本文介绍云审计服务支持的WAF操作。 云审计服务（Cloud Trace Service，CTS）记录了Web应用防火墙相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见云审计服务用户指南。 云审计服务支持的WAF操作列表： 操作名称 资源类型 事件名称 创建Web应用防火墙防护实例 instance createInstance 删除Web应用防火墙防护实例 instance deleteInstance 更新Web应用防火墙防护实例 instance alterInstanceName 修改Web应用防火墙防护实例的防护状态 instance modifyProtectStatus 修改Web应用防火墙防护实例的接入状态 instance modifyAccessStatus 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy 添加证书 certificate createCertificate 修改证书名称 certificate modifyCertificate 删除证书 certificate deleteCertificate 创建CC规则 policy createCc 修改CC规则 policy modifyCc 删除CC规则 policy deleteCc 创建精准防护规则 policy createCustom 修改精准防护规则 policy modifyCustom 删除精准防护规则 policy deleteCustom 创建IP黑白名单规则 policy createWhiteblackip 修改IP黑白名单规则 policy modifyWhiteblackip 删除IP黑白名单规则 policy deleteWhiteblackip 创建/刷新网页防篡改规则 policy createAntitamper 删除网页防篡改规则 policy deleteAntitamper 创建全局白名单规则 policy createIgnore 删除全局白名单规则 policy deleteIgnore 创建隐私屏蔽规则 policy createPrivacy 修改隐私屏蔽规则 policy modifyPrivacy 删除隐私屏蔽规则 policy deletePrivacy

本文对启动镜像会话的操作步骤进行说明。 使用场景 当您的镜像会话创建成功后，默认状态为未启动状态，当您需要开始镜像流量时，可选择启动镜像会话。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成镜像会话的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像镜像会话”选项。 5. 在镜像会话页面，找到需要启动的镜像会话。 批量启动：选择需要启动的镜像会话，然后单击会话列表左上方的“启动”按钮，支持批量启动会话。 单条启动：选择需要启动的镜像会话，然后单击该会话操作列的“启动”按钮，支持单条启动会话

本章节介绍云硬盘备份的应用场景:数据备份恢复和业务快速迁移部署。 云硬盘备份可为多种资源提供备份保护服务，有效保障用户数据的安全性和正确性，确保业务安全。云硬盘备份适用于数据备份和恢复以及业务快速迁移和部署的场景。 数据备份和恢复 云硬盘备份在以下场景中，均可快速恢复数据，保障业务安全可靠。 受黑客攻击或病毒入侵 通过云硬盘备份，可立即恢复到最近一次没有受黑客攻击或病毒入侵的备份时间点。 数据被误删 通过云硬盘备份，可立即恢复到删除前的备份时间点，找回被删除的数据。 应用程序更新出错 通过云硬盘备份，可立即恢复到应用程序更新前的备份时间点，使系统正常运行。 云主机宕机 通过云硬盘备份，可立即恢复到宕机之前的备份时间点，使服务器能再次正常启动。 业务快速迁移&部署 为云服务器的系统盘创建镜像、数据盘创建备份，利用镜像和备份，可快速复制一个或多个与现有云服务器相同配置的云服务器。

本章主要介绍翼MapReduce的修改DBService数据库omm用户密码功能。 1.以root用户登录DBService主节点。 说明 DBService数据库omm用户密码不支持在DBService备节点修改。只需在DBService主节点执行修改操作，无需在备管理节点操作。 2.执行以下命令，切换用户。 su omm 3.执行以下命令，切换目录。 source $DBSERVERHOME/.dbserviceprofile cd ${DBSERVICESOFTWAREDIR}/sbin/ 4.执行以下命令，修改omm用户密码。 sh modifyDBPwd.sh 5.输入omm的原密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];", /?中的3种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可与前20个历史密码相同。 显示如下结果，说明修改成功： Successful to modify password.

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 在事件列表查看审计事件 1. 登录管理控制台。 2. 单击页面左上角的“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务页面。 3. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 4. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近7天内任意时间段的操作事件。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击“刷新”按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击“展开”图标，展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。 9. 关于事件结构的关键字段详解，请参见事件结构和事件样例。

