本章节会介绍天翼云关系型数据库支持的实例连接方式。 关系型数据库服务提供使用内网、公网的连接方式。 表 RDS连接方式 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与关系型数据库实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与关系型数据库实例。 安全性高，可实现RDS的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与关系型数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的RDS实例在同一子网的，使用内网连接。 图 实例内网和公网连接

本章介绍天翼云关系型数据库的使用约束和限制情况。 Microsoft SQL Server引擎的关系型数据库服务仅提供附带许可实例，即实例创建后具有微软SQL Server软件对应版本许可授权，不提供用户自带许可。 为保障用户在使用上的安全性，Microsoft SQL Server的部分功能存在限制，详见下表。 Microsoft SQL Server实例分为三个实例类型，即单机实例、主备实例和集群版实例。不同系列支持的功能不同。 功能和约束与限制 功能 单机实例 主备实例/集群版实例 数据库数量 100 100 数据库帐号数量 无限制 无限制 邮件功能 不支持 不支持 数据集成功能（SSIS） 不支持 不支持 数据分析功能（SSAS） 不支持 不支持 数据报表功能（SSRS） 不支持 不支持 R语言服务 不支持 不支持 公共语言运行时集成（CLR） 不支持 不支持 异步消息通讯 不支持 不支持 复制订阅功能 不支持 不支持 策略管理 不支持 不支持

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID 是 String 资源池ID name 是 String 唯一。支持拉丁字母、中文、数字，下划线，连字符，中文 / 英文字母开头，不能以 http: / https: 开头，长度 2 32 acl11 description 否 String 支持拉丁字母、中文、数字, 特殊字符：~~!@$%^&()+ <>?:{},./;'[]·~~！@￥%……&（） —— +{}《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 test type 是 String 证书类型。取值范围：Server（服务器证书）、Ca（Ca证书） privateKey 否 String 服务器证书私钥，服务器证书此字段必填 certificate 是 String type为Server该字段表示服务器证书公钥Pem内容;type为Ca该字段表示Ca证书Pem内容

问题现象 Web页面登录云堡垒机实例并纳管Linux服务器后 ，单击“文件传输”，加载不出文件列表（一直转圈）。 可能的原因 Linux服务器的目录下，有特殊字符（乱码）的文件或者文件夹导致的。 解决办法 检查Linux服务器目录下是否有乱码文件或者文件夹。建议将有乱码的文件名或者文件夹名进行重命名，否则无法加载出目录列表。

此小节介绍企业主机安全查看Agent管理。 可分类查看所有服务器是否安装Agent，同时可安装或卸载服务器的Agent，并提供安装指导及Agent下载链接。 约束限制 未开启防护不支持安装与配置相关操作。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 3、在左侧导航树选择“安装与配置 > Agent 管理”，进入Agent管理页面。 4、选择“Agent不在线（X）”，查看Agent未安装或离线的服务器；选择Agent在线（X），查看Agent在线的服务器。 5、单击“Agent安装指南”可查看Agent安装的快速指导。 6、单击“Agent版本说明”，可查看Agent的最新版本、历史版本及变

本文为您介绍停止反向复制的操作流程。 操作场景 反向复制过程中，用户可根据需要停止反向复制。停止反向复制后，容灾中心将停止反向复制数据至生产中心。若想再次进行反向复制，可以重启反向复制。 本示例中ecmtest为生产中心的云主机，ecmrecovery为容灾中心的云主机。 前提条件 受保护的服务器状态为“反向全量复制中”或“反向实时复制中”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障恢复＞停止反向复制”。 7. 在弹窗中，确认信息无误后单击“确定”。 若服务器之前状态为反向全量复制中，点击确定后，服务器状态变为反向全量复制停止中，之后变为反向全量复制停止。 若服务器之前状态为反向实时复制中，点击确定后，服务器状态变为反向实时复制停止中，之后变为反向实时复制停止。

