本节介绍服务器安全卫士(原生版)基线检测操作指南。 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项，例如不必要的服务开启、过时的软件版本、未启用的安全特性等。通过基线检测，可以及时发现并修复这些潜在的安全风险。 版本限制 仅企业版、旗舰版支持基线检测功能。 新建基线检测策略 基线检测设置分为一键检测和定时检测。当您需要进行基线检测时，先设置您需要的基线策略。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 该页面展示了已经设置好的基线策略，包括策略名称、检查周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。 4. 单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”即可完成新建基线策略。 编辑基线检测策略 若您需要对已有的基线策略进行编辑，点击该策略操作列中的“编辑”，可以修改策略的所有信息，包括策略名称、检查时间、已选择的基线名称和服务器，修改完成后点击“确认”即可完成基线策略编辑。 删除基线检测策略 若您需要删除已有的基线策略，点击该策略操作列中的“删除”，在提示框中点击“确认”即可完成基线策略删除。

本章节主要介绍翼MapReduce的多租户功能。 定义 多租户是MRS集群中的多个资源集合（每个资源集合是一个租户），具有分配和调度资源的能力。资源包括计算资源和存储资源。 背景 现代企业的数据集群在向集中化和云化方向发展，企业级大数据集群需要满足： 不同用户在集群上运行不同类型的应用和作业（分析、查询、流处理等），同时存放不同类型和格式的数据。 某些类型的用户（例如银行、政府单位等）对数据安全非常关注，很难容忍将自己的数据与其他用户的放在一起。 这给大数据集群带来了以下挑战： 合理地分配和调度资源，以支持多种应用和作业在集群上平稳运行。 对不同的用户进行严格的访问控制，以保证数据和业务的安全。 多租户将大数据集群的资源隔离成一个个资源集合，彼此互不干扰，用户通过“租用”需要的资源集合，来运行应用和作业，并存放数据。在大数据集群上可以存在多个资源集合来支持多个用户的不同需求。 对此，MRS企业级大数据集群提供了完整的企业级大数据多租户解决方案。 优势 合理配置和隔离资源 租户之间的资源是隔离的，一个租户对资源的使用不影响其他租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，其资源消费能够被测量和统计。 保证数据安全和访问安全 多租户场景下，分开存放不同租户的数据，以保证数据安全；控制用户对租户资源的访问权限，以保证访问安全。

本节介绍如何新增检测规则。 检测规则中包含基本设置、检测条件设置、分级分类设置、严重性设置等内容。通过对检测规则的设置，可以对敏感信息更加精确的检测并进行分级分类与严重性的设置。 新增检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 检测规则”。 3. 点击“新增”。填写基本设置、检测条件、分级分类、严重性等信息，点击“保存”完成检测规则配置。 参数如下表所示： 信息 说明 基本设置 名称 该策略名称。 基本设置 备注 该策略描述备注。 检测条件设置 只允许选择一种检测条件；关键字、正则支持多选。 检测条件：关键字、正则表达式、字典、文档指纹、数据库指纹、图像指纹、语义模型、文件类型、文件名称、文件大小、文件MD5、修改时间。 分基分类设置 所属分类 数据来源于分类模板。 分基分类设置 所属分级 数据来源于分级。 严重性设置 数据来源于严重性。 支持配置检测达一定数据时视为某种严重性。

推荐使用场景 工具 推荐场景 不适用场景 AnythingLLM 企业文档问答、私有知识库管理、需严格权限控制的团队协作 快速测试模型、轻量级个人聊天需求 Open WebUI 个人或开发者快速体验模型、多模型切换测试、多模态交互(如语音/图像) 复杂文档管理、企业级安全与协作需求 注意 建议使用天翼云提供的 DeepSeek 镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤： 一、云主机端口配置更新 1. 进入云主机详情页，选择安全组选项，添加新的开放端口。 建议选择新加 3001 端口。添加完成后，可在安全组规则列表中查看新添加的 3001 端口规则，确认其状态为正常生效。 2.

本章节主要介绍数据治理中心的配置HBase连接功能。 目前CDM支持连接的HBase数据源有以下几种： MRS HBase FusionInsight HBase Apache HBase MRS HBase 连接MRS上的HBase数据源时，相关参数如下表所示。 说明 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见《虚拟 > 添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS上的HBase连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrshbaselink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE HBase版本 HBase版本。 HBASE2X 运行模式 “HBASE2X”版本支持该参数。选择HBase连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 ：STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 STANDALONE 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hbase01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