本文主要介绍 修改DNS与添加安全组（Windows） 操作场景 本章节指导用户为Windows系统的ECS主机添加域名解析并添加安全组，防止下载Agent安装包与采集监控数据时出现异常。 修改ECS的DNS配置有两种方式：Windows图形化界面和管理控制台。您可以根据自己的使用习惯选择其中一种方式进行配置。 注：添加DNS服务解析和配置安全组针对的是主网卡。 修改DNS（Windows图形化界面） 本节介绍使用Windows图形化界面方式添加域名解析地址的操作步骤和方法。 1. 选择“服务列表 > 计算 > 弹性云主机”。通过VNC方式登录Windows弹性云主机。 2. 打开“控制面板 > 网络与共享中心”，单击“更改适配器配置”。 3. 右键单击使用的网络，打开设置，配置DNS。 图 添加域名解析地址（Windows） 注：100.125.0.250为示例说明，具体DNS请联系管理员获取。 修改DNS（管理控制台方式） 本节介绍登录管理控制台后修改ECS的DNS配置的操作步骤和方法。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 1. 在管理控制台左上角选择区域和项目。 2. 选择“服务列表 > 计算 > 弹性云主机”。 弹性云主机列表中，单击ECS名称查看详情。 3. 在“虚拟私有云”项单击虚拟私有云名称，进入“虚拟私有云”界面。 4. 在“VPC名称/ID”列表中，单击“vpc328c”。 5. 在“子网”列表中，单击“subnet328d”所在行“修改”。 弹出“修改子网”对话框，修改“DNS服务器地址1”为正确的DNS服务器IP地址。 注：subnet328d为该ECS的子网。 6. 单击“确定”，保存设置。 注：在控制台修改DNS需重启ECS或BMS后生效。

开放兼容 ●云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。 ●云容器引擎基于业界主流的Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区版本保持同步，完全兼容Kubernetes API和Kubectl。 云容器引擎对比自建Kubernetes集群 对比项 自建Kubernetes集群 云容器引擎 易用性 自建Kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案，管理复杂。每次升级集群的过程都是巨大的调整，带来繁重的运维负担。 简化集群管理，简单易用 借助云容器引擎，您可以一键创建和升级Kubernetes容器集群，无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用，使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的Helm标准模板，真正实现开箱即用。 您只需启动容器集群，并指定想要运行的任务，云容器引擎帮您完成所有的集群管理工作，让您可以集中精力开发容器化的应用程序。 可扩展性 自建Kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署，可扩展性差。 灵活集群托管，轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容，并可以自由组合多种弹性策略，以应对业务高峰期的突发流量浪涌。 可靠性 自建Kubernetes集群操作系统可能存在安全漏洞和配置错误，这可能导致未经授权的访问、数据泄露等安全问题。 企业级的安全可靠 云容器引擎提供容器优化的各类型操作系统镜像，在原生Kubernetes集群和运行时版本基础上提供额外的稳定测试和安全加固，减少管理成本和风险，并提高应用程序的可靠性和安全性。 高效性 自建Kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库，镜像拉取方式多采用串行传输，效率低。 镜像快速部署 云容器引擎配合容器镜像服务，镜像拉取方式采用并行传输，确保高并发场景下能获得更快的下载速度，大幅提升容器交付效率。

参数 参数类型 说明 示例 下级对象 service String 产品服务 ecs dimension String 产品维度 ecs serviceDesc String 产品服务描述 云主机 dimensionDesc String 产品维度描述 云主机 metric String 监控指标 memutil metricDesc String 监控指标描述 内存使用率 count Integer 告警次数 15

本页介绍了网络安全。 文档数据库服务采取了哪些措施来确保数据安全 文档数据库服务是虚拟私有云，从而确保实例与其它业务实现网络安全隔离。 为什么在虚拟私有云中使用文档数据库服务 安全性：在虚拟私有云中部署文档数据库服务可以提供更高的安全性。VPC 提供了网络隔离和访问控制，可以限制数据库实例只对特定的私有网络或子网可见，从而降低了公网暴露的风险。 性能：在虚拟私有云中部署文档数据库服务可以获得更好的性能。VPC 提供了低延迟的网络连接，使得应用程序可以快速地与数据库实例进行通信，从而提高了响应速度和吞吐量。 隔离：使用虚拟私有云可以将文档数据库服务实例隔离在私有网络中，这样其他云资源或虚拟机不会直接访问数据库，避免了资源竞争和干扰，提高了数据库的稳定性和可靠性。 在虚拟私有云中运行文档数据库服务时，如何确保其安全性 网络隔离将文档数据库服务部署在私有网络中，限制数据库实例只对特定的私有网络或子网可见，避免公网暴露，减少外部攻击的风险。 文档数据库服务是否支持选择创建IPV6子网 目前不支持选择IPV6网段的子网，建议您在使用时创建并选择IPV4网段的子网。 怎样在Windows和Linux操作系统中导入根证书 导入Windows操作系统 登陆文档数据库服务控制台，点击实例管理，点击需要证书的实例id进入基本信息，点击下载证书即可。

