本章介绍处理HSS暴力破解告警的方法。 说明 收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 可能原因：由于您服务器的远程连接端口没做访问控制，导致网络上的病毒频繁攻击您服务器端口。 解决方案：您可通过以下方式来改善被频繁暴破攻击的情况，降低风险： 1、配置白名单 2、修改端口 3、设置安全组规则 4、开启双因子认证 5、设置高强度口令 操作详情请参见如何预防账户暴力破解攻击？

如果您需要对云上购买的CTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CTS的使用权限，但是不希望他们拥有删除CTS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CTS，但是不允许删除CTS的权限策略，控制他们对CTS资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CTS服务的其它功能。 IAM提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 CTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CTS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略，策略是角色的升级版。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，CTS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如表1所示，包括了CTS的所有系统权限。 表 1 CTS系统权限 系统角色/策略名称 描述 类别 依赖关系 CTS FullAccess 云审计服务的所有权限。 系统策略 无 CTS ReadOnlyAccess 云审计服务的只读权限。 系统策略 无 CTS Administrator 云审计服务的管理员权限，拥有CTS的所有权限。 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、OBS Administrator和Security Administrator。 表2列出了CTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限的关系 操作 CTS FullAccess CTS ReadOnlyAccess CTS Administrator 查询事件列表 √ √ √ 查询配额 √ √ √ 创建追踪器 √ × √ 修改追踪器 √ × √ 停用追踪器 √ × √ 启用追踪器 √ × √ 查询追踪器 √ √ √ 删除追踪器 √ × √ 创建关键操作通知 √ × √ 修改关键操作通知 √ × √ 停用关键操作通知 √ × √ 启用关键操作通知 √ × √ 查询关键操作通知 √ √ √ 删除关键操作通知 √ × √

本文带您快速熟悉如何获取访问密钥(AK/SK)。 AccessKey和SecretKey是您访问对象存储（简称ZOS）的密钥，ZOS会通过它来验证您的资源请求。 访问密钥（AK/SK） 类型 天翼云访问密钥（AK/SK）：天翼云账号和IAM用户的访问密钥（AK/SK），可用于访问天翼云所有产品，包括对象存储ZOS。 ZOS访问密钥（AK/SK）：单独用于对象存储ZOS的访问密钥（AK/SK）。仅天翼云账号主用户可通过ZOS访问密钥访问ZOS，IAM用户请通过天翼云访问密钥访问ZOS。 操作场景 如您登录的是天翼云账号主用户，您可以在统一身份认证（Identity and Access Management，简称IAM）服务控制台获取天翼云访问密钥，或对象存储控制台获取您的ZOS访问密钥（AK/SK），用于访问您的ZOS资源。优先推荐使用天翼云访问密钥。 相较于天翼云账号访问密钥，使用IAM用户访问密钥访问您的ZOS资源更加安全。您可以为IAM用户授予一定的访问权限，通过IAM用户访问密钥长期访问您的ZOS资源。 注意 如果访问密钥（AK/SK）泄露，会带来数据泄露风险，建议妥善保管。 操作步骤 获取天翼云AK/SK 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击账号中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”行，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击查看并复制AK/SK。

名称 描述 说明 ELB 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据分配策略分发到后端多台服务器的流量分发控制服务。 用户使用客户端连接DWS集群时，如果用户仅连接一个CN节点地址，通过该CN节点内网IP或弹性公网IP连接时，只能连接到固定的CN节点上，存在CN单点问题。如果通过内网域名连接，域名解析服务会对每个客户端随机选择一个内网/公网IP地址，其解析机制并不能保证负载均衡，同样也存在CN单点问题。因此引入了弹性负载均衡服务（Elastic Load Balance，下称ELB）解决集群访问的单点问题。 EIP 弹性公网IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。 可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 Ring 安全环，集群内部的故障隔离域，主要作用是故障隔离，环内主机出现故障，故障不会扩散到环外。 如果环内某一单节点故障，所有DN节点在环内都有副本，数据不会丢失。 例如Server1发生故障后，DN1的备节点在Server2上，DN2的备节点在Server3上，DN3的备节点在Server3上，每个Server运行4个主DN，环内的各主机性能仍然保证均衡。 整个集群可以承受的主机故障数量范围为1~安全环的数量。 说明 集群按照安全环节点数量的倍数进行扩容，也就是以环为最小单位进行扩容。

本章节主要介绍物理机的登录类的问题。 物理机开机或者重启后，无法登录或云硬盘丢失，如何解决？ 问题描述 物理机开机或重启后，无法登录或云硬盘丢失。 可能原因 网络拥塞或者丢包导致物理机获取IP或者挂载数据卷（云硬盘）失败。 解决方案 重启物理机，如果多次重启无效，请联系客服。 远程登录物理机时，对浏览器版本有什么要求？ 用户采用远程登录方式访问物理机时，使用的浏览器应满足下表。 支持的浏览器版本 浏览器 版本 Google Chrome 31.0及以上 Mozilla FireFox 27.0及以上 Internet Explorer 10.0及以上 远程登录物理机时界面操作无响应，如何解决？ 问题描述 远程登录物理机时，按“Enter”后界面无任何响应。 可能原因 物理机操作系统内部配置不允许通过远程访问。 解决方案 登录物理机，进入操作系统进行相关设置，各操作系统的配置有所不同，以下仅提供部分操作系统配置示例， 步骤 1修改配置文件。 对于SUSE Linux Enterprise Server 12 SP2/SUSE Linux Enterprise Server 12 SP1/Ubuntu 16.04 Server/CentOS Linux 7.3/EulerOS 2.2操作系统，使用vi编辑器打开“/etc/default/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 对于Oracle Linux 7.3/Red Hat Enterprise Linux 7.3操作系统，使用vi编辑器打开“/etc/sysconfig/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 步骤 2 刷新配置。 对于SUSE Linux Enterprise Server 12 SP2/Oracle Linux 7.3/Red Hat Enterprise Linux 7.3/CentOS Linux 7.3/EulerOS 2.2操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grub2mkconfig o /boot/grub2/grub.cfg systemctl enable serialgetty@ttyS0 对于Ubuntu 16.04 Server操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grubmkconfig o /boot/grub/grub.cfg systemctl enable serialgetty@ttyS0 步骤 3（可选）修改安全配置文件。 如果使用root用户通过串口进行登录，需要修改安全配置文件。在“/etc/securetty”最后添加如下信息： 步骤 4执行reboot重启操作系统。 物理机操作系统配置完成后，重新远程登录，确认是否可以登录成功。

