本文介绍如何检测弹性云主机与Redis之间的网络连接 新建Redis实例后，或在使用过程中突然无法连接Redis实例时，您可以在ECS的命令行中使用PING命令检测ECS与Redis实例网络是否能够连通。 操作步骤： 1.获取Redis实例的连接地址，更多信息请参见查看链接地址 2.登录客户端所在的ECS实例，并在命令行中执行PING命令。例如Redis实例的连接地址为{IP}，命令示例如下。 ping {IP} 说明 如果需要持续检测连通性请使用ping t命令。 Linux系统执行该命令后将会持续发送ping请求，您可以按下键盘上的Ctrl键加C键停止执行并统计结果。 结果分析： 如果所有请求都成功收到了回复，则连接正常。 如果未收到正常回复，则连接异常，常见失败原因如下： ECS异常行为触发安全策略，导致服务被禁止。请检查服务器，在安全组的出方向设置精确的规则，例如限定该ECS只能访问业务需要的地址和端口，此处为Redis实例的33016端口，更多信息请参见本节如何配置安全组 您的本地设备由于网络防火墙等自身原因，无法连接到Redis，请进行检查。

本文主要介绍云日志服务如何创建告警规则。 告警规则为监控告警的管理单元，一条完整的告警规则包含监控日志单元对象、触发条件、检查频率、通知策略与告警内容等信息。本文将介绍如何创建告警规则。 前提条件 已创建日志项目、日志单元并完成日志数据接入。 已创建通知策略，详情请查看通知策略管理。 操作步骤 1. 登录云日志服务控制台。 2. 左侧导航栏点击告警规则模块，进入告警规则页面。 3. 点击创建告警规则。 4. 创建告警配置，请按如下说明配置参数。并点击新建，完成告警规则设置。 参数 说明 告警名称 设置告警名称 检查频率 告警规则的执行周期，支持固定频率与固定时间； 固定频率：按固定的时间间隔执行一次监控任务时间间隔，支持设置分钟、小时、天的频率； 固定时间：按固定的时间点，每天执行一次监控任务。 日志查询 查询对象：选择需要进行监控的日志项目与日志单元； 查询时间范围：针对目标日志单元进行检索时的时间范围； 查询执行：针对目标日志单元的查询分析条件，填入日志查询分析语句，点击【预览】按钮可预览检索结果，当检索结果满足触发条件时，则触发告警。关于如何填写查询分析语句，请参考日志查询语法与SQL统计语法。 触发条件 当目标日志单元的检索结果满足触发条件时，则触发告警通知。可同时设置多条触发条件，目前支持两类触发条件： 检索结果有数据：当检索结果有日志数据时即触发告警； 检索结果有特定条数据：当检索结果中的日志数据满足一定条件时即触发告警，可设置条件表达式。 有数据匹配：输入具体的条件表达式，当条件表达式返回为true的时候，产生告警，否则不产生告警。 有特定条数据匹配：输入具体的条件表达式，当条件表达式返回为true且满足特定条数据条件时，产生告警，否则不产生告警。 通知策略 选择已创建好的通知策略。 告警内容 告警内容将作为告警信息中的一个字段，告警内容支持插入各类变量。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b alarmType 是 String 本参数表示告警类型。 取值范围：series：时序指标。event：事件。 根据以上范围取值。 series alarmRuleID 是 String 告警规则ID 2c2472dff6335b4bbe459609fc9f8154 service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。...详见“[一键告警：产品列表]”接口返回。 ecs dimension 是 String 本参数表示维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs name 是 String 规则名 CPU使用率一键告警 evaluationCount 否 Integer 连续出现次数，默认0次 5 metric 是 String 指标名 cpuutil repeatTimes 否 Integer 重复告警通知次数，默认值：0 0 silenceTime 否 Integer 告警接收策略静默时间，多久重复通知一次，单位为秒。 默认值：300 300 recoverNotify 否 Integer 本参数表示恢复是否通知。默认值：0。取值范围：0：否。1：是。根据以上范围取值。 0 notifyType 否 Array of Strings 本参数表示告警接收策略。取值范围：email：邮件告警。sms：短信告警。根据以上范围取值。 ['email'] contactGroupList 否 Array of Strings 告警联系人组 ["000f03221f4d8cc8bb2e1c30fb751ccc"] notifyWeekdays 否 Array of Integers 本参数表示通知周期。默认值[0,1,2,3,4,5,6]。取值范围：0：周日。1：周一。2：周二。3：周三。4：周四。5：周五。6：周六。根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart 否 String 通知起始时段，默认值：00:00:00 00:00:00 notifyEnd 否 String 通知结束时段，默认值：23:59:59 23:59:59 webhookUrl 否 Array of Strings 告警状态变更webhook推送地址 [' operator 是 String 注意：一键告警规则的告警类型（alarmType）为事件类型（event）时，不需要传入此参数；为其它告警类型时，是必填参数。 本参数表示比较符。默认值le。取值范围：eq：等于。gt：大于。ge：大于等于。lt：小于。le：小于等于。根据以上范围取值。 eq value 是 String 注意：一键告警规则的告警类型（alarmType）为事件类型（event）时，不需要传入此参数；为其它告警类型时，是必填参数。 告警阈值，可以是整数、小数或百分数格式字符串 0 unit 否 String 单位 %

