天翼云为您提供云主机备份产品服务等级协议,请您点击查看。 天翼云云主机备份服务等级协议（一类节点）

迁移工具说明 工具/命令/服务 特点 说明 DCS控制台数据迁移功能 操作简单，同时支持全量同步+增量同步 数据迁移涉及到SYNC/PSYNC命令，当源Redis实例开放了SYNC/PSYNC命令时， 支持全量同步+增量同步，否则仅支持全量同步 Rediscli Redis自带命令行工具，支持将RDB文件、AOF文件整库导入 RedisShake 在线迁移和离线迁移均支持的一款开源工具。 自行开发迁移脚本 灵活，可根据实际场景进行定制化适配 迁移方案 说明 自建Redis，指的是在天翼云以外的服务器搭建的Redis实例。 在线迁移能力目前为白名单特性，如需要使用该特性，请联系技术支持开通后使用。 迁移场景 工具 方案 迁移说明 自建Redis迁移至DCS DCS控制台数据迁移功能 使用在线迁移自建Redis 不同Region，可开通云间高速，打通网络 同Region不同VPC，可开通对等连接，打通网络 自建Redis迁移至DCS Rediscli 使用Rediscli迁移自建Redis（AOF文件） 自建Redis迁移至DCS Rediscli 使用Rediscli迁移自建Redis（RDB文件） 自建Redis迁移至DCS RedisShake 使用RedisShake工具迁移自建Redis Cluster集群 其他云厂商Redis服务迁移至DCS DCS控制台数据迁移功能 使用在线迁移其他云厂商Redis 其他云厂商Redis服务迁移至DCS RedisShake 使用RedisShake工具离线迁移其他云厂商Redis Cluster集群 DCS实例间迁移 DCS控制台数据迁移功能 低版本Redis迁移至高版本Redis实例。 如网络互通，建议使用在线迁移功能迁移Redis实例数据 如网络不通，建议打通网络后，再使用在线迁移功能迁移Redis实例数据 1、网络连通 不同Region，可开通云间高速，打通网络 同Region不同VPC，可开通对等连接，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例间迁移 DCS控制台数据迁移功能 不同Region的Redis实例迁移，建议打通网络后，再使用在线迁移功能迁移Redis实例数据 1、网络连通 不同Region，可开通云间高速，打通网络 同Region不同VPC，可开通对等连接，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例间迁移 DCS控制台数据迁移功能 不同账号的Redis实例迁移，建议使用在线迁移功能迁移Redis实例数据 1、网络连通 不同Region，可开通云间高速，打通网络 同Region不同VPC，可开通对等连接，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例间迁移 DCS控制台数据迁移功能 同Region不同VPC下的Redis实例迁移，建议打通网络后，再使用在线迁移功能迁移Redis实例 1、网络连通 不同Region，可开通云间高速，打通网络 同Region不同VPC，可开通对等连接，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例迁移下云 DCS控制台数据迁移功能 DCS实例迁移下云 建议打通网络后，使用线迁移功能进行数据迁移

通过本接口向云点播查询已经提交的转码任务状态。 接口功能介绍 用户可通过本接口向云点播查询已经提交的转码任务状态。 接口约束 本接口的单用户QPS限制为20次/秒。超过限制，API调用会被限流，这可能会影响您的业务，请合理调用。 URI POST /task/status 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 taskId 是 String 由提交任务返回的任务id 0001 1a619cdd3f19406794f9663ee246cb7e 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 code 是 Integer 本次请求的结果码 0 message 是 String 错误文本信息，创建成功时，为空字符串。 "" data 是 Object 返回数据 data 表 data 参数 是否必填 参数类型 说明 示例 下级对象 taskId 是 String 任务ID 0001 1a619cdd3f19406794f9663ee246cb7e status 是 String 状态，WORKING/DONE/WARNING/FAIL。 WORKING progress 是 Float 0 ~ 1 之间的浮点数，代表当前任务执行进度。 0.3024 请求示例 请求体body json { "taskId": "0001 1a619cdd3f19406794f9663ee246cb7e" }

