本章节介绍云主机端口占用故障演练。 背景介绍 在服务部署或运行期间，目标端口可能已被一个预期之外的进程（如僵尸进程、配置错误的旧版服务或恶意程序）所占用。这会导致新服务启动失败，并抛出Address already in use的错误。本演练模拟此端口冲突场景，帮助您检验服务启动脚本的错误处理能力、验证部署系统的健康检查和回滚逻辑，以及监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是启动自定义程序， 创建Socket对象并绑定到指定端口。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择端口占用动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 指定被占用的端口：目标端口号。 强制占用此端口：先尝试杀掉当前正在使用该端口的进程，然后再占用它。 cgroup根路径：在容器化等复杂环境中，对特定 cgroup 控制组内的进程进行端口占用。通常保持默认值 /sys/fs/cgroup 即可。

本章节介绍云主机端口占用故障演练。 背景介绍 在服务部署或运行期间，目标端口可能已被一个预期之外的进程（如僵尸进程、配置错误的旧版服务或恶意程序）所占用。这会导致新服务启动失败，并抛出Address already in use的错误。本演练模拟此端口冲突场景，帮助您检验服务启动脚本的错误处理能力、验证部署系统的健康检查和回滚逻辑，以及监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是启动自定义程序， 创建Socket对象并绑定到指定端口。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择端口占用动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 指定被占用的端口：目标端口号。 强制占用此端口：先尝试杀掉当前正在使用该端口的进程，然后再占用它。 cgroup根路径：在容器化等复杂环境中，对特定 cgroup 控制组内的进程进行端口占用。通常保持默认值 /sys/fs/cgroup 即可。

本文主要介绍查看云审计日志。 操作场景 开启了云审计服务后，系统开始记录CCE资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台左上角单击图标，选择区域。 步骤 3 单击页面上方的“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 步骤 4 单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤 5 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。其中，事件来源选择“CCE”。 当筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 步骤 6 在需要查看的记录左侧，单击展开该记录的详细信息，展开记录如下图所示。 图 展开记录 步骤 7 在需要查看的记录右侧，单击“查看事件”，将会弹出一个窗口显示该操作事件结构的详细信息。 图查看事件

特性 说明 相关操作 使用云主机创建系统盘镜像 创建云主机实例后，您可以根据业务需求自定义实例（例如：安装软件、部署应用环境）， 并使用更新后的云主机创建系统盘镜像。 通过该镜像创建的新实例，会包含您已配置的自定义项，节省您重复配置的时间。 使用外部镜像文件创建系统盘镜像（也称导入镜像） 可以将您本地或者其他云平台的云主机系统盘镜像文件导入至天翼云镜像服务中。 导入后，可使用该镜像创建新的弹性云主机，或对已有实例的系统进行重装或更换。 使用ISO文件创建系统盘镜像 相比其他格式的外部镜像文件，ISO文件无法直接使用， 需要利用一些工具进行解压后才能使用。 创建流程较为复杂，详见“相关操作”。 使用外部镜像文件创建数据盘镜像 可以将您本地或者其他云平台的服务器数据盘镜像文件导入至天翼云镜像服务中。 导入后，可使用该镜像创建新的云硬盘。 使用云主机、云主机备份，或者云服务备份创建整机镜像 将云主机及其上挂载的数据盘一起创建整机镜像，此镜像包含操作系统、应用软件， 以及用户的业务数据，可用于快速发放相同配置的云主机，实现数据搬迁。 支持使用云主机、云主机备份、云服务备份三种整机镜像创建方式。 通过私有镜像创建云主机 系统盘镜像或者整机镜像创建成功后，在该镜像所在行单击“申请主机”即可创建新的云主机。

本章节主要介绍翼MapReduce服务中搜索引擎组件性能优化后与竞品的对比测试结果。 概述 为检验天翼云翼MapReduce服务中搜索引擎在经过多次性能优化增强后的效果，我们选取了两家国内头部竞品的相关测试报告，进行对比确认。下文中分别用代号A云和H云来代表两家竞品厂商。性能比较本身是会受各种环境配置的影响，为了能够更贴近友商的性能测试环境，更能反映出组件本身真实的性能情况，我们根据A云和H云的性能测试报告，申请了配置相同的天翼云云主机，使用相同的测试工具，并且使用相同的测试集及配置参数。 A云： 版本：8.9.1 机器规格：4u16g规格、节点数为3 数据集：httplogs 参数配置： 索引采用6个shard（默认为5个） 每次批量操作提交2000个文档。 同时执行批量索引操作的客户端数量为10个。 H云： 版本：7.6.2版本 机器规格：4u16g规格、节点数为3 数据集：geonames 参数配置： 索引采用6个shard（默认为5个） 测试结果 基于httplogs数据集对比 天翼云 天翼云完整测试结果 A云 从天翼云与A云的测试结果对比来看，天翼云翼MapReduce服务中搜索引擎整体性能快30%。

