ACL规则支持批量导入和导出,本文帮助您快速熟悉ACL规则的导入/导出。 操作场景 当您需要将已有的ACL规则做本地备份时，您可以选择将网络ACL规则导出为本地文件。 当您需要复用已有的ACL规则到另一个ACL中，您可以选择导出和导入ACL规则。支持跨区域导入和导出。 建议您每次导入少于20条的规则，否则可能会影响性能。导入规则是在原有规则基础上进行新增，不会删除已有规则，请注意ACL规则的配额限制。相同规则不允许重复导入。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 操作步骤 导出ACL规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击详情页的“导出规则”。 导入ACL规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击详情页的“导入规则”。 注意 1、对于可用区资源池来说，“导入规则”只有一个入口，您需要在导入文件中区分出/入方向规则； 2、对于地域资源池来说，入方向规则和出方向规则的导入入口不一样，您需要在相应的出/入方向规则页签下导入对应的规则。

本文主要介绍云日志服务Java SDK接入指南。 1. 前言 安装使用Java SDK可以帮助开发者快速接入并使用天翼云的日志服务相关功能，目前支持同步上传，异步批量上传等功能。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK Java版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装JDK1.8及以上环境。 2.2. 下载及安装 下载压缩包，放到相应位置后并解压，把包放在本地目录： 。如果您想直接使用SDK，可以不做修改，直接使用SDK源码，示例代码为example/SamplePutlogs.java。。 1. 把SDK源码构建成jar包，可通过构建工具构建。或者直接使用已有jar包（target目录下）：”ctyunltsjavasdk1.6.0.jar”。 2. 把生成的jar包引入本地maven仓库。可以通过例如idea的maven工具install 到maven仓库。或者通过命令构建安装（在jar包所在目录执行下面命令）。 plaintext mvn install:installfile Dfilectyunltsjavasdk1.10.0.jar DgroupIdcn.ctyun.lts DartifactIdctyunltsjavasdk Dversion1.10.0 Dpackagingjar 3. 在您的maven工程的pom.xml文件中增加配置 plaintext cn.ctyun.lts ctyunltsjavasdk 1.10.0 4. 引入第三方依赖包 plaintext com.alibaba fastjson 1.2.83noneautotype net.jpountz.lz4 lz4 1.3.0 org.apache.httpcomponents httpclient 4.5.1 io.opentelemetry.proto opentelemetryproto 1.1.0alpha org.apache.httpcomponents httpmime 4.5.1 com.google.protobuf protobufjava 3.23.4

修改日志存储时长 日志存储时长默认为7天，您可以根据实际情况修改日志存储时长，日志存储时长支持7~365天。 注意 日志存储容量达到上限后，将滚动清理超限日志，届时将无法保证存储时长。对于需要长期存储的日志数据，您可以创建日志投递任务，将日志归档至对象存储服务中长期保存。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 日志管理”，进入日志管理页面。 3. 在页面上方切换防火墙实例。 4. 在日志存储时长模块单击“点击修改”。 5. 在弹出的对话框中，配置日志存储时长。 6. 配置完成后，单击“确定”。 创建对象存储（ZOS）日志投递任务 您可以将访问控制日志、入侵防御日志、流量日志、病毒防护日志投递到对象存储服务进行存储。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 日志管理”，进入日志管理页面。 3. 在页面上方切换防火墙实例。 4. 单击“创建日志投递任务”，弹出创建日志投递任务窗口。 5. 配置日志投递任务参数。 参数 说明 任务名称 自定义任务名称。 日志存储类型 选择需要投递到对象存储的日志类型，若日志管理中未开启存储，将会被自动开启。 日志存储时长 支持永久存储，或自定义日志存储时长（7~365天）。 开始时间 日志开始投递到对象存储的时间。 数据格式 支持将日志存储为“.csv”和“.json”格式。 压缩方式 支持压缩为“.gzip”格式，或者不压缩日志文件。 投递方式 目前支持“对象存储”方式，将日志投递到对象存储桶中进行存储。 鉴权方式：通过对象存储AK/SK进行鉴权，AK/SK获取方式请参见[获取对象存储AK/SK](

本小节介绍切换主机安全版本。 您可以根据需要将主机安全服务的版本切换为基础版、企业版（按需计费）、企业版（包年/包月）、旗舰版。 切换说明 相同版本的不同计费模式（按需、包年/包月）目前只支持企业版和容器版。 按需变更为包周期时，需要您单独购买包周期配额，购买后在云服务器列表页面，单击目标服务器“操作”列“开启防护”，选择购买的包周期防护配额，开启防护。 容器版和网页防篡改版支持切换为基础版、企业版、旗舰版，但不支持将基础版、企业版、旗舰版切换为容器版或网页防篡改。 若主机安全服务的版本由高版本版切换为低版本，主机遭受攻击的可能性将升高。 切换版本前准备 主机安全服务 > 资产管理 > 主机管理”页面“云服务器”中目标主机的“Agent状态”为“在线”，且已开启主机防护。 切换为包周期配额版本时，需重新为主机指定相应的配额，变更版本前请先购买数量充足的配额。 切换为低版本前，请对主机执行相应的检测，处理已知风险并记录操作信息，避免运维失误，使您的主机遭受攻击。 切换版本 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏中，选择“资产管理 > 主机管理 > 云服务器”，进入“云服务器”界面。 5、根据需要可进行单台服务器或多服务器的版本切换。 单台服务器切换 您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，为主机切换版本。 包年/包月： 在目标服务器“操作”列单击“切换版本”，在“开启方式”对话框中，“计费模式”选择“包年/包月”，选择目标版本、分配防护配额，阅读并确认“《主机安全免责声明》”。“防护配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费： 在目标服务器“操作”列单击“切换版本”，在“开启方式”对话框中，“计费模式”选择“按需计费”，选择目标版本，阅读并确认“《主机安全免责声明》”。 注意 仅支持企业版。 批量切换 勾选多台目标服务器前的选框，单击上方“开启防护”，在弹窗中确认服务器信息，依次选择计费模式、版本及配额。 开启防护参数配置说明 参数名称 参数说明 取值样例 计费模式 包年/包月： 支持基础版、企业版、旗舰版选择。 无试用期，按照订单的购买周期来进行结算。 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。 按需计费 ： 支持企业版。 按实际使用的时长收费，以小时为单位，每小时整点结算，不设最低消费标准。 包年/包月 版本选择 提供基础版、企业版、旗舰版选择。 基础版：用于测试、个人用户防护主机帐户安全，无数量限制，只支持部分功能的检测能力，不支持防护能力，不支持等保认证，首次开启可免费体验30天。 企业版：满足等保认证的需求，支持资产指纹管理、漏洞管理、恶意程序检测、Webshell检测、进程异常行为检测等能力。 旗舰版：满足等保认证的需求，支持应用防护、勒索防护、高危命令检测、提权检测、异常shell检测等能力。 企业版 选择配额 选择需要绑定的防护配额。 默认随机：随机分配防护配额至服务器。 固定ID配额：选择一个配额，批量开启时选择的配额只能绑定一台服务器，其余未绑定的服务器将随机绑定目标版本配额。 说明 若提示可用配额为0时，表示配额不足，需要进行购买才可开启防护。 随机选择配额 6、单击“确定”切换版本。切换主机安全版本后，请在云服务器列表页面查看目标服务器的版本。若目标主机的“版本”为切换后的主机安全版本，则表示主机安全版本已切换成功。

