天翼云监控为您提供优质的服务体验，本文带您了解云监控的产品优势。 免费服务自动开通 云监控服务在云资源创建成功后自动开通，不收取费用，监控视图开箱即用。云服务开通后，即可通过云监控服务管理控制台方便直观地查看云产品运行状态，并可设置个性化的告警规则。 实时指标全面覆盖 指标监控数据分钟级获取，全面涵盖多产品多维度，方便客户体系化监控能力建设。目前针对云主机、云硬盘、弹性伸缩等产品提供二十多项指标监控，为客户提供性能历史曲线，多维度监控资源动态。 策略分组配置灵活 客户可对实例根据业务实际需要进行分组，通过创建告警模板，将不同分组配置在不同监控告警策略下，以及时了解各组使用和运行情况，并可随时启停，灵活方便。 及时告警智能通知 实时监控各项资源，提供自动资源告警，及时触发告警通知。用户可按需对告警规则进行设置，当监控项达到设置的告警阈值时，告警通知将立即发送给用户设定的联系人或联系组，从而能够使资源异常情况被及时获知并得到处理，避免发生损失。 关键指标重点掌控 用户可在监控面板页设置重点关注指标，方便每次登陆云监控平台及时查看关键性能，掌握云资源对业务的承载能力。

本文汇总了使用弹性负载均衡产品时常见的计费类问题。 共享型负载均衡服务是否可一直免费使用？ 目前共享型负载均衡服务可免费使用，若共享型负载均衡服务有收费计划，将以公告形式进行告知，届时可关注官网公告，收费相关信息以届时公告内容为准。 弹性负载均衡服务的带宽和弹性云主机的带宽是否会重复计费？ 主要取决于客户的业务是否需要弹性云主机的带宽。一般来说，弹性云主机接入弹性负载均衡后，由弹性负载均衡对外提供访问业务。但不排除客户的业务比较特殊，一个弹性云主机有多个对外业务，此时需要弹性云主机自己申请EIP和带宽。 负载均衡冻结后，哪些功能会受影响？ 冻结期间，负载均衡会受以下影响： 1. ELB不再进行流量转发，解冻后流量会逐渐恢复。 2. 健康检查停止，健康检查显示的状态为冻结前一刻的状态，解冻后健康检查会恢复。 3. 监控数据会停止上报，解冻后恢复。

海量文件服务支持对用户操作进行审计,本文介绍相关操作说明。 目录 操作场景 使用限制 关键操作列表 操作步骤 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。

方向 动作 协议 源地址 源端口范围 目的地址 目的端口范围 说明 入方向 允许 TCP 0.0.0.0/0 165535 0.0.0.0/0 80 允许所有IP地址通过HTTP协议入站访问子网内的弹性云服务器的80端口。 入方向 允许 TCP 0.0.0.0/0 165535 0.0.0.0/0 443 允许所有IP地址通过HTTPS协议入站访问子网内的弹性云服务器的443端口。 出方向 允许 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 允许子网内所有出站流量的数据报文通过。

本文向您介绍天翼云与客户的安全责任共担机制。 与传统的本地数据中心相比，云计算的运营方和使用方分离，提供了更好的灵活性和控制力，有效降低了客户的运营负担。正因如此，云的安全性无法由一方完全承担，云安全工作需要天翼云与您共同努力。 天翼云：无论在任何云服务类别下，天翼云都会承担基础设施的安全责任，包括安全性、合规性。该基础设施由天翼云提供的物理数据中心（计算、存储、网络等）、虚拟化平台及云服务组成。在PaaS、SaaS场景下，天翼云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户：无论在任何云服务类别下，客户数据资产的所有权和控制权都不会转移。在未经授权的情况，天翼云承诺不触碰客户数据，客户的内容数据、身份和权限都需要客户自身看护，这包括确保云上内容的合法合规，使用安全的凭证（如强口令、多因子认证）并妥善管理，同时监控内容安全事件和账号异常行为并及时响应。 图天翼云安全责任共担模型 云安全责任基于控制权，以可见、可用作为前提。在客户上云的过程中，资产（例如设备、硬件、软件、介质、虚拟机、操作系统、数据等）由客户完全控制向客户与天翼云共同控制转变，这也就意味着客户需要承担的责任取决于客户所选取的云服务。如上图所示，客户可以基于自身的业务需求选择不同的云服务类别（例如IaaS、PaaS、SaaS服务）。不同的云服务类别中，每个组件的控制权不同，这也导致了天翼云与客户的责任关系不同。 在IaaS场景下，客户控制着除基础设施外的所有组件，因此客户需要做好除基础设施外的所有组件的安全工作，例如应用自身的合法合规性、开发设计安全，以及相关组件（如中间件、数据库和操作系统）的漏洞修复、配置安全、安全防护方案等。 在PaaS场景下，客户除了对自身部署的应用负责，也要做好自身控制的中间件、数据库、网络控制的安全配置和策略工作。 在SaaS场景下，客户对客户内容、账号和权限具有控制权，客户需要做好自身内容的保护以及合法合规、账号和权限的配置和保护等。

API安全网关 API全生命周期管理：多协助开发者轻松完成API的创建、维护、发布、监控、参数校验等整个生命周期的管理。 API攻击防护：内置丰富的攻击检测规则，对OWASP top 10等常见的web和API风险漏洞提供有效的攻击防护。 API限流限速：支持基于API、服务、API调用者三个维度的限流限速功能，以保护你的后端服务。 灵活的API访问控制：支持高度可配置的访问控制策略，涵盖但不限于IP白名单/黑名单、请求URL匹配、HTTP方法限制、请求体校验、Host头验证及Referer检查等。 API动态脱敏与水印溯源：自动识别和梳理API中传输的敏感数据，针对不同的API调用者配置动态脱敏功能和水印算法。 API监控审计：提供API访问行为的全量审计功能和访问行为分析功能，方便事后追踪溯源。 API风险监测 自动化盘点应用API，掌握数据资产全貌：采集API日志支持加密流量解析；维持最新的API清单让API清晰可见，多种API打标维度让API可管 。 API分类分级管控：快速定义数据的敏感等级，包括金融、运营商、政务在内的14个分类分级模版，同时识别API上面传输的敏感数据，监测数据流动，例如：手机号、姓名等。 数据安全风险分析：提供API 脆弱性风险、用户行为风险、用户行为画像等多重种数据安全风险统计分析能力。 API行为风险监测：内置行为风险自动监测引擎，对用户异常调用API获取数据行为等进行实时监控预警，发现逾需拉取、数据爬取等行为风险。 留存全量日志，实现全面溯源可查：统一操作日志格式，为常用的审计景添加检索引，检索相应速度更快，运营操作更友好；内置API数据安全运营报表、资产治理专项报表以及特殊场景安全评估报表，如：疑似下线资产审计等，可通过邮箱订阅报表

