本文主要介绍如何绑定/解绑定辅助弹性网卡到弹性IP。 操作场景 通过为辅助弹性网卡绑定弹性IP，您可以构建更灵活，扩展性更强的组网方案。 辅助弹性网卡本身可以提供一个私网IP，与弹性IP绑定后，相当于同时具备了私网IP和公网IP。辅助弹性网卡和弹性IP的绑定关系不随弹性网卡解绑云主机实例而变化，当辅助弹性网卡随同挂载的弹性网卡从云主机上迁移时，可以同时完成私网IP和公网IP的迁移。 一个弹性网卡可以挂载多个辅助弹性网卡，当为每个辅助弹性网卡分别绑定一个弹性IP时，这个弹性网卡所绑定的云主机就拥有了多个弹性IP，可以提供更灵活的外部访问服务。 当无需使用公网IP，或想要删除辅助弹性网卡时，您可以解绑定辅助弹性网卡到弹性IP。 绑定操作 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在“弹性网卡”页面，选择“辅助弹性网卡”页签。 5. 在辅助弹性网卡列表，单击操作列的“绑定弹性公网IP”，选择需要绑定的弹性IP。 6. 单击“确定”，完成绑定。

本文主要介绍弹性网卡简介。 弹性网卡（Elastic Network Interfaces，以下简称ENI）即虚拟网卡，您可以通过创建并配置弹性网卡，并将其附加到您的云主机实例（包括弹性云主机和物理机）上，实现灵活、高可用的网络方案配置。 说明 弹性网卡功能支持区域： 华北华北，广东广州4，北京北京2，江苏苏州，陕西西安2，上海上海4，贵州贵州 弹性网卡类型 主弹性网卡：在创建实例时，随实例默认创建的弹性网卡称作主弹性网卡。无法解除主弹性网卡和实例的绑定关系。 扩展弹性网卡：您在弹性网卡控制台创建的是扩展弹性网卡，可以将网卡绑定到实例上，也可以解除网卡和实例的绑定关系。 应用场景 灵活迁移 通过将弹性网卡从云主机实例解绑后再绑定到另外一台云主机实例，保留已绑定私网IP、弹性公网IP和安全组策略，无需重新配置关联关系，将故障实例上的业务流量快速迁移到备用实例，实现服务快速恢复。 业务分离管理 可以为服务器实例配置多个分属于同一VPC内不同子网的弹性网卡，特定网卡分别承载云主机实例的内网、外网、管理网流量。针对子网可独立设置访问安全控制策略与路由策略，弹性网卡也可配置独立安全组策略，从而实现网络隔离与业务流量分离。

托管检测与响应服务（原生版）服务能力、计费方式、核心能力等相关问题描述。 托管检测与响应服务是什么？ MDR，Managed Detection and Response Service，也称为安全检测与响应服务，在云计算中，安全托管检测与响应服务（MDR）是指用户外包给云提供商的网络安全服务。根据最近的行业研究，大多数组织（74％）有内部管理IT安全，但82％的IT专业人员表示他们已经与托管安全服务提供商建立了伙伴关系，或计划与之合作。企业转向安全托管检测与响应服务提供商可以减轻他们每天面临的与信息安全有关的压力，例如针对性云安全攻击事件，云安全运营经验不足，客户数据窃取，技能短缺和资源限制。 托管检测与响应服务能提供哪些能力？ 借助于用户在公有云多种环境中的网络安全设备与系统的日志数据和托管检测与响应服务平台能力，实现对用户在公有云中的网络安全运营工作的托管运营，减轻用户安全运营负担，提升用户公有云中业务系统的网络安全风险事件的响应与处置能力。 针对公有云提供丰富的网络安全运营服务，包括安全咨询、安全运营到应急响应等服务，充分满足用户在公有云上的合规与安全运营需求。 提供从云端EDR、合规处置工具到集成了SOAR能力的云端托管安全运营服务平台，满足公有云环境中的安全产品使用需求。 基于云上安全服务的最佳配置实践，为用户提供全面的安全评估服务，提供安全加固建议，并协助用户完成加固操作。

本节介绍了云数据库GaussDB 的实例存储类型。 数据库系统通常是IT系统最为重要的系统，对存储IO性能要求高，云数据库GaussDB 支持“超高IO”存储类型，最大吞吐量为350MB/S。

