本节介绍了在RabbitMQ实例中如何创建、修改和删除用户。 背景信息 客户端访问分布式消息服务RabbitMQ 版服务端时，需要传入用户名和密码进行权限认证，认证通过才允许访问服务端。 操作步骤 创建用户 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“用户”到达用户管理页面，点击“新建”按钮。 5.点击“新建”后出现以下画面，输入用户密码后点击“确定”即可创建。 修改用户 1.在用户管理页面，在目标用户行点击“修改”，即可重置用户密码。 删除用户 1.在用户管理页面，在目标用户行点击“删除”，即可删除用户。 获取用户token 仅云原生引擎支持 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“用户”到达用户管理页面，点击“Token”按钮。 在RabbitMQ中，获取用户令牌（token）的作用如下： 认证和授权：用户令牌用于认证和授权用户对RabbitMQ的访问权限。通过获取有效的用户令牌，可以验证用户的身份，并根据其权限配置来限制或授予其对虚拟主机、队列、交换机等资源的访问权限。 安全性：通过使用用户令牌进行认证，可以增加RabbitMQ系统的安全性。只有具有有效令牌的用户才能访问和执行相应的操作，从而减少了未经授权的访问和潜在的安全风险。 资源管理：用户令牌可以用于管理和限制用户对RabbitMQ资源的使用。通过为每个用户分配独立的令牌，可以控制其对虚拟主机、队列、交换机等资源的使用情况，避免资源滥用或过度消耗。 追踪和审计：通过用户令牌，可以追踪和记录用户对RabbitMQ的操作和访问历史。这对于安全审计、故障排查和性能优化等方面非常有用，可以帮助管理员了解系统的使用情况和问题定位。 总之，获取用户令牌是为了实现认证、授权和安全性，以及对RabbitMQ资源的管理和追踪。通过令牌，可以确保只有经过授权的用户才能访问和操作RabbitMQ，提高系统的安全性和可管理性。

本文将为您介绍云硬盘备份的入门操作流程。 天翼云云硬盘备份可以为用户提供备份服务，并在磁盘故障、用户误删数据、遭到黑客攻击等情况下，使用云硬盘备份恢复数据或创建新盘，最大限度保证用户数据的安全性，云硬盘备份的使用流程如下图： 1. 首先进行准备工作，注册天翼云，确保账户余额充足，具体流程参见准备工作。 2. 在备份前，用户需要购买存储库，便于后续创建备份，存储库创建步骤请参见创建存储库。 3. 用户在创建存储库时可以选择云硬盘资源，并对其进行立即备份或设置自动备份，不选择云硬盘资源则代表仅创建存储库。存储库创建好，即可对云硬盘资源进行备份，后续产生的备份会放置于存储库中，创建备份的操作步骤请参见创建云硬盘备份。 4. 备份创建成功之后，用户可以根据业务实际需要，使用备份恢复云硬盘的数据，恢复数据的步骤请参见使用备份恢复源云硬盘以及使用备份创建新的云硬盘。

本章节介绍云硬盘备份的场景说明,包含一次性备份和周期性备份。 云硬盘备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云硬盘的方式创建的周期性备份任务。 云硬盘备份的两种配置方式对比如下表，可根据实际情况选择适合的配置方式。 对比项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云硬盘数目 1个 无限制由服务器性能决定 备份名称 支持自定义 系统自动生成 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。 另外，用户也可以根据业务情况将两种方式混合使用。例如，根据云硬盘中存放数据的重要程度不同，可以将所有的云硬盘加入到一个备份策略中进行日常备份保护。其中个别保存有非常重要的数据的云硬盘，根据需要不定期的执行一次性备份，保证数据的安全性。

本文为您介绍容器安全卫士的应用场景，包括镜像安全防护和容器安全防护。 镜像安全防护 采用容器技术后，业务容器基于镜像启动。如何在业务上线前提前感知镜像安全风险，保障安全上线变得尤为重要。 方案优势 兼容性强：兼容市面主流镜像仓库，以及主流操作系统，包括国产化欧拉、麒麟等国产镜像OS。 检测全面：基于多漏洞源以及病毒库，深入检测软件成分、漏洞、恶意文件、软件许可、敏感信息等安全风险。 风险阻断：针对风险镜像，可基于特权启动、漏洞、软件、文件、环境变量等多维度阻止其上线运行。 场景示意图 容器安全防护 容器内承载的即是业务进程，一旦容器被攻陷，或基于业务逻辑攻击进入容器，都将面临不可预估的风险，所以在享受容器带来便利的同时，也要加强关注容器及业务的安全性。 方案优势 覆盖ATT&CK全阶段：提供业务命令执行、文件读写、网络活动、主机风险等多个维度的安全检测策略，且可自定义。覆盖ATT&CK各个阶段，确保风险及时发现。 资产/风险联动性强：通过任一资产，都可查看其关联的其他资产，在发现风险时，也会提供攻击链条及详尽的关联数据，辅助判断。 确认风险极速处置：确认风险后，对存在风险的业务容器，可一键进行隔离、重启，或暂停容器。再通过历史信息对风险进行溯源。