本文介绍用户自持镜像导致的弹性云主机操作系统无法正常启动的常见原因。 故障原因 1. repo 源无法使用； 2. 系统中配置文件锁死（如 chattr 修改的问题）； 3. OS 磁盘分区问题，OS中分区大于购买云主机上的磁盘； 4. 自启动服务在云环境下不兼容，开机自启动配置文件 /etc/rc.local等文件中的配置问题。 解决方法 1.repo 源无法使用 建议检测源是否可用，并尝试更换其他 repo 源。 2.系统中配置文件锁死（如因 chattr 修改的问题） chattr 命令用于更改系统中文件或者目录的属性，来对系统中关键文件进行锁定保护防止误删或者修改。如果对系统中配置文件锁死可能导致操作系统无法正常启动。建议检查系统中相关配置文件是否被 chattr 修改导致锁死。可以通过 lsattr 命令来查看是否锁死。 使用方式示例： 输出结果中包含 i 属性时说明文件被锁死。 使用 chattr 命令来去除属性 i： 再次使用 lsattr 查看属性： 此时文件已经被解锁。 3.OS 磁盘分区问题，OS 中分区大于购买云主机上的磁盘 建议查看 OS 分区大小，排查 OS 分区大小是否大于购买云主机磁盘。可通过 df 命令来查看 OS 分区大小。 使用方式示例： 4.自启动服务在云环境下不兼容，开机自启动配置文件 /etc/rc.local等文件中的配置问题 检查开机自启动配置文件 /etc/rc.local 等文件中的相关配置是否正确设置。可通过 cat 命令来查看相关配置文件内容，如果存在问题可考虑重新进行配置。

Kubernetes 1.30 版本Changelog 1. Pod 调度就绪机制（GA），通过 spec.schedulingGates 字段，允许用户在 Pod 创建后动态控制其调度时机。例如，当存储卷或网络策略未准备好时，Pod 可被标记为 “未就绪”，避免无效调度导致的资源浪费。 2. Pod 拓扑分布最小域（GA），在 PodTopologySpread 中新增 minDomains 参数，要求 Pod 至少分布在指定数量的拓扑域（如可用区）。若当前域不足，Pod 将暂停调度，触发自动缩放器创建新节点，确保高可用性。 3. 基于索引的 Job 回退机制（Beta），支持为索引 Job 的每个任务索引单独配置重试策略（.spec.backoffLimitPerIndex），避免因单个索引失败导致整个 Job 终止。适用于分布式训练等需细粒度控制的场景。 4. 基于容器资源的 HPA（GA），Horizontal Pod Autoscaler 可根据 Pod 内单个容器的 CPU / 内存使用情况进行扩缩容，而非依赖 Pod 整体指标。例如，优先对关键容器（如数据库主节点）设置更严格的扩缩容阈值。 5. 负载均衡器 IP 模式（Beta）， LoadBalancer 类型的 Service 新增 .status.loadBalancer.ingress.ipMode 字段，用于指定负载均衡器IP的转发行为。该字段仅在指定了.status.loadBalancer.ingress.ip字段时才能被指定。 6. 多服务 CIDR 支持（Alpha），允许为集群配置多个 Service ClusterIP 地址段（通过 ServiceCIDR 资源），扩展服务 IP 地址空间，满足复杂网络拓扑需求。 7. 基于 CEL 的准入控制（GA），该特性支持通过CEL表达式声明资源的验证准入策略。 8. ImageMaximumGCAge（Beta），允许kubelet配置对未使用镜像被垃圾回收前的最大存活时间，即在达到指定时间后若镜像仍然未被使用，那么镜像将可被垃圾收集机制清理。默认值为"0s"，即不设置时间限制）。 更多信息请参考：Kubernetes 1.30 Changelog

本文简述资源包订购的操作步骤。 前提条件 已注册天翼云官网账号。如未注册，请参见：注册天翼云账号进行注册。 账号已实名认证，详情请参见：实名认证。 已开通视频直播按需为【流量】的计费方式。详情请参见：开通视频直播服务。 资源包购买流程 1. 开通按需计费后，返回产品详情页，单击【流量包订购】进入资源包购买页面。 2. 选择您想要的加速区域、资源包类型、资源包规格、购买数量，确认无误后，单击【立即购买】。 说明 视频直播流量包支持叠加购买。如果需要叠加购买，可单击【购买数量】中添加需要购买的数量。 如果需要同时订购加速区域为“中国内地”和“全球（不含中国内地）”的资源包，需要分别订购。 3. 单击【立即购买】后，勾选“我已阅读，理解并接受《天翼云CDN服务协议》”，再次核对视频直播资源包信息，确认无误后单击【提交订单】。 4. 提交成功后，单击【去支付】。 5. 进入订单支付页面，再次确认资源包规格、订购数量和资源包价格均无误后，单击【立即支付】。 6. 订单处理页面，订单处理完成后您将会收到短信通知，收到通知后，刷新当前页面。 7. 完成订购后，即可进入直播控制台接入需要加速的域名，详情请参见：添加加速域名。

