本节介绍二类节点资产纳管的操作步骤。 产品订购 服务器安全卫士（原生版）、网页防篡改（原生版）属于平台级产品，不区分资源池，进入产品订购页正常购买防护配额即可纳管二类节点区域的资产。 服务器安全卫士（原生版） 网页防篡改（原生版） 支持纳管的区域 支持纳管的二类节点区域如下，根据主机所在区域选择不同的纳管方案： 资源池大区 如下区域，使用方案一 如下区域，使用方案二 华东地区 上海4/杭州（AZ1）/杭州（AZ2）/苏州（AZ1）/苏州（AZ2）/苏州（AZ3）/芜湖 南昌 华南地区 长沙2（AZ1）/长沙2（AZ2）/武汉2（AZ1）/福州（AZ1）/福州（AZ2）/深圳 南宁/海口（AZ1）/广州4 西北地区 西安2（AZ1）/西安2（AZ2）/西安2（AZ3）/乌鲁木齐/兰州/西宁 中卫 西南地区 贵州/成都3 重庆/昆明 北方地区 郑州/内蒙3 青岛（AZ1）/青岛（AZ2）/北京2/太原/石家庄（AZ1）/石家庄（AZ2）/天津/长春/哈尔滨/沈阳3/华北（AZ3）

基本概念 通过几个基本概念，可以帮助您更快了解什么是对象存储： 基础概念 概念解释 存储空间 Bucket 用于存储对象（Object）的容器，所有的对象都必须隶属于某个存储空间。 对象/文件 Object 存储数据的基本单元。一个对象实际是一个文件的数据与其相关属性信息的集合体。 存储区域 Region 天翼云媒体存储的分布地区，数据存放在这些区域的存储桶中。 访问域名 EndPoint 对象被存放到存储桶中，用户可通过访问域名访问和下载对象。 使用方式 工具 描述 :: 管理控制台 管理控制台以网页的形式为用户提供最简单且易上手的使用方式。通过管理控制台，用户可以使用直观的界面进行相应的操作。 XstorBrowser 本工具支持用户通过可视化界面进行操作。具体可参考：XstorBrowser简介与功能概述。 SDK SDK是对媒体存储提供的REST API进行的封装，用户直接调用SDK提供的接口函数进行使用。 API 对象存储提供REST形式的访问接口，用户可以直接调用相应接口完成操作。

本文主要介绍对象存储的定义。 服务简介 对象存储（Object Storage Service，OBS），简称天翼云OBS，是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力，包括：创建、修改、删除桶，上传、下载、删除对象等。支持S3协议，部分节点支持文件语义、HDFS协议。OBS系统和单个桶都没有总数据容量和对象/文件数量的限制，为用户提供了超大存储容量的能力，适合存放任意类型的文件，适合普通用户、网站、企业和开发者使用。 OBS是一项面向Internet访问的服务，提供了基于HTTP/HTTPS协议的Web服务接口，用户可以随时随地连接到Internet的电脑上，通过OBS管理控制台或各种OBS工具访问和管理存储在OBS中的数据。此外，OBS支持SDK和OBS API接口，可使用户方便管理自己存储在OBS上的数据。OBS实现了在多区域部署基础设施，具备高度的可扩展性和可靠性，用户可根据自身需要指定区域使用OBS，由此获得更快的访问速度和实惠的服务价格。 产品架构 OBS的基本组成是桶和对象。 桶是OBS中存储对象的容器，每个桶都有自己的存储类别、访问权限、所属区域等属性，用户在互联网上通过桶的访问域名来定位桶。 对象是OBS中数据存储的基本单位，一个对象实际是一个文件的数据与其相关属性信息的集合体，包括Key、Metadata、Data三部分： Key：键值，即对象的名称，为经过UTF8编码的长度大于0且不超过1024的字符序列。一个桶里的每个对象必须拥有唯一的对象键值。 Metadata：元数据，即对象的描述信息，包括系统元数据和用户元数据，这些元数据以键值对（KeyValue）的形式被上传到OBS中。 系统元数据由OBS自动产生，在处理对象数据时使用，包括Date，Contentlength，Lastmodify，ETag等。 用户元数据由用户在上传对象时指定，是用户自定义的对象描述信息。 Data：数据，即文件的数据内容。 天翼云针对OBS提供的REST API进行了二次开发，为您提供了控制台、SDK和各类工具，方便您在不同的场景下轻松访问OBS桶以及桶中的对象。当然您也可以利用OBS提供的SDK和OBS API，根据您业务的实际情况自行开发，以满足不同场景的海量数据存储诉求。

