此小节介绍云堡垒机字符命令授权管理。 命令控制策略用于控制用户访问资源的关键操作权限，实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机，根据管理员配置的策略限制，云堡垒机对用户运维过程中执行的命令进行审计和过滤，并返回审计的命令、过滤结果和命令返回的内容，用于会话操作记录、拒绝使用等动作。 命令控制策略支持以下功能项： 支持按策略列表页策略排序区分优先级，排序越靠前优先级越高（优先级可选1100）。 支持以下控制命令的动作。 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认允许或默认拒绝。 提示警告：触发该策略规则后，警告运维用户谨慎执行该命令。 允许执行：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝执行：触发该策略规则后，拒绝执行该命令，界面会提示您在执行命令时会得到该命令不能执行的提示。 新增命令组 您在新增字符命令授权前需要进行新增命令组的操作。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 字符命令授权”，进入“命令授权”页面。 3. 在页面上面选择“命令组”页签，单击“新增”，开始新增命令组。 参数 参数说明 取值样例 名称 自定义命令组的名称。 Test 匹配方式 支持“正则匹配”和“单命令”匹配。 单命令匹配 命令 当匹配方式选择“单命令匹配”时需要填写命令。 /rm 命令正则式 填写命令规则的正则表达式。 enw 风险等级 选择该命令组的风险等级，共可选5个等级：普通、重要、危险、警告、致命。 普通 动作 选择该命令组中的命令触发时产生的动作： 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认允许或默认拒绝。 说明 对于包含“触发审批”动作的命令组，需要当前选择的用户（组）具有审批规则，否则无法配置“触发审批”动作，请先前往工单管理配置审核人。 提示警告：触发该策略规则后，警告运维用户谨慎执行该命令。 允许执行：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝执行：触发该策略规则后，拒绝执行该命令，界面会提示您在执行命令时会得到该命令不能执行的提示。 拒绝执行 说明 提示符、命令采用正则表达式书写。 命令匹配上多条策略时，动作执行优先级：触发审批 > 提示警告 > 允许执行 > 拒绝执行，若未匹配上任何策略则放行。

规模化信息资产管理 标签规模化管理： 善用标签功能。标签由键值对组成，可用于对云资源进行标识，基于标签能实现资源的便捷搜索、整理与分类。通过标签，在发生安全事件时可快速定位影响范围，配置安全策略时也能批量为指定标签资源配置，避免遗漏。 云助手自动化运维： 天翼云云助手（CTCA， Cloud Assistant）是专门为云服务器打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat、Python等），完成运行自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。 当您涉及以下业务场景时，可通过云助手快速实现需求： 上传并运行自动化运维脚本。 执行常见操作任务。 运行已保存的脚本。 批量安装软件或应用。 安装补丁或安全更新。 上传文件或证书到指定目录。 配置审计合规检查： 弹性云主机已接入天翼云云审计，提供统一的云资源操作记录与审计能力。天翼云云审计服务可完整追踪资源配置的历史变更，并基于这些数据支持配置合规性审计、安全事件分析、资源变更追踪与故障排查等多种应用场景，保障云上资产的可控性与安全性，满足内部与外部合规要求。

云资源审计 弹性云主机已接入天翼云云审计供您免费使用，为您提供统一的云资源配置历史追踪、配置合规审计，帮助您支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 云审计可检测当前天翼云账号和所有 IAM 用户的操作记录，可记录通过天翼云控制台、OpenAPI访问和使用云上产品和服务的日志数据。具体支持的云服务审计事件，请参见++支持审计的云产品及关键操作列表++。 云审计默认为您记录最近7天的事件。如需保存更长时间的日志，则需要创建跟踪，将产生的时间记录到日志审计（原生版）或对象存储ZOS。详细操作，请参见云审计++配置事件追踪器++ 当您将事件投递到日志审计（原生版）或对象存储ZOS后，可以通过日志审计（原生版）或对象存储ZOS查询或分析事件。 流日志和流量镜像作用 流量镜像（Traffic Mirror）功能可以将网络流量从某一云服务器的网卡镜像到其他指定的云服务器的网卡上，以便于应用到内容检查、监控分析、问题排查等场景。流量镜像主要是镜像并筛选出符合条件的流量，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击等。更多信息，请参见++流量镜像概述++ 。

本小节介绍如何配置用户运维权限。 在使用云堡垒机进行运维前，管理员需要通过访问授权关联用户和资产，赋予用户对相应资产的访问权限。 操作步骤 1. 管理员admin登录云堡垒机系统。 2. 角色身份切换到“管理角色”。 3. 在左侧导航栏，选择“授权管理 > 资产访问授权”，单击左上角的“新增”按钮。 4. 填写授权基本属性并通过维度属性关联账号以及资产和资产账号。 配置说明： 步骤 说明 步骤一：配置访问授权基本信息 可配置服务协议、状态、生效时间、失效时间等信息。 步骤二：关联用户或用户组 关联用户：赋权给单个系统用户。 关联用户组：批量赋权给整个账号组成员。赋权后，新加入组的用户账号即刻拥有该访问控制权限。 步骤三：关联资产或资产组 关联资产：授权访问单个资产。 关联资产组：授权访问整个账户组。授权后，新加入组的资产可立即被赋权用户访问。 步骤四：关联资产账号 授权访问可访问的资产账号、密码，授权后运维用户可使用该账号密码单点登录到该资产。

