本章节介绍数据库安全停止计费。 停止计费 包年/包月资源 对于包年/包月计费模式的资源，例如包年/包月的DBSS实例，用户在购买时会一次性付费，服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源，您可以执行退订操作，系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的帐户。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日（默认为到期前7日）之前关闭自动续费。

本节主要介绍查任务详情 实时同步任务的配置信息，包括任务信息、同步实例信息和同步信息。同步任务创建成功后，可查看任务详细信息 。 前提条件 已登录数据复制服务控制台。 操作步骤 说明 任务列表中，仅展示当前登录用户所创建的全部任务，同一租户下的不同用户之间的任务不可见。 步骤 1 在“实时同步管理”界面，选择指定的同步任务，单击任务名称。 步骤 2 在“基本信息”页签，查看当前同步任务的详细信息。 您可查看到当前同步任务下对应的任务信息、同步实例信息和同步信息。

本节主要介绍查看任务详情 备份迁移任务的配置信息，包括任务信息、备份文件信息和数据库信息。迁移任务创建成功后，您可查看迁移任务详细信息。 前提条件 已登录数据复制服务控制台。 操作步骤 说明 任务列表中，仅展示当前登录用户所创建的全部任务，同一租户下的不同用户之间的任务不可见。 步骤 1 在“备份迁移管理”界面，选择指定的迁移任务，单击任务名称。 步骤 2 在“基本信息”页签，查看当前迁移任务的详细信息。 您可查看到当前迁移任务下对应的任务信息、备份文件信息和数据库信息。

天翼云域名无忧通过SaaS方式接入无需任何主机部署。本小节介绍域名无忧功能特性。 域名备案 对域名进行备案处理，后台审核通过后，对备案的域名可以进行监控、刷新等业务操作。 域名监控 监控电信所有省份DNS服务的解析结果。 域名告警 对域名监控的解析结果与预设置的解析结果范围进行比对，如果发现域名异常，则触发域名告警，并给出告警的详细信息。 域名刷新 域名刷新对位于电信的DNS服务器进行清除缓存操作。

出入向地址转换策略配置完成后，需针对流量进行安全检测，该功能由安全策略实现。 操作方法 1.打开菜单栏，【策略→安全策略→策略→新建策略】。 2.需配置名称，源目安全域、地址，及对应放行的服务，可与NAT策略保持一致。 3.防护模板调用，可根据需求调用防护模板，使对应安全策略生效。 4.配置会话日志记录。

本章节会介绍关系型数据库查看性能时遇到的常见问题。 RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 为何使用了RDS后网站登录较慢 推荐您做如下两个处理： 通过关系型数据库服务的管理控制台查看关系型数据库实例的性能情况。 与应用程序有很大关系，使用命令查看当前数据库连接状态，比较本地数据库和关系型数据库的差异。

本章节介绍如何在控制台删除手动备份。 操作场景 关系型数据库服务支持对手动备份进行删除，从而释放相关存储空间。 说明 手动备份删除后，不可恢复。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在左侧导航栏，单击“备份管理”，在“备份管理”页面，选择目标备份，单击操作列中的“更多 > 删除”。 如下备份不可被删除： 自动备份。 恢复中的备份。 正在执行复制任务的备份。 步骤 5 单击“确定”删除手动备份。

