本小节介绍服务器安全卫士的入侵检测通用功能,包括暴力破解、异常登录、反弹shell等。 以旗舰版为例，入侵检测模块主要包含暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行八大功能。 下面以Web后门页面为例，介绍通用功能，各功能详情，请登录服务器安全卫士控制台进行查看。 通用功能 • 条件筛选框； • 更多设置按钮：点击“更多”按钮，显示全部； • 设置显示列按钮：点击 ，可设置显示列，控制列表中的数据显示/隐藏。

本文介绍了如何将您的数据从原有环境迁移到HPFS文件系统的操作流程。 准备数据迁移前，需要提供能挂载 HPFS 文件系统的迁移服务器（物理机或弹性云主机），用户在迁移服务器上同时可以访问待迁移数据，这样就可以在迁移服务器上进行数据拷贝了。如果是用户提供存储介质的方式，那么需要将该存储介质安装到迁移服务器上。如果能够满足并行数据拷贝的条件，可以增加迁移服务器的个数，各自并行负责一部分数据的迁移，这样可以大幅提高数据拷贝的效率。 说明 迁移服务器仅作为数据迁移的“中转站”，而非用于业务实际使用。待数据迁移完成之后可投入业务使用，或者根据实际情况停用，详细规格请参见：产品能力地图。 在迁移之前，请确认目标文件系统可用存储空间是否满足源数据所需存储空间。 常见的数据迁移场景、迁移方法、使用限制等如下，您可以根据待迁移数据的情况选择合适的方法： 数据所在位置 使用条件 迁移方法 迁移速度评估 使用限制 物理机文件系统 物理机可以访问待迁移数据； 物理机和HPFS网络互通，保证可挂载文件系统； 命令拷贝 速度速度取决于物理机网卡，可多台并行拷贝，提高速度。 只支持GPU裸金属物理机挂载 HPFSPOSIX 协议的并行文件系统。 弹性云主机文件系统 云主机可以访问待迁移数据； 弹性云主机和HPFS在同一VPC网络下，保证可挂载文件系统； 命令拷贝 速度取决于云主机配置的网络带宽，可多台并行拷贝，提高速度。 只支持云主机挂载NFS协议的并行文件系统。 对象存储ZOS ZOS数据可以在互联网/内网环境下载； 互联网/内网下载的客户端和HPFS互通，保证可挂载文件系统； 工具迁移 客户端测公网出口带宽直接影响上传时间。 通过互联网访问ZOS的数据，迁移过程会产生请求和流量等相关的费用。 客户本地 用户本地数据量巨大（几十TB），且数据归属于客户，可插拔盘操作； 用户在公有云有独立归属的数据迁移服务器可进行插盘操作； 数据迁移服务器和HPFS互通，保证可挂载文件系统； 数据快递 单USB口的机械硬盘可达到150MB/s。 专属资源的客户，拥有独立的机房设备。

本文帮助您快速熟悉如何修改弹性网卡的基本信息、分配IPv6、辅助私网IP。 操作场景 您可以根据业务需求修改弹性网卡的名称、安全组，管理辅助私网IP。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建虚拟私有云VPC、子网、弹性云主机。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 单击“弹性网卡”，进入弹性网卡列表页面。 5. 在弹性网卡列表页找到对应的弹性网卡，点击“修改”，填写名称、安全组、描述，点击“确定”即可完成修改。 6. 在目标弹性网卡的“操作”列，点击“管理弹性网卡IP地址”。 7. 在弹窗页面可以取消分配IPv6地址，取消分配后IPv6地址回收。再次分配可以重新获得IPv6地址。您也可以分配新的辅助私网IP（IPv4）或者取消分配。 注意 分配辅助私网IPv4后，您需要登录服务器实例，在实例内部配置已分配的辅助私网IPv4地址。 变更IPv6地址后，不能立即生效，需要等云主机下次dhcp续约时才能生效。 8. 当您不需要此弹性网卡时，点击弹性网卡列表“删除”，即可删除该弹性网卡。

本章节主要介绍翼MapReduce服务如何绑定/解绑弹性IP。 背景信息 创建的翼MapReduce集群中所有的节点都会默认被分配内网IP，外网IP需要用户自己去创建。 绑定弹性IP操作步骤 1. 登录翼MapReduce控制台，在我的集群页面，点击集群具体名称，进入集群详情页。 2. 在“节点管理”页面点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“更多”。 3. 点击“绑定弹性IP”，在“绑定弹性IP”的弹框中，如果您账号下没有可用的弹性公网IP，需要点击“+创建弹性公网IP”按钮跳转至新页面进行创建；如果您账号下有可用的弹性公网IP，可以通过下拉“弹性IP”的选择框选择IP后，点击“确认”进行绑定。 解绑弹性IP操作步骤 1. 登录翼MapReduce控制台，在我的集群页面，点击集群具体名称，进入集群详情页。 2. 在“节点管理”页面点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“更多”中的“解绑弹性IP”，并在弹窗内进行二次确认，即可完成解绑。

问题描述 使用mstsc方式登录windows云服务器时，系统报错提示“内部错误”。 处理方法 1. 在本地主机上以管理员身份运行cmd。 2. 执行netsh winsock reset。 3. 重启本地主机。 4. 重新通过mstsc方式远程登陆。 若您仍无法成功登陆，那么您可以先排查本地的网络是否正常。推荐您更换网络（eg.手机热点）测试是否可以远程登录；如果您使用手机热点的网络可以正常远程登录，那么说明无法成功登陆是由于本地网络异常造成的，你可以尝试重启本地网络（eg.重启路由器）来解决；如果通过上述排查，您仍然无法成功登录云服务器，请您记录资源信息和问题时间，然后单击管理控制台上方的“工单”，填写工单信息，获取技术支持。

