本节主要介绍安全审计 操作场景 根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。 前提条件 已开通云审计服务且追踪器状态正常。 操作步骤 以审计最近两周云硬盘服务的创建和删除操作为例： 1. 以管理员权限登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。 3. 单击左侧导航树的“事件列表”，进入事件列表界面。 4. 在事件列表界面单击“筛选”，显示过滤条件查询框，依次选择“事件来源”>“资源类型”>“筛选类型”，单击“查询”按钮执行搜索，查看过滤结果。过滤条件查询示例：依次选择“evs”>“evs”>“按事件名称”>“createVolume”或“evs”>“evs”>“按事件名称”>“deleteVolume”，单击“查询”按钮执行搜索，查询所有创建或删除EVS的操作。 5. 单击左侧导航树的“追踪器”，进入追踪器详情页面，获取OBS桶名。 6. 参照查看已归档事件下载7天之前或者所有的事件。 7. 在操作记录中，以createVolume和deleteVolume作为关键字检索，找到对应记录。 8. 从第4步和第7步的结果中，抽取操作用户信息，甄别没有授权的操作，即用户越权操作，或不符合用户自身安全操作规范的操作。

本文为您介绍Web应用防火墙（原生版）的产品规格。 Web应用防火墙（原生版）提供两种WAF云SaaS模式 和WAF独享模式 两种模式。不同模式支持的接入方式、对应的服务版本不同。本文通过对比接入方式、服务版本规格的差异，帮助用户根据实际业务需求，快速选择适合的服务版本。 接入方式说明 Web应用防火墙（原生版）提供WAF云SaaS模式 域名接入 、WAF云SaaS模式 ELB接入 、WAF独享模式接入 三种接入方式，具体差异说明如下： 分类 WAF云SaaS模式 域名接入 WAF云SaaS模式 ELB接入 WAF独享模式接入 使用场景 适用于个人、政企、金融客户 支持天翼云、其他公有云、线下IDC等公网访问场景 大型企业网站，对业务稳定性有较高要求的安全防护需求 适用于业务资产在云上，有较高个性化配置和资源独享的用户安全防护需求 产品优势 弹性扩容能力强，通过升级规格可以扩容防护能力 支持IPv6防护 不改变业务架构，水平扩展防护能力 旁路部署，业务零影响 可靠性高 当WAF发生故障时，流量将直接通过ELB发送给后端，不影响客户正常业务 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低 业务部署位置 业务服务器部署在天翼云、非天翼云或线下 业务服务器部署在天翼云 业务服务器部署在天翼云 防护对象 域名 域名、IP（公网IP/私网IP） 域名、IP（公网IP/私网IP） 服务版本 基础版、标准版、企业版、旗舰版 标准版、企业版、旗舰版 单机版、集群版 接入指导 1. 购买WAF云SaaS型实例 2. 网站接入WAF防护（域名接入） 1. 购买WAF云SaaS型实例 2. 网站接入WAF防护（ELB接入） 1. 购买WAF独享型实例 2. 网站接入WAF防护（独享型接入）

操作场景 当您不再需要保护指定实例时，请执行删除保护实例操作，解除生产站点服务器和天翼云容灾站点间的复制关系。 删除保护实例不会删除生产站点的云服务器资源，对生产站点业务无影响。 使用须知 保护实例反向重保护后同步完成，删除保护实例，需要在云容灾网关服务器上手工卸载生产站点服务器原先的硬盘，然后在生产站点服务器再手工挂载原先的硬盘。 保护实例反向重保护后初始同步过程中，如果删除保护实例，生产站点服务器可能无法启动，建议等初始同步完成后再删除保护实例。 前提条件 待删除的保护实例有其它操作正在执行时，不可以执行删除操作。 操作步骤 1. 登录管理控制台。单击服务列表，选择“存储 > 存储容灾服务”。 2. 进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待删除的保护实例所在站点复制对的保护实例数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择待删除保护实例所在的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待删除的保护实例所在行操作列的“更多 > 删除”。如果需要批量删除保护实例，可同时勾选需要删除的保护实例，单击保护实例列表上方的“删除”。 6. 在弹出的确认对话框中，根据需求选择相应的操作。删除容灾站点的服务器/云硬盘： 1. 不勾选：生产站点服务器与天翼云容灾站点间的复制关系解除，但是会保留容灾站点的云服务器、及容灾站点服务器上挂载的云硬盘。 2. 勾选：生产站点服务器与天翼云容灾站点间的复制关系解除，并同步删除容灾站点服务器、及容灾站点服务器上挂载的云硬盘。如果不存在云服务器则直接删除云硬盘。 7. 单击“是”，删除保护实例。 8. 删除完成后，生产站点服务器将出现在“未保护的服务器”列表中。。 删除保护实例不会自动清理该保护实例创建的容灾演练，需在容灾演练页面进行删除。

