本文介绍零信任安全策略。 配置安全策略前提条件 已经订购边缘安全加速平台零信任服务，若未订购，请参见服务开通。 先接入远程办公服务，请参见零信任服务快速入门。 不同能力版本提供能力不同，请参见零信任服务版本差异对比。 安全策略概览 下表将为您描述目前边缘安全加速平台零信任服务具备的安全策略以及应用场景。 模块 功能说明 说明 应用场景 访问控制 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 横向扫描防护 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 准入管控 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 动态授权 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

本节介绍高可用带宽的管理。 高可用带宽支持新建、变更带宽大小、退订操作。 新建带宽 1.进入“云电脑（政企版）”管理控制台； 2.选择菜单“高可用管理””高可用带宽管理“； 3.单击“新建”，进入开通带宽页面； 4.选择带宽来源； 5.填写带宽名称，根据实际情况选择“带宽大小”，并进行带宽的网络关联，选择绑定的“VPC”和“业务子网”； 6.确认相关的配置信息，单击“立即申请”，即完成带宽开通。 变更带宽大小 1.进入“云电脑（政企版）”管理控制台； 2.选择菜单“高可用管理””高可用带宽管理“； 3.单击“变更”，进入带宽变更页面； 4.确认相关的配置信息，单击“立即申请”，即完成带宽大小的变更。 退订带宽 1.进入“云电脑（政企版）”管理控制台； 2.选择菜单“高可用管理””高可用带宽管理“； 3.单击“退订”，弹出退订窗口； 4.确认相关的配置信息，单击“确定”，即完成带宽的退订。

本文向您介绍如何配置多用户登录Windows云主机。 操作场景 本文档将指导您配置多用户登录的Windows云主机，以Windows Server 2008标准版R2中文版为例。 说明 远程桌面授权仅支持120天，过期后将因为缺失远程桌面授权服务器许可证而导致多用户登录无法使用，需要重新激活。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，解决方法请参考 操作步骤 1. 安装桌面会话主机和远程桌面授权。 (1) 登录Windows云主机。 (2) 在操作系统界面，打开“服务器管理器”，单击“角色>操作>添加角色”。 (3) 跳转至左侧导航栏为“服务器角色”，选择“远程桌面服务”，单击“下一步”。 (4) 保持默认参数，单击“下一步”。 (5) 跳转至左侧导航栏为“角色服务”，依次勾选“远程桌面会话主机”和“远程桌面授权”，单击“下一步”。 (6) 保持默认参数，单击“下一步”。 (7) 跳转至左侧导航栏为“身份验证方法”，指定远程桌面会话主机的身份验证方法，单击“下一步”。本示例选择的是“需要使用网络级别身份验证”，之后单击“下一步”。 (8) 跳转至左侧导航栏为“授权模式”，指定授权模式。本示例选择“以后配置”，之后单击“下一步”。 (9) 跳转至左侧导航栏为“用户组”，选择允许访问此RD会话主机服务器的用户组，单击“下一步”。 (10) 跳转至左侧导航栏为“客户端体验”。本示例选择的是“音频和视频播放”，之后单击“下一步”。 (11) 跳转至左侧导航栏为“RD授权配置”，为RD授权配置搜索范围，配置完成后单击“下一步”。 (12) 单击“安装(I)”。 2. 允许多用户远程连接云主机。 (1) 在运行里输入 gpedit.msc，打开计算机本地组策略。 (2) 选择“计算机配置>管理模板>windows组件>远程桌面服务>远程桌面会话主机>连接”。设置“允许用户通过使用远程桌面服务进行远程连接”、“限制连接数量”和“将远程桌面服务用户限制到单独的远程桌面”。 (3) 选中“允许用户使用远程桌面服务进行远程连接”，右键单击“编辑”，将其设置为已启用。 (4) 选中“限制连接数量”，右键单击“编辑”，选择已启用，可根据具体数量设置，本示例设置允许的RD最大连接数为999。 (5) 选中“将远程桌面服务用户限制到单独的远程桌面服务会话”，右键单击“编辑”，选择已启用，或者已禁用。本示例以勾选“已启用”为例。 说明 请注意此处已启用和已禁用的区别： l 已启用：允许多个用户同时登录，不能单个用户同时多人登录。 例如：配置为已启用，用户A、用户B、用户C可以分别使用账号A、账号B、账号C同时登录云主机，但是用户A、用户B、用户C无法使用同一账号同时登录云主机。 l 已禁用：允许单个用户同时多人登录。 例如：配置为已禁用，用户A、用户B、用户C可以使用同一个账号同时登录云主机。 (6) 运行cmd，输入 gpupdate /force，强制执行本地组策略，重启服务器，整个配置过程完成。 3. 配置新用户并加入远程桌面用户组。 (1) 在运行中输入 lusrmgr.msc，打开本地用户和组，进行新用户创建。 (2) 单击“用户”，在空白处右键选择新用户。 (3) 填写新用户信息，单击“创建”。 (4) 单击“组”，双击打开Remote Desktop Users 单击“添加”。 (5) 进入选择用户界面，单击“高级”。 (6) 在新的选择用户界面，单击“立即查找”，在下方搜索结果中选中需要远程登录的用户，并单击“确定”，完成添加，即可远程登录。 (7) 单击“确定”，添加用户Remote Desktop Users组。

威胁情报类型关联布局 说明 系统内置威胁情报类型已默认关联已有布局，暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有威胁情报类型 说明 暂不支持编辑系统内置威胁情报类型。 自定义威胁情报类型新增成功后，不支持修改类型名称。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要编辑的类型，并单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 7. 在编辑页面中，编辑对应类型的参数信息。 参数名称 参数说明 类型名称 自定义威胁情报的名称。 类型标识 威胁情报标识，不支持修改。 启动状态 设置威胁情报的启动状态。 ：表示启用。 ：表示禁用。 失效时间 设置威胁情报的失效时间。 永不失效：表示当前情报类型永不失效。 时间间隔：设置情报失效的间隔时间。 描述 自定义威胁情报的描述信息。 8. 在页面右下角单击“确认”。

