云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

本文介绍RDSPostgreSQL实例的安全保障措施。 网络 RDSPostgreSQL数据库支持设置VPC（Virtual Private Cloud，即虚拟私有云）, 可以实现与其他业务网络安全隔离。 RDSPostgreSQL数据库支持网络安全组。

本文为您介绍云搜索实例开通、访问等控制台操作时遇到的问题及可能的解决方案。 实例开通失败怎么处理？ 如果遇到云搜索实例开通失败，可能因为： 1. 网络安全组设置出现变动。为保证实例的开通顺畅，我们会默认为您配置如下安全组规则： 规则1（入方向）：允许远端198.19.128.0/20 以TCP协议访问端口165535 ，规则优先级为1。 规则2（入方向）：允许远端192.168.0.0/24( 实际网段地址，以客户创建的VPC子网网段地址为准 )以TCP协议访问端口165535，规则优先级为1。 规则3（出方向）：将允许出方向所有访问，规则优先级为100。此操作有风险，建议用户按需配置限制规则。 如您在开通过程中，对安全组规则进行了修改，则可能会导致无法自动部署，请先前往安全组配置控制台进行检查。 2. 资源未能成功开通，如资源池剩余资源不足，资源接口临时故障等。 3. 资源开通成功但自动部署过程中出现后端服务问题。 针对2、3两种情况，建议您可以先重试开通，如果重试依然失败，可通过工单联系工程师处理。 实例连接不上怎么处理？ 当您遇到实例无法连接的情况时，请按照以下步骤进行排查和解决： 1. 检查网络配置：确保您的实例所在的子网和安全组配置正确，允许入站和出站的网络流量。检查安全组规则，确保允许来自客户端的IP地址的入站访问。 2. 确认服务状态：从控制台查看服务状态，检查搜索引擎实例的运行状态是否正常。 3. 验证实例端口：确认实例的开放端口（默认情况下为9200）在安全组中被允许访问。如果需要连接到其他端口（如Kibana端口5601），请确认该端口也被允许。 4. 检查客户端配置：确保客户端的配置正确，特别是实例的URL、端口号以及认证信息（用户名、密码或API密钥）是否填写正确。实例开启时默认为HTTPS协议，需要使用https：// : 来访问，如果需要切换为HTTP协议请在安全设置中进行调整。 5. 联系天翼云技术支持：如果经过上述排查步骤仍无法解决问题，请联系天翼云的技术支持团队，提供相关的错误信息、日志和配置截图，以便更快地诊断和解决问题。

本章节介绍通过内网连接Microsoft SQL Server实例的流程。 本章介绍如何在管理控制台创建Microsoft SQL Server实例，并通过内网使用弹性云服务器上连接Microsoft SQLServer实例。 步骤一：创建实例。根据业务需求，确认Microsoft SQL Server实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接Microsoft SQL Server实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 步骤三：通过内网连接Microsoft SQL Server实例。

本小节介绍终端安全EDR客户端安装方法。 1.通过远程登录进入业务云主机，使用终端安全EDR内网地址，该界面登录如下图，点击客户端下载安装。 2.根据安装提示，完成客户端安装。

本节介绍如何在云审计服务事件列表查看云防火墙(原生版)审计事件。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件名称 读写类型 绑定网卡 写类型 解绑网卡 写类型 绑定虚拟 IP 写类型 解绑虚拟 IP 写类型 绑定弹性 IP 写类型 解绑弹性 IP 写类型 路由表配置 新增路由表规则 写类型 路由表配置 修改路由表规则 写类型 路由表配置 删除路由表规则 写类型 更改安全组 写类型 获取 VNC 读类型 单点登录 读类型 云墙主机 开机 写类型 云墙主机 关机 写类型 云墙主机 重启 写类型