返回值示例 1.请求成功返回值示例 plaintext { 'statusCode': 0, 'message': 'success', 'returnObj': {'DetectBoxes': [[1135, 181, 279, 274]], 'DetectClses': ['face'], 'DetectCount': 1, 'DetectScores': [0.6763], 'FaceAngles': [[40.4, 1.2, 5.16]], 'LandmarkCount': 5, 'Landmarks': [[1214, 290, 1335, 289, 1273, 380, 1235, 407, 1319, 407]]} } 2.请求失败返回示例 plaintext { 'code': 400006, 'details': '必须的参数（Action、ImageData）未传', 'error': 'AIOP400006', 'message': '必传的参数未传', 'statusCode': 400006 } 错误码说明 6 位错误码。4 开头为业务错误码，5 开头为服务错误码。 错误码 错误信息 错误描述 CTAPI10000 API Not Found CTAPI0009 无效json的body参数 AIOP400005 请求体类型错误 请求体需为字典，不能为其他类型 AIOP400006 必传的参数未传 必须的参数（Action、ImageData）未传 AIOP400008 请求体的参数字段类型错误 Action、ImageData 字段应该是 string 类型 FaceThresh 字段应该是 float 类型 NeedFaceAngle 字段应该是 bool 类型 AIOP400009 请求体的参数字段值为空 Action、ImageData 字段值为空字符 AIOP400010 请求体的参数字段值设置错误 Action 值设置错误 FaceThresh 字段不符合规范，请参考接⼝⽂档说明 AIOP400011 base64 数据处理异常 ImageData 字段的 base64 字符串转换字节码异常 AIOP400012 ⽂件格式不合法 仅⽀持 jpeg/png/jpg/bmp 格式 AIOP400013 ⽂件⼤⼩不符合要求 该⽂件⼤⼩不符合要求，图⽚要求⼩于 7M AIOP410001 图⽚解码错误 字节码解码为图⽚错误 AIOP410002 图⽚尺⼨不符合要求 分辨率⻓宽尺⼨应不⾼于 5000 不低于 32 AIOP500001 服务接⼝异常，请联系管理员 需要联系管理员处理

负载均衡器配置说明 参数 说明 地域 选择对应的区域资源池，本文选择华东华东1。 类型 可选经典型或性能保障型。 名称 负载均衡器的名称。 网络类型 可选外网或者内网。外网：选择外网，出现“弹性IP”字段，目前只支持使用已有的弹性IP。外网负载均衡器通过公网IP对外提供服务，将来自公网的客户端请求按照指定的负载均衡策略分发到后端行处理。需要绑定一个已有的EIP。（注意：如果只需要IPv6公网，则可以创建内网负载均衡后绑定IPv6公网带宽。目前仅集群资源池支持负载均衡IPv6，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。内网：选择内网，出现”负载均衡虚拟IP”字段，可选择”自动分配”或“手动分配”。内网负载均衡器通过内网IP对外提供服务，将来自同一个VPC的客户端请求按照指定的负载均衡策略分发到后端进行处理。） 所属VPC 所属虚拟私有云。您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。更多关于虚拟私有云的信息，请参见《虚拟私有云用户指南》。 子网 所属子网。注意：如果子网未开启IPv6,则负载均衡不支持IPv6。如果子网已开启IPv6,则负载均衡支持IPv6。 规格 规格参数为典型场景的测试数据，性能保障型有此字段，您可以根据实际需要选择标准型I、标准型II、增强型I、增强型II或高阶型I。 企业项目 选择所述的企业项目名称。 计费方式 经典型为经典型负载均衡产品免费提供，性能保障型负载均衡为收费产品，当前仅支持包年/包月方式计费。 计费周期 性能保障型负载均衡有此字段，通过滑轨选择，可选111个月，1/2/3年。 描述 可添加负载均衡器相关描述。

pe93e2238b3a78d6d)。 方式二：可通过给用户组配置策略，使得用户组内所有用户均有对应的权限，详细操作请参见为子账号所属用户组授权。 说明 子账号的个人权限与继承自用户组的权限取策略对应权限的并集。 方式一：为子账号配置个人权限 1. 在左侧导航栏，选择“用户”，选择需要配置权限的账号，点击“查看”。 2. 进入到账号详情页，选择“权限管理”。 3. 点击“新增权限”。 4. 勾选需要策略，点击“下一步”。 说明 策略可以多选，若选择多个，则取策略对应权限的并集。云等保对应拥有的策略及权限请参考云等保专区IAM策略说明。 5. 选择“全局服务资源”，点击“确定”，即可完成。 方式二：为子账号所属用户组授权 创建子账号并加入用户组后，可参考以下步骤为用户组授权，授权后，属于该用户的所有用户将拥有对应的权限。创建子账号并加入用户组的详细操作请参考创建IAM用户和登录。 1. 在左侧导航栏，选择“用户组”，选择需要配置权限的账号，点击“授权”，进入到授权页页面。 2. 勾选需要策略，点击“下一步”。 说明 策略可以多选，若选择多个，则取策略对应权限的并集。云等保对应拥有的策略及权限请参考云等保专区IAM策略说明。 3. 选择“全局服务资源”点击确定，即可完成。