操作场景 如果您已经在本地生成了密钥对（例如使用PuTTYgen工具），您可以将公钥导入到控制中心，让系统维护您的公钥文件。这样，您就可以轻松地在创建云主机时选择导入的密钥对进行身份认证。 操作步骤 1. 登录控制中心，单击顶部的，选择“地域”。 2. 单击左侧导航栏“产品服务列表”，选择"计算>弹性云主机"。 3. 在左侧导航栏，单击"SSH密钥对"，进入密钥对列表。 4. 单击右上角的"导入密钥对"按钮，在“文件”选框上传公钥文件。 说明 最多支持1024字符长度（包括1024字符）的公钥导入。 仅支持RSA类型的密钥。 5. 复制内容到“公钥内容”文本框，手动输入公钥名称。 6. 下拉选择“企业项目”。 7. 点击“确定”按钮，完成SSH密钥对导入。 8. 返回SSH密钥对列表页，查看导入的SSH密钥对。

启用流程 1. 开通并进入网关实例的控制台； 2. 左侧导航栏点击基础信息 ； 3. 单击左上角功能设置按钮； 4. 若您还没有开通云日志服务产品，需先点击功能设置面板上的提示链接前往开通； 5. 已开通云日志服务产品，可在功能设置面板上，启用访问日志采集切换到启用，然后单击左下角确认按钮； 6. 页面会自动刷新，也可点击刷新按钮，查看启用情况； 停用流程 1. 左侧导航栏点击基础信息 ； 2. 单击左上角功能设置按钮； 3. 启用访问日志采集切换到不启用，然后单击左下角确认按钮； 4. 页面会自动刷新，也可点击刷新按钮，查看停用情况； 结果验证 1. 单击左侧导航栏 观测分析> 日志中心 ； 2. 页面能进入，则说明开启成功； 3. 模拟发起路由请求，日志中心可查看到相关访问日志；

本文主要介绍标签管理。 云日志服务支持为日志项目与日志单元绑定标签，本文向您介绍如何查看、添加和删除标签。 添加/编辑/删除标签 1. 进入云日志服务控制台日志管理首页。 2. 在日志项目/日志单元列表中，选中目标日志项目/日志单元，点击，并点击“编辑”按钮。 3. 在编辑标签面板，点击“+添加”，输入标签键值，然后点击确定。即可为目标日志项目/日志单元添加标签。 4. 若需要删除标签，则在标签编辑面板点击标签后的删除图标即可。 5. 若需要编辑标签，则在标签编辑面板直接修改对应标签键值对即可。 查看标签 当您为日志项目/日志单元创建绑定标签后，您可以在日志项目或日志单元的列表页中查看绑定的标签信息。

本文为您介绍云迁移服务CMS如何创建迁移组任务。 介绍说明 当您在使用云迁移服务CMS平台需对创建资源进行分组管理时，您需创建迁移组，您可以进入迁移组列表，新建目标迁移组。 图1：迁移组列表 操作步骤 1. 在[迁移组]界面右上角点击【迁移组创建】按钮，新建迁移组。 2. 在[基本信息填写] 界面，您根据提示依次填写基本信息。 3. 选择需要的资源，放入该迁移组。 4. 对选择资源进行确认，点击【资源确认】按钮，完成迁移组创建。

本文为您介绍如何通过云搜索服务控制台进行实例升配 前提条件 1. 实例处于运行中状态，没有其他正在进行的任务。 2. 节点规格暂未到达同类型最高规格上限，仍有可升配的空间。不同类型之间，如通用型与计算型、通用型与通用增强型之间，暂不支持升配。 升级节点规格 1. 登录云搜索控制台，在目标扩容的实例所在行点击“更多>实例变更”。 2. 在页面上选择“升配”。 3. 根据需求，选择对应节点的变更机型，一次仅可修改一种节点类型。 4. 确认变更信息，勾选协议后点击提交；完成支付流程后，返回实例列表页。 5. 当实例状态为“处理中”时，表示实例正在扩容，若实例状态变为“运行中”，则新增完成。 您可通过实例的基础信息页查看实例最新的节点情况，如遇失败，请前往事件管理页面查看原因。