托管检测与响应服务（原生版）企业版购买须知、服务内容及操作步骤说明。 购买须知 企业版提供安全托管服务，当前针对开通云等保专区、安全专区及托管服务组件的用户提供，请您提前配置相关安全产品。 购买服务后，我们的安全服务工程师将会联系您，并在整个服务周期内与您保持沟通。 一个账号仅支持购买一个企业版实例。 服务内容 1. 持续监控安全产品（WAF、云防火墙、主机安全）事件。 2. 提供漏洞感知，监控云主机、应用、服务脆弱性。 3. 提供威胁情报，持续检测恶意IP、恶意域名、APT攻击等。 4. 提供应急响应支撑，应对突发安全事件。 5. 提供安全评估，评估云上资产整体安全状况，提供评估报告。 6. 不支持退订操作。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击企业版“立即购买”按钮，跳转到企业版订购页面。 3. 在“产品配置”模块配置“托管云主机数”，根据客户需要托管的云主机台数，选择对应的数量。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

本节介绍托管检测与响应服务（原生版）基础版服务内容及购买操作步骤。 购买须知 基础版提供安全托管服务，当前针对开通云等保专区、安全专区及托管服务组件的用户提供，请您提前配置相关安全产品。 购买服务后，我们的安全服务工程师将会联系您，并在整个服务周期内与您保持沟通。 一个账号仅支持购买一个基础版实例。 服务内容 持续监控安全产品（WAF、云防火墙、主机安全）事件。 提供漏洞感知，监控云主机、应用、服务脆弱性。 提供威胁情报，持续检测恶意IP、恶意域名、APT攻击等。 提供安全产品策略检查和调优，确保检测和防护效果。 提供安全产品售后管家，专人快速解决问题。 不支持退订操作。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击基础版“立即购买”按钮，跳转到基础版订购页面。 3. 在“产品配置”模块配置“托管云主机数”，根据客户需要托管的云主机台数，选择对应的数量。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

本章节介绍云容器集群Pod Java方法抛自定义异常。 背景介绍 在 CCE 环境中，业务系统多以 Java 应用运行在资源 Pod 中。本演练通过在 Pod 内注入 Java 方法自定义异常，模拟生产中的调用异常故障。 基本原理 通过Java Agent拦截指定JVM进程内方法，增加thow操作模拟抛出异常。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择JAVA类方法抛自定义异常动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程关键词：java进程的关键词。 类名：注入延迟的类名，带全包名。 方法名：注入延迟的方法名。 延迟时间：注入的延迟时间，单位是毫秒。 容器名称：java进程所在容器名称。

本章节介绍云容器集群Pod进程停止故障演练。 背景介绍 在 CCE 中，Pod 容器内进程若意外终止，可能导致业务中断和 Pod 重建。本演练模拟进程终止，评估系统容错及自愈与告警能力。 基本原理 通过kill 9停止节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程停止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程关键词：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

本章节介绍云容器集群Pod内存高负载故障演练。 背景介绍 在 CCE 环境中，Pod 运行在共享资源的节点上。内存高负载常因泄漏、数据膨胀或缓存失控引起，可能触发 Kubernetes 的 OOM 机制，导致 Pod 重启、请求失败，甚至影响同节点其他服务。 基本原理 启动自定义程序不断申请内存，模拟Pod内存负载升高。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：目标占用率（取值 0100）。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

接口介绍 通过接口创建云容灾保护组 接口约束 1、生产与容灾中心名称用户自定义，长度为 260 字，只能由英文、数字和特殊字符""，且只能以英文开头，以英文或数字结尾 2、生产站点和容灾站点在不同 VPC时，两端的VPC会建立对等连接，对等连接两端的 VPC 网段可以重叠，但是两端VPC下的所有子网网段都不可以重叠 3、当一个VPC与多个VPC建立对等连接时，该VPC与这些VPC下的子网网段都不能重叠 4、当 VPC 1 与 VPC 2、VPC 3 分别建立对等连接时VPC 2和VPC 3的网段不能重叠 URI POST /v4/disaster/newpairdisaster 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID, 例:100054c0416811e9a6690242ac110002 参考请求示例 protectedCenter 是 Object 生产中心信息 protectedCenter 表 drillCenter 是 Object 容灾中心信息 drillCenter 表 表 protectedCenter 参数 是否必填 参数类型 说明 示例 下级对象 :: protectedName 是 String 生产中心名称 参考请求示例 subNetID 是 String 子网ID(查询网络的虚拟私有云openapi接口获取) 参考请求示例 vpcID 是 String vpcID(查询网络的虚拟私有云openapi接口获取) 参考请求示例 regionID 是 String 资源池ID 参考请求示例 vpcCidr 是 String vpc cidr(查询网络的虚拟私有云openapi接口获取) 参考请求示例 azName 是 String 可用区名称 参考请求示例 表 drillCenter 参数 是否必填 参数类型 说明 示例 下级对象 :: drillName 是 String 容灾中心名称 参考请求示例 subNetID 是 String 子网ID(查询虚拟私有云openapi接口获取) 参考请求示例 vpcID 是 String vpcID(查询虚拟私有云openapi接口获取) 参考请求示例 regionID 是 String 资源池ID 参考请求示例 vpcCidr 是 String vpc cidr(查询虚拟私有云openapi接口获取) 参考请求示例 azName 是 String 可用区名称 参考请求示例

