本小节介绍处理容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 说明 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面。 告警事件状态说明 告警事件状态 告警事件状态说明 存在告警的服务器 展示存在告警容器的数量。 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 4、 处理告警事件。 告警事件展示在“容器安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计。 批量处理勾选的告警 a.任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如表76所示。 处理单个告警 a.选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如表所示。 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。

在购买DRDS实例之前，您需要先做一系列的准备操作，包括评估实例规格，确定虚拟私有云（VPC）及可用区等。 评估实例规格 在购买DRDS前，您需要根据应用的实际情况，评估所需要的计算和存储能力，同时结合业务类型及规模，选择合适的实例规格，更好地满足应用需求。实例规格主要包括：实例的性能类型、CPU和内存等，更多实例规格信息，请参见规格。 确定VPC VPC为DRDS实例提供了网络隔离和访问控制，在创建VPC时，利用子网、安全组等网络特性，可以更便捷、安全地进行内部网络的配置和管理。 注意 DRDS实例必须与MySQL实例在同一个VPC内，且两者的安全组需要确保DRDS与MySQL间网络互通。 建议 DRDS实例与应用程序处于在同一个VPC内，可以提高安全性和性能。 DRDS实例、MySQL实例与应用程序三者尽量选择同一个安全组，可以保证网络访问不受限制，并且便于统一管理。 确定可用区 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。

本节介绍如何申请开通Web应用防火墙（独享版）独享引擎。 前提条件 已获取管理控制台的登录账号（配置WAF Administrator或WAF FullAccess权限策略）与密码。 已成功申请虚拟私有云VPC。 已创建了资源集。 操作须知 申请成功后，独享引擎实例规格不能修改。 创建实例大约需要10分钟。当实例的运行状态为“运行中”时，说明实例已经创建成功。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 首次申请独享引擎时，在界面左侧，单击“立即申请独享模式”。 步骤5 在“申请Web应用防火墙”界面，配置WAF实例参数如下图。 WAF独享引擎实例参数说明： 参数名称 说明 计费模式 WAF独享引擎实例为按需计费，实例从创建成功开始计费到删除实例时结束计费，按实际使用时长（精确到秒）计费。 区域 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在申请WAF时，根据防护业务的所在区域就近选择申请的WAF区域。 可用区 选择区域中的可用区。 WAF实例名称前缀 设置WAF实例名称前缀，申请多个实例时，实例前缀名称相同。 WAF实例数量 设置申请的WAF实例个数。 WAF实例规格 选择实例的规格。WAF支持500Mbit/s和100Mbit/s两种规格。 CPU架构 选择实例的CPU架构。 CPU规格 选择实例的CPU规格。 预计最终规格 吞吐量的性能参考值。 虚拟私有云 选择源站所在的VPC。 业务网卡 选择VPC中已配置的子网。 安全组 选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。 说明 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。 步骤6 确认参数配置无误后，在页面右下角单击“下一步”。 步骤7 确认订单详情无误，单击“立即申请”。 步骤8 单击“返回独享引擎列表”，在独享引擎实例列表界面，可以查看实例的创建情况。

关闭数据执行保护 数据执行保护是系统为应用留出一部分云主机内存用于暂存数据，同时留出另一部分内存用于暂存应用使用的指令。数据执行保护可以防止云主机遭受病毒和其他安全威胁的侵害。 以下操作以Windows Server 2008 R2 Standard 64bit操作系统弹性云主机为例，介绍关闭云主机数据执行保护的操作方法。 1.选择“计算机 > 属性 > 高级系统设置”打开系统属性对话框。 2.在系统属性对话框中，选择“高级”选项卡。 3.单击“性能”区域的“设置”。 4.在“性能选项”窗口中选择“数据执行保护”选项卡，选择“仅为基本的Windows程序和服务启用DEP (T)”，单击“应用”保存修改。

系统影响 升级服务版本和购买资源扩展包时，原已启用的防护服务不会暂停，对已防护的网站业务无任何影响。 升级云SaaS型实例规格 云SaaS型实例支持从较低版本的主套餐升级至任一更高版本。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 单击“升级扩容”，进入“升配”页面。 6. “规格选择”默认为当前实例版本，可以对当前实例版本进行升级。 7. 选择升级的版本后，在页面下方确认支付费用，单击“立即购买”。 8. 在订单页完成订单确认并支付，付费成功后，购买的版本将生效。 扩增云SaaS型实例资源扩展包 云SaaS型实例支持扩增资源扩展包的数量，扩展包规格请参见产品规格。 说明 若需要购买规则扩展包提升重保防护场景配额，购买后，请联系技术支持进行配置。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 单击“升级扩容”，进入升配页面。 6. 在“升配”页面下方，单击“去增项”，进入增项页面。 7. 设置资源扩展包数量，需高于当前已购买数量。 8. 设置完成后，在页面下方确认支付费用，单击“立即购买”。 9. 在订单页完成订单确认并支付，付费成功后，购买扩展包将生效。

