查看数据库拖库检测结果 数据库拖库检测开启后，您可以在“总览 > 语句”中，查看原始审计日志疑似拖库的SQL语句。 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。 3. 在左侧导航树中，选择“总览”，进入“总览”界面。 4. 在“选择实例”下拉列表框中，选择需要查看数据库拖库检测语句信息的实例。 5. 选择“语句”页签。 6. 您可以按照以下方法，查询指定的SQL语句。选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，列表显示该时间段的SQL语句。选择“风险等级”（“高”，数据库拖库检测规则默认为高），单击“提交”，列表显示该级别的SQL语句。单击“高级选项”后的，输入相关信息，如图所示，单击“搜索”，列表显示该选项的SQL语句。 说明 一次查询最多可查询10,000条记录。 7. 在需要查看数据库拖库检测详情的SQL语句所在行的“操作”列，单击“详情”，如图所示。 8. 在详情提示框中，查看数据库拖库SQL语句的详细信息，如图所示，相关参数说明如表所示。 SQL语句详情参数说明 参数名称 说明 会话ID SQL语句的ID，由系统自动生成。 数据库实例 SQL语句所在的数据库实例。 数据库类型 执行SQL语句所在的数据库的类型。 数据库用户 执行SQL语句的数据库用户。 客户端MAC地址 执行SQL语句所在客户端MAC地址。 数据库MAC地址 执行SQL语句所在数据库MAC地址。 客户端IP 执行SQL语句所在客户端的IP地址。 数据库IP 执行SQL语句所在的数据库的IP地址。 客户端端口 执行SQL语句所在的客户端的端口。 数据库端口 执行SQL语句所在的数据库的端口。 客户端名称 执行SQL语句所在客户端名称。 操作类型 SQL语句的操作类型。 操作对象类型 SQL语句的操作对象的类型。 响应结果 执行SQL语句的响应结果。 影响行数 执行SQL语句的影响行数。 开始时间 SQL语句开始执行的时间。 应结束时间 SQL语句结束的时间。 SQL请求语句 SQL语句的名称。 请求结果 SQL语句请求执行的结果。

本章节主要介绍翼MapReduce的配置集群静态资源操作。 操作场景 当需要控制集群服务可以使用节点资源的情况，或者控制集群服务在不同时间段节点可用配额的CPU与I/O资源时，管理员可以在FusionInsight Manager调整资源基数，并自定义资源配置组。 对系统的影响 配置静态服务池后，受影响的服务的“配置状态”将显示为“配置过期”，需要重启服务，重启期间服务不可用。 配置静态服务池后，各服务及角色实例使用的最大资源将不能超过限制。 操作步骤 修改资源调整基数 1.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2.单击右上角“配置”，进入静态资源池配置向导。 3.在“系统资源调整基数”分别修改参数“CPU（%）”和“Memory（%）”。 修改“系统资源调整基数”将限制服务能够使用节点的最大物理CPU和内存资源百分比。如果多个服务部署在同一节点，则所有服务使用的最大物理资源百分比不能超过此参数值。 4.单击“下一步”。 需要重新修改参数，可单击“上一步”返回。 修改资源池默认“default”配置组 5.单击“default”，在“权重配置”表格中各服务对应的“CPU LIMIT(%)”、“CPU SHARE(%)”、“I/O(%)”和“Memory(%)”填写各服务的资源使用百分比数量。 说明 所有服务使用的“CPU LIMIT(%)”和 “CPU SHARE(%)”资源配置总和可以大于100%。 所有服务使用的“I/O(%)”资源配置总和可以大于100%，不能为0。 所有服务使用的“Memory(%)”资源配置总和可以小于或等于100%，也可以大于100%。 “Memory(%)”不支持动态生效，仅在“default”配置组中可以修改。 “CPU LIMIT(%)”用于配置服务可使用的CPU核数与节点可分配的CPU核数占比。 “CPU SHARE(%)”用于配置服务在与其他服务使用同一个CPU核的时间占比，即多个服务在使用同一个CPU核发生争抢时的时间占比。 6.单击“根据权重配置生成详细配置”，FusionInsight Manager将根据集群硬件资源与分配情况，生成资源池实际参数配置值。 7.单击“确定”。 在弹出窗口单击“确定”，确认保存配置。

本文介绍了云防火墙（原生版）产品的应用场景。 外部访问控制 通过云防火墙（原生版）产品，对已开放公网访问的服务资产进行安全盘点，能够自动识别威胁暴露面，可对开放的公网IP一键开启入侵检测与防御，保护公网资产安全。 主动外联管控 对主动外联行为进行分析，评估主机失陷风险状态，并对恶意连接行为进行实时阻断，保护资产安全。 等保合规 云防火墙（原生版）产品能够满足等保2.0二级和三级中针对边界防护、访问控制、入侵防御、安全审计等特定的等保合规检查要求。