本章节介绍云容器集群Pod Java方法抛自定义异常。 背景介绍 在 CCE 环境中，业务系统多以 Java 应用运行在资源 Pod 中。本演练通过在 Pod 内注入 Java 方法自定义异常，模拟生产中的调用异常故障。 基本原理 通过Java Agent拦截指定JVM进程内方法，增加thow操作模拟抛出异常。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择JAVA类方法抛自定义异常动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程关键词：java进程的关键词。 类名：注入延迟的类名，带全包名。 方法名：注入延迟的方法名。 延迟时间：注入的延迟时间，单位是毫秒。 容器名称：java进程所在容器名称。

参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 bucket名称 桶的名称，注意以下命名规则： 不能与已有的任何桶名称重复。 创建成功后不支持修改。 长度范围为3到63个字符，支持小写字母、数字、中划线（）。 禁止以中划线（）开头或结尾。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考 服务端加密 开启KMS服务端加密功能，上传的对象将以加密的方式存储在ZOS中。 下载对象时，ZOS会自动将加密文件解密后再提供给用户。 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。

本小节介绍公网IP如何增强DDoS防护能力。 IP 如何提升DDoS防护能力？ 若您的公网 IP 频繁遭遇 DDoS 攻击，持续超出 DDoS 基础防护阈值并触发平台防护封堵，可通过以下两种方式强化 DDoS 安全防护能力，降低再次被封堵的风险： 一、购买并配置 DDoS 高防产品（推荐） 天翼云和第三方合规厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力，您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。 业务 IP 接入高防防护后，将由高防 IP 替代其暴露在公网，攻击者仅能针对高防 IP 发起攻击；攻击流量会在高防资源池完成清洗过滤，仅正常业务流量回注至您的业务 IP，该流量通常不会超出 IP 的DDoS防护阈值，可有效避免触发 DDoS封堵。 同时请注意：若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP直接发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品厂商。 二、配置安全组（仅特定业务场景适用） 在绑定公网 IP 的云主机上配置安全组策略，仅允许指定 IP 和端口访问业务 IP，可在公网层面实现 IP 隐藏。该方式仅适用于无需对公网全面开放的业务（如组织内部跨公网访问场景），绝大多数面向公网的业务不适用此方案。 重要提示：若原业务 IP 已被攻击者获知，即便配置安全组使攻击者无法探活，仍可能遭受盲目攻击；攻击流量直达 IP 所在网络后，若流量超出基础防护阈值，依然会触发DDoS封堵。因此建议配置安全组的同时，同步更换业务 IP。

本章节主要介绍云审计服务支持的DLI操作列表说明。 通过云审计服务，您可以记录与DLI服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的DLI操作列表 操作名称 资源类型 事件名称 创建数据库 database createDatabase 删除数据库 database deleteDatabase 修改数据库所有者 database alterDatabaseOwner 创建表 table createTable 删除表 table deleteTable 导出表数据 table exportData 导入表数据 table importData 修改表的所有者 table alterTableOwner 创建队列 queue createQueue 删除队列 queue dropQueue 队列授权 queue shareQueue 修改队列网段 queue replaceQueue 重启队列 queue queueActions 扩容/缩容队列 queue queueActions 提交作业（SQL） queue submitJob 取消作业（SQL） queue cancelJob 授权obs桶给DLI服务 obs obsAuthorize 检查SQL语法 job checkSQL 新建作业 job createJob 更新作业 job updateJob 删除作业 job deleteJob 购买cu时套餐包 order orderPackage 冻结资源 resource freezeResource 解冻资源 resource unfreezeResource 终止资源 resource deleteResource 资源清理 resource cleanResource 数据授权 data dataAuthorize 跨项目数据授权 data authorizeProjectData 导出查询结果 data storeJobResult 保存SQL模板 sqlTemplate saveSQLTemplate 更新SQL模板 sqlTemplate updateSQLTemplate 删除SQL模板 sqlTemplate deleteSQLTemplate 新建Flink模板 flinkTemplate createStreamTemplate 更新Flink模板 flinkTemplate createStreamTemplate 删除Flink模板 flinkTemplate deleteStreamTemplate 创建数据上传任务 uploader createUploadJob 获取数据上传任务鉴权 uploader getUploadAuthInfo 提交上传任务数据 uploader commitUploadJob 创建认证信息并上传证书 authInfo uploadAuthInfo 更新认证信息 authInfo updateAuthInfop 删除认证信息 authInfo deleteAuthInfo 更新配额 quota updateQuota 上传资源包 pkgResource uploadResources 删除资源包 pkgResource deleteResource 创建（经典型）跨源连接 datasource createDatasourceConn 删除（经典型）跨源连接 datasource deleteDatasourceConn 重新激活经典型跨源连接 datasource reactivateDSConnection 创建增强型跨源连接 datasource createConnection 删除增强型跨源连接 datasource getConnection 绑定队列 datasource associateQueueToDatasourceConn 解绑队列 datasource disassociateQueueToDatasourceConn 修改主机信息 datasource updateHostInfo 添加路由 datasource addRoute 删除路由 datasource deleteRoute 创建主题 smn createTopic 创建授权DLI agency createAgencyV2 创建批处理作业 batch createBatch 取消批处理作业 batch cancelBatch 创建会话 session createSession 删除会话 session deleteSession 创建语句 statement createStatement 取消语句执行 statement cancelStatement 创建全局变量 globalVar createGlobalVariable 删除全局变量 globalVar deleteGlobalVariable 修改全局变量 globalVar updateGlobalVariable

