本文将为您介绍云服务资源绑定标签的流程。 创建标签 1、登录标签管理控制台。 2、点击创建标签。 3、输入标签键值。 注意 1、标签键值字符长度限制最长128位。 2、标签键值字符首尾不能含空格。 3、页面创建标签单次最多可创建10个标签，单个标签键单次最多可添加10个标签值。 4、若输入的标签键或标签值数据中已存在，则不做替换。 标签控制台绑定标签 1、点击操作栏的绑定资源。 2、选择目标资源。 注意 1、一个云资源实例只能绑定同一标签键下的一个标签值，若选择的云资源已经绑定了同一个标签键下的其它标签值，本次绑定将替换原有的标签键值。 2、可绑定的资源清单为账号下已开通的资源。 云服务控制台绑定标签 云服务控制台可以对新创建的资源做标签绑定。以CTECS为例说明： 1、登录CTECS控制台。 2、进入创建云主机页面，将“是否编辑标签”打开即可对资源做标签绑定。 说明 1、可选择已创建的标签绑定到目标资源，也可以输入新的标签键值绑定到目标资源。

本文为您介绍专线网关的概念与特点。 专线网关概念 专线网关是客户站点和天翼云VPC之间的虚拟路由转发设备。作为数据从客户站点到云上VPC之间的传输桥梁，专线网关一端绑定物理专线，一端与客户站点需要访问的VPC直连。一个VPC只能关联一个专线网关，多条物理专线可以通过一个专线网关访问一个或多个VPC。 专线网关功能 专线网关有以下功能： 作为天翼云云端的虚拟私有云（VPC）与本地数据中心的中间路由转发设备，负责数据包的交换。 支持静态路由与BGP动态路由协议。 BGP：BGP（Border Gateway Protocal），边界网关协议，是一种用于在不同的自治系统之间交换路由信息的协议。自治系统是互联网上的一组网络，由一个或多个网络和路由器组成，被视为一个单一的管理单元。 路由规则支持IPv4类型、IPv6类型、双栈类型。 专线网关使用限制 单账户下支持创建20个专线网关。如需扩大配额，请提交工单进行申请。 每个专线网关有且仅有一张路由表，支持点对点的数据路由转发。 用户在创建专线网关之前要确保已有创建好的物理专线。

，在 CDN与视频 分类下，点击 边缘安全加速平台； 通过控制台链接直接进入。 后续步骤 安全与加速 安全与加速快速入门 零信任服务 零信任服务快速入门 终端管理 终端管理快速入门 边缘接入服务 零基础使用边缘接入服务 边缘函数 零基础使用边缘函数 服务变更相关操作 具体参见： 开通资源包指引 续订套餐指引 变更套餐指引 退订套餐指引 到期与欠费说明

修改弹性伸缩组的云主机回收方式 接口功能介绍 修改弹性伸缩组的云主机回收方式 接口约束 无 URI POST /v4/scaling/group/updaterecoverymode 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b groupID 是 Integer 伸缩组ID 540 recoveryMode 是 Integer 实例回收模式。取值范围：1：释放模式。 1 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回码：800表示成功，900表示失败 800 errorCode String 业务细分码，为product.module.code三段式码 Scaling.Group.NotFound 错误码 message String 失败时的错误描述，一般为英文描述 scaling group info not found description String 失败时的错误描述，一般为中文描述 未找到弹性伸缩组信息 returnObj Object 成功时返回的数据，参见表returnObj returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 groupID Integer 伸缩组ID 540 请求示例 请求头header 无 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "groupID": 540, "recoveryMode": 1 }

本节介绍如何开启病毒防御功能、修改病毒防御动作。 病毒防御（AntiVirus，AV）功能通过病毒特征检测来识别和处理病毒文件，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生，有效保护您的业务安全。 病毒防御功能支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 规格限制 仅专业版支持病毒防御功能。 开启病毒防御拦截病毒文件 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 病毒防御”，进入“病毒防御”页面。 5. 单击按钮，开启病毒防御功能。 说明 开启病毒防御功能后，防火墙“当前动作”默认为“禁用”，修改防御动作请参见“修改病毒防御动作提升防护效果”。

本小节介绍日志审计(原生版)术语解释。 日志采集 实现第三方安全设备、网络设备、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志采集。 日志存储 实现原始日志、范式化日志的存储，可定义存储周期。 日志检索 实现全文、keyvalue、括弧、正则、模糊等检索方式；支持保存检索、从已保存的检索导入见多条件。 可视化统计 实现趋势图、折线图、柱状图、饼图、表格等统计项展示。 事件告警 自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则，实现时间的查询、查询结果统计以及统计结果的展示。

