本章节介绍使用OPA策略引擎实现访问控制 前提条件 开通实例后，系统默认生成OPA相关的ServiceEntry和opaextauthgrpc。 验证opaextauthgrpc 在服务网格控制台>网格安全中心>自定义授权服务。 可以看到产生了一个GRPC协议的授权服务，端口为19191。 验证ServiceEntry 在服务网格控制台>集群与工作负载>服务条目中，选定istiosystem命名空间，可以看到产生了extauthz，点击编辑可以查看详情。 详情中可以看到端口为19191端口，指向127.0.0.1。 全局放行18181和18282端口 在sidecar管理>sidecar代理配置菜单下选择命名空间tab，选择我们验证功能要用的命名空间，这里选择default，配置sidecar入流量不拦截18181和18282端口（OPA agent的配置端口和健康检查端口）。 开启OPA功能 操作步骤 1. 在控制台>网格管理>OPA功能开关菜单下打开OPA开关，主要是安装OPA控制面组件。 2. 给default命名空间打上标签，自动注入istio sidecar和OPA sidecar。 kubectl label namespace default opaistioinjection"enabled" kubectl label namespace default istioinjection"enabled" 3. 部署bookinfo应用和sleep应用，可以看到pod里除了业务容器之外还有两个容器，分别是istio sidecar和OPA sidecar，OPA sidecar用于实现外部授权服务。 4. 定义AuthorizationPolicy授权策略，注意引用的外部授权服务需要和上面定义的外部授权服务名称一致，可以根据业务的需要执行OPA外部授权策略，如下示例对匹配标签app: productpage的： apiVersion: istio.ctyun.cn/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: productpage action: CUSTOM provider:

本文介绍了云防火墙（原生版）的系统类常见问题。 云防火墙（原生版）在天翼云网络中的位置是什么？ 如下图所示，云防火墙一般和DDoS防护系统、Web应用防火墙、数据中心网络、日志服务、SOC等一起组合使用，但也可以独立部署。DDoS防护系统、Web应用防火墙和云防火墙组成从外到内的三道屏障，云防火墙重点防护用户VPC的网络边界。云防火墙产生的日志通过日志服务来收集和对外展示，通过SOC整合汇聚（包括云防火墙在内的）各安全设备的日志和安全告警等，并结合外部威胁情报，可以提高安全数据利用率并挖掘潜在威胁，对抗愈发复杂的攻击手段与高级可持续威胁。 云防火墙（原生版）是否可以防护非天翼云上的资产？ 防火墙仅能防护天翼云账号下的 IP 资产，不支持非天翼云的资产。 云防火墙（原生版）支持防护哪些资产类型？ 目前只支持VPC内云主机资产所绑定公网IP的防护。 云防火墙互联网边界带宽会限制流量吗？ 云防火墙不会限制流量。 业务带宽超峰值带宽限制，会对我有业务影响么？ 如果公网流量大于购买的云防火墙边界带宽，则云防火墙不承诺对超出带宽的流量进行防护。对超出部分的流量，我们会做放行处理。

企业交换机购买完成后，您还需要创建二层连接，本文为您介绍创建二层连接的操作方法。 约束与限制 一个二层连接可以连通一对本端和远端二层连接子网，一个企业交换机最多支持建立6个二层连接，即同时连接6对二层连接子网。 基于同一个企业交换机建立二层连接时，这些二层连接可以共用隧道IP，但是隧道号不能相同，隧道号是隧道的标识。 通过二层连接连通本端二层连接子网和企业交换机时，需要占用本端二层连接子网中的两个IP地址，用作主接口IP与备接口IP。这两个IP地址不能被本端资源占用，也不能与远端二层连接子网内的其他IP地址冲突。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络>企业交换机”。 进入企业交换机页面。 3. 单击目标企业交换机名称。 进入对应的企业交换机详情页面。 4. 在企业交换机详情页面右下方，单击“创建连接”。 进入二层连接创建页面。 5. 根据界面提示，配置二层连接的基本信息，配置参数请参见下表。 表参数说明 参数 参数说明 取值样例 企业交换机 企业交换机的名称，不用设置。 l2cg01 虚拟私有云 企业交换机绑定的VPC名称，即本端隧道子网所属的VPC，不用设置。 vpc01 二层连接子网 必选参数。 二层连接子网是云上VPC与云下IDC准备建立二层互通的子网，包括本端二层连接子网和远端二层连接子网。此处选择本端二层连接子网，即云上VPC的子网。 本端和远端二层连接子网网段可以重叠，但是本端和远端子网内需要通信的服务器地址不能相同，否则无法正常通信。 已被企业交换机二层连接绑定的VPC子网，不能再被其他二层连接或者企业交换机使用。 subnet01 接口IP 必选参数。 本端二层连接子网接入到企业交换机接口的IP，包括主接口IP和备接口IP，当前支持自动分配或手动分配IP地址。 自动分配 远端接入信息 > 隧道号 必选参数。 云下IDC连接企业交换机所需的VXLAN隧道号，即VXLAN网络标识号（VNI），类似VLAN ID，用于区分VXLAN段。 对于同一个VXLAN隧道，云下IDC和云上隧道号一致。 10001 远端接入信息 > 隧道IP 必选参数。 云下IDC连接企业交换机所需的VXLAN隧道IP。 远端接入信息 > 隧道端口 云下IDC连接企业交换机所需的VXLAN隧道端口号。默认为4789，不用设置。 4789 名称 必选参数。 输入二层连接的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成 l2conn01 6. 单击“创建”，开始创建二层连接。 二层连接的创建过程一般需要20~60秒，当二层连接的状态为“未连接”或“已连接”，表示二层连接已创建成功。