本章节介绍欠费的注意事项,及如何进行续费操作 续订规则 产品续订规则详细参见：续订规则说明。 按需计费 当您的账户余额不足以支付账单金额，且服务网格服务处于欠费状态时，系统将限制您登录控制台且无法通过API进行应用的变更等操作。 在欠费期间，应用服务网格不会对您的应用实例及数据做任何变动，但会持续进行计费。 您可以通过账号充值的方式，恢复正常使用。 注意 云公司将保留该实例资源、继续存储客户的数据十五（15）日（即自操作权限被暂停之日的暂停开始时刻至第十五（15）日相同时刻为期限届满）；如前述十五（15）日期间届满仍未充值、缴纳足额服务费用，云公司有权在前述期间届满时立即释放客户的实例资源，并删除实例数据。

本节主要介绍修改流速模式 流速模式支持限速和不限速，默认为不限速。DRS提供创建任务后修改流速模式，目前仅以下实时同步链路支持限速功能： 入云 MySQL>MySQL Oracle>MySQL Oracle>DRDS Oracle>PostgreSQL PostgreSQL>PostgreSQL 出云 MySQL>MySQL 自建自建 说明 限速模式只对全量同步阶段生效，增量同步阶段不生效。 增量阶段修改限速后，待任务再次进入全量阶段会生效。如增量中的任务修改限速，编辑任务新加同步对象后，限速会在同步任务的全量阶段生效。 前提条件 已登录数据复制服务控制台。 已创建同步任务。 方法一 步骤 1 在“基本信息”页签的“同步信息”区域，单击“流速模式”后的“修改”。 步骤 2 在弹出的对话框中修改流速模式。 方法二 步骤 1 在“实时同步管理”页面的同步列表中，选择需要修改流速模式的任务，单击操作列的“更多>限速”，或“限速”。 步骤 2 在弹出的对话框中修改流速模式。

本文介绍自动化策略工具(PolicyEditor)的使用方法。 使用方式 使用地址：自动化策略工具 使用方法 自动化策略工具（PolicyEditor）由若干条策略组成。使用自动化策略工具，可以在界面上逐条添加或删除策略，并自动生成策略的JSON文本。 自动化策略工具中，每条策略需要设置其效果、授权账号、授权资源、授权操作： 效果（Effect） 指定这条策略是允许访问（Allow）还是禁止访问（Deny）。 授权账号 可选所有账号或指定账号，授权多个用户，输入对象存储userID并以英文逗号隔开。对象存储userID可通过提交工单的方式查询。 授权资源（Resource） 可授权桶及桶内对象，可输入桶名称或对象目录及名称，多个资源以英文逗号隔开。常见场景如下： a. 表示某个Bucket：buckettest b. 表示某个Bucket下所有文件：buckettest/ c. 表示某个Bucket下某个目录：buckettest/2023 d. 表示某个Bucket下某个目录下所有文件：buckettest/2023/ e. 表示某个Bucket下某个目录下某个文件：buckettest/2023/1120.txt 授权操作（Action） 指定访问资源的动作，可以选择多项。一般来说用户使用提供的通配动作就足够了： s3:：表示允许所有动作。 s3:Get：表示允许所有的读动作。 s3:Put：表示允许所有的写动作。 s3:List：表示允许所有的列举动作。 s3:DeleteBucketPolicy：表示允许删除桶策略。 s3:DeleteBucket：表示允许删除桶。 s3:DeleteBucketWebsite：表示允许删除桶的静态网站信息。 s3:GetBucketAcl：表示允许获取桶的访问控制信息。 s3:GetBucketCORS：表示允许获取桶的跨域资源共享策略。 s3:GetBucketEncryption：表示允许获取桶的服务端加密配置。 s3:GetBucketLogging：表示允许获取桶的日志信息。 s3:GetBucketPolicy：表示允许获取桶策略。 s3:GetBucketTagging：表示允许获取桶标签。 s3:GetBucketVersioning：表示允许获取桶的版本信息。 s3:GetBucketWebsite：表示允许获取桶的静态网站信息。 s3:GetLifecycleConfiguration：表示允许获取桶的生命周期配置。 s3:GetBucketObjectLockConfiguration：表示允许获取桶对象的锁定信息。 s3:GetReplicationConfiguration：表示允许获取桶的数据复制规则。 s3:ListAllMyBuckets：表示允许列举所有桶。 s3:ListBucketMultipartUploads：表示允许列举所有执行中的Multipart Upload事件。 s3:ListBucket：表示允许列举用户创建的所有桶。 s3:ListBucketVersions：表示允许列举桶的版本。 s3:PutBucketAcl：表示允许配置桶的访问控制信息。 s3:PutBucketCORS：表示允许配置桶的跨域资源共享策略。 s3:PutBucketEncryption：表示允许配置桶的服务端加密配置。 s3:PutBucketLogging：表示允许配置桶的日志信息。 s3:PutBucketNotification：表示允许配置桶通知。 s3:PutBucketPolicy：表示允许配置桶策略。 s3:PutBucketTagging：表示允许配置桶标签。 s3:PutBucketVersioning：表示允许配置桶的版本信息。 s3:PutBucketWebsite：表示允许配置桶静态网站信息。 s3:PutLifecycleConfiguration：表示允许配置桶的生命周期。 s3:PutBucketObjectLockConfiguration：表示允许配置桶对象的锁定信息。 s3:PutReplicationConfiguration：表示允许配置桶的数据复制规则。 s3:AbortMultipartUpload：表示允许终止执行中的Multipart Upload事件。 s3:DeleteObject：表示允许删除对象。 s3:DeleteObjectVersion：表示允许删除对象版本。 s3:DeleteObjectTagging：表示允许删除对象标签。 s3:DeleteObjectVersionTagging：表示允许删除对象版本标签。 s3:DeleteReplicationConfiguration：表示允许删除数据复制规则。 s3:GetObjectAcl：表示允许获取对象的访问控制信息。 s3:GetObject：表示允许获取对象。 s3:GetObjectVersion：表示允许获取带版本的对象信息。 s3:GetObjectVersionAcl：表示允许获取对象版本的访问控制信息。 s3:GetObjectTagging：表示允许获取对象的标签。 s3:GetObjectVersionTagging：表示允许获取对象版本的标签。 s3:GetObjectRetention：表示允许获取对象的保留信息。 s3:GetObjectLegalHold：表示允许获取对象的合规保留信息。 s3:ListMultipartUploadParts：表示允许获取对象执行中的Multipart Upload事件信息。 s3:PutObjectAcl：表示允许配置对象的访问控制信息。 s3:PutObject：表示允许配置对象信息。 s3:PutObjectVersionAcl：表示允许配置对象版本的访问控制信息。 s3:PutObjectTagging：表示允许配置对象的标签。 s3:PutObjectVersionTagging：表示允许配置对象版本的标签。 s3:PutObjectRetention：表示允许配置对象的保留信息。 s3:PutObjectLegalHold：表示允许配置对象的合规保留信息。 s3:BypassGovernanceRetention：表示允许绕过合规保留。 s3:RestoreObject：表示允许解冻对象。 授权条件 指定授权访问时应该满足的条件，可以指定多个。 键：需要设置的条件类型的名称，例如CurrentTime为当前时间。 条件运算符：设置当前键的运算符，例如等于、不等于、布尔运算等。 值：根据当前键和条件运算符决定，可输入时间、数值等。 示例说明 授权Buckettest及其文件所有权限示例如下： 注意 点击“生成授权策略”后，左侧数据会自动清空。

