本章主要介绍为简易认证添加AppCode。 操作场景 简易认证指调用API时，在HTTP请求头部消息增加一个参数XApigAppCode（参数值填凭据详情中“AppCode”的值），而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 当使用APP认证，且开启了简易认证模式，API请求既可以选择使用Key和Secret做签名和校验，也可以选择使用AppCode进行简易认证。 说明 为了确保安全，简易认证仅支持HTTPS方式调用API，不支持HTTP。 每个应用最多可创建5个AppCode。 前提条件 已创建凭据。 生成AppCode 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > 凭据管理”。 步骤 4 单击 凭据名称 ，进入凭据详情页面。 步骤 5 在“AppCodes”区域，单击“添加AppCode”。 步骤 6 在弹窗中配置AppCode，可自动生成，也可手动输入，完成后单击“确定”，生成AppCode。 表 配置AppCode 信息项 描述 生成方式 选择AppCode的生成方式。 自动生成：由系统随机生成AppCode。 手动输入：自定义AppCode。 AppCode 仅手动输入方式需要填写AppCode的值。 使用AppCode进行API请求的简易认证 步骤 1 在创建API时，选择“APP认证”并且开启“支持简易认证”。 说明 如果您修改已有API为简易认证，需要在修改完成后，将API重新发布，使简易认证模式生效。 步骤 2 将支持简易认证的API绑定到已创建的凭据。 步骤 3 发送请求时，增加请求头部参数“XApigAppCode”，省略请求签名相关信息。 以Curl方式为例，增加头部参数名称：XApigAppCode，参数值填已生成的AppCode。 curl X GET " H "contenttype: application/json" H "host: api.exampledemo.com" H "XApigAppCode: xhrJVJKABSOxc7dFZL4gSHEXkCMQC"

帮助您了解基础版/企业版服务接入流程，包括购买阶段、启动阶段、首次接入、持续运营及验收。 服务阶段 实施任务 服务内容 交付物 购买阶段 选购服务 跟随购买指引，进入MDR购买界面，根据需求选择对应的服务内容并完成支付。服务团队将在24h内与用户进行对接，项目进入启动阶段。 购买指引请参见：购买基础版、购买企业版 启动阶段 启动会 通过启动会，就项目的交付内容、范围、计划、以及项目预期达成的目标与客户充分完成讲解，并达成一致 1. 充分讲解《项目启动会PPT》，明确服务内容、服务范围、项目成员、《交付计划表》、验收标准、沟通计划、注意事项等，和客户充分的讲解，就客户痛点需求、项目预期目标达成一致。 2. 同客户签署《保密协议》、《风险告知函》，并输出《会议纪要》；并完善《客户信息表》 3. 会议达成一致后输出《项目启动会会议纪要》并邮件发送 4. 建立客户专属服务群，默认为企业微信群，为客户提供专属服务 《项目启动会PPT》 首次接入 资产梳理及确认 1. 针对本次安全托管服务所购买的资产数，对服务资产进行二次确认并录入平台 2. 进行资产指纹梳理，输出资产指纹信息表，在平台完善资产指纹信息录入 首次接入 组件接入 1. 梳理客户侧已有的关键安全设备及版本，配置相关的安全组件连接平台 2. 确认相关安全组件能正常从平台登录，数据能够正常上报平台 首次接入 上线检查 1. 针对本次对接上MDR平台的组件开展策略检查并记录检查结果至上线检查表中，风险策略与客户确认授权后进行策略调优工作 2. 对客户网络环境的拓扑图，组件信息及DNS，其他代理地址进行初步梳理确认 3. 对服务资产进行确认并填写 首次接入 首次威胁分析 1. 安全组件的策略检查结果和结合首次安全组件安全日志接入分析结果输出首次威胁分析报告 《威胁分析报告》 持续运营阶段 资产管理 1. 根据收集的客户资产信息表，将资产信息录入到平台 2. 对客户资产进行管理，包括资产上下线、资产变更、指纹收集等 《资产信息确认表》 持续运营阶段 脆弱性管理 1. 通过现有安全设备采集的日志信息进行漏洞分析，优先级排序，输出漏洞管理目录 2. 负责整理和输出漏洞可落地修复方案及处置建议，并通告给客户进行处置 3. 跟踪客户漏洞处置情况，处置漏洞修复过程中客户出现的问题 《漏洞清单》 持续运营阶段 威胁管理 1. 通过对安全日志的监测分析，识别内外部威胁，对真实威胁制定处置计划，通告给客户处置或由客户授权进行远程处置 2. 根据客户的业务情况进行策略调优和其他加固措施的执行工作 3. 对于公共的威胁情报根据用户业务情况判断是否存在威胁，及时推送给客户，若存在则协助进行处置 4. 对跟踪的内外部威胁持续跟踪直至闭环 《威胁情报》 持续运营阶段 事件管理 1. 对客户反馈和MDR平台生成事件，通告给用户处置或由用户授权进行远程处置 2. 对于无法处理的事件，进行有效上升处置，及时协调资源进行处置 3. 对未解决的事件跟踪直至闭环 《事件处置报告》 《应急响应报告》 持续运营阶段 沟通汇报 1. 每周每月由服务经理针对客户时间段内所存在的安全工作情况形成报告推送给客户 2. 由服务经理梳理客户半年度服务记录，输出服务总结报告，包括半年度汇报安全托管服务的交付进展及问题处置情况进行远程汇报 《安全运营周报》 《安全运营月报》 《半年度总结汇报》 验收阶段 项目验收 1. 输出年度总结汇报PPT并进行汇报 2. 根据前期沟通的项目验收标准，输出《验收报告》，对MDR托管检测与响应服务交付整体验收 《年度总结汇报》 《项目验收报告》

