本文介绍Windows系统云主机如何自查病毒及中病毒后处理建议 一，排查思路 1. 排查系统运行情况 结合用户反映的故障现象，排查相关进程（例如，故障现象为资源占用率高，则排查占用资源较多的进程；故障现象为网络带宽占用较多，则排查网络连接较多的进程）。重点排查进程所关联的文件、启动进程的账户等信息。 2. 排查系统运行环境 通过排查系统启动项、计划任务、系统服务启动等情况，排查可疑程序自动拉起的信息，为阻止恶意程序自运行提供依据。 3. 排查攻击来源 查看登录记录，排查是否存在远程暴力破解行为、是否有不明IP登录系统，系统内是否出现不明账户 二，常见安全入侵排查 (一)挖矿病毒 1. 故障现象 CPU占用率接近100%。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，查找可疑文件，并根据文件内容确认是否为挖矿程序。 3. 排查过程 在任务管理器中查看进程列表，确认占用CPU资源的主要进程。 查找该进程关联的程序。 xmrig是典型的门罗币挖矿程序，可通过其同目录下的“start.cmd”文件查看挖矿参数。其参数说明如下：o矿池地址和端口号；u账户地址；p密码。 4. 解决方法 停用恶意进程、删除恶意程序、检查自启动项目和计划任务、检查系统内可疑账户、为远程登录账户设置强口令、通过安全组对远程访问的IP地址进行限制。

本小节介绍如何修改默认密码。 确认防火墙的版本 确认是R7及之前的版本还是R8及之后的版本。 1.R7及之前版本的登录页面。 2.R8及以后版本的登录页面。 R7及之前版本修改密码 当前版本较老，修改完成密码后建议确认好一个窗口时间（需要升级两次15分钟），然后在天翼云平台上提交升级需求单会有工程师联系进行升级。 1.登录防火墙进入系统→设备管理→管理员页面； 2.勾选需要修改密码的账号，再点击编辑； 3.在密码框里输入新的密码，点击确认。留存好新的密码。 R8及以后版本修改密码 1.登录防火墙后点击右上角的账号。 2.点击修改密码。 3.输入原始密码及修改后的密码点击确认，留存好更新后的密码。 密码安全提醒 为了您的业务安全，请不要使用默认密码，并定期对您的密码进行修改。建议密码长度不小于8个字符，包含大写字母、小写字母、数字和特殊符号中的至少3种，并且每3个月更换一次密码。如您需要技术人员协助修改密码，请通过官网工单系统或拨打4008109889热线电话与我们联系。

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 MySQL 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 金仓(Kingbase) V8、V9 万里(GreatSQL) 8.4.44 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本。 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows Windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片 支持的运维客户端软件限制 登录方式 支持的客户端 版本 Web浏览器登录 说明 Html5运维方式为临时运维方式，若出现显示异常等问题建议使用MSTSC、VNC等更稳定的运维方式。 Edge 95及以上版本 Web浏览器登录 说明 Html5运维方式为临时运维方式，若出现显示异常等问题建议使用MSTSC、VNC等更稳定的运维方式。 Chrome 91.0及以上版本 Web浏览器登录 说明 Html5运维方式为临时运维方式，若出现显示异常等问题建议使用MSTSC、VNC等更稳定的运维方式。 Safari 13及以上版本 Web浏览器登录 说明 Html5运维方式为临时运维方式，若出现显示异常等问题建议使用MSTSC、VNC等更稳定的运维方式。 Firefox 50.0及以上版本 SSH/Telnet协议运维登录 SecureCRT 8.0及以上版本 SSH/Telnet协议运维登录 Xshell 6及以上版本 SSH/Telnet协议运维登录 Putty 堡垒机客户端自带 SSH/Telnet协议运维登录 Mac Terminal 2.0及以上版本 Sftp/Ftp协议运维登录 说明 Windows上面的FTP服务不支持上传文件。 Winscp 5及以上版本 Sftp/Ftp协议运维登录 说明 Windows上面的FTP服务不支持上传文件。 Filezila 3及以上版本 数据库运维 Navicat 11、12、15、16、17 数据库运维 DBeaver 22、23、24 数据库运维 HeidiSQL 说明 需要自行下载客户端并使用。 10.0及以上版本 数据库运维 PL/SQL Developer 说明 需要自行下载客户端并使用。 14.0.2 图形运维 Vncviewer 堡垒机客户端自带 图形运维 MSTSC 6.0及以上版本 使用Navicat运维达梦数据库时，驱动程序在不同操作系统下的兼容性有所差异，当前支持使用win2016运维达梦数据库，win11系统下Navicat没有可用的驱动，如需使用可切换至DBeaver运维使用。

