云防火墙的攻击防御功能支持防护网络攻击和病毒文件，建议您及时将IPS的“防护模式”切换至“拦截模式”。 前提条件 已开启至少一项流量防护。 开启EIP流量防护请参见开启互联网边界流量防护。 开启VPC流量防护请参见开启VPC边界流量防护。 开启私网IP流量防护请参见开启NAT网关流量防护。 如何防御网络攻击和病毒文件 提供以下几种方式： 入侵防御（IPS）：结合多年攻防积累的经验规则，针对访问流量进行检测与防护，覆盖多种常见的网络攻击，有效保护您的资产。 IPS提供四种防护模式，如需调整防护模式请参见调整IPS防护模式拦截网络攻击。 观察模式：仅对攻击事件进行检测并记录到“攻击事件日志”中，不做拦截。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。 IPS提供多类规则库，详细介绍如下表所示，不同防护模式会开启不同规则的“拦截”状态，对照表请参见[规则组随防护模式变更的默认动作对照表](

本文介绍Service概述。 创建服务 Kubernetes中每⼀个工作负载会有⼀个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了服务（Service）这个资源对象。本文将介绍如何创建服务并对外发布应用。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 通过命令创建应用 步骤一：创建Deplyoment 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 5. 在无状态页面中单击左上角的“新增YAML” ，本次示例模板是一个Nginx的Deployment，具体内容如下所示： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:1.14.2 ports: containerPort: 80 6. 创建完成后可查看该应用。 1. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 2. 在无状态页面中可以查看所有已经创建的Deployment。 3. 在目标Deployment项选项卡单击创建好的应用名称 ，查看其详情。

本节介绍了如何Service管理。 创建服务 Kubernetes中每⼀个工作负载会有⼀个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了服务（Service）这个资源对象。本文将介绍如何创建服务并对外发布应用。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 通过命令创建应用 步骤一：创建Deplyoment 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 5. 在无状态页面中单击左上角的“新增YAML” ，本次示例模板是一个Nginx的Deployment，具体内容如下所示： apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:1.14.2 ports: containerPort: 80 6. 创建完成后可查看该应用。 1. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“无状态” 。 2. 在无状态页面中可以查看所有已经创建的Deployment。 3. 在目标Deployment项选项卡单击创建好的应用名称 ，查看其详情。

参数 描述 数据流动方向 选择“入云”。 源数据库引擎 选择“Oracle”。 目标数据库引擎 选择“PostgreSQL”。 网络类型 此处以“公网网络”为示例。目前支持可选“公网网络”、“VPC网络”和“VPN、专线网络”。 目标数据库实例 创建好的RDS for PostgreSQL实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 全量+增量 该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 全量该模式为数据库一次性同步，适用于可中断业务的数据库同步场景，全量同步将用户选择的数据库对象和数据一次性同步至目标端数据库。

规范 规范说明 级别 备注 业务数据分离 防止由于Redis故障或不可用影响所有相关业务收到干扰 建议 业务数据分离，避免多个应用使用一个Redis实例，不相干的业务拆分，公共数据做服务化。 完善redis的容错处理 缓存可能会遇到基础设施的故障或主备切换，应用需要对可能的故障和慢请求做容错处理。 建议 缓存访问失败时，具备降级措施，从DB获取数据；或者具备容灾措施，自动切换到另一个Redis使用。 避免redis内存使用量超过80% 虽然云主机会有一定的内存冗余，但是redis内存过高时，redis全量持久化时引入的COPYONWRITE机制带来额外的内存消耗，再加上大内存带来的内存碎片和云主机相关的管理进程消耗，容易触发操作系统OOM KILL。 强制 建议及时做扩容处理。 防止缓存击穿 防止缓存击穿，推荐搭配本地缓存使用Redis，对于热点数据建立本地缓存。本地缓存数据使用异步方式进行刷新。 建议 就近部署业务 避免网络延迟将极大影响读写性能，如果对于时延较为敏感，请避免使用跨AZ Redis实例。 建议 不当成消息队列 发布订阅场景下，不建议作为消息队列使用。redis的PUB/SUB支持的性能有限。 强制 如果需要消息队列，建议改用kafka或rabbitmq。

本文介绍应用托管的产品优势。 开箱即用 提供应用一键部署的功能，极大简化应用的安装和配置过程，分钟级完成应用部署；为部署的应用提供公网访问能力，可通过公网便捷访问已部署的应用。用户无需学习复杂的K8s等容器知识，即可轻松上手。 丰富的生态与扩展 汇聚不同类型的应用，覆盖多种用途和行业需求。可方便地浏览、搜索选择适合的应用；集成MCP相关的服务资源，涵盖内容生成、网页搜索、效率工具等多种类型，全面支撑企业各类智能应用场景。 降低IT资源投入 支持根据业务需求灵活增减配资源，避免重资产投入，高效管控成本；按小时计费，暂停不计费。 少人化运维与成本优化 基于云原生和部署工具链的集成，大幅减少人工操作，少量运维人员即可管理大量应用系统，提升维护效率，降低成本；平台管理并分配算力，屏蔽算力底座差异，用户无需关心底层硬件和K8s集群，聚焦业务应用开发和管理。 应用交付效率提升 为供应商提供独立的测试空间，灵活分配计算资源避免干扰，助力供应商快速完成部署与测试，提升协作效率；完成测试并审核通过的应用可生成“应用模板”，并可发布应用市场，实现用户环境秒级部署上线，大幅降低运维成本。