本小节介绍微隔离防火墙创建工作组方法。 在接入工作负载之前，推荐先根据业务情况创建工作组，以便于后续工作负载直接接入对应的工作组（也可以先预设几个组，接入工作负载后，再根据业务进行组的划分）。 新建组标签 1.首先点击菜单栏的标签管理： 2.进入标签管理页面后，根据业务属性，创建对应的位置、环境、应用标签（用于后续定义工作组）。 3.标签分为名称及显示名称，名称支持英文、数字及下划线组合，且唯一。显示名称可以为中文，不唯一。 创建工作组 1.点击菜单栏的工作组，进入工作组管理页面： 2.点击新建，在弹出的对话框中输入此工作组的相关信息，根据业务情况选择事先创建的标签。每个工作组由03个组标签定义，若某一项无标签，可不选择。 注意 当工作组无标签时，无法匹配策略。 3.点击确定后，工作组建立完成，拓扑图中会出现该工作组。 安全风险说明 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护微隔离防火墙管理端口6443。 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 其次，点击【配置规则】下的【入方向规则】。在规则配置中，选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

本文将为您介绍通过云企业路由器实现专线入云访问多VPC。 应用场景 本地IDC通过一条物理专线接入天翼云华北2地域，实现本地IDC网络与天翼云华北2地域中的多个VPC网络互通，该场景适合在支持云企业路由器的资源池使用。 本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线 10.250.0.1 10.250.0.2 255.255.255.252 100 天翼云华北2地域的VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC1 10.10.0.0/16 10.10.0.0/24 VPC2 10.20.0.0/16 10.20.0.0/24 前提条件 1、在天翼云华北2已创建一条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建一个云企业路由器，具体操作说明详见创建云企业路由器。 4、在天翼云华北2已创建两个VPC，具体操作说明详见创建VPC。

本文介绍如何操作病毒查杀、实时防护、黑白名单等能力。 背景 终端作为企业日常办公、业务处理、系统维护的设备，承载着企业重要的数据。在复杂严峻的外部网络环境中，极易遭遇非法访问、病毒入侵以及信息泄露等诸多安全风险。如今，移动办公与远程办公需求持续攀升，这无疑让终端安全面临着前所未有的挑战。因此，怎样强化终端的安全管理，有效抵御外来攻击，切实保障数据安全，已然成为终端安全领域的共同迫切诉求。 功能说明 企业管理员可以在控制台的终端防病毒页面，手动或者周期性配置病毒扫描策略，远程对员工客户端所在的环境进行扫描检测，最终在控制台对病毒进行统计和管理。 注意 终端防病毒扫描功能客户端版本号为2.3.x及以上，扫描病毒进行自动查杀需客户端版本为2.6.x以上，支持的操作系统为Windows、麒麟、统信。如有需要，请 同时，需注意订购套餐需满足以下条件之一： 1、已订购终端管理基础版，点击查看 2、零信任服务套餐为企业版，点此查看零信任服务

为保障实例的稳定及安全，建议您在操作前仔细阅读本文为您介绍的天翼云关系型数据库MySQL实例级别的使用规范。 数据库实例类型选择 主备： 一主一备、一主多备的经典高可用架构。适用于政企、金融、医疗等大中型企业的生产数据库。 备机提高了实例的可靠性，主机与备机同步创建，备机具备数据备份、灾备等功能。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机： 具有较高性价比，与主流的主备实例相比，单机只包含一个节点。 适用于个人学习、测试，及微小型公司的生产环境。 单机无灾备功能，出现故障后无法进行切换。 只读： 单机版只读实例，推荐开启数据库代理功能，并购买冗余的单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其他只读节点。 天翼云官方推荐两种架构，以供参考： 1. 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2. 两个以上只读实例，建议开启数据库代理，获得更好的性价比。 说明 更多实例类型信息，请参见实例类型。 数据库实例规格选择 主机类型：目前提供四种主机类型（可能出现部分主机类型售罄，导致主机类型不存在）如下表： 主机类型 类型说明 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定，但是性价比更高。 适用于对成本比较敏感、对性能抖动容忍度较高的场景。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。 规格： 目前提供的CPU内存规格有：1C4G、2C4G、2C8G、2C16G、4C8G、4C16G、4C32G、8C16G、8C32G、8C64G、16C32G、16C64G、16C128G、32C64G（可能出现部分规格售罄，导致部分规格不存在）。

