此章节为您介绍数据库审计的计费概述内容。 计费模式 数据库审计服务仅提供包年/包月计费模式。 包年/包月是一种预付费模式，即先付费再使用，按照订单的购买周期进行结算，因此在购买之前，您必须确保账户余额充足。 计费项 数据库审计的计费项由云主机、系统盘、数据盘组成。 如需了解每种计费项的计费因子、计费公式等信息，请参见计费项。 续费 包年/包月数据库审计在到期后会影响云服务器的正常运行。如果您想继续使用数据库审计，需要在规定的时间内为服务进行续费，否则资源将会自动释放，数据也可能会丢失。 停止计费 当云服务资源不再使用时，可以将他们退订或删除，从而避免继续收费。

云应用引擎 CAE（Cloud App Engine）具有广泛的应用场景，帮助您的企业极速上云、从容应对突发性流量洪流和灵活启停应用环境，降低资源成本。 应用托管 在企业生产环境中，通过合理拆分微服务，将每个微服务应用压缩为 ZIP 包、Docker 镜像存储在天翼云镜像仓库。您只需基于 Spring Cloud 或 Dubbo 等框架开发规范迭代每个微服务应用，由 CAE 提供底层资源调度、部署、灰度发布、微服务治理和监控诊断等能力。同时提供丰富的高级应用配置项，实现业务快速迁移上云。 零改造：CAE 能够平滑迁移应用，零改造地完成 Spring Cloud 或 Dubbo 应用快速上云。 免运维：CAE 能够免运维底层基础设施，例如 IaaS、K8s、微服务组件和 APM 组件等，无需自建注册中心，极大降低开发运维成本。 低门槛：CAE 能够一站式开箱使用全套微服务能力，提供自动构建镜像、灰度发布、流量控制、环境隔离、应用监控等企业级高级特性。 任务托管 聚焦于泛互联网、新零售、电商、文化传媒、制造、 IoT、物流、金融证券、医疗卫健和保险等行业。主要场景如下： 定时任务：定时拉取数据、爬虫。 批处理数据：数据清洗、转换、分析，对实时性要求低。 异步执行解耦：异步状态刷新以及离线查询。 微服务架构：与原有的微服务架构进行调用通信、流程解耦。 相比开源的分布式框架，其优点在于全托管免运维的用户体验，开箱即用的完备功能以及白屏化管控，任务运行完立即释放资源，不会浪费闲置资源成本。

此小节介绍云堡垒机欠费说明。 欠费影响 对于包年/包月CBH资源，用户已经预先支付了资源费用，因此在帐户出现欠费的情况下，已有的包年/包月CBH资源仍可正常使用。然而，对于涉及费用的操作，如新购CBH、升级CBH规格、续费订单等，用户将无法正常进行。 避免和处理欠费 欠费后需要及时充值。 您可以在“费用中心 > 总览”页面设置“可用额度预警”功能。 当产生欠费后，请您及时充值使可用额度大于0。 停止计费 对于包年/包月计费模式的资源，例如包年/包月的CBH实例，用户在购买时会一次性付费，服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源，您可以执行退订操作，系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的帐户。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日之前关闭自动续费。

本节介绍了远程登录(VNC方式Linux)的操作场景、约束与限制、登录Linux弹性云主机、后续处理等内容。 操作场景 本节为您介绍如何通过控制台提供的远程登录功能（即VNC方式）登录到弹性云主机上。 登录成功后，如需使用VNC界面提供的复制、粘贴功能，请参见后续处理。 说明 对于“密钥对”方式创建的Linux弹性云主机，如需使用控制台提供的“远程登录”功能（VNC方式），需先使用“SSH密钥方式”登录，并设置密码，然后才能使用VNC方式登录。 约束与限制 当前提供的远程登录功能是通过系统配置的自定义端口进行访问的，所以在使用远程登录功能时，请确保需要使用的端口未被防火墙屏蔽。例如：远程登录的链接为“xxx:8002”，则需要确保端口8002没有被防火墙屏蔽。 如果客户端操作系统使用了本地代理，且用户无法配置该本地代理的防火墙端口，请关闭代理模式后再使用远程登录功能。 登录Linux弹性云主机 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表中的右上角，输入弹性云主机名、IP地址或ID，进行搜索。 4. 在搜索到的弹性云主机的“操作”列下，单击“远程登录”。 5. （可选）如果界面提示“Press CTRL+ALT+DELETE to log on”，请单击远程登录操作面板上方的“发送 CtrlAltDel”按钮进行登录。 说明 请勿使用物理键盘按“CTRL+ALT+DELETE”，该操作不生效。 6. （可选）登录G1型弹性云主机时，远程登录界面上无法显示鼠标。此时，需单击远程登录操作面板上方的“本地鼠标”按钮，鼠标就可以正常显示了。 图 本地鼠标 7. 根据界面提示，输入弹性云主机的密码。