本文主要介绍钓鱼检测服务的相关功能。 背景 天翼云AOneMail的钓鱼检测机制是其安全体系的重要组成部分，旨在为企业用户提供高安全性的邮件通信服务。通过邮件正文检测、云端检测、AI检测等多种技术手段，AOneMail能够有效识别和拦截钓鱼邮件，保护企业用户免受钓鱼攻击的侵害。 操作步骤 1. 登录边缘安全加速控制台，选择控制台【云邮箱】； 2. 在左侧导航栏，选择【设置】，进入钓鱼能力开关页面； 3. 钓鱼能力分为五个模块，您可以通过编辑对应的卡片来处理对应的列表。 检测总开关 点击开启则进行钓鱼邮件检测，是否进行其他检测看后续开关，点击关闭则不进行任何钓鱼邮件检测。 邮件正文检测 默认开启。点击开启进行邮件正文内容检测；点击关闭则只检测发件人邮箱和主题。对本地检测、云端情报库检测和AI检测有控制是否检测正文。 云端检测开关 默认开启。点击开启则进行云端黑白情报库检测；点击关闭则只进行客户端本地引擎检测（本地规则引擎+客户端本地过黑白名单情报库）。

本章节为您介绍如何将已添加到数据安全中心DSC防护的对象存储OBS桶删除。 将对象存储OBS桶删除后，该资产在DSC服务里建立的相关任务模板以及扫描任务结果报告都将被删除，且无法恢复。 前提要求 需要完成对象存储OBS资产委托授权，参考云资源委托授权/停止授权步骤进行操作。 需要删除的对象存储OBS资产未被应用在敏感数据识别任务中。 注意 如果需要删除的OBS资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 OBS资产删除后无法恢复，资产相关的任务模板，任务结果，报表都将删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.点击左上角的，选择区域或项目。 3.点击左侧导航树的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5.在OBS资产列表中，在需要删除的OBS资产所在行的“操作”列，单击“删除”。 6.在弹出窗口中，单击“确定”。

本文介绍如何查看算力专网站点的全息视图。 前提条件 订购算力专网前，请先确认已满足以下条件： 已经在“订购算力专网”页面完成算力专网站点的创建。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击选择“网络>算力专网”，进入算力专网控制台。 4. 单击左侧列表中的“云网客户全息视图”按钮，进入云网客户全息视图页面，可以查看同一VPN网号下的所有电路分布情况以及云资源池主机情况、内存利用率等关键指标情况，包括各条电路分钟级的流量监测以及告警提示。 5. 单击云网客户全息视图中左侧业务列表中的电路代号，进入目标网络的组网视图，可以查看该VPN平面下的所有电路连接状态以及云网全量设备的拓扑信息。 6. 将鼠标悬浮到设备图标上，可以查看当前设备的重要配置参数。 7. 单击设备图标，可以查看当前设备的流量和告警等信息。

本章节会介绍如何将单机实例转为主备实例。 操作场景 关系型数据库支持数据库单机实例转为主备实例。在保留原实例资源的情况下提高了实例的可靠性。单机转主备实例操作对主实例业务没有影响。 主备实例可实现自动故障倒换，备机快速接管业务。建议您将主备实例选择到不同的可用区，享受跨可用区，同城容灾的高可用服务。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择单机实例，单击“操作”列的“更多 > 转主备”，进入“转主备”页面。 5. 在转主备时，您只需选择“备可用区”，其他信息默认与主实例相同。确认信息无误，单击“提交”。 6. 单机转主备创建成功后，单击“返回云数据库RDS列表”，用户可以在“实例管理”页面对其进行查看和管理。 7. 在实例列表的右上角，单击刷新列表，可查看到单机转主备完成后，实例状态显示为“正常”，“实例类型”显示为“主备”。

本章主要介绍概述 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云主机上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图1 通过内网连接实例 步骤一： 创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二： 设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三： 通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

在应用的发布、重启过程中，不可避免的会造成流量的损失，可能会因为服务没有预热而出现抖动，或因为服务没有完全初始化之前就注册在注册中心导致访问失败。微服务治理提供了服务上线的保护能力，提供服务预热、延迟注册服务的能力解决流量损失问题。 使用无损下线 默认情况下，当应用开启服务治理后即可享受无损下线功能，无需额外操作 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 无损上下线 服务预热 应用在启动后，由于内部资源还未彻底初始化，直接处理大流量可能会导致出现请求阻塞或报错的情况。在应用刚启动的一段时间内，通过小流量预热的方式使应用完成内部资源的初始化，这样可以有效的避免应用上线后出现的抖动问题。 预热参数说明： 参数 说明 预热时长（秒） 应用实例下一次启动的预热时间，默认预热时长为120秒。服务预热时长设置范围为0~86400秒（即24小时）。 预热曲线 默认为2（适合于一般预热场景），表示在预热周期内服务提供者的流量接收曲线形状呈2次曲线形状。预热曲线设置范围为0~20。

本文主要介绍散点图配置。 散点图是一种在直角坐标系平面上，通过数据点展示两个变量关系的图表。每组数据分别对应X轴和Y轴的坐标值，点的位置、分布和密集程度可用于判断两个变量之间的相互影响程度。 前提条件 已完成日志采集配置，并成功采集到日志。 操作步骤 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 在语句搜索模式下，输入查询语句与SQL分析语句，具体语法请参考SQL统计分析章节。 5. 点击【查询】按钮，结果将默认以表格形式呈现。右侧图表类型选择点击散点图图。 6. 结果将以散点图图的形式展示。 配置参数 查询分析配置 参数 说明 图表名称 支持自定义图表名称。 x轴字段 选择目标日志字段作为X轴。 y轴字段 选择目标日志字段作为Y轴。 分类列 选择用于数据分类的日志字段。 点大小列 选择一个字段，将根据该字段的值动态设置点的大小。 图形配置 参数 说明 线宽 设置线的宽度。 透明度 设置透明度 点大小 设置点的大小。 若您设置了点大小列，则此处的点大小设置不会生效。 形状 设置点的形状（圆形、方形和三角形）。

