本章节介绍如何通过自定义脚本实现其它Linux应用的一致性备份。 场景介绍 在Linux下，如果有其它应用需要一致性备份，可以编写自己的冻结、解冻脚本，来实现应用的保护。自定义脚本需放置在 /home/rdadmin/Agent/bin/thirdparty/ebkuser 目录中，供Agent在备份过程中调用。 下面以一个虚构的应用appexample为例，来进行说明。 appexample是一款新的数据库，它对外提供了appexample freeze与appexample unfreeze两个命令来实现冻结与解冻。 用户需要开发自己的appexamplefreeze.sh与appexampleunfreeze.sh脚本，供备份Agent调用以实现一致性备份。在备份过程中，会先调用appexamplefreeze.sh脚本来冻结IO，冻结成功后，会进行磁盘的一致性快照激活，保证备份的数据是一致性的，最后再调用appexampleunfreeze.sh脚本解冻IO。 整体流程如下图所示： 数据库备份流程图 开发冻结脚本 appexamplefreeze.sh示例如下： !/bin/sh AGENTROOTPATH$1 Agent程序调用脚本时，传入的的根目录，日志函数等会使用此变量，请不要改名 PID$2 Agent程序调用脚本时，传入的PID数字，用于结果的输出，请不要改名 . "${AGENTROOTPATH}/bin/agentfunc.sh"引用脚本框架，提供了日志，加解密等功能 结果处理函数，用于将结果写入到文件中，供脚本调用者获取返回值。 入参 $1: 0表示成功，1表示失败 无返回值 RESULTFILE在agentfunc.sh中进行了定义 function ExitWithResult() { Log "[INFO]:Freeze result is $1." echo $1 > ${RESULTFILE} chmod 666 ${RESULTFILE} exit $1 } function Main() { Log "" Log "[INFO]:Begin to freeze appexample." 查找appexample是否存在，如果appexample不存在，则返回0，退出 在冻结IO步骤中，Agent程序会依次调用每个冻结脚本，如果一个失败，总体就会失败。所以为了防止干扰其他程序的冻结过程，找不到appexample时，应返回0 which appexample if [ $? ne 0 ] then Log "[INFO]:appexample is not installed." ExitWithResult 0 fi 调用实际的冻结命令 appexample freeze if [ $? ne 0 ] then Log "[INFO]:appexample freeze failed." 冻结失败，记录结果并退出 ExitWithResult 1 fi Log "[INFO]:Freeze appexample success." 冻结成功，记录结果并退出 ExitWithResult 0 } Main

类型 短信示例 短信签名 短信模板 短信变量 验证码短信 【天翼云】您正在申请手机注册，验证码为：${code}，5分钟内有效！ 【天翼云】 您正在申请手机注册，验证码为：${code}，5分钟内有效！ ${code} 短信通知 【天翼云】尊敬的${name}，您购买的云主机实例：${instanceid}，已于${duedate}正式到期。如您要继续使用，请于${date}前及时续费或重新购买。 【天翼云】 尊敬的${name}，您购买的云主机实例：${instanceid}，已于${duedate}正式到期。如您要继续使用，请于${date}前及时续费或重新购买。 ${name} ${instanceid} ${duedate} ${date}

MySQL实例出现“磁盘满”状态 关系数据库MySQL版实例可能会因为业务占用数据量或者备份设置导致磁盘存储空间或备份空间被占满，为避免数据丢失，MySQL会对磁盘进行锁定防止磁盘进行写入操作。 针对存储空间或者备份空间达到告警值会自动向客户发送告警信息，提醒用户查看该实例的空间状态，防止对用户的业务造成其他影响。

枚举参数 无 请求示例 请求url /v4/monitor/taskcenter/querytask?regionID81f7728662dd11ec810800155d307d5b&name主机数据&pageNo1&pageSize10 请求头header 无 请求体body 无 响应示例 { "statusCode": 800, "errorCode": "", "message": "Success", "msgDesc": "成功", "returnObj": { "taskList": [ { "taskID": "TASKtacd8b6b4610b97d202306301808", "name": "数据导出任务A", "description": "用于导出云主机7月份历史数据", "service": "ecs", "dimension": "ecs", "dimensions": [ { "name": "uuid", "value": [ "1234", "5678" ] } ], "itemNameList": [ "cpuutil", "memutil" ], "aggregateType": [ "avg" ], "startTime": 1692812541, "endTime": 1692842541, "period": 3600, "createTime": 1692842341000, "updateTime": 1692842441000, "status": 1, "process": 66, "msg": "", "downloadUrl": " }, { "taskID": "TASKtacd8b6b4610b97d202306301809", "name": "数据导出任务B", "description": "用于导出云主机8月份历史数据", "service": "ecs", "dimension": "ecs", "dimensions": [ { "name": "uuid", "value": [ "1234", "5678" ] } ], "itemNameList": [ "diskwritebytesrate" ], "aggregateType": [ "max" ], "startTime": 1693812541, "endTime": 1693842541, "period": 7200, "createTime": 1693842341000, "updateTime": 1693842441000, "status": 3, "process": 0, "msg": "导出数据失败，请重试", "downloadUrl": "" } ], "totalCount": 2, "totalPage": 1, "currentCount": 2 } }