本节主要介绍产品优势 云迁移工具RDA是天翼云为上云用户量身打造的迁移工具，可提供主机和对象存储在线迁移，助力企业快速上云，节省维护和使用成本。 操作简单 支持一键部署、图形化操作界面及常见问题一键修复。 安全可信 安全，传输加密，传输通道使用SSL加密，保证您数据传输安全性；认证和密码加密，存储的相关凭证采用了AESCBC进行双边加解密。 智能高效 对生产系统影响最小化，当CPU、IO、内存和带宽占用达到设定的阈值后暂停迁移/同步，等待资源空闲后自动恢复迁移/同步。 无缝迁移 迁移/同步过程业务不中断，生产系统无需停机/停服。

本节介绍数据安全中心的使用约束 不支持。数据安全中心DSC仅支持管理天翼云上的数据资产，暂不支持管理其他云厂商的数据资产。具体支持的数据源和数据库类型版本参考管理范围。 DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostgreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12

本节介绍了: Pod内DNS解析异常的诊断流程、排查思路、常见解决方案和排查方法。 诊断流程的基本概念 集群内部域名：CoreDNS会将集群中的服务暴露为集群内部域名，默认以.cluster.local结尾，这类域名的解析通过CoreDNS内部缓存完成，不会从上游DNS服务器查询。 VPC、地域内部域名：在VPC、地域内DNS服务器中注册的天翼云各产品内部服务域名，默认以.cnspinternal.ctyun.cn结尾，这类域名通常与地域、VPC相关，由CoreDNS的上游DNS服务器负责解析，CoreDNS仅做解析请求转发。 公网域名：在第三方DNS服务商、天翼云DNS云解析等产品注册的权威解析，这类域名由CoreDNS的上游DNS服务器负责解析，CoreDNS仅做解析请求转发。 业务Pod：部署在Kubernetes集群中的容器Pod，特指非Kubernetes自身系统组件的容器。 使用CoreDNS的业务Pod：容器内DNS服务器地址为CoreDNS的Service IP（查看容器/etc/resolv.conf文件得到的DNS服务器地址与CoreDNS的Service IP相同）。 使用NodeLocal DNSCache的业务Pod：集群中安装了NodeLocal DNSCache插件后，通过自动或手动方式注入DNSConfig的业务Pod。这类Pod在解析域名时，会优先访问本地缓存组件。在访问本地缓存组件不通或无DNS缓存记录时，会再次访问CoreDNS提供的kubedns服务。 异常诊断流程

提交工单 如果上述方法均不能解决您的疑问，请寻求更多帮助。 流量日志和攻击日志不全怎么办？ CFW只记录云防火墙基础版开启阶段的用户流量日志和攻击日志，如果反复开启、关闭云防火墙，会导致关闭期间的日志无法记录。 因此，建议您避免反复执行开启、关闭CFW的操作。 防护规则没有生效怎么办？ 配置了仅放行几条EIP的规则，为什么所有流量都能通过？ 云防火墙开启EIP防护后，访问控制策略默认状态为放行。如您希望仅放行几条EIP，您需配置阻断全部流量的防护规则，并设为优先级最低，可按如下步骤进行： 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 配置全局阻断规则。 单击“添加规则”按钮，在弹出的“添加防护规则”对话框中，填写参数如下，其余参数可根据您的部署进行填写。 “源地址”：0.0.0.0/0 “目的地址”：0.0.0.0/0 “源端口”：065535 “目的端口”：065535 “动作”：阻断 说明 建议您添加完所有规则后再开启“启用状态”。 5. 配置放行规则。 单击“添加规则”按钮，在弹出的“添加防护规则”对话框中，填写新的防护信息，填写规则详见下表。 参数名称 参数说明 取值样例 方向 选择防护方向： 外到内：外网访问内部服务器。 内到外：客户服务器访问外网。 内到外 名称 自定义规则名称。 test 源类型 选择IP地址、IP地址组或地域 。 IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP 地址组 ：支持多个IP地址的集合。 地域 ：支持地域防护，可在“源地址”中选择地区。 IP地址 源地址 设置访问流量中发送数据包的IP地址、IP地址组。 源IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 192.168.10.5 目的类型 选择IP地址、IP地址组。 IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP 地址组 ：支持多个IP地址的集合。 说明 “方向”为“内外”时，支持选择“域名”类型。 IP地址 目的地址 设置访问流量中的接收数据包的IP地址、IP地址组。 目的IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 域名，支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等），输入后需单击右侧“测试”，以测试域名有效性。 说明 配置“目的地址”为“域名”的防护规则后需进行DNS解析，请参见DNS服务器配置。 192.168.10.6 服务类型 选择服务或服务组。 服务 ：支持设置单个服务。 服务组 ：支持多个服务的集合。 服务 协议类型 协议类型当前支持：TCP、UDP、ICMP、Any、ICMPV6。 TCP 源端口 设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443。 80 目的端口 设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443。 443 是否支持长连接 选择“是”或“否”，设置是否配置长连接 。 是：设置长连接时长。 否：保留默认时长，各协议规则默认支持的连接时长如下： TCP协议：1800s。 UDP/ICMP/Any/ICMPv6协议：60s。 说明 最大支持100条规则设置长连接。 是 长连接设置时长 “是否支持长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。 60时60分60秒 动作 选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。 放行 策略优先级 设置该策略的优先级： 置顶：表示将该策略设置为最优先级别。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 说明 设置后，优先级数字越小，策略的优先级越高。 置顶 启用状态 设置该策略是否立即启用。 ：表示立即启用，规则生效。 ：表示立即关闭，规则不生效。 描述 标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 6. 将步骤4中全局阻断规则的“优先级”置为最低，具体操作请参见云防火墙用户指南中设置优先级。 7. 启用所有规则。建议先开启“放行”规则，再开启“阻断”规则。

本章节主要介绍翼MapReduce集群组件使用规则。 Kafka支持四种协议类型的访问，分别为：PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL。当前，翼MR集群默认采用Kerberos安全验证服务，Kafka协议类型建议使用SASLPLAINTEXT、SASLSSL这两种。

