本章节向您介绍什么是安全组与安全组规则。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 您在创建实例时（比如云主机），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组，多个安全组按照优先级顺序依次匹配流量。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。 以下图为例，在区域A内，某客户有一个虚拟私有云VPCA和子网SubnetA，在子网SubnetA中创建一个云主机ECSA，并为ECSA关联一个安全组SgA来保护ECSA的网络安全。 安全组SgA的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECSA。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECSA。 当ECSA需要通过EIP访问公网时，由于安全组SgA的出方向规则允许所有流量从实例流出，因此ECSA可以访问公网。 说明 您可以免费使用安全组资源，当前不收取任何费用。

本章节介绍云容器集群Pod网络包损坏故障演练。 背景介绍 数据包在物理链路噪声、设备故障或攻击下可能被篡改并在校验和检查中被丢弃，引发频繁重传、延迟上升和吞吐下降。本演练模拟这种数据包损坏场景，用于评估应用在恶劣网络条件下的鲁棒性。 基本原理 通过增加TC和Netem规则模拟Pod内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

应用场景 如果您已购买并使用运维安全中心（云堡垒机）服务专业版，可通过运维安全中心服务为主机安装企业主机安全的Agent。此安装方式无需获取主机账户密码或执行复杂的安装命令，可便捷的为单台或多台主机安装Agent。 前提条件 运维安全中心（云堡垒机）服务专业版，并通过运维安全中心（云堡垒机）纳管主机资源。 待安装Agent的主机为SSH协议类型的Linux主机，且主机网络连接正常。 已获取运维安全中心（云堡垒机）的系统管理员账号。 操作步骤 1.使用系统管理员账号登录运维安全中心（云堡垒机）系统。 2.在左侧导航栏，选择“运维> 快速运维”，进入“快速运维”界面。 3.选择“脚本控制台”页签，进入脚本控制台。 4.配置脚本运维信息。相关参数说明请参见下表，配置脚本运维信息 参数 说明 执行脚本 选择脚本“HSSAgent.sh”。 脚本参数 不填写。 执行账户 单击“选择”，选择待安装Agent的主机账户或账户组。 更多选项 可选设置。脚本任务默认在主机的Sudoers文件下执行，当主机账户没有该文件的执行权限时，需勾选“提权执行”。 5.单击“立即执行”，执行脚本任务。 6.脚本任务执行成功后，在执行结果列单击“展开”，展开执行结果，执行结果显示“install finished.[OK]”表示Agent安装成功。 7.在企业主机安全控制台，确认Agent安装结果。 8.登录企业主机安全控制台。 9.在左侧导航栏，选择“资产管理> 主机管理”，进入“主机管理”界面。 10.在“云服务器”页签，查看目标主机的Agent状态。 Agent状态为“在线”，表示Agent安装成功。

本页介绍天翼云TeleDB数据库重做备机。 操作场景 在分布式数据库中，‌当主机（‌主节点）‌发生故障时，‌需要重做备机（‌备节点）‌以保证数据完整性和系统的可用性。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例列表。 2. 单击目标实例所在行的详情 ，进入实例详情页面。 3. 进入实例详情页，单击GTM节点信息 或协调节点 或数据节点 操作列下拉框的重做备机 ，弹出重做备机 对话框。 4. 当GTM节点信息重做备机时进入重做备机 对话框，在重做协调节点 下拉框选择协调节点，在重做备节点 下拉框选择重做备节点。 5. 当协调节点 或数据节点 重做备机时进入重做备机 对话框，在重做协调节点 下拉框选择协调节点，在重做备节点 下拉框选择重做备节点 6. 单击确定 完成重做备机。

本页介绍天翼云TeleDB数据库重启实例。 操作场景 当实例处于停止和运行状态时，TeleDB支持手动重启实例，重新启动组件所有进程。 约束与限制 停止实例过程中以及停止后不支持备份和重置密码等操作。 重启实例会导致数据库业务短暂中断，请谨慎执行。 重启实例过程中，实例将会不可用。重启后实例会自动释放内存中的缓存，请注意对业务进行预热，避免业务高峰期出现阻塞。 存在大量慢SQL、会话或线程池满的情况下会增加一定的重启耗时。 操作步骤 1. 切换至TeleDB控制台，在左侧导航单击实例列表 。 2. 单击目标实例所在行的详情 ，进入实例详情页面。 3. 在实例详情页面，在操作下拉框，单击重启实例 ，出现提示对话框。 4. 在提示 对话框中，单击确定重启实例。 5. 您可单击立即前往，跳转至任务管理器查看任务详情。

