产品类型 保留期 超过保留期 计算、存储、网络、数据库、终端类产品 15天 存储数据将被删除、云服务资源将被释放

本文描述云防火墙所提供服务的韧性保证 天翼云云防火墙（原生版）的管理平台、引擎、日志服务等组件均采用主备或集群方式部署，并在多个可用区部署，从而保证云防火墙服务的韧性。 其中管理平台采用集群式部署架构，支持服务器级别的容灾备份。 日志服务采用集群式部署架构，支持服务器级别的容灾备份。 引擎采用主备部署架构，当主设备出现故障时能够快速切换到备设备提供服务。 说明 主备设备之间采用心跳进行状态检测，同时引擎还支持直接转发的功能，当主备设备同时出现故障时，能够将流量直接转发到用户的业务上，不影响用户的业务正常运行。任意一台服务器或者任意一个可用区故障时都不会导致云防火墙故障。

本小节介绍云解析域名管理，包括域名暂停启用以及域名备注。 域名暂停/启用 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，通过状态栏可查看域名当前状态。 3. 勾选域名前复选框选择要修改状态的域名，点击“更改状态”按钮，从下拉菜单中选择“暂停”或“启用”。域名状态修改支持多域名批量操作。 域名备注 为方便用户管理域名，可为域名添加备注信息。 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，最后一列是备注列，用户可点选对应域名的备注图标添加备注。 备注长度上限为50字符，不允许出现的字符有：;'%&><"。

本文为您介绍IP黑白名单防护功能说明，以及如何配置IP黑白名单策略。 IP黑白名单支持对经过云WAF防护域名的访问源IP进行黑白名单设置，来自该IP地址/IP地址段的访问，云WAF将不会做任何检测，直接拦截/放行。 IP黑白名单设置，支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 规格限制 基础版不支持IP黑白名单功能，请升级到更高版本使用。 不同实例版本支持添加的IP黑白名单规则数量不同，有关各版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“IP黑白名单”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入IP黑白名单规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、IP地址、类别、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建黑白名单”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

参数项 说明 增量包类型 选择数据服务专享集群增量包。 工作空间 选择需要使用数据服务专享集群增量包的工作空间。例如需要在DataArts Studio实例的工作空间A中使用数据服务专享版，则此处工作空间应选择为A。集群创建成功后，即可通过在工作空间A查看到创建好的数据服务专享集群。 可用区 第一次创建DataArts Studio实例或批增量包时，可用区无要求。 再次创建DataArts Studio实例或增量包时，是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 集群名称 集群描述 可以自定义对当前数据服务专享版集群的描述。 版本 当前数据服务专享版的集群版本。 集群规格 不同实例规格，对API请求的并发支持能力不同。 公网入口 开启“公网入口”，即允许外部服务通过公网地址，调用专享版实例创建的API。 带宽大小 可配置公网带宽范围。 虚拟私有云 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 在相同虚拟私有云中的云服务资源（如ECS），可以使用数据服务专享版实例的私有地址调用API。 建议将专享版实例和您的其他关联业务配置一个相同的虚拟私有云，确保网络安全的同时，方便网络配置。 说明 目前DLM实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 建议将专享版实例和您的其他关联业务配置相同的虚拟私有云下相同的子网，确保网络安全的同时，方便网络配置。 说明 目前DLM实例创建完成后不支持切换子网，请谨慎选择所属子网。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务的地址及其监听端口。 说明 1. 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 2. 目前DLM实例创建完成后不支持切换安全组，请谨慎选择所属安全组。 企业项目 DataArts Studio专享版集群关联的企业项目。企业项目管理是一种按企业项目管理云资源的方式，具体请参见

本文介绍国密证书的使用场景和使用方法。 功能介绍 密码算法是保障信息安全的核心技术，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 ::: 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出数字签名与验证算法及其相应的流程。并提供相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》。 规范国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》。 1. 将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3。 2. 并且新增GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3。 3. 以及基于RSA证书的算法套件： RSASM4CBCSM3 RSASM4GCMSM3 RSASM4CBCSHA256 RSASM4GCMSHA256 2021年：IETF工作组正式发布国际标准《rfc8998》。 该标准在TLS1.3上定义使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3。 使用ECDHESM2密钥协商算法，取消Client证书的要求和server双证书要求。 天翼云CDN加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。

