华为云用户手册

工作负载基本概念 无状态工作负载（即Kubernetes中的Deployment）：实例之间完全独立、功能相同，具有弹性伸缩、滚动升级等特性。如：nginx、wordpress，创建无状态工作负载请参见创建无状态工作负载。 有状态工作负载（即Kubernetes中的StatefulSet）：实例之间不完全独立，具有稳定的持久化存储和网络标示，以及有序的部署、收缩和删除等特性。如：mysql-HA、etcd，创建有状态工作负载请参见创建有状态工作负载。 守护进程集（即Kubernetes中的DeamonSet）：在集群的每个节点上运行一个Pod，且保证只有一个Pod，适合一些系统层面的应用，如日志收集、资源监控等，创建守护进程集请参见创建守护进程集。

GitOps优势 简单易学：Git易于被开发者接受，易于集成，无需额外学习成本。 安全性高：开发者使用GitOps无需任何Kubernetes集群权限，仅需要Git仓库权限，保证集群安全可靠。 可靠性强：提供原生Kubernetes资源、Helm Chart资源、Kustomize等资源交付清单的版本管理，方便用户进行部署应用、增量变化和应用配置的回滚。 应用持续部署：Kubernetes集群和Git仓库中的应用状态自动同步，保持一致，实现应用持续部署。

GitOps实现方式 开发运维人员基于Git工作流，可将现有流程，从应用开发扩展到到部署、应用生命周期管理和基础架构配置，开箱即用，客户无须运维Gitops工具。 Gitops插件通过内置Kustomize结合Base/overlay制品组织方式和HelmRelease结合valuesFrom/valuesFiles等方式的能力，满足客户差异化的配置管理诉求。 将Git仓库中最新合入的制品配置信息同步部署至多个集群中，同时对应用发布行为进行版本化管理和权限控制，提供发布回滚和版本迭代控制，并进行审计跟踪。 所需的基础架构状态会自动应用于基础架构，而无需任何手动干预，持续监控并确保基础架构始终遵循Git存储库中的配置，确保基础设施处于理想状态。 图1 GitOps实现方式

GitOps概述 GitOps是使用Git仓库来管理应用的部署模板，将Git仓库作为Kubernetes集群中部署应用的唯一来源，实现应用的持续部署，实现多集群的GitOps持续交付，满足应用的高可用部署、系统组件多集群分发等需求。GitOps假设每一个基础设施都被表示为一个具有版本控制功能的存储系统中的文件，并且有一个自动化的过程可以无缝地将更改的应用同步到应用程序运行环境。 而结合Kubernetes生态中的声明式API、Controller Loop可以更好得实现这一思想，该系统从一开始就遵循声明性规范以及最终一致性和收敛性的原则。

上传配置文件 登录U CS 控制台，单击待接入集群栏的“点击接入”进入集群接入界面，可选择“公网接入”和“私网接入”。 选择接入方式并下载代理配置文件。 若选择“公网接入”，直接在界面单击“下载文件”，下载本地集群代理配置文件“agent-[集群名称].yaml”。 若选择“私网接入”，需要先选择项目，再选择安装前准备（私网接入）中创建的终端节点，然后单击“下载文件”，下载本地集群代理配置文件“agent-[集群名称].yaml”。 集群代理配置存在私有秘钥信息，每个集群代理配置仅能下载一次，请您妥善保管。 私网接入中的项目可选择region。 输入集群安装所需参数并下载本地集群配置文件“cluster-[集群名称].yaml”。 图1 下载本地集群配置文件 通过远程传输工具，使用root用户将下载的“agent-[集群名称].yaml”和“cluster-{集群名称}.yaml”文件上传到执行机的“/root/”目录下。 若您需要使用L4或L7负载均衡能力，则需要将集群网络类型配置为BGP，具体操作请参见Cilium。 执行机如果出现SSH连接超时，请参考虚拟机SSH连接超时处理方法处理。

注册集群 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 单击本地集群选项卡中的“注册集群”按钮。 参考表1填写待添加集群的基础信息，其中带“*”的参数为必填参数。 表1 注册集群基础信息配置 参数 参数说明 集群名称* 输入集群的自定义名称，需以小写字母开头，由小写字母、数字、中划线（-）组成，且不能以中划线（-）结尾。 所属区域* 选择集群所在的区域。 集群标签 非必填项，以键值对的形式为集群添加标签，可以通过标签实现集群的分类。键值对可自定义，以字母或者数字开头和结尾，由字母、数字、连接符（-）、下划线（_）、点号（.）组成，且63个字符之内。 容器舰队 选择集群所属的舰队。 舰队用于权限精细化管理，一个集群只能加入一个舰队。若不选择舰队，集群注册成功后将显示在“未加入舰队的集群”页签下，后续还可以再添加至舰队中。 不支持在注册集群阶段选择已开通集群联邦能力的舰队，如果一定要加入这个舰队，请在集群注册成功后，再添加到该舰队中。关于集群联邦的介绍，请参见开通集群联邦章节。 如需新建舰队，请参见管理容器舰队。 单击“确定”，集群注册成功后如图1所示，请在24小时内接入网络。您可选择集群的接入方式或单击右上角按钮查看详细的网络接入流程。 如您未在24小时内接入网络，将会导致集群注册失败，可单击右上角按钮重新注册集群。如果已经接入但数据未采集上来，请等待2分钟后刷新集群。 图1 集群等待接入状态