本文主要介绍云日志服务的投递概述。 天翼云云日志服务可以将日志单元中的数据投递到天翼云对象存储ZOS与分布式消息服务kafka，以满足归档或者计算的需求。 转储至对象存储ZOS 您将云主机和云服务的日志数据上报至云日志服务后，可对日志存储时长进行设置，默认存储时间为365天，超出存储时间后，日志数据将会被自动清理。若您需要长期存储日志数据进行日志持久化，可使用日志转储功能，将日志数据转储至对象存储中进行长期保存。具体操作请查看转储至对象存储ZOS。 说明 日志转储的实时性较弱，通常为5分钟~30分钟。数据延迟依赖于存储系统。 关于对象存储更多内容，请参考对象存储产品文档。 转储至分布式消息服务kafka 云日志服务采集到数据后，支持将数据转储至对天翼云分布式消息服务kafka，用于实时流计算等场景。具体操作请查看转储至分布式消息服务kafka。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的广告防护功能。 功能介绍 边缘安全加速平台安全与加速服务能解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能。 注意 注意：目前控制台尚未开放广告防护功能，如有防护需求请通过 背景信息 恶意广告 网站中出现未被网站所有者允许的广告内容，并通过非法形式进行传播，对网站所有者造成负面影响。 攻击方式：流量劫持 代理流量劫持是指在正常网站流量当中嵌入广告，达到强制推广目的，造成用户体验差，客户网站访问量降低。劫持的手段为在代理服务器上，针对网站页面进行恶意广告代码嵌入。 常见劫持方式： 源站：源站被攻破，网站页面遭到修改，或者正常网页被替换成攻击者的网页，造成用户访问的页面含有违法信息广告或盈利广告推广。 客户端：浏览器网页劫持，浏览器在获取到正常网页数据后，通过在客户网页中加入广告来达到强制推广，增加盈利目的。 广告防护工作原理 通过在反向代理服务器上，解析响应页面代码，在html的body当中插入广告检测js代码，实现广告防护和监测功能。

本节主要介绍OBS产品与其它服务的关系。 功能 相关服务 通过IAM服务实现以下功能： 用户身份鉴权 IAM用户权限设置 IAM委托设置 统一身份认证服务（Identity and Access Management，IAM） 标签用于标识OBS中的桶，以实现对OBS中的桶进行分类。 标签管理服务（Tag Management Service，TMS） 通过密钥管理KMS功能对上传到OBS中的文件进行加密。 数据加密服务（Data Encryption Workshop，DEW） OBS可以作为其他云服务的存储资源池，例如关系型数据库（RDS），镜像服务（IMS），云审计服务（CTS）等。

本文介绍弹性防护计费。 安全加速弹性防护 (超出保底攻击峰值）Gbps （超出保底攻击量）QPS 标准价格（元/天） 安全加速弹性防护 (0,10] (0,40000] 860 安全加速弹性防护 (10,20] (40000,80000] 1760 安全加速弹性防护 (20,30] (80000,120000] 2660 安全加速弹性防护 (30,40] (120000,160000] 3260 安全加速弹性防护 (40,50] (160000,200000] 4060 安全加速弹性防护 (50,60] (200000,240000] 4960 安全加速弹性防护 (60,70] (240000,280000] 5760 安全加速弹性防护 (70,80] (280000,320000] 6560 安全加速弹性防护 (80,100] (320000,400000] 8160 安全加速弹性防护 (100,150] (400000,600000] 15060 安全加速弹性防护 (150,200] (600000,800000] 20160 安全加速弹性防护 (200,500] (800000,2000000] 66660 安全加速弹性防护 (500,+∞] (2000000,9999999] 98860

步骤一：升级前检查 版本升级前需要检查实例状态和实例的CPU使用率、内存使用率、磁盘使用率等监控指标是否正常。 1. 检查实例状态 a. 登录管理控制台。 b. 单击管理控制台左上角的 ，选择区域和项目。 c. 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 d. 在“实例管理”页面，查看实例的运行状态是否正常。 如果实例状态异常，您可以联系技术支持，由工程师给出分析评估后进行处理。 2. 检查监控指标 a. 在页面左上角单击 ，选择“管理与监管 > 云监控服务 CES”，进入“云监控”服务信息页面。 b. 在左侧导航栏选择“云服务监控 > 云数据库 GaussDB”，进入“云服务监控”页面。 c. 在云监控页面，单击需要查看监控的实例，进入“监控指标”页面。 在“实例”页面查看“实例数据磁盘已使用百分比”，查看是否有磁盘满使用率不足的情况。 在“节点”页面查看“CPU使用率”，查看是否有CPU长期过高的情况。 在“节点”页面查看“内存使用率”，查看是否有内存飙升的情况。 如果监控指标异常，您可以联系技术支持，由工程师给出分析评估后进行处理。

本节介绍弱口令管理功能，包括处置风险、查看弱口令详情等。 为租户提供弱口令查询及处置功能。 条件查询 查询条件支持应用名称、服务器、“口令类型”(支持模糊匹配)、“IP/IP段”(支持模糊匹配)、“用户名”(支持模糊匹配)、处置状态。 处置弱口令 提供处置能力，可直接或批量修改弱口令处置状态。状态枚举值：修复中、已修复、忽略、已加固等（此处修改弱口令状态仅用于云安全中心展示使用）。 修改处置状态可填写状态变更原因。 查看弱口令详情 在弱口令详情中，可以查看所有历史状态变更记录的信息，包括：处置人、处置状态、处置说明和处置时间等。 查看弱口令关联资产 每条弱密码能够关联资产信息，可快速查看关联的资产详情。

