配置分类 配置项 配置建议 计算配置 计费模式 选择“按需计费”。 计算配置 节点类型 选择“弹性云服务器虚拟机”。 计算配置 节点规格 选择2核8G及以上规格即可。 计算配置 容器引擎 选择“Docker”。 计算配置 操作系统 选择“公共镜像 > CentOS 7.6” 计算配置 登录方式 选择“密码”。 计算配置 密码 输入自定义密码。 网络配置 节点IP 选择“随机分配”。 网络配置 弹性公网IP 选择“暂不使用”。

自启动 大多数木马通常通过创建自启动服务、定时任务、预加载动态库、Run注册表键或者开启启动文件夹的方式入侵主机，自启动管理会收集所有云主机自启动的汇总信息，包含自启动的名称、类型和覆盖主机数。您可以根据统计并展示的自启动信息，快速发现主机中可疑的自启动。 您可以查看自启动项对应的服务器名称、路径、文件HASH和最后修改时间，及时发现并清除木马程序问题。

本小节介绍筛选未安装Agent的主机 1、录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在安装与配置页面，选择“Agent管理 > Agent不在线”页签，查看未安装Agent的云服务器。

针对病毒处理，安全专区自动检测主流木马病毒、勒索软件、挖矿病毒、DDoS木马并自动隔离查杀，通过提供扫描、告警、深度查杀及病毒修复能力，可有效预防病毒入侵服务器。 趋势分析图默认展示当前一周的数据，通过右上角可筛选不同的时间段查看趋势图。 展示病毒漏洞详细信息以及漏洞发生IP地址。

本节主要介绍云存储网关的运维安装。 运维人员会跟用户进行联系，协助进行云存储网关的安装、配置和使用。 注意 在安装过程中，需要和运维人员一起评估现有业务模型、服务器配置、客户端网络，以及要连接的对象存储资源池的网络情况。如果出现客户端写入速度过快的场景，容易造成缓存盘写满，不能持续提供服务。可以使用客户端连接限速功能，确保数据可以持续写入。

专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。

故障切换步骤介绍 操作场景 当生产中心可用区内的云主机发生重大故障时，可执行故障切换操作，拉起容灾云主机，以确保业务正常运行。 前提条件 受保护服务器处于“实时复制启动中”、“实时复制中”、“实时复制停止中”、“实时复制停止”状态。 受保护服务器无容灾演练。 故障切换时会创建切换云主机。由于创建云主机，需要在灾备VPC中申请IP，请保证灾备VPC的IP充足，否则可能导致流程失败。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障切换＞故障切换”，进入故障切换页面。 7. 在故障切换页面，根据界面提示，配置故障切换参数。 注意 请根据容灾中心实际业务情况选择容灾云主机的规格，如果容灾云主机规格比生产中心降配太多，切换后可能导致业务无法流畅运行。 参数 说明 容灾云主机名称 请输入切换后的云主机名称。长度为2～15 个字符，只能由英文、数字和特殊字符""组成，且只能以英文开头，以英文或数字结尾。 规格 请选择切换后的云主机规格。 注意：请根据容灾中心实际业务情况选择容灾云主机的规格，如果容灾云主机规格比生产中心降配太多，切换后可能导致业务无法流畅运行。 IP地址 请选择IP地址类型。 两种IP地址类型区别如下： DHCP：动态分配云主机的IP地址。 手动指定：用户可以手动输入指定云主机的IP地址。 磁盘类型 请选择磁盘类型。 恢复点 请选择恢复时间点。默认为当前时间，也可以单击“编辑”选择其他恢复点。 弹性IP 请选择弹性IP。 8. 单击“启动”，进行故障切换，此时切换进度提示“故障切换中”。 9. 故障切换完成后，您可以单击云主机的状态栏下的链接，检查数据和应用。 检查后发现当前时间点应用运行正常，单击“更多”>“确认故障切换”。确认故障切换后，系统会自动清理复影云主机和所有恢复点。 检查后发现当前时间点应用运行不正常，单击“更多”>“更换恢复点”，切换恢复时间点。