本章节向您主要介绍什么是VPN连接、VPN连接的组成部分以及如何访问VPN连接服务。 产品概述 虚拟专用网络（Virtual Private Network，以下简称VPN），用于在企业用户本地网络、数据中心与天翼云云上网络之间搭建安全、可靠、高性价比的加密连接通道。 VPN由VPN网关、对端网关和VPN连接组成。 VPN网关提供了VPC的公网出口，与用户数据中心的对端网关对应。 VPN连接通过加密技术，将VPN网关与对端网关相关联，使数据中心与VPC通信，更快速、更安全地构建混合云环境。 组成部分 VPN网关 ：虚拟专用网络在天翼云上的虚拟网关，与用户本地网络、数据中心的对端网关建立安全私有连接。 对端网关 ：用户数据中心的VPN设备或软件应用程序。控制台上创建的对端网关是云上虚拟对象，用于记录用户数据中心实体设备的配置信息。 VPN连接 ：VPN网关和对端网关之间的安全通道，使用IPsec协议对传输数据进行加密。 访问方式 VPN服务提供了Web化的服务管理平台，即管理控制台。用户可以登录管理控制台访问VPN服务。 如果用户已注册帐户，可直接登录管理控制台，在主页选择“网络 > VPN”。 如果未注册，可先注册天翼云账号后，再使用VPN服务。 约束与限制 VPN服务仅支持VPN网关与对端网关间通过IPSec协议建立安全通道，从而进行点对点通信，不支持SSL VPN能力。 VPN仅支持建立非跨境连接，不支持建立跨境连接。

漏洞扫描服务的安全性如何保障？ 登录扫描过程中或客户需要代为执行基线配置检查脚本，应提供管理员权限的临时账号，并配置登录地址白名单，天翼云安全人员将通过堡垒机进行操作，操作有授权及审计，记录操作日志，报告中将记录各部分检查内容操作负责人员。当扫描检查完成后客户对临时账号进行销毁，并进行销毁验证。 漏洞扫描时会影响现有运行服务吗？ 漏洞扫描是无侵入式的服务，不会对现有运行的服务产生影响。 漏洞扫描服务能修复扫描出来的漏洞吗？ 不能。漏洞扫描服务是一款漏洞扫描工具，能为您发现您的资产存在的漏洞，不能进行资产漏洞修复，但漏洞扫描服务会为您提供详细的扫描结果以及修复建议，请您自行选择修复方法进行修复。 漏洞扫描服务可以扫描本地的物理服务器吗？ 漏洞扫描服务可以扫描本地的物理服务器。若需要扫描本地的物理服务器，需要满足本地网络可通外网。 主机扫描支持非天翼云主机吗？ 支持，目前支持Linux主机和Windows主机。

ECX的安全性如何保障？ 节点访问安全：边缘物理机开启防火墙，只允许白名单IP访问。物理机上部署安全卫士，实时监测可疑入侵操作。物理机权限严格控制，所有操作通过堡垒机登录执行。定期执行物理机的漏洞扫描，对主机系统漏洞发现、开放端口扫描、弱口令检测及配置脆弱性检测，并对扫描检测结果进行分析、形成报告。节点可以根据用户需求部署硬件、软件防火墙。 用户数据安全：对外暴露的客户控制台通过https方式访问；客户保存的密码都严格按照安全的要求，避免弱密码；客户的证书文件统一加密存储。 安全合规：按国家相关部门要求对域名、IP备案进行监测；对敏感端口进行统一管理，符合要求后才可放开；统一接入信安系统，在发现违规行为时一键按规定关停服务。 ECX包括哪些产品形态？ ECX包括虚拟机、裸金属产品形态。虚拟机、裸金属均支持线上自助开通，裸金属资源按需开放，如需购买请联系您的客户经理，或者提交客服工单，亦或直接拨打客服热线。

此小节介绍云堡垒机图形审计。 可审计对象为授权的资产数据角色产生的图形访问会话，支持访问实时播放和回放、键盘记录、剪切板记录和中断会话。 操作步骤 1.管理员登录并切换至“审计角色”，选择“会话日志 > 图形审计”。 2.单击“操作”列的“键盘”或“更多 > 剪切板”可查看记录。结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

终端安全EDR 终端检测和响应是一种主动式终端安全解决方案，通过记录终端与网络事件（例如用户，文件，进程，注册表，内存和网络事件），并将这些信息本地存储在终端或集中数据库，结合已知的攻击指示器（Indicators of Compromise，IOCs）、行为分析的数据库来连续搜索数据监测任何可能的安全威胁，并对这些安全威胁做出快速响应，还有助于快速调查攻击范围，并提供响应能力。对应等级保护安全计算环境技术要求。 云数据库审计 云数据库审计（简称DBAudit）能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高资产安全。对应等级保护集中审计技术要求。 云日志审计 云日志审计全面收集安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）并进行存储、监控、审计、分析、报警和报告的系统。对应等级保护集中审计技术要求。 云堡垒机 云堡垒机为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为以便集中报警、及时处理及审计定责。对应等级保护集中审计技术要求。

