登录平台之后会自动进入天翼云学堂首页，平台首页按功能模块分为11个区域，效果图如下： 网站名称 显示网站的名称或者网站LOGO:天翼云学堂。 导航栏 显示顶部导航内容：在线课程中心、认证考试中心、精品直播中心、学习班级。点击后直接跳转对应的二级页面。 搜索栏 全站课程搜索栏：支持模糊搜索，支持本地搜索。 信息栏 1) 我的学习： 显示我的课程，我的班级，我的直播、我的考试、我的认证等内容。 a) 我的课程：此处显示学员所有已加入的课程和加入的班级内的课程信息（包含学习中/已学完/收藏）； b) 我的班级：显示学员所加入的班级信息； c) 我的直播课表：显示学员所有已加入的直播课程信息； d) 我的问答：显示学员所有的课程问答信息； e) 我的话题：显示学员参与的所有话题信息； f) 我的笔记：显示学员所有的笔记信息，支持快速查看笔记内容； g) 我的考试：显示学员所有的考试情况以及收藏的题目； h) 我的认证：显示学员获得的所有认证，并提供下载功能。 2) 账户中心： 显示我的订单、邀请码、优惠券、会员记录、我的积分。 a) 我的订单：学员可以在此页面查看自己在平台的购买记录，并且进行退款操作，在退款列表中，可以对申请的退款进行查看。 3) 个人设置： 显示个人信息、安全设置（修改用户身份认证） a) 个人信息：此处可编辑填写用户账户基本信息。 注：建议初登录系统的用户完善账号信息 b) 安全设置：可设置/修改用户身份，用户身份分为个人学习用户、中国电信员工、天翼云代理商，如下图所示： 通知、私信 显示管理员发送给你的通知或平台其他用户发送给你的私信。 头像 1) 退出登入 为确保账户安全，在不使用本系统时，请退出本系统。退出系统的时候请点击用户头像选择点击【退出】按钮。 2) 点击头像进入个人主页 在个人主页平台用户可查看到你的个人介绍、正在学习课程/班级、收藏的课程、加入的小组、你关注的用户以及你的粉丝。 轮播图 显示首页轮播图内容，点击后跳转到相应的内容页。 课程推荐模块 学员可根据首页推荐的课程，点击进入课程信息详情页，快速加入学习。 中部导航栏 显示3个导航入口，引导客户进入各个专题页面。 职业职格认证模块 显示3个认证链接入口，引导客户进入各个认证页面。 底部导航 嵌入天翼云主站底部栏，和天翼云主站底部保持一致。

本页面主要介绍云专线对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云++云审计服务++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考++使用限制云审计++。 操作步骤 1、开通云审计服务。 参见++开通云审计服务云审计++。 2、查看云审计事件。 参见++查看审计事件云审计++。 3、在事件列表中，选择事件来源为“广域云网”，资源类型选择“云专线”，上方时间选择需要筛选的时间段。点击查询即可。 4、在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

本页面主要介绍云主机备份对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“计算”，资源类型选择“云主机”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本页介绍了分布式融合数据库HTAP的实例连接方式。 分布式融合数据库HTAP实例连接方式 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在ECS上，且该ECS与分布式融合数据库HTAP实例处于同一区域，同一VPC时，建议单独使用内网IP连接ECS与分布式融合数据库HTAP实例。 安全性高，可实现分布式融合数据库HTAP的较好性能。 推荐使用内网连接 术语解释： VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 设置安全组规则 安全组的规则设置请参考快速入门准备工作。 通过内网连接分布式融合数据库HTAP实例 1. 天翼云官网首页右上角选择控制中心，登录进入控制中心界面。 2. 控制中心产品概览页左上角单击管理控制台，选择区域。 3. 选择“数据库 > 分布式融合数据库HTAP”。进入分布式融合数据库HTAP控制台。 4. 实例列表中可以查看到每个实例的连接地址，连接地址中包含IP和端口。 通过连接地址中的IP及端口（计算节点的主机IP及服务端口）即可连接数据库，如果实例有多个连接地址，可以用搭建负载均衡的方式进行连接。 5. 连接分布式融合数据库HTAP前必须新建用户，点击对应实例的“更多 > 用户管理”进入用户管理，填写用户名、主机、权限、用户密码等信息，创建连接用户并授权。 6. 登录云主机后打开命令行输入窗口，凭数据库连接的IP及端口，以及新建用户连接数据库，如下命令。 mysql h{hostname} P{port} u{user} p{password} 参数： h：主机IP，即分布式融合数据库“实例管理”页面中实例连接地址的IP”。 P：数据库端口，为“实例管理”页面中连接地址的端口。 u：用户名，即用户创建的数据库帐号（用户不能使用root账号登录，必须新建用户）。 p：密码，即数据库帐号对应的密码，为创建数据库用户时指定的密码。 示例： mysql h 172.16.X.X P 8635 u root –p ‘’