字段 类型 说明 topic text 日志主题，固定值。ELB7LayerAccessLog ts text 日志上报时间。时间格式为YYYYMMDDThh:mm:ssZ。由日志sdk自动填充 version text ELB服务日志版本 elbid text ELB 的ID vip text ELB的虚拟IP地址 listenerport double 监听的端口 vpcid double 当前显示为vpc的vni。 listenerid text 监听器ID。 poolid text 处理请求后端主机组的ID。 clientip text 请求的客户端IP。 clientport double 请求的客户端端口。 timeiso8601 text 负载均衡器日志打印时间。 host text 匹配的转发策略域名。 httphost text 负载均衡收到的请求报文中HTTP的host header的内容。 httpreferer text 负载均衡收到的请求报文中HTTP的referer header的内容。 httpuseragent text 负载均衡收到的请求报文中HTTP的useragent header的内容。 httpxforwardedfor text 负载均衡收到的请求报文中xforwardedfor的内容。 requestlength double 请求报文的长度，包括startline、HTTP头报文和HTTP body。 requestmethod text 请求报文的方法。 requesturi text 负载均衡收到的请求报文的URI。 scheme text 请求的协议类型：HTTP/HTTPS/HTTP2/Websocket/Websocket Secure。 serverprotocol text 负载均衡收到的HTTP协议的版本，例如HTTP/1.0或HTTP/1.1。 sslhandshaketime double ssl握手耗时。 sslsessionreused text sslsession复用，'r'表示复用成功，'.'表示复用失败。''表示非HTTPS协议。 sslcipher text 建立SSL连接使用的密码，例如ECDHERSAAES128GCMSHA256等。 sslprotocol text 建立SSL连接使用的协议，例如TLSv1.2。 bodybytessent double 发送给客户端的HTTP Body的字节数。 requesttime double 负载均衡收到第一个请求报文的时间到返回应答之间的时间间隔，单位：秒。 status double 负载均衡应答报文的状态。CLB 返回给客户端的状态码。 tcpinfortt double 客户端TCP连接时间，单位：微秒。 upstreamaddr text 后端服务器的IP地址和端口。 upstreamresponsetime double 从负载均衡向后端服务器建立连接开始到接收完数据然后关闭连接为止的时间，单位：秒。 upstreamstatus text 负载均衡收到的后端服务器的响应状态码。 upstreamconnecttime double 和 RS 建立 TCP 连接所花费时间：从开始 CONNECT RS 到开始发送 HTTP 请求的时间。单位：秒。 upstreamheadertime double 从 RS 接收完 HTTP 头部所花费时间：从开始 CONNECT RS 到从 RS 接收完 HTTP 应答头部的时间。单位：秒 connectionrequests double 连接上的请求个数。 connectionid double 连接id。

本章节主要介绍翼MapReduce的配置SNMP北向参数。 操作场景 该任务指导用户采用SNMP协议把MRS Manager的告警、监控数据集成到网管平台。 前提条件 对接服务器对应的弹性云服务器需要和MRS集群的Master节点在相同的VPC，且Master节点可以访问对接服务器的IP地址和指定端口。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“配置”区域“监控和告警配置”下，单击“SNMP配置”。 “SNMP服务”的开关默认为关闭，单击启用SNMP服务。 2. 设置如下表所示的对接参数。 详见下表：对接参数 参数名称 参数说明 版本 SNMP协议版本号，取值范围： l v2c：低版本，安全性较低 l v3：高版本，安全性比v2c高 推荐使用v3版本。 本地端口 本地端口，默认值“20000”，取值范围“1025”到“65535”。 读团体名 该参数仅在设置“版本”为v2c时存在，用于设置只读团体名。 写团体名 该参数仅在设置“版本”为v2c时存在，用于设置可写团体名。 安全用户名 该参数仅在设置“版本”为v3时存在，用于设置协议安全用户名。 认证协议 该参数仅在设置“版本”为v3时存在，用于设置认证协议，推荐选择SHA。 认证密码 该参数仅在设置“版本”为v3时存在，用于设置认证密钥。 确认认证密码 该参数仅在设置“版本”为v3时存在，用于确认认证密钥。 加密协议 该参数仅在设置“版本”为v3时存在，用于设置加密协议，推荐选择AES256。 加密密码 该参数仅在设置“版本”为v3时存在，用于设置加密密钥。 确认加密密码 该参数仅在设置“版本”为v3时存在，用于确认加密密钥。 “认证密码”和“加密密码”密码长度为8到16位，至少需要包含大写字母、小写字母、数字、特殊字符中的3种类型字符。两个密码不能相同。两个密码不可和安全用户名或安全用户名的逆序字符相同。 使用SNMP协议从安全方面考虑，需要定期修改“认证密码”和“加密密码”密码。 使用SNMP v3版本时，安全用户在5分钟之内连续鉴权失败5次将被锁定，5分钟后自动解锁。 3. 单击“Trap目标”下的“添加Trap目标”，在弹出的“添加Trap目标”对话框中填写以下参数： 目标标识：Trap目标标识，一般指接收Trap的网管或主机标识。长度限制1～255字节，一般由字母或数字组成。 目标IP：目标IP。可使用A、B、C类IP地址，要求可与管理节点的管理平面IP地址互通。 目标端口：接收Trap的端口，要求与对端保持一致，取值范围“0”～“65535”。 Trap团体名：该参数仅在设置Version为v2c时存在，用于设置主动上报团体名。 单击“确定”，设置完成，退出“添加Trap目标”对话框。 4. 单击“确定”，设置完成。

