从云硬盘页面进行挂载 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东dectest1017。 3. 单击“存储 > 云硬盘”，进入云硬盘主页面。 4. 在待挂载的云硬盘所在行，单击“挂载”。 5. 在弹出的“挂载磁盘”对话框中选择磁盘待挂载的云主机。 6. 单击“确定”。返回磁盘列表页面，当磁盘状态为“已挂载”时，表示挂载成功。 挂载共享云硬盘 约束与限制 共享云硬盘只能用作数据盘，不能用作系统盘。 专属云（计算独享型）内，当挂载共享云硬盘时，弹性云主机必须与共享云硬盘位于同一区域下的同一可用区。 专属云（计算独享型）内，共享盘最多可同时挂载至16台云主机。 磁盘模式为SCSI的共享云硬盘只能挂载至位于同一个反亲和性云主机组内的云主机，否则SCSI锁无法正常使用，可能会造成数据丢失风险。 共享云硬盘挂载的多台云主机只能为Windows或Linux操作系统中的一种。

安全保护 关系数据库MySQL版处于多层防火墙保护之下，能够有效抗击各种恶意攻击，保障数据的安全性。在防御DDoS攻击、防SQL注入等方面具有优异的性能表现。为了进一步提升数据库的安全性，建议您使用内网方式访问关系数据库实例，这样可以有效地避免DDoS攻击的影响。

本文介绍云容器引擎Serverless版的功能特性。 虚拟节点 Serverless集群无需管理节点，但为了兼容原生Kubernetes，以及提供应对突发业务流量的弹性能力，您仍会在集群中看到虚拟节点的存在。 Pod配置 在Serverless集群中创建Pod时，您可以通过添加Annotation来定制Pod。 网络管理 Serverless集群支持Service和Ingress等对象的个性化定制，并且允许通过CoreDNS和弹性IP等办法提供服务发现功能。 存储管理 支持天翼云盘挂载，提供标准的CSI，支持存储卷的自动创建。 可观测性 Serverless集群支持安装相应组件启动监控功能。 镜像管理 Serverless集群支持使用ImageCache来加速创建Pod，帮助您快速响应业务。 组件管理 Serverless集群提供多种类型的组件，以扩展集群的各种功能。根据业务需求，您可以随时部署、升级或卸载这些组件。 应用管理 Serverless集群支持灰度发布、蓝绿发布、应用监控以及应用弹性伸缩。同时，内置的模板市场支持Helm应用一键部署，大大简化云服务集成。

关系数据库MySQL版支持切换主备实例的数据复制方式，以满足不同的业务需求。本文介绍如何修改关系数据库MySQL版实例的数据复制方式。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 背景信息 数据复制方式说明 您可以根据实际情况，切换主备实例的数据复制方式，支持切换为异步 或半同步，具体说明如下： 异步 应用更新数据时，主库执行完操作后立即向应用返回响应，然后就向备实例异步复制数据，这种数据复制方式通常具有较高的性能。 因此，在异步数据复制方式下，备实例不可用时不会影响主实例上的操作。而主实例异常不可用时可能会影响主备数据复制、导致主备实例数据不一致，极端情况下，可能会有数据丢失风险，请谨慎选择。 半同步 应用更新数据时，主库需要等待备库收到日志才向应用返回响应，这种方式提高了数据可靠性但对性能有一定影响： 可用性类型 是否退化 描述 可靠性 不退化（默认） 如果实例主库与其他所有备库通信故障，为保证数据一致性和完整性，主库将被设置为只读且不进行退化（一主一备实例默认设置可用性优先会退化），直至任一备节点恢复后可对外提供写服务。 可用性 退化（默认） 如果实例主库与其他所有备库通信故障，可能会导致退化（一主两备实例默认设置可靠性优先不退化），退化表现为主库等待备库响应数秒钟，在此期间会阻塞主库对业务写操作的响应，退化后，主库恢复正常、主库可正常写入数据。退化后的实例可能会有数据丢失风险，主备之间通信恢复正常后，实例重新转化为半同步状态。

