本文带您了解云主机备份的功能特性。 云主机备份 支持对云主机整机进行备份。 备份方式：支持手动备份及自动策略备份，用户可按需选择备份方式进行备份。 备份策略：支持全天24小时的多备份时间点选择，支持按天、周、用户自定义天数的备份周期选择；支持按时间、按数量、永久保留三种备份保留方式。 备份管理：用户可以通过备份列表查看备份信息，对已备份数据进行批量管理。 备份恢复 无论是全量还是增量备份，都可以快速、方便地将云主机的数据恢复至备份副本所在时刻的状态。用户可采用数据恢复、申请新主机两种方式进行备份恢复操作。 选择数据恢复，备份数据将恢复到原主机，覆盖当前云主机数据。 选择申请新主机，用户可实现云主机数据的迁移，系统将会为用户创建一台数据与备份副本所在时刻一致的云主机。 备份安全 云主机备份将云主机数据备份到对象存储中，利用对象存储的特性，将备份的数据存储在分布式的存储系统中，确保数据的可靠性，并防止数据丢失。 针对加密云硬盘的备份，备份数据自动继承源云硬盘的加密属性，加密算法与源加密云硬盘保持一致，加密云主机备份数据有助于防止未经授权的访问和数据泄露。即使备份数据在传输或存储过程中被攻击者获取，也因为加密而无法读取或使用。

本文为您介绍如何通过云审计查看云产品的操作记录。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景。本文为您介绍如何通过云审计查看云资源的操作记录。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围； 读写类型：支持根据事件的读写类型进行筛选； 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）； 操作用户：支持根据同一租户下的不同主子账号进行筛选； 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

云迁移服务CMS是否支持成本规格比对？ 评估中心支持与其他云厂商的价格规格进行对比。查看方式可以在左侧导航栏选择迁移评估，点击【成本评估】按钮，进入[成本评估]界面，点击【查看TCO分析表查看】，如图所示。 迁移评估中心是否支持具体的TCO分析图表？ 成本评估表中点击“查看TCO分析图表”详情页。您可以通过TCO分析图表查看映射目标区域、迁移源与目的端映射关系、成本对比、成本拼图、账单明细。 迁移计划能否支持可视化界面？ 支持。 迁移计划对多种资源的迁移任务统一进行管理，进度大盘可实时监控迁移过程中的状态和进度。 云迁移服务CMS控制中心有何作用？ 云迁移CMS控制中心，负责迁移计划所有计划摘要显示，可以在右上角“查看所有计划”进行查看云迁移计划。 迁移计划优先级作用？ 云迁移迁移计划提供迁移优先级用与计划名称的标识。 云迁移服务使用到的AK/SK，如何获取？ 进入云迁移资源规划、资源管理页，点击资源创建，弹出输入Accesskey、SecurityKey。进入天翼云点击个人中心、安全设置中用户Accesskey获取对应AccessKey、SecurityKey。 进度大盘能否查看迁移概况？ 可以。 您可以通过迁移大盘详情页，迁移概况预览查看迁移进度、开始个数、迁移中数、完成数、待处理数。

本章节为您介绍如何升级云堡垒机的实例版本。 新版本的云堡垒机对系统进行了功能优化或添加了新功能，请及时升级版本。 注意 在堡垒机升级至1.3.0版本后，需要卸载旧的访问插件，在“运维设置 > 访问插件”中下载最新版本插件进行安装。 堡垒机在升级失败后会自动回退版本。 前提条件 已获取管理控制台的登录账号与密码。 已绑定EIP，且EIP可用。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需变更升级的实例，单击所在行“操作”列中“更多 > 升级版本”，或单击实例名称旁的提示框中“升级”。 4. 在弹出的对话框中单击“确定”，堡垒机开始进行自动升级并且堡垒机的状态会变为“升级中”。 5. 待堡垒机状态变为“运行中”即表示升级已经结束，可正常使用堡垒机。

云点播密钥管理功能介绍。 综述 云点播采用了AK/SK的认证机制，对SDK、API、回调通知等交互入口进行了安全强化。AK（又称Access key），用于标识用户身份。SK（又称Secret access key）是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥，其中SK必须保密。AK/SK使用对称加解密算法，其原理是当云点播侧接收到用户的请求后，系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串，并与用户请求中包含的认证字符串进行比对。如果认证字符串相同，系统认为用户拥有指定的操作权限，并执行相关操作；如果认证字符串不同，系统将忽略该操作并返回错误码。云点播提供了统一入口，对涉及到的相关AK/SK密钥对进行管理。 查看密钥配置列表 前提条件 已开通云点播产品。 账号属性为主账号。 操作步骤 进入云点播控制台，选择左侧导航栏的【开发配置】–【密钥管理】可打开密钥管理配置页面。在该页面，您可以看到【原生密钥】、【OpenAPI密钥】两个标签卡，适用于在不同场景下密钥生成和管理。 功能 说明 :: 原生密钥 用于在调用原生API、SDK时的身份和校验信息生成，该密钥由云点播（存量）或CTIAM（增量）生成。 OpenAPI密钥 用于在调用天翼云OpenAPI接口时的身份和校验信息生成。 原生密钥