如何使用CTIAM创建子账号进行分权管理。 场景说明 有些客户在开通天翼云云点播产品后，出于分工管理或者多部门共用的需要，希望可以开通多个子用户共同使用云点播。其中的角色分工可能包含管理员、各项目的运营方等。其中各角色的主要职能如下： 管理员：拥有全局管理权利。 运营方：负责配置转码工作流，上传媒资内容，并获取播放链接地址发布在点播网站上。但运营方只能操作自己存储桶的文件，配置自己的专属工作流，不能修改其他运营方的转码配置。 多人开发如果使用同样的权限和账号密码，很容易造成误删、误操作的动作影响整体的业务安全。同时多人分享账号密码也容易造成密码泄露。因此需要有一套主子账号机制，给每个角色分配不同的权限，以实现各自职能并保障安全。 前提条件 已经在天翼云完成实名注册认证，获得了天翼云账号。 已经开通天翼云云点播产品。 当前配置人员具备主账号权限。 总体实施步骤 总体实施步骤一共分为三步： 1. 创建资源。 2. 创建子用户。 3. 为子用户赋予相对应的权限。 创建资源 1. 首先，具备主账号权限的管理员（以下简称“管理员”）需要首先登录云点播控制台。新建一个点播实例。 创建子用户 1. 打开统一身份认证服务，使用您在天翼云官网注册的登录凭证作为主账号进行登录。如下图所示： 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。点击【创建用户】可创建一个新的子用户。如下图所示： 说明 CTIAM创建的子用户同时可能拥有多个产品的操作权限。因此，您可以为每个子用户配置多个天翼云产品的管理权限，而无需按照为每个产品的单独设置一个子用户。 3. 在创建用户的页面，您可根据界面提示设置子用户的名称、联系方式等。需要注意的是：（1）如您需要后续授权该子用户使用云点播控制台，则应将【控制台访问】的选项选中。（2）子用户可使用手机号码、邮箱（如有）作为登录凭证，请确保这两项凭证在当前天翼云租户下的唯一性。（3）云点播尚未对接CTIAM的用户组能力，建议在创建新的子用户时，暂不要将该子用户纳入用户组，以免造成后续不可预知的问题。相关要点如下图所示： 4. 至此，您已在CTIAM下创建了一个新的子用户。但该子用户尚未具备云点播产品的任何权限，因此无法登录和使用云点播任何能力。您还需对该子用户赋予云点播相关权限，详情可查看本文【子用户授权】章节。 5. 关于创建子用户的更多详细操作可以查看教程创建IAM用户。

本章主要介绍产品咨询相关问题。 主机迁移服务是否支持将阿里云、腾讯云等其他云服务商服务器迁移到天翼云？ 支持。主机迁移服务支持的云服务商有阿里云、腾讯云、AWS、Azure及其他云服务商，同时也支持将本地服务器、物理服务器、VM虚拟机等迁移到天翼云弹性云主机。原则上只要是兼容操作系统列表内的x86架构服务器都可以迁移到天翼云。 是否支持将天翼云弹性云主机迁移到本地或其他云服务商？ 您好，不支持将天翼云弹性云服务器迁移到本地或其他云服务商。您可以导出镜像并下载到本地或上传到其他云服务商。 天翼云技术人员是否可以帮我进行迁移？ 您好，主机迁移服务不直接参与您的业务迁移，迁移前您可以查看产品帮助中心，然后实施迁移。如果需要专业的迁移方案和专属工具支持，您可以使用天翼云甄选商城上云专业迁移服务。帮助您平滑迁移业务，缩短整体业务云化周期，解除您的顾虑，让您聚焦于业务发展。 是否支持迁移到专属云、鲲鹏云主机、裸金属服务器？ 专属云主机支持，迁移前请参考专属云页面开通专属云，设置目的端时，选择已创建的专属云。 鲲鹏云主机不支持，请根据鲲鹏相应说明选择专家服务。 裸金属服务器不支持。

本章节为您介绍数据库授权的相关内容。 数据库命令授权是用于拦截数据库会话敏感操作，实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源，当数据库运维会话触发规则，将会拦截数据库会话操作。 数据库命令授权支持以下功能项： 支持按命令组列表排序区分优先级，排序数字越小优先级越高。 支持控制允许、拒行两种命令动作。 允许：默认允许执行所有操作。当触发策略规则后，放行规则集中操作。 拒绝：触发该策略规则后，拒绝执行该操作。 约束限制 仅针对MySQL、Oracle、Postgresql类型数据库，支持通过数据库命令授权设置操作细粒度控制。 新增命令组 您在新增数据库命令授权前需要进行新增命令组的操作。 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 数据库命令授权”，进入“数据库命令授权”页面。 3.在页面上面选择“命令组”页签，单击“新增”，开始新增命令组。 参数 参数说明 取值样例 名称 自定义命令组的名称。 Test 动作 选择该命令组中的命令触发时产生的动作： 允许：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝：触发该策略规则后，拒绝执行该命令，界面会提示您在执行命令时会得到该命令不能执行的提示。 拒绝 SQL命令类型 根据您业务的需求，选择需要进行控制的命令，云堡垒机目前支持选择如下命令： SELECT、INSERT、UPDATE、DELETE、TRUNCATE、CREATE、DROP、ALTER、GRANT、REVOKE。 SELELCT SQL库名 填写命令生效的SQL库名。 Test SQL表名 填写命令生效的SQL表名。 Test 风险等级 选择该命令组的风险等级，共可选5个等级。 普通