安全相关 尽量避免数据库被公网访问，公网连接时必须绑定弹性公网IP。 尽量使用SSL连接，保证连接的安全性。

只读实例白名单配置 注意 只读实例与主实例的白名单无关联，需要单独对只读实例进行白名单设置才可以访问只读实例。 1. 在实例列表中，单击目标只读实例名称，进入实例基本信息页面。 2. 单击白名单与安全组，进入白名单与安全组管理页面。 3. 单击创建白名单分组，或者对已有的白名单分组进行修改。 4. 选择对应的协议，设置IP白名单，多个ip地址用英文分号分隔即可。 5. 点击确定，设置完毕，稍后可进行连接访问。

本文带您了解海量文件服务OceanFS产品相关术语。 文件系统 文件系统实际上是用户数据与其相关属性信息（元数据）的集合体，用户的数据以文件的形式保存在文件系统中。文件系统通过计算节点挂载访问，以传统的目录形式进行组织和管理，支持数百甚至上千个客户端并行访问，实现数据共享。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 子网 子网是用来管理弹性云主机网络平面的一个网络，可以提供IP地址管理、DNS服务，子网内的弹性云主机IP地址都属于该子网。默认情况下，同一个VPC的所有子网内的弹性云主机均可以进行通信，不同VPC的弹性云主机不能进行通信。 NFS协议 NFS（Network File System）是一种用于网络共享文件和目录的协议。它可以让不同的计算机通过网络访问和共享文件，工作原理是将文件系统挂载到客户端计算机上，使客户端能够透明地访问远程服务器上的文件和目录。客户端通过NFS协议向服务器发送文件系统访问请求，服务器将文件和目录发送给客户端，客户端则可以像访问本地文件一样访问这些文件。NFS适合Linux系统使用。

资源 类型 描述 帐户 全球性 您可以在所有区域使用同一个帐户。 预定义标签 全球性 您可以在所有区域使用同一个预定义标签。 密钥对 全球性或区域性 您在管理控制台创建的密钥对与您在其中创建它们的区域相关联。 您可以创建自己的RSA密钥对并将其导入到您打算在其中使用它的区域。 因此，您可以通过将密钥对上传至每个区域而使其在全球范围内使用。 资源标识符 区域性 每个资源的标识符（例如，实例ID、云硬盘ID、虚拟私有云ID） 都与其区域相关联，并且只能在创建资源的区域使用。 用户自定义的资源名称 区域性 每个资源名称（例如，安全组名称、密钥对名称）都与其区域相关联， 并且只能在创建资源的区域使用。 尽管您可以在多个区域创建名称相同的资源，但是它们之间并无关联。 虚拟私有云 区域性 虚拟私有云与区域相关联，并且只能与同一区域的实例相关联。 弹性IP 区域性 弹性IP与区域相关联，并且只能与同一区域的实例相关联。 安全组 区域性 安全组与区域相关联，并且只能分配给同一区域的实例。 不能通过安全组规则实现一个实例与其所在区域外的实例通信。 镜像 区域性 镜像与区域相关联，并且只能与同一区域的实例相关联。 这里的镜像包括公共镜像、私有镜像、共享镜像。 实例 可用区 实例与可用区相关联，但是实例ID与区域相关联。 磁盘 可用区 磁盘与可用区相关联，只能挂载到同一可用区的实例上。 子网 可用区 子网与可用区相关联，只能与同一可用区的实例相关联。

DRDS实例连接失败怎么办 报错信息：User has no databases 报错原因：DRDS帐号没有关联逻辑库。 解决方法：在DRDS控制台实例详情页面，单击左侧导航栏的帐号管理，将此DRDS帐号与逻辑库相关联。 如何查看并放通ECS实例安全组规则 1、在ECS实例详情页面，单击“安全组”页签，查看安全组规则。需要添加实例端口号（示例为3306）到100.0.0.0/8的规则，DAS才能访问ECS自建库。 2、单击页面左侧的“配置规则”，进入安全组信息页面。单击“入方向规则”页签，单击“添加规则”。 说明 推荐配置：“协议端口”选择“TCP”，端口与ECS自建库保持一致，源IP地址设置为100.0.0.0/8或全部放通0.0.0.0/0。 3、在“出方向规则”页签，单击“添加规则”。 添加出方向规则 说明 推荐配置：“协议端口”选择“TCP”，端口与ECS自建库保持一致，源IP地址设置为100.0.0.0/8或全部放通0.0.0.0/0。 如何查看并放通防火墙 1、选择目标ECS虚拟机，单击“远程登录”。 2、输入帐户名和密码，登录成功后，输入如下命令查看iptables配置。 iptables S 说明 “dport”后面的数字为可以被访问的端口。 保证端口能够被访问的方法： 通过增加iptables规则，如增加一条允许访问数据库端口的规则。 通过如下命令关闭防火墙：systemctl stop iptables

