本文解释订购CDN加速资源包后仍会产生扣款或欠费可能的原因及解决方案。 当前CDN加速提供的资源包仅包括流量包，即使已订购流量包也并不意味着可以覆盖所有的费用，本文介绍为什么购买CDN加速流量包后仍有可能产生扣款或欠费的排查思路和解决方案。 排查思路 1. 若同时订购按量计费套餐，请确认计费方式是否为“流量”。 原因说明：如果按量计费方式由“流量”调整为“日带宽峰值”，已购的流量包会被冻结，域名如果有在使用加速服务，则实际是按日带宽峰值计费的方式扣款，并没有使用到流量包的用量。 解决方案：可变更计费方式为按量“流量”，实现流量包抵扣的效果。 2. 请确认流量包购买的加速区域跟实际加速业务的加速区域是否一致。 原因说明：CDN加速（中国内地）流量包和CDN加速【全球（不含中国内地）】流量包不支持互相通用。例如：已经订购CDN 加速（中国内地）流量包，仅可以抵扣中国内地产生的加速费用，不可抵扣全球（不含中国内地）的相关加速费用。 解决方案：如果有多个加速区域的业务加速需求，建议及时购买业务额度相符及加速区域相匹配的流量包。详情请见：产品开通。 3. 请确认实际的业务用量是否超出已购流量包的规格。 原因说明：已购的CDN加速流量包用量用尽或有效期到期后，如未及时续订，会自动转CDN加速按量计费。例如：已购的CDN加速下行流量包规格为500G，实际业务加速已使用550G流量，则超出的50G将采用CDN加速按量流量计费。 解决方案：在已购的CDN加速流量包剩余一定用量或即将到期前，天翼云会通过邮件的形式提醒账号联系人，如果希望一直沿用流量包的计费模式，收到提醒后应及时重新订购匹配业务额度规格的流量包。 注意 重新购买的流量包不能抵扣已经产生的按量流量用量。 4. 请确认是否存在多个计费项，CDN加速流量包无法覆盖所有加速服务的计费内容。 原因说明：CDN加速的计费构成主要包括：“基础服务”和“增值服务”，CDN加速流量包只能抵扣CDN加速过程中产生的下行流量，无法抵扣增值服务如CDN加速内容审核产生的费用。如在使用CDN加速流量包的同时，已开通CDN内容审核增值服务，此时建议优先核对额外产生的扣款或欠款是否来自于增值服务。 解决方案：请自行检查是否额外开通CDN增值服务，如当前支持CDN内容审核这一项增值服务，且该项增值服务为按量后付费，不支持资源包的计费模式。如有开通，系统会自动从账户余额里进行扣款。

本节介绍了容器镜像服务:创建自定义策略管理子账号权限。 操作场景 用户需要对子账号的CRS相关权限进行细粒度控制，通过创建自定义策略，提高管理CRS实例的灵活性和安全性。 前提条件 拥有主账号权限 已开通容器镜像服务CRS实例 操作步骤 创建自定义策略 方式一：使用IAM策略助手创建自定义策略（推荐） 1. 登录容器镜像服务控制台，选择左侧导航栏的 IAM策略助手功能。 2. 选择创建方式:。 1. 基于系统策略自定义：如果您需要在系统策略的基础上进行修改，可以选择所需的系统策略，然后点击【克隆】。 2. 从零创建自定义策略：如果您需要完全自定义策略，请点击【创建权限策略】。 3. 以从零创建自定义策略为例，在创建策略页面，输入策略的【 策略名称】 和【 策略备注】。 4. 权限语句分为三个部分，配置完成后，点击保存权限语句： 1. 权限效力：允许（允许策略中配置的权限和资源），拒绝（拒绝策略中配置的权限和资源）。 2. 操作权限：勾选您需要配置的操作权限。您可以在列表中搜索和选择需要的 CRS 操作。 3. 操作权限的资源：根据所选的操作权限，部分权限支持配置限定资源范围，例如实例、命名空间、镜像仓库等。具体可配置的资源类型请参考文档配置IAM权限CRS资源权限控制。 5. 完成权限语句配置后，点击【 下一步】，进入策略预览页面。 1. 推荐勾选CTIAM同步生效， 默认情况下，IAM同步生效 选项会被勾选。 强烈建议您保持勾选此选项，以便在IAM控制台同步生成对应的自定义策略，方便统一管理。 2. 如果您不勾选此选项，您可以在策略预览页面复制JSON格式的策略内容，然后登录IAM控制台手动创建自定义策略。 6. 在 IAM 策略助手页面，您可以对已保存的自定义策略进行克隆、编辑和删除等管理操作。 7. 状态栏会显示自定义策略在IAM的生效状态。 例如，如果策略在IAM控制台中被修改，导致与IAM策略助手中的策略内容不一致，状态栏将显示未生效。 为了保持策略的一致性和可管理性，强烈建议您使用IAM策略助手统一管理您的CRS相关自定义策略。

