本节介绍如何开启勒索防护并处理勒索告警。 若能及时识别并隔离勒索攻击，将能大大降低被攻击的概率。服务器安全卫士（原生版）通过在关键位置投放诱饵文件，实时监控诱饵文件的改动，一旦单位时间内多个诱饵文件连续发生改动，立即产生报警，终止修改诱饵文件的进程，并隔离进程对应的文件，实现对未知勒索病毒的检测和查杀能力。 通过启用勒索诱饵防护，可以增加勒索防护能力，从而降低业务受损风险。 启用诱饵防护 您可以根据业务需求，配置诱饵文件防护目录。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置页面。 3. 找到“勒索诱饵防护”模块的“配置规则”按钮。 4. 在页面右侧弹出的防护设置页面，配置防护参数。 参数说明： 参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。 病毒处置方式 配置发现勒索病毒文件后的处理方式。支持手动处理和自动隔离。 手动处理：检测出勒索病毒文件后，仅产生告警。需手动在控制中心对勒索告警进行处理，支持隔离、删除、信任，详细操作请参见[处理勒索告警](

功能特性 说明 SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云主机一起使用，通过弹性云主机内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。 参数配置 控制台支持在线修改并生效配置参数，以及参数组配置管理功能。

本章节介绍如何对数据库实例绑定公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云服务器上。 绑定弹性公网IP 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏，单击“连接管理”，单击“绑定弹性公网IP”。 步骤 3 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，获取弹性公网IP。 步骤 4 在“连接管理”页面，查看绑定成功的弹性公网IP。 您也可以在“任务中心”页面，查看“实例绑定弹性公网IP”任务的执行进度及结果。

本节介绍密钥管理导入密钥的方法。 当用户使用KMS管理控制台创建自定义密钥时，KMS系统会自动为该自定义密钥生成密钥材料。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的“导入密钥”功能创建密钥材料为空的自定义密钥，并将自己的密钥材料导入该自定义密钥中。 注意事项 安全性 用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时，需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。 可用性与持久性 在将密钥材料导入KMS之前，用户需要确保密钥材料的可用性和持久性。 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别，如下表所示。 密钥材料来源 区别 导入的密钥 可以手动删除密钥材料，但不能删除该自定义密钥及其元数据。 在导入密钥材料时，可以设置密钥材料失效时间，密钥材料失效后，KMS将在24小时以内自动删除密钥材料，但不会删除该自定义密钥及其元数据。建议用户在本地密钥管理基础设施中安全地备份一份密钥材料，以便密钥材料失效或误删除时重新导入该密钥材料。 KMS创建的密钥 不能手动删除密钥材料。 不能设置密钥材料的失效时间。

本文帮助您更快了解如何规划VPC网段和数量。 如何规划VPC网段 VPC支持的网段为10.0.0.0/829、172.16.0.0/1229、192.168.0.0/1629，子网的网段须在VPC网段范围内，且子网的掩码范围为：子网所在VPC掩码~29。VPC网段、子网网段一旦创建后无法修改，请提前合理规划网络地址。 VPC和其他VPC、线下IDC机房进行通信时，需要保证两端的网段不能重叠。 如何规划VPC数量 默认情况下，不同资源池的VPC之间内网不互通，同资源池的不同VPC内网不互通且是逻辑隔离的，同VPC下不同子网之间默认互通。规划虚拟私有云VPC的数量通常取决于业务需求和网络设计。以下是一些指导原则，可以帮助您规划VPC的数量： 规模和复杂性：VPC的数量可以根据自身业务的规模和复杂性进行规划。当各业务之间没有网络隔离需求时，可以只使用一个VPC。而对于有复杂网络需求的业务系统，可能需要多个VPC来满足不同的部门、项目的要求实现隔离。 部门/项目隔离：如果组织有多个部门或项目，每个部门或项目可能需要独立的网络环境和资源。在这种情况下，可以为每个部门或项目创建一个独立的VPC，以实现网络隔离和资源分离。 安全和合规性：某些组织可能有特定的安全或合规性要求，需要严格隔离敏感数据或资源。在这种情况下，可以使用多个VPC来创建安全区域，每个VPC可以具有独立的网络访问控制策略和安全规则。 地理位置和可用性：通过将VPC部署在多个地理位置或云服务提供商的区域中，即使一个地点或区域发生问题，其他区域的VPC仍然可以继续提供服务，确保业务的连续性和可用性。 性能和流量管理：根据网络流量的特点和负载要求，可以设计多个VPC来实现流量的管理和控制。例如，将不同类型的流量分离到不同的VPC中，以提供更好的性能和带宽控制。 注意： 创建太多的VPC可能会增加管理复杂性和成本。因此，在规划VPC数量时要综合考虑组织的需求、管理能力和预算限制，根据组织需求和最佳实践进行详细的网络设计和VPC数量规划。