参数 参数说明 集群名称 集群的名称，创建集群时设置。 集群状态 集群状态信息。 集群版本 集群的版本信息。 集群类型 创建集群时的集群类型。 集群ID 集群的唯一标识，创建集群时系统自动赋值，不需要用户设置。 创建时间 显示集群创建的时间。 可用区 集群工作区域下的可用区，创建集群时设置。 默认生效子网 子网信息，创建集群时所选。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 OBS权限控制 单击“单击管理”，修改MRS用户与OBS权限的映射关系，具体请参考 数据连接 单击“单击管理”，查看集群关联的数据连接类型，具体请参考 委托 单击“管理委托”，为集群绑定或修改委托。 通过绑定委托，您可以将部分资源共享给ECS或BMS云服务来管理，例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见 密钥对 密钥对名称，创建集群时设置。 如果创建集群时设置的登录方式为密码，则不显示。 Keberos认证 登录Manager管理页面时是否启用Kerberos认证。 说明 Kerberos认证模式不支持手动修改，集群创建成功后将无法开启和关闭此功能，需要在创建MRS服务集群的时候选择开启或者关闭Kerberos服务，建议重新创建集群。 安全组 集群的安全组名称。 数据盘密钥名称 用于加密数据盘的密钥名称。如需对已使用的密钥进行管理，请登录密钥管理控制台进行操作。 数据盘密钥ID 用于加密数据盘的密钥ID。 组件版本 集群安装各组件的版本信息。 委托 通过绑定委托，ECS或BMS云服务将有权限来管理您的部分资源。

本实践介绍了云主机整机备份的操作步骤,帮助您保护主机整机数据。 场景描述 天翼云为您提供基于快照技术的整机备份服务，同一时间为您保存系统盘、数据盘的数据，当云主机出现故障待机或人为损坏，可通过备份副本，实现一键恢复主机数据，快速回退到备份点数据，恢复业务运行环境。 方案优势 提供了灵活、便捷、可靠的数据恢复解决方案，保障业务的连续性和数据的安全性。 为用户应对病毒入侵、黑客破坏等突发场景，保护云主机数据完整。 相较于传统本地备份方式，云主机备份使用更加简便，且统一托管，安全可信。 备份数据具有一致性，主机云硬盘同一时间进行备份，不存在因备份创建时间差带来的数据不一致问题。 前提条件 已购买备份存储库，且存储库为“可用”状态。 执行数据恢复前需关闭云主机。 备份状态需为“可用”。 操作步骤 步骤一：创建云主机备份 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择相应的存储库，点击操作列下的“创建备份”。 5. 在弹出的“创建云主机备份”页面，选择需要备份的主机至右侧“已选云主机”列表。 6. 选择“立即备份”，即时完成目标主机备份的创建，点击“下一步”。 7. 跳转至云主机备份资源详情页面，确认资源配置，勾选“我已阅读并同意相关协议《天翼云云主机备份服务协议》”，点击“确认下单”。 8. 查看“备份副本”列表，等待创建的备份副本的状态变为“可用”，即完成备份的创建。

使用可信云主机 查看实例可信信息 1. 登录弹性云主机控制台。 2. 在云主机列表中，若“镜像名称”列的可信图标为绿色，则说明该云主机已开启可信系统；若“镜像名称”列的可信图标为灰色，则说明该云主机未开启可信系统。 3. 点击已开启可信系统的云主机的实例ID，进入云主机详情页。在详情页主机信息部分，通过“可信实例”字段也可以查看云主机可信系统开启情况。 4. 在详情页中选择“可信计算”页签，查看实例具体的可信信息。 “资产启动概况”区域中的圆圈代表PCR，每个PCR对应启动过程中的一个特定环节。“资产启动概况”区域中的圆圈与“资产中组件可信状态”区域中的组件列表一一对应。圆圈的颜色代表了该环节是否正常： 如果圆圈全部是绿色，代表实例启动过程是正常的。相应的，实际度量值（即，系统可信功能收集到的实际状态）和标准值都一致。 如果启动过程中某一环节出错，则对应的圆圈会变为红色，其后的圆圈变为灰色。您可以在“可信异常处理”部分查看并处理查看该环节的具体信息。 PCR即平台配置寄存器（Platform Configuration Register），是可信安全设备的存储单元，能够可靠地存储启动过程中收集的状态信息。每个PCR对应启动过程中的一个特定环节，PCR值表征各环节中度量对象的状态。如果PCR中存储的实际度量值与预期的标准值一致，则认为该环节符合预期。每个环节中度量的对象如下： pcr0：表征SRTM、BIOS、嵌入式可选ROM、PI驱动等。 pcr1：表征主机平台配置。 pcr2：表征UEFI驱动、应用代码。 pcr3：表征UEFI驱动、应用配置、应用数据。 pcr4：表征UEFI启动管理代码（通常是MBR）。 pcr5：表征UEFI启动管理代码（通常是MBR）、启动相关数据（由UEFI启动管理代码使用的数据）、GPT分区表。 pcr6：表征平台生产厂商定义的特定UEFI固件。 pcr7：表征安全启动策略。 pcr8：表征在grub.cfg等配置文件中规定执行的关键命令（不会度量非关键命令，例如定义启动菜单标题的命令），以及传递给Linux内核的命令行信息。 pcr9：表征GRUB模块、Linux内核和initramfs。

