在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。 本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对弹性伸缩资源的访问。 操作步骤 1. 创建IAM子用户 访问IAM控制台，创建子用户。具体操作请参见创建用户。 2. 创建用户组 在IAM控制台创建用户组，并将上一步种创建好的用户移入用户组中，具体操作请参考创建用户组。 3. 为用户组授权 天翼云提供了弹性伸缩系统权限策略，请参考弹性伸缩策略表。您可以选择天翼云提供的系统策略为用户组授权，详细操作请参考用户组授权。

当日志接入云日志服务（LTS）时，您可以通过开启“自定义日志时间”开关，将日志中的时间字段设置为接入配置的时间。 开启自定义日志时间 1. 在左侧导航栏中选择“日志管理”。 2. 结构化日志以日志流为单位，在“日志管理”页面选择目标日志组和日志流。 3. 单击日志流名称进入日志流详情页面，单击右上角，在弹出页面中，选择“云端结构化解析”，进入日志结构化配置页面，选择对应的日志提取方法进行配置。 4. 配置完成后，开启自定义日志时间开关，配置如下参数。 表 1 参数配置表 参数 说明 示例 字段key 已提取字段的名称。单击下拉框选择已提取的字段，该字段为string或long类型。 test 字段value 已提取的字段value，选择字段key后，将自动填充。配置的字段value必须是当前时间前后24小时内的时间。 20220719 12:12:00 时间格式 请参考常见日志时间格式。 yyyyMMdd HH:mm:ss 操作 单击“校验”，提示“时间格式和字段value匹配成功”则表示校验成功。 说明 切换自定义日志时间开关时，可能会导致日志搜索界面在切换时间点附近出现时间偏差，请勿频繁切换自定义日志时间开关。 常见日志时间格式 支持的常见日志时间格式如下表所示。 说明 默认情况下，日志服务中的日志时间戳精确到秒，所以时间格式只需配置到秒，无需配置毫秒、微秒等信息。 表 2 时间格式 时间格式 说明 示例 EEE 星期的缩写。 Fri EEEE 星期的全称。 Friday MMM 月份的缩写。 Jan MMMM 月份的全称。 January dd 每月第几天，十进制，范围为01~31。 07, 31 HH 小时，24小时制。 22 hh 小时，12小时制。 11 MM 月份，十进制，范围为01~12。 08 mm 分钟，十进制，范围为00~59。 59 a AM或PM。 AM、PM hh:mm:ss a 12小时制的时间组合。 11:59:59 AM HH:mm 小时和分钟组合。 23:59 ss 秒数，十进制，范围为00~59。 59 yy 年份，十进制，不带世纪，范围为00~99。 04、98 yyyy 年份，十进制。 2004、1998 d 每月第几天，十进制，范围为1~31。如果是个位数字，前面需要加空格。 7、31 DDD 一年中的天数，十进制，范围为001~366。 365 u 星期几，十进制，范围为1~7，1表示周一。 2 w 每年的第几周，星期天是一周的开始，范围为00~53。 23 w 每年的第几周，星期一是一周的开始，范围为01~53。如果一月份刚开始的一周>4天，则认为是第1周，否则认为下一个星期是第1周。 24 U 星期几，十进制，范围为0~6，0代表周日。 5 EEE MMM dd HH:mm:ss yyyy 标准的日期和时间。 Tue Nov 20 14:12:58 2020 EEE MMM dd yyyy 标准的日期，不带时间。 Tue Nov 20 2020 HH:mm:ss 标准的时间，不带日期。 11:59:59 %s Unix时间戳。 147618725