枚举参数 无 请求示例 请求url /v4/monitor/taskcenter/querytask?regionID81f7728662dd11ec810800155d307d5b&name主机数据&pageNo1&pageSize10 请求头header 无 请求体body 无 响应示例 { "statusCode": 800, "errorCode": "", "message": "Success", "msgDesc": "成功", "returnObj": { "taskList": [ { "taskID": "TASKtacd8b6b4610b97d202306301808", "name": "数据导出任务A", "description": "用于导出云主机7月份历史数据", "service": "ecs", "dimension": "ecs", "dimensions": [ { "name": "uuid", "value": [ "1234", "5678" ] } ], "itemNameList": [ "cpuutil", "memutil" ], "aggregateType": [ "avg" ], "startTime": 1692812541, "endTime": 1692842541, "period": 3600, "createTime": 1692842341000, "updateTime": 1692842441000, "status": 1, "process": 66, "msg": "", "downloadUrl": " }, { "taskID": "TASKtacd8b6b4610b97d202306301809", "name": "数据导出任务B", "description": "用于导出云主机8月份历史数据", "service": "ecs", "dimension": "ecs", "dimensions": [ { "name": "uuid", "value": [ "1234", "5678" ] } ], "itemNameList": [ "diskwritebytesrate" ], "aggregateType": [ "max" ], "startTime": 1693812541, "endTime": 1693842541, "period": 7200, "createTime": 1693842341000, "updateTime": 1693842441000, "status": 3, "process": 0, "msg": "导出数据失败，请重试", "downloadUrl": "" } ], "totalCount": 2, "totalPage": 1, "currentCount": 2 } }

参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx desktopOid 否 String 云电脑ID desktopNickName 否 String 云电脑别名 prodInstId 否 String 实例id pubUserOids 否 String 分配用户ID。取值由用户ID组成一个JSON数组，最多支持10个ID，ID之间用半角逗号（,）隔开。 userAccount 否 String 用户账户。全匹配模式。 vpcOid 否 String vpcId subnetOidList 否 String VPC子网ID。取值由VPC子网ID组成一个JSON数组，最多支持20个ID，ID之间用半角逗号（,）隔开。 status 否 String 运行状态（Creating创建中;Stopped已关机;Starting启动中;Running运行中;Rebooting重启中;Rebuilding重装中;Stopping关闭中;Deleting删除中;Unhealthy异常;RollingBack回滚中;Resizing变更中;Evacuating迁移中;Rescuing救援中;BackingUp备份中;DeletingBackup删除备份中;Regaining恢复中;Hibernating休眠中;Hibernated已休眠;WakingUp唤醒中） pageNum 否 Integer 页码，至少1，默认1 pageSize 否 Integer 每页数量，最大100，默认10

本章介绍Agent检测时占用CPU和内存资源明细。 HSS服务采用轻量级Agent，占用资源极少，不会影响主机系统的正常业务运行。 具体占用的CPU、内存资源如下： CPU占用峰值 Agent运行时，CPU占用比例控制在1vCPU的20%。因此，实际占用比例与您购买的云服务器规格有关。 若占用比例达到1vCPU的20%，Agent会自动降CPU；自动降CPU后，Agent检测主机时间会延长，但不影响服务使用。 说明 Agent定时检测任务会基于使用地时间在每日00：0004：00执行，全量扫描主机，不会影响主机系统的正常运行。 内存占用峰值 Agent运行时，内存占用控制在500MB以内。 若内存占用达到500MB，Agent会在5分钟内自动重启。 不同规格主机Agent资源占用一览 Agent运行时，不同规格的云服务器CPU、内存占用情况如下表所示。 Agent资源占用一览 vCPUs规格 Agent运行占用CPU资源比例（峰值） 内存占用（峰值） 1vCPUs 20% 500MB 2vCPUs 10% 500MB 4vCPUs 5% 500MB 8vCPUs 2.5% 500MB 12vCPUs 约1.67% 500MB 16vCPUs 约1.25% 500MB 24vCPUs 约0.84% 500MB 32vCPUs 约0.63% 500MB 48vCPUs 约0.42% 500MB 60vCPUs 约0.34% 500MB 64vCPUs 约0.32% 500MB

