威胁情报类型关联布局 说明 系统内置威胁情报类型已默认关联已有布局，暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有威胁情报类型 说明 暂不支持编辑系统内置威胁情报类型。 自定义威胁情报类型新增成功后，不支持修改类型名称。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要编辑的类型，并单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 7. 在编辑页面中，编辑对应类型的参数信息。 参数名称 参数说明 类型名称 自定义威胁情报的名称。 类型标识 威胁情报标识，不支持修改。 启动状态 设置威胁情报的启动状态。 ：表示启用。 ：表示禁用。 失效时间 设置威胁情报的失效时间。 永不失效：表示当前情报类型永不失效。 时间间隔：设置情报失效的间隔时间。 描述 自定义威胁情报的描述信息。 8. 在页面右下角单击“确认”。

本章节主要介绍翼MapReduce服务的Web UI便捷访问特性。 大数据组件都有自己的WEB UI页面管理自身系统，但是由于网络隔离的原因，用户并不能很简便地访问到该页面。如访问HDFS的WEB UI页面，传统的操作方法是需要用户创建ECS，使用ECS远程登录组件的UI，这使得组件的页面UI访问很是繁琐，对于很多初次接触大数据的用户很不友好。 翼MR提供了基于内网IP地址来便捷访问开源组件UI。 操作步骤 1.登录翼MR控制台，点击正常运行的集群名称或“管理”按钮，进入集群详情页面。 2.点击“访问链接与端口”。 3.集群服务名称：具有WEB UI的集群服务有HDFS、YARN、HBase、Spark、Ranger、Doris、ElasticsearchKibana等，详情请参考开源组件Web站点。 4.原生UI地址：当集群部署了具备WEB UI的集群服务后，在“原生UI地址”列会默认显示相关集群服务的信息，原生UI地址展示的是“内网地址：端口号”的格式。 5.获取外网访问地址：外网地址展示的是“外网地址：端口号”的格式。要成功访问开源组件UI，需要在安全组页面开启该端口并放开出、入方向规则，同时需要开通部署了该集群服务的节点的外网IP，如何绑定外网IP请参考“绑定/解绑弹性IP”。 6.访问WEB UI地址：成功开启安全组和外网IP，在“外网地址”列会展示出可以访问的外网地址。通过访问外网地址就可以便捷访问开源组件UI。 7.WebUI登录：组件密码可前往Manager配置管理的vars.yaml高级配置中查询。LDAP用户名与密码可前往ManagerLDAP租户管理中查询。 注意 使用时需要先开通安全组端口才能访问；使用后需要及时关闭，避免安全泄漏风险。安全组访问规则配置方法可参加“ 说明 访问TezUI站点时，请参考下述步骤更新配置。 1. 前往Manager，在TezUI的配置管理中，将configs.js文件中的timeline地址更换为外网IP。即下图中划红线部分替换为控制台节点管理中TezUIServer所在节点的外网IP。修改后保存并同步配置，同步成功后重启TezUIServer实例。 2. 前往YARN的配置管理页面，在yarnsite.xml配置中开启yarn.timelineservice.enabled开关。保存更改并同步配置后，重启YARN与Hive服务。

本文主要介绍了账号注销的注意事项和操作流程。 用户可在“账号中心安全设置”页面，“注销账号”下进行账号注销，注销账号流程主要包括关闭账号 和注销账号。 注意事项 1、用户申请关闭账号后，需要进行账号检查，检查通过后确认关闭，账号将进入48小时关闭期，此时无法自助终止注销进程、恢复账号功能。 2、关闭期满后，账号进入90天保留期。保留期内，用户可以通过点击“恢复账号”按钮自助终止注销进程、恢复账号功能；保留期结束之后，账号将被自动注销，无法再重新打开已关闭的账号。 3、账号进入关闭期、保留期， 用户可进行登录天翼云网门户、查看账号信息和历史费用信息等常规操作，不可进行充值、订购、提现、下单、实名认证和变更等业务操作。 4、若用户不再使用天翼云账号，在账号进入保留期后，可以手动选择立即注销账号，账号注销后，用户将无法再使用该账号登录天翼云，且账号中的数据将会被彻底删除，请谨慎操作。 5、同一证件最多可以认证5个天翼云账号，含已注销3个月内的账号，请谨慎操作账号注销。 关闭账号 1、登录天翼云账号中心。 2、在账号中心点击“安全设置”，在安全设置选择下方”注销账号“，点击“关闭账号”，进入关闭账号流程。 “关闭账号”按钮置灰了，无法注销？请检查如下情况： a.账号关联了代理商：如果您的账号关联了代理商/合作伙伴，请联系代理商/合作伙伴解绑后再尝试注销账号。 b.账号为代理商账号：请联系客户经理退出代理商后再尝试注销账号。 c.如果不是上述情况，请联系客户经理协助注销账号。 3、详细阅读关闭账号的条款，阅读并勾选《天翼云账号注销条款》，以及选择关闭账号的原因。 4、进入“账号检查”页面，系统将自动对该账号进行账号检查、财务检查以及订单与资源检查，并在页面显示检查结果。 说明 若客户已进行过账号检查且账号未关闭，则可在“安全设置”页面单击“查看上次检查结果”，系统则显示上次账号检查结果。 5、根据检查结果进行相应操作 检查不通过：可根据页面提示，对未通过项进行处理，完成后可重新检查。 检查通过：点击“确认关闭”，进行身份验证，验证通过后账号进入48小时关闭期，当关闭期结束，账号将进入90天保留期。 说明 关闭账号后，需要继续使用该账号，可在账号进入保留期后返回“安全设置”页面，单击“恢复账号”，即可重新使用该账号。