功能 使用限制 数据库访问 如果关系型数据库实例没开通公网访问，则该实例必须与弹性云主机在同一个虚拟私有云内才能访问。 关系型数据库只读实例必须创建在与主实例相同的一个子网内。 弹性云主机必须处于目标关系型数据库实例所属安全组允许访问的范围内。 如果关系型数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在关系型数据库的安全组添加一条“入”的访问规则。 RDS for MySQL实例的默认端口为3306，需安全组放开后，才能访问其它端口。 部署 实例所部署的弹性云主机，对用户都不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的root权限 创建实例页面只提供管理员root用户权限。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 RDS for MySQL存储引擎 MySQL数据库只有InnoDB存储引擎支持完整的备份、恢复等服务功能，因此RDS for MySQL推荐使用InnoDB引擎,不支持MyISAM引擎、FEDERATED引擎和Memory引擎。 搭建数据库复制 RDS for MySQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备实例不对用户开放，用户应用不可直接访问。 支持的表数量 RDS for MySQL支持表数量上限为50万。 大于50万张表时，会导致备份和小版本升级失败，影响数据库可用性。 重启RDS实例 无法通过命令行重启，必须通过关系型数据库服务的管理控制台操作重启实例。 创建只读实例 只有存储类型是极速型SSD的主备实例或者主实例才能创建存储类型是极速型SSD的只读实例。

支持普通集成的天翼云服务列表 天翼云工作流支持通过OpenAPI集成多个服务，涵盖以下产品分类： 产品分类 产品名称 存储 混合存储网关、云硬盘、弹性文件服务、媒体存储、云备份、云硬盘备份、对象存储、云主机备份、海量文件服务 OceanFS、云容灾、对象存储（经典版）I型、并行文件 网络与CDN 弹性IP、天翼云SDWAN、NAT网关、VPN连接、云间高速、虚拟私有云、弹性负载均衡、共享流量包、智能边缘云、云专线CDA、应用加速、边缘安全加速平台、CDN加速、智能DNS、VPC终端节点、全站加速、科研助手 计算 弹性云主机、天翼云电脑（政企版）、函数计算、弹性高性能计算、镜像服务、弹性伸缩服务、物理机、云骁智算平台、数据加密 数据库 关系数据库SQL Server版、关系数据库PostgreSQL版、分布式关系型数据库、关系数据库MySQL版、数据传输服务、文档数据库服务、数据管理服务、分布式缓存服务Redis版、时序数据库Influx版、分布式融合数据库HTAP、云数据库ClickHouse 监控与管理 云日志服务、应用性能监控 应用服务 API网关、EasyCoding敏捷开发平台、软件开发生产线CodeArts 数据库 关系型数据库MySQL版（CTRDS）、关系型数据库PostgreSQL版、关系型数据库SQL Server版、云数据库GaussDB、分布式关系型数据库、分布式融合数据库HTAP、文档数据库服务、时序数据库Influx版、分布式缓存服务Redis版 人工智能 AI能力开放平台、慧聚一站式智算服务平台 大数据 云搜索服务、大数据管理平台 DataWings、翼MapReduce 容器与中间件 应用服务网格、弹性容器实例、分布式容器云平台、容器镜像服务、分布式消息服务RabbitMQ、分布式消息服务RocketMQ、微服务应用平台MSAP、云容器引擎、分布式消息服务Kafka、微服务引擎注册配置中心、微服务引擎MSE、应用性能监控apm、分布式容器云平台CCSE ONE 安全及管理 云防火墙（原生版）、统一身份认证、密钥管理、服务器安全卫士（原生版）、云监控、Web应用防火墙（原生版）、证书管理服务、DDoS高防（边缘云版）、云堡垒机、Web应用防火墙（边缘云版）、云审计 企业应用 云通信短信 视频 视频直播、智能视图服务、云点播 专属云 专属云（计算独享型） 价格 账务 其他 数据库审计、云日志服务、轻量型云主机、云原生网关、API网关 说明 ：具体支持的服务和API请参考天翼云OpenAPI文档。

通过RDP文件登录Windows 弹性云主机 操作场景 远程桌面协议（Remote Desktop Protocol，RDP），是微软提供的多通道的远程登录协议。本节为您介绍如何使用RDP文件远程登录Windows弹性云主机。 说明 从管理控制台下载的RDP文件对应唯一的云主机，当前RDP文件命名规则为“云主机名称弹性IP”。 前提条件 弹性云主机状态为“运行中”。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 使用的登录工具与待登录的弹性云主机之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 弹性云主机开启远程桌面协议RDP（Remote Desktop Protocol）。使用公共镜像创建的弹性云主机默认已打开RDP。打开RDP方法请参考开启远程桌面协议RDP。 Windows操作系统使用RDP文件登录Windows弹性云主机 本地主机为Windows操作系统，那么您可以使用RDP文件登录Windows弹性云主机。 1、登录管理控制台。 2、选择“计算 > 弹性云主机”。 3、选择要登录的弹性云主机，单击“操作”列下的“远程登录”。 4、在弹出的“登录Windows弹性云主机”窗口中，选择“使用 RDP 文件登录”，单击“下载RDP文件”，将 RDP 文件下载到本地。 图 单击“下载RDP文件” 5、双击已下载到本地的RDP文件，根据提示输入密码，即可远程连接到Windows云主机。 图 使用RDP文件登录Windows云主机