区别项 云硬盘快照 云硬盘备份 存储位置 快照与云硬盘原始数据保存在同一套云存储集群中。 备份与云硬盘原始数据没有存储在同一套云存储集群中，以备份文件的形式存储在对象存储中，即使云硬盘损坏，也可以进行数据恢复。 数据同步 保存云硬盘指定时刻的数据。 可以设置自动快照策略。 如果将创建快照的云硬盘删除，那么对应的快照也会被同时删除或需用户手动删除。 重装操作系统或切换操作系统后，系统盘快照和数据盘快照不会被删除，其中数据盘快照可以照常使用。 系统盘保留单盘快照会导致主机重装/切换系统失败，建议主机重装/切换系统操作前先手动删除快照。 保存云硬盘指定时刻的数据，可以设置自动备份。 如果将创建备份的云硬盘删除，对应的备份不会被同时删除，还会独立存储于对象存储。 业务恢复 通过快照回滚来恢复云硬盘数据，或者以快照作为数据源来创建新的云硬盘，恢复业务。 用户可以恢复备份数据到云硬盘，或者以备份作为数据源来创建新的云硬盘，恢复业务。 使用场景 针对软硬件升级、系统变更等计划内操作场景，在执行升级/变更前可即时为数据创建快照，作为操作前的安全保护点，如升级异常、测试失败或变更出错，可通过快照快速回滚数据至变更前的精确状态，确保操作的安全性和可靠性。 针对误删、病毒感染、软硬件故障等突发风险场景，通过周期性定时备份为数据创建多个历史时间点的副本，出现故障时可将数据恢复到任意备份时间点的状态。

本节主要介绍产品优势 云迁移工具RDA是天翼云为上云用户量身打造的迁移工具，可提供主机和对象存储在线迁移，助力企业快速上云，节省维护和使用成本。 操作简单 支持一键部署、图形化操作界面及常见问题一键修复。 安全可信 安全，传输加密，传输通道使用SSL加密，保证您数据传输安全性；认证和密码加密，存储的相关凭证采用了AESCBC进行双边加解密。 智能高效 对生产系统影响最小化，当CPU、IO、内存和带宽占用达到设定的阈值后暂停迁移/同步，等待资源空闲后自动恢复迁移/同步。 无缝迁移 迁移/同步过程业务不中断，生产系统无需停机/停服。

查询轻量型主机详细信息 接口功能介绍 该接口提供用户轻量型云主机信息查询功能，用户可以根据此接口的返回值了解自己轻量型云主机的详细信息。 URI GET /v4/ecs/lite/details 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID，您可以调用regionID查看最新的天翼云资源池列表 888888c8888888e8a8888888ac888888 instanceID 是 String 云主机ID 88f888ea88ff88eca8bc888888888fe8 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码(800为成功，900为失败) 800 errorCode String 业务细分码，为product.module.code三段式码，详见错误码说明 Openapi.PatternCheck.NotValid message String 失败时的错误描述，一般为英文描述 SUCCESS description String 失败时的错误描述，一般为中文描述 成功 returnObj Object 成功时返回的数据 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 resourceID String 云主机资源ID f88bc88a88a888e8a88bf88888888888 instanceID String 云主机ID 88f888ea88ff88eca8bc888888888fe8 displayName String 云主机显示名称 ecs8888 instanceName String 云主机名称 ecs8888 osType Integer 操作系统类型，取值范围：1: linux，2: windows，3: redhat，4: ubuntu，5: centos，6: oracle 5 instanceStatus String 云主机状态，取值范围：backingup: 备份中，creating: 创建中，expired: 已到期，freezing: 冻结中，rebuild: 重装，restarting: 重启中，running: 运行中，starting: 开机中，stopped: 已关机，stopping: 关机中，error: 错误，snapshotting: 快照创建中 running expiredTime String 到期时间 20230419T09:37:53Z updatedTime String 更新时间 20221019T09:37:53Z createdTime String 创建时间 20221019T09:37:53Z attachedVolume Array of Strings 附加卷 ["8e8f8bc8b8ad8a8e8e8888cd88888e88"] addresses Object 网络地址信息 addresses secGroupList Array of Objects 安全组信息 securityGroup networkCardList Array of Objects 网卡信息 networkCard image Object 镜像信息 image flavor Object 规格信息 flavor vpcID String vpc ID b1a5ff70cdd142958a1707b7e53c5759 vpcName String vpc名称 liteecsnetwork zabbixName String 监控对象名称 8a8fdc88b8a888bb888f8b88888c88f8 bandwidth Integer 带宽 2 bootDiskSize Integer 系统盘大小 40 表 addresses 参数 参数类型 说明 示例 下级对象 addressList Array of Objects 网络地址列表 addressList 表 securityGroup 参数 参数类型 说明 示例 下级对象 securityGroupID String 安全组ID c6e1d96acff845c097db91fca62b5f26 securityGroupName String 安全组名称 VM79ab13b6 表 networkCard 参数 参数类型 说明 示例 下级对象 IPv4Address String IPv4地址 10.0.0.1 subnetID String 所处的子网ID f24f56956eaa4ff9b986fb8f33a7fad4 表 image 参数 参数类型 说明 示例 下级对象 imageID String 镜像ID b88888b8ff888888b88f8c8fbc888b88 imageName String 镜像名称 CentOS7.5.v120210303 表 flavor 参数 参数类型 说明 示例 下级对象 flavorID String 规格ID 8f8ba88888e8ea88ea8b888888dded88 flavorName String 规格名称 s7.medium.2 flavorCPU Integer VCPU 1 flavorRAM Integer 内存 2048 表 addressList 参数 参数类型 说明 示例 下级对象 addr String 地址 192.168.0.62 version Integer IP版本 4 type String 网络类型 fixed

