本节介绍态势感知基本概念。 安全运营中心（Security Operations Center，SOC）一个集中式功能或团队，负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动，以实时发现潜在的威胁；对网络安全事件进行预防、分析和响应，以改进企业的网络安全态势。SOC还使用最新的威胁情报来掌握威胁组和基础结构的最新信息，并在攻击者利用系统或流程漏洞之前识别和处理这些漏洞，从而主动开展安全工作。大多数SOC每周7天全天候运行，跨多个国家/地区的大型企业/组织可能还依赖于全球安全运营中心（GSOC）来掌控全球安全威胁，并协调多个本地SOC之间的检测和响应。 SOC的功能 SOC团队承担以下职能来帮助防止、响应攻击并在遭到攻击后恢复。 资产和工具清单 为了消除覆盖范围中的盲点和缺口，SOC需要了解它保护的资产，并深入了解它用于保护企业/组织的工具。这意味着考虑到本地和多个云中的所有数据库、云服务、标识、应用程序和客户端。该团队还跟踪企业/组织中使用的所有安全解决方案，例如防火墙、反恶意软件、反勒索软件和监视软件。 减少攻击面 SOC的主要责任是减少企业/组织的攻击面。为此，SOC会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置，并新资产联机时添加这些资产。团队成员还负责研究新出现的威胁并分析风险。 持续监视 SOC团队使用安全分析解决方案全天候监视整个环境 本地、云、应用程序、网络和设备，来发现异常或可疑行为；其中这些解决方案包括安全信息企业管理（SIEM）解决方案、安全编排、自动化和响应（SOAR）解决方案和扩展检测和响应（XDR）解决方案。这些工具会收集遥测数据、聚合数据，并在某些情况下自动进行事件响应。 威胁情报 SOC还使用数据分析、外部源和产品威胁报告来深入了解攻击者行为、基础结构和动机。这种情报提供了有关Internet上正在发生的情况的全局视图，并帮助团队了解威胁组是如何运作的。借助此信息，SOC可快速发现威胁，并加强企业/组织对新出现的风险的应对。 威胁检测 SOC团队使用SIEM和XDR解决方案生成的数据来识别威胁。这首先会从实际问题中筛选掉误报。然后，按严重性和对业务的潜在影响确定威胁的优先级。 日志管理 SOC还负责收集、维护和分析每个客户端、操作系统、虚拟机、本地应用和网络事件生成的日志数据。分析有助于建立正常活动的基线，并揭示可能指示恶意软件、勒索软件或病毒的异常。 事件响应 识别到网络攻击后，SOC会快速采取措施，在尽可能减少业务中断的情况下限制对企业/组织的损害。措施可能包括关闭或隔离受影响的客户端和应用程序、暂停被入侵的账户、移除遭到感染的文件，以及运行防病毒和反恶意软件。 发现和修正 在攻击之后，SOC负责将公司恢复到其原始状态。团队将擦除并重新连接磁盘、标识、电子邮件和客户端，重启应用程序，直接转换到备份系统，并恢复数据。 根本原因调查 为了防止类似的攻击再次发生，SOC进行了彻底的调查，来确定漏洞、效果不佳的安全流程和其他导致事件的教训。 安全性优化 SOC使用事件期间收集的任何情报来解决漏洞、改进流程和策略，并更新安全路线图。 合规性管理 SOC职责的一个关键部分是确保应用程序、安全工具和流程符合隐私法规，例如，《PCI DSS安全遵从包》、《ISO 27701安全遵从包》和《ISO 27001安全遵从包》等。团队定期审核系统来确保合规性，并确保在数据泄露后通知监管机构、执法人员和客户。

为保障实例的稳定及安全，建议您在操作前仔细阅读本文为您介绍的天翼云关系型数据库MySQL实例级别的使用规范。 数据库实例类型选择 主备： 一主一备、一主多备的经典高可用架构。适用于政企、金融、医疗等大中型企业的生产数据库。 备机提高了实例的可靠性，主机与备机同步创建，备机具备数据备份、灾备等功能。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机： 具有较高性价比，与主流的主备实例相比，单机只包含一个节点。 适用于个人学习、测试，及微小型公司的生产环境。 单机无灾备功能，出现故障后无法进行切换。 只读： 单机版只读实例，推荐开启数据库代理功能，并购买冗余的单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其他只读节点。 天翼云官方推荐两种架构，以供参考： 1. 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2. 两个以上只读实例，建议开启数据库代理，获得更好的性价比。 说明 更多实例类型信息，请参见实例类型。 数据库实例规格选择 主机类型：目前提供四种主机类型（可能出现部分主机类型售罄，导致主机类型不存在）如下表： 主机类型 类型说明 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定，但是性价比更高。 适用于对成本比较敏感、对性能抖动容忍度较高的场景。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。 规格： 目前提供的CPU内存规格有：1C4G、2C4G、2C8G、2C16G、4C8G、4C16G、4C32G、8C16G、8C32G、8C64G、16C32G、16C64G、16C128G、32C64G（可能出现部分规格售罄，导致部分规格不存在）。