查看镜像详情 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表中的“镜像名称”，进入镜像详情页面查看镜像的基本信息、关联信息、漏洞、软件、文件、环境变量、安全溯源等相关信息。 查看镜像安全概览 镜像安全概览页面可以查看镜像的基本信息、风险分数、安全问题、镜像命中的安全策略、安全建议等信息。 查看镜像关联容器 在“关联容器”页面，可查看与镜像相关联的容器的信息，包括容器名称、容器所在Pod名称、所属集群名称、运行所在节点的名称。 查看镜像漏洞详情 在“漏洞”页面，可查看该镜像中各个危险级别的漏洞统计情况，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 单击漏洞详情中的“命中安全策略”，可以查看漏洞命中的安全策略。 单击漏洞详情操作列的“加入白名单”可忽略此漏洞。添加完成后，扫描该镜像将不再展示已加入白名单的漏洞。

本节介绍服务器安全卫士（原生版）风险评估相关常见问题。 什么是基线扫描？ 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线扫描功能针对服务器操作系统、数据库、软件的配置进行安全检测，可以帮您加固系统安全，降低入侵风险并满足安全合规要求。 基线扫描功能通过配置不同的基线检查策略，可以帮助您快速对服务器进行批量扫描，发现包括系统、账号权限、数据库等存在的风险点，并提供修复建议。 基线扫描配置： 基线分类 检查标准及检查内容 覆盖的系统和服务 CIS基线 基于CIS标准的安全基线检查 Unix系统基线检测 Red Hat 6企业版基线检测 Red Hat 7企业版基线检测 Windows审计基线 Windows 10 企业版安全基线检测 Windows 2012 R2安全基线检测 Windows 2016安全基线检测 SQL Server 2012安全基线检测 MySQL 5.6 社区版基线检测 MySQL 5.6企业版基线检测 Apache HTTP Server 2.4基线检测 Web应用漏洞审计基线 如何对指定服务器下发基线检测任务？ 1. 进入服务器安全卫士（原生版）控制中心。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 4. 在策略管理页面，单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”。

本文为您介绍云监控IAM权限策略。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1、身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 2、权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等信息。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ： 预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 其中云监控服务相关的系统策略包含如下： 云监控管理者(admin) ：云监控服务的管理者权限，包含云监控服务的所有控制权限； 云监控查看者（viewer）:云监控服务的查看者权限，包含资源列表、告警规则列表查看等权限； 自定义策略 ： 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

特性 说明 检测位置 检测Web网站和新媒体平台发布的内容。 检测范围 内容的合法合规性、准确性。 检测技术 机器检测：基于丰富的违规样例库进行机器初审核。 检测技术 人工审核：内容审核专家基于多年经验对机器检测结果进行再审核。 交付形式 Word形式的检测报告。 “检测类型”选择“内容安全单次检测（按需）”时，下单后的7个工作日内出报告。 “检测类型”选择“文本安全监测（按月/按年）”时，下单后的检测周期（1个月）后的7个工作日内出报告。 计费模式 包年/包月（预付费）和按需计费（后付费）两种计费方式。 文本安全监测（按年） 文本安全监测（按月） 内容安全单次检测（按需） 按“检测对象”的总个数进行收费。同一个对象再次进行扫描时，需要重新收费。例如：单次配置了10个检测对象（新媒体账号或网站网址），每个检测对象检测一次，则需要进行10次收费。

本节主要介绍相关术语解释 工作负载 工作负载即Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Job、Deamonset等。 无状态工作负载（即kubernetes中的“Deployments”）：Pod之间完全独立、功能相同，具有弹性伸缩、滚动升级等特性。如：nginx、wordpress。 有状态工作负载（即kubernetes中的“StatefulSets”）：Pod之间不完全独立，具有稳定的持久化存储和网络标示，以及有序的部署、收缩和删除等特性。如：mysqlHA、etcd。 实例（Pod） Pod是 Kubernetes 部署应用或服务的最小的基本单位。一个Pod 封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络 IP 以及管理控制容器运行方式的策略选项。 金丝雀发布 又称灰度发布，是迭代的软件产品在生产环境安全上线的一种重要手段。在生产环境上引一部分实际流量对一个新版本进行测试，测试新版本的性能和表现，在保证系统整体稳定运行的前提下，尽早发现新版本在实际环境上的问题。 蓝绿发布 蓝绿发布提供了一种零宕机的部署方式。不停老版本，部署新版本进行测试，确认运行正常后，将流量切到新版本，然后老版本同时也升级到新版本。始终有两个版本同时在线，有问题可以快速切换。 流量治理 应用流量治理提供可视化云原生应用的网络状态监控，并实现在线的网络连接和安全策略的管理和配置，当前支持HTTP、TCP流量下的路由规则、负载均衡、会话保持、连接池管理、RBAC等能力。

本文介绍如何在天翼云APP注册或登录天翼云账号。 如何在APP注册天翼云账号 短信注册 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择切换至短信注册方式 3、若该手机号已经注册过天翼云账号，可选择继续注册或选择已有账号登录 注意 一个手机号最多可注册5个天翼云账号，超出则不再支持注册新的天翼云账号 通过短信注册的账号默认开启短信登录功能，若关闭此功能，请确保已设置登录密码，便于后期使用账号登录 账号注册 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，填写账号信息 3、注册成功后可可返回登录界面进行账号登录 如何在APP登录天翼云账号 短信登录 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择其他方式 3、填写手机号及验证码 账号登录 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择其他方式 3、填写账号及密码 如何使用天翼云APP扫码登录 用户可以在PC端和APP端使用同一个天翼云账号，支持通过天翼云APP扫码登录PC端。 1、在PC端选择扫码登录 2、使用天翼云APP【扫一扫】功能，扫描PC端的二维码 注意 天翼云APP需要为已登录状态 3、在天翼云APP的安全提示界面，选择【确认登录】 4、PC端登录成功