本章介绍使用同一VPC内弹性云主机ECS上的go Redis客户端连接Redis实例的方法。 介绍使用同一VPC内弹性云主机ECS上的go Redis客户端连接Redis实例的方法。更多的客户端的使用方法请参考Redis客户端。 前提条件 已成功申请Redis实例，且状态为“运行中”。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》。 操作步骤 步骤 1 查看并获取待连接Redis实例的IP地址和端口。 具体步骤请参见查看实例信息。 步骤 2 登录弹性云主机。 弹性云主机操作系统，这里以Window为例。 步骤 3 在弹性云主机安装VS 2017社区版。 步骤 4 启动VS 2017，新建一个工程，工程名自定义，这里设置为“redisdemo”。 步骤 5 导入goredis的依赖包，在终端输入 go get github.com/goredis/redis 。 终端输入 步骤 6 编写如下代码： package main import ( "fmt" "github.com/goredis/redis" ) func main() { // 单机 rdb : redis.NewClient(&redis.Options{ Addr: "host:port", Password: "", // no password set DB: 0, // use default DB }) val, err : rdb.Get("key").Result() if err ! nil { if err redis.Nil { fmt.Println("key does not exists") return } panic(err) } fmt.Println(val) //集群 rdbCluster : redis.NewClusterClient(&redis.ClusterOptions{ Addrs: []string{"host:port"}, Password: "", }) val1, err1 : rdbCluster.Get("key").Result() if err1 ! nil { if err redis.Nil { fmt.Println("key does not exists") return } panic(err) } fmt.Println(val1) } 其中，host:port分别为Redis实例的IP地址以及端口。IP地址和端口获取见步骤1，请按实际情况修改后执行。为创建Redis实例时自定义的密码，请按实际情况修改后执行。 步骤 7 执行go build o test main.go 命令进行打包，如打包名为test可执行文件。 注意 若打包后需要在Linux系统下运行则需要在打包前设置： set GOARCHamd64 set GOOSlinux 步骤 8 执行./test连接实例。

参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“

本文主要介绍 修改DNS与添加安全组（Windows） 操作场景 本章节指导用户为Windows系统的ECS主机添加域名解析并添加安全组，防止下载Agent安装包与采集监控数据时出现异常。 修改ECS的DNS配置有两种方式：Windows图形化界面和管理控制台。您可以根据自己的使用习惯选择其中一种方式进行配置。 注：添加DNS服务解析和配置安全组针对的是主网卡。 修改DNS（Windows图形化界面） 本节介绍使用Windows图形化界面方式添加域名解析地址的操作步骤和方法。 1. 选择“服务列表 > 计算 > 弹性云主机”。通过VNC方式登录Windows弹性云主机。 2. 打开“控制面板 > 网络与共享中心”，单击“更改适配器配置”。 3. 右键单击使用的网络，打开设置，配置DNS。 图 添加域名解析地址（Windows） 注：100.125.0.250为示例说明，具体DNS请联系管理员获取。 修改DNS（管理控制台方式） 本节介绍登录管理控制台后修改ECS的DNS配置的操作步骤和方法。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 1. 在管理控制台左上角选择区域和项目。 2. 选择“服务列表 > 计算 > 弹性云主机”。 弹性云主机列表中，单击ECS名称查看详情。 3. 在“虚拟私有云”项单击虚拟私有云名称，进入“虚拟私有云”界面。 4. 在“VPC名称/ID”列表中，单击“vpc328c”。 5. 在“子网”列表中，单击“subnet328d”所在行“修改”。 弹出“修改子网”对话框，修改“DNS服务器地址1”为正确的DNS服务器IP地址。 注：subnet328d为该ECS的子网。 6. 单击“确定”，保存设置。 注：在控制台修改DNS需重启ECS或BMS后生效。

概念 说明 生产站点 正常情况下承载业务的数据中心机房，可以独立运行，对业务的正常运作起到直接支持作用。对于异步复制，生产站点指的是用户的本地数据中心。 容灾站点 正常情况下不直接承载业务的机房，主要用于数据实时备份，在生产站点发生故障（计划性和非计划性）时可以通过执行容灾切换来接管业务，地理上不一定与业务管理中心接近，可以在同一个城市，也可以在不同的城市。 保护组 用于管理一组需要复制的服务器。一个保护组可以管理一个虚拟私有云下的服务器，租户拥有多个虚拟私有云时则需要创建多个保护组。 保护实例 一对拥有复制关系的服务器。保护实例仅属于一个特定的保护组，因此这对服务器所在位置与保护组的生产站点或容灾站点相同。 VBD VBD（Virtual Block Device）是云硬盘磁盘模式的一种。云硬盘的磁盘模式默认为VBD类型。VBD类型的云硬盘只支持简单的SCSI读写命令。适用于企业的日常办公应用以及开发测试等场景。 SCSI SCSI（Small Computer System Interface）是云硬盘磁盘模式的一种。SCSI类型的云硬盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的云硬盘还可以支持更高级的SCSI命令，例如持久锁预留，适用于通过锁机制保障数据安全的集群应用场景。 RPO 恢复点目标，一种业务切换策略，是数据丢失最少的容灾切换策略。以数据恢复点为目标，确保容灾切换所使用的数据为最新的备份数据。 RTO 恢复时间目标，为使中断对业务所带来的冲击最小化，关键业务从中断时点恢复到预定可接受水平上的目标时间。具体体现为，从生产站点发起切换或故障切换操作起，至容灾站点的服务器开始运行为止的一段时间，不包括手动操作DNS配置，安全组配置或执行客户脚本等任何时间，RTO小于30分钟。 容灾演练 为了确保一旦发生故障切换后，容灾机能够正常接管业务而进行的操作。 通过容灾演练，模拟真实故障恢复场景，制定应急恢复预案，当真实故障发生时，通过预案快速恢复业务，提高业务连续性。

