本文主要介绍创建节点伸缩策略。 CCE的自动伸缩能力是通过节点自动伸缩组件autoscaler实现的，可以按需弹出节点实例，支持多可用区、多实例规格、多种伸缩模式，满足不同的节点伸缩场景。 当节点伸缩中创建的策略和autoscaler插件中的配置同时生效时（比如不可调度和指标规则同时满足时），将优先执行不可调度扩容。 若不可调度执行成功，则会跳过指标规则逻辑，进入下一次循环。 若不可调度执行失败，将执行指标规则逻辑。 前提条件 使用节点伸缩功能前，需要安装autoscaler插件，插件版本要求1.13.8及以上。 约束限制 仅按需计费节点池支持弹性伸缩。 弹性伸缩的策略作用在节点池，当节点池中节点为0时，且按CPU/内存弹性伸缩时，不会触发节点伸缩。 缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。缩容节点时使用了本地持久存储卷的Pod会从缩容的节点上被驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。 操作步骤 步骤 1 在CCE控制台，单击集群名称进入集群。 步骤 2 单击左侧导航栏的“节点伸缩”，进入创建节点伸缩策略页面。 若插件名称后方显示“未安装”，请单击插件后方的“安装”，根据业务需求配置插件参数后单击“安装”，等待插件安装完成。 若插件名称后方显示“已安装”，则说明插件已安装成功。 步骤 3 单击右上角“创建节点伸缩策略”，参照如下参数设置策略。 策略名称：新建策略的名称，请自定义。 关联节点池：选择要关联的节点池。您可以关联多个节点池，以使用相同的伸缩策略。 说明 节点池新增了优先级功能，弹性扩容时CCE将按照如下策略来选择节点池进行扩容： 1. 通过预判算法判断节点池是否能满足让Pending的Pod正常调度的条件，包括节点资源大于Pod的request值、nodeSelect、nodeAffinity和taints等是否满足Pod正常调度的条件；另外还会过滤掉扩容失败（因为资源不足等原因）还处于15min冷却时间的节点池。 2. 有多个节点池满足条件时，判断节点池设置的优先级（优先级默认值为0，取值范围为0100，其中100为最高，0为最低），选择优先级最高的节点池扩容。 3. 如果有多个节点池处于相同的优先级，或者都没有配置优先级时，通过最小浪费原则，根据节点池里设置的虚拟机规格，计算刚好能满足Pending的Pod正常调度，且浪费资源最少的节点池。 4. 如果还是有多个节点池的虚拟机规格都一样，只是AZ不同，那么会随机选择其中一个节点池触发扩容。 5. 如果出现优先选择的节点池资源不足，会按照优先级顺序自动选择下一个节点池。 节点池优先级功能详情请参见创建节点池。 执行规则：单击“添加规则”，在弹出的添加规则窗口中设置如下参数： 规则名称： 请输入规则名称，可自定义。 规则类型： 可选择“指标触发”或“周期触发”，两种类型区别如下：指标触发： 触发条件：请选择“CPU分配率”或“内存分配率”，输入百分比的值。该百分比应大于autoscaler插件中配置的缩容百分比。 说明 分配率 节点池容器组（Pod）资源申请量 / 节点池Pod可用资源量 (Node Allocatable) 。 如果多条规则同时满足条件，会有如下两种执行的情况： 如果同时配置了“CPU分配率”和“内存分配率”的规则，两种或多种规则同时满足扩容条件时，执行扩容节点数更多的规则。 如果同时配置了“CPU分配率”和“周期触发”的规则，当达到“周期触发”的时间值时CPU也满足扩容条件时，较早执行的A规则会将节点池状态置为伸缩中状态，导致B规则无法正常执行。待A规则执行完毕，节点池状态恢复正常后，B规则也不会执行。 配置了“CPU分配率”和“内存分配率”的规则后，策略的检测周期会因autoscaler每次循环的处理逻辑而变动。只要一次检测出满足条件就会触发扩容（当然还要满足冷却时间、节点池状态等约束条件）。 周期触发： 触发时间：可选择每天、每周、每月或每年的具体时间点，如下图所示，则为每天15:00触发。 图 周期触发时间 执行动作 ：与上述“触发条件”或“触发时间”相对应，达到触发条件或触发时间值后所要执行的动作。 您可以单击“添加规则”，设置多条节点伸缩策略。您最多可以添加1条CPU使用率指标规则、1条内存使用率指标规则，且规则总数小于等于10条。 步骤 4 设置完成后，单击“确定”。