本节主要介绍在CCE的集群网络模型选择及区别。 云容器引擎提供高性能容器网络插件，支持“容器隧道网络”、“VPC网络”2种网络模型。 注意 集群创建成功后，网络模型不可更改，请谨慎选择。 容器隧道网络 （Overlay）：基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面（例如Network Policy网络隔离）的优势，可以满足大多数应用需求。 VPC网络 ：采用VPC路由方式与底层网络深度整合，适用于高性能场景，节点数量受限于虚拟私有云VPC的路由配额。每个节点将会被分配固定大小的IP地址段。VPC网络由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 两种集群网络模型对比如下： 对比维度 容器隧道网络 VPC网络 ::: 核心技术 OVS IPVlan，VPC路由 适用集群 CCE集群 虚机集群 CCE集群 虚机集群 网络隔离 支持Kubernetes原生NetworkPolicy 否 IP地址管理 容器网段单独分配 节点维度划分地址段，动态分配（地址段分配后可动态增加） 容器网段单独分配 节点维度划分地址段，静态分配（节点创建完成后，地址段分配即固定，不可更改） 网络性能 基于vxlan隧道封装，有一定性能损耗。 无隧道封装，跨节点通过VPC 路由器转发，性能好，媲美主机网络。 组网规模 最大可支持2000节点 默认支持200节点，受限于VPC路由表能力。 VPC网络模式下，集群每添加一个节点，会在VPC的路由表中添加一条路由，因此集群本身规模受VPC路由表上限限制。 适用场景 一般容器业务场景。 对网络时延、带宽要求不是特别高的场景。 对网络时延、带宽要求高。 容器与虚机IP互通，使用了微服务注册框架的，如Dubbo、CSE 注意 VPC网络集群实际支持规模受限于VPC的路由表路由条目配额，创建前请提前评估集群规模。 VPC网络模型默认支持容器与同一VPC的虚拟机直接互访，与其他VPC的主机在配置对等连接策略后可以支持直接互访。此外，云专线/VPN等混合组网场景在合理规划后可以支持对端直接与容器互访。

本节介绍了弹性云主机图形化界面安装类的相关问题。 云主机是否有图形界面？ Windows操作系统是桌面管理，Linux操作系统是命令行，用户如果需要可以自己设置图形管理。 弹性云主机安装图形化界面前，请确保云主机内存不小于2GB，否则可能出现图像化界面安装失败，或安装后无法启动的问题。 CentOS 6系列弹性云主机如何安装图形化界面？ 操作场景 为了提供纯净的弹性云主机系统给客户，CentOS 6系列弹性云主机默认没有安装图形化界面，如果您需要图形化界面，请参见本节内容进行安装。 约束与限制 弹性云主机安装图形化界面前，请确保云主机内存不小于2GB，否则可能出现图像化界面安装失败，或安装后无法启动的问题。 操作步骤 1. 执行以下命令，查看当前操作系统提供的安装组件。 yum groupinstall "Desktop" 2. 设置默认启动级别为5（即图形桌面）。 sed i 's/id:3:initdefault:/id:5:initdefault:/' /etc/inittab 3. 进入桌面环境，执行： startx CentOS 7系列弹性云主机如何安装图形化界面？ 操作场景 本节操作介绍CentOS 7系列操作系统的云主机安装图像化界面。 约束与限制 弹性云主机安装图形化界面前，请确保云主机内存不小于2GB，否则可能出现图像化界面安装失败，或安装后无法启动的问题。 操作步骤 1. 执行以下命令，安装图形桌面组件。 yum groupinstall "Server with GUI" 说明 如果安装结束后提示 Failed : python urllibs3.noarch 0:1.10.27.e17 可以执行以下命令： mv /usr/lib/python2.7/sitepackages/urllib3/packages/sslmatchhostname /usr/lib/python2.7/sitepackages/urllib3/packages/sslmatchhostname.bak yum install pythonurllib3 y 2. 安装结束后，执行以下命令设置默认启动级别为graphical.target systemctl setdefault graphical.target 3. 执行以下命令启动graphical.target systemctl start graphical.target 4. 重启服务器。 5. 通过控制台提供的VNC登录方式连接服务器，并按照桌面启动的提示设置语言、时区、用户名及密码等。

此小节介绍企业主机安全订阅安全报告。 指导您通过控制台的预设模板快速实现以周为单位或以月为单位的安全报告订阅。如需自定义，操作详情请参见创建安全报告。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 订阅说明 订阅安全报告均为免费，但报告内容会受防护配额版本支持的功能限制。 操作步骤 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击按月或按周的报告开关状态为 打开，开启安全报告的订阅，如需对报告进行编辑详情请参见编辑安全报告。 开启安全报告

