限制项 限制说明 用户使用 云硬盘类似于传统服务器中的硬盘，无法单独使用，必须挂载在弹性云主机或物理机上使用。 创建云硬盘 单个用户在单个地域，最多创建1000块云硬盘。 单个用户在单个地域下所有磁盘的总容量，不得超过204800GB。 挂载云硬盘 一台云主机默认情况下最多可以挂载9块云硬盘（1块系统盘+8块数据盘）。 如需挂载超过9块云硬盘，请联系天翼云客服提交工单处理，处理后最多可挂载23块云硬盘。 当云硬盘为非共享盘时，只能挂载到一台云主机上。 当云硬盘为共享盘时，支持同时挂载最多16台云主机。 注意 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的通用计算增强型和内存优化型云主机，并且一台云主机最多只允许挂载3块极速型SSD云硬盘。 扩容云硬盘 云硬盘支持容量的扩容，不支持缩容。如扩容的是状态为“已挂载”的云硬盘，那么云硬盘所挂载的云主机状态必须为“运行中”或者“关机”才支持扩容。 系统盘支持的最大容量为2TB。 数据盘支持的最大容量为32TB（X系列云硬盘支持的最大容量为64TB）。 最小扩容容量为1GB，扩容步长为1GB。 注意 扩容成功后，需要对扩容部分的云硬盘进行后续处理。不同操作系统的云主机处理方式不同，具体请参见 卸载云硬盘 只有数据盘支持卸载操作，系统盘不支持卸载。 当卸载数据盘时，支持离线卸载或在线卸载，即可在挂载该数据盘的云主机处于“运行中”、“关机”、“节省关机”、“已到期”、“已冻结”状态之一时，进行卸载。 容量 数据盘的取值范围： 普通IO/高IO/通用型SSD/超高IO/极速型SSD：10GB~32768GB XSSD0：10GB65536GB XSSD1：20GB65536GB XSSD2：512GB65536GB XSSD3：1024GB65536GB 系统盘的取值范围： 普通IO/高IO/通用型SSD/超高IO/极速型SSD：40GB2048GB XSSD0：40GB2048GB XSSD1：40GB2048GB XSSD2：512GB2048GB XSSD3：1024GB2048GB 云硬盘快照 非X系列单块云硬盘最多可以保留40个手动快照，X系列单块云硬盘最多可以保留1000个手动快照（暂不支持通过工单提升）。 单个快照最多可创建128块云硬盘。 单个用户单个地域自动快照策略个数最多为20个。 单个自动快照策略关联云硬盘个数最多200个。 非X系列单块云硬盘最多可创建自动快照和手动快照总数为50，X系列单块云硬盘最多可创建自动快照和手动快照总数为2000（暂不支持通过工单提升）。 注意 磁盘模式为FCSAN、ISCSI的云硬盘暂不支持快照服务。 挂载至物理机的云硬盘、和物理机一起订购的云硬盘暂不支持快照服务。 云硬盘快照回滚只支持回滚至源云硬盘，不支持回滚至其他云硬盘。

事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件监控不依赖于Agent插件。 事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作，如删除虚拟机、重启虚拟机等。 事件监控默认开通，您可以在事件监控中查看系统事件和自定义事件的监控详情。 事件监控为您提供上报自定义事件的接口，方便您将业务产生的异常事件或重要变更事件采集上报到云监控服务。

本节介绍如何进入数据库审计v2.0版本控制台，及如何使用数据库审计v2.0。 数据库审计v2.0 版本由数据库审计提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“数据库审计 > 数据库审计v2.0”，跳转到数据库审计控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 数据库审计”，进入数据库审计控制台。 使用数据库审计v2.0 请参见数据库审计。

本节主要介绍分布式消息服务Kafka的计费项 分布式消息服务Kafka的计费项由实例费用和存储费用组成，具体费用详情可参考产品资费。 计费项 计费项说明 使用的计费模式 计费公式 实例费用 计费因子：代理规格和代理数量 包年/包月、按需计费 实例规格单价 代理数量 购买时长 存储空间费用 计费因子：云硬盘类型、容量大小 包年/包月、按需计费 云硬盘规格单价 单个代理存储大小 代理数量 购买时长