本文帮助您更快了解如何规划VPC网段和数量。 如何规划VPC网段 VPC支持的网段为10.0.0.0/829、172.16.0.0/1229、192.168.0.0/1629，子网的网段须在VPC网段范围内，且子网的掩码范围为：子网所在VPC掩码~29。VPC网段、子网网段一旦创建后无法修改，请提前合理规划网络地址。 VPC和其他VPC、线下IDC机房进行通信时，需要保证两端的网段不能重叠。 如何规划VPC数量 默认情况下，不同资源池的VPC之间内网不互通，同资源池的不同VPC内网不互通且是逻辑隔离的，同VPC下不同子网之间默认互通。规划虚拟私有云VPC的数量通常取决于业务需求和网络设计。以下是一些指导原则，可以帮助您规划VPC的数量： 规模和复杂性：VPC的数量可以根据自身业务的规模和复杂性进行规划。当各业务之间没有网络隔离需求时，可以只使用一个VPC。而对于有复杂网络需求的业务系统，可能需要多个VPC来满足不同的部门、项目的要求实现隔离。 部门/项目隔离：如果组织有多个部门或项目，每个部门或项目可能需要独立的网络环境和资源。在这种情况下，可以为每个部门或项目创建一个独立的VPC，以实现网络隔离和资源分离。 安全和合规性：某些组织可能有特定的安全或合规性要求，需要严格隔离敏感数据或资源。在这种情况下，可以使用多个VPC来创建安全区域，每个VPC可以具有独立的网络访问控制策略和安全规则。 地理位置和可用性：通过将VPC部署在多个地理位置或云服务提供商的区域中，即使一个地点或区域发生问题，其他区域的VPC仍然可以继续提供服务，确保业务的连续性和可用性。 性能和流量管理：根据网络流量的特点和负载要求，可以设计多个VPC来实现流量的管理和控制。例如，将不同类型的流量分离到不同的VPC中，以提供更好的性能和带宽控制。 注意： 创建太多的VPC可能会增加管理复杂性和成本。因此，在规划VPC数量时要综合考虑组织的需求、管理能力和预算限制，根据组织需求和最佳实践进行详细的网络设计和VPC数量规划。