本章主要介绍使用软件开发生产线快速搭建项目（ECS篇） 本文基于软件开发生产线内置代码仓库，介绍如何使用软件开发生产线完成项目的开发、构建与部署，实现持续交付。 本文采用的ECS部署，若需了解CCE部署方法，请参考使用软件开发生产线快速搭建项目（CCE篇）。 准备工作 1. 拥有天翼云帐号。若没有，请先注册天翼云帐号。 2. 已购买软件开发生产线。 3. 已购买弹性IP。 4. 已购买云主机，购买时的必要配置可参考下表，表中未列出的配置可根据实际情况选择。完成购买后，参考“《云主机用户指南》​>安全​>安全组​>配置安全组规格”添加端口22及8080的入方向规则。 表 云主机配置 配置分类 配置项 配置建议 ::: 基础配置 计费模式 选择“按需计费”。 基础配置 CPU架构 选择“x86计算” 基础配置 规格 选择2核4G或以上规格。 基础配置 镜像 选择“公共镜像 > CentOS > CentOS 7.6 64bit(40GB)”。 网络配置 弹性IP 选择“使用已有”。 高级配置 登录凭证 选择“密码”。 高级配置 密码 输入自定义密码。

本节介绍如何在云审计服务事件列表查看云防火墙(原生版)审计事件。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件名称 读写类型 绑定网卡 写类型 解绑网卡 写类型 绑定虚拟 IP 写类型 解绑虚拟 IP 写类型 绑定弹性 IP 写类型 解绑弹性 IP 写类型 路由表配置 新增路由表规则 写类型 路由表配置 修改路由表规则 写类型 路由表配置 删除路由表规则 写类型 更改安全组 写类型 获取 VNC 读类型 单点登录 读类型 云墙主机 开机 写类型 云墙主机 关机 写类型 云墙主机 重启 写类型

本页介绍了天翼云关系数据库MySQL安全组规则的设置方法。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

本页介绍了关系数据库MySQL版产品如何设置安全组规则。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

帮助您在单资源池多VPC场景下进行网络设计。 背景介绍 单资源池多VPC的云网络架构设计旨在解决传统单VPC架构在扩展性、安全性、隔离性以及多业务场景适配性等方面的局限性。单资源池多VPC架构通过逻辑隔离和灵活组网，解决了单VPC在扩展性、安全性和管理粒度上的不足，尤其适合中大型企业、复杂业务场景及合规要求高的环境。尽管引入了一定管理复杂度，但结合自动化工具和合理设计，其收益显著高于单VPC架构。本文适用于虚拟私有云的可用区资源池，不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 设计目标 1. 业务隔离：通过多VPC实现部门、环境（生产/测试）或租户级隔离。 2. 安全管控：精细化控制跨VPC流量，避免非授权访问。 3. 灵活互通：按需打通VPC间通信，支持业务协同。 4. 统一运维：共享通用服务（如NAT网关、堡垒机），降低管理成本。 基础架构组件 组件 作用 虚拟私有云VPC 创建逻辑隔离的私有网络环境 子网 按业务分层划分网络段（Web/App/DB） 路由表 控制虚拟私有云（VPC）内网络流量的转发路径。 安全组 实例级流量控制（有状态防火墙） 网络ACL 子网级流量过滤（无状态规则） 弹性负载均衡 流量分发至多台后端服务器 NAT网关 私有子网访问互联网的统一出口 弹性IP 为云主机或NAT网关绑定公网地址 对等连接 实现跨VPC内网互通 云监控 网络流量监控