本文介绍如何申请或者释放SQL Server实例的外网地址。 SQL Server实例创建成功后，默认未绑定弹性IP，不能使用使用公网访问功能。SQL Server支持用户绑定弹性IP，通过公共网络访问数据库实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在【操作】列选择【更多 > 绑定/解绑弹性IP】。 4. 在绑定/解绑弹性IP页面，单击右上角【查看弹性公网IP】按钮，进入到弹性IP页面。 5. 如果未申请外网地址，可以单击右上角【申请弹性IP】按钮开通外网地址。 6. 如果已申请外网地址，可以选择释放外网地址。 注意 如果释放了外网地址，将无法通过原外网连接地址连接SQL Server实例。

本节为您介绍Web应用防火墙（独享版）功能说明类常见问题。 Web应用防火墙是否能防护IP？ WAF可以对IP进行防护。在WAF中配置的源站IP支持私网IP或者内网IP。 有关域名接入WAF的流程说明，请参见网站接入WAF。 Web应用防火墙支持对哪些对象进行防护？ WAF支持对域名或IP进行防护。 Web应用防火墙支持哪些操作系统？ Web应用防火墙部署在云端，即与操作系统没有关系。故Web应用防火墙支持任意操作系统，任意操作系统上的域名服务器都可以接入WAF做防护。 Web应用防火墙提供的是几层防护？ Web应用防火墙提供的是七层（物理层、数据链路层、网络层、传输层、会话层、表示层和应用层）防护。 Web应用防火墙是否支持文件缓存？ WAF只缓存配置了网页防篡改的静态网页，用于将缓存的未被篡改的网页返回给Web访问者，以达到防篡改的目的。

如何自定义系统策略 1. 登录天翼云官网，点击头像，并选择帐号中心，左侧边栏单击统一身份认证，进入IAM。 2. 在左侧导航栏，选择策略管理，进入策略管理页面。 您可以在策略列表中查看系统默认策略和当前已创建的策略信息，包括策略名称、策略类型、作用范围等。 3. 单击页面右上角的创建自定义策略。 4. 按照界面提示，设置策略基本信息后，开始设置策略内容。 选择您所需要的云服务，例如关系数据库MySQL版，然后在下方选择您想要定义的读操作和写操作。 5. 单击保存，即可创建成功。 注意 如果您不使用MySQL系统默认的策略，选用自定义策略时，需要在您的策略中添加ctiam:project:query三元组，才可以看到企业项目。

需获取的信息 获取方式 实例的连接地址 Redis实例支持多种连接地址，推荐使用专有网络连接，可获得更高的安全性和更低的网络延迟。更多信息，请参见 实例的账号（部分客户端程序无需设置） 针对集群版实例，您可以创建一个新的账号并赋予不同的权限。更多信息，请参见 所选实例账号的密码 根据选取账号的不同，密码的填写格式有一定区别： ● 默认账号（以实例名称命名的账号）：直接填写密码即可。 ● 新创建的账号：密码格式为"user""password"。例如自定义账号为testaccount，密码为testPasswd，密码需填写为testaccounttestPasswd。 说明： ● 如果通过第三方数据库管理工具连接Redis实例，请在密码框中输入userpassword进行连接。 ● 如果忘记密码，您可以重置密码。具体操作，请参见

本节为您介绍如何进行专线设置。 操作场景 当智能网关设备端口使用MPLS接入时，用户需要对传输网络为MPLS的配口进行设置。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建，并设置MPLS链路。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 在详情页，单击“设备管理”页签。 6. 单击“专线配置 >设置”。 7. 根据页面提示，设置连接类型和IP地址/掩码。连接类型选择“静态IP”时，需要输入IP地址，选择“动态IP”时，无需配置IP地址。 8. 单击“确定”按钮，完成专线设置。

本文介绍云容器引擎Serverless版的功能特性。 虚拟节点 Serverless集群无需管理节点，但为了兼容原生Kubernetes，以及提供应对突发业务流量的弹性能力，您仍会在集群中看到虚拟节点的存在。 Pod配置 在Serverless集群中创建Pod时，您可以通过添加Annotation来定制Pod。 网络管理 Serverless集群支持Service和Ingress等对象的个性化定制，并且允许通过CoreDNS和弹性IP等办法提供服务发现功能。 存储管理 支持天翼云盘挂载，提供标准的CSI，支持存储卷的自动创建。 可观测性 Serverless集群支持安装相应组件启动监控功能。 镜像管理 Serverless集群支持使用ImageCache来加速创建Pod，帮助您快速响应业务。 组件管理 Serverless集群提供多种类型的组件，以扩展集群的各种功能。根据业务需求，您可以随时部署、升级或卸载这些组件。 应用管理 Serverless集群支持灰度发布、蓝绿发布、应用监控以及应用弹性伸缩。同时，内置的模板市场支持Helm应用一键部署，大大简化云服务集成。

