本节主要介绍环境准备 创建微服务引擎前，您需要创建虚拟私有云（Virtual Private Cloud，以下简称VPC），并且已配置好安全组与子网。VPC为专享版的微服务引擎提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化云上网络部署。 背景介绍 如果用户已有VPC，可重复使用，不需要多次创建。 只有在相同VPC下的客户端才可以访问专享版微服务引擎。 操作步骤 1、登录管理控制台，进入控制中心，选择“网络 > 虚拟私有云”。 2、单击页面右上方的“创建虚拟私有云”，创建虚拟私有云。 3、根据界面提示创建虚拟私有云和子网。 如无特殊需求，界面参数均可保持默认。 创建虚拟私有云时，会同时创建子网，也可额外创建新的子网。

本页介绍天翼云TeleDB数据库监控概览。 操作场景 监控概览支持提供全面的实例监控功能，保证用户实时了解实例的运行状态。默认只保留一个月的监控数据。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，选择监控概览 页签。 2. 监控概览页面展示了整个集群的全局信息，包括全局事务管理器、协调节点和数据节点的基本信息，具体如下： 节点运行状态：包括三种状态，运行中/停止/异常 节点基本信息：节点名，主机ip，主备信息等 节点请求量：GTM节点不接受请求，不展示 节点连接数：GTM节点不接受业务连接，不展示 节点CPU占用率：节点CPU占用多少。 节点内存占用大小：节点内存占用大小。

本页介绍天翼云TeleDB数据库监控概览。 操作场景 监控概览支持提供全面的实例监控功能，保证用户实时了解实例的运行状态。默认只保留一个月的监控数据。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，选择监控概览页签。 2. 监控概览页面展示了整个集群的全局信息，包括全局事务管理器、协调节点和数据节点的基本信息，具体如下： 节点运行状态：包括三种状态，运行中/停止/异常。 节点基本信息：节点名，主机ip，主备信息等。 节点请求量：GTM节点不接受请求，不展示。 节点连接数：GTM节点不接受业务连接，不展示。 节点CPU占用率。 节点内存占用大小。

介绍云SSO计费方式 云SSO当前为免费功能，开通后即可使用。

本文为您介绍如何开通云容灾服务。 注册天翼云账号 在操作云容灾之前，用户需仔细观看本文内容，完成准备工作。 如果您已经拥有一个天翼云实名账号可直接跳过本步骤，如果您还没有天翼云账号，请参考以下流程进行创建： 登录天翼云官网www.ctyun.cn，单击右上角“免费注册”按钮。 填写注册信息。填写邮箱后，设置登录密码，并通过手机验证。 勾选协议，并单击“同意协议并提交”，即可完成账号注册。 实名认证 具体可参见实名认证模块对天翼云账号进行实名认证。 账户充值 您需要确保天翼云实名账户中的余额充足，具体天翼云账户充值步骤请参见账户充值。 开通云容灾服务 1. 打开 2. 单击控制中心左上角的，并切换到所需的地域（region）节点。 说明 当前仅华东1支持云容灾服务。 3. 在控制中心选择“云容灾”。 4. 在弹出的服务开通页面，勾选服务协议。 注意 云容灾每个地域（region）需要单独开通，若已开通服务会直接跳转至云容灾控制台。

本文为您介绍如何查看审计事件。 当您已开通云审计服务，系统开始记录云服务资源的操作，并支持查看近7天的操作事件。 本文为您介绍如何在云审计控制台查看操作审计事件。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围。 读写类型：支持根据事件的读写类型进行筛选。 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）。 操作用户：支持根据同一租户下的不同主子账号进行筛选。 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

网络模式 优点 缺点 建议场景 公网 方便快捷、成本低廉。 稳定性及安全性差，不适合对网络质量及带宽高要求的场景。 例如云上云下一体化组网等混合云场景。 建议只功能验证场景使用。 不建议应用于生产环境。 专线内网 基于天翼云专业的云间网络产品，将用户云下集群网络与云上VPC网络内网打通。 具备高安全性、高带宽低延时、高稳定性等特点。 成本相对公网略高。 建设周期相对公网方式略长。 建议用户生产环境，或对云上云下网络稳定性、安全性等有较高要求的场景使用。

