华为云用户手册

功能入口 登录AOM 2.0控制台。 左侧导航栏单击“智能洞察（BETA）”。 在页面右上角设置应用的时间范围。可通过如下两种方式设置时间范围： 方式一：使用AOM预定义好的时间标签，例如，近1小时、近6小时等，您可根据实际需要选择不同的时间粒度。 方式二：通过开始时间和结束时间，自定义时间范围。 在过滤器上方的下拉列表中选择需要查看的应用。 单击事件卡片或列表进入该事件详情页面，查看事件的根因分析。

各异常事件的根因分析 应用服务整体平均响应时间突增：基于应用的调用链数据，针对应用粒度提供下钻分析，分析应用下每个组件的平均时延以快速定位根因，找到导致应用整体RT突增的具体组件。 图1 应用服务整体平均响应时间突增 应用服务整体错误率突增：基于应用的调用链数据，针对应用粒度提供下钻分析，分析应用下每个组件的错误率以快速定位根因，下钻到应用下具体组件的错误率异常。单击“查看调用链”，可详细追踪错误率突增的原因。 图2 应用服务整体错误率突增 TopN接口平均响应时间突增：基于应用的调用链数据，针对接口粒度提供调用链响应时间分析，快速定位根因。 图3 TopN接口平均响应时间突增 TopN接口错误率突增：基于应用的调用链数据，针对接口粒度提供调用链错误率分析，快速定位根因。单击“查看调用链”，可详细追踪错误率突增的原因。 图4 TopN接口错误率突增

操作场景 安全云脑续费是在原已购买的版本规格的基础上，延长使用时间。续费操作不可变更版本规格，即不能改变“主机配额”和“增值包”选择。 续费操作仅针对包周期版本规格。 包周期（包年/包月）模式为预付费方式。当购买的包周期版本到期时，用户需通过续费延长使用期。 按需计费为按小时计费，即开即用。在账户余额充足前提下，不涉及过期情况，即无需续费操作。 资产配额与增值包功能需分别续费。 购买过程中，如果提示权限不足，请参照添加权限进行处理。

安全编排使用流程 安全编排的使用流程如下： 图1 安全编排使用流程 表1 使用流程 序号 操作项 说明 1 （可选）配置并启用流程 启用需要的安全云脑内置的流程。 安全云脑默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程，且流程的初始版本（V1）也已启用，无需手动启用。 同时，如果需要对某个流程进行编辑，可以复制初始版本进行处理。 2 配置并启用剧本 启用需要的安全云脑内置的剧本。 安全云脑默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本，且剧本的初始版本（V1）也已激活，只需要启用就可以进行使用。 同时，如果需要对某个剧本进行编辑，可以复制初始版本进行处理。 父主题： 安全编排

操作场景 为了解最新的云服务基线配置状态，您需要执行扫描任务，扫描结束后才能获取云服务基线的风险配置。 基线检查功能支持定期自动检查和立即检查。 定期自动检查：根据SecMaster为您提供的默认基线检查计划或您自定义的基线检查计划，定时自动执行基线检查。默认检查计划每隔3天在0点的时候自动执行基线检查。 立即检查：如果您新增或修改了自定义的基线检查计划，您可以在基线检查页面选择该基线检查计划，立即执行基线检查，实时查看服务器中是否存在对应的基线风险。 本章节介绍如何执行基线检查计划。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“概览”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 进行启停操作。 单击“停止”，停止状态为“运行中”、“未就绪”的应用组件。 单击“启动”，启动状态为“停止”的应用组件。 单击“重启”，重启状态为“运行中”、“未就绪”的应用组件。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“概览”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在页面右上角，单击“升级”。 “升级类型”选择“单批发布”。 单击“下一步”，参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 参数 说明 技术栈 固定为创建并部署组件时选择的技术栈。 *YAML模式 选择使用YAML配置来升级组件。 选择关闭：使用界面配置来升级组件。 选择开启：使用YAML配置来升级组件，从部署了待升级组件的CCE自动同步组件最新负载信息用于修改后升级组件。您也可以单击“导入YAML文件”，导入已经编辑好的待升级组件YAML配置文件。 说明： 使用YAML配置来升级组件，组件YAML配置文件中各参数的说明请参考Deployment。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 “YAML模式”选择关闭：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 “YAML模式”选择开启：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 “YAML模式”选择关闭：选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 “YAML模式”选择开启：选择软件包，重新选择已上传的软件包，上传方式请参考组件来源说明。 *编译命令 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以此时的时间戳来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 资源 “YAML模式”选择关闭时可设置。 组件无法调度到剩余资源小于申请值的节点上，配置方法请参考资源限制指南。 可以根据需要自定义“CPU配额”和“内存配额”，修改组件运行可以使用的最大/最小CPU核数（Core）和内存数量（GiB）。如需修改，请勾选待修改项后输入新的配置值。 不勾选，表示不限制。 JVM参数 “YAML模式”选择关闭、技术栈类型选择Java/Tomcat时可设置，用于配置Java代码运行时的内存参数大小。 输入JVM参数，如-Xms256m -Xmx1024m，多个参数以空格间隔，不填则为空。 Tomcat配置 “YAML模式”选择关闭、技术栈类型选择Tomcat时可设置，用于配置Tomcat请求路径、端口号等参数。 勾选“Tomcat配置”，弹出“Tomcat配置”对话框。 单击“使用示例模板”，根据业务要求编辑模板文件。 说明： Tomcat配置，使用默认server.xml配置，上下文路径是"/"，没有指定应用路径。 如需自定义应用路径，请参考定制Tomcat Context path。 单击“确定”。 高级设置 “YAML模式”选择关闭时可设置。 请参考13，设置“微服务引擎”、“组件配置”、“部署配置”、“运维监控”参数。 单击“升级”。 等待组件状态由“升级/回滚中”转换为“运行中”，表示已成功完成组件版本配置升级。