操作步骤 步骤1 在“实时灾备管理”页面，单击“创建灾备任务”，进入创建灾备任务页面。 步骤2 在“灾备实例”页面，填选任务名称、描述、灾备实例信息，单击“开始创建”。 任务信息 表任务和描述 参数 描述 任务名称 任务名称在4到50位之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 灾备实例信息 表灾备实例信息 参数 描述 灾备关系 选择“本云为备”。灾备关系可以为“本云为备”或者“本云为主”，默认选择“本云为备”。“本云为备”：指灾备数据库为本云数据库的场景。“本云为主”：指业务数据库为本云数据库的场景。 业务数据库引擎 选择“MySQL”。 灾备数据库引擎 选择“MySQL”。 网络类型 此处以公网网络为示例。默认为公网网络类型，支持VPN网络、专线网络、公网网络。 灾备数据库实例 用户所创建的作为灾备任务目标数据库的关系型数据库实例。 灾备实例所在子网 请选择灾备实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保灾备实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 目标库实例读写设置 只读。 灾备中，灾备数据库整个实例 将转化为只读、不可写入的状态，通过“灾备监控”界面的“本云数据库升主”功能，可以使灾备数据库（目标库）变为业务数据库，此时数据库将变为读写状态。 灾备任务结束 后，灾备数据库也将变为读写状态。 外部数据库具有superuser权限的帐号时，也可以实现作为灾备数据库时只读状态。 如遇DRS实例节点故障重建，任务恢复前为保证DRS任务在恢复过程中的数据一致性，会将本云为备数据库短暂设置为只读，任务正常后同步关系恢复正常。 标签 表标签 参数 描述 标签 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见标签管理。 说明 对于创建失败的任务，DRS默认保留3天，超过3天将会自动结束任务。 步骤3 在“源库及目标库”页面，灾备实例创建成功后，填选业务数据库信息和灾备数据库信息后，单击“源库和目标库”处的“测试连接”，分别测试并确定与业务库和灾备库连通后，勾选协议，单击“下一步”。 步骤2中的“灾备关系”选择“本云为备”。 表业务数据库信息 参数 描述 源库类型 默认选择“ECS自建库”。 IP地址或域名 业务数据库的IP地址或域名。 端口 业务数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 业务数据库的用户名。 数据库密码 业务数据库的用户名所对应的密码。支持在任务创建后修改密码。任务为启动中、初始化、灾备中、灾备异常状态时，可在“基本信息”页面，单击“连接信息”后的“修改连接信息”，在弹出的对话框中修改密码。 说明 业务数据库的IP地址或域名、数据库用户名和密码，会被系统加密暂存，直至删除该迁移任务后自动清除。 表灾备数据库信息 参数 描述 数据库实例名称 默认为创建灾备任务时选择的数据库实例，不可进行修改。 数据库用户名 灾备数据库对应的数据库用户名。 数据库密码 灾备数据库对应的用户名密码。支持在任务创建后修改密码。任务为启动中、初始化、灾备中、灾备异常状态时，可在“基本信息”页面的“灾备信息”区域，单击“修改连接信息”，在弹出的对话框中修改密码。数据库用户名和密码将被系统加密暂存，直至该任务删除后清除。 SSL安全连接 如启用SSL安全连接，请在灾备数据库开启SSL，并确保相关配置正确后上传SSL证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 步骤2中的“灾备关系”选择“本云为主”。 业务数据库信息 参数 描述 数据库实例名称 默认为创建灾备任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 业务数据库对应的数据库用户名。 数据库密码 业务数据库对应的用户名密码。支持在任务创建后修改密码。任务为启动中、初始化、灾备中、灾备异常状态时，可在“基本信息”页面的“灾备信息”区域，单击“修改连接信息”，在弹出的对话框中修改密码。数据库用户名和密码将被系统加密暂存，直至该任务删除后清除。 SSL安全连接 如启用SSL安全连接，请在业务数据库开启SSL，并确保相关配置正确后上传SSL证书。 说明 最大支持上传500KB的证书文件。如果不启用SSL安全连接，请自行承担数据安全风险。 表灾备数据库信息 参数 描述 目标库类型 默认选择“ECS自建库”。目标库类型可以为“ECS自建库”，或“RDS实例”。选择“RDS实例”后，需要选择“区域”，该区域为目标库所在区域。 IP地址或域名 灾备数据库的IP地址或域名。 端口 灾备数据库服务端口，可输入范围为1~65535间的整数。 区域 灾备数据库RDS实例所在区域，源库类型可以为“RDS实例”时，该选项可见。 数据库实例名称 灾备数据库实例名称，源库类型可以为“RDS实例”时，该选项可见。说明实例作为灾备数据库时会被设置成只读，任务结束后恢复读写。 数据库用户名 灾备数据库用户名称。 数据库密码 灾备数据库的数据库用户密码。 说明 灾备数据库的IP地址或域名、数据库用户名和密码，会被系统加密暂存，直至删除该迁移任务后自动清除。 在“灾备设置”页面，设置流速模式等，单击“下一步”。 表灾备设置 参数 描述 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限，如何授权请参考MySQL迁移中Definer强制转化后如何维持原业务用户权限体系 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 步骤4 在“预检查”页面，进行灾备任务预校验，校验通过后才可进行下一步。 步骤5 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”重新进行灾备任务的预检查。 预检查不通过项处理建议请参见预检查不通过项修复方法。 步骤6 预检查完成后，且预检查通过率为100%时，单击“下一步”，进入“参数对比”页面。 说明 所有检查项结果均通过时，若存在请确认项，需要阅读并确认详情后才可以继续执行下一步操作。 在“任务确认”页面，设置灾备任务的启动时间，并确认灾备任务信息无误后，单击“启动任务”，提交灾备任务。 表任务和描述 参数 描述 启动时间 灾备任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 说明 预计灾备任务启动后，会对业务数据库和灾备数据库的性能产生影响，建议选择业务低峰期，合理设置灾备任务的启动时间。 步骤7 灾备任务提交后，您可在“管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见任务状态说明。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。 对于未启动、状态为配置中的任务，DRS默认保留3天，超过3天DRS会自动删除后台资源，当前任务状态不变。当用户再次配置时，DRS会重新申请资源。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的广告防护功能。 功能介绍 边缘安全加速平台安全与加速服务能解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能。 注意 注意：目前控制台尚未开放广告防护功能，如有防护需求请通过 背景信息 恶意广告 网站中出现未被网站所有者允许的广告内容，并通过非法形式进行传播，对网站所有者造成负面影响。 攻击方式：流量劫持 代理流量劫持是指在正常网站流量当中嵌入广告，达到强制推广目的，造成用户体验差，客户网站访问量降低。劫持的手段为在代理服务器上，针对网站页面进行恶意广告代码嵌入。 常见劫持方式： 源站：源站被攻破，网站页面遭到修改，或者正常网页被替换成攻击者的网页，造成用户访问的页面含有违法信息广告或盈利广告推广。 客户端：浏览器网页劫持，浏览器在获取到正常网页数据后，通过在客户网页中加入广告来达到强制推广，增加盈利目的。 广告防护工作原理 通过在反向代理服务器上，解析响应页面代码，在html的body当中插入广告检测js代码，实现广告防护和监测功能。