本章节为您介绍如何升级云堡垒机的实例版本。 新版本的云堡垒机对系统进行了功能优化或添加了新功能，请及时升级版本。 注意 在堡垒机升级至1.3.0版本后，需要卸载旧的访问插件，在“运维设置 > 访问插件”中下载最新版本插件进行安装。 堡垒机在升级失败后会自动回退版本。 前提条件 已获取管理控制台的登录账号与密码。 已绑定EIP，且EIP可用。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需变更升级的实例，单击所在行“操作”列中“更多 > 升级版本”，或单击实例名称旁的提示框中“升级”。 4. 在弹出的对话框中单击“确定”，堡垒机开始进行自动升级并且堡垒机的状态会变为“升级中”。 5. 待堡垒机状态变为“运行中”即表示升级已经结束，可正常使用堡垒机。

本章介绍什么是专属云关系型数据库，有哪些部署前提。 专属云关系数据库PostgreSQL版（CTRDS PostgreSQL）是一款基于云计算平台的在线独享关系型数据库服务，提供单机、主备、只读三种实例类型，提供备份、恢复、扩容、监控等数据库服务。相对于公有云关系型数据库来说，专属云关系型数据库部署在用户独享的专属计算资源内，与专属计算及专属存储共同提供整体的专属云服务。 专属云关系型数据库按照项目制部署，需要具备以下几个条件方可部署： 1. 专属计算资源采用C系列主机。 2. 如采用专属存储，请购买超高IO的专属存储资源。 3. 主备实例和只读实例需要满足反亲和性，如要开通主备数据库或单机+只读实例，需要至少2台以上专属计算宿主机，如要开通主备+只读实例，则至少需要3台以上专属计算宿主机。 备注：目前专属云关系数据库仅支持按需付费。

参数 类型 描述 是否必须 targetName String iSCSI target名称。 取值：长度范围是1~16，可以由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 是 maxSessions Integer iSCSI target下每个IQN允许建立的最大会话数。 取值：取值范围是[0, 1024]，默认值为1。0表示客户端无法发现该target。 注意 如果多个客户端连接同一target IQN，客户端可以同时读，但不能同时写。 否 reclaimPolicy String 指定iSCSI target的回收策略。 取值： Delete：当iSCSI target关联的卷全部删除后，iSCSI target自动删除。 Retain：当iSCSI target关联的卷全部删除后，iSCSI target仍然保留。 默认值为Retain。 说明 如果创建卷时指定不存在的iSCSI target，那么同时创建iSCSI target，新创建iSCSI target的回收策略默认为Delete。 否 chap.name String CHAP名称。 取值：长度范围是3~64，可以由字母、数字、句点（.）、短横线（）、下划线（）和冒号（:）组成，字母区分大小写，且仅支持以字母或数字开头。 否 chap.password String CHAP密码。 取值：长度范围是12~16，必须包含大写字母、小写字母、数字、下划线()中的至少两种字符，字母区分大小写。 否 chap.status String 是否启用CHAP认证。 取值： Enabled：启用CHAP认证。 Disabled：禁用CHAP认证。 注意 如果启用CHAP认证，name和password必须设置。 是 serverNumbers Integer target所在的服务器数量（仅集群版支持）。 取值：[2, n]，n为集群内服务器的数量。默认值是2。 否 server Array of string 指定iSCSI target对应的服务器ID（仅集群版支持）。 最多可以指定n个服务器ID，以英文逗号隔开。n为集群内服务器的数量。 否 allowlist.initiator Array of initiator 对target下所有IQN指定iSCSI发起方（initiator）允许访问列表。可以设置多组initiator允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和initiator名称，二者为“与”的关系。详见“ 表1 参数initiator说明 ”。 说明 如果不设置，则表示允许所有访问。 否 allowlist.target Array of target 对target下所有IQN指定目标端（target）的允许访问列表。可以设置多组target允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和NIC名称，二者为“与”的关系。详见“ 表2 参数target说明 ”。 说明 如果不设置，则表示允许所有访问。 否

本页面主要介绍数据库代理如何查看监控数据,以及支持的监控指标。 操作场景 数据库代理监控：针对开启数据库代理的实例，需要关注数据库代理的CPU等监控指标的场景。 代理关联节点：需要关注代理关联的节点加入或者剔除情况。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据库代理，进入数据库代理页面，选择需要查看监控的代理页签。 5. 点击连接地址 旁的查看监控。 6. 选择数据库代理页签，您可以查看CPU、服务端连接数和客户端连接数，总cpu使用率等指标。 7. 选择代理关联节点，您可以查看代理所关联的节点加入和剔除情况。

IP地址组集中管理IP地址或网段，被黑白名单规则引用时可以批量设置IP/IP地址段。本节介绍如何添加黑白名单IP地址组。 前提条件 已申请Web应用防火墙实例。 约束条件 添加IP地址组时，请确保IP/IP地址段未添加到其他IP地址组，重复添加同一IP/IP地址段会导致添加IP地址组失败。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“对象管理> 地址组管理”，进入“地址组管理”页面。 步骤 5 在我的地址组列表左上方，单击“添加地址组”。 步骤 6 在弹出的“添加地址组”对话框中，输入“地址组名称”和“IP/IP段”。 步骤 7 单击“确认”，地址组创建成功。