本节主要介绍使用DCS控制台进行数据迁移时迁移失败的问题排查和解决。 在使用控制台进行数据迁移时，如果出现迁移方案选择错误、在线迁移源Redis没有放通SYNC和PSYNC命令、源Redis和目标Redis网络不连通等问题，都会导致迁移失败。 排查步骤 步骤 1 查看迁移日志。 出现如下错误，表示迁移任务底层资源不足，需要联系技术支持处理。 create migration ecs failed, flavor 出现如下错误，表示在线迁移时，源Redis没有放通SYNC和PSYNC命令，需要联系技术支持放通命令。 source redis unsupported command: psync 步骤 2 检查迁移方案。Redis实例间迁移，高版本不支持迁移到低版本。 步骤 3 检查源Redis是否放通SYNC和PSYNC命令，迁移任务底层资源与源Redis、目标Redis网络是否连通。 如果是在线迁移，才涉及该操作。 在线迁移，必须满足源Redis和目标Redis的网络相通、源Redis已放通SYNC和PSYNC命令这两个前提，否则，会迁移失败。 网络 检查DCS的源Redis、目标Redis、迁移任务所需虚拟机是否在同一个VPC，如果不在同一个VPC，则需要建立VPC对等连接，打通网络。关于创建和使用VPC对等连接，请参考《虚拟私有云用户指南》的“对等连接”文档说明。 如果是同一个VPC，则检查安全组（Redis 3.0实例）或白名单（Redis 4.0/5.0/6.0实例）是否放通端口和IP，确保网络是连通的； 源Redis和目标Redis必须允许迁移任务底层虚拟机访问。 源Redis和目标Redis属于不同的云厂商时，需使用云专线服务打通网络。 命令 默认情况下，一般云厂商都是禁用了SYNC和PSYNC命令，如果要放通，需要联系云厂商运维人员放通命令。 DCS内部进行迁移： 自建Redis迁移至DCS，默认没有禁用SYNC和PSYNC命令； DCS服务之间进行迁移，如果是同一帐号相同Region进行在线迁移，在执行迁移时，会自动放通SYNC和PSYNC命令； 如果是不同Region或相同Region不同帐号进行在线迁移，不会自动放通SYNC和PSYNC命令，无法使用控制台上的在线迁移功能。推荐使用备份文件导入方式迁移。 其他云厂商迁移到DCS服务： 一般云厂商都是禁用了SYNC和PSYNC命令，如果使用在线迁移功能，需要联系源端的云厂商运维人员放通此命令。如果使用离线迁移，推荐使用备份文件导入的方式。 如果不需要增量迁移，可以参考使用Redisshake工具在线全量迁移其他云厂商Redis进行全量迁移，该方式不依赖于SYNC和PSYNC。 步骤 4 检查源Redis是否存在大Key。 如果源Redis存在大key，建议将大key打散成多个小key后再迁移。 步骤 5 检查目标Redis的规格是否大于迁移数据大小、是否有其他任务在执行。 如果目标Redis的实例规格小于迁移数据大小，迁移过程中，内存被占满，会导致迁移失败。 如果目标Redis存在正在执行的主备切换，建议联系技术支持关闭主备切换后，重新执行数据迁移。待迁移完成后，重新开启主备切换。 步骤 6 检查迁移操作是否正确。 检查填写的IP地址、实例密码是否正确。 步骤 7 排查白名单。 步骤 8 如果无法解决，请联系技术支持。

本文为您介绍云主机热变配的规则、限制及注意事项等。 热变配，即开机变配，是指云主机在运行中状态下进行变更规格的操作。热变配规则如下： 仅支持热升配，不支持热降配。 仅支持vCPU在32C及以上的规格进行热升配。 仅支持7代机/6代机/3代机进行同代热升配，即变更为同代系更大规格。例如，支持s3.8xlarge.2热变配为s3.8xlarge.4，不支持s3.8xlarge.2热变配为s6.8xlarge.4。 仅支持S类型之间、C/M类型之间进行同类型热升配，不支持跨类型热升配。例如，支持c3.8xlarge.2热变配为c3.8xlarge.4，支持c3.8xlarge.2热变配为m3.8xlarge.8，不支持s6.8xlarge.2热变配为c6.8xlarge.4。 支持热变配的镜像列表： 系统 版本 CentOS CentOS 7.2 64位 CentOS CentOS 7.3 64位 CentOS CentOS 7.4 64位 CentOS CentOS 7.5 64位 CentOS CentOS 7.6 64位 CentOS CentOS 7.7 64位 CentOS CentOS 7.8 64位 CentOS CentOS 8.0 64位 CentOS CentOS 8.1 64位 CentOS CentOS 8.2 64位 CTyunOS CTyunOS 2.0.121.06.4 64位 CTyunOS CTyunOS 2.0.121.06.4 64位 ARM版 CTyunOS CTyunOS 323.01 64位 存量云主机，即在热变配功能上线前已开通的云主机，不支持热变配。 已加入云主机组的云主机不支持热变配。 注意 热变配过程约在15~60秒，并且可能对业务有一定影响，例如可能造成读业务性能下降约10%，持续时间不超过5秒。规格跨度越大变配耗时越久、业务影响越大，请您根据自身业务情况谨慎操作。 请勿连续进行热变配操作，建议两次热变配操作至少间隔五分钟。 部分资源池由于版本问题可能不支持热变配，如遇相关问题可联系天翼云客服。