本文为您介绍Windows弹性云主机远程连接没有声音问题的处理方法。 故障描述 购买Windows弹性云主机后，通过MSTSC远程连接，发现没有声音。通过MSTSC远程连接的Windows弹性云主机如何播放音频？ 约束限制 本节内容适用于Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019系统的弹性云主机。 故障原因 Windows弹性云主机默认禁用音频设备，导致无法通过远程桌面的方式使用音频设备。如需播放音频、使用多媒体音频功能，可参见本节内容进行设置。 解决步骤 第1步：启动Windows Audio服务 1. 打开“运行”窗口。 2. 输入“services.msc”，打开“服务”。 3. 找到“Windows Audio”服务，并按如下方式设置。 启动类型：自动 服务状态：启动 以Windows 2016操作系统为例，如下图所示。 第2步：开启音频和视频播放功能 操作系统不同， “音频和视频播放”功能开启方法不同。 Windows 2008系统 1. 启用RDPTCP的“音频和视频播放”以及“录制音频”。 a. 打开“远程桌面会话主机配置”控制台。 打开“开始”菜单，选择“控制面板”。 单击右上角的“查看方式”下拉菜单，选择“类别”。 选择“系统和安全 > 管理工具 > 远程桌面服务 >远程桌面会话主机配置”。 b. 取消勾选“音频和视频播放”、“录制音频”。 在“连接”列表里面双击“RDPTcp”，选择“客户端设置”，取消勾选“音频和视频播放”和“录制音频”，如下图所示。 c. 单击“确定”，激活音频设备。 2. 重启弹性云主机并登录。 重启弹性云主机后，声卡的标识依旧是显示音频服务未运行。这是因为服务未开启，操作开启音频服务后如下图所示。 3. 打开网页播放音乐，即可验证播放音频成功。 以Windows 2016为例，如下所示： a. 打开“运行”窗口。 b. 输入 gpedit.msc，打开“组策略”。 c. 依次单击“计算机配置 > 管理模版 > windows 组件 >远程桌面服务 > 远程桌面会话主机 > 设备和资源 重定向”，打开“允许音频和视频播放重定向”。 d. 选择“已启用”，按“应用”确定。 e. 打开“运行”窗口，执行以下命令，刷新组策略。