产品 日志类型 云堡垒机（原生版）企业版 云堡垒机（原生版）资产登录 云堡垒机（原生版）企业版 云堡垒机（原生版）资产登出 云堡垒机（原生版）企业版 云堡垒机（原生版）剪切板操作 云堡垒机（原生版）企业版 云堡垒机（原生版）字符命令 云堡垒机（原生版）企业版 云堡垒机（原生版）文件操作 云堡垒机（原生版）企业版 云堡垒机（原生版）键盘操作 云堡垒机（原生版）企业版 云堡垒机（原生版）平台登录 云堡垒机（原生版）企业版 云堡垒机（原生版）平台登出 云堡垒机（原生版）企业版 云堡垒机（原生版）平台操作 云堡垒机（原生版）企业版 云堡垒机（原生版）数据库操作 服务器安全卫士（原生版） 服务器安全卫士（原生版）漏洞信息 服务器安全卫士（原生版） 服务器安全卫士（原生版）弱口令 服务器安全卫士（原生版） 服务器安全卫士（原生版）告警日志 数据库审计 数据库审计告警日志 云等保专区v1.0 云等保专区数据库审计 云等保专区v1.0 云等保专区主机安全 云等保专区v1.0 云等保专区下一代防火墙 云等保专区v1.0 云等保专区堡垒机 云等保专区v1.0 云等保专区Web应用防火墙 Web应用防火墙（原生版） Web应用防火墙（原生版）告警日志 云防火墙（原生版） 云防火墙（原生版）威胁日志

本章节主要介绍ALM12080 omm密码即将过期。 告警解释 系统每天零点开始，每8小时检测当前系统中omm密码是否即将过期，如果当前时间与密码过期时间剩余不足15天，则发送告警。 当系统中omm密码过期的期限重置，当前状态为正常，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12080 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 omm密码过期，Manager各节点互信不可用，无法对服务提供管理功能。 可能原因 该主机omm密码即将过期。 处理步骤 检查系统中omm密码是否即将过期 1.以root用户登录集群故障节点。 执行chage l omm命令来查看当前omm用户密码设置信息。 2.查找“Password expires”对应值，查看密码设置是否即将过期。 说明 如果参数值为“never”，则代表永不过期；如果为日期值，则查看是否在15天内过期。 是，执行步骤3。 否，执行步骤4。 3.执行chage M '天数' omm命令设置 omm 密码的有效天数，等待8小时，观察告警是否自动清除。 是，操作结束。 否，执行步骤4。

本文介绍了企业交换机服务的配额与使用限制。 配额 表企业交换机配额限制 规格项 默认配额 申请更多配额 每个租户支持创建的企业交换机数量 5个 请提交工单申请更多配额 每个企业交换机支持绑定的VPC数量 1个 不支持修改 每个子网支持连通的二层连接数量 1个 不支持修改 每个“小型”企业交换机支持建立的二层连接数量 1个 不支持修改 每个“中型”企业交换机支持建立的二层连接数量 3个 不支持修改 每个“大型”企业交换机支持建立的二层连接数量 6个 不支持修改 使用限制 不支持云下往云上转发未知单播、广播、组播（除VRRP协议外）的IP报文。 除广州4资源池外，其他资源池暂不支持云下服务器访问云上的高级网络功能，如VPC对等连接、VPC路由表、ELB以及NAT网关等。 对于使用云专线（DC）对接企业交换机的场景，请您先提交工单给云专线服务，确认您的云专线是否支持和企业交换机进行VXLAN对接，若不支持，需要联系客服开通云专线的对接企业交换机能力。 对于使用虚拟专用网络（VPN）对接企业交换机的场景，请您先提交工单给虚拟专用网络服务，确认您的虚拟专用网络是否支持和企业交换机进行VXLAN对接，若不支持，需要联系客服开通虚拟专用网络的对接企业交换机能力。 每个企业交换机最多支持10000个IP二层互通（即包含通过该企业交换机打通的所有二层网段IP），且最多同时支持连接1000个云下二层网段IP。 ESW支持MAC Proxy转发能力，通过ARP报文代理，使云上和云下主机相互不可见对端的实际MAC地址。在业务报文转发时，云上主机收到的云下报文源MAC是二层连接主接口的MAC，云下主机收到的云上报文源MAC是实例隧道口的MAC。如果您的业务场景需要感知实际主机MAC或者有基于MAC的安全策略等，不支持使用ESW。 通常，服务器端会通过ARP学习确定回复报文的目的MAC地址，但是某些主机或硬件设备（如F5负载均衡器）配置了原路径返回能力，回复报文的目的MAC地址取自请求报文的源MAC地址，当通过ESW实现云上云下三层访问场景时，可能会出现网络不通问题，请提前排查。 例如，先通过ESW打通云上和云下192.168.3.0/24网段，当云上主机192.168.2.2/24需要跨网段访问云下主机192.168.3.3/24时，云上请求报文会先通过VPC路由，再经过ESW送往云下主机，云下对应回复报文走路由发回云上，可以经过云专线/VPN。如果云下主机配置了原路径返回，云下回复报文的目的MAC地址不是192.168.3.0/24的网关MAC地址，是取对应请求报文的源MAC地址，即ESW的MAC地址。这样云下回复报文的目的MAC地址错误，导致网络不通。 ESW使用VXLAN协议时，VXLAN协议头占用50个字节，报文长度会增加。请您确保VXLAN报文经过的线下网络设备支持大帧（Jumbo Frames，即MTU大于1500字节的以太网帧）通过，否则会导致大包不通。 说明 不同设备厂商处理大帧的方式不同，其中部分厂商默认大帧放通，例如华为。部分厂商默认大帧不放通，例如思科。 如果您的IDC需要与云上企业交换机对接来建立云下和云上二层网络通信，那么您IDC侧的交换机需要支持VXLAN功能，客户侧负责建设IDC机房的VXLAN网络，包括VXLAN交换机准备、物理网络连通、对接云专线或者虚拟专用网络等。