缓存已接入云审计服务。通过云审计服务，您可以查询缓存实例相关的操作事件，便于日后的查询、审计和回溯。 前提条件 1. 开通天翼云对应资源池的云审计服务。 操作步骤 1. 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作事件 字段 资源类型 SSL加密设置 modifyInstanceSSL 分布式缓存服务Redis 下载Redis历史慢日志 downloadHistorySlowLog 分布式缓存服务Redis 下载Redis慢日志 downloadSlowLog 分布式缓存服务Redis 下载Redis运行日志 downloadRedisRunLog 分布式缓存服务Redis 下载SSL证书 downloadSslCert 分布式缓存服务Redis 下载access节点信息 downloadAccessNodeDetails 分布式缓存服务Redis 下载redis节点信息 downloadRedisNodeDetails 分布式缓存服务Redis 下载redis运行日志 downloadRunLog 分布式缓存服务Redis 下载命中率分析信息 downloadKeyMisslog 分布式缓存服务Redis 下载大key、热key信息 downloadTopkeysInfo 分布式缓存服务Redis 下载大key、热key历史报告 downloadTopkeysHistoryInfo 分布式缓存服务Redis 下载实例列表 exportInstances 分布式缓存服务Redis 下载实例配置 downloadRedisConfigs 分布式缓存服务Redis 下载客户端会话列表信息 downloadClientIPinfo 分布式缓存服务Redis 下载证书 downloadCert 分布式缓存服务Redis 为Redis实例创建数据备份 createBackup 分布式缓存服务Redis 为Redis实例删除数据备份 deleteBackup 分布式缓存服务Redis 主从切换 switchInstanceHA 分布式缓存服务Redis 交换IP exchangeIp 分布式缓存服务Redis 从对象存储导入数据 importZosData 分布式缓存服务Redis 修复Aof文件格式 repaireAof 分布式缓存服务Redis 修改Redis实例的自动备份策略 modifyBackupPolicy 分布式缓存服务Redis 修改proxy集群的连接信息 editProxyConnectConfig 分布式缓存服务Redis 修改redis集群中checkBeforeSwitch配置 updateCheckBeforeSwitch 分布式缓存服务Redis 修改top key自动扫描开关 topKeySwitch 分布式缓存服务Redis 修改内网域名 changeRecordName 分布式缓存服务Redis 修改可维护时间段 modifyInstanceMaintainTime 分布式缓存服务Redis 修改实例IP白名单分组 modifySecurityIps 分布式缓存服务Redis 修改实例名 changeInstanceName 分布式缓存服务Redis 修改实例密码 modifyInstancePassword 分布式缓存服务Redis 修改实例的淘汰策略 modifyInstanceStrategy 分布式缓存服务Redis 修改实例账号 changeAccount 分布式缓存服务Redis 修改实例账号密码 modifyAccountPassword 分布式缓存服务Redis 修改实例账号描述 modifyAccountDescription 分布式缓存服务Redis 修改实例账号权限 grantAccountPrivilege 分布式缓存服务Redis 修改实例退订保护开关 changeInstanceProtectionStatus 分布式缓存服务Redis 修改实例部分信息 modifyInstanceAttribute 分布式缓存服务Redis 修改接入机配置 batchEditAccessConfig 分布式缓存服务Redis 修改数据备份磁盘类型 changeBackupDisktype 分布式缓存服务Redis 修改数据闪回开关 dataflashBackSwitch 分布式缓存服务Redis 修改自定义参数模板 editRedisTemplate 分布式缓存服务Redis 修改配置参数 modifyInstanceConf 分布式缓存服务Redis 修改配置参数 modifyInstanceConfig 分布式缓存服务Redis 修改配置参数 ModifyInstanceConfig 分布式缓存服务Redis 停止Redis节点 stopRedisNode 分布式缓存服务Redis 停止redis实例 stopRedis 分布式缓存服务Redis 停止对象存储导入任务 stopImportZosDataTask 分布式缓存服务Redis 停止数据迁移任务 stopTransferTask 分布式缓存服务Redis 关闭危险命令重命名 disableRenameCommand 分布式缓存服务Redis 关闭定时扫描过期key任务 closeScanJob 分布式缓存服务Redis 关闭定时扫描过期key任务 closeScanExpiredKeysJob 分布式缓存服务Redis 关闭弹性伸缩 closeAutoScale 分布式缓存服务Redis 创建实例 createInstance 分布式缓存服务Redis 创建实例账号 createAccount 分布式缓存服务Redis 创建数据传输任务 createOpenApiTransferTask 分布式缓存服务Redis 创建数据迁移任务 createTransferTask 分布式缓存服务Redis 创建自定义参数模板 createRedisTemplate 分布式缓存服务Redis 删除任务中心记录 delTasks 分布式缓存服务Redis 删除公共对象存储配置 delCommonS3Info 分布式缓存服务Redis 删除内网域名 deleteDnsRecord 分布式缓存服务Redis 删除分组 removeGroup 分布式缓存服务Redis 删除分组 deleteDbGroup 分布式缓存服务Redis 删除分组数据 removeGroupData 分布式缓存服务Redis 删除实例账号 deleteAccount 分布式缓存服务Redis 删除对象存储导入任务 delImportZosDataTask 分布式缓存服务Redis 删除指定会话 killSelectedClient 分布式缓存服务Redis 删除数据迁移任务 deleteTransferTask 分布式缓存服务Redis 删除白名单 deleteWhiteListItem 分布式缓存服务Redis 删除自定义参数模板 deleteRedisTemplate 