远程登录弹性云主机时，对浏览器版本的要求？ 用户采用远程登录方式访问弹性云主机时，使用的浏览器应满足下表。 表 支持的浏览器版本 浏览器 版本 Google Chrome 31.075.0 Mozilla FireFox 27.062.0 Internet Explorer 10.011.0 Windows 2012系统卸载某些软件后无法进入系统桌面怎么办？ 问题描述 针对Windows 2012操作系统，由于安装应用系统会用到.net framework 3.5，而2012自带的.net framework 4.5版本需要卸载，但是卸载之后可能会遇到黑屏、无法进入系统桌面的问题，只能调出任务管理器。 可能原因 卸载.net framework 4.5后，系统由完整模式Full变为了核心模式Core，没有启用系统桌面。 处理方法 恢复过程就是由核心模式切换到完整模式的过程，步骤如下： 1. 登录弹性云主机。 2. 单击右上角的“发送 CtrlAltDel”按钮，打开任务管理器。 3. 选择“文件 > 运行新任务”。 系统打开“新建任务”窗口。 图 新建任务 4. 在“打开”栏，输入“cmd”，然后按回车键。 5. 在弹出的命令行窗口执行以下命令，将系统由核心模式切换到完整模式。 Dism /online /enablefeature /all /featurename:ServerGuiMgmt /featurename:ServerGuiShell /featurename:ServerCoreFullServer 6. 大概10分钟左右，系统会提示重启，在命令行输入“Y”重启系统。 再次登录系统后就可以正常显示桌面。

本文为您介绍如何通过SCIM协议，将Microsoft Entra ID（原Azure AD）中的用户或用户组同步到云SSO 操作步骤 打开自动调配并创建SCIM密钥 1. 登录云SSO控制台。 2. 在左侧导航栏，点击“管理设置”。 3. 在“SCIM”页签下，点击“自动调配”，切换到打开状态。 4. 在下方“访问令牌”处的右侧，点击“生成新令牌”。 5. 在弹出的“生成新访问令牌”对话框中，复制访问令牌，然后点击关闭。 在Microsoft Entra ID中创建应用程序 1. 使用Microsoft Entra ID管理员用户登录Entra管理中心。 2. 在左侧导航栏，选择Entra ID企业应用程序所有应用程序。 3. 单击“新建应用程序”。 4. 在“浏览Microsoft Entra库”页面，点击“创建你自己的应用程序”。 5. 在“创建你自己的应用程序”页面，输入应用程序名称（例如：云SSODEMO），并选择“集成未在库中找到的任何其他应用程序（非库）”，然后点击“创建”。 在Microsoft Entra ID中分配用户或用户组到应用程序 1. 在云SSODEMO的左侧导航栏，点击管理用户和组。 2. 单击左上角的添加用户/组。 3. 选择用户或用户组。 4. 单击分配。 在Microsoft Entra ID中配置SCIM同步 1. 在云SSODEMO页面的左侧导航栏，点击管理预配。 2. 点击左上角的“新配置”，创建预配配置，配置管理员凭据。 3. 在租户URL区域，输入SCIM服务端地址。 说明：该地址从云SSO SCIM配置页面的SCIM终端节点处获取。 4. 在机密标记区域，输入SCIM密钥。 说明：该SCIM密钥从“打开自动调配并创建SCIM密钥”步骤中获取。 5. 点击“测试连接”。 6. 测试成功后，点击“创建”。 7. 在“概述（预览）”页面，点击左上角“启动预配”。

名词 说明 子网（subnet）是指在一个大的网络范围内，为了更好地进行资源管理，而将网络划分成的小型网络。每个子网有一个唯一的IP地址序列，可用于分配给该子网中的主机和其他网络设备。子网是虚拟私有云中的一个IP地址段，虚拟私有云中的所有资源都必须部署在子网上。 可用区资源池：路由表用于控制虚拟私有云的流量走向，路由表分为默认路由表和自定义路由表两种类型。默认路由表随着VPC自动创建，所有新建子网与默认路由表关联，不能创建也不能删除默认路由表，但可以在默认路由表中创建自定义路由规则。地域资源池：分为VPC级路由表和子网级路由表，VPC级路由表用于控制整个VPC粒度的网络流量，子网路由表和子网关联后用于控制子网粒度的网络流量。 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的一个内网IP地址，没有分配给真实弹性云主机网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云主机。您可以通过将虚拟IP与主备弹性云主机绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的弹性云主机、物理机提供安全访问策略。安全组创建后，用户可以根据业务需求自定义防护规则，当弹性云主机、物理机加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的流量防护规则，您可以自定义配置网络ACL规则，并将网络ACL与子网关联，通过出方向/入方向规则管理出入子网的流量，实现对子网中云服务器实例流量的访问控制。安全组对云主机、物理机等实例进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 流量镜像（Traffic Mirror）功能可以将网络流量从一个或多个源端口复制到一个目标端口，以便进行分析、监控和调试。流量镜像主要是复制网卡上的流量并筛选出符合条件的报文，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击和优化网络性能。 IPv4网关是连接虚拟私有云和公网的网络组件。虚拟私有云访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。对于地域资源池，没有IPv4网关产品概念。 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。弹性网卡可以灵活的绑定/解绑云服务器，实现云服务器和网络的解耦。 NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云内的计算实例提供网络地址转换，天翼云NAT网关分为SNAT和DNAT两个功能，通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。 对等连接（VPC Peering Connection）是指两个同一区域内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一区域内其他帐号的VPC之间创建对等连接。 VPC终端节点（VPC Endpoint，CTVPCEP）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。

