本章为您介绍如何管理加密云硬盘,包括创建加密云硬盘与卸载加密云硬盘。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源池支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

运维安全中心（云堡垒机）的相关服务协议查看 天翼云运维安全中心（云堡垒机）服务协议

当您选择了云主机接入方式时，云日志服务可以将主机待采集日志的路径配置到日志流中，ICAgent将按照日志采集规则采集日志，并将多条日志进行打包，以日志流为单位发往云日志服务，您可以在云日志服务控制台实时查看日志。 前提条件 已安装ICAgent并添加至主机组。 操作步骤 云日志服务接入方式选择云主机 ECS文本日志时，按照如下操作完成接入配置。 步骤 1 登录云日志服务控制台。 步骤 2 在左侧导航栏中，选择“日志接入”，单击“云主机 ECS文本日志”进行主机接入配置。 步骤 3 选择日志流。 1. 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 2. 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 3. 单击“下一步：选择主机组”。 步骤 4 选择主机组。 1. 在主机组列表中选择一个或多个需要采集日志的主机组，若没有所需的主机组，单击列表左上方“新建”，在弹出的新建主机组页面创建新的主机组，具体可参考创建主机组。 主机组可以为空，可以在接入配置设置完成后对主机组进行设置。 在“主机管理 > 主机组”页面对主机组和接入配置进行关联。 在接入配置详情中对主机组和接入配置进行关联。 2. 单击“下一步：采集配置”。 步骤 5 采集配置。 对主机日志采集设置具体的采集规则，具体请参考采集配置。 步骤 6 完成。 接入成功，可以单击“返回接入配置列表”查看日志接入，也可单击“查看日志流”查看该日志流下的采集日志。

服务名称 详细描述 弹性云主机（ECS） 编译构建服务可以自定义ECS的Slave节点，用户可以自定义ECS的构建执行资源。 部署服务支持将用户的应用部署到用户购买的ECS资源上。 详细内容请参见 云容器引擎（CCE） 编译构建服务可以自定义CCE的Slave节点，用户可以自定义CCE的构建执行资源。 部署服务支持将用户的应用部署到用户购买的CCE资源上。 详细内容请参见 应用管理和运维平台（ServiceStage） 部署服务支持ServiceStage的部署，用户可以直接使用ServiceStage的应用托管功能。 详细内容请参见 容器镜像服务（SWR） 编译构建服务拉取和推送镜像。 部署服务获取镜像仓地址。 详细内容请参见

第1章 服务概述 应用容灾服务帮助客户在天翼云建立应用容灾能力，当灾难发生时，在保证生产环境的数据尽量少丢失的情况下，保证生产系统快速恢复。 第2章 应用场景 核心应用容灾 ：财务、人力资源、客户关系管理等核心应用的容灾至关重要，通过应用容灾确保在发生灾难时快速恢复核心业务系统。 重要数据容灾 ：应用容灾可以保障业务数据、知识产权、客户信息、财务数据等重要数据不丢失，防止重要数据丢失对企业造成重大伤害。 全部业务容灾 ：全部业务容灾是对企业的全部业务系统实现容灾备份，包括企业的业务流程系统和应用程序等。 第3章 服务优势 数据可靠性高：应用容灾服务采用天翼云服务实现多重备份和容错技术，保证数据在发生灾难时不丢失或少丢失。 业务快速恢复：应用容灾服务帮助企业在发生灾难时快速恢复业务，减少损失，提高企业的抗风险能力。 安全合规：应用容灾服务可以帮助企业实现安全合规性审计，达到符合行业规范和法律法规对容灾的要求。 第4章 服务范围 应用容灾服务产品范围：天翼专有云、天翼公有云、天翼混合云的云产品，详见《服务协议》。 天翼云应用容灾服务范围包含： 业务架构分析、应用容灾、数据库容灾、容灾演练等。 天翼云应用容灾服务范围不包含： 具体的配置操作和实施。 非天翼云产品的容灾工作。