本章节介绍云主机备份的应用场景:数据备份恢复和业务快速迁移部署。 云主机备份可为多种资源提供备份保护服务，有效保障用户数据的安全性和正确性，确保业务安全。云主机备份适用于数据备份和恢复以及业务快速迁移和部署的场景。 数据备份和恢复 云主机备份在以下场景中，均可快速恢复数据，保障业务安全可靠。 受黑客攻击或病毒入侵 通过云主机备份，可立即恢复到最近一次没有受黑客攻击或病毒入侵的备份时间点。 数据被误删 通过云主机备份，可立即恢复到删除前的备份时间点，找回被删除的数据。 应用程序更新出错 通过云主机备份，可立即恢复到应用程序更新前的备份时间点，使系统正常运行。 云主机宕机 通过云主机备份，可立即恢复到宕机之前的备份时间点，使服务器能再次正常启动。 业务快速迁移&部署 为云主机创建备份，使用备份创建镜像，可快速创建与现有云主机相同配置的新云服务器，实现业务的快速部署。 详情请参考最佳实践整机镜像跨可用区迁移。

一体机收费模式？ 一体机目前主要根据服务器节点收费，3年服务期价格服务器标准资费台数。后续进行扩容时，同样仅对扩容的服务器数量进行独立收费。 注： 专业版超融合节点购买数量最小为3，最高为30；旗舰版最低是10节点，最高是255台。 交换机设备包含在一体机产品价格中，无需另行配置。 报价已包含基础集成服务费用和3年运维费用，后续运维由电信地市公司提供一线运维人员协助（定期巡检、简单硬件运维开关机、插拔盘等）。 报价中不包含网络带宽、IDC服务费用，不含操作系统license费用。 一体机维保费用如何收取？ 一体机维保包含软件维保和硬件维保服务。初始报价已包含前三年维保费用，不再单独收取。3年服务期结束后，客户可续订，维保费用（/年）标准资费（3年）10%。 3年服务期内是否允许退订？ 因一体机涉及硬件部分，在订购后不允许进行退订。 3年服务期后产权是否可以归属客户？ 一体机默认是以服务模式售卖，产权归属天翼云。 一体机最长能提供多久续订服务 初始服务期为3年，服务期结束后客户可继续按年续订，考虑到硬件维保问题，原则上只能续订2年，天翼云回收设备。

本节为您介绍云迁移服务迁移时限制数据访问相关内容。 云迁移期间限制对数据的访问对于力求安全传输信息的企业来说是至关重要的一步。您应该采取多个步骤来确保只有预期的用户才能在必要时访问数据。这些步骤包括如下： 实现和实施用户级身份验证和授权规则。 建立可靠的双因素身份验证流程。 使用来自云提供商的内置安全策略。 传输之前加密所有数据。 迁移期间定期审计谁拥有访问权。 迁移过程中，对拥有敏感信息的系统完成定期的漏洞扫描。 删除与被解雇员工相关的任何凭据或访问密钥。

购买弹性云主机 1. 登录天翼云“控制中心(控制台)”，在页面上方选择用户对应购买弹性云主机的地域，例如“福州3”。选择“计算”大类下的“弹性云主机”产品。或是在天翼云官网首页点击“立即订购”。 2. 单击“创建云主机”。 配置弹性云主机实例规格 1. 选择计费模式“包年/包月”或是“按量付费”。 2. 完成页面必填项的选择，例如地域、主机名称、规格、镜像类型、存储等。 说明 创建云主机过程，请您根据规格特性，选择符合业务需求的云主机规格。请参考： 使用云主机需要您支付相应费用，详细请见： 创建云主机需要配置系统盘与数据盘，如果您对存储性能有要求，请参考： 您需要为存储支付相应的费用，详细请见： 网络配置 1. 选择弹性云主机对应的网络配置选项含网卡、扩展网卡、安全组、弹性IP等，根据页面提示完成操作。 2. 点击“下一步：高级配置”按钮。 说明 安全组是控制云主机访问策略的组件，相关概念与操作，请参考： 如果您有访问公网的需求，请您使用弹性IP，相关概念与应用场景，请参考： 您需要为弹性IP支付相应的费用，请参考：

产品优势：极简部署、智能防护、可视可溯、丰富生态 极简部署 作为一款云SaaS服务，可以对公网资产、内部资产自动安全盘点，一键开启防护，支持原有安全策略一键导入，可随业务按需动态扩容。 智能防护 AI算法实时检测和拦截恶意流量；并通过自带的入侵防御引擎（IPS），对恶意流量进行实时检测和精准防御。 可视可溯 全场景流量日志、访问日志、入侵攻击日志记录，并通过报表分析呈现，支持审计及高级威胁溯源分析。 丰富生态 支持无缝集成第三方厂家威胁检测分析引擎，云上云下统一生态，客户原线下安全策略资产无缝平移。

