AI网关提供MCP服务可观测能力,可监控MCP服务的的QPS,请求成功率和平均延迟等指标。 操作步骤 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" 菜单，进入实例列表页，选择目标实例进入详情页。 3. 在左侧导航栏，选择"MCP管理MCP服务"，进入MCP服务详情页。 4. 选择监控页签，可查看该MCP服务的QPS、请求成功率和平均延迟等监控指标，右上角可调整时间间隔。 QPS：每秒MCP服务请求和响应的数量统计。 请求成功率：MCP服务请求的成功率。 平均延迟：MCP服务请求的平均延迟时间。

1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 专有宿主机”，进入专有宿主机列表页。您可以查看专有宿主机名称、状态、资源使用量等基本信息。 4. 在专有宿主机列表页，点击专有宿主机名称，即可跳转至该专有宿主机的详情页，可以进一步专有宿主机的详细信息以及当前专有宿主机上的实例列表。 5. 您可以对专有宿主机使用标签、名称或ID进行筛选，也可以对专有宿主机列表进行导出。

本文介绍组织资源管理功能 查看组织资源 在企业中心资源管理界面可查询组织内成员账号所订购的资源情况。 支持按各维度进行资源的查询筛选。 管理组织资源 若管理员账号需要对资源管理界面的资源进行操作，在获取子账号授权后（邀请或创建子账号勾选“允许资源管理”权限），管理员可通过云SSO功能，登陆访问成员账号，进行资源的管理与维护。

本文介绍如何通过天翼云SDWAN访问云上资源。 操作场景 用户通过天翼云SDWAN服务访问云上资源，需要将天翼云SDWAN实例绑定云间高速（标准版）实例。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，进入天翼云SDWAN实例列表页面； 3. 选中目标SDWAN实例，单机其“操作”列的“绑定云间高速（标准版）”； 4. 根据页面提示，选择待绑定的云间高速（标准版）实例及云间高速（标准版）实例下的云网关实例； 5. 单击“确定”，完成绑定。

本章介绍开启防护时没有显示配额的原因。 未购买配额 请先在服务器所在区域购买充足的配额。 区域不正确 购买配额后，请切换到配额所在区域对服务器开启防护。 位置不正确 若您购买的是基础版/企业版/旗舰版，请在“企业主机安全 > 主机管理 > 云服务器”页面开启防护。 若您购买的是网页防篡改版，请在“网页防篡改 > 防护列表”页面开启防护。 若您购买的是容器版，请在“企业主机安全 > 容器管理 > 节点列表”页面开启防护。

参数项 取值 计费模式 按需计费 集群名称 MRSdemo 版本类型 普通版 集群版本 MRS 3.1.0 组件选择 Hadoop分析集群 可用区 可用区1 虚拟私有云 vpc01 子网 subnet01 企业项目 default Kerberos认证 不开启 用户名 admin/root 密码 设置密码登录集群管理页面及ECS节点用户的密码，例如：Test!@12345。 说明 此密码仅为格式实例，实际设置密码请注意规避弱密码风险。 确认密码 再次输入设置用户密码 通信安全授权 勾选“确认授权”

本小节介绍漏洞扫描计费价格。 计费方式 漏洞扫描根据服务器/虚机数量进行收费，以电子报告形式提供一次性服务。 产品价格 资费标准价格如下（当前订购可享受6折优惠）： 描述 规格（台） 标准价格（元/台/次） 折扣价格（元/台/次） 微型 [2，5） 4800 2880 小型 [5，10） 3800 2280 中型 [10，20） 3600 2160 大型 [20，50） 3400 2040 超大型 [50，+∞） 3200 1920 漏洞扫描服务两台起订，请您根据实际云主机数量，订购本服务。 说明 具体价格以各版本的订购页面和控制台展示为准。

天翼云监控支持使用告警联系组设置告警通知对象，本文为您介绍该应用场景下的操作步骤。 应用背景 当云主机监控产生告警时，云监控服务将通知告警联系人。您需要先创建告警联系人和告警联系组，并将告警联系人添加到告警联系组。在进行告警规则的创建时，选择相应的告警联系组，即可实现通过告警联系组来接收告警通知的目的。 步骤一：创建告警联系组 1.登录管理控制台。 2.单击“管理与部署 > 云监控”。 3.单击左侧“告警服务”下拉菜单，选择“告警联系人/组”，进入告警联系人管理界面。 4.选择“告警联系组”，点击下方“添加联系组”。 5.在新建联系组中操作相关联系人，点击确定，完成创建。 步骤二：设置告警规则 1.登录管理控制台。 2.单击“管理与部署 > 云监控”。 3.单击左侧“告警服务”下拉菜单，选择“告警规则”，进入告警规则管理界面。 4.单击右上方“创建告警规则”，进入“创建告警规则”界面。 5.在“选择告警联系组”中，选择接收该告警规则下告警通知的联系人组。当监控指标触发设定的阈值时，此联系人组内的联系人将在第一时间收到相应的告警通知。

