迁移后目的端与源端相比有哪些变化？ 使用主机迁移服务，在迁移配置阶段会涉及部分参数的修改，参数的修改内容与操作系统、对应文件、参数设置等强相关。随着版本迭代和系统更新，迁移配置所修改的参数内容也会有所变动，本节表格内所列参数仅提供参考，最终解释权归主机迁移服务所有。 表 迁移后目的端与源端保持一致的参数（Windows、Linux通用） 参数 迁移后的服务器 备注 OS类型 和源端服务器的OS一样 目的端服务器原来的OS被覆盖。 IP 目的端服务器的IP 迁移后公网IP会变。如果目的端服务器所在VPC下的网段包含源端内网IP时，内网IP可以设置为不变。 用户名 和源端服务器的用户名一样 密码（证书） 用户名、证书、密码都与源端服务器保持一致 数据 数据与源端保持一致，包括文件、应用、配置 表 Windows服务器迁移后变化的参数以及修改的配置项 参数/配置项 迁移后的服务器 备注 主机名 系统可能会更新主机名 和主机名绑定的业务可能会受影响。 MAC地址 目的端服务器的MAC MAC地址属于网卡固有属性，创建目的端服务器时候已经确定。 DNS 可能变化（概率大）： DNS配置文件参数与源端一致。 目的端子网的DNS配置会影响目的端主机的DNS解析。 迁移完成后，可以在目的端修改。 EIP 迁移后绑定的目的端EIP地址 磁盘、分区大小 配置目的端时所选的目的端服务器磁盘和分区大小 如果选择了磁盘分区调整，迁移后的磁盘和分区大小取决于配置目的端时候设置的大小。 主机SID 使用目的端服务器的SID Windows的SID是硬件属性，每个机器的都不一致，无法迁移。因此源端服务器加入域管理的，迁移到目的端服务器后会失效，需要重新加。 注册表、BCD启动项 根据需要修改 为适配天翼云，主机迁移服务会对注册表和启动项进行适配修改。 动态分区 重新设置动态分区 针对BIOS启动的Windows服务器，系统会重新设置动态分区。 驱动文件目录 拷贝源端驱动文件到目的端驱动程序目录下 表 Linux服务器迁移后变化的参数以及修改的配置项 参数/配置项 迁移后的服务器 备注 主机名 系统可能会更新主机名 和主机名绑定的业务可能会受影响。 MAC地址 目的端服务器的MAC MAC地址属于网卡固有属性，创建目的端服务器时候已经确定。 DNS 可能变化（概率大）： DNS配置文件参数与源端一致。 目的端子网的DNS配置会影响目的端主机的DNS解析。 迁移完成后，可以在目的端修改。 EIP 迁移后绑定的目的端EIP地址 磁盘、分区大小 配置目的端时所选的目的端服务器磁盘和分区大小 如果选择了磁盘分区调整，迁移后的磁盘和分区大小取决于配置目的端时候设置的大小。 磁盘名称 根据目的端虚拟化类型决定 一般不会影响业务。 磁盘、分区的UUID和PARTUUID 目的端会重新生成UUID和PARTUUID 只针对Linux文件级迁移。 Grub配置文件 会根据目的端启动盘或者boot分区的UUID修改grub相关启动配置文件 BIOS启动的服务器需要安装grub，会修改 /boot/grub目录下grub配置文件。 UEFI启动的服务器会修改 /boot/efi/和 /boot/grub目录下grub配置文件的UUID。 启动的initrd或initramfs 注入相关驱动 注入驱动保证目的端服务器在天翼云能正常启动。 X11的xorg.conf配置文件 目的端会更新 /etc/X11/xorg.conf配置文件 该文件影响图形化界面和显示相关参数。原文件备份为 /etc/X11/xorg.conf.bak。 第三方工具 目的端会删除以下工具： /etc/rc.d/rc5.d/vmwaretools SElinux安全配置 会生成 /.autorelabel文件，目的是重新标记 只针对Redhat/Centos/Oracle系统。 密码重置插件 目的端 /home目录会安装天翼云ECS密码重置插件CloudRestPwdAgent 如果不想安装该插件，可以在迁移前修改配置文件 gproperty.cfg中的installPwdAgent参数为false。 服务器时间 会修改ntp配置文件 /etc/ntp.conf 添加目的端所在Region所在的标准时间。 Motd 会修改 /etc/motd文件为空 默认不设置开机启动logo。 Fstab启动项 根据新目的端UUID和挂载情况重新生成fstab。 目的端旧的 /etc/fstab启动记录会被注释。 Cloudinit 目的端会禁用Cloudinit /etc/cloud/cloud.cfg文件会被删除。 网卡配置 删除 /etc/udev/rules.d/目录下部分网络相关配置文件，根据不同系统备份并修改DHCP 修改网卡配置文件。 比如： Redhat/Centos/SUSE/Euleros等系统会修改 ifcfgeth文件。 Debian/Ubuntu系统会修改yaml文件。 谷歌服务 迁移后目的端会默认禁用谷歌服务 由于原平台服务无法在天翼云运行，可能导致启动失败或者服务异常。 您可以源端主机执行如下命令，检测开机自启动程序中是否存在google相关字符串。 (find /etc/systemd/system/ name 'google' type l grep 'service') & (find /etc/init/ name 'google' grep 'conf') 2>/dev/null

本小节介绍数据库安全背景信息。 背景信息说明 使用限制 购买数据库安全审计实例后，您需要将待审计的数据库添加到数据库安全审计实例中，并在数据库对应的数据库端或应用端安装Agent。当待审计的数据库连接到数据库安全审计实例后，数据库安全审计才能对待审计的数据库进行审计。 数据库安全审计支持对管理控制台上的云主机、物理机的自建数据库和RDS云数据库进行审计。 数据库安全审计支持数据库类型及版本为： MySQL 5.0、5.1、5.5、5.6、5.7 8.0 Oracle 11g 11.1.0.6.0 、11.2.0.1.0、11.2.0.2.0 12c 12.1.0.2.0 、12.2.0.1.0 PostgreSQL 7.4 8.0、8.1、8.2、8.3、8.4 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0、10.1、10.2、10.3、10.4、10.5 11 快速配置流程 购买数据库安全审计后，您可以参照下图所示的配置流程，快速使用数据库安全审计。操作步骤的详细说明如下表所示。 步骤 配置操作 说明 1 步骤一：添加数据库并开启审计 购买数据库安全审计后，您需要先将待审计的数据库添加到数据库安全审计实例并开启该数据库的审计功能。 2 步骤二：添加Agent 添加的数据库开启审计功能后，您需要为添加的数据库选择Agent的添加方式。数据库安全审计支持对云上的物理机/云主机的自建数据库和RDS云数据库进行审计，请根据您在管理控制台上实际部署的数据库选择Agent添加方式。 3 步骤三：安装Agent 添加Agent后，您需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 4 查看审计总览信息 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。安装Agent后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。

