原因分析 1. 写入冲突：当多个客户端同时向同一个索引写入数据时，可能会发生写入冲突，导致部分写入操作被推迟或重试，从而降低写入速度。 2. 磁盘 I/O 限制：写入操作需要频繁访问磁盘。如果磁盘 I/O 性能不佳或资源被其他任务占用，写入速度会受到影响。 3. 缓冲区溢出：云搜索服务在写入数据时会使用内存缓冲区。如果缓冲区满了，系统会强制刷新到磁盘，这个过程可能会拖慢写入速度。 4. 垃圾回收（GC）问题：如果节点的 JVM 频繁进行垃圾回收，特别是 Full GC，系统性能会受到影响，导致写入速度下降。 解决方案 1. 优化写入并发：避免高并发写入到同一索引，可以通过拆分索引或批量写入方式减少冲突。调整客户端的并发写入线程数和批量写入大小。 2. 提升磁盘性能：使用更高性能的磁盘设备（如 SSD），确保磁盘 I/O 不是瓶颈。检查系统中是否有其他进程占用了磁盘资源，影响了写入速度。 3. 调整刷新间隔：可以通过增加刷新间隔来减少缓冲区强制刷新到磁盘的频率，如下述命令将延长刷新时间，允许更多的数据在内存中积累，从而减少写入延迟。 PUT INDEXNAME/settings { "index.refreshinterval": "30s" } 4. 优化垃圾回收设置：监控 JVM 的垃圾回收行为，必要时升级到 G1 GC 或调整堆内存大小，减少 GC 对性能的影响。

本文为您介绍如何将Ingress服务暴露到公网。 背景信息 Ingress基于 Nginx 服务器实现了负载均衡、SSL 终止和路由功能。如果您的服务是通过Ingress进行访问的，并且需要通过公网访问，Ingress作为集群流量接入层，可为集群Ingress服务配置天翼云ELB。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 确保已经开通天翼云ELB服务，并且已创建一个外网可用的ELB（在ELB控制台创建）。 操作步骤 1. 登录容器服务控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“网络” 下的“服务”，命名空间选择“kubesystem”，点击”创建服务“按钮，对以下信息进行配置： 1. 填写service相关信息，其中负载均衡一栏，选择公网访问，从列表中选择一个要绑定的ELB（如果列表为空，请确认您是否有可用的ELB，没有的话，请先到ELB控制台创建）。 2. 在端口映射一栏，填写好容器端口和要映射的服务端口（该端口也是负载均衡的监听端口）。 3. 在工作负载绑定一栏，类型选择Deployment，名称选择nginxingresscontrollernginxingresscontroller，然后点击提交。 3. 待ELB绑定后，即可通过服务列表中“集群外访问”中的外网地址访问服务了。

参数 描述 数据流动方向 选择“入云”。 源数据库引擎 选择“DRDS”。 目标数据库引擎 选择“MySQL”。 网络类型 此处以公网网络为示例。目前支持可选公网网络、VPC网络和VPN、专线网络。 目标数据库实例 用户所创建的关系型数据库实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 全量+增量该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 源端数据库实例个数 源端DRDS绑定的实例个数，默认值2，输入值在1到64之间，您需要根据源端实际情况设置该值大小。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的组网和资源规划。 数据规划 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 VPN网关 HA模式 双活 VPN网关 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE/IPsec策略 IKE策略 版本：v2 认证算法：SHA2256 加密算法：AES128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IKE/IPsec策略 IPsec策略 认证算法：SHA2256 加密算法：AES128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

Service 与 kubeproxy Service是Kubernetes抽象出来的网络组件，它对外提供统一的IP，屏蔽后端 Pod 的变化，将请求负载到后端的容器 Pod。 kubeproxy是 Kubernetes 的核心组件之一，负责维护节点上 Service 到 Pod 的网络规则。云容器引擎的 kubeproxy 支持 iptables 和 IPVS 两种模式。 iptables iptables 是 Linux 用于过滤和处理数据包的内核功能，其原理是通过 Hook 机制挂载的一系列规则对路径上的数据包进行处理。在使用 iptables 模式时，kubeproxy 会为每一个 Service 添加一条 iptables 规则。通过这些规则流向 Service 的数据包将被随机转发到后端的容器 Pod上。适用的场景： 成熟稳定的kubeproxy代理模式，性能一般，适用于Service数量较少（小于3000）的场景 随机平等的负载均衡算法能满足需求的场景 IPVS IPVS（IP Virtual Server）是构建在传输层上的负载均衡，其原理是将客户端的 TCP 和 UDP 请求根据预设的调度算法分配到后端的真实服务器上，从而实现服务器集群的负载均衡。采用 IPVS 模式时，kubeproxy 会使用 IPVS 提供的高效查找算法将请求转发到后端的容器 Pod上，且处理效率与集群规模无关。适用的场景： 高性能的kubeproxy代理模式，适用于集群规模较大或Service数量较多的场景 有轮询、最短期望延迟、最少连接以及各种哈希方法等负载均衡算法需求的场景

本节为您介绍云迁移服务CMS评估任务之异构评估。 1. 单击左侧导航栏迁移评估中“异构评估”，进入“异构评估”点击创建异构评估任务，如图4所示。 图4 异构评估创建评估任务页面。 2. 在弹出窗口中可以选择离线采集，在线采集选项，点击下一步完成创建，如图5所示。 图5 异构评估采集模式选择页面。 3. 编辑“信息收集”，点击“下一步”如图6所示。 图6 异构评估信息收集编辑页面。 4. 创建异构完成，进入异构评估列表页面，如图7所示。 图7 异构评估列表页面。 5. 在异构评估列表页面选择待操作的评估任务，点击“查看详情”图8所示。 图8异构详情页面。 6. 在异构评估详情页中，进行选择工具的评估确认，图9所示。 图9 异构评估工具确认页面。 7. 点击“确认”按钮返回，进入异构评估列表，点击“查看评估报表”，图10所示。 图10异构详情页面。

