如何将源数据库的用户与权限导出，再导入到目标数据库 步骤 1 选择一台可以访问源数据库的虚拟机。 步骤 2 执行如下命令后，输入密码并回车，将源库用户导出到临时文件“users.sql”中。 mysql h 'host' u 'user' p N $@ e "SELECT CONCAT('SHOW GRANTS FOR ''', user, '''@''', host, ''';') AS query FROM mysql.user" > /tmp/users.sql 其中的 'host' 替换为源数据库的访问IP地址，'user' 替换为源数据库的用户名。 步骤 3 执行如下命令，将源数据库中原有用户的授权信息导出到文件“grants.sql”中。 mysql h 'host' u 'user' p N $@ e " source /tmp/users.sql" > /tmp/grants.sql sed i 's/$/;/g' /tmp/grants.sql 其中的 'host' 替换为源数据库的访问IP地址，'user' 替换为源数据库的用户名。 步骤 4 命令运行成功后，打开“grants.sql”文件可以看到类似以下的结果。 Grants for root@% GRANT ALL PRIVILEGES ON . TO 'root'@'%'; Grants for testt@% GRANT SELECT, INSERT, UPDATE, DELETE ON . TO 'testt'@'%'; Grants for debiansysmaint@localhost GRANT ALL PRIVILEGES ON . TO 'debiansysmaint'@'localhost' WITH GRANT OPTION; Grants for mysql.session@localhost GRANT SUPER ON . TO 'mysql.session'@'localhost'; GRANT SELECT ON performanceschema. TO 'mysql.session'@'localhost'; GRANT SELECT ON mysql.user TO 'mysql.session'@'localhost'; Grants for mysql.sys@localhost GRANT USAGE ON . TO 'mysql.sys'@'localhost'; GRANT TRIGGER ON sys. TO 'mysql.sys'@'localhost'; GRANT SELECT ON sys.sysconfig TO 'mysql.sys'@'localhost'; Grants for root@localhost GRANT ALL PRIVILEGES ON . TO 'root'@'localhost' WITH GRANT OPTION; GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION; 步骤 5 在步骤 4 显示的结果中，可以看到源数据库中所有的用户以及对应的权限，请选择所有需要的用户，逐个添加到本云关系型数据库MySQL中。

类别 云防火墙 安全组 网络ACL 定义 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持AI提升智能防御能力满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。 防护场景 互联网边界 VPC边界 SNAT场景 弹性云服务器 子网 功能特性 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。 支持通过地理位置、域名、域名组、黑/白名单过滤。 支持入侵防御系统（IPS）、病毒防御（AV）功能。 支持三元组（即协议、端口和对端地址）过滤。 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。

本文介绍了如何重置管理员账号密码。 操作场景 在使用过程中，如果用户忘记管理员账号密码，可以通过控制台重新设置密码。 注意 如果新密码被系统视为弱密码，您将收到错误提示，请提供更高强度的密码。 重置密码生效时间取决于该实例当前执行的业务数据量。 请定期修改用户密码，以提高系统安全性，防止出现密码被暴力破解等安全风险。 请妥善管理您的密码，因为系统为保障您的数据安全未保存您的密码信息。 Ⅰ类资源池操作步骤 1. 登录天翼云门户。 2. 打开控制中心。 3. 左上角选择资源池区域，RDSPostgreSQL基础版加载的资源池详见功能加载说明。 4. 找到【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 5. 在实例管理页面中的“操作”列，点击对应实例的“修改密码”按钮，如图所示。 6. 在弹出框内输入新的密码，点击确认。返回成功即为修改密码成功，返回失败请根据错误提示重新设置您的密码。 Ⅱ类资源池操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在基本信息中找到“管理员账号名”项中的“重置密码”。 7. 在弹出框内输入新的密码，点击确定。返回成功即为修改密码成功。返回失败请根据错误提示重新设置您的密码。

