事件 描述 Login 登录 SetMailConfig 设置邮件通知 DeleteMailConfig 删除邮件通知 SendTestMail 发送测试邮件 SetRemoteAccess 设置远程协助 DeleteRemoteAccess 删除远程协助 ImportLicense 导入软件许可证 SetPassword 设置密码 StartLogCollect 发起日志收集请求 DeleteLogCollect 删除日志收集请求 SetAlarmMute Status 修改告警静默状态 ManuallyResolveAlarm 手动解除告警 Setup 初始化 AddMonitorConfig 新增监控配置 SetMonitorConfig 修改监控配置 DeleteMonitorConfig 删除监控配置 AddCtyunCMSConfig 新增智维平台告警推送配置 SetCtyunCMSConfig 修改智维平台告警推送配置 DeleteCtyunCMSConfig 删除智维平台告警推送配置

运行状态 可执行操作 创建中 正在创建实例，不支持对实例执行任何操作。 运行中 实例正常可用，可以执行所有操作。 重启中 实例重启中支持查看实例管理和监控页面，以及退订实例，不支持执行其他操作。 退订中 正在退订实例，不支持对实例执行任何操作。 升配中 正在对实例进行升配，不支持对实例执行任何操作。 已暂停 支持续订和查看实例监控。 异常 支持查看实例监控。

本节介绍了操作审计的用户指南。 概述 容器镜像服务接入了云审计服务，支持将用户在容器镜像服务控制台的所有操作上报至云审计，以供用户在云审计控制台查看审计日志。 前置条件 已开通容器镜像服务企业版实例 已开通云审计服务 查看审计日志 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例。 3. 点击左侧导航栏点击 "实例管理" "云审计"，即可跳转到云审计控制台。 4. 在云审计控制台可查看容器镜像服务的审计日志。 5. 云审计控制台默认保存最近7天的日志，若需要将日志长期存储，可参照云审计服务的帮助文档创建事件跟踪任务。 注意 老版本的容器镜像服务控制台内置了操作审计页面，用户仍可通过将链接 /audit?instanceId${instanceId} 中的${instanceId}替换为已开通的企业版实例ID进行访问，该链接将在后续版本中下线，用户应尽快迁移至云审计服务来查看审计日志。 当前已纳入云审计的关键操作列表 事件中文名称 事件英文名称 重置密码 resetPassword 更新实例对象存储配置 updateStorageConfig 创建容器镜像命名空间 createNamespace 更新容器镜像命名空间 updateNamespace 删除容器镜像命名空间 deleteNamespace 创建Helm Chart命名空间 createChartNamespace 更新Helm Chart命名空间 updateChartNamespace 删除Helm Chart命名空间 deleteChartNamespace 创建镜像仓库 createRepository 更新镜像仓库 updateRepository 删除镜像仓库 deleteRepository 创建Chart镜像仓库 createChartRepository 更新Chart镜像仓库 updateChartRepository 删除Chart镜像仓库 deleteChartRepository 登录实例 loginInstance 推送制品 pushArtifact 拉取制品 pullArtifact 删除制品 deleteArtifact 添加公网白名单 createInstanceEndpointAclPolicy 删除公网白名单 deleteInstanceEndpointAclPolicy 创建版本不可变规则 createImmutableTagRule 更新版本不可变规则 updateImmutableTagRule 删除版本不可变规则 deleteImmutableTagRule 创建版本保留策略 createRetentionPolicy 更新版本保留策略 updateRetentionPolicy 删除版本保留策略 deleteRetentionPolicy 创建镜像同步规则 createRepoSyncRule 更新镜像同步规则 updateRepoSyncRule 删除镜像同步规则 deleteRepoSyncRule 创建镜像迁移规则 createRepoMigrateRule 更新镜像迁移规则 updateRepoMigrateRule 删除镜像迁移规则 deleteRepoMigrateRule 创建定时清理策略 createGcScheduler 更新定时清理策略 updateGcScheduler 删除定时清理策略 deleteGcScheduler 立即执行清理 executeGc 创建镜像共享 createSharedRepository 更新镜像共享 updateSharedRepository 删除镜像共享 deleteSharedRepository 新增收藏镜像仓库 addStaredRepository 取消收藏镜像仓库 deleteStaredRepository 创建签名规则 createSigning 更新签名规则 updateSigning 删除签名规则 deleteSigning 创建事件通知规则 createEventRule 更新事件通知规则 updateEventRule 删除事件通知规则 deleteEventRule 创建触发器 createTrigger 更新触发器 updateTrigger 删除触发器 deleteTrigger 创建风险阻断策略 createVulnerabilityBlocker 更新风险阻断策略 updateVulnerabilityBlocker 删除风险阻断策略 deleteVulnerabilityBlocker 创建自定义域名 createCustomDomain 删除自定义域名 deleteCustomDomain 更新自定义域名 updateCustomDomain 创建安全扫描 createScan