本章节主要介绍修改密码策略 。 操作场景 须知 密码策略涉及用户管理的安全性，请根据业务安全要求谨慎修改，否则会有安全性风险。 该任务指导管理员用户设置密码安全规则、用户登录安全规则及用户锁定规则。由于“机机”用户密码随机生成，在MRS Manager设置密码策略只影响“人机”用户。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 如需对新增用户的密码或用户修改的密码使用新的密码策略，请先参考本章节修改密码策略，再创建用户或修改密码。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 操作步骤 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 单击“密码策略配置”。 3. 根据界面提示，修改密码策略，具体参数见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围是8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+l/）的最小种类。可选择数值为“3”和“4”。默认值“3”表示至少必须使用大写字母、小写字母、数字、特殊符号和空格中的任意3种。 密码有效期（天） 密码有效使用天数，取值范围0～90，0表示永久有效。默认值为“90”。 密码失效提前提醒天数 提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录MRS Manager时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒。默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔（分钟），取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁屏时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。

实例画像支持查看实例多维度评分详情、节点监控与告警信息，并提供告警触发源分析，引导用户快速排查实例存在的问题。 前提条件 仅限来源为天翼云RDS的MySQL数据库。 已录入DMS中，且实例状态正常的数据库实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 实例画像，进入实例画像界面。 3. 在左上方区域，选择目标实例，查看实例画像。 功能介绍 实例画像主要从数据库可用性、数据库可靠性、数据库性能、数据库可维护性、数据库安全性5个维度评估实例的健康评级，并结合告警信息给出触发源分析与建议。 实例画像 实例画像从五个维度进行评分，实例总得分取五个维度中的最低评分，健康评级依据实例总得分计算得出，具体详见评分规则，支持选择时间段进行查询。 数据库可用性：数据库服务的连续性，主要检查数据库是否发生过服务中断（如重启、无法响应等）。 数据库性能：数据库的关键性能指标平稳，主要检查相关指标均值是否存在波峰，以及资源使用率是否正常。 数据库可维护性：数据库的表设计、应用程序逻辑设计的合理性表现，主要检查是否存在非分区大对象、死锁、元数据锁、空间不足等问题。 数据库可靠性：数据的可恢复能力达到RPO为0，主要检查数据库的备份策略、主从复制的健康度等。 数据库安全性：数据库的安全管理关键指标，主要检查密码复杂度配置、访问白名单配置、连接安全协议、密码加密算法等。

相关操作 配置主机授权后，您可以取消主机授权，取消主机授权后，将不能完全扫描出主机的安全风险。

相关操作 配置主机授权后，您可以取消主机授权，取消主机授权后，将不能完全扫描出主机的安全风险。

本文介绍容器安全卫士退订说明及退订步骤。 退订说明 容器安全卫士支持退订，可通过容器安全卫士控制台界面、天翼云费用中心发起并完成退订操作。 容器安全卫士实例退订后，主套餐及扩容节点将一同退订；扩容节点不支持单独退订。 成功发起退订后，实例资源将转入冻结状态，冻结期15天。冻结期间，用户配置数据会保留15天， 仍可以进行时安全防护，同时保留用户的配置数据，15天后资源被释放，释放后无法恢复。 更多详情请参见退订规则说明。 退订步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“订单中心”，进入订单信息页面。 3. 单击“立即退订”，进入退订申请页面。 4. 确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，单击“退订”后即可进行退订。

AI 网关支持对Agent API进行策略和插件配置,从而提高API的安全性和可维护性。 操作步骤 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入目标实例概览。 3. 在左侧导航栏，选择"Agent API"，进入目标API概览。 4. 选择策略与插件页签，单击 "启用策略/插件"。 5. 在启用策略/插件面板中，选择策略或插件进行配置。 策略配置 限流 当前实现为单机限流，基于时间窗口实现，可以配置时间窗口大小（秒）以及在一个时间窗口内限制的请求数。 配置 说明 时间窗口 进行限流统计的时间窗口 限制请求 时间窗口内允许的最大请求次数，超出的请求将会被拒绝 跨域设置 云原生网关支持路由级别的跨域资源共享（CORS）。 CORS配置说明如下： 配置项 说明 允许访问的来源 作用于AccessControlAllowOrigin头部，格式如：scheme://host:port，比如: 允许的方法 作用于AccessControlAllowMethods头部，表示允许的访问方法 允许的请求头部 作用于AccessControlAllowHeaders头部，允许跨域访问时请求方携带哪些CORS规范以外的Header，多个值使用','分割，''来表示所有Header均允许通过 允许的响应头部 作用于AccessControlExposeHeaders头部，允许浏览器和js脚本访问的响应头部 允许携带凭证 作用于AccessControlAllowCredentials头部 预检的过期时间 作用于AccessControlMaxAge头部 开启状态 开启时才生效