云容灾产品涉及的自身及相关产品的计费项说明 云容灾服务会收取容灾客户端的费用，容灾中产生的云主机费用、云硬盘费用、云硬盘快照费用由对应的服务收取。 计费项 说明 计费方式 收费方 :::: 容灾客户端 指授权部署在被保护主机的客户端。 公测期间免费试用。 注意： 容灾使用的其他服务云主机、云硬盘、云硬盘快照等正常计费。 云容灾 云主机费用 当故障切换或容灾演练时，对连续复制时使用的容灾中心复影云主机或云上容灾恢复拉起时部署的云主机进行收费。 仅支持按需计费。 收费标准按照云主机标准资费收取。 弹性云主机 云硬盘费用 挂载在容灾中心云主机下，存放实时复制的数据。 仅支持按需计费。 收费标准按照云硬盘标准资费收取。 云硬盘 云硬盘快照费用 对容灾中心云主机下磁盘的历史时间节点打快照，供容灾恢复使用。 仅支持按需计费。 收费标准按照云硬盘快照标准资费收取。 云硬盘

本文主要为您介绍云搜索服务操作使用类的常见问题解决方案。 云搜索服务是否支持和Logstash对接？ 支持，Logstash支持使用7.10.2版本。 您可通过在Elasticsearch/OpenSearch实例上加装Logstash节点实现，具体操作步骤参见加装Logstash实例。 云搜索服务是否支持开源组件对应的API？ 天翼云云搜索产品完全兼容Elasticsearch和OpenSearch的开源API。 我们实现了与Elasticsearch/OpenSearch相同的接口和功能，确保用户可以使用现有的API和工具与我们的服务进行交互。无论是进行索引管理、查询、聚合分析还是使用全文搜索功能，用户都可以使用标准的Elasticsearch/OpenSearch REST API来执行这些操作。 云搜索服务实例的管理员密码忘记了怎么办？ 当您想要更换购买时设定的管理员密码，或者忘记了管理员密码时，可以进行重置。 1. 在实例列表中选择需要重置密码的实例，点击实例名称进入详情页，选择安全设置页签。 2. 在页面中的密码重置位置，点击重置密码，填入符合规则的新密码并确认输入。 注意 1. 密码为数字、大写字母、小写字母、特殊符号（@$!% ~?&）的组合。 2. 长度限制为1226位。 3. 不能包含账号信息、连续3个一样字符（大小写字母视为同一字符）、字典序及键盘序。 用户自建Kibana节点如何访问云搜索服务的Elasticsearch集群？ 1. 首先我们需要创建一个天翼云弹性云主机（CTECS）。这里，需要保证以下两点： 1. CTECS和云搜索服务在同一个VPC下。 2. CTECS需要绑定公网弹性IP，并且在安全组配置里，开放5601端口。 2. 获取云搜索服务的内网地址。选中待访问的的Elasticsearch实例，进入“基本信息”，可以在”实例架构图”看到数据节点对应的IP，此IP列表即为Elasticsearch集群的IP地址列表。 3. 在开通的CTECS机器内搭建Kibana服务，并且在config/kibana.yml文件中进行配置修改。下面的配置文件仅作为示例参考： plaintext elasticsearch.username:""//用户名 elasticsearch.password:""//密码 server.port:5601 server.host:"::" server.maxPayloadBytes:1048576 logging.dest:{logpath}//log文件挂载的目录 i18n.locale: zhCN elasticsearch.hosts:[IP1，IP2，IP3...]//Elasticsearch集群的IP地址 自建OpenSearch Dashboards与Kibana方案同理。

