说明：本章会介绍关系型数据库的相关术语解释，对常见的相关名词进行详细解答 什么是 实例 ？ 关系型数据库的最小管理单元是实例，一个实例代表了一个独立运行的关系型数据库。用户可以在关系型数据库系统中自助创建及管理各种数据库引擎的实例。实例的类型、规格、引擎、版本和状态，请参考实例说明。 什么是数据库引擎？ 专属云关系型数据库支持以下引擎： MySQL PostgreSQL 什么是 实例类型 ？ 云数据库RDS的实例分为两个类型，即单机实例和主备实例。不同系列支持的引擎类型和实例规格不同。 各系列产品的详细介绍请参考产品类型简介和产品功能对比。 什么是 实例规格 ？ 数据库实例各种规格（vCPU个数、内存（GB）、对应的数据库引擎）请参考数据库实例规格。 什么是 自动备份 ？ 创建实例时，关系型数据库服务默认开启自动备份策略，实例创建成功后，您可对其进行修改，关系型数据库会服务根据您的配置，自动创建数据库实例的全量备份。 什么是 手动备份 ？ 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。 什么是 区域和可用区 ？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 什么是 项目 ？ Project用于将OpenStack的资源（计算、存储和网络资源）进行分组和隔离。Project可以是一个部门或者一个项目组。一个帐户中可以创建多个Project。

本文主要介绍专属存储三副本技术 什么是三副本技术 专属云（存储独享型）的存储系统采用三副本机制来保证数据的可靠性，即针对某份数据，默认将数据分为1 MB大小的数据块，每一个数据块被复制为3个副本，然后按照一定的分布式存储算法将这些副本保存在集群中的不同节点上。 专属云（存储独享型）三副本技术的主要特点如下： 存储系统自动确保3个数据副本分布在不同服务器的不同物理磁盘上，单个硬件设备的故障不会影响业务。 存储系统确保3个数据副本之间的数据强一致性。 例如，对于服务器A的物理磁盘A上的数据块P1，系统将它的数据备份为服务器B的物理磁盘B上的P1''和服务器C的物理磁盘C上的P1'，P1、P1'和P1''共同构成了同一个数据块的三个副本。若P1所在的物理磁盘发生故障，则P1'和P1''可以继续提供存储服务，确保业务不受影响。 图 数据块存储示意图 三副本技术怎样确保数据一致性 数据一致性表示当应用成功写入一份数据到存储系统时，存储系统中的3个数据副本必须一致。当应用无论通过哪个副本再次读取这些数据时，该副本上的数据和之前写入的数据都是一致的。 专属存储三副本技术主要通过以下机制确保数据一致性： 写入数据时，同时在3个副本执行写入操作 当应用写入数据时，存储系统会同步对3个副本执行写入数据的操作，并且只有当多个副本的数据都写入完成时，才会向应用返回数据写入成功的响应。 读取数据失败时，自动修复损坏的副本 当应用读数据失败时，存储系统会判断错误类型。如果是物理磁盘扇区读取错误，则存储系统会自动从其他节点保存的副本中读取数据，然后在物理磁盘扇区错误的节点上重新写入数据，从而保证数据副本总数不减少以及副本数据一致性。

