AntiDDoS流量清洗服务为弹性公网IP提供网络层和应用层的DDoS攻击防护和攻击实时告警通知。 产品定义 AntiDDoS流量清洗服务（以下简称AntiDDoS）为弹性公网IP提供网络层和应用层的DDoS攻击防护和攻击实时告警通知。同时，AntiDDoS可以提升用户带宽利用率，确保用户业务稳定运行。 AntiDDoS通过对互联网访问弹性公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，AntiDDoS为用户生成监控报表，清晰展示网络流量的安全状况。 产品性能 AntiDDoS提供不超过5Gbps流量的DDoS攻击防护。对大于5Gbps的流量，系统会进行自动限流措施（正常访问流量会丢失）；对于正常业务流量超过5Gbps流量的应用，建议用户自主购买第三方清洗中心服务，从第三方获取报表。 功能特性 提供四到七层DDoS攻击防护能力 AntiDDoS流量清洗服务提供四到七层的DDoS攻击防护，包括SYN Flood、UDP Flood等所有DDoS攻击方式。 提供DDoS防护监控 提供查看单个公网IP的监控能力，包括当前防护状态、当前防护配置参数、24小时前到现在的流量情况、24小时的异常事件（清洗和黑洞）。 提供安全能力报告 提供查看安全报告能力，查看区间为一周，支持查询前四周统计数据，包括防护流量、攻击次数、攻击top10排名。

本节介绍 Web应用防火墙（独享版）的安全总览页面。 您通过Web应用防火墙服务查看防护日志，可查看到昨天、今天、3天、7天或者30天的访问与攻击统计次数、攻击分布、受攻击域名TOP10、攻击源IP TOP10和受攻击URL TOP10的次数。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 已为防护域名添加了一个或者多个防护规则。 规格限制 在“安全总览”界面，最多可以查看30天的防护数据。 QPS计算方式 不同时间段的QPS计算方式不同，QPS在各时间段的取值说明如下表所示。 时间段 QPS平均取值说明 QPS峰值取值说明 “昨天”、“今天” 间隔1分钟，取1分钟内的平均值 间隔1分钟，取1分钟内的最大值 “3天” 间隔5分钟，取5分钟内的平均值 间隔5分钟，取5分钟内的最大值 “7天” 间隔10分钟，取每5分钟内平均值的最大值 间隔10分钟，取10分钟内最大值 “30天” 间隔1小时，取每5分钟内平均值的最大值 间隔1小时，取1小时内最大值 说明 QPS（Queries PerSecond）即每秒钟的请求量，例如一个HTTP GET请求就是一个Query。请求次数是间隔时间内请求的总量。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在页面上方，设置要查询的网站、实例以及查询时间。 默认统计的是该账号所有项目下添加到WAF的所有网站的相关数据。 “域名接入”：统计的是选择添加到WAF的防护网站的接入信息。单击“查看”跳转到“网站设置”界面，可以查看防护域名详细信息。 查询时间：可选择昨天、今天、3天、7天、30天。 5. 查看统计的总的请求次数、攻击次数以及各类型攻击的页面总数。 “请求次数”中统计的次数为网站的PV（Page Views）值，即用户每次访问网站，在某个时间内被访问的页面总数。 “攻击次数”中统计的次数为网站被各类型攻击的总次数。 各攻击类型统计的次数为用户每次访问网站，在某个时间内被该类型攻击的页面总数。 单击“查看网站TOP统计”，可查看请求次数、攻击次数、Web基础防护、精准防护、CC攻击防护、爬虫攻击防护排名TOP 10的数据。 6. “安全统计”模块数据展示。 “按天统计”：勾选后，显示的是间隔一天统计一次的数据；不勾选，统计的数据周期根据选择的时间段而定，具体如下： “昨天”、“今天”：间隔两分钟统计一次数据。 “3天”：间隔5分钟统计一次数据。 “7天”：间隔10分钟统计一次数据。 “30天”：间隔1小时统计一次数据。 安全统计参数说明： 参数 说明 请求次数 统计的是域名被访问的总请求量、攻击总量以及被各类攻击类型攻击的页面总数。 QPS 域名平均每秒钟的请求量。QPS的取值说明参考[](file:///D:/01%20%E6%96%87%E6%A1%A3%E9%9C%80%E6%B1%82/WAF%E5%90%88%E8%90%A5/Web%E5%BA%94%E7%94%A8%E9%98%B2%E7%81%AB%E5%A2%99%EF%BC%88%E7%8B%AC%E4%BA%AB%E7%89%88%EF%BC%89%E7%94%A8%E6%88%B7%E6%8C%87%E5%8D%97.docx

字段 说明 PASSTHROUGH 客户端呈现的SNI 字符串将用作 VirtualService 中 TLS 路由的匹配条件，以确定服务注册表中的目标服务。 SIMPLE 具有标准TLS 语义的安全连接，在此模式下，握手期间不会请求客户端证书。 MUTUAL 使用双向TLS 对下游进行安全连接，通过提供服务器证书进行身份验证，在握手期间还将请求客户端证书，并且客户端需要发送至少一个有效证书。 AUTOPASSTHROUGH 类似于透明传输模式，但具有此TLS 模式的服务器不需要关联的 VirtualService 将 SNI 值映射到注册表中的服务，目标详细信息，如服务/子集/端口，被编码在 SNI 值中，代理将转发到由 SNI 值指定的上游（Envoy）集群（一组端点），此服务器通常用于在不同的 L3 网络中提供服务之间的连通性，否则这些服务之间的端点之间没有直接连通性，使用此模式假定源和目标均使用 Istio mTLS 来保护流量。 ISTIOMUTUAL 通过提供服务器证书进行身份验证，从下游使用双向TLS 进行安全连接，与 Mutual 模式相比，此模式使用由 Istio 自动为 mTLS 认证生成的证书，代表网关工作负载的身份，当使用此模式时，TLSOptions 中的所有其他字段都应为空。 OPTIONALMUTUAL 类似于MUTUAL 模式，但客户端证书是可选的，与 SIMPLE 模式不同，握手期间仍会明确请求客户端证书，但客户端不需要发送证书，如果提供了客户端证书，则将对其进行验证。应指定 cacertificates 以验证客户端证书。