本节介绍企业主机安全应用进程控制功能。 应用进程控制概述 应用进程控制功能支持管控应用进程运行，通过学习服务器中运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 使用约束 使用应用进程控制功能须满足以下条件： 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见升级Agent章节。 − Linux：3.2.7及以上版本。 − Windows：4.0.19及以上版本。 应用进程控制使用流程 创建白名单策略 在开启应用进程控制防护前，您需要为服务器创建白名单策略，设置HSS学习服务器应用进程特征的学习天数、学习结果确认方式和对可疑或恶意进程的防护动作等；HSS后续将根据策略设置为服务器提供相应的应用进程控制防护能力。 操作步骤 1、登录管理控制台。 2、在左侧导航栏，选择“主动防御 > 应用进程控制”，进入“应用进程控制”界面。 3、选择“白名单策略”页签，单击“创建策略”。 4、在“创建策略”弹窗中，设置策略参数，相关参数说明请参见下表。 参数名称 参数说明 策略模式 应用进程控制防护策略模式。 默认配置下日常运营模式允许可信、可疑进程运行，仅对恶意进程进行告警。 白名单策略名称 系统默认会生成白名单策略名称，建议您自定义修改，后续方便区分和管理。 智能学习天数 企业主机安全学习服务器应用进程的天数。学习天数越多，学习结果越准确。 学习结果确认方式 当企业主机安全学习完策略关联的服务器后，对于特征不明显可疑进程的确认方式。 自动确认可疑进程：HSS根据应用进程特征库，自动确认并标记特征不明显的可疑应用进程。 手动确认可疑进程：您在“应用进程控制 > 白名单策略”页面，单击策略名称，进入策略详情页，选择“进程文件”页签，筛选“待确认状态”的进程，根据实际业务情况确认并手动标记特征不明显的可疑进程。 策略生效方式 当企业主机安全学习完策略关联的服务器后，开启应用进程控制的方式。 学习完成后自动开启：系统自动开启策略关联的服务器的应用进程控制。 学习完成后手动开启：您根据业务情况手动开启应用进程控制。 防护动作 当发现恶意进程后的防护动作。对恶意进程进行告警。 选择服务器 选择需要防护的服务器。当服务器的防护状态为“防护中”时，才会在列表中呈现。 5、单击“确认”，完成创建。 您策略列表中可以查看已创建的策略及策略当前状态。 说明 创建白名单策略完成后，HSS会自动开始对策略关联的服务器进行学习，学习服务器中的应用进程特征。待策略状态变更为“学习完成，未生效”表示学习完成。

介绍Kafka配置必须的监控告警 告警指标 在实际业务中，建议按照以下告警策略，配置监控指标的告警规则。 指标ID 指标名称 告警策略 指标说明 告警处理建议 brokerbytesin 节点流量告警 告警阈值：原始值>50MB/s 持续时间：可自定义 告警级别：重要 该指标为从Kafka节点虚拟机层面采集的数据写入流量。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 brokermessagein 节点tps告警 告警阈值：原始值>10000 持续时间：可自定义 告警级别：重要 该指标为从Kafka节点虚拟机层面采集的tps。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 topicbytesin 主题流量告警 告警阈值：原始值>50MB/s 持续时间：可自定义 告警级别：重要 该指标为从topic机层面采集的数据写入流量。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 topicmessagein 主题tps告警 告警阈值：原始值>10000 持续时间：可自定义 告警级别：重要 该指标为从topic机层面采集的tps。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 grouptotallag 消费组堆积数告警 告警阈值：原始值>10000 持续时间：可自定义 告警级别：重要 该指标为统计的消费组未消费的消息堆积量 出现该告警时，请先检测消费者客户端消费速度是否过慢，检查消费者客户端是否有扩充的可能（消费者客户端数量和对应tpic的分区数相等）

本文主要介绍 创建用户并授权使用DMS for Kafka。 如果您需要对您所拥有的DMS for Kafka服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DMS for Kafka资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DMS for Kafka资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DMS for Kafka服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的DMS for Kafka系统策略，并结合实际需求进行选择，DMS for Kafka支持的系统策略及策略间的对比，请参见：DMS for Kafka权限管理。 示例流程 图 给用户授权DMS for Kafka权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予DMS for Kafka的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入 1 中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务Kafka，进入Kafka实例主界面，单击右上角“购买Kafka实例”，尝试购买Kafka实例，如果无法购买Kafka实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

本节介绍如何查看VPC边界防护情况。 在VPC边界防火墙开关页面上方，用户可以查看VPC边界流量监控信息、防护状态、配额状态和流量拓扑。 VPC边界流量监控：展示最近7天内所有已开启防护资产的VPC边界流量峰值带宽；以及当前已购买的带宽规格和带宽占用情况。 防护状态：统计了您已开启和未开启防护的资产数量，支持防护对等连接、云专线、云间高速资产。 配额状态：展示已经购买的VPC边界防火墙未使用和已使用的配额数，以及VPC边界防护配额总量。1个防护实例，消耗1个防护配额。 流量拓扑可视：展示VPC边界的网络资产互访关系和防护情况，便于您梳理VPC边界访问拓扑并直观掌握整体网络安全防护态势。 操作步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 查看当前账号下对等连接、云专线、云间高速的防护情况。

本文主要介绍关系数据库MySQL下线高IO存储类型的原因，影响和建议。 原因 由于高IO存储类型（SAS）可能无法满足数据库的性能需求。随着数据量和访问量的增加，可能会遇到磁盘 I/O 瓶颈，导致数据库响应时间增加，影响用户体验。 天翼云关系数据库MySQL版计划于2025年10月30日00:00起，对Ⅱ类型资源池的高IO存储类型进行下线处理，届时您将无法新订购高IO存储类型的实例。 影响 资源池范围 西南1，华东1，华北2，华南2等Ⅱ类型资源池。 实例范围 新购实例：无法新订购上述Ⅱ类型资源池的高IO存储类型实例； 存量实例：存量高IO存储类型实例依然可使用续订，扩容，升级等功能，且进行变更后的存储类型依然为高IO。 建议 为享受更加出色的数据管理能力，助力业务快速发展，建议您使用超高IO或者XSSD类型的存储类型。

