参数 参数类型 说明 示例 下级对象 agentIp String 内网IP 192.168.1.1 publicIp String 公网IP 192.168.1.1 custName String 主机名称 test hostName String 实例名称 test displayName String 实例名称 test osType String 操作系统类型 Windows bgGroupName String 所属分组全路径 事业部xx/产品线 agentStateCode String Agent状态 在线/离线 在线 agentGuid String agentGuid 11111111 hostId Integer 主机ID 1 type String 服务器类型：vm 虚机；pm 物理机 vm guardStatus String 防护状态 防护中/未防护 1 regionName String 地域 华东1 sshRisk Integer 入侵检测风险数 0 vulRisk Integer 漏洞扫描风险数 0 wpRisk Integer 网页防篡改风险数 0 scaRisk Integer 安全基线风险数 0 virusRisk Integer 病毒风险数 0 riskStatus String 风险状态 无风险/未知/风险 1 quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 agentStateCodeCode String Agent状态 12在线 13离线 12 guardStatusCode Integer 防护状态 1防护中 4未防护 1 riskStatusCode Integer 风险状态 1无风险 2未知 3风险 1 osTypeCode String 操作系统类型 Windows bgGroupId String 业务分组id BG0001 serverStatus String 服务器状态 4已关机 5运行中 40其他 5 baselineCheckCount Integer 基线检查风险数量 0 vulnerabilityScanCount Integer 漏洞扫描风险数量 0 securityAlertCount Integer 安全告警风险数量 0 agentVersion String agent版本 5.1.1 needUpgrade Boolean 是否需要升级 true upgradeCommand String 升级命令 curl k s L ' bash macAddr Array of Strings macAddr ["11111111"] proxyAddress String 代理地址，安装agent时，用户可配置自己的代理服务，转发agent请求到安全卫士到后台 169.254.169.254

参数 参数类型 说明 示例 下级对象 agentIp String 内网IP 192.168.1.1 publicIp String 公网IP 192.168.1.1 custName String 主机名称 test hostName String 实例名称 test displayName String 实例名称 test osType String 操作系统类型 Windows bgGroupName String 所属分组全路径 事业部xx/产品线 agentStateCode String Agent状态 在线/离线 在线 agentGuid String agentGuid 11111111 hostId Integer 主机ID 1 type String 服务器类型：vm 虚机；pm 物理机 vm guardStatus String 防护状态 防护中/未防护 1 regionName String 地域 华东1 sshRisk Integer 入侵检测风险数 0 vulRisk Integer 漏洞扫描风险数 0 wpRisk Integer 网页防篡改风险数 0 scaRisk Integer 安全基线风险数 0 virusRisk Integer 病毒风险数 0 riskStatus String 风险状态 无风险/未知/风险 1 quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 agentStateCodeCode String Agent状态 12在线 13离线 12 guardStatusCode Integer 防护状态 1防护中 4未防护 1 riskStatusCode Integer 风险状态 1无风险 2未知 3风险 1 osTypeCode String 操作系统类型 Windows bgGroupId String 业务分组id BG0001 serverStatus String 服务器状态 4已关机 5运行中 40其他 5 baselineCheckCount Integer 基线检查风险数量 0 vulnerabilityScanCount Integer 漏洞扫描风险数量 0 securityAlertCount Integer 安全告警风险数量 0 agentVersion String agent版本 5.1.1 needUpgrade Boolean 是否需要升级 true upgradeCommand String 升级命令 curl k s L ' bash macAddr Array of Strings macAddr ["11111111"] proxyAddress String 代理地址，安装agent时，用户可配置自己的代理服务，转发agent请求到安全卫士到后台 169.254.169.254

本文主要介绍 镜像管理类问题 如何安装容器引擎？ 容器引擎几乎支持在所有操作系统上安装，用户可以根据需要选择要安装的容器引擎版本。 说明 容器镜像服务支持使用容器引擎1.11.2 及以上版本上传镜像。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性IP后才能访问。 另外，在Linux 操作系统下，可以使用如下命令快速安装容器引擎。 curl fsSL get.docker.com o getdocker.sh sh getdocker.sh 如何制作容器镜像？ 自行制作容器镜像，主要有两种方法： 制作快照方式获得镜像（偶尔制作的镜像）：在基础镜像上（比如Ubuntu），先登录镜像系统并安装容器引擎软件，然后整体制作快照。 Dockerfile方式构建镜像（经常更新的镜像）：将软件安装的流程写成Dockerfile，使用docker build构建成容器镜像。 方法一：制作快照方式获得镜像 如果后续镜像没有变化，可采用方法一制作镜像。 具体操作如下： 找一台主机，安装容器引擎软件。 启动一个空白的基础容器，并进入容器。 例如：启动一个CentOS的容器。 docker run it centos 执行安装任务。 yum install XXX git clone cd bwa;make 说明 请预先安装好Git，并检查本机是否有ssh key设置。 输入exit退出容器。 制作快照。 docker commit m "xx" a "test" containerid test/image:tag a：提交的镜像作者。 containerid：步骤2中的容器id。可以使用docker ps a查询得到容器id。 m：提交时的说明文字。 test/image:tag：仓库名/镜像名:TAG名。 执行docker images可以查看到制作完成的容器镜像。