日志触发器能够为您提供增量日志的触发事件，您可以及时感知到指定的日志单元产生了新的日志，结合日志服务提供的SDK，您可以消费到最新的增量日志，完成定制化的任务。 使用场景 监控关键日志并告警。通过配置日志触发器，您可以及时消费到增量日志，通过编排工作流，可以监听捕捉日志内容，并发出告警。 实现日志数据的ETL。通过配置日志触发器，您可以持续消费指定日志单元的日志（Extract），通过编排工作流，可以对日志数据进行清洗、脱敏等一系列处理，并投递到新的日志单元（Transform，Load）。 触发机制 事件的基本传递机制请参考概述。 增量日志事件的上报：日志单元会持续监听日志数据写入，如果没有新增日志，不会上报事件；如果有新增日志，且最近60秒内日志量少于25MB，那每60秒会上报一次；如果日志量大于25MB，则在日志量达到25MB时上报一次。 Event事件的data部分格式如下。 plaintext { "beginCursor":7256969395249872970, // 日志数据起始游标，标识增量日志的开始位置 "endCursor":7256969395249872981, // 日志数据结束游标，标识当次上报日志结束为止 "unitCode":"0fc54abd09aa8c" // 日志单元ID } 日志触发器只会推送日志事件的元数据信息，不包括日志内容，如果需要消费日志内容，请使用云日志提供的SDK并结合Event事件data字段进行日志消费，具体用法可参考文档。

本节介绍了：云容器引擎发布 Kubernetes 1.25版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.25 Changelog 1. PodSecurityPolicy 弃用，Pod Security Admission 升级为稳定版本，迁移指引可参见从 PodSecurityPolicy迁移到内置的 PodSecurity Admission控制器。 2. 临时容器升级为稳定版本，临时容器是在 Pod中存在有限时长的容器。临时容器可用于排障，特别是检查另一个容器的时候，该容器已奔溃无法使用 kubectl exec进入。 3. 对 cgroups v2的支持达到稳定状态，cgroups v2相对于 cgroups v1 进行了多项改进，更多信息请参阅cgroup v2。 4. Windows 支持得到了改进。 5. SeccompDefault 升级为 Beta，清参阅教程使用 seccomp限制容器系统调用。 6. 网络策略（NetworkPolicy）中的 endPort GA，该特性支持设置端口范围。请注意，endPort依赖网络策略提供商支持。 7. CSI 临时卷升级到稳定状态，该功能允许在 Pod spec中为临时用例直接指定 CSI卷。它们可用于注入配置、密钥、身份标志、变量等类似信息。 8. CRD 校验表达式语言升级到 Beta版，该特性允许使用通用表示式语言（CEL）声明式地验证自定义资源。更多信息见[校验规则指南](

Service 与 kubeproxy Service是Kubernetes抽象出来的网络组件，它对外提供统一的IP，屏蔽后端 Pod 的变化，将请求负载到后端的容器 Pod。 kubeproxy是 Kubernetes 的核心组件之一，负责维护节点上 Service 到 Pod 的网络规则。云容器引擎的 kubeproxy 支持 iptables 和 IPVS 两种模式。 iptables iptables 是 Linux 用于过滤和处理数据包的内核功能，其原理是通过 Hook 机制挂载的一系列规则对路径上的数据包进行处理。在使用 iptables 模式时，kubeproxy 会为每一个 Service 添加一条 iptables 规则。通过这些规格流向 Service 的数据包将被随机转发到后端的容器 Pod上。适用的场景： 成熟稳定的kubeproxy代理模式，性能一般，适用于Service数量较少（小于3000）的场景 随机平等的负载均衡算法能满足需求的场景 IPVS IPVS（IP Virtual Server）是构建在传输层上的负载均衡，其原理是将客户端的 TCP 和 UDP 请求根据预设的调度算法分配到后端的真实服务器上，从而实现服务器集群的负载均衡。采用 IPVS 模式时，kubeproxy 会使用 IPVS 提供的高效查找算法将请求转发到后端的容器 Pod上，且处理效率与集群规模无关。适用的场景： 高性能的kubeproxy代理模式，适用于集群规模较大或Service数量较多的场景 有轮询、最短期望延迟、最少连接以及各种哈希方法等负载均衡算法需求的场景

通过后台提交作业 MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.在“节点管理”页签中单击某一Master节点名称，进入弹性云主机管理控制台。 4.单击页面右上角的“远程登录”。 5.根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6.执行如下命令初始化环境变量。 source /opt/Bigdata/client/bigdataenv 7.如果当前集群已开启Kerberos认证，执行以下命令认证当前用户。如果当前集群未开启Kerberos认证，则无需执行该步骤。 kinit MRS集群用户 例如, kinit admin 8.执行如下命令拷贝OBS文件系统中的程序到集群的Master节点。 hadoop fs Dfs.obs.access.keyAK Dfs.obs.secret.keySK copyToLocal sourcepath.jar targetpath.jar 例如：hadoop fs Dfs.obs.access.keyXXXXDfs.obs.secret.keyXXXX copyToLocal "obs://mrsword/program/hadoopmapreduceexamplesXXX.jar" "/home/omm/hadoopmapreduceexamplesXXX.jar" AK/SK可登录OBS控制台，请在集群控制台页面右上角的用户名下拉框中选择“我的凭证 > 访问密钥”页面获取。 9.执行如下命令提交wordcount作业，如需从OBS读取或向OBS输出数据，需要增加AK/SK参数。 source /opt/Bigdata/client/bigdataenv;hadoop jar executejar wordcount inputpath outputpath 例如：source /opt/Bigdata/client/bigdataenv;hadoop jar/home/omm/hadoopmapreduceexamplesXXX.jar wordcount Dfs.obs.access.keyXXXXDfs.obs.secret.keyXXXX "obs://mrsword/input/""obs://mrsword/output/" inputpath为OBS上存放作业输入文件的路径。outputpath为OBS上存放作业输出文件地址，请设置为一个不存在的目录。

