本章节介绍了云硬盘备份产品的相关计费说明,包含产品规格和价格,计费项,计费模式,计费模式的变更,到期欠费后的说明等。 计费模式&价格 该服务目前仅提供给部分存量用户使用，云服务备份（CBR）服务融合了云硬盘备份（VBS），新用户请前往云服务备份进行使用。 云硬盘备份当前支持按需的计费方式，计费颗粒度为按小时，按备份存储费的总和收取。 云硬盘备份当前不支持包年、包月的计费方式。 产品名称 按需标准价格（元/G/小时） 云硬盘备份 0.0006 说明 上海 4/ 苏州（ AZ1 ） / 苏州（ AZ2 ） / 苏州（ AZ3 ） / 杭州（ AZ1 ） / 杭州（ AZ2 ） / 芜湖 / 福州（ AZ1 ） / 福州（ AZ2 ） / 深圳 / 广州 4/ 长沙 2 （ AZ1 ） / 长沙 2 （ AZ2 ） / 武汉 2 （ AZ1 ） / 武汉 2 （ AZ2 ） / 西安 2 （ AZ1 ） / 西安 2 （ AZ2 ） / 西安 2 （ AZ3 ） / 贵州 / 成都 3/ 北京 2/华北， 功能升级完成。自动备份策略的执行不再校验账号的按需权限（账户余额大于 100 元），备份策略会正常执行，以最大限度保障您的数据安全性，确保业务安全。

开启资源账户可自动添加Empty的账户。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“资源账户配置”模块的右侧，单击“编辑”，进入“资源账户配置”页面。 4、自动添加Empty账户的状态默认为开启状态，可单击图标关闭或开启资源账户功能。 5、单击“确定”，完成配置。

本节介绍数据安全中心与周边服务的依赖关系。 与弹性云主机的关系 弹性云主机是一种可随时自助获取、可弹性伸缩的云服务器。经用户授权后，数据安全中心可以为弹性云服务器上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与物理机的关系 物理机是一款兼具虚拟机弹性和物理机性能的计算类服务。经用户授权后，数据安全中心可以为物理机上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与对象存储服务的关系 对象存储服务是一款稳定、安全、高效、易用的云存储服务，具备标准Restful API接口，可存储任意数量和形式的非结构化数据。经用户授权后，数据安全中心可以为对象存储提供敏感数据自动识别分类、用户异常行为分析、数据保护三大服务。 与关系型数据库的关系 关系型数据库是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。经用户授权后，数据安全中心可以为关系型数据库服务中的实例提供敏感数据自动识别分类和数据保护服务。 与数据仓库服务的关系 数据仓库服务是一种基于公有云基础架构和平台的在线数据处理数据库，提供即开即用、可扩展且完全托管的分析型数据库服务。经用户授权后，数据安全中心可以为数据仓库服务提供敏感数据自动识别分类和数据保护服务。

本文解答源站域名是否可以和加速域名一致的问题。 源站域名和CDN加速域名不能一致。原因是：用户访问加速域名的网站资源，当CDN节点上没有缓存对应的内容时，CDN节点会回到源站获取，然后再返回给用户。如果源站域名与加速域名一致，将会造成访问请求回环到CDN节点，导致CDN节点无法拉取到正常内容。 天翼云CDN加速产品支持将IP或域名设置为源站，如设置的源站为域名形式，请确保源站域名非加速域名。

本文为您介绍证书管理功能模块详情。 证书管理组件为您提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书生命周期管理 证书管理模块提供高可用、高安全的密钥和证书托管能力，您可以通过控制台或API集中管理证书。 功能 说明 证书托管 支持管理密钥和证书，可以生成证书请求、导入证书和证书链、启用/禁用证书、吊销或删除证书等。 密钥安全存储 证书管家使用托管密码机保障证书密钥的产生、存储安全。 API便于集成 支持多个API接口，帮助在开发环境高效集成证书服务，快速进行产品部署，为您提供快速开发上线证书相关功能的能力。 支持的证书类型 证书类型 说明 数字证书（含私钥） 支持通过证书管理服务生成证书请求，导入或导出数字证书及其证书链，证书私钥由KMS硬件安全模块保护。 Ukey证书（不含私钥） 支持将Ukey中的证书（不含私钥）导出并存入KMS，由KMS统一托管，并支持调用KMS提供的接口实现身份认证中的验签运算。 证书运算API KMS提供云原生的证书运算类API，帮助在开发环境高效集成证书服务，快速实现证书调用。 功能 说明 参考文档 加密解密 证书公钥运算：使用指定证书加密数据。 证书私钥运算：使用指定证书解密数据。 证书公钥加密 证书私钥解密 签名验签 证书私钥运算：使用指定证书生成数字签名。 证书公钥运算：使用指定证书验证数字签名。 证书私钥签名 证书公钥验签