本文主要介绍如何安装日志采集器lmtagent。 在采集云主机日志前，您需要在区域内的云主机上安装日志采集器lmtAgent。lmtagent是云日志服务进行日志采集的工具，运行在需要采集日志的云主机中。 安装指南（Linux环境） 1. 登录云日志服务控制台。 2. 左侧菜单栏点击“主机管理”“主机”，进入主机管理页面。 3. 点击右上角【安装lmtagent】 4. 安装系统选择linux。 5. 首先获取您的AK和SK。如何获取AK/SK？ 6. 步骤二为创建终端节点。安装采集器前，您需要在云主机所在的VPC中创建终端节点，以建立与日志服务的连接通道。您需要在当前页面检查云主机所在的VPC是否已创建终端节点。若终端节点状态为“未创建”，请点击页面中的【创建终端节点】按钮，并根据页面指引进行开通。若终端节点状态为“已创建”，您可跳过该步骤。 7. 复制lmtagent安装命令，并使用上一步中获取的AK、SK，手动替换 {inputyourak} 和 {inputyoursk}，填写值时不需要添加{}。 8. 使用 PuTTY 等远程登录工具，以root用户登录待安装主机，执行复制到的命令，采集器将会下载到当前执行命令的目录中，并自动执行安装。当显示“lmtagent service started successfully”时，表示安装成功。安装成功后，在左侧导航栏中选择“主机管理主机”，查看lmtagent状态。默认安装目录为/app/cams/lmtagent。

CES Agent如何通过授权获取临时AK/SK？ 为了更加安全高效的使用云监控服务提供的主机监控功能，我们提供了最新方式的Agent授权方法。在安装主机监控Agent前，仅需要一键式单击该区域的授权按钮或者在创建弹性云主机页面勾选云监控Agent委托，则系统会自动对该区域下所有云主机或物理机安装的Agent做临时AK/SK授权，并且以后在该区域新创建的资源都会自动获得此授权。本节针对本授权做以下说明： 1. 授权对象： 当您在云监控服务管理控制台“主机监控 > 弹性云主机”（或“主机监控 > 物理机”）所示页面单击“一键配置”后，系统会在IAM自动创建名为“cesagency”的委托，该委托自动授权给CES服务的内部账户opsvcces。 2. 授权范围： 仅为所在区域的内部账户“opsvcces”添加“CES Administrator”权限。 3. 授权原因： CES Agent运行在弹性云主机或物理机内，该Agent采集监控数据后需要上报到云监控服务，授权后CES Agent能够自动获取临时AK/SK，这样您就可以安全方便的使用云监控服务管理控制台或API查询Agent监控数据指标了。 a. 安全：Agent使用的AK/SK仅具有CES Administrator权限的临时AK/SK，不会使用客户全局AK/SK，即当前的临时AK/SK只具备操作云监控服务的权限。 b. 方便：您仅需在一个区域配置一次即可，无需对每个CES Agent手动配置。 4. 如果授权后在IAM委托页面无法查询到“cesagency”，您可以手工在IAM管理控制台重新创建。 说明 新创建的委托名称必须为“cesagency”。 委托类型为“普通帐号”，委托的帐号必须为“opsvcces”。

相关服务 交互功能 弹性云服务器(ECS) RDSPostgreSQL配合弹性云服务器 (Elastic Cloud Server，简称ECS)一起使用，通过内网连接RDSPostgreSQL可以有效地降低应用响应时间、节省公网流量费用。 虚拟私有云(VPC) 对您的RDSPostgreSQL实例进行网络隔离和访问控制。 弹性IP(EIP) 为您的实例提供公网访问方式。 数据迁移工具(DTS) 使用数据复制服务，实现数据库平滑迁移上云。 数据库管理工具(DAS) 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 数据库专家服务 专家团队为您提供数据库安装部署、健康巡检、应急响应、性能调优、架构规划设计、数据迁移咨询、备份恢复咨询等各类数据库专业服务，解决数据库各类问题，为您的数据库系统保驾护航。

云服务概述 弹性云主机（CTECS，Elastic Cloud Server）是一种可随时获取、弹性可扩展的计算服务。云主机由CPU、内存、镜像、云硬盘等组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保服务持久稳定运行。 弹性云主机的开通和使用非常便捷、高效，您只需要指定CPU、内存、镜像等配置信息。开通完成后，您就可以像使用本地PC或物理服务器一样在云上使用弹性云主机，同时您也可以按需随时调整弹性云主机的规格配置。 了解弹性云主机的使用限制与使用须知，请参考：使用须知、使用限制。 了解弹性云主机的资源规格限制，请参考：管理配额。 怎样选择实例规格类型 了解弹性云主机应用场景，请参考：弹性云主机应用场景。 了解弹性云主机实例规格类型，请参考：规格说明。 了解云主机的计费模式 按量计费 按量计费是一种后付费模式，即先使用再付费，系统会根据云主机的实际使用情况按秒计费。 说明 自2021年4月1日4:00起，按需弹性云主机、按需云硬盘、按需独享带宽将计费单元由小时调整为秒。 例如您在13:30:30创建了一台按需付费主机，相关资源包括计算资源（vCPU和内存）、镜像和云盘（系统盘），然后在13:55:30释放实例，则：结算周期为13:00:00～14:00:00，在13:30:30～13:55:30间产生计费，该结算周期内的计费时长为1500秒。期间费用实例小时价格/36001500。 详细信息请查看按量计费。