SDK使用规范 规范 规范说明 等级 备注 使用连接池+长连接 短连接性能差，建议使用连接池+长连接，可以有效控制连接，同时提高效率 建议 推荐使用JedisPool或者JedisCluster连接实例。 避免使用Lettuce客户端 Jedis客户端在面对连接异常，网络抖动等场景下的异常处理和检测能力明显强于Lettuce，可靠性更强 建议 建议使用Jedis 客户端需要对可能的故障和慢请求做容错处理 由于Redis服务可能因网络波动或基础设置故障的影响，引发主备切换、命令超时或慢请求等现象，需要在客户端内设计合理的容错重试机制 强制 合理设置重试时间和次数 根据业务要求合理设置容错处理的重试时间和次数，避免不合适的设置导致对服务的可用性收到影响 强制 如果超时重试时间设置的非常短，可能引发重试风暴，极易引发业务层雪崩 如果重试时间设置得较长或者重试次数设置得较大，则可能导致在主备倒换情况下业务恢复较慢 运维管理规范 规范 规范说明 等级 备注 开启密码登录 生产环境需要开启Redis密码登录验证 强制 验证业务的故障处理能力或容灾逻辑 在测试环境或者预生产环境中组织演练，验证在Redis主备切换、宕机或者扩缩容场景下业务的可靠性 建议 监控实践 关注Redis负载，在过载前提前扩容 强制 根据告警基线配置告警：配置节点cpu、内存、带宽等告警 检查各个节点的内存使用率 例行检查各个节点的内存使用率，查看主节点内存使用率是否有不均衡的状态 建议 内存使用率不均衡说明存在大Key问题，需要进行大Key拆分及优化 开启热Key分析 开启热Key例行分析，并分析是否有Key频繁调用 建议 Redis慢日志 例行巡检Redis慢日志命令 建议 分析慢日志，并尽快从业务上进行修复

本小节介绍服务器安全卫士Agent安装 Windows 版本安装。 步骤 1：选择操作系统 操作系统选择 Windows 时，环境需求见下图所示： 支持 64 位 Windows 操作系统，主流版本包括： Windows Server 2008 Windows Server 2012 Windows Server 2016 Windows Server 2019 Windows Vista Windows 7 Windows 8 Windows 10 直连主机的防火墙需确保可与青藤服务器通信通信要求 直连主机通过"命令安装"时，需使用 PowerShell 组件 代理连接的主机确保能连通管理服务器的 sock5 代理服务 当无法为 SSL/TLS 安全通道建立信任关系时，系统常见问题时给出了解决方法，见下图所示。 步骤 2：设置主机信息 通信协议：支持 IPv4 和IPv6 连接方式：支持直连和代理连接 主机所属业务组：可以选择安装 Agent 主机所属的业务组。可点击快捷链接，跳转到业务组界面进行业务组管理。 代理连接的主机必须确保与服务器安全卫士可通信。 代理地址填写时，可输入“域名:端口”或“IPv4 代理 IP:端口”。 示例：

本节为您介绍认证证书相关内容。 合规证书 天翼云拥有众多合规资质（ISO/SOC/PCI等），按照国内国际和行业的合规要求，为用户提供合规、高效、稳定的安全云服务。您可在信任中心合规资质进行查看。 隐私保护 天翼云建立数据安全管理制度，采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。您可以在隐私中心进行查看。

本节介绍如何在DCS管理控制台设置自动备份策略。设置完成后，系统将根据备份策略定时备份实例数据。 DCS的“自动备份”默认为关闭状态，如需开启自动备份，请参考本章节操作步骤。单机实例不支持“备份与恢复”功能。 如果不需要自动备份，可以修改备份策略设置，关闭自动备份。 前提条件 已成功申请DCS主备、集群或读写分离缓存实例，且实例处于运行中状态。 操作步骤 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击，选择区域和项目。 步骤 3 单击左侧菜单栏的“缓存管理”。进入缓存管理页面。 步骤 4 在需要查看的DCS缓存实例左侧，单击实例名称，进入实例的基本信息页面。 步骤 5 单击“备份与恢复”页签，进入备份恢复管理页面。 步骤 6 单击“自动备份”右侧的，打开自动备份开关，显示备份策略信息。 表 备份策略参数说明 参数 说明 备份周期 自动备份频率。可设置为每周的某一天或者某几天，按实际需要适当增加备份频率。 保留天数 备份数据保存期限。保存天数可选1~7，超过期限后，备份数据将被永久删除，无法用来恢复实例。 开始时间 自动备份任务执行时间。时间格式：00:0023:00间的任意整点时间。 每小时检查一次备份策略，如果符合备份策略设置的开始时间，则执行备份操作。 说明 实例备份大约耗时530分钟，备份期间发生的数据新增或修改记录，将不会保存到备份数据中。为了尽量减少备份对业务的影响，备份开始时间建议设置在业务交易较少的时间段。实例只有处于“运行中”状态时，系统才对其执行数据备份。 步骤 7 设置好备份参数，单击“确定”，完成备份策略设置。 步骤 8 实例将在设置的备份时间自动执行备份，并在该页面查看备份记录。 备份完成后，单击备份记录后的“下载”，“恢复”，或“删除”，即可执行相关操作。

本章节主要介绍如何创建弹性资源池。 弹性资源池的使用场景可以参考弹性资源池概述中描述，本章节重点介绍创建弹性资源池的操作步骤和说明。 注意事项 使用DLI增强型跨源时，弹性资源池网段与数据源网段不能重合。 弹性资源池网段设置后不支持更改。 创建弹性资源池 1.在左侧导航栏单击“资源管理 > 弹性资源池”，可进入弹性资源池管理页面。 2.在弹性资源池管理界面，单击界面右上角的“购买弹性资源池”。 3.在“购买弹性资源池”界面，填写具体的弹性资源池参数，具体参数填写参考如下。 参数说明 参数名称 描述 区域 选择所在的区域。不同区域的云服务之间内网互不相通；请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 项目 每个区域默认对应一个项目，这个项目由系统预置。 名称 弹性资源池的具体名称。 l 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线或数字开头。 l 输入长度不能超过128个字符。 说明 弹性资源池名称不区分大小写，系统会自动转换为小写。 CU范围 弹性资源池最大最小CU范围。 描述 创建的弹性资源池的描述信息。 网段 规划弹性资源池所属的网段。如需使用DLI增强型跨源，弹性资源池网段与数据源网段不能重合。弹性资源池网段设置后不支持更改。 建议使用网段： 10.0.0.0~10.255.0.0/16~19 172.16.0.0~172.31.0.0/16~19 192.168.0.0~192.168.0.0/16~19 启用IPv6 开启IPv6，将自动为弹性资源池分配IPv6网段。 仅在创建时支持开启IPv6。 开启后即同时拥有IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。不支持单独使用IPv6。 不支持指定IPv6网段，由系统自定义分配。 开启后不支持关闭IPv6。 企业项目 若所建弹性资源池属于企业项目，可选择对应的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 说明 只有开通了企业管理服务的用户才显示该参数。 4.参数填写完成后，单击“立即购买”，在界面上确认当前配置是否正确。 5.单击“提交”完成队列创建。等待弹性资源池状态变成“可使用”表示当前弹性资源池创建成功。 6.弹性资源池创建成功后，可以根据当前业务场景参考使用场景一：创建弹性资源池并运行作业和使用场景二：配置弹性资源池队列扩缩容策略完成后续操作。