本节介绍Web应用防火墙高可用部署方案。 部署方案 切换实现逻辑 WAF设备间的高可用以平台能力虚拟IP来实现，平台虚拟IP绑定多网卡时会自动轮询，将流量自动转发至对应网卡，若虚拟IP所绑定的其中一张网卡down掉，则会自动转发至存活网卡。 网络要求 WAF拉起时使用的子网需避免与客户业务网络处于同一子网，建议新起一段管理子网专用于WAF管理，作为单点跳转使用；新建网卡所在子网需与客户业务子网互通。 装好WAF镜像后，单台需要新增1张网卡，作为业务反代网卡，结合初始拉起镜像时自带的主网卡作为M口管理，单台设备共计需要2张网卡。 在虚拟云网络中至少申请1个虚IP作为两设备间的两两网卡绑定的虚拟切换地址。 前提条件 已完成主备WAF的部署，收集WAF防护云服务器的一些信息；服务器站点以及端口和对应的主机的地址。 部署前检查控制台环境。 1. 确保用户服务器站点没过WAF设备前，是能正常访问的。 2. 确保WAF与客户业务是否处于同一VPC （与客户业务处在不同VPC得做对等连接）。 3. WAF设备和服务器安全组是否做了限制。 注意 安全组配置：请确保防火墙VRRP所绑定网卡处于同一安全组，且将VRRP报文通报端口置于放通状态。

本文介绍连接器集群相关配置,以便您可以快速接入服务。 功能介绍 远程办公场景：在您访问您的企业内部系统之前，您需要通过安装连接器，实现企业员工要访问的内部应用系统资源和AOne边缘节点的网络连通。连接器是使用反向连接技术，将您的内网应用资源和天翼云零信任安全网关进行网络连通，避免业务系统暴露于互联网上。远程零信任办公服务通过连接器可实现统一连通企业多云、混合云、云上VPC、本地机房等跨数据中心网络，有效解决企业数字化转型过程中遇到的混合部署模式下统一接入难题，实现企业内网的统一和可信延伸。 办公组网场景：您需要在进行互联互通的分支网络中部署连接器，连接器可与天翼云边缘节点建立安全隧道或直接与对端连接器打通，通过统一的管理平面，控制不同分支机构的互联互访。 全球加速：您需要在需要进行加速访问的网络中，部署连接器，连接器遵循白名单原则，对需要加速访问的应用进行引流，它将作为“高速公路”入口，与天翼云边缘节点进行网络打通。 使用说明 您需要准备服务器用于安装连接器，可选择云上服务器（云主机）、虚拟机或是物理服务器等进行部署安装，该服务器需要由客户自行购买。 使用该能力需要购买零信任服务、网络服务或全球加速服务，针对不同场景进行选择配置。

此小节介绍绑定弹性公网IP。 以下操作必须为堡垒机实例绑定弹性公网IP，且为了满足CBH使用需求，建议配置EIP带宽为5M以上。 使用Web浏览器登录云堡垒机系统。登录地址：https:// 云堡垒机实例EIP 。例如， 配置了手机短信登录，需要通过手机获取验证码等操作，不配置EIP，会导致不能接收短信。 对接LTS外发日志。 V3.3.2.0及以下版本，如果云堡垒机实例未绑定弹性公网IP的话，会导致变更版本规格、升级版本、启动/重启实例、续费等操作失败。 前提条件 已获取管理控制台的登录帐号与密码。 已购买至少一个弹性公网IP（Elastic IP，EIP）。 注意 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用； 该弹性公网IP和要绑定的云堡垒机实例必须是同一个帐号同一个区域下购买的。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击云堡垒机，进入云堡垒机实例界面。 5. 在需要绑定弹性IP的实例所在行，单击“操作”列中的“更多 > 绑定弹性公网IP”。 6. 在弹出的绑定弹性IP对话框中，选择已有“未绑定”状态的弹性IP，单击“确定”。绑定成功后，“登录”按钮变为可操作，且可在“弹性IP”列查看已绑定弹性IP。 说明 若没有可选择的弹性IP，请单击“立即购买弹性IP”进行购买。