本文为您介绍如何快速配置CC防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 CC防护模式配置 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”区域，可以选择开启/关闭防护状态；同时可以直接选择防护模式。 配置项说明如下： 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见设置[自定义CC防护策略](

本文介绍了云防火墙（原生版）产品的应用场景。 外部访问控制 通过云防火墙（原生版）产品，对已开放公网访问的服务资产进行安全盘点，能够自动识别威胁暴露面，可对开放的公网IP一键开启入侵检测与防御，保护公网资产安全。 主动外联管控 对主动外联行为进行分析，评估主机失陷风险状态，并对恶意连接行为进行实时阻断，保护资产安全。 等保合规 云防火墙（原生版）产品能够满足等保2.0二级和三级中针对边界防护、访问控制、入侵防御、安全审计等特定的等保合规检查要求。

本文为您介绍接入域名至Web应用防火墙（原生版）实例时，如何进行本地验证。 已在Web应用防火墙（WAF）中添加域名，但还未修改域名的DNS解析（将网站域名解析到WAF）时，建议您通过修改本地计算机的DNS解析，在本地计算机上验证WAF的域名接入设置正确有效。本文以Windows操作系统为例，介绍了在本地计算机验证域名接入设置的操作步骤。 前提条件 已通过CNAME接入模式手动添加网站域名。 背景信息 通过修改本地计算机的hosts文件，可以设置本地计算机的域名寻址映射，即仅对本地计算机生效的DNS解析记录。本地验证需要您在本地计算机上将网站域名的解析指向WAF的IP地址。这样就可以通过本地计算机访问被防护的域名，验证WAF中添加的域名接入设置是否正确有效，避免域名接入配置异常导致网站访问异常。 获取WAF IP 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“防护对象详情”页中，复制该域名对应的WAF CNAME地址。 7. 在Windows操作系统中，打开cmd命令行工具。 8. 执行命令：ping 。 9. 在ping命令的返回结果中，记录域名对应的WAF IP地址。

配置暴力破解规则 说明 Agent 版本低于 5.1.0，不支持配置自定义规则功能，使用此功能需升级 Agent 版本。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在暴力破解模块，单击“规则配置”按钮，开始暴力破解规则设置。 4. 配置暴力破解规则参数。 参数说明如下： 参数 说明 检查阈值 配置服务器在一段时间内连续登录失败超过的次数。 时间配置限制：11440分钟。 登录失败次数限制：1100次。 封禁时长 选择封禁时长，支持选择：不封禁、5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时。 防护场景 选择需要配置的防护场景，默认选择RDP暴力破解 、SSH暴力破解 ，支持选择FTP暴力破解 、MySQL暴力破解 、SQLServer暴力破解。 5. 当所有字段都设置完成后，单击“确认”。 配置勒索诱饵防护 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在勒索诱饵防护模块，单击“配置规则”，开始配置勒索诱饵防护。 4. 在页面右侧弹出的防护设置页面，配置防护参数。 参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动隔离。 手动处理：人工手动对勒索病毒文件进行处理。 自动隔离：检测出勒索病毒文件自动隔离。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。 指定防护目录 根据用户的特定防护场景，可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 5. 配置完成后，单击“确认”。 绑定存储库：选择一个可用状态的存储库，备份数据大小应小于存储库剩余容量。

