本小节介绍日志审计(原生版)产品定义。 产品介绍 日志审计（原生版）（LAS Log Audit Service）通过实时不间断采集设备、主机、操作系统、数据库以及应用系统产生的海量日志信息，进行集中化存储，为您提供安全存储、检索、审计、告警、报表等能力，帮助您满足等保合规要求。 产品功能 天翼云日志审计（原生版）系统具备资产管理、日志检索、日志审计、多维报表等功能。 资产集中管理：提供集中化的统一管理平台，将所有的日志信息收集到平台中，进行信息资产的统一日志管理。 高速日志检索：基于海量数据的高速检索能力，可以实现多重条件组合的快速检索和精确定位。 实时日志审计报警：对归并处理的日志进行实时动态分析，及时发现网络非法访问、数据违规操作、系统进程异常、设备故障等高危安全事件通过邮件、短信等方式进行报警。 丰富多维日志报表：丰富合规报表预设，支持全方位自定义报表导出，实现数据库系统、数据库服务器、网络设备的多维立体审计。 产品架构 天翼云日志审计（原生版）系统产品架构包含数据采集层、处理层、存储层、引擎层、业务层、可视化。 采集层：提供开放式的信息采集接口，实现对用户环境内各类IT资产以及所采用的各厂商安全产品或安全系统进行主动或被动的日志采集。 处理层：实现对采集到的数据做统一规范化，对数据进行关键信息提取，标签化分类，过滤，归并等数据ETL操作，为后续的数据分析做准备。 存储层：实现海量安全大数据的分布式存储，提供结构化数据和非结构化数据的存储能力，并为上层的数据分析应用提供高效的数据库功能支撑。 引擎层：综合数据处理分析的能力提供层，提供由大数据技术和架构支撑的快速检索和数据关联发掘功能。是支撑上层数据呈现和分析结果输出的计算引擎层，提供丰富的大数据统计、关联分析、数据挖掘以及态势分析能力，是系统的分析处理的核心。该层提供了基础数据处理引擎，包括流式计算引擎、复杂事件处理引擎、全文检索引擎、关联分析引擎等。 业务层：实现用户基于平台的标准化数据，依托平台报表工具，日志检索工具，分析引擎，实现用户自身业务相关的安全管理以及数据分析，监控，处置，保障业务的安全稳定。 可视化：实现对平台的数据处理，数据分析，报表分析，处置结果等通过图表可视化的方式呈现。

本地数据中心的什么设备可以建立IPsec VPN连接？ 设备型号多为路由器、防火墙等，天翼云的VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与天翼云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 IPsec VPN连接支持将两个VPC互连吗？ 支持将两个VPC互连。不仅可以实现天翼云不同区域资源池中VPC互通， 也可以连通其他云服务商的VPC网络（前提是对方也具备相同的VPN接入能力）。 为这两个VPC分别创建VPN网关，并为两个VPN网关创建用户网关和IPsec连接。将两个IPsec连接的用户网关设置为对方VPN网关的网关IP，将两个VPN连接的对端网段设置为对方VPC的网段，两个VPN连接的预共享密钥和算法参数需保持一致。 是否可以通过IPsec连接实现跨境访问国外网站？ 不可以。IPsec连接仅支持在中国境内实现将云上的VPC子网和用户侧数据中心的数据中心网络打通的场景。 如果您有跨境访问国外网站的需求，建议使用天翼云SDWAN产品的跨境能力。SDWAN是一种基于软件定义的广域网（WAN）技术，它可以提供更加灵活、智能和安全的网络连接服务。通过天翼云SDWAN的跨境能力，您可以在中国和国外之间建立一个安全的网络连接，实现跨境访问和数据传输。

3.1 升级系统 升级系统，确保软件包更新到最新，减少安全风险。下面的命令升级除内核相关之外的包，其中包含bug修复相关的包。 plaintext dnf y x 'kernel' update bugfix 3.2 配置ssh服务器 下面是对ssh服务器的一些配置。 plaintext sed e "s/^ ?PubkeyAuthentication./PubkeyAuthentication yes/g" e "s/^ ?PasswordAuthentication./PasswordAuthentication yes/g" e "s/^ ?PermitRootLogin./PermitRootLogin yes/g" e "s/^ ?UseDNS./UseDNS no/g" e "s/^ ?GSSAPIAuthentication./GSSAPIAuthentication no/g" i.bak /etc/ssh/sshdconfig 说明： PubkeyAuthentication yes：允许公钥认证访问。使用公钥认证访问通常更为安全。 PasswordAuthentication yes：允许使用密码认证访问。密码认证访问不如公钥认证访问安全。但默认镜像中没有公钥（在镜像中捆绑固定的公钥可能有安全隐患），需要使用密码认证访问。您可以在装机登录后配置好ssh公钥，然后禁用密码认证访问。 PermitRootLogin yes：允许root用户登录。允许root用户登录可能不够安全。但默认镜像中不创建其他普通用户。在镜像中创建普通用户并为其捆绑固定的密码可能有安全隐患。物理机装机时只会为root用户设置密码。您可以在装机登录后创建其他用户，然后禁用root用户登录。 UseDNS no：禁用反向DNS解析。未连通公网的机器上DNS不可用，会导致ssh连接缓慢或失败。 GSSAPIAuthentication no：禁用GSSAPI认证访问。GSSAPI认证需要自行配置才能使用。开启可能会导致ssh连接缓慢或失败。 注意 请不要在镜像中留ssh公钥或新建非root用户，可能有安全隐患。若相应的ssh私钥或用户密码泄露，继续使用该镜像会扩大受影响范围。

