本文为您介绍如何查看云搜索OpenSearch实例运行日志及审计日志。 天翼云云搜索服务支持使用云日志服务存储和查看实例日志。 约束限制 1. 支持查看7天内的日志。 2. 云日志服务已商用，开启需要有100元余额，开启后会依据云日志收费标准进行收费。 3. 如果您自行在云日志控制台关闭了实例日志单元或日志项目，将会无法查询到相关日志，请谨慎操作。 4. 审计日志不会上报到云日志，保存在实例中。 5. 云日志功能仅订购了云搜索1.2.0及以上版本适用。 操作步骤 1. 登录云搜索控制台，选择需要开启日志服务的实例，进入实例详情页，选择监控中心日志管理。 2. 单击开启日志功能，通过授权认证后开通成功后，点击链接进入到云日志控制台进行日志查看。 3. 日志范围包括运行日志（含错误日志）、GC日志、慢索引日志和慢查询日志。 4. 如果您不再需要日志采集，可以在控制台关闭日志功能开关，并选择是否要保留已产生的日志，如保留，历史日志可前往云日志控制台查看。 5. 审计日志也可在此开启，开启后会在实例内逐日创建审计日志索引，您可通过Dashboards进行查看。

本节为您介绍云迁移服务CMS中数据库迁移工具提供任务搜索功能。 数据库迁移工具提供任务搜索功能，用户可根据任务名称、评估时间筛选出想要查看的迁移评估任务。

云服务（包含OBS、IMS、EVS、SFS、DDS和RDS）使用KMS提供的信封加密方式来保护用户的数据。 信封加密方式，是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。 用户通过云服务加密数据时，需要指定一个KMS用户主密钥。云服务会生成一个明文的数据加密密钥和一个密文的数据加密密钥，其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。云服务使用明文的数据加密密钥来加密数据，然后将加密后的密文数据与密文的数据加密密钥一同存储在云服务中。 用户通过云服务下载数据时，云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密，并使用解密得到的明文的数据加密密钥来解密密文数据，然后将解密后的明文数据提供给用户下载。

本文为您介绍如何查看云搜索Elasticsearch实例运行日志及审计日志。 天翼云云搜索服务支持使用云日志服务存储和查看实例日志。 约束限制 1. 支持查看7天内的日志。 2. 云日志服务已商用，开启需要有100元余额，开启后会依据云日志收费标准进行收费。 3. 如果您自行在云日志控制台关闭了实例日志单元或日志项目，将会无法查询到相关日志，请谨慎操作。 4. 审计日志不会上报到云日志，保存在实例中。 5. 云日志功能仅订购了云搜索1.2.0及以上版本适用。 操作步骤 1. 登录云搜索控制台，选择需要开启日志服务的实例，进入实例详情页，选择监控中心日志管理。 2. 单击开启日志功能，通过授权认证后开通成功后，点击链接进入到云日志控制台进行日志查看。 3. 日志范围包括运行日志（含错误日志）、GC日志、慢索引日志和慢查询日志。 4. 如果您不再需要日志采集，可以在控制台关闭日志功能开关，并选择是否要保留已产生的日志，如保留，历史日志可前往云日志控制台查看。 5. 审计日志也可在此开启，开启后会在实例内逐日创建审计日志索引，您可通过Kibana进行查看。

本节主要介绍重置管理员密码。 操作场景 GeminiDB Influx支持重置数据库管理员密码，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。 使用须知 实例状态为“正常”、“备份中”、“恢复检查中”、“存储扩容中”，以及个别节点异常时，支持重置密码。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。 方法一 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击操作列“更多 > 重置密码”。 4. 输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@ %^+?的组合。 5. 若您已开启操作保护，在弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 方法二 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击实例名称，进入“基本信息”页面。 4. 在“数据库信息”区域，单击“管理员账户名”处的“重置密码”。 5. 输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@ %^+?的组合。 6. 若您已开启操作保护，在弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。