本页为您介绍IAM相关概念及权限管理。 数据传输服务DTS已对接天翼云统一身份认证服务（IAM），可实现控制台功能、OpenAPI维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对DTS的只读权限、对 DTS的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限是实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本文主要介绍 步骤二:创建Kafka实例。 前提条件 在创建Kafka实例前，需要保证存在可使用的虚拟私有云。创建方法，请参考《虚拟私有云 用户指南》的“创建虚拟私有云和子网”。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 操作步骤 步骤 1 登录分布式消息服务Kafka控制台，单击页面右上方的“购买Kafka实例”。 步骤 2 选择计费模式。 步骤 3 在“区域”下拉列表中，选择靠近您应用程序的区域，可降低网络延时、提高访问速度。 步骤 4 在“项目”下拉列表中，选择项目。 步骤 5 在“可用区”区域，根据实际情况选择1个或者3个及以上可用区。 步骤 6 设置“实例名称”和“企业项目”。 步骤 7 设置实例信息。 1. 版本：Kafka的版本号，支持1.1.0、2.7和3.x，根据实际情况选择，推荐使用3.x。 Kafka实例创建后，版本号不支持修改 。 2. 鲲鹏实例，“创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 3. 在“代理规格”中，请根据业务需求选择相应的代理规格。在“代理数量”中，选择代理个数。 单个代理最大分区数代理个数实例分区数上限。当所有Topic的总分区数大于实例分区数上限时，创建Topic失败。 4. 在“存储空间”区域，您根据实际需要选择存储Kafka数据的磁盘类型和总磁盘大小。 Kafka实例创建后，磁盘类型不支持修改 。 存储空间包含所有副本存储空间总和，建议根据业务消息体积以及副本数量选择存储空间大小。假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB副本数 + 预留磁盘大小100GB。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 5. 在“容量阈值策略”区域，设置磁盘使用达到容量阈值后的消息处理策略，容量阈值为95%。 自动删除：可以正常生产和消费消息，但是会删除最早的10%的消息，以保证磁盘容量充足。该场景优先保障业务不中断，数据存在丢失的风险。 生产受限：无法继续生产消息，但可以继续消费消息。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 图 创建Kafka实例 步骤 8 设置实例网络环境信息。 1. 在“虚拟私有云”下拉列表，选择已经创建好的虚拟私有云和子网。 说明 虚拟私有云和子网在Kafka实例创建完成后，不支持修改。 子网开启IPv6后，Kafka实例支持IPv6功能。Kafka实例开启IPv6后，客户端可以使用IPv6地址连接实例。 子网开启IPv6后，页面才展示此参数。开启IPv6后，客户端可以使用IPv6地址连接实例。 开启IPv6的实例不支持动态开启和关闭SASLSSL功能。 实例创建成功后，不支持修改IPv6开关。 3. 在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对Kafka实例的访问规则的集合。您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 步骤 9 设置登录Kafka Manager的用户名和密码。创建实例后，Kafka Manager用户名无法修改。 Kafka Manager是开源的Kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 步骤 10 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤 11 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 “公网访问”默认为关闭状态，根据业务需求选择是否开启。开启公网访问后，还需要为每个代理设置对应的IPv4弹性IP地址。 图 设置公网访问开关 2. 设置“Kafka SASLSSL”。 客户端连接Kafka实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 “Kafka SASLSSL”默认为关闭状态，您可以选择是否开启。 Kafka实例创建后，Kafka SASLSSL开关不支持修改 ，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您可以选择是否开启“SASL PLAIN 机制”。未开启“SASL PLAIN 机制”时，使用SCRAMSHA512机制传输数据，开启“SASL PLAIN 机制”后，同时支持SCRAMSHA512机制和PLAIN机制，根据实际情况选择其中任意一种配置连接。Kafka实例创建后，SASL PLAIN机制开关不支持修改。 什么是SCRAMSHA512机制和PLAIN机制？ SCRAMSHA512机制：采用哈希算法对用户名与密码生成凭证，进行身份校验的安全认证机制，比PLAIN机制安全性更高。 PLAIN机制：一种简单的用户名密码校验机制。 开启Kafka SASLSSL后，您需要设置连接Kafka实例的用户名和密码。 3. 设置“Kafka自动创建Topic”。 “Kafka自动创建Topic”默认为关闭状态，您可以选择是否开启。 开启“Kafka自动创建Topic”表示生产或消费一个未创建的Topic时，系统会自动创建此Topic，此Topic的默认参数值如下：分区数为3，副本数为3，老化时间为72小时，不开启同步复制和同步落盘。 如果在“配置参数”中修改“log.retention.hours”、“default.replication.factor”或“num.partitions”的参数值，此后自动创建的Topic参数值为修改后的参数值。例如：“num.partitions”修改为“5”，自动创建的Topic参数值如下：分区数为5，副本数为3，老化时间为72小时，不开启同步复制和同步落盘。 4. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击“查看预定义标签”，跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个Kafka实例最多支持设置20个不同标签，标签的命名规格，请参考管理实例标签。 5. 设置实例的描述信息。 步骤 12 填写完上述信息后，单击“立即购买”，进入规格确认页面。 步骤 13 确认实例信息无误后，提交请求。 步骤 14 单击“返回Kafka专享版”，查看Kafka实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明 创建失败的实例，不会占用其他资源。

