本文帮助您快速熟悉创建不同账户下的对等连接的操作方法。 操作场景 不同VPC之间网络不通，您可以通过对等连接连通同一个区域下的VPC。本节指导用户创建不同账户下的VPC对等连接，即需要连通的两个VPC位于不同账户下。 本文档以在账户A下的VPCA和账户B的VPCB之间创建对等连接为例，实现业务服务器ECSA01和数据库服务器RDSB01之间的通信。 图不同账户下的对等连接组网示例 VPC支持本账户与其他账户内相同区域的VPC创建对等连接。与其他账户内相同区域的VPC创建对等连接时，需要对端账户接受对等连接请求，才能建立有效对等连接。 约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 创建不同账户下的对等连接时： 创建不同账户下的VPC对等连接时，如果在账号A下发起创建对等连接请求，需要账号B接受该请求才可以，如果账号B拒绝，则该对等连接创建失败。 为了确保网络安全，请您不要接受来自未知账号的对等连接申请。 前提条件 已在不同账号下，分别创建两个VPC，并且VPC位于同一个区域。

本文帮助您了解无需访问公网的弹性云主机VPC配置方式。 当弹性云主机无需访问公网时，例如用于搭建网站的数据库节点或服务器节点的弹性服务器无需连接公网，虚拟私有云的配置流程如下图所示。 图 配置网络功能 表 配置流程说明 任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升弹性云主机访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的弹性云主机无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。默认规则是在出方向上的数据报文全部放行， 安全组内的弹性云主机无需添加规则即可互相访问。当默认访问规则可以满足需求时， 则无需单独再为该安全组添加安全组规则。

本文帮助您快速熟悉创建同一账户下的对等连接的操作方法。 操作场景 不同VPC之间网络默认不通，您可以通过对等连接连通同一个区域下的VPC。本节指导用户创建相同账户下的VPC对等连接，即需要连通的两个VPC位于同一个账户下。 以在账户A下，创建VPCA和VPCB之间的对等连接为例，实现业务服务器ECSA01和数据库服务器RDSB01之间的通信。 图相同账户下的对等连接组网示例 创建对等连接首先要向需要建立对等连接的VPC发送请求，您可以和自己账户内相同区域的其他VPC申请对等连接，同账户内同区域的VPC创建对等连接，默认自动接受。 约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 前提条件 已在同一个账号下创建两个VPC，并且VPC位于同一个区域。 步骤一：创建VPC对等连接 1. 登录管理控制台，选择目标区域。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧详情区域单击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”，相关参数如下表所示。

本文主要介绍云日志服务中查询分析Nginx访问日志。 云日志服务LTS支持采集Nginx日志，并进行多维度查询。本文介绍分析网站访问情况、异常和重要场景告警的分析案例。 背景信息 Nginx是一款主流的网站服务器，当您选用Nginx搭建网站时，Nginx日志是运维网站的重要信息。 云日志服务支持通过数据接入向导一站式采集Nginx日志，您还可以使用云日志服务的查询分析语句，分析网站的延时情况，及时调优网站。针对性能问题、服务器错误、流量变化等重要场景，您还可以设置告警，当满足告警条件时给您发送告警信息。 前提条件 根据配置向导，创建对应的日志单元、安装采集器、配置采集规则，生成日志字段。 可以使用正则表达式来分割这个Nginx访问日志行。用户可以输入日志样例预览匹配结果，并为匹配结果进行字段命名 操作步骤 完成上述步骤后，采集器将开始在指定的主机组中进行日志采集，并将采集的日志信息展示在控制台上。用户点击日志检索之后再点击检索分析，便可以在控制台看到检索到的日志信息。在展示页面上，用户可以根据自己的需求选择不同的展示方式。如对日志进行展开，JSON格式化等操作 样例1：查询IP 192.168.1.100 发过来的请求日志。 样例2：查询IP 192.168.1.100 发过来的GET请求日志。

本页介绍了文档数据库服务实例的连接数满导致实例连接失败，如何处理。 问题现象 Python连接文档数据库服务时的错误 ： pymongo.errors.ServerSelectionTimeoutError：表示Python的MongoDB驱动（pymongo）无法选择可用的文档数据库服务服务器，连接超时。 Java连接文档数据库服务时的错误 ： com.mongodb.MongoTimeoutException：表示Java的MongoDB驱动无法在规定的时间内连接到文档数据库服务实例，连接超时。 可能原因 分片集群（Sharded Cluster）： 读写请求过多，超过了分片集群的连接数上限。 部分分片服务器负载过高，无法处理更多的连接请求。 分片键设计不合理，导致部分分片集群负载不均衡。 副本集（Replica Set）： 读写请求过多，超过了副本集的连接数上限。 副本集中的主节点（Primary）负载过高，无法处理更多的连接请求。 单节点实例： 读写请求过多，超过了单节点实例的连接数上限。 处理思路 请及时排查业务侧连接是否有效，优化实例连接，释放不必要的连接。 排查“net.maxIncomingConnections”参数的值及实例规格，修改参数值或对数据库进行规格扩容。 通过文档数据库服务控制台，基本信息页查看监控信息、CPU、内存、磁盘、连接数等指标，通过控制台的告警中心设置告警策略，出现告警时可以提前识别风险。 处理方法 优化实例连接，释放不必要的连接。 您可以通过重启实例来临时释放所有的连接。 您可以查询节点当前连接数，以及当前连接来源，分析各个终端和文档数据库服务实例分别建立了多少连接，并作出相应调整。 javascript db.serverStatus().connections { "current" : 7, "available" : 398, "totalCreated" : 818364 }