管理资源池权限 资源池对应两种角色：管理者与使用者。 资源池管理者对当前资源池拥有所有操作权限，包括资源池的查看、使用与配置修改等。只有资源池管理者（默认为资源池创建者和创建者所属租户）才能对资源池进行权限管理。 资源池使用者可以查询当前资源池内详细信息、资源池的操作历史、代理列表、使用资源池中的代理机执行任务。 步骤 1 在资源池列表中找到目标资源池，单击资源池名称，进入“代理列表”页面。 步骤 2 单击“权限管理”页签，可以对资源池权限进行管理。 权限管理 单击管理者后的“添加”，在下拉列表中选择用户，单击，可以将所选用户设置为资源池管理者。 单击开关，可以配置授权租户下所有用户为资源池使用者。 单击项目后的“添加”，在下拉列表中选择项目名称，单击，可以将所选项目下的所有成员设置为资源池使用者。 查看资源池操作历史 步骤 1 在资源池列表中找到目标资源池，单击资源池名称，进入“代理列表”页面。 步骤 2 单击“历史操作”页签，可以查看资源池的历史操作详情。 设置消息通知 步骤 1 在资源池列表中找到目标资源池，单击资源池名称，进入“代理列表”页面。 步骤 2 单击“通知”页签，可以根据需要为资源池配置事件通知。 可以配置触发以下操作时，向权限管理者发送服务动态或邮件。 创建代理 删除代理 停用代理 启用代理 下线代理 上线代理

参数 参数类型 说明 示例 下级对象 service String 产品服务 ecs dimension String 产品维度 ecs serviceDesc String 产品服务描述 云主机 dimensionDesc String 产品维度描述 云主机 event String 事件 policytaskfailed eventDesc String 事件描述 策略任务失败告警 count Integer 告警次数 2

本文介绍了云防火墙等保合规能力说明 检查项分类安全控制点风险等级 等保合规检查项 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络网络架构中 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 云防火墙提供访问控制机制和入侵防护能力，开启防护后能够自动阻断互联网与VPC之间的威胁访问，为用户提供自动的边界防护能力。 入侵防护 访问控制 安全区域边界边界防护高 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 入侵防护 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 入侵防护 安全区域边界入侵防范中 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 入侵防护 安全区域边界访问控制高 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 云防火墙提供默认拒绝所有通信的访问控制策略，只允许通行策略相关会话通信。 访问控制 安全区域边界访问控制中 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 云防火墙提供流量记录功能，能够记录所有防火墙的通信会话行为，可通过对防火墙网络通信判断访问规则的有效性，从而实现访问控制规则最小化。 访问控制 安全区域边界访问控制高 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 访问控制 安全区域边界访问控制中 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 支持根据FTP等会话的状态信息设置对会话的允许/拒绝访问能力，控制粒度为端口级。 访问控制 安全区域边界访问控制中 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 支持DNS等应用协议和下载等应用内容进行访问控制。 访问控制 安全区域边界安全审计高 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 云防火墙提供日志审计功能，可以记录所有流量日志、访问控制日志、入侵防护日志和操作日志。 日志审计 安全区域边界安全审计中 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 云防火墙提供日志记录事件功能，包括：时间、告警名称、攻击类型、源/目IP字段、等级等。 日志审计 安全区域边界安全审计中 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 云防火墙提供日志分析功能，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计 安全区域边界安全审计中 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 云防火墙提供日志分析功能，记录所有流量访问日志，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计