使用场景 表1 存储项使用场景说明 项目 场景 云硬盘存储 EVS目前支持普通I/O、高I/O、超高I/O三种规格。 普通I/O：后端存储由SATA存储介质提供，适用于大容量、读写速率要求不高、事务处理较少的场景，如：开发测试、企业办公应用。 高I/O：后端存储由SAS存储介质提供，适用于性能相对较高、读写速率要求高、有实时数据存储需求的场景，如：创建文件系统、分布式文件共享。 超高I/O：后端存储SSD存储介质提供，适用于高性能、高读写速率要求、数据密集型的场景，如：NoSQL、关系型数据库、数据仓库（如Oracle RAC、SAP HANA）。 文件存储 文件存储适用于媒体处理、内容管理、大数据和分析工作负载程序等场景。 对象存储 标准存储： 适用于有大量热点文件或小文件，且需要频繁访问（平均一个月多次）并快速获取数据的业务场景。例如云应用、数据分析、内容分析、热点对象等。 低频访问存储： 适用于不频繁访问（平均一年少于12次），但需要快速获取数据的业务场景。例如静态网站托管、备份/活跃归档、作为云服务的存储资源池或者备份存储等。 极速文件存储 极速文件存储具有按需申请，快速供给，弹性扩展，方便灵活等特点，适用于DevOps、容器微服务、企业办公等应用场景。 主机路径挂载 将应用组件所在宿主机的文件目录挂载到应用指定的挂载点中，如应用组件需要访问/etc/hosts则可以使用HostPath映射/etc/hosts等场景。 须知： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致应用组件实例异常。建议挂载在空目录下。若目录不为空，请确保目录下无影响应用组件实例启动的文件。否则文件会被替换，导致应用组件实例启动异常。 临时路径挂载 用于临时存储，生命周期与应用组件实例相同。应用实例消亡时，EmptyDir会被删除，数据会永久丢失。 配置项挂载 将配置项中的key映射到应用中，可以用于挂载配置文件到指定应用组件目录。 密钥挂载 将应用认证信息、应用密钥等敏感信息存储在密钥中，并将密钥挂载到应用组件的指定路径中。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“部署记录”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“部署记录”列表，选择待作为配置模板的历史版本部署记录。 单击在页面右上方“使用此版本重新部署”，弹出“重新部署”对话框。 “部署类型”选择“单批发布”，单击“确定”。 参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 参数 说明 技术栈 固定为选择的历史版本配置，不可修改。 *YAML模式 选择使用YAML配置来重新部署组件。 选择关闭：使用界面配置来重新部署组件。 选择开启：使用YAML配置来重新部署组件，从部署了待升级组件的CCE自动同步组件最新负载信息用于修改后重新部署组件。您也可以单击“导入YAML文件”，导入已经编辑好的待重新部署组件YAML配置文件。 说明： 使用YAML配置来重新部署组件，组件YAML配置文件中各参数的说明请参考Deployment。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 “YAML模式”选择关闭：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 “YAML模式”选择开启：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 “YAML模式”选择关闭：选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 “YAML模式”选择开启：选择软件包，重新选择已上传的软件包，上传方式请参考组件来源说明。 *编译命令 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 资源 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭时，显示已设置的资源配置。 JVM参数 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件技术栈类型为Java/Tomcat时，可用于配置Java代码运行时的内存参数大小。 Tomcat配置 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件技术栈类型为Tomcat时，可用于配置Tomcat请求路径、端口号等参数。 高级设置 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭时，显示已设置的组件高级设置。 单击“升级”。 在“部署日志”区域，可查看部署进展，等待部署完成。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“访问方式”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“访问方式”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“访问方式”。 单击“设置域名”： 输入已获取的“应用域名”。 输入“监听端口”。 （可选）开启“HTTPS”。 单击“使用已有”选择已经创建的证书。 单击“新创建”创建新的服务器证书。创建服务器证书请参考创建证书。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“部署记录”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“部署记录”列表，选择待作为配置模板的历史版本部署记录。 单击在页面右上方“使用此版本重新部署”，弹出“重新部署”对话框。 “部署类型”选择“灰度发布（金丝雀）”，单击“确定”。 参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 通过本操作执行组件微服务灰度发布升级过程中，请勿同时通过CSE执行组件微服务灰度发布，否则会导致本操作失效。 通过CSE执行组件微服务灰度发布，请参考灰度发布。 