本页主要介绍云原生API网关产品的API使用说明 关于如何使用云原生API网关产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。

本节为您介绍云迁移服务CMS 成本评估任务列表查看。 云迁移服务CMS平台可以查看当前用户发起的成本评估任务基本信息，如任务编号、任务名称、源端类型、目标端区域、任务状态、调研方式、创建时间、操作等信息。如图所示。

本节为您介绍云迁移服务CMS资源规划资源管理中资源任务查看。 云迁移服务CMS 平台提供资源任务搜索功能，用户可以根据资源名称、迁移计划名称、调研任务名称查找资源任务信息。如图所示。

本节为您介绍云迁移服务CMS迁移计划创建。 云迁移服务CMS平台提供2种方式创建迁移计划，其一在迁移组创建完成后提供创建迁移计划，详细操作步骤详见资源规划中迁移计划的创建。

本章节主要介绍新建MySQL连接。 前提条件 在创建数据连接前，请确保您已创建所要连接的数据湖（如DataArts Studio所支持的数据库、云服务等）。 1. 在创建DWS类型的数据连接前，您需要先在DWS服务中创建集群，并且具有KMS密钥的查看权限。 2. 在创建MRS HBase、MRS Hive、MRS Kafka、MRS Ranger、MRS Spark、MRS Presto类型的数据连接前，需确保您已创建MRS集群，并且在创建数据链接时已创建选择所需要的组件。 3. 在创建RDS类型的数据连接前，请确保您已创建RDS数据库实例。DataArts Studio平台目前仅支持RDS中的MySQL和PostgreSQL数据库引擎。 在创建数据连接前，请确保待连接的数据湖与DataArts Studio实例之间网络互通。 1. 如果数据湖为云下的数据库，则需要通过公网或者专线打通网络，确保数据源所在的主机可以访问公网，并且防火墙规则已开放连接端口。 2. 如果数据湖为云上服务（如DWS、MRS等），则网络互通需满足如下条件： ①DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。 ②DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档有关“添加路由信息”的章节，配置安全组规则请参见《虚拟私有云》帮助文档中有关“ 添加安全组规则”的章节。 ③此外，您还必须确保该云服务的实例与DataArts Studio工作空间所属的企业项目必须相同，如果不同，您需要修改工作空间的企业项目。

df TH Filesystem Type Size Used Avail Use% Mounted on /dev/vda1 ext4 43G 2.0G 39G 5% / devtmpfs devtmpfs 509M 0 509M 0% /dev tmpfs tmpfs 520M 0 520M 0% /dev/shm tmpfs tmpfs 520M 7.2M 513M 2% /run tmpfs tmpfs 520M 0 520M 0% /sys/fs/cgroup tmpfs tmpfs 104M 0 104M 0% /run/user/0 /dev/vda2 ext4 43G 51M 40G 1% /opt 云主机重启后，挂载会失效。您可以修改“/etc/fstab”文件，将新建磁盘分区设置为开机自动挂载，请参见设置开机自动挂载磁盘分区。 设置开机自动挂载磁盘分区 您可以通过配置fstab文件，设置云主机系统启动时自动挂载磁盘分区。已有数据的云主机也可以进行设置，该操作不会影响现有数据。 本文介绍如何在fstab文件中使用UUID来设置自动挂载磁盘分区。不建议采用在“/etc/fstab”直接指定设备名（比如/dev/vdb1）的方法，因为云中设备的顺序编码在关闭或者开启云主机过程中可能发生改变，例如/dev/vdb1可能会变成/dev/vdb2，可能会导致云主机重启后不能正常运行。 说明 UUID（universally unique identifier）是Linux系统为磁盘分区提供的唯一的标识字符串。 步骤1 执行如下命令，查询磁盘分区的UUID。 blkid 磁盘分区 以查询磁盘分区“/dev/vdb1”的UUID为例： blkid /dev/vdb1 回显类似如下信息： plaintext [root@ecstest0001 ~]