分布式缓存服务Redis 包周期转按需付费 transToPrePaid 分布式缓存服务Redis 升级实例代理版本 upgradeInstanceProxyMinorVersion 分布式缓存服务Redis 升级引擎大版本 modifyInstanceMajorVersion 分布式缓存服务Redis 升级引擎小版本 upgradeInstanceMinorVersion 分布式缓存服务Redis 变更公共对象存储配置 updateCommonS3Info 分布式缓存服务Redis 变更实例AZ modifyInstanceAz 分布式缓存服务Redis 变更实例的规格 modifyInstanceSpec 分布式缓存服务Redis 同步redis主从实例数据 syncInstanceData 分布式缓存服务Redis 启动redis实例 startRedis 分布式缓存服务Redis 命令窗口批量执行命令 executeCommands 分布式缓存服务Redis 实例克隆 cloneInstance 分布式缓存服务Redis 实例开启IPV6 enableInstanceIpv6 分布式缓存服务Redis 实例续费 renewInstance 分布式缓存服务Redis 实例过期key扫描配置 autoScanExpiredKeys 分布式缓存服务Redis 实例重启 restartInstance 分布式缓存服务Redis 对实例的扩容/缩容/类型变更操作进行限制或者解限 modifyInstanceFeature 分布式缓存服务Redis 导入实例元数据 metaDataImport 分布式缓存服务Redis 导出实例节点信息 downloadInstanceNodesInfo 分布式缓存服务Redis 导出操作审计事件 exportAuditEvent 分布式缓存服务Redis 将备份文件中的数据恢复到当前Redis实例中 restoreInstance 分布式缓存服务Redis 应用参数模板到对应实例 applyTemplateToInstance 分布式缓存服务Redis 应用数据管理删除key deleteKey 分布式缓存服务Redis 应用数据管理删除value接口，针对List，Hash，Set，Sorted Set等集合类型。 deleteValue 分布式缓存服务Redis 应用数据管理更新key接口，针对Hash集合类型。 updateKey 分布式缓存服务Redis 应用数据管理更新value接口，针对List，Hash，Set，Sorted Set等集合类型。 updateValue 分布式缓存服务Redis 应用数据管理添加value接口，针对List，Hash，Set，Sorted Set等集合类型。 addValue 分布式缓存服务Redis 开启redis模块 redisModulesSwitch 分布式缓存服务Redis 开启内网域名 enableDnsRecord 分布式缓存服务Redis 开启危险命令重命名 enableRenameCommand 分布式缓存服务Redis 开启弹性伸缩 openAutoScale 分布式缓存服务Redis 开启或关闭rdb加密 rdbEncryptSwitch 分布式缓存服务Redis 异步导出实例列表 asyncExportInstances 分布式缓存服务Redis 手动主从切换 manualInstanceSwitch 分布式缓存服务Redis 手动更新Dns manualUpdateDnsForExpansion 分布式缓存服务Redis 执行redis命令 executeCommand 分布式缓存服务Redis 批量主从切换 batchMasterSlaveSwitch 分布式缓存服务Redis 批量执行命令不保存历史 executeCommandsWithoutHistory 分布式缓存服务Redis 批量退订实例 deleteInstances 分布式缓存服务Redis 按需转包周期付费 transChargeType 分布式缓存服务Redis 操作数据迁移任务 operateTransferTask 分布式缓存服务Redis 数据闪回 doDataflashBack 分布式缓存服务Redis 新增分组 addGroup 分布式缓存服务Redis 新增分组 createDbGroup 分布式缓存服务Redis 更改实例端口 modifyCachePort 分布式缓存服务Redis 更新证书 updateCertValidity 分布式缓存服务Redis 更新防火墙 updateFirewalld 分布式缓存服务Redis 添加白名单 appendWhiteList 分布式缓存服务Redis 清空实例数据 flushData 分布式缓存服务Redis 清空节点数据 delInstanceData 分布式缓存服务Redis 清空过期key flushExpireKeys 分布式缓存服务Redis 清除分组(db)数据 flushDbGroupData 分布式缓存服务Redis 清除慢日志 slowLogReset 分布式缓存服务Redis 满意度评价 satisfaction 分布式缓存服务Redis 立即扫描过期key scanExpiredKeysImmediately 分布式缓存服务Redis 绑定弹性IP bindElasticIP 分布式缓存服务Redis 节点恢复 batchRestartNode 分布式缓存服务Redis 获取备份文件的下载url getRdbDownloadUrl 分布式缓存服务Redis 覆盖原白名单分组 coverWhiteList 分布式缓存服务Redis 解绑弹性IP unBindElasticIP 分布式缓存服务Redis 设置副本优先级 updateSlavePriority 分布式缓存服务Redis 设置实例自动续费 changeAutoRenewStatus 分布式缓存服务Redis 设置读写分离开关 enableRWSep 分布式缓存服务Redis 设置读写分离的读策略 setReadPolicy 分布式缓存服务Redis 退订实例 deleteInstance 分布式缓存服务Redis 配置自动重试类型 configAutoRetryType 分布式缓存服务Redis 重启Redis节点 restartRedisNode 分布式缓存服务Redis 重启access节点 restartAccessNode 分布式缓存服务Redis 重启数据迁移任务 restartTransferTask 分布式缓存服务Redis 重新执行数据迁移任务 retryTransferTask 分布式缓存服务Redis 重置redis密码 resetRedisPwd 分布式缓存服务Redis 重置实例密码 resetInstancePassword 分布式缓存服务Redis 重置实例账号密码 resetAccountPassword 分布式缓存服务Redis

