此小节介绍企业主机安全资产指纹。 主机资产管理 查看主机资产信息 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机自启动项。通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 检测周期 帐号、开放端口：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看所有主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹”，进入“资产指纹”页面，查看所有主机资产。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00） 查看单服务器的主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理>主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 5、单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹”页签。 6、单击指纹列表的目标指纹类型，查看对应资产信息，资产指纹类型特性如表所示。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

本文为您介绍如何使用KMS中的用户主密钥，快速实现少量数据的在线加解密。 KMS提供针对敏感信息的加密能力，适用于保护小型敏感数据（小于6KB），如口令、身份信息、证书、后台配置文件等。 通过密钥管理服务KMS的在线加密API，使用用户主密钥（CMK）直接加密敏感数据信息，而非直接将明文存储，确保敏感数据安全。 场景示意图 操作流程（以证书加密为例） 1. 通过KMS控制台或者调用CreateKey接口，创建一个用户主密钥（CMK）。 2. 调用KMS服务的Encrypt接口，将明文证书加密为密文证书。 3. 将密文证书部署在服务器上。 4. 当服务器启动需要使用证书时，调用KMS服务的Decrypt接口将密文证书解密为明文证书。 相关API 您可以调用以下KMS API，轻松完成对数据的加密或解密操作。 API名称 说明 createKey 创建用户主密钥（CMK）。 encrypt 指定CMK，直接输入明文数据，由KMS在线加密数据。 decrypt 解密由encrypt接口加密的数据，不需要指定CMK即可完成在线解密。 操作步骤 1. 通过密钥管理服务控制台创建用户主密钥CMK。 2. 通过OpenAPI在线加密接口，对敏感数据进行加密。 请求参数说明 参数 是否必填 参数位置 参数类型 说明 cmkUuid 是 body String 主密钥（CMK）的全局唯一标识符。 plaintext 是 body String 待加密明文（必须经过Base64编码）。 请求示例 plaintext { "plaintext": "SGVsbG8gd29ybGQ", "cmkUuid": "241ede22626146179caf10d89990516c" } 成功返回 plaintext { "code": 200, "result": { "ciphertextBlob": "MDA2NE1qUXhaV1JsTWpJdE5qSTJNUzAwTmpFM0xUbGpZV1l0TVRCa09EazVPVEExTVRaakpqUTVaV00zTm1RM0xXTmpOR010TkRBd1pTMDVaakU1TFdZNU1EQXhOVGczWVdVd1pnPT3oCYiGAy7mNTLitIlJaQ92", "cmkUuid": "241ede22626146179caf10d89990516c", "keyVersionId": "49ec76d7cc4c400e9f19f9001587ae0f" }, "statusCode": 200, "success": 1 } 返回参数说明 参数 说明 ciphertextBlob 数据被指定CMK的主版本加密后的密文。 cmkUuid CMK的全局唯一标识符。如果请求中的Cmkuuid参数使用的是CMK的别名，在响应中会返回别名对应的CMK标志符。 keyVersionId 用于加密明文的密钥版本标志符，是指定CMK的主版本。 3. 将加密后的数据存储。 根据业务的应用场景，将密文进行存储。 4. 通过OpenAPI解密接口，对密文数据进行解密。 请求参数说明 参数 是否必填 参数位置 参数类型 说明 ciphertextBlob 是 body String 主密钥（CMK）加密的数据密钥的密文。 成功返回 plaintext { "statusCode": 800, "returnObj": { "code": 200, "result": { "cmkUuid": "8bca8f33d42a448a866ba064f44b29b7", "keyVersionId": "73670b284eea4260b497ae0334cc0c85", "plaintext": "sc7280+klUSln3Y9FHdfKGUT+6kPrcIMW41uZQeXxGU" }, "statusCode": 200, "success": 1 } } 返回参数说明 参数 说明 cmkUuid CMK的全局唯一标识符。如果请求中的Cmkuuid参数使用的是CMK的别名，在响应中会返回别名对应的CMK标志符。 keyVersionId 密钥版本ID。主密钥版本的全局唯一标识符。 plaintext 解密后的明文经过Base64编码的后的值。

本文向您介绍纳管节点,帮助您了解裸金属集群节点的基本情况。 使用说明 在指定裸金属详情中，纳管已购裸金属节点并加入裸金属集群。 使用前提 已创建裸金属集群，且集群状态为运行中。 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的【集群>裸金属集群】，进入集群列表页。选择具体集群进入集群详情页。 2. 选择【业务节点】栏，点击【纳管节点】，打开已购节点选择页面。 3. 系统判断是否符合纳管条件，输入节点密码，点击【确定】，完成纳管。

本文主要介绍如何删除伸缩组。 操作场景： 当您不再需要某个伸缩组时，可以删除该伸缩组。 如果您仅在某段时间不需要启用伸缩组，建议您采用停用伸缩组的方式，而不建议删除。 仅当伸缩组内无云主机实例并且没有正在进行的伸缩活动时，才可以删除伸缩组。 删除伸缩组，包括删除相关伸缩策略以及在该伸缩组创建的告警策略产生的告警规则。 操作步骤： 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务”。 3. 在伸缩组列表中，伸缩组所在行的“操作”列下，单击“更多 > 删除”。 4. 在弹出的“删除伸缩组”对话框中，单击“确定”。