本章节介绍如果管理云堡垒机的工单审批规则。 工单功能是指运维用户在申请资源访问权限或命令使用权限时，可通过工单申请资源的范围，以及提交工单的方式。 新增工单审批规则 1. 使用管理员账号登录云堡垒机系统。 2. 在左侧导航栏选择“工单管理”>“审批规则”，进入“审批规则”页面。 3. 单击左上角的【新增】按钮，弹出“规则审批”配置窗口。 4. 在弹出的对话框中配置相关内容，具体见下表，配置完成后单击“提交”。 规则名称 输入您的审批规则名称。 工单类型 选择需要授权的工单类型，根据业务需求选择如下四种类型： 资产访问授权 字符命令授权 文件操作授权 数据库命令授权 数据导出授权 注意 字符授权工单默认开通所有命令的使用权限，若您需要限制高危命令的使用请在“字符命令授权”模块将对应用户纳管入相关授权规则当中。 审核人 选择该审批规则的具体审核人员，可多选。 用户（可选） 选择该条审批规则可以提交的相关用户，可多选。 用户组（可选） 选择该条审批规则可以提交的相关用户组，可多选。 后续管理 若需修改审批规则，可单击“操作”列的“编辑”按钮，在弹出的编辑窗口重新配置相关内容。 若不再需要某条审批规则 ，可在单击“操作”列的“删除”按钮。删除后的信息不能找回，请谨慎操作。

本文汇总了使用天翼云弹性高性能计算产品时常见的操作类问题。 创建集群需要哪些步骤？ 首先在天翼云官网选择“计算”——“弹性高性能计算”，进入弹性高性能计算控制台。在控制台首页点击“创建集群”后，根据创建流程配置集群、管理节点、队列与计算节点，详细的操作步骤请参考“创建集群”章节。 集群从开始创建到可用预计需要多长时间？ 创建集群所需时间与您所选的机型和配置有关，通常几分钟内即可创建完成，但创建完成后集群还需要进行自动初始化，在此过程中请不要进行关机、重启等操作，请您在集群状态变为“可用”后再进行操作。 能否自己安装或者升级操作系统？ 不能。 天翼云弹性高性能计算产品在集群创建时已为您集成默认镜像中的操作系统，为保证集群能够正常使用，请您不要自行安装或升级操作系统，自行操作风险不可控，可能会导致您的业务无法进行。 正在运行的集群是否支持增删节点？ 支持。 您可以在节点列表中对计算节点进行增删操作，但在删除节点前请确认是否有在该节点上正在运行的作业，如果强行删除节点会导致作业终止。 暂不支持增删管理节点，在物理机列表中删除管理节点会导致集群不可用。 可以使用物理机控制台对弹性高性能计算集群的节点进行操作吗？ 如果您需要对节点进行操作，请直接在弹性高性能计算控制台操作，在物理机控制台进行开关机、重启、重装系统等操作可能会造成集群或部分节点状态异常以及集群相关资源不可使用等问题。

本文为您介绍天翼云云硬盘的产品优势,如规格丰富、弹性扩展等。 天翼云云硬盘为用户提供高性能、高可靠、低延迟的块存储服务，具体优势如下： 规格丰富 根据性能不同将云硬盘分为普通IO、高IO、通用型SSD、超高IO、极速型SSD、XSSD0、XSSD1、XSSD2、XSSD3，用户可根据业务需求与成本预算选择适合的云硬盘，将其挂载至弹性云主机或物理机作为系统盘或者数据盘使用。云硬盘各类规格详情可参见产品规格。 弹性扩展 天翼云云硬盘提供两种方式在线扩展存储空间以满足用户不断增大的存储空间需求。 通过单台弹性云主机上挂载多块云硬盘的方式扩展存储空间。单台云主机挂载总数量不可超过单台云主机挂载数量配额。 通过对单块云硬盘进行扩容实现存储空间的扩展。扩容云硬盘会受到单个云硬盘容量最大值和单个用户在某地域内的容量配额影响，用户新扩容的容量不能超过单个云硬盘容量最大值以及系统所显示的剩余容量配额。 说明 单台云主机通过工单申请后最多可挂载23块云硬盘。 单个云硬盘容量的最小值为10GB，X系列云硬盘最大值为64TB，其他类型云硬盘最大值为32TB。 您可以在[配额页面](