本页面介绍云数据库ClickHouse计费类常见问题。 云数据库ClickHouse计费类常见问题汇总如下： 云数据库ClickHouse的计费项包括哪些? 云数据库ClickHouse的主要计费项包括: 1. CPU：不同规格实例的CPU核数不一，可选类型因资源池而异。 2. 内存：不同规格实例的内存容量不一，可选类型因资源池而异。 3. 数据库存储空间：包年包月的计费单位为 GB/月，按需计费为GB/小时，具体存储类型因资源池而异。 如何订购云数据库ClickHouse? 订购操作步骤 1. 登录管理控制台，进入产品搜索选择“数据库”选择“云数据库ClickHouse”。 2. 进入产品详情页面，选择购买对象为单可用区或多可用区（仅支持4.0资源池）。 3. 选择实例规格，包括CPU核数、内存容量等。 4. 选择网络计费类型，公网属性和安全组。 5. 确定购买数量、时长等。 6. 完善订单信息后提交下单，待开通完成即可使用。 云数据库ClickHouse产品退订后能否恢复? 当产品实例退订后,原先的订单信息将无法再进行续费或恢复。具体来说: 退订生效后，原订单将无法再进行续费或修改操作。 退订成功后,原有数据将无法完全恢复或访问。 所以一旦选择退订,原有资源将不可逆转恢复。请谨慎操作。

操作场景 您可以通过管理控制中心来创建密钥对。创建完成后，公钥将自动保存在系统中，而私钥则由用户保存在本地。 操作步骤 1. 登录控制中心。 2. 单击“左侧导航栏>服务列表”，选择"计算>弹性云主机"。 3. 在左侧导航栏，单击"SSH密钥对"，进入密钥对列表。 4. 单击右上角的"创建密钥对"按钮，输入“名称”并选择“企业项目”后点击“确定”按钮开始创建。 5. 创建密钥对成功后，弹窗会自动下载“XXXX.pem”密钥到本地。 注意 为保证云主机安全，私钥只能下载一次，私钥丢失后将无法登录云主机，请您妥善保管。 6. 返回SSH密钥对列表页，点击列表右上角的刷新按钮，查看SSH密钥对的创建情况。 相关操作 您可以通过“解绑密钥对”功能解绑密钥对。

不需要的弹性IP可进行删除/退订操作,本文将介绍操作步骤。 背景信息 按需计费的弹性IP支持删除操作。 包周期的弹性IP支持退订操作。 前提条件 要删除/退订的弹性IP必须满足以下条件： 因安全原因被锁定的弹性IP不支持删除/退订。 只有未绑定云资源的弹性IP地址才可删除/退订。 操作须知 按需计费的弹性IP在删除后会停止计费。 绑定云资源的弹性IP，有些需要到对应的云资源页面进行解绑。 操作步骤 1. 进入网络控制台，在服务列表中点击“弹性IP”按钮。 2. 在弹性IP列表找到已解绑的弹性IP，确认需要操作的弹性IP信息，点击操作列中的“删除/退订”按钮。 3. 在弹出的界面中单击“确定”完成释放。

本文通过图文说明如何自定义查询刷新预取任务的执行状态。 功能介绍 当客户完成刷新或预取任务提交后，如要查看任务执行进度和结果，可以通过天翼云客户控制台【刷新预取】页面，分别查看已提交的URL刷新、目录刷新、正则刷新和URL预取任务的执行情况。 操作方式 1. 登录边缘安全加速控制台，进入【安全与加速工作台】【刷新预取】页面。 2. 在【刷新预取】页面。 3. 按实际情况，选择【URL刷新】、【目录刷新】、【正则刷新】或【URL预取】。 4. 选择具体的时间、输入完整域名，或者选择一种特定的任务状态类型。 5. 单击【查询】。 注意 URL刷新、目录刷新、正则刷新只支持查询最近7天内、时间跨度不超过5天的任务。 URL预取只支持查询最近15天内、时间跨度不超过7天的任务。