参数 说明 技术栈 固定为选择的历史版本配置，不可修改。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 选择“源码仓库”，参考仓库授权创建授权，设置代码来源。 选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 *编译命令 组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 资源 固定为选择的历史版本配置，不可修改。 JVM参数 固定为选择的历史版本配置，不可修改。 组件技术栈类型为Java/Tomcat时，可用于配置Java代码运行时的内存参数大小。 Tomcat配置 固定为选择的历史版本配置，不可修改。 组件技术栈类型为Tomcat时，可用于配置Tomcat请求路径、端口号等参数。 高级设置 固定为选择的历史版本配置，不可修改。 灰度策略 灰度流量比例：引入到新版本的流量比例。 当前流量比例：引入到当前版本的流量比例。 *首批灰度实例数量 首批灰度发布的实例数量，取值范围为[1, 当前总实例数-1]。当前总实例数，即组件当前运行的实例数量。 例如，当前组件总实例数为6，“首批灰度实例数量”参数设置为1，则表示首批升级组件版本配置的实例数量为1。 剩余实例部署批次 首批灰度发布成功之后，剩余实例滚动升级分多少批次完成。 例如，当前组件总实例数为6，“首批灰度实例数量”参数设置为1，且“剩余实例部署批次”设置为3。则当前剩余实例数为5，那么升级剩余实例会按照2:2:1个实例分批升级。 单击“升级”。 在“部署日志”区域，可查看部署进展，等待部署完成。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“基础设施”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“基础设施”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“基础设施”。 在组件“基础设施”页面，选择组件运行资源，查看资源状态及使用情况。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“部署记录”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“部署记录”列表，选择当前最新版本部署记录。 单击“回滚”。 在弹出的对话框，单击“确定”。 等待回滚完成后，组件版本会回滚到升级前版本。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“部署记录”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“部署记录”列表，选择待作为配置模板的历史版本部署记录。 单击在页面右上方“使用此版本重新部署”，弹出“重新部署”对话框。 “部署类型”选择“滚动发布”，单击“确定”。 参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 参数 说明 技术栈 固定为选择的历史版本配置，不可修改。 *YAML模式 部署环境为Kubernetes类型时，支持选择使用YAML配置来重新部署组件。 选择关闭：使用界面配置来重新部署组件。 选择开启：使用YAML配置来重新部署组件，从部署了待升级组件的CCE自动同步组件最新负载信息用于修改后重新部署组件。您也可以单击“导入YAML文件”，导入已经编辑好的待重新部署组件YAML配置文件。 说明： 使用YAML配置来重新部署组件，组件YAML配置文件中各参数的说明请参考Deployment。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 “YAML模式”选择关闭：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 “YAML模式”选择开启：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 “YAML模式”选择关闭：选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 “YAML模式”选择开启：选择软件包，重新选择已上传的软件包，上传方式请参考组件来源说明。 *编译命令 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 环境变量 固定为选择的历史版本配置，不可修改。 组件部署方式为虚拟机部署支持此参数。 资源 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件部署方式为CCE容器部署时支持此参数。 JVM参数 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件技术栈类型为Java/Tomcat时，可用于配置Java代码运行时的内存参数大小。 Tomcat配置 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件技术栈类型为Tomcat时，可用于配置Tomcat请求路径、端口号等参数。 高级设置 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件部署方式为CCE容器部署时支持此参数。 *分几批部署 表示分几个批次升级组件实例，取值范围为[1, 总实例数]。总实例数，即组件当前运行的实例数量。 例如，组件总实例数为4，“分几批部署”参数设置为2，则表示会分2批次升级组件版本配置，每批次升级2个组件实例。 组件部署方式为CCE容器部署时支持此参数。 单击“升级”。 在“部署日志”区域，可查看部署进展，等待部署完成。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“概览”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在页面右上角，单击“升级”。 “升级类型”选择“滚动发布”。 