一键告警功能可以对指定云产品关键监控项，快捷开启告警服务。省去告警规则配置繁琐步骤，及时掌握关键监控项的异常并进行处理。 背景信息 目前一键告警功能仅支持部分产品指标及事件。 开启一键告警 1. 登录云监控控制台。 2. 在左侧导航栏，选择告警服务>一键告警。 3. 在一键告警配置页面，切换”指标监控“或”事件监控“。 4. 单击目标云产品的一键告警开关，在关闭配置相关参数，即可开启一键告警。 关闭一键告警 1. 登录云监控控制台。 2. 在左侧导航栏，选择告警服务>一键告警。 3. 在一键告警配置页面，切换”指标监控“或”事件监控“。 4. 单击目标云产品的一键告警开关关闭按钮，在关闭一键告警弹窗页面，点击确定，即可关闭一键告警。 修改/批量修改一键告警 1. 登录云监控控制台。 2. 在左侧导航栏，选择告警服务>一键告警。 3. 在一键告警配置页面，切换”指标监控“或”事件监控“。 4. 单击目标云产品的修改一键告警/批量修改按钮，进入修改一键告警页面。 5. 在修改一键告警页面，调整配置信息，点击确定按钮，即可完成一键告警策略的修改/批量修改。

本章介绍使用同一VPC内弹性云主机ECS上的Redisson连接Redis实例的方法。 介绍使用同一VPC内弹性云主机ECS上的Redisson连接Redis实例的方法。更多的客户端的使用方法请参考Redis客户端。 在springboot类型的项目中，springdataredis中提供了对jedis、lettuce的适配，但没有提供对redisson组件的适配。为了能够在springboot中集成redisson，redisson侧主动提供了适配springboot的组件：redissonspringbootstarter。 注意：在springboot1.x中默认集成的是jedis，springboot2.x中改为了lettuce。 说明 如果创建Redis实例时设置了密码，使用Redisson客户端连接Redis时，需要配置密码进行连接，建议不要将明文密码硬编码在代码中。 连接单机、主备、Proxy集群实例需要使用Redisson的SingleServerConfig配置对象中的useSingleServer方法，Cluster集群实例需要使用ClusterServersConfig对象中的useClusterServers方法。 前提条件 已成功申请Redis实例，且状态为“运行中”。 查看并获取待连接Redis实例的IP地址和端口。 具体步骤请参见查看实例信息。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》。 如果弹性云主机为Linux系统，该弹性云主机必须已经安装java编译环境。 Pom配置 org.springframework.boot springbootstarterdataredis lettucecore io.lettuce org.redisson redissonspringbootstarter ${redisson.version}

本节介绍如何为云主机安装云备份客户端。 操作场景 云备份通过客户端提供备份服务。备份操作前，需要在备份目标机器中安装客户端。可在控制台进行客户端安装操作，操作简单方便。 约束与限制 操作系统限制：ECS支持 CentOS7.0/7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9、Ubuntu16.04/18.04/20.04、Windows Server 2012/2016/2019 、 KylinOS V10 SP1/SP2系列操作系统，目前仅支持64位系统。 ECS文件备份时，ECS必须处于开机状态。 每个ECS仅允许安装一个客户端。若想更新客户端至最新版本，可以升级客户端。 注意事项 由于云备份服务需要连通服务端VPC，如果备份目标云主机使用非默认安全组，请确认所使用的安全组配置了出方向规则，示例如下： 具体请参见安全组规则。 操作步骤 为单个ECS安装客户端 1. 登录控制中心并选择地域，此处选择华东华东1。 2. 选择“存储>云备份”，进入云备份控制台。单击左侧“ECS文件备份”按钮，进入文件备份控制台。 3. 单击“ECS资源”按钮，可以看到现有的ECS资源，选择待安装客户端的弹性云主机，单击操作栏下的“安装客户端”，此时会下发客户端安装命令，启动客户端安装流程。 5. 等待客户端状态变为“已激活”，即可使用客户端为云主机进行备份。 为多个ECS批量安装客户端 1. 登录控制中心并选择地域，此处选择华东华东1。 2. 选择“存储>云备份”，进入云备份控制台。单击左侧“ECS文件备份”按钮，进入文件备份控制台。 3. 单击“ECS资源”按钮，可以看到现有的ECS资源，在复选框选择多个待安装客户端的弹性云主机，单击界面左上方“批量安装”。 4. 在弹出的界面确认此次可进行客户端安装操作的云主机信息，点击“确定”后下发客户端安装命令，启动客户端安装流程。

请求示例 请求url /v4/monitor/queryitems?regionID81f7728662dd11ec810800155d307d5b&serviceecs 请求头header 无 请求体body 无 响应示例 json { "statusCode": 800, "returnObj": { "data": [ { "service": "ecs", "description": "云主机", "dimensions": [ { "dimension": "ecs", "description": "云主机", "monitorItems": [ { "name": "cpuutil", "description": "CPU使用率", "unit": "%", "isAlarm": 1, "isEvent": 1, "period": 60, "dimensions": [ "uuid" ], "statistics": [ "min", "avg", "max", "var" ], "metricName": "CPU使用率", "metricClass":"virtualmachine", "metricClassName":"云主机监控项", "unitRelations": [ { "weight": 1, "unit": "%" } ], "itemType": 0 }, { "name": "memutil", "description": "内存使用率", "unit": "%", "isAlarm": 1, "isEvent": 1, "period": 60, "dimensions": [ "uuid" ], "statistics": [ "avg", "max", "var", "min" ], "metricName": "内存使用率", "metricClass":"virtualmachine", "metricClassName":"云主机监控项", "unitRelations": [ { "weight": 1, "unit": "%" } ], "itemType": 0 } ], "dimensionCount": 2 } ], "serviceCount": 2 } ] }, "errorCode": "", "message": "Success", "msgDesc": "成功", "description": "成功" } 状态码 请参考 状态码