本节介绍API网关的产品规格。 专享版规格 专享版API网关QPS（Query Per Second，每秒查询率）吞吐受应答大小、是否开启HTTPS、是否开启gzip等多种因素影响。下表是API网关处于30%CPU安全水位下的QPS参考值，参考场景为无认证和单机流控模式。 安全水位，指能够在突发流量增长至双倍的情况下，API网关系统依然维持高吞吐量和低延迟性能。 表1 QPS性能参考 实例规格 基础版 专业版 企业版 铂金版 连接类型 应答字节数（KBytes） 是否使用HTTPS 是否使用gzip CPU处于安全水位的QPS参考 短连接 1 否 否 1,600 3,600 9,000 55,000 短连接 1 是 否 1,000 1,100 2,800 16,000 长连接 1 否 否 2,500 4,200 13,000 79,000 长连接 1 是 否 2,000 4,000 11,000 67,000 长连接 10 否 否 2,200 4,000 10,000 67,000 长连接 10 是 否 1,800 3,800 9,500 65,000 不同实例规格的带宽 和内网连接数都不同，建议参考下表数据将带宽和连接数控制在有效范围内。 表2 带宽和连接数参考 实例规格 带宽 内网每秒新建连接数 基础版 单AZ：50Mbit/s 双AZ及以上：100Mbit/s 1,000 专业版 单AZ：100Mbit/s 双AZ及以上：200Mbit/s 1,000 企业版 单AZ：200Mbit/s 双AZ及以上：400Mbit/s 1,000 铂金版 单AZ：400Mbit/s 双AZ及以上：800Mbit/s 1,000

功能 描述 内网连接 可通过点击内网快速进行上下线，上线则内网连接中，下线则断开内网连接。 企业门户 应用配置时可以选择是否上架为企业门户，若上架则该应用显示在企业门户中。 权限申请 若无应用资源权限，可在客户端进行权限申请。 待办工单 基于权限申请等情况，需要进行权限申请工单审核、办结处理，可通过待办工单查看待处理任务，进行相关处理。 我的应用 显示有权限的应用列表。 我的设备 显示账号登录的设备情况。 问题反馈 可反馈相关问题给管理员。 帮助文档 可自定义帮助文档地址。 诊断修复 可诊断是否存在网络、应用文档。 数据库管理工具 提供数据库管理工具，用于快捷办公。 病毒查杀 用于终端病毒查杀能力。 合规检测 对于用户设备环境进行检测，判断是否符合企业合规安全基线。 RBI安全访问 开启RBI远程浏览器隔离（云端浏览器）功能则会显示对应入口，通过该入口可查看开启该能力的系统。

剧本是处理一类安全问题的方法描述，是态势感知（专业版）在安全编排系统中的形式化表述。 态势感知（专业版）默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本，且剧本的初始版本（V1）也已激活，只需要启用就可以进行使用。 同时，如果需要对某个剧本进行编辑，可以复制初始版本进行处理。 场景一：系统默认激活剧本的初始版本（V1），仅开启剧本启用即可，参考启用剧本。 场景二：如果需要使用某个未启用剧本，支持对剧本版本进行修改后再启用，启用自定义剧本版本操作步骤如下： 1. 复制剧本版本 2. 编辑并提交剧本版本 3. 审核剧本版本 4. 启用剧本 前提条件 已启用剧本绑定的流程，具体操作请参见启用流程。 在启用剧本前需要确保已激活剧本版本，具体操作请参见激活/失活剧本版本。

本小节介绍服务器安全卫士的查找主机方法。 查找方法 总览中可快速查看当前存在风险主机的风险详情，点击“查看主机”，选择需要查看的主机，新开页面跳转至该主机的单台主机详情，并默认展示安全风险事件。

本章节主要介绍数据治理中心的数据目录的数据权限简介。 为确保数据使用安全可控，使用数据表需要先申请权限。数据权限模块为用户提供便捷的权限管控能力，提供可视化申请审批流程，并可以进行权限的审计和管理。提高数据安全的同时，还可以方便用户进行数据权限管控。

本章节介绍如何下载识别任务报告和识别结果报表。DSC为您提供了PDF格式的识别任务报告和Excel格式的识别结果报表。 前提条件 已完成识别任务的创建。 已完成扫描。 下载识别任务报告 1.单击左上角的，选择区域或项目。 2.在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3.在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。 4.单击任务名称，选择“报表下载”页签，进入报告下载页面。 5.在目标报告所在行的“操作”列，单击“下载”，PDF格式的检测报告会保存在您的本地。 如果不在需要某报告，可在目标报告所在行的“操作”列，单击“删除”，在弹出的提示框中，单击“确定”，删除该报告。 下载识别结果报表 1.单击左上角的，选择区域或项目。 2.在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3.在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。 4.在识别任务所在行的“操作”列，单击“更多 > 下载识别结果”，Excel格式的识别结果报表会保存在您的本地。