其他云数据库的配置流程 申请公网IP并绑定到数据库实例 不同云厂商的数据库实例对应方法不同，具体操作步骤可参考具体云官网资料进行设置。 VPC网络安全策略放通 需要在其他云数据库实例所在的VPC放通以上【DTS实例的配置流程】中配置的公网IP的访问权限，一般包括网络ACL和实例安全组，具体可参考各厂商云数据库官方文档进行操作。 数据库添加白名单 数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本章节为您介绍数据安全专区的产品优势。 数据安全合规适配 全面满足《数据安全法》《个人信息保护法》及等保、密评、行业专项监管要求。 内置政务、医疗、教育、运营商、金融等多行业分类分级模板，快速合规落地。 提供完整审计、溯源、报表能力，轻松应对监管检查与整改。 云原生更安全、更便捷 与天翼云同 VPC 部署，数据不出租户环境，安全无额外暴露面。 性能高、时延低，支持弹性扩容，无需硬件改造。 一键纳管云资源，免 Agent 适配 RDS，易用性远超传统方案。 智能化数据治理 AI 自动识别 + 资产全自动梳理，覆盖 40 + 数据源与非结构化数据。 分类分级结果可视化，可联动加密、脱敏、审计实现精准防护。 大幅降低人工梳理成本，快速摸清数据家底与风险分布。 一体化数据防护 覆盖数据采集、存储、共享、运维、接口全生命周期风险。 加密、脱敏、访问控制、攻击防御、水印溯源能力一体化。 从数据库、API 到运维终端，构建全方位数据防泄露体系。 可视化安全运营 数据安全运营中心统一管控，全局风险可视、可预警、可闭环。 全流程操作留痕与审计，异常行为实时告警，事件可追溯。 支持工单流转、态势感知、形成合规报告，降低运营成本。

本文帮助您了解如何操作跨账号网络实例授权。 跨域号授权 跨账号网络实例授权互通 ，可实现归属不同天翼云账号的 虚拟私有云 （VPC）、云专线网关、SDWAN、VPN网关 等网络实例，在同一云间高速组网内安全互联，满足企业多账号架构下的云间网络统一调度与互通需求。 在实际业务场景中，企业集团、大型政企及多分支机构普遍采用多账号分权管理模式：总公司、子公司、业务部门、项目组等分别使用独立天翼云账号，各自创建并管理专属 VPC 及云上资源。传统模式下，跨账号网络互通需通过复杂的专线对接或公网中转，配置繁琐、时延较高且安全管控难度大。 依托云间高速跨账号授权能力，资源归属账号可将自身 VPC 等网络实例，授权给云间高速管控账号统一纳管，无需变更账号归属、无需迁移资源，即可将分散在不同账号下的网络实例加入同一云间高速组网，实现端到端私网互通。 适用场景： 集团总账号统一组网、子公司账号独立运维的集团型多云管控场景 项目制交付中，不同项目账号资源需横向互通的多项目协同场景 政企内部按部门 / 业务线分账号管理，需跨部门云上互联的分权分域场景 混合云与多云对接场景下，跨账号云专线、VPC 统一接入云间高速的一体化组网场景 通过精细化授权与隔离机制，既保障各账号资源所有权与管理权限独立，又实现跨账号网络高效互通、统一调度，兼顾管理安全 与组网灵活性，适配企业复杂组织架构下的云网互联互通需求。 使用说明

本节介绍如何查看告警信息及处理告警。 查看告警列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“安全告警”，进入安全告警页面。 3. 在页面上方切换云防火墙实例。 说明 默认展示近一天的告警，可在页面右上角自定义查看的时间范围。 查看告警详情 单击告警列表操作列的“详情”，进入告警详情页面。在该页面可以查看告警的详细信息。 处理告警 若您已手动处理告警，可将其“标记为已处理”，标记后，告警的状态将从“未处理”变为“已处理”。 操作步骤：单击“标记为已处理”，在弹出的确认框中，单击“确定”。

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

本小节介绍云堡垒机(原生版)产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

本小节介绍云堡垒机产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

分类 解决方案 VPC 排查VPC路由表中的路由配置。确保VPC路由表内已存在相关路由使云主机实例可以通过IPsec VPN连接访问本地数据中心的服务器。 排查VPC应用的安全组规则。确保安全组规则允许云主机实例和服务器之间互相访问。 本地数据中心 排查本地数据中心的路由配置。确保本地数据中心已配置了相关路由使服务器可以对云主机实例做出应答。 排查本地数据中心的访问控制策略。确保本地数据中心允许云主机实例和服务器互相访问。