配置DNS服务器 配置DNS转发：在DNS服务器配置相应的DNS转发规则，将解析华为云内网域名的请求转发到DNS终端节点。以常见的DNS软件Bind为例：例如/etc/named.conf内，增加DNS转发器的配置，forwarders为DNS终端节点IP地址。 下示代码中xx.xx.xx.xx是DNS的终端节点IP。 options { forward only； forwarders{ xx.xx.xx.xx;}; }; 增加静态DNS配置解析：增加DNS静态配置，SWR与CIE实例地址。如使用dnsmasq为例，在/etc/dnsmasq.conf中添加以下两个静态解析： 第一个静态解析如下，下示代码中xx.xx.xx.xx是SWR的终端节点IP。 address=/swr.cn-north-4.myhuaweicloud.com/xx.xx.xx.xx 第二个静态解析如下，下示代码中xx.xx.xx.xx是域名对应的IP地址，在开启集群监控后生成。 address=/cia-{当前选择接入的VPCID前八位}{当前选择接入的VPC子网ID前八位}.cn-north-4.myhuaweicloud.com/xx.xx.xx.xx 示例：address=/cia-9992be3cf3eace24.cn-north-4.myhuaweicloud.com/ 172.16.0.81 生成域名。 SWR：address=/swr.cn-north-4.myhuaweicloud.com/{SWR VPC-EP} CIA：域名的获取：如当前选择接入的VPC和子网如下（如下截图vpc-cie仅是示例，实际VPC以UCS服务所在的VPC为准） 图1 VPC的ID前8位 图2 子网的ID前8位 最终域名拼接后是：cia-388c6b41a55f85b1.cn-north-4.myhuaweicloud.com

购买终端节点（VPCEP） 登录UCS控制台，单击待接入集群栏的“单击接入”进入集群接入界面，单击“私网接入”。 查看“创建终端节点”中的服务名称，单击，记录服务名称。 登录 VPC终端节点 控制台，单击“购买终端节点”，创建连接不同服务的终端节点。 选择终端节点的区域，单击“按名称查找服务”，输入2中所记录的服务名称，并单击“验证”，创建UCS的终端节点。 创建DNS、SWR、OBS的终端节点。 选择部署网络环境中创建的虚拟私有云以及对应的子网。 “节点IP”选择“自动分配”或“手动分配”均可。 单击“立即购买”，规格确认无误后，单击“提交”。 将创建的终端节点配置到所使用的DNS服务器中。单击创建出的VPCEP节点名称，记录节点IP，以便在IDC的DNS Server中增加华为云的DNS转发器。

部署网络环境 在UCS提供服务的区域中创建一个VPC，该VPC将用于后续安装终端节点，需保证该VPC与用户自有IDC网络环境打通。 VPC创建操作请参见创建虚拟私有云和子网，当前仅支持“华北-北京四”区域。 该VPC子网网段不能与IDC中已使用的网络网段重叠，否则将无法接入集群。例如，IDC中已使用的VPC子网为192.168.1.0/24，那么华为云VPC中不能使用192.168.1.0/24这个子网。

k8clone数据恢复原理 数据恢复的流程参考如下： 图1 数据恢复流程 在执行恢复操作前，需要准备一个数据恢复配置文件“restore.json”，目的是在应用恢复时自动更换PVC、StatefulSet的存储类名称，以及工作负载所使用镜像的Repository地址。 文件内容如下： { "StorageClass": "OldStorageClassName": "NewStorageClassName" //支持修改PVC、StatefulSet的StorageClassName字段 "ImageRepo": "OldImageRepo1": "NewImageRepo1", //eg:"dockerhub.com": "cn-north-4.swr.huaweicloud.com" "OldImageRepo2": "NewImageRepo2", //eg:"dockerhub.com/org1": "cn-north-4.swr.huaweicloud.com/org2" "NoRepo": "NewImageRepo3" //eg:"golang": "swr.cn-north-4.myhuaweicloud.com/paas/golang" } StorageClass：支持PVC、有状态应用VolumeClaimTemplates中存储类名称按照配置进行自动更换。 ImageRepo：支持工作负载所使用镜像的Repository地址的更换，工作负载包括Deployment（含initContainer）、StatefulSet、Orphaned Pod、Job、CronJob、Replica Set、Replication Controller、DaemonSet。

应用恢复操作步骤 通过kubectl连接目标集群。具体方法可参考使用kubectl连接集群。 准备数据恢复配置文件：restore.json。 新建一个restore.json文件，按照格式修改，并将文件放置在k8clone工具所在目录下。 示例： { "StorageClass": { "csi-disk": "csi-disk-new" }, "ImageRepo": { "quay.io/coreos": "swr.cn-north-4.myhuaweicloud.com/paas" } } 进入k8clone工具所在目录，执行恢复命令，将备份数据恢复到目标集群。 示例： ./k8clone-linux-amd64 restore -d ./k8clone-dump.zip -f ./restore.json