配置 说明 API名称 支持中文、英文、数字、下划线，且只能以英文或中文开头，364个字符。 API目录 一个特定功能或场景的API集合，类似文件夹，是数据服务中API的最小组织单元，也是API网关中的最小管理单元。 您可单击“新建”进行新建，也可选择已创建的API分组。 请求Path API访问路径，例如：/v2/{projectid}/streams。 请求Path即完整的url中，域名之后、查询参数之前的部分，如下图中的“/blogs/188138”。详见下图： 统一资源定位符url说明 在请求路径中，可以使用大括号{}标识路径中的参数作为通配符。如“/blogs/{blogid}”表示/blogs后可以携带任何参数，例如“/blogs/188138”和“/blogs/0”均会匹配至/blogs/{blogid}，由此API统一处理。 此外，相同域名下，不允许重复的请求路径出现。路径参数作为通配符时，名称不具备唯一性，例如“/blogs/{blogid}”和“/blogs/{xxxx}”，会被视作相同路径。 参数协议 用于传输请求的协议，支持HTTP和HTTPS协议。 HTTP属于基础的网络传输协议，无状态、无连接、简单、快速、灵活、使用明文传输，在使用上较为便捷，但是安全性欠佳。 HTTPS是在HTTP协议上进行了SSL或TLS加密校验的协议，能够有效验证身份以及保护数据完整性。相对的，访问HTTPS的API，需要配置相关的SSL证书或跳过SSL校验，否则将无法访问。 请求方式 HTTP请求方式，表示请求什么类型的操作，包含GET、POST等，遵循resultful风格。 GET：请求服务器返回指定资源，推荐使用GET请求。 POST：请求服务器新增资源或执行特殊操作，仅在注册API时使用。POST请求当前不支持body体，而是直接透传。 描述 对API进行简要描述。 标签 对API设置标签。用于标记当前API的属性，创建后可以通过标签快速检索定位API。单个API最多可设置20个标签。 审核人 拥有API的审核权限。 单击“新建”，进入“审核中心>审核人管理”页面，新建审核人。 安全认证 API认证方式： APP认证：表示由API网关服务负责接口请求的安全认证，安全级别最高。 IAM认证：表示借助IAM服务进行安全认证，安全级别中等。 无认证：属于无防护的模式，无需认证即可访问，安全级别低，不推荐使用。 服务目录可见性 发布后，所选范围内的用户均可以在服务目录中看到此API。 当前工作空间可见 当前项目可见 当前租户可见 访问日志 勾选，则此API的查询结果将会产生记录并被保留7天，可以在“运营管理>访问日志”处通过选择“请求日期”的方式查看对应日期的日志。 最低保留期限 API解绑前预留的最低期限。0表示不设限制。 API进行停用/下线/取消授权时，会通知已授权用户，并为用户预留至少X小时，直到所有授权用户均完成解除或处理，或者到达截止时间，API才会停用/下线/取消授权。 入参定义 配置API请求中的参数，包含资源路径中的动态参数，请求URI中的查询参数和Header参数。 添加入参定义时，如果参数设定为必填，则API在访问时，必须传入指定参数；如果非必填，则在API访问时，未传入的参数，会使用默认值进行代替。 参数大小限制如下： query+path，url最大32KB header，最大128KB body， 最大128KB 以配置资源路径中的动态参数为例进行说明，例如资源路径（请求Path）设置为： /v2/{projectid}/streams，资源路径中的{projectid}为动态参数，需要在此进行配置。 1. 单击“添加”，参数名配置为projectid。 2. 参数位置选择PATH。 3. 类型设置为STRING。 4. 选择性配置示例值和描述。