配置步骤 以先配置DDoS高防（边缘云版），再配置Web应用防火墙（边缘云版）为例。 1. 进入DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。按照网站域名接入完成DDoS高防（边缘云版）的域名配置。 2. 进入Web应用防火墙（边缘云版）控制台，在左侧导航中，点击【域名管理】【域名列表】，点击右上角新增域名。 3. 填写需要接入的域名后，会弹窗提示"您的域名已经在DDoS高防(边缘云版)产品控制台新增，产品关联后才能同步网站通用配置，请确认是否关联"。 4. 点击确认后，系统会自动获取并完成网站配置，您可以点击【下一步】，进行网站安全配置。 5. 完成网站安全配置后，点击【提交】即可。 注意 DDoS高防（边缘云版）叠加Web应用防火墙（边缘云版）产品后，域名CNAME地址直接使用CDN加速提供的CNAME地址即可，无需调整。 您可以在DDoS高防（边缘云版）和Web应用防火墙（边缘云版）任一控制台进行网络配置的变更，配置修改将进行同步。

接口约束   1. 专属云内创建云主机均为按需类型云主机   2. 自动分配弹性IP（extIP"1"）时，需要填写弹性IP版本（ipVersion）与带宽大小（bandwidth）；使用已有的弹性IP（extIP"2"）时，需要填写弹性IP的版本（ipVersion）和对应弹性IP的ID（eipID或ipv6AddressID）   3. 挂载网卡时，子网与虚拟私有云存在对应关系，确保子网属于当前虚拟私有云 URI POST /v4/dec/batchcreateinstance 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个clientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以查看地域和可用区来了解资源池 获取： 查 资源池列表查询 bb9fdb42056f11eda1610242ac110002 azName 是 String 可用区名称，您可以查看地域和可用区来了解可用区 获取： 查 资源池可用区查询 注：查询结果中zoneList内返回存在可用区名称(即多可用区，本字段填写实际可用区名称)，若查询结果中zoneList为空（即为单可用区，本字段填写default） cnhuadong1jsnj1Apublicctcloud instanceName 是 String 云主机名称，支持模式串（支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号“{}”两类字符单独存在或其它组合方式）。不同操作系统下，云主机名称规则有差异。 Windows：长度为215个字符（当创建两台及两台以上的云主机时名称长度为210个字符），允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字； 其他操作系统：长度为264字符（当创建两台及两台以上的云主机时名称长度为259个字符），允许使用点（.）分隔字符成多段，每段允许使用大小写字母、数字或连字符（），但不能连续使用点号（.）或连字符（），不能以点号（.）或连字符（）开头或结尾，也不能仅使用数字 ecm3300 displayName 是 String 云主机显示名称，支持模式串（支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号”{}”两类字符单独存在或其它组合方式），长度为263字符。 ecm3300 flavorID 是 String 云主机规格ID，您可以查看规格说明了解弹性云主机的选型基本信息 获取： 查 查询一个或多个云主机规格资源 注：同一规格名称在不同资源池不同可用区的规格ID是不同的，调用前需确认规格ID是否归属当前资源池，多可用区资源池确认是否归属当前可用区 0824679adc8647dca0d39c330928f4f6 decTypeID 否 String 专属云存储ID 32af90b5664c41c4bc590f88b39eebc2 imageType 是 Integer 镜像类型，取值范围： 0（私有镜像）， 1（公有镜像）， 2（共享镜像）， 3（安全镜像）， 4（甄选镜像） 您可以查看镜像概述查看关于云主机镜像介绍 1 imageID 是 String 镜像ID，您可以查看镜像概述来了解云主机镜像 