操作步骤 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧列表中选择节点管理，单击节点后的“更多 > 移除”。 图 移除节点 您还可以选中多个节点一起移除，如下图所示。 图 一次移除多个节点 步骤 3 在弹出的“移除节点”配置重装操作系统需要的登录信息，单击“是”，等待完成节点移除。 移除节点后，原有节点上的工作负载实例会自动迁移至其他可用节点。 重装操作系统失败如何处理 移除节点重装操作系统可能会失败，如果碰到这种情况，您可以执行如下步骤重装操作系统并清理节点上的CCE组件。 步骤 1 登录服务器的管理控制台，完成操作系统的重装，详细步骤请参见切换操作系统。 步骤 2 登录服务器，执行如下命令完成CCE组件和LVM数据的清理。 将如下脚本写入clean.sh文件。 lsblk vgs noheadings awk '{print $1}' xargs vgremove f pvs noheadings awk '{print $1}' xargs pvremove f lvs noheadings awk '{print $1}' xargs i lvremove f select {} function initdatadisk() { alldevices$(lsblk o KNAME,TYPE grep disk grep v nvme awk '{print $1}' awk '{ print "/dev/"$1}') for device in ${alldevices[@]}; do isRootDisk​(lsblk o KNAME,MOUNTPOINT (lsblk−oKNAME,MOUNTPOINT​device 2>/dev/null grep E '[[:space:]]/$' wc l ) if [[ ${isRootDisk} ! 0 ]]; then continue fi dd if/dev/urandom of${device} bs512 count64 return done exit 1 } initdatadisk lsblk 执行如下命令。 bash clean.sh

此小节介绍数据库审计的产品术语。 Agent 本文中所述的Agent指的是审计代理插件，是安装在数据库系统或者业务系统上的插件，其功能是捕获访问数据库系统的数据包，并将数据包发送至数据库审计。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP是简单网络管理协议（Simple Network Management Protocol）的简称，是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL是结构化查询语言（Structured Query Language）的简称，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。 数据库 数据库（Database）是用于存放数据的仓库，按照一定的数据结构（即数据的组织形式或数据之间的联系）来组织、存储，用户可以通过数据库提供的多种方法来管理数据库中的数据。 规则 本文中所述的规则是指根据一些特征（如客户端、服务端、SQL语句）定义的危险行为（安全规则）及可以信任的行为（过滤规则）。当系统审计到对数据库的操作匹配安全规则时会触发告警，对于匹配过滤规则的行为则不进行审计。

可能影响 DN主节点启动失败，会导致访问到该DN的节点SQL报错，实例部分不可用； CN主节点启动失败，会导致流入该节点的SQL语句报错，流入其它CN主节点的DDL语句报错； CN/DN备节点失败失败，如果开启同步复制，同步复制节点数量不足且未启用退化策略时，会导致DDL、DML语句卡住； CN/DN备节点失败失败，可能会导致无可用备节点，主节点再次异常会导致实例不可用，有数据丢失风险。 解决步骤 1. 通过netstat lntpgrep xxx(端口) 查看哪个进程使用了端口，例如上述报错11006 > netstat lntpgrep 11006 > (Not all processes could be identified, nonowned process info > will not be shown, you would have to be root to see it all.) > tcp 0 0 0.0.0.0:11006 0.0.0.0: LISTEN 5228/postgrestcp6 0 0 :::11006 ::: LISTEN 5228/postgres > > 这里提示ID为5228的进程使用了该端口，该进程也是postgres命令启动的。通过如ps fegrep 5228可以查看进程启动相关进程信息，核实进程具体使用人，确认进程是否在使用，是否可停止等。 2. 根据核实情况，选择停掉该进程（通常对应场景：在服务器上手动部署一些服务，占用了数据库端口），或者更改端口（通常对应场景：实例创建时端口分配错误导致冲突）； 3. 一种特殊情况，该端口被占用的进程是僵尸进程，如果僵尸进程的父进程是1，则需要通过重启服务器来解决； 4. 重新发起节点启动任务，或等待节点自动拉起。 节点目录权限不正确导致启动失败问题