本章节主要介绍翼MapReduce基本使用流程。 天翼云大数据平台 翼MapReduce是一个在云上部署和管理Hadoop系统的服务，一键即可开通部署Hadoop、HBase、Hive、Spark、Flink、Doris等大数据集群。翼MapReduce提供租户完全可控的企业级大数据集群云服务，轻松运行Hadoop、HBase、Hive、Spark、Flink、Doris等大数据组件。 翼MapReduce使用简单，通过使用在集群中连接在一起的多台计算机，您可以运行各种任务，处理或者存储（PB级）巨量数据。翼MapReduce的基本使用流程如下： 1. 创建集群：进入天翼云官网翼MapReduce服务订购页面，选择需要的业务场景，创建集群。用户可以通过业务场景简化大数据集群组合，可以用于数据湖、数据服务、云搜索、数据分析等业务需要。选择完业务场景与服务后，用户可以进一步指定集群的操作系统、主机类型、CPU类型、实例规格、实例数量、数据盘类型（普通IO、高IO、超高IO与通用型SSD多款类型）等。 2. 管理集群：上述集群购买部署完成后，翼MapReduce为用户提供企业级的大数据集群的统一管理平台翼MR Manager，帮助用户快速掌握集群服务及主机的健康状态，通过图形化的指标监控及时获取系统的关键信息，根据实际业务的性能需求修改服务属性的配置，对集群、服务、角色实例等实现一键启停等操作。 3. 创建翼MapReduce操作用户：主用户可以使用统一身份认证服务（Identity and Access Management，简称IAM）来创建子用户，通过精细的权限管理，在翼MR控制台给子用户赋予不同的角色权限。 4. 退订：如果您不想继续使用已有集群，可以通过天翼云官网的订单管理页面，对集群进行退订操作。 5. 续订：如果您的集群即将到期，可以通过续订操作延长集群使用期限。 6. 配置升级：当master、core或者core节点ECS实例的规格（vCPU和内存）无法满足您的业务需求时，您可以使用配置升级功能提升ECS实例规格。 7. 节点扩容：当master、core或task节点组内的资源无法满足您的业务需求时，您可以使用节点扩容功能增加ECS实例数量。 8. 节点缩容：当task节点组内的资源超出您的业务需求时，您可以使用节点缩容功能减少实例数量。 9. 新增节点组：当存量core或task节点组的计算或存储资源无法满足您的业务需求时，您可以使用新增节点组功能增加ECS实例。 10. 磁盘扩容：当master、core或task节点的数据存储空间无法满足您的业务需求时，您可以使用磁盘扩容功能增加云硬盘数据盘的空间。

本节主要介绍使用流程 应用运维管理（ApplicationOperationsManagement，以下简称AOM）是云上应用的一站式运维管理平台，实时监控您的应用及相关云资源，分析应用健康状态，提供灵活的告警及丰富的数据可视化功能，帮助您及时发现故障，全面掌握应用、资源及业务的实时运行状况。 以接入云主机为例，AOM快速使用流程如下： 1.开通AOM（必选） 2.创建子账号并设置权限（可选） 3.创建云主机（必选） 4.安装ICAgent（必选） ICAgent是AOM的采集器，用于实时采集指标、日志和应用性能数据。 5.配置应用发现规则（可选） 满足内置应用发现规则的应用，安装ICAgent后该应用会自动被发现；对于不满足内置应用发现规则的应用，需要配置应用发现规则。 6.配置日志采集路径（可选） 如果您需使用AOM监控主机的日志，则需配置日志采集路径。 7.日常运维（可选） 您可使用AOM的仪表盘、告警通知等功能进行日常运维。

创建MapReduce（MRS）集群时计价器为什么未显示价格? 请您确认是否只选择了磁盘个数，没有选择集群虚拟机实例个数，在此情况下，产品报价是不会产生金额的。 当您参考页面展示，按实际需求填选实例个数、磁盘个数、磁盘大小等参数后，产品报价会在浏览器下方即时显示出来。 翼MapReduce服务集群的Task节点如何收费? Task节点按需计费。 包年/包月集群和按需计费集群的Task节点的计费模式都是按需计费，即按实际使用时长计费，计费周期为一小时。 退订MRS服务后，在ECS中退订弹性云主机时报异常如何处理？ 1. 在使用的MRS集群中查询该弹性云主机的ID确认没有使用。 2. 在ECS控制台上找到需要退订的服务器单击“MRS使用中”将机器进行解锁。 3. 再次单击“退订”。 4. 若依然显示退订异常，请收集弹性云主机的ID并联您的客户经理或提交服务工单，由技术支持人员协助您解决问题。

本章节介绍了云主机备份与其他云服务的关系。 弹性云主机（ECS） 云主机备份对弹性云主机中的云硬盘进行备份，支持将备份的数据恢复到弹性云主机的云硬盘中，以便于在弹性云主机数据丢失或损坏时自助快速恢复数据。 对象存储服务（OBS） 云主机备份通过云主机与对象存储服务的结合，将云主机的数据备份到对象存储中，高度保障用户的备份数据安全。 云审计服务（CTS） 云主机备份支持通过云审计服务对备份服务资源的操作进行记录，以便用户可以查询、审计和回溯。 云硬盘备份（VBS） 云主机备份和云硬盘备份均属于备份服务，为租户数据提供备份保护。

HTTP状态码 说明 HTTP状态码 200 表示正常响应。当健康检查请求成功被云主机处理并返回有效的响应时，通常会返回200状态码。 HTTP状态码 3xx 重定向。在健康检查中，重定向状态码可能会出现在特定情况下。 HTTP状态码 4xx 客户端错误。这些状态码表示请求存在问题，可能是由于无效的URL、参数错误等。健康检查中，如果主机返回了4xx状态码，通常表示主机无法正常处理该请求。 HTTP状态码 5xx 主机错误。这些状态码表示主机在处理请求时遇到了错误。在天翼云健康检查中，如果主机返回了5xx状态码，通常表示主机出现了故障或内部错误。