RDS使用的什么存储 关系型数据库存储采用云硬盘，关于云硬盘具体信息，请参见《云硬盘用户指南》。 关系型数据库的备份数据存储采用对象存储服务，不占用用户创建的数据库空间。关于关系型数据库实例存储的硬件配置，请参见《对象存储服务用户指南》。 RDS是否支持存储类型变更，普通IO转超高IO 不支持。当RDS实例已经创建成功后，不支持存储类型的变更。

弹性文件服务可在计算服务重启时自动挂载,本文帮助您了解弹性文件服务自动挂载的操作步骤。 操作场景 为避免已挂载文件系统的计算服务重启后，文件系统挂载信息丢失，可以在计算服务中设置重启后进行自动挂载。本文以云主机为例说明。 前提条件 文件系统已挂载至云主机，挂载具体操作步骤参见挂载NFS文件系统到弹性云主机 (Linux)。 操作步骤 不同操作系统的设置步骤不同，请根据您的操作系统参考以下步骤进行设置。 CentOS或CTyunOS系统 1. 以root用户登录云主机，具体操作请参考登录Linux弹性云主机弹性云主机快速入门。 2. 执行 vi /etc/rc.d/rc.local 编辑rc.local文件，在文件末尾新增挂载信息，挂载地址可在文件系统详情页获取。配置完成后，单击“Esc”键，并输入 :wq，保存文件并退出。配置样例如下： sleep 10s && sudo mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 3. 执行 chmod +x /etc/rc.d/rc.local 。 4. 完成上述配置后，当云主机重启后，系统会等待10s后自动挂载。 Ubuntu系统 1. 以root用户登录云主机，手动拷贝rclocal服务。 cp /usr/lib/systemd/system/rclocal.service /etc/systemd/system/ 2. 在rclocal.service中增加依赖项，防止自启动告警。打开文件 vi /lib/systemd/system/rclocal.service，增加如下内容： [Install] WantedBymultiuser.target Aliasrclocal.service 3. 在rc.local中编写自启动挂载指令。执行 vi /etc/rc.local打开文件，在文件添加以下内容。第二行为文件系统挂载命令，挂载地址在文件系统详情页获取，在文件系统详情页选择挂载地址点击复制即可，本地挂载路径为云主机上用于挂载文件系统的本地路径，例如“/mnt/sfs”。 !/bin/bash mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 4. 设置权限和开机自启动。 chmod +x /etc/rc.local systemctl start rclocal systemctl status rclocal systemctl enable rclocal 设置成功后如下图：

本节为您介绍使用CMSSMS进行服务器迁移、MySQL应用割接的相关步骤。 源机绑定目标机 1. 点击“主机管理”查看已经安装 agent程序的源机，并点击“开始迁移”。显示“该源机还未绑定目标机，是否前往绑定”，点击“前往”。 2. 点击“选择云主机”。 3. 目的端云主机绑定。 跳转到“云主机选择”界面，左上角选择对应的资源池，查找并勾选创建好的目的端云主机。目的端资源池云主机数量过多，支持通过云主机ID或名称等搜索对应的目的端云主机。勾选完成之后需仔细核对目的端云主机的“主机名”、“主机ID”等信息。点击“绑定”，随后点击“确定”，即完成目的端云主机的绑定。 本次实践操作的源机为Ubuntu操作系统，是基于Linux的操作系统，对应目标机选择专用的云迁移镜像“CMSPELINUXV2mini(2GB)”。 注意 迁移目标机最低配置不低于2核4G。若目标机内存不足 4G，则会出现提示“目标机推荐内存总大小 4，当前内存总大小2，不满足”的提示信息。如出现这个此提示，升级迁移目标机配置即可。 推荐目标机与源机的配置尽量保持一致，源端机需预留约 12G 内存用于迁移程序占用。如源机配置低于2核4G，目标机配置可以设置为2核4G及以上。 4. 绑定成功后，进入任务配置界面。 了解是否有增量的需求。如判断在数据迁移的过程中将发生数据变化（增删改查），即可开启“启用增量”。反之，则无需开启。 检查源机以及目标机的网络连通性。点击“源机”和“目标机”两个按钮，如按钮图标变为“√”图标，则源机以及目标机的网络可以连通。反之，则不成功，需排查源机与目标机IP以及端口等是否配置正确。 在数据迁移过程中，若对迁移数据量的规模及迁移效率有明确要求，建议调整“压缩率”设置。具体而言，压缩率数值越趋近于0，表示数据压缩程度越高，所需传输的数据量相应减少，从而可能提升数据传输速度。若无特定需求，则无需调整此设置。 此外，针对特定盘符中不需要迁移的文件，可配置过滤规则以排除这些文件，确保迁移过程的精确性和效率。同样地，若无需进行此类过滤操作，则无需额外设置。 5. 核对源机和目标机分区情况。 如源机与目标机的系统盘和数据盘大小完全一致，系统自动分区一般不会出现问题。如目标机分区与源机分区不一致，则需要手动分区。（目标机的分区只能比源机大），分区完成后，点击“确认分区”。 6. 跳出选择框，点击“确认”。 7. 待分区结束后，点击“开始迁移”。 8. 跳出选择框，点击“确认”。