为保障您的天翼云弹性云主机系统时间精准统一,避免因时钟偏差引发业务异常、日志时序错乱、合规审计不达标等问题,推荐您配置天翼云内网 NTP 时间同步服务。本文为您介绍内网 NTP 时间同步的核心作用,以及红帽系、Debian 系 Linux 操作系统的标准化配置方法。 一、内网 NTP 时间同步核心作用 保障业务稳定运行：确保分布式集群、数据库主从同步、交易订单等业务的时序一致性，避免因时钟偏差引发数据错乱、服务异常。 提升运维排障效率：统一全量云主机系统时间，保障日志时序准确，便于故障溯源与问题定位。 满足合规审计要求：符合网络安全等级保护等监管规范对系统时间统一、日志可追溯的硬性要求。 低延迟高可靠：使用天翼云内网 NTP 专用地址，无需占用公网带宽，同步链路稳定、精度更高。 二、前置说明 适用范围：天翼云弹性云主机，涵盖红帽系（RHEL 7/8/9、CentOS 7/Stream、Rocky Linux、AlmaLinux 等）、Debian 系（Debian 10/11/12、Ubuntu 18.04+）Linux 操作系统。 天翼云内网 NTP 服务器地址：169.254.169.254。 三、配置步骤 红帽系操作系统配置（chronyd） 红帽系操作系统官方推荐使用 chronyd 服务实现时间同步，RHEL 8/9 系列默认预装并启用，配置步骤如下： 1. 备份原始配置文件（便于异常回滚） plaintext cp /etc/chrony.conf /etc/chrony.conf.bak 2. 写入天翼云内网 NTP 配置 清理原有NTP源配置 plaintext sed i E '/^(poolserver)/d' /etc/chrony.conf 新增内网NTP同步配置 plaintext cat >> /etc/chrony.conf << EOF server 169.254.169.254 iburst prefer EOF 3. 重启服务并配置开机自启 plaintext systemctl restart chronyd systemctl enable now chronyd

id19dd36f721256) 挂载能力 海量文件服务OceanFS支持跨AZ挂载吗？ 支持。在归属相同VPC的前提下，文件系统支持同一地域下跨可用区挂载，从而实现多AZ交叉互访。 例如：在可用区1创建的文件系统，可以挂载在同一地域下，归属相同VPC内的可用区2的云主机上，实现跨可用区文件共享与访问。 本地的数据中心/个人客户端可以挂载访问海量文件服务OceanFS吗？ 本服务默认云上内网访问，若是本地数据中心或者个人客户端无法直接挂载，需要通过云专线打通网络后挂载。具体操作步骤参见通过专线实现本地数据中心访问云上文件系统。 海量文件服务OceanFS支持裸金属挂载访问吗？ 本服务支持标准裸金属和弹性裸金属挂载访问，具体操作步骤参见使用物理机（弹性/标准裸金属）挂载文件系统。 海量文件服务OceanFS支持挂载子目录吗？ 本服务原生支持子目录挂载，具体操作步骤参见挂载NFS文件系统子目录到Linux云主机。 CIFS文件系统是否能挂载到Linux操作系统？ 不推荐CIFS协议的文件系统挂载至Linux操作系统，因为Linux系统对CIFS协议的兼容程度较低，并且Linux上的CIFS客户端存在一些安全漏洞隐患，且性能不佳，可能影响正常使用。如果仍然期望采用CIFS协议的文件系统挂载至Linux的方式，请提交工单申请技术支撑，同时请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。

本章节主要介绍翼MapReduce的配置审计日志转储操作。 操作场景 Manager的审计日志默认保存在数据库中，如果长期保留可能引起数据目录的磁盘空间不足问题，管理员如果需要将审计日志保存到其他归档服务器，可以在FusionInsight Manager设置转储参数及时自动转储，便于管理审计日志信息。 若用户未配置审计日志转储，当审计日志达到十万条，系统自动将这十万条审计日志保存到文件中。保存路径为主管理节点“${BIGDATADATAHOME}/dbdataom/dumpData/iam/operatelog”，保存的文件名格式为“OperateLogstoreYYMMDDHHMMSS.csv”，保存的审计日志历史文件数最大为50。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“审计 > 配置”。 3. 单击“审计日志转储”右侧的开关。 “审计日志转储”默认为不启用，开关显示为表示启用。 4. 根据下表填写转储参数。 审计日志转储参数 参数名 参数解释 参数值 SFTP IP 模式 目标IP的IP地址模式，可选择“IPv4”或者“IPv6”。 IPv4 SFTP IP 指定审计日志转储后存放的SFTP服务器，建议使用基于SSH v2的SFTP服务，否则存在安全风险。 192.168.10.51（举例） SFTP端口 指定审计日志转储后存放的SFTP服务器连接端口。 22（举例） 保存路径 指定SFTP服务器上保存审计日志的路径。 /opt/omm/oms/auditLog（举例） SFTP用户名 指定登录SFTP服务器的用户名。 root（举例） SFTP密码 指定登录SFTP服务器的密码。 SFTP服务器的密码 SFTP公共秘钥 可选参数，指定SFTP服务器的公共密钥，建议配置SFTP的公共密钥，否则可能存在安全风险。 转储模式 指定转储模式 “按数量”：日志到达指定条数（默认10万条）时开始转储 “按时间”：指定某一日期开始转储，转储频率为一年一次。 按数量 按时间 转储日期 当选择“按时间”转储模式时可用。选择一个转储日期后，系统将在此日期开始转储。转储的日志范围为当前年份1月1日0时之前的所有审计日志。 1106（举例） 说明 SFTP公共密钥为空时，系统将进行安全风险提示，确定安全风险后再保存配置。 5. 单击“确定”，设置完成。 说明 审计日志转储文件关键字段参考： “USERTYPE”表示用户类型，“0”表示“人机”用户，“1”表示“机机”用户。 “LOGLEVEL”表示安全级别，“0”表示高危，“1”表示危险，“2”表示一般，“3”表示提示。 “OPERATERESULT”表示操作结果，“0”表示成功，“1”表示失败。

