用户手册 用户手册 天翼云数据加密服务用户指南.pdf

数据管理服务支持数据来源为云数据库、数据类型为MySQL、地域/资源池一致的不同实例之间进行数据复制，本文介绍如何提交复制任务。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 操作用户拥有对源数据库与目标数据库的的读写权限。 源数据库与目标数据库均已是登录状态。 操作步骤 1. 登录数据管理服务控制台。 2. 打开左侧导航栏，选择开发空间> 数据复制 ，进入数据复制管理页面，开始创建复制任务。 3. 单击数据复制选项，按照要求填写数据复制工单，具体的填写说明如下表所示。 输入内容 说明 源数据库 数据库实例选择列表，数据来源于 数据资产元数据管理 中添加的数据库实例，支持来源为云数据库的MySQL。 源数据库表选择 根据需求选择全部表或部分表。 请选择表 若在源数据库表选择中选中部分表选项，则可以根据需求在请选择表下拉选项中选择需要克隆的表。 目标数据库 数据库实例选择列表，数据来源于 数据资产元数据管理 中添加的数据库实例，支持来源为云数据库的MySQL。 复制范围 根据需求选择表结构或全量数据。 附加范围 根据需求选择视图、存储过程、函数、事件、触发器五个选项中的一个或者多个。 同名对象处理 根据需求选择跳过同名对象或覆盖同名对象。 计划执行时间 根据需求选择立即执行或指定时间。 选择日期时间 若在计划执行时间选择指定时间，则可以在选择日期时间根据需求选择开始时间点。 工单说明 描述工单备注内容。 4. 按照需求填写好数据复制工单后，单击提交选项完成工单的提交，等待数据复制完成。

本节介绍了用户创建弹性云主机成功后远程登录提示密码错误的处理方法。 处理方法 通过检查弹性云主机的网络配置，是否导致弹性云主机Cloudinit失败，检查步骤如下： 弹性云主机所在安全组80端口“出方向”和“入方向”是否放通。 弹性云主机所在子网DHCP是否放通。 说明 弹性云主机所在的安全组80端口、弹性云主机子网DHCP放通后，重启弹性云主机，等待3～5分钟，远程登录输入密码或密钥可以登录。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 41f64827f25f468595ffa3a5deb5d15d backupPolicyName 否 String 备份计划名字模糊匹配查询参数权重同级 backup6d3ftest backupPolicyID 否 String 备份计划ID查询参数权重同级 04c77f579f2d4fa298580c72986eefe0 backupSrcInstanceID 否 String 主机 ID查询参数权重同级 15743497eb282d7db1f253851c0ee893 backupStorageID 否 String 存储库ID查询参数权重同级 10b8a76f821942bea7f7bb4e4bb086a6 backupSnapStatus 否 String 状态查询：Available可用/NotAvailable不可用/Restoring恢复中 Available queryContent 否 String 可选查询：名称/ID/主机名称/存储库名称/备份计划名称 snap1725957974policy1825x isCloud 否 Boolean 是否是云上资源(默认true)，true：弹性云主机，false：本地客户主机。该参数后续即将下线，推荐使用sourceType参数 true sourceType 否 String 产品服务类型(默认CTECS)，CTECS：弹性云主机，CTDPS：裸金属物理机，CTLS：本地客户主机 CTDPS

本文介绍数据库管理服务为云数据库开启数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL与SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、南昌5、青岛20、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 注意事项 审计日志保留天数默认为1天，可设置范围为1~3天。 开启/关闭数据库审计 平台提供了多种开启/关闭数据库审计的途径： 在左侧导航栏中，单击 数据资产 > 实例管理 ，找到目标实例，在数据库审计列，单击开关按钮进行开启或关闭审计功能。 在左侧导航栏中，单击SQL治理 >SQL审计 ，点击页面的开启审计日志按钮选择目标实例开启审计日志功能。

参数 参数说明 数据库名称 数据库名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 数据库名称大小写不敏感且不能为空。 输入长度不能超过128个字符。 用户名 数据库所有者。 表数量 对应数据库中表的数量。 描述 创建数据库时，对数据库的描述。如果没有描述，则显示“”。 企业项目 显示所属的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 操作 权限管理：可查看“权限信息”，进行“授权”、“权限设置”和“回收用户权限”。 表管理：可查看对应数据库下的表。具体描述请参见下方“表管理页面”。 创建表：在对应数据库中创建表。 修改数据库：修改数据库的所有者。必须是相同账户下已存在的用户名。 删除数据库：删除所选数据库。