本文介绍客户业务接入天翼云CDN加速的基本条件。 限制项 具体要求 加速域名准入条件 中国内地： 1.账号已在天翼云进行实名认证。 2.域名已完成ICP备案且备案信息准确有效。 3.域名接入时需要经过内容审核。 4.域名接入时需要能通过域名归属权验证。 全球（不含中国内地）： 1.账号已在天翼云进行实名认证。 2.域名接入时需要经过内容审核。 3.域名接入时需要能通过域名归属权验证。 全球： 1.账号已在天翼云进行实名认证。 2.域名已完成ICP备案且备案信息准确有效。 3.域名接入时需要经过内容审核。 4.域名接入时需要能通过域名归属权验证。 说明： 1.全球（不含中国内地）：包括中国香港、中国澳门、中国台湾、其他国家及地区。 2.加速范围为：中国内地、全球的域名必须完成ICP备案且备案信息准确有效才能接入天翼云CDN，否则天翼云无法提供加速服务。 加速域名使用限制 1.域名类型：支持具体域名（例如，abc.ctyun.cn）或泛域名（例如，.ctyun.cn域名）。 2.域名长度：长度不超过128字节。 3.支持的字符：小写英文字母（az）、数字（09）、短划线（），如为泛域名，支持以 开头，例如 .ctyun.cn域名。 4.天翼云CDN在开通CDN服务后接入域名时，会进行二级域名的信用度检查。例如：您的二级域名在天翼云账号中曾产生过影响信用度的违规行为，如产生大量欠款未结清，二级域名将被列入黑名单，天翼云CDN会禁止新增二级域名黑名单匹配的所有加速域名。例如，ctyun.cn被列入黑名单，A.ctyun.cn、B.ctyun.cn均会被限制新增。 额定用量 1.URL刷新：10000条/日。 2.目录刷新：100条/日。 3.正则刷新：10条/日。 4.URL预取：2000条/日。 5.域名数量：每个账号每个产品类型最多可以添加100个域名。 说明：为防止资源滥用，天翼云CDN平台限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请提交工单申请扩大额度。 内容审核 CDN不支持接入违反相关法律法规的域名，包括但不限于： 1.涉黄、涉赌、涉毒、涉暴恐内容的网站。 2.盗版游戏 / 盗版软件 / 盗版视频网站。 3.P2P类金融网站、彩票类网站、违规医院和药品类网站。 4.游戏私服类。 说明：如果您的加速域名含有以上违规的内容，您将自行承担相关风险。如果发现加速域名有违规行为，CDN将封禁该域名，因违规而封禁的加速域名将永久不能解禁。 用户请求相关限制 1.请求方法限制：天翼云CDN加速产品支持PUT、GET、POST和HEAD请求，不支持PUSH、PURGE请求。其中仅POST、PUT支持发送带有请求体（BODY）的请求，其余方法不支持。 2.单URL或单请求头长度限制：不能超过64KB，单URL长度超过限制则返回414状态码，单请求头长度超过限制则返回400状态码。 3.URL+所有请求头总长度限制：不能超过256KB，超过则返回400状态码。 缓存key 缓存key长度不能超过8KB，超过则返回400状态码。 源站HTTP响应头 源站向CDN节点返回的响应头，其总大小默认最大不能超过128KB，否则CDN会响应异常。 文件上传 CDN加速默认支持的最大上传文件大小为300MB。 域名被攻击限制 如果您的CDN加速域名受到攻击，导致CDN节点带宽或请求QPS大幅上涨，影响正常用户请求时，天翼云CDN将基于域名业务情况、攻击影响程度等综合评估，必要情况下有权将您的加速域名流量导入“隔离节点”，进入“隔离节点”的用户请求将不再保障服务质量。 单用户调用API接口频率限制 1.针对查询类API接口，单个用户一分钟限制调用10000次，并发不超过100。 2.针对操作类API接口，单个用户一分钟限制调用10次。 说明：操作类接口，是指例如新增域名、删除/停用/启用域名等需对域名状态进行变更类的操作。 请求端口 请求端口默认开启HTTP 80端口及HTTPS 443端口，如需其他特殊端口，需提交工单进行评估。评估通过后，端口开通时效最长为14个工作日。

本节介绍了扩容“正在使用”状态的云硬盘容量的操作场景、约束与限制、操作步骤。 操作场景 本章节指导用户通过管理控制台扩容状态为“正在使用”的云硬盘，该状态表示当前需要扩容的云硬盘已经挂载给云主机，并且扩容时不需要卸载。 约束与限制 当前EVS扩容功能支持扩大云硬盘容量，不支持缩小云硬盘容量。 系统盘支持的最大容量为1 TB，数据盘支持的最大容量为32 TB，最小扩容步长均为 1GB。 对状态为“正在使用”的云硬盘进行扩容时，云硬盘所挂载的云主机状态必须为“运行中”或者“关机”才支持扩容。 状态为“正在使用”的共享云硬盘不支持扩容，扩容前需要先将共享云硬盘从所挂载的云主机卸载，待状态变为“可用”后执行扩容操作，扩容方法请参见扩容“可用”状态的云硬盘容量。 扩容状态为“正在使用”的云硬盘时，对云硬盘所挂载的云主机操作系统有要求。若云主机操作系统不满足要求，则需要先卸载云硬盘再执行扩容操作，否则扩容后可能需要将云主机关机再开机，磁盘容量才会变大。 请按照如下指导，确认您的云主机操作系统是否满足要求： a. 公共镜像支持“正在使用”状态云硬盘扩容，和公共镜像相同的私有镜像也支持。 镜像查看方法：登录管理控制台，选择“镜像服务 > 公共镜像”，查看“镜像类型”为“ECS镜像”的公共镜像。 b. 如果无法在公共镜像列表中找到您的云主机操作系统，则请查看下表。 如果下表中列出了您的云主机操作系统，则同样支持“正在使用”状态云硬盘扩容。否则，请卸载后再扩容，方法请参见扩容“可用”状态的云硬盘容量。 表 支持“正在使用”状态云硬盘扩容的操作系统列表 操作系统 版本 :: CentOS 8 8.0 64bit 及以上 CentOS 7 7.2 64bit 及以上 CentOS 6 6.5 64bit 及以上 Debian 8.5.0 64bit 及以上 Fedora 24 64 bit 及以上 SUSE 12 SUSE Linux Enterprise Server 12 64bit 及以上 SUSE 11 SUSE Linux Enterprise Server 11 SP4 64bit OpenSUSE 42.1 64bit 及以上 Oracle Linux Server release 7 7.2 64bit 及以上 Oracle Linux Server release 6 6.7 64bit 及以上 Ubuntu Server 14.04 64bit 及以上 Windows 2016 Windows Server 2016 R2 Enterprise 64bit Windows 2012 Windows Server 2012 R2 Standard 64bit Windows 2008 Windows Server 2008 R2 Enterprise 64bit Redhat Linux Enterprise 7 7.3 64bit Redhat Linux Enterprise 6 6.8 64bit EulerOS 2.2 64bit 及以上