本节介绍了文档数据库服务的权限管理说明。 如果您需要对云上购买的DDS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云账号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DDS的使用权限，但是不希望他们拥有删除DDS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DDS，但是不允许删除DDS的权限策略，控制他们对DDS资源的使用范围。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DDS服务的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 DDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DDS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了DDS的所有系统权限。 DDS系统权限 策略名称/系统角色 描述 类别 依赖关系 DDS FullAccess 文档数据库服务所有权限。 系统策略 无 DDS ReadOnlyAccess 文档数据库服务资源只读权限，拥有该权限的用户仅能查看文档数据库服务数据。 系统策略 无 DDS ManageAccess 文档数据库服务除删除操作外的DBA权限。 系统策略 无 DDS Administrator 文档数据库服务（DDS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest和Tenant Administrator角色，在同项目中勾选依赖的角色。 下表列出了DDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 DDS FullAccess DDS ReadOnlyAccess DDS ManageAccess DDS Administrator 创建实例 √ x √ √ 查询实例列表 √ √ √ √ 删除实例 √ x x √ 重启实例 √ x √ √ 主备倒换 √ x √ √ 修改端口 √ x √ √ 重置密码 √ x √ √ 修改SSL √ x √ √ 修改安全组 √ x √ √ 绑定/解绑公网IP √ x √ √ 磁盘扩容 √ x √ √ 规格变更 √ x √ √ 节点扩容 √ x √ √ 删除扩容失败节点 √ x × √ 修改备份策略 √ x √ √ 重命名实例 √ x √ √ 修改内网IP地址 √ x √ √ 变更实例下节点绑定的参数模板 √ x √ √ 切换慢日志明文显示开关 √ x √ √ 切换审计日志开关 √ x √ √ 下载审计日志 √ x √ √ 删除审计日志 √ x × √ 下载备份文件 √ x √ √ 创建手动备份 √ x √ √ 查询备份列表 √ √ √ √ 恢复到新实例 √ x √ √ 恢复到已有实例 √ x √ √ 删除备份 √ x × √ 创建参数模板 √ x √ √ 查询参数模板列表 √ √ √ √ 修改参数模板 √ x √ √ 删除参数模板 √ x × √ 任务中心列表 √ x √ √ 下表列出了DDS常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 创建页需要查询对应的VPC、子网、安全组。 创建实例 dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 dds:instance:list 查询实例详情 dds:instance:list 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 导出实例列表 dds:instance:list 如果需要导出VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 删除实例 dds:instance:deleteInstance 删除实例需要同时删除数据侧IP地址。 重启实例 dds:instance:reboot 主备倒换 dds:instance:switchover 修改端口 dds:instance:modifyPort 重置密码 dds:instance:resetPasswd 修改SSL dds:instance:modifySSL 修改安全组 dds:instance:modifySecurityGroup 绑定公网IP dds:instance:bindPublicIp 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP dds:instance:unbindPublicIp 不支持企业项目 不支持细粒度 磁盘扩容 dds:instance:extendVolume 规格变更 dds:instance:modifySpec 节点扩容 dds:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 删除扩容失败节点 dds:instance:extendNode 如果IP地址已经创建完成，但后续流程失败，需要同时删除数据侧IP地址。 修改备份策略 dds:instance:modifyBackupPolicy 重命名实例 dds:instance:modify 修改内网IP地址 dds:instance:modifyVIP vpc:subnets:get vpc:ports:get 修改内网IP地址，需要预先查询出可用的IP地址，再进行修改。 变更实例下节点绑定的参数模板 dds:instance:modifyParameter 切换慢日志明文显示开关 dds:instance:modifySlowLogPlaintextSwitch 切换审计日志开关 dds:instances:modifyAuditLogSwitch 下载审计日志 dds:instances:downloadAuditLog 删除审计日志 dds:instance:deleteAuditLog 下载备份文件 dds:backup:download 创建手动备份 dds:instance:createManualBackup 查询备份列表 dds:backup:list 恢复到新实例 dds:backup:createInstanceFromBackup vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 加密实例需要在项目上配置KMS Administrator权限。 恢复到已有实例 dds:backup:refreshInstanceFromBackup 删除备份 dds:backup:delete 创建参数模板 dds:param:create 查询参数模板列表 dds:param:list 修改参数模板 dds:param:modify 删除参数模板 dds:param:delete 任务中心列表 dds:task:list

操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需变更规格的实例，单击“更多 > 关闭实例”，待实例状态变更为“已关机”后，单击“更多 > 变更规格”，跳转到“变更规格”页面。 4. 选择需变更的规格，可以变更“版本”、“资产规格”、“存储扩容”。 说明 如果当前要升级版本、资产规格和存储扩容，但此前没有订购存储扩容，则分步执行: 1. 升级版本、资产规格。 2. 升级存储扩容。 5. 阅读并同意相关协议后，单击“提交订单”。在订单详情页面根据提示完成支付。 后台自动进行变更规格操作，实例状态更新为“变配中”，整个变更规格过程需10分钟左右。 6. 变更完成后，实例状态恢复为“已关机”。单击“启动”，启动实例。 待实例运行状态变为“运行中”，即可正常使用云堡垒机。

