本文将介绍如何使用边缘安全加速平台安全与加速服务的漏洞扫描功能。 功能介绍 通过天翼云监测系统平台，在无需用户采购任何Web应用扫描产品前提下，即可获得网站的漏洞态势，以及每个漏洞的详情介绍和修补建议，方便及时作出处置。 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 新增漏洞扫描任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要扫描的域名。 3. 支持两种配置扫描任务方式。 4. 如果您需要快速复制其他域名的扫描任务，可单击【域名资产概况】中的【快速配置监测任务】。 5. 如果您需要新增扫描任务，单击【新增】按钮。 配置项说明： 配置项 说明 任务名称 用户可自定义任务名称，支持中文、英文、数字、下划线，最长30个字符。 任务开关 用户开启或者关闭任务。 监测任务等级 扫描漏洞范围： 高危:监测站点是否有命令执行，SQL注入，XML注入，目录遍历与目录穿越，跨站脚本漏洞，反序列化漏洞等。 中危：监测站点是否有敏感数据泄漏，用户凭证明文传输，错误的安全配置等。 低危：监测站点有无TLS传输防护，cookie未受httponly保护等。 监测URL 扫描任务开始扫描的url，从该url开始访问，逐层扫描。 比如：起始url： 则: 一级链接表示： 等； 二级链接表示： 等； 三级链接表示： 等。 监测排除URL 设置不需要扫描的URL，如 http(s)://www.ctyun.cn/xxx 不进行漏洞检测。 定义HTTP头部 如果扫描域名需要登录，需要设置可获取登录凭证Header以自定义设置登录凭据。 接口扫描 如果包含API接口需要上传扫描对应的api接口文件。 监测计划 立即检测：任务创建完立即进行漏洞检测，不再重复执行检测 ； 单次：任务创建完在指定时间进行漏洞检测，检测完成即任务结束，不再重复执行检测 每天：任务创建完任务在每天指定时间进行检测 每周：任务创建完任务在指定周几的指定时间进行检测 每月：任务创建完任务在指定日期的指定时间进行检测 通知方式 支持邮件和短信通知。

此小节介绍云堡垒机的系统配置。 系统配置概述 系统配置包括安全、网络、端口、外发、认证、工单、告警、审计、HA备份等配置。为确保系统安全运行，默认仅系统管理员admin可修改系统配置，整体管理系统运行状况。 安全配置，详情请参见登录安全管理。 网络配置，详情请参见网络配置。 端口配置，详情请参见端口配置。 外发配置，详情请参见外发配置。 认证配置，详情请参见远程认证管理。 工单配置，主要介绍工单配置的基本模式、高级模式、审批流程等，详情请参考工单配置管理。 告警配置，详情请参见告警配置。 系统风格，详情请参见系统风格。 网络配置 查看系统网络配置 本小节主要介绍如何查看系统网络接口、DNS地址、默认网关地址、静态路由等信息。 前提条件 已获取“系统”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统配置 > 网络配置”，进入系统网络配置管理页面。 网络配置 3 在“网络接口列表”区域，可以查看当前云堡垒机系统的相关网络接口信息。 默认不支持修改系统网络接口。 网络接口列表 4 在“DNS配置”区域，可以查看当前云堡垒机系统的首选DNS和备用DNS地址。 默认不支持修改系统DNS地址。 系统DNS地址 5 在“默认网关”区域，可查看当前云堡垒机系统的默认网关。 默认识别DHCP网关地址，且不支持修改默认网关。 4系统默认网关 6 在“静态路由配置”区域，可查看当前系统可以访问其他网段的服务器。 静态路由

接口功能介绍 调用此接口可将弹性公网IP（Elastic IP Address，简称EIP）与相关云产品上绑定。 接口约束 EIP 需为可用状态。 EIP 可绑定到同区域的云主机、裸金属和高可用虚拟IP上。 URI POST /v4/eip/associate 请求参数 请求Body参数 参数 参数类型 是否必填 说明 示例 ::::: clientToken String 是 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池 ID projectID String 否 企业项目 ID，默认为"0" eipID String 是 绑定云产品实例的 EIP 的 ID associationID String 是 绑定的实例的 ID associationType Integer 是 绑定的实例类型：1 ECS 云主机 VM，2 VIP, 3 BM 响应参数 参数 参数类型 说明 示例 :::: statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS 请求示例 POST /v4/eip/associate 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "clientToken": "xxxx", "eipID": "eipc2f7vle3vr", "associationID": "xxxx", "associationType": 1 }

图相同账户下的VPC对等连接创建流程 不同账户下的VPC对等连接创建流程如下图所示。 创建对等连接的具体操作，请参见创建不同账户下的对等连接。 创建不同账户下的VPC对等连接时，如果在账号A下发起创建对等连接请求，需要账号B接受该请求才可以，如果账号B拒绝，则该对等连接创建失败。 图不同账户下的VPC对等连接创建流程 对等连接的使用限制 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 VPCA和VPCB之间创建对等连接，默认情况下，VPCB不能通过VPCA的EIP访问公网。您可以使用NAT网关服务或配置SNAT服务器，使得VPCB下的弹性云主机可以通过VPCA下绑定了EIP的弹性云主机访问Internet。 对等连接支持同区域下云平台的VPC与专属云（DeC）下的VPC互通。跨租户申请对等连接时，为了安全，需要从DeC端发起申请，无法从云平台的VPC发起。 对等连接支持同区域、同租户的专属云（DeC）下的VPC互通。 对等连接申请时，如果对端VPC属于某个专属云（DeC），无法跨租户申请此对等连接。