本文主要介绍应用运维管理 应用运维管理（Application Operations Management，以下简称AOM）为运维人员提供一站式立体运维平台，实时监控应用、资源运行状态，通过数十种指标、告警与日志关联分析，快速锁定问题根源，保障业务顺畅运行。 通过云审计服务，您可以记录与AOM服务相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的AOM操作列表 操作名称 资源类型 事件名称 创建仪表盘 ams addDashboard 修改仪表盘 ams updateDashboard 删除仪表盘 ams deleteDashboard 创建阈值 ams addThreshold 修改阈值 ams updateThreshold 删除阈值 ams deleteThreshold 创建策略组 pe createPolicyGroup 删除策略组 pe deletePolicyGroup 更新策略组 pe updatePolicyGroup 启用策略组 pe enablePolicyGroup 停用策略组 pe disablePolicyGroup 创建策略 pe createPolicy 删除策略 pe deletePolicy 更新策略 pe updatePolicy 启用策略 pe enablePolicy 停用策略 pe disablePolicy 更新老化周期 als updateLogStorgeSetting

本节介绍如何进入日志审计v2.0版本控制台，及如何使用日志审计v2.0。 日志审计v2.0 版本由日志审计（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“日志审计 > 日志审计v2.0”，跳转到日志审计控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 日志审计（原生版）”，进入日志审计控制台。 使用日志审计v2.0 请参见日志审计（原生版）。

创建ECS（MySQL服务器） 购买弹性云主机，用于安装MySQL社区版。 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“计算 > 弹性云主机 ECS”。 4、单击“购买弹性云主机”。 5、配置弹性云主机参数 安装社区版MySQL 1、打开Xshell客户端 2、填写主机IP和账号密码等信息并登录 3、下载好社区版mysql.zip压缩包传至主机，并编辑好安装脚本 4、在弹性云主机运行数据库安装脚本，执行bash /root/im.sh后，数据库安装成功 5、通过Navicat登录主机搭建好的数据库并新建测试表格数据 6、至此，测试自建库完成搭建。 创建目的端RDS 创建RDS实例 1、登录天翼云控制台。 2、单机管理控制台区域按钮，选择区域“上海4”。 3、单机左侧的服务列表图标，选择“数据库 > 云数据库 RDS”。 4、单击“购买数据库实例”。 5、配置实例名称和实例基本信息。 采用DRS工具进行迁移

天翼云为您提供虚拟私有云产品服务协议,请您点击查看。 虚拟私有云服务协议

本章节主要介绍云搜索服务（ES）的应用场景。 云搜索服务Elasticsearch类型集群适用于日志分析、站内搜索等场景。 日志分析 对IT设备进行运维分析与故障定位、对业务指标分析运营效果。 统计分析：20余种统计分析方法、近10种划分维度。 实时高效：从入库到能够被检索到，时间差在数秒到数分钟之间。 可视化：表格、折线图、热图、云图等多种图表呈现方式。 站内搜索 基于行业领域数据，通过模型训练进行预测性分析，及早发现系统问题，或针对后续数据快速进行结果判断，实现行业知识与AI技术的深度结合。

事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本文帮助您快速熟悉服务器的解绑的操作方法。 操作场景 当您不需要云服务器通过已绑定的虚拟IP去访问服务的话，您可以选择解除虚拟IP和云服务器之间的绑定关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成虚拟IP、弹性云主机的创建及绑定关系。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击虚拟IP所在的子网。 5. 进入子网详情界面，点击“虚拟IP”页签，在需要解绑云服务器的虚拟IP地址所在行的操作列下，单击：“更多”，选择“解绑服务器”。 6. 在弹窗中选择需要解绑的“服务器类型”：云主机/物理机。 7. 选定服务器类型后选择需要解绑的网卡。 8. 单击“确定”按钮。 注意 如果需要删除已绑定虚拟IP的云服务器，建议您先解绑服务器与虚拟IP的绑定关系。 请谨慎删除与虚拟IP绑定的主服务器或者网卡，有可能会导致备服务器或网卡流量不通等现象。 对于部分可用区资源池来说，如果您需要解除辅助弹性网卡与云服务器之间的关系，请先确保您已解除虚拟IP与辅助弹性网卡的绑定关系。 对于地域资源池来说，如果您要解除扩展网卡与云服务器之间的关系，解除后扩展网卡上的虚拟IP会自动从云服务器上解绑。 若虚拟IP下仅绑定了一个服务器且该虚拟IP绑定了弹性IP，需先解绑弹性IP才可解绑服务器。 部分可用区资源池暂不支持虚拟IP无序解绑云服务器，请先解绑备服务器再解绑主服务器。实际情况以控制台展示为准。