下载MacOS版控件 1. 使用访问用户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“运维设置”，进入“运维设置”页面。 3. 单击页面右上角的“访问插件”按钮。 4. 在访问插件窗口，下载MacOS版控件到本地。 5. 下载完成后，可以查看文件“cbhcontrolxxx.dmg”。 示例： 安装MacOS版控件 1. 双击下载的MacOS版控件。 2. 在弹出的窗口中，将CBHCMD、CBHsom、vncviewer放入应用程序。 3. 在安装过程中出现的权限申请，需要选择“允许”，如果点击其他地方或点击不允许，弹框消失后，只能卸载重装插件。 允许插件添加代理配置：在如下窗口中，单击“允许”。 允许系统扩展：在如下窗口中，单击“打开系统设置”。 在如下页面，单击“允许”，允许应用程序“CBHsom”的系统软件载入。 4. 安装完成后，能在应用程序里看到已安装的插件。 5. 若使用了本地初始化功能，在“设置 > 网络 > 过滤条件”里能看到名为CBHAppProxy的透明代理状态为已启用。 若无法拉起CBHAppProxy的透明代理，请在“通用 > 登录项与扩展 > 网络拓展”中启用CBHsom，需要卸载重装插件，并确保安装过程中权限申请均选择“允许”。 注意 高版本的Mac需要手动打开网络拓展才能正常拉起代理，如下图所示。

配置一个中心VPC的ECS与两个VPC的ECS对等 (IPv4) 如果在一个VPC和其他多个网段重叠的VPC之间创建对等连接，那么配置路由的时候，您可以参考本示例，将路由的目的地址范围缩小，配置成ECS的私有IP地址。路由目的地址规划不当，会导致流量无法正确转发，错误示例及原因详解，可参见“配置一个中心VPC与两个VPC的重叠子网对等 (IPv4)”。 在本示例中，在中心VPCA内ECSA011和VPCB内ECSB01之间创建对等连接PeeringAB，在中心VPCA内ECSA012和VPCC内ECSC01之间创建对等连接PeeringAC。由于SubnetB01和SubnetC01子网网段重叠，请确保云服务器ECSB01和ECSC01的私有IP地址不同，否则会由于目的地址冲突无法在VPCA的路由表中添加路由。 图一个中心VPC的ECS与两个VPC的ECS对等(IPv4) 资源规划详情和对等连接关系，请参见下表。 表资源规划详情一个中心VPC的ECS与两个VPC的ECS对等(IPv4) VPC名称 VPC网段 子网名称 子网网段 关联VPC路由表 ECS名称 安全组 私有IP地址 VPCA 172.16.0.0/16 SubnetA01 172.16.0.0/24 rtbVPCA ECSA011 sgweb：通用Web服务器 172.16.0.111 VPCA 172.16.0.0/16 SubnetA01 172.16.0.0/24 rtbVPCA ECSA012 sgweb：通用Web服务器 172.16.0.218 VPCB 10.0.0.0/16 SubnetB01 10.0.0.0/24 rtbVPCB ECSB01 sgweb：通用Web服务器 10.0.0.139 VPCC 10.0.0.0/16 SubnetC01 10.0.0.0/24 rtbVPCC ECSC01 sgweb：通用Web服务器 10.0.0.71

云日志服务日志服务支持如下机器学习函数。 函数列表 函数名称 语法 说明 tscpdetect tscpdetect(x, y, minSize) 寻找时序序列中具有不同统计特性的区间，区间端点即为变点。 tsbreakoutdetect tsbreakoutdetect(x, y, winSize) 寻找时序序列中，某统计量发生陡升或陡降的点。 tsfindpeaks tsfindpeaks(x, y, winSize) 极大值检测函数用于在指定窗口中寻找序列的局部极大值。 tspredicatesimple tspredicatesimple(x, y, nPred, isSmooth) 利用默认参数对时序数据进行建模，并进行简单的时序预测和异常点的检测。 tspredicatear tspredicatear(x, y, p, nPred, isSmooth) 使用自回归模型对时序数据进行建模，并进行简单的时序预测和异常点的检测。 tspredicatearma tspredicatearma(x, y, p, q, nPred, isSmooth) 使用移动自回归模型对时序数据进行建模，并进行简单的时序预测和异常点检测。 tspredicatearima tspredicatearima(x, y, p, d, q, nPred, isSmooth) 使用带有差分的移动自回归模型对时序数据进行建模，并进行简单的时序预测和异常点检测。 tsdensitycluster tsdensitycluster(x, y, z) 使用密度聚类方法对多条时序数据进行聚类。 tshierarchicalcluster tshierarchicalcluster(x, y, z) 使用层次聚类方法对多条时序数据进行聚类。 tssmoothsimple tssmoothsimple(x, y) 默认平滑函数，使用HoltWinters算法对时序数据进行滤波操作。 tssmoothfir tssmoothfir(x, y,winType,winSize) tssmoothfir(x, y,array()) 使用FIR滤波器对时序数据进行滤波操作。 tssmoothiir tssmoothiir(x, y, array(), array()) 使用IIR滤波器对时序数据进行滤波操作。