本文以Windows Server 2012云主机为例介绍搭建AD域中如何安装AD域服务器。 准备工作 创建2台Windows云主机，且两台云主机需归属于相同VPC。一台作为AD域控制器，一台作为AD域客户端。本文以两台Windows Server 2012云主机为例进行说明。 操作步骤 1. 登录Windows云主机，搜索“服务管理器”并打开，点击“添加角色和功能”。 2. 在弹窗中选择下一步。 3. 选择“基于角色和基于功能的安装”，点击“下一步”。 4. 选择“从服务器池中选择服务器”并点击“下一步”。 5. 选择“Active Directory域服务”。 6. 点击“添加功能”，选择“继续点击“下一步”。 7. 选择“Active Directory域服务”并点击“下一步”。 8. 选择“下一步”。 9. 继续选择“下一步”。 10. 勾选“如果需要，自动重新启动目标服务器”，点击“安装”。在弹窗中选择“是”，允许自动重新启动。 11. 点击“安装”，安装成功之后，点击“关闭”。

本章介绍如何通过创建的备份创建新的云硬盘。 1、登录控制中心。 2、选择选择【存储 > 云硬盘备份】。 3、在云硬盘备份所在行的【操作】列下单击【创建磁盘】。 4、配置磁盘相关数据。 系统默认勾选【从备份创建】。 新磁盘容量必须大于等于备份容量。 当新磁盘容量大于原有备份容量时，增量部分需要参考云硬盘备份中的【数据盘初始化（Linux）】重新分配磁盘。 5、单击【立即申请】。 6、核对云硬盘备份信息，确认无误后勾选服务协议，单击【提交申请】。 7、返回云硬盘界面，确认创建新磁盘是否成功。 说明 通过备份创建磁盘时间相对较长，大约需要十几分钟，请您耐心等待。 磁盘状态要经过【正在创建】和【恢复数据】两个中间状态，当状态变更为【可用】时表示创建成功。 使用可启动盘的备份创建新云硬盘后，当需要对新云硬盘进行备份时，请确保新云硬盘已经被云服务器挂载过，否则备份记录中【磁盘是否可启动】仍然为【否】。

云硬盘备份(CTVBS,Volume Backup Service)是针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的磁盘进行备份,并在云主机磁盘故障、用户误删数据、遭到黑客攻击等情况下,将备份数据的快速恢复到源盘,有效保证用户数据的安全性。

云审计CTS与LTS进行系统对接后，系统自动在云日志服务控制台创建的日志组和日志流，如果需要将CTS的日志转储至OBS中，您需要进行以下操作： 1. 在云审计服务管理控制台，单击左侧导航栏中的“追踪器”。 2. 单击追踪器“system”操作列的“配置”。 3. 进入基本信息页面，单击下一步。 4. 在“配置转储”页面，选择转储到OBS的相关信息和开启转储到LTS，单击下一步。 5. 确认信息正确后，单击配置即可完成。 6. 在云日志服务管理控制台，选择左侧导航栏中的“日志转储”，单击“配置转储”，完成将CTS日志转储至OBS的配置。 其中日志组名称选择“CTS”，日志流名称“systemtrace”。 7. 转储成功后在OBS控制台所选OBS桶中可以看到已转储的CTS日志。

本节介绍了天翼云电脑（公众版）进行升级配置，但不支持配置降级。 云电脑（公众版）支持进行升级配置，但不支持配置降级。 1. 登录“天翼云电脑”安卓移动客户端APP； 2. 选择“云电脑”列表查看需要升级配置的云电脑； 3. 点击“管理”进入管理页面，选择“升级配置“； 4. 确认可升级的配置规格并提交订单； 5. 确认订单并完成支付，支付成功后升级配置即生效。 说明 1、在天翼云电脑（安卓）App、天翼云App、天翼云官网进行订购的云电脑公众版支持在天翼云电脑移动客户端进行产品变更操作管理。 2、在营业厅订购云电脑公众版产品的用户请到营业厅咨询产品变更流程。

本章节主要介绍数据治理中心DataArts Studio如何创建IAM用户并授予DataArts Studio权限。 创建IAM用户并授予DataArts Studio权限 如果您需要对您所拥有的DataArt Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DataArts Studio资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如操作步骤所示。 背景信息 给用户组授权之前，请您了解用户组可以添加的DataArts Studio工作空间角色权限，并结合实际需求进行选择。 约束与限制 DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 − IAM角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 − IAM策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