为什么在EIP控制台看不到绑定的ELB实例？ 可能有以下原因导致您在控制台看不到绑定的ELB实例： EIP和ELB实例的资源组ID不同； EIP与ELB不在同一资源池； ELB实例已经绑定了其他公网IP，此时将不在绑定页展示。 云主机已经绑定了EIP，是否还支持通过NAT网关的SNAT功能对外提供公网服务？ 在多可用区地域支持。 VPC创建时，默认会创建IPv4网关来统一管理进出VPC的公网流量，所有通过公网IP访问公网的流量都受到IPv4网关的管理。在同一个子网内云主机同时绑定公网IP和SNAT规则时，由于指向NAT网关的路由优先级高于指向IPv4网关的系统路由，默认会通过SNAT访问公网。详情请参见如何通过弹性公网IP或NAT网关访问公网。 在单可用区地域不支持。 如果您的云主机已经绑定了EIP，则不支持通过NAT网关的SNAT功能对外提供公网服务。 如需通过NAT网关的SNAT功能对外提供公网服务，请先将云主机与EIP解绑。解绑后，再为该云主机添加SNAT条目。 如果您已经为云主机添加了SNAT，则不支持为该云主机绑定EIP。 如需为云主机实例绑定EIP，您需要删除该云主机的SNAT。删除后，再为该云主机实例绑定EIP。 说明 两种访问方式端口不同，另外也要注意网络访问配置。

数据库安全审计的日志处理机制是什么？ 数据库安全审计的审计日志存放在日志数据库中，日志的处理机制说明如下： 当日志数据库的磁盘空间使用率达到85%及以上时，系统将自动循环删除存放时间最久的审计日志（每次删除一天的审计日志），直至磁盘空间使用率为85%以下。 当日志数据库的磁盘空间使用率达到90%及以上时，数据库安全审计将停止审计功能，系统将不保存新生成的审计日志。 数据库安全审计的审计日志是否支持备份？ 数据库安全审计支持手动和自动两种备份方式。备份日志后，审计日志将备份到对象存储服务上，并自动为您创建桶，桶按用量需要单独收费。 注意 手动备份数据库审计日志会备份所有的日志，当您的日志量过大时，建议您使用自动备份。自动备份周期建议按天自动备份。 数据库安全审计的审计日志支持直接转存OBS吗？ 不支持。数据库安全审计的审计日志是存放在日志数据库中的。若您需要将日志保存于对象存储服务（OBS），请登录数据库安全服务控制台，设置备份审计日志。 数据库安全审计支持手动备份和自动备份两种模式。 自动备份支持“每天”、“每周”、“每月”三种备份周期备份审计日志。 手动备份支持“备份最近24小时日志”、“最近7天日志”、“最近30天日志”和“全部日志”四种备份范围。 当您的日志量比较大时，建议您按每天来自动备份日志。 日志备份到OBS，服务会自动为您创建桶。桶按照存储量收费。

接口功能介绍 查询指定时间段内的设备时序指标监控数据。接口调用可参考帮助中心云监控服务最佳实践通过云监控OpenAPI查询监控数据。 接口约束 参见请求参数说明。 URI POST /v4.2/monitor/queryhistorymetricdata 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b service 是 String 云监控服务，具体服务参见云监控：查询服务维度及监控项 ecs dimension 是 String 云监控维度，具体维度参见云监控：查询服务维度及监控项 ecs itemNameList 是 Array of Strings 待查监控项名称，单次请求长度限制为10，具体设备对应监控项参见云监控：查询服务维度及监控项 ['cpuutil','diskwritebytesrate'] startTime 是 Long 查询起始Unix时间戳，秒级 1667815639 endTime 是 Long 查询结束Unix时间戳，秒级 1667817639 fun 是 String 本参数表示聚合类型。默认值为avg。取值范围: raw：原始值。 avg：平均值。 min：最小值。 max：最大值。 sum：求和。 根据以上范围取值。 avg period 否 Integer 聚合周期，单位：秒，默认300，需不小于60，推荐使用60的整倍数。当fun为raw时本参数无效。 300 dimensions 是 Array of Objects 查询设备标签列表，用于定位要查询监控数据的目标设备，多标签查询取交集，单次请求设备数量限制为10 dimension 表 dimension 参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 设备标签键，取值范围参考云监控：查询服务维度及监控项响应的dimensions字段。 以云主机为例，该字段为uuid。 uuid value 是 Array of Strings 设备标签键所对应的值，最大数量限制为10。 以云主机为例，该字段为云主机的instanceID。 ['9dc489794e1945e2b5235d3c70d516b3']