本节介绍翼打印的常见问题。 翼打印策略会与其它外设策略冲突吗？ 翼打印支持USB打印机和网络打印机。如果是网络打印机，则可以同时使用翼打印、打印机重定向和网络打印这三种打印方式；如果是USB打印机，则只能在翼打印、USB重定向和打印机重定向选择其中一种打印方式。 打印失败通常有哪些原因，有什么解决方法？ 打印失败可能与打印机状态、终端网络、翼打印服务等方面的异常有关，需要根据实际情况具体分析。如遇打印失败或打印没响应等问题，建议优先检查打印机状态（如是否缺纸、缺墨）和终端网络情况（如终端是否与打印机网络相通）是否正常，若仍然无法解决，可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 翼打印的打印水印和打印审计如何使用？ 可联系售前人员试用，再通过运维人员开启相关功能的租户开关后使用。 资源池没有所需打印机的驱动，处理流程是怎样的？ 可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 AI云电脑没有看到翼打印机通常有哪些原因，有什么解决方法？ 可能原因1：没有配置翼打印策略。 AI云电脑上方工具栏偏好设置USB管理全部，检查外设重定向策略打印机是否为已开启翼打印策略。如果是USB打印机，AI云电脑上方工具栏偏好设置USB管理全部，查看是否识别到打印机，所用的重定向方式是否为云打印。 处理方法：若非翼打印策略，需重新配置。可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 可能原因2：终端识别不到设备。 网络打印机：终端cmd管理台ping网络打印机IP地址以检查连通性。 usb打印机：AI云电脑上方工具栏偏好设置USB管理全部，查看是否识别到打印机。AI云电脑上方工具栏偏好设置USB管理USB，查看设备是否重定向成功。 处理方法：检查网络打印机网络连通情况，检查打印机是否处理关机/休眠等状态，本地是否能够打印，更换USB线尝试等。若仍然无法解决，可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 可能原因3：翼打印服务桌面没有安装打印机厂商驱动，可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 此外，还可用AI云电脑管家一键检测外设检测功能进行异常排查。

使用云应用引擎部署应用，您可以使用健康检查功能查看应用与业务运行是否正常，以便运行异常时定位问题。本文介绍如何在云应用引擎控制台配置健康检查。 功能入口 场景不同，操作入口也有所不同 创建应用 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后选择单击创建应用 2. 在应用基本信息向导页面进行配置后，单击下一步：高级设置。 对正在运行的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作 对已停止的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 健康检查配置指引 根据需求启用应用实例存活检查（Liveness配置）、启用应用业务就绪检查（Readiness配置）或启用应用启动探测（StartupProbe配置）。三者需要配置的参数项相同，参数解释如下 Liveness探针配置 配置项 说明 路径 访问HTTP Server的路径。 端口 访问HTTP Server的端口。 高级设置 展开高级设置后，选择判断返回的字符串中是否包含设置的关键字。 协议 选择HTTP 或HTTPS。 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 Readiness探针配置 配置项 说明 TCP端口 设置TCP检查访问的端口。 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 Startup探针配置 配置项 说明 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 执行命令 设置应用实例或者进程内部执行的健康检查命令。如果该命令返回码为0，则表示应用健康。 健康检查相关命令，请参见Kubernetes官网Configure Probe

本节主要介绍计费项与产品价格 应用服务网格的服务费用除网格费用（目前基础版网格免费）之外，还可能包括网格所管理的天翼云基础资源费用，包括用户创建或手动加入的相关资源，如云容器引擎、云主机、云硬盘、弹性IP/带宽、弹性负载均衡等，该部分云资源价格参照天翼云相应产品价格说明。

账单查询及扣费 账单出账时间：包年包月资源，立即出账。按需计费资源，以每小时为维度出账。 可以通过【ECX控制台>服务管理>话单管理】，查询每5分钟、每1小时的按需计费资源使用时长记录。每5分钟的使用时长记录在10 ~ 15分钟后生成，每1小时的使用时长记录在2 ~ 3小时后生成。 可以通过【天翼云官网>我的>费用中心>账单管理】 ，按月查询账单汇总、流水明细，包括包年包月及按需计费资源的账单明细。按需计费资源的流水明细按小时为维度，根据资源类型、产品规格及数量、使用时长、单价及折扣等信息，计算最终费用后生成，在资源使用3 ~ 4小时后生成。 扣费规则：流水明细生成后，会自动从您的账户余额中，扣除对应的费用。请确保扣费时账户余额充足，避免出现欠费，影响资源的使用。 更多扣费模式请咨询您的客户经理。

本章节介绍云容器集群Pod CPU高负载故障演练。 背景介绍 在 CCE 环境中，Pod CPU 异常升高不仅影响自身稳定性，还可能与同节点其他服务争抢资源，引发连锁问题。因此，模拟 Pod 的高 CPU 负载可用于验证系统的弹性、容错机制、监控告警能力及自动扩缩容策略。 基本原理 启动自定义程序，空跑for循环来消耗CPU时间片。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群Pod CPU高负载故障演练。 背景介绍 在 CCE 环境中，Pod CPU 异常升高不仅影响自身稳定性，还可能与同节点其他服务争抢资源，引发连锁问题。因此，模拟 Pod 的高 CPU 负载可用于验证系统的弹性、容错机制、监控告警能力及自动扩缩容策略。 基本原理 启动自定义程序，空跑for循环来消耗CPU时间片。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到JVM延迟动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务平均响应时间指标。 2、业务应用验证： 业务应用日志：检查您的应用日志，确认是否有因处理超时而打印的警告或错误信息。 终端用户体验：直接访问触发了延迟注入功能的前端页面或接口，直观地感受响应时间的变长。 压力测试工具：使用 JMeter 等工具对目标接口进行测试，观察其平均响应时间（Avg Response Time）和吞吐量（TPS）是否出现符合预期的劣化。