本文主要介绍Pod Security Admission配置。 在使用Pod Security Admission前，需要先了解Kubernetes的Pod安全性标准（Security Standards）。Pod安全性标准（Security Standards） 为 Pod 定义了不同的安全性策略级别。这些标准能够让你以一种清晰、一致的方式定义如何限制Pod行为。而Pod Security Admission则是这些安全性标准的控制器，用于在创建Pod时执行定义好的安全限制。 Pod安全性标准定义了三种安全性策略级别： 表 Pod安全性策略级别 策略级别（level） 描述 privileged 不受限制，通常适用于特权较高、受信任的用户所管理的系统级或基础设施级负载，例如CNI、存储驱动等。 baseline 限制较弱但防止已知的特权提升（Privilege Escalation），通常适用于部署常用的非关键性应用负载，该策略将禁止使用hostNetwork、hostPID等能力。 restricted 严格限制，遵循Pod防护的最佳实践。 Pod Security Admission配置是命名空间级别的，控制器将会对该命名空间下Pod或容器中的安全上下文（Security Context）以及其他参数进行限制。其中，privileged策略将不会对Pod和Container配置中的securityContext字段有任何校验，而Baseline和Restricted则会对securityContext字段有不同的取值要求，具体规范请参见Pod安全性标准（Security Standards）。 关于如何在Pod或容器中设置Security Context，请参见为Pod或容器配置Security Context。

本节主要介绍示例场景 前提条件 请确保您已拥有天翼云帐号，若您还没有帐号，请先进行注册并实名认证。 请确保您已开通企业项目管理服务EPS，如服务未开通，请首先在天翼云网门户提交申请开通工单。 创建企业项目的用户必须是管理员，或在IAM侧已被授予EPS FullAccess权限的IAM用户。 操作场景 企业项目管理支持通过配置IAM用户对云资源进行分类管理。 若您拥有多种云资源，为了方便云资源的管理和使用的安全性，可以通过创建不同的企业项目和IAM用户并授予不同云服务的管理权限，从而实现IAM用户对云资源的分类管理。 本节以一个案例让您了解如何通过企业项目管理实现IAM用户拥有独立、隔离的云资源管理权限。 操作规划 操作项目 描述 创建用户组 在IAM控制台分别创建用户组TestECSA和TestECSB。 创建IAM用户并添加至用户组 在IAM控制台分别创建用户TestUserA和TestUserB。 将用户TestUserA添加至用户组TestECSA； 将用户TestUserB添加至用户组TestECSB。 创建企业项目并将用户组添加至项目 在企业项目管理页面分别创建企业项目projectA和projectB。 将用户组TestECSA添加至企业项目projectA； 将用户组TestECSB添加至企业项目projectB。 企业项目迁入资源 在企业项目管理页面分别给企业项目projectA和projectB迁入对应的云资源。 操作流程

本节介绍如何创建数据空间。 操作场景 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 当您需要使用态势感知（专业版）提供的 安全分析 、 数据分析 、智能建模等功能时，需要新增数据空间。 前提条件 已新增工作空间，具体操作请参见新增工作空间。 约束与限制 一个工作空间中最多可创建5个数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在数据空间列表左上角，单击“新增”，系统从右侧弹出新增数据空间界面。 6. 在新增数据空间页面中，配置新建数据空间参数，参数说明如下表所示。 参数名称 参数说明 数据空间 输入数据空间名称。命名规则如下： 名称长度取值范围为563个字符。 可包含英文字母、数字和。其中，不能出现在开头和结尾，且不能连续出现。 名称须为全局唯一，不能与其他数据空间名称相同。 描述 可选参数，设置该数据空间的备注信息。 7. 单击“确定”，完成数据空间的新增。 新增完成后，可以在数据空间列表中查看已新增的数据空间。

本节主要介绍设置微服务引擎专享版公网访问 状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 注意 未开启安全认证的微服务引擎无认证鉴权能力，开放到公网面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、开启“公网访问”开关，在弹出的对话框勾选“我已知晓安全风险”，单击“确定”。 4、单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的“√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、关闭“公网访问”开关。 4、在弹出对话框单击“确定”。