参数 参数说明 环境 选择已创建的环境。 部署版本 组件版本号，例如：1.0.0。 描述 组件的描述信息。 部署系统 支持云容器引擎。 详情请参见部署方式说明。 基础资源 会自动加载所选环境包含的基础资源，根据实际业务需要进行选择。 实例数量 组件可以有一个或多个实例，用户可以设置具体实例个数。 设置多个实例主要用于实现高可靠性，当某个实例故障时，应用组件还能正常运行。 资源配额 组件无法调度到剩余资源小于申请值的节点上，配置方法请参考资源限制指南。 可以根据需要自定义“CPU配额”和“内存配额”。 组件状态 根据需要设置组件状态。

本节介绍服务器安全卫士（原生版）应用场景。 场景一：入侵行为检测 实时监测发现云服务器的漏洞、异常登录、暴力破解、弱口令等问题，全面了解服务器的安全状态，实现服务器安全的持续保护。 方案优势 提供异常登录、暴力破解的告警和防御，可以快速地发现黑客对企业服务器的渗透扫描行为，及时预警。 提供病毒查杀能力，有效检出恶意病毒文件，并提供病毒文件隔离和删除功能。 场景二：安全管理 提供统一的服务器安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。 方案优势 支持多操作系统：支持在Windows、CentOS、Ubuntu等多种操作系统的物理/虚拟主机上部署。 统一的安全管理能力：帮助用户统一查看所有的服务器资产、资产指纹以及安全事件，便于精细化安全运营。 场景三：等保合规 服务器安全是等保合规的关键项，服务器安全卫士提供的入侵检测功能，能协助各企业保护企业云服务器账户、系统的安全。 方案优势 满足入侵防范条款：入侵检测、漏洞管理功能满足等保的主机入侵防范条款。 满足不同行业监管要求：基于基线检测功能，提供多种基线标准模板，企业可自定义基线策略，支持一键检测和定时检测，根据检测结果提供处理建议。

本节为您介绍云迁移服务迁移组任务创建。 1. 通过左侧导航栏单击资源规划，迁移组新建迁移组任务，如图所示。 2. 依次填入迁移组名称、迁移组描述，其中备注信息根据实际填写，点击下一步按钮，如图1 所示。 图1 迁移组基本信息填写页面。 3. 进行对应资源选择，如图所示。 4. 已选资源确认，确认后即可在列表中查看，如图所示。

类别 描述 集群相关 Nodeip强相关：确认之前集群的节点IP（包括EIP），是否有作为其他的配置或者白名单之类的设置。 工作负载 记录工作负载数目，便于迁移后检查。 存储 确认应用中存储，是否使用云，或者自己搭建存储。自动创建的存储需要在新集群中变成使用已有存储。 网络 注意使用的负载均衡服务，以及Ingress。老版本的集群只支持经典型负载均衡服务，迁移到新集群中需要改成共享型负载均衡服务，对应负载均衡服务将会重新建立。 运维 私有配置：确认在之前集群中，是否在节点上配置内核参数或者系统配置。

本文帮助您快速熟悉如何查看子网的子网网段、状态、DNS服务器等信息。 操作场景 当您查看子网的相关联的ACL、主机、虚拟IP、路由等信息时，可以进行通过以下操作进行查看。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成子网的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 单击“子网”，进入子网列表页面。 5. 单击目标子网的子网名称，进入子网详情页。在详情页，可查看该子网的子网网段、状态、DNS服务器等信息。

本文介绍Serverless集群概述。 产品简介 云容器引擎Serverless版是天翼云提出的Serverless Kubernetes容器服务。与传统Kubernetes集群相比，Serverless集群无需购买节点即可直接部署容器应用，同时无需对集群进行节点维护和容量规划，降低了Kubernetes使用门槛，让用户更专注于应用程序，而不是管理底层基础设施。Serverless集群提供完善的Kubernetes兼容能力，您可以轻松迁移已有的Kubernetes应用到Serverless集群上，并且根据应用配置的CPU和内存资源量进行按需付费。 使用场景 互联网企业：大规模业务上线生产环境，对管控的稳定性、可观测性和安全性有较高要求。 大数据计算企业：大规模数据计算、高性能数据处理、高弹性需求等类型业务，对集群稳定性、性能和效率有较高要求。

