本文介绍云容器引擎Serverless版的产品优势。 开箱即用 一键创建 Kubernetes 集群、直接部署应用程序，无需管理Kubernetes节点和服务器。 原生兼容 提供完善的Kubernetes兼容能力，支持原生Kubernetes应用和生态，可以轻松迁移已有的Kubernetes应用程序。 安全隔离 Pod基于弹性容器实例ECI服务运行，实现了安全隔离的容器运行环境，避免了容器实例间相互影响的问题。 降低成本 提供按需创建、按量计费的模式，避免了不必要的资源浪费和成本费用，同时Serverless也大大降低了运维成本。 服务集成 支持与天翼云基础服务无缝集成，可以使用一体化控制台高效操作。

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 可用区 是 多可用区资源池可选择伸缩组绑定的伸缩配置，在指定可用区扩缩容。当伸缩配置绑定的伸缩组使用优先级扩容策略时，可用区选择顺序将决定优先级。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格 > 请选择云主机“快速创建伸缩配置。创建配置时，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，根据实际业务需求配置云主机类型、vCPU、内存、镜像（支持公共镜像、私有镜像或共享镜像）、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址对外提供访问服务。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可在虚拟私有云内部使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽大小可以根据您的业务需要设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。 密钥对：指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 密码：指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码用于登录云主机。 云监控 否 是否开启详细监控。若开启，在云主机创建成功后35分钟将自动执行详细监控Agent安装，可获取云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则通过该伸缩配置创建的云主机无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

本文为您介绍统一身份认证IAM。 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“第2步：创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。云硬盘备份VBS相关的系统策略包含如下： VBS Admin：云硬盘备份服务的管理者权限，包含云硬盘备份所有控制权限（不含订单类权限）； VBS Viewer：云硬盘备份服务的观察者权限，包含云硬盘备份服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“[第2步：创建自定义策略](

本文介绍容器集群网络规划最佳实践。 在创建云容器引擎集群时，您需要指定虚拟私有云VPC、子网、Pod CIDR和Service CIDR。因此建议您提前规划Worker节点地址、Pod地址和Service地址。本文将介绍云容器引擎下的网络规划的规则与策略。 各网段说明 虚拟私有云VPC：提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。可创建子网、设置安全组。VPC和子网需要提前在VPC的创建界面创建好，之后创建云容器引擎集群时，为集群指定VPC和子网。Worker节点的内网IP，最终为子网下的一个IP地址。 Pod CIDR：Pod是Kubernetes层的容器资源，每个Pod都具有一个容器网络IP地址。创建云容器引擎集群时可以指定Pod CIDR。 Service CIDR：Service是Kubernetes的网络资源，每个Service具有一个IP地址。创建云容器引擎集群时可以指定Service CIDR。 约束与限制 当前云容器引擎采用Calico和Flannel两种网络插件，所涉及的三个网段：虚拟私有云VPC的网段、Pod CIDR所在网段，以及Service CIDR所在网段，不可重复。 网络规划 场景 1 ： 单 VPC+ 单集群 这是最简单的场景，VPC和子网网段在创建时已明确，需要确认Pod CIDR、Service CIDR互不重叠，且和VPC不冲突即可。 场景 2 ： 单 VPC+ 多集群 VPC和子网网段在创建时已确定，不同集群可根据用户自己的网络规划，放置在同一个子网或者多个子网里。 多个集群之间Pod CIDR不可以重叠，但是Service CIDR可以重叠。

概述 云原生网关支持通过配置ip黑名单和白名单的方式限制客户端访问网关；黑白名单不能同时开启，同时只有一种能生效。 云原生网关默认读取请求中的Remoteaddr字段值作为客户端IP（即网络层IP）；如果您的客户端访问出口存在七层代理，此时Remoteaddr字段值为出口代理地址，可通过开启从xff头部获取ip配置选项，从XForwardedFor字段中获取客户端真实IP。 注意 通过ELB访问云原生网关时，网关看到的网络层地址是ELB出口IP；当前ELB采用四层代理模式，不会添加xff头部；我们将在后续的版本中优化ELB访问时的IP限制能力。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 在左侧导航栏，选择安全认证> 黑白名单。 4. 切换tab栏，填写黑名单或白名单。

本小节介绍云日志审计Windows系统客户端配置。 Windows系统客户端配置 1.进入【日志采集】→【采集控制器】，点击“NXLog”客户端，进行下载。 压缩包内包括客户端配置程序、配置文件、操作方法。 相关配置文件需注意，“Host”为云日志审计IP地址。 2.配置文件修改后，重启服务。 Linux客户端配置 1.进入Linux系统，进行rsyslog进程配置。 命令： vim /etc/rsyslog.conf 2.修改配置如下： . @云日志审计IP地址（写入发送日志指向的云日志审计地址） 3.启动rsyslog服务。 systemctl start/restart rsyslog.service 其他类型资产日志配置 其他类型资产可选择内置syslog方式，填写云日志审计组件IP地址。 若配置完成，可到【安全概览】下查看资产设备的日志分析。