本节介绍了python升级导致Cloudinit不工作的问题描述、可能原因、处理方法。 问题描述 以CentOS 6.8镜像的弹性云主机为例，将python从python 2.6升级到python 2.7版本后，可能会引起Cloudinit不工作，具体表现为：弹性云主机的密码、密钥、hostname等信息无法通过Cloudinit注入。 执行命令 cloudinit v 查询Cloudinit的版本，回显报错，如下图所示。 图 Cloudinit运行异常 可能原因 Cloudinit使用的python版本不正确。 处理方法 将Cloudinit使用的python版本修改为升级前版本，即将/usr/bin/cloudinit环境变量从默认的“!/usr/bin/python”修改为升级前的“!/usr/bin/python2.6”路径。 图 修改python版本

背景信息 当出现实例网络异常或者实例状态异常等情况时，文件上传会呈现不同的执行状态与执行结果。您可以通过控制台或API查看执行结果中的错误信息、诊断并修复问题。 操作步骤 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择执行记录标签页，如下图所示： 3. 选择需要查看的文件上传结果，点击右侧查看按钮，可查看执行列表、执行信息，如下图所示： 4. 点击实例名称左侧的箭头可以查看文件上传的输出信息或上传失败的报错信息。

本节介绍NAT网关创建和配置操作。 操作场景 NAT网关能够为虚拟私有云(VPC)内的AI云电脑提供网络地址转换服务，使多个AI云电脑可以共享弹性IP访问Internet或使多个AI云电脑提供互联网服务。系统默认创建的NAT网关不支持配置SNAT或DNAT规则。如需配置SNAT或DNAT规则，请向您的专属客户经理申请弹性IP和NAT网关管理权限。 NAT可以提供的主要功能有： 创建NAT 添加SNAT，使多个AI云电脑可以共享弹性IP访问Internet 添加DNAT，使多个AI云电脑提供互联网服务 创建NAT 1. 进入“AI云电脑（政企版）”管理控制台； 2. 点击“网络管理”，选择“NAT管理”，进入NAT管理页面，选择创建NAT； 3. 输入NAT网关的“名称”，选择NAT网关所在的“VPC”和“业务子网”，根据实际需要选择“规格”，输入“描述”等信息； 4. 确认相关的配置信息，点击“立即申请”，即完成NAT网关的创建。 添加SNAT规则 1. 进入“AI云电脑（政企版）”管理控制台； 2. 点击“网络功能”，选择“NAT管理”，进入“NAT网关”列表页面； 3. 选择需要NAT网关的所在行，点击“配置规则”，选择“SNAT规则”页签，点击“添加SNAT规则”按钮，进入“添加SNAT规则”页面； 4. 根据实际需要选择“类型”、“子网”、“弹性IP”，输入“描述”等信息，完成SNAT规则的添加。

本节为您介绍数据安全中心如何保护您的个人数据。 数据安全中心DSC通过控制个人数据访问权限，以及记录操作日志等方法防止个人数据泄露，可以使您的个人数据（如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，保证您的个人数据安全。 个人信息收集范围 数据安全中心DSC收集及产生的个人数据如下： 类型 收集方式 是否可以修改 是否必须 用户ID 在控制台进行任何操作时Token中的用户ID 在调用API接口时Token中的用户ID 否 是，用户ID是用户的身份标识信息。 数据库密码 用户在控制台自行填入 是 是，对数据库数据进行扫描、脱敏和注入水印时，DSC需使用数据库密码联通数据库，获取数据。 数据存储方式 租户ID不属于敏感数据，明文存储。 数据库密码：加密存储。 数据访问权限 用户只能查看自己业务的相关日志。 审计日志记录 用户个人数据的所有操作，包括修改、查询和删除等，数据安全中心DSC都会记录审计日志并上传至云审计服务（CTS），用户可以并且仅可以查看自己的审计日志。