策略名称 策略描述 授权范围 配置说明 CtyunBssAdmin 控制天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点）。 全局级 若子账号涉及开单、支付、订单管理等操作，需配置该策略。 ecs admin 控制天翼云云主机服务开通、管理权限。 资源池 若子账号涉及开通、管理云主机（云等保专区下单涉及开通主机），需要配置该策略。 vpc admin 控制天翼云弹性IP开通、新建、配置等管理权限。 资源池 若子账号涉及配置、新建、管理弹性网络（子网、EIP、安全组、弹性网卡、VIP、子网路由等），需要配置该策略。

策略名称 策略描述 授权范围 配置说明 CtyunBssAdmin 控制天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点）。 全局级 若子账号涉及开单、支付、订单管理等操作，需配置该策略。 ecs admin 控制天翼云云主机服务开通、管理权限。 资源池 若子账号涉及开通、管理云主机（云等保专区下单涉及开通主机），需要配置该策略。 vpc admin 控制天翼云弹性IP开通、新建、配置等管理权限。 资源池 若子账号涉及配置、新建、管理弹性网络（子网、EIP、安全组、弹性网卡、VIP、子网路由等），需要配置该策略。

接口功能介绍 请将云电脑中的敏感数据删除之后再创建自定义镜像，避免数据安全隐患。 请勿在创建镜像过程中对所选云电脑及其相关资源进行其他操作。 目前只支持仅有1个数据盘的非池化云电脑进行创建整机镜像。 创建整机镜像将会根据系统盘和数据盘的容量进行存储包资源扣减。 接口约束 无 URI POST /v3/customImage/create 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 d8bbd132b53a11e9b0e40242ac110002 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 imageName 是 String 镜像名称。只能由数字、英文字母、中划线、下划线和小数点组成，字符数限制[1,50]。 WindowsServer2019Standardv1.3 description 否 String 描述。字符数限制[0,200]。默认为空字符串。 fooDesc desktopOid 是 String 云电脑ID D0023092201180710 resourcePackOid 是 String 资源包ID rspt4o453t1hs44mr3fqfrj4 type 否 String 镜像类型。默认值为：sys。取值范围：（sys系统镜像;all整机镜像） null

本章节主要介绍分布式消息服务RabbitMQ的实例类问题。 RabbitMQ使用的版本是多少？ 服务端RabbitMQ的版本是3.8.35。 RabbitMQ实例SSL连接的协议版本号是多少？ TLS v1.2版本。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户无Server Administrator和VPC Administrator权限，增加权限的详细步骤请参考《统一身份认证服务 用户指南》的“用户指南 > 用户组及授权 > 查看或修改或删除用户组”章节。 若其中一台RabbitMQ重启失败，需要会如何处理？ 重启RabbitMQ实例时，不会重启实例所在虚拟机，仅重启RabbitMQ进程。 重启集群实例时，若其中一台RabbitMQ进程重启失败，则重启后实例状态依然为“运行中”，并提示“部分节点故障”。在每台虚拟机上都有RabbitMQ的守护进程，定时检查RabbitMQ进程是否存在，当进程不存在时会自动拉起RabbitMQ进程。 如果RabbitMQ实例异常持续超过1分钟，会上报告警。 RabbitMQ集群实例如何均衡分发请求到每个虚拟机？ 集群内部使用LVS做负载均衡，由LVS将请求均衡分发到每个虚拟机节点。 RabbitMQ实例集群内部的队列是否有冗余备份？ 队列是否做镜像（即冗余备份）取决于用户的需要，如果用户设置了镜像，会在集群中多个代理上存储队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。

本章节会介绍针对MySQL数据库的参数调优建议。 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明，更多参数详细说明，请参见MySQL官网。 修改敏感参数 若干参数相关说明如下： “lowercasetablenames” 云数据库默认值：“1”。 作用：该参数表示创建数据库及表时，表存储是否大小写敏感。设置为默认值“1”，表示创建数据库及表时，默认小写，不区分大小写，设置为“0”时，则存储与查询均区分大小写。 说明 8.0版本不支持修改该参数。 影响：修改数据库主实例默认参数值时，用户需要手动同步修改只读实例、通过备份恢复至目标实例的参数。当主实例区分大小写，而只读实例、通过备份恢复至目标实例不区分大小写时，比如主实例先后创建两张表，表名分别为 “abc”、“Abc ”时，会导致数据同步、数据恢复异常，原因为“abc”表名已存在。 “innodbflushlogattrxcommit” 云数据库默认值：“1”。 作用：该参数控制提交操作在严格遵守ACID合规性和高性能之间的平衡。设置为默认值“1”，是为了保证完整的ACID，每次提交事务时，把事务日志从缓存区写到日志文件中，并刷新日志文件的数据到磁盘上；当设为“0”时，每秒把事务日志缓存区的数据写入日志文件，并刷新到磁盘；如果设为“2”，每次提交事务都会把事务日志从缓存区写入日志文件，每隔一秒左右会刷新到磁盘。 影响：参数设置为非默认值“1”时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。 “syncbinlog” 云数据库默认值：“1”。 作用：该参数控制MySQL服务器将二进制日志同步到磁盘的频率。设置为默认值“1”，表示MySQL每次事务提交，binlog同步写入磁盘，是最安全的设置；设置为“0”时，表示MySQL不控制binlog的刷新，由文件系统自己控制其缓存的刷新。此时的性能最好，但风险最大，因为一旦断电或操作系统崩溃，在“binlogcache”中的所有binlog信息都会被丢失。 影响：参数设置为非默认值“1”时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。