控制台接口 权限三元组 IAM （资源池/全局） 企业项目（资源组） 创建私网域名 CTiDNS:domainname:create √ √ 删除私网域名 CTiDNS:domainname:delete √ √ 列表私网域名 CTiDNS:domainname:list √ √ 修改私网域名 CTiDNS:domainname:update √ √ 创建私网域名记录集 CTiDNS:domainrecord:create √ X 列表私网域名记录集 CTiDNS:domainrecord:list √ X 删除私网域名记录集 CTiDNS:domainrecord:delete √ X 修改私网域名记录集 CTiDNS:domainrecord:update √ X

基本操作 查看DDoS封堵通知渠道 1.登录天翼云官网，进入管理中心。 2.进入消息中心 3.进入消息订阅一栏，查看“安全消息”的通知配置，DDoS封堵通知同样属安全消息，通过该通知渠道完成通知。 进入DDoS基础防护控制台（仅限部分开放控制台的资源池） 1.登录天翼云官网，在产品一类选择DDoS基础防护产品。 2.在产品页面点击进入控制台，可在部分开放控制台的资源池进入DDoS基础防护控制台，选择进入需要的功能页面，各模块详细操作可参考用户指南其他相关篇章。

本页介绍天翼云TeleDB数据库操作日志相关操作。 说明 操作日志默认按时间倒序。 您可以根据操作用户、操作内容或操作结果快速搜索目标日志。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 操作日志 ，进入用户日志 页面。 > 您可以查看当前用户的操作日志信息，包括日志产生时间、操作用户、操作内容和操作结果。

此小节介绍云堡垒机的应用运维。 运维用户获取应用发布资源访问操作权限后，即可在应用运维列表查看已授权资源，并设置资源标签。 查看应用运维列表并设置资源标签 约束限制 每个用户可自定义资源标签，资源标签仅能个人帐号使用，不能与系统内用户共用。 前提条件 已获取“应用运维”模块管理权限。 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。 操作步骤 1 登录云堡垒机系统 2 选择“运维>应用运维”，进入应用运维列表页面。 3 查询应用资源。 快速查询：在搜索框中输入关键字，根据自动识别、应用名称、应用地址等快速查询资源。 4 添加标签。 选择目标资源，在相应“标签”列单击，弹出标签编辑窗口。 输入标签类型回车选定标签，或选择已有标签类型。 单击“确认”，返回运维列表，即可查看已添加的标签。 5 批量添加标签。 选择多个目标资源，单击列表左下角“添加标签”，弹出标签编辑窗口。 输入标签类型回车选定标签，或选择已有标签类型。 单击“确认”，返回运维列表，即可查看已添加的标签。 6 删除标签。 选择一个或多个目标资源，单击列表左下角“删除标签”，弹出删除标签确认窗口。 确认信息无误后，单击“确认”，返回运维列表，标签已删除。 通过Web浏览器登录应用资源进行运维 通过Web浏览器登录应用资源，提供“协同分享”、“文件传输”、“文件管理”等功能。用户在应用上执行的所有操作，被云堡垒机记录并生成审计数据。 “协同分享”指会话创建者将当前会话链接发送给协助者，协助者通过链接登录创建者的会话中参与运维，实现运维协同操作。 “文件管理”指参与会话的用户获取操作权限后，可对云主机和主机网盘中文件或文件夹进行管理。 支持新建文件夹。 支持修改文件或文件夹名称。 支持批量删除。 “文件传输”指参与会话的用户获取操作权限后，可对云主机和主机网盘中文件进行上传或下载。 支持上传/下载文件。 支持上传文件夹。 目标地址为“主机网盘”，支持上传多个文件或一个文件夹到主机网盘，支持从主机网盘下载文件到本地保存。 本小节主要介绍如何通过Web浏览器登录应用资源，以及应用运维会话窗口操作说明。

