本文介绍配置安全组及其规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 安全组实践建议 云上的安全组提供类似虚拟防火墙功能，用于设置单台或多台ECS实例的网络访问控制，是重要的安全隔离手段。创建ECS实例时，您必须选择一个安全组。您还可以添加安全组规则，对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。 在使用安全组前，您应先了解以下实践建议： 最重要的规则：安全组应作为白名单使用。 开放应用出入规则时应遵循最小授权原则。例如，您可以选择开放具体的端口，如80端口。 不应使用一个安全组管理所有应用，因为不同的应用存在不同的访问控制需求。对于分布式应用来说，不同的应用类型应该使用不同的安全组，例如，您应对Web层、Service层、Database层、 Cache层使用不同的安全组，暴露不同的出入规则。 避免为每台实例单独设置一个安全组，控制管理成本。 尽可能保持单个安全组的规则简洁。因为如果单个安全组规则过多，增加或者删除规则就变得很复杂，就会增加管理的复杂度。 天翼云的控制台提供了克隆安全组和安全组规则的功能。如果您想要修改线上的安全组和规则，您应先克隆一个安全组，再在克隆的安全组上进行调试，避免直接影响线上应用。（部分资源池支持，可提工单申请克隆功能。） 安全组TCP、UDP报文分片后，分片不带有端口信息，需要将端口范围指定为165535，不进行端口过滤。目前仅合肥2支持UDP大包分片后指定端口过滤功能，如有UDP大包分片，需要指定端口号过滤的需求，可联系客户经理开通此功能。 如果您想实现在不同安全组的资源之间的网络互通，您可使用安全组方式授权。同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。

名称 描述 xamzrequestid 服务端生成的用于标识请求的ID。 ContentType 响应内容类型。 Date 响应日期。 Server 服务器名。 Connection 客户端与OOS服务器之间的连接状态。 如果请求时Connection值为keepalive，请求结束后继续保持连接，不返回此响应头。 如果请求时Connection值为close，请求结束后关闭连接，返回此响应头Connection: close。

名称 描述 xamzrequestid 服务端生成的用于标识请求的ID。 ContentType 响应内容类型。 Date 响应日期。 Server 服务器名。 Connection 客户端与OOS服务器之间的连接状态。 如果请求时Connection值为keepalive，请求结束后继续保持连接，不返回此响应头。 如果请求时Connection值为close，请求结束后关闭连接，返回此响应头Connection: close。

自2021年11月11日起，新版天翼云安全专区服务协议生效。详情请参见这里。 天翼云安全专区服务协议 历史版本（20213）

本章节主要介绍翼MapReduce的删除资源池操作。 操作场景 根据业务需要，资源池不再使用时，管理员可以通过FusionInsight Manager进行删除资源池。 前提条件 集群中任何一个队列不能使用待删除资源池为默认资源池，删除资源池前需要先取消默认资源池，请参见配置队列。 集群中任何一个队列不能在待删除资源池中配置过资源分布策略，删除资源池前需要先清除策略，请参见清除队列容量配置。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“租户资源 > 资源池”。 3. 在资源池列表指定资源池所在行的“操作”列，单击“删除”。 4. 在弹出窗口中单击“确定”。

本文介绍atop和kdump的配置方法。 atop配置 atop简介 atop是一款功能非常强大的Linux服务器监控工具。它能定期记录系统运行状态，并采集系统资源（如CPU、内存、磁盘、网络）的使用情况，同时还会监控进程的运行情况。通过将这些数据保存为日志文件的方式，我们可以在服务器出现问题时获取相应的atop日志文件进行详细分析。无论是查看系统资源的使用情况，还是追踪特定进程的运行状况，atop都能提供有用的信息。 使用atop工具，系统管理员可以及时发现服务器的性能瓶颈、异常情况以及资源利用率等问题，从而更好地管理和优化服务器的运行。 CentOS 8系列操作系统atop配置方法 1. 通过远程登录或本地登录的方式登录弹性云主机。 2. 下载atop安装包。命令如下。 wget 3. 执行以下命令安装atop。 rpm ivh atop2.6.01.el8.x8664.rpm 4. 编辑配置文件，修改采样周期，atop配置文件为/etc/default/atop。 vi /etc/default/atop 可以根据自己的实际需求修改如下配置参数，修改后保存并退出。 LOGINTERVAL15 LOGGENERATIONS7 LOGPATH/var/log/atop/ 参数说明： LOGINTERVAL：监控周期，单位为秒，默认600s采集一次数据，建议修改为15s。 LOGGENERATIONS：日志保留时间，单位为天，默认保留时间为28天，建议修改为7天，避免大量占用磁盘空间。 LOGPATH：日志保存路径。默认路径为/var/log/atop/。 5. 重启atop服务。 systemctl restart atop 6. 可以设置atop服务自启动（根据实际情况设置）。 systemctl enable atop 7. 检查是否启动成功，active(running)表示运行正常。 systemctl status atop