原因分析 缓存用于加速查询操作，云搜索服务会将常见的查询结果或热数据缓存在内存中，但在某些情况下，缓存可能需要手动清理，例如缓存命中率下降或内存占用过高时。 解决方案 1. 清理字段数据缓存： 字段数据缓存用于存储字段值，可以通过以下命令清理字段缓存： POST /cache/clear?fielddatatrue 2. 清理查询缓存： 查询缓存用于缓存查询结果，可以通过以下命令清理查询缓存： POST /cache/clear?querytrue 3. 清理整个缓存： 如果希望清理所有缓存，包括字段数据缓存、查询缓存和请求缓存，可以使用： POST /cache/clear 4. 监控缓存使用： 定期监控缓存使用情况，避免缓存过度占用内存。例如，使用以下命令查看缓存统计信息： GET /nodes/stats/indices/fielddata?human

本章节主要介绍云搜索服务（ES）的产品规格。 CPU架构 节点规格类型 CPU内存比 适合场景 x86计算 通用计算型 1:4 默认规格，使用较频繁，各种场景都能使用，如果没有特别要求，可选择该规格。 x86计算 内存优化型 1:8 内存特别大，优势较明显，在内存使用量较多并且对时延没有太大要求的场景可优先选择该规格，比如多聚合（filedata堆内）、排序、列存docvalue（系统堆外内存）等场景。 鲲鹏计算 鲲鹏通用计算型 1:2和1:4 同上X86计算型场景，相比于X86计算型，ARM性价比较高。 说明 因各资源池部署规格不尽相同，且可选资源会根据用户订购情况动态变化，故实际可选规格请以开通资源时各资源池展示为准。

参数 说明 名称 证书名称，只能由数字、字母、组成,不能以数字和开头、以结尾,且长度为263字符。 证书类型 可选服务器或者CA证书，本操作选择服务器证书。服务器证书：在使用HTTPS协议时，服务器证书用于SSL握手协商，需提供证书内容和私钥。CA证书：又称客户端CA公钥证书，用于验证客户端证书的签发者；在HTTPS双向认证功能时，只有当客户端能够出具指定CA签发的证书时，HTTPS连接才能成功。 证书标准 支持国际标准和国密（SM2）标准。 证书内容 支持粘贴证书到内容框，或点击上传证书内容。证书包含证书的公钥和签名等信息，证书扩展名为".pem"或".crt"，您可直接输入证书内容或上传证书文件。 （1）通过Root CA机构颁发的证书，证书是唯一的一份，不需要额外的证书，配置的站点即可被浏览器等访问设备认为可信。Root CA证书格式必须符合如下要求：以BEGIN CERTIFICATE, END CERTIFICATE开头和结尾。每行64个字符，最后一行长度可以不足64个字符。证书内容不能包含空格。 （2）通过中级CA机构颁发的证书，证书文件包含多份证书，需要将服务器证书与中级证书合并在一起上传。证书链格式必须符合如下要求：BEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATE服务器证书放第一位，中级证书放第二位，中间不能有空行。证书内容不能包含空格。证书之间不能有空行，并且每行64字节。符合证书的格式要求。一般情况下，证书机构在颁发证书时会有对应说明，证书要符合证书机构的格式要求。 私钥 证书的私钥，私钥扩展名为"key",您可直接输入私钥文件内容或上传符合格式的私钥文件。私钥内容格式为:以“ BEGIN RSA PRIVATE KEY ”作为开头，“ END RSA PRIVATE KEY ”作为结尾。 描述 填写证书相关描述，可选。 企业项目 选择所述的企业项目名称, 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