源端配置： 数据源类型 选定为PostgreSQL，可迁移版本范围内的PostgreSQL数据库 服务器IP 待迁移源端数据库的连接IP 端口号 待迁移源端数据库的端口 用户名 用于连接待迁移源端数据库的用户名称 密码 用于连接待迁移源端数据库的用户的密码 数据库 要迁移的源端数据库名 模式 源端实际用于迁出数据的模式（schema）名称

相关操作 除了通过IIS实现重定向外，您还可以通过代码实现301重定向，以下为在PHP和Apache下实现301重定向的代码示例： PHP下的301重定向。 Apache服务器实现301重定向。 WWW域名的重定向。参考代码如下： deny from all RewriteEngine on RewriteCond %{HTTPHOST}^(.com)(:80)?[NC] RewriteRule ^(.) order deny,allow

参数 描述 S STATUS 或 status STATUS 告警状态： Unresolved：告警中。 Resolved：已解除。 Expired：已失效。 默认值为Unresolved。 o DIERECTORY 或 out DIERECTORY 导出告警的存放的目录，为绝对路径。默认存放在被请求服务器的HBlock安装目录下，以alarmStatus yyyyMMddHHmmss .csv命名，其中： Status：告警状态。 yyyyMMddHHmmss ：文件生成的时间。

配置会话在开启后，当CPU和内存使用率超过服务器配置时，将自动禁止新增会话。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“会话限制配置”模块的右侧，单击“编辑”，进入“会话限制配置”页面。 4、开启会话限制的开关状态为默认开启，并设置CPU和内存的使用率，当达到设置的使用率，将停止新增会话。 5、单击“确定”，完成配置。

本节主要介绍用户场景 作为一款线下云迁移工具，云迁移工具RDA主要应用于以下几种场景： 本地数据中心迁移上云 本地数据中心物理机或者虚拟机快速迁移到天翼云弹性云主机上，从而帮助客户轻松把服务器上的应用和数据迁移到天翼云。 云上资源迁移 不同天翼云账号，不同资源池下的主机资源整合到一个天翼云账号下；其他公有云主机迁移到天翼云ECS。

广州12345政府服务热线，业务的核心TeleDB服务器部署内网，敏感数据部署在这个核心TeleDB实例中，并涉及到130个部门，8千余个分类，4万余条知识点。该系统要求系统具备高安全性，目前存储了6000+加密表，同时要求通信链路加密，数据脱敏，访问白名单，TeleDB的多级安全策略在该业务系统有了完美的落地。该系统的核心系统结构如下：

本章节介绍天翼云关系型数据库如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接Microsoft SQL Server实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入 方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