云安全中心实例到期后，数据还会保留吗？ 购买的云安全中心实例到期后如未按时续费，公有云平台会提供一定的保留期。 保留期内，平台会冻结云安全中心的服务，用户配置的各类数据会继续生效，但用户无法访问云安全中心。 保留期满，用户若仍未续费，平台会清除实例资源，用户原有的配置信息将会被删除，同时云安全中心将不再获取第三方日志、用户云上资产等信息。 云安全中心实例可以降低规格吗？ 云安全中心实例不支持降级，同时已绑定的扩展资源也不支持单独退订。如您需要降低当前规格，你可以先退订当前的云安全中心实例，再重新购买云安全中心实例。 云安全中心是否支持自动续订？ 支持。 您可以在购买套餐的同时勾选自动续订，同时也支持在使用过程中，在订单中心中设置自动续订。 云安全中心存在规格差异吗？ 当前云安全中心只有一个标准版，标准版的服务如下所示。 版本 即时通知服务 日志分析量 标准版 10000条/月 50G/月 云安全中心有哪些扩展服务可以购买？ 云安全中心支持2种类型的扩展资源，用户可支持根据实际使用需求购买日志分析量扩展资源和态势大屏扩展资源。其中，态势大屏扩展资源只可购买一次，日志分析量扩展资源的购买资源最小单位为50G，即扩展资源需要购买50G的整数倍。

本章节为您介绍如何对接天翼云云日志管理服务 Web应用防火墙（原生版）已对接云日志服务，目前需手动配置开启，需提交工单申请。 约束限制 云日志服务中对应的存储容量若已满，WAF不会删除旧日志，需要您手动及时扩容，否则无法存入新的日志。 使用过程中，请不要删除对应，若删除会导致推送至云日志服务的日志丢失，且无法找回。 目前仅支持转存至华东1资源池的云日志服务。 开启步骤 1.在天翼云官网购买云日志服务。 2.在管理控制台提交工单，联系天翼云技术支持为您手动对接云日志服务，请参照下表中的内容提前准备相关信息。 参数 字段说明 用户id 用户唯一身份标识，可在统一身份认证控制台查看。 AK/SK 访问云资源时的身份凭证，如何获取请参考：如何获取AK/SK？ 日志项目（可选） 在云日志服务中创建的日志项目，可参考：管理日志项目。 不可选择默认项目：wafproject。 日志项目ID（可选） 提供日志项目对应的日志项目ID，可在云日志服务控制台查看。 日志单元（可选） 在云日志服务中创建的日志单元，可参考：管理日志单元。 不可选择默认单元：wafattackunit 日志单元ID（可选） 提供日志单元对应的日志单元ID，可在云日志服务控制台查看。 上传域名（可选） 提供需要上传日志至云日志服务的域名，若不提供则上传对应用户下的所有防护域名。 攻击类型（可选） 提供需要上传的防护事件类型，若不提供默认上传所有防护事件类型。 防护事件目前可选择：核心Web攻击事件、CC攻击事件、智能BOT事件、IP/地域黑名单、攻击惩罚。 3.待处理完成后，即可在云日志服务控制台查看日志信息，下表为日志字段说明。 英文字段 中文字段 是否创建索引 字段样例 数据类型 是否为枚举字段 备注 tenantid 租户ID 是 5cc1eb4ab1bb49ffb6f9e0821a339cf9 字符串 否 regionid 资源池ID 是 字符串 否 remoteaddr 客户端IP地址 是 139.100.157.16 字符串 否 remoteuser HTTP基础认证服务的用户名 是 字符串 否 timestamp 服务器时间 否