VPN用户配置 登录云墙，打开【对象→用户→本地用户】，单击“新建 > 用户”，输入名称、密码、确认密码。 配置VPN安全域 打开【网络→安全域】，使用VPN安全域。 新建SSL VPN隧道接口 打开【网络→接口】，单击“新建 > 隧道接口”。 配置接口名称：tunnel10。 安全域：VPNHub。 IP地址配置：10.1.1.1/24。 注意 该IP地址是用于VPN登录时的网关地址，一般默认是XX.XX.XX.1/24的地址。 该地址网段涉及到下面SSL VPN地址池的配置，请根据自身网络进行规划。 逆向路由：关闭，防止出现环路。 配置出向策略 SNAT配置：VPN地址池转换为防火墙接口地址。 安全策略访问：VPN安全域（被转换接口安全域）。 VPN登录 1. 请提交工单联系天翼云支撑工程师获取VPN软件，并且在指导下完成VPN客户端安装。 2. 安装完成后，安装SSL VPN拨号客户端，填写相应信息进行拨号后，即可访问内网业务。 服务器地址：指本配置的VPN地址，具体内容由本单位管理员提供。 端口：指本配置的端口地址，具体内容由本单位管理员提供，默认为4433。 用户名：指本配置的用户信息，具体内容由本单位管理员提供。 密码：指本配置的密码信息，具体内容由本单位管理员提供。

短信服务支持设置每日和每月的短信发送总量预警值及限额值，达到预警值时，预设的联系人会收到系统发送的短信提醒；达到限额值，系统暂停短信发送。该功能是您根据日常情况进行的发送上限设置，设置后可避免网站被人恶意利用，导致短信量突增，产生高额费用。 注意事项 每日或每月的短信发送量及限额默认情况下无限制，在设置前，需要充分评估日常发送请求量，并设定在一个合理范围。一旦发送请求量达到设置阈值，将会停止发送短信。如果预估发送量不合理，可能会给您的业务造成影响。当发送请求达到您的设置值时，系统会给您进行短信通知，收到系统短信通知后您可以进行调整。 1. 天翼云后台系统阈值短信提醒，每日最多20次。 2. 如果已超限额，无法继续发送消息，需要手动调整限额值。 操作流程 1. 登录云通信控制台。 2. 在左侧导航栏，单击消息配置 。 3. 在发送总量阈值设置 区域，单击设置 。 4. 填写每日和每月的短信发送总量预警值及限额值，达到预警值时短信服务会向联系人发送提醒；达到限额值时停止短信发送业务。 5. 单击确认 ，完成配置。 6. 套餐包预警值。 系统自动根据套餐包使用情况发送警值提醒，当套餐包余量到达总量的30%、10%以及无余量时，系统将向用户发送短信提醒。

对于支持IAM配置，不支持企业项目配置的操作，若没有配置过IAM权限将默认不具备相应操作权限，操作将被拦截，对于这种场景，该如何处理？ 支持IAM配置，不支持企业项目配置的操作在没有配置过IAM权限时，将默认不具备相应操作权限，操作将被拦截，如下图创建快照，前端提示权限不足，操作被拦截。此时，您需要在IAM中为此用户新增创建快照的IAM操作权限以解除限制。 操作步骤 1.登陆统一身份认证服务平台。 2.创建或修改自定义策略，在该策略中需添加创建快照的三元组“evs:snapshot:create”，具体创建或修改策略的操作请参见统一身份认证IAM中“策略管理”章节。 3.为待授权的子账号所归属的用户组配置上述具有“evs:snapshot:create”三元组的策略。具体授权策略的操作请参见统一身份认证IAM中“用户组授权”章节。 4.完成上述配置后，用已授权创建快照权限的子用户登陆天翼云控制台，创建快照操作将不再被拦截，能够进入创建快照页面。 为什么子用户订购云硬盘跳转到订单中心时，显示“抱歉，您没有访问该页面的权限”？ 若您的子用户需要实现下单类操作，如创建、扩容等，您需要为子用户所在用户组设置“订单与云网账号管理员权限”，即授权“bss admin”策略。 具体操作可参考子用户如何创建和下单一类节点资源。