获取： 查 查询可以使用的镜像资源 创 创建私有镜像（云主机系统盘） 创 创建私有镜像（云主机数据盘） 注：同一镜像名称在不同资源池的镜像ID是不同的，调用前需确认镜像ID是否归属当前资源池 9d9e89988ed543b299cb322f2b8cf6fa bootDiskType 是 String 系统盘类型，取值范围： SATA（普通IO）， SAS（高IO）， SSD（超高IO）， SSDgenric（通用型SSD）， FASTSSD（极速型SSD），您可以查看磁盘类型及性能介绍来了解磁盘类型及其对应性能指标 SATA bootDiskSize 是 Integer 系统盘大小单位为GiB，取值范围：[40, 32768]，注：创建云主机过程中会存在单位转换，因此该参数只能传入整型，如果填写小数值则会被取整，影响到涉及计费，注：创建云主机过程中会存在单位转换，因此该参数只能传入整型，如果填写小数值则会被取整，影响到涉及计费 40 vpcID 是 String 虚拟私有云ID，您可以查看产品定义虚拟私有云来了解虚拟私有云 获取： 查 查询VPC列表 创 创建VPC 注：在多可用区类型资源池下，vpcID通常为“vpc”开头，非多可用区类型资源池vpcID为uuid格式 4797e8a1722d49969362458001813e41 networkCardList 是 Array of Objects 网卡信息列表，您可以查看弹性网卡概述了解弹性网卡相关信息 networkCardList extIP 是 String 是否使用弹性公网IP，取值范围： 0（不使用）， 1（自动分配）， 2（使用已有）。 注：自动分配弹性公网，默认分配IPv4弹性公网，需填写带宽大小，如需ipv6请填写弹性IP版本（即参数extIP"1"时，需填写参数bandwidth、ipVersion，ipVersion含默认值ipv4）； 使用已有弹性公网，请填写弹性公网IP的ID，默认为ipv4版本，如使用已有ipv6，请填写弹性ip版本（即参数extIP"2"时，需填写eipID或ipv6AddressID，同时ipv6情况下请填写ipVersion） 2 projectID 否 String 企业项目ID，企业项目管理服务提供统一的云资源按企业项目管理，以及企业项目内的资源管理，成员管理。您可以通过查看创建企业项目了解如何创建企业项目 注：默认值为"0" 0 secGroupList 否 Array of Strings 安全组ID列表，您可以查看安全组概述了解安全组相关信息 获取： 查 查询用户安全组列表 创 创建安全组 注：在多可用区类型资源池下，安全组ID通常以“sg”开头，非多可用区类型资源池安全组ID为uuid格式；默认使用默认安全组，无默认安全组情况下请填写该参数 ["202ca2d2273a5995873b03731212c8e4"] dataDiskList 否 Array of Objects 数据盘信息列表，注：同一云主机下最多可挂载8块数据盘 dataDiskList ipVersion 否 String 弹性IP版本，取值范围： ipv4（v4地址）， ipv6（v6地址）， 不指定默认为ipv4。注：请先确认该资源池是否支持ipv6 ipv4 bandwidth 否 Integer 带宽大小，单位为Mbit/s，取值范围：[1, 2000] 100 ipv6AddressID 否 String 弹性公网IPv6的ID，注：多可用区类资源池暂不支持；填写该参数时请填写ipVersion为ipv6 eip5sdasd2gfh eipID 否 String 弹性公网IP的ID，您可以查看产品定义弹性IP来了解弹性公网IP 获取： 查 查询指定地域已创建的弹性 IP 创 创建弹性 IP eip9jpeyl0frh affinityGroupID 否 String 云主机组ID，获取： 查 查询云主机组列表或者详情 创 创建云主机组 259b0c37104441d8989e keyPairID 否 String 密钥对ID，您可以查看密钥对来了解密钥对相关内容 获取： 查 查询一个或多个密钥对 创 创建一对SSH密钥对 c57d06268a82407ba910b454907778c3 userPassword 否 String 用户密码，满足以下规则： 长度在8～30个字符； 必须包含大写字母、小写字母、数字以及特殊符号中的三项； 特殊符号可选：()~!@