本节介绍如何连接已被黑洞的服务器。 操作场景 当服务器遭受大流量攻击时，AntiDDoS将调用运营商黑洞，屏蔽该服务器的外网访问。对于黑洞的服务器，您可以通过弹性云主机连接该服务器。 前提条件 登录账号已购买公网IP。 已获取弹性云主机的登录账号与密码。 已获取被黑洞的服务器的登录账号与密码。 约束条件 弹性云主机与被黑洞的服务器同地域且可正常访问。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“计算 > 弹性云主机”，进入弹性云主机管理界面。 4. 登录与被黑洞的服务器同地域且可正常访问的弹性云主机。 5. 连接黑洞状态的服务器。 连接黑洞服务器说明： 弹性云主机的操作系统 黑洞服务器的操作系统 连接方式 Windows Windows 使用mstsc方式登录黑洞状态的服务器。 1. 在弹性云服务器中输入“mstsc”，单击mstsc打开远程桌面连接工具。 2. 在“远程桌面连接”的对话框中，单击“选项”。 3. 输入待登录的云服务器的弹性公网IP和用户名，默认为“Administrator”。 4. 单击“确定”，根据提示输入密码，登录服务器。 Windows Linux 使用PuTTY、Xshell等远程登录工具登录服务器。 Linux Windows 1. 安装远程连接工具（例如rdesktop）。 2. 执行以下命令，登录黑洞状态的服务器。 rdesktop u 用户名 p 密码 g 分辨率 黑洞服务器绑定的公网IP地址 Linux Linux 执行以下命令，登录黑洞状态的服务器。 ssh 黑洞服务器绑定的公网IP

介绍备份存储桶的最佳操作。 对于存储在媒体存储对象存储的数据，本产品提供了数据迁移以及存储桶复制的备份能力。用户可根据不同场景的备份需求，选择对应的备份方式。 通过数据迁移备份 媒体存储提供在线迁移服务，用户可通过在线迁移服务实现以下数据迁移场景： 将同个账号的媒体存储的某个bucket数据迁移至另一个bucket。 跨不同的天翼云账号迁移媒体存储间的数据。 将第三方数据，如阿里云、AWS等数据迁移到媒体存储。 数据迁移会产生备份存储空间、请求次数等费用，具体可参考：计费说明。 支持通过控制台进行数据迁移的配置，具体配置方法可参考：创建迁移任务。 通过存储桶复制备份 存储桶复制是跨不同存储区域或同一存储区域的Bucket 自动、异步（近实时）复制对象（object），可根据配置，将源桶Object的创建、更新和删除等操作复制到目标Bucket。具体介绍及配置方法可参考：存储桶复制。 存储桶复制流程如下图：用户配置BucketA复制到BucketB的增改同步规则，当BucketA的创建对象时，会自动复制一份到BucketB，满足备份需求。用户可根据业务规划，切换写入或读取链路，保证业务不受影响。

应用场景 如果您已购买并使用运维安全中心（云堡垒机）服务专业版，可通过运维安全中心服务为主机安装企业主机安全的Agent。此安装方式无需获取主机账户密码或执行复杂的安装命令，可便捷的为单台或多台主机安装Agent。 前提条件 运维安全中心（云堡垒机）服务专业版，并通过运维安全中心（云堡垒机）纳管主机资源。 待安装Agent的主机为SSH协议类型的Linux主机，且主机网络连接正常。 已获取运维安全中心（云堡垒机）的系统管理员账号。 操作步骤 1.使用系统管理员账号登录运维安全中心（云堡垒机）系统。 2.在左侧导航栏，选择“运维> 快速运维”，进入“快速运维”界面。 3.选择“脚本控制台”页签，进入脚本控制台。 4.配置脚本运维信息。相关参数说明请参见下表，配置脚本运维信息 参数 说明 执行脚本 选择脚本“HSSAgent.sh”。 脚本参数 不填写。 执行账户 单击“选择”，选择待安装Agent的主机账户或账户组。 更多选项 可选设置。脚本任务默认在主机的Sudoers文件下执行，当主机账户没有该文件的执行权限时，需勾选“提权执行”。 5.单击“立即执行”，执行脚本任务。 6.脚本任务执行成功后，在执行结果列单击“展开”，展开执行结果，执行结果显示“install finished.[OK]”表示Agent安装成功。 7.在企业主机安全控制台，确认Agent安装结果。 8.登录企业主机安全控制台。 9.在左侧导航栏，选择“资产管理> 主机管理”，进入“主机管理”界面。 10.在“云服务器”页签，查看目标主机的Agent状态。 Agent状态为“在线”，表示Agent安装成功。