资源池名称 标准存储 低频存储 归档存储 多AZ规格 公共资源池 IAM权限管理 碎片管理 防盗链 跨域设置 桶ACL 生命周期 版本管理 日志转存 服务端加密 对象存储迁移 用户配额 桶清单 图片处理进阶版 跨区域复制 合规保留 自定义域名 数据回源 桶策略基础版 桶策略进阶版 双端固定 专线接入对象存储 对象存储监控 软链接 STS临时授权 桶配额 归档直读 通过VPCE访问对象存储 合肥2 √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ 北京5 √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ √ 重庆2 √ √ √ √ √ √ √ √ √ 福州25 √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ 厦门3 √ √ √ √ √ √ √ √ √ 贵州3 √ √ √ √ √ √ √ √ √ √ √ ◎ 广州6 √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ 南宁23 √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ √ 兰州2 √ √ √ √ √ √ √ √ √ √ 郑州5 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ √ 武汉4 √ √ √ √ √ √ √ √ √ √ 武汉41 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ √ 华东1 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ √ ◎ ◎ √ ◎ ◎ ◎ √ 华南2 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ √ 石家庄20 √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ 长沙42 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ ◎ √ 郴州2 √ √ √ √ √ √ √ √ √ √ 海口2 √ √ √ √ √ √ √ √ √ √ √ ◎ 华北2 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ √ ◎ ◎ √ ◎ ◎ √ 南京3 √ √ √ √ √ √ √ √ √ √ 南京5 √ √ √ √ √ √ √ √ √ √ √ ◎ 九江 √ √ √ √ √ √ √ √ √ √ ◎ 南昌5 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ 辽阳1 √ √ √ √ √ √ √ √ √ √ √ 中卫5 √ √ √ √ √ √ √ √ √ √ ◎ 内蒙6 √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ 西宁2 √ √ √ √ √ √ √ √ √ √ 青岛20 √ √ √ √ √ √ √ √ √ √ √ √ ◎ √ ◎ √ 成都4 √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ 西安5 √ √ √ √ √ √ √ √ √ √ ◎ √ 西安7 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ 上海7 √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ ◎ ◎ ◎ 上海15 √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ 上海36 √ √ √ √ √ √ √ √ √ √ √ ◎ √ ◎ ◎ ◎ ◎ ◎ ◎ √ 晋中 √ √ √ √ √ √ √ √ √ 太原4 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ 乌鲁木齐27 √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ 拉萨3 √ √ √ √ √ √ √ √ √ √ √ 西南1 √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ ◎ √ √ ◎ ◎ √ √ 西南2贵州 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ √ 昆明2 √ √ √ √ √ √ √ √ √ √ ◎ 杭州2 √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ 杭州7 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ ◎ √ 呼和浩特3 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ 芜湖4 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ 庆阳2 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ 乌鲁木齐7 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ 沈阳8 √ √ √ √ √ √ √ √ √

如果关系数据库MySQL版实例已经开启备份功能，当需要单独使用备份文件时，可通过下载备份操作将数据库的备份文件下载到本地。 前提条件 关系数据库MySQL版实例使用对象存储服务作为备份存储介质，且存在已备份完成的备份集。 注意事项 支持使用公网和内网下载备份文件，您需要注意如下事项： 使用公网下载文件时，将产生公网流量费用，具体资费信息，请参考备份。 使用内网下载文件时，网络更加稳定且不会产生流量费用，但该方式仅适用于在相同资源池的云主机使用。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 备份管理，进入基础备份列表页面。然后在顶部菜单栏，选择区域和项目。 说明 您也可以在左侧导航栏选择MySQL > 实例管理 ，并在实例列表中单击目标实例名称，进入实例基本信息 页面，然后单击备份恢复，进入基础备份列表页面。 3. 在备份文件列表中，找到待下载的备份文件，单击操作 列的下载。 4. 在文件下载 对话框中，选择下载方式 为内网下载 或公网下载，然后复制生成的下载地址或者单击下载箭头，即可下载备份文件。 注意 如选择内网下载，则将链接复制，使用wget ' 公网下载方式的临时下载地址链接有效时间为1小时。

所属服务 监控指标项 说明 HDFS HDFS租户空间信息 分配的空间大小 已使用的空间大小 HDFS可选择指定的存储目录进行监控。存储目录与当前租户在“资源”中添加的目录一致。 HDFS HDFS租户文件对象信息 已使用的文件对象个数 HDFS可选择指定的存储目录进行监控。存储目录与当前租户在“资源”中添加的目录一致。 Yarn Yarn当前已分配的CPU核数 AM分配的最大CPU核数 已分配的CPU核数 AM已使用的CPU核数 当前租户的监控信息。如某租户未配置相应子项，则不显示。 监控数据取自Yarn原生WebUI中“Scheduler > Application Queues > Queue:租户名 ”。 Yarn Yarn当前已分配的内存 AM分配的最大内存 已分配的内存 AM已使用的内存 当前租户的监控信息。如某租户未配置相应子项，则不显示。 监控数据取自Yarn原生WebUI中“Scheduler > Application Queues > Queue:租户名 ”。