本节为您介绍如何使用云迁移服务来迁移云主机。 产品定义 天翼云云迁移服务（CTCMS，Cloud Migration Service）是一款由天翼云自主研发的专业迁移服务产品。基于P2V/V2V技术，CTCMS可以帮助用户将单台或多台迁移源从私有云、公有云或其他特殊环境，迁移至天翼云弹性云主机（CTECS）。旨在提供有序、安全、便捷、轻松的数字资产、服务、IT资源及应用程序迁移解决方案，同时保证云上业务的可用性、安全性和连续性。 迁移流程 操作场景 ECS相关场景 天翼云 ECS实例间迁移： 当需要把不同天翼云账号下的主机资源整合到一个天翼云账号下, 或者将同账户不同区域的CTECS资源整合到同一个区域下时，可以采用主机迁移服务实现CTECS实例间的快速迁移。 其他云平台云主机迁移至天翼云： CMS支持将您在不同环境如各云服务平台等云主机、IDC机房虚拟机、本地虚拟机迁移至天翼云，通过CMS可以实现相应业务需求。 应用场景 业务快速拓展：业务系统需要具备快速拓展的能力，但传统的云下设备拓展能力有限，因此存在上云的需求。在迁移过程中，需要保证业务正常运行，并在上云后获得优于云下体验，同时还要支持快速的业务拓展。 本地IDC陆续退网、业务持续上云：拥有自己的本地IDC机房，但随着时间的推移，机房内的服务器集群已经运行了810年，逐渐到达设备的运行年限。在这种情况下，大部分企业会选择将达到运行年限的设备进行退网处理。同时，随着设备退网，原有的业务系统、应用集群、数据库、对象存储等也面临着上云迁移的需求。 高密特殊上云迁移：政府单位以及部分特殊企业，具有较高的安全需求；需要采取一系列措施来确保数据和信息的安全性。在这种场景下，通常会对内外网进行隔离，限制上云迁移软件的使用。 各环境迁移至天翼云：业务在不同环境中运行，包括在IDC机房、本地虚拟机、天翼云不同区域以及其他云服务平台上。现在需要将这些不同环境中的业务迁移至天翼云平台。 服务场景详细描述可参考：云迁移产品应用场景。

产品优势： 1、支持数据库应用—云硬盘支持多挂载，满足主流数据库需求 2、高安全—专属存储物理隔离，支持数据加密 3、高性能—专属云分布式存储保证存储资源免抢占

本节介绍了通过SQL命令转储与还原升级大版本的相关内容。 操作场景 升级RDS for PostgreSQL引擎大版本，能让您享受到RDS for PostgreSQL新版本带来的功能、性能、安全的提升。但大版本升级可能存在向后不兼容的数据变更，可能导致现有业务运行不兼容。因此需要用户使用目标版本测试确保业务能够正常运行后，再执行大版本升级。 本章节中“源数据库”表示待升级的低版本RDS for PostgreSQL数据库，“目标数据库”表示待升级到的高版本RDS for PostgreSQL数据库。 RDS for PostgreSQL版本号说明 RDS for PostgreSQL v10及其以上版本的版本号由major.minor组成。其中，major表示大版本号，minor表示小版本号。大版本升级是指major部分增加，比如：11.x升级到12.x。 RDS for PostgreSQL v10之前的版本号由major.major.minor组成。其中，major.major表示大版本号，minor表示小版本号。大版本升级是指如major.major部分增加，比如：从9.5.x升级到9.6.x或者从9.x.x升级到10.x。 准备工作 1. 查看待升级的云数据库 RDS for PostgreSQL实例信息。 a. 在“实例管理”页面，单击待升级实例名称，进入待升级实例基本信息页面。 b. 在“基本信息”页面中，可以查看到实例所属区域、可用区、虚拟私有云、子网、安全组。 2. 准备弹性云主机。 通过弹性云主机连接关系型数据库实例，需要创建一台弹性云主机。 该弹性云主机的区域、可用区、虚拟私有云、子网、安全组与待升级RDS for PostgreSQL实例相同。 3. 在2中的弹性云主机上，安装PostgreSQL客户端。 说明 该弹性云主机需要安装和RDS for PostgreSQL数据库服务端相同版本的数据库客户端，PostgreSQL数据库或客户端会自带pgdump、pgrestore和psql工具。 4. 参考通过内网连接RDS for PostgreSQL实例（Linux方式）连接源数据库，在每一个数据库上执行如下sql，获取已使用列表。 select extname from pgextension; 5. 根据查看的已使用列表，选择一个包含当前所有插件的目标升级版本。 RDS for PostgreSQL各版本支持的插件，参考支持的插件列表。 6. 参考创建参数模板，创建一个兼容待升级实例参数的目标版本参数模板。 7. 创建目标版本RDS for PostgreSQL实例。 − 创建RDS for PostgreSQL实例，请参见步骤一：购买实例。 − 目标版本RDS for PostgreSQL实例所属区域、可用区、虚拟私有云、子网、安全组与源实例相同。 8. 在2中的弹性云主机上，参考通过内网连接RDS for PostgreSQL实例（Linux方式），确认目标实例连接正常。