本文主要介绍 手动配置Agent（Windows，可选） 操作场景 用户成功安装Agent插件后，推荐您采用“修复插件配置”方式配置Agent。如果“修复插件配置”不成功或其他原因导致无法配置Agent，你可以采用本章节提供的手工方式配置Agent。 约束与限制 Windows类型BMS暂不支持安装Agent。 前提条件 已成功安装Agent插件。 操作步骤 1. 登录ECS。 2. 打开telescopewindowsamd64bin文件夹下的conf.json文件。 3. 配置如下参数，参数说明请参见下表。 plaintext { "InstanceId":"", "ProjectId": "", "AccessKey": "", "SecretKey": "", "RegionId": "cnhz1", "ClientPort": 0, "PortNum": 200 } 表 公共配置参数 参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明 InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： l 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 l InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； l 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； l 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 l 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator 。 l 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。 说明 默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。 说明 默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 4. 等待几分钟后，当插件状态为“运行中”并且监控状态开启时，说明Agent已安装成功并开始采集细粒度监控指标。

枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"id": "id"} 响应示例 {"message": "success", "traceId": "asaadasd11111", "statusCode": "200", "error": "0", "returnObj": {"id": "ALT0001", "createTime": "20250101 00:00:00", "updateTime": "20250101 00:00:00", "firstFindTime": "20250101 00:00:00", "timestamp": "20250101 00:00:00", "handleTime": "20250101 00:00:00", "status": 0, "agentGuid": "1111", "alertName": "在您的系统上发现一个可疑进程, 可能与蠕虫病毒或入侵事件相关.", "attckType": "TA0001", "severity": 1, "attackCount": 1, "eventId": "8201", "privateIp": "192.168.0.1", "publicIp": "192.168.0.1", "custName": "test", "hostName": "test", "displayName": "test", "osType": "Linux", "alarmName": "异常的注册表操作", "alarmDesc": "存在异常的注册表操作，请检查注册表操作权限。", "alarmType": "1", "eventDesc": "检测模型发现您的服务器上执行的某些命令操作Windows注册表的方式高度可疑，可能与恶意软件或攻击者入侵后在修改相关的配置项。", "handleSuggestion": "请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为.", "remark": "TEST", "alarmTypeName": "进程异常行为", "attckTypeName": "初始访问", "riskInfo": [{"fieldEnName": "进程路径", "fieldZnName": "processPath", "fieldValue": "C:WindowsSystem32cmd.exe", "order": 1, "canEdit": "false", "type": "string"}], "handleRules": [{"name": "添加白名单", "label": "ADDWHITE"}], "whiteData": {"ruleConditionDesc": "告警名称 等于 异常的注册表操作 且 注册表名称 等于 Start 且 注册表路径 等于 REGISTRYMACHINESYSTEMControlSet001Servicesedrmonitor", "rules": [{"fieldValue": "Start", "condition": "", "fieldEnName": "regkey", "fieldZnName": "注册表名称", "canEdit": "true"}]}, "eventCategoryId": "1", "eventTypeId": "8200", "quotaVersion": 1}}

使用SDTrainer 1.在【WD 1.4标签器】分页上传要训练的图片或者使用镜像内预置的图片： 1. 在Jupyter启动页【其他】下点击【终端】，在终端输入命令ls ./train/aki/8lora 检测预置图片。图片要求：准备要训练的人物图像，最少8张，最好12张以上。需要不同角度，正面，侧面，背面，俯视图等。裁剪成要训练的大小，如512x512。文件夹命名要求如8lora，8表示张数，lora表示名称。 2. 在【图片文件夹路径】输入预置图片文件夹路径，如./train/aki/8lora，可以在【附加提示词】中输入对图片的提示词，如lucky。 3. 点击启动开始标准。 4. 在【终端】 反复输入ls ./train/aki/8lora检查，直到文件夹下出现.txt的文件，说明标注完成，检查.txt文件内容，除了自动标注的提示词外，还有“lucky”自定义的提示词。 2.在【LoRA】分页上开始预训练： 1. 选择【新手】分页，如果图片在./train/aki目录下，使用默认参数，点击【开始训练】。 2. 在【终端】上输入tail f /var/log/SDTrainer.log 命令查看训练进度日志。 3. 当训练进度完成到100%时，在终端输入命令ls output 查看训练好的的模型，文件夹下出现aki.safetensors模型文件。 2.使用预训练模型推理： 1. 将aki.safetensors模型文件放入stablediffusionwebui > models > lora文件夹。 2. 在stablediffusionwebui选择相应lora模型，输入“lucky”等提示词，可以生产解决训练图片风格的新图片。