通过产品控制台退订 您可通过产品控制台退订，此处以云主机退订为例进行说明。 1、登录天翼云，进入 控制中心云主机控制台。 2、选择需要退订的资源，点击右侧“更多退订“，进入退订详情页面。 3、确认退订信息，信息确认无误后勾选协议，点击退订并再次确认，确认后即刻完成退订。 （截图示例中资源通过代金券购买，且7天无理由退订次数已用完，退订不返还代金券，因此退订金额为0元）

本小节介绍AntiDDoS流量清洗服务优势 极速 秒级的攻击响应延迟（<3秒），清洗时网络延迟30ms以内。 专业 专业优质防护线路，专业防DDoS设备，TCP/UDP清洗零误杀；百万级IP黑名单库，精准有效；覆盖所有防护类型，防护类型包括SYN Flood、UDP Flood等所有DDoS攻击方式。 无成本 天翼云以免费方式向用户提供防DDoS服务，用户可以在管理控制台开启并配置云主机的防DDoS能力。 可视化管理 以图形方式提供DDoS防护日志，方便用户掌握DDoS攻击趋势以及云主机被攻击的情况。

此小节介绍避免勒索 事前举措 由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性， 解决勒索攻击的首要是构建“安全能力前置”，提升自身的“免疫力” 。 建议按照如下加固方式开展事前勒索防护： 收敛互联网暴露面： 定期扫描外部端口，保证公开范围最小化。 减少系统风险入口： 定期开展漏洞扫描及系统风险配置参数扫描，第一时间修复漏洞及风险项，减小系统风险等级。同时，应关注软件厂商发布的安全漏洞信息和补丁信息，及时做好漏洞管理和修复工作。 加强网络访问控制： 各企业应具有明确的网络安全区域划分、访问限制规则，最小化开放访问权限，及时更新访问控制规则。 关键数据备份： 加强重要数据备份工作，可靠的数据备份可以最小化勒索软件带来的损失。需要主动加密存储和定期备份关键业务数据，并合理设置备份保留策略，确保被勒索攻击后存在有效副本可以恢复数据。 加强帐号权限管控： 通过身份管理、细粒度权限控制等访问控制规则为企业不同角色分配帐号并授权，同时应提升特权账户的安全性。在另一方面，企业关键业务资产，需要妥善设置并保存帐号及口令信息。关键资产上，配置双因素认证鉴别登录人员身份，可有效防范系统爆破风险。 搭建高可靠业务架构： 采用集群模式的云服务部署模式。当某一个节点发生紧急问题，业务切换至备用节点，提升业务系统可靠性能力，也可防止数据丢失。在资源允许的条件下，企业或组织可以搭建同城或异地容灾备份系统，当主系统出现发生勒索事件后，可以快速切换到备份系统，从而保证业务的连续性。 制定安全事件应急预案： 建立应对勒索病毒攻击等网络安全突发事件的应急组织体系和管理机制，明确工作原则、职责分工、应急流程、关键措施等。一旦发生勒索病毒攻击事件，立即启动内部网络安全应急预案，标准化开展应急处置工作来减轻、消除勒索病毒攻击影响。 加强企业员工安全意识： 通过培训、演练等方式提高员工网络安全意识，明确国家网络安全法令及公司网络安全规范，能够识别网络钓鱼等常见的网络安全攻击，具备一定的事件处理能力，知晓安全事件带来的后果和影响。

