前提条件 当前账号下已创建对等连接，详细操作请参见创建对等连接。 仅“企业版”支持开启对等连接防护。 一个对等连接防护将消耗1个“VPC边界防火墙配额数” 配额，在开启防护前，确保有足够的VPC边界防护配额。 开启对等连接防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 在“对等连接”页签，找到需要开启防护的对等连接实例，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有对等连接资产未同步，可以在VPC边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 对等连接列表展示当前账号下所有对等连接。列表包括名称、状态、连接类型、本端VPC、本端VPC网段、对端VPC、对端VPC网段、防护状态。 4. 进入开启对等连接防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：目前仅支持手动引流，请根据界面提示的步骤完成引流配置。手动配置完成后，单击“配置完成”。 注意 若VPC下有多个业务子网，每个业务子网须分别进行引流配置。在“本端业务子网”下拉框选择不同业务子网以查看对应配置步骤。 4. 开启防护成功。

低版本迁移至MySQL 8.0，应该注意哪些问题 MySQL 8.0较MySQL 5.7增加了一些新的特性，并在性能表现上存在差异。迁移前，需要做兼容性分析并给出解决方案。可以从兼容性、系统变量等方面考虑。 兼容性分析： 针对MySQL8.0社区版与MySQL5.7社区版进行分析，包括以下两方面： a. 不影响迁移，但使用方法出现差异。 兼容性 检查项 作用 状态 解决方案 数据类型或函数 ENCODE()函数 加密 移除 AESENCRYPT()函数代替 DECODE()函数 解密 移除 AESDECRYPT()函数代替 ENCRYPT()函数 加密 移除 SHA2()函数代替 DESENCRYPT()函数 加密 移除 AESENCRYPT()函数代替 DESDECRYPT()函数 解密 移除 AESDECRYPT()函数代替 JSONAPPEND()函数 增加json元素 移除 JSONARRAYAPPEND()函数代替 PASSWORD()函数 修改用户密码 移除 ALTER USER user IDENTIFIED BY 'authstring'; JSONMERGE()函数 将多个json合并为一个 废弃 JSONMERGEPERSERVE()函数代替 SQL MODE NOAUTOCREATEUSER、DB2, MAXDB, MSSQL, MYSQL323, MYSQL40, ORACLE, POSTGRESQL, NOFIELDOPTIONS, NOKEYOPTIONS, NOTABLEOPTIONS 移除 外键约束长度 外键约束名称不能超过64个字符 SELECT TABLESCHEMA, TABLENAME FROM INFORMATIONSCHEMA.TABLES WHERE TABLENAME IN (SELECT LEFT(SUBSTR(ID,INSTR(ID,'/')+1), INSTR(SUBSTR(ID,INSTR(ID,'/')+1),'ibfk')1) FROM INFORMATIONSCHEMA.INNODBSYSFOREIGN WHERE LENGTH(SUBSTR(ID,INSTR(ID,'/')+1))>64);使用ALTER TABLE调整长度 features GRANT创建用户 移除 CREATE USER GRANT修改用户信息 移除 ALTER USER IDENTIFIED BY PASSWORD 'authstring' 设置密码 移除 IDENTIFIED WITH authplugin AS 'authstring' SQL语句中的N NULL 移除 NULL代替 PROCEDURE ANALYSE()语法 对MySQL字段值进行统计分析后给出建议的字段类型 移除 空间函数 mysqlinstalldb 初始化 移除 mysqld initialize或initializeinsecure b. 影响迁移，需要提前做检查。 兼容性 检查项 作用 状态 解决方案 原始用法 保留关键字 cumedist、denserank、empty、except、firstvalue、grouping、groups、jsontable、lag、lastvalue、lateral、lead、nthvalue、ntile、of、over、percentrank、rank、recursive、rownumber、system、window 新增 SET sqlmode 'ANSIQUOTES' 名称：数据库、表、索引、列、alias、view、存储过程、分区、表空间 字符集 UTF8MB3 废弃 使用UTF8MB4代替 分区表 不得出现不支持本地分区的存储引擎的分区表 移除 SELECT TABLESCHEMA, TABLENAME FROM INFORMATIONSCHEMA.TABLES WHERE ENGINE NOT IN ('innodb', 'ndbcluster') AND CREATEOPTIONS LIKE '%partitioned%';可按照下述两种方式解决：（1）ALTER TABLE tablename ENGINEINNODB;（2）ALTER TABLE tablename REMOVE PARTITIONING; 不支持MyISAM 语法 group by … asc/desc 升序/降序 移除 使用order by子句代替 view、function等 名称长度 view的列名称不能超过64个字符 alter处理 最多255个字符 enum或set元素的总长度不能超过255个字符 用户处理 最大64K 大小写 lowercasetablenames MySQL设置字母大小写是否敏感 升级过程中，如果设置该参数为1，则必须确保schema和table名称必须是小写的SELECT TABLENAME FROM INFORMATIONSCHEMA.TABLES WHERE TABLENAME ! LOWER(TABLENAME) AND TABLETYPE 'BASE TABLE';SELECT SCHEMANAME FROM INFORMATIONSCHEMA.SCHEMATA WHERE SCHEMANAME ! LOWER(SCHEMANAME); 触发器 是否有空定义或者无效的创建上下文 show triggers查看，检测charactersetclient、 collationconnection、Database Collation属性 系统变量默认值变更 针对社区版MySQL5.7与8.0版本的默认值作对比，默认值不影响迁移，但对迁移后的业务会产生影响。 序号 parameter/option community 作用 备注 原默认值 新默认值 Server 1 charactersetserver latin1 utf8mb4 2 collationserver latin1swedishci utf8mb40900aici 3 explicitdefaultsfortimestamp OFF ON 更新某一行时是否更新timestamp列 4 optimizertracemaxmemsize 16KB 1MB 5 validatepasswordcheckusername OFF ON 6 backlog 1 (autosize) changed from : backlog 50 + (maxconnections / 5) 1 (autosize) changed to : backlog maxconnections 在MySQL暂时停止回答新请求之前的短时间内多少个请求可以被存在堆栈中。 7 maxallowedpacket 4194304 (4MB) 67108864 (64MB) 限制Server接受的数据包大小 8 maxerrorcount 64 1024 控制显示告警的个数 9 eventscheduler OFF ON 10 tableopencache 2000 4000 11 logerrorverbosity 3 (Notes) 2 (Warning) INNODB 1 innodbundotablespaces 0 2 2 innodbundologtruncate OFF ON 3 innodbflushmethod NULL fsync (Unix),unbuffered (Windows) 控制innodb数据文件及redo log的打开、刷写模式 4 innodbautoinclockmode 1 (consecutive) 2 (interleaved) 控制着在向有autoincrement 列的表插入数据时，相关锁的行为； 5 innodbflushneighbors 1 (enable) 0 (disable) 从缓冲池刷新页面是否也刷新相同范围内的其他脏页。 6 innodbmaxdirtypagespctlwm 0 (%) 10 (%) 影响innodb刷新脏页行为 7 innodbmaxdirtypagespct 75 (%) 90 (%) 影响innodb刷新脏页行为 PERFORMANCE SCHEMA 整体是不是开的 REPLICATION 1 logbin OFF ON 2 serverid 0 1 3 logslaveupdates OFF ON 4 expirelogdays 0 30 5 masterinforepository FILE TABLE 6 relayloginforepository FILE TABLE 7 transactionwritesetextraction OFF XXHASH64 8 slaverowssearchalgorithms INDEXSCAN, TABLESCAN INDEXSCAN, HASHSCAN 移除系统变量 针对社区版MySQL 5.7与8.0进行分析，移除系统变量不影响迁移。 移除变量 innodblocksunsafeforbinlog logbuiltinasidentifiedbypassword oldpasswords querycachelimit querycacheminresunit querycachesize querycachetype querycachewlockinvalidate ndbcachechecktime ignoredbdirs txisolation txreadonly syncfrm secureauth multirangecount logerrorverbosity sqllogbin metadatalockscachesize metadatalockshashinstances dateformat datetimeformat timeformat maxtmptables ignorebuiltininnodb innodbsupportxa innodbundologs innodbundotablespaces internaltmpdiskstorageengine