本文档提供了安全加速 API 的描述、语法、参数说明及示例等内容。 本文档提供了安全加速 API 的描述、语法、参数说明及示例等内容。

尊敬的AOne零信任客户： 您好！ 感谢您长期以来对我司零信任产品的关注与支持！为进一步聚焦零信任核心服务能力，优化服务质量，提升安全防护水平，更好地满足广大用户的专业化、高品质安全需求，经我司慎重研究决定，零信任服务免费版将全面下线。现将相关事宜公告如下： 【订购规则调整】 1. 2026年1月10日00:00起，正式限制零信任服务免费版的新订购业务，不再接受新用户订购。 2. 2026年3月18日00:00起，所有已购买零信任服务免费版的用户，将无法办理任何形式的续订业务，包括手动续订及自动续订（系统将自动取消所有免费版相关自动续订协议，不会产生额外扣费）。 3. 2027年3月20日00:00起，零信任服务免费版将全面正式下线。系统将统一校准未到期套餐的有效期，全程不产生任何额外费用。 【存量服务保障】 用户已购买的零信任服务免费版权益将正常生效，直至服务期限届满；服务期限届满后，将自动终止服务，不产生任何后续费用。因免费版产品于2027年3月20日00:00起全面下线，建议提前进行服务规划与迁移，避免影响产品服务。 【其他说明】 若您仍有零信任相关服务需求，可联系我司客户顾问，了解适配您业务场景的付费版零信任服务。付费版将依托更全面的安全防护能力、更稳定的服务保障及专属技术支持，践行“永不信任、始终确认”的零信任核心理念，为您的业务构建从身份认证到数据防护的全流程安全防线，助力业务安全高效运行。 若您在已订购零信任免费版且在服务中，需退订服务后进行新购其他规格服务，若在订购过程中遇到问题，或需了解产品功能详情、升级方案等信息，可随时联系我们。 本次规则调整旨在更好地平衡产品服务资源，有效规避恶意订购、违规使用等潜在风险，保障服务生态的合规与有序，更好地守护用户业务安全，为用户提供更精准的服务支持。如有其他疑问，欢迎随时与我们联系。 再次感谢您的理解与支持！我们将持续迭代优化产品，为您提供更优质的零信任安全服务。

本文为您介绍Web应用防火墙客户控制台【态势感知】的开启条件以及操作步骤。 功能介绍 客户如果购买了态势感知大屏服务，可以在控制台查看实时的安全态势感知服务。安全态势感知服务根据客户维度，实时展示客户业务整体的攻击情况，主要包括：攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通Web应用防火墙（边缘云版）扩展服务可视化大屏服务，支持使用态势感知，具体请见可视化大屏服务 操作步骤 登录Web应用防火墙（边缘云版）控制台 在左侧导航栏中选择【态势感知】，浏览器将跳转至新页面，为您展示目前已接入域名的安全态势

本文介绍了如何在公网连接RDSPostgreSQL。 RDSPostgreSQL支持客户以公网形式通过PostgreSQL客户端连接实例。 前提条件 1.绑定弹性IP并设置安全组规则 订购并创建弹性公网IP，请参见申请弹性IP。 获取本地设备的IP地址，以便配置安全组使用。 配置安全组规则，将本地设备IP地址及目标实例端口加入安全组允许访问范围中。安全组设置参见添加安全组规则。 2.安装PostgreSQL客户端 请参见数据库基本使用安装PostgreSQL客户端。 命令行连接 通过公网连接RDSPostgreSQL实例。以Linux系统为例，可以执行如下命令： psql h p U d 参数说明： ：主机IP，即控制台页面的实例列表>实例详情页面中的网络下的"弹性IP"。 ：数据库端口，为“实例详情”页面中的数据库端口。 ：用户名，即 PostgreSQL数据库帐号（默认管理员帐号为 root）。 ：数据库名，即PostgreSQL实例里面的数据库，默认初始化的数据库名是postgres。 示例： psql h xx.xx.xx.xx p xxxx U root –d postgres

参数 说明 是否支持修改 IKE策略 版本 IKE密钥交换协议版本，支持的版本：v2。 × IKE策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IKE策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IKE策略 DH算法 支持的算法： Group 14（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 默认配置为：Group 15。 √ IKE策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：60~604800 默认配置为：86400。 √ IKE策略 本端标识 IPsec连接协商时，VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致，否则协商失败。 默认配置为：VPN网关的EIP。 × IPsec策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IPsec策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IPsec策略 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 默认配置为：DH group 15。 √ IPsec策略 传输协议 IPsec传输和封装用户数据时使用的安全协议。 目前支持的协议：ESP。 × IPsec策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800 默认配置：3600。 √

日志审计(原生版)(LAS Log Audit Service)是一款全方位保障云上安全的审计产品。通过接入用户网络、主机、安全、数据库以及应用系统设备产生的海量日志信息,为用户提供日志的安全存储、检索、监测、告警等能力,帮助用户满足等保合规要求。

本章节主要介绍安装客户端（3.x之前版本）。 操作场景 用户需要使用MRS客户端。MRS集群客户端可以安装在集群内的Master节点或者Core节点，也可以安装在集群外节点上。 MRS 3.x之前版本集群在集群创建后，在主Master节点默认安装有客户端，可以直接使用，安装目录为“/opt/client”。 MRS 3.x及之后版本客户端的安装请参考安装客户端（3.x及之后版本）。 说明 如果集群外的节点已安装客户端且只需要更新客户端，请使用安装客户端的用户例如“root”。 在集群外节点安装客户端前提条件 已准备一个弹性云主机，主机操作系统及版本请参见参考列表。 操作系统 支持的版本号 Euler 可用：Euler OS 2.2 可用：Euler OS 2.3 可用：Euler OS 2.5 例如，用户可以选择操作系统为Euler的弹性云主机准备操作。 同时为弹性云服务分配足够的磁盘空间，例如“40GB”。 弹性云主机的VPC需要与MRS集群在同一个VPC中。 弹性云主机的安全组需要和MRS集群Master节点的安全组相同。 如果不同，请修改弹性云主机安全组或配置弹性云主机安全组的出入规则允许MRS集群所有安全组的访问。 需要允许用户使用密码方式登录Linux弹性云主机（SSH方式），请参见弹性云主机《用户指南》中“实例> 登录Linux弹性云主机 >SSH密码方式登录”。

