本节介绍业务请求类常见问题。 QPS超过当前WAF版本支持的峰值时有什么影响？ 如果您选择的QPS规格不足以支撑网站/应用业务每天的流量峰值，对超出当前WAF版本支持峰值的QPS，WAF将不再防护网站，可能出现限流、随机丢包等现象，导致您的正常业务在一定时间内不可用、卡顿、延迟等。 独享版WAF支持的QPS规格说明： 单实例规格的正常业务请求峰值： WAF实例规格选择WI500，参考性能： HTTP业务：建议QPS 5,000；极限QPS 10,000 HTTPS业务：建议QPS 4,000；极限QPS 8,000 Websocket业务：支持最大并发连接5,000 最大回源长连接：60,000 WAF实例规格选择WI100，参考性能： HTTP业务：建议QPS 1,000；极限QPS 2,000 HTTPS业务：建议QPS 800；极限QPS 1,600 Websocket业务：支持最大并发连接1,000 最大回源长连接：60,000 CC攻击防护峰值： WAF实例规格选择WI500，参考性能： 防护峰值：20,000QPS WAF实例规格选择WI100，参考性能： 防护峰值：4,000QPS 如何查看防护网站的入带宽和出带宽信息？ 在“安全总览”页面，您可以查看防护网站或实例的带宽信息，操作步骤如下。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在网站或实例下拉列表中，选择要查看的网站或实例，并选择查看的时间段（昨天、今天、3天、7天、30天）。 步骤 5 在“安全统计”区域框中，选择“发送/接收字节数”页签，可以查看防护网站或实例的入带宽和出带宽信息。

本小节介绍微隔离防火墙创建工作组方法。 在接入工作负载之前，推荐先根据业务情况创建工作组，以便于后续工作负载直接接入对应的工作组（也可以先预设几个组，接入工作负载后，再根据业务进行组的划分）。 新建组标签 1.首先点击菜单栏的标签管理： 2.进入标签管理页面后，根据业务属性，创建对应的位置、环境、应用标签（用于后续定义工作组）。 3.标签分为名称及显示名称，名称支持英文、数字及下划线组合，且唯一。显示名称可以为中文，不唯一。 创建工作组 1.点击菜单栏的工作组，进入工作组管理页面： 2.点击新建，在弹出的对话框中输入此工作组的相关信息，根据业务情况选择事先创建的标签。每个工作组由03个组标签定义，若某一项无标签，可不选择。 注意 当工作组无标签时，无法匹配策略。 3.点击确定后，工作组建立完成，拓扑图中会出现该工作组。 安全风险说明 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护微隔离防火墙管理端口6443。 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 其次，点击【配置规则】下的【入方向规则】。在规则配置中，选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

本节主要介绍智能视图服务产品的应用场景。 智慧城市 适用于对城市安全、应急管理、交通调度有迫切需求的城市。一方面可以进行实时的智能监管，从而及时发现问题；另一方面，可以快速协同调度资源，进行视频数据、结构化数据等多维度大数据的统一管理和应用，实现高效的城市治理。智能视图服务具备以下优势： 大规模部署推流接入点，就近接入，保证各场合稳定推流。 提供AI内容审核增值服务，如人脸识别，人员聚集检测、车辆牌号检索等。 支持多种播流格式，支持全网加速分发。 整合多渠道数据信息，智能统计与分析，丰富数据资产，助力城市管理数字化转型。 智慧教育 适用于校园内及多校园间多摄像头统一纳管的场景，通过实时预览、录像回溯方便管理校园内视频点位，提供安全隐患识别、人员管理分析等一站式智能管理服务，实现平安智慧校园。智能视图服务具备以下优势： 建设周期短，成本低廉，适合需要快速上云的学校或者教育机构。 支持设备接入、存储和分发一体化解决方案，按需扩容，提升资源利用率。 支持AI算法仓库统一管理，GPU算力智能调度，AI算法统一编排。 教育监管机构、学生家长等多方可便捷的通过 APP和PC客户端实时观看视频。

本文为您介绍安全总览功能说明，以及支持查看的统计图表、数据含义。 Web应用防火墙（原生版）安全总览页面向您展示当前WAF实例中所有域名的防护统计记录、请求趋势图表以及攻击事件的分布状态等，帮助您了解网站业务的整体安全状态。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成防护对象接入并正常防护。 查询条件 在总览页面上方，选择要查询的防护对象和时间，查询总览数据。 查询条件说明： 防护对象：默认展示SaaS模式下已接入防护的相关数据，也可以查询其他模式下已接入防护的数据，或只查询某个防护对象的数据。 时间：查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间范围的防护统计数据。 防护统计数据 防护统计数据展示了网站域名收到的全部请求次数、全部攻击次数和触发了不同防护模块的防护次数，防护模块包括Web入侵防护、CC防护、精准访问防护、BOT防护、地域访问控制、IP黑白名单、防敏感信息泄露、Cookie防篡改、攻击惩罚。 单击全部攻击次数，可以跳转至防护事件列表页，查看统计数据对应的详细攻击事件记录。