本文带您熟悉删除/退订存储库的操作步骤。 操作场景 若不再使用云主机备份功能，可对存储库进行删除/退订。 按需计费的存储库支持删除操作。 包年包月存储库购买不超过7天可进行退订并享受全额退订，购买超过7天退订属于非七天无理由退订，不限制退订次数，但退订需要收取相应的使用费用和退订手续费，具体退订规则请参见退订规则说明。 约束及限制 退订前需确认存储库内没有备份副本。如果有，需要先删除备份副本再退订存储库。 删除存储库后,存储库内副本将一并删除，删除后将无法找回相关数据并进行恢复。 退订存储库 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择要退订的存储库，点击操作列下的“更多>退订”。 6. 选择“退订原因”，勾选“我已确认本次退订金额和相关费用”，点击“退订”完成。 7. 退订申请提交成后，您可以在订单详情中查看退订进度。 删除存储库

本节主要介绍管理访问秘钥。 访问密钥（AK/SK，Access Key ID/Secret Access Key）包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，是您在系统的长期身份凭证，您可以通过访问密钥对部分云服务API的请求进行签名。系统通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。 新增访问密钥 步骤 1 用户使用天翼云帐号或IAM子用户登录天翼云官网。 步骤 2 单击天翼云首页顶部右侧“控制中心”，资源池选择二类节点。 步骤 3 在控制中心首页顶部右侧，单击用户名，弹出下拉菜单，并在下拉列表中单击“我的凭证”。 步骤 4 在“我的凭证”页面，左侧功能栏单击“访问密钥”。 步骤 5 单击“新增访问密钥”，输入验证码。 说明 如果您绑定了邮箱或者手机，需要输入验证码，如果没有绑定邮箱或者手机，仅需要输入登录密码即可新增访问密钥。 步骤 6 单击“确定”，生成并下载访问密钥。 说明 最多可创建2个访问密钥，有效期为永久。为了账号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

什么是配额？ 对用户的资源数量和容量做了限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交您的申请，并告知您申请提高配额的理由。 在通过我们的审理之后，我们会更新您的配额并进行通知。 如何检查终端节点服务所在后端弹性云主机的网络配置？ 步骤如下： 1、确认弹性云主机使用的网卡安全组是否正确。 2、在弹性云主机详情页面查看网卡使用的安全组。 3、查看安全组入方向是否已放行198.19.128.0/20网段的地址，如果没有放行，请添加198.19.128.0/20网段的入方向规则，用户可根据自己的实际业务场景添加入方向规则。 4、确认弹性云主机网卡所在子网的网络ACL不会对流量进行拦截。 5、在虚拟私有云页面左侧如果可以进行网络ACL配置，请确认对等连接涉及的子网已放通。 VPC终端节点和对等连接有什么区别？ 具体请见下表。 类别 VPC对等连接 VPC终端节点 ::: 安全性 VPC内所有ECS、ELB、VIP等均可以被访问。 仅创建了终端节点服务的ECS、ELB可以被访问。 CIDR重叠 不支持。 如果两个VPC之间的子网网段有重叠或者完全相同，那么建立的对等连接将无效，无法相互通信。 支持。 VPC终端节点完全不受两个VPC子网网段重叠或者完全相同的影响，均可以正常通信。 通信方向 建立对等连接的两个VPC之间支持双向通信。 通过VPC终端节点建立连接的两个VPC之间，仅支持终端节点所在VPC访问终端节点服务所在后端资源的指定端口。 路由配置 两个VPC间创建对等连接后，需要在两端VPC内分别添加对等连接路由信息，才能使两个VPC互通。 通过VPC终端节点服务进行连接的两个VPC，服务已为用户配置好相应的路由信息，用户自己无需再配置。