本文带您了解快速熟悉弹性负载均衡证书管理功能。 如果ELB的监听器和客户端之间使用HTTPS，需要在ELB上部署SSL证书。ELB先使用此证书来终结客户端的HTTPS连接，解密来自客户端的请求，再将客户端请求通过HTTP方式发送到后端主机组。 天翼云负载均衡器支持两种类型的证书，服务器证书、CA证书。配置HTTPS监听器时，需要为监听器绑定服务器证书，如果开启双向认证功能，还需要绑定CA证书。 证书标准 天翼云同时支持国际标准和国密（SM2）标准两种类型，方便不同行业属性的公司灵活选择适合当前业务的证书标准。 单向认证 客户端需要认证主机端的真实性，而主机端不需要认证客户端的真实性。当配置ELB HTTPS类型的监听器时，需要绑定服务器证书。 双向认证 客户端需要认证主机端真实性，同时主机端也需要认证客户端的真实性，需要双方都通过认证，才能正常建立连接响应请求。当配置ELB HTTPS类型的监听器，并开启双向认证时，在为监听器绑定服务器证书的同时，还需要绑定CA证书来验证客户端的真实性。这样只有当客户端能够出具指定CA签发的证书时，HTTPS才能连接成功。 使用须知： 同一个证书在负载均衡器上只需上传一次，可以使用在多个负载均衡器实例中。 默认情况下，一个监听器每种类型的证书只能绑定一个，但是一个证书可以被多个监听器绑定。负载均衡器只支持原始证书，不支持对证书进行加密。 目前ELB不支持对证书有效期等进行检查。 ELB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书。

天翼云为您提供托管检测与响应服务（原生版）服务等级协议说明，请您点击查看。 托管检测与响应服务（原生版）服务等级协议

天翼云为您提供应用容灾服务协议说明，请您点击查看。 应用容灾服务协议

部署“第三方证书”至天翼云服务 前提条件 已将第三方证书上传至证书管理服务中且状态为“上传成功”。 已购买第三方证书部署服务 配额，详细操作请参见购买第三方证书部署服务。 操作步骤 1. 登录“证书管理服务”控制台，在左侧导航栏选择“SSL证书管理 > 上传证书”。 2. 选择需要部署的证书，单击“操作”列的“ 一键部署”。 3. 右侧弹出部署证书窗口，默认选择“证书详情”，在下方部署详情中选择需要部署的服务，单击“操作”列的“部署”或“重新部署”，即可完成证书的部署。 说明 您可以批量勾选需要部署证书的资源（单次最多支持5个资源），单击“批量部署”。 部署至弹性负载均衡服务：需要先选择资源池，目前仅支持部分资源池部署，请以控制台提示为准。 部署至CDN相关产品： 需要先选择部署该证书的域名，请注意，部分域名可能因解析或配置原因未被列出。证书部署至CDN相关资源约需要5~10秒。在此期间，您可能会查到旧证书信息，请耐心等待。 如果页面提示“CDN相关产品账号不在白名单中”，请您提交工单向CDN服务团队申请开通白名单或拨打服务热线（4008109889）与我们联系。