本文向您介绍Windows云主机如何配置多用户登录(Windows 2012)。 操作场景 本文档指导您配置Windows云主机实现多用户登录，以Windows Server 2012标准版R2中文版操作系统的云主机为例。 说明 远程桌面授权仅支持120天，过期后将因缺失远程桌面授权服务器许可证而导致多用户登录无法使用，需激活远程桌面授权。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考 操作须知 请确保云主机带宽资源充足，避免由于多用户同时操作负载过高导致云主机卡顿或登录异常。 所在安全组入方向已开放云主机登录使用的端口，默认使用3389端口。 云主机已经绑定弹性公网IP。 配置多用户登录后，不同的用户登录云服务器操作互相之间无影响。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考多用户登录Windows主机时无法打开浏览器。 操作步骤 步骤一：安装桌面会话主机和远程桌面授权。 1. 登录弹性云主机。 2. 在操作系统界面， 打开“服务器管理器”，单击“添加角色和功能”。 3. 保持默认参数，单击“下一步”。 4. 左侧导航栏选择“安装类型”，选择“基于角色或基于功能的安装”，单击“下一步”。 5. 左侧导航栏选择“服务器选择”，选择“从服务器池中选择服务器”，单击“下一步”。 6. 左侧导航栏选择“服务器角色”，选择“远程桌面服务”，单击“下一步”。 7. 左侧导航栏选择“功能”，在此页面保持默认参数，单击两次“下一步”。 8. 左侧导航栏选择“角色服务”，在此界面依次选择“远程桌面会话主机”和“远程桌面授权”，在弹出的窗口单击“添加功能”，单击“下一步”。 9. 确认在云主机上安装的角色，单击“安装(I)”。 10. 安装完成后，重启云主机。 第二步：允许多用户远程连接云主机。 1. 在运行里输入 gpedit.msc，打开计算机本地组策略 2. 选择“计算机配置>管理模板>windows组件>远程桌面服务>远程桌面会话主机>连接”，并依次设置“允许用户通过使用远程桌面服务进行远程连接”、“限制连接数量”和“将远程桌面服务用户限制到单独的远程桌面” 3. 右键单击“编辑”，设置“允许用户通过使用远程桌面服务进行远程连接”设置为“已启用”。 4. 右键单击“编辑”，设置“限制连接数量”选择为已启用，可根据具体数量设置，这里示例将允许的RD最大连接数设置为999。 5. 右键单击“编辑”，“将远程桌面服务用户限制到单独的远程桌面”选择已启用，或者已禁用，请注意此处已启用和已禁用的区别。本示例勾选“已启用”。 说明 l 已启用：多个用户同时登录的多用户登录，不能单个用户多登录 例如：配置为已启用，用户A、用户B、用户C可以分别使用账号A、账号B、账号C同时登录云主机，但是不支持用户A、用户B、用户C使用同一个账号同时登录云主机 l 已禁用：单个用户同时多个登录的多用户登录 例如：配置为已禁用，用户A、用户B、用户C可以使用同一个账号同时登录云主机 6. 运行cmd，输入 gpupdate /force，强制执行本地组策略，重启服务器，整个配置过程完成。 第三步：配置新用户并加入远程桌面用户组。 1. 在运行中输入 lusrmgr.msc，打开本地用户和组，进行新用户创建。 2. 单击“用户”，在空白处右键选择新用户。 3. 填写新用户信息，单击“创建”。 4. 单击“组”，双击打开Remote Desktop Users组，单击“添加”。 5. 进入选择用户界面，单击“高级”。 6. 在新的选择用户界面，单击“立即查找”，在下方搜索结果中选中需要远程登录的用户，并单击“确定”，完成添加，即可远程登录。 7. 单击“确定”，添加用户到Remote Dsektop Users组。