简单易用 容器镜像服务的管理控制台简单易用，支持镜像的全生命周期管理 安全可靠 容器镜像服务遵循HTTPS协议保障镜像安全传输，提供账号间、账号内多种安全隔离机制，确保用户数据访问的安全 无缝对接CCE 容器镜像服务提供镜像部署入口，与云容器引擎CCE无缝对接，一键式部署容器应用 开放兼容 全面支持社区Registry V2协议，支持通过控制台或社区CLI管理镜像

本文说明应用加速产品升级情况。 尊敬的天翼云客户： 因业务调整，从2024年12月1日起，天翼云应用加速产品将并入边缘安全加速平台，边缘安全加速平台边缘接入服务可提供应用加速和边缘DDoS防护能力，相比于应用加速的应用场景更丰富。 新购客户：2024年12月1日起，将无法订购应用加速产品。如需订购，请订购其升级产品边缘安全加速平台边缘接入服务。 存量客户：应用加速产品将持续提供服务至您当前订单周期结束，但从2024年12月1日起，将无法进行续订和变更。如需续订，请订购其升级产品边缘安全加速平台边缘接入服务；如需变更，请先退订应用加速产品，再通过订购边缘安全加速平台的边缘接入服务来满足您的需求。 更多边缘安全加速平台信息详见： 如有任何问题，请您随时通过在线客服或服务热线4008109889联系我们，我们将竭诚为您服务。 感谢您对天翼云的支持！ 天翼云服务团队

本章节会介绍自建MySQL迁移操作步骤。 创建VPC 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击服务列表图标，选择“网络 > 虚拟私有云。进入虚拟私有云信息页面。 4、单击“创建虚拟私有云”购买VPC。 5、单击“立即创建”。 6、返回VPC列表，查看创建VPC是否创建完成。当VPC列表的VPC状态为“可用”时，表示VPC创建完成。 创建安全组 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。进入虚拟私有云信息页面。 4、选择“访问控制 > 安全组”。 5、单击“创建安全组”。 6、填写安全组名称等信息。 7、单击“确定”。 8、返回安全组列表，单击安全组名称“sg01”。 9、选择“入方向规则”，单击“添加规则”。 10、配置入方向规则，放通数据库3306端口。

更新日期 更新内容 :: 20221027 第一次正式发布 本次更新说明如下： 新增账单服务、域名管理、刷新预热、统计分析、日志下载接口 20221130 第二次正式发布 本次更新说明如下： 查询域名攻击的攻击IP/被攻击URL/攻击来源/攻击类型分布、查询域名攻击概况、 批量域名配置增加/编辑/删除/启用/停用、更新bot防护配置、查询bot防护配置