本文提供安全加速用户控制台使用指南。 安全加速用户控制台使用指南.pdf

本节介绍了云主机相关的术语解释。 实例 实例即弹性云主机，是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。 镜像 镜像是一个包含了软件及必要配置的弹性云主机模板，至少包含操作系统，还可以包含应用软件（例如，数据库软件）和私有软件。通过镜像，您可以创建弹性云主机。 公共镜像 公共镜像为系统默认提供的镜像，常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 私有镜像 私有镜像为用户自己创建的镜像。包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 云硬盘 云硬盘（Elastic Volume Service，EVS）可以为弹性云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。

接口功能介绍 基线模板列表查询 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI GET /v1/sca/rule/query/scaList 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 type 否 String 基线模板类型 CTYUNSTANDARD天翼云标准 CIS国际标准 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 id Integer 基线模板id 1 name String 基线模板名称 testscaname enname String 基线模板英文名称 testscaenname scafile String 基线模板文件 testscafile ostype Integer 基线模板操作系统类型 1Linux 2Windows 1 type String 基线模板类型 CTYUNSTANDARD天翼云标准 CIS国际标准 CTYUNSTANDARD createtime String 创建时间 20200101 00:00:00 status Integer 状态 1启用 2禁用 1 needAppProof Boolean 是否需要凭证 true需要凭证 false不需要凭证 true/false true appType String 应用凭证类型 MYSQL MYSQL

MySQL实例的备份空间如何收费 天翼云关系数据库MySQL版提供两种存储备份数据的方式：云硬盘方式和对象存储服务方式，两种方式计费方法不同。 云硬盘方式 在订购实例时和存储空间一同购买，开通后支持单独扩容，实例到期冻结后备份数据会被删除，云硬盘也不会再计费。具体请参考备份计费规则。 对象存储服务方式 通过对象存储服务存储备份数据实例冻结后备份数据不会被删除，需单独关闭对象存储服务。计费方式请参考按需计费。 如何查看MySQL实例备份空间使用情况 天翼云关系数据库MySQL版提供两种存储备份数据的方式：云硬盘方式和对象存储服务方式，两种方式查看备份空间使用情况方法不同。 云硬盘方式 您可以在实例基本信息页面查看备份空间使用情况，具体操作，请参见如何查看关系数据库MySQL版的存储空间使用情况。 对象存储服务方式 对象存储空间的使用情况也可在实例基本信息页面查看使用量。 如何将数据库备份到弹性云主机上 弹性云主机（ECS）上不限制您存放哪些数据，但数据必须是符合国家法律法规的。您可以通过导出SQL语句或使用第三方软件的方式将数据库备份到ECS上，但是不建议您将ECS作为数据库备份空间使用。强烈建议您使用关系数据库MySQL版自带的备份管理功能将数据备份到云硬盘或对象存储中以保障数据的安全性和获得更加专业的服务。

本文主要介绍分布式消息服务RabbitMQ的准备环境。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为RabbitMQ专享版实例提供一个隔离的、用户自主配置和管理的虚拟网络环境。 1. 在创建RabbitMQ专享版实例前，确保已存在可用的虚拟私有云和子网。 创建方法，请参考创建虚拟私有云和子网。如果您已有虚拟私有云和子网，可重复使用，不需要多次创建。 在创建VPC和子网时应注意如下要求： 创建的VPC与使用的RabbitMQ服务应在相同的区域。 创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 2. 在创建RabbitMQ专享版实例前，确保已存在可用的安全组。 创建方法，请参考创建安全组。如果您已有安全组，可重复使用，不需要多次创建。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL加密） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL加密） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密） 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加上表中的规则。