本节主要介绍使用须知 MySQL>MySQL灾备 使用技巧（需要人为配合） 建议您配合如下使用技巧和操作要求，进行灾备以确保任务稳定运行。 基于以下原因，建议您结合定时启动功能，选择业务低峰期开始运行灾备任务。 全量灾备会对源数据库有一定的访问压力。 灾备无主键表时，为了确保数据一致性，会存在3s以内的单表级锁定。 正在灾备的数据被其他事务长时间锁死，可能导致读数据超时。 建议您结合数据对比的“稍后启动”功能，选择业务低峰期进行数据对比，以便得到更为具有参考性的对比结果。由于同步具有轻微的时差，在数据持续操作过程中进行对比任务，可能会出现少量数据不一致对比结果，从而失去参考意义。 操作要求 在使用数据复制服务进行数据灾备的过程中，存在一些无法预知或因人为因素及环境突变导致同步失败的情况，针对该情况，数据复制服务提供以下常见的操作限制，供您在数据灾备过程中参考。 表操作要求 类型 操作限制 （需要人为配合） 注意事项 下表中的环境要求均不允许在灾备过程中修改，直至灾备结束。 业务数据库进行的参数修改不会记录在日志里，所以也不会同步至灾备数据库，请在灾备数据库升主后调整参数。 外部数据库创建的高权限用户若超出RDS MySQL支持范围，不会同步至灾备数据库，如super权限。 不支持外键级联操作。 不支持业务数据库恢复到之前时间点的操作(PITR)。 不支持强制清理binlog，否则会导致灾备任务失败。 网络中断在30秒内恢复的，不影响数据灾备，超过30秒，则可能会导致灾备任务失败。 若专属计算集群不支持4vCPU/8G或以上规格实例，则无法创建灾备任务。 支持断点续传功能，但对于无主键的表可能会出现重复插入数据的情况。 存在灾备任务时，不允许创迁移或者同步任务。 灾备不支持多写的多主模式，如果外部数据库没有提供superuser权限，则外部数据库为备时无法设置只读，请严格确保备节点的数据只来自主节点的同步，任何其他地方的写入将会导致备库数据被污染，使得灾备出现数据冲突而无法修复。 如果外部数据库为备且为只读，该只读只有superuser权限的账号可以写入数据，其他账号无法写入，但仍然需要确保备节点通过这个账号写入任何数据导致备库数据被污染，使得灾备出现数据冲突而无法修复。 业务数据库和灾备数据库为RDS for MySQL实例时，不支持带有TDE特性并建立具有加密功能表。 操作须知 数据灾备过程中，如果修改了业务库用于灾备的密码，会导致该灾备任务失败，需要在数据复制服务控制台将上述信息重新修改正确，然后重试任务可继续进行数据灾备。一般情况下不建议在灾备过程中修改上述信息。 数据灾备过程中，如果修改了业务库端口，会导致该灾备任务失败。一般情况下不建议在灾备过程中修改业务库端口。 数据灾备过程中，如果业务库为非本云关系型数据库实例，不支持修改IP地址。本云关系型数据库实例，对于因修改IP地址导致灾备任务失败的情况，系统自动更新为正确的IP地址，重试任务可继续进行同步。一般情况下，不建议修改IP地址。 数据灾备过程中，不建议做删除类型的DDL操作，可能会引起任务失败。 禁止源端在灾备任务执行主备倒换过程中进行写入操作，否则会出现数据污染或者表结构不一致，并最终导致业务端和灾备端数据不一致。 在使用数据复制服务进行数据灾备的过程中，对环境有一些特定的要求，请确保环境配置满足以下条件。该类型的要求系统会自动检查，并给出处理建议。

本文介绍了通过控制台或本地代码获取对象文件的直接url地址(下载链接)的方法。 操作场景 对象文件的直接url地址可用于匿名用户直接下载对象文件，或程序代码中直接调用下载对象文件。 当用户需要获取某桶内某个对象文件的直接url地址时，可以通过如下两种方式解决： 通过控制台页面获取：详情请见通过URL访问对象。 本地通过代码获取：无需通过控制台，在本地通过代码获取对象文件的直接url地址的方法，请见本文后续介绍。 前提条件 用户已有对象文件上传至对象存储，已知该资源池对象存储服务的Endpoint域名，该对象文件所在的桶名称（bucketName）和对象键（key）。 对象键（key）为该对象文件的所有目录层级与文件名称加斜杠（/）后拼接而成。如一个对象文件在桶内的所有目录层级为“aaa/bbb”，文件名称为ccc.txt，该对象文件的对象键（key）是“aaa/bbb/ccc.txt”。 注意 如果需要通过该url地址实现匿名用户直接下载，对象文件的权限需要改为“公共读”。 代码样例 对象文件的公网下载地址为：公网Endpoint/桶名称/对象键（包含所有的目录层级） 对象文件的内网下载地址为：内网Endpoint/桶名称/对象键（包含所有的目录层级） 例如：华东1资源池对象存储服务的Endpoint域名为 根据上述原理，我们提供Java、Python、C++、Bash的代码样例如下，代码中的url参数就是用户所需的对象文件的直接url地址：

关系数据库MySQL版服务支持性能自动扩容,即当实例CPU使用率达到一定阈值后,由后台在已设置的可维护时间段发起性能自动扩容。本文介绍如何开启关系数据库MySQL版服务的性能自动扩容功能。 说明 性能自动扩缩容功能默认关闭，如需使用，请参考本文操作开启该功能。 性能自动扩容仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 实例状态为运行中。 您的账户余额充足。 已设置可维护时间段。 注意 性能自动扩容和缩容将在可维护时间段进行，默认可维护时间段为凌晨2点~6点，您可以根据实际情况进行修改。 性能自动扩缩容不会变更机器类型，仅做规格上的升级或降级。 如果当前已经是最高规格或最低规格，将无法进行规格扩缩容。 如果在可维护时间段的前30分钟触发阈值，才会执行扩容操作。 约束限制 实例可自动扩容到接口可查询到的最大规格。 注意 如果实例本身规格已达上限，则不支持自动扩容。 单机实例不支持自动扩容，仅主备和一主两备实例支持自动扩容。 主实例为一主一备实例或者一主两备实例时，如需为只读实例设置性能自动扩容，要单独为只读实例设置。 实例的任意节点达到阈值都会触发自动扩容，并且在可维护时间段进行升级。 每次默认向上升级一倍的规格，直到达到最大规格为止，例如从2C4G扩容为4C8G。 性能自动扩容默认为停业扩容方式，请选择合适的时间段进行自动扩容。

