此小节介绍企业主机安全资产管理。 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动项，并对账号信息和软件信息的变动情况进行记录。 通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 检测周期 账号信息管理、开放端口检测：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程信息管理、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看主机中的资产信息 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、进入“资产管理”页面，选择不同页签，查看HSS检测到的您服务器上的所有资产。 进入资产管理页面 账号信息管理 历史变动状态说明： 变动状态：新建（新建了账号）、删除（删除了账号）、修改（修改了账号名、管理员权限或用户组等信息）。 发生变动时间：由于为周期收集，变动记录的时间是获取到改动的时间，非真实发生的时间。 根据实时账号数据和历史变动记录，您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号，或者发现有超级权限的账号（拥有root权限），需要排查这些账号是否是正常业务使用，如果不是则建议删除多余账号或者修改账号的权限，避免账号被黑客利用。

本文为您介绍如何在轻量型云主机详情页创建云硬盘快照。 操作场景 云硬盘快照是一种数据备份方式，云硬盘快照可以备份或者恢复整个云硬盘的数据，常用于数据备份、制作镜像、应用容灾等场景。在回滚云硬盘、更换操作系统、数据迁移等重要操作之前，您可以提前创建快照，从而保存指定时刻的云硬盘数据，提高操作的容错率。 约束限制 未过期的云硬盘可以在任何状态下创建快照。 每台轻量型云主机最大支持创建3个免费快照。 单用户(UID)免费快照数量上限为已创建实例数乘以3，单用户的全部轻量型云主机最多不超过15个快照。 如果服务器到期释放，该服务器对应的快照会被清除。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择华北2。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5. 单击“云硬盘”页签，可以看到当前轻量型云主机的云硬盘信息。 6. 在云硬盘列表找到需要创建快照的云硬盘，单击“操作”栏中的“创建快照”。 7. 在弹出的“创建云硬盘快照”弹窗中输入快照名称。 说明 快照名称不能使用中文,且长度为263字符。 8. 确认快照信息无误后单击“确定”完成云盘快照创建。 9. 创建完成后您可以在“快照”页签看到创建成功的快照。

本章节介绍注册配置中心子产品相关名词解释 Nacos 集群 集群指提供一定分布式协同能力的一组服务所需要的云资源组合，关联了若干云服务器节点、负载均衡等云资源。您可以理解为集群是“同一个子网中一个或多个弹性云服务器（又称：节点）”，通过相关技术组合而成的计算机群体，为容器运行提供了计算资源池。 节点 每一个节点对应一台服务器（可以是虚拟机实例或者物理服务器），实例运行在节点上。集群中的节点数量可以伸缩，可以调整机器规格。 命名空间 用于进行租户粒度的配置隔离。不同的命名空间下，可以存在相同的 Group 或 Data ID 的配置。Namespace 的常用场景之一是不同环境的配置的区分隔离，例如开发测试环境和生产环境的资源（如配置、服务）隔离等。 配置 在系统开发过程中，开发者通常会将一些需要变更的参数、变量等从代码中分离出来独立管理，以独立的配置文件的形式存在。目的是让静态的系统工件或者交付物（如 WAR，JAR 包等）更好地和实际的物理运行环境进行适配。配置管理一般包含在系统部署的过程中，由系统管理员或者运维人员完成。配置变更是调整系统运行时的行为的有效手段。 服务 通过预定义接口网络访问的提供给客户端的软件功能。 服务发现 在计算机网络上，（通常使用服务名）对服务下的实例的地址和元数据进行探测，并以预先定义的接口提供给客户端进行查询。

本节为您介绍准备CMSSMS迁移环境的相关步骤。 开通目标端云主机 1. 在控制中心切换到目标端所在资源池，点击弹性云主机。 2. 点击创建云主机。 3. 按照规划输入基础配置。 付费方式：按量付费 地域：福建福州25 实例名称：cmssms 主机名称：cmssms 规格：8核16G 镜像类型：公共镜像 镜像：CMSPELINUXV2mini(2GB) 存储：系统盘40G 购买数量：1 说明 规格：在使用 CMSSMS 迁移工具进行迁移时，建议目标机与源机的配置尽量保持一致。为了确保迁移程序的正常运行，源端主机应预留约 12GB 的内存用于迁移程序的占用。本文中源端主机的规格为 8 核 16GB 内存，因此目标主机选取相同规格的配置进行开通。 镜像：源机为Ubuntu操作系统，属于Linux类型的操作系统，此处目标机镜像选择“CMSPELINUXV2mini(2GB)”即可。 4. 配置完成，单击下一步：网络配置。 网卡：defaultnetwork(10.0.0.0/24) 内网IP地址（IPV4）：自动分配内网Ipv4地址 安全组：default安全组 弹性IP：自动分配 IP版本： Ipv4 宽带：10M 5. 配置完成，单击下一步：高级配置。 登录方式：密码 创建密码：立即创建 6. 配置完成，单击下一步：确认配置后，单击立即购买。