接口功能介绍 查询指定时间段内的设备时序指标监控数据。接口调用可参考帮助中心云监控服务最佳实践通过云监控OpenAPI查询监控数据。 接口约束 参见请求参数说明。 URI POST /v4.2/monitor/queryhistorymetricdata 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b service 是 String 云监控服务，具体服务参见云监控：查询服务维度及监控项 ecs dimension 是 String 云监控维度，具体维度参见云监控：查询服务维度及监控项 ecs itemNameList 是 Array of Strings 待查监控项名称，单次请求长度限制为10，具体设备对应监控项参见云监控：查询服务维度及监控项 ['cpuutil','diskwritebytesrate'] startTime 是 Long 查询起始Unix时间戳，秒级 1667815639 endTime 是 Long 查询结束Unix时间戳，秒级 1667817639 fun 是 String 本参数表示聚合类型。默认值为avg。取值范围: raw：原始值。 avg：平均值。 min：最小值。 max：最大值。 sum：求和。 根据以上范围取值。 avg period 否 Integer 聚合周期，单位：秒，默认300，需不小于60，推荐使用60的整倍数。当fun为raw时本参数无效。 300 dimensions 是 Array of Objects 查询设备标签列表，用于定位要查询监控数据的目标设备，多标签查询取交集，单次请求设备数量限制为10 dimension 表 dimension 参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 设备标签键，取值范围参考云监控：查询服务维度及监控项响应的dimensions字段。 以云主机为例，该字段为uuid。 uuid value 是 Array of Strings 设备标签键所对应的值，最大数量限制为10。 以云主机为例，该字段为云主机的instanceID。 ['9dc489794e1945e2b5235d3c70d516b3']

本节为您介绍云迁移服务CMS异构评估， 组件评估报表整合搜索。 云迁移服务CMS提供异构评估组件评估报表整合搜索功能，您可以在异构评估 [ 组件评估报表整合 ] 界面根据时间或任务名称搜索目标任务，如图所示。

本章节主要介绍翼MapReduce组件Spark使用说明。 1. 任一用户登录集群客户端节点。 2. 配置/usr/local/ 下spark客户端目录 conf下的配置，主要是Sparkenv.sh 需要配置SPARKHOME、HADOOPHOME、HADOOPCLASSPATH等。 3. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 1. 首先klist kt ，获取keytab文件的principal，例如 klist kt user.keytab 获得 user/hostname@realm。 2. 然后kinit kt ，例如 kinit kt user.keytab user/hostname@realm。 3. Kinit认证完成登录后，可以klist l查看。 4. 如果SPARKHOME/bin 已经配置到系统环境变量中，可以直接sparkshell 进入。否则需要去到SPARKHOME/bin下执行。

本章节主要介绍翼MapReduce的其他任务管理说明操作。 操作场景 FusionInsight Manager还支持对备份恢复进行不同的维护管理功能。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 备份恢复 > 备份管理”或“运维 > 备份恢复 > 恢复管理”。 3. 在任务列表指定任务的“操作”列，选择需要执行的操作。 更多维护管理功能 操作入口 说明 “配置” 修改备份任务的参数。 “恢复” 部分业务数据的备份任务执行成功后，可以直接使用此功能快速恢复数据。 “更多 > 即时备份” 立即运行备份任务。 “更多 > 停止” 可以停止正在运行的任务。 “更多 > 删除”或“删除” 删除任务。 “更多 > 挂起” 禁用自动备份任务。 “更多 > 重新执行” 启用自动备份任务。 “更多 > 查询历史”或“查询历史” 打开任务运行日志窗口，查看运行详细情况以及备份路径。 “查看” 检查恢复任务的参数设置。 “执行” 运行恢复任务。

本章介绍如何删除追踪器。 操作场景 云审计服务管理控制台支持删除已创建的数据类事件追踪器，删除数据类事件追踪器对已有的操作记录没有影响。本章节介绍如何在管理控制台删除数据事件追踪器。 使用限制 删除数据类追踪器后，操作事件无法上报到云审计服务。您可以在事件列表查看已有的7天内的操作记录，但是您无法查看新的操作记录、转储事件至OBS/LTS。 前提条件 已成功创建数据类事件追踪器。 删除数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 单击目标追踪器对应操作列的“删除”。 6. 在弹框中单击“确定”，完成删除追踪器。