割接后注意事项 存量子用户登陆凭证重置 在割接完成后，子用户的登陆入口由原先的CDN+IAM切换至天翼云CTIAM。您无需特意记住登陆入口，在访问云点播产品控制台时，后台会根据您当前的登陆凭证自动切换主、子账号的控制台。但子用户在首次登陆时，需要由主账号在CTIAM重置子用户的登陆凭证。具体操作步骤如下： 1. 使用主账号身份访问天翼云统一身份认证服务。 2. 存量子用户会被迁移至CTIAM。您在登陆CTIAM后，可以在【用户】入口看到很多新增的子用户数据。由于CDN+IAM支持多个平行的工作区，而CTIAM无对应的映射关系，因此在CDN+IAM所有平行工作区的所有子用户都将被迁移至CTIAM。 3. 您需要在【用户】入口找到需要重置身份的子用户，点击右侧操作栏的【编辑】按钮（注意不是【重置密码】）。 4. 在弹出的【修改用户】窗体，您可以对【用户名】、【邮箱】、【手机号】进行修改完善。从CDN+IAM迁移过来的用户，邮箱会被初始化填入一个类似xxxxx@1000xxxx.vipctcdn.cn的虚拟邮箱。该虚拟邮箱是子用户在原CDN+IAM的登陆凭证。您可以修改为新的邮箱，但请注意保持全局唯一性（即该邮箱在天翼云账号体系中未被使用过，无论是作为主、子账号身份凭证。）同时，在【手机号】栏会有一个初始化的虚拟手机号码，该号码并非该子用户的真实号码，因此无法接收到来自于天翼云的各类通知短信。您可以将其修改为真实的手机号码，但请注意保持组织内唯一性（即该邮箱在当前组织内体系中未被使用过，无论是作为主、子账号身份凭证。）在完成身份凭证修改后，点击【确定】即可。 5. 【本步骤可选】在【用户】入口找到需要刚才重置身份的子用户，点击右侧操作栏的【重置密码】按钮。在弹出的窗口中，使用主账号的手机号码，对子用户的初始密码进行重置。由于IAM迁移过程不能迁移密码，因此在迁移完成后子用户的初始密码未知，子用户无法使用原先在CDN+IAM的密码登陆。 6. 【本步骤可选】如果需要重置密码的子用户数量较多，您可以在第四步完成手机号码重置之后，在子账号首次登陆时，通过忘记密码的流程对子用户密码进行重置。（1）在登陆窗口选择【账号登陆】，点击【忘记密码】（2）输入第四步重置的账号信息，建议输入手机号码。如果您使用邮箱作为登陆凭证，需要确保割接时使用的虚拟邮箱已被替换成真实的邮箱地址，否则可能接收不到验证信息，导致重置流程失效。（3）如果您的手机号在天翼云注册过多个主、子账号身份，您需要在接下来的界面选择根据脱敏信息匹配当前组织的子账号身份。（4）在接下来的步骤中输入符合安全规则的密码，即可完成密码重置。

策略用于选择启用引擎和配置情况，并和代理设置相关联。 系统提供了两个默认的策略： 策略名称 策略描述 默认策略 按照TC260标准制定的策略。 常规策略 按照常规分类制定的策略。 新建策略 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 内容安全”，单击“新建”。 3. 在弹出的新建策略窗口中，配置策略名称和策略描述。 4. 配置完成后，单击“确定”，返回内容安全策略页面。 5. 选择新建的策略，在页面右侧查看策略详情。 新建策略后，默认仅开启语义检索引擎和模型推理引擎的输入检测。

说明：本章节会介绍如何通过公网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 ①　对目标实例绑定弹性公网IP。 ②　获取本地设备的IP地址。 ③　设置安全组规则。 ④　使用ping命令连通1.a中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 ⑤　使用客户端连接实例。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 3 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的弹性公网IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4 在打开登录信息窗口，选中创建的连接，单击“打开”，如下图所示。 若连接信息无误，即会成功连接实例。 图3 打开登录信息 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表 参数说明 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

什么是CSM安全策略 服务网格基于istio原生安全能力进行了场景化封装和扩展，提供了更容易理解的安全策略配置能力，降低理解和操作成本，提供了一站式的安全策略配置体验。当前支持的安全策略包括 策略 描述 OIDC单点登录策略 OIDC（OpenID Connect）是基于OAuth 2.0扩展的身份认证于授权协议，通常用于实现单点登录（SSO）。服务网格支持对接外部IDP（Identity Provider）实现单点登录能力。 JWT认证策略 JWT（JSON Web Token）是一种开放标准（RFC 7519），它通常用于身份验证和授权。服务网格支持配置JWT认证策略并应用到数据面上。 黑白名单策略 基于istio AuthorizationPolicy封装了IP、域名、端口维度的黑白名单访问控制能力。 自定义授权服务策略 该策略支持将请求转发到外部服务进行鉴权，实现灵活的访问策略控制。 如何使用CSM安全策略 使用CSM安全策略需要两个步骤， 1. 定义策略，具体参考策略的配置说明 2. 将安全策略应用到数据面，当前支持命名空间、服务、工作负载、网关粒度的策略绑定能力

本节介绍如何导出组件漏洞报表。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 组件漏洞”，进入组件漏洞页面。 3. 单击组件漏洞列表右上角的“导出”按钮，可生成当前集群组件漏洞报表。 4. 到“任务中心 > 下载任务管理”中查看任务状态，当任务状态为“生成完成”时，单击任务操作列的“下载”，可以下载已生成的报表至本地。

事件类型关联布局 说明 系统内置事件类型已默认关联已有布局，暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“事件类型”页签，进入事件类型管理页面。 6. 在事件类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有事件类型 说明 暂不支持编辑系统内置事件类型。 自定义事件类型新增成功后，不支持修改“类型名称”、“类型标识”、“子类型标识”参数信息。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“事件类型”页签，进入事件类型管理页面。 6. 在事件类型管理页面的“类型名称”中，单击需要编辑的自定义事件类型名称，右侧将展示自定义事件类型的详细信息。 7. 在右侧事件类型页面，单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 8. 在编辑事件类型页面中，编辑参数信息。 参数名称 参数说明 类型名称 事件类型的名称，不支持修改。 类型标识 事件类型标识，不支持修改。 子类型 填写事件类型的子类型。 子类型标识 事件子类型标识，不支持修改。 启动状态 设置事件类型的启动状态。 ：表示启用。 ：表示禁用。 SLA 设置事件的SLA处理时间。 描述 自定义事件类型描述信息。 9. 在页面右下角单击“确认”。