本节介绍了密码过期问题与处理方法。 TaurusDB 8.0版本支持通过设置全局变量“defaultpasswordlifetime”来控制用户密码的默认过期时间。 参数“defaultpasswordlifetime”的值为N，表示密码N天后过期，单位为天。默认值为0，表示创建的用户密码永不过期。 修改全局自动密码过期策略 您可以在云数据库TaurusDB界面，通过设置参数“defaultpasswordlifetime”的值，修改密码过期策略。 参数修改具体请参见编辑参数模板。 通过命令修改全局变量“defaultpasswordlifetime”的值。 mysql> set global defaultpasswordlifetime0; 查看当前所有用户的密码过期时间 执行以下命令： mysql> select user,host,passwordexpired,passwordlastchanged,passwordlifetime from user; 查看指定用户的密码过期策略 执行以下命令： mysql> show create user jeffrey @'localhost'; “EXPIRE DEFAULT”表示遵从全局到期策略。 设置指定用户的密码过期策略 创建用户的同时设置密码过期策略 create user ' script '@'localhost' identified by ' ' password expire interval 90 day; 创建用户后设置密码过期策略 ALTER USER ' script '@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY; 设置密码永不过期 mysql> CREATE USER ' mike '@'%' PASSWORD EXPIRE NEVER; mysql> ALTER USER ' mike '@'%' PASSWORD EXPIRE NEVER; 设置密码遵从全局到期策略 mysql> CREATE USER ' mike '@'%' PASSWORD EXPIRE DEFAULT; mysql> ALTER USER ' mike '@'%' PASSWORD EXPIRE DEFAULT;

本文介绍DDoS高防（边缘云版）相关的概念解释。 什么是DDoS高防经常提到的源站IP？ 源站IP指客户的业务系统对外提供服务时所使用的公网IP地址。 用户在接入域名时，需要配置源站地址。当攻击流量经过天翼云节点清洗后，干净的业务流量将会转发回客户源站IP。 什么是SYN Flood攻击？ SYN Flood攻击是一种典型的DDoS攻击，主要攻击方式表现为服务端接收到 SYN包 后，会回复SYN ACK包，并进入半连接状态。Attacker一直发送 SYN包，但不回复 ACK包，直到被攻击方的服务器资源耗尽。 什么是ACK/UDP/ICMP Flood攻击？ ACK/UDP/ICMP Flood攻击是指攻击者发起大量ACK/UDP/ICMP数据包，造成服务器过载，目的是通过大量的报文，导致被攻击方的服务器资源耗尽，无法响应正常的请求。 什么是空连接攻击？ 空连接攻击是攻击者与服务端完成TCP握手，并建立TCP连接，但不发起任何请求，导致连接被占用甚至耗尽，从而影响正常用户发起连接。 什么是UDP反射放大攻击？ 正常情况下客户端发送请求包到服务端，服务端返回响应包到客户端，但是 UDP 协议是面向无连接的，所以攻击者将源IP伪造成被攻击方IP，响应包则全部反射到被攻击方，导致被攻击方的服务器资源耗尽。 什么是CC攻击？ 黑客利用代理服务器或者控制的肉鸡，向目标服务器发送大量的请求（尤其是需要频繁查询数据库的请求），致使CPU处理不过来这么多的请求，长期处于100%的状态，从而无法处理正常请求。

本文主要介绍弹性伸缩服务计费类问题。 弹性伸缩服务是否收取费用？ 弹性伸缩服务本身不收取费用。但会按伸缩组内的云主机实例收取云主机的费用。

本章节介绍通过Demo应用,快速体验容器应用托管。 概述 在微服务云应用平台中接入您的应用进行发布，所支持的介质类型大体上可分为制品（JAR/WAR/ZIP包等）、镜像等，您可以按实际需求选择接入的方式。 为了帮助您快速体验如何将微服务应用托管到容器。微服务云应用平台提供了官方Demo应用，您可以将该Demo应用托管到容器中。本文介绍部署两个Demo应用：consumer和provider应用，并验证consumer调用provider。 托管Demo微服务应用 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 3. 您已订购一个nacos注册中心实例 4. 您已开通微服务治理中心 【可选】 5. 您已开通应用性能监控 【可选】 创建环境和导入资源 说明 环境：即我们常说的开发环境、生产环境，是用于应用部署和运行的计算、网络、中间件等资源的集合。 例如可以把同VPC下的云容器引擎、注册中心、数据库等实例组成一个环境。 资源：是支撑应用运行的设施，资源可以导入到环境里供应用使用。例如常用资源包括：云容器引擎、ECS、注册配置中心、微服务治理中心、应用性能监控、数据库实例等。 在左侧导航栏，选择环境管理。在环境列表左上角点击创建环境。环境创建好后，进入环境详情页面，将云容器引擎实例和nacos注册中心实例导入到环境中。