说明：本章节会介绍如何查看数据库错误日志 关系型数据库服务的日志管理功能支持查看数据库级别的日志，包括数据库运行的错误信息，以及运行较慢的SQL查询语句，有助于您分析系统中存在的问题。 运行日志记录了数据库运行时的Warning和Error级别的日志。您可以通过运行日志分析系统中存在的问题。 查看日志明细 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 5. 在左侧导航栏单击“日志管理”，在“错误日志”页签下，查看错误日志的详细信息。 您可单击页面右上角的级别筛选框查看不同级别的日志记录。 云数据库MySQL实例支持查看以下级别的错误日志： ALL ERROR WARNING NOTE 您还可单击右上角的选择时间区域，查看不同时间段内的错误日志。 对于无法完全显示的“描述”，鼠标悬停查看完整信息。

（可选）创建增强型跨源连接 本示例演示的操作需要跨源连接RDS外部数据源，所以需要创建跨源连接。如果作业不需要连接外部数据源，则该步骤可以跳过。 1.登录RDS控制台，创建RDS数据库实例。登录RDS实例后，单击“新建数据库”，创建名称为“test2”的数据库。 2.在“test2”的数据库所在行，操作列，单击“SQL查询”，输入以下创建表语句，单击“执行SQL”创建表“tabletest2”。建表语句参考如下： CREATE TABLE tabletest2 ( id int(11) unsigned, name VARCHAR(32) ) ENGINE InnoDB DEFAULT CHARACTER SET utf8mb4; 3.在RDS管理控制台，单击“实例管理”，单击已创建的RDS具体实例名称，查看该RDS实例的“基本信息”。 4.在“基本信息”的“连接信息”中获取该实例的“内网地址”、“数据库端口”、“虚拟私有云”和“子网”信息，方便后续操作步骤使用。 5.单击“连接信息”中的安全组名称，在“入方向规则”中添加放通弹性资源池网段的规则。例如本示例为3弹性资源池网段为“172.16.0.0/18”，数据库端口为3306，则规则添加为：优先级选为：1，策略选为：允许，协议级别和端口选择：TCP和3306，类型：IPV4，源地址为：172.16.0.0/18 单击“确定”完成安全组规则添加。 6.登录DLI管理控制台，在左侧导航栏单击“跨源管理”，在跨源管理界面，单击“增强型跨源”，单击“创建”。 7.在增强型跨源创建界面，配置具体的跨源连接参数。具体参考如下。 −连接名称：设置具体的增强型跨源名称。 −弹性资源池：选择步骤一：创建弹性资源池中已经创建的好的弹性资源池。 说明 如果该步骤不选择弹性资源池，可以创建跨源完后，在增强型跨源界面，在对应跨源连接所在行的“操作”列，单击“更多 > 绑定弹性资源池”进行绑定。 −虚拟私有云：选择4中获取的RDS的虚拟私有云。 −子网：选择4中获取的RDS的子网。 −其他参数可以根据需要选择配置。 参数配置完成后，单击“确定”完成增强型跨源配置。单击创建的跨源连接名称，查看跨源连接的连接状态，等待连接状态为：“已激活”后可以进行后续步骤。 8.单击“资源管理 > 队列管理”，选择操作的队列，如本示例的“generaltest”，在操作列，单击“更多 > 测试地址连通性”。 9.在“测试连通性”界面，根据4中获取的RDS连接信息，地址栏输入“RDS内网地址:RDS数据库端口”，单击“测试”测试到RDS网络是否可达。

运维用户客户端无法访问服务器、数据库等用户资产需要排查客户端到云堡垒机以及云堡垒机到运维资产的网络通路，重点排查安全组配置。 注意 请先确认以下配置均已正确配置： 运维终端已正确安装访问插件，并配置访问路径； 用户拥有访问及运维资产的授权。 排查步骤 1. 检查客户端到云堡垒机网络是否能连通。 在您的客户端使用ping命令测试客户端与堡垒机的网络是否连通，如果连接失败，请您登录堡垒机控制台，查看堡垒机EIP是否正常，检查云堡垒机实例安全组策略是否正确配置，确认IP和端口是否正确开放，具体请查阅安全策略配置方法。 2. 检查堡垒机到运维资产网络是否能连通。 检查云堡垒机实例到运维资产的网络和端口是否开放，需要检查运维资产所属安全组的安全端口访问策略限制，是否允许云堡垒机实例访问运维资产。