数据库审计的审计数据可以保存多久？ 数据库审计支持将在线和归档的审计数据至少保存180天的功能。根据实际的磁盘大小，会优先删除存储日期较早的审计数据。 若您需要更多的磁盘空间，可选择买更高级的数据库审计实例规格或者购买磁盘存储容量。 数据库审计发生异常，多长时间用户可以收到告警通知？ 在数据库审计正常运行的情况下，从系统发生异常到收到告警通知最大时延不超过5分钟。 在业务侧使用中间件会影响数据库审计功能吗？ 不会影响使用数据库安全审计。 中间件是介于应用系统和操作系统之间的一类软件，通常在操作系统、网络和数据库之上，应用软件的下层，是为处于上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。 数据库安全审计采用旁路模式部署，通过Agent（数据库节点或应用节点安装Agent）获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，从而实现数据库安全审计功能。 因此，您在业务侧使用中间件不影响数据库安全审计功能，不会导致Agent监听SQL失败或者审计没有数据。 数据库审计能否对第三方工具执行的SQL语句进行捕捉？ 可以。数据库审计审计的数据是Agent接入的全量日志和流量数据，与工具无关。 数据库审计是否支持云下部署？ 不支持。数据库审计需要部署在您所使用的云上的服务器中，您需要将相关的业务迁移至目标云上。

本章节介绍天翼云边缘重保服务的常见通用类问题。 如何获得天翼云边缘重保服务？ 请联系专属客户经理提交服务开通申请，或者拨打天翼云客服电话4008109889进行订购，天翼云将根据您在天翼云上的产品及业务类型进行审核确认。 天翼云边缘重保服务具体针对哪些产品提供服务？ 天翼云边缘重保服务目前覆盖的产品范围为：CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云，不同服务版本可支持产品差异详见服务版本差异一览表。 天翼云边缘重保服务目前提供哪些服务版本？不同服务版本之间有何差异？ 天翼云边缘重保服务提供体验版、基础护航服务、尊享护航服务、安全护航服务、尊享安全护航服务五个服务版本，不同版本差异详见服务版本差异一览表。 若某场需要重保的活动中，同时使用了边缘安全加速平台和视频直播产品，是否需要重复订购不同版本的边缘重保服务？ 无需重复订购， 每一个服务版本均可支持其所覆盖范围中的一款或多款产品，请根据实际保障方式和需要保障的产品列表按需选择对应版本进行订购即可。

计费项说明 本服务按订购时配置的存储容量大小计费。 按量付费为按预购容量的使用时长付费，起步500GB。开通后即开始按时长计费，并非按照实际使用容量计费。 在使用弹性文件服务过程中，除文件存储本身的存储容量费用之外，还可能涉及以下费用： 弹性IP费用 当您使用文件系统上传或下载数据、将非天翼云数据迁移至弹性文件服务时，需要将文件系统挂载至一台连接公网的云主机上实现数据上传和下载，将占用弹性IP提供的公网带宽。具体费用信息，请参考弹性IP计费概述。 云专线费用 当您使用云专线服务接入本地数据中心时，将会收取云专线使用费用。具体费用信息，请参考计费项及计费方式云专线。 密钥管理费用 弹性文件服务部分地域支持加密服务，可创建加密文件系统，依赖于天翼云密钥管理服务。该服务提供一定免费额度的密钥对，超出额度后按量付费使用。具体费用信息，请参考密钥管理计费概述。 计费周期 计费模式 计费周期 扣费及出账时间 :: 按量付费 小时 账单出账时间通常在当前计费周期结束后下一小时，具体以系统实际出账时间为准 包年 月 账单出账时间通常在当前计费周期结束的下个自然月1日，具体以系统实际出账时间为准

本小节介绍安全专区云堡垒机映射端口策略配置。 如需要从互联网访问云堡垒机，需在云防火墙设置服务器映射策略，操作请参考服务器映射。 策略配置如下： 1.使用“系统管理员”的账户登录安全专区，访问云防火墙组件管理。 2.进入【策略】→【地址转换】→【新增】→【服务器映射】，为云堡垒机添加端口服务映射，需要添加两个云堡垒机的映射策略，包括“堡垒机管理端口服务映射”和“堡垒机运维单点登录映射端口”： 3.添加“堡垒机管理端口服务映射”。 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：指定IP； 指定IP：云堡垒机IP地址； 端口转换为：443端口。 4. 添加“堡垒机运维单点登录映射端口”： 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：9443，12024，12025端口。 转换后数据包 网络对象：指定IP地址； 指定IP：云堡垒机IP地址。