数据库增值服务包 天翼云针对客户有长期需求的项目，提供由专家服务团队负责全面技术运维工作的长期服务，确保客户数据库在服务期间稳定运行，服务内容包括但不限于： 定期健康巡检。 故障诊断分析及处理。 7 24小时微信工作群和电话支持服务。 数据库管理员 数据库管理员简称DBA，是从事管理和维护数据库管理系统（DBMS）相关工作人员的统称。DBA负责的工作可能涉及：容量规划、安装、配置、数据库设计、迁移、性能监测、安全性、故障排除，以及备份和数据恢复等。 数据库上云 数据库上云是指将企业IT系统使用的本地自建数据库迁移到云数据库，企业数据库上云后，比之使用本地自建数据库具有运维简单、可弹性扩容、服务稳定性好、容灾方案灵活等优势，可以让企业将更多的精力放在业务上。 数据库迁移 数据库迁移指数据库随着应用业务从一个环境迁移到另一个环境，例如，从本地 IDC 迁移到云上，或者从某个云迁移到另一个云上。

本文为您介绍云审计产品的定义。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。

内网DNS可实现后端服务器故障，其他服务器接管此服务，本节帮助您了解后端服务器故障，其他服务器接管此服务的解决方案。 操作场景 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 解决方案 为ECS1提供的服务创建一个内网域名，这样当ECS1故障时，通过修改内网DNS的域名解析记录即可切换为ECS2. 无需中断业务，也不需要重新发布网站。 表1内网域名配置详情： 设备 内网域名 关联VPC 内网IP 记录集类型 说明 ECS1 main.finance.test vpcfinance 10.0.0.4 A 公共接口ECS ECS2 vpcfinance 10.0.0.5 A 备份公共接口ECS RDS1 main.db.test vpcfinance 10.0.1.1 A 数据库，用于存储业务数据 RDS2 vpcfinance 10.0.1.2 A 备份数据库 操作步骤 1. 登录到内网DNS控制中心页面。 2. 单击控制中心顶部的，选择“地域”，此处我们选择华东1。 3. 单击“创建内网域名”。 4. 在“创建内网域名”弹窗，参考“表1内网域名配置详情”创建内网域名finance.test 和db.test。 5. 在创建好的内网域名，单击“管理记录集>添加记录集”创建A记录。 6. 参考“表1 内网域名配置详情”，完成内网域名及记录集创建配置。 7. 设置云主机的DNS服务地址为内网DNS地址。具体步骤可参见更改主机DNS使内网DNS配置生效。 8. 当ECS1故障时，在内网域名的记录集下修改记录集的IP地址为ECS2的地址。这样用户的程序和接口均不需要变化既可以替换到备用云主机继续提供服务。

Model API支持自定义路由管理,您可以自定义路由匹配规则,实现路由的精细化管理。 创建路由 1. 登录 云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入实例概览。 3. 在左侧导航栏，选择"Model API"，然后单击目标API名称进入API详情页面。 4. 单击路由列表，然后单击创建路由，在创建路由面板填入路由配置，并单击保存按钮。 配置 说明 路由名称 自定义路由名称 路由描述 添加路由描述 路径（Path） 选择路径，支持当前LLM协议下的路由 更多匹配规则 自定义匹配规则，创建多个相同路径路由时，支持配置方法、请求头、请求参数、Cookie，来区分不同路由 场景 单模型服务：选择一个LLM服务，并可以按需选择透传或指定模型名称 多模型服务：可选择多个LLM服务，并支持流量比例配置 后端服务 选择后端服务 更新路由 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入实例概览。 3. 在左侧导航栏，选择"Model API"，然后单击目标API名称进入API详情页面。 4. 单击路由列表，单击目标路由，进入路由详情页。 5. 单击路由详情页右上角编辑按钮，在路由编辑面板中填入编辑内容，并单击保存。 删除路由 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入实例概览。 3. 在左侧导航栏，选择"Model API"，然后单击目标API名称进入API详情页面。 4. 单击路由列表，单击目标路由，进入路由详情页。 5. 单击路由详情页右上角删除按钮，并在弹窗中单击确认。