本页介绍天翼云TeleDB数据库如何报告可能的安全漏洞或安全缺陷。 天翼云数据库团队欢迎您通过工单或邮件（teledb@chinatelecom.cn）向我们报告数据库产品可能存在的安全漏洞或安全缺陷，我们将第一时间处理并向您反馈结论。 为提高确认安全漏洞的效率，欢迎您在相关报告中明确发现产品或组件版本，复现问题的具体方法。相关安全漏洞在未经天翼云确认前，请勿向互联网或第三方公开。 天翼云数据库团队漏洞处理的大概流程： 报告者将可能的安全漏洞报告给天翼云数据库团队; 团队记录并第一时间安排专家复现验证，分析原因； 与报告者私下沟通确认更多漏洞细节； 无论是否确认为安全漏洞，均答复报告者具体原因和后续方案； 若为超危、高危安全漏洞的且无法短时间修复的，将先输出临时解决方案，再进行完整修复； 若为新增安全漏洞的，将按照国家相关规定，向国内相关漏洞收录组织报告； 修复完成后，通过合适手段向天翼云数据库用户公开漏洞信息和修复方案。

ODBC驱动 选择相应的版本，然后单击“下载”可以下载与集群版本匹配的ODBC驱动。如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的ODBC驱动。如果当前没有集群，单击“下载”时将下载到低版本的ODBC驱动。DWS 集群可向下兼容低版本的ODBC驱动。 单击“历史版本”可根据操作系统和集群版本下载相应版本的ODBC驱动，建议按集群版本进行下载。 ODBC驱动支持在以下系统中使用： “Microsoft Windows”驱动支持在以下系统中使用： Windows 7及以上。 Windows Server 2008及以上。 Euler Kunpeng64”驱动支持在以下系统中使用： EulerOS 2.8。 “RedhatKunpeng64”驱动支持在以下系统中使用： CentOS 7.5,7.6。 NeoKylin 7.6。 ”Redhat x8664”驱动支持在以下系统中使用： RHEL 6.4~7.6。 CentOS 6.4~7.4。 EulerOS 2.3。 ”SUSE x8664”驱动支持在以下系统中使用： SLES 11.1~11.4。 SLES 12.0~12.3。 说明 Windows驱动只支持32位版本，可以在32或64位操作系统使用，但是应用程序必须为32位。 使用JDBC连接数据库 DWS 支持在Linux或Windows环境下使用JDBC应用程序连接数据库。应用程序可以在云平台环境的弹性云主机中，或者互联网环境连接数据库。 用户通过JDBC连接DWS 集群时，可以选择是否采用SSL认证方式。SSL认证用于加密客户端和服务器之间的通讯数据，为敏感数据在Internet上的传输提供了一种安全保障手段。DWS 管理控制台提供了自签的证书供用户下载。使用该证书，用户需要配置客户端程序，使证书可用，此过程依赖于openssl工具以及java自带的keytool工具。 说明 SSL模式安全性高于普通模式，建议在使用JDBC连接DWS 集群时采用SSL模式。 JDBC接口的使用方法，请自行查阅官方文档。

本节介绍了安装并配置CloudbaseInit工具的操作场景、前提条件、安装CloudbaseInit工具、配置CloudbaseInit工具。 操作场景 为了保证使用私有镜像创建的新云主机可以通过“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码），建议您在创建私有镜像前安装CloudbaseInit工具。 不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 使用公共镜像创建的云主机，默认已经安装CloudbaseInit，不需要执行安装及配置操作。 使用外部镜像文件创建的云主机，请按照指导安装及配置CloudbaseInit。 前提条件 已为云主机绑定弹性公网IP。 已登录到云主机。 云主机的网卡属性为DHCP方式。 已安装一键式重置密码插件。 因为安装CloudbaseInit工具的操作步骤中如果有重启云主机的操作，可能导致密码被修改为一个随机密码，所以需要安装一键式重置密码插件重置密码。操作步骤请参考安装一键式重置密码插件。 安装CloudbaseInit工具 1. 在Windows操作系统中，单击“开始”，选择“控制面板 > 程序 > 程序和功能”查看是否安装CloudbaseInit。 − 是，无需重复安装，直接执行下文“配置CloudbaseInit工具”。 − 否，执行以下安装操作步骤。 2. 操作系统是否为Windows桌面版。 − 是，执行3。 − 否，若操作系统为Windows Server版本，请执行4。 3. 如果操作系统是Windows桌面版，如Windows 7或者Windows 10，那么需要在安装CloudbaseInit前确保Adminstrator账号未禁用。以Windows 7为例，具体操作请以实际为准。 a. 在操作系统中单击“开始”，选择的“控制面板 > 系统和安全 > 管理工具”。 b. 双击“计算机管理”。 c. 选择“系统工具 > 本地用户和组 > 用户”。 d. 右键单击“Administrator”，选择“属性”。 e. 确认已取消勾选“账户已禁用”选项。 4. 下载CloudbaseInit工具安装包。 根据Windows操作系统的不同位数，您需要下载不同版本的CloudbaseInit工具安装包。Cloudbase官网： CloudbaseInit分为稳定版本和Beta版本两种。 稳定版本获取路径： − 64位： − 32位： Beta版本获取路径： − 64位： − 32位： 5. 双击打开CloudbaseInit工具安装包开始安装。 6. 单击“Next”。 7. 勾选“I accept the terms in the License Agreement”，单击“Next”。 8. 使用CloudbaseInit默认安装路径进行安装，单击“Next”。 9. 在“Configuration options”窗口中，设置用户名为“Administrator”，日志输出串口选择“COM1”，且不勾选“Run CloudbaseInit service as LocalSystem”。如下图所示。 说明： 图片中的版本号仅供参考，请以实际情况为准。 设置参数 10. 单击“Next”。 11. 单击“Install”。 12. 在“Files in Use”窗口保留默认勾选“Close the application and attempt to restart them”，单击“OK”。 13. 操作系统是否为Windows桌面版。 − 是，执行15。 − 否，执行14。 14. 在“Completed the CloudbaseInit Setup Wizard ”窗口，请勿勾选“Run Sysprep to create a generalized Image. This is necessary if you plan to duplicate this instance, for example by creating a Glance image”及“Shutdown when Sysprep terminate”。如下图所示。 完成安装 说明： 图片中的版本号仅供参考，请以实际情况为准。 15. 单击“Finish”。