介绍分布式消息服务Kafka用户列表功能操作内容。 场景描述 Kafka用户管理的场景描述如下： 访问控制：Kafka用户管理可以用于实现访问控制，限制对Kafka集群和主题的访问权限。通过创建不同的用户和角色，并为其分配合适的权限，可以确保只有经过授权的用户能够访问和操作Kafka集群。 安全认证：Kafka用户管理可以用于实现安全认证，确保只有合法用户能够登录和使用Kafka集群。通过设置用户名和密码，以及使用TLS/SSL证书等安全机制，可以保护Kafka集群免受未经授权的访问和攻击。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后即可查看所有的用户信息。 （5）右上角输入用户名称，可查询对应用户。

如果不再需要某个数据空间，可以参照本节进行删除。 约束与限制 系统创建默认数据空间不支持删除操作。 如果待删除数据空间中，存在数据管道，则该数据空间不能直接删除。您需要先删除数据管道，再删除数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在需要删除的数据空间所在行的“操作”列，单击“删除”。 6. 在弹出的对话框中单击“确认”，完成删除数据空间的操作。 注意 如果待删除数据空间中，存在数据管道，则该数据空间不能直接删除。您需要先删除数据管道，再删除数据空间。

本节介绍可通过AI云电脑同步工具将本地电脑数据同步到天翼量子AI云电脑,或者将天翼量子AI云电脑的数据同步到另外一个天翼量子AI云电脑。 简介 如需将本地电脑数据同步到AI云电脑，或者将AI云电脑的数据同步到另外一个AI云电脑，可使用AI云电脑同步工具进行数据同步。同步工具适用于Windows系统、统信UOS系统、银河麒麟系统、中科方德系统等，操作使用方式请参考以下操作指导。 同步工具客户端下载地址：++天翼云电脑同步工具客户端下载++ 登录/退出客户端 扫码登录 在登录界面，使用移动端的天翼云电脑App或翼连App进行二维码扫码，移动端确认登录。 账密登录 在登录界面，输入天翼量子AI云电脑账号密码，点击“安全登录”，即可登录同步工具客户端。 专线接入 若天翼量子AI云电脑的租户开通了企业专线接入，该租户下用户使用同步工具也需要通过专线接入登录，同步工具的专线地址与天翼量子AI云电脑专线地址一致。 1. 勾选“企业/专线地址”，弹出专线接入配置框； 2. 在专线接入配置框中，选择协议类型“http”或“https”，输入专线地址和端口； 3. 点击“启用”按钮。

本文介绍零信任网络服务计费。 零信任网络服务适用场景 零信任网络服务由电信云公司自主研发，依托中国电信优质的网络资源，是旨在为企业提供安全、高效、智能的网络连接和加速服务，满足移动办公、海外访问国内应用、跨境加速、多云互联等多种场景。 计费模式： 包周期 计费区域： 中国内地、香港、亚太、美洲、欧洲、中东非 计费周期： 按月结算 折扣规则： 详细见零信任网络服务折扣说明 网络服务、远程办公、办公组网的关系： 网络服务提供区域带宽给远程办公和办公组网使用，支持订购后分配两个场景的带宽值。 远程办公包括零信任主套餐、扩展服务、按需订购项，带宽计费模式下可以叠加网络服务的区域带宽。 办公组网连接模式通过平台授权服务费来订购，加速模式通过网络服务的区域带宽进行订购。 注意 网络服务远程办公/办公组网不支持官网自助开通，请联系您的客户经理或者提交工单进行咨询。 网络服务区域带宽支持给远程办公和办公组网使用，并支持订购范围内按照场景分配带宽，请联系您的客户经理进行咨询。 计费项 计费类型 区域 阶梯区间 标准价格（元/Mbps/月） 备注 网络服务远程办公/办公组网带宽 包周期 中国内地 (0Mbps,100Mbps] 40 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中国内地 (100Mbps,+] 35 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (0Mbps,10Mbps] 230 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (10Mbps,20Mbps] 220 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (20Mbps,50Mbps] 210 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (50Mbps,100Mbps] 200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (100Mbps,200Mbps] 190 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (200Mbps,500Mbps] 150 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (500Mbps,1Gbps] 140 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (1Gbps,+] 135 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (20Mbps,50Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (50Mbps,100Mbps] 620 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (100Mbps,200Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (200Mbps,500Mbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (500Mbps,1Gbps] 500 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (1Gbps,+] 490 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (20Mbps,50Mbps] 675 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (50Mbps,100Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (100Mbps,200Mbps] 560 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (200Mbps,500Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (500Mbps,1Gbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (1Gbps,+] 510 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (0Mbps,10Mbps] 720 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (10Mbps,20Mbps] 710 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (20Mbps,50Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (50Mbps,100Mbps] 670 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (100Mbps,200Mbps] 580 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (200Mbps,500Mbps] 555 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (500Mbps,1Gbps] 535 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (1Gbps,+] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (0Mbps,10Mbps] 1375 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (10Mbps,20Mbps] 1330 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (20Mbps,50Mbps] 1200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (50Mbps,100Mbps] 1110 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (100Mbps,200Mbps] 1090 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (200Mbps,500Mbps] 940 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (500Mbps,1Gbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (1Gbps,+] 680 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 计费项 计费类型 标准价格（元/实例/月） 备注 平台授权服务费 包周期 100 用于办公组网连接模式，按照连接器个数收费 按照连接器实例带宽扣费： （0，100Mbps]占用1个平台授权服务 （100，300Mbps]占用2个平台授权服务 （300，500Mbps]占用3个平台授权服务 500Mbps以上带宽占用5个平台授权服务 说明 远程办公/办公组网/全球加速服务，非中国内地带宽可进行叠加共享。如订购远程办公香港带宽10Mbps，办公组网香港带宽5Mbps，全球加速香港带宽1Mbps，则该客户在香港区域可共享16Mbps带宽。 远程办公核心计费为帐号，管理控制客户端接入，办公组网/全球加速核心管理控制隧道链路访问，主要计费为带宽，若远程办公与办公组网/全球加速共用连接器时则连接器隧道链路带宽按照办公组网/全球加速进行统一限速计费，提供更稳定、独用的加速隧道访问。 例子：客户开通远程办公带宽 30Mbps （仅用于限制客户端用户接入总带宽 ），需接入连接器集群 A ；同时开通办公组网带宽 10Mbps （分配为连接器 A 5Mbps、连接器 B 5Mbps）。由于远程办公与办公组网的隧道流量统一汇聚至连接器集群 A ，为保证链路稳定与统一管控，连接器集群 A 将按办公组网分配的 5Mbps 进行统一限速，即客户端接入流量与连接器 B 访问集群 A 的流量总和不超过 5Mbps。

