此章节为您介绍数据加密网关操作日志相关内容。 操作审计日志页面用来展示所有管理操作的日志，审计员可手动对每条日志执行审计。 数据库加密机支持操作日志完整性保护，在存储管理操作日志同时记录对应的完整性校验值，页面展示日志时会自动校验日志完整性，可有效防止非法用户恶意篡改操作审计日志。 查询审计日志 1. 使用审计角色登录数据加密网关。 2. 在菜单栏选择“日志管理 > 审计日志列表”进入审计列表页面。 3. 设置查询条件（时间范围、操作用户、操作描述），单击“查询”即可查询相关审计日志。 审计日志 1. 使用审计角色登录数据加密网关。 2. 在菜单栏选择“日志管理 > 审计日志列表”进入审计列表页面。 3. 选择需要审计的日志，单击“操作”列的“审计”按钮，进行审计。 4. 在审计日志列表页面查看审计结果。

本节描述了灾备实例升为主实例的操作场景、注意事项和操作步骤等内容。 操作场景 当主实例所在区域发生突发性自然灾害等状况，主节点无法连接，可将异地灾备实例升为主实例，在应用端修改数据库连接地址后，即可快速恢复应用的业务访问。 注意事项 灾备升主后的新主实例和原主实例将会解除灾备关系。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 单击灾备实例名称，进入实例的基本信息页面。 步骤 5 在左侧导航栏，选择“容灾管理”。 步骤 6 在容灾关系列表单击“操作”列的“灾备升主”。 步骤 7 在弹框中，单击“确认”，开始下发灾备升主任务。 步骤 8 可在“任务中心”中查看任务的执行结果，当任务状态为完成时，表示灾备升主任务成功。 步骤 9 需用户手动将业务切换到新主实例。 结束

本章介绍如何使用主子账号体系管理子账号权限。 概述 分布式消息服务RocketMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制（注意：一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中）。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本章节会介绍如何关闭读写分离 开通读写分离功能后，若您不需要读写分离功能，可以将其关闭。 操作步骤 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4、在实例列表中，单击只读实例所在的主实例名称，进入主实例的“基本信息”页面。 5、在左侧导航栏中，单击“数据库代理”，选择“数据库代理”页面。 6、在代理实例模块上，单击“删除代理服务”，在弹框中单击“确定”，删除该代理服务。 说明 关闭数据库代理服务将同时关闭读写分离。关闭后，使用读写分离地址连接的业务将中断，请将应用连接切换到实例的地址。 关闭读写分离功能后，只读实例还会继续收费。如果您确保业务侧没有配置并使用到只读实例，则可以选择将其释放。

云硬盘服务 可以将云硬盘挂载至物理机，并可以随时扩容云硬盘容量。 虚拟私有云 为物理机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间物理机的访问规则，加强物理机的安全保护。 镜像服务 您可以通过镜像创建物理机，提高物理机的部署效率。 云监控服务 当您开通了物理机后，安装telescope软件并完成相关配置，即可在云监控服务查看物理机的监控数据，还可以获取可视化监控图表。如何配置物理机带内监控，请参考《主机监控配置》。

本页介绍天翼云TeleDB数据库如何修改单个节点上参数。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击参数管理。 2. 在数据库参数 页签，在搜索框中输入配置项搜索 需修改的参数，单击查询， 查找要修改的目标节点。 3. 在查找出的参数行，单击编辑 按钮，出现编辑配置项 对话框。 4. 将修改值根据自己的需求设置为需调整后的参数，单击确定， 出现提示 对话框。 5. 您可单击立即前往 查看任务详情。