本节包含属云（存储独享型）的用户使用手册。 天翼云专属云（存储独享型）用户操作指南.pdf

本节介绍了DDoS高防（边缘云版）接入配置最佳实践。 网站类业务购买DDoS高防（边缘云版）产品后需要通过CNAME解析方式接入，将攻击流量引流到DDoS高防（边缘云版），可以达到隐藏源站目的，在遭受大流量DDoS攻击时保障源站服务器的稳定可靠。您可以参考本文中的接入配置和防护策略最佳实践，使用DDoS高防（边缘云版）更好地保护您的业务。 接入配置流程概述 正常情况下业务接入需要参照以下三个步骤进行配置。若业务遭受攻击时紧急接入，在接入配置前建议联系天翼云安全专家进行评估后协助接入，联系方式详见服务保障。 步骤1：自身业务梳理 首先，建议您在接入DDoS高防（边缘云版）前对待接入的业务进行全面梳理，在了解当前业务状况和具体数据的基础上，能更好地使用DDoS高防（边缘云版）提供的各类防护策略进行业务防护。 梳理项 说明 操作建议 网站和业务信息 网站或应用业务每天的流量带宽峰值情况，包括Mbps 根据日常业务高峰判定风险时间段 若有接入CDN可从CDN流量分析统计获取相应业务数据，作为DDoS高防（边缘云版）的业务带宽评估和购买套餐的选择依据。 业务的主要受众群体（如访问用户的主要地理区域信息） 判断非法攻击来源。 方便根据地理区域信息配置防护策略。 源站是否部署在非中国内地地域 判断业务实例是否符合最佳网络架构。 可在后续选择资源池防护时提供指导依据。 请求协议（如HTTPS） 无 若业务使用HTTPS协议需要上传证书。 业务端口 判断源站使用的端口是否在DDoS支持的范围内 无。 业务是否需要支持IPv6协议 根据源站服务器网络架构及业务开通情况判断是否需要支持IPv6 如果您的业务需要支持IPv6协议，可在域名接入配置中选择开启IPv6支持。 源站服务器的操作系统及所使用的Web服务中间件（Nginx、IIS等） 判断源站服务器是否存在防火墙ACL访问控制策略，避免源站误拦截DDoS高防（边缘云版）回源IP转发的流量。 如果有，需要在源站上设置放行DDoS高防（边缘云版）的回源IP。 业务是否存在空连接 例如，服务器主动发送数据包防止会话中断这类情况接入DDoS高防（边缘云版）后可能影响正常业务。 无。 业务交互过程 了解业务交互过程及其处理逻辑，以便后续配置针对性防护策略。 无。 业务及攻击情况 业务类型及业务特征（例如，游戏、棋牌、网站、App等业务） 便于在后续攻防过程中分析攻击特征。 无。 业务流量（入方向） 帮助后续判断是否包含恶意流量。 无。 业务流量（出方向） 帮助后续判断是否遭受攻击，并且作为是否需要额外业务带宽扩展的参考依据。 无。 单IP的入方向流量范围和连接情况 帮助后续判断是否可针对单个IP制定限速策略。 业务是否遭受过大流量攻击及攻击类型 根据历史遭受的攻击类型，设置针对性的DDoS防护策略。 无。 业务遭受过最大的攻击流量峰值 根据攻击流量峰值判断DDoS高防（边缘云版）功能规格的选择。 无。 业务是否遭受过CC攻击及最大攻击峰值 通过分析历史攻击特征，配置CC防御策略。 更多信息可参见CC防护最佳实践。 业务是否提供API接口服务 无。 提供信息为配置访问策略作为指导依据。 业务是否已完成压力测试 评估源站服务器的请求处理性能，作为后续业务异常判断条件之一。 无。

天翼云提供的公共镜像能否直接下载到本地，怎么操作？ 暂不支持直接下载公共镜像，您可以先通过公共镜像创建云主机，再将云主机制作为私有镜像，然后导出私有镜像至个人对象存储桶，再下载至本地。 参考链接如下： 跨账号同区域迁移云主机（迁移系统盘）或跨账号同区域迁移云硬盘（迁移数据盘） 导出镜像。 镜像为什么没有“导出”按钮 ？ 在镜像列表页面，有些镜像不支持导出功能，因此在“操作”列没有提供“导出”按钮。以下镜像不支持导出功能： 公共镜像 整机镜像 ISO镜像 安全产品镜像

本小节介绍态势感知规格，分为基础版和高级版，在功能和承载云主机上有差别。 态势感知产品根据提供的功能不同分为两个版本：基础版、高级版。 基础版和高级版功能 功能 基础版 高级版 安全可视化 ✓ ✓ 资产发现 ✓ ✓ 资产管理 ✓ ✓ 脆弱性检测 ✓ ✓ 网络威胁检测 ✓ ✓ 国家情报数据 × ✓ 国家安全预警 × ✓ 攻击源警告 × ✓ 恶意网站告警 × ✓ 安全态势大屏 × ✓ 云主机规格 弹性云主机（Linux） 服务器配置 弹性IP数量 带宽 设备性能 扩展性 作用 备注 一台双网卡弹性云主机 8核CPU/64G内存/100G系统盘/1T数据盘 1 5M 此配置可处理800M以下流量 提高硬件配置，可提高处理性能 态势感知控制器，通过资产、脆弱性、威胁多维度动态评估风险可视化 用于安装态势感知控制器 一台双网卡弹性云主机 4核CPU/8G内存/50G系统盘 1 5M 此配置可处理1000M以下流量 不涉及 虚拟网关系统，将访问业务系统的所有流量镜像给态势感知控制器分析 用于安装态势感知虚拟网关

云容器引擎如何获取客户端真实IP 如果您的服务部署在云容器引擎（Cloud Container Engine，简称CCE）上，云容器引擎会将真实的客户端IP记录在XOriginalForwardedFor字段中，并将WAF回源地址记录在XForwardedFor字段中。您需要修改云容器引擎的配置文件，使Ingress将真实的IP添加到XForwardedFor字段中，以便您正常获取真实的客户端IP地址。 您可以参考以下步骤，对云容器引擎配置文件进行修改。 1. 执行以下命令修改配置文件“kubesystem/nginxconfiguration”。 plaintext kubectl n kubesystem edit cm nginxconfiguration 2. 在配置文件中添加以下内容： plaintext computefullforwardedfor: "true" forwardedforheader: "XForwardedFor" useforwardedheaders: "true" 3. 保存配置文件。 保存后配置即刻生效，Ingress会将真实的客户端IP添加到XForwardedFor字段中。 4. 将业务程序获取客户端真实IP的字段修改为XOriginalForwardedFor。