多个实例绑定一个或多个标签 1. 登录“控制中心”，管理控制台顶部菜单左侧 ，选择地域。 2. 选择 “存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 在文件系统列表中，勾选需要批量绑定标签的文件系统实例，点击列表上方按钮“批量绑定标签”。 4. 在“批量绑定标签”弹窗中，展示了所选文件系统实例，您可以按照使用限制与配置参数说明要求填写/选择标签键值，新增标签键值对。新增完成后，所有被勾选的文件系统实例都将绑定该新增标签。 5. 您还可以在“批量绑定标签”弹窗中，修改标签键值对，执行编辑标签操作。 解绑标签 前提条件 实例资源已绑定标签。 操作步骤 解绑单个实例的标签 1. 登录“控制中心”，管理控制台顶部菜单左侧 ，选择地域。 2. 选择 “存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 在文件系统列表中，点击待添加标签的文件系统所在行的“操作>更多>编辑标签”。 4. 弹出“编辑标签”窗口，点击标签键值后面的“删除”，可同时删除多个标签。 5. 单击弹窗下方“确定”，完成标签的解绑操作。 批量解绑多个实例的标签 1. 登录“控制中心”，管理控制台顶部菜单左侧 ，选择地域。 2. 选择 “存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 在文件系统列表中，勾选需要批量绑定标签的文件系统实例，点击列表上方按钮“批量解绑标签”。 4. 在“批量绑定标签”弹窗中，找到想要为已选资源解绑的标签项，勾选左侧复选框。 5. 点击弹窗下方“确定”按钮，完成批量解绑操作。 使用标签筛选资源

版本功能列表 下表描述了WAF主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 体验版 基础版 标准版 专业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 IPv6 防护 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × × √，10个特殊端口转发 √，50个特殊端口转发 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 WebSocket防护 支持防护使用WebSocket协议的网站。 √ √ √ √ √ 业务接入 智能负载均衡 通过智能调度，实现网络自动容灾的高可靠性，提供智能路由选路+缓存能力，满足用户"加速"需求。 付费支持 付费支持 付费支持 付费支持 付费支持 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 √ √ √ √ √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 支持IP、URI、METHOD、PATH字段 支持IP、URI、METHOD、PATH、IP段、区域字段 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 支持IP、URI、METHOD、PATH、IP段、目的地IP、目的地端口、区域、URL参数自定义、常见HTTP头部 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 √，10条/域名 √，20条/域名 √，50条/域名 √，100条/域名 √，200条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √ √ √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 √ √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 基础安全防护 特殊字符拦截 若请求的URI携带特殊字符，支持对其请求进行防护 × √ √ √ √ 业务安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 业务安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × × × √ √ 业务安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × × √ √ 业务安全防护 广告防护 实现广告防护和监测功能。 × × × × √ 业务安全防护 账户安全 支持防护暴力破解、批量注册。 × √ √ √ √ 业务安全防护 防web挖矿 防止占用用户终端设备的系统资源和网络资源进行挖矿。 × × × × √ 业务安全防护 大数据深度学习引擎 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 业务安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 业务安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 付费支持 付费支持 付费支持 付费支持 付费支持 业务安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 日志服务 提供攻击日志、业务日志。 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 √ √ √ √ √ 产品服务 监控告警 支持自定义监控告警。 × √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 付费支持 付费支持 付费支持 付费支持 付费支持

本节主要介绍弹性文件服务的计费类常见问题。 如何购买SFS容量型？ SFS容量型默认为按需计费，即按使用的存储容量和时长收费。您也可以购买包年包月套餐，提前规划资源的使用额度和时长。 按需计费购买 登录控制中心 选择“存储 > 弹性文件服务”，进入弹性文件服务管理控制。 单击“创建文件系统”，完成创建后开始使用资源。 说明 按需计费时，SFS容量型文件系统按实际使用的存储容量和时长收费。 在欠费时，您需要及时（15天之内）续费以避免您的文件系统资源被清空。 资源包购买 SFS容量型文件系统的资源包可以通过产品详情页的“订购资源包”来购买。资源包不支持跨区域使用，购买前请仔细核对区域。 登录天翼云官网 选择“产品>存储>弹性文件服务”进入弹性文件服务详情页 点击“订购资源包”按钮进入资源包订购页面，依据您的需求完成购买。 完成支付后，返回弹性文件服务管理控制台开始使用弹性文件服务 说明 资源包的大小与文件系统的计算吞吐能力无关。 SFS容量型资源包是抵扣包，存储数据使用的容量会自动抵扣资源包中的额度。 SFS容量型资源包购买成功后，立即生效，若资源包大于文件系统使用量，则按需计费即刻停止。使用文件系统时会自动使用购买的资源包的容量。 SFS容量型资源包无法扩容，但可以叠加购买。例如：某用户购买了1年1TB的SFS容量型资源包，在SFS容量型控制台创建并使用了500GB的SFS容量型文件系统A，此时资源包已使用500GB，过了一个月，该用户又创建并使用了600GB的SFS容量型文件系统B，此时资源包已使用1TB，并有100GB转为按需计费。如果不希望存在按需计费，可以按照叠加购买资源包。 不需要将资源包绑定至文件系统，同区域内多个文件系统可以共用同一个资源包。 在弹性文件服务管理控制台无法看到购买的资源包，只能通过订单查看购买的资源包信息。

命名空间保密字典用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在 云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 功能入口 创建配置项 1. 登录云应用引擎控制台。 2. 在左侧导航栏单击“配置管理”>“保密字典”，进入保密字典管理页面。 3. 单击“创建”，在右侧弹出的创建保密字典面板，根据需求选择不同的保密字典类型并根据下表说明完成参数配置，然后单击“确认”。 说明 在创建保密字典时，您可以根据需要存放的信息选择不同的类型： Opaque类型：Opaque是默认的Secret类型，适用于存储各类没有特定格式的敏感信息，如密码或API密钥。当您需要存储一些自定义格式的敏感信息时，Opaque类型提供了灵活性，让您可以以键值对的形式自由地保存所需的数据。 TLS证书类型：这种类型专门用于存储TLS证书相关的数据，当您的服务需要启用HTTPS访问时，可以使用这种类型的Secret来保存和管理TLS证书，以确保在SAE环境中的Pod中使用，确保数据传输的安全性。 私有镜像仓库登录密钥类型：这种类型适用于存储访问私有容器镜像仓库的凭证，使得Kubernetes在拉取私有镜像时能够进行身份验证。如果您的应用使用的容器镜像存储在私有仓库中，您需要提供凭证才能访问这些镜像。在这种情况下，该类型的Secret用于存储仓库用户名和密码或访问令牌，确保SAE在部署应用时能够拉取到私有镜像。 Opaque类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择Opaque类型 Opaque 配置映射 单击“添加变量”，在对话框中输入敏感信息的Key和Value 变量名：env 变量值：test TLS证书类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择TLS证书类型 TLS证书 Cert TLS证书的公钥 Key TLS证书的私钥 私有镜像仓库登录秘钥类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择私有镜像仓库登录密钥类型 私有镜像仓库登录密钥 镜像仓库地址 镜像仓库地址 默认 用户名 镜像仓库的用户名 admin 密码 镜像仓库的密码 123456 说明 1. 修改保密字典后，生成的新版本仅对新创建的实例生效。 2. 删除保密字典可能导致关联应用无法正常运行。请务必先在关联应用中解除该保密字典的使用，再执行删除操作。 创建的保密字典将显示在 保密字典 页面，您可以在保密字典列表的 操作 列进行 编辑 、复制 和 删除 操作。