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 MySQL 5.5、5.6、5.7、8.0 说明 当前MySQL数据库审计功能基于堡垒机现有引擎架构实现，在少数复杂场景下可能存在命令日志记录不完全的情况，如需完整审计能力，请联系技术支持或关注产品动态了解新引擎上线进展。 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 金仓(Kingbase) V8、V9 万里(GreatSQL) 8.4.44 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本。 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows Windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片

详细示例 通过云数据库ClickHouse的Kafka函数可以实现数据从Kafka到云数据库ClickHouse的迁移。下面是一个示例，展示了如何使用Kafka函数进行数据迁移： 1. 首先，创建Kafka消费表： sql CREATE TABLE queue ( timestamp UInt64, level String, message String ) ENGINE Kafka('localhost:9092', 'topic', 'group1', 'JSONEachRow'); 2. 然后，创建云数据库ClickHouse表以存储从Kafka迁移的数据： sql CREATE TABLE daily ( day Date, level String, total UInt64 ) ENGINE SummingMergeTree(day, (day, level), 8192); 3. 接下来，创建一个物化视图，将引擎中的数据转换并放入先前创建的表中： CREATE MATERIALIZED VIEW consumer TO daily AS SELECT toDate(toDateTime(timestamp)) AS day, level, count() as total FROM queue GROUP BY day, level; 当物化视图连接到引擎时，它会在后台开始收集数据。这样，您就可以持续从 Kafka 接收消息并使用 SELECT 将其转换为所需的格式。一个 Kafka 表可以有任意多个物化视图，它们不直接从 Kafka 表中读取数据，而是接收新的记录（以块的形式），这样您就可以将数据写入具有不同详细级别的多个表中（带有分组 聚合和不带分组）。 4. 最后，查询数据以确认迁移完成： SELECT level, sum(total) FROM daily GROUP BY level;

此小节介绍云堡垒机的USBKey/动态令牌管理 用户帐号需配置了“USBKey”多因子认证，才能为用户帐号签发USBKey。 USBKey管理 签发授权USBkey前，需提前申购USBKey，并在本地安装对应的USBKey驱动。不同的厂商USBKey不能相互识别登录认证，用户根据申购的USBKey6.6 USBKey管理厂商。 世纪龙脉GM3000 前提条件 已申购USBKey。 已获取“用户”模块管理权限。 已获取“USBKey”模块管理权限。 签发USBKey 一个USBKey只能签发给一个用户使用。 1. 登录云堡垒机系统。 2. 选择“用户 > USBKey”，进入USBKey列表页面。 3. 单击“签发”，新建签发USBKey。 4. 配置“关联用户”，选择已经开启USBKey多因子认证的用户。 签发USBKey 参数 说明 :: USBKey USBKey商品标识码。 关联用户 选择已配置“USBKey”多因子认证的用户帐号。 PIN码 USBKey厂商提供，与“USBKey”一一对应的唯一识别码。 5. 单击“确定”，在USBKey列表查看已签发USBKey信息。 关联用户登录云堡垒机系统时，插入签发的USBKey到本地主机，登录界面会自动识别USBKey，选择对应的USBKey，并输入对应的PIN码，即可完成USBKey认证方式登录。

此小节介绍云堡垒机字符命令授权管理。 命令控制策略用于控制用户访问资源的关键操作权限，实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机，根据管理员配置的策略限制，云堡垒机对用户运维过程中执行的命令进行审计和过滤，并返回审计的命令、过滤结果和命令返回的内容，用于会话操作记录、拒绝使用等动作。 命令控制策略支持以下功能项： 支持按策略列表页策略排序区分优先级，排序数字越小优先级越高（优先级可选1~100）。 支持以下控制命令的动作。 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认拒绝执行或默认允许执行。 提示警告：触发该策略规则后，警告运维用户谨慎执行该命令。 允许执行：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝执行：触发该策略规则后，拒绝执行该命令，界面会提示您在执行命令时会得到该命令不能执行的提示。 新增命令组 您在新增字符命令授权前需要进行新增命令组的操作。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 字符命令授权”，进入“命令授权”页面。 3. 在页面上面选择“命令组”页签，单击“新增”，开始新增命令组。 参数 参数说明 取值样例 名称 自定义命令组的名称。 Test 匹配方式 支持“正则匹配”和“单命令”匹配。 单命令匹配 命令 当匹配方式选择“单命令匹配”时需要填写命令。 /rm 命令正则式 填写命令规则的正则表达式。 enw 风险等级 选择该命令组的风险等级，共可选5个等级：普通、重要、危险、警告、致命。 普通 动作 选择该命令组中的命令触发时产生的动作： 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认拒绝执行或默认允许执行。 说明 对于包含“触发审批”动作的命令组，需要当前选择的用户（组）具有审批规则，否则无法配置“触发审批”动作，请先前往工单管理配置审核人。 提示警告：触发该策略规则后，警告运维用户谨慎执行该命令。 允许执行：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝执行：触发该策略规则后，拒绝执行该命令，界面会提示您在执行命令时会得到该命令不能执行的提示。 拒绝执行 审批超时配置 设定审批时限，超时未处理则自动拒绝或通过。 5分钟内未审批，则默认拒绝执行。 授权有效期 填写该授权的有效期。审批通过后，在有效期内可多次执行符合该规则的命令。 2小时内有效。 说明 提示符、命令采用正则表达式书写。 命令匹配上多条策略时，动作执行优先级：触发审批 > 提示警告 > 允许执行 > 拒绝执行，若未匹配上任何策略则放行。