本节为您介绍如何通过云主机创建整机镜像,包括Linux和Windows操作系统。 操作场景 您可以使用弹性云主机将其挂载的数据盘一起创建整机镜像，云主机整机镜像包含系统盘与数据盘，使用挂载有数据盘的云主机创建的整机镜像包含操作系统、应用软件，以及用户的业务数据。可用于快速发放相同配置的弹性云主机，实现数据迁移。 前提条件 系统盘或数据盘加密的云主机不可创建整机镜像。 整机镜像只能通过云主机创建，不能通过镜像文件创建。 如果只有系统盘的云主机，不支持创建整机镜像，请选择系统盘镜像。 当删除整机镜像时，对应的整机备份同时删除。 使用整机镜像购买云主机时，在磁盘选项里面，系统盘与数据盘的类型与整机镜像的系统盘数据盘类型相同，不可更改。数据盘大小不可更改，系统盘大小必须大于等于整机镜像中的系统盘大小。如整机镜像有多块数据盘，则购买页面亦有多块数据盘，且不能删除数据盘。计费标准与正常挂载数据盘一致。 整机镜像不支持导入、导出功能。 节省关机状态下的云主机不支持创建镜像。 注意 请确保已删除实例中的敏感数据，避免数据安全隐患。 弹性云主机与其创建的私有镜像属于同一个地域，不能跨地域使用。 创建私有镜像的过程中，请勿对所选云主机及其相关联资源进行任何操作。 创建整机镜像所需时间取决于云主机系统盘的大小，私有镜像创建完成才可以使用，请您耐心等待。

配置项 说明 状态 开启或关闭无线网络 SSID 配置无线网络名称，用于区分不同的WiFi网络 SSID广播 开启SSID广播，设备在搜索WiFi时会显示SSID 安全认证 支持WPA2PSK(强安全性)、WPAPSK(弱安全性)、无加密(开放网络) 密码 当安全认证选择WPA2PSK(强安全性)、WPAPSK(弱安全性)时，需要配置密码

本节主要介绍云存储网关的产品优势。 易用即装即用 仅约140MB的高度优化zip安装包，只需3个命令即可安装在Linux操作系统上，从安装包解压到集群初始化不超过3分钟。云存储网关与通用64位x86服务器和ARM服务器上的主流Linux操作系统兼容。 成本利用率高 兼容主流Linux操作系统，支持和其他应用混合部署，支持异构硬件部署，支持自动精简配置，显著提高了资源利用率，降低使用成本。 安全稳定可靠 支持多副本和纠删码数据冗余保护机制，多种异常情况下确保数据不丢，并且保持数据一致性，可以承载企业核心业务数据；通过传输加密、监控告警、配置备份等最大程度实现安全保障。 高可用业务永续 可达秒级故障切换速度，实现不中断会话的故障转移，媲美传统高端存储，单节点故障不影响可用性，确保企业核心应用724永续。 快速读写延迟低 采用分布式双控架构，提升读写性能，延迟极低。同时优化了数据重建流程，避免性能瓶颈，快速响应企业的核心应用。 上云弹性扩展 可作为本地与云端存储之间的桥梁，利用天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS）提供的PB级弹性存储空间能力，实现大规模横向扩展，将全量数据自动同步到OOS中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。

账户安全 学术加速企业版服务包括二次登录验证和密码策略管理功能，支持企业根据安全需求自定义登录认证和密码策略。企业可以设定符合自身安全标准的密码规则和用户登录验证流程，从而提升账户安全和数据保护。 具体账号安全的功能及详细介绍，详细见：账户安全。 终端管理 终端资产 终端资产管理功能允许企业记录和收集员工使用学术加速客户端时的设备信息和登录状态。这有助于企业对员工的终端设备进行有效管理和监控，确保设备安全和合规使用。 具体终端资产的功能及详细介绍，详细见：终端资产终端设备管理。 设置管理 企业服务 企业服务主要是展示企业服务过程中的关键信息，比如企业认证标识、服务状态等。 具体企业服务的功能及详细介绍，详细见：企业服务。 客户端限速 可根据企业场景进行单客户端访问限速，限速仅针对学术加速资源进行限速，不影响其他互联网访问。 具体客户端限速功能及详细介绍，详细见：客户端限速。 日志分析 日志分析日志分析功能专为企业设计，用于高效管理用户终端的登录日志、访问资源网站的记录以及控制台的操作记录。 具体日志分析的功能及详细介绍，详细见：日志分析。