本节介绍态势感知的威胁告警功能简介。 背景信息 态势感知威胁告警功能汇集了多个安全服务的告警能力，按照告警类型和等级统一维度呈现，可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。 同时，通过威胁分析，从攻击源和受攻击资产两个维度，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。 态势感知威胁告警支持以下功能项： 告警列表：通过“实时监控”云上威胁告警事件，并接入HSS、WAF等服务上报的告警事件，提供告警通知和监控，记录近180天告警事件详情。 威胁分析：从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。 告警类型 目前SA支持检测8类威胁告警事件，共包括200+种子告警类型。 DDoS事件 “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型的DDoS威胁。 网络层攻击：NTP Flood攻击、CC攻击等。 传输层攻击：SYN Flood攻击、ACK Flood攻击等。 会话层攻击：SSL连接攻击等。 应用层攻击：HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解事件 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。

场景3：利用海外或公有云IP发起CC攻击 在CC攻击中，经常出现攻击来源于海外IP、公有云IP和IDC机房IP的情况。我们可以通过识别这些IP防止CC攻击。 您可以使用访问控制功能，限制指定地理位置的IP对网站访问，如：限制除中国地区外的其他地区不可访问，从而阻止来自海外IP的攻击。 此外，WAF提供的Bot防护功能，可针对常见IDC IP库的IP进行访问拦截，如您需要开通此功能，可提交工单申请。 场景4：针对关键接口的CC攻击 关键接口CC攻击是指通过大量恶意请求网页环境的关键接口，如登录、注册等从而使服务不可用的攻击手段。针对此类攻击您可以使用WAF的账户安全防护功能（撞库防护、暴力破解），对指定接口进行防护，具体配置操作请参考：安全防护配置账户安全防护。 场景5：大规模扫描和爬取行为 大规模的恶意扫描行为会给服务器带来很大压力，除了限制访问请求频率外，您还可以使用以下几种防护配置加强防护效果： 攻击挑战：攻击挑战功能可发现在短时间内发起多次请求的IP，并在一段时间内阻断该IP的所有请求，具体配置操作请参考：安全配置防护高级防护攻击挑战。 扫描器访问拦截：该功能可自动封禁来自常见扫描工具访问请求，如您需要开通此功能，可提交工单申请。 Bot防护：Bot防护可限制对网站的大规模爬取行为，如您需要开通此功能，可提交工单申请。

本小节介绍DDoS攻击缓解最佳实践。建议客户通过以下方式缓解DDoS攻击带来的影响。 缩小暴露面 隔离资源和不相关的业务，降低被攻击的风险。 配置安全组，尽量避免将非业务必须的服务端口暴露在公网上，从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。 优化业务架构 利用公共云的特性设计弹性伸缩和灾备切换的系统。 科学评估业务架构性能 在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。 优化DNS解析 通过智能解析的方式优化DNS解析，可以有效避免DNS流量攻击产生的风险。同时，建议您将业务托管至多家DNS服务商，并可以从以下方面考虑优化DNS解析。 屏蔽未经请求发送的DNS响应信息 丢弃快速重传数据包 启用TTL 丢弃未知来源的DNS查询请求和响应数据 丢弃未经请求或突发的DNS请求 启动DNS客户端验证 对响应信息进行缓存处理 使用ACL的权限 利用ACL、BCP38及IP信誉功能 服务器安全加固 提升服务器自身的连接数等性能。 对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本。 确保服务器的系统文件是最新的版本，并及时更新系统补丁。 对所有服务器主机进行检查，清楚访问者的来源。 过滤不必要的服务和端口。例如，对于WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上设置阻止策略。

本章节主要介绍翼MapReduce的切换Ranger鉴权操作。 操作场景 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 说明 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 非安全模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 启用Ranger鉴权后，该组件所有鉴权将由Ranger统一管理，原鉴权插件设置的权限将会失效（HDFS与Yarn的组件ACL规则仍将生效），请谨慎操作，建议提前在Ranger上做好权限部署。 停用Ranger鉴权后，该组件所有鉴权将由组件自身权限插件管理，Ranger上设置的权限将会失效，请谨慎操作，建议提前在Manager上做好权限部署。 启用Ranger鉴权 1. 登录FusionInsight Manager。 2. 选择“集群 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 在服务详情页面单击“更多”，选择“启用Ranger鉴权”。 5. 输入当前登录的用户密码确认身份，单击“确定”。 6. 在服务列表，重启配置过期的服务。

本节将介绍如何查看已有布局。 查看已有布局 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 页面布局”，默认进入页面布局管理页面。 5. 在布局管理页面，查看已有布局。 将鼠标悬停在目标布局上，并单击布局右上角，可以进入布局配置详情页面进行查看。