用于上架企业常用软件,形成企业的软件仓库,员工通过客户端即可自行下载企业软件。 背景说明 管理员在软件仓库上架企业内常用软件，员工即可在客户端软件仓库自行下载，实现软件高效管理与便捷使用。 注意 客户端版本：支持Windows客户端，需为2.26.10及以上客户端。 套餐版本：已订购终端管理基础版以上套餐或零信任企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开软件管控并点击【软件仓库】，查看软件仓库相关内容。 3. 可根据业务需求进行相关配置。 预定义软件库 内置多种类型的软件库，方便管理员直接上架互联网常见软件。 上架软件：此软件对范围内用户或设备可见。 下架软件：此软件不再对任何用户或设备可见。 自定义软件库 点击“上传软件”，输入软件的基础信息和安装包参数，主要字段说明如下。 字段 说明 软件来源 （1）文件上传 支持exe、msi格式的安装包，单次仅支持一个文件，文件大小不超过500M。软件存储空间默认5GB。 （2）在线链接 输入安装包下载链接，而非下载页地址。 软件版本号 参考格式1.1.1，版本号用于软件更新，请准确填写。 上架此版本 默认关闭，即所有员工对此软件不可见。 可以开启，即范围内员工对此软件可见。 运行环境 上架时，仅上架至对应位数的设备。 Windows 64位，Windows 32位。 Windows 64位。 Windows 32位。 运行参数 可用于软件的静默安装，系统将根据此参数执行安装任务，不填写则默认执行交互式安装。 安装校验 用于判断软件是否安装成功，填写几项则校验几项，如未填写则不校验。 通过名称校验：请输入准确的软件名称，否则无法判断软件是否安装成功。 通过发布者校验：请输入软件的发布者信息，以辅助验证安装结果。

接口功能介绍 创建企业版实例 接口约束 仅限企业版实例使用 URI POST /v2/subscribeEnterpriseInstance 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看容器镜像服务资源池获取） bb9fdb42056f11eda1610242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 instanceName 是 String 实例名称（530个字符，只能包含小写字母、数字及分隔符("")，且必须以小写字母开头，数字或小写字母结尾） myinstance instanceType 是 String 实例类型（企业版：enterprisebasic） enterprisebasic crUserName 是 String 用户名称（530个字符，只能包含小写字母、数字及分隔符("")，且必须以小写字母开头，数字或小写字母结尾），可以复用已有实例的用户名，也可以使用新的 myuser crUserPassword 否 String 用户密码（密码长度在850个字符，且需包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符），如果复用已有实例的用户名，不需要传密码（传了密码也不会起作用），如果使用新的用户名，需要传密码 Abc@12345 createOssBucket 否 Boolean 是否自动创建对象存储的Bucket，createOssBucket和ossBucket参数不能同时为空 true ossBucket 否 String 对象存储的Bucket名称（需要开通对象存储（原生版）I型，并创建Bucket），createOssBucket和ossBucket参数不能同时为空 mybucket billMode 是 String 计费模式（按周期计费为1，按需计费为2） 1 cycleType 否 String 订购周期类型（3为按月计费），当计费模式为按周期计费时必填 3 cycleCnt 否 Integer 订购时长（单位为月），目前只支持1、2、3、4、5、6、12，当订购周期为按月计费时必填 3 repositoryExtraQuota 否 Integer 额外仓库配额（默认已包含仓库配额1000，如果配额依然不足，您可以按需额外增加仓库配额包。仓库配额由容器镜像和HelmChart共享。 单项费用：每增加1000个仓库配额，额外需100元/月。详见计费说明） 0 namespaceExtraQuota 否 Integer 额外命名空间配额（默认已包含命名空间配额15，如果配额依然不足，您可以按需额外增加命名空间配额包。命名空间配额由配额由容器镜像和HelmChart共享。 单项费用：每增加5个命名空间配额，额外需25元/月。详见计费说明） 0 autoRenewStatus 否 Boolean 是否自动续期（默认为false） false autoRenewCycleType 否 String 自动续期单位（目前只提供按月计费，该值只能为3） 3 autoRenewCycleCount 否 Integer 自动续期时长（目前只提供按月计费，代表自动续期多少个月） 3 autoPay 否 Boolean 是否自动付款（默认为false） false projectId 否 String 企业项目ID（默认为0，代表default企业项目） 188781daa55d42679c3e364f7b780fc6 vpcList 否 Array of Objects 需要创建内网访问的vpc列表 vpc preferPayType 否 String 优先支付方式:vouch代金卷(默认)/cash账户余额支付 vouch vpcId 是 String vpcId vpcabc subnetId 是 String 子网Id，不填默认使用子网列表第一个子网 subnetabc

如不再使用Nacos引擎，可执行删除操作。 注意 删除引擎后数据无法恢复，请谨慎操作。 背景介绍 支持删除处于如下状态的Nacos引擎： 可用 不可用 创建失败 变更失败 升级失败 操作步骤 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 在待删除的Nacos引擎实例“操作”列，选择“更多 > 删除”，也可单击待删除的Nacos引擎，在Nacos引擎的“基础信息”页面，单击右上角的“删除”，在弹出的对话框中输入“DELETE”，单击“确定”。 说明 若删除失败，可执行“强制删除”。