本小节介绍安全专区云数据库审计客户端安装方法。 下载客户端 下载客户端，选择对应的客户端进行下载。 安装步骤 1.下载安装包，根据包中的Agent安装手册提示完成安装及连接配置。 2.填写信息，进行客户端与云数据库审计的连接。 3.在Windows上安装Agent客户端，默认安装即可。 4.执行Agent,选择接收、发送数据包的网卡，并填写相应的信息。 IP地址：云数据库审计管理口地址192.168.0.225； 抓包端口：本地数据库端口，如默认ORACLE端口1521，MSSQL默认1433，MYSQL默认3306，如需添加多个端口，请使用逗号进行分隔； 服务端口：默认云数据库审计设备服务端口，默认9999，请使用默认配置； 缓冲队列个数：缓冲队列大小，使用默认配置即可； 收发网卡：请根据实际情况进行选择，程序支持自动发现功能。 注意 Agent必须要保证始终运行，才能将本地数据库连接信息发送给审计设备，一旦关闭，将不会向审计系统发送本地审计数据，因此请将Agent设置为服务。 5.运行后，如出现如下内容，表示工作，并正常发送数据包。 6.连接成功后，可到【部署方式】，查看已连接到的客户端。 完成以上操作部署后，可在安全专区平台进行日常运营。

本节提供使用Flink运行wordcount作业的操作指导。 前提条件 翼MR集群中已安装Flink组件。 集群正常运行，已安装集群客户端，例如安装目录为“/user/local/flink”。以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Flink客户端 1. 安装客户端，具体请参考安装客户端章节。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/user/local/flink”。 plaintext cd /user/local/flink 4. 执行如下命令初始化环境变量。 plaintext source bigdataenv 5. 集群默认开启Kerberos认证，需要将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 同时，应配置安全认证。在“/usr/local/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 plaintext security.kerberos.login.useticketcache: true security.kerberos.login.keytab: security.kerberos.login.principal: user security.kerberossecurity.login.contexts: Client,KafkaClient 例如 plaintext security.kerberos.login.keytab: /etc/security/keytabs/hdfs.keytab security.kerberos.login.principal: hdfs 6. 运行wordcount作业。 1. 首先启动Flink集群。 plaintext /usr/local/flink/bin/startcluster.sh 2. Session模式：执行如下命令在session中提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext yarnsession.sh nm "sessionname" detachedflink run /usr/local/flink/examples/streaming/WordCount.jar 3. PerJob模式：执行如下命令以PerJob方式提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext flink run t yarnperjob detached /usr/local/flink/examples/streaming/WordCount.jar 4. Application模式：执行如下命令以Application方式提交作业。 提交成功后，会返回已提交的Flink作业的YARN Application ID以及Web地址，访问Web地址以通过Web UI的方式查看作业状态。 plaintext flink runapplication t yarnapplication/usr/local/flink/examples/streaming/WordCount.jar

本节介绍了操作系统更新的相关内容。 云数据库 TaurusDB实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，云数据库 TaurusDB会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，云数据库 TaurusDB会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

本文向您介绍标签管理服务的身份认证与访问控制。 统一身份认证（Identity and Access Management，简称IAM）是天翼云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝他们对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。 标签管理服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的，定义了允许和拒绝的访问操作，以此实现云资源权限的访问控制。管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个组授予所需的权限，用户组内的用户自动继承用户组的所有权限。 详情请参见用户权限和权限管理。

本章主要介绍翼MapReduce的恢复OMS数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对FusionInsight Manager系统进行重大数据调整等操作后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，需要对Manager进行恢复数据操作。 管理员可以通过FusionInsight Manager创建恢复Manager任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的Manager数据。 对系统的影响 恢复过程中需要重启Controller，重启时FusionInsight Manager无法登录和操作。 恢复过程中需要重启所有集群，集群重启时无法访问。 Manager数据恢复后，会丢失从备份时刻到恢复时刻之间的数据，例如系统设置、用户信息、告警信息或审计信息。可能导致无法查询到数据，或者某个用户无法访问集群。 Manager数据恢复后，系统将强制各集群的LdapServer从OLadp同步一次数据。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查OMS资源状态是否正常，检查各集群的LdapServer实例状态是否正常。如果不正常，不能执行恢复操作。 检查集群主机和服务的状态是否正常。如果不正常，不能执行恢复操作。 检查恢复数据时集群主机拓扑结构与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 检查恢复数据时集群中已添加的服务与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 停止依赖集群运行的上层业务应用。