单击“下一步”，参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 参数 说明 技术栈 固定为创建并部署组件时选择的技术栈。 *YAML模式 部署环境为Kubernetes类型时，支持选择使用YAML配置来升级组件。 选择关闭：使用界面配置来升级组件。 选择开启：使用YAML配置来升级组件，从部署了待升级组件的CCE自动同步组件最新负载信息用于修改后升级组件。您也可以单击“导入YAML文件”，导入已经编辑好的待升级组件YAML配置文件。 说明： 使用YAML配置来升级组件，组件YAML配置文件中各参数的说明请参考Deployment。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 “YAML模式”选择关闭：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 “YAML模式”选择开启：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 “YAML模式”选择关闭：选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 “YAML模式”选择开启：选择软件包，重新选择已上传的软件包，上传方式请参考组件来源说明。 *编译命令 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 资源 “YAML模式”选择关闭、组件部署方式为CCE容器部署时可设置。 组件无法调度到剩余资源小于申请值的节点上，配置方法请参考资源限制指南。 可以根据需要自定义“CPU配额”和“内存配额”，修改组件运行可以使用的最大/最小CPU核数（Core）和内存数量（GiB）。如需修改，请勾选待修改项后输入新的配置值。 不勾选，表示不限制。 环境变量 组件部署方式为虚拟机部署时可设置，请参考设置组件环境变量。 JVM参数 “YAML模式”选择关闭或者组件部署方式为虚拟机部署、技术栈类型选择Java/Tomcat时可设置，用于配置Java代码运行时的内存参数大小。 输入JVM参数，如-Xms256m -Xmx1024m，多个参数以空格间隔，不填则为空。 Tomcat配置 “YAML模式”选择关闭或者组件部署方式为虚拟机部署、技术栈类型选择Tomcat时可设置，用于配置Tomcat请求路径、端口号等参数。 勾选“Tomcat配置”，弹出“Tomcat配置”对话框。 单击“使用示例模板”，根据业务要求编辑模板文件。 说明： Tomcat配置，使用默认server.xml配置，上下文路径是"/"，没有指定应用路径。 如需自定义应用路径，请参考定制Tomcat Context path。 单击“确定”。 高级设置 “YAML模式”选择关闭、组件部署方式为CCE容器部署时可设置。 请参考13，设置“微服务引擎”、“组件配置”、“部署配置”、“运维监控”参数。 *分几批部署 组件部署方式为CCE容器部署时可设置。 表示分几个批次升级组件实例，取值范围为[1, 总实例数]。总实例数，即组件当前运行的实例数量。 例如，组件总实例数为4，“分几批部署”参数设置为2，则表示会分2批次升级组件版本配置，每批次升级2个组件实例。 单击“升级”。 等待组件状态由“升级/回滚中”转换为“运行中”，表示已成功完成组件版本配置升级。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“概览”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在页面右上角，单击“升级”。 “升级类型”选择“灰度发布（金丝雀）”。 单击“下一步”，参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 通过本操作执行组件微服务灰度发布升级过程中，请勿同时通过CSE执行组件微服务灰度发布，否则会导致本操作失效。 通过CSE执行组件微服务灰度发布，请参考灰度发布。 参数 说明 技术栈 固定为创建并部署组件时选择的技术栈。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 选择“源码仓库”，参考仓库授权创建授权，设置代码来源。 选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 *编译命令 组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 资源 组件无法调度到剩余资源小于申请值的节点上，配置方法请参考资源限制指南。 可以根据需要自定义“CPU配额”和“内存配额”，修改组件运行可以使用的最大/最小CPU核数（Core）和内存数量（GiB）。如需修改，请勾选待修改项后输入新的配置值。 不勾选，表示不限制。 JVM参数 技术栈类型选择Java/Tomcat时可设置，用于配置Java代码运行时的内存参数大小。 输入JVM参数，如-Xms256m -Xmx1024m，多个参数以空格间隔，不填则为空。 Tomcat配置 技术栈类型选择Tomcat时可设置，用于配置Tomcat请求路径、端口号等参数。 勾选“Tomcat配置”，弹出“Tomcat配置”对话框。 单击“使用示例模板”，根据业务要求编辑模板文件。 说明： Tomcat配置，使用默认server.xml配置，上下文路径是"/"，没有指定应用路径。 如需自定义应用路径，请参考定制Tomcat Context path。 单击“确定”。 高级设置 请参考13设置“组件配置”、“部署配置”、“运维监控”参数。 灰度策略 灰度流量比例：引入到新版本的流量比例。 当前流量比例：引入到当前版本的流量比例。 *首批灰度实例数量 首批灰度发布的实例数量，取值范围为[1, 当前总实例数-1]。当前总实例数，即组件当前运行的实例数量。 例如，当前组件总实例数为6，“首批灰度实例数量”参数设置为1，则表示首批升级组件版本配置的实例数量为1。 剩余实例部署批次 首批灰度发布成功之后，剩余实例滚动升级分多少批次完成。 例如，当前组件总实例数为6，“首批灰度实例数量”参数设置为1，且“剩余实例部署批次”设置为3。则当前剩余实例数为5，那么升级剩余实例会按照2:2:1个实例分批升级。 单击“升级”。 等待组件状态由“升级/回滚中”转换为“运行中”，表示已成功完成组件版本配置升级。