前置工作 已通过天翼云生态专区订购 OpenClaw 应用 。 说明 若 OpenClaw 版本过低，将导致无法在公有云生态专区页面中进行模型配置。 操作步骤 1.订购息壤模型推理服务 推荐使用息壤模型推理服务，本文以息壤模型推理服务为例，介绍配置步骤。 登录天翼云控制台，根据您的需求选择适合的模型，本文以DeepSeek模型为例，详细开通步骤可参考DeepSeek模型调用快捷版。 注意 为保障您的账户安全、避免额外损失，请妥善保管模型 API Key 等敏感数据。 OpenClaw 携带较多上下文会导致 Token 消耗偏高，建议您关注用量计费情况。 2.配置模型 2.1 进入OpenClaw应用管理 登录天翼云官网，进入生态专区控制台。在应用管理我的应用中，选中对应的OpenClaw实例，点击进入应用详情页面。 2.2 为OpenClaw配置模型 点击“应用配置”页签，进入OpenClaw应用配置页面。在“模型”模块中，您可以为OpenClaw配置所需模型。天翼云支持： 天翼云息壤：推荐购买天翼云息壤模型推理服务。填写完成后，点击“添加并应用”按钮，即可保存该模型配置，并将其设为 OpenClaw 应用的模型服务提供商。 说明 使用天翼云息壤作为模型来源时，请确保您已订购息壤模型推理服务。立即订购息壤模型推理服务 OpenClaw 运行时，可能导致Token消耗偏高，建议您提前了解息壤模型用量计费情况。 息壤为您提供了“模型体验”功能，具有免费Token额度，您可以选择服务组“模型体验”，即刻体验模型推理效果。 参数 填写说明 示例 模型来源 选择“天翼云息壤”。 模型 选择已订购的服务模型。 GLM5 服务组 选择需要使用的服务组。 test02 模型 App Key 根据服务组自动填充。 GPUStack 应用：GPUStack是生态专区提供的开源托管式AI模型部署平台，您可以通过订购GPUStack应用和GPU云主机资源，部署专属模型推理服务，保障数据的安全与服务的稳定。 说明 使用GPUStack前，请确保已购买GPUStack应用资源并正确部署模型，详细请参考通过GPUStack部署模型推理平台。 为保障OpenClaw稳定运行，推荐使用“GPUStack单机版”、“≥4 张英伟达GPU卡的云主机”、“Qwen332B”模型部署GPUStack应用为OpenClaw提供模型推理能力。 参数 填写说明 示例 模型来源 选择“GPUStack”应用。 GPUStack实例 为OpenClaw提供模型服务的GPUStack实例，支持自动获取已订购的GPUStack实例，可选择： GPUStack 单机版实例 GPUStack 集群版Server实例 GPUStack单机版39sh 模型 选择的GPUStack实例中，已部署的模型列表，支持自动获取。 说明 可根据您的使用场景、GPU云主机资源选择合适的模型。GPUStack单机版推荐使用模型“Qwen332B”。 Qwen332B 自定义模型配置：您可以自行配置其他模型，如Kimi、MiniMax等。本文以息壤模型推理服务为例。 填写模型所需的参数说明见下表。填写完成后，点击“添加并应用”按钮，即可保存该模型配置，并将其设为 OpenClaw 应用的模型服务提供商。 参数 填写说明 示例 模型来源 选择“自定义模型” 模型Provider 模型供应商名称，可自定义命名。 XiRang 模型Base url 模型服务调用地址。 说明 即息壤模型服务生成的 baseurl ，默认为“ 模型Api 模型提供商的 API 协议格式。 openaicompletions 说明 息壤模型推理服务提供的模型默认均支持“openaicompletions”协议格式。 模型Api Key 模型服务的API Key。 12356789 说明 即息壤模型服务生成的App Key，可在服务接入模块查看。 模型ID 调用模型的ID。 DeepSeekV3.2Standard 说明 息壤模型广场中，可在查看模型详情页顶部获取模型ID信息。 模型Name 调用模型的名称。 DeepSeekV3.2Standard 说明 息壤模型广场中，可在查看模型详情页顶部获取模型名称信息。 注意 如果您重复添加同一个模型提供商（Provider），后添加的API Key将自动覆盖之前设置的API Key，并以最新的配置为准。

域名组是多个域名或泛域名的集合。您可以通过添加域名组批量对域名或泛域名进行防护。 提供以下两种类型： 应用域名组：支持域名 或泛域名的防护；适用应用层协议，支持HTTP、HTTPS的应用协议类型；通过域名匹配。 网络域名组：支持单个域名 或多个域名的防护；适用网络层协议，支持所有协议类型；通过解析到的IP过滤。 匹配策略 应用域名组：CFW会将会话中的HOST字段与应用型域名进行比对，如果一致，则命中对应的防护规则。 网络域名组：CFW会在后台获取DNS服务器解析出的IP地址（每15s获取一次），当会话的四元组与网络型域名相关规则匹配、且本次访问解析到的地址在此前保存的结果中（已从DNS服务器解析中获取到IP地址），则命中对应的防护规则。 单个域名最大支持解析1000条IP地址；每个域名组最大支持解析1500条IP地址。解析结果达到上限，则无法再将新域名添加到域名组中。 说明 映射地址量大或映射结果变化快的域名建议优先使用应用域名组（如被内容分发网络（CDN）加速的域名）。 约束条件 域名组成员不支持添加中文域名格式。 域名组中所有域名被“防护规则”引用最多40000次，泛域名被“防护规则”引用最多2000次。 应用域名组（七层协议解析） 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组（四层协议解析） 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。

此章节为您介绍数据库审计SQL模板的相关功能。 SQL模板概述 SQL模板（SQL Template）是去参数化的SQL语句。系统支持将访问数据库系统的SQL语句使用的模板信息提取并存储到磁盘中，用户可以通过Web页面查看SQL模板集合。通常认为应用在访问数据库时使用的模板是固定的，如果出现了新的SQL模板，可以怀疑是否是存在异常访问行为。 查询SQL模板 1.在左侧菜单栏选择“查询分析 > SQL模板”进入“SQL模板”页面，设置查询条件（如时间范围、SQL模板等），单击“搜索”即可查询相关SQL模板。 2.在SQL模板列表中单击“详细”可以查看该SQL模板记录的详细信息，包括基本信息、模板、首次发生报文、不审计匹配的报文和数据库信息。其中请求详情中可以查看报文，返回详情可以查看SQL语句的返回信息。