步骤一：创建云主机并绑定EIP 开通创建云主机，绑定弹性EIP操作流程请参考： < ● 华东1云主机A购买公网带宽：10Mbps ● 西南1云主机B购买公网带宽：10Mbps 步骤二：安装iperf3 检查云主机上的安全组及网络ACL配置，确保云主机能够正常访问公网。 分别在华东1、西南1的云主机上安装iperf3 执行命令：yum install iperf3 说明：CentOS、CTyunOS镜像环境下执行命令为yum install iperf3，如果是其他操作系统，请以操作系统实际命令为准。 步骤三：打流测试 以华东1 云主机作为客户端，西南1云主机做为服务端，从华东1向西南1进行打流测试，查看华东1的出云带宽。 本次测试以iperf udp方式打流，指定带宽为客户购买带宽10Mbps 服务端：西南1 执行命令：iperf3 s （启动服务） 注意：iperf3在不指定端口的情况下，默认使用端口5201，请在客户端和服务端云主机上，注意安全组的配置，放行该端口；如果指定其他端口，也注意要在安全组中放行。 客户端：华东1 执行命令：iperf3 c XX.XX.XX.XX(西南1 EIP地址) t 30 b 10M i 15 u 参数说明： t 30 : 发送报文持续时间为30秒 b 10M：指定发送报文带宽10Mbps i 15：测试结果的输出周期为15秒 u：使用UDP协议打流 通过以上测试，可以看到华东1出云带宽符合购买带宽10Mbps，丢包为0，基本无抖动。 在西南1查看入云带宽及丢包情况： 入云带宽10Mbps，0丢包，无抖动。 如果想让服务端向客户端打流，查看服务端的出云带宽，可在客户端执行如下命令： iperf3 c XX.XX.XX.XX(西南1 EIP地址) t 30 b 10M i 15 u R 增加R 表示反向测试，则可查看服务端向客户端的打流情况及出云带宽等信息。 通过采用iperf打流的方式，可以辅助您验证实际的公网带宽是否符合业务所需。

本章介绍开启防护时没有显示配额的原因。 未购买配额 请先在服务器所在区域购买充足的配额。 区域不正确 购买配额后，请切换到配额所在区域对服务器开启防护。 位置不正确 若您购买的是基础版/企业版/旗舰版，请在“企业主机安全 > 主机管理 > 云服务器”页面开启防护。 若您购买的是网页防篡改版，请在“网页防篡改 > 防护列表”页面开启防护。 若您购买的是容器版，请在“企业主机安全 > 容器管理 > 节点列表”页面开启防护。

本页介绍了如何连接文档数据库服务。 内网连接 使用场景：系统默认提供内网IP地址，通过该地址连接数据库。 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库服务实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP通过弹性云服务器连接文档数据库服务实例。 文档数据库服务和弹性云服务器在不同的安全组默认不能访问，需要在文档数据库服务所属安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8030，需要手动修改才能访问其它端口。 连接到单节点： mongodb:// : @ : / ?authSourceadmin&ssltrue 连接到副本集： mongodb:// : @ : / ?authSourceadmin&replicaSetreplica&ssltrue 连接到集群： mongodb:// : @ : / ?authSourceadmin&ssltrue 公网连接 使用场景：通过给数据库绑定弹性公网IP的方式访问。 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库服务实例处于不同区域时，建议单独使用弹性公网IP通过弹性云服务器连接文档数据库服务实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性公网IP通过弹性云服务器连接文档数据库服务实例。 连接方式：参考上面内网连接部分。 应用程序连接 使用场景：通过各类应用程序连接数据库。 通过Java方式连接数据库，请参见文档数据库服务开发指南应用程序开发基于JAVA开发基于Java连接数据库。 通过Python连接数据库，请参见文档数据库服务开发指南应用程序开发基于Python开发基于python连接数据库。

本文介绍CDN镜像源的使用场景和使用说明。 功能介绍 为缓解客户源站压力，降低源站宕机的风险，部分客户有CDN镜像源的需求，即期望CDN回源时优先回镜像源，当请求的文件在镜像源没有找到时，镜像源能触发回客户源站拉取文件，存储文件的同时响应给CDN，从而在CDN与客户源站之间通过镜像源进行隔离，让镜像源承担主要的回源压力，同时实现同一个文件只回客户源一次。天翼云通过结合媒体存储和CDN加速灵活的回源配置能力，可以帮助客户获得镜像源的能力。 相关业务流程如下图： 前提条件 在已经开通并使用CDN加速服务的基础上，需要开通媒体存储，详情请见：开通天翼云媒体存储。 1. 创建存储区域：目前不支持客户自助创建，需要您通过提交工单联系天翼云客服或客户经理，由其人工通过线下渠道为您创建存储区域。因媒体存储仅部分资源池支持镜像回源功能，申请时请详细说明。具体可参考：资源池与区域节点。 2. 创建媒体存储的存储桶，详情请见：新建Bucket。创建完成后，可以在基础信息查看，找到 Bucket域名（即回源域名）。