服务名称 交互功能 相关内容 虚拟私有云VPC 创建弹性负载均衡时，需要指定弹性负载均衡关联的VPC和子网 弹性云主机 弹性负载均衡的后端主机组，关联开启后端的主机实例 物理机 弹性负载均衡的后端主机组，关联开启后端的主机实例 弹性IP 创建公网弹性负载均衡时，需要绑定公网IP来做公网服务的流量分发 弹性伸缩 弹性伸缩服务可以与弹性负载均衡集成，根据实际的负载情况自动调整云主机实例的数量。 云监控服务 云监控服务可以监控弹性伸缩的性能指标，如请求数、连接数、响应时间等。

枚举参数 参数名 statusCode 枚举值 类型 说明 800 Integer 成功 900 Integer 失败 请求示例 请求url 请求头header 无 请求体body { "cycleCount": 1, "cycleType": 3, "resourceIds": ["xxxxxxxx","xxxxxxxx"] } 响应示例 { "statusCode": 800, "returnObj": { "isSucceed": true, "totalPrice": 1530.0, "finalPrice": 1530.0, "subOrderPrices": [ { "totalPrice": 1300.0, "finalPrice": 1300.0, "serviceTag": "CFW", "cycleCount": 1, "orderItemPrices": [ { "itemId": "73935520c07e4d2da3b918fe9b6cb8ba", "resourceType": "CFWVERSION", "ctyunName": "云防火墙（原生版）", "instanceCnt": "1.0", "totalPrice": 1300.0, "finalPrice": 1300.0 } ] }, { "totalPrice": 230.0, "finalPrice": 230.0, "serviceTag": "OVMS", "cycleCount": 1, "orderItemPrices": [ { "itemId": "c0c892edc3ce4367b8586b8854f32c8b", "resourceType": "VM", "ctyunName": "弹性云主机", "instanceCnt": "1.0", "totalPrice": 202.0, "finalPrice": 202.0 }, { "itemId": "df87347a510e4f09bee5960c0f1e0bfb", "resourceType": "EBS", "ctyunName": "云硬盘", "instanceCnt": "40.0", "totalPrice": 28.0, "finalPrice": 28.0 } ] } ] } }

本小节介绍云下一代防火墙安全产品如何登录web管理页面。 确保安全组已放行Web登录端口（通常是10443端口），以便允许远程访问管理界面。 获取您的云下一代防火墙的弹性IP地址（Elastic IP）。 打开Web浏览器，输入以下地址： 请将“弹性IP”替换为您的云下一代防火墙实例的实际弹性IP地址。 在登录页面上，输入您的用户名和密码。 单击登录或提交按钮。请注意，登录Web管理页面具有管理权限，因此需要妥善保护登录凭据。 建议采取以下措施来减少管理上的风险： 使用强密码：请使用复杂、长且唯一的密码，以增加安全性。 定期更改密码：定期更改登录密码，以减少潜在风险。

本文带您了解云主机备份产品的基本概念。 存储库 存储库是用于存储备份副本的地方。备份服务会将创建的备份副本存储在存储库中，以保障数据的安全存储和高可靠性。您可以根据需要访问存储库，并管理和检索备份数据。 备份策略 备份策略指的是对备份对象执行备份操作时，预先设置的策略。策略包括备份策略的名称、备份任务的调度计划和备份数据的保留策略。其中调度计划包括备份执行的频率和备份执行的时间点，备份数据的保留策略包括备份数据的保存时间或保存数量。通过将云主机绑定到备份策略，可以为云主机执行自动备份。 备份副本 备份副本也可以简称为备份。 备份即一个备份对象执行一次备份任务产生的备份数据。首次备份为全量备份，备份云硬盘的所有数据；后续备份为增量备份，备份自上次备份以来发生变化的数据。备份可以通过一次性备份和周期性备份两种方式产生。一次性备份是指用户通过立即备份创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。周期性备份的备份名称由系统自动生成。 地域 地域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、弹性文件服务、VPC网络、弹性公网IP、镜像等公共服务。 可用区 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，具备独立的风火水电，可用区之间距离100KM以内，一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 每个地域完全独立，不同地域的可用区完全隔离，但同一个地域内的可用区之间使用低时延链路相连。