本文介绍如何进行Linux服务器SSH登录的安全加固。 SSH是远程登录Linux服务器的主要方式，但它也是黑客进行暴力破解和恶意攻击的主要入口之一。为了加强Linux云主机的SSH登录安全，您可以采用以下方式进行安全加固： 修改默认端口； 禁止root用户直接登录； 添加安全组规则； 采用密钥登录； 配置SSH登录限制。 我们以centos为例为大家介绍如何进行安全加固。 修改默认端口 1. 远程登录弹性云主机。 2. 打开 sshd 配置文件 /etc/ssh/sshdconfig，可以使用编辑器打开该文件，例如使用 vi 命令： vi /etc/ssh/sshdconfig 3. 找到以下代码行： Port 22 将该行代码的注释符号 去掉，并将 22 修改为想要设置的端口号，例如 2222： Port 2222 4. 按ESC键，输入:wq保存修改并退出编辑器。 5. 重启 sshd 服务，使配置生效。可以使用以下命令重启 sshd 服务： systemctl restart sshd 6. 确认修改是否生效。可以使用以下命令检查 sshd 服务是否在新端口上监听： netstat tnl grep 2222 如果输出类似于以下内容，则表示 sshd 服务已经在新端口 2222 上监听： tcp 0 0 0.0.0.0:2222 0.0.0.0: LISTEN 7. 完成以上步骤后，就成功将 CentOS 系统的 SSH 默认端口号修改为了 2222。注意，在修改 SSH 默认端口号之后，需要使用新的端口号来进行 SSH 连接，例如： ssh username@hostname p 2222 其中，username 和 hostname 分别是 SSH 登录的用户名和远程主机名或 IP 地址。

备案说明FAQ 域名必须要进行ICP备案吗？ 当域名解析指向中国内地的服务器并开通Web服务时，需进行ICP备案。若解析指向境外服务器（如中国香港），则无需ICP备案。 ICP备案收费吗？ ICP备案不收取费用，但ICP备案需要购买支持备案的云服务器，您在购买云服务器时会产生费用。 ICP备案需要有域名、中国内地且符合备案要求的服务器，您需要在服务器提供商处提交ICP备案申请。如果您的域名要通过天翼云备案，请先购买云服务器，再通过PC端登录天翼云ICP代备案管理系统提交ICP备案申请。 ICP备案服务器的购买时长需不少于3个月。 只购买云服务器不使用域名，需要进行ICP备案吗？ 不需要。当域名解析指向中国内地服务器且开通Web服务时才需进行ICP备案。 子域名需要进行ICP备案吗？ 如果主域名在天翼云已有ICP备案，则对应的子域名无需再进行ICP备案。 如果主域名有ICP备案号，但不是在天翼云申请的ICP备案，您需将主域名的ICP备案信息接入天翼云（主域名可以存在多家接入商）。详细信息请参见备案操作手册。 如果主域名没有ICP备案号，根据工信部规定，未进行ICP备案域名不能开通网站访问，您需先将主域名提交备案，待备案成功后子域名便可正常使用。详细信息请参见备案操作手册。 在天翼云进行ICP备案是否一定要购买天翼云服务器？ 如果您需要在天翼云做ICP备案，则必须购买符合ICP备案要求的天翼云服务器。 域名持有者是个人，备案主体可以是公司吗？ ICP备案要求域名持有者信息与ICP备案主体信息需保持一致，但存在如下特殊情况，单位性质备案时，域名持有者为个人，允许备案主体为公司。 域名持有者为公司的法定代表人，部分省份允许ICP备案主体为法定代表人的公司，备案主体负责人需填写公司法人信息。 什么情况下需要进行新增备案？ 主体（个人或企业）和域名从未办理过ICP备案，在开通网站的访问服务之前，需要通过天翼云备案系统完成新增备案，详细信息请参见备案操作手册。 什么情况下需要进行接入备案？ 主体和域名均已通过其他服务商成功进行ICP备案，现需要将服务商变更成天翼云或将天翼云添加为该网站的新增服务商，需要在天翼云接入备案，详细信息请参见备案操作手册。 什么情况下需要进行新增网站备案？ 如果您的ICP备案主体已通过其他服务商成功进行ICP备案，现购买天翼云服务器，并且需要在天翼云备案一个新的网站域名，您需要在天翼云进行新增网站，详细信息请参见详细信息请参见备案操作手册。 如果您的ICP备案主体已在天翼云成功备案，现有新的网站托管到天翼云服务器上，您需要在天翼云进行新增网站，详细信息请参见备案操作手册。 什么情况下需要进行变更备案？ 如果您的网站已经在天翼云取得备案号，后续备案主体或网站信息发生变更，您需要及时在天翼云备案系统变更主体或变更网站，更新您的ICP备案信息，详细信息请参见备案操作手册。

此小节介绍运维用户客户端无法访问用户资产的处理方法。 运维用户客户端无法访问服务器、数据库等用户资产需要排查客户端到云堡垒机以及云堡垒机到运维资产的网络通路，重点排查安全组配置。 注意 请先确认以下配置均已正确配置： 运维终端已正确安装访问插件，并配置访问路径； 用户拥有访问及运维资产的授权。 排查步骤 1. 检查客户端到云堡垒机网络是否能连通。 在您的客户端使用ping命令测试客户端与堡垒机的网络是否连通，如果连接失败，请您登录堡垒机控制台，查看堡垒机EIP是否正常，检查云堡垒机实例安全组策略是否正确配置，确认IP和端口是否正确开放，具体请查阅安全策略配置方法。 2. 检查堡垒机到运维资产网络是否能连通。 检查云堡垒机实例到运维资产的网络和端口是否开放，需要检查运维资产所属安全组的安全端口访问策略限制，是否允许云堡垒机实例访问运维资产。