字段 字段说明 示例 action 防护事件的防护动作。 block attack 攻击的类型。 SQL Injection body 攻击者的请求实体内容。 cookie 攻击者的Cookie。 headers 攻击者的消息头。 host 防护的网站域名或IP。 www.example.com id 标识防护事件的ID。 02111620201121060347feb42002 payload 攻击者对防护网站造成伤害的组成部分。 pythonrequests/2.20.1 payloadlocation 攻击者对防护网站造成伤害的位置或访问URL的次数。 useragent policyid 标识防护策略ID。 d5580c8f6cd4403ebbf85892d4bbb8e4 requestline 攻击者的请求行。 GET / rule 防护事件对应的规则编号。 81066 sip Web访问者的公网IP地址（攻击者IP地址）。 time 防护事件发生的时间。 2020/11/21 0:20:44 url 防护域名的URL。 /

本文帮助您快速熟悉负载均衡器创建及其相关操作。 前提条件 在您创建负载均衡器前，确保您已经做好了相关准备，按需选择您需要的网络类型、产品类型并进行相关配置。具体请参考规划和准备。 使用须知 负载均衡器创建后，不支持修改VPC。如果要修改VPC，请重新创建负载均衡器，并选择对应的VPC。 如果子网未开启IPv6,则负载均衡不支持IPv6，如果子网已开启IPv6,则负载均衡支持IPv6。 如果只需要IPv6公网，可以创建内网负载均衡后绑定IPv6公网带宽。目前仅集群资源池支持负载均衡IPv6，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域，本文操作均选择华东华东1。 3. 在系统首页，选择“网络>弹性负载均衡>负载均衡器”。 4. 单击“创建负载均衡”，进入负载均衡创建页面。 5. 按需选择产品类型、网络类型等配置。各配置项详细说明，请参考负载均衡器配置说明。 6. 在“确认配置”页面，检查确认负载均衡器的相关配置。 7. 勾选我已阅读并同意相关协议《天翼云负载均衡服务等级协议》、《天翼云弹性IP服务协议》，点击“立即创建”。 8. 创建负载均衡器一般需要几分钟，请耐心等待。用户可前往控制台查看负载均衡器的状态，当其状态变为“运行中”时，表示负载均衡器创建完成。

实践 描述 云防火墙提供了“标准版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能，本实践介绍如何进行防火墙使用。 本实践以配置IP地址组和服务组为例，说明如何批量配置IP地址和服务访问控制策略。

本页介绍天翼云TeleDB数据库健康检查。 操作场景 健康检查是通过检查实例的各项指标来快速获取实例运行状态是否正常，检查的实例指标包括监控互信、CN与DN的连通性、磁盘空间不足预警、集群拓扑元数据、操作系统参数一致性和监听端口一致性。 监控互信：监控系统是否能正常连通集群各节点。 CN与DN的连通性：CN是否能访问所有DN，并且正常执行检查命令。 磁盘空间不足预警：检查数据库占用磁盘空间是否大于可用空间的80%。 集群拓扑元数据：DN和CN节点记录的集群拓扑架构是否完全一致。 操作系统参数一致性：备操作系统运行参数是否与模版一致。 监听端口一致性：数据库分配端口与实际运行端口是否完全一致。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例列表 ，进入实例列表页面。 2. 在实例列表页面，单击目标实例所在行的操作列的健康检查 ，弹出健康状况 对话框。 3. 进入健康状况对话框，单击健康检查 ，实例将对所有检查项进行检查。 4. 单击刷新 ，可查看检查结果。