如何从第三方云厂商将日志搬迁到天翼云。 若您在其他第三方云厂商使用日志服务，且已有大量的日志数据在第三方云厂商对象存储上，希望将日志搬迁到天翼云，对于不同的日志类型，请参考如下方法： 标准日志（搜索分析）：保存714天，主要用于应用运维等场景，该日志不需要搬迁到天翼云云。您可直接开通使用天翼云云日志服务，在运行14天后，第三方云厂商保存的日志将自然就老化删除。详细请参考云日志服务快速入门。 归档日志（等保合规）：保存180天以上，主要用于安全合规等场景，该日志一般转储存放到对象存储中。您使用对象存储的迁移功能，将第三方云厂商保存在对象存储中的文件迁移到天翼云对象存储服务中。详细操作请参考迁移第三方云厂商数据至天翼云对象存储。

本章节主要介绍数据治理中心DataArts Studio如何创建IAM用户并授予DataArts Studio权限。 创建IAM用户并授予DataArts Studio权限 如果您需要对您所拥有的DataArt Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DataArts Studio资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如操作步骤所示。 背景信息 给用户组授权之前，请您了解用户组可以添加的DataArts Studio工作空间角色权限，并结合实际需求进行选择。 约束与限制 DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 − IAM角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 − IAM策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

本文介绍了RDSPostgreSQL实例连接设置与访问的常见问题。 实例是否支持更换VPC RDSPostgreSQL不支持通过控制台更换VPC，订购实例时请谨慎选择实例VPC。 RDSPostgreSQL是否能跨地域内网访问 跨地域内网默认不能访问，不同区域的云服务之间内网互不相通。您可以通过公网访问，或者通过云连接/VPN打通网络实现内网访问。 如您需要跨地域访问实例时，您可为实例绑定弹性公网IP进行访问，请参见通过psql命令行公网连接实例。 外部服务器或应用程序如何访问VPC内的RDSPostgreSQL数据库 开通公网访问的实例 对于开通公网访问功能的云数据库实例，可以通过外网进行访问。 具体连接方式请参见：通过公网连接实例。 未开通公网访问的实例 对于未开通公网访问功能的云数据库实例，只能在相同资源池的相同VPC下通过内网访问。 具体连接方式请参见：通过内网连接实例。 绑定公网IP后无法ping通的解决方案 当实例绑定公网IP后无法ping通的排查方法如下： 1. 检查安全组规则。 2. 使用相同区域主机进行ping测试。 具体安全组配置方式，您可参考安全组配置示例。 应用程序是否需要支持自动重连数据库 建议您的应用程序支持自动重连数据库功能，以确保在数据库连接出现故障或断开连接时，应用程序能够自动重新连接数据库，提高系统的可用性和稳定性。同时，建议您采用长连接方式连接数据库，以减少频繁的连接和断开操作，降低资源消耗，提高系统性能。 ECS（弹性云主机）内网访问RDSPostgreSQL，是否受带宽限制 ECS、RDSPostgreSQL内网访问不受带宽限制，公网访问带宽限制根据您绑定的EIP产品带宽有所限制。 如何查看当前时间所有连接数据库的IP 如您需要查看当前实例所有连接的IP，您可在连通实例后，通过数据库命令行执行以下SQL语句，查看所有的活动IP连接数。 sql SELECT clientaddr FROM pgstatactivity WHERE state 'active';