第三方软件 云堡垒机使用了以下第三方软件： 云堡垒机系统Web浏览器登录方式，建议使用如下浏览器和版本： 器 版本 说明 ::: Edge 44及以上版本 上传大文件限制：H5运维界面，文件上传到主机，支持单个文件最大4G。 Chrome 52.0及以上版本 Safari 10及以上版本 Firefox 50.0及以上版本 软件下载方式包含： 管理员用户账号成功登录云堡垒机系统后，单击桌面右上角“下载中心”， 单击相应软件下载。 运维用户账号成功登录云堡垒机系统后，单击桌面右上角“下载中心”， 单击相应软件下载。

关键操作名称 说明 实例操作 对实例进行的操作，例如实例重启，停止等。 节点操作 对实例单个节点进行的操作，如节点恢复、停止等。 白名单 实例白名单相关操作，如删除、新增、修改。 备份操作 创建备份，修改备份策略等操作。 实例参数操作 修改实例参数的操作。 实例远程操作 杀空闲连接和VACUUM表操作。 审计日志 开关、修改审计日志设置的操作。 实例用户操作 创建用户、删除用户等操作。 数据库操作 创建数据库、删除数据库等操作。 实例标签 新增实例标签、删除标签等操作。 参数模板操作 创建、修改参数模板等操作。

为什么在企业项目上进行授权后，子用户仍缺少部分权限？ 企业项目上进行授权后，代表该用户组下的子用户，对于企业项目下的资源能够拥有策略指定的权限。但是对于部分没有企业项目属性的服务，这种情况下将无法生效。例如，在企业项目上，为指定用户组A绑定策略“ecs admin”后，用户组A下的子用户能够查看企业项目下资源的云主机实例，但是使用安全组规则时仍会报错，此时是因为安全组规则不具有企业项目属性，需要额外在IAM中完成授权。IAM授权的详细步骤请参考用户组授权。 为什么在按照企业项目设置了用户组和策略，但是用户看到了不在该企业项目下的资源/按企业项目隔离用户可见资源失效？ 这种情况可能是由于在资源池/全局范围上进行了IAM授权，覆盖了企业项目授权的隔离作用。解决方案是，针对需要在企业项目上进行隔离的权限，只在企业项目上通过设置用户组和策略完成授权。例如，如果需要子用户只能看到特定企业项目下的云主机ECS，在该企业项目下，配置子用户所属的用户组，同时配置ecs admin。同时，查询该用户的资源池/全局授权情况（可以通过授权管理，或子用户查看中的权限管理查看用户和所属用户组上的权限配置），如果存在ecs admin这类云主机权限，取消该授权。最后，重新登录子用户查看是否能够隔离资源。 关于资源池/全局授权和企业项目授权之间的关系，详见IAM授权与企业项目授权。

本文主要介绍不使用SSL证书连接RabbitMQ实例。 RabbitMQ实例兼容开源协议，请参考RabbitMQ官网提供的不同语言的连接和使用向导：< 介绍VPC内访问与使用RabbitMQ方法，假设RabbitMQ客户端部署在弹性云主机上。 前提条件 参考创建实例章节创建RabbitMQ实例，并记录创建时输入的用户名和密码。 创建完成后，单击实例名称，查看并记录实例详情中的“连接地址”。 已创建弹性云主机，并且弹性云主机的VPC、子网、安全组与RabbitMQ实例的VPC、子网、安全组保持一致。 已完成JDK安装及环境变量配置。 命令模式连接实例 以下操作命令以Linux系统为例进行说明： 1、下载RabbitMQTutorial.zip示例工程代码。 2、解压RabbitMQTutorial.zip压缩包。 $ unzip RabbitMQTutorial.zip 3、进入RabbitMQTutorial目录，该目录下包含预编译好的jar文件。 $ cd RabbitMQTutorial 4、运行生产消息示例。 $ java cp .:rabbitmqtutorial.jar Send host port user password 其中，host表示RabbitMQ实例的连接地址，port为RabbitMQ实例的监听端口（默认为5672），user表示RabbitMQ用户名，password表示用户名对应的密码。 图1 运行生产消息示例 使用Ctrl+C命令退出。 5、运行消费消息示例。 $ java cp .:rabbitmqtutorial.jar Recv host port user password 其中，host表示RabbitMQ实例的连接地址，port为RabbitMQ实例的监听端口（默认为5672），user表示RabbitMQ用户名，password表示用户名对应的密码。 图2 运行消费消息示例 如需停止消费使用Ctrl+C命令退出。

本文主要介绍应用场景。 使用ELB为高访问量业务进行流量分发 对于业务量访问较大的业务，可以通过ELB设置相应的分配策略，将访问量均匀的分到多个后端主机处理。例如大型门户网站，移动应用市场等。 使用ELB消除单点故障 对可靠性有较高要求的业务，可以在负载均衡器上添加多个后端云主机。负载均衡器会通过健康检查及时发现并屏蔽有故障的云主机，并将流量转发到其他正常运行的后端云主机，确保业务不中断。例如官网，计费业务，Web业务等。