本节介绍 Web应用防火墙（独享版）的安全总览页面。 您通过Web应用防火墙服务查看防护日志，可查看到昨天、今天、3天、7天或者30天的访问与攻击统计次数、攻击分布、受攻击域名TOP10、攻击源IP TOP10和受攻击URL TOP10的次数。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 已为防护域名添加了一个或者多个防护规则。 规格限制 在“安全总览”界面，最多可以查看30天的防护数据。 QPS计算方式 不同时间段的QPS计算方式不同，QPS在各时间段的取值说明如下表所示。 时间段 QPS平均取值说明 QPS峰值取值说明 “昨天”、“今天” 间隔1分钟，取1分钟内的平均值 间隔1分钟，取1分钟内的最大值 “3天” 间隔5分钟，取5分钟内的平均值 间隔5分钟，取5分钟内的最大值 “7天” 间隔10分钟，取每5分钟内平均值的最大值 间隔10分钟，取10分钟内最大值 “30天” 间隔1小时，取每5分钟内平均值的最大值 间隔1小时，取1小时内最大值 说明 QPS（Queries PerSecond）即每秒钟的请求量，例如一个HTTP GET请求就是一个Query。请求次数是间隔时间内请求的总量。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在页面上方，设置要查询的网站、实例以及查询时间。 默认统计的是该账号所有项目下添加到WAF的所有网站的相关数据。 “域名接入”：统计的是选择添加到WAF的防护网站的接入信息。单击“查看”跳转到“网站设置”界面，可以查看防护域名详细信息。 查询时间：可选择昨天、今天、3天、7天、30天。 5. 查看统计的总的请求次数、攻击次数以及各类型攻击的页面总数。 “请求次数”中统计的次数为网站的PV（Page Views）值，即用户每次访问网站，在某个时间内被访问的页面总数。 “攻击次数”中统计的次数为网站被各类型攻击的总次数。 各攻击类型统计的次数为用户每次访问网站，在某个时间内被该类型攻击的页面总数。 单击“查看网站TOP统计”，可查看请求次数、攻击次数、Web基础防护、精准防护、CC攻击防护、爬虫攻击防护排名TOP 10的数据。 6. “安全统计”模块数据展示。 “按天统计”：勾选后，显示的是间隔一天统计一次的数据；不勾选，统计的数据周期根据选择的时间段而定，具体如下： “昨天”、“今天”：间隔两分钟统计一次数据。 “3天”：间隔5分钟统计一次数据。 “7天”：间隔10分钟统计一次数据。 “30天”：间隔1小时统计一次数据。 安全统计参数说明： 参数 说明 请求次数 统计的是域名被访问的总请求量、攻击总量以及被各类攻击类型攻击的页面总数。 QPS 域名平均每秒钟的请求量。QPS的取值说明参考[](file:///D:/01%20%E6%96%87%E6%A1%A3%E9%9C%80%E6%B1%82/WAF%E5%90%88%E8%90%A5/Web%E5%BA%94%E7%94%A8%E9%98%B2%E7%81%AB%E5%A2%99%EF%BC%88%E7%8B%AC%E4%BA%AB%E7%89%88%EF%BC%89%E7%94%A8%E6%88%B7%E6%8C%87%E5%8D%97.docx

本文带您了解并行文件服务HPFS产品相关术语。 文件系统 文件系统是操作系统中用于管理和存储数据文件的层次结构。它负责将存储设备上的数据组织成文件和目录，并提供文件的创建、读取、写入、删除等操作接口。文件系统决定了数据的存储方式、命名规则、访问权限等。 文件是用户数据与其相关属性信息（元数据）的集合体，用户的数据以文件的形式保存在文件系统中。 并行文件是文件系统的一种，专为支持并行计算、并行访问而设计，能够高效处理大规模数据的并行读写操作。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 子网 子网是用来管理弹性云主机网络平面的一个网络，可以提供IP地址管理、DNS服务，子网内的弹性云主机IP地址都属于该子网。默认情况下，同一个VPC的所有子网内的弹性云主机均可以进行通信，不同VPC的弹性云主机不能进行通信。 POSIX 文件访问接口 POSIX（Portable Operating System Interface）文件访问接口是一种标准的文件访问接口，用于在不同操作系统之间提供统一的文件访问方式。 并行文件服务向应用提供标准的POSIX文件访问接口，使得用户可以像访问本地文件一样访问存储在并行文件系统中的文件。

本页介绍天翼云TeleDB数据库实例在线升级。 操作场景 随着产品功能不断迭代升级，用户可根据自己业务需求选择升级内核版本。为了帮助您最大程度减少升级过程的繁琐及升级过程对业务的影响，您可在TeleDB控制台进行在线升级。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例详情 ，进入实例详情页面。 2. 在实例详情 页面，单击右上角操作下拉框的在线升级 ，出现实例升级对话框。 3. 在实例升级对话框，填写任务名称 ，选择升级版本 及升级节点 ，单击下一步 。 4. 确认升级相关信息，单击升级 。 5. 单击立即前往 ，可跳转至任务管理页面查看任务执行详情。

本页介绍天翼云TeleDB数据库实例在线升级。 操作场景 随着产品功能不断迭代升级，用户可根据自己业务需求选择升级内核版本。为了帮助您最大程度减少升级过程的繁琐及升级过程对业务的影响，您可在TeleDB控制台进行在线升级。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例详情，进入实例详情页面。 2. 在实例详情 页面，单击右上角操作下拉框的在线升级，出现实例升级对话框。 3. 在实例升级对话框，填写任务名称 ，选择升级版本 及升级节点 ，单击下一步。 4. 确认升级相关信息，单击升级。 5. 单击立即前往，可跳转至任务管理页面查看任务执行详情。