本文主要介绍如何通过CDN控制台添加加速域名。 前提条件 1. 客户已经搭建完成或已有稳定运营的源站服务器，以及用作加速的域名。 说明 在天翼云CDN控制台添加加速域名时，域名需要满足的条件，详情请见：使用限制的加速域名准入条件和加速域名使用限制。 2. 已经开通CDN加速服务。如未开通，请参考产品开通的文档指引进行开通。 操作步骤说明 1. 登录CDN控制台，选择【域名管理】【域名列表】，您可以在该页面查看已添加的域名信息，包括加速域名、CNAME、加速类型、加速区域、状态、创建时间、标签以及可支持的相关操作等信息。单击【添加域名】。 2. 【加速类型】选择【CDN加速】，并完成基础信息、源站设置、Https配置及证书上传、缓存配置、访问控制等内容配置后，单击【添加域名】。 相关功能说明如下： 类别 功能 说明 对应说明文档 基础信息 加速域名 1.加速域名为需要使用加速服务的域名，具体要求为： 域名类型：支持具体域名（例如，abc.ctyun.cn）或泛域名（例如，.ctyun.cn域名）。 域名长度：长度不超过128字节。 支持的字符：小写英文字母（az）、数字（09）、短划线（），如为泛域名，支持以 开头，例如 .ctyun.cn域名。 天翼云CDN在开通CDN服务后接入域名时，会进行二级域名的信用度检查。例如：您的二级域名在天翼云账号中曾产生过影响信用度的违规行为，如产生大量欠款未结清，二级域名将被列入黑名单，天翼云CDN会禁止新增二级域名黑名单匹配的所有加速域名。例如，ctyun.cn被列入黑名单，A.ctyun.cn、B.ctyun.cn均会被限制新增。 2.在添加加速域名环节，需您先通过域名归属权验证，证明您拥有该域名的使用权，才能完成域名添加。 1.使用限制 2.验证域名归属权 基础信息 加速类型 依据业务特性，选取合适的加速类型。CDN加速产品通常选择加速类型为“CDN加速”。 加速类型 基础信息 加速区域 支持选定期望的加速区域，或切换加速区域，达到变更CDN服务区域的目的。 注意 只有当“加速类型”选定某种加速服务时（如CDN加速），CDN控制台才会展示“加速区域”选项。 加速区域 基础信息 IPv6开关 开启IPv6功能后，您可以在客户端通过IPv6协议访问CDN节点。 IPv6配置 回源配置 源站 支持IP或域名，最多可添加60个。 源站配置 回源配置 回源协议 支持设置CDN在回源时遵循的协议类型。 回源协议 回源配置 回源端口 支持设置您特定的源站端口，HTTP默认80，HTTPS默认443。 回源端口 回源配置 默认回源HOST 当您的源站的同一个IP地址上绑定了多个域名或站点时需配置回源HOST，CDN在回源时根据HOST信息去对应站点获取资源。 默认回源HOST HTTPS配置 HTTPS开关 开启HTTPS协议，将实现客户端和天翼云CDN节点之间请求的HTTPS安全加密传输。 HTTPS配置 HTTPS配置 HTTPS证书上传 您可以选择已经上传过的证书，或者“点击上传”新证书再选用该新证书。 新增证书 HTTPS配置 HTTP2开关 如果您的业务中需要用到多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，可启用HTTP2。 HTTP2.0配置 HTTPS配置 TLS版本 您可以按需选择具体的TLS版本。 TLS版本配置 HTTPS配置 HSTS开关 您可以按需开启HSTS功能。 配置HSTS 缓存配置 缓存配置 合理配置缓存规则，可以提高您的文件加速效果。 缓存过期时间设置 访问控制 IP黑白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 IP黑白名单 访问控制 Referer防盗链 配置Referer黑白名单后，CDN会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，CDN会返回资源；拒绝访问请求，CDN会返回403响应码。 Referer防盗链 访问控制 UA黑白名单 配置UA黑白名单后，CDN会识别HTTP请求中的UserAgent字段中包含的部分信息（标志访客访问时所使用的工具），允许或拒绝访问请求。允许访问请求，CDN会返回资源；拒绝访问请求，CDN会返回403响应码。 UA黑白名单 访问控制 URL黑白名单 配置URL黑白名单后，CDN会识别HTTP请求URL是否为黑白名单，是黑名单则拒绝访问并返回403响应码，是白名单则只允许白名单访问。 URL黑白名单 3. 完成新增域名操作后，可通过【域名列表】查看该域名所处的状态等信息。 4. 【操作】列可查看、编辑域名信息、以及停用/启用域名。 5. 加速域名添加后，会出现在【域名管理】【域名列表】中，状态为正常。如显示审核不通过，您需确认域名备案号，然后重新添加此域名。 注意 添加完加速域名后，天翼云CDN会给您分配对应的CNAME地址，还需要配置CNAME后CDN服务才生效，详情请见：配置CNAME。

本章节介绍云主机DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而引发流量劫持、服务中断或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验系统的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的域名。 映射IP：将目标域名解析到该IP地址。

账号密码被锁定主要有以下几种情况： 忘记密码，连续输错N次密码后账号自动锁定。 账号、密码超过有效期，自动锁定。 账号空闲超过阈值未登录系统。 管理员主动锁定。 忘记密码 在云堡垒机实例登录页面点击忘记密码，通过注册邮箱重置密码，解锁账号。 注意 忘记密码自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击忘记密码。 2. 输入用户名、邮箱等信息，验证用户身份。 3. 输入新登录密码，点击确定后，密码重置成功。 密码过期锁定 在云堡垒机实例登录页面点击自助解锁，通过注册邮箱解锁账号。 注意 密码过期自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击自助解锁链接。 2. 进入自助解锁功能后，输入用户名、邮箱和动态验证码，验证用户身份。 3. 输入更新后的密码，注意输入密码需要符合密码安全策略，点击确认。 4. 解锁成功。 其他原因账号被锁定 联系管理员解锁。管理员登入云堡垒机管理后台，在账号管理中可解锁用户账号、更改密码。