本节为您介绍准备CMSSMS迁移环境的相关步骤。 开通目标端云主机 1. 在控制中心切换到目标端所在资源池，点击弹性云主机。 2. 点击创建云主机。 3. 按照规划输入基础配置。 付费方式：按量付费 地域：福建福州25 实例名称：cmssms 主机名称：cmssms 规格：8核16G 镜像类型：公共镜像 镜像：CMSPELINUXV2mini(2GB) 存储：系统盘40G 购买数量：1 说明 规格：在使用 CMSSMS 迁移工具进行迁移时，建议目标机与源机的配置尽量保持一致。为了确保迁移程序的正常运行，源端主机应预留约 12GB 的内存用于迁移程序的占用。本文中源端主机的规格为 8 核 16GB 内存，因此目标主机选取相同规格的配置进行开通。 镜像：源机为Ubuntu操作系统，属于Linux类型的操作系统，此处目标机镜像选择“CMSPELINUXV2mini(2GB)”即可。 4. 配置完成，单击下一步：网络配置。 网卡：defaultnetwork(10.0.0.0/24) 内网IP地址（IPV4）：自动分配内网Ipv4地址 安全组：default安全组 弹性IP：自动分配 IP版本： Ipv4 宽带：10M 5. 配置完成，单击下一步：高级配置。 登录方式：密码 创建密码：立即创建 6. 配置完成，单击下一步：确认配置后，单击立即购买。

规则管理页面是大模型安全卫士的核心配置模块，用于管理各种分类的安全检测规则。该页面提供规则库的统计概览、规则列表管理、规则创建和编辑等功能。 说明 默认内置规则库，包含有敏感词、敏感话题、提示词模板，可以新增自定义的规则，对于自定义规则支持编辑、删除和禁用敏感，而内置规则不支持这些操作。 功能介绍 规则库统计：显示规则总数、分类统计、版本信息等。 规则列表管理：支持多种规则类型的查询、筛选和管理。 规则创建：支持关键词、语义话题、模型推理三种规则类型。 规则编辑：修改现有规则的内容和配置。 规则状态管理：启用/禁用规则。 误报处理：解除误报规则。 查看统计概览 规则库统计卡片：显示规则总数、内置规则数、自定义规则数 分类统计：显示各类规则的详细统计信息 版本信息：显示规则库版本和更新时间 查看规则列表 搜索和筛选功能： 关键词搜索：支持搜索规则内容 规则类型筛选：关键词、语义、提示词 来源筛选：系统内置、自定义 状态筛选：已启用、已禁用 规则数据表格：显示规则详细信息 批量操作：批量删除、批量编辑

对等连接支持创建同账号对等连接连通同账号的两个VPC,本文帮助您快速熟悉如何创建同账号对等连接。 操作场景 当遇到不同VPC之间网络需要互通的情况时，您可以通过创建对等连接来实现同一资源池不同VPC之间的连通。同账户内同资源池VPC创建对等连接，默认自动接受。 约束与限制 两个VPC之间只能建立一个对等连接。 对等连接只能在同一资源池VPC之间建立，不支持跨资源池的对等连接。 要实现不同资源池VPC内网互通，可以使用云间高速。 在配置对等连接时，如果本端VPC和对端VPC存在网段重叠，可能出现在VPC中部分或全部子网不能通过对等连接互通的情况。具体请参考对等连接使用示例。 前提条件 已分别创建同一资源池内的两个VPC。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”。 参数 说明 选择本端VPC 名称 对等连接名称，由汉字、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接。 此处选择当前账户。 选择对端VPC 对端VPC 对端VPC：显示已选择的对端VPC，可在下拉框中选择。 选择对端VPC 对端VPC网段 显示对端VPC网段。 对端VPC网段选择的子网网段不能和本端VPC的子网网段相同或有重叠网段，否则对等连接路由可能无法连通。 6. 配置完成后，点击“确定”。

能力项 天翼AI云电脑（政企版） 目标客群 企业群体 管理台功能 是否有管理台 有 管理台功能 自定义组网 支持企业灵活组网，对接企业内部应用系统，更安全 管理台功能 账户体系 1. 支持企业管理员创建并分配账号，该账号无需二次激活自动开通； 管理台功能 账户体系 2. 支持企业普通用户邮箱激活账号、手机激活账号 管理台功能 账户层级管理 1. 支持主子账号管理能力 管理台功能 账户层级管理 2. 支持按部门管理、角色管理、用户管理 实例订购方式 实例订购方式 资源包、单实例 实例订购方式 实例时长限制 不限时长 实例订购方式 带宽提供方式 需单独开通带宽，管理员统一分配带宽 镜像能力 标准镜像 Windows Server 2019 镜像能力 标准镜像 Windows Server 2016 镜像能力 标准镜像 Windows Server 2008 镜像能力 标准镜像 Centos 7.6 镜像能力 标准镜像 Ubuntu 18.04 镜像能力 标准镜像 UOS V20 镜像能力 自定义镜像 支持 增值功能 应用分发，文件加密，备份等增值服务 AI云电脑使用 终端支持能力 1. 移动端（手机/iPad）：默认支持 AI云电脑使用 终端支持能力 2. PC端（Windows/MAC）：默认支持 AI云电脑使用 终端支持能力 3. 瘦终端（Android/Windows/Linux）：默认支持 AI云电脑使用 App 提供天翼AI云电脑App，用户登录后可看到名下所有AI云电脑实例

本文介绍如何删除服务组。 服务组是多个端口的集合。通过使用服务组，可帮助您便捷防御高危端口，有效应对需要重复编辑访问规则的场景，并且方便管理这些访问规则。 操作步骤 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“访问控制>服务组管理”，进入“服务组管理”界面。 4.在待删除的服务组所在行的“操作”列，单击“删除”。 5.在弹出的“删除服务组”界面，确认删除的信息无误后，单击“是”，完成删除。 注意 删除服务组后无法恢复，请谨慎操作。