本最佳实践文档旨在为用户提供一个全面、高效的基于升腾通用推理镜像的自定义部署样例。 一、引言 本文围绕昇腾通用推理镜像的自定义部署展开最佳实践梳理，旨在从模型准备、环境配置、部署流程等关键维度，提供一套可复用的最佳实践。通过标准化的操作指南，帮助开发者快速掌握昇腾推理镜像的自定义部署方法。 二、模型准备 1.开发机完成推理代码开发和调试 1.1创建vscode开发机 1.2启动vscode开发机 1.3打开vscode开发机 1.4在vscode开发机/work/cache目录下,创建code和model目录 1.5准备代码包,把app.tar.gz文件复制到/work/cache/code 1.6右击鼠标,打开Terminal 1.7 解压代码包到/work/cache/code目录下 plaintext cd /work/cache/code tar xzvf app.tar.gz 1.8.下载权重文件 plaintext cd/work/cache/model wget tar xvf bgem3.tar stripcomponents1 rmbgem3.tar 启动bge服务 plaintext cd /work/cache/code/app pip install r requirements.txt i exportMODELPATH/work/cache/model mkdir/logger python teleservice.py 1.9 耐心等几分钟,看到下面日志即代表启动完成 1.10 点加号,进入新的Terminal界面 验证服务是否正常 plaintext curl X POST H "ContentType: application/json" d '{ "input": ["近日天翼云科技有限公司总经理胡志强在世界电信日期间接受新华网记者采访。"], "model": "bgem3", "encodingformat": "float" }' 发现有向量数据返回及代表成功

本节介绍安全概览页的展示信息。 安全概览：展示安全评分、资产总数、告警总数、威胁动态、日志分布TOP5、风险资产TOP5、告警处置概览、近七天趋势图、攻击链统计图。 其中告警总数、威胁动态、日志分布TOP5、告警处置概览、近七天趋势图支持查看详细信息。 安全评分 评分系统根据弱口令、漏洞和告警扣分，各占40%、30%、30%。 扣分规则：【弱口令】10分/项；【漏洞】高危5分/项，中危2分/项；【告警】致命5分/项，严重3分/项，警告1分/项。 风险等级实时更新，低风险（80100分）、中风险（6080分）、高风险（060分）。 说明 安全评分是依据用户的弱口令、漏洞、告警进行综合计算，不同项目其分数配额相互独立。 资产总数 统计已经接入云安全中心的资产总数。 告警总数 统计您当前产生的所有有效告警数量，同时展示最近七日的新增数量以及待处置的有效告警数量。 近7日新增，点击数量可以跳转至告警管理页面，并查询近7天的数据。 待处置数量，点击数量可以跳转至告警管理页面，并查询“处置状态 待处置”的数据。

