云服务器内容精选

  • IP白名单格式 IP白名单支持IPv4和IPv6,有3种格式,如下表所示。 表1 IP白名单格式 格式 说明 单个IP 这是最简单的一种IP白名单格式,如将您的个人家庭电脑的IP添加到白名单中,比如:100.*.*.123。 IP范围 当您拥有不止一台服务器而且IP段是连续的,或者您的IP会在一个网段内动态变化,这时您可以添加一个IP白名单范围,比如:100.*.*.0 - 100.*.*.255。 CIDR格式(无类别域间路由) 当您的服务器在一个局域网内并使用CIDR路由时,您可以指定局域网的32位出口IP以及一个指定网络前缀的位数。 从同一个IP发起的请求,只要网络前缀同您设定的前缀部分相同,即可视为来自同一授信范围从而被接受。
  • 前提条件 已获取证书,并下载签发证书。 推荐您通过 云证书管理服务 (Cloud Certificate Manager,CCM)购买签发证书,CCM证书申请流程请参见CCM快速入门,下载签发证书后,并转换证书格式为jks格式,具体的操作请参见转换证书格式。 该证书文件大小不超过20KB,且证书文件包含证书密码。 上传证书绑定的 域名 已解析到绑定 堡垒机 实例的弹性公网IP,具体的操作请参见增加A类型记录集。 用户已获取“系统”模块管理权限。
  • 操作步骤-手机端 登录手机app端,在APP首页,点击下方“+”进入快捷入口,选择“创建工作票” ,进入许可创建入口 图5 加号中工作票入口 在许可创建页面,选择许可场景,点击“确认”进入下一个页面。 图6 选择许可场景 在新页面中填写许可单内容 图7 创建工作票编辑内容 表1 填写许可单详细字段 输入项 输入项说明 场景 创建时,首先选择场景 关联任务 非必填,可选择一个我的待办任务 组织单元 选择完关联任务,会带出组织单元 工作票名称 手工输入 工作票编号 手工录入 工作负责人 任务中创建,选择任务后自动带出。 工作票各个阶段的配置数据 需要具体作业的内容,如文本、枚举、照片、签名、录音、整数、小数、文件、图片/视频等等 基础信息填写完成后,在“签发流程”卡片内维护签发流程 表2 选择签发方式 方式1 选择审批流 方式2 创建签发人 点击“维护签发”进入下一页 图8 维护签发 选择审批流,若没有合适的审批流,点击“维护审批人”并进入 图9 选择审批流 在维护审批人页面,配置审批模式,选择对应的审批人,点击确认。 图10 选择审批人 配置完签发流程后,点击“提交”完成许可创建 图11 把签发人带过来 若不需要签发,直接点击“保存”或“提交”即可
  • 什么是主机安全 主机安全服务(Host Security Service,HSS)是提升服务器整体安全性的服务,通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能,可全面识别并管理云服务器中的信息资产,实时监测云服务器中的风险,降低服务器被入侵的风险。 使用主机安全需要在云服务器中安装Agent。安装Agent后,您的云服务器将受到HSS云端防护中心全方位的安全保障,在安全控制台可视化界面上,您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。
  • 怎样使用主机安全服务 您在使用主机安全服务前,需要先在弹性云服务器上安装Agent。针对新创建的云服务器和已有的云服务器,提供不同的安装方式: 场景一:新创建云服务器 购买弹性云服务器,选择部分操作系统的公共镜像时,系统推荐您配套使用主机安全服务(Host Security Service, HSS)。 开启“主机安全”需要设置“安全防护”参数: 免费试用一个月主机安全基础防护:开启后, 免费体验 HSS基础版30天,为您的主机提供操作系统漏洞检测、弱口令检测、暴力破解检测等功能。 主机安全基础防护免费使用期限结束后,该防护配额将自动释放,停止相应的实时防护能力。 如您需要保留或升级原有安全防护能力,建议您购买高阶防护。详细情况,请参见主机安全的免费试用HSS基础版到期后怎么办?。 购买弹性云服务器时,默认设置该选项。 购买高阶防护:高阶防护支持基础版、企业版、旗舰版和网页防篡改版,需付费使用。 购买后您可以在主机安全服务控制台切换不同版本。各版本之间的差异请参考服务版本差异。 不使用安全防护:若您不需要进行安全防护,可选择此选项。 选择主机安全后系统自动安装主机安全Agent,开启账号防御,启用主机安全服务的功能。 若基础版或企业版不满足要求,您可以购买其他版本配额,在主机安全服务控制台切换不同版本,获取更高级的防护,且不需要重新安装Agent。 图1 开通主机安全 场景二:未配置主机安全的云服务器 对于已经创建完成的弹性云服务器,可能由于创建时尚未支持主机安全服务或未设置“安全防护”参数。如需使用主机安全,您需要手动安装Agent。 具体操作请参见手动安装Agent、手动开启防护。