本小节介绍数据库审计的网络环境需求。 若数据库审计绑定了EIP，在用户通过EIP访问数据库审计实例之前需要配置安全组策略，编辑入向策略，才可通过EIP直接访问数据库审计实例。 说明 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和数据库审计实例提供访问策略。 为了保障数据库审计的安全性和稳定性，在使用数据库审计实例之前，您需要设置安全组，添加规则允许需访问数据库审计的IP地址和端口。 数据库审计实例开放端口说明 端口 用途 说明 1443 门户端口、心跳端口 访问数据库审计门户页面并保持心跳连接，需开放该端口的出入方向规则。 13001 流量转发 数据库资产与数据库审计的13001端口建立连接负责流量转发，需开放该端口的出入方向规则。 13002 连接控制 数据库资产与数据库审计的13002端口建立连接负责控制部分，包含接收天翼云数据库审计下发的资产和其他配置，需开放该端口的出入方向规则。

本文主要介绍应用场景。 Kafka作为一款热门的消息队列中间件，具备高效可靠的消息异步传递机制，主要用于不同系统间的数据交流和传递，在企业解决方案、金融支付、电信、电子商务、社交、即时通信、视频、物联网、车联网等众多领域都有广泛应用。 异步通信 将业务中属于非核心或不重要的流程部分，使用消息异步通知的方式发给目标系统，这样主业务流程无需同步等待其他系统的处理结果，从而达到系统快速响应的目的。 如网站的用户注册场景，在用户注册成功后，还需要发送注册邮件与注册短信，这两个流程使用Kafka消息服务通知邮件发送系统与短信发送系统，从而提升注册流程的响应速度。 图 串行发送注册邮件与短信流程 图 借助消息队列异步发送注册邮件与短信流程 错峰流控与流量削峰 在电子商务系统或大型网站中，上下游系统处理能力存在差异，处理能力高的上游系统的突发流量可能会对处理能力低的某些下游系统造成冲击，需要提高系统的可用性的同时降低系统实现的复杂性。电商大促销等流量洪流突然来袭时，可以通过队列服务堆积缓存订单等信息，在下游系统有能力处理消息的时候再处理，避免下游订阅系统因突发流量崩溃。消息队列提供亿级消息堆积能力，3天的默认保留时长，消息消费系统可以错峰进行消息处理。 另外，在商品秒杀、抢购等流量短时间内暴增场景中，为了防止后端应用被压垮，可在前后端系统间使用Kafka消息队列传递请求。 图 消息队列应对秒杀大流量场景

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格 > 请选择云主机“快速创建伸缩配置。创建配置时，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，根据实际业务需求配置云主机类型、vCPU、内存、镜像、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址对外提供访问服务。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可在虚拟私有云内部使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽大小可以根据您的业务需要设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。 密钥对：指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 密码：指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码用于登录云主机。 云监控 否 是否开启详细监控。若开启，在云主机创建成功后35分钟将自动执行详细监控Agent安装，可获取云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则通过该伸缩配置创建的云主机无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

该工具提供将其他对象存储迁移至对象存储ZOS的迁移服务。 工具介绍： 对象存储（CTZOS，Zettabyte Object Storage）数据迁移工具是一款用于将存储在其他对象存储服务中的数据，迁移至天翼云 ZOS 的命令行迁移工具。 主要功能： 适配多源端：支持多种数据源端，包括：亚马逊 S3、阿里云 OSS、华为云 OBS（包含合营的OBS）、腾讯云 COS、天翼云 ZOS、天翼云 OOS 和 其他遵循标准 S3 协议的对象存储服务。 源端配置 源端整桶迁移：支持整桶文件迁移。 源端过滤规则：支持指定源端文件夹、文件、前缀进行迁移；支持通过对象列表文件（.txt格式）指定源端迁移对象。 源端指定时间区间：支持迁移源桶内指定时间区间内的文件。 目的端配置 目的端指定前缀：支持指定迁移至目的端的对象统一新增前缀，若为目录前缀则会将数据迁移至该目录下。 目的端存储类型及访问控制：支持设置迁移至目的端的对象的存储类型和访问控制；支持设置对象迁移到ZOS为归档存储。 高级配置 同名文件处理策略：支持处理同名文件的策略配置。 流量控制：支持对任务进行限流。 自定义分片：支持自定义分片大小。 数据一致性校验：支持迁移过程中的一致性校验（按最后修改时间和 size）。 失败记录及重试：支持记录迁移失败对象以及重试失败对象的迁移；支持记录对象迁移失败原因。 并行传输和续传：支持对象并行下载和上传，支持断点续传。 迁移进度与日志：支持实时查询迁移进度，支持日志记录。 多任务迁移：支持自动按序执行迁移任务。您可一次创建多个任务配置文件，让工具自动执行这些任务。 注意 各源端厂商可能基于标准S3协议进行定制化改动，而非完全遵循标准S3协议，因此，非以上厂商的对象存储服务，请您以实际支持情况为准。 为避免您的损失，迁移前我们建议您尝试进行小部分数据迁移进行测试。