分类 功能模块 描述 零信任免费版 零信任VPN版 零信任基础版 零信任企业版 终端管理基础版 远程办公接入 零信任VPN 提供虚拟专有网络，通过加密协议对数据进行加密传输，建立安全可靠的VPN网络。 √ √ √ √ 不涉及 远程办公接入 内网应用接入 可实现域名、IP等精细化内网应用接入。 √ √ √ √ 不涉及 远程办公接入 精细化权限管控 支持应用按身份，角色，用户组，组织架构等进行授权和管控。 √ √ √ √ 不涉及 远程办公接入 信创连接器 连接器版本支持常用国产化系统，包括麒麟、统信、天翼云CTyunOS。 × √ √ √ 不涉及 远程办公接入 连接器管理 提供灵活连接器部署安装方式，用于打通企业内网。 √（仅支持部分安装命令，可支持至多5个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多20个连接器集群或实例） 不涉及 远程办公接入 域名解析 域名解析管理功能针对无公网解析的域名，实现无需绑定HOST即可进行内网访问。 √ √ √ √ 不涉及 远程办公接入 源地址网络地址转换 实现一对一内网访问溯源，针对用户+设备粒度、用户粒度进行分配唯一IP回源访问。 × √ √ √ 不涉及 远程办公接入 内网限速 可以基于总带宽、单客户端进行内网限速。 √ √ √ √ 不涉及 远程办公接入 网络健康探测 提供网络接入情况连通性探测，实时监控发现异常网络接入情况，确保内网访问高可用、稳定性。 × √ √ √ 不涉及 身份安全认证 身份源同步 支持第三方身份源集成（自建/企微/AD等)。 √（限时免费） √ √ √ 不涉及 身份安全认证 认证源集成 支持账密、短信、邮箱进行认证，以及第三方认证源集成（如企微/AD等）。 √（限时免费） √ √ √ 不涉及 身份安全认证 单点登录SSO 支持标准协议单点登录SSO对接 × × √ √ 不涉及 身份安全认证 双因素认证 支持短信、邮箱进行双因素认证。 √ √ √ √ 不涉及 设备管理 桌面终端 提供PC端的客户端程序，支持Windows，MacOS系统。 √ √ √ √ √ 设备管理 移动终端 提供移动端的APP程序，支持IOS、安卓系统手机。 × × √ √ 暂未发布 设备管理 移动端SDK 提供移动端SDK的标准接入能力，支持对接IOS、安卓系统手机。 × √ √ √ 暂未发布 设备管理 Linux终端 提供Linux相关操作系统类型的客户端程序。 × × √（支持ubuntu18.04、ubuntu20.04桌面版） √（支持ubuntu18.04、ubuntu20.04桌面版） 暂未发布 设备管理 信创终端 提供信创系统的客户端程序，信创系统（麒麟、统信）。 × × √ √ 暂未发布 设备管理 终端资产 终端资产进行盘点、展示，用于分析。 √ √ √ √ √ 设备管理 设备策略 支持设备共享、用户激活认证、授信等策略处理。 × √ √ √ √ 安全策略 访问控制 提供接入VPN访问控制，粒度包括按用户、IP、终端设备、接入时间、地区等。 √（仅支持部分规则粒度） √（仅支持部分规则粒度） √ √ 不涉及 安全策略 应用隐身 支持连接器部署和反向连接到天翼云边缘节点，实现企业内网应用隐身，并且基于SDP架构，对数据面和控制面进行分离，无需暴露企业应用于公网之中。 √ √ √ √ 不涉及 安全策略 准入管控 支持对接入零信任客户端的终端设备的多维度准入策略配置，实现对异常行为、设备、身份等不允许接入企业VPN网络。 × × √ √ 不涉及 安全策略 横向渗透防护 支持进行钓鱼防护，能够对企业内网发生恶意扫描行为，例如触发异常访问频率和维度的行为实时阻断等。有效抑制住钓鱼等C2攻击。 × × × √ 不涉及 安全策略 动态授权 支持对访问主体在远程访问的过程中的行为、身份、设备、终端环境等信息进行多维度策略评估，并实时对异常进行阻断等。 × × √ √ 不涉及 安全策略 RBI云端浏览器隔离 通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地。 额外付费购买 额外付费购买 额外付费购买 额外付费购买 不涉及 安全策略 内外网隔离 支持对终端访问的流量进行黑白名单管控，能够实现企业内网访问和互联网访问的安全隔离。 × × × √ 不涉及 终端安全管理 上网行为管控 员工互联网访问行为可视可审可追溯，一键拦截违规违法网站，轻松实现合规合法、网络稳定的上网环境，提高企业办公效率。 × × × √ √ 终端安全管理 软件管理 从软件的来源、安装、运行情况进行全方位展示，协助企业梳理员工安装、运行软件情况；通过配置软件管控策略，阻止软件运行。 × × √ √ √ 终端安全管理 病毒查杀 支持定期对终端进行病毒扫描，提供最新的病毒引擎版本，扫描完成后自动隔离和上报。 × × × √ √ 终端安全管理 实时防护 包含文件实时防护、U盘防护，对即将进入设备的病毒进行实时监控。 × × × √ √ 终端安全管理 局域网共享防护 局域网共享路径是病毒常见的横向扩散手段，对局域网共享路径进行操作时需要实时监控。比如文件上传、执行等。 × × × ×（限时免费） ×（限时免费） 终端安全管理 防钓鱼 面向办公网钓鱼防护场景，支持检测IM工具和邮件附件下载的文件是否带毒、是否为伪装文件。 × × × ×（限时免费） ×（限时免费） 终端安全管理 漏洞修复 对设备进行漏洞扫描和补丁修复，有效发现和修复设备存在的紧急漏洞，加固操作系统的安全性。 × × × √ √ 终端安全管理 外设管控 企业管理员对员工的U盘、SD卡、外接硬盘进行禁用、只读、审计管控，有效阻止风险入侵，有效防止文件外泄。 × × × √ √ 终端安全管理 办公净化 对于已安装软件，支持自动拦截广告、骚扰、恶意弹窗。为用户提供⽆⼲扰的纯净操作环境，赋能绿色上网诉求。 × × × √（限时免费） √（限时免费） 终端安全管理 AI安全检测 支持盘点设备上运行的大模型组件，高效构建AI应用资产全景；支持超过 30+种 AI 应用组件漏洞检测，实现漏洞高效管理。 × × × ×（限时免费） ×（限时免费） 终端安全管理 合规检测 支持设置终端基线标准，能够对接入零信任的终端进行基线采集并检测是否符合企业安全规范基准。 × × √ √ √ 终端安全管理 自保护 当员工退出账号、退出客户端、退出企业、卸载客户端时，需要进行防护码校验，实现客户端自保护。 × × √ √ √ 产品服务 态势大屏 提供零信任办公态势大屏，能够展示企业办公内网访问情况、终端安全分析、设备分布、用户分布等态势感知能力。 × × × √ × 产品服务 告警自助 提供零信任远程办公告警自助能力，企业可配置连接器异常告警、业务异常告警等，实现精准感知异常，减少业务影响。 × √ （SaaS版本支持 √ （SaaS版本支持） √ （SaaS版本支持） × 产品服务 客户端定制化 支持客户端定制化LOGO，强化企业感知力。 × × √ √ × 产品服务 日志投递 将零信任日志投递到客户指定目标服务器，实现AOne日志的全生命周期管理。可对接企业统一态势平台，赋能企业安全运维监控场景。 × × √ （SaaS版本支持） √ （SaaS版本支持） 不涉及 产品服务 日志审计 提供日志审计功能，针对行为进行审计。 × √ √ √ √

