本节主要介绍OOS的功能特性。 在使用OOS之前，建议您先了解存储桶（Bucket）、对象/文件（Object）、地域（Region）、访问域名（Endpoint）、对象存储网络其他区域及等基本概念，以便更好地使用OOS的功能。OOS主要提供以下功能： 功能名称 功能描述 各区域支持 功能名称 功能描述 对象存储网络区域 港澳台及海外 其他地域 存储类别 OOS提供了标准存储、低频访问型存储两种存储类别，满足不同场景下客户对存储性能和成本的不同诉求。 √ √ √ 存储桶管理 OOS提供创建、列举、查看、删除等基本功能，帮助您便捷的进行存储桶管理。 √ √ √ 文件管理 OOS提供上传、下载、复制、移动、删除、分享、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的文件管理需求。 √ √ √ 生命周期管理 OOS可针对某个存储桶下具体前缀或者所有文件设置删除或者转储规则。 √ √ √ 静态网站托管 您可以将静态网站文件上传至OOS存储桶中，并对存储桶赋予匿名用户可读权限，然后将该存储桶配置成静态网站托管模式，以实现在OOS上托管静态网站。 √ √ √ 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范，允许跨域请求访问OOS中的资源。 √ √ √ 防盗链 为了防止用户在OOS的数据被其他人盗链，OOS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 √ √ √ 日志 日志功能可以帮助您记录所有object级别的操作记录， 您可以通过控制台日志功能页面“开启”/“不开启”用户日志功能，同时还可以通过设置目标存储桶和路径来指定日志的存储位置。 √ √ √ 合规保留 OOS支持WORM特性，允许用户以“不可删除、不可篡改”方式保存和使用数据。 √ √ x 清单配置 通过OOS存储桶清单功能可以获取Bucket中指定文件（Object）的大小、存储类型等信息。相对于GET Bucket (List Objects)接口，存储桶清单可以按每天或者每周以CSV的形式输出指定文件的相关信息，且不会影响存储桶的请求速率。在需要列举海量文件的场景中，推荐使用存储桶清单功能。 √ √ x 访问权限控制 OOS支持灵活的授权、鉴权机制，您可以通过以下方式控制OOS资源的访问权限： ACL：通过访问控制列表（ACL）给存储空间和文件授予访问权限，包括公共读写、公共读、私有。 Bucket Policy：通过Bucket Policy功能授权其他用户访问您的OOS资源，例如向特定用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。 IAM Policy：通过IAM Policy来控制存储空间和文件的访问权限。通过用户、用户组、策略的组合，实现精准的资源权限控制。 STS临时授权：通过STS（Security Token Service）给第三方应用或用户授予一个自定义时效的临时访问凭证。 √ √ x （IAM Policy和STS暂不支持） 数据位置选择 您可以按需选择存储桶中数据的存储位置，并且支持后期修改。 √ √ x 文件速率和连接数控制 OOS支持单链接限速功能，您可以使用单链接限速功能在上传、下载、拷贝文件时进行流量和并发连接数控制，以保证您其他应用的网络带宽。 √ √ √ 获取文件元数据信息 OOS支持仅获取文件的元数据信息，而不返回数据本身，有效提升响应速度。 √ √ √ 设置HTTP头 OOS支持设置文件的HTTP头，您可以通过设置HTTP头来自定义HTTP请求的策略。例如，缓存策略、文件强制下载策略等。 √ √ √ 图片处理 您可以使用图片处理功能对存放在OOS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 √ √ √ 统计分析 OOS支持查询指定存储桶的使用情况、指定数据域的使用情况。用户可以根据统计分析数据，采取对应的措施。 √ √ x（不支持Bucket维度的统计） 操作跟踪 您可以通过操作跟踪记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中持久存储。 √ √ x API访问 OOS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除存储桶，上传、下载、删除文件等操作。 √ √ √ 控制台访问 OOS提供可视化控制台页面，方便用户使用。 √ √ √ 工具访问 OOS提供迁移工具以及支持第三方工具（S3Browser、S3cmd等），满足不同场景下数据迁移和数据管理需求。 √ √ √ SDK访问 OOS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、C、JS、Android、IOS、PHP、Go。 √ √ √（不支持PHP和Go）

本文介绍网络层安全报表所展示的数据。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过网络层安全报表查询网络层防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 说明 网络层防护根据内置的智能识别算法进行攻击判断，未开放控制台配置。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【安全报表】【网络层安全报表】页面。 查询功能 您可以在网络层安全报表头部指定您要查询的时间范围。默认将展示最近7天。 报表内容： 说明 卡片栏 展示网络层攻击事件数、DDoS防护带宽峰值、DDoS峰值时间、DDoS攻击平均时长。 攻击趋势 展示被攻击的服务IP的攻击趋势图。（服务IP，即提供DDoS防护能力CNAME解析出的IP地址。） TOP攻击类型 根据攻击流量大小，计算攻击类型的占比情况。 攻击时长分布 根据攻击事件的持续时长，计算攻击时长的分布情况。

用户使用手册 天翼云安全专区终端安全EDR用户使用指南.pdf 天翼云安全专区云防火墙用户使用指南.pdf 天翼云安全专区云堡垒机用户手册使用指南.pdf 天翼云安全专区云数据库审计用户使用指南.pdf 天翼云安全专区云日志审计用户使用指南.pdf 天翼云安全专区安全管理中心用户使用指南.pdf

本节包括虚拟私有云、弹性网卡类型、约束与限制、相关链接。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 虚拟私有云更多信息，请参见《虚拟私有云用户指南》。 弹性网卡类型 主弹性网卡：在创建云主机实例时，随实例默认创建的弹性网卡称作主弹性网卡。主弹性网卡无法与实例进行解绑。 扩展弹性网卡：您可以创建扩展弹性网卡，将其附加到云主机实例上，您也可以将其从实例上进行解绑。每台实例可附加的扩展弹性网卡数量由实例规格决定。 约束与限制 云主机实例与扩展弹性网卡必须在同一VPC，可以分属于不同安全组。 说明 此限制仅针对管理控制台，通过API创建弹性网卡可以指定与云主机实例不同的VPC。 主弹性网卡不能解绑服务器。 云主机可附加的扩展弹性网卡数量由云主机实例规格决定。具体请参见实例规格（X86）规格清单、实例规格（鲲鹏）规格清单（鲲鹏）。 弹性网卡不支持直接访问天翼云内公共云服务，如内网DNS等，推荐使用VPCEP访问天翼云公共云服务。