本章节为您介绍新增数据库代理。 数据库加密机网关对数据库的加解密是通过解析改写数据库二进制协议实现的。 本章节将指导您如何将您的数据库服务纳入数据加密网关管理之下。 新增数据库代理 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“数据库管理 > 数据库列表”，进入“数据库列表”页面。 3. 单击页面左上角的“新增”按钮，进入“新增代理实例”页面。 4. 填写数据库实例代理相关内容，填写完成后单击“提交”，即可完成数据库代理配置。 参数 参数说明 数据库类型 根据您自身的业务需求选择数据库类型，具体支持选择的数据库类型请参考使用限制。 数据库版本 选择数据库版本号，具体支持的数据库版本请参考使用限制。 实例IP 填写物理数据库的IP地址，请确保填写的IP地址准确。 实例端口 填写物理数据库连接端口，请确保填写的实例端口准确。 代理端口 自定义代理数据库的服务端口。 是否大小写敏感 选择是否敏感，请根据物理数据库实际情况选择。 实例类型 选择“单节点”或者“主从”，请确认您的数据库部署方式正确选择。 单节点：单节点是指是指数据库软件安装在一台服务器上。 主从：主从是指数据库软件安装在两台或多台服务器上。 当您选择“主从”时，需要填写关联实例的IP、端口和代理端口信息。 描述 对新建的代理服务进行描述。 模式名包裹符号 与物理数据库保持一致。 字段值包裹符号 与物理数据库保持一致。 密文数据格式 根据您自身的业务需求选择“base64”或“hex”。 通配符 自定义通配符。

本章节为您介绍网关服务管理的基本操作。 网关服务管理是用于维护网关服务，提供开通网关服务、删除、配置、查询详情等功能。 新增网关服务 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，在页面左上角单击“开通网关服务”。 3. 在弹出的“新增网关服务”的对话框中配置网关服务参数。 参数 参数说明 服务名称 自定义新增的网关服务名称，完成创建后不可修改。 服务类型 选择新增的服务类型。 服务端口 选择新增的服务端口，完成创建后不可修改。 端口选择范围为：1844418454。 4. 确认填写的内容后，单击“确定”完成新增网关服务。 配置网关服务 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，选择需要配置的网关服务，单击操作列的“配置”。 3. 在弹出的“配置网关服务”窗口中，配置相关参数。 参数 参数说明 服务名称 不可修改，服务名称是您创建时填写的。 服务类型 选择服务类型。 服务端口 不可修改。 SSL类型 选择需要配置的SSL类型。支持单向认证、双向认证。 协议类型 选择网关服务的协议类型。支持国际协议、国密协议、国际+国密协议。 SSL协议 选择网关服务的SSL协议，目前支持选择：SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3、HTTP2。 算法类型 选择“默认算法”或“自定义算法”。 SSL算法 选择自定义算法时可选择，根据您业务的需求选择SSL算法。 负载策略 选择网关服务的负载策略。 服务器组 选择服务器组。 证书 选择网关服务的证书。 4. 配置完成后，单击“确定”即可完成配置。

description：VPC的描述信息，用于说明此VPC的用途 description "example vpc" } 创建子网 resource块：定义要创建的子网资源 "ctyunsubnet"是资源类型，表示要创建一个天翼云子网 "subnettest"是资源名称，用于在Terraform配置中引用此子网 resource "ctyunsubnet" "subnettest" { vpcid：指定此子网所属的VPC ID 这里通过引用之前创建的VPC资源的ID属性，建立了资源之间的依赖关系 Terraform会自动先创建VPC，再创建子网 vpcid ctyunvpc.vpctest.id name：子网的名称，在控制台上显示的名称 name "rosexamplesubnet${local.randomstring}" cidr：子网的IP地址范围，必须在所属VPC的CIDR范围内 这里设置为192.168.1.0/24，表示此子网有256个IP地址(实际可用253个) cidr "192.168.1.0/24" description：子网的描述信息 description "example subnet" dns：为此子网中的云资源指定DNS服务器地址 这里是一个列表，可以配置多个DNS服务器 dns [ "114.114.114.114", 国内常用的公共DNS "8.8.8.8" Google的公共DNS ] } 步骤2：基于示例模板创建资源栈 模板是创建资源栈的配置说明。示例模板已创建成功，您可基于示例模板创建资源栈。更多信息可查看 创建资源栈 1. 示例模板创建成功，您可以在模板详情中查看具体信息 2. 点击 创建资源栈，基于当前示例模板创建资源栈 3. 在创建页面，选择示例模板，点击 创建执行计划