云点播存储桶和文件权限及鉴权方式介绍。 综述 本文将简要阐述云点播的权限体系。 云点播考虑到媒资汇入和统一管理的需要，在对象存储基本权限的基础上进行了权限收缩，避免由于同时使用SDK、API、第三方客户端等多途径操作可能产生的一致性问题。 桶权限 选项 描述 :: 私有 只有主账号、子账号通过合法签名访问该桶，进行读、写操作，其他用户在拥有合法签名时，可以访问读取该桶的文件。任何用户对桶不具有删除、新建、列举权限。 公共读 任何用户（包括匿名访问者）都可以对桶进行读取访问，只有主账号、子账号通过合法签名对该桶内的文件进行写操作。任何用户对桶不具有删除、新建、列举权限。 文件权限 文件读写权限继承桶权限，当桶权限发生变更时，文件权限同步发生变更。 鉴权方式 云点播的鉴权规则继承了对象存储S3的鉴权方式。对象存储S3的鉴权分为V2和V4两个版本，其中V2版本适用性较广，签名算法较为简单；V4版本安全性更高，签名算法更为复杂。具体的签名算法可以参考签名应用及示例V2版本和鉴权签名及示例（V4版本）。 目前，云点播原生的SDK和API同时支持V2和V4签名。

本文为您介绍停止反向复制的操作流程。 操作场景 反向复制过程中，用户可根据需要停止反向复制。停止反向复制后，容灾中心将停止反向复制数据至生产中心。若想再次进行反向复制，可以重启反向复制。 本示例中ecmtest为生产中心的云主机，ecmrecovery为容灾中心的云主机。 前提条件 受保护的服务器状态为“反向全量复制中”或“反向实时复制中”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障恢复＞停止反向复制”。 7. 在弹窗中，确认信息无误后单击“确定”。 若服务器之前状态为反向全量复制中，点击确定后，服务器状态变为反向全量复制停止中，之后变为反向全量复制停止。 若服务器之前状态为反向实时复制中，点击确定后，服务器状态变为反向实时复制停止中，之后变为反向实时复制停止。

本节介绍了初始化容量大于2TB的Linux数据盘(parted)的操作场景、前提条件、划分分区并挂载磁盘、设置开机自动挂载磁盘分区等内容。 操作场景 本文以云主机的操作系统为“CentOS 7.4 64位”、磁盘容量为3 TB举例，采用Parted分区工具为容量大于2 TB的数据盘设置分区。 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，因此当您初始化容量大于2 TB的磁盘时，分区形式请采用GPT。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见场景及磁盘分区形式介绍。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 划分分区并挂载磁盘 本操作以该场景为例，当云主机挂载了一块新的数据盘时，采用parted分区工具为数据盘设置分区，分区形式设置为GPT，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 步骤 1 执行以下命令，查看新增数据盘。 lsblk 回显类似如下信息： [root@ecscentos74 ~]

此小节介绍云堡垒机的管理登录手机令牌。 云堡垒机系统支持通过绑定手机令牌对用户登录进行多因子身份认证，用户配置“手机令牌”多因子认证后，需同时输入用户密码和6位手机令牌验证码，才能登录云堡垒机系统。 目前云堡垒机系统可选择两种手机令牌绑定方式“内置手机令牌”和“RADIUS手机令牌”。 内置手机令牌：微信小程序手机令牌； RADIUS手机令牌：APP版手机令牌Google Authenticator和FreeOTP。 需确保系统时间与手机时间一致，精确到秒，否则可能提示绑定失败。 绑定失败后，修改系统时间与手机时间一致，刷新页面重新生成二维码，重新绑定手机令牌。 本小节主要介绍如何绑定和解绑手机令牌。 绑定手机令牌 1. 登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面 3. 选择“手机令牌”页签，进入个人手机令牌管理页面。 4. 按照界面提示和实际令牌类型，执行绑定操作。 1. 微信小程序手机令牌：打开手机微信，依次按照操作指导，获取绑定动态口令，输入6位“动态密码”，验证通过绑定手机令牌。 2. APP版手机令牌：打开已安装好的手机令牌APP，扫描页面操作指导步骤2的二维码，获取绑定动态口令，输入6位“动态密码”，验证通过绑定手机令牌。 5. “手机令牌”页签更新为已绑定手机令牌页面