本节介绍如何使用的安全接入点接入Kafka的方法，文档以Java代码为例。 前提条件 已配置正确的安全组。 已获取连接Kafka实例的地址。 如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 已创建弹性云服务器，如果使用内网同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。 需要用户先在用户管理页面创建用户，然后给对应的topic授予生产消费权限。 使用内网同一个VPC访问，实例端口为8092，实例连接地址从控制台实例详情菜单处获取，如下图所示。 Maven中引入Kafka客户端 java Kafka实例基于社区版本2.8.2/3.6.2，推荐客户端保持一致。 org.apache.kafka kafkaclients 2.8.2/3.6.2 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLPLAINTEXT"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); 生产者代码示例 java package com.justin.kafka.service.gw.sasl; import org.apache.kafka.clients.CommonClientConfigs; import org.apache.kafka.clients.producer.Callback; import org.apache.kafka.clients.producer.KafkaProducer; import org.apache.kafka.clients.producer.ProducerConfig; import org.apache.kafka.clients.producer.ProducerRecord; import org.apache.kafka.clients.producer.RecordMetadata; import org.apache.kafka.common.config.SaslConfigs; import org.apache.kafka.common.serialization.StringSerializer; import java.util.Properties; public class Producer { private final KafkaProducer producer; public final static String TOPIC "testtopic2"; public final static String BROKERADDR "192.168.0.11:8092,192.168.0.9:8092,192.168.0.10:8092"; public Producer() { Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLPLAINTEXT"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); props.put(ProducerConfig.ACKSCONFIG, "all"); props.put("retries",3); producer new KafkaProducer<>(props); } public void produce() { try { for (int i 0; i (TOPIC, data), new Callback() { public void onCompletion(RecordMetadata metadata, Exception exception) { if (exception ! null) { // TODO: 异常处理 exception.printStackTrace(); return; } System.out.println("produce msg completed, partition id " + metadata.partition()); } }); } } catch (Exception e) { // TODO: 异常处理 e.printStackTrace(); } producer.flush(); producer.close(); } public static void main(String[] args) { Producer producer new Producer(); producer.produce(); } }

硬件安全模块（Hardware Security Module，HSM） 硬件安全模块也称为密码机，是一种执行密码运算、安全生成和存储密钥的硬件设备。KMS提供的托管密码机可以满足监管机构的检测认证要求，为用户在KMS托管的密钥提供更高的安全等级保证。 密钥导入（Bring Your Own Key，BYOK） 指用户可以自行导入密钥材料至用户主密钥中，KMS不会为创建的用户主密钥（CMK）生成密钥材料。 应用接入点 是一种身份验证和访问控制机制，当用户VPC内的自建应用需要访问KMS服务时，需要创建应用接入点实现私网通道打通，同时在应用接入点内完成访问权限策略配置以及身份凭证的生成。

本章节主要介绍翼MapReduce的配置监控指标数据转储操作。 操作场景 监控数据上报功能可以将系统中采集到的监控数据写入到文本文件，并以FTP或SFTP的形式上传到指定的服务器中。 使用该功能前，管理员需要在FusionInsight Manager页面进行相关配置。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 对接 > 监控数据上传”。 3. 单击“监控数据上传”右边的开关。 “监控数据上传”默认为不启用，开关显示为表示启用。 4. 根据下表所示的说明填写上传参数： 上传配置参数 参数名称 参数说明 FTP IP地址模式 必选参数，指定服务器IP地址模式，可选择“IPV4”或“IPV6”。 FTP IP地址 必选参数，指定监控指标数据对接后存放监控文件的FTP服务器。 FTP端口 必选参数，指定连接FTP服务器的端口。 FTP用户名 必选参数，指定登录FTP服务器的用户名。 FTP密码 必选参数，指定登录FTP服务器的密码。 保存路径 必选参数，指定监控文件在FTP服务器保存的路径。 转储时间间隔（秒） 必选参数，指定监控文件在FTP服务器保存的周期，单位为秒。 转储模式 必选参数，指定监控文件发送时使用的协议。可选协议为“SFTP”和“FTP”。建议使用基于SSH v2的SFTP模式，否则可能存在安全风险。 SFTP服务公钥 可选参数，指定FTP服务器的公共密钥，“转储模式”选择“SFTP”时此参数生效。 5. 单击“确定”，设置完成。 说明 选择转储模式为SFTP，当SFTP服务公钥为空时，先进行安全风险提示，确定安全风险后再保存配置。