本节介绍安全分析功能使用流程。 安全分析功能使用具体流程： 子流程 说明 新增工作空间 新增工作空间，用于资源隔离和控制。 数据集成 配置需要接入的数据。态势感知（专业版）支持集成存储、管理与监管、安全等多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 （可选）新增数据空间 创建用于存储收集日志数据的数据空间。通过控制台接入的数据，系统将创建默认数据空间，无需再进行创建。 （可选）创建管道 创建用于日志数据的采集、存储和查询的数据管道。通过控制台接入的数据，系统将创建默认数据管道，无需再进行创建。 配置索引 配置索引条件，缩小查询范围。 查询与分析 对接入的数据进行查询、分析。 下载日志 支持将原始日志或查询分析后的日志下载到本地。 图表统计 当您执行了查询分析语句后，态势感知（专业版）支持通过图表统计的形式对查询和分析的结果进行可视化展示。目前支持表格、折线图、柱状图和饼图方式进行展示。

单点执行手动检测 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在左侧导航栏中，选择“主机管理”，在云服务器列表的“操作”列中，单击“查看详情”，进入指定主机的详情页面。 查看详情 手动收集软件信息 选择“资产管理”页签，在页面下侧“软件信息”中，手动检测主机中的软件信息。 手动执行漏洞检测 选择“漏洞管理”页签，在“Linux软件漏洞管理”和“WebCMS漏洞管理”中，手动检测主机中的软件漏洞和WebCMS漏洞。 说明 软件漏洞检测和软件信息管理任意一个手动检测都会触发收集服务器上的软件信息。 选择“漏洞管理”页签，选择系统软件漏洞，单击“手动检测”，系统将立即执行一次系统软件漏洞检测。 系统软件漏洞检测 选择“漏洞管理”页签，选择WebCMS漏洞，单击“手动检测”，系统将立即执行一次WebCMS漏洞检测。 WebCMS漏洞检测

本文将介绍如何使用边缘安全加速平台安全与加速服务的内容安全监测功能。 功能介绍 天翼云监测系统平台依托海量数据训练的先进深度学习模型，能够精准监测网页中的文本与图片元素，快速识别并提取其中的敏感内容及其所属类别。平台支持多种主流内容格式，包括txt、html、wmlc、wml、xhtml、mht等，可全面覆盖各类网站的文本与图片内容监测需求。在合规性监测方面，平台涵盖涉黄、涉毒、涉政、赌博、暴恐、邪教等关键类别，能够对网站文本和图片内容进行全方位筛查，确保网络空间的健康与安全。 支持监测的图像格式包括但不限于JPEG、GIF、PNG、BMP、TIFF、JPEG2000；支持监测的文本格式包括但不限于Big5、UTF8、GBK、GB2312。 监测任务发现页面出现敏感信息后，将第一时间通知用户。用户可参考天翼云提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为基础版及以上版本。 监测任务配置 若您需要监测网站文本、图片内容的合规性，请先配置监测任务。 配置项 配置项说明 任务名称 支持配置任务名称，如客户名内容安全监测 检测开关 开启或关闭 检测URI 默认输入/，即监测首页。默认去问号监测，即去除URL中问号（?）及其后的所有参数部分，仅对URL的主路径部分进行监测。 检测范围 默认检测当前页面及一级链接，支持配置检测范围至七级链接 监测周期 支持配置监测周期，可选3、6、12、24小时，默认监测周期为24小时 监测项 支持配置文本监测、图片监测 文本检测可支持AI审核或规则匹配，其中AI审核支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。另外支持配置白名单词库与白名单URL，在白名单范围内的信息将不进行监测。规则匹配则支持从现有的敏感词库中匹配敏感词进行监测 图片监测支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。并支持配置白名单URL，白名单内的URL将不进行监测. 支持选择是否监测外链，若现在是，可检测网站引入的外链是否有内容安全风险。 告警设置 连续检测N次异常则产生通知 通知方式 即告警通知和短信通知

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片 支持的运维客户端软件限制 登录方式 支持的客户端 版本 Web浏览器登录 Edge 95及以上版本 Web浏览器登录 Chrome 91.0及以上版本 Web浏览器登录 Safari 13及以上版本 Web浏览器登录 Firefox 50.0及以上版本 ssh/telnet协议运维登录 SecureCRT 8.0及以上版本 ssh/telnet协议运维登录 Xshell 6及以上版本 ssh/telnet协议运维登录 putty 堡垒机客户端自带 ssh/telnet协议运维登录 Mac Terminal 2.0及以上版本 Sftp/Ftp协议运维登录 Winscp 5及以上版本 Sftp/Ftp协议运维登录 Filezila 3及以上版本 数据库运维 Navicat 11、12、15、16、17 数据库运维 DBeaver 22、23、24 数据库运维 HeidiSQL 说明 需要自行下载客户端并使用。 10.0及以上版本 数据库运维 PL/SQL Developer 说明 需要自行下载客户端并使用。 14.0.2 图形运维 Vncviewer 堡垒机客户端自带 图形运维 MSTSC 6.0及以上版本