参数 参数类型 说明 示例 下级对象 regionID String 区域ID 81f7728662dd11ec810800155d307d5b azName String 可用区名称 az1 ID String 负载均衡ID xxx projectID String 项目ID 0 name String 名称 test description String 描述 desc vpcID String VPC ID vpcxxx subnetID String 子网ID subnetxxx portID String 负载均衡实例默认创建port ID portxxx privateIpAddress String 负载均衡实例的内网VIP 32.33.433.5 ipv6Address String 负载均衡实例的IPv6地址 2001:db8:85a3::8a2e:370:7334 slaName String 规格名称 elb.default eipInfo Array of Objects 弹性公网IP信息 eipInfo deleteProtection Boolean 删除保护。开启，不开启 true deleteProtectionReason String 删除保护原因 xxx modifyProtection Boolean 修改保护。开启，不开启 true modifyProtectionReason String 修改保护原因 xxx privateHostIPEnabled Integer VPC内地址转发功能 1 privateHostIPSubnetID String VPC内地址转发功能，后端子网ID subnetxxx privateHostIpv4s Array of Strings 通过ipv4地址访问负载均衡实例时，负载均衡实例访问后端主机组内主机时使用的源ip ["10.1.1.40"] privateHostIpv6s Array of Strings 通过ipv6地址访问负载均衡实例时，负载均衡实例访问后端主机组内主机时使用的源ip ["100:1:163:ba00:7934:cbce:f9a2:f76"] adminStatus String 管理状态: DOWN / ACTIVE DOWN status String 负载均衡状态: DOWN / ACTIVE DOWN resourceType String 负载均衡类型: external / internal internal createdTime String 创建时间，为UTC格式 20221003T09: 44: 22Z updatedTime String 更新时间，为UTC格式 20221003T09: 44: 22Z expiredTime String 到期时间，为UTC格式 20221003T09: 44: 22Z billingMethod String 计费方式 periodic gwEnabled Integer 是否启用IPv4/6网关引流 0 resourceID String 计费类资源ID xxx 表 eipInfo

如何提升共享带宽实例可加入的弹性IP数量？ 每个共享带宽实例默认最多可加入20个EIP。 当共享带宽实例达到可添加的EIP数量上限，无法继续添加新的EIP时，您可以通过提交工单来申请提升配额。 在您提交工单时，请您说明具体的业务场景，我们将根据您的业务情况为您添加。 如何为加入共享带宽的EIP设置最大可用带宽值？ 共享带宽当前不支持为带宽内的每个IP设置峰值，您可以调整共享带宽的整体带宽大小。 在共享带宽下的弹性IP共同使用该共享带宽，当业务较为集中时，可能出现带宽挤占的情况，请您关注监控数据并及时进行业务调整。 具体操作，请参见修改共享带宽。 是否可以为使用共享带宽的某台主机限制最大可用带宽值？ 不可以。 主机所绑定的弹性IP，加入到共享带宽之后，共同使用该共享带宽，无法单独限制某个弹性IP的峰值带宽，您可以调整共享带宽的整体带宽大小。 主机网卡具有最大内网带宽限制，与共享带宽的峰值带宽无关，具体可参考主机规格说明。 如何将共享带宽中的EIP转移到另一个共享带宽？ 您可以首先将EIP从之前的共享带宽中移出，其操作入口为【操作>更多>移出弹性IP】。 接着将其加入到新的共享带宽中，其操作入口为【操作>更多>添加弹性IP】。 共享带宽的列表页及详情页均支持该两项操作。

接口功能介绍 查询桶统计信息 1. 传bucket参数，表示查询该桶的统计信息 2. 不传bucket参数，表示查询所有桶的统计信息，即该用户所有桶的统计信息 统计项：  1). 每个小时累计的请求次数  2). 每个小时累计的公网流出流量  3). 每个小时累计的数据取回流量，仅在归档、低频存储类型时有此指标，归档的取回指归档对象解冻，低频的取回指低频对象的下载  4). 每个小时累计的数据取回次数，仅在归档、低频存储类型时有此指标，归档的取回指归档对象解冻，低频的取回指低频对象的下载  5). 存储容量在每个整点的值  6). 每个小时累计的跨域复制公网流出流量 计算方法：  1). 公网流出流量为通过公网调用GetObject接口访问、下载、预览文件或者进行图片处理操作产生的流量总值。  2). 请求次数为读操作API、写操作API和删除操作API的总值，其中，请求次数为公网请求数加内网请求数的总值。 接口约束 支持所有一类节点资源池。仅支持最近 30 天内的统计信息查询。使用量统计存在时延，如需查询上一小时用量，建议在当前时间 30 分钟后再发起请求。 URI GET /v4/oss/getbucketstatistics 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 bucket 否 String 存储桶名 bucket1 regionID 是 String 区域ID 332232eb63aa465e902852e5123866f0 startTime 是 String 日期小时 格式的时间字符串，时区为 UTC 时区 2023021305 endTime 是 String 日期小时 格式的时间字符串，时区为 UTC 时区 2023021307

说明：本章节会介绍如何通过公网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 ①　对目标实例绑定弹性公网IP。 ②　获取本地设备的IP地址。 ③　设置安全组规则。 ④　使用ping命令连通1.a中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 ⑤　使用客户端连接实例。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 3 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的弹性公网IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4 在打开登录信息窗口，选中创建的连接，单击“打开”，如下图所示。 若连接信息无误，即会成功连接实例。 图3 打开登录信息 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表 参数说明 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