本文主要介绍实例问题。 为什么可用区不能选择2个？ 如果您需要提高Kafka实例的可靠性，在创建实例时，建议选择3个或以上的可用区，不支持选择2个可用区。原因如下： 每个Kafka实例包含3个Zookeeper节点，Zookeeper集群用来管理Kafka实例的配置，如果Zookeeper集群出现问题，Kafka实例将无法正常运行。至少2个Zookeeper节点正常运行，才能保证Zookeeper集群正常运行。 假设选择2个可用区，可用区1有1个Zookeeper节点，可用区2有2个Zookeeper节点。如果可用区1故障，则Kafka实例能正常使用；如果可用区2故障，则不能正常使用。Kafka实例可用的场景只有50%，所以不支持选择2个可用区。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户的用户组无Server Administrator和VPC Administrator权限。增加用户组权限的详细步骤，请参考《统一身份认证服务 用户指南》的“用户指南 > 用户组及授权 > 查看或修改用户组”章节。 如何选择Kafka实例的存储空间？ 存储空间主要是指用于存储消息（包括副本中的消息）、日志和元数据所需要的空间。选择存储空间时，需要选择磁盘类型和磁盘大小。更多磁盘信息，请参考《云硬盘用户指南》的“简介 > 磁盘类型及性能介绍”章节 假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为 100GB副本数 + 预留磁盘大小100GB 。Kafka集群中，每个Kafka节点会使用33GB的磁盘作为日志和Zookeeper数据的存储，因而实际可用存储会小于购买存储。 其中，副本数在创建Topic时可以选择，默认为3副本存储。如果开启了Kafka自动创建Topic功能，自动创建的Topic默认为3副本，副本数可以通过“配置参数”页签中的“default.replication.factor”修改。

本节主要介绍如何对SFS Turbo进行性能测试。 场景介绍 客户购买弹性文件服务后，如何验证弹性文件服务的性能指标呢？可以使用fio工具对SFS进行吞吐量和IOPS的性能测试。fio是一个开源的I/O压力测试工具。 说明：测试性能依赖client和server之间的网络带宽及文件系统的容量大小。 前提条件 创建一台与SFS Turbo同VPC内的云主机CTECS 已购买SFS Turbo服务并挂载给主机ECS，挂载步骤见官网介绍。 已在云服务器上安装fio工具。fio可从官网或GitHub下载。 操作步骤 安装I/O压测工具fio 以Linux CentOS系统为例说明： 1. 在官网下载fio。 yum install fio 2. 安装libaio引擎。 yum install libaiodevel 3. 查看fio版本。 fio version 文件系统性能数据 SFS Turbo文件系统的性能主要有IOPS和吞吐量等指标，具体各指标数据参见下表。 参数 SFS Turbo标准型 SFS Turbo性能型 最大容量 32TB 32TB 最大IOPS 5000 20000 最大吞吐量 150 MB/s 350 MB/s IOPS性能计算公式 IOPS min (5000, 1200 + 6 × 容量) IOPS min (20000, 1500 + 20 × 容量) IOPS性能计算公式举例说明： 单个文件系统IOPS性能 “最大IOPS”与“基线IOPS + 每GB文件系统的IOPS × 文件系统容量”的最小值。 以SFS Turbo性能型文件系统为例，单个SFS Turbo性能型文件系统的最大IOPS为20000。 假如SFS Turbo性能型文件系统容量为500 GB，则该文件系统IOPS性能 min (20000, 1500 + 20 × 500 )，取20000与11500中的最小值，即该文件系统的IOPS性能为11500。 假如SFS Turbo性能型文件系统容量为1000 GB，则该文件系统IOPS性能 min (20000, 1500 + 20 × 1000 )，取20000与21500中的最小值，即该文件系统的IOPS性能为20000。 标准版增强版和性能型增强版的文件系统无性能计算公式。标准版增强版文件系统的IOPS性能为15K，性能型增强版文件系统的IOPS性能为100K。

本文主要介绍镜像服务最佳实践汇总。 本文汇总了基于镜像服务常见应用场景的操作实践，每个实践为您提供详细的方案描述和操作指导，帮助您轻松构建基于镜像的相关业务。 最佳实践 说明 基于VirtualBox使用ISO创建Windows镜像 本章节主要介绍基于VirtualBox制作Windows镜像。 包括安装VirtualBox，并基于VirtualBox使用ISO创建虚拟机，完成虚拟机配置后生成vhd格式镜像。 基于VirtualBox使用ISO创建Linux镜像 本章节主要介绍基于VirtualBox制作Linux镜像。 包括安装VirtualBox，并基于VirtualBox使用ISO创建虚拟机，完成虚拟机配置后生成vhd格式镜像。 Windows操作系统云主机磁盘空间清理 本章节操作指导您完成Windows操作系统云主机磁盘空间清理。 转换镜像格式 本章节操作指导您使用qemuimg工具转换镜像格式。 qemuimg工具支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi或qed格式的镜像之间相互转换。 利用ISO为镜像配置本地源 本章节介绍了yum、apt和zypper包管理器下配置本地源的方法， 并提供了Debian 10.1.0和CentOS 8.0的配置示例。 跨帐号迁移业务数据（只迁移数据盘） 用户的业务数据一般保存在数据盘中，要想实现业务数据跨帐号迁移， 需要用到镜像服务的创建数据盘镜像、共享镜像等功能。 本章节为您详细介绍跨帐号迁移业务数据的操作流程。 跨帐号迁移业务数据（迁移系统盘+数据盘） 如果您的业务数据同时保存在数据盘和系统盘中，要想实现业务数据跨帐号迁移， 需要用到镜像服务的创建整机镜像、共享镜像等功能。 本节操作为您详细介绍跨帐号迁移业务数据（包括系统盘和数据盘数据）的操作流程。