本节介绍下一代防火墙高可用部署方案。 部署方案 防火墙拉起时使用的子网需避免与客户业务网络处于同一子网，建议新起一段管理子网专用于防火墙管理，作为单点跳转使用；trust域所在子网需与客户业务子网互通。 装好NF镜像后，单台需要新增至少3张网卡，一张trust、一张untrust、一张dmz的VRRP心跳口专用网卡，结合初始拉起镜像时自带的主网卡作为M口管理，单台设备共计需要4张网卡（单臂部署则需要三张）。 在虚拟云网络中至少申请三个虚IP作为两设备间的两两网卡绑定的虚拟切换地址。 前提条件 已完成主备NF的部署，收集NF防护云服务器的一些信息；服务器站点以及端口和对应的主机的地址。 部署前检查控制台环境。 1. 确保用户服务器站点没过NF设备前，是能正常访问的。 2. 确保防火墙与客户业务是否处于同一VPC （与客户业务处在不同VPC得做对等连接）。 3. NF设备和服务器安全组是否做了限制。 注意 安全组配置：请确保防火墙VRRP所绑定网卡处于同一安全组，且将VRRP报文通报端口置于放通状态。 网络规划 子网及示例IP规划如下： 网卡 子网 NF1 IP NF2 IP 虚拟IP Manager 192.168.0.0/24 192.168.0.5 192.168.0.9 Turst 192.168.2.0/24 192.168.2.5 192.168.2.6 192.168.2.7 Untrust 192.168.3.0/24 192.168.3.3 192.168.3.4 192.168.3.5 DMZVRRP 192.168.4.0/24 192.168.4.5 192.168.4.6 192.168.4.7

本文介绍了如何在天翼云上使用弹性云主机的Linux实例部署Docker 简介 表 Docker相关术语 术语 解释 Docker Docker是开发人员和系统管理员使用容器开发、部署和运行应用程序的平台。 镜像 Docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）。 镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。 容器可以被创建、启动、停止、删除、暂停等。 该指导以“CentOS 7.5 64 3.10.0862.9.1.el7.x8664”操作系统为例，Docker要求64位的系统且内核版本至少为3.10。 前提条件 弹性云主机需要绑定弹性公网IP。 弹性云主机所在安全组添加了如下表所示的安全组规则。 表 安全组规则 方向 类型 协议 端口/范围 远端 入方向 IPv4 TCP 80 0.0.0.0/0 部署Docker 1.登录弹性云主机。 2.添加yum源。 yum install epelrelease y yum clean all 3.安装yumutil。 sudo yum install y yumutils devicemapperpersistentdata lvm2 4.设置docker yum源。 sudo yumconfigmanager addrepo 5.安装并运行Docker。 sudo yum install dockerce systemctl enable docker systemctl start docker 6.检查安装结果。 docker version 回显如下类似信息，表示Docker安装成功。 Client: Docker Engine Community Version: 19.03.13

前提条件 云主机的状态为“运行中”。 需保证C盘可写入，且剩余空间大于300MB。 云主机使用的VPC网络DHCP不能禁用。 云主机网络正常通行。 云主机安全组出方向规则满足如下要求： − 协议：TCP − 端口范围：80 − 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： − 协议：ALL − 端口范围：ALL − 远端地址：0.0.0.0/16 操作步骤 1. 检查云主机是否已安装密码重置插件CloudResetPwdAgent和CloudResetPwdUpdateAgent。检查方法如下： 查看任务管理器，如果找到cloudResetPwdAgent服务和cloudResetPwdUpdateAgent服务，如下图所示，表示云主机已安装密码重置插件。 判断是否已安装插件 − 是，结束。 − 否，执行2。 2. 下载一键式重置密码插件。请参考获取一键式重置密码插件，下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 说明： 云主机需要绑定弹性公网IP才能自动更新一键式重置密码插件。 3. 安装一键式重置密码插件。 a. 依次双击“CloudResetPwdAgent.Windows”和“CloudResetPwdUpdateAgent.Windows”文件夹下的“setup.bat”，安装密码重置插件。 b. 查看任务管理器，检查密码重置插件是否安装成功。 如果在任务管理器中查找到了cloudResetPwdAgent服务和cloudResetPwdUpdateAgent服务，表示安装成功，否则安装失败。 说明： 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。