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

本节介绍了容器镜像服务的产品介绍。 容器镜像服务是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。容器镜像服务与云容器引擎无缝集成，帮助企业降低交付复杂度，打造云原生应用一站式解决方案。 个人版功能 功能项 说明 镜像仓库管理 支持Linux、ARM等多架构的容器镜像管理，支持设置容器镜像的公开/私有权限 命名空间管理 通过命名空间组织、管理镜像仓库 镜像安全扫描 支持对容器镜像进行安全扫描，展示漏洞编号、漏洞位置、漏洞等级等详细信息 企业版功能（包含个人版的所有功能） 功能项 说明 存储隔离 每个用户的容器镜像、Helm Chart等存放于用户的对象存储中，实现存储隔离 Helm Chart管理 支持Helm Chart的管理、分发 镜像加速 支持加速镜像转换，部署业务工作负载时使用加速镜像，实现镜像数据免全量下载和在线解压，大幅度提升应用分发效率，缩短容器启动时间 镜像同步 支持跨资源池同步镜像 版本不可变 支持配置镜像版本不可变，保证相同版本的镜像仅被成功推送一次，可有效避免因误操作引起的版本覆盖问题 版本保留 支持配置版本保留规则，让用户自定义需要保留的镜像版本，实现镜像版本清理 镜像分享 支持将私有镜像分享给指定用户 操作审计 支持记录用户在容器镜像服务控制台内所进行的操作，为行为分析、安全分析等提供依据 访问控制 支持配置公网白名单

前提条件 已经在天翼云华东1地域创建了一个VPC1，VPC1中使用弹性云主机部署了相关业务。 已经获取各个办公点本地网关设备的公网IP地址。 已经了解VPC1中弹性云主机实例所应用的安全组规则以及各办公点所应用的安全组规则，并确保安全组规则允许弹性云主机实例、各个办公点、VPC1之间相互通信。 配置流程 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择目标资源池。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取值样例 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngateway1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 IPsec 企业项目 选择当前VPN网关归属项目。 default 本端类型 通过VPN网关接入的资源类型。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc682f 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) IPsec带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M IPsec连接数 选择对应的IPsec VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 资源到期后自动续订，按月购买时按月续订，按年购买时按年续订。 开启 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。

设置高可用虚拟 VIP } garpmasterdelay 1 设置当切为主状态后多久更新 ARP 缓存 garpmasterrefresh 5 设置主节点发送 ARP 报文的时间间隔 trackinterface { eth0 使用绑定 VIP 的网卡 例如 eth0 } } > 2.3 启动keepalived： > > 3、在port为port5oq20ui7dl的实例中做同样的上述操作，keepalived的配置文件响应的地址需要修改下，然后启动keepalived服务。 注意 1、您需要将配置文件中的通信方式配置为单播通信方式做心跳检测。 2、您需要修改下配置文件中的vrrpgarpmasterrefresh参数，避免由于主备频繁切换或网络抖动等异常情况导致主备切换失败，建议配置值为 5s 。 步骤四：将虚拟IP与主备弹性云服务器绑定 点击绑定服务器，弹出的对话框中， 4.1 选择“服务器类型”：云主机/物理机 4.2 选择网卡：云主机支持多网卡，可选择主网卡/扩展网卡(需确保网卡与虚拟IP在同一子网内才可绑定）。 步骤五：放通安全组规则 放通绑定虚拟IP的弹性云服务器所在的安全组，即放通对端入向安全组规则协议为Any。 说明 1、出向默认是全通的，如果有做限制，请放通出向规则协议为Any。

本小节介绍公网IP如何增强DDoS防护能力。 IP 如何提升DDoS防护能力？ 若您的公网 IP 频繁遭遇 DDoS 攻击，持续超出 DDoS 基础防护阈值并触发平台防护封堵，可通过以下两种方式强化 DDoS 安全防护能力，降低再次被封堵的风险： 一、购买并配置 DDoS 高防产品（推荐） 天翼云和第三方合规厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力，您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。 业务 IP 接入高防防护后，将由高防 IP 替代其暴露在公网，攻击者仅能针对高防 IP 发起攻击；攻击流量会在高防资源池完成清洗过滤，仅正常业务流量回注至您的业务 IP，该流量通常不会超出 IP 的DDoS防护阈值，可有效避免触发 DDoS封堵。 同时请注意：若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP直接发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品厂商。 二、配置安全组（仅特定业务场景适用） 在绑定公网 IP 的云主机上配置安全组策略，仅允许指定 IP 和端口访问业务 IP，可在公网层面实现 IP 隐藏。该方式仅适用于无需对公网全面开放的业务（如组织内部跨公网访问场景），绝大多数面向公网的业务不适用此方案。 重要提示：若原业务 IP 已被攻击者获知，即便配置安全组使攻击者无法探活，仍可能遭受盲目攻击；攻击流量直达 IP 所在网络后，若流量超出基础防护阈值，依然会触发DDoS封堵。因此建议配置安全组的同时，同步更换业务 IP。