参数 参数类型 说明 示例 下级对象 custName String 主机名称 test hostName String 实例名称 test displayName String 实例名称 test agentGuid String agentGuid test azName String 所在az test publicIp String 公网IP ipAddress String 私网IP 192.168.1.1 regionName String 所在区域 test stateName String 防护状态 防护中 guardStatus Object 防护状态 guardStatus createDate String 创建日期 20200101 00:00:00 expireDate String 过期时间 20200101 00:00:00 bgGroupName String 所属分组 事业部/产品线 osType String 操作系统 Windows/Linux Linux osTypeCode String 操作系统 Windows/Linux Linux agentInfo Object agent信息 agentInfo startTime String 启动时间 20200101 00:00:00 serverGroup String 云主机组 test safeGroup String 安全组 test registrationTime String 注册时间 20200101 00:00:00 expireTime String 过期时间 20200101 00:00:00 notSupportVulFixReason String 不支持漏洞修复的原因 不支持漏洞修复的原因 notSupportVulFixCode Integer 不支持漏洞修复的原因编码 0支持修复 1机器已删除，不支持修复 2该漏洞类型不支持修复 3基础版不支持漏洞修复，请升级至企业版或旗舰版 4漏洞修复功能灰度中暂时不支持修复 5agent版本低不支持修复，请升级 6下发修复命令异常，不支持修复 7服务器上没有yum/apt命令 8服务器上yum/apt命令当前不可用 9服务器无法连接软件源 10服务器无法连接微软官方服务器 11Agent已离线，不支持修复 12系统仅支持扫描，暂不支持自动修复 0 supportVulFix Integer 是否支持漏洞修复，0不支持修复 1支持修复 0 containerName String 镜像名称 test diskNum Integer 磁盘数量 0 netNum Integer 网卡数量 0 vpcName String vpc名称 test serialNumber String 序列号 test memTotal String 总内存量，单位GB 0 systemLoad Integer 系统负载 0 usageRate String cpu使用率 0.36 productName String 设备型号 test cpuInfoList Array of Objects CPU信息 cpuInfoList diskInfoList Array of Objects 磁盘信息 diskInfoList netInfoList Array of Objects 网卡信息 netInfoList osNameVersion String 如centos 7.6 操作系统名称及版本 centos 7.6 agentVersion String 如v4.11.1 agent版本 v4.11.1 proxyAddress String 代理地址，安装agent时，用户可配置自己的代理服务，转发agent请求到安全卫士到后台 169.254.169.254 表 netInfoList

接口功能介绍 告警中心白名单删除 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/instrusion/whitelist/delete 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 ids 是 Array of Strings 操作id列表 ["idx"] 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 0 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

接口功能介绍 开启服务器防护 接口约束 基础版配额服务器开启基础防护，企业版配额服务器开启企业版防护。 URI POST /v1/openStatus 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 agentGuid 是 String agentGuid testagentguid 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"agentGuid": "testagentguid"}

本章节介绍当Windows操作系统的服务器在恢复完成后未显示数据盘，可能造成的原因和解决方案。 现象描述 使用备份恢复云主机成功后，Windows操作系统的云主机上没有显示恢复后的数据盘。 可能原因 Windows操作系统自身限制，导致数据盘处于脱机状态。 解决方法 步骤 1 在Windows操作系统的服务器桌面，右键单击“计算机”图标。 步骤 2 选择“管理”，弹出“计算机管理”页面。 步骤 3 在左侧导航树中，选择“存储 > 磁盘管理”。 此时，可以在页面下方看到有数据盘处于脱机状态，如下图所示。 步骤 4 右键单击处于脱机状态的数据盘，选择“联机”，如下图所示。 数据盘置为联机状态后，会在上方的磁盘列表中显示，如下图所示。 联机完成后，数据盘将在服务器中正常显示。