本章介绍预防帐户暴力破解攻击方案。 帐户破解风险 一旦主机帐户被破解，入侵者就拥有了对主机的操作权限，主机上的数据将面临被窃取或被篡改的风险，企业的业务会中断，造成重大损失。 如何预防 配置SSH登录白名单 SSH登录白名单功能是防护帐户破解的一个重要方式，配置后，只允许白名单内的IP登录到服务器，拒绝白名单以外的IP。 开启双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次身份认证。 在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。 修改默认端口 将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。 设置安全组规则，限制攻击源IP访问您的服务端口 可实时检测攻击者对主机中帐户的暴力破解攻击，拦截攻击源IP。您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。 说明 建议设置对外开放的远程管理端口（如SSH、远程桌面登录），只允许固定的来源IP进行连接。 如果是远程登录端口，您可以只允许特定的IP地址远程登录到弹性云服务器。 例：仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云服务器的22端口，安全组规则如下所示： 仅允许特定IP地址远程连接云服务器 方向 协议应用 端口 源地址 入方向 SSH（22） 22 例如：192.168.20.2/32

使用限制 Cubecni IPVLAN模式下，基于eBPF实现NetworkPolicy，有如下限制： 1. IP Blocks即使包含Pod地址，这些Pod地址也不会加入白名单，需通过PodSelector或NamespeceSelector选择Pod； 2. IP Blocks的except支持不佳，不建议使用except关键字； 3. 若配置egress规则，会限制Pod访问所在节点以及其上HostNetwork类型Pod，即使白名单配置了所在Host地址也无效。 使用示例 网络策略详细使用方式可参考Kubernetes社区文档，下文以Nginx应用为例，介绍使用方式。 准备示例应用 使用YAMl方式创建示例应用，YAML定义如下： a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择工作负载 > 无状态； d. 选择default命名空间，点击新增YAML ，默认为一Nginx示例，将image字段替换为{镜像拉取地址}/opensource/nginx:1.26alpineslim，点击保存； e. 等待服务启动完成。 示例一：限制服务只能被带有特定标签的应用访问 通过控制台操作如下： 1. 登录云容器引擎控制台，左侧导航栏选择集群； 2. 在集群列表页面，单击目标集群名称，进入集群管理页面； 3. 左侧导航栏，选择网络 > 网络策略 ，选择default命名空间，点击创建网络策略； 创建面板配置说明如下： 配置名 说明 示例 名称 网络策略的名称。 example1 Pod选择器 单击+ 选择工作负载添加标签，设置使用网络策略的Pod。 若不配置Pod选择器，则对命名空间下所有Pod生效。 示例设置如下： 设置工作类型为：Deployment 设置工作负载为：nginxdeployment 设置标签为：appnginx 来源 配置入站规则（igress）列表，用于声明谁可以访问目标Pod。每个列表项包含规则和端口。 每个规则表示一组允许的来源，若配置多个规则，则满足任一规则即允许访问。 规则： 1. podSelector：此选择器将在与NetworkPolicy相同的名字空间中选择特定的Pod，将其允许作为入站流量来源； 2. namespaceSelector：此选择器将选择特定的名字空间，将所有Pod用作其入站流量来源； 3. ipBlock：此选择器将选择特定的IP CIDR范围用作入站流量来源。 端口：支持TCP和UDP协议。 本示例不添加任何来源规则。 去向 配置出站规则（egress）列表，用于声明目标Pod可以访问哪些地址。每个列表项包含规则和端口。 每个规则表示一组允许的去向，若配置多个规则，则满足任一规则即允许访问。 规则： 1. podSelector：此选择器将在与NetworkPolicy相同的名字空间中选择特定的Pod，将其允许作为出站流量目的地； 2. namespaceSelector：此选择器将选择特定的名字空间，将所有Pod用作其出站流量目的地； 3. ipBlock：此选择器将选择特定的IP CIDR范围用作出站流量目的地。 端口：支持TCP和UDP协议。 本示例不添加任何去向规则。 4. 点击下一步 ，点击确认； 5. 在另一个命名空间（例如demo）部署demo服务（可使用Nginx镜像），登陆容器，测试与示例Nginx的通信。可见，网络策略没有允许demo服务访问，导致访问会超时： 6. 修改网络策略为允许demo服务访问，点击编辑，在来源右侧，单击+添加，规则设置如下： 配置名 示例值 选择器 namespaceSelector 命名空间 demo 标签 kubernetes.io/metadata.name: demo 点击下一步 ，点击确认； 7. 登陆容器，测试与示例Nginx的通信。可见，网络策略允许demo服务访问，访问正常：

本文汇总了使用弹性IP产品时常见的功能、优势和限制类问题。 什么是弹性IP？ 弹性IP有什么优势？ 一个账号可以申请多少个弹性IP？ 网站域名解析是否可以使用弹性IP？ 什么是弹性IP？ 弹性IP为公网IP与公网带宽的组合产品，为用户提供访问公网的服务。 目前，弹性IP可绑定到弹性云主机、GPU云主机、NAT网关、物理机、弹性负载均衡等资源，实现访问公网的能力，并支持弹性的带宽大小。 其中公网IP地址为云资源绑定后，可被公网访问到的地址，其分配后将固定不变；弹性IP的带宽上限为订购时选择的带宽峰值，您可以根据需求弹性调整该带宽大小。 弹性IP有什么优势？ 弹性IP的优势如下： 灵活绑定：支持弹性IP 灵活绑定云资源。您可以根据需要把弹性IP绑定到弹性云主机上，以实现随时访问公网的目的，还可以绑定NAT网关实例、弹性负载均衡实例，实现多云主机共享弹性 IP 接入公网。 网络适配：不同业务场景对弹性IP所需带宽规格要求不同，您可以根据需要灵活调整网络带宽，实现带宽变配。 独立管理：在天翼云控制台，支持对弹性IP生命周期的独立管理。 计费多样：弹性IP支持多种计费方式，您可以根据需要选择包年包月计费，还可以选择按使用时间或实际产生的流量进行计费。