监控 您可以通过CCE控制台查看工作负载和容器组的CPU和内存占用情况，以确定需要的资源规格。本文以无状态工作负载为例说明如何使用监控功能。 步骤 1 登录CCE控制台，进入一个已有的集群，在左侧导航栏中选择“工作负载”。 步骤 2 选择“无状态负载”页签，单击已创建工作负载后的“监控”。在监控页面，可查看工作负载的CPU利用率和物理内存使用率。 图 查看无状态工作负载监控 步骤 3 单击工作负载名称，可在“实例列表”中单击某个实例的“监控”按钮，查看相应实例的CPU使用率、内存使用率。 日志 您可以通过“日志”功能查看无状态工作负载、有状态工作负载、守护进程集、普通任务的日志信息。本文以无状态工作负载为例说明如何查看日志。 步骤 1 登录CCE控制台，进入一个已有的集群，在左侧导航栏中选择“工作负载”。 步骤 2 选择“无状态负载”页签，单击工作负载后的“日志”。 在弹出的“日志”窗口中可以根据时间查看日志信息。 图 查看无状态工作负载日志 说明 云容器引擎服务对接了应用运维管理服务AOM提供日志查看、检索功能，默认存储时长为7天。目前AOM每月赠送500M免费日志采集额度，超过免费额度部分将产生费用。

本文通过示范举例，向您介绍天翼云云搜索服务Logstash实例可以提供的数据写入能力。 Logstash作为一个强大的数据收集和转发工具，可以从各种来源（如Kafka、数据库等）获取日志数据，并通过灵活的过滤器对数据进行清洗、格式转换和增强。经过处理后的数据可以被发送到多个目标系统，如Elasticsearch、OpenSearch或者其他数据库和分析平台，从而帮助企业在更短的时间内获取、分析和展示数据。这种处理方式对于日志分析、监控、事件追踪等场景尤为重要。 这里，我们以一个示范的例子读取Kafka中的数据转换后写入到Elasticsearch，向您简单介绍天翼云Logstash实例如何帮助企业实现高效的日志数据流处理。 前提条件 1. 已在同VPC下开通Kafka服务和Elasticsearch实例。 2. 获取相应内网地址和端口，例如192.168.XX.XX:9200。 操作步骤 创建Logstash实例 1. 在云搜索服务实例创建页面选择已经开通好的Elasticsearch实例，点击进入Elasticsearch实例，选择Logstash加装。 2. 订购周期、当前区域（即资源池）、可用区、填写实例名称、节点规格等基础配置信息后，按页面提示并根据需要进行配置，然后点击下一步。 3. 按页面提示，勾选相关协议，完成订单付款，即可完成订购，等待资源开通完成，对应实例处于“运行中”状态，即为开通成功。

使用限制 Cubecni IPVLAN模式下，基于eBPF实现NetworkPolicy，有如下限制： 1. IP Blocks即使包含Pod地址，这些Pod地址也不会加入白名单，需通过PodSelector或NamespeceSelector选择Pod； 2. IP Blocks的except支持不佳，不建议使用except关键字； 3. 若配置egress规则，会限制Pod访问所在节点以及其上HostNetwork类型Pod，即使白名单配置了所在Host地址也无效。 使用示例 网络策略详细使用方式可参考Kubernetes社区文档，下文以Nginx应用为例，介绍使用方式。 准备示例应用 使用YAMl方式创建示例应用，YAML定义如下： a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择工作负载 > 无状态； d. 选择default命名空间，点击新增YAML ，默认为一Nginx示例，将image字段替换为{镜像拉取地址}/opensource/nginx:1.26alpineslim，点击保存； e. 等待服务启动完成。 示例一：限制服务只能被带有特定标签的应用访问 通过控制台操作如下： 1. 登录云容器引擎控制台，左侧导航栏选择集群； 2. 在集群列表页面，单击目标集群名称，进入集群管理页面； 3. 左侧导航栏，选择网络 > 网络策略 ，选择default命名空间，点击创建网络策略； 创建面板配置说明如下： 配置名 说明 示例 名称 网络策略的名称。 example1 Pod选择器 单击+ 选择工作负载添加标签，设置使用网络策略的Pod。 若不配置Pod选择器，则对命名空间下所有Pod生效。 示例设置如下： 设置工作类型为：Deployment 设置工作负载为：nginxdeployment 设置标签为：appnginx 来源 配置入站规则（igress）列表，用于声明谁可以访问目标Pod。每个列表项包含规则和端口。 每个规则表示一组允许的来源，若配置多个规则，则满足任一规则即允许访问。 规则： 1. podSelector：此选择器将在与NetworkPolicy相同的名字空间中选择特定的Pod，将其允许作为入站流量来源； 2. namespaceSelector：此选择器将选择特定的名字空间，将所有Pod用作其入站流量来源； 3. ipBlock：此选择器将选择特定的IP CIDR范围用作入站流量来源。 端口：支持TCP和UDP协议。 本示例不添加任何来源规则。 去向 配置出站规则（egress）列表，用于声明目标Pod可以访问哪些地址。每个列表项包含规则和端口。 每个规则表示一组允许的去向，若配置多个规则，则满足任一规则即允许访问。 规则： 1. podSelector：此选择器将在与NetworkPolicy相同的名字空间中选择特定的Pod，将其允许作为出站流量目的地； 2. namespaceSelector：此选择器将选择特定的名字空间，将所有Pod用作其出站流量目的地； 3. ipBlock：此选择器将选择特定的IP CIDR范围用作出站流量目的地。 端口：支持TCP和UDP协议。 本示例不添加任何去向规则。 4. 点击下一步 ，点击确认； 5. 在另一个命名空间（例如demo）部署demo服务（可使用Nginx镜像），登陆容器，测试与示例Nginx的通信。可见，网络策略没有允许demo服务访问，导致访问会超时： 6. 修改网络策略为允许demo服务访问，点击编辑，在来源右侧，单击+添加，规则设置如下： 配置名 示例值 选择器 namespaceSelector 命名空间 demo 标签 kubernetes.io/metadata.name: demo 点击下一步 ，点击确认； 7. 登陆容器，测试与示例Nginx的通信。可见，网络策略允许demo服务访问，访问正常：