本文主要介绍弹性伸缩服务计费类问题。 弹性伸缩服务是否收取费用？ 弹性伸缩服务本身不收取费用。但会按伸缩组内的云主机实例收取云主机的费用。

本章节指导您根据实际业务需求创建注册配置中心类型为Nacos的引擎。 前提条件 Nacos运行于虚拟私有云，创建前，需保证有可用的虚拟私有云和子网。创建虚拟私有云和子网，请参考《虚拟私有云用户指南》中“虚拟私有云VPC管理>创建虚拟私有云VPC”和“子网管理>创建子网”章节。 创建Nacos需要保证用户具有CSE Admin、DNS FullAccess权限。 操作步骤 1、登录微服务引擎控制台。 2、单击“购买注册配置中心”，进入购买注册配置中心页面。 3、参考下表设置参数，参数前面带号的是必须设置的参数。 参数 说明 计费模式 选择计费方式，目前支持： 包年/包月 按需计费 企业项目 选择Nacos所在的项目，可在下拉框中搜索和选择需要的企业项目。 引擎名称 输入Nacos引擎的名称。 注册配置中心类型 选择注册配置中心类型“Nacos”。 选择实例数 选择需要的容量规格。 版本 只能创建最新版本。 网络 选择已创建的虚拟私有云及子网，可在下拉框中搜索和选择合适的虚拟私有云和子网。 虚拟私有云可以为您的引擎构建隔离的、用户自主配置和管理的虚拟网络环境。 说明 当Nacos引擎创建完成后，不支持变更虚拟私有云。 购买时长 计费模式选择“包年/包月”时需要设置。可设置是否开通自动续费。 4、单击“立即购买”，引擎开始创建，当“运行状态”为“可用”时，引擎创建完成。 说明 Nacos引擎创建成功后，“运行状态”为“可用”。

本文介绍创建存储库的操作步骤,帮助您快速创建存储库。 操作场景 用户在创建备份之前，需要首先创建至少一个存储库，存储库用来存放备份，结合底层对象存储，为用户实现高度可靠的数据保护。 说明 用户在创建存储库时可以直接选择云硬盘资源，并对其进行立即备份或设置自动备份，若暂时不选择云硬盘资源，则代表仅创建存储库，将不会对云硬盘进行备份。用户后续可在已有的存储库中创建备份，具体操作请参见创建云硬盘备份。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击选择“存储>云硬盘备份”，进入云硬盘备份列表页面。 4. 单击“创建存储库”按钮。 5. 在“基础配置”版块中，您可以配置付费方式、存储库名称、标签、企业项目及创建时长（如选择包年/包月付费方式）等参数。 具体配置参数说明如下表所示： 参数 参数说明 地域 不同地域的资源之间内网不互通，请选择靠近业务的区域，可以降低网络时延，提高访问速度。 付费方式 支持包年包月和按需计费两种付费方式。两种方式详细区别请参见计费模式。 包年包月：先付费后使用的计费方式，按订单的购买周期结算。 按需计费：先使用后付费，按照存储库的实际使用时长计费，每小时结算一次。 存储库名称 系统自动生成，支持用户自定义修改。 是否编辑标签 标签用于标识资源，可通过标签管理功能对存储库进行分类和筛选。 勾选后需要输入或选择现有标签键和标签值，后续您可通过标签功能统一管理资源，具体操作可参考标签功能概述。 企业项目 为存储库关联企业项目，默认为default。 创建时长 为存储库选择创建时长，范围为1个月到3年。 仅选择包年/包月付费方式时展示。 自动续订 默认关闭。勾选后开启自动续订。 仅选择包年/包月付费方式时展示。 按月购买：自动续订周期为1个月。 按年购买：自动续订周期为1年。 6. 在“类型配置”版块中，用户可以选择将“数据冗余策略”配置为“单AZ存储”或“多AZ存储”。 单AZ存储：备份副本仅存储在同一地域的一个可用区（AZ）中，成本更低。 多AZ存储：备份副本存储在同一地域的多个可用区（AZ）中，可靠性更高。 注意 请根据业务情况提前规划数据冗余策略，后续不支持更换已创建存储库的数据冗余策略。 7. 在“绑定云硬盘及备份策略” 版块中，用户在“选择云硬盘”配置项可以选择“立即配置”或“暂不配置”。 立即配置：需要在磁盘列表中勾选要备份的云硬盘，并添加至右侧的已选磁盘列表中。 暂不配置：仅创建存储库，将不会对云硬盘进行备份。后续可在已有的存储库中创建备份。 8. 如果选择了“立即配置”，用户可以选择自动备份或者立即备份。 自动备份为周期性备份，将选择的磁盘绑定到备份策略中，按照备份策略进行自动备份。 立即备份为一次性备份，即手动备份。 9. 在“容量配置”版块中，您可以配置存储库容量，取值范围为100GB1024000GB。 10. 点击“下一步”进入确认页面，确认存储库配置信息，确认无误后可勾选“我已阅读并同意相关协议《云硬盘备份服务协议》”，再单击“确认下单”，完成支付，即可成功创建存储库。 待存储库列表可以查看到新建的存储库时，表示创建成功。

本章节介绍分布式缓存服务Redis版使用同一VPC内弹性云主机ECS上的RedisCli连接Redis实例的方法。 更多的客户端的使用方法，请参考 说明 Redis3.0不支持定义端口，端口固定为6379，Redis4.0及以上版本实例支持定义端口，如果不自定义端口，则使用默认端口6379。本文操作步骤涉及实例端口时，统一以默认端口6379为例，如果已自定义端口，请根据实际情况替换。 在使用rediscli连接Cluster集群时，请注意连接命令是否已加上c。在连接Cluster集群节点时务必正确使用连接命令，否则会出现连接失败的问题。 Cluster集群连接命令： ./rediscli h {dcsinstanceaddress} p 6379 a {password} c 单机、主备、Proxy集群连接命令： ./rediscli h {dcsinstanceaddress} p 6379 a {password} 具体连接操作， 请查看操作步骤中的步骤3和步骤4。 前提条件 已成功申请Redis实例，且状态为“运行中”。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》 如果弹性云主机为Linux系统，该弹性云主机必须已经安装gcc编译环境。 操作步骤（Linux版） 步骤 1 查看并获取待连接Redis实例的IP地址和端口。 步骤 2 安装rediscli客户端。 以下步骤以客户端安装在Linux系统上为例进行描述。 1. 登录弹性云主机。 2. 执行以下命令，获取Redis客户端源码，下载路径为 wget 说明 此处以安装redis5.0.8版本为例，您也可以安装其他版本。具体操作，请参见