为什么可用区不能选择2个？ 所有不同规格的Kafka集群实例都是3个Zookeeper节点，并且是通过Zookeeper集群进行管理配置的，Kafka依赖Zookeeper，如果Zookeeper集群出现问题，Kafka将无法正常运行。 一个Zookeeper集群正常运行，至少需要2个Zookeeper节点正常运行。 假设允许可用区选择2个，可用区1有1个Zookeeper节点，可用区2有2个Zookeeper节点。如果可用区1故障，则集群实例能正常使用；如果可用区2故障，则集群不能正常使用。集群可用的场景只有50%，所以不支持选择2个可用区 如何选择Kafka实例的存储空间？ 存储空间，主要是指用于存储消息所需要的空间，选择时包括选择磁盘规格和大小，磁盘规格，当前支持“超高IO”和“高IO”两种类型。 假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB副本数 + 预留磁盘大小100GB。Kafka集群中，每个Kafka节点会使用33G的磁盘作为日志和Zookeeper数据的存储，因而实际可用存储会小于购买存储。 其中，副本数在创建Topic时可以选择，默认为3副本存储。 Kafka实例的超高IO和高IO如何选择？ 高IO：平均时延13ms，最大带宽150MB/s（读+写）。 超高IO：平均时延1ms，最大带宽350MB/s（读+写）。 建议选择超高IO，云硬盘服务端压力大场景，都不能达到最大带宽，但是超高IO可达到的带宽比高IO高很多。 如何选择Kafka实例存储容量阈值策略？ 当前支持以下两种策略： 生产受限策略 该策略场景下一旦磁盘使用达到容量阈值95%，会导致后续生产失败，但保留了当前磁盘中的数据，直至数据自然老化（Kafka原有的老化机制，数据默认保留3天）。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 自动删除策略 该策略场景下磁盘使用到达容量阈值之后，以一个segment文件为单位（1GB），会自动删除最早的segment文件，保证生产业务能继续正常运行。该场景优先保障业务不中断，数据可能会丢失。 以上两种策略的需要基于业务对数据和业务的可靠性来进行选择，只能作为极端场景下的一个种处理方式。建议业务购买时保证有充足的磁盘容量，避免磁盘的使用达到容量阈值。 Kafka实例的Topic数量是否有限制？ 在Kafka使用过程中，Topic数量本身无限制，但Topic的分区数之和有上限，当达到上限后，会导致用户无法继续创建Topic。

本文主要介绍分布式消息服务RabbitMQ所需的环境准备。 创建RabbitMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RabbitMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RabbitMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 如果用户已有VPC，可重复使用，不需要多次创建。 创建VPC 1、登录管理控制台。 2、在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3、在管理控制台左上角单击，选择“网络 > 虚拟私有云”。 4、单击“创建虚拟私有云”，进入“创建虚拟私有云”界面。 5、根据界面提示创建虚拟私有云。如无特殊需求，界面参数均可保持默认。关于创建VPC的详细信息可以参考《虚拟私有云用户指南》。 创建虚拟私有云时，会同时创建子网，若需要额外创建子网，请参考6。如果不需要额外创建子网，请执行7。 6、在左侧导航栏，单击“子网”，进入“子网”界面。单击“创建子网”。根据界面提示创建子网。如无特殊需求，界面参数均可保持默认。 关于创建子网的详细信息可以参考《虚拟私有云用户指南》。 7、在左侧导航栏，选择“访问控制 > 安全组”，进入“安全组”界面。根据界面提示创建安全组。如无特殊需求，界面参数均可保持默认。 关于创建安全组的详细信息可以参考《虚拟私有云用户指南》。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加表1的规则。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密）

功能 说明 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源协议指边缘加速节点回源站请求资源时使用的协议。配置该功能后，边缘加速节点将根据指定的协议回源。边缘加速支持HTTP回源协议、HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 当源站同时服务多个站点，且回源站点与加速域名不同时，您需要配置回源HOST，天翼云边缘加速产品在回源时会根据配置的回源HOST信息去访问对应站点。 如果一个源站IP地址绑定多个域名，且边缘加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源URI改写可以实现在用户请求回源时对回源URI进行改写，配置回源URI改写功能后，边缘加速节点向源站发起回源请求时将使用改写后的URI。 回源参数改写功能可改写回源请求URL中的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 配置301/302跟随回源功能后，边缘加速节点会代替用户去处理源站响应的301/302状态码内容，即边缘加速节点会直接跳转到源站301/302响应中的Location地址请求资源，不会把源站响应的301/302跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 回源超时时间 回源请求超时时间是指在代理服务器向上游服务器（源服务器）发起请求时，等待接收上游服务器的响应所允许的最长时间，这个超时时间的设置对于应对上游服务器响应慢、连接问题或者其他异常情况至关重要。 加速域名的回源地址可以使用客户自有源站或者天翼云

步骤三：测试模型微调效果 LLaMAFactory框架提供了模型推理的能力，可直接进入Chat页面加载模型进行对话。 1. 测试基础大模型效果 保持模型名称和模型路径不变，不设置检查点路径，在Chat页面直接点击加载模型，即可测试基础大模型的效果。 本案例使用prompt"天翼云弹性云主机包含哪些规格"进行测试。 基础DeepSeekR1DistillQwen7B大模型给出了通用但是错误的回答。 2. 测试微调大模型的效果 本案例采用了lora的微调方法，因此需将检查点路径设置为步骤二中完成训练的lora小模型。 本案例使用prompt"天翼云弹性云主机包含哪些规格"进行测试。 微调后的大模型能够给出符合微调数据集的回答。 从纯净版ubuntu系统构建微调环境 除了使用预装镜像外, 您也可以从任意ubuntu云主机开始, 按以下步骤搭建出LLaMAFactory微调环境, 并下载任意您需要的模型。

步骤三：测试模型微调效果 LLaMAFactory框架提供了模型推理的能力，可直接进入Chat页面加载模型进行对话。 1. 测试基础大模型效果 保持模型名称和模型路径不变，不设置检查点路径，在Chat页面直接点击加载模型，即可测试基础大模型的效果。 本案例使用prompt"天翼云弹性云主机包含哪些规格"进行测试。 基础DeepSeekR1DistillQwen7B大模型给出了通用但是错误的回答。 2. 测试微调大模型的效果 本案例采用了lora的微调方法，因此需将检查点路径设置为步骤二中完成训练的lora小模型。 本案例使用prompt"天翼云弹性云主机包含哪些规格"进行测试。 微调后的大模型能够给出符合微调数据集的回答。 从纯净版ubuntu系统构建微调环境 除了使用预装镜像外, 您也可以从任意ubuntu云主机开始, 按以下步骤搭建出LLaMAFactory微调环境, 并下载任意您需要的模型。