本节主要介绍云数据库GeminiDB的权限管理。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云数据库 GeminiDB的使用权限，但是不希望他们拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制他们对云数据库 GeminiDB资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如广州4）对应的项目（cngdgz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 如表1所示，包括了云数据库 GeminiDB的所有系统权限。 表1 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 云数据库 GeminiDB服务所有权限。 系统策略 创建包周期实例需要配置CBC权限： bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限： bss:unsubscribe:update GeminiDB ReadOnlyAccess 云数据库 GeminiDB服务只读权限。 系统策略 无 表2列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 查询企业项目配额管理列表 √ √ 修改企业项目配额 √ x 切换SSL开关 √ x 停止备份 √ x 表3列出了云数据库 GeminiDB常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 企业项目(Enterprise Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例安全组 nosql:instance:modifySecurityGroup 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改数据库端口 nosql:instance:modifyPort 支持： IAM项目(Project) 企业项目(Enterprise Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持企业项目 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 企业项目(Enterprise Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 企业项目(Enterprise Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载备份文件 nosql:backup:download 支持： IAM项目(Project) 企业项目(Enterprise Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 备份恢复到已有实例 nosql:backup:restoreToExistInstance 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建参数模板 nosql:param:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询参数模板列表 nosql:param:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改参数模板中的参数值 nosql:param:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例下节点的参数配置 nosql:instance:modifyParameter 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除参数模板 nosql:param:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签操作 nosql:instance:tag tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签列表 nosql:tag:list tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询企业项目配额管理列表 nosql:quota:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改企业项目配额 nosql:quota:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换审计日志开关 nosql:instance:switchAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载审计日志 nosql:instance:downloadAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除审计日志 nosql:instance:deleteAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 更新慢日志明文开关 nosql:instance:modifySlowLogPlaintextSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换SSL开关 nosql:instance:switchSSL 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改内网IP nosql:instance:modifyPrivateIp 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换主备节点 nosql:instance:switchover 支持： IAM项目(Project) 企业项目(Enterprise Project) 数据库补丁升级 nosql:instance:upgradeDatabaseVersion 支持： IAM项目(Project) 企业项目(Enterprise Project) 停止备份 nosql:backup:stop 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置组 lts:groups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置流 lts:topics:get 支持： IAM项目(Project) 企业项目(Enterprise Project)

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID 是 String 区域ID projectID 否 String 企业项目 ID，默认为'0' 0 vpcID 否 String vpc的ID subnetID 是 String 子网的ID name 是 String 唯一。支持拉丁字母、中文、数字，下划线，连字符，中文 / 英文字母开头，不能以 http: / https: 开头，长度 2 32 acl11 description 否 String 支持拉丁字母、中文、数字, 特殊字符：~!@$%^&()+ <>?:'{},./;'[]·！@￥%……&（） —— +{}, 《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 acl eipID 否 String 弹性公网IP的ID。当resourceTypeexternal为必填 slaName 是 String lb的规格名称, 支持:elb.s2.small，elb.s3.small，elb.s4.small，elb.s5.small，elb.s2.large，elb.s3.large，elb.s4.large，elb.s5.large——"elb.s2.small": "standardI"（标准型Ⅰ）, "elb.s2.large": "standardII"（标准型Ⅱ）、"elb.s3.small": "enhancedI"（增强型Ⅰ）, "elb.s3.large": "enhancedII"（增强型Ⅱ）、"elb.s4.small": "higherI"（高阶型Ⅰ）, "elb.s4.large": "higherII"（高阶型Ⅱ）、"elb.s5.small": "superI"（超强型Ⅰ）, "elb.s5.large": "superII"（超强型Ⅱ） elb.s2.small resourceType 是 String 资源类型。internal：内网负载均衡，external：公网负载均衡 internal privateIpAddress 否 String 负载均衡的私有IP地址，不指定则自动分配 cycleType 是 String 订购类型：month（包月） / year（包年） / ondemand （按需) month cycleCount 否 Integer 订购时长, 当 cycleType month, 支持续订 1 11 个月; 当 cycleType year, 支持续订 1 3 年，当 cycleType ondemand 可以不传 1 payVoucherPrice 否 String 代金券金额，支持到小数点后两位 1

本文介绍实验室测试环境下的多活容灾服务的容灾演练时间、备份和恢复速率,仅供您参考。 一、重要说明 1. 本文的数据复制、备份与恢复速率是在VPC内网、备份服务器规格为8C16G、未开启加密的实验室测试环境下获得的，旨在提供参考基准。请注意，实际应用中的速率可能会因具体环境的差异而有所不同。 2. 本地数据库的备份与恢复速率可能因硬件配置、磁盘性能以及网络条件等因素而有所不同。 3. 在网络带宽充足的情况下，本地文件的备份和恢复速率与ECS文件的备份和恢复速率一致，本地数据库的备份和恢复速率与云上数据库的备份和恢复速率一致。 4. 表格中数据是在首次全量备份下的备份速率。永久增量备份情况下，备份速率会更高。 说明 性能指标与硬件配置（CPU、内存、硬盘类型）和网络相关；也与灾备规则和策略相关，例如：是否开启加密、压缩、重删等。因此，用户在自己环境内的性能以实测为准，也可联系多活容灾服务平台帮助调优或排查等。 二、性能指标 1）预案编排内置能力 多活容灾服务提供同城多活或同城主备（云上）场景下的应用切换、数据库切换能力，可通过预案编排及容灾演练对指定资源或应用进行一键切换。下述时间为容灾演练仅做应用切换或数据库切换，不包含环境检查、业务验证等步骤。 场景 类型 切换时间（s） 同城多活/同城主备（云上容灾） 应用切换/数据库切换 510

本节介绍漏洞扫描服务主要的应用场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

本节主要介绍常见问题类问题 什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 图 区域和可用区 如何选择区域？ 建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 如何选择可用区？ 是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 如何进入企业项目管理控制台？ 前提条件 您已开通企业项目管理服务EPS。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在控制台页面，鼠标移动至右上方的帐号名，单击帐号名，在下拉列表中选择“企业管理”。 系统将进入“企业项目管理”页面。