本文向您介绍如何查看并导出网站的受攻击日志详情。 功能介绍 边缘云WAF默认提供攻击日志，详细记录攻击产生的时间、攻击源IP、攻击类型及攻击详情等信息，攻击日志仅支持查询6个月内日志，并且支持导出攻击日志。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 域名接入成功后，会自动开启防护规则引擎，您也可以根据防护需求开启其他的防护功能，边缘云WAF检测出攻击行为后会自动生成攻击日志 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【WAF攻击日志】页面 2. 通过筛选项进行组合查询攻击日志。筛选项包括域名、攻击类型、处理动作、规则ID、日期选择等组件 日志字段说明： 攻击IP：发起请求的客户端IP 请求方式：客户端的请求方法 URI：请求的URI 攻击类型：详细攻击类型 状态码：响应的状态码 处理动作：请求的处理动作 攻击时间：攻击请求发生的时间 攻击详情：能够查看攻击客户端IP的详细属性，比如地域归属、UA等 单击【导出】按钮，能够导出攻击日志，默认导出10000条攻击日志

本节介绍如何扫描集群内的组件，发现组件上的漏洞。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 组件漏洞”，进入组件漏洞页面。 3. 单击组件漏洞列表右上角的“开始扫描”，对集群内的组件进行扫描，获取全部组件漏洞信息。 4. 扫描完成后，即可查看组件漏洞列表。 组件漏洞列表内，支持按照“组件名称”“组件版本”“集群名称”“集群版本”“命名空间”“节点名称”“危险级别”进行筛选查询。 组件列表参数说明： 参数 说明 组件名称 Kubernetes集群中的组件主要有以下几类： 控制平面组件（Control Plane Components）：控制平面的组件对集群做出全局决策（比如调度），以及检测和响应集群事件。包括kubeapiserver、etcd、kubescheduler、kubecontrollermanager、cloudcontrollermanager等组件。 Node组件：节点组件在每个节点上运行，维护运行的Pod并提供Kubernetes运行环境。包括kubelet、kubeproxy等组件。 容器运行时（Container Runtime）组件：容器运行时组件是负责运行容器的软件。 第三方插件：插件使用Kubernetes资源（DaemonSet、Deployment等）实现集群功能。因为这些插件提供集群级别的功能，插件中命名空间域的资源属于kubesystem命名空间。包括DNS、Dashboard等组件。 组件版本 组件的版本。 集群名称 组件所属集群的名称。 集群版本 组件所属集群的版本。 命名空间 组件所属命名空间。 节点名称 组件运行所在节点的名称。 漏洞数量 显示组件内存在的不同风险等级的漏洞数量统计信息。 最后一次扫描时间 该组件最后一次被扫描的时间。

不同操作系统切换须知 不同操作系统间的切换是指Windows与Linux操作系统之间的互相切换。 Windows系统更换为Linux系统：请安装读写Windows系统的NTFS分区工具，例如NTFS3G等。 Linux系统更换为Windows系统：请安装可以识别ext3、ext4等分区的识别软件，例如Ext2Read、Ext2Fsd等。 说明 云平台不推荐您将Linux系统更换为Windows系统，当Linux系统中存在LVM分区时，切换为Windows系统后可能会导致LVM逻辑分区无法识别。 前提条件 待切换操作系统的弹性云主机挂载有系统盘。 切换操作系统会清除系统盘数据，包括系统盘上的系统分区和所有其它分区，请做好数据备份。 如果原服务器使用的是密码登录方式，切换操作系统后使用密钥登录方式，请提前创建密钥文件。 如果您使用私有镜像切换操作系统请参考《镜像服务用户指南》提前完成私有镜像的制作。 − 如果需要指定弹性云主机器的镜像，请提前使用指定弹性云主机创建私有镜像。 − 如果需要使用本地的镜像文件，请提前将镜像文件导入并注册为云平台的私有镜像。 − 如果需要使用其他帐号的私有镜像，请提前完成镜像共享。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在待切换操作系统的弹性云主机的“操作”列下，单击“更多 > 镜像/磁盘 > 切换操作系统”。 切换操作系统前请先将云主机关机。 4. 根据需求选择需要更换的弹性云主机规格，包括“镜像类型”和“镜像”。 相关参数说明请参见创建弹性云主机。 5. 设置登录方式。 如果待切换操作系统的弹性云主机是使用密钥登录方式创建的，此时可以更换使用新密钥。 6. 单击“确定”。 7. 在“切换云主机操作系统”页面，确认切换的操作系统规格无误后，单击“提交申请”。 提交切换操作系统的申请后，弹性云主机的状态变为“切换中”，当该状态消失后，表示切换结束。 说明 切换操作系统过程中，会创建一台临时弹性云主机，切换操作系统结束后会自动删除。