本节介绍了容器镜像服务:创建自定义策略管理子账号权限。 操作场景 用户需要对子账号的CRS相关权限进行细粒度控制，通过创建自定义策略，提高管理CRS实例的灵活性和安全性。 前提条件 拥有主账号权限 已开通容器镜像服务CRS实例 操作步骤 创建自定义策略 方式一：使用IAM策略助手创建自定义策略（推荐） 1. 登录容器镜像服务控制台，选择左侧导航栏的 IAM策略助手功能。 2. 选择创建方式:。 1. 基于系统策略自定义：如果您需要在系统策略的基础上进行修改，可以选择所需的系统策略，然后点击【克隆】。 2. 从零创建自定义策略：如果您需要完全自定义策略，请点击【创建权限策略】。 3. 以从零创建自定义策略为例，在创建策略页面，输入策略的【 策略名称】 和【 策略备注】。 4. 权限语句分为三个部分，配置完成后，点击保存权限语句： 1. 权限效力：允许（允许策略中配置的权限和资源），拒绝（拒绝策略中配置的权限和资源）。 2. 操作权限：勾选您需要配置的操作权限。您可以在列表中搜索和选择需要的 CRS 操作。 3. 操作权限的资源：根据所选的操作权限，部分权限支持配置限定资源范围，例如实例、命名空间、镜像仓库等。具体可配置的资源类型请参考文档配置IAM权限CRS资源权限控制。 5. 完成权限语句配置后，点击【 下一步】，进入策略预览页面。 1. 推荐勾选CTIAM同步生效， 默认情况下，IAM同步生效 选项会被勾选。 强烈建议您保持勾选此选项，以便在IAM控制台同步生成对应的自定义策略，方便统一管理。 2. 如果您不勾选此选项，您可以在策略预览页面复制JSON格式的策略内容，然后登录IAM控制台手动创建自定义策略。 6. 在 IAM 策略助手页面，您可以对已保存的自定义策略进行克隆、编辑和删除等管理操作。 7. 状态栏会显示自定义策略在IAM的生效状态。 例如，如果策略在IAM控制台中被修改，导致与IAM策略助手中的策略内容不一致，状态栏将显示未生效。 为了保持策略的一致性和可管理性，强烈建议您使用IAM策略助手统一管理您的CRS相关自定义策略。

本页介绍天翼云TeleDB数据库修改单个节点上参数。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击参数管理。 2. 在数据库参数 页签，在搜索框中输入配置项搜索 需修改的参数，单击查询， 查找要修改的目标节点。 3. 在查找出的参数行，单击编辑 按钮，出现编辑配置项 对话框。 4. 将修改值根据自己的需求设置为需调整后的参数，单击确定， 出现提示 对话框。 5. 您可单击立即前往 查看任务详情。

说明：本章节会介绍如何通过表级时间点恢复备份 操作场景 为了保证数据的完整性，以及降低对原实例的性能影响，在进行表级时间点恢复备份时，首先将选中时间点的全量数据和增量数据在后台恢复至一个临时实例，然后自动导出用户需要恢复的表，再将这些表恢复至原实例。由于需要对实例的所有数据进行备份及恢复操作，对于数据量较大的实例，所需时间较长，请耐心等待。通过表级时间点恢复备份，将不会导致实例数据被覆盖，您可以根据需要恢复库表。 前提条件 由于该操作会在源实例上新生成恢复后的库表，请确保您的源实例磁盘空间充足。 操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 对于MySQL引擎，在左侧导航栏，单击“备份恢复”，在“全量备份”子页签下，单击“更多”，在下拉框中单击“表级时间点恢复”。在“binlog备份”子页签下，单击“表级时间点恢复”。 填选恢复日期、可恢复的时间区间、要恢复到的时间点和选择恢复库表，单击“下一步：确认恢复信息”。 为了方便您操作，所需恢复的数据库和表名支持搜索。 系统会自动生成以时间戳为后缀的库表名，如果需要，您也可以自定义恢复后的库表名。 表名不能重复且满足：名称长度在1~64个字符之间，只能包含字母、数字、下划线、中划线或$，不能包含其他特殊字符并且不能与同库下的数据库名重命。 表级时间点恢复功能暂不支持库名带“.”字符的数据库恢复。 在“表级时间点恢复信息确认”页面，信息确认无误后，单击“立即恢复”。 在“实例管理”页面，可查看该实例状态为“恢复中”，恢复过程中该实例业务不中断。 同时，您可在“任务中心”页面，查看“表级时间点恢复”任务的执行进度及结果。 恢复成功后，您可根据实际情况对表进行数据处理。