后续操作 操作 说明 查看系统监控 通过灰度发布（金丝雀）升级组件版本配置时，首批灰度发布完成后，选择“系统监控”页签，可以监控灰度版本和当前版本实例的CPU、内存使用情况。 滚动升级剩余实例 通过灰度发布（金丝雀）升级组件版本配置时首批灰度发布成功且验证新版本功能正常后，如需升级剩余组件实例版本到新版本，请执行以下操作： 选择“灰度发布（金丝雀）”类型的“部署记录”。 单击“滚动升级剩余实例”。 在弹出对话框，单击“确定”。 按照5设置的升级策略升级剩余的实例到新版本。 回滚组件版本配置 下列情况支持回滚组件版本配置： 通过灰度发布（金丝雀）升级组件版本配置时首批灰度发布完成后 组件全部实例的版本配置升级到新版本后 回滚到升级前组件版本配置，请参考回滚组件版本配置。 重新部署组件 根据业务需要，您可以在“部署记录”列表中选择历史版本配置，并以此版本配置为模板，重新部署组件，请参考重新部署组件。

操作场景 漏洞是攻击者入侵企业系统的主要手段之一，攻击者可以利用漏洞获取系统权限、窃取敏感信息或者破坏系统功能。完成漏洞整改可以有效地提高系统的安全性，预防潜在的攻击。 安全云脑提供漏洞修复帮助用户针对配置隐患和系统漏洞进行排查。安全云脑的漏洞管理分为Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞进行管理。 Linux漏洞：内含常见Linux系统以及组件的各类漏洞，如内核漏洞、组件漏洞等。 Windows漏洞：内含Windows系统最新漏洞以及补丁。 Web-CMS漏洞：内含常见web-cms框架漏洞信息，如phpmyadmin等。 应用漏洞：内含常见应用类型漏洞，如fastjson、log4j2等。