本文主要介绍 支持云审计的关键操作 操作场景 云审计服务（Cloud Trace Service，CTS），提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与SWR相关的操作事件，便于日后的查询、审计和回溯。 支持审计的关键操作列表 表云审计服务支持的SWR操作列表 操作名称 资源类型 事件名称 创建组织权限 usernamespaceauth createUserNamespaceAuth 修改组织权限 usernamespaceauth updateUserNamespaceAuth 删除组织权限 usernamespaceauth deleteUserNamespaceAuth 创建版本 version createVersion 修改版本 version updateVersion 删除版本 version deleteVersion 上传镜像包 image uploadImagePackage 创建组织 usernamespace createUserNamespace 删除组织 usernamespace deleteUserNamesapce 创建触发器 trigger createTrigger 修改触发器 trigger updateTrigger 删除触发器 trigger deleteTrigger 创建仓库权限 userrepositoryauth createUserRepositoryAuth 修改仓库权限 userrepositoryauth updateUserRepositoryAuth 删除仓库权限 userrepositoryauth deleteUserRepositoryAuth 创建镜像仓库 imagerepository createImageRepository 修改镜像仓库 imagerepository updateImageRepository 删除镜像仓库 imagerepository deleteImageRepository 删除镜像版本 imagetag deleteImageTag 生成登录指令 dockerlogincmd createDockerConfig 创建共享镜像 imagerepositoryaccessdomain createImageRepositoryAccessDomain 修改共享镜像 imagerepositoryaccessdomain updateImageRepositoryAccessDomain 删除共享镜像 imagerepositoryaccessdomain deleteImageRepositoryAccessDomain

本章节主要介绍云搜索服务（ES）故障排除文档的下载。 点此下载：《云搜索服务故障排除》

配置 说明 命名空间 后端服务注册到注册配置中心的命名空间 请求协议 后端服务的协议，支持HTTP、HTTPS、GRPC、GRPCS、DUBBO，默认为HTTP mTLS 是否打开后端服务双向TLS认证（后端服务对网关证书认证） 证书文件 后端服务开启双向TLS认证后，云原生网关提供的证书文件 私钥文件 后端服务开启双向TLS认证后，云原生网关提供的私钥文件

云搜索服务支持弹性负载均衡（ELB）配置，用户可将天翼云现有ELB实例快速接入云搜索服务，实现访问流量的智能分发与负载均衡。 操作步骤 1. 在弹性负载均衡产品控制台购买负载均衡器，请购买与云搜索实例在同一地域的负载均衡器，虚拟私有云请选择和云搜索实例相同的VPC、子网以确保内网可连接。 2. 创建完成后，在负载均衡控制台设置监听器及后端主机组。 3. 登录云搜索控制台，点击需要绑定的实例名称进入详情页，在安全设置页面开启OpenSearch实例负载均衡设置的开关，在弹出的界面中选择目标弹性负载均衡的和后端主机组。 提交后等待绑定完成，即可通过负载均衡访问OpenSearch实例。

天翼云微服务云应用平台服务等级协议（SLA），详情请参见这里。

天翼云微服务云应用平台服务等级协议（SLA），详情请参见这里。

Web 应用安全防护 配置 Web 应用防火墙 ：云防火墙（原生版）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规 配置云安全组 ：云安全组作为虚拟防火墙，可帮助用户精细控制云主机的出入站流量。用户可根据业务需求，合理配置安全组规则，限制特定端口或 IP 地址的访问权限，进一步增强 Web 应用的网络安全防护能力。 配置DDoS基础防护：DDoS基础防护产品依托天翼云资源池网络，在公网IP遭受DDoS攻击时免费提供一定DDoS防护阈值，尽可能确保IP可用。当IP遭受的DDoS攻击峰值超过IP的DDoS防护阈值时，会对IP所在服务器和网络的稳定性造成影响，根据用户协议，IP会进入封禁状态。更多信息见基础网络防护和网络安全产品推荐 操作审计与追溯 配置云审计：云审计是天翼云提供的云账号在控制台操作记录的查询和投递服务，可用于支撑合规审计、安全分析、操作追踪和问题定位等场景。同时云审计提供事件跟踪功能，支持将操作日志转储至对象存储或者日志审计（原生版）产品实现更长时间的存储，满足等保合规要求。弹性云主机默认已与云审计服务集成，默认开启，您只需要在云审计界面开通云审计即可使用。

本文主要介绍云监控服务 云监控（Cloud Eye Service）是一个开放性的监控平台，即可提供资源的近似实时监控、告警、通知等服务。 通过云审计服务，您可以记录与云监控相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的云监控操作列表 操作名称 资源类型 事件名称 创建告警规则 alarmrule createAlarmRule 删除告警规则 alarmrule deleteAlarmRule 停用告警规则 alarmrule disableAlarmRule 启用告警规则 alarmrule enableAlarmRule 修改告警规则 alarmrule updateAlarmRule 告警规则状态变为alarm alarmrule alarmStatusChangeToAlarm 告警规则状态变为ok alarmrule alarmStatusChangeToOk 告警规则状态变为insufficientData alarmrule alarmStatusChangeToInsufficientData