本文介绍如何查看混合备份存储库。 操作场景 存储库列表可以查看已创建的混合备份存储库。 前提条件 已成功创建混合备份存储库。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 点击进入存储库页面，可以看到该地域下的所有存储库，以及存储库的状态、总容量、剩余容量、付费方式、创建时间、到期时间。 存储库参数说明如下： 参数名称 参数说明 存储库名称 存储库的名称，创建时自定义。 状态 存储库状态。存储库状态有两种状态：可用、已过期。 可用：该状态下可以执行各种操作。 已过期：该状态代表存储库已到期，无法再执行备份操作。 总容量（GB） 此存储库的总容量。 已用容量 此存储库已使用的的容量。 付款方式/创建时间 创建时间为存储库创建的时间。 到期时间 存储的到期时间，到期后存储库状态变为不可用。 操作 用户可对此存储库做的操作，包括扩容、续订、刷新、回收、退订。

本文介绍云备份存储库的计费详情。 文件备份存储库 适用于ECS文件备份、物理机文件备份、本地文件备份功能，进行文件/目录的备份。 文件备份存储库仅支持包年包月计费模式，按照备份存储库容量和购买周期计费。 包年包月是一种先付费后使用的计费方式，按订单的购买周期结算。 计费项 计费项说明 包月标准价格 1TB一年价格举例 ::: 备份存储（GB） 预先购买的备份空间容量 0.2664元/GB/月 2455.14元 备份存储库还享受包年一次性付费折扣，一年、两年、三年均为75折。 混合备份存储库 适用于混合备份（存储版）功能，进行数据库、磁盘、VMware的备份。 混合备份存储库仅支持包年计费模式，按照备份存储库容量和购买周期计费。 包年是一种先付费后使用的计费方式，按订单的购买周期结算。 计费项 计费项说明 包年标准价格 1TB一年价格举例 ::: 备份存储（TB） 预先购买的备份空间容量 3563.52元/TB/年 3207.17元 备份存储库还享受包年一次性付费折扣，一年9折、两年或三年8折、四年或五年7折。

查看资产详情 在资产详情页面可以查看资产的基础信息，以及该资产上存在的风险。 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“资产中心 > 资产管理”，进入资产管理页面。 3. 在资产管理页面，单击资产操作列的“查看”，即可进入资产详情页面。 在“资产信息”页签，查看资产的基础信息。 资产信息展示基础信息的丰富程度和购买的安全产品相关。购买了服务器安全卫士（原生版）或者云等保专区的主机安全产品后，其基础信息会更加丰富。 切换到“脆弱性信息”页签，查看资产的脆弱性信息，包括告警数量、漏洞扫描结果、基线检测结果、账号检测结果。 资产导入 1. 选择需要导入的资产类型。 2. 在资产列表上方，单击“导入”。 3. 在弹出的“资产导入”窗口中，单击“资产导入模板下载”，下载导入模板。 4. 按照导入模板字段说明，完成模板填写。 5. 单击“选择文件”，上传模板文件。 6. 单击“导入”，完成导入。

操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面，单击“创建VPN网关”。 4. 根据界面提示配置参数，单击“立即创建”。 表VPN网关参数说明 参数 说明 取值样例 计费模式 按需计费：后付费方式，VPN网关和VPN连接组按使用时长收取费用，计费周期为1小时。 按需计费 区域 选择靠近您所在地域的区域可以降低网络时延，从而提高访问速度。 不同区域的资源之间网络不互通。 请根据实际需要进行选择 名称 VPN网关的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。 vpngw001 网络类型 公网：VPN网关通过公网建立VPN连接。 私网：VPN网关通过私网建立VPN连接。 公网 协议类型 支持“IPv4”和“IPv6”两种类型。 IPv6 关联模式 虚拟私有云 通过VPC向对端网关或本端子网内服务器发送通信消息。 企业路由器 通过ER向对端网关或ER下所有VPC所在子网发送通信消息。 说明 该场景下需要关注企业路由器的路由表条数规格限制。如果对端网关和VPN网关发送的路由条数超过企业路由器的规格，则企业路由器将无法学习到超出部分的路由信息，最终导致VPN网关和对端网关之间的流量不通。 虚拟私有云 虚拟私有云 选择虚拟私有云VPC信息。 vpc001(192.168.0.0/16) 企业路由器 仅“关联模式”采用“企业路由器”时需要配置。 选择企业路由器ER信息。 er001 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.66.0/24 本端子网 VPC与对端网关对应数据中心互通的子网。 选择子网选择本 VPC子网信息。 输入网段 可以输入本VPC下的子网信息；也可以输入与本VPC建立了对等网络的VPC子网信息。 192.168.1.0/24,192.168.2.0/24 BGP ASN VPN网关会根据输入值创建相应的ASN，VPN网关和对端网关的BGP ASN需要不同。 64512 可用区 可用区是指在同一地域内，电力和网络互相独立的物理区域。在同一VPC网络内可用区与可用区之间内网互通，可用区之间能做到物理隔离。 当存在两个及以上可用区时，必须选择两个可用区。 部署在两个可用区的VPN网关具备更高的可用性。建议您根据VPC内资源所在的可用区选择网关的可用区。 当仅存在一个可用区时，可选择此可用区创建VPN网关。 可用区1、可用区2 VPN连接组数 VPN网关默认提供10个免费的VPN连接组。 如果用户侧数据中心只有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet：这种情况需要配置一个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和用户侧出口网关通信。 如果用户侧数据中心有两个公网出口网关，所有服务器（或用户主机）通过两个网关连接至Internet：这种情况需要配置两个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和两个用户侧出口网关通信。 10 HA模式 双活：主EIP和主EIP2均与对端网关建立VPN连接，但只有一条VPN连接进行数据交互。当其中一条VPN连接发生故障时，数据交互切换至另一条VPN连接。 主备：主EIP与备EIP均与对端网关建立VPN连接，默认情况下流量仅通过主链路进行传输。如果主链路故障，流量自动切换至备链路进行传输；主链路恢复正常后，流量回切至主链路进行传输。 双活 主EIP 用于VPN网关和对端网关进行网络连接。 现在创建：创建新EIP。 使用已有：使用已有EIP。 现在创建 带宽大小 EIP对应带宽大小，单位：Mbit/s。 所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小，所有VPN连接的带宽总和不能超过该EIP的带宽大小。当网络流量超过EIP的带宽大小时，有可能造成网络拥塞导致VPN连接中断，请提前做好带宽规划。 支持在云监控中配置告警规则对带宽进行监控。支持用户在允许的带宽范围内自定义带宽大小。 10 Mbit/s 带宽名称 EIP对应带宽对象的名称。 Vpngwbandwidth1 主EIP2 一个VPN网关需要绑定一组弹性公网IP（即主EIP、主EIP2），每个公网IP可以独立规划带宽。 现在创建 备EIP 一个VPN网关需要绑定一组弹性公网IP（即主/备EIP），每个公网IP可以独立规划带宽。 说明 VPN网关“计费模式”为“按需计费”场景下，若备EIP为按流量计费，强烈建议用户在云监控中配置告警规则对备EIP进行监控，避免因VPN连接故障、主链路切换至备链路导致的流量费用超支问题。 如何在云监控中对EIP配置告警规则，请参见《弹性IP用户指南》。 现在创建 公网带宽 按需计费支持两种计费方式：按带宽计费/按流量计费。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。 按流量计费：指定带宽上限，按实际使用的出云流量计费，与使用时间无关。 按流量计费 带宽大小 EIP对应带宽大小，单位Mbit/s。 所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小，所有VPN连接的带宽总和不能超过该EIP的带宽大小。当网络流量超过EIP的带宽大小时，有可能造成网络拥塞导致VPN连接中断，请提前做好带宽规划。 支持在云监控中配置告警规则对带宽进行监控。支持用户在允许的带宽范围内自定义带宽大小。 10 Mbit/s 带宽名称 EIP对应带宽对象的名称。 Vpngwbandwidth2 企业项目 创建VPN时，可以将VPN加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 关于创建和管理企业项目的详情，请参见《企业项目管理用户指南》。 default 高级配置 仅“网络类型”为“私网”、“关联模式”采用“虚拟私有云”时需要配置。 选择：适用于同租户场景，选择本租户下接入虚拟私有云、接入子网、接入IP。 输入：适用于跨租户场景，填写接入项目、接入账号、接入虚拟私有云和接入子网。 选择 接入虚拟私有云 仅“关联模式”为“虚拟私有云”、“网络类型”为“私网”时需要配置。 当VPN网关的南北向需要连接不同的虚拟私有云时，设置北向的虚拟私有云为该接入虚拟私有云。 VPN网关关联的虚拟私有云为南向业务虚拟私有云。 选择“与网关关联的虚拟私有云一致” 接入子网 缺省情况下，VPN网关从关联的虚拟私有云的互联子网接入。当VPN网关需要从指定子网接入时设置。 选择“与互联子网一致” 5. （可选）对于国密型网关，创建后需要上传VPN网关证书，否则VPN连接将无法建立。 上传VPN网关证书的相关操作请参见“上传VPN网关证书”章节内容。