本文主要介绍安全组检查。 检查项内容 检查当前用户节点安全组是否允许Master节点使用ICMP协议访问节点。 解决方案 请登录VPC控制台，前往“访问控制>安全组”，在搜索框内输入集群名称，此时预期过滤出两个安全组： 安全组名称为“集群名称nodexxx”，此安全组关联CCE用户节点。 安全组名称为“集群名称controlxxx”，此安全组关联CCE控制节点。 单击node用户节点安全组，确保含有如下规则允许Master节点使用ICMP协议访问节点。 若不含有该规则请为node安全组添加该放通规则，源地址选择control安全组，描述信息为"Created by CCE,please don't modify! Used by the master node to access the worker node."。

创建客户端CMK主密钥，用于加密CEK数据密钥。 plaintext CREATE CLIENT MASTER KEY clientmasterkeyname WITH ( KEYSTORE keystorename, KEYPATH "keypathvalue", ALGORITHM algorithmtype ); 参数描述： clientmasterkeyname：密钥对象名，在同一命名空间中满足唯一性约束,长度[1, 64] KEYSTORE：指定管理CMK的密钥工具或组件，取值如下： localkms： 本地KMS netcakms：网证通KMS,数据库内核连接管控的URL来连接KMS。其中，URL通过teledbxmanagerurl GUC配置进行设置，如果更改URL需要断开原有连接重新建立连接。 KEYPATH：KEYSTORE负责管理多个CMK密钥，KEYPATH选项用于在KEYSTORE中唯一标识CMK。其支持的字符范围包括09, az, AZ, 下划线'', 圆点'.'和短横线''。 ALGORITHM：由本语法创建的用于加密CEK，该参数用于指定加密算法的类型，支持 SM2：表示采用国密SM2算法 RSA2048，表示采用RSA算法密码长度为2048位。 RSA3072，表示采用RSA算法密码长度为3072位。

产品概述 天翼云云助手（CTCA， Cloud Assistant）是专门为云服务器打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat、Python等），完成运行自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。 产品优势 批量执行命令 通过云助手，您能够以安全可靠的方式远程管理大规模的实例，无需登录服务器、使用堡垒主机或 SSH。 提供集成工具 云助手可作为运维部署工具，免费支持 API，可供集成。 查询历史记录 通过云助手执行的操作系统脚本命令，您可以查询到其历史记录信息。 实现自动化 您可以预先创建常用的操作命令，并通过云助手高效完成您的日常任务。例如：注册表编辑、用户管理、软件和补丁安装等。 应用场景 当您涉及以下业务场景时，可通过云助手快速实现需求： 上传并运行自动化运维脚本。 执行常见操作任务。 运行已保存的脚本。 批量安装软件或应用。 安装补丁或安全更新。 上传文件或证书到指定目录。 使用限制 云助手具备以下限制项： 2024年6月30日之后使用公共镜像创建的实例，默认已预装云助手客户端。若您的实例于2024年6月30日前购买，请参考 安装云助手客户端 进行安装。 单次执行命令实例数量上限为100。 云助手仅保存最近三个月的命令执行历史记录，且记录数量最大保存10万条。 创建的Bat、PowerShell、Python或者Shell脚本和自定义参数的使用场景与文件大小说明如下： 1. 上传文件：文件大小不能超过24 KB。 2. 创建命令：命令大小不能超过24 KB。

本章节介绍如何实现服务实例按照配置权重分配流量. 前提条件 1. 已开通微服务引擎MSE； 2. 开通MSE实例并且状态正常； 3. 注册服务提供者,服务至少包含两个两个实例； 4. 注册服务消费者,服务至少包含两个两个实例； 5. 服务提供者和服务消费者必须在同一命名空间下； 6. 服务提供者和服务消费者客户端使用 SpringCloud和Feign作为服务调用框架； 服务端配置 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表； 5. 找到目标服务所在行，点击查看按钮查看服务详情； 6. 点击服务详情页面"提供者" tab页,查看当前服务的实例,点击右侧操作列权重按钮，可以修改服务实例的权重，权重取值范围为[010000]，含义为万分之N，数值与权重成正比； 说明 1. 服务实例的权重会影响该服务的消费者对该服务下所有实例的调用权重，例如，某个服务nacosprovider下存在提供者实例1.1.1.1:11和1.1.1.1:22，此时设置1.1.1.1:11权重为1，1.1.1.1:22权重为2，则服务nacosprovider的消费者nacosconsumer在进行服务消费时将可实现调用1.1.1.1:11和1.1.1.1:22的理论调用次数比例为1:2，据此可细粒度控制nacosprovider服务的负载均衡策略。 2. 权重设置的取值范围为010000，需要注意的是，当权重设置为0时，该实例将无法被消费者发现，从而无法接收请求。

本节介绍了云硬盘购买的流程。 1、登录天翼云控制中心; 2、在系统首页，单击【存储 > 云硬盘】； 3、在【云硬盘列表】界面，单击【创建磁盘】； 4、在【创建磁盘】界面，选择您想要购买的计费模式、所在地区、规格可选择不同数据盘种类和大小； 5、确认购买信息后，单击【立即购买】，跳转到【详情】页面； 6、在【订单支付】页面，进行在线确认支付；