本文为您介绍创建订阅渠道的前提条件和操作步骤。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 说明 数据订阅功能当前为受限开放，如有需求可以联系客户经理为您开放此功能。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 单击左侧“数据订阅”菜单，进入数据订阅任务列表。 5. 单击“创建订阅任务”功能，进入数据订阅任务创建二级页面。 6. 创建订阅任务参数配置如下： 模块 参数 参数说明 配置示例 备注 配置订阅渠道 网络通道 公网/vpc内网 公网 配置订阅渠道 订阅类型 公网：分布式消息服务/remotewriteAPI/API vpc内网:分布式消息服务 分布式消息服务 配置订阅渠道 类型 对应订阅类型下选择支持的类型 分布式消息服务Kafka 配置订阅渠道 地址 填写分布式消息服务/remotewriteAPI/API目标地址 配置订阅渠道 实例选择 下拉选择所创建的kafka实例（前提：“网络通道”选择“vpc内网”） 配置订阅渠道 用户名 目标地址用户名信息 test 配置订阅渠道 密码 目标地址用户名对应密码信息 配置订阅渠道 TOPIC 目标地址主题（TOPIC） 配置订阅渠道 kafka版本 选择目标客户端kafka版本，2.0.0/2.1.0 2.1.0 2.0.0及以下版本，请选择2.0.0 2.0.0以上版本，请选择2.1.0 基本信息 名称 填写订阅渠道名称 test 基本信息 描述 填写订阅渠道描述信息 注意 1、vpc内网数据订阅渠道同样为受限开放功能，如有需要请联系客户经理。

如果您需要对天翼云上购买的存储容灾服务（Storage Disaster Recovery Service）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用SDRS的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品帮助中心。 SDRS系统策略 策略是以JSON格式描述权限集的语言。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。IAM系统预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些系统策略。 SDRS部署时通过物理区域划分，为项目级服务，需要在各区域（如江苏苏州）对应的项目（cnjssz1）中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问SDRS时，需要先切换至授权区域。

等保级别 套餐型号 套餐安全功能特性 可选安全组件及规格 二级等保 入门版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 二级等保 入门版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 二级等保 入门版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 二级等保 入门版 安全管理中心 二级等保 基础版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 二级等保 基础版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 二级等保 基础版 终端安全EDR（防病毒/补丁/基线/微隔离） 终端安全EDR：实际资产数 二级等保 基础版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 二级等保 基础版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 二级等保 基础版 安全管理中心 三级等保 高级版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 三级等保 高级版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 三级等保 高级版 终端安全EDR（防病毒/补丁/基线/微隔离） 终端安全EDR：实际资产数 三级等保 高级版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 三级等保 高级版 主机漏扫 安全管理中心基础版：10/20/50/100/200/300/500资产 三级等保 高级版 安全管理中心 三级等保 高级版 云数据库审计 云数据库审计：100M/200M/400M/600M 三级等保 旗舰版 云防火墙（含WAF/防篡改模块） 云防火墙：100M/200M/300M/400M/500M/800M/1G/1.6G 三级等保 旗舰版 云日志审计 云日志审计：10/20/50/100/200/300/500资产 三级等保 旗舰版 终端安全EDR（防病毒/补丁/基线微隔离） 终端安全EDR：实际资产数 三级等保 旗舰版 云堡垒机 云堡垒机：10/20/50/100/200/300/500资产 三级等保 旗舰版 主机漏扫 安全管理中心高级版：10/20/50/100/200/300/500资产 三级等保 旗舰版 应用漏扫 三级等保 旗舰版 安全管理中心 三级等保 旗舰版 云数据库审计 云数据库审计：100M/200M/400M/600M

本文为您介绍如何通过快照对OpenSearch实例进行恢复。 利用已有快照通过恢复功能将实例恢复至指定快照状态 约束限制 1. 仅限恢复至当前实例或同一资源池内实例，不支持跨资源池恢复。 2. 实例正在恢复中时不支持重启、删除当前实例，也不支持删除正在恢复的快照。 前提条件 快照列表中快照状态为“已生成”，实例状态为“运行中”。 操作步骤 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要恢复的实例，进入实例详情，在备份管理的快照列表中找到需要恢复的快照，点击“备份恢复”。 2. 选择要恢复的目标实例，目标实例须在运行中，不能正在执行处理任务或异常状态。 3. 填写恢复的参数，支持全部实例恢复和指定部分索引恢复。指定索引恢复时，需要先确保实例中没有同名称的索引存在。支持使用“”匹配多个索引，例如“index ”表示备份名称前缀时index的所有索引数据。 4. 支持对恢复的索引进行重命名，请填写重命名匹配模式的正则表达式，在恢复时，将根据文本框中定义的过滤条件去筛选快照中符合条件的索引。同时，您需要填写重命名替换模板，将根据上述匹配到的索引以您指定的规则模版进行重命名恢复。填写框支持0～1024个字符，不支持大写字母、空格以及字符" /?。 5. 单击确定开始恢复，当恢复信息对应记录变为“已完成”即恢复成功，您可通过索引管理查看对应索引的恢复情况。

概述 API授权用于保护API安全访问，确保只有授权用户能调用API。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表。 4. 点击进入对应的API详情页，上方导航栏点击授权信息。 开启API授权 只有开启了应用授权的API，才能进行授权访问。可在创建时开启，也可编辑API，安全认证选择应用授权开启。 应用授权 应用授权支持环境隔离，只有API发布到指定环境后才能进行授权。将需要授权的应用添加到右侧区块，点击确定即可完成批量授权。授权可设置有效期或选择长期有效。 解除应用授权 在API应用授权信息列表中，可选择授权应用进行移除。 关闭应用授权 编辑API，安全认证方式，选择无认证，即可关闭应用授权。