本文为您介绍如何通过云搜索服务控制台进行实例升配 前提条件 1. 实例处于运行中状态，没有其他正在进行的任务。 2. 节点规格暂未到达同类型最高规格上限，仍有可升配的空间。不同类型之间，如通用型与计算型、通用型与通用增强型之间，暂不支持升配。 升级节点规格 1. 登录云搜索控制台，在目标扩容的实例所在行点击“更多>实例变更”。 2. 在页面上选择“升配”。 3. 根据需求，选择对应节点的变更机型，一次仅可修改一种节点类型。 4. 确认变更信息，勾选协议后点击提交；完成支付流程后，返回实例列表页。 5. 当实例状态为“处理中”时，表示实例正在扩容，若实例状态变为“运行中”，则新增完成。 您可通过实例的基础信息页查看实例最新的节点情况，如遇失败，请前往事件管理页面查看原因。

资产发现 云堡垒机支持设置端口和网段扫描并发现资产。 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 资产”，进入“资产”页面。 3.单击“资产发现”按钮，在弹出的对话框中填写需要扫描的目标网段和端口。 4.填写完成后，单击“立即扫描”开始扫描资产。 5.扫描完成后，根据您自身业务需求勾选需要导入至堡垒机的资产，分别填写“资产名称”、“资产类型”和“协议”。 6.选择“重复资产导入策略”，单击“添加至堡垒机资产列表”即可完成资产导入。 后续操作 导出资产：在“资产”页面勾选需要导出的资产，单击“导出”即可导出。 删除资产：在“资产”页面选择需要删除的资产，单击“操作”列的“删除”按钮，在弹出的对话框中单击“确定”即可删除。 注意 删除后的资产无法恢复，请谨慎删除！

本节介绍如何在linux云主机中设置允许或禁止用户/IP通过SSH方式连接。 操作场景 出于对云主机系统安全的考虑，需要对操作系统设置用户/IP是否可以通过SSH方式连接，以深度管理云主机登录权限。 操作方法 您可以选择适用您需求的设置方式，实现限制登录的目的。 1. 通过编辑sshd配置文件，可以对指定用户/用户组或IP的登录权限设置。 1）编辑sshd配置文件中为指定用户设置白名单。在 /etc/ssh/sshdconfig 配置文件中添加AllowUsers配置，以下示例中的实际效果为允许用户user通过192.168.8.8的IP地址进行登录。 AllowUsers user@192.168.8.8 2）编辑sshd配置文件中为指定用户设置黑名单。在 /etc/ssh/sshdconfig 配置文件中添加DenyUsers配置，以下示例中的实际效果为禁止用户invaliduser登录。 DenyUsers invaliduser 2. 通过编辑host.allow和host.deny文件，可以对指定IP或IP地址段的登录权限进行设置。通常这两个文件结合设置。 1）编辑host.allow文件，添加 sshd: IP地址或IP地址段，允许指定IP地址或IP地址段进行登录，示例如下： sshd: 192.168.8.8 2）编辑host.deny文件，添加如下内容，禁止所有IP的SSH登录权限： sshd: ALL 两个文件同时设置规则的时候，hosts.allow文件中的规则优先级高于hosts.deny，结合使用可以有针对性地开放SSH登录权限。 因此以上示例的实际效果，云主机将只允许IP地址为192.168.8.8的用户进行SSH登录，其它的IP都会拒绝。 3. 重启sshd服务，使以上修订内容生效。