IPsec VPN删除跨域互联VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除的跨域互联VPC，点击“删除”; 5.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC新增子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要新增子网的VPC，点击“新增子网”； 5.在新增子网页面中选择需要新增的业务子网，点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，新增VPC的保护子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC删除子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除子网的VPC，点击“删除子网”； 5.在删除子网页面中选择需要删除的业务子网，点击“删除”后点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。

对比项 RDSPostgreSQL 自建数据库 服务可用性 提供高可用架构，支持主备架构，保证服务可用性和容错性。 自建数据库的可用性受到自身技术水平和硬件设备的限制，难以保证高可用性和容错性。 数据可靠性 提供数据备份和恢复，支持多种备份存储和备份策略，保障数据的可靠性和完整性。 数据库存储采用分布式存储，每份数据在后台保存多份副本，多副本数据实时同步，不会因存储掉电、故障导致用户数据丢失，保证数据安全可靠。 自建数据库需自行实现备份和恢复，备份存储和备份策略不够完善，存在数据丢失的风险。 系统安全性 提供多种安全措施，包括安全组访问控制、白名单管理、网络隔离等。 支持数据库审计、用户关键操作记录等审计记录，保障数据的安全性。 自建数据库受开发人员技能、安全配置和风险管理等限制，安全性更难保障。 数据库备份 提供灵活的备份和恢复策略，支持自动备份、手动备份和增量备份，为用户提供高效的数据备份和恢复。 备份和恢复策略繁琐复杂，备份失败率高，难以保证数据备份和恢复的效率和完整性。 软硬件投入 用户无需购买数据库软硬件设备和托管设备，通过付费模式即可获得完善的数据库服务。 需要花费大量时间和成本购买软硬件设备和托管设备，并且需要承担维护设备、维护数据库等额外成本。 系统托管 天翼云提供完善的托管服务，包括应用部署、监控检测、资源调度和故障处理等，降低用户的运维成本。 需要用户自行承担系统托管和维护等工作，投入较大的人力资源和时间成本。 维护成本 天翼云提供高性能、高可用性、高安全性的PostgreSQL云服务，用户只需关注业务需求，降低维护成本。 维护成本较高，需要购买和维护硬件设备、数据库软件，以及承担数据库的维护和升级等额外成本。 部署扩容 提供弹性扩容和收缩服务，根据业务需求自动分配和回收资源，避免资源浪费和运营成本增加。 需要用户自行实现部署和扩容，扩容过程繁琐，并且需要承担额外的硬件资源和运维成本。 资源利用率 提供可弹性调度的资源池，提高数据库资源的利用率并且降低成本。 资源利用率不尽如人意，需保证业务高峰期的系统吞吐量，平时容易造成资源浪费，增加成本。

本文将介绍如何新增自定义基线检查计划。 操作场景 态势感知（专业版）支持根据基线检查计划检查您的资产是否存在风险，默认每隔3天，每次在00:00~06:00对您账号下当前region相关资产按照“安全上云合规检查1.0”遵从包自动执行基线检查，无需用户执行额外操作，系统默认开启。 另外，还可以自定义自动检测周期、时间以及检查范围。 约束与限制 同一个检查规范只能属于一个检查计划。 由于“等保2.0三级要求”、“GDPR”、“PCIDSS”、“NIST SP 80053”遵从包中的检查项为手动检查项目，因此不支持创建包含该遵从包的检查计划。 “操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在态势感知（专业版）侧执行基线检查，态势感知（专业版）仅支持查看HSS的基线检查结果。 支持检查“安全上云合规检查1.0”、“护网检查”、“云安全配置基线”遵从包中支持自动化项的检查项。 默认检查计划不支持变更包含的遵从包以及检查时间，仅支持执行开启或关闭操作。 创建检查计划 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在检查计划页面中，单击“创建计划”，系统右侧弹出新建检查计划页面。 6. 配置检查计划。 参数名称 参数说明 基本信息 计划名称 自定义检查计划的名称。命名规则如下： 计划名称由中文、字母、数字、下划线和连接符组成。 长度为1~255个字符。 基本信息 检查时间 下拉选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00 选择遵从包 勾选选择需要检测的遵从包。 7. 单击“确定”。 检查计划创建完成后，态势感知（专业版）会在指定的时间执行云服务基线扫描，扫描结果可以在“风险预防 > 基线检查”中查看。

本文主要介绍如何删除DNAT规则 操作场景 添加DNAT规则后，如果不需要此DNAT规则，您可以删除DNAT规则。 前提条件 私网NAT网关下存在成功添加的DNAT规则。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在私网NAT网关页面，单击目标私网NAT网关的名称。 5. 系统跳转至目标私网NAT网关详情页面，单击“DNAT规则”页签。 6. 在DNAT规则列表中，单击目标DNAT规则操作列中的“删除”。 7. 在弹出的对话框中单击“是”，完成DNAT规则的删除。