本文向您介绍天翼云与客户的安全责任共担机制。 与传统的本地数据中心相比，云计算的运营方和使用方分离，提供了更好的灵活性和控制力，有效降低了客户的运营负担。正因如此，云的安全性无法由一方完全承担，云安全工作需要天翼云与您共同努力。 天翼云：无论在任何云服务类别下，天翼云都会承担基础设施的安全责任，包括安全性、合规性。该基础设施由天翼云提供的物理数据中心（计算、存储、网络等）、虚拟化平台及云服务组成。在PaaS、SaaS场景下，天翼云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户：无论在任何云服务类别下，客户数据资产的所有权和控制权都不会转移。在未经授权的情况，天翼云承诺不触碰客户数据，客户的内容数据、身份和权限都需要客户自身看护，这包括确保云上内容的合法合规，使用安全的凭证（如强口令、多因子认证）并妥善管理，同时监控内容安全事件和账号异常行为并及时响应。 图天翼云安全责任共担模型 云安全责任基于控制权，以可见、可用作为前提。在客户上云的过程中，资产（例如设备、硬件、软件、介质、虚拟机、操作系统、数据等）由客户完全控制向客户与天翼云共同控制转变，这也就意味着客户需要承担的责任取决于客户所选取的云服务。如上图所示，客户可以基于自身的业务需求选择不同的云服务类别（例如IaaS、PaaS、SaaS服务）。不同的云服务类别中，每个组件的控制权不同，这也导致了天翼云与客户的责任关系不同。 在IaaS场景下，客户控制着除基础设施外的所有组件，因此客户需要做好除基础设施外的所有组件的安全工作，例如应用自身的合法合规性、开发设计安全，以及相关组件（如中间件、数据库和操作系统）的漏洞修复、配置安全、安全防护方案等。 在PaaS场景下，客户除了对自身部署的应用负责，也要做好自身控制的中间件、数据库、网络控制的安全配置和策略工作。 在SaaS场景下，客户对客户内容、账号和权限具有控制权，客户需要做好自身内容的保护以及合法合规、账号和权限的配置和保护等。

九、未成年人信息保护 9.1 天翼云VPN连接仅面向成年人提供产品和服务。在控制台实名认证环节，如果我们识别到您是未满18周岁的用户，我们将拒绝向您提供服务。 9.2 本App不涉及收集未满14周岁未成年人的个人信息。用户需在天翼云平台注册账号并开通VPN连接服务后，方可使用App内的服务，且本App不会收集用户个人信息，用户进行连接时使用的账号、密码以及证书均需要管理员在官网控制台通过配置生成。 9.3 如您是未成年人的父母或其他监护人，请您关注您所监护的未成年人是否使用我们的服务。如果您有理由相信未成年人未经您的事先同意而向天翼云门户提交了个人信息，请联系我们删除此类个人信息，并请保证未成年人已取消相关服务。如您对我们处理您所监护的未成年人的个人信息有其他疑问，请通过本政策中的联系方式与我们联系。 十、本隐私政策如何更新 10.1 基于为您提供更好的服务的目的，并根据电信业务的发展或法律法规及监督政策变化的要求，我们可能会适时修订本隐私政策，修订后的隐私政策将在本App内公布。对于本隐私政策的重大改动，我们将以弹窗的方式请您重新授权同意。如果您不同意新的隐私政策，请您确保您立即停止访问或使用我们的相关服务。 您可以通过本App设置页面的隐私政策入口，访问最新版的《CTCloudConnect客户端隐私政策》。

本文主要介绍设置安全组 操作场景 为了保障数据库的安全性和稳定性，在使用文档数据库实例之前，您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。 注意事项 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和文档数据库可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当文档数据库服务加入该安全组后，即受到这些访问规则的保护。 当需要从安全组外访问安全组内的文档数据库时，需要为安全组添加相应的入方向规则。 操作步骤 步骤 1 在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“安全组”区域，选择“入方向规则”页签，单击“添加规则”，弹出添加入方向规则窗口。选择“出方向规则”页签，单击“添加规则”，弹出添加出方向规则窗口。 单击，可以依次增加多条规则。 步骤 4 根据界面提示配置安全组规则。 参数说明 参数 说明 取值示例 ::: 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口，取值范围为：1～65535。 端口填写包括以下形式：单个端口：例如22；连续端口：例如2230；全部端口：为空或165535 8635 源地址 可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如：单个IP地址：192.168.10.10/32；IP地址段：192.168.1.0/24；所有IP地址：0.0.0.0/0；安全组：sgabc IP；地址组：ipGrouptest 0.0.0.0/0 步骤 5 单击“确定”。

请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn”。 resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources”。 querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据。 示例： 云主机根据regionID查询用户资源，则需使用这个区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 请求方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST <

本节介绍了裸金属如何通过NAT网关、子网ACL配置实现公网互访。 裸金属可以通过绑定弹性公网IP或NAT网关或负载均衡等多种方式实现公网访问，本节主要介绍通过NAT网关实现公网互访。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。 VPC内的实例出方向访问通过SANT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 前提条件 虚拟私有云的子网类型为裸金属子网。 已创建裸金属实例。 已创建与裸金属实例同VPC的NAT网关。 已创建空闲的弹性IP。 已创建空闲的子网ACL。 裸金属实例通过NAT网关访问公网 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 绑定】，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置SNAT规则】进入网关详情。 4. 在【添加SNAT规则】页面，子网需要选择与裸金属实例相同的子网，【弹性公网IP】选择已绑定的公网IP，下拉项只会显示已绑定的公网IP，单击【提交】完成规则设置。 5. 在【SNAT】页签可以查看已添加的规则。 6. 登录裸金属，输入账号密码，ping测公网IP地址的联通性。

请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn”。 resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources”。 querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据。 示例： 云主机根据regionID查询用户资源，则需使用这个区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 请求方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST <

本小节介绍如何使用AntiDDoS流量清洗。 AntiDDoS流量清洗服务（以下简称AntiDDoS）为弹性公网IP提供四到七层的DDoS攻击防护和攻击实时告警通知。同时，AntiDDoS可以提升用户带宽利用率，确保用户业务稳定运行。 AntiDDoS通过对互联网访问弹性公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，AntiDDoS为用户生成监控报表，清晰展示网络流量的安全状况。 本指南通过查看公网IP、开启AntiDDoS告警通知、配置AntiDDoS防护策略，以及查看监控和拦截报告的方式，指导您快速上手AntiDDoS流量清洗服务。 准备环境 1. 登录天翼云控制中心。 2. 在控制中心选择“计算 > 弹性云主机”，创建一台弹性云主机（ECS），用于AntiDDoS流量清洗提供DDoS攻击保护的弹性公网IP。 说明 ECS需要绑定一个弹性IP，具备外网访问权限。 如果用户已有VPC和ECS，可重复使用，无需多次创建。 查看公网IP 1. 选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS流量清洗页面。 2. 选择“公网IP”页签，查看已开启AntiDDoS防护的公网IP。 说明 购买了公网IP后，自动开启AntiDDoS“默认防护”。开启AntiDDoS防护后，即可对开启防护的IP地址提供DDoS攻击保护。 开启AntiDDoS防护后，当检测到报文总流量达到120Mbps时，触发流量清洗功能。如果需要配置AntiDDoS的防护策略，可以修改防护参数。 AntiDDoS为普通用户提供2Gbps的DDoS攻击防护，最高可达5Gbps，系统会对超过黑洞阈值的受攻击公网IP进行黑洞处理，正常访问流量会丢弃；对于可能会遭受超过5Gbps流量攻击的应用，建议您购买DDoS高防服务，提升防护能力。