本节包含了通用计算增强型C6nl弹性云主机的概述、规格。 概述 C6nl型云主机搭载第二代英特尔® 至强® 可扩展处理器，兼具高性能、高稳定性、低时延、高性价比的特点，适配于PaaS、Ei、数据库、安全、云视频等应用。 类型 CPU基频/睿频 CPU型号 ::: C6nl 3.0GHz/3.5GHz Intel 6248R 规格 表 C6nl型弹性云主机的规格 规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 网卡个数上限 虚拟化类型 :::::::: c6nl.large.2 2 4 4/1 32 2 2 KVM c6nl.xlarge.2 4 8 8/2 64 2 3 KVM c6nl.2xlarge.2 8 16 15/4 120 4 4 KVM c6nl.3xlarge.2 12 24 17/6 160 4 6 KVM c6nl.4xlarge.2 16 32 20/8 224 8 8 KVM c6nl.6xlarge.2 24 48 25/12 320 8 8 KVM c6nl.8xlarge.2 32 64 30/16 440 16 8 KVM c6nl.12xlarge.2 48 96 35/27 750 16 8 KVM c6nl.16xlarge.2 64 128 40/32 800 32 8 KVM c6nl.large.4 2 8 4/1 32 2 2 KVM c6nl.xlarge.4 4 16 8/2 64 2 3 KVM c6nl.2xlarge.4 8 32 15/4 120 4 4 KVM c6nl.3xlarge.4 12 48 17/6 160 4 6 KVM c6nl.4xlarge.4 16 64 20/8 224 8 8 KVM c6nl.6xlarge.4 24 96 25/12 320 8 8 KVM c6nl.8xlarge.4 32 128 30/16 440 16 8 KVM c6nl.12xlarge.4 48 192 35/27 750 16 8 KVM c6nl.16xlarge.4 64 256 40/32 800 32 8 KVM

本节主要介绍IAM策略。 通过IAM，您可以在云帐号中创建IAM用户，并使用策略来控制IAM用户对云资源的访问范围。 IAM策略是作用于云资源的，IAM策略定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。 对于OBS，IAM策略的OBS权限是作用于OBS所有的桶和对象的。如果要授予IAM用户操作OBS资源的权限，则需要向用户所属的用户组授予一个或多个OBS权限集。 IAM策略应用场景 IAM策略主要面向对同帐号下IAM用户授权的场景： 使用策略控制帐号下整个云资源的权限时，使用IAM策略授权。 使用策略控制帐号下OBS所有的桶和对象的权限时，使用IAM策略授权。 策略结构&语法 策略结构包括：Version（策略版本号）和Statement（策略权限语句），其中Statement可以有多个，表示不同的授权项。 参数 说明 :: Version 标识策略的版本号： 1.0：RBAC策略。RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限。 Statement 策略授权语句，描述策略的详细信息，包含Effect（作用）和Action（授权项）。 Effect（作用） 作用包含两种：Allow（允许）和Deny（拒绝），系统预置策略仅包含允许的授权语句。 Action（授权项） 对资源的具体操作权限，支持单个或多个操作权限，支持通配符号，通配符号表示所有。 Resource（资源） 策略所作用的资源，格式为：服务名:region:domainId:资源类型:资源路径，支持通配符号，通配符号表示所有。在JSON视图中，不带Resource表示对所有资源生效。 Resource支持以下字符：09azAZ./，如果Resource中包含不支持的字符，请采用通配符号。 OBS是全局级服务，region填“”；domainId表示资源拥有者的帐号ID，建议填写“”简单地表示所填资源的帐号ID。 示例： − "obs:::bucket:": 表示所有的OBS桶。 − "obs:::object:mybucket/myobject/": 表示桶mybucket中“myobject”目录下的所有对象。 Condition（条件） 使策略生效的特定条件，可选。格式为：条件运算符: {条件名:[条件值1, 条件值2]} 条件包含全局条件名和云服务条件名，OBS支持的条件名与桶策略中的Condition一致，在IAM配置时，需要加上“obs:”。详细的Condition介绍如条件所示。 Condition的条件值仅支持以下字符：,./ azAZ09@

本章节主要介绍授权相关问题中有关使用咨询的问题。 DLI细粒度授权 DLI服务不仅在服务本身有一套完善的权限控制机制，同时还支持通过统一身份认证服务（Identity and Access Management，简称IAM）细粒度鉴权，可以通过在IAM创建策略来管理DLI的权限控制。 通过IAM，您可以在云账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DLI的使用权限，但是不希望他们拥有删除DLI等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DLI，但是不允许删除DLI的权限策略，控制他们对DLI资源的使用范围。 说明 对于新建的用户，需要先登录一次DLI，记录元数据，后续才可正常使用。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 如果云账号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DLI服务的其他功能。 DLI系统权限 如下表DLI系统权限所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