本页面主要介绍分布式消息服务MQTT对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“容器与中间件”，资源类型选择“分布式消息服务Kafka”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本页面主要介绍分布式消息服务RabbitMQ对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“容器与中间件”，资源类型选择“分布式消息服务Kafka”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本文主要介绍弹性负载均衡负载均衡器的常见问题。 负载均衡器是否可以单独使用？ 不可以。弹性负载均衡是将访问流量根据分配策略分发到后端多台云主机的流量分发控制服务，通过流量分发扩展应用系统对外的服务能力，同时通过消除单点故障提升应用系统的可用性。因此弹性负载均衡要基于后端实例（如：弹性云主机）来使用，不可以单独使用。 负载均衡器是否支持TCP长连接？ 支持。客户端到ELB之间支持TCP长连接。TCP长连接是指客户端和ELB之间建立TCP连接之后，可以持续发送业务请求（HTTP请求），可提高TCP连接复用率，降低TCP频繁建连的开销。 负载均衡器是否支持后端FTP服务？ 负载均衡器不支持后端FTP服务。但是可以支持SFTP场景。 负载均衡器是否自带防DDoS攻击和Web代码层次安全的功能？ 负载均衡服务不提供DDoS等安全防护功能，防护功能一般配合高防系统来使用。 DDoS防护是天翼云默认开启的防护，所有公网的入口流量都会被DDos防护。 负载均衡器分配的EIP是否为独占？ 在您创建使用弹性负载均衡服务的整个生命周期内：弹性公网IP支持解绑，解绑后的负载均衡变成私网型负载均衡，解绑后的弹性公网IP可被其他资源绑定。

灵活易操作 灵活配置：在CMS提供的用户服务页面上，您可以灵活地进行各种操作。通过简单的配置，您可以调整分区大小，自定义迁移文件，管理迁移任务等功能。这种灵活性使您能够根据实际需求对迁移过程进行定制化的设置，以满足不同场景下的迁移需求。根据具体情况，在用户服务页面上轻松地进行各种操作，以确保迁移过程的顺利进行和满足您的要求。 操作简单：您仅需进行四步简单操作（安装Agent与PE系统、平台配置任务、停止源端服务保证数据一致性，等待业务目标机重启），即可完成迁移任务，简化上云流程。 安全性高 数据安全：为保障数据的安全性，服务器迁移服务对口令和连接串数据进行了特殊处理。采用混合加密结合独特的算法，对数据流量进行单独封装，从而确保数据在传输过程中的安全性。 传输安全：服务器迁移服务针对迁移场景进行了设计，在迁移过程中将监控流量和数据传输流量进行区分。同时，采用一套专门的重连机制，避免传输过程中网络中断对迁移任务的影响，保障迁移过程的稳定性和可靠性。 连接安全：为防止非法攻击对迁移任务造成影响，PE端Agent（服务端程序）对客户端连接进行握手验证，并及时断开和删除非法连接，保证端口的安全性。这样做也能保证句柄资源的充足使用，从而确保迁移过程的正常运行。 支持代理：云迁移服务同时支持代理等方式，减少内网暴露，确保迁移过程的安全性。这使得用户在进行迁移时可以选择更安全的方式，以适应不同网络环境的需求。

使用私钥文件获取登录密码失败时,可以参考本文。 可能原因 1.出现获取密码失败一般原因是弹性云主机 cloudinit 失败，没有通过 cloudinit 注入密码。 2.Cloudinit 注入密码失败原因有： 网络原因导致弹性云主机无法连接到 cloudinit 服务器； 镜像上 cloudinit 没有获取密码相关配置； 弹性云主机上其他问题导致弹性云主机 cloudinit 无法获取。 处理办法 1. 检查弹性云主机的网络配置，是否导致弹性云主机 cloudinit 失败，操作如下： 弹性云主机所在安全组 80 端口的“出方向”和“入方向”是否放通。 2. 检查镜像上 cloudinit 是否配置了获取密码，当前 HEC 环境中的所有公共镜像均已正确配 置 cloudinit。 如果客户使用公共镜像则无需检查此项。 如果客户使用私有镜像创建弹性云主机，则需要确认镜像中已正确配置了 cloudinit。 3. 其他方面：大规格弹性云主机的虚拟内存导致客户弹性云主机 cloudinit 执行失败。 4. 通过查看日志检查原因，cloudinit 日志查看步骤如下： 将无法获取密钥的弹性云主机关机后，将系统盘卸载。 使用公共镜像创建一个临时 windows 弹性云主机，将上一步骤中卸载的卷挂载在此弹性云主机上。 登录临时创建的弹性云主机主机，打开主机管理器，选择“文件和存储服务 > 卷 > 磁盘”，单击鼠标右键选择“脱机”状态的磁盘，单击“联机”。 打开新联机的磁盘，查看“/Programe Files/Cloudbase Solution/CloudbaseInit/log”路径下的“cloudbaseinit”文件，通过日志查看原因。