参数 说明 虚拟私有云 物理机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。 您可以选择使用已有的虚拟私有云网络，或者单击“控制中心创建”创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间物理机的访问控制，加强物理机的安全保护。用户可以在安全组中定义各种访问规则，当弹性裸金属加入该安全组后，即受到这些访问规则的保护。当您需要修改安全组时，请前往管理安全组进行操作。标准裸金属不支持安全组，需要系统内配置iptable。 网卡 默认设置主网卡，用户可根据需求设置扩展网卡。 弹性IP 弹性IP将公网IP地址和物理机绑定，通过此绑定，虚拟私有云内的物理机可以使用固定的公网IP地址对外提供访问。 可以根据实际情况选择以下三种方式：不使用：物理机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需物理机进行使用。 自动分配：自动为每台物理机分配独享带宽的弹性IP，可选带宽规格为1~300Mbps。使用已有：为物理机分配已有弹性IP，使用已有弹性IP时，不能批量创建物理机。

参数 说明 虚拟私有云 物理机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。 您可以选择使用已有的虚拟私有云网络，或者单击“控制中心创建”创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间物理机的访问控制，加强物理机的安全保护。用户可以在安全组中定义各种访问规则，当弹性裸金属加入该安全组后，即受到这些访问规则的保护。当您需要修改安全组时，请前往管理安全组进行操作。标准裸金属不支持安全组，需要系统内配置iptable。 网卡 默认设置主网卡，用户可根据需求设置扩展网卡。 弹性IP 弹性IP将公网IP地址和物理机绑定，通过此绑定，虚拟私有云内的物理机可以使用固定的公网IP地址对外提供访问。 可以根据实际情况选择以下三种方式：不使用：物理机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需物理机进行使用。 自动分配：自动为每台物理机分配独享带宽的弹性IP，可选带宽规格为1~300Mbps。使用已有：为物理机分配已有弹性IP，使用已有弹性IP时，不能批量创建物理机。

本文主要介绍云专线的产品优势。 稳定时延 专线接入提供了高可靠的服务保证，单线接入可用性高，满足您的网络连接需求。 高安全性 用户通过云专线接入，用户独占网络链路，无惧数据泄露风险。 对上层应用透明承载，可承载数据、语音、视频等综合应用。 多端口多协议 天翼云专线接入支持100M、10G二种接入端口，支持MSTP、IPRAN、MPLS等多种接入协议，满足您多样网路接入需求。 支持大带宽 天翼云专线接入单线路最大支持10Gbps带宽连接。 稳定可靠 提供中国电信高质量链路，提供冗余方案，运营商级网络保障。 专用网络传数据，免去拥堵或故障绕行带来的时延，传输速率更有保障，传输更稳定。 接入方便 客户侧可选择IP虚拟专网、点到点专线等多种接入方式，可根据业务需求灵活选择。 每种接入方式均可与互联网接入同时使用，实现管理流量、业务流量分离。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RocketMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RocketMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RocketMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RocketMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RocketMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

云网紧密融合 充分体现中国电信云网融合的综合资源差异化优势，形成面向客户的一点上云、云间互联的新型服务形态。 高扩展性 新增节点云主机或VPC接入，以补点方式入网，即可实现对该客户全部站点的互通，可降低客户的组网成本。 高安全性 承载云间高速业务的主体DCI网络与资源池接入网络（如CN2、ChinaNet等）物理分离。 云间高速的客户业务承载，通过虚通道隔离客户数据，降低受公众网络、以及其他客户网络攻击的风险。

本页介绍天翼云TeleDB数据库扩容实例、规格扩容和磁盘扩容。 本章节用于指导如何在依赖统一PaaS平台的环境上对telepg实例扩容。 前提条件 1. 已部署好telepg后端控制台。 2. 已在统一PaaS平台上配置了Postgresql数据库应用的资源池版本。 操作步骤 1. 扩容实例 1. 使用租户管理员(租户拥有者) 登录到统一PaaS平台，进入Telepg控制台，选择对应实例 ，单击更多 > 扩容。 2. 跳转进入云翼平台，显示对应待操作的实例，单击更多 > 扩容。 3. 根据扩容需要选择对应列表页，其中telepg支持按规格扩容和磁盘扩容。 按规格扩容是根据当前实例规格信息及其配置的可扩容规格，进行节点扩容。 例如：机器规格扩容：从实例规格2核4G扩容为4核8G,节点数保持不变。 4. 磁盘扩容是对当前实例的机器挂载磁盘进行扩容，常用于云硬盘扩容。 2. 按规格扩容实例机器规格扩容 若当前实例规格为高可用版2核4G，扩容目标实例规格为高可用版4核8G 。您可参考如下步骤实现： 1. 选择按规格扩容 页签，扩容规格选择为高可用版4核8G。 2. 单击检测 ，检测当前资源池是否有相应资源支持该规格扩容。 3. 单击预览 ，查看待扩容信息。 4. 单击扩容，即可完成机器规格扩容。 3. 磁盘扩容 若当前实例磁盘规格大小为50G，扩容目标实例磁盘规格大小为100G。 1. 选择磁盘扩容 页签，在对应节点中，分区大小扩容后选择目标磁盘规格为100G。 2. 单击预览，查看待扩容信息。 3. 单击提交，即可完成磁盘扩容。 4. 查看扩容工单 在云翼平台中，进入我的订购 菜单页面，在我的订单中查询对应的扩容工单。