本章节介绍了云硬盘备份产品的基本概念,包括备份,策略,增强备份,即时恢复等。 备份策略 备份策略指的是对备份对象执行备份操作时，预先设置的策略，策略包括备份策略的名称、备份任务的调度计划和备份数据的保留策略。其中调度计划包括备份执行的频率，备份执行的时间点，备份数据的保留策略包括备份数据的保存时间或保存数量。通过将云硬盘绑定到备份策略，可以为云硬盘执行自动备份。 备份 备份即一个备份对象执行一次备份任务产生的备份数据，包括备份对象恢复所需要的全部数据。备份可以通过一次性备份和周期性备份两种方式产生。 云硬盘备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。 一次性备份的备份名称支持用户自定义，也可以采用系统自动生成的名称。一次性备份产生的备份名称为“backupxxxx”。 周期性备份的备份名称由系统自动生成。周期性备份产生的备份名称为“autobkxxxx”。 即时恢复 即时恢复特性支持备份快速恢复磁盘数据和备份快速创建新磁盘，恢复磁盘数据和备份创建新磁盘的时间相较于特性启用之前将大大缩短。 云硬盘产生的历史备份（特性上线前产生的备份）不支持即时恢复。如需使用即时恢复特性，需要手工执行一次全量备份，同时在创建备份时勾选“全量备份”参数，该全量备份及其后续的增量备份方可支持即时恢复。具体操作请参见“创建云硬盘备份”。在即时恢复特性上线前未进行过备份的云硬盘，在特性上线后在创建备份时无需勾选“全量备份”参数，产生的备份即支持即时恢复特性。 产生过历史备份或特性上线前未进行过备份的云硬盘，在特性上线后创建成功的自动备份，不支持即时恢复特性。如需使用即时恢复特性，仍需手工执行一次全量备份。

创建工作空间 步骤 1 以DAYU Administrator 或Tenant Administrator账号登录DataArts Studio管理控制台。 步骤 2 在“空间管理”页签，单击“新建”，在空间信息页面请根据页面提示配置参数，参数说明如表1 所示。 表1 新建空间参数说明 参数名 说明 空间名称 空间名称，只能包含字母、数字、下划线、中划线、中文字符，且长度不超过32个字符。在当前的DataArts Studio实例中，工作空间名称必须唯一。 空间描述 空间的描述信息。 空间模式 选择新建工作新建工作空间的模式。 l简单模式：即传统的DataArts Studio工作空间模式，使用方便，但无法对数据开发流程和表权限进行强管控。 l企业模式：企业模式下DataArts Studio数据开发组件以及对应管理中心组件数据连接支持设置开发环境和生产环境，有效隔离开发者对生产环境业务的影响。企业模式的相关介绍请参见 DataArts Studio企业模式概述。 企业项目 DataArts Studio实例默认工作空间关联的企业项目。 如果已经创建了企业项目，这里才可以选择。当DataArts Studio实例需连接云上服务（如DWS、MRS、RDS等），还必须确保DataArts Studio工作空间的企业项目与该云服务实例的企业项目相同。 l一个企业项目下只能创建一个DataArts Studio实例。 l需要与其他云服务互通时，需要确保与其他云服务的企业项目一致。 作业日志OBS路径 用于指定DataArts Studio数据开发作业的日志存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发，必须具备“作业日志OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写数据开发的作业日志。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置作业日志OBS桶。 l如果不配置该参数，DataArts Studio数据开发的作业日志默认存储在以“dlflog{projectId}”命名的OBS桶中。{projectId}即项目ID，您可以参考获取项目ID和账号ID进行获取。 DLI脏数据OBS路径 用于指定DataArts Studio数据开发中DLI SQL执行过程中的脏数据存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发执行DLI SQL，必须具备“DLI脏数据OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写DLI SQL执行过程中的脏数据。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置DLI脏数据OBS桶。 l如果不配置该参数，DataArts Studio数据开发的DLI SQL脏数据默认存储在以“dlflog{projectId}”命名的OBS桶中。 步骤 3 配置完成后，单击“确定”完成工作空间的创建。

本文向您介绍如何查看VPN的云审计日志。 用户进入贵州资源池云审计服务创建管理类追踪器后，系统开始记录VPN服务的资源操作。云审计服务管理控制台会保存最近7天的操作记录。 如何查看审计日志，请参考《云审计服务用户指南》。

本文带您熟悉如何查看任务列表,以及您可以对备份任务进行的操作。 查看任务列表 操作场景 创建备份/恢复/删除任务后，您可通过任务列表查看任务详情，了解指定任务的任务类型、备份名称、状态等信息。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“任务列表”页签，即可看到任务列表。 5. 在弹出的页面中可查看任务的任务ID、策略名称/ID、任务类型、备份名称/ID、实例名称/ID、存储库名称/ID、状态等信息。 6. 您还可以在右上角的搜索框输入任务ID、云主机实例等信息，搜索指定任务。 取消备份任务 操作场景 创建备份任务后，您可在任务列表中对“执行中”的备份任务进行取消。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“任务列表”页签，找到目标备份任务。 5. 如果备份任务处于“执行中”状态，您可以单击备份任务所在行的“操作>取消”。 6. 在“取消任务”弹窗中，确认信息无误后单击“确定”。 7. 在任务列表中，当任务状态变为“已取消”时，说明取消成功。

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务RabbitMQ实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务RabbitMQ实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务RabbitMQ构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的RabbitMQ实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问RabbitMQ实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组。