配置示例 配置页面 配置参数说明 参数名 说明 示例 加密key 设定的鉴权密钥，多个以英文逗号分割，最多支持5个。 123 加密元素分隔符 默认使用中划线（），也可自定义。 加密参数 默认为authkey，也可自定义。 authkey 鉴权URL有效时长 判断时间戳是否过期，单位秒。 300 时间戳格式 鉴权时间戳格式，默认为十进制，也可选择十六进制/YYYYMMDDHHMMSS 十进制 示例说明 1. 回源请求URL： 2. 根据上述配置示例，加密key为123，生成鉴权URL时间为：2023年11月1日0时0分0秒，转化为十进制的整型数值为：1698768000。 3. 需加密的字符串：/test/test.mp4169876800000123。 4. 加密字符串：md5hashmd5sum(/test/test.mp4169876800000123)37e38e6af36a27d1870e0dd2bcfbd18c。 5. 鉴权URL： 6. CDN服务器接收到请求后，进行校验： 是否携带鉴权参数authkey。如果没有携带，认为请求非法，返回HTTP 403错误。 根据上述配置示例，鉴权URL有效时长为300s，则判断系统当前时间是否在2023年11月1日0时0分0秒2023年11月1日0时5分0秒之间，是则执行后续鉴权逻辑，超过该区间则返回HTTP 403错误。 时间校验通过后，比对CDN服务器计算出来的md5hash值与访问请求中带的md5hash值是否一致，一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。

本文介绍HLS标准加密改写功能的工作原理及配置说明。 功能介绍 HLS标准加密改写功能，是指CDN节点回源获取到M3U8文件内容后，改写其中的 EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于 EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 背景信息 视频播放场景中通常都很关注防盗链以及版权保护，HLS协议提供了标准加密方案。 HLS协议中用到很多标签，这些标签存在于M3U8索引文件中，其中 EXTXKEY标签用于显示TS文件是否加密。如携带该标签，且值不为空，则代表TS文件有加密，客户端播放器需要对其进行解密后播放。 常见的 EXTXKEY标签格式： EXTXKEY:METHODAES128,URI" 其含义为：使用AES128算法，秘钥通过 整个过程技术原理如下： 1. 客户端播放器向CDN服务器发起形如： 2. CDN服务器对该请求进行token鉴权，鉴权通过后，若无缓存，则向源站获取原始M3U8文件内容，并对其body部分进行改写，在标签中插入如下内容：

本文汇总了密钥管理操作类常见问题。 如何使用密钥实现数据加解密？ KMS提供了REST（Representational State Transfer）风格API，支持通过HTTPS请求调用。用户可使用提供的API实现加解密运算等操作。下面以使用用户主密钥进行数据加解密为例介绍实现过程： 加密流程（以加密证书为例）： 1.通过KMS控制台或者调用CreateKey接口，创建一个用户主密钥（CMK）； 2.调用KMS服务的Encrypt接口，将明文证书加密为密文证书； 3.将密文证书部署在服务器上； 4.当服务器启动需要使用证书时，调用KMS服务的Decrypt接口将密文证书解密为明文证书。 如何导入外部自带密钥？ 创建密钥后，首先进入密钥详情页获取导入主密钥材料的参数，参数包括加密公钥及导入令牌，用户使用获取到的公钥加密自带密钥材料，然后在控制台密钥详情页，根据页面提示上传自带密钥材料即可。 从KMS获取到的导入令牌与加密密钥材料的公钥具有绑定关系，一个令牌只能为其生成时指定的主密钥导入密钥材料。导入令牌的有效期为24小时，在有效期内可以重复使用，失效以后需要获取新的导入令牌和加密公钥。 如何删除密钥？ KMS不支持立即删除，仅支持计划删除，即用户需设置预删除周期（自定义7~30天），系统会在到期时自动删除密钥，预删除期间密钥仍托管至系统中，但无法被调用实现加解密等相关功能。 设置密钥计划删除后，密钥将不再产生费用。若您在预删除期间发现密钥仍需继续使用，则可以选择取消计划删除，使密钥重新变为可用。