本文为您介绍如何为云搜索Logstash实例具备公网访问能力。 新开启的Logstash实例默认不具备公网访问能力，您如果需要通过公网访问Logstash需要为其绑定弹性IP或IPv6带宽，并配置安全组信息，才可使用公网访问。 约束限制 1. 开启公网访问后，会因此产生流量费用，请您提前根据自身需求，购买合适的产品，公测期该费用照常收取。 2. 配置完成后，需要前往安全组设置页面，配置公网访问白名单后，才可正常使用。 3. 如果需要使用IPv6访问，需要在开通虚拟私有云VPC时即选择开通IPv6能力的子网，并在下单时选择该子网，不支持实例开通后再升级IPv6。 开通IPv6访问能力的实例 您需要在订购Elasticsearch或OpenSearch时选择具备IPv6的虚拟私有云，选择子网后，会提示“该子网已开通IPv6”。并在IPv6访问处开启开关，如关闭，则仅可通过IPv4访问实例。 配置实例公网访问 您可以对已加装完毕的Logstash实例进行公网访问的配置、修改、查看、解绑操作。 1. 登录云搜索服务控制台，进入Logstash实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，在弹出的页面上选择需要绑定的节点及公网IP类型，如果为IPv4，请在下拉列表中选择弹性IP地址；如果为IPv6，请选择IPv6的带宽名称。如果绑定失败，可以等待几分钟后再次尝试重新绑定。绑定的弹性IP或IPv6带宽需要处于空闲状态。 3. 修改绑定弹性IP或IPv6带宽，也需要在当前页面选择对应要修改的项目，点击“修改公网IP”进行重新绑定。 4. 解绑弹性IP或IPv6带宽，可关闭公网访问状态，或点击已绑定的项目后的解绑按钮，即可解绑当前的公网访问能力。 5. 实例退订将自动解绑已绑定的弹性IP或IPv6带宽，如弹性IP或IPv6带宽不再使用，您需要另外前往弹性IP的控制台退订相应的弹性IP或IPv6带宽才会停止对应产品的计费。 6. Logstash各个节点的公网访问需分别配置。

注： 每一步请截图保存结果备查 插件版本 云监控插件版本分为：ctcmagent 与 telegrafagent。最新版本为 telegrafagent，因新版 telegrafagent 具有cpu、内存消耗低等优点，如果资源池具备条件，建议您安装最新版 telegrafagent。 注意 本文主要介绍 CtcmAgent 插件问题排查，telegrafagent 相关排查信息参见 当前 telegrafagent 仅支持部分地区，除 telegrafagent 支持地区外即默认为 CtcmAgent 支持地区。telegrafagent 支持地区参见 确认插件版本 在主机内输入如下命令，对应命令有显示，则表明安装了对应 agent 版本。 shell systemctl status ctcmagent systemctl status telegraf CtcmAgent： telegrafagent： 如果是 telegrafagent，则参见telegrafagent 排查指引。 一、Linux系统监控无数据问题 1. 重启查看服务状态 systemctl status ctcmagent 若为: Unit ctcmagent.service could not be found ，则为系统未安装监控服务，跳过后边步骤即可 下面示例为运行中： 2. 查看网络连通问题 ping 169.254.169.254 若ping不通，说明网络连通故障或目标IP禁ping 执行 curl 169.254.169.254:10051 或 telnet 169.254.169.254 10051 若报错，则目标主机的10051不通，网络存在问题 正常应该为

本章节介绍云原生API网关和AI网关两个网关类型下不同规格的容量阈值及QPS性能参考 API网关 容量阈值 以下为不同网关规格下的容量阈值。当网关容量指标处于警戒水位以下时，可以得到完整的ELB保障。对于核心业务，建议将网关容量指标控制在安全水位以下，从而获得更好的稳定性。 安全水位：能够在突发流量增长至双倍的情况下，依然确保网关系统维持高吞吐量和低延迟性能。 警戒水位：当水位达到警戒线以上时，网关的延迟可能会增加，并且在突发流量下可能存在稳定性风险。 基础版网关，仅限测试场景使用。请确保线上业务使用部署了多个节点的网关规格。 网关规格 基础版 标准版1 标准版2 标准版3 企业版1 企业版2 企业版3 铂金版1 铂金版2 铂金版3 铂金版4 客户端连接数 安全水位 14000 28000 56000 112000 224000 448000 660000 880000 1760000 2640000 3080000 客户端连接数 警戒水位 28000 56000 112000 224000 448000 896000 1320000 1760000 3520000 5280000 6160000 HTTPS每秒新建连接数 安全水位 500 1000 2000 4000 8000 16000 24000 32000 64000 96000 120000 HTTPS每秒新建连接数 警戒水位 1000 2000 4000 8000 16000 32000 48000 64000 128000 192000 240000 CPU使用率 安全水位 30% 30% 30% 30% 30% 30% 30% 30% 30% 30% 30% CPU使用率 警戒水位 60% 60% 60% 60% 60% 60% 60% 60% 60% 60% 60% 内存使用率 安全水位 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 内存使用率 警戒水位 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 75%