对云原生网关的多种路由匹配规则进行说明 概述 云原生网关支持多种路由匹配规则。彼此之间可以相互组合，路由将会根据所有条件进行“与”的关系匹配。 基于域名的匹配 支持根据请求的域名进行匹配，支持绑定多个域名。也支持类似.ctyun.com的泛域名。 基于路径的匹配 路径匹配支持精确匹配和前缀匹配模式，云原生网关会优先尝试精确匹配，若无法命中精确匹配，再尝试前缀匹配。 精确匹配 完整匹配给定的路径，如/foo/bar匹配请求路径为/foo/bar的请求。 前缀匹配 末尾使用''代表使用前缀匹配，如/foo/bar/匹配/foo/bar、/foo/bar/baz、/foo/bar/a/b/c等请求。 基于请求方法的匹配 支持根据HTTP请求方法的匹配，例如GET、POST、PUT、DELETE等。可绑定多种请求方法。 基于请求头的匹配 支持根据HTTP请求头进行匹配。多个请求头之间是“与”的匹配关系。 基于请求参数的匹配 支持URL参数进行匹配。多个参数之间是“与”的匹配关系。 基于Cookie的匹配 支持Cookie进行匹配。多个Cookie之间是“与”的匹配关系。 基于参数规整化的匹配 支持从Header、Query或者Cookie中获取参数，可以进一步对参数求哈希值（Java String hashCode方法）、取模等；对于运算的结果支持匹配一组枚举值或者范围；该种匹配方式可用于实现多活容灾路由等场景。

操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需变更规格的实例，单击“更多 > 关闭实例”，待实例状态变更为“已关机”后，单击“更多 > 变更规格”，跳转到“变更规格”页面。 4. 选择需变更的规格，可以变更“版本”、“资产规格”、“存储扩容”。 说明 版本/资产规格、存储扩容不可同时进行，每次仅能选择其中一项升级。 5. 阅读并同意相关协议后，单击“提交订单”。在订单详情页面根据提示完成支付。 后台自动进行变更规格操作，实例状态更新为“变配中”，整个变更规格过程需10分钟左右。 6. 变更完成后，实例状态恢复为“已关机”。单击“启动”，启动实例。 待实例运行状态变为“运行中”，即可正常使用云堡垒机。

本节介绍了云容器引擎的价格。 云容器引擎资费 一套云容器引擎集群资费包括：集群管理、计算资源、存储资源、负载均衡资源等。 一、以专有版容器集群为例： 必选项： 集群管理费0元、Master节点、Master节点系统盘、节点池节点、节点池系统盘、节点池节点数据盘、负载均衡ELB（用于内网 API Server绑定使用）。 可选项 ：NAT网关（用于Pod访问外网）、EIP（用于外网 API server绑定使用）、Ingress的ELB及EIP、云日志服务、容器镜像服务企业版等。 二、以托管pro版（管理50节点）为例： 必选项： 集群管理费1263元、节点池节点、节点池系统盘、节点池节点数据盘、负载均衡ELB（用于内网 API Server绑定使用）。 可选项 ：NAT网关（用于Pod访问外网）、EIP（用于外网 API server绑定使用）、Ingress的ELB及EIP、云日志服务、容器镜像服务企业版等。 容器集群管理费： 版本 计费项 计费方式 包月标准价格（元/月） 按需标准价格（元/小时） 专有版 集群管理 按需/包周期 0 0 托管版（单实例） 管理10节点 按需/包周期 0 0 托管版（高可用） 管理50节点 按需/包周期 1263 2.91 托管版（高可用） 管理200节点 按需/包周期 2400 5.64 托管版（高可用） 管理1000节点 按需/包周期 4671 11.07 托管版（高可用） 管理2000节点 按需/包周期 9780.9 20.93 容器集群管理费包一年预付费享受8.3折，包两年预付费享受7折，包三年预付费享受5折。 说明 托管版（单实例）建议个人学习用途，不承诺sla，不建议生产系统使用。

接入WAF对现有业务和服务器运行有影响吗？ 接入WAF不需要中断现有业务，不会影响源站服务器的运行状态，即不需要对源站服务站进行任何操作（例如关机或重启）。 仅放行通过WAF的访问请求，如何配置？ 您可以在源站服务器上配置只放行WAF回源IP的访问控制策略，即仅允许通过WAF的请求访问到源站，防止黑客获取源站IP后绕过WAF直接攻击源站，以确保源站安全、稳定、可用。 为什么Cookie中有HWWAFSESID或HWWAFSESTIME字段？ 防护域名/IP接入WAF后，WAF会在客户请求Cookie中插入HWWAFSESID，HWWAFSESTIME等字段，这些字段服务于WAF统计和安全特性，不影响用户业务。 网站部署了反向代理服务器，如何配置WAF？ 如果网站部署了反向代理服务器，网站接入WAF后不会影响反向代理服务器。接入WAF后，WAF作为一个反向代理部署在客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 使用WAF是否影响内网向外发送数据？ 使用WAF不会影响内网机器向外发送数据。网站成功接入WAF后，WAF对网站的HTTP(S)请求进行检测，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 源站IP地址服务器更换安全组后，在WAF中需要做更改吗？ 添加到WAF的域名/IP的源站IP地址服务器更换安全组后，在WAF中不需要做任何操作，但是需要在源站放行WAF的回源IP或者实例IP。