本文为您介绍如何使用虚拟IP和keepalived搭建主备双机,实现业务高可用。 虚拟IP（VIP）主要用于弹性云服务器的主备切换，达到高可用性的目的。如果主ECS实例发生故障，备用ECS实例会自动调用自身的接管程序，接管主ECS实例的虚拟IP资源及服务，实现业务高可用。 前提准备 实例镜像及vm实例已创建且能登录互通。 配置步骤 本场景整体操作流程如下： 步骤一：创建虚拟IP 虚拟IP是一种可以独立创建和释放的私网IP资源。弹性云服务器绑定虚拟IP后，弹性云服务器可以通过使用ARP协议进行该IP的宣告。 本文以可用区资源池华东1为例： 1、登录管理控制台。 2、选择“服务列表 > 网络 > 虚拟私有云”。 3、在左侧导航栏选择“子网”。 4、在“子网”列表中，单击子网名称。 5、在“虚拟IP”页签中，单击“申请虚拟IP地址”，根据界面提示配置参数。 步骤二：申请所需云资源 1、登录管理控制台。 2、选择“服务列表 > 计算 > 弹性云主机”，购买弹性云服务器。 3、选择“服务列表 > 网络 > 弹性IP”申请EIP（根据是否有访问公网业务需求来购买）。 步骤三：在主备弹性云服务器上安装keepalived 本示例介绍如何部署keepalived 和nginx进程。 1、登录ECS1实例。具体操作，请参见弹性云主机。 2、在portnouqagnspx 所在的实例中启动keepalived服务。 > 2.1 安装keepalived > yum install y keepalived > 2.2 修改配置文件，并启动服务。 > 1. vi /etc/keepalived/keepalived.conf > 2. 清除文件内容 > 3. 每个server填入各自配置 server1： ! Configuration File for keepalived globaldefs { routerid myrouter vrrpgarpinterval 3 vrrpgnainterval 3 } vrrpinstance VI1 {

参数 参数类型 说明 示例 下级对象 nodeName String 集群节点名称 ccsedemo123 nodeType Integer 节点类型，取值： 1：master 2：slave 2 nodeStatus String 节点状态，取值： normal：健康 abnormal：异常 expulsion：驱逐中 normal isSchedule Integer 是否调度，取值： 1：是 0：否 1 isEvict Integer 是否驱逐，取值： 1：是 0：否 0 createdTime String 创建时间 20230101 01:01:01 hostIp String 主机管理ip 10.10.10.10 hostExtraIpv6 String 主机业务ipv6 kubeletVersion String Kubelet 版本 1.23.3 podCidr String Pod CIDR kernelVersion String 内核版本 4.19 osImageVersion String OS 镜像 kubeProxyVersion String KubeProxy 版本 1.23.3 ecsId String 云主机ID hostType String host类型 zoneName String 可用区名称 zoneCode String 可用区编码 createUserId String 用户ID osVersion String OS 版本

本文介绍云SSO各模块的基本概念 概念 说明 企业组织 企业组织是多账号下的成员关系管理服务，可以通过创建或者邀请账号加入，构建多账号的企业中心环境。 主账号 是企业组织中的管理员账号，可以统筹管理企业组织关系内各成员账号的资源、操作权限、财务关系等。 子账号 是通过被主账号创建或者邀请加入的成员账号。 云SSO用户/用户组 是主账号创建的虚拟用户，该用户可以通过云SSO门户登录到企业组织内的成员账号中，对成员账号进行访问管理。 权限集 主账号可以为云SSO实例自定义分配指定的权限集合。 绑定权限集 为云SSO用户（组）在指定账号范围内，绑定权限集。 云SSO登录门户 云SSO用户登入URL地址： 身份同步 云SSO支持基于SCIM协议的用户和用户组同步，称为身份同步，也可以称其为身份部署或身份推送等。使用身份同步，您只需在您的企业身份管理系统中管理身份，而不必在云SSO中手工管理用户、用户组及其成员关系，提升管理效率和安全性。 单点登录（SSO） 云SSO支持基于SAML 2.0的单点登录SSO（Single Sign On）。天翼云是服务提供商（SP），而企业自有的身份管理系统则是身份提供商（IdP）。通过单点登录，企业员工可以使用IdP中的用户身份以云SSO用户身份访问天翼云。