本页对关系数据库MySQL版MGR集群功能进行说明。 注意 仅西南1等II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 MGR集群说明 MGR全称MySQL Group Replication（MySQL组复制），MGR提供了高可用、高扩展、高可靠的MySQL集群服务，MGR集群架构如下： 说明 如果您的业务需要高可靠、高可用的关系数据库MySQL版实例，建议您选择8.0的MGR集群模式。 注意事项 MGR集群实例的数据库版本只支持8.0，不支持5.7。 MGR集群实例不支持切换数据复制方式。 MGR集群实例类型只支持一主两备，且不支持系列升级操作（即只支持一主两从）。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表上方，单击创建实例，跳转到实例购买页面。 4. 根据实际情况，配置实例相关参数。您需要注意如下参数： 组件引擎 ：选择MySQL 和8.0 基础配置 ：模式 选择MGR ，实例类型 默认只能选择一主两备 5. 阅读并勾选服务协议后，单击确认订单。 等待实例开通完成并且处于运行中 状态后，单击实例名称进入实例基本信息 页面。您可以在实例信息 区域，看到模式 为MGR，表示当前实例为MGR集群。

本文帮助您快速熟悉负载均衡器创建及其相关操作。 前提条件 在您创建负载均衡器前，确保您已经做好了相关准备，按需选择您需要的网络类型、产品类型并进行相关配置。具体请参考规划和准备。 使用须知 负载均衡器创建后，不支持修改VPC。如果要修改VPC，请重新创建负载均衡器，并选择对应的VPC。 如果子网未开启IPv6,则负载均衡不支持IPv6，如果子网已开启IPv6,则负载均衡支持IPv6。 如果只需要IPv6公网，可以创建内网负载均衡后绑定IPv6公网带宽。目前仅集群资源池支持负载均衡IPv6，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域，本文操作均选择华东dectest1017。 3. 在系统首页，选择“网络>弹性负载均衡>负载均衡器”。 4. 单击“创建负载均衡”，进入负载均衡创建页面。 5. 按需选择产品类型、网络类型等配置。各配置项详细说明，请参考负载均衡器配置说明。 6. 在“确认配置”页面，检查确认负载均衡器的相关配置。 7. 勾选我已阅读并同意相关协议《天翼云负载均衡服务等级协议》、《天翼云弹性IP服务协议》，点击“立即创建”。 8. 创建负载均衡器一般需要几分钟，请耐心等待。用户可前往控制台查看负载均衡器的状态，当其状态变为“运行中”时，表示负载均衡器创建完成。

导入作业 导入作业功能依赖于OBS服务，如无OBS服务，可从本地导入。 在作业目录中导入一个或多个作业 1. 单击作业目录中的 > 导入作业，选择已上传至OBS或者本地中的作业文件，以及重名处理策略。 说明 在硬锁策略下，如果锁在其他人手中，重名策略选择了覆盖，则会覆盖失败。软硬锁策略请参考 详见下图：导入作业定义及依赖 2. 单击“下一步”，根据提示导入作业。 说明 在导入作业过程中，若作业关联的数据连接、dli队列、ges图等在数据开发模块系统中不存在时，系统会提示您重新选择。 操作示例 背景信息： 在数据开发模块系统中创建一个DWS的数据连接“doctest” 在作业目录中创建实时作业“doc1”，作业中添加节点“DWS SQL”，配置节点的“数据连接”为“doctest”，配置“SQL脚本”和“数据库”。 1. 登录DataArts Studio控制台。选择实例，点击“进入控制台”，选择对应工作空间的“数据开发”模块，进入数据开发页面。 详见下图：选择数据开发 2. 在数据开发主界面的左侧导航栏，选择“数据开发 > 作业开发”。 3. 在作业搜索框中搜索作业“doc1”，导出作业到本地，并上传作业至OBS文件夹中。 4. 在数据开发模块系统中删掉作业关联的dws数据连接“doctest”。 5. 单击作业目录中的 > 导入作业，选择上传至OBS文件夹中的作业，并设置重名处理策略。 6. 单击“下一步”，根据导入作业页面的提示重新选择数据连接。 7. 单击“下一步”，再单击“关闭”。