时间粒度 单次查询的最长时间跨度 可查询历史数据的时间范围 数据延迟 1分钟 3小时 7天 5分钟 5分钟 31天 1年 20分钟 1小时 31天 1年 20分钟 1天 31天 1年 20分钟

本节介绍云等保专区产品的堡垒机。 堡垒机具备统一安全管理与审计能力，提供集身份认证（Authentication）、帐户管理（Account）、控制权限（Authorization）、日志审计（Audit）功能于一体。支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询，具备全方位运维风险控制能力，可满足各类法律法规（如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等）对运维审计的要求。 功能介绍 功能 描述 认证&授权 双因子认证 内置手机APP认证（谷歌动态口令验证）、OTP动态令牌、USBkey双因素认证引擎。 提供短信认证、AD、LDAP、RADIUS认证接口。 支持多种认证方式组合。 认证&授权 权限管理 系统预置多种用户角色：超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。 每种用户角色的权限均不同，且可自定义用户角色。 认证&授权 集中授权 梳理用户与主机之间关系，提供一对一、一对多、多对一、多对多的灵活授权模式。 认证&授权 单点登录 托管主机的帐户和密码，运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作，无需输入主机的帐户和密码。 认证&授权 自动学习 运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息，减轻管理员配置主机信息、用户与主机关系的工作量。 运维&审计 运维协议支持 支持管理Linux/Unix服务器、Windows服务器、网络设备（如思科/H3C/华为等）、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。 兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。 运维&审计 统一审计 对所有操作进行详细记录，提供综合查询；审计日志可在线或离线播放，自动备份归档。 审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。 运维&审计 浏览器客户端运维 基于H5技术实现浏览器客户端运维，无需安装本地工具，直接通过浏览器打开运维界面。 支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。 运维&审计 文件传输审计 记录所有操作会话，包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。 完整备份传输文件，为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。 运维&审计 自动运维 实现自动化的运维任务并将执行结果通知相关人员。 运维&审计 资产管理 支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。 运维&审计 命令控制 集中命令控制基于不同主机、不同用户设置不同的命令控制策略，包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。 运维&审计 工单流程 运维人员向管理员申请需要访问的设备，选择条件包括设备IP、设备帐户、运维有效期、备注事由等，运维工单以邮件方式通知管理员。 其他 系统自审 对系统自身变化信息进行审计，形成系统分析报表。 其他 冗余架构 结合端口聚合技术、RAID技术和HA技术，实现三重冗余备份的高可用架构。 其他 API接口 提供用户、资产、授权的增删改查等API接口。 允许第三方平台调用API接口，实现用户、资产、权限自动同步。

资源包类型 资源包规格 资源包有效期 资源包价格 举例说明 企业版资源包 7200实例小时 1个月 850元 10个Agent，使用时间为30天，需要资源包的规格为10×24×307200 Agent小时。 企业版资源包 36,000实例小时 3个月 3900元 50个Agent，使用时间为30天，需要资源包的规格为50×24×3036000 Agent小时。 企业版资源包 144,000实例小时 6个月 14000元 200个Agent，使用时间为30天，需要资源包的规格为200×24×30144000 Agent小时。 企业版资源包 360,000实例小时 6个月 32000元 500个Agent，使用时间为30天，需要资源包的规格为500×24×30360000 Agent小时。 企业版资源包 876,000实例小时 12个月 68000元 100个Agent，使用时间为365天，需要资源包的规格为100×24×365876000 Agent小时。 企业版资源包 1,752,000实例小时 18个月 120000元 200个Agent，使用时间为365天，需要资源包的规格为200×24×3651752000 Agent小时。 企业版资源包 4,380,000实例小时 18个月 260000元 500个Agent，使用时间为365天，需要资源包的规格为500×24×3654380000 Agent小时。

本节介绍如何从云安全中心控制台进入安全体检控制台并使用安全体检产品。 云安全中心提供体安全体检产品的功能，可支持的场景包括高危端口开放情况、弱口令、漏洞开放情况，并输出体检报告。用户可根据需求单独购买。 更多信息请参见安全体检。 使用安全体检 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 4. 在左侧导航栏，选择“安全体检”。 5. 跳转到安全体检控制台，详细操作指导请参见安全体检产品文档。

本节介绍如何对DNS服务进行配置。 操作场景 用户配置本地DNS服务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例的名称。 5. 单击“设备管理”。 6. 开启“DNS代理”按钮，可编辑DNS地址。 7. 单击“√”，可保存DNS配置。