本文将介绍如何通过IP黑名单功能拦截来自指定IP、指定IP段与指定地域的IP地址请求。 功能介绍 通过访问控制功能，能够帮助您拦截来自指定IP、指定IP段与指定地域的IP地址请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版级以上版本支持配置IP、IP段、区域等粒度的访问控制功能（体验版支持配置IP粒度的访问控制） 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】 3. 进入【访问控制】页面 配置说明 配置项 说明 开关 访问控制策略的开关，支持开启或关闭 处理动作 支持配置处理动作为告警、加白、攻击标记、拦截、丢弃 告警：请求命中访问控制策略后，不对其拦截，仅记录攻击日志 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意Web安全防护策略 攻击标记：加白对应范围，但是如果请求触发规则，会记录在攻击日志 拦截：请求命中访问控制策略后，将对其进行拦截并记录攻击日志 丢弃：拦截后不会响应页面，会减少带宽 规则名称 访问控制策略的规则名称 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作 粒度选择：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度，不同套餐版本支持选择不同的粒度，具体可见 套餐和版本说明 关系：包含/不包含 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔

本文介绍如何通过Web应用防火墙（边缘云版）对HTTPS业务进行防护。 Web应用防火墙（边缘云版）所有套餐版本均支持防护HTTPS业务，详情可参考套餐和版本说明。 如您有防护HTTPS业务的需求，需要您在Web应用防火墙（边缘云版）控制台上传对应的证书，并在域名配置页面里面开启HTTPS并关联相关证书，详细操作步骤如下： 1、上传HTTPS证书 （1）在WAF控制台里面选择证书管理，并点击添加证书。 （2）在弹出的页面里面将证书的公钥私钥字符粘贴进相应的文本框，并设置证书备注名。 2、在新建域名配置的时候关联证书 （1）点击域名管理域名列表，在左上角点击 新增域名。 （2）新增域名配置的时候，勾选上HTTPS协议，并在下方关联域名证书。

查看备份恢复任务 说明 主机安全勒索防护的备份依附于云备份服务，执行备份相关操作须已购买云备份服务。 1、登录管理控制台。 2 、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在导航树选择“主动防御 > 勒索病毒防护”，单击“备份恢复任务”的数量值。 5、弹出备份恢复任务弹窗，查看所有备份恢复详情，可通过服务器名称和恢复状态来筛选或检索目标服务器，参数说明如表所示。 备份恢复任务详情 备份恢复任务参数说明 参数名称 参数说明 取值样例 服务器名称/ID 执行备份恢复任务的服务器名称/ID。 备份名称 备份的数据源文件名称。 恢复状态 目标服务器备份恢复的状态。 成功、 跳过、失败、正在进行、超时 、等待。若出现跳过、失败、超时状态，重新恢复目标备份数据源即可。 成功 开始/结束时间 备份恢复的时间段（包含开始时间和结束时间）。 恢复服务器数据 说明 主机安全勒索防护的备份依附于云备份服务，执行备份相关操作须已购买云备份服务。 1、 登录管理控制台。 2 、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3 、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4 、在导航树选择“主动防御 > 勒索病毒防护”，选择“防护服务器”，在目标服务器的“操作”列选择“更多”单击“恢复数据”。 5 、在弹窗中查看目标服务器的信息，通过筛选备份状态和搜索备份名称检索需要恢复的备份数据源，参数说明如表所示。 筛选备份数据源 备份数据源参数说明 参数名称 参数说明 取值样例l 备份名称 备份的数据存储文件名称。 备份状态 服务器数据备份的状态。 可用 、正在创建 、正在删除 、 正在恢复、错误 当为“可用”状态时，备份数据源可进行恢复。 创建时间 目标备份数据源的备份时间。 6、在目标备份数据源的“操作”列单击“恢复数据”。 说明 仅可对“备份状态”为“可用”的备份数据进行恢复。 7、 在弹出的对话框中确认服务器、是否重启等信息，确认无误，单击“确认”，执行自动恢复。 恢复服务器