本节主要介绍对象存储迁移实施 对象存储迁移服务（Object Storage Migration Service，OMS）是RDA提供的一种数据迁移服务，帮助客户将其他云服务商对象存储服务中的数据在线迁移至天翼云的对象存储服务（ObjectStorageService，OBS）中。 说明 目前支持亚马逊云（中国）、阿里云、微软云、百度云、华为云、金山云、青云、七牛云、腾讯云平台的对象存储数据迁移到天翼云。 对象存储迁移服务可创建的迁移方式包括： 迁移任务：适用于单个桶数据量不超过3 TB或对象个数不超过500万的对象存储迁移场景。 迁移任务组：适用于单个桶数据量大于3 TB或对象个数大于500万的对象迁移场景。 对象存储迁移使用指导详情请参考云迁移工具RDA用户指南对象存储迁移 迁移前准备工作： 1、购买一台windows弹性云主机用于安装云迁移工具RDA软件。 硬件 / 软件 推荐配置 CPU 1.8GHZ及以上 Memory 4G及以上 Hard Disk 部署安装 RDA的服务器分区需要 3GB以上可用空间。RDA运行过程中，部署安装的分区需要保留 100M以上可用空间。 OS Windows Server 2012Windows Server 2012 R2 Windows Server 2016Windows Server 2019建议选用2016 浏览器 Chrome 31 及以上版本Firefox 27及以上版本 2、 购买一台或者多台linux弹性云主机用于对象存储迁移agent安装。 安装Agent的云主机必须为Linux系统，且必须与安装RDA的服务器处于同一个VPC、同一个安全组。且需要在目的端资源池。 说明 安装RDA的windows主机和agent主机都需要绑定弹性IP。 3、AK/SK：天翼云官网控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。 4、目标端资源池对照源端创建好相应的桶。 5、对象存储迁移流程如下：

本文汇总了使用云主机备份产品时常见的购买类问题 云主机备份如何购买和续费？ 购买： 云主机备份仅针对存储库这一项进行计费，支持按需计费和包年包月两种计费模式。按照用户购买存储库容量进行收费。 续费： 超过订购时间后，存储库及备份将会处于过期状态，无法继续使用，用户可通过续费操作，完成支付即可继续使用服务。 关于云主机备份更多计费信息请参见云主机备份计费说明。 云主机备份是如何计费的？ 云主机备份提供包年包月和按需计费两种计费模式。 目前部分资源池支持按需计费，支持按需计费的资源池信息请参考云主机备份计费模式，如有差异以控制台最终价格为准。 云主机备份产生的备份副本将会放入存储库中，备份副本的容量不能超过存储库容量。 在选择存储库时，请考虑您的备份需求和数据大小，以确保能够充分利用存储空间，并避免超出存储库容量的限制。 云主机备份是否可以进行退订？ 对于包年包月计费的服务，用户可在开通的七天之内申请服务的退订，并获得全额退款。超过七天后退订服务需要扣除一部分费用作为违约金或处理费用。建议您在申请云主机备份服务之前，充分考虑自己的需求，以免造成不必要的费用损失。具体信息请参考退订规则说明。

参数 说明 区域 终端节点所在区域，与终端节点服务所在区域保持一致。 服务类别 可选择“云服务”或“按名称查找服务”。 云服务：当您要连接的终端节点服务为云服务时，需要选择“云服务”。 按名称查找服务：当您要连接的终端节点服务为用户私有服务时，需要选择“按名称查找服务”。此处选择“按名称查找服务”。 服务名称 若“服务类别”选择“按名称查找服务”，则会出现该参数。输入终端节点服务名称，单击“验证”： 若显示“已找到服务”，继续后续操作。 若显示“未找到服务”，请检查“区域”是否和终端节点服务所在区域一致或输入的“服务名称”是否正确。 虚拟私有云 选择终端节点所属的虚拟私有云。 子网 选择终端节点所属的子网。