对象存储有哪些计费项？ 对象存储提供了三种存储类型供您选择，即标准存储、低频存储和归档存储。不同存储类型具有不同的特点和价格，您可以根据实际需求选择适合的存储类型。对象存储标准型总计三个计费项：存储费用、流量费用、请求费用，而低频和归档型相比标准型会多收取数据取回费用和提前删除费用。具体可参考计费项，获取更详细信息。 费用类型 描述 标准存储 低频存储 归档存储 ::::: 存储费用 按实际使用的存储容量收费，不同存储类型的存储费用单价有所不同。 注意 对于低频存储类型对象，如果提前删除（包括彻底删除、修改存储类型），将持续计费至30天；对于归档存储类型对象，会持续计费至90天。 √ √ √ 流量费用 包括存储数据被调用或下载产生的公网流出流量费用、跨域复制流出流量、CDN回源流量费用，按实际使用时产生的流量收费。 注意 部分浏览器会出现重复下发下载请求的情况，可能导致公网流出流量翻倍。 √ √ √ 请求费用 按照发送到对象存储的请求指令次数进行计算，每次调用API都计算一次请求次数。 注意 用户在对象存储控制台进行的操作也视为对对象存储系统的请求，会正常计算请求次数。 √ √ √ 数据取回费用 访问低频存储、归档存储类型的对象时产生，低频存储按服务端读取的数据量计算，归档存储按解冻数据量计算。该费用会计入公网流出流量费用（外网访问）。 × √ √

模板名称 被授权用户 资源范围 模板动作 只读模式 待指定 系统自动指定为已选对象，无需修改 允许指定用户对当前对象执行以下动作： GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） RestoreObject（恢复归档存储对象） 读写模式 待指定 系统自动指定为已选对象，无需修改 允许指定用户对当前对象执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） PutObjectAcl（设置对象ACL） RestoreObject（恢复归档存储对象） 公共读 匿名用户（表示所有互联网用户） 系统自动指定为已选对象，无需修改 允许匿名用户（所有互联网用户）对当前对象执行以下动作： GetObject（获取对象内容、获取对象元数据） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） 公共读写 匿名用户（表示所有互联网用户） 系统自动指定为已选对象，无需修改 允许匿名用户（所有互联网用户）对当前对象执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） PutObjectAcl（设置对象ACL）GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL）

规则白名单设置方法 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防护配置 > 对象防护配置”进入防护配置页面，在“安全防护”页签定位到“防护白名单”模块，单击“前去配置”。 3. 单击“新建白名单”。 4. 进行白名单配置。 5. 单击“确定”，完成配置。

使用对象存储动态存储卷 1. 创建保密字典 进入到 对象存储控制台，进入AccessKey管理，查看对象存储密钥； 登录到 分布式容器云平台，进入集群管理栏，打开指定注册集群详情页面； 点击左侧导航栏，选择 配置管理 > 保密字典 > 创建保密字典； 输入名称、内容，内容项变量名分别是 AK、SK，对应上述步骤获取到的对象存储密钥； 2. 创建存储类（StorageClass） 进入到注册集群详情页，在左侧导航栏，选择 存储 > 存储类 > 新增YAML； 参数 type：类型，选择对象存储类型，标准存储(STANDARD)、低频存储(STANDARDIA)； azpolicy：AZ策略，不填默认singleaz； 使用bucket所使用的AK/SK的secret：上述步骤创建的secret及其对应namespace； endpointType：挂载地址类型，内网地址(intranet)、外网地址(internet)，不填默认为intranet； shell apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: cstorcsizosstandardsc labels: {} annotations: {} provisioner: zos.csi.cstor.com parameters: 标准存储 type: STANDARD 使用bucket所使用的AK/SK的secret csi.storage.k8s.io/nodepublishsecretname: obssecret csi.storage.k8s.io/nodepublishsecretnamespace: default 对象存储的AZ策略，不填默认为singleaz azpolicy: singleaz 挂载地址类型，intranet(内网)、internet(外网)，不填默认为intranet endpointType: internet reclaimPolicy: Delete volumeBindingMode: Immediate allowVolumeExpansion: true mountOptions: []

本文介绍对象存储中，对于同名文件，是直接覆盖还是新增不同版本的文件。 产品中的对象存储现已支持版本控制功能，当存储桶未启用版本控制功能，上传相同名称的文件至存储桶，会直接覆盖已存在的同名文件。 当存储桶开启了版本控制后，上传相同名称的文件至存储桶，会同时存在该对象的多个版本。