本文介绍弹性云主机常见的搭建实践。 当您购买了弹性云主机后，可以根据业务需要搭建为不同的环境、网站或应用。 本文介绍弹性云主机常见的搭建实践，帮助您更好的使用弹性云主机。 环境搭建 实践 描述 基于Tomcat构建Java web环境 以CentOS 7.3 64bit操作系统云主机为例，介绍如何搭建Java Web环境 手工搭建LNMP环境 以CentOS 7.2 64bit操作系统云主机为例，介绍如何搭建LNMP环境 应用搭建 实践 描述 搭建FTP站点（Linux） 以CentOS 7.2 64bit操作系统云主机为例，介绍如何搭建FTP站点 搭建FTP站点（Windows） 以Windows 2012数据中心版 64bit操作系统云主机为例，介绍如何搭建FTP站点 手工部署Docker 以CentOS 7.5 64bit操作系统云主机为例，介绍如何搭建Docker 手工部署RabbitMQ 以CentOS 7.4 64bit操作系统云主机为例，介绍如何搭建RabbitMQ

此小节介绍云堡垒机的改密策略。 新建改密策略 改密策略用于对主机资源账户自动改密，并可针对多个主机资源账户同时定期改密，提高资源账户安全性。 改密策略支持以下功能项： 支持通过策略手动、定时、周期修改资源账户密码。 支持生成不同密码、相同密码，以及生成自定义相同密码。 约束限制 仅SSH，RDP和Telnet协议类型的主机，支持通过改密策略修改资源账户密码。 Windows主机资源需启用SMB服务，并放开主机安全组445端口，才能通过改密策略修改资源账户密码。 关联Windows 10资源账户前，需先参照配置Windows 10服务器相关参数进行服务器相关参数的配置。 前提条件 已获取“改密策略”模块操作权限。 待改密资源的“系统类型”需与资源实际系统类型完全匹配。 新建改密策略 1 登录云堡垒机系统。 2 选择“策略 > 改密策略 > 策略列表”，进入改密策略列表页面。 3 单击“新建”，弹出改密策略配置窗口。 4 配置改密策略基本配置。 改密策略参数说明 参数 说明 策略名称 自定义的改密策略名称，系统内“策略名称”不能重复。 执行方式 选择改密执行方式，可选择“手动执行”、“定时执行”、“周期执行”。 手动执行：手动触发改密策略，修改资源账户密码。 定时执行：定期自动触发改密策略，修改资源账户密码。仅执行一次。 周期执行：周期自动触发改密策略，修改资源账户密码。可按周期执行多次。 执行时间 执行改密策略的日期。默认执行时刻为日期的凌晨零点。 执行周期 执行周期改密，需输入改密周期。 单位为天。 需同时选择“结束时间”，否则将无限期执行周期改密。 改密方式 选择改密方式。可选择“生成不同密码”、“生成相同密码”、“指定相同密码”。 生成不同密码：根据主机对帐户的密码要求，随机生成不同资源账户密码。 生成相同密码：根据主机对帐户的密码要求，随机生成相同资源账户密码。 指定相同密码：需手动输入预置密码。 自动生成密码和手动输入密码设置要求： 密码复杂度为包含大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和四种特殊字符（"%"、"?"、""、""、），密码长度为20位。 密码设置要求为在遵循主机帐户的密码要求基础上，不允许以特殊字符开头。 更多选项 支持以下几种方式： “允许修改特权账户密码”，表示可修改特权账户的密码，否则特权账户密码不能被修改。默认不选中。 “使用特权账户改密”，表示系统自动寻找资源账户对应的特权账户，通过特权账户修改资源账户密码。无特权账户时，资源账户自行修改密码。默认选中。 5 单击“下一步”，关联资源账户或账户组。 当账户组关联策略后，新资源账户加入到账户组中会自动继承账户组的策略权限。 关联多个资源账户时，可批量修改资源账户密码。 6 单击“确定”，返回改密策略列表，查看新建的改密策略。 改密策略执行后，可以下载改密日志，获取新的资源账户密码。

本文为您介绍加载云专线(CDA)网络实例的操作流程。 限制说明 当云企业路由器和云专线（CDA）实例属于同一主账号时，必须确保二者处于同一企业项目下。 当前云企业路由器所属的云间高速获得CDA得跨账号授权。 CDA专线网关没有绑定任何VPC网络。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理”页签，找到目标云企业路由器，单击目标云企业路由器名称，进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“加载本地网络实例”，进入加载本地网络实例页面。 6. 在加载本地网络实例页面，根据页面提示，填写参数，单击“确定”，完成网络实例加载。 参数 说明 云间高速 请选择已经创建的云间高速实例。 云企业路由器（区域） 请选择已经创建的云企业路由器实例。 资源归属 请选择资源归属类型“本账号”/“跨账号”。 关联路由表 请选择关联的路由表。 实例类型 请选择类型：【云专线】。 网络实例 请选择已经创建的【云专线】实例。 权重 （可选）配置链路路由权重，可输入类范围（0~255）。 链路冗余 （可选）是否启用冗余模式，若启用，需指定目标冗余组进行加入。同一冗余组内的网络实例默认隔离路由传播。 高级配置（自动路由学习） 自动传播网络实例系统路由至云企业路由器路由表（默认开启）。 高级配置（自动路由同步） 自动同步本侧云企业路由器关联路由表中的路由 （默认开启）。