云日志服务支持将日志一次性转储至对象存储服务（OBS）中长期保存。 前提条件 日志已接入LTS。 已创建OBS桶。 创建一次性日志转储 在云日志服务管理控制台，左侧导航栏中，单击“日志转储”。 在“日志转储”页面右上角，单击“配置转储”。 在“配置转储”页面，设置转储日志相关参数。 表 1 配置转储参数说明 参数名称 说明 样例 转储方式 周期性转储：日志将周期性的转储至对象存储服务（OBS）中长期保存。一次性转储：日志将一次性的转储至对象存储服务（OBS）中长期保存。 一次性转储 转储对象 选择转储的云服务。 OBS 日志组名称 选择已创建的日志组。 企业项目 选择已创建的企业项目。如果当前账号未开通企业项目则不显示该参数。 如果当前账号已开通企业项目，则存在以下情况：当转储当前账号日志时，下拉框显示当前账号的全部企业项目。 当转储其他账号日志时，若委托账号未开通企业项目，则默认显示“default”。 当转储其他账号日志时，若委托账号已开通企业项目，则显示委托账号的全部企业项目。 日志流名称 选择已创建的日志流。已配置过OBS转储的日志流不能重复配置。 过滤条件 默认关键词过滤，在输入框填写需要过滤的关键词。 转储时间范围 时间范围有三种方式，分别是相对时间、整点时间和自定义。您可以根据自己的实际需求，选择时间范围。 相对时间：表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。 例如当前时间为19:20:31，设置相对时间1小时，表示查询18:20:3119:20:31的日志数据。 整点时间：表示查询最近整点1分钟、15分钟等时间区间的日志数据。 例如当前时间为19:20:31，设置整点时间1小时，表示查询18:00:0019:00:00的日志数据。 自定义：表示查询指定时间范围的日志数据 日志总条数 日志总条数。 转储文件个数 单次一次性转储日志条数上限100万条，转储文件个数上限10个。 OBS桶 选择已创建的OBS桶。如果没有可选择的OBS桶，单击“查看OBS”，进入对象存储服务管理控制台，创建OBS桶。LTS目前仅支持存储类别为“标准存储”的OBS桶。 所属桶目录 所属OBS桶目录。 转储文件名称 自定义转储文件名称，只能由英文字母、数字、中划线、下划线、小数点组成。 转储格式 用于配置日志的转储格式，可选择原始日志格式、Json格式、CSV格式。 原始日志格式示例：云日志服务控制台展示的日志内容的格式为原始日志格式。 Sep 30 07:30:01 ecsbd70 CRON[3459]: (root) CMD (/opt/oss/servicemgr/ICAgent/bin/manual/mstart.sh > /dev/null 2>&1) JSON格式示例： { "hostname": "ecsbd70", "ip": "192.168.0.54", "lineno": 249,"message": "Sep 30 14:40:01 ecsbd70 CRON[4363]: (root) CMD (/opt/oss/servicemgr/ICAgent/bin/manual/mstart.sh > /dev/null 2>&1)n", "path": "/var/log/syslog", "time": 1569825602303 } CSV格式：以表格的形式展示日志内容。 Json 单击“确定”，完成配置。当转储任务状态为“正常”时，表示转储任务创建成功。 单击“转储对象”列的OBS桶名称，可以跳转至OBS控制台，查看转储的日志文件。 转储到OBS后的日志，支持从OBS下载到本地进行查看。

说明：本章节会介绍如何通过弹性云主机通过内网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 登录弹性云服务器。 通过弹性云服务器连接关系型数据库实例，需要具备以下条件。 该弹性云服务器与目标实例必须处于同一VPC、子网内。 该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全组， 则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云服务器访问。具体操作请参考步骤二：设置安全组规则。 如果安全组规则允许弹性云服务器访问，即可连接实例。 如果安全组规则不允许弹性云服务器访问，则需添加安全组规则。该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 使用客户端连接实例。 您可以在Linux操作系统和Windows操作系统中，使用数据库客户端连接RDS实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本应该高于已创建的RDS实例中数据库版本。 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 2 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 1. 登录关系型数据库服务的管理控制台。 2. 选择目标实例所在区域。 3. 单击目标实例名称，进入“基本信息”页面。 4. 在“连接信息”模块，可查看“内网地址”信息。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 3 在“连接管理”窗口，选中步骤3创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图3 打开登录信息 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表2 参数说明 参数 说明 内网地址。在目标实例的“基本信息”页面，“连接信息”模块的“内网地址”。 数据库端口，默认3306。在目标实例的“基本信息”页面，“连接信息”模块的“数据库端口”。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password:

说明：本章节会介绍如何在控制台设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： − ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 − ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 n 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 n 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 登录管理控制台。 在系统首页，单击“网络 > 虚拟私有云”。 在左侧导航树选择“访问控制 > 安全组”。 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 根据界面提示配置安全组规则。 单击“确定”。