KMS对接口请求QPS（每秒请求数）定义了配额，超过配额后，请求将被限制。 概述 KMS支持通过SDK或OpenAPI方式调用： SDK：应用接入点，内网调用 OpenAPI：共享网关，公网调用 两种访问方式的接口请求的QPS配额不同，应用接入点的QPS是针对每个KMS服务（基础实例）进行限制，需要更高的QPS时，您可以通过扩展KMS实例的计算性能配额来实现；OpenAPI共享网关的QPS是针对每个天翼云账号进行限制，QPS为固定值不支持升配。 应用接入点 应用接入点访问方式的SDK主要包含密码运算类接口，对比OpenAPI调用方式侧重计算性能的提升，即密码运算类的接口QPS，而密钥管理类接口与OpenAPI的QPS一致。 下表列出通过应用接入点访问KMS服务的密码运算类接口限制QPS，数据为单基础实例的参考值。 操作类型 API QPS（每秒请求数） 处理对称密钥算法 encrypt exportDataKey generateAndExportDataKey generateDataKeyWithoutPlaintext reEncrypt generateDataKey decrypt 2000 处理非对称密钥算法 asymmetricEncrypt asymmetricDecrypt asymmetricSign asymmetricVerify getPublicKey 300 完整性校验算法 hmaccompute 2000 处理证书运算 certificatePrivateKeySign certificatePrivateKeyDecrypt certificatePublicKeyEncrypt certificatePublicKeyVerify 300 生成随机数 getRandom 2000 OpenAPI 操作类型 API QPS（每秒请求数） 创建密钥 createKey 10 查询密钥等读操作 describeKey listAliasKeys listAlias listAliasByUuid listKeyVersions describeKeyVersion getParametersForImport 50 更新密钥属性等写操作 disableKey enableKey deleteKeyMaterial deleteProtect cancelDeleteProtect updateKeyDescription importKeyMaterial scheduleKeyDeletion updateAlias updateRotationPolicy cancelKeyDeletion createAlias createKeyVersion deleteAlias 30 创建、导入证书 importCertificate createCertificate importCertificateByPKCS12 10 证书查询等读操作 listCertificate describeCertificate getCertificate exportCertifiicatePrivatkey describeCertificateForUk istCertificateForUk 50 证书更新等写操作 updateCertificateStatus deleteCertificate updateCertificateStatusForUk deleteCertificateForUk 30 处理对称密钥算法 encrypt exportDataKey generateAndExportDataKey generateDataKeyWithoutPlaintext reEncrypt generateDataKey decrypt 750 处理非对称密钥算法 asymmetricEncrypt asymmetricDecrypt asymmetricSign asymmetricVerify getPublicKey 200 完整性校验算法 hmaccompute 750 处理证书运算 certificatePrivateKeySign certificatePrivateKeyDecrypt certificatePublicKeyEncrypt certificatePublicKeyVerify 200 生成随机数 getRandom 750

本文主要介绍如何创建MySQL跨可用区部署实例。 对于那些对数据可靠性有着迫切需求的业务场景，MySQL提供了跨可用区灾备实例的解决方案，以帮助用户提升数据的可靠性。 前提条件 拥有天翼云实名认证账号。 实例类型一主一备及其以上。 实例所在的地域需要包含两个及以上的可用区且资源充足。 适配资源池可参考：功能概览。 实现原理 MySQL 提供了多可用区部署方式，以提供更高的容灾能力。相较于单可用区部署，多可用区部署具备更强的数据库保护能力，能够有效应对数据库实例故障或可用区中断，并提供机房级别的容灾保护。 图1部署关系图 创建跨可用区灾备实例 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表上方，单击创建实例。 4. 根据需求选择合适的实例规格和数据库版本并选择2个以上可用区设置跨可用区实例。 图2 选择节点可用区信息 5. 确认无误后，单击去支付，完成付款后，完成支付流程。 6. 等待实例创建完成，可在实例详情页查看可用区信息。 注意 ：在实践中，确保按照最新的用户界面进行操作，并参考天翼云的官方文档和指南以获取更详细的指导和最佳实践。

本文为您介绍精准访问控制功能说明，以及如何配置自定义访问控制策略。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 使用限制 基础版不支持精准访问控制功能，请升级到更高版本使用。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“精准访问控制”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入精准访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、过期时间、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截：选择拦截时，支持开启“攻击惩罚”。 说明 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

注意事项 添加完加速域名/实例后，天翼云边缘接入服务IP应用加速会给您分配对应的CNAME地址，您还需要配置CNAME后IP应用加速服务才生效，请继续参考下方：配置CNAME。

本小节介绍证书管理服务产品SSL证书使用简介。 通过使用SSL证书，您的网站可以实现安全的HTTPS数据传输。本文介绍了购买SSL证书和使用SSL证书的流程，帮助您快速掌握SSL证书服务的相关操作。 步骤 任务 说明 相关文档 1 购买一个SSL证书。 SSL证书是天翼云证书管理服务售卖的SSL证书资源实体，用于管理与SSL证书有关的操作。例如，提交证书申请、在证书签发后下载证书等。 购买证书 2 使用已购买的SSL证书，向CA中心提交证书申请。 CA中心是颁发SSL证书的机构，您可以通过已购买的SSL证书向CA中心提交证书申请。 只有当CA中心审核通过您的证书申请后，才会为您签发SSL证书。 申请证书 3 在证书即将过期时，为证书续费并使用新签发的证书替换旧证书。 CA中心签发的SSL证书默认有1年有效期。证书过期后将不被浏览器信任，影响客户端通过HTTPS协议访问您的业务。 您可以在证书到期前的30个自然日内，为证书手动续费。 在证书续费后，您还必须将续费签发的新证书重新安装到您的Web服务器（或者部署到天翼云产品），替换即将过期的旧证书。 产品续订 4 不再需要使用证书时，向CA中心提交证书吊销申请。 如果您不再需要使用仍然有效的SSL证书，出于安全性考虑（例如，避免证书被盗用），建议您通过SSL证书服务向CA中心提交证书吊销申请。 吊销证书表示从签发该证书的CA中心处注销证书信息。已注销的证书将失效。 吊销证书