本章节介绍云容器集群节点CPU高负载故障演练。 背景介绍 在云容器引擎（CCE）环境中，节点（Node）的 CPU 资源是所有运行其上的 Pod 的共享基础。当计算密集型应用、资源限制配置不当、或异常进程（如死循环）消耗大量 CPU 时，会导致节点 CPU 使用率持续处于高位。本演练模拟节点 CPU 资源被持续占用的高压场景，帮助您主动评估业务 Pod 在资源争抢下的表现、检验 HPA（水平Pod自动伸缩）的有效性，并为优化资源配置和应急预案提供数据支持。 基本原理 启动自定义程序，空跑for循环来消耗CPU时间片。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节向您介绍在企业路由器中添加CFW连接。 在企业路由器中添加“云防火墙（CFW）”连接，即创建VPC边界防火墙时选择企业路由器，则会在企业路由器的连接列表中看到对应的“云防火墙（CFW）”连接。 VPC边界防火墙支持VPC之间通信流量的访问控制，可以实现VPC内业务互访活动的可视化与安全防护。 您需要通过云防火墙控制台添加CFW连接，具体操作请参见云防火墙用户指南“开启VPC边界流量防护 > VPC边界防火墙”。

本节介绍了云数据库GaussDB 的产品优势。 高安全 云数据库GaussDB 拥有TOP级的商业数据库安全特性：数据动态脱敏，TDE透明加密，行级访问控制，密态计算。能够满足政企&金融级客户的核心安全诉求。 健全的工具与服务化能力 云数据库GaussDB 已经拥有云服务商用服务化部署能力，同时支持DAS、DRS等生态工具。有效保障用户开发、运维、优化、监控、迁移等日常工作需要。

本文介绍了云防火墙等保合规能力说明 检查项分类安全控制点风险等级 等保合规检查项 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络网络架构中 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 云防火墙提供访问控制机制和入侵防护能力，开启防护后能够自动阻断互联网与VPC之间的威胁访问，为用户提供自动的边界防护能力。 入侵防护 访问控制 安全区域边界边界防护高 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 入侵防护 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 入侵防护 安全区域边界入侵防范中 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 入侵防护 安全区域边界访问控制高 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 云防火墙提供默认拒绝所有通信的访问控制策略，只允许通行策略相关会话通信。 访问控制 安全区域边界访问控制中 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 云防火墙提供流量记录功能，能够记录所有防火墙的通信会话行为，可通过对防火墙网络通信判断访问规则的有效性，从而实现访问控制规则最小化。 访问控制 安全区域边界访问控制高 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 访问控制 安全区域边界访问控制中 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 支持根据FTP等会话的状态信息设置对会话的允许/拒绝访问能力，控制粒度为端口级。 访问控制 安全区域边界访问控制中 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 支持DNS等应用协议和下载等应用内容进行访问控制。 访问控制 安全区域边界安全审计高 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 云防火墙提供日志审计功能，可以记录所有流量日志、访问控制日志、入侵防护日志和操作日志。 日志审计 安全区域边界安全审计中 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 云防火墙提供日志记录事件功能，包括：时间、告警名称、攻击类型、源/目IP字段、等级等。 日志审计 安全区域边界安全审计中 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 云防火墙提供日志分析功能，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计 安全区域边界安全审计中 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 云防火墙提供日志分析功能，记录所有流量访问日志，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计

云日志服务与其他服务之间关系，如表1所示。 表 1 与其他服务之间关系 交互功能 相关服务 通过CTS服务，您可以记录与云日志服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，简称CTS） 通过OBS服务，您可以将需要长期存储的日志转储至OBS桶中，确保日志不丢失，实现数据持久化。 对象存储服务（Object Storage Service，简称OBS） 通过AOM服务，可以进行站点访问统计，可以将相关日志上报给AOM，对其进行监控与告警。 应用运维管理（Application Operations Management，简称AOM） 通过IAM服务，您可以给账号中的子用户授予使用云日志服务的权限。 统一身份认证服务（Identity and Access Management，简称IAM）

当您第一次在Web应用防火墙（边缘云版）控制台完成域名接入后，面对各种Web应用防火墙（边缘云版）防护配置项，您可能不知道如何进行配置。本文将引导您从不同角色的视角、场景快速熟悉Web应用防火墙（边缘云版）的防护模块和防护规则的配置，让您从最紧急、最关注的防护内容入手，了解如何使用Web应用防火墙（边缘云版）保护您的网站。 操作前提 已经在Web应用防火墙（边缘云版）控制台完成接入域名，并且域名已处于已启用的状态。更多信息见添加域名。 操作内容须知 本文描述都是建立在您已经完成域名新增，并且域名状态处于已启用的前提下进行操作，您可以参考功能的描述文档开启并设置相对应的功能。 除了特殊防护配置以外的内容，大部分的Web应用防火墙（边缘云版）防护配置均在域名列表中的“安全防护”页面完成。参照如下访问网站防护配置页面：登录Web应用防火墙（边缘云版）后，域名管理域名列表安全防护（详情见安全防护配置）。 选中需要配置的域名，点击安全防护开始配置域名安全防护内容。 本文会根据不同的角色或者业务视角来给您提供网站防护策略的配置建议。您可以根据您的实际需求和您对网站的熟悉程度来了解相关的网站防护配置。