本章节会介绍如何开启分布式事务 操作背景 分布式事务指事务的参与者、支持事务的服务器、资源服务器以及事务管理器分别位于不同的分布式系统的不同节点之上。简单的说，就是一次大的操作由不同的小操作组成，这些小的操作分布在不同的服务器上，且属于不同的应用，分布式事务需要保证这些小操作要么全部成功，要么全部失败。本质上来说，分布式事务就是为了保证不同数据库的数据一致性。 MSDTC服务提供分布式事务服务，如果要在数据库中使用分布式事务，必须在参与的双方服务器启动MSDTC（Distributed Transaction Coordinator）服务。RDS for SQL Server在开启分布式事务的时候已经启动MSDTC，其他服务器请参考设置远程服务器MSDTC（分布式事务处理协调器）进行启动。 更多介绍请参见Microsoft SQL Server官网MS DTC 分布式事务介绍) 。 使用限制 新实例默认开启分布式事务。 只读实例不支持分布式事务。 分布式事务功能一旦开启，将不允许关闭。 开启分布式事务会导致实例重启，请谨慎操作。 RDS for SQL Server数据库建立DBlink后，如果发生主备切换，DBlink不会自动同步到新的主实例，您需要在新的主实例重新建立DBlink。 开启分布式事务 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“分布式事务”，在“分布式事务”页面单击“分布式事务状态”后的。

当您打开FTP 服务器上的文件夹时，遇到弹窗提示需检查访问权限，那可能是由于您的浏览器设置了FTP防火墙，您可以通过以下步骤来解决。 1. 单击浏览器菜单"工具 > Internet 选项"。 2. 选择“高级”标签卡。 3. 取消勾选“使用被动FTP（用于防火墙和DSL调制解调器兼容）”。 4. 单击“确定”，重启IE浏览器，重试打开FTP服务器上的文件夹。

参数 是否必填 参数类型 说明 示例 下级对象 quotaId 否 String 防护配额ID 6c8caaa32418441c8c164e3f43d76791 quotaVersion 否 Integer 配额版本 1基础版 2企业版 3旗舰版 1 serverIp 否 String 服务器ip 192.168.1.1 custName 否 String 服务器名称（模糊查询) testservername quotaStatus 否 Integer 防护配额状态 1未绑定 2绑定中 4已过期 8已冻结 16已退订 32已销毁 0无效 3正常（未绑定和绑定中） 1

参数 是否必填 参数类型 说明 示例 下级对象 quotaId 否 String 防护配额ID 6c8caaa32418441c8c164e3f43d76791 quotaVersion 否 Integer 配额版本 1基础版 2企业版 3旗舰版 1 serverIp 否 String 服务器ip 192.168.1.1 custName 否 String 服务器名称（模糊查询) testservername quotaStatus 否 Integer 防护配额状态 1未绑定 2绑定中 4已过期 8已冻结 16已退订 32已销毁 0无效 3正常（未绑定和绑定中） 1

本文以Windows Server 2012云主机为例介绍搭建AD域中如何安装AD域服务器。 准备工作 创建2台Windows云主机，且两台云主机需归属于相同VPC。一台作为AD域控制器，一台作为AD域客户端。本文以两台Windows Server 2012云主机为例进行说明。 操作步骤 1. 登录Windows云主机，搜索“服务管理器”并打开，点击“添加角色和功能”。 2. 在弹窗中选择下一步。 3. 选择“基于角色和基于功能的安装”，点击“下一步”。 4. 选择“从服务器池中选择服务器”并点击“下一步”。 5. 选择“Active Directory域服务”。 6. 点击“添加功能”，选择“继续点击“下一步”。 7. 选择“Active Directory域服务”并点击“下一步”。 8. 选择“下一步”。 9. 继续选择“下一步”。 10. 勾选“如果需要，自动重新启动目标服务器”，点击“安装”。在弹窗中选择“是”，允许自动重新启动。 11. 点击“安装”，安装成功之后，点击“关闭”。