您可以通过包年包月计费提前预留资源,同时享受比按量计费更大的价格优惠。 适用场景 包年包月是一种计费模式，适用于多种场景，尤其是需要稳定资源并长期使用的情况： 1.长期稳定使用 常驻服务： 适用于需要长期稳定运行的服务，如网站托管、数据库服务器、企业应用等。 2.成本可控和节约 成本控制： 对于需要长期使用的资源，包年包月可以降低长期成本，相比按需付费更为经济。 预算规划： 有助于企业预算规划，避免长期高额的变动费用，提供更稳定的费用支出。 3.稳定资源需求 资源保障： 对于有稳定资源需求的业务，如特定配置的服务器、存储或计算资源，包年包月提供稳定的资源保障。 约束与限制 包年包月的计费模式虽然有其优势，但也存在一些约束和限制，这些限制可能因服务提供商和具体服务套餐而异： 1.长期绑定 合约期限： 通常需要按照一定期限购买，可能是一年或更长时间的合约，无法随时更改或取消。 费用一次性支付： 一次性支付包年包月费用，无法根据实际使用情况灵活调整费用。 2.非弹性和限制 固定资源： 购买后资源固定，无法根据实际需求灵活调整，可能导致资源过剩或不足。 限制升级： 一些服务可能在包年包月期间限制资源的升级，只能在合同到期后进行。 3.限制服务范围 部分服务限制： 某些服务或特性可能无法包含在包年包月套餐内，需要额外付费或选择其他计费模式。 4.资费约束 费用固定性： 购买后的费用是固定的，无法根据实际使用情况进行变动或调整。

2、目标库用户权限检查 失败原因 处理建议 :: 连接目标库的用户需要具备admin库的dbAdminAnyDatabase权限、readWriteAnyDatabase权限、clusterMonitor权限。 连接到DDS/MongoDB副本集目标数据库，使用超级用户或具有适当权限的用户执行以下命令，参考： db.grantRolesToUser("用户名",[{role:"dbAdminAnyDatabase",db:"admin"}, {role:"readWriteAnyDatabase",db:"admin"},{role:"clusterMonitor",db:"admin"}]) 连接目标库的用户需要具备admin库的dbAdminAnyDatabase权限，admin库的readWriteAnyDatabase权限、clusterManager权限。 连接到mongos目标数据库，使用超级用户或具有适当权限的用户执行以下命令，参考： db.grantRolesToUser("用户名",[{role:"dbAdminAnyDatabase",db:"admin"},{role:"readWriteAnyDatabase",db:"admin"},{role:"clusterManager",db:"admin"}]) 网络情况检查 1、源库连通性检查 失败原因 处理建议 :: 源数据库账号或密码不正确。 输入正确的数据库账号和密码后重新执行预检查。 源数据库所在网络或服务器设置了防火墙。 查看数据库所在的网络防火墙是否限制了DTS的IP地址段，如果有，关闭防火墙或者将DTS的IP地址加入防火墙白名单中。 源数据库迁移账号登录权限不足。 登录源库，为迁移账号添加相应的远程访问权限。 网络互通问题。 联系数据库所在机器管理人员和DTS部署机器管理人员排查问题。 2、目标库连通性检查 失败原因 处理建议 :: 目标数据库账号或密码不正确。 输入正确的数据库账号和密码后重新执行预检查。 目标数据库所在网络或服务器设置了防火墙。 查看数据库所在的网络防火墙是否限制了DTS的IP地址段，如果有，关闭防火墙或者将DTS的IP地址加入防火墙白名单中。 目标库迁移账号登录权限不足。 登录目标库，为迁移账号添加相应的远程访问权限。 网络互通问题。 联系数据库所在机器管理人员和DTS部署机器管理人员排查问题。 数据库对象检查

本章节主要介绍物理机的安全。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于设置弹性云主机、物理机服务器、负载均衡、数据库等实例的网络访问控制，是重要的网络安全隔离手段。 您可以通过配置安全组规则，允许安全组内的实例对公网或私网的访问。 安全组是一个逻辑上的分组，您可以将同一区域内具有相同安全保护需求的物理机服务器加入到同一个安全组内。 同一安全组内的BMS实例之间默认内网网络互通，不同安全组内的实例之间默认内网不通。 您可以随时修改安全组的规则，新规则立即生效。 密钥对 密钥对概述 密钥对，也称SSH密钥对，是区别于用户名+密码的远程登录Linux实例的认证方式。通过加密算法生成一对密钥，一个对外界公开，称为公钥，另一个由用户自己保留，称为私钥。公钥和私钥组成密钥对。密钥对的工作原理是使用公钥加密某个数据（例如一个密码），用户可以使用私钥解密数据。 天翼云只会存储公钥，您需要存储私钥。拥有您的私钥的任何人都可以解密您的登录信息，因此将您的私钥保存在一个安全的位置非常重要。 密钥对的功能优势 相比用户名+密码认证方式，密钥对在安全性和便捷性上都更具优势，如下表所示。 表 密钥对与密码对比 对比项 密钥对 用户名 + 密码 安全性 安全强度远高于常规用户口令，可以杜绝暴力破解威胁。 可能通过公钥推导出私钥。 安全性较低。 便捷性 便于远程登录大量Linux实例，方便管理。 一次只能登录一台Linux实例，不利于批量维护。