如何固定应用组件IP？ 问题描述 在部署应用组件的过程中，如果不设置“TCP/UDP路由配置”，那么当容器重启时，应用的访问IP会发生变化。这种情况会为您的某些配置造成困扰。 解决方法 创建部署应用组件时或者部署应用组件后设置一下“TCP/UDP路由配置”即可。以下三种方式均可解决该问题： 集群内访问：应用暴露给同一集群内其他应用访问的方式，可以通过集群内部域名访问。 VPC内网访问：应用可以让同一VPC内其他应用程序访问，通过集群节点的IP或者私网弹性负载均衡ELB的服务地址访问。 公网访问：通过弹性IP从公网访问应用，一般用于系统中需要暴露到公网的服务。该访问方式需要给集群内任一节点绑定弹性IP，并设置一个映射在节点上的端口。 如何体验ServiceStage的源码部署功能？ 如下表所示，ServiceStage基于GitHub提供了一些不同语言的demo。 您可以Fork特定语言的demo源码到自己的GitHub代码仓库中，参考部署组件去体验ServiceStage的源码部署功能。 表 ServiceStage提供的demo 源码及GitHub地址说明 demo名称 语言类型 GitHub代码仓库地址 ServiceCombSpringMVC Java ServiceCombJAXRS Java ServiceCombPOJO Java SpringBootWebService Java SpringBootWebappTomcat Java nodejsexpress Node.js nodejskoa Node.js phplaravel PHP phpslim PHP Gosimple Golang

数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostGreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12

方式2：通过云镜像市场创建云主机部署OpenClaw 说明 以下资源池支持使用方式2部署： 西南1、华南2 。 1. 登录天翼云官网，进入天翼云控制台计算控制台弹性云主机，点击“创建云主机”按钮。 2. 云主机配置。 CPU架构选择“X86计算”，规格分类选择“经济型”，云主机规格推荐使用【经济型 e.large.2】的规格。 注意 仅经济型（E）实例支持通过公有云生态专区应用进行应用配置。 镜像类型选择云镜像市场/应用镜像，并选取“OpenClawv2026.3.13Ubuntu24.04”镜像。 点击“下一步：网络配置”。 3. 网络配置。 点击“创建安全组”按钮，跳转至网络控制台安全组页面。 点击“创建安全组”按钮，在弹窗中模板下拉菜单选择“通用Web服务器”。 点击“确定”，完成安全组创建。返回云主机订购页面，点击“选择安全组”按钮，在安全组列表中勾选刚才创建的安全组。 弹性IP选择“自动分配”，根据需要选择带宽大小。为确保OpenClaw顺畅运行，建议带宽选择5M以上。 注意 通过订购云主机部署OpenClaw时，请确保： 1. 云主机已绑定弹性IP，否则OpenClaw应用将无法通过WebUI访问，也无法通过公有云生态专区应用页面进行模型、通道、技能等配置。 2. 云主机已绑定安全组，且入方向规则开放端口18789，否则无法在公有云生态专区进行应用配置。 4. 根据提示完成高级配置，点击“下一步：确认配置”。确认配置无误后，点击“立即购买”。 5. 完成支付后，返回[云主机控制台](

本文汇总了使用弹性负载均衡产品时常见的操作类问题。 经典型和性能保障型负载均衡有什么区别？ 经典型负载均衡适用于访问量较小，应用模型简单的web业务，可满足大部分应用程序的负载均衡需求，具备基本的流量分发和健康检查功能。经典型负载均衡同VPC内多实例性能共享。 性能保障型负载均衡适用于对性能有较高要求的应用场景，能够提供更强大的性能和扩展能力。性能保障型负载均衡为收费产品，为集群模式部署，支持经典型升级为性能保障型，支持规格升级、降级。 经典型负载均衡是否支持升级为性能保障型？ 支持。部分地域同时支持经典型负载均衡和性能保障型负载均衡，支持将经典型负载均衡实例升级为性能保障型，用户可以登录天翼云控制中心相关操作，请以控制台实际功能为准。升级过程涉及底层迁移，有秒级流量中断，建议在业务低谷时段维护窗口操作，详见 经典型升级性能保障型。 弹性负载均衡器是否可以单独使用？ 弹性负载均衡（CTELB ，Elastic Load Balancing）是一种分发控制网络流量的服务，通过预先设定的算法将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用系统容错性能。负载均衡器的主要能力是对访问流量进行分发，并不能替代服务本身，至少需要配置云主机的云资源作为后端主机才能搭建一个基本服务。如果需要通过负载均衡对外网提供服务，还需要与弹性IP、IPv6带宽等产品搭配使用。

本节介绍云智助手的产品介绍。 产品介绍 云智助手（原AI应用中心）是天翼AI云电脑3.0推出全系统级AI应用，全面接入DeepSeek大模型，并基于星辰大模型和合作伙伴大模型能力，提供一系列场景化AI能力，升级全场景智能化体验。通过AI赋能，重塑AI云电脑使用体验，让AI云电脑更智能、更简单、更好用。 应用场景 云智助手通过打造了AI助手、AI空间两大功能模块，赋能办公、教育、创作、生活等场景，提升工作、生活效率。 使用说明 使用范围 （1）公有云：所有天翼AI云电脑（公众版）、天翼AI云电脑（政企版）均可使用云智助手； （2）私有云：可联系天翼云客服、大区、售前经理了解私有化部署要求。 获取方式 （1）已在AI云电脑镜像中预装，在桌面找到“云智助手”点击即可直接使用； （2）如未在桌面找到或已卸载，可前往AI云电脑应用市场，搜索“云智助手”下载。 使用条件 （1）云智助手当前支持Windows、UOS等各类操作系统； （2）天翼AI云电脑客户端建议升级至v2.4.3及以上版本； （3）移动端可以通过下载天翼云云电脑APP（3.1.1以上版本）使用云智助手。