本节介绍漏洞扫描服务主要的应用场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

Redis实例每个DB空间大小和选择DB？ 每个分布式缓存Redis版有256个DB，从DB0到DB255。每个DB没有单独的内存占用量限制，DB可以使用的内存容量受Redis实例的总内存限制。 您可以使用SELECT命令在不同DB之间切换。例如，要切换到DB108，可以使用如下命令 select 108 为什么实例实际可用内存比申请规格小而且已使用内存不为0？ 系统开销会占用部分资源，主备实例的持久化也需要一部分资源，因此实际可使用内存会比申请规格略小。 实例无法删除是什么原因？ 当实例处于运行中时才能执行删除操作。 是否支持跨可用区部署？ 标准版主备与集群版主备支持多可用区部署，在创建实例时可选择跨可用区部署。 实例是否支持变更可用区？ 不支持变更可用区，如需要变更，请重新创建实例 Redis实例是否支持读写分离？ 目前暂不支持读写分离 Redis的安全加固方面有哪些建议？ 访问控制：在 Redis 配置中启用密码认证，设置一个强密码来限制对 Redis 实例的访问。可以在 Redis 配置文件的 requirepass 参数中设置密码，并使用 AUTH 命令在客户端进行身份验证。此外，确保只允许受信任的客户端访问 Redis，通过配置 bind 参数限制可连接的 IP 地址。 此外将 Redis 实例放置在安全的网络环境中，例如通过防火墙或安全组设置适当的网络策略，限制对 Redis 端口的访问。只允许需要访问 Redis 的受信任主机或网络访问 Redis 实例。

本章节为您介绍运维日志相关内容。 运维日志模块是保障数据库运维操作安全和合规的重要工具，通过记录和分析与数据库运维相关的操作日 志 ，帮助您确保运维操作的透明性和合法性。 该模块提供详细的日志信息和多条件筛选功能 ，支持安全 监控和问题排查 ，确保运维操作的合规性 ，有效提升数据库的运维管理水平。 运维日志主要包含 ： 身份权限相关日志 账号过期相关日志 僵尸账号相关日志 安全认证相关日志 登录超时相关日志 强管控阻断相关日志 检索运维日志 1.在左侧菜单栏选择“查询分析 > 运维日志”进入运维日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关运维日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看运维日志详情 1.在左侧菜单栏选择“查询分析 > 运维日志”进入运维日志页面。 2.在运维日志列表中，单击日志条目右侧的“详情”可以查看该运维记录的详细信息，包括运维记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击运维日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的运维日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的运维日志详情文件。

配置项 描述 实例名称 填写集群的实例名称 企业项目 按需选择企业项目 计费模式 默认使用按需计费模式 Kubernetes版本 显示当前Serverless集群支持的Kubernetes版本 部署方式 支持单可用区部署、多可用区部署 可用区 按需选择可用区 API Server访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。同时，您也可以选择是否使用EIP暴露API Server，选择不开放时，则无法通过外网访问集群API Server 虚拟私有云 集群所使用的VPC，支持使用已有的VPC或创建虚拟私有云 所在子网 集群所使用的子网，支持使用已有的子网或创建子网 默认安全组 安全组是一种虚拟防火墙，能够控制实例的出入站流量，Serverless集群会自动生成一条默认的安全组，以确保容器之间能正常通信 启用IPv6 启用IPv6双栈将创建双栈Serverless集群 Service CIDR 设置Service CIDR。Service网段不能与VPC及VPC内已有集群使用的网段重复，并且Service地址段也不能和Pod地址段重复。集群创建成功后不能再修改该网段 自定义证书SAN 按需添加自定义的IP或域名，以实现对客户端的访问控制 集群本地域名 填写集群的本地域名 集群删除保护 设置是否启用集群删除保护，防止通过控制台或者API误删除集群 集群标签 为集群绑定标签，作为云资源的标识 集群描述 按需对集群进行描述说明 时区 集群所要使用的时区