本页介绍天翼云TeleDB数据库检查点相关参数。 checkpointtimeout (integer) 自动WAL 检查点之间的最长时间，以秒计。 有效值在30秒和1天之间。 默认是 5 分钟（5min）。 增加这个参数的值会增加崩溃恢复所需的时间。 这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 checkpointcompletiontarget (floating point) 指定检查点完成的目标，作为检查点之间总时间的一部分。默认是0.5。 这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 checkpointflushafter (integer) 在执行检查点时，只要有checkpointflushafter字节被写入， 就尝试强制 OS 把这些写发送到底层存储。 这样做将会限制内核页面高速缓存中的脏数据数量， 降低在检查点末尾发出fsync或者 OS 在后台大批量写回数据时被卡住的可能性。 那常常会导致大幅度压缩的事务延迟，但是也有一些情况 （特别是负载超过sharedbuffers但小于 OS 页面高速缓存） 的性能会降低。这种设置可能会在某些平台上没有效果。合法的范围在 0（禁用强制写回）和2MB之间。 Linux 上的默认值是256kB，其他平台上是0 （如果BLCKSZ不是8kB，默认值和最大值会等比例缩放）。 这个参数只能在postgresql.conf文件中或者服务器命令行上设置。 checkpointwarning (integer) 如果由于填充检查点段文件导致的检查点之间的间隔低于这个参数表示的秒数，那么就向服务器日志写一个消息（它建议增加maxwalsize的值）。默认值是 30 秒（30s）。零则关闭警告。如果checkpointtimeout低于checkpointwarning，则不会有警告产生。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。

操作场景 虚拟私有云可以为您的容灾服务器提供隔离的、用户自主配置和管理的云上虚拟网络环境。 异步复制其实就是将本地主数据中心中需要容灾的服务器的数据，实时复制到云上用户的专有网络中。当本地数据中心发生重大故障时，可以将业务切换到云上VPC中运行容灾服务器上，从而保持业务的连续性。 创建云上专有网络时需要考虑的因素： 容灾区域 需要根据业务对容灾系统的实际要求进行选择，如生产站点和容灾站点间的物理距离、网络性能以及网络成本等因素来选择容灾区域，如业务要求生产站点和容灾站点间的物理距离不低于100KM，网络时延小于100ms，同时成本限制不能使用专线等。 本地数据中心和天翼云VPC间的连接网络 公网：适用于数据变化量不大，且本地生产数据中心的系统无需频繁访问云上资源的场景。 VPN：适用于数据变化量不大，本地生产数据中心需要随时连接天翼云VPC内业务的场景。如用户有部分业务部署在天翼云，本地数据中心的业务当前就是通过VPN与云上的业务进行交互，进行异步复制时就可以使用该VPN连接。 云专线：针对数据量较大且应用较复杂的场景，通常需要根据业务的具体数据变化量进行规划。 VPC的网段 用于运行切换或者容灾演练时创建的ECS，如果需要保持切换或者容灾演练创建的ECS的IP地址和本地数据中心的生产服务器一致，可以将VPC的网段和本地生产数据中心的网段设置成相同的。业务切换或者容灾演练时，就可以保持服务器的IP地址不变，无需修改相关的配置。 操作步骤 您可以根据您的整体网络规划创建云上专有容灾网络，具体创建操作请参见虚拟私有云帮助中心。

天翼云监控为您提供优质的服务体验，本文带您了解云监控的产品优势。 免费服务自动开通 云监控服务在云资源创建成功后自动开通，不收取费用，监控视图开箱即用。云服务开通后，即可通过云监控服务管理控制台方便直观地查看云产品运行状态，并可设置个性化的告警规则。 实时指标全面覆盖 指标监控数据分钟级获取，全面涵盖多产品多维度，方便客户体系化监控能力建设。目前针对云主机、云硬盘、弹性伸缩等产品提供二十多项指标监控，为客户提供性能历史曲线，多维度监控资源动态。 策略分组配置灵活 客户可对实例根据业务实际需要进行分组，通过创建告警模板，将不同分组配置在不同监控告警策略下，以及时了解各组使用和运行情况，并可随时启停，灵活方便。 及时告警智能通知 实时监控各项资源，提供自动资源告警，及时触发告警通知。用户可按需对告警规则进行设置，当监控项达到设置的告警阈值时，告警通知将立即发送给用户设定的联系人或联系组，从而能够使资源异常情况被及时获知并得到处理，避免发生损失。 关键指标重点掌控 用户可在监控面板页设置重点关注指标，方便每次登陆云监控平台及时查看关键性能，掌握云资源对业务的承载能力。