本文介绍如何购买云防火墙（原生版）C100实例。 前提条件 已注册天翼云账号并完成实名认证。 进入购买页面 方式一：通过产品页进入购买页面 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 网络安全 > 云防火墙（原生版）”，进入云防火墙（原生版）产品详情页面。 3. 单击“立即开通”，进入云防火墙（原生版）订购页面。 方式二：通过控制中心进入购买页面 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）控制台。 购买步骤 1. 进入云防火墙（原生版）订购页面。 2. 配置基本信息。 参数名称 参数说明 区域 选择购买云防火墙（原生版）的区域。 商品类型 此处选择C100。 版本选择 支持高级版、企业版。不同版本差异请参见产品规格。 云防火墙名称 系统会自动为您生成一个名称，您也可以自定义。 名称只能由数字、字母、“”组成，不能以数字和“”开头、以“”结尾，且长度为2~63字符。 可防护公网IP数 可以单击加减号调整防护公网IP数，步长为1；也可以在其中直接输入；也可以拖动设置。 高级版可防护公网IP数的范围是20个 ~ 1000个。 企业版可防护公网IP数的范围是50个 ~ 1000个。 说明 建议不少于选中VPC中防护的公网IP数量。 公网流量处理能力 公网流量处理能力是指云防火墙可防护的互联网边界流量峰值。 可以单击加减号调整公网流量处理能力，步长为5；也可以在其中直接输入；也可以拖动设置。 高级版公网流量处理能力的范围是10Mbps ~ 2000Mbps。 企业版公网流量处理能力的范围是50Mbps ~ 2000Mbps。 说明 建议与您业务的公网带宽保持一致，且不少于选中VPC中防护的公网IP带宽之和。 VPC边界防火墙配额数 仅企业版支持VPC边界防火墙。 在您的VPC下开启每种防护场景将消耗一个配额，已支持的防护场景包括：云专线、云间高速、对等连接等。 可以单击加减号调整VPC边界防火墙配额数，步长为1；也可以在其中直接输入；也可以拖动设置。 VPC边界防火墙配额数的范围是2个 ~ 150个。 VPC边界流量处理能力 仅企业版支持VPC边界防火墙。 VPC边界流量处理能力是指可防护的VPC边界流量峰值，包含已开启的各类防护场景下的跨VPC边界流量之和。 可以单击加减号调整VPC边界流量处理能力，步长为10；也可以在其中直接输入；也可以拖动设置。 VPC边界流量处理能力的范围是200Mbps ~ 5000Mbps。 3. 选择“购买时长”，可拖动时间轴设置购买时长。 4. 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 参数配置完成后，单击“立即购买”。 6. 确认配置参数和配置费用后，阅读《天翼云云防火墙（原生版）服务协议》，并勾选“我已阅读，理解并同意《天翼云云防火墙（原生版）服务协议》“，点击“立即购买”。 7. 进入“付款”页面，完成付款。

本章节会介绍云数据库 RDS for MySQL提供使用命令行、图形化界面。 表 RDS连接方式 连接方式 使用场景 通过DAS连接RDS for MySQL实例 通过数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能地管理数据库。云数据库RDS库服务默认开通DAS连接权限。 通过mysql命令行客户端连接实例 在Linux操作系统中，您需要在弹性云主机上安装MySQL客户端，通过mysql命令行连接实例。支持公网和内网两种连接方式： 系统默认提供内网IP地址。当应用部署在弹性云主机上，且该弹性云主机与RDS for MySQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与RDS for MySQL实例。 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与RDS for MySQL实例。 通过图形化界面连接RDS for MySQL实例 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS for MySQL实例。

本章节主要介绍云搜索服务（ES）的功能特性。 云搜索服务具备如下功能： 专业的集群管理平台 管理控制台提供了丰富的功能菜单，能够让您通过浏览器即可安全、方便地进行集群管理和维护，包括集群管理、运行监控等。 完善的监控体系 通过管理控制台提供的仪表盘（Dashboard）和集群列表，您可以直观看到已创建集群的各种不同状态，可通过指标监控视图了解集群当前运行状况。 支持Elasticsearch搜索引擎 提供Elasticsearch搜索引擎，Elasticsearch是基于Lucene的当前流行的企业级搜索服务器，具备分布式多用户的能力。其主要功能包括全文检索、结构化搜索、分析、聚合、高亮显示等。能为用户提供实时搜索、稳定可靠的服务。

本页面主要介绍云间高速(标准版)对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云++云审计服务++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“广域云网”，资源类型选择“云间高速（标准版）”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

窗口切换 如AI云电脑账号下有多个AI云电脑，工具栏点击“窗口切换”功能，支持多个AI云电脑同时运行。 安全中心登录设备管理 前往控制面板的“安全中心”，可管理AI云电脑的登录安全情况. 登录设备：可查看账号名称，登录设备，IP地址，登录时间以及下线时间。 设备管理：可查看AI云电脑登录的设备或移除设备。 安全中心设置系统密码 若忘记Windows系统密码时，可点击“安全中心管理系统密码重置系统密码"进行重置。（适用于Windows桌面的Administrators账户） 报障 使用AI云电脑过程中，如遇到问题，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 投屏 客户端内置双向投屏能力，可发起或接收投屏，多设备无缝共享。 点击工具的“投屏”，设备间通过输入投屏码或扫码即可体验。