天翼云存储容灾服务协议详情请参见这里。

本章节主要介绍快照概述。 快照概述 快照是对DWS集群在某一时间点的一次全量数据和增量数据的备份，记录了当前数据库的数据以及集群的相关信息，其中包括节点数量、节点规格和数据库管理员用户名称等。快照创建方式包括手动创建快照和自动创建快照，详情参见手动快照和自动快照。 从快照恢复到集群时，DWS会根据快照记录的集群信息来创建新集群，然后从快照记录的数据中还原数据库信息。从快照恢复集群的详细步骤，详情请参见恢复快照到新集群。 其中快照备份和恢复速率如下所示（此速率为实验室测试环境下数据，仅供用户参考。在实际使用中，由于磁盘、网络、带宽等因素可能会产生一定的差异）： 备份速率：200 MB/s/DN 恢复速率：125 MB/s/DN 约束与限制 OBS快照存储空间： −DWS提供的免费存储空间等于集群存储空间，即单节点存储空间大小 节点数。 快照服务依赖及部署说明： −快照管理功能依赖于OBS、NFS的备份介质。 −备份设备为NFS的备份介质时，使用挂载盘的方式，依赖云上SFSTubor服务。 −当前快照恢复到新集群时仅支持OBS介质。 DWS根据快照创建的新集群与生成快照的原始集群具有相同的配置，即节点的数量和规格、内存、磁盘与原集群一致。 根据快照创建新集群时，如果没有指定其他值，则参数默认与生成快照时的备份信息保持一致。 快照生成期间，请避免进行Vacuum Full操作，否则可能会导致集群只读。 创建快照时因备份数据会降低磁盘I/O性能，建议在业务相对空闲的时期进行快照操作。 快照期间会保留一些中间文件，需额外占用磁盘空间，因此请避开业务高峰期并保证磁盘容量在70%以下。

本页介绍了关系数据库MySQL版关于资源冻结、释放、停止、删除、退订的一些问题。 MySQL实例资源为什么被释放 客户在天翼云购买产品后，在账号欠费后，如果没有及时的进行续费或充值，实例将会被冻结，进入保留期，保留期内停止服务。 在进入保留期后，保留期满仍未续费或充值，将会进入注销流程，存储在云服务中的数据将被删除、云服务占用的计算资源将被释放。 MySQL实例资源为什么被冻结 资源冻结的类型有多种，最常见类型为欠费冻结或到期冻结。 欠费冻结：按需资源扣费失败未能进行正常计费，实例会停止停供服务，系统将冻结实例占用的资源。 到期冻结：客户订购的包年/包月实例到期未续费，实例会停止停供服务，系统将冻结实例占用的资源。 说明 针对这两种冻结情况，只读实例和数据库代理实例将会在欠费或者到期后马上冻结并自动注销，如需保障只读实例和数据库代理使用，请及时关注费用和续订情况。 MySQL实例资源冻结了，还可以备份数据吗 冻结后将不支持继续备份数据，如果是欠费或者到期冻结，需要先续费解冻MySQL实例后才能备份数据。 怎么将已冻结的数据库资源解冻 用户可通过续订和续费来解冻实例，恢复数据库实例正常使用。 欠费冻结的数据库实例允许续费和退订；到期冻结的数据库实例允许续订和退订；未到期的数据库实例用户可以主动进行退订。

本文为您介绍如何使用模板创建一个高可用架构的操作场景及操作步骤。 操作场景 本示例以创建一个弹性负载均衡为例，介绍如何使用模板创建一个高可用架构。 不同架构内设云资源不同，本文及供参考。 操作步骤 1. 登录控制中心。 2. 在控制台首页搜索“资源编排ROS”，或在左侧产品导航栏选择“管理工具 > 资源编排ROS”，进入资源编排控制台。 3. 在左侧导航栏选择 模板管理。 4. 在模板管理页面，单击创建模板。 5. 创建高可用架构的.tf模板示例如下，请参考文档创建模板完成模板配置。 zhu java terraform { requiredproviders { ctyun { source "ctyunit/ctyun" version "1.2.0" } } } provider "ctyun" { regionid "bb9fdb42056f11eda1610242ac110002" //选定资源池 azname "cnhuadong1jsnj1Apublicctcloud" //选定可用区 } variable "instancename" { //定义变量：云主机名称 type string default "tfecsha" description "Name of EC instances to create" } variable "vpcname" { //定义变量：虚拟私有云名称 type string default "tfvpcha" description "Name of vpc to create" } variable "eipname" { //定义变量：弹性IP名称 type string default "tfeipha" description "Name of eip to create" } variable "elbname" { //定义变量：弹性负载均衡名称 type string default "tfelbha" description "Name of elb to create" } variable "instancecount" { //定义变量：创建弹性云主机数量，默认为1个 type number default 1 description "Number of EC instances to create" } variable "password" { //定义变量：云主机密码 type string sensitive true } resource "ctyunvpc" "vpctest" { //定义vpc资源：vpctest name var.vpcname cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true } resource "ctyunsubnet" "subnettest" { //定义子网资源：subnettest vpcid ctyunvpc.vpctest.id name "tfvpcha" cidr "192.168.1.0/24" description "terraform测试使用" dns [ "114.114.114.114", "8.8.8.8", "8.8.4.4" ] enableipv6 true } resource "ctyuneip" "eiptest" { //定义弹性IP资源：eiptest name var.eipname bandwidth 1 cycletype "ondemand" demandbillingtype "bandwidth" } data "ctyunzones" "test" { } locals { az1 data.ctyunzones.test.zones[0] az2 data.ctyunzones.test.zones[1] } output "az1" { value local.az1 } data "ctyunimages" "imagetest" { //确定云主机镜像 azname local.az1 name "CTyunOS 22.06 64 位" visibility "public" pageno 1 pagesize 10 } data "ctyunecsflavors" "ecsflavortest" { //确定云主机参数 azname local.az1 cpu 2 ram 4 arch "x86" series "C" type "CPUC7" } resource "ctyunecs" "ecstest" { //定义云主机资源：ecstest count var.instancecount instancename "${var.instancename}${count.index + 1}" displayname "${var.instancename}${count.index + 1}" flavorid data.ctyunecsflavors.ecsflavortest.flavors[0].id imageid data.ctyunimages.imagetest.images[0].id isdestroyinstance true systemdisktype "sata" systemdisksize 40 vpcid ctyunvpc.vpctest.id password var.password azname local.az1 cycletype "year" cyclecount 1 subnetid ctyunsubnet.subnettest.id }