安全运维提供查看和管理云服务安全基本数据，您可以通过界面总览信息快速查看和管理您的资源的安全情况。 未开通服务器安全卫士（原生版）的用户，需要确认服务协议开通后使用。 已开通服务器安全卫士（原生版）的用户，免费版和付费版数据展示存在差异，如有需要请开通付费版本查看。 主要数据包括： 1. 安全总览：包括资产信息（全部服务器、风险服务器、未防护服务器、免费防护服务器对应的个数）和告警处置信息（未处置威胁告警、拦截恶意IP、隔离病毒文件对应的个数）。 2. 威胁告警：实时监控最新威胁告警事件 Top5。 3. 风险漏洞：实时监控最新风险漏洞事件 Top5。 4. 基线核查：实时监控最新威胁入侵事件 Top5。 5. Agent状态：包括在线和离线Agent个数。 6. 风险趋势：可选择切换时间维度：近7天、近14天。

天翼云为您提供一站式智算服务平台服务协议说明,请您点击查看。 一站式智算服务平台服务协议

本章节主要介绍翼MapReduce服务管理健康检查报告。 操作场景 用户可以在MRS Manager对已保存的历史健康检查报告进行管理，即查看、下载和删除历史健康检查报告。 操作步骤 下载指定的健康检查报告 1. 选择“系统设置 > 维护 > 健康检查”。 2. 在目标健康检查报告所在行，单击“下载”，下载报告文件。 批量下载指定的健康检查报告 1. 选择“系统设置 > 维护 > 健康检查”。 2. 勾选多个目标健康检查报告，单击“下载文件”，下载多个报告文件。 删除指定的健康检查报告 1. 选择“系统设置 > 维护 > 健康检查”。 2. 在目标健康检查报告所在行，单击“删除”，删除报告文件。 批量删除指定的健康检查报告 1. 选择“系统设置 > 维护 > 健康检查”。 2. 勾选多个目标健康检查报告，单击“删除文件”，删除多个报告文件。

本章节主要介绍翼MapReduce的删除用户操作。 操作场景 根据业务需要，管理员应在FusionInsight Manager删除不再使用的系统用户。 说明 用户删除后，已经发放的TGT在24小时内仍然有效，用户可以使用该TGT继续进行安全认证并访问系统。 如新建用户与已删除用户同名，则会继承已删除用户的拥有的所有Owner权限。建议根据实际业务需求决定是否删除该用户持有的资源。例如HDFS上的文件。 默认的admin用户无法删除。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要删除用户所在行，选择“更多 > 删除”。 说明 如果需要批量删除多个用户，勾选需要删除的用户后直接单击“删除”即可。 4. 在弹出的窗口单击“确定”完成删除操作。

本节介绍天翼云电脑客户端的使用操作。 锁定/解锁工具栏 窗口切换 控制中心入口 USB管理 显示设置 双屏显示 画面设置 系统重装 切换操作系统 设备调试 其他设置 救援模式 报障 一键优化 网络检测 安全中心登录设备管理 安全中心重置系统密码 悬浮球 音频设置 AI云电脑配置 最小化 窗口化/全屏 关机/重启/锁屏 开关机设置 文件拷贝 操作系统语言设置 锁定/解锁工具栏 进入AI云电脑后，可在桌面顶部看到工具栏，鼠标移入点击可左右移动。 工具栏默认3秒后自动隐藏，隐藏后的工具栏状态分两种: （1）Windows系统客户端、安卓瘦终端、国产化客户端工具栏隐藏成一条深颜色粗线的状态。 （2）Mac客户端工具栏隐藏成一个颜色方块，展示AI云电脑当前的网络时延值，并且根据网络时延值变化颜色。（Mac Os系统因操作区域主要在顶部，因此Windows系统客户端工具栏隐藏方式不合适）

收不到邮件/存在两个邮件客户端，仅有一个能收到邮件 请登录服务端查看配置的收件协议和服务端是否一致。 若收件协议一致，请检查邮件客户端的收件配置，是否配置为邮件收取后，在服务器上立即删除。若配置立即删除，其中一个客户端收取邮件后，会将服务器端邮件删除，无法在另一个客户端中收取到。 若未进行相关配置，请点击设置→隐私与安全→已保存密码，确认是否收件箱与发件箱密码不一致。 foxmail查看配置方法：设置→账号→服务器。