操作场景 如果想要使用内网域名解析功能，您需要先创建内网域名。 前提条件 已经创建VPC。 已经在VPC内创建弹性云主机，并为其规划内网域名“example.com”。 操作步骤 1. 登录管理控制台，选择目标区域。 2. 在服务列表中，选择“网络 > 内网DNS”。 3. 在左侧导航栏，选择“内网域名”。 4. 在页面右上角，单击“创建内网域名”。 5. 在“创建内网域名”页面中，输入域名及相关参数。 6. 参数说明如下表所示。 表创建内网域名参数说明 参数 参数说明 取值样例 域名 域名。 可以自定义，支持创建顶级域，但需符合域名命名规范。 example.com VPC 内网域名要关联的VPC。 邮箱 可选参数。 管理该内网域名的管理员邮箱。建议用户使用保留邮箱“HOSTMASTER@域名”作为此管理员邮箱。 更多关于Email的信息，请参见。 HOSTMASTER@example.com 标签 可选参数。 域名的标识，包括键和值，每个域名可以创建10个标签。 examplekey1 examplevalue1 描述 可选参数。 域名的描述信息。 长度不超过255个字符。 内网域名。 7. 单击“确定”。 8. 返回“内网域名”页面。 创建完成后，您可以在“内网域名”页面查看新创建的域名信息。 9. 在“内网域名”页面的域名列表中，单击域名的名称，进入“解析记录”页面。 在“解析记录”页面，可以通过“添加记录集”为域名配置解析记录。 说明 单击域名名称，可以看到系统已经为您创建了SOA类型和NS类型的记录集。其中： SOA类型的记录集标识了对此域名具有最终解释权的主权威服务器。 NS类型的记录集标识了此域名的权威服务器。

本文介绍推流失败可能的原因和解决方案。 推流失败可能有多种原因导致，以下是一些常见的原因： 推流地址配置错误：请您确保提供并配置正确的推流地址。检查推流地址的协议、域名、端口和路径是否正确。 网络连接问题：推流过程中可能会出现网络连接问题，例如网络延迟、丢包等。请确保您的网络连接稳定，并尝试使用其他网络环境进行重推。 推流设备或软件问题：推流设备或软件可能存在问题，例如摄像头故障、编码设置错误、推流软件版本过旧等。请检查设备和软件的设置，并确保它们能够正常工作。 直播配置问题：直播配置可能存在问题，例如域名解析错误。请检查直播配置、域名解析是否正确，或通过提交工单联系天翼云客服，他们可以帮助您进一步诊断和解决问题。 直播服务异常：直播的流媒体服务器可能存在问题，例如服务器故障、负载过高等。请通过提交工单联系天翼云客服，他们可以帮助您进一步诊断和解决问题。 流在禁推列表中：如果流在禁推列表中，则也会导致推流失败。 鉴权失败：如果配置了鉴权逻辑，请确认是否由于鉴权不通过导致的推流失败。 如果您遇到推流失败的问题，建议您逐步排查以上可能的原因。如果问题依然无法解决，建议通过提交工单联系天翼云客服，他们可以帮助您进一步诊断和解决问题。

本小节介绍数据库安全审计ECS自建数据库最佳实践。 数据库安全审计采用旁路部署模式，通过在数据库或应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库的安全审计。 审计ECS/BMS自建数据库架构图如所示。 场景说明 假设您在的弹性云服务器（Elastic Cloud Server ，以下简称ECS）上自建了一个数据库，数据库的详细信息如表所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，在数据库端安装 Agent ，开启数据库安全审计功能和验证审计结果的操作。 数据库类型 MySQL 数据库版本 5.7 数据库IP地址 192.168.1.5 端口 3306 操作系统 LINUX64 约束与限制 使用数据库安全审计需要关闭数据库的SSL。 待审计数据库与数据库安全审计需要在同一区域。 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。 步骤一：购买数据库安全审计 您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。 为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

本文主要介绍修改DNS与添加安全组（Linux） 操作场景 本章节指导用户为Linux系统的ECS或BMS添加域名解析并添加安全组，防止下载Agent安装包与采集监控数据时出现异常。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 修改ECS的DNS配置有两种方式：命令行和管理控制台。您可以根据自己的使用习惯选择其中一种方式进行配置。 注：添加DNS服务解析和配置安全组针对的是主网卡。 修改DNS（命令行方式） 本节介绍使用命令行方式添加域名解析地址至resolv.conf文件的操作步骤和方法。 如果想要使用管理控制台方式，请参考修改DNS（管理控制台方式）。 1. 使用root帐号，登录ECS。 2. 输入“vi /etc/resolv.conf”，打开文件。 3. 在文件中添加“nameserver X.X.X.X ”，输入：wq，按“Enter”保存并退出。 修改DNS（管理控制台方式） 本节介绍登录管理控制台后修改ECS的DNS配置的操作步骤和方法。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 1. 在管理控制台左上角选择区域和项目。 2. 选择“服务列表 > 计算 > 弹性云主机”。 弹性云主机列表中，单击ECS名称查看详情。 3. 在“虚拟私有云”项单击虚拟私有云名称，进入“虚拟私有云”界面。 4. 在“VPC名称/ID”列表中，单击“vpc328c”。 5. 在“子网”列表中，单击“subnet328d”所在行“修改”。 弹出“修改子网”对话框，修改“DNS服务器地址1”为正确的DNS服务器IP地址。 注：subnet328d为该ECS的子网。 6. 单击“确定”，保存设置。 注：在控制台修改DNS需重启ECS或BMS后生效。