k8clone恢复使用方法 k8clone工具支持在Linux（x86、arm）和Windows环境中运行，使用方法相似。本文将以Linux（x86）环境为例进行介绍。 若使用Linux（arm）或Windows环境，请将下述命令中的k8clone-linux-amd64分别替换为k8clone-linux-arm64或k8clone-windows-amd64.exe。 在k8clone工具所在目录下执行./k8clone-linux-amd64 restore -h，可以查看k8clone工具恢复的使用方法。 -k, --kubeconfig：指定kubectl的KubeConfig位置，默认是$HOME/.kube/config。kubeConfig文件：用于配置对Kubernetes集群的访问，KubeConfig文件中包含访问注册Kubernetes集群所需要的认证凭据以及Endpoint（访问地址），详细介绍可参见Kubernetes文档。 -s, --api-server：Kubernetes API Server URL，默认是""。 -q, --context：Kubernetes Configuration Context，默认是""。 -f, --restore-conf：指定restore.json的路径，默认是k8clone工具所在目录下。 -d, --local-dir：备份数据放置的路径，默认是k8clone工具所在目录下。 $ ./k8clone-linux-amd64 restore -h ProcessRestore from backup Usage: k8clone restore [flags] Flags: -s, --api-server string Kubernetes api-server url -q, --context string Kubernetes configuration context -h, --help help for restore -k, --kubeconfig string The kubeconfig of k8s cluster's. Default is the $HOME/.kube/config. -d, --local-dir string Where to restore (default "./k8clone-dump.zip") -f, --restore-conf string restore conf file (default "./restore.json") 示例： ./k8clone-linux-amd64 restore -d ./k8clone-dump.zip -f ./restore.json

步骤二：云专线/VPN接入 提交工单开通 云日志 服务（LTS）的VPC终端节点。具体步骤请参见步骤一：云日志服务VPC终端节点授权。 在本地集群详情页，编辑云原生日志采集插件配置。 未安装 云原生日志采集（log-agent）插件时，可在日志中心单击“立即开启”。 已安装 云原生日志采集（log-agent）插件时，可在插件中心编辑对应插件。 选择对应的VPC终端节点。若不存在可用的VPC终端节点，单击“创建终端节点”以创建VPC终端节点。再次提交工单云日志服务（LTS）的VPC终端节点需要经过LTS服务审批，操作方法请参见步骤一：云日志服务VPC终端节点授权。 创建的VPC终端节点需要和本地集群节点在同一个虚拟私有云或建立对等连接。 单击“确定”，完成云专线/VPN接入。

配置无条件触发自动切流 集群管理员进行集群升级等操作，若出现升级策略不恰当、升级配置有误、操作人员执行失误等问题，可能会导致集群不可用。本小节指导您在进行集群升级前，通过创建无条件触发的Remedy对象，将MCI流量从目标集群上摘除。 创建Remedy对象可在特定触发条件下执行特定动作。集群管理员准备升级目标集群时（如member1），可以创建如下Remedy对象，将MCI流量从member1上摘除。 示例YAML定义了一个Remedy对象，触发条件为空，表示无条件触发，集群联邦控制器会立即将member1上的流量摘除。在集群升级成功之后，删除该Remedy对象，member1上的流量会自动恢复，由此保证单集群的升级不会影响服务的高可用。详细的Remedy对象参数说明请参见表1。 apiVersion: remedy.karmada.io/v1alpha1 kind: Remedy metadata: name: foo spec: clusterAffinity: clusterNames: - member1 actions: - TrafficControl 表1 Remedy参数说明 参数 描述 spec.clusterAffinity.clusterNames 策略关注的集群名列表。仅在该列表中的集群会执行指定动作，为空时不会执行任何动作。 spec.decisionMatches 触发条件列表。当上述集群列表中指定的集群满足任一触发条件时，即会执行指定动作。当列表为空时，表示无条件触发。 conditionType 触发条件的类型。当前仅支持ServiceDomainNameResolutionReady类型，即CPD上报的CoreDNS域名解析状态。 operator 判断逻辑，仅支持Equal和NotEqual两种值，即等于和不等于。 conditionStatus 触发条件的状态。 actions 策略要执行的动作，目前仅支持TrafficControl，即流量控制。 父主题： 配置MCI自动切流

k8clone数据恢复原理 数据恢复的流程参考如下： 图1 数据恢复流程 在执行恢复操作前，需要准备一个数据恢复配置文件“restore.json”，目的是在应用恢复时自动更换PVC、StatefulSet的存储类名称，以及工作负载所使用镜像的Repository地址。 文件内容如下： { "StorageClass": "OldStorageClassName": "NewStorageClassName" //支持修改PVC、StatefulSet的StorageClassName字段 "ImageRepo": "OldImageRepo1": "NewImageRepo1", //eg:"dockerhub.com": "cn-north-4.swr.huaweicloud.com" "OldImageRepo2": "NewImageRepo2", //eg:"dockerhub.com/org1": "cn-north-4.swr.huaweicloud.com/org2" "NoRepo": "NewImageRepo3" //eg:"golang": "swr.cn-north-4.myhuaweicloud.com/paas/golang" } StorageClass：支持PVC、有状态应用VolumeClaimTemplates中存储类名称按照配置进行自动更换。 ImageRepo：支持工作负载所使用镜像的Repository地址的更换，工作负载包括Deployment（含initContainer）、StatefulSet、Orphaned Pod、Job、CronJob、Replica Set、Replication Controller、DaemonSet。