云工作流支持的功能如下(公测版)： 功能集 功能 功能说明 参考文档 基本功能 流程（Flow） 云工作流基于CNCF ServerlessWorkflow Specification 0.8版本进行适配优化作为天翼云云工作流执行流程定义。执行流程时，云工作流执行引擎会根据流程定义解析并驱动执行相关状态流转。 一个流程通常包含若干状态（State），这些状态可以是简单的执行类状态，例如操作（Operation）、暂停（Sleep）、传递（Noop）和失败（Fail）等；也可以是复杂的流程控制类状态，例如条件分支（Switch）、并行（Parallel）和迭代（Foreach）。 流程定义介绍 创建流程 执行流程 基本功能 调度（Schedule） 云工作流调度（即触发器）是触发工作流执行的方式。在事件驱动的计算模型中，事件源是事件的生产者，工作流是事件的处理者。云工作流目前支持比较常见的触发器场景： 定时触发器、HTTP触发器、消息队列类型（Kafka、 RokectMQ）触发器， 云原生网关触发器 工作流调度简介 特性功能 标准（Standard）模式 云工作流支持创建标准（Standard）和快速（Express）两种模式的工作流。 标准（Standard）模式适用于传统意义上的离线业务流程编排执行场景，具备执行步骤状态的持久化存储，支持运行长时间的工作流执行状态流转。 快速工作流和标准工作流 特性功能 快速（Express）模式 云工作流支持创建标准（Standard）和快速（Express）两种模式的工作流。 快速（Express）模式适用于常见的在线业务流程编排和准实时业务流程编排场景，例如微服务API编排、流式数据处理等低延迟和大负载业务场景。 快速工作流和标准工作流 运维及可观测建设 工作流执行监控 工作流执行监控可对工作流的执行启动、执行成功、执行失败、执行超时以及执行过程中的状态转换和执行耗时等指标进行监控和展示。 监控指标 运维及可观测建设 审计事件 云工作流已接入审计服务，可以在云审计中查询用户操作云工作流产生的管控事件， 例如创建工作流、删除工作流以及执行工作流等。 审计事件 流程开发 工作流设计器 云工作流提供一个低代码、可视化的工作流设计器，包含cloudflow studio、 yaml以及工作流设置等功能区。可以基于cloudflow studio进行工作流可视化编排以及相关属性设置， 降低用户对流程定义语言的学习成本。 工作流设计器 集成建设 云服务优化集成 云工作流支持与天翼云多个云服务集成，允许在流程中调用这些云服务的API进行相关资源的操作，完成业务流程构建。 云工作流与云服务的集成类型包括普通集成和优化集成。普通集成是指允许云工作流直接调用云产品的OpenAPI服务接口，不对这些服务接口做任何包装处理和实现优化，基本包括了在天翼云OpenAPI门户注册的云服务OpenAPI服务接口。 优化集成是指对部分高频使用的云产品服务接口进行包装和优化处理，简化接口使用难度，方便用户集成。 集成模式 服务集成模式 函数计算集成 云工作流计集成 集成建设 云服务普通集成 普通集成是指云工作流直接通过在天翼云产品在天翼云OpenAPI门户注册的OpenAPI对外提供的服务接口进行集成调用，不对服务接口做任何特殊处理和优化。 允许云工作流通过调用弹性计算、存储服务、数据库、容器、大数据处理、中间件服务在内的多个天翼云服务的接口实现业务流程编排。 普通集成

本节包含了通用计算增强型C7弹性云主机的概述、规格。 概述 C7型云主机搭载第三代英特尔® 至强® 可扩展处理器，在性能、安全、稳定性等方面全面升级，最大核数升级至128U，内存频率升级至3200MHz，支持安全启动，提供安全可信的云上环境。 类型 CPU基频/睿频 CPU型号 C7 2.8GHz/3.5GHz 8378C 表 C7型弹性云主机的规格 规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 辅助网卡个数上限 云硬盘基础带宽/突发带宽（Gbps） 云硬盘最大IOPS（万） 虚拟化类型 c7.large.2 2 4 4/0.8 40 50 2 2 16 1.5/6 16 基于QingTian架构的极简虚拟化 c7.xlarge.2 4 8 8/1.6 80 50 2 3 32 2/6 16 基于QingTian架构的极简虚拟化 c7.2xlarge.2 8 16 15/3 150 100 4 4 64 3/6 16 基于QingTian架构的极简虚拟化 c7.3xlarge.2 12 24 17/5 200 150 4 6 96 4/6 16 基于QingTian架构的极简虚拟化 c7.4xlarge.2 16 32 20/6 280 150 8 8 128 5/6 16 基于QingTian架构的极简虚拟化 c7.6xlarge.2 24 48 25/9 400 200 8 8 192 6/无 16 基于QingTian架构的极简虚拟化 c7.8xlarge.2 32 64 30/12 550 300 16 8 256 8/无 16 基于QingTian架构的极简虚拟化 c7.12xlarge.2 48 96 35/18 750 400 16 8 256 10/无 16 基于QingTian架构的极简虚拟化 c7.16xlarge.2 64 128 36/24 1000 500 28 8 256 16/无 16 基于QingTian架构的极简虚拟化 c7.24xlarge.2 96 192 40/36 1100 800 32 8 256 20/无 22.5 基于QingTian架构的极简虚拟化 c7.32xlarge.2 128 256 42/40 1200 1000 32 8 256 24/无 30 基于QingTian架构的极简虚拟化 c7.large.4 2 8 4/0.8 40 50 2 2 16 1.5/6 16 基于QingTian架构的极简虚拟化 c7.xlarge.4 4 16 8/1.6 80 50 2 3 32 2/6 16 基于QingTian架构的极简虚拟化 c7.2xlarge.4 8 32 15/3 150 100 4 4 64 3/6 16 基于QingTian架构的极简虚拟化 c7.3xlarge.4 12 48 17/5 200 150 4 6 96 4/6 16 基于QingTian架构的极简虚拟化 c7.4xlarge.4 16 64 20/6 280 150 8 8 128 5/6 16 基于QingTian架构的极简虚拟化 c7.6xlarge.4 24 96 25/9 400 200 8 8 192 6/无 16 基于QingTian架构的极简虚拟化 c7.8xlarge.4 32 128 30/12 550 300 16 8 256 8/无 16 基于QingTian架构的极简虚拟化 c7.12xlarge.4 48 192 35/18 750 400 16 8 256 10/无 16 基于QingTian架构的极简虚拟化 c7.16xlarge.4 64 256 36/24 1000 500 28 8 256 16/无 16 基于QingTian架构的极简虚拟化 c7.24xlarge.4 96 384 40/36 1100 800 32 8 256 20/无 22.5 基于QingTian架构的极简虚拟化 c7.32xlarge.4 128 512 42/40 1200 1000 32 8 256 24/无 30 基于QingTian架构的极简虚拟化 说明 C7型云主机仅支持使用SCSI磁盘模式挂载磁盘，不支持使用VBD磁盘模式挂载磁盘。磁盘标识为wwn号。