指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标，本列监控周期值适用于KVM实例） cpuutil CPU使用率 该指标用于统计弹性云主机的CPU使用率。 单位：百分比 计算公式：单个弹性云主机CPU使用率 / 单个弹性云主机的CPU总核数。 0100% 弹性云主机 5分钟 memutil 内存使用率 该指标用于统计弹性云主机的内存使用率。 如果用户使用的镜像未安装UVP VMTools，则无法获取该监控指标。 单位：百分比 计算公式：该弹性云主机内存使用量 / 该弹性云主机内存总量。 0100% 弹性云主机 5分钟 diskutilinband 磁盘使用率 该指标用于统计弹性云主机的磁盘使用情况。 如果用户使用的镜像未安装UVP VMTools，则无法获取该监控指标。 单位：百分比 计算公式：弹性云主机磁盘使用容量 /弹性云主机磁盘总容量。 0100% 弹性云主机 5分钟 diskreadbytesrate 磁盘读带宽 该指标用于统计每秒从弹性云主机读出数据量。 计算公式：弹性云主机的磁盘读出的字节数之和 / 测量周期。 单位：字节/秒 byteout (rdbytes lastrdbytes) /时间差。 ≥ 0 弹性云主机 5分钟 diskwritebytesrate 磁盘写带宽 该指标用于统计每秒写到弹性云主机的数据量。 单位：字节/秒 计算公式：弹性云主机的磁盘写入的字节数之和 / 测量周期。 ≥ 0 弹性云主机 5分钟 diskreadrequestsrate 磁盘读IOPS 该指标用于统计每秒从弹性云主机读取数据的请求次数。 单位：请求/秒 计算公式：请求读取弹性云主机磁盘的次数之和 / 测量周期。 reqout (rdreq lastrdreq) /时间差。 ≥ 0 request/s 弹性云主机 5分钟 diskwriterequestsrate 磁盘写IOPS 该指标用于统计每秒从弹性云主机写数据的请求次数。 单位：请求/秒。 计算公式：请求写入弹性云主机磁盘的次数之和 / 测量周期。 reqin (wrreq lastwrreq) /时间差。 ≥ 0 request/s 弹性云主机 5分钟 networkincomingbytesrateinband 带内网络流入速率 该指标用于在弹性云主机内统计每秒流入弹性云主机的网络流量。 单位：字节/秒。 计算公式：弹性云主机的带内网络流入字节数之和/测量周期。 ≥ 0 Byte/s 弹性云主机 5分钟 networkoutgoingbytesrateinband 带内网络流出速率 该指标用于在弹性云主机内统计每秒流出弹性云主机的网络流量。 单位：字节/秒。 计算公式：弹性云主机的带内网络流出字节数之和 / 测量周期。 ≥ 0 Byte/s 弹性云主机 5分钟 networkincomingbytesaggregaterate 带外网络流入速率 该指标用于在虚拟化层统计每秒流入弹性云主机的网络流量。 单位：字节/秒。 计算公式：弹性云主机的带外网络流入字节数之和 / 测量周期。 当使用SRIOV时，无法获取该监控指标。 ≥ 0 Byte/s 弹性云主机 5分钟 networkoutgoingbytesaggregaterate 带外网络流出速率 该指标用于在虚拟化层统计每秒流出弹性云主机的网络流量。 单位：字节/秒。 计算公式：弹性云主机的带外网络流出字节数之和 / 测量周期。 当使用SRIOV时，无法获取该监控指标。 ≥ 0 Byte/s 弹性云主机 5分钟 networkvmconnections 网络连接数 该指标表示弹性云主机已经使用的TCP和UDP的连接数总和。 单位：个 ≥ 0 弹性云主机 5分钟 networkvmbandwidthin 虚拟机入方向带宽 虚拟机整机每秒接收的比特数，此处为公网和内网流量总和。 单位：比特/秒 ≥ 0 弹性云主机 5分钟 networkvmbandwidthout 虚拟机出方向带宽 虚拟机整机每秒发送的比特数，此处为公网和内网流量总和。 单位：比特/秒 ≥ 0 弹性云主机 5分钟 networkvmppsin 虚拟机入方向PPS 虚拟机整机每秒接收的数据包数，此处为公网和内网数据包总和。 单位：包/秒 ≥ 0 弹性云主机 5分钟 networkvmppsout 虚拟机出方向PPS 虚拟机整机每秒发送的数据包数，此处为公网和内网数据包总和。 单位：包/秒 ≥ 0 弹性云主机 5分钟 networkvmnewconnections 虚拟机整机新建连接数 虚拟机整机新建连接数，包括TCP协议、UDP协议以及ICMP协议等。 单位：个 ≥ 0 弹性云主机 5分钟 cpucreditusage CPU积分使用量 该指标表示积分型实例累积花费的CPU积分数。 单位：分。 计算公式：一个CPU积分等于一个vCPU按照100%利用率，运行1分钟。 说明 仅T6型支持。 ≥ 0 分 弹性云主机 5分钟 cpucreditbalance CPU积分累积量 该指标表示实例自启动后已累积获得的CPU积分数。 单位：分。 计算公式：根据Flavor定义，CPU积分/小时小时积分使用量。 说明 当累积积分超过上限以后，不再累积积分，初始积分不计入上限。 仅T6型支持。 ≥ 0 分 弹性云主机 5分钟 cpusurpluscreditbalance CPU超额积分累积量 该指标表示在“CPU积分累积量”为零时，实例花费的超额积分数。 单位：分。 计算公式：一个CPU积分等于一个vCPU按照100%利用率，运行1分钟。 说明 累积积分为0且服务器性能超过基准性能时，开始累积超额积分。 仅T6型支持。 ≥ 0 分 弹性云主机 5分钟 cpusurpluscreditcharged CPU超额积分收费量 该指标表示在“CPU积分累积量”为零时，实例花费的超额积分并需要收费的积分量。 单位：分。 计算公式：一个CPU积分等于一个vCPU按照100%利用率，运行1分钟。 说明 超额积分累积达到上限且服务器持续长时间超过基准使用率运行。 仅T6型支持。 ≥ 0 分 弹性云主机 5分钟

事件数据格式 [ { "specversion":"1.0", "id":"test8194e630fec1", "source":"ctyun.sitemonitor", "type":"sitemonitor:responsetimeout", "subject":"ctyun.sitemonitor:fdda0184221140dd809802bd4e1f0452:responsetimeout", "datacontenttype":"application/json", "time":"20250116T14:06:52.368536895Z", "data":{ "taskID":"fdda0184221140dd809802bd4e1f0452", "pointID":"1e138ae8b9914c25a139b0ad3ac2f22a", "targetAddr":"203.83.233.26", "targetIP":"", "dnsServer":null, "responseTime":"", "accountID":"", "protocol":"ping", "interval":60, "err":"fdda0184221140dd809802bd4e1f0452 Failed to sent any pkg or receive any valid pkg, sent: 10, receive: 0" }, "reportidc":"guizhou03", "ctyunregion":"guizhou03" }, ... { "specversion":"1.0", "id":"1d7554dfb7c44109be177da11a09dd6a", "source":"ctyun.sitemonitor", "type":"sitemonitor:responsetimeout", "subject":"ctyun.sitemonitor:fdda0184221140dd809802bd4e1f0452:responsetimeout", "datacontenttype":"application/json", "time":"20250116T14:06:52.368536895Z", "data":{ "taskID":"fdda0184221140dd809802bd4e1f0452", "pointID":"1e138ae8b9914c25a139b0ad3ac2f22a", "targetAddr":"203.83.233.26", "targetIP":"", "dnsServer":null, "responseTime":"", "accountID":"", "protocol":"ping", "interval":60, "err":"fdda0184221140dd809802bd4e1f0452 Failed to sent any pkg or receive any valid pkg, sent: 10, receive: 0" }, "reportidc":"guizhou03", "ctyunregion":"guizhou03" } ] 说明 订阅数据类型分为指标类数据、事件类数据、告警类数据。 指标类数据：指标数据是对系统、服务或资源的各种量化特征进行实时或定期监测和收集的数据。这些数据通常以数值形式表示，用于描述系统的运行状态、性能表现和资源使用情况等。 事件类数据：事件数据是记录云资源或服务状态变化的离散信息，通常由系统自动生成，用于描述某一时刻发生的操作或状态变更。 告警类数据：告警数据是基于指标数据或事件数据，当系统检测到某些特定告警规则时产生。告警数据通常包含了告警的类型、等级、发生时间、相关资源信息以及告警的具体描述等。