敏感数据识别任务扫描完成后，可在识别任务列表目标任务操作列单击“识别结果”，查看数据资产的敏感信息总数、风险等级以及敏感信息分类分级结果。 前提条件 至少执行过一次敏感数据识别任务。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“敏感数据识别 > 识别任务”，进入识别任务页面。 5. 单击目标任务“操作”列的“识别结果”查看识别结果。 数据安全中心DSC分别统计了大数据、数据库、OBS和MRS这四个服务在不同风险等级的数量及分布情况。同时，DSC还为扫描目标提供了详细的识别结果列表。在页面左上角，您可以通过识别任务名称、资产类型和资产名称筛选出您想要查看的敏感数据识别结果。 识别结果参数说明如下： 参数名称 参数说明 对象名称 敏感数据识别的对象名称。 资产类型 OBS、数据库、大数据、MRS 资产名称 涉及敏感信息资产名称。 对象路径 敏感信息对象路径。 分级结果 敏感信息级别。 6. 在目标扫描对象所在行的“操作”列，单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框。 说明 “分类分级结果详情”页主要展示“识别对象详情”和“结果详情”。 结果详情主要展示匹配规则、分级结果、分类结果以及分类分级模板。

开启防护后，云防火墙默认放行所有流量，配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控，防止内部威胁扩散，增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能，区别如下表所示，流量命中某一条策略时，执行该策略的动作，各功能的防护顺序请参见“云防火墙的防护顺序是什么”。 防护规则和黑/白名单的区别如下： 类型 支持的防护对象 网络类型 防护后的动作 应用场景&特点 配置方式 防护规则 五元组 IP地址组 地理位置（地域） 域名和域名组 公网IP 私网IP 设置为“阻断”：流量直接拦截。 设置为“放行”：流量被“防护规则”功能放行后，再经过入侵防御（IPS） 功能检测。 通过具体的特征识别指定流量，适用于需要精细化控制特定流量的情况；例如通过协议类型、端口号、应用等特征配置规则。 通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 公网IP 私网IP 直接拦截流量。 快速拦截已识别的安全威胁，适用于已知恶意流量数据的情况。 通过添加黑白名单拦截/放行流量 白名单 五元组 IP地址组 公网IP 私网IP 流量被云防火墙放行，不再经过其它功能检测。 快速放行可信流量，适用于明确可信IP地址的情况。 通过添加黑白名单拦截/放行流量

本节介绍了DDoS高防（边缘云版）的各个计费项的详细规格及说明。 天翼云DDoS 高防（边缘云版）提供三个计费项可供选择：套餐、扩展服务、弹性防护。其中，套餐计费的保底防护带宽、CC防护能力、业务带宽和接入域名数为包年包月预付费，在套餐的基础上可以叠加购买扩展服务，和套餐一样，扩展服务也是包年包月预付费；弹性防护带宽为按需后付费，按天结算。 计费项 描述 说明 :: 套餐 按照购买的套餐进行计费 套餐为预付费，套餐为基础费用，套餐失效则扩展服务均失效 扩展服务 根据购买的扩展功能进行计费，包含域名数、端口数、业务带宽、缓存功能 扩展服务为预付费，套餐失效则扩展服务均失效 弹性防护 按照业务需求购买弹性防护峰值，包含防护带宽、CC防护 按需后付费，根据超出保底带宽的部分产生后按照超出部分所属阶梯价格付费（按天收费），防护超过选定的最高防护带宽，则通过解析回源，2小时后自动解封 套餐含安全保底业务带宽、接入域名数等，按月付费。如果保底业务带宽不能满足需求，可以购扩展带宽，当带宽超出购买套餐+扩展带宽时，会进行域名限速。 建议您根据业务系统可能会遭受的攻击量级或者历史被攻击情况的数据等因素，进行DDoS高防（边缘云版）的选配。