您可以在控制台查看关系数据库MySQL版的慢日志，并根据实际情况，导出慢日志或对慢日志进行分析。 背景信息 关系数据库MySQL版的慢日志功能将记录执行时间超过当前慢日志阈值“longquerytime”的语句，通过对慢日志的查看和分析，可以找出执行效率低的语句，以便进行优化。 注意事项 慢日志采集频率为每20分钟，如果执行迁移可用区会导致该时间段的日志丢失。 采集时超过64K长度的SQL语句会被忽略。 查看日志明细 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击日志管理 ，进入错误日志页签。 5. 单击慢日志页签。 6. 在日志列表中，查看慢日志的详细信息。 慢日志功能支持查看指定时间范围的慢日志记录。 针对当前的慢日志功能， 可以设置阈值参数“longquerytime”，当SQL执行时间超过该值时将生成一条慢日志记录（只会影响新增的记录）。比如慢日志阈值参数为1s时，上报了超过1s的慢日志记录，后续调整为0.1s， 原有上报的日志仍然会展示。 说明 目前支持查询并保存7天内的慢日志明细。 对于无法完全显示的“执行语句”，鼠标悬停查看完整信息。 下载慢日志仅支持备份类型为对象存储的情况。公网链接下载时会产生流量费用，具体资费参考备份。内网链接仅适用于在云主机使用。 如选择内网下载，则将链接复制，使用wget ' 公网下载方式的临时下载地址链接有效时间为1小时。

本节介绍等级保护测评合规最佳实践。 等级保护测评背景 网络安全等级保护测评是按照GB/T 222392019网络安全等级保护要求对各行业单位网络信息系统进行等级测评，以满足相关等级安全要求。云服务器需满足等级保护测评中安全计算环境要求，服务器安全卫士（原生版）提供相关安全能力，满足客户合规需求。 安全计算环境要求 服务器安全卫士（原生版）在等级保护测评（三级）“安全计算环境”中可满足项： 等保测评项 满足情况 对应能力说明 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 满足 服务器安全卫士（原生版）通过基线检测功能帮助用户检测密码策略相关满足情况，协助用户完成策略配置；通过弱口令检测功能保障口令复杂度满足管理情况。 身份鉴别 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 满足 服务器安全卫士（原生版）通过基线检测功能帮助检测实现账户锁定策略相关满足情况，协助用户完成策略配置。 入侵防范 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 满足 服务器安全卫士（原生版）通过扫描功能能够发现可能存在的已知漏洞，且能够出具修补建议帮助用户修补漏洞。 入侵防范 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 满足 服务器安全卫士（原生版）通过异常登录、暴力破解、后门检测、可疑操作、反弹Shell等功能对主机进行实时监控，发现入侵行为进行告警。 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 满足 服务器安全卫士（原生版）通过病毒查杀功能可对恶意代码进行查杀，满足该项要求。 说明 其余测评项需用户通过云主机操作系统本身的策略设置满足，服务器安全卫士（原生版）可通过基线检测功能协助客户进行策略检测。

本文主要介绍 使用DNAT访问Kafka实例。 操作场景 使用DNAT访问Kafka实例时，通过端口映射方式，实现Kafka实例对公网提供服务。 前提条件 已购买弹性公网IP，弹性公网IP的数量与Kafka实例中代理个数相同。 步骤一：获取Kafka实例的信息 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例名称，进入实例详情页面。 步骤 5 在“基本信息”页面的“连接信息”区域，获取并记录Kafka实例的内网连接地址。在“网络”区域，获取并记录Kafka实例所在的虚拟私有云和子网。 图Kafka实例信息 步骤二：购买公网NAT网关 步骤 1 在管理控制台左上角单击，选择“网络 > NAT网关”，进入“公网NAT网关”页面。 步骤 2 单击“购买公网NAT网关”，进入“购买公网NAT网关”页面。 步骤 3 设置如下参数。 区域：与Kafka实例保持一致。 名称：您自定义的公网NAT网关名称。 虚拟私有云：选择获取Kafka实例的信息中记录的虚拟私有云。 子网：选择获取Kafka实例的信息中记录的子网。 企业项目：根据实际情况选择。 其他参数请根据实际情况填写，如果想要了解更多的参数信息，请参考《NAT网关 用户指南》的“公网NAT网关 > 管理公网NAT网关 > 购买公网NAT网关”章节。 图 购买公网NAT网关 步骤 4 单击“立即购买”，进入规格确认页面。 步骤 5 确认规格无误后，单击“提交”。