服务器迁移主要应用于物理机/虚拟机服务器上云迁移的场景,本节为您介绍服务器迁移的应用场景。 业务快速拓展 场景说明 业务系统需要具备快速拓展的能力，但传统的云下设备拓展能力有限，因此存在上云的需求。在迁移过程中，需要保证业务正常运行，并在上云后获得优于云下体验，同时还要支持快速的业务拓展。 场景痛点 在访问量突增的情况下，硬件负载均衡无法有效支撑业务需求； 中间件或数据库的压力过大，导致本地服务器无法承载业务； 物理机资源使用情况达到上限，无法快速扩容满足业务增长的需求。 场景架构 产品优势 选用云上资源，能够满足大部分客户需求。通过服务器迁移服务，可以快速将系统、应用、中间件、数据库等关键业务系统上云，并利用云化的高并发、可拓展性、高可用性等优势，使本地化的应用系统在上云后具备更高的活力和弹性。 搭配使用产品 在该场景实施建设时，您也可以搭配使用以下产品： 弹性云主机CTECS：用于承载迁移后的应用和业务系统。 弹性IP EIP：为迁移后的服务器提供静态公网IP，保证访问能力。 本地IDC陆续退网、业务持续上云

本节介绍了如何查看云数据库GaussDB 的追踪事件。 操作场景 在您开通了云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤 3 事件列表支持通过筛选来查询对应的操作事件。详细信息如下： 事件来源、资源类型和筛选类型：在下拉框中选择查询条件。其中筛选类型选择资源ID时，还需选择或者手动输入某个具体的资源ID。 操作用户：在下拉框中选择某一具体的操作用户。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可通过选择时间段查询操作事件。 步骤 4 选择查询条件后，单击“查询”。 步骤 5 在需要查看的记录左侧，单击展开该记录的详细信息。 步骤 6 在需要查看的记录右侧，单击“查看事件”，在弹出框中显示该操作事件结构的详细信息。 步骤 7 单击右侧的“导出”，将查询结果以CSV格式的文件导出，该CSV文件包含了云审计服务记录的七天以内的操作事件的所有信息。 关于事件结构的关键字段详解，请参见《云审计服务用户指南》的“事件结构”和“事件样例”章节。

前提条件 如果您还没有目标Redis，请先创建目标Redis，具体操作请参考创建实例。 如果您已有目标Redis，则不需要重复创建，为了对比迁移前后数据及预留足够的内存空间，建议在数据迁移之前清空目标实例数据，清空操作请参考清空实例数据。如果没有清空实例数据，数据迁移后，目标Redis与源Redis实例重复的数据迁移后会被覆盖，源Redis没有、目标Redis有的数据会保留。 已创建弹性云主机ECS。 ECS请选择与DCS Cluster集群实例相同虚拟私有云、子网和安全组，并且需要绑定弹性公网IP。 安装Rump 1. 登录弹性云主机。 2. 下载Rump的release版本。 以64位Linux操作系统为例，执行以下命令： wget 3.解压缩后，添加可执行权限。 mv rump0.0.3linuxamd64 rump; chmod +x rump; 迁移数据 执行如下命令迁移数据： rump from { sourceredisaddress } to { targetredisaddress } 参数/选项说明： {sourceredisaddress} 源Redis实例地址，格式为：redis://[user:password@]host:port/db，中括号部分为可选项，实例设置了密码访问时需要填写密码，格式遵循RFC 3986规范。注意用户名可为空，但冒号不能省略，例如redis://:mypassword@192.168.0.45:6379/1。 db为数据库编号，不传则默认为0。 { targetredisaddress } 目标Redis实例地址，格式与from相同。 以下示例表示将本地Redis数据库的第0个DB的数据迁移到192.168.0.153这台Redis数据库中，其中密码以替代显示。 plaintext [root@ecs ~]