登录平台之后会自动进入天翼云学堂首页，平台首页按功能模块分为11个区域，效果图如下： 网站名称 显示网站的名称或者网站LOGO:天翼云学堂。 导航栏 显示顶部导航内容：在线课程中心、认证考试中心、精品直播中心、学习班级。点击后直接跳转对应的二级页面。 搜索栏 全站课程搜索栏：支持模糊搜索，支持本地搜索。 信息栏 1) 我的学习： 显示我的课程，我的班级，我的直播、我的考试、我的认证等内容。 a) 我的课程：此处显示学员所有已加入的课程和加入的班级内的课程信息（包含学习中/已学完/收藏）； b) 我的班级：显示学员所加入的班级信息； c) 我的直播课表：显示学员所有已加入的直播课程信息； d) 我的问答：显示学员所有的课程问答信息； e) 我的话题：显示学员参与的所有话题信息； f) 我的笔记：显示学员所有的笔记信息，支持快速查看笔记内容； g) 我的考试：显示学员所有的考试情况以及收藏的题目； h) 我的认证：显示学员获得的所有认证，并提供下载功能。 2) 账户中心： 显示我的订单、邀请码、优惠券、会员记录、我的积分。 a) 我的订单：学员可以在此页面查看自己在平台的购买记录，并且进行退款操作，在退款列表中，可以对申请的退款进行查看。 3) 个人设置： 显示个人信息、安全设置（修改用户身份认证） a) 个人信息：此处可编辑填写用户账户基本信息。 注：建议初登录系统的用户完善账号信息 b) 安全设置：可设置/修改用户身份，用户身份分为个人学习用户、中国电信员工、天翼云代理商，如下图所示： 通知、私信 显示管理员发送给你的通知或平台其他用户发送给你的私信。 头像 1) 退出登入 为确保账户安全，在不使用本系统时，请退出本系统。退出系统的时候请点击用户头像选择点击【退出】按钮。 2) 点击头像进入个人主页 在个人主页平台用户可查看到你的个人介绍、正在学习课程/班级、收藏的课程、加入的小组、你关注的用户以及你的粉丝。 轮播图 显示首页轮播图内容，点击后跳转到相应的内容页。 课程推荐模块 学员可根据首页推荐的课程，点击进入课程信息详情页，快速加入学习。 中部导航栏 显示3个导航入口，引导客户进入各个专题页面。 职业职格认证模块 显示3个认证链接入口，引导客户进入各个认证页面。 底部导航 嵌入天翼云主站底部栏，和天翼云主站底部保持一致。

本文主要介绍如何安装客户端。 启用应用一致性备份前，需先在弹性云服务器上更改安全组和成功安装Agent。 如果服务器未安装Agent而执行了云主机备份，则会导致应用一致性备份失败；如果同时勾选了数据库服务器备份失败后继续云主机备份，则会执行奔溃一致性备份。为了确保应用一致性备份正常进行，请先按照本章节下载并安装Agent。 操作说明 安装客户端时，系统会以“rdadmin”用户运行安装程序。请定期修改Agent的操作系统“rdadmin”用户的登录密码，并禁止“rdadmin”用户远程登录，以提升系统运维安全性。详情请参见修改rdadmin帐号密码。 支持安装客户端的操作系统如下表所示。 数据库名称 操作系统类型 版本范围 ::: SQLServer 2008/2012 Windows Windows Server 2008, 2008 R2, 2012, 2012 R2 for x8664 SQLServer 2014/2016/EE Windows Windows Server 2014, 2014 R2, 2016 Datacenter for x8664 MySQL 5.5/5.6/5.7 Red Hat Red Hat Enterprise Linux 6, 7 for x8664 MySQL 5.5/5.6/5.7 SUSE MySQL 5.5/5.6/5.7 CentOS CentOS 6, 7 for x8664 MySQL 5.5/5.6/5.7 Euler Euler OS 2.2, 2.3 for x8664 HANA 1.0/2.0 SUSE SUSE Linux Enterprise Server 12 for x8664 须知： 客户端安装时，系统会打开弹性云服务器的5952659528端口的防火墙其中之一。当59526端口被占用时，则会打开59527端口的防火墙，以此类推。