本小节介绍Web应用防火墙支持端口说明。 云WAF支持的标准防护端口和非标防护端口如下： 端口分类 HTTP协议端口范围 标准防护端口 80、8080 非标防护端口 81、82、83、84、86、87、88、89、97、800、808、1000、1090、3000、3333、3501、3601、5000、5222、6001、6666、7000、7001、7002、7003、7004、7005、7006、7009、7010、7011、7012、7013、7014、7015、7016、7018、7019、7020、7021、7022、7023、7024、7025、7026、7070、7081、7082、7083、7088、7097、7510、7777、7800、8000、8001、8002、8003、8008、8009、8020、8021、8022、8025、8026、8077、8078、8080、8081、8082、8083、8084、8085、8086、8087、8088、8089、8090、8091、8106、8181、8334、8336、8686、8800、8888、8889、8999、9000、9001、9002、9003、9021、9023、9027、9037、9080、9081、9082、9180、9200、9201、9205、9207、9208、9209、9210、9211、9212、9213、9898、9908、9916、9918、9919、9928、9929、9939、9999、10001、10080、12601、28080、33702、48800

本小节介绍态势感知旁路部署配置。 态势感知控制端配置前准备 确保态势感知控制端的安全组放行 22 端口，态势感知控制端云主机网卡关闭源/目的检查。 态势感知控制端的配置需要配合态势感知技术工程师，由态势感知技术工程师配置。 旁路部署场景，使用天翼云平台的流量镜像功能引流，不涉及网络割接，只需开通态势感知控制端。 配置步骤 1. 确认所在资源池流量镜像功能可用性，是否存在配额或弹性云主机类型限制。 2. 登录天翼云网络控制台，在左侧选择“流量镜像 > 筛选条件”创建筛选条件。根据需要监控的云主机配置出入方向规则。 3. 创建完成后，单击筛选条件的名称，进入筛选条件详情，创建入方向规则。 4. 在左侧导航栏选择“流量镜像 > 镜像会话”，创建镜像会话，选择对应筛选条件，配置镜像源和镜像目的：镜像源选择需要监测的弹性网卡，镜像目的选择态势感知控制端的辅助网卡。 5. 开通完毕后，启动镜像会话，态势感知控制端验证镜像流量。

本章节介绍如何使用云服务备份完成ECS的整机备份和恢复。 场景描述 如果您的业务数据同时保存在数据盘和系统盘中，当ECS整机发生系统故障或者错误操作时，您可以通过云服务备份的备份和恢复功能，实现业务应用版本回退。本文详细介绍整机恢复场景的相关内容。 方案优势 · 当发生病毒入侵、人为误删除、软硬件故障等事件，支持将数据恢复到任意备份点，使系统正常运行。 · 备份的同一个ECS主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题。 前提条件 在进行本文操作之前，您需要完成以下准备工作： · 请确保弹性云主机在备份前已完成如下操作： Linux弹性云主机优化并安装Cloudinit工具 Windows弹性云主机优化并安装Cloudbaseinit工具 · 创建镜像前备份的状态必须为“可用”，或者状态为“创建中”并在备份状态列显示“可用于创建镜像”时，才允许执行创建镜像操作。 · 用于数据恢复的备份必须包含系统盘的备份。 解决方案 步骤1：创建云主机备份 1、参照云服务备份操作指导章节，完成存储库的创建，用于创建云主机备份。 2、假设云主机A的数据盘中存放了数据：datadisk.txt，系统盘中存放了数据：systemdisk.txt，如下图所示 3、将需要迁移的云主机A绑定至存储库，参照云主机备份创建指导完成该云主机的全量备份。 4、执行备份成功后，在“备份副本”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。 步骤2：删除/新增数据，模拟灾难场景 1、登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。 2、删除系统盘和数据盘中准备的数据，新增文件和数据如下图所示： 步骤3：整机恢复 1、登录天翼云管理控制台。选择“存储 > 云服务备份”。进入云主机备份页面。 2、在“备份副本”页签下，选中创建成功的备份副本，单击操作列“恢复数据”，进入恢复云主机的向导页面，按需选择对应选项，点击确定。 3、在备份控制台的“任务”页签下，查看恢复任务状态，状态成功后即恢复完成。 步骤4：数据验证 1.登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。查看对应数据，如下图所示，已恢复至对应时间点数据状态：

本文介绍分布式消息服务RocketMQ的计费模式。 计费模式 目前天翼云分布式消息服务RocketMQ提供包周期（包年/包月）、按需2种计费模式供您灵活选择，使用越久越便宜。 下表列出两种模式的区别： 计费模式 包年/包月 按需计费 付费方式 预付费按照订单的购买周期结算。 后付费按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 按小时结算。 实例升级 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容 更改计费模式 支持变更为按需资源。 支持变更为包周期资源。 注意：目前仅部分资源池支持，支持资源池清单见旧资费分布式消息服务RocketMQ计费说明产品资费 天翼云。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于消息资源需求波动的场景，可以随时开通，随时删除。 包周期（包年/包月）：天翼云提供包月和包年的购买模式。这种购买方式相对于按需付费则能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费按照订单的购买周期来进行结算。 按需计费：这种购买方式比较灵活，可以即开即停，支持秒级计费。实例从“开通”开启计费到“删除”结束计费，按实际购买时长（精确到秒）计费。

本章介绍天翼云关系型数据库所支持的数据库引擎和版本有哪些。 关系型数据库服务目前支持的数据库引擎和版本如下表所示。 新应用上线，建议您使用数据库引擎对应的最新大版本，以RDS for MySQL为例，建议您选择MySQL 8.0。用户创建实例时，不可选择小版本，如MySQL 8.0.17，RDS会提供最优的小版本，实例创建成功，您可在console“实例管理”页面实例列表中的“数据库引擎版本”列，查看具体的小版本号。数据库引擎和版本请以实际环境为准。 数据库引擎和版本 数据库引擎 单机实例 主备实例 集群版实例 :::: MySQL引擎 8.0 5.7 5.6 8.0 5.7 5.6 暂不支持 PostgreSQL引擎 15 14 13 12 11 10 9.6 9.5 15 14 13 12 11 10 9.6 9.5 暂不支持 Microsoft SQL Server引擎 2019 标准版 2019 web版 2017 标准版 2017 web版 2016 企业版 2016 标准版 2016 web版 2014 企业版 2014 标准版 2014 web版 2012 企业版 2012 标准版 2012 web版 2019 标准版 2017 标准版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 2012 企业版 2012 标准版 2019 企业版 2017 企业版