本小节介绍微隔离防火墙告警与事件。 告警规则 进入告警规则界面后，可配置告警相关信息（邮件服务器地址需超级管理员用户在系统管理中设置）。根据下图步骤可完成告警规则的配置。 注意 1.每次告警只通知上次告警之后发生的符合条件的事件； 2.对于日志类的告警，条件中类别类别较多，可通过事先查看日志具体内容来熟悉各类别含义。 操作日志 操作日志会记录用户的操作（包括Web页面及API），例如工作组的创建、策略的生成等等。用户可根据筛选条件查看对应的操作日志。 系统日志 系统日志界面会记录系统的运行信息以及工作负载状态信息。可用于查看系统运行状态，工作负载运行状态，策略是否生效等。

本文介绍分布式缓存经典版的产品规格 注意 经典版为白名单特性，暂停开放使用，可选择基础版规格替代。 本节介绍分布式缓存经典版的产品规格，包括内存规格、实例可使用内存、连接数上限、最大带宽/基准带宽（Gbps）、DB数等。 内存：您可以通过在控制台节点管理列表查看各节点剩余内存，具体操作请参考查看Redis集群信息。 连接数上限：连接并发数，表示允许客户端同时连接的个数。您可在控制台中查看具体实例的连接数，具体操作请参考基本指标。连接数上限可在实例创建后支持在控制台中修改，具体操作请参考接入机配置。 QPS：即Query Per Second，表示Redis实例每秒执行的命令数。 带宽限制：表中的带宽值是Redis实例单分片的带宽，Redis实例的网络传输能力的上限带宽分别应用于上行带宽和下行带宽，如果某规格的带宽为0.8Gbps，则该规格实例的上下行带宽都是0.8Gbps。 表中的带宽为内网带宽。外网带宽取决于内网带宽，同时受到Redis实例与客户端之间的网络带宽限制，建议使用内网连接方式，排除外网影响，发挥最大的带宽性能。 DB数：Redis可提供的数据库最大数量。

此小节介绍企业主机安全资产指纹。 主机资产管理 查看主机资产信息 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机自启动项。通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 检测周期 帐号、开放端口：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看所有主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹”，进入“资产指纹”页面，查看所有主机资产。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00） 查看单服务器的主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理>主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 5、单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹”页签。 6、单击指纹列表的目标指纹类型，查看对应资产信息，资产指纹类型特性如表所示。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

本文介绍了如何使用Nginx代理天翼云弹性文件服务。 应用场景 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSDlike协议下发行。其特点是占有内存少，并发能力强，事实上Nginx的并发能力确实在同类型的网页服务器中表现较好，中国大陆使用Nginx网站用户有百度、京东、新浪、网易、腾讯、淘宝等。 本案例中，使用一台Nginx做反向代理服务器，三台Nginx做负载均衡的代理服务。因为使用用户可能非常多，所以需要做负载均衡。后端使用天翼云的弹性文件服务。天翼云弹性文件服务用于存储文件，如图片、视频、镜像回源文件或者一些用户的静态数据等。不同的Nginx代理服务器之间共享访问文件系统数据。 方案使用云产品 弹性文件服务，弹性云主机 方案架构 配置的架构如下图： 准备工作 在开始之前需要创建一个虚拟机私有云VPC，一个文件系统，四台云主机，其中一台做反向代理服务器，三台做负载均衡的代理服务。具体操作如下： 1. 在需要操作的地域创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 2. 创建该VPC下的弹性云主机，操作系统为Linux，此处以CTyunOS 2.0.1为例演示，具体操作步骤参见创建弹性云主机。 3. 创建该VPC下的文件系统，文件系统的协议类型为NFS，具体操作步骤参见创建文件系统。

本文带您了解AI Store四大类服务的应用场景。 算力服务 智能算力 聚焦人工智能、大模型训练、科研仿真等“高并发、高浮点、高宽带”的需求，提供GPU/TPU/NPU等异构加速资源，助力AI创新从“可用”走向“好用”。 主要面向客户：大模型预训练、AIGC、多模态理解等AI企业与算法公司，高校与科研院所，自动驾驶团队以及医疗影像AI厂商等客户。 通用算力 面向Web服务、ERP、数据库、开发测试、办公协同等常规业务，以“按需付费、秒级开通”模式提供高性价比的基础算力。 主要面向客户：中小企业、初创团队、政府及事业单位（如一网通办、公共数据平台、政务云开发测试环境）等客户。 模型服务 模型推理 提供高性能的模型调用服务，可以通过标准的API接口将平台提供的大模型服务集成到自己的业务系统中，提供模型推理一站式部署服务。 主要面向用户：各种软件开发商，特别是行业软件开发商，以及科研院所、大专院校和教育机构、政府、金融机构、工业企业、科技单位、医院等行业客户。 模型应用 大模型与插件工具的结合能够有效拓展其在复杂任务中的实用性，支持接入私有知识库增强领域应答，集成联网搜索获取实时信息。 主要面向用户：需要组合模型和工具提供智能办公、智能客服、智能运维能力以及业务主要为知识密集型场景和特定内容生成的企业。 AI应用服务 搭建专属的智能体应用：基于应用广场筛选快速定位所需行业应用，一键部署，简化传统应用安装与配置的复杂流程。实现应用部署、运维和治理的全生命周期管理能力。 主要面向客户：需要快速集成AI能力形成垂直SaaS服务的行业服务集成商，电商/新媒体运营团队，初创公司与个人开发者等客户。 MCP服务 MCP（Model Context Protocol）即模型上下文协议，它为应用程序与大语言模型（LLM）之间的数据、工具和上下文交互提供了统一的接口和标准。 AI Store的MCP市场涵盖内容生成、网页搜索、效率工具等多种类型，全面支撑企业各类智能应用场景。以网页搜索为例，智能体可借助MCP网页搜索功能，通过自然语言提问，就能获取最新的网络信息。 主要面向客户：AI开发者、企业用户、科研人员和普通个人用户等，更有效的利用AI大模型完成各种任务。