本节介绍如何管理通过手动添加或自动发现的API资产。 API列表页面展示通过手动添加的API资产，和自动发现任务发现并已确认为API的资产，在该页面可以对这些API资产进行管理，包括编辑、删除操作。 编辑API资产 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在“API列表”中，单击操作列的“编辑”。 6. 在“编辑API资产”窗口中，可对API名称、业务用途、描述进行修改。 7. 修改完成后，单击“确认”。 删除API资产 删除单个API：在API列表中，单击操作列的“删除”。 批量删除API：勾选多个API，单击列表上方的“批量确认”进行批量操作。

本文介绍网站首页IPv6标识功能的配置方法。 功能介绍 使用IPv6访问时，开启IPv6访问标记，则在网页首页右下角显示“您正在使用IPv6协议访问本网站”等设定内容，关闭后不再显示该标记。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 开通基础版以及以上版本。 操作步骤 1. 登录边缘安全加速控制台，选择【域名】【基础配置】，在域名列表中选中需要配置的域名。 2. 进入域名配置详情页面后，选择【IPv6外链改造】，单击【编辑配置】按钮。 3. 开启【网站首页IPv6标识】按钮。 4. 配置IPv6标识内容，默认值为“您正在使用IPv6协议访问本网站”，最多支持输入50个字符。 5. 配置IPv6标识显示时长，默认值为10s。 配置界面

本文介绍如何退订混合存储库。 操作场景 当不再需要使用混合存储库时，可以对存储库进行退订操作。 操作须知 若存储库还有相关联的任务，则需要删除相关任务才能进行存储库退订。 退订存储库会删除此存储库所关联的备份资源，同时会导致正在执行的备份、恢复任务失败。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 在存储库页面，单击待退订存储库所在行的“操作>退订”按钮。 6. 根据界面提示，再次确认需退订此存储库后，单击“确定”。在订单页进行退订确认。 7. 回到存储库页面，该存储库信息被删除，则表明退订成功。、

指标名称 指标介绍 osdocdeletedcount OpenSearch节点索引删除数 osdoccount OpenSearch节点索引数目 osfielddatamemorysize OpenSearch 节点 FieldData 缓存大小 ossegmentsmemorysize OpenSearch节点段内存用量 ossegmentscount OpenSearch节点段数量 osstoresize OpenSearch节点存储总量 osstoresizerate OpenSearch节点存储量变化率 osindexingavgtime OpenSearch节点写入平均耗时 ossearchavgtime OpenSearch节点查询平均耗时 osindicesflushtotalcountrate OpenSearch节点索引刷新频率 osindicesflushtotaltimesecondsrate OpenSearch节点索引刷新耗时变化率 osindicesgetcountrate OpenSearch节点索引Get频率 osindicesgettimesecondsrate OpenSearch节点索引Get耗时变化率 osindicesindexingdeletecountrate OpenSearch节点索引删除频率 osindicesindexingdeletetimesecondsrate OpenSearch节点索引删除耗时变化率 osindicesindexcountrate OpenSearch节点索引写入频率 moziosindicesindexingindextimesecondsrate OpenSearch节点索引写入耗时变化率 osindicesindexingindexfailedcountrate OpenSearch节点索引写入失败频率 osindicesmergestotalnumberrate OpenSearch节点索引合并频率 osindicesmergestotaltimesecondsrate OpenSearch节点索引合并耗时变化率 osindicessearchfetchcountrate OpenSearch节点查询Fetch频率 osindicesrefreshtotaltimesecondsrate OpenSearch节点查询Fetch耗时变化率 osindicessearchquerycountrate OpenSearch节点查询Query频率 osindicessearchquerytimesecondsrate OpenSearch节点查询Query耗时变化率 osindicessearchscrollcountrate OpenSearch节点查询Scroll频率 osindicessearchscrolltimesecondsrate OpenSearch节点查询Scroll耗时变化率 osindicessuggestcountrate OpenSearch节点查询Suggest频率 osindicessuggesttimesecondsrate OpenSearch节点查询Sugget耗时变化率 osindicesquerycachecachecount OpenSearch节点请求缓存次数 osindicesquerycachecachesizebytes OpenSearch节点请求缓存大小 osindicesquerycachehitcountrate OpenSearch节点请求缓存命中率 osindicesquerycachemissnumberrate OpenSearch节点请求缓存miss率 osfsiototalreadoperationsrate OpenSearch节点读操作频率 osfsiototalreadbytesrate OpenSearch节点读数据频率 osfsiototalwriteoperationsrate OpenSearch节点写操作频率 osfsiototalwritebytesrate OpenSearch节点写数据频率 osfstotalavailablebytes OpenSearch节点文件系统可用大小 osfstotalavailablebytesratio OpenSearch节点文件系统可用率 ososcpupercent OpenSearch节点CPU使用率 ososloadaverageoneminute OpenSearch节点系统负载（1min） ososloadaveragefiveminutes OpenSearch节点系统负载（5min） ososloadaveragefifteenminutes OpenSearch节点系统负载（15min） ososmemusedpercent OpenSearch节点内存使用率 ososswapusedpercent OpenSearch节点交换区内存使用率 osjvmgccollectioncountyoungrate OpenSearch节点新生代GC频率 osjvmgccollectiontimesecondsyoungrate OpenSearch节点新生代GC耗时变化率 osjvmgccollectioncountoldrate OpenSearch节点老年代GC频率 osjvmgccollectiontimesecondsoldrate OpenSearch节点老年代GC耗时变化率 osjvmmemheapusedpercent OpenSearch节点堆内存使用率 osjvmmemheapusedbytes OpenSearch节点堆内存使用量 osjvmthreadsnumber OpenSearch节点线程总数 osthreadpoolthreadsnumberactive OpenSearch节点活跃线程总数 osthreadpooltasksnumber OpenSearch节点任务线程总数 osthreadwriterejectedcount OpenSearch 节点写拒绝线程数 osthreadsearchrejectedcount OpenSearch 节点读拒绝线程数 osthreadwriteactivecount OpenSearch 节点写活跃线程数 osthreadsearchactivecount OpenSearch 节点读活跃线程数 osthreadwritequeuecount OpenSearch 节点写排队队列线程数 osthreadsearchqueuecount OpenSearch 节点读排队队列线程数 ostransportrxbytesrate OpenSearch 节点网络入流量 ostransporttxbytesrate OpenSearch 节点网络出流量 osfsiostatedeviceoperationsrate OpenSearch 节点磁盘io频率