本章节将为您介绍如何续订云硬盘。 操作场景 随云主机一起订购的系统盘、数据盘不支持单独续订，需要与云主机一起续订，详细操作请参考弹性云主机续费说明。 本文主要介绍在云硬盘控制台单独订购的包年/包月的数据盘如何续订。 约束与限制 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。已退订或释放的资源不可续订。 若资源到期后续订，续订周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 已到期资源不支持设置/修改自动续订。 您可以随时手动续订包年/包月且未退订、未释放的资源，延长相关资源的使用时间。 “已挂载”状态下的云硬盘到期后，状态变为“已到期”，该云硬盘不会自动从云主机卸载。 若续订成功，云硬盘状态从“已到期”变为“已挂载”。 若不续订，该云硬盘将继续占用云主机资源。建议您续订云硬盘以继续正常使用资源或卸载云硬盘以释放云主机资源。

关联云产品 云容器引擎、容器镜像服务、应用性能监控、云日志服务 关系型数据库Mysql版、分布式缓存Redis版 NAT网关、弹性负载均衡、云硬盘、弹性文件、对象存储 业务效果 通过将客户小程序、SaaS平台前后端服务迁移使用天翼云容器，通过Kubernetes集群部署和扩展业务，最终项目资源利用率提升30%，版本发布周期缩短近20%，集群运行0故障，支撑业务快速发展。

介绍分布式消息服务Kafka使用MirrorMaker跨集群数据同步。 应用场景 使用MirrorMaker进行跨集群数据同步是Kafka中常见的场景之一。MirrorMaker是Kafka提供的一个工具，用于将一个Kafka集群中的消息复制到另一个Kafka集群，实现跨数据中心、跨地域或跨集群的数据同步。 以下是一些常见的使用MirrorMaker进行跨集群数据同步的场景： 1. 备份和灾备： MirrorMaker可用于将生产环境中的消息复制到备份集群，以实现数据的备份和灾备。当主集群发生故障或不可用时，可以切换到备份集群，确保数据的可用性和连续性。 2. 数据复制和分发： 如果有多个数据中心或地理位置，可以使用MirrorMaker将消息从一个集群复制到另一个集群，实现数据的复制和分发。这样可以将数据从一个地区或数据中心传输到另一个地区或数据中心，以满足不同地区或数据中心的业务需求。 3. 跨云厂商数据同步： 当使用多个云厂商的Kafka服务时，MirrorMaker可以用于将消息从一个云厂商的Kafka集群复制到另一个云厂商的Kafka集群，实现跨云厂商的数据同步和迁移。 4. 数据聚合和分析： 当需要将多个Kafka集群中的消息聚合到一个集群中进行分析时，可以使用MirrorMaker将消息从多个集群复制到目标集群，以实现数据的聚合和分析。 需要注意的是，MirrorMaker在进行数据同步时，会引入一定的延迟，并且在网络传输和资源消耗方面会有一定的开销。因此，在使用MirrorMaker进行跨集群数据同步时，需要根据实际情况进行配置和调优，以满足业务需求和性能要求。

本章节介绍天翼云边缘重保服务的常见通用类问题。 如何获得天翼云边缘重保服务？ 请联系专属客户经理提交服务开通申请，或者拨打天翼云客服电话4008109889进行订购，天翼云将根据您在天翼云上的产品及业务类型进行审核确认。 天翼云边缘重保服务具体针对哪些产品提供服务？ 天翼云边缘重保服务目前覆盖的产品范围为：CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云，不同服务版本可支持产品差异详见服务版本差异一览表。 天翼云边缘重保服务目前提供哪些服务版本？不同服务版本之间有何差异？ 天翼云边缘重保服务提供体验版、基础护航服务、尊享护航服务、安全护航服务、尊享安全护航服务五个服务版本，不同版本差异详见服务版本差异一览表。 若某场需要重保的活动中，同时使用了边缘安全加速平台和视频直播产品，是否需要重复订购不同版本的边缘重保服务？ 无需重复订购， 每一个服务版本均可支持其所覆盖范围中的一款或多款产品，请根据实际保障方式和需要保障的产品列表按需选择对应版本进行订购即可。