您可以通过异常记录功能，查看当前纳管的实例，最新的异常通知状态、以及异常通知的数量。 前提条件 仅限来源为天翼云RDS的MySQL数据库。 已录入DMS中，且实例状态正常的数据库实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 异常管理，点击异常记录，进入异常记录界面。 功能介绍 搜索 点击右上角搜索框，可以根据异常明细、严重等级、实例来源、状态进行搜索异常通知，点击重置则清空搜索条件，默认展示最新的异常通知记录。 异常记录列表 列表记录展示异常明细、严重等级、实例来源、状态、异常时间等信息。 点击异常记录的异常明细项，将展示当前异常项详细信息。此外，还支持查看当前异常项的监控趋势图。 点击异常记录的实例来源项，将跳转到该实例的实例画像界面，可查看实例多维度评分详情、节点监控等信息，详见实例画像。

Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡ELB 应用运维管理AOM NAT网关 NAT 对象存储服务OBS 弹性文件服务SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要使用Java探针，需要设置AOM FullAccess权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置OBS Administrator权限。说明由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后， 大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。l 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡ELBNAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 对象存储服务OBS弹性文件服务SFS 如果使用对象存储，需要全局设置OBS Administrator权限。 说明br由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 如果使用极速文件存储，需要设置SFS Turbo Admin权限导入存储的功能需要设置CCE Administrator权限。 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项( ConfigMap )无需其他依赖权限。 密钥( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务SWR应用运维管理AOM 为便于您快速进入CCE相关服务的控制台，在CCE控制台增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

本节介绍了云数据库TaurusDB的常用概念。 了解以下概念，有助于您更好地选购和使用云数据库TaurusDB： 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。一般情况下，TaurusDB实例应该和弹性云主机实例位于同一地域，以实现最高的访问性能。 可用区（Availability Zone，简称AZ）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个实例，可用区是指在某个地域内拥有独立电力和网络的物理区域。 可用区之间内网互通，不同可用区之间物理隔离。每个可用区都不受其他可用区故障的影响，并提供低价、低延迟的网络连接，以连接到同一地区其他可用区。通过使用独立可用区内的TaurusDB，可以保护您的应用程序不受单一位置故障的影响。同一Region的不同AZ之间没有实质性区别。 规格：每个节点的资源配置，比如16核64GB。

本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对天翼云SDWAN资源的访问。 操作步骤 创建用户组和IAM用户 1. 创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2. 创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 创建自定义策略 天翼云提供了访问天翼云SDWAN资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

set to false if you don't want to sync aof [scanreader] cluster false set to true if source is a redis cluster address "ip:port" when cluster is true, set address to one of the cluster node username "" keep empty if not using ACL password "" keep empty if no authentication is required ksn false set to true to enabled Redis keyspace notifications (KSN) subscription tls false dbs [] set you want to scan dbs such as [1,5,7], if you don't want to scan all [rediswriter] cluster false set to true if target is a redis cluster address "ip:port" when cluster is true, set address to one of the cluster node username "" keep empty if not using ACL password "" keep empty if no authentication is required tls false 5、在线迁移，同步数据。 使用如下命令同步源Redis集群和目标Redis集群数据： ./redisshake shake.toml 执行日志中出现如下信息，代表全量数据同步完成，进入增量同步阶段： syncing aof 执行日志出现如下信息时，代表增量同步无新增内容，可手动停止同步： readcount[0], readops[0.00], writecount[0], writeops[0.00], srcx, syncing aof, diff[0] 6、迁移后验证。 数据同步结束后，可使用Rediscli工具连接DCS 实例，通过dbsize查看key数量，确认数据是否完整导入。 如果数据不完整，可使用flushall或者flushdb命令清理实例中的缓存数据后重新同步。 7、清理RedisShake配置文件。 离线迁移（备份文件导入） 与在线迁移相比，离线迁移适宜于源实例与目标实例的网络无法连通的场景。 1、在DCS控制台创建缓存实例。 注意新创建的Redis实例容量不能小于源端Redis实例的实际使用容量。 2、准备一台云服务器，并安装RedisShake。 RedisShake既能访问源端缓存实例，也能访问目标端DCS 缓存，需要绑定弹性公网IP 3、导出RDB文件。 使用如下命令导出RDB文件： ./rediscli h {redisaddress} p {redisport} a {password} rdb {output.rdb} 执行命令后回显"Transfer finished with success."，表示文件导出成功。 4、将导出的RDB文件（含多个）上传到云服务器上。 5、编辑RedisShake配置文件。 编辑redisshake工具配置文件shake.toml，补充迁移双方信息，及迁移模式。 [rdbreader] filepath "/tmp/dump.rdb" [rediswriter] cluster false