本页介绍了文档数据库服务查看实例运行日志信息。 操作场景 用户可点击实例管理中的日志管理标签页，来查看运行日志的相关信息。在该标签页中，运行日志信息可通过节点名称和时间来进行筛选。 操作步骤 1. 登录TeleDB数据库控制台。 2. 点击“DDS”>”实例管理“菜单，即可看到实例列表。 3. 单击具体的实例名称， 跳转到实例的“基本信息"页。 4. 点击“日志管理”>“运行日志”进入运行日志的详情页。 5. 用户可以在节点名称下拉框，选择指定的节点查看该节点的运行日志。 6. 用户也可以点击日期选择框，选择不同的时间范围来查看运行日志。 7. 点击“重置”按钮，即可清空筛选条件。

本页介绍了添加副本集实例节点。 文档数据库服务产品的副本集规格实例，支持添加副本进行横向扩容。 副本集规格实例添加副本步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 在需要进行添加副本的副本集实例的“操作”列，点击“更多”，可见“添加副本”。 4. 点击“添加副本”，进入到副本添加页面。 5. 在添加副本页面，根据指引，选择您需要的副本集节点数进行扩容，点击“立即购买”。 6. 支付完成后，等待数分钟，刷新该实例的详细信息，可见该副本集实例已完成横向扩容。 注意 仅三节点和五节点副本集支持添加副本扩容。

本页介绍了变更副本集实例的CPU和内存规格。 文档数据库服务产品的副本集规格实例，支持进行副本集节点的规格变更（即CPU和内存）。 多节点副本集进行规格变更步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 在需要进行规格变更的多节点副本集实例的“操作”列，点击“更多”，可见“规格变更”。 4. 点击“规格变更”，自动进入到规格变更页面。 5. 在规格变更页面，根据指引，选择合适的节点规格进行规格变更，点击“提交”。 6. 支付完成后，等待数分钟，刷新该实例的详细信息，可见多节点副本集的各节点规格已完成变更。

通过任务中心，可以查看您所创建的数据导出任务，并下载相关数据文件到本地。 操作场景 在产品监控列表页创建数据导出任务，可以在任务中心下载数据文件到本地。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 查看任务中心 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 选择“任务中心”菜单，即可任务中心列表页面。

本章节为您介绍云监控插件的版本发布信息。 云监控服务提供的Agent不同版本支持的监控指标或功能有所不同。Agent默认开启自动升级，让您第一时间体验到新功能，各版本特性列表如下所示： 2.5.6.1版本 增加GPU指标。增加物理机硬件监控能力。 2.5.6版本 Agent架构更新，优化调度框架。 优化部分指标采集性能。 修复共池主机识别不正确的问题。 2.4.1版本 新增了部分指标支持。 1.2.2版本 Agent启动时增加20分钟的随机散列。 1.1.2版本 优化Agent性能 1.0.13版本 安装Agent步骤优化。 批量安装Agent步骤优化。 1.0.8版本 支持弹性云主机与物理机。

参数 是否必填 参数类型 说明 示例 下级对象 concurrency 否 Integer IstioProxy线程数 2 enableCoreDump 否 Boolean 核心转存 false enableDnsCapture 否 Boolean 是否开启istio内置dns false enableElegantTermination 否 Boolean 是否开启优雅终止 false excludeIPRanges 否 String 不拦截对外访问的地址范围 127.0.0.1 excludeInboundPorts 否 String 设置端口使入口流量免于经过Sidecar代理 80,8080 excludeOutboundPorts 否 String 设置端口使出口流量免于经过Sidecar代理 80,8080 holdApplicationUntilProxyStarts 否 Boolean 生命周期管理 true includeIPRanges 否 String 拦截对外访问的地址范围 192.168.0.0/16 includeInboundPorts 否 String 设置端口使入口流量经过Sidecar代理 443 includeOutboundPorts 否 String 设置端口使出口流量经过Sidecar代理 443 interceptionMode 否 String Sidecar对入向流量的拦截策略，REDIRECT：默认的拦截策略，Sidecar将使用重定向方式拦截入向流量。TPROXY：透明代理拦截策略，Sidecar将以透明代理的方式拦截入向流量。NONE:不拦截流量 REDIRECT lifecycleStr 否 String Sidecar代理生命周期JSON字符串 logLevel 否 String 日志等级，如果不设置则为warning info outboundTrafficPolicy 否 String 出向流量策略。取值：ALLOWANY：允许访问所有外部服务。REGISTRYONLY：只能访问注册到网格内的服务。 ALLOWANY proxyMetadata 否 Map of String 环境变量 proxyStatsMatcher 否 Object 统计相关指标 CustomProxyConfigProxyStatsMatcher selector 否 Map of String workload的标签选择器 sidecarProxyInitResourceLimit 否 Object Sidecar代理初始化容器资源限制 ResourcesLimitReq sidecarProxyInitResourceRequest 否 Object Sidecar代理初始化容器资源最低申请额度 ResourcesRequestReq sidecarProxyResourceLimit 否 Object Sidecar代理容器资源限制 ResourcesLimitReq sidecarProxyResourceRequest 否 Object Sidecar代理容器资源最低申请额度 ResourcesRequestReq terminationDrainDuration 否 String Istio Proxy终止等待时长 5s