本文向您介绍镜像如何部署Windows环境。 简介 本节介绍如何使用天翼云镜像，通过重装系统部署Windows环境。如果您已经购买了弹性云主机，想切换成Windows系统，或者想使用镜像重新部署已经预装了其它软件的环境，可以参考本文档的介绍和操作指导。 重装系统的约束与限制可以参见重装操作系统。 操作步骤 1. 登录天翼云控制台。 2. 选择“计算>弹性云主机”。 3. 选中指定的云主机，将云主机进行关机操作。 如果云主机已经处于关机状态，则可以直接执行重装系统操作。重装系统后，系统盘数据将会丢失，如果想要保留某些数据，可以先进行备份。 4. 选择云主机列表操作栏中的“更多”选项，选择“一键重装”。 5. 如果需要批量云主机重装系统，勾选多个云主机实例，选择云主机列表上方的“更多”选项，选择“一键重装”。 6. 仔细阅读一键重装页面的提示信息，选择需要的Windows镜像。镜像可以选择公共镜像、私有镜像、共享镜像、安全产品镜像。 7. 设置密码和用户数据。密码为必填项，用户数据可以暂不配置。点击“确定”按钮，即可进行重装系统的操作。 8. 可以在云主机列表看到重装云主机的状态。 9. 重装完成后，云主机的状态会恢复成“关机”，此时云主机可以正常使用。

本节介绍了如何通过内网连接云数据库TaurusDB的实例。 TaurusDB实例提供Linux操作系统和Windows操作系统连接实例的方法。 Linux操作系统下使用MySQL客户端连接实例，并且提供SSL连接（推荐）和非SSL连接两种连接方式。其中，SSL连接实现了数据加密功能，具有更高的安全性。 Windows操作系统下使用MySQLFront客户端连接实例。 前提条件 1. 创建并登录弹性云主机。 创建并登录弹性云主机，请参见《弹性云主机用户指南》中“创建弹性云主机”和“登录弹性云主机”。 通过弹性云主机连接TaurusDB数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例和ECS所属安全组为 默认安全组 ，则无需设置安全组规则。 如果目标实例和ECS所属安全组为 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。如果安全组规则允许弹性云主机访问，即可连接实例。如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 2. 在准备的弹性云主机上安装客户端 。 Linux操作系统中，您需要在弹性云主机上安装MySQL客户端。建议您下载的MySQL客户端版本高于已创建的TaurusDB实例中数据库版本。如何获取相应安装包及完成安装，请参见如何安装MySQL客户端。 Windows操作系统中，您可以使用任何通用的数据库客户端连接到TaurusDB实例且连接方法类似。本章节以MySQLFront为例，描述Windows操作系统连接实例具体操作步骤，详情请参见使用MySQLFront连接实例。

本章节内容主要介绍数据库性能 文档数据库服务支持读写分离吗 文档数据库服务支持读写分离，它的写操作仅可以在副本集中的主节点上进行，用户通过配置实现读操作在从节点进行。 怎么解决查询运行缓慢的问题 可通过查看慢查询日志，来确定是否存在运行缓慢的查询，以及各个查询的性能特征（如果有的话），从而定位查询运行缓慢的原因。 查询文档数据库服务日志，请参见慢日志。 查看实例的CPU使用率指标，协助定位问题，请参见查看监控指标。 副本集中主备同步存在多长时间的延迟 主节点与备节点的复制延迟是无法利用公式来计算的，它会受到以下因素的影响： 网络通信状况。 主节点的事务压力，即主机每秒执行的事务量。 主节点执行的事务大小，即一个事务要执行多久。 备节点的机器负载状况。 如果主节点在某个时间段压力非常大，每秒执行的事务量非常多，备机通常会出现延迟。 对于文档数据库服务而言，可以在云监控中查看副本集备节点的“主备延时”指标，来观察延迟情况。

您可以采用VNC、MSTSC方式登录Windows弹性云主机,本文介绍操作流程。 只有运行中的云主机才允许用户登录，登录云主机的方式有：VNC方式登录、MSTSC方式登录。 VNC方式登录：未绑定弹性IP的云主机可通过控制中心提供的远程登录方式直接登录。 MSTSC方式登录：仅适用于Windows云主机。您可以通过在本机运行MSTSC方式登录云主机。此时，需要该云主机绑定弹性IP。 说明 如果使用控制中心提供的“远程登录”功能无法满足您的访问需求，请自行在云主机上安装符合要求的远程访问工具（如Tight VNC）。 Tight VNC 下载地址： 首次登录使用用户名administrator。 VNC方式登录 约束与限制 当前提供的远程登录功能是通过系统配置的自定义端口进行访问的，所以在使用远程登录功能时，请确保需要使用的端口未被防火墙屏蔽。例如：远程登录的链接为“xxx:8002”，则需要确保端口8002没有被防火墙屏蔽。 如果客户端操作系统使用了本地代理，且用户无法配置该本地代理的防火墙端口，请关闭代理模式后再使用远程登录功能。 操作步骤 1. 进入天翼云官网，点击页面右上方“控制中心”按钮，登录控制中心。 2. 选择“计算”>“弹性云主机”。 3. VNC方式登录云主机时，需已知其密码，然后再采用VNC方式登录。 4. 在云主机列表中的右上角，输入云主机名、IP地址或ID进行搜索。 5. 在搜索到的云主机的“操作”列下，单击“远程登录“。 6. （可选）如果界面提示“Press CTRL+ALT+DELETE to log on”，请单击远程登录操作面板右上方的“Send CtrlAltDel”按钮进行登录。 7. 根据界面提示，输入云主机的密码，回车完成登录验证。 MSTSC密码方式登录