本章节介绍DWS和DDS创建的云数据库数据添加到DSC。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通DWS或者DDS服务，且DWS或者DDS中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在数据库资产列表左上角，单击“添加云数据库”。 6. 在弹出的“添加云数据库”对话框中，参考下表配置数据库参数。 参数名称 参数说明 举例 资产名称 自定义参数。 dsctest 区域 默认为当前帐号登录的区域。 云数据库类型 可选择“DWS实例”和“DDS实例”。 DWS实例 DWS实例 “云数据库类型”选择“DWS实例”时，配置此参数。 在下拉框中选择本帐号下已在DWS里创建的数据库实例。 DDS实例 “云数据库类型”选择“DDS实例”时，配置此参数。 在下拉框中选择本帐号下已在DDS里创建的数据库实例。 版本 已选数据库实例对应的版本号，默认参数，不支持修改。 5.7 主机 在下拉框中选择数据库服务器IP地址。 192.168.0.233 端口 数据库服务器的端口号，默认参数，不支持修改。 3306 数据库名称 在DWS里创建的数据库，支持下拉框选择和手动输入。 用户名 输入访问数据库服务器的用户名，与DWS里创建的保持一致。 密码 输入访问数据库服务器的密码，与DWS里创建的保持一致。 7. 单击“确定”，数据库添加完成，并展示在已授权的数据库列表中。 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

本章节介绍如何将部署在云容器引擎的应用通过安装cubems插件实现应用接入 概述 部署在云容器引擎的应用可以直接通过安装cubems插件实现应用接入。 环境规划 1.开通微服务云应用平台MSAP 开通 微服务云应用平台。 2.环境信息配置 使用微服务治理中心前，需要为应用提前规划环境、项目和分组信息。您可通过进入微服务治理控制台>应用治理>应用接入>云容器引擎进行配置，也可跳转至微服务云应用平台创建。 网络通路 1.DNS配置 上报域名为内网域名，需要在DNS配置文件（/etc/resolv.conf）首行添加nameserver 100.95.0.1 才生效。 2.创建VPC终端节点 使用微服务治理中心前，需要在目标VPC中创建终端节点。创建路径：微服务治理中心控制台>应用治理>应用接入>ECS集群>网络通路。 进入应用接入页面。 点击云容器引擎，选择VPC，点击创建终端节点。 点击确定授权并创建VPC终端节点。 点击确定后，刷新页面，显示VPC的终端节点状态为已创建。

容器存储是为容器工作负载提供存储的组件，支持多种类型的存储，同一个工作负载（pod)可以使用任意数量的存储。 说明： Kubernetes1.13版本之前的CCE集群不支持端到端容器存储扩容功能，PVC容量与存储容量不一致。 存储类型选择 创建工作负载时，可以使用以下类型的存储。建议将工作负载pod数据存储在云存储上。若存储在本地磁盘上，节点异常无法恢复时，本地磁盘中的数据也将无法恢复。 本地硬盘：将容器所在宿主机的文件目录挂载到容器的指定路径中（对应Kubernetes的HostPath），也可以不填写源路径（对应Kubernetes的EmptyDir），不填写时将分配主机的临时目录挂载到容器的挂载点，指定源路径的本地硬盘数据卷适用于将数据持久化存储到容器所在宿主机，EmptyDir（不填写源路径）适用于容器的临时存储。配置项（ConfigMap）是一种用于存储工作负载所需配置信息的资源类型，内容由用户决定。密钥（Secret）是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。详情参见本地磁盘存储。 云硬盘存储卷：CCE支持将云硬盘创建的硬盘挂载到容器的某一路径下。当容器迁移时，挂载的云硬盘将一同迁移。这种存储方式适用于需要永久化保存的数据。详情参见云硬盘存储卷。 文件存储卷：CCE支持创建SFS存储卷并挂载到容器的某一路径下，也可以使用底层SFS服务创建的文件存储卷，SFS存储卷适用于多读多写的持久化存储，适用于多种工作负载场景，包括媒体处理、内容管理、大数据分析和分析工作负载程序等场景。详情参见文件存储卷。 极速文件存储卷：CCE支持创建SFS Turbo极速文件存储卷并挂载到容器的某一路径下，极速文件存储具有按需申请，快速供给，弹性扩展，方便灵活等特点，适用于DevOps、容器微服务、企业办公等应用场景。详情参见极速文件存储卷。 快照与备份：CCE通过云硬盘为您提供快照功能，云硬盘快照指的是云硬盘数据在某个时刻的完整拷贝或镜像，是一种重要的数据容灾手段，当数据丢失时，可通过快照将数据完整的恢复到快照时间点。详情参见快照与备份。