响应处置 对实时审计产生的告警，系统还支持通过配置规则来指定场景告警进行响应通知。这意味着用户可以根据自身需求，将不同类型的告警划分为不同的场景，并设置相应的规则和通知方式。在邮件通知方面，系统提供了丰富的内容配置选项。用户可以根据需要填充事件相关信息，以便在通知邮件中提供更详细的上下文信息。此外，还可以配置邮件通知的时段，以确保及时通知用户。系统能够自动实时地发送告警通知给用户，使用户能够及时了解安全报警和日志异常情况。用户可以通过查看告警通知的内容，迅速判断是否存在潜在的安全问题，并采取相应的措施进行处理。 通过以上功能的支持，系统能够帮助用户实现对实时审计中的告警进行快速、准确、有效的响应和处理。用户的响应时间得到缩短，安全问题能够得到及时解决，从而提升了系统的安全性和可靠性。

本页介绍了如何开启和关闭SSL。 SSL连接是指在MongoDB客户端和服务器之间使用SSL/TLS（安全套接层/传输层安全）协议进行加密和安全通信的一种连接方式。SSL是一种用于加密数据传输的协议，它可以确保在数据传输过程中，数据被安全地加密，防止第三方截获和窃听数据。 通过启用SSL连接，您可以在MongoDB服务器和客户端之间建立加密通道，确保以下安全性： 数据加密：在客户端和服务器之间传输的数据会经过加密处理，防止数据在传输过程中被截获或篡改。 身份验证：SSL连接允许客户端和服务器之间相互认证，确保连接的双方都是合法的，有效的MongoDB实例。 数据完整性：SSL连接还可以确保数据在传输过程中没有被篡改，保证数据的完整性。 开启SSL 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要开启SSL连接的实例，点击该实例的实例ID，进入实例详情。 4. 点击“数据安全”，点击“SSL设置”。 5. 选择开启SSL，即可开启SSL。 注意 开启SSL后实例会进入重启状态，请谨慎操作。 开启SSl后可以下载SSL证书，在连接实例时可以使用SSL证书连接实例，保证数据安全性。 关闭SSL 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要关闭SSL连接的实例，点击该实例的实例ID，进入实例详情。 4. 点击“数据安全”，点击“SSL设置”。 5. 选择关闭SSL，即可关闭SSL。 注意 关闭SSL后实例会进入重启状态，请谨慎操作。