本章节介绍服务网格全局命名空间的管理 概述 天翼云应用服务网格支持多集群统一治理，全局命名空间用于实现服务网格多集群命名空间的统一管理。 展示全局命名空间列表 新建全局命名空间 全局命名空间有两种新建方式： 1. 直接在主集群创建。 在全局命名空间页面，单击【新建】，然后在新建命名空间面板，配置相关信息，然后单击【确定】 。 配置项 说明 名称 设置命名空间的名称。长度为1~63个字符，只能包含数字、字母和短划线（），且名称首尾必须是字母或数字。 标签 在标签右侧，单击 添加 ，输入变量名称和变量值，为命名空间新增一个标签。 命名空间可添加多个标签，标签用于标识该命名空间的特点，如标识该命名空间用于测试环境。 注解 在注解右侧，单击 添加 ，输入变量名称和变量值，为命名空间新增一个注解。 命名空间可添加多个注解，注解可以用于展示任何额外的信息。 2. 从一个从集群中选择一个已经存在的命名空间，同步到主集群。 点击【从集群同步命名空间至主集群】，在弹出的页面中，可以选择所需的命名空间进行同步。 说明 1. 命名空间创建成功后，您可以在全局命名空间页面的操作列，进行以下操作： 编辑命名空间：单击 查看YAML ，在编辑对话框，修改相关信息，然后单击确定。 删除命名空间：单击删除，在确认对话框，单击确定。 2. 新建或删除命名空间都是仅对主集群生效，并不会同步修改/删除从集群中的同名命名空间。 3. 新建命名空间可以添加任意的标签和注解。从集群同步则只会同步服务网格相关的标签。目前相关标签仅有：istioinjection和opaistioinjection。 4. 无论是何种方式新建的命名空间，列表页中仅会展示相关标签，如果需要查看全量的标签和注解，请点击操作列的查看yaml。

本章节主要介绍翼MapReduce集群Hive组件使用规则。 Hive 3.1版本与Hive 1.2版本相比不兼容内容主要如下： 字段类型约束：Hive 3.1不支持String转成int。 UDF不兼容：Hive 3.1版本UDF内的Date类型改为Hive内置。 索引功能废弃。 时间函数问题：Hive 3.1版本为UTC时间，Hive 1.2版本为当地时区时间。 驱动不兼容：Hive 3.1和Hive 1.2版本的JDBC驱动不兼容。 Hive 3.1对ORC文件列名大小写，下划线敏感。 Hive 3.1版本列中不能有名为time的列。 当前，翼MR集群提供的是高稳定、高性能的3.1版本Hive组件能力，建议客户在开通翼MR集群后，优先考虑完成业务上Hive使用版本的升级适配。

方法 说明 GET 请求服务器返回指定资源 PUT 请求服务器更新指定资源 POST 请求服务器新增资源或执行特殊操作 DELETE 请求服务器删除指定资源，如删除对象等 HEAD 请求服务器资源头部 PATCH 请求服务器更新资源的部分内容

本文介绍配置安全组的入方向规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 弹性云主机是天翼云提供的云服务器。安全组（Security Group）是用于设置云服务器实例的网络访问控制的虚拟防火墙，一般是作为流量访问白名单存在，以下是一些ECS安全组的最佳实践： 开放原则 默认拒绝所有流量：新建的安全组规则默认情况下拒绝所有入站和出站流量，这是一种良好的安全实践。 仅开放必要的端口和协议，避免使用0.0.0.0/0规则：根据应用需求，只开放必要的端口和协议，例如HTTP（80端口）、HTTPS（443端口）等。避免开放不必要的端口，以减少攻击面。 分组原则 根据应用需求进行分组：根据应用程序或服务的需求，可以将安全组规则进行分组。例如，将Web服务器相关的规则放在一个Web层安全组中，数据库服务器相关的规则放在另一个Database层安全组中。这样可以更好地管理和组织安全组规则，暴露不同的出入规则和权限。 避免过度复杂化：尽量避免创建过多的安全组，以免管理和维护变得复杂。根据实际情况合理划分安全组，保持简洁和易于管理。 授权原则 基于最小权限原则：为安全组授权时，应遵循最小权限原则，仅授予实例所需的访问权限。只开放必要的端口和IP地址范围，避免授权过度，减少潜在的安全风险。 限制访问来源：根据实际需求，限制访问来源的IP地址或IP地址段。仅允许特定的IP地址或IP地址段访问云主机，以增加安全性。

本页介绍天翼云TeleDB数据库安全配置手册概述。 数据库是指用于存储和管理大量结构化数据的软件系统，其中包括大量重要信息或机密数据，如企业的核心业务或客户的隐私信息等。当您完成数据库安装时，建议您对数据库安全进行配置。数据库安全配置是指通过一系列安全措施加强对数据库安全进行防护。数据库安全配置核心在对数据库进行访问控制、数据加密、审计、数据脱敏和数据库备份与恢复等安全管理策略，确保数据的完整性、机密性、可用性、可控性和可审查性。 说明 数据完整性：‌保证数据的正确性、‌有效性和一致性，‌防止合法用户加入不合语义的数据。‌ 数据机密性：‌通过加密、‌访问控制和权限管理，‌保护数据不被未授权访问和泄露。‌ 数据可用性：‌确保数据在需要时能够被授权用户访问和使用。‌ 数据可控性：‌通过审计和监控，‌确保数据的使用符合安全策略。‌ 可审查性：‌通过审计日志等机制，‌使得数据的使用和变更可以被追溯和审查。 安全配置功能简介 安全功能 说明 访问控制 TeleDB支持通过设有用户权限控制和强制访问控制，对不同对象有不同的访问来控制权限，确保数据安全。 数据加密 TeleDB支持通过数据加密来确保只有授权的用户才能访问敏感信息，防止个人信息泄露。 审计 TeleDB支持通过有效的审计，组织可以及时发现和解决数据库相关的问题，降低风险，并提高数据库的整体管理水平。 数据脱敏 TelDB支持通过数据脱敏，对非授权用户隐去了部分敏感信息，又尽量保持了数据整体有效。 数据备份与恢复 ‌数据库备份与‌恢复来确保数据安全的关键措施，TeleDB支持通过定期备份数据库可以防止数据丢失或损坏。 ‌‌