本文主要介绍云日志服务的API接入概述。 云日志服务支持通过REST风格的API上报日志数据，详情请查看上报日志。 前提条件 您需要在源端云主机所在的VPC创建云日志服务的VPC终端节点，以打通与日志服务的网络连接。更多关于VPC终端节点请查看VPC终端节点产品介绍。 操作步骤： 1. 访问终端节点创建页面。 2. 服务列表中，选择名称为.lts结尾的服务。如在华东1资源池，则服务名称为‘cn.ctyun.cnhuadong1.lts’。 3. 虚拟私有云中，选择源端所在的VPC。 4. 展开高级配置，打开私网域名开关。 5. 点击下一步，提交订单，完成VPC终端节点创建。 6. 将源端云主机内的 DNS 改成内网 DNS 服务地址（100.95.0.1）。详细步骤请查看内网DNS操作指南。 访问地址（Endpoint） 云日志服务访问地址。详情请查看访问地址（Endpoint）。

本文主要介绍云日志服务的API接入概述。 云日志服务支持通过REST风格的API上报日志数据，详情请查看上报日志。 前提条件 您需要在源端云主机所在的VPC创建云日志服务的VPC终端节点，以打通与日志服务的网络连接。更多关于VPC终端节点请查看VPC终端节点产品介绍。 操作步骤： 1. 访问终端节点创建页面。 2. 服务列表中，选择名称为.lts结尾的服务。如在华东1资源池，则服务名称为‘cn.ctyun.cnhuadong1.lts’。 3. 虚拟私有云中，选择源端所在的VPC。 4. 展开高级配置，打开私网域名开关。 5. 点击下一步，提交订单，完成VPC终端节点创建。 6. 将源端云主机内的 DNS 改成内网 DNS 服务地址（100.95.0.1）。详细步骤请查看内网DNS操作指南。 访问地址（Endpoint） 云日志服务访问地址。详情请查看访问地址（Endpoint）。

全球加速 AOne零信任网络全球加速基于中国电信强大网络资源和天翼云全球分布式边缘节点，采用合法、合规的跨境线路，提高跨境访问速度，保障海外电商、全球化办公等业务体验。 使用协议加速、智能选路、传输优化等技术，大幅提升访问全球学术教育资源、SAAS服务、视频会议的网速。POP点全球分布1800个节点，覆盖多运营商、主要区域省份和城市。使用精品IP网络CN2和163双平面承载，充分保障带宽的稳定性。 智能路由优化 智能路由选择算法，能够实时监测网络链路的质量和状态，根据网络拥堵情况、时延等因素，自动为用户选择最佳的传输路径，进一步提升全球链路的可靠性与速度，确保数据高效传输，避免了传统网络中因路径选择不当而导致的网络卡顿、掉线等问题。 灵活接入，场景丰富 除了连接器集中引流方式，也提供客户端接入，无论手机还是电脑，随时随处即开即用，并提供海外原生IP，保障电商全球加速。

本节关于恢复方案的相关内容。 云数据库RDS提供了多种方式恢复实例的数据，用以满足不同的使用场景，如数据故障或损坏，实例被误删除。 恢复误删除的实例 回收站：退订的包年包月实例和删除的按需实例，支持加入回收站管理。通过数据库回收站中重建实例功能，可以恢复1~7天内删除的实例。 已删除实例的备份：通过保留的手动备份，可以恢复实例数据，详见全量数据恢复：按备份文件恢复。 恢复误删除或修改的数据 表 恢复方案说明 恢复方案 分类 支持的存储类型 恢复时间点 恢复范围 恢复位置 恢复时长 恢复方案 分类 其他 极速型SSD 备份文件所在时间点 所有库表 部分库表 恢复到新实例 恢复到当前实例 恢复到已有实例（非原实例） 恢复时长 全量恢复 备份文件恢复 √ √ x √ x √ x √ 与实例的数据量有关 全量恢复 时间点恢复 √ √ √ √ x √ x √ 与实例的数据量有关 库表恢复 库表恢复 √ √ √ x √ x √ x 与实例以及库表的数据量有关

本节介绍了什么是GeminiDB Redis接口。 GeminiDB Redis是一款基于计算存储分离架构，兼容Redis生态的云原生NoSQL数据库。GeminiDB Redis突破了开源Redis的内存限制，通过将数据进行冷热分离，在保证热数据驻留计算节点内存满足业务低时延要求的同时，将冷数据置换入分布式存储池进行持久化存储，最大程度的降低使用成本。 GeminiDB Redis具有高兼容、高性价比、高可靠、弹性伸缩、高可用、冷热分离等特点。 高兼容 用户应用无需修改代码，可直接使用，100%兼容原生Redis接口。 高性价比 GeminiDB Redis基于共享存储，在提供足够性能的前提下，大幅度降低海量数据使用Redis的成本。 GeminiDB Redis将数据全部存储在磁盘中，并实现了冷热分离，解决了缓存（cache）与数据库（Data Base，DB）之间交互访问的问题，提高了程序可读性与程序运行效率。 高可靠 GeminiDB Redis基于共享存储池的多副本强一致机制，保证数据的安全可靠。 计算节点无状态，故障节点自动接管。 存储池支持跨AZ部署。 无损弹性伸缩 RocksDB深度定制，秒级分裂弹性扩容。 扩缩容无需搬迁数据，快速而平滑。 通过Proxy代理，使上层业务可以不感知内核处理扩缩容过程中的数据迁移。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