前提条件 已为用户帐号配置手机号码，且用户手机号码可用。 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口，系统才能够访问短信网关。 发送短信验证码的频率未超过要求限制。 系统短信网关配置为“内置”时，手机短信验证码针对单个帐号发送频率有以下限制： 1分钟内发送短信不超过1条； 1小时内发送短信不超过5条 ； 1天内发送短信不超过15条。 配置手机短信认证 1 管理员登录云堡垒机系统。 2 选择“用户 > 用户管理”。 3 单击待修改的用户登录名，或者单击相应“管理”，进入“用户详情”页面。 4 单击“用户配置”区域的“编辑”，修改用户的登录配置。 5 配置“多因子认证”为“手机短信”。 6 单击“确认”，完成用户“手机短信”双因子认证配置。 手机短信方式登录 修改认证配置后，用户进入云堡垒机系统登录Web页面或SSH客户端登录界面，选择“手机短信”认证方式，输入登“录名”和用户帐号绑定手机号，获取短信验证码登录。 如何取消手机短信方式登录认证？ 当用户短信网关故障，无法通过手机短信方式登录，可由管理员取消“手机短信”多因子认证配置。 若admin用户配置了“手机短信”多因子认证，无法登录系统取消多因子认证配置，请联系技术支持。 前提条件 管理员已获取“用户”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“用户 > 用户管理”，进入用户列表页面。 3 勾选待修改配置的用户帐号，单击左下角“更多”，展开批量操作项。 4 单击“修改多因子认证”，弹出多因子认证修改窗口。 5 去掉勾选“手机短信”多因子认证方式。 6 单击“确定”，即关闭了目标用户“手机短信”认证方式。 配置了手机令牌登录，但未绑定手机令牌怎么办？ 当系统管理员admin设置了开启手机令牌登录，但是没有绑定手机令牌时，可提工单反馈，技术支持人员收到反馈后，重置admin登录验证为初始状态，而不改变系统其它配置。 当系统非admin用户未绑定手机令牌时，系统管理员admin可为目标用户修改登录“多因子认证”方式。 绑定了手机令牌，却不能登录怎么办？

本章介绍天翼云关系型数据库的数据库安全如何设置。 帐户密码等级设置 注意 Microsoft SQL Server自身支持关闭数据库密码复杂度检查机制，为了保障数据库安全，建议不要关闭该机制。 在客户端新创建的数据库用户，默认设置了密码安全策略，但用户可取消，建议用户启用该策略： 1、密码长度为8～128个字符。 2、密码至少为大写字母、小写字母、数字和特殊字符任意三种的组合。 3、密码不得包含用户名。 创建实例时，为用户提供了密码复杂度校验，由于rdsuser用户可修改密码复杂度，安全起见，建议修改后的密码复杂度不低于关系型数据库的初始化设置。 帐户说明 您在创建RDS for SQL Server数据库实例时，系统会自动为实例创建如下系统帐户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 如果试图删掉、重命名、修改这些系统帐户的密码和权限，会导致出错，请谨慎操作。 rdsadmin：数据库实例的超级管理员，具有sysadmin服务角色，用于后台查询实例信息、监控实例状态、故障排查、迁移、恢复等操作。 rdsmirror：用于创建镜像端点，主备复制帐户。 rdsbackup：备份帐户，用于后台的备份。 Mike：RDS for SQL Server中的Windows系统帐户，用于在初始化实例时执行初始化SQL，包括创建rdsadmin数据库和相关帐户等。

本文提供了天翼云AOne会议儿童个人信息保护政策及监护人须知查看地址。 天翼云AOne会议儿童个人信息保护政策及监护人须知，详情请参见这里。

云监控服务支持灵活的创建告警规则。 告警规则简介 云监控服务支持灵活的创建告警规则。您既可以根据实际需要对某个特定的监控指标设置自定义告警规则，同时也支持使用告警模板为多个资源或者云服务批量创建告警规则。 在您使用告警模板创建告警规则之前，云监控服务已经根据各个云服务的应用属性以及云监控服务多年的开发、维护经验，为各个云服务量身定做了默认使用的告警模板，供您选择使用。同时云监控服务为用户提供了自定义创建告警模板的功能，用户可以选择在默认模板推荐的监控指标上进行修改，同样也支持自定义添加告警指标完成自定义告警模板的添加。 使用告警模板创建告警规则 云监控服务提供使用告警模板创建告警规则的功能，能够让用户在为资源或者云服务添加告警规则时轻松自如，特别是对于大批量资源或者云服务同时创建告警规则，或是在日常运维中对多个资源或者云服务修改告警规则，都能够提供极大的工作便利。 本章节主要为您讲述如何使用默认告警模板为云服务资源创建告警规则。 创建告警规则 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 选择“告警 > 告警规则”。 4. 单击“创建告警规则”。 5. 在“创建告警规则”界面，根据界面提示配置参数。 a. 选择监控对象，根据界面提示配置参数，如表11所示。然后单击“下一步”。 表11配置参数 参数 参数说明 :: 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 资源类型 配置告警规则监控的服务名称。 取值样例：弹性云主机 维度 用于指定告警规则对应指标的维度名称 取值样例：云主机 说明 当监控对象为弹性云主机和物理机时支持通过名称、ID和私有IP地址搜索，其他云服务仅支持通过ID搜索。 b. 选择“从模板导入”，参照表12完成参数配置。 表12配置参数 参数 参数说明 :: 选择类型 选择从模板导入或手工创建。 模板 选择需要导入的模板。 发送通知 配置是否发送邮件、短信通知用户。 当选择发送通知时，需要选择已有的主题或者新建主题。 通知对象 需要发送告警通知的对象，可选择“云账号联系人”或主题。 云账号联系人：注册账号时的手机和邮箱。 主题：消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 触发条件 可以选择出现告警、恢复正常。 告警规则添加完成后，当监控指标触发设定的阈值时，云监控服务会在第一时间通过您设置的通知方式实时告知您云上资源异常，以免因此造成业务损失。