本文介绍了不同资源池支持的功能。 因IaaS资源等原因，RDSPostgreSQL在不同资源池提供功能有较大差异，具体差异详见下表： 功能模块 产品功能 Ⅰ类资源池 Ⅱ类资源池 资源池 上海7、昆明2、重庆2、南京3、郴州2、北京5 华东1、青岛20、长沙42、南宁23、华北2、西南1、西南2贵州、上海36、南昌5、华南2、郑州5、 武汉41、西安7、广州4、芜湖4、呼和浩特3、杭州7、苏州、太原4、乌鲁木齐7、庆阳2 可订购实例 实例系列 单机版、一主一备版 单机版、一主一备版、一主两备版、只读实例 可订购实例 数据库版本 12 12、13、14、15、16、17 可订购实例 CPU架构 X86（Intel） X86（Intel、海光）、ARM（鲲鹏），目前国产化实例在部分资源池加载 可订购实例 备份存储类型 支持普通IO 支持普通IO、高IO、超高IO、对象存储，目前仅华东1、南昌5、长沙42、西南1、华北2支持对象存储 可订购实例 规格配置 CPU：最高32核 内存大小：最高128GB 数据盘：最高32000 GB CPU：最高192核 内存大小：最高1536 GB 数据盘：最高64 TB 计费模式 自助开通 支持 支持 计费模式 计费模式类型 包年/包月 按需、包年/包月 计费模式 按需、包年/包月互转 不支持 支持 实例操作 开通实例 支持 支持 实例操作 注销实例 支持 支持 实例操作 暂停 不支持 支持 实例操作 续期 支持 支持 实例操作 重启 支持 支持 实例操作 主备切换 支持 支持 实例操作 小版本升级 不支持 支持 实例操作 修改端口 不支持 支持 实例操作 系列升级 仅支持升级 仅支持升级 实例操作 配置变更 CPU和内存支持升规格 云盘仅支持扩容 CPU和内存支持升规格、降规格 云盘仅支持扩容 实例操作 存储自动扩容 不支持 支持 实例操作 性能自动扩缩容 支持 支持（目前仅华北2支持） 实例操作 实例回收站 不支持 支持 实例操作 可用区迁移 不支持 支持（目前仅华北2支持） 实例操作 标签设置 不支持 支持 实例设置 修改管理员密码 支持 支持 实例设置 内核参数 支持200多个内核参数修改 支持200多个内核参数修改 实例设置 空闲连接查杀 不支持 支持 实例设置 清理在线表 不支持 支持 实例设置 账号管理 不支持 支持 实例设置 插件管理 不支持 支持 实例设置 数据库管理 不支持 支持 数据库代理 数据库代理 不支持 支持，目前仅开放南昌5、华南2、华东1资源池 只读实例 只读实例 不支持 支持，单实例最多可订购5个只读实例 访问 安全组 支持 支持 访问 云主机访问 仅支持同一VPC访问 仅支持同一VPC访问 访问 公网访问（绑定与解绑弹性IP） 不支持 支持 备份 全量/增量备份 支持 支持 备份 自动/手动备份 支持 支持 备份 跨域备份 不支持 支持，目前仅开放华东1、西南1、华北2资源池 备份 数据同步方式修改 不支持 支持 备份 下载备份 不支持 支持，目前仅放开华北2资源池 恢复 备份集恢复 支持 支持 恢复 指定时间点恢复 支持 支持 恢复 跨域恢复 不支持 支持，目前仅开放华东1、西南1、华北2资源池 指标监控 实例监控 支持（名称为仪表盘） 支持 指标监控 资源监控 支持 支持 指标监控 引擎监控 支持部分数据库指标监控 支持 日志监控 慢日志 支持 支持 日志监控 错误日志 支持 支持 操作监控 操作监控 不支持 支持 告警 监控告警 不支持 支持 数据安全 白名单管理 不支持 支持 数据安全 SQL审计 不支持 支持 数据安全 SSL链路加密 不支持 支持 数据安全 TDE加密 不支持 支持，目前仅开放华东1资源池 数据安全 SQL拦截 不支持 支持，目前仅开放华北2、芜湖4、南昌5、青岛20、呼和浩特3资源池 参数模板 参数模板 支持 支持

前提条件 请确定需要扩容的集群处于“可用”或者“非均衡”任意一种状态。 请确定计划扩容的节点数小于等于用户节点数的剩余配额，否则系统会无法进行扩容操作。 扩容集群 说明 离线扩容期间集群将变为只读状态，请谨慎操作。 为保证用户的数据安全建议在开始扩容操作之前创建手动快照。 1. 登录DWS 管理控制台。 2. 单击“集群 > 专属集群”。 默认显示用户所有的集群列表。 3. 在集群列表中，在指定集群所在行的“操作”列，选择“更多 > 扩容”。系统将显示扩容页面。如果原子网IP不够，可以跨子网扩容。 说明 在扩容开始前如果集群满足巡检条件，需单击“立即巡检”按钮先完成一次巡检，并保证巡检检查通过，通过后可进行下一步变更操作。 4. 在“增加节点数”选择一个扩容后的节点数。 扩容操作增加的是DN节点。 扩容后的节点数量，在原节点数量的基础上，须至少增加3个节点，最多可增加的节点个数为节点剩余配额的最大值。并且，此处设置的扩容后的节点数量不能超过32个节点。 如果可使用的节点配额不足，用户可以单击“申请扩大配额”，以提工单的形式申请更多节点配额。 扩容增加的节点规格，默认与集群当前各节点的规格相同。 扩容后的集群与原集群的虚拟私有云、子网和安全组也相同。 5. 设置高级配置。 选择“默认配置”：“在线扩容”默认关闭，“自动重分布”默认开启，“重分布模式”默认为离线模式。 选择“自定义”，您可以设置以下高级配置参数进行在线扩容操作： −“自动重分布”：支持打开自动重分布。自动重分布开启，扩容阶段结束后将立即执行数据重分布；如果选择关闭此功能则只进行扩容添加节点，需在“更多>节点变更>重分布”中选择执行数据重分布。 −“重分布并发配置”：自动重分布开启，支持设置并发数量。可配置并发数在1~32之间，默认值为4。 −“重分布模式”：可选择“在线模式”和“离线模式”，确认无误后在弹出的警告页面单击“确认”即可。 6. 单击“下一步：确认”。 7. 单击“提交”。 提交扩容申请后，集群的“任务信息”显示为“节点扩容”，扩容需要时间请耐心等待。扩容过程中，集群会自动重启，因此会有一段时间“集群状态”显示为“不可用”，重启成功后“集群状态”会变成“可用”。然后在扩容结束阶段，集群将重新分布数据，重分布过程中“集群状态”为“只读”。 只有“集群状态”显示为“可用”且“任务信息”显示的“节点扩容”状态结束，才表示扩容成功，用户可以开始使用集群。 如果集群的“任务信息”显示为“扩容失败”，表示集群扩容失败。