本节介绍了云容器引擎的最佳实践: 通过配置kubeconfig文件实现集群权限精细化管理。 集群权限精细化管理的背景 云容器引擎默认给用户的kubeconfig文件对集群操作的权限相当于root级别，这样的权限级别对于某用户来说过大，很不便于对集群的精细化管理。为了达到对集群精细化管理的目标，我们可以通过kubeconfig设置特定的用户，然后给用户赋予集群的部分操作权限（如：增、查、改）。 注意事项 下面配置步骤操作前，请先确保您的机器上有kubectl工具，若没有请到社区下载与集群版本对应的或者最新的kubectl。 基于Role实现集群权限精细化管理的配置步骤 说明 下述示例创建一个用户，并且该用户只能查看default下的Pod，不能查看其他namespace下的Pod且不能删除default下的任何Pod。 1. 配置ServiceAccount，名称为testsa，命名空间为default kubectl create sa testsa n default 3. 创建Role，并配置针对不同资源相对应的操作权限 vi addRole.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: testrole namespace: default rules: apiGroups: "" resources: pods verbs: get list watch apiGroups: apps resources: pods verbs: get list watch kubectl create f addRole.yaml 4. 配置RoleBinding，将sa绑定到Role上，让sa获取相应权限 vi addRoleBinding.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: myrolebinding namespace: default roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: testrole subjects: kind: ServiceAccount name: testsa namespace: default kubectl create f addRoleBinding.yaml 5. 配置集群访问信息 4.1 通过sa的名称testsa获取sa对应的密钥，第一列testsatokennttvl即为密钥名 kubectl get secret n default grep testsa 4.2 将密钥中的ca.crt解码后导出 kubectl get secret testsatokend6b4q n default oyaml grep ca.crt: awk '{print $2}' base64 d > ca.crt 4.3 设置集群访问方式，其中dev 为需要访问的集群名称，10.50.208.30为集群ApiServer地址，test.config为配置文件的存放路径 （1）如果通过内部ApiServer地址，执行命令如下： kubectl config setcluster dev server certificateauthorityca.crt embedcertstrue kubeconfigtest.config （2）如果通过公网ApiServer地址，执行命令如下： kubectl config setcluster dev server kubeconfigtest.config insecureskiptlsverifytrue 集群ApiServer地址为内网ApiServer地址，绑定弹性IP后也可为公网ApiServer地址。如下图： 5. 配置集群认证信息 5.1 获取集群的token信息 token$(kubectl describe secret testsatokend6b4q n default awk '/token:/{print $2}') 5.2 设置使用集群的用户uiadmin kubectl config setcredentials uiadmin token$token kubeconfigtest.config 7. 配置集群认证访问的上下文信息，uiadmin@test为上下文的名称 kubectl config setcontext uiadmin@test clusterdev useruiadmin kubeconfigtest.config 8. 设置上下文 kubectl config usecontext uiadmin@test kubeconfigtest.config

本节介绍云等保专区产品的上线配置概览。 云等保专区整合了多个原子能力，部分原子能力需要进行安装配置后，才能正常使用。 原子能力 安装内容及步骤 参考文档 主机安全v1.0 Agent下载安装 请参考主机安全 主机安全v1.0 资产管理配置 请参考主机安全 主机安全v1.0 安全策略编辑 请参考主机安全 主机安全v1.0 日志查看 请参考主机安全 Web应用防火墙v1.0 绑定弹性IP 请参考Web应用防火墙 Web应用防火墙v1.0 全局配置 请参考Web应用防火墙 Web应用防火墙v1.0 添加站点 请参考Web应用防火墙 Web应用防火墙v1.0 配置策略 请参考Web应用防火墙 Web应用防火墙v1.0 验证URL 请参考Web应用防火墙 下一代防火墙v1.0 绑定弹性IP 请参考下一代防火墙 下一代防火墙v1.0 配置子网路由 请参考下一代防火墙 下一代防火墙v1.0 设置安全策略 请参考下一代防火墙 下一代防火墙v1.0 安全日志查看 请参考下一代防火墙 堡垒机v1.0 绑定弹性IP 请参考堡垒机 堡垒机v1.0 创建部门 请参考堡垒机 堡垒机v1.0 创建用户 请参考堡垒机 堡垒机v1.0 创建主机 请参考堡垒机 堡垒机v1.0 创建运维规则 请参考堡垒机 堡垒机v1.0 审计规则设置 请参考堡垒机 堡垒机v1.0 数据归档设置 请参考堡垒机 漏洞扫描v1.0 资产管理 请参考漏洞扫描 漏洞扫描v1.0 扫描策略设置 请参考漏洞扫描 漏洞扫描v1.0 创建扫描任务 请参考漏洞扫描 漏洞扫描v1.0 扫描报告查看 请参考漏洞扫描 日志审计v1.0 设置日志上传 请参考日志审计 日志审计v1.0 添加资产 请参考日志审计 日志审计v1.0 查询自查信息 请参考日志审计 日志审计v1.0 创建解决方案包 请参考日志审计 日志审计v1.0 订阅告警 请参考日志审计 日志审计v1.0 查看审计结果 请参考日志审计 数据库审计v1.0 安装Agent 请参考数据库审计 数据库审计v1.0 添加资产 请参考数据库审计 数据库审计v1.0 配置规则 请参考数据库审计 数据库审计v1.0 订阅报表和告警 请参考数据库审计