本文帮助您快速熟悉创建不同账户下的对等连接的操作方法。 操作场景 不同VPC之间网络不通，您可以通过对等连接连通同一个区域下的VPC。本节指导用户创建不同账户下的VPC对等连接，即需要连通的两个VPC位于不同账户下。 本文档以在账户A下的VPCA和账户B的VPCB之间创建对等连接为例，实现业务服务器ECSA01和数据库服务器RDSB01之间的通信。 图不同账户下的对等连接组网示例 VPC支持本账户与其他账户内相同区域的VPC创建对等连接。与其他账户内相同区域的VPC创建对等连接时，需要对端账户接受对等连接请求，才能建立有效对等连接。 约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 创建不同账户下的对等连接时： 创建不同账户下的VPC对等连接时，如果在账号A下发起创建对等连接请求，需要账号B接受该请求才可以，如果账号B拒绝，则该对等连接创建失败。 为了确保网络安全，请您不要接受来自未知账号的对等连接申请。 前提条件 已在不同账号下，分别创建两个VPC，并且VPC位于同一个区域。

本文帮助您了解无需访问公网的弹性云主机VPC配置方式。 当弹性云主机无需访问公网时，例如用于搭建网站的数据库节点或服务器节点的弹性服务器无需连接公网，虚拟私有云的配置流程如下图所示。 图 配置网络功能 表 配置流程说明 任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升弹性云主机访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的弹性云主机无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。默认规则是在出方向上的数据报文全部放行， 安全组内的弹性云主机无需添加规则即可互相访问。当默认访问规则可以满足需求时， 则无需单独再为该安全组添加安全组规则。

本文帮助您快速熟悉创建同一账户下的对等连接的操作方法。 操作场景 不同VPC之间网络默认不通，您可以通过对等连接连通同一个区域下的VPC。本节指导用户创建相同账户下的VPC对等连接，即需要连通的两个VPC位于同一个账户下。 以在账户A下，创建VPCA和VPCB之间的对等连接为例，实现业务服务器ECSA01和数据库服务器RDSB01之间的通信。 图相同账户下的对等连接组网示例 创建对等连接首先要向需要建立对等连接的VPC发送请求，您可以和自己账户内相同区域的其他VPC申请对等连接，同账户内同区域的VPC创建对等连接，默认自动接受。 约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 前提条件 已在同一个账号下创建两个VPC，并且VPC位于同一个区域。 步骤一：创建VPC对等连接 1. 登录管理控制台，选择目标区域。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧详情区域单击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”，相关参数如下表所示。

本文主要介绍云日志服务中查询分析Nginx访问日志。 云日志服务LTS支持采集Nginx日志，并进行多维度查询。本文介绍分析网站访问情况、异常和重要场景告警的分析案例。 背景信息 Nginx是一款主流的网站服务器，当您选用Nginx搭建网站时，Nginx日志是运维网站的重要信息。 云日志服务支持通过数据接入向导一站式采集Nginx日志，您还可以使用云日志服务的查询分析语句，分析网站的延时情况，及时调优网站。针对性能问题、服务器错误、流量变化等重要场景，您还可以设置告警，当满足告警条件时给您发送告警信息。 前提条件 根据配置向导，创建对应的日志单元、安装采集器、配置采集规则，生成日志字段。 可以使用正则表达式来分割这个Nginx访问日志行。用户可以输入日志样例预览匹配结果，并为匹配结果进行字段命名 操作步骤 完成上述步骤后，采集器将开始在指定的主机组中进行日志采集，并将采集的日志信息展示在控制台上。用户点击日志检索之后再点击检索分析，便可以在控制台看到检索到的日志信息。在展示页面上，用户可以根据自己的需求选择不同的展示方式。如对日志进行展开，JSON格式化等操作 样例1：查询IP 192.168.1.100 发过来的请求日志。 样例2：查询IP 192.168.1.100 发过来的GET请求日志。