本文介绍跨域互联的相关功能。 创建跨域互联 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>跨域互联】，点击左上角【创建跨域互联】。 3. 创建跨域互联页面，配置以下参数。 创建跨域互联实例参数说明： 参数 说明 天翼云4.0资源池 选择天翼云4.0侧的资源池，以搭建跨域互联。 算力网关VPC 选择算力网关侧VPC和子网。 天翼云4.0VPC 选择天翼云4.0侧VPC和子网。 描述 可选项，自定义跨域互联的描述信息。 4. 同意并勾选告知，点击【确定】，将自动创建跨域互联实例。 查看跨域互联详情 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>跨域互联】，在跨域互联列表页，选择“已连接”实例操作列中的【查看详情】。 跨域互联详情的参数说明： 参数 说明 跨域互联名称 根据算力网关和天翼云4.0侧所选资源池拼接生成。 跨域互联ID 创建完跨域互联后，系统自动生成。 算力网关资源池 显示算力网关侧的资源池名称。 天翼云4.0资源池 显示天翼云4.0侧的资源池名称。 算力网关VPC 显示算力网关侧的VPC名称。 天翼云4.0VPC 显示天翼云4.0侧的VPC名称。 算力网关子网 显示算力网关侧的子网网段。 天翼云4.0子网 显示天翼云4.0侧的子网网段。 连接状态 跨域互联创建完成后，状态为“已连接”。 描述 显示跨域互联自定义的描述信息。 最佳实践 提供3个场景下的最佳实践，可点击“查看文档”访问。 快捷操作 提供算力网关和天翼云4.0两侧的控制台访问地址。

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

本节为您介绍关闭安全引流服务的操作步骤。 操作场景 用户关闭安全引流业务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已启用安全引流业务。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，单击对应目标智能网关实例“操作”列的“关闭安全引流”。 5. 单击“确定”，关闭安全引流服务。 6. 然后单击该智能网关实例“操作”列的“删除”，单击“确定”，即可删除不再需要引流的智能网关实例。

采用天翼云主机的DNS配置 当Pod不需要访问集群内的其他服务，只需要通过云主机DNS来做解析，也不希望DNS解析经过CoreDNS，可以采用Default策略，示例配置如下： apiVersion: v1 kind: Pod metadata: name: nginxdemo namespace: default spec: containers: image: registryvpcgzsyj.crs.ctyun.cn:30015/library/nginxphoton:v1.8.6 name: demo imagePullPolicy: Always name: alpine dnsPolicy: Default 在HostNetwork网络模式下访问集群服务 当Pod使用hostNetwork作为容器网络，此时若需解析集群内Service域名，可使用ClusterFirstWithHostNet策略，示例配置如下： apiVersion: v1 kind: Pod metadata: name: nginxdemo namespace: default spec: hostNetwork: true dnsPolicy: ClusterFirstWithHostNet containers: image: registryvpcgzsyj.crs.ctyun.cn:30015/library/nginxphoton:v1.8.6 name: demo 使用HostAliases配置容器Pod的/etc/hosts 当需要配置Pod的静态域名解析，可声明HostAliases字段，以修改Pod内/etc/hosts，示例配置如下： apiVersion: v1 kind: Pod metadata: name: hostaliasespod spec: hostAliases: ip: "127.0.." hostnames: "foo.local" "bar.local" ip: "10.1.." hostnames: "foo.remote" containers: image: registryvpcgzsyj.crs.ctyun.cn:30015/library/nginxphoton:v1.8.6 name: demo command: cat args: "/etc/hosts" Pod启动后，/etc/hosts文件会被添加如下内容： Kubernetesmanaged hosts file. 127.0.. localhost ::1 localhost ip6localhost ip6loopback fe00::0 ip6localnet fe00::0 ip6mcastprefix fe00::1 ip6allnodes fe00::2 ip6allrouters 10.200.. hostaliasespod