本节介绍了专属云（计算独享型）的计费规则。 1、 购买 ：本产品项目制销售，购买前需联系客户经理，如果没有客户经理可拨打天翼云客服电话4008109889咨询。 2、 续订 ：已购资源到期前需联系客户经理进行续订。 3、 退订： 本产品不支持无理由退订。

本节介绍如何检测并修复服务器上存在的弱口令、基线风险、漏洞。 弱口令、基线风险、漏洞常被攻击者利用然后入侵服务器，提前识别并修复相关风险可降低服务器被入侵的风险。 服务器安全卫士（原生版）提供弱口令检测、基线检测、漏洞扫描功能，可以快速识别出服务器上存在的风险。 检测并修复弱口令 检测弱口令 ：您可以根据需要开启定时弱口令检测、或执行一键检测。详细操作请参见弱口令检测。弱口令检测支持对系统弱口令和应用弱口令进行检测。 修复弱口令：您可以根据检测出的弱口令对应的服务器、用户名等信息，修复弱口令。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 弱口令检测”，进入弱口令检测页面。 3. 在弱口令检测页面查看当前存在的弱口令。页面下方展示最新一次检测完成的弱口令列表，分别按系统弱口令和应用弱口令进行展示。 检测结果包括影响服务器、用户名、弱口令类型、密码值、发现时间、最后更新时间。 4. 根据检测出的弱口令对应的服务器、用户名等信息，登录服务器修改弱口令。 弱口令修复完成后，建议您立即重新执行弱口令检测，验证修复结果。

算法名称 算法说明及特点 适用范围 Gzip Gzip基于DEFLATE 算法，它是LZ77和霍夫曼编码的组合，最早用于UNIX系统的文件压缩。HTTP协议上的Gzip编码是一种用来增进Web应用程序性能的技术，Web服务器和客户（浏览器）必须共同支持Gzip，当下主流的浏览器都支持Gzip压缩，包括IE6、IE7、IE8、IE9、FireFox、Google Chrome、Opera等。 兼容所有浏览器。 Brotli 2015年9月Google推出Brotli无损压缩算法，Brotli通过变种的LZ77算法、Huffman编码以及二阶文本建模等方式进行数据压缩，特别侧重于HTTP压缩，与其他压缩算法相比，通常可以获得更高的压缩效率。 不兼容较老版本的浏览器。

本页为您介绍与数据传输服务DTS有关的其他服务。 与天翼云传输服务相关的服务 与天翼云数据传输服务相关的服务，如下表： 服务名称 功能相关 参考文档链接 关系数据库MySQL版 DTS可支持关系数据库MySQL版进行迁移、同步操作，包括：MySQL到MySQL、PostgreSQL及ClickHouse的迁移，MySQL到MySQL的单向、双向同步。 关系数据库MySQL版 关系数据库PostgreSQL版 DTS可支持关系数据库PostgreSQL版进行迁移、同步操作，包括：PostgreSQL到PostgreSQL、MySQL的迁移，PostgreSQL到PostgreSQL的单向、双向同步。 关系数据库PostgreSQL版 关系数据库SQL Server版 DTS可支持关系数据库SQL Server版进行迁移、同步操作，包括：SQL Server到SQL Server、PostgreSQL的迁移，SQL Server到SQL Server的同步。 关系数据库SQL Server版 文档数据库（DDS） DTS可支持文档数据库（DDS）进行迁移、同步操作，包括：MongoDB/DDS 到MongoDB/DDS的迁移和同步。 文档数据库 云数据库ClickHouse DTS可支持将MySQL数据库迁移到ClickHouse。 云数据库ClickHouse 虚拟私有云 虚拟私有云，为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 虚拟私有云 弹性IP 弹性IP是可以独立申请的公网IP地址，将弹性IP和DTS实例绑定，可使用DTS进行公网数据库迁移、同步。 弹性IP 数据管理服务 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 数据管理服务 云审计 对接云审计服务，对DTS关键操作记录提供收集、存储和查询功能，可用于支撑合规审计、安全分析、资源跟踪和问题定位等常见应用场景。 云审计 标签管理 对接标签管理，对DTS实例绑定标签，便于对实例进行查找与筛选，实现更快捷的管理。 标签管理