本文介绍了使用天翼云防火墙（原生版）的使用流程和步骤说明。 一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界、内网VPC边界管控与安全防护，并提供实时入侵防护、全流量业务可视化、日志审计和分析等功能，帮助用户完成网络边界防护与等保合规业务。 使用流程 使用流程如下图： 互联网边界防护 操作步骤 说明 相关文档 购买云防火墙（原生版） 成功注册天翼云账号后，打开控制中心，切换资源池至目标资源池，选择云防火墙（原生版）产品，点击购买配额。 购买C100实例 开启防护 打开云防火墙（原生版）控制台，选择防火墙开关，开启防护。 开启弹性IP防护 开启公网NAT网关防护 开启弹性负载均衡防护 配置防护策略 购买成功后，打开云防火墙（原生版）控制台，配置访问控制策略和防护策略。 支持配置以下防护策略： 入向/出向防护规则：按照IP地址、端口、协议、应用等维度设置防护规则进行流量管控。 黑/白名单规则：按照IP地址进行流量管控，来自黑名单内的流量会直接拦截，来自白名单内的流量会直接放行。 入侵防御：根据入侵防御规则库拦截网络攻击，支持基础防御、虚拟补丁、DDoS防护。 配置互联网边界防护规则 配置入侵防御防护规则 查看防护结果 策略配置成功后，查看防护结果日志，防火墙成功开启。 日志审计

本文为您介绍如何使用ECI实例访问对象存储数据。 背景信息 天翼云对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 前期准备 已开通天翼云弹性容器实例服务。 已开通天翼云对象存储(ZOS)服务。 对象存储服务需要满足按量计费模式，已创建Access Key。 对象存储Bucket的存储类型仅支持标准存储和低频存储，不支持归档型存储（归档型不支持POSIX语义）。 操作步骤 天翼云弹性容器实例ECI支持用户通过控制台和OpenAPI等多种方式创建挂载对象存储作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问云硬盘中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 用户可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块4G大小的对象存储桶，挂载目录为/zostest。 5. 让我们尝试从/zostest目录下删除名为max.txt的文件，可以发现当我们以“只读”方式挂载时，文件系统不允许该文件被删除。

本小节介绍日志审计(原生版)产品功能类常见问题。 日志审计（原生版）采用何种接入方案？ windows设备通过agent采集，优点在于能够快速地集成现有数据，形成数据能力。 其他设备通过syslog采集snmptrap方式采集，优点在于不侵入应用系统，相关数据的准备由数据源系统自行准备，有利于数据源系统开展数据责任授权及控制扩散范围。 日志审计（原生版）采集日志需要做哪些操作？ 进入日志审计后，您需要先配置采集资产，针对采集日志样式进行配置，以及配置对应告警规则。配置完成后，触发日志，可在平台中检索采集到的日志和告警结果。涉及配置流程如下： 日志审计（原生版）如何实现自适应采集解析能力？ 通过数据自适应，将采集到多种类型、多种格式的原始事件信息根据预先配置的解析规则进行解析，支持正则解析，分隔符解析，json解析，keyvalue形式解析，实现新增日志类型无需开发能力。且日志解析结果已内置支持80+个字段，并支持动态扩展。 日志审计（原生版）如何实现检索分析？ 检索分析功能底层基于elasticsearch索引支持检索功能，为用户提供日志检索及分析能力，支持字段高级逻辑搜索和全文检索，提供丰富的字段用于索引、检索，字段可由用户自定义添加配置，可支持用户自定义时间范围内检索数据，并支持对检索数据进行导出。

参数 说明 搜索框 输入存储源名称或者关键字，支持输入部分名称和全名称进行检索。 检索 根据输入存储源名称关键字进行检索筛选。 刷新 刷新当前存储源列表展示页面。 名称 存储源的名称。 存储类型 对象存储 状态 存储源的状态，共有2种，分别为可用和不可用。可用状态表示此存储源是可联通的，可在此存储源上创建数据集；而不可用状态表示此存储源不可联通，不可在此存储源上创建数据集 对象存储URL 对象存储URL。 桶名 桶名。 创建时间 存储源的创建时间。 操作 删除

对象存储 对象存储产品提供非结构化数据（图片、音视频、文本等格式文件）的云存储服务，为容灾服务提供基础支持。 容灾服务提供本地到面向对象存储的数据同步与恢复、不同对象存储之间的数据同步与恢复。 具体产品详情请参考：对象存储。