本小节介绍处理主机告警事件。 主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 注意 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 须知 : 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip。 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危 、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、处理告警事件。 注意 告警事件展示在“主机安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。 方式一：批量处理勾选的告警 任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“批量处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如下表所示。 方式二：处理单个告警 选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如下表所示。 处理告警事件说明 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“暴力破解”和“异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 有以下告警事件支持加入登录白名单。 暴力破解 异常登录 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。

本文为您介绍资源编排ROS的功能特性。 统一管理资源 通过统一的管理平面，可实现对分布在不同地域资源池中的各类云资源进行全局掌控，实现单一控制台完成状态监控与配置调整，打破资源孤岛，实现跨池资源的统一调度与协同管理，大幅简化复杂多云环境下的运维复杂度。 模板管理 提供灵活且强大的模板定义能力，支持通过声明式语法对云资源的类型、规格、配置参数及关联关系进行精确描述，同时允许用户自定义模板以适配个性化需求。 针对模板全生命周期，提供完善的版本控制机制，可追溯每一次模板修改记录，确保不同团队、不同环境使用的模板版本一致，避免因模板差异导致的资源配置偏差。 自动化管理资源生命周期 以资源栈为管理单元，将一组关联资源视为整体进行全生命周期的自动化管理。流程中嵌入预览执行计划、询价与配额校验环节，通过预览执行计划明确资源的变更，通过询价明确资源组合的成本预估，再校验对应资源的配额是否充足，可实现资源栈生命周期全程自动化：创建、更新、删除、回滚等操作。 智能编排资源、处理资源依赖 通过内置的依赖分析引擎，能够自动识别模板中各资源（如 “云主机依赖于虚拟私有云”“数据库依赖于安全组”）的层级关系与关联规则，生成最优部署拓扑与执行顺序。同时，通过分布式锁与状态同步机制，确保多节点并行部署时的数据一致性。

本文介绍云硬盘存储卷概述。 Serverless集群支持使用天翼云云硬盘存储卷。当前cstorcsi插件支持使用云盘动态存储卷和静态存储卷，通过将云硬盘存储卷挂载到容器指定目录下，以实现数据持久化需求。 云硬盘挂载可以实现当容器在同一可用区内进行迁移时，挂载的云硬盘也将随之迁移。 通过云硬盘挂载，可以将远端存储系统中的数据直接映射到容器中，即使容器被删除，数据卷中的数据仍然会保存在存储系统中，从而确保数据的安全和持久性。 使用限制 共享存储 如果选择非共享盘存储，则同时只能被一个节点挂载，访问模式不能为ReadWriteMany；如果选择共享盘存储，则可以被多个节点挂载，卷模式仅支持块设备（Block），不能为文件系统（Filesystem）。 卷模式与访问模式 卷模式 访问模式 Block ReadWriteOnce/ReadWriteMany/ReadOnlyMany Filesystem ReadWriteOnce 跨可用区 非共享盘不支持跨可用区挂载。当Pod重建时，会重新挂载原云盘。若由于其他限制无法调度到原可用区，则Pod将会处于Pending状态。 容量 单个数据盘最小容量10GB，最大容量为32TB，最小扩容容量为1GB，扩容步长为1GB。 挂载数量 单个节点最多允许挂载8个数据盘，如果需要更多，可以通过提工单方式将上限提到22个。 磁盘模式 当前仅支持云硬盘磁盘模式为VBD。 云盘加密 当前暂不支持使用加密盘。 与ECS挂载关系 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的通用计算增强型和内存优化型云主机，并且一台云主机只允许挂载最多3块极速型SSD云硬盘。 挂载应用类型 推荐使用有状态应用通过PVC模版方式挂载使用云盘。 无状态应用挂载使用云盘有诸多限制，比如当选择卷模式为Filesystem的存储卷时，无法为每个Pod配置独立的存储卷，所以要求Replica需要配置为1或者保证Pod均调度到同一节点上。此外，由于Deployment的升级策略，重启Pod时新的Pod可能一直无法挂载，故不推荐使用。 应用参数配置 创建工作负载时，如果配置了securityContext.fsgroup参数，kubelet在存储卷挂载完成后会执行chmod和chown操作，导致挂载时间延长。

本节介绍如何查看预定义地址组。 云防火墙为您提供预定义地址组，包括“NAT64转换地址组”和“WAF回源IP地址组”，两个地址组均建议您放行。 NAT64转换地址组：开启弹性公网IP（EIP）服务的IPv6转换功能后，云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。 说明 如果您开启了弹性公网IP（EIP）服务的IPv6转换功能，建议放行“NAT64转换地址组”。 WAF回源IP地址组：提供Web应用防火墙（WAF）服务云模式的回源IP地址。 注意 引用至防护规则，如果回源IP改变，无需手动修改，防火墙每天自动更新地址组中的IP地址。 添加至黑/白名单，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。 预定义地址组仅支持查看，不支持添加、修改、删除操作。 查看预定义地址组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 在“IP地址组”页签，选择“预定义地址组”页签，单击目标地址组的名称，进入详细信息页面，查看地址组信息。