该任务用于指导用户对实例节点进行扩容。 本章节用于指导如何在依赖统一PaaS平台的环境上对telepg实例扩容。 前提条件 1. 已部署好telepg后端控制台。 2. 已在统一PaaS平台上配置了Postgresql数据库应用的资源池版本。 3. 扩容实例 1. 使用租户管理员(租户拥有者) 登录到统一PaaS平台，进入Telepg控制台，选择对应实例 ，单击更多 > 扩容。 2. 跳转进入云翼平台，显示对应待操作的实例，单击更多> 扩容。 3. 根据扩容需要选择对应列表页，其中telepg支持按规格扩容和磁盘扩容。 按规格扩容是根据当前实例规格信息及其配置的可扩容规格，进行节点扩容。 4. 例如：机器规格扩容：从实例规格2核4G扩容为4核8G,节点数保持不变。 5. 磁盘扩容是对当前实例的机器挂载磁盘进行扩容，常用于云硬盘扩容。 4. 按规格扩容机器规格扩容 若当前实例规格为高可用版2核4G，扩容目标实例规格为高可用版4核8G 。您可参考如下步骤实现： 1. 选择按规格扩容 页签，扩容规格选择为高可用版4核8G。 2. 单击检测 ，检测当前资源池是否有相应资源支持该规格扩容。 3. 单击预览 ，查看待扩容信息。 4. 单击扩容 ，即可完成机器规格扩容。 5. 磁盘扩容 若当前实例磁盘规格大小为50G，扩容目标实例磁盘规格大小为100G。 1. 选择磁盘扩容 页签，在对应节点中，分区大小扩容后选择目标磁盘规格为100G。 2. 单击预览，查看待扩容信息。 3. 单击提交，即可完成磁盘扩容。 6. 查看扩容工单 在云翼平台中，进入我的订购 菜单页面，在我的订单中查询对应的扩容工单。

参数名称 说明 虚拟私有云 您可以选择使用区域中已有的虚拟私有云（Virtual Private Cloud，VPC）网络，或者单击“查看虚拟私有云”，跳转到VPC管理控制台创建新的虚拟私有云。 说明 l 请选择Agent安装节点（应用端或数据库端）所在的VPC。 l 不支持修改VPC。若要修改，请退订后重购。 安全组 您可以选择区域中已有的安全组，或者在VPC管理控制台创建新的安全组。选择实例的安全组后，该实例将受到该安全组访问规则的保护。 子网 您可以选择VPC中已配置的子网，或者在VPC管理控制台为VPC创建新的子网。 实例名称 您可以自定义实例的名称。

本章节介绍故障演练服务中演练执行管理功能。 概述 演练执行阶段，用户可以手动触发故障、实时观测系统指标、恢复已经注入的故障，并记录最终演练结论。 发起新演练 1. 在演练管理 列表中找到希望执行的演练任务 ，单击操作列的执行演练 按钮，进入演练执行记录页面。 2. 在演练执行记录 页面，单击左上角的发起新演练按钮。 3. 在弹出的对话框中，为本次执行实例填写一个明确的名称 ，然后单击确定。 4. 系统将自动跳转到本次演练的运行详情 页，也可以在演练执行记录 列表中找到对应执行实例，并单击详情进入。 环境预检测 进入演练运行详情 页后，系统会自动执行环境预检测，以检查探针状态、网络通路等前置条件。 可以点击查看检测详情，查看整体预检测情况。 可以点击重新检测，手动触发新一轮环境检测。 可以在每个动作组卡片上查看其独立的检测结果。 说明 发起演练时，系统会对所有演练资源进行故障注入依赖检查，可在导航栏查看所有动作组资源的检查情况，也可在各个动作组的环境预检测结果处查看指定动作组的资源检查情况。 环境检测不通过仍然可以执行演练，只是在演练过程中可能会有部分故障动作执行失败，由业务自行抉择。

本章节主要向您介绍虚拟私有云VPC的功能。 VPC提供丰富的功能供您灵活配置服务，构建多元化组网。 VPC的基本功能：虚拟私有云、子网、路由表和路由、虚拟IP、弹性网卡、辅助弹性网卡。 VPC的网络安全功能：安全组、网络ACL、IP地址组。 VPC的网络连接功能：VPC对等连接。 VPC的网络运维功能：VPC流日志、流量镜像。 功能名称 功能描述 虚拟私有云 虚拟私有云VPC是您在云上的私有网络，为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表等。此外，您可以通过弹性公网IP连通云内VPC和公网网络，通过云专线、虚拟专用网络等连通云内VPC和线下数据中心，构建混合云网络，灵活整合资源。 子网 子网是虚拟私有云内的IP地址集，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重复。 路由表和路由 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。VPC中的每个子网都必须关联一个路由表，一个子网只能关联一个路由表，但一个路由表可以同时关联至多个子网。 虚拟IP 虚拟IP（Virtual IP Address）是从VPC子网网段中划分的一个内网IP地址，是一种可以独立申请和删除的内网IP地址，适用于以下场景： 将一个或者多个虚拟IP同时绑定至一个云主机，可以通过任意一个IP地址（私有IP/虚拟IP）访问云主机。通常当单个云主机内同时部署了多种业务，此时可以通过不同的虚拟IP访问各个业务。 将一个虚拟IP同时绑定至多个云主机，虚拟IP需要搭配高可用软件（比如Keepalived），用来搭建高可用的主备集群。 弹性网卡 弹性网卡即虚拟网卡，您可以通过创建并配置弹性网卡，并将其附加到您的ECS实例上，实现灵活、高可用的网络方案配置。 辅助弹性网卡 辅助弹性网卡是一种基于弹性网卡的衍生资源，用于解决单个云主机实例挂载的弹性网卡超出上限，不满足用户使用需要的问题。辅助弹性网卡通过VLAN子接口挂载在弹性网卡上，您可以通过创建辅助弹性网卡，使单个云主机实例挂载更多网卡，实现灵活、高可用的网络方案配置。 安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 IP地址组 IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。 VPC对等连接 对等连接是建立在两个VPC之间的网络连接，不同VPC之间网络不通，通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 IPv4/IPv6双栈网络 IPv4/IPv6双栈可为您的实例提供两个不同版本的IP地址：IPv6地址在被加入共享带宽后，可以进行公网访问。 VPC流日志 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 流量镜像 VPC流量镜像功能可以镜像弹性网卡符合筛选条件的报文。您需要设置入方向和出方向的筛选条件，经过弹性网卡的流量符合筛选条件时，将被镜像到指定的云主机网卡，适用于网络流量检查、审计分析以及问题定位等场景。