本节介绍如何查看告警列表。 通过查看“告警列表”，您可以了解近180天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 此外，您还可以通过及时处理告警事件，标记告警事件处理状态，并支持一键导出近180天的告警事件。 约束限制 仅专业版支持忽略和标记告警事件，基础版不支持。 仅支持导出近180天的全部告警事件，暂不支持筛选导出告警事件信息。 按过滤场景筛选告警，最多可呈现10000条告警。 查看告警详情 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“威胁告警”，默认进入态势感知告警列表管理页面。 4. 筛选“告警名称”、“告警等级”、“发生时间”和“处理状态”条件选项，在列表栏查看显示符合过滤条件的告警事件列表。 告警名称：告警事件所属的分类。 告警等级：告警事件对应的等级，包括“致命”、“高危”、“中危”、“低危”、“提示”。 处理状态：用户对告警事件的处理标记，可选择“未处理”、“已忽略”、“已线下处理”。 发生时间：告警事件发生的时间范围，可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”和“近半年”。 5. 当过滤后的告警事件较多时，可以利用搜索功能快速找到指定告警事件。 在下拉框中选择“资产IP”、“来源IP”、“主机ID”，在搜索框中输入相应IP或ID，单击搜索图标，即可查看到指定资产相关的告警信息。 6. 查看告警事件详情。 单击列表中告警的“告警名称”，右侧滑出告警详情窗口，可查看与该告警相关的“基本信息”、“数据来源”、“攻击信息”、受影响的用户等信息，以及该告警的处理状态。

本节介绍了磁盘脱机怎么办的问题描述、问题原因、处理方法。 问题描述 Windows操作系统的云主机由于管理员设置的策略，该磁盘处于脱机状态，提示：由于管理员设置的策略，该磁盘处于脱机状态，如下图所示。 图 磁盘脱机 问题原因 Windows操作系统SAN策略分为三种类型：OnlineAll，OfflineShared，OfflineInternal 表 Windows操作系统SAN策略类型 类型 说明 OnlineAll 表示所有新发现磁盘都置于在线模式。 OfflineShared 表示所有共享总线上（比如FC, ISCSI）的新发现磁盘都置于离线模式，非共享总线上的磁盘都置于在线模式。 OfflineInternal 表示所有新发现磁盘都置于离线模式。 对于部分版本的Windows操作系统（如Windows 2008/2012 企业版、数据中心版），默认是共享离线OfflineShared模式。 处理方法 使用DiskPart磁盘分区管理工具来查询、设置云主机的SAN策略，将其修改为OnlineAll类型。 1. 登录Windows云主机。 2. 按快捷键“Win+R”，运行cmd.exe。 3. 执行以下命令，进入DiskPart。 diskpart 4. 执行以下命令，查看云主机当前的SAN策略。 san − 如果SAN策略为OnlineAll，请执行exit命令退出DiskPart。 − 否，请执行5。 5. 执行以下命令，修改云主机SAN策略为OnlineAll。 san policyonlineall 6. （可选）如需永久生效，您可以将修改过SAN策略的云主机制作为私有镜像。由该私有镜像创建的云主机，添加的磁盘只需执行初始化操作，磁盘默认是联机状态。

本章介绍函数工作流HTTP函数的概述和优势。 概述 FunctionGraph支持两种函数类型，事件函数和HTTP函数。HTTP函数专注于优化 Web 服务场景，用户可以直接发送 HTTP 请求到 URL 触发函数执行，从而使用自己的Web服务。HTTP函数只允许创建APIG/APIC的触发器类型，其他触发器不支持。 说明 1. HTTP函数支持HTTP/1.1协议。 2. 在函数创建页面，新增一种函数类型“HTTP函数”。 3. HTTP函数执行入口需要设置为bootstrap，用户直接写启动命令，端口统一开放成8000。 4. 若运行用户JAR包，bootstrap中建议增加JVM参数Dfile.encodingutf8，否则可能会出现中文乱码。 优势 丰富的框架支持 您可以使用常见的Web 框架（例如 Nodejs Web 框架：Express、Koa）编写 Web 函数，也可以将您本地的 Web 框架服务以极小的改造量快速迁移上云。 减少请求处理环节 函数可以直接接收并处理HTTP 请求，API 网关不再需要做 json 格式转换，减少请求处理环节，提升 Web 服务性能。 编写体验舒适化 HTTP函数的编写体验更贴近编写原生 Web 服务，可以使用 Node.js 原生接口，保证和本地开发服务体验一致。 限制 HTTP函数只允许创建APIG共享版、APIG专享版、APIC的触发器类型，其他触发器不支持。 同一个函数支持绑定多个API触发器，但所有 API 都必须在一个APIG服务下。 针对http函数，用户的http响应体不超过6M。 不支持长时运行和异步调用，不支持重试。