安全体检订购流程说明，请您按照流程指引完成订购。 购买须知 安全体检产品是针对您天翼云上弹性IP（EIP）提供服务，购买安全体检前，请确认您已有或计划购买天翼云弹性IP产品，并绑定业务使用，否则可能导致安全体检产品无法正常提供服务。 服务内容 高危端口、弱口令、漏洞开放检测。 提供安全体检报告，报告含处置加固建议。 自动发送邮件通知，您需要提前配置通知信息。 单个互联网安全体检规格包含5个IP授权，您可根据业务规模增减订购规格数量。 操作步骤 1. 登录产品控制台。 2. 点击“立即购买”按钮，跳转到安全体检订购页面。 3. 在订购页面根据实际情况配置购买数量、购买时长。 参数说明如下： 参数 说明 购买数量 根据实际需要体检的互联网IP数量，选择订购数量。 注意 请注意单个规格包含5个互联网IP授权，如果您有3个互联网IP，仅购买1个互联网安全体检即可。 购买时长 支持包月、包年订购，享受包年实付10个月折扣价。 自动续订 开启自动续订后，服务到期将为您自动续订，续订时长为订购时选择的购买时长（例如，订购时选择开通5个月，并勾选了自动续订，则开通5个月后到期时为您自动续期5个月）。 4. 阅读并勾选服务协议，单击右下角“立即购买”跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回安全体检产品控制台，查看订购状态。 7. 订购并开通完成后，即可开始录入体检IP及通知信息。

本节介绍了镜像服务的计费模式。 不同镜像类型的费用 镜像类型 费用 公共镜像 统信桌面操作系统V20专业版可免费使用90天，试用期到期后需用户自行购买激活码。 统信服务器操作系统操作系统等公共镜像收费，收费标准详见下表。 私有镜像 通过云主机创建系统盘镜像、数据盘镜像：免费。 系统盘镜像、数据盘镜像存储在OBS桶中，但并非用户的私有桶，对用户不可见，镜像的管理维护必须通过镜像服务来实现，目前这部分存储免费供用户使用。 通过镜像文件创建系统盘镜像、数据盘镜像或ISO镜像：收取镜像文件在OBS桶的存储费用。 创建整机镜像：涉及的费用为云主机备份或云服务备份的存储费用。使用云主机备份创建整机镜像，收取镜像关联的云主机备份费用；使用云服务备份创建整机镜像，收取镜像关联的云服务备份费用。 共享镜像 来源于他人共享的系统盘镜像、数据盘镜像：免费。 来源于他人共享的整机镜像：涉及云服务备份存储费用。 说明：仅云服务备份创建的整机镜像支持共享。 其他计费公共镜像计费标准 操作系统名称 版本 包月（元/月） 按需（元/小时） 统信服务器操作系统 UnionTechOS v20 1060e 280 0.5 银河麒麟操作系统 Kylin V10 SP3 64bit 280 0.5 备注：包1年8.5折。

创建发布 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏选择“发布订阅”。 步骤 3 在“发布”页签下，单击“创建发布”。 步骤 4 在创建发布页面，设置发布信息后，单击“确认”。 填写发布名称、选择发布数据库，以及发布数据。 设置发布表/字段的筛选器：单击“设置筛选器”，设置筛选条件，将按照筛选条件发布表/字段。 全量快照：选择立即创建，发布创建完成后，将会在分发服务器上立即触发一次全量快照。若不选择立即创建，则当添加新订阅时自动生成全量快照。订阅服务器必须等待快照代理完成，才能实现同步。 增量快照策略：支持按天、按周、按月自定义策略，在分发服务器生成增量快照。 步骤 5 查看已创建的发布。 添加订阅功能，请参见添加订阅服务器。 单击“查看监控”，查看“数据更改延迟后时长”和“事务数”监控数据。 选择“更多 > 修改发布”，可以重新选择发布表/字段，以及增量快照策略。 选择“更多 > 删除”，删除发布。 添加订阅服务器 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 12 在左侧导航栏选择“发布订阅”。 步骤 13 在“发布”页签下，在已创建的发布上，单击“添加订阅”。 步骤 14 单击“添加订阅服务器”。 步骤 15 在弹出页面，设置订阅服务器信息后，单击“确定”。 服务器来源：云数据库RDS for SQL Server。 目标数据库：勾选1个或多个RDS for SQL Server订阅实例及目标数据库，单击同步到右侧，即从当前实例同步数据到已勾选的目标数据库。 当前实例作为发布实例，发布实例与订阅实例需要在同一VPC或建立了对等连接的不同VPC，若不在同一安全组则需配置安全组规则。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 服务器来源：其他服务器。 填写服务器名称、IP、端口号、登录用户名及密码，以及目标数据库。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 步骤 16 在已创建的发布上，单击订阅数据库列的个数，查看订阅详情。 创建订阅

本文主要介绍云日志服务如何进行通知策略管理。 通知策略包含通知对象、通知模板与通知时段，当告警触发时，只要不符合静默策略，就会根据所配置的通知策略在对应渠道发送告警信息给对应的通知对象。本文介绍如何创建通知策略。 前提条件 已完成通知组配置，详情请查看通知组管理。 操作步骤 1. 登录云日志服务控制台。 2. 左侧导航栏点击告警管理通知策略模块。 3. 点击【创建通知策略】。 4. 在页面中输入通知策略名称。 5. 点击【添加通知对象】，可添加联系人、联系人组、翼连、webhook四种类型的通知对象，每种类型下可添加具体通知对象。 6. 检查通知模板，您可根据实际情况修改不同渠道的通知模板内容。 7. 设置通知时段，告警信息只在您配置的时段进行通知，不配置默认全天通知时段。 8. 点击【确定】，完成通知策略创建。