本文为您详细介绍如何进行人工智能大模型备案。 一、备案介绍 大模型备案是指利用生成式人工智能技术，向中国境内公众提供具有舆论属性或社会动员能力的生成文本、图片、音频、视频等内容服务的模型，依据《生成式人工智能服务管理暂行办法》等法律法规履行的备案手续。其核心特征在于“主动监管”，要求服务提供者对模型的安全性、数据合法性和内容可控性进行全面评估。 政策链接：< 二、大模型备案流程与材料 第一步：向属地网信办申请备案 申请单位需向属地网信办提交备案申请，领取并填写《生成式人工智能（大语言模型）备案信息采集表》。 第二步：材料准备与安全自评估 《生成式人工智能上线备案表》：正式提交模型上线备案的申请文件，明确模型基本信息、备案主体及合规承诺。 《安全评估报告》：全面评估模型在数据安全、内容合规、算法偏见及系统防护等方面的风险控制能力。 《模型服务协议》：界定用户与开发者之间的权利义务，明确数据使用范围、服务条款及法律责任划分。 《语料标注规则》：规范训练数据的标注流程与标准，确保数据质量并避免伦理偏见。 《拦截关键词列表》：列出需过滤的违法、敏感及虚假信息关键词，作为内容安全的基础拦截规则。 《评估测试题》：通过设计合规性、边界及性能测试场景，验证模型的实际表现与风险抵御能力。 其他备案必需材料。

本文为您详细介绍如何进行人工智能大模型备案。 一、备案介绍 大模型备案是指利用生成式人工智能技术，向中国境内公众提供具有舆论属性或社会动员能力的生成文本、图片、音频、视频等内容服务的模型，依据《生成式人工智能服务管理暂行办法》等法律法规履行的备案手续。其核心特征在于“主动监管”，要求服务提供者对模型的安全性、数据合法性和内容可控性进行全面评估。 政策链接：< 二、大模型备案流程与材料 第一步：向属地网信办申请备案 申请单位需向属地网信办提交备案申请，领取并填写《生成式人工智能（大语言模型）备案信息采集表》。 第二步：材料准备与安全自评估 《生成式人工智能上线备案表》：正式提交模型上线备案的申请文件，明确模型基本信息、备案主体及合规承诺。 《安全评估报告》：全面评估模型在数据安全、内容合规、算法偏见及系统防护等方面的风险控制能力。 《模型服务协议》：界定用户与开发者之间的权利义务，明确数据使用范围、服务条款及法律责任划分。 《语料标注规则》：规范训练数据的标注流程与标准，确保数据质量并避免伦理偏见。 《拦截关键词列表》：列出需过滤的违法、敏感及虚假信息关键词，作为内容安全的基础拦截规则。 《评估测试题》：通过设计合规性、边界及性能测试场景，验证模型的实际表现与风险抵御能力。 其他备案必需材料。

本文重点介绍为天翼云物理机创建备份的最佳实践简介。 方案介绍 当我们部署在物理机上的系统出现外部病毒入侵、人为误操作、业务软件Bug等故障场景时，可以通过云服务备份为物理机创建定期自动备份（备份周期最小为1小时）。当上述故障发生时，可通过备份进行快速恢复，避免数据丢失。 云服务备份将物理机的配置和所包含的多个云硬盘数据备份到高可靠性等级的对象存储服务中，保障用户的备份数据安全。 应用场景 企业核心数据库场景和政企金融高安全场景对数据安全性有苛刻要求，建议使用本方案对物理机进行备份，提升数据可靠性。 优势 简单：可以自定义策略进行在线备份，备份设置简单易操作。 高效：支持增量备份、增量恢复，RTO可达分钟级。 可靠：同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题；对象存储服务的规格满足99.999999999%持久性标准。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 前提条件 1. 创建密钥对 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 2. 创建虚拟私有云 物理机使用虚拟私有云提供的网络，包括子网、安全组等。

本小节介绍等保咨询服务常见问题。 本产品是否支持试用？ 等保咨询服务不支持试用。如果您需要使用等保咨询服务，可以联系客服进一步了解该服务的内容和优势。感谢您的理解和支持。 本产品下订单后是否支持退订？ 等保咨询服务一旦服务开始后便不支持退订，感谢您的理解和支持。 等保咨询服务的报价依据包含哪些方面？ 主要依据系统等级（涉及测评项不同）、服务版本（标准版或精简版）、云主机数量（涉及工作量不同）、地区（不同省份人工成本有差距）、是否首次测评（首次涉及工作量较多，如：加固建议，管理建议等）、系统行业（不同行业有不同等保标准）。 什么是等级保护？ 等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等保咨询的服务范围包含哪些方面？ 等保咨询简化服务：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 等保咨询标准服务：包含所有简化版服务内容，提供针对性的等保合规要求的整改安全方案。