本节介绍如何接入数据并查看日志存储位置。 操作场景 态势感知（专业版）支持一键接入多种云产品的日志数据。接入后，可以统一管理日志信息，以及检索并分析所有收集到的日志。 说明 建议将态势感知（专业版）管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间，便于统一运营，进行安全分析关联。 约束与限制 日志接入操作成功后，日志数据订阅预计在十分钟内生效。 态势感知（专业版）支持一键接入CFW日志数据，若接入的是新购买的CFW的日志数据，由于日志上报存在一定的延迟，如果您当天在态势感知（专业版）执行了接入CFW日志操作，则将会隔天才能在态势感知（专业版）中查看到上报的CFW日志数据。 接入云服务日志 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 云服务接入”，进入云服务日志接入页面。 5. 在云服务日志接入页面，配置日志接入。请根据当前region已开通云服务按需进行接入。 6. 一键接入多个云服务产品的日志 ，在云服务日志接入页面，单击“一键接入”按钮，右侧弹出“一键接入”配置页面。在一键接入配置页面，下拉选择数据源区域，下拉勾选需要接入的云服务日志。配置完成后，单击右下角“确定”，完成设置。 7. 云服务日志接入也支持设置单个云产品的日志接入。在云服务接入管理页面，单击云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。 8. 在设置页面，根据需要配置接入开关。 参数名称 参数说明 日志类型 日志的类型。 日志接入 设置日志接入开关。按钮打开表示日志接入态势感知（专业版）。 自动转告警 在“自动转告警”列，单击，开启后，当接入的云服务日志满足告警触发条件时，自动转为告警，并且在“告警管理”页面中进行展示。 生命周期 日志接入后的存储时长。 日志状态 日志接入的状态。 已接入：日志已接入且执行成功。 未接入：日志未接入。 接入失败：日志接入且执行失败。 最近活跃时间 最近日志接入时间，即活跃时间。 操作 单击“编辑”，可设置该日志类型的生命周期，单位天。生命周期指的是日志接入后的存储时长。 9. 云服务日志接入配置完成后，在“日志审计> 云服务接入”页面可查看云服务产品的日志接入状态。 说明 操作成功后，日志数据订阅预计在十分钟内生效。接入完成后，将创建默认数据空间和管道。

本文带您了解如何使用告警规则。 操作场景 支持根据需要灵活创建告警规则，既可以使用系统默认告警模板，也可以对具体监控指标进行自定义告警规则的设置。 当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保证业务顺畅进行。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击“创建告警规则”按钮，进入告警规则创建页面。 6. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数如下： 参数 参数说明 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控三种。 云服务 配置告警规则监控的云服务资源类型。 维度 用于指定告警规则对应指标的维度名称。 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 选择类型 可以选择从模板导入或自定义创建。 模板 选择需要导入的模板。 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 选择告警联系组 配置发生告警通知的用户组。 重复告警 告警发生后，如果监控项未恢复正常，之后间隔多久再次发送告警。 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 通知周期 配置告警通知的周期时间。 通知时段 配置告警通知的时间段。 通知方式 配置告警通知的通知方式，支持邮箱及短信。 名称 该告警规则的自定义名称。 企业项目 选择告警规则适用的企业项目。 描述 添加对该告警规则描述（此参数非必填项）。

本文主要介绍如何添加或移除后端云主机(独享型) 在使用负载均衡服务时，确保至少有一台后端云主机在正常运行，可以接收负载均衡转发的客户端请求。如果请求的需求流量上升，用户需要向负载均衡器添加更多后端云主机处理需求。 移除负载均衡器绑定的后端云主机，后端云主机将不再收到负载均衡器转发的需求，但不会对云主机本身产生任何影响，只是解除了后端主机和负载均衡器的关联关系。您可以在业务增长或者需要增强可靠性时再次将它添加至后端云主机组中。 若要使用跨VPC后端功能，请先正确配置VPC路由，确保后端可达。跨VPC后端支持添加通过以VPC对等连接、VPN连接与专线连接互通的后端云主机。 添加后端云主机 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要添加后端云主机的负载均衡名称。 5. 切换到“后端主机组”页签，单击目标后端主机组名称。 6. 单击右侧页面中的“添加云主机”、“添加跨VPC后端”。 7. 根据需要添加的后端类型选择相应的操作。 添加普通后端：在“添加云主机”界面选择后端云主机所在的子网，勾选需要添加的后端云主机，并选择“私网IP地址”，然后单击下一步，设置后端端口和云主机的权重，单击“完成”，完成添加。 添加跨VPC后端：在“添加跨VPC后端”界面设置业务端口和云主机的权重等配置，单击“确定”，完成添加。