问题现象 请求KMS报错或使用云服务加密功能报错。 报错信息为：httpcode401,codeAPIGW.0301,MsgIncorrect IAM authentication information: current ip:xx.xx.xx.xx refused。 可能原因 用户在IAM服务中设置了访问控制。 IAM控制策略默认范围为全地址访问，若用户设置了允许访问的IP地址或者网段，则未允许的IP地址/网段均无法访问KMS，或无法使用云服务加密特性。 解决方法 通过云服务控制台访问KMS（如OBS加密）：需要开放10.0.0.0/8、11.0.0.0/8、26.0.0.0/8网段。 通过API调用KMS接口：根据访问的源IP地址设置开放。 开放IP地址操作步骤 步骤 1 登录管理控制台。 步骤 2 单击页面左侧，选择“管理与监督 > 统一身份认证服务 IAM”，默认进入“用户”界面。 步骤 3 选择“安全设置 > 访问控制”，查看“允许访问的IP地址区间”和“允许访问的IP地址或网段”是否包含请求的源IP地址。 说明 需在“控制台访问”和“API访问”中都包含请求的源IP地址。

本节介绍了什么是CPU积分、工作原理、相关概念、关机对CPU积分的影响等相关内容。 什么是CPU积分 CPU积分是一种用来衡量云主机计算、存储以及网络配置利用率的方式。云主机利用CPU积分机制保证云主机基准性能，解决超分云主机长期占用CPU资源的问题。 使用CPU积分机制的弹性云主机适用于平时CPU负载不高、但突发时可接受因积分不足，而导致云主机性能无法超过基准性能的场景。 当前通用入门型弹性云主机使用积分机制，了解更多通用入门型云主机规格请参考通用入门型。 工作原理 当您购买使用CPU积分机制的弹性云主机后，云平台会发放初始积分，用来满足云主机安装后的突发性能要求。 云主机运行后，就会开始消耗积分以满足需求，同时云平台按照一定的速度发放积分。当云主机实际计算性能高于基准CPU计算性能时，会消耗更多的CPU积分来提升CPU性能，满足工作需求。 说明 云平台发放的积分可以累积，但达到最大积分后，停止累积。 初始积分不计入累积积分上限。 当云主机开始消耗CPU积分时，优先使用初始CPU积分。 1个vCPU按照100%利用率，运行1分钟 ，消耗1个积分。 如果实际计算性能长期高于基准性能，则会持续消耗累积积分，当累积积分为0时，实际计算性能无法超过基准性能。

本文为您介绍如何有效管理网络成本。 前提条件 在进行云上业务扩展时，有效优化方案至关重要。当您的业务规模逐渐增大，特别是使用大量的ECS实例时，有效管理网络成本变得尤为重要。传统做法是为每个ECS实例单独配置独享带宽，但这可能会导致带宽资源的浪费，也会在总体上增加网络运营费用。 解决方案 一种更为智能的策略是将多个ECS实例共享一条带宽。通过使用共享带宽这一独立的网络产品，您可以将多个按需计费的弹性公网IP绑定到其中，从而实现多个弹性公网IP的集中限速管理。这种方法不仅可以有效地节省企业的网络运营成本，还能够简化运维统计流程。 共享带宽为您提供了灵活性，您可以将这一带宽资源分配给多个ECS实例、NAT网关、ELB等产品使用，实现资源的合理共享。这样一来，您可以更加精确地控制每个实例的带宽使用情况，避免资源浪费，提升资源利用率。 综上所述，针对云上业务的带宽优化方案是，采用共享带宽作为独立的网络产品，将多个弹性公网IP集中管理，以实现多实例共享一条带宽的策略。这不仅可以有效降低网络成本，还能够更好地管理和优化您的云资源。 支持两种灵活的计费模式： 包年包月：根据购买带宽大小和购买时长计算费用。这种方式通常适用于长期使用网络服务的用户，他们可以根据自己的需求选择不同的套餐，以获得不同的带宽和时长。包年包月方式的优点在于，用户可以灵活地选择适合自己的套餐，并且可以根据自己的需求随时调整。该方式还可以帮助用户节省费用，避免经常续费或取消服务。 按量计费：根据用户所选的带宽大小，天翼云提供按量付费的服务模式。每小时进行收费，用户可以根据自己的需求选择合适的带宽大小。此外，共享带宽的收费方式将按照开通时长进行，无论共享带宽内是否加入了弹性IP，或者弹性IP是否与其他资源进行了绑定，都将被计算在内。 两种计费模式都为您提供了针对不同业务需求的解决方案。根据您的业务特点，选择合适的计费模式能够优化您的资源利用，提升运营效率。