本章节主要介绍通用类问题 DRDS提供哪些高可靠保障 数据完整性 DRDS实例故障不会影响数据的完整性。 1、业务数据存储在数据节点分片中，DRDS不存储业务数据。 2、逻辑库与逻辑表等配置信息存储在DRDS数据库中，DRDS数据库主备高可用。 高可用机制 DRDS采用多个无状态节点集群式部署模式，通过弹性负载均衡地址提供服务。 1、DRDS节点自身宕机类故障，对于已建立在故障节点上的连接会断连报错，DRDS集群整体服务不受影响，通常情况下可在5秒内将故障节点从集群中剔除。 2、下挂数据节点故障，通常情况下可以在下挂数据节点恢复后30秒内完全恢复正常服务能力。 如何选择和配置安全组 DRDS实例采用了VPC和安全组等网络安全保护措施，以下内容帮助您正确配置安全组。 通过VPC内网访问DRDS实例 DRDS实例的访问和使用，包括客户端所在ECS访问DRDS实例，以及DRDS实例访问其关联的数据节点。 除了ECS、DRDS实例、数据节点必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，允许网络访问。建议ECS、DRDS、数据节点配置相同的安全组。安全组创建后，默认包含同一安全组内网络访问不受限制的规则。 一个DRDS实例关联的不同数据节点之间是否可以共享数据 一个DRDS实例关联的不同数据节点之间数据是互相独立的，无法共享。数据节点表示DRDS下关联的RDS for MySQL实例。

对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）。

本文介绍SSL VPN连接相关问题。 如何理解SSL VPN连接中的本端子网和客户端地址池？ SSL VPN是一种通过SSL协议实现远程访问内部网络的方式。 在建立SSL VPN服务端时，本端子网是指企业内部的网络，而客户端地址池则是用于分配给客户端虚拟网卡的IP地址集合。 从天翼云的角度来看，本端子网一般指VPC网络，VPC是Virtual Private Cloud的缩写，它指用户在云平台上虚拟化的私有网络。而客户端地址池是用于分配给客户端虚拟网卡的IP地址集合。当用户通过SSL VPN连接到企业内网时，客户端虚拟网卡会获得一个属于该地址池的IP地址，以便可以在企业内部网络中访问相应的资源。通过正确配置本端子网和客户端地址池，可以确保SSL VPN连接的稳定性和安全性。 客户端连接失败怎么办？ 产生当前问题的可能原因及解决方案如下表。 分类 原因 解决方案 配置错误 SSL客户端配置错误。 请排查客户端VPN软件的配置是否与服务端配置一致。 SSL客户端证书到期 SSL客户端证书过期或无效。 1. 请排查SSL客户端证书的有效性。SSL客户端证书默认有效期为10年。2. 请删除现有的SSL客户端证书及所有配置，然后重新创建、下载、安装SSL客户端证书。开启和关闭双因子认证功能、修改SSL服务端的配置，均需要重新下载、安装SSL客户端证书。 客户端连接数超限 当前SSL服务端下的客户端连接数超限。 在VPN网关实例下查看已连接的客户端数量，确认在线客户端数量是否超限。 IP地址问题 VPC下的IP地址与客户端的IP地址冲突。 请根据实际情况，修改SSL服务端的本端网段（VPC或云间高速的网段）或者客户端网段以确保两侧IP地址不冲突。 IP地址问题 SSL服务端的客户端网段配置的太小，导致客户端无法被分配IP地址。 请确保您指定的客户端网段所包含的IP地址数量大于SSL VPN客户端数量。 VPN软件问题 客户端VPN软件冲突。 1.如果您的客户端上安装了多个VPN客户端软件，建议仅使用一个VPN客户端软件建立SSL VPN连接。

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

本文将为您介绍公共传输通道的术语概念。 中国电信下一代承载网 中国电信下一代承载网（CN2DCI）是指中国电信融合原CN2和DCI两张网络之后构建的面向2B业务的差异化、智能化、服务化专用承载网，目标建成技术领先、行业最有竞争力的2B网络。 CN2DCI网络新平面 中国电信基于SDN架构，在CN2DCI网络基础上通过引入SRv6+EVPN等技术重构的高质量、高可靠、差异化精品网络。 SRv6 SRv6（Segment Routing IPv6）是一种网络转发技术，SR指Segment Routing技术，v6指原生IPv6，SRv6就是IPv6+Segment Routing，是SR技术的IPv6演进版本。 多协议标签交换 多协议标签交换（MultiProtocol Label Switch），简称为MPLS，结合二层交换和三层路由的集成数据传输技术。 虚拟专网 虚拟专网（VPN），全称为虚拟专用网络（Virtual Private Network），利用开放的公共网络建立专用数据传输通道，将不同站点连接起来并提供安全的端到端数据通信的广域网组网方式。 EVPN EVPN（Ethernet Virtual Private Network）是一种用于二层网络互联的VPN技术，采用类似于BGP/MPLS IP VPN 的机制，通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的二层网络间的MAC地址学习和发布过程从数据平面转移到控制平面。 运营商边界设备 运营商边界设备（Provider Edge），简称为PE，位于运营商网络边缘，用于连接CE设备，一般为路由器。