维度 弹性文件服务 对象存储 云硬盘 概念 弹性文件服务提供了一个高度可扩展的文件系统，可在云环境中共享文件数据。具有高可用性、持久性和可靠性。 对象存储具有高度的可扩展性和耐久性，可以存储任意类型的海量数据，并且能够自动处理数据冗余、故障恢复和数据分发。 云硬盘提供了高性能、低延迟、可扩展的块级存储。云硬盘可以被挂载到弹性云主机或物理机上，使其能够持久化地存储数据。 存储方式 弹性文件服务采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 对象存储将数据存储为独立的对象。每个对象由数据本身和与之相关的元数据（例如文件名、文件类型、大小等）组成。 云硬盘采用块存储方式。块存储将数据分为固定大小的块（通常为几KB或几MB），并通过唯一的块地址进行访问。 访问方式 弹性文件服务通过网络共享的方式进行访问。用户可以在需要的弹性云主机实例或容器实例上挂载文件系统，并通过标准的文件系统接口（如NFS、SMB等）访问共享的文件系统。 对象存储需要指定桶地址，通过HTTP或HTTPS等传输协议进行访问。 云硬盘类似于PC机的硬盘，无法单独使用，通常通过挂载（Mount）的方式来访问。它可以被挂载到弹性云主机或物理机上，使其在操作系统中可见。 适用场景 如应用程序的配置文件、日志文件等需要共享的文件数据以及在容器化应用中支持多个容器实例之间的数据共享和同步。 如大数据分析，数据湖，数据备份和归档等大规模数据存储和分析场景；静态网站托管解决方案存储。 如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化；大规模数据处理与分布式计算等高性能计算场景。 容量 弹性文件服务可按需扩展，单文件系统容量默认最大为32TB。如需更大容量的文件系统，可提工单申请。 对象存储服务没有容量限制，存储资源可无限扩展。 云硬盘支持按需扩容，最小扩容步长为1 GB，单个云硬盘可由10 GB扩展至32 TB。 是否支持数据共享 是 是 是 是否支持远程访问 是 是 否

维度 弹性文件服务 对象存储 云硬盘 概念 弹性文件服务提供了一个高度可扩展的文件系统，可在云环境中共享文件数据。具有高可用性、持久性和可靠性。 对象存储具有高度的可扩展性和耐久性，可以存储任意类型的海量数据，并且能够自动处理数据冗余、故障恢复和数据分发。 云硬盘提供了高性能、低延迟、可扩展的块级存储。云硬盘可以被挂载到弹性云主机或物理机上，使其能够持久化地存储数据。 存储方式 弹性文件服务采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 对象存储将数据存储为独立的对象。每个对象由数据本身和与之相关的元数据（例如文件名、文件类型、大小等）组成。 云硬盘采用块存储方式。块存储将数据分为固定大小的块（通常为几KB或几MB），并通过唯一的块地址进行访问。 访问方式 弹性文件服务通过网络共享的方式进行访问。用户可以在需要的弹性云主机实例或容器实例上挂载文件系统，并通过标准的文件系统接口（如NFS、SMB等）访问共享的文件系统。 对象存储需要指定桶地址，通过HTTP或HTTPS等传输协议进行访问。 云硬盘类似于PC机的硬盘，无法单独使用，通常通过挂载（Mount）的方式来访问。它可以被挂载到弹性云主机或物理机上，使其在操作系统中可见。 适用场景 如应用程序的配置文件、日志文件等需要共享的文件数据以及在容器化应用中支持多个容器实例之间的数据共享和同步。 如大数据分析，数据湖，数据备份和归档等大规模数据存储和分析场景；静态网站托管解决方案存储。 如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化；大规模数据处理与分布式计算等高性能计算场景。 容量 弹性文件服务可按需扩展，单文件系统容量默认最大为32TB。如需更大容量的文件系统，可提工单申请。 对象存储服务没有容量限制，存储资源可无限扩展。 云硬盘支持按需扩容，最小扩容步长为1 GB，单个云硬盘可由10 GB扩展至32 TB。 是否支持数据共享 是 是 是 是否支持远程访问 是 是 否

说明：本章节会介绍如何在控制台设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： − ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 − ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 n 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 n 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 登录管理控制台。 在系统首页，单击“网络 > 虚拟私有云”。 在左侧导航树选择“访问控制 > 安全组”。 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 根据界面提示配置安全组规则。 单击“确定”。

操作场景 本节为您介绍如何通过TeleCloudShell远程登录到Windows弹性云主机上。 约束与限制 云主机状态处于“运行中”中。 云主机所在安全组入方向已配置以下相关安全组规则：（安全组规则设置可参考：添加安全组规则）。 授权策略 优先级 协议类型 端口范围 授权对象 允许 1 TCP 3389（默认） 通过公网连接：添加182.43.5.0/24。 通过私网连接：添加198.19.128.0/20。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 选择“计算 > 弹性云主机”。 4. 选择要登录的Windows弹性云主机，单击“操作”列的“远程登录”，弹出可选登录方式的远程登录窗口。 5. 单击通过TeleCloudShell远程登录的“立即登录”。 6. 在TeleCloudShell登录页面，完成云主机连接信息的配置，点击“确定”。 说明 1. 默认情况下，TeleCloudShell在连接Windows云主机时，会默认使用RDP默认端口（3389），您也可在登录界面修改目标实例的连接端口，但需要注意与设置云主机安全组时的端口对应。 2. 连接Windows云主机仅支持密码认证，您需根据界面输入用户名（默认administrator）和密码。 3. 支持通过弹性云主机的公网IP和私网IP进行连接。 4. 通过TeleCloudShell连接Windows弹性云主机时，底层使用RDP协议进行连接。 7. 登录成功界面如图所示。