  • 操作步骤 登录主管理节点。 执行以下命令切换用户: sudo su - root su - omm 执行以下命令在主管理节点“${ OMS _RUN_PATH}/workspace0/ha/local/cert”目录生成“root-ca.crt”和“root-ca.pem”: sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=country --state=state --city=city --company=company --organize=organize --common-name=commonname --email=管理员邮箱 --password=password 命令中如果携带认证密码信息可能存在安全风险,在执行命令前建议关闭系统的history命令记录功能,避免信息泄露。 提示以下信息表示命令执行成功: Generate root-ca pair success. 在主管理节点以“omm”用户执行以下命令,复制“root-ca.crt”和“root-ca.pem”到“${BIGDATA_HOME}/om-0.0.1/security/certHA”目录。 cp -arp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* ${BIGDATA_HOME}/om-0.0.1/security/certHA 使用“omm”用户将主管理节点生成的“root-ca.crt”和“root-ca.pem”复制到备管理节点“${BIGDATA_HOME}/om-0.0.1/security/certHA”目录。 执行以下命令,生成HA用户证书并自动替换。 sh ${BIGDATA_HOME}/om-0.0.1/sbin/replacehaSSLCert.sh 根据提示信息输入password,并按回车键确认。 Please input ha ssl cert password: 界面提示以下信息表示HA用户证书替换成功: [INFO] Succeed to replace ha ssl cert. 执行以下命令,重启OMS。 sh ${BIGDATA_HOME}/om-0.0.1/sbin/restart-oms.sh 界面提示以下信息: start HA successfully. 登录备管理节点并切换到omm用户,重复6~7。 执行sh ${BIGDATA_HOME}/om-0.0.1/sbin/status-oms.sh,查看管理节点的“HAAllResOK”是否为“Normal”,并可以重新访问 MRS Manager表示操作成功。
  • 邮件审核 邮件审核:使用邮箱时,常有发送含有商业机密或其他敏感信息的邮件,管理员可设定对应的审核规则,由审核员人工审核或系统自动审核,判定是否允许发送,以此避免机密信息外泄。员工接收邮件时,管理员也可设定审核规则,系统自动审核或人工审核后,再允许员工接收或直接退信。 包含网页端邮件及绑定第三方客户端使用的邮件往来。创建对应的审核规则后,审核对象若触发设定的规则,则其邮件会发送至审核员的邮件,待人工审核或系统自动审核后该邮件方可发送或被接收。 创建邮件审核:需填写审核规则名称、审核对象,审核员(审核员可填写多个,其中一个审核员决策即可),具体的审核规则,如选择审核范围(站内范围指的是所有在华为云 企业邮箱 上开通邮箱的用户邮件往来)、触发条件(可选择全部邮件/同时满足所有条件/满足条件之一)、是否含有附件。 如需支持系统自动审核或更多设置,可开启高级配置。开启后,需满足上方设定的审核规则后方可触发高级配置。高级配置中,可设定审核规则的发件人及收件人,支持系统自动审核或人工审核(审核员为上方填写审核信息中的审核员)。 