本小节介绍数据库安全数据库拖库检测最佳实践。 操作场景 数据库安全审计默认提供一条“数据库拖库检测”的风险操作，用于检测原始审计日志疑似拖库的SQL语句，及时发现数据安全风险。 通过数据库拖库检测，您可获知执行耗时长、影响行数、执行该SQL语句的数据库信息。 数据库安全审计支持以下执行语句类型检测，数据定义（DDL）： CREATE TABLE CREATE TABLESPACE DROP TABLE DROP TABLESPACE 数据操作（DML）： INSERT UPDATE DELETE SELECT SELECT FOR UPDATE 数据控制（DCL）： CREATE USER DROP USER GRANT 配置数据库拖库检测 在启用数据库拖库检测规则前，还需要用户根据业务实际需求添加待审计的数据库、客户端IP/IP段、操作类型、操作对象及执行结果。 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。 3. 在左侧导航树中，选择“审计规则”，进入“审计规则”界面。 4. 在“选择实例”下拉列表框中，选择需要配置数据库拖库检测的实例。 5. 选择“风险操作”页签。 6. 在数据库拖库检测行的“操作”列，单击“编辑”，进入“编辑风险操作”界面。 7. （可选）配置“客户端IP/IP段”，不配置系统默认检测全部。 8. “操作类型”：选择“SELECT”，如图所示。 9. （可选）设置“操作对象”，不配置系统默认检测全部。 单击操作对象后，输入“目标数据库”、“目标表”和“字段”信息。 单击“确定”。 10. 配置“执行结果”区域中的“影响行数”和“执行时长”，如图所示。 当您的应用程序发生变化（如：服务升级、代码变更）时，需要根据实际情况修改“影响行数”的参数，以免审计不完全。 11. 单击“保存”。

指导用户初始化专属加密实例、安装安全代理软件并授权。 在您支付完成后，我们会根据您反馈的邮寄地址，将初始化专属加密实例的Ukey邮寄给您，请您耐心等待。同时，专属加密服务安全专家会通过您提供的联系方式，与您取得联系，将配套的软件及相关指导文档发送给您。软件分为两类，一类用于管理云加密实例；另一类是业务调用时依赖的安全代理软件和SDK。 前提条件 在实例化专属加密实例后，用户需要获取以下信息，初始化专属加密实例、安装安全代理软件并授权。 信息获取 名称 说明 来源 Ukey 保存专属加密实例的权限管理信息。 订单付款后，且实例化专属加密实例成功后，由专属加密服务邮寄到您的Ukey收件地址。 专属加密实例管理工具 配合Ukey，远程管理专属加密实例。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 专属加密实例配套文档 《专属加密实例用户手册》和《专属加密实例安装手册》。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 安全代理软件 与专属加密实例建立安全通道。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 SDK 用于提供专属加密实例的API接口，用户通过调用SDK与专属加密实例建立安全连接。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 专属加密实例管理节点（例如：ECS） 运行专属加密实例管理工具，与专属加密实例处于同一VPC，并分配弹性IP地址用于远程连接。 安全专家会通过您提供的联系方式联系您，将配套的软件和相关指导文档发送给您。 业务APP节点（例如：ECS） 运行安全代理软件和用户的业务APP，与专属加密实例处于同一VPC。 无

本文介绍配置安全组的入方向规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 弹性云主机是天翼云提供的云服务器。安全组（Security Group）是用于设置云服务器实例的网络访问控制的虚拟防火墙，一般是作为流量访问白名单存在，以下是一些ECS安全组的最佳实践： 开放原则 默认拒绝所有流量：新建的安全组规则默认情况下拒绝所有入站和出站流量，这是一种良好的安全实践。 仅开放必要的端口和协议，避免使用0.0.0.0/0规则：根据应用需求，只开放必要的端口和协议，例如HTTP（80端口）、HTTPS（443端口）等。避免开放不必要的端口，以减少攻击面。 分组原则 根据应用需求进行分组：根据应用程序或服务的需求，可以将安全组规则进行分组。例如，将Web服务器相关的规则放在一个Web层安全组中，数据库服务器相关的规则放在另一个Database层安全组中。这样可以更好地管理和组织安全组规则，暴露不同的出入规则和权限。 避免过度复杂化：尽量避免创建过多的安全组，以免管理和维护变得复杂。根据实际情况合理划分安全组，保持简洁和易于管理。 授权原则 基于最小权限原则：为安全组授权时，应遵循最小权限原则，仅授予实例所需的访问权限。只开放必要的端口和IP地址范围，避免授权过度，减少潜在的安全风险。 限制访问来源：根据实际需求，限制访问来源的IP地址或IP地址段。仅允许特定的IP地址或IP地址段访问云主机，以增加安全性。

主机Agent的覆盖 HW和重保期间需要保证所有主机均接入服务器安全卫士服务，以提高服务器安全风险防御能力。 您可以登录服务器安全卫士控制台查看“Agent管理”页面，确认主机防护状态，显示所有 Agent 的状态，并可随时调整 Agent 运行模式，导出 Agent 运行日志与报表，随时分析解决问题。 发现未安装服务器安全卫士主机，消除防护盲点 主机发现这个功能就是在用户网络环境内通过已经安装了Agent 的主机发现未安装 agent 的主机，帮用户更全面的了解其网络环境内的主机资源。 在用户的IT 运维环境中会在一部分主机上部署Agent，用户就需要能够知道还有哪些主机没有部署 Agent（一方面是用户很多时候都不知道在自己的网络环境中有多少主机，另一方面用户也会有一些主机新上线）。 执行系统管理主机发现扫描任务新建扫描，新建扫描功能可以让用户根据其需求配置一个扫描任务。所有发现的网络环境中，未安装 Agent 的主机资产。可以根据首次发现时间和最后发现时间等字段进行过滤，筛选出想要的未安装 Agent 主机列表。 完善安全防护配置并实时处理告警 全面开启入侵检测功能。 服务器安全卫士的入侵检测通用功能，包括暴力破解、异常登录、反弹shell等。 以旗舰版为例，入侵检测模块主要包含暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行八大功能。