k8clone恢复使用方法 k8clone工具支持在Linux（x86、arm）和Windows环境中运行，使用方法相似。本文将以Linux（x86）环境为例进行介绍。 若使用Linux（arm）或Windows环境，请将下述命令中的k8clone-linux-amd64分别替换为k8clone-linux-arm64或k8clone-windows-amd64.exe。 在k8clone工具所在目录下执行./k8clone-linux-amd64 restore -h，可以查看k8clone工具恢复的使用方法。 -k, --kubeconfig：指定kubectl的KubeConfig位置，默认是$HOME/.kube/config。kubeConfig文件：用于配置对Kubernetes集群的访问，KubeConfig文件中包含访问注册Kubernetes集群所需要的认证凭据以及Endpoint（访问地址），详细介绍可参见Kubernetes文档。 -s, --api-server：Kubernetes API Server URL，默认是""。 -q, --context：Kubernetes Configuration Context，默认是""。 -f, --restore-conf：指定restore.json的路径，默认是k8clone工具所在目录下。 -d, --local-dir：备份数据放置的路径，默认是k8clone工具所在目录下。 $ ./k8clone-linux-amd64 restore -h ProcessRestore from backup Usage: k8clone restore [flags] Flags: -s, --api-server string Kubernetes api-server url -q, --context string Kubernetes configuration context -h, --help help for restore -k, --kubeconfig string The kubeconfig of k8s cluster's. Default is the $HOME/.kube/config. -d, --local-dir string Where to restore (default "./k8clone-dump.zip") -f, --restore-conf string restore conf file (default "./restore.json") 示例： ./k8clone-linux-amd64 restore -d ./k8clone-dump.zip -f ./restore.json

应用恢复操作步骤 通过kubectl连接目标集群。具体方法可参考使用kubectl连接集群。 准备数据恢复配置文件：restore.json。 新建一个restore.json文件，按照格式修改，并将文件放置在k8clone工具所在目录下。 示例： { "StorageClass": { "csi-disk": "csi-disk-new" }, "ImageRepo": { "quay.io/coreos": "swr.cn-north-4.myhuaweicloud.com/paas" } } 进入k8clone工具所在目录，执行恢复命令，将备份数据恢复到目标集群。 示例： ./k8clone-linux-amd64 restore -d ./k8clone-dump.zip -f ./restore.json

功能优势 全球合规治理经验服务化 安全治理以华为内部“云服务网络 安全与合规 标准”（Cloud Service Cybersecurity & Compliance Standard，3CS）为基座，将华为积累的全球安全合规经验服务化，开放华为 云安全 治理模板，将法规条款、标准要求转化为业务语言、IT语言，帮助客户识别自身合规状态。 提升获得法规及行业标准认证的效率 安全治理开放PCI DSS、ISO27701、ISO27001等安全治理模板，内含合规策略和自评估检查项；合规策略将自动化、持续性扫描租户云上资产的合规状态，自评估检查项将帮助租户快速梳理业务情况；并且安全治理提供证据链管理功能，支持一键导出报表，可极大提升租户获得法规及行业标准认证的效率。 高效实施安全治理动作 安全治理通过数据看板将所有的合规情况集中展示，向用户显示当前的安全性与合规性状态。租户可以轻松发现识别潜在问题，并根据华为专家建议采取必要的安全治理动作。

什么是安全治理？ 安全治理是 安全云脑 中的一个自动化合规评估和安全治理功能，以华为内部“云服务网络安全与合规标准”（Cloud Service Cybersecurity & Compliance Standard，3CS）为基座，将华为积累的全球安全合规经验服务化，开放PCI DSS、ISO27701、ISO27001等安全治理模板，将合规语言IT化实现自动化扫描，可视化呈现合规状态，一键生成合规遵从性报告，帮助用户快速实现云上业务的安全遵从，提升租户获得法规及行业标准认证的效率。 使用安全治理功能前，需先提交工单申请开通使用权限。

功能特性 安全治理为您提供安全治理模板与合规策略扫描服务，将安全遵从包内的法规标准条款转化成检查项。 提供安全遵从包 华为开放的安全治理模板，包含法规标准条款原文、扫描策略、自评估检查项以及华为专家的改进建议，覆盖PCI DSS、ISO27701、ISO27001、隐私等法规标准。用户可以订阅、取消订阅安全遵从包，查看合规评估与治理结果。 合规策略扫描 Policy as Code，将安全遵从包内的法规标准条款代码化，周期性、自动化扫描云上资产的合规情况，可视化看板呈现风险，提供华为专家改进建议。 自评估检查项 将安全遵从包内的法规标准条款转化成检查项，租户可根据检查项完成自身业务的合规评估，查看历史评估结果，进行证据上传和下载，根据华为专家改进建议进行治理。 合规结果可视 可视化呈现合规评估结果与安全治理情况，包括租户订阅的法规、标准条款遵从概况，各安全遵从包状态，各策略扫描概况。