本文主要介绍分布式消息服务RabbitMQ的产品优势。 天翼云分布式消息服务RabbitMQ完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 专享实例只需要在实例管理界面选好规格配置，提交订单，后台将自动创建部署完成一整套RabbitMQ实例。 兼容开源，业务零改动迁移上云 兼容社区版RabbitMQ的API，具备原生RabbitMQ的所有消息处理特性。 业务系统基于开源的RabbitMQ进行开发，只需加入少量认证安全配置，即可使用天翼云分布式消息服务RabbitMQ，做到无缝迁移。 说明 RabbitMQ实例兼容开源社区RabbitMQ 3.8.35版本。 独占式体验 RabbitMQ实例采用物理隔离的方式部署，租户独占RabbitMQ实例，每个RabbitMQ之间互不影响。 高性能 单队列性能最高可达10万TPS（默认配置），增加队列可获得更高性能。 数据安全 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 无忧运维 天翼云提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。RabbitMQ专享实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。

本章节为您介绍企业路由器的应用场景。 企业客户的业务A部署在VPC1内，业务B部署在VPC2内，出于安全考虑，业务A和业务B互访的流量需要经过防火墙过滤清洗。 客户痛点 希望快速搭建满足安全要求的云上组网。 企业路由器价值 客户在组网中部署云防火墙，通过将VPC和云防火墙关联至企业路由器中不同的路由表，控制VPC1和VPC2互访流量经过防火墙。

本文主要介绍云日志服务与其他服务的关系。 虚拟私有云(CTVPC ，Virtual Private Cloud) 虚拟私有云为您需要接入的弹性云主机或容器集群提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云。 弹性云主机（CTECS，Elastic Cloud Server） 通过云日志服务，您可采集弹性云主机上的应用日志。云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境。更多信息请参见弹性云主机。 云容器引擎 云容器引擎提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，帮助用户在云上轻松部署、管理和扩展容器化应用。更多信息请参见云容器引擎产品介绍。 VPC终端节点 VPC终端节点（CTVPCEP，VPC EndPoint）可以在VPC内提供便捷、安全、私密的通道与云日志服务进行连接，用于进行日志数据上报。该服务使用天翼云内部网络，无需弹性公网IP，为您提供性能更加强大、更加灵活的网络。更多信息请参见VPC终端节点产品介绍。

方式二：无域名接入 前提条件 已经订购边缘安全加速平台边缘接入服务，并且套餐+域名扩展包支持的域名数量未超过限制。 使用无域名接入方式时，不支持80、8080、443、8443端口的TCP请求端口，如需配置80、8080、443、8443端口的TCP请求端口请使用域名接入方式。 操作步骤 1. 登录边缘安全加速控制台，进入边缘接入控制台的【域名】【IP应用加速接入】，这个页面您可以查看已添加的域名/实例的信息，包括域名/实例名称、接入方式、CNAME、加速区域、状态、IPv6解析、DDoS防护、操作等信息。点击左上角【新增接入】。 2. 接入方式选择"无域名接入"，必须填写实例名称，选择加速区域（中国内地、全球（不含中国内地）、全球），是否启用IPv6。基本信息详细介绍详见：基本信息。 3. 根据您的需要，配置【回源配置】、【访问控制】、【传递用户IP回源】等相关功能。回源配置详细介绍详见：回源配置。IP黑白名单详细介绍详见：IP黑白名单。传递用户IP回源详细介绍详见：传递用户IP回源。 4. 完成加速配置后，点击右下角的下一步，进入安全防护配置页面，按需开启DDoS防护后提交。 5. 新增接入完成后，可通过【IP应用加速接入】首页列表查看该域名所处状态。 6. 域名配置完成，生成域名CNAME，域名状态变更为【已启用】，即可以在【IP应用加速接入】首页列表中，查看对应域名的详情，进行停用/启用/删除等操作，也可以开启IPv6解析开关，修改加速配置或安全防护配置等。

本文通过图文说明刷新功能的类别,操作方法及注意事项。 功能介绍 天翼云边缘安全加速平台—安全与加速服务支持URL刷新、目录刷新和正则刷新三种内容刷新方式。不同刷新方式实现机制稍有不同，但最终都能确保用户访问时获得最新的内容。常用于客户对源站内容做更新后，需要边缘节点上对该内容做同步更新的场景。 URL刷新：执行URL刷新请求后，边缘节点会直接删除URL对应的缓存内容，此时，如果客户端向边缘节点请求该内容，节点会回源站获取并缓存新的内容，同时返回给用户。 目录刷新/正则刷新：执行目录或正则刷新请求后，节点缓存将被标记为缓存过期状态（也叫缓存置过期），此时，如果客户端向边缘节点请求该内容，节点会携带IfModifiedSince请求头或IfNoneMatch请求头回源站校验内容是否有更新。如果源站响应304，说明源站内容未更新，节点则只更新缓存状态不拉取新内容，使用已有缓存响应给用户；如果源站响应200或206，说明源站内容有更新，节点将拉取新内容并缓存，使用新内容响应给用户。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【刷新预取】页面。 2.在【刷新预取】页面，单击【创建任务】。 3.按实际场景需求，选择【URL刷新】、【目录刷新】或【正则刷新】。 4.按照对应刷新类型标题下方的提示内容，填写待刷新URL。 5.配置完成后，单击【确定】。 6.完成刷新任务提交后，如要查看任务执行进度和结果，可以选择具体的时间、输入目标域名，或者选择一种特定的任务状态类型查看刷新任务的执行情况。