本文主要介绍资源包主动预警提醒说明。 计费项说明 云主机备份产品包含了2个计费项：云主机备份功能费和云主机备份存储费。 备份功能空间云主机所有磁盘空间总和，额定容量，即等于系统盘容量+数据盘容量； 备份存储空间实际使用的存储空间，可在控制台使用空间总和查看。 计费项 含义 适用的计费模式 云主机备份功能费 需要备份的云主机的磁盘空间：按照备份云主机的系统盘、数据盘空间总和进行收取。 功能资源包 云主机备份存储费 备份数据所占用的存储空间费用：根据备份数据实际占用的存储空间收费。 存储资源包 告警提醒功能说明 主动预警：当客户购买的资源包用量达到90%，系统主动预警，邮件通知最终用户，客户经理和服务经理，短信通知最终用户和客户经理。 用尽通知：当客户购买的资源包用量达到100%，系统用尽通知，邮件通知最终用户，客户经理和服务经理，短信通知最终用户和客户经理。 频次：一个自然日为单位，每自然日提醒一次。 规则补充说明 1、 您可自行选择主动退订通知，或者提工单退订该预警通知，因产品计费规则为超出部分按量付费，后续因为退订提醒消息导致产生的按需费用，需要您自行承担。 2、 功能资源包已用尽，如您无计划新增云主机备份的场景，云主机备份功能空间理论上保持不变，这种场景请您忽略预警提示。 3、 功能资源包已用尽，有计划新增云主机备份的场景，可根据实际需求购买资源包叠加或者超出部分按需付费。 4、 存储资源包即将用尽或已用尽场景，请您及时新购资源包叠加抵扣，或者调整备份和保留策略，或者删除不用的备份释放空间等。

分析处理 在您采取措施处理问题前，首先需要判断影响CPU或带宽占用率高的进程是正常进程还是异常进程。不同类型的进程状态需要做不同处理。 正常进程分析处理建议 1. 如果您的操作系统是Windows 2008/Windows 2012，请检查内存大小，建议内存配置在2GB或以上。 2. 检查后台是否有执行Windows Update的行为。 3. 检查杀毒软件是否正在后台执行扫描操作。 4. 核对云主机运行的应用程序中是否有对网络和CPU要求高的需求，如果是，建议您变更云主机配置或修改带宽。 5. 如果云主机配置已经比较高，建议考虑云主机上应用场景的分离部署，例如将数据库和应用分开部署。 异常进程分析处理建议 如果CPU或带宽利用率高是由于病毒、木马入侵导致的，那么需要手动结束进程。建议的处理顺序如下： 1. 使用商业版杀毒软件或安装微软安全工具Microsoft Safety Scanner，在安全模式下扫描病毒。 2. 安装Windows最新补丁。 3. 使用MSconfig禁用所有非微软自带服务驱动，检查问题是否再次发生。 Linux云主机卡顿怎么办？ 当您发现云主机的运行速度变慢或云主机突然出现网络断开现象，则可能是云主机的带宽和CPU使用率过高导致。如果您已经通过云监控服务创建过告警任务，当CPU或带宽利用率高时，系统会自动发送告警给您。 Linux实例带宽流量过高或CPU使用率高，您可以按如下步骤进行排查： 1. 问题定位：定位影响云主机带宽和CPU使用率高的进程。 2. 问题处理：排查进程是否正常，并分类进行处理。 − 正常进程：优化程序，或变更云主机配置。 − 异常进程：建议您手动关闭进程，或者借助第三方工具关闭进程。

本文介绍如何设置告警通知，包括攻击告警通知和流量超额预警通知。 设置告警通知后，CFW可将触发的告警信息通过您设置的接收通知方式（例如邮件或短信）发送给您，您可以及时监测防火墙状态，迅速获得异常情况。 CFW支持设置以下告警： 攻击告警：IPS检测到攻击时触发告警。 流量超额预警：当流量达到所采购流量处理能力规格的一定比例时触发告警。 EIP未防护告警：当前账号有未开启防护的EIP时触发告警。 异常外联告警：检测到外联风险IP或域名的可疑行为时触发告警。 前提条件 已开通消息通知服务。 攻击告警 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“系统管理 > 告警通知”，进入“告警通知”页面。 4. 在“攻击告警”所在行的“操作”列，单击“编辑” ，设置通知项参数，参数说明详见下表。 参数名称 参数说明 通知项说明 IPS攻击日志告警。 通知等级 选择触发通知的危险等级。 可选择“致命”、“高”、“中”、“低”，支持多选。 例如：选择“高”和“中”，那么当云防火墙检测到危险等级为高和中的入侵时，CFW将以短信或邮件的方式通知您及时处理。 通知时间 选择通知的时间段。 触发条件 设置触发条件。 说明 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时系统才会发送告警通知。 通知群组 单击下拉列表选择已创建的主题，用于配置接收告警通知的终端。 5. 单击“确认”，完成通知项设置。 6. 确认信息无误后，在“攻击告警”所在行的“生效状态”列，单击，开启攻击告警通知。