本小节介绍安全专区云数据库审计中添加保护对象方法。 配置方法： 1.点击【保护对象】→【添加】，进行添加保护对象设置。 说明 数据库中的保护对象是指受审计的数据库。 2.填写受保护对象相关信息。 对象名：自定义； 状态：默认开启； 告警：默认关闭（按需开启）； 数据库类型：MySQL（选择对应的数据库版本）； 版本号：MySQL5.7（选择安装的对应版本号）； Ip地址：192.168.0.124（可输入IP段形式，用‘’隔开）； 端口号：3306（可输入多端口，用‘’隔开）； 数据字符集：GB2312（选择适当的编码）； His产商：空（按需配置）； 审计策略：默认策略（按需配置）； 告警策略：空（按需配置）。 注意 根据自己数据库安装时的配置选择编码，编码选择错误可能会导致乱码问题。 3.保存成功后，可对原有配置进行单个编辑，配置扩展配置以及批量修改（状态、策略）。 4.完成以上客户端安装及策略配置，数据库的访问操作将会发送到云数据库审计上并展示。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 88f8888888dd88ec888888888d888d8b groupID 是 Integer 伸缩组ID 489 name 否 String 伸缩组名称 fcggrouptest minCount 否 Integer 最小云主机数，取值范围：[0,50] 1 maxCount 否 Integer 最大云主机数，取值范围：[minCount,2147483647] 50 expectedCount 否 Integer 期望云主机数，取值范围：[minCount,maxCount]，非多可用区资源池不支持该参数 1 useLb 否 Integer 是否使用负载均衡，1：是 2：否 2 healthPeriod 否 Integer 健康检查时间间隔（周期），单位：秒，取值范围：[300,10080] 300 securityGroupIDList 否 Array of Strings 安全组ID列表，非多可用区资源池不使用该参数 ['sgnw15npxgkd'] lbList 否 Array of Objects 负载均衡列表 lbList mazInfo 否 Array of Objects 【Deprecated】多可用区资源池的实例可用区及子网信息。mazInfo和subnetIDList参数互斥，如果资源池为多可用区时使用mazInfo则不传subnetIDList参数 mazInfo subnetIDList 否 Array of Strings 子网ID列表。支持一主多辅，最大支持输入5个网卡信息，顺序第一个网卡信息默认主网卡。mazInfo和subnetIDList参数互斥。修改subnetIDList会将mazInfo信息清空。 ['a8ffac57354b41afb85353b5cded4957'] moveOutStrategy 否 Integer 实例移出策略。取值范围：1：较早创建的配置较早创建的云主机2：较晚创建的配置较晚创建的云主机3：较早创建的云主机4：较晚创建的云主机 1 recoveryMode 否 Integer 实例回收模式。取值范围：1：释放模式。 1 healthMode 否 Integer 健康检查方式。取值范围：1：云主机健康检查2：弹性负载均衡健康检查 1 configID 否 Integer 【Deprecated】伸缩配置ID 375 configList 否 Array of Integers 伸缩配置ID列表，最大支持传入10个伸缩配置。按输入伸缩配置的顺序，决定伸缩配置优先级。注意：该参数与configID不可同时传入，请尽量选择本参数。 [375] azStrategy 否 Integer 扩容策略类型，仅多可用区资源池支持。取值范围：1：均衡分布。 2：优先级分布。 1

本文主要介绍配置DNS解析的步骤。 选择默认DNS服务器或者添加DNS服务器地址，域名防护策略将会按照您配置的域名服务器进行IP解析并下发。 说明 当前账号拥有多个防火墙时，DNS解析操作仅应用于设置的防火墙。 约束条件 最多支持自定义2个DNS服务器。 操作步骤 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> DNS配置”，进入“DNS配置”页面。 5. 选择“默认DNS服务器”或添加“指定DNS服务器”。 说明 当前仅支持添加2个指定DNS服务器地址。 6. 单击“应用”，完成配置。 说明 当前账号拥有多个防火墙时，DNS解析操作仅应用于设置的防火墙。

天翼云为您提供托管检测与响应服务（原生版）服务协议说明，请您点击查看。 托管检测与响应服务（原生版）服务协议

本小节介绍SSL VPN的客户端登录。 1. 登录SSL VPN的Web管理页面 > SSL VPN 选项 > 系统选项 > 接入选项”的“用户访问入口”修改SSL客户端接入端口，将443改成4433或其他端口，配置完成后点击“保存”和“立即生效”，使配置生效。 2. 安全组放开修改后的SSL VPN客户端接入端口。 注意 若SSL VPN绑定的公网IP备案过，则无需修改SSL VPN客户端接入端口。 客户端拨入SSL VPN隧道的默认端口是TCP443，打开方式是电脑打开浏览器，地址栏输入 VPN管理页面上修改SSL客户端接入端口，将443改成4433或其他端口，然后在天翼云的SSL VPN云主机安全组里面放通相应的SSL客户端端口（比如改成了TCP4433端口，那客户端接入SSL VPN隧道是打开

本节主要介绍使用类问题 如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？ 创建微服务引擎专享版时，当选择开启了IPv6的VPC网络时，创建引擎支持IPv6网络。当部署服务使用IPv6网段且选择容器部署时，选择的CCE集群需要开启IPv6双栈开关。如果选择的CCE集群资源没有开启IPv6开关，就会导致服务网络不通，报错“java.net.SocketException: Protocol family unavailable”。解决办法： 1、 修改部署了微服务应用的环境，添加开启了“IPv6双栈”开关的CCE集群 2、 重新部署应用 微服务和普通应用有什么不同？ 微服务是一种架构模式，其核心是将一个单体应用分成多个部分进行开发。所以微服务架构的应用程序，其本质上是一个分布式应用。 基于微服务架构构建的应用程序，可以让业务变化更快，整体系统可靠性更高。 开源 ServiceComb 与 CSE 是什么关系？ CSE Java SDK是ServiceComb的商业版本，其大部分组件来自于开源的ServiceComb，同时提供一些公有云对接的能力、安全、分布式数据一致性等商业能力。这部分开发框架代码可以免费使用但是没有开源。