本章节对云数据库ClickHouse日志配置管理功能进行说明。 注意 该功能目前在试用阶段，仅对加了白名单的客户开放，如需使用，请提工单进行处理。 日志配置管理功能具体指引如下： 操作场景 日志配置管理可以将云数据库ClickHouse的运行日志、错误日志纳入管理，将其采集到云日志服务中，满足用户日志的分析和处理需求。云日志服务（CTLTS，Log Tank Service）提供一站式日志采集、秒级搜索、海量存储、结构化处理、转储等功能，满足应用运维、网络日志分析、等保合规和运营分析等应用场景。如需了解更多关于云日志服务的相关内容，请参考：云日志服务产品简介产品定义。 前提条件 1. 实例状态为： 运行中 。 2. 首次配置需要根据指引完成“配置终端节点”操作，具体步骤见下方“配置VPCE操作流程”。 3. 首次配置需要根据指引开启“云日志服务”。 4. 首次配置需要在“云日志服务中”创建“日志项目”和“日志单元”。 日志配置管理操作 授权操作 授权访问日志服务操作 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 分析型数据库> 云数据库ClickHouse ，进入云数据库ClickHouse产品页面。然后单击管理控制台，进入数据库实例列表页面。 2. 在左侧导航栏，选择ClickHouse>日志配置管理，进入日志配置管理页面 3. 选择需要配置日志管理的实例，点击操作>配置访问日志 4. 选择要授权的访问日志服务，完成授权操作。

查看并处理Access Key泄露检测事件的方式方法 数据安全中心DSC可以检测git代码库中包含访问密钥ID（AK）和秘密访问密钥（SK）的访问密钥泄露，并将检测结果在列表中展示。您可根据需要对异常事件进行查看和处理。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > Access Key泄漏检测”，进入“Access Key泄露检测”页面。 Access Key泄露检测参数列表： 参数名称 参数说明 Access Key ID 访问密钥ID。 可单击“去Access Key管理”，管理（创建、编辑、启用/停用、删除）访问密钥。 情报来源 该Access Key泄露检测事件的来源。如github。 受影响账户 该Access Key泄露检测事件可能会影响到的帐户。 泄露类型 Accesskey 首次发现时间 首次爬取到该泄露事件的时间。 处理状态 根据事件详情对事件进行判断和处理后，有以下状态： 待处理：还未处理。 已处理（已手动删除）：已登录GitHub手动删除/隐藏已泄露的Access Key及相关内容。 已处理（已手动禁用）：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 已处理（加入白名单）：该事件加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警，请慎重选择。 4. 在目标事件的“操作”列，单击“查看”，可查看“Access Key泄露详情”、“代码片段”、“相关推荐”。 5. 可根据事件的推荐策略，对事件进行处理。并在目标事件的“操作”列，单击“处理”。 6. 在弹出的对话框，选择“处理方式”，并单击“确定”。 处理方式为： 手动删除：已登录GitHub手动删除或隐藏已泄露的Access Key及相关内容。 禁用Access Key：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 加入白名单：该事件不存在风险，不进行处理，加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警。

序号 步骤 说明 1 步骤一：使用云专线或VPN连通三层网络 企业交换机建立二层通信网络时，依赖云下IDC和云上VPC之间的三层网络。本章节指导用户使用云专线或者VPN，建立本端隧道子网和远端隧道子网之间的三层网络通信。 2 步骤二：购买企业交换机 本章节指导用户购买企业交换机，企业交换机可以基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络通信。 3 步骤三：创建二层连接 企业交换机购买完成后，您还需要创建二层连接，建立本端二层连接子网和远端VXLAN交换机之间的二层网络通信。本章节指导用户创建二层连接。 4 步骤四：配置远端隧道网关 本指导用户在云下IDC侧的VXLAN隧道交换机上配置隧道网关，建立远端二层连接子网在IDC侧的VXLAN隧道。