本文带您了解云主机备份产品的基本概念。 存储库 存储库是用于存储备份副本的地方。备份服务会将创建的备份副本存储在存储库中，以保障数据的安全存储和高可靠性。您可以根据需要访问存储库，并管理和检索备份数据。 备份策略 备份策略指的是对备份对象执行备份操作时，预先设置的策略。策略包括备份策略的名称、备份任务的调度计划和备份数据的保留策略。其中调度计划包括备份执行的频率和备份执行的时间点，备份数据的保留策略包括备份数据的保存时间或保存数量。通过将云主机绑定到备份策略，可以为云主机执行自动备份。 备份副本 备份副本也可以简称为备份。 备份即一个备份对象执行一次备份任务产生的备份数据。首次备份为全量备份，备份云硬盘的所有数据；后续备份为增量备份，备份自上次备份以来发生变化的数据。备份可以通过一次性备份和周期性备份两种方式产生。一次性备份是指用户通过立即备份创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。周期性备份的备份名称由系统自动生成。 地域 地域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、弹性文件服务、VPC网络、弹性公网IP、镜像等公共服务。 可用区 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，具备独立的风火水电，可用区之间距离100KM以内，一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 每个地域完全独立，不同地域的可用区完全隔离，但同一个地域内的可用区之间使用低时延链路相连。

此小节介绍如何使用堡垒机对安全事故进行事后追溯。 随着业务上云并不断发展，云上运维的人数不断增加，这样必然会衍生出一些运维人员操作疏忽而导致的一些安全事故，但由于传统服务器缺少指令监控，操作回放等功能，这样就导致安全事件可追溯性不完善的问题。 云堡垒机可以管控所有的操作，并对所有的操作都进行详细记录。针对会话的审计日志，支持在线查看、在线播放和下载后离线播放。目前支持字符协议（SSH、TELNET）、图形协议（RDP、VNC）、文件传输协议（FTP、SFTP、SCP）、数据库协议（DB2、MySQL、Oracle、SQL Server）和应用发布的操作审计。其中，字符协议和数据库协议能够进行操作指令解析，还原操作指令；文件传输能够记录传输的文件名称和目标路径。 简介 本章节介绍了云堡垒机如何通过会话审计功能对安全事件进行追溯调查，完成安全事件的责任界定。 前提条件 已购买云堡垒机，并且使用有审计模块权限的账号登录云堡垒机 对历史会话进行审计 1. 登录控制台。进入“历史会话”页面，具体操作步骤详见查看历史会话。 2. 根据您业务出现安全问题的一些信息，在“高级搜索框”中输入相关信息进行检索。 3. 根据搜索完后的结果，在“操作”列单击“详情”，进入“会话详情”页面，对历史操作指令、文件传输情况进行排查。 根据上述步骤您就可以根据操作指令的情况，排查出是哪个步骤出现了问题，为您的事件追溯提供了便利性。当然您也可以使用会话回放功能，通过播放运维视频，来查看具体的操作情况。 云堡垒机还为您提供实时会话监控功能，让您可以实时查看高危操作的运维界面，若出现危险指令可立即切断运维人员的操作，确保业务的安全。

本章节为您介绍云堡垒机关于系统资源的一些使用情况。 1.登录云堡垒机（原生版）实例。 2.在左侧导航栏选择“系统管理 > 关于系统”，进入“关于系统”页面。 3.您可在“关于系统”页面查看堡垒机的系统版本及许可信息。

本节主要介绍凭证管理 凭证管理可添加公有云、私有云、主机、数据库、REDIS、ElasticSearch的认证方式。其中公有云采用AK/SK、密码方式认证，私有云、主机、数据库、REDIS采用用户名/密码方式认证 。 操作步骤 步骤 1 在浏览器中输入 单击左侧导航栏的“ 配置管理 ”，进入配置管理 界面。在“ 凭证管理 ”页签，单击“ 添加 ”。 添加凭证 在“ 输入凭证 ”页面，按照页面提示，选择认证方式并输入相应凭证，如图所示，单击“ 下一步 ”。 若不需要关联对象，可单击“ 保存退出 ”。 输入凭证 在“ 关联对象 ”页面，选择可关联的对象，单击“ 下一步 ”。 关联对象 在“ 确认添加 ”页面，确认添加的凭证与关联的资源，单击“ 确认 ”。 添加完成后，在凭证列表页可以看到添加的凭证。 确认凭证

本文主要介绍健康检查UDP协议安全组规则说明。 操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到集群中的节点对应的节点，单击云主机名称，进入详情页面，记录安全组名称。 步骤 2 登录虚拟私有云控制台，在左侧导航栏单击“访问控制 > 安全组”，在界面右侧的安全组列表中单击步骤1获取的安全组名称。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云主机添加入方向规则，详细配置请参见下图，单击“确定”。 说明 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。 图 添加安全组规则