本节介绍云等保专区产品的Web应用防火墙配置类问题。 Web应用防火墙如何进行接入配置？ 1. 用户登录到云等保专区后，在左侧导航树选择“Web应用防火墙”，进入Web应用防火墙原子能力，进行绑定弹性IP操作。 根据弹出的弹性IP地址列表，选择将要绑定弹性IP。 2. 选择Web应用防火墙部署模式，更多信息请参考《云等保专区Web应用防火墙用户使用指南》全局配置，在菜单栏中选择“配置 > 全局配置”进入全局配置页面，编辑相关信息，点击“保存”。 3. 添加保护站点，详细操作可查看《云等保专区Web应用防火墙用户使用指南》配置保护站点操作细则。 4. 配置防护策略，详细操作可查看《云等保专区Web应用防火墙用户使用指南》规则组和自定义规则。 5. 完成基础配置后，可通过以下步骤验证是否配置成功。 1. 使用客户端浏览器访问被保护对象，如基础配置保护站点中添加的保护站点为 2. 在浏览器中输入以下URL模拟SQL注入攻击： 3. 在菜单栏选择“日志+应用防护日志”，查看系统是否记录到SQL注入攻击事件，如存在，点击事件名称检查告警详细信息中记录的主机名和客户端IP地址与测试中使用的保护站点和客户端IP地址是否一致。如一致，说明已经完成web应用防火墙那个接入配置。

此小节介绍如何使用堡垒机对安全事故进行事后追溯。 随着业务上云并不断发展，云上运维的人数不断增加，这样必然会衍生出一些运维人员操作疏忽而导致的一些安全事故，但由于传统服务器缺少指令监控，操作回放等功能，这样就导致安全事件可追溯性不完善的问题。 云堡垒机可以管控所有的操作，并对所有的操作都进行详细记录。针对会话的审计日志，支持在线查看、在线播放和下载后离线播放。目前支持字符协议（SSH、TELNET）、图形协议（RDP、VNC）、文件传输协议（FTP、SFTP、SCP）、数据库协议（DB2、MySQL、Oracle、SQL Server）和应用发布的操作审计。其中，字符协议和数据库协议能够进行操作指令解析，还原操作指令；文件传输能够记录传输的文件名称和目标路径。 简介 本章节介绍了云堡垒机如何通过会话审计功能对安全事件进行追溯调查，完成安全事件的责任界定。 前提条件 已购买云堡垒机，并且使用有审计模块权限的账号登录云堡垒机 对历史会话进行审计 1. 登录控制台。进入“历史会话”页面，具体操作步骤详见查看历史会话。 2. 根据您业务出现安全问题的一些信息，在“高级搜索框”中输入相关信息进行检索。 3. 根据搜索完后的结果，在“操作”列单击“详情”，进入“会话详情”页面，对历史操作指令、文件传输情况进行排查。 根据上述步骤您就可以根据操作指令的情况，排查出是哪个步骤出现了问题，为您的事件追溯提供了便利性。当然您也可以使用会话回放功能，通过播放运维视频，来查看具体的操作情况。 云堡垒机还为您提供实时会话监控功能，让您可以实时查看高危操作的运维界面，若出现危险指令可立即切断运维人员的操作，确保业务的安全。

本实践将为您介绍如何通过LVM创建逻辑卷。 操作场景 当LVM管理工具安装成功之后，用户可以通过LVM来创建逻辑卷。通过LVM架构图，可以了解到在这一层需要完成三个步骤： 创建物理卷（Physical Volumes）：将云硬盘分区或整个云硬盘设备初始化为物理卷。 创建卷组（Volume Group）：将一个或多个物理卷添加到卷组中。 创建逻辑卷（Logical Volumes）：从卷组中划分逻辑卷。 本指导假设您前期已经在操作系统为“CentOS 7.6 64bit”的弹性云主机上挂载了两个大小为10GB的数据盘。 操作步骤 1. 以root用户登录云主机，登录成功之后如图： 2. 执行命令 fdisk l grep /dev/vd grep v vda，查看云主机中的云硬盘并记录设备名称。回显如下图所示： 如图所示，当前云主机中已经挂载两个数据盘，分别为/dev/vdb和/dev/vdc，容量为10GB。 3. 查看之后，请执行 pvcreate命令进行物理卷创建的工作，pvcreate的参数是设备名称。此处执行命令 pvcreate /dev/vdb /dev/vdc，回显信息如图所示： 如图所示，物理卷/dev/vdb与物理卷/dev/vdc已经创建成功。 4. 执行 pvdisplay命令来验证物理卷/dev/vdb与物理卷/dev/vdc的创建信息，具体回显如图所示： 5. 物理卷创建成功，接下来创建卷组，卷组通常使用 vgcreate命令创建，请执行 vgcreate vgdata /dev/vdb /dev/vdc。其中vgdata为创建的卷组名，/dev/vdb 、/dev/vdc为物理设备名，具体回显信息如下图： 如图，卷组“vgdata”已创建成功。 6. 执行 vgdisplay命令验证卷组“vgdata”的具体信息，具体回显如图所示： 7. 最后创建逻辑卷，执行命令为：lvcreate L 15GB n lvdata vgdata，此命令的格式为：lvcreate L 逻辑卷大小 n 逻辑卷名称 卷组名称，具体回显信息如下图所示： 说明 具体参数说明如下： 1. 逻辑卷大小：该值应小于所创建卷组剩余可用空间，容量单位可以选择“MB”或“GB”，在此例中创建15GB的逻辑卷大小。 2. 逻辑卷名称：可自定义，此处以lvdata为例。 3. 卷组名称：已经创建的卷组的名称。 8. 执行 lvdisplay命令来验证逻辑卷的创建信息，验证是否创建成功，具体回显信息如下图所示： 至此，逻辑卷创建成功。