本节为您介绍云迁移服务CMS服务韧性相关内容。 CMS架构设计采用多组件服务保障及分层架构提供高可用服务。 CMS服务负载使用容器化部署，可灵活调整pod数快速扩缩容；工作负载进行pod级容灾，在部分pod损坏情况下保持服务正常运行。 CMS数据库使用天翼云RDS一主两备架构，在主服务器宕机或损坏时，切换备节点保证迁移信息不丢失。 CMS缓存使用天翼云缓存服务Redis三主三从架构对迁移任务的管理数据进行缓存交互与读写，应对迁移任务压力峰值波动。 CMS支持断点续传，在迁移过程中出现断网或者迁移出错等故障，故障修复后可支持在之前的进度上继续迁移、同步。

本章节介绍对RDS创建的云数据库进行相关操作的授权。 假如您已经完成数据库资产委托授权，并开通了天翼云关系型数据库（RDS），且已在RDS里创建了数据库，可参考本章节操作，具体如下： 进行授权“只读权限”：只能使用敏感数据识别功能。 进行授权“读写权限”：可使用敏感数据识别和数据脱敏功能。 说明 DSC暂不支持对RDS中已开启SSL的MySQL数据库进行扫描和脱敏。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权操作。 已开通RDS服务，且RDS中已有资产，且对应子网下含有可用的IP配额。 RDS实例的“状态”为“正常”。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在需要授权的数据库资产所在行的“操作”列，单击“授权”。 说明 如果只需要授权数据库实例下的某个数据库，单击数据库实例前的向下按钮，展开实例列表，单击数据库所在行的操作列的“授权”即可。 6. 在弹出的“数据库批量授权”对话框中，参考下表配置数据库参数。 参数名称 参数说明 权限设置 只读权限：只能用于敏感数据识别。 注意 创建了RDS只读权限后，DSC服务会在RDS创建一个dscreadonly帐户。 dscreadonly帐户的密码在RDS重置后，将不会自动同步到DSC服务，会导致敏感数据识别任务失败，因此，建议您不要重置该帐户密码。 如果您已在RDS里重置了dscreadonly帐户的密码，建议您在DSC服务里先删除已授权的rds实例，再重新对该实例进行权限设置。 读写权限：可使用敏感数据识别和数据脱敏功能。 资产列表 “权限设置”选择“只读权限”时，可修改需要授权的“资产名称”。 “权限设置”选择“读写权限”时，可修改需要授权的“资产名称”，必需配置访问该数据库的“用户名”和“密码”。 7. 单击“确定”，数据库添加完成，并展示在已授权的数据库列表中。 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

本节介绍云等保专区产品的最佳实践之主机勒索病毒有效防护。 勒索病毒因其具备快速横向传播、变种迅速、对文件加密等特点因此导致用户难以对其进行有效防护，天翼云云等保专区主机安全提供内核级多维度防御引擎，及时发现并阻断勒索病毒，准确高效地实时保护用户关键数据。 1. 在导航栏选择“高级威胁 > 勒索防御”，进入勒索防御页面。 2. 选择需要设置的引擎类型，点击引擎右侧区域的“去设置”。 勒索诱饵防护引擎：针对勒索病毒遍历文件实施加密的特点，在终端关键目录下放置诱饵文件，当有勒索病毒尝试加密诱饵文件时及时中止进程，阻止勒索病毒的进一步加密和扩散。 勒索行为防护引擎：通过分析常见的勒索软件样本，总结了样本具有的共性特征形成了引擎行为库，系统API级别分析，有效抵御未知勒索病毒。 文件保险柜：添加访问控制策略，对重要文件进行访问权限控制，仅允许配置的例外进程操作，避免被勒索病毒破坏。 3. 进入系统防护页面，选择“勒索防御”，开启“勒索诱饵防护引擎”。 4. 点击“文件保险柜”按钮，弹出文件保险柜对话框，点击“添加一行”，输入保护项 、例外程序后点击“保存”，再点击“确定”，即可添加文件保险柜，针对重要文件进行保护。

4. LTS服务代码示例 4.1. 关于Client的操作 此操作是初始化Client。Client配置如下： 参数 参数类型 描述 是否必须 endpoint string 域名，详情参考天翼云官网 是 accessKey string AccessKey，简称ak 是 secretKey string SecretKey ，简称sk 是 securityToken TokenInfo token临时凭证和过期时间 否 clientConfig ClientConfig httpclient的配置 否 serviceClient ServiceClient httpclient发送http请求 否 示例代码：初始化Client plaintext LogClient client new LogClient(endpoint, accessKey, secretKey); 4.2. 关于Log的操作 此操作用于生成待上传的日志，日志同步上传只能上传List格式的日志，logItems是一个List类型，里面包含若干条LogItem日志，LogItem格式如下： 参数 类型 描述 是否必须 timestamp Int64 时间戳，单位纳秒 是 OriMsg string 原始日志内容 是 contents Dictionary 日志内容，分词后的内容，可用于索引 否 labels Dictionary 自定义标签 否 new LogItem()时会自动设置一个当前的时间戳，如果希望自定义时间戳，可以主动赋值。 示例代码：组装生成10条日志 plaintext List logItems new List (); for (int i 1; i < 10; ++i) { LogItem logItem new LogItem(); logItem.OriMsg ".NET SDK"; logItem.PushBackContents("errorstring", "invalid operation"); logItem.PushBackContents("contentInt", 12345); logItem.PushBackContents("contentdouble", 3.1415926); logItem.PushBackLabels("usertag", "string"); logItems.Add(logItem); } 注意：单条日志大小不超过1MB，单次发送的日志大小不能超过5MB，其中contents和labels的key的长度不超过64字符，仅支持数字、字母、下划线、连字符()、点(.),且必须以字母开头。value类型最好使用字符串（string）和数字类型（int,double），其他类型建议先转为字符串类型，并且value值不能为空或空字符串。