模板月报展示内容 表3 模板月报展示内容 参数模块 参数说明 统计周期 月报默认统计周期为上一个月整月。 安全评分 根据您的安全云脑的 威胁检测 能力，评估上一个月最后一天最新的整体资产安全健康得分，可以快速了解资产的整体安全状况。 基线检查 展示上一个月最后一次基线检查的统计情况，包含以下信息： 当前基线检查项目总数量 最后一次基线检查不合规检查项数量 安全漏洞 展示接入云服务上一个月最后一天最新的漏洞统计情况，包含以下信息： 漏洞总数量 未修复漏洞数量 策略覆盖 展示上一个月最后一天最新的安全产品覆盖情况，包含以下信息： 受安全产品保护的实例数量（=受保护ECS数量+受保护WAF实例数量） 主机安全覆盖率（=受保护ECS数量/全部ECS数量） 当前受保护云主机数量 当前受保护网站数量 资产安全 展示上一个月最后一天最新的资产安全情况，包含以下信息： 资产总数量 存在风险的资产数量 安全分析 展示安全分析统计情况，包含以下信息： 上一个月整月安全日志总流量 上一个月最后一天的安全日志模型数量 安全响应（总览） 展示上一个月整月安全响应情况，包含以下信息： 上一个月整月已处置的安全告警数量 上一个月整月确认的入侵事件数量 运行的自动化响应剧本数量 自动化剧本闭环率 MTTR平均时间 确认高风险入侵事件数量 资产风险 展示上一个月最后一天最新的资产安全状况，包含以下信息： 受攻击资产数量以及较月报统计月的上一月的变化 未防护资产数以及较月报统计月的上一月的变化 脆弱性资产数以及较月报统计月的上一月的变化 上一个月的资产变化趋势 资产防护率 威胁态势 展示上一个月最后一天最新的资产的威胁态势情况，包含以下信息： DDoS攻击次数 网络攻击次数 应用攻击次数 主机攻击次数 DDoS巡检情况 网络攻击变化趋势 WAF巡检情况 TOP5网络攻击类型统计情况 TOP5应用攻击类型统计情况 TOP5主机攻击类型统计情况 TOP5应用攻击源分布情况 TOP5应用攻击目的分布情况 TOP主机告警分布情况 TOP5网络攻击源分布情况 主机安全巡检情况 日志分析 展示上一个月整月日志分析的情况，包含以下信息： 日志源数量 日志索引数量 日志接收总数 日志存储总量 日志存储量变化趋势 TOP5日志源接入量统计情况 TOP10模型检测告警统计数量 安全响应（详细信息） 展示上一个月整月安全响应的情况，包含以下信息： 已处理告警数量 已处理事件数量 已处理漏洞数量 已处理基线数量 威胁告警分布情况及数量 TOP5入侵事件分布情况及数量 TOP5应急响应统计情况 TOP20威胁告警处理情况 外部安全热点 展示外部安全热点的情况。

模板日报展示内容 表1 模板日报展示内容 参数模块 参数说明 统计周期 日报默认统计周期为前一天00:00:00~23:59:59。 安全评分 根据您的安全云脑的威胁检测能力，评估前一天00:00:00~23:59:59整体资产安全健康得分，可以快速了解资产的整体安全状况。 基线检查 展示最近一次基线检查的统计情况，包含以下信息： 当前基线检查项目总数量 最近一次基线检查合规检查项目数量 安全漏洞 展示接入云服务前一天的漏洞统计情况，包含以下信息： 漏洞总数量 未修复漏洞数量 策略覆盖 展示当前安全产品覆盖情况，包含以下信息： 受安全产品保护的实例数量（=受保护ECS数量+受保护WAF实例数量） 主机安全覆盖率（=受保护ECS数量/全部ECS数量） 当前受保护云主机数量 当前受保护网站数量 资产安全 展示当前资产安全情况，包含以下信息： 当前资产总数量 当前存在风险的资产数量 安全分析 展示前一天安全分析统计情况，包含以下信息： 前一天安全日志总流量 安全日志模型数量 安全响应（总览） 展示前一天安全响应情况，包含以下信息： 前一天处置的安全告警数量 前一天确认的入侵事件数量 前一天运行的自动化响应剧本数量 前一天自动化剧本闭环率 前一天的MTTR平均时间 前一天确认高风险入侵事件数量 资产风险 展示前一天资产安全状况，包含以下信息： 前一天受攻击资产数量 前一天未防护资产数 前一天脆弱性资产数 截止昨天为止的近7天的资产变化趋势 前一天资产防护率 威胁态势 展示前一天资产的威胁态势情况，包含以下信息： 前一天DDoS攻击次数 前一天网络攻击次数 前一天应用攻击次数 前一天主机攻击次数 前一天DDoS巡检情况 前一天网络主机攻击变化趋势 前一天WAF巡检情况 前一天TOP5网络攻击类型统计情况 前一天TOP5应用攻击类型统计情况 前一天TOP5主机攻击类型统计情况 前一天TOP5应用攻击源分布情况 前一天TOP5应用攻击目的分布情况 前一天TOP5主机告警分布情况 前一天TOP5网络攻击源分布情况 前一天主机安全巡检情况 日志分析 展示前一天日志分析的情况，包含以下信息： 前一天日志源数量 前一天日志索引数量 前一天日志接收总数 前一天日志存储总量 截至昨天为止的近7天的日志变化趋势 截至昨天为止的近7天的TOP5日志源接入流量统计情况 前一天TOP10模型检测告警统计数量 安全响应（详细信息） 展示前一天安全响应的情况，包含以下信息： 前一天已处理告警数量 前一天已处理事件数量 前一天已处理漏洞数量 前一天已处理基线数量 前一天威胁告警分布情况及数量 前一天TOP5入侵事件分布情况及数量 前一天TOP5应急响应统计情况 前一天TOP20威胁告警处理情况 外部安全热点 展示前一天外部安全热点的情况。