普通IO、高IO、通用型SSD、超高IO、极速型SSD云硬盘采用三副本数据冗余技术,提高数据的可靠性。 什么是三副本数据冗余？ 数据三副本技术是一种在分布式存储系统中使用的数据冗余技术。它的原理是将数据分块后的三个副本保存在集群中不同的节点上，以提高数据的可靠性和容错性。 数据三副本技术的基本原理如下： 数据复制：当数据被写入分布式存储系统时，系统会自动将该数据分块并复制为三个副本。 副本分布：这三个副本将分散存储在不同的物理节点或存储设备上，以减少副本之间的关联性。这样，即使某个存储节点或设备发生故障，其他节点上的副本仍然可用。 容错和数据恢复：如果一个副本不可用或损坏（例如由于存储节点故障或硬件故障），系统可以使用其他副本中的数据来实现容错和数据恢复。系统会自动检测并修复副本中的数据错误或丢失。 三副本技术架构如图： 三副本技术怎样确保数据一致性？ 数据一致性表示当应用写一份数据到存储系统时，存储系统中的3个数据副本必须保持数据一致。且当应用再次读取这些数据时，任意副本上的数据和之前写入的数据都是一致的。 通常从两个角度确保数据一致性： 应用程序写数据时，会向存储系统中写入三份数据副本。只有当三个副本都写入成功后，存储系统才会向应用程序返回写入成功响应。 如果有数据副本无法读取，则存储系统会自动从其他已保存的副本中读取数据，然后在物理磁盘扇区错误的节点上重新写入数据，自动修复损坏的副本，确保数据一致性。

本小节介绍渗透测试产品定义。 渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞，提前查找自身系统所存在的风险，避免风险给系统造成严重的影响。 渗透测试服务能够对目标网络、主机、数据库与应用系统的安全性做深入的探测，发现系统薄弱环节的过程。能够直观的让管理人员知道当前网络、主机、数据库与应用系统存在的安全弱点以及可能造成的影响，以便采取必要的防范措施。

使用标签筛选实例 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全管理 > 证书管理服务”，进入“SSL证书列表”页面。 4. 单击“筛选标签”。 5. 在“筛选标签”弹窗中，填写标签。 6. 单击“确定”，执行筛选标签操作，列表将展示标签筛选结果。筛选结果返回包含所选择的多项键值的实例。 解绑标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全管理 > 证书管理服务”，进入“SSL证书列表”页面。 4. 选择需要解绑标签的实例，单击“标签”列的。 支持批量解绑：勾选多个实例，在实例列表上方，单击“批量解绑标签”，为多个实例批量解绑标签。 5. 在“编辑标签”弹窗中，单击目标标签操作列的“删除”。 6. 单击“确定”，解绑标签完成。

本文帮助您快速熟悉如何配置HTTPS双向认证。 操作场景 HTTPS协议监听器可配置CA证书，对客户端证书的签名进行验证，实现安全审计、数据分析、安全测试和访问控制等功能。 操作步骤 1. 登录弹性负载均衡弹性负载均衡控制台。 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1。 3. 打开监听器配置向导，在协议&监听器页面，选择HTTPS协议并输入端口。 4. 在HTTPS监听器添加步骤中，选择开启“双向认证”，下方出现CA证书选择下拉列表框。 5. 点击刷新图标，可刷新证书列表，选择所需证书。 6. 如未创建证书，可点击“查看证书”跳转到证书管理页面创建证书。 7. 配置好相关参数后，点击“下一步”配置负载方式和健康检查，完成相关操作。 8. 如需替换证书，可在修改监听器页面选择要替换的证书，并点击“确定”，完成操作。

使用标签筛选实例 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 日志审计（原生版）”，进入日志审计实例管理页面。 4. 单击“筛选标签”。 5. 在“标签筛选”弹窗中，下拉选择已有标签。 6. 单击“确定”，执行筛选标签操作，列表将展示标签筛选结果。筛选结果返回包含所选择的多项键值的实例。 解绑标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 日志审计（原生版）”，进入日志审计实例管理页面。 4. 选择需要解绑标签的日志审计实例，单击“编辑标签”。 支持批量解绑：勾选多个实例，在实例列表上方，单击“批量解绑标签”，为多个实例批量解绑标签。 5. 在弹出的编辑标签窗口中，单击目标标签操作列的“删除”。 6. 单击“确定”，解绑标签完成。