本章节为您介绍如何升级云堡垒机的实例版本。 新版本的云堡垒机对系统进行了功能优化或添加了新功能，请及时升级版本。 注意 在堡垒机升级至1.3.0版本后，需要卸载旧的访问插件，在“运维设置 > 访问插件”中下载最新版本插件进行安装。 堡垒机在升级失败后会自动回退版本。 前提条件 已获取管理控制台的登录账号与密码。 已绑定EIP，且EIP可用。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需变更升级的实例，单击所在行“操作”列中“更多 > 升级版本”，或单击实例名称旁的提示框中“升级”。 4. 在弹出的对话框中单击“确定”，堡垒机开始进行自动升级并且堡垒机的状态会变为“升级中”。 5. 待堡垒机状态变为“运行中”即表示升级已经结束，可正常使用堡垒机。

操作场景 您可以通过管理控制中心来创建密钥对。创建完成后，公钥将自动保存在系统中，而私钥则由用户保存在本地。 操作步骤 1. 登录控制中心。 2. 单击“左侧导航栏>服务列表”，选择"计算>弹性云主机"。 3. 在左侧导航栏，单击"SSH密钥对"，进入密钥对列表。 4. 单击右上角的"创建密钥对"按钮，输入“名称”并选择“企业项目”后点击“确定”按钮开始创建。 5. 创建密钥对成功后，弹窗会自动下载“XXXX.pem”密钥到本地。 注意 为保证云主机安全，私钥只能下载一次，私钥丢失后将无法登录云主机，请您妥善保管。 6. 返回SSH密钥对列表页，点击列表右上角的刷新按钮，查看SSH密钥对的创建情况。 相关操作 您可以通过“解绑密钥对”功能解绑密钥对。

说明如何快速使用云电竞服务。 快速注册步骤 1.您需要访问天翼云官网，注册并登录中国电信天翼云。 2. 鼠标悬停【产品】，在下拉选项中找到【CDN与边缘】，在右侧展开菜单中点击【云电竞】，跳转新页面后，点击【立即开通】完成云电竞的开通流程。 3.选择您所需要购买的服务内容，点击【确定】并完成支付流程。 4.访问云电竞控制台，获取您的客户端激活码并下载云电竞客户端【 Esports】。 5.启动云电竞客户端【Esports】，为该客户端命名后，输入您的天翼云账号及客户端激活码并点击【登录】即可使用，登录前，还可以进入设置界面，调整您所需要的画面参数。 账号与客户端激活码可通过控制台的订单查询页面获取 6.使用过程中，如果需要更换账号可同时按下 “ctrl+shift+alt+Q”返回本地电脑，点击右上角【设置】按钮，进入【管理员设置】，输入密码“Ctyunesports”，即可【重新注册】更换账号。

如何访问文件系统？ 文件系统可以通过以下几种方式进行访问： 云内通过内网访问文件系统，将文件系统挂载至归属相同VPC的云主机、容器或者物理机上，挂载成功后，可以在云主机、容器或者物理机上访问弹性文件系统，用户可以把弹性文件系统当作一个普通的目录来访问和使用，执行读取或写入操作。 云外通过云专线访问文件系统，可以通过云专线接入弹性文件服务，实现本地数据中心与弹性文件服务的网络互通。 为何无法使用showmount e ip 查看共享文件目录？ 基于安全因素考虑，目前已禁用该命令。您可以通过登录以下两种方式查看所有的文件系统： 方式一：通过弹性文件服务控制台查看。登录天翼云官网，点击“控制中心”，在“存储”模块下点击“弹性文件服务SFS Turbo”进入控制台列表页。 方式二：通过OpenAPI查看。使用查询租户已开通文件系统列表接口即可获取。 如何避免NFS 4.0监听端口被误认为木马? 问题描述： 在通过NFSv4.0协议挂载NAS文件系统后，会出现一个随机端口（0.0.0.0）被监听的情况，并且无法通过netstat命令确定监听端口所属的进程，这可能导致误判为文件传输受到木马攻击的情况。 问题原因： 该随机端口是NFSv4.0客户端为了支持Callback而监听的。由于内核参数fs.nfs.nfscallbacktcpport默认值为0，因此NFSv4.0客户端会随机选择一个端口进行监听，而这个随机端口本身并不会带来安全风险。 解决方案： 在挂载文件系统之前，您可以通过配置参数fs.nfs.nfscallbacktcpport来指定一个非零的确定值，以固定该监听端口。 命令如下： sudo sysctl fs.nfs.nfscallbacktcpport 请将上述命令中的替换 为您希望使用的具体端口号。通过上述操作，您可以固定NFSv4.0客户端的Callback监听端口，避免随机端口的出现，从而减少误判为木马攻击的可能性。

为满足数据的持久化需求，CCE支持将云硬盘挂载到容器中。通过云硬盘，可以将存储系统的远端文件目录挂载到容器中，数据卷中的数据将被永久保存，即使删除了容器，数据卷中的数据依然保存在存储系统中。 CCE挂载云硬盘存储卷 云硬盘存储说明 您可以像使用传统服务器硬盘一样，对挂载到服务器上的块存储（硬盘）做格式化、创建文件系统等操作。 数据不共享：每台服务器使用独立的块存储（硬盘），多服务器之间数据隔离。 私有网络：数据访问必须在数据中心内部网络中。 单卷容量有限（TB级），但性能极佳（IO读写时延ms级），主要面向数据库，企业办公应用等场景。 适用于供单实例部署的无状态负载（Deployment）和普通任务（Job），以及有状态工作负载（StatefulSet）的每个实例独占式使用。