管控规则是通过一系列风险管控因子对数据库实现安全管控的规则集合,用户在使用DMS的查询窗口、数据导出、数据导入、SQL变更、实例管理、可视化编辑等功能时,可以设置管控规则对这些行为进行安全管控,进而可以在DMS平台内实现符合安全规范的数据库研发及变更流程。本文主要介绍管控规则集的新增、删除、编辑、复制创建等功能的使用方法。 前提条件 组织版本为企业版。 用户需要具有进入SQL风险 页面的菜单权限。菜单权限请参考权限说明。 用户在组织内添加了实例并绑定风险管控规则。 应用场景 场景 方案 针对所有数据库类型的高危风险操作统一拦截，如不同功能模块下的删表、删库语句。 管控规则集适配公有云所有的数据库类型。系统内置两种规则集，宽松规则集适合开发/测试环境的实例，严格规则集适合生产环境的实例。 管控规则集支持对DDL、DML、导出数据三种操作创建风险识别规则，三种操作行为涵盖了查询窗口、导入导出工单、SQL变更工单、数据库账号管理、可视化编辑等所有可能产生高危操作的功能场景，且每种风险规则提供多种风险管控因子，方便对用户的行为进行更精细化的管控。 管控规则集支持自定义审批流程，针对某种操作识别出来的风险等级，用户可以指定审批流程。 用户特定操作识别及自定义审批流程，如配置导出行数超过1000的工单由超级管理员审批。 管控规则集适配公有云所有的数据库类型。系统内置两种规则集，宽松规则集适合开发/测试环境的实例，严格规则集适合生产环境的实例。 管控规则集支持对DDL、DML、导出数据三种操作创建风险识别规则，三种操作行为涵盖了查询窗口、导入导出工单、SQL变更工单、数据库账号管理、可视化编辑等所有可能产生高危操作的功能场景，且每种风险规则提供多种风险管控因子，方便对用户的行为进行更精细化的管控。 管控规则集支持自定义审批流程，针对某种操作识别出来的风险等级，用户可以指定审批流程。 用户对不同环境的实例有不同的管控需求，如生产环境需要比较严格的管控规则，开发环境则需要一些宽松的规则，甚至无规则管控。 管控规则集适配公有云所有的数据库类型。系统内置两种规则集，宽松规则集适合开发/测试环境的实例，严格规则集适合生产环境的实例。 管控规则集支持对DDL、DML、导出数据三种操作创建风险识别规则，三种操作行为涵盖了查询窗口、导入导出工单、SQL变更工单、数据库账号管理、可视化编辑等所有可能产生高危操作的功能场景，且每种风险规则提供多种风险管控因子，方便对用户的行为进行更精细化的管控。 管控规则集支持自定义审批流程，针对某种操作识别出来的风险等级，用户可以指定审批流程。

Q：SDK 中输入的 desktopCode 是指什么？ A：desktopCode 是指桌面编码，用于唯一标识您的云电脑桌面实例。请注意，desktopCode 与桌面 ID 是两个不同的概念，请勿混淆，务必确认填写的是正确的桌面编码。 Q：如果我的云电脑桌面处于离线状态，是否仍然可以正常使用？ A：很抱歉，桌面处于离线状态时将无法正常接收和执行指令。请您先通过云电脑客户端或官网控制台将桌面开机并确认其处于在线运行状态后，再进行相关操作。 Q：通过 SDK 发送指令后，桌面没有任何响应，应如何排查？ A：建议您按以下步骤逐一排查： 1. 确认 SDK 指令格式是否正确，参数是否完整； 2. 检查接口返回的消息体中，是否包含成功标志（successtrue）； 3. 若上述检查均无异常，请进入目标桌面，打开「应用市场」，找到并重新安装以下两个插件：clinkagent 和 AiClientTool，安装完成后再重新发送指令。 如问题仍未解决，请联系我们的技术支持团队，并提供相关日志信息以便进一步协助排查。

本节为您介绍云迁移服务CMS数据迁移工具添加源节点操作。 1. 进入“数据迁移工具”，点击左侧导航栏 【数据源管理】进入 [数据源管理] 界面 。 2. 点击 【添加数据源】按钮，进入[添加数据源]界面，选择【源节点】按钮。 3. 输入数据源名称，选择数据源类型，输入数据源对应的连接方式。 4. 填写信息完成后，点击【添加数据源】按钮，完成添加，平台显示“添加成功”。 5. 可以在 [数据源管理] 界面，看到刚刚添加的源节点。

本节介绍全流量分析服务接入流程。 托管检测与响应服务团队通过全流量分析服务，对接入托管检测与响应服务的云主机流量进行全面分析，发现病毒木马、APT攻击等。 服务阶段 实施内容 购买阶段 请您根据实际需求及服务团队沟通建议购买全流量分析服务，购买指引请参见购买全流量分析服务。 准备阶段 明确需创建的虚拟机规格，是否需要对接终端引流插件。 部署阶段 上传私有镜像、创建全流量虚拟机、完成授权，全流量对接及外发策略配置。