限制项 说明 存储桶（Bucket） 同一天翼云账号在同一地域内创建的存储桶（Bucket）总数不能超过10个。 存储桶名称在OOS全局范围内必须全局唯一。 存储桶创建后，其名称、索引位置不支持修改。 单个存储桶的容量和文件数不限制。 删除存储桶之前必须确保存储桶内所有文件已彻底删除。 文件（Object） OOS控制台支持批量上传文件，单次最多支持500个文件同时上传，总大小不超过5GiB。如果只上传1个文件，则这个文件最大为5GiB。 通过普通上传支持单个文件最大5TiB。 通过分片上传支持单个文件暂无限制，但是在合并分片时除了最后一个分片外，其他分片均不小于5MiB。 通过控制台批量删除文件时，文件的个数不能超过100个，通过调用批量删除接口，一次删除文件数不能超过1000个。 生命周期规则 一个存储桶（Bucket）内最多可配置1000条生命周期规则。 静态网站托管 XML请求体不能超过10KiB。 支持绑定自定义域名，自定义域名不要求和存储桶名字相同。 一个存储桶可以绑定20个不同的自定义域名；一个自定义域名只能绑定到一个存储桶。 支持托管自定义域名证书。 避免存储桶名中带有“.”，否则通过HTTPS访问时可能出现客户端校验证书出错。 Bucket Policy 单个存储桶（Bucket）的安全策略条数（statement）没有限制，但一个存储桶中所有安全策略的JSON描述总大小不能超过20KiB。 跨域资源共享 在配置跨域请求时，用户可以通过XML来配置允许跨域的源和HTTP方法。XML请求体不能超过64KiB。 清单配置 每个存储桶（Bucket）最多配置10条清单规则。 访问控制（IAM） 访问控制（IAM）中的IAM用户、用户组等有限定的配额： IAM用户数量：500。 自定义策略数量：150。 用户组数量：30。 附加到IAM用户的策略数量：10。 根用户的访问密钥数量：2。 IAM用户的访问密钥数量：2。 IAM用户可加入的用户组数量：10。 附加到IAM用户的标签数量：10。 附加到用户组的策略数量：10。 图片处理 只能转换图片文件格式的文件，支持的原图片格式为：jpg、 png、 bmp、 webp。 转换后的图片格式支持jpg、png、bmp和webp。其中：jpg、 png、 bmp、 webp的图片可以保存为jpg、png、bmp和webp中的任意一种格式；图片如果不指定保存格式，默认保存为原格式。例如：格式为png的图片，默认保存为png格式的图片。 原图片的大小不能超过20MiB。 缩略后的图片的大小有限制，目标缩略图的宽与高的乘积不能超过4096 4096， 而且单边的长度不能超过4096 4。 一次转换请求最多支持4个管道处理。 不支持处理分段文件。 资源包 资源包的地域属性分为中国大陆通用资源包和中国香港资源包。其中中国大陆通用资源包可以抵扣中国内地所有地域的对应计费项，不能抵扣中国香港的对应计费项。 已购资源包不支持更换地域。 资源包支持叠加购买，不支持升级、降级。 不同存储类型的资源包不能互相抵扣。 资源包的购买时长表示产品购买时长范围内每个月可使用的量（存储容量、流出流量或请求次数）。当月使用量超出已购资源包的额度，计费模式将自动转为按需付费。新购资源包不能抵扣已产生的资源用量；如有计费项未订购资源包则该计费项自动按需计费。 数据取回计费项不支持资源包抵扣，仅支持按需计费。 访问规则 OOS API支持 pathstyle 和 bucket virtual hosting 两种风格的请求方式，推荐使用 bucket virtual hosting 的请求风格，即 Bucket + Endpoint 的形式，如 examplebucket.ooscn.ctyunapi.cn。 若Bucket中带有（.），若想支持https访问，请用pathstyle方式，如ooscn.ctyunapi.cn/example.bucket 带宽 访问对象存储（经典版）I型的带宽同时受用户本地公网带宽限制、单用户带宽上限影响。 单个天翼云账号的上行和下行带宽上限各为10Gbit/s。 每秒请求数QPS（Query Per Second） 单个天翼云账号的非顺序读写QPS上限为10000，顺序读写QPS上限为2000。

本节介绍服务器安全卫士（原生版）的产品定义和产品架构。 产品定义 服务器安全卫士（原生版）（CTCSS，Cloud Security System）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，帮助您构建服务器安全防护体系。 产品架构 服务器安全卫士（原生版）整体架构主要包括3个部分，分别为统一管理平台、数据汇总节点和服务器客户端Agent。 统一管理平台 客户管理员通过统一管理平台，查看所有的服务器信息和安全状态，并下发安全策略配置信息。 资源池数据汇总节点 服务器客户端Agent从被监控服务器中采集系统信息，上报给相应的数据汇总节点。 服务器客户端Agent 使用服务器安全卫士（原生版）产品时，每台服务器需要安装一个Agent。