本章介绍如何创建元数据采集任务。此功能处于公测阶段，公测阶段可免费使用 前提要求 已完成数据库资产委托授权，参考云资产委托授权/停止授权进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 元数据任务”，进入“元数据采集任务”页面。 5. 在“元数据采集任务”页面，单击“新建”，进入“新建采集任务 > 数据源配置”页面，具体参数说明如下表所示。 参数名 参数说明 选择数据源 选择数据来源。可选择“MySQL”、“PostgreSQL”、“DMDBMS”、“KingBase”、“OpenGuass”、“DWS”、“Hive”、“MRSHIVE”、“TDSQL”。 数据库实例 选择支持的数据库实例。 6. 单击“下一步”，进入“子任务配置”页面： 选择开启或关闭“扫描用户表”。 选择开启或关闭“扫描系统表”。 选择开启或关闭“扫描列约束”。 选择开启或关闭“扫描视图”。 选择开启或关闭“扫描列注释”。 选择开启或关闭“扫描权限”。 7. 单击“下一步”，进入“任务信息配置”页面，配置任务信息，参数说明请参见下表。 参数名称 参数说明 任务信息 任务名称：必填项， 您可以自定义采集任务的名称。 任务描述：非必填项，对您的采集任务进行描述。 任务配置 选择开启或关闭“删除联通性失败的元数据”。 执行计划 识别周期：您可以选择“单次”、“每日”、“每周”或“每月”。 执行计划：您可以选择“立即执行”或“定时启动”。 8. 单击“下一步”，进入“配置确认”页面，确认您已经配置好的参数。 9. 确认无误后单击“完成”，即可成功创建一个新的元数据采集任务。

天翼云大数据型物理机提供高带宽、大容量的存储和计算资源，是低时延、高性能、高可靠的大数据业务基础资源，用于提升大数据分析业务资源利用率，满足大规模数据处理、分布式计算和实时分析的需求，助力企业做出准确决策和优化业务运营，挖掘数据中的价值。 规格名称 CPU 内存（GB） 处理器 处理器主频（GHz） 本地磁盘 内网带宽（Gbps） 是否支持挂载云硬盘 physical.s5se.2xlarge1.1 2路32核 512 Intel 8378A 3.0 系统盘：2960GB（SSD）数据盘：12 12000GB（SATA） 50 不支持 physical.s5.2xlarge29 2路32核 768 Intel 8378A 3.0 系统盘：2480GB（SSD）数据盘：10 3200GB（NVMeSSD） 225 不支持

本文介绍如何使用云应用引擎，帮助您快速了解云应用引擎以及各方面的实践教程。 云应用引擎使用流程 1. 在首次在云应用引擎部署应用前，需要完成快速入门准备工作中的内容。 2. 在云应用引擎控制台创建应用。 3. 在应用基本信息界面配置基础信息和容量设置。 4. 在高级设置页面可以配置高阶的k8s功能。 5. 应用启动成功后，能够在应用详情界面为应用绑定ELB，生成公网或私网访问IP。 6. 为应用启用更多进阶功能。 例如，微服务治理、持久化日志、应用监控等功能。

本文介绍如何使用云应用引擎，帮助您快速了解云应用引擎以及各方面的实践教程。 云应用引擎使用流程 1. 在首次在云应用引擎部署应用前，需要完成快速入门准备工作中的内容。 2. 在云应用引擎控制台创建应用。 3. 在应用基本信息界面配置基础信息和容量设置。 4. 在高级设置页面可以配置高阶的k8s功能。 5. 应用启动成功后，能够在应用详情界面为应用绑定ELB，生成公网或私网访问IP。 6. 为应用启用更多进阶功能。 例如，微服务治理、持久化日志、应用监控等功能。

指标ID 指标名称 指标含义 取值范围 进制 测量对象 监控周期（原始指标） upstreambandwidth 出网带宽 该指标用于统计测试对象出云平台的网络速度。单位：比特/秒 ≥ 0 bit/s 1000(SI) 带宽或弹性IP 1分钟 downstreambandwidth 入网带宽 该指标用于统计测试对象入云平台的网络速度。单位：比特/秒 ≥ 0 bit/s 1000(SI) 带宽或弹性IP 1分钟 upstreambandwidthusage 出网带宽使用率 该指标用于统计测量对象出云平台的带宽使用率。以百分比为单位 0100% 不涉及 带宽或弹性IP 1分钟 downstreambandwidthusage 入网带宽使用率 该指标用于统计测量对象入云平台的带宽使用率。以百分比为单位 0100% 不涉及 带宽或弹性IP 1分钟 upstream 出网流量 该指标用于统计测试对象出云平台的网络流量。单位：字节 ≥ 0 bytes 1000(SI) 带宽或弹性IP 1分钟 downstream 入网流量 该指标用于统计测试对象入云平台的网络流量。单位：字节 ≥ 0 bytes 1000(SI) 带宽或弹性IP 1分钟

网络类型 使用场景 准备工作 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库灾备、或云上跨区域的数据库之间的灾备。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据灾备。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库灾备、或云上跨区域的数据库之间的灾备。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合其他云下或其他平台的数据库到目标数据库的灾备。 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 1.开启公网访问 源数据库端实例需要根据具体的场景，由用户端开启公网访问。 2.设置安全组规则源数据库需要将DRS灾备实例的弹性IP添加到其网络入口白名单内，使源数据库与DRS灾备实例可以连通。 由于目标数据库和DRS灾备实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS灾备实例创建成功后，可在“源库及目标库”页面获取DRS灾备实例的弹性公网IP。 在选择公网网络进行数据灾备同步时，如果没有开启SSL安全连接加密灾备链路的功能，请确保待灾备的数据为非机密数据，再进行数据灾备。