智能网关实例如何停止计费？ 智能网关实例从业务实际开通之时开始计费：如果用户侧已具有设备，仅需购买SDWAN接入带宽，则在带宽开通成功时开始计费；如果用户同时从天翼云购买智能网关设备和接入带宽，则在智能网关设备首次激活成功后开始计费。 计费开始后，如果您的SDWAN服务没有到期，或者您没有进行退订相关的操作，那么智能网关实例无法停止计费。如果您不再使用天翼云SDWAN服务，请联系您的客户经理或者自行在天翼云控制台进行退订操作。

本小节介绍安全专区创建用户账号方法。 操作方法 1.点击【添加用户】，按照页面提示完整填写用户信息，添加新的账号。 2.打开用户注册信息窗口。 用户名：填写用户邮箱作为用户名（系统将发送邮件到该邮箱）； 手机号：填写用户手机号（登录接收验证码）； 角色分配 安全管理员：负责安全策略配置； 审计人员：可查看及管理日志； 运维人员：业务系统运维人员只能登录云堡垒机，对业务系统进行操作。

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

变量 说明 <instanceip> 请替换为TaurusDB实例的IP地址。 说明 如果通过弹性云主机连接，“instanceip”是实例的“读写内网地址”。您可以在该实例“基本信息”页面的“网络信息”区域查看。 如果通过公网连接，“instanceip”为该实例已绑定的“弹性IP”，即读写公网地址。您可以在该实例“基本信息”页面的“网络信息”区域查看。 <instanceport> 请替换为实例的数据库端口，默认为3306。 说明 您可以在该实例“基本信息”页面的“网络信息”区域查看。 <databasename> 请替换为连接实例使用的数据库名，默认为mysql。

DTS服务等级协议变更说明。 尊敬的用户您好，我们将于2026年2月14日更新《天翼云数据传输服务DTS版服务等级协议》以期向您展示更加清晰完整的条款内容，帮助您更加清楚高效地了解我们的产品服务。 本次更新内容如下： 1. 将原协议第二条 服务承诺 和第三条 服务说明 的内容合并到新的第二条 服务说明与承诺，并更新关于服务不可用的定义，修改后内容如下： 服务不可用：指依照数据传输服务平台的系统日志，显示用户使用的数据迁移、数据同步功能因天翼云原因导致的从源数据库到目标数据库写入数据失败，且失败状态连续超过五分钟视为服务不可用，低于五分钟的不可用时间不视为服务不可用。 2. 将原协议第四条 赔偿方案 变更为 第三条服务补偿，并更新关于补偿申请时限的说明，新增关于补偿申请方法的说明，相关修改和新增内容如下： 补偿申请时限：用户可在每服务周期账单结清后对该服务周期没有达到服务可用性承诺的云服务提出补偿申请，且补偿申请必须在该云服务没有达到服务可用性承诺的服务周期结束后两个月内提出。超出申请时限的补偿申请将不被受理。天翼云将对用户的申请进行合理评估，并依据本SLA约定及诚信原则就是否适用补偿做出决定。 补偿申请方法：用户可以在天翼云用户中心提交工单申请补偿。 3. 将原协议第五条 不可抗力及免责 变更为第四条 限制，并新增如下条款： 以下原因导致的甲方数据传输服务不可用的情况不计在不可用时间内： 甲方的应用程序或安装活动所引起的； 任何天翼云所属设备以外的网络、设备故障或配置调整引起的； 系统或服务日常维护而引起的； 甲方使用DTS免费任务或处于收费任务的免费阶段的； 甲方未遵循天翼云产品官方使用文档或使用建议引起的； 甲方的源端数据库或目标端数据库自身原因导致的； 由于源端数据库或者目标端数据库用户名、密码修改后，甲方未及时在DTS控制台更新导致的； 由甲方操作所引起的不可用，包括但不限于实例被意外重启、源端数据库或者目标端数据库参数修改不当以及删改数据库账户、权限后未及时在DTS控制台更新等； 依照法律法规，应监管部门要求或依照协议及协议中援引的政策用户的服务被暂停或终止的。 4. 将原协议第五条 不可抗力及免责 中关于协议生效的内容放到新增的第五条 协议生效及其他并更新说明，修改后内容如下： 本服务等级协议自用户申请天翼云数据传输服务之日起生效并遵行。终止日期以《天翼云数据传输服务DTS版服务协议》的终止为准。 天翼云有权对本SLA条款作出修改。如本SLA条款有任何修改，天翼云将提前30天以网站公示或发送邮件的方式通知用户。如用户不同意天翼云对SLA所做的修改，用户有权停止使用DTS服务，如用户继续使用DTS服务，则视为用户接受修改后的SLA。 本次更新将于2026年2月14日正式更新至官网协议文档，请您务必认真阅读上述变更内容，若您不同意天翼云即将对SLA所做的修改，您有权停止使用DTS服务，如您继续使用DTS服务，则视为您接受修改后的SLA。