本文介绍高级会控功能。 适用场景 会议开启了云录制，希望将某位参会者的视频画面设置为云录制画面的焦点。 会议开启了直播，希望将某位参会者的视频画面设置为直播画面的焦点。 操作方法 1. 会议创建者预定会议后，在会议列表中找到该会议，点击右侧“更多” > “会议控制”，打开高级会议页面。 2. 会议主持人在会中可通过底部工具栏“更多” > “会议控制”，打开高级会控页面。 3. 在会议布局区域，选择您需要设置为焦点画面的“已入会”用户，直接将其拖拽到框内即可。 4. 如需恢复默认布局，可点击焦点会场右上角的“X”按钮，将原焦点会场的用户移除。 注意事项 1. 当会中有人共享屏幕时，系统会自动将共享屏幕内容设置为焦点画面。如会中无人共享屏幕，默认采用宫格视图布局，不设定焦点画面。若希望将某个参会者的视频画面设置为焦点会场，可通过高级会控功能进行设置。若该参会者未开启视频，则焦点画面将显示其头像。 2. 高级会控的布局设置，仅应用于云录制和直播的画面布局，不会影响参会者本地客户端的视图。 3. 当前仅支持默认自动布局，暂不支持增加自定义布局。 4. 当前仅支持将已入会的成员设置为焦点会场。暂不支持将未入会成员设置为焦点会场。 5. 此功能仅支持会议创建者、主持人、联席主持人操作。 6. 直播封面当前仅支持输入图片URL，暂不支持上传图片。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址，具体请参见 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 跨网段访问配置 现在设置 配置源端对应的网段，确保在源端ECS网络与实例节点网络连通的前提下， 可以在ECS端连接实例。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以参考

本文为您介绍修改告警联系人的操作场景、前提条件和操作步骤。 操作场景 告警联系人的联系方式发生变化时，需要及时去控制台修改告警联系人的联系方式。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警联系人的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警联系人/组”，进入告警联系人管理页面。 5. 您可以通过以下两个路径修改告警联系人: 方式一：在“告警联系人”界面，单击待修改联系人所在行的“修改”按钮。 方式二：在“告警联系组”界面，展开待修改联系人所在的告警联系组，单击联系人所在行的“修改”按钮。 6. 修改后，单击“确定”按钮。

本文为您介绍创建告警联系人的操作场景、前提条件和操作步骤。 操作场景 告警联系人能够接收告警通知，方便您快速处理告警问题。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警联系人/组”，进入告警联系人管理页面。 5. 单击“添加联系人”按钮，根据弹框页面提示输入联系人的姓名、手机号、邮箱。 6. 单击“确认”按钮，完成告警联系人的创建。 7. 所创建的告警联系人的邮箱及手机号，默认处于等待激活状态。需要根据短信及邮箱相应激活码进行激活。激活后，可以在告警联系人列表页看到相应信息已经激活。 说明 未被激活的手机号码或邮箱，将无法接收到告警通知信息。

简述客户业务接入天翼云应用加速的基本条件。 限制项 具体要求 说明 :: 加速域名 中国内地： 1、已在天翼云进行实名认证 2、域名已完成ICP备案且备案信息准确有效 3、域名接入时需要经过内容审核 全球（不含中国内地）： 1、已在天翼云进行实名认证 2、域名接入时需要经过内容审核 全球： 1、已在天翼云进行实名认证 2、域名已完成ICP备案且备案信息准确有效 3、域名接入时需要经过内容审核 1、全球加速（不含中国内地）：包括中国香港、中国澳门、中国台湾、其他国家及地区。 2、加速范围为：中国内地、全球加速的域名必须已完成ICP备案且备案信息准确有效才能接入天翼云应用加速，否则天翼云无法提供加速服务。 加速端口 不能加速的端口： 1、tcp端口：21、22、23、135、137、138、139、445、593、1068、1433、1434、1521、3306、3332、3389、4000、4444、5554、6379、6669、9000、9996、65528 2、udp端口：135、136、137、138、139、445、1434、4000、4444、17185 不能加速的端口为应用加速平台内部占用端口，无法对外提供服务。

本文向您介绍VPN连接服务的监控概览。 监控是保持VPN可靠性、可用性和性能的重要部分，通过监控，用户可以观察VPN资源。为使用户更好地掌握自己的VPN运行状态，天翼云提供了云监控服务（CES）。您可以使用该服务监控您的VPN，执行自动实时监控、告警和通知操作，帮助您更好地了解VPN的各项性能指标。

本文介绍数据迁移工具适用场景。 媒体存储为客户提供在线迁移服务，客户可以通过在线迁移服务实现以下数据迁移场景： 将同个账号的媒体存储的某个Bucket数据迁移至另一个Bucket。 跨不同的天翼云账号迁移媒体存储间的数据。 将第三方数据，如阿里云、AWS等数据迁移到媒体存储。 目前在线迁移服务为内测能力，如有需要，可联系您的专属客户经理开通试用。