配置有效期后，在到期前5天，每天会自动发送一次邮件提醒。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“用户有效期倒计时配置”模块的右侧，单击“编辑”，进入“用户有效期倒计时配置”页面。 4、输入用户密码，开启用户有效期倒计时开关状态。 5、单击“确定”，完成配置。

本文为您介绍云审计服务的应用场景。 合规审计 助力企业用户业务系统符合监管标准，轻松通过等保、IT合规设计认证要求。 安全分析 对用户操作进行详细的记录，可用于越权分析、关键资源变更分析等。 操作追踪 当用户的资源出现异常变更时，云审计所记录的操作日志能帮助用户快速溯源，简化运维。 问题定位 云资源故障时，可通过事件列表快速检索事发时的可疑操作，极大程度提升问题定位的效率。

可信服务 功能介绍 是否支持委派管理员账号 相关文档 云防火墙 云防火墙集成组织管理后，能够统一管理多账号的公网IP资产，统一配置防御策略，实现集中安全管控。 是

概述 云原生网关的API管理集中控制API的路由、流量和安全。用户可以配置API路由规则、请求处理、认证授权等功能，确保高效、安全的访问。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表。 创建API API的创建过程分为四个步骤： 1、基本信息 分组：API所属的分组，创建后不可修改。 API名称：可填写API的业务含义。 安全认证：选择API的安全认证方式，开启应用授权后，只有授权的应用才能访问该API。 防重放攻击：开启后，请求头必须包含xcatimestamp和xcanonce参数。 2、定义API请求 请求路径（Path）：API的访问路径。如果分组设置了BasePath，API的最终访问路径将为BasePath+Path。创建后不可修改。 请求方法（HTTP Method）：指定API的请求方式。创建后不可修改。 入参请求模式：支持三种模式，入参映射（过滤未知参数）、入参映射（透传未知参数）、入参透传。 入参定义：支持在query、header、path中定义参数。如果在path中定义了参数，必须确保该参数包含在Path中。 3、定义后端服务 后端服务：负责处理请求的后端服务。 后端请求路径（Path）：网关转发请求到后端服务的路径。如果在Path中定义了参数，后端请求路径中必须包含相应参数。 请求方法（HTTP Method）：指定请求后端服务的方式。 后端超时：设置请求后端服务的超时时间。 后端服务参数配置：将请求的入参与后端服务的入参一一对应，支持修改请求参数名。 常量参数：可以添加常量参数，并透传到后端服务。 系统参数配置：支持添加系统参数，并透传到后端服务。 4、定义返回结果 这里设置的API返回结果，仅用于生产文档，不会对API的请求、响应产生影响。