退订 购买漏洞扫描服务的扫描配额包后，如需停止使用，请到费用中心>订单管理>退订管理页面，选择对应的订单进行退订操作。 续费 扫描配额包到期后，您可以进行续费以延长扫描配额包的有效期，也可以设置到期自动续费。 到期与欠费 包周期资源开通成功后，如果没有按时续费，平台会提供一定的保留期。 欠费后，可以查看欠费详情。为防止相关资源不被停止或者释放，请及时进行充值，帐号将进入欠费状态，需要在约定时间内支付欠款。

本节介绍云容器引擎的最佳实践:操作系统升级。 操作系统升级指允许对集群中的工作节点进行操作系统版本升级。 升级方式 开通新集群 新建节点池并扩容 更换节点池操作系统 使用须知 通过更换节点池操作系统方式来升级操作系统采用节点重置方式实现，节点重置有关注意事项如下： 重置节点将对节点操作系统进行重置安装，节点上已运行的工作负载业务将会中断，请在业务低峰期操作。 节点重置后系统盘，挂载kubelet、containerd的数据盘将会被清空，重置前请事先备份重要数据。 用户节点如果有自行挂载了数据盘，重置完后会清除挂载信息，请事先备份重要数据，重置完成后请重新执行挂载行为，数据不会丢失。 节点上的工作负载实例的IP会发生变化，但是不影响容器网络通信。 操作过程中，后台会把当前节点设置为不可调度状态。 节点重置会清除用户单独添加的K8S标签和污点（通过节点池编辑功能添加的标签、污点不会丢失），可能导致与节点有绑定关系的资源（本地存储，指定调度节点的负载等）无法正常使用。请谨慎操作，避免对运行中的业务造成影响。 重置节点会导致与节点关联的localpv类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。重置节点时使用了本地持久存储卷的Pod会从重置的节点上驱逐，并重新创建Pod，Pod会一直处于 pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为PVC对应的底层逻辑卷已经不存在了。 重置节点使用的相关配置是节点所在节点池的最新配置。 更多升级节点池和节点重置相关内容请参见升级节点池 、节点重置。

本文主要介绍了申请发票的常见问题。 购买按需付费的产品什么时候能开发票？ 按需付费次月出账后可申请开票。 开票时提示超出单张限额？ 普票单张不能超过十万，自行开票不超过十万即可，专票是可以超过十万的。 企业实名认证的账号是否可以开具其它企业抬头的普通发票？ 不可以。实名认证为企业的客户，创建企业抬头的发票模板时， 发票抬头必须和实名认证名称保持一致，否则只能通过重新实名认证进行修改。 可开具的发票条目有哪些？ 云主机服务费、数据服务费、云业务服务费、服务费、技术服务费、云备份服务费、CDN服务费、IDC服务费、云加速服务费、云存储服务费、信息服务费、广告发布费、广告费、云资源技术服务费、天翼云资源技术服务、查询费、云资源服务费、域名服务费。 现金充值后，能否开具发票？ 不能，发票开具额度只与已完成的订单金额有关。 开具发票注意事项有哪些？ 增值税发票仅面向中国大陆客户，港澳台及海外企业客户无法开具此类发票。 实名认证为个人或企业的客户，均可以创建增值税普通发票模板，实名认证为企业的客户还可创建增值税专用发票模板。 实名认证为企业的客户，创建企业抬头的发票模板时，发票抬头必须和实名认证名称保持一致，否则只能通过重新实名认证进行修改。创建个人抬头的发票模板时，发票抬头可以手动设置，支持修改。 实名认证为个人的客户，创建发票模板时，发票抬头可以手动设置，支持修改。 代金券消费不纳入可开票金额。 月产生的按需产品账单在下个月3日后才可以索取发票。 账号每个月可进行5次发票申请操作（含退票），超过则无法操作。 企业账号类型是政府、军队、事业单位、社团团体、其他，发票不允许开增值税专用发票。