信息的获取 云网平台获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程： 1. 待签字符串：使用规范请求和其他信息创建待签字符串。 2. 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥。 3. 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4. 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为header中的一部分，并且必须是待签名header里的一个。需要进行签名算法的header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序。 如果你加入一个ccad的header，同时这个header也要是进行签名，则待签名的header组合： ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n

参数 说明 登录名 自定义登录系统的用户名。 创建后不可修改，且系统内“登录名”唯一不能重复。 认证类型 选择登录系统的认证方式。 本地：系统默认方式，即通过系统自身的帐号管理系统进行身份认证。 AD域：通过Windows AD域服务器对用户进行身份认证。 LDAP：通过LDAP协议，由第三方认证服务器对用户进行身份认证。 RADIUS：通过RADIUS协议，由第三方认证服务器对用户进行身份认证。 Azure AD：基于SAML配置，由Azure平台对登录用户进行身份认证。 若需启用AD域、LDAP、RADIUS、Azure AD远程认证方式的用户，需先在系统配置远程认证服务器信息，详细操作请参见：远程认证管理。 域名 “认证类型”选择“Azure AD”时，需要配置此项。 需输入在Azure平台用户注册时的后缀。 密码/确认密码 仅“认证类型”选择“本地”时，需要配置用户登录系统的密码。 可自定义生成密码，也可随机生成密码。 认证服务器 仅“认证类型”选择“AD域”和“LDAP”时，需要选择服务器名称。 姓名 自定义用户姓名。 用户帐号使用人员的姓名，便于区分不同的用户。 手机 输入手机号码。 用户帐号系统预留手机号码，用于手机短信登录或找回密码。 邮箱 输入邮箱地址。 用户帐号系统预留邮箱地址，用于通过邮箱接收系统消息通知。 角色 选择用户的角色，一个用户仅能配置一个角色。 缺省情况下，系统角色包括部门管理员、策略管理员、审计管理员和运维员。 部门管理员：负责部门管理，除“用户管理”和“角色管理”模块之外，部门管理员拥有其他全部模块的配置权限。 策略管理员：负责策略权限的配置，拥有“用户组管理”、“资源组管理”和“访问策略管理”等模块的配置权限。 审计管理员：负责系统和运维数据的审计，拥有“实时会话”、“历史会话”和“系统日志”等模块的配置权限。 运维员：系统普通用户和资源操作人员，拥有“主机运维”、“应用运维”和“授权工单”模块的操作访问权限。 自定义的角色：仅admin可自定义新角色或编辑默认角色的权限范围，详细介绍请见：角色管理。 所属部门 选择用户所属部门组织。如何创建系统部门，请参见：系统部门。 用户描述 （可选）对用户情况的简要描述。