应用场景 业务痛点 AOne会议解决方案 智慧办公 跨地域团队协作成本高、效率低。 远程办公体验差，会议频繁卡顿或中断。 会议信息分散，事后难以追踪和整理。 提供高质量音视频会议，支持千人级会议稳定并发。 支持云录制、屏幕共享等功能，提升远程协同效率。 支持多端登录与移动办公，随时随地召开会议。 支持云录制视频下载和转写内容导出，方便会后任务跟进与知识沉淀。 远程医疗 医疗资源分布不均，专家会诊成本高。 医患沟通效率低，传统方式难以实时响应。 医疗系统安全要求高，需保障数据传输安全合规。 支持高清视频连线，可开展远程会诊、线上查房、远程培训等。 提供会议加密、水印追踪，保障医疗数据与隐私安全。 结合信创兼容能力，支持在合规环境下的部署落地。 支持共享影像资料、语音转写记录会诊过程，提升沟通效率、加强信息留存。 政企服务 跨部门、跨地区沟通流程繁琐。 政府系统对国产化、数据安全有严格要求。 政务会议需要留痕、可审计、可复用。 支持多地多方远程接入，实现跨部门、跨地区协同会议。 具备全链路国产化适配能力。 支持会议过程云录制、语音转写与水印留痕，满足合规与审计要求。 提供会议预约管理、主持权限管控，确保会议组织规范高效。

本节主要介绍通过公网连接TaurusDB实例。 TaurusDB实例提供Linux操作系统和Windows操作系统连接实例的方法。 Linux操作系统下使用MySQL客户端连接实例，并且提供SSL连接（推荐）和非SSL连接两种连接方式。其中，SSL连接实现了数据加密功能，具有更高的安全性。 Windows操作系统下使用MySQLFront客户端连接实例。 操作场景 通过公网连接TaurusDB实例的场景如下： VPC中的TaurusDB实例被不同VPC中的弹性云主机访问。 VPC中的TaurusDB实例被公共网络中的服务器访问。 前提条件 1. 创建并登录弹性云主机。 2. 绑定弹性IP并设置安全组规则 。 1. 对目标实例绑定弹性IP。关于如何绑定弹性IP，请参见绑定弹性IP。 2. 获取本地设备的IP地址。 3. 设置安全组规则。将2中获取的IP地址及目标实例的端口加入安全组允许访问的范围中。关于如何设置安全组规则，请参见设置安全组规则章节。 4. 使用ping命令连通1中绑定的弹性IP地址，确保本地设备可以访问该弹性IP地址。 3. 在准备的弹性云主机上安装客户端 。 Linux操作系统中，您需要在弹性云主机上安装MySQL客户端。建议您下载的MySQL客户端版本高于已创建的TaurusDB实例中数据库版本。 如何获取相应安装包及完成安装，请参见如何安装MySQL客户端。 Windows操作系统中，您可以使用任何通用的数据库客户端连接到TaurusDB实例且连接方法类似。 本章节以MySQLFront为例，描述Windows操作系统连接实例具体操作步骤，详情请参见使用MySQLFront连接实例。

后续管理 若需修改认证信息、关闭认证等，可单击“编辑”，在弹出的RADIUS配置窗口重新配置。 配置Azure AD远程认证 云堡垒机与Azure AD平台对接，认证登录系统的用户身份。 本小节主要介绍如何配置Azure AD认证模式。 前提条件 用户已获取“系统”模块管理权限。 已在Azure AD创建用户和添加企业应用程序，并获取Azure AD平台配置的相关信息。 操作步骤 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 认证配置”，进入远程认证配置管理页面。 3. 在“Azure AD认证配置”区域，单击“编辑”，弹出Azure AD认证配置窗口。 Azure AD域认证参数说明 参数 说明 :: 状态 选择开启或关闭Azure AD远程认证，默认开启。 关闭表示开启Azure AD认证。在配置信息有效情况下，登录系统时呈现Azure AD认证入口。 开启表示关闭Azure AD认证。 标识符（实体ID） 输入企业名称或URL。 回复URL 自动填写，默认为返回当前云堡垒机的跳转链接。 当云堡垒机IP或域名变更，需同时修改此链接中IP或域名。 应用联合元数据URL 输入在Microsoft Azure中配置SAML签名证书后生成的应用联合元数据URL。 登录URL 输入在Microsoft Azure中配置SAML单一登录后生成的登录URL。 Azure AD标识符 输入在Microsoft Azure中配置SAML单一登录后生成的Azure AD标识符。 4. 单击“确认”，提交配置数据验证可达后，返回Azure AD认证服务器表中，即可查看和管理的Azure AD认证配置信息。

本文介绍ECI实例概述。 本文主要介绍弹性容器实例ECI Pod的主要功能以及使用限制。 前提条件 已开通并授权云容器引擎。 已登录弹性容器实例控制台开通ECI服务。 Kubernetes应用限制 借助Kubernetes社区的Virtual Kubelet技术，天翼云ECI可以完美连接到Kubernetes，实现真正意义上的无缝连接。ECI实例并不会在一个集中式的真实节点上运行，而是分布在整个天翼云的资源池中。由于公共云的安全性和虚拟节点本身的限制，ECI目前还不支持Kubernetes中的一些功能，如DaemonSet。具体功能限制请参见下表： 不支持的功能 说明 HostPath 允许将宿主机（Node）上的文件或目录挂载到Pod中 HostNetWork 允许Pod使用宿主机的网络命名空间，而不是使用Kubernetes的网络隔离 DaemonSet 用于确保每个集群节点上自动运行一个指定的Pod副本 Privileged权限 允许容器几乎拥有宿主机级别的权限 typeNodePort的Service 通过在集群的节点上暴露一个静态端口，使得外部可以通过指定IP地址和该端口访问服务 核心功能 功能项 说明 安全隔离 提供虚拟机级别的安全和资源隔离能力，每个容器实例都运行在独占内核中，不与其它负载和Pod共享基础设施资源。同时针对容器运行环境进行了深度优化，具备比虚拟机更快的启动速度和运行效率 CPU/Memory资源或规格配置 ECI Pod默认使用按需计费模式进行费用收取。支持指定CPU和Memory资源或者指定ECS规格创建实例 镜像拉取与缓存 镜像拉取：ECI Pod在每次启动时，会自动从远程仓库获取容器镜像。对于公共镜像的获取，建议配置VPC的NAT网关或为ECI Pod配置弹性公网IP (EIP)。为优化镜像拉取效率，我们推荐您使用天翼云容器镜像服务，加速镜像的下载 镜像缓存：ECI提供镜像缓存功能，镜像缓存是为了加速拉取镜像以减少ECI启动时间而设计的。镜像拉取是容器实例启动的主要耗时，而制作镜像缓存可以通过预先获取、存储和管理已经拉取的镜像，实现对容器实例启动时间的显著减少。考虑到网络和镜像大小等因素的影响，构建镜像缓存可以通过连续使用相同的镜像实现快速部署，从而加速容器实例的启动并提高系统的可用性 存储 支持使用多种存储方式： CSI：CSI插件是目前Kubernetes社区推荐的插件实现方案，Serverless集群所提供的 CSI 存储插件与社区 CSI 特性兼容。该插件由以下两个组件组成：CSIPlugin：提供挂载和卸载数据卷的能力，Serverless集群默认支持云硬盘和弹性文件服务两种存储服务；CSIProvisioner：提供自动挂载数据卷的能力 PV/PVC：PV提供长期存储资源，而PVC允许用户以抽象的方式请求这些存储资源，实现存储的分配和管理 EmptyDir：该数据卷是一种用于容器实例中临时存放数据的目录，以便于容器之间共享数据。但是需要注意的是，当容器实例被删除时，EmptyDir数据卷中的数据也会被清空 网络 ECI Pod默认采用Host网络模式，并会占用交换机vSwitch的一个弹性网卡ENI资源。在Kubernetes集群环境中，ECI Pod与云主机节点上的Pod可以相互访问。具体方法如下： 创建类型为LoadBalancer的Service对象，并与ECI Pod进行关联；也支持Service同时关联ECI Pod和云主机上的Pod 创建类型为ClusterIP的Service对象，ECI Pod可以直接访问集群中的clusterIP地址 配置相应的 NAT 网关或弹性公网 EIP，并为 ECI Pod绑定指定EIP，或者将 NAT 网关绑定到 ECI 实例所属的 VPC 网络中 日志采集 通过安装日志采集服务插件，一般情况无需再额外部署sidecar容器