如果您需要添加云搜索服务（CSS）、数据湖探索（DLI）和Hive的资产，可参考本章节进行操作。 前提要求 已完成大数据资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通CSS和DLI服务，且CSS和DLI中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 单击左侧导航树的，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“大数据”页签，进入大数据资产列表页面。 5. 在大数据资产列表左上角，单击“添加大数据源”。 6. 在弹出的“添加大数据源”对话框中，参考下表配置大数据源参数。 参数名称 参数说明 取值样例 资产名称 自定义参数。 区域 默认为当前帐号登录的区域。 大数据类型 选择大数据类型。 “Elasticsearch”，选择此类型时，其他参数说明请参见“Elasticsearch”参数说明。 “DLI”，选择此类型时，其他参数说明请参见“DLI”参数说明。 “Hive”，选择此类型时，其他参数说明请参见“Hive”参数说明。 Elasticsearch “Elasticsearch”参数说明： 参数名称 参数说明 取值样例 ES实例 在下拉框中选择ES实例。 版本 选择大数据类型对应的版本。 5.x 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 索引 输入大数据源对应的index。 用户名 输入访问大数据服务器的用户名。 密码 输入访问大数据服务器的密码。 “DLI”参数说明： 参数名称 参数说明 取值样例 队列 在下拉框中选择DLI中数据源的队列名称。 default DLI数据库 选择DLI中目标队列下的数据库名称。 5.x “Hive”参数说明： 参数名称 参数说明 取值样例 虚拟私有云 在下拉框中选择虚拟私有云。 子网 选择虚拟私有云对应的子网名称。 安全组 在下拉框中选择可用的安全组。 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 数据库名称 输入数据库名称。 7. 单击“确定”，大数据源资产添加完成。 大数据资产添加完成后，该大数据源的状态“连通性”为“检查中”，DSC会测试数据源的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的大数据源。 数据安全中心DSC能正常访问已添加的大数据源，该大数据源的状态“连通性”状态为“成功”。 若数据安全中心DSC不能正常访问已添加的大数据源，该大数据源的“连通性”状态为“失败”。单击“原因”查看失败的原因并重新正确填写访问目标大数据源的用户名和密码。

本章会介绍DCS产品包年包月的收费模式 包年包月 1、收费方式 （1）预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 （2）计费周期：按月计费，以自然月为计费单位，包年享受官网对应的折扣。 2、升级规则 DCS产品升级时间不满整月的，升级后配置按当月实际发生天数计费。 3、续订规则 续订数据库，续费按原订购模式按月方式进行续费。 4、退订规则 退订云数据库，不满整月的按当月实际发生天数收费费用。 退订云数据库后实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会删除实例。 5、提醒/通知规则 （1）到期通知：服务到期前7天、3天邮件通知，到期前1天、当天邮件通知和短信提醒。 （2）超期通知：服务超期1天邮件通知，超期3天、7天邮件通知和短信提醒。 按需计费 1、收费方式 （1）预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 （2）计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。 例如：如果您在1点01分开通，那么时间到2点就算做一个自然小时；如果您在1点58分开通，那么时间到2点也算做一个自然小时，都是按照1个小时收费。所以为了避免您的时间损失，建议您整点后几分钟内开通，在整点前几分钟删除。 2、删除规则 （1）删除数据库时，数据库的CPU、内存的费用停止计费，其他关联资源继续计费。 （2）数据库删除后，数据不会保留会立即释放资源。 6、账户欠费 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 7、提醒/通知规则 （1）账户欠费通知：当用户欠费时，系统会向用户发送1次欠费提醒，并在欠费的第2天、第4天、第6天各发送1次欠费提醒。 （2）提醒及通知方式：以邮件和短信方式告知用户，请及时关注您的短信及邮件。