本文介绍如何开启企业级安全会议。 使用前提 下载安装各类终端：Windows客户端、macOS客户端、iOS客户端、Android客户端。 预定会议时，进行“更多安全设置”。 注意事项 敏感会议建议启用水印功能。 高风险会议可启用“会议锁定”或者限定“入会范围”。 应用场景说明 适用于涉及敏感信息、客户隐私、公司战略的场景： 法务、财务、内控审计类会议。 战略汇报、高管决策会议。 涉密技术讨论与客户合作方案评审。 通过多层次安全控制，保障会议内容仅在授权范围内传播，避免泄密和信息风险。 操作步骤 会前，会议创建者在“预定会议”时可设置“入会密码”，并进行“更多安全设置”。 会中，主持人/联席主持人可点击“安全”>“会议管理”、“安全”>“参会者权限”进行锁定会议、限制入会范围、开启会议水印等管控操作。 会中，主持人/联席主持人可实时关注“成员管理”列表，密切关注参会成员，并对参会人员进行管控。 会后，会议创建者可通过“历史会议”>“详情”列表查看参会人进行审计。

本节介绍如何使用文件检测功能。 步骤一：创建检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 检测规则”。 3. 点击“新增”, 举例自定义检测内容包含关键字“机密”等。 步骤二：上传验证文件 方式一：在客户代理模型上传包含步骤一中关键字内容的文件。 方式二：进入“内容安全 > 语料安全 > 文件检测”页面，点击“上传文件”上传包含步骤一中关键字内容的文件。 可以看到，上传的文件被成功拦截。

本文简述如何配置源站信息。 功能介绍 源站配置模块支持客户自定义源站。支持IP或域名，支持配置天翼云媒体存储和天翼云对象存储作为源站；支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源场景 功能简介 配置入口 多层级主备及权重回源 客户有多个源站时，支持多主多备，及按不同权重回源。 客户控制台域名管理域名列表回源配置源站配置。 动态回源策略 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式。 详见：动态回源策略 区分地区、运营商回源 支持分地区、运营商回源。 通过提交工单，由天翼云客服人工配置。 区分IPv4/IPv6协议回源 支持分IPv4/IPv6协议回源。 通过提交工单，由天翼云客服人工配置。 注意事项 一个加速域名最多配置60个源站。 配置说明 1.登录边缘安全加速控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置” 4.点击“添加源站”，输入源站地址，在“层级”下拉框中选择“主或备”，即可添加源站。 5.如需对已经添加的源站信息进行修改，可直接在配置项中进行修改。 6.也可以点击对应源站后面的“删除”键删除对应源站。

SaaS部署模式架构： 混合部署： 混合部署模式下，零信任中心SaaS化提供，零信任安全网关独立部署在客户机器，支持网关集群化部署，实现高可用以及稳定性提升。 连接器（可选）：若企业只有一个数据中心，则无需部署连接器，部署连接器能支持跨数据中心统一接入。 部署说明： 客户端：企业员工下载部署。 零信任安全中心：天翼云部署管理。 零信任网关：企业部署管理。 连接器：企业部署（按需，如有多数据中心场景进行部署）。 混合部署模式方案1：无需连接器场景 单数据中心仅部署零信任网关进行内部转发，建议部署至少2台进行主备。 混合部署模式方案2：使用连接器场景 零信任服务SaaS模式和混合部署模式对比 特性维度 SaaS化部署模式（使用天翼云边缘节点网关能力） 混合部署模式（独享网关） 核心架构 使用天翼云共享的全球边缘节点作为网关。 客户本地私有化部署独享网关。 业务数据流访问链路 用户 > 天翼云边缘节点 内网应用。 1、未启用连接器： 独享网关直接访问到内网，无需安装连接器，适用于只有一个数据中心的场景。 数据流：用户 > 独享网关（客户网络机器） > 内网应用。 2、启用连接器场景： 连接器反向连接到独享网关，不同数据中心，通过连接器集群的关联应用功能，管理不同的网络数据中心访问内网的链路。 用户 > 独享网关（客户网络机器） 内网应用。 控制数据链路 经过天翼云（仅用于认证和策略下发）。 经过天翼云（仅用于认证和策略下发）。 业务数据流链路差异 业务流量经过天翼云节点（数据加密、不同客户的网络空间严格隔离）。 业务流量完全不经过天翼云，直达客户内网，保障客户数据隐私安全。 网络要求 客户侧无需暴露公网IP和端口对外开放，通过连接器反向代理，连接器需放行出口方向流量。 客户需为独享网关提供公网接入IP和端口开放，用于不同网络区域的客户端接入。 独享访问出方向流量需放行访问天翼云AOne中心的流量，用于对接AOne零信任中心获取配置和策略，作为控制面管理。 部署连接器场景，独享网关需放行连接器建连的流量。 SPA单包认证 SaaS模式对客户侧无端口暴露，天翼云边缘节点支持SPA单包认证机制。 支持SPA，客户侧公网开放的IP和端口遵循SPA单包认证机制，需要客户端完成可信认证后，网关才允许客户端方对该IP端口进行连接请求。 说明 若外部使用扫描工具对客户侧公网接入点进行扫描时，独享网关开放IP和端口不会响应扫描器，端口开放标识为DOWN。 时延性能 依托天翼云全球2800+边缘节点，智能调度能力，保障不同区域接入天翼云节点的网络质量，整体接入效果更佳。 无天翼云边缘节点加速效果，时延根据客户提供的享网关节点链路和客户端接入距离有不同差异，若客户端接入地点和独享网关属于同区域同运营商，可达到本地本网直连的最佳效果。 安全性与合规 依托天翼云高等级安全保障。 满足对数据不出域、金融场景、政务监管的合规要求。 运维成本 轻运维，天翼云负责网关运维、高可用和迭代更新。 客户需负责独享网关的运维、高可用、安全补丁等。 适用客户 适用于众多场景客户，使用天翼云安全、加速、连接能力。需要标准、快速交付、对远程安全性办公要求较高的企业 。 对数据业务流向有要求的客户； 本地直连场景的客户，且客户可提供公网接入点的设备，可满足对本地时延敏感性极高的客户使用需求。