本文主要介绍流量镜像的使用限制。 如下图所示，流量镜像的报文采用标准的VXLAN报文格式封装，更多有关VXLAN协议的信息，请参见RFC 7348。当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时，系统会对报文进行截断。为了防止报文被截断，建议您在IPv4场景下，设置弹性网卡的MTU值比链路支持的MTU值至少小64字节。 当前流量镜像支持部分规格云服务器的弹性网卡作为镜像源，包括c7n、m7n。 如果一个弹性网卡已被用作镜像源，则镜像目的不能使用该弹性网卡。 流量镜像会占用弹性网卡绑定实例的带宽，并且不做独立限速。 当一个镜像目的实例需要接收来自多个镜像源的流量镜像时，为了确保正常使用，请您根据业务实际需要合理规划云服务器的规格。 根据流量镜像的匹配规则，同一个镜像源的同一个报文同时符合多个筛选条件规则，也仅会被匹配一次，并且根据采集策略决定是否镜像到目的实例。 对于镜像源弹性网卡已被安全组或者网络ACL拦截丢弃的报文，流量镜像不会镜像该部分报文。 当镜像源的报文符合筛选条件被镜像时，该报文不受镜像源安全组或者网络ACL出方向规则约束，即您无需在镜像源的安全组或者网络ACL做额外配置。但是如果需要将报文镜像到镜像目的实例时，则需要为镜像目的实例所在的安全组和网络ACL配置以下规则： 安全组规则：入方向允许来自镜像源弹性网卡的IP访问4789端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27，则安全组规则配置示例如下表所示。 规则类别 策略 类型 协议端口 源地址 入方向规则 允许 IPv4 自定义UDP: 4789 IP地址：192.168.0.27/32此处仅为示例，请根据实际情况配置。 网络ACL规则：入方向允许来自镜像源弹性网卡的IP访问所有端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27，则网络ACL规则配置示例如下表所示。 规则类别 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 入方向规则 IPv4 允许 UDP IP地址：192.168.0.27/32此处仅为示例，请根据实际情况配置。 此处为空，表示全部端口。 IP地址：10.10.0.0/24此处仅为示例，请根据实际情况配置。 4789必须放通4789端口，其他端口请根据实际情况配置。 不同的虚拟私有云VPC之间网络不通，如果镜像源和镜像目的实例不在同一个VPC内，则您需要使用VPC对等连接或者企业路由器连通VPC之间的网络。

本文主要介绍如何查看云防火墙的概览页面，以及概览页信息说明。 您可以在总览页面查看防火墙实例的基本信息、整体防护能力、统计信息，随时了解云资产的安全状况以及流量数据。 约束条件 VPC边界防护详情需配置“开启VPC边界流量防护”后才能查看。 查看概览 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）切换或查看防火墙实例： 切换防火墙实例：在页面左上角的下拉框中切换防火墙。 查看防火墙实例信息：单击右上角“防火墙列表”，参数说明请参见下表。 参数名称 参数说明 防火墙名称/ID 防火墙的名称/ID。 状态 防火墙的运行状态。 版本规格 防火墙的版本规格。 可防护EIP数 当前防火墙最大可防护的EIP数量。 可防护互联网流量峰值 当前防火墙最大可防护流量的峰值。 计费模式 当前防火墙的计费模式。 企业项目 防火墙所属的企业项目。 操作 支持查看详情等操作。 4. 在“资源概况”中，查看当前账号的当前区域下所有云资源（EIP、VPC）的防护状态。 5. 在“安全事件”中，查看入侵防御功能的防护总详情，快速定位需要防护的云资产。 在右上角切换查询时间，支持查询5分钟~7天的数据。 为异常外联的IP地址/域名添加防护策略： 1. 单击“异常外联IP数”或“异常外联域名数”的数字。 2. 在弹框中选择需要防护的IP地址/域名。 3. 生成地址组/域名组： 创建为地址组/域名组：生成新的地址组/域名组。 添加到地址组/域名组：添加到已有的地址组/域名组。 4. 将地址组/域名组添加到防护规则或黑/白名单，请参见“访问控制策略概述”。 6. 在“防护规则”中，查看防护策略的未命中数量和总数。 详细的未命中防护策略，可单击“一个月以上未命中策略数”的数字，跳转在“策略助手”页面，底部列表中查看。

本节介绍了Mac OS系统登录Windows云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作以使用“Microsoft Remote Desktop for Mac”工具远程连接“Windows Server 2012 R2 数据中心版 64位”操作系统云主机为例，介绍Mac OS系统登录Windows云主机的操作步骤。 前提条件 云主机状态为“运行中”。 已获取Windows云主机用户名和密码。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 已安装Microsoft Remote Desktop for Mac或其他Mac OS系统适用的远程连接工具。下载Microsoft Remote Desktop for Mac。 操作步骤 1. 启动Microsoft Remote Desktop。 2. 单击“Add Desktop”。 图 Add Desktop 3. 在“Add PC”页面，设置登录信息。 − PC name：输入需要登录的Windows实例的弹性公网IP地址。 − User account：在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 i. 输入Windows实例帐号“administrator”，并输入实例的登录密码，单击“Add”。 图 Add user account 图 Add PC 4. 在“Remote Desktop”页面，双击需要登录的Windows实例图标。 图 双击登录Windows实例 5. 确认信息后，单击“Continue”。 至此，您已经登录Windows实例。 图 登录成功