操作系统 概述 适用用户 CentOS Stream CentOS Stream是一个滚动升级的版本，由CentOS官方提供。 适用于希望延续CentOS使用习惯，并希望获得滚动升级的个人或企业。 HCE等其他操作系统 Linux的其他发行版操作系统，不同操作系统在使用习惯和应用兼容性上存在一定差异。 适用于希望使用免费镜像的个人或企业。

参数 说明 取值样例 地域 区域指虚拟私有云所在的物理位置。同一区域内可用分区间内网互通，不同区域间内网不互通。可以在网络控制台右上角切换区域 江苏>南京3 名称 共享带宽的名称 Bandwidth001 付费方式 购买共享带宽时使用的计费模式，分为以下两种：包年包月：按月、年订购并支付费用按量付费：按照共享带宽的使用时长进行计费 包年包月 计费方式 共享带宽的计费方式，目前仅支持按带宽计费 按带宽计费 带宽 共享带宽的大小，单位Mbps，5M起售 15 购买时长 包年包月场景需要选择，购买共享带宽的时长 2个月 自动续订 开启后，会自动动共享带宽续订。 启用 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default

参数 参数说明 集群名称 新建集群的名称。集群名称长度范围为4128个字符，以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾。 企业项目 该参数仅对开通企业项目的企业客户帐号显示，不显示时请忽略。 集群版本 建议选择最新的版本。 集群规模 当前集群可以管理的最大 Node节点 规模。若选择50节点，表示当前集群最多可管理50个Node节点。 高可用 默认选择“是”。 网络模型 默认即可。 虚拟私有云 新建集群所在的虚拟私有云。若没有可选虚拟私有云，单击“新建虚拟私有云”进行创建，完成创建后单击刷新按钮。 控制节点子网 集群Master节点所在的子网。 容器网段 按默认配置即可。 IPv4 服务网段 同一集群下容器互相访问时使用的Service资源的网段。决定了Service资源的上限。 创建后不可修改。

背景说明 授权管理功能可以帮助管理员便捷掌握授权状态、可用功能及额度情况，实现对终端安全管理系统授权的高效监控与分发管理。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【终端管理】； 2. 在左侧导航栏，选择【授权管理】，进入相关页面； 版本功能说明 1. 展示用户当前授权版本、可用授权额度 、总授权额度、授权有效期、授权包含的功能模块，并提供 “获取额度” 跳转功能，用户点击可前往购买授权额度，灵活应对终端设备数量增加或功能扩展需求，确保系统正常使用。 2. 终端管理授权，包括基础版授权和企业版授权。 授权分发管控 授权概览 1、直观呈现当前版本（如基础版）的授权额度、有效期，帮助管理员快速掌握授权资源状态。 授权分发规则 终端授权分发策略卡片 1、支持通过用户、设备类型、IP 范围、设备名称等条件配置授权规则，实现批量、精准的授权分配，满足不同场景的终端管理需求。

本节介绍如何为包周期的态势感知（专业版）订单进行续费。 态势感知（专业版）续费是在原已购买的版本规格的基础上，延长使用时间。续费操作不能变更版本规格，即不能改变“主机配额”。 续费操作仅针对包周期版本。 包周期（包年/包月）模式为预付费方式。当购买的包周期版本到期时，用户需通过续费延长使用期。 按需计费为按小时计费，即开即用。在账户余额充足前提下，不涉及过期情况，即无需续费操作。 手动续费 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“已购资源”，进入已购资源页面后，在待续费态势感知（专业版）版本所在region栏中，单击“续费”，系统跳转至费用中心“续费管理”页面。 4. 在态势感知（专业版）实例所在行，单击“续费”，跳转至“续费”页面。 5. 配置“续费时长”，如选择“一年”。 6. （可选）设置并勾选“统一到期时间”。默认将统一到期时间设置为每月1号23:59:59 GMT+08:00。 7. 单击“去支付”，跳转至支付页面，完成付款。 返回续费管理页面，可查看态势感知（专业版）已续费成功。 开通自动续费 在账户余额充足前提下，已配置“自动续费”后，包周期版本的资产配额、增值包、安全编排将自动续费，延长使用周期。 1. 登录管理控制台。 2. 单击“费用与成本 > 续费管理”，跳转至费用中心“续费管理”页面。 3. 在“手动续费项”页签，选择态势感知（专业版）专业版实例，单击“开通自动续费”，跳转至自动续费配置页面。 4. 选择配置“自动续费周期”和勾选“预设自动续费次数”。 5. 单击“开通”，完成自动续费配置。 6. 返回续费管理页面，在“自动续费项”页签，可查看态势感知（专业版）已开通自动续费。 后续将根据配置，自动续费延长使用期。

接口功能介绍 病毒查杀病毒查杀隔离信任删除操作。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/virus/handle 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 processType 是 String 处理方式 IGNORE忽略 ISOLATE隔离 ADDWHITE加白 DELETE删除 ISOLATE effectScope 否 String 适用于其他主机作用范围 ALL所有主机 OPTIONAL自选主机 ALL agentGuids 否 Array of Strings 适用于其他主机主机的guid列表 effectScopeOPTIONAL时必填 [] eventIds 是 Array of Strings 需要加入白名单的原告警数据条目id [] remark 否 String 备注 testremark 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj String 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200