本章介绍如何删除追踪器。 操作场景 云审计服务管理控制台支持删除已创建的数据类事件追踪器，删除数据类事件追踪器对已有的操作记录没有影响。本章节介绍如何在管理控制台删除数据事件追踪器。 使用限制 删除数据类追踪器后，操作事件无法上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录，但是您无法查看新的操作记录、转储事件至OBS/LTS。 前提条件 已成功创建数据类事件追踪器。 删除数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 单击目标追踪器对应操作列的“删除”。 6. 在弹框中单击“确定”，完成删除追踪器。

本实践将为您介绍如何通过LVM创建逻辑卷。 操作场景 当LVM管理工具安装成功之后，用户可以通过LVM来创建逻辑卷。通过LVM架构图，可以了解到在这一层需要完成三个步骤： 创建物理卷（Physical Volumes）：将云硬盘分区或整个云硬盘设备初始化为物理卷。 创建卷组（Volume Group）：将一个或多个物理卷添加到卷组中。 创建逻辑卷（Logical Volumes）：从卷组中划分逻辑卷。 本指导假设您前期已经在操作系统为“CentOS 7.6 64bit”的弹性云主机上挂载了两个大小为10GB的数据盘。 操作步骤 1. 以root用户登录云主机，登录成功之后如图： 2. 执行命令 fdisk l grep /dev/vd grep v vda，查看云主机中的云硬盘并记录设备名称。回显如下图所示： 如图所示，当前云主机中已经挂载两个数据盘，分别为/dev/vdb和/dev/vdc，容量为10GB。 3. 查看之后，请执行 pvcreate命令进行物理卷创建的工作，pvcreate的参数是设备名称。此处执行命令 pvcreate /dev/vdb /dev/vdc，回显信息如图所示： 如图所示，物理卷/dev/vdb与物理卷/dev/vdc已经创建成功。 4. 执行 pvdisplay命令来验证物理卷/dev/vdb与物理卷/dev/vdc的创建信息，具体回显如图所示： 5. 物理卷创建成功，接下来创建卷组，卷组通常使用 vgcreate命令创建，请执行 vgcreate vgdata /dev/vdb /dev/vdc。其中vgdata为创建的卷组名，/dev/vdb 、/dev/vdc为物理设备名，具体回显信息如下图： 如图，卷组“vgdata”已创建成功。 6. 执行 vgdisplay命令验证卷组“vgdata”的具体信息，具体回显如图所示： 7. 最后创建逻辑卷，执行命令为：lvcreate L 15GB n lvdata vgdata，此命令的格式为：lvcreate L 逻辑卷大小 n 逻辑卷名称 卷组名称，具体回显信息如下图所示： 说明 具体参数说明如下： 1. 逻辑卷大小：该值应小于所创建卷组剩余可用空间，容量单位可以选择“MB”或“GB”，在此例中创建15GB的逻辑卷大小。 2. 逻辑卷名称：可自定义，此处以lvdata为例。 3. 卷组名称：已经创建的卷组的名称。 8. 执行 lvdisplay命令来验证逻辑卷的创建信息，验证是否创建成功，具体回显信息如下图所示： 至此，逻辑卷创建成功。

参数 是否必填 参数类型 说明 示例 下级对象 status 是 String 编辑云容灾保护组成功 参考响应示例 msg 是 String 编辑云容灾保护组成功描述 参考响应示例

本章节介绍故障演练服务中云容器探针相关功能。 概述 云容器引擎探针 是安装在云容器引擎 （CCE ）上，用于执行具体故障注入动作的代理程序（Agent）。 前置条件 为弹性云主机安装探针之前，需要先建立故障演练服务控制面与目标主机的网络连通性，具体是通过创建VPC终端节点实现的。 连通检查 ：在探针管理 页面的列表中，查看目标主机的VPC通路 状态。若状态为已连接，则表示网络通路正常。 创建终端节点 ：若网络未连通，可以选择目标主机并触发创建终端节点操作，故障演练服务将自动完成创建过程。 说明 详细的创建步骤，请参考《创建VPC终端节点》一节。 如需进一步了解VPC终端节点产品功能与计费标准，请参考相对应产品的官方文档。 安装/更新探针 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，单击其下的探针管理选项。 3. 在探针管理 页面，选择云容器引擎页签。 4. 在列表中找到目标主机，单击操作列的安装/更新按钮。 5. 在弹出的对话框中单击确定 ，系统将发起探针安装/更新流程。 6. 单击操作列的执行记录，可查看探针的操作历史记录。 7. 安装结束后，列表中的探针安装状态 更新为已安装。

端口 协议 说明 21 FTP FTP服务开放的端口，用于上传和下载文件。 22 SSH SSH端口，用于远程连接Linux弹性云主机。 23 Telnet Telnet端口，用于通过Telnet协议远程登录弹性云主机。 25 SMTP SMTP服务器开放的端口，用于发送邮件。 80 HTTP 使用HTTP协议访问网站。 110 POP3 使用POP3协议接收邮件。 143 IMAP 使用IMAP协议接收邮件。 443 HTTPS 使用HTTPS服务访问网站。 1433 SQL Server SQL Server的TCP端口，用于供SQL Server对外提供服务。 1434 SQL Server SQL Server的UDP端口，用于返回SQL Server使用了哪个TCP/IP端口。 1521 Oracle Oracle通信端口，弹性云主机上部署了Oracle SQL需要放行的端口。 3306 MySQL MySQL数据库对外提供服务的端口。 3389 Windows Server Remote Desktop Services Windows远程桌面服务端口，通过这个端口可以连接Windows弹性云主机。 8080 代理 同80端口一样，8080 端口常用于WWW代理服务，实现网页浏览。如果您使用了8080端口，访问网站或使用代理服务器时，需要在IP地址后面加上:8080 。安装Apache Tomcat服务后，默认服务端口为8080。 137、138、139 NetBIOS NetBIOS协议常被用于Windows文件、打印机共享和Samba。 137、138：UDP端口，通过网上邻居传输文件时使用的端口。 139：通过这个端口进入的连接试图获得NetBIOS/SMB服务。