天翼云GPU型物理机具有卓越的处理能力和超强的计算能力，提供GPU算力，满足用户在科学计算、深度学习、AI推理等业务需求。 规格名称 CPU 内存（GB） 处理器 处理器主频（GHz） GPU显卡 GPU显存（GB） 本地磁盘 内网带宽（Gbps） RDMA（Gbps） 是否支持挂载云硬盘 physical.pi2.2xlarge1 2路24核 512 Intel 6248R 3.0 6GPU T4 96 系统盘：2 480GB（SSD） 225 无 不支持 physical.pi7.2xlarge1 2路32核 768 Intel 8378A 3.0 4GPU A10 96 系统盘：2 480GB（SSD）数据盘：21920GB（SSD） 50 无 不支持 physical.300ipro.2xlarge1 2路48核 768 Kunpeng 920 5250 2.6 4300I Pro 96 系统盘：2 480GB（SSD）数据盘：23200GB（NVMeSSD） 50 无 不支持 physical.300ipro.xlarge1.sh 2路48核 512 Kunpeng 920 5250 2.6 4300I Pro 96 系统盘：2 480GB（SSD）数据盘：23200GB（NVMeSSD） 50 无 不支持 physical.acas910b.2xlarge11 4路48核 1536 Kunpeng 920 5250 2.6 8Huawei Ascend 910B(风冷） 512 系统盘：2 480GB（SSD）数据盘：23200GB（NVMeSSD） 225 1600 不支持 physical.lcas910b.2xlarge11 4路48核 1536 Kunpeng 920 5250 2.6 8Huawei Ascend 910B(液冷） 512 系统盘：2 480GB（SSD）数据盘：23200GB（NVMeSSD） 50 1600 不支持

本小节介绍微隔离防火墙产品定义和产品优势。 产品定义 微隔离防火墙（CTMIFW Microisolation Firewall）面向数据中心的跨平台统一安全管理软件，能够对数据中心的内部流量进行全面精细的可视化分析和高细粒度的安全策略管理，能够帮助用户快速便捷的实现环境隔离、域间隔离以及端到端隔离。与云下一代防火墙互补，实现纵深防御。 产品优势 基础架构无关 与基础架构无关，与系统适配。 Linux 发行版 CentOS: 5.X(有限支持)/ 6.X/ 7.X/ 8.3.2011； Ubuntu: 14/ 16/ 18.04 LTS/ 20； Debian: 8/ 9/ 10； Suse: 11.4/ 12SP1/ 12SP5； Open Suse: 42.3/ 13.2/ Leap15.0。 Windows Server Windows Server 2008R2； Windows Server 2012/ R2； Windows Server 2016； Windows Server 2019。 国产操作系统 UOS:V20Debian10/V20CentOS7.7/V20CentOS8.2； Kylin: V4/ V7/ V10； EulerOS: SP5； OpenEulerOS: 20.09/ 21.09。 容器平台 K8S+Docker； K8S+CIRO。 系统影响小 采用安全可靠架构设计 全用户态设计，不侵蚀系统内核； 单向控制通信，不额外开放端口； 客户端防卸载、防删除、防停用。 智能优化系统性能开销 连接、阻断关系合并上报； 防火墙策略对象智能聚合。 多项资源占用保护机制 CPU单核占用率降级阈值设定； 连接、阻断关系内存占用限制； Conntrack最大容量动态调整； TCP / UDP超时时间智能调整。

步骤三：添加数据库资产 1. 登录数据库审计实例。 2. 在左侧导航栏选择“资产 > 资产管理”，单击“添加”。 3. 在弹出的“添加资产”窗口配置数据库信息。 参数填写规则说明如下： 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则。 不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 关系数据库MySQL版：请选择“天翼云RDS > TeledbMySQL > 所有版本”。 关系数据库PostgreSQL版：请选择“天翼云RDS > PostgreSQL > 所有版本”。 关系数据库SQL Server版：请选择“天翼云RDS > SQL Server > 所有版本”。 文档型数据库：请选择“天翼云RDS >MongoDB> 所有版本”。 云数据库Clickhouse：请选择“天翼云RDS >Clickhouse HTTP> 所有版本”。 实例ID 填写数据库实例ID，请前往对应数据库控制台获取“实例ID”。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 IP端口 填写数据库实例的IP及端口号，请前往对应数据库控制台获取“连接地址”。 状态 点击“更多配置”，可配置审计状态，默认为“启用”。 4. 配置完成后，单击“保存”即可纳管天翼云上数据库并审计。