当Linux操作系统云主机/etc/passwd文件损坏时,可参考此文进行修复 操作场景 本节操作适用于Linux操作系统云主机，出现因/etc/passwd文件损坏导致云主机无法登录的问题。 说明 本节操作为紧急恢复系统方法，需要在单用户模式下会将系统备份初始备份/etc/passwd文件替换已损坏的/etc/passwd文件，该操作会造成自行添加的用户丢失（包括应用运行的用户，可以参考/etc/shadow文件添加其他账号）。 本节操作涉及重启云主机操作，重启云主机会造成业务中断，请谨慎操作。 问题描述 Linux系统中多个服务启动失败：Failed to start Login service 、Filed to start Authorization service。 待系统启动后登录，提示密码错误。 根因分析 /etc/passwd和/etc/shadow文件记录所有的用户信息，每个用户都有一个对应的记录行，如果该文件损坏或者误删除会导致登录服务（systemdlogind.service）启动失败，因此用户无法登录。 处理方法 1. 使用控制台提供的远程登录方式登录云主机。单击远程登录操作面板上方的“发送CtrlAltDel”按钮，重启虚拟机。 2. 确认开始重启后，立即反复单击上下键，阻止系统继续启动，在出现内核选项时按字母键e进入内核编辑模式。 3. 找到linux16行末尾，删除不需要加载的参数（ro参数开始到末尾）。修改ro为rw，以读写方式挂载根分区。并添加rd.break，然后执行Ctrl+X。 4. 执行以下命令切换至/sysroot目录。

身份与访问控制是云平台安全的关键组成部分,它确保只有经过授权的用户才能访问特定的资源和服务。天翼云提供了一系列身份与访问控制功能,帮助用户实现细粒度的访问管理,保护云资源的安全。 身份认证安全 严控主账号凭证：天翼云主账号是资源归属与计费的核心主体，拥有全量资源访问权限。建议仅使用密码登录控制台，不创建主账号访问密钥（AK/SK） ，减少因密钥泄露导致的全局风险；若需通过 API/SDK 调用服务，请勿直接将访问密钥嵌入到代码中，减少访问密钥被泄露的风险。 启用多因素认证（MFA）：MFA是一种非常简单的安全实践方法，建议您给天翼云帐号以及您帐号中具备较高权限的用户开启MFA功能，它能够在用户名和密码之外再额外增加一层保护。启用MFA后，用户登录控制台时，系统将要求用户输入用户名和密码（第一安全要素），以及来自其MFA设备的验证码（第二安全要素）。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 创建单独的IAM用户:天翼云统一身份认证（IAM）允许用户创建多个子用户，并为每个子用户分配不同的权限策略。如果有任何人需要访问您天翼云帐号中的资源，请不要将帐号的密码共享给他们，而是在您的帐号中给他们创建单独的IAM用户并分配相应的权限，同时，作为天翼云帐号主体，建议您不使用帐号访问天翼云，而是为自己创建一个IAM用户，并授予该用户管理权限，以使用该IAM用户代替帐号进行日常管理工作，保护帐号的安全。

网络传输加密 天翼云支持通过 VPN 连接和 HTTPS 协议对数据进行加密传输。 天翼云VPN连接（CTVPN，Virtual Private Network）是一款基于Internet的网络连接服务，通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。根据使用的加密协议不同，VPN连接可以提供IPsec VPN和SSL VPN两种连接方式。 IPsec VPN 通过使用加密算法在不同的网络之间建立加密的安全隧道。默认情况下，在VPC中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用IPsec VPN功能。 SSL VPN 基于互联网线路，通过SSL加密通道将用户终端与天翼云VPC建立安全可靠连接的服务，满足客户便捷接入VPC的需求。 HTTPS是基于TLS/SSL协议对HTTP传输数据进行加密，能够有效防止数据被监听、截取和篡改。天翼云云主机默认支持使用HTTPS进行加密传输，并提供256位密钥的传输加密强度，满足敏感信息加密的传输要求。 计算环境加密 天翼云的可信计算技术为用户提供了一个安全的计算环境。可信计算是实现云租户计算环境高级安全的重要功能之一。通过可信虚拟化技术（vTPM），天翼云构建了一个从系统启动到运行阶段的全方位可信保障机制。这种技术可以有效防止恶意软件和攻击者对计算环境的篡改，确保数据在处理过程中的机密性和完整性。 数据可用性 数据可用性是指数据在需要时能够被快速、准确地访问和恢复。天翼云通过以下措施与功能确保数据的可用性。

本文为您介绍登录轻量型云主机的相关操作。 您在创建轻量型云主机实例后，可在主机列表通过“远程登录”功能登录操作系统，开始使用您的轻量型云主机。 操作步骤 轻量型云主机列表“远程登录”方式 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择华北2。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，在目标轻量型云主机“操作”列点击远程登录。 5. 根据界面提示，输入轻量型云主机的账号密码完成登录。 说明 若忘记了密码，或未设置密码则用户可以进行“重置密码”操作，重新设置密码，再进行VNC远程登陆操作。 轻量型云主机详情页“远程登录”方式 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择华北2。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，单击目标轻量型云主机“实例名称”。 5. 进入目标轻量型云主机详情页，单击右上角“远程登录”。 6. 根据界面提示，输入轻量型云主机的账号密码完成登录。 说明 若忘记密码，或未设置密码，可以通过“重置密码”操作，重新进行密码设置操作，再进行VNC远程登陆。