终端规则 仅混合模式支持终端规则配置方式。 新增终端微隔离规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 微隔离 > 微隔离”，选择“混合模式”。 3. 选择“终端规则”页签，点击“新增规则” 。 4. 进入新增规则 页面，编辑相关信息，点击“确定”即可新增微隔离规则。 详细配置请参见下表： 参数 说明 规则名称 可用于说明规则的用途，最多输入30个字符 协议类型 支持所有、TCP、UDP和ICMP。 规则类型 入站规则：规则仅应用于入站连接，即远程主机访问本机的请求。 出站规则：规则仅应用于出站连接，即本机向外发送的请求。 双向：规则应用于入站及出站两种连接。 本地IP 通常设置为“”，表示所有本地IP。多网卡配置不同规则的情况请填写具体IP。 本地端口 本地主机的端口，例如455，输入多个请用回车间隔，“”表示所有端口。 远程IP 远程主机的IP地址或地址段。 远程端口 远程主机的端口，例如455，输入多个请用回车间隔，“”表示所有端口。 处理方式 “放行”或“阻止”，放行的优先级高于阻止，可用于阻止整段IP的访问再放行个别IP允许访问。 状态 开启后规则生效，关闭后规则不生效。 应用终端 点击“选择终端”，设置本条规则应用的终端。

流量画像通过绘制内网全景流量图，展示内网主机间的通信关系和内网主机对外通信情况，并可在发现威胁后对主机间通信进行一键阻断。 用户可通过流量画像功能查看全景流量图，并支持通过以下方式进行流量筛选： 通过Windows服务器、Linux服务器、PC机三类主机和端口、时间进行过滤查看。 通过自定义模板，可按终端分组、终端标签、终端名称、终端 （且/或）过滤查看。 查看终端通信关系 用户可在此页面查看终端通信详情，包括终端通信关系图、终端间通信详情及终端全部通信详情。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 微隔离 > 流量画像”，进入终端展示页面。 3. 点击需要查看的终端的分组，可在此页面查看对应分组该终端的相关信息，和各个组之间的通信信息。 4. 点击页面右上角的“老版”，即可切换为老版本流量画像的相关功能页面。 5. 点击需要查看的终端，并选择“通信关系列表”页签，进入通信关系列表页面。用户可在此页面查看该终端的所有通信详情，并可根据筛选条件进行通信查询。

本章节主要介绍 ALM12005 OKerberos资源异常 。 告警解释 告警模块对Manager中的Kerberos资源的状态按80秒周期进行监控，当连续6次监控到Kerberos资源异常时，系统产生此告警。 当Kerberos资源恢复时，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12005 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager中的Kerberos资源异常，组件WebUI认证服务不可用，无法对Web上层服务提供安全认证功能，可能引起无法登录FusionInsight Manager和组件的WebUI。 可能原因 Okerberos依赖的OLdap资源异常。 处理步骤 检查Manager中的OKerberos依赖的OLdap资源是否异常 1.以omm用户登录到集群中Manager所在节点主机。 通过登录FusionInsight Manager浮动IP节点，执行sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh脚本来查看当前Manager的双机信息。 2.执行 sh ${BIGDATAHOME}/omserver/OMS/workspace0/ha/module/hacom/script/statusha.sh ，查询当前HA管理的OLdap资源状态是否正常（单机模式下面，OLdap资源为Activenormal状态；双机模式下，OLdap资源在主节点为Activenormal状态，在备节点为Standbynormal状态。）。 是，执行步骤4。 否，执行步骤3。 3.参考ALM12004OLdap资源异常的处理步骤进行处理，OLdap资源状态恢复后，观察当前OKerberos资源状态是否恢复正常。 是，操作结束。 否，执行步骤4。

d）数据定时灾备 1. 备份服务器，1台备份服务器可保护多台生产机内的文件及数据库。 2. CPU：配置16核或以上。内存：32GB或以上。系统盘：200GB。 3. 网络要求：与数据量相关。 4. 数据盘建议是生产数据总量的23倍。 5. 1台备份服务器保护200台客户端。

参数 说明 取值样例 生产站点服务器 选择需要保护的生产站点服务器； 容灾站点云硬盘类型 为生产站点服务器的每块硬盘，根据需求选择对应的容灾站点云硬盘的类型。 说明 创建的容灾站点云硬盘，系统盘为VBD模式，数据盘为SCSI模式。 保护实例名称 设置保护实例的名称。名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 protectedinstance01 保护组 为保护实例选择一个保护组。 首次创建保护实例或者当前的保护组不满足要求时，可以单击“创建保护组”创建新的保护组。 建议将某类业务相关的服务器放到一个保护组进行保护，可以对整个保护组进行开启保护、切换和容灾演练等操作。 protectedgroup01

域名不在天翼云平台管理，如何进行DNS验证？ 需要用户登录到待验证域名的域名服务商的域名解析管理平台（申请证书的域名在哪里注册购买的），在对应域名下按照获取的TXT验证信息，新建添加一条TXT类型的解析记录，具体添加方式以平台具体要求为准，或者修改其他可用验证方式。 DV证书DNS验证失败该如何处理？ 若客户添加解析操作导致的失败，可重新添加解析或更换其他可用验证方式； 若由于域名解析平台规则限制原因导致的失败，需联系域名服务商处理。 哪些场景企业型（OV）和增强型（EV）证书不需要确认函？ 1. 如果您申请证书时填写邮箱企业邮箱与企业域名相关（例如申请的域名为.ctyun.com，企业邮箱为@chinatelecom.com），并且该企业邮箱可以正常收发外部邮件，这种情形下可以不提供确认函。 2. 企业发送工商登记年报的邮箱若可以正常收发外部邮件，使用该邮箱申请证书时可以不提供确认函。 3. 非以上场景申请企业型（OV）和增强型（EV）证书必须提供确认函，建议使用189、126、163、QQ等免费邮箱。

解绑弹性公网IP 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域，单击解绑。 5. 在对话框中，单击是，解绑弹性IP。 您也可以在MySQL > 任务列表页面，查看解绑弹性公网IP任务的执行进度及结果。 注意 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系数据库MySQL版在同一区域的弹性云主机上。 如想要使用公网IP连接数据库，需要将客户端的IP添加至白名单，否则将无法访问。 为数据库代理绑定或解绑弹性公网IP 如果实例开启了数据库代理功能，您可以为数据库代理绑定弹性公网IP，以通过公共网络来使用数据库代理服务，绑定或解绑弹性公网IP的操作步骤如下： 绑定弹性公网IP 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据库代理 ，进入数据库代理页面。 5. 在代理地址 区域，单击绑定弹性IP。 6. 在弹性公网IP列表，选择您的弹性公网IP，单击绑定。 您也可以在MySQL > 任务列表页面，查看绑定弹性公网IP任务的执行进度及结果。