本文介绍云备份服务入门相关流程。 云备份提供云主机、本地主机相关的数据库、硬盘、虚拟机、文件数据等资源的备份能力，当软件错误、病毒入侵、人为删除等事件发生时，可将数据恢复到任意备份点，减轻经济损失。下面我们以创建存储库、安装客户端到创建恢复任务为例介绍云备份的整体入门流程，具体流程见下图： 1. 首先进行准备工作，注册天翼云，开通云备份服务，具体流程参见准备工作。 2. 使用云备份服务，首先需要创建存储库用于存储备份文件，创建配置项包括存储库容量、创建时长等信息，具体操作步骤请参见创建存储库。 3. 创建好存储库后，需要为待备份的主机安装客户端，具体操作步骤参见安装客户端。 4. 客户端安装完成后，可以对主机的整机目录或者指定目录、文件等创建备份计划，根据备份计划可以执行周期性备份任务和一次性备份任务。具体操作步骤参见创建备份计划。 5. 备份任务执行完成后，可以根据备份副本创建恢复任务。具体操作步骤参见创建恢复任务。

当日志接入云日志服务（LTS）时，您可以通过开启“自定义日志时间”开关，将日志中的时间字段设置为接入配置的时间。 开启自定义日志时间 1. 在左侧导航栏中选择“日志管理”。 2. 结构化日志以日志流为单位，在“日志管理”页面选择目标日志组和日志流。 3. 单击日志流名称进入日志流详情页面，单击右上角，在弹出页面中，选择“云端结构化解析”，进入日志结构化配置页面，选择对应的日志提取方法进行配置。 4. 配置完成后，开启自定义日志时间开关，配置如下参数。 表 1 参数配置表 参数 说明 示例 字段key 已提取字段的名称。单击下拉框选择已提取的字段，该字段为string或long类型。 test 字段value 已提取的字段value，选择字段key后，将自动填充。配置的字段value必须是当前时间前后24小时内的时间。 20220719 12:12:00 时间格式 请参考常见日志时间格式。 yyyyMMdd HH:mm:ss 操作 单击“校验”，提示“时间格式和字段value匹配成功”则表示校验成功。 说明 切换自定义日志时间开关时，可能会导致日志搜索界面在切换时间点附近出现时间偏差，请勿频繁切换自定义日志时间开关。 常见日志时间格式 支持的常见日志时间格式如下表所示。 说明 默认情况下，日志服务中的日志时间戳精确到秒，所以时间格式只需配置到秒，无需配置毫秒、微秒等信息。 表 2 时间格式 时间格式 说明 示例 EEE 星期的缩写。 Fri EEEE 星期的全称。 Friday MMM 月份的缩写。 Jan MMMM 月份的全称。 January dd 每月第几天，十进制，范围为01~31。 07, 31 HH 小时，24小时制。 22 hh 小时，12小时制。 11 MM 月份，十进制，范围为01~12。 08 mm 分钟，十进制，范围为00~59。 59 a AM或PM。 AM、PM hh:mm:ss a 12小时制的时间组合。 11:59:59 AM HH:mm 小时和分钟组合。 23:59 ss 秒数，十进制，范围为00~59。 59 yy 年份，十进制，不带世纪，范围为00~99。 04、98 yyyy 年份，十进制。 2004、1998 d 每月第几天，十进制，范围为1~31。如果是个位数字，前面需要加空格。 7、31 DDD 一年中的天数，十进制，范围为001~366。 365 u 星期几，十进制，范围为1~7，1表示周一。 2 w 每年的第几周，星期天是一周的开始，范围为00~53。 23 w 每年的第几周，星期一是一周的开始，范围为01~53。如果一月份刚开始的一周>4天，则认为是第1周，否则认为下一个星期是第1周。 24 U 星期几，十进制，范围为0~6，0代表周日。 5 EEE MMM dd HH:mm:ss yyyy 标准的日期和时间。 Tue Nov 20 14:12:58 2020 EEE MMM dd yyyy 标准的日期，不带时间。 Tue Nov 20 2020 HH:mm:ss 标准的时间，不带日期。 11:59:59 %s Unix时间戳。 147618725

7ne系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE智能网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，通过软硬结合的方式提高虚拟化性能，大幅提升实例的网络带宽能力和网络收发包能力。可提供148C592G的大规格实例、3000万收发包能力 。适用各种于网络密集型应用场景，如NFV/SDWAN、移动互联网、视频弹幕、电信业务转发等；中小型数据库系统、缓存、搜索集群；各种类型和规模的企业级应用；大数据分析和机器学习。 8系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套100GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，可提供128C1024G的大规格实例、100Gbps带宽、3000万收发包能力 。适用于计算类应用场景、web服务应用场景、媒体处理应用场景、汽车工业设计仿真、数字建模模拟、海量数据处理等场景，为高性能计算、互联网大数据、政企、金融等行业客户提供更强劲的计算性能，帮助客户降低 TCO，提高企业产品竞争力。 8r系列 采用第四代英特尔® 至强® 可扩展处理器 （Sapphire Rapids）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制。支持高级矩阵扩展(Intel® AMX，Advanced Matrix Extension )，可提高CPU的深度学习训练和推理性能，16CPU及以上规格支持Intel数据保护与压缩加速技术 (Intel® QAT，Quick Assist Technology ) ，可提高特定应用程序和工作负载的加密、解密和压缩性能。