优势： 超强写入： 相比于其他NoSQL服务，拥有超强写入性能。 大数据分析： 结合Spark等工具，可以用于实时推荐等大数据场景。 金融行业 云数据库 GeminiDB结合Spark等大数据分析工具，可应用于金融行业的风控体系，构建反欺诈系统。 优势： 大数据分析： 结合Spark等工具，可以进行实时的反欺诈检测。

安全态势 安全态势模块用于呈现企业的整体风险和威胁状况，说明如下： 病毒查杀覆盖统计：呈现病毒发现趋势图、病毒数量 TOP 10（按用户统计、按设备统计、按病毒名称统计）。 漏洞扫描覆盖统计：呈现漏洞发现趋势图、紧急漏洞数量 TOP 10（按用户统计、按设备统计、按漏洞名称统计）。 风险软件安装统计：风险软件 TOP 10 安装榜（按安装数量排序）。 钓鱼发现趋势图：呈现 IM 钓鱼、邮件钓鱼趋势图。 效能态势 针对企业员工的行为进行分析企业办公效能，以助于企业管理员进行相关管理。 效能分析配置 可配置效能分析配置。 分析状态：默认关闭分析，若是关闭状态则不进行效能分析。 生效用户范围：主要针对对应用户进行分析。 配置工作时间：按照工作范围进行统计分析。 部门效率画像 针对组织的效率情况进行整体概览分析。 可查看组织人数、统计人数，可以下拉进行选择对应组织分析。 平均每日工作时长：根据设备在线时间进行统计工作时长。 空闲时长占比：根据员工息屏、长时间无操作等进行判定是否空闲，统计空闲时长占比。 额外工作时长：针对办公设定的时长与实际办公时长对比，统计额外的工作时长。 工作饱和度：根据工作时长等维度进行计算工作饱和度。

本文为您系统梳理使用数据库双活的标准化准备流程。 概述 数据库双活提供数据库语义级的同构数据库双活复制软件服务。采用数据库之间语义级的数据实时复制与同步；基于数据库事务日志分析技术，在数据库高并发事务场景下实现数据实时同步；于目标端同步写入时序，严格确保源端和目标端的数据库事务级最终一致性；提供了备库接管、反向同步等功能。 操作步骤 一、购买许可 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步”“资源同步管理”，进入资源管理模块页面。 5. 点击左侧菜单栏“数据库双活”，点击“许可”，进入许可页面。 6. 点击右上角“购买数据库双活许可”按钮，弹出购买许可弹窗。按需购买许可。 7. 填写数据库类型、购买数量和时长，勾选已阅读并同意相关协议后，点击“购买”按钮，完成许可支付。 二、安装drnode 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入[控制中心](

本节主要介绍功能特性 堆栈管理 堆栈是应用程序、云服务资源的集合。堆栈将应用、云服务作为一个整体来进行创建、升级、删除等。 在AOS中，通过创建堆栈可以把应用程序一键式部署到天翼云上，并有序的管理所依赖的云服务资源。 模板管理 AOS模板是一个YAML或JSON格式的文本描述文件，用于描述您想要的云对象（云对象包括应用、资源、服务等所有云上的对象）。AOS服务根据描述文件帮助您完成各种云对象的创建。 任何一种自动化的过程，都需要一种描述语言来控制其执行流程。 例如，shell脚本（文本文件）描述如何自动执行command命令，AOS模板也一样，用来描述各种云对象的创建、销毁等流程。以Shell脚本为例，其执行逻辑如下： Shell脚本特点大致为： •脚本是一个文本文件。 •若脚本写的好，可以重复执行。 AOS模板也是一样的逻辑，AOS服务就是模板的解释器，根据模板要求，执行对应动作。您可以把AOS看作是云上自动化标准。 一个良好定义输入、编排和输出的模板就会更加的通用。使用这个模板，就可以方便的进行传递和分享。

本节主要介绍设置微服务引擎公网访问 状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 须知 将未配置安全认证鉴权能力的微服务引擎开放到公网将面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 1、进入微服务引擎页面，单击左侧菜单栏的“引擎列表”。 2、单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、单击并开启“公网访问”开关。 4、单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的 “√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 1、进入微服务引擎页面，单击左侧菜单栏的“引擎列表”。 2、单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、单击并关闭“公网访问”开关。 4、在弹出对话框单击“确定”。