本节为您介绍如何对已购物理机进行实例名称修改、重置密码及重装系统操作。 物理机重装系统 操作场景 物理机操作系统无法正常启动，操作系统中毒，或物理机系统运行正常，但需要对系统进行优化，使其在最优状态下工作时，用户可以使用物理机的重装系统功能。 前提条件 物理机状态为关机状态。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机服务”。 4. 将鼠标移动至目标物理机的“操作”列，在“更多 > 重装系统”，进入“一键重装”界面。 5. 在“重装选择”下拉框中，选中所需的操作系统及版本。如下图所示： 6. “主机名称”默认为原名称，同时也支持修改。 7. 如果此实例带本地盘，则可配置“磁盘RAID是否重置”： (1) 若选择不重置，则在系统重装过程中不会重置RAID。 (2) 若选择重置，则在系统重装过程中会重置RAID。即使您选择的RAID方式与重装前的RAID方式一致，也会重置RAID。RAID的相关概念、特性及如何构建RAID，可参见文档配置RAID。 8. 对“密码”进行配置后，单击“确定”进行系统重装。 说明 密码长度限制8到30个字符 必须包含大小写字母，同时必须包含一个数字或者特殊字符(()~!@

参数 是否必填 参数类型 说明 示例 下级对象 concurrency 否 Integer IstioProxy线程数 2 enableCoreDump 否 Boolean 核心转存 false enableDnsCapture 否 Boolean 是否开启istio内置dns false enableElegantTermination 否 Boolean 是否开启优雅终止 false excludeIPRanges 否 String 不拦截对外访问的地址范围 127.0.0.1 excludeInboundPorts 否 String 设置端口使入口流量免于经过Sidecar代理 80,8080 excludeOutboundPorts 否 String 设置端口使出口流量免于经过Sidecar代理 80,8080 holdApplicationUntilProxyStarts 否 Boolean 生命周期管理 true includeIPRanges 否 String 拦截对外访问的地址范围 192.168.0.0/16 includeInboundPorts 否 String 设置端口使入口流量经过Sidecar代理 443 includeOutboundPorts 否 String 设置端口使出口流量经过Sidecar代理 443 interceptionMode 否 String Sidecar对入向流量的拦截策略，REDIRECT：默认的拦截策略，Sidecar将使用重定向方式拦截入向流量。TPROXY：透明代理拦截策略，Sidecar将以透明代理的方式拦截入向流量。NONE:不拦截流量 REDIRECT lifecycleStr 否 String Sidecar代理生命周期JSON字符串 logLevel 否 String 日志等级，如果不设置则为warning info outboundTrafficPolicy 否 String 出向流量策略。取值：ALLOWANY：允许访问所有外部服务。REGISTRYONLY：只能访问注册到网格内的服务。 ALLOWANY proxyMetadata 否 Map of String 环境变量 proxyStatsMatcher 否 Object 统计相关指标 CustomProxyConfigProxyStatsMatcher selector 否 Map of String workload的标签选择器 sidecarProxyInitResourceLimit 否 Object Sidecar代理初始化容器资源限制 ResourcesLimitReq sidecarProxyInitResourceRequest 否 Object Sidecar代理初始化容器资源最低申请额度 ResourcesRequestReq sidecarProxyResourceLimit 否 Object Sidecar代理容器资源限制 ResourcesLimitReq sidecarProxyResourceRequest 否 Object Sidecar代理容器资源最低申请额度 ResourcesRequestReq terminationDrainDuration 否 String Istio Proxy终止等待时长 5s

容器可写层存储空间限制 容器产生的数据大小限制为512 MB或10 GB（同函数高级配置项中的磁盘大小一致） 解释 容器可写层数据会随着容器被销毁而删除。如果需要持久化存储，可以考虑使用函数计算挂载NAS或者ZOS。可以在函数配置 >存储中配置。 镜像架构限制 目前函数计算仅支持AMD64镜像架构，因此，针对ARM架构的机器(比如搭载M系列芯片的Mac电脑），构建镜像时需要指定镜像的编译平台为Linux/Amd64。参考命令如 docker build platform linux/amd64 t $IMAGENAME .。 解释 构建完成后，可执行 docker inspect进行检查。如果返回内容包含 "Architecture" : "amd64"，则表示构建的镜像正确。 HTTP Server配置要求 容器镜像启动的服务必须要监听函数配置的监听端口。 函数配置的监听端口默认是9000。如果容器镜像使用默认的监听端口，那么实现的 HTTP Server监听的端口也必须是9000。 同理，如果监听端口是8080，那么实现的HTTP Server监听的端口也必须是8080。 公共请求头 容器镜像函数的公共请求头和自定义运行时函数的公共请求头一致。更多信息，请参见自定义运行时上下文。 日志格式 容器镜像函数中所有打印到标准输出（Stdout）的日志会自动收集到您指定的日志服务中。关于配置日志功能的具体操作，请参见配置日志。 容器镜像函数的日志格式与自定义运行时函数的日志格式一致。更多信息，请参见函数日志格式。