本文汇总了云专线产品常见的计费类问题。 云专线服务如何计费？ 云专线服务根据不同地理位置以及物理专线类型等因素，云专线服务会根据不同的接入方式，提供差异性的接入服务。其中具体服务如下： 物理专线接入服务费：具体服务价格需联系客服或客户经理进行咨询，客户经理将根据实际业务情况为您提供合理建议； 云端口资源占用费：根据不同端口类型和带宽选择对应的资源服务。 云端口资源占用费和物理专线接入费用区别？ 物理专线接入费和云端口资源占用费的主要区别如下： 物理专线接入服务费：物理专线接入服务主要针对物理专线的服务，包括：物理专线类型的选择、带宽、服务保障、施工等，该接入费解决客户侧IDC机房和云资源池中云专线POP交换机之间的互联互通。 云端口资源占用费：云端口资源占用服务主要针对云资源池中云专线POP交换机的物理端口占用服务，包括：独享口和共享口的使用，该端口占用费解决云资源池中云专线POP交换机的物理端口占用带宽的使用需求，帮助客户实现物理专线在入云组网等需求场景中的使用。 云专线服务如何变更带宽？ 如需变更云专线带宽，请联系天天翼云客服或客户经理，客户经理会根据您的实际需求协助您进行变更，具体变更内容如下： 物理专线带宽：变更物理专线带宽，请先联系客户经理进行物理专线资源核查后，进行变更带宽方案的实施； 云端口资源占用带宽：联系客户经理进行云端口资源的变更操作，该操作会影响后续使用的带宽费用。

本节介绍天翼云电脑大屏客户端的使用操作。 锁定/解锁工具栏 进入云电脑后，可在桌面顶部看到工具栏，鼠标移入点击可左右移动。 F 工具栏默认3秒后自动隐藏，隐藏后的工具栏状态分两种: （1）Windows系统客户端、安卓瘦终端、国产化客户端工具栏隐藏成一条深颜色粗线的状态。 （2）Mac客户端工具栏隐藏成一个颜色方块，展示云电脑当前的网络时延值，并且根据网络时延值变化颜色。（Mac Os系统因操作区域主要在顶部，因此Windows系统客户端工具栏隐藏方式不合适） 控制中心入口 工具栏点击“控制中心”，可查到偏好设置、报障、一键优化、网络检测、安全中心、悬浮球、音频设置、云电脑配置等功能入口。 USB管理 提示：Mac客户端不支持USB重定向 如需管控外设或者查看外设重定向策略，进入偏好设置，点击“USB管理”，可以管控USB重定向设备。 备注：U盘容量小于1GB默认走USB走重定向 点击“全部”，查看当前云电脑连接的设备。 点击“”图标可一键复制外设信息。

主要介绍翼MapReduce服务的计费方式。 计费项 购买MRS集群的费用包含两个部分： MRS服务管理费用 IaaS基础设施资源费用（云主机、云硬盘，弹性IP/带宽等） 计费方式 MRS当前支持包年包月和按需计费两种计费方式。 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，最长时长为1年。 按需计费：节点按实际使用时长计费，计费周期为一小时。 费用计算方式 系统显示的集群费用，包括：MRS服务管理费用+云主机使用费+云硬盘使用费+其他费用（如弹性IP/带宽等）。 其中云主机、云硬盘及其他（如弹性IP/带宽等）产品的价格，请参考对应产品的价格清单。 普通版集群 普通版集群服务管理费用，按实际选择的节点规格、数量及其单价进行计算。 以创建节点数量为6的集群为例，选用通用计算型“s3.4xlarge.4”（16核64GB）规格： 按需集群：单价为0.62元/节点/小时，集群服务管理费为6x0.623.72元/小时。（此示例未包含云主机、云硬盘等其他产品费用） 包周期集群：单价为299元/节点/月，集群服务管理费为6x2991794元/月。（此示例未包含云主机、云硬盘等其他产品费用） LTS版集群 LTS集群服务管理费，以“核数”为单位计费，计费项与普通集群相同。 以购买10个规格为8核的节点集群为例： 按需集群：单价为0.052元/核/小时，集群服务管理费为 8x10x0.0524.16元/小时。（此示例未包含云主机、云硬盘等其他产品费用） 包周期集群：单价为25元/核/月，集群服务管理费为8x10x252000元/月。（此示例未包含云主机、云硬盘等其他产品费用） 计费方式变更 仅支持由按需计费转换为包周期计费，暂不支持由包周期计费转换为按需计费。 到期欠费

本章节主要介绍翼MR Manager的主机详情页面。 进入到翼MR Manager以后，点击菜单“主机”，进入主机列表页面。 单击指定主机IP或主机名称进入到主机详情页面。如图所示： 详情页面下方依次为该主机的：主机状态、实例列表、告警历史信息。