本章节介绍天翼云关系型数据库如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接Microsoft SQL Server实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入 方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

云下一代防火墙实例默认不限制日志存储时间；但因本地存储空间有限，云防火墙将在超过存储容量90%后启动滚动存储策略，增量日志将覆盖历史日志。 如果您有180天日志存储的诉求，可参考如下方法进行配置，以确保日志能够被妥善保存： 方法一：将日志通过syslog外发到专用的日志服务器或者日志审计服务中进行存档与分析（推荐）。 方法二：扩容本地磁盘以保证足够的日志存储容量。

虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外，您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通，灵活整合资源，构建混合云网络。

使用场景 独享型ELB 共享型ELB ELB型Ingress 支持ELB使用双栈。后端服务器不支持使用IPv6协议，仅支持IPv4协议。如您使用IPv6协议，将产生相关告警事件，请前往对应Ingress的“事件”查看。 仅支持IPv4协议。 Nginx型Ingress 不支持使用双栈。 不支持使用双栈。 LoadBalancer类型的Service 七层：不支持使用双栈。四层：支持使用双栈。 仅支持IPv4协议。

本节介绍了专属云（计算独享型）的计费方式。 1、 计费模式 ：支持包年包月的计费模式。 2 、计费量纲 ：以物理服务器台数为计费量纲。 3、 购买 ：项目制销售，请联系客户经理，如果没有客户经理可拨打天翼云客服电话4008109889咨询。 4、 退款 ：不支持无理由退款。 5、计费方式变更：计费周期内不允许计费方式变更。 6、 到期欠费 ：为防止相关资源不被停止或者释放，请及时缴费。

天翼云CDN加速，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。适用于加速网页站点、文件下载、视频点播等场景。本文档提供CDN加速产品的API描述、语法、参数说明及示例等内容。

本节介绍了:创建一个无状态工作负载——创建工作负载及服务的用户指引。 进入云容器引擎控制台，在集群选项卡中选择一个集群进入集群详情界面。选择工作负载 > 无状态 > 新增 选择命名空间，创建一个Deployment 配置项说明 配置项 说明 Deployment名称 工作负载的名称 数据卷（选填） 为容器提供存储，目前支持临时路径、主机路径、配置文件、本地卷（Local PV）、NFS、Ceph，还需挂载到容器的指定路径中。 实例数量 工作负载的副本数，可选择手动设置或自动伸缩。 实例内容器 工作负载中的容器实例配置，可配置一个或多个。 容器名称 容器实例的名称 镜像及镜像版本 支持选择容器镜像服务企业版、容器镜像服务个人版的镜像。 CPU/内存限制 Request用于预分配资源，当集群中的节点没有request所要求的资源数量时，容器会创建失败。Limit用于设置容器使用资源的最大上限，避免异常情况下节点资源消耗过多。 环境变量（选填） 支持配置容器的环境变量。 启动执行（选填） 启动执行命令：对应镜像的ENTRYPOINT命令，将会覆盖镜像的ENTRYPOINT命令；每个输入框仅输入一个命令或参数。 启动执行参数：对应镜像的CMD命令，将会覆盖镜像的CMD命令；每个输入框仅输入一个命令或参数。 启动后处理 容器启动后执行，注意由于是异步执行，无法保证一定在ENTRYPOINT之后运行；每个输入框仅输入一个命令或参数。 停止前处理 容器停止前执行，常用于资源清理；每个输入框仅输入一个命令或参数。 容器健康检查 存活检查：检查容器是否正常，不正常则重启实例。 就绪检查：检查容器是否就绪，不就绪则停止转发流量到当前实例。 特权级容器 容器开启特权级，将拥有宿主机的root权限。 Container安全上下文 为Container设置安全上下文，仅适用于该Container：若Pod、Container层面都设置了用户、用户组、Selinux上下文，Container的设置会覆盖Pod的设置。 访问设置 配置Service访问负载