服务名称 服务类别 关联与区别 防护对象 态势感知（专业版）（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 AntiDDoS流量清洗（AntiDDoS） 网络安全 AntiDDoS集中于异常DDoS攻击流量的检测和防御。 同步相关攻击日志、防护等数据给SA。 保障企业业务稳定性。 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略。 同步相关告警、防护等数据给SA。 保障主机整体安全性。 Web应用防火墙（独享版）（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。 同步相关入侵日志、告警数据等给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。

本节介绍了在云主机内删除文件会减少磁盘空间占用的问题。 不会。 删除文件操作相当于在需要删除的文件头部做删除标记，并不会减少磁盘本身的空间占用。

存储类名称，云硬盘必须为csidisk 表 关键参数说明 参数 描述 everest.io/reclaimpolicy: retainvolumeonly 可选字段 目前仅支持配置“retainvolumeonly” everest插件版本需 > 1.2.9且回收策略为Delete时生效。如果回收策略是Delete且当前值设置为“retainvolumeonly”删除PVC回收逻辑为：删除PV，保留底层存储卷。 failuredomain.beta.kubernetes.io/region 集群所在的region。 failuredomain.beta.kubernetes.io/zone 创建云硬盘所在的可用区，必须和工作负载规划的可用区保持一致。 volumeHandle 云硬盘的volumeID。 获取方法： 在云主机控制台，单击左侧栏目树中的“云硬盘 > 磁盘”，单击要对接的云硬盘名称进入详情页，在“概览信息”页签下单击“ID”后的复制图标即可获取云硬盘的volumeID。 everest.io/diskvolumetype 云硬盘类型，全大写。 l SAS：高I/O l SSD：超高I/O l GPSSD：通用型SSD l ESSD：极速型SSD everest.io/cryptkeyid 卷为加密卷时为必填，填写创建加密秘钥的ID。 everest.io/enterpriseprojectid 可选字段 云硬盘的企业项目ID。如果指定企业项目，则创建PVC时也需要指定相同的企业项目，否则PVC无法绑定PV。 获取方法 ：在云主机控制台，单击左侧栏目树中的“云硬盘 > 磁盘”，单击要对接的云硬盘名称进入详情页，在“概览信息”页签下找到“管理信息”中的企业项目，单击并进入对应的企业项目控制台，复制对应的ID值即可获取云硬盘所属的企业项目的ID。 persistentVolumeReclaimPolicy 集群版本号>1.19.10且everest插件版本>1.2.9时正式开放回收策略支持。 支持Delete、Retain回收策略。 Delete : l Delete且不设置everest.io/reclaimpolicy：删除PVC，PV资源与云硬盘均被删除。 l Delete且设置everest.io/reclaimpolicyretainvolumeonly：删除PVC，PV资源被删除，云硬盘资源会保留。 Retain ：删除PVC，PV资源与底层存储资源均不会被删除，需要手动删除回收。PVC删除后PV资源状态为“已释放（Released）”，不能直接再次被PVC绑定使用。 如果数据安全性要求较高，建议使用Retain 以免误删数据。

本节主要介绍主机监控 主机包括弹性云主机（ECS）、物理机。AOM既可监控通过创建CCE、ServiceStage集群时创建的主机，也可监控非CCE、ServiceStage集群环境下直接创建的主机（直接创建的主机操作系统需满足操作系统及版本，且创建后需要给主机安装ICAgent，安装操作详见安装ICAgent，否则AOM将无法监控）。同时，主机的IP地址支持IPv4、IPv6。 通过AOM您可监控主机的资源占用与健康状态，监控主机的磁盘、文件系统等常用系统设备，监控运行在主机上的业务进程或实例的资源占用与健康状态。 注意事项 一个主机最多可添加5个标签，且标签不能重复。 不同主机可添加同一个标签。 通过创建CCE、ServiceStage集群时创建的主机，不支持添加自定义集群和别名。 主机状态包含“正常”、“异常”、“亚健康”、“通道静默”、“已删除”。当网络异常、主机下电、关机等原因导致的主机异常时，或主机产生阈值告警时，主机状态为“异常”。 主机监控 步骤 1 在左侧导航栏中选择“主机监控”，查看主机列表。 为了方便您查看主机列表，您可以单击右上角图标对主机列表进行过滤显示，实现隐藏控制节点。 步骤 2 您可根据需要选择是否对主机执行如下操作： 添加别名 当主机名称过于复杂不便于识别时，您可根据需要给主机添加一个便于识别的别名。 在主机列表中，单击主机所在行“操作”列的“增加别名”进行添加。 添加标签 标签是主机的标识，通过标签您可管理主机，并对主机进行简单分类。添加标签后，您可快速识别、选择或搜索主机。 在主机列表中，单击主机所在行“操作”列的“更多>增加标签”，单击，输入标签后，单击，再单击“确定”。标签添加成功后，即可在页面右上角的搜索框中输入标签关键字进行搜索。主机列表的“标签”列默认隐藏，您可单击右上角的，通过选中或取消选中“标签”前的复选框，自定义其展示与隐藏。 步骤 3 设置搜索条件搜索待监控的主机。 步骤 4 单击主机名称，进入“主机详情”页面，在列表中可监控运行在主机上实例的资源占用与健康状态，单击“监控视图”页签，可监控该主机的各种指标。 步骤 5 监控主机的显卡、网卡等常用系统设备。 单击“显卡”页签，在列表中可查该主机显卡的基本信息，单击显卡名称，可在“监控视图”页面监控该显卡的各种指标。 单击“网卡”页签，在列表中可查看该主机网卡的基本信息，单击网卡名称，可在“监控视图”页面监控该网卡的各种指标。 单击“磁盘”页签，在列表中可查看该主机磁盘的基本信息，单击磁盘名称，可在“监控视图”页面监控该磁盘的各种指标。 单击“文件系统”页签，在列表中可查看该主机文件系统的基本信息，单击磁盘文件分区名称，可在“监控视图”页面监控该文件系统的各种指标。 单击“告警分析”页签，在列表中可查看该主机的相关告警信息。