鲲鹏内存优化型 鲲鹏内存优化型km1搭载鲲鹏920处理器，云主机实例独享CPU，提供更稳定的CPU性能、更大内存比以及更优秀的网络性能，对内存型应用的运行提供更好支持。 鲲鹏内存优化型km1适用于内存要求高，数据量大并且数据访问量大，同时要求快速的数据交换和处理的应用。 宿主机规格： 宿主机规格 超配比 CPU信息 虚拟CPU核数（vCPUs） 内存（GB） 鲲鹏内存优化型km1 不可配置，仅支持1:1 鲲鹏920，2.6GHz 110 664 鲲鹏内存优化型km1 不可配置，仅支持1:1 鲲鹏920，2.6GHz 110 408 支持的弹性云主机规格： 规格名称 vCPU 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 km1.large.8 2 16 3/0.8 30 1 km1.xlarge.8 4 32 7/3 80 2 km1.2xlarge.8 8 64 12/6 140 4 km1.4xlarge.8 16 128 15/8 200 8 km1.8xlarge.8 32 256 30/20 400 16 说明 计算专属云规格中的vCPUs计算公式：vCPUs槽位数 CPU核数 单核线程数 CPU开销。 由于实际部署的主机网络功能的软件版本差异，宿主机可用量可能存在少量误差。

本节介绍了管理云硬盘过户的操作场景、约束与限制、操作步骤。 操作场景 通过云硬盘过户功能把一个帐号的云硬盘过户给另一个帐号，过户成功后，该云硬盘就属于接受过户的帐号。 云硬盘过户当前只支持数据盘。当前需要使用API接口来使用云硬盘过户功能，如有需要，请提交工单进行咨询。 约束与限制 包周期的云硬盘不支持过户。 冻结的云硬盘不支持过户。 加密的云硬盘不支持过户。 云硬盘有对应的备份和快照时不支持过户。 云硬盘有备份策略时不支持过户。 DSS的云硬盘不支持过户。 云硬盘不支持跨区域过户。 操作步骤 以将帐号A的云硬盘过户给帐号B为例。用户A属于帐号A，用户B属于帐号B。由用户A创建过户记录，用户B通过云硬盘过户记录ID（transferid）和云硬盘过户的身份认证密钥（authkey）接受过户，接受成功后即完成过户，基本流程如下图所示。 说明 ● transferid：云硬盘过户记录ID，每个云硬盘过户记录对应一个transferid，用户B需要通过transferid接受待过户的云硬盘。 ● authkey：云硬盘过户的身份认证密钥，每个云硬盘过户记录对应一个authkey，用户B在接受云硬盘过户时需要使用authkey进行身份认证。 图 云硬盘过户操作流程 步骤 1 用户A创建云硬盘过户记录。 云硬盘过户记录创建成功后会返回transferid和authkey。 步骤 2 （可选）用户A可以查看云硬盘过户记录。如果创建了多个云硬盘过户记录，还可以查询过户记录列表。 步骤 3 用户A将返回的transferid和authkey传递给用户B。 步骤 4 用户B是否接受云硬盘过户？ ● 是，请执行步骤5。 ● 否，任务结束。 对于未被接受的云硬盘过户，用户A可以进行删除。 步骤 5 用户B接受transferid和authkey。 步骤 6 用户B通过transferid和authkey接受云硬盘过户。

应用托管 OpenClaw 安全风险通告,请用户务必关注! 近日，CERT 披露 OpenClaw 存在多类高危安全漏洞，涵盖命令注入、代码执行、权限提升、路径遍历、认证绕过等，攻击者可利用漏洞在目标机器上执行任意命令、越权提权、窃取 / 篡改系统数据，可能导致业务系统被入侵、核心数据泄露、云托管环境横向渗透等严重风险。 在应用托管中使用OpenClaw 历史版本（26.3.13版本之前）的客户，请尽快升级至应用托管最新版本，该版本已修复当前披露的OpenClaw 相关安全漏洞。如继续使用存在漏洞的历史版本，业务系统将面临被攻击者控制、勒索、数据窃取等安全威胁，为了您的数据安全请及时完成版本升级，可联系您的客户经理，或者提交客服工单，亦或直接拨打热线电话：4008109889转1。