本节介绍了在移动设备上登录Windows云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作以“Windows Server 2012 R2 数据中心版 64位”操作系统为例，介绍如何通过Microsoft Remote Desktop客户端登录Windows实例。 前提条件 云主机状态为“运行中”。 已获取Windows云主机用户名和密码。 云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 移动设备已安装Microsoft Remote Desktop。 操作步骤 1. 启动RD Client。 2. 在“Remote Desktop”页面右上角，单击图标，选择“Desktop”。 图 Remote Desktop 3. 在“Add desktop”页面，设置登录信息后，单击“SAVE”。 − PC name：输入需要登录的Windows实例的弹性公网IP地址。 − 按以下步骤设置“User name”： i. 单击“User name”，在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 ii. 输入Windows实例帐号“administrator”，并输入实例的登录密码，单击“SAVE”。 图 输入登录信息 图 保存填写的登录信息 4. 在“Remote Desktop”页面，单击需要登录的Windows实例图标。 图 登录Windows实例 5. 确认信息后，单击“CONNECT”。 图 CONNECT 至此，您已经登录Windows实例。 图 登录成功

添加域名组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制 > 对象组管理”，进入“对象组管理”界面。 5. （可选）如果添加网络域名组，则选择“网络域名组”页签。 6. 切换至“域名组”页签，单击“添加域名组”，弹出“添加域名组”，填写参数如下所示。 参数名称 参数说明 域名组类型 应用型/网络型 域名组名称 自定义域名组名称。 描述 （可选）设置该域名组的备注信息。 域名 输入域名，规则如下： 支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，.example.com）。 多个域名以英文逗号、英文分号、换行符、空格分隔。 说明 输入的域名请勿重复。 添加域名组中域名 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“域名组”页签，单击添加的域名组名称。弹出“域名组”弹窗。 6. 单击“添加域名”，弹出“添加域名”对话框，填写域名信息。 单击添加可添加多个域名。 7. 确认无误后，单击“确认”，完成添加。

本章节会为您指导如何配置堡垒机相关通知的发送功能。 云堡垒机支持发送以下通知内容至您设置的接收邮箱或者站内信： CPU、内存、磁盘资源使用率超过80% 账号密码剩余3天过期 用户恶意登录情况告警 访问人员执行敏感命令(字符、数据库) 达到风险等级设置发送告警。 说明 邮件通知需校验，如果没有配置邮件服务器，“邮件通知“选项为禁用状态。 对于系统状态的告警，触发后，下一次提醒间隔时长为24小时。 敏感命令告警，可展开自定义选择风险等级，默认为勾选：警告、危险、致命。 设置邮件服务器 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“系统管理 > 通知和告警”，进入“通知和告警”页面。 3. 在右侧邮件服务器模块，单击“编辑”按钮配置邮件服务器。 参数 参数说明 服务地址 填写您的邮件服务器地址。 服务端口 填写您的邮件服务器端口 安全通信 选择是否开启安全通信。安全通信支持TLS/SSL协议。 发送人账号 填写发送邮件的邮箱账号。 发送人密码 填写发送邮件的邮箱密码。 4. 单击“保存”完成邮件服务器配置。 5. 完成邮件服务配置后，单击“测试邮件服务”，在弹窗中填写发送测试邮件的邮件地址，单击“发送测试邮件”即可测试邮件是否可以正常发送。 邮件发送成功后在测试邮箱中会收到一封测试邮件，邮件服务配置正确。 若提示邮件发送失败，请检测配置的邮件服务信息，更正后再次测试。

本章节会为您指导如何配置堡垒机相关通知的发送功能。 云堡垒机支持发送以下通知内容至您设置的接收邮箱或者站内信： CPU、内存、磁盘资源使用率超过80% 账号密码剩余3天过期 用户恶意登录情况告警 访问人员执行敏感命令(字符、数据库) 达到风险等级设置发送告警。 说明 邮件通知需校验，如果没有配置邮件服务器，“邮件通知“选项为禁用状态。 对于系统状态的告警，触发后，下一次提醒间隔时长为24小时。 敏感命令告警，可展开自定义选择风险等级，默认为勾选：警告、危险、致命。 设置邮件服务器 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“系统管理 > 告警和通知”，进入“告警和通知”页面。 3.在左侧邮件服务器模块，单击“编辑”按钮配置邮件服务器。 参数 参数说明 服务器地址 填写您的邮件服务器地址。 服务端口 填写您的邮件服务器端口 安全通信 选择是否开启安全通信。 安全通信支持TLS/SSL协议。 发送人账号 填写发送邮件的邮箱账号。 发送人密码 填写发送邮件的邮箱密码。 4.单击“保存”完成邮件服务器配置。 后续操作 完成邮件服务配置后，单击“测试邮件服务”，在弹窗中填写发送测试邮件的邮件地址，单击“发送测试邮件”即可测试邮件是否可以正常发送。 邮件发送成功后在测试邮箱中会收到一封测试邮件，邮件服务配置正确； 若提示邮件发送失败，请检测配置的邮件服务信息，更正后再次测试。