约束与限制 使用ISO文件注册的ISO镜像无法在创建云主机页面选择到，也无法用来切换操作系统，必须完成操作系统及驱动安装做成系统盘镜像后才能使用。 ISO镜像在镜像服务页面创建的临时云主机只建议用来装机，部分功能受限。如：不支持挂载磁盘操作。 将ISO文件注册为镜像（Linux） 操作场景 通过注册镜像操作，将外部镜像ISO文件注册为云平台的私有镜像，即ISO镜像。注册镜像前，需先将ISO文件上传到OBS桶中。 使用ISO文件注册的ISO镜像不支持复制、导出和加密。 前提条件 待注册文件需为iso格式。 已上传ISO镜像文件到OBS的个人桶中。具体操作请参见上传镜像文件（Linux）。 说明： ISO镜像文件名称只能包含英文字母、数字、中划线（）和下划线（）。如果不符合要求，请先修改名称再上传至OBS桶。 操作步骤 1、登录控制台。 a.登录管理控制台。 b.选择“镜像服务”。 进入镜像服务页面。 2、创建ISO镜像。 a.单击右上角的“创建私有镜像”，进入创建私有镜像页面。 b.在创建方式选择“导入私有镜像”，在“镜像类型”区域，选择镜像的创建方式为“ISO镜像”。 c.从镜像文件列表中先选择保存ISO镜像文件的桶，再选择对应的ISO文件。 使用ISO文件创建私有镜像 d.在“配置信息”区域，填写镜像的基本信息。 操作系统：选择ISO镜像文件对应的操作系统。为保证镜像的正常创建和使用，请确保选择的操作系统与镜像文件的操作系统类型一致。 系统盘：设置系统盘容量，要求不小于镜像文件的系统盘大小。 名称：输入镜像的名称。 企业项目：选择资源所属的企业项目。 标签：可选配置，根据需要为待创建私有镜像添加资源标签。 描述：可选配置，根据需要输入描述信息。 e.单击“立即创建”。 f.根据界面提示，确认镜像参数。阅读并勾选《天翼云镜像服务协议》，单击“提交申请”。 3、返回私有镜像界面，查看创建的ISO镜像的状态。 当镜像的状态为“正常”时，表示创建成功。

本文帮助您快速熟悉ACL规则的修改操作流程。 使用场景 当您的应用场景发生变化时，可以修改ACL规则帮助您更好地控制网络访问，您需谨慎修改规则，确保修改后的规则能够满足实际需求并提高网络的安全性和可控性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击操作列的“修改”按钮。 7. 根据页面相关提示可以对ACL规则的配置信息进行修改。 8. 具体参数配置如下： 参数 说明 优先级 网络ACL规则的优先级，优先级的数值越小，表示优先级越高。为默认的规则，优先级最低。默认规则仅多可用区资源池适用。 策略 选择入方向规则的授权策略：允许：允许访问子网中云服务器。拒绝：拒绝访问子网中云服务器。 协议 选择协议类型，支持以下几种协议：ALL：所有协议。ICMP：网络控制报文协议。TCP：传输控制协议。UDP：用户数据报协议。 源地址 此方向允许的源地址，默认值为0.0.0.0/0，代表支持所有的IP地址。 目的地址 此方向允许的目的地址，默认值为0.0.0.0/0，代表支持所有的IP地址。 源端口范围 源端口范围，取值范围是1～65535的数字。选择TCP或UDP协议时必须填写。 目的端口范围 目的端口范围，取值范围是介于1～65535的数字。选择TCP或UDP协议时必须填写。 描述 网络ACL规则的描述信息，非必填项。 注意 1. 对于地域资源池来说，创建ACL时需要指定子网与ACL的关联关系。修改规则时，入方向规则不支持自定义目的地址，出方向规则不支持自定义源地址。 2. 对于可用区资源池来说，修改规则时，出/入方向均支持自定义源/目的端口。

模型适配专家服务支持自主订购和委托客户经理订购两种方式。 自主订购 实名认证 开通模型适配专家服务，需要先注册天翼云账户并确保已完成实名认证。 注册并登录天翼云官网，注册指南请参见账号中心操作指南注册天翼云账号。 未实名认证的用户请按提示完成实名认证才能开通模型适配专家服务，实名认证指南请参见账号中心操作指南实名认证。 订购流程 购买模型适配专家服务产品之前请确保您的账户余额大于本次购买服务的费用。 进入模型适配专家服务产品详情页快速了解产品，之后单击【立即订购】。 在购买页面选择订购规格，阅读并勾选服务协议，确认无误后点击【立即购买】。 支付后即算订购完成。 委托客户经理订购 联系客户经理，沟通预订购产品规格，客户经理通过内部系统下单。 退订说明 本产品订购成功后，一旦已进入服务实施阶段不允许退订，不退还费用。

本文为您介绍删除告警联系组的操作场景、前提条件和操作步骤。 操作场景 当告警联系组不需要使用时，您可以在控制台进行删除。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警联系组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警联系人/组”，进入告警联系人管理页面。 5. 进入“告警联系组”页面，单击联系组所在行“操作”列的“删除”，在弹出的“删除联系组”界面，单击“确定”，可以删除告警联系组。 6. 或在“告警联系人/组”界面，可勾选多个联系组，单击“删除”，在弹出的“删除联系组”界面，单击“确定”，可以删除多个联系组。