参数 类型 描述 是否必须 startTime String HBlock日志采集的起始时间。 取值：unix时间戳（UTC），精确到毫秒。默认值为HBlock日志采集结束时间2小时之前的时间点。 注意 HBlock日志采集的起始时间必须早于HBlocks日志采集的结束时间。 如果HBlock日志采集的起始时间早于HBlock初始化时间，则HBlock初始化时间为日志采集起始时间。 如果修改系统时间，可能导致日志文件的最后修改时间出现波动甚至错误。 否 endTime String HBlock日志采集的结束时间。 取值：unix时间戳（UTC），精确到毫秒。默认值为当前时间。 注意 HBlock日志采集的起始时间必须早于HBlocks日志采集的结束时间。 HBlock日志采集的结束时间必须晚于HBlock初始化时间。 日志文件的最后修改时间大于结束时间时，如果存在多个大于结束时间的同类型日志，则HBlock日志采集时间值最小的那个日志文件。 否 servers Array of String 要采集HBlock日志的服务器ID。 取值：可以填写多个服务器ID，以英文逗号（,）隔开。默认采集所有服务器。 否 logTypes Array of logType 采集的日志类型 取值： Config：配置相关的日志。 System：系统相关的日志。 Data：数据处理相关的日志（仅集群版支持）。 Coordination：内部协调服务相关的日志（仅集群版支持）。 默认采集所有类型的日志。 否 outputDirectory String HBlock日志采集后存放的目录，为绝对路径。 取值：如果不指定，默认存放在被请求服务器的HBlock安装目录下。以collectedlogs/hblocklogs idyyyyMMddHHmmssyyyyMMddHHmmss .zip命名，其中： id：本次日志请求的唯一标识符。 yyyyMMddHHmmss ：日志采集的起始时间和结束时间，UTC+0时间。 否

通过云堡垒机纳管跨域的业务服务器 1. 登录“网络控制台”>“访问控制”>“安全组”，进入“安全组”页面，对云堡垒机所在安全组规则进行入方向、出方向配置。 2. 通过云堡垒机纳管代理服务器。登录云堡垒机系统，添加代理服务器，操作步骤请见纳管主机资源，在“主机管理”页面选择“代理服务器”，单击“新建”。 3. 对待纳管的业务服务器所在的安全组入方向规则进行配置，在步骤5中“入方向规则”页面，单击“快速添加规则”。出方向规则根据您的需要请自行添加配置。 4. 通过云堡垒机纳管业务服务器，具体操作步骤请见添加主机资源。 通过上述步骤的操作后，您可以根据云堡垒机自带的主机运维功能跨网络域运维被纳管的主机资源。类似地，可将以上做法推广到混合/异构云、线下IDC等不同网络环境，以实现跨云跨VPC线上线下统一运维。 CentOS8配置代理示例 步骤 1 执行如下命令，安装3proxy软件包 yum install y epelrelease yum install y 3proxy 步骤 2 执行如下命令，进行极简配置 nscache 65536 timeouts 1 5 30 60 180 1800 15 60 设置用户名：test、密码：test users test:CL:test daemon log /var/log/3proxy/3proxy.log logformat " +L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T" archiver gz /bin/gzip %F rotate 30 external 0.0.0.0 internal 0.0.0.0 auth strong allow test maxconn 20 socks flush 步骤 3 启动服务 systemctl start 3proxy

本节介绍安全云应用的产品介绍。 产品简介 安全云应用是一种基于天翼云托管的应用程序流式传输服务，通过天翼云自研的clink传输协议，将音视频、图像、外设等信息传输到用户的远程设备上，实现跨平台、安全、易用的应用程序访问。 注意 目前安全云应用功能仅在部分资源池（石家庄3、郴州2、佛山3）开放，如当前资源池的AI云电脑（政企版）控制台没有安全云应用的功能菜单，请联系运维客服进行开通（运维客服邮箱：clouddesktop@chinatelecom.cn）。 应用场景 国产化转型 在国产操作系统上无缝运行Windows应用，确保用户业务系统的连续性，轻松实现国产化转型。 安全办公场景 远程访问应用，内外网隔离，兼顾外网访问需求的同时，最大限度保证用户数据安全。 支持的操作系统 服务桌面：承载云应用运行的AI云电脑，支持Windows Server 2019 用户桌面：用户使用的国产化AI云电脑，统信V20, 麒麟V10，中科方德 产品规格 规格类型 功能适用 规格参数 系统支持 基础版 适用于简单办公、文档编辑、客户服务等场景 2C4G 80G系统盘 Windows 标准版 适用于视频娱乐，在线会议，OA办公等场景 4C8G 80G系统盘 Windows 旗舰版 适用于高效办公，开发设计，视频监控等场景 8C16G 80G系统盘 Windows