本文介绍了云防火墙（原生版）的产品定义和产品架构。 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 产品功能 访问控制：可统一管理互联网访问控制策略（南北向），提供流量可视、访问控制、入侵防御等功能，全面保护用户的网络安全。 入侵防御：内置复合威胁检测引擎，支持对互联网上的恶意流量、DDoS攻击，漏洞利用等攻击行为进行入侵防护，并提供精准的漏洞虚拟补丁，智能阻断入侵风险。 流量可视：提供全面的用户业务流量可视化，实现网络访问可视，网络会话可视，网络行为可视，帮助用户全面感知网络情况。 日志审计：为用户全面记录入侵防御日志、访问控制日志、流量日志和操作日志，帮助用户完成等保合规要求。 产品架构 云防火墙（原生版）整体架构主要包括3个部分，分别为中央管理平台、南北向流量控制模块和日志平台。 中央管理平台：提供策略规则的编辑和下发能力，并展示安全整体情况，为您提供可视化平台。 南北向流量控制模块：主要用于实现互联网到主机间的访问控制，支持4~7层访问控制。 日志平台：存放入侵防御日志、访问控制日志、流量日志和操作日志，并提供查询分析能力。

本章介绍如何新增备份目录。 场景说明 完成安装客户端后，云服务备份系统会自动识别已安装成功的客户端，并显示在“云服务备份 > 文件备份 > 文件备份”客户端列表中。需要手动将已安装客户端资源中需要备份的文件路径添加至云服务备份中。 约束与限制 单个备份资源最多支持添加8个文件目录。 单个目录下文件数不超过50万个，建议执行文件备份的主机配备4GB以上可用内存。 每个目录支持的数据量不超过500GB。 文件路径只能为绝对路径，如以/、C:、D:开头的文件路径。 操作步骤 1. 登录云服务备份控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击“”，选择“存储 > 云服务备份 > 文件备份”。 2. 单击目标服务器名称。进入服务器基本信息。 3. 单击“新增备份目录”。 4. 将需要备份的文件路径粘贴至“备份文件路径”中。单击“确定”。 5. 添加成功后，待备份的文件路径将会出现在下方。 移除目录 如果不再需要备份目录，或者已超出目录上限需要删除，可以进行移除目录操作。 1. 登录弹性云主机控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 单击目标服务器名称。进入服务器基本信息。 3. 单击目标目录的“移除目录”。移除目录后，将无法对该文件进行备份操作。已产生的备份将不会被删除，可用于恢复数据。未产生备份的目录路径将会被彻底移除，请谨慎操作。 4. 单击“确定”，完成目录移除。

使用自定义脚本实现数据库备份完成后，可以通过如下操作验证数据库备份结果是否成功。本章节以SQLSERVER数据库为例进行验证。 操作步骤 步骤1、登录SQLSERVER数据库，创建新的数据库。 步骤2、创建数据库成功后，创建存储过程，可以参考下图。 创建存储过程 步骤3、进入云服务备份控制台，对目标弹性云主机创建数据库备份，并勾选数据库备份。 步骤4、待备份完成后，进入 Cloud Server Backup AgentWIN64log rdagent.txt 文件，查看冻结、解冻日志，确定冻结解冻时间。如图中所示的17:28:51。 查看日志 步骤5、使用新创建的数据库备份恢复目标弹性云主机。恢复成功后，登录云主机和数据库，查看表中最后一条插入数据对应的时间(17:28:49)的记录。 步骤6、对比步骤5日志显示的VSS冻结成功时间和步骤4的时间。冻结成功之前会停止插入数据，所以步骤5的时间比步骤4早。若步骤5的时间比步骤4早，则表示引用一致性备份成功。

本节介绍了Windows操作系统为什么要安装并更新VMTools的相关内容。 为什么要安装VMTools？ VMTools是为弹性云主机提供高性能磁盘和网卡的半虚拟化驱动（virtio driver）。 标准的Windows系统不会自带virtio driver。 平台提供的公共镜像默认已安装VMTools。 私有镜像需用户自行安装VMTools，安装指导请参见安装UVP VMTools。 为什么要更新VMTools？ 平台会定期从virtio社区同步问题修复，每月发布更新版本。保持最新的驱动版本能有效避免触发社区或研发测试发现的已知问题。 什么时候更新VMTools？ 如果是重大错误修改，建议您立即更新VMTools版本（目前暂未遇到该情况）。其他问题，请根据实际需要决定是否更新。 平台会及时更新提供至OBS桶里的VMTools版本，确保您在制作私有镜像时下载使用的VMTools为最新版本。 平台提供的公共镜像会及时更新，确保安装最新版本的VMTools。 资料更新与OBS桶文件的更新始终保持同步，确保文档里指定的下载链接是VMTools最新版本。 用户需要做哪些操作？ 根据指导升级Windows私有镜像或正在运行的Windows实例中的驱动程序。 如有任何技术问题或疑问，请联系客服获取帮助。