多活架构对业务有要求吗？ 多活架构对业务是有一定要求的，主要包括业务规模和容灾级别、成本投入、技术实现、数据一致性、业务连续性和具体部署方案等方面。企业需要根据自身实际情况和业务需求，综合考虑这些因素，评估是否采用多活架构。 同时，多活架构对业务架构也存在配置要求，例如，在多活场景下业务架构需要有ELB负载均衡等资源的配置要求，MDR平台也会对业务应用配置有相关配置指导。 多云多活的客户群体有哪些？具有什么样的客户特征？ 多云多活的客户群体和客户特性： 1. 金融服务行业：例如银行、证券、支付服务提供商等，此客户群体需要处理大量的金融交易、对数据一致性和高可用性要求极高，以确保交易的安全和及时性。 2. 电子商务：例如线上零售商、电子支付平台等，此客户群体需要面对高并发的用户访问和交易请求，需要保证平台的高可用性和弹性扩展能力。 3. 媒体和娱乐：例如在线游戏平台、流媒体平台等，此客户群体需要支持大规模的内容分发和实时流媒体服务，以及全国甚至全球用户的高并发访问。 4. 社交媒体和通信：例如社交网络平台、即时通讯应用程序，此客户群体需要提供实时的社交互动和消息传递服务，要求系统具备低延迟和高可用性。 5. 医疗保健：例如医院信息系统、远程医疗服务平台，此客户群体需要处理大量的医疗数据和敏感信息，同时要求系统在灾难发生时能够快速恢复。 6. 制造和工业：例如大型制造企业、物流和供应链管理，此客户群体利用工业物联网（IIoT）技术进行设备监控和数据分析，要求系统高可用性和跨地域部署能力。 7. 政府和公共部门：政府信息系统、电子政务平台，为客户群体提供关键的公共服务，需要系统具备高可用性和强大的灾难恢复能力。 8. 教育：例如在线教育平台、大学和学术机构，此客户群体提供大规模在线学习和教育服务，需要支持全球用户的高并发访问和数据安全。 9. 科技和软件开发：例如软件开发公司、SaaS提供商、技术初创企业，需要高可用的开发和测试环境，以及能够支持持续集成和交付的云服务架构。

NAT网关产品广泛应用云上VPC公网统一出口和面向Internet提供公网服务场景，本文带您更快了解NAT网关经典应用场景。 公网NAT网关 应用场景一：云上网络入口，面向Internet提供服务 场景说明 当VPC内的云主机需要面向公网提供服务时，可以使用NAT网关的DNAT功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络安全。 推荐配置 DNAT功能绑定弹性IP，可通过端口映射方式，NAT网关会将会把访问该弹性IP的请求转换成指定的IP和端口转发到目标云主机实例上。 一个云主机配置一条DNAT规则，如果有多个云主机需要为公网提供服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。实现多个云主机共享弹性IP和带宽，精确的控制带宽资源，节省公网带宽资源。 组网架构 使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机、物理机的任何一个。例如： 弹性IP1的80端口，映射到云主机ECS 1的10080端口。 弹性IP1的8080端口，映射到云主机ECS 2的20080端口。 弹性IP2的443端口，映射到云主机ECS 3的30443端口。

介绍云电竞服务使用过程中的常见操作。 相关功能说明 1. 首次登录云电竞，需使用您的天翼云账号及激活码进行注册认证，首次登录完毕后，无需再次注册。 2. 首次启动云电竞客户端后，可通过点击登录窗口右上角齿轮图标对您即将连接的实例进行性能设置，性能设置需基于您本地的硬件及网络条件自行定义。 3. 使用云电竞服务过程中，可通过组合操作指令与您的本地设备实时交互： 最小化：Ctrl + Alt + Shift + D 实时性能数据：Ctrl + Alt + Shift + S 退出云电竞服务：Ctrl + Alt + Shift + Q 。

问题描述 Service的标签（metadata.labels）中，需要配置app标签，并和关联的Deployment中（spec.template.metadata.labels）Pod的app标签一致。如果未配置或者值不一致，会报此异常。 说明 app标签在流量监控中用于流量的跟踪。 修复指导 步骤 1 登录CCE控制台。 步骤 2 在左侧导航栏选择“工作负载 > 无状态负载 Deployment”，单击对应负载后的“更多 > 编辑YAML”，查看Deployment中Pod的app标签（spec.template.metadata.labels）。 步骤 3 在左侧导航栏选择“资源管理 > 网络管理”，单击对应服务后的“编辑YAML”，查看Service的app标签（metadata.labels）。 步骤 4 修改Service的app标签与Pod的app标签值一致。 服务是否配置了默认版本的服务路由，路由配置是否正确 问题描述 Istio在VirtualService和DestinationRule中定义了服务的流量路由规则，所以需要为每个服务配置VirtualService和DestinationRule，需要满足以下的规则： VirtualService中必须配置了Service的所有端口。 VirtualService中的协议类型必须和Service中端口协议类型一致。 VirtualService和DestinationRule中必须配置了默认的服务版本。 说明 如果检查结果发生改变，可能Service的端口号或端口名称被修改。 修复指导 步骤 1 登录ASM控制台，选择服务所在网格，单击左侧导航中的“网格配置”，选择“istio资源管理”页签，在搜索框中选择“istio资源：virtualservices”及服务所属命名空间。 步骤 2 确保VirtualService中必须配置了Service的所有端口。 步骤 3 确保VirtualService中的协议类型必须和Service中端口协议类型一致。