数据库类型 数据库OS 数据库版本 加密方式 加密套件 DBAudit Oracle Linux 11.2.0.4 12.1.0.2 高级安全（Oracle Advanced Security） AES256 支持 Oracle Linux 11.2.0.4 12.1.0.2 SSL SSL RSA WITH AES 256 CBC SHA 支持 Oracle Linux 11.2.0.4 12.1.0.2 SSL SSL RSA WITH ЗDES EDE CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 高级安全（Oracle Advanced Security） AES256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL SSL RSA WITH AES 256 CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 256 CBC SHA 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 256 CBC SHA256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 128 CBC SHA256 支持 Oracle Linux 18.3.0.0 19.3.0.0 21.3.0.0 SSL TLS RSA WITH AES 128 CBC SHA 支持

本章节为您介绍证书密钥恢复的相关内容。 按照CA标准规范要求，CA需要提供加密证书密钥对恢复功能。安全的恢复加密密钥对到安全存储介质，例如USBKey。 密钥恢复功能有密钥恢复申请和密钥恢复审核组成。其中，密钥恢复申请需要注册操作员权限，密钥恢复审核需要审核操作员权限。 注意 密钥恢复暂不支持ECDSA算法。 操作步骤 1. 使用操作员账户登录数字证书认证系统。 2. 在左侧导航栏选择“密钥恢复 ”，根据您自身的需求选择“有效证书密钥恢复”、“过期证书密钥恢复”或“注销证书密钥恢复”。 3. 进入对应的密钥恢复页面，选择需要恢复密钥的证书，单击“操作”列的“恢复”按钮。 4. 根据弹窗提示插入UKEY设备，选择UKEY类型并输入口令，恢复成功后加密密钥将保存到UKEY中。

基本操作 查看DDoS封堵通知渠道 1.登录天翼云官网，进入管理中心。 2.进入消息中心 3.进入消息订阅一栏，查看“安全消息”的通知配置，DDoS封堵通知同样属安全消息，通过该通知渠道完成通知。 进入DDoS基础防护控制台（仅限部分开放控制台的资源池） 1.登录天翼云官网，在产品一类选择DDoS基础防护产品。 2.在产品页面点击进入控制台，可在部分开放控制台的资源池进入DDoS基础防护控制台，选择进入需要的功能页面，各模块详细操作可参考用户指南其他相关篇章。

客户端加密SDK是一个在应用侧集成的密码算法库，通过与密钥管理服务结合使用，提供数据加解密、文件加解密等功能，帮助在应用本地完成大型文件数据或高并发数据的加解密。 版本说明 基础版：免费使用。 企业版：需购买license使用，具备合规认证。 功能特性 采用信封加密技术，在客户端本地完成数据加解密过程。 集成KMS实现数据密钥的安全保护，满足安全与合规要求。 极简接口设计，支持加解密、签名验签、完整性校验等。 产品优势 封装多种密码运算能力，遵循密码设计的最佳实践，助力客户快速低代码集成。 丰富的业务兼容性，支持多种加密算法、工作模式、填充方式，满足各类数据的加密需求。 灵活的设计模式，支持一话一密、多话一密等定制化使用方式。

本文介绍海量文件服务挂载访问类相关的问题。 挂载能力 海量文件服务OceanFS支持跨AZ挂载吗？ 支持。在归属相同VPC的前提下，文件系统支持同一地域下跨可用区挂载，从而实现多AZ交叉互访。 例如：在可用区1创建的文件系统，可以挂载在同一地域下，归属相同VPC内的可用区2的云主机上，实现跨可用区文件共享与访问。 本地的数据中心/个人客户端可以挂载访问海量文件服务OceanFS吗？ 本服务默认云上内网访问，若是本地数据中心或者个人客户端也无法直接挂载，需要通过云专线打通网络后挂载。具体操作步骤参见通过专线实现本地数据中心访问云上文件系统。 海量文件服务OceanFS支持裸金属挂载访问吗？ 本服务可支持标准裸金属和弹性裸金属挂载访问，具体操作步骤参见使用物理机（弹性/标准裸金属）挂载文件系统。 海量文件服务OceanFS支持挂载子目录吗？ 本服务原生支持子目录挂载，具体操作步骤参见挂载NFS文件系统子目录到Linux云主机。 CIFS文件系统是否能挂载到Linux操作系统？ 不推荐CIFS协议的文件系统挂载至Linux，因为Linux系统对CIFS协议的兼容程度较低，并且Linux上的CIFS客户端存在一些安全漏洞隐患。因此本产品仅提供Windows 挂载CIFS的方式。如果仍然期望采用CIFS协议的文件系统挂载至Linux的方式，请提交工单申请技术支撑，同时请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。