对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）。

本章节进行网格安全能力概述 概述 单体应用发展成微服务架构带来了诸多便利，业务迭代更加敏捷，扩展性更好，同时为服务架构也带了新的安全考虑，如： 微服务之间通信安全问题，如何防止中间人攻击。 微服务之间的访问控制问题，对于敏感服务和信息，如何限制微服务之间的访问。 微服务之间访问频繁且关系复杂，如何追溯服务之间的调用情况，需要具备审计能力。 服务网格的安全机制提供了零信任的安全机制，很好地解决了以上问题。 服务网格安全架构 服务身份及证书管理 身份是安全的基础，只有给每个服务赋予一个身份才能在服务相互访问时对各方的身份进行认证以及对操作进行鉴权。服务网格使用证书作为网格内工作负载的身份标识，服务网格负载网格内工作负载的身份证书颁发、轮换等，为网格安全提供基础能力。 身份认证 服务网格提供两种认证机制： 对等身份认证：用于sidecar代理之间通信时的身份认证，解决sidecar之间身份认证和通信加密问题，支持基于工作负载证书的mTLS双向认证。 请求身份认证：用于外部请求进入网格内的身份认证，支持JWT及OIDC的认证方式。 授权 在微服务通信中，确定了双方的身份之后，我们还需要对客户端是否有权限访问服务端的资源进行权限检查。当前服务网格支持全局、命名空间和工作负载级别的授权策略控制，同时支持集成外部授权服务能力。

共享云硬盘可以挂载至不同操作系统的云主机吗？ 一块共享云硬盘不建议同时挂载至不同类型操作系统的云主机上使用。直接将共享云硬盘挂载给不同操作系统的多台云主机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 跨操作系统数据共享推荐使用弹性文件服务。 共享云硬盘可以挂载至不同账号的多台云主机吗？ 不可以。 共享云硬盘只能挂载至同一个账号下位于同一地域和同一可用区的云主机。 建议将共享云硬盘挂载至位于同一个反亲和性的云主机组内，从而来提高业务的可靠性。此外，建议配合使用SCSI锁，即将SCSI类型的共享云硬盘挂载到位于同一个反亲和性的云主机组内，以提升业务数据的安全性。 使用共享云硬盘必须搭建集群吗？ 是的。 共享云硬盘必须在集群管理环境中使用，这是由共享云硬盘的使用原理以及用户需求共同决定的。 直接将共享云硬盘挂载给多台云主机或物理机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 共享云硬盘本身并不具备集群管理能力，因此需要自行搭建集群系统来实现数据共享，如企业应用中常见的Windows MSCS集群、Veritas VCS集群和CFS集群等。

参数 参数类型 说明 示例 下级对象 desktopOid String 桌面id securityGroupOid String 安全组id foreignGroupId String 安全组UUID securityGroupName String 安全组名称 portOid String 网卡id portName String 网卡名称 portNickName String 网卡别名 addDate Long 加入时间，unix时间戳（毫秒）