本文为您提供使用对象存储迁移服务,将第三方云厂商数据迁移至对象存储ZOS的最佳实践,请您阅读。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将第三方云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）。本实践以“先进行源端数据评估，再进行数据迁移”为例，为您介绍如何迁移第三方云厂商数据至对象存储ZOS。 注意 若您已经了解待迁移源端数据的情况，无需进行迁移前的评估，您可以直接阅读迁移任务的创建部分，跳过该实践的评估部分内容。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的AK/SK/等密钥信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。

云防火墙支持跨账号使用吗？ 云防火墙不支持跨账号使用。用户仅能使用并管理当前账号下的云防火墙资源。 云防火墙与Web应用防火墙有什么区别？ 云防火墙（CFW）和Web应用防火墙（WAF）是两款不同的产品，为您的互联网边界和VPC边界、Web服务提供防护。 CFW和WAF的主要区别说明如下： 类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

本章节内容主要介绍备份与恢复内容 如何将文档数据库备份到弹性云服务器上 您可以通过mongoexport的方式将数据库备份到弹性云服务器上，但不建议将弹性云服务器作为数据库备份空间使用。强烈推荐使用文档数据库实例的备份功能，将备份数据存放到专业的对象存储服务上，以获得更高的数据可靠性和服务保障。 文档数据库服务能够保存多长时间的备份 文档数据库服务自动备份可保留天数默认7天，用户后期可进行修改，可设置范围为1～732天。手动备份没有时间限制，且用户可根据需要删除该备份文件。

可能原因 原因1：文件系统已被删除。 原因2：执行挂载命令的云主机和被挂载的文件系统不在同一VPC下。 原因3：挂载命令中的共享路径输入错误。 原因4：使用虚拟IP访问弹性文件服务。 定位思路 根据可能原因进行故障排查。 解决方法 原因1：文件系统已被删除。 登录管理控制台，查看文件系统是否已被删除。如已被删除，重新创建文件系统或者选择已有文件系统进行挂载（文件系统与云主机必须归属在同一VPC下）。 原因2：执行挂载命令的云主机和被挂载的文件系统不在同一VPC下。 登录控制台，查看云主机归属的VPC和文件系统归属的VPC是否相同。 原因3：挂载命令中的共享路径输入错误。 登录管理控制台，查看共享路径是否与挂载命令中输入的一致。如果输入错误，则重试挂载命令，输入正确的共享路径。 原因4：使用虚拟IP访问弹性文件服务。 登录云主机，使用云主机IP执行ping命令访问弹性文件服务，检测是否可以连通。如果可以连通，说明网络问题已解决，排查其他可能原因。如果无法连通，说明由于网络问题，使用云主机虚拟IP无法访问弹性文件服务，需使用私有IP执行ping命令访问弹性文件服务再检测是否可以连通。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本文介绍企业中心的主要功能模块 企业中心是天翼云为企业多账号上云搭建的统一管理平台，包括企业组织管理、财务管理、云SSO、资源共享、可信服务等功能。 功能模块 简要介绍 详细链接 组织管理 为客户多账号提供分层分域管理的能力，最多可支持三层架构。通过“企业组织”可以直接对组织内的成员进行授权管理，以及对组织内的资源进行统一管理。 组织管理 财务管理 提供主账号对子账号财务，包括但不限于支付、订单、账单、发票、预算的管理 财务管理 云SSO 实现多账号的统一登录访问，并可按需设置不同账号的登陆访问权限 云SSO 可信服务 为各种云服务开放企业组织架构，云服务可基于可信服务提供的组织成员架构，实现云服务在组织内的跨账号服务 可信服务 资源共享 实现云资源的单账号创建，多账号共同使用 资源共享