影响和风险 当innodbflushlogattrxcommit 参数设置为非默认值1时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。 当syncbinlog 参数设置为非默认值1时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。 操作步骤 实例数据库版本为5.7或者8.0，都可按照如下步骤设置高性能参数模板。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 参数模板，进入参数模板列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在参数模板列表中，找到高性能参数模板。 注意 高性能参数模板名称为57HighPerformance 和80HighPerformance。 4. 管理高性能参数模板： 单击操作 列的应用，可以将高性能参数模板应用到相应版本的实例。 单击操作 列的对比，可以查看两个参数模板的参数值差异。 在操作 列选择更多 > 复制，可以根据高性能参数模板创建新的参数模板。

步骤二：网络配置 网络配置 1. 设置“网络”：在下拉列表中选择可用的虚拟私有云、子网，并设置私有IP地址的分配方式。 弹性云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。 您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。 更多关于虚拟私有云的信息，请参见《虚拟私有云用户指南》。 说明 弹性云主机使用的VPC网络DHCP不能禁用。 第一次使用公有云服务时，系统将自动为您创建一个虚拟私有云，包括安全组、网卡。 2. 添加“扩展网卡”：可选配置。您可以添加多张扩展网卡，并指定网卡（包括主网卡）的IP地址。 说明 指定IP地址时，如果是批量创建多台弹性云主机： 此时，该IP地址为起始IP地址。 请确保IP地址在子网范围内且连续可用。 其他子网不能与指定IP的子网相同。 − 系统默认分配IPv4地址，勾选“自动分配IPv6地址”后，网卡支持双栈类型，分配IPv4/IPv6双栈地址。在同一VPC内，弹性云主机通过IPv6地址在双栈ECS之间进行内网访问。如需访问外网，您需要开启“IPv6带宽”并选择共享带宽，此时弹性云主机可以通过IPv6地址与互联网上的IPv6网络进行访问。 弹性云主机创建成功后，需手动配置弹性云主机，动态获取IPv6地址，启用IPv6功能。具体操作请参见“动态获取IPv6地址”。 说明 当前仅支持在创建弹性云主机时开启IPv6功能，开启成功后，不能修改。 3. 设置“安全组”：在下拉列表中选择可用的安全组，或新建安全组使用。 安全组用来实现安全组内和安全组间弹性云主机的访问控制，加强弹性云主机的安全保护。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 创建弹性云主机时，可支持选择多个安全组（建议不超过5个）。此时，弹性云主机的访问规则遵循几个安全组规则的并集。 安全组规则的配置会影响弹性云主机的正常访问与使用，常用端口与协议的用途如下，请按需开启： − 80端口：浏览网页的默认端口，主要用于HTTP服务。 − 443端口：网页浏览端口，主要用于HTTPS服务。 − ICMP协议：用于ping云主机之间的通信情况。 − 22端口：用于Linux云主机的SSH方式登录。 − 3389端口：用于Windows云主机的远程桌面登录。 说明 弹性云主机初始化需要确保安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16 4. 设置“弹性公网IP”。 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。 您可以根据实际情况选择以下三种方式： − 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 − 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 − 使用已有：为弹性云主机分配已有弹性IP。使用已有弹性IP时，不能批量创建弹性云主机。 5. 设置“公网带宽”。 “弹性公网IP”选择“现在购买”时，需配置该参数。其中“按带宽计费”和“按流量计费”均为独享带宽，一个带宽只能被一个弹性公网IP使用。 − 按带宽计费：按照购买的带宽大小计费。 − 按流量计费：按照实际使用的流量来计费。 说明 “包年/包月”方式购买的弹性云主机EIP，仅支持“按带宽计费”方式。 − 加入共享带宽：一个带宽中可以加入多个弹性公网IP，多个弹性公网IP共用一个带宽。 说明 一个共享带宽支持添加的弹性公网IP个数有限，如果配额不足，可以选择切换使用其他共享带宽，或者申请扩大共享带宽的EIP配额。 包年/包月方式购买的共享带宽，到期后系统自动删除，并给该共享带宽中添加的EIP创建按流量计费的独占带宽。 6. 设置“带宽大小”。根据业务需要，选择所需的带宽大小，单位Mbit/s。 7. 设置“释放行为”。（苏州、广州4资源池支持）对于勾选了“随实例释放”的弹性IP，将在删除云主机同时执行删除。