本节介绍了用户指南： 海量文件概述。 云容器引擎支持挂载天翼云海量文件存储卷。cstorcsi插件支持使用海量文件动态存储卷和静态存储卷，通过将海量文件存储卷挂载到容器指定目录下，以满足数据持久化需求。 海量文件服务OceanFS为全托管、可扩展的海量文件系统，适用于海量数据及高带宽应用场景。OceanFS支持弹性扩展至PB级别，具备高可用性与数据持久性，适用于高性能计算、媒体处理、文件共享、内容管理及Web服务等多种场景。 使用限制 插件版本 使用海量文件存储功能，需要cstorcsi插件版本 >3.6.0 文件协议 当前cstorcsi插件仅支持NFS协议 容量 单个文件系统最小容量为100GB subpath模式 在subpath模式下，暂不支持目录配额，subpath使用的容量实际上是整个海量文件的容 其他限制 参见 海量文件使用限制 产品优势 共享访问 1. 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 2. 支持NFSv3/v4.1。 3. 支持IPv4和IPv6网络协议。 海量可扩展 1. 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 2. 支持PB级存储空间。 安全可信 1. 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 2. 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 1. 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 2. 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

限制 项 具体要求 说明 数据库实例 客户使用数据库专家服务进行服务的实例必须是客户具有权限的实例（客户自己的、客户被授权运维或类似实例）。 为防止产生安全问题和纠纷，客户使用数据库专家服务进行服务的实例必须是客户具有权限的实例。若客户违反该约定，天翼云有权立即终止客户对数据库专家服务的使用，且造成的天翼云及任何第三方的全部损失均由客户承担。 数据库权限 天翼云数据库专家在提供服务时，客户需要保证向天翼云进行必要的数据库授权。 客户需向天翼云进行必要的数据库授权，以便数据库专家提供服务。天翼云承诺按约定提供服务，并不将采集的任何数据泄露、披露或用于其他目的。

本文介绍如何创建云主机。 1. 目前双栈云主机未面向线上用户开放，线下客户请向云公司受理岗申请双栈公测权限，注明账号名称，账号归属（哪个分公司、哪个客户），公测的资源池。 2. 双栈是针对子网开启的，需在VPC内创建一个新的双栈子网，或对原有子网开启IPv6。申请完双栈公测权限后，创建子网时可看到选项。 3. 云主机必须创建在已开启IPv6的子网中，云主机目前只有在新创建的时刻支持开启双栈，存量主机暂无法增加IPv6地址。 4. 新建一台云主机，选择支持双栈的规格，并非所有主机规格都支持双栈，具体见后续列表，但也存在双栈POD中主机资源售罄而无法开出，如果14步都正常走完，选择支持的主机类型还是看不到IPv6选项，就是双栈资源售罄了。 5. 弹性IP仅用于访问IPv4公网，如果不访问IPv4公网，无需使用。 6. 牢记：弹性IP与双栈功能没有关系，不要把弹性IP的NAT64转换功能与双栈混为一谈。双栈云主机是通过云主机上绑定的双栈网卡获得内网IPv4地址、内外合一的IPv6地址。如果访问IPv4公网，就申请弹性IP；如果访问IPv6公网，就把双栈网卡的IPv6地址加入共享带宽。 7. 申请双栈主机成功后，主机将获得IPv6地址，此地址是全球唯一的，内网公网都相同，但此时只支持内网访问。 8. 以上都操作完成后，可登录主机尝试使用 ipconfig /all 或 ifconfig来查看主机是否获取了该IPv6地址。如果没有，需要手动开启IPv6协议。 9. 如果要访问IPv6公网，将IPv6地址加入共享带宽，并查看网络ACL和安全组的出入方向是否已放通所需IPv6协议。 ::/0 表示全部IPv6地址，0.0.0.0/0 表示全部IPv4地址。 网络控制台>访问控制>网络ACL，点击“添加规则”。 10. 尝试访问网站，正常显示网页则成功。如果失败，可将IPv6 DNS设置为 240c::6666 再尝试。