功能说明 开发者平台边缘函数目前由函数触发器、函数运行时、边缘存储组成： 触发器目前支持HTTP触发器和定时触发器： HTTP触发器：基于您的CDN加速域名，匹配请求中的对应规则（例如 定时触发器：提供类似Crontab形式，使用函数执行周期性任务（即将上线）。 函数运行时：在边缘节点运行您的JavaScript业务代码的安全隔离环境，请求级隔离，微秒级别启动，用完立即销毁。 边缘存储：提供全网同步的KV存储功能（即将上线）。 相关术语 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。使用FaaS时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定HTTP触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV边缘存储提供了KeyValue型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的API和网站服务，部署轻量型的API网关、BaaS服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

天翼云手机户协议生效，详情请参见这里。

本节介绍服务器安全卫士（原生版）风险评估相关常见问题。 什么是基线扫描？ 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线扫描功能针对服务器操作系统、数据库、软件的配置进行安全检测，可以帮您加固系统安全，降低入侵风险并满足安全合规要求。 基线扫描功能通过配置不同的基线检查策略，可以帮助您快速对服务器进行批量扫描，发现包括系统、账号权限、数据库等存在的风险点，并提供修复建议。 基线扫描配置： 基线分类 检查标准及检查内容 覆盖的系统和服务 CIS基线 基于CIS标准的安全基线检查 Unix系统基线检测 Red Hat 6企业版基线检测 Red Hat 7企业版基线检测 Windows审计基线 Windows 10 企业版安全基线检测 Windows 2012 R2安全基线检测 Windows 2016安全基线检测 SQL Server 2012安全基线检测 MySQL 5.6 社区版基线检测 MySQL 5.6企业版基线检测 Apache HTTP Server 2.4基线检测 Web应用漏洞审计基线 如何对指定服务器下发基线检测任务？ 1. 进入服务器安全卫士（原生版）控制中心。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 4. 在策略管理页面，单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”。

本章主要介绍翼MapReduce的修改操作系统用户密码功能。 操作场景 安装FusionInsight Manager时系统自动在集群每个节点上创建用户“omm”和“ommdba”，建议管理员定期修改集群节点操作系统用户“omm”、“ommdba”的登录密码，以提升系统运维安全性。 各节点“omm”、“ommdba”无需设置为统一的密码。 前提条件 获取待修改密码“omm”、“ommdba”用户对应节点的IP地址。 修改omm和ommdba用户需要获取root用户密码。 修改操作系统用户密码 1.以root登录待修改密码节点。 2.执行如下命令，修改用户密码。 passwd ommdba RedHat系统显示： Changing password for user ommdba.New password: 3.输入用户的新密码。操作系统的密码修改策略由用户实际使用的操作系统类型决定。 Retype New Password: Password changed.

本小节介绍处理主机告警事件。 主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 注意 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 须知 : 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip。 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危 、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、处理告警事件。 注意 告警事件展示在“主机安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。 方式一：批量处理勾选的告警 任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“批量处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如下表所示。 方式二：处理单个告警 选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如下表所示。 处理告警事件说明 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“暴力破解”和“异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 有以下告警事件支持加入登录白名单。 暴力破解 异常登录 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。