网络及高级配置 设置网络，包括"网卡"、"安全组"，这里，为安全和成本考虑，我们先不设置弹性IP，后续按需开放IP；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 4. 确认并支付 步骤二：配置弹性负载均衡 现在，我们已经有了两台 DeepseekR132B 服务器，接下来，我们利用弹性负载均衡构建一个可任意横向扩容的 Deepseek 集群。 1. 配置 vllm 服务 首先需要为所有服务器上的 vllm 服务配置相同的 apikey。 服务的配置文件目录在 /var/vllmservice.env ，我们将APIKEY 设置为想要的值。 然后重启服务。 plaintext systemctl restart vllm 2. 创建弹性负载均衡 我们参考弹性负载均衡官方文档进行服务创建。 1. 创建弹性负载均衡 在此例中，我们的Deepseek集群仅用于集群自带的 Open WebUI内网使用，不涉及外网通讯，因此 “网络类型” 选择 “内网”，如果你想将此集群暴露到外网，则选择外网。VPC和子网跟 Deepseek 服务器保持一致。 2. 创建监听器 完成网络负载均衡创建，接下来配置监听器，在负载均衡列表页，点击开始配置。 端口类型，选择 “HTTP”，端口填 8000。 进入下一步，创建健康检查。这里我们通过 HTTP 进行健康检查，返回码部分选择 2xx、3xx、4xx。 点击“立即创建”，完成创建。 3. 为监听器开通GPU云主机白名单 此时监听器列表中，我们可以看到访问Deepseek服务器的主机组地址为 “100.89.0.0/16”，我们需要在Deepseek集群的安全组中，为vllm端口配置此地址的白名单。 为Deepseek云主机所在的安全组新增规则，操作文档详见添加安全组规则帮助文档。 4. 为监听器添加后端云主机 选中主机，然后下一步。 设置端口为 “8000”。 点击确认即可完成配置。 5. 验证连通性 监听器页面，显示监控检查正常。 通过一台 Deepseek 服务器，测试负载均衡连通性。

应用托管 OpenClaw 安全风险通告,请用户务必关注! 近日，CERT 披露 OpenClaw 存在多类高危安全漏洞，涵盖命令注入、代码执行、权限提升、路径遍历、认证绕过等，攻击者可利用漏洞在目标机器上执行任意命令、越权提权、窃取 / 篡改系统数据，可能导致业务系统被入侵、核心数据泄露、云托管环境横向渗透等严重风险。 在应用托管中使用OpenClaw 历史版本（26.3.13版本之前）的客户，请尽快升级至应用托管最新版本，该版本已修复当前披露的OpenClaw 相关安全漏洞。如继续使用存在漏洞的历史版本，业务系统将面临被攻击者控制、勒索、数据窃取等安全威胁，为了您的数据安全请及时完成版本升级，可联系您的客户经理，或者提交客服工单，亦或直接拨打热线电话：4008109889转1。

本节介绍如何添加、复制、删除时间计划。 您可以通过设置防护规则的生效时间段，确保规则仅在指定的时间段内生效。 应用场景 配置测试策略：为测试策略设置生效时间段，在测试期间，策略自动生效，确保测试的顺利进行；在测试结束时，策略会自动失效，无需手动操作。 控制公网暴露：当业务需要对外部开放端口时（例如仅办公时间开放），设置生效时间段可以有效减少公网暴露，降低潜在的安全风险。 特殊时间段的临时需求：临时的公网放行需求，无需担心忘记删除的安全风险。 添加时间计划 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”页面。 5. 切换至“时间计划”页签，单击“添加时间计划”，弹出“添加时间计划”界面，填写参数信息。 参数名称 参数说明 时间计划名称 自定义时间计划的名称。 描述 （可选）标识该计划的使用场景和用途，以便后续运维时快速区分不同计划的作用。 周期计划 添加周期计划 （可选）设置后，规则将在每周的固定时间段生效。 说明 当资源所在时区和本地时区不一致时，需要配置“资源所在时区”，即当前region所属地区的时区。 绝对计划 时间设置方式 当资源所在时区和本地时区不一致时，需要选择“时间设置方式”。防火墙引擎执行时按照“资源所在时区”的时间执行。 本地时区：当前客户端浏览器所属时区。 资源所在时区：云防火墙引擎所在地，即当前region所属地区的时区。 绝对计划 开始时间 设置规则生效的时间。 绝对计划 结束时间 （可选）设置规则失效的时间。 6. 单击“确认”，完成添加。