Windows云主机内无法通过WinSCP连接linux云主机,通过xshell可以访问linux云主机。 前提条件 Windows云主机内已下载并安装 WinSCP 客户端（建议从官方网站获取最新版本），默认使用的端口号是22，请确保双方云主机的22端口开放，连接Linux云主机的文件协议选SFTP或SCP。 故障描述 通过Windows云主机内的WinSCP连接Linux云主机失败，报错如图1。 图1 通过winscp连接linux云主机报异常 故障排查 WinSCP是通过SFTP协议进行的主机连接，所以需要判断Linux云主机内的SSH配置文件中是否有sftp相关的配置，查看 /etc/ssh/sshdconfig中关于sftp的配置描述。 图2 检查linux云主机sshd是否开启sftp相关配置 上图2说明SFTP关联的配置文件是/usr/libexec/openssh/sftpserver，如果此文件缺失或者权限不对将会导致WinSCP连接异常，此文件默认权限是755。 解决步骤 如果是sftpserver文件缺失，可以从其他云主机拷贝一份到故障云主机的对应目录下。 如果是权限问题，通过chmod命令修改文件权限。命令如下。 chmod 755 R /usr/libexec/openssh/sftpserver

步骤3：变更规格 1.登录控制台。 2.选择“计算 > 弹性云主机”。 3.在弹性云主机列表，查询待变更弹性云主机状态。 如果不是关机状态，单击“操作”列下的“更多 > 关机”。 4.单击“操作”列下的“更多 > 变更规格”。 系统进入“云主机变更规格”页面。 5.根据界面提示，选择变更后的云主机类型、vCPU和内存。 6.（可选）选择“专属主机”。 对于在专属主机上创建的弹性云主机，系统支持更换云主机所在的专属主机。 此时，您可以单击下拉列表，选择更换专属主机。如果下拉列表中无可用的专属主机，说明专属主机所剩资源不足，不能用于创建变更规格后的弹性云主机。 7.勾选复选框“我确认已完成对弹性云主机的配置”，确认已完成步骤2：检查并安装UVP VMTools。 8.单击“确定”。 说明 如果变更规格失败后，弹性云主机无法使用，可能会需要重装操作系统来恢复云主机，请注意重装操作系统会清除系统盘数据，但不影响数据盘的数据。 步骤5：检查磁盘挂载状态 XEN实例变更为KVM实例时，可能会发生磁盘脱机，因此，变更规格后，需检查磁盘挂载状态是否正常。如果正常，则变更成功。 Windows弹性云主机 详细操作请参考Windows弹性云主机变更规格后数据盘脱机怎么办？

本节介绍了管理共享云硬盘的相关内容。 如何使用VBD和SCSI共享云硬盘？ 您可以创建VBD类型的共享云硬盘和SCSI类型的共享云硬盘。建议将共享云硬盘挂载至位于同一个反亲和性云主机组内的ECS，以提高业务可靠。 ● VBD类型的共享云硬盘：创建的共享云硬盘默认为VBD类型，该类型云硬盘可提供虚拟块存储设备，不支持SCSI锁。当您部署的应用需要使用SCSI锁时，则需要创建SCSI类型的共享云硬盘。 ● SCSI类型的共享云硬盘：SCSI类型的共享云硬盘支持SCSI锁。 说明 ● 为了提升数据的安全性，建议您结合云主机组的反亲和性一同使用SCSI锁，即将SCSI类型的共享云硬盘挂载给同一个反亲和性云主机组内的ECS。 ● 如果ECS不属于任何一个反亲和性云主机组，则不建议您为该ECS挂载SCSI类型的共享云硬盘，否则SCSI锁无法正常使用，并且会导致您的数据面临风险。 反亲和性和SCSI锁的相关概念： 1. 云主机组的反亲和性：ECS在创建时，将会分散地创建在不同的物理主机上，从而提高业务的可靠性。 2. SCSI锁的实现机制：通过SCSI Reservation命令来进行SCSI锁的操作。如果一台ECS给云硬盘传输了一条SCSI Reservation命令，则这个云硬盘对于其他ECS就处于锁定状态，避免了多台ECS同时对云硬盘执行读写操作而导致的数据损坏。 3. 云主机组和SCSI锁的关系：同一个云硬盘的SCSI锁无法区分单个物理主机上的多台ECS，因此只有当ECS位于不同物理主机上时才可以支持SCSI锁，因此建议您结合云主机组的反亲和性一起使用SCSI锁命令。

本节介绍了弹性云主机欠费、到期后的相关内容。 在弹性云主机资源将要到期或欠费时，天翼云会以邮件的方式通知客户，如用户需继续使用，则可联系客户经理执行续费操作或自行在控制台进行续订。如果用户未执行续费操作，天翼云将发送资源超期提醒邮件，并在之后释放弹性云主机资源。 从包周期云主机到期或按需用户发生欠费时算起，云主机将进入15天保留期，超过保留期后，云主机将被删除回收，云主机删除后用户数据不可恢复。