本文介绍了RDSPostgreSQL的实例存储类型详细说明。 数据库是应用系统最为重要基础组件，需频繁进行磁盘读写操作，对存储IO性能要求较高，天翼云提供多种类型的存储IO以满足不同性能要求，您可根据需要选择所需的存储类型。RDSPostgreSQL暂时不支持创建实例后变更存储类型。 存储类型说明 RDSPostgreSQL普通IO、高IO、通用型SSD、超高IO、极速型SSD、XSSD系列（XSSD0、XSSD1、XSSD2）六种存储类型，均为云盘存储，支持弹性扩容，可以满足不同的业务场景，具体如下： 普通IO：适用于数据量不大、查询和更新频率不高的个人测试、学习等场景。 高IO：适用于主流的高性能、高可靠应用场景，例如大型开发测试、Web服务器日志以及企业应用。典型的企业应用有SAP、Microsoft Exchange和Microsoft SharePoint等。 通用型SSD：适用于高吞吐量，低时延的企业级办公场景。 超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景，例如要求高性能计算的关系型数据库。 极速型SSD：适用于需要极低的延迟和高的I/O性能的应用场景，大型OLTP（Online Transaction Processing）数据库等。 XSSD系列（XSSD0、XSSD1、XSSD2）：天翼云X系列云硬盘基于NVMe和RDMA技术，为您提供超高IOPS、超高吞吐量和超低时延的极致云硬盘。关于XSSD系列的性能介绍可参考X系列云硬盘。 注意 XSSD系列仅8代机支持选择该磁盘类型，同时仅部分资源池支持XSSD系列磁盘，后续会逐步加载其他资源池，请以实际订购界面展示为准。 云硬盘规格详情，请您参考云硬盘产品介绍产品规格磁盘类型及性能介绍。

本文说明如何设置应用画面全屏。 为什么应用画面没有全屏展示？ 一般设备常见有两种方式的全屏 1. 屏幕全屏 在设备屏幕范围内全屏，没有浏览器的导航栏等界面，可以通过 发布应用时开启全屏实现 ，也可通过 SDK toggleFullscreen开启 。 2. 网页全屏 界面元素占满浏览器 viewport 范围，全屏后仍可以看到浏览器的地址栏等界面。不同设备对全屏 API 的支持情况不同，若设备已至此全屏API仍然没有将应用画面铺满屏幕，您的应用可能遇到以下情况： 应用画面有黑边 修改显示模式：云渲染默认云实例桌面分辨率为19201080p，若您的应用画面存在黑边，是由于应用窗口与终端显示屏 宽高比不同 ，您可以通过在应用发布时设置画面显示模式改为拉伸、裁剪达到无黑边全屏展示。SDK接入时也可通过landscapeType修改显示模式。 设置运行窗口为全屏模式： 通过设置应用运行窗口Fullscreen Mode为Windowed Fullscreen ，可将应用分辨率按桌面分辨率显示。 应用画面被裁剪 网页端默认实现了裁剪功能(相对中心裁剪)以保证应用无黑边全屏显示, 如果你要使用裁剪功能, 你应该确保你的应用预留了裁剪空间, 例如, 你的应用在被裁剪边没有紧贴边缘的UI, 否则UI也会一并被裁剪. 保证裁剪余量可以通过UMG的锚点定位轻松实现。 应用画面被压缩 窗口大小超出了桌面大小，云实例桌面分辨率为1080p，若您的应用超过此大小则会出现画面被压缩情况，请联系后台人员帮助您修改云实例分辨率。 注意 1.iOS系统限制，不支持网页端开启全屏、画面拉伸模式。 2.修改云实例桌面分辨率功能仅对包周期客户开放。