本文介绍如何进行快速分析。 日志包含系统性能和业务信息，如“ERROR”关键词的数量反映系统健康度，“BUY”关键词的数量反映业务成交量。通过快速分析功能，可查询指定日志关键词，云服务日志可针对配置的关键词进行统计并生成指标数据，帮助您实时了解系统性能和业务信息。 前提条件 已接入日志，并已创建对应的日志字段索引。 操作步骤 1. 登录云日志服务控制台。 2. 点击目标日志项目与日志单元，进入日志单元查询页面。 3. 在“原始数据”页签下，左侧将会展示所有的日志字段。其中代表text类型字段，代表double类型字段。 4. 点击字段右侧的三角按钮，将会展示该字段不通值的统计分布。 5. 点击字段右侧的按钮，选择“字段分布值统计”，可基于该字段的不通值的分布情况，生成可视化饼图。您可基于该饼图将其添加至自定义仪表盘中。

本节为您介绍云迁移服务CMS中数据迁移服务目标节点添加。 1. 进入“数据迁移工具”，点击“数据源管理”界面。 2. 点击 “添加数据源”按钮，进入“添加数据源”界面，选择“目标节点”。 3. 输入数据源名称，选择数据源类型，输入数据源对应的连接方式。 4. 填写信息完成后，点击“添加数据源”按钮，完成添加，平台显示“添加成功”。 5. 可以在数据源管理界面，看到刚刚添加的源节点。

本节为您介绍云迁移服务CMS中数据库迁移工具使用流程。 使用数据库迁移工具，您需在迁移源数据库、目标数据库和数据库迁移工具控制台进行操作。迁移源数据库和目标数据库，需打通与节点的网络；通过数据库迁移工具控制台进行后续的任务配置等操作。 数据库迁移工具中迁移评估/数据迁移/数据同步/数据订阅服务流程总览如下图所示： 数据库传输工具中的迁移任务需要将数据库源端和目标端与子节点网络打通，具体请见组网视图：

重置节点操作步骤 1. 登录云容器引擎控制台。 2. 单击集群名称进入集群，在左侧点击“ 节点管理 ”，下拉点击“ 节点 ”，选择相关的节点，操作“ 更多 ”处点击“ 重置节点 ”。 3. 点击“ 重置节点 ”，勾选“ 我已阅读并知晓上述信息 ”，点击“ 确定 ”。 验证重置节点 检查节点状态 重置完成后，使用以下命令检查节点状态： kubectl get nodes 确保节点状态为Ready。 检查Pod调度 使用以下命令检查Pod是否已成功调度到其他节点： kubectl get pods o wide 确保所有Pod均处于运行状态。