功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 未分类恶意软件 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × √ √ √ √ √ Linux、Windows 实时检测 病毒 对服务器进行实时检测，对在服务器资产发现的各种病毒进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 蠕虫 对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀，并进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 木马 对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测，发现时立即进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 僵尸网络 检测主机资产中是否存在已被传播的僵尸程序，一旦发现立即进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 后门 实时检测服务器系统是否存在后门漏洞，对发现的后门病毒进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 Rootkits 检测服务器资产，对可疑的内核模块和可疑的文件或文件夹进行告警上报。 × √ √ √ √ √ Linux 实时检测 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × × × √ √ √ Linux、Windows 实时检测 黑客工具 检测服务器是否存在用来控制服务器的非标工具，一旦发现立即上报告警。 × × √ √ √ √ Linux、Windows 实时检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ √ √ Linux、Windows 实时检测 挖矿软件 实时检测服务器中是否存在挖矿软件，并对发现的软件进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 远程代码执行 实时检测服务器是否存在被远程调用的情况，一旦发现立即进行告警上报。 × × √ √ √ √ Linux、Windows 实时检测 反弹Shell 实时监控用户的进程行为，可及时发现并阻断进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。 × √ √ √ √ √ Linux 实时检测 文件提权 检测当前系统对文件的提权。 × √ √ √ √ √ Linux 实时检测 进程提权 检测以下进程提权操作：利用SUID程序漏洞进行root提权。利用内核漏洞进行root提权。 × √ √ √ √ √ Linux 实时检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × √ √ √ √ √ Linux 实时检测 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 × √ √ √ √ √ Linux、Windows 实时检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。对于进程的非法行为、黑客入侵过程进行告警。进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × × √ √ √ √ Linux、Windows 实时检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × √ √ √ √ √ Linux、Windows 实时检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 × √ √ √ √ √ Linux 实时检测 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × × √ √ √ Linux、Windows 实时检测 系统安全防护被禁用 检测勒索软件加密前准备动作：通过注册表关闭Windows Defender 实时保护功能，一旦发现立即上报告警。 × × √ √ √ × Windows 实时检测 备份删除 检测勒索软件加密前准备动作：删除备份格式文件或Backup文件夹下的文件，一旦发现立即上报告警。 × × √ √ √ √ Windows 实时检测 异常注册表操作 检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作，一旦发现立即上报告警。 × × √ √ √ √ Windows 实时检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ √ √ Linux、Windows 实时检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。若在非常用登录地登录，则触发安全事件告警。 √ √ √ √ √ √ Linux、Windows 实时检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × √ √ √ √ √ Linux、Windows 实时检测 用户账号添加 检测使用命令创建隐藏账户，一旦创建成功后用户交互界面和命令查询均不可见。 × × √ √ √ √ Windows 实时检测 用户密码窃取 检测主机中的系统账号和密码Hash值被异常获取的行为，一旦发现进行告警上报。 × × √ √ √ √ Linux、Windows 实时检测 端口扫描 检测用户指定的端口存在被扫描或者嗅探的行为，一旦发现进行告警上报。 × × × √ √ √ Linux 实时检测 主机扫描 检测网络对主机规则覆盖（包含对ICMP、ARP、nbtscan是覆盖）的扫描活动，一旦发现立即上报告警。 × × × √ √ √ Linux 实时检测

2.1 环境准备 2.1.1 安装Apptainer（Galaxy相关镜像环境默认已安装，可跳过此步骤） 根据操作系统类型选择对应安装方式（以Ubuntu为例）： 安装依赖 sudo aptget update && sudo aptget install y libseccompdev squashfstools 下载并安装Apptainer wget sudo dpkg i apptainer1.2.81amd64.deb 2.1.2 下载测试工具 创建工作目录并获取EvalScope容器镜像： mkdir p /root/ctyun/log cd /root/ctyun wget （需联系公有云事业部，获取sif文件） 2.2 全量测试脚本配置与执行 2.2.1 脚本参数说明 编辑 run.sh脚本（vim run.sh，可按需调整参数）： !/bin/bash 定义日志输出路径 logdir"/root/ctyun/log" 请替换为实际的日志存储路径 mkdir p "$logdir" 如果目录不存在，则创建 定义parallel的取值 parallelvalues(1 10 20 32 40 64 128) 定义inputtokens和outputtokens的取值 tokenpairs("255 256" "255 1024" "255 2048" "511 512" "511 1024" "1023 1024" "1023 2048" "2047 2048" "4095 1024" "4095 4096") tokenpairs("20480 8192") 获取当前时间戳，格式为 YYYYMMDDHHMMSS timestamp$(date +"%Y%m%d%H%M%S") 外循环：遍历inputtokens和outputtokens的取值 for tokens in "${tokenpairs[@]}"; do

制作物理机镜像的常用方法是启动一个虚拟机，在虚拟机中安装需要的操作系统，然后安装需要的软件、驱动等，进行必要的配置，最后导出镜像。为使制作的镜像最终也能在物理机上正常使用，必须根据物理机的硬件情况安装必要的驱动，并保证在系统启动时加载这些驱动。 步骤说明： 准备工作 准备制作镜像环境：安装管理虚拟机的软件（virtmanager）。 搜集物理机硬件信息：确定需要在镜像中集成哪些驱动。 获取安装操作系统的ISO，需要安装的软件包等。 安装、配置操作系统 在虚拟机中安装操作系统。 根据业务需要安装软件、配置系统。这一步后可备份系统镜像，若后续因镜像有问题需要重新制作镜像，可从这一步开始。 安装必要的驱动，并把启动时需要用到的驱动加入到initramfs中，确保系统启动时可加载这些驱动。确保系统可在物理机上启动和使用。 配置终端、禁用selinux等。确保可通过终端访问物理机，并正常安装。 清理系统：删除网络配置（物理机装机时会生成这些配置）、machine ID等。 转换镜像格式、提供分区配置 windows上传qcow2格式的镜像，linux把qcow2格式的镜像转换为天翼云物理机使用的squashfs格式。 提供系统分区配置文件等。 上传并测试镜像 如有问题，需确定问题并重新制作镜像。