本节介绍了操作审计的用户指南。 概述 容器镜像服务接入了云审计服务，支持将用户在容器镜像服务控制台的所有操作上报至云审计，以供用户在云审计控制台查看审计日志。 前置条件 已开通容器镜像服务企业版实例 已开通云审计服务 查看审计日志 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例。 3. 点击左侧导航栏点击 "实例管理" "云审计"，即可跳转到云审计控制台。 4. 在云审计控制台可查看容器镜像服务的审计日志。 5. 云审计控制台默认保存最近7天的日志，若需要将日志长期存储，可参照云审计服务的帮助文档创建事件跟踪任务。 注意 老版本的容器镜像服务控制台内置了操作审计页面，用户仍可通过将链接 /audit?instanceId${instanceId} 中的${instanceId}替换为已开通的企业版实例ID进行访问，该链接将在后续版本中下线，用户应尽快迁移至云审计服务来查看审计日志。 当前已纳入云审计的关键操作列表 事件中文名称 事件英文名称 重置密码 resetPassword 更新实例对象存储配置 updateStorageConfig 创建容器镜像命名空间 createNamespace 更新容器镜像命名空间 updateNamespace 删除容器镜像命名空间 deleteNamespace 创建Helm Chart命名空间 createChartNamespace 更新Helm Chart命名空间 updateChartNamespace 删除Helm Chart命名空间 deleteChartNamespace 创建镜像仓库 createRepository 更新镜像仓库 updateRepository 删除镜像仓库 deleteRepository 创建Chart镜像仓库 createChartRepository 更新Chart镜像仓库 updateChartRepository 删除Chart镜像仓库 deleteChartRepository 登录实例 loginInstance 推送制品 pushArtifact 拉取制品 pullArtifact 删除制品 deleteArtifact 添加公网白名单 createInstanceEndpointAclPolicy 删除公网白名单 deleteInstanceEndpointAclPolicy 创建版本不可变规则 createImmutableTagRule 更新版本不可变规则 updateImmutableTagRule 删除版本不可变规则 deleteImmutableTagRule 创建版本保留策略 createRetentionPolicy 更新版本保留策略 updateRetentionPolicy 删除版本保留策略 deleteRetentionPolicy 创建镜像同步规则 createRepoSyncRule 更新镜像同步规则 updateRepoSyncRule 删除镜像同步规则 deleteRepoSyncRule 创建镜像迁移规则 createRepoMigrateRule 更新镜像迁移规则 updateRepoMigrateRule 删除镜像迁移规则 deleteRepoMigrateRule 创建定时清理策略 createGcScheduler 更新定时清理策略 updateGcScheduler 删除定时清理策略 deleteGcScheduler 立即执行清理 executeGc 创建镜像共享 createSharedRepository 更新镜像共享 updateSharedRepository 删除镜像共享 deleteSharedRepository 新增收藏镜像仓库 addStaredRepository 取消收藏镜像仓库 deleteStaredRepository 创建签名规则 createSigning 更新签名规则 updateSigning 删除签名规则 deleteSigning 创建事件通知规则 createEventRule 更新事件通知规则 updateEventRule 删除事件通知规则 deleteEventRule 创建触发器 createTrigger 更新触发器 updateTrigger 删除触发器 deleteTrigger 创建风险阻断策略 createVulnerabilityBlocker 更新风险阻断策略 updateVulnerabilityBlocker 删除风险阻断策略 deleteVulnerabilityBlocker 创建自定义域名 createCustomDomain 删除自定义域名 deleteCustomDomain 更新自定义域名 updateCustomDomain 创建安全扫描 createScan

本文介绍如何下载日志。 当日志超过热日志分析上限时，系统将自动对超出部分执行归档操作。 日志归档周期：每日凌晨2点自动归档一次。 归档日志存储时间：180天。 下载归档日志 说明 文件生成时间与文件中日志起始时间可能存在较大差异，若选择文件时间内未找到目标时间日志，可下载与目标时间相邻的文件。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理归档日志”。 5. 查询日志： 选择模式：支持选择“云SAAS模式”、独享型实例。 日志文件名称：支持模糊搜索文件名称。 归档时间：根据选择的时间范围过滤文件归档时间。 6. 查看日志文件列表。 参数 说明 日志文件名称 根据归档文件生成时间命名的文件。 日志时间 显示该归档文件内日志的起止时间。 归档时间 显示文件的归档时间。 日志条数 当前文件内归档的日志条数。 文件大小 显示文件的大小。 文件类型 显示文件的类型，攻击日志或访问日志。 7. 下载日志：单击操作列的“下载”，下载对应日志文件。 选择“云SAAS模式”，支持下载对应归档文件。 说明 归档日志文件类型目前仅有“攻击日志”提供下载。 选择独享型实例，仅支持查看日志归档记录，不支持下载归档文件。

生效条件 设置误报处理后，1分钟左右生效，防护事件详情列表中将不再出现此误报。您可以刷新浏览器缓存，重新访问设置了误报处理的页面，如果访问正常，说明配置成功。 Web基础防护检测项说明 Web基础防护覆盖OWASP（Open Web Application Security Project）常见安全威胁，内置语义分析+正则双引擎，可以对恶意扫描器、IP、网马等威胁进行检测并拦截。请根据业务使用场景开启相应的检测项，详细的检测项说明如下表所示。 检测项 说明 常规检测 防护SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击。其中，SQL注入攻击主要基于语义进行检测。 说明 开启“常规检测”后，WAF将根据内置规则对常规检测项进行检测。 Webshell检测 防护通过上传接口植入网页木马。 说明 开启“Webshell检测”后，WAF将对通过上传接口植入的网页木马进行检测。 深度检测 防护同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等深度反逃逸。 说明 开启“深度检测”后，WAF将对深度反逃逸进行检测防护。 header全检测 默认关闭。关闭状态下WAF会检测常规存在注入点的header字段，包含UserAgent、Contenttype、AcceptLanguage和Cookie。 说明 开启“header全检测”后，WAF将对请求里header中所有字段进行攻击检测。 Shiro解密检测 默认关闭。开启后，WAF会对Cookie中的rememberMe内容做AES，Base64解密后再检测。Web应用防火墙检测机制覆盖了几百种已知泄露密钥。 说明 如果您的网站使用的是Shiro 1.2.4及之前的版本，或者升级到了Shiro 1.2.5及以上版本但是未配置AES，强烈建议您开启“Shiro解密检测”，以防攻击者利用已泄露的密钥构造攻击。