本文帮助您了解无需访问公网的弹性云主机VPC配置方式。 当弹性云主机无需访问公网时，例如用于搭建网站的数据库节点或服务器节点的弹性服务器无需连接公网，虚拟私有云的配置流程如下图所示。 图 配置网络功能 表 配置流程说明 任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升弹性云主机访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的弹性云主机无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。默认规则是在出方向上的数据报文全部放行， 安全组内的弹性云主机无需添加规则即可互相访问。当默认访问规则可以满足需求时， 则无需单独再为该安全组添加安全组规则。

物理机服务(CTDPS,Dedicated Physical Server)是基于天翼云软硬结合技术研发的一款拥有极致性能的裸金属服务器,兼具云主机的灵活弹性、物理机的稳定,提供算力强劲的计算类服务,能够完全无缝和天翼云全产品融合(例如网络、存储等),为您提供专属的云上物理服务器,为大数据、核心数据库、高性能计算等业务提供服务稳定、数据安全、性能卓越的算力服务。

本节介绍了公网IP相关问题与处理方法。 场景排查 1. 检查安全组规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。 解决方案 1. 检查安全组规则。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 检查弹性云主机网卡对应的安全组是否放通了“入方向”的“ICMP”规则。 表 安全组规则 放向 类型 协议和端口 原地址 入方向 IPv4 Any：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 2. 检查“ 网络ACL”规则。 排查“网络ACL”是否放通。查看“网络ACL”状态，查看当前是开启状态还是关闭状态。 检查“弹性IP”绑定的网卡是否在“网络ACL”关联的子网下。 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 说明 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 3. 相同区域主机进行ping测试。 在相同区域的弹性云主机去ping没有ping通的弹性公网IP，如果可以正常ping通说明虚拟网络正常，请联系客服获取技术支持。

本节介绍天翼AI云电脑（政企版）的产品定义，以便您了解云电脑。 天翼AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的AI云电脑使用体验。提供一键部署、灵活可配、集中管控能力，广泛应用于办公、教育、医疗等行业使用场景。 天翼AI云电脑亦称天翼量子AI云电脑，天翼云电脑。 天翼AI云电脑（政企版） 为政企客户提供灵活的AI云电脑租赁服务，使用AI云电脑部署全部自动化处理完成，随开随用，资源使用更加灵活，具备多重数据安全防护机制，助力政企客户办公上云，提供更安全，便捷，节约成本的解决方案。 产品架构图 说明 关于天翼AI云电脑（政企版）的产品规格说明，请参考 关于天翼AI云电脑（政企版）的产品功能说明，请参考 关于天翼AI云电脑（政企版）的客户端下载，请前往

此小节介绍运维用户客户端无法访问用户资产的处理方法。 运维用户客户端无法访问服务器、数据库等用户资产需要排查客户端到云堡垒机以及云堡垒机到运维资产的网络通路，重点排查安全组配置。 注意 请先确认以下配置均已正确配置： 运维终端已正确安装访问插件，并配置访问路径； 用户拥有访问及运维资产的授权。 排查步骤 1. 检查客户端到云堡垒机网络是否能连通。 在您的客户端使用ping命令测试客户端与堡垒机的网络是否连通，如果连接失败，请您登录堡垒机控制台，查看堡垒机EIP是否正常，检查云堡垒机实例安全组策略是否正确配置，确认IP和端口是否正确开放，具体请查阅安全策略配置方法。 2. 检查堡垒机到运维资产网络是否能连通。 检查云堡垒机实例到运维资产的网络和端口是否开放，需要检查运维资产所属安全组的安全端口访问策略限制，是否允许云堡垒机实例访问运维资产。

本节介绍了云数据库TaurusDB实例的只读节点。 产品简介 TaurusDB实例支持只读节点。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读节点，利用只读节点满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读节点的连接地址，才能实现将写请求发往主节点，而将读请求发往只读节点。 功能特点 规格与实例一致。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。 功能限制 单个“包年/包月”和“按需计费”实例最多可以创建15个只读节点。 实例恢复：不支持通过任意时间点创建临时节点，不支持通过备份集覆盖节点。 数据迁移：不支持将数据迁移至只读节点。 数据库管理：不支持创建和删除数据库。 帐号管理：只读节点不提供创建帐号权限，如需增加只读实例帐号，请在主实例上操作。