约束 系统库不支持变更数据捕获，如果您试图对系统库进行此操作，将会提示： TYYERROR: CDC can not open on system database 仅关系数据库SQL Server企业版和关系数据库SQL Server 2016及其以上版本的标准版支持变更数据捕获，如果您在其他版本进行此操作，将会提示： TYYERROR: SQL Server version is lower than 2016. This procedure requires SQL Server 2016 or higher for nonEnterprise editions 变更数据捕获操作类型仅包括1和0，如果您尝试其他操作，将会提示： The action parameter must be either 0 or 1. 操作步骤 执行以下命令，变更数据捕获。 exec msdb.dbo.TYYSetDbCDC '@dbName', @action; @dbName：需要变更数据捕获的数据库名称。 @action：操作类型，1为开启数据捕获，0为关闭数据捕获。 变更数据捕获成功后，系统将会提示： [dbName] enable CDC success 或 [dbName] disable CDC success 跟踪标记 说明 该存储过程仅支持开通时间在20240828及之后的实例，若您的实例在此日期之前开通且需要使用以下存储过程，请通过咨询工单申请。 如果为主备实例，使用后仅在主节点上设置跟踪标记。如实例发生过主备切换，请在切换后再次执行该存储过程。 约束 跟踪标记操作类型仅包括1、0和1，如果您尝试其他操作，将会提示： TYYERROR: the action parameter must be 1, 0 or 1 操作步骤 执行以下命令，设置或查看跟踪标记状态。 exec msdb.dbo.TYYSetTraceFlag @traceFlag, @action; @traceFlag：指定跟踪标记的序号。 @action：操作类型，1为打开跟踪标记，0为关闭跟踪标记，1为查看跟踪标记。 更新数据库统计信息 说明 该存储过程仅支持开通时间在20240828及之后的实例，若您的实例在此日期之前开通且需要使用以下存储过程，请通过咨询工单申请。 该存储过程会更新所有ONLINE状态数据库的统计信息，包括系统库。

本文介绍云间高速(标准版)产品的计费项和产品计费方式。 计费项及计费方式 云间高速（标准版）提供区域内、区域间不同网络实例之间的组网服务，根据您的配置情况向您收取相应的费用。文本为您介绍具体计费组成、计算方式和标准价格。 ●计费项目： 资源 计费项 计费说明 计费模式 计费规则 最小计费周期 跨域互联带宽 跨域互联带宽包费 实现跨地域（资源池）互联，需创建跨域连接并使用跨域互联带宽包。每个云间高速实例仅支持绑定1个同类型的跨域互联带宽包。 包周期（包年/包月） 阶梯累进计算 单价(元/Mbps/月) × 带宽值(Mbps) × 包月时长(月) 1个月 云企业路由器 实例连接费 根据连接到云企业路由器的网络实例数量和时长计费。 计费对象：VPC、云专线、VPN连接。 按量计费/包周期（抵扣包） 按量计费：单价(元/个/小时) × 连接的网络实例个数 × 连接时长(小时) 包周期（资源抵扣包）：有效期内，包周期套餐额度可自动抵扣按量费用 1小时 云企业路由器 流量处理费 根据云企业路由器接收的网络实例流量大小进行计费。 计费对象：VPC、云专线、VPN连接。 不计费对象 ：云企业路由器发送的流量，以及云企业路由器之间转发的流量，均不计入本费用。 流量单位换算基准：1GB 1024MB；1TB 1024GB；1PB 1024TB。 按量计费/包周期（抵扣包） 按量计费：单价(元/GB) × 网络实例转发给企业路由器的流量(GB) 包周期（资源抵扣包）：有效期内，包周期套餐额度可自动抵扣按量费用 1小时

本文为您介绍加载虚拟私有云(VPC)网络实例的操作流程。 限制说明 仅4.0资源池内的VPC支持连接多个云企业路由器（每个云间高速网络中，单个资源池仅允许创建1个云企业路由器）。 对于已接入多个云企业路由器的VPC实例，路由同步功能仅能在其中一个云企业路由器上开启。 当云企业路由器和VPC实例属于同一主账号时，必须确保二者处于同一企业项目下。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理”页签，找到目标云企业路由器，单击目标云企业路由器名称，进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“加载本地网络实例”，进入加载本地网络实例页面。 6. 在加载本地网络实例页面，根据页面提示，填写参数，单击“确定”，完成网络实例加载。 参数 说明 云间高速 请选择已经创建的云间高速实例。 云企业路由器（区域） 请选择已经创建的云企业路由器实例。 资源归属 请选择资源归属类型“本账号”/“跨账号”。 关联路由表 请选择关联的路由表。 实例类型 请选择类型：“虚拟私有云VPC”。 网络实例 请选择已经创建的VPC实例。 子网 请选择VPC中需要加载的客户侧网段。 自动路由学习 自动传播网络实例系统路由至云企业路由器路由表（默认开启）。 自动路由同步 自动同步本侧云企业路由器关联路由表中的路由 （默认开启）。