绑定NAT网关限制 NAT网关的地域必须和EIP的地域相同。 绑定ELB实例限制 ELB实例的网络类型必须是专有网络。 ELB实例的地域必须和EIP的地域相同。 一个ELB实例仅支持绑定一个EIP。 绑定虚拟IP限制 虚拟IP实例的地域必须和EIP的地域相同。 虚拟IP实例必须处于可用或已分配状态。 虚拟IP实例仅支持绑定一个EIP。 通用使用限制 一个弹性IP只支持绑定一个云资源进行使用，且弹性IP和云资源必须在同一个资源池（Region），不支持跨资源池使用弹性IP。 仅正常未绑定状态的弹性IP支持绑定云资源，已冻结状态/已过期状态的弹性IP请先进行充值/续费后才可继续进行使用，已绑定状态弹性IP需先进行解绑才可绑定新资源。 弹性IP与云资源属于不同资源，与计费模式无关，不同计费方式均支持与云资源的绑定；对云资源进行退订/删除后，弹性IP将会继续计费，若您不再需要该弹性IP，请将该弹性IP进行释放。 若您的弹性IP因安全原因被冻结，该弹性IP不支持充值后恢复正常状态，此时将限制绑定、解绑及释放操作。 仅未绑定云资源的弹性IP支持释放，已绑定云资源的弹性IP请先将云资源解绑，后进行释放操作。 弹性IP被释放后，可能会被其他用户购买使用，此时无法找回。 弹性IP在按需计费模式下，收取IP保有费和带宽费用/流量费用，当该弹性IP与实例未绑定且未释放时，将收取IP保有费，若绑定实例则免收IP保有费，对于不需要使用的弹性IP，请及时进行释放。 弹性IP不支持跨帐号转移。 云主机/物理机通过弹性网卡与弹性IP绑定时，云主机/物理机与弹性网卡解绑时，弹性IP与被解绑的弹性网卡自动解绑。

适用场景 适用于对数据安全要求比较高的系统，确保通信双方安全可信。 注意事项 使用双向认证的前置条件： 当前域名已配置HTTPS证书。 拥有客户端证书。 配置说明 如您需要配置双向认证功能，请通过提交工单给天翼云客服，由其帮您配置。

本章节主要介绍备份元数据。 操作场景 为了确保元数据信息安全，或者用户需要对元数据功能进行重大操作（如扩容缩容、安装补丁包、升级或迁移等）前后，需要对元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。元数据包含OMS数据、LdapServer数据、DBService数据和NameNode数据。备份Manager数据包含同时备份OMS数据和LdapServer数据。 默认情况下，元数据备份由“default”任务支持。该任务指导用户通过MRS Manager创建备份任务并备份元数据。支持创建任务自动或手动备份数据。 前提条件 需要准备一个用于备份数据的备集群，且网络连通。每个集群的安全组，需分别添加对端集群的安全组入方向规则，允许安全组中所有弹性云主机全部协议全部端口的访问请求。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“数据存放路径/LocalBackup/”是否有充足的空间。 操作步骤 创建备份任务 1. 在MRS Manager，选择“系统设置 > 备份管理”。 2. 单击“创建备份任务”。 设置备份策略 1. 在“任务名称”填写备份任务的名称。 2. 在“备份类型”选择备份任务的运行类型，“周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 创建周期备份任务，还需要填写以下参数： “开始时间”：表示任务第一次启动的时间。 “周期”：表示任务下次启动，与上一次运行的时间间隔，支持“按小时”或“按天”。 “备份策略”：表示任务每次启动时备份的数据量。支持“首次全量备份，后续增量备份”、“每次都全量备份”和“每n次进行一次全量备份”。选择“每n次进行一次全量备份”时，需要指定n的值。

本节介绍跨区域互联的开通说明和开通步骤。 产品定义 跨域互联可为客户提供同租户下不同VPC相同资源池或跨资源池互通的能力。 应用场景 场景1：同一租户下A资源池VPC1与VPC2互通。 场景2：同一租户下A资源池VPC1与B资源池VPC1互通（需要开通跨域带宽）。 使用限制 在开通跨域互联前需确认：需互通的资源池和虚拟私有云（vpc）的相关信息。VPC开通详情可查看“管理虚拟私有云”的相关操作指引。 注意 所有互通的VPC子网不可重叠，且跨域互联只能绑定同一个租户下的VPC。 跨域互联开通步骤 （1）创建跨域互联 （2）加载其他VPC或者子网 （3）开通跨域带宽并设置域间带宽 （4）设置桌面安全组与Windows防火墙

本文介绍AIuse云电脑的产品特点 AIuse云电脑致力为AI构建任务执行平台，它依托天翼AI云电脑的强大算例，通过意图识别，模拟用户操作，自动完成任务的规划、决策与实施，助力AI的商业化落地。 多场景覆盖 搭建可定制云端桌面环境，依托标准化接口实现传统桌面软件自动化调用与批量操作，适配政企办公，研发测试等多场景使用。 灵活接入 提供标准化工具链与弹性运行环境、支持WebSdk、MCP等主流接入方式，无缝对接各种AI agent，兼容轻量调用与专业部署方式。 高效运行 依托天翼云强大算力底座，实现算力弹性伸缩与并发场景高效运行，保障桌面操作、软件运行及数据处理的流畅性与可靠性。 安全防护 采用企业级沙箱防护方案，构建多层次安全体系，用过严格权限隔离防范各类安全风险，保障企业核心业务数据安全合规。