您成功购买数据加密网关实例后，可在天翼云密码服务管理控制台登录。 通过天翼云控制台进入登录页面 1. 登录天翼云密码服务管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的数据加密网关实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。 登录方式一：账号及密码登录 1. 在登录页面选择“用户名/口令”。 2. 依次输入用户名、密码。 说明 首次登录默认账号如下： 管理员首次登录：默认账号为购买密码产品时，自定义设置的用户名和密码，可以参见获取初始登录账号获取初始账密。 其他用户首次登录：默认账号为管理员创建用户时设置的用户名和密码，请联系管理员获取。 3. 单击“登录”即可登录数据加密网关。 注意 初始管理员首次登录后，进入租户列表列表页面，单击操作列的“初始化人员”，对运维账号、审计账号、管理员账号进行初始化。请妥善保存各个角色账号的密码。 登录方式二：使用UKEY登录 注意 首次使用UKEY登录时，需要根据界面提示下载并安装UKEY插件。 1. 在登录页面选择“USBKEY登录”。 2. 插入UKEY设备后刷新页面。 3. 输入USBKEY口令。 4. 单击“登录”，验证通过后即可登录系统。

您成功购买协同签名服务实例后，可在天翼云密码服务管理控制台登录。 通过天翼云控制台进入登录页面 1. 登录天翼云密码服务管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的协同签名服务实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。 登录方式一：账号及密码登录 1. 系统默认为“账号密码登录”，在登录页面输入账号及密码。 说明 首次登录实例时，请根据界面提示修改密码，否则无法进入系统。 首次登录默认账号如下： 管理员首次登录：默认账号为购买密码产品时，自定义设置的用户名和密码，可以参见获取初始登录账号获取初始账密。 其他用户首次登录：默认账号为管理员创建用户时设置的用户名和密码，请联系管理员获取。 2. 单击“登录”即可登录协同签名服务。 登录方式二：使用UKEY登录 注意 首次使用需要先下载安装当前版本USBKey登录的websockets控件。 仅管理员账号支持使用UKEY登录，如何配置UKEY请参考：编辑管理员章节。 1. 在登录页面右下角选择“UKEY登录”。 2. 插入UKEY设备后刷新页面即可登录。

本文介绍弹性文件服务入门相关流程。 天翼云弹性文件服务提供按需扩展的高性能文件存储，可为云上多个弹性云主机提供大规模共享访问，具备高可用性和高数据持久性。下面我们以创建文件系统、挂载文件系统到数据读写为例介绍弹性文件服务的整体入门流程，具体流程见下图： 1. 首先进行准备工作，注册天翼云，确保账户余额，具体流程参见准备工作。 2. 设置天翼云弹性文件服务控制台所给出的配置项，包括存储类型、存储协议等信息，具体步骤请参见创建文件系统。 3. 创建好的文件系统需要挂载至云主机或物理机上使用，具体挂载步骤参见挂载文件系统。 4. 文件系统挂载完成后，您可以为文件系统配置监控告警规则，监控带宽、IOPS等数据，赋能业务，配置参考创建告警规则和开启一键告警。 5. 您可以将本地或其他存储设备上的数据迁移至文件系统共享与管理。具体步骤可参考NAS文件系统之间的迁移。 6. 您可以像访问本地数据一样读写文件系统中存储的数据。

本节为您介绍启用OSPF动态路由的操作场景、前提条件和操作步骤。 操作场景 用户根据网络规划，配置OSPF动态路由规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建。 只有使用方式为单机、且激活方式为旁挂的智能网关支持配置OSPF路由。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 单击“OSPF”。启用OSPF协议，并配置OSPF接口IP和协议字段。 6. 单击“编辑配置”。 7. 根据页面提示填写OSPF协议参数。参数配置可参考如下： 参数 描述 OSPF接口IP 支持CIDR格式，例如192.168.0.1/16。 Area ID 区域ID，取值范围1~65535。 Area Type NSSA。 Router ID 路由器ID，例如192.168.1.1。 Hello Time 取值范围: 1~65535。 Dead Time 取值范围: 1~65535。 认证类型 可选不认证、MD5认证。 8. 单击“确定”，完成OSPF配置。 说明 可通过单击“编辑配置”实时修改OSPF配置参数。

本节主要介绍如何设置备份策略 本节介绍如何在天翼云分布式缓存Redis的控制中心设置自动备份策略。设置完成后，系统将根据您设置的自动备份策略定时备份实例数据。 “自动备份”默认为关闭状态，如需开启自动备份，请参考本章节操作步骤。 前提条件 已成功创建分布式缓存服务Redis实例，且实例处于运行中状态。 操作步骤 1.登录 Redis管理控制台。 2.在管理控制台右上角选择实例所在的区域。 3.在实例列表页，单击目标实例名称进入实例详情页面。 4.左侧菜单点击备份与恢复，进入备份管理操作页面。 5.单击页面上的【备份策略】按钮，可选择备份周期和备份时段。 参数 说明 备份周期 设置自动备份频率为每周的某一天或者某几天，请按实际业务适当设置备份频率。 备份时段 设置自动备份任务执行时间。注意：实例备份大约需要5~30分钟，备份时间随着内存数据增加。为了尽量减少备份执行对业务的影响，请尽量选择业务较少的时间段作为备份时段。 6.设置好备份参数后，点击保存完成备份策略设置，该备份策略立即生效。 7.实例将在设置的备份时段自动执行备份操作，可在该页面查看备份记录。