本文介绍云备份的产品定义及架构。 云备份CTCBR（Cloud Backup&Recovery）是一个简单易用、经济高效、安全可靠的一键式备份产品。通过集中管理界面，为用户的云主机、本地主机相关的数据库、硬盘、虚拟机、文件数据等资源提供统一数据保护。 面向需要数据备份的企业，云备份提供简单易用的备份能力。当软件错误、病毒入侵、人为删除等事件发生时，可将数据恢复到任意备份点，减轻经济损失。 支持备份的数据类型 数据类型 数据源 对应的备份存储库类型 文件目录 本地数据中心、天翼云ECS、天翼云物理机 文件备份存储库 数据库 本地数据中心、天翼云ECS、天翼云物理机 混合备份存储库 磁盘 本地数据中心 混合备份存储库 VMware 本地数据中心 混合备份存储库 产品架构 云备份主要由存储库、备份计划和备份副本等组成。 存储库 存储库用于存储您备份在云上的数据。创建备份前，需要先创建至少一个存储库，产生的备份副本将存放至对应的存储库中，云备份目前提供2种备份存储库类型，请根据具体需要选择购买相应的备份存储库。 文件备份存储库：适用于ECS文件备份、物理机文件备份、本地文件备份功能，进行文件/目录的备份。 混合备份存储库：适用于混合备份（存储版）功能，进行数据库、磁盘、VMware的备份。

操作步骤 1.登录边缘安全加速控制台，进入对应服务； 2.左侧导航栏选择 日志>内网日志下载； 3.筛选对应访问时间，单击下载对应的日志文件。

本文介绍如何查看订单。 操作步骤 1. 支付成功后进入“我的订单”页面。 2. 单击“详情”，待订单状态为开通完成后即可进入大模型安全测评页面。

本节介绍风险阻断的用户指南。 概述 通过风险阻断功能，配置阻断规则以及可放通的规则和漏洞白名单，能够在拉取镜像时检查容器镜像是否符合阻断策略，并采取阻断措施，返回相关阻断说明。提高容器运行环境的安全系数。 添加风险阻断策略 本功能只能在企业版实例使用，对于个人版实例不支持使用此功能。 1. 进入容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择已开通的企业版实例。 4. 在企业版实例管理页面的左侧菜单上选择 "安全可信" "风险阻断"，在界面左上角点击“配置阻断策略”按钮。 5. 在弹出界面中设置策略所属命名空间、阻断规则、放通未扫描和漏洞白名单等信息，点击“确定”，各参数说明如下： 参数 是否必填 说明 命名空间 必填 本策略关联的命名空间，凡是此命名空间下的所有镜像拉取都会使用当前策略进行检查。 阻断规则 必填 可选项包括：严重、高危、中危和低危。凡是所拉取的镜像包含规则指定漏洞等级及以上的，则会被阻断拦截。 放通未扫描 非必填 当所拉取的镜像因正在扫描或者扫描失败而无法获取扫描结果的，需要勾选此选项方可正常拉取，否则仍然会被阻断拦截。 漏洞白名单 非必填 可录入一条或多条漏洞的CVE ID（多条用英文逗号“,”分隔），如果镜像安全扫描结果中包含该漏洞ID，将被阻断规则忽略。

本文介绍如何变更安全加速套餐。 您如果有变更套餐的需求，您可以登录天翼云官网，在订单管理产品中找到您的订单，点击“订购”提交您的变更需求。目前套餐变更只支持升级套餐，不支持降级套餐的操作。 产品变更页面

参数 是否必填 参数类型 描述 kubernetes.io/elb.securitypolicyid 否 String ELB中自定义安全组策略ID，请前往ELB控制台获取。该字段仅在HTTPS协议下生效，且优先级高于默认安全策略。 kubernetes.io/elb.tlscipherspolicy 否 String 默认值为“tls12”，为监听器使用的默认安全策略，仅在HTTPS协议下生效。取值范围：l tls10l tls11l tls12l tls12strict tls 否 Array of strings HTTPS协议时，需添加此字段。该字段可添加多项独立的域名和证书，详见配置服务器名称指示（SNI）。 secretName 否 String HTTPS协议时添加，配置为创建的密钥证书名称。