本章节介绍如何在云审计服务中查看或导出最近7天企业路由器的操作记录。 操作场景 在您开通了云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 步骤 1：登录管理控制台，进入云审计服务页面。 步骤 2：在左侧导航栏，选择“事件列表”。 进入事件列表页面。 步骤 3：在事件列表中，设置筛选条件，快速查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 当“筛选类型”选择“按事件名称”时，还需要选择具体的事件名称。 当“筛选类型”选择“按资源ID”时，还需要输入某个具体的资源ID。 当“筛选类型”选择“按资源名称”时，还需要输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 步骤 4：展开需要查看的事件，查看详细信息。 步骤 5：在需要查看的记录右侧，单击“查看事件”，弹窗中显示了该操作事件结构的详细信息。 更多关于云审计的信息，请参见云审计服务用户指南。

本节主要介绍创建快照。 可以通过下列方法创建快照： 在“数据保护”>“快照管理”>“快照”页面，点击“创建”，即可创建快照。 在“服务”>“卷管理”页面，选择目标卷，点击“操作”>“创建快照”，即可创建快照。 注意 在执行此操作之前，请确保源卷的所有数据已持久化，即如果源卷已被客户端挂载，需确保客户端的数据都已经同步到卷上，创建快照前： 对于Linux客户端：如果客户端支持sync f（可以通过sync help命令查看是否支持），在客户端执行sync f命令；否则在客户端执行sync命令。 对于Windows客户端：在客户端将源卷对应的磁盘脱机；创建快照后，在客户端将源卷对应的磁盘重新联机。 源卷需为处于正常状态的本地卷。 说明 单卷支持的最大快照数：512。 系统支持的最大快照数：100000。 单个快照可创建的最大克隆卷数：512。 系统支持的最大快照深度：512。 图1 创建快照 项目 描述 快照名称 快照名称。 取值：字符串形式，长度范围是1~256，只能由字母、数字、短横线( )、下划线( )组成，字母区分大小写，且仅支持以字母或数字开头。 注意 快照名称、一致性快照名称及一致性快照的卷快照名称必须唯一，不可相互重复。 源卷 快照对应的源卷。 注意 仅支持本地模式（Local）的卷。 回收策略 快照回收策略： 删除：当快照无关联克隆卷，且最多拥有1个子节点（子节点表示存在其他快照依赖此快照，或者当前写操作基于此快照），快照自动删除。 说明 如果快照回收策略为“删除”，下列操作会触发快照删除：回滚一致性快照、回滚快照、克隆卷解链操作、克隆卷删除操作、清空卷操作、删除快照。 保留：当快照无关联克隆卷，且最多拥有1个子节点，快照仍然保留。 默认值为保留。 描述 快照的描述信息。 取值：1~256位字符串。

本节主要介绍数据订阅 AOM支持用户订阅指标或者告警信息，订阅后可以将数据转发到用户配置的kafka或DMS的Topic中，供消费者消费转发的订阅的信息。 说明 最多可创建10个数据订阅规则。 创建订阅规则 步骤 1 在左侧导航栏中选择“配置管理 > 数据订阅”。 步骤 2 单击“创建订阅规则”，设置相关参数后，单击“确定”。 您可根据实际需求，选择订阅目标类型为“自定义Kafka”或“分布式消息服务DMS”。 1、订阅目标类型为“自定义Kafka”。 数据订阅规则参数说明 参数 说明 示例 规则名称 订阅规则名称。 输入：aomkafkatest。 订阅内容 支持“指标”和“告警”。 选择：指标。 订阅目标类型 选择“自定义Kafka”或“分布式消息服务DMS”。 自定义Kafka 订阅目标连接地址 用户自己的kafka地址，需要打通网络。格式为逗号分割的ipv4:port。例如: 192.168.0.1:9092,192.168.0.2:9092 根据实际情况填写。 a.（可选）进入到“规则详情”，单击 ，配置Kafka SASLSSL，参数如下表所示。 说明 AOM当前仅支持Kafka SASLSSL安全认证配置，如果目前实例已经开启Kafka SASLSSL，请打开此开关。 配置Kafka SASLSSL参数 参数 说明 示例 用户名 SASL用户名用于实例访问认证。 demo 密码 SASL密码用于实例访问认证，请妥善管理密码，系统无法获取您设置的密码内容。 客户端证书 请采用.pem格式的客户端证书 b.单击“验证并保存自定义Kafka配置信息”，验证自定义Kafka实例连通性。 c.选择数据发送topic后，单击“确定”。 2、订阅目标类型选择“分布式消息服务DMS”，请参考下表配置参数。 数据订阅规则参数说明 参数 说明 示例 规则名称 订阅规则名称 输入：aomkafkatest。 订阅内容 支持“指标”和“告警”。 选择：指标。 订阅目标类型 选择“自定义Kafka”或“分布式消息服务DMS”。 分布式消息服务DMS 实例 选择DMS实例，如没有DMS实例，请单击“创建DMS实例”，创建DMS实例。 kafkaaom7160 a. 进入到“规则详情”，单击“创建网络连接通道”。 b. 验证DMS实例连通性。 您需要确保在安全组"入方向规则"中，放通9011端口，源地址为"198.19.128.0/20"的网络流量。设置安全组规则操作如下： i. 登录管理控制台。 ii. 在左侧导航栏，单击 ，选择“网络 > 虚拟私有云 VPC”。 iii. 在左侧导航栏单击“访问控制 > 安全组”，在使用DMS所在的安全组右侧，单击“配置规则”。 iv. 在“入方向规则”页签下，单击“添加规则”，放通9011端口、源地址为“198.19.128.0/20”的网络流量。 c. 单击“验证并保存DMS配置信息”。 d. 选择数据发送topic后，单击“确定”。 数据订阅格式说明 AOM格式的指标JSON格式代码片断 package metric type MetricDatas struct { Metrics []Metrics json:"metrics" ProjectId string json:"projectid" } type Metrics struct { Metric Metric json:"metric" Values []Value json:"values" CollectTime int64 json:"collecttime" } type Metric struct { Namespace string json:"namespace" Dimensions []Dimension json:"dimensions" } type Value struct { Value interface{} json:"value" Type string json:"type" Unit string json:"unit" StatisticValues string json:"statisticvalues" MetricName string json:"metricname" } type Dimension struct { Name string json:"name" Value string json:"value" } kafka消息示例 key:, value:{"metrics":[{"metric":{"namespace":"PAAS.NODE","dimensions":[{"name":"nodeName","value":"testvsscopmaster1"},{"name":"nodeIP","value":"1.1.1.1"},{"name":"hostID","value":"75d9711147344c6cae9ef6111111111"},{"name":"nameSpace","value":"default"},{"name":"clusterId","value":"46a7bc0d1d8b11ea9b04333333333333333"},{"name":"clusterName","value":"testvss111"},{"name":"diskDevice","value":"vda"},{"name":"master","value":"true"}]},"values":[{"value":0,"type":"","unit":"Kilobytes/Second","statisticvalues":"","metricname":"diskReadRate"},{"value":30.267,"type":"","unit":"Kilobytes/Second","statisticvalues":"","metricname":"diskWriteRate"}],"collecttime":1597821030037}],"projectid":"111111111111111111111"} 告警数据格式说明 示例： { "events": [{ "id": "4346299651651991683", "startsat": 1597822250194, "endsat": 0, "arrivesat": 1597822250194, "timeout": 300000, "resourcegroupid": "312313123112222222222232131312131", "metadata": { "kind": "Pod", "eventseverity": "Major", "resourcetype": "service", "clusterId": "6add4ef5135811eaa5bf111111111", "eventtype": "alarm", "clusterName": "cceief4516140c96ca4a5f8d851111111", "namespace": "PAAS.NODE", "name": "test15769793809553052f5557bd7fqnfkm", "eventname": "调度失败