背景说明 支持实时监测应用程序的文件外发行为，助力事后溯源取证。 注意 客户端版本：支持Windows客户端，需为2.25.10及以上客户端。 套餐版本：已订购终端管理企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开数据安全并点击【文件外发审计】，查看外发审计策略和审计日志相关内容。 外发审计策略 1. 外发审计策略列表主要展示已配置的审计策略详情，含策略名称、管控范围、外发通道、管控动作、管控事件、策略状态、编辑/新增时间等字段信息，支持通过 “策略名称、管控动作、策略状态、时间范围” 搜素或筛选已有的审计策略。 2. 支持对审计策略做 “详情、编辑、删除” 操作。 新增策略 1. 点击【新增策略】支持添加外发审计策略。 1. 当前仅支持针对 AI 应用客户端进行文件外发审计：Kimi 智能助手、AnythingLLM、豆包、腾讯元宝、Cici、智谱清言、Poe、讯飞星火、问小白、夸克、纳米 AI、Cursor、Chatbox、Canva、Cherry Studio、ima.copilot、Trae、通义、办公小浣熊、Windsurf、Warp、JoyCode、墨刀、讯飞绘文、讯飞文书、新华妙笔。 审计日志 1. 外发审计策略下发后，如客户端命中策略，则对应日志会上报到管理平台。 1. 点击【详情】查看日志详情信息。

本文介绍VPN网关相关问题。 如何选择VPN连接的数量？ IPsec VPN连接的数量通常与用户本地数据中心的数量有关，每条IPsec VPN连接可以打通当前云上资源与企业的一个数据中心网络。请用户在购买包周期VPN网关时，根据规划连通的数据中心数量选择合适的IPsec VPN连接数。 SSL VPN连接数量与配置的客户端数量有关，每个SSL VPN连接数可以允许一个客户端接入访问云上资源。考虑到同时在线的客户端数量小于已配置的客户端数量，SSL VPN连接数可以小于配置的客户端数量。请用户在购买时候根据规划选择合适的SSL VPN连接数。 VPN网关是否可以自动建立连接？ 触发IPsec连接建立的方式有两种，一种是“立即协商”，即通过建立IPsec VPN连接的网关设备之间自动触发协商；另一种是“流量触发”，即通过云上云下主机间的交互流量触发。 VPN网关在完成两侧配置后，如果协商生效选择了“立即协商”，则会自动触发建立连接；如果协商生效选择了“流量触发”，则不会自行建立连接，需要由两侧主机间的数据流来触发协商。如果云上与用户侧数据中心没有交互数据流，IPsec VPN的连接状态会一直处于“第一阶段协商未成功”状态。所谓的数据流，可以是真实的业务访问数据，也可以是主机间ping测数据。 推荐您在首次建立连接时，分别验证两侧的交互数据流均可触发建立连接。即用户侧数据中心主机ping云上主机可触发连接建立，然后断开连接，确认云上主机ping用户侧数据中心主机亦可触发连接建立。ping包的源地址、目的地址需要处于IPsec VPN保护的范围内。在创建IPsec连接之后，用户侧VPN网关才能ping通云上VPN网关，但是ping网关IP并不能触发VPN连接的建立。

本文介绍了如何配置RDSPostgreSQL安全组。 RDSPostgreSQL开通后，您连接访问前需要对实例进行安全组相关设置，具体指引如下： 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和RDSPostgreSQL实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用RDSPostgreSQL实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDSPostgreSQL实例时，需要为RDSPostgreSQL所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和RDSPostgreSQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当RDSPostgreSQL实例加入该安全组后，即受到这些访问规则的保护。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的RDSPostgreSQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的RDSPostgreSQL实例。 操作步骤 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“华东1”。 3. 在页面中找到【网络】>【虚拟私有云】，并点击进入。 4. 在左侧导航树选择“访问控制 > 安全组”。 5. 在安全组界面，单击“安全组名称”列对应的安全组，进入安全组详情界面。 6. 根据实际情况，选择“入方向规则”或者“出方向规则”。 7. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 8. 根据界面提示配置安全组规则。 9. 单击“确定”。

本节介绍了弹性云主机数据库应用类相关问题。 弹性云主机上是否可以搭建数据库？ 可以，我们不限制。您可以安装任何类型的数据库。 弹性云主机是否支持Oracle数据库？ 支持，但是我们建议您在正式使用前，先做性能测试看是否能满足您的需要。