本节介绍了分布式消息服务RabbitMQ产品常见计费类问题。 支持哪些付费方式？ 支持包年包月和按需计费。 产品规格可选择哪些？ 分布式消息服务RabbitMQ是基于高可用、分布式集群技术，完全兼容RabbitMQ开源社区，支持消息路由、事务消息、优先级队列、延迟队列、死信队列、镜像队列等功能的消息云服务，更多产品信息请参见产品规格。 如何选择磁盘空间？ 在集群模式中，RabbitMQ需要对消息持久化写入到磁盘中，因此，在创建RabbitMQ实例选择存储空间时，建议根据业务消息体积预估以及镜像队列副本数量选择合适的存储空间。镜像队列副本数最大为集群的节点数。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB节点数 + 预留磁盘大小100GB。

本文为您罗列了云主机备份的功能清单。 功能名称 功能描述 发布区域 存储库管理 存储库为用户保存备份数据，使用云主机备份时需要先购买存储库。存储库管理介绍了存储库的基本操作，包括支持查看存储库详情、筛选和搜索存储库、扩容存储库、存储库绑定备份策略、存储库解绑备份策略、删除/退订存储库。 上海7/上海36/杭州2/合肥2/南京3/华东1/南昌5/杭州7/福州3/福州4/福州25/佛山3/广州6/南宁23/郴州2/长沙3/海口2/武汉41/长沙42/华南2/西安4/西安5/中卫2（仅省内可见）/乌鲁木齐27/中卫5/西安7/庆阳2/乌鲁木齐7/重庆2/成都4/昆明2/拉萨3/西南1/西南2贵州/青岛20/北京5/晋中/石家庄20/内蒙6/华北2/辽阳1/郑州5/太原4/呼和浩特3 备份管理 备份管理支持查看、删除备份。 上海7/上海36/杭州2/合肥2/南京3/华东1/南昌5/杭州7/福州3/福州4/福州25/佛山3/广州6/南宁23/郴州2/长沙3/海口2/武汉41/长沙42/华南2/西安4/西安5/中卫2（仅省内可见）/乌鲁木齐27/中卫5/西安7/庆阳2/乌鲁木齐7/重庆2/成都4/昆明2/拉萨3/西南1/西南2贵州/青岛20/北京5/晋中/石家庄20/内蒙6/华北2/辽阳1/郑州5/太原4/呼和浩特3 策略管理 策略管理介绍了云主机通过绑定策略，支持自定义定时完成云主机备份任务。策略管理支持绑定存储库、启用、停用、绑定云主机和设置保留策略等功能。 上海7/上海36/杭州2/合肥2/南京3/华东1/南昌5/杭州7/福州3/福州4/福州25/佛山3/广州6/南宁23/郴州2/长沙3/海口2/武汉41/长沙42/华南2/西安4/西安5/中卫2（仅省内可见）/乌鲁木齐27/中卫5/西安7/庆阳2/乌鲁木齐7/重庆2/成都4/昆明2/拉萨3/西南1/西南2贵州/青岛20/北京5/晋中/石家庄20/内蒙6/华北2/辽阳1/郑州5/太原4/呼和浩特3 数据恢复 数据恢复介绍了云主机备份支持恢复数据到原备份云主机和通过备份申请新的云主机。 上海7/上海36/杭州2/合肥2/南京3/华东1/南昌5/杭州7/福州3/福州4/福州25/佛山3/广州6/南宁23/郴州2/长沙3/海口2/武汉41/长沙42/华南2/西安4/西安5/中卫2（仅省内可见）/乌鲁木齐27/中卫5/西安7/庆阳2/乌鲁木齐7/重庆2/成都4/昆明2/拉萨3/西南1/西南2贵州/青岛20/北京5/晋中/石家庄20/内蒙6/华北2/辽阳1/郑州5/太原4/呼和浩特3 云主机备份监控 云主机备份支持的监控指标，包括存储库使用量、存储库使用率。不仅可以对存储库的指标进行监控，还提供了事件监控供您使用。 长沙3/郴州2/福州3/福州25/重庆2/上海7/内蒙6/拉萨3/福州4/北京5/杭州2/南京3/海口2/西安4/西安5/西安7/成都4/晋中/昆明2/合肥2/广州6/石家庄20/辽阳1/武汉41/乌鲁木齐4/乌鲁木齐7/乌鲁木齐27/中卫5/南宁23/佛山3/华东1/华北2/长沙42/南昌5/华南2/郑州5/庆阳2/呼和浩特3/上海36/西南1/西南2贵州/太原4/杭州7

约束限制 病毒查杀过程中会占用较多的内存、CPU、IO等资源，请在服务器空闲时进行病毒查杀。 快速查杀 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击“快速查杀”，弹出“快速查杀”对话框。 5、根据界面提示，填写“快速查杀”任务相关参数。 任务名称：您可自定义一个任务名称。 选择服务器：选择需要进行快速查杀的服务器。 说明 服务器处于查杀状态中时，不能被选择。 处置策略：选择针对检测到的病毒文件的处理方式。 自动处置：经过云病毒检测中心进一步确认为病毒的病毒文件系统自动进行隔离；未被确认为病毒的可疑文件会被打上“可疑”标签，需人工确认后进行处置。 人工处置：仅对检测到的病毒文件展示告警不自动隔离，需人工确认后进行处置。 6、单击“开始扫描”，启动查杀任务。 全盘查杀 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击“全盘查杀”，弹出“全盘查杀”对话框。 5、根据界面提示，填写“全盘查杀”任务相关参数。 任务名称：您可自定义一个任务名称。 选择服务器：选择需要进行全盘查杀的服务器。 说明 服务器处于查杀状态时，不能被选择。 全盘扫描，不扫描网络目录。 处置策略：选择针对检测到的病毒文件的处理方式。 自动处置：经过云病毒检测中心进一步确认为病毒的病毒文件系统自动进行隔离；未被确认为病毒的可疑文件会被打上“可疑”标签，需人工确认后进行处置。 人工处置：仅对检测到的病毒文件展示告警不自动隔离，需人工确认后进行处置。 6、单击“开始扫描”，启动查杀任务。