本文介绍如何查看云主机的mac地址。 Linux操作系统（CentOS 7.6） 登录Linux云主机，使用如下命令查看网卡信息。 plaintext ifconfig 使用如下命令查看mac地址。 plaintext ifconfig eth0 egrep "ether" Windows操作系统（2012） 打开任务栏的cmd窗口给，执行以下命令，查看云主机的mac地址。 plaintext ipconfig /all

查看实例HA主备详情 购买云堡垒机主备版实例后，可以通过HA主备详情查看HA状态、IP地址、接口等信息。 说明 仅“一类节点”区域的实例支持主备版。 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择目标实例，单击“更多 > HA主备详情”。 4. 查看HA主备详情，查看主备节点的运行状态、IP地址等信息。

本文介绍了云防火墙（原生版）的购买类常见问题。 云防火墙（原生版）可以按天购买吗？ 不支持，目前只支持包月和包年购买。 云防火墙的流量带宽和防护IP数支持升降吗？ 支持。但在降配时，每次只支持降级一个参数，即防护互联网边界的流量峰值、防护互联网边界公网IP数若都要降配，需要分两个订单完成。 支持同时防护公网的IP不够怎么办？ 高级版可通过弹性扩展提升规格，可按照您的需要进行IP升配。

本文为您介绍如何查看云搜索服务OpenSearch实例的事件。 云搜索服务提供事件管理功能，会将一些重要的、非即时操作，比如创建实例、变更实例、安装插件、修改配置等操作记录在此。您可在此查看事件执行的时间、状态等信息。 操作步骤 1. 登录云搜索服务控制台，选择需要查看的目标实例，进入实例详情； 2. 选择"监控中心>事件管理”，即可查看被控制台记录的事件列表，您可查看事件的执行时间，针对执行失败的事件，可以展开查看原因。

本页面介绍云数据库ClickHouse的集群的可维护时间设置。 功能简介 设置可维护时间功能允许用户设置已有云数据库ClickHouse集群的可维护时间，以便天翼云运维团队合理安排运维操作。 操作步骤 1. 登录云数据库ClickHouse控制台 2. 在实例列表处点击对应实例的 "更多" 选项。 3. 在下拉列表中选 "编辑可维护时间"。 4. 选择需要设置时间，点击 "确定" 按钮。 5. 在收到编辑成功的响应后，可以在实例列表的页面中查看刚才编辑的可维护时间。

根据业务的需要，配置目的IP转换策略，允许外网用户通过防火墙访问业务云主机服务。 配置方法： 在【策略】→【地址转换】→【IPV4地址转换】→【新增】→【服务器映射】。 原始数据包 源区域：选择“L3untrustA”。 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）。 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：选择网络对象。 网络对象：业务云主机对象。 端口转换为：业务云主机提供的服务端口。

本节为您介绍数据安全相关内容。 了解数据 在准备云迁移之前，需要确保全面了解自己的数据及其需求。这意味着迁移团队必须深入了解当前和未来的数据使用情况，并理解公司数据治理框架所制定的存储和保留策略。为了处理数据理解和优化任务，可以借助各种云管理工具，例如重复数据删除软件。这些工具可以帮助识别和处理冗余数据，提高存储效率。同时，保护云数据也是非常重要的，这需要准确了解云数据的内容以及最终的使用和处理方式。这包括确认哪些数据属于敏感信息，需要采取额外的安全措施来保护，以及确保符合数据隐私和合规性要求。 了解数据合规要求 除了了解数据本身外，企业在云迁移期间还需要了解适用于其数据集的任何合规要求。例如，GDPR、PCIDSS和HIPAA等监管框架对许多企业施加严格的要求，其中包括在数据迁移前剥离个人身份信息。因此，企业必须确保选择的云基础设施提供商满足合规要求，同时加强API安全性控制，并采取措施对个人身份信息进行去标识化或剥离，以保护用户隐私。此外，还需要实施适当的用户访问特权管理，限制数据的访问权限。这些措施有助于确保在云迁移过程中的数据合规性和安全性。 传输过程中加密数据 云迁移中传输数据可能带来额外的安全漏洞。保护敏感信息的一种有效方法是使用源端到目标端加密。这个过程通常使用像传输层安全(TLS)之类的加密协议来完成，该协议在所有数据离开开源系统之前对其进行加密，并在数据到达目标系统后对其进行解解密，从而增添额外的安全层。根据需要的保护程度，有多种加密算法可供选择，不过大多数使用AES或RSA等现代行业标准。公司还应确保安全地存储访问所需的加密密钥和凭据，并定期备份，以防数据丢失。利用提供内置加密服务的云提供商可以简化这个过程。在开始迁移之前，公司仍然应该进行尽职调查，以确保自己拥有适当的工具和安全措施。