本文为您介绍如何通过密钥管理控制台进行密钥版本的管理。 密钥常用于保护特定的数据，因此，数据的安全依赖于密钥的安全。您可以通过密钥版本化和定期轮转来加强密钥使用的安全性，实现数据保护的安全策略和最佳实践。 密钥版本概述 KMS中的用户CMK支持多个密钥版本。每一个密钥版本是一个独立生成的密钥，同一个CMK下的多个密钥版本在密码学上互不相关。 对于对称密钥，密钥版本可通过自动轮转策略，由系统自动生成。 对于非对称密钥，可人工创建新的密钥版本。 设置自动轮转 对称密钥支持设置自动轮转，生成新的密钥版本。对称密钥版本分为主版本和非主版本： 主版本（Primary Key Version） 系统根据自动轮转策略，定期生成新的密钥版本，并自动设为主版本。 主版本是CMK的活跃加密密钥（Active Encryption Key）。每个CMK在任何时间点上有且仅有一个主版本。 调用GenerateDataKey、Encrypt等加密API接口时，KMS使用指定CMK的主版本对明文进行加密。 非主版本（Nonprimary Key Version） 非主版本是CMK的非活跃加密密钥（Inactive Encryption Key）。每个CMK可以有零到多个非主版本。非主版本历史上曾经是主版本，在当时被用作活跃加密密钥。 密钥轮转产生新的主版本后，KMS不会删除或禁用非主版本，它们需要被用作解密数据。

本文介绍如何为ECI实例分配IPv6地址。 ECI实例同时支持IPv4和IPv6地址，相比IPv4，IPv6大大扩展了地址的可用空间。本文介绍如何为ECI实例分配一个IPv6地址。 背景信息 IPv4的应用范围虽广，但网络地址资源有限，制约了互联网的发展。IPv6不仅可以解决网络地址资源有限的问题，还可以解决多种接入设备连入互联网障碍的问题。 前提条件 1、已为ECI实例所属的VPC和子网开通IPv6网段功能。 2、指定vCPU和内存创建的ECI实例均支持配置IPv6地址。指定ECS规格创建ECI实例时，请先确保指定的ECS规格支持IPv6。 在满足以上条件后，会自动为创建的eci实例分配IPv6地址，可调用describeContainerGroup接口查看ipv6Address字段。 使用条件 需放开IPv6的安全组规则。放开IPV6的安全组规则后，ECI实例之间可以通过IPv6地址实现互相访问。

本节主要介绍OOS产品的优势。 地域广 对象存储（经典版）I型的资源池分布在全国多个省、市、自治区及直辖市，这些资源池均直连骨干网的数据中心，实现全国数据的低延迟访问。 带宽充足 天翼云拥有遍布全国的通信服务网络，具有强大的带宽优势，轻松应对高峰及突发流量。同时也可提供专线，满足网络延迟和安全等级要求。 稳定高效 物理层面：全方位数据保障措施，部署在8级抗震、一级耐火、一级防水、通过ISO27001认证的的数据中心内部。 传输层面：所有操作均可通过HTTPS协议进行，确保数据传输过程加密，以保证传输安全。 存储层面：所有上传数据被分片存储在不同的节点、不同的磁盘，任何节点或磁盘失效，均不影响服务的正常运行。 接入层面：提供多种鉴权和授权机制（包括签名认证、细粒度的身份与权限管控、防盗链、限制IP黑白名单访问、日志访问记录、WORM特性等），保证操作安全。 持久可用 服务设计可用性不低于99.99%。 数据设计持久性可高达99.99999999999%。 存储规模可大规模在线扩展，不影响对外服务。 支持多副本和纠删码冗余，可根据对象的重要程度选择不同的冗余方式。

定价示例 定价示例1：初创团队远程办公 您要为小于10人的团队提供零信任服务，解决居家办公、移动办公等场景下的内网接入问题，实现整个企业办公安全统一管控。 推荐选择AOne零信任的免费版，包含10个账号数，流量每月100GB，每月消费0元。 定价实例2：小型团队远程办公 您要为30人左右的团队提供零信任服务，日常访问流量在300GB以上，解决团队协作、移动办公等场景下的内网接入问题，实现整个企业办公安全统一管控。 推荐选择AOne零信任的VPN版，包含30个账号数，流量每月300GB，每月消费180元。 定价示例3：中小型团队远程办公 您要为50人的团队提供零信任服务，日常访问流量在1000GB，解决远程办公、移动办公等场景下的内网访问问题，实现端口和应用隐身，可对企业员工的访问行为进行审计。 推荐选择AOne零信任基础版，再叠加扩展服务，见下表。 功能规格 用量 费用计算 每月总费用（元） AOne零信任基础版（包含10个账号） 1 250元 250 扩展服务基础版25元/账号/月 40（5010） 25元40个1000元 1000 总计 1250