功能模块 权限名称 DTSadmin DTSuser DTSviewer 能力管理 获取特定用户的能力信息表 Y Y 告警管理 获取告警规则详情 Y Y Y 告警管理 添加告警规则 Y Y 告警管理 修改告警规则 Y Y 告警管理 查询所有告警项 Y Y Y 告警管理 查询告警列表 Y Y Y 告警管理 删除告警规则 Y Y 任务管理 获取源库中的位点信息 Y Y Y 任务管理 获取预检查项 Y Y Y 任务管理 进行预检查 Y Y Y 任务管理 获取特定表的列信息 Y Y Y 任务管理 获取结构详情 Y Y Y 任务管理 获取全量详情 Y Y Y 任务管理 获取增量详情 Y Y Y 任务管理 结构迁移状态 Y Y Y 任务管理 全量迁移状态 Y Y Y 任务管理 全量迁移状态 Y Y Y 任务管理 增量状态 Y Y Y 任务管理 判断是否满足一键切换条件 Y Y Y 任务管理 一键切换任务 Y Y 任务管理 判断是否已执行一键切换 Y Y Y 任务管理 获取任务详情 Y Y Y 任务管理 校验SQL语句 Y Y 任务管理 通过id获取dataMediaPair Y Y Y 任务管理 获取源库中存在的schema信息 Y Y Y 任务管理 获取某个schema下的迁移对象 Y Y Y 任务管理 检查数据库连通性 Y Y Y 任务管理 获取实例列表信息 Y Y Y 任务管理 获取实例详情 Y Y Y 监控管理 全量传输性能监控接口 Y Y Y 监控管理 增量传输性能监控接口 Y Y Y 监控管理 获取全量开始结束时间 Y Y Y 监控管理 获取增量开始结束时间 Y Y Y 许可证管理 核查许可证是否过期 Y Y Y 任务管理 错误日志详情信息 Y Y Y 任务管理 错误日志列表 Y Y Y 机器管理 获取所有机器 Y Y Y 机器管理 获取通过id单台机器 Y Y Y 机器管理 新增机器 Y Y 机器管理 添加时测试机器信息是否准确 Y Y Y 环境管理 添加时检查java版本 Y Y Y 环境管理 检查能否连接到zookeeper Y Y Y 环境管理 部署Node Y Y 任务管理 获取操作日志列表 Y Y Y 任务管理 存储前端数据 Y Y 任务管理 编辑前端数据 Y Y 任务管理 查看前端数据 Y Y Y 任务管理 获取pipeline信息 Y Y Y 任务管理 插入数据 Y Y 任务管理 编辑数据 Y Y 任务管理 数据库修改密码 Y Y 任务管理 启动任务 Y Y 任务管理 任务列表 Y Y Y 任务管理 任务详情 Y Y Y 任务管理 任务筛选 Y Y Y 任务管理 批量启停任务 Y Y 任务管理 数据稽查 对象级 Y Y Y 任务管理 对象级迁移数据对比 Y Y Y 任务管理 数据稽查 数据级 Y Y Y 任务管理 内容对比列表 Y Y Y 任务管理 内容稽核任务概要信息查询 Y Y Y 任务管理 内容稽核任务中不一致的chunk对的详细结果查询 Y Y Y 任务管理 内容稽核任务获取未检查表信息 Y Y Y 任务管理 开始内容对比任务 Y Y 任务管理 执行数据稽查 Y Y 任务管理 获取数据级对比任务详情 Y Y Y 任务管理 数据级迁移数据对比 Y Y 任务管理 根据任务类型查询任务列表 Y Y Y 任务管理 校检日志位点信息 Y Y Y 任务管理 获取任务配置参数 Y Y Y 任务管理 修复任务配置参数 Y Y 任务管理 获取数据修正详情 Y Y Y 任务管理 执行数据修正 Y Y 标签管理 绑定标签 Y Y 标签管理 解绑标签 Y Y 标签管理 删除标签 Y Y 任务管理 获取任务时间线 Y Y Y 资源管理 文件上传 Y Y 用户管理 用户登录 Y Y Y 用户管理 用户退出 Y Y Y 资源管理 获取控制台版本 Y Y Y OpenAPI 配置任务 Y Y OpenAPI 启动任务 Y Y OpenAPI 查询任务详情 Y Y Y OpenAPI 查询任务列表及各任务执行详情 Y Y Y OpenAPI 查询任务的子任务执行详情 Y Y Y OpenAPI 暂停任务 Y Y OpenAPI 结束任务 Y Y OpenAPI 释放任务 Y Y OpenAPI 修改任务源或目标库的账号密码 Y Y OpenAPI 修改任务名称 Y Y OpenAPI 查询所有的告警项 Y Y Y OpenAPI 创建告警规则 Y Y OpenAPI 修改告警规则 Y Y OpenAPI 查询告警规则列表 Y Y Y OpenAPI 创建标签 Y Y OpenAPI 查询标签 Y Y Y OpenAPI 解绑标签 Y Y OpenAPI 查询实例的所有标签 Y Y Y OpenAPI 查询标签键对应的所有值 Y Y Y