本文介绍如何升级客户端。 操作场景 云容灾服务需要搭配客户端使用，当受保护的服务器安装的客户端不是最新版本时，您可以选择一键升级客户端至最新版本。 前提条件 该受保护的服务器已安装客户端，且客户端不是最新版本。 受保护的服务器状态为“已初始化”、“实时复制中”或“实时复制停止”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞服务器操作＞升级”。进入“升级容灾客户端”确认页面。 7. 确认信息后单击“确认”，服务器状态变为“客户端升级中”。 8. 当客户端版本显示最新版本时，且受保护的服务器状态恢复至升级前状态，说明升级成功。 注意 若升级过程中因服务器出错或网络等原因导致升级失败，则服务器状态从“客户端升级中”变为“升级失败”，此时您仅能执行注销操作，注销操作请参见

接口介绍 通过接口根据用户输入的保护组ID，云主机ID，进行清空容灾演练，将容灾演练占用资源恢复出来 接口约束 1、云主机存在保护组中 2、云容灾保护组存在 URI POST /v4/disaster/clearerecoverydisaster 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 参考请求示例 pairID 是 String 保护组ID 参考请求示例 ecsID 是 String 云主机ID 参考请求示例 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 :: statusCode 是 Integer 返回状态码(800为成功，900为失败) 参考响应示例 message 是 String 成功或失败时的描述，一般为英文描述 参考响应示例 description 是 String 成功或失败时的描述，一般为中文描述 参考响应示例 returnObj 否 Object 成功时返回对象 returnObj 表 errorCode 否 String 业务细分码，为product.module.code三段式码 参考状态码 error 否 String 业务细分码，为product.module.code三段式大驼峰码 参考状态码 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 status 是 String 清空容灾演练操作下发成功 参考响应示例 msg 是 String 清空容灾演练操作下发成功描述 参考响应示例

新增资产和资产账号 云堡垒机系统集中管理云资源，主要包括管理资产账户和运维权限管理。为实现统一管理资源，需添加资产到系统。 一个主机或应用资产可能有多个登录主机或应用的账户。云堡垒机系统纳管主机或应用的账户（资产账户）后，无需反复输入账户和密码，通过登录资产账户，自动登录资源进行运维管控。 操作步骤 1.管理员登录云堡垒机系统，角色身份切换到“管理角色”。 2.在左侧导航栏，选择“资产管理 > 资产”，单击左上角的“新增”按钮。 3.填写资产信息，单击保存提交。 参数 参数说明 资产名称 输入您需要纳管的资产名称。 资产类型 选择待纳管的资产类型。 IP地址 填写待纳管资产的IP地址，请确保资产IP的正确。 资产组 选择待纳管资产所属的资产组。 资产描述 添加资产的描述。 协议 选择访问待纳管资产的访问协议，并添加协议的端口号。 账号 添加待纳管资产下的维护账号。 访问信息 选择访问资产的系统编码，可选“UTF8”和“GBK”。 4.选择资产账号，单击“新增”，填写资产账号信息并勾选相应的访问协议。 说明 资产账号也可通过选择“资产管理 > 资产账号”，新增资产账号。 5.单击“提交”，完成资产创建。

本文介绍云审计服务支持的WAF操作。 云审计服务（Cloud Trace Service，CTS）记录了Web应用防火墙相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见云审计服务用户指南。 云审计服务支持的WAF操作列表： 操作名称 资源类型 事件名称 创建Web应用防火墙防护实例 instance createInstance 删除Web应用防火墙防护实例 instance deleteInstance 更新Web应用防火墙防护实例 instance alterInstanceName 修改Web应用防火墙防护实例的防护状态 instance modifyProtectStatus 修改Web应用防火墙防护实例的接入状态 instance modifyAccessStatus 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy 添加证书 certificate createCertificate 修改证书名称 certificate modifyCertificate 删除证书 certificate deleteCertificate 创建CC规则 policy createCc 修改CC规则 policy modifyCc 删除CC规则 policy deleteCc 创建精准防护规则 policy createCustom 修改精准防护规则 policy modifyCustom 删除精准防护规则 policy deleteCustom 创建IP黑白名单规则 policy createWhiteblackip 修改IP黑白名单规则 policy modifyWhiteblackip 删除IP黑白名单规则 policy deleteWhiteblackip 创建/刷新网页防篡改规则 policy createAntitamper 删除网页防篡改规则 policy deleteAntitamper 创建全局白名单规则 policy createIgnore 删除全局白名单规则 policy deleteIgnore 创建隐私屏蔽规则 policy createPrivacy 修改隐私屏蔽规则 policy modifyPrivacy 删除隐私屏蔽规则 policy deletePrivacy