此小节介绍数据库安全服务产品优势。 数据库安全审计提供的旁路模式数据库审计功能，可以对风险行为进行实时告警。同时，通过生成满足数据安全标准的合规报告，可以对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 操作简单，快速上手 采用数据库旁路部署方式是一种简单且快速上手的数据库审计部署方式，该部署方式是在数据库服务器之外设置一个独立的审计服务器，通过旁路方式捕获数据库的操作和日志信息，实现对数据库的实时监控和记录。同时方便用户快速上手，对数据库实例操作简单。 天翼云自建数据库全量审计 支持对管理控制台上自建的数据库进行审计，同时也兼容国内外常见数据库。 快速识别，精确分析 实现99%+的应用关联审计、完整的SQL解析、精确的协议分析。通过分析应用程序的日志、监控网络通信以及使用数据库审计工具等方式实现，确保所有的应用程序操作都能被审计并与相应的用户或应用程序关联起来。对SQL语句进行全面的解析和分析，以获取其中的各个组成部分，如表名、列名、查询条件等。深入了解数据库通信协议的结构和内容，并能够准确地解析和分析其中的数据包。 高效分析，秒级响应 通过数据库技术选型、数据库优化、分布式存储、缓存技术、数据分区和分布式计算、硬件优化以及数据库集群和负载均衡等技术，达到每秒万次入库、海量存储、亿级数据秒级响应。

本节介绍如何使用 SASLSSL 接入点接入Kafka,文档以Java代码为例。 前提条件 已配置正确的安全组。 已获取连接Kafka实例的地址。 如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 已创建弹性云服务器，如果使用内网同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。 需要用户先在用户管理页面创建用户，然后给对应的topic授予生产消费权限。 接口地址及证书下载，需使用内网同一个VPC访问，实例端口为8098。具体信息从控制台实例详情菜单处获取，如下图所示，点击中间下载箭头即可下载证书。 Maven中引入Kafka客户端 java Kafka实例基于社区版本2.8.2/3.6.2，推荐客户端保持一致。 org.apache.kafka kafkaclients 2.8.2/3.6.2 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLSSL"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); props.put("ssl.truststore.location","/kafka/client.truststore.jks"); props.put("ssl.truststore.password","sJses2tin1@23"); props.put("ssl.endpoint.identification.algorithm","");

本文向您介绍怎样修改远程登录的端口。 修改Windows系统实例默认远程端口，以Windows Server 2012数据中心版为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考Windows弹性云主机管理控制台远程登陆（VNC方式），远程登录待修改端口的Windows弹性云主机实例。 5. 修改注册表子项PortNumber的值。 1）右键单击Windows 徽标键，选择运行，启动运行窗口。 2）在运行窗口的文本框内输入regedit.exe后按回车键，打开注册表编辑器。 3）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 4）在列表中找到注册表子项PortNumber并右键单击，选择修改，进入修改窗口。 5）在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击确定。 6）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 7）在右侧列表中找到注册表子项PortNumber并右键单击，选择修改（可以使用键盘方向键向下寻找）。 8）在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击确定。 6. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 7. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 具体操作，请参见配置安全组规则。 8. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。 修改Linux系统实例默认远程端口，以CentOS 8.0 64位为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待修改的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 因sshdconfig是Linux中重要的配置文件，为了避免误操作所带来的故障，在运行前首先对sshdconfig进行备份，请运行以下命令： 7. 进入到/etc/ssh路径下输入ll命令查看，具体信息如下图： cp /etc/ssh/sshdconfig /etc/ssh/sshdconfigbak 8. 修改sshd服务的端口号，因为已经在/etc/ssh路径下，因此直接运行vim sshdconfig编辑sshdconfig配置文件，在键盘上按i键，进入编辑状态，添加新的远程服务端口，本节以2222端口为例。在Port 22下输入Port 2222。 9. 在键盘上按Esc键，输入:wq后保存并退出编辑模式。 10. 运行以下命令重启sshd服务。 systemctl restart sshd 至此，此弹性云主机的远程登录默认端口已经从22改为了2222。 功能验证： 1）打开远程连接工具putty，输入此弹性云主机实例的弹性公网IP，先使用默认22端口登录，可以看到连接被拒绝，网络已中断，说明目前22端口已经无法进行远程登录。 2. 配置实例的安全组，放行TCP协议2222端口，具体操作，请参见配置安全组规则 3. 配置完成之后，使用SSH工具连接新端口2222，在port下输2222，可看到能够成功连接。