本文主要介绍如何手动扩展资源。 操作场景： 通过手动将实例移入到伸缩组、手动将实例移出伸缩组或手动修改期望实例数，扩展资源。 操作步骤： 将实例移入伸缩组： 您可以手动将云主机移入指定伸缩组，将云主机成功移入指定伸缩组必须满足如下约束： 表 手动移入实例的约束 项目 约束 伸缩组 处于“已启用”状态。 伸缩组没有正在进行的伸缩活动。 移入后总实例数不能大于伸缩组的最大实例数。 云主机 不能存在于其它伸缩组中。 云主机所在的VPC必须和伸缩组所在的VPC相同。 说明 单次最多批量移入实例个数为10个。 当伸缩组已添加负载均衡器，系统会自动将加入伸缩组的实例添加到负载均衡上。 将云主机移入伸缩组的步骤如下。 1. 选择“计算 > 弹性伸缩服务”。 2. 单击具体的伸缩组名称。 3. 在“伸缩实例”页签，单击“移入伸缩组”。 4. 选择待移入的实例名称，单击“确定”。 将实例移出伸缩组 您可以将实例移出伸缩组，更新实例或排查实例的问题，然后将实例重新移入伸缩组。移出伸缩组后实例不再处理应用程序流量。 例如，您可以随时更改伸缩组使用的伸缩配置，后续实例将使用此配置。不过，伸缩组不会更新当前正在运行的实例。您可以终止这些实例并让伸缩组替换这些实例，也可以先将实例移出伸缩组，更新软件，然后将该实例移入伸缩组。 云主机移出伸缩组的相关约束如下所示。 表 手动移出实例的约束 项目 约束 伸缩组 处于“已启用”状态。 伸缩组没有正在进行的伸缩活动。 云主机 生命周期状态是已启用。 云主机不在存储容灾服务中使用。 说明 单次最多批量移出实例个数为50个。 如果移除实例后使伸缩组实例数小于最小实例数，则会自动伸缩增加实例到期望实例数。 如果实例从添加了负载均衡器的伸缩组中移出，则自动取消与此负载均衡器的关联。 将云主机移出伸缩组的步骤如下。 1. 选择“计算 > 弹性伸缩服务”。 2. 单击具体的伸缩组名称。 3. 在“伸缩实例”页签中的实例所在行的“操作”列下，单击“移出伸缩组”或“移出伸缩组并删除”。 如果您要删除多个实例，可以勾选多个实例，单击“移出伸缩组”或“移出伸缩组并删除”。 如果您要删除所有实例，可以勾选参数“名称”左侧的方框，单击“移出伸缩组”或“移出伸缩组并删除”。 说明 自动添加的云主机默认计费方式是按需计费。 当您选择“移出伸缩组”时，系统仅将其移出伸缩组。 当您选择“移出伸缩组并删除”时，系统将云主机移出伸缩组时，也会将其删除。 手动移入伸缩组的实例，只能进行移出伸缩组操作，不能进行移出伸缩组并删除操作。

策略名称 描述 类别 GaussDB FullAccess 云数据库TaurusDB服务的所有执行权限。 系统策略 GaussDB ReadOnlyAccess 云数据库TaurusDB服务的只读访问权限。 系统策略

本章节主要介绍集群日志管理。 概述 集群日志服务用于采集集群日志并报送云日志服务（Log Tank Service，简称LTS），用户可以在LTS云日志服务查看采集的集群日志或进行日志转储。 当前支持如下日志类型： CN节点日志 DN节点日志 操作系统messages日志 审计日志 说明 集群日志管理依赖云日志服务LTS。 集群日志管理仅8.1.1.300及以上版本支持。 开启日志服务对接 1. 登录DWS 管理控制台。 2. 单击“集群管理”。默认显示用户所有的集群列表。 3. 在集群列表中，单击指定集群名称进入“集群详情”页面，左侧导航栏单击“日志服务”进入页签。 4. 在“日志服务”页签，单击“云日志服务对接”开关，首次开启时，将弹出如下提示框，确认无误后，单击“是”，进行授权委托。 说明 若已开启过LTS云日志服务对接，并授权该服务创建委托，再次开启时则无需授权操作。 默认情况下，只有云帐号或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。帐号中的IAM用户，默认没有查询委托和创建委托的权限，此时需联系有权限的用户在当前页面完成对DWS 的委托授权。 5. 开启云日志对接后，如下图所示。

本文为您介绍注销受保护的服务器的操作流程。 操作场景 当您添加的受保护服务器不再需要保护时，可以从保护组中注销该服务器。 注销受保护服务器仅仅是将服务器移出保护组，该云主机资源仍存在，您可以在云主机控制台下查看该资源。 注意 受保护的服务器处于“客户端安装中”、“启动复制中”、“故障切换中”等中间状态，无法执行注销操作。 前提条件 已经添加受保护服务器。 受保护的服务器处于“全量复制停止”、“实时复制停止”、“故障切换完成”、“确认故障切换完成”等正常状态。 受保护的服务器处于“客户端安装失败”、“复制出错”等异常状态。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞服务器操作＞注销”，进入确认对话框。 7. 在确认对话框，单击“确定”，完成注销操作。