本文汇总了密钥管理计费类常见问题。 密钥管理服务的计费方式是什么？ KMS产品当前支持包周期版本及按需版本，对应两种计费模式： 包年/包月计费：一种预付费模式，即先付费再使用。您可根据业务需要，选择合适的包周期服务版本（基础版、企业版），一次性支付一个月/多个月/一年/多年的费用，支付成功后，KMS服务资源将被系统分配给用户使用，直到超过保留期后被系统回收。 按使用量计费：一种后付费模式，即先使用再付费。在结算时会按照您在按需版本中，实际资源使用量收取费用，如密钥数量、API调用量等。 密钥管理服务的计费项是什么？ KMS包周期版服务的计费项包括基础版、企业版。 基础版提供软件保护等级服务，支持客户构建专属的密钥库，具备高度可扩展性；同时提供极简的密码运算接口能力，满足应用的安全快速集成。 企业版提供硬件保护等级服务，底层对接使用经国家密码管理局认证的密码机硬件，提供更高安全与合规等级保证的资源管理及密码运算服务，满足监管机构的检测认证要求。 KMS按需版服务的计费项包括密钥托管费、API调用费。 密钥托管费：密钥创建后托管在KMS服务产生的费用，按照密钥类型、密钥个数以天为周期进行计费。 API调用费：密钥创建后通过接口调用产生的请求费用，按照API请求次数计费，每个账户每月有20000次的免费请求次数，超过20000次后开始计费。 具体的计费项详情请参考计费项。

为什么选择弹性云主机 选择弹性云主机，您可以轻松构建具有以下优势的计算资源： 无需自建机房，无需采购以及配置硬件设施。 分钟级交付，快速部署，缩短应用上线周期。 成本透明，按需使用，支持根据业务波动随时扩展和释放资源。 提供GPU云主机以及通用x86/ARM架构云主机。 支持通过内网访问其他天翼云服务，形成丰富的行业解决方案，降低公网流量成本。 提供安全组、ACL、角色权限控制、防流量攻击等多重安全方案。 提供性能监控框架和主动运维体系。 提供行业通用标准API，提高易用性和适用性。 管理方式 天翼云提供如下方式进行云主机的配置和管理： 控制台：天翼云提供Web化的服务管理平台，即控制台。 OpenAPI：天翼云提供基于HTTPS请求的API（Application programming interface）管理方式。

本文介绍函数运行时的Web Crypto的定义与用法。 Web Crypto API为常见的加解密任务提供了一组基础函数，可通过全局crypto.subtle接口访问。 支持的算法 边缘函数计划支持Web Crypto标准的所有操作，如下表所示： Algorithm digest() generateKey() （即将支持） importKey() exportKey() （即将支持） sign() verify() encrypt() decrypt() （即将支持） wrapKey() unwrapKey() （即将支持） deriveBits() deriveKey() （即将支持） ::::::::::::::: MD5 √ SHA1 √ SHA256 √ SHA384 √ SHA512 √ HMAC √ √ √ AESCTR √ √ √ √ AESCBC √ √ √ √ AESGCM √ √ √ √ AESKW √ √ √ RSASSAPKCS1 v1.5 √ √ √ RSA PSS √ √ √ RSA OAEP √ √ √ ECDH √ √ √ ECDSA √ √ √ HKDF √ √ PBKDF2 √ √ 备注：MD5不是Web Crypto标准的一部分，但支持与需要MD5的旧系统交互。MD5被认为是一种弱算法。不要依赖MD5来保证安全。

版本差异 标准版 和专业版的基础功能均支持身份认证、权限控制、账户管理、操作审计，主要功能差异为自动化运维、数据库运维审计两个增强功能。 详细版本功能差异： 功能项 功能说明 标准版 专业版 :::::::: 身份认证 用户账号双因子认证 支持手机令牌、手机短信、USBKey、动态令牌等多因子认证形式。 √ √ 身份认证 用户账号远程认证 支持AD域、RADIUS、LDAP、Azure AD远程认证。 √ √ 权限控制 系统访问权限 通过划分组织部分结构、分配用户角色、设置用户登录限制，控制用户登录和访问系统权限。 √ √ 权限控制 资源访问权限 按照用户、用户组、资源账户、账户组，建立用户对资源的访问控制授权，通过配置访问控制策略、双人授权、命令控制策略，实现对资源不同维度的控制。 √ √ 权限控制 双人授权 通过配置“双人授权”实现双人或多人权限审核，保障核心资源安全。 √ √ 权限控制 字符命令拦截 通过配置命令控制策略，对字符协议资源关键操作，进行动态授权。 √ √ 权限控制 数据库命令拦截 通过配置数据库控制策略，对数据库资源敏感、危险等操作，进行精确限制、二次复核。 说明：数据库命令拦截功能不区分云数据库还是自建的数据库。 × √ 账户管理 用户账号全生命周期管理 用户账号单个创建、批量导入、批量管理，以及划分用户组管理。 √ √ 账户管理 资源账户全生命周期管理 资源和资源账户的单个添加、批量导入、批量管理，以及资源账户的划分账户组管理。 √ √ 账户管理 纳管主机资源 支持纳管SSH、RDP、VNC、TELNET、FTP、SFTP、Rlogin协议类型的Linux和Windows资源。 √ √ 账户管理 纳管应用资源 支持通过Windows应用服务器，纳管Chrome、Edge、Firefox、Oracle Tool 、MySQL等浏览器或客户端应用资源。 √ √ 账户管理 纳管数据库资源 支持纳管DB2、MySQL、SQL Server和Oracle引擎类型数据库。 × √ 账户管理 资源账户自动改密 通过配置改密策略，定期修改资源账户密码，管控资源账户及登录密码。 √ √ 账户管理 资源账户自动同步 通过配置账户同步策略，及时发现僵尸账户或未被管控账户。 × √ 操作审计 系统登录和操作全程记录 支持导出系统日志、生成系统报表，以及配置告警通知。 √ √ 操作审计 资源运维操作全程审计 支持多种审计技术和审计形式，会话实时监控，历史会话可生成视频、导出文本报表的双重审计，并支持日志远程备份。 √ √ 操作审计 数据库行为审计 基于操作命令审计数据库运维全程。 × √ 高效运维 Web浏览器一站式运维 远程登录资源，无需安装客户端，一键登录运维资源，并集成批量登录、协同会话、文件传输、命令群发等功能。 √ √ 高效运维 第三方客户端运维 一键接入多种运维工具，支持多种运维形式，包括SSH客户端运维、FTP/SFTP客户端运维等。 √ √ 高效运维 数据库运维 通过SSO单点登录工具调用客户端，一键登录目标数据库。 × √ 高效运维 自动化运维 在线管理脚本，以及定时执行预置运维任务。 × √ 工单申请 访问授权工单、命令授权工单申请 系统用户为获取资源控制权限，通过手动或自动方式触发系统工单，提交工单给系统管理人员审批，获取权限的全程。 √ √ 工单申请 数据库授权工单申请 系统用户可触发数据库敏感操作，自动生成授权工单，系统用户需提交工单申请，由管理人员审批通过才能获取继续操作权限。 × √