云日志服务日志服务支持如下机器学习函数。 函数列表 函数名称 语法 说明 tscpdetect tscpdetect(x, y, minSize) 寻找时序序列中具有不同统计特性的区间，区间端点即为变点。 tsbreakoutdetect tsbreakoutdetect(x, y, winSize) 寻找时序序列中，某统计量发生陡升或陡降的点。 tsfindpeaks tsfindpeaks(x, y, winSize) 极大值检测函数用于在指定窗口中寻找序列的局部极大值。 tspredicatesimple tspredicatesimple(x, y, nPred, isSmooth) 利用默认参数对时序数据进行建模，并进行简单的时序预测和异常点的检测。 tspredicatear tspredicatear(x, y, p, nPred, isSmooth) 使用自回归模型对时序数据进行建模，并进行简单的时序预测和异常点的检测。 tspredicatearma tspredicatearma(x, y, p, q, nPred, isSmooth) 使用移动自回归模型对时序数据进行建模，并进行简单的时序预测和异常点检测。 tspredicatearima tspredicatearima(x, y, p, d, q, nPred, isSmooth) 使用带有差分的移动自回归模型对时序数据进行建模，并进行简单的时序预测和异常点检测。 tsdensitycluster tsdensitycluster(x, y, z) 使用密度聚类方法对多条时序数据进行聚类。 tshierarchicalcluster tshierarchicalcluster(x, y, z) 使用层次聚类方法对多条时序数据进行聚类。 tssmoothsimple tssmoothsimple(x, y) 默认平滑函数，使用HoltWinters算法对时序数据进行滤波操作。 tssmoothfir tssmoothfir(x, y,winType,winSize) tssmoothfir(x, y,array()) 使用FIR滤波器对时序数据进行滤波操作。 tssmoothiir tssmoothiir(x, y, array(), array()) 使用IIR滤波器对时序数据进行滤波操作。

本节介绍了云容器引擎的最佳实践：负载均衡。 集群内访问 假设我们在一个K8S的集群里面发布了两个应用，前端应用frontend和后端应用backend，前端应用要访问后端应用，那么有以下两种方式。 使用应用名进行访问 假设在K8S集群中发布的后端应用的名称为backend，它监听8080端口，那么在前端应用的容器中，可以直接使用后端应用的名称加端口 进行访问，K8S会自动转发到后端的某个容器实例。如下所示： 注意，上面的转发其实是四层转发，即如果后端应用是mysql类型的，可使用tcp://backend:8080进行访问，如果后端应用为web应用，可使用 另外，上面的访问方式要求前端应用和后端应用要在K8S集群的同一个命名空间内。如果二者不在同一个命名空间，比如后端应用在命名空间ns2中，那么前端应用应该使用 进行访问（即应用名后面要加上命名空间） 使用微服务架构自己的注册机制 如果业务开发者使用的微服务架构有注册机制，那么可以直接使用微服务框架的注册机制来做负载均衡。如下： 后端应用容器实例把自己的IP与端口注册到zookeeper或eureka，前端应用容器实例去注册中心获取后端应用的实例列表，然后前端应用的实例自己决定访问哪一个实例。 注册中心zookeeper/eureka集群可以部署在K8S集群内，也可以部署在集群外，这个需要业务方自己去部署。 集群外访问 假设我们要从浏览器上访问上面的前端应用，下面我们来介绍几种方法：

本节介绍了集群定时备份的用户指南。 操作场景：为增强集群容灾能力，提高集群可靠性。可对集群进行定时备份。 前提条件：用户需要在所操作的集群的插件市场中安装备份还原插件“ccsebackup”。 创建任务 定时备份提供按指定时间执行备份还原任务，配置操作大体与集群备份的相似。 在云容器引擎控制台菜单中按照以下路径进入界面【集群】{选定的集群}【备份】 【集群定时备份】,点击【创建备份】，弹出创建备份对话框。 名称、命名空间、资源和持久卷的配置与集群备份余下字段则与定时执行相关。 名称 说明 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理 时间点 必填，定时备份时执行的时间点，为整点 重复周期 必填，定时备份任务重复在一周内哪几天触发执行 说明 此处建议保留天数要大于两个定时备份任务执行的间隔天数，否则会导致任务执行完毕后，还没等到下个任务开始，就被清理 点击“创建后”完成定时任务创建。 新建的定时备份任务会被展示在列表中，列表末端的操作列包含三个按钮： 编辑：弹出定时任务编辑框修改定时任务信息。 立即执行：马上触发备份任务执行。 删除：删除当前定时备份任务。 任务详情 在定时任务列表中点击任务名称，进入定时任务详情页。在详情页面可以看到定时任务的名称、所备份的命名空间、资源类型、是否包含持久卷、任务创建时间、备份包的保留天数和备份任务的重复周期这些信息。此外在“相关备份任务”中展示了每次执行的任务信息。 任务信息包括了任务名称、大小，任务执行的状态，任务的执行时间等。 另外列表中还包含了一个操作列，操作包括还原、下载和删除，功能与集群备份的列表的一致。

本节为您介绍如何绑定/解绑迁移任务目标机。 操作场景 迁移前，您需要绑定目标机。该目标机用来接收迁移源端的数据。 前提条件 完成迁移前的准备工作：包括账号注册认证、账户余额确认、迁移网络打通等。具体请见迁移前准备工作。 在源端安装Agent。具体请见在源端安装Agent。 完成目标机创建。具体请参见创建目标机。 目标机开放8000、8001端口。具体请参见检测目标机。 操作步骤 1. 进入“服务器迁移服务”，点击“主机管理”界面。 2. 可以看到未绑定的迁移源机处于“未绑定目标机”状态。 3. 点击迁移源机操作栏的“开始迁移”按钮，随后点击“前往”，系统将直接跳转至绑定界面。 4. 或在主机管理的“主机详情”页签中，单击“创建迁移任务”按钮来进行目标机的绑定操作。 5. 单击“选择云主机”按钮。 6. 单击“绑定”按钮，绑定目标机。 若云主机较多可选择“未绑定”复选框或通过搜索框搜索，选择刚刚创建的PE主机。 7. 在绑定过程中，系统会弹出提示框，点击“确定”按钮以完成绑定操作。 8. 绑定成功后，系统将自动跳转至相应页面，或您也可以手动访问“配置迁移任务”页面。