本章节介绍数据库安全应用场景。 安全等保合规 数据库安全服务要满足政企、能源、金融、医疗、教育、网络货运等行业的等保二级、三级监管要求，需要对云上数据库进行安全审计，符合国家法律、行业监管的要求。 《等级保护2.0》中明确提到需要数据库审计提供集中审计功能。 《信息安全等级保护测评》第八章测评单元指出，企业测评单元应该包括以下要求：综合安全审计系统、数据库审计系统等提供集中审计的系统。 数据库审计 无论是自建数据库还是云数据库，都有可能面临来自内外网络的恶意攻击，以及内部人员各类误操作导致的数据损失。当出现数据被删除、信息被篡改、敏感信息泄漏等重大安全事件时，必须要进行全面的事件还原和严肃的追责处理。 天翼云数据库安全服务通过部署数据库安全审计Agent或者云原生RDS免Agent模式，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库以及RDS数据库的安全审计，对数据库内部违规和不正当操作的定位追责。 数据库安全检测 数据库日常运行的风险除了内部违规和不正当操作外，还有来自于SQL注入、拖库、洗库、撞库、日志异常等导致的性能问题。 天翼云数据库安全检测提供SQL注入、风险操作、日志异常行为检测等安全检测功能，用于检测数据库使用过程中的数据安全风险。用户可根据自身业务需求，选择启用适当的数据安全检测规则，完成数据库安全检测。

本章介绍天翼云关系型数据库的备份原理和方案 RDS实例支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 关系型数据库通过Sysbench导入数据模型和一定量的数据，备份后压缩比约为80%。其中，重复数据越多，压缩比越高。 压缩比备份文件占用的空间/数据文件占用的空间100%。 备份类型 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即事务日志备份。RDS系统自动每5分钟对上一次全量备份，或增量备份后更新的数据进行备份。 备份原理 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持HA高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。 备份原理图

新增访问密钥时忘记下载，如何重新下载找到密钥文件？ 删除密钥重新生成即可。并且为了安全，最好每3个月重置密钥。 accesskey能否删除？ 支持删除。 是否可以设置密码有效期？ 支持。登录官网后，在账号中心安全设置密码策略密码有效期策略中设置。IAM用户与主账号保持一致。 天翼云官网账号如何修改绑定手机号？ 登录官网以后点击头像下方的“个人中心”进入“安全设置”页面更换手机号，验证原手机号的验证码以后即可更换新的手机号。详情可参考：更换手机号 无法收到短信验证码怎么办？ 1. 网络通讯异常可能会造成短信丢失，请重新获取或稍后再试。 2. 请核实手机是否已停机，或者屏蔽了系统短信。 售前、售后问题可以通过哪些方式解决？ 用户遇到售前、售后问题时，可以通过以下几种方式解决： 咨询热线 用户可拨打客服热线咨询售前、售后问题。咨询热线：4008109889 帮助文档 用户在官网首页点击顶部导航“文档“进入帮助中心页面，然后点击上方的产品导航快速查找产品，点击相应产品即可进入产品文档，自助解决问题。 智能客服 用户可点击官网首页右侧“服务与建议“，选择“ 智能客服” 进入在线客服界面，选择人工服务 提交工单 1、登录天翼云官网，点击顶部导航“管理中心“进入总览页面。 2、在总览页面点击右上侧“更多工单新建工单”进入工单页面，选择“提交工单”。 3、创建工单。根据遇到的问题，选择问题所属产品、选择问题分类，创建工单。 4、填写工单 。根据实际情况和工单页面提示，填写工单内容，如果有报错截图，可以将图片上传。 5、确认信息后点击“确定提交”即可。提交工单后，天翼云工程师会即时进行处理。