业务场景对比 对比项 GeminiDB Redis 开源Redis 业务场景 GeminiDB Redis的特点： 关心重要数据安全。 关心系统稳定性，不希望高峰期间发生宕机。 关心数据一致性。 GeminiDB Redis适用的业务场景： 数据量小场景，GeminiDB Redis提供更低成本。 数据量大场景，开源Redis难以胜任，GeminiDB Redis完美驾驭。 开源Redis的特点： 对数据安全性要求低，接受核心数据丢失或被LRU挤出。 对稳定性要求低，接受OOM宕机发生。 接受多点访问数据不一致。 开源Redis适用的业务场景： 往往只能用于数据量小、数据有效期短的业务。 其他对比优势 对比项 GeminiDB Redis 开源Redis 成本 成本降低75%~90% GeminiDB Redis支持全量数据落盘，采用GaussDB基础组件服务，拥有极大价格优势。 硬件成本极高开源Redis的全部数据保存在纯内存介质中，且自身Fork机制导致内存使用率低。 最大容量 PB级数据量GeminiDB Redis采用存算分离架构，使得存储资源自由扩容的同时计算层资源也可以同步弹性伸缩，性能有保障。 百GB级数据量如果开源Redis集群持续增加数据量，一方面会导致硬件成本突增，另一方面其内部Gossip集群管理效率也将变得极低。 容量利用率 100% GeminiDB Redis采用纯自研架构，不受Fork问题影响，用户购买的持久化存储空间几乎全部可用。 物理压缩：对存储介质中的数据块整体进行二次压缩。 根据实际业务测试，String、Hash等常用结构在GeminiDB Redis实例中，存储空间占用仅为开源Redis的70%~85%。 只使用逻辑压缩 时延 平均时延差距不大，p9999表现有一定差距。 平均时延较低，p9999时延较低。 扛写能力 强 GeminiDB Redis支持多节点同时写入，且采用多线程架构，吞吐轻松翻倍。 弱 开源Redis集群中仅主节点可写，且属于单线程架构，业务高峰有OOM宕机风险。 数据可靠性 高 逐条命令实时落盘，底层三副本冗余存储，无数据丢失风险。 低 内存数据秒级落盘，且主从异步复制不及时，存在数据丢失风险。 数据一致性 强一致性 GeminiDB Redis实现了三副本强一致，多点访问无脏读风险。 弱一致性 开源Redis采用主从异步复制，多点访问存在数据不一致问题。 可用性 强 即使N1个节点同时故障，GeminiDB Redis实例依然可用。 中等 如果有一半的主节点发生故障，开源Redis集群将不可用。任意一对主从节点故障，开源Redis集群将不可用。 故障恢复 分钟级恢复，数据恢复时长与数据量无关 在全量数据下沉存储的Shared Everthting架构下，数据只需被可用节点接管即可，几乎不需耗时加载。 数据量越大，恢复耗时越久 数据物理分散在多个独立节点上，故障恢复需要将RDB快照从磁盘加载进内存，耗时久。 负载均衡 支持 细粒度数据分片，节点间实现动态负载均衡。 不支持 开源Redis需要依赖第三方组件。 扩容 平滑扩容 节点扩容：分钟级完成，业务秒级感知。 容量扩容：秒级完成，业务0感知。 Shared Everthting架构下，底层数据可被任一节点访问，扩容过程不发生数据拷贝搬迁，速度极快。 耗时长，对业务影响大 各节点本地内存装载数据分片，迁移意味着新节点的加入以及数据的拷贝搬迁，耗时长。 安全 高 GeminiDB Redis采用纯自研架构，不存在开源Redis安全漏洞问题。提供虚拟私有云、子网、安全组、DDoS防护以及SSL安全访问等多层安全防护体系，实现租户隔离和访问控制。 低 开源Redis内核不定期会爆出安全漏洞问题，如CVE202132761等。如版本升级不及时，随时有被恶意利用风险。网络环境安全级别取决于所使用的云服务质量。 运维 一站式服务 GeminiDB Redis提供成熟的迁移方案、实时监控、故障预警和数据库专家团队724小时支撑。 取决于所使用的云服务质量