本文介绍如何开启加速服务,您可以通过配置缓存规则,实现静态加速,也可以通过开启动态加速开关,实现动态加速能力。 前提条件 已经订购边缘安全加速平台—安全与加速服务，并且完成添加域名。 功能介绍 天翼云边缘安全加速平台根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据边缘节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。目前客户控制台上默认所有源站权重相同，如您需要对不同源站配置不同的权重，请提交工单申请。 保持登录：基于客户端IP进行哈希，保证相同客户端IP的多次请求始终访问到相同的源站。 操作步骤说明 1.登录边缘安全加速控制台，选择【加速管理】【CDN加速配置】，在域名列表中，选中要配置的域名 2.如果您要实现静态加速，选择【缓存配置】，配置详情参见缓存配置。 3.如果您要实现动态加速，选择【动态配置】，您可以选择适合的选路方式。 快速选路：使用rtt来作为计算因子进行加权运算，来选择回源最佳路径。 稳健选路：使用rtt、tcp重传比作为计算因子进行加权运算，来选择回源最佳路径。 应用层选路：使用rtt、源站可用性、下载速率、首包时间作为计算因子进行加权运算，来选择回源最佳路径。 注意 开启动态加速后，在套餐基础上，客户端用户与边缘节点的动态优化请求数将被计费，计费详见：

态势感知（专业版）提供数据消费功能，支持通过客户端实时消费数据。 数据消费是指第三方软件、云产品等通过客户端实时消费日志服务的数据，是对全量数据的顺序读写。 开启数据消费 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，单击目标管道名称后的“更多> 数据消费”，进入数据消费页面。 6. 在数据消费页面中，单击当前状态后的，开启数据消费。 开启后，将显示消费配置信息，具体说明如下表所示。 参数名称 参数说明 当前状态 当前管道中数据消费配置状态。 管道名称 当前数据管道的名称。 订阅器 系统预制的订阅模式，决定数据如何传递给消费者。 访问节点 当前数据的访问节点。 相关操作 数据消费开启后，如需关闭，则可在数据消费页面，单击“当前状态”后的，关闭数据消费。

本文主要介绍流量镜像的使用限制。 如下图所示，流量镜像的报文采用标准的VXLAN报文格式封装，更多有关VXLAN协议的信息，请参见RFC 7348。当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时，系统会对报文进行截断。为了防止报文被截断，建议您在IPv4场景下，设置弹性网卡的MTU值比链路支持的MTU值至少小64字节。 当前流量镜像支持部分规格云服务器的弹性网卡作为镜像源，包括c7n、m7n。 如果一个弹性网卡已被用作镜像源，则镜像目的不能使用该弹性网卡。 流量镜像会占用弹性网卡绑定实例的带宽，并且不做独立限速。 当一个镜像目的实例需要接收来自多个镜像源的流量镜像时，为了确保正常使用，请您根据业务实际需要合理规划云服务器的规格。 根据流量镜像的匹配规则，同一个镜像源的同一个报文同时符合多个筛选条件规则，也仅会被匹配一次，并且根据采集策略决定是否镜像到目的实例。 对于镜像源弹性网卡已被安全组或者网络ACL拦截丢弃的报文，流量镜像不会镜像该部分报文。 当镜像源的报文符合筛选条件被镜像时，该报文不受镜像源安全组或者网络ACL出方向规则约束，即您无需在镜像源的安全组或者网络ACL做额外配置。但是如果需要将报文镜像到镜像目的实例时，则需要为镜像目的实例所在的安全组和网络ACL配置以下规则： 安全组规则：入方向允许来自镜像源弹性网卡的IP访问4789端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27，则安全组规则配置示例如下表所示。 规则类别 策略 类型 协议端口 源地址 入方向规则 允许 IPv4 自定义UDP: 4789 IP地址：192.168.0.27/32此处仅为示例，请根据实际情况配置。 网络ACL规则：入方向允许来自镜像源弹性网卡的IP访问所有端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27，则网络ACL规则配置示例如下表所示。 规则类别 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 入方向规则 IPv4 允许 UDP IP地址：192.168.0.27/32此处仅为示例，请根据实际情况配置。 此处为空，表示全部端口。 IP地址：10.10.0.0/24此处仅为示例，请根据实际情况配置。 4789必须放通4789端口，其他端口请根据实际情况配置。 不同的虚拟私有云VPC之间网络不通，如果镜像源和镜像目的实例不在同一个VPC内，则您需要使用VPC对等连接或者企业路由器连通VPC之间的网络。