接口功能介绍 此接口提供云搜索服务如何通过OpenAPI开通实例。 接口约束 1.选择多可用区后必须选择专属master节点 2.专属协调节点和冷数据节点，数量是选择的可用区整数倍 3.选择多可用区部署时需要选择资源池下所有的可用区（最多选择3个） 4.调用API请求参数时，参数需按请求体示例类型等要求传递 5.该接口暂不支持订购Logstash类型实例 URI POST /os/openapi/v1/order/new 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 availablezoneid 是 String 可用区ID，允许选择多个，选择多个时用逗号隔开 cnhuadong1jsnj1Apublicctcloud,cnhuadong1jsnj2Apublicctcloud,cnhuadong1jsnj3Apublicctcloud clustername 是 String 实例名称，由大小写字母、数字、下划线（）或连字符（）组成，且不以下划线（）或连字符（）开头，长度是132位 Test cyclecnt 是 Integer 订购周期，当cycletype为2时，取值范围是111；cycletype为3时，取值范围是15 1 paytype 是 Integer 付费类型 ，1：包年包月 1 cycletype 是 Integer 订购周期，2代表按月购买，3代表按年购买 2 regionid 是 String 资源池ID bb9fdb42056f11eda1610242ac110002 vpcid 是 String vpcId vpc8p9hpn4o8g subnetid 是 String 子网id subnetmp6a3hce8q securitygroupId 是 String 安全组id sgmkritasxrd enableipv6 是 String 开启IPv6：开启:OPEN 关闭:CLOSE OPEN componentpwd 是 String 组件密码 ，密码应为数字、大写字母、小写字母、特殊符号（@$!%

本地数据中心的什么设备可以建立IPsec VPN连接？ 设备型号多为路由器、防火墙等，天翼云的VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与天翼云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 IPsec VPN连接支持将两个VPC互连吗？ 支持将两个VPC互连。不仅可以实现天翼云不同区域资源池中VPC互通， 也可以连通其他云服务商的VPC网络（前提是对方也具备相同的VPN接入能力）。 为这两个VPC分别创建VPN网关，并为两个VPN网关创建用户网关和IPsec连接。将两个IPsec连接的用户网关设置为对方VPN网关的网关IP，将两个VPN连接的对端网段设置为对方VPC的网段，两个VPN连接的预共享密钥和算法参数需保持一致。 是否可以通过IPsec连接实现跨境访问国外网站？ 不可以。IPsec连接仅支持在中国境内实现将云上的VPC子网和用户侧数据中心的数据中心网络打通的场景。 如果您有跨境访问国外网站的需求，建议使用天翼云SDWAN产品的跨境能力。SDWAN是一种基于软件定义的广域网（WAN）技术，它可以提供更加灵活、智能和安全的网络连接服务。通过天翼云SDWAN的跨境能力，您可以在中国和国外之间建立一个安全的网络连接，实现跨境访问和数据传输。

本实践介绍通过IAM增强用户安全性的常见方法。 应用场景 通过配置子用户相关设置，实现访问控制管理，提升账号和数据安全。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体方法 创建独立的IAM子用户 一个账户可以建立多个子用户，您可以通过IAM为不同的操作人员创建独立的IAM子用户。根据操作人员的职能范围，授予相应的管理权限。同时建议您也为根用户创建子用户，并授予该子用户管理权限，使用该用户进行日常管理工作，保护账户安全。 控制台登录用户与编程用户分离 建议通过控制台登录用户与编程用户分离，以便更好的分配权限： 控制台登录用户：通过控制台登录的用户，只需设置控制台登录密码。 编程用户：通过API访问的用户，只需创建访问密钥。 分组进行授权 账户有多个用户时，通过用户组将用户进行分类，同类权限的用户分到一组。通过为用户组授权，使组内用户获取用户组具有的权限。 授予最小权限 建议您为IAM用户授予最小权限，您可以使用IAM用户制定策略，给IAM用户仅授予完成工作所需的权限，通过授予最小权限，可以帮您安全的控制IAM用户对OOS的管理。 为IAM用户配置强密码策略 通过IAM可以为控制台登录的用户设置强密码策略。例如密码最小长度、密码中必须包含元素、密码不与历史密码相同、强制定期更换密码等，确保用户使用复杂度高的强密码。 开启MFA认证 为IAM用户开启多因子认证（Multifactor authentication，MFA），提高账号的安全性，在用户名和密码之外再增加一层安全保护。