本章节主要介绍ALM12014 设备分区丢失。 告警解释 系统按60秒周期进行扫描，如果检测到挂载服务目录的设备分区丢失（如由于设备拔出、设备离线、删除分区等原因）时，产生此告警。 此告警需要手动恢复。 告警属性 告警ID 告警级别 是否自动清除 12014 重要 否 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 挂载目录名 产生告警的挂载目录名。 设备分区名 产生告警的设备分区名。 对系统的影响 造成服务数据无法写入，业务系统运行不正常。 可能原因 硬盘被拔出 硬盘离线、硬盘坏道等故障。 处理步骤 1. 打开FusionInsight Manager页面，选择“运维 > 告警 > 告警”，单击此告警所在行的。 2. 从“定位信息”中获取“主机名”、“设备分区名”和“挂载目录名”。 3. 确认“主机名”节点的“设备分区名”对应的磁盘是否在对应服务器的插槽上。 是，执行步骤4。 否，执行步骤5。 4. 联系硬件工程师将故障磁盘在线拔出。 5. 以root用户登录发生告警的“主机名”节点，检查“/etc/fstab”文件中是否包含“挂载目录名”的行。 是，执行步骤6。 否，执行步骤7。 6. 执行vi /etc/fstab命令编辑文件，将包含“挂载目录名”的行删除。 7. 联系硬件工程师插入全新磁盘，具体操作请参考对应型号的硬件产品文档，如果原来故障的磁盘是RAID，那么请按照对应RAID卡的配置方法配置RAID。 8. 等待20～30分钟后执行mount命令（具体时间依赖磁盘的大小），检查磁盘是否已经挂载在目录“挂载目录名”上。 是，手动清除该告警，操作结束。 否，执行步骤9。

本文为您介绍什么是终端节点服务,并带您了解如何创建和管理终端节点服务。 终端节点服务是指将云服务或用户私有服务配置为VPC终端节点支持的服务。通过专属网关，终端节点服务可以方便地提供给其他VPC中的资源使用，实现跨VPC的访问，确保服务端VPC内部的网络信息不被暴露，使访问更加安全可靠。当前支持“接口”类型终端节点服务。 用户可通过创建“接口”类型终端节点服务，实现在指定的白名单用户间服务私有共享。终端节点服务允许用户快速将其服务发布到内部网络，并通过白名单授权管理来确保安全性，并灵活地管理可访问的用户。 支持的终端节点服务 服务名称 服务类别 说明 （ 支持的地域信息以控制台展现为准 ） 对象存储服务ZOS 云服务 由系统配置为终端节点服务，实现通过终端节点访问ZOS内网地址。（当前支持地域为华东华东1） 内网DNS 云服务 内网DNS:由系统配置为终端节点服务，实现通过终端节点访问内网DNS。（当前支持地域为湖南长沙37） 弹性云主机 用户私有服务 支持将用户私有服务创建为终端节点服务，作为服务器使用。 弹性负载均衡（内网） 用户私有服务 支持将用户私有服务创建为终端节点服务，适用于高访问量业务和对可靠性和容灾性要求较高的业务。 虚拟IP 用户私有服务 支持将用户私有服务创建为终端节点服务，适用于需要主备高可靠的业务。 物理机 用户私有服务 支持将用户私有服务创建为终端节点服务，作为服务器使用。

本文介绍边缘接入服务IP应用加速配置模块的相应功能。 功能介绍 在IP应用加速配置模块，您可以进行域名/实例的新增、查看、编辑及其相应域名状态查询。 新增接入 登录边缘安全加速控制台，进入【边缘接入】控制台，选择【域名】【IP应用加速配置】，这个页面您可以查看已添加的域名/实例的基础信息、回源配置、访问控制、传递用户IP回源等信息。基础信息包括加速域名、实例名称、CNAME、加速区域、产品类型、创建时间等信息。点击左上角【新增接入】。 选择接入方式，填写加速域名/实例名称，选择加速区域（中国内地、全球（不含中国内地）、全球），是否启用IPv6。 域名接入方式： 无域名接入方式： 根据您的需要，配置您加速域名的【回源配置】、【访问控制】、【传递用户IP回源】等相关功能。 完成加速配置后，点击右下角的下一步，进入安全防护配置页面，按需开启DDoS防护后提交。 完成新增接入操作后，可通过【域名】【IP应用加速接入】 查看该域名/实例所处状态。 域名/实例配置完成，生成CNAME，状态变更为【已启用】，即可以在【IP应用加速接入】首页列表中，查看对应域名的详情，进行停用/启用/删除等操作，也可以开启IPv6解析开关，修改加速配置或安全防护配置等。 域名/实例新增过程中涉及的主要配置项说明如下：