本节介绍如何在堡垒机v1.0中进行Syslog日志外发配置。 前提条件 已购买堡垒机v1.0资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“堡垒机 > 堡垒机v1.0”，在目标资源右侧操作列单击“配置”，进入堡垒机系统。 2. 选择“管理控制台”，在导航栏选择“系统 > 服务管理 > 日志外送”。 3. 将“状态”开关打开，并配置“发送者标识”，“服务器地址+端口地址”，“发送数据”。 发送者标识：根据需求自定义填写。 服务器地址+端口地址：输入外发目的地址，可配置多个。 发送数据：默认勾选全部，可根据需求自定义勾选。 4. 配置完成后，单击“发送测试数据”，确保数据可以正常外发后，单击“保存”，完成配置。

介绍分布式缓存服务Redis版的到期与欠费规则 到期前续费 手动续订：对于包年/包月订购的分布式缓存服务，用户在资源到期前进行续费操作，可以延长原有资源到期时间，避免资源到期后冻结或超过保留期后被系统回收。详细操作请参考费用中心续订管理手动续订。 自动续订：自动续订仅针对采用包月、包年计费模式的资源，详细操作请参考费用中心续订管理自动续订。 到期处理 到期后，分布式缓存服务进入保留期，您将不能正常访问及使用天翼云分布式缓存服务Redis版，但对于您存储在分布式缓存服务中的数据予以保留。 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用； 若到期15天后您仍未续费，存储在分布式缓存服务中的数据将被删除 欠费原因 在按需计费的模式下帐号的余额不足。 欠费停服说明 欠费后分布式缓存服务Redis版服务会自动停止。 您所占用的存储空间资源仍会继续扣费，因此欠费余额会累计。 如果您在15天内充值补足欠款，服务会自动启用。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云分布式缓存服务Redis版的全部数据将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 若您确认不再使用分布式缓存服务Redis版，请务必及时删除存储于分布式缓存服务Redis版上的数据。

查看压缩任务 1. 查看任务详情：在任务列表点击任务名称，进入详情页面，可查看任务配置及任务日志。 2. 操作：可在列表操作列中点击【详情】以查看任务详情，点击【停止】以停止任务。 3. 获取压缩结果：压缩任务运行完成后，压缩后的模型会自动保存到用户指定的模型管理中的位置。可以通过开发机挂载模型、或者下载模型来查看模型文件本身。压缩后的模型可以直接通过我的服务进行服务部署，部署为推理效果更优的大模型服务。

本文将为您介绍伸缩策略的概念及使用限制。 伸缩策略是弹性伸缩实现动态扩缩容的重要机制。通过伸缩策略，可定义自动伸缩活动的触发条件、执行的伸缩任务，从而实现自动扩缩容。 使用限制 一个伸缩组最多可以创建10个伸缩策略。 若伸缩策略设置了冷却时间300s，则当策略触发后，300s内不会再次执行同一伸缩策略。 当一个伸缩组拥有多个伸缩策略时，若多个伸缩策略之间互不冲突，后续实例只要满足策略条件，均会触发伸缩活动。 伸缩策略执行后伸缩组将会自动增加或减少云主机实例，但是伸缩组内的实例数不会超过最大实例数和最小实例数的范围，若超过最大实例数，会按照实例移除规则自动移除组内实例，若小于最小实例数将会自动增加实例。 伸缩策略 伸缩策略用于定义伸缩活动的触发模式、触发条件和触发动作。伸缩策略支持以下6种类型：告警策略、定时策略、周期策略、目标追踪策略、智能预测策略、简单策略。 告警策略：通过对伸缩组内实例性能指标（CPU使用率、内存使用率等）的监控，来确认其是否到达预设的告警条件，来自动增加或减少云主机的数量。 定时策略：根据业务实际情况设置一个时间点，在此时间点自动增加或减少云主机的数量。 周期策略：根据业务实际情况设置一个时间段，在此时间段内按照周期（按天、按周、按月）来重复执行自动增减云主机的数量。 目标追踪策略：根据业务选择一个监控指标并设置监控指标的目标值，弹性伸缩会根据目标值自动进行扩缩容活动，使伸缩组监控指标始终维持在目标值上下。 智能预测策略：通过分析伸缩组历史监控数据，利用算法预测未来48小时的监控指标值变化趋势，并根据预测值自动增加或减少云主机的数量，减少人工运维成本。 简单策略：可手动执行的伸缩策略，便于快速执行增加或减少云主机数量。