本文主要介绍物理机故障时,弹性云主机是否会自动恢复 弹性云主机在物理机故障时，可以自动恢复。 弹性云主机运行在物理机上，虽然提供了多种机制来保证系统的可靠性、容错能力和高可用性，但是，服务器的硬件、电源等部件仍有较小概率的损坏。如果物理设备的损坏导致物理机电源无法正常工作或重启，会导致CPU和内存数据丢失，无法进行热迁移来恢复弹性云主机。 云平台默认提供了自动恢复功能，以冷迁移的方式重启弹性云主机，使弹性云主机具备高可靠性和强大的动态迁移能力。当弹性云主机所在的硬件出现故障时，系统会自动将弹性云主机迁移至正常的物理机，保障您受到的影响最小，该过程会导致云主机重启。 您可以在云监控服务控制台为弹性云主机开启“一键告警”功能，以便在HA发生（弹性云主机所在的物理机出现故障，系统自动迁移弹性云主机至正常的物理机）时，及时获得通知。 说明 自动恢复功能不保证用户数据的一致性。 仅支持物理主机故障产生的弹性云主机自动恢复，弹性云主机本身故障当前不支持自动恢复。 弹性云主机所在的物理主机关机后，才能执行自动恢复。如果物理主机内存故障等因素导致物理主机未关机，则不能执行自动恢复。 对于同一弹性云主机，如果发生物理主机故障，12小时内仅允许1次自动恢复操作。 如下场景时，可能会引起自动恢复弹性云主机失败： 系统发生大规模故障，导致迁移弹性云主机前，找不到可用的物理主机。 迁移弹性云主机时，用于迁移的物理主机临时容量不足。 对于包含如下特殊资源的弹性云主机，暂不支持自动恢复功能： 本地盘

云硬盘存储 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 云存储 > 添加云存储”。 表 云硬盘存储 参数 说明 :: 云存储类型 选择“云硬盘”。 云硬盘的使用方式与传统服务器硬盘完全一致。同时，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点。适用于文件系统、数据库或者其他需要块存储设备的系统软件或工作负载。 分配方式 使用已有存储选择已创建的存储。自动分配存储自动创建存储，需要输入存储的容量。 1. 存储类型选择云硬盘时，需要先选择创建云硬盘的可用区。 2. 选择存储子类型。 高IO：指由SAS存储介质构成的云硬盘。 普通IO：指由SATA存储介质构成的云硬盘。 超高IO：指由SSD存储介质构成的云硬盘。 3. 输入存储容量，单位为GB。请不要超过存储容量配额，否则会创建失败。 添加容器挂载 设置“挂载路径”：输入数据卷挂载到应用上的路径。 3、单击“确定”。 文件存储 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 云存储 > 添加云存储”。 表 文件存储 参数 说明 :: 云存储类型 选择“文件存储”。 文件存储适用于媒体处理、内容管理、大数据和分析应用程序等场景。 分配方式 使用已有存储选择已创建的存储。自动分配存储 自动创建存储，需要输入存储的容量。 1. 选择存储子类型。 文件存储子类型为NFS。 2. 输入存储容量，单位为GB。请不要超过存储容量配额，否则会创建失败。 添加容器挂载 设置“子路径”、“挂载路径”：输入数据卷挂载到应用上的路径。 须知 请不要挂载在系统目录下，如“/”、“/var/run” 等，会导致应用异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响应用启动的文件，否则文件会被替换，导致应用启动异常，应用创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。设置“权限”。 只读：只能读应用路径中的数据卷。 读写：可修改应用路径中的数据卷，应用迁移时新写入的数据不会随之迁移，会造成数据丢失。 步骤 3单击“确定”。

本小节介绍微隔离防火墙业务拓扑使用说明。 工作组 拓扑中每个椭圆形标识代表一个工作组，类似于传统安全中的安全域、业务组等概念。 每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。 单击工作组，可查看该组的基本信息。基本信息页面可以修改该工作组的标签及策略状态。 注意 标签的修改会导致策略的变化，在防护状态下，谨慎修改。 针对工作组修改策略状态时，会改变改组内所有工作负载的策略状态。 点击详细信息，可进入工作组的详细页面。 双击工作组，可展开此工作组，并查看其中工作负载。 工作负载 工作组中每个小方块代表一个工作负载（工作负载可以是物理服务器、虚拟机或容器）。 单击工作负载，可查看该工作负载的基本信息，拓扑中也会高亮显示与此工作负载有访问关系的其他工作负载。 在工作负载基本信息框中可快速修改该工作负载角色及策略状态。重新统计按钮可清空所有针对此工作负载的访问连接记录。 支持在基本信息框中直接新建角色。

本文介绍了分布式融合数据库HTAP产品的IPv6协议使用设置。 功能介绍 分布式融合数据库HTAP已经支持接收IPv6协议的请求，创建实例时，选择开启IPv6的虚拟私有云后，当用户处于IPv6环境时，可以通过IPv6协议访问该实例。 注意事项 分布式融合数据库目前仅支持内网访问， 支持使用IPv6协议的内网请求，暂不支持公网访问。使用虚拟私有云IPv6创建实例之后，在实例使用过程中， 无法关闭IPv6。 操作步骤 1、进入分布式融合数据库HTAP的产品详情页，点击【立即开通】。 2、在网络模块，选择开启IPv6功能的虚拟私有云及其子网和安全组。如果没有创建好的虚拟私有云， 点击下方【网络控制台】，进行虚拟私有云的创建，详情请参考创建虚拟私有云VPC。虚拟私有云IPv6的设置，详情请参考开启/关闭虚拟私有云IPv6。 3、填写实例创建的相关信息配置，完成支付，创建好HTAP实例。 4、在IPv6环境下， 详情请参考连接实例，通过IPv6协议对该实例进行访问。