模板周报展示内容 表2 模板周报展示内容 参数模块 参数说明 统计周期 周报默认统计周期为上周一00:00到上周日24:00。 安全评分 根据您的安全云脑的威胁检测能力，评估上周最后一天最新的整体资产安全健康得分，可以快速了解资产的整体安全状况。 基线检查 展示上周最后一次基线检查的统计情况，包含以下信息： 当前基线检查项目总数量 最后一次基线检查不合规检查项数量 安全漏洞 展示接入云服务上周日最新的漏洞统计情况，包含以下信息： 漏洞总数量 未修复漏洞数量 策略覆盖 展示上周最后一天最新的安全产品覆盖情况，包含以下信息： 受安全产品保护的实例数量（=受保护ECS数量+受保护WAF实例数量） 主机安全覆盖率（=受保护ECS数量/全部ECS数量） 当前受保护云主机数量 当前受保护网站数量 资产安全 展示上周最后一天最新的资产安全情况，包含以下信息： 资产总数量 存在风险的资产数量 安全分析 展示安全分析统计情况，包含以下信息： 上周一整周安全日志总流量 上周最后一天的安全日志模型数量 安全响应（总览） 展示上周一整周安全响应情况，包含以下信息： 上周一整周已处置的安全告警数量 上周一整周确认的入侵事件数量 运行的自动化响应剧本数量 自动化剧本闭环率 MTTR平均时间 确认高风险入侵事件数量 资产风险 展示上周最后一天最新的资产安全状况，包含以下信息： 受攻击资产数量以及较月报统计月的上周的变化 未防护资产数以及较月报统计月的上周的变化 脆弱性资产数以及较月报统计月的上周的变化 上周的资产变化趋势 资产防护率 威胁态势 展示上周最后一天最新的资产的威胁态势情况，包含以下信息： DDoS攻击次数 网络攻击次数 应用攻击次数 主机攻击次数 DDoS巡检情况 网络攻击变化趋势 WAF巡检情况 TOP5网络攻击类型统计情况 TOP5应用攻击类型统计情况 TOP5主机攻击类型统计情况 TOP5应用攻击源分布情况 TOP5应用攻击目的分布情况 TOP主机告警分布情况 TOP5网络攻击源分布情况 主机安全巡检情况 日志分析 展示上周一整周日志分析的情况，包含以下信息： 日志源数量 日志索引数量 日志接收总数 日志存储总量 日志存储量变化趋势 TOP5日志源接入量统计情况 TOP10模型检测告警统计数量 安全响应（详细信息） 展示上周一整周安全响应的情况，包含以下信息： 已处理告警数量 已处理事件数量 已处理漏洞数量 已处理基线数量 威胁告警分布情况及数量 TOP5入侵事件分布情况及数量 TOP5应急响应统计情况 TOP20威胁告警处理情况 外部安全热点 展示外部安全热点的情况。

操作场景 本章节介绍如何处理检查结果，请根据您的需要进行选择： 修复风险项：根据检测结果修复风险检查项目。 反馈结果：基线检查项目中的手动检查项，您在线下执行检查后，需要在控制台上反馈检查结果，以便计算检查项合格率。 忽略检查项：如果您对某个检查项有其他检查要求（例如，“会话超时策略检查”检查项中检查会话时限是否设置为15分钟，而您的需求为会话时限是否设置为20分钟）或不需要对某检查项进行检查，可以执行忽略操作。 导入/导出检查结果：可以导入或导出检查结果数据信息。