参数 配置说明 名称 用户自定义的普通复制规则名称，便于管理，支持中文和英文字符，区分和识别当前任务的名称。 同步类型 选择“直接同步”或“同步主机同步”。 文件安全属性 选择是否同步文件的权限、用户属性等。此选项默认为不同步。 节点组 选择节点组，方便工作机，灾备机选择容灾节点。 工作机 用户选择需要文件存储定时灾备的工作机，可选择多个工作机。如果已经创建节点组，可选择节点组再进行节点选择；若没有创建节点组，可直接选择节点，系统将自动列出拥有功能许可的所有主机节点，让用户自行选择，可以选择多个机器。 源端目录和文件 选择需要同步的数据所在的共享目录。 如果是Windows OS部署了drnode程序，必须以应用方式运行，否则无法显示Windows OS挂载的共享目录。 业务组 选择此文件存储定时灾备规则所对应的业务组。 映射类型 支持“多对一”和“一对一”。 多对一：所有的工作机的源目录和文件都复制到灾备机的单一目录下。 一对一：工作机的源目录和文件一一对应到灾备目录。 灾备机 如果已经创建节点组，可选择节点组再后选择节点。若没有创建节点组，可直接选择节点。 灾备机数据地址 根据需要选择已新增的数据地址。 灾备机路径 选择灾备机的备份路径，将数据同步的路径。 文件过滤策略 如果用户需要对源端共享目录上的数据类型进行过滤后再复制到灾备端，可以选择“包含”或“排除”策略来过滤，此选项默认是包含。 文件过滤正则表达式 使用正则表达式来对需要复制的文件进行筛选，页面提供基于正则表达式的匹配规则，可以自动同步符合此正则表达式的文件。 目录过滤策略 如果用户需要对源端共享目录上的目录进行过滤后再复制到灾备端，可以选择“包含”或“排除”策略来过滤，此选项默认是包含。 目录过滤正则表达式 使用正则表达式来对需要过滤的目录进行筛选，页面提供基于正则表达式的匹配规则，可以自动同步符合条件目录及其文件。

SDWAN“互联网直连”软件授权费用 规格 计费单位 标准价格 经济版 元/个/月 150 标准版 元/个/月 330 企业版 元/个/月 410 企业增强版 元/个/月 780 SDWAN智能网关 规格 计费单位 标准价格 经济版 元/台/月 150 标准版 元/台/月 330 企业版 元/台/月 410 企业增强版 元/台/月 780 vCPE 元/台/月 0 VPN远程接入客户端 元/个/月 20 说明：天翼云SDWAN智能网关企业版、企业增强版、vCPE型号可支持客户通过SSL VPN客户端远程接入。客户端在20个以内（含20个）可免费开通。 SDWAN增值服务 规格 计费单位 标准价格 5G服务费 元/月 280 LTE服务费 元/月 20 WiFi服务费 元/月 20 SDWAN装维服务 规格 计费单位 标准价格 北上广深（一线城市） 元/月 245 非北上广深（二线城市） 元/月 430 其他（三线城市或乡村等） 元/月 460 北上广深（一线城市） 元/次 2670 非北上广深（二线城市） 元/次 4670 其他（三线城市或乡村等） 元/次 5000 说明：用户如需天翼云安排装维人员，协助上门安装智能网关硬件设备，可订购装维服务。若订购包月服务，天翼云可承诺在服务开通期间，按需提供上门服务。若用户只需要首次开通SDWAN服务时进行上门装维，请联系您的客户经理，或拨打客服电话（4008109889）咨询相关单次装维的开通事宜。

本章节主要介绍翼MapReduce服务查看及导出审计日志。 操作场景 该任务指导用户在MRS Manager查看、导出审计日志工作，用于安全事件中事后追溯、定位问题原因及划分事故责任。 系统记录的日志信息包含： 用户活动信息，如用户登录与注销，系统用户信息变更，系统用户组信息变更等。 用户操作指令信息，如集群的启动、停止，软件升级等。 操作步骤 查看审计日志 1. 在MRS Manager，单击“审计管理”，可直接查看默认的审计日志。 若审计日志的审计内容长度大于256字符，请单击审计日志展开按钮展开审计详情。 默认以“产生时间”列按降序排列，单击 操作类型 、安全级别、产生时间、用户、主机、服务、实例或操作结果可修改排列方式。 支持在“安全级别”筛选相同级别的全部告警。结果包含已清除和未清除的告警。 导出的审计日志文件，包含以下信息列： “编号”：表示MRS Manager已生成的审计日志数量，每增加一条审计日志则编号自动加1。 “操作类型”：表示用户操作的操作类型，分为“告警”、“审计日志”、“备份恢复”、“集群”、“采集日志”、“主机”、“服务”、“多租户”和“用户管理”九种场景，其中“用户管理”仅在启用了Kerberos认证的集群中支持。每个场景中包含不同操作类型，例如“告警”中包含“导出告警”，“集群”中包含“启动集群”，“多租户”包含“增加租户”等。 “安全级别”：表示每条审计日志的安全级别，包含“高危”、“危险”、“一般”和“提示”四种。 “开始时间”：表示用户操作开始的时间，且时间为CET或CEST时间。 “结束时间”：表示用户操作结束的时间，且时间为CET或CEST时间。 “用户IP”：表示用户操作时所使用的IP地址。 “用户”：表示执行操作的用户名。 “主机”：表示用户操作发生在集群的哪个节点。如果操作不涉及节点则不保存信息。 “服务”：表示用户操作发生在集群的哪个服务。如果操作不涉及服务则不保存信息。 “实例”：表示用户操作发生在集群的哪个角色实例。如果操作不涉及角色实例则不保存信息。 “操作结果”：表示用户操作的结果，包含“成功”、“失败”和“未知”。 “内容”：表示用户操作的具体执行信息。 2. 单击“高级搜索”，在审计日志搜索区域中，设置查询条件，单击“搜索”，查看指定类型的审计日志。单击“重置”清除输入的搜索条件。 说明 “开始时间”和“结束时间”表示时间范围的开始时间和结束时间，可以搜索此时间段内产生的告警。