本章节介绍ECS应用实例的访问方式 概述 ECS应用实例发布后，无法直接被其他应用所访问。ECS应用实例支持负载均衡(私网)、负载均衡(公网)两种访问方式。 负载均衡（私网） 此种方式用于VPC内网访问，以私网负载均衡作为流量入口，将ECS应用实例作为私网负载均衡的后端，由私网负载均衡根据转发策略，将流量分发到不同到ECS应用实例。 前提条件 1. 需要在弹性负载均衡控制台订购开通私网负载均衡实例并在环境资源弹性负载均衡下导入。 绑定私网负载均衡 1. 在应用总览页面的访问方式配置区域，单击负载均衡（私网）右侧的加号图标。 2. 在绑定负载均衡（私）配置向导中配置负载均衡实例。 3. 在选择负载均衡页签中选择已导入的弹性负载均衡实例，然后单击下一步。 4. 在选择配置监听页签中配置监听端口，然后单击下一步。 配置项 描述 协议 支持HTTP、TCP、UDP三种协议类型。 HTTP：七层监听，适用于需要对数据内容进行识别的场景。 TCP：四层监听，适用于注重可靠性、对数据准确性要求高的场景。 UDP：四层监听，适用于对实时性要求较高、对可靠性要求不高的业务场景。 前端端口号 负载均衡实例对外提供服务的端口。同一个弹性负载均衡实例下，不同监听器的端口不能相同。 健康检查路径 负载均衡检查后端应用存活状态的URI，默认为/ping。 5. 在配置服务器组页签中配置服务器组，然后单击下一步。 6. 在确认变更页签中查看设置的弹性负载均衡实例信息，无误后单击确变更。

参数 参数说明 取值样例 防护对象端口 在下拉框中选择面要防护的端口。配置80/443端口，在下拉框中选择“标准端口”。 81 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、VPC、源站地址和源站端口。 对外协议：客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议：Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 VPC：选择独享引擎实例所在的VPC。 为了实现业务双活，避免业务单点故障，建议在同一VPC下申请两个WAF实例 源站地址：客户端（例如浏览器）访问的网站服务器的私网/内网IP地址。支持以下两种IP格式： IPv4，例如：XXX.XXX.1.1 IPv6，例如：fe80:0000:0000:0000:0000:0000:0000:000 源站端口：WAF独享引擎转发客户端请求到服务器的业务端口。 对外协议：HTTP 源站协议：HTTP 源站地址：XXX .XXX.1.1 源站端口：80 证书名称 “对外协议”设置为“HTTPS”时，需要选择证书。您可以选择已创建的证书或选择导入的新证书。 成功导入的新证书，将添加到“证书管理”页面的证书列表中。 说明 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请将证书转换为PEM格式，再上传。 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。

本文介绍NAT网关—SNAT规则类相关问题。 为什么使用SNAT？ 在网络通信中，当内部网络的主机向外部网络发送数据包时，数据包的源IP地址会经过SNAT被转换为一个公共IP地址，这样外部网络就无法直接访问内部网络的真实IP地址。SNAT的主要作用是隐藏内部网络的真实IP地址，从而增强网络的安全性。 同时SNAT可以使多个内网主机通过同一个外网IP接入Internet，从而达到节省成本的目的。 什么是 SNAT连接数 ？ 由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。连接能够区分不同会话，并且对应的会话是唯一的。其中源IP地址和源端口指SNAT转换之后的EIP和它的端口。 当多个内部主机通过同一个外部IP地址访问外部网络时，网络设备会使用SNAT来转换源IP地址和端口号，以便外部网络可以正确识别和回复数据包。 SNAT连接数表示当前正在进行的通过SNAT技术建立的连接数量。这些连接可能是在同一时间内与外部网络建立的活动连接，也可以是已建立但尚未关闭的连接。通过跟踪SNAT连接数，可以对网络流量和负载进行监控和管理，并确保网络资源的适当分配和性能优化。 NAT网关规格为并发连接数，并发连接数为每分钟内并发连接的数量。并发连接数＝SNAT连接数＋DNAT连接数。 主机通过NAT网关访问外网，请问NAT网关的带宽是多少？在哪里设置？ 主机通过NAT网关访问外网，NAT网关的带宽即SNAT规则绑定的弹性IP带宽，可以在弹性IP页面调整带宽大小，具体操作参见弹性IP修改带宽。

S3 Browser是一个支持S3接口服务的免费windows客户端工具。 安装方法 使用浏览器打开S3 Browser网站 使用方法 1、安装完成后双击打开客户端，点击菜单栏中“Accounts”，出现下拉菜单后再点击“Add new account..”，会弹出新增账号信息弹出框。 2、在弹出框中，填下相应的信息，点击“Add new account”保存。填写说明如下： l Account Name：用户根据自己的需要进行命名。 l Account Type：选择“S3 Compatible Storage”。 l REST Endpoint：填写对象存储节点地址访问域名，如xiongan2.zos.ctyun.cn。 l Access Key ID：用户需进入对象存储控制台，查看对象存储Access Key信息，复制粘贴到Access Key ID中。 l Secret Access Key：用户需选择上述Access Key对应的Secret Key进行填写。 l Use secure transfer(SSL/TLS)：外网使用需要勾选此选项，内网使用不用勾选。 注意 在云内使用S3 Browser，请勿勾选下方的"Use Secure Transfer"和"Verify SSL"。因为云内属于安全网络ZOS仅提供http访问，不提供https访问。 如果通过公网访问ZOS，则建议勾选"Use Secure Transfer"和"Verify SSL"。 3、账号添加成功后，您即可在工具中查看到ZOS中目前已经存在的桶和文件。用户点击相应的菜单和按钮进行桶和文件的管理。