本页介绍天翼云TeleDB数据库如何进行健康检查。 操作场景 健康检查是通过检查实例的各项指标来快速获取实例运行状态是否正常，检查的实例指标包括监控互信、CN与DN的连通性、磁盘空间不足预警、集群拓扑元数据、操作系统参数一致性和监听端口一致性。 监控互信：监控系统是否能正常连通集群各节点。 CN与DN的连通性：CN是否能访问所有DN，并且正常执行检查命令。 磁盘空间不足预警：检查数据库占用磁盘空间是否大于可用空间的80%。 集群拓扑元数据：DN和CN节点记录的集群拓扑架构是否完全一致。 操作系统参数一致性：备操作系统运行参数是否与模版一致。 监听端口一致性：数据库分配端口与实际运行端口是否完全一致。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例列表 ，进入实例列表页面。 2. 在实例列表页面，单击目标实例所在行的操作列的健康检查 ，弹出健康状况 对话框。 3. 进入健康状况对话框，单击健康检查 ，实例将对所有检查项进行检查。 4. 单击刷新 ，可查看检查结果。

本页介绍天翼云TeleDB数据库健康检查。 操作场景 健康检查是通过检查实例的各项指标来快速获取实例运行状态是否正常，检查的实例指标包括监控互信、CN与DN的连通性、磁盘空间不足预警、集群拓扑元数据、操作系统参数一致性和监听端口一致性。 监控互信：监控系统是否能正常连通集群各节点。 CN与DN的连通性：CN是否能访问所有DN，并且正常执行检查命令。 磁盘空间不足预警：检查数据库占用磁盘空间是否大于可用空间的80%。 集群拓扑元数据：DN和CN节点记录的集群拓扑架构是否完全一致。 操作系统参数一致性：备操作系统运行参数是否与模版一致。 监听端口一致性：数据库分配端口与实际运行端口是否完全一致。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例列表，进入实例列表页面。 2. 在实例列表页面，单击目标实例所在行的操作列的健康检查 ，弹出健康状况对话框。 3. 进入健康状况对话框，单击健康检查，实例将对所有检查项进行检查。 4. 单击刷新，可查看检查结果。

功能 说明 执行SQL 用于执行SQL语句。SQL操作主要针对数据库中的表与视图。 格式化 用于提高SQL语句易读性，只是转换SQL语句的显示形式，不会修改SQL的执行逻辑和语义。格式化功能是对整个SQL 窗口内所有SQL语句进行格式化，暂不支持选中多条语句中的某一条进行格式化。例如：输入SELECT FROM db;单击格式化后，SQL将变为如下格式：SELECT FROM db; 执行计划 用于反馈SQL的执行情况，便于排查问题，优化与提升SQL处理性能。 我的SQL DAS支持用户添加常用的SQL，以及查看和管理SQL语句。 SQL保存到执行记录 开启后，系统将保存最近执行的SQL到服务器中。 SQL提示 用户在SQL窗口输入语句时帮助用户快速输入用户的库名、表名、字段名称。 全屏模式 当输入的SQL语句较多时，可以打开全屏开关，方便用户查看。 SQL执行记录 查看SQL执行情况。 消息 查看SQL返回信息。 结果集 查看SQL执行结果。同时提供查看单行详情、新增行、提交编辑、删除行、导出、复制行、复制列、列设置等操作。 覆盖/追加模式 追加模式：每次执行SQL时，之前结果集将会保留，创建新标签页显示新结果集。 覆盖模式：每次执行SQL时，会清空之前结果集，并显示SQL新结果集。

当前开通应用服务网格CSM需要您先开通云容器引擎实例，开通服务网格时需要您先选择已经开通的云容器引擎集群，用于部署服务网格控制面。应用服务网格CSM架构图如下： 当前应用服务网格CSM支持多集群模式，主集群（Primary）用于部署网格控制面，通过ELB向其他从集群（Remote）暴露控制面服务（包括xDS、webhook等接口）。