本节介绍如何退订云防火墙（原生版）N100型实例。 支持在云防火墙（原生版）控制台和费用中心“退订管理”退订云防火墙（原生版）N100型实例。退订实例时，还需要同步退订相应的云主机资源。 在云防火墙（原生版）控制台退订 1. 进入云防火墙（原生版）控制台，在N100型实例页面，获取要退订实例的弹性IP。 2. 进入弹性云主机控制台，根据弹性IP找到相应的云主机，并将云主机关机。 注意 若不关机，会导致云主机资源退订不成功。 3. 进入云防火墙（原生版）控制台，在N100型实例页面，单击实例列表操作列的“退订”，进入退订页面。 4. 在退订页面中，确认退订信息后，勾选“确认退订上述云防火墙（原生版）配额”，并单击“退订”后即可进行退订。 5. 退订申请提交成功后，您可以进入N100型实例页面，查看退订进度。 当实例状态为“已退订”时，表示退订成功。

客户案例 类别 详细说明 某头部电商平台 静态小文件 客户为国内新崛起的电商新势力，通过引导用户发起和朋友、家人、邻居等的拼团，以更低的价格，购买优质商品，几年时间以来已发展成为中国用户规模最大的电商平台之一，客户采用天翼云CDN加速服务后，商品图片得到极速加载，有效提升用户访问体验和购物体验。 某头部手机厂商应用商店 大文件下载 客户是国内TOP手机厂商之一，业务涉及手机应用市场更新、ROM升级等场景，需要提供高质量的下载服务，CDN加速为该手机厂商提供稳定快速的下载服务。 某头部短视频客户 视频点播 天翼云CDN加速针对客户业务超大规模并发访问和内容冷热分布不均的典型特征进行针对性优化，显著提升终端用户首屏及流畅率等方面的使用体验。 翼支付 静态小文件 翼支付为用户提供支付方案、会员权益、民生服务、分期借贷、保险理财等服务内容，依托区块链、云计算、大数据、人工智能等技术，致力于推动包括生活服务、金融服务的数字化升级。用户对文字、图片类内容分发的需求非常频繁，使用天翼云CDN加速服务后，稳定性和安全性得到大幅提高，极大的优化用户访问的速度。 天翼视讯 视频点播 天翼超高清围绕个人家庭、商业消费场景，为用户提供丰富的视频、游戏、VR、XR等娱乐体验。为了提供清晰、流畅、丰富的网络视频服务，天翼视讯选择了天翼云CDN加速，通过天翼云遍布全国且下沉到地市的节点进行内容分发，保障海量高码率超高清视频流畅分发，使用户能随时随地享受流畅的视频体验。

本文主要介绍查看监控数据。 操作场景 云监控对Kafka实例的运行状态进行日常监控，可以通过控制台直观的查看Kafka实例各项监控指标。 前提条件 已创建Kafka实例，且实例中有可消费的消息。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 通过以下任意一种方法，查看监控数据。 在Kafka实例名称后，单击。跳转到云监控页面，查看实例、节点、队列和消费组的监控数据，数据更新周期为1分钟。 单击Kafka实例名称，进入实例详情页。在左侧导航栏单击“监控”，进入监控页面，查看实例、节点、队列和消费组的监控数据，数据更新周期为1分钟。

轻量型云主机新建云硬盘 接口功能介绍 该接口提供用户轻量型云主机新建云硬盘的能力   1. 云硬盘购买完成后自动挂载至轻量型云主机   2. 数据盘到期日与所挂载的实例一致   3. 实例和数据盘必须一起续费，无法单独为实例或数据盘续费   4. 若数据盘所属轻量型云主机已开启自动续费，则数据盘默认开启自动续费   5. 云硬盘计费方式：包年包月 准备工作：   构造请求：在调用前需要了解如何构造请求，详情查看构造请求   认证鉴权：openapi请求需要进行加密调用，详细查看认证鉴权   计费模式：确认开通云主机的计费模式及计费项，详细查看计费方式及计费项   产品选型：购买轻量型云主机前，请先阅读实例套餐了解轻量型云主机的规格套餐，并通过查询轻量型云主机的规格套餐资源接口，获取当前资源池可用轻量型云主机规格信息 注意事项：   成本估算：了解云主机的计费项，详细查看价格总览进行成本估算   用户配额：确认个人在不同资源池下资源配额，可以通过用户配额查询接口进行查询   异步接口：该接口为异步接口，下单成功不代表业务成功。