本文介绍如何通过云服务监控排查EIP问题。 查看EIP实例监控 通过弹性IP控制台查看 1. 登录弹性IP控制台。 2. 单击控制中心左上角的，选择地域。 3. 找到要查看的弹性IP，操作列点击“更多”，点击“查看监控图表”。 通过云监控服务中心查看 1. 登录云监控服务控制台。 2. 单击控制中心左上角的，选择地域。 3. 在左侧导航栏，单击“云服务监控>弹性IP监控”。 4. 单击“弹性IP”然后在操作列单击“查看监控图表”。 创建阈值报警规则 1. 登录云监控服务控制台。 2. 单击控制中心左上角的，选择地域。 3. 在左侧导航栏，单击“云服务监控>弹性IP监控”。 单击“弹性IP”然后在操作列单击“创建告警规则”。 EIP监控指标 监控指标 说明 入网带宽 该指标用于统计测试对象入云方向单位时间内网络消耗带宽的平均值 出网带宽 该指标用于统计测试对象出云方向单位时间内网络消耗带宽的平均值 入网流量 该指标用于统计测试对象入云方向的网络流量 出网流量 该指标用于统计测试对象出云方向的网络流量 入网带宽使用率 该指标用于统计测试对象入云方向单位时间内消耗的峰值带宽和总带宽的百分比（当最大突发流量小于2秒，可能存在使用率偏小的情况） 出网带宽使用率 该指标用于统计测试对象出云方向单位时间内消耗的峰值带宽和总带宽的百分比（当最大突发流量小于2秒，可能存在使用率偏小的情况） 入方向丢包数 该指标用于统计测试对象入云方向被丢弃数据包的个数 出方向丢包数 该指标用于统计测试对象出云方向被丢弃数据包的个数 入方向丢包率 该指标用于统计测试对象入云方向被丢弃数据包的百分比 出方向丢包率 该指标用于统计测试对象出云方向被丢弃数据包的百分比 注意 出/入方向丢包监控指标、出/入方向带宽使用率，目前对部分资源池开放，请以控制台实际可见为准。 出/入网带宽的统计原始值为一分钟内网络消耗带宽的平均值，如有突发流量，统计值会低于带宽峰值。 出/入网带宽使用率的统计原始值为一分钟内消耗的峰值带宽和总带宽的百分比，如有突发流量，会真实反映突发情况。

帮助用户快速创建云硬盘备份，为磁盘提供保护。暂时不支持将备份在存储库间迁移，请在备份前合理规划存储库的使用。 帮助用户快速创建云硬盘备份，为磁盘提供保护。 如果备份的磁盘为加密磁盘，则备份会自动继承加密属性，成为加密备份。无法手动加密和取消加密备份。 备份云主机时，不会对云硬盘造成任何性能影响。 备份的业务高峰期在0点到早上6点，建议客户评估业务类型，分散时间备份，如果指定的策略在业务高峰时段，可能会有一定的调度延迟。 前提条件 磁盘处于“可用”或“正在使用”状态才可进行备份，如果对磁盘进行了扩容、挂载、卸载或删除等操作，请刷新界面，确保操作完成，再决定是否要进行备份。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 在云硬盘备份界面，选择“存储库”页签，找到磁盘所对应的存储库。 3. 执行备份，有以下两种方式。 单击“操作”列下的“执行备份”。选择绑定存储库上需要备份的磁盘，勾选后将在已选磁盘列表区域展示，如下图所示。 图 选择需要备份的磁盘 单击目标存储库名称，进入存储库详情。在“绑定的磁盘”页签，找到目标磁盘。单击“操作”列下的“执行备份”，为目标磁盘进行备份，如下图所示。 图 执行备份 4. 需要输入备份的“名称”和“描述”，如下图所示。 参数 说明 备注 名称 输入待创建的备份的名称。创建成功后，支持修改备份名称。只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。 说明： 也可以采用默认的名称，默认的命名规则为“manualbkxxxx”。备份多个磁盘时，系统自动增加后缀，例如：备份0001，备份0002。 manualbkd819 描述 输入待创建的备份的描述。描述长度小于等于255个字符。 5. 选择是否“执行全量备份”。勾选后，系统会为绑定的磁盘执行全量备份，备份所占存储容量也会相应增加。如下图所示。 图 执行全量备份 6. 单击“确定”。系统会自动为磁盘创建备份。 在“备份副本”页签，产生的备份的“备份状态”为“可用”时，表示备份任务执行成功。 说明 如果在备份过程中对磁盘的数据进行删除等操作，被删除的文件可能不会被备份成功。为了保证数据完整性，建议备份完成后再对数据进行操作再重新执行备份。 执行备份成功后，后续可以使用云硬盘备份恢复云主机数据，详情请参见

分布式容器云平台 CCE One 是面向多云、多集群等场景推出的企业级容器云平台,实现对集群、应用、数据、服务与策略的统一管控。

前提条件 在GeminiDB Redis实例所在的VPC网络中创建ECS实例，部署迁移工具ssdbport，保证源端SSDB实例和目标端GeminiDB Redis实例网络互通。 操作步骤 如需进行Redis到GeminiDB Redis的迁移，您可以在管理控制台右上角，选择“工单 > 新建工单”，联系技术支持进行处理。 迁移性能参考 环境：源端SSDB和ssdbport同时部署在4U16GB的弹性云服务器上，目标端为8U16GB，3节点GeminiDB Redis实例。 预置数据：使用memtierbenchmark工具预置100GB数据。 迁移性能：约3000qps。

选择入侵防御页签，可对终端设置暴力破解行为、扫描行为检测。 防暴力破解是指对系统登录行为进行一定的限制，防止账号被爆破。 配置防暴力破解 功能 ：通过AI哨兵引擎提供的多种异常检测算法，根据真实的业务数据对暴力破解行为进行AI大模型上下文分析、跨终端关联分析。支持SSHFTPRDPSMBMSSQLWINRM多种类型。 使用场景：适用于需要自定义修改配置策略模板防暴力破解场景。 1. 选择防暴力破解页签。 2. 点击防暴力破解图标，置于开启状态（开启AI哨兵模式、开启普通模式），即可开启防暴力破解。 配置效果验证 1. 在防暴力破解策略中自定义配置并下发策略至客户端。 2. 对终端的系统账户进行登录操作，并且多次使用错误的口令尝试。 3. 在管理平台日志查看日志。 1. 当登录失败次达到设置阀值后锁定该IP地址。 2. 用户可以查看并解除已临时锁定的IP清单。 3. 生成防爆力破解日志。