天翼云关系数据库MySQL版提供两种通过内网连接MySQL实例的方式，即使用普通连接和SSL连接方式通过MySQL客户端连接实例。其中，SSL连接实现了数据加密功能，具有更高的安全性。本文为您介绍如何通过公网连接关系数据库MySQL版实例。 前提条件 已为目标实例绑定弹性公网IP。 已获取本地设备的IP地址，并将本设备的IP地址添加进实例白名单。 已设置安全组规则。 使用ping命令连通目标实例中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 使用客户端连接实例。 普通连接 用户可在本地使用相关工具直接连接数据库实例。执行如下命令连接MySQL实例。 plaintext mysql h P u p 参数说明如下： 参数 说明 主机IP，即关系数据库MySQL版实例实例管理 页面下，该集群对应的实例列表中，主机的连接地址。 数据库端口，为实例基本信息 页面中的数据库端口 。 用户名，即MySQL数据库帐号（默认管理员帐号为root）。 密码，即数据库帐号对应的密码，为创建数据库实例时指定的密码。 示例： plaintext mysql h 172.16.X.X P 8635 u root –p '' SSL连接 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域的SSL状态处，下载根证书或捆绑包 5. 将根证书导入弹性云主机Linux操作系统。 (1) 关系数据库MySQL版服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 (2) 关系数据库MySQL版服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 6. 连接关系数据库MySQL版实例。 以Linux系统为例，执行如下命令。 plaintext mysql h P u p sslca 参数说明： 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系数据库MySQL版帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库MySQL实例，示例如下： plaintext mysql h 172.16.X.X P 13049 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： plaintext Enter password: 说明 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

此小节介绍数据库安全如何查看审计报表。 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后，您可以立即生成审计报表，并在线预览或下载审计报表。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 立即生成审计报表 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表管理页面，操作步骤如下图所示。 4. 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”，如下图所示。 5. 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库，如下图所示。 6. 单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以预览或下载报表。 预览或下载审计报表 预览或下载审计报表前，请确认报表的“状态”为“100%”。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表结果页面，操作步骤如下图所示。 4. 在需要预览或下载的报表所在行的“操作”列，单击“预览”或“下载”，如下图所示，在线预览报表结果，或下载并查看报表。 设置报表的执行任务 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表管理页面，操作步骤如下图所示。 4. 在需要立即生成报表的模板所在行的“操作”列，单击“设置任务”，如下图所示。 5. 在弹出的对话框中，设置计划任务参数，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 启动任务 开启或关闭计划任务。 邮件通知 开启或关闭邮件通知。数据库安全审计默认开启邮件通知，当数据库生成报表时，数据库安全审计将发送通知邮件。 报表类型 选择生成的报表类型，可以选择：l 日报l 周报l 月报 日报 执行方式 选择报表执行的方式，可以选择：l 执行一次l 周期执行 执行一次 执行时间 选择报表执行的时间点。 18点 格式 当前支持PDF格式。 PDF 数据库 选择执行报表任务的数据库。 6. 单击“确定”。

本文主要讲述修改实例信息。 创建Kafka实例成功后，您可以根据自己的业务情况对Kafka实例的部分参数进行调整，包括实例名称、描述、安全组和容量阈值策略等。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 以下参数支持修改。 实例名称 企业项目（修改企业项目，不会重启实例） 描述 安全组 公网访问（公网访问的修改方法，请参考设置实例公网访问。） 容量阈值策略（修改容量阈值策略，不会重启实例。） Kafka自动创建Topic（修改Kafka自动创建Topic，会导致Kafka重启） 跨VPC访问（跨VPC访问的操作步骤，请参考使用DNAT访问Kafka实例。） 参数修改完成后，通过以下方式查看修改结果。 修改“容量阈值策略”、“公网访问”和“Kafka自动创建Topic”后，系统跳转到“后台任务管理”页签，并显示当前任务的操作进度和结果。 修改“实例名称”、“描述”、“企业项目”、“跨VPC访问”和“安全组”后，右上角直接提示修改结果。