downloadsforv12114) 支持使用PVC动态创建SFS Turbo子目录并挂载。 修复部分安全问题。 v1.21.12r4 ++v1.21.14++ 修复CVE202421626安全漏洞。 v1.21.11r20 ++v1.21.14++ Volcano支持节点池亲和调度。 Volcano支持负载重调度能力。 修复部分安全问题。 v1.21.11r10 ++v1.21.14++ 优化节点池伸缩时的事件信息。 修复部分安全问题。 v1.21.11r0 ++v1.21.14++ 节点池配置管理支持软驱逐和硬驱逐的设置。 修复部分安全问题。 v1.21.10r10 ++v1.21.14++ 负载均衡支持设置超时时间。 kubeapiserver高频参数支持配置。 修复部分安全问题。 v1.21.10r0 ++v1.21.14++ 增强docker版本升级时的可靠性。 优化集群节点时间同步能力。 优化节点重启后，docker运行时拉取镜像的稳定性。 修复部分安全问题。 v1.21.7r0 [++v1.21.14++](

安全组配置错误 问题现象：随便进入一个pod容器内部，使用service ip:端口可以正常访问，但是使用service域名:端口就不通。 可能原因：查看dns日志一直没有变化，说明没有请求到达dns。可能是修改了容器使用的安全组，拦截了UDP协议下53端口的通信。 解决方法：修改集群安全组，放开UDP协议的53端口规则。

本文介绍了如何在公网连接RDSPostgreSQL。 RDSPostgreSQL支持客户以公网形式通过PostgreSQL客户端连接实例。 前提条件 1.绑定弹性IP并设置安全组规则 订购并创建弹性公网IP，请参见申请弹性IP。 获取本地设备的IP地址，以便配置安全组使用。 配置安全组规则，将本地设备IP地址及目标实例端口加入安全组允许访问范围中。安全组设置参见添加安全组规则。 2.安装PostgreSQL客户端 请参见数据库基本使用安装PostgreSQL客户端。 命令行连接 通过公网连接RDSPostgreSQL实例。以Linux系统为例，可以执行如下命令： psql h p U d 参数说明： ：主机IP，即控制台页面的实例列表>实例详情页面中的网络下的"弹性IP"。 ：数据库端口，为“实例详情”页面中的数据库端口。 ：用户名，即 PostgreSQL数据库帐号（默认管理员帐号为 root）。 ：数据库名，即PostgreSQL实例里面的数据库，默认初始化的数据库名是postgres。 示例： psql h xx.xx.xx.xx p xxxx U root –d postgres

本章节向您介绍什么是网络ACL。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同，安全组对云主机、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。 网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。 以下图为例， 如下图所示。 图 安全组与网络ACL在区域A内，某客户的虚拟私有云VPCX有两个子网，子网SubnetX01关联网络ACL FwA，SubnetX01内部署的实例面向互联网提供Web服务。子网SubnetX02关联网络ACL FwB，基于对等连接连通SubnetX02和SubnetY01的网络，通过SubnetY01内的实例远程登录SubnetX02内的实例。 FwA的规则说明： 入方向自定义规则，允许外部任意IP地址，通过TCP (HTTP)协议访问SubnetX01内实例的80端口。如果流量未匹配上自定义规则，则匹配默认规则，无法流入子网。 网络ACL是有状态的，允许入站请求的响应流量出站，不受规则限制，因此SubnetX01内实例的响应流量可流出子网。非响应流量的其他流量则匹配默认规则，无法流出子网。 FwB的规则说明： 入方向自定义规则，允许来自SubnetY01的流量，通过TCP (SSH)协议访问子网SubnetX02内实例的22端口。 出方向自定义规则，放通ICMP协议全部端口，当在SubnetX02内实例ping测试网络连通性时，允许去往SubnetY01的流量流出子网。 说明 图中提供的示例仅为您展示了网络ACL对出入子网的流量控制。在实际业务中，除了网络ACL，实例上绑定的安全组也会影响出入实例的流量。