本节介绍如何开启告警通知。 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 前提条件 已开通消息通知服务。 约束条件 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“系统管理 > 告警通知”，进入“告警通知”页面。 5. 单击“添加通知”，配置告警通知参数。 参数 参数说明 通知类型 选择告警通知的类型： 防护事件：WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 通知名称 自定义该条告警的名称。 通知描述 可选参数，备注该条告警的用途。 企业项目 在下拉框中选择企业项目，该通知在选择的企业项目下生效。 通知群组 单击下拉列表选择已创建的主题或者单击“查看主题”创建新的主题，用于配置接收告警通知的终端。 告警频率 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以单击“自定义”，勾选需要告警的事件类型。 6. 配置完成后，单击“确认”，告警通知设置成功。 如果需要关闭该告警通知，在目标告警所在行的的“操作”列，单击“关闭”。 如果需要删除该告警通知，在目标告警所在行的的“操作”列，单击“删除”。 如果需要修改该告警通知，在目标告警所在行的的“操作”列，单击“修改”。

本节主要介绍NAT的约束与限制。 公网NAT网关 关于公网NAT网关的使用，您需要注意以下几点： 公共限制 同一个公网NAT网关下的多条规则可以复用同一个弹性公网IP，不同网关下的规则必须使用不同的弹性公网IP。 一个VPC支持关联多个公网NAT网关。 SNAT、DNAT可以共用同一个弹性公网IP，节省弹性公网IP资源。但是在选用全端口模式下，DNAT优先占用全部端口，这些端口不能被 SNAT 使用。因此SNAT规则不能和全端口的DNAT规则共用EIP，以免出现业务相互抢占问题。 公网NAT网关支持转换的资源类型不包括企业型VPN。 当云主机同时配置弹性公网IP服务和公网NAT网关服务时，数据均通过弹性公网IP转发。 出于安全因素考虑，部分运营商会对下列端口进行拦截，导致无法访问。建议避免使用下列端口： 协议 不支持端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 4790 5554 5800 5900 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 4790 5554 9996 NAT 网关支持 TCP、UDP 和 ICMP 协议，暂不支持ALG 相关技术，且GRE 隧道和 IPSec 使用的 ESP、AH无法使用 NAT 网关，这是由NAT网关本身的特性决定的。 SNAT限制 VPC内的每个子网只能添加一条SNAT规则。 SNAT规则中添加的自定义网段，对于云专线的配置，必须是云专线侧网段，且不能与虚拟私有云侧的网段冲突。 公网NAT网关支持添加的SNAT规则的数量没有限制。 DNAT限制 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个EIP，不能映射到多个EIP。 公网NAT网关支持添加的DNAT规则的数量为200个。

本章节会介绍如何什么是只读实例。 产品简介 目前，云数据库的实例支持只读实例和开通读写分离功能（自动读写分离目前在西安2、苏州、杭州、福州、广州4、石家庄资源池支持）。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。创建只读实例后，您可以开通读写分离功能，通过RDS的读写分离连接地址，写请求自动访问主实例，读请求按照读权重设置自动访问各个只读实例。 未开通读写分离时，您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个物理节点的架构（没有备节点），采用MySQL的原生复制功能，将主实例的更改同步到所有只读实例。只读实例跟主实例在同一区域，但可以在不同的可用区。 功能特点 只读实例规格可以与主实例不一致，并可以随时更改规格（没有时间限制），便于弹性升降级。 关系型数据库服务提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 提供系统性能监控。 关系型数据库服务提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 注意 建议只读实例规格大于等于主实例规格，否则易导致只读实例创建失败、延迟高、负载高等现象。

本节介绍了本分弹性云主机的操作场景、云主机备份操作步骤、云硬盘备份操作步骤。 操作场景 云服务备份提供申请即用的备份服务，使您的数据更加安全可靠。例如，当云主机或磁盘出现故障或者人为错误导致数据误删时，可以自助快速恢复数据。本节操作介绍备份云主机和云硬盘的操作步骤。 您可以通过云服务备份产品架构、备份机制（全量备份和增量备份）、备份的方式及适用场景了解更多产品详情。 目前弹性云主机备份可以通过“云主机备份”和“云硬盘备份”功能实现： 云主机备份（推荐）：如果是对弹性云主机中的所有云硬盘（系统盘和数据盘）进行备份，推荐使用云主机备份功能，同时对所有云硬盘进行备份，避免因备份创建时间差带来的数据不一致问题。 云硬盘备份：如果对指定的单个或多个云硬盘（系统盘或数据盘）进行备份，推荐使用云硬盘备份功能，在保证数据安全的同时降低备份成本。 云主机备份操作步骤 操作步骤请见创建云主机备份存储库。 云硬盘备份操作步骤 操作步骤请见创建云硬盘备份存储库。