剧本是处理一类安全问题的方法描述，是态势感知（专业版）在安全编排系统中的形式化表述。 态势感知（专业版）默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本，且剧本的初始版本（V1）也已激活，只需要启用就可以进行使用。 同时，如果需要对某个剧本进行编辑，可以复制初始版本进行处理。 场景一：系统默认激活剧本的初始版本（V1），仅开启剧本启用即可，参考启用剧本。 场景二：如果需要使用某个未启用剧本，支持对剧本版本进行修改后再启用，启用自定义剧本版本操作步骤如下： 1. 复制剧本版本 2. 编辑并提交剧本版本 3. 审核剧本版本 4. 启用剧本 前提条件 已启用剧本绑定的流程，具体操作请参见启用流程。 在启用剧本前需要确保已激活剧本版本，具体操作请参见激活/失活剧本版本。

本章节主要介绍修改密码策略 。 操作场景 该任务指导管理员用户设置密码安全规则、用户登录安全规则及用户锁定规则。由于“机机”用户密码随机生成，在MRS Manager设置密码策略只影响“人机”用户。 如需对新增用户的密码或用户修改的密码使用新的密码策略，请先参考本章节修改密码策略，再创建用户或修改密码。 须知 密码策略涉及用户管理的安全性，请根据业务安全要求谨慎修改，否则会有安全性风险。 操作步骤 在MRS Manager，单击“系统设置”。 1. 单击“密码策略配置”。 2. 根据界面提示，修改密码策略，具体参数见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围是8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+l）的最小种类。可选择数值为“3”和“4”。默认值“3”表示至少必须使用大写字母、小写字母、数字、特殊符号和空格中的任意3种。 密码有效期（天） 密码有效使用天数，取值范围0～90，0表示永久有效。默认值为“90”。 密码失效提前提醒天数 提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录MRS Manager时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒。默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔（分钟），取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁屏时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。

本节介绍如何导出组件漏洞报表。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 组件漏洞”，进入组件漏洞页面。 3. 单击组件漏洞列表右上角的“导出”按钮，可生成当前集群组件漏洞报表。 4. 到“任务中心 > 下载任务管理”中查看任务状态，当任务状态为“生成完成”时，单击任务操作列的“下载”，可以下载已生成的报表至本地。

参数 说明 主机名称 自定义的主机资源名称，系统内“主机名称”不能重复。 协议类型 选择主机的协议类型。 专业版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin。 标准版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。 主机地址 输入主机与云堡垒机网络通畅的IP地址 ，选择主机的EIP地址或私有IP地址，建议优先选择可用私有IP地址。 主机的EIP为独立的公网IP，对外访问的端口受网络安全限制，可能导致从云堡垒机无法跳转登录到主机。 端口 输入主机的端口号。 系统类型 （可选）选择主机的操作系统类型或者设备系统类型。 默认支持14种系统类型，包括Linux、Windows、Cisco、Huawei、H3C、DPtech、Ruijie、Sugon、Sugon、Digital China smsg 10600、Digital China smdd 10600、ZTE、ZTE595052tm、Surfilter、ChangAn。 终端速度 Rlogin协议类型主机可选择不同终端速率。 编码 SSH、TELNET协议类型主机可选择运维界面中文编码。 可选择UTF8、Big5、GB18030。 终端类型 SSH、TELNET协议类型主机可选择运维终端类型。 可选择Linux、Xterm。 更多选项 （可选）选择配置“文件管理”、“剪切板”、“X11转发”。 文件管理：仅SSH、RDP、VNC协议类型主机可配置。 剪切板：仅RDP协议类型主机可配置。 X11转发：仅SSH协议类型主机可配置。 部门 选择主机所属部门。 标签 （可选）自定义标签或选择已有标签。 主机描述 （可选）对主机的简要描述。

本文主要介绍PodSecurityPolicy配置。 Pod安全策略（Pod Security Policy） 是集群级别的资源，它能够控制Pod规约中与安全性相关的各个方面。 PodSecurityPolicy对象定义了一组Pod运行时必须遵循的条件及相关字段的默认值，只有Pod满足这些条件才会被系统接受。 v1.17.17版本的集群默认启用Pod安全策略准入控制组件，并创建名为pspglobal的全局默认安全策略，您可根据自身业务需要修改全局策略（请勿直接删除默认策略），也可新建自己的Pod安全策略并绑定RBAC配置。 说明 除全局默认安全策略外，系统为kubesystem命名空间下的系统组件配置了独立的Pod安全策略，修改pspglobal配置不影响kubesystem下Pod创建。 在Kubernetes 1.25版本中， PodSecurityPolicy已被移除，并提供Pod安全性准入控制器（Pod Security Admission）作为PodSecurityPolicy的替代，详情请参见 修改全局默认Pod安全策略 修改全局默认Pod安全策略前，请确保已创建CCE集群，并且通过kubectl连接集群成功。 步骤 1 执行如下命令： kubectl edit psp pspglobal 步骤 2 修改所需的参数，请参考PodSecurityPolicy。 Pod安全策略开放非安全系统配置示例 节点池管理中可以为相应的节点池配置allowedunsafesysctls，CCE从1.17.17 集群版本开始，需要在pod安全策略的allowedUnsafeSysctls中增加相应的配置才能生效，详情请参见[PodSecurityPolicy](