本文主要介绍查看已归档事件 操作场景 云审计服务会定时将跟踪到的事件以事件文件的形式按周期保存至OBS桶。事件文件是按照服务、转储周期两个维度生成的事件集，系统会根据当前负载情况调整每个事件文件包含的事件数。 本节介绍如何在OBS中通过下载事件文件查看已保存至OBS桶的历史操作记录。 前提条件 已在云审计服务中成功配置追踪器。配置方法请参见《云审计服务用户指南》的“配置追踪器”章节。 操作步骤 1.登录管理控制台。 2.选择“服务列表 > 管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 3.单击左侧导航树的“追踪器”，进入追踪器信息页面。 4.单击“转储OBS桶”下的指定的OBS桶名称，页面跳转到OBS管理控制台中对应OBS桶的对象管理界面。 5.在OBS桶中选择需要查看的历史事件，按照事件文件存储路径选择“OBS桶名 > CloudTraces > 地区标示 > 时间标示：年 > 时间标示：月 > 时间标示：日 > 服务类型目录” ，文件将下载到浏览器默认下载路径，如需要将事件文件保存到自定义路径下，请单击右侧的“下载为”按键。 事件文件存储路径： OBS 桶名 >CloudTraces> 地区标示 > 时间标示：年 > 时间标示：月 > 时间标示：日 > 服务类型目录 例如：User Define>CloudTraces>region>2016>5>19>ECS 事件文件命名格式： 操作事件文件前缀 CloudTrace 区域标示 日志文件上传至 OBS 的时间标示：年 月 日 T 时 分 秒 Z 系统随机生成字符 .json.gz 例如： File Prefix CloudTraceregion20160530T162056Z21d36ced8c8af71e.json.gz 说明 OBS桶名和事件前缀为用户设置，其余参数均为系统自动生成。 关于云审计服务事件结构的关键字段详解，请参见“事件结构”和“事件样例”。 6.文件下载到本地后，通过解压可以得到与压缩包同名的json文件，下载解压后的json文件如图21所示，通过记事本等txt文档编辑软件即可查看到保存的追踪日志信息。 图下载解压后的json文件

使用前准备 1. 已在对应区域（资源池）开通云日志服务，详情参考开通云日志服务。 2. 目标端云主机所在的vpc需要创建vpc终端节点，以打通与日志服务的网络连接，操作详情参考接入概述。 3. 使用SDK接入云日志服务，需要设置正确的 AccessKey、SecretKey 和服务端 Endpoint。在调用前SDK，你需要已知以下参数： 云日志服务访问地址。详情请查看访问地址（Endpoint）。 key凭证：accessKey和secretKey 。详情请查看如何获取访问密钥（AK/SK）。 日志项目编码：logProject，在使用SDK前，需要确保您有至少一个已经存在的日志项目。 日志单元编码：logUnit，在使用SDK前，需要确保日志项目中有至少一个已经存在的日志单元。 待上传的日志：logItem，在使用SDK前，需要确保日志已按照特定格式组织。 参数说明 参数 类型 描述 是否必须 endpoint string 访问地址，详情请查看访问地址（Endpoint） 是 accessKey string AccessKey，简称AK 是 secretKey string SecretKey ，简称SK 是 logProject string 日志项目编码 是 logUnit string 日志单元编码 是 logItem LogItem 待上传的日志 是