本章节介绍应用服务网格CSM产品定义 什么是应用服务网格CSM？ 天翼云应用服务网格（CSM）提供基于Sidecar技术的无侵入式服务治理能力，兼容开源istio服务网格，并基于开源实现做了功能增强，提供了丰富的流量治理、安全管控和观测能力，满足多语言、技术栈应用统一治理的需求，降低业务接入门槛。 核心功能 网格全生命周期管理：一键创建、销毁网格实例、网格规格扩容，支持日志、链路、指标等自动化配置；实现Sidecar定制化配置，支持Sidecar注入策略及Sidecar代理配置能力。 流量治理能力：支持原生的istio流量治理能力，并提供了本地限流、流量打标、全链路灰度等高阶治理能力；无缝对接云容器引擎，实现多集群统一治理。 可观测及安全策略：支持数据面指标监控，提供控制面和数据面日志及链路追踪能力；支持全链路加密通信，请求认证授权，集成外部授权服务和OPA策略引擎，支持控制台API操作审计。 应用服务网格CSM的核心功能说明如下。更多信息，请参见用户指南。 功能项 说明 相关文档 网格管理 网格可观测、OPA配置等配置能力，全局命名空间管理。 网格管理 sidecar管理 sidecar注入策略配置，sidecar代理配置。 sidecar管理 集群与工作负载管理 ServiceEntry管理，多集群管理。 集群与工作负载 流量治理 提供多集群治理能力，支持基于istio CRD的流量治理，以及扩展的高阶治理能力。 流量管理中心 安全策略 一键开启mTLS安全链路，支持丰富的请求认证和授权策略，支持使用外部授权服务对网格内的服务进行访问授权，支持一键集成OPA策略引擎。 网格安全中心 可观测管理 指标监控，数据面、控制面日志监控能力。 可观测管理中心 网格优化 sidecar资源管理，服务发现范围配置以及自适应配置分发配置。 网格优化中心 网关 ingress、egress网关生命周期管理。 网关

参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同，创建只读实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 和主实例相同。

本章节向您介绍利用VPN连接打造云间互联通道的前提条件。 前提条件 云主机绑定的安全组需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。 子网的网络ACL需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。

本文介绍如何购买云防火墙（原生版）C100实例。 前提条件 已注册天翼云账号并完成实名认证。 进入购买页面 方式一：通过产品页进入购买页面 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 网络安全 > 云防火墙（原生版）”，进入云防火墙（原生版）产品详情页面。 3. 单击“立即开通”，进入云防火墙（原生版）订购页面。 方式二：通过控制中心进入购买页面 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）控制台。 购买步骤 1. 进入云防火墙（原生版）订购页面。 2. 配置基本信息。 参数名称 参数说明 区域 选择购买云防火墙（原生版）的区域。 商品类型 此处选择C100。 版本选择 支持高级版、企业版。不同版本差异请参见产品规格。 云防火墙名称 系统会自动为您生成一个名称，您也可以自定义。 名称只能由数字、字母、“”组成，不能以数字和“”开头、以“”结尾，且长度为2~63字符。 可防护公网IP数 可以单击加减号调整防护公网IP数，步长为1；也可以在其中直接输入；也可以拖动设置。 高级版可防护公网IP数的范围是20个 ~ 1000个。 企业版可防护公网IP数的范围是50个 ~ 1000个。 说明 建议不少于选中VPC中防护的公网IP数量。 公网流量处理能力 公网流量处理能力是指云防火墙可防护的互联网边界流量峰值。 可以单击加减号调整公网流量处理能力，步长为5；也可以在其中直接输入；也可以拖动设置。 高级版公网流量处理能力的范围是10Mbps ~ 2000Mbps。 企业版公网流量处理能力的范围是50Mbps ~ 2000Mbps。 说明 建议与您业务的公网带宽保持一致，且不少于选中VPC中防护的公网IP带宽之和。 VPC边界防火墙配额数 仅企业版支持VPC边界防火墙。 在您的VPC下开启每种防护场景将消耗一个配额，已支持的防护场景包括：云专线、云间高速、对等连接等。 可以单击加减号调整VPC边界防火墙配额数，步长为1；也可以在其中直接输入；也可以拖动设置。 VPC边界防火墙配额数的范围是2个 ~ 150个。 VPC边界流量处理能力 仅企业版支持VPC边界防火墙。 VPC边界流量处理能力是指可防护的VPC边界流量峰值，包含已开启的各类防护场景下的跨VPC边界流量之和。 可以单击加减号调整VPC边界流量处理能力，步长为10；也可以在其中直接输入；也可以拖动设置。 VPC边界流量处理能力的范围是200Mbps ~ 5000Mbps。 3. 选择“购买时长”，可拖动时间轴设置购买时长。 4. 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 参数配置完成后，单击“立即购买”。 6. 确认配置参数和配置费用后，阅读《天翼云云防火墙（原生版）服务协议》，并勾选“我已阅读，理解并同意《天翼云云防火墙（原生版）服务协议》“，点击“立即购买”。 7. 进入“付款”页面，完成付款。