本文介绍如何通过ELB接入方式将网站接入WAF进行防护。 Web应用防火墙（原生版）支持接入负载均衡（ELB）实例，您可以为使用HTTP或HTTPS监听协议的ELB监听器开启WAF防护。WAF对进入监听器的应用层流量进行检测（不参与流量转发），您可根据自身应用需求设置相应的防护规则。 前提条件 该功能当前处于试用阶段，如需试用请通过天翼云控制台提工单进行申请。 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 实例支持防护的ELB监听器个数未超过配额限制，各个版本支持的配额请参见产品规格。 约束限制 目前仅支持防护性能保障型的负载均衡实例，不支持经典型实例。 目前仅支持为HTTP/HTTPS监听器开启安全防护。 目前仅支持防护“武汉41”区域的ELB监听器。 在WAF控制台开启防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到WAF控制台，在左侧导航栏选择“接入管理”，选择“云产品接入”页签。 5. 单击“添加防护对象”进入添加防护对象页面，配置防护对象参数。 配置项 说明 ELB（负载均衡器） 单击“选择ELB（负载均衡器）”，弹出当前所在区域的ELB实例列表，找到目标ELB，单击操作列的“选择”。 监听器 单击“选择监听器”，弹出所选ELB实例下的监听器列表，找到目标监听器，单击操作列的“选择”。 说明 仅支持选择监听协议为HTTP 、HTTPS的监听器。 防护对象名称 防护对象的名称，默认为“ELB名称 :监听器名称”，支持自定义。 域名 （可选）填写所选监听器下的域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 备注 （可选）防护对象的描述信息，可以自定义。 6. 配置完成后单击“确定”，返回云产品接入页面。 说明 ELB监听器接入WAF后，WAF防护开关默认“开启”，暂不支持在WAF控制台关闭防护。

步骤三：访问ZOS服务 操作场景 终端节点与DNS终端节点服务和ZOS终端节点服务建立连接后，本地数据中心就可通过VPN连接或云专线来实现对ZOS服务的访问。 前提条件 本地数据中心通过VPN连接或云专线与云上VPC建立连接，确保数据的安全传输，并实现对ZOS的访问，需进行如下配置： VPN网关设置：确保允许访问的VPC子网网段包含了ZOS所在的网段。具体请参考VPN连接。 云专线虚拟网关设置：需要确保允许访问的VPC子网网段中包含ZOS所在的网段。具体请参考开通云专线。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入A账号登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”。 4. 在“终端节点”列表，点击已创建的连接到DNS服务的终端节点的名称/ID，查看该终端节点的“节点IP”。 5. 在用户本地数据中心的DNS服务器上配置相应的DNS转发规则，以将解析ZOS域名的请求转发到连接DNS服务的终端节点（部分资源池支持终端节点上启用，支持资源池以控制台展示为准，未支持资源池可直接使用地址直接访问ZOS服务）。 6. 配置用户本地数据中心节点到VPN网关或云专线网关的DNS路由。为了通过VPN或云专线访问DNS，需要配置用户本地数据中心节点的永久路由，将访问DNS的流量指向用户本地数据中心节点的专线网关或VPN网关的IP地址。 7. 验证本地数据中心与ZOS的连通性。

OOS会不会扫描我的数据用于其他用途？ 系统对数据做的扫描仅限于判断数据块是否存在或被损坏（如有损坏，会启动修复），不会读取具体的内容。 后台工程师能否导出我存在OOS中的数据？ 后台工程师无法导出用户数据。 使用数据迁移工具，可以迁移哪些数据至OOS？ 数据迁移工具支持下列场景的数据迁移至OOS： 搬迁本地数据至OOS。 迁移第三方云厂商数据至OOS，如阿里云、腾讯云、华为云、AmazaonS3。 OOS之间数据迁移（跨帐号、跨资源池以及同资源池内数据迁移）。 OOS是否支持数据冗余存储？ 支持。OOS支持多种冗余存储方式，包括Erasure Code（EC，纠删码）和多副本。在保证数据安全性的情况下，OOS会选择最优冗余存储方案进行数据存储。 使用OOS时，出现RequestTimeTooSkewed的报错信息，怎么处理？ 出于安全目的，OOS会校验客户端与OOS服务端的时间差，当两者相差大于15分钟时，OOS服务器会拒绝您的请求，并给出报错信息RequestTimeTooSkewed。此时，请检查发送请求设备的系统时间，并根据时区调整到正确时间。OOS的系统时间采用UTC/GMT时间，您的设备的系统时间需要调整到UTC时间，或与其相对应的时区时间。UTC是零时区的区时，即世界标准时间。

本节介绍了通过公网访问集群的用户指南。 简介 本文档介绍了如何通过公网访问云容器引擎集群。通过正确配置 Kubernetes API Server 和 Ingress 控制器，您可以安全地从公网访问集群资源。 绑定EIP 登录云容器引擎控制台，单击集群名称进入集群。 在集群信息页中，点击连接信息，点击公网访问，若未绑定eip，点击绑定eip，若未创建eip，则需先创建eip。 绑定完eip后。 在集群信息页中，点击连接信息。 点击公网访问，复制kubeconfig文件内容，将该内容复制到$HOME/.kube/config文件下： 配置 API Server 修改 API Server 配置 编辑 Kubernetes API Server 配置文件，通常位于 /etc/kubernetes/manifests/kubeapiserver.yaml。在 command 部分添加以下参数： plaintext advertiseaddress externalhostname 替换 为您的公网 IP 地址，替换 为您的公网 DNS 名称。 重启 API Server 应用配置更改后，Kubelet 会自动重新启动 API Server。您可以通过以下命令检查 API Server 是否正常运行： plaintext kubectl get pods n kubesystem 确保 kubeapiserver Pod 处于 Running 状态。 配置防火墙规则 确保防火墙允许以下端口的入站流量： 6443：Kubernetes API Server 80：HTTP 443：HTTPS 具体的防火墙配置取决于您的云提供商。 配置 Ingress 控制器