本节介绍分布式缓存产品规格API参数 本节介绍分布式缓存Redis产品订购、扩缩容、增减分片数、增减副本数、变配以及对应询价接口API参数，包括版本类型、实例类型、版本号、主机类型、分片规格、分片数、规格、副本数、磁盘类型等。 具体参数范围可能因为不同资源池配置上线的产品有所差异，可通过 资源池可创建规格 接口查询，具体可参照下表 API参数对照表。 资源池、可用区、虚拟私有云ID、所在子网ID、安全组ID、实例名称、实例密码参数为产品订购必填参数，本节不作详细说明。 基础版API参数 参数说明 参数取值 标准版 Cluster集群 Proxy集群 读写分离 版本类型 version BASIC BASIC BASIC BASIC 实例类型 edition StandardDual DirectCluster ClusterOriginalProxy OriginalMultipleReadLvs 版本号 engineVersion 5.0 6.0 7.0 5.0 6.0 7.0 5.0 6.0 7.0 5.0 6.0 7.0 主机类型 hostType X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 分片规格 shardMemSize 1 2 4 8 16 32 64 1 2 4 8 16 32 64 1 2 4 8 16 32 64 1 2 4 8 16 32 64 分片数 shardCount 不填 3~256 3~256 不填 规格 capacity 不填 不填 不填 不填 副本数 copiesCount 1~10（默认值：2） 1~10（默认值：2） 1~10（默认值：2） 2~10（默认值：2） 磁盘类型 dataDiskType SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO

天翼云企业中心财务托管协议

本文介绍天翼云全站加速媒体存储【即对象存储（融合版）】资源的实例。 全站加速 天翼云全站加速，通过动静分离、多级缓存、智能路由、协议优化、链路优化等多项技术实现静态内容的就近交付及动态内容的快速回源。针对静态内容，基于天翼云遍布全球的网络节点提供内容分发加速服务，通过将网站、视频和应用等文件内容分发至用户附近的节点，解决因跨运营商访问、跨地域访问、服务器带宽及性能瓶颈带来的访问延迟问题，使用户可以快速和安全地获取所需内容。 媒体存储【即对象存储（融合版）】 天翼云媒体存储【即对象存储（融合版）】是天翼云为客户提供的云存储产品，采用分布式存储技术构建，满足海量视频、图片及其它非结构化数据存取、处理及弹性扩展要求；支持块、文件及对象等标准协议接口，对于门户网站、视频网站等，通过对象存储提供的网站托管功能，将整个网站托管在对象存储中，可直接向用户提供网站访问服务，帮助用户节省资本投入及人工维护成本。同时，通过对象存储的高并发支持能力，帮助用户更好地解决网站频繁访问时的页面崩溃问题。 加速分发实践 天翼云全站加速可为媒体存储【即对象存储（融合版）】上存储的静态资源（包括静态脚本、图片、音频、视频等文件）进行全国加速分发。利用天翼云全站加速全国加速节点和全国负载均衡调度的能力，可以将热点资源提前下发至边缘节点，当终端用户发出资源访问/下载请求的时候，可就近获取所需要的资源。降低了源站压力，减少了传输延迟，显著提升用户体验。

固化成熟架构，优化资源成本 支持将已验证的成熟架构固化为标准模板，新业务部署时只需调用模板即可一键复用成熟方案，既避免重复设计的低效，又减少架构设计失误风险。并结合资源变更预测与费用变更预测能力，从资源规划阶段即实现精细化成本管理，帮助企业在保障业务性能的前提下，平均降低云资源成本 20%30%，从源头上助力企业降本增效。

不同磁盘类型支持挂载的云主机规格 普通IO支持挂载的云主机规格 规格分类 规格名称 通用型云主机 通用型s8e 通用型云主机 通用型s8r 通用型云主机 通用型s8 通用型云主机 通用型s7 通用型云主机 通用型s6 通用型云主机 通用型s3 通用型云主机 通用型s2 计算型云主机 计算型c8a 计算型云主机 计算型c8e 计算型云主机 计算型c8 计算型云主机 计算型c7 计算型云主机 计算型c6 计算型云主机 计算型c3 内存型云主机 内存型m8a 内存型云主机 内存型m8e 内存型云主机 内存型m8 内存型云主机 内存型m7 内存型云主机 内存型m6 内存型云主机 内存型m3 内存型云主机 内存型m2 增强型云主机 网络增强计算型c7ne(停售) 经济型云主机 经济型e GPU加速/AI加速云主机 L20计算加速型PN8I GPU加速/AI加速云主机 L40S计算加速型PN8S GPU加速/AI加速云主机 GPU计算加速型PN8R GPU加速/AI加速云主机 A100计算加速型P8A GPU加速/AI加速云主机 A10计算加速型PI7 GPU加速/AI加速云主机 V100计算加速型P2V GPU加速/AI加速云主机 V100S计算加速型P2Vs GPU加速/AI加速云主机 T4计算加速型PI2 GPU加速/AI加速云主机 A10 图像加速基础型G7 GPU加速/AI加速云主机 T4图像加速基础型G6 GPU加速/AI加速云主机 V100图像加速基础型G5 GPU加速/AI加速云主机 V100S图像加速基础型G5S GPU加速/AI加速云主机 昇腾计算加速型PAK3 GPU加速/AI加速云主机 昇腾计算加速型PAK2 GPU加速/AI加速云主机 昇腾计算加速型PAK1 GPU加速/AI加速云主机 寒武纪计算加速型PCH1 国产云主机 鲲鹏网络增强通用型ks2xne 国产云主机 鲲鹏网络增强计算型kc2xne 国产云主机 鲲鹏网络增强内存型km2xne 国产云主机 鲲鹏网络增强通用型ks2ne(停售) 国产云主机 鲲鹏网络增强计算型kc2ne(停售) 国产云主机 鲲鹏网络增强内存型km2ne(停售) 国产云主机 鲲鹏通用型ks2x 国产云主机 鲲鹏计算型kc2x 国产云主机 鲲鹏内存型km2x 国产云主机 鲲鹏通用型ks2(停售) 国产云主机 鲲鹏计算型kc2(停售) 国产云主机 鲲鹏内存型km2(停售) 国产云主机 鲲鹏通用型ks1 国产云主机 鲲鹏计算型kc1 国产云主机 鲲鹏内存型km1 国产云主机 海光网络增强通用型hs3xne 国产云主机 海光网络增强计算型hc3xne 国产云主机 海光网络增强内存型hm3xne 国产云主机 海光网络增强通用型hs3ne(停售) 国产云主机 海光网络增强计算型hc3ne(停售) 国产云主机 海光网络增强内存型hm3ne(停售) 国产云主机 海光通用型hs3x 国产云主机 海光计算型hc3x 国产云主机 海光内存型hm3x 国产云主机 海光通用型hs3(停售) 国产云主机 海光计算型hc3(停售) 国产云主机 海光内存型hm3(停售) 国产云主机 海光通用型hs1 国产云主机 海光计算型hc1 国产云主机 海光内存型hm1 国产云主机 飞腾通用型fs1 国产云主机 飞腾计算型fc1 国产云主机 飞腾内存型fm1 本地盘云主机 超高IO型本地盘ip3云主机 本地盘云主机 超高IO型本地盘ir3云主机 本地盘云主机 磁盘增强型本地盘d3云主机