本文主要介绍主机组中新增云主机后,如何启动日志采集。 如果需要在已经完成接入配置的主机组中新增云主机，需要在新增的云主机上安装采集器，才可启动日志采集。 前提条件 已完成目标主机组的接入配置。 在目标主机组中已新增了相关云主机。 操作步骤 1. 登录云日志服务控制台。 2. 点击左侧菜单栏主机管理。进入主机组列表。 3. 点击目标主机组名称，进入主机组详情页。 4. 在云主机配置下，点击【查看采集器安装命令】按钮，根据当前页面指引与采集器命令，完成采集器安装。 注意 若新增的云主机与原云主机不在同一个VPC内，则您还需要在新接入的VPC中创建终端节点，详情请参考

云下一代防火墙不支持长期存储日志数据,如有日志审计需求,可将云下一代防火墙日志syslog发送至日志服务或日志审计设备,进行日志审计。 操作方法 打开菜单栏，【监控→日志→日志配置→日志服务器配置→新建】，选择发送的日志类型及使用端口及协议，主机名称为日志服务器IP地址。

本文将介绍HTTP API下的路由和各种路由场景。 概述 云原生API网关基于用户配置的host，path，query，header，cookie等信息配置特定的转发规则，当前云原生API网关支持多种路由方式，包括单服务路由、多服务路由、标签路由、mock和重定向路由等。 单服务路由 单服务路由根据用户配置的路由规则将请求转发到单个后端服务，例如请求匹配/path1转发到svc1，匹配/path2转发到svc2。 多服务路由 多服务路由模式下支持将请求转发到多个不同的后端服务，每个后端服务配置不同的访问权重（总权重之和为100%）；该模式可用于灰度发布等场景；如对于到/path的请求，30%转发到svc1,70%转发到svc2。 标签路由 针对同一个服务，可以根据nacos或者k8s中记录的服务标签信息将服务分组；标签路由模式下，支持将请求在同一个服务的不同标签分组之间分流；例如，根据服务标签信息将testSvc打上v1和v2两个标签，可以在匹配路由时30%的流量转发到v1版本，70%的流量转发到v2版本： Mock路由 该模式主要用于测试场景，可以配置路由直接返回mock内容，包括HTTP状态码，返回内容等信息，例如针对/path的请求返回HTTP 200，内容为"Hello!"：

本节介绍网络的用户指南:服务发现DNS。 云容器引擎使用coreDNS做集群内部域名解析。集群内部应用间可通过Service域名调用，coreDNS会将Service域名自动转换为对应的Service IP地址，可确保不同部署环境内部访问入口的一致。 关于服务发现DNS详细配置和管理，请参见服务发现DNS。

查看网页防篡改防护列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御>网页防篡改>防护配置”界面，查看服务器的防护状态。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 状态说明 参数名称 说明 防护状态 防护中：HSS为该服务器提供静态网页防篡改防护。 动态防篡改状态 动态网页防篡改的状态。 已开启动态网页防篡改。 未开启动态网页防篡改。开启动态网页防篡改功能，要重启Tomcat才能生效。 静态防篡改攻击 检测静态网页文件被攻击、被篡改的行为次数。 动态防篡改攻击 检测web应用的漏洞利用、注入攻击等行为次数。 主机列表导出 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>主机管理”，选择“云服务器”界面。 5、在云服务器列表右上角单击，导出云服务器列表详情。 注意 当前云服务器详情导出单次最大支持1000台服务器。

云服务备份计费项包括存储费，存储费根据存储库的不同进行收取，存储费包括4个计费项：云主机备份存储库，云硬盘备份存储库，SFS Turbo备份存储库和数据库服务备份存储库。 资费项 计费项 含义 适用的计费模式 :::: 存储费 云硬盘备份存储库 备份云硬盘时，需要购买云硬盘备份存储库用于存放云硬盘产生的备份。 按需计费 存储费 云硬盘备份存储库 备份云硬盘时，需要购买云硬盘备份存储库用于存放云硬盘产生的备份。 包年包月 存储费 云主机备份存储库 备份普通云主机（不包含数据库等应用）时，需要购买云主机备份存储库用于存放云主机产生的备份。 按需计费 存储费 云主机备份存储库 备份普通云主机（不包含数据库等应用）时，需要购买云主机备份存储库用于存放云主机产生的备份。 包年包月 存储费 SFS Turbo备份存储库 备份SFS Turbo文件系统时，需要购买SFS Turbo备份存储库用于存放SFS Turbo文件系统产生的备份。 按需计费 存储费 SFS Turbo备份存储库 备份SFS Turbo文件系统时，需要购买SFS Turbo备份存储库用于存放SFS Turbo文件系统产生的备份。 包年包月 存储费 数据库服务器备份存储库 备份包含数据库等应用的云主机时，需要购买数据库服务器备份存储库用于存放云主机产生的备份。 按需计费 存储费 数据库服务器备份存储库 备份包含数据库等应用的云主机时，需要购买数据库服务器备份存储库用于存放云主机产生的备份。 包年包月 存储费 混合云备份存储库 混合云备份分为文件备份和VMware备份，购买存储库时请根据实际情况进行购买。 按需计费 存储费 混合云备份存储库 混合云备份分为文件备份和VMware备份，购买存储库时请根据实际情况进行购买。 包年包月