侦察阶段典型告警 恶意攻击者在对网站进行入侵时通常会进行大量的信息搜集，安全云脑可以通过模型：网络-高危端口对外暴露、应用-源ip进行url遍历、应用-疑似存在源码泄露风险、网络-外部恶意IP扫描等模型对即将来到的恶意攻击进行提前预判。 图1 网络-高危端口对外暴露 图2 应用-源ip进行url遍历 处理方案： 记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。

持久化控制典型告警 描述： 黑客入侵成功后会在系统中留下的一个漏洞或隐藏的入口如修改计划任务等操作，攻击者可以利用这个漏洞或入口来绕过系统的安全防护措施，快速连接并获得系统的控制权。 安全云脑现有模型：网络-后门、主机-恶意定时任务写入，可以防止黑客持久化控制进行长期的数据窃取、恶意软件传播、权限维持、挖矿等行为操作。 图10 网络-后门 处理方案： 断开网络连接。首先应该立即断开与互联网的连接，防止后门进一步传播或者窃取您的敏感信息。 使用杀毒软件进行扫描。您可以使用杀毒软件进行扫描和清除后门，确保系统的安全性。如果您没有安装杀毒软件，可以通过其他计算机下载杀毒软件并将其拷贝到感染的计算机上运行。 更新操作系统和软件。更新可以修复已知的漏洞和安全问题，提高系统的安全性。 查找和删除可疑文件。您可以查找和删除可疑文件，例如未知的程序或脚本文件，这些文件可能是后门的入口。

尝试攻击典型告警 描述： 黑客进行尝试攻击利用web应用程序的漏洞或缺陷进行攻击，可能会造成信息泄露、网站瘫痪、恶意软件传播、网站篡改等。 安全云脑现有模型：应用-WAF关键攻击告警、网络-检测黑客工具攻击、网络-登录爆破告警、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、网络-疑似存在DOS攻击、应用-疑似存在 Java框架通用代码执行漏洞、应用-疑似存在fastjson漏洞等，可以针对于现在主流Web攻击漏洞进行检测。 图3 应用-疑似存在log4j2漏洞 图4 应用-WAF关键攻击告警 处理方案： 需要联系业务责任人，排查Web服务器是否存在相关漏洞，确认是否攻击成功。若存在漏洞，应及时修改漏洞并加固安全；若攻击成功，可结合威胁情报对攻击IP进行拦截。

入侵成功典型告警 描述： 命令注入、暴力破解成功、异常shell、异地登录、恶意软件(蠕虫、病毒、木马)、高危命令执行等等，往往是入侵成功的标志。 安全云脑现有模型：网络-命令注入告警、主机-暴力破解成功、主机-异常shell、主机-异地登录、网络-恶意软件 [蠕虫、病毒、木马]、主机-进程和端口信息隐匿、主机-异常文件属性修改等多个模型，可以成功快速识别恶意行为，帮助我们对事件进行快速定位，快速相应。 图5 主机-暴力破解成功 图6 网络-恶意软件 [蠕虫、病毒、木马]

防御绕过典型告警 描述： 当攻击者通过操作系统或应用程序中的安全漏洞获得系统的root权限后，攻击者会在侵入的主机中安装rootkit，常见的方式是通过加载特殊的驱动（windows）、安装内核模块（Linux）来修改系统内核，进而达到隐藏、操纵、收集数据等目的。在ATT&CK网站，Rootkit被列入Defense Evasion大类，即规避防御，其最终目的还是为了规避一些安全服务/软件的检测。 安全云脑现有模型：主机-恶意文件执行、主机-rootkit事件，可以精准发现相关事件，快速进行告警减少失分。 图7 主机-rootkit事件 处理方案： 检测出恶意程序安装，建议您立即确认该程序安装是否正常业务引起。若非正常业务引起，建议您立即登录系统终止该恶意程序安装行为，利用主机安全告警信息全面排查系统风险，避免系统遭受进一步破坏。

权限维持典型告警 描述： 攻击者入侵成功后会进行权限维持获得持久权限，通常采用反弹shell、上传木马等方式进行权限维持。 安全云脑现有模型：主机-反弹shell、主机-恶意程序、网络-检测异常连接行为，曾多次发现异常权限转发、控制行为，帮助我们及时处理相关问题，避免导致数据泄露、系统崩溃、网络瘫痪等严重后果。 图8 主机-恶意程序 处理方案： 联系所属主机的责任人，登录到主机上停止恶意程序并删除恶意文件，同时进一步排查是否存在可疑进程，是否开放了可疑端口，是否有可疑连接等，并进一步检查自启动项，避免遗留，此外可以结合其他方式进行综合判断。