本章介绍关系数据库的优势，关系型数据库具有低成本、高安全性、高可靠性等优势，相对传统数据库运维繁琐等缺陷，关系型数据库使用更加方便简单。 低成本 即开即用 您可以通过官网实时生成目标实例，关系型数据库服务配合弹性云服务器一起使用，通过内网连接关系型数据库可以有效的降低应用响应时间、节省公网流量费用。 弹性扩容 可以根据您的业务情况弹性伸缩所需的资源，按需开支，量身订做。配合云监控（Cloud Eye）监测数据库压力和数据存储量的变化，您可以灵活调整实例规格。 完全兼容 您无需再次学习，关系型数据库各引擎的操作方法与原生数据库引擎的完全相同。关系型数据库还兼容现有的程序和工具。 运维便捷 RDS的日常维护和管理，包括但不限于软硬件故障处理、数据库补丁更新等工作，保障关系型数据库运转正常。提供专业数据库管理平台，重启、重置密码、参数修改、查看运行日志、恢复数据等一键式功能。提供CPU利用率、IOPS、连接数、磁盘空间等实例信息实时监控及报警，让您随时随地了解实例动态。 高安全性 网络隔离 通过虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组实现网络隔离。虚拟私有云允许租户通过配置虚拟私有云入站IP范围，来控制连接数据库的IP地址段。关系型数据库实例运行在租户独立的虚拟私有云内，可提升关系型数据库实例的安全性。您可以综合运用子网和安全组的配置，来完成关系型数据库实例的隔离。

本节介绍了测试连通相关问题与处理方法。 场景排查 1. 排查安全组规则。 2. 排查网络ACL。 3. 排查弹性云主机内部网卡信息。 4. 排查不通端口。 解决方案 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面，在“连接信息”模块查看TaurusDB实例的虚拟私有云。 步骤 5 查看加入分布式事务的TaurusDB或ECS是否有相同VPC。 相同，请查看《虚拟私有云用户指南》中的连接类常见问题排查。 不相同 公网访问：需要通过EIP建立连接。请参考绑定弹性IP为TaurusDB实例绑定EIP。 内网访问：为两个不同的虚拟私有云建立对等连接，实现内网互通。 将ECS的虚拟私有云切换为与TaurusDB相同的虚拟私有云。

参数名称 说明 计费模式 WAF独享引擎实例支持按需和包年包月计费，实例从创建成功开始计费到删除实例时结束计费，按实际使用时长（精确到秒）计费。 区域 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在申请WAF时，根据防护业务的所在区域就近选择申请的WAF区域。 可用区 选择区域中的可用区。 WAF实例名称前缀 设置WAF实例名称前缀，申请多个实例时，实例前缀名称相同。 WAF实例数量 设置申请的WAF实例个数。 WAF实例规格 选择实例的规格。WAF支持500Mbit/s和100Mbit/s两种规格。 CPU架构 选择实例的CPU架构。 CPU规格 选择实例的CPU规格。 预计最终规格 吞吐量的性能参考值。 虚拟私有云 Web应用防火墙（独享版）需要配合VPC使用，购买时选择被防护源站所在的VPC即可。 业务网卡 选择VPC中已配置的子网。 安全组 选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。

本章节主要介绍审计日志概述。 管理控制台审计日志 DWS通过云审计服务（Cloud Trace Service，CTS）记录DWS 管理控制台的关键操作事件，比如创建集群、创建快照、扩容集群、重启集群等。记录的日志可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 关于开启和查看管理控制台相关事件的审计日志信息，请参考 管理控制台审计日志。 数据库审计日志 DWS通过安全设置功能记录数据库执行的DML和DDL等操作信息，用户可以根据审计日志记录对集群状态异常场景进行故障定位和分析，也可以对数据库的历史操作记录进行行为分析和安全审计等，提高DWS的安全性。 关于开启和查看数据库审计日志，请参考 设置数据库审计日志和 查看数据库审计日志。

本节主要介绍弹性文件服务的其它常见问题。 如何从云主机访问文件系统？ 要访问您的文件系统，如果是Linux云主机，您需要在Linux云主机上安装NFS客户端后使用挂载命令挂载文件系统；如果是Windows云主机，您需要在Windows云主机上安装NFS客户端，修改NFS传输协议后使用挂载命令挂载文件系统。或使用正确的用户和权限，直接输入CIFS文件系统的共享路径，挂载CIFS类型的文件系统。挂载完成后，可共享您的文件系统中的文件和目录。 如何确认如何确认Linux云主机上的文件系统处于可用状态？ 以root用户登录云主机，执行如下命令，将会回显指定域名下所有可用的文件系统。 showmount e 文件系统域名。 弹性文件服务会占用用户的哪些资源？ 为保证文件系统能够正常使用，弹性文件系统将会占用用户以下资源。 SFS容量型文件系统： 创建文件系统时，会在用户填写的安全组下，开通111、445、2049、2051、2052端口的入规则。默认的源地址为0.0.0.0/0，用户后续可根据自己的实际情况，修改该地址。 如果创建加密的SFS容量型文件系统，将会使用用户填写的kms密钥进行加密。注意，该密钥如果删除，该文件系统的数据将无法使用。 SFS Turbo文件系统： 创建SFS Turbo文件系统时，会在用户填写的子网下创建两个私有IP和一个虚拟IP。 创建SFS Turbo文件系统时，会在用户填写的安全组下，开通111、445、2049、2051、2052、20048端口的入规则。默认的源地址为0.0.0.0/0，用户后续可根据自己的实际情况，修改该地址。 如果创建加密的SFS Turbo文件系统，将会使用用户填写的kms密钥进行加密。注意，该密钥如果删除，该文件系统的数据将无法使用。 在往文件系统的文件夹写数据的过程中会占用服务器的运行内存，但不会占用服务器磁盘的存储空间，文件系统使用的是独立空间。