为保障您的天翼云弹性云主机系统时间精准统一,避免因时钟偏差引发业务异常、日志时序错乱、合规审计不达标等问题,推荐您配置天翼云内网 NTP 时间同步服务。本文为您介绍内网 NTP 时间同步的核心作用,以及红帽系、Debian 系 Linux 操作系统的标准化配置方法。 一、内网 NTP 时间同步核心作用 保障业务稳定运行：确保分布式集群、数据库主从同步、交易订单等业务的时序一致性，避免因时钟偏差引发数据错乱、服务异常。 提升运维排障效率：统一全量云主机系统时间，保障日志时序准确，便于故障溯源与问题定位。 满足合规审计要求：符合网络安全等级保护等监管规范对系统时间统一、日志可追溯的硬性要求。 低延迟高可靠：使用天翼云内网 NTP 专用地址，无需占用公网带宽，同步链路稳定、精度更高。 二、前置说明 适用范围：天翼云弹性云主机，涵盖红帽系（RHEL 7/8/9、CentOS 7/Stream、Rocky Linux、AlmaLinux 等）、Debian 系（Debian 10/11/12、Ubuntu 18.04+）Linux 操作系统。 天翼云内网 NTP 服务器地址：169.254.169.254。 三、配置步骤 红帽系操作系统配置（chronyd） 红帽系操作系统官方推荐使用 chronyd 服务实现时间同步，RHEL 8/9 系列默认预装并启用，配置步骤如下： 1. 备份原始配置文件（便于异常回滚） plaintext cp /etc/chrony.conf /etc/chrony.conf.bak 2. 写入天翼云内网 NTP 配置 清理原有NTP源配置 plaintext sed i E '/^(poolserver)/d' /etc/chrony.conf 新增内网NTP同步配置 plaintext cat >> /etc/chrony.conf << EOF server 169.254.169.254 iburst prefer EOF 3. 重启服务并配置开机自启 plaintext systemctl restart chronyd systemctl enable now chronyd

攻击报表 Web应用防火墙（Web Application Firewall，简称WAF）攻击报表向您展示WAF不同模块防护规则的防护记录和统计数据。您可以使用攻击报表，查看已启用的基础防护规则、IP黑名单规则、自定义规则等的防护数据，进行业务安全分析。 查看安全报表 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WEB攻击总览”。 3. 在安全报表页面，设置要查询的防护对象和时间范围，查询对应的安全报表数据。 查询设置说明 网站地址：查询已接入WAF防护的所有对象的数据。您可以选择只查询某个对象的数据。 时间范围：您可以查询实时、一周、15天、一个月或自定义时间范围内的数据。 数据类型 说明 WEB攻击拦截次数 统计WEB攻击拦截次数 CC攻击拦截次数 统计CC攻击拦截次数 拦截比例 统计拦截相对访问总数的比例 黑名单拦截 统计黑名单拦截次数 高危事件 统计高危事件数量 攻击源IP数 统计攻击源IP数量 告警拦截率 统计告警拦截率 WEB威胁告警数 统计WEB威胁告警数量 WEB攻击趋势 通过柱状图展示Web攻击数量趋势情况 告警类型分布统计 通过饼状图展示告警级别分布情况 攻击源国家/地区Top5 通过列表及饼状图，展示发起攻击请求次数最多的前5个地域。 攻击类型Top5 通过列表及饼状图，展示最多的5种攻击类型。 攻击热力图 基于地图展示攻击省份热力图，通过列表展示地区、访问量及访问占比。 攻击URL排行 通过列表展示访问URL地址、访问次数和占比 攻击IP排行 通过列表展示访问IP、访问次数和占比 告警列表 通过列表展示域名、访问URL、告警级别、告警类型、客户端IP、地区、请求时间和处理方式。

本文介绍如何重启Pod。 通过重启Pod，可以将存在异常的Pod进行杀死，通过K8s机制再重新启动一个新的Pod。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“重启Pod”。 4. 在弹出的提示框中单击“确认”。

操作步骤 本章节将介绍在公网网络场景下，通过数据复制服务配置MySQL分库分表到DRDS实例迁移的任务流程。 步骤 1 在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 步骤 2 在“迁移实例”页面，填选任务名称、描述、迁移实例信息，单击“下一步”。 表 任务和描述 参数 描述 :: 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 表 迁移实例信息 参数 描述 :: 数据流动方向 选择入云。 入云指目标端数据库为本云数据库。 源数据库引擎 选择MySQL分库分表。 目标数据库引擎 选择DRDS。 网络类型 此处以公网网络为示例。默认为公网网络类型，可按照需求选择VPC网络、公网网络和VPN、专心网络。 VPC网络：适合云上数据库之间的迁移。 公网网络：适合通过公网网络把其他云下或其他平台的数据库迁移到目标数据库，该类型要求目标数据库绑定弹性公网IP（EIP）。 VPN网络：适合通过VPN网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 专线网络：适合通过专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 目标数据库实例 用户所创建的目标数据库实例。 迁移实例所在子网 选择迁移实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保迁移实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程、触发器等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程完成目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 源端数据库实例个数 源端数据库实例个数默认最小值为2，最大值为16，你需要根据源端实际的分片数据库个数设置该值大小。 标签 可选配置，对迁移任务的标识。使用标签可方便管理您的迁移任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见标签管理。 步骤 3 在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 表 源库信息 参数 描述 :: 中间件IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 中间件用户名 源数据库的用户名。 中间件密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 分片数据库 根据源库实际的分片数据库，填写对应的数据库信息。 说明 源数据库的IP地址或域名、数据库用户名和密码，会被系统加密暂存，直至删除该迁移任务后自动清除。 表 目标库信息 参数 描述 :: 数据库实例名称 默认为创建迁移任务时选择的数据库实例，不可进行修改。 数据库用户名 目标数据库对应的数据库用户名。 数据库密码 数据库用户名和密码将被系统加密暂存，直至该任务删除后清除。 说明 目标数据库的用户名和密码，会被系统加密暂存，直至删除该迁移任务后自动清除。 步骤 4 在“迁移设置”页面，设置迁移对象，单击“下一步”。 表 迁移对象 参数 描述 :: 迁移对象 对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 说明 目标库未创建的结构默认不迁移。 步骤 5 在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有失败的检查项，需要修复失败项后，单击“重新校验”按钮重新进行迁移任务预校验。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均成功时，若存在告警，需要阅读并确认告警详情后才可以继续执行下一步操作。 步骤 6 在“任务确认”页面，设置迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 表 任务启动设置 参数 描述 :: 启动时间 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 说明 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 步骤 7 迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见任务状态说明。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