本页为您介绍DTS针对用户关键操作提供的日志管理功能。 功能介绍 天翼云数据传输服务DTS针对用户的关键操作和系统重要业务操作，提供了查看操作日志、及对接云审计和查看云审计日志的功能，帮助用户进行安全审计、故障排除、回顾操作流程、追踪错误等。 操作指引 查看DTS操作日志，请参见查看操作日志文档。 查看云审计日志，请参见查看云审计日志文档。

本文帮助您快速熟悉查看对等连接路由的操作方法。 操作场景 对等连接路由信息添加后，两端帐户均有权限在对等连接详情界面查看对等连接路由信息。 本节指导用户查看对等连接的路由，即查看本端VPC和对端VPC添加的路由信息。 如果您建立了对等连接，但是无法通信，可以参考本节检查本端VPC和对端VPC的路由配置详情。 查看相同账户对等连接的路由 1. 登录管理控制台，并选择目标区域。 2. 在管理控制台首页打开服务列表，选择“网络 > 虚拟私有云”。 进入虚拟私有云列表页面。 3. 在左侧导航栏，选择“虚拟私有云 > 对等连接”。 进入对等连接列表页面。 4. 在对等连接列表中，单击目标对等连接的名称。 进入对等连接详情页面。 5. 在页面下方的路由列表中，可以查看路由信息。 路由信息包括目的地址，对应的虚拟私有云、下一跳地址、路由表等信息。 查看不同账户对等连接的路由 通过本端账户查看本端VPC的路由，通过对端账户查看对端VPC的路由，查看方法相同。 1. 使用本端账户登录管理控制台，执行以下操作，查看本端VPC的路由。 1. 在控制台首页打开服务列表，选择“网络 > 虚拟私有云”。 进入虚拟私有云列表页面。 2. 在左侧导航栏，选择“虚拟私有云 > 对等连接”。 进入对等连接列表页面。 3. 在对等连接列表中，单击目标对等连接的名称。 进入对等连接详情页面。 4. 在页面下方的路由列表中，可以查看路由信息。 路由信息包括目的地址，对应的虚拟私有云、下一跳地址、路由表等信息。 2. 使用对端账户登录管理控制台，参考上述操作步骤查看对端VPC的路由。

本章节介绍如何管理服务来源 概述 云原生网关无缝对接天翼云注册配置中心和云容器引擎，通过服务发现模块监听服务来源，动态感知后端服务。整体架构如下： 创建云容器引擎服务来源 云原生网关支持云容器引擎作为服务来源，本文介绍添加云容器引擎作为服务来源。 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮 5. 单击左侧导航栏 服务来源 6. 单击左上角按钮 创建来源 7. 在弹出的页面中，来源类型选择容器服务；在容器集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的容器集群） 8. 根据需要勾选是否监听K8s Ingress选项并配置监听命名空间的标签，详细参考Ingress管理章节 创建注册配置中心服务来源 云原生网关支持MSE注册配置中心作为服务来源，本文介绍添加注册配置中心作为服务来源。 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮 5. 单击左侧导航栏 服务来源 6. 单击左上角按钮 创建来源 7. 在弹出的页面中，来源类型选择MSE Nacos（当前仅支持Nacos引擎）；在集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的集群）

本文介绍访问DDoS高防（边缘云版）内容响应403状态码可能的原因及解决方案。 问题现象 请求DDoS高防（边缘云版）域名资源时，边缘节点响应403状态码，无法访问资源。 可能原因及解决方案 场景一：加速域名在DDoS高防（边缘云版）控制台上未配置 若域名未在DDoS高防（边缘云版）平台进行配置，该域名请求访问到边缘节点时，边缘节点会直接响应403。具体报错如下： 解决方案：针对加速域名未在DDoS高防（边缘云版）控制台配置的情况，可以将需要加速的域名在DDoS高防（边缘云版）控制台上配置，配置完成后，进行对应的CNAME ，再重新请求对应的资源。 场景二：源站响应403问题 当用户端对该资源发起请求，边缘节点转发回源，源站如果响应403状态码给边缘节点，边缘节点会将403响应给用户端。具体报错如下： 解决方案：针对源站响应的403，需要源站排查对应原因，源站修改对应响应后，用户端再重新发起请求。 场景三：防护策略拦截 若在DDoS高防（边缘云版）控制台上配置访问控制、频率控制、CC防护，当请求触发拦截策略时，边缘节点会响应403。具体报错如下： 解决方案：如果IP为正常请求IP，可以在DDoS高防（边缘云版）控制台调整防护策略，配置生效后，再重新发起请求。