本章节介绍Web应用防火墙与其他云服务的关系。 与弹性云主机的关系 Web应用防火墙为弹性云主机提供Web安全防护服务。 与云审计的关系 云审计（CloudTrace Service，CTS）记录了Web应用防火墙相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的WAF操作列表： 操作名称 资源类型 事件名称 创建Web应用防火墙防护实例 instance createInstance 删除Web应用防火墙防护实例 instance deleteInstance 更新Web应用防火墙防护实例 instance alterInstanceName 修改Web应用防火墙防护实例的防护状态 instance modifyProtectStatus 修改Web应用防火墙防护实例的接入状态 instance modifyAccessStatus 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy 添加证书 certificate createCertificate 修改证书名称 certificate modifyCertificate 删除证书 certificate deleteCertificate 创建CC规则 policy createCc 修改CC规则 policy modifyCc 删除CC规则 policy deleteCc 创建精准防护规则 policy createCustom 修改精准防护规则 policy modifyCustom 删除精准防护规则 policy deleteCustom 创建IP黑白名单规则 policy createWhiteblackip 修改IP黑白名单规则 policy modifyWhiteblackip 删除IP黑白名单规则 policy deleteWhiteblackip 创建/刷新网页防篡改规则 policy createAntitamper 删除网页防篡改规则 policy deleteAntitamper 创建误报屏蔽规则 policy createIgnore 删除误报屏蔽规则 policy deleteIgnore 创建隐私屏蔽规则 policy createPrivacy 修改隐私屏蔽规则 policy modifyPrivacy 删除隐私屏蔽规则 policy deletePrivacy

怎么保证检测的漏洞的准确性？ 漏洞的检测方式为版本比对和POC验证两种方式。 版本比对：通过获取应用的安装包版本和进程版本，将其与应用的漏洞版本进行比对。 POC验证：对漏洞逐个进行分析，根据漏洞原理编写对应的漏洞验证脚本，逐个漏洞进行检测。 是否可以对内网主机进行监测防护？ 安装服务器安全卫士Agent需要能通过公网连通服务器安全卫士服务端，如果是内网环境的话，可以选择一台CentOS 7的主机做代理机进行安装，代理机需要能同时连通服务端和内网主机。 Agent与Server之间的通信使用哪些端口？ 需放开80/8001/8002/8443/6677/7788端口。 Agent如何增强自身安全性？ Agent自身安全性，采用加壳技术反调试、抗逆向，共享库防篡改，采用签名进行升级保护。 Agent多锚点入侵检测，及时发现和处理黑客攻击，一般不会被黑客获取到kill掉Agent的权限。 服务端对于Agent离线、卸载、频繁掉线有监控和告警。 Agent与服务端通信加密、数据加密，黑客即使拿下Agent也不会获取主机数据。 服务端是否有登录失败处理功能？ 服务端具有登录失败处理功能，默认登录失败5次，则会封停15分钟。 服务器端产生的日志存储机制？ 服务端java应用产生日志默认会保留180天 日志路径：/data/titanlogs/java/ 日志限制： 每个服务每类日志（request.log/info.log/warn.log/error.log/lib.log）每个日志文件最大为100MB，超过100MB会滚动下一个日志文件记录。 单类日志总的日志大小限制为10GB，超过限制的会删除最早产生的日志。 服务端每类日志理论上占用10GB，一个服务理论最大占用50GB，总共大约占用为200G。

本节介绍如何为Web应用防火墙v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 Web应用防火墙设备开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 Web应用防火墙开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的Web应用防火墙、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启Web应用防火墙系统 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 重启”。 登录Web应用防火墙界面 在云等保专区左侧导航栏，选择“Web应用防火墙”，在目标资源右侧操作列单击“配置”，进入Web应用防火墙界面。 开启IPv6防护 开通Web应用防火墙v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