本文帮助您了解创建云硬盘相关的场景、约束及操作步骤。 操作场景 系统盘在创建云主机或物理机时自动添加，无需单独创建。数据盘可以在创建云主机或物理机时创建，由系统自动挂载给云主机或物理机，也可以在创建了云主机或物理机之后，单独创建云硬盘并挂载给云主机或物理机。 约束与限制 系统盘只能在购买云主机或物理机时自动创建并挂载，云硬盘创建页面只能创建数据盘。 随云主机或物理机创建的云硬盘，计费模式与云主机或物理机保持一致。 共享盘或磁盘模式为SCSI或磁盘类型为极速型SSD的云硬盘不支持加密模式。 随云主机或物理机一起创建的云硬盘会自动挂载至云主机或物理机上，不可卸载，无法再挂载至其他云主机或物理机中使用。 随云主机一起创建的云硬盘，磁盘类型可以在VBD或SCSI中进行选择，随着物理机一起创建的云硬盘磁盘类型默认为VBD类型。 云硬盘只能被挂载在同一个可用区的云主机或物理机上，可用区在创建完成后不支持修改。 创建云硬盘时若选择“立即挂载”，则无法批量创建，一次只能创建一个云硬盘。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击“创建云硬盘”，进入云硬盘创建页面。 5. 根据界面提示，配置云硬盘的基本信息。各配置项说明如下： 参数 是否必选 说明 地域 是 请选择云硬盘的地域，尽量选择距离您更近的区域以提高访问速度。 可用区 是 在拥有多个可用区的资源池中，选择其中一个可用区创建云硬盘。 云硬盘只能挂载至同一个可用区的云主机上。云硬盘创建完成后不支持修改可用区。 付费方式 是 云硬盘支持的计费类型有包年/包月和按需计费两种。 包年包月是一种先付费后使用的计费方式，按订单的购买周期结算。 按需计费是一种先使用后付费的计费方式，按照云硬盘的实际使用时长计费，每小时结算一次。 是否挂载 是 选择是否在云硬盘创建完成后自动挂载到弹性云主机。 暂不挂载（默认）：云硬盘创建完成后不自动挂载至云主机。 立即挂载：云硬盘创建完成后自动挂载至用户选择的云主机。 注意 挂载到云主机的云硬盘，您还需要登录云主机进行数据盘初始化才可以正常使用。 数据源 否 云硬盘支持从快照、备份或镜像创建云硬盘。 从快照创建： 从快照创建云硬盘可选择目标地域目标可用区下的快照。 从快照创建云硬盘所创建的云硬盘磁盘模式、磁盘类型、加密属性、所在地域可用区与源快照保持一致，不支持修改。 从快照创建云硬盘创建磁盘容量不小于快照容量。 从备份创建： 从备份创建云硬盘可选择目标地域下的备份副本。 从备份创建云硬盘所创建的云硬盘磁盘模式、加密属性和备份源云硬盘保持一致。 从备份创建云硬盘所创建的云硬盘支持切换磁盘类型、支持跨可用区创建。 从备份创建云硬盘创建磁盘容量不小于备份容量。 从镜像创建： 从镜像创建云硬盘可选择目标地域下的镜像。 从镜像创建云硬盘仅支持VBD模式、且不支持磁盘加密。 从镜像创建云硬盘所创建的云硬盘支持切换磁盘类型、支持跨可用区创建。 从镜像创建云硬盘创建磁盘容量不小于镜像容量。 仅支持“正常”状态的私有镜像或“已接受”状态的共享镜像。 注意 无论是从快照、备份或镜像创建，都不支持一次性创建多个云硬盘。 磁盘规格 是 云硬盘的类型：普通IO，高IO，通用型SSD，超高IO，极速型SSD，XSSD0，XSSD1，XSSD2。具体规格可参见产品规格。 云硬盘的容量范围可参考云硬盘使用限制。 说明 从备份创建云硬盘时，容量大小不小于备份源盘大小，默认容量为备份源盘大小。 从快照创建云硬盘时，容量大小不小于快照源盘大小，默认容量为快照源盘大小。 未选择数据源时，XSSD2默认容量大小为512GB，其他类型云硬盘的默认容量大小为40GB。 当前配置 用于显示当前所选磁盘类型和容量计算出来的基础IOPS上限及IOPS突发上限。具体计算方式可参见磁盘类型及性能介绍。 云硬盘备份 否 创建云硬盘时支持同时订购云硬盘备份服务。可以选择暂不配置、使用已有、现在购买。 使用已有：若您想要配置备份且已有可用的存储库，可以选择“使用已有”。 现在购买：若您想要配置备份但没有可用的存储库，可以选择“现在购买”。 配置存储库和备份策略并成功购买云硬盘后，系统会按此备份策略定期对云硬盘进行备份。云硬盘备份服务的计费说明请参考云硬盘备份服务计费说明。 共享盘 否 勾选“共享盘”，则创建的是共享云硬盘，共享云硬盘最多可同时挂载至16台云主机或物理机。 不勾选“共享盘”，则默认为非共享云硬盘，只能挂载至1台云主机或物理机。 是否编辑标签 否 标签用于标识资源，可通过标签管理功能对云硬盘进行分类和筛选。 勾选后需要输入标签键和标签值，具体操作可参考标签功能概述。 磁盘模式 否 VBD（默认）：VBD类型的云硬盘仅支持简单的读写命令。 SCSI：支持SCSI指令透传，允许云主机操作系统直接访问存储介质。 FCSAN：FCSAN云硬盘仅适用于物理机。 磁盘加密 否 支持创建加密云硬盘，磁盘加密能够最大限度的为您的数据提供安全防护。 加密磁盘生成的快照/备份及通过这些快照/备份创建的磁盘将自动继承加密属性。 释放设置 否 支持设置释放策略。 可设置云硬盘释放时是否同步释放该盘的全部快照。 磁盘名称 是 自定义所创建的磁盘名称。 不能使用中文，且长度为263字符。 企业项目 是 支持为云硬盘选择企业项目。 数量 是 创建云硬盘的数量，默认为“1”，表示只创建一个云硬盘。 注意 目前一次最多可批量创建100个云硬盘。 创建时长 是 如果计费类型选择“包年/包月”，则需要选择购买时长，可选取的时间范围为1个月到5年。 自动续订 否 启用自动续订，包年/包月订购的云硬盘到期后会自动续订。 6. 确定云硬盘的配置信息后，点击“下一步”。 7. 在“资源详情”页面，您可以再次核对云硬盘信息。确认无误后，阅读并勾选服务协议，单击“确认下单”，开始创建云硬盘。如果还需要修改，点击“上一页”，修改参数。 8. 在云硬盘主页面，查看云硬盘状态。待云硬盘状态变为“未挂载”时，表示创建成功。