窗口切换 如AI云电脑账号下有多个AI云电脑，工具栏点击“窗口切换”功能，支持多个AI云电脑同时运行。 安全中心登录设备管理 前往控制面板的“安全中心”，可管理AI云电脑的登录安全情况. 登录设备：可查看账号名称，登录设备，IP地址，登录时间以及下线时间。 设备管理：可查看AI云电脑登录的设备或移除设备。 安全中心设置系统密码 若忘记Windows系统密码时，可点击“安全中心管理系统密码重置系统密码"进行重置。（适用于Windows桌面的Administrators账户） 报障 使用AI云电脑过程中，如遇到问题，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 投屏 客户端内置双向投屏能力，可发起或接收投屏，多设备无缝共享。 点击工具的“投屏”，设备间通过输入投屏码或扫码即可体验。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。请参考如下方法进行处理： − Java Chassis：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 对接微服务应用 > Java Chassis接入CSE”中的配置安全认证操作。 − Spring Cloud：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 微服务开发指南 > 对接微服务应用 > Spring Cloud接入CSE”中的配置安全认证操作。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 步骤 4 升级引擎至1.2.0或以上版本。 1. 单击“升级引擎至新版本”。 2. 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 3. 等待升级成功后，单击“返回微服务引擎”。 4. 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 5. 在“安全”区域，开启安全认证开关。 步骤 5 在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 步骤 5 （可选）参考角色管理，根据业务需要，创建角色。 步骤 6 （可选）参考帐号管理，根据业务需要，创建帐号。 步骤 7 在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 步骤 8 根据提示确认已经完成所有配置后，勾选“确保已配置”。 步骤 9 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

本页为您介绍其他云MySQL迁移到RDS for MySQL时,其他云MySQL实例的准备工作。 网络 VPC网络安全策略放通 需要在其他云数据库实例所在的VPC放通【DTS实例的配置流程】中配置的公网IP的访问权限，一般包括网络ACL和实例安全组，具体可参考各厂商云数据库官方文档进行操作。 数据库添加白名单 数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。 数据库账号及权限 数据库账号及权限要求，根据源库版本不同而不同，下面分开进行描述。 源库为MySQL 5.7 所需权限 1. 对MySQL库的SELECT权限。 2. 对待迁移库的SELECT,EVENT,TRIGGER权限。 3. 部分全局权限。 RELOAD LOCK TABLES REPLICATION CLIENT REPLICATION SLAVE SHOW VIEW PROCESS 4. 如果是整实例迁移，需要对所有数据库的查询权限。 参考赋权语句 sql GRANT SELECT ON mysql. TO '迁移账号'@'%'; GRANT SELECT,EVENT,TRIGGER ON 待迁移的库. TO '迁移账号'@'%'; GRANT RELOAD,LOCK TABLES,REPLICATION CLIENT,REPLICATION SLAVE,SHOW VIEW,PROCESS ON . TO '迁移账号'@'%'; 源库为MySQL 8.0 所需权限 1. 对MySQL库的SELECT权限。 2. 对待迁移库的SELECT,EXECUTE,EVENT,TRIGGER权限。 3. 部分全局权限。 RELOAD PROCESS LOCK TABLES REPLICATION CLIENT REPLICATION SLAVE SHOW VIEW SHOWROUTINE 4. 如果是整实例迁移，需要对所有数据库的查询权限。

本章节介绍DWS和DDS创建的云数据库数据添加到DSC。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通DWS或者DDS服务，且DWS或者DDS中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在数据库资产列表左上角，单击“添加云数据库”。 6. 在弹出的“添加云数据库”对话框中，参考下表配置数据库参数。 参数名称 参数说明 举例 资产名称 自定义参数。 dsctest 区域 默认为当前帐号登录的区域。 云数据库类型 可选择“DWS实例”和“DDS实例”。 DWS实例 DWS实例 “云数据库类型”选择“DWS实例”时，配置此参数。 在下拉框中选择本帐号下已在DWS里创建的数据库实例。 DDS实例 “云数据库类型”选择“DDS实例”时，配置此参数。 在下拉框中选择本帐号下已在DDS里创建的数据库实例。 版本 已选数据库实例对应的版本号，默认参数，不支持修改。 5.7 主机 在下拉框中选择数据库服务器IP地址。 192.168.0.233 端口 数据库服务器的端口号，默认参数，不支持修改。 3306 数据库名称 在DWS里创建的数据库，支持下拉框选择和手动输入。 用户名 输入访问数据库服务器的用户名，与DWS里创建的保持一致。 密码 输入访问数据库服务器的密码，与DWS里创建的保持一致。 7. 单击“确定”，数据库添加完成，并展示在已授权的数据库列表中。 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