VPN网关删除后公网IP是否可以保留？ VPN网关删除后不保留网关IP地址。通过控制台界面删除VPN网关后， VPN网关相关联的资源，如公网IP、配置信息即被释放，不会保留。 因为VPN网关和公网IP是相关联的资源，一旦VPN网关被删除，其相关联的公网IP也会被释放。这个过程是自动进行的，以确保资源的有效利用和管理。在某些情况下，如果VPN网关删除后仍然保留了公网IP，可能会导致潜在的安全风险和配置问题。 因此，一般来说，当删除VPN网关时，相关联的公网IP也会被一并释放。 自己创建的弹性公网IP能作为VPN网关的IP地址吗？ 不可以。弹性公网IP是一种独立的公网IP地址，可以与云服务器进行绑定和解绑，实现IP地址的动态管理。但是，弹性公网IP不具备对接VPN网关服务的功能，不能直接用作VPN网关的IP地址。 VPN网关是一种用于建立加密通道的设备，用于连接内网和外网。在创建VPN网关时，系统会分配一个特定的IP地址作为VPN网关的地址。这个IP地址是专门用于连接VPN网关的，不能随意更改。 通过VPN互访的云主机需要购买弹性公网IP吗？ 一般是不需要购买弹性公网IP的，因为VPN连接是在网络层上进行的，它可以在云主机和本地主机之间建立安全的加密通道，使得它们可以相互通信。如果您的云主机仅需要通过VPN连接与其他VPC的云主机或本地主机进行互访，那么您不需要购买弹性公网IP。 然而，如果您的云主机需要向公网用户提供服务，比如通过互联网访问您的网站或应用程序，那么您需要购买弹性公网IP。弹性公网IP可以让您的云主机具有一个独立的公网IP地址，使得用户可以通过这个IP地址访问您的服务。这样可以让您的服务更具有可访问性和可用性。

参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过“终端端口 → 服务端口”的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：作为内网IP使用。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

本节介绍云等保专区产品的计费方式,包括计费模式、计费项。 计费模式 云等保专区产品采用包周期计费模式，起售周期为3个月。 支持续订，续订周期为1个月起。关于续订的更多信息请参见续订。 计费项 云等保专区根据产品类型 、产品版本 、产品数量 、产品规格 进行收费。详细价格请参见产品价格。 说明 在“二类节点”区域 （云等保专区支持的区域请参见支持的区域），除“云安全中心v2.0、主机安全v2.0、Web应用防火墙v2.0 SaaS版”外，购买其他原子能力时还需要同时购买原子能力所依赖的基础资源（包括弹性云主机、弹性IP等），基础资源与原子能力一起计费，统一下单。相关基础资源的价格请以对应产品的实际定价为准，详细说明请参见云主机计费说明、弹性IP计费说明。 云等保专区提供等保固定套餐，用户可以根据自身诉求选择不同版本套餐；也可以根据实际情况，选择自定义版，自行搭配进行选择。 套餐 说明 固定套餐 提供等保二级基础版、等保二级高级版、等保三级基础版以及等保三级高级版固定套餐。更多信息请参见[产品套餐说明](

本章节主要介绍数据治理中心的配置HBase连接功能。 目前CDM支持连接的HBase数据源有以下几种： MRS HBase FusionInsight HBase Apache HBase MRS HBase 连接MRS上的HBase数据源时，相关参数如下表所示。 说明 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见《虚拟 > 添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS上的HBase连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrshbaselink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE HBase版本 HBase版本。 HBASE2X 运行模式 “HBASE2X”版本支持该参数。选择HBase连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 ：STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 STANDALONE 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hbase01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

一体机收费模式？ 智算一体机目前主要根据一体机规格数量不同收费，3年服务期价格一体机规格标准资费数量+机柜标准资费（按需）+一体机规格维保标资费数量。后续进行扩容时，同样仅对扩容的服务器节点数量进行独立收费。 注意 交换机设备包含在智算一体机的产品价格中，无需另行配置。 报价需购买一体机3年维保费，后续运维由电信地市公司提供一线运维人员协助（定期巡检、简单硬件运维开关机、插拔盘等）。 报价中不包含网络带宽、IDC服务费用，不含操作系统license费用。 智算一体机维保费用如何收取？ 维保费包含软件维保和硬件维保服务，需要按照维保费的价格进行购买。 3年服务期内是否允许退订？ 因智算一体机机涉及硬件部分，在订购后不允许退订。 3年服务期后产权是否可以归属客户？ 智算一体机默认是以服务模式售卖，产权归属天翼云。 智算一体机最长能提供多久续订服务 初始服务期为3年，服务期结束后客户可继续按年续订，考虑到硬件维保问题，原则上只能续订2年，天翼云回收设备。 但考虑到强制客户进行业务迁移有诸多难点，所以5年后有以下方案可供客户选择： 新订购智算一体机（予以一定折扣），天翼云协助客户进行业务迁移，老设备回收。 按正常续订价格继续续订，天翼云只提供软件运维服务，但不提供硬件维保，最晚续订至第7年，天翼云回收设备。 不再续订，则天翼云立即回收设备。