对于首次使用边缘安全加速平台的初次使用者,如果在熟悉各模块之前,又希望快速实现业务接入,一次配置就获得较优的加速效果,可通过参照本实践案例,从服务开通、域名配置、业务验收、CNAME切量等步骤入手,实现一步到位完成业务接入的目的。 背景信息 对于首次使用边缘安全加速平台的初次使用者，如果在熟悉各模块之前，又希望快速实现业务接入，一次配置就获得较优的加速效果，可通过参照本实践案例，从服务开通、域名配置、业务验收、CNAME切量等步骤入手，实现一步到位完成业务接入的目的。 前提说明 本实例，针对加速场景同时有动静态内容，如文字，图片，视频等静态可缓存内容，以及接口类、在线交易类需要实时回源的动态内容的加速。 业务场景 加速域名：ctyun.cn1 加速内容：文字、图片、接口等。 加速区域：仅中国内地，即该网站的用户都集中在中国内地。 业务要求：客户自己提供源站，对传输安全性要求高，因此推荐客户使用https安全传输协议。 操作流程 步骤一 ： 在创建域名之前，需要先通过天翼云官网进行注册和实名制认证、开通边缘安全加速平台的安全与加速服务。步骤详见：开通安全与加速服务。 步骤二 ：安全与加速服务开通后，就可以通过客户控制台来进行创建域名，点击进入客户控制台。 步骤三 ： 在客户控制台的域名管理页面可以添加域名并配置。域名创建成功的标志是，在域名列表中，域名状态为已启动并且可以查到新建域名的CNAME地址。 为获得更优的加速效果，建议如下配置方案： 1. 指定CDN回源请求访问到源站上的具体站点。 源站是域名时，例如，源站为www.ctyun.cn1，回源HOST为www.ctyun.cn，那么实际回源是请求到www.ctyun.cn1解析到的IP: A，对应IP为A主机上的站点www.ctyun.cn。 源站是IP时，例如，源站为1.1.1.1，回源HOST为www.ctyun.cn2，那么实际回源的是1.1.1.1对应主机上的站点www.ctyun.cn2。 2. 开启HTTPS功能，提高数据传输安全。 3. 开启IPv6功能，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 4. 通过配置静态缓存策略提升静态内容缓存命中率。 5. 通过动态加速配置多种回源策略实现动态内容最优路径提速回源。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据全站加速节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。目前客户控制台上默认所有源站权重相同，如您需要对不同源站配置不同的权重，请提交工单申请。 保持登录：基于客户端IP进行哈希，保证相同客户端IP的多次请求始终访问到相同的源站。 步骤四 ： 在客户控制台成功添加加速域名后，为保证DNS解析顺利切换而不影响现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。 具体流程如下： 1.获取加速域名CNAME 在天翼云客户控制台的域名管理页面，复制加速域名对应的CNAME记录值。 2.获取CNAME对应的边缘节点IP 通过ping（Windows）或dig（MAC） CNAME记录的方式，如 ping .ctdns.cn获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3.本地HOST绑定边缘节点IP 用户修改本地电脑“C:WindowsSystem32Driversetc”的hosts文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而可以通过本地电脑来验证加速域名对应的相关业务功能和场景；如遇到修改后的host文件无法访问，可参考如下步骤： Hosts文件无法保存解决方法： Hosts文件无法修改可能是因为没有管理员权限所致的，完成以下的设置后，当我们修改了Hosts文件后就可以顺利保存了。 1. 打开“计算机”，依次进入“C:WindowsSystem32Driversetc”（不同系统不同版本下，该文件的位置可能不同，仅供参考），找到hosts文件。 2. 先选择“hosts”文件，打开其“属性”。 3. 切换到“安全”选项卡，点击“高级”。 4. 在“权限”下，点击“更改权限”。 5. 点击“添加”，增添一个新权限。 6. 点击“高级”进入高级设置。 7. 选择“立即查找”，并在下方选择当前的系统账户，点击“确定”将其打开。 8. 将“完全控制”勾上允许，并点击“确定”。 9. 此时弹出一个安全警告窗口，点击“是”即可。 4.验证内容： 成功绑定hosts文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在hosts文件中绑定的IP一致，表示配置正确。如果访问到的IP和您在hosts文件中绑定的IP不一致，表示配置不正确，您需要检查hosts文件中绑定的IP地址是否正确，确保该IP地址是CNAME地址的IP。 在电脑本地成功访问加速域名绑定的IP后，您可以基于自己的测试用例，或者必要的核验步骤，验证相关功能的准确性，如果功能验证不如预期，请提工单联系运维处理。 步骤五 ：如果您在步骤四的验证均正常，或者您通过其他方式已完成功能的验收测试，证明配置已经符合切量解析条件。为了实现正式的全站加速，您需要在域名解析服务商处将加速域名的DNS解析记录指向天翼云为您分配的CNAME域名，访问请求才能转发到CDN节点上，实现加速。 配置CNAME的步骤如下： 1.在天翼云客户控制台的域名管理页面，复制加速域名对应的CNAME记录值。 2.前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 3.验证CDN服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录需要较长时间生效。您可以 ping 或 dig 您所添加的加速域名，如果被指向配置的CNAME即表示配置已经生效。

说明：本章节会介绍天翼云关系型数据库如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本文向您介绍当云主机出现端口不通的情况时请应怎样排查。 问题现象 云主机端口不通，会导致云主机之间无法通信或云主机无法对外服务，会影响应用或服务间的调用，或者用户对服务的访问。 根因分析 可能有以下几种原因导致端口不通： 1. 在控制台界面，云主机所在安全组未放行该端口； 2. 应用服务配置存在问题，对外服务端口未被正常监听； 3. 操作系统内，防火墙配置策略异常，如防火墙未放行端口访问。 问题定位步骤 本文分别对Windows和Linux操作系统的远程连接端口进行排查，以下为操作步骤。 Windows 操作系统 此部分以Windows Server 2012操作系统的云主机为示例，对云主机无法远程连接问题的定位步骤。 步骤1：排查安全组是否放通Windows远程连接端口3389。 1. 登录控制中心，选择云主机所在区域，点击“弹性云主机”进入云主机控制台。 2. 在云主机列表，点击需要远程连接的云主机实例名称。 3. 点击“安全组”页签，查看安全组规则。 4. 检查云主机所在的安全组是否已添加3389入方向的安全组规则。 步骤2 ：排查端口是否正常被监听。 在Windows操作系统中打开cmd窗口，执行如下命令。 plaintext netstat ano findstr :3389 如果回显信息如下则说明3389端口正常全网监听。否则，请开启监听。 步骤3 ：排查防火墙已经放行服务。 1. 单击“控制面板”>“Windows防火墙”。 2. 根据防火墙状态，如果防火墙处于关闭状态，且您不需要使用防火墙，则无需再做其他处理。 3. 如果防火墙处于开启状态，则单击“高级设置”。 4. 在弹出窗口的左侧导航栏中，单击“入站规则”。 5. 右键“入站规则”>新建入站规则>选择“端口”>填写“需要放开的端口”完成配置。