本文介绍DRDS实例关联MySQL实例需要满足哪些前提条件。 DRDS仅支持关联MySQL实例，一个DRDS实例支持关联多个MySQL 实例， 一个MySQL实例支持被多个DRDS实例关联（但是不允许两个DRDS实例创建相同名字的schema），关联需要满足以下几个条件： MySQL实例必须和DRDS实例在同一个VPC，且两者的安全组需要确保DRDS与MySQL互通（建议是用同一个安全组，统一管理）。 MySQL实例必须处于正常运行状态。 关联MySQL到DRDS实例，必须填写有权限的账户及密码信息，至少提供的用户需要具备SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, PROCESS, FILE, INDEX, ALTER, CREATE TEMPORARY TABLES, EXECUTE, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, EVENT , CREATE USER等权限。

本节介绍登录天翼云电脑（政企版）控制台的操作指导。 操作场景 登录AI云电脑（政企版）控制台后，才能进行如下业务操作： 订购并管理资源包：管理员可先订购包括AI云电脑计算、存储和网络配额的资源包，然后再通过使用资源包为终端用户分配AI云电脑实例、配置数据盘及上网带宽。 创建并管理AI云电脑：可以通过资源包或单实例方式开通Windows系统、Linux系统的AI云电脑，可以查看和管理租户下所有AI云电脑的使用情况。 管理组织结构：在管理控制台上创建部门、角色、用户、子账号等，更好地维护管理台用户的组织架构。 管理网络：管理员可自主配置和管理虚拟网络环境。可配置虚拟私有云（VPC）、业务子网、网络安全组、上网带宽等。 管理策略：管理员可以通过配置策略，对用户终端与AI云电脑之间的数据传输和外设接入的权限进行控制。 通过产品详情页进入 1. 使用管理员帐号登录天翼云门户； 2. 前往天翼AI云电脑（政企版）产品详情页面； 3.在产品详情页面点击“管理控制台”进入即可。

此小节介绍数据库审计的优势。 数据库安全审计提供的旁路模式数据库审计功能，可以对风险行为进行实时告警。同时，通过生成满足数据安全标准的合规报告，可以对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 支持海量数据库协议 支持40余种协议，包括关系型协议、非关系型协议、大数据协议及其他常见协议。 支持国内外主流数据库，包括传统的数据库系统、大数据系统和Web系统等。 数据库安全分析 内置丰富的漏洞规则，在审计过程中通过规则匹配发现数据库的配置不合理项和安全漏洞，并可根据漏洞情况提供合理的安全建议和审计规则。 智能关联分析 同时提取Web业务端和数据库端的协议流量，提取出具体业务操作请求URL、POST/GET值、业务账号、原始客户端IP、MAC地址、提交参数等。通过智能自动多层关联，关联出每条SQL语句所对应URL以及其原始客户端IP地址等信息，实现追踪溯源。 双向审计 双向审计不但包含了SQL语句执行状态、返回行数、执行时长等基本信息，同时包含数据库的返回结果内容。 功能简单、易上手 采用数据库旁路部署方式是一种简单且快速上手的数据库审计部署方式，该部署方式是在数据库服务器之外设置一个独立的审计服务器，通过旁路方式捕获数据库的操作和日志信息，实现对数据库的实时监控和记录。同时方便用户快速上手，对数据库实例操作简单。

什么是CSM安全策略 服务网格基于istio原生安全能力进行了场景化封装和扩展，提供了更容易理解的安全策略配置能力，降低理解和操作成本，提供了一站式的安全策略配置体验。当前支持的安全策略包括 策略 描述 OIDC单点登录策略 OIDC（OpenID Connect）是基于OAuth 2.0扩展的身份认证于授权协议，通常用于实现单点登录（SSO）。服务网格支持对接外部IDP（Identity Provider）实现单点登录能力。 JWT认证策略 JWT（JSON Web Token）是一种开放标准（RFC 7519），它通常用于身份验证和授权。服务网格支持配置JWT认证策略并应用到数据面上。 黑白名单策略 基于istio AuthorizationPolicy封装了IP、域名、端口维度的黑白名单访问控制能力。 自定义授权服务策略 该策略支持将请求转发到外部服务进行鉴权，实现灵活的访问策略控制。 如何使用CSM安全策略 使用CSM安全策略需要两个步骤， 1. 定义策略，具体参考策略的配置说明 2. 将安全策略应用到数据面，当前支持命名空间、服务、工作负载、网关粒度的策略绑定能力