本文为您介绍加载SDWAN网络实例的操作流程。 限制说明 每个云间高速实例仅支持关联1 个 SDWAN 网络实例 ；单个 SDWAN 网络实例可同时连接至多个云企业路由器。 云企业路由器从 SDWAN 网络实例学习到的路由，默认仅在同一地域内传播，不会自动同步至其他地域的云企业路由器。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理”页签，找到目标云企业路由器，单击目标云企业路由器名称，进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“加载本地网络实例”，进入加载本地网络实例页面。 6. 在加载本地网络实例页面，根据页面提示，填写参数，单击“确定”，完成网络实例加载。 参数 说明 云间高速 请选择已经创建的云间高速实例。 云企业路由器（区域） 请选择已经创建的云企业路由器实例。 资源归属 请选择资源归属类型“本账号”/“跨账号”。 关联路由表 请选择关联的路由表。 实例类型 请选择类型：“SDWAN”。 网络实例 请选择已经创建的SDWAN实例。 权重 （可选）配置链路路由权重，可输入类范围（0~255）。 链路冗余 （可选）是否启用冗余模式，若启用，需指定目标冗余组进行加入。同一冗余组内的网络实例默认隔离路由传播。 自动路由学习 自动传播网络实例系统路由至云企业路由器路由表（默认开启）。 自动路由同步 自动同步本侧云企业路由器关联路由表中的路由 （默认开启）。

本文介绍如何开通高性能网络增值服务 背景说明 天翼云视频直播支持高性能网络增值服务。 注意 开通高性能网络增值服务前，需先开通视频直播加速中国内地和全球（不含中国内地）服务。 操作步骤 存量客户 请参考如下步骤开通高性能网络增值服务。 1.登录直播控制台。 2.单击左侧菜单栏【计费详情】，并单击导航栏中的【视频直播】。 3.在“操作”栏中单击【开通增值服务】。 4.在【增配视频直播产品】页面，勾选全球（不含中国内地）。如果已开通全球（不含中国内地）加速区域，请忽略该步骤。 5.单击页面下方的【高性能网络】开关，选择适合您的高性能网络版本和计费方式，并勾选页面下方的协议，单击页面右下方的【立即增配】按钮。 6.页面提示“提交成功”，成功开通高性能网络服务。 7.开通高性能网络增值服务后，需配置开启高性能网络开关，才能使用该服务，详见高性能网络配置。 新客户 1. 请参照开通视频直播服务，勾选视频直播加速产品的全球（不含中国内地）加速区域。 2.高性能网络默认关闭，如需开通可单击开启，选择适合您的高性能网络版本和计费方式。开启后，视频直播加速产品开通成功即完成高性能网络服务的开通。 3.开通高性能网络增值服务后，需配置开启高性能网络开关，才能使用该服务，详见高性能网络配置。

本文向您介绍通过企业版VPN实现数据中心和VPC互通的第一步：创建VPN网关。 前提条件 虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见《虚拟私有云用户指南》。 虚拟私有云VPC中ECS的安全组规则已经配置，并确保安全组规则允许数据中心的对端网关可以访问VPC资源。如何配置安全组规则，请参见《虚拟私有云用户指南》。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面，单击“创建VPN网关”。 4. 根据界面提示配置参数，然后单击“立即购买”并完成支付。 表VPN网关关键参数说明 参数 说明 参数取值 计费模式 支持“按需”计费模式。 按需 区域 选择靠近您所在地域的区域。 名称 输入VPN网关的名称。 vpngw001 网络类型 公网：VPN网关通过公网建立VPN连接。 私网：VPN网关通过私网建立VPN连接。 公网 协议类型 支持“IPv4”和“IPv6”两种类型。 IPv4 关联模式 支持“虚拟私有云”和“企业路由器”两种方式。 虚拟私有云 虚拟私有云 选择需要和数据中心互通的VPC。 vpc001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 配置VPC待和数据中心互通的子网。 支持“输入网段”和“选择子网”两种方式。 192.168.0.0/24 规格 选择“专业型1”。 专业型1 HA模式 选择“双活”。 双活 主EIP 选择EIP、带宽的计费模式、规格。 11.xx.xx.11 主EIP2 选择EIP、带宽的计费模式、规格。 11.xx.xx.12

本文为您介绍如何在密钥管理控制台创建用户主密钥。 开通密钥管理服务后，您可以在控制台轻松地创建密钥，以便后续使用密钥加解密自己的数据。 操作步骤 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择服务所在的区域。 3. 在左侧导航栏，选择“密钥管理”，在页面上方选择目标服务。 4. 点击“创建密钥”，在弹出的创建密钥对话框，根据页面提示进行配置。 配置项说明： 配置项 说明 密钥类型 对称密钥类型： AES256 CtyunSM4（企业版支持） 非对称密钥类型： RSA2048 CtyunSM2（企业版支持） 密钥用途 Encrypt/Decrypt：数据加密和解密。 Sign/Verify：产生和验证数字签名。 说明 仅非对称密钥（RSA2048、CtyunSM2）支持Sign/Verify用途。 别名 用户主密钥的可选标识。更多操作，请参见别名管理。 保护级别 Software：通过软件模块对密钥进行保护。 Hsm：将密钥托管在密码机中，使密钥获得高安全等级的专用硬件的保护。 描述 密钥的说明信息。 轮转周期 自动轮转的时间周期。 不开启：不开启轮转 30天 90天 180天 自定义：7~730天 说明 仅对称密钥（AES256、CtyunSM4）支持设置自动轮转周期。 密钥材料来源 天翼云KMS：密钥材料将由KMS生成。 外部：KMS将不会生成密钥材料，您需要将自己的密钥材料导入KMS。更多信息，请参见导入密钥材料。 企业项目 选择密钥归属的企业项目。默认为default。 5. 单击确定 ，完成密钥创建。您可以在密钥列表查看密钥ID、密钥状态、密钥类型、密钥用途、密钥保护级别等信息。