配置项 描述 项目/应用 选择应用实例所属的应用。 应用实例名称 应用实例的名称，同环境下应用实例名称需唯一。最少为3个字符，以小写字母开头，且只能包含小写英文字母、数字、连字符，并以小写字母或数字结尾。 技术栈类型 根据选择的应用自动展示。 技术栈版本 选择所需版本。 部署单元 勾选应用要发布到的部署单元。 应用实例版本 应用实例版本号，应用实例版本需唯一。 企业项目 选择上报的企业项目。

前提条件 已购买DBSS实例。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“管理与监管 > 云监控服务 CES”。 3. 在左侧导航树栏，选择“告警 > 告警规则”，进入“告警规则”页面。 4. 在页面右上方，单击“创建告警规则”，进入“创建告警规则”界面。 5. 设置告警规则名称，选择告警规则“归属企业项目”。 6. 在“资源类型”下拉列表框中选择“数据库安全服务”，选择“维度”、“监控范围”，设置告警模板、是否发送通知，如图所示。 设置DBSS监控告警规则 7. 单击“立即创建”，在弹出的提示框中，单击“确定”， 告警规则创建成功。 查看监控指标 您可以通过管理控制台，查看DBSS的相关指标，及时了解数据库安全状况，并通过指标设置防护策略。 前提条件 DBSS已对接云监控，即已在云监控页面设置监控告警规则。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“管理与监管 > 云监控服务 CES”。 3. 在左侧导航树栏，选择“云服务监控 > 数据库安全服务”，进入“云服务监控”页面。 4. 在目标DBSS实例所在行的“操作”列中，单击“查看监控指标”，查看对象的指标详情。

如何安装PostgreSQL客户端 PostgreSQL官网提供了针对不同操作系统的不同版本的客户端安装包，用户可以根据自己的需要选择适合自己的客户端并使用。此处以CentOS弹性云主机（ECS）为例，介绍如何在ECS上安装下PostgreSQL 12版本客户端，并访问实例数据库。 1.打开PostgreSQL官网客户端下载页面。 2.选择数据库版本、操作系统、操作系统架构，在弹性云服务器上执行以下命令安装PostgreSQL客户端。 sudo yum install y PostgreSQL官网地址/pub/repos/yum/reporpms/EL7x8664/pgdgredhatrepolatest.noarch.rpm sudo yum install y postgresql12server 3.登录连接实例。 在连接数据库之前，请确保您的ECS和RDSPostgreSQL实例在同一VPC下且配置安全组放通数据库对应端口，确保网络通畅。 在ECS上执行以下命令登录连接实例，其中username是实例的用户名、host是实例的ip、port是实例的连接端口和dbname是实例的数据库。在执行该命令后按照提示输入数据库账号的密码即可登录连接实例。 psql U username h host p port d dbname

本文为您介绍如何通过KMS产品控制台管理应用接入点。 创建应用接入点 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏选择服务所在的区域。 3. 进入“应用接入点”页面，点击 创建应用接入点 。 4. 在弹出的创建对话框，根据页面提示进行配置。 配置项 说明 应用接入点名称 自定义名称。 企业项目 选择所属企业项目。 虚拟私有云 选择当前地域下的虚拟私有云（Virtual Private Cloud，VPC）。 说明 此处对应的是您应用所在的虚拟私有云，即需要连通KMS服务的虚拟私有云。 子网 选择当前VPC内子网。 5. 创建成功后，您可以在应用接入点列表查看对应信息。 配置权限 可以为应用接入点配置允许/访问的密钥和证书。 如果您不需要对应用接入点做访问限制，则不需要设置权限规则，关闭规则开关即可。但为了更高的安全性，通常建议您开启并合理设置。 1. 在应用接入点页面，单击“配置权限”，进入配置权限页面。 或单击“详情”，进入应用接入点详情页，在“权限策略”页签，单击“配置权限策略”，进入配置权限页面。 2. 根据界面提示配置资源权限。 权限规则开关：默认关闭，即允许访问当前账号下的所有资源及操作。若您需要为应用接入点配置特定权限，请开启开关并配置。 允许访问的资源：选择允许应用接入点操作的资源。 效果：仅支持“允许”。 操作：选择允许应用接入点执行的操作。包括写操作和读操作两类。 3. 配置完成后，单击“确认”。

本小节介绍购买渗透测试服务的操作步骤。 操作步骤 1. 在天翼云官网注册账户后，进入天翼云官网首页，在产品按钮中选择“安全及管理> 安全服务 > 渗透测试”，进入渗透测试页面。 2. 点击渗透测试服务的立即订购，按需求填写购买即可。 3. 您可以选择小型、中型、大型三种规格。 规格选择 描述 常见系统 小型渗透 测试对象为1个应用系统。 门户网站（仅包含信息展示页面）为一个应用系统，属于小型系统。 中型渗透 测试对象的复杂度相当于5个应用系统。 办公系统，包含邮箱系统、财务系统、工时系统，为三个应用系统，属于中型系统。 大型渗透 测试对象的复杂度相当于10个应用系统。 网银系统，包含门户网站、个人网银、企业网银、手机银行、微信银行、App用户端，为六个应用系统，属于大型系统。