本章节主要介绍在Hive MetaStore实例进行Master扩容后，对其他相关服务的修改建议。 前置条件 1. Hive MetaStore完成扩容与配置生效操作。 2. 集群状态正常。 相关服务修改建议 Flink 如果用户配置了数据湖作业，那么就需要登录到所有的Flink client主机，在flink配置目录/user/local/flink/conf/中建立对/user/local/hive/conf/hivesite.xml的软链。 如果Hive MetaStore进行了节点扩容，需要更新该软链或文件，保证Flink使用到的是扩容后的hivesite.xml文件。 最后，根据扩容后的Hive MetaStore节点，更新数据湖作业中配置的hive.uri，并重启作业。 如果用户没有配置数据湖作业，则Flink不需要做任何操作。 Trino 通过翼MR Manager进入Trino集群的“配置管理”页面，修改hive.properties文件。 在参数hive.metastore.uri中按照实际情况填写metastore的地址；例如，三台Hive MetaStore的主机名为hostname1,hostname2,hostnam3,那么该配置的值应为thrift://hostname1:9083,thrift://hostname2:9083,hrift://hostname3:9083。 保存更改后，需要进行配置“同步”操作。 最后，重启Trino集群服务。 Spark 通过翼MR Manager进入Spark集群的“配置管理”页面，修改sparkdefaults.conf文件。 在参数spark.sql.catalog.sparkcatalog.uri中按照实际情况填写metastore的地址；例如，三台Hive MetaStore的主机名为hostname1,hostname2,hostnam3,那么该配置的值应为thrift://hostname1:9083,thrift://hostname2:9083,hrift://hostname3:9083。 保存更改后，需要进行配置“同步”操作。 最后，重启Spark集群服务。

本章节主要介绍ALM24010 Flume证书文件非法或已损坏的告警。 告警解释 Flume每隔一个小时，检查当前Flume证书文件是否合法（证书是否存在，证书格式是否正确），如果证书文件非法或已损坏，产生该告警。证书文件恢复合法时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24010 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Flume证书文件已经非法或损坏，功能受限，Flume客户端将无法访问Flume服务端。 可能原因 Flume证书文件非法或损坏。 处理步骤 查看告警信息 1.登录FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM24010 Flume证书文件非法或已损坏 > 定位信息”。查看告警上报的实例的IP地址。 检查系统中证书文件是否有效，重新生成证书文件 2.以root用户登录告警所在节点主机，并执行su omm切换用户。 3.执行以下命令进入Flume服务证书目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/conf 4.执行命令 ls l ，查看“flumesChat.crt”文件是否存在。 是，执行步骤5。 否，执行步骤6。 5.执行命令 openssl x509 in flumesChat.crt text noout ，查看是否正常显示证书具体信息。 是，执行步骤9。 否，执行步骤6。 6.执行以下命令进入Flume脚本目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/bin 7.执行以下令重新生成证书，等待一个小时，观察此告警是否被清除。 sh geneJKS.sh f sNetty12@ g cNetty12@ 是，执行步骤8。 否，执行步骤9。 8.查看系统在定时检查时是否会再次产生此告警。 是，执行步骤9。 否，处理完毕。