本节介绍了公网IP相关问题与处理方法。 场景排查 1. 检查安全组规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。 解决方案 1. 检查安全组规则。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 检查弹性云主机网卡对应的安全组是否放通了“入方向”的“ICMP”规则。 表 安全组规则 放向 类型 协议和端口 原地址 入方向 IPv4 Any：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 2. 检查“ 网络ACL”规则。 排查“网络ACL”是否放通。查看“网络ACL”状态，查看当前是开启状态还是关闭状态。 检查“弹性IP”绑定的网卡是否在“网络ACL”关联的子网下。 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 说明 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 3. 相同区域主机进行ping测试。 在相同区域的弹性云主机去ping没有ping通的弹性公网IP，如果可以正常ping通说明虚拟网络正常，请联系客服获取技术支持。

本文主要介绍分布式消息服务RabbitMQ的准备环境。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为RabbitMQ专享版实例提供一个隔离的、用户自主配置和管理的虚拟网络环境。 1. 在创建RabbitMQ专享版实例前，确保已存在可用的虚拟私有云和子网。 创建方法，请参考创建虚拟私有云和子网。如果您已有虚拟私有云和子网，可重复使用，不需要多次创建。 在创建VPC和子网时应注意如下要求： 创建的VPC与使用的RabbitMQ服务应在相同的区域。 创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 2. 在创建RabbitMQ专享版实例前，确保已存在可用的安全组。 创建方法，请参考创建安全组。如果您已有安全组，可重复使用，不需要多次创建。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL加密） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL加密） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密） 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加上表中的规则。

范本案例 []( 【案例】天翼云认证账号类型为：企业用户，认证企业名称为：A公司。 A公司在天翼云平台提交了一个名为“B”的签名，就需要获得B公司的授权。那授权书正确填写的内容应该为下图所示案例： 说明:建议授权书有效期不能太短，如果授权书过期也会导致您平台短信内容需要重新提供授权，为了不影响您短信的正常使用，建议有效期时间保证在1年以上。

云点播产品主要优势。 一体化解决方案 提供集音视频上传、媒体资源管理于一体的音视频服务，客户可按需接入使用。 提供视频加密，防盗链等多种安全手段，保护媒资安全。 可与CDN紧密耦合，帮助用户快速上线业务。 专业视频处理 强大的云端处理能力，支持H.264/265/VP9等多种编码规格，支持4K/8K超高清视频的快速转码。 支持雪碧图截图、视频拼接、视频水印等常见专业场景需求。 播控安全 通过Referer黑白名单等安全技术，限制盗推、盗播等恶意行为。 支持基于 HLS 的标准加密，有效解决视频盗播带来的经济损失。

计费项 基础版 标准版 企业版 旗舰版 适用范围 适合个人网站、小型网站等只需要满足基础安全需求对业务没有特殊安全需求用户，不适用于商业用户 适用于对少量用户提供业务服务，没有大量高频访问中小型网站，没有特殊安全需求，仅需要满足基础防护能力 适用中大型企业或服务对互联网公众开放，有较高访问频率，并有较高数据安全与网络安全防护需求的网站防护 适用于大型及超大型复杂业务网站防护或有特殊定制安全需求的用户（支持定制需求，定制需求需要和客户经理联系） 主套餐 99元/月 3880元/月 9800元/月 29800元/月 域名扩展包 600元/个/月 1000元/个/月 2000元/个/月 业务扩展包 1000元/个/月 2000元/个/月 2000元/个/月 规则扩展包 70元/个/月 70元/个/月 70元/个/月

本页介绍天翼云TeleDB数据库系统视图dual的内容。 视图的作用：模拟Oracle 数据库中的 DUAL 表，Oracle 中的 DUAL 表是一个特殊的表，可以用来返回一个单行单列的结果。 名称 类型 定义 dummy varchar 值是一个固定的字符串'X'

参数 说明 是否支持修改 IKE策略 版本 IKE密钥交换协议版本，支持的版本：v2。 × IKE策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IKE策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IKE策略 DH算法 支持的算法： Group 14（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 默认配置为：Group 15。 √ IKE策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：60~604800 默认配置为：86400。 √ IKE策略 本端标识 IPsec连接协商时，VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致，否则协商失败。 默认配置为：VPN网关的EIP。 × IPsec策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IPsec策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IPsec策略 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 默认配置为：DH group 15。 √ IPsec策略 传输协议 IPsec传输和封装用户数据时使用的安全协议。 目前支持的协议：ESP。 × IPsec策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800 默认配置：3600。 √