本节主要介绍关系型数据库服务的关键操作列表 关系型数据库服务（Relational Database Service，以下简称RDS）是一种基于云计算平台的可即开即用、稳定可靠、按需扩展、便捷管理的在线关系型数据库服务。 通过云审计服务，您可以记录与关系型数据库服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的RDS操作列表 操作名称 资源类型 事件名称 ::: 创建实例、恢复到新实例（Console、OPENAPI、TROVEAPI） instance createInstance 创建只读 （Console、OPENAPI、TROVEAPI） instance createReadReplicate 实例重启、扩容、规格变更、恢复到原有实例操作（Console、OPENAPI 、TROVEAPI） instance instanceAction 重置密码（Console） instance resetPassword 设置数据库版本配置参数（OPENAPI） instance setDBParameters 重置实例的数据库版本配置参数（OPENAPI） instance resetDBParameters 设置备份策略打开,关闭,修改（Console、OPENAPI） instance setBackupPolicy 修改数据库端口号（Console） instance changeInstancePort 绑定解绑EIP（Console） instance setOrResetPublicIP 修改安全组（Console） instance modifySecurityGroup 创建标签（Console、OPENAPI） instance createTag 删除标签（Console、OPENAPI） instance deleteTag 修改标签（Console、OPENAPI） instance modifyTag 删除集群下的实例（Console、OPENAPI、TROVEAPI） instance deleteInstance 创建快照（Console、OPENAPI） backup createManualSnapshot 复制快照（Console） backup copySnapshot 删除快照（Console、OPENAPI） backup deleteManualSnapshot 创建参数组（Console、TROVEAPI） config createParameterGroup 修改参数组（Console、TROVEAPI） config updateParameterGroup 删除参数组（Console、TROVEAPI） config deleteParameterGroup 复制参数组（Console） config copyParameterGroup 重置参数组（Console） config resetParameterGroup 比较参数组（Console） config compareParameterGroup 应用参数组（Console） config applyParameterGroup

此小节介绍日志审计(原生版)计费项说明。 注意 “二类节点”区域的实例【日志审计（原生版）支持的区域请参见支持的区域】，如需手动续费，还需在对应云主机服务页面手动续费开通服务时同步购买的云主机服务。 控制台续订 用户可在控制台实例界面选择续订，按照续订时长进行下单 1. 登录日志审计（原生版）控制台。 2. 选择待续费的实例，单击“更多 > 续订”，进入“续订”页面。 3. 根据需要选择续费的时长。 4. 单击“确认”，在支付页面完成付款。 5. 返回日志审计实例列表页面，查看续订后最新到期时间。 管理中心续订 登录天翼云官网，进入管理中心，选择“订单管理 > 续订管理”，点击“手动续订”或者“开通自动续订”按钮，即可完成实例的续订。

本小节介绍Web应用防火墙自定义防护规则最佳实践。 网站接入云WAF防护后，您可以为其开启自定义防护策略功能，据HTTP请求头与请求内容匹配字段设置过滤条件并组合进行访问控制。 通过自定义防护规则，您可以通过对网站专有字段的识别，高精度地鉴别业务流量和攻击流量，进行精准防护。您也可以在发现0day漏洞或发生重点安全事件时依据攻击流量特征进行精准拦截，保护您的网站安全。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“自定义防护配置”页签。 5. 单击“新增规则”，进入新增自定义防护配置页面。

本文带您熟悉存储库解绑备份策略的操作步骤。 操作场景 当您不需要再执行某个备份策略时，可以为存储库解绑该备份策略。 操作须知 解绑后，此备份策略将暂停自动备份的执行，直至重新绑定到另一个存储库为止。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选中要解绑备份策略的存储库，点击名称进入存储库详情页。 6. 在备份策略标签页，选中要解绑的备份策略，点击“解绑”。 6. 在弹出的弹窗中点击“确定”，完成解绑。

如果您已经开通物理专线,可以参照本文来查看物理专线详情。 操作场景 当您已经联系专属客户经理开通了物理专线，可以查看物理专线的开通详情。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“网络>云专线”，默认进入“云专线>物理专线”页面。 4. 在此页面，用户可以查看当前此账户下已开通的物理专线列表。 5. 点击目标物理专线“操作”列的“详情”，可以进入到物理专线详情信息页面，用户可以查看到包括互联IP地址、交换机端口、绑定的专线网关等信息。 6. 点击“专线网关”页签下的“专线网关名称”，可进入对应的专线网关详情页面，查看当前专线绑定的专线网关和路由信息。

本节介绍了云数据库GaussDB的产品定义及架构。 云数据库GaussDB 是分布式关系型数据库。该产品具备企业级复杂事务混合负载能力，同时支持分布式事务，同城跨AZ部署，支持1000+的扩展能力，PB级海量存储。同时拥有云上高可用，高可靠，高安全，弹性伸缩，一键部署，快速备份恢复，监控告警等关键能力，能为企业提供功能全面，稳定可靠，扩展性强，性能优越的企业级数据库服务。 GaussDB分布式形态整体架构 GaussDB 分布式形态整体架构如下： Coordinator Node：协调节点CN，负责接收来自应用的访问请求，并向客户端返回执行结果；负责分解任务，并调度任务分片在各DN上并行执行。 GTM：全局事务管理器（Global Transaction Manager），负责生成和维护全局事务ID、事务快照、时间戳、Sequence信息等全局唯一的信息。 Data Node：数据节点DN，负责存储业务数据（支持行存、列存、混合存储）、执行数据查询任务以及向CN返回执行结果。 GaussDB主备版形态整体架构 GaussDB 主备版形态整体架构如下： ETCD：分布式键值存储系统（Editable Text Configuration Daemon）。用于共享配置和服务发现（服务注册和查找）。 CMS：集群管理模块（Cluster Manager）。管理和监控分布式系统中各个功能单元和物理资源的运行情况，确保整个系统的稳定运行。 Data Node：数据节点DN，负责存储业务数据（支持行存、列存、混合存储）、执行数据查询任务以及返回执行结果。