本文为您介绍配置监控视图的操作场景、前提条件和操作步骤。 操作场景 随着云上服务的业务日趋增长，监控视图已添加的监控指标可能已经无法满足您当前的监控需求。您需要对监控指标进行增加、修改、删除等日常操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成监控视图的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“监控面板”，选择要修改的监控面板，在待配置的“监控视图”区域单击，进入“修改监控视图”页面。 5. 在配置监控项页面，用户可以对监控视图标题进行编辑，也可以增加监控指标、删除监控指标或修改当前已添加的监控指标。

本文介绍Job类型任务如何采集日志。 在Serverless集群运行Job任务，无法通过DaemonSet采集日志，且Job Pod在任务结束后会立即退出，可能导致日志未能完整收集。为确保这类场景下日志的完整性，您可以将Job任务的输出日志存储到挂载的NAS盘，然后通过一个独立的日志采集Pod从该NAS盘读取日志并发送到日志系统。本文将为您介绍如何针对Job类型任务场景采集日志到日志系统。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 已开通天翼云弹性文件或对象存储服务。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：通过kubectl客户端创建job.yaml 1. 创建一个计算π值Job任务，并挂载NAS盘， Job参考YAML配置如下： Plain apiVersion: batch/v1 kind: Job metadata: name: pilog spec: template: spec: containers: name: pi image: user1registryhuadong1.crsinternal.ctyun.cn/library/perl:latest command: ["/bin/sh", "c", "perl Mbignumbpi wle 'print bpi(1000)' > /eci/a.log 2>&1"] 运行输出结果重定向到指定文件 resources: limits: cpu: "1" memory: 2Gi volumeMounts: name: pvcnas mountPath: /eci readOnly: false restartPolicy: Never volumes: name: pvcnas persistentVolumeClaim: claimName: pvcstaticnas backoffLimit: 4 2. 创建Job任务。 Plain kubectl apply f job.yaml 3. 查看Pod状态。 Bash kubectl get pod

本节介绍如何安装混合备份客户端。 操作场景 混合备份通过客户端提供备份服务。备份操作前，需要在备份目标机器中安装客户端，可在控制台进行客户端安装操作。 约束与限制 操作系统限制：支持Windows7/10/11系列、Windows Server 2008/2012/2016/2019/2022系列、Ubuntu16/18/20系列、Centos6/7/8系列、统信UOS20、银河麒麟V10、阿里龙蜥8、其他通用Linux系列64位操作系统。 由于云备份服务需要与存储库端网络可达，请在目标机器端放行880、8888、8899端口。 备份目标机器必须处于开机状态，与存储库端网络可达。 每个目标机器仅允许安装一个客户端。若想更新客户端至最新版本，可以升级客户端。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角点击，选择地域，此处选择华东华东1。 3. 选择“存储>云备份>混合备份（存储版）”，进入“主机列表”页签，点击“下载客户端”按钮，根据目标机器的CPU架构和操作系统选择对应的和客户端类型。 4. 若选择Windows类型 1. 选择存储库和网络传输方式。 1. 若选择公网方式，无需填写对应IP。 2. 若选择非公网方式，需先创建连接备份服务（华东1的备份服务实例ID为endpseryanvu0zc7z）的终端节点VPCE，创建好终端节点后在下载备份客户端界面填写终端节点IP地址。 2. 点击“下载”按钮，并将安装包拷贝到对应备份主机上。 3. 解压安装包，得到app.config文件和exe安装程序。 4. 确保解压出的两个文件在同级目录下，以管理员权限运行exe安装程序。 5. 选择安装路径，默认安装路径为：“C:Program Filesxclient”。 6. 点击下一步，等待安装完成，安装成功后，在“主机列表”页签中，查看目标机器为“在线”状态，即可为目标机器进行不同类型的数据备份。 5. 若选择Linux类型（Ubuntu、CentOS、统信、银河麒麟、阿里龙蜥、通用Linux） 1. 选择存储库和网络传输方式。 1. 若选择公网方式，无需填写对应IP。 2. 若选择非公网方式，需先创建连接备份服务（华东1的备份服务实例ID为endpseryanvu0zc7z）的终端节点VPCE，创建好终端节点后在下载备份客户端界面填写终端节点IP地址。 2. 点击“生成脚本”按钮，复制下载命令到对应备份主机上执行，获取客户端安装脚本。 3. 选择系统账户（备份oracle数据库时需要选择oracle账户，其他备份选择系统账户），点击“复制在线脚本”或“复制离线脚本”。 4. 在对应备份主机上执行上一步的脚本，等待客户端安装完成，安装成功后，在“主机列表”页签中，查看目标机器为“在线”状态，即可为目标机器进行不同类型的数据备份。