RPS RPS是指性能测试在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 VUM VUM指的是任务对资源的消耗数，计算公式为VUM VU（虚拟并发用户数） M（分钟）。 带宽 记录压测任务运行所消耗的实时带宽变化。上行带宽指从CPTS测试执行机往外发送出去数据的速度；下行带宽指CPTS测试执行机接收到数据的速度。 响应时间 指从客户端发一个请求开始计时，到客户端接收到从服务器端返回的响应结果结束所经历的时间。 响应超时 在设置的响应超时时间内（默认5s），对应的TCP连接中没有响应数据返回，为响应超时。出现原因一般是被测服务器繁忙、崩溃、网络带宽被占满等。 校验失败 从服务器返回的响应报文不符合预期（针对HTTP/HTTPS默认的预期响应码为200），比如服务器返回404、502等。出现原因一般为高并发情况下被测服务无法正常处理导致的，如分布式系统中数据库出现瓶颈、后端应用返回错误等。 解析失败 响应报文已全部接收完成，但是部分报文丢失导致整个事务响应不完整，这种情况一般需要考虑网络丢包。

本小节介绍如何在证书管理服务控制台创建CSR。 什么是CSR？ CSR（证书签名请求，Certificate Signing Request）是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取SSL证书。 如何创建CSR 1. 登录证书管理服务控制台。 2. 在左侧导航栏，选择“SSL证书管理 > CSR管理”，进入“CSR管理”页面。 3. 单击“创建CSR”，填写CSR信息。CSR填写规则请见下表。 参数 参数说明 CSR名称 填写您的CSR名称，CSR名称仅支持英文大小写、数字、“.”、“”、“”，长度为215个字符。 域名 请输入申请SSL证书的主域名，例如：ctyun.cn。 其他域名 填写与已设置的域名共用一张证书的其他域名。支持填写多个域名。 联系人 选择CSR联系人，创建联系人请参考联系人管理章节。 公司 选择CSR所属的公司，创建公司请参考公司管理章节。 密钥算法 选择密钥算法的类型。可选类型： RSA ECC SM2 密钥强度 选择密钥强度。可选强度： RSA支持：2048、3072、4096 ECC支持：256、384、521 SM2支持：256 4. 填写完成后，单击“生成CSR”完成CSR创建。

安全运维报告 根据用户云环境的安全态势及风险威胁处置数据生成安全运营报告。 安全漏洞扫描 安全管理中心集成主机漏洞及应用漏洞扫描功能，能够帮助用户高效、全方位的检测出服务环境中的各类脆弱风险，并提供专业、有效的安全分析和修补建议。 组件集中管理 安全管理中心集中管理全网安全专区能力组件，已部署的组件规格、部署区域、版本许可信息、运行状态等配置信息统一展现安全管理员从天翼云控制台即可单点登录所有安全组件进行策略配置及备份策略，无需繁琐的分别登录组件进行管理。 云堡垒机 云堡垒机为用户提供运维审计解决方案，运维人员可通过云堡垒机远程访问云主机，实现统一账号管理、双因子、认证管理、权限管理、审计管理，解决系统账号复用、运维权限混乱、运维过程不透明等问题。 支持RDP、VNC、X11等图形终端操作的连接情况进行记录及审计。 记录发生时间、发生地址、服务端IP地址、客户端IP地址、操作指令、返回信息、操作备注、客户端端口号、服务器端口号、运维用户帐号、运维用户姓名、审批用户帐号、审批用户姓名、服务器用户名等信息。 云防火墙 应用访问控制 包括但不限于47层访问控制、入侵防御、病毒过滤等安全功能。