本节介绍可通过AI云电脑同步工具将本地电脑数据同步到天翼量子AI云电脑，或者将天翼量子AI云电脑的数据同步到另外一个天翼量子AI云电脑。 1.简介 如需将本地电脑数据同步到AI云电脑，或者将AI云电脑的数据同步到另外一个AI云电脑，可使用AI云电脑同步工具进行数据同步。同步工具适用于Windows系统、统信UOS系统、银河麒麟系统、中科方德系统等，操作使用方式请参考以下操作指导。 同步工具客户端下载地址：++天翼云电脑同步工具客户端下载++ 2.登录/退出客户端 2.1 扫码登录 在登录界面，使用移动端的天翼云电脑App或翼连App进行二维码扫码，移动端确认登录。 2.2 账密登录 在登录界面，输入天翼量子AI云电脑账号密码，点击“安全登录”，即可登录同步工具客户端。 2.3 专线接入 若天翼量子AI云电脑的租户开通了企业专线接入，该租户下用户使用同步工具也需要通过专线接入登录，同步工具的专线地址与天翼量子AI云电脑专线地址一致。 1. 勾选“企业/专线地址”，弹出专线接入配置框； 2. 在专线接入配置框中，选择协议类型“http”或“https”，输入专线地址和端口； 3. 点击“启用”按钮。

本章节主要介绍如何连接已开启SSL的RabbitMQ实例。 创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 DMS的RabbitMQ实例兼容开源协议，请参考RabbitMQ官网提供的不同语言的连接和使用向导：< 本节以DMS提供的demo为例，介绍VPC内访问与使用RabbitMQ的方法，假设RabbitMQ客户端部署在弹性云主机上。 前提条件 参考创建实例章节创建RabbitMQ示例，并记录创建时输入的用户名和密码。 创建完成后，单击实例名称，查看并记录实例详情中的“连接地址”。 已创建弹性云主机，并且弹性云主机的VPC、子网、安全组与RabbitMQ实例的VPC、子网、安全组保持一致。 已完成JDK安装及环境变量配置。 命令行模式连接实例 以下操作命令以Linux系统为例进行说明。 1、下载RabbitMQTutorialSSL.zip示例工程代码。 2、解压RabbitMQTutorialSSL.zip压缩包。 $ unzip RabbitMQTutorialSSL.zip 3、进入RabbitMQTutorialSSL目录，该目录下包含预编译好的jar文件。 $ cd RabbitMQTutorialSSL 4、运行生产消息示例。 $ java cp .:rabbitmqtutorialsll.jar Send host port user password 其中，host表示RabbitMQ实例的连接地址，port为RabbitMQ实例的监听端口（默认为5671），user表示RabbitMQ用户名，password表示用户名对应的密码。 图1 生产消息示例 使用Ctrl+C命令退出。 5、运行消费消息示例。 $ java cp .:rabbitmqtutorialsll.jar Recv host port user password 其中，host表示RabbitMQ实例的连接地址，port为RabbitMQ实例的监听端口（默认为5671），user表示RabbitMQ用户名，password表示用户名对应的密码。 图2 消费消息示例 如需停止消费使用Ctrl+C命令退出。

本章节介绍微服务治理相关的入门概述 要使用微服务治理中心，用户可以参考“ECS微服务应用接入MSE治理中心”或“云容器引擎应用接入微服务治理中心”，在云主机或云容器引擎中安装微服务治理组件，即可将部署的SpringCloud应用或Dubbo应用接入微服务治理中心，然后使用微服务治理中心的治理功能。 微服务治理中心支持Springcloud、Dubbo框架的微服务应用。功能列表如下所示： 模块 SpringCloud&Dubbo 服务查询 支持查看服务列表和服务契约。 接口详情 支持查看接口列表和接口监控数据。 节点详情 支持查看节点列表和节点监控数据。 流量治理 支持无损上下线、标签路由、离群摘除、服务鉴权等治理规则。 流量防护 支持流量控制、熔断降级、自适应控制、Web防护等防护能力。 开发测试治理 支持服务测试、自动化回归、服务Mock等测试能力。 数据库治理 支持Sql监控、数据库灰度、数据库读写路由、连接池治理等数据库治理能力。 全链路灰度 支持按泳道对应用分组，并按泳道对流量进行路由。 微服务应用接入微服务治理中心后，即可支持服务查询、接口详情、节点详情，其他治理能力需要在控制台创建规则，启用规则后才会生效。

本节介绍专属加密限制说明及操作指引。 限制说明 专属加密实例需要配合虚拟私有云（VPC）一起使用。创建专属加密实例后，需要在管理控制台中实例化专属加密实例（配置VPC网络、安全组、网卡），才能正常使用。 专属加密实例出于安全性的考虑，不对公网提供服务，您需要将专属加密实例管理工具部署到与专属加密实例同一VPC网络中，才能对专属加密实例进行管理。 操作指引 当用户需要在云上使用专属加密服务时，可通过Dedicated HSM界面创建专属加密实例。创建专属加密实例后，当用户收到Dedicated HSM邮寄的Ukey后，通过Ukey初始化，并管控专属加密实例。用户通过专属加密实例管理工具授权业务APP，允许业务用户通过业务APP访问专属加密实例。操作指引如图所示。 操作指引说明如下表所示。 操作指引说明 编号 操作步骤 说明 操作角色 1 创建专属加密实例 通过Dedicated HSM界面创建专属加密实例。 用户 2 分配专属加密实例 Dedicated HSM分配专属加密实例给用户。安全专家将通过您提供的联系方式与您联系，并确定您订购的专属加密实例是否满足您的业务要求，若满足要求，安全专家将分配专属加密实例给您。 专属加密服务安全专家 3 邮寄UKey并提供配套初始化文档及软件 安全专家将通过您提供的Ukey收件地址将Ukey邮寄给您。Ukey是Dedicated HSM提供给您的身份识别卡，此卡仅购买专属加密实例的用户持有，请妥善保管。 安全专家将会为您提供初始化专属加密实例的软件及相关指导文档。 专属加密服务安全专家 4 初始化、管控（UKey认证） 在专属加密实例管理节点上安装我们为您提供的管理工具。使用Ukey和管理工具初始化专属加密实例，并注册相应的管理员，管控专属加密实例，对密钥进行管理。 用户 5 安装安全代理软件并授权 在业务APP节点上安装我们为您提供的安全代理软件并执行相关初始化操作。 用户 6 访问 业务APP通过API或者SDK的方式访问专属加密实例。 用户