版本 发布日期 说明 4.0 2026年03月24日 1. 支持免费版本。 2. 新增调整HBlock服务占用服务器内存参数功能。 3. 上云卷新增挂起卷功能。 4. 支持通过API设置本地卷的扩展属性。 5. 增加设置鉴权方式。 3.10 2025年09月25日 1. 支持target访问权限，实现客户端和target端权限管理。 2. 支持备份，基于快照生成独立于源卷的数据备份文件。 3. 支持设置QoS规则，从带宽和IOPS维度管控流量。 3.9 2025年04月21日 1. 支持快照功能，实现数据的快速备份与恢复。 2. 支持克隆卷功能，用于数据复制、测试验证等场景。 3.8 2025年02月14日 1. API签名方法变更，提升安全性。 2. 存储卷和缓存卷支持将数据上传至兼容 S3 的对象存储。 3. 支持设置基础服务的数据存储目录。 4. Target增加回收策略，支持无卷关联后自动删除。 5. 针对智算、虚拟化以及高可用敏感度等场景，支持一键调整系统参数。 6. 支持设置折叠副本数，允许数据副本/分片放在同一个故障域中。 3.7 2024年08月08日 1. 支持设置集群拓扑。 2. 支持创建和管理多存储池。 3. 支持机房和机架级别故障域。 4. 支持设置卷的高速缓存池。 5. 支持基础服务迁移。 3.6 2024年06月03日 1. 支持存储卷和缓存卷，将数据从后端上传到天翼云对象存储（经典版）I型。 2. 硬件及HBlock监控数据支持对接到Prometheus。 3. 支持HBlock告警信息对接到智能运维平台。 4. 优化读写性能。 5. 增加对龙芯服务器的支持。 3.5 2024年03月04日 1. 支持服务器、数据目录级别的故障域，支持磁盘级别的数据服务。 2. 支持指定基础服务的安装节点。 3. 支持数据目录配额，设置HBlock可写入的数据量上限。 4. Target可被多个客户端发现并连接。 5. 设置卷的最小写入副本数，提高数据写入安全性。 6. 扩大纠删码EC N+M支持范围，满足N+M<128。 3.4 2023年07月12日 1. 卷连接支持一主多备，提高业务可用性。 2. 支持IPv6环境。 3. 控制台提供Dashboard一页式概览。 4. 支持通过命令行查询CHAP密码。 3.3 2022年12月23日 支持安全移除服务器。 3.2 2022年09月26日 1. 监控项增加，扩大覆盖范围。 2. 增加对告警、日志管理的支持。 3. 事件中增加对系统事件的支持。 3.1 2022年06月14日 1. 单机版支持添加多个数据目录。 2. 集群版支持创建Target时指定对应的服务器，支持Target迁移。 3. 支持用户事件的记录和查询。 3.0 2022年01月18日 1. 命令行变更为非交互式。 2. 支持WEB、API调用方式。 3. 卷操作：支持设置卷的高可用类型和卷的写策略。 2.1 2021年08月27日 1. 增加对ARM服务器的支持。 2. 软件许可证：查看许可证时，可以显示允许的容量。 3. 卷操作：支持对卷进行主备切换，即卷对应的Active Target和Standby Target切换。 2.0 2021年05月28日 1. 支持集群版部署。 2. 支持多副本和纠删码数据冗余。

本文介绍如何通过日志分析分析域名访问日志和Web攻击日志。 功能简介 日志分析模块主要是介绍和指导客户如何分析域名访问日志和Web攻击日志。为您提供一个月内的访问日志和Web攻击日志。 创建日志任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【数据分析】，进入【日志分析】菜单。 3. 单击页面左上角【新建日志任务】按钮。 4. 配置完成后，单击【确定】，保存日志任务。 注意 本产品相关数据从您成功配置任务后才开始生成和记录。若您尚未进行任务配置，将无法获取到任何数据。 请您在使用相关功能前，先完成任务配置，以确保正常使用。 配置项说明 配置项 说明 任务名称 配置任务的名称，支持中英文、数字、最长30个字符。 日志类型 配置需要创建的日志类型，支持配置业务访问日志和Web应用攻击日志。一个任务只能配置一种日志类型。 关联域名 配置日志任务的域名，默认为全部域名。 实时分析日志 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【运营管理】—【数据分析】，进入【日志分析】菜单。 3. 单击【日志任务列表】—【操作】中的【实时分析日志】按钮，进入实时分析日志页面。

本文简述回源端口的配置方法。 功能介绍 源站端口，是指源站接收天翼云AOne安全与加速请求时所用的端口，一般http协议和https协议使用不同的源站端口。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置”。 4.在源站端口模块，配置合适的回源端口。http端口默认80，支持自定义；https端口默认443，支持自定义。 配置界面 未开启“跟随请求端口回源”时，可以自定义配置HTTP回源端口和HTTPS回源端口，如下图： 开启“跟随请求端口回源”时，HTTP回源端口和HTTPS回源端口置灰不能配置，将使用请求端口回源，如下图： 参数名 说明 http 使用http协议回源时使用的源站端口，默认80，支持自定义，自定义回源端口范围为1~65535。 https 使用https协议回源时使用的源站端口，默认443，支持自定义，自定义回源端口范围为1~65535。 跟随请求端口回源 跟随请求端口回源开关开启后，使用请求端口回源。