应用场景 多数据库引擎自动安装部署 在政务云、⾏业云以及⼤型企业私有云建设中，管理计算、存储、网络资源的IaaS层日趋成熟，但是PaaS层尤其是数据库PaaS还处于建设阶段，存在数据库的安装部署交付时间长，人工介入多等问题，TeleDB资源全生命周期管理模块支持多种数据库引擎的自动开通，通过参数配置化，自动选择主机等功能，实现分钟级实例开通，同时提供系列数据库生态工具，配合数据库网关、数据迁移服务、数据备份服务、数据管理服务实现数据库全生命周期的管理。 数据库统一运维平台 对于中大型企业，IT系统建设发展迅速，可能会造成不同业务、不同组织架构形成了多种数据库产品和厂商，这对数据库的运维造成了巨大的挑战，数据库管理员以及运维人员需要有更高的要求和更多的人力成本。而TeleDB资源全生命周期管理模块通过资源及实例的统一管理、实时监控、告警配置、巡检、审计等多功能模块，实现了数据库的统一自动化运维，能够帮助企业数据库运营运维降本增效。 数据库统一管理 随着业务发展越来越多，数据库存在种类繁多、无统一的运维管理入口、无统一视图等问题，各个数据库仍然烟囱式管理。TeleDB资源全生命周期管理模块支持数据库全生命周期的管理，不同类型数据库从添加资源、实例开通、使用、运维监控、注销都可在资源全生命周期管理模块统一操作使用，同时，提供租户用户管理，可根据不同业务种类、组织架构做业务隔离，大大提高了管理效率。

本章主要介绍大版本升级。 目前DDS不支持直接通过控制台进行版本升级。如您需要可以通过数据库复制DRS进行迁移。 例如：使用数据库复制将DDS 3.4版本迁移到DDS 4.0版本，可以实现应用不停服的情况下，平滑完成数据库的迁移工作。 使用该方式进行迁移，需要提前准备好待迁移到的高版本数据库实例。 具体迁移操作，请参见《数据库复制用户指南》的“入云迁移”内容。 DDS数据库版本信息 源数据库版本 目标数据库版本 迁移类型 自建MongoDB/其他云MongoDB/DDS 3.4 4.0 DDS 3.4 4.0 4.2 4.4 DDS数据库版本升级 说明 DRS仅支持从低版本迁移到高版本。 迁移过程中，如果发生规格变更、重启等动作，可能会产生主备倒换，以及迁移任务闪断，需要及时检查drs任务状态。 大版本升级后，如果需要保证迁移前后实例的IP地址不变，可以修改高版本的IP地址为原来的连接地址（原实例的IP地址需要先释放出来）。具体操作请参见

本章节主要介绍翼MapReduce的修改集群属性操作。 操作场景 FusionInsight Manager支持用户在集群安装完成后查看基本属性。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 集群属性”。 默认可查看集群名称、集群描述、产品类型、集群ID、认证模式、创建时间和已安装部件信息。 3. 修改“集群名称”。 单击，填入新的名称。 支持的命名规则：集群名称只能包含汉字、字母、数字、下划线（ ）、中划线（）和空格，仅以汉字、字母、数字、下划线（ ）或中划线（）开头，只能在中间包含空格，并且最小长度为2个字符，最大长度不能超过199个字符。 单击“确定”使新的集群名称生效。 4. 修改“集群描述”。 单击，填入新的描述信息。 只能包含汉字、英文字母、数字、中英文逗号、中英文句号、下划线（ ）、空格和换行符，并且不能超过199个字符。 单击“确定”使新的描述生效。

本实践介绍了跨可用区使用云主机备份的操作步骤,您可按照需要跨可用区迁移主机备份数据。 场景描述 用户可通过云主机备份服务实现整机数据备份与恢复，支持通过主机备份申请新的云主机，快速创建具有同样数据的云主机，可在申请新主机时选择不同可用区，按需进行主机配置，实现主机数据的跨可用区迁移。 当前仅具备多个可用区的地域，例如华东一，支持跨可用区创建新云主机。 方案优势 整机备份可以提供全面的数据备份，快速帮助您搭建相同规格的云主机。 方便用户实现主机数据迁移，完成业务切换，为用户节省了时间和精力，提高操作的简便性和效率。 前提条件 已购买备份存储库，存储库为“可用”状态。 已存在一个备份，并且备份的备份状态为“可用”。 操作步骤 步骤一：创建云主机备份 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择相应的存储库，点击操作列下的“创建备份”。 5. 在弹出的“创建云主机备份”页面，选择需要备份的主机至右侧“已选云主机”列表。 6. 选择“立即备份”，即时完成目标主机备份的创建，点击“下一步”。 7. 跳转至云主机备份资源详情页面，确认资源配置，勾选我已阅读并同意相关协议“《天翼云云主机备份服务协议》”，点击“确认下单”。 8. 查看“备份副本”列表，等待创建的备份副本的状态变为“可用”，即完成备份的创建。

本节介绍态势感知基本概念。 安全运营中心（Security Operations Center，SOC）一个集中式功能或团队，负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动，以实时发现潜在的威胁；对网络安全事件进行预防、分析和响应，以改进企业的网络安全态势。SOC还使用最新的威胁情报来掌握威胁组和基础结构的最新信息，并在攻击者利用系统或流程漏洞之前识别和处理这些漏洞，从而主动开展安全工作。大多数SOC每周7天全天候运行，跨多个国家/地区的大型企业/组织可能还依赖于全球安全运营中心（GSOC）来掌控全球安全威胁，并协调多个本地SOC之间的检测和响应。 SOC的功能 SOC团队承担以下职能来帮助防止、响应攻击并在遭到攻击后恢复。 资产和工具清单 为了消除覆盖范围中的盲点和缺口，SOC需要了解它保护的资产，并深入了解它用于保护企业/组织的工具。这意味着考虑到本地和多个云中的所有数据库、云服务、标识、应用程序和客户端。该团队还跟踪企业/组织中使用的所有安全解决方案，例如防火墙、反恶意软件、反勒索软件和监视软件。 减少攻击面 SOC的主要责任是减少企业/组织的攻击面。为此，SOC会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置，并新资产联机时添加这些资产。团队成员还负责研究新出现的威胁并分析风险。 持续监视 SOC团队使用安全分析解决方案全天候监视整个环境 本地、云、应用程序、网络和设备，来发现异常或可疑行为；其中这些解决方案包括安全信息企业管理（SIEM）解决方案、安全编排、自动化和响应（SOAR）解决方案和扩展检测和响应（XDR）解决方案。这些工具会收集遥测数据、聚合数据，并在某些情况下自动进行事件响应。 威胁情报 SOC还使用数据分析、外部源和产品威胁报告来深入了解攻击者行为、基础结构和动机。这种情报提供了有关Internet上正在发生的情况的全局视图，并帮助团队了解威胁组是如何运作的。借助此信息，SOC可快速发现威胁，并加强企业/组织对新出现的风险的应对。 威胁检测 SOC团队使用SIEM和XDR解决方案生成的数据来识别威胁。这首先会从实际问题中筛选掉误报。然后，按严重性和对业务的潜在影响确定威胁的优先级。 日志管理 SOC还负责收集、维护和分析每个客户端、操作系统、虚拟机、本地应用和网络事件生成的日志数据。分析有助于建立正常活动的基线，并揭示可能指示恶意软件、勒索软件或病毒的异常。 事件响应 识别到网络攻击后，SOC会快速采取措施，在尽可能减少业务中断的情况下限制对企业/组织的损害。措施可能包括关闭或隔离受影响的客户端和应用程序、暂停被入侵的账户、移除遭到感染的文件，以及运行防病毒和反恶意软件。 发现和修正 在攻击之后，SOC负责将公司恢复到其原始状态。团队将擦除并重新连接磁盘、标识、电子邮件和客户端，重启应用程序，直接转换到备份系统，并恢复数据。 根本原因调查 为了防止类似的攻击再次发生，SOC进行了彻底的调查，来确定漏洞、效果不佳的安全流程和其他导致事件的教训。 安全性优化 SOC使用事件期间收集的任何情报来解决漏洞、改进流程和策略，并更新安全路线图。 合规性管理 SOC职责的一个关键部分是确保应用程序、安全工具和流程符合隐私法规，例如，《PCI DSS安全遵从包》、《ISO 27701安全遵从包》和《ISO 27001安全遵从包》等。团队定期审核系统来确保合规性，并确保在数据泄露后通知监管机构、执法人员和客户。