本文介绍Redis连接失败问题排查和解决 概述 本章节主要描述Redis连接过程出现的问题，以及解决方法。 问题分类 当您发现与Redis实例连接出现异常时，可以根据本文的内容，从以下几个方面进行排查。 Redis和ECS之间的连接问题 公网连接Redis 密码问题 实例配置问题 客户端连接问题 性能问题导致连接超时 Redis和ECS之间的连接问题 在连接Redis和ECS之间存在一些常见的问题，需要确保它们在同一个VPC内并能够正常通信。 未正确配置安全组规则： 问题描述：Redis和ECS的安全组可能没有正确配置，导致连接失败。 解决方法：需要配置ECS和Redis实例所在安全组规则，确保允许Redis实例被访问。详细的配置步骤可以参考配置安全组。 白名单功能开启导致连接失败： 问题描述：如果实例开启了白名单功能，客户端连接时需要确保客户端IP在白名单内，否则将无法连接。 解决方法：需要按照实例实例白名单配置文档操作，确保客户端IP在白名单内。注意，如果客户端IP发生变化，需要将新的IP加入白名单。 不同VPC导致连接失败： 问题描述：如果Redis实例和ECS不在同一个VPC，它们之间的网络是不相通的。 解决方法：可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问Redis实例。有关VPC对等连接的创建和使用，请参考VPC对等连接说明。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 TSDBlink OpenTSDB链接地址 OpenTSDB的ZK链接地址。 opentsdbsp8afz7bgbps5ur.cloudtable.com:4242 安全模式 选择安全或非安全模式。 选择安全模式时，需要输入项目ID、用户名、AK/SK。 Nonsecurity 项目ID CloudTable服务所在区域的项目ID。 项目ID表示租户的资源，帐号ID对应当前帐号。用户可在对应页面下查看不同Region对应的项目ID和帐号ID。 1. 注册并登录管理控制台。 2.在用户名的下拉列表中单击“我的凭证”。 3. 在“我的凭证”页面，查看帐号名和帐号ID，在项目列表中查看项目ID。 用户名 访问CloudTable服务的用户名。 admin 访问标识(AK) 密钥(SK) 访问CloudTable服务的AK和SK。 您需要先创建当前账号的访问密钥，并获得对应的AK和SK。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥>新增访问密钥”，详见下图：单击新增访问密钥。 3.单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。

检查NameNode节点是否进入安全模式 19.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS”，单击服务异常的NameService的“NameNode(主)”，显示NameNode WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 20.在NameNode WebUI，查看是否显示如下信息：“Safe mode is ON.” “Safe mode is ON.”表示安全模式已打开，后面的提示信息为告警信息，根据实际情况展现。 是，执行步骤21。 否，执行步骤24。 21.以root用户登录客户端。执行cd命令进入客户端安装目录，然后执行 source bigdataenv 。如果集群采用安全版本，要进行安全认证，执行kinit hdfs命令，按提示输入密码（向管理员获取密码）。如果集群采用非安全版本，需使用omm用户登录并执行命令，请确保omm用户具有客户端执行权限。 22.执行 hdfs dfsadmin safemode leave 。 23.在“运维 > 告警 > 告警”页签，查看该告警是否恢复。 是，处理完毕。 否，执行步骤24。 收集故障信息 24.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 25.在“服务”中勾选待操作集群的如下节点信息。 ZooKeeper HDFS 26.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 27.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

注意事项 当开通天翼云边缘安全加速平台—安全与加速服务加速全球或全球（不含中国内地）服务时，支持开通高性能网络增值服务。 高性能网络服务开通后不会直接生效，需要针对域名配置开启高性能网络服务才会生效。具体请参考高性能网络中配置说明。 因高性能网络为非必须的精品增值服务，涉及计费，如无需使用，请及时退订服务。

参数 参数类型 说明 示例 下级对象 vulRiskNum Integer 漏洞风险数 1 vulHostNum Integer 漏洞风险主机数 1 scaRiskNum Integer 安全基线主机数 1 scaHostNum Integer 安全几线主机数 1 wpRiskNum Integer 网页防篡改风险数 1 wpHostNum Integer 网页防篡改主机数 1 virusRiskNum Integer 病毒文件数 1 virusHostNum Integer 病毒文件数主机数 1 instrustonEventRiskNum Integer 入侵检测风险数量 1 instrustonEventRiskHostNum Integer 入侵检测风险主机数量 1

此章节为您介绍数据库审计规则维护的相关功能。 规则维护概述 规则维护包括升级内置安全规则和导入/导出自定义安全规则。 操作步骤 1.在菜单栏选择“规则设置 > 规则维护”进入规则维护页面。 2.单击“导入规则”，选择自定义规则文件，即可导入自定义规则；单击“导出规则”即可导出自定义规则至本地。