本页介绍了文档数据库服务实例的连接数满导致实例连接失败，如何处理。 问题现象 Python连接文档数据库服务时的错误 ： pymongo.errors.ServerSelectionTimeoutError：表示Python的MongoDB驱动（pymongo）无法选择可用的文档数据库服务服务器，连接超时。 Java连接文档数据库服务时的错误 ： com.mongodb.MongoTimeoutException：表示Java的MongoDB驱动无法在规定的时间内连接到文档数据库服务实例，连接超时。 可能原因 分片集群（Sharded Cluster）： 读写请求过多，超过了分片集群的连接数上限。 部分分片服务器负载过高，无法处理更多的连接请求。 分片键设计不合理，导致部分分片集群负载不均衡。 副本集（Replica Set）： 读写请求过多，超过了副本集的连接数上限。 副本集中的主节点（Primary）负载过高，无法处理更多的连接请求。 单节点实例： 读写请求过多，超过了单节点实例的连接数上限。 处理思路 请及时排查业务侧连接是否有效，优化实例连接，释放不必要的连接。 排查“net.maxIncomingConnections”参数的值及实例规格，修改参数值或对数据库进行规格扩容。 通过文档数据库服务控制台，基本信息页查看监控信息、CPU、内存、磁盘、连接数等指标，通过控制台的告警中心设置告警策略，出现告警时可以提前识别风险。 处理方法 优化实例连接，释放不必要的连接。 您可以通过重启实例来临时释放所有的连接。 您可以查询节点当前连接数，以及当前连接来源，分析各个终端和文档数据库服务实例分别建立了多少连接，并作出相应调整。 javascript db.serverStatus().connections { "current" : 7, "available" : 398, "totalCreated" : 818364 }

操作步骤 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧列表中选择节点管理，单击节点后的“更多 > 移除”。 图 移除节点 您还可以选中多个节点一起移除，如下图所示。 图 一次移除多个节点 步骤 3 在弹出的“移除节点”配置重装操作系统需要的登录信息，单击“是”，等待完成节点移除。 移除节点后，原有节点上的工作负载实例会自动迁移至其他可用节点。 重装操作系统失败如何处理 移除节点重装操作系统可能会失败，如果碰到这种情况，您可以执行如下步骤重装操作系统并清理节点上的CCE组件。 步骤 1 登录服务器的管理控制台，完成操作系统的重装，详细步骤请参见切换操作系统。 步骤 2 登录服务器，执行如下命令完成CCE组件和LVM数据的清理。 将如下脚本写入clean.sh文件。 lsblk vgs noheadings awk '{print $1}' xargs vgremove f pvs noheadings awk '{print $1}' xargs pvremove f lvs noheadings awk '{print $1}' xargs i lvremove f select {} function initdatadisk() { alldevices$(lsblk o KNAME,TYPE grep disk grep v nvme awk '{print $1}' awk '{ print "/dev/"$1}') for device in ${alldevices[@]}; do isRootDisk​(lsblk o KNAME,MOUNTPOINT (lsblk−oKNAME,MOUNTPOINT​device 2>/dev/null grep E '[[:space:]]/$' wc l ) if [[ ${isRootDisk} ! 0 ]]; then continue fi dd if/dev/urandom of${device} bs512 count64 return done exit 1 } initdatadisk lsblk 执行如下命令。 bash clean.sh

此小节介绍数据库审计的产品术语。 Agent 本文中所述的Agent指的是审计代理插件，是安装在数据库系统或者业务系统上的插件，其功能是捕获访问数据库系统的数据包，并将数据包发送至数据库审计。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP是简单网络管理协议（Simple Network Management Protocol）的简称，是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL是结构化查询语言（Structured Query Language）的简称，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。 数据库 数据库（Database）是用于存放数据的仓库，按照一定的数据结构（即数据的组织形式或数据之间的联系）来组织、存储，用户可以通过数据库提供的多种方法来管理数据库中的数据。 规则 本文中所述的规则是指根据一些特征（如客户端、服务端、SQL语句）定义的危险行为（安全规则）及可以信任的行为（过滤规则）。当系统审计到对数据库的操作匹配安全规则时会触发告警，对于匹配过滤规则的行为则不进行审计。