本章节介绍了云硬盘备份的常用功能。在使用云硬盘备份之前,建议您先通过本章节了解基本概念,以便更好地理解云硬盘备份提供的功能。 创建磁盘备份/云硬盘粒度的备份 云硬盘备份支持对单块系统盘或数据盘创建备份。首次备份时采用全量备份，后续备份为在全备的基础上进行的增量备份。目前每块磁盘只支持一个全备、多个增量备份。为保证安全和数据一致性，建议在无写操作（如凌晨）时进行磁盘的备份操作。 数据盘备份的恢复 云硬盘备份支持将创建的数据盘备份恢复到源盘上。恢复时，需先停止云主机，并卸载数据盘；恢复后，重新挂载数据盘并启动云主机。如果数据盘做过备份后又执行过扩容操作，仍可以使用原有的备份恢复数据。但因为文件系统的限制，恢复数据后，数据盘容量为未扩容前的容量，建议在扩容后重新做备份，扩容后的数据盘在做备份时仍为增量备份。目前暂不支持系统盘备份的恢复操作。 基于备份创建新的数据盘 创建的磁盘备份不仅可以恢复到源盘中，还可基于该备份创建新的数据盘。创建数据盘时可在创建页面勾选“从备份创建”选项，即将备份数据复制到新盘中。目前基于系统盘备份创建的磁盘仅支持作为数据盘挂载到云主机上。

当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限。 注意 当前仅支持同实例规格内变更资产规格，不支持跨实例规格变更。 仅支持云堡垒机资产规格升级，暂不支持资产规格降级，若需要降级，请先备份相关数据，退订堡垒机实例后重新订购新实例。 只有2.0及以上版本的堡垒机支持提升规格。 前提条件 已获取管理控制台的登录账号与密码。 实例已绑定EIP，且EIP可用。 实例的状态为“运行中”时，支持变更规格。 步骤一：变更资产规格 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需变更规格的实例，单击“更多 > 变更规格”，跳转到“变更规格”页面。 4. 选择需变更的“资产规格”。 5. 阅读并同意相关协议后，单击“提交订单”。在订单详情页面根据提示完成支付。 后台自动进行变更规格操作，实例状态更新为“变配中”，整个变更规格过程需10分钟左右。 变更完成后，实例状态恢复为“运行中”。

本文主要介绍辅助弹性网卡简介。 辅助弹性网卡是一种基于弹性网卡的衍生资源，用于解决单个云主机实例挂载的弹性网卡超出上限，不满足用户使用需要的问题。辅助弹性网卡通过VLAN子接口挂载在弹性网卡上，您可以通过创建辅助弹性网卡，使单个云主机实例挂载更多网卡，实现灵活、高可用的网络方案配置。 说明 辅助弹性网卡功能支持区域： 华北华北，广东广州4，北京北京2，江苏苏州, 陕西西安2，上海上海4，贵州贵州 应用场景 辅助弹性网卡通过VLAN子接口挂载在弹性网卡上，其组网示意图如下图所示。 图 辅助弹性网卡示意图 单个云主机实例支持绑定的弹性网卡数量有限，当因业务需要绑定超过弹性网卡上限的网卡时，可以通过为弹性网卡挂载辅助弹性网卡实现。 为云主机实例配置多个分属于同一VPC内不同子网的辅助弹性网卡，每个辅助弹性网卡拥有不同的私网IP、弹性IP，可以分别承载云主机实例的内网、外网和管理网流量。 辅助弹性网卡可配置独立安全组策略，从而实现网络隔离与业务流量分离。

本节介绍云等保专区产品的资源概览。 通过云等保专区的资源概览页面，可以查看当前账号下已经形成的订单状态、订单详情，也对订单执行续订、升配、退订等操作。 前提条件 已购买云等保专区。 查看资源概览 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区资源概览页面。 4. 在资源概览页面，查看如下信息。 参数 说明 资源ID 购买原子能力资源的资源ID。 状态 资源的状态，包括开通中、运行中、已退订、部署失败、已过期。 企业项目 资源所属的企业项目，企业项目说明可参考企业项目管理。 到期时间 资源的到期时间。 订单类型 在控制台上购买的订单，类型为“商用”。 区域 资源所在区域。 子资源ID 若一个订单关联了多个v1.0版本的资源，则每个资源还可通过子资源ID进行标识。 原子能力名称 资源对应的原子能力的名称。 版本 原子能力的版本，V1或V2。 规格 原子能力的规格。

本文向您介绍标签管理服务的权限管理方法。 如果您需要对云服务平台上创建的云资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您希望您的部分员工拥有标签管理服务的查看权限，但是不希望他们拥有删除预定义标签等操作的权限，那么您可以使用IAM为员工创建用户，通过授予标签管理服务的只读权限（TMS ReadOnlyAccess），控制员工对TMS的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用标签管理服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《统一身份认证用户指南》。 TMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 TMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问TMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对TMS服务，管理员能够控制IAM用户仅能对TMS服务进行指定的操作，如仅给IAM用户授予查看预定义标签的细粒度授权项，那么此IAM用户仅能查看预定义标签但不能创建和删除预定义标签。 如下表所示，包括了TMS的所有系统策略和系统角色。由于云服务平台各服务之间存在业务交互关系，标签管理服务的策略依赖其他服务的策略实现功能。因此给用户授予标签管理服务的权限时，需要同时授予依赖的权限，标签管理服务的权限才能生效。