检查弹性伸缩组云防火墙 接口功能介绍 用于检查该账户下，哪些安全组被伸缩配置所使用 接口约束 无 URI POST /v4/scaling/config/securitygroupscheck 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必选 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b securityGroupIDList 是 Array of Strings 安全组ID列表 ['sgnd1h63d2j8'] 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回码：800表示成功，900表示失败 800 errorCode String 业务细分码，为product.module.code三段式码 Scaling.Group.NotFound 错误码 message String 失败时的错误描述，一般为英文描述 scaling group info not found description String 失败时的错误描述，一般为中文描述 未找到弹性伸缩组信息 returnObj Object 成功时返回的数据，参见表returnObj returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 securityGroupIDList Array of Strings 安全组ID列表 ['sgnd1h63d2j8'] 请求示例 请求头header 无 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "securityGroupIDList": ["sgnd1h63d2j8"] }

本章节主要向您介绍企业路由器的权限管理相关内容。 如果您需要对云服务平台上的ER资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ER的使用权限，但是不希望他们拥有删除ER等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ER，但是不允许删除ER的权限，控制他们对ER资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ER服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 ER权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ER部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ER时，需要先切换至授权区域。 下表介绍了ER的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 ER FullAccess 企业路由器的管理员权限，拥有该权限的用户可以操作并使用所有企业路由器。 系统策略 无 ER ReadOnlyAccess 企业路由器只读权限，拥有该权限的用户仅能查看企业路由器数据。 系统策略 无 下表介绍了ER常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 Tenant Administrator Tenant Guest ER FullAccess ER ReadOnlyAccess 创建企业路由器 √ × √ × 修改企业路由器配置 √ × √ × 查看企业路由器 √ √ √ √ 删除企业路由器 √ × √ × 在企业路由器中添加“虚拟私有云（VPC）”连接 √ × √ × 删除“虚拟私有云（VPC）”连接 √ × √ × 查看连接（所有类型） √ √ √ √ 创建路由表 √ × √ × 修改路由表名称 √ × √ × 查看路由表 √ √ √ √ 删除路由表 √ × √ × 创建关联将连接关联至路由表中 √ × √ × 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ × √ × 在路由表中创建连接的传播 √ × √ × 查看路由表中连接的传播 √ √ √ √ 删除路由表中连接的传播 √ × √ × 创建静态路由 √ × √ × 修改静态路由 √ × √ × 查看路由 √ √ √ √ 删除静态路由 √ × √ × 创建流日志 √ × √ × 查看流日志 √ √ √ √ 关闭流日志 √ × √ × 开启流日志 √ × √ × 删除流日志 √ × √ × 添加资源的标签 √ × √ × 修改资源的标签 √ × √ × 查看资源的标签 √ √ √ √ 删除资源的标签 √ × √ ×

此小节介绍运维故障。 登录云堡垒机实例时，收不到短信验证码怎么办？ 问题现象 配置“手机短信”方式多因子登录后，通过手机短信方式登录，不能获取手机验证码，提示“发送短信失败！”。 重置登录密码，收不到短信验证码。 可能原因 原因一：受浏览器兼容性限制，当浏览器版本与云堡垒机系统不匹配时，会导致不能获取到短信验证码，甚至登录后页面显示异常和无法操作。 原因二：CBH系统短信网关为系统内置网关，短信发送频率超过限制。 原因三：安全组限制了短信网关IP，或未放开10743、443端口。 原因四：用户手机号码配置错误。 原因五：用户手机短信业务有异常。 原因六：堡垒机实例未绑定弹性公网IP（Elastic IP，EIP）。 解决办法 原因一： 更换浏览器或升级浏览器版本，通过Web登录推荐使用浏览器及版本请参见表。 表 推荐浏览器及版本 浏览器 版本 Edge 44及以上版本 Chrome 52.0及以上版本 Safari 10及以上版本 Firefox 50.0及以上版本 原因二： 等待限制时间到期后，再按手机短信验证码发送频率要求操作。 1分钟内发送短信不超过1条； 1小时内发送短信不超过5条 ； 1天内发送短信不超过15条。 修改短信网关配置，设置为“自定义”短信网关。 原因三： 云堡垒机实例绑定的安全组放开短信网关IP和10743、443端口。 原因四： 普通用户请联系管理员，修改绑定的手机号码。 若admin用户配置了手机短信登录，但手机号码配置错误，请直接联系技术支持。 原因五： 用户确认绑定手机的短信业务状态，请从以下几个方面分别确认： 确认手机是否欠费停机。 确认验证短信是否被拦截归为垃圾短信。 确认手机网络通讯是否正常。 原因六： 用户若需登录云堡垒机系统，必须首先为实例绑定弹性IP。为满足CBH使用需求，建议配置EIP带宽为5M以上。 无法添加资源，提示“资源超出许可限制”怎么办？