可能影响 DN主节点启动失败，会导致访问到该DN的节点SQL报错，实例部分不可用； CN主节点启动失败，会导致流入该节点的SQL语句报错，流入其它CN主节点的DDL语句报错； CN/DN备节点失败失败，如果开启同步复制，同步复制节点数量不足且未启用退化策略时，会导致DDL、DML语句卡住； CN/DN备节点失败失败，可能会导致无可用备节点，主节点再次异常会导致实例不可用，有数据丢失风险。 解决步骤 1. 通过netstat lntpgrep xxx(端口) 查看哪个进程使用了端口，例如上述报错11006 > netstat lntpgrep 11006 > (Not all processes could be identified, nonowned process info > will not be shown, you would have to be root to see it all.) > tcp 0 0 0.0.0.0:11006 0.0.0.0: LISTEN 5228/postgrestcp6 0 0 :::11006 ::: LISTEN 5228/postgres > > 这里提示ID为5228的进程使用了该端口，该进程也是postgres命令启动的。通过如ps fegrep 5228可以查看进程启动相关进程信息，核实进程具体使用人，确认进程是否在使用，是否可停止等。 2. 根据核实情况，选择停掉该进程（通常对应场景：在服务器上手动部署一些服务，占用了数据库端口），或者更改端口（通常对应场景：实例创建时端口分配错误导致冲突）； 3. 一种特殊情况，该端口被占用的进程是僵尸进程，如果僵尸进程的父进程是1，则需要通过重启服务器来解决； 4. 重新发起节点启动任务，或等待节点自动拉起。 节点目录权限不正确导致启动失败问题

配置示例 配置页面 配置参数说明 参数名 说明 示例 加密key 设定的鉴权密钥，多个以英文逗号分割，最多支持5个。 123 加密元素分隔符 默认使用中划线（），也可自定义。 加密参数 默认为authkey，也可自定义。 authkey 鉴权URL有效时长 判断时间戳是否过期，单位秒。 300 时间戳格式 鉴权时间戳格式，默认为十进制，也可选择十六进制/YYYYMMDDHHMMSS 十进制 示例说明 1. 回源请求URL： 2. 根据上述配置示例，加密key为123，生成鉴权URL时间为：2023年11月1日0时0分0秒，转化为十进制的整型数值为：1698768000。 3. 需加密的字符串：/test/test.mp4169876800000123。 4. 加密字符串：md5hashmd5sum(/test/test.mp4169876800000123)37e38e6af36a27d1870e0dd2bcfbd18c。 5. 鉴权URL： 6. CDN服务器接收到请求后，进行校验： 是否携带鉴权参数authkey。如果没有携带，认为请求非法，返回HTTP 403错误。 根据上述配置示例，鉴权URL有效时长为300s，则判断系统当前时间是否在2023年11月1日0时0分0秒2023年11月1日0时5分0秒之间，是则执行后续鉴权逻辑，超过该区间则返回HTTP 403错误。 时间校验通过后，比对CDN服务器计算出来的md5hash值与访问请求中带的md5hash值是否一致，一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。

本文介绍HLS标准加密改写功能的工作原理及配置说明。 功能介绍 HLS标准加密改写功能，是指CDN节点回源获取到M3U8文件内容后，改写其中的 EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于 EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 背景信息 视频播放场景中通常都很关注防盗链以及版权保护，HLS协议提供了标准加密方案。 HLS协议中用到很多标签，这些标签存在于M3U8索引文件中，其中 EXTXKEY标签用于显示TS文件是否加密。如携带该标签，且值不为空，则代表TS文件有加密，客户端播放器需要对其进行解密后播放。 常见的 EXTXKEY标签格式： EXTXKEY:METHODAES128,URI" 其含义为：使用AES128算法，秘钥通过 整个过程技术原理如下： 1. 客户端播放器向CDN服务器发起形如： 2. CDN服务器对该请求进行token鉴权，鉴权通过后，若无缓存，则向源站获取原始M3U8文件内容，并对其body部分进行改写，在标签中插入如下内容：