本文介绍分布式消息服务MQTT的Keep Alive设置推荐。 在MQTT中，Keep Alive是一个用于保持客户端和服务器之间的活动连接的机制。它是通过客户端定期发送PINGREQ消息来实现的，以确保连接保持活动状态。当服务器接收到PINGREQ消息后，会回复PINGRESP消息，表示连接仍然活动。 Keep Alive的设置取决于你的应用需求和网络环境。以下是一些建议： 1. 根据网络稳定性设置：如果你的网络环境非常稳定，连接很少会断开，你可以将Keep Alive设置为较长的时间，例如60秒或更长。这样可以减少PINGREQ和PINGRESP消息的频繁发送，减少网络流量和资源消耗。 2. 根据应用实时性设置：如果你的应用对实时性要求较高，需要及时获取和响应消息，则可以将Keep Alive设置为较短的时间，例如10秒或更短。这样可以快速检测到连接丢失，并尽快重新连接或采取相应的处理措施。 3. 根据网络延迟设置：如果你的网络延迟较高，连接速度较慢，你可能需要将Keep Alive设置为较长的时间，以允许更多的时间来处理网络延迟和连接恢复。 需要注意的是，Keep Alive的设置不应过于频繁或过于长久。太频繁的Keep Alive会增加网络流量和服务器负载，太长久的Keep Alive可能会导致连接超时和断开。 一般来说，根据网络稳定性和应用实时性的考虑，将Keep Alive设置为30秒到5分钟之间是比较常见的。你可以根据你的具体需求和实际情况进行调整和优化。

产品名称 规格类型 功能适用 系统支持 应用市场 基础版 支持应用管理功能 Windows 应用市场 旗舰版 包含基础版功能，支持应用推送、已装应用上报、应用卸载、应用黑白名单管控、审批流程等功能 Windows 翼飞低代码平台 标准版 提供图形化快速创建包含问卷表单、待办流程、可视化图表等多种服务的企业应用服务，并支持对企业数据进行汇总分析处理和业务动作自定义编排服务 Windows、Ubuntu、CentOS 翼加密 基础版 支持文档类文件的标准强度加密保护 Windows 翼加密 旗舰版 包含基础版功能的基础上，支持更改等级的加密强度算法与国密算法。并且包含密级权限管控、加密隔离组等加密权限管控功能，满足企业内部不同的权限管理需求 Windows 翼共享 共享盘服务端主机 翼共享为企业提供即开即用的共享存储空间。企业可向部门/用户自定义授权分配共享文件夹的访问权限，实现企业内部文件共享 Windows 翼共享 高IO存储 翼共享为企业提供即开即用的共享存储空间。企业可向部门/用户自定义授权分配共享文件夹的访问权限，实现企业内部文件共享 Windows 翼共享 超高IO存储 翼共享为企业提供即开即用的共享存储空间。企业可向部门/用户自定义授权分配共享文件夹的访问权限，实现企业内部文件共享 Windows 翼甲卫士 标准版 包含1台8C16G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持防护200Mbps带宽 Windows、Ubuntu、CentOS 翼甲卫士 增强版 包含1台16C32G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持上网行为管理 支持防护400Mbps带宽 Windows、Ubuntu、CentOS 翼察 终端管控—标准版 提供基础安全和管控能力：终端防病毒、终端入侵检测、漏洞基线检测 Windows、 国产化系统(kylin、UOS、中科方德) 翼察 终端管控—增强版 包含标准版功能，支持终端行为监控审计、ATT&CK威胁分析以及与远程接入能力实现安全联动 Windows、 国产化系统(kylin、UOS、中科方德) 翼察 远程接入—标准版 提供基础接入安全防护：身份认证、最小化授权管理、传输通道双向加密防护 Windows、 国产化系统(kylin、UOS、中科方德) 翼察 远程接入—增强版 包含标准版功能，支持办公行为监控审计、与终端管控能力实现安全联动 Windows、 国产化系统(kylin、UOS、中科方德) 翼察 远程接入—连接器 应用资源接入零信任网络 Windows、 国产化系统(kylin、UOS、中科方德)

接口功能介绍 服务器设置中心，最新同步时间查询 接口约束 已经签约安全卫士服务协议 URI GET /v1/sync/time 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj String 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {} 响应示例 {"message": "success", "traceId": "211111111111111111111", "statusCode": "200", "error": "CTCSSCN000000", "returnObj": ""} 状态码 请参考 状态码

此小节介绍云堡垒机产品定义。 云堡垒机提供云计算安全管控的系统和组件，包含部门、用户、资源、策略、运维、审计等功能模块，集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口，基于协议正向代理技术和远程访问隔离技术，实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。 服务特点 一个实例对应一个独立运行的系统，通过配置实例部署系统后台运行基本环境。系统环境独立管理，保障系统运行安全。 一个单点登录系统，提供统一的单点登录入口，轻松地集中管理大规模云上资源，避免资源账户泄露危险，保障资源信息安全。 符合“网络安全法”等法律法规，满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求； 满足金融监管部门的技术审计要求； 满足各类法令法规（如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等）对运维审计的要求。