本章节介绍如何编辑备份策略。 1、登录控制中心； 2、选中【存储】【云硬盘备份】； 3、在云硬盘备份界面，单击【管理备份策略】按钮，进入管理备份策略页面； 说明 只有新建的备份策略可进行编辑，默认备份策略不可编辑或删除。 4、选中需要编辑的备份策略，单击 ； 5、在弹出下拉选项单击【编辑】，弹出“编辑备份策略”对话框； 6、在编辑备份策略页面设置备份策略参数； 7、单击“确定”完成参数设置。

本文介绍如何删除服务组。 服务组是多个端口的集合。通过使用服务组，可帮助您便捷防御高危端口，有效应对需要重复编辑访问规则的场景，并且方便管理这些访问规则。 操作步骤 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“访问控制>服务组管理”，进入“服务组管理”界面。 4.在待删除的服务组所在行的“操作”列，单击“删除”。 5.在弹出的“删除服务组”界面，确认删除的信息无误后，单击“是”，完成删除。 注意 删除服务组后无法恢复，请谨慎操作。

本节介绍态势感知相关概念。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 云服务基线 云服务基线是应用在云场景下，帮助用户检测云产品上存在的风险配置项，并提供修复建议。 攻击类型 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Redis实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通redis实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Redis服务端口（6379）。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的Redis实例将无法被同VPC内的云主机访问。 应对措施 如需VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Redis的服务端口(如：6379）。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Redis服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本文介绍CCE如何接入云日志服务 云日志服务支持云容器引擎（Cloud Container Engine）日志接入。 前提条件 CCE集群已安装ICAgent并且已创建相关节点自定义标识的主机组，若没有安装ICAgent，请到主机管理页面进行升级，详细操作请参考升级ICAgent。 已关闭采集容器标准输出到AOM的开关。 使用限制 支持容器引擎为Docker的CCE集群节点。 支持使用Container作为容器引擎的CCE集群节点（ICAgent 5.12.130及以上版本）。 容器内的日志目录如果已挂载到主机目录上，将无法通过配置容器文件路径方式采集到LTS，只能通过配置节点文件路径方式采集到LTS。 Docker存储驱动限制：容器文件日志采集目前仅支持overlay2存储驱动，不支持devicemapper作为存储驱动的节点。查看存储驱动类型，请使用如下命令： docker info grep "Storage Driver" 如果选择日志流时，采集方式为采集到集中日志流时，则必须已创建CCE集群。 操作步骤 云日志服务接入方式选择CCE接入时，按照如下操作完成接入配置。 1. 登录云日志服务控制台。 2. 在左侧导航栏中，选择“日志接入”，单击“云容器引擎 CCE应用日志”进行CCE接入配置。 3. 或者在左侧导航栏中，选择“日志管理”，单击目标日志流的名称进入日志详情页面，单击右上角，在弹出页面中，选择“采集配置”页面，单击“新建采集配置”，在新打开的页面，选择“云容器引擎 CCE应用日志”进行CCE接入配置。 4. 选择日志流。 有两种采集方式：采集到自定义日志流和采集到集中日志流，您可以根据实际情况选择采集方式。 采集到自定义日志流 1. 单击“CCE集群”后的目标框，在下拉列表中选择具体的集群。 2. 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 3. 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 4. 单击“下一步：检查依赖项”。 采集到集中日志流 集中采集日志到一个固定的日志流。CCE集群默认的采集日志流分别为标准输出/错误stdout{ClusterID}、节点文件hostfile{ClusterID}、K8S事件: event{ClusterID}和容器文件containerfile{ClusterID}。日志流名称会根据ClusterID自动命名，例如：集群ID为Cluster01，则标准输出/错误日志流为stdoutCluster01。 在一个CCE集群下可以创建的采集日志流为标准输出/错误stdout{ClusterID}、节点文件hostfile{ClusterID}、容器文件containerfile{ClusterID}）和K8s事件event{ClusterID}，如果某个日志组下，已创建某种采集日志流，则不会在其他日志组或当前日志组下再创建该日志流。 1. 单击“CCE集群”后的目标框，在下拉列表中选择具体的集群。 2. 默认所属日志组为k8slog集群ID，例如集群ID为c7f3f4a5bcb811eda4ec0255ac100b07，默认所属日志组为k8slogc7f3f4a5bcb811eda4ec0255ac100b07。 说明 1. 当无该日志组时，系统会提示：暂无该日志组，后续操作中，系统将会为您自动创建，创建完成后日志会集中采集到该日志组中。 3. 单击“下一步：检查依赖项”。 5. 检查依赖项。 系统自动检查以下内容检查项是否符合要求： 1. 已安装ICAgent，且版本 > 5.12.130。 2. 存在名称和自定义标识都是k8slog集群ID的主机组。 3. 存在名为k8slog集群ID的日志组。 4. 存在系统推荐的集中采集的日志流。当选择日志流为采集到集中日志流时，会进行该项内容检查。 如果以上内容检查项中，有任意一项不符合要求，需单击“自动修复”按钮进行修复，否则将无法进行下一步操作。 说明 自动修复：一键帮您完成以上内容检查项配置。 重新检查：重新检查依赖项。 当选择日志流为采集到自定义日志流时，“存在名为k8slog集群ID的日志组”的检查项为可选项。您可以通过开启或关闭开关进行控制，确定是否进行该项检查。 6. 选择主机组（可选）。 1. 在主机组列表中选择一个或多个需要采集日志的主机组，若没有所需的主机组，单击列表左上方“新建”，在弹出的新建主机组页面创建新的主机组，具体可参考[创建主机组（自定义标识）](