本文介绍节点相关的操作，包括开启、关闭节点防护，删除节点等。 开启/关闭防护 注意 关闭防护的节点不支持扫描操作。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“节点安全”。 3. 进入节点安全页面。 关闭防护：单击节点列表上方的“关闭防护”，或者在列表中单击“防护状态”图标，可以关闭当前节点的防护容器。 开启防护：单击节点列表上方的“开启防护”，或者在列表中单击“防护状态”图标，可以恢复当前被关闭的节点防护容器。 删除节点 单击节点列表上方的“删除”，或者在列表中单击操作列的“删除”，可以删除节点的防护容器。 注意 节点状态为“未连接”时，才可以删除。 批量操作 支持批量暂停、恢复或删除节点。 1. 先勾选节点列表中的“多选框”，支持多选。 2. 再对防护容器进行关闭防护、开启防护、删除操作。 开启debug日志 单击节点列表操作列中的“开启debug日志”，可将防御容器日志开启debug模式。 下载日志 单击节点列表操作列中的“下载日志”，可将防御容器日志以压缩包的形式下载到本地。

了解存储资源盘活系统产品优势。 极致轻量，混部盘活 高度优化的压缩安装包，一键部署，3分钟完成集群搭建；全用户态设计，支持混合部署，业务共生，资源共享； 不同架构通用服务器异构部署，不限品牌、架构、配置。 创新自研，安全稳定 无惧任何单点故障，秒级主备切换，数据强一致性保证高可用；多副本、纠删码、数据校验保证高可靠；面向混沌环境保障存储服务安全稳定。 按需选择，精准投资 性能和容量弹性扩展，按需扩容，无需前期大量投入；永久授权、服务订阅，按照可用容量计费，精准适度投资。 降本增效，价值传导 通过盘活难利用的存储资源，提高资源利用率，满足业务存储需求；应用混合部署，降低额外购买硬件成本；管理形态丰富，运维便捷，效率提高。

本节介绍分布式消息服务Kafka使用安全接入点，公网接入点等需要鉴权的接入点时，可能会遇到连接超时的问题。 使用安全接入点，公网接入点等需要鉴权的接入点时，可能会遇到连接超时等问题。 解决方法为可以在客户端机器的host文件上配置Kafka的ip。 例如用户连接Kafka的公网接入点34.28.112.101:8094,34.28.112.102:8094,34.28.112.103:8094时，出现连接超时的报错，可以在客户端机器上的/etc/hosts文件里面加上如下配置： plaintext 34.28.112.101 34.28.112.101 34.28.112.102 34.28.112.102 34.28.112.103 34.28.112.103 然后再重启客户端服务，看是否能正常生产消费。

数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后，您可以查看报表模板信息和报表结果。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功开启数据库安全审计功能。 已生成审计报表。 查看报表信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 报表”，进入报表界面。 5. 在“选择实例”下拉列表框中，选择查看报表信息的实例。 6. 查看报表信息。 说明 在列表右上方输入报表名称，可以搜索指定的报表。 报表类型“实时报表”为系统自动生成，报表格式统一为PDF格式。 在需要删除的报表所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，您可以删除该报表。删除报表后，如果查看该报表结果，需要重新手动生成报表。 查看报表模板信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 报表”，进入报表界面。 5. 在“选择实例”下拉列表框中，选择需要查看报表模板的实例。 6. 选择“报表管理”页签。 7. 查看报表模板信息，如下所示。 说明 报表类型为系统自动生成，包括“合规报表”、“综合报表”、“数据库专项报表、“客户端专项报表”和“数据库操作专项报表”。 计划任务状态可手动设置开启或关闭，可设置为“每日”、“每周”或“每月”。 在需要变更模板的报表所在行的“操作”列，单击“设置任务”，可以修改报表的计划任务。单击“确定”生效后，单击“立即生成报表”，可在报表结果界面中查看报表结果。

海光内存型hm3x 产品名称 包月标准价格（元/核/月） 按需标准价格（元/核/小时） vCPU 89 0.1854 产品名称 包月标准价格（元/G/月） 按需标准价格（元/G/小时） 内存 14 0.0292 海光内存型hm1 产品名称 包月标准价格（元/核/月） 按需标准价格（元/核/小时） vCPU 89 0.1854 产品名称 包月标准价格（元/G/月） 按需标准价格（元/G/小时） 内存 14 0.0292 海光安全增强计算型hc4t 产品名称 包月标准价格（元/核/月） 按需标准价格（元/核/小时） vCPU 97 0.2021 产品名称 包月标准价格（元/G/月） 按需标准价格（元/G/小时） 内存 14 0.0292 海光安全增强内存型hm4t 产品名称 包月标准价格（元/核/月） 按需标准价格（元/核/小时） vCPU 97 0.2021 产品名称 包月标准价格（元/G/月） 按需标准价格（元/G/小时） 内存 14 0.0292