本文为您介绍在天翼云上配置NTP服务器的操作流程。 该NTP服务器仅限于在天翼云控制台上购买的弹性云主机安装使用。该功能使用的前提是该节点具备内网DNS功能。 如需在购买的弹性云主机上安装NTP服务器，您可以选择使用天翼云控制台自己提供的NTP服务器，也可以选择其他NTP服务器。安装NTP服务器的操作相同，本节以天翼云控制台提供的NTP服务器为例，介绍在弹性云主机上安装NTP服务器的操作。 背景信息 使用天翼云提供的NTP服务器时，需和天翼云DNS服务器配套使用。天翼云NTP服务器配置请参考：内网yum源及NTP配置。 天翼云参考以下时钟服务器域名： cn.pool.ntp.org asia.pool.ntp.org pool.ntp.org hk.pool.ntp.org Linux操作系统 1. 检查弹性云主机的DNS服务器域名是否正确。 登录Linux弹性云主机。 执行以下命令，打开resolv.conf文件。 plaintext vi /etc/resolv.conf 查看文件中nameserver的值是否和提供的DNS服务器域名相同。 是，执行3。 否，执行2。 2. （可选）给弹性云主机配置DNS服务器。 登录Linux弹性云主机。 执行以下命令，编辑resolv.conf文件。 plaintext vi /etc/resolv.conf 添加如下语句，配置DNS服务器。 nameserver DNS服务器的IP地址（具体见内网DNS控制台提示）。 3. 给弹性云主机配置NTP服务器。 登录Linux弹性云主机。 执行以下命令，编辑ntp.conf文件。 plaintext vi /etc/ntp.conf 添加以下语句，配置NTP服务器。 server NTP服务器域名 示例： plaintext server ntp.ctyun.cn 执行以下命令，系统重新启动时启动服务。 对于SUSE操作系统： plaintext service ntp restart 对于Euler、CentOS操作系统： plaintext systemctl restart ntpd 请根据弹性云主机实际使用的操作系统，以及实际ntp服务名，选择具体的命令进行重启。 执行以下命令，检查与上层NTP服务器是否时钟同步成功。 plaintext ntpq p 如果在您所配置的时钟服务器所在行的前面出现”“， 则表示系统已成功同步到您当前配置的时钟服务器。 首次进行NTP时钟同步需要一定时间，请等待几分钟再进行检查。 请根据弹性云主机实际使用的操作系统，以及实际ntp服务名，选择具体的命令设置NTP服务的开机自启动。 如果是SUSE操作系统： plaintext chkconfig ntp on 如果是Euler、CentOS操作系统： plaintext chkconfig ntpd on

本章节主要介绍ALM44004 Presto Coordinator资源组排队任务超过阈值的告警。 告警解释 系统通过jmx接口查询资源组的排队任务数即QueuedQueries指标，当检测到资源组排队数大于阈值时产生该告警。用户可通过"组件管理 > Presto > 服务配置（将“基础配置”切换为“全部配置”） >Presto > resourcegroups " 配置资源组。用户可通过"组件管理 > Presto > 服务配置（将“基础配置”切换为“全部配置”） > Coordinator > 自定义 > resourceGroupAlarm " 配置每个资源组的阈值。 告警属性 告警ID 告警级别 可自动清除 44004 严重 是 告警参数 参数名称 参数含义 ServiceName 产生告警的服务名称。 RoleName 产生告警的角色名称。 HostName 产生告警的主机名。 对系统的影响 资源组排队超过阈值可能导致大量任务处于排队状态，Presto任务时间超过预期，当资源组排队数超过该组最大排队数（maxQueued）时，会导致新的任务无法执行。 可能原因 资源组配置不合理或该资源组下提交的任务过多。 处理步骤 用户可通过“组件管理Presto > 服务配置（将“基础配置”切换为“全部配置”） >Presto > resourcegroups”调整资源组的配置。 1. 用户可通过“组件管理 > Presto > 服务配置（将“基础配置”切换为“全部配置”） > Coordinator > 自定义 > resourceGroupAlarm”修改每个资源组的阈值。 2. 收集故障信息。 根据故障信息中的HostName登录到集群节点，在presto客户端根据附加信息中的Reource Group查询排队数。 根据故障信息中的HostName登录到集群节点，查看/var/log/Bigdata/nodeagent/monitorlog/monitor.log日志，搜索Resource group info可看到资源组监控采集信息。 请联系运维人员，并发送已收集的故障日志信息。

本文主要介绍DRDS与其他服务的关系。 虚拟私有云（VPC） VPC是基于天翼云创建的自定义私有网络，为DRDS提供一个逻辑上完全隔离的专有网络。使用VPC中的安全组、IP地址段、带宽等网络特性，可增强访问 DRDS服务的安全性。 弹性云主机（ECS） 成功购买DRDS实例后，您需要通过弹性云主机连接使用DRDS实例。 关系型数据库服务（MySQL） 购买DRDS实例后，可以关联同一虚拟私有云中的MySQL实例，实现分布式数据库计算与存储。 弹性IP（EIP） 为您的实例提供公网访问方式。