本文主要介绍设置安全组 操作场景 为了保障数据库的安全性和稳定性，在使用文档数据库实例之前，您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。 注意事项 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和文档数据库可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当文档数据库服务加入该安全组后，即受到这些访问规则的保护。 当需要从安全组外访问安全组内的文档数据库时，需要为安全组添加相应的入方向规则。 操作步骤 步骤 1 在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“安全组”区域，选择“入方向规则”页签，单击“添加规则”，弹出添加入方向规则窗口。选择“出方向规则”页签，单击“添加规则”，弹出添加出方向规则窗口。 单击，可以依次增加多条规则。 步骤 4 根据界面提示配置安全组规则。 参数说明 参数 说明 取值示例 ::: 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口，取值范围为：1～65535。 端口填写包括以下形式：单个端口：例如22；连续端口：例如2230；全部端口：为空或165535 8635 源地址 可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如：单个IP地址：192.168.10.10/32；IP地址段：192.168.1.0/24；所有IP地址：0.0.0.0/0；安全组：sgabc IP；地址组：ipGrouptest 0.0.0.0/0 步骤 5 单击“确定”。

请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn”。 resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources”。 querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据。 示例： 云主机根据regionID查询用户资源，则需使用这个区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 请求方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST <

本节介绍了裸金属如何通过NAT网关、子网ACL配置实现公网互访。 裸金属可以通过绑定弹性公网IP或NAT网关或负载均衡等多种方式实现公网访问，本节主要介绍通过NAT网关实现公网互访。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。 VPC内的实例出方向访问通过SANT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 前提条件 虚拟私有云的子网类型为裸金属子网。 已创建裸金属实例。 已创建与裸金属实例同VPC的NAT网关。 已创建空闲的弹性IP。 已创建空闲的子网ACL。 裸金属实例通过NAT网关访问公网 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 绑定】，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置SNAT规则】进入网关详情。 4. 在【添加SNAT规则】页面，子网需要选择与裸金属实例相同的子网，【弹性公网IP】选择已绑定的公网IP，下拉项只会显示已绑定的公网IP，单击【提交】完成规则设置。 5. 在【SNAT】页签可以查看已添加的规则。 6. 登录裸金属，输入账号密码，ping测公网IP地址的联通性。

请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn”。 resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources”。 querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据。 示例： 云主机根据regionID查询用户资源，则需使用这个区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 请求方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST <

本小节介绍如何使用AntiDDoS流量清洗。 AntiDDoS流量清洗服务（以下简称AntiDDoS）为弹性公网IP提供四到七层的DDoS攻击防护和攻击实时告警通知。同时，AntiDDoS可以提升用户带宽利用率，确保用户业务稳定运行。 AntiDDoS通过对互联网访问弹性公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，AntiDDoS为用户生成监控报表，清晰展示网络流量的安全状况。 本指南通过查看公网IP、开启AntiDDoS告警通知、配置AntiDDoS防护策略，以及查看监控和拦截报告的方式，指导您快速上手AntiDDoS流量清洗服务。 准备环境 1. 登录天翼云控制中心。 2. 在控制中心选择“计算 > 弹性云主机”，创建一台弹性云主机（ECS），用于AntiDDoS流量清洗提供DDoS攻击保护的弹性公网IP。 说明 ECS需要绑定一个弹性IP，具备外网访问权限。 如果用户已有VPC和ECS，可重复使用，无需多次创建。 查看公网IP 1. 选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS流量清洗页面。 2. 选择“公网IP”页签，查看已开启AntiDDoS防护的公网IP。 说明 购买了公网IP后，自动开启AntiDDoS“默认防护”。开启AntiDDoS防护后，即可对开启防护的IP地址提供DDoS攻击保护。 开启AntiDDoS防护后，当检测到报文总流量达到120Mbps时，触发流量清洗功能。如果需要配置AntiDDoS的防护策略，可以修改防护参数。 AntiDDoS为普通用户提供2Gbps的DDoS攻击防护，最高可达5Gbps，系统会对超过黑洞阈值的受攻击公网IP进行黑洞处理，正常访问流量会丢弃；对于可能会遭受超过5Gbps流量攻击的应用，建议您购买DDoS高防服务，提升防护能力。