字段 说明 服务发现地址 提供给应用的一个URL，应用可以通过该地址获取对接所需的URL和参数，如授权端点、令牌端点、用户信息端点等。 重定向URI 如果配置了此项，在授权请求时就可以不传递redirecturi参数，如果授权请求时，传递了redirecturi参数，则以授权请求时传递的参数为准。注意：重定向URI中不能包括号。 重定向URI匹配规则 为避免Open Redirect漏洞，可定义redirecturi的匹配规则，定义后redirecturi必须匹配本规则才能跳转。本规则支持简单号匹配。 身份令牌签名算法 固定RS256。 过期时间 授权码code：一般为510分钟。这是因为授权码在OIDC流程中只是一个临时的凭证，用于换取访问令牌和身份令牌，配置时间较短以减少被盗用的风险。 身份令牌idtoken：一般为1小时或者更短。因为身份令牌包含用户的身份信息，为了安全起见，不应该长时间有效。 访问令牌accesstoken：时间会更长一些，但通常不会超过1天。因为访问令牌用于访问受保护的资源，其有效期取决于资源的敏感性和安全要求。 刷新令牌refreshtoken：刷新令牌用于在访问令牌过期后获取新的访问令牌，而无需用户再次进行身份验证，提升用户体验。

本节介绍如何查看自定义类型。 约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 自定义类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”。 子类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”、“子类型标识”。 查看已有的自定义类型/子类型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“自定义类型”页签，进入自定义类型管理页面后，查看已有自定义类型/子类型的详细信息。 左侧显示类型列表，展示已有的类型。 如需查看某个类型的详细信息，请单击左侧类型列表中类型的名称，右侧将展示类型的详细信息。具体信息如下： 目标类型的基本信息：名称、创建人、创建时间、关联布局。 子类型列表：已有子类型、子类型名称、子类型关联的布局等信息。

本小节介绍关闭节点防护。 操作须知 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 操作步骤 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量关闭防护和单服务器关闭防护。 单服务器关闭防护 a.在“节点列表”中目标服务器的“操作”列单击“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 批量关闭防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 说明 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。

如果您需要对您所拥有的FunctionGraph进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用FunctionGraph资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将FunctionGraph资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用FunctionGraph服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的FunctionGraph权限，并结合实际需求进行选择。 实例流程 1. 在IAM控制台创建用户组，并授予FunctionGraph查询及调用权限“FunctionGraph Invoker”。 2. 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 新创建的用户登录管理控制台，验证FunctionGraph的函数查询权限。 1. 在“服务列表”中选择“函数工作流 FunctionGraph”，进入“函数 > 函数列表”，单击“创建函数”进入到创建函数界面，发现无法创建函数，表示“FunctionGraph Invoker”已生效。 2. 在“服务列表”中选择除FunctionGraph外的任一服务，若提示权限不足，表示“FunctionGraph Invoker”已生效。

本节主要介绍创建用户并授权使用AOM 如果您需要对您所拥有的AOM进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用AOM资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将AOM资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用AOM服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的AOM权限，并结合实际需求进行选择，AOM支持的系统权限，请参见AOM产品介绍中“权限管理”章节。若您需要对除AOM之外的其他服务授权，IAM支持服务的所有系统权限请参见帮助中心“权限集”。 示例流程 给用户授权AOM权限流程 1、创建用户组并授权 在IAM控制台创建用户组，并授予AOM只读权限“AOM ReadOnlyAccess”。 2、创建用户并加入用户组 在IAM控制台创建用户，并将其加入创建的用户组。 3、用户登录并验证权限 新创建的用户登录控制台，验证AOM的只读权限。