本文为您介绍密钥管理服务KMS（Key Management Service）的退订规则及退订流程。 KMS服务支持退订，可通过KMS服务控制台界面、天翼云费用中心发起并完成退订操作。 退订说明 您可根据需要，在符合天翼云退订规则的前提下，灵活退订KMS服务。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订，退订规则详情见退订规则说明。 退订完成后，退款金额会退回账户余额，客户可根据需要进行提现。提现操作详情见余额提现。 说明 KMS基础版、企业版服务支持退订；默认密钥由天翼云云服务创建，为免费资源，无须退订。 成功发起退订后，KMS将转入冻结状态，冻结期15天。冻结期间，密钥等资源及配置会保留15天，15天后资源被释放，释放后无法恢复。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 密钥管理”。 4. 在左侧导航栏，选择“信息概览”，进入信息概览页面，在页面上方选择目标服务。 5. 在当前服务信息展示页面，点击“退订”。 6. 进入退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。 7. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

本文介绍如何删除副本(备份集)。 操作场景 当确认不再需要备份客户端产生的备份数据时，您可通过删除备份功能来删除备份数据以节省资源。 操作须知 删除备份操作不可逆转，被删除的备份数据将无法再恢复，删除前请确认风险。 删除备份集会同时删除此备份集文件及其对应的备份、恢复任务。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 单击“备份集”，进入备份集页面。 6. 单击待删除备份集所在行“操作>删除”。 7. 您在弹出对话框中确认删除操作的风险后，在弹出的对话框中输入“ok”，即可删除该备份集及其对应的备份、恢复任务。

操作步骤 1. 在天翼云的登录页面，单击右上角的二维码，进入“扫码登录”页面。 2. 在手机上登录天翼云APP后，扫描页面二维码。 3. 在手机上点击“确认登陆”。 QQ登录 操作步骤 1. 在天翼云的登录页面，点击其他登录方式的腾讯QQ图标，进入QQ登录页面。 2. 填写登录账号和密码，或用腾讯QQ手机版APP扫描二维码。 3. 首次登录时，需填写关联天翼云账号的电子邮箱、登录密码，将QQ和天翼云账号进行绑定。后续登录时，扫码即可直接登录。 4. 提交登录。 微信登录 操作步骤 1. 在天翼云登录页面，点击其他登录方式的微信图标，进入微信登录页面。 2. 使用微信APP扫描页面二维码，并点击“允许”获取你的昵称和头像。 3. 首次登录时，需填写关联天翼云账号的电子邮箱、登录密码，将微信和天翼云账号进行绑定。后续登录时，扫码即可直接登录。 4. 提交登录。

本文为您介绍密钥管理服务整体能力，包括支持的密钥类型、密钥管理功能以及密码运算功能。 总览页面帮助您快速了解KMS服务的实际使用情况，包含KMS服务规格、到期时间、资源占用情况等指标。您可以根据使用数据，选择是否需要进行服务续订、资源扩容等。 服务版本 服务规格：当前账号已开通的服务规格，包括基础版、企业版，规格描述详见产品规格。 到期时间：当前包周期服务的到期时间。若您根据业务需求判断是否需要持续使用KMS服务，若需要继续使用，请在到期前及时续订，否则KMS服务将在到期后进入冻结状态，服务将不可用。 资源用量 用户主密钥数量：用户开通包周期服务后，通过控制台/API接口自主创建的用户主密钥个数，以及当前已创建数量占用服务版本对应配额的数量/总数量。 证书数量：用户开通包周期服务后，通过控制台/API接口自主创建的证书个数，以及当前已创建数量占用服务版本对应配额的数量/总数量。 默认密钥数量：用户在使用云产品加密功能时，由云产品触发创建的默认密钥数量。 计算性能 处理对称算法：对称算法所对应接口的请求配额（上限），超过API请求配额后，KMS会限制请求（即拒绝访问）。 处理非对称算法：非对称算法所对应接口的请求配额（上限），超过API请求配额后，KMS会限制请求（即拒绝访问）。