本章节主要介绍如何删除集群。 当用户不再需要使用某个集群时，可以参考如下操作删除该集群。 对系统的影响 成功删除的集群无法恢复，同时集群中的用户数据、自动快照也会自动删除且无法再访问。删除集群时不会删除手动快照。 删除集群 1.登录数据仓库服务(DWS) 管理控制台。 2.单击管理控制台右上角的，选择区域。 3.在“集群管理”页面，查找到所要删除的集群。 4.在集群所在行，单击“更多 > 删除”。 5.在弹出对话框中，再次进行删除确认，您可以选择是否执行以下操作： 立即创建集群快照 如果集群状态无异常，您可以单击“立即创建集群快照”，然后在弹出窗口中输入快照名称并单击“确定”，为待删除的集群创建一个最新的快照。等快照创建完成后，请再返回“集群管理”页面执行删除集群的操作。 释放与集群绑定的弹性IP 如果集群绑定了弹性IP，建议您勾选“释放与集群绑定的弹性IP”，将待删除集群的弹性IP资源释放。 6.单击“是”，删除此集群。 如果待删除集群使用了自动创建的安全组，且该自动创建的安全组没有被别的集群使用，删除集群时，该安全组也会被一并删除。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，可以减少网络时延，提高访问速度。但在基础设施、BGP网络品质、资源的操作与配置等方面，同一个国家各个区域间区别不大，如果您或者您的目标用户在同一个国家，可以不用考虑不同区域造成的网络时延问题。 资源的价格 不同区域的资源价格可能有差异。 如何选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 如何获取区域终端节点？ 当您通过API使用资源时，您必须指定其区域终端节点。请向企业管理员获取区域和终端节点信息。 翼MapReduce（MRS）集群内节点是否支持更换网段？ MRS集群内节点支持更换网段。 1.在集群详情页“默认生效子网”右侧单击“切换子网”。 2.选择当前集群所在VPC下的其他子网，即可实现可用子网IP的扩充。 新增子网不会影响当前已有节点的IP地址和子网。 翼MapReduce（MRS）集群内节点是否支持降配操作？ MRS集群内节点暂不支持降级配置规格。 如何使用自定义安全组创建MRS集群？ 用户购买集群时，如果选择使用自己创建的安全组，则需要放开9022端口，或者在界面上购买集群时，安全组选择"自动创建"。

本节介绍密钥管理的功能优势。 服务集成广泛 与对象存储OBS、云硬盘EVS、镜像服务IMS等服务集成，用户可以通过KMS管理这些服务的密钥，还可以通过KMS API完成用户本地数据的加解密。 合规遵循 密钥由经过安全认证的第三方硬件安全模块（HSM）产生，对密钥的所有操作都会进行访问控制及日志跟踪，符合国际法律合规的要求。

本页介绍了SSL证书产品的基本定义。 SSL证书是用于在Web服务器与浏览器以及客户端之间建立加密链接的加密技术，通过配置和应用SSL证书来启用HTTPS协议，来保证互联网数据传输的安全，全球每天有数以亿计的网站都是通过HTTPS来确保数据安全，保护用户隐私。

数据库审计上传日志是通过公网的带宽还是内网的带宽？ 数据库审计上传日志是通过内网的带宽，不占用公网资源。 数据库审计到期后不续费会影响业务吗？ 购买的数据库审计到期后，如果未续费，您将不能使用数据库审计，不影响您的业务。为了数据库安全和资产安全，建议您续费使用数据库审计。

本页介绍天翼云TeleDB数据库的用户管理。 注意 用户管理模块只有DMS超级管理员才能进入，显示该组织下所有用户信息，支持编辑用户、删除用户。 1. 编辑用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击编辑 ，进入用户编辑 界面。 3. 在编辑界面可修改用户的用户名，所属团队信息。 2. 删除用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击删除 ，确认信息无误后，单击确定 即可将该用户从组织内移除。

态势感知支持一键导出检测结果。 导出的excel文件中包含“产品名称”、“公司名称”、“受影响资源”、“业务领域”、“标题”、“发生时间”、“发生次数”、“置信度”、“重要性”和“状态”等信息。 约束限制 按过滤场景筛选检测结果，最多可导出10000条结果。 仅可导出近180天的检测结果。 前提条件 已接收到安全产品的检测结果。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检测结果”，进入全部结果管理页面。 4. 筛选检测结果。 5. 单击导出按钮，一键导出筛选的检测结果列表，并以.csv格式文件保存在本地。 导出完成后，即可离线查看结果。