本文主要介绍SQL Server实例备份服务的价格。 天翼云SQL Server提供了备份服务，其价格如下表： 产品名称 标准价格(元/GB /月） 按需(元/GB/小时） 普通IO 0.30 0.0005 高IO 0.40 0.0009 超高IO 1.20 0.0017 对象存储 不支持包月 0.000139 对象存储流量 不支持包月 功能公测阶段，对象存储流量免费。 注意 包年预付费优惠政策：1年85折，2年7折，3年、4年、5年均享受5折优惠。 云硬盘的备份类型不享受免费额度，因此备份类型更推荐选择对象存储。 说明 目前对象存储的备份类型赠送和开通的存储空间同等大小的免费额度，在免费额度内的备份将不收取任何费用。超出免费额度外的备份将按照对象存储收费标准进行收费，每小时的备份费用 ( 备份总大小 免费备份额度 ) x 备份单价。 举例：如用户开通包周期2个月，存储空间100G的实例，那么在两个月内，备份空间不超过100G，则不会收取额外的备份费用。但如果备份超过100G，总备份为150G，则超出的50G按照0.00139元/GB/小时来收取费用。 此外用户的备份文件会根据备份策略进行保留，备份策略保留周期内的备份文件占用的对象存储容量按照以上规则进行收费。

本文主要介绍产品定义 什么是性能测试 产品介绍 随着分布式架构和微服务技术的普及，应用的复杂程度越来越高，在架构解耦和性能提升的同时，也带来了生产环境性能问题定位难度高、修复周期长等挑战，因此，提前进行性能测试逐渐成为了应用上线前的必选环节。 性能测试是一项为基于HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTPFLV等协议构建的云应用提供性能测试的服务。服务支持快速模拟大规模并发用户的业务高峰场景，可以很好的支持报文内容和时序自定义、多事务组合的复杂场景测试，测试完成后会为您提供专业的测试报告呈现您的服务质量。 通过性能测试，希望将性能压测本身的工作持续简化，将更多的精力回归到关注业务和性能问题本身，同时降低成本、提升稳定性、优化用户体验，帮助企业提升商业价值。 产品功能 性能测试服务提供了HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTPFLV协议的高并发测试能力，可以支持多协议报文内容、事务、测试任务模型的灵活自定义，可实时、离线查看并发、RPS、响应时延等多个维度的性能统计，同时根据用户对性能测试规模的变化，提供按需的私有测试集群创建、扩缩容等性能测试集群管理能力。

本章节介绍如何对已添加的数据库资产进行删除。 操作删除后，该资产在DSC服务里建立的相关任务模板以及扫描任务结果报告都将被删除，且无法恢复。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 待删除的数据库资产未被应用在敏感数据检测任务中。 约束条件 如果需要删除的数据库资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 删除操作无法恢复，删除后，资产相关的任务模板、任务结果、报表都将被删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“数据库 > 已授权”，进入已授权数据库资产列表页面。 5.在数据库资产列表中，在需要删除的数据库资产所在行的“操作”列，单击“删除”。 6.在弹出删除资产提示框中，单击“确定”。

本节介绍Web应用防火墙（独享版）防护日志相关常见问题。 Web应用防火墙支持记录防护日志吗？ 如何获取拦截的数据？ 防护事件列表中，防护动作为“不匹配”是什么意思呢？ Web应用防火墙的防护日志可以存储多久？ Web应用防火墙可以同时查询多个指定IP的防护事件吗？ Web应用防火墙会记录未拦截的事件吗？ 为什么WAF显示的流量大小与源站上显示的不一致？ Web应用防火墙支持记录防护日志吗？ 在WAF管理控制台，您可以免费查看最近30天的防护日志、下载5天内的所有防护域名的防护日志数据。 如果您需要长期保存防护日志，您可以将WAF的防护日志记录到单独收费的云日志服务（Log Tank Service，简称LTS）上。LTS默认存储日志的时间为7天，存储时间可以在1～30天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）或者数据接入服务（DIS）中长期保存。 有关WAF日志配置到LTS的详细操作，请参见开启全量日志。

本文介绍了RDSPostgreSQL如何绑定弹性公网IP。 RDSPostgreSQL产品实例绑定公网IP指引如下： 操作场景 RDSPostgreSQL实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。RDSPostgreSQL服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。因底层架构支持原因，仅部分资源池支持弹性公网IP功能。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址或者IP段加安全组入方向的访问规则。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的RDSPostgreSQL在同一区域的弹性云服务器上。 操作步骤 1. 在“实例管理”页面，选择目标实例，单击实例名称，进入单个实例的管理页面。 2. 在管理也中的“网络”>“弹性IP”中，单击“绑定弹性IP”。 3. 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，前往创建弹性公网IP。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本文介绍天翼云AOne会议产品计费概述信息，帮助您快速了解AOne会议的计费构成与使用规则。 计费构成 AOne会议的计费体系由基础套餐（必选） 与增值服务（可选）两部分构成，用户可根据业务场景灵活选择。 基础套餐 套餐为会议使用的基础能力包，按高级账号数量计费： 高级账号支持加入会议、快速会议、预定会议等会前控制能力，同时支持发起云录制、会议安全管控等能力。 每个账号可独立创建和管理会议，满足日常办公与协作需求。 增值服务 针对更高规格会议或者对会议转直播观看等场景，AOne会议支持按需订购以下增值服务： 大型会议室：支持发起超大规模会议接入，按并发参会人数选购不同规格的大型会议室。 直播观看时长：支持将会议内容直播给未参会人员观看，按直播观看总时长（单位：分钟）计费。 计费说明 AOne会议采用预付费计费模式，基础套餐（必选）和增值服务（可选）均需提前订购并支付费用，订购规则和使用限制如下： 基础套餐订购规则 AOne会议提供免费版、标准版、旗舰版多种套餐版本，包周期计费，支持包月或包年订购。 用户可根据实际使用需求选择周期，系统按周期一次性收取费用。 套餐订购成功后即刻生效，有效期内可正常使用对应会议能力。