本文介绍无法远程登录Linux云主机怎么办 无法远程登录Linux云主机可以使用以下方式进行问题排查： 1. 检查资源状态是否正常 请在控制台检查云服务器资源状态是否为“运行中”。如果云服务器状态为“关机”，请先开机再登录云服务器。 2. 检查登录凭证 请检查您在创建ECS时设置的登录凭证。 密码：请确认使用的登录密码是否准确，如果忘记密码可以通过重置密码功能重新设置云服务器登录密码。重置密码后请确保已重启云服务器使新密码生效。 创建后设置：如果创建时未设置登录凭证，云服务器创建成功后请单击“操作”列下的“重置密码”，根据界面提示，为弹性云服务器设置密码，请确保已重启云服务器使新密码生效。 3. 检查云主机负载是否过高 云主机的带宽和CPU利用率过高可能会导致无法登录。您可以通过云监控服务创建告警任务，当CPU或带宽利用率高时，系统会自动发送告警给您。 如果是CPU占用过高导致的无法登录请参考以下操作降低CPU使用率： 关掉一些暂时不使用的进程。 重启云主机。 变更云主机规格以升级vCPU、内存。 检查是否是带宽超限导致的无法登录，可尝试进行扩大带宽操作，扩大带宽的操作请参考弹性IP修改带宽。 完成上述操作后，再次重试远程连接云主机。 4. 检查安全组配置是否正确 在云主机的详情页面选择“安全组”页签，查看安全组入方向规则中已添加22端口。 如果没有，添加入方向的22端口，具体操作参见虚拟私有云添加安全组规则。 完成上述操作后，再次重试远程连接云主机。 5. 其他解决方案 通过上述排查后，仍然不能连接Linux实例，请您保存自助诊断结果，通过提交工单联系天翼云的技术支持寻求帮助。

本文为您介绍如何创建SSL服务端。 创建VPN网关后，需要创建相应的SSL服务端，用于用户侧连接SSL VPN服务。服务端配置时需要注意，SSL客户侧地址池与VPC的子网网段没有重合，否则无法通信。 前提条件 您已经创建了VPN网关并开启了SSL VPN，请参见创建和管理IPsec连接。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN列表页面。 5. 进入SSL VPN列表页面中，单击“创建SSL服务端”。 6. 按照提示配置SSL服务端参数。 参数 说明 取值样例 名称 SSL服务端的名称。 SSLserver1 区域 VPN网关所在的资源池。 华东1 VPN网关 选择需要使用的VPN网关。 vpngatewaya5f1ssl 虚拟私有云 选择要使用的VPC作为本端资源。 vpca7f3 本端子网 选择本端需要连接的子网网段信息（可以复选，最多5个网段）。 subnetyl(192.168.0.0/24) 客户端地址池 配置客户端地址池范围。 10.0.0.0/24 协议 SSL VPN使用的协议。 默认：TCP TCP 启用UDP 是否启用UDP协议栈以提升转发效率。 默认：关闭 启用 端口 SSL VPN使用的端口，端口可配置范围：1024～4499，4501~49151。 默认：1194 1194 加密算法 SSL VPN使用的加密算法。 默认：AES256GCM AES256GCM 是否压缩 是否对传输数据进行压缩处理。 默认：否（暂仅支持未压缩模式） 否 自定义DNS SSL VPN需要配置的自定义DNS地址。 10.10.1.1 启用双因子认证 · 启用双因子认证，客户端登录不仅需要证书，同时需要输入密码。· 取消双因子认证，登录端登录只需要证书，无需密码。 开启 7. 单击“确定”，创建成功。修改SSL服务端

参数 参数类型 说明 示例 下级对象 status String 模块状态，枚举值：INIT (初始态),STARTING (启动中),RUNNING (运行中),FAIL (失败),STOP (暂停),RETRY (重试中),DONE (完成) RUNNING moduleId Integer 模块id planModuleType String 模块类型，枚举值：PRECHECK (预检查),STRUCT (前置结构迁移),POSTSTRUCT (后置结构迁移),FULL (全量迁移),READER (增量读取),WRITER (增量写入),STORE (增量存储),INCSERVICE (增量服务),MONITOR (监控上报),DATACHECK (数据稽查) PRECHECK startTime String 模块开始时间 finishTime String 模块结束时间 preCheckItems Array of Objects 预检查明细 PreCheckItem machineIp String 模块所在机器

参数 参数类型 说明 示例 下级对象 status String 模块状态，枚举值：INIT (初始态),STARTING (启动中),RUNNING (运行中),FAIL (失败),STOP (暂停),RETRY (重试中),DONE (完成) RUNNING moduleId Integer 模块id planModuleType String 模块类型，枚举值：PRECHECK (预检查),STRUCT (前置结构迁移),POSTSTRUCT (后置结构迁移),FULL (全量迁移),READER (增量读取),WRITER (增量写入),STORE (增量存储),INCSERVICE (增量服务),MONITOR (监控上报),DATACHECK (数据稽查) PRECHECK startTime String 模块开始时间 finishTime String 模块结束时间 preCheckItems Array of Objects 预检查明细 PreCheckItem machineIp String 模块所在机器