本文介绍DRDS的产品优势。 高性能 分布式服务架构，对比单机数据库服务，支持分库分表，能力线性提升。 支持读写分离，水平拆分后如果还存在较大的查询压力，可以开启读写分离，有效提供读扩展的同时提高开发灵活性。 弹性扩展 分层架构确保计算、存储均可线性扩展，完美解决单机数据库水平扩展瓶颈。 扩容过程对业务完全透明，无需业务中断。 简单易用 全面兼容MySQL协议和语法，兼容大部分MySQL客户端。 分片过程对业务无干预，使用流程如单机数据库，学习成本低。 支持可视化控制台，提供专有的运维管理指令。 高可用 通过弹性负载均衡实现无状态计算节点的高可用性，故障时流量自动切换，实现秒级容灾切换。 关联高可用存储节点，具备双机热备、数据备份和数据恢复的高可用特性。 支持多可用区部署，提供机房级别的高可用容灾架构。 低成本 提供完善的运维和技术支持，相比开源产品总体性价比更高。 支持多种规格配置，覆盖不同业务规模场景。

本章节指导用户查看企业路由器实例以及企业路由器连接的监控指标。 操作步骤 步骤 1：登录管理控制台，进入云监控服务主页面。 步骤 2：在左侧导航栏，选择“云服务监控 > 企业路由器”。 进入企业路由器列表页面。 步骤 3：在企业路由器列表中，分别执行以下操作，查看企业路由器实例以及企业路由器连接的实时监控指标。 查看企业路由器实例的监控指标 在企业路由器列表中，单击目标企业路由器所在行的操作下的“查看监控指标”。 进入监控指标详情页面。 在监控指标详情页面，根据页面提示设置参数，查看企业路由器实例的监控指标。 查看企业路由器连接的监控指标 在企业路由器列表中，单击下拉按钮展开目标企业路由器的连接列表，并单击连接所在行的操作下的“查看监控指标”。 进入监控指标详情页面。 在监控指标详情页面，根据页面提示设置参数，查看企业路由器连接的监控指标。

本页介绍透明数据加密的实现原理和使用方法。 透明数据加密（Transparent Data Encryption）通过在磁盘上存储的数据进行加密和解密来实现数据的保护。 透明：当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密：透明加密使用加密算法来加密数据，并将密钥存储在数据库服务器的受信任位置，以确保安全性。 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建立关联。同时支持将已经绑定的算法从schema，表和列上解绑，从而取消加密算法和数据库对象之间的关联关系。 透明加密通过teledbxmls插件，需要创建插件： plaintext 创建插件 create extension teledbxmls;

本节主要介绍查看企业项目资源 您可以选择查看某个企业项目下的全部资源，方便您快速了解该企业项目所拥有的资源情况。 操作步骤 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，选择待查看的企业项目，单击操作列“查看资源”。 系统进入企业项目详情页面，在“资源”页签下可查看该企业项目内资源信息。默认展示全部区域及全部产品类型的资源信息，可按以下步骤进行资源筛选。 步骤 4 （可选）设置资源搜索条件。 1. 选择搜索区域。系统默认选中“全部”。 2. 选择服务类型。 3. 选择资源类型。 页面下方列表展示筛选后的所有资源。 说明 当服务选择为“EIP”时，支持查看已绑定实例。已绑定实例目前仅支持查看资源为：弹性云主机、负载均衡器（目前仅支持增强型）、物理机、虚拟IP地址。

本文主要介绍消息队列 Kafka 发布者的最佳实践，从而帮助您更好的使用该产品。 文中的最佳实践基于消息队列 Kafka 的 Java 客户端；对于其它语言的客户端，其基本概念与思想是通用的，但实现细节可能有差异，仅供参考。 Kafka 发送示例代码片段 Key 和 Value Kafka 0.10.0.0 的消息字段只有两个：Key 和 Value。Key 是消息的标识，Value 即消息内容。为了便于追踪，重要消息最好都设置一个唯一的 Key。通过 Key 追踪某消息，打印发送日志和消费日志，了解该消息的发送和消费情况。 失败重试 在分布式环境下，由于网络等原因，偶尔的发送失败是常见的。导致这种失败的原因有可能是消息已经发送成功，但是 Ack 失败，也有可能是确实没发送成功。 消息队列 Kafka 是 VIP 网络架构，会主动掐掉空闲连接（30 秒没活动），也就是说，不是一直活跃的客户端会经常收到 “connection rest by peer” 这样的错误，因此建议都考虑重试消息发送。 异步发送 发送接口是异步的；如果你想得到发送的结果，可以调用metadataFuture.get(timeout, TimeUnit.MILLISECONDS)。 线程安全 Producer 是线程安全的，且可以往任何 Topic 发送消息。通常情况下，一个应用对应一个 Producer 就足够了。 Acks Acks的说明如下： acks0，表示无需服务端的 Response，性能较高，丢数据风险较大； acks1，服务端主节点写成功即返回 Response，性能中等，丢数据风险中等，主节点宕机可能导致数据丢失； acksall，服务端主节点写成功，且备节点同步成功，才返回 Response，性能较差，数据较为安全，主节点和备节点都宕机才会导致数据丢失。 一般建议选择 acks1，重要的服务可以设置 acksall。