本章节为您介绍堡垒机应用资产相关内容 在一台支持远程桌面的Windows系统服务器上部署浏览器应用（Web应用），通过云堡垒机的应用发布功能，将浏览器应用纳入云堡垒机进行管理。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 添加的主机和应用资源数量总和不能超过资产数。 Windows应用服务器仅支持2016版本。 添加应用发布前，需已添加应用服务器。 添加应用服务器 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 应用资产”，并且在左上方选择“应用服务器”，进入“应用服务器”页面。 3.单击“新增”按钮，弹出“新增应用服务器”对话框，并填写相关内容。 参数 填写说明 服务器名称 自定义服务器名称，在同一堡垒机内应用服务器名称不得重复。 服务器类型 选择服务器类型，当前版本仅支持Windows。 服务器IP地址 填写访问应用的服务器真实IP地址或域名。 端口 填写访问应用发布服务器的端口，Windows服务器默认为5901。 服务器描述 填写应用服务器的简要描述。 服务器账户 填写访问应用的服务器账户。 密码 填写访问应用的服务器账户的密码。 app类型和路径 填写限制应用资源访问应用服务器上的具体应用的程序路径。 每种程序类型有一个默认启动路径，也可自定义启动路径。 例如：限制只能访问应用设备的Chrome浏览器，默认启动路径为“C:DevOpsToolsChromechrome.exe”。 注意 路径中请勿输入Administrator，否则程序可能无法启动。 4.填写完成后，单击“提交”即可完成新增应用服务器。

本文将为您介绍企业主账号查看导出记录的限制条件及操作流程。 企业主账号的消费汇总数据、消费汇总明细以及资金往来的导出任务，需到导出记录模块进行下载。 约束与限制 1. 仅企业主账号可进入企业中心查看查看导出。 操作步骤 1. 进入“财务管理>导出记录”页面。 2. 选择需要下载到本地的文件，点击操作栏的“下载”。

本文将为您介绍天翼云SDWAN统一身份认证与权限管理。 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 1. 系统策略 ：预置的系统策略，您只能使用不能修改。云专线相关的系统策略包含如下： sdwan admin：天翼云SDWAN服务的管理者权限，包含天翼云SDWAN服务所有控制权限； sdwan viewer：天翼云SDWAN服务的观察者权限，包含天翼云SDWAN服务的列表页与详情页面权限； 2. 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本文主要介绍如何将实例移入伸缩组。 伸缩组处于“已启用” 状态时，您可以手动将云主机移入指定伸缩组。手动移入的云主机将加入到伸缩组关联的负载均衡服务器组。将云主机成功移入指定伸缩组必须满足如下条件： 云主机不能存在于其它伸缩组中。 被移入的云主机所在的 VPC 必须和伸缩组所在的 VPC 相同。 移入的云主机必须是运行中状态。 移入后实例数不能大于伸缩组的最大实例数。 将云主机移入伸缩组的步骤如下。 1. 登录天翼云控制中心，切换到需要修改伸缩策略的节点，选择【弹性伸缩服务】。 2. 在伸缩组所在行，单击伸缩组名称，进入【伸缩组详情页】。 3. 在【伸缩组详情页】，单击【伸缩实例】标签，进入【伸缩实例标签页】。 4. 在【伸缩实例】页签，单击【移入伸缩组】。 5. 选择待移入的实例名称，单击【确认】按钮。

本节主要介绍管理微服务引擎专享版安全认证 同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 3、在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 4、升级引擎至1.2.0或以上版本。 单击“升级引擎至新版本”。 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 等待升级成功后，单击“返回微服务引擎”。 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 在“安全”区域，开启安全认证开关。 5、在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 6、（可选）参考角色管理，根据业务需要，创建角色。 7、（可选）参考账号管理，根据业务需要，创建帐号。 8、在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 9、根据提示确认已经完成所有配置后，勾选“确保已配置”。 10、单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