接口功能介绍 基线检测编辑白名单 接口约束 无 URI POST /v1/sca/check/update 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 checkidList 否 Array of Integers 检查项Id数据，需要加白的检测项id [160001] osType 否 String 操作系统类型 Linux/Windows Linux id 是 Integer 待编辑的白名单条目id 10001 effectScope 是 String 作用范围 ALL全选 OPTIONAL自选 ALL agentGuids 否 Array of Strings guid列表 effectScopeOPTIONAL自选必填 ["111111"] description 否 String 白名单描述 test 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

一键检测readonly如何理解？ 一键检测readonly可以自动检测集群主备所有分片节点，当发现zk中节点为master但实际info角色为slave的会被认为readonly异常，在一键检测readonly子页面中可以通过操作来完成集群的readonly异常修复。 这种自动检测和修复的流程有助于提高系统的稳定性和可维护性，减少人为错误和手动操作的需求。通过一键操作，用户可以方便地识别和解决集群中的 readonly 异常，确保 Redis 集群正常运行。 实例账户权限控制？ 每一个集群版缓存实例可以创建多个子账户，每个子账户有三个属性，子账户名，子账户密码以及子账户的读写属性，缓存客户端的使用鉴权方式保持一致，如jedis.auth(“子账户名 子账户密码”)。 其中只读账户对缓存数据的操作是只读的，读写账户对缓存数据是读写的。通过不同账户的读写权限控制，可保证缓存实例的操作更加安全可靠。 集群版是否支持多key操作？ 支持。首先单机主备天然支持多key操作，其次针对集群架构实例场景下，access代理层会将key列表解析出来，分别构造不同redis分片的协议，经过代理层收集完get结果后再构造协议统一返回给客户端，应用就像操作单机主备一样来操作proxy集群实例。 在 Redis 集群中，多key操作指的是能够同时对多个key执行操作的命令，这些操作可以是读取、写入或其他类型的操作。Redis 集群在设计上分为多个节点，每个节点负责管理部分数据。当进行多key操作时，Redis 集群会自动将这些key分发到相应的节点上，然后执行相应的操作。这确保了在分布式环境下的高效操作。

本节主要介绍分布式缓存Redis的连接约束 分布式缓存服务Redis实例可以被兼容Redis协议的任何客户端访问。您可以根据自己的应用需求选择适合的Redis客户端。有关Redis支持的客户端列表，请参考Redis官网，有关各客户端的连接方式，请参考通过客户端连接方式。 使用分布式缓存Redis实例前，请注意以下约束条件： 1.Redis默认安全组未配置规则时，禁止所有入站流量。如需允许同VPC内云主机访问，必须显式添加允许Redis服务端口（6379）的入站规则。 2.在您的弹性云主机安装客户端后，必须要与需要连接的Redis实例处于同一虚拟私有云（VPC）内，并配置相同的安全组。如果使用不同的安全组，则您需设置安全组连通规则，以确保弹性云主机与Redis实例之间的网络连接正常。目前暂不支持弹性云主机与Redis实例跨VPC访问。 3.当使用公网访问Redis实例时，Redis缓存实例配置了正确的安全组规则，其安全组入方向规则，必须允许外部地址访问实例端口。具体配置请参考常见问题网络与连接如何配置安全组。

备案过程中任何问题都可以工单、在线、电话的形式咨询备案专员。 工单：天翼云官网（www.ctyun.cn）——右上方“我的”——工单管理——新建工单 在线客服：点击官网智能客服 电话：40081098893 1、登录天翼云门户www.ctyun.cn，点击备案 2、点击开始备案。 3、选择立即备案，填写单位信息 4、点击“详情”去录入信息 5、如实填写主办单位信息，单位名称要和取得域名的单位名称要保持一致 6、填写单位负责人信息，即单位的法人 7、点击下一步“填写网站/APP信息” 8、注意，如果单位的经营范围（以营业执照上的内容为准）涉及到前置审批，需要额外上传相应的经营许可证，如政府部门颁发的网络游戏许可证、金融许可证等。 9、填写备案的IP，如果IP在此提交备案的账号下，可以选择“使用自有接入服务号”，会直接弹出该IP的信息。如果IP不在此账号下，可以选择“使用他人接入服务号”。 他人接入服务号查询路径：登录IP所属天翼云账号，天翼云官网（ctyun.cn）首页备案我的备案接入服务号管理。 以上方法如无法查询到接入服务号，可以提交工单，工单中写明公网IP地址，由备案客服后台查询告知您接入服务号，多个服务号之间用英文分号分隔。 10、确认备案信息，点击“下一步，上传备案材料” 11、建议选择“通过微信小程序采集图片”，此步骤会通过手机进行网站负责人的活体验证，免去传统备案方式的邮寄幕布拍照过程，缩短备案所需时长，方便快捷 12、扫描二维码，进入微信小程序，以下操作均由网站负责人进行，务必使用网站负责人的手机和微信号进行操作 13、弹出如下界面 14、选择授权 15、上传单位负责人（法人）的身份证照片、营业执照的照片（要用高清照片拍摄，否则会提示翻拍导致识别失败），请在识别文字后确认单位名称文字显示是否准确，单位名称中带有标点符号，请注意输入格式 16、网站负责人进行活体验证，需要手机开启摄像头，进行点头，摇头等操作。注意，需要用白色背景拍摄 17、完成图片采集完成后会自动生成 18 位验证码，需将验证码填报至下图指定位置后，点击“确定”按钮，系统会自动将图片对应到相应位置 18、检查图片并提交审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。 审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行审核；提交管局后，请主体和网站负责人收到验证短信后（发信号码12381），在24 小时内按照短信指引完成，否则会被管局退单；反之，审核拒绝，退回备案信息给备案发起人进行修改。