本文介绍内网VIP定义和应用场景。 定义 内网VIP全称为Intranet Virtual IP Address（内网虚拟IP地址）。内网VIP特指一个没有实际分配在虚拟机VPC网卡上但又关联了虚拟机的内网IP地址，绑定了VIP地址的虚拟机同时具备内网IP（私网地址）和VIP（虚拟私网地址），其中任意一个地址都具备同样的内网访问能力。 一般地，您可以将多个虚拟机绑定同一个VIP，如有面向互联网提供服务的业务需求，可将公网IP绑定到内网VIP实例。 应用场景 内网VIP通常和公网IP或NAT网关搭配使用以实现内网VIP绑定的虚拟机可访问公网。内网VIP绑定的虚拟机主要是用于主备切换，虚拟机配置Keepalived，以内网VIP对外提供服务，当主服务器发生故障无法向外提供服务时，备服务器变为主服务器，向外提供服务。 典型应用场景：基于快速构建的服务端主备高可用集群 服务主备高可用是将部署了相同服务 “一主N备”的虚拟机均绑定在同一个内网VIP下，当主服务器发生故障时，其中一台备服务器变为主服务器继续对外提供服务，以实现HA高可用性模式。 具体操作步骤如下： 1. 将两台同VPC子网的虚拟机绑定同一个内网VIP。 2. NAT网关绑定一个公网IP，配置SNAT和DNAT规则，DNAT规则私网IP需选择对应内网VIP。 3. 给两台服务器配置Keepalived，以实现主备部署。 如需使用公网IP则只选将NAT网关替换成公网IP即可，比NAT网关简单的是，只需在公网IP列表选择一个公网IP绑定至内网VIP实例即可。

业务场景 对某个套餐或产品进行销售，设置待销售品总数量。销售时不能出现超卖情况，即销售品剩余数量不能为负数。 可以分为以下几个步骤： 1. 用户请求进入系统：当用户发起请求时，请求会首先进入负载均衡服务器。 2. 负载均衡：负载均衡服务器会根据一定的算法将请求分发给后端多台服务器，以达到负载均衡的目的。 3. 业务逻辑处理：后端服务器接收到请求后，进行业务逻辑处理，并根据请求的商品数量、用户身份等信息进行校验。 4. 库存扣减：如果库存充足，后端服务器会进行库存扣减操作，并生成订单信息，返回给用户成功的信息；如果库存不足，则返回给用户失败的信息。 5. 订单处理：后端服务器会将订单信息保存到数据库中，并进行异步处理，例如发送消息通知用户订单状态。 6. 缓存更新：后端服务器会更新缓存中的商品库存信息，以便处理下一次请求。 整个过程会多次访问数据库，下单通常是利用行级锁进行访问限制，抢到锁才能查询数据库和下单。但是秒杀时的大量订单请求，往往使数据库访问阻塞。 业务需求 系统高并发，极端热门套餐抢购比率只有1%，比如100个销售品在几秒内抢购完，在前端库存判断需要支持上10w的库存快速判断 商品不能出现超售情况 多个商户进行销售，保证剩余商品数量的数据一致性 需求分析 获取商品剩余数量进行条件判断和更新数据操作，是两个独立的操作，中间有可能有其他应用修改数据从而产生冲突。在冲突的发生时，用户需要合并最新的数据，再进行条件判断和数据修改。将两个独立操作封装成一个原子的服务，保证（剩余数量销售量）之后，商品剩余量不为负数；.