适用于备份整数据库文件过大，而其中只有部分库表较为重要，只需要备份部分库表的用户。库表备份将会占用更少的备份空间，并提供自动库表备份和手动库表备份两种方式。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 如选择库表备份则不允许开启高频增量备份。 不支持备份名称包含特殊字符（英文、数字、下划线除外）的库表，如需备份，请先更改名称。 库表备份集文件仅作于库表恢复。不支持直接拿备份集文件恢复到其他实例。 操作步骤 自动库表备份 如果需要系统自动库表备份，按照指定的周期进行备份，按照如下步骤进行设置。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表 页签，然后单击备份策略页签。 5. 单击基础备份策略右侧的编辑图标。 6. 在基础备份策略 面板中，设置备份方式 为库表备份，然后配置基础备份参数和待备份的库表。 7. 单击确定。 将会按照所设置的库表备份策略进行自动备份。

本节介绍云容器引擎的最佳实践:使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统一定能通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

Pytorch安全风险通告,请用户务必关注! 近日，监测到PyTorch存在远程代码执行漏洞（CVE202532434）,当使用 torch.load 加载模型且weightsonlyTrue时，攻击者可以利用此漏洞在目标机器上执行任意命令，可能导致数据泄露、系统入侵，甚至在云托管的AI环境中进行横向移动。 在科研助手中使用Pytorch版本小于2.6.0的客户，请勿下载并使用Pytorch加载非官方发布的模型文件，确保模型来源安全。如下载了带恶意代码的模型，开发机会被攻击者控制、勒索、窃取文件等，为了您的数据安全请使用最新版的Pytorch（公共框架中已提供）或不加载从互联网下载的模型文件。

本文介绍如何在控制台创建项目空间。 概述 项目空间是应用托管的顶层概念，为企业和团队提供统一的资源管控及人员权限管理能力，同时可用于不同环境的资源隔离，支持灵活资源分配与团队协作。资源创建后不支持更改其所属的项目空间，请提前做好规划。 使用说明 项目空间内创建的资源归属项目空间所属人，项目成员仅作为空间的操作员。 角色定义 为满足团队管理的需求，应用通过预定义了以下多种系统角色，以便团队根据分工为成员分配合适的角色： 管理员：项目空间所属人，拥有空间所有权限，包括增删工作空间。 项目管理员：拥有空间所有权限，不可删除空间。 资产管理员：拥有项目资产管理的全部权限。 项目成员：拥有应用实例管理全部权限。 访客：可查看项目资产信息，但不可操作。 操作步骤 1. 登录应用托管控制台，在左侧导航栏单击【资产】>【项目空间】，点击【创建项目空间】按钮。 说明 租户首次使用应用托管控制台，平台会自动为用户创建默认空间并初始化。 若项目空间初始化失败导致服务不可用，请刷新页面或重新进入应用托管控制台。 2. 填写基础信息：项目空间名称、描述。 说明 项目空间名称具有租户下唯一性，同一个租户下不可创建同名项目空间。 项目空间ID由平台自动生成，项目空间ID全局唯一，不可修改。 3. 完成表单填写后，点击【确认】按钮，完成项目空间创建。 4. 您可在项目空间栏目查看您创建或已加入的项目空间，并对项目空间进行管理。 5. 点击目标项目空间操作栏的【编辑】按钮，可对项目空间进行管理。支持开启“允许自主申请加入空间”，其他用户可通过项目空间ID搜索加入空间。

本节介绍了什么是磁盘模式、SCSI磁盘的常见使用场景和建议、使用SCSI类型磁盘需要安装驱动吗。 什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云主机操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。 SCSI磁盘的常见使用场景和建议 SCSI磁盘：物理机仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云主机组的反亲和性一同使用，SCSI锁才会生效，关于更多共享盘的内容，请参见共享云硬盘及使用方法。

天翼云为您提供对象存储服务等级协议,请您点击查看。 自2021年11月11日起，新版对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）

本节为您介绍云迁移服务CMS中数据库迁移工具迁移前的准备工作,包括账号注册认证、账户余额确认、迁移网络打通等。 1.使用或注册天翼云账号。 2.确认源端数据库或目标端是否满足数据库类型要求。 需对数据库迁移工具支持迁移的迁移源数据库类型及版本做确认，具体请见数据库迁移兼容性列表。 迁移网络打通 迁移节点 迁移节点所在云主机需要能正常访问源数据库、目标数据库、CMS控制台，建议出方向安全组不作限制。 迁移节点若使用弹性IP连接，需要提前购买和配置正确的EIP。 迁移节点默认端口为18080，因此迁移节点所在云主机需开放TCP的18080端口，以便CMS控制台下发任务。未执行任务时，建议及时关闭18080端口。 源数据库 若使用弹性IP连接，源数据库需要提前购买和配置正确的EIP。 源数据库安全组需开放数据库端口，建议将数据库端口的入方向IP限制为迁移节点所在云主机IP。 目标数据库 若使用弹性IP连接，目标数据库需要提前购买和配置正确的EIP。 目标数据库安全组需开放数据库端口，建议将数据库端口的入方向IP限制为迁移节点所在云主机IP。