前提条件 Windows云主机已绑定弹性IP。 Windows 云主机已经放通MSTSC安全组接口（默认3389）。 操作步骤 1. 在本地Windows计算机上，单击“开始”，在出现的“搜索程序和文件”输入框中输入mstsc。 弹出远程桌面连接对话框。 2. 单击“选项”。 3. 在“常规”页签中，输入云主机的公网IP地址和用户名“Administrator”。 4. 选择“本地资源”页签，确认“本地设备和资源”栏的“剪切板”处于勾选状态。 5. 单击“详细信息”。 6. 在“驱动器”多选框列表，勾选要上传到Windows云主机上的文件所在的本地磁盘。 7. 打开“确定”，登录Window云主机 8. 单击“开始 > 这台电脑”。 在出现的Windows云主机上可看到本地盘的信息。 9. 在云主机中，双击进入本地磁盘，将需要上传的文件复制到Windows云主机。

本文主要介绍如何通过Microsoft SQL Server Management Studio客户端连接SQL Server实例。 前提条件 ● 成功创建SQL Server实例。 ● 实例状态为“运行中”。 ● 弹性云主机上已安装Microsoft SQL Server Management Studio客户端。 ● 出于安全考虑，建议连接SQL Server所使用的弹性云主机与SQL Server实例处于相同的虚拟私有云（VPC）。 SQL Server提供使用内网、公网两种连接方式，详见下表： 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。当部署应用的弹性云主机，与SQL Server实例处于同一区域的同一VPC内时，建议使用内网IP连接弹性云主机与SQL Server实例。 安全性高，可较好地实现SQL Server的性能。推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问SQL Server实例时，使用公网访问。建议单独绑定弹性公网IP，实现弹性云主机（或公网主机）与SQL Server实例间的连接。 安全性较低。为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的SQL Server实例在同一VPC内，使用内网连接。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表的【连接地址】列可以查看到目标实例的内网IP。在实例列表的【弹性IP】列可以查看到目标实例的弹性IP（如未绑定弹性IP，则显示为空）。 4. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面，可以查看到实例的端口，以及实例的内网IP。 5. 打开本地安装的Microsoft SQL Server Management Studio客户端。 6. 单击【连接】按钮，选择【数据库引擎】。 7. 在【连接到服务器】弹框中，输入数据库实例的登录信息，包括服务器名称、身份验证方式、账号名称、账号密码。 8. 点击【连接】，即可成功连接到数据库实例。

前提条件 创建私有镜像前，请您务必执行以下操作： 请将云主机中的敏感数据删除后再创建私有镜像，避免数据安全隐患。 确保云主机处于运行中或关机状态。 检查云主机的网络配置，确保网卡属性为DHCP方式。详情请参见设置网卡属性为DHCP（Linux）。 有些云主机正常运行或者高级功能依赖某些驱动，例如：P1型云主机依赖NVIDIA驱动。因此，需要提前安装特殊驱动。详情请参见安装Linux特殊驱动。 检查云主机中是否已安装一键式重置密码插件，保证镜像创建的新云主机可以使用控制台的“重置密码”功能进行密码重置。详情请参见安装一键式重置密码插件（Linux）。 检查云主机中是否已安装CloudInit工具，保证镜像创建的新云主机可以使用控制台的“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码）。详情请参见安装CloudInit工具和配置CloudInit工具。 清理网络规则文件，避免镜像创建的新云主机发生网卡名称漂移。详情请参见清理网络规则文件。 为了确保镜像创建的新云主机同时支持XEN虚拟化和KVM虚拟化，请优化Linux云主机，包括修改“grub”、“fstab”文件的磁盘标识方式为UUID、安装原生的XEN和KVM驱动等操作。 详细操作请参考优化过程（Linux）中的步骤2~步骤6。 如果云主机挂载了多个数据盘，可能导致由私有镜像创建的新云主机无法使用。因此在创建私有镜像前，需要卸载原云主机中挂载的所有数据盘。详情请参见卸载云主机的数据盘。 如果云主机挂载了数据盘，并在初始化时设置了开机自动挂载磁盘分区，在创建私有镜像前，需要删除fstab文件中的开机自动挂载磁盘分区的配置。 说明 如果待创建私有镜像的云主机使用的是公共镜像，那么默认已安装一键式重置密码插件和CloudInit工具，指导中均提供了验证是否安装的方法，您可以参考相应内容确认。