适用场景 用户Web业务服务器部署在天翼云上、非天翼云或线下，防护对象为域名。 各服务版本推荐适用的场景说明如下： 服务版本 适用场景说明 基础版 适用个人网站防护。 标准版 适用中小型网站，对业务没有特殊的安全需求。 企业版 适用中型企业级网站或服务对互联网公众开放的网站，关注数据安全且具有高标准的安全需求。 旗舰版 适用中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，默认进入“云SAAS型”页签，单击“立即购买”。 首次使用WAF时，进入如下欢迎页面，单击“立即购买”。 5. 在产品订购页面，选择版本、企业项目、规格和购买数量。 参数说明如下： 参数 说明 版本选择 此处选择“WAF 云SaaS模式”。 企业项目 选择新购产品所在的企业项目，企业项目相关内容请参考：企业项目管理。 说明 仅一类资源池支持选择企业项目。 规格选择 提供四个规格：基础版、标准版、企业版、旗舰版，关于产品规格信息对比，请参见产品规格。 购买数量 一个账号支持购买一个包周期实例，实例必须绑定一个主套餐版本。 6. 选择标准版、企业版、旗舰版时，支持叠加购买“域名扩展包”、“业务扩展包”、“规则扩展包”，可以设置购买数量。 7. （可选）填写交付联系方式。 说明 为保障产品顺利交付，天翼云提供免费交付服务，请提供交付联系方式，订购完成后，天翼云安全专家会与您取得联系。 8. 选择“购买时长”，拖动时间轴设置购买时长。 说明 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 “基础版”最多支持一次性付费1年。 9. 确认参数配置无误后，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。 10. 进入“付款”页面，完成付款。

参数名 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b securityGroupIDList 是 Array of Strings 安全组ID列表，非多可用区资源池不使用该参数，其安全组参数在弹性伸缩配置中填写 ['sgnd1h63d2j8'] recoveryMode 是 Integer 实例回收模式。取值范围：1：释放模式。 1 name 是 String 伸缩组名称 asgroup901f healthMode 是 Integer 健康检查方式。取值范围： 1：云主机健康检查。2：弹性负载均衡健康检查。 1 mazInfo 否 Array of Objects 【Deprecated】多可用区资源池的实例可用区及子网信息。mazInfo和subnetIDList参数互斥，如果资源池为多可用区时使用mazInfo则不传subnetIDList参数 mazInfo subnetIDList 否 Array of Strings 子网ID列表。支持一主多辅，最大支持输入5个网卡信息，顺序第一个网卡信息默认主网卡。mazInfo和subnetIDList参数互斥。 ['a8ffac57354b41afb85353b5cded4957'] moveOutStrategy 是 Integer 实例移出策略。取值范围：1：较早创建的配置较早创建的云主机。2：较晚创建的配置较晚创建的云主机。3：较早创建的云主机。4：较晚创建的云主机。 1 useLb 是 Integer 是否使用负载均衡。取值范围： 1：是 。 2：否。 2 vpcID 是 String 虚拟私有云ID vpc0wvmt7gh02 minCount 是 Integer 最小云主机数，取值范围：[0,50] 0 maxCount 是 Integer 最大云主机数，取值范围：[minCount,2147483647] 50 expectedCount 否 Integer 期望云主机数，取值范围：[minCount,maxCount]，非多可用区资源池不支持该参数 0 healthPeriod 是 Integer 健康检查时间间隔（周期），单位：秒，取值范围：[300,10080] 300 lbList 否 Array of Objects 负载均衡列表，useLb1时必填 lbList projectID 否 String 企业项目ID 0 configID 否 Integer 【Deprecated】伸缩配置ID 375 configList 否 Array of Integers 伸缩配置ID列表，最大支持传入10个伸缩配置。按输入伸缩配置的顺序，决定伸缩配置优先级。注意：该参数与configID不可同时传入，请尽量选择本参数。 [375] azStrategy 否 Integer 扩容策略类型，仅多可用区资源池支持，多可用区资源池必填。取值范围：1：均衡分布。 2：优先级分布。 1

镜像服务广泛应用于多种场景,本文带您更快了解镜像服务经典应用场景。 部署特定软件环境 适用场景 使用共享镜像、私有镜像都能帮助快速搭建特定的软件环境，免去了自行配置环境、安装软件等繁琐且耗时的工作，并能满足建站、应用开发、可视化管理等多种个性化需求，让弹性云主机“即开即用”，省时方便。 场景痛点 通常情况下，用户安装操作系统后，系统内没有安装一些常用的软件或配置，手动安装配置相当繁琐。当需要批量部署软件环境时，更是需要一个个去配置，相当费时费力。 推荐配置及架构 弹性云主机、物理机、镜像服务 产品优势 操作便捷：根据用户需求，用户可选取需要的镜像即可运行需要的环境，不再需要人工安装操作系统后再一个个部署需要的环境，对用户的时间和专业能力均没有要求。 安全稳定：天翼云提供的公共镜像皆已经过严格测试，能够保证镜像安全、稳定，保障用户业务的稳定不间断运行。 选择灵活：用户除了可以选择官方提供的公共镜像外，如果用户有特殊的需求，也可以根据自己的需求自己制作私有镜像上传，或者通过其他用户分享给自己使用。 云主机重装系统