本章节会介绍如何通过弹性云主机通过内网连接数据库实例。 前提条件 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 登录弹性云主机 通过弹性云主机连接关系型数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC、子网内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全组， 则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考步骤二：设置安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 使用客户端连接实例 您可以在Linux操作系统和Windows操作系统中，使用数据库客户端连接RDS实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本应该高于已创建的RDS实例中数据库版本。 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 使用MySQLFront连接实例 步骤 1. 启动MySQLFront客户端。 步骤 2.在连接管理对话框中，单击“新建”。 图 连接管理 步骤 3 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图 添加信息 表 参数说明 参数 说明 :: 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 1. 登录关系型数据库服务的管理控制台。 2. 选择目标实例所在区域。 3. 单击目标实例名称，进入“基本信息”页面。 4. 在“连接信息”模块，可查看“内网地址”信息。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4.在“连接管理”窗口，选中步骤3创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图 打开登录信息

本文将为您介绍删除策略的操作步骤,用户可删除不再使用的备份策略。 操作场景 用户可以删除不再使用的备份策略。 注意 删除策略后，其绑定的云硬盘将无法按照策略继续执行备份。 前提条件 已创建至少一个备份策略。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘备份”，单击“备份策略”，进入云硬盘备份策略页签。 4. 单击待删除的备份策略所在行操作列的“更多”，单击“删除”。 5. 在弹出的确定删除弹窗中，点击“确定”，即可删除此备份策略。

概述 API调试功能允许开发者在云原生网关中测试和验证API的行为。通过调试界面，用户可以发送请求，查看响应，检查请求参数和返回数据。该功能帮助快速识别和解决问题，确保API的正确性和稳定性。调试支持不同环境的测试，增强了开发和维护的效率。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表，进入要查看的API详情。 4. 在上面导航栏，选择API调试，即可使用。

产品优势：极简部署、智能防护、可视可溯、丰富生态 极简部署 作为一款云SaaS服务，可以对公网资产、内部资产自动安全盘点，一键开启防护，支持原有安全策略一键导入，可随业务按需动态扩容。 智能防护 AI算法实时检测和拦截恶意流量；并通过自带的入侵防御引擎（IPS），对恶意流量进行实时检测和精准防御。 可视可溯 全场景流量日志、访问日志、入侵攻击日志记录，并通过报表分析呈现，支持审计及高级威胁溯源分析。 丰富生态 支持无缝集成第三方厂家威胁检测分析引擎，云上云下统一生态，客户原线下安全策略资产无缝平移。

云搜索服务的OpenSearch实例默认提供Cerebro，无需另外安装部署，即可实现Cerebro访问。 前提条件 已开通天翼云云搜索服务实例（1.2.0版本及以上）。 实例已绑定公网IP。具体可参考“实例公网访问”章节。 操作步骤 1. 登录云搜索服务控制台。 2. 在实例列表页，选择需要登录的实例，在操作列选择Cerebro，单击打开登录页。 3. 输入用户名和密码，用户名默认为admin，密码为创建实例时设置的管理员密码。 4. 使用自建Cerebro访问云搜索实例，应确保自建Cerebro与实例网络互通，连接实例填写

参数 说明 取值样例 计费模式 可以选择包周期（包年/包月）或按量付费的计费模式。 包年/包月 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngatewayf0e0 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 IPsec 企业项目 选择当前VPN网关归属项目。 default 本端类型 通过VPN网关接入的资源类型，可选虚拟私有云或云间高速。 虚拟私有云VPC 虚拟私有云 当本段类型为虚拟私有云时，选择要使用的VPC作为本端资源。 vpc682f 子网 当本段类型为虚拟私有云时，选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) IPsec带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M IPsec连接数 选择对应的IPsec VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 资源到期后自动续订，按月购买时按月续订，按年购买时按年续订。 开启