本文介绍用户如何修改弹性云主机实例的默认远程端口。 弹性云主机实例的默认远程端口是22。这个端口是SSH（Secure Shell）协议的默认端口，用于远程登录和管理云主机实例。通过SSH协议，您可以通过终端或SSH客户端与云主机进行安全的远程连接，并执行各种管理任务和操作。 修改Windows系统实例默认远程端口 本章以Windows Server 2012 R2为例介绍如何修改Windows系统实例默认远程端口。 1. 登录控制中心。 2. 选择区域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考登录Windows弹性云主机，远程登录待修改端口的Windows弹性云主机实例。 5. 修改注册表子项PortNumber的值。 1. 右键单击Windows 徽标键，选择“运行”，启动运行窗口。 2. 在运行窗口的文本框内输入regedit.exe后按回车键，打开“注册表编辑器”。 3. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 4. 在列表中找到注册表子项PortNumber并右键单击，选择“修改”，进入修改窗口。 5. 在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击“确定”。 6. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 7. 在右侧列表中找到注册表子项PortNumber并右键单击，选择“修改”（可以使用键盘方向键向下寻找）。 8. 在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击“确定”。 6. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 7. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 具体操作，请参见配置安全组规则。 8. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。

sectionf6536cc4bc0b3532) 如何限制存储桶内的数据不被删除？ 存储桶创建完可以修改存储类型吗？ 如何调用对象存储SDK完成相关桶操作？ 如何判定存储桶存在公共写风险？ 创建桶失败怎么办？ 创建桶失败可能是由于以下几个原因导致的： 网络故障：检查本地与ZOS的网络连接是否正常。如果存在网络故障，解决网络问题，并确保网络连接可靠。 账户欠费或余额不足：检查账户是否存在欠费情况或者余额不足。如果账户欠费，请先续费以确保账户可用。 权限不足：检查当前账号是否拥有创建桶的权限。如果没有权限，请联系管理员或具有相应权限的用户，授予您创建桶的操作权限。 桶数量达到上限：如果当前用户已经创建了100个桶，无法再创建新的桶。您可以删除一些闲置桶，以释放桶的数量限制。 如果您仍然无法解决创建桶失败的问题，请联系天翼云客服技术支持团队，详细描述问题并寻求帮助。 删除桶失败怎么办？ 如果删除桶失败，通常是由于以下两个原因导致的： 桶内有文件：不允许直接删除非空的桶。您需要先删除桶内的所有文件和对象，确保桶为空，然后再尝试删除桶。 桶有日志存储设置：如果桶被设置为其他桶的日志存储目标桶，也无法直接删除。您需要取消所有以该桶为目标桶的日志存储设置，然后再尝试删除桶。 请注意，在执行任何删除操作之前，请确认您要删除的内容，并确保已备份重要的数据。这样可以防止意外删除造成的数据丢失。 如果您仍然无法成功删除桶，请联系天翼云技术支持团队寻求帮助和指导。

配置白名单列表 在“白名单列表”中，管理员可以添加特定的应用程序，此类应用程序不会被拦截。 如果想禁用部分在白名单中已放行的应用，管理员可在“禁用列表”中添加应用信息。 注：绑定白名单，扫描完成后，桌面内能够运行的程序有以下几种 1、扫描前在扫描范围内已经安装的应用。 2、白名单列表内的应用。 3、放行通过的应用以及它释放的程序。 4、签名为天翼云的相关应用。 步骤三：绑定桌面 创建规则后，点击右侧的“绑定”，可选择需要绑定该规则的桌面。绑定后，天翼AI云电脑（政企版）控制台将向所选桌面推送管控策略（绑定白名单规则后，桌面首次开机需要进行扫描），待桌面开机后进入管控状态。已绑定规则的桌面的管控状态也可在此页面中查看。 执行结果 步骤一：白名单下的应用放行流程 申请放行 用户在桌面内运行不在白名单内的应用会被阻止并出现提示弹窗，可在弹窗中查看详情或发起申请。有多个程序被阻止时，可批量操作。 注： 1、当运行某款应用时出现未执行也未被阻止的无响应状况，可能已被Windows系统默认为风险拦截。遇此情况，右键该应用，并在在属性中解除Windows拦截即可。 2、绑定黑名单规则时，被阻止的应用不允许申请放行。

等保咨询服务订购页报价为全国指导价，仅针对等保初次测评。不同省份、资产数量、业务系统、不同所属行业价格不一，具体以项目实际报价为准。有购买意愿建议联系客户经理或拨打客服电话获取安全专家定制服务。 订购 CTYUN官网下单（自助下单） 客户登录天翼云门户网站，完成会员登录（未注册会员需先完成注册）选择“产品”“安全及管理”“等保咨询”开通。 本产品不涉及升级，有订购需求，如错误订购简化版，请在服务未开始时退订。 1.进入天翼云官网 2.进入等保咨询详情页 3.根据页面提示填写提交 试用 本产品不支持试用。 续订 本产品有效期自订购后为1年，不支持续订，第二年有等保需求可重新购买。 退订 在服务正式开始前可以申请退款，一旦服务正式开始提供产生工作量则不提供退款服务。