检查其他设置 服务器开启了系统自动更新补丁功能。在确认服务器已更新该漏洞后，建议您在漏洞管理界面中忽略该漏洞。 服务器安装了更新的补丁将旧补丁覆盖（如，2016及以上系统，最新的月度补丁会覆盖以前的所有补丁）。在确认无误后，建议您在漏洞管理界面中忽略该漏洞。 其他安全软件对补丁安装进行了拦截（如“360安全卫士服务器版”），您可以先暂停使用安全软件，待漏洞修复后，在开启安全软件。 说明 微软已于2020年1月14日停止对Windows Server 2008 R2系统的更新和维护，如果需要继续使用该系统，则需要购买相应的ESU （扩展安全更新） 密钥并进行激活或更换Windows操作系统版本。 Linux系统服务器操作 无yum源配置 您的服务器可能未配置yum源，请根据您的Linux系统选择yum源进行配置。配置完成后，重新执行漏洞修复操作。 yum源没有相应软件的最新升级包 切换到有相应软件包的yum源，配置完成后，重新执行漏洞修复操作。 内网环境连接不上公网 在线修复漏洞时，需要连接Internet，通过外部yum源提供漏洞修复服务。 内核老版本存留 由于内核升级比较特殊，一般都会有老版本存留的问题。您可通过执行验证修复命令查看当前使用的内核版本是否已符合漏洞要求的版本。确认无误后，对于该漏洞告警，您可以在企业主机安全管理控制台的“漏洞管理 > Linux软件漏洞管理”页面进行忽略 。同时，不建议您删除老版本内核。 验证修复命令： 操作系统 修复命令 :: CentOS/Fedora /Euler/Redhat/Oracle rpm qa Debian/Ubuntu dpkg l Gentoo emerge search软件名称 SUSE zypper search dC matchwords软件名称

检查VPC网络是否设置了ACL规则限制了网络访问 网络ACL对子网进行防护，检查对应子网是否配置了ACL，是否设置了ACL规则限制了网络访问。 例如当您设置了安全组放通队列的网段，同时设置的网络ACL规则包含拒绝该地址访问，那么此安全组规则不生效。 怎样配置DLI队列与数据源的网络连通？ 配置DLI队列与内网数据源的网络联通 DLI在创建运行作业需要连接外部其他数据源，如：DLI连接MRS、RDS、CSS、Kafka、DWS时，需要打通DLI和外部数据源之间的网络。 DLI提供的增强型跨源连接功能，底层采用对等连接的方式打通与目的数据源的vpc网络，通过点对点的方式实现数据互通。 详见下图：增强型跨源连接配置流程 配置DLI队列与公网网络联通 通过配置SNAT规则，添加到公网的路由信息，可以实现队列到和公网的网络打通。 详见下图：配置DLI队列访问公网流程 DLI创建跨源连接，进行绑定队列一直在创建中怎么办？ 跨源连接创建慢，有以下几种可能： 购买DLI队列后，第一次进行绑定队列。通常需要等待510分钟，待后台拉起集群后，即可创建成功。 若刚刚对队列进行网段修改，立即进行绑定队列。通常需要等待510分钟，待后台重建集群后，即可创建成功。 如何打通DLI和数据源的网络？ DLI 增强型跨源连接底层采用对等连接，直接打通DLI集群与目的数据源的VPC网络，通过点对点的方式实现数据互通。

切换VPC 批量切换VPC支持属于同一子网的网卡批量切换至其他的VPC和子网，如需操作需要在列表先搜索要切换的网卡当前所属的VPC和子网。 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性网卡】，在列表搜索框选择要切换的网卡当前所属的VPC和子网，单击【查询】。 3. 勾选要操作的弹性网卡，单击【批量操作>切换VPC】，在弹窗页，可以查看已选择有效的弹性网卡数，选择新的VPC和子网，设置内网带宽上限，单击【确认】，完成VPC子网切换，返回弹性网卡列表页，可以查看弹性网卡的VPC和子网已发生变更。 注意 仅支持网卡为VPC网卡且虚机运行状态为关机状态的网卡，否则将忽略此类网卡。 选择的新子网不能与原来相同，否则会报错。 配置源/目的地址检查状态 在列表可查看和筛选网卡源/目的地址检查状态，可对单个或多个VPC网卡修改源/目的地址检查状态。 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性网卡】，在列表页切换至需要操作的地域，勾选需要操作的网卡，单击【批量操作>配置源/目的地址检查】，进入弹窗页。 3. 在界面可以查看已选择的有效网卡数，修改源/目的地址检查状态，单击按钮可以切换至开启或者关闭状态，输入二次确认字符，单击【确认】完成源/目的地址检查状态修改。 说明 启用状态，系统会检查发送的报文中源/目的IP地址是否正确，不匹配则不允许发送该报文，有效避免伪装报文攻击，提升网络安全性。 关闭状态，系统不会检查发送的报文中源/目的IP地址，存在伪装报文攻击风险。 直通网卡不支持自助修改源/目的地址检查状态。

本节主要介绍OBS服务等级协议。 自2021年11月11日起，新版对象存储服务协议生效，详情请参见这里。 中国电信天翼对象存储系统服务协议 历史版本（2012年11月10日）