Windows操作系统使用须知 不要结束系统进程，结束系统进程可能会导致服务器发生蓝屏、重启。 建议您预留2G以上的内存，否则在使用过程中可能会出现蓝屏、卡顿、服务无法正常运行等情况。 不建议修改注册表，修改注册表可能会导致系统启动失败。如果一定要修改，请在修改前备份注册表。 不建议修改服务器时钟，修改服务器时钟可能会使DHCP租约失效进而导致IP丢失。 不建议删除重置密码进程CloudResetPwdAgent和CloudResetPwdUpdateAgent，否则会导致一键重置密码功能不可用。 不建议关闭虚拟内存，关闭虚拟内存可能会使系统性能降低或运行异常。 不要删除VMTool程序，会导致云主机运行异常。 Linux操作系统使用须知 不要修改/etc/issue文件内容，否则可能导致系统发行版本无法被识别。 不要删除系统目录或文件，否则可能导致系统无法正常运行或启动。 不要修改系统目录的权限或名称，否则可能导致系统无法正常运行或启动。 请勿随意升级Linux操作系统的内核。如需升级请参考Linux弹性云主机怎样升级内核 不建议删除重置密码进程CloudResetPwdAgent和CloudResetPwdUpdateAgent，否则会导致一键重置密码功能不可用。 不建议修改系统默认DNS SERVER（/etc/resolv.conf），否则可能会导致软件源、NTP等无法使用。 不建议修改主机默认的内网网络配置信息（IP、子网掩码及网关地址），否则可能会导致网络异常。

清理违规内容 您可根据管控通知、或联系客服了解管控原因、获取存在违规信息的具体链接，然后参考《++安全违规信息类型说明++》进一步排查定位违规内容，并自行完成清理。 若您的对象存储OSS文件由于违规信息被冻结或限制访问，可直接删除违规文件。 清理挖矿程序 1. 挖矿程序一般很难清理，强烈建议您在++备份重要数据++后，重新初始化云盘 ，可确保完全清理挖矿程序。 2. 您也可以按以下步骤对您的服务进行排查： 排查是否有异常的CPU占用（注：挖矿木马可能不会占满您的CPU，但CPU占用会长时间持续稳定在一定水平，如20%、50%）； 排查是否有异常的网络连接，如连接非常见端口、连接未知IP/海外IP等； 排查系统定时任务中是否存在未知/恶意命令。 3. 您可以免费试用服务器安全（原生版）、云防火墙（原生版），以辅助您排查挖矿活动。 服务器安全卫士（原生版）清理挖矿程序：登录服务器安全卫士（原生版）控制台→绑定防护配额→ 全盘病毒扫描→ 告警处理； 云防火墙（原生版）防止挖矿程序再植入：登录云防火墙（原生版）控制台→ 登入云防火墙（原生版）实例配置页面 → 网络 → 安全域 → 编辑安全域 → 威胁防护配置 → 打开病毒过滤，攻击防护开关。 说明 申请产品免费试用请联系客户经理，试用扫描结果仅作紧急排查辅助，不能作为唯一参考。

通过云堡垒机纳管跨域的业务服务器 1. 登录“网络控制台”>“访问控制”>“安全组”，进入“安全组”页面，对云堡垒机所在安全组规则进行入方向、出方向配置。 2. 通过云堡垒机纳管代理服务器。登录云堡垒机系统，添加代理服务器，操作步骤请见纳管主机资源，在“主机管理”页面选择“代理服务器”，单击“新建”。 3. 对待纳管的业务服务器所在的安全组入方向规则进行配置，在步骤5中“入方向规则”页面，单击“快速添加规则”。出方向规则根据您的需要请自行添加配置。 4. 通过云堡垒机纳管业务服务器，具体操作步骤请见添加主机资源。 通过上述步骤的操作后，您可以根据云堡垒机自带的主机运维功能跨网络域运维被纳管的主机资源。类似地，可将以上做法推广到混合/异构云、线下IDC等不同网络环境，以实现跨云跨VPC线上线下统一运维。 CentOS8配置代理示例 步骤 1 执行如下命令，安装3proxy软件包 yum install y epelrelease yum install y 3proxy 步骤 2 执行如下命令，进行极简配置 nscache 65536 timeouts 1 5 30 60 180 1800 15 60 设置用户名：test、密码：test users test:CL:test daemon log /var/log/3proxy/3proxy.log logformat " +L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T" archiver gz /bin/gzip %F rotate 30 external 0.0.0.0 internal 0.0.0.0 auth strong allow test maxconn 20 socks flush 步骤 3 启动服务 systemctl start 3proxy