本节介绍网络的用户指南：集群网络概述。 集群网络分为主机和容器两个维度，主机位于VPC中使用VPC网络，容器网络则使用容器网络插件来管理。 节点网络 VPC为集群内主机分配IP地址，订购集群时选择VPC中的子网用于集群的主机网络，子网可用IP数量直接限制了集群节点规模。 容器网络 约束条件 容器网络CNI插件为Pod分配IP地址，云容器引擎提供的CNI插件均符合kubernetes容器网络模型，具体约束如下： 1.每个Pod都拥有一个独立IP地址，Pod内容器均共享一个网络命名空间； 2.任意Pod之间均可直接通信，无需NAT； 3.任意Pod与节点间均可直接通信，无需NAT。 网络插件 当前云容器引擎提供如下CNI插件： calico容器网络：使用calico IPIP模式。该模式下，calico依旧使用BGP分发节点的容器路由信息，但在节点网络基础上通过IPIP隧道技术构建独立于节点网络平面的容器网络平面，IPIP将发给容器的IP报文封装成发给目的节点的IP报文进行隧道传输； cubecni容器网络：是云原生网络方案，直接基于VPC网络中的弹性网卡和IP资源构建容器网络。Pod通过弹性网卡资源直接分配VPC的子网IP地址，无需额外指定虚拟Pod地址段。 Cubecni和Calico对比如下： 。 对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

本节介绍了什么是云容器引擎,便于用户对容器产品有个总体认识。 云容器引擎提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；获得信通院可信云《全栈容器云解决方案》认证，兼容主流国产化服务器和操作系统，取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用，实现业务的快速交付与持续创新。 产品形态 云容器引擎包含专有版集群和托管版集群两种产品形态。各资源池对集群类型的支持情况以容器集群订购页面显示为准。自2026年4月1日起，原支持托管版的资源池将暂停专有版集群的新建操作，但存量专有版集群业务可继续正常使用。 比较项 专有版集群 托管版集群 比较项 专有版集群 单实例 高可用 特点 自行创建控制节点（Master节点）以及工作节点（Worker节点） 只需创建工作节点（Worker节点），控制节点（Master节点）由云容器引擎创建并托管，您无需管理控制节点 计费项 集群管理、控制节点、工作节点以及其他IaaS云资源 集群管理、工作节点以及其他IaaS云资源 应用场景 适用于所有场景，您可以对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群 适用于个人学习体验 适用于对性能、可用性和安全性有更高要求的企业级用户 用户画像 有Kubernetes开发运维背景，懂Kubernetes 对控制节点（Master节点）有定制化需求 有明确的集群资源规划，完全自管集群 Kubernetes新手，用于个人学习体验 个人开发与测试 减少对Kubernetes的运维投入以及成本投入 不关心控制节点（Master），只关注业务应用 企业生产系统部署

参数 说明 取值样例 名称 VPC流日志的名称。 名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 flowlog495d 资源类型 选择要采集流量的资源类型，目前支持网卡类型。 网卡 选择资源 选择需要采集流量信息的具体资源。 说明 建议您选择处于开机状态的弹性云服务器。如果选择了关机状态的弹性云服务器，请在VPC流日志创建完成后，重启弹性云服务器，以便准确的记录网卡流量。 采集类型 全部：采集指定资源的全部流量。 接受：采集指定资源被安全组或网络ACL允许的流量。 拒绝：采集指定资源被网络ACL拒绝的流量。 全部 日志组 选择在云日志服务中创建的日志组。 ltsgroupwule 日志主题 选择在云日志服务中创建的日志主题。 LogTopic1 描述 VPC流日志的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。

OpenAPI门户提供了产品OpenAPI的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云虚拟私有云产品API的详细介绍，请参见虚拟私有云OpenAPI。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线API调试将更加方便。

此章节指导您如何更改VPC。 为方便您的堡垒机和云上其他项目处于同一VPC下，您可以在堡垒机控制台更改VPC。 约束条件 堡垒机实例版本在V3.3.52.0及以上版本才支持更换VPC操作。 控制台中“运行状态”为“运行中”的实例才可以更改VPC。 在切换VPC前要确保待切换的VPC子网下的IP数≥3。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全与合规 > 云堡垒机”，进入云堡垒机实例界面。 4.在需要修改VPC的实例所在行，单击“操作”列中的“更多 > 网络设置 > 切换VPC”。 5.在弹出的对话框中勾选需要切换的“VPC”和“子网”。 说明 堡垒机实例切换VPC后，旧子网会依旧处于占用状态，需要您手动去子网下删除。

本节介绍了弹性云主机可以做什么。 弹性云主机与传统硬件服务器一样，可以部署任意业务应用，例如：邮件系统、WEB系统、ERP系统等。弹性云主机创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云主机。