本章节主要介绍ALM24013 Flume MonitorServer证书文件非法或已损坏的告警。 告警解释 MonitorServer每隔一个小时，检查当前MonitorServer证书文件是否合法（证书是否存在，证书格式是否正确），如果证书文件非法或已损坏，产生该告警。证书文件恢复合法，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24013 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 MonitorServer证书文件已经非法或损坏，功能受限，Flume客户端将无法访问Flume服务端。 可能原因 MonitorServer证书文件非法或损坏。 处理步骤 查看告警信息 1.登录FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM24013 MonitorServer证书文件非法或已损坏 > 定位信息”。查看告警上报的实例的IP地址。 检查系统中证书文件是否有效，重新生成证书文件 2.以root用户登录告警所在节点主机，并执行su omm切换用户。 3.执行以下命令进入MonitorServer证书目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/conf 4.执行命令 ls l ，查看mssChat.crt文件是否存在。 是，执行步骤5。 否，执行步骤6。 5.执行命令 openssl x509 in mssChat.crt text noout ，查看是否正常显示证书具体信息。 是，执行步骤9。 否，执行步骤6。 6.执行以下命令进入Flume脚本目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/bin 7.执行以下命令重新生成证书，等待一个小时，观察此告警是否被清除。 sh geneJKS.sh m sKitty12@ n cKitty12@ 是，执行步骤8。 否，执行步骤9。 8.查看系统在定时检查时是否会再次产生此告警。 是，执行步骤9。 否，处理完毕。

参数 是否必填 参数类型 说明 示例 下级对象 billMode 是 String 订购类型（仅创建单独付费云硬盘有效）。取值范围： Cycle：包周期。 cycleType 否 String 周期类型（仅创建单独付费云电脑有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 否 Integer 周期数（仅创建单独付费云电脑有效）。取值范围： 136。（仅订购类型为包周期类型有效） diskType 是 String 云硬盘类型（uhio超高IO;hio高IO;cio普通IO） count 是 Integer 数量，范围：[1, 50] volumeSize 是 Integer 云硬盘大小（单位：GB），大于等于10 encryption 是 Boolean 是否加密，true表示为加密，false表示为不加密

本文为您介绍云审计产品的定义。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。

本文以思科防火墙为例介绍如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 背景信息 VPC和本地IDC的网络配置如下： 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 前提条件 您已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 配置IKEv1 VPN 协议 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group2 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group2 IPsec 生命周期 3600 IPsec 传输协议 ESP 操作步骤 1. 登录防火墙设备的命令行配置界面。 2. 配置isakmp策略。 crypto isakmp policy 1 authentication preshare encryption aes hash sha group 2 lifetime 86400 3. 配置预共享密钥。 crypto isakmp key aa123bb address 121.XX.XX.113 4. 配置IPsec安全协议。 crypto ipsec transformset ipsecpro64 espaes espshahmac mode tunnel 5. 配置ACL（访问控制列表），定义需要保护的数据流。 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.255 如果本地网关设备配置了多网段，则需要分别针对多个网段添加ACL策略。 6. 配置IPsec策略。 crypto map ipsecpro64 10 ipsecisakmp set peer 121.XX.XX.113 set transformset ipsecpro64 set pfs group2 match address 100 7. 应用IPsec策略。 interface g0/0 crypto map ipsecpro64 8. 配置静态路由。 ip route 192.168.10.0 255.255.255.0 121.XX.XX.113 ip route 192.168.11.0 255.255.255.0 121.XX.XX.113 9. 测试连通性。 您可以利用您在云中的主机和您数据中心的主机进行连通性测试。

云应用引擎支持用户白屏化地使用Nacos注册中心，本文介绍如何通过云应用引擎控制台为应用配置内置Nacos服务注册与发现功能。 说明 云应用引擎通过自动注入相关环境变量以及借助Java Agent修改字节码的技术，支持自动修改程序的注册中心与配置中心地址。因此，您无需对程序做任何修改即可将其直接部署到云应用引擎。 功能入口 场景不同，操作入口也有所不同 使用限制 1、您的应用已经存在Nacos服务注册发现配置 2、若您使用Spring Cloud框架应用需要使用云应用引擎内置Nacos功能进行服务注册发现，推荐您的客户端使用如下的版本搭配。 Spring Cloud Alibaba Spring Cloud Spring Boot 2.2.9.RELEASE Hoxton.SR12 2.3.12.RELEASE 配置服务注册发现功能 在创建应用高级配置界面中，找到并展开服务注册发现区域，启用Nacos注册中心服务发现功能

本节介绍了专属云（存储独享型）的使用须知。 专属云产品需要项目制发货，请联系客户经理，如果没有客户经理可拨打天翼云客服电话4008109889咨询。 本产品不支持无理由退订。

本章主要介绍停用/启用追踪器。 操作场景 云审计服务管理控制台支持停用/启用已创建的追踪器。追踪器停用成功后对已有的操作记录没有影响。 本节介绍如何停用/启用追踪器。 使用限制 停用追踪器后，操作事件仍可以正常上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录，也能查看新的操作记录和接收关键事件通知，但是您无法转储事件至OBS/LTS。 前提条件 已开通云审计服务。 操作步骤 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在管理类追踪器信息右侧，单击操作下的“停用”。 6. 单击“确定”，停用追踪器。追踪器停用成功后，操作下的“停用”切换为“启用。 7. 如果您需要重新启用管理类追踪器，单击“启用 > 确定”。