资源编排ROS和 Terraform 有什么关系？ 资源编排ROS基于 Terraform 引擎进行封装，用户可以通过控制台或 API 使用 Terraform 语法（HCL）来描述云上资源。服务负责资源创建、更新、销毁的生命周期管理，无需用户本地安装 Terraform。 资源编排如何收费 资源编排ROS本身不收取服务费。但是，通过本服务创建和管理的一切天翼云资源（如ECS、EIP、CCSE、Mysql等），都会按照各自产品的标准计费规则进行收费。 服务支持的 Terraform 版本是多少？ 当前支持的Terraform版本号是1.5.7 使用资源编排ROS需要哪些权限？ 用户需具备对应云资源的创建、查询、删除权限，以及对资源编排ROS本身的访问权限（例如：模板管理、资源栈管理）。 Terraform Provider 的 AK/SK 是如何管理的？ 对于AK/SK：控制台会自动使用您当前登录的账号权限，生成委托ak/sk, 以您的权限进行资源的开通，无需在模板中指定。 我的Terraform状态文件存储在哪里？ 状态文件由资源编排ROS后端统一托管。您无需关心其存储位置和备份问题。这种机制保证了状态文件的安全性和多用户协作时的一致性。 如何将天翼云上已经存在的资源纳入到资源栈中进行管理？ 当前版本暂时不支持，我们正在抓紧迭代中。

该任务指导用户通过漏洞扫描服务查看任务详情。 前提条件 已获取管理控制台的登录帐号与密码。 已开启了资产的监测任务。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”。 3. 在左侧导航树中，选择“安全监测”，进入“安全监测”界面。 4. 在目标监测任务所在行的“最近一次扫描情况”列，单击分数或者“查看详情”，进入“任务详情”界面，可以查看相应任务的“扫描项总览”。 说明 扫描任务详情界面默认显示最近一次的扫描情况，如果您需要查看其他时间的扫描情况，在“历史扫描报告”下拉框中，选择扫描时间点。 单击“重新扫描”，可以重新执行扫描任务。 如果需要修改扫描任务名称或者检测项，单击“编辑”，完成相关配置。 当扫描任务成功完成后，单击右上角的“生成报告”，生成网站扫描报告后，单击右上角的下载报告按钮，可以下载任务报告，目前只支持PDF格式。 5. 选择“扫描项总览”页签，查看扫描项的检测结果。 说明 如果检测结果存在漏洞或者风险，可在“检测结果”列，单击“查看详情”了解漏洞或者风险的详细情况。 6. 选择“漏洞列表”页签，查看漏洞信息。 说明 单击“查看更多”，可以查看详细的漏洞分析。 单击漏洞名称可以查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”。 如果您确认扫描出的漏洞不会对网站造成危害，请在目标漏洞所在行的“操作”列，单击“忽略”，忽略该漏洞，后续执行扫描任务会扫描出该漏洞，但扫描结果将不会统计忽略的漏洞。例如，如果您对2个低危漏洞执行了“忽略”操作，则再次执行扫描任务，扫描结果显示的低危漏洞个数将减少2。 如果想对已忽略的漏洞恢复为风险类型，在目标漏洞所在行的“操作”列，单击“取消忽略”，恢复检测此漏洞。 7. 选择“业务风险列表”页签，查看业务风险信息。 8. 选择“端口列表”页签，查看目标网站的端口信息。 9. 选择“站点结构”页签，查看目标网站的站点结构信息。 说明 站点结构显示的是目标任务的漏洞的具体站点位置，如果任务暂未扫描出漏洞，站点结构无数据显示。 显示目标网站的基本信息，包括： IP地址：目标网站的IP地址。 服务器：目标网站部署所使用的服务器名称（例如：Tomcat 、Apache httpd、 IIS等）。 语言：目标网站所使用的开发语言（例如：PHP、JAVA、C

新增接入流程 新增接入是指对于已经获得备案号的主体以及本次备案的已经获得了网站备案号的域名（该网站未在天翼云有接入服务），用户需要在天翼云办理新IP接入服务，这就是新增接入操作。 系统会自动区分非天翼云主体与天翼云主体。非天翼云主体是指此次备案的主办单位之前没有在本次备案的接入商做过任何备案，我们统称之为非天翼云主体。反之，天翼云主体就是指此次备案的主办单位之前已经在本次备案的接入商处做过备案并获得了备案号。 新增接入是指您本次接入的域名和主体都获得了管局下发的备案号，且该备案号是在其他isp商获得的。而且域名所在网站的备案号与主体备案号相关联。用户可以通过工信部网站提供的公共查询功能（ 针对三证合一或五证合一的企业单位，在进行新增接入操作时，如果之前是使用三证合一前的证件即旧证件备案并获得备案号的（但在证件三证合一后未及时进行备案变更的），那么在进行备案订单创建时，需要使用旧证件号码进行录入。因为备案订单的创建是调用管局的已备案信息库。 部分企业三证合一前的证号可通过全国企业信用信息查询网站www.gsxt.gov.cn查询获得（即工商注册号），或全国组织机构代码管理中心网站www.cods.org.cn查询。 在同一个接入商内，在同一条订单内可填写多条网站信息（多个网站备案号）。 流程如下 新增接入备案的完整流程及流程简图如下图所示： 1 创建新增接入订单 通过备案类型的自动匹配（主办单位证件号码已经获得备案号，域名也获得备案号且与主体相关），在系统无其他冲突数据的前提下创建订单任务，点击“查看”进入新增接入流程。 2 填写主办单位信息 填写主办单位信息，请按照页面提示，完善您本次备案的主办单位信息和单位负责人信息。所有必填项信息填写完毕后，点击“保存”或“下一步，填写网站信息”按钮保存所填写的主体信息。 注意：新增接入时，主体信息不提交管局审核，仅做天翼云系统内部留存之用。 3 填写网站及接入信息 填写网站信息，按照页面提示内容进行内容填写。填写您本次备案的网站信息和接入信息，域名录入请录入一级域名或单个专线IP地址，不支持二三级域名或ip段的录入。录入域名信息时，必须保证所录入的域名为该网站备案号下的已备案域名，不能填写未备案域名或其他网站备案号下的域名。此处录入的域名表示天翼云接入，如该网站备案号下有个别域名不需要天翼云接入，请勿填写。 注意：网站负责人信息、网站名称不提交管局审核，仅提交域名、网站接入信息。如果您本次备案的主办单位需要连续增加多个网站接入，请点击“继续新增接入”来进行操作。点击“继续新增接入”，打开弹框，如下图所示： 录入网站域名，系统会自动校验该域名的网站备案号，该网站备案号必须与主体备案号相关，否则无法继续操作。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交预审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