添加自定义资源配置组 8.是否需要在不同时间段自动调整资源配置？ 是，执行步骤 9 。 否，只需要使用“default”在所有时间段生效，任务结束。 9.单击“配置”，修改“系统资源调整基数”，然后单击“下一步”。 10.单击“添加”增加新的资源配置组。 11.在“第一步：调度时间”，单击“配置”显示时间策略配置页面。 根据业务需要修改以下参数，并单击“确定”保存： “重复”：勾选时表示此资源配置组按调度周期重复运行。不勾选时请设置一个资源配置组应用的日期与时间。 “重复策略”：支持“每天”、“每周”和“每月”。仅在“重复”模式中生效。 “在”：表示资源配置组应用的开始与结束时间。请设置一个唯一的时间区间，如果与已有配置组的时间区间有重叠，则无法保存。 说明 “default”配置组会在所有未定义的时间段内生效。 新增加的配置组属于动态生效的配置项集合，在配置组应用的时间区间内可直接生效。 新增加的配置组可以被删除。最多增加4个动态生效的配置组。 选择任一种“重复策略”，如果结束时间小于开始时间，默认标识为第二天的结束时间。例如“22:00”到“6:00”表示调度时间为当天22点到第二天6点。 若多个配置组的“重复策略”类型不相同，则时间区间可以重叠，且生效的策略优先级从低到高的顺序为“每天”、“每周”、“每月”。例如，有“每月”与“每天”的调度配置组，时间区间分别为4:00到7:00，6:00到8:00，此时以每月的配置组为准。 若多个配置组的“重复策略”类型相同，当日期不相同时，则时间区间可以重叠。例如，有两个“每周”的调度配置组，可以分别指定时间区间为周一和周三的4:00到7:00。 12.在“第二步：权重配置”修改各服务资源配置。 13.单击“根据权重配置生成详细配置”，FusionInsight Manager将根据集群硬件资源与分配情况，生成资源池实际参数配置值。 14.单击“确定”。 在弹出窗口单击“确定”，确认保存配置。

本章节主要介绍天翼云物理机的支持列表及使用限制。 支持列表 实例 支持自动化发放物理机，远程Console登录。 支持租户自主管理物理机生命周期：查询、启动、关机、重启、删除。 导出服务器列表：将租户名下的所有物理机信息，以xlsx文件的形式导出至本地。 支持一键重置密码。 支持故障重建：由于服务器硬件损坏、SDI卡损坏等原因，导致服务器无法正常使用时，可以申请服务器重建。 支持重装操作系统：物理机OS无法正常启动、操作系统中毒等场景，可以重装OS。 支持用户数据注入：通过注入脚本简化服务器配置、初始化系统等。 支持云审计，记录与物理机相关的操作事件，便于日后的查询、审计和回溯。 支持主机监控，可实时获取物理机的CPU、内存、磁盘I/O等监控指标数据。 支持标签管理服务，使用标签来标识物理机，便于分类和搜索。 磁盘 支持挂载/卸载云硬盘（linux和windows均支持）。 支持挂载共享卷。 支持云硬盘动态扩容。 镜像 可以使用公共镜像、私有镜像、共享镜像发放物理机。 支持通过物理机服务器创建私有镜像。 支持通过外部镜像文件创建私有镜像。 私有镜像还支持不同帐号之间共享镜像。 网络 支持虚拟私有云、自定义VLAN网络、高速网络、IB网络，满足多种场景的需求。 创建安全组并定义安全组规则，为物理机提供安全防护。 支持绑定弹性IP，满足客户互联网访问需求。 支持绑定多张网卡，支持动态绑定网卡。