本文介绍如何设置防护规则的优先级。 如您需调整放行或阻断IP的优先级顺序您可以参照本节步骤设置规则的优先级。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 在需要调整优先级的防护规则所在行的“操作”列，单击“设置优先级”。 5. 选择“置顶”，或“移动至选中规则后”。 说明 选择置顶，表示将该策略设置为最高优先级。 选择“移动至选中规则后”，需要选择相应的规则，表示将该策略优先级设置到选择的规则之后。 6. 单击“确认”，完成设置优先级。

本章节会介绍如何对数据库实例绑定公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则，操作请参见设置安全组规则。 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云服务器上。 绑定弹性公网IP 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏，单击“连接管理”，单击“绑定弹性公网IP”。 步骤 3 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，获取弹性公网IP。 步骤 4 在“连接管理”页面，查看绑定成功的弹性公网IP。 您也可以在“任务中心”页面，查看“实例绑定弹性公网IP”任务的执行进度及结果。

开启匿名用户访问。默认已开启。 writeenableYES 开放服务器的写权限（若要上传，必须开启）。默认已开启。 anonumask022 设置匿名用户所上传数据的权限掩码（反掩码）。默认已开启。 anonuploadenableYES 允许匿名用户上传文件。默认已注释，需取消注释。 anonmkdirwriteenableYES 允许匿名用户创建（上传）目录。默认已注释，需取消注释。 anonotherwriteenable YES 允许删除、重命名、覆盖等操作。需添加。 6. 按Esc键退出编辑模式，并输入:wq保存后退出。 7. 执行以下命令重启vsftpd服务使配置生效。 plaintext systemctl restart vsftpd.service 8. 关闭防火墙和增强型安全功能。 plaintext systemctl stop firewalld setenforce 0 3. 设置安全组 搭建好FTP站点后，需要配置弹性云主机的安全组规则，入方向添加一条放行FTP端口的规则，设置安全组规则如下表。 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和配置文件“/etc/vsftpd/vsftpd.conf”中参数“pasvminport”和“pasvmaxport”之间的所有端口 0.0.0.0/0 4. 客户端测试 1. 在Windows系统打开开始菜单，输入 cmd 命令打开命令提示符。 2. 建立ftp连接：ftp XX.XX.XX.XX （虚拟机公网ip地址）。 3. 输入配置好的用户名和密码，反馈如下表示访问成功。 4. ftp> pwd

云原生网关 云原生网关是天翼云微服务引擎的子产品，将传统的流量网关和业务网关合二为一，提供全局性和独立业务域级别的流量管理策略，与后端业务紧耦合策略配置。 弹性负载均衡 弹性负载均衡（Elastic Load Balancing）是天翼云产品，通过将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 应用服务网格 应用服务网格是天翼云产品，提供基于Sidecar技术的无侵入式服务治理能力，兼容开源istio服务网格，并基于开源实现做了功能增强，提供了丰富的流量治理、安全管控和观测能力，满足多语言、技术栈应用统一治理的需求，降低业务接入门槛。 资源池或区域 资源池或者区域指资源所在的物理位置。同一区域内可用区之间内网互通，不同区域之间内网不互通。 可用区 每个区域包含许多不同的称为“可用区”的位置，即在同一区域下，电力、网络隔离的物理区域，同一个可用区内网互通，不同可用区之间物理隔离。每个可用区都被设计成不受其他可用区故障的影响，并提供低价、低延迟的网络连接，以连接到同一区域其他可用区。 VPC 虚拟私有云(Virtual Private Cloud)为用户提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。专有网络由逻辑网络设备（如虚拟路由器，虚拟交换机）组成，可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境，实现应用的平滑迁移上云。

本文是对集群升级的概述 云容器引擎（CCE）严格遵循社区一致性认证，每年发布3个Kubernetes版本，每个版本发布后提供至少24个月的维护周期，CCE保证维护周期内的Kubernetes版本的稳定运行。 为了保障您的服务权益，请您务必在维护周期结束之前升级您的Kubernetes集群，您可在集群列表页面确认集群的Kubernetes版本，以及当前是否有新的版本可供升级。主动升级集群有以下好处： 降低安全和稳定性风险：Kubernetes版本迭代过程中，会不断修复发现的安全及稳定性漏洞，长久使用EOS版本集群会给业务带来安全和稳定性风险。 支持新功能和新操作系统：Kubernetes版本的迭代过程中，会不断带来新的功能、优化。您可通过CCE集群版本发布说明查看最新版本的特性说明。 避免大跨度兼容风险：Kubernetes版本的迭代过程中，会不断带来API变更与功能废弃。长久未升级的集群，在需要升级时需要更大的运维保障投入。周期性的跟随升级能有效缓解版本差异累积导致的兼容性风险。建议用户每季度升级一次补丁版本，每年升级一次大版本至当前支持的最新版本。 更加有效的技术支持：对于EOS的Kubernetes版本集群，CCE不再提供安全补丁和问题修复，同样无法保证EOS版本集群的技术支持质量。