本节介绍了DDoS高防（边缘云版）概览页功能。 使用场景 概览页集成了DDoS高防（边缘云版）服务的重要指标和核心功能的入口，帮助您快速了解业务数据以及遭受的DDoS攻击详情。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1. 登录DDoS高防（边缘云版）控制台。 2. 进入【概览】页面，您即可使用如下功能，您可以指定时间查询。 功能 功能子项 说明 查询时间 提供快捷时间选项（昨日，今日，7天，30天）及自定义时间选择功能。指定时间后，卡片栏，业务带宽，CC攻击区域分布会展示对应时间的数据。 卡片栏展示 业务带宽峰值 防护业务的正常业务流量，等于源站上行流量与下行流量之和。 卡片栏展示 攻击事件数 DDoS网络层攻击事件数及CC攻击事件数之和。 卡片栏展示 DDoS防护带宽峰值 清洗前入向攻击流量的带宽峰值。 卡片栏展示 CC攻击峰值 经过网络层攻击过滤之后，应用层攻击QPS峰值。 业务带宽 展示业务带宽的趋势图，单位Mbps。鼠标移入可展示具体时间点的具体流量大小。支持移动时间轴将业务带宽趋势图进行放大及缩小，便于查看。 CC攻击区域分布 展示CC攻击事件中，攻击源IP的地区分布。不同颜色代表不同地区请求次数的范围。 基础信息 展示了服务接入的基本信息，包括接入的网站数，端口数量，上传的证书数量，以及即将过期的证书数量。点击可跳转到具体的列表进行查看。 计费详情 展示了服务开通的基本信息，包括套餐支持的业务带宽峰值，防护带宽峰值及CC防护峰值。点击“更多详情”可跳转计费详情页面。 应用漏洞 展示最新披露的CVE漏洞信息。

安全审计 支持对用户登录日志、系统管理操作日志进行审计。 支持对字符操作、图形运维、文件操作及传输、数据库运维产生的会话日志统一审计，同时支持字符操作、图形运维操作全程审计录像及回放。 为什么选择云堡垒机 开通和使用非常便捷： 您只需选择产品版本、实例规格、资产规格，为云堡垒机实例指定实例开通地域、配置相关网络参数即可开通。 开通完成后，您可以在控制台上快捷登入云堡垒机，管理运维您的服务器、数据库等IT资产。 满足合规性规范审查要求： 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求。 满足等级保护、ISO/IEC27001等对运维审计的要求。 云原生堡垒机更安全： 云原生堡垒机运行操作系统及网络安全防护策略统一实现安全加固，缩小攻击面。 租户之间严格网络隔离、实例和数据隔离，各堡垒机实例环境独立，保障系统运行安全。

本节介绍如何为子账号配置统一身份认证（IAM）的云等保专区控制台权限。 统一身份认证（Identity and Access Management，简称IAM）服务，是提供给用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。 默认情况下，天翼云主账号拥有所有权限，而主账号创建的IAM子账号没有任何权限。IAM子账号需要授权相应策略，或加入用户组并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 说明 如需要为子账号配置购买权限，还需要配置支付下单，弹性IP、弹性云主机等权限，具体策略请参见依赖策略说明。 云等保专区IAM策略，仅针对云等保专区的控制台，若想具体查看各原子能力的控制台或系统，还需针对各原子能力配置对应的策略，具体请参考云等保专区IAM策略说明。 云等保专区IAM策略说明 云等保专区提供如下系统策略： 策略名称 策略描述 类别 授权范围 云等保商用管理员 拥有云等保专区控制台所有权限，可操作云等保控制台所有的菜单。 系统策略 全局级 云等保业务管理员 拥有云等保专区控制台所有操作权限，但无法进行新购，续订，升配，退订相关订单操作。 系统策略 全局级 云等保云安全中心 仅可查看、操作云等保专区云安全中心菜单；其他原子能力菜单不可见。 系统策略 全局级 云等保主机安全 仅可查看、操作云等保专区主机安全菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保Web应用防火墙 仅可查看、操作云等保专区Web应用防火墙菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保下一代防火墙 仅可查看、操作云等保专区下一代防火墙菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保堡垒机 仅可查看、操作云等保专区堡垒机菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保漏洞扫描 仅可查看、操作云等保专区漏洞扫描菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保数据库审计 仅可查看、操作云等保专区数据库审计菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保日志审计 仅可查看、操作云等保专区日志审计菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保安全体检 仅可查看、操作云等保专区安全体检菜单，其他原子能力菜单不可见。 系统策略 全局级 部分v2.0原子能力需要单独配置原子能力IAM权限才可使用，具体请参考下表： 能力名称 参考链接 主机安全v2.0 主机安全v2.0权限管理 Web应用防火墙v2.0 Web应用防火墙v2.0权限管理 下一代防火墙v2.0 下一代防火墙v2.0权限管理 数据库审计v2.0 数据库审计v2.0权限管理 堡垒机v2.0 堡垒机v2.0权限管理

规格 说明 适用场景 通用型 共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。 适用于不会经常或始终用尽vCPU性能的场景，如小型网站、轻量级研发测试环境、小型数据库等。 计算增强型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，提供更大规格的CPU和内存组合。 适用于计算密集型业务等场景，如大型网站、电商营销等。 内存优化型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，CPU和内存配比可达1:8。 适用于高内存计算应用，如大数据分析、核心数据库等。