sec-mtd-alarm MTD告警日志字段含义如下所示： 表20 sec-mtd-alarm 字段 类型 字段含义 version String 事件对象的版本，该字段的值必须为服务确定的官方发布版本之一。 在当前版本中，事件对象格式的版本为1.2.0。 environment Object 事件产生的环境坐标信息。 environment type string 环境供应商。 domain_id string HWC special，域名ID。 region_id string HWC special，区域ID。 project_id string HWC special，项目ID。 data_source Object 数据源。 data_source type Int 数据源类型。取值范围如下： 1：华为产品 2：第三方产品 3：租户私有产品 domain_id String 数据源产品所属账号的ID，最大36个字符。 project_id String 数据源产品所属项目的ID，最大36个字符。 region_id String 数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。 company_name String 数据源产品所属公司的名称，最大16个字符。 product_name String 数据源产品的名称，最大24个字符。 product_feature String 产品功能特性名称，用来指明检测到当前事件的产品的功能特性，最大24个字符。 first_observed_time Timestamp 首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 last_observed_time Timestamp 最近发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 create_time Timestamp 记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 arrive_time Timestamp 接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 event_id String 事件唯一标识，UUID格式，最大36个字符。 title String 事件标题，最大255字符。 title_en String 事件标题英文，最大255字符。 title_zh String 事件标题中文，最大255字符。 description String 事件描述信息，最大1024个字符。 source_url String 事件URL链接，指向数据源产品中有关当前事件说明的页面。 count Int 事件发生次数。 confidence Int 事件的置信度，置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100。 severity Object 严重性。 severity label String 严重性等级，取值范围： TIPS：未发现任何问题。 LOW：无需针对问题执行任何操作。 MEDIUM：问题需要处理，但不紧急。 HIGH：问题必须优先处理。 FATAL：问题必须立即处理，以防止产生进一步的损害。 normalize_score Int 严重性评分，取值范围：0-100。与严重性等级的对应关系： TIPS：0 LOW：1-39 MEDIUM：40-69 HIGH：70-89 FATAL：90-100 original_score Int 严重性原始评分，指在数据源产品中的评分。 criticality Int 关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源。 type Object 事件分类。 type business String 安全运营过程，弱点的分类维度 事件所属业务领域标签，可选类别如下： attack：攻击 vulnerability：漏洞 compliance check：合规检查 risk：风险 public opinion：舆情 illegal&violation：违法违规 security bulletin：公告 namespace String 安全运营过程，弱点的分类维度。 事件所属业务领域标签，可选类别如下： attack：攻击 vulnerability：漏洞 compliance check：合规检查 risk：风险 public opinion：舆情 illegal&violation：违法违规 security bulletin：公告 category String 类别，推荐使用预定义的类型分类。 classifier String 分类器，推荐使用预定义的分类器。如果指定了分类器，则必须指定类别。 tech_domain String 技术领域标签： OS：主机 APP：应用 NET：网络 CS：云服务 CSP：平台云服务 properties Object 见对象type.properties type.properties killchain String Kill chain事件分类，仅当 namespace为ATTACK有效。 ttps String Mitre Array 事件分类，仅当namespace为ATTACK有效。 effects String 影响，全部类型。 compliance Object 合规检查信息。 compliance checkitem_id String 检查项（检查规则）编号。 checkpoint_id String 检查点（检查结果）编号，检查项对同一个资源的检查结果。 spec_id String 检查规范编号，默认选第一个。 reason String 原因。 status String 合规检查结果，取值定义： QUALIFIED：没有失败的，也没有有风险的就是合格的。 RISK：没有失败的，但是只要有一个有风险的就是有风险的。 FAILED：只要有一个失败的就是失败。 properties Object 主机基线字段全量维持（不固定，包含主机基线和sa基线）。 network Object 网络信息。 network direction String 方向，取值范围：IN | OUT protocol String 协议。 src_ip String 源IP地址。 src_port int 源端口，0–65535。 src_domain String 源域名，最大128个字符。 src_geo Object 源IP的地理位置信息。 dest_ip String 目标IP地址。 dest_port int 目标端口，0–65535。 dest_domain String 目标域名，最大128个字符。 dest_geo Object 目标IP的地理位置信息。 geo latitude Float 纬度。 longitude Float 经度。 city_code String 城市编码。 country_code String 国家简码ISO。 vulnerability_patch Object 漏洞补丁信息。 vulnerability_patch patch_id String 补丁编号。 patch_name String 补丁名称。 type String 补丁类型。 0：linux 1：windows 2：web-cms major_level String 重要等级。 status String 补丁状态。 release_time Timestamp 发布时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区，无法解析时区的时间，默认时区填东八区。 repair_cmd String 修复命令。 repair_necessity Int 修复必要程度。 1：需立刻修复 2：可延后修复 3：暂可以不修复 vendor_name String 漏洞报告提供者信息（厂商）。 vulnerable_package String 受影响软件版本列表。 reference_url String 参考链接。 cve_ids String 漏洞列表。 malware Object 恶意软件。 malware name String 恶意软件名称，最大64个字符。 sha256 String 恶意软件sha256。 type String 恶意软件类型，遵循STIX规范： adware|backdoor|bot|bootkit|ddos|downloader|dropper|exploit-kit|keylogger|ransomware|remote-access-trojan|resource-exploitation|rogue-security-software|rootkit|screen-capture|spyware|trojan|unknown|virus|webshell|wiper|worm path String 恶意软件在系统中的路径，最大512个字符（包含软件名称）。 state String 恶意软件状态，取值范围：OBSERVED | REMOVAL_FAILED | REMOVED。 properties Object 见对象malware.properties。 malware.properties pid String 进程ID。 user String 系统角色（例如：root，service）。 mod String 系统权限（例如：777，755）。 start_time String 进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。 时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 threat_intel Object 威胁情报。 threat_intel id String 情报ID。 indicator_type String 威胁情报类型。 labels String 标签。 confidence Int 置信度，不同来源目前置信度分值定义不一样（分数）。 information_source String 威胁情报源。 severity Int 严重程度，不同渠道定义值不一样（分数）。 value String 威胁情报指标值，最大512个字符，如：ip、url、domain等。 description_en string 威胁情报描述-英文。 description_zh String 威胁情报描述-中文。 description String 威胁情报描述。 modified Timestamp 威胁情报的更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 valid_from String 有效期开始（可读字符串）。 valid_until String 有效期结束（可读字符串）。 properties Object 见对象threat_intel.properties。 threat_intel.properties file_md5 String 恶意软件Md5。 file_sha1 String 恶意软件Sha1。 file_sha256 String 恶意软件Sha256值。 file_name String 文件名称。 create_time Timestamp 编译时间。 file_class String 文件类别，TEXT、XCODE。 file_family String 家族，例如：wannacry（勒索软件）。 file_maltype String 类别，例如：trojan（特洛伊）。 ip_resolves_to_refs String mac地址。 belongs_to_refs String IP AS 自治系统 ip_location String 地区。格式：country/province/city/lngwgs/latwgs。 domain_family String 域名家族。 domain_resolves_to_refs String 解析的IP地址。 domain_dns_type String DNS类别。 url_host String URL地址。 url_resolves_to_refs String IP地址。 display_name String 显示名称。 url_belongs_to_ref String 邮箱账户，@之前部分。 resource Object 受影响资源。 resource id String 云服务资源ID。 name String 资源名称；最大长度255个字符。 type String 资源类型，引用 RMS type字段。 provider String 云服务名称，引用RMS provider字段。 region_id String 区域。 domain_id String 资源所属账号ID，UUID。 project_id String 资源所属项目ID，UUID。 ep_id String 企业项目id。 ep_name String 企业项目名称。 tags Object 资源标签。 最多50个key/values对。 values：最大255字符，取值范围：字母数字,空格,+, -, =, ., _, :, /,@ remediation Object 补救措施。 remediation recommendation_zh String 推荐处理方法-中文。 recommendation_en String 推荐处理方法-英文。 recommendation String 推荐处理方法。 url String 链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证。 data_source_fields Object 数据源自定义信息，最多支持50个key/value对，约束条件： 该对象不能包含冗余数据，并且不能与已定义的事件格式字段冲突。 字段名称可以包含字母数字字符、空格和以下符号：_ . / = + \ - @。 示例： "data_source_fields": { "key1": "value1", "key2", "value2", } verification_state String 验证状态，标识事件的准确性。可选类型如下： Unknown：未知 True_Positive：确认 False_Positive：误报 默认填写Unknown。 handle_status String 事件处理状态，可选类型如下： New：未知 Ignored：忽略 Resolved：已解决 默认填写New。 phase String 阶段：Preparation|Detection and Analysis|Containment，Eradication& Recovery| Post-Incident-Activity sla Int 约束闭环时间，单位：天。设置风险接受持续时间。