本节介绍了云主机相关的术语解释。 实例 实例即弹性云主机，是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。 镜像 镜像是一个包含了软件及必要配置的弹性云主机模板，至少包含操作系统，还可以包含应用软件（例如，数据库软件）和私有软件。通过镜像，您可以创建弹性云主机。 公共镜像 公共镜像为系统默认提供的镜像，常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 私有镜像 私有镜像为用户自己创建的镜像。包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 云硬盘 云硬盘（Elastic Volume Service，EVS）可以为弹性云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。

此小节介绍运维用户客户端无法访问用户资产的处理方法。 运维用户客户端无法访问服务器、数据库等用户资产需要排查客户端到云堡垒机以及云堡垒机到运维资产的网络通路，重点排查安全组配置。 注意 请先确认以下配置均已正确配置： 运维终端已正确安装访问插件，并配置访问路径； 用户拥有访问及运维资产的授权。 排查步骤 1. 检查客户端到云堡垒机网络是否能连通。 在您的客户端使用ping命令测试客户端与堡垒机的网络是否连通，如果连接失败，请您登录堡垒机控制台，查看堡垒机EIP是否正常，检查云堡垒机实例安全组策略是否正确配置，确认IP和端口是否正确开放，具体请查阅安全策略配置方法。 2. 检查堡垒机到运维资产网络是否能连通。 检查云堡垒机实例到运维资产的网络和端口是否开放，需要检查运维资产所属安全组的安全端口访问策略限制，是否允许云堡垒机实例访问运维资产。

本文介绍在源站IP暴露的情况下，如何设置保护源站。 适用场景 场景1：如果您的源站服务器部署了防火墙，并且部署了访问控制策略，您必须在源站访问控制策略里为Aone安全与加速边缘云节点添加白名单，放行边缘云节点IP，避免由边缘安全加速平台安全与加速服务转发回源的请求被误拦截，影响网站正常访问。 场景2：为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 前提条件 已经订购边缘安全加速平台安全与加速服务基础版及以上套餐版本，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置回源IP方案 1.登录边缘安全加速平台控制台。 2.在工具回源IP管理中，单击【配置回源IP方案】，完成配置后，可在控制台查看回源IP段。 注意 1、如果您首次配置，请先到通知渠道页面编辑通知方式，然后再点击【配置回源IP方案】按钮。如果您有特殊的需求，可 2、创建时每个域名的任务会单独发送一次通知；后续回源IP列表更新时，所有启用的域名任务会合并结果后发送通知。 提示：控制台的回源ip管理配置不会覆盖后台客服人员配置的任务，如果您发现收到重复的通知，可提交工单联系我们进行确认。

本节介绍了密钥对、使用场景、创建密钥对操作指引、约束与限制。 密钥对 密钥对，即SSH密钥对，是为用户提供远程登录云主机的认证方式，是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥，公钥自动保存在系统中，私钥由用户保存在本地。若用户将公钥配置在Linux云主机中，则可以使用私钥登录Linux云主机，而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云主机，因此，可以防止由于密码被拦截、破解造成的帐户密码泄露，从而提高Linux云主机的安全性。 您可以通过数据加密服务（Data Encryption Workshop）管理密钥对，包括创建、导入、绑定、查看、重置、替换、解绑、删除密钥对等。 本章节主要介绍如何创建和导入密钥对。 使用场景 用户在购买弹性云主机时，建议选择密钥对进行用户身份认证，或者通过提供的密钥对获取Windows操作系统弹性云主机的登录密码。 1. 登录Linux操作系统的弹性云主机。若用户购买的是Linux操作系统的弹性云主机，可以直接使用密钥对远程登录云主机。 1. 创建弹性云主机时，选择“密钥对方式”登录，详细操作，请参见步骤三：高级配置的“设置‘登录凭证’”。 2. 创建弹性云主机完成后，通过“绑定密钥对”的方式为云主机绑定密钥对。 2. 获取Windows操作系统弹性云主机的登录密码若用户购买的是Windows操作系统的弹性云主机，可以通过密钥对的私钥获取登录密码，该密码为随机密码，安全性高。详细内容，请参见获取Windows弹性云主机的密码