说明：本章节会介绍在控制台如何修改数据库端口 操作场景 关系型数据库服务支持修改主实例和只读实例的数据库端口，对于主备实例，修改主实例的数据库端口，该实例下备实例的数据库端口会被同步修改。 约束条件 端口修改中，以下操作不可进行： 绑定弹性公网IP。 删除实例。 创建备份。 操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“实例管理”页面，选择指定的实例，单击主实例名称，或单击，单击只读实例名称。 在“基本信息”，在“连接信息”模块“数据库端口”处，单击，修改数据库端口。 您也可以在左侧导航栏，单击“连接管理”，在“内网连接”或“公网连接”页面中，在“连接信息”模块“数据库端口”处，单击，修改数据库端口。 MySQL数据库端口设置范围为1024～65535（其中12017和33071被RDS系统占用不可设置）。 。 单击，提交修改。 − 在弹出框中，单击“确定”，提交修改。 i. 修改主实例数据库端口，对应的主备实例均会被修改且重启。 ii. 修改只读实例数据库端口，仅修改并重启该只读实例。 iii. 此过程需要1~5分钟左右。 − 在弹出框中，单击“取消”，取消本次修改。 单击，取消修改。 在实例的“基本信息”页面，查看修改结果。

参数 参数说明 计费模式 包年/包月：预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。包年/包月集群创建后不能删除。 按需计费：后付费模式，按资源的实际使用时长计费，可以随时开通/删除资源。 本节以“按需计费”类型为例进行讲解。 区域 不同区域的云服务产品之间内网互不相通；请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 集群名称 新建集群的名称，创建后不可修改。 集群名称长度范围为4128个字符，以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾。 版本 Kubernetes社区基线版本，建议选择最新的版本。版本升级请参见集群版本升级说明。 若有 Beta 版本时，您可以选择试用，但不建议您将该版本用于商用场景。 集群管理规模 集群管理规模是指当前集群的控制节点可以管理的最大工作节点规模，您可以选择50节点、200节点、1000节点三种管理规模，请根据您的业务需求选择，该规模在集群创建后不可更改，请慎重选择。 若选择“1000节点”，表示当前集群的控制节点最多可管理1000个工作节点。由于不同管理规模的控制节点规格不同，因此配置费用会有差异。 任何一个集群中均包含“Master Node”和“Worker Node”，每一个Node对应一台云服务器。 Master Node：集群的控制节点，在创建集群时会自动创建控制节点，负责整个集群的管理和调度。 Worker Node：集群的工作节点，即用户购买或纳管的节点。工作负载是由控制节点分配的，当某个工作节点宕机时，控制节点会将工作负载转移到其他工作节点上。 控制节点数 多控制节点模式开启后将创建三个控制节点，在单个控制节点发生故障后集群可以继续使用，不影响业务功能。 多控制节点模式开关在集群创建完成后不可变更。 商用场景建议选择多控制节点模式集群。 虚拟私有云 新建集群所在的虚拟私有云，集群创建后不可更改。 虚拟私有云是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 若没有虚拟私有云可选择，请单击“创建虚拟私有云”进行创建，完成创建后单击刷新按钮。 所在子网 节点虚拟机运行的子网环境，集群创建后不可更改。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 若没有子网可选择，请单击“创建子网”进行创建，完成创建后单击刷新按钮。虚拟私有云、子网、集群的关系请参见集群概述。 请确保子网下的DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 集群创建后子网无法修改，请谨慎选择。 网络模型 集群创建成功后，网络模型不可更改，请谨慎选择。 容器隧道网络 容器隧道网络下只能添加同一类型的节点，即全部为虚拟机节点或全部为裸金属节点。 基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。 VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面等优势，可以满足大多数应用需求。 VPC 网络 VPC网络模式下每个节点占用一条VPC路由规则，Console界面中可显示当前局点支持的VPC路由规则条数，以及每个节点可供分配的容器IP个数（即可创建的Pod实例数目上限）， VPC路由方式与底层网络深度整合，适用于高性能场景，但每个节点占用一条VPC路由规则，节点数量受限于虚拟私有云VPC的路由配额。 VPC网络集群下的每个节点将会被分配固定大小的IP地址段，由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 容器网段 请根据业务需求选择容器网段，确定容器网段后，容器实例将在规划的网段内分配IP，集群创建后该网段不可更改。 未勾选“自动选择”：请手动选择网段。若与子网网段有冲突时将有红色文字提示，请重新选择。建议使用网段：10.0.0.0/8~18，172.16.0.0/16~18，192.168.0.0/16~18。 不同集群使用相同的容器网段，会导致容器IP 冲突，应用访问异常。 勾选“自动选择”：系统将自动分配与子网网段无冲突的网段。 容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。设置掩码后，选项下方会有当前网段最多支持的实例估算值，请作参考。 服务网段 服务网段为kubernetes service ip网段，集群创建后该网段不可更改。服务网段与已创建的路由不能冲突，如果冲突，请重新选择。 使用默认网段：默认设置为10.247.0.0/16网段。 手动设置网段：请根据业务需求设置合理的网段和掩码，掩码决定集群内可用service ip数量。 认证方式 认证机制主要用于对集群下的资源做权限控制。例如A用户只能对某个命名空间下的应用有读写权限，B用户对集群下的资源只有读权限等。角色权限控制的操作请参见集群管理权限控制。 默认状态下不选定“认证能力增强”，此时默认开启X509认证模式，X509是一种非常通用的证书格式。 若需要对集群进行权限控制，请勾选“认证能力增强”，选择“认证代理”。 单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书，并 勾选“我已确认上传的证书合法” 。 证书若不合法，集群将无法创建成功。请上传小于1MB的文件，上传格式支持.crt或.cer格式。 集群描述 选填，请输入新建容器集群相应的描述信息。 高级设置 单击“高级设置”后展开详细项目，支持的功能如下（当前可用区中不支持的功能将隐藏）： 服务转发模式： iptables：社区传统的kubeproxy模式，完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则，非增量式更新会引入一定的时延，大规模情况下有明显的性能问题。 ipvs：在社区获得广泛支持的kubeproxy模式，采用增量式更新，吞吐更高，速度更快，并可以保证service更新期间连接保持不断开，适用于大规模场景。 ipvs模式下，ingress和service使用相同的ELB实例时，无法在集群内的节点和容器中访问ingress。 说明 ipvs为大型集群提供了更好的可扩展性和性能。 ipvs支持比iptables更复杂的负载平衡算法（最小负载，最少连接，位置，加权等）。 ipvs支持服务器健康检查和连接重试等。 CPU 管理策略： 开启：支持给工作负载实例配置CPU独占，适用于对CPU缓存和调度延迟敏感的工作负载。 关闭：关闭工作负载实例独占CPU核的功能，优点是CPU共享池的可分配核数较多。 购买时长 若选择创建“包年/包月”的集群，请设置购买时长。