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

本文介绍了弹性负载均衡的产品定义和产品类型,以便于您更好地理解弹性负载均衡服务。 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据分配策略分发到后端多台云主机的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，同时通过消除单点故障提升应用系统的可用性。 如下图所示，弹性负载均衡将访问流量分发到后端三台应用服务器，每个应用服务器只需分担三分之一的访问请求。同时，结合健康检查功能，流量只分发到后端正常工作的云主机，从而提升了应用系统的可用性。 图使用弹性负载均衡实例 弹性负载均衡的组件 弹性负载均衡由以下部分组成： 图弹性负载均衡组件图 表弹性负载均衡组件说明 组件名称 组件说明 负载均衡器 接受来自客户端的传入流量并将请求转发到一个或多个可用区中的后端云主机。 监听器 您可以向您的弹性负载均衡器添加一个或多个监听器。 监听器使用您配置的协议和端口检查来自客户端的连接请求，并根据您定义的分配策略和转发策略将请求转发到一个后端主机组里的后端服务器。 后端主机组 后端主机组是一个或多个后端服务器的逻辑集合，用于将客户端的流量转发到一个或多个后端服务器，满足用户同时处理海量并发业务的需求。 后端服务器可以是云主机实例、辅助弹性网卡或IP地址。 后端服务器 负载均衡器会将客户端的请求转发给后端服务器处理。 例如，您可以添加ECS实例作为负载均衡器的后端服务器，监听器使用您配置的协议和端口检查来自客户端的连接请求，并根据您定义的分配策略将请求转发到后端主机组里的后端服务器。

相关服务 具体关系 配置参考 计算实例 公网NAT网关可以为计算实例（弹性云主机、物理机、专属云主机等）提供访问公网或者为公网提供服务的能力。 虚拟私有云 NAT网关是在VPC内部部署的，它为VPC内的云资源提供了访问互联网的能力。 弹性IP NAT网关需要绑定一个弹性公网IP，这个IP地址用于与互联网进行通信。 云专线 通过云专线接入VPC的本地服务器，可以通过公网NAT网关访问公网或为公网提供服务。 云监控服务 查看NAT网关的监控数据，还可以获取可视化监控图表。 云审计服务 通过云审计服务，可以记录与NAT网关服务相关的操作事件，便于日后的查询、审计和回溯。

说明：本章节会介绍如何设置MySQL本地Binglog 操作背景 RDS for MySQL支持设置本地Binlog日志的清理，所有需要清理的本地日志都会在Binlog备份成功后删除，您可以根据需求灵活设置本地Binlog保留时长，合理利用实例使用空间。 Binlog本地保留时长，可设置范围为0~724小时。 本地Binlog日志清理规则如下： 1. 所有需要清理的本地日志都会在Binlog备份成功后删除。 2. 清理Binlog日志时，不会清理主备复制所需的Binlog日志，保证主备（包括只读）复制正常，即使设置保留时长为0，RDS也会保留主备复制所需的Binlog日志。 3. 当本地空间使用率超过80%时，会忽略本地保留时长的设置时长，当本地空间使用率超过90%时，会强制清理已备份完成的所有Binlog日志。 操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 在左侧导航栏，单击“备份恢复”，在“Binlog备份”子页签下，单击“Binlog本地设置”。 在“Binlog本地设置”弹出框中，设置保留时长，单击“确定”。