功能 使用限制 部署 数据库实例所部署的弹性云主机，用户不可见，只允许应用程序通过IP和端口访问数据库。 数据库访问 对于没有开通公网访问的数据库实例，只能通过同一个虚拟私有云内的弹性云服务器进行访问。 弹性云主机必须处于SQL Server实例所属安全组允许访问的范围内。 当数据库实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 数据库版本 支持以下版本： 2022 企业版 2022 标准版 2022 WEB版 2019 企业版 2019 标准版 2019 WEB版 2017 企业版 2017 标准版 2017WEB版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 数据库的超级管理员权限 超级管理员权限一旦开启无法关闭。且一旦实例创建过超级管理员账号后，将不再享受SLA保障。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。部分参数可能要重启才能生效，请谨慎操作。 搭建数据库复制 SQL Server本身提供主备复制架构的双节点集群，无需用户手动搭建。主备节点间数据复制方式默认使用异步复方式，暂不支持修改。其中备节点不对用户开放，应用不可直接访问。 重启实例 无法通过命令行重启，必须通过SQL Server服务的管理控制台操作重启实例。

服务器安全卫士（原生版）支持的系统OS有哪些？ 天翼云服务器安全卫士（原生版）产品支持64位的Linux和Windows系统服务器的防护，详见支持的操作系统。 购买了服务器安全卫士（原生版）是否能保证系统通过网络安全等级保护测评（等保）？ 网络安全等级保护测评为综合性测评，服务器安全卫士（原生版）只是满足等保中安全计算环境部分对云主机安全的相关要求，其他层面的安全要求需要匹配其他安全设备、配置安全策略来满足。 服务器安全卫士（原生版）是否能以软件形式线下交付？ 不支持线下软件的形式交付。 服务器安全卫士（原生版）和云防火墙一起使用需要注意什么问题？ 服务器前面有防火墙的话，需注意是否做了源IP nat，如果有暴力破解会封禁IP，如果做了nat会封禁nat后的IP，可能影响业务。

本节介绍了云容器引擎节点类常见问题。 容器集群新增节点时的问题与排查方法？ 若是通过集群节点扩容，可在集群节点列表中查看新增的节点概况； 若是通过节点池新增节点，可在节点池详情的伸缩活动中看操作记录。 如何重置容器集群中节点的密码？ 可在集群节点详情页面有重置密码按钮，需两次输入密码校验正确后才生效。 注意 节点重置密码等同于云主机重置密码，请务必保存好密码。 节点重置密码后如何登陆云主机？ 需购买并绑定同一VPC内的弹性IP后，可SSH登陆云主机操作。 容器集群节点中安装kubelet的端口主要有哪些？ 容器集群节点中安装kubelet的端口主要有如下几个： 10250 –port：kubelet服务监听的端口，api会检测他是否存活。 10248 –healthzport：健康检查服务的端口。 10255 –readonlyport：只读端口，可以不用验证和授权机制，直接访问。 4194 –cadvisorport：当前节点cadvisor运行的端口。 容器集群的节点可以更改IP吗？ 不支持修改私网IP：当前容器的集群中把节点私网IP作为kubernetes node名称，kubernetes node名称不支持修改，修改后会导致节点不可用及容器网络异常等故障，所以不支持更换节点私网IP。 支持修改公网IP：节点上的公网IP可以在云主机控制台更换。 如何更改节点Pod数量？ 不同集群单节点支持的最大Pod数是有限制的，默认为110。 登陆到节点上，修改/var/lib/kubelet/config.yaml中配置。 修改参数maxPods为指定的值。 执行systemctl restart kubelet，重启kubelet。

接口介绍 启动云容灾保护复制 接口约束 1、该保护组存在 2、云主机状态为“已初始化” 3、恢复点需要是(1~23)的整数 4、磁盘类型的选择会影响后续容灾演练或者故障切换时可选的磁盘类型，后续的磁盘类型IO需要大于等于本次磁盘类型 URI POST /v4/disaster/startreplicationdisaster 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 参考请求示例 pairID 是 String 保护组ID 参考请求示例 ecsID 是 String 云主机ID 参考请求示例 restorePointHour 是 Integer 恢复点(1~23) 参考请求示例 volumeType 是 String 磁盘类型 参考状态枚举表 interruptRestart 是 Boolean 中断是否重新启动 参考请求示例 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 :: statusCode 是 Integer 返回状态码(800为成功，900为失败) 参考响应示例 message 是 String 成功或失败时的描述，一般为英文描述 参考响应示例 description 是 String 成功或失败时的描述，一般为中文描述 参考响应示例 returnObj 否 Object 成功时返回对象 returnObj 表 errorCode 否 String 业务细分码，为product.module.code三段式码 参考状态码 error 否 String 业务细分码，为product.module.code三段式大驼峰码 参考状态码 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 status 是 String 云容灾保护组启动复制成功 参考响应示例 msg 是 String 云容灾保护组启动复制成功描述 参考响应示例