本节主要介绍权限管理类问题 无法找到特定服务的权限怎么办？ 天翼云服务分为项目级服务和全局级服务两种，需正确选择权限作用范围才能找到特定权限。如对象存储OBS属于全局级服务，弹性云主机属于项目级服务。 如已正确选择服务级别和服务名称仍无法找到服务，则该需要设置权限的服务暂不支持IAM。 权限没有生效怎么办？ 企业管理员在IAM控制台给IAM用户设置权限后，IAM子用户登录天翼云后发现权限没有生效，无法使用服务。 1. 可能原因：管理员授予IAM用户所在用户组的权限不正确。 解决方法：管理员确认并修改授予IAM用户所在用户组的权限，方法请参考：用户指南 > 用户组及授权。 2. 可能原因：管理员授予的权限已拒绝相关操作的授权项。 解决方法：管理员查看已授予IAM用户的系统权限详情，确认已授予的权限是否有拒绝操作的语句，方法请参考：用户指南 > 权限管理> 策略。如系统权限无法满足您的场景需要，管理员可以创建自定义策略，允许该操作对应的授权项，方法请参考：用户指南> 权限管理> 自定义策略。 3. 可能原因：管理员给用户组授予权限后，忘记将IAM用户添加至用户组中。 解决方法：管理员将IAM用户添加至用户组中，方法请参见：用户指南 > 用户组及授权> 用户组添加/移除用户。 4. 可能原因：对于区域级服务，管理员没有在在对应的区域进行授权。 解决方法：管理员在对IAM所在用户组授权时，选择对应的区域。如果管理员授予用户默认区域项目的权限，用户只能访问该默认项目中的资源，不拥有该默认项目下IAM子项目的权限，建议您授予IAM用户最小区域权限，方法请参见：用户指南 > 用户组及授权> 创建用户组并授权。 5. 可能原因：对于区域级服务，IAM用户登录控制台后，没有切换到授权区域。 解决方法：IAM用户访问区域级服务时，请切换至授权区域，方法请参见：用户指南 > 项目。 6. 可能原因：管理员授予的OBS权限由于系统设计的原因，授权后需等待1530分钟才可生效。 解决方法：请IAM用户和管理员等待1530分钟后重试。 7. 可能原因：浏览器缓存导致权限信息未更新。 解决方法：请清理浏览器缓存后重试。 8. 可能原因：管理员同时在IAM和企业管理给用户授权，基于企业项目管理权限可能不生效。IAM鉴权优先于企业管理。 解决方法：请管理员根据情况在IAM控制台修改用户权限。

本文介绍云备份的相关术语。 备份客户端 备份客户端（下文简称客户端）是安装在被保护的主机上，用于对云主机或本地服务器进行目录/文件备份的客户端。云备份服务需要搭配备份客户端一同使用，您需要首先在目标主机中安装客户端。 存储库 存储库用于存储您备份在云上的数据。创建备份前，需要先创建至少一个存储库，产生的备份副本会存放至对应的存储库中。 存储库有地域属性，选择合理的存储库地域可以帮助您提高备份性能，布局容灾。存储库创建成功后不能更换地域。 备份计划（备份任务） 备份计划指的是对备份对象执行备份操作时，预先设置的计划。包括备份计划的名称、关联的目标主机、备份目录、关联的存储库、备份周期以及备份数据的保留规则。通过创建备份计划，可以为被保护主机执行自动备份。 备份副本 备份副本即一个备份对象执行一次备份计划产生的备份数据，包括备份对象恢复时所需要的数据。备份副本可以通过执行备份计划产生。 历史任务 每执行一次备份或恢复动作会生成一条单独的任务执行记录，历史任务记录了路径、文件数量、执行时间、结束时间等信息。 地域 地域（Region）是指物理的数据中心的地理区域，从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。