如果您需要对您所拥有的CBR进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的云平台账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用CBR资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将CBR资源委托给更专业、高效的其他云平台账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果云平台账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用CBR服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图所示。 示例流程 1. 创建用户组并授权：在IAM控制台创建用户组，并授予云服务备份只读权限“CBR ReadOnlyAccess”。 2. 创建用户并加入用户组：在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限：新创建的用户登录控制台，切换至授权区域，验证权限： 1. 在“服务列表”中选择云服务备份，进入CBR的云主机备份，单击右上角“创建云主机备份存储库”，尝试创建云主机备份存储库，如果无法创建云主机备份存储库，表示“CBR ReadOnlyAccess”已生效。 2. 在“服务列表”中选择除云服务备份外的任一服务，如果提示权限不足，表示“CBR ReadOnlyAccess”已生效。

本节介绍了DDoS高防（边缘云版）服务协议。 DDoS高防（边缘云版）服务协议，详情请参见[](

参数 参数类型 说明 示例 下级对象 instanceID String 云主机ID instanceName String 云主机名称

本节介绍云下一代防火墙产品规格，以及相关规格的参数。 性能规格 云下一代防火墙分为三个版本，不同版本的最大处理流量、最大并发连接数、每秒新建连接数不同，详情见下表： 版本 最大处理流量 最大并发连接数 每秒新建连接数 标准版 100M 100K 20K 高级版 200M 250K 40K 旗舰版 4G 2500K 80K 功能规格 云下一代防火墙分为基础功能和扩展功能，基础功能必选，扩展功能可选。 基础功能 扩展功能（选购） 包括应用识别、监控统计、入侵防御、访问控制、用户认证、数据安全等功能 带宽管理（QoS） 防病毒（AV） URL过滤 云沙箱 僵尸网络C&C防护 IP信誉 包括应用识别、监控统计、入侵防御、访问控制、用户认证、数据安全等功能 应用层流量带宽控制 防病毒功能及最新病毒特征库 URL特征库及特征库更新 未知威胁检测评估服务；旗舰版才能选购此项 拦截APT攻击和靶机外联服务；旗舰版才能选购此项 IP信誉库服务，智能拦截黑名单地址；旗舰版才能选购此项

创建发布 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏选择“发布订阅”。 步骤 3 在“发布”页签下，单击“创建发布”。 步骤 4 在创建发布页面，设置发布信息后，单击“确认”。 填写发布名称、选择发布数据库，以及发布数据。 设置发布表/字段的筛选器：单击“设置筛选器”，设置筛选条件，将按照筛选条件发布表/字段。 全量快照：选择立即创建，发布创建完成后，将会在分发服务器上立即触发一次全量快照。若不选择立即创建，则当添加新订阅时自动生成全量快照。订阅服务器必须等待快照代理完成，才能实现同步。 增量快照策略：支持按天、按周、按月自定义策略，在分发服务器生成增量快照。 步骤 5 查看已创建的发布。 添加订阅功能，请参见添加订阅服务器。 单击“查看监控”，查看“数据更改延迟后时长”和“事务数”监控数据。 选择“更多 > 修改发布”，可以重新选择发布表/字段，以及增量快照策略。 选择“更多 > 删除”，删除发布。 添加订阅服务器 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 12 在左侧导航栏选择“发布订阅”。 步骤 13 在“发布”页签下，在已创建的发布上，单击“添加订阅”。 步骤 14 单击“添加订阅服务器”。 步骤 15 在弹出页面，设置订阅服务器信息后，单击“确定”。 服务器来源：云数据库RDS for SQL Server。 目标数据库：勾选1个或多个RDS for SQL Server订阅实例及目标数据库，单击同步到右侧，即从当前实例同步数据到已勾选的目标数据库。 当前实例作为发布实例，发布实例与订阅实例需要在同一VPC或建立了对等连接的不同VPC，若不在同一安全组则需配置安全组规则。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 服务器来源：其他服务器。 填写服务器名称、IP、端口号、登录用户名及密码，以及目标数据库。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 步骤 16 在已创建的发布上，单击订阅数据库列的个数，查看订阅详情。 创建订阅