关系数据库MySQL版实例在使用上有一些功能约束与限制，以提高实例的稳定性和安全性。本文为您详细介绍关系数据库MySQL版在功能上的约束与限制，以及数据库root权限相关信息。 功能约束与限制 在使用关系数据库MySQL版实例前，您需要了解如下约束与限制： 功能 约束与限制 :: 部署 数据库实例所部署的弹性云主机，对用户不可见，只允许应用程序通过IP地址和端口访问数据库。 数据库访问 ● 对于没有开通公网访问的关系数据库MySQL实例，只能通过同一个虚拟私有云内的弹性云主机进行访问。 ● 弹性云主机必须处于目标关系数据库MySQL版实例所属安全组允许访问的范围内。 ● 当关系数据库MySQL版实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 ● 关系数据库MySQL版只读实例必须与主实例在同一子网内创建。 ● 关系数据库MySQL版实例的默认访问端口为13049（实际端口以控制台为准），如需修改端口可通过管理控制台操作。具体操作，请参见修改数据库端口。您需要注意，该操作会重启数据库实例，约3~5分钟完成修改，请谨慎操作。 数据库存储引擎 关系数据库MySQL版服务目前支持的存储引擎为：InnoDB，版本包括：5.7和8.0。更多信息，请参见存储引擎和版本。 数据库的权限 数据库权限分为root用户权限和非root用户权限，具体说明如下： ● root用户权限：在创建实例时，默认为实例分配管理员root用户权限。具体权限说明，请参见本文的root权限说明 。为避免影响业务正常使用，建议您谨慎对root帐号执行revoke、drop user、rename user操作。 ● 非root用户权限：实例创建成功后，您也可以为该实例创建非root用户并分配权限。具体操作，请参见创建数据库用户。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。具体操作，请参见参数设置。 您需要注意，部分参数可能要重启才能生效，请谨慎操作。 搭建数据库复制 关系数据库MySQL版本身提供主备或一主两备的高可用架构，无需用户手动搭建。备库主要用于可高用和容错性，不允许用户应用直接访问。 重启实例 必须通过管理控制台操作重启实例，不支持命令行重启实例。 具体操作，请参见重启实例。

查看连接信息 单击连接信息页签，可以获取公网以及内网环境下的KubeConfig文件的配置内容，用于配置Kubectl客户端对集群的访问。 查看集群资源 单击集群资源页签，可以查看集群的虚拟专有网络VPC以及安全等信息。

本节介绍了查看弹性云主机创建失败任务的操作场景、失败信息事件类型、操作步骤等内容。 操作场景 “失败信息”栏记录了系统处理中发生异常，导致处理失败的任务，包括该任务的“名称”、“状态”等信息。当有处理失败的操作时，控制台将显示该内容。本节介绍如何查看“失败信息”。 失败信息事件类型 “失败信息”栏记录的失败信息事件类型如下表所示。 表 失败信息事件类型 事件类型 说明 创建失败 指未能成功处理的请求。对于创建失败的任务，系统会自动回退，同时在界面上直观的展示错误码，例如“（Ecs.0013）EIP配额不足”。 操作失败 变更规格用户申请变更规格后，如果规格变更失败，则“失败信息”栏将显示本次变更规格操作。创建弹性云主机时开启自动恢复功能用户创建弹性云主机时，如果设置启动自动恢复功能，但是弹性云主机创建成功后，系统开启自动恢复功能失败。此时，“失败信息”栏将显示本次创建弹性云主机的操作。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 常用操作“开机/关机/重启/更多”的右侧即为“失败信息”。 说明 如果管理控制台上未显示“失败任务”按钮，则表明如下任务均执行成功： 变更规格 创建弹性云主机时开启自动恢复功能 4. 单击“失败信息”栏对应的数字，即可查看系统处理失败的任务详情。其中： 1. 创建失败：您可以从创建失败的列表中查看创建中和创建失败的任务。 2. 操作失败：您可以从操作失败列表中查看处理异常的任务，包括异常任务的具体操作、错误码等，便于定位系统处理异常的原因，及时予以恢复。

备案成功后需注意以下事项： 按照《非经营性互联网信息服务备案管理办法》，在您的网站首页底部中间位置，放置您的备案号并链接至工信部备案管理系统“ ”。 请您务必保证网站内容与备案内容一致，内容不一致将面临整改、关停风险。 按照《中华人民共和国计算机信息系统安全保护条例》等相关法律法规，网站开通之日起30日内登录《全国互联网安全管理服务平台》提交公安备案申请，详情请参见《互联网站安全服务平台操作指南》。