本章节介绍应用容灾多活的产品优势。 产品优势 应用容灾多活提供横向链路上从应用数据同步到故障演练容灾的一站式管理，纵向链路上从流量接入到数据分层的故障切换能力，助力企业云上业务实现多活高可用建设，提升业务连续性。 与业务自建容灾相比，产品具备如下多种优势。 丰富的容灾架构 容灾多活产品当前支持多种容灾架构，包括异地应用多活和异地数据多活（单元化），满足业务应用从数据级到业务级的容灾诉求，跨越单可用区、多可用区、单地域、多地域等不同距离的物理场景，客户可以根据自身业务的发展状况、业务规模、物理架构、容灾诉求和投入成本等，灵活选择合适的容灾架构。 标准的解决方案 使用容灾多活产品提供的标准化解决方案和管控能力，可以帮助客户降低容灾建设的实现复杂度，克服实现难点，具备更高的落地可行性和更低的落地成本，减少客户自行构建引入的设计缺陷，避免不必要的业务损失。 一站式接入管控 容灾多活产品深度集成云上业务使用的核心产品，通过对应用的分层抽象，统一管控接入层、服务层、数据层等关键组件，帮助业务屏蔽组件管理差异，自动编排有序的容灾流程，提供引导式交互，实现用户对应用接入、配置、编排、演练、切换、监控等一站式操作。

云日志服务可以采集哪类日志?支持采集哪些文件类型? 云日志服务可以采集的日志类型 天翼云主机应用日志：可通过采集器进行采集。 天翼云云容器引擎日志，标准输出与文件日志。 通过API、SDK上报日志。 云日志服务支持采集的文件类型（文件扩展名） 在采集配置中，如果日志采集路径配置的是目录（如：/var/logs/），则只采集目录下后缀为“.log”、“.trace”和“.out”的文件；如果配置的是文件名，则直接采集对应文件，只支持文本类型的文件。

服务流程 业务状态基础评估与资源测算 通过专业化评估团队对客户现有业务架构及资源配置进行全方位调研与深度分析，建立面向三大运营商全区域流量的精准量化评估方案，构建完善的资源预配体系，为服务实施奠定战略性资源基础。 专项保障团队组建与方案制定 迅速组建重保团队，整合资源，协调运维、研发等全线人员，基于重保背景与目标，制定精准、专业的全链路保障方案，为护航任务做足充分准备。 全时段业务保障实施规范 重保团队专家全程在线值守，定时开展业务健康巡检并及时报送业务数据。对各类应急问题与需求快速响应处置，实现全面业务监控与战略级资源调度，保障业务稳定运行。 业务爆发时刻 应用上架后，仅10分钟，用户请求数几近翻倍，QPS由不足7500，增长到14800+，对CDN的资源节点的并发请求处理能力提出了较高的要求。 仅5分钟，用户请求带宽增长超出3倍，由不足200Gbps，增长到700Gbps，对CDN的带宽资源弹性扩容带来了挑战。

本文主要介绍云日志服务的使用建议。 云主机应用日志场景 场景描述 若您的应用部署在天翼云主机上，您可使用云日志服务进行日志的统一采集。 使用建议 日志采集方式：采用采集器方式采集日志，您需要在云主机上安装采集器，通过在云日志服务控制台创建采集规则，将云主机ECS待采集日志的路径配置到日志单元中，采集器将按照采集规则进行日志采集。采集完成后，您可以在云日志服务控制台实时查询、分析日志。具体操作请参考接入云主机文本日志。 日志项目规划建议：您可以将同一个应用系统的下日志放在一个日志项目中，可以使用应用系统的名称作为日志项目的名称，方便进行管理。 日志单元规划建议： 如果您的日志原文无固定的规则格式，无法进行结构化解析，可以将同类组件的日志采集到同一个日志单元中，例如java组件、php组件、python组件等，更方便您进行多个组件日志的管理；如果您的组件数量比较少（例如小于20个），您可以将每个组件的日志采集到不同的日志单元中以分别进行管理。 如果您的日志有固定格式，可进行结构化解析（如Nginx日志），建议您将有相同格式的日志采集到同一个日志单元，方便您后续统一使用SQL统计分析功能，实现可视化图表分析。