本文将为您简要介绍边缘安全加速平台安全与加速服务目前支持的安全防护能力。 接入防护前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 DDoS防护 DDoS防护 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 Web防护 []( 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web防护 []( 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web防护 []( 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web防护 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web防护 []( 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫 可以防护Cookie盗用、Cookie篡改、Cookie信息泄露等攻击事件。需要客户端支持携带Cookie，通常小程序、APP、API可能不支持 Web防护 []( 支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web防护 []( 支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web防护 []( 支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未被网站所有者允许的广告内容）进行防护 Web防护 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot防护 设置高频爬虫限制 防止攻击者盗用合法Cookie进行大量请求，限制不同粒度的访问速率 当出现搜索引擎爬取粒度过大导致服务宕机时，可以通过此功能限制爬虫频率 Bot防护 设置爬虫陷阱 在页面里面嵌入不可见链接，当爬虫触碰链接时进行防护 防护网页爬虫 Bot防护 设置人机识别策略 通过cookie挑战、跳转挑战、人机挑战等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持； 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot防护 []( 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot防护 []( 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 []( 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 []( 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 访问控制/限流 设置频率控制 支持控制请求的访问频率 设置客户端IP访问域名首页的次数限制 防护白名单 []( 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 []( 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 设置Bot策略白名单 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 API安全 API自发现 API自发现功能能够帮助用户从访问日志中自动发现API接口的请求，并生成API资产，无需用户手动新增 梳理站点API资产 API安全 业务监测 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 协助用户识别API业务是否运行正常 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险 协助用户识别站点漏洞情况

接口功能介绍 服务器列表删除主机 接口约束 无 URI POST /v1/host/delete 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 agentGuid 是 String 主机agentGuid testagentguid 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"agentGuid": "testagentguid"} 响应示例 {"message": "success", "traceId": "211111111111111111111", "statusCode": "200", "error": "CTCSSCN000000", "returnObj": ""}

权限说明 如果您需要对LTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制LTS资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制其对LTS资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有LTS的使用权限，但是不希望员工拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制其对服务发现规则资源的使用范围。 如果账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用LTS的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见“统一身份认证服务 用户指南的产品简介章节”。 LTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对LTS进行操作。 LTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问LTS时，需要先切换至授权区域。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如[表1]所示，包括了LTS的所有系统权限。 表 1 LTS系统权限 策略名称 描述 策略类别 依赖关系 LTS FullAccess 云日志服务的所有权限，拥有该权限的用户可以操作并使用LTS。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS ReadOnlyAccess 云日志服务的只读权限，拥有该权限的用户仅能查看LTS数据。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS Administrator 云日志服务的管理员权限。 系统角色 Tenant Guest Tenant Administrator [表2]列出了LTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限 操作 LTS FullAccess LTS ReadOnlyAccess LTS Administrator 查询日志组 √ √ √ 创建日志组 √ × √ 修改日志组 √ × √ 删除日志组 √ × √ 查询日志流 √ √ √ 创建日志流 √ × √ 修改日志流 √ × √ 删除日志流 √ × √ 配置主机日志接入 √ × √ 查询过滤器 √ √ √ 禁用过滤器 √ × √ 启用过滤器 √ × √ 删除过滤器 √ × √ 查询告警规则 √ √ √ 创建告警规则 √ × √ 修改告警规则 √ × √ 删除告警规则 √ × √ 查看日志转储 √ √ √ 添加日志转储 √ × √ 修改日志转储 √ × √ 删除日志转储 √ × √ 开启周期性转储 √ × √ 暂停周期性转储 √ × √ 安装ICAgent √ × √ 升级ICAgent √ × √ 卸载ICAgent √ × √ 使用自定义细粒度策略，请使用管理员用户进入统一身份认证（IAM）服务，按需选择云日志服务的细粒度权限进行授权操作。 云日志服务细粒度权限依赖说明请参见[表3]。 表 3 云日志服务细粒度权限依赖说明 权限名称 权限描述 权限依赖 lts:agents:list 查询Agent列表 无 lts:buckets:get 查询指定桶 无 lts:groups:put 修改指定日志组 无 lts:transfers:create 创建日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket lts:groups:get 查询指定日志组 无 lts:transfers:put 修改日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket lts:resourceTags:delete 删除资源标签 无 lts:ecsOsLogPaths:list 查询指定镜像的系统日志路径 无 lts:structConfig:create 创建LTS结构化配置 无 lts:agentsConf:get 查询指定Agent配置 无 lts:logIndex:list 查询日志索引列表 无 lts:transfers:delete 删除日志转储 无 lts:regex:create 提取结构化字段 无 lts:subscriptions:delete 删除指定订阅 无 lts:overviewLogsLast:list 查询用户的最近日志 无 lts:logIndex:get 查询指定日志索引 无 lts:sqlalarmrules:create 添加告警相关 无 lts:agentsConf:create 创建Agent配置 无 lts:sqlalarmrules:get 查询告警相关 无 lts:datasources:batchdelete 批量删除datasource 无 lts:structConfig:put 修改LTS结构化配置 无 lts:groups:list 查询日志组列表 无 lts:sqlalarmrules:delete 删除告警相关 无 lts:transfers:action 启停日志转储 无 lts:datasources:post 创建datasource 无 lts:topics:create 创建日志主题 无 lts:resourceTags:get 查询资源标签 无 lts:filters:put 修改日志过滤器 无 lts:logs:list 查询日志列表 无 lts:subscriptions:create 创建订阅 无 lts:filtersAction:put 启停日志过滤器 无 lts:overviewLogsTopTopic:get 查询日志量最大的主题的数据指标 无 lts:datasources:put 修改datasource 无 lts:structConfig:delete 删除LTS结构化配置 无 lts:logIndex:delete 删除指定日志索引 无 lts:filters:get 查询指定日志过滤器 无 lts:topics:delete 删除指定日志主题 无 lts:agentSupportedOsLogPaths:list 查询Agent支持的操作系统日志的路径 无 lts:topics:put 修改指定日志主题 无 lts:agentHeartbeat:post 上传agent心跳 无 lts:logsByName:upload 根据日志组和日志主题的名字上传日志 无 lts:buckets:list 查询桶列表 无 lts:logIndex:post 创建日志索引 无 lts:logContext:list 查询日志上下文 无 lts:groups:delete 删除指定日志组 无 lts:filters:delete 删除日志过滤器 无 lts:resourceTags:put 更新资源标签 无 lts:structConfig:get 查询LTS结构化配置 无 lts:overviewLogTotal:get 查询当前用户的日志总量 无 lts:subscriptions:put 修改指定订阅 无 lts:subscriptions:list 查询订阅器列表 无 lts:datasources:delete 删除指定datasource 无 lts:transfersStatus:get 查询日志转储状态 无 lts:logIndex:put 修改指定日志索引 无 lts:sqlalarmrules:put 修改告警相关 无 lts:logs:upload 上传日志 无 lts:agentDetails:list 查询agent诊断日志 无 lts:agentsConf:put 修改Agent配置 无 lts:logstreams:list 筛选日志流资源 无 lts:subscriptions:get 查询指定订阅 无 lts:disStreams:list 查询DIS通道 无 lts:groupTopics:put 创建日志组和日志主题 无 lts:resourceInstance:list 查询资源实例 无 lts:transfers:list 查询日志转储列表 无 lts:topics:get 查询指定日志主题 无 lts:agentsConf:delete 删除指定Agent配置 无 lts:agentEcs:list 查询ECS列表 无 lts:indiceLogs:list 搜索日志 无 lts:topics:list 查询日志主题列表 无