产生欠费的可能情况 购买按需计费模式的存储库后账户余额不足。 欠费后的服务状态和操作受限说明 如果账号欠费，进入冻结期后您的存储库和备份数据仍会保留，也可以继续查看删除备份数据，但不可以进行创建备份、恢复资源，添加标签等操作。如超出冻结期仍未缴清欠款，您的数据将自动被系统释放且无法恢复。 关于欠费后相关详情请参考天翼云费用中心。

通过MSTSC客户端登录云堡垒机 用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。 1. 打开本地远程桌面连接（MSTSC）工具。 2. 在弹出的对话框中，“计算机”列，输入“堡垒机IP:53389”。 3. 单击“连接”，在登录页面完成登录。 username： 堡垒机用户登录名 @Windows 主机资源账户名 @Windows主机资源IP:Windows远程端口（默认 3389 ） ，例如admin@Administrator@192.168.1.1:3389。 说明 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户，否则无法识别Windows主机资源账户； password：输入当前堡垒机的用户密码。

信息的获取 云网平台获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 基本签名流程 ctyuneopak/ctyuneopsk基本签名流程： 1. 待签字符串：使用规范请求和其他信息创建待签字符串。 2. 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥。 3. 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名。 4. 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 创建待签名字符串 待签名字符串的构造规则如下： 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body)) 需要进行签名的header排序后的组合列表（排序的header） header 以 headername:headervalue来一个一个通过n拼接起来，EOP是强制要求ctyuneoprequestid和eopdate这个头作为header中的一部分，并且必须是待签名header里的一个。需要进行签名算法的header需要进行排序（将它们的headername以26个英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 排序的header例子： 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是： ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n ctyuneoprequestid、eopdate和host的排序就是这个顺序。 如果你加入一个ccad的header，同时这个header也要是进行签名，则待签名的header组合： ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n

本节主要介绍如何将数据从阿里云OSS迁移到OOS中。 应用场景 将数据从阿里云OSS的Bucket迁移到OOS的Bucket。 注意 在线迁移会占用源地址和目的地址的网络资源。若您的业务比较重要，建议您对迁移任务设置限速（设置system.conf中的maxThroughput），或在空闲时间启动迁移任务。 从阿里云OSS迁移到OOS的文件，仅迁移当前可读取到的文件，不支持按object version Id 迁移。 前提条件 Windows7 及以上版本或 Linux CentOS 7.x 及以上版本。 Java 1.8 及以上版本。 迁移工具所在的服务器可以访问阿里云OSS资源池和OOS资源池。 具体操作 确定目标Bucket 在OOS中创建目标Bucket，具体操作请参见创建存储桶（Bucket）或PUT Bucket，用于存放迁移的数据。也可以使用已存在的Bucket。 下载安装迁移工具 1. 下载数据迁移工具。 2. 解压缩安装包 对于Windows客户端，直接解压缩迁移工具zip 包即可。 对于Linux客户端，执行 unzip 解压缩安装包。 迁移工具解压后的目录结果如下： CTYUNOOSImportversionid config log4j2.xml migrate.conf system.conf lib import.sh import.bat 修改配置文件 更新迁移任务配置文件 migrate.conf，配置源和目的资源池信息、迁移配置项。您可根据需要配置system.conf和 log4j2.xml文件，具体参数介绍参见常用工具OOS数据迁移工具迁移步骤。其中： srcType需填写为：OSS，代表阿里云。 srcEndpoint为阿里云Bucket的Endpoint，您可在阿里云控制台Bucket概览中进行查看。 OSS AccessKey和SecretKey需要至少拥有源Bucket的读权限，OOS的AccessKeyID和SecretAccessKey需要至少拥有目的Bucket的写权限。 migrate.conf配置示例如下： { "srcType":"OSS", 从阿里云迁移文件 "srcEndpoint":"osscnhangzhou.aliyuncs.com", 阿里云的Endpoint，请根据实际填写 "srcAccessKey":"your oss accessKey",阿里云的AccessKey "srcSecretKey":"your oss secretKey", 阿里云的SecretKey "srcBucket":"ossbucket", 阿里云的Bucket "srcPrefix":"logs/", 阿里云上要迁移文件的前缀，请根据实际填写 "srcMarker":"", 从第一个文件开始迁移 "srcStopObject":"", 阿里云上要迁移的截止文件 "destEndpoint":"ooscn.ctyunapi.cn", OOS的Endpoint "destAccessKey":"AccessKeyID", OOS的AccessKeyID "destSecretKey":"SecretAccessKey", OOS的SecretAccessKey "destBucket":"BucketName", OOS的Bucket名称 "isSkipExistFile":false 是否跳过目标资源池中已有的文件 }