精细类别 数据粒度 数据保留时长 说明 精细 20秒 2小时 每20秒采集一次实时数据，生成1个数据点，每个数据点保留2小时。 精细 1分钟 6小时 基于20s粒度采集数据聚合1分钟粒度数据，保留时长6小时。 精细 5分钟 1天 基于20s粒度采集数据聚合5分钟粒度数据，保留时长1天。 精细 1小时 7天 基于20s粒度采集数据聚合1小时粒度数据，保留时长7天。 精细 1天 1年 基于20s粒度采集数据聚合1天粒度数据，保留时长1年。 粗糙 5分钟 2小时 基于20s粒度采集数据聚合5分钟粒度数据，保留时长2小时。 粗糙 1小时 1天 基于20s粒度采集数据聚合1小时粒度数据，保留时长1天。 粗糙 1天 1个月 基于20s粒度采集数据聚合1天粒度数据，保留时长1个月。 粗糙 1周 6个月 基于20s粒度采集数据聚合1周粒度数据，保留时长6个月。 粗糙 1个月 1年 基于20s粒度采集数据聚合1个月粒度数据，保留时长1年。

本章节主要介绍创建专享版集群。 须知 如果需要创建、删除专享版集群或修改API配额，则需具备以下权限之一的账号才能进行操作： DAYU Administrator并且拥有VPCEndpoint Administrator权限。 Tenant Administrator并且拥有VPCEndpoint Administrator权限。 网络环境准备 如下图所示，专享版集群创建后，资源位于资源租户区，由ELB统一对集群节点进行负载均衡。 用户可以通过两种途径访问集群： 内网地址：内网地址为用户VPC内的终端节点IP地址。 外网地址（可选）：外网地址为绑定在ELB上的EIP地址。EIP仅在创建数据服务集群时，勾选开启公网入口，才会具备。 专享版集群网络架构说明 因此，为了保证创建的专享版集群能够被用户访问，创建中需要注意如下网络配置： VPC 虚拟私有云。专享版实例需要配置虚拟私有云（VPC），在同一VPC中的资源（如ECS），可以使用专享版实例的私有地址调用API。 在创建时专享版实例时，建议配置和您其他关联业务相同VPC，确保网络安全的同时，方便网络配置。 弹性公网IP 专享版实例的API如果要允许外部调用，则需要购买一个弹性公网IP，并在购买时绑定给实例，作为实例的公网入口。 安全组 安全组类似防火墙，控制谁能访问实例的指定端口，以及控制实例的通信数据流向指定的目的地址。安全组入方向规则建议按需开放地址与端口，这样可以最大程度保护实例的网络安全。 专享版实例绑定的安全组有如下要求： 1. 入方向：如果需要从公网调用API，或从其他安全组内资源调用API，则需要为专享版实例绑定的安全组的入方向放开80（HTTP）、443（HTTPS）两个端口 2. 出方向：如果后端服务部署在公网，或者其他安全组内，则需要为专享版实例绑定的安全组的出方向放开后端服务地址与API调用监听端口。 3. 如果API的前后端服务与专享版实例绑定了相同的安全组、相同的虚拟私有云，则无需专门为专享版实例开放上述端口。 路由配置 在物理机纳管场景下，如果物理机纳管网段与集群网段不一致，需要配置路由。 进入集群“基本信息”页面，可以增加或删除路由，如下图所示。 说明 如果数据服务集群无路由配置功能，可联系相关支撑人员修改配置项dlm.instance.route.action.support启用此功能。

信息项 描述 类型 API类型： l 公开：选择“公开”类型时，API支持上架。 l 私有：选择“私有”类型时，当该API所在分组上架时，该API不会上架。 安全认证 API认证方式： l APP认证：表示由API网关服务负责接口请求的安全认证。推荐使用APP认证方式。 l IAM认证：表示借助IAM服务进行安全认证。 l 自定义认证：用户有自己的认证系统或服务（如使用OAuth认证），可选择“自定义认证”。 l 无认证：表示不需要认证。 注意 须知 认证方式为IAM认证时，任何API网关租户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为无认证时，任何公网用户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为自定义认证时，需要在函数服务中写一段函数，对接用户自己的认证系统或服务。如果当前Region没有上线 函数工作流服务 ，则不支持自定义认证。 支持简易认证 仅当“安全认证”选择“APP 认证”时可配置 。 简易认证指APP认证方式下调用API时，在HTTP请求头部消息增加一个参数XApigAppCode，而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 注意仅支持HTTPS方式调用，不支持HTTP方式。 说明 如果首次创建API未开启简易认证，那么之后开启简易认证，需要重新发布API。 支持双重认证 仅当“安全认证”选择“APP 认证”或“IAM 认证”时可配置 。 是否对API的调用进行双重安全认证。如果选择启用，则在使用APP认证或IAM认证对API请求进行安全认证时，同时使用自定义的函数API对API请求进行安全认证。 自定义认证 仅当“安全认证”选择“自定义认证”时需要配置 。 自定义认证需要提前创建，可单击右侧的“新建自定义认证”链接创建。 支持跨域CORS 是否开启跨域访问CORS（crossorigin resource sharing）。 CORS允许浏览器向跨域服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 CORS请求分为两类： l 简单请求：头信息之中，增加一个Origin字段。 l 非简单请求：在正式通信之前，增加一次HTTP查询请求。 开启CORS（非简单请求）时，您需要单独创建一个“请求方法”为“OPTIONS”的API。

