户均有权限查看对等连接的详细信息，其中包括名称、状态、ID、连接类型、本端VPC名称、对端VPC名称、本端VPC ID、对端VPC ID、本端VPC网段、对端VPC网段以及对等连接所属的企业项目。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表中，单击指定对等连接的名称，进入对等连接详情页，即可查看对等连接的详细信息。

本节介绍OpenSSL漏洞修复最佳实践。 OpenSSL简介 OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上，因此需要注重OpenSSL安全漏洞的修复。 OpenSSL用途 加密和解密数据：OPENSSL支持对称和非对称加密算法，可以用于安全的数据加密和解密操作。 数字签名：OPENSSL可以对数据进行数字签名，提高数据的可信度和合法性。还可以验证数字签名和证书的有效性。 SSL/TLS协议实现：OPENSSL支持SSL、TLS等协议，可以用于建立安全的网络连接，对数据进行加密传输，提高网络的安全性。 生成和管理数字证书：OPENSSL可以生成和管理各种类型的数字证书，包括服务器证书、客户端证书等。数字证书是实现安全通信的重要工具之一。 伪随机数生成器：OPENSSL可以生成高质量的伪随机数，用于各种密码算法中的随机数种子。 其他的密码学工作：除了上述主要用途外，OPENSSL还包括了各种密码学工具和库，可以实现密码算法的实现和分析。 依赖OpenSSL的软件或协议 MongoDB 4.4 Nginx KeepAlived Https OpenSSH SSH VPN 电子邮件 OpenSSL漏洞扫描 您可以参考漏洞扫描最佳实践进行漏洞扫描。 OpenSSL常见漏洞 CVE20160705 OpenSSL DSA代码双重释放漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本解析畸形DSA密钥中存在双重释放漏洞，可导致受影响应用拒绝服务或内存破坏。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20160799 OpenSSL‘BIOprintf’函数安全漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本在BIOprintf函数的实现上存在内存破坏漏洞，可导致内存泄露等。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162842 OpenSSL doaproutch函数拒绝服务漏洞 漏洞危害 OpenSSL 1.0.1 < 1.0.1s、1.0.2 < 1.0.2g版本，crypto/bio/bprint.c/doaproutch函数未验证某些内存分配结果，这可使远程攻击者造成拒绝服务。 影响版本 OpenSSL 1.0.1 < 1.0.1s OpenSSL 1.0.2 < 1.0.2g 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162108 OpenSSL ASN.1编码器内存破坏漏洞 漏洞危害 OpenSSL中的ASN.1解析器在对数据解析时没有正确处理特定标签，当遇到VASN1NEGINTEGER和VASN1NEGENUMERATED标签时，ASN.1解析器也会将其视作ASN1ANY类型，从而解析其中的数据。当数据再次编码序列化时，可能造成数据越界写入，引起内存损坏。 影响版本 OpenSSL Project OpenSSL 1.0.2 OpenSSL Project OpenSSL 1.0.1 不受影响版本 OpenSSL Project OpenSSL 1.0.2c OpenSSL Project OpenSSL 1.0.1o 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：<

本节主要接受权限管理 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ServiceStage的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ServiceStage，但是不允许删除的权限策略，控制他们对ServiceStage资源的使用范围。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ServiceStage服务的其它功能。 IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见帮助中心 > 统一身份认证服务 > 用户指南 > 产品简介。 ServiceStage权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 ServiceStage资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ServiceStage时，需要先切换至授权区域。 根据授权精细程度分为角色和策略： 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各云服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了ServiceStage的所有系统权限。推荐使用系统策略，系统角色仅用于兼容已有的权限配置。 表 ServiceStage系统权限说明 系统角色/策略名称 描述 类别 依赖系统权限 ServiceStage FullAccess 微服务云应用平台所有权限。 系统策略 无 ServiceStage ReadOnlyAccess 微服务云应用平台只读权限。 系统策略 无 ServiceStage Developer 微服务云应用平台开发者权限。 拥有应用、组件、环境的操作权限，但无基础设施创建权限。 系统策略 无 CSE Admin 微服务引擎服务管理员权限。 系统策略 无 CSE Viewer 微服务引擎服务查看权限。 系统策略 无 ServiceStage Admin 微服务云应用平台管理员，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Operator 微服务云应用平台操作员，拥有该服务下的只读权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Developer 微服务云应用平台开发者，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 如果所列的这些权限不满足实际需求，您可以参考下表，在这个基础上自定义策略。 表 ServiceStage常用操作与系统权限之间的关系 操作 ServiceStage ReadOnlyAccess ServiceStage Developer ServiceStage FullAccess 创建应用 x √ √ 修改应用 x √ √ 查询应用 √ √ √ 删除应用 x √ √ 创建组件 x √ √ 查询组件 √ √ √ 部署组件 x √ √ 维护组件 x √ √ 删除组件 x √ √ 创建构建工程 x √ √ 修改构建工程 x √ √ 查询构建工程 √ √ √ 启动构建工程 x √ √ 删除构建工程 x √ √ 创建流水线 x √ √ 修改流水线 x √ √ 查询流水线 √ √ √ 启动流水线 x √ √ 克隆流水线 x √ √ 删除流水线 x √ √ 新建仓库授权 x √ √ 修改仓库授权 x √ √ 查询仓库授权 √ √ √ 删除仓库授权 x √ √ 表 CSE常用操作与系统权限之间的关系 操作 CSE Viewer CSE Admin 创建微服务引擎 x √ 维护微服务引擎 x √ 查询微服务引擎 √ √ 删除微服务引擎 x √ 创建微服务 x √ 查询微服务 √ √ 维护微服务 x √ 删除微服务 x √ 创建微服务配置 x √ 查询微服务配置 √ √ 编辑微服务配置 x √ 删除微服务配置 x √ 创建微服务治理策略 x √ 查询微服务治理策略 √ √ 编辑微服务治理策略 x √ 删除微服务治理策略 x √