本页介绍了文档数据库服务白名单分组的添加。 文档数据库服务产品支持对可用实例进行白名单分组进行添加，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 点击选择“白名单管理”页，点击“添加白名单分组”按钮，填写分组名、IP类型、业务访问类型、允许访问IP名单等信息，点击“确定”按钮即可完成白名单分组添加。 说明 IPv4白名单支持IP段格式（如X.X.X.X/X）。 IPv6白名单支持IP段格式（xxxx:xxxx:xxxx:xxxx:xxxx:xxxx::/xx） 白名单组ip数量上限是60个。 设置为127.0.0.1表示禁止客户所有地址（含内网和公网地址）访问（默认）。 设置为0.0.0.0/0表示对访问的IP地址不作限制，不区分内外网。 业务访问类型当选择“内网访问”，则无法进行公网访问。 当使用公网访问实例，需要将公网IP添加至业务访问类型为“公网访问”的分组。

本章节主要介绍分布式消息服务RabbitMQ的实例类问题。 RabbitMQ使用的版本是多少？ 服务端RabbitMQ的版本是3.8.35。 RabbitMQ实例SSL连接的协议版本号是多少？ TLS v1.2版本。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户无Server Administrator和VPC Administrator权限，增加权限的详细步骤请参考《统一身份认证服务 用户指南》的“用户指南 > 用户组及授权 > 查看或修改或删除用户组”章节。 若其中一台RabbitMQ重启失败，需要会如何处理？ 重启RabbitMQ实例时，不会重启实例所在虚拟机，仅重启RabbitMQ进程。 重启集群实例时，若其中一台RabbitMQ进程重启失败，则重启后实例状态依然为“运行中”，并提示“部分节点故障”。在每台虚拟机上都有RabbitMQ的守护进程，定时检查RabbitMQ进程是否存在，当进程不存在时会自动拉起RabbitMQ进程。 如果RabbitMQ实例异常持续超过1分钟，会上报告警。 RabbitMQ集群实例如何均衡分发请求到每个虚拟机？ 集群内部使用LVS做负载均衡，由LVS将请求均衡分发到每个虚拟机节点。 RabbitMQ实例集群内部的队列是否有冗余备份？ 队列是否做镜像（即冗余备份）取决于用户的需要，如果用户设置了镜像，会在集群中多个代理上存储队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。

本文为您介绍删除自定义路由条目的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在页签左侧区域单击目标的路由表。 6. 在页签右侧区域，选择“路由条目”页签下，查看当前路由表的路由条目信息。 7. 在“路由条目 ”页签，找到目标路由条目，在操作列，单击“删除”，弹窗删除确认弹窗。 8. 在删除确认弹窗中，单击“确定”，完成删除自定义路由条目的操作。

本文介绍Redis入门指引 本章节将为您介绍分布式缓存服务Redis版入门的基本流程，主要包括环境准备、创建实例、连接实例，帮助您快速上手Redis。 操作流程 操作步骤如下： 1.环境准备 创建实例先要准备好虚拟私有云、子网和安全组。 2.创建实例 在订购Redis填写和确认实例名称、版本类型、计费模式等信息，确认费用后点击下一步，等待开通流程结果通知成功后完成创建实例。 3.连接实例 开通实例后，默认支持通过专有网络（VPC） 访问Redis实例，若需要在本地设备或其他仅公网条件下的设备连接时，可以申请Redis实例的公网连接地址，并通过公网访问Redis实例。

此小节介绍如何查看监控报表和拦截报告。 查看监控报表 用户可以查看单个公网IP的监控详情，包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“公网IP”页签，在需要查看监控报表的公网IP所在行的“操作”列，单击“查看监控报表”。 5. 在“监控报表”界面，可以查看公网IP报表的详细指标。 可查看包括当前防护状态、当前防护配置参数、24小时流量情况、24小时异常事件等信息。 24小时防护流量数据图，以五分钟一个数据点描绘的流量图，主要包括以下方面： 流量图展示所选云服务器的流量情况，包括服务器的正常入流量以及攻击流量。 报文速率图展示所选云服务器的报文速率情况，包括正常入报文速率以及攻击报文速率。 近1天内攻击事件记录表：近1天内云服务器的DDoS事件记录，包括清洗事件和黑洞事件。 说明 支持将监控报表下载到本地，查看公网IP报表的详细指标信息。 在流量监控报表页面，单击图例，报表中将只显示“攻击流量”或“正常入流量”信息。 在报文速率监控报表页面，单击图例，报表中将只显示“攻击报文速率”或“正常入报文速率”信息。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与关系型数据库实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与关系型数据库实例。 安全性高，可实现RDS的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与关系型数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的RDS实例在同一子网的，使用内网连接。

本文为您介绍子用户如何查看账单管理界面 操作步骤 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“用户组”，点击子用户所属用户组后的“授权”。 3. 选择“CtyunAcctAdmin”系统策略，点击“下一步”，选择授权范围为全局，点击“确定”完成授权。 4. 子用户登录天翼云，即可查看费用中心的账单管理。