获取客户端真实IP 网站若使用了流量代理服务（如CDN、DDoS高防、WAF），达到源站的IP均将显示为相关服务的代理回源IP地址，WAF在HTTP请求头部中默认插入了XForwardedFor字段，用于记录客户端真实IP，源站服务器可以通过解析回源请求中的XForwardedFor记录，获取客户端的真实IP，各类型的Web应用服务器针对该字段的提取配置可联系安全防护工程师提供技术支持。 与CDN结合使用 WAF与CDN完全兼容，可以通过与CDN的结合使用，为开启CDN内容加速的业务同时提供Web攻击防护。 若已经接入CDN服务，将云WAF为防护域名分配的CNAME地址作为CDN的源站即可。 客户端 > CDN > WAF > 源站，流量将按照用户 > CDN > WAF >源站的架构回源。同时，需要您联系CDN服务商，将客户端的真实IP通过clientIP字段插入至HTTP请求头部中，并告知安全防护工程师进行提取配置，保证WAF正常防护。 防护策略说明 WAF防护服务目前默认策略分为低、中、高与 AI 学习模式。各防护策略均包含上述攻击类型在内的安全防护，策略等级越高越严格，攻击漏拦截概率越小，对业务 访问影响程度可能更高（业务代码不规范也会触发阻断策略）。 低级防护策略主要针对攻击特征比较明显的违规请求，适用于站点存在较多不可控用户输入（如含有富文本编辑器的网站业务）的业务场景。 一般情况下，中级防护策略适用于绝大部分业务场景的Web防护需求。 高级防护策略采用了最精细的防护颗粒度，适用于对业务安全性要求较高，同时需要网站开发人员高度参与策略定制与防护过程的业务场景。 如对站点业务流量特征还不完全清楚，可以启用AI学习模式，该模式下AI学习引擎会自动学习网站的访问模式与流量特征，经过7到14天的分类训练和流量学习后会对所有策略根据机器算法进行评分，保留学习后符合标准的策略规则，大幅减少误报，提高对已知与未知Web安全威胁的防护效果，同时，可联系天翼云安全工程师基于学习期间的攻防日志，进一步优化安全防护策略和配置。 接入WAF防护服务后，当启用防护策略时，即便是低级防护策略 ，可能也会因为网站代码实现不够规范或用户通过非常规方式访问等情况，造成用户的上传搜索等正常操作可能被误认为是攻击而拦截掉。当业务访问出现误报较多的情况，建议将防护模式调整为观察模式，通过自服务平台查看告警日志，并及时观察业务的正常使用情况，发现误报请求后第一时间联系天翼云安全工程师优化安全防护策略。

基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 基线检查功能说明： 功能模块 功能详情 云服务基线 通过一键扫描或设置定级扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 全部结果功能说明： 功能模块 功能详情 检测结果 通过呈现多种结果类型，支持标记、导出检测结果，并支持自定义结果列表。 结果类型 威胁告警、漏洞、风险、合规检查、违法违规、舆情、安全公告。 日志管理 通过授权对象存储服务（Object Storage Service，OBS）存储态势感知日志，帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 日志管理功能说明： 功能模块 功能详情 日志管理 通过OBS存储日志，满足SA日志审计和容灾需求。 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源。 产品集成功能说明： 功能模块 功能详情 安全产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。

操作场景 弹性伸缩服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内的操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 通过云审计可查询的操作事件时间范围：7天。 通过云审计可查询到操作数据的等待时间：5分钟。 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“计算”，资源类型选择“弹性伸缩”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

参数 描述 数据流动方向 选择“自建自建”。 源数据库引擎 选择“MySQL”。 目标数据库引擎 选择“Kafka”。 网络类型 此处以“公网网络”为示例。目前支持可选公网网络、VPC网络和VPN、专线网络。 可用区 选择DRS实例创建在哪个可用区，选择跟源或目标库相同的可用区性能更优。 VPC 选择可用的虚拟私有云。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 内网安全组 请选择内网安全组。内网安全组限制实例的安全访问规则，加强安全访问。 同步类型 增量增量同步通过解析日志等技术，将源端产生的增量数据同步至目标端。 无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 标签 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见 标签管理。

本节介绍了什么是DDoS高防（边缘云版）。 产品定义 DDoS 高防（边缘云版）是针对游戏、互联网及金融等业务遭受大流量 DDoS 攻击导致用户服务不可用的情况而推出的付费防护服务。该产品依托于丰富的边缘云清洗节点，采用自主研发的高性能负载均衡服务，可实现网络层、CC等应用层防护，保障客户在大规模流量攻击的同时业务稳定、安全运行。 产品架构 DDoS 高防（边缘云版）采用的是分布式架构，将防护能力赋能于更下沉的边缘节点，使用云原生为内核，结合智能调度，可以实现边缘就近清洗，动态扩容，可以满足业务突发、大规模流量攻击。 支持大规模流量清洗，清洗能力达到T级以上。 支持从网络层/传输层（L3/4）到应用层（L7）DDoS攻击的防护。 依托强大的自研防护集群优势，结合 AI 智能引擎持续优化防护策略、IP 画像、行为模式分析、Cookie 挑战等多维算法，实现大数据联动防护。 提供可视化管理界面，结合云原生、智能调度能力，实现资源动态扩容，满足三网防护需求。

本节介绍了云审计的用户指南。 操作场景 本服务现已对接天翼云++云审计++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“容器”，资源类型选择“云容器引擎”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。