本章节会介绍如何通过命令创建数据库帐户。 创建文档数据库实例时，系统会同步创建默认账户rwuser。您可以根据业务需要，通过默认账户rwuser创建其他数据库账户，之后您可以使用默认账户rwuser或已创建的其他账户对数据库中的数据如库、表、索引等进行操作。 使用须知 为目标实例创建数据库帐户时，建议您开启SSL通道，提高数据的安全性。 对于已有的3.2版本的文档数据库实例，不支持创建数据库帐户，仅可更改管理员帐户rwuser的密码。 在创建数据库帐户时，要指定命令参数passwordDigestor:"server"，具体操作请参见官方文档。 前提条件 成功连接文档数据库实例，请参见《文档数据库服务快速入门》各实例类型下，通过内网和公网连接实例的内容。 帐户说明 为了给文档数据库实例提供管理服务，您在创建数据库实例时，文档数据库服务会自动为实例创建根帐户root（或admin）、监控帐户monitor和备份帐户backup，这些帐户属于天翼云实例管理平台，您不能操作或者使用。如果试图删掉、重命名、修改这些帐户的密码和权限，会导致出错。 对于数据库管理员帐户rwuser，以及您所创建的帐户，允许修改帐户的密码。 默认账户rwuser以及通过rwuser创建的账户，对系统库admin和config权限受限，无法进行正常操作。对自身创建的库表，具有充分的操作权限。 MongoDB的User一般是在某个固定的认证库下创建的。连接数据库时，需要通过参数authenticationDatabase来明确指定对应的认证库。 DDS实例中，默认的rwuser用户的认证库，是admin。

本章节会介绍在控制台如何修改数据库端口。 操作场景 关系型数据库服务支持修改主实例和只读实例的数据库端口，对于主备实例，修改主实例的数据库端口，该实例下备实例的数据库端口会被同步修改。 约束条件 端口修改中，以下操作不可进行： 绑定弹性公网IP。 删除实例。 创建备份。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击主实例名称，或单击，单击只读实例名称。 步骤 5 在“基本信息”，在“连接信息”模块“数据库端口”处，单击，修改数据库端口。 您也可以在左侧导航栏，单击“连接管理”，在“内网连接”或“公网连接”页面中，在“连接信息”模块“数据库端口”处，单击，修改数据库端口。 注意 MySQL数据库端口设置范围为1024～65535（其中12017和33071被RDS系统占用不可设置）。 1、单击 ，提交修改。 在弹出框中，单击“确定”，提交修改。 修改主实例数据库端口，对应的主备实例均会被修改且重启。 修改只读实例数据库端口，仅修改并重启该只读实例。 此过程需要1~5分钟左右。 在弹出框中，单击“取消”，取消本次修改。 2、单击，取消修改。 步骤 6 在实例的“基本信息”页面，查看修改结果。

天翼云为您提供对象存储服务等级协议,请您点击查看。 自2021年11月11日起，新版对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

访问验证 以工作负载为nginx为例： 进入负载详情，查看pod日志，打开自动刷新； 本地请求访问工作负载，比如 查看pod日志，从nginx access.log可以看到请求记录，下面124.127.58.即为本机ip地址，可获取客户端真实ip 192.168.0.17 [08/Apr/2024:06:30:14 +0000] "GET / HTTP/1.1" 304 0 "" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36" "124.127.58." 节点端口（NodePort）SVC 当选择服务类型为“节点端口”，即NodePort类型SVC，有以下两种获取客户端源IP方式： 1. 配置SVC外部流量策略，即Service的spec.externalTrafficPolicy，配置为Local。 该方式下外部请求就只会被代理到本地 endpoints 而不会被转发到其它节点，这样就保留了原来的IP 地址。 2. 该模式下客户端只能访问pod所在的node节点，无法使用其他node节点访问服务。 3. 配置SVC外部流量策略仍为Cluster，创建SVC之后，需要在负载均衡器中手动创建监听器及后端主机组，后端主机组配置为容器节点及端口。 注意 cubecni不支持外部流量策略为Local模式 说明 该模式下客户端只能访问pod所在的node节点，无法使用其他node节点访问服务 方式一：外部流量策略为Local 创建服务时，选择类型为“节点端口”，外部流量策略为Local： 创建完成后，通过 access.log可以看到请求记录，下面192.168.0.6即为内网ip地址，可获取客户端真实ip： 192.168.0.6 [08/Apr/2024:07:31:25 +0000] "GET / HTTP/1.1" 200 615 "" "curl/7.79.1" ""