在部署天翼云TeleDB数据库前，您需要获取许可证文件、完成环境初始化并进行相关的数据库参数配置。 1. 获取许可证文件。 说明 请您联系天翼云商务代表获取许可证文件。 2. 环境初始化。 1. 挂载磁盘，对所有机器规划挂载目录，建议您控制台主机用app目录，实例主机用data目录。 1. 执行如下命令，格式化数据盘。若您使用的磁盘不是新盘需格式化数据盘。若您使用的是新盘则可跳过该步骤。 mkfs.xfs f i attr2 l lazycount1,sectsize4096 b size4096 d sectsize4096 L data /dev/vdb 2. 执行如下命令，创建根目录文件，提供给挂载数据盘使用。 mkdir p /app 3. 执行如下命令，挂载数据盘。 mount /dev/vdb /app 4. 执行如下命令，写入磁盘配置文件，开机自动挂载磁盘。 echo "/dev/vdb /app xfs defaults 0 0" >> /etc/fstab 2. 创建部署使用用户teledb 1. 执行如下命令，创建用户（创建部署的用户是teledb，不是teledbx） groupadd f teledb useradd g teledb teledb 2. 执行如下命令，设置密码。 passwd teledb 说明 由于安装teledbX时会将 当作特殊字符，不被识别，所以设置的密码中不包含 。 3. 初始化系统参数。 su teledb cd /etc/security 在/etc/security/limits.conf文件中最后一部分，添加如下内容。 teledb soft nofile 131072 teledb hard memlock 128849018880 teledb soft memlock 128849018880 teledb soft core 1024000 teledb hard core 1024000 teledb hard nproc unlimited teledb soft nproc unlimited teledb hard nofile 131072 teledb hard stack unlimited teledb soft stack unlimited 4. 执行如下命令。 echo vm.swappiness10 >> /etc/sysctl.conf sysctl w vm.swappiness10 echo vm.minfreekbytes102400 >> /etc/sysctl.conf sysctl w vm.minfreekbytes102400 5. 进入/etc/sudoers文件，添加权限. 在root ALL（ALL）ALL 一行下面添加如下内容。 teledb ALL(ALL) NOPASSWD:ALL 6. 修改挂载目录权限. 执行如下命令，修改成可读写运行权限 sudo chmod 777 /app 执行如下命令，修改/app目录下文件所属用户。 sudo chown R teledb:teledb /app 3. （可选）创建软连接。 执行如下命令创建软连接（安装dcp主机不需要执行该操作， 安装teledb控制台的主机以及teledb实例主机需要执行该操作。） cd /usr/local/bin ln s /usr/sbin/ip ip ln s /usr/sbin/sysctl sysctl ln s /usr/sbin/userdel userdel ln s /usr/sbin/useradd useradd 3. 数据库参数配置 1. DN节点参数配置参考以下参数设置，其中sharedbuffers根据服务器配置调整，建议为服务器总内存的1/4，且上限不超过64GB。 服务器总内存小于512G时，根据情况适当下调以下参数，避免出现OOM。 sharedbuffers 64GB effectivecachesize 128GB workmem 100MB maintenanceworkmem 16GB 以下是512G内存服务器的DN节点参数配置建议： maxconnections 5000 maxpoolsize 6000 commitdelay 20 commitsiblings 10 sharedbuffers 64GB effectivecachesize 128GB workmem 100MB maintenanceworkmem 16GB dynamicsharedmemorytype posix bgwriterdelay 10ms bgwriterlrumaxpages 1000 bgwriterlrumultiplier 10.0 effectiveioconcurrency 200 wallevel replica walbuffers 16MB walwriterdelay 10ms minwalsize 60GB maxwalsize 200GB synchronouscommit local fullpagewrites off fsync off checkpointtimeout 30min checkpointcompletiontarget 0.9 effectivecachesize 128GB updateprocesstitle off trackactivities off autovacuum on autovacuummaxworkers 3 logstatement 'none' maxparallelworkerspergather 0 poolerscalefactor 64 sharedqueues 512 enablematerial off vacuumdelta 300 minfreesize300 mlscheckdatamaskoff 2. CN节点参数配置 参考以下参数设置： maxconnections 5000 maxpoolsize 6000 commitdelay 20 commitsiblings 10 sharedbuffers 6GB effectivecachesize 16GB workmem 100MB maintenanceworkmem 4GB dynamicsharedmemorytype posix bgwriterdelay 10ms bgwriterlrumaxpages 1000 bgwriterlrumultiplier 10.0 effectiveioconcurrency 200 randompagecost 1.1 wallevel replica walbuffers 16MB walwriterdelay 10ms minwalsize 1GB maxwalsize 3GB synchronouscommit off fullpagewrites on fsync on checkpointtimeout 30min checkpointcompletiontarget 0.9 updateprocesstitle off trackactivities off autovacuum on autovacuummaxworkers 2 logstatement 'none' maxparallelworkerspergather 0 poolerscalefactor 64 sharedqueues 512 enablematerial off vacuumdelta 300 persistentdatanodeconnections on logdestination 'stderr' loggingcollector on logdirectory 'log' minfreesize300

本文帮助您快速熟悉添加ACL规则的操作场景和操作流程。 操作场景 当您需要按照自定义的策略来对出入子网的流量进行控制时，您可以自定义添加新的出方向、入方向ACL规则。 入方向：指从外部访问ACL规则下的子网内的云服务器。 出方向：指ACL规则下的子网内的云服务器访问ACL外的实例。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，选择需要添加规则的ACL。 6. 进入“ACL”详情界面，在入方向规则或出方向规则页签，单击“添加入方向/出方向规则”按钮。 7. 单击“增加一条规则”，可以依次增加多条规则。 8. 单击网络ACL规则操作列下的“复制”选项，复制已有的网络ACL规则。 9. 配置参数说明如下： 参数 说明 优先级 网络ACL规则的优先级，优先级的数值越小，表示优先级越高。为默认的规则，优先级最低。默认规则仅多可用区资源池适用。 IP版本 支持IPv4、IPv6两种协议。 策略 选择入方向规则的授权策略：允许：允许访问子网中云服务器。拒绝：拒绝访问子网中云服务器。 协议 选择协议类型，支持以下几种协议：ALL：所有协议。ICMP：网络控制报文协议。TCP：传输控制协议。UDP：用户数据报协议。 地址和掩码 当前方向允许的地址，对于IPv4，默认值为0.0.0.0/0，代表支持所有的IPv4地址；对于IPv6，默认值为::/0，代表支持所有的IPv6地址。 端口范围 源端口范围，取值范围是1～65535的数字。选择TCP或UDP协议时必须填写。 描述 网络ACL规则的描述信息，非必填项。 注意 1. 对于地域资源池来说，创建ACL时需要指定子网与ACL的关联关系。添加规则时，入方向规则不支持自定义目的地址，出方向规则不支持自定义源地址。 2. 对于可用区资源池来说，添加规则时，出/入方向均支持自定义源/目的端口。 3. 支持IPv6能力逐步上线，实际支持资源池以控制台展示为准。