托管检测与响应服务（原生版）企业版购买须知、服务内容及操作步骤说明。 购买须知 企业版提供安全托管服务，当前针对开通云等保专区、安全专区及托管服务组件的用户提供，请您提前配置相关安全产品。 购买服务后，我们的安全服务工程师将会联系您，并在整个服务周期内与您保持沟通。 一个账号仅支持购买一个企业版实例。 服务内容 1. 持续监控安全产品（WAF、云防火墙、主机安全）事件。 2. 提供漏洞感知，监控云主机、应用、服务脆弱性。 3. 提供威胁情报，持续检测恶意IP、恶意域名、APT攻击等。 4. 提供应急响应支撑，应对突发安全事件。 5. 提供安全评估，评估云上资产整体安全状况，提供评估报告。 6. 不支持退订操作。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击企业版“立即购买”按钮，跳转到企业版订购页面。 3. 在“产品配置”模块配置“托管云主机数”，根据客户需要托管的云主机台数，选择对应的数量。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

本文为您介绍云审计服务的计费模式。 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准。

本文主要介绍镜像服务的约束与限制。 本章节介绍镜像服务产品以下功能的使用约束、配额约束： 创建私有镜像 共享镜像 复制镜像 导出镜像 删除镜像 创建云主机 标签 表 创建镜像使用限制 限制项 限制说明 单个区域最多创建的私有镜像数量 10个 如果您需要创建更多的私有镜像，可以通过提交工单的方式，申请扩大配额上限。 详情请参见“如何扩大镜像的配额”。 通过弹性云主机创建系统盘镜像 · 弹性云主机的状态必须为“关机”或“运行中”。 · 系统盘磁盘容量需≤1TB。系统盘容量大于1TB时，不支持创建系统盘镜像，此时请选择创建整机镜像。 通过外部镜像文件创建系统盘镜像 外部镜像文件的限制请参见“准备镜像文件（Windows）”或“准备镜像文件（Linux）”。 通过ISO文件创建系统盘镜像 · 需要将ISO文件注册为ISO镜像，再创建临时云主机，安装操作系统和相关驱动后再创建为系统盘镜像。 · 使用ISO文件注册的ISO镜像不支持复制、导出和加密。 通过云主机的数据盘创建数据盘镜像 · 弹性云主机的状态必须为“关机”或“运行中”。 · 每个数据盘镜像只可以用来创建一个数据盘，不能重复选择。 · 数据盘磁盘容量需≤1TB。数据盘容量大于1TB时，不支持创建数据盘镜像，此时请选择创建整机镜像。 通过外部镜像文件创建系统盘镜像 创建时配置的数据盘容量范围：40~2048GB，且不能小于镜像文件的数据盘大小。 通过云主机、云主机备份，或云服务备份创建整机镜像 · 弹性云主机的状态必须为“关机”或“运行中”。 · 每个云主机备份或云服务备份只能创建一个整机镜像。 · 整机镜像不能在区域内复制。 · 仅通过云服务备份，或云主机（未通过旧版CSBS服务生成备份）创建的整机镜像才能共享给其他租户。 · 整机镜像不支持如下操作：不允许导出、区域内复制。 通过加密弹性云主机或者通过外部镜像文件创建加密镜像 · 加密镜像不能共享给其他租户。 · 不能修改加密镜像使用的密钥。 表 共享镜像使用限制 限制项 限制说明 单个镜像最多可以共享给多少个租户 系统盘镜像和数据盘镜像：128个整机镜像：10个 每个租户可以获得的共享镜像最大数量 没有限制 私有镜像状态 必须为“正常” 共享镜像 · 加密镜像以及通过云主机备份创建的整机镜像均不能共享。 · 镜像共享的范围只能在区域内。 · 使用共享镜像创建云主机时有区域限制。 例如，区域A中的共享镜像只能在区域A创建云主机。 表 复制镜像使用限制 限制项 限制说明 复制的镜像大小上限 128GB 单租户并发复制数 少于5个 私有镜像状态 必须为“正常” 区域内复制镜像 · 整机镜像不支持区域内复制。 · 使用ISO文件创建的私有镜像不支持区域内复制。 表 导出镜像使用限制 限制项 限制说明 导出的镜像大小上限 当前只支持导出镜像到标准存储桶中，镜像大小不能超过1TB。 大于128GB的镜像仅支持快速导出。 支持导出的镜像格式 VMDK、VHD、QCOW2、ZVHD和ZVHD2 私有镜像状态 必须为“正常” 导出镜像 · 加密镜像无法使用快速导出功能。 · 仅支持导出到存储类别为标准存储的桶，并且桶和镜像在同一区域。 · 如下类型的私有镜像不允许导出： o 整机镜像 o ISO镜像 o Windows、SUSE、Red Hat、Ubuntu、Oracle Linux公共镜像所创建的私有镜像 · 镜像大小必须小于1TB；大于128GB的镜像仅支持快速导出。 表 其他镜像使用限制 场景 限制项 限制说明 创建云主机 通过系统盘镜像批量创建云主机的并发数 建议不超过100个 标签 单个私有镜像最多可添加标签的数量 10个