本节介绍服务器安全卫士（原生版）退订规则及退订步骤。 服务器安全卫士（原生版）支持退订，可通过服务器安全卫士（原生版）控制台、天翼云费用中心发起并完成退订操作。 退订说明 您（天翼云客户）可根据需要，在符合天翼云退订规则的前提下，灵活退订配额。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订，退订规则详情见退订规则说明。 退订步骤 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 配额管理”，进入配额管理页面。 3. 查看您已经订购的配额，选择需要退订的配额，点击“退订”。 4. 进入退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。 5. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

参数 描述 n QOSNAME 或 name QOSNAME 指定QoS策略名称。 o OBJECT 或 object OBJECT 指定关联的对象类型。 取值： LUN：卷。 storagepool（仅集群版支持）：存储池。 storagepoolforlun（仅集群版支持）：存储池内卷的默认QoS策略。 list list &<1n> 对象列表。一次可以添加多个具体对象，以英文逗号（,）分开。 说明 关联对象类型为LUN，输入具体卷名称。 关联对象类型为storagepool，输入存储池名称。 关联对象为storagepoolforlun，输入存储池名称。

参数 描述 n QOSNAME 或 name QOSNAME 指定QoS策略名称。 o OBJECT 或 object OBJECT 指定要解除关联的对象类型。 取值： LUN：卷。 storagepool（仅集群版支持）：存储池。 storagepoolforlun（仅集群版支持）：存储池内卷的默认QoS策略。 list list &<1n> 对象列表。一次可以添加多个具体对象，以英文逗号（,）分开。 说明 对象类型为LUN，输入具体卷名称。 对象类型为storagepool，输入存储池名称。 对象为storagepoolforlun，输入存储池名称。

本章节会介绍关系型数据库的通用常见问题。 MySQL实例支持哪些加密函数 有关关系数据库MySQL版支持的加密函数，请参见官方文档： 使用RDS要注意些什么 1. 实例的操作系统，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 2. 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及关系型数据库服务使用的弹性云主机（Elastic Cloud Server，简称ECS），都对用户不可见，它们只对关系型数据库服务的后台管理系统可见。 3. 查看实例列表时请确保与购买实例选择的区域一致。 4. 申请关系型数据库实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 1. 关系型数据库实例的CPU、IOPS、空间是否足够，如果不够需要变更规格或者扩容。 2. 关系型数据库实例是否存在性能问题，是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。 什么是RDS实例可用性 关系型数据库实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 关系型数据库支持跨AZ高可用吗 RDS支持跨AZ高可用。当用户创建实例的时候，选择主备实例类型，可以选择主可用区和备可用区不在同一个可用区（AZ）。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 相同，主机和备机会部署在同一个可用区，出现可用区级故障无法保障高可用性。

经典型弹性负载均衡有实例规格吗？ 没有。仅性能保障型负载均衡区分实例规格，支持的规格包括标准型I、标准型II、增强型I、增强型II、高阶型I等。 分配有IPv4和IPv6地址弹性负载均衡实例可以调整为仅有IPv4地址的情况吗？ 不支持。创建负载均衡器时，如果选择已开启IPv6的VPC和子网，可以为选择负载均衡器分配IPv6地址，创建后不支持取消负载均衡器的IPv6地址分配。 弹性负载均衡对上传文件的速度和大小是否有限制？ 没有限制。但是由于服务的网络路径上还有其他资源节点，请关注服务链路上其他节点（如弹性IP、后端主机）的限制是否能满足业务需求。 为什么会有100开头的IP在频繁访问后端主机？ 弹性负载均衡服务将流量转发至后端主机时的源IP以及健康检查请求的源IP均为100.89.0.0/16（IPv4）、100:0:0:2::100.89.0.0/112（IPv6）网段的地址，如果您遇到的100开头的IP为此段地址，应为正常的业务流量转发或健康检查请求。后端主机的安全组、网络ACL或其他访问控制规则应配置为允许100.89.0.0/16（IPv4）、100:0:0:2::100.89.0.0/112（IPv6）网段的流量通过。 包年包月的弹性负载均衡实例超期后，哪些功能会受影响？ 包年包月的弹性负载均衡实例超期后，可以进行续订，不再进行流量转发，也不能对超期实例进行配置。

本文介绍了云防火墙（原生版）产品的手动续订流程。 约束限制 配额状态为“正常”和“已到期”的配额才可以续订。 操作步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 配额管理”，进入配额管理页面。 3. 点击“续订”。 4. 在下图续订页面中，选择续订时长，勾选“我已阅读，理解并同意《天翼云云防火墙（原生版）协议》”后，单击“立即购买”后即可进行续订。 当续订周期达到1年或以上时，订单将可享受包年折扣，续订金额显示折后价。