本文主要介绍镜像服务的功能。 私有镜像生命周期 当您成功创建私有镜像后，镜像的状态为“正常”，您可以使用该镜像创建云主机实例或云硬盘，也可以将镜像共享给其他帐号。 特性列表 表 创建私有镜像类 特性 说明 相关操作 使用云主机创建系统盘镜像 创建云主机实例后，您可以根据业务需求自定义实例（例如：安装软件、部署应用环境）， 并使用更新后的云主机创建系统盘镜像。 通过该镜像创建的新实例，会包含您已配置的自定义项，节省您重复配置的时间。 通过云主机创建Windows系统盘镜像、 通过云主机创建Linux系统盘镜像 使用外部镜像文件创建系统盘镜像（也称导入镜像） 可以将您本地或者其他云平台的云主机系统盘镜像文件导入至天翼云镜像服务中。 导入后，可使用该镜像创建新的弹性云主机，或对已有实例的系统进行重装或更换。 通过外部镜像文件创建Windows系统盘镜像、 通过外部镜像文件创建Linux系统盘镜像 使用ISO文件创建系统盘镜像 相比其他格式的外部镜像文件，ISO文件无法直接使用， 需要利用一些工具进行解压后才能使用。 创建流程较为复杂，详见“相关操作”。 通过ISO文件创建Windows系统盘镜像、 通过ISO文件创建Linux系统盘镜像 使用外部镜像文件创建数据盘镜像 可以将您本地或者其他云平台的服务器数据盘镜像文件导入至天翼云镜像服务中。 导入后，可使用该镜像创建新的云硬盘。 通过外部镜像文件创建数据盘镜像 使用云主机、云主机备份，或者云服务备份创建整机镜像 将云主机及其上挂载的数据盘一起创建整机镜像，此镜像包含操作系统、应用软件， 以及用户的业务数据，可用于快速发放相同配置的云主机，实现数据搬迁。 支持使用云主机、云主机备份、云服务备份三种整机镜像创建方式。 通过云服务备份创建整机镜像、 通过云主机创建整机镜像、 通过云主机备份创建整机镜像 通过私有镜像创建云主机 系统盘镜像或者整机镜像创建成功后，在该镜像所在行单击“申请主机”即可创建新的云主机。 通过镜像创建云主机 表 管理私有镜像类 特性 说明 相关操作 修改镜像属性 为了方便您管理私有镜像， 您可以根据需要修改镜像的如下属性：名称、描述信息、最小内存、最大内存， 以及是否支持网卡多队列这些高级功能。 修改镜像属性 共享镜像 您可以将镜像共享给其他天翼云帐号使用。 该帐号可使用您共享的私有镜像，快速创建运行同一镜像环境的云主机， 或者相同数据的云硬盘。 共享镜像 导出镜像 导出私有镜像到您的个人OBS桶，再下载至本地进行备份。 导出镜像 加密镜像 您可以创建加密镜像来提升数据安全性，加密方式为KMS的信封加密。 外部镜像文件或者加密云主机均可用来创建加密镜像。 加密镜像 区域内复制镜像 通过区域内复制镜像功能可以实现加密镜像与非加密镜像的转换， 或者使镜像具备一些高级特性（如快速发放）。 复制镜像 标记镜像 为您的私有镜像贴上标签，便于管理和搜索。 标记镜像 导出镜像列表信息 支持以“CSV”格式导出某个区域的公共镜像和私有镜像的信息列表， 方便本地维护和查看。 导出镜像列表信息 删除镜像 如果您不再需要某个私有镜像，可以将其删除，删除镜像对已创建的云主机没有影响。 删除镜像

本章节主要介绍约束与限制 为了提高实例的稳定性和安全性，数据管理服务在使用上有一些固定限制。 操作 使用限制 :: 数据库来源 目前支持云数据库RDS、文档数据库服务、分布式关系型数据库DRDS。 数据库引擎 目前支持MySQL、SQL Server、PostgreSQL、DRDS、DDS等。 区域和网络 同一个区域，仅支持VPC网络。

本章节主要介绍认证策略。 大数据平台用户需要对用户进行身份认证，防止不合法用户访问集群。安全模式或者普通模式的集群均提供认证能力。 安全模式 安全模式的集群统一使用Kerberos认证协议进行安全认证。Kerberos协议支持客户端与服务端进行相互认证，提高了安全性，可有效消除使用网络发送用户凭据进行模拟认证的安全风险。集群中由KrbServer服务提供Kerberos认证支持。 Kerberos用户对象 Kerberos协议中，每个用户对象即一个principal。一个完整的用户对象包含两个部分信息：用户名和域名。在运维管理或应用开发的场景中，需要在客户端认证用户身份后才能连接到集群服务端。系统操作运维与业务场景中主要使用的用户分为“人机”用户和“机机”用户。二者主要区别在于“机机”用户密码由系统随机生成。 Kerberos认证 Kerberos认证支持两种方式：密码认证及keytab认证。认证有效时间默认为24小时。 密码认证：通过输入用户正确的密码完成身份认证。主要在运维管理场景中使用“人机”用户进行认证，命令为kinit 用户名 。 keytab认证：keytab文件包含了用户principal和用户凭据的加密信息。使用keytab文件认证时，系统自动使用加密的凭据信息进行认证无需输入用户密码。主要在组件应用开发场景中使用“机机”用户进行认证。keytab文件也支持在kinit命令中使用。 普通模式 普通模式的集群不同组件使用原生开源的认证机制，不支持kinit认证命令。FusionInsight Manager（含DBService、KrbServer和LdapServer）使用的认证方式为用户名密码方式。组件使用的认证机制如下表所示。 表 组件认证方式一览表 服务 认证方式 ClickHouse simple认证 Flume 无认证 HBase WebUI：无认证 客户端：simple认证 HDFS WebUI：无认证 客户端：simple认证 Hive simple认证 Hue 用户名密码认证 Kafka 无认证 Loader WebUI：用户名密码认证 客户端：无认证 Mapreduce WebUI：无认证 客户端：无认证 Oozie WebUI：用户名密码认证 客户端：simple认证 Spark2x WebUI：无认证 客户端：simple认证 Storm 无认证 Yarn WebUI：无认证 客户端：simple认证 ZooKeeper simple认证 认证方式解释如下： “simple认证”：在客户端连接服务端的过程中，默认以客户端执行用户（例如操作系统用户“root”或“omm”）自动进行认证，管理员或业务用户不显式感知认证，不需要kinit完成认证过程。 “用户名密码认证”：使用集群中“人机”用户的用户名与密码进行认证。 “无认证”：默认任意的用户都可以访问服务端。