推送运维报表 为方便审计管理员及时获取运维统计信息，可通过邮件发送运维报表。 自发送周期可选择每日、每周、每月。 报表格式可选择PDF、DOC、XLS、HTML。 每次推送最多可呈现连续180天的运维统计数据。 前提条件 已获取“运维报表”模块管理权限。 已配置有效邮箱地址。 手动导出 1 登录云堡垒机系统。 2 选择“审计 > 运维报表”，进入系统报表查看页面。 3 单击右上角的“报表导出”，弹出运维报表导出配置窗口。 4 配置运维报表推送方式、时间和文件格式。 导出运维报表 导出运维报表参数说明 参数 说明 :: 展示粒度 选择运维报表趋势图呈现粒度。 可以选择“按小时”、“按天”、“按周”、“按月”。 时间 选择运维报表统计数据时间范围。 需同时选择起始时间和结束时间。 最长可选择连续的180天。 报表类型 选择运维报表需呈现统计数据类型。 文件格式 选择报表的文件格式，仅可选择一种格式。 默认导出DOC文件格式。 可选择PDF、DOC、XLS、HTML格式。 5 单击“确定”，立即导出运维报表。 6 “消息中心”收到导出运维报表完成提醒，即可在邮箱收到运维报表文件。 自动发送 1 登录云堡垒机系统。 2 选择“审计 > 运维报表”，进入系统报表查看页面。 3 单击右上角的“报表自动发送”，弹出报表推送配置窗口。 4 配置报表推送方式、时间和文件格式。 自动发送运维报表 自动发送运维报表参数说明 参数 说明 :: 状态 选择开启或关闭自动推送上一周期报表，默认。 关闭表示关闭自动推送报表。 开启表示开启以邮件方式发送上一周期的报表至当前用户邮箱。 发送周期 选择报表发送周期。 默认为目标日期的零点发送报表。 可以按每日、每周、每月周期进行发送。 每日发送的报表中展示粒度为按小时。 每周发送的报表中展示粒度为按天。 每月发送的报表中展示粒度为按周。 文件格式 选择报表格式，仅可选择一种格式类型。 默认选DOC格式。 可选择PDF、DOC、XLS、HTML格式。 5 单击“确定”，返回运维报表页面，按期接收到运维报表邮件。

此章节为您介绍数据库审计如何设置告警通知。 邮件方式通知告警 1. 在菜单栏选择“通知外送 > 告警通知”进入“告警通知”页面，选择“邮件”页签。 2. 单击“编辑”，在弹出的“邮箱配置”对话框中编辑相关信息。具体参数说明可参考下表。 配置项 说明 SMTP服务器 SMTP服务器的IP或域名。 SMTP服务器端口 SMTP服务器所用端口。 发件人 发件人的邮箱。 SMTP验证 邮箱是否开启SMTP验证。 用户名 邮箱的用户名。 密码 与邮箱用户名对应的用户密码。 是否加密 邮箱是否进行加密。 编码 服务器支持的编码方式，主要为：UTF8、GBK。以上SMTP服务器相关配置与服务器端设置保持一致即可。 实时告警模板 发送实时告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 聚合告警模板 发送聚合告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 统计告警模板 发送统计告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 系统告警模板 发送系统告警信息的模板，可修改默认模板，具体字段请依据界面上的“填写说明”编辑。 3. 配置邮件发送接口后，可对需要通过邮件发送接口发送通知的资产配置发送方式。单击“添加”。 4. 在弹出的对话框中编辑相关信息，编辑完成后单击“保存”。具体参数说明可参考下表。 配置项 说明 资产 选择要发送告警信息的资产，可选择多项。 接收者 接收告警信息的邮箱，可设置多个邮箱。 告警等级 选择要发送的告警信息的告警等级。 通知周期 同一个规则在通知周期内多次触发告警时只通知第一次触发的告警。 取值范围：0~86400，单位为秒。 0表示发送全部告警。如果设置为0，聚合通知功能将无法开启。 聚合通知 开启聚合通知功能后，系统会在通知周期结束后发送一条聚合告警信息。 聚合消息示例：在过去秒，总计触发条告警（“”为具体数值）。 告警统计 选择是否开启发送告警统计信息的功能。 发送时间 每天在设定的时间点发送前一天的告警统计信息。

联系服务人员 如果无法确定原因并解决问题，请联系企业管理员。 为什么在互联网环境连接DWS后，解绑了EIP不会立即返回失败消息？ 这是因为解绑了EIP后，会导致网络断开。但是此过程中，TCP协议层因keepalive等的设置，无法及时识别物理连接已经故障，导致gsql，ODBC和JDBC等客户端无法及时识别网络故障。 客户端等待数据库返回的时间与keepalive参数的设置相关，具体可以表示为：keepalivetime + keepaliveprobes keepaliveintvl。 因为keepalive参数涉及到网络的通信的稳定性，所以可根据具体的业务压力与网络状况进行调整。 如果是Linux环境，使用sysctl命令修改如下参数： net.ipv4.tcpkeepalivetime net.ipv4.tcpkeeapliveprobes net.ipv4.tcpkeepaliveintvl 以修改net.ipv4.tcpkeepalivetime参数值为例，执行如下命令将参数值修改为120秒： sysctl net.ipv4.tcpkeepalivetime120 如果是Windows环境，修改注册表“HKEYLOCALMACHINESYSTEMCurrentControlSetservicesTcpipParameters”中的如下配置信息： KeepAliveTime KeepAliveInterval TcpMaxDataRetransmissions（相当于tcpkeepaliveprobes） 说明 如果以上参数不在注册表“HKEYLOCALMACHINESYSTEMCurrentControlSetservicesTcpipParameters”中，可以在注册表编辑器对应路径下右键单击“新建 > DWORD值”进行添加。 使用公网IP连接集群时如何设置白名单？ 用户可以登录VPC管理控制台手动创建一个安全组，然后回到DWS 创建集群页面，单击“安全组”下拉列表旁边的按钮，刷新后在“安全组”下拉列表中选择新建的安全组。 为了使DWS客户端可以连接集群，用户需要在新建的安全组中添加一条入规则，开放DWS 集群的数据库端口的访问权限。 协议：TCP。 端口范围：8000。指定为创建DWS 集群时设置的数据库端口，这个端口是DWS 用于接收客户端连接的端口。 源地址：选中“IP地址”，然后指定为客户端主机的IP地址，例如“192.168.0.10/32”。 添加入方向规则 添加完成后，即设置白名单成功。

本文介绍Web客户端如何接入验证码。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持验证码功能。 需先完成验证码配置。暂时未开放控制台，请通过提交工单给天翼云客服，由其人工操作开启。 代码示例 以下代码示例，单击打开验证码，激活验证码，并弹窗展示验证结果。点击携带 ticket 发请求，能够验证拦截情况 html 滑块验证接入demo .container { maxwidth: 400px; margin: 0 auto; padding: 20px; backgroundcolor: fff; borderradius: 5px; boxshadow: 0 0 10px rgba(0, 0, 0, 0.1); margintop: 100px; } h1 { textalign: center; } input[type"text"], input[type"password"] { width: 95%; padding: 10px; marginbottom: 10px; border: 1px solid ccc; borderradius: 5px; } .btclick { width: 100%; padding: 10px; marginbottom: 10px; border: none; borderradius: 5px; cursor: pointer; } .btclickcaptcha { position: relative; background:

本页介绍规格缩容相关步骤。 注意 仅II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 实例状态为运行中。 约束限制 仅华北2、西南1资源池只读实例支持规格缩容。 当规格已为最低规格（2C4G）则不支持缩容。 操作步骤 注意 实例规格缩容期间数据库服务将不可用，时间为5分钟左右（时间可能会根据网络等原因有所变化，以实际为准），建议您合理安排业务，并谨慎操作。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在操作 列选择更多 > 规格缩容。 4. 在规格缩容 页面，选择目标实例规格，确认退还费用，然后单击提交，对实例进行缩容。 等待实例重回运行中状态，即可正常使用低规格的实例。

支持备份数据库所有配置信息。 手动备份 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择点击“系统配置 > 配置备份”，进入配置备份页面。 3. 点击“备份”按钮，等待一会儿自动生成备份文件。 文件名称：lasBackupConfig 自动备份 支持设置备份周期和备份文件上限。 1. 登录日志审计系统。 2. 在左侧导航栏选择点击“系统配置 > 配置备份”，进入配置备份页面。 3. 点击“修改”按钮。 4. 弹出配置修改弹窗，修改备份周期和备份文件上限。 参数 说明 备份周期 通过下拉框进行选择： 不自动备份（默认值） 每天自动备份：每天凌晨2点开始备份。 每周自动备份：每周一凌晨2点开始备份。 每月自动备份：每月1日凌晨2点开始备份。 备份文件上限 有效值150，默认10。超出该上限时，会自动删除最旧的一个备份文件。 备份文件上限不能小于当前已存在的备份文件数。 5. 修改完成后，单击“提交”。 恢复数据 注意 确认恢复配置数据，执行后将覆盖当前系统配置，且恢复过程中会无法使用当前系统，请谨慎操作！ 1. 选择待恢复的备份数据，点击操作列的“恢复”按钮。 2. 确认提示信息后，单击“确认”，确认按钮变为恢复中，恢复成功弹窗隐藏。

本章节为您介绍日志备份相关的功能说明。 日志备份功能通过自动化归档、多副本存储及生命周期管理，确保业务连续性与合规性，优化存储资源并支持长期追溯分析。 注意 仅V3.0.0版本及以上的日志审计实例支持日志备份功能。 新增日志备份任务 1.登录日志审计（原生版）实例。 2.在左侧导航栏选择“系统配置 > 日志备份”，进入“日志备份”页面。 3.单击页面左上方的“新增”按钮，开始新增新的日志备份任务。 参数 参数说明 填写示例 任务名称 自定义任务名称 Test 备份方式 可选择“原始日志”、“索引快照”。 原始日志：只备份原始日志。 索引快照：包括格式规范化后的数据以及原始日志。 原始日志 备份任务类型 可选择“单次执行”或“周期执行”。 单次执行：选择执行日志备份的时间、日志备份的日期范围。 周期执行：选择每天或每周为周期，选取每次执行的时间。 单次执行 单文件大小 备份过程中生成的文件大小设置，范围在1001000M，默认500M。 500M 远端服务器地址 填写远端服务器合法的IP地址。 192.168.0.1 保存目录 以根目录/开头，且拥有远端机器创建目录的权限，保存目录不能包含特殊字符~!@

此章节为您介绍日志审计一些故障的处理方法 登录报错：当前实例无法访问，请检查是否在安全组开放端口8181 问题现象： 登录和日志审计实例相同vpc的机器telnet 8181端口可以连通，说明日志审计实例已启动完毕、状态正常。 解决方法： 通过浏览器开发工具获取登录地址，手动替换地址中的ip地址后在浏览器中访问。 安装Windows采集代理服务后服务启动报错 问题现象： 安装Windows采集服务后，日志审计（原生版）服务启动报错 解决方法： 请按照下图修改配置。 Linux配置脚本报错怎么解决？ 问题现象： Linux采集脚本执行报错，无法正常执行。 解决方案： 更新Rsyslog的配置文件后重启服务。 操作步骤： 1.linux主机配置日志审计流程： 使用以下指令打开/etc/rsyslog.conf文件 vi /etc/rsyslog.conf 2.在Rsyslog文件末尾添加以下内容： . @192.168.x.x 说明 “.”表示所有级别的日志都发给日志审计, IP地址填写日志审计的服务器IP地址。 3.重启Rsyslog服务 Cenots7后的重启命令：systemctl restart rsyslog.service Centos6前的重启命令：service rsyslog restart 4.配置完成后，请查看日志检索是否显示出日志的IP信息。 若没有收到查看到日志源IP，请查看端口开放建议，配置完成后，需重新按照步骤3的操作重启rsyslog服务。

本文介绍如何比较参数模板。 注意事项 系统参数模板只允许和其他系统参数模板比较。 自定义参数模板只允许和其他自定义参数模板比较。 不同引擎版本，模板中的参数并不完全一样，不一定都有某个参数。因此，比较两个参数模板时，可能出现某个模板里有某个参数，但是另外一个参数模板中并没有该参数。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 参数模板】，进入参数模板页面。然后在顶部菜单栏，选择区域和项目。 3. 选择系统参数模板或自定义参数标签页，选择某个参数模板，单击【比较】，在弹出框选择其他待比较的参数模板，单击确定，比较两个参数模板之间的参数配置差异或相同点。 4. 在参数比较框，可以选择【仅显示不同项】或【显示全部项相同项】，单击确定后，将分别展示两个模板的参数不同点或者所有参数的对比。 5. 如果选择仅显示不同项，如果两个参数模板的参数配置都一样，则比较结果为空白，否则会展示两个模板的差异。 6. 如果选择显示全部项，则会展示两个参数模板的所有参数的对比结果。

服务接入黑盒监控 登陆CCSE控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要接入监控的集群，进入集群管理页面。 选择网络 > 服务 > 创建服务 进入服务创建页面。 点击接入黑盒监控按钮进入监控注解设置界面。可以选择HTTP探针和TCP探针，填写端口和路径后点击确认就会自动生成相关注解。 填写服务的其他信息后点击提交 创建服务。创建好的服务就已经接入黑盒监控了。 监控界面查看黑盒监控情况 登陆CCSE控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要接入监控的集群，进入集群管理页面。 选择 运维管理 > 监控 > 网络监控 > 黑盒监控 查看黑盒监控面版，通过target可以选择要查看的应用。 配置黑盒监控告警 登陆CCSE控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要接入监控的集群，进入集群管理页面。 选择 运维管理 > 指标告警 > 告警规则 > 创建告警规则 进入告警规则创建页面，告警分组选择 黑盒监控 ，告警指标可以选择 Probe探测失败 或 探测时延过高，填写通知策略以及告警其他信息后点击保存创建告警规则。