为什么云主机或ENI绑定EIP后，无法通过公网访问服务？ 如果云主机实例上部署的是主动访问公网的业务，需要在云主机实例上自定义默认路由或明细路由。 默认路由从主网卡出，可以通过调整路由优先级的方式让报文从弹性网卡访问公网，也可以配置明细路由，让报文以负载分担的形式从多个网卡分发或从某一网卡随机地分发来访问公网。 云主机是否支持关联IPv6地址？ 支持。 云主机需在已开通IPv6的VPC及子网下， 此时您可以通过以下几种方式绑定IPv6地址： 创建云主机时，将为您的云主机主网卡自动分配一个IPv6地址； 您可以为云主机绑定IPv6类型的虚拟IP地址； 您可以为云主机的弹性网卡分配IPv6类型的辅助私网IP。

本文介绍云主机备份产品的计费项。 目前仅仅针对存储库这一项进行计费。存储库是一种云上备份仓库，用于存储您备份在云上的数据。存储库具有地域属性，用户可按需在不同地域创建。 计费项：按照存储库容量和计费模式计费。 存储库容量：单位GB。 计费模式： 按需计费：先使用后付费的计费方式，按照存储库实际使用时长计费，每小时结算一次。 包年包月：以年、月为单位。从存储库创建或续订时间开始，到存储库到期或退订时间结束。 卡券管理 优惠券使用规则请参见天翼云帮助中心费用中心优惠券使用。 代金券使用规则请参见天翼云帮助中心费用中心代金券使用。

本节介绍网络的用户指南：LoadBalancer类型Service 云容器引擎支持将Service通过负载均衡ELB向外暴露， 云容器引擎集群内置CCM（Cloud Controller Manager）插件，当Service的类型为LoadBalancer时，CCM插件会为Service配置负载均衡，并根据Service信息配置好负载均衡的后端服务器组、健康检查和监听规则等，使得用户可以通过负载均衡访问该Service。以下是使用负载均衡的步骤指引。 使用已有负载均衡暴露服务 前提条件 用户已提前在负载均衡控制台创建ELB实例，ELB实例需要与Service所在的容器集群在同一个VPC网络下。 注意事项 不同Service可以同时复用同一个负载均衡实例，复用同一个负载均衡实例需要避免不同Service使用相同的服务端口，否则存在监听配置被覆盖的情况 不能复用由CCM自动创建的或集群ApiServer使用的负载均衡实例 当Service删除时，使用已有的负载均衡不会被删除 集群Master节点不作为负载均衡实例的后端 操作步骤 1. 登录 云容器引擎 控制台，点击进入想要操作的集群，在左侧菜单选择“网络” “服务”； 2. 如下图，点击“新建”按钮新建服务，按照参数说明配置相关的参数； 服务访问方式：选择负载均衡 负载均衡：可根据业务需要选择私网访问或公网访问，集群内或同一VPC内访问建议选择私网访问即可；选择“使用已有负载均衡”；负载均衡实例列表会根据选择的私网/公网访问方式显示出对应的实例，选择想要使用的负载均衡实例即可 标签：根据需要可以为服务配置标签 注解：根据需要可以为服务配置注解 外部流量策略：Cluster或Local。Cluster策略下，集群所有可用工作节点都会挂载到负载均衡实例；Local策略下，只有Service对应的Pod所在节点会挂载到负载均衡实例 端口映射：配置好协议、容器端口及服务端口，其中容器端口为应用本身暴露的端口，服务端口则会作为负载均衡实例的监听端口 工作负载绑定：选择服务要关联的工作负载，也可以配置自定义标签关联 3. 创建服务后，在服务列表可以看到该服务，通过服务的集群外访问地址即可以访问该服务。

本文为您介绍添加受保护服务器的操作流程。 操作场景 保护组创建完成后，将需要容灾的服务器添加到指定的保护组中。 约束与限制 单次添加时，至少选择1个服务器进行保护，最多可以选择10个服务器。 目前仅支持64位操作系统，且服务器的规格不能小于2CPU+4GB内存。详情请参见支持的操作系统版本。 暂不支持将挂载了X系列云硬盘（如XSSD1等）的云主机添加为受保护的服务器。 注意事项 由于云容灾服务需要连通服务端VPC，如果受保护的服务器使用非默认安全组，请确认所使用的安全组配置了出方向规则，示例如下： 具体请参见安全组规则。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入云上容灾。 板块展示：默认进入板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 列表展示：默认是板块展示，可单击右上角图标切换为列表展示。找到目标保护组，单击目标保护组名称，进入保护组页面。 5. 在保护组页面，在“受保护的服务器”页签，单击“添加受保护服务器”，进入云主机列表页面。 6. 在云主机列表页面，选择需要受保护的服务器，单击“确认”。 7. 待云主机状态变为“已初始化”，说明添加完成。