本文介绍使用WordPress 应用镜像快速搭建网站 操作场景 WordPress是目前最流行的、最强大的博客和内容管理网站的建站工具，具备使用简单、功能强大、灵活可扩展的特点，提供丰富的主题插件，用户可借助丰富的第三方模板、插件，搭建博客、企业官网、电商、论坛等各类网站。 说明事项 web服务默认通过80端口访问，但由于政策原因，该端口需要备案才能访问，因此轻量型云主机修改端口为6060方便用户进行测试，当用户完成备案后，可修改为80端口。具体操作详见备案基础知识网站备案备案介绍 天翼云 (ctyun.cn)。 操作步骤 1. 进入轻量型云主机官网详情页，点击立即开通，进入轻量型云主机订购页。 2. 在轻量型云主机订购页，选择对应配置。 地域及可用区。建议选择接近目标客户的地域，以降低网络延迟并提高客户的访问速度。 镜像。选择应用镜像——WordPress。 规格套餐。按需选择规格套餐，包含CPU、内存、数据盘、弹性IP及带宽。 数据盘。按需选择是否要购买数据盘。 密码。可立即创建或稍后创建密码。 购买时长。按需选择订购时长，默认订购时长为1个月。 自动续订。 购买数量。按需选择购买数量，默认购买数量为1台。 3. 单击立即购买。 4. 返回轻量型云主机控制台，进入应用管理tab，在【应用信息查看】中获取管理员密码的查询命令。 5. 点击详情页右上角的远程登录按钮，远程登录主机。 6. 登录后先输入主机用户名密码，接着执行密码查询命令，输入完成后按回车键，即可获取 WordPress 管理员账号（admin）和对应的密码。 7. 返回轻量型云主机控制台，进入应用管理tab，在【应用信息查看】中获取管理员登录地址。 8. 在浏览器中访问管理员登录地址，输入用户名及密码。用户名为admin，密码为步骤6获取的密码。登录成功后您可根据根据需求使用WordPress进行管理和配置。 9. 此时您的弹性IP已可以访问。返回轻量型云主机控制台，进入应用管理tab，在【应用信息查看】中获取首页地址。打开浏览器输入该网址即可访问您的网站。 web服务默认通过80端口访问，但由于政策原因，该端口需要备案才能访问，因此轻量型云主机修改端口为6060方便用户进行测试，当您完成备案后，可修改为80端口。具体操作详见备案基础知识网站备案备案介绍 天翼云 (ctyun.cn)。 10. 如果想让其他用户可以通过一个易于记忆的域名访问您的网站，您可以选择为您的 WordPress 网站设置一个独立的域名。域名创建及域名解析可见新域名服务。

本章节主要介绍数据治理中心的配置常见关系数据库连接功能。 常见关系数据库包括数据仓库服务（DWS）、云数据库 MySQL、云数据库 PostgreSQL、云数据库 SQLServer、PostgreSQL、Microsoft SQL Server、IBM Db2、SAP HANA。 前提条件 已参考管理驱动上传对应的驱动。 常见关系数据库连接参数 连接参数详见下表：常见关系数据库连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mysqllink 数据库服务器 配置为要连接的数据库的IP地址或域名。 单击输入框后的“选择”，可获取用户的DWS、RDS等实例列表。 192.168.0.1 端口 配置为要连接的数据库的端口。 不同的数据库端口不同，请根据具体情况配置。例如： SQLServer默认端口：1433 PostgreSQL默认端口：5432 数据库名称 配置为要连接的数据库名称。 dbname 用户名 待连接数据库的用户。该数据库用户需要有数据表的读写权限，以及对元数据的读取权限。 cdm 密码 用户名密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择3.3.5.3管理Agent中已创建的Agent。 驱动版本 不同类型的关系数据库，需要适配不同的驱动。 一次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源端和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 1000 SSL加密 可选参数，支持通过SSL加密方式连接数据库，暂不支持自建的数据库。 RDS上的PostgreSQL数据库服务做了一些安全增强，在创建RDS上的PostgreSQL的连接时，该参数需要配置为“是”。 是 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 说明 CDM作业默认打开了useCursorFetch开关，即JDBC连接器与关系型数据库的通信使用二进制协议。 sslmoderequire 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 '

本文向您介绍如何使用云镜像市场。 产品概述 天翼云云镜像市场是由天翼云构建的标准化镜像服务平台，联合第三方镜像服务商（ISV）为用户提供预集成化的云主机镜像及配套服务。镜像市场中所有镜像均基于天翼云云主机操作系统深度定制，预封装了如Deepseek大模型、数据库工具、运维管理面板等软件堆栈，实现云端应用的即开即用。用户可通过云镜像市场快速部署具备特定功能场景的云主机实例，大幅提升资源交付效率，让云主机即开即用、省时方便。 核心价值 快速交付 ：免除手动配置环境的时间成本，最短时间获得生产级运行环境。 生态丰富 ：AI与大数据、安全加固、行业软件等经天翼云技术审核的优质镜像。 使用云镜像市场的镜像创建云主机实例 创建云主机实例时，选择云镜像市场中的镜像。创建云主机实例的具体操作及参数介绍，请参见创建弹性云主机。 使用云镜像市场的镜像重装操作系统 您可以在云主机列表，通过操作一键重装，将云主机的镜像更换为云镜像市场的镜像。 重装操作系统时，在一键重装 弹窗页面选择云镜像市场 镜像，并在云镜像市场页面选择您所需的镜像。具体操作，请参见重装操作系统。