源端西南1资源池云搜索服务实例操作 1. Elasticsearch实例绑定公网访问：购买弹性IP，在“安全设置”中绑定Elasticsearch集群，安全组开放9200端口访问，具体操作参见“实例公网访问” 2. 创建索引和数据：通过公网ip+端口，在Elasticsearch中插入数据。 创建索引 cpp curl u admin: X PUT " H 'ContentType: application/json' d' { "mappings": { "properties": { "name": { "type": "text" }, "price": { "type": "float" } } } } ' 插入第一个产品 cpp curl u admin: X POST " H 'ContentType: application/json' d' { "name": "Laptop", "price": 899.99 } ' 插入第二个产品 cpp curl u admin: X POST " H 'ContentType: application/json' d' { "name": "Smartphone", "price": 499.99 } ' 3. 打开备份管理功能 开通ZOS服务，创建存储桶，在云搜索控制台开启备份能力，填写AK/SK。具体开通操作可参考“创建快照备份”。 4. 手动备份索引 点击手动备份，填写备份名称“backuptest”，选择存储桶，备份对象我们选择“索引”，填写索引名称“products”，确认。等待备份完成。 目的端华东1资源池云搜索实例操作 1. 开通云主机：在华东1资源池与云搜索实例同一个VPC下，开通一台云主机。 2. 下载安装ZOS数据迁移工具，根据系统下载如下工具包： unzip ZOSMigrationToollinuxamd64.zip chmod +x zsync 3. 打开备份管理功能 开通ZOS服务，创建存储桶，在云搜索控制台开启备份能力，填写AK/SK。具体操作可参考“创建快照备份”。 4. 配置ZOS数据迁移工具 根据实际情况配置migaration.conf文件。 注意 因为云主机在华东1，西南1需要配置外网地址，而华东1只需要配置内网地址。 如果是跨云迁移，例如友商云迁移到天翼云，需要填写不同的srcType。具体可参考ZOS数据迁移工具页面上的《ZOS数据迁移工具使用手册》.pdf文件。 迁移工具里的AKSK需要填ZOS对象存储的。其值可以从对应的对象存储页面获取。 srcUrl/destUrl的值可以从桶页面的概览页获取。 不同版本的迁移工具，配置项可能略有区别，根据实际情况调整即可。 示例配置如下： cpp { "srcType":"S3", "srcUrl":" "srcAccessKey":"", "srcSecretKey":"", "srcBucket":"bucket3cab", "srcMigrationType": "Bucket", "srcMigrateFolder": [], "srcMigrateFiles": [], "srcMigratePrefix": [], "destUrl":" "destAccessKey":"", "destSecretKey":"", "destBucket":"bucket5daa", "destPrefix":"", "multipartSize(megabytes)": 5, "enableConsistencyCheck":"False", "objectStorageClass":"", "objectAcl":"", "recordFailedObject": "True", "migrationAfterModified": "", "migrationBeforeModified": "", "conflictMode": "IGNORE", "logLevel":"DEBUG", "processNums":12, "threadNums":16, "failRetryMode": "False", "retryFailFiles": [] } 5. 启动迁移 迁移完成后，在华东1的对应的桶中，应该可以看到所有的快照信息。备份数据路径参考esearch/snapshots/manual/Elasticsearch。 6. 恢复索引 创建快照仓库： cpp curl u admin: X PUT "ip:9200/snapshot/remoterestoreonly?pretty" H 'ContentType: application/json' d' { "type": "s3", "settings": { "bucket": "bucket5daa", "basepath": "esearch/snapshots/manual/Elasticsearch", "protocol": "http", "endpoint": " } }' 恢复索引： cpp curl u admin: X POST "ip:9200/snapshot/remoterestoreonly/backuptest/restore?pretty" H 'ContentType: application/json' d' { "indices": "products" }' 注意，这里填写的快照名称要和创建时一致。 返回成功： cpp { "accepted" : true } restore完成后查看恢复情况： cpp curl u admin: X GET "192.168.0.24:9200/products/recovery?pretty" 等待索引恢复成功。 7. 迁移完成后清理 删除迁移用的快照： cpp curl u admin: X DELETE "ip:9200/snapshot/remoterestoreonly/backuptest" 删除迁移用的快照仓库： cpp curl u admin: X DELETE "ip:9200/snapshot/remoterestoreonly" 删除ZOS桶中的数据：路径参考：esearch/snapshots/manual/Elasticsearch。