本节介绍了应用管控服务的最佳实践介绍。 通过应用市场的应用管控功能，管理员可以使用应用黑白名单对桌面实现有效的安全管控。 绑定黑名单规则的桌面，无法运行黑名单列表中的应用，当桌面运行黑名单中应用时会被阻止，且用户无法向管理员发起应用放行申请。 绑定白名单规则的桌面只能运行白名单列表中的应用，当桌面安装或运行非白名单中的应用时会被阻止。用户如需使用被阻止的应用，可在拦截提示中向管理员发起申请。如果管理员同意放行此应用，用户再次运行应用时即可正常使用。 前提条件 已开通天翼AI云电脑（政企版），详情请参见快速订购AI云电脑。 已开通应用市场，详情请参见开通应用市场。 注意事项 为了保证应用黑白名单的正常使用，在使用之前，请您务必认真阅读应用管控部分的功能介绍。详情请参见应用管控。 应用场景说明 企业只允许员工在AI云电脑中使用特定的应用时，可使用白名单，如教育培训，银行金融办公等场景；企业只限制员工在AI云电脑中不能使用某些应用时，可使用黑名单，如事业单位、互联网等场景。 操作步骤 步骤一：配置黑名单

类型 功能 网络共享盘 NAS型共享盘 使用方式 AI云电脑挂载访问 支持 支持 使用方式 第三方平台系统（企业OA，SAP系统等）集成访问 支持 不支持 使用方式 天翼AI云电脑、网盘网页版、支持桌面端和移动端访问 支持 不支持 共享范围 跨资源池共享 支持 支持 共享范围 文件对外分享 不支持（规划中） 不支持 共享范围 跨企业（租户）共享 不支持（规划中） 不支持 数据安全 文件落盘自动加密 支持 支持 数据安全 多数据中心备份，数据异地容灾高可用 支持 部分资源池支持 翼起来生态融合 支持虚拟应用保存文件至翼共享盘 支持 支持 翼起来生态融合 支持翼连访问打开翼共享盘的文件，以及保存文件至翼共享盘 支持 不支持 翼起来生态融合 支持翼飞表单、问卷采集文件或图片保存至翼共享盘 不支持（规划中） 不支持 翼起来生态融合 云智助手设置共享盘为知识库 支持 不支持 权限管控 企业/个人空间容量分配，动态扩容 支持 支持 权限管控 挂载盘设置 支持用户挂载 支持桌面颗粒度挂载 权限管控 支持读写、分享等权限设置 支持 仅支持读写权限设置 权限管控 支持下载/分享/删除等操作审批 支持 不支持 权限管控 日志审计 不支持 仅支持新建、修改、删除操作

本文介绍精准访问控制如何设置生效时间。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 为了保证用户业务使用的灵活性，例如部分敏感地址仅允许在系统维护时间范围内短暂的访问等，从而对业务的访问策略能够进行精细化的防护和控制，系统允许创建精准访问控制规则时，可以选择让该规则永久生效，或定义失效时间。可以通过规则列表控制规则是否开启，自定义控制规则生效的时间段。 设置精准访问控制策略的流程和步骤如下： 操作流程 操作步骤 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防护配置 > 对象防护配置”。 3. 在“安全防护”页签定位到“精准访问控制”模块，选择自定义防护规则，单击“前去配置”。 4. 新建/编辑防护规则。 5. 设置过期时间。 6. 单击“保存”，保存配置。 即可完成精准访问控制的生效时间设置。

控制台续费 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后15天内，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，若未及时续费，则进入“保留期”，不能登录云堡垒机系统。“保留期”为15天，到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 堡垒机续费不会自动续费云主机，请您手动续订对应云主机。 前提条件 已获取控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待续费的实例，单击“更多 > 续费”，进入“续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“云堡垒机实例”列表查看授权后最新到期时间。 管理中心续订 登录天翼云官网，进入管理中心，选择续订管理，点击“手动续订”或者“开通自动续订”按钮，即可完成实例的续订。 退订 说明 退订堡垒机不会自动退订对应云主机，请您单独退订云主机。

劣势 数据存储在海量文件所在的可用区，若海量文件所在的可用区存储故障，海量文件不可用。 目前天翼云资源池还在逐步铺开部署中，部分资源池暂未支持，使用前需确认资源池覆盖情况。 跨可用区挂载可能存在性能损耗，对性能敏感场景建议容器与存储部署在同一可用区。 建议 在多节点需共享访问数据的场景优先考虑此类存储。 弹性文件 优势 中等时延 支持多机读写（ReadWriteMany），多个节点可以挂载同一个弹性文件。 支持跨可用区挂载。（例如节点在可用区1可挂载可用区2的海量文件） 劣势 数据存储在弹性文件所在的可用区，如果弹性文件所在的可用区的存储出现故障，弹性文件不可用。 跨可用区挂载可能影响性能，建议对性能要求高的场景将容器与存储置于同一可用区 产品处于逐步下线阶段，后续将由海量文件替代 起步容量500GB，对轻量用户负担较重 并行文件 优势 较低时延 支持多机读写（ReadWriteMany），多个节点可以挂载同一个并行文件。 适合智算场景，目前仅智算版云容器引擎支持。 劣势 不支持跨可用区挂载，可用区故障时数据不可用。（如文件在可用区1而节点在可用区2则无法挂载） 数据存储在创建可用区，依赖该可用区稳定性。 起步容量512GB且价格较高。 对象存储

本节介绍如何查看互联网边界防护情况。 在互联网边界防火墙开关页面上方，用户可以查看互联网边界流量监控信息、防护状态和配额状态。 互联网边界流量监控：展示最近7天内所有已开启防护资产产生的流量峰值，包括入向峰值带宽和出向峰值带宽；以及当前已购买的带宽规格和带宽占用情况。 防护状态：统计了您已开启和未开启防护的弹性IP、公网NAT网关、弹性负载均衡。鼠标悬浮在弹性IP、弹性负载均衡对应数字上，会展示对应的IPv4和IPv6资产数量。 配额状态：展示已经购买的互联网边界防火墙未使用和已使用的配额数，以及公网IP防护配额扩展包的数量。1个弹性IP消耗1个防护配额，1个NAT网关消耗4个防护配额，1个弹性负载均衡消耗1个防护配额，您可以为VPC中的所有弹性IP、NAT网关、弹性负载均衡开启防护。 流量拓扑可视：在“流量拓扑可视”模块下方切换不同的资产页签，可分别查看各VPC内弹性IP、公网NAT、弹性负载均衡的防护情况，便于掌握整体网络安全防护态势。 操作步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 查看当前账号下弹性IP、公网NAT网关、弹性负载均衡的防护情况。