开启防护后，云防火墙默认放行所有流量，配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控，防止内部威胁扩散，增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能，区别如下表所示，流量命中某一条策略时，执行该策略的动作，各功能的防护顺序请参见“云防火墙的防护顺序是什么”。 防护规则和黑/白名单的区别如下： 类型 支持的防护对象 网络类型 防护后的动作 应用场景&特点 配置方式 防护规则 五元组 IP地址组 地理位置（地域） 域名和域名组 公网IP 私网IP 设置为“阻断”：流量直接拦截。 设置为“放行”：流量被“防护规则”功能放行后，再经过入侵防御（IPS） 功能检测。 通过具体的特征识别指定流量，适用于需要精细化控制特定流量的情况；例如通过协议类型、端口号、应用等特征配置规则。 通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 公网IP 私网IP 直接拦截流量。 快速拦截已识别的安全威胁，适用于已知恶意流量数据的情况。 通过添加黑白名单拦截/放行流量 白名单 五元组 IP地址组 公网IP 私网IP 流量被云防火墙放行，不再经过其它功能检测。 快速放行可信流量，适用于明确可信IP地址的情况。 通过添加黑白名单拦截/放行流量

本小节介绍开启容器防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “企业主机安全 > 资产管理 > 容器管理”页面“容器节点管理”中“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、 在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 容器节点管理 4、在“节点列表”中单击目标服务器“操作”列的“开启防护”，为需要开启防护的节点开启防护。 5、您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启节点防护。 包年/ 包月 在“您确定要对以下集群开启防护吗？”对话框中，“计费模式”选择“包年/包月”，阅读并确认“《容器安全服务免责声明》”。 “防护配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费 在“您确定要对以下集群开启防护吗？”对话框中，“计费模式”选择“按需计费”，阅读并确认“《容器安全服务免责声明》”。 6、在弹出的提示框中，阅读“《容器安全服务免责声明》”后，并勾选“我已阅读并同意《容器安全服务免责声明》”。 7、单击“确定”，开启节点防护，目标服务器“容器防护状态”变更为“防护中”，说明该节点已开启防护。 注意 一个容器安全配额防护一个集群节点。

本文介绍了如何使用弹性云主机的Windows实例搭建FTP站点 本文介绍了如何使用弹性云主机的Windows实例搭建FTP站点。该指导具体操作以Windows Server 2012 R2为例。 Windows实例搭建FTP站点具体操作步骤如下： 1、添加IIS以及FTP服务角色。 2、创建FTP用户名及密码。 3、设置共享文件的权限。 4、添加及设置FTP站点。 5、（可选）配置FTP防火墙支持。 6、设置安全组及防火墙。 7、客户端测试。

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

本章节为您介绍企业路由器的应用场景。 企业客户的业务A部署在VPC1内，业务B部署在VPC2内，出于安全考虑，业务A和业务B互访的流量需要经过防火墙过滤清洗。 客户痛点 希望快速搭建满足安全要求的云上组网。 企业路由器价值 客户在组网中部署云防火墙，通过将VPC和云防火墙关联至企业路由器中不同的路由表，控制VPC1和VPC2互访流量经过防火墙。

v11916) 节点池配置管理支持软驱逐和硬驱逐的设置。 修复部分安全问题。 v1.19.16r30 ++v1.19.16++ 负载均衡支持设置超时时间。 kubeapiserver高频参数支持配置。 修复部分安全问题。 v1.19.16r20 ++v1.19.16++ 云原生2.0网络支持命名空间指定子网。 增强节点重启后，docker运行时拉取镜像的稳定性。 优化CCE Turbo集群在非全预热场景分配网卡的性能。 修复部分安全问题。 v1.19.16r4 ++v1.19.16++ 支持GPU节点的设备故障检测和隔离能力。 支持配置集群维度的自定义安全组。 CCE Turbo集群支持节点级别的网卡预热参数配置。 优化节点污点场景下负载调度的性能。 增强Containerd运行时绑核场景下长时间运行的稳定性。 优化ELB Service/Ingress在大量连接场景下的稳定性。 优化kubeapiserver在频繁更新crd场景下的内存使用。 修复部分安全问题及以下CVE漏洞： CVE20223294 CVE20223162 CVE20223172 v1.19.16r0 [++v1.19.16++](

本文汇总了云等保专区各原子能力的常见应用场景，并提供详细的方案描述和操作指导。 原子能力名称 版本 最佳实践文档 主机安全 v1.0 主机勒索病毒有效防护 主机安全 v2.0 主机安全防护最佳实践 云上勒索病毒防护实践 弱口令安全最佳实践 漏洞扫描最佳实践 等级保护测评合规最佳实践 二类节点资产纳管最佳实践 Web应用防火墙 v1.0 Web应用防火墙高可用部署方案 Web应用防火墙 v2.0 WAF接入配置最佳实践 防护配置最佳实践 Web基础防护规则引擎配置最佳实践 CC攻击防护最佳实践 下一代防火墙 v1.0 下一代防火墙高可用部署方案 下一代防火墙 v2.0 IPv6切换方案 双向访问控制 SSL VPN远程拨入 堡垒机 v2.0 数据库运维实名审计 收敛资产运维暴露面 资产运维细粒度权限管控 数据库审计 v2.0 审计云上自建数据库 审计云数据库 日志审计 v2.0 程序定位日志采集异常 程序日志定位告警异常