收件人和发件人填写规则:(说明:以下双引号" "仅作为引用,配置时无需包含) 1)收件人匹配,默认包括收件人、抄送、密送 2)" * "代表所有用户 3)" name@domain.com "代表name@domain.com指定用户 4)" domain.com "代表domain.com内的所有用户 5)" .domain.com "代表domain.com及domain.com子域名的所有用户 6)" domain.com,~test@domain.com "部分取反操作,如果邮件地址或域名前面有字符"~",则表示排除指定的那一部分用户。上面的表达式表示domain.com中除了test@domain.com的所有用户匹配 7)" !uid1@domain.com, uid2@domain.com " 全部取反操作(所填范围的补集," ! "只能出现在首位,在其他位置非法)。如:" !1@1.com, 2@2.com, 3@3.com "则表示除" 1@1.com, 2@2.com, 3@3.com "外的所有用户都匹配该规则 邮件审核通知: 如审核对象触发了某项审核规则(如发送的邮件满足审核规则),则审核对象会收到待审核邮件的通知(如有多个收件人,则对应有多封待审核邮件通知)。 对于审核对象(审核其发送的邮件时),用户也可在已发送的邮件详情中,查看投递状态仍为“待审核”状态。待审核决策后(同意/拒绝后),系统会更新投递状态。如拒绝则会有退信给发件方。 审核员收到待审核的邮件内容,邮件主题、收发件人及正文都为待审核邮件的内容。审核员在主题下方可选择审核决策,同意或者拒绝。如同意后,则该邮件即可成功发送/接收。 如使用第三方客户端,审核员可通过查看附件的原邮件(待审核邮件),随后决策是否同意发送/接收。 如在一定时间内(审核规则设定的审核等待时间)审核员仍为审核,则系统将自动拒绝。如果审核员拒绝,点击拒绝后,可填写拒绝理由,则对应退信原因中,会展示该拒绝理由。 审核记录:管理员可查看所有审核的记录。如一封邮件有多个收件人,则一个收件人则对应有一条待审核记录。后续有审核结果后,也对应生成相应的审核结果。 待审核邮件:管理员可查看所有待审核的邮件记录,根据审核对象的完整邮箱地址或邮件主题进行查询。 父主题: 安全管理
  • 监控看板查看 进入智能监控页面 点击右上角 图标切换到“监控看板”(默认展示监控看板模式,退出再进入默认显示上次退出模式) 查看设备状态信息,页面支持进入时默认选中上次已选择的设备 左下角可设置分屏数量,例如“3X3”表示一屏展示9个 图1 智能安监监控看板模式 表1 监控看板模式操作说明 操作 说明 展开、收起左侧菜单栏 左侧侧边栏默认收起,以便查看列表信息。此处支持展开查看设备树信息, 展开、收起头部菜单栏 左侧侧边栏支持折叠收起,以便查看列表信息 离线设备不能操作,设备在线则显示“呼叫”, 点击可呼叫设备实时视频 频在线则显示“接入视频” 点击可进入视频页面查看设备实时视频 点击后通过消息接入该 视频直播 会议;可实现双方语音实时对话沟通 点击“…”图标,显示悬浮菜单“锁定、置顶、左转、右转、关视频” 锁定:该设备窗口固定在此位置 置顶:该设备窗口显示在非锁定窗口的最前排位置 左转、右转:控制窗口方向 关视频:不显示视频内容(虚拟设备无此选项) 选择锁定后,出现“图钉” 点击“取消锁定”,该窗格解除锁定 选择悬浮后,出现“置顶” 点击“取消置项”,该窗格解除置顶 重置布局 点击后,分屏设置初始到3*3模式,当有摄像头时初始化为2*2 点击时取消举手、取消SOS、取消AI告警 调整面板一屏显示视频的数量,可选样式如下:1X1,1X2,1X3,2X1,2X2,3X2,3X3,3X4,4X4
  • 操作步骤–电脑端分享视频直播 进入智能监控页面 点击右上角 “接入”或“呼叫”进入直播页面 点击“分享给他人”弹出框选择人员后点“确定”即完成视频的分享功能 接收分享的用户登录ISDP+平台,在消息中心找到分享消息,点击“点此进入”文字链接即可进入直播观看 图1 视频直播分享入口 图2 视频直播选择接收分享的人 图3 接收分享的人通过消息进入 步骤5:接收分享的用户,登录ISDP+ APP消息中心,在视频邀请消息找到“分享视频直播”消息卡片,即可进入直播观看。 图4 消息中心 图5 视频邀请消息 图6 接收分享的人通过消息,进入直播画面