销毁退还 1. 点击列表的更多，点击【销毁退还】按钮，执行删除操作。 查看裸金属 1.点击实例名称，进入详情页。 2.查看基本信息，包括基础信息、镜像信息和网络信息。 3.查看实例的监控信息，监控指标包括CPU、内存、磁盘、带宽的监控。

本文主要介绍弹性伸缩服务计费类问题。 弹性伸缩服务是否收取费用？ 弹性伸缩服务本身不收取费用。但会按伸缩组内的云主机实例收取云主机的费用。

本文带您了解故障恢复相关产品。 您可以通过天翼云云主机备份产品和云硬盘备份产品，对弹性云主机上的数据进行备份，当云主机或主机上的云硬盘出现故障，或者软件造成的数据丢失损坏以及人为错误导致的数据误删时，您可以借助备份功能自助快速恢复数据。 云主机备份 云主机备份（CTCSBS，Cloud Server Backup Service）提供对弹性云主机的备份保护服务，支持基于云硬盘快照技术的备份服务，并支持利用备份数据恢复弹性云主机数据。通过云主机备份服务，可以在发生数据丢失、系统故障、人为错误或恶意攻击等情况下，还原云主机数据，确保业务的连续性和数据的安全性。 更多内容请参见云主机备份。 云硬盘备份 云硬盘备份（CTVBS，Volume Backup Service）是针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的云硬盘进行备份，并在云硬盘故障、用户误删数据、遭到黑客攻击等情况下，使用备份快速恢复数据，最大限度保证用户数据的安全性。 更多内容请参见云硬盘备份。 云主机备份和云硬盘备份的差异 产品名称 备份对象 产品要点说明 场景说明 云主机备份 云主机 整机备份，通过存储快照技术，将云主机包含的多个云硬盘的数据备份到对象存储。 周期备份、手动备份。 支持恢复原云主机或创建新的云主机。 针对需要对整个云主机进行保护，或者希望通过备份创建云主机达到快速复制业务运行环境的场景，建议使用云主机备份。 云硬盘备份 云硬盘 通过存储快照技术，将云硬盘数据备份到对象存储。 周期备份、手动备份。 支持恢复原云硬盘，和使用备份数据创建新的云硬盘。 针对系统盘没有自定义数据的场景，可以选择使用云硬盘备份对系统盘和数据盘进行备份，保证数据安全的同时，降低备份成本。

本文主要介绍磁盘使用率问题排查 使用文档数据库服务时，如果实例的磁盘使用率过高或完全被使用，将会导致实例不可⽤。 本章节帮助您分析解决DDS实例磁盘使用率高的问题。 查看磁盘使用情况 DDS目前提供如下两种方法用于查看实例磁盘的使用情况。 1. 通过DDS控制台查看磁盘使用情况。 您可以登录DDS控制台，单击目标实例名称，进入“基本信息”页面，在“存储空间”区域可以查看到当前实例的磁盘使用情况。 图 查看磁盘使用情况 2. 通过查看监控指标（磁盘利用率和磁盘使用量）判断实例磁盘的使用情况。 如何查看监控指标请参见查看监控指标。 图 查看磁盘使用情况 解决方案 1. 对于集群实例，可能是因为选择和设置的分片不合理导致数据分布不均衡，从而引起磁盘空间使用率高的情况。 此时，可以对数据库集合进行合适的分片，具体操作请参见设置数据分片以充分利用分片性能。 2. 随着业务数据的增加，原来申请的数据库磁盘容量不足。此时建议扩容磁盘空间，确保磁盘空间足够。 集群实例，请参见扩容集群实例的磁盘空间。 副本集实例，请参见扩容副本集实例的磁盘空间。 如果原有实例规格的磁盘已是最大的，请先升级规格。 集群实例，请参见变更集群实例的CPU和内存规格。 副本集实例，请参见变更副本集实例的CPU和内存规格。 3. 存在大量过期的数据文件占用磁盘空间，此时需要及时处理过期数据文件。例如：如果整个库不需要了，则可以执行dropDatabase命令进行删除，从而快速释放磁盘空间。 4. 后台数据处理机制原因。 因为无论是写入、更新或删除等操作（包括索引插入和删除等操作），在后台实际上都会转成写入。因为底层的存储引擎（WiredTiger和RocksDB），采用都是appendOnly机制。只有当存储引擎内部数据状态满足一定条件后，会触发内部的compaction操作，进行数据压缩，进而释放磁盘空间。 所以有时候会发现，磁盘占用量比实际数据量大，实际上这只是“看起来大”，并不会影响用户的使用。因为内部有些数据压缩，是延时操作，没有立即执行。随着数据的继续写入，会触发后台执行数据压缩清理空间。