分布式缓存服务 Redis 版支持以下方式开启 IPv6： 订购时启用：在创建实例时开启 IPv6 功能。 实例运行后启用：在实例详情页的 IPv6 连接地址处手动开启。 注意 开启 IPv6 后，此功能将无法关闭。 说明 1. 启用IPv6后，系统将为当前实例节点分配IPv6地址。 2. 请确认当前实例所在的VPC及其子网是否开启IPv6。如未开启，请您 前往网络控制台创建。 3. 如需通过IPv6访问Redis服务，请确保客户端具备 IPv6 网络支持。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情管理。 4. 在连接信息块下IPv6连接地址处，单击 “设置”按钮，点击开启IPv6按钮。

介绍分布式消息服务RabbitMQ虚拟主机权限管理内容。 场景描述 在RabbitMQ中，虚拟主机（Virtual Hosts, vhosts）是一种逻辑隔离机制，允许单个 RabbitMQ 实例划分为多个独立的环境。每个虚拟主机都有自己的交换机、队列、绑定和权限设置。虚拟主机的用户权限管理，支持对每个用户配置三种权限，分别是配置权限、写权限、读权限，用户在未配置这三种权限之前，无法访问对应的虚拟主机。三个权限的详情如下： 配置权限：允许用户创建、修改或删除交换器（Exchange）、队列（Queue）和绑定关系。 写权限：允许用户向交换器发布消息。 读权限：允许用户消费队列中的消息或获取队列状态。 权限配置 在RabbitMQ中，虚拟主机的用户权限配置，采用的是正则表达式匹配方式， 只有满足正则表达式的资源才有权限。比如配置写权限为："."，表示该用户可以向虚拟主机下全部的交换器发布消息。配置写权限为："^$”，表示该用户不允许向任何交换器发布消息。配置写权限为："^exchange."，表示该用户可以向虚拟主机下以"exchange"开头的交换器发布消息。 最佳实践 1. 登录管理控制台。 2. 进入RabbitMQ管理控制台。 3. 在实例列表页在操作列，目标实例行点击“管理”。 4. 进入具体的实例管理页面，点击Vhost管理，在vhost列表页，针对指定的vhost，点击vhost进入具体的权限管理页： 5. 在具体的权限管理页，点击新建，选择指定用户，配置权限为"."、"."、"."，则该用户拥有对虚拟主机下全部资源的配置权限、写权限和读权限： 6. 点击权限列表的操作列的“修改”或“删除”按钮，可以修改或删除对应用户的权限：

应用快、免安装 纯SaaS服务，无需安装任何软硬件，成本低 724小时全天候服务，按需购买，即买即用，无部署无需改变网络结构，无需占用机房或办公空间 资源广布，全网服务 支持多点检测，覆盖全国多地区、三大运营商线路 支持检测挂马、篡改、敏感内容、平稳度、域名解析、黑链等事件，并可以在用户门户上做可视化呈现 支持扫描 WASC 25 种 Web应用漏洞，全面覆盖 OWASP Top 10 Web应用风险 全流程管理，用户友好 多功能体系化产品，发现问题后能联动WAF进行风险处理 无需处理软硬件故障、升级等问题，完全托管，无需亲自运维 可视化看板、报表和态势跟踪全方位辅助业务数据跟踪，更好地进行业务管理 高效率，高专业度 分钟级实时监测能力，最高监测频率可达2min/次 漏洞扫描结果经安全专家验证，进一步保证结果可信

终端节点 终端节点用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。 在同一区域中，通过创建终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。 终端节点与终端节点服务一一对应，访问不同类型终端节点服务的终端节点存在差异： 访问“接口”型终端节点服务的终端节点：是具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 访问“网关”型终端节点服务的终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。 用户权限 系统默认提供两种权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 VPC终端节点的资源包括终端节点服务和终端节点，均属于区域级别的资源，需要在资源所在项目为用户添加权限。 区域和可用区 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 l可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 图 区域和可用区