总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

本章节向您介绍VPN连接服务故障排查中常见配置问题及解决方案，帮助您加速解决连接问题。 PSK不一致：单独更新预共享密钥会在下一次IKE协商时生效，最长等待一个IKE的生命周期，须确认两端更新密钥一致。 协商策略不一致：请仔细排查IKE中的认证算法、加密算法、版本、DH组、协商模式和IPsec中的认证算法、加密算法、封装格式、PFS算法，特别注意PFS和云下配置一致，部分设备默认关闭了PFS配置。 感兴趣流：两端ACL配置不互为镜像，特别注意云下的ACL配置不能采用地址组名称，要使用真实的IP地址+掩码。 NAT配置：云下子网访问云上子网配置为NONAT，云下公网IP不能被二次NAT为设备的接口IP。 安全策略：放行云下子网访问云上子网的所有协议，放行两个公网IP间的ESP、AH及UDP的500和4500端口。 路由配置：添加访问云上子网的出接口路由为隧道接口或IPsec协商出口，注意出接口的下一跳ARP解析要可达。

本文为您介绍查看复制任务列表的操作流程。 操作场景 在容灾保护组内选择任务列表页签，可查看任务执行情况和进展。 前提条件 已经创建保护组。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，单击“任务列表”页签，可以查看任务状态等信息。

支持。本地数据中心的数据可以通过云专线上传到云上海量文件服务。云上海量文件数据也可以通过云专线迁移到本地数据中心。

本文为您介绍云硬盘的磁盘模式以及不同磁盘模式的主要应用场景以及使用注意事项。 磁盘模式的定义与分类 云硬盘的磁盘模式分为三种，分别是： VBD（Virtual Block Device）：虚拟块存储设备。 SCSI （Small Computer System Interface）（邀测）：小型计算机系统接口。 FCSAN（Fibre Channel SAN）：光纤通道协议的SAN网络。 根据其是否支持高级的SCSI命令来判断划分磁盘模式。其中，VBD为默认模式，相较于SCSI，只支持较简单的读写命令。而SCSI类型的磁盘则可以提供一些高级特性，如命令队列、多点访问、热插拔等，支持更高级的SCSI指令。 磁盘模式在订购完成后不能修改，在购买时请谨慎选择。 说明 不同磁盘模式支持的资源池信息详见功能清单中磁盘模式对应的发布区域。 不同磁盘模式的主要应用场景 VBD模式：作为云硬盘的默认磁盘模式，VBD可以应用于绝大多数业务场景，作为云主机的驱动器，提供持久化存储，用于操作系统、应用程序和数据的安装和存储，也可以作为数据库服务器的存储设备等等。 SCSI模式：天翼云共享盘需要在集群环境下使用，多数集群在配置使用过程中是需要使用SCSI锁的，例如Windows MSCS集群等，因此在集群应用场景中推荐使用SCSI模式共享盘。 FCSAN模式：目前仅支持物理机使用。

常用产品查询参数对照表 资源类型 serivce dimension 云主机/GPU ecs ecs 物理机 pms pms 云硬盘 evs disk 负载均衡 elb elb 弹性IP ippool fip 共享带宽 ippool trafficp 对象存储桶 zos zosbucket