本章主要介绍翼MapReduce的密码维护建议。 用户身份验证是应用系统的门户。用户的帐户和密码的复杂性、有效期等需根据客户的安全要求进行配置。 对密码的维护建议如下： 1. 专人保管操作系统密码。 2. 密码需要满足一定的强度要求，例如密码最少字符数、混合大小写等。 3. 密码传递时注意加密，尽量避免通过邮件传递密码。 4. 密码需要加密存储。 5. 系统移交时提醒企业用户更改密码。 6. 定期修改密码。

特性 对比 云服务日志采集 ELK：使用logstash或者filebeat等开源采集器采集日志。 云日志服务：使用采集器采集日志，提供采集配置向导页面，上手难度低。 多语言SDK日志采集 ELK：不支持。 云日志服务：提供多语言SDK直接上报日志到云日志服务。 日志结构化解析 ELK：基于采集器实现自定义日志结构化解析。 云日志服务：提供结构化解析能力，支持正则表达式、JSON、分隔符多种方式解析日志。 SQL函数 ELK：只支持最基础的SQL统计函数。 云日志服务：除了基础的SQL函数基础，还提供了大量的扩展函数，例如聚合函数、字符串函数、日期和时间函数等，极大扩展了使用场景。 可视化图表 云日志服务提供了表格、时序图、饼图、柱状图、流图、数值图等多种可视化图表。 日志告警 ELK：没有日志告警功能。 云日志服务：开箱即用的日志告警功能，可提供准实时的日志关键词告警功能。支持多种告警渠道。 日志转储 ELK：无法直接转储对象存储。 云日志服务：通过控制台的简单配置可以将日志转储到天翼云对象存储。 日志加工 ELK：没有日志加工功能。 云日志服务：提供可扩展、高可用的数据加工服务，支持数据规整、脱敏、过滤等加工。

sectiondaf0b00e2497606c) SSL VPN的私有账号手机端和PC端能同时在线么？ SSL VPN是怎么管理配置的？ 云主机需绑定公网IP地址，打开电脑浏览器，在地址栏输入 VPN的Web管理控制台页面的，默认管理员账号和密码请咨询厂商（请尽快修改默认密码，使用默认密码可能存在安全风险）。 怎么申请免费试用的SSL VPN序列号？ SSL VPN支持试用。试用需联系区域的客户经理，由客户经理代下单完成试用订购。 SSL VPN常用的端口有哪些？ SSL VPN的Web控制台管理页面的默认端口是TCP4430，此端口可以修改，修改的位置：打开SSL VPN的Web控制台管理页面，在“系统设置 > 系统配置 > 控制台配置”的https端口输入框修改。 SSL VPN客户端接入的默认端口是TCP443，此端口可以修改，修改的位置：打开SSL VPN的Web控制台管理页面，在“系统设置 > SSL VPN选项 > 系统选项 > 接入选项”的https端口输入框修改。 SSL VPN支持哪些客户端操作系统来拨入SSL VPN隧道？ 支持的有： Win7、Win8、Win10 MacOS 10.910.15、MacOS 11.012.0 安卓4.0或以上的版本 苹果iOS9.0或以上的版本 MacOS接入SSL VPN的注意事项？ MacOS用户需要关联L3VPN类型资源，才能正常使用SSL VPN。 是否可以简单执行ping route等网络命令来测试网络连通性？ 可以的，打开SSL VPN的Web控制台管理页面，点击“系统维护 > 命令控制台”，执行相关命令测试即可。

本文将向您介绍如何通过边缘安全加速平台安全与加速服务设置Web规则白名单。 功能介绍 若您希望请求针对域名防护规则集中的某条规则加白，可以配置规则白名单。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见下文。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持使用Web规则白名单功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】【Web应用防火墙】，选择您要配置的域名，进入基础安全防护【防护规则引擎】详细设置页。 3. 选择您希望设置白名单范围的规则ID，点击操作列【加白】按钮，设置加白的匹配范围，粒度支持配置URI、IP、IPS、PATH、BODY等，支持配置多个生效条件。