本文介绍如何配置CNAME。 要启用CDN安全加速服务，需要您将加速域名的DNS解析指向我们提供的CNAME，这样访问加速域名的请求才能转发到CDN节点上，达到加速效果。 1.在控制台【域名管理】的域名列表中复制加速域名对应的CNAME； 图 复制CNAME页 2.前往您的域名解析(DNS)服务商(如阿里云解析（原万网）、腾讯云解析（原DNSPod）、新网等)，添加该CNAME记录。下面以您的域名在新网为例，其他域名解析服务商请联系对应厂商技术支持处理。 3.登录新网的域名解析控制台，进入对应域名的域名解析页； 4.选择【添加新的别名】； 图 添加别名页 【记录类型】选择为 CNAME； 【主机记录】即域名的前缀。例如，要添加 example.ctyun.cn1，前缀就是example ； 【记录值】填写为您复制的CNAME值； 解析线路和TTL 默认值即可。 5.确认填写信息无误后，单击【提交】； 6.验证CDN服务是否生效； 配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效； 您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，CDN功能也已生效。 图 检查域名指向页 注意: 1.配置CNAME完毕，CNAME配置生效后，安全加速服务生效 2.CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间； 3.添加时如遇添加冲突，可考虑换一个加速域名，或参考以下“解析记录互斥规则” 调整记录; 解析记录互斥规则： 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许) 1.X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录； 2.无限制： 在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录； 3.可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。

参数名 类型 是否必填 名称 说明 domain string 是 域名 productcode string 是 产品类型 “007”（安全加速） status int 是 状态操作类型 1（删除），2（停用），3（启用）

本章主要介绍最佳实践概述 场景描述 本手册基于天翼云API网关实践所编写，用于指导您开放并调用API。 应用场景范围：基于天翼云API网关开放容器应用服务。 云容器引擎（CTCCE，Cloud Container Engine，简称CCE）中的工作负载，以及微服务，可通过API网关将服务能力以API形式对外开放。 方案优势 借助API网关开放CCE容器应用，具有如下优势： 无需设置弹性公网IP，节省网络带宽成本 API网关支持建立VPC通道，访问CCE中工作负载的地址。 提供多种认证方式，增加访问安全性 提供访问流量控制策略，增加后端服务的安全性 与直接访问容器应用相比，API网关提供流量控制，确保后端服务稳定运行。 支持多实例负载均衡，合理利用资源，增加系统可靠性 流程图 本手册介绍如何通过API网关访问CCE中的工作负载。 图1通过API网关访问CCE工作负载（由实例组成）

本文介绍如何退订边缘安全加速平台服务。 1.产品支持退订服务，登录官网费用中心订单管理退订管理，找到您要退订的订单，进行退订。 2.退订前仔细阅读退订须知，然后确认退订资源信息，包括产品名称、资源ID、规格、时间及可退订金额。客户套餐退订后，扩展服务也会一起退订。详细退订规则请参考：退订流程。 注意 若退订套餐次数在自然月内达到或超过4次，当月将无法再次开通套餐，请勿频繁操作退订。 3.信息确认无误后勾选协议，点击退订并再次确认，确认后即可完成退订。退订后资金退回账户余额，可以通过“余额提现”进行提现，提现详细操作请参考余额提现。 注意事项：边缘安全加速平台遵循天翼云退订规则，详情详见：退订规则说明

本节介绍如何管理通过手动添加或自动发现的API资产。 API列表页面展示通过手动添加的API资产，和自动发现任务发现并已确认为API的资产，在该页面可以对这些API资产进行管理，包括编辑、删除操作。 编辑API资产 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在“API列表”中，单击操作列的“编辑”。 6. 在“编辑API资产”窗口中，可对API名称、业务用途、描述进行修改。 7. 修改完成后，单击“确认”。 删除API资产 删除单个API：在API列表中，单击操作列的“删除”。 批量删除API：勾选多个API，单击列表上方的“批量确认”进行批量操作。

本文主要介绍分布式消息服务RabbitMQ的入门指引。 本文将为您介绍分布式消息服务RabbitMQ入门的基本流程，主要包括控制台创建RabbitMQ实例、使用弹性云主机连接实例的操作，帮助您快速上手RabbitMQ。 操作流程 图1 RabbitMQ使用流程 环境准备 RabbitMQ实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 创建RabbitMQ实例 在创建实例时，您可以选择是否开启SSL访问，开启后，数据加密传输，安全性更高。同时，SSL开关只能在创建实例时设置，实例创建成功后，不支持修改。 连接实例 客户端连接实例，根据实例是否开启SSL开关，存在以下两种场景：不使用SSL证书连接和使用SSL证书连接。 配置必须的监控告警 配置RabbitMQ实例监控告警策略，监控实际业务运行状态。 说明 关于RabbitMQ的相关概念，请参考