本章介绍如何查看全部检测结果。 您可以在“全部结果”页面，获取安全状态的全视图，助您及时确定检测结果的优先级，统筹分析安全趋势。 “全部结果”支持以下特性： 支持呈现威胁告警、漏洞、风险、合规检查、违法违规、时讯舆情等领域信息。 支持实时接收安全产品检测数据，实时更新结果列表。 支持按时间范围、过滤场景等筛选结果。默认呈现近7天内检测结果。 支持查看检测结果详情，以及JSON格式的结果详情。 支持自定义结果列表呈现的属性。 支持标识检测结果的处理状态。 约束限制 按过滤场景筛选检测结果，最多可呈现10000条结果。 仅可呈现近180天的检测结果。 前提条件 已接收到安全产品的检测结果。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检查结果”，进入全部结果管理页面。 4. 筛选查看检测结果。 在场景列框选择过滤场景，单击搜索按钮，即可查看到目标场景下检测结果。 当过滤后的结果仍较多时，可补充过滤条件和选择时间范围，快速查找结果。 在筛选框补充过滤条件，添加一项或多项过滤条件，并配置相应条件属性，单击搜索按钮，快速查找指定条件属性的结果。 在时间过滤框中，选择检测结果发现的时间范围，单击“确认”，快速查找指定时间范围内的结果。 5. 查看检测结果列表。筛选后的列表，可查看满足条件的检测结果列表，以及结果统计信息。 6. 查看检测结果详情。 1. 单击列表中结果的“标题”，右侧滑出结果详情窗口。 2. 查看与该结果相关的“基本信息”、“描述”、“资源信息”、“攻击信息”、受影响的用户等信息。 参数 参数说明 基本信息 检测结果的基本信息，包括标题、严重等级、状态、发现时间、业务领域、公司名称、产品名称、类型等信息。 描述 检测结果的简要介绍。 资源信息 受影响的资源信息，包括资源名称、资源ID、资源类型、资源区域等信息。 环境信息 受影响的用户信息，包括租户ID、项目ID、用户所在区域等信息。 攻击信息 攻击来源信息，包括攻击源IP、攻击目标IP、攻击源端口、攻击目标端口等信息。 相关检测结果 相关联检测结果的信息，包括相关联资源名称、结果来源等信息。 漏洞信息 漏洞结果信息，包括漏洞ID、CVSS分数、CVSS版本、提供方等信息。 漏洞影响范围 漏洞影响范围信息，包括影响版本、安全版本等信息。 合规检查信息 合规检查基本信息，包括检查项、检查结果等信息。 涉及CVE 漏洞结果CVE编号。 参考链接/链接 结果相关参考链接。 修复建议/处置建议 结果修复或处置建议说明。 3. 单击“查看JSON”，查看JSON格式检测结果详情。

参数 说明 计费模式 包年/包月、按需计费两种模式，参考 计费模式 。 部署模式 标准、云原生两种模式，标准：基于传统管控架构部署。云原生：基于云原生容器平台部署，更灵活、扩容能力更强。 版本类型 基础版、增强版两种版本类型。 实例类型 主备、单机、Cluster主备、Cluster单机、读写分离等实例类型。具体实例类型说明可参考 实例类型 。 版本号 实例内核的版本号。 主可用区 主节点所在的可用区。 备可用区 备节点所在的可用区。当资源池包含3个或更多可用区时，才支持备可用区选项。 CPU架构 X86计算、ARM计算。 主机类型 主机类型信息，包含通用型、计算增强型等。 规格 缓存内存大小。 分片规格 缓存分片内存大小。 分片数 Cluster集群或Proxy主备集群自定义分片数。 副本数 主备、Cluster主备、读写分离可自定义副本数，默认2副本。 存储类型 实例存储类型，包含高IO、超高IO等。 规格信息 最终选择的实例规格信息，包含总容量、分片数、分片容量、副本数、最大连接数、基准/最大带宽。 虚拟私有云 点击下拉框可选择已创建的虚拟私有云，点击右侧的刷新按钮可刷新下拉框列表，点击“创建虚拟私有云”可进入虚拟私有云管理页面新增虚拟私有云。 所在子网 点击下拉框可选择当前虚拟私有云下已创建的子网，点击右侧的刷新按钮可刷新下拉框列表，点击“创建所在子网”可进入子网页面新增子网。 安全组 点击安全组下拉框可选择当前VPC下已创建的安全组，系统会为每个用户默认创建一个安全组。安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 企业项目 下拉选择IAM维护的企业项目，若没有找到需要的企业项目，可以跳转到 实例名称 系统生成默认缓存实例名称（用户可修改）。 密码 缓存实例密码。 确认密码 再次确认密码，与上述密码一致。 购买时长 购买实例的时长，计费模式为包年/包月时生效。 自动续期 勾选自动续订后方框，可在包年/包月实例到期后自动续期，计费模式为包年/包月时生效。 实例标签 当项目中云资源较多，或当前资源信息不足以有效地为资源分组归类时，可以通过为资源添加不同维度（例如所属业务、部署环境、操作系统、开发团队等）的标签，实现资源分类。 就近访问 Prox主备集群以及读写分离实例部署在多个可用区时有效。（说明：该功能目前为白名单特性，如需要使用该特性，请联系技术支持开通后使用。）