本章节向您介绍在企业路由器中添加CFW连接。 在企业路由器中添加“云防火墙（CFW）”连接，即创建VPC边界防火墙时选择企业路由器，则会在企业路由器的连接列表中看到对应的“云防火墙（CFW）”连接。 VPC边界防火墙支持VPC之间通信流量的访问控制，可以实现VPC内业务互访活动的可视化与安全防护。 您需要通过云防火墙控制台添加CFW连接，具体操作请参见云防火墙用户指南“开启VPC边界流量防护 > VPC边界防火墙”。

本文介绍使用天翼云SDWAN产品时常见的操作类问题。 天翼云SDWAN产品在使用时有什么使用条件及接入要求？ 在开通天翼云SDWAN服务之前，请您确保本地业务具备互联网访问能力；请提前做好企业总部/分支网络与云上各资源池网络之间的IP地址规划，尽量保证各站点内网IP地址没有重叠； 如果您的业务网段IP地址冲突无法避免，您也可以正常将设备接入天翼云SDWAN。需注意，在网段有冲突的情况下，在配置组网或者入云时，请提前做好NAT地址转换，NAT转换操作详见： 有自服务的操作界面么？ 天翼云SDWAN资源通过中国电信天翼云提供的统一服务界面进行管理。天翼云SDWAN产品的控制台地址为 /sdwan/dashbord。 天翼云SDWAN产品无资源池差别，您可以选择从任意资源池进入到该控制页面。 开通天翼云SDWAN服务后，控制台会生成对应的实例资源，您可以通过页面操作对资源进行不同的配置下发，比如：创建互联关系、配置路由规则、创建访问控制、ACL等。 天翼云SDWAN如何报障？ 天翼云SDWAN售后服务由天翼云SDWAN售后团队负责。客户报障有两种途径：1、拨打天翼云400售后服务电话，2、通过客户经理报障。 客户拨打热线电话（4008109889）报障： 1. 当客户通过电话报障时，天翼云400客服受理一线问题，填写工单，并将技术问题反馈到SDWAN运维团队客服； 2. SDWAN运维团队发起内部流程，处理问题； 3. 运维处理完客户故障，通知客户验收，结束报障处理。 通过客户经理报障： 1. 当客户联系客户经理时，客户经理也可直接联系天翼云SDWAN运维人员，SDWAN运维团队自行发起内部运维流程，处理客户问题； 2. SDWAN运维人员处理完客户故障后，反馈给客户经理处理结果。客户验收后，结束报障。

本文为您介绍如何使用IPsec VPN,在本地数据中心IDC与VPC之间建立IPsec连接。 场景示例 以下图组网场景为例，某公司在天翼云创建了VPC，子网网段为192.168.1.0/24和192.168.2.0/24。本地数据中心的网段为172.16.1.0/24，本地网关设备的公网IP为121.XX.XX.113。公司因业务发展，需要将本地数据中心与云上VPC互通。您可以通过IPsec VPN，建立本地数据中心与云上VPC的连接，实现云上和云下的加密通信。 环境要求 本地数据中心的VPN网关设备必须配置公网IP地址。 本地数据中心的VPN网关设备必须支持IKEv1或IKEv2协议，支持任意一种协议的设备均可以和天翼云VPN网关建立IPsec VPN连接。 本地数据中心和天翼云VPC间互通的网段没有重合。 使用流程 1. 创建VPN网关 创建VPN网关并开启IPsec VPN功能，一个VPN网关可以建立多条IPsec连接。 2. 创建用户网关 通过创建用户网关，您可以将本地数据中心VPN网关设备的信息注册到天翼云上。 3. 创建IPsec连接 IPsec连接是指VPN网关和本地数据中心VPN网关设备建立连接后的VPN隧道。只有在建立IPsec隧道后，本地数据中心才能使用VPN网关进行加密通信。 4. 配置VPN网关路由（可选）。 当创建的IPsec连接配置的路由模式为“目的路由”时，您需要在VPN网关中配置路由，并发布路由到VPC路由表以实现本地数据中心和VPC的通信。 当创建的IPsec连接配置的路由模式为“感兴趣路由”时，无需执行此操作。 5. 配置本地网关设备 您需要在本地数据中心的网关设备中添加VPN配置。 6. 测试连通性 登录到天翼云VPC内一台弹性云主机实例，通过ping命令，ping本地数据中心内一台服务器的私网IP地址（未禁用ping探测），验证通信是否正常。