本小节主要介绍如何配置运维权限。 背景介绍 用户若需通过云堡垒机运维资源，还需配置访问控制策略，关联用户和资源，赋予用户相应资源访问控制权限。 操作步骤 访问控制策略配置说明 步骤 说明 配置策略基本信息 可配置文件传输权限、用户登录IP限制、用户登录时段限制、策略有效期等信息。 关联用户或用户组 关联用户：赋权给单个系统用户，该用户角色需同时有“主机运维”和“应用运维”模块权限，才能正常获取运维资源权限。 关联用户组：批量赋权给整个用户组成员。赋权后，新加入组的用户即刻拥有该访问控制权限。 关联资源账户或账户组 关联资源账户：授权访问单个资源账户。 关联账户组：授权访问整个账户组。授权后，新加入组的资源账户可立即被赋权用户访问。 配置说明 访问控制策略基本信息说明 参数 说明 策略名称 自定义的访问控制策略名称，系统内“策略名称”不能重复。 有效期 （可选）选择策略生效时间和策略的失效时间。 文件传输 （可选）在运维过程中，对资源中文件上传和下载权限。 勾选，允许对资源中文件上传或下载； 不勾选，禁止对资源中文件上传或下载。 更多选项 （可选）选择在运维过程中主机资源的“文件管理”、“RDP剪切板”、“显示水印”权限。 SSH和RDP协议对应的设备支持“文件管理”，VNC协议需通过应用发布才支持。Telnet协议对应的设备不支持“文件管理”。 登录时段限制 （可选）选择用户登录主机的时间段权限。 IP限制 （可选）输入限制/允许用户“来源IP”访问资源。 选择“黑名单”，配置相应IP或IP网段，即限制该IP或IP网段用户登录资源。 选择“白名单”，配置相应IP或IP网段，即仅允许该IP或IP网段用户登录资源。 IP地址缺省状态下，即不限制用户IP登录资源。

本文主要介绍 CCE发布Kubernetes 1.21版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.21版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.21版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.21 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 操作系统 CentOS Linux release 7.6 1.21版本开始CCE集群 Centos7.6节点docker存储模式使用overlayfs CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 社区1.21 ReleaseNotes CronJob现在已毕业到稳定状态，版本号变为batch/v1。 不可变的Secret和ConfigMap现在已升级到稳定状态。向这些对象添加了一个新的不可变字段，以拒绝更改。此拒绝可保护集群免受可能无意中中断应用程序的更新。因为这些资源是不可变的，kubelet不会监视或轮询更改。这减少了kubeapiserver的负载，提高了可扩展性和性能。更多信息，请参见Immutable ConfigMaps。 优雅节点关闭现在已升级到测试状态。通过此更新，kubelet可以感知节点关闭，并可以优雅地终止该节点的Pod。在此更新之前，当节点关闭时，其Pod没有遵循预期的终止生命周期，这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统，并通知正在运行的Pod，使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes.io/默认容器注释为kubectl命令预选容器。 PodSecurityPolicy废弃，详情请参见 BoundServiceAccountTokenVolume特性进入Beta，该特性能够提升服务账号（ServiceAccount）Token的安全性，改变了Pod挂载Token的方式，Kubernetes 1.21及以上版本的集群中会默认开启。

本文为您介绍如何Serverless集群中运行Job任务。 背景信息 在Serverless集群中，您可以按需按量创建Pod。当Pod结束后停止收费，无需为Job任务预留计算资源，从而摆脱集群计算力不足和扩容的烦扰，同时结合抢占式实例可以降低Job任务的计算成本。本文主要为您介绍如何通过SCE按需创建Job任务，来对圆周率Pi进行小数位的计算。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 确保kubectl工具已经连接目标集群。 操作步骤 登录控制台创建Job 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群”。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“任务”。 5. 点击创建任务。 6. 点击创建工作负载后，可在Job列表查看Job。 使用命令行创建Job 1. 创建job.yaml文件，内容如下： shell apiVersion: batch/v1 kind: Job metadata: name: pi spec: template: spec: containers: name: pi image: user1registryhuadong1.crsinternal.ctyun.cn/library/perl command: ["perl", "Mbignumbpi", "wle", "print bpi(10)"] restartPolicy: Never backoffLimit: 4 2. 执行命令创建该任务。 plaintext kubectl apply f job.yaml 3. 查看Job与Pod的运行状态，可以看到已经运算成功。 shell kubectl get job pi NAME COMPLETIONS DURATION AGE pi 1/1 2m23s 9m21s kubectl get pod NAME READY STATUS RESTARTS AGE pib89fv 0/1 Completed 0 9m37s 4. 查看运算结果。 登录到弹性容器实例的控制台，进入到上面Pod对应的ECI实例中，查看日志，可以看到对圆周率的小数点后9位的运算结果。