本文介绍镜像仓库基本概念。 镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署 docker 容器镜像。镜像仓库包括如下内容： 天翼云官方镜像：展示了天翼云平台上的公开镜像，您可以基于公开镜像创建应用； 我的镜像：展示了用户创建的所有镜像仓库。 本章节将为用户介绍容器镜像仓库的基本使用方法，说明【创建】>【上传】>【管理】的仓库使用流程，用户完成镜像上传后，即可在应用创建流程中通过选择【我的镜像】，使用用户自己上传的私有镜像部署应用。 注意事项 镜像仓库不扫描用户上传的镜像，不负责对用户上传的镜像进行安全性验证。上传的镜像中请不要包含未加密的口令，密码等隐私信息，以避免隐私泄露。用户从第三方网站下载公有镜像时，应确定数据来自于可信的仓库源，以避免下载到恶意软件； 如果使用自定义镜像，请确保镜像来源可信，不在容器镜像内安装不必要的软件，在升级时使用安全补丁升级镜像。使用第三方镜像，造成的后果（例如：环境不可用）用户需自己承担； 磁盘满将会导致无法上传镜像到仓库，将会有异常提示信息告知，但并不会影响其他服务；为防止其它业务（例如日志）把磁盘占满，导致仓库无法上传，建议对仓库的存储独立挂盘。 在使用之前，您需要了解以下基本概念： 镜像仓库： 提供docker容器镜像管理功能，用户在创建容器应用前，需要将应用所需的镜像上传到镜像仓库。docker镜像是一个模板，用于创建docker容器。docker提供了一个简单的机制来创建新的镜像或更新已有镜像。 （仓库）属性： 属性分为公有和私有两种。公有：任何租户、用户均可以下载。私有：仅当前租户或租户下的用户可用。

本文为您介绍Web应用防火墙客户控制台【态势感知】的开启条件以及操作步骤。 功能介绍 客户如果购买了态势感知大屏服务，可以在控制台查看实时的安全态势感知服务。安全态势感知服务根据客户维度，实时展示客户业务整体的攻击情况，主要包括：攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通Web应用防火墙（边缘云版）扩展服务可视化大屏服务，支持使用态势感知，具体请见可视化大屏服务 操作步骤 登录Web应用防火墙（边缘云版）控制台 在左侧导航栏中选择【态势感知】，浏览器将跳转至新页面，为您展示目前已接入域名的安全态势

方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。

方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。

方法 说明 GET 请求服务器返回指定资源 PUT 请求服务器更新指定资源 POST 请求服务器新增资源或执行特殊操作 DELETE 请求服务器删除指定资源，如删除对象等 HEAD 请求服务器资源头部 PATCH 请求服务器更新资源的部分内容

方法 说明 GET 请求服务器返回指定资源 PUT 请求服务器更新指定资源 POST 请求服务器新增资源或执行特殊操作 DELETE 请求服务器删除指定资源，如删除对象等 HEAD 请求服务器资源头部 PATCH 请求服务器更新资源的部分内容

方法 说明 GET 请求服务器返回指定资源 PUT 请求服务器更新指定资源 POST 请求服务器新增资源或执行特殊操作 DELETE 请求服务器删除指定资源，如删除对象等 HEAD 请求服务器资源头部 PATCH 请求服务器更新资源的部分内容