本文为您介绍重启反向复制的操作流程。 操作场景 当受保护的服务器被停止反向复制后，您可以重启反向复制，重新开始容灾中心反向复制数据到生产中心的过程。 本示例中ecmtest为生产中心的云主机，ecmrecovery为容灾中心的云主机。 前提条件 受保护的服务器状态为“反向全量复制停止”或“反向实时复制停止”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障恢复＞重启反向复制”。 7. 在弹窗中，确认信息无误后单击“确定”。 若服务器之前状态为反向全量复制停止，点击确定后，服务器状态变为启动反向全量复制中，之后变为反向全量复制中。 若服务器之前状态为反向实时复制停止，点击确定后，服务器状态变为启动反向实时复制中，之后变为反向实时复制中。

本节介绍了使用故障类的问题描述和处理流程。 操作介绍 微软操作系统使用安全标识符（SID）对计算机和用户进行识别。如果需要搭建Windows域环境，由于基于同一镜像创建的云主机SID相同，会引起无法入域，此时需要通过修改SID以达到入域的目的。 本节操作介绍使用sidchg工具修改云主机SID的方法。 说明 修改云主机SID可能导致数据丢失或系统损坏，请提前做好数据备份。 操作步骤 1. 单击sidchg下载工具。 说明 Server版请下载64bit版本。 图 下载工具 2. 执行以下命令修改云主机SID。 sidchg642.0n.exe /R 说明 /R表示修改后自动重启，/S表示修改后关闭。 3. 根据提示输入Trial key或者license，然后回车。 单击这里获取最新的Trail key，也可了解sidchg的使用方法。 4. 提示修改SID可能引发数据丢失或者系统损坏，是否继续？输入“Y”进行设置。 图 下载工具 5. 输入Y后，系统会自动提示重新登录。 图 重新登录 6. 云主机重启后，输入cmd打开命令行窗口，执行命令whoami /user验证SID修改成功。

本文介绍了云防火墙的变配规则。 创建云防火墙实例后，如果当前实例配置无法满足您的业务需求，您可以修改实例规格。您可以对实例的可防护公网IP数、公网流量处理能力数值进行调整，升配和降配均可支持。 可防护公网IP数可支持的规格范围是20个2000个。 公网流量处理能力可支持的规格范围是10Mbps2000Mbps。 计费场景 某用户于2023/09/30 购买了一套1个月的云防火墙标准版，默认规格配置如下： 防护互联网边界公网IP数：20个 防护互联网边界的流量峰值：10 Mbit/s 用了一段时间后，用户发现云防火墙当前规格无法满足业务需要，于2023/10/15 进行了升级，升级后规格配置如下： 防护互联网边界公网IP数：30个 防护互联网边界的流量峰值：100 那么在9~10月份，共计花费了多少钱呢？ 计费构成分析 云防火墙标准版本费用：2800元/月 扩展包费用：扩展10个EIP，共计花费500元，因升配时间为月中，本月需要花费250元；扩展带宽90Mbit/s，共计花费4500元，本月需要花费2250元。扩展包费用总计需要花费2500元。 本月实际总计费用为：2800元+2500元5300元。

本文主要介绍智能边缘云业务及实例开通方式。 实例开通 在使用智能边缘云服务时，需要开通所需的服务实例，例如虚拟机实例，弹性IP实例等。 客户可以通过以下步骤进入ECX控制台，进行实例开通： 1. 使用天翼云账号登录天翼云官网。 2. 点击【产品】，选择【CDN与边缘】，找到【边缘计算】。 3. 点击【智能边缘云】，进入智能边缘云的产品介绍页。 4. 点击【管理控制台】进入。 也可以直接输入域名 客户进入控制台后： 点击左侧导航栏【边缘虚拟机】，可以进入创建虚拟机实例。 点击左侧导航栏【边缘裸金属】，可以进入创建裸金属实例。 点击左侧导航栏【边缘存储】，可以创建云硬盘、本地盘或本地裸盘等实例。 点击左侧导航栏【边缘网络】，可以看到多项网络能力，客户可以创建VPC，创建弹性公网IP，创建共享带宽，创建NAT网关，创建负载均衡等实例。 体验包开通 如果您有体验需求，请先联系您的客户经理，申请使用体验包。申请经核审通过后，客户经理将为您开通体验包，使您能够体验智能边缘云服务。如需了解更多详情，请咨询您的客户经理。

本文主要介绍通过云日志服务查看审计日志 通过云日志服务进行分析日志、搜索日志、日志可视化、下载日志和查看实时日志等操作。 查看LTS审计日志 说明 实例已经配置了访问日志，操作详情请参见日志配置管理—新增 步骤 1 在页面左上角单击，选择“管理与监管 > 云日志服务”，进入云服务日志页面。 步骤 2 在“日志组列表”区域，选择目标日志组，单击日志组名称。 查看日志详情 下载LTS日志文件 说明 如果实例已经配置了访问日志，操作详情请参见 步骤 1 在页面左上角单击，选择“管理与监管 > 云日志服务”，进入云服务日志页面。 步骤 2 在“日志组列表”区域，选择目标日志组，单击日志组名称。 下载日志 步骤 3 单击“”。

混合云一体机推理基础版涉及硬件交付，需要线下开展，暂不支持客户线上自主开通订购，如需订购请联系专属客户经理，或者拨打天翼云客服电话4008109889，或者新建业务需求单进行下单。