本节介绍了DDoS高防（边缘云版）概览页功能。 使用场景 概览页集成了DDoS高防（边缘云版）服务的重要指标和核心功能的入口，帮助您快速了解业务数据以及遭受的DDoS攻击详情。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1. 登录DDoS高防（边缘云版）控制台。 2. 进入【概览】页面，您即可使用如下功能，您可以指定时间查询。 功能 功能子项 说明 查询时间 提供快捷时间选项（昨日，今日，7天，30天）及自定义时间选择功能。指定时间后，卡片栏，业务带宽，CC攻击区域分布会展示对应时间的数据。 卡片栏展示 业务带宽峰值 防护业务的正常业务流量，等于源站上行流量与下行流量之和。 卡片栏展示 攻击事件数 DDoS网络层攻击事件数及CC攻击事件数之和。 卡片栏展示 DDoS防护带宽峰值 清洗前入向攻击流量的带宽峰值。 卡片栏展示 CC攻击峰值 经过网络层攻击过滤之后，应用层攻击QPS峰值。 业务带宽 展示业务带宽的趋势图，单位Mbps。鼠标移入可展示具体时间点的具体流量大小。支持移动时间轴将业务带宽趋势图进行放大及缩小，便于查看。 CC攻击区域分布 展示CC攻击事件中，攻击源IP的地区分布。不同颜色代表不同地区请求次数的范围。 基础信息 展示了服务接入的基本信息，包括接入的网站数，端口数量，上传的证书数量，以及即将过期的证书数量。点击可跳转到具体的列表进行查看。 计费详情 展示了服务开通的基本信息，包括套餐支持的业务带宽峰值，防护带宽峰值及CC防护峰值。点击“更多详情”可跳转计费详情页面。 应用漏洞 展示最新披露的CVE漏洞信息。

本文主要介绍应用服务网格日志采集。 应用服务网格支持采集控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志，您可以在控制台日志中心查看日志。 前提条件 1. 天翼云账号已经开通了云日志服务，如果没有开通可以通过服务网格控制台>网格实例>自定义配置>创建云日志服务。 2. 网格控制面和数据面集群已经安装了日志采集插件logoperator。可以通过ccse控制台>插件>插件市场安装。 启用服务网格日志采集 1. 登录服务网格控制台，在左侧的导航栏中选择网格实例>自定义配置。 2. 选择启用日志服务，可以选择已有的日志项目或者新建日志项目，支持为数据面、控制面和网关分别创建日志单元，您可以参考云日志服务管理日志项目查看已有的项目。如果需要新建项目，应用服务网格控制台会自动为您创建对应名称的项目。 日志中心日志查询 您可以在日志服务控制台查询服务网格控制面和数据面的日志，更多详情可参考云日志服务日志查询。 数据面日志输出格式 目前服务网格的数据面日志访问格式采用Envoy默认格式： plaintext [%STARTTIME%] "%REQ(:METHOD)% %REQ(XENVOYORIGINALPATH?:PATH)% %PROTOCOL%" %RESPONSECODE% %RESPONSEFLAGS% %BYTESRECEIVED% %BYTESSENT% %DURATION% %RESP(XENVOYUPSTREAMSERVICETIME)% "%REQ(XFORWARDEDFOR)%" "%REQ(USERAGENT)%" "%REQ(XREQUESTID)%" "%REQ(:AUTHORITY)%" "%UPSTREAMHOST%"n 以下是一个日志格式的例子： plaintext [20160415T20:17:00.310Z] "POST /api/v1/locations HTTP/2" 204 154 0 226 100 "10.0.35.28" "nsq2http" "cc21d9b0cf5c432b8c7e98aeb7988cd2" "locations" "tcp://10.0.2.1:80" 以下是日志样式字段的说明： 参数 描述 STARTTIME 请求开始时间。 REQ(:METHOD) 请求方法。 REQ(XENVOYORIGINALPATH?:PATH) 请求的原始路径，若无则使用标准路径。 PROTOCOL 请求所使用的协议。 RESPONSECODE 服务器对请求的响应状态码。 RESPONSEFLAGS 响应的标志，提供关于响应的特性信息。 BYTESRECEIVED 接收到的字节数，指示请求消息的大小。 BYTESSENT 发送出去的字节数，指示响应消息的大小。 DURATION 请求处理的持续时间，包括接收到请求到发送响应的时间。 RESP(XENVOYUPSTREAMSERVICETIME) 上游服务的响应时间，表示上游服务处理请求所花费的时间。 REQ(XFORWARDEDFOR) 请求的xff头部。 REQ(USERAGENT) 请求的用户代理，标识发起请求的软件。 REQ(XREQUESTID) 请求的唯一标识符，用于跟踪请求的生命周期。 REQ(:AUTHORITY) 请求的主机名，在HTTP/2中对应请求的authority字段。 RESPONSEFLAGS说明： 完整名称 短名 说明 NoHealthyUpstream UH 没有健康的上游服务，返回503状态码。 UpstreamConnectionFailure UF 连接上游失败，返回503状态码。 UpstreamOverflow UO 上游服务被熔断，返回503状态码。 NoRouteFound NR 找不到路由或者找不到过滤器链，返回404状态码。 UpstreamRetryLimitExceeded URX 超过上游重试次数。 NoClusterFound NC 找不到上游集群。 DurationTimeout DT 请求超时。 DownstreamConnectionTermination DC 下游连接中断。 FailedLocalHealthCheck LH 集群健康检查失败，返回503状态码。 UpstreamRequestTimeout UT 上游服务超时，返回504状态码。 LocalReset LS 连接被本地重置，返回503状态码。 UpstreamRemoteReset UR 连接被上游重置，返回503状态码。 UpstreamConnectionTermination UC 上游连接中断，返回503状态码。 DelayInjected DI 请求被注入了延迟。 FaultInjected FI 请求被注入了错误。 RateLimited RL 请求被限流，返回429错误码。 UnauthorizedExternalService UAEX 请求被外部授权服务拒绝。 RateLimitServiceError RLSE 由于限流服务报错导致请求被拒绝。 InvalidEnvoyRequestHeaders IH 请求头部异常，返回400错误码。 StreamIdleTimeout SI 请求空闲超时，返回408或者504错误。 DownstreamProtocolError DPE 下游请求HTTP协议错误。 UpstreamProtocolError UPE 上游返回的HTTP协议错误。 UpstreamMaxStreamDurationReached UMSDR 请求上游超时。 ResponseFromCacheFilter RFCF 请求通过envoy缓存插件支撑。 NoFilterConfigFound NFCF 由于没有在时间期限内收到filter配置导致请求被中断。 OverloadManagerTerminated OM 请求被过载管理器中断。 DnsResolutionFailed DF DNS解析失败。 DropOverload DO 请求被上游过载保护机制中断，返回503状态码。