本节介绍云容器引擎的最佳实践:操作系统升级。 操作系统升级指允许对集群中的工作节点进行操作系统版本升级。 升级方式 开通新集群 新建节点池并扩容 更换节点池操作系统 使用须知 通过更换节点池操作系统方式来升级操作系统采用节点重置方式实现，节点重置有关注意事项如下： 重置节点将对节点操作系统进行重置安装，节点上已运行的工作负载业务将会中断，请在业务低峰期操作。 节点重置后系统盘，挂载kubelet、containerd的数据盘将会被清空，重置前请事先备份重要数据。 用户节点如果有自行挂载了数据盘，重置完后会清除挂载信息，请事先备份重要数据，重置完成后请重新执行挂载行为，数据不会丢失。 节点上的工作负载实例的IP会发生变化，但是不影响容器网络通信。 操作过程中，后台会把当前节点设置为不可调度状态。 节点重置会清除用户单独添加的K8S标签和污点（通过节点池编辑功能添加的标签、污点不会丢失），可能导致与节点有绑定关系的资源（本地存储，指定调度节点的负载等）无法正常使用。请谨慎操作，避免对运行中的业务造成影响。 重置节点会导致与节点关联的localpv类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。重置节点时使用了本地持久存储卷的Pod会从重置的节点上驱逐，并重新创建Pod，Pod会一直处于 pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为PVC对应的底层逻辑卷已经不存在了。 重置节点使用的相关配置是节点所在节点池的最新配置。 更多升级节点池和节点重置相关内容请参见升级节点池 、节点重置。

请求示例 请求url /v4/monitor/taskcenter/querytask?regionID81f7728662dd11ec810800155d307d5b&namemytask&pageNo1&pageSize10 请求头header 无 请求体body 无 响应示例 json { "statusCode":800, "errorCode":"", "message":"Success", "msgDesc":"成功", "returnObj":{ "taskList":[ { "name":"数据导出任务A", "description":"用于导出云主机7月份历史数据", "service":"ecs", "dimension":"ecs", "dimensions":[ { "name":"uuid", "value":[ "1234", "5678" ] } ], "itemNameList":[ "cpuutil", "memutil" ], "aggregateType":[ "avg" ], "startTime":1692812541, "endTime":1692842541, "period":3600, "createTime":1692842341000, "updateTime":1692842441000, "status":1, "process":66, "msg":"" }, { "name":"数据导出任务B", "description":"用于导出云主机8月份历史数据", "service":"ecs", "dimension":"ecs", "dimensions":[ { "name":"uuid", "value":[ "1234", "5678" ] } ], "itemNameList":[ "diskwritebytesrate" ], "aggregateType":[ "max" ], "startTime":1693812541, "endTime":1693842541, "period":7200, "createTime":1693842341000, "updateTime":1693842441000, "status":3, "process":0, "msg":"导出数据失败，请重试" } ], "totalCount":2, "totalPage":1, "currentCount":2 } 状态码 状态码 描述 200 请求成功

安全体检连通性检测说明。网络不可达将导致体检失败，请您根据以下提示对体检IP展开全面检测。 体检IP连通性检测是开始体检任务前的一项重要工作。体检IP与体检引擎互联网IP网络不通将会导致体检失败。 您可以点击体检IP列表右上角“检测联通性”，检测所有体检IP与体检引擎互联网IP的网络连通性。 当单个体检IP网络不可达时，您可以点击此体检IP的刷新按钮，完成单个IP的检测。 注意 当前体检引擎IP到此IP地址网络不可达，建议您检查： 1. 安全组策略是否限此IP访问。 2. 防火墙配置是否限制此IP访问。 3. 体检引擎互联网IP是否添加至白名单。 4. 此弹性IP是否正确绑定云主机。 5. 云主机是否正常开机。

本文主要介绍了合同管理的常见问题。 电子版合同显示验证签名错误，应该怎么处理? 要支持国密算法的阅读器才可以正常解析签章（大背景是国家号召关键技术自主可控，也就是信创），推荐支持sm1/2/3/4国密算法的阅读器。可尝试下福昕办公PDF软件。 申请电子合同，确认选择订单时未显示已完成的预付费订单？ 订单完成需要满24小时后显示，建议用户耐心等待。 由于下一代防火墙需要绑定云主机才可以下待付订单，没办法申请请款合同，请问怎么解决这类问题？ 需要先开通云主机，然后申请请款合同。 官网申请电子合同时，甲方抬头系统默认为实名认证名称，如何将甲方抬头更改成企业的名称？ 合同抬头默认与实名认证名称一致的，建议更改实名认证信息后尝试重新申请。

修改弹性伸缩组的云主机回收方式 接口功能介绍 修改弹性伸缩组的云主机回收方式 接口约束 无 URI POST /v4/scaling/group/updaterecoverymode 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b groupID 是 Integer 伸缩组ID 540 recoveryMode 是 Integer 实例回收模式。取值范围：1：释放模式。 1 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回码：800表示成功，900表示失败 800 errorCode String 业务细分码，为product.module.code三段式码 Scaling.Group.NotFound 错误码 message String 失败时的错误描述，一般为英文描述 scaling group info not found description String 失败时的错误描述，一般为中文描述 未找到弹性伸缩组信息 returnObj Object 成功时返回的数据，参见表returnObj returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 groupID Integer 伸缩组ID 540 请求示例 请求头header 无 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "groupID": 540, "recoveryMode": 1 }