本节介绍如何为漏洞扫描v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 漏洞扫描系统开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 漏洞扫描系统开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的漏洞扫描、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“漏洞扫描”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启漏洞扫描系统 在云等保专区左侧导航栏，选择“漏洞扫描”，在开通的设备右侧操作列点击“更多 > 重启”。 登录漏洞扫描系统 在云等保专区左侧导航栏，选择“漏洞扫描”，在目标资源右侧操作列单击“配置”，进入漏洞扫描系统。 开启IPv6防护 开通漏洞扫描v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

本小节介绍云堡垒机开通类常见问题。 云堡垒机提供了标准版和企业版，应如何选择？ 企业版：适用于有数据库资产纳管需求，有运营审批需求的企业。 标准版：适用于对云服务器有基本运维、审计需求的中小型企业。 详细区别请参见云堡垒机功能特性区别。 云堡垒机适配哪些远程工具？ 登录方式 支持的客户端 版本 Web浏览器登录 Edge 95及以上版本 Web浏览器登录 Chrome 52.0及以上版本 Web浏览器登录 Safari 13及以上版本 Web浏览器登录 Firefox 50.0及以上版本 ssh/telnet协议运维登录 SecureCRT 8.0及以上版本 ssh/telnet协议运维登录 Xshell 6及以上版本 ssh/telnet协议运维登录 putty 堡垒机客户端自带 ssh/telnet协议运维登录 Mac Terminal 2.0及以上版本 Sftp/Ftp协议运维登录 FlashFXP 5及以上版本 Sftp/Ftp协议运维登录 Winscp 5及以上版本 Sftp/Ftp协议运维登录 Xftp 4及以上版本 Sftp/Ftp协议运维登录 Filezila 3及以上版本 云堡垒机支持运维哪些资源？ 支持数据库和服务器资源，具体限制如下： 数据库限制 数据库引擎 引擎版本 Mysql 5.5,5.6,5.7,8.0 PostgreSQL 10,11,12,13 Oracle 10g,11g,12c 服务器限制：支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。

本节介绍了云容器引擎的退订说明。 如果您有退订的需求，可以进行登录天翼云管理中心或云容器引擎控制台进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考文档费用中心退订。

创建CSV云主机 您可以通过控制台或OpenAPI创建具备CSV特性的安全增强计算型云主机hc4t和安全增强内存型云主机hm4t。 通过控制台创建CSV云主机 在控制台创建机密计算云主机的步骤与创建普通云主机一样，但需要注意选择特定规格，即支持海光CSV特性的云主机规格。请参见：++创建弹性云主机弹性云主机快速入门 天翼云++ 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的，选择区域，此处我们选择华北2。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面，按照以下配置创建云主机。 配置项 说明 实例规格 仅hc4t、hm4t规格支持CSV功能。 镜像 选择CTyunOS V4.0 25.07 64 位(40GB)镜像。 5. 根据界面提示，完成海光CSV云主机创建。 通过OpenAPI创建CSV云主机 您可以调用++创建一台按量付费或包年包月的云主机++创建CSV云主机，需要注意的参数如下表： 参数 说明 示例 flavorName 指定支持CSV功能的实例规格，当前仅 hc4t、hm4t规格支持。 hc4t.large.2 imageID 指定支持CSV的镜像ID，当前仅CTyunOS V4.0 25.07 64 位(40GB)镜像支持。 4636d1df82c24db89fff6a20e0af1c5f