公共命令是由天翼云提供给所有用户使用的云助手命令,适用于软件的安装或卸载、实例状态诊断等场景。本文为您介绍如何查看和执行云助手公共命令。 背景信息 公共命令是天翼云创建的云助手命令，对所有天翼云用户可见。通常包含一些比较复杂的服务器配置、健康或安全检测、文件处理、系统补丁安装、更改系统配置的脚本。 相比较普通命令，公共命令的内容、发布以及升级会由天翼云统一负责维护。公共命令发布后，您可以直接查看命令的详细内容，并可以在弹性云主机或物理机实例上执行命令及查看执行进度和结果。使用公共命令，可以快速地完成某些复杂配置，很大程度提升您的操作和运维效率。 备注：天翼云创建的公共命令按需陆续更新。 操作步骤 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择公共命令标签页，如下图所示： 3. 可以根据命令名称了解命令的主要功能，选择想要查看的公共命令，点击右侧更多>查看详情 可以查看命令的详细信息。 4. 选择需要执行的公共命令，点击执行命令。 5. 选择需要执行命令的实例，点击执行命令即可实现免登录执行命令，如下图所示：

天翼云售后团队向客户提供的关于第三方软件的建议只适用于有经验的系统管理员或其他相关IT人员，并由客户评估决策是否采纳和实施；天翼云将基于已有经验，尽最大努力为客户提供以下第三方软件在云主机/操作系统环境中安装、配置和疑难排解的建议，确保其在天翼云云主机/操作系统环境中正常运行；天翼云不负责以下第三方软件的安装、调试、更新以及对建议的实施。 第三方软件目录及问题服务范围举例： 第三方软件目录 服务范围：示例 非服务范围：示例 SSH 通过SSH无法连接云主机、远程连接端口号修改 SSH的文件传输、隧道代理、远程执行命令、端口转发和SSH代理、安全加固功能 Windows mstsc远程连接 通过mstsc无法远程连接、远程连接端口号修改 资源共享和多人远程连接 SFTP SFTP无法启动，使用系统账号登录的配置方法 SFTP的用户配置以及用户访问权配置等，传输速度优化 FTP FTP无法启动，使用系统账号登录的配置方法 FTP服务安全加固，传输速度优化 Apache 端口无法监听以及网站无法访问 Apache的优化配置 IIS IIS启动后访问报错，网站无法访问，如403错误、404错误 托管和管理各种类型的 Web 应用程序和服务、脚本语言语法支持、配置优化 Nginx Nginx端口无法监听、网站无法访问 Nginx调优、代理转发 MySQL与Microsoft SQL Server MySQL以及SQL Server监听内网端口修改 MySQL以及SQL Server的SQL语句优化以及配置 Linux IPtables与Windows Firewall IPtables基本策略语法指导，如filter表的accept以及drop指导、nat以及端口转发以及windows firewall的关闭开启，入方向以及出方向基础规则 基于IPtables的负载均衡、链接追踪、限速、代理以及高级安全设置 Network以及NetworkManager 公共镜像的网卡获取IP异常、静态IP/动态IP配置 虚拟IP、bond、网卡策略的配置

本节介绍了云容器引擎的最佳实践：某量子云平台迁移项目。 项目概述 某量子云平台对外提供量子计算机实验/实操服务，其应用架构由他云迁移到天翼云，通过天翼云实现应用组件化和容器化，通过K8S统一部署和管理业务。 该平台包括官网、博客网站、web管理后台等系统。 容器支撑方案 迁移使用的容器架构图如下： 研发迭代更高效：使用crs镜像服务一键部署应用 便于扩容快弹性高：使用HPA弹缩pod 解决内外网互连互通：使用Nginx+Spring GateWay实现内外网流量隔离和路由转发 底层资源占用少：使用csi插件动态挂载sfs存储 助力运维更便捷：使用云日志插件采集容器日志 最终效果 2023年6月迁移至天翼云试运行，12月已付费容器并运营至今，现业务稳定运行。

此小节介绍云堡垒机图形审计。 可审计对象为授权的资产数据角色产生的图形访问会话，支持访问实时播放和回放、键盘记录、剪切板记录和中断会话。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择 “会话日志 > 图形审计”。 2.单击“操作”列的“键盘”或“更多 > 剪切板”可查看记录，结束时间为空说明是活动会话，单击“播放”可实时观看会话，单击“中断”可中断该会话。

如何确定专属云中计算服务器（物理服务器）数量及使用余量？ 您可以在专属云总览页面查看物理机服务器的数量及使用余量。 专属云容器引擎中的节点服务器是独占的吗？ 计算服务器是独占的，您享有对物理服务器及其上云主机计算资源的完全使用权，与其他用户完全硬件隔离。 专属云中的云容器引擎与天翼公有云中的云容器引擎功能有什么不同？ 除开通的资源是否为专属资源有差别外，专属云和公有云中的云容器引擎产品能力基本一致。 专属云中网络是否隔离？ 对于计算独享和存储独享型场景，网络资源逻辑独享，您可独占VPC，您与其他用户之间的网络相互隔离。 专属云云容器引擎中是否支持开通物理机节点？ 支持。