数据管理服务DMS的数据对比功能支持同构数据库表之间的行数据差异对比，通过复制执行对比结果中的变更SQL，实现从源实例表到目标实例表的行数据同步效果。 前提条件 目前数据对比的支持数据库类型有：MySQL、PostgreSQL，源数据库实例和目标数据库实例的数据库类型需要相同。 数据对比目前为企业版功能，请用户使用该功能前，切换到DMS企业版，切换步骤及实例注意事项详见 版本说明 。 数据对比要求当前用户以及登录实例的账户，拥有源数据库和目标数据库的查询权限。如需要添加对比的数据库到DMS，请详见 实例管理 。 注意事项 当前仅支持带有主键或唯一键的表进行对比，且配置映射字段的数据类型需要相同。 当前仅支持选择相同数据库类型，某些字段类型不支持数据对比，执行数据对比时会失败。 说明 MySQL不支持数据对比的字段：tinyblob/blob/mediumblob/longblob/tinytext/text/mediumtext/longtext。 PostgreSQL不支持数据对比的字段：所有用户自定义字段。 每个工单最多保存10000行SQL语句，每个表最多保存500行SQL语句，超过500行变更SQL的表仅展示500条行差异，保留7日后过期删除。 比较时不对源和目标实例进行锁表操作，请避免比较时进行增删改业务，可能会影响对比结果。 功能概括 数据对比功能支持同构数据库中，不同表之间的行数据差异对比，即比较两表配置映射字段的数据是否一致，并生成差异化脚本（变更SQL）供用户自行复制执行，以修复源表和目标表行数据不一致的情况。

本节介绍如何执行数据投递投递授权。 操作场景 数据投递新增后，需进行投递权限授予操作，接受授权后，投递才会生效。 前提条件 已新增数据投递。 约束与限制 如果新增的数据投递为跨账号投递，则需要登录目的账号进行授权操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，选择“投递权限授予”页签，进入投递权限授权页面后，单击目标投递任务所在行“操作”列的“接受”。 如需批量接受授权，可以勾选所有需要授权的任务，然后单击列表左上角的“接受”。 授权授予后，目标投递任务授权状态更新为“已授权”，更新后，可前往投递目的地查看投递情况，详细操作请参见查看数据投递情况。 相关操作 在跨租投递权限授权页面可以的投递权限进行拒绝 和取消授权操作： 操作 具体操作方法 拒绝 在目标投递任务所在行“操作”列，单击“拒绝”。 如需批量拒绝授权，可以勾选所有需要拒绝的任务，然后单击列表左上角的“拒绝”。 取消 1. 在目标投递任务所在行“操作”列，单击“取消”。 如需批量取消授权，可以勾选所有需要取消的任务，然后单击列表左上角的“取消”。 2. 在弹出的确认框中，单击“确定”。

本文向您介绍通过企业版VPN实现数据中心和VPC互通的第三步：创建第一条VPN连接。 操作步骤 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 2. 在“VPN连接”页面，单击“创建VPN连接”。 3. 根据界面提示配置第一条VPN连接参数，然后单击“提交”。 表第一条VPN连接参数说明 参数 说明 参数取值 名称 输入VPN连接的名称。 vpn001 VPN网关 选择步骤一创建的VPN网关。 vpngw001 网关IP 选择VPN网关的主EIP。 11.xx.xx.11 对端网关 选择步骤二创建的对端网关。 cgw001 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 输入数据中心待和VPC互通的子网。 172.16.0.0/16 接口分配方式 支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169.254.70.2/30 对端隧道接口地址 配置在用户侧设备上的tunnel接口地址。 169.254.70.1/30 检测机制 用于多链路场景下路由可靠性检测。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则会导致VPN流量不通。 勾选“使能NQA” 预共享密钥、确认密钥 VPN连接协商密钥。 VPN连接和对端网关配置的预共享密钥需要一致。 Test@123 策略配置 包含IKE策略和IPsec策略，用于指定VPN隧道加密算法。 VPN连接和对端网关配置的策略信息需要一致。 默认配置