天翼云为您提供高可用与故障演练服务协议说明，请您点击查看。 高可用与故障演练服务协议

本文介绍websocket回源超时时间配置。 功能介绍 websocket回源超时时间包括回源连接超时时间、回源发送超时时间、回源响应超时时间： 回源连接超时时间：指回源节点与源站服务器建立连接的超时时间。 回源发送超时时间：指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 回源响应超时时间：指回源节点与源站服务器建连成功后，等待源站服务器返回完整响应的超时时间。 websocket回源超时时间设置的长短要综合考虑网络链路情况、源站处理能力、连接问题等诸多因素。如您将回源响应超时时间设置的过长，可能会出现在源站处理能力达到上限，无法正常响应的情况下，失败的请求仍然长时间占用连接数，导致正常请求无法访问。 注意事项 1.仅域名类型为“全站加速websocket加速”的域名，才可以配置websocket回源连接超时时间、回源发送超时时间和回源响应超时时间。 2.未配置websocket回源连接超时时间时，websocket回源连接超时时间使用回源配置模块配置的回源连接超时时间，如果回源配置模块的回源连接超时时间也没配置，全站加速平台默认5秒超时。 3.未配置websocket回源发送超时时间时，websocket回源发送超时时间使用回源配置模块配置的回源请求超时时间，如果回源配置模块的回源请求时时间也没配置，全站加速平台默认15秒超时。 4.未配置websocket回源响应超时时间时，websocket回源响应超时时间使用回源配置模块配置的回源响应超时时间，如果回源配置模块的回源请求时时间也没配置，全站加速平台默认15秒超时。

WAF原生版是否支持HTTPS双向认证？ HTTPS双向认证是相较于HTTPS单向认证而言的，HTTPS单向认证是指客户端在请求服务器数据时，需要验证服务器的身份。而双向认证是在此基础上，服务器端验证客户端的身份，从而实现双向认证。 双向认证主要应用场景是部分重要业务需要验证客户端身份时，需要使用双向验证。而使用WAF防护的业务，一般为对公众提供的Web服务，其原始业务不会有双向验证的要求，故当前WAF原生版不支持HTTPS双向认证。 WAF原生版是否支持WebSocket协议？ WebSocket是HTML5引入的一项技术，用于在Web应用程序中实现实时双向通信。与传统的HTTP请求响应模型不同，WebSocket允许服务器主动向客户端推送数据，而不需要客户端发起请求。WebSocket连接保持打开状态，允许客户端和服务器之间进行双向通信，这为实时应用程序提供了更高效和实时的通信方式。当前WAF支持WebSocket进行用户业务的转发，实现WebSocket通信。 若一个IP同时配置了白名单和黑名单，优先级是什么？ IP白名单的优先级高于黑名单，若同时配置了白名单和黑名单，则优先以白名单为准，详情请参见IP黑白名单。 WAF支持设置单条防护规则的防护状态吗？ 支持。 WAF原生版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 WAF支持针对地理位置配置禁止访问策略吗？ 支持。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。通过地域访问控制模块，可以满足针对地理位置的黑名单封禁。支持封禁的地域请参见地域访问控制。 注意 WAF云SaaS模式的基础版不支持地域访问控制功能，请升级到更高版本使用。

问题描述 在安装Windows操作系统的本地PC上，通过远程桌面RDP协议（如MSTSC方式）连接Windows云服务器时，报错提示：出现身份验证错误，要求的函数不受支持。 如果报错信息中仅提示：出现身份验证错误，要求的函数不受支持。请参考“处理方法”部分解决该问题。 如果报错信息中附加提示“这可能是由于CredSSP加密数据库修正”，如下图所示，那么可能原因是微软于2018年3月发布安全补丁，该安全补丁会影响RDP连接CredSSP，从而导致通过RDP协议访问云服务器时连接失败。 处理方法 1. 登陆云服务器。 2. 打开“开始”菜单，右键单击“计算机”，选择“属性”，左侧导航栏选择“远程设置”。 3. 在“远程”页签中“远程桌面”栏，选择“允许远程连接到此计算机”。

本节主要介绍目的端虚拟机未创建 说明 以下章节以“目的端虚拟机未创建场景”下将主机资源一站式迁移到天翼云的方法为例，提供主机迁移实施的指导。 1、添加资源发现：切换页面到“资源发现”，可选择“平台级别”，也可选择“主机”tab页，根据具体的源端按需选择，单机“添加” 2、输入主机名称、IP、凭证等，单击“保存”，后等待资源发现成功（凭证也可提前创建配置完成） 3、添加完成后，可看到主机相关信息如下： 4、进入“迁移实施”页面，选择目的端主机未创建模块如下： 5、配置目的端：选择待迁移源端，单击“配置目的端” 6、选择我们创建的云账号： 7、创建模板:创建目的端模板并选择该模板后，单击“确定”。 8、检查并选择目标端规格，点击确定 9、（可选）高级选项。在高级选项区域，选择是否“调整磁盘分区”。 不支持Windows系统磁盘调整，且当前仅支持磁盘缩容。 10. 一站式迁移：选择配置好目的端的资源，单击“一站式迁移”，在弹出页面中，推送模式选择“公网”，输入“RDA本机公网IP”，勾选创建迁移任务、启动迁移任务，单击确定 11. 查看迁移详情：等待状态图标变为绿色，浮动文字为已安装，迁移详情按钮可用后单击“迁移详情” 12. 迁移完成后，登录目的端机器查看迁移结果