本节介绍了云数据库TaurusDB如何绑定弹性公网IP。 操作场景 TaurusDB实例创建成功后，支持用户绑定弹性IP，通过公共网络来访问数据库实例，绑定后也可根据需要解绑。 绑定弹性公网IP 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在“网络信息”模块，单击“读写公网地址”后面的“绑定”。 图 设置安全组 步骤 6 在弹出框的弹性IP地址列表中，选择目标弹性IP，单击“确定”，提交绑定任务。 如果没有可用的弹性IP，您可单击“查看弹性IP”，跳转到网络控制台创建弹性IP，创建完成后请返回实例的基本信息页面绑定弹性IP。 注意 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。请参见 图 选择弹性IP 步骤 7 在“网络信息”模块“读写公网地址”处查看绑定成功的弹性IP。

进行分布式消息服务Kafka与开源自建对比。 分布式消息服务Kafka相对开源自建的Kafka提供更多功能服务，具备如下优势： 对比项 开源自建 分布式消息服务Kafka 低成本运维 需要专业人员资源规划、部署、运维。 一键开通，全托管。提供多种规格，按需使用，支持一键式节点数、磁盘存储空间和节点规格扩容。 分区规模 千级分区稳定性下降。 支持万级分区稳定写入。 消息查询 命令行可以消费，但无法根据位点或者时间直接定位到具体的消息。 控制台可视化按时间或者位点直接查看消息。 ACL访问控制 命令行，配置复杂。 灵活配置，一键生效。 可视化配置 命令行，配置复杂。 控制台全方位可视化配置管理。 运维监控 缺乏配套的监控运维能力。 提供全引擎指标可视化监控，告警及时发现问题。 集群巡检 命令行，配置复杂。 引擎状态、主题一键健康检测、启停。 稳定可靠 需要自己开发或基于开源实现，开发成本高昂，无法保证业务可靠运行。 支持跨AZ部署，提升可靠性。 安全保证 需要自行进行安全加固。 VPC隔离，支持SSL通道加密。 简单易用 无，需要自己开发。 提供简单的实例管理RESTful API，使用门槛低。

本页介绍天翼云TeleDB数据库如何进行告警规则管理。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树上，单击告警管理 > 告警规则管理，进入告警规则页面。 2. 在当前实例下拉框选择目标实例。 3. 搜索事件告警或指标告警。 选择事件告警 或指标告警 页签，您可在查询条件下拉框，选择开启 或关闭 ，输入告警名称，单击查询，搜索出事件告警或指标告警。 4. 新增、修改或删除事件告警。 1. 单击新增事件告警，出现新增事件告警对话框。 2. 在告警事件下拉框，选择告警事件，告警开启状态，单击确定完成新增告警。 3. 单击编辑，可在编辑事件告警对话框中，修改告警开启状态。 4. 单击删除 ，在提示框中，单击确定可删除事件告警。 5. 新增、修改或删除指标告警。 1. 单击新增指标告警，出现新增指标告警对话框。 2. 进入指标告警对话框，根据下表输入参数信息，单击确定完成新增指标告警。 参数 说明 告警名称 自定义，可根据业务需求填写。 告警指标 您可根据业务需求选择节点告警或机器告警。 当选择节点告警 ，包含如下告警指标。 数据库磁盘占用量 Xlog文件数量 sql执行最长时间 sql执行平均时间 每分钟请求数 每分钟查询请求数 每分钟插入请求数 每分钟更新请求数 每分钟删除请求数 每分钟其他请求数 缓存命中率 当前连接数 剩余xid 当选择机器告警 ，包含如下告警指标。 CPU使用率 CPU负载 内存使用率 磁盘使用率 网络入流量 网络出流量 tcp连接数 指标维度 指标维度包含如下： 全部 GTM节点 CN 数据主节点 数据备节点 告警条件 可选择一个区间范围，大于0或小于0。 检测频率 1分钟 5分钟 10分钟 20分钟 告警开启状态 开启 关闭 3. 单击编辑，在编辑指标告警对话框，可修改参数信息。 4. 单击删除 ，在出现的提示框，单击确定可删除指标告警。