参数 是否必填 参数类型 说明 示例 下级对象 taskID 是 String 任务ID 参考响应示例 taskName 是 String 任务名称 参考响应示例 pairName 是 String 云容灾保护组名字 参考响应示例 doneTimeDesc 是 String 完成时间 参考响应示例 createTimeDesc 是 String 创建时间 参考响应示例 exeInfo 是 String 执行信息 参考响应示例 ecsName 是 String 产生任务的ecs名称 参考响应示例 ecsID 是 String 产生任务的ecsID 参考响应示例 percentTips 是 String 提示语 参考响应示例 percent 是 String 进度百分比 参考响应示例 taskStatus 是 String 任务状态: 0：未处理 1：成功 2：失败 3：进行中,0、3需要轮训 参考响应示例

操作场景 CCE支持配置工作负载日志策略，便于日志的统一收集、管理和分析，以及按周期防爆处理。 本章节向您介绍如何采集容器标准输出日志。如果您需要通过配置日志策略的方式采集容器内路径日志，请参见采集容器内路径日志。 操作步骤 步骤 1 在创建工作负载时，添加容器后，展开“容器日志”。 步骤 2 保留默认配置，完成工作负载的创建。 步骤 3 查看日志。 工作负载创建完成后，访问nginx。进入工作负载详情页，单击右上角的“日志”按钮可查看日志详情。日志约需要等待5分钟查看。 说明：云容器引擎服务对接了应用运维管理服务AOM提供日志查看、检索功能。

前提条件 如果需要修改审核失败的资质，请先在资质管理 页面查看 操作记录 ，根据审核失败说明准备相应的证明材料。 注意事项 审核中的资质不支持修改或删除。 修改资质时，不能修改资质的企业名称和申请用途，只能修改企业证件信息、企业法人信息、经办人信息等选项。 修改审核失败的签名 1. 登录云通信控制台。 2. 在左侧导航栏，单击 资质管理 。 3. 在资质管理 页面，查看审核状态 显示为未通过 的资质，在操作 列，单击修改 查看原因并修改 ，根据提示修改适当的资质。 4. 单击 提交 ，完成修改。

适用于贵州/福州/杭州/深圳/广州4/苏州/郑州/青岛/西安2/上海4/芜湖/南宁/长沙2/南昌/成都3/乌鲁木齐/昆明/海口/重庆/武汉2/兰州/西宁/太原/石家庄/中卫/长春/天津/北京2/哈尔滨节点 1、云主机做卸载磁盘操作。 2、弹出磁盘卸载提醒界面，并带有验证提示栏如下图， 3、点击去验证，跳转操作保护页面。如下图， 4、点击【免费获取验证码】，验证码会发送到天翼云账号预留手机号，填写正确的验证码，点击【认证】，弹出认证成功（失败）提示框。 5、认证成功自动跳转回磁盘卸载弹窗界面，继续进行卸载操作。

步骤5：检查资源部署结果 资源栈部署通常需要260分钟，时间长短取决于资源规模。请您耐心等待。部署成功后，即可查验所有资源状态，更多信息您可查看 查询资源栈 1. 点击页面右上角 刷新icon 刷新状态，等待执行计划创建完成 2. 部署成功！点击 资源 页签，查看成功部署的资源清单 恭喜您成功上手！从现在开始，用资源编排管理您的云资源吧！

服务配额是指天翼云账号在使用云资源时的最大限制。本文将介绍天翼云账号购买弹性IP(Elastic IP Address,简称EIP)后可获得的服务配额。 通用配额 弹性IP (单资源池可开通数量)：单个客户每个账户、单资源池可申请的弹性IP数量为10个，您可以通过提交工单来提升配额。 弹性IP(所有一类节点资源池可开通总数量)：单个客户每个账户、在所有一类节点资源池可申请的弹性IP数量为20个，您可以通过提交工单来提升配额。

弹性IP在开通时即可加入共享带宽,本文帮助您基于共享带宽创建弹性IP。 前提条件 仅当按需创建弹性IP时才可选择选择共享带宽。 操作步骤 1. 登录网络控制台。 2. 在系统首页，单击【网络 > 虚拟私有云】。 3. 在网络控制台选择【弹性 IP】，进入弹性 IP 页面。 4. 单击【申请弹性 IP】。 5. 设置订购参数： 在订购页面选择【按量付费】标签页； 带宽类型，选择【共享带宽】； 共享带宽，选择已经创建的共享带宽实例； 购买数量，根据需要调整。 6. 点击【下一步】。 7. 点击【确认下单】后，购买成功。