分布式系统异步通信场景 在单体或传统大型单机应用场景中，系统涉及模块众多，接口调用错综繁杂，业务流程耦合导致系统对用户请求响应慢，可以通过将拆分子系统，并用消息队列作为子系统间的异步通信通道进行系统解耦，提升整个系统的响应速度。 数据同步和交换场景 在大中型分布式系统中，各个子系统数据需最终保持一致，比如金融业务场景，需要有可靠消息传递，能保证业务的连续性。分布式消息队列可用于子系统间的高可靠数据传递，实现两者之间数据同步和交换，降低实现难度和成本，并提供数据通道帮助触发其他的业务流程。 削峰填谷场景 在电子商务系统或大型网站，比如大型电商场景，通常会涉及到订单、支付和通知等等场景的业务处理，系统上下游处理能力存在差异，当处理能力高的系统上游突发请求超过系统下游处理能力时，系统对外呈现的服务能力为0。此时可以通过队列服务堆积请求消息，对请求消息实现削峰填谷，错峰处理，避免下游因突发流量崩溃。

本节介绍天翼云手机（政企版）管理操作流程 操作场景 您可以对已开通天翼云手机（政企版）进行重命名、开机、关机、重启、重装、规格变更、系统盘扩容、锁定、续订、用户解绑、用户绑定、退订、切换vpc、设置IP和Mac等操作。 管理云手机 1.登录“云手机”控制台； 2.点击“云手机管理”，进入“云手机管理”页面； 3.在需要重命名云手机所在行，点击云手机名称，弹出“云手机名称修改”对话框，可进行云手机名称的修改。 4.在需要进行远程操作的云手机所在行，点击“操作”，可对云手机进行“开机/关机/重启/重装”操作； 5.在需要进行管理的云手机所在行，点击“管理”，可对云手机进行“规格变更/系统盘扩容/锁定/续订/退订/用户解绑/用户绑定”等操作。 注意：由于退订操作会导致云手机资源回收和云手机系统盘清理，云手机数据将无法恢复，因此，在退订前请您做好数据备份工作。 规格变更 1.进入“云手机”控制台； 2.点击“云手机管理”，进入“云手机管理”页面； 3.在需要变更规格的云手机所在行，点击“管理”，点击“规格变更”操作，进入“规格变更”页面； 4.根据需求选择需要变更的规格； 5.点击“立即订购”，支付成功后，即完成云手机的规格变更。 系统盘扩容 1.进入“云手机”控制台； 2.点击“云手机管理”，进入“云手机管理”页面； 3.在需要变更规格的云手机所在行，点击“管理”，点击“系统盘扩容”操作，进入“系统盘扩容”页面； 4.根据需求选择扩容的容量； 5.点击“立即订购”，支付成功后，即完成云手机的系统盘扩容。

本节介绍了如何通过云日志服务管理云数据库GaussDB 的审计日志。 操作场景 配置访问日志后，云数据库GaussDB 实例新生成的审计日志记录会上传到云日志服务（Log Tank Service，简称CTLTS）进行管理。您可以查看云数据库GaussDB 实例审计日志的详细信息，包括搜索日志、日志可视化、下载日志和查看实时日志等功能。 配置单个实例访问日志：添加单个实例的LTS配置。 解除单个实例访问日志：解除单个实例的LTS配置。 使用须知 当前只提供主备版实例，并且数据库引擎需要为2.1.0及以上版本。 访问日志提供了实例所请求的所有详细日志，日志存在LTS云日志服务中。 配置完成后，日志不会立即上传，需要等待10分钟左右才可以在LTS服务上查询审计日志。 在您进行LTS审计日志配置后，会默认上传当前实例的所有审计策略到LTS服务。 配置单个实例访问日志 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库GaussDB ”，进入云数据库GaussDB 页面。 步骤 4 在左侧导航树，单击“实例管理”。 步骤 5 在右边列表点击实例名称，进入实例详情。 步骤 6 在实例详情的左侧导航树里，单击“审计日志”。 步骤 7 在右边页面中找到“开启上传审计日志到LTS”, 单击相邻右侧。 步骤 8 在弹框中，选择“日志组”和“日志流”。 配置LTS参数 步骤 9 单击“保存”。