本文向您介绍企业版VPN如何排查连接状态显示“未连接”的问题。 故障现象 在“虚拟专用网络 >企业版VPN连接”页面，VPN连接状态显示为“未连接”。 可能原因 VPN连接两端的连接配置不正确。 安全组和客户设备侧ACL配置不正确。 处理步骤 检查VPN连接两端的连接配置 确认两端配置的网关IP参数是否为镜像。 VPN网关的主/备EIP可以选择“虚拟专用网络 > 企业版VPN网关”，在网关IP栏下查看。 客户设备侧网关的公网IP可以选择“虚拟专用网络 > 企业版对端网关”，在网关IP栏下查看。 确认IKE策略、IPsec策略协商参数是否一致。 IKE策略、IPsec策略协商参数可以选择“虚拟专用网络 > 企业版VPN连接”，单击“修改策略配置”查看。 确认预共享密钥是否一致。 预共享密钥无法在云上直接查看。如果不确认预共享密钥，建议根据客户设备侧的预共享密钥对VPN连接的预共享密钥进行重置。 可以选择“虚拟专用网络 > 企业版VPN连接”，选择“更多 > 重置密钥”进行重置。 如果连接模式采用策略模式，请确认两端策略规则中的源网段和目的网段是否为镜像。 策略规则可以选择“虚拟专用网络 > 企业版VPN连接”，单击“修改连接信息”查看。 如果连接模式采用静态路由模式且云侧开启了NQA功能，请确认客户设备侧是否已经正确配置Tunnel隧道的IP地址。 是否开启NQA功能，可以选择“虚拟专用网络 > 企业版VPN连接”，单击VPN连接名称，在“基本信息”页签查看“检测机制”。 客户设备侧在VPN连接已设置的Tunnel隧道的IP地址，可以选择“虚拟专用网络 > 企业版VPN连接”，单击“修改连接信息”，查看本端接口地址和对端接口地址。VPN连接的本端接口地址和对端接口地址需要和客户设备的本端接口地址和对端接口地址互为镜像配置。 如果连接模式采用BGP路由模式，请确认两端的BGP ASN是否为镜像。 VPN网关的BGP ASN可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。 客户设备侧网关的BGP ASN可以选择“虚拟专用网络 > 企业版对端网关”，在BGP ASN栏下查看。 检查安全组和客户设备侧ACL配置 确认default安全组已经放通客户设备侧公网IP的UDP协议端口500和4500。 default安全组查看步骤如下： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击关联的VPC名称。 2. 单击VPC对应的路由表。 3. 单击路由表的名称。 4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。 5. 在“关联安全组”页签，检查端口放通情况。 确认客户设备侧安全组已经放通VPN网关主备EIP的UDP协议端口500和4500。

安全 尽量避免数据库被公网访问，公网连接时必须绑定弹性公网IP，设置合适的白名单。 尽量使用SSL连接，保证连接的安全性。

本文介绍如何为员工部署终端安全软件。 背景说明 企业订购终端安全授权后，需要员工配合部署终端安全软件，因此需要选择合适的终端部署方式。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏找到【设置终端部署】，或者在总览页面点击“终端部署”按钮。 3. 可根据不同场景选择对应部署方式。 员工自助安装 适用于员工可以自助部署安装包的场景，将以下内容通过IM、邮件、OA公告等方式发送至员工，员工自助下载和安装客户端。 编辑完通知内容、网页有效期后，即可把专属部署推广链接发送给员工。企业专属推广网页如下，员工根据设备的操作系统下载对应客户端并完成安装部署。 管理员下载安装 适用于需要管理员手动安装的电脑（比如无人值守设备、公共设备），下载安装包后通过U盘拷贝等方式进行安装。 管理员根据设备的操作系统下载对应客户端并完成安装部署。 注意： 1. 下载完成后请勿修改安装包名称，否则无法自动加入企业。 2. 为避免可能出现的软件冲突，请提前卸载卫士、管家等安全软件。 3. 客户端支持情况如下，如不在系统范围内，建议升级系统后使用