本章节为您介绍企业路由器的应用场景。 企业客户业务上云，多个业务网络之间需要互相访问或者隔离，并且业务网络需要和线下IDC互通。比如X企业的业务部署在天翼云，业务A、业务B、业务C相互独立，因此三个业务所在的VPC网络隔离。同时，业务A、业务B、业务C均需要访问VPC4内的公共业务以及线下IDC。 客户痛点 VPC之间的网络互通和隔离，通过VPC对等连接来实现。点对点的连接导致网络拓扑复杂，路由配置繁多，管理难度大。 公共服务VPC和每个业务VPC互通，需要配置大量的对等连接和路由，对服务规格要求高。VPC对等连接的规格不适用大规模组网，具体如下： 一个租户在一个区域最多可以配置50个对等连接数量。 VPC的一个路由表最多支持200条路由。 VPC访问线下IDC，通过云专线DC，需要为每个VPC都需要配置专线，成本高。 企业路由器价值 通过将VPC关联至企业路由器中不同的路由表，灵活实现VPC之间的互通和隔离，网络拓扑简洁，配置简单易管理。 企业路由器可以在所有VPC之间路由流量，无需配置大量对等连接，同时企业路由器支持大规格路由条目，适合企业复杂组网场景。

本文介绍扫描镜像的详细步骤。 为了保障云原生供应链安全，您需要购买容器安全卫士实例，并进行安全扫描，通过仪表盘查看访问统计信息和攻击防护记录，掌握业务的安全状况。 步骤一：购买容器安全卫士实例 详细步骤请参见购买容器安全卫士。 步骤二 ：安装Sever/Agent 详细步骤请参见安装Server/Agent。 步骤三：扫描镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全 > 镜像管理”，在镜像管理页面可以对仓库镜像、节点镜像进行安全扫描。 3. 进入“仓库管理”页面，单击“添加仓库”，添加镜像仓库。 4. 扫描节点镜像。 1. 进入“节点镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 5. 扫描仓库镜像。 1. 进入“仓库镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 6. 在左侧导航栏选择“镜像安全 > 镜像策略”，进入页面配置镜像策略，配置漏洞、文件、软件包规则，防止风险流入供应链。 7. 在左侧导航栏选择“镜像安全 > 镜像设置”，进入页面配置镜像扫描规则、历史镜像保留时长、及周期性扫描规则。

授权子用户 1. 主账号使用天翼云账号登录天翼云统一身份认证控制台，点击左侧导航窗格的【用户】页签，在用户列表选择目标子用户对应的操作栏中点击【查看】按钮，进入用户详情页面。 2. 进入用户详情后，点击【权限管理】，在【个人权限】页签，点击【新增权限】。 3. 在【新增授权】的页面，利用搜索框输入【媒体存储产品侧授权】，点击搜索图标，可以检索出一条名为【媒体产品侧授权】的系统全局策略，如下图所示。 4. 勾选【媒体存储产品侧授权】策略，并点击【下一步】，在【设置最小授权范围】这一页无需做任何配置，直接点击【确定】，完成本次权限配置。至此，当前子用户具备了使用媒体存储产品控制台的权限。 注意：媒体存储尚未实现与CTIAM自定义策略对接。因此，请勿使用CTIAM权限管理的【新增权限】选择您【自定义策略】去授权，或将作用范围配置为特定资源池。 5. 上述操作只是给该子用户配置了拥有登录媒体存储产品控制台的权限，如需给子用户配置具体的自定义细化策略，需主账号登录[媒体存储控制台](

本章介绍使用主机迁移服务，需要注意哪些地方。 迁移前须知 迁移系统版本较老的服务器（如Windows 2008），可能出现系统内核无法兼容的情况，需提前做好评估，明确是否适合直接迁移，以免迁移后业务无法运行。 迁移前，建议关闭源端服务器中可能导致SMSAgent启动失败的软件（如杀毒软件）。如果不确定是否有冲突的软件，迁移前请做好数据备份。 Linux块级迁移目前处于公测阶段，建议只在测试场景下使用。 虚拟化驱动UVP VMTools的版本不能低于2.5.0，否则可能导致目的端无法启动。 迁移网络须知 请参考主机迁移对网络安全的配置与条件，提前准备并配置完成。 请参见如何配置云主机安全组规则，提前准备并配置完成。 迁移对网络质量有一定要求，可以通过SMS提供的网络质量检测功能，评估当前迁移网络环境质量，及时做出调整，避免因网络质量问题，导致迁移失败。 迁移过程中会占用一定的源端主机资源，如内存，CPU，磁盘IO和网速等，请您根据实际业务场景设置合适的网络限流。Linux源端限流依赖系统自带的TC(TrafficControl)组件，如果TC组件未安装或者异常可能存在限流失效的情况。