参数 参数说明 取值样例 用户类型 请选择“系统用户”。 系统用户 用户名称 填写新建用户的名称（非登录名）。 登录名 填写新建用户的登录名称。 Test 密码 填写新建用户的密码。 再次输入密码 二次填写新建用户的密码。 手机号 填写新建用户的手机号码。 13000000000 固定电话 填写新建用户的固定电话号码。 010XXXXXXXX 电子邮箱 填写新建用户的电子邮箱。 Test@chinatelecom.cn 资产组 选择新建用户所属的资产组。 资产组 地域 选择新建用户所在的地域，仅支持选择中国境内地区。 中国北京 安全域 选择新建用户所属的域。 安全域 专业 选择新建用户的专业。 数据 角色 选择新建用户的角色，角色配置请参考： 角色管理 章节 普通用户 授权截止时间 选择新建用户的到期时间，请谨慎选择，到期后不可再次登录。

步骤说明 在目标VPC中的ECS实际中添加入方向安全组规则，用于放行私网NAT过来的访问流量。 操作步骤 具体操作参见添加安全组规则。 步骤九：测试连通性 步骤说明 我们通过验证弹性云主机是否可以通过私网NAT网关访问另一个VPC的ECS服务，来测试网络连通性。 操作步骤 1. 登录天翼云控制台，选择”计算>弹性云主机”。 2. 进入弹性云主机控制台，选择准备工作中创建的弹性云主机，点击右侧“远程登录”登录弹性云主机。 3. 登录完成，通过nc访问的云资源DNAT后的地址及端口，测试云主机是否能够通过私网NAT网关访问。 说明弹性云主机可以通过转换后的中转IP地址，实现重叠地址段的服务访问。

本章节主要介绍翼MapReduce的Web UI便捷访问特性。 大数据组件都有自己的WebUI页面管理自身系统，但是由于网络隔离的原因，用户并不能很简便地访问到该页面。如访问HDFS的WebUI页面，传统的操作方法是需要用户创建ECS，使用ECS远程登录组件的UI，这使得组件的页面UI访问很是繁琐，对于很多初次接触大数据的用户很不友好。 翼MR提供了基于弹性公网IP来便捷访问组件WebUI的安全通道，并且比用户自己绑定弹性公网IP更便捷，只需界面鼠标操作，即可简化原先用户需要自己登录虚拟私有云添加安全组规则，获取公网IP等步骤，减少了用户操作步骤。分析集群Hadoop、Spark、HBase、Hue及流式集群Storm，都可以在Manager上找到组件页面入口，快速访问。

本文介绍如何为容器集群安装Sever/Agent。 需要为容器集群安装Sever/Agent，将容器集群纳管到容器安全卫士控制台后，才能对容器集群进行安全防护。 前提条件 已购买容器安全卫士实例。 安装Sever/Agent 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”。 3. 单击“集群组件部署”，进入集群组件部署页面，获取集群组件部署脚本，并按页面提示进行集群组件的安装。 4. 在左侧导航栏选择“安装配置 > 运行状态”，更新并查看节点防护状态。

本文介绍什么是RBI云端浏览器。 什么是远程浏览器隔离（RBI） Web浏览器是整个网络环境中最广泛应用的软件之一，因浏览器漏洞导致的网络安全事件层出不穷，同时浏览器漏洞的存在是难免的，往往是通过事后修补都方式，都依赖人员意识。远程浏览器隔离（RBI）主要解决Web浏览器访问问题，它可以在云服务器上加载网页并执行相关代码，远离用户的本地设备以及企业的内部网络。在结束网页浏览后会删除用户浏览会话记录，因此，与会话相关的恶意 cookie 或下载内容都会被清除。 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。 当用户使用浏览器访问网页时，Web隔离系统利用RBI技术，将网页内容加载到远端浏览器上，在远端的浏览器上执行渲染后，将渲染的结果以图像的方式传到用户端浏览器上显示。 可管控限制用户在浏览器内执行有风险的操作，包括限制下载、上传、复制粘贴、键盘输入和打印功能。 零信任可安全连通内网进行身份认证、权限管控，提供完整链路访问。