如果您已经创建天翼云VPN网关，可以对VPN网关进行流量监控。 操作场景 用户查看某个VPN网关的流量情况。 前提条件 用户在该区域下有正常状态的VPN网关；如果状态异常，可能会没有监控数据。 操作步骤 1. 登录控制中心。 2. 选择“管理与部署”下的“云监控”产品。 3. 选择“云服务监控 ”下的“VPN监控”，进入VPN监控页面。 4. 单击“VPN网关”，进入VPN网关监控列表，可以查看VPN网关名称、企业项目、绑定的资源名称、网关IP和总带宽等信息。 5. 选择需要查看监控的目标VPN网关，点击“操作”列中的“查看监控图表”按钮。 6. 在VPN监控详情页面，上方可以查看VPN网关的详情信息。 7. 在VPN监控详情页面，下方可以查看目标VPN网关的入方向流量速率、出方向流量速率、入方向数据包速率和出方向数据包速率等监控指标的数据。还可以选择查询的时间范围，设置自动刷新等。 8. 在VPN监控详情页面，针对每一项监控指标，单击图表右上角的“查看”按钮，可以查看该监控指标的详情信息。在该页面，支持修改数据的展示方法（原始值、最大值、最小值、平均值等），支持修改数据的取样间隔（5分钟、20分钟），支持选择查询的时间范围，支持修改数据单位。 9. 选择需要查看监控的目标VPN网关，点击“操作”列中的“创建告警规则”按钮，可以配置告警服务，具体配置请参考“创建告警规则”。

本节介绍了容器镜像服务的新旧版本说明。 新版本 容器镜像服务（CRS）是推荐使用的产品，与云容器引擎衔接搭配。目前在使用的资源池详见帮助文档一类节点。 产品文档其他章节默认产品是容器镜像服务（CRS）。 旧版本 容器镜像服务（CCR）目前仍在使用的6个资源池： 上海36、上海33、帆豫智联、北京5、南京3、雄安2 。

本章节主要介绍分组管理中的关联MySQL设置相关操作，用于设置实例关联的后端数据库属性，大部分情况下按默认设置即可。 注意事项 设置属性后，需要重启服务节点后才能生效。 仅V2.9.0及以后版本创建的实例，支持设置自定义读写分离权重。 关联MySQL实例后，该MySQL实例将无法直接被退订。如果您的业务不再需要使用该MySQL实例，您可以解除关联后，在MySQL > 实例管理页面退订该MySQL实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 单击分组管理，进入分组管理页面。 5. 在分组列表中，找到目标分组，单击操作 列的属性设置 ，进入分组配置面板。 6. 单击关联RDS设置页签。 7. 单击操作 列的设置属性 ，然后在设置属性面板中配置服务节点连接MySQL的行为参数。 属性列表 关联MySQL可配置属性如下所示： 属性编码 属性名称 说明 maxCon 最大连接数 实例连接池的最大连接。 secondsBehindMaster 主备延迟阈值（秒） 如果主备延迟时间超过设置的阈值，备库将被剔除读写分离，默认值0表示永不剔除，请谨慎设置。 maxIdle 最大空闲连接数个数 实例连接池的最大空闲连接数个数，默认32。 idleTimeout 空闲的超时时间（毫秒） 实例连接池连接空闲的超时时间。 connectTimeout 获取连接超时(毫秒) 实例连接池连接获取连接超时时间。 balance 读写分离配置 读写分离属性配置，支持配置为： 关闭 ：即balance 0，表示不开启读写分离，所有语句均发往写节点。 读语句发往读库 ：即balance 1，表示开启读写分离，所有事务外(autocommit1)的SELECT语句发往读节点；所有事务内(autocommit0)的语句发往写节点。 读语句随机发往读库和写库 ：即balance 2，表示开启读写分离，所有事务外(autocommit1)的SELECT语句随机发往读节点或写节点；所有事务内(autocommit0)的语句发往写节点。 自定义权重 ：即banlance 3，表示开启读写分离，支持根据实际情况，设置自定义读写分离权重。 说明 在对数据库有少量写请求，但有大量读请求的应用场景下，为了实现读取能力的弹性扩展，防止MySQL实例主备节点性能差异导致的节点过载，您可以通过读写分离特性，将读语句发送到指定的节点满足大量的数据库读取需求。DRDS的读写分离功能运行机制如下： 如果会话未开启事务，读语句将直接发送到salve（从节点）执行。 如果会话已开启事务，读语句将发送到master（主节点）上执行。 weights 读写分离权重配置 仅读写分离配置 设置为自定义权重时，需要配置该参数，表示开启读写分离，并且您需要设置读节点的权重。 注意 新增的从节点权重默认为0，表示读请求不会发往新增的从节点，您可以根据实际情况修改该节点的权重。 dbType 后端连接的数据库类型 指定后端连接的数据库类型,目前支持二进制的MySQL协议，目前暂时支持MySQL和MariaDB，后面会逐渐支持其他数据库。 dbDriver 连接后端数据库使用的Driver 指定连接后端数据库使用的Driver，目前可选的值有native和JDBC，使用native的话，因为这个值执行的是二进制的MySQL协议，所以可以使用MySQL和MariaDB。其他类型的数据库则需要使用JDBC驱动来支持。但是目前还暂时不支持。 heartbeatSQL 心跳检查的语句 用于和后端数据库进行心跳检查的语句。例如，MYSQL可以使用select user()。