本文介绍了购买数据盘后，如何挂载到边缘虚拟机上。 准备条件 已经购买了边缘虚拟机。 为边缘虚拟机购买了云硬盘或本地盘，并在ECX控制台上完成了挂载。 下文以安装了Linux系统的边缘虚拟机为例，讲解如何在边缘虚拟机中挂载数据盘。 数据盘分区 为小于2 TB数据盘创建MBR分区 1. 通过控制台远程连接。 2. 查看实例上的数据盘信息。 运行以下命令： fdisk l 运行结果如下所示： 3. 依次运行以下命令，创建一个分区。 运行以下命令对数据盘进行分区： fdisk u /dev/vdb 输入p查看数据盘的分区情况。 说明 本示例中，数据盘没有分区。 输入n创建一个新分区。 输入p选择分区类型为主分区。 说明 创建一个单分区数据盘可以只创建主分区。如果要创建四个以上分区，您应该至少选择一次e（extended），创建至少一个扩展分区。 输入分区编号，按回车键。 说明 本示例中，仅创建一个分区，直接按回车键，采用默认值：1。 输入第一个可用的扇区编号，按回车键。 说明 本示例中，直接按回车键，采用默认值2048。 输入最后一个扇区编号，按回车键。 说明 本示例中，仅创建一个分区，直接按回车键，采用默认值。 输入p查看该数据盘的规划分区情况。 输入w开始分区，并在完成分区后退出。 运行结果如下所示： 4. 查看新分区信息。 运行以下命令： fdisk lu /dev/vdb 运行结果如下所示，如果出现/dev/vdb1的相关信息，表示新分区已创建完成。

本节介绍云容器引擎的最佳实践：容器升级业务不中断。 应用场景 在 Kubernetes 集群中，常见的应用部署模式是使用 Deployment 与 LoadBalancer 类型的Service 对外提供访问。在进行应用更新或升级时，Deployment 会创建新的 Pod 并逐步替换旧的 Pod，但在这个过程中可能会出现服务中断的情况。 解决方案 为了最大程度的减少服务中断，我们可以采取一系列措施： 设置滚动更新策略：通过设置Deployment的滚动更新策略来控制更新的速度，可以指定更新期间的最大不可用副本数（maxUnavailable）和同时可用的最大副本数（maxSurge），通过合理设置这些参数，可以确保在更新过程中保持足够的可用性。 健康检查和就绪探针：在容器中配置健康检查和就绪探针，确保新Pod在完全就绪之前不会接收流量，从而减少中断。 外部负载均衡器配置：如果使用LoadBalancer类型的Service对外提供访问，可以配置服务对外部请求的负载均衡行为，主要包括以下两种： 1. Cluster：默认模式，外部流量可以转发到其它节点上的Pod，转发时会替换掉报文的源IP为上一个转发节点的地址。 2. Local：外部流量只会发给本机的Pod，转发时会保留源IP。 实践 登录云容器引擎控制台，单击集群名称进入集群 左侧菜单栏选择工作负载，在工作负载列表中，单击无状态进入Deployment列表页，单击创建新Deployment，进入Deployment配置页面。 单击显示 高级设置，升级策略处可以自定义MaxSurge与MaxUnavailable。本示例中配置最大不可用副本数为25%，同时可用的最大副本数为25%，用于控制工作负载的滚动步长。 在实例内容器选框位置，单击显示 高级设置，容器健康检查选区可以设置存活检查与就绪检查。本示例为TCP端口检查，请根据应用实际情况进行设置，配置就绪检查的启动延时探测时间为20s，用于控制工作负载滚动更新的时间间隔。 在实例内容器选框位置，单击显示 高级设置，对容器进行停止前处理，可以设置为工作负载收到删除请求后休眠30s，使其具备充足的时间来处理剩余请求，保证服务正常运行。 左侧菜单栏选择网络，在网络列表中，单击服务进入Service列表，单击创建服务，进入Service配置页面。 服务类型选择负载均衡，下方访问设置处会出现外部流量策略选框，用户可以自行选择Cluster类型流量策略或Local类型流量策略。 单击显示 高级设置，可以选择Session Affinty方式。 1. None：Kubernetes不会保持与特定客户端的会话状态，每个请求都根据负载均衡算法独立地路由到后端Pod，意味着即使是来自同一客户端的连续请求，也可能被发送到不同的后端Pod上，从而不会保持会话状态。 2. 客户端IP：Kubernetes将使用客户端的IP地址来决定将请求路由到哪个后端Pod，同一个客户端的请求始终转发至同一个后端的Pod对象。 设置完成后，进入Deployment列表页，选择某个工作负载，单击右侧重新部署，重启方式选择滚动重启，可以看到新实例被首先创建出来，然后停止旧的实例，确保始终有实例正在运行。