本文介绍了RDSPostgreSQL的实例存储类型详细说明。 数据库是应用系统最为重要基础组件，需频繁进行磁盘读写操作，对存储IO性能要求较高，天翼云提供多种类型的存储IO以满足不同性能要求，您可根据需要选择所需的存储类型。RDSPostgreSQL暂时不支持创建实例后变更存储类型。 存储类型说明 RDSPostgreSQL普通IO、高IO、通用型SSD、超高IO、极速型SSD、XSSD系列（XSSD0、XSSD1、XSSD2）六种存储类型，均为云盘存储，支持弹性扩容，可以满足不同的业务场景，具体如下： 普通IO：适用于数据量不大、查询和更新频率不高的个人测试、学习等场景。 高IO：适用于主流的高性能、高可靠应用场景，例如大型开发测试、Web服务器日志以及企业应用。典型的企业应用有SAP、Microsoft Exchange和Microsoft SharePoint等。 通用型SSD：适用于高吞吐量，低时延的企业级办公场景。 超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景，例如要求高性能计算的关系型数据库。 极速型SSD：适用于需要极低的延迟和高的I/O性能的应用场景，大型OLTP（Online Transaction Processing）数据库等。 XSSD系列（XSSD0、XSSD1、XSSD2）：天翼云X系列云硬盘基于NVMe和RDMA技术，为您提供超高IOPS、超高吞吐量和超低时延的极致云硬盘。关于XSSD系列的性能介绍可参考X系列云硬盘。 注意 XSSD系列仅8代机支持选择该磁盘类型，同时仅部分资源池支持XSSD系列磁盘，后续会逐步加载其他资源池，请以实际订购界面展示为准。 云硬盘规格详情，请您参考云硬盘产品介绍产品规格磁盘类型及性能介绍。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本小节介绍服务器安全卫士的相关术语。 Agent 指服务器安全监测与防护代理软件，运行在客户服务器操作系统，该安全代理具备严格的权限和运行负载控制，保护服务器的同时对业务运行不产生影响。 弱口令 容易被别人猜测（包括信息泄露导致）或被破解工具破解的口令均为弱口令。 软件漏洞 应用软件、中间件软件或操作系统软件在设计、实现上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个服务器，窃取服务器中的重要资料和信息，甚至破坏系统服务。 Web后门 Web后门是一段网页代码，主要以ASP、PHP、JAVA代码为主。由于这些代码都运行在Web服务器端，攻击者通过插入这段精心设计的代码，在Web服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透、提权获得服务器的控制权。 POC POC（Proof of Concept）的中文意思是“观点证明”。漏洞报告中的POC是指一段说明或者一个攻击的样例，使得读者能够确认这个漏洞是真实存在的。 CVSS CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。 Rootkit Rootkit是一种特殊的恶意软件，它的功能是在目标服务器上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。

本例我们以Windows Server 2012数据中心版为例。 操作步骤 1. 与本地主机操作一致，首先通过VNC或其余远程登录方式登录轻量型云主机。 2. 右键单击桌面，选择屏幕分辨率，在弹出页面，选择合适的分辨率，点击确定、应用即可。