云点播的水印模版功能介绍。 查看水印模板清单 前提条件 已开通云点播产品。 操作步骤 进入云点播控制台，选择左侧导航栏的【模板管理】–【水印模板】可打开水印模板列表页面。该页面显示当前用户的所有水印模板。 新建水印模板 前提条件 已开通云点播产品。 操作步骤 系统不提供预设水印模板，您可根据业务需要自定义创建。进入云点播控制台，选择左侧导航栏的【模板管理】–【水印模板】，点击【添加模板】，进入模板自定义设置。 相关配置参数 配置类型 配置参数 :: 水印名称 支持中英文字符、数字、下划线和短横线“”，不超过20位。 水印图片 水印图片需要通过上传存储在天翼云云点播平台，仅支持png格式的图片，大小不能超过200KB。 显示位置 默认视频左上为基准点，可选右上、左下以及右下位置，可根据垂直偏移和水平偏移来调整。 左边距 可选择按百分比%或像素px调整大小。左边距百分比代表水印与左上角的水平距离与水平宽度的比率，通过调整水平偏移百分比进行水印水平位置配置。左边距像素代表水印左上角距离底图左边的绝对像素距离。 上边距 可选择按百分比%或像素px调整大小。上边距百分比代表水印与左上角的垂直距离与垂直高度的比率，通过调整垂直偏移百分比进行水印垂直位置配置。上边距像素代表水印左上角距离底图上边的绝对像素距离。 水印尺寸 可选择按百分比%或像素px调整大小，如果单位选择%时，则按原有的尺寸来进行百分百比例缩放；如果单位选择px时，则根据指定大小缩放水印。 注意 1. 云点播暂不提供水印图片的编辑、转化、文字水印等功能。您需要上传处理后的水印图片。 2. 云点播在每次转码时不缓存水印图片。如有个性化水印需求，可以在每次提交转码任务时，替换水印模板预设图片地址的内容，详情可通过工单咨询产品经理。 3. 如果源视频的尺寸不固定，建议在配置水印模板的时候尽量以百分比方式设定。

云服务备份支持通过云审计服务（CTS）对云服务备份的操作进行记录，以便查询事件列表，用以审计和回溯历史操作。 前提条件 已开通CTS服务。 支持审计的关键操作列表 云审计服务支持的CBR操作列表 操作名称 资源类型 事件名称 ::: 创建策略 policy createPolicy 更新策略 policy updatePolicy 删除策略 policy deletePolicy 设置存储库策略 vault associatePolicy 解除存储库策略 vault dissociatePolicy 创建存储库 vault createVault 修改存储库 vault updateVault 删除存储库 vault deleteVault 移除资源 vault removeResources 添加资源 vault addResources 执行备份 vault createVaultBackup 创建备份 backup createBackup 删除备份 backup deleteBackup 恢复备份 backup restoreBackup 查看审计日志 如何查看审计日志，请参考天翼云云审计帮助中心的“查看追踪事件”章节。 停用/启用追踪器 云审计服务管理控制台支持停用已创建的追踪器。追踪器停用成功后，系统将不再记录新的操作，但是您依旧可以查看已有的操作记录。 步骤 1 登录管理控制台。 步骤 2 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 步骤 3 单击左侧导航树的“追踪器”，进入追踪器信息页面。 步骤 4 在追踪器信息右侧，单击操作下的“停用”。 步骤 5 单击“是”，完成停用追踪器。 步骤 6 追踪器停用成功后，操作下的“停用”切换为“启用”。如果您需要重新启用追踪器，单击“启用 > 确定”，则系统重新开始记录新的操作。

目的端类型 说明 参数配置 OBS 支持使用CSV或二进制格式批量传输大量文件到OBS。 参见 MRS HDFS 导入数据到HDFS时，支持设置压缩格式。 参见 MRS HBase CloudTable 支持导入数据到HBase，创建新HBase表时支持设置压缩算法。 参见 MRS Hive 支持快速导入数据到MRS的Hive。 参见 数据湖探索（DLI） 支持导入数据到DLI服务。 参见 数据仓库DWS 云数据库MySQL 云数据库SQL Server 云数据库PostgreSQL 支持导入数据到云端的数据库服务。 使用JDBC接口导入数据，参见 文档数据库服务（DDS） 支持导入数据到DDS，不支持导入到本地MongoDB。 参见 分布式缓存服务（DCS） 支持导入数据到DCS，支持“String”或“Hashmap”两种值存储方式。不支持导入数据到本地Redis。 参见 云搜索服务（CSS） 支持导入数据到云搜索服务。 参见