3、安全设置 进入安全设置界面，配置重定向URL（回调域名）参数，填写AOne域名（可联系客户经理获取）。 ４、应用发布 配置完成后需要进行应用发布，如不发布应用版本，配置修改无效。 进入版本管理与发布界面，点击“创建新版本”按钮，填写版本详情资料后点击“保存”后发布应用。 管理员创建钉钉认证源 即钉钉当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给钉钉进行认证，因零信任需要针对用户、组织进行精细化授权，建议采用钉钉同步提前将用户信息导入，配置对应权限。 1、添加认证源 登录AOne零信任工作台，进入扩展认证源列表，点击“添加认证源”，进行钉钉认证源添加。 2、选择认证源类型 根据需求，选择钉钉认证源类型。

本文介绍区域访问控制功能的原理和配置方法。 功能介绍 天翼云边缘接入服务IP应用加速区域访问控制功能可通过设置区域访问控制黑白名单，从而仅允许或者限制部分区域的用户访问。 区域访问控制功能支持按照国家、省份、城市粒度设置区域访问黑白名单。 适用场景 针对企业自己的网站，仅允许企业员工访问，可以配置仅允许企业总部及分支机构所在地区用户访问。 一些在线教育平台通过IP地址识别用户所在地区，确保只有特定区域的学生能够访问特定的教育资源，保障了知识的有序传播。 配置说明 新增接入，配置区域访问控制步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 找到访问控制模块，打开区域访问控制开关，填写区域访问控制配置。 编辑配置，修改区域访问控制步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名。 4. 修改对应的访问控制模块区域访问控制。

背景说明 授权管理功能可以帮助管理员便捷掌握授权状态、可用功能及额度情况，实现对终端安全管理系统授权的高效监控与分发管理。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【终端管理】； 2. 在左侧导航栏，选择【授权管理】，进入相关页面； 版本功能说明 1. 展示用户当前授权版本、可用授权额度 、总授权额度、授权有效期、授权包含的功能模块，并提供 “获取额度” 跳转功能，用户点击可前往购买授权额度，灵活应对终端设备数量增加或功能扩展需求，确保系统正常使用。 2. 终端管理授权，包括基础版授权和企业版授权。 授权分发管控 授权概览 1、直观呈现当前版本（如基础版）的授权额度、有效期，帮助管理员快速掌握授权资源状态。 授权分发规则 终端授权分发策略卡片 1、支持通过用户、设备类型、IP 范围、设备名称等条件配置授权规则，实现批量、精准的授权分配，满足不同场景的终端管理需求。

本节为您介绍迁移前的准备工作,包括账号注册认证、账户余额确认、迁移网络打通等。 使用或注册天翼云账号，并完成实名认证。 1. 打开天翼云门户网站，单击“免费注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮； 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 如需实名认证，请参考会员服务实名认证。 帐号余额不少于100元，避免迁移过程中欠费，导致迁移失败。主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。具体请参见计费说明。 用户开通并使用CMSSMS服务。 1. 使用您的天翼云账号完成登录。 2. 在云迁移产品主页，单击“立即开通”按钮进入控制中心。 3. 在控制台选择您目标机资源所在区域，此处示例我们选择的是福州3。 确认迁移源是否满足操作系统要求。 需对CMSSMS迁移服务支持迁移的迁移源操作系统做确认，具体请见兼容性列表。 迁移网络打通。 迁移源机需要能访问到平台地址( 迁移源 源机需要正常访问公网，访问CMSSMS控制台，注意安全组出方向放通情况，建议出方向安全组不限制； 若使用专线或VPN，需提前购买和配置正确的专线或VPN。 目标机 系统需要开放TCP的8000端口、8001端口。 目标机需要提前购买和配置正确的EIP； 说明 目标机安全组放通8000、8001端口，其中8000端口建议指定为迁移源IP，避免端口脏数据注入，导致迁移失败，安全组开放端口与操作系统保持一致。