本文主要介绍云日志服务中如何管理数据加工任务。 本文介绍如何在云日志服务控制台上管理数据加工任务，包括查看任务详情与状态，修改、启动、停止和删除任务，设置告警等操作。 查看任务详情 1. 登录云日志服务控制台。 2. 左侧点击【日志加工】菜单，进入日志加工列表页面。 3. 在加工任务列表中，点击目标加工任务名称进入加工任务概览页面，即可查看加工任务各详情状态。 停止任务 对于状态为运行中的任务，您可在数据加工概览页面，单击停止，即可停止当前加工任务。 启动任务 对于状态为已终止的任务，您可在数据加工概览页面，单击启动，即可启动当前加工任务。 重新执行 任何状态的任务都支持重新执行。您可在在数据加工概览页面，点击重新执行按钮，数据加工任务将会重新执行。 修改加工规则 1. 在数据加工概览页面，点击修改规则按钮。 2. 在修改页面，您可根据需求修改数据加工规则，步骤请参考创建数据加工任务。 删除任务 在数据加工概览页面，点击删除，即可删除当前数据加工任务。

本文为您介绍当云硬盘配额不足时,如何申请扩大云硬盘资源配额。 操作场景 若当前云资源的配额无法满足您的实际业务需求，您可以申请扩大资源配额。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 在此地域的资源页面右上角，点击“我的配额”图标，进入资源的服务配额页面。 4. 在服务配额页面的右上角，点击“申请扩大配额”，页面将跳转至“支持中心>新建工单>选择问题所属产品”页面。 5. 用户可在此页面中，点击“配额类”按钮，进入“选择问题类型”页面，在此页面，用户点击“配额申请>新建工单>去新建”按钮，出现“创建工单”页面。 6. 在此页面，用户根据界面提示，填写问题描述、机密信息、反馈邮件、反馈电话等真实信息，阐述清楚“扩大资源配额”的诉求，并说明申请扩大配额的原因，点击“确定提交”按钮。 7. 提交成功后，请您耐心等待天翼云工作人员回复与处理。

本文主要介绍分布式消息服务RabbitMQ的包年/包月计费模式。 包年/包月是一种先付费再使用的计费模式，适用于对资源需求稳定且希望降低成本的用户。通过选择包年/包月的计费模式，您可以预先购买云服务资源并获得一定程度的价格优惠。本文将介绍包年/包月RabbitMQ实例的计费规则。 适用场景 包年/包月计费模式，需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。 适用计费项 分布式消息服务RabbitMQ对您选择的RabbitMQ实例和RabbitMQ的磁盘存储空间收费。以下计费项支持包年/包月。 表1 适用计费项 计费项 说明 实例费用 包括代理规格和代理数量 存储空间费用 总存储空间（单个代理的存储空间代理数量）的费用。随包年/包月RabbitMQ实例创建的存储空间，其计费模式也为包年/包月 假设您计划购买一个RabbitMQ实例，其存储空间为300GB。在购买RabbitMQ实例页面底部，您将看到所需费用的明细，如图1所示。 图1 配置费用示例 配置费用将包括以下部分： 实例费用：根据所选配置（包括代理规格和代理数量）计算的费用。 存储空间费用：磁盘类型和总磁盘存储空间（单个代理的存储空间代理数量）的费用。

错误信息 错误可能原因 解决办法 ERROR 2003 (HY000): Can't connect to MySQL server on 'XXX'(10038或10060或110) 网络连通问题 1. 检查客户端与实例机器间ip、端口是否联通。 2. 若客户是通过弹性云主机访问MySQL实例，云主机与MySQL处于同一个VPC下。 3. 是否存在安全组。 ERROR 2013 (HY000): Lost connection to MySQL server at ‘reading authorization packet’, system error:110 网络连通问题 1. 确认是否存在过高的网络延迟。 2. 确认是否DNS解析失败或解析超时。 ERROR 1045 (28000): Access denied for user ‘XXX’@’XXX’ (using password: YES或NO) 用户名或密码错误 检登录的用户名和密码。 ERROR 2005 (HY000): Unknown MySQL server host ‘XXX’ (110或11004) DNS服务器无法解析地址 检查连接地址或修改DNS服务器地址。 报错 has more than 'maxuserconnections'或has exceeded the 'maxuserconnections' 数据库最大连接数已满 1. 重启数据库实例来释放连接。 2. 修改maxuserconnections为更大的值。 Linux系统连接实例报错 Unknown MySQL server host 可能由于开启了iptables导致域名解析的数据包被丢弃 编辑sysctl.conf文件，根据实际内存情况调整net.nfconntrackmax的参数，保存并退出，执行sysctl p使配置生效。