操作步骤 1. 登录天翼云控制台，选择“网络>NAT网关”， 2. 进入NAT网关控制台，点击右上角“创建NAT网关” 3. 选择付费方式，填写名称，选择可用区，VPC选择环境准备中的创建的VPC，选择规格，点击“下一步”。 4. 确认规格，选择我已阅读并同意相关协议，单击“确认下单”，完成NAT网关的创建。 步骤三：配置路由（仅部分资源池需要） 步骤说明 部分资源池在购买NAT网关后，自动加载路由到VPC中，不需要此步操作。 部分资源池需要在默认路由中添加路由指向NAT网关，具体功能以控制台为准。 操作步骤 1. 添加默认路由指向NAT网关。单击“虚拟私有云”，进入虚拟私有云控制台，选择环境中创建的VPC，点击名称打开VPC详情页，在子网页签点击子网名称，进入子网详情页。 2. 在子网详情页单击“路由管理”页签，点击已绑定的“默认路由表”进入路由规则页面。 3. 在路由规则页面单击“创建”，在弹出页面，选择 IP类型：IPv4 目的地址：0.0.0.0/0 下一跳类型：NAT网关 NAT网关：选择刚创建的NAT网关 4. 点击确定，完成默认路由指向NAT网关。 注意 在同一个子网内云主机同时绑定公网IP和SNAT规则时，部分资源池平台生成的指向IPv4网关的路由为系统路由，由于指向NAT网关的路由优先级高于指向IPv4网关的系统路由，默认会通过SNAT访问公网，云主机绑定的EIP无法访问公网；而部分资源池平台生成的指向IPv4网关的路由为自定义路由，默认会通过EIP访问公网。因此，不建议同一个子网内的云主机同时绑定公网IP和NAT网关。 具体内容参见弹性IP如何通过弹性公网IP或NAT网关访问公网。 步骤四 ：配置SNAT规则

本节介绍了事件中心的用户指南。 K8S Event是集群中某个事件的报告，它一般表示系统的某些状态变化，通过事件可以查看集群的状态变更，包括创建Pod、运行Pod、删除Pod、组件异常等。事件中心提供集群中最近一小时的所有事件的查询；通过安装日志插件及事件中心插件，可以把集群的事件持久化到日志服务，从而能够查询更长时间的事件。 操作步骤 查询集群最近一小时的事件 可以通过以下两种方式查询集群最近一小时的事件。 方式一：在集群概览页中查看集群一小时内事件 1、选择指定容器集群，在菜单栏【集群信息】中选择【概览】Tab页即可查看集群一小时内的事件。 2、您也可以点击【下载】将事件保存为Excel文件。 方式二：在事件中心中查看集群一小时内事件 1、选择指定容器集群，在菜单栏【运维管理】中选择【事件中心】。 2、选择【事件列表】Tab页即可查看集群一小时内的事件。您也可以选择级别、命名空间、类型、名称对事件列表进行过滤。 将集群事件持久化到日志服务 1、选择指定容器集群，确保已开通云日志服务并安装ctglogoperator插件和cubeeventer插件，插件安装可参考 用户指南 > 插件 章节。 2、在菜单栏【运维管理】中选择【事件中心】。 3、选择【事件查询】，可以通过开始时间、结束时间、关键词过滤事件日志。

本文介绍共享带宽的创建、修改带宽、删除等操作指南。 购买共享带宽 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，单击界面右上角的【+购买共享带宽】。 3. 在购买共享带宽页面，配置以下参数： 参数 说明 计费模式 分为包年包月和按需计费。包年包月按固定带宽计费，无论流量使用多少均按固定价格收费。按需计费根据使用的流量多少收费。 地域 选择业务部署的地域。 虚拟私有云 共享带宽使用范围仅限于同一VPC，不支持跨VPC。 地址类型 支持IPv4和IPv6地址类型，同一地址类型仅支持加入同类型的共享带宽实例。 运营商线路 根据资源池实际具备的资源为准。 带宽 业务可使用的最大带宽上限。 4. 填写相关参数后，勾选协议，单击【立即购买】，在费用中心进行费用确认和支付，支付成功后，共享带宽立即创建，创建成功后，可在共享带宽列表查看已创建的共享带宽。 查看共享带宽列表 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，选择对应的地域。 3. 在【共享带宽列表】可以查看已创建的共享带宽信息。

本文介绍基于NAT网关和云专线的混合云Internet加速的操作实践。 使用背景 用户通过专线已连接到天翼云VPC的IDC，自身无internet或希望统一线上线下公网出口，可以选择使用天翼云NAT网关作为统一公网出口，实现混合云Internet加速。 方案优势 节省成本：云上云下多台服务器，可以通过NAT网关功能共用同一弹性IP，可以有效降低成本。 配置简单，即开即用：NAT网关关联的弹性IP可以根据需求调整带宽大小，以适应应用流量变化的需求。 安全高效：云专线提供云上云下高速、低时延、稳定安全的专属连接通道，结合NAT网关的SNAT和DNAT功能，可满足各类用户带宽需求。 方案涉及产品 VPC，NAT网关，弹性IP，云专线 方案架构 本方案网络拓扑架构如图所示 实现方式如下： 1. 通过云专线将用户IDC与VPC连通。 2. 在VPC中搭建公网NAT网关，连通Internet。 操作步骤 步骤一：创建云上VPC环境 配置云专线需要做好云上VPC和本地数据中心的网段规划，确保云上VPC网段和本地IDC网段没有冲突或重叠。 具体操作步骤参见虚拟私有云创建VPC、子网搭建私有网络。