atop结果分析 1. atop启动后，会将采集到的记录默认存放在/var/log/atop目录中，通过执行如下命令，查看日志文件。 atop r /var/log/atop/atop20230821 备注：可通过ls /var/log/atop/查看所有生成的日志文件，atop20230821为其中的一个日志文件。 atop常用指令如下所示： c：按照进程CPU使用率进行降序筛选。 m：按照进程内存使用率进行降序筛选。 d：按照进程磁盘使用率进行降序筛选。 a：按照进程资源综合使用率进行降序筛选。 n：按照进程网络使用率进行降序筛选，需要额外安装内核模块才支持，默认不支持。 t：跳转到下一个监控采集点。 T：跳转到上一个监控采集点。 b：指定时间点。 2. 系统资源监控字段说明。 ATOP行：主机名、采样日期和时间点。 PRC行：进程整体运行情况。 sys及user：进程在内核态及用户态所占CPU的时间比例。 proc：进程总数。 zombie：僵死进程的数量。 exit：atop 采样周期期间退出的进程数量。 CPU行：CPU 整体（即多核CPU作为一个整体CPU资源）的使用情况。【各字段数值相加结果为N00%，N为CPU的核数】 sys及user：CPU被用于处理进程时，进程在内核态、用户态所占 CPU 的时间比例。 irq：CPU被用于处理中断的时间比例。 idle：CPU处在完全空闲状态的时间比例。 wait：CPU处在“进程等待磁盘IO导致CPU空闲”状态的时间比例。 CPL行：CPU负载情况。 avg1、avg5 和 avg15：过去1分钟、5分钟和15分钟内运行队列中的平均进程数量。 csw：指示上下文交换次数。 intr：指示中断发生次数。 MEM行：内存的使用情况。 tot：物理内存总量。 cache：用于页缓存的内存大小。 buff：用于文件缓存的内存大小。 slab：系统内核占用的内存大小。 SWP行：交换空间的使用情况。 tot：交换区总量。 free：空闲交换空间大小。 PAG行：虚拟内存分页情况 swin及swout：换入和换出内存页数。 DSK行：磁盘使用情况，每一个磁盘设备对应一列。如果有 sdb 设备，那么增加一行 DSK 信息。 sda：磁盘设备标识。 busy：磁盘忙时比例。 read及write：读、写请求数量。 NET行：多列 NET 展示了网络状况，包括传输层（TCP 和 UDP）、IP层以及各活动的网口信息。 XXXi：各层或活动网口收包数目。 XXXo：各层或活动网口发包数目。

类型名称 使用和操作限制 数据库权限设置 在创建备份迁移任务前，请确定操作账号具有相应的OBS服务权限和桶权限。 待还原数据库名称要求 待还原数据库名不能重复，且不能为以下名称（不区分大小写）： msdb master model tempdb rdsadmin resource OBS自建桶的待还原数据库名称长度为1~256个字节，组成为中文、字母、数字、下划线、中划线。 数据库新名称要求 数据库新名称不能重复，且不能为以下名称（不区分大小写）： msdb master model tempdb rdsadmin resource 数据库新名称长度为1~128个字节，组成为字母、数字、下划线、中划线。 本地备份文件限制 备份文件上传OBS的后缀名必须为“.bak”，否则在OBS备份文件列表中无法选中非“.bak”后缀的文件。 备份文件名称长度为：1~100个字符长度。 备份文件名称组成为：字母，数字，下划线，中划线。 备份文件可支持全量备份文件和日志备份文件。 数据库备份文件的来源 OBS自建桶：上传至OBS自建桶目录下的数据库备份文件。 操作须知 OBS桶所在区域必须跟实例所在区域相同。 目标数据库的可用磁盘空间大小至少为待还原数据库总数据量大小的1.5倍。 待还原数据库名称，必须跟备份文件中数据库名称一致（区分大小写）。 不支持高版本的数据库备份文件在低版本实例数据库上进行还原（例如从2017版本>2016版本的还原）。 企业版>标准版>Web版的还原存在一定失败的风险（取决于是否开启高版本的特性）。 迁移过程中，实例显示处于迁移状态，当前正在迁移的目标数据库默认取消高可用状态（如果是覆盖还原），迁移完成后自动恢复高可用状态。 迁移过程中正在还原的数据库请停止写入事务。 当RDS实例异常引发目标数据库发生主备切换时，会导致备份迁移失败，该情况下的迁移任务不可恢复。

本文以公共镜像中的Windows Server 2016数据中心版操作系统为例,介绍如何为弹性云主机实例更换首选语言。 前提条件 已经注册并登录天翼云账号，未完成的可参见注册天翼云账号。 已经在天翼云上购买了弹性云主机，且购买过程中镜像选择为Windows 2016 数据中心版操作系统。 背景信息 天翼云云服务器ECS目前仅提供中文版的Windows Server公共镜像。如果您因工作需求而需要使用其他的语言版本，例如英文，那么您可以参考本章节为弹性云主机实例设置新的首选语言。 操作步骤 1. 登录控制中心。 2. 选择区域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考登录Windows弹性云主机，远程登录待设置操作系统首选语言的Windows弹性云主机实例。 5. 打开PowerShell模块。 6. 在操作之前首先需要临时禁用掉WSUS（Windows Server Update Services）更新源，请您运行以下命令： plaintext SetItemProperty Path 'HKLM:SOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU' Name UseWUServer Value 0 RestartService Name wuauserv 7. 找到控制面板，单击“语言” >“添加语言”。 8. 在“添加语言”对话框中，选择一种语言，例如English(英语) ，单击下方的“打开”。 9. 进入跳转窗口后，选择具体的英语区域，选择English（United kingdom），点击“添加”。 10. 添加之后，此语言会更新到语言列表。 11. 选中新增的English，单击“上移”更改语言优先级，下图为已经上移之后的状态： 12. 单击所选语言右侧的“选项”按键，进入语言选项页面，单击“下载并安装语言包”，若没有此链接，请再等待三分钟进行更新。 13. 用户此时可以等待下载并安装完成。 14. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 15. 再次连接Windows实例。显示语言更改为英语。 16. 打开Windows PowerShell，运行以下命令重新启用WSUS。 plaintext SetItemProperty Path 'HKLM:SOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU' Name UseWUServer Value 1 RestartService Name wuauserv