本节主要介绍产品定义 云迁移工具RDA是一个部署在Windows主机上的云迁移工具，用于发现应用的基础设施，提供其迁移到天翼云的推荐配置以及主机和对象存储的一站式迁移能力。 说明

通过弹性云主机控制台查看GPU监控项 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页点击某一GPU云主机的主机名称进入主机详情页。 5. 点击“监控”tab，选择“GPU使用率”或"显存使用率"即可查看该台GPU云主机下全部显卡的这两个GPU监控项。 通过云监控控制台查看GPU监控项 目前有两种方式可以进入云监控控制台查看GPU监控项，具体如下： 方式一 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页点击某一GPU云主机的主机名称进入主机详情页。 5. 点击“监控”tab，点击"查看更多监控指标详情"跳转至云主机监控控制台。 6. 点击“操作系统监控>GPU”,查看全量的GPU监控项。若该台GPU云主机挂载了多块显卡，则可在下拉框中选择对应的GPU查看该GPU的GPU使用率、GPU显存使用量、GPU显存使用率、GPU温度、GPU功耗。 方式二 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 选择“管理与部署> 云监控服务”。 4. 单击"主机监控>云主机监控"，进入云主机监控列表页。 5. 选中所要查看的GPU云主机，点击“操作>查看监控图标”，进入云主机监控详情页。 6. 若该台GPU云主机挂载了多块显卡，则可在下拉框中选择对应的GPU查看该GPU的GPU使用率、GPU显存使用量、GPU显存使用率、GPU温度、GPU功耗。 注意 1. 如未安装驱动则GPU监控项将为空，请您安装驱动。 2. 目前图形加速基础型GPU云主机的GPU温度、GPU功率为空，无法提供监控告警。

参数 描述 虚拟私有云 RDSPostgreSQL实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建RDSPostgreSQL实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDSPostgreSQL会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 安全组 内网安全组限制实例的安全访问规则，加强RDSPostgreSQL服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。

资源分组列表展示用户在云监控服务拥有的全部资源分组及各个分组的资源和健康度概况。 操作步骤 1. 在管理控制台左上角选择区域和项目。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“资源分组”，进入“资源分组”页面。 在“资源分组”页面可以查看用户创建的所有资源分组，如下表所示。 表 资源分组列表参数说明 参数 说明 名称/ID 资源分组的名称/ID。 说明 分组名称小于等于128个字符，只能为字母、数字、汉字、、。 健康状态 组内所有资源均未发生告警，为健康状态。 只要组内有资源正在告警，为不健康状态。 组内所有资源均未设置告警规则，提示未设置告警规则。 不健康资源数 组内所有正在告警的资源数总和。例如您有2台弹性云主机 、1个云硬盘正在告警，则不健康资源数为3。 资源总数 组内所有资源的数量，例如组内有2台弹性云主机 ，1个云硬盘，1个弹性IP四个资源，则资源总数为4。 资源类型数 组内资源类型的数量，例如组内有2台弹性云主机 、1个云硬盘两种资源类型，则资源类型数为2。 归属企业项目 拥有资源分组权限的企业项目名称。 创建时间 资源分组的创建时间。 操作 目前支持修改、删除组两种操作。