本文介绍APM应用监控告警规则中各类型的指标说明,所有告警指标的最小时间颗粒度为1分钟。 异常接口调用 指标说明 指标名称 单位 是否为常用指标 指标说明 应用异常调用次数 无 是 在软件系统运行过程中发生的应用异常调用次数。 应用异常调用响应时间 毫秒 是 该应用异常调用的响应时间，其中，异常调用指调用中出现异常抛错的调用。可以根据该指标判断调用堆栈抛错对应用调用响应时间的影响大小，从而判断是否存在应用调用异常。 应用异常接口调用次数 无 是 在软件系统运行过程中发生的应用异常接口调用次数。 应用异常接口调用响应时间 毫秒 是 该应用异常调用的响应时间，其中，异常调用指调用中出现异常抛错的调用。可以根据该指标判断调用堆栈抛错对应用调用响应时间的影响大小，从而判断是否存在应用调用异常。 指标维度 接口名称，筛选条件如下： 任意：遍历每个访问到的接口，针对每个接口的指标数据单独进行监控告警。 等于 ：指定筛选固定的几个接口进行监控告警，示例：/ctyun/api/users/{userId}。 应用调用类型统计 指标说明 指标名称 单位 是否为常用指标 指标说明 应用依赖服务调用次数 无 不是 该应用依赖的下游接口的调用次数，用于判断下游依赖服务调用是否增多。 应用依赖服务调用错误次数 无 不是 该应用依赖的下游接口的错误次数除以总请求数，用于判断下游依赖服务报错是否增多，影响当前应用。 应用依赖服务调用错误率（%） 无 不是 该应用依赖的下游接口的错误次数除以总请求数，用于判断下游依赖服务报错是否增多，影响当前应用。 应用依赖服务调用响应时间 毫秒 是 该应用依赖的下游接口的平均响应时间，用于判断下游依赖服务耗时是否增多，影响当前应用。 应用提供服务调用次数 无 是 应用入口调用（包括调用HTTP入口、调用Dubbo入口等）的次数。可以根据该指标分析当前应用调用量的大小，从而判断业务量的大小，以及通过调用量是否偏大或偏小判断应用是否存在异常。 应用提供服务调用错误次数 无 是 应用入口调用（包括调用HTTP入口和调用Dubbo入口等）的错误次数，调用错误是指整个对外（HTTP、Dubbo）调用行为的返回状态码>400的情况， 或者Dubbo有异常被最上层拦截的情况，都视为错误。可以根据该指标判断应用是否存在调用错误。 应用提供服务调用错误率（%） 无 是 应用入口调用的调用错误次数的总和/入口的调用次数的总和100%。 应用提供服务调用响应时间 毫秒 是 应用入口调用（包括调用HTTP入口、调用Dubbo入口等）的响应时间。可以根据该指标判断是否有慢请求出现，从而判断应用是否存在异常。

约束与限制 请确保云主机所在的子网已开启IPv6功能。 请确保云主机规格支持IPv6功能。 请确保创建云主机时已选择“自动分配IPv6地址”。 同一个网卡上，只能绑定一个IPv6地址。 Windows 操作系统操作步骤 1. 右键单击网络连接图标（通常位于任务栏右下角），选择“打开网络和共享中心”。 2. 在左侧面板中，选择“更改适配器设置”。 3. 找到您要配置IPv6地址的网络适配器，右键单击并选择“属性”。 4. 在属性窗口中，找到“Internet 协议版本 6 (TCP/IPv6)”并选中它，然后点击“属性”。 5. 在弹出的窗口中，选择“使用以下 IPv6 地址”，并在“IPv6 地址”字段中输入您希望配置的IPv6地址。 6. 输入子网前缀长度（通常为64位），并可以选择是否使用默认网关等选项。 7. 确认设置后，点击“确定”来应用更改使您的IPv6地址配置生效。 Linux 操作系统操作步骤 1. 打开终端。 2. 输入以下命令来配置IPv6地址，其中INTERFACENAME是您要配置的网络接口名称，IPv6ADDRESS是您希望配置的IPv6地址，PREFIXLENGTH是子网前缀长度。 plaintext sudo ip addr add IPv6ADDRESS/PREFIXLENGTH dev INTERFACENAME 例如： plaintext sudo ip addr add 2001:db8::1/64 dev eth0 3. 输入以下命令以激活网络接口： plaintext sudo ip link set INTERFACENAME up 4. 您可以使用以下命令来验证IPv6地址是否配置成功： plaintext ip addr show INTERFACENAME 或者 plaintext ifconfig INTERFACENAME 创建私有镜像前云主机、物理机或镜像文件需要完成哪些初始化配置？

本节介绍如何为防护域名开启IPv6防护。 如果需要对网站的IPv6请求流量进行防护，可以在域名接入WAF时开启IPv6功能。开启IPv6功能后，所有IPv6请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量转发给源站，实现恶意流量的拦截。 约束限制 IPv6功能仅支持在添加域名时配置，完成域名接入后IPv6配置无法修改，若需要修改，需要先删除已接入的域名，然后再重新接入域名。 若您的域名接入时未开启IPv6功能，后续需要开启IPv6请求防护时，需要重新接入域名。 若您的域名接入时开启了IPv6功能，如需关闭IPv6请求防护，需要重新接入域名。 基础版不支持开启IPv6功能，若需要防护IPv6流量，请购买标准版、企业版或旗舰版。 开启IPv6防护 域名首次接入WAF防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 点击“添加防护对象”进入域名接入信息配置页，打开IPv6开关，其余参数说明及操作请参见添加防护对象。

本文介绍使用非root用户挂载文件系统的相关操作。 操作场景 Linux操作系统的弹性云主机默认只能通过root帐号进行挂载文件系统，但可通过赋予其他普通用户root权限，使非root的普通用户能够在弹性云主机上使用mount命令挂载文件系统。当您需要使用非root用户挂载文件系统时，可参考本文的操作指导。 注意 执行非root用户挂载的云主机实例需要与海量文件系统归属于同一资源池的同一VPC下。 仅支持Linux操作系统的云主机进行非root用户挂载。 仅支持NFS文件系统进行非root用户挂载。 前提条件 已创建一个文件系统和一台Linux云主机。 操作步骤 1. 登录天翼云，进入管理控制台。单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机。 3. 给非root的普通用户添加root权限，本文以fstest用户为例。 1）以root用户登录该弹性云主机。 2）依次执行以下命令创建fstest用户，并修改密码。 plaintext adduser fstest passwd fstest 3）执行 chmod 777 /etc/sudoers命令修改sudoers文件权限为可编辑权限。 4）在root账号下执行 vi /etc/sudoers命令编辑sudoers文件，在文件中将下列语句添加进去，位置参考下图。其中“fstest”可替换为其它用户名。 plaintext fstest ALL(ALL) ALL 5）编辑完成后，单击“Esc”，并输入 :wq，保存文件并退出，即完成添加普通的非root用户。 6）执行 chmod 440 /etc/sudoers命令恢复sudoers文件权限为只读权限。 4. 执行以下命令安装NFS客户端。 plaintext yum y install nfsutils 5. 以非root用户登录云主机，本文以fstest用户登录云主机。 6. 执行如下命令创建本地挂载路径，例如“/home/fstest/data”。 plaintext mkdir /home/fstest/data 7. 执行如下命令挂载文件系统，参数说明参考挂载NFS文件系统到弹性云主机 (Linux)。 注意 请务必在挂载时使用noresvport参数，防止文件系统卡住。 plaintext sudo mount t nfs o vers3,prototcp,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600 挂载地址 本地路径 8. 挂载完成后使用 df –h命令查看挂载情况。