本文为您介绍密码服务的权限管理能力,支持通过IAM实现对密码服务的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对密码服务资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 密码服务支持企业项目管理，若您需要对密码服务资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予密码服务产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 密码服务IAM策略说明 天翼云为密码服务提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 密码服务管理者 密码服务管理员策略，拥有产品所有操作权限。 系统策略 全局级 密码服务查看者 密码服务查看策略，仅支持查看实例列表。 系统策略 全局级

同一个Nacos引擎可能会有多个用户共同使用，开启了“安全认证”的Nacos引擎专享版，通过微服务控制台提供的基于RBAC（RoleBased Access Control，基于角色的访问控制）的权限控制功能，使不同的用户根据其责任和权限，具备不同的引擎访问和操作权限。 开启了“安全认证”的Nacos引擎专享版，支持微服务正常接入。 说明 只有引擎版本为2.1.0.1及以上版本支持此功能，若版本低于2.1.0.1，可参考 当Nacos引擎版本为2.1.0升级到2.1.0.1及以上版本时，需要先开启安全认证初始化密钥信息，才可使用权限控制功能。

弹性负载均衡产品可搭配其他产品提供服务,本文带您更快了解弹性负载均衡与其他服务之间的关系。 弹性负载均衡与其他天翼云服务之间的关系非常密切，可以协同工作，为用户提供高性能、高可用、高安全性的应用程序服务。 说明： 服务名称 交互功能 相关内容 ::: 虚拟私有云VPC 创建弹性负载均衡时，需要指定弹性负载均衡关联的VPC和子网 创建VPC 弹性云主机 弹性负载均衡的后端主机组，关联开启后端的主机实例 []( 物理机 弹性负载均衡的后端主机组，关联开启后端的主机实例 购买物理机 弹性IP 创建公网弹性负载均衡时，需要绑定公网IP来做公网服务的流量分发 购买弹性IP 弹性伸缩 弹性伸缩服务可以与弹性负载均衡集成，根据实际的负载情况自动调整云主机实例的数量。 创建弹性伸缩 云监控服务 云监控服务可以监控弹性伸缩的性能指标，如请求数、连接数、响应时间等。 查看云监控

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

Web应用防火墙主要包括4大类应用场景，本小节介绍Web应用防火墙应用场景。 政企教育医卫行业场景 场景特点 政企行业、教育行业和医卫行业，包括门户网站作为提供给互联网用户获取信息服务的重要渠道，多面临网页被篡改、网页挂马、跨站攻击、SQL注入攻击等安全威胁，同时也面临上级单位和测评机构的监管压力，一旦发生安全事件，将严重影响其形象和公信力。 能解决的问题 政企类用户经常遭受来自境外地区的各类SQL注入等类型攻击，通过WAF可以制定针对指定境外地区直接进行封禁，阻断所有来自风险地区的访问请求，以及WAF可以根据内置的策略等级模式将安全性要求较高的业务重点保障，有效将99%的攻击自动进行禁封。 金融行业场景 场景特点 金融行业面临注入、跨站等多种安全问题，导致用户账号密码泄露，危及用户资金财产安全，进而严重影响企业的形象并承受经济损失。 能解决的问题 网站遭遇大量Web暴力破解请求企图获取平台登录信息，若被获取登录信息后将进一步被攻击者进行渗透，部署WAF后可通过WAF内置CC策略以及暴力破解特征库自动阻断该类型请求并发送告警至自服务平台，大大增加了网站的安全等级，并且可以主动发现并进行禁封或进行攻击溯源。