云搜索服务支持哪些访问方式？ 云搜索服务支持以下访问方式： Restful API Transport Client Rest Client 使用Transport Client访问云服务时，需要确保客户端与服务端的版本一致，否则可能出现无法访问的情况。 Transport Client不推荐使用，建议使用High Level Rest Client。 云搜索服务中是否支持开源Elasticsearch的API或功能？ 兼容开源 Elasticsearch 和 OpenSearch 软件原生接口，并支持 Logstash、Beats、 Kibana 等周边生态。 云搜索服务是否支持Logstash对接？ 支持Logstash对接，用户需要申请一台ECS来安装Logstash并进行配置。 云搜索服务支持哪些搜索功能？ 云搜索服务支持的搜索功能包括强大的全文检索，高亮显示，切面搜索，近实时索引，动态聚类，丰富的文档（如Word、PDF等格式）处理和地理信息搜索等。 为什么集群创建失败？ 集群创建失败原因有如下3种： 资源配额不足，无法创建集群。建议申请足够的资源配额。 如果集群配置信息中，“安全组”的“端口范围/ICMP类型”不包含“9200”端口，导致集群创建失败。请修改安全组信息或选择其他可用安全组。 7.6.2以及7.6.2之后的版本，集群内通信端口9300默认开放在用户VPC的子网上面。创建集群时需要确认所选安全组是否放通子网内的9300通信端口，如果未放通，请修改安全组信息或选择其他可用安全组。 无法备份索引？ 索引的备份是通过创建集群快照实现的。遇到无法备份索引问题，请按照如下操作步骤排查解决。

告警类别 告警名称 告警级别 告警描述 默认 节点CPU使用率超阈值 紧急 DMS告警模块在指定周期内，检测到集群任意节点的CPU使用率（系统+用户）超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的CPU使用率（系统+用户）低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点系统CPU使用率超阈值 紧急 DMS告警模块在指定周期内，检测到集群任意节点的系统CPU使用率超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的系统CPU使用率低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点系统磁盘使用率超阈值 >85%紧急，>80%重要 DMS告警模块在指定周期内，检测到集群任意节点的系统盘（/）使用率超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的系统盘（/）使用率低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点日志盘使用率超阈值 >85%紧急，>80%重要 DMS告警模块在指定周期内，检测到集群任意节点的日志盘（/var/chroot/DWS/manager）使用率超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的日志盘（/var/chroot/DWS/manager）使用率低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点数据盘使用率超阈值 >85%紧急，>80%重要 DMS告警模块在指定周期内，检测到集群任意节点的数据盘（/var/chroot/DWS/data[n]）使用率超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的数据盘（/var/chroot/DWS/data[n]）使用率低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点系统盘I/O利用率超阈值 紧急 DMS告警模块在指定周期内，检测到集群任意节点的系统盘（/）I/O利用率（util）超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的系统盘（/）I/O利用率（util）低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点日志盘I/O利用率超阈值 紧急 DMS告警模块在指定周期内，检测到集群任意节点的日志盘（/var/chroot/DWS/manager）I/O利用率（util）超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的日志盘（/var/chroot/DWS/manager）I/O利用率（util）低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点数据盘I/O利用率超阈值 紧急 DMS告警模块在指定周期内，检测到集群任意节点的数据盘（/var/chroot/DWS/data[n]）I/O利用率（util）超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的数据盘（/var/chroot/DWS/data[n]）I/O利用率（util）低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点系统盘时延超阈值 重要 DMS告警模块在指定周期内，检测到集群任意节点的系统盘（/）I/O延时（await）超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的系统盘（/）I/O延时（await）低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点日志盘时延超阈值 重要 DMS告警模块在指定周期内，检测到集群任意节点的日志盘（/var/chroot/DWS/manager）I/O延时（await）超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的日志盘（/var/chroot/DWS/manager）I/O延时（await）低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点数据盘时延超阈值 重要 DMS告警模块在指定周期内，检测到集群任意节点的数据盘（/var/chroot/DWS/data[n]）I/O延时（await）超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的数据盘（/var/chroot/DWS/data[n]）I/O延时（await）低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点系统盘inode使用率超阈值 >95%紧急，>90%重要 DMS告警模块在指定周期内，检测到集群任意节点的系统盘（/）inode使用率超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的系统盘（/）inode使用率低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点日志盘inode使用率超阈值 >95%紧急，>90%重要 DMS告警模块在指定周期内，检测到集群任意节点的日志盘（/var/chroot/DWS/manager）inode使用率超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的日志盘（/var/chroot/DWS/manager）inode使用率低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 节点数据盘inode使用率超阈值 >95%紧急，>90%重要 DMS告警模块在指定周期内，检测到集群任意节点的数据盘（/var/chroot/DWS/data[n]）inode使用率超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；检测到集群任意节点的数据盘（/var/chroot/DWS/data[n]）inode使用率低于当前设定阈值，且抑制条件不满足时，DMS告警模块将消除该告警。 默认 查询语句触发下盘量超阈值 紧急 DMS告警模块在指定周期内，检测到集群中执行的SQL语句触发结果集下盘，下盘量超过当前设定阈值，且抑制条件不满足时，DMS告警模块将触发该告警；该告警为针对每个SQL语句下盘量的告警，因此无法自动消除，需要用户在处理完该告警所涉及的SQL语句后手动消除该告警项。 默认 查询语句堆积数量超阈值 紧急 DMS告警模块在指定周期内，检测到集群中处于等待状态的SQL语句数量超过当前设定阈值时，DMS告警模块将触发该告警；检测到集群中处于等待状态的SQL语句数量低于当前设定阈值时，DMS告警模块将消除该告警。 默认 集群默认资源池队列阻塞 紧急 DMS告警模块在指定周期内，检测到集群的默认资源池队列发生阻塞，且抑制条件不能满足时，DMS告警模块将触发该告警；检测到集群的默认资源池队列不再发生阻塞，DMS告警模块将消除该告警。 默认 集群的sql探针使用率超阈值 紧急 DMS告警模块在指定周期内，检测到任意集群的某个主机上出现sql探针耗时超过阈值，且抑制条件不能满足时，DMS告警模块将触发该告警；检测到任意集群的某个主机上不再出现sql探针耗时超过阈值时，DMS告警模块将消除该告警。 说明 该告警仅8.1.1.300及以上版本支持，历史版本需要联系技术支持人员升级dmsagent为8.1.3版本后支持。 自定义 用户自定义阈值告警名称 用户自定义告警级别 用户自定义阈值告警描述。

运维安全中心（云堡垒机）的相关服务协议查看 天翼云运维安全中心（云堡垒机）服务协议