sec-cfw-block 云防火墙 访问控制日志字段含义如下所示： 表14 sec-cfw-block 字段 类型 字段含义 hit_time Date 访问发生的时间。 action String 云防火墙当前的响应动作： permit：放行 deny：阻断 app String 应用类型。 dst_ip String 目的IP地址。 dst_port String 目的端口号。 protocol String 协议类型。 rule_id String 触发规则的ID。 src_ip String 源IP地址。 src_port String 源端口号。

sec-apig-access API网关访问日志字段含义如下所示： 表15 sec-apig-access 字段 类型 字段含义 region_id String 局点。 api_id String API ID。 body_bytes_sent String 返回Body大小。 bytes_sent String 整个返回大小。 domain String 公网域名。 errorType String 是否被流控（1：被流控）。 http_user_agent String 用户代理标识。 http_x_forwarded_for String X-Forwarded-For头。 opsuba_api_url String 请求的URI。 out_times String 网关内部与周边组件交互耗时。 remote_addr String 远端ip。 request_id String 请求id。 request_length String 整个请求大小。 request_method String HTTP请求方法。 request_time String 访问耗时。 scheme String 协议。 server_protocol String 请求协议。 status String 状态。 time_local Date 时间。 upstream_addr String 远端ip。 upstream_connect_time String 远端连接耗时。 upstream_header_time String 远端头耗时。 upstream_response_time String 远端返回耗时。 upstream_status String 远端状态。 upstream_uri String 请求后端的URI。 user_name String 用户projectid或appid。

sec-cfw-flow 云防火墙流量日志字段含义如下所示： 表13 sec-cfw-flow 字段 类型 字段含义 app String 应用类型。 dst_ip String 目的IP地址。 dst_port String 目的端口号。 end_time Date 流结束时间。 protocol String 协议类型。 to_c_bytes String 服务端向客户端发送的字节数。 to_c_pkts String 服务端向客户端发送的报文数。 to_s_bytes String 客户端向服务端发送的字节数。 to_s_pkts String 服务端向客户端发送的报文数。 src_ip String 源IP地址。 src_port String 源端口号。 start_time Date 流开始时间。

sec-dbss-alarm DBSS告警日志字段含义如下所示： 表16 dbss-alarm 字段 类型 字段含义 domain_id String 账号ID。 project_id String 项目ID。 region String region tenant_vpc_id String 租户的VPC ID。 tenant_subnet_id String 租户的子网ID。 instance_id String 实例ID。 instance_name String 实例名。 alarm Object 告警对象。 source_type String dbss。 alarm alarm_risk String 告警等级。 client_ip String 连接IP。 database_ip String 数据库访问IP。 count Long 告警次数。 user_name String 数据库用户名。 schema String oracle schema。 rule_name String 规则名称。 rule_id String 规则ID。 sql_type String SQL执行类型。 sql_result String SQL执行结果。 db_type String 数据库类型。

sec-cfw-risk 云防火墙攻击事件日志字段含义如下所示： 表12 sec-cfw-risk 字段 类型 字段含义 event_time Date 检测到的攻击时间。 action String 云防火墙当前的响应动作。 permit：放行 deny：阻断 app String 应用类型。 attack_rule String 检测到攻击的防御规则。 attack_rule_id String 检测到攻击的防御规则ID号。 attack_type String 发生攻击的类型： Vulnerability Exploit Attack：漏洞攻击 Vulnerability Scan： 漏洞扫描 Trojan：木马病毒 Worm：蠕虫病毒 Phishing：网络钓鱼攻击 Web Attack：Web攻击 Application DDoS：DDoS攻击 Buffer Overflow：缓冲区溢出攻击 Password Attack：密码攻击 Mail：邮件相关类型的攻击行为 Access Control：访问控制行为 Hacking Tool：黑客工具 Hijacking：劫持行为 Protocol Exception：存在异常协议 Spam：存在垃圾邮件 Spyware：存在间谍软件 DDoS Flood：DDoS泛洪攻击 Suspicious DNS Activity：可疑DNS活动 Other Suspicious Behavior：其他可疑行为 dst_ip String 目的IP地址。 dst_port String 目的端口号。 packet String 攻击日志的原始数据包。 protocol String 协议类型。 level String 表示检测到威胁的等级： CRITICAL：严重 HIGH：高 MIDDLE：中 LOW：低 source String 检测到攻击的防御模式： 0：基础防御 1：虚拟补丁 src_ip String 源IP地址。 src_port String 源端口号。 direction String 流量方向： out2in：入方向 in2out：出方向