本章节为您介绍日志审计(原生版)资产管理相关的操作。 日志审计（原生版）提供集中化的统一管理平台，将所有的需要审计的设备统一纳管入平台中，进行信息资产的统一日志管理。 在使用日志审计（原生版）之前，您先需要将资产纳管，以便服务可以进行日志管理。 新增资产 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要新增资产的资产组，进入资产组页面后，单击“新增资产”。 说明 下图以选择默认的资产组为例，实际请根据业务情况自行选择资产组。 4. 进入“新增”页面，填写待新增的资产内容。填写完成后，单击“确认”。 分类 参数 参数说明 取值样例 基本属性 资产名称 填写您的资产名称，最大长度不超过64个字符。 资产示例 基本属性 管理IP 填写待纳管设备的主识别IP，请确保IP真实有效。 0.0.0.0 基本属性 生产厂商 （可选）输入您设备的生产厂商关键字，在下拉框中选择。 基本属性 资产大类 在下拉框中选择待纳管资产的设备类别。 主机 基本属性 资产小类 在下拉框中选择待纳管资产的具体设备类型。 服务器/其他 基本属性 产品名称 （可选）输入您待纳管资产的产品名称。 基本属性 产品版本号 （可选）输入您待纳管资产的版本号。 基本属性 资产状态 （可选）选择您纳管资产目前的状态，可选“在线”或“离线”。 在线 基本属性 所属宿主机 （可选）选择您纳管资产所属的宿主机IP，若没有宿主机可不选择。 基本属性 地理位置 （可选）选择您纳管资产所在地理位置，仅支持选择中国境内地区。 北京 基本属性 设备联系人 （可选）填写待纳管资产的联系人信息。 基本属性 序列号 （可选）填写待纳管资产的序列号。 基本属性 syslogudp采集 （可选）开启后采集管理syslogudp快捷新增该资产，字符编码默认UTF8。 基本属性 质保期 （可选）选择待纳管资产的质保期。 基本属性 描述 （可选）填写待纳管资产的描述。 资产标签 资产标签 （可选）填写待纳管资产的标签，方便您可通过标签进行资产查询。 安全属性 机密性 选择待纳管资产的机密等级，可选110级，默认选择1级。 1级 安全属性 完整性 选择待纳管资产的完整等级，可选110级，默认选择1级。 1级 安全属性 可用性 选择待纳管资产的可用等级，可选110级，默认选择1级。 1级 安全属性 资产价值 选择待纳管资产的资产价值，可选“低”、“中”、“高”，默认为“低”。 低 安全属性 等保级别 选择待纳管资产的等保等级，可选110级，默认选择1级。 1级 接口 IP 与“管理IP”一致，请确保IP真实有效。 0.0.0.0 接口 IP类型 选择纳管资产的IP类型，请如实选择。 公网 接口 MAC （选填）输入待纳管资产的MAC接口地址。 注意 新增资产时，日志采集方式、资产类型和IP需要根据实际情况选择。

本文主要介绍MySQL与DRDS搭配实现数据服务能力提升。 通过搭配使用MySQL和DRDS（分布式关系型数据库中间件），可以实现数据的自动化水平拆分和在线平滑扩缩容，进而实现数据库服务能力的线性扩展。此外，结合读写分离的支持，还能够提升数据库的读取性能，满足高并发读取的需求。 实现原理 通过DRDS数据库中间件隐藏底层数据库的复杂性，提供统一的接口给应用开发人员操作数据库。对于应用开发人员来说，他们并不需要了解中间件的存在，只需要理解数据库的概念。他们可以通过逻辑库来创建和管理逻辑表，并使用标准的SQL语句对表进行增删改查操作，就像在传统的单个数据库中一样。中间件负责将这些操作转换为底层物理数据库的操作，同时处理分片规则、数据的分布和复制，以及提供高可用性和性能优化等功能。 前提条件 拥有天翼云实名认证账号。 DRDS实例与MySQL实例处于相同的VPC，以保证网络连通。 建议DRDS实例与应用程序、MySQL实例选择相同的安全组，三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 创建MySQL实例 具体操作，请参见创建MySQL实例。 创建DRDS实例 具体操作，请参见购买分布式关系型数据库实例。

本文介绍开启或关闭源/目的检查操作。 应用场景 使用虚拟机部署LVS实现高可用。 使用说明 只支持VPC网卡开启或关闭源/目的检查。 虚拟机开通后，源/目的检查状态默认开启。 启用状态，系统会检查发送的报文中源IP地址是否正确，不正确则不允许发送该报文。关闭状态，系统不会检查发送的报文中源IP地址，存在伪装报文攻击风险。 关闭源/目的检查状态后，不影响关联安全组生效与否，安全组是否生效可在网卡详情页自助开启或关闭。 操作步骤 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击列表上方的地域可以切换不同地域，选择需要操作的实例，单击实例名称。 3. 进入虚拟机详情页，单击【网卡】页签，找到需要配置的VPC网卡所在位置，点击其他栏下的“源/目的检查”右侧按钮，出现弹窗提示后点击【是】，开启或关闭源/目的检查状态。