操作名称 资源类型 事件名称 取消忽略端口 hss notIgnorePortStatus 忽略端口 hss ignorePortStatus 取消忽略配置检测项 hss notIgnoreCheckRuleStat 忽略配置检测项 hss ignoreCheckRuleStat 重新进行基线检测 hss runBaselineDetect 解绑配额 hss cancelHostsQuota 关闭容器防护 hss closeContainerProtectStatus 开启容器防护 hss openContainerProtectStatus 解除已拦截IP hss changeBlockedIp 处理事件状态 hss changeEvent 恢复已隔离文件 hss changeIsolatedFile 删除告警白名单 hss removeAlarmWhiteList 添加登录白名单 hss addLoginWhiteList 删除登录白名单 hss removeLoginWhiteList 新增服务器组 hss addHostsGroup 分配到服务器组 hss associateHostsGroup 修改服务器组 hss changeHostsGroup 删除服务器组 hss deleteHostsGroup 关闭主机防护 hss closeHostsProtectStatus 开启主机防护 hss openHostsProtectStatus 卸载agent hss uninstallAgents 运行镜像扫描 hss runImageScan 从SWR服务同步镜像列表 hss runImageSynchronizeTask 更新并扫描SWR镜像 hss runSwrImageScan 重新体检 hss resetRiskScore 添加策略组 hss addPolicyGroup 删除策略组 hss deletePolicyGroup 部署策略组 hss deployPolicyGroup 修改策略内容 hss modifyPolicyDetail 修改策略组 hss modifyPolicyGroup 关闭自动隔离查杀 hss closeAutoKillVirusStatus 开启自动隔离查杀 hss openAutoKillVirusStatus 设置常用登录IP hss modifyLoginCommonIp 设置常用登录地 hss modifyLoginCommonLocation 设置SSH登录白名单 hss modifyLoginWhiteIp 修复漏洞 hss changeVulStatus 添加防护目录 hss addHostProtectDirInfo 添加特权进程 hss addPrivilegedProcessInfo 添加定时关闭防护配置 hss addTimingOffConfigInfo 删除远端备份服务器 hss deleteBackupHostInfo 删除防护目录 hss deleteHostProtectDirInfo 删除特权进程 hss deletePrivilegedProcessInfo 删除定时关闭防护配置 hss deleteTimingOffConfigInfo 设置定时关闭防护周期 hss setDateOffConfigInfo 修改防护目录开启状态 hss setProtectDirSwitchInfo 修改动态网页防篡改状态 hss setRaspSwitch 设置远端备份服务器 hss setRemoteBackupInfo 修改定时关闭防护状态 hss setTimingOffSwitchInfo 关闭网页防篡改防护 hss closeWtpProtectionStatusInfo 开启网页防篡改防护 hss openWtpProtectionStatusInfo 修改远端备份服务器 hss updateBackupHostInfo 修改防护目录 hss updateHostProtectDirInfo 修改特权进程 hss updatePrivilegedProcessInfo 修改Tomcat bin目录 hss updateRaspPathInfo 修改定时关闭防护时间段 hss updateTimingOffConfigInfo

本文介绍如何部署AD域控制器。 前提条件 在AD域控制器的云主机上已经安装AD域服务器。 操作步骤 1. 将域服务器升级升为域控制器。打开“服务器管理器”，点右上角点小旗子图标，点击“服务器提升为域控制器”。 2. 添加新林。由于是第一个AD控制器，点击“添加新林”，根域名处填域名sfs.com，点击“下一步”等待部署配置。 说明： 将域控制器添加到现有域：在现有的域控制器中添加新的域控制器。 将新域添加到现有林：在现有的林中新建域，与林中现有的域不同。 3. 设置目录服务还原密码。 说明： 林功能级别(包含Windows Server 2008到WindowsServer 2016级别)：Windows Server 2012 R2。 域功能级别(只包含Windows Server 2012 R2域功能)：Windows Server 2012 R2。 指定域控制器功能：默认即可。 键入目录服务还原模式(DSRM)密码：需设置复杂密码，否则无法通过规则校验。 4. 跳过DNS选项，点击“下一步”。用AD域服务器当DNS服务器，不需要单独指定。 5. NetBios域名保持默认，点击“下一步”。 6. 日志及数据配置保持默认，点击“下一步”。 说明： AD DS数据库是AD域服务器用来存放用户信息的地方。 AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘。 7. 检查配置信息，点击“下一步”。 8. 安装前自动进行先决条件检查，检查通过后点击“安装”，系统自动安装并重启。安装需要一段时间请耐心等待。 9. 查看是否安装成功。理论上重启后AD域即部署成功，打开“服务器管理器”，点击“工具>Active Directory用户和计算机”，在弹窗中依次点击“sfs.com>Domain Controllers”，若展示云主机名称即代表AD域部署成功。

镜像类型 说明 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用或服务。 私有镜像 包含操作系统、预装的公共应用以及用户的私有应用，仅用户个人可见。选择私有镜像创建物理机服务器，可以节省您重复配置物理机服务器的时间。（用户可以提工单，让运维后台协助您快速完成私有镜像的制作。） 共享镜像 由其他用户共享的私有镜像。