天翼云AOne 安卓版本应用权限列表 权限名称 权限说明 具体场景或目的 INTERNET 允许应用访问网络 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 ACCESSNETWORKSTATE 检测网络连接状态 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 ACCESSWIFISTATE 获取WIFI连接状态 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 REQUESTINSTALLPACKAGES 允许进行应用安装 用于更新应用，检测用户是否具备使用产品功能的条件，优化体验 REQUESTIGNOREBATTERYOPTIMIZATIONS 忽略电池优化 允许VPN服务能够在后台运行服务（国内手机系统可能无法生效，需要用户到设置中手动开启，不同机型出来的权限蒙版不一样，有一些机型因为不需要用户确认没有弹出蒙版） MODIFYAUDIOSETTINGS 修改音频设置 会议服务：设置音频模式 RECORDAUDIO 录制音频 AI应用中心：以语音的方式与AI进行交互、语音输入，收集语音信息（语音转文本信息） 音视频会议：发言、传输音视频流 CAMERA 拍摄照片和视频 AI应用中心：拍摄图片，收集图片信息 消息服务：使用摄像头拍照发送图片或视频 音视频会议：开启视频、设置虚拟背景 邮件服务：使用摄像头拍摄照片 消息服务：使用摄像头拍摄照片 个人信息：拍照上传头像 WAKELOCK 唤醒设备 保持设备唤醒状态，避免某些场景下系统休眠之后导致的VPN连接异常情况。 WRITEEXTERNALSTORAGE 写入外部存储 消息服务：发送照片、文件 邮件服务：上传附件、保存邮件附件至本地、从本地选择文件插入邮件 消息服务：下载文件，保存图片 READEXTERNALSTORAGE 读取外部存储 日程服务：在日程中添加文件 消息服务：发送照片、文件 邮件服务：上传附件、保存邮件附件至本地、从本地选择文件插入邮件 消息服务：发送图片、发送文件 MANAGEEXTERNALSTORAGE 管理所有外部存储 文件管理增强（android10以上版本申请，权限等同于WRITEEXTERNALSTORAGE 和READEXTERNALSTORAGE） READMEDIAIMAGES 读取媒体图片 消息服务：从相册选择图片发送 AI应用中心：从相册上传照片 邮件服务：从相册选择图片插入邮件 USEBIOMETRICUSEFINGERPRINT 生物识别/指纹 使用生物识别/指纹进行登录 BLUETOOTHBLUETOOTHADMIN BLUETOOTHCONNECT 蓝牙权限 会议中使用蓝牙设备 SYSTEMALERTWINDOW 悬浮窗权限 会议服务：用于会议的悬浮窗功能 READPHONESTATE 读取电话状态权限 会议服务：用于来电时自动禁用会议服务的扬声器和麦克风

本节为您介绍天翼云区域和可用区的概念及关系。 区域 区域（region）是指物理的数据中心的地理区域。区域从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 天翼云不同区域之间完全隔离，保证不同区域间最大程度的稳定性和容错性。为了降低访问时延、提高下载速度，建议您选择最靠近业务需求的区域。 相关特性 不同区域之间的网络完全隔离，不同区域的云产品默认不能通过内网通信。 如果不同区域之间的云产品之间有通信需求，可以通过公网 IP、VPN等方式进行通信。 如何选择区域 在天翼云中，资源创建或购买成功后不能更换区域，因此选择区域时，您需要慎重考虑以下几个因素： 1. 地理位置：用户和资源部署区域的距离越近，网络时延越低，访问速度越快。建议您基于业务场景对时延的要求选择区域。 中国内地：一般情况下建议选择和您目标用户所在区域最为接近的数据中心，可以进一步提升用户访问速度。如果使用天翼云承载您的全部业务，电信网络可以保证中国内地区域间的快速访问。 其他国家及地区：其他国家及地区提供的带宽主要面向非中国内地的用户。如果您在中国内地，使用这些区域会有较长的访问延迟，不建议您使用。 2. 资源价格及资源覆盖：不同区域的资源规格可能有差异，不同区域的产品覆盖可能有差异，请根据您的需求及预算选择合适的区域。 3. 产品之间的关系：如果多个天翼云产品一起搭配使用，需要注意：不同区域的云主机、对象存储、负载均衡等服务，内网不互通。 4. 经营性备案：如果您使用物理机作为Web服务器，您需要完成经营性备案，同时需要在指定的区域购买实例。（各省（或市）通信管理局对经营性备案的审批要求不同，请以当地管理局经营性备案网站公示内容为准。）

本文汇总了使用虚拟私有云产品时常见的使用安全类问题。 弹性云服务器加入安全组过后能否变更安全组？ 可以。进入弹性云服务器详情界面，在网卡下拉窗口选择更改安全组。 一个用户能拥有多少个安全组？ 一个用户最多可以拥有100个安全组，5000条安全组规则。 创建弹性云服务器时，可以选择多个安全组（建议不超过5个）。 一个用户可以拥有多少个网络ACL？ 一个用户最多可以拥有200个网络ACL，每个网络ACL出方向或入方向建议最多创建20条规则，超过20条会影响转发性能 。 变更安全组规则和网络ACL规则时，是否对原有流量实时生效？ 安全组是有状态的，即无论安全组入方向的规则如何，都允许对出方向流量的响应流入实例，反之亦然。安全组使用连接跟踪来跟踪有关进出实例的流量信息，在安全组规则增加、删除、更新时，或者该安全组下实例创建、删除时，会自动清除该安全组下所有实例入方向的连接跟踪，此时，流入或流出实例的流量会被当做新的连接，需要重新匹配相应入方向或出方向的安全组规则，以保证规则能立即生效，从而保障流入实例的流量的安全。 网络ACL规则配置变更，对于原有流量不会立刻生效。用户需断开变更规则所影响的流量一段时间（约120秒）后，变更后的规则才能对流量生效。如要确保流量在变更规则时能立即中断，建议使用安全组进行安全策略配置。