第1章 服务概述 远程运维服务是天翼云基于实践经验，为客户提供的远程技术支持和运维服务，帮助企业客户做好天翼专有云、公有云、混合云的运维管理，提升运维效率，增强系统安全性和合规性。 第2章 应用场景 混合云运维：当企业同时使用天翼专有云和公有云，特别是跨地域或跨国时，远程运维服务可以提供集中管理和统一维护的能力。 专有云运维：天翼专有云运维可以通过远程桌面、VPN连接、堡垒机等技术，提供远程运维支持和故障排查，降低运维成本。 公有云运维：公有云通常是分布式的，服务器和资源可能分布在不同的地理位置，使用远程运维服务可以轻松地管理和监控这些分布式资源，无需到达每个位置。 第3章 服务优势 降低运维成本：驻场运维涉及差旅、住宿、交通等费用，远程运维通过远程访问工具，减少或消除这些额外费用。 快速响应和故障排除：实时监控系统状态并迅速响应故障，远程迅速诊断和解决问题，无需到达现场，减少系统停机时间，提高业务连续性。 弹性灵活：远程运维服务可根据需求进行扩展和调整，适应不同规模和复杂度的系统，远程运维都可以提供灵活的支持。

提前创建的云资源列表 • 虚拟私有云 • 弹性云主机 • 负载均衡 • 弹性公网IP • 对象存储 • 数据库 部署容灾业务操作流程 步骤一：创建命名空间 1. 在多活容灾服务平台首页，单击【命名空间> 创建命名空间】。 2. 在【创建命名空间】页面，根据界面提示配置参数。 3. 配置完成后，单击【立即创建】，创建完成后命名空间页面展示出对应项目。 步骤二：资源管理 1. 在【资源管理>负载均衡ELB】页面，单击【同步天翼云负载均衡】。 2. 选择资源所属地域，同步天翼云负载均衡实例。 3. 在【资源管理>云主机】页面，选择命名空间后，点击【同步天翼云云主机】。 4. 选择资源所属分区，同步天翼云云主机。 5. 在【资源管理>数据库】页面，选择命名空间后，点击【同步天翼云数据库】。 6. 选择资源所属地域、数据库类型后，同步天翼云数据库。

此小节介绍云堡垒机的账户同步策略。 新建帐户同步策略 帐户同步策略用于对主机资源账户自动同步，管理主机上资源账户，及时发现僵尸帐户或未纳管帐户，加强对资源的管控。 帐户同步策略支持以下功能项： 支持通过策略手动、定时、周期同步主机上资源账户。 支持拉取目标主机上帐户，判断帐户的可用情况，并更新系统资源账户状态。 支持将系统资源账户信息同步到主机，更新主机上帐户密码、新建主机帐户、删除主机非法帐户。 约束限制 仅专业版云堡垒机支持执行帐户自动同步。 仅SSH协议类型的主机，支持通过策略进行资源账户同步。 每个目标资源主机仅限一个资源账户登录并执行拉取帐户任务。 前提条件 已获取“帐户同步策略”模块操作权限。 新建帐户同步策略 1 登录云堡垒机系统。 2 选择“策略 > 帐户同步策略 > 策略列表”，进入策略列表页面。 帐户同步策略列表 3 单击“新建”，弹出新建帐户同步策略窗口。 4 配置策略基本信息。 帐户同步策略基本信息参数说明 参数 说明 策略名称 自定义的帐户同步策略名称，系统内“策略名称”不能重复。 执行方式 选择帐户同步执行方式，可选择“手动执行”、“定时执行”、“周期执行”。 “定时执行”和“周期执行”需同时配置动作执行时间或周期。 l 手动执行：手动触发策略，修改资源账户密码。 l 定时执行：定期自动触发策略，修改资源账户密码。仅执行一次。 l 周期执行：周期自动触发策略，修改资源账户密码。可按周期执行多次。 执行时间 定期执行策略的日期。默认执行时刻为日期的凌晨零点。 执行周期 执行周期同步，需输入同步周期。 l 可选择每分钟、每小时、每天、每周、每月。 l 需同时选择“结束时间”，否则将无限期执行周期改密。 同步动作 选择同步方式，默认选择“拉取帐户”。 l 拉取帐户：扫描目标主机的所有帐户，并统计所有正常、 异常帐户信息。 l 推送帐户：将资源账户同步到目标主机，更新主机密码、 或新建主机帐户、或删除主机非法帐户。 连接超时 自定义连接目标主机的超时时间，连接超时断开连接，中断帐户同步任务。 l 默认为10秒。 5 单击“下一步”，配置执行帐户或帐户组，选择已创建资源账户或帐户组。 每个目标主机仅限配置一个帐户执行同步任务。 配置执行资源账户 6 单击“确定”，返回策略列表页面，查看新建的同步帐户策略。 帐户同步策略执行后，可以下载执行日志，获取同步的资源账户信息。