本文是通过程序代码连接集群实例的Python示例。 本章节主要介绍通过Python语言的MongoDB客户端连接集群实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

本节是通过程序代码连接副本集实例的Python示例。 本章节主要介绍使用Python语言连接副本集实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin&replicaSetreplica" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin&replicaSetreplica" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

本文为您介绍容器安全卫士的产品优势。 容器安全卫士对云原生应用进行多维度检测和防护，产品优势如下： 一键管理便捷 贴合云原生特点，全组件采用容器化部署，实现客户端一键部署、一键卸载。安全能力随业务集群变动自动跟随防御，无需人工干预。 全面完整专业 集成国际、国内、官方等多种漏洞源，基于ClamAV、自研等多种病毒引擎，为您提供专业的安全风险检测。 动静结合智能 采用静态动态双结合的检测方式，自动形成业务行为基线，基于学习引擎，实时发现未知安全风险，实现智能化防护。 全链加密安全 容器安全卫士各个组件交互过程中，全链采用加密传输，敏感数据加密存储，客户端不暴漏任何端口，保护您的同时也注重自身安全。

本节介绍网页防篡改（原生版）的产品功能。 天翼云网页防篡改（原生版）产品通过Agent进行自动化采集，获取被保护的服务器中写防护目录下文件的进程列表，实时识别异常进程和异常文件变动，并对异常变动进行告警和恢复。网页防篡改（原生版）产品主要包括以下4个功能： 篡改监测：针对云主机或物理机防护目录下的异常文件变动进行实时监测。 篡改告警：一旦发生异常的文件添加、修改和删除，立即向客户进行告警。 文件备份：对云主机或物理机防护目录下的目录和文件，系统进行备份。 自动恢复：当防护文件发生异常的增删改问题时，通过备份进行实时恢复，保障客户系统的网站信息不被恶意篡改。

堡垒机v2.0常见问题请参见云堡垒机（原生版）常见问题。

插件卸载 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击“卸载”。

本节介绍了什么是磁盘模式、SCSI磁盘的常见使用场景和建议、使用SCSI类型磁盘需要安装驱动吗。 什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云主机操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。 SCSI磁盘的常见使用场景和建议 SCSI磁盘：物理机仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云主机组的反亲和性一同使用，SCSI锁才会生效，关于更多共享盘的内容，请参见共享云硬盘及使用方法。

防护对象 WAF支持的防护对象：域名或IP，云上或云下的Web业务。