名称 类型 描述 autoFailback String 针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换（仅集群版支持）： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 priority Array of string 卷主备分布优先级的服务器ID（仅集群版支持），系统根据指定的服务器ID顺序来选择卷的主备IQN。

接口功能介绍 操作审计可疑操作审核接口。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/audit/updateOperationAudit 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionid 是 String 资源池id 100054c0416811e9a6690242ac110002 urlType 是 String 请求地址类型。CTAPI CTAPI ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 String id F5283205ASASASA status 是 Integer 审核状态 0：未审核 1：审核通过 2：审核不通过 0 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000 :成功; CTCSSCN000001:失败; CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用; CTCSSCN000004：鉴权错误; CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象

接口功能介绍 操作审计修改审计规则开关接口。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/audit/auditRuleSwitch 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionid 是 String 资源池id 100054c0416811e9a6690242ac110002 urlType 是 String 请求地址类型。CTAPI CTAPI ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 String id F5283205ASASASA ruleStatus 是 Boolean 规则状态 false：关闭 true：开启 false 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000 :成功; CTCSSCN000001:失败; CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用; CTCSSCN000004：鉴权错误; CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象

接口功能介绍 操作审计审计规则根据id删除接口。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI GET /v1/audit/auditRuleDelete/ 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 String 数据唯一标识 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionid 是 String 资源池id 100054c0416811e9a6690242ac110002 urlType 是 String 请求地址类型。CTAPI CTAPI ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000 :成功; CTCSSCN000001:失败; CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用; CTCSSCN000004：鉴权错误; CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象 pageInfo

接口功能介绍 az信息获取接口。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI GET /v1/host/az 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 regionId String 区域ID test regionName String 区域名 华东1 azNameSet Array of Strings azName列表 ["testaz"]

本节介绍如何导出告警列表。 支持导出的告警：基线检测、漏洞扫描、弱口令检测、异常登录、暴力破解、后门检测、可疑操作、反弹shell、进程提权、Webshell、端口蜜罐、病毒查杀、文件防勒索、文件完整性保护等告警。 支持导出的格式：支持“.csv”格式。 操作步骤 如下以导出异常登录告警为例，介绍导出告警的详细步骤。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 异常登录”，进入异常登录页面。 3. 单击告警列表右上角的“导出”图标，导出告警列表。 若只需要导出某一类告警或某一段时间内的告警，可以先筛选告警，再进行导出。支持按照告警类型、时间、状态、登录源IP、登录账号、服务器名称、服务器IP进行筛选。 4. 页面右上角会显示导出状态，当导出完成后，单击“下载”，将告警列表下载到本地。 注意 若“关闭”页面，此时告警列表还未下载到本地，若需要下载，则需要重新导出。

本节主要介绍如何使用API修改数据目录的容量配额。 此操作用来修改指定服务器数据目录的容量配额。 请求语法 plaintext PUT /rest/v1/system/server/serverId/diskpaths HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "diskPaths": [ { "path":path, "capacityQuota": capacityvalue }, { "path":path, "capacityQuota": capacityvalue }, …… ] } 请求参数 参数 类型 描述 是否必须 serverId String 要修改的数据目录所属服务器ID。 是 diskPaths Array of diskPath 数据目录属性集合，详见“表1 请求参数diskPath说明”。 是 表1 请求参数diskPath说明 参数 类型 描述 是否必须 path String 指定要修改容量配额的数据目录。 是 capacityQuota Long 指定数据目录的容量配额，即针对加入到服务器中的每个数据目录，HBlock可写入的数据总量。当HBlock的使用空间一旦达到配额，就立刻阻止数据写入，不允许再使用超出配额的空间。 取值：小于数据目录所在磁盘的总容量，单位是bytes。负整数表示无限制写入，0表示禁止写入。默认不限制写入。 注意 如果相同的数据目录出现多次，以第一次出现的数据目录的容量配额为准。 是 请求示例 修改服务器hblock2数据目录/mnt/stor的容量配额。 plaintext PUT /rest/v1/system/server/hblock2/diskpaths HTTP/1.1 Date: Wed, 11 Oct 2023 08:06:57 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 128 Host: 192.168.0.117:1443 { "diskPaths": [ { "path": "/mnt/stor", "capacityQuota": 2048000000 } ] }

本章节为您介绍密码服务最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。