本小节介绍Web应用防火墙知识类常见问题。 什么是Web应用防火墙？ Web 应用防火墙（Web Application Firewall，简称WAF）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品，承担了抵御常见的SQL注入、XSS、远程命令执行、目录遍历等攻击的作用。 什么是CC攻击？ CC是一个应用层的DDoS，是发生在TCP3次握手已经完成之后，所以发送的IP都是真实的。CC攻击的原理很简单，就是对一些消耗资源较大的应用页面不断地发起正常的请求，以达到消耗服务端资源的目的，在Web应用中，查询数据库、读写硬盘文件的操作，相对都会消耗比较多的资源。一个简单的例子，一个小的网站，可能被搜索引擎、信息收集等系统的爬虫爬死，或者是扫描器扫死，这与应用层的DDoS攻击的结果很像。 使用Web应用防火墙会影响用户的网页备案吗？ 不会，Web应用防火墙的本质是一种网站在线加速和防护服务，没有影响用户网站所在的机房。和传统CDN类似，使用CDN会改变网站的解析IP，但是并不会影响网站的备案。 Web应用防火墙需要关注哪些问题？ Web应用防火墙防护需要注意确保DNS牵引的正确性。面向的客户为采用天翼云主机作为网站服务的客户，客户购买服务前提必须提供正确的网站域名。

本章节为您介绍云审计IAM权限的相关内容 本文为您介绍云审计的权限管理能力，支持通过IAM实现对云审计的访问控制、权限分配。 云审计通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云审计服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云审计IAM策略说明 天翼云为云审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 cloudauditadmin 云审计管理员策略。 系统策略 全局 cloudauditviewer 云审计查看策略。 系统策略 全局 cloudauditauditor 云审计审计员策略。 系统策略 全局

本文为您介绍云防火墙（原生版）的权限管理能力，支持通过IAM实现对云防火墙（原生版）的访问控制、权限分配。 云防火墙（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云防火墙（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 IAM策略说明 天翼云为云防火墙（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 CFW admin 管理员，拥有云防火墙（原生版）全部操作权限。 系统策略 全局级 CFW viewer 仅拥有云防火墙（原生版）查看权限。 系统策略 全局级

云搜索服务已接入云审计服务。通过云审计服务，您可以查询云搜索服务相关的操作事件，便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 查询实例详情 instance 退订Logstash实例 instance 查询实例列表 instance 节点扩容 instance 磁盘容量 instance 实例升配 instance 重启实例 instance 创建管道 pipeline 更新管道 pipeline 部署管道 pipeline 停止管道 pipeline 查询管道列表 pipeline 查询管道内容 pipeline 删除管道 pipeline 开启Logstash日志功能 log 关闭Logstash日志功能 log Logstash绑定公网 node Logstash解绑公网 node

本小节介绍云堡垒机(原生版)产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

本小节介绍云堡垒机产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

Agent不同插件状态说明及处理方式 Agent有以下五种状态： 未安装/未启动：指未在该ECS/BMS中安装Agent或手动停止了Agent。 运行中：Agent运行正常，可正常上报监控数据。 故障：监控插件每1分钟发送1次心跳；当服务端3分钟收不到插件心跳时，“插件状态”显示为“故障”。 帐号余额不足。 Agent进程故障，请参照管理Agent（Linux）或者管理Agent（Windows）重启，如果无法重启则说明相关文件被误删，请重新安装Agent。 Agent插件配置出错，请先确认DNS地址配置正确，然后参考修改DNS与添加安全组（Linux）和手动配置Agent（Linux，可选）检查配置是否正确。 具体原因可查看日志文件/usr/local/telescope/log/common.log。 配置异常：ECS/BMS主机没有配置委托、当前委托权限异常、当前委托已失效、默认网卡安全组规则配置错误或DNS配置错误。 已停止：Agent被手动停止，可参考管理Agent（Linux）或者管理Agent（Windows）启动Agent。 Agent状态切换或监控面板有断点该如何处理？ 问题现象 当云监控服务的Agent进程出现以下现象时，可能是因为Agent负载过高，状态不稳定导致： 管理控制台主机监控页面的“插件状态”参数在“运行中”和“故障”两个状态切换。 监控指标面板中存在断点。