本节为您介绍如何为物理机创建告警规则。 云监控为用户提供了自定义创建告警模板的功能，您可以选择在默认模板推荐的监控指标上进行修改，或自定义添加告警指标完成自定义告警模板的添加。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“管理与部署>云监控”。 4. 在左侧主机监控功能列表，单击“物理机监控”。 5. 在目标物理机所在行，单击“操作”列的“创建告警规则”。 6. 在“创建告警规则”界面，根据界面提示配置参数。 7. 点击“确定”，即完成告警规则的创建。 8. 告警规则添加完成后，当监控指标触发设定的阈值时，云监控会在第一时间通过邮件实时告知您云上资源异常，以免因此造成业务损失。更多内容请参见创建告警规则。

本页介绍天翼云TeleDB数据库元数据pgauditfgaconf的内容。 存储细粒度审计相关管理和配置信息。 名称 类型 定义 auditorid Oid 编写配置用户id objectschema Oid 对象所在的模式的OID objectid Oid 要被审计的对象（表或视图）的OID policyname NameData 策略的唯一名称 auditcolumnids oidvector 需要审计的列的OID 列表 auditcolumns text 需要审计的列名 auditcondition pgnodetree 一个表示审计条件的行条件 auditconditionstr text 一个表示审计条件的行条件的字符串形式 handlerschema Oid 事件处理程序所在的模式的OID handlermodule Oid 事件处理程序的函数名 auditenable bool 如果为TRUE，则启用策略，默认值为 TRUE statementtypes NameData 适用此策略的SQL 语句类型，如 INSERT, UPDATE, DELETE, 或 SELECT auditcolumnopts bool 当查询引用了 auditcolumn 参数中指定的任何列时进行审计，还是只有当所有这些列都被引用时才进行审计。0 表示任意列，1 表示所有列

本文介绍如何修改云堡垒机（原生版）实例的默认路由。 云堡垒机（原生版）实例的默认路由指向用户VPC的默认网关，若用户需要临时修改默认路由，可参考本文进行操作。 注意 本操作仅用于临时修改实例的默认路由，重启实例后修改的默认路由会失效，恢复原有路由。 约束限制 仅v2.12及以上版本支持修改默认路由。若实例版本较低，请参见升级实例版本进行升级。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 4. 选择需要修改默认路由的堡垒机实例，单击“更多 > 修改默认路由”。 5. 进入修改默认路由页面，单击“下一跳网关（仅内网）”列的按钮，在弹出的窗口中配置内网IP地址后，单击“确定”。 6. 单击“是否生效”列的开关，开关开启，修改的默认路由才生效。 7. 配置完成后，单击“确定”。