方案正文 insert操作 insert写法规范 不建议逐条insert，推荐使用insert into values (),()..();语法。 MySQL的JDBC连接的url中要加rewriteBatchedStatements参数，并保证5.1.13以上版本的驱动，才能实现批量插入。MySQL JDBC驱动在默认情况下会无视executeBatch()语句，把预计批量执行的一组sql语句拆散，一条一条地发给MySQL数据库，批量插入实际上是单条插入，直接造成较低的性能。只有把rewriteBatchedStatements参数置为true, 驱动才会批量执行SQL。另外这个选项对INSERT/UPDATE/DELETE操作都有效。 拆分字段的值：不建议使用函数、表达式、子查询等，推荐使用常量值。 普通字段的值：不建议使用子查询，推荐使用常量、函数、表达式。 大批量数据导入 推荐使用loaddata local infile来实现大批量数据导入。 数据迁移场景 建议使用mysqldump导出sql文件，再使用mysql source命令导入。 autoincrement字段 DRDS使用Sequence来实现autoincrement语义，并保证全局唯一。 赋值：若使用autoincrement字段，建议不要在values子句中赋值，否则容易造成主键冲突。如果在values中赋了值，建议使用alter sequence语句更改。 步长：autoincrement字段步长建议不要设置成1，会导致性能低下。默认设置成1000。 update与delete操作 普通更新 进行update/delete操作时，where条件建议带上拆分字段； 无法带上拆分字段的场景，建议控制并发度，控制更新/删除涉及的数据条数。建议先用select查出相应的数据，double check确保数据范围无误后再实行update/delete操作。 拆分字段更新 条数限制：DRDS拆分字段更新有数据量限制，一般不能超过10000条数据，数据量越少越好。若超过10000条数据，建议用改重建表的方式来做，或者是拆分成多次update操作来等价实现。 操作的时机：建议选择在业务低谷期做。 关联操作 不建议进行表关联更新、表关联删除操作，即不建议进行多张表同时进行update/delete操作。 子查询及limit操作 不建议update/delete语句中含有子查询。不建议update/delete语句中含有limit或order by limit语句。 select操作 Order by 及 Limit函数 "order by limit offset, count"场景，禁止给offset赋大数值，即禁止深度翻页。 Group by函数 不建议selectlist部分含有非group by列。 不支持不可下推的groupconcat聚合函数内含有order by子句。 不建议distinct、group by字段多于3项。 不建议join、或者子查询操作之后含有group by操作 不建议使用count(distinct ),sum(distinct )操作。 Join函数 select场景，建议join条件是每个表的拆分字段或使用广播表，或者是驱动表是一个小表（inner/left join驱动表是左表，right join驱动表是右表）。 不建议两个大表直接进行join操作。 不建议join on condition中含有非等值操作。 如遇到临时表超限（Temp table limit exceeded）报错，说明JOIN中间数据产生了临时表且超限，建议进行SQL调优。 不建议5张表以上进行join操作。 join查询操作建议不要开启事务。 不建议在事务中进行join查询，开启事务会影响DRDS对join算法的选择，无法使用最高效的算法。 子查询 不建议子查询包含在OR表达式中，或者是子查询的关联条件包含在OR表达式中 不建议使用含有limit的标量子查询，如 select (select x from t2 where t2.id t.id limit 1),a,b from t。 如果子查询和主表都路由到同一分片，建议在SQL前加/+dbxxx/来精准路由。 不建议子查询内部含有join语句。 不建议写嵌套子查询。 不建议ROW表达式跟子查询做比较操作，如 select from t where (a,b,c)(select x,y,z from t2 where …)。 不建议selectlist里面含有超过2个以上的子查询 。 DDL DDL执行时机 对已有表进行DDL操作时建议放在业务低峰期进行。 分片数 创建新拆分表时建议结合实际数据量进行合理预估，总分片数满足需求即可。不建议使用超出实际需求的分片数，拆分表分片数并非越多越好 高危DDL 进行高危DDL时请仔细校验SQL后谨慎操作，如DROP TABLE, TRUNCATE TABLE等操作。 DDL失败修复 DDL命令如遇报错，可以使用"check table 表名"命令对各个分片表结构进行校验，识别出失败的分片进行针对性修复。如ALTER TABLE命令遭遇失败可以在命令前添加/+allowalterreruntrue/，开启ALTER语句的幂等可重入执行后重试，直到check table 命令提示各个分片表结构达到一致则可认为执行成功。 MDL锁导致执行DDL报错 背景：为保证DDL的可用性，DRDS内部在执行DDL前会检查底层RDS相关表是否存在MDL锁。 若存在MDL锁,，则DDL会提前报错退出。 可能出现的问题：若系统中存在慢SQL，执行时间为几分钟不等，那么可能被MDL锁所阻拦，无法执行DDL。 解决方案1：在DRDS控制台提高参数“ddlprecheckmdlthresholdtime”的大小, 如提高到30分钟(1800秒)。 解决方案2：执行show metadata lock查看是否因为持有慢事务的MDL锁阻塞了DDL的执行。若存在阻塞, 可以使用kill physical threadId@host:port 来关闭底层慢事务。配合/+allowalterreruntrue /的hint, 以及check table来查看和执行，直到DDL彻底执行完。 DDL长时间卡死 在业务低峰期执行DDL时如果遇到长时间卡死情况，请另开会话执行xa recover命令查看是否有慢事务存在，如存在慢事务挂起请及时联系值班人员解决。