远程零信任办公服务提供应用管理功能,本文将介绍如何将您的应用或资源添加平台进行管理。 在您要使用远程零信任办公服务访问您的应用或者系统资源之前，您需要将其添加到边缘安全加速平台进行管理。 背景说明 企业内部应用系统，例如内部WEB应用服务、服务器或数据库等IT资源，一般未暴露在公网，需要通过专有网络访问。在您添加这部分应用系统到平台后，您的员工登录远程零信任办公服务客户端完成身份认证后，便可以访问这部分局域网内的应用或系统资源。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任应用应用配置，查看应用列表。 4. 可根据业务需求进行相关配置。 应用列表 您可以查看应用的相关数据，包括应用总数，健康情况，无流量应用数，无生效策略应用数。并且可对应用进行相关配置操作，如权限自助申请、单点登录、配置无端访问及查看应用接入最佳实践和应用单点登录配置说明。 您可点击应用列表分页进行应用的管理，包括应用的添加、编辑、删除操作。

本节包含了通用计算增强型C6弹性云主机的概述、规格、适用场景。 概述 C6搭载第二代英特尔® 至强® 可扩展处理器，多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。 类型 CPU基频/睿频 CPU型号 ::: C6 3.0GHz/3.4GHz 6266 适用场景 对计算与网络有更高性能要求的网站和Web应用 通用数据库及缓存服务器 中重载企业应用 游戏、渲染等 规格 表 C6型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 虚拟化类型 c6.large.2 2 4 4/1.2 40 50 2 2 KVM c6.xlarge.2 4 8 8/2.4 80 50 2 3 KVM c6.2xlarge.2 8 16 15/4.5 150 100 4 4 KVM c6.3xlarge.2 12 24 17/7 200 150 4 6 KVM c6.4xlarge.2 16 32 20/9 280 150 8 8 KVM c6.6xlarge.2 24 48 25/14 400 200 8 8 KVM c6.8xlarge.2 32 64 30/18 550 300 16 8 KVM c6.16xlarge.2 64 128 40/36 1000 500 32 8 KVM c6.large.4 2 8 4/1.2 40 50 2 2 KVM c6.xlarge.4 4 16 8/2.4 80 50 2 3 KVM c6.2xlarge.4 8 32 15/4.5 150 100 4 4 KVM c6.3xlarge.4 12 48 17/7 200 150 4 6 KVM c6.4xlarge.4 16 64 20/9 280 150 8 8 KVM c6.6xlarge.4 24 96 25/14 400 200 8 8 KVM c6.8xlarge.4 32 128 30/18 550 300 16 8 KVM c6.16xlarge.4 64 256 40/36 1000 500 32 8 KVM

项目 约束 计费模式 当前只支持“按需计费”模式。 联邦名称 实例名称不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 容器舰队 容器舰队可提供多集群的统一管理，包括统一的权限管理、统一的安全策略、统一的配置管理以及统一的多联邦管理、网格等能力。 舰队成员集群与联邦之间若存在跨资源池互通需求，后台默认尝试公网互联方式；若需调整，请在订购后至联邦控制台进行设置。 企业项目 可选择已有企业项目，或者在IAM创建新的企业项目。 虚拟私有云 建议联邦实例与成员集群间网络尽可能同资源池同 VPC，可最大化降低管理流量跨网跨资源池互通的成本。 所在子网 请选择虚拟私有云子网，集群的节点将部署在此子网中，并申请子网的 IP。当子网开启IPv6时，云资源（云主机、物理机）将开启 IPv4/IPv6 双栈。 ApiServer访问 请您根据需求选择合适的ELB规格，系统将据此创建一个私网ELB实例作为 APIServer 的负载均衡器，若删除该ELB实例会导致 APIServer 无法访问。 安全组 可自动生成或者选择已有安全组，需要确保联邦访问端口在虚拟私有云的子网里为放通状态。 是否使用EIP暴露ApiServer 获得您的授权，以委托方式新建 EIP 并按 EIP 实际使用量收费，未开启，无法通过公网访问 APIServer。 删除保护 防止通过控制台或API误删除联邦控制面，删除联邦控制面实例不会对用户容器集群造成任何影响，理论上也不影响已调度完成的应用。

本节主要介绍准备工作。 在使用云容器引擎前，您需要完成本文中的准备工作。 创建IAM用户 获取资源权限 （可选）创建虚拟私有云 （可选）创建密钥对 创建IAM用户 如果您需要多用户协同操作管理您帐号下的资源，为了避免共享您的密码/访问密钥，您可以通过IAM创建用户，并授予用户对应权限。这些用户可以使用特别的登录链接和自己单独的用户帐号访问，帮助您高效的管理资源，您还可以设置帐号安全策略确保这些帐号的安全，从而降低您的企业信息安全风险。 注册帐号无需授权，由帐号创建的IAM用户需要授予相应的权限才能使用CCE。 获取资源权限 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录CCE控制台时，CCE将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。服务权限包括： 计算类服务 CCE集群创建节点时会关联创建云主机，因此需要获取访问云主机、物理机服务器的权限。 存储类服务 CCE支持为集群下节点和容器挂载存储，因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 网络类服务 CCE支持集群下容器发布为对外访问的服务，因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用管理等服务的权限。 当您同意授权后，CCE将在IAM中创建名为“cceadmintrust”委托，统一使用系统帐号“opsvccce”对您的其他云服务资源进行操作，并且授予其Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCE所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 如果您在多个区域中使用CCE服务，则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签，单击“cceadmintrust”查看各区域的授权记录。 说明 由于CCE对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间，请不要自行删除或者修改“cceadmintrust”委托。

本节介绍服务器安全卫士（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 可用区 是 多可用区资源池可选择伸缩组绑定的伸缩配置，在指定可用区扩缩容。当伸缩配置绑定的伸缩组使用优先级扩容策略时，可用区选择顺序将决定优先级。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格>请选择云主机” 创建配置，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，接下来根据实际业务需求配置云主机类型、vCPU、内存、镜像（支持公共镜像、私有镜像或共享镜像）、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址与互联网互通。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能对外提供访问服务，仅可在虚拟私有云内部进行内网互通。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。密钥对指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。 说明： 如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件且可以登录云主机，否则，将影响您正常登录弹性云主机。 密码指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码，并确认密码，确保能够成功登录云主机。 云监控 否 是否开启详细监控。若开启，在云主机创建成功后35分钟将自动执行详细监控Agent安装，可获取云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则通过该伸缩配置创建的云主机无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。