本节介绍了备份恢复相关问题。 TaurusDB能够保存多长时间的备份 云数据库TaurusDB实例的自动备份有效期根据用户设置的备份天数而定。详情请参见设置自动备份策略。 手动备份没有时间限制，用户可根据需要进行手动删除。详情请参见创建手动备份。 备份存储在对象存储服务上，不占用您创建的数据库空间。 如何清理云数据库TaurusDB的备份空间 TaurusDB的备份空间中存放的是自动备份、手动备份文件。 清理自动备份（全量备份+增量备份） 自动备份文件不支持手动删除，可通过修改备份策略调整备份保留天数，超出备份保留天数的已有备份文件会被自动删除。 清理手动备份（全量备份） 手动备份文件支持手动删除，具体请参见删除手动备份。 如何将TaurusDB数据库备份到弹性云主机上 您可以通过导出SQL语句的方式将数据库备份到弹性云主机上。弹性云主机不限制存放哪些数据，但是数据必须符合国家法律法规。您可以在弹性云主机上存放数据库备份，但不建议将弹性云主机作为数据库备份空间使用。 强烈推荐使用云数据库TaurusDB将备份数据存放到专业的对象存储服务上，以获得更高的数据可靠性和服务保障。

步骤二：替换证书 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击待替换证书的实例名称，进入实例详情页面。 步骤 5 在“连接信息 > SSL证书”后，单击“替换”，弹出“替换SSL证书”对话框。 图 连接信息 步骤 6 参考下表，设置替换SSL证书的参数。 图 替换SSL证书 表 替换SSL证书参数说明 参数名称 说明 Key密码 输入制作证书中设置的keystore密码 Keystore密码 输入制作证书中设置的keystore密码 Keystore文件 导入“server.keystore.jks”证书 Truststore密码 输入服务端证书的Truststore密码 Truststore文件 导入“server.truststore.jks”证书 步骤 7 单击“确定”，弹出“替换SSL证书”对话框。 步骤 8 单击“确认”，完成证书的替换。 在“后台任务管理”页签，替换SSL证书任务的“状态”为“成功”时，表示替换证书成功。 说明 证书替换成功后，在实例详情页单击“下载”，下载的证书为分布式消息服务Kafka提供的证书，并非您自己制作的证书。

DRDS支持为正常运行的实例创建手动备份，本文为您介绍具体的操作步骤。 前提条件 实例状态为运行中。 实例没有正在进行的备份任务。 注意事项 手动备份的文件，也会按照自动清理策略被清理，如有重要数据，请增多保留天数或及时做好数据保存，以免被系统清理。 一致性备份进行中时，禁止执行DDL命令，避免因锁表导致备份失败。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 单击备份恢复 ，进入备份列表页面。 5. 单击创建备份 ，然后在创建备份面板中，配置如下备份参数。 参数 描述 备份名称 本次手动备份的名称。备份名称长度为4位64位，不区分大小写，可以包含中文、字母、数字、中划线或下划线，不能包含其他特殊字符。 注意 备份名称不能与已有备份文件名称相同。 恢复策略 根据实际需要，选择备份策略： 快速备份：仅能保证单个MySQL的数据一致性，不能保证数据的全局一致性。 一致性备份：备份过程中，禁止执行DDL命令，避免因锁表导致备份失败。 描述 本次手动备份任务的描述。 6. 单击确定。 您可以在备份列表中查看当前备份的状态，当备份结果 为成功时，表示备份完成。 注意 DRDS的备份操作是原子性的。即对于其所关联的MySQL实例，有一个MySQL备份失败，则该备份操作的状态为失败。所有关联的MySQL备份成功，DRDS才显示备份成功。

本文介绍在源站IP暴露的情况下，如何设置保护源站。 适用场景 场景1：如果您的源站服务器部署了防火墙，并且部署了访问控制策略，您必须在源站访问控制策略里为Aone安全与加速边缘云节点添加白名单，放行边缘云节点IP，避免由边缘安全加速平台安全与加速服务转发回源的请求被误拦截，影响网站正常访问。 场景2：为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 前提条件 已经订购边缘安全加速平台安全与加速服务基础版及以上套餐版本，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置回源IP方案 1.登录边缘安全加速平台控制台。 2.在工具回源IP管理中，单击【配置回源IP方案】，完成配置后，可在控制台查看回源IP段。 注意 1、如果您首次配置，请先到通知渠道页面编辑通知方式，然后再点击【配置回源IP方案】按钮。如果您有特殊的需求，可 2、创建时每个域名的任务会单独发送一次通知；后续回源IP列表更新时，所有启用的域名任务会合并结果后发送通知。 提示：控制台的回源ip管理配置不会覆盖后台客服人员配置的任务，如果您发现收到重复的通知，可提交工单联系我们进行确认。