介绍云审计服务支持的性能测试服务操作列表。 云审计服务（Cloud Trace Service，简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与消息通知服务相关的操作事件，便于日后的查询、审计和回溯。 表 支持审计的关键操作列表 servicetype resourcetype resourceid tracename 中文描述 CPTS cptsProject 数据库主键 createCptsProject 创建工程 CPTS cptsProject 数据库主键 deleteCptsProject 删除工程 CPTS cptsProject 数据库主键 modifyCptsProject 修改工程 CPTS cptsTask 数据库主键 createCptsTask 创建任务 CPTS cptsTask 数据库主键 deleteCptsTask 删除任务 CPTS cptsTask 数据库主键 modifyCptsTask 修改任务 CPTS cptsTemp 数据库主键 createCptsTemp 创建事务 CPTS cptsTemp 数据库主键 deleteCptsTemp 删除事务 CPTS cptsTemp 数据库主键 modifyCptsTemp 修改事务 CPTS cptsCase 数据库主键 createCptsCase 创建用例 CPTS cptsCase 数据库主键 deleteCptsCase 删除用例 CPTS cptsCase 数据库主键 modifyCptsCase 修改用例 CPTS cptsVariable 数据库主键 setVaribale 创建变量 CPTS cptsVariable 数据库主键 updateVaribale 修改变量 CPTS cptsVariable 数据库主键 deleteVaribale 删除变量 CPTS cptsTask 数据库主键 tempDebug 任务用例debug CPTS cptsTaskStatus 数据库主键 updateTaskStatus 更新任务状态

云专线接入地址如何规划？ 云专线两端的IP地址不能冲突，而且必须是私有地址，如果用户端网络全部是公有地址，则需要客户端自己做NAT映射。 什么是云专线服务？ 云专线服务是一个建立连接本地数据中心和公有云的专线网络服务。您可以利用云专线建立公有云与数据中心、办公室或主机托管区域的专线连接，降低网络时延，获得比Internet线路更好的网络体验。 云专线使用方式有几种？ 云专线目前仅支持包周期。 云专线如何退订？ 请联系客户经理完成云专线的退订。 故障申告？ 广州4资源池：客户通过96686112或10000+9进行云网融合业务（云专线）咨询或故障申告。 云专线两端子网是否可以相同？ 不可以，需要客户提前规划好云上云下的子网网段，避免重复。 云专线是否可以连接跨账号的VPC？ 不可以，云专线目前仅支持访问本账号下的VPC。 云专线是否可以连接多个资源池的VPC？ 当前云专线只能与访问接入资源池内的VPC。

section79c424056eee864f) 用户需开通服务，才能使用服务器安全卫士（原生版）对云主机进行防护。 步骤二：接入防护 查看防护状态 购买防护配额 切换版本 开通服务后，需要在服务器列表页面确认云主机资产的防护状态，确保所有待防护的云主机已开启防护，且Agent状态为“在线”，防护状态为“防护中”。 购买企业版配额并切换防护版本为企业版后，才能正常使用企业版对云主机进行防护。 步骤三：防护配置 配置入侵检测：配置异常登录白名单 开启定时漏洞扫描 配置基线检测策略 开启弱口令定时检测 开启定时扫描病毒 当云主机接入防护后，用户还需要根据业务需求进行防护配置。 其中入侵检测已默认开启防护，无特殊需求，无需再手动配置。避免异常登录误报，建议将常用登录IP、登录用户名、登录地区、登录时间等添加到白名单。 步骤四：通知设置 [开启告警通知](