项 目 约束和限制 多版本数据库数据传输 建议源库和目标库版本保持一致，或者从低版本传输至 高版本以保证兼容性，不支持高版本传输至低版本。 任务限制 请根据您的操作类型查阅对应章节下各类任务配置中描述的前提和要求。例如：您需要从自建MySQL迁移至自建MySQL，请查阅“ 用户指南 > 数据库迁移服务模块 > 数据传输 > 数据迁移 > 任务创建 >自建MySQL为源的迁移任务配置 > 自建MySQL迁移至自建MySQL ”目录下的相关约束条件。 迁移速度 迁移速度受源端表数量、大小，带宽、数据库磁盘IO以及公网传输距离等因素影响。 复杂业务拉起、支撑限制 传输复杂业务时，需要记录业务关联信息，并根据需求按业务系统进行迁移、切换、测试； 应用切换时，需要停止相关业务进程，以保持一致性。切换完成后，也需相关熟悉业务人员进行测试验证，以此减少业务停机时间。 特定需求限制 如果存在涉密文件、需要保持IP不变等特定需求，需要通过工单进行技术咨询，以满足相应需求。 单任务和迁移任务数量限制 每个任务单次可处理的表上限为500张；每个用户可并发执行的任务数量为50个。每个任务只能迁移一个数据库，如需迁移/同步/订阅多个数据库，您需要为每个数据库配置任务。 迁移节点配置限制 迁移节点所在主机最低配置为4核CPU，8GB内存，Linux内核大于3.1.0。请根据实际数据库体量和迁移需求提升主机配置。为避免迁移执行影响业务系统性能，请勿将迁移节点安装在业务系统或数据库主机。 迁移网络限制 仅支持独享IP。为避免迁移执行影响业务系统性能，请勿将业务系统的访问带宽、业务系统与数据库的传输带宽用于数据迁移。建议数据迁移使用独享带宽。 源库限制 暂不支持库、模式名、表、列名、结构名中带短划线“”，例如“testdb”； 请确保源库和目标库的字符集兼容或一致，否则可能会导致数据不一致或失败； 暂不支持无主键、多主键表进行增量迁移、同步、订阅和稽核修复。 迁移/同步/订阅任务限制 同步/订阅仅适用于数据变更小于1000record/s场景，请勿应用于中大型密集业务间同步、灾备等场景； 迁移/同步/订阅暂只支持任务启动之后传输数据的UPDATE、INSERT、DELETE变化，不支持任务过程结构变化传输； 任务运行过程中，请勿变更库、表或列结构变更的DDL操作，否则任务会失败； 不支持迁移系统库、系统模式、系统表、临时表； 迁移过程中请保证数据库不发生主备切换，否则会导致迁移失败； 迁移过程请保证数据库的信息（IP、端口、用户名和密码）不发生变化，否则会导致迁移失败； 如仅执行全量数据迁移，请勿向源端数据库写入新的数据，否则会导致源和目标数据不一致； 数据一致性的保持需要用户业务配合，请勿两个业务节点上对同一个主键数据进行更新，避免主键冲突或相互覆盖。 迁移源端和目标端配置限制 由于数据迁移会并发执行INSERT操作，导致目标数据库的表产生碎片，因此目标数据库磁盘空间应为源数据库1.2倍以上； 由于传输过程中会对源库和目标库产生一定资源占用，因此源库和目标库所在服务器的CPU和磁盘使用率应小于90%； 源库和目标库需保持时区一致。

本小节介绍日志审计(原生版)场景下的程序日志定位告警异常处理实践。 应用场景 日志审计（原生版）已经采集到日志，但未触发对应告警。 前提准备 进入日志审计（原生版）平台。 通过控制台进入日志审计（原生版）实例。 告警服务逻辑 告警涉及服务：esinsert、alarmMgr、eventanalysvr。 告警涉及流程： eventana（告警解析）：通过Kafka接收logp解析的日志，根据告警规则解析该日志是否符合告警条件，符合条件则将该告警信息转发给alarm。 alarm：通过kafka接收eventana的告警信息，并触发告警，产生告警。 esinsert（录入elasticsearch）将产生的告警录入elasticsearch。 查看程序 点击“系统配置 > 系统运维”，在服务管理中，查看相关服务状态，出现异常时，点击“重启”重启程序，大约1分钟后刷新页面，再次查看服务状态是否正常。 查看程序日志 点击“系统配置 > 系统运维”，在服务管理中，点击“导出日志”，可导出服务日志。按流程步骤依次查看esinsert、alarmMgr、eventanalysvr等服务日志是否有异常信息。 中间件故障 各程序报告日志出现报错 ：Broker transport failure: 127.0.0.1:9092/0: Connect to ipv4127.0.0.1:9092 failed 日志分析：9092为Kafka服务端口，该提示说明Kafka服务出现异常。

新开通的MySQL实例，是否存在默认账户 存在默认账户，开通数据库时有要求输入root账户密码；如忘记开通时设置的root@%密码，系统会为账户生成初始随机密码，同时，后续可在控制台重置root@%账号密码。 重置步骤：在实例管理列表中找到需要重置密码的实例，点击“更多”“修改密码”， 即可重置root账户密码。 MySQL实例支持的加密函数 关系数据库MySQL版实例支持的加密函数跟官网保持一致，详情请参见官方文档。 MySQL实例开启GTID后有哪些限制 关系数据库MySQL版实例默认开启GTID且不支持关闭，集群搭建依赖GTID。如果关闭GTID，整个实例的功能（比如备份恢复、主备切换）会受到影响甚至无法运行。 针对社区版MySQL在开启GTID后执行下列三种语句会报错： 使用select语句建表（例如：create table...select）会报错。 如果在一个事务中同时处理支持事务的引擎（InnoDB）和不支持事务的引擎（MyISAM）会报错。 显式事务中创建临时表（create temporary table）会报错。 MySQL不同实例的CPU和内存是否共享 关系数据库MySQL版实例不同实例之间的资源是进行隔离的，实例之间不共享CPU和内存。 针对天翼云的用户订购的数据库实例是单独占用CPU和内存，适用于对性能稳定性要求较高的应用场景，可保证业务的高效稳定运行。 MySQL实例内能运行多少个数据库 关系数据库MySQL版产品对数据库运行数量上没有设置限制规则，取决于MySQL引擎本身的设置。 如果在主机CPU、内存和磁盘等系统资源都充足的前提下，实例对数据库数量是没有限制的。详情可以参看MySQL官方文档。