本节介绍如何退订网页防篡改（原生版）。 根据您的需求，可对正常状态的配额进行退订，遵循天翼云统一的退订规则。 操作步骤 1. 登录网页防篡改（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护配额”，进入防护配额页面。 3. 在页面下方配额列表中，对需要退订的配额，单击操作列的“退订”。 4. 进入退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。

事件类型 type参数值 对象解冻 s3:ObjectRestore:Post 拷贝上传 s3:ObjectCreated:Copy 不指定版本号删除多版本Bucket中对象 s3:ObjectRemoved:DeleteMarkerCreated 删除对象 s3:ObjectRemoved:Delete 分段上传对象 s3:ObjectCreated:CompleteMultipartUpload 通过Post上传对象 s3:ObjectCreated:Post 上传对象 s3:ObjectCreated:Put 删除存储桶 s3:DeleteBucket 创建存储桶 s3:CreateBucket

参数 说明 计费模式 包年/包月、按需计费两种模式，参考 计费模式 。 部署模式 标准、云原生两种模式，标准：基于传统管控架构部署。云原生：基于云原生容器平台部署，更灵活、扩容能力更强。 版本类型 基础版、增强版两种版本类型。 实例类型 主备、单机、Cluster主备、Cluster单机、读写分离等实例类型。具体实例类型说明可参考 实例类型 。 版本号 实例内核的版本号。 主可用区 主节点所在的可用区。 备可用区 备节点所在的可用区。当资源池包含3个或更多可用区时，才支持备可用区选项。 CPU架构 X86计算、ARM计算。 主机类型 主机类型信息，包含通用型、计算增强型等。 规格 缓存内存大小。 分片规格 缓存分片内存大小。 分片数 Cluster集群或Proxy主备集群自定义分片数。 副本数 主备、Cluster主备、读写分离可自定义副本数，默认2副本。 存储类型 实例存储类型，包含高IO、超高IO等。 规格信息 最终选择的实例规格信息，包含总容量、分片数、分片容量、副本数、最大连接数、基准/最大带宽。 虚拟私有云 点击下拉框可选择已创建的虚拟私有云，点击右侧的刷新按钮可刷新下拉框列表，点击“创建虚拟私有云”可进入虚拟私有云管理页面新增虚拟私有云。 所在子网 点击下拉框可选择当前虚拟私有云下已创建的子网，点击右侧的刷新按钮可刷新下拉框列表，点击“创建所在子网”可进入子网页面新增子网。 安全组 点击安全组下拉框可选择当前VPC下已创建的安全组，系统会为每个用户默认创建一个安全组。安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 企业项目 下拉选择IAM维护的企业项目，若没有找到需要的企业项目，可以跳转到 实例名称 系统生成默认缓存实例名称（用户可修改）。 密码 缓存实例密码。 确认密码 再次确认密码，与上述密码一致。 购买时长 购买实例的时长，计费模式为包年/包月时生效。 自动续期 勾选自动续订后方框，可在包年/包月实例到期后自动续期，计费模式为包年/包月时生效。 实例标签 当项目中云资源较多，或当前资源信息不足以有效地为资源分组归类时，可以通过为资源添加不同维度（例如所属业务、部署环境、操作系统、开发团队等）的标签，实现资源分类。 就近访问 Prox主备集群以及读写分离实例部署在多个可用区时有效。（说明：该功能目前为白名单特性，如需要使用该特性，请联系技术支持开通后使用。）

本章节主要介绍媒体存储存储桶基础操作的操作方式。 列举存储桶 通过列举桶方式，用户可查看某个存储区域已创建的桶列表。 使用方式 操作途径 使用方式 控制台 登录控制台后，进入【对象存储Bucket列表】菜单页，点击对应的存储区域获取存储桶列表。 SDK 媒体存储支持多种语言SDK，请从SDK概览页面选择进入对应的开发指南查阅。 原生接口 可参考：列举桶列表。 XstorBrowser 通过使用Endpoint、AccessKey、SecretAccessKey登录后即会展示该账户下所有的桶。 查看存储桶基础信息 通过查看存储桶基础信息，用户可以获取到已创建桶的基础信息，如访问域名，存储桶ACL等基础信息。 使用方式 操作途径 使用方式 控制台 可参考：基础信息查看。 SDK 媒体存储支持多种语言SDK，请从SDK概览页面选择进入对应的开发指南查阅。 原生接口 可参考：获取桶信息。 XstorBrowser 可参考：查看桶的基本信息。 删除存储桶 通过删除桶方法，用户可选择删除不需要的桶。