本文介绍了关系数据库MySQL版的关键配置参数信息，合理的参数可以发挥数据库MySQL最大的性能，不合适的参数值可能会影响业务运行。 本文只列举了一些重要参数说明，如需要查看更多参数详细说明，请参见 MySQL官网 。通过控制台界面修改MySQL参数值，请参见 修改参数组。 修改敏感参数 若干参数相关说明如下： lowercasetablenames 云数据库默认值："1" 作用 ：mysql设置大小写是否敏感的一个参数。默认值"1"，表示创建数据库及表时，存储在磁盘是小写的，比较的时候是不区分大小写。 目前关系数据库MySQL版仅支持lowercasetablenames1，不区分大小写，后续将推出支持区分大小写功能，请关注产品动态。 innodbflushlogattrxcommit 云数据库默认值： " 1" 作用 ：该参数控制提交操作安全和高性能之间的平衡。设置为默认值"1"，每次事务提交时，将log buffer的数据写入到log file中，并且同时将log file向磁盘中写入 ；当设为"0"时，每秒将写入log buffer到log file中，且同时将log file向磁盘中写入 （该模式下在事务提交的时候，不会主动触发写入磁盘的操作）；如果设为"2"，则每次事务提交时 将log buffer的数据 写入到log file中，大约每秒将log file向磁盘中写入，与log buffer写入不同步 。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。设置为"0"时，写入速度快，但是不安全，如果mysqld进程崩溃，导致上一秒的所有事务中的操作数据丢失。设置为"1"时，写入速度最慢，但是安全，即使mysqld进程崩溃或者服务主机宕机，log可能最多只丢失一个语句或者一个事务的操作数据。设置为"2" 时，写入速度快，比 "0" 安全，只有服务主机宕机时，会导致上一秒的所有事务中的操作数据丢失。 POC建议值："2" syncbinlog 云数据库默认值："1" 作用 ：该参数控制MySQL 的二进制日志（binary log）同步到磁盘的频率，取值：0N。设置为默认值"1"，表示每进行1次事务提交之后，MySQL将进行一次fsync之类的磁盘同步指令来将binlogcache中的数据强制写入磁盘，是最安全的设置；设置为"0"时，表示当事务提交之后，MySQL不做fsync之类的磁盘同步指令刷新binlogcache中的信息到磁盘，而让Filesystem自行决定什么时候来做同步，或者cache满了之后才同步到磁盘。此时的性能最好，但风险也是最大，因为断电或操作系统崩溃情况下，在binlogcache中的所有binlog信息都会被丢失。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。 POC 建议值 ："1000" innodbbufferpoolsize 云数据库默认值 ： "规格参数，开通的不同实例规格默认值不同"。 作用 ：该参数定义了 InnoDB 存储引擎的表数据和索引数据的最大内存缓冲区大小，数据在内存中的读写速度是磁盘读写速度的很多倍，增加该值可减少磁盘I/O。 影响：过大的buffer pool可能导致系统OOM崩溃，请谨慎修改。 POC建议值：32G及以上规格可将其调整至内存的70%~75%。

计费详情 分类 规格 计费模式 价格 单位 备注 : 独享模式 WI100 按需 5.5 元/个/小时 WAF实例创建类别为普通租户类需要付ECS费用。 独享模式 WI100 包年包月 2640 元/个/月 支持包年优惠，一年8.5折，2年7折，3年5折 独享模式 WI500 按需 13.1 元/个/小时 WAF实例创建类别为普通租户类需要付ECS费用。 独享模式 WI500 包年包月 6288 元/个/月 支持包年优惠，一年8.5折，2年7折，3年5折 内容安全 内容安全单次检测 按需（按次） 4280 元/网站(或新媒体账号)/次 一次性收费，不支持修改、退订或暂停服务 内容安全 文本安全监测 包月 4280 元/网站(或新媒体账号)/月 最多支持3个月 内容安全 文本安全监测 包年 16000 元/网站(或新媒体账号)/年 仅支持包一年 说明 Web应用防火墙（独享版）需要配合VPC使用，购买时选择被防护源站所在的VPC即可。 注意 WAF实例创建类别： 资源租户类：WAF实例将通过弹性网卡接入租户网络（若使用ELB接入，那么仅支持独享型ELB）,目前仅部分支持。购买时无需付ECSf费用。 普通租户：WAF实例将直接创建在租户ECS中，租户可以在ECS服务页面看到WAF实例所在的弹性云服务器。购买时需要付ECS费用。