信息项 描述 类型 API类型： l 公开：选择“公开”类型时，API支持上架。 l 私有：选择“私有”类型时，当该API所在分组上架时，该API不会上架。 安全认证 API认证方式： l APP认证：表示由API网关服务负责接口请求的安全认证。推荐使用APP认证方式。 l IAM认证：表示借助IAM服务进行安全认证。 l 自定义认证：用户有自己的认证系统或服务（如使用OAuth认证），可选择“自定义认证”。 l 无认证：表示不需要认证。 注意 须知 认证方式为IAM认证时，任何API网关租户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为无认证时，任何公网用户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为自定义认证时，需要在函数服务中写一段函数，对接用户自己的认证系统或服务。如果当前Region没有上线 函数工作流服务 ，则不支持自定义认证。 支持简易认证 仅当“安全认证”选择“APP 认证”时可配置 。 简易认证指APP认证方式下调用API时，在HTTP请求头部消息增加一个参数XApigAppCode，而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 注意仅支持HTTPS方式调用，不支持HTTP方式。 说明 如果首次创建API未开启简易认证，那么之后开启简易认证，需要重新发布API。 支持双重认证 仅当“安全认证”选择“APP 认证”或“IAM 认证”时可配置 。 是否对API的调用进行双重安全认证。如果选择启用，则在使用APP认证或IAM认证对API请求进行安全认证时，同时使用自定义的函数API对API请求进行安全认证。 自定义认证 仅当“安全认证”选择“自定义认证”时需要配置 。 自定义认证需要提前创建，可单击右侧的“新建自定义认证”链接创建。 支持跨域CORS 是否开启跨域访问CORS（crossorigin resource sharing）。 CORS允许浏览器向跨域服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 CORS请求分为两类： l 简单请求：头信息之中，增加一个Origin字段。 l 非简单请求：在正式通信之前，增加一次HTTP查询请求。 开启CORS（非简单请求）时，您需要单独创建一个“请求方法”为“OPTIONS”的API。

当您天翼云账号的可用额度（费用中心总览）不足以抵扣待结算账单时，您的账号将会立即进入欠费状态；事件总线EventBridge服务将被冻结，不可继续使用。您可以及时为业务续费或清理不再使用的总线资源，确保服务正常可用。 欠费通知 若您的账号发生欠费，系统会以邮件或短信的形式提醒您。请留意来自天翼云的提醒邮件、短信，避免影响业务正常使用。 欠费影响 当您的天翼云账号发生欠费，事件总线平台将会按照下列策略处理： 欠费时间未超过15天 将冻结您的事件总线服务，无法新建事件总线等相关资源 当欠费超过15天 事件总线服务将进行注销，相关资源如事件总线、事件源、事件规则与事件流等将删除且不可恢复 欠费恢复 请在收到欠费通知后，登录天翼云官网费用中心进行充值；稍后事件总线服务将自动解冻，为您恢复服务。

ICP备案信息转移至其他天翼云账号 第一步：取消原账号关联请按照取消关联模板填写并加盖单位公章后回复至 beianctyun@chinatelecom.cn 邮箱，并致电 4008109889 转 3 号告知，便于帮您及时处理。 第二步：备案认领取消关联后您的备案将处于未与账号绑定的状态，请您登陆需绑定该备案信息的天翼云账号（该账号下需没有任何备案订单），点击备案中心——我的备案— —立即备案，按照系统提示的信息录入提交并匹配备案类型，系统识别到域名已 在天翼云备案，会生成一条备案认领的订单，请您选择在途备案订单管理，点击 详情进入订单，勾选中您需认领的域名，上传单位执照、主体负责人与网站负责 人身份证材料提交备案认领至天翼云审核，提交后烦请您致电 4008109889 转 3 号告知，我们将优先处理您的备案认领，认领成功后备案信息将出现在您的已备案信息管理中。

本节将为您介绍如何给智能网关实例添加设备。 操作场景 通过添加设备，您可以将自己已有的网关设备与智能网关实例进行绑定，绑定完成后可在智能网关管理控制台对您的设备进行配置管理。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关硬件实例的创建，且未购买设备。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关列表页面，单击目标智能网关“操作”列的“添加设备”。 5. 在“添加设备”界面，选择并填写您设备的设备型号、使用方式、SN、设备地址等信息。 6. 点击“确定”按钮。

本节为您介绍设置OSPF路由主备的操作场景、前提条件和操作步骤。 操作场景 用户建立两个智能网关的OSPF路由主备关系，以增强服务可用性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 主备智能网关均为单机接入方式且在线。 主备智能网关均已启用OSPF路由。 主备智能网关接入同一个PoP且没有与其他设备建立主备关系。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“OSPF路由备份”，单击“创建主备关系”。 5. 根据页面提示，添加需要建立主备关系的两个设备。主设备优先级默认为1，备设备优先级默认为2。 6. 单击“确定”，完成建立OSPF路由备份。