本节介绍云日志服务的产品服务协议。 天翼云云日志服务产品服务协议

本节介绍了GeminiDB Redis的恢复备份到新实例操作说明。 操作场景 GeminiDB Redis支持使用已有的备份，将备份数据恢复到新实例，您可根据业务需要进行恢复。 操作步骤 1.登录云数据库 GeminiDB控制台。 2.恢复备份。 方法一 1.在“实例管理”页面，单击目标实例的名称。 2.在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“恢复”。 方法二 在“备份管理”页面，单击目标备份对应操作列中的“恢复”。 1.在“恢复实例”弹出框中确认当前实例信息及恢复方式，单击“确定”，跳转到“恢复到新数据库实例”的服务选型页面。 新实例的接口类型和版本，默认与原实例相同，不可修改。 数据库密码需重新设置。 其他参数，用户可修改，具体请参见各引擎快速入门中购买创建实例的内容。 2.查看恢复结果。 为用户重新创建一个和该备份数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 创建或恢复完成后，系统会自动执行一次全量备份。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。

本节介绍了权限管理的相关内容。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望拥有云数据库 GeminiDB的使用权限，但是不希望拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制对云数据库 GeminiDB资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了云数据库 GeminiDB的所有系统权限。 表 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 服务所有权限。 系统策略 无 GeminiDB ReadOnlyAccess 服务只读权限。 系统策略 无 下表列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 标签列表 √ √ 标签操作 √ x 下表列出了常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 标签操作 nosql:instance:tag 支持： IAM项目(Project) 标签列表 nosql:tag:list 支持： IAM项目(Project)

本章节主要介绍微服务云应用平台日志中心相关能力 概述 微服务云应用平台日志中心的能力是通过集成云日志服务和云容器引擎插件的能力，从而满足用户管理应用实例日志要求。 日志中心使用 用户使用微服务云应用平台日志中心之前，首先需要确保已开通日志服务终端节点、已订购开通云日志服务和在部署应用实例的云容器引擎集群下安装了日志采集插件，三者缺一不可。 如若没有配置日志收集管理应用高级配置，请先开启日志采集开关，然后再配置日志采集规则。 创建日志采集规则流程： 1. 日志项目，选择目标日志项目，如无即新建 2. 日志单元，选择目标日志单元，如无即新建 3. 采集日志类型，会为标准输出和文件日志 4. 采集路径，文件日志类型一定要填写采集路径，此路径为绝对路径，支持采集文件或文件夹 最后点击确定即可。 注意 如若新增的应用实例版本，请使用已配置日志采集规则的应用实例版本重新部署应用实例后，方可使用日志中心能力。 进入日志中心页面，可以编辑日志采集规则或查看日志内容。 编辑：点击前往云日志服务日志接入对应采集规则编辑页 查看日志：点击前往云日志服务对应应用实例的日志页面

本文将为您介绍如何在云主机中使用服务委托策略。当前华东1地区已开通此功能。通过服务委托功能,您可以将自己的操作权限委托其他云服务,云服务可以根据权限代替您进行日常资源管理工作 前提条件 已登录弹性云主机控制台。 已有可使用的委托策略。 操作步骤 新建云主机时绑定委托策略 1. 登录管理控制台。 2. 在控制台顶部菜单左侧，选择区域。 3. 点击计算弹性云主机进入云主机控制台。 4. 单击右上角创建云主机进入云主机购买页面。 5. 在步骤3“高级配置“页面”，选择“委托策略名称”，此条策略后续将生效于该台云主机。 6. 云主机创建其他信息填写完毕，点击“确认配置”以及“立刻购买”。 注意 委托策略的创建需要管理员登录IAM控制台进行创建。具体操作文档请参考统一身份认证创建委托。 云主机创建后绑定委托策略 1. 点击指定弹性云主机的名称，系统跳转至该弹性云主机详情页面。 2. 详情页面中点击委托策略后方的编辑标识，为当前云主机绑定新委托策略。 注意 若您的云主机上已绑定委托策略，绑定新策略后，原策略将失效，新策略将生效于当前云主机。