续订 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云企业路由器资源包”。 3. 在云企业路由器资源包页面，选择“实例连接月包”页签。 4. 在实例连接月包列表中，选择目标实例连接月包，在“操作 ”列中，点击“续订 ”，进入续订页面。 5. 在续订页面，单击“确定”，完成续订操作。 退订 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云企业路由器资源包”。 3. 在云企业路由器资源包页面，选择“实例连接月包”页签。 4. 在实例连接月包列表中，选择目标实例连接月包，在“操作 ”列中，点击“退订 ”，进入退订页面。 5. 在退订页面，单击“确定”，完成退订操作。

云日志服务支持采集翼MR各类集群的组件日志，采集后即可在云日志服务控制台对集群日志进行查询、分析与告警。 操作步骤 1. 登录翼MR控制台，进入集群信息页面，单击“集群日志”页签。 2. 点击右上角“开通服务”，授权翼MR开通云日志服务。 3. 点击【已知悉，授权开通】后，翼MR将开始为用户创建该集群的日志项目与日志单元，可点击翼MR控制台“集群日志”页面右上角的“前往查看”跳转至云日志服务控制台查看日志详情。 4. 如需关闭云日志服务，停止日志上报，可点击翼MR控制台“集群日志”页面右上角的“关闭”按钮，停止日志上报。

本节介绍了云数据库GaussDB 所支持审计的关键操作列表。 通过云审计服务，您可以记录与云数据库GaussDB 实例相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的操作列表 操作名称 资源类型 事件名称 创建实例、恢复到新实例 instance createInstance 删除实例 instance deleteInstance 数据库实例规格变更 instance resizeFlavor 实例版本升级 instance upgradeVersion 密码重置 instance resetPassword 实例重启 instance instanceRestart 修改资源标签 instance modifyTag 删除资源标签 instance deleteTag 添加资源标签 instance createTag 重命名实例 instance instanceRename 实例扩容 instance instanceAction 删除任务记录 instance deleteTaskRecord4OpenGauss 减少副本 instance reduceReplica 协调节点缩容 instance reduceCoordinatorNode 设置回收站策略 backup setRecyclePolicy 创建手动备份 backup createManualSnapshot 删除手动备份 backup deleteManualSnapshot 修改备份策略 backup setBackupPolicy 实例还原 backup restoreInstance

本节介绍如何从云等保专区控制台进入安全体检控制台并使用安全体检产品。 云等保专区提供体安全体检产品的功能，可支持的场景包括高危端口开放情况、弱口令、漏洞开放情况。用户可根据需求单独购买。 更多信息请参见安全体检。 使用安全体检 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“安全体检”。 5. 单击“立即购买”或“开通试用”即可购买并使用安全体检服务，详细操作指导请参见安全体检产品文档。

本节介绍云下一代防火墙变更配置。 云下一代防火墙变更配置仅支持从单节点升配为主备部署和增加可选功能，不支持变更版本，也不支持去勾选可选功能： 主备部署模式变更 云下一代防火墙支持从单节点升配为主备部署，主备部署的防火墙可形成高可用，避免单点故障风险。 在实例监控页面点击升配按钮。 在升配页面的主备部署模式选择“主备部署”即可。 注意 云一代防火墙升配为主备部署模式会自动部署一套防火墙，如有需要可提工单联系售后人员完成相关网络配置。 云下一代防火墙升配主备模式后不可恢复，升级前请核实需求。 增加可选功能模块 云下一代防火墙支持补充订购扩展功能模块，扩展功能订购做功能升级处理，资费按照每月每功能模块计算。 1.在实例监控页面，点击升配按钮。 2.在升配页面，勾选需要增加的可选功能模块即可。

参数名称 说明 取值样例 虚拟私有云 可以选择使用已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“申请虚拟私有云”创建新的虚拟私有云。 vpcsec 安全组 界面显示专属加密实例已配置的安全组。选择专属加密实例的安全组后，该专属加密实例将受到该安全组访问规则的保护。 sg533c 网卡 界面显示所有可选择的子网，系统自动分配一个未使用的IP地址。 subnet1（10.1..0.0/16） 实例名称 专属加密实例的名称。 DedicatedHSM