可能原因： 当前设备网络连接异常。 本地DNS服务器配置错误。 运营商或网络环境存在限制。 处理建议： 检查设备网络连接是否正常。 尝试切换网络环境（例如从WiFi切换到4G/5G移动数据）。 重启AOne会议客户端。 如果您使用了自定义DNS，请还原为默认设置或使用公共DNS（如 8.8.8.8）。 为什么会出现“校验Token失败：错误编码0x1009”的提示？ 该提示表示AOne会议客户端在进行身份校验时，无法与服务器正常通信，导致Token校验失败。 可能原因： 当前网络连接不稳定或已断开 使用了VPN、代理工具或安全软件，拦截/阻碍了与AOne服务器的通信。 本地系统时间异常，影响认证过程。 处理建议： 检查并确保网络连接稳定且可正常访问互联网。 如果正在使用VPN或代理工具，请暂时关闭它们后重试。 检查并确保系统时间准确（建议开启“自动同步时间”）。 重启AOne会议客户端，再次尝试登录或加入会议。

本节为您介绍镜像服务常见的云主机创建类问题。 云主机购买成功后可以换镜像吗？ 可以。 如果由于镜像选择错误，业务需求变化，或者其他原因需要更换镜像，可以使用“切换操作系统”功能进行更换。 天翼云支持不同镜像类型（包括公共镜像、私有镜像、共享镜像以及安全产品镜像）与不同操作系统之间互相切换。您可以将现有的操作系统切换为不同镜像类型的操作系统。 使用私有镜像创建的云主机，是否可以与生成镜像的云主机硬件规格不同？ 可以不同。 使用私有镜像创建的云主机，其系统盘大小可以指定，必须大于等于镜像的系统盘大小，且小于1024GB，因此系统盘大小可以与原云主机不同，可以大于等于原云主机的系统盘大小。CPU、内存、带宽、数据盘可以根据需要进行修改，不受原云主机配置的限制。 使用镜像创建云主机，可以指定系统盘大小吗？ 可以指定系统盘大小，需要满足以下要求： 系统盘大小需要大于等于40G，小于等于2048G。 如果使用的是私有镜像，由于系统盘需要有足够的空间运行镜像文件，系统盘大小不能小于镜像的磁盘容量大小。 使用外部导入的私有镜像所创建的云主机在启动过程中提示找不到分区，如何处理？ 在不同平台之间迁移或导入外部镜像时，磁盘分区的ID可能会发生变化，导致系统无法正确识别分区。 通过将磁盘分区标识改为使用UUID来引用分区可以解决这个问题。UUID是一个唯一的标识符，不会受到平台变化的影响，因此在启动时系统可以正确地找到并加载分区。

本页为您介绍从天翼云数据库迁移/同步数据到天翼云数据库,同资源池不同VPC情况下,通过对等连接接入的方法。 在同资源池，不同VPC之间，网络默认不通，需要通过VPC打通的方式来实现网络互通。目前支持通过VPC对等连接的方式实现VPC间子网级的互通，注意需要保证源数据实例所在子网与目标数据库实例所在子网的网段不冲突。 以下分别介绍网络通信方式，DTS实例的配置流程和不同VPC间通过对等连接进行互通的配置流程。 网络通信方式 网络通信方式，见下图： DTS实例的配置流程 DTS实例订购成功后，选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“打通网络配置”将会自动识别，源端将显示“当前数据库不在同一个虚拟私有云(VPC)，需要配置对等连接打通⽹络”，点击“创建虚拟私有云(VPC)对等连接”将跳转到VPC控制台，可按VPC相关流程处理“创建对等连接”，具体页面如下： 不同VPC间通过对等连接互通的配置流程 创建VPC对等连接。 具体可参考天翼云对等连接相关文档进行配置。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档进行配置。 数据库添加白名单。 源数据库需要添加DTS实例的私网IP访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

DMS端云协同客户端可轻松接入OpenClaw,客户端核心能力封装为了AI可调用的Skill,结合DMS Skill,您可以在OpenClaw中通过对话方式轻松管理数据库实例、执行 SQL 查询、导出数据以及进行安全审计,无需记忆复杂的命令行语法。 前提条件 安装并已启动DMS端云协同客户端。 安装并已启动OpenClaw。 操作步骤 1、安装并启动DMS客户端 1. 下载并安装客户端 2. 启动客户端，确保正常运行 2、安装并启动OpenClaw 请参考OpenClaw官网完成客户端的下载、安装和启动。 3、添加DMS Skill到OpenClaw 1. 下载DMS Skill压缩包：DMS Skill。 2. 将下载的压缩包解压后放到~/.openclaw/skills目录下。如自行修改过skills目录，放到对应目录即可。 3. 解压成功后，您即可在OpenClaw通过自然语言随时触发DMS Skill进行数据管理操作。 典型场景 以下展示了一个完整的数据库操作流程，从添加实例到安全审计，共 4 个步骤，帮助您快速上手OpenClaw+客户端。

机房管理员没有超级管理权限，Ukey是Dedicated HSM提供给您的身份识别卡，此卡仅创建专属加密实例的用户持有。 敏感数据（密钥）存储在硬件加密卡中，即使加密机制造商也无法读取内部密钥信息。

本节描述了GeminiDB Redis的优势。 GeminiDB Redis是一款基于计算存储分离架构，兼容Redis生态的云原生NoSQL数据库。GeminiDB Redis突破了开源Redis的内存限制，通过将数据进行冷热分离，在保证热数据驻留计算节点内存满足业务低时延要求的同时，将冷数据置换入分布式存储池进行持久化存储，最大程度的降低使用成本。 GeminiDB Redis具有高兼容、高性价比、高可靠、弹性伸缩、高可用、冷热分离等特点。 高兼容 用户应用无需修改代码，可直接使用，100%兼容原生Redis接口。 高性价比 GeminiDB Redis基于共享存储，在提供足够性能的前提下，大幅度降低海量数据使用Redis的成本。 GeminiDB Redis将数据全部存储在磁盘中，并实现了冷热分离，解决了缓存（Cache）与数据库（Database，DB）之间交互访问的问题，提高了程序可读性与程序运行效率。 高可靠 GeminiDB Redis基于共享存储池的多副本强一致机制，保证数据的安全可靠。 计算节点无状态，故障节点自动接管。 存储池支持跨AZ部署。 无损弹性伸缩 RocksDB深度定制，秒级分裂弹性扩容。 扩缩容无需搬迁数据，快速而平滑。 通过proxy代理，使上层业务可以不感知内核处理扩缩容过程中的数据迁移。 高可用 计算节点无状态，故障节点自动接管。 存储池支持跨AZ部署。