VPC边界防火墙支持VPC之间通信流量的访问控制，实现内部业务互访活动的可视化与安全防护。 支持的防护对象 虚拟私有云（VPC） 虚拟网关（VGW） VPN网关（VPN） 企业连接网（ECN） 全球接入网关（DGW） 约束条件 仅“专业版”支持VPC边界防火墙。 依赖企业路由器（Enterprise Router, ER）服务引流。 仅支持防护当前账号所属企业项目下的VPC。 配置流程 企业路由器模式（新版）配置及使用流程： 操作步骤 操作说明 创建VPC边界防火墙 为VPC边界防火墙规划用于引流的网段。 说明 引流VPC不会创建在您的账号上，即不占用您的防护VPC个数。 配置企业路由器并将流量引至云防火墙 通过企业路由器连通VPC和云防火墙之间的流量。 为防护VPC添加连接，建立VPC与ER之间的网络互通。 在企业路由器中创建两个路由表作为关联路由表和传播路由表，将VPC和防火墙之间的流量互相传输。 为VPC添加一条指向企业路由器的路由。 开启/关闭VPC边界防火墙并确认流量经过云防火墙 开启VPC边界流量防护，并验证流量是否经过云防火墙。 VPC边界防护规则 通过防护规则放行/拦截流量（放行后的流量会经过入侵防御IPS、病毒防御等功能的检测）。 通过添加黑白名单拦截/放行流量 通过黑白名单放行/拦截流量（放行/拦截的流量，不再经过其它功能的检测）。 访问控制日志 查看防护策略是否生效。

本章节主要向您介绍VPN连接的产品功能。 VPN连接（Virtual Private Network Connection，以下简称VPN），用于在远端用户和虚拟私有云（Virtual Private Cloud，以下简称VPC）之间建立一条安全加密的公网通信隧道。当您作为远端用户需要访问VPC的业务资源时，您可以通过VPN连通VPC。 默认情况下，在虚拟私有云（VPC）中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。 经典版VPN 经典版VPN采用硬件防火墙作为网关，所有租户共享IPSec隧道资源；一个租户业务触发故障将会影响其他租户业务。 企业版VPN 企业版VPN采用虚拟网关软件作为网关，VPN网关由租户独占，不与其他租户共享，带宽、连接数可保障；一个租户网关故障时，不会影响其他租户网关。 VPN关联ER 传统方式下，本地数据中心同时对接不同VPC时，VPN侧需要配置多条VPN连接，分别对应到不同VPC。 使用VPN关联ER（Enterprise Router，企业路由器）功能后，VPN只需要对接到ER，VPC之间的网络路由通信均由ER实现，从而简化网络配置。

本节介绍天翼云手机的产品定义,以便您了解云手机。 天翼云手机是通过虚拟化技术在云端运行的安卓手机实例，手机上的应用可以在云上虚拟手机中运行。作为一款新型应用，云手机对传统手机起到了延伸和拓展作用，畅享移动办公、手机游戏和娱乐，企业客户也可以通过配备的全方位管控能力，实现对云端办公环境的安全管控。云手机目前提供产品版本： 天翼云手机（政企版） 向政府、金融、警务等各行业企业客户，提供安全、可管控、低成本的手机办公解决方案。 产品架构

介绍解决部分Linux系统的账户破解防护功能未生效 故障原因 主机系统中SSHD服务没有依赖libwrap.so。 libwrap是一个免费的软件程序库，实现了通用的TCP。 Wrapper功能。任何包含了libwrap.so的daemon程序可以使用/etc/hosts.allow和/etc/hosts.deny文件中的规则对主机进行简单的访问控制。 解决方法 登录云服务器安装企业主机安全Agent，然后执行下面的命令： sh /usr/local/ hostguard/conf/configsshxinetd.sh 存在问题的镜像版本 Gentoo的镜像存在该问题的版本如下： Gentoo Linux 17.0 64bit（40GB） Gentoo Linux 13.0 64bit（40GB） OpenSUSE的镜像存在该问题的版本如下： OpenSUSE 42.2 64bit（40GB） OpenSUSE 13.2 64bit（40GB）

支持对后端主机进行健康检查 支持用户自定义健康检查方式和频率，负载均衡根据预设的健康检查规则定时检查后端主机组运行情况，一旦检测到云主机为非健康状态，则不会将访问流量分派到这些非健康云主机实例。 支持IPv4 和 IPv6 双栈方案 兼容IPv4和IPv6地址，并且能够同时处理IPv4和IPv6流量。用户可以将IPv4和IPv6的流量通过负载均衡器进行负载均衡，并将其分发到后端的IPv4和IPv6云主机上，满足不同网络环境和要求下的负载均衡需求。 支持访问控制功能 通过设置黑、白名单等措施，对负载均衡器的访问进行灵活控制。黑名单是指禁止特定的IP访问负载均衡，白名单是指允许特定的IP访问负载均衡。通过对黑、白名单的设置，实现对系统的安全保护和访问控制。 支持跨可用区容灾 支持用户将后端服务节点部署在不同的可用区，通过负载均衡服务将流量分发到这些节点上。如果某个可用区出现故障，负载均衡服务可以自动将流量切换到其他正常的可用区，从而实现跨可用区容灾。