数据安全 权限点 管理员 开发者 运维者 访客 新建数据溯源任务 Y Y N N 删除数据溯源任务 Y Y N N 操作数据溯源任务 Y Y N N 查询数据溯源任务 Y Y Y Y 编辑数据溯源任务 Y Y N N 新建数据分类权限 Y Y Y N 删除数据分类权限 Y Y Y N 查询数据分类权限 Y Y Y Y 编辑数据分类权限 Y Y Y N 新建访问权限管理 Y Y N N 删除访问权限管理 Y Y N N 查询访问权限管理 Y Y Y Y 编辑访问权限管理 Y Y N N 新建动态策略 Y N N N 删除动态策略 Y N N N 查询动态策略 Y Y Y Y 编辑动态策略 Y N N N 新建密级 Y Y N N 删除密级 Y Y N N 查询密级 Y Y Y Y 编辑密级 Y Y N N 新建动态脱敏策略 Y N N N 删除动态脱敏策略 Y N N N 查询动态脱敏策略 Y Y Y Y 编辑动态脱敏策略 Y N N N 新建动态脱敏订阅策略 Y N N N 删除动态脱敏订阅策略 Y N N N 查询动态脱敏订阅策略 Y Y Y Y 新建资源权限策略 Y N N N 删除资源权限策略 Y N N N 查询资源权限策略 Y Y Y Y 编辑资源权限策略 Y N N N 操作安全任务调度 Y Y Y N 新建权限申请审批 Y Y Y N 查询权限申请审批 Y Y Y Y 编辑权限申请审批 Y Y Y N 新建用户同步任务 Y Y Y N 删除用户同步任务 Y Y Y N 查询用户同步任务 Y Y Y Y 编辑用户同步任务 Y Y Y N 新建数据脱敏任务 Y Y N N 删除数据脱敏任务 Y Y N N 操作数据脱敏任务 Y Y N N 查询数据脱敏任务 Y Y Y Y 编辑数据脱敏任务 Y Y N N 操作数据安全细粒度权限控制 Y N N N 查询数据安全细粒度权限控制 Y Y Y Y 编辑数据安全细粒度权限控制 Y N N N 新建权限集权限 Y Y Y N 删除权限集权限 Y Y Y N 查询权限集权限 Y Y Y Y 编辑权限集权限 Y Y Y N 查询总览 Y Y Y Y 新建权限跨源同步策略 Y N N N 删除权限跨源同步策略 Y N N N 查询权限跨源同步策略 Y Y Y Y 编辑权限跨源同步策略 Y N N N 查询成员管理 Y Y Y Y 编辑成员管理 Y Y Y N 新建权限集成员 Y Y Y N 删除权限集成员 Y Y Y N 查询权限集成员 Y Y Y Y 查询获取委托 Y Y Y Y 新建脱敏策略 Y Y N N 删除脱敏策略 Y Y N N 操作脱敏策略 Y Y Y Y 查询脱敏策略 Y Y Y Y 编辑脱敏策略 Y Y N N 查询数据访问审计 Y N N N 新建规则分组 Y Y Y N 删除规则分组 Y Y N N 操作规则分组 Y Y Y N 查询规则分组 Y Y Y Y 编辑规则分组 Y Y Y N 查询权限同步失败日志 Y Y Y Y 新建敏感发现任务 Y Y Y N 删除敏感发现任务 Y Y N N 操作敏感发现任务 Y Y Y N 查询敏感发现任务 Y Y Y Y 编辑敏感发现任务 Y Y N N 新建权限集 Y Y Y N 删除权限集 Y Y Y N 查询权限集 Y Y Y Y 编辑权限集 Y Y Y N 查询数据源 Y Y Y Y 查询目录权限策略 Y Y Y Y 新建行级访问策略 Y N N N 删除行级访问策略 Y N N N 查询行级访问策略 Y Y Y Y 编辑行级访问策略 Y N N N 新建队列策略 Y N N N 删除队列策略 Y N N N 查询队列策略 Y Y Y Y 编辑队列策略 Y N N N 新建安全诊断 Y N N N 查询安全诊断 Y Y Y Y 查询资源权限配置 Y Y N N 新建数据水印嵌入 Y Y N N 删除数据水印嵌入 Y Y N N 操作数据水印嵌入 Y Y N N 查询数据水印嵌入 Y Y Y Y 编辑数据水印嵌入 Y Y N N

本文介绍Serverless集群概述。 产品简介 云容器引擎Serverless版是天翼云提出的Serverless Kubernetes容器服务。与传统Kubernetes集群相比，Serverless集群无需购买节点即可直接部署容器应用，同时无需对集群进行节点维护和容量规划，降低了Kubernetes使用门槛，让用户更专注于应用程序，而不是管理底层基础设施。Serverless集群提供完善的Kubernetes兼容能力，您可以轻松迁移已有的Kubernetes应用到Serverless集群上，并且根据应用配置的CPU和内存资源量进行按需付费。 使用场景 互联网企业：大规模业务上线生产环境，对管控的稳定性、可观测性和安全性有较高要求。 大数据计算企业：大规模数据计算、高性能数据处理、高弹性需求等类型业务，对集群稳定性、性能和效率有较高要求。