本节介绍云等保专区产品的下一代防火墙。 下一代防火墙能够提供应用层防火墙、入侵防护、防病毒、反APT、DOS防护、内容过滤、URL过滤、智能带宽管理、上网行为管控与审计等多重安全特性；同时，它全面适配云环境，支持主流的公有云、私有云及虚拟化平台；全特性支持RESTful API，具备高效的协同联动能力，能够提供立体化防护能力。 进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“下一代防火墙”，进入下一代防火墙资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到下一代防火墙控制台。 使用下一代防火墙 了解更多下一代防火墙相关操作内容，请下载阅读《云等保专区下一代防火墙 v1.0 用户指南》。

本章节介绍了源站服务器部署在天翼云弹性云服务器（以下简称ECS）或天翼云弹性负载均衡（以下简称ELB）时，如何判断源站存在泄漏风险，以及如何配置访问控制策略保护源站安全。 网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护后，您可以通过设置源站服务器的访问控制策略，只放行WAF回源IP段，防止黑客获取您的源站IP后绕过WAF直接攻击源站。 说明 网站已接入WAF进行安全防护后，无论您是否配置源站保护，都不影响正常业务的转发。没有配置源站保护可能导致攻击者在源站IP暴露的情况下，绕过WAF直接攻击您的源站。 如果在ECS前使用了NAT网关做转发，也需要设置ECS入方向规则在ECS的安全组配置只允许放行WAF的回源IP地址段，保护源站安全。 操作须知 在配置源站保护前，请确保该ECS或ELB实例上的所有网站域名都已经接入WAF，保证网站能正常访问。 配置安全组存在一定风险，避免出现以下问题： 您的网站设置了Bypass回源，但未取消安全组和网络ACL等配置，这种情况下，可能会导致源站无法从公网访问。 当WAF有新增的回源网段时，如果源站已配置安全组防护，可能会导致频繁出现5xx错误。 如何判断源站存在泄露风险 您可以在非天翼云环境直接使用Telnet工具连接源站公网IP地址的业务端口（或者直接在浏览器中输入访问Web应用的IP），查看是否建立连接成功。 如果可以连通：表示源站存在泄露风险，一旦黑客获取到源站公网IP就可以绕过WAF直接访问。 如果无法连通：表示当前不存在源站泄露风险。

VPC边界防火墙用于防护VPC之间的通信流量，VPC之间通信流量的访问控制，实现内部业务互访活动的可视化与安全防护。 防护对象 对等连接 云专线 云间高速 约束条件 仅“企业版”支持VPC边界防火墙。

本文介绍了如何使用统一身份认证（Identity and Access Management，简称IAM）服务对访问专属云（存储独享型）资源进行精细的权限管理。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“步骤二：创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。专属云（存储独享型）DSS相关的系统策略包含如下： ctdss admin：专属云（存储独享型）服务的管理者权限，包含专属云（存储独享型）所有控制权限（不含订单类权限）； ctdss viewer：专属云（存储独享型）服务的观察者权限，包含专属云（存储独享型）的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“步骤二：创建自定义策略”。

服务功能 功能模块 功能概述 基础版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ 安全概览 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据 √ √ 安全概览 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ 威胁告警 告警列表 通过将告警忽略、标记为线下处理，标识告警事件。 × √ 威胁告警 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 √ √