本文站在新手的角度，从了解安全与加速基本概念开始，到基础的开通和域名接入，再深入到安全策略配置，递进式指引帮助零基础用户快速上手和使用安全与加速服务。 安全与加速基本概念 面向对象：首次使用边缘安全加速平台—安全与加速服务的客户。 初识WAF 说明 相关文档 ::: 什么是边缘安全加速平台？ 通过介绍边缘安全加速平台，主要功能和应用场景，帮助首次使用边缘安全加速平台的客户全面认识产品。 什么是边缘安全加速平台 为什么需要边缘安全加速平台？ 通过详细介绍产品优势，帮助客户全面了解边缘安全加速平台能解决的业务问题。 产品优势 安全与加速服务如何计费？ 详细介绍天翼云边缘安全加速平台—安全与加速服务支持的计费方式，指导客户如何选择合适的计费方式。 产品计费 基本概念 为帮助客户在浏览相关文档时能更快更准确理解相关功能及流程，专门提炼相关专业术语并提供解释说明。 基本概念

本节介绍如何配置全局Web核心防护。 防护对象接入Web应用防火墙后，您可以选择开启全局Web核心防护功能。 全局精准访问控制支持对全局域名或单个域名生效。 全局Web核心防护包括防护配置 SQL注入、XSS代码注入、信息泄露、XML实体注入、Xpath注入、Ldap注入、SSL指令注入、文件上传、命令注入等常见 Web攻击。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 查看规则库 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，选择查看规则库。 6. 进入“规则组”页面。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。 7. 单击页面右上角的“规则更新状态”可查看内置规则的更新情况。

操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5. 点击页面右上角的“云资产委托授权”。 6. 在“云资产委托授权”页面，开启/停止授权访问对应的云资源，根据下表进行操作。 参数名称 参数说明 资产模块 DSC提供了如下资产模块： OBS：对象存储服务。 数据库：DSC支持的数据库类型及版本请参见使用约束。 大数据：授权访问云搜索服务（CSS）和数据湖探索（DLI）的资产。 MRS：MapReduce服务（MapReduce Service，简称MRS） 资产地图：授权访问云上数据存储，传输，使用，交换以及删除等信息的采集权限。 开通对应资产模块授权后，获得的授权委托如开通授权后获得的授权委托策略。 开通授权状态 两种状态： 已授权 未授权 操作 单击图标开启或者停止授权。 ：未授权 ：已授权

分布式缓存服务版本类型经典版调整为白名单特性，更多了解请查看经典版实例规格。 调整时间 2024年6月15日 影响范围 所有区域 调整影响 新用户默认不能开放经典版实例规格订购开通，如需要该特性，请联系技术支持开通后使用。 已购买经典版的用户，原实例仍可正常使用，续费、扩容等操作不受影响。