计算示例 以 Deepseekv3.2为例，预估单次请求消耗明细如下： Token 类型 Token用量 抵扣系数 消耗额度 输入 tokens 10000 1 10000 输出 tokens 10000 1.5 15000 合计 25000 抵扣顺序 1. 优先从应用套餐的月度额度中抵扣。持有多个应用套餐时，可跨套餐抵扣额度，优先抵扣最近到期的应用套餐。 2. 应用套餐额度用尽后，从加油包中抵扣。持有多个加油包时，优先抵扣最近到期的加油包。 3. 全部额度用尽后，服务将暂停至下一计费周期或购买加油包补充额度。

本节介绍如何购买SSL VPN实例。 购买SSL VPN时系统会自动匹配合适的云主机，无需用户再单独购买云主机，云主机和SSL VPN会同步计费。 SSL VPN支持包年/包月订购，最小服务时长为1个月。 操作步骤 1. 使用天翼云账号登录SSL VPN管理控制台。 2. 单击“立即购买”进入订购页面。 3. 按需选择并发连接数量、弹性IP、订购时长。 4. 点击“立即购买”，确认订单并支付后等待订单完成即可。

删除转发策略 用户可以根据实际需要删除已经创建的转发策略。转发策略删除后无法恢复，请谨慎操作。 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要删除转发策略的负载均衡器名称。 5. 切换到监听器页签，单击需要删除转发策略的监听器名称。 6. 单击转发策略右侧的“设置“入口，选择“设置转发策略”。 7. 在右侧“转发策略”子页签中，选择需要删除的转发策略，单击“删除”。 8. 单击“是”。

参数名称 参数说明 安装探针 选择安装探针。目前只支持“APM探针”。 探针类型 选择探针的版本类型。 探针升级策略 探针升级的方式、策略。默认为“重启自动升级”。 重启自动升级：每次都尝试重新下载镜像。 重启手动升级：如果本地有该镜像，则使用本地镜像，本地不存在时下载镜像。 APM环境 输入APM环境名称，该参数为选填。 APM业务 选择一个已有的APM应用。 子业务 输入APM子应用，该参数为选填。 接入密钥 将会自动获取APM服务的密钥信息。

本节主要介绍查看参数模板应用记录。 操作场景 GeminiDB Influx支持查看参数模板所应用到实例的记录。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧导航栏，单击“参数模板管理”。 4. 在“参数模板管理”页面，根据参数模板类型不同进行如下操作。 在“系统默认”页签的目标参数模板单击“应用记录”。 在“自定义”页签的目标参数模板单击“更多 > 应用记录”。 您可以查看到当前参数模板应用到的实例名称或ID、应用状态、应用时间和失败原因。

操作 说明 修改任务保留时间 单击“任务保留时间”下拉列表，根据需要选择时长，可选天数范围为1~30天。 搜索任务 在搜索框中输入待搜索内容，单击 “搜索符号”搜索，即可在页面中查看搜索结果。 删除任务 在列表中勾选待删除的任务，单击“删除”，即可将所选任务从回收站中删除。 恢复任务 在列表中勾选待恢复的任务，单击“恢复”，即可将所选任务恢复到编译构建服务的任务列表中。 清空回收站 单击“清空回收站”，可将回收站中所有任务删除。

本文说明删除域名后的配置保留情况。 对域名进行删除操作后，天翼云视频直播会直接删除加速域名在节点的配置。 注意 删除加速域名操作，将会删除域名在平台、节点上的域名配置信息，并且该操作为不可逆，请谨慎进行操作。 如果您想暂停使用直播加速，但希望保留域名配置信息时，可以通过单击域名列表中操作栏中的【更多】中的【停用】按钮实现。 已停用域名，如果需要恢复服务，可以单击【启用】按钮；当需要清空域名配置时，可以单击【更多】中的【删除】按钮。

本章节主要介绍如何删除集群。 如果作业执行结束后不需要集群， 可以删除MRS集群。 背景信息 一般在数据完成分析和存储后或集群异常无法提供服务时才执行集群删除操作。当MRS集群部署失败时，集群会被自动删除。 操作步骤 1.登录MRS管理控制台。 2.在左侧导航栏中选择“集群列表 > 现有集群”。 3.在需要删除的集群对应的“操作”列中，单击“删除”。 集群状态由“运行中”更新为“删除中”，待集群删除成功后，集群状态更新为“已删除”，并且显示在“历史集群”中。

功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 WAF支持的防护对象：域名或IP，云上或云下的Web业务。 业务配置 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 业务配置 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 业务配置 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录（路径）遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。 Webshell检测防护：通过上传接口植入网页木马。 识别精准： 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：urlencode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 Web应用安全防护 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 Web应用安全防护 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 Web应用安全防护 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 Web应用安全防护 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 Web应用安全防护 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 Web应用安全防护 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 Web应用安全防护 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 Web应用安全防护 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 Web应用安全防护 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级设置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 高级设置 连接保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 高级设置 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置。 高级设置 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。