本节介绍了专属云（存储独享型）的产品定义。 专属云（存储独享型）（CTDSS，Dedicated Distributed Storage Service）为您提供独享的物理存储资源，通过数据冗余和缓存加速等多项技术，提供高可用性和持久性，以及稳定的低时延性能；可灵活对接专属云（计算独享型）等多种不同类型的计算服务。 用户需要申请专属云（存储独享型）服务后才予以开通权限，请联系专属客户经理提交开通申请，或者拨打天翼云客服电话4008109889。 功能特点： 1、 规格丰富 高IO：高性能、高扩展、高可靠，适用于性能相对较高，读写速率要求高，有实时数据存储需求的应用场景。 超高IO：低时延、高性能，适用于低时延，高读写速率要求，数据密集型应用场景。 2、弹性扩展 按需扩容：可根据业务需求扩容存储池。 性能线性增长：支持在线扩容DSS下的磁盘，并且性能线性增长，满足业务需求。 3、安全可靠 三副本冗余：数据持久性高达99.9999999%。 数据加密：系统盘和数据盘均支持数据加密，保护数据安全。 4、备份恢复 云备份服务：可为专属分布式存储下的磁盘创建备份，利用备份数据回滚磁盘，最大限度保障您数据的安全性和正确性，确保业务安全。 专属云（存储独享型）与云硬盘的区别 服务名称 总体介绍 存储类别 典型应用场景 性能规格 专属云（存储独享型） 专属云（存储独享型）为用户提供独享的物理存储资源，存储池资源物理隔离，数据持久性高达99.9999999%，可同时对接多种不同类型的计算服务，如弹性云主机、物理机等，功能丰富、安全可靠。 存储池物理隔离，资源独享，专属存储。 对接专属云中的弹性云主机、物理机等计算服务 对接非专属云中的弹性云主机、物理机等计算服务 混合负载，专属存储可同时支持HPC、数据库、Email、OA办公、Web等多个应用混合部署 高性能计算 OLAP应用 高IO：起步规格13.6TB，扩容步长13.6TB，最大可扩容至435.2TB，最大IOPS为1500 IOPS/TB。 超高IO：起步规格7.225TB，扩容步长7.225TB，最大可扩容至289TB，最大IOPS为8000 IOPS/TB。 云硬盘 云硬盘可以为云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务。 共享存储池资源 企业日常办公应用 开发测试 企业应用，例如SAP、Microsoft Exchange和Microsoft SharePoint等 分布式文件系统 各类数据库，例如：MongoDB、Oracle、SQL Server、MySQL和PostgreSQL等 云硬盘支持按需扩容，最小扩容步长为1GB，单个磁盘可由10GB扩展至32TB。 DSS与EVS的区别

操作场景 在本节中，我们将介绍如何通过Windows操作系统中的远程桌面连接（MSTSC方式）登录到Windows弹性云主机，您可以方便地访问和管理弹性云主机的操作系统界面，以进行远程操作和配置。 前提条件 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 操作步骤 1. 在本地Windows主机的开始菜单中，点击"开始"按钮。 2. 在“搜索程序和文件”中，输入“mstsc”并点击打开远程桌面连接工具。 3. 在“远程桌面连接”的对话框中，点击“选项”。 4. 在选项中，输入待登录的云主机的弹性IP和用户名（默认为Administrator）。 5. （可选）如果需要在远程会话中使用本地主机的资源，点击“本地资源”选项卡，并根据需求进行配置。可以勾选“剪贴板”来实现从本地主机复制到云主机的操作。 6. （可选）如果需要调整远程桌面窗口的大小，可以选择“显示”选项卡并调整窗口大小。 7. 点击“确定”，根据提示输入密码，登录云主机。首次登录云主机时，需要更改密码以提高安全性。 8. （可选）注意，使用远程桌面连接（RDP）方式登录云主机后，如果需要通过RDP将本地的大文件（文件大小超过2GB）复制粘贴到远程的Windows云主机中，由于Windows系统的限制，可能导致操作失败。

本文介绍如何开启容器安全防护。 为快速实现云原生应用防护，您需要购买容器安全卫士实例、配置防护策略并开启防护。 防护开启后，通过仪表盘查看访问统计信息和攻击防护记录，掌握业务的安全状况。 配置流程 步骤一：购买容器安全卫士实例 详细步骤请参见购买容器安全卫士。 步骤二 ：安装Sever/Agent 详细步骤请参见安装Server/Agent。 步骤三：配置防护策略 Server/Agent安装完成后，系统默认使用“默认策略”防护所有容器，并将“状态”切换为开启。 用户也可以自定义防护策略，详细步骤如下： 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页面，可以添加防护策略，并将策略的“启用状态”切换为开启。 4. 在“入侵检测规则”页面，可管理命令执行、读写文件、网络活动、文件内容等检测规则。

本文介绍如何连接DRDS实例逻辑库。 连接方式介绍 DRDS提供使用内网、公网两种连接方式，详见下表： 连接方式 IP地址 使用场景 说明 ::: 内网连接 内网IP地址 系统默认提供内网IP地址。当部署应用的弹性云主机，与DRDS实例处于同一区域的同一VPC内时，建议使用内网IP连接弹性云主机与DRDS实例。 安全性较高，提升网络连接的速度和DRDS实例的稳定性。推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问DRDS实例时，使用公网访问。建议单独绑定弹性公网IP，实现弹性云主机（或公网主机）与DRDS实例间的连接。 安全性较低。为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DRDS实例在同一VPC内，使用内网连接。 前提条件 连接前需确保已成功配置DRDS实例。 弹性云主机上已安装MySQL客户端或程序已配置好MySQL连接驱动。 注意 出于安全考虑，建议连接DRDS所使用的弹性云主机与DRDS实例处于相同的虚拟私有云（VPC）。 操作步骤 步骤一：获取DRDS实例连接信息 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 查看实例的VIP和端口信息，即为连接地址。 5. 在左侧导航栏选择【用户管理】，获取DRDS实例的用户信息。 6. 获取到以上信息，即为可以连接DRDS实例的连接信息。