VPC名称 VPC网段 子网名称 子网网段 子网关联VPC路由表 弹性云主机名称 私有IP地址 VPCA 主网段：10.0.0.0/16, SubnetA01 10.0.0.0/24 RouterA A01 10.0.0.2 VPCA 扩展网段：192.168.0.0/16 SubnetAExtend01 192.168.0.0/24 RouterA AExtend01 192.168.0.2 VPCB 10.2.0.0/16 SubnetB01 10.2.0.0/24 RouterB B01 10.2.0.2 VPCC 10.3.0.0/16 SubnetC01 10.3.0.0/24 RouterC C01 10.3.0.2

本文带您快速熟悉如何查询终端节点(Endpoint)。 对象存储（简称ZOS）为每个地域提供一个终端节点，终端节点可以理解为ZOS在不同地域的域名，用于处理各自地域的访问请求。 操作场景 如果您选择使用SDK、API或客户端，则需要提前获取创建桶时所选地域的终端节点（Endpoint），来访问ZOS资源。ZOS为每个地域提供了通过外网和内网的访问方式，具体请查看访问规则。 操作步骤 1.开通对象存储ZOS服务后，在管理控制台点击目标桶的Bucket名称，进入“概览”页面。 2.进入页面后，在“域名信息”中，记录当前资源池的终端节点（Endpoint）、Bucket外网访问、同资源池内网访问的IPV4或IPV6地址。 说明 终端节点（Endpoint）：ZOS为每个地域提供Endpoint，可通过这个地址访问和调用对象存储及其功能。 Bucket外网访问域名：桶的域名地址，支持公网访问ZOS。域名结构为“协议://BucketName.Endpoint”，BucketName为桶名称，Endpoint为桶对应的地域域名。 同资源池内网访问（IPV4）域名：支持同资源池云主机通过内网访问ZOS的IPV4地址，内网访问不产生公网流量。 同资源池内网访问（IPV6）域名：支持同资源池云主机通过内网访问ZOS的IPV6地址，内网访问不产生公网流量。 例如，华东华东1和广东广州6的endpoint地址如下表： 访问控制 Endpoint 地域 终端节点（Endpoint） 华东华东1 同资源池内网访问(IPV4) 华东华东1 访问控制 Endpoint 地域 终端节点（Endpoint） 广东广州6 同资源池内网访问(IPV4) 广东广州6

本文介绍弹性文件服务的配额类相关问题。 问题目录 什么是配额？ 弹性文件服务需要关注哪些配额？ 配额不足，如何申请扩大配额？ 最大可以创建多大的文件系统？ 最多可以创建多少个文件系统？ 我需要一个200TB的文件系统，如何申请配额？ 什么是配额？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如用户最多可以创建多少台弹性云主机、多少块云硬盘、多少个文件系统等。如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 弹性文件服务需要关注哪些配额？ 一般情况下对于弹性文件服务，您需要关注以下3个配额： 配额项 说明 文件系统总容量配额 单用户单地域默认分配50TB配额用于创建文件系统，所有的文件系统容量之和不能超过此配额。 如不满足使用需求，可以提交工单申请调整。 文件系统数量配额 默认10个，即默认情况下，在某资源池您可以创建10个文件系统。在多可用区资源池，各可用区共用该资源池总数量配额。 如不满足使用需求，可以申请调整至20个。若需要创建20+个文件系统，请提交工单进行资源评估。 说明： 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若剩余资源不足，可能无法调整至预期配额。 单个文件系统容量上限 单文件系统默认容量上限为32TB。如不满足使用需求，可以申请调整，通常情况下可以调整至320TB。 说明： 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若剩余资源不足，可能无法调整至预期配额。 弹性文件服务容量和性能不是线性相关，性能不会随容量增大线性增长，最大性能详见产品规格。