注意事项 当开通天翼云边缘安全加速平台—安全与加速服务加速全球或全球（不含中国内地）服务时，支持开通高性能网络增值服务。 高性能网络服务开通后不会直接生效，需要针对域名配置开启高性能网络服务才会生效。具体请参考高性能网络中配置说明。 因高性能网络为非必须的精品增值服务，涉及计费，如无需使用，请及时退订服务。

操作场景 切换操作会改变保护组的容灾方向，将生产站点的业务切换到容灾站点，容灾站点的业务切换到生产站点。 切换操作将以容灾站点最新的有效数据来创建云服务器，新创建的服务器按照云服务器相关标准计费。如果切换时待切换的服务器仍在运行，系统会将当前所有数据同步到容灾站点。如果待切换的服务器出现故障无法同步，则可能会丢失部分数据。 切换后容灾方向更改为从容灾站点到生产站点。您可以针对生产站点预期会出现的中断执行计划性迁移，确保不丢失任何数据。如当前生产站点即将下电，您可以执行切换操作，将生产业务切换至容灾站点。 切换完成后，数据不会自动反向同步（容灾站点到生产站点），保护实例处于停止保护状态，如需开始反向数据同步，需要进行反向重保护操作。 注意 切换为高危操作，切换后将会在容灾端启动业务，需要用户保证生产端业务已经停止，否则可能造成生产端和容灾端同时接管业务或业务冲突从而造成数据破坏或业务中断，需要对容灾端数据进行验证和分析时建议用“容灾演练”功能。 切换后，生产站点服务器不能继续提供业务，否则反向同步会将新写入的数据覆盖。 前提条件 保护组中必须包含保护实例。 保护组中保护实例已初始同步完成，并且保护组中保护实例的状态为“同步中”、“同步完成”或者“切换失败”。 保护实例的生产业务位于生产站点时，才能切换。 切换前需先停止生产端服务器所有业务并且所有数据已经刷盘完成。

本节介绍了初始化容量大于2TB的Windows数据盘(Windows 2008)的操作场景、前提条件、操作指导等内容。 操作场景 本文以云主机的操作系统为“Windows Server 2008 R2 Standard 64bit”、磁盘容量为3 TB举例，提供容量大于2 TB的Windows数据盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见初始化容量大于2TB的Windows数据盘（Windows 2008）。关于磁盘分区形式的更多介绍，请参见场景及磁盘分区形式介绍。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 操作指导 步骤 1 在云主机桌面，单击“开始”。 弹出开始窗口。 步骤 2 在“计算机”栏目，右键单击菜单列表中的“管理”。 弹出“服务器管理器”窗口，如图所示。 图 服务器管理器(Windows 2008) 步骤 3 在页面右侧可以查看磁盘列表，若新增磁盘处于脱机状态，需要先进行联机，再进行初始化。 在磁盘1区域，右键单击菜单列表中的“联机”。 如图所示，当磁盘1由“脱机”状态变为“没有初始化”，表示联机成功。 图 联机成功(Windows 2008) 步骤 4 在磁盘1区域，右键单击菜单列表中的“初始化磁盘”。 弹出“初始化磁盘”窗口，如图所示。 图 初始化磁盘(Windows 2008) 步骤 5 在“初始化磁盘”对话框中显示需要初始化的磁盘，对于大于2 TB的磁盘，此处请选择“GPT（GUID分区表）”，单击“确定”。 返回“服务器管理器”窗口，如图所示。 图 服务器管理器窗口(Windows 2008) 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 步骤 6 在磁盘1右侧的未分配的区域，右键单击选择“新建简单卷”。 弹出“新建简单卷向导”窗口，如图所示。 图 新建简单卷向导(Windows 2008) 步骤 7 根据界面提示，单击“下一步”。 进入“指定卷大小”页面，如图所示。 图 指定卷大小(Windows 2008) 步骤 8 指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。 进入“分配驱动器号和路径”页面，如图所示。 图 分配驱动器号和路径(Windows 2008) 步骤 9 分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。 进入“格式化分区”页面，如图所示。 图 格式化分区(Windows 2008) 步骤 10 格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。 进入“完成新建卷”页面，如图所示。 图 完成新建卷 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 步骤 11 单击“完成”。 需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如图所示。 图 初始化磁盘成功(Windows 2008) 步骤 12 新建卷完成后，单击，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。 若如图所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图 文件资源管理器(Windows 2008)

参数 说明 使用场景 在使用DNAT为云主机面向公网提供服务场景下，此处选择虚拟私有云。 表示虚拟私有云中的云主机将通过DNAT的方式共享弹性IP，为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。此方式相当于为云主机配置了一个弹性IP， 任何访问该弹性IP的请求都将转发到目标云主机实例上。 具体端口：属于端口映射方式。 公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标云主机实例的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。 端口类型为具体端口时，可配置此参数，端口类型为所有端口时，此参数默认设置为All。 弹性IP 弹性IP地址。 这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，有效数值为165535。 私网IP 在使用DNAT为云主机面向公网提供服务场景下，指云主机的IP地址， 表示此IP地址的云主机将通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，有效数值为165535。 描述 DNAT规则信息描述。最大支持255个字符。