本章节主要介绍翼MapReduce服务在不同场景下的应用。 大数据在人们的生活中无处不在，在IoT、电子商务、金融、制造、医疗、能源和政府部门等行业均可以使用云MRS服务进行大数据处理。 海量数据分析场景 海量数据分析是现代大数据系统中的主要场景。通常企业会包含多种数据源，接入后需要对数据进行ETL（ExtractTransformLoad）处理形成模型化数据，以便提供给各个业务模块进行分析梳理，这类业务通常有以下特点： 对执行实时性要求不高，作业执行时间在数十分钟到小时级别。 数据量巨大。 数据来源和格式多种多样。 数据处理通常由多个任务构成，对资源需要进行详细规划。 例如在环保行业中，可以将天气数据存储在OBS，定期转储到HDFS中进行批量分析，在1小时内MRS可以完成10TB的天气数据分析。 详见下图：环保行业海量数据分析场景 该场景下MRS的优势如下所示。 低成本：利用OBS实现低成本存储。 海量数据分析：利用Hive实现TB/PB级的数据分析。 可视化的导入导出工具：通过可视化导入导出工具Loader，将数据导出到DWS，完成BI分析。 海量数据存储场景 用户拥有大量结构化数据后，通常需要提供基于索引的准实时查询能力，如车联网场景下，根据汽车编号查询汽车维护信息，存储时，汽车信息会基于汽车编号进行索引，以实现该场景下的秒级响应。通常这类数据量比较庞大，用户可能保存1至3年的数据。 例如在车联网行业，某车企将数据储存在HBase中，以支持PB级别的数据存储和毫秒级的数据详单查询。 详见下图：车联网行业海量数据存储场景 该场景下MRS的优势如下所示。 实时：利用Kafka实现海量汽车的消息实时接入。 海量数据存储：利用HBase实现海量数据存储，并实现毫秒级数据查询。 分布式数据查询：利用Spark实现海量数据的分析查询。 实时数据处理 实时数据处理通常用于异常检测、欺诈识别、基于规则告警、业务流程监控等场景，在数据输入系统的过程中，对数据进行处理。 例如在梯联网行业，智能电梯的数据，实时传入到MRS的流式集群中进行实时告警。 详见下图：梯联网行业低时延流式处理场景 该场景下MRS的优势如下所示。 实时数据采集：利用Flume实现实时数据采集，并提供丰富的采集和存储连接方式。 海量的数据源接入：利用Kafka实现万级别的电梯数据的实时接入。

关于弹性云主机、物理机产品中麒麟、统信镜像无License使用的声明，请您点击查看。 关于弹性云主机、物理机产品中麒麟、统信镜像无License使用的声明

本节介绍如何开启NAT网关流量防护。 云防火墙通过防护NAT网关所在的VPC，实现对NAT网关流量的防护，并支持对私网IP进行细粒度访问控制，防止内网主机非法外联。 支持防护SNAT和DNAT两种场景。 SNAT组网图 DNAT组网图 约束条件 仅“专业版”支持NAT网关流量防护。 依赖企业路由器（Enterprise Router, ER）服务引流。 云防火墙当前默认支持标准私网网段。 如要实现DNAT网关向CFW集群东西向引流并配置DNAT规则，需提工单联系服务运维人员支撑防火墙升级，避免因旧版本不支持DNAT可能引起的流量受损风险。 开启NAT网关流量防护 需完成创建防火墙，具体配置请参见“创建VPC边界防火墙”。 步骤一：将VPC1和VPCNAT接入企业路由器中 1. 添加VPC连接。 操作步骤请参见《企业路由器用户指南> 在企业路由器中添加VPC连接》。 说明 连接需要添加两条，“连接资源”分别选择VPC1和VPCNAT。 2. 创建两个路由表。 1. 在左侧导航栏中，单击左上方的，选择“网络> 企业路由器”，单击“管理路由表”，进入“路由表”页面。 2. 创建两个路由表，作为关联路由表 和传播路由表分别用于连接需防护的VPC和连接防火墙。 单击“路由表”页签，进入路由表设置页面，单击“创建路由表”，参数详情见下表。 参数名称 参数说明 名称 输入路由表的名称。 命名规则如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 描述 您可以根据需要在文本框中输入对该路由表的描述信息。 标签 您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 3. 设置关联路由表。 1. 设置关联功能，添加VPC1和VPCNAT的连接：在路由表设置页面，选择关联路由表，单击“关联”页签，单击“创建关联”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在连接下拉列表中，选择VPC连接。 说明 关联需要增加两条，“连接”分别选择VPC1和VPCNAT的连接。 2. 添加静态路由，指向防火墙：单击“路由”页签，单击“创建路由”，参数详情见下表。 参数名称 参数说明 目的地址 设置目的地址。 0.0.0.0/0：VPC的所有流量都会经过云防火墙防护 网段：该网段的流量会经过云防火墙防护 黑洞路由 建议您保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 选择连接类型“虚拟私有云（VPC）”。 下一跳 在下拉列表中，选择自动生成的防火墙连接（cfwerautoattach）。 描述 （可选）路由的描述信息。 4. 设置传播路由表。 1. 设置传播功能，添加VPC1的传播：在路由表设置页面，选择传播路由表，单击“传播”页签，单击“创建传播”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在传播下拉列表中，选择VPC1的连接。 2. 添加静态路由，指向VPCNAT：单击“路由”页签，单击“创建路由”，参数详情见下表。 参数名称 参数说明 目的地址 设置目的地址，设置为：0.0.0.0/0。 黑洞路由 建议保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 选择连接类型“虚拟私有云（VPC）”。 下一跳 在下拉列表中，选择VPCNAT的连接。

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。