下线域名 替换访问入口 天翼云官网： 进入） API文档入口： API 服务）

本文主要介绍SQL Server实例的主备切换功能。 前提条件 注意 仅主备版实例支持查看服务可用性。 手动主备切换 关系数据库SQL Server版支持主备切换功能。当主实例出现故障不可用时，主备实例会触发主备切换操作，切换后实例连接地址保持不变，以确保实例的高可用性。此外，在您进行容灾演练或主实例状态不符合业务需要时，还可以在控制台上执行手动切换主备实例操作。 注意 只有主备版的实例，才支持手动主备切换操作。 主备切换过程中实例会出现短暂不可用状态。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称。 4. 在实例详情页面中，选择【服务可用性】。在【服务可用性】页面，单击【主备切换】。 查看主备切换日志 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称。 4. 在实例详情页面中，选择【服务可用性】进行点击。 5. 在【主备切换日志】区域，进行查看对应的切换日志。

Port 22”替换为“Port 2020”。 3. 执行如下命令，重启ssh服务。 service sshd restart 检查hosts配置文件 Linux 服务器通过设置 /etc/hosts.allow 和 /etc/hosts.deny 这个两个文件，可以限制或者允许某个或者某段IP地址远程SSH登录服务器。 1. 检查/etc/hosts.allow，允许192.168.1.3 这个IP地址ssh登录，添加如下行： sshd: 192.168.1.3 2. 检查/etc/hosts.deny，如果存在sshd:all:deny，请注释掉该行。 说明 hosts.allow 和hosts.deny 两个文件同时设置规则的时候，hosts.allow 文件中的规则优先级高。假设hosts.allow设置sshd: 192.168.1.3，hosts.deny设置了sshd:all:deny，那么云主机只允许192.168.1.3这个IP地址的SSH登录，其它的 IP 都会拒绝。 密钥对鉴权方式的Windows云主机无法获取密码怎么办？ 问题描述 密钥对鉴权方式的Windows云主机，使用私钥文件获取登录密码失败。 可能原因 出现获取密码失败一般原因是Cloudbaseinit注入密码失败。 Cloudbaseinit注入密码失败原因有： 网络原因导致云主机器无法连接到Cloudbaseinit服务器。 镜像上Cloudbaseinit没有获取密码相关配置。 云主机上其他问题导致Cloudbaseinit注入密码失败。 处理方法 使用Cloudbaseinit特性的弹性云主机时，如果登录失败，可以从以下几个原因进行排查： 1. 检查创建云主机的镜像是否正常配置了Cloudbaseinit。 − 不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 − 使用公共镜像创建的云主机，默认已经安装CloudbaseInit，不需要执行安装及配置操作。 − 使用外部镜像文件创建的云主机，请按照指导安装及配置CloudbaseInit。 详细操作请参考《镜像服务用户指南》“安装并配置CloudbaseInit工具”。 2. 判断登录弹性云主机时使用的密钥对是否正确。 检查获取密码使用的密钥文件是否为创建云主机时使用的密钥。 3. 弹性云主机使用的VPC网络DHCP不能禁用。 在管理控制台查看云主机所在子网是否启用了DHCP。 4. 弹性云主机需绑定弹性IP。 5. 查看安全组出方向规则，需确保80端口“出方向”和“入方向”均放通。 6. 通过查看日志检查原因，Cloudbaseinit日志查看步骤如下： a. 将无法获取密钥的弹性云主机关机后，将系统盘卸载。 b. 使用公共镜像创建一个临时Windows云主机，将6.a中卸载的卷挂载在此云主机上。 c. 登录临时创建的云主机，打开服务器管理器，选择“文件和存储服务 > 卷 > 磁盘”，单击鼠标右键选择“脱机”状态的磁盘，单击“联机”。 图 磁盘联机 d. 打开新联机的磁盘，查看“/Programe Files/Cloudbase Solution/CloudbaseInit/log”路径下的“cloudbaseinit”文件，通过日志查看原因。 图 查看cloudbaseinit文件

本文教你如何停用域名。 背景说明 如果客户的网站因业务变更需要停止防火墙服务，客户可以通过控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云边缘云会将加速域名的CNAME解析至客户源站地址；3天后，天翼云边缘云会将加速域名的CNAME解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地边缘节点址失效，此时域名请求如果仍访问至，则会响应403。 注意事项 域名需先停用后才能进行删除操作，域名删除后将无法再启用。