本章节会介绍如何修改数据库内网安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 步骤 6 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

本章节介绍如何修改数据库内网安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 步骤 6 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

本章节主要介绍集群（未启用Kerberos认证）安全配置建议。 Hadoop社区版本提供两种认证方式Kerberos认证（安全模式）和Simple认证（普通模式），在创建集群时，MRS支持配置是否启用Kerberos认证。 在安全模式下MRS集群统一使用Kerberos认证协议进行安全认证。 而普通模式下MRS集群各组件使用原生开源的认证机制，一般为Simple认证方式。而Simple认证，在客户端连接服务端的过程中，默认以客户端执行用户（例如操作系统用户“root”等）自动完成认证，管理员或业务用户不显示感知认证。而且客户端在运行时，甚至可以通过注入UserGroupInformation来伪装成任意用户（包括superuser），集群资源管理接口和数据控制接口在服务端无认证和鉴权控制，很容易被黑客利用和攻击。 所以在普通模式下，必须通过严格限定网络访问权限来保障集群的安全。操作建议如下： 尽量将业务应用程序部署在同VPC和子网下的ECS中，避免通过外网访问MRS集群。 配置严格限制访问范围的安全组规则，禁止对MRS集群的入方向端口配置允许Any或0.0.0.0的访问规则。 如需从集群外访问集群内组件原生页面，请参考创建连接MRS集群的SSH隧道并配置浏览器进行配置。

本文将为您介绍如何在专属云上创建VPC 操作场景 当您创建了专属云资源池之后，可参照本文在专属云中创建VPC，用户在专属云上创建VPC时，可以拥有独立的物理服务器和网络设备，这种隔离性能提供更高级别的安全性。 前提条件 已联系专属客户经理填写业务需求单申请计算专属云，详情请参见申请计算专属云服务。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择您的专属云资源池，如华东>dectest1017。 3. 在控制台首页，选择“网络>虚拟私有云”。 4. 在网络控制台的右上角，单击“创建虚拟私有云”按钮。 5. 在虚拟私有云创建页面中，根据自身业务需求完成云主机实例的配置，包括VPC名称、VPC网段、子网名称、子网网段等。 6. 确认创建VPC信息并点击“立即创建”按钮，等待创建成功后可在网络控制台虚拟私有云处查看创建完成的VPC。

Cookie签名 针对Cookie进行签名，会新增一个Cookie签名字段，原始Cookie内容正常发送给用户，当客户端Cookie内容进行了修改，请求在WAF端签名校验不通过，该请求将被拦截。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通专业版及以上版本支持使用Cookie防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“Cookie防护”页面，可以配置Cookie防护策略； 配置说明 配置项 说明 开关 控制策略的处理动作，可以选择开启或关闭 防护模式 触发Cookie防护后的执行动作，可以选择告警或拦截 Cookie key 值 设置需要防护的Cookie名称，Cookie必须有参数值，例如：setcookie: SFcookie11ENCRYPTCOOKIE1988262423afZ5ZEIzbEL%3D; Secure; SameSiteStrict, 只有SFcookie11、SameSite可配置为key 防护方式 支持选择加密与签名两种防护方式，需要配置防护动作与防护过渡期 （1）加密：对Cookie值进行加密，客户端查看到的值为加密后的内容 （2）签名：给Cookie值加签名字段，签名方式可选 UA：使用该方式签名，客户UA变换后，Cookie签名验证将不通过 IP+HOST+UA：泛域名模式下，加签HOST字段 IP+UA：使用该方式签名，客户IP或使用浏览器改变后，使用之前Cookie防护验证不通过 IP：使用该方式签名，客户ip变换后，Cookie签名验证将不通过 防护动作 拦截/清除 拦截：Cookie值检测不通过将拦截请求，并清除Cookie； 清除：Cookie检测不通过清除该Cookie回源，总开关为拦截，防护动作为清除，最终效果仍为清除 防护过渡期 在过渡期内（即在配置的时间之前），检测失败不会进行拦截，只会清除Cookie值，重新登录后将下发新的Cookie值 Cookie属性 支持选择HTTPonly和secure 设置后Cookie不允许js读取，有效防止xss盗取客户Cookie，配置后，Cookie响应头部增加值HttpOnly，若源站响应已存在HttpOnly，会同时存在 secure：Cookie设置为secure的时候，客户端只能通过https协议发送Cookie，无法通过http发送 白名单 如果有特殊的业务无法通过Cookie防护策略，可以不同粒度的请求进行加白，则符合加白条件的请求不会进行Cookie防护策略

本节介绍如何对您所拥有的DEW进行精细的权限管理。 如果您需要对您所拥有的DEW进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DEW资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DEW资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DEW服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的DEW权限，并结合实际需求进行选择，DEW支持的系统权限如表所示。 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 示例流程 步骤 1 在IAM控制台创建用户组，并授予加密密钥所有权限“KMS CMKFullAccess”。 步骤 2 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 步骤 3 新创建的用户登录控制台，切换至授权区域，验证权限。 在“服务列表”中选择除数据加密服务外的任一服务，若提示权限不足，表示“KMS CMKFullAccess”已生效。