本文为您介绍产品轻量型云主机的产品定义。 轻量型云主机 轻量型云主机（CtyunLiteECS）是一款面向中小企业和个人开发者用户的计算服务产品。它提供了一种易于搭建和管理的云计算解决方案，集成了计算、存储和网络服务资源。轻量型云主机的特点是简单、易用、轻便、实惠。适用于低负载应用场景，例如网站搭建和云端学习等。 术语解释 下表为您介绍轻量型云主机相关的名词概念。 概念 介绍 镜像 提供了运行实例所需的信息，包括操作系统和运行环境、初始化应用数据等。 云硬盘 分布式持久块存储设备、可弹性扩展的数据块级存储设备，可以用作实例的系统盘和数据盘使用。 VPC 虚拟私有云（Virtual Private Cloud），为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 防火墙 防火墙是保障轻量型云主机网络安全的重要手段，用户可以通过配置防火墙规则，允许或禁止公网或私网对轻量型云主机的访问。 弹性IP 弹性 IP（Elastic IP Address，简称EIP）指公网 IP 地址，将弹性 IP 地址和子网中关联的各项云资源绑定和解绑，可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。 快照 某一时间点云盘数据状态的备份文件，用于备份或者恢复整个云盘的数据。

开启访问设置 表示创建Deployment的同时，创建一个配套的服务（Service），详见Service管理

计费项说明 本服务按订购时配置的存储容量大小计费。 按量付费为按预购容量的使用时长付费，起步500GB。开通后即开始按时长计费，并非按照实际使用容量计费。 在使用弹性文件服务过程中，除文件存储本身的存储容量费用之外，还可能涉及以下费用： 弹性IP费用 当您使用文件系统上传或下载数据、将非天翼云数据迁移至弹性文件服务时，需要将文件系统挂载至一台连接公网的云主机上实现数据上传和下载，将占用弹性IP提供的公网带宽。具体费用信息，请参考弹性IP计费概述。 云专线费用 当您使用云专线服务接入本地数据中心时，将会收取云专线使用费用。具体费用信息，请参考计费项及计费方式云专线。 密钥管理费用 弹性文件服务部分地域支持加密服务，可创建加密文件系统，依赖于天翼云密钥管理服务。该服务提供一定免费额度的密钥对，超出额度后按量付费使用。具体费用信息，请参考密钥管理计费概述。 计费周期 计费模式 计费周期 扣费及出账时间 :: 按量付费 小时 账单出账时间通常在当前计费周期结束后下一小时，具体以系统实际出账时间为准 包年 月 账单出账时间通常在当前计费周期结束的下个自然月1日，具体以系统实际出账时间为准

本文主要介绍DRDS与其他服务的关系。 虚拟私有云（VPC） VPC是基于天翼云创建的自定义私有网络，为DRDS提供一个逻辑上完全隔离的专有网络。使用VPC中的安全组、IP地址段、带宽等网络特性，可增强访问 DRDS服务的安全性。 弹性云主机（ECS） 成功购买DRDS实例后，您需要通过弹性云主机连接使用DRDS实例。 关系型数据库服务（MySQL） 购买DRDS实例后，可以关联同一虚拟私有云中的MySQL实例，实现分布式数据库计算与存储。 弹性IP（EIP） 为您的实例提供公网访问方式。

本节介绍了如何修改云数据库TaurusDB实例的参数模板描述。 操作场景 参数模板创建成功后，用户可根据需要对自己创建的参数模板描述进行修改。 说明 默认参数模板的描述不可修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“参数模板管理”页面的“自定义”页签，选择一个用户创建的参数模板，单击“描述”列。 步骤 5 输入新的描述信息，单击，提交修改，单击，取消修改。 修改成功后，可在参数模板列表的“描述”列查看改后的描述信息。 参数模板的描述长度不能超过256个字符，且不能包含>!<"&'特殊字符。