本文介绍天翼云云搜索OpenSearch实例自定义插件的安装方式。 当您需要使用自定义插件或系统默认插件中不包含的开源插件时，可通过云搜索服务的自定义插件上传与安装功能，在实例中上传并安装对应插件。 前提条件 1. 准备待上传的插件，并确保插件的可用性和安全性。 2. 建议在上传插件前，先在本地自建OpenSearch集群（与实例相同版本）上进行测试，成功后再进行上传。 3. 开通与云搜索实例同地域的对象存储服务，并上传好需要安装的插件至对象存储的桶中。 使用限制 1. 不支持安装与默认插件一样的插件，包括默认插件的其他版本。 2. 不支持同时安装/卸载两个以上的插件。 3. 云搜索服务不保留用户插件的安装文件，请您自行备份。 4. 插件文件后缀需要为.zip。 5. 不支持上传安装带权限属性的插件。 6. 目前云搜索已关闭该功能，仅版本号 “自定义插件”，单击上传插件按钮。 3. 在弹出的页面上填写： 1. 插件名称：仅支持字母、数字和字符，请和插件包名称保持一致。插件名称查询路径：插件包内properties文件中找到pluginName。 2. 插件地址：填写天翼云对象存储同地域资源池下的地址，获取路径为：对象存储控制台——点击对应桶名称进入详情——点击文件管理，找到对应的插件，点击右侧更多——复制URL。 3. 插件版本：插件目前的版本，格式为数字和点组合，如：7.10或2.19.1.0，非必填。 4. 插件描述：用于帮助用户识别插件功能，非必填。 注意 需要开启对应文件的可读权限。 4. 填写完毕后点击安装并重启，插件会先在实例安装，安装完毕后实例将自动进行重启。期间请勿对实例进行其他操作。 5. 当实例重启完成，插件状态变成“已安装”则表示插件已经安装完毕。若插件处于“未安装”状态，则说明安装失败，您可根据提示调填写内容再次重试或通过工单联系我们协助处理。您也可以删除该插件信息。 6. 已经安装完毕的插件，如果您不再使用，可单击插件右侧的卸载，卸载此插件。卸载插件如需再次安装，请参照前述步骤执行。

本章节主要介绍云主机备份产品的优势。 简单快捷 只需少量配置，无需具备专业技能，就可以让您的备份在云上运行。 经济高效 增量备份，缩短大量备份时长，存储空间按需分配，降低初期投资。 增量恢复，仅恢复到最近一个备份时间点的变化数据，恢复效率提升至分钟级。 安全可靠 数据自动加密保存到对象存储中，数据持久性高达99.999999999%（11个9）。

本节介绍服务器安全卫士（原生版）功能特性。 安全概览 全方位查看服务器安全数据及状态，包括服务器数量统计、服务器安全状态统计、待处理告警、服务器运行状况统计、服务器资产清点统计及排名。 资产管理 查看服务器列表信息及服务器详情信息，支持为服务器开启/关闭防护；自动清点主机内部资产如进程、端口、账号、应用等，实时掌握主机内部资产变化，为安全分析提供数据基础。 基线检测 对系统基线进行全面检查，支持一键检测和定时检测方式，可自定义基线策略，支持对基线进行白名单设置。 漏洞扫描 精准扫描Linux和Windows漏洞，支持一键扫描和定时扫描方式，可查看漏洞详细信息，并提供漏洞修复建议。 入侵检测 包括异常登录和爆破登录，和查看各类入侵防御记录及拦截结果。实时异常登录监控，发现异常IP、区域、时间等的异常登录，并发送告警通知；实时暴力破解多层次监控，支持暴力破解拦截功能，支持查看拦截记录。 弱口令检测 检测系统中的弱口令，包括常见弱口令、空口令、系统默认口令、口令中包含用户名等场景。 病毒查杀 支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测，提供灵活的检测方式，支持一键检测和定时检测方式，通过简单操作即可完成对病毒的处理，支持对病毒文件进行隔离、删除和信任。

复制规则 通过复制规则，只需修改少量配置参数，用户即可快速创建一个和已有规则类似的规则。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择需要添加规则的类型。 4. 在规则列表中找到目标规则，单击操作列的“复制”。 5. 在弹出的窗口中，修改规则参数。参数说明请参见添加自定义规则。 6. 参数修改完成后，单击“确认”。 启用/禁用规则 为了控制检查规则“误报”和“漏报”之间的均衡关系，系统提供规则开关，用户可自定义开启或关闭文件规则检查项。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择要操作的规则类型。 4. 在规则列表的启用状态列，可以打开或关闭某一规则。 或勾选多个规则，单击规则列表右上方的“启用”、“禁用”按钮，可以批量启用/禁用规则。 编辑规则 说明 仅支持对自定义规则进行编辑，系统内置规则（创建人为“内置”）不可编辑。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择需要添加规则的类型。 4. 在规则列表中找到目标规则，单击操作列的“编辑”。 5. 在弹出的窗口中，修改规则参数。参数说明请参见[添加自定义规则](