本文帮助您快速熟悉虚拟私有云VPC的创建方式。 操作场景 虚拟私有云VPC是您在云上的私有网络，为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 您可以参考以下操作，自主选择IP网段来创建VPC，同时至少需要创建一个子网。创建VPC时，系统会为您生成一个默认路由表，默认路由表可以确保VPC内多个子网之间网络互通。 操作步骤 1. 进入创建虚拟私有云页面。 2. 在创建虚拟私有云页面，根据页面提示配置VPC和子网的参数。 3. 参数设置完成后，单击“立即创建”。返回VPC列表，可以查看新创建的VPC。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 广州4 名称 输入VPC的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、点（.）组成。 vpctest IPv4网段 设置VPC的IPv4网段范围，VPC网段的选择需要考虑以下两点： IP地址数量：要为业务预留足够的IP地址，防止业务扩展给网络带来冲击。 IP地址网段：当前VPC与其他VPC、云下数据中心连通时，要避免网络两端的IP地址冲突，否则无法正常通信。 建议您使用RFC 1918中指定的私有IPv4地址范围，作为VPC的网段，具体如下： 10.0.0.0/824：IP地址范围为10.0.0.010.255.255.255，掩码范围824。 172.16.0.0/1224：IP地址范围为172.16.0.0172.31.255.255，掩码范围为1224。 192.168.0.0/1624：IP地址范围为192.168.0.0192.168.255.255，掩码范围为1624。 除上述地址外，若您必须使用非RFC 1918指定的私有IPv4地址范围，则必须排除以下系统预留地址和公网保留地址： 系统预留地址：100.64.0.0/10、214.0.0.0/7、198.18.0.0/15、169.254.0.0/16。 公网保留地址：0.0.0.0/8、127.0.0.0/8、240.0.0.0/4、255.255.255.255/32。 10.0.0.0/8 企业项目 创建VPC时，可以将VPC加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 高级配置 标签 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以在创建VPC的时候为VPC绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 键：vpckey1 值：vpc01 高级配置 描述 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以根据需要在文本框中输入对该VPC的描述信息。描述信息内容不能超过255个字符，且不能包含“ ”。 表 子网参数说明 参数 说明 取值样例 子网名称 输入子网的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、点（.）组成。 subnet01 子网IPv4网段 设置子网的IPv4网段范围，子网是VPC内的IP地址块，可以将VPC的网段分成若干块。 192.168.0.0/24 子网IPv6网段 开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 关联路由表 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。创建VPC时会创建一个默认路由表，子网自动关联至默认路由表。默认路由表可以确保VPC内子网之间网络互通。 如果默认路由表无法满足使用需求，VPC创建完成后，您还可以创建自定义路由表，并将子网关联至自定义路由表，此时子网入流量仍然依据默认路由表，出流量会依据自定义路由表。 高级配置 网关 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 子网的网关，如果没有特殊需求，建议保持系统默认设置。 192.168.0.1 高级配置 DNS服务器地址 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 此处默认填写天翼云的DNS服务器地址，可实现云主机在VPC内直接通过内网域名互相访问。同时，还支持不经公网，直接通过内网DNS访问云上服务。 若您由于业务原因需要指定其他DNS服务器地址，您可以修改默认的DNS服务器地址。如果您删除默认的DNS服务器地址，可能会导致您无法访问云上其他服务，请谨慎操作。 您也可以通过“DNS服务器地址”右侧的“重置”将DNS服务器地址恢复为默认值。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 高级配置 域名 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 此处填写DNS域名后缀，支持填写多个域名，不同的域名之间以空格分隔，单个域名长度不超过63个字符，并且域名总长度不超过254个字符。 访问某个域名时，只需要输入域名前缀，子网内的云主机会自动匹配设置的域名后缀。 域名设置完成后，子网内新创建的云主机会自动同步该配置。 子网内的存量云主机，需要更新DHCP配置使域名生效，您可以重启云主机、重启DHCP Client服务或者重启网络服务。 test.com 高级配置 IPv4 DHCP租约时间 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以设置IPv4地址的DHCP租约时间。 DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限。超过租约时间，IP地址将被收回，需要重新分配。 期限租约：设置DHCP租约期限，单位为天或者小时。 无限租约：设置DHCP不过期。 DHCP租约时间修改后，对于子网内的实例（比如ECS）来说，当实例下一次续租时，新的租约时间将会生效。实例续租分为自动更新租约和手动更新租约两种，续租不会改变实例当前的IP地址。如果需要DHCP租约立即生效，请在实例中手动更新租约或者重启实例。 高级配置 NTP服务器地址 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 如果您需要为当前子网新增NTP服务器地址，则需要填写该地址。此处填写的地址不会影响默认NTP服务器地址。 新增或修改原有子网的NTP服务器地址后，需要子网内的ECS重新获取一次DHCP租约，或者重启ECS，才能生效。 清空NTP服务器地址时，需要子网内的ECS重新获取一次DHCP租约，重启ECS无法生效。 192.168.2.1 高级配置 标签 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以在创建子网的时候为子网绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 键：subnetkey1 值：subnet01 高级配置 描述 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以根据需要在文本框中输入对该子网的描述信息。 描述信息内容不能超过255个字符，且不能包含“ ”。

本文提供Web应用防火墙（边缘云版）的产品白皮书。 Web应用防火墙（边缘云版）产品白皮书.pdf