本章节会介绍如何通过公网连接数据库实例。 准备工作 通过公网地址连接关系型数据库实例，需具备以下条件。 先对关系型数据库实例绑定公网地址。 保证本地设备可以访问关系型数据库实例绑定的公网地址。 在弹性云主机或可访问关系型数据库的设备上，安装PostgreSQL客户端。 普通连接 步骤 1 登录弹性云主机或可访问关系型数据库的设备。 步骤 2 执行如下命令连接关系型数据库实例。 psql noreadline U h p d W 表 参数说明 参数 说明 : 用户名，即关系型数据库帐号（默认管理员帐号为root）。 主机IP，在“实例管理”页面单击实例名称，进入“基本信息”页面。在“弹性公网IP”页签查看弹性公网IP（通过连接了公网的设备访问）。 端口，默认5432，当前端口，即在“实例管理”页面单击实例名称，进入“基本信息”页面，“连接信息”模块的“数据库端口”。 需要连接的数据库名，默认的管理数据库是postgres。 W是强制用户输入连接密码选项，上述命令执行后，根据提示输入密码。 示例如下： 使用root用户连接postgres数据库实例： psql noreadline U root h 192.168.0.44 p 5432 d postgres W

云日志服务可以采集的日志类型 主机日志，通过ICAgent采集器进行采集。 云服务日志，需要到对应的云服务上启用日志上报。 云日志服务支持采集的文件类型（文件扩展名） 采集路径如果配置的是目录，示例：/var/logs/，则只采集目录下后缀为“.log”、“.trace”和“.out”的文件；如果配置的是文件名，则直接采集对应文件，只支持文本类型的文件，日志的时间（东八区 UTC/GMT+08:00）必须是最近7天以内的。

本章节主要介绍ALM24014 Flume MonitorServer证书文件即将过期的告警。 告警解释 MonitorServer每隔一个小时，检查当前MonitorServer证书文件是否即将过期，如果剩余有效期小于或等于30天，产生该告警。剩余有效期大于30天，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24014 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 MonitorServer证书文件即将失效，对系统目前运行无影响。 可能原因 MonitorServer证书文件即将到期。 处理步骤 查看告警信息 1.登录FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM24014 MonitorServer证书文件即将过期 > 定位信息”。查看告警上报的实例的IP地址。 检查系统中合法证书文件的有效期，重新生成证书文件 2.以root用户登录告警所在节点主机，并执行su omm切换用户。 3.执行命令进入MonitorServer证书目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/conf 4.执行命令查看用户证书的生效时间与失效时间。 openssl x509 noout text in mssChat.crt 5.根据需要，选择业务空闲期，执行步骤6~步骤7更新证书。 6.执行以下命令进入Flume脚本目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/bin 7.执行以下命令重新生成证书，等待1小时，观察此告警是否被清除。 sh geneJKS.sh m sKitty12@ n cKitty12@ 是，执行步骤9。 否，执行步骤8。 8.使用omm用户在Flume实例产生告警的节点，重复执行步骤6~步骤7，等待1小时，观察此告警是否被清除。 是，执行步骤9。 否，执行步骤10。 9.查看系统在定时检查时是否会再次产生此告警。 是，执行步骤10。 否，处理完毕。

接口功能介绍 导出指定时间段内的云主机时序指标监控数据，导出格式为csv文件。 接口约束 regionID（资源池）、deviceUUIDList（云主机资源）、itemNameList（待查监控项名称）存在。 URI POST /v4/monitor/exportvmhistorymetricdata 请求参数 请求体body参数 参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b 资源池ID itemNameList Array of String 是 ["cpuutil"] 待查的监控项名称 startTime String 是 1667815639 查询起始时间戳 endTime String 是 1667817639 查询结束时间戳 deviceUUIDList Array of String 是 ["000f03221f4d8cc8bb2e1c30fb751aa5"] 查询设备ID列表 period Integer 否 300 聚合周期，单位：秒，默认300 响应参数 根据请求参数导出监控数据为csv文件。 文件内容按照设备deviceUUID分隔，不同设备的数据以栏（多个行）为单位竖向排列。 同一设备的不同指标，按照时间戳横向排列，无数据则为空。 请求失败，返回参数参考历史监控数据查询系列接口。 请求示例 POST /v4/monitor/exportvmhistorymetricdata 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "startTime": "1667815639", "endTime": "1667817639", "itemNameList": [ "cpuutil", "diskwritebytesrate" ], "deviceUUIDList": [ "000f03221f4d8cc8bb2e1c30fb751aa5" ] }

操作场景 本节操作介绍Linux云服务器切换密钥登录为密码登录的操作步骤。 操作步骤 1. 使用root身份编辑Linux云服务器的ssh配置文件。 su root vim /etc/ssh/sshdconfig 修改如下配置项： –把PasswordAuthentication no 改为 PasswordAuthentication yes。 –把PermitRootLogin no 改为 PermitRootLogin yes。 2. 重启sshd服务使配置生效，并查看服务状态。 systemctl restart sshd systemctl status sshd 3. 设置root密码，然后就可以通过密码远程登录云主机。 passwd root

本页介绍天翼云TeleDB数据库实例监控相关操作。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树上，选择监控中心 > 实例监控 ，进入监控列表页面。 > 您可以在实例监控列表中，查看实例名称、实例状态等信息。 > 支持选择时间区间，以展示对应主机监控信息。 3. 查看实例监控指标 > 在实例监控列表中，找到目标实例，单击操作 列的监控指标 。您可以查看目标实例的监控图表集合，支持通过选择时间查询时间段内的监控图表。