“无法连接目的虚拟机，请检查目的虚拟机IP是否可达，或者8899、8900端口是否开放”该如何处理？ 当连接目的端服务器失败时，提示“sms.1807 sms.2802 无法连接目的虚拟机，请检查目的虚拟机IP是否可达，或者8899、8900端口是否开放”。windows系统迁移时，目的端服务器需要开放8899端口与服务端通信，开放8900端口与源端通信。如果建立通信失败，则会提示该错误。建议您参考本章节操作步骤排查“无法连接目的虚拟机”的原因。 检查源端网络是否可以连通目的端 检查目的端安全组是否开放8899、8900端口 检查目的端网络ACL是否禁用了8899、8900端口 目的端Peagent异常 “源端主机网络繁忙，无法连接api网关”该如何处理？ Agent无法正常启动，Linux系统提示“SMS.0201 Failed to start sms agent! Please check the network connection with below commands!”，Windows系统提示“SMS.0201 源端主机网络繁忙，无法连接api网关”。该问题通常是由于源端没有通公网，无法与SMS/IAM/ECS/EVS/IMS/VPC/OBS等服务通信导致。需要排查源端网络。 迁移Agent与主机迁移服务自动断开连接时，如何重新建立连接？ 服务器迁移实时状态显示连接断开，导致大部分操作无法进行。 问题原因 源端Agent停止运行。 源端Agent长时间不操作（默认为30天，可通过 config/gproperty.cfg的 heartmonitorday参数配置），导致Agent主动与服务断开连接。 源端Agent与SMS服务网络连接异常。 系统被注销或退出了远程登录（部分机器远程登录退出会自动注销），导致SMSAgentPy3/SMSAgentPy2进程退出。 当源端时间与标准时间相差超过15分钟时，会导致AK/SK权鉴失败。例如：源端NTP时间服务器配置错误。 源端服务器为Windows操作系统（Windows Server 2019/Windows Server 2016/Windows Server 2012/Windows 10/Windows 8.1）时 1. 登录源端服务器，在右下角寻找Agent图标，检查Agent是否正常运行。 1. 如果Agent已经退出，请重启Agent。 2. 如果Agent正常运行，请执行2。 2. 在Agent操作界面，检查是否可以单击“启动”按钮。 1. 如果可以启动，表示Agent主动与sms服务断开连接，请单击“启动”，重新连接sms服务。 2. 如果不能启动，请执行3。 3. 检查源端服务器与服务接口的连通性。如果不能连通，请检查是否配置错误的dns，或者是否设置了防火墙导致域名无法访问；如果可以连通，并且正在数据传输阶段。请检查源端出口带宽，如果带宽低于10Mbps，可能是数据传输占满带宽，导致Agent与sms服务连接超时，请提高源端出口带宽到10Mbps以上，再继续迁移。 4. 处理完成后，大约等待1分钟以后，登录目的端管理控制台。 5. 单击“服务列表”，选择“迁移 > 主机迁移服务”。进入“主机迁移服务”页面。 6. 在左侧导航树中，选择“迁移服务器”。在“迁移实时状态”列查看该源端的连接状态。 源端服务器为Windows操作系统（Windows Server 2008/Windows 7）时 1. 登录源端服务器，查找SMSAgentDeploy.exe进程，检查Agent是否正常运行。 1. 如果SMSAgentDeploy.exe进程不存在，请重启Agent后执行2。重启Agent需要重新迁移。 2. 如果SMSAgentDeploy.exe进程存在，请执行2。 2. 进入SMSAgent安装目录，执行agentcli.exe，并执行status，检查Agent连接状态。 1. 如果状态为True，请执行4。 2. 如果状态为False，表示Agent主动与服务断开连接，请执行3。 3. 输入“connect”，重新连接源端服务器与主机迁移服务。当回显信息中的 “Connected between sms agent and sms server”为True时，表示源端服务器与主机迁移服务已恢复连接。 4. 检查源端服务器与服务接口的连通性。如果不能连通，请检查是否配置错误的dns，或者是否设置了防火墙导致域名无法访问；如果可以连通，并且正在数据传输阶段。请检查源端出口带宽，如果带宽低于10Mbps，可能是数据传输占满带宽，导致Agent与sms服务连接超时，请提高源端出口带宽到10Mbps以上，再继续迁移。 5. 处理完成后，大约等待1分钟以后，登录目的端管理控制台。 6. 单击“服务列表”，选择“迁移 > 主机迁移服务”。进入“主机迁移服务”页面。 7. 在左侧导航树中，选择“迁移服务器”。在“迁移实时状态”列查看该源端的连接状态。 源端服务器为Linux操作系统时 1. 使用PuTTY或者SSH客户端，登录待迁移的源端服务器。 2. 执行 ps ef grep v grep grep linuxmain检查Agent是否正常运行。 1. 如果没有linuxmain进程，请重新启动Agent。 2. 如果有linuxmain进程，请执行3。 3. 在SMSAgent目录下执行 ./agentcli.sh，进入 agentcli操作界面，然后执行 status，检查Agent连接状态。 1. 如果状态为True，执行步骤5。 2. 如果状态为False，表示Agent主动与服务断开连接，请执行4。 4. 输入“connect”，重新连接源端服务器与主机迁移服务。当回显信息中的 “Connected between sms agent and sms server”为True时，表示源端服务器与主机迁移服务已恢复连接。 5. 检查源端服务器与服务接口的连通性。如果不能连通，请检查是否配置错误的dns，或者是否设置了防火墙导致域名无法访问；如果可以连通，并且正在数据传输阶段。请检查源端出口带宽，如果带宽低于10Mbps，可能是数据传输占满带宽，导致Agent与sms服务连接超时，请提高源端出口带宽到10Mbps以上，再继续迁移。 6. 处理完成后，大约等待1分钟以后，登录目的端管理控制台。 7. 单击“服务列表”，选择“迁移 > 主机迁移服务”。进入“主机迁移服务”页面。 8. 在左侧导航树中，选择“迁移服务器”。在“迁移实时状态”列查看该源端的连接状态。

本文为您介绍如何通过密钥管理控制台查看已创建的用户主密钥详细信息。 成功创建了用户主密钥之后，您可以通过控制台查看密钥列表以及密钥详情信息。 操作步骤 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择密钥所在的区域。 3. 在左侧导航栏，单击 密钥管理服务 ，进入 密钥列表 。 4. 在密钥列表中，查看密钥信息。密钥列表参数说明如下表所示。 参数 说明 密钥ID 创建密钥时自动生成的密钥ID。可点击进入密钥详情。 别名 密钥的别名。 密钥状态 密钥的状态，包含： 启用中 已禁用 待删除 待导入 密钥类型 创建密钥时选择的算法类型，包含： 对称密钥：AES256、CtyunSM4（企业版支持） 非对称密钥：RSA2048、CtyunSM2（企业版支持） 密钥用途 创建密钥时选择的用途，包含： Encrypt/Decrypt Sign/Verify，仅非对称密钥支持 保护级别 创建密钥时选择的保护级别，包含： Software Hsm 创建时间 创建该密钥的时间。 操作 用户可以对密钥进行启用/禁用、计划删除密钥/取消计划删除密钥、编辑标签操作。 5. 在密钥列表点击 密钥ID ，进入 密钥详情页 。 在密钥详情区域可查看当前密钥的详细信息。 密钥详情参数说明如下表所示： 参数 说明 密钥类型 创建密钥时选择的算法类型，包含： 对称密钥：AES256、CtyunSM4（企业版支持） 非对称密钥：RSA2048、CtyunSM2（企业版支持） 密钥用途 创建密钥时选择的用途，包含： Encrypt/Decrypt Sign/Verify，仅非对称密钥支持 创建者 即Userid。 密钥状态 密钥的状态，包含： 启用中 已禁用 待删除 待导入 保护级别 创建密钥时选择的保护级别，包含： Software Hsm 创建时间 创建该密钥的时间。 删除保护 状态： 未开启 启用中 说明 开启删除保护状态的密钥，将无法直接删除该密钥，从而避免误删除密钥。若确认要将密钥删除，需要将删除保护关闭。 描述 描述信息，可修改。 在密钥详情页 的别名管理 区域，可为密钥创建别名，同时可删除不需要的别名。详情请参见别名管理。 在密钥详情页 的密钥版本 区域，可为对称密钥设置 轮转策略 ，为非对称密钥手动 更新密钥版本 ，同时可查看当前密钥的版本列表。详情请参见密钥版本管理。 对称密钥，设置轮转策略： 非对称密钥，创建密钥版本： 在密钥详情页 的云产品关联区域，可查看当前密钥绑定的天翼云云上产品。

云搜索服务的Elasticsearch实例默认提供Cerebro，无需另外安装部署，即可实现Cerebro访问。 前提条件 已开通天翼云云搜索服务Elasticsearch实例（1.2.0版本及以上）。 实例已绑定公网IP。具体可参考“实例公网访问”章节。 操作步骤 1. 登录云搜索服务控制台。 2. 在实例列表页，选择需要登录的实例，在操作列选择Cerebro,单击打开登录页。 3. 输入用户名和密码，用户名默认为admin，密码为创建实例时设置的管理员密码。 4. 使用自建Cerebro访问云搜索实例，应确保自建Cerebro与实例网络互通，连接实例填写