横向移动典型告警 描述： 攻击者在已经控制的一台计算机时，会通过横向移动或传播的方式，试图攻击其他计算机或系统，以获取更多的敏感信息或控制权，横向连接是一种常见的网络攻击手段。 安全云脑现有模型：主机-虚拟机横向连接，可以快速识别失陷主机，精准定位受害情况，减少损失。 图9 主机-虚拟机横向连接 处理方案： 建议通过堡垒机等审计记录查看该命令是程序执行还是人为操作，若为人为操作，需联系对应操作人确定，若为非正常业务人员操作，需尽快确定该行为是否为异常恶意行为，是否危害到对应虚拟机，及时采取措施，保护计算机和系统的安全。

敏感信息排查 敏感信息是对象存储服务（Object Storage Service，OBS）、ES、云数据库（Relational Database Service，RDS）中的数据，结合数据安全中心（Data Security Center，DSC）服务，进行敏感信息排查。 执行基线检查后，可以单击对应基线检查项目的“查看详情”，在详情页会列出来所有涉及的存储资产，需要根据加固建议对有敏感信息的数据进行整改。需要注意的是整改数据是高危操作，需要根据业务场景需求判断之后进行处置。 图2 OBS中敏感信息检查 例如，OBS桶的拥有者可以通过桶ACL授予指定帐号或用户组特定的访问权限。所以，所有OBS桶尽量都控制好对应的访问权限，不要对匿名用户赋予桶访问权限或者ACL访问权限。同样，OBS服务端加密也是为了保证数据安全性的配置，在数据存储时使用服务端加密将数据加密成密文后存储。 图3 OBS桶的ACL权限检查

主机加固 主机加固是针对项目主机、网络、集群等相关方面的加固检查。 主机是针对业务开放的端口进行扫描，对高危端口进行告警。 图5 主机高危端口暴露检查 集群只针对CCE集群，针对集群有安全漏洞风险的版本，建议进行升级。 网络针对包含不同VPC之前的互联和出口网关设备，建议是不同VPC之间没有进行任何的交互。如果因客观原因无法满足的，请单击“忽略”检查项。 图6 CCE集群Kubernetes版本检查

操作场景 安全云脑支持根据基线检查计划检查您的服务基线配置是否存在风险，提供了“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大类别的检查规范。 护网/重保期间推荐使用“安全上云合规检查1.0”和“护网检查”两个规范。 检查之后分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。 所有检查项检查完成之后进入详情页面，不合格检查项按照加固建议进行修复，特别是靶标，通过资产搜索，清零不合格检查项。同时，配置检查计划，每天定时扫描刷新结果。 另外，除了基线检查内置的检查项，护网/重保期间也可以针对自己的业务场景，通过安全模型自定义自己的检查机制，通过告警通知触发跟踪，具体详情请参见安全运营策略调整。

执行管道 表1 选择执行管道 告警模板 需要选择的执行管道 应用-WAF关键攻击告警 sec-waf-attack 网络-高危端口对外暴露 sec-nip-attack 应用-源ip进行url遍历 sec-waf-access 应用-疑似存在源码泄露风险 sec-waf-access 网络-外部恶意IP扫描 sec-cfw-block 网络-检测黑客工具攻击 sec-nip-attack 网络-登录爆破告警 sec-nip-attack 网络-僵尸网络 sec-nip-attack 应用-疑似存在Shiro漏洞 sec-waf-attack 应用-疑似存在log4j2漏洞 sec-waf-attack 网络-疑似存在DDoS攻击 sec-cfw-block 应用-疑似存在 Java框架通用代码执行漏洞 sec-waf-attack 网络-命令注入告警 sec-nip-attack 主机-暴力破解成功 sec-hss-alarm 主机-异常shell sec-hss-alarm 主机-异地登录 sec-hss-alarm 网络-恶意软件 [蠕虫、病毒、木马] sec-nip-attack 主机-进程和端口信息隐匿 sec-hss-log 主机-异常文件权限修改 sec-hss-log 主机-异常文件属性修改 sec-hss-log 主机-恶意文件下载 (挖矿) sec-hss-log 主机-rootkit事件 sec-hss-alarm 主机-恶意文件执行 sec-hss-log 主机-反弹shell sec-hss-alarm 主机-恶意程序 sec-hss-alarm 主机-虚拟机横向连接 sec-hss-log 网络-后门 sec-nip-attack 主机-恶意定时任务写入 sec-hss-log

服务含义区别 安全云脑（SecMaster）是华为云原生的新一代安全运营中心，集华为云多年安全经验，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、容器安全和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，SecMaster是呈现全局安全态势的服务，HSS是提升主机和容器安全性的服务。