检查方式 HTTP 请求检查 HTTP 请求方式针对的是提供HTTP/HTTPS服务的容器，集群周期性地对该容器发起HTTP/HTTPS GET请求，如果HTTP/HTTPS response返回码属于200~399范围，则证明探测成功，否则探测失败。使用HTTP请求探测必须指定容器监听的端口和HTTP/HTTPS的请求路径。 例如：提供HTTP服务的容器，HTTP检查路径为：/healthcheck；端口为：80；主机地址可不填，默认为容器实例IP，此处以172.16.0.186为例。那么集群会周期性地对容器发起如下请求：GET 图 HTTP请求检查 TCP 端口检查 对于提供TCP通信服务的容器，集群周期性地对该容器建立TCP连接，如果连接成功，则证明探测成功，否则探测失败。选择TCP端口探测方式，必须指定容器监听的端口。 例如：我们有一个nginx容器，它的服务端口是80，我们对该容器配置了TCP端口探测，指定探测端口为80，那么集群会周期性地对该容器的80端口发起TCP连接，如果连接成功则证明检查成功，否则检查失败。 图 TCP端口检查 执行命令检查 命令检查是一种强大的检查方式，该方式要求用户指定一个容器内的可执行命令，集群会周期性地在容器内执行该命令，如果命令的返回结果是0则检查成功，否则检查失败。 对于上面提到的TCP端口检查和HTTP请求检查，都可以通过执行命令检查的方式来替代： 对于TCP端口探测，我们可以写一个程序来对容器的端口进行connect，如果connect成功，脚本返回0，否则返回1。 对于HTTP请求探测，我们可以写一个脚本来对容器进行wget。 wget 并检查response 的返回码，如果返回码在200~399 的范围，脚本返回0，否则返回1。如下图： 图 执行命令检查 注意 必须把要执行的程序放在容器的镜像里面，否则会因找不到程序而执行失败。 如果执行的命令是一个shell脚本，由于集群在执行容器里的程序时，不在终端环境下，因此不能直接指定脚本为执行命令，需要加上脚本解析器。比如脚本是 /data/scripts/healthcheck.sh ，那么我们使用执行命令检查时，指定的程序应该是 sh /data/scripts/healthcheck.sh 。究其原因是集群在执行容器里的程序时，不在终端环境下。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 说明 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址。 说明 目前支持选择IPV4和IPV6网段的子网。 内网安全组 内网安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 数据库端口 数据库端口默认8635，实例创建成功后可修改。文档数据库服务访问的数据库端口与数据库缺省值有区别，且需在安全组中添加相应规则，以免影响使用。 说明 数据库端口即dds mongos节点数据库的端口，默认为8635。 shard节点的端口为8637，config节点的端口为8636，且不支持修改。 IPV6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。

本文主要介绍云日志服务中查看告警事件历史。 告警事件历史展示当前租户下所有告警事件历史，支持筛选及查看详情。 功能入口 1. 登录云日志服务控制台。 2. 在左侧导航栏中选择告警管理告警事件历史。 功能说明 告警事件历史页面展示当前租户下所有告警事件信息。 支持对事件名称、事件状态、事件对象进行筛选。 事件名称：显示告警规则名称。 事件状态：显示事件当前状态是告警中、已恢复、静默。 事件对象：指触发告警的日志项目。 支持查看事件详情。 支持查看告警详情。

流程概述 自建MySQL服务器 创建VPC 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击服务列表图标，选择“网络 > 虚拟私有云。进入虚拟私有云信息页面。 4、单击“创建虚拟私有云”购买VPC。 5、单击“立即创建”。 6、返回VPC列表，查看创建VPC是否创建完成。当VPC列表的VPC状态为“可用”时，表示VPC创建完成。 创建安全组 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“网络 > 虚拟私有云”。进入虚拟私有云信息页面。 4、选择“访问控制 > 安全组”。 5、单击“创建安全组”。 6、填写安全组名称等信息。 7、单击“确定”。 8、返回安全组列表，单击安全组名称“sg01”。 9、选择“入方向规则”，单击“添加规则”。 10、配置入方向规则，放通数据库3306端口。 创建ECS（MySQL服务器） 购买弹性云服务器，用于安装MySQL社区版。 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“计算 > 弹性云服务器 ECS”。 4、单击“购买云服务器”。 5、配置弹性云服务器参数 安装社区版MySQL 1、打开Xshell客户端 2、填写主机IP和账号密码等信息并登录 3、下载好社区版mysql.zip压缩包传至主机，并编辑好安装脚本 4、在弹性云主机运行数据库安装脚本，执行bash /root/im.sh后，数据库安装成功 5、通过Navicat登录主机搭建好的数据库并新建测试表格数据 6、至此，测试自建库完成搭建 创建目的端RDS 创建RDS实例 1、登录天翼云控制台 2、单机管理控制台区域按钮，选择区域“上海4” 3、单机左侧的服务列表图标，选择“数据库 > 云数据库 RDS”。 4、单击“购买数据库实例”。 5、配置实例名称和实例基本信息。 采用DRS工具进行迁移 创建DRS任务 1、登录天翼云控制台 2、单机管理控制台区域按钮，选择区域“上海4” 3、单机左侧的服务列表图标，选择“数据库 > 数据库复制”。 5、单击“创建迁移任务”，填写迁移信息后点击下一步。 6、配置源端和目的端迁移信息，并单机测试连接显示通过即为两个数据库网络可达. 7、单击“下一步”。确认迁移用户、快照模式和迁移对象。 8、单击“下一步”。等待预检查结果。 9、当所有检查都是“通过”时，单击"下一步”单击“提交任务”。返回DRS实时迁移管理，查看迁移任务状态。 10、迁移完成后可在控制台左侧点击迁移对比查看迁移对比结果

数据管理服务DMS已对接天翼云统一身份认证服务(IAM),可对主子账号订购DMS产品进行权限控制。本文为您介绍订购策略与权限。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明，请参见统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

数据管理服务DMS已对接天翼云统一身份认证服务(IAM),可对主子账号订购DMS产品进行权限控制。本文为您介绍订购策略与权限。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明，请参见统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。