是否可以通过控制中心远程登录 SSH登录失败时，请首先尝试能否通过管理控制中心远程登录物理机。 1. 登录管理控制中心。 2. 选择“计算 > 物理机”。 3. 选择待登录的物理机，单击“操作”列的“远程登录”。 开始建立连接，大约1分钟后进入登录界面，按“Enter”后输入用户名“root”和密码。 排查思路 远程登录物理机正常，但无法通过SSH连接方式登录物理机时，我们推荐您按照以下思路排查问题。 检查网络是否正常 请确保您的计算机与物理机在同一网络中。 检查网络连接是否稳定，排除网络故障的可能性。 安全组配置是否正确 请确保物理机所在的安全组配置允许SSH连接。 检查安全组规则是否正确设置，确保SSH端口（默认为22）是开放的。 “/etc/fstab”文件中未注释非系统盘信息 检查"/etc/fstab"文件是否有非系统盘（数据盘）的配置，并确保这些配置正确注释或配置正确。 远程访问端口配置异常 检查物理机的SSH服务是否启动，并且监听正确的端口（默认为22）。 请确保网络中没有其他设备占用了相同的端口。 CPU负载过高 检查物理机的CPU使用率，如果CPU负载过高可能会导致SSH连接失败。 如果负载过高，尝试释放物理机的资源或优化应用程序以减轻CPU负载。 如果上述指导无法帮助您远程登录物理机，请记录资源信息和问题发生时间，然后提交工单，联系天翼云技术支持。 远程登录物理机时，对浏览器版本有什么要求？ 用户使用远程登录方式访问物理机时，需要使用兼容的浏览器版本。以下是支持的浏览器版本列表： 浏览器 版本 Google Chrome 31.075.0 Mozilla Firefox 27.062.0 Internet Explorer 10.011.0 请确保您使用的浏览器版本在上述范围内，以获得最佳的远程登录体验。如果您的浏览器版本不在支持列表中，建议您升级至兼容的版本或尝试其他支持的浏览器。

主机迁移服务是否支持将阿里云、腾讯云等其他云服务商服务器迁移到天翼云？ 支持。主机迁移服务支持的云服务商有阿里云、腾讯云、AWS、Azure及其他云服务商，同时也支持将本地服务器、物理服务器、VM虚拟机等迁移到天翼云弹性云服务器。原则上只要是兼容操作系统列表内的x86架构服务器都可以迁移到天翼云。 是否支持将天翼云弹性云服务器迁移到本地或其他云服务商？ 您好，不支持将天翼云弹性云服务器迁移到本地或其他云服务商。您可以导出镜像并下载到本地或上传到其他云服务商。 天翼云技术人员是否可以帮我进行迁移？ 您好，RDA迁移服务不直接参与您的业务迁移，迁移前您可以查看产品帮助中心，然后实施迁移。如果需要专业的迁移方案和专属工具支持，您可以使用天翼云其他的上云专业迁移服务。帮助您平滑迁移业务，缩短整体业务云化周期，解除您的顾虑，让您聚焦于业务发展。 是否支持从一个账号下的弹性云服务器迁移到另一个账号下？ 支持，原账号作为迁移源端，新账号作为迁移目的端。目的端账号要求为二类节点资源池。 迁移过程中对源端是否会有影响，是否会中断业务？ 主机迁移过程中对源端的影响主要体现在网络方面，而对cpu、内存等其他资源影响较小，不会对现有业务产生中断。因迁移数据量通常比较大，所以会比较消耗带宽资源，迁移前建议评估当前带宽及现有业务对带宽的占用情况，合理分配带宽资源给主机迁移服务。

使用模式 四步快速实现“黑猴”最佳游戏体验。 1、用户在天翼云官网或者通过客户经理开通天翼云云电竞服务； 2、本地安装云电竞客户端，打开客户端，根据本地网络带宽情况选择合适的分辨率配置； 3、登录界面通过开通账号及云电竞激活码进行登录，进入电竞桌面； 4、打开预安装的“黑猴”游戏，登录自己的游戏账号进行畅快体验。 使用效果 目前天翼云云电竞游戏环境最优可以支持到2k分辨率下的全景光追效果，画面达到80帧上下，完美体验“黑猴”这款3A大作的魅力。

本小节介绍安全专区云堡垒机映射端口策略配置。 配置方法： 新增资产，点击【资产管理】→【资产管理】→【新增】，如下图为Windows模板进行配置： 注意 红为必填项 资产名称：根据实际网络、设备自定义取名； 系统类型：按业务服务器选择； IP地址段：填写业务服务器的私有IP地址； 资产类别：此处选择服务器； 资产IP：此处填写需要增加资产的实际IP。 通过"查询"按钮可以快速的查询当前已添加的资产。

本节主要介绍主机迁移 主机迁移服务SMS是一种P2V/V2V迁移服务，可以帮您把X86物理服务器或者私有云、公有云平台上的虚拟机迁移到天翼云弹性云服务器上，从而帮助您轻松地把服务器上的应用和数据迁移到天翼云。主机迁移服务SMS已上线，可直接在控制台使用，无需单独安装，主机场景的迁移推荐使用该服务。RDA主要用于对象存储数据的迁移场景。 说明 已完成RDA安装机器和源端待迁移主机hosts文件配置。