迁移场景 工具 方案 迁移说明 自建Redis迁移至DCS DCS控制台数据迁移功能 使用在线迁移自建Redis 不同Region，可开通 云间高速 ，打通网络 同Region不同VPC，可开通 对等连接 ，打通网络 自建Redis迁移至DCS Rediscli 使用Rediscli迁移自建Redis（AOF文件） 自建Redis迁移至DCS Rediscli 使用Rediscli迁移自建Redis（RDB文件） 自建Redis迁移至DCS RedisShake 使用RedisShake工具迁移自建Redis Cluster集群 其他云厂商Redis服务迁移至DCS DCS控制台数据迁移功能 使用在线迁移其他云厂商Redis 其他云厂商Redis服务迁移至DCS RedisShake 使用RedisShake工具离线迁移其他云厂商Redis Cluster集群 DCS实例间迁移 DCS控制台数据迁移功能 低版本Redis迁移至高版本Redis实例。 如网络互通，建议使用在线迁移功能迁移Redis实例数据 如网络不通，建议打通网络后，再使用在线迁移功能迁移Redis实例数据 1、网络连通 不同Region，可开通 云间高速 ，打通网络 同Region不同VPC，可开通 对等连接 ，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例间迁移 DCS控制台数据迁移功能 不同Region的Redis实例迁移，建议打通网络后，再使用在线迁移功能迁移Redis实例数据 1、网络连通 不同Region，可开通 云间高速 ，打通网络 同Region不同VPC，可开通 对等连接 ，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例间迁移 DCS控制台数据迁移功能 不同账号的Redis实例迁移，建议使用在线迁移功能迁移Redis实例数据 1、网络连通 不同Region，可开通 云间高速 ，打通网络 同Region不同VPC，可开通 对等连接 ，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例间迁移 DCS控制台数据迁移功能 同Region不同VPC下的Redis实例迁移，建议打通网络后，再使用在线迁移功能迁移Redis实例 1、网络连通 不同Region，可开通 云间高速 ，打通网络 同Region不同VPC，可开通 对等连接 ，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例迁移下云 DCS控制台数据迁移功能 DCS实例迁移下云 建议打通网络后，使用线迁移功能进行数据迁移

本文将为您介绍如何在专属云中创建云主机。 操作场景 当您创建了专属云资源池之后，可参照本文在专属云中创建承载业务应用的弹性云主机，这些云主机都基于专属云中物理隔离的宿主机开通，因此所有计算资源由用户完全独享。 前提条件 已联系专属客户经理填写业务需求单申请计算专属云，详情请参见申请计算专属云服务。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择您的专属云资源池，如内蒙>Dectest。 3. 在控制台首页，选择“计算>弹性云主机”。 4. 在云主机控制台的右上角，单击“创建云主机”按钮。 5. 在云主机创建页面中，根据自身业务需求完成云主机实例的配置，包括云主机名称、主机名称、规格配置、镜像类型等。同时，专属云中支持用户可指定宿主机开通云主机。 注意 1. 在专属云中创建云主机时，若不指定宿主机，云主机将随机分配在对应规格的宿主机上。 2. 计算专属云和存储专属云内云主机资源（指相应的实例规格，不包括系统盘、数据盘、带宽等配置）均不额外收费，仅针对宿主机收费。

DSC内置有L1L4四种敏感数据级别，如果内置级别无法满足您的需要，可以根据此章节进行自定义级别 约束条件 级别创建后不支持删除。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 选择“级别配置”页签，在级别配置列表左上角单击“新增分级”。 步骤 6 在“新增分级”弹框中配置相关信息，参数说明如下表。 新增级别参数说明 参数 说明 级别名称 输入自定义的级别名称。 级别颜色 可根据敏感等级选择级别颜色，级别颜色数值越高敏感度越高。 如姓名、性别等为低敏感数据；身份证号、加密密钥等为高敏感数据。 步骤 7 单击“确定”完成新增规则。

本节介绍如何创建数据空间。 操作场景 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 当您需要使用态势感知（专业版）提供的 安全分析 、 数据分析 、智能建模等功能时，需要新增数据空间。 前提条件 已新增工作空间，具体操作请参见新增工作空间。 约束与限制 一个工作空间中最多可创建5个数据空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在数据空间列表左上角，单击“新增”，系统从右侧弹出新增数据空间界面。 6. 在新增数据空间页面中，配置新建数据空间参数，参数说明如下表所示。 参数名称 参数说明 数据空间 输入数据空间名称。命名规则如下： 名称长度取值范围为563个字符。 可包含英文字母、数字和。其中，不能出现在开头和结尾，且不能连续出现。 名称须为全局唯一，不能与其他数据空间名称相同。 描述 可选参数，设置该数据空间的备注信息。 7. 单击“确定”，完成数据空间的新增。 新增完成后，可以在数据空间列表中查看已新增的数据空间。