步骤二：创建文件系统 1. 在天翼云控制中心单击“存储>弹性文件服务SFS Turbo”，单击右上角“创建SFS Turbo实例”，进入创建文件系统页面。 2. 根据界面提示配置参数，请参考创建文件系统。 3. 创建成功后，可在控制台界面看到对应的文件系统。单击文件系统名称，进入详情页，查看文件系统具体信息。 步骤三：挂载文件系统 计算服务的操作系统决定了文件系统挂载方式。Linux操作系统的物理机与云主机挂载方式相同。本文以Linux操作系统物理机挂载NFS系统为例介绍挂载文件系统。具体步骤如下： 1. 以root用户登录物理机，具体操作参考登录Linux物理机。 2. 执行以下命令查询该物理机是否安装NFS客户端，若没有返回安装结果，执行第3步进行安装。 plaintext rpm qa grep nfsutils 3. 安装NFS客户端。安装时注意不同操作系统执行命令不同。 CentOS、CTyunOS系统下，执行以下命令： plaintext yum y install nfsutils Ubuntu系统，执行以下命令： plaintext sudo aptget install nfscommon 4. 执行如下命令创建本地挂载路径，例如“/mnt/sfs”。 plaintext mkdir /mnt/sfs 5. 挂载文件系统。使用mount命令挂载文件系统，推荐NFS v3协议挂载到物理机上（vers3）。挂载地址在文件系统详情页获取。 1. 可用区资源池的挂载信息在下图所示位置查看，点击复制按钮即可复制全部挂载命令，然后将命令中的“localfolder”替换为本地路径为第4步中创建的路径。 2. 非可用区资源池的挂载信息下图所示位置查看，目前仅支持内蒙6、南宁30、贵州3。其它资源池请提交工单评估。使用下方命令进行挂载，本地路径为第4步中创建的路径。 plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,prototcp,wsize1048576,rsize1048576,timeo600 挂载地址 本地路径 6. 挂载之后执行 df h命令查看物理机空间使用情况，列表尾部应有已挂载的文件系统。

本节介绍了创建镜像的一些常见问题。 一个账号最多可以创建多少个私有镜像？ 您在一个区域内默认最多可以创建私有镜像个数可以通过怎样查看我的配额中的镜像服务总配额来进行查询。如果您需要创建更多的私有镜像，可以通过提交工单的方式，申请扩大配额上限，详细操作请参见如何扩大镜像的配额？ 云主机创建私有镜像的时候一定要关机吗？ 是的。运行状态下的云主机，其内存可能会缓存正准备写入的数据，为了避免您制作的镜像出现数据丢失问题，请您在制作镜像前关闭云主机。 Windows 私有镜像创建的弹性云主机的密码是什么？ 当前暂不支持在控制中心修改使用Windows私有镜像创建的云主机密码，请您使用原来制作镜像的源云主机的密码登录云主机后再修改密码。 在哪里查看镜像创建进度？创建镜像需要多少时间？ 登录管理控制台，选择“计算 > 镜像服务”，单击“私有镜像”页签，在私有镜像列表的“状态”列查看镜像创建进度。 镜像创建过程涉及XEN、KVM虚拟化平台原生驱动的安装，OS内核的加载以及grub引导配置等环节，处理时间可能会比较长。并且网络速度、镜像文件类型、镜像所属实例的磁盘大小等因素均会影响镜像的创建时长。 在子账户做的私有镜像，主账户创建云主机的时候可以选择到吗？ 可以。 子账户做的私有镜像，主账户和其他子账户（如果有）均可以看到。 如果该私有镜像为系统盘镜像或整机镜像，主账户和其他子账户创建云主机时，选择“私有镜像”，然后在下拉列表中可以选择该镜像。 如果该私有镜像为数据盘镜像，主账户和其他子账户创建云硬盘时，选择数据源为“从镜像创建”，然后在弹出的对话框中选择该镜像。 另外，主账户创建的私有镜像，所有子账户都可以看到。

本文为您介绍添加受保护服务器的操作流程。 操作场景 保护组创建完成后，将需要容灾的服务器添加到指定的保护组中。 约束与限制 单次添加时，至少选择1个服务器进行保护，最多可以选择10个服务器。 目前仅支持64位操作系统，且服务器的规格不能小于2CPU+4GB内存。详情请参见支持的操作系统版本。 暂不支持将挂载了X系列云硬盘（如XSSD1等）的云主机添加为受保护的服务器。 注意事项 由于云容灾服务需要连通服务端VPC，如果受保护的服务器使用非默认安全组，请确认所使用的安全组配置了出方向规则，示例如下： 具体请参见安全组规则。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入云上容灾。 板块展示：默认进入板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 列表展示：默认是板块展示，可单击右上角图标切换为列表展示。找到目标保护组，单击目标保护组名称，进入保护组页面。 5. 在保护组页面，在“受保护的服务器”页签，单击“添加受保护服务器”，进入云主机列表页面。 6. 在云主机列表页面，选择需要受保护的服务器，单击“确认”。 7. 待云主机状态变为“已初始化”，说明添加完成。

本章节主要介绍物理机的管理类的问题。 物理机的使用限制是什么？ 禁止修改网络相关的配置，否则可能导致无法连接物理机。不支持操作系统内核升级。 不支持直接加载外接硬件设备（如USB设备、银行U key、外接硬盘、加密狗等）。 不支持带外管理，您的物理机资源统一由天翼云管理和维护。 不支持热迁移，服务器故障后会对业务造成影响，建议您通过业务集群部署、主备部署等方式实现业务的高可用。 不支持创建没有操作系统的裸设备，即物理机必须自带操作系统。 创建后不支持更换VPC。 公共镜像的Windows物理机系统是默认激活的，您在上面二次虚拟化出来的操作系统，需要您自行激活。 不支持自定义物理机CPU和内存配置，不支持规格变配，仅支持云硬盘在线扩容。 仅支持挂载SCSI类型的云硬盘。 由于某些机型的服务器没有配备SDI卡，或者其他服务器本身的原因，有些规格或镜像的物理机不支持挂载云硬盘。 请勿删除或者修改镜像中内置的插件服务（如CloudInit、bmsnetworkconfig等），否则会影响您的基本功能使用。 在创建物理机时，如果选择自动分配IP地址，请不要在物理机发放完成后修改私有IP地址，避免和其他物理机IP冲突。 物理机不支持配置桥接网卡，会导致网络不通。 禁止升级OS自带内核版本，否则服务器硬件驱动会存在兼容性风险，影响服务器可靠性。 物理机禁止修改和配置系统盘。