本小节介绍如何进行文件验证。 按照CA中心的规范，如果您申请了SSL证书，则必须完成域名验证（又称验证域名所有权）来证明待申请证书要绑定的域名属于您。 文件验证，是指您手动从证书管理服务控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。CA机构验证文件路径可以被访问，则表示验证通过。 注意 目前CA中心仅支持向80、443端口发起验证请求，因此您的业务需开放80、443端口。 天翼云仅支持绑定IP域名和单域名类型证书使用文件验证。 验证步骤 获取验证信息 提交证书申请后，单击“证书验证”，获取证书验证信息。如下图所示。 您可以直接单击“操作”列的“导出文件”，将需要上传的文件导出至本地。 创建文件 1. 登录您的服务器，并且确保域名已指向该服务器并且对应的网站已正常启用。 2. 在现有网站目录的根目录下，创建指定的文件。该文件包括文件目录、文件名、文件内容。 说明 网站根目录是指您在服务器上存放网站程序的文件夹，大致有这几种表示名称：publichtml、htdocs、assets、logs等。请您根据实际环境进行操作。 1. 依次执行以下命令，在服务器的Web根目录（Nginx服务默认为/var/www/html/） 下创建文件验证目录（ .wellknown/pkivalidation/）。 plaintext cd /var/www/html mkdir p .wellknown/pkivalidation 2. 在 /var/www/html/.wellknown/pkivalidation/目录下，创建fileauth.txt 文件，fileauth.txt 为验证信息中显示的文件名。在fileauth.txt文件中把验证信息中的文件内容复制粘贴上去。 说明 您可以直接在控制台选择“导出文件”，直接将文件上传至相关目录。 3. 打开浏览器，根据验证的域名类型，访问对应的链接地址，确保访问链接地址可获取到文件内容。 链接地址格式为： 4. 成功配置文件验证信息后，等待CA中心对文件验证信息进行审核，审核通过后，证书变为“已签发”状态。

软件开发生产线控制台自定义策略 如果系统预置的软件开发生产线控制台权限，不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：“《统一身份认证用户指南》​>创建自定义策略”。本章为您介绍常用的软件开发生产线控制台自定义策略样例。 软件开发生产线控制台自定义策略样例 示例1：授权用户在控制台订购软件开发生产线 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ " devcloud:monthlyPackage:subscribe " ] } ] } 示例2：拒绝用户变更软件开发生产线套餐规格 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循 Deny优先原则 。 如果您给用户授予DevCloud Console FullAccess的系统策略，但不希望用户拥有DevCloud Console FullAccess中定义的变更软件开发生产线套餐规格，您可以创建一条拒绝变更软件开发生产线套餐规格的自定义策略，然后同时将DevCloud Console FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以在软件开发生产线控制台中，执行除了变更软件开发生产线套餐规格外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ " devcloud:monthlyPackage:subscribe " ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "devcloud::listResourceDetail", "bss:order:update", "ecs:cloudServers:delete" ], "Effect": "Allow" } ] }

可能影响 DN主节点启动失败，会导致访问到该DN的节点SQL报错，实例部分不可用； CN主节点启动失败，会导致流入该节点的SQL语句报错，流入其它CN主节点的DDL语句报错； CN/DN备节点失败失败，如果开启同步复制，同步复制节点数量不足且未启用退化策略时，会导致DDL、DML语句卡住； CN/DN备节点失败失败，可能会导致无可用备节点，主节点再次异常会导致实例不可用，有数据丢失风险。 解决步骤 1. 按照错误提示，修正pghba.conf文件内容； 2. 重新发起节点启动任务，或等待节点自动拉起。 postgresql.conf文件内容错误导致启动失败问题 问题描述 节点启动失败，启动日志（在Agent目录logs/clslog下对应节点的日志pgctl.startxxx.log）显示报错 configuration file "....../pghba.conf" contains errors，如： 20240115 01:01:08.874 GMT [21832,coord(0,0)] FATAL: configuration file "/data/xxx/....../postgresql.conf" contains errors 而前一行会提示错误位置和错误原因，例如： LOG: unrecognized configuration parameter "workmam" in file "/data/xxx/....../postgresql.conf" line 23 这里显示第23行的参数 workman无效，此处是参数名拼写错误，应该是workmem。 postgresql.conf中配置加载的参数文件postgresql.conf.user，或postgresql.auto.conf文件内容错误，也会启动失败，报错同上，仅指向文件不同。 需要说明的是，配置文件中参数名错误会导致节点启动失败，而参数值错误不会导致节点启动失败，只是参数值设置失效，仍会使用默认值。参数值错误，在启动启动日志（在Agent目录logs/clslog下对应节点的日志pgctl.startxxx.log）中会有类似如下提示： LOG: invalid value for parameter "workmem": "4m" HINT: Valid units for this parameter are "kB", "MB", "GB", and "TB". 这里显示workmem参数值错误，并给出了可选说明。