  • 操作步骤 登录记录仪,首页可查看到待办问题。 图1 旭信记录仪首页 问题处理人/协同人,通过设备右上角“轻触切换”物理按键,切换选中一个待办问题,再“长按确认”可进入问题详情页; 图2 协同人问题详情页 图3 处理人问题详情页 处理人/协同人,在问题详情页时,必须采集一张视频、照片、音频附件才可提交(采集视频、照片、音频时,问题创建采集一致,详见11.25章) 图4 未采集附件时提示 当处理人/协同人采集完视频、照片、音频附件,即可提交。 图5 反馈进展提交 作为问题处理人,采集完视频、照片、音频附件,还可申请关闭问题。 图6 申请关闭
  • 约束与限制 开启“获取客户端IP”之后,不支持同一台服务器既作为后端服务器又作为客户端的场景。 如果后端服务器和客户端使用同一台服务器,且开启“获取客户端IP”,则后端服务器会根据报文源IP为本地IP判定该报文为本机发出的报文,无法将应答报文返回给ELB,最终导致回程流量不通。 开启此功能后,执行后端服务器迁移任务时,可能出现流量中断(例如单向下载、推送类型的流量)。所以后端服务器迁移完成后,需要通过报文重传来恢复流量。 通过跨VPC后端功能添加的后端服务器,默认开启的获取客户端IP功能会失效。请使用TOA模块获取客户端IP地址。
  • 安全策略差异说明 表2 安全策略差异说明 安全策略 tls-1-0 tls-1-1 tls-1-2 tls-1-0-inherit tls-1-2-strict tls-1-0-with-1-3 tls-1-2-fs-with-1-3 tls-1-2-fs hybrid-policy-1-0 TLS 协议 Protocol-TLS 1.3 - - - - - √ √ √ - Protocol-TLS 1.2 √ √ √ √ √ √ √ √ √ Protocol-TLS 1.1 √ √ - √ - √ - - √ Protocol-TLS 1.0 √ - - √ - √ - - - 加密套件 EDHE-RSA-AES128-GCM-SHA256 √ √ √ - √ - - - - ECDHE-RSA-AES256-GCM-SHA384 √ √ √ √ √ √ √ √ √ ECDHE-RSA-AES128-SHA256 √ √ √ √ √ √ √ √ √ ECDHE-RSA-AES256-SHA384 √ √ √ √ √ √ √ √ √ AES128-GCM-SHA256 √ √ √ √ √ √ - - √ AES256-GCM-SHA384 √ √ √ √ √ √ - - √ AES128-SHA256 √ √ √ √ √ √ - - √ AES256-SHA256 √ √ √ √ √ √ - - √ ECDHE-RSA-AES128-SHA √ √ √ √ - √ - - √ ECDHE-RSA-AES256-SHA √ √ √ √ - √ - - √ AES128-SHA √ √ √ √ - √ - - √ AES256-SHA √ √ √ √ - √ - - √ ECDHE-ECDSA-AES128-GCM-SHA256 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES128-SHA256 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES128-SHA √ √ √ √ - √ - - √ ECDHE-ECDSA-AES256-GCM-SHA384 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES256-SHA384 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES256-SHA √ √ √ √ - √ - - √ ECDHE-RSA-AES128-GCM-SHA256 - - - √ - √ √ √ √ TLS_AES_256_GCM_SHA384 - - - - - √ √ √ - TLS_CHACHA20_POLY1305_SHA256 - - - - - √ √ √ - TLS_AES_128_GCM_SHA256 - - - - - √ √ √ - TLS_AES_128_CCM_8_SHA256 - - - - - √ √ √ - TLS_AES_128_CCM_SHA256 - - - - - √ √ √ - DHE-RSA-AES128-SHA - - - √ - - - - - DHE-DSS-AES128-SHA - - - √ - - - - - CAMELLIA128-SHA - - - √ - - - - - EDH-RSA-DES-CBC3-SHA - - - √ - - - - - DES-CBC3-SHA - - - √ - - - - - ECDHE-RSA-RC4-SHA - - - √ - - - - - RC4-SHA - - - √ - - - - - DHE-RSA-AES256-SHA - - - √ - - - - - DHE-DSS-AES256-SHA - - - √ - - - - - DHE-RSA-CAMELLIA256-SHA - - - √ - - - - - ECC-SM4-SM3 - - - - - - - - √ ECDHE-SM4-SM3 - - - - - - - - √
  • 收发限制 收发限制:为保护企业信息安全,避免机密外泄,管理员可限制具体成员或某域名下的所有成员仅于组织内收信/发信,或仅于站内收信/发信(站内范围指仅限于所有在华为云企业邮箱上开通邮箱的组织成员可互通邮件) 创建收发限制:可选择限制收发的范围(仅于组织内发信、仅于组织内收信、仅于站内发信、仅于站内收信)、限制的用户(某域名下的所有用户、自定义组织内用户) 限制用户:若发信人或收件人被限制收发件时,则发送时,则提示如下: 父主题: 安全管理
  • 用户组信息 默认用户组 描述 supergroup admin用户的主组,在关闭Kerberos认证的集群中没有额外的权限。 check_sec_ldap 用于内部测试主LDAP是否工作正常。用户组随机存在,每次测试时创建,测试完成后自动删除。系统内部组,仅限组件间内部使用。 Manager_tenant 租户系统用户组。系统内部组,仅限组件间内部使用,且仅在已启用Kerberos认证的集群中使用。 System_administrator MRS集群系统管理员组。系统内部组,仅限组件间内部使用,且仅在已启用Kerberos认证的集群中使用。 Manager_viewer MRS Manager系统查看员组。系统内部组,仅限组件间内部使用,且仅在已启用Kerberos认证的集群中使用。 Manager_operator MRS Manager系统操作员组。系统内部组,仅限组件间内部使用,且仅在已启用Kerberos认证的集群中使用。 Manager_auditor MRS Manager系统审计员组。系统内部组,仅限组件间内部使用,且仅在已启用Kerberos认证的集群中使用。 Manager_administrator MRS Manager系统管理员组。系统内部组,仅限组件间内部使用,且仅在已启用Kerberos认证的集群中使用。 compcommon MRS集群系统内部组,用于访问集群公共资源。所有系统用户和系统运行用户默认加入此用户组。 default_1000 为租户创建的用户组。系统内部组,仅限组件间内部使用。 launcher-job MRS系统内部组,用于使用V2接口提交作业。 操作系统用户组 描述 wheel MRS集群系统内部运行用户“omm”的主组。 ficommon MRS集群系统公共组,对应“compcommon”,可以访问集群在操作系统中保存的公共资源文件。
  • 系统用户 MRS集群需要使用操作系统中ldap用户,此账号不能删除,否则可能导致集群无法正常工作。密码管理策略由操作用户维护。 首次修改“ommdba”和“omm”密码需执行重置密码操作。找回密码后建议定期修改。 类别 用户名称 初始密码 描述 MRS集群系统管理员 admin 在集群创建时由用户指定。 MRS Manager的管理员。 此外还具有以下权限: 具有HDFS、ZooKeeper普通用户的权限。 具有提交、查询Mapreduce、YARN任务的权限,以及YARN队列管理权限和访问YARN WebUI的权限。 Storm中,具有提交、查询、激活、去激活、重分配、删除拓扑的权限,可以操作所有拓扑。 Kafka服务中,具有创建、删除、授权、Reassign、消费、写入、查询主题的权限。 MRS集群节点操作系统用户 omm 系统随机生成 MRS集群系统的内部运行用户。在全部节点生成,属于操作系统用户,无需设置为统一的密码。 MRS集群节点操作系统用户 root 用户设置的密码。 MRS集群所属节点的登录用户。在全部节点生成,属于操作系统用户。