本章节主要介绍翼MapReduce的区域和可用区的概念。 通常用区域和可用区来描述数据中心的位置，用户可以在特定的区域、可用区创建云服务资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 在同一地域内，可用区与可用区之间内网互通。各可用区之间可以实现故障隔离，即如果一个可用区出现故障，则不会影响其他可用区的正常运行。是否将实例放在同一可用区内，主要取决于您的应用对容灾能力和网络延时的要求。 如果您的应用需要较高的容灾能力，建议您将实例部署在同一地域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，建议您将实例创建在同一可用区内。

SQL执行记录 当您开启SQL保存到执行记录后，数据管理服务会将您在SQL窗口中执行的SQL语句保存下来，便于后期查看。您也可以再次执行这些SQL语句，无需重复输入。 前提条件 需要在SQL查询窗口右上角开启SQL保存到执行记录。开启后，SQL执行记录信息会保存到DAS服务的管理主机。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 4、在左侧导航栏中，单击“开发工具”，进入开发工具页面。 5、选择需要登录的目标数据库实例，单击操作列表中的“登录”，登录目标数据库实例。 6、在顶部菜单栏选择“SQL操作”>“SQL查询”，打开一个SQL窗口。 7、在SQL执行记录页面，您可通过日期范围、数据库名称、SQL语句关键字进行搜索，快速查找目标SQL执行记录信息。 单击列表中数据库名称，您可直接进入该数据库管理页面。 单击“SQL语句”，您可在SQL语句弹出框中复制使用SQL。 单击“在SQL执行窗口打开”，您可在SQL窗口中直接使用该语句。

本章节介绍如何通过SFS Turbo备份对SFS Turbo弹性文件系统提供备份保护。 云服务备份（Cloud Backup and Recovery, CBR）为云内的弹性云服务器（Elastic Cloud Server, ECS）、物理机（Bare Metal Server, BMS）（下文统称为服务器）、云硬盘（Elastic Volume Service, EVS）、SFS Turbo文件系统，提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。提供对SFS Turbo文件系统的数据保护。 步骤1：注册天翼云，为账户充值等，请参见准备工作章节： 步骤2：针对不同的保护对象，在备份前需要创建不同类型的备份存储库，用于存放备份，请参考创建SFS Turbo备份存储库完成SFSTurbo备份存储库创建。 步骤3：如果购买存储库时未绑定资源，还需要将资源绑定至存储库，请参见绑定资源。 步骤4：完成绑定资源后，即可对资源进行备份，产生的备份将存放至对应的存储库中，请参见创建SFS Turbo备份： 步骤5：成功创建备份后，当资源数据因病毒、误删除导致数据丢失时，可以使用备份恢复资源的数据，请参见使用备份创建新文件系统。

本章节介绍云主机备份的应用场景:数据备份恢复和业务快速迁移部署。 云主机备份可为多种资源提供备份保护服务，有效保障用户数据的安全性和正确性，确保业务安全。云主机备份适用于数据备份和恢复以及业务快速迁移和部署的场景。 数据备份和恢复 云主机备份在以下场景中，均可快速恢复数据，保障业务安全可靠。 受黑客攻击或病毒入侵 通过云主机备份，可立即恢复到最近一次没有受黑客攻击或病毒入侵的备份时间点。 数据被误删 通过云主机备份，可立即恢复到删除前的备份时间点，找回被删除的数据。 应用程序更新出错 通过云主机备份，可立即恢复到应用程序更新前的备份时间点，使系统正常运行。 云主机宕机 通过云主机备份，可立即恢复到宕机之前的备份时间点，使服务器能再次正常启动。 业务快速迁移&部署 为云主机创建备份，使用备份创建镜像，可快速创建与现有云主机相同配置的新云服务器，实现业务的快速部署。 详情请参考最佳实践整机镜像跨可用区迁移。

本章节主要介绍翼MapReduce服务如何新增节点组。 当存量core或task节点组的计算或存储资源无法满足您的业务需求时，您可以使用新增节点组功能增加实例数量。 背景信息 1. V2.16版本起，数据湖、数据分析、数据服务、实时数据流与自定义场景支持新增节点组功能。 2. V2.17版本起，云搜索场景支持新增节点组功能。 3. 当前数据湖、数据服务、实时数据流与自定义业务场景支持新增core与task节点组，数据分析与云搜索场景支持新增core节点组。 4. 仅支持对状态为“运行中”的集群进行新增节点组操作。 操作步骤 1. 登录翼MapReduce管理控制台。 2. 从“我的集群”中 ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 选择“节点管理”，点击“新增节点组”按钮。 4. 选择新增节点组的配置并完成支付后，可在“节点管理”的节点信息中，查看新增节点组结果。当新增节点组状态从变为“运行中”，表示新增成功。