本文介绍如何验证域名归属权。 客户在天翼云控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 1.客户需在自己的域名解析服务商（例如：腾讯云、新网等），操作本次要新增域名的【主域名】解析记录，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 注意： 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准）。 主机记录：为固定值：dnsverify。 TXT记录值为根据域名随机生成： 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2.域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 Linux系统解析命令：dig dnsverify.ctcdn.cn txt。 3.如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本节介绍了文档数据库服务的权限管理说明。 如果您需要对云上购买的DDS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云账号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DDS的使用权限，但是不希望他们拥有删除DDS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DDS，但是不允许删除DDS的权限策略，控制他们对DDS资源的使用范围。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DDS服务的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 DDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DDS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了DDS的所有系统权限。 DDS系统权限 策略名称/系统角色 描述 类别 依赖关系 DDS FullAccess 文档数据库服务所有权限。 系统策略 无 DDS ReadOnlyAccess 文档数据库服务资源只读权限，拥有该权限的用户仅能查看文档数据库服务数据。 系统策略 无 DDS ManageAccess 文档数据库服务除删除操作外的DBA权限。 系统策略 无 DDS Administrator 文档数据库服务（DDS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest和Tenant Administrator角色，在同项目中勾选依赖的角色。 下表列出了DDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 DDS FullAccess DDS ReadOnlyAccess DDS ManageAccess DDS Administrator 创建实例 √ x √ √ 查询实例列表 √ √ √ √ 删除实例 √ x x √ 重启实例 √ x √ √ 主备倒换 √ x √ √ 修改端口 √ x √ √ 重置密码 √ x √ √ 修改SSL √ x √ √ 修改安全组 √ x √ √ 绑定/解绑公网IP √ x √ √ 磁盘扩容 √ x √ √ 规格变更 √ x √ √ 节点扩容 √ x √ √ 删除扩容失败节点 √ x × √ 修改备份策略 √ x √ √ 重命名实例 √ x √ √ 修改内网IP地址 √ x √ √ 变更实例下节点绑定的参数模板 √ x √ √ 切换慢日志明文显示开关 √ x √ √ 切换审计日志开关 √ x √ √ 下载审计日志 √ x √ √ 删除审计日志 √ x × √ 下载备份文件 √ x √ √ 创建手动备份 √ x √ √ 查询备份列表 √ √ √ √ 恢复到新实例 √ x √ √ 恢复到已有实例 √ x √ √ 删除备份 √ x × √ 创建参数模板 √ x √ √ 查询参数模板列表 √ √ √ √ 修改参数模板 √ x √ √ 删除参数模板 √ x × √ 任务中心列表 √ x √ √ 下表列出了DDS常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 创建页需要查询对应的VPC、子网、安全组。 创建实例 dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 dds:instance:list 查询实例详情 dds:instance:list 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 导出实例列表 dds:instance:list 如果需要导出VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 删除实例 dds:instance:deleteInstance 删除实例需要同时删除数据侧IP地址。 重启实例 dds:instance:reboot 主备倒换 dds:instance:switchover 修改端口 dds:instance:modifyPort 重置密码 dds:instance:resetPasswd 修改SSL dds:instance:modifySSL 修改安全组 dds:instance:modifySecurityGroup 绑定公网IP dds:instance:bindPublicIp 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP dds:instance:unbindPublicIp 不支持企业项目 不支持细粒度 磁盘扩容 dds:instance:extendVolume 规格变更 dds:instance:modifySpec 节点扩容 dds:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 删除扩容失败节点 dds:instance:extendNode 如果IP地址已经创建完成，但后续流程失败，需要同时删除数据侧IP地址。 修改备份策略 dds:instance:modifyBackupPolicy 重命名实例 dds:instance:modify 修改内网IP地址 dds:instance:modifyVIP vpc:subnets:get vpc:ports:get 修改内网IP地址，需要预先查询出可用的IP地址，再进行修改。 变更实例下节点绑定的参数模板 dds:instance:modifyParameter 切换慢日志明文显示开关 dds:instance:modifySlowLogPlaintextSwitch 切换审计日志开关 dds:instances:modifyAuditLogSwitch 下载审计日志 dds:instances:downloadAuditLog 删除审计日志 dds:instance:deleteAuditLog 下载备份文件 dds:backup:download 创建手动备份 dds:instance:createManualBackup 查询备份列表 dds:backup:list 恢复到新实例 dds:backup:createInstanceFromBackup vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 加密实例需要在项目上配置KMS Administrator权限。 恢复到已有实例 dds:backup:refreshInstanceFromBackup 删除备份 dds:backup:delete 创建参数模板 dds:param:create 查询参数模板列表 dds:param:list 修改参数模板 dds:param:modify 删除参数模板 dds:param:delete 任务中心列表 dds:task:list