本节介绍了云容器引擎的最佳实践： 通过配置kubeconfig文件实现集群权限精细化管理。 集群权限精细化管理的背景 云容器引擎默认给用户的kubeconfig文件对集群操作的权限相当于root级别，这样的权限级别对于某用户来说过大，很不便于对集群的精细化管理。为了达到对集群精细化管理的目标，我们可以通过kubeconfig设置特定的用户，然后给用户赋予集群的部分操作权限（如：增、查、改）。 注意事项 下面配置步骤操作前，请先确保您的机器上有kubectl工具，若没有请到社区下载与集群版本对应的或者最新的kubectl。 基于Role实现集群权限精细化管理的配置步骤 说明 下述示例创建一个用户，并且该用户只能查看default下的Pod，不能查看其他namespace下的Pod且不能删除default下的任何Pod。 1. 配置ServiceAccount，名称为testsa，命名空间为default kubectl create sa testsa n default 3. 创建Role，并配置针对不同资源相对应的操作权限 vi addRole.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: testrole namespace: default rules: apiGroups: "" resources: pods verbs: get list watch apiGroups: apps resources: pods verbs: get list watch kubectl create f addRole.yaml 4. 配置RoleBinding，将sa绑定到Role上，让sa获取相应权限 vi addRoleBinding.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: myrolebinding namespace: default roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: testrole subjects: kind: ServiceAccount name: testsa namespace: default kubectl create f addRoleBinding.yaml 5. 配置集群访问信息 4.1 通过sa的名称testsa获取sa对应的密钥，第一列testsatokennttvl即为密钥名 kubectl get secret n default grep testsa 4.2 将密钥中的ca.crt解码后导出 kubectl get secret testsatokend6b4q n default oyaml grep ca.crt: awk '{print $2}' base64 d > ca.crt 4.3 设置集群访问方式，其中dev 为需要访问的集群名称，10.50.208.30为集群ApiServer地址，test.config为配置文件的存放路径 （1）如果通过内部ApiServer地址，执行命令如下： kubectl config setcluster dev server certificateauthorityca.crt embedcertstrue kubeconfigtest.config （2）如果通过公网ApiServer地址，执行命令如下： kubectl config setcluster dev server kubeconfigtest.config insecureskiptlsverifytrue 集群ApiServer地址为内网ApiServer地址，绑定弹性IP后也可为公网ApiServer地址。如下图： 5. 配置集群认证信息 5.1 获取集群的token信息 token$(kubectl describe secret testsatokend6b4q n default awk '/token:/{print $2}') 5.2 设置使用集群的用户uiadmin kubectl config setcredentials uiadmin token$token kubeconfigtest.config 7. 配置集群认证访问的上下文信息，uiadmin@test为上下文的名称 kubectl config setcontext uiadmin@test clusterdev useruiadmin kubeconfigtest.config 8. 设置上下文 kubectl config usecontext uiadmin@test kubeconfigtest.config

本节介绍云等保专区产品的上线配置概览。 云等保专区整合了多个原子能力，部分原子能力需要进行安装配置后，才能正常使用。 原子能力 安装内容及步骤 参考文档 主机安全v1.0 Agent下载安装 请参考主机安全 主机安全v1.0 资产管理配置 请参考主机安全 主机安全v1.0 安全策略编辑 请参考主机安全 主机安全v1.0 日志查看 请参考主机安全 Web应用防火墙v1.0 绑定弹性IP 请参考Web应用防火墙 Web应用防火墙v1.0 全局配置 请参考Web应用防火墙 Web应用防火墙v1.0 添加站点 请参考Web应用防火墙 Web应用防火墙v1.0 配置策略 请参考Web应用防火墙 Web应用防火墙v1.0 验证URL 请参考Web应用防火墙 下一代防火墙v1.0 绑定弹性IP 请参考下一代防火墙 下一代防火墙v1.0 配置子网路由 请参考下一代防火墙 下一代防火墙v1.0 设置安全策略 请参考下一代防火墙 下一代防火墙v1.0 安全日志查看 请参考下一代防火墙 堡垒机v1.0 绑定弹性IP 请参考堡垒机 堡垒机v1.0 创建部门 请参考堡垒机 堡垒机v1.0 创建用户 请参考堡垒机 堡垒机v1.0 创建主机 请参考堡垒机 堡垒机v1.0 创建运维规则 请参考堡垒机 堡垒机v1.0 审计规则设置 请参考堡垒机 堡垒机v1.0 数据归档设置 请参考堡垒机 漏洞扫描v1.0 资产管理 请参考漏洞扫描 漏洞扫描v1.0 扫描策略设置 请参考漏洞扫描 漏洞扫描v1.0 创建扫描任务 请参考漏洞扫描 漏洞扫描v1.0 扫描报告查看 请参考漏洞扫描 日志审计v1.0 设置日志上传 请参考日志审计 日志审计v1.0 添加资产 请参考日志审计 日志审计v1.0 查询自查信息 请参考日志审计 日志审计v1.0 创建解决方案包 请参考日志审计 日志审计v1.0 订阅告警 请参考日志审计 日志审计v1.0 查看审计结果 请参考日志审计 数据库审计v1.0 安装Agent 请参考数据库审计 数据库审计v1.0 添加资产 请参考数据库审计 数据库审计v1.0 配置规则 请参考数据库审计 数据库审计v1.0 订阅报表和告警 请参考数据库审计

本小节介绍微隔离防火墙产品定义和产品优势。 产品定义 微隔离防火墙（CTMIFW Microisolation Firewall）面向数据中心的跨平台统一安全管理软件，能够对数据中心的内部流量进行全面精细的可视化分析和高细粒度的安全策略管理，能够帮助用户快速便捷的实现环境隔离、域间隔离以及端到端隔离。与云下一代防火墙互补，实现纵深防御。 产品优势 基础架构无关 与基础架构无关，与系统适配。 Linux 发行版 CentOS: 5.X(有限支持)/ 6.X/ 7.X/ 8.3.2011； Ubuntu: 14/ 16/ 18.04 LTS/ 20； Debian: 8/ 9/ 10； Suse: 11.4/ 12SP1/ 12SP5； Open Suse: 42.3/ 13.2/ Leap15.0。 Windows Server Windows Server 2008R2； Windows Server 2012/ R2； Windows Server 2016； Windows Server 2019。 国产操作系统 UOS:V20Debian10/V20CentOS7.7/V20CentOS8.2； Kylin: V4/ V7/ V10； EulerOS: SP5； OpenEulerOS: 20.09/ 21.09。 容器平台 K8S+Docker； K8S+CIRO。 系统影响小 采用安全可靠架构设计 全用户态设计，不侵蚀系统内核； 单向控制通信，不额外开放端口； 客户端防卸载、防删除、防停用。 智能优化系统性能开销 连接、阻断关系合并上报； 防火墙策略对象智能聚合。 多项资源占用保护机制 CPU单核占用率降级阈值设定； 连接、阻断关系内存占用限制； Conntrack最大容量动态调整； TCP / UDP超时时间智能调整。