不能直接导入。 数据盘镜像只能用于申请新的云硬盘，无法直接导入到之前已有的云硬盘内。您可以按如下指导操作： 1. 使用数据盘镜像临时生成一个新云硬盘。 2. 将新盘挂载至旧盘所在的云主机。 3. 拷贝数据到旧盘内，再删除这个临时的云硬盘。

审计 TeleDB支持通过有效的审计，组织可以及时发现和解决数据库相关的问题，降低风险，并提高数据库的整体管理水平。数据库安全审计是企业级数据库必须提供的一个基础能力，有助于事后对访问合规性进行追溯。结合业界通用的做法，TeleDB从多个维度来提供全方位的审计能力，同时TeleDB审计通过旁路检测方式，对数据库运行效率的影响极小。 TeleDB审计主要包括粗粒度审计（audit）和细粒度审计（fga）。 具体内容请参考《TeleDB安全配置手册》中“审计”章节。 数据脱敏 TelDB支持通过数据脱敏，对非授权用户隐去了部分敏感信息，又尽量保持了数据整体有效。脱敏是指在用户无感知的情况下，对非授权用户返回被脱敏的数据。其主要原理是通过某种运算法则，在真实数据返回给访问终端前，按照既定规则，将原始数据映射到另一种形式（可以支持多种变化），该映射规则对查询用户不可见，且转换后的形式不能做逆向操作（即转换为原始数据）。 如何创建数据脱敏具体内容请参考《TeleDB安全配置手册》中“数据脱敏”章节。 数据备份与恢复 ‌数据库备份与‌恢复来确保数据安全的关键措施，TeleDB支持通过定期备份数据库可以防止数据丢失或损坏。备份类型包括全量备份、‌增量备份，每种类型都有其特定的应用场景和优势。数据备份与恢复具体操作请参考《TeleDB安全配置手册》中“数据备份与恢复”章节。

本文主要介绍 连接和查看Kafka Manager。 Kafka Manager是开源的Kafka集群管理工具，需要通过浏览器才能访问Kafka Manager的地址。在Kafka Manager页面，您可以查看Kafka集群的监控、代理等信息。 前提条件 已配置如下表所示安全组。 表安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9999 0.0.0.0/0 访问Kafka Manager。 登录Kafka Manager 步骤 1 （可选）创建一台与Kafka实例相同VPC和相同安全组的Windows服务器，详细步骤请参考《弹性云主机用户指南》的“创建弹性主机”章节。 如果是已经开启了公网访问，该步骤为可选，在本地浏览器中即可访问，不需要单独的Windows弹性云主机。 步骤 2 在实例详情信息页面，获取Kafka Manager地址。 未开启公网访问时，Kafka Manager地址为“Manager内网访问地址”。 图 Kafka Manager内网访问地址 已开启公网访问时，Kafka Manager地址为“Manager公网访问地址”。 图 Kafka Manager公网访问地址 步骤 3 在浏览器中输入Kafka Manager的地址，进入Kafka Manager登录页面。 如果是开启了公网访问，在本地浏览器输入Kafka Manager地址访问；如果没有开启公网访问，需要登录步骤1的弹性云主机，然后在浏览器输入Kafka Manager地址访问。 步骤 4 输入创建实例时设置的Kafka Manager用户名和密码，即可管理Kafka集群。

微隔离防火墙以镜像方式提供服务，用户需要一台云主机安装产品镜像，然后申请最大资产数和使用时间的授权。本小节介绍微隔离防火墙计费模式和价格。 计费模式 微隔离防火墙按照用户保护的最大终端数量定义了最大资产数，分为三档依次为20L、50L、100L、200L、400L、800L。 各档最大资产数对应管理中心云主机配置要求参照下表： 序号 最大资产数 管理中心主机配置 1 20 1核2G，60G数据盘 2 50 1核4G，100G数据盘 3 100 2核4G，200G数据盘 4 200 2核4G，200G数据盘 5 400 4核8G，300G数据盘 6 800 8核16G，400G数据盘 价格 产品规格（防护主机台数） 标准价格（元/月） 20 1700 50 4200 100 8300 200 16600 400 29900 800 59800 说明 针对一次性包年付费服务，标准价格按照如下优惠政策进行操作，且在订购期间不允许退订服务。 一次性付费1年 一次性付费2年 一次性付费3年 包月标准价格1285% 包月标准价格2485% 包月标准价格3685%

扶持政策 认证合作伙伴优惠政策： 安家费： 万元大礼包。万元代金券可用于天翼云 云主机、云存储等产品的购买。 网站展示：CTyun主页展示 认证伙伴产品或链接。 销售助力：扩容、续费可享受特殊优惠。