本节提供了天翼云电脑（政企版）客户端下载地址。 天翼AI云电脑（政企版） 客户端下载

本文介绍如何处理CNAME解析不生效问题。 CNAME（Canonical Name）记录是一种别名记录，用于将多个域名映射到同一台计算机或服务器上。通过配置CNAME记录，可以实现域名的别名映射，将一个域名解析到另一个域名上。客户接入CDN时，在天翼云CDN控制台完成加速域名添加后，系统会为您分配一个天翼云CDN的CNAME域名，例如.ctdns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向.ctdns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云CDN的节点，实现加速的目的。 如发现CNAME未正常解析，可能的原因如下： 1. CNAME配置错误：请检查所配置的CNAME解析记录值是否与天翼云CDN控制台提供的CNAME地址一致。如果不一致，可能会导致解析失败。 2. TTL未过期：在完成CNAME配置后，运营商localDNS的TTL可能还未过期。通常情况下，TTL时间为10分钟，但实际生效以您域名解析时配置的TTL为准。需要等待TTL时间过期后，新的CNAME解析才能生效。

本节主要介绍Redis常见使用规范，主要从Key名称、Value值、Redis命令以及其他方面描述。 Key名称 Key名称的使用规范如下： 使用统一的命名规范。 一般使用业务名(或数据库名)为前缀，用冒号分隔，例如，业务名:表名:id。 控制key名称的长度。 在保证语义清晰的情况下，尽量减少Key的长度。有些常用单词可使用缩写，例如，user缩写为u，messages缩写为msg。 名称中不要包含特殊字符。 Value值 Value值的使用规范如下： 要避免大Key。 大Key会带来网卡流量风暴和慢查询，一般string类型控制在10KB以内，hash、list、set、zset元素个数不要超过5000。 选择合适的数据类型。 比如存储用户的信息，可用使用多个key，使用set u:1:name "X"、set u:1:age 20这样存储，也可以使用hash数据结构，存储成1个key，设置用户属性时使用hmset一次设置多个，同时这样存储也能节省内存。 设置合理的过期时间。 最好是过期时间打散，不要集中在某个时间点过期。 Redis命令 Redis命令的常用规范如下： 时间复杂度为O(N)的命令，需要特别注意N的值。 例如：hgetall、lrange、smembers、zrange、sinter这些命令都是做全集操作，如果元素很多，是很耗性能的。可使用hscan、sscan、zscan这些分批扫描的命令替代。 命令禁用，使用前，请参考Redis命令兼容性和WebCli命令兼容性。 慎重使用select。 Redis多数据库支持较弱，多业务用多数据库实际还是单线程处理，会有干扰。最好是拆分使用多个Redis。天翼云集群实例不支持多DB。 如果有批量操作，可使用mget、mset或pipeline，提高效率，但要注意控制一次批量操作的元素个数。 mget、mset和pipeline的区别如下： mget和mset是原子操作，pipeline是非原子操作。 pipeline可以打包不同的命令，mget和mset做不到。 使用pipeline，需要客户端和服务端同时支持。 lua脚本的执行超时时间为5秒钟，建议不要在lua脚本中使用比较耗时的代码，比如长时间的sleep、大的循环等语句。 调用lua脚本时，建议不要使用随机函数去指定key，否则在主备节点上执行结果不一致，从而导致主备节点数据不一致。 集群实例使用lua有如下限制： 使用EVAL和EVALSHA命令时，命令参数中必须带有至少1个key，否则客户端会提示“ERR eval/evalsha numkeys must be bigger than zero in redis cluster mode”的错误。 使用EVAL和EVALSHA命令时，DCS Redis集群实例使用第一个key来计算slot，用户代码需要保证操作的key是在同一个slot。