步骤三：创建告警规则 1. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则控制台。 2. 在“告警规则”页签下，在页面右上角点击“创建告警规则”。 3. 在“创建告警规则”页面，根据界面提示配置参数。如下图： 1）选择监控对象。按图示顺序依次选择。 2）选择监控指标。 依次选择“自定义创建”，监控指标选择为“文件系统容量使用率“。 可以选择指标的原始值、平均值、最大值、最小值等不同的聚合值作为指标值，并设置监控阈值。容量使用率单位为百分比，可以按需设置85%、90%、95%等值。 聚合周期为计算聚合值的周期，例如选择用平均值进行监控，聚合周期5分钟，则5分钟计算一次平均值作为监控值，出现次数为3次表明3次聚合值达到监控阈值则将触发告警。 选择发送通知即表示同意天翼云云监控服务向您发送告警通知，按实际需求选择告警联系组、触发场景、通知周期等参数。参数定义可参考创建告警规则，更多告警功能使用请参考使用告警功能。 3）规则信息。须填写名称和描述，根据实际情况填写即可。

本文介绍如何使用云监控对ECI实例进行监控。 您可以在云监控控制台查看ECI实例的监控图表，了解ECI实例运行状况，也可以设置报警规则，以便及时得知异常监控数据，并进行处理。 监控指标说明： 天翼云云监控服务是一项可对云产品资源实时监控和告警的服务。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。云监控支持以下ECI实例监控指标： 指标名称 介绍 单位 containermemoryworkingsetbytes 容器当前工作集 Byte machinememorybytes 机器上安装的内存量 Byte containercpuusagesecondstotal 容器累计 CPU 时间消耗 s machinecpucores 逻辑 CPU 核心数 containerfsusagebytes 容器文件系统上容器消耗的字节数 Byte containerfslimitbytes 容器文件系统上可消耗的字节数 Byte containernetworkreceivebytestotal 容器接收字节的累计数量 Byte containernetworktransmitbytestotal 容器传输字节的累计数量 Byte ecimemoryusage ECI内存使用率 % ecicpuusage ECI CPU使用率 % ecifilesystemusage ECI文件系统使用率 % ecinetworkinrate ECI网络接受速率 Byte/s ecinetworkoutrate ECI网络发送速率 Byte/s 查看监控数据 1. 登录[++云监控控制台++](

本文介绍如何使用云监控对ECI实例进行监控。 您可以在云监控控制台查看ECI实例的监控图表，了解ECI实例运行状况，也可以设置报警规则，以便及时得知异常监控数据，并进行处理。 监控指标说明： 天翼云云监控服务是一项可对云产品资源实时监控和告警的服务。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。云监控支持以下ECI实例监控指标： 指标名称 介绍 单位 containermemoryworkingsetbytes 容器当前工作集 Byte machinememorybytes 机器上安装的内存量 Byte containercpuusagesecondstotal 容器累计 CPU 时间消耗 s machinecpucores 逻辑 CPU 核心数 containerfsusagebytes 容器文件系统上容器消耗的字节数 Byte containerfslimitbytes 容器文件系统上可消耗的字节数 Byte containernetworkreceivebytestotal 容器接收字节的累计数量 Byte containernetworktransmitbytestotal 容器传输字节的累计数量 Byte ecimemoryusage ECI内存使用率 % ecicpuusage ECI CPU使用率 % ecifilesystemusage ECI文件系统使用率 % ecinetworkinrate ECI网络接受速率 Byte/s ecinetworkoutrate ECI网络发送速率 Byte/s 查看监控数据 1. 登录[++云监控控制台++](

Web应用防火墙（边缘云版）依托天翼云云安全节点形成云安全边缘网络，区别于传统WAF需要在源站前端部署，Web应用防火墙（边缘云版）把安全能力赋能在所有边缘节点，利用分布式节点部署使计算能力更强，有效降低源站计算压力，提升了用户访问质量的同时保护了源站数据的安全。本节介绍了Web应用防火墙（边缘云版）产品的优势。 自主可控的安全防护能力 基于 AI+ 规则双引擎的 Web 攻击识别，构建一体化应用业务安全防护。 业务流量识别与分析，自定义规则匹配用户业务，避免误拦截、漏拦截。 支持Bot流量管理和智能CC防护。 弹性扩容无惧突发风险 分布式集群防护，单点故障自动转移，确保网站的高可用性。 动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别防护规模。 利用大平台优势，基于全网、全行业流量的攻击数据，结合机器学习算法，构建一套智能防护体系。 便捷的运营与管理 零部署、零运维，支持多云、混合云环境，一键CNAME接入，云端安全专家配置策略。 集中监控和分散维护相结合，NOC 工程师7×24小时集中监控，网络工程师 7×24 小时在线支持，节点现场服务工程师进行服务保障。 支持一键开启IPv6功能，无缝处理IPv4和IPv6流量。 提供可视化报表、态势感知大屏，深入分析安全隐患，清晰把控全局。 敏感的威胁情报感知 0day漏洞快速修复，天翼云安全团队724小时监测，主动发现新型攻击并24小时内响应，帮助用户抵御最新威胁。