本小节介绍云堡垒机(原生版)产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

本小节介绍云堡垒机产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

本章节介绍天翼云关系型数据库如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接Microsoft SQL Server实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入 方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

本章节会介绍天翼云关系型数据库如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行通过内网连接PostgreSQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入 方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

本节主要介绍恢复副本集备份到本地自建数据库 实例的备份文件仅支持在Linux系统下恢复到本地自建数据库，暂不支持Windows系统。 本文以Linux操作系统为例，介绍如何将已下载的副本集备份文件的数据恢复至自建数据库。关于如何下载备份文件，请参见下载备份文件。 使用须知 本地自建MongoDB数据库已安装3.4版本客户端工具。 目前仅支持3.4和4.0版本，4.2版本暂不支持通过该方式在本地进行恢复。 操作步骤 步骤 1 登录自建数据库所在服务器。 假设路径“/path/to/mongo”为执行恢复操作所在路径，路径“/path/to/mongo/data”为备份文件所在路径。 步骤 2 恢复前，确保路径“/path/to/mongo/data”为空目录。 cd /path/to/mongo/data/ rm rf 步骤 3 将已下载的副本集备份文件压缩包复制到“/path/to/mongo/data/”路径下，并解压。 lz4 d xxx.tar.gz tar xC /path/to/mongo/data/ 步骤 4 在“/path/to/mongo”文件夹中新建配置文件“mongod.conf”。 touch mongod.conf 步骤 5 通过单节点模式启动数据库。 修改“mongod.conf”配置文件，使其符合备份启动的配置要求。 以下为备份启动的参考配置模板： systemLog: destination: file path: /path/to/mongo/mongod.log logAppend: true security: authorization: enabled storage: dbPath: /path/to/mongo/data directoryPerDB: true engine: wiredTiger wiredTiger: collectionConfig: {blockCompressor: snappy} engineConfig: {directoryForIndexes: true, journalCompressor: snappy} indexConfig: {prefixCompression: true} net: http: enabled: false port: 27017 bindIp: xxx.xxx.xxx.xxx,xxx.xxx.xxx.xxx unixDomainSocket: enabled: false processManagement: fork: true 说明 bindIp为数据库绑定的连接IP地址。该字段可选，不包含该字段时，默认绑定本地IP地址。 指定新建的配置文件“mongod.conf”启动数据库。 /usr/bin/ mongod f /path/to/mongo/mongod.conf 说明 /usr/bin/为已安装MongoDB客户端中mongod文件所在路径。 等待启动完成后，可通过服务器的mongo shell登录恢复后的数据库。 mongo host u p authenticationDatabase admin 说明 DBHOST是数据库绑定的连接IP地址。 DBUSER是数据库帐号名，默认rwuser。 PASSWORD是实例进行备份时，数据库帐号对应的密码。

本章节介绍如何查看数据库安全审计的SQL注入检测信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功开启数据库安全审计功能。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要查看SQL注入检测信息的实例，选择“SQL注入”页签。 6. 查看SQL注入检测信息，如下所示，相关参数如下所示。 在列表右上方“全部风险等级”下拉列表框中选择SQL注入的风险等级，或输入SQL注入名称的关键字，可以搜索指定的SQL注入检测规则。 在“操作”列单击设置优先级，可以修改SQL注入规则的优先级。 SQL注入检测信息参数说明 参数名称 说明 名称 SQL注入检测的名称。 SQL命令特征 SQL注入检测的命令特征。 风险等级 SQL注入检测的风险等级，包括： 高 中 低 无风险 状态 SQL注入检测的状态，包括： 已启用 已禁用 操作 SQL注入规则的操作，包括： 设置优先级 禁用 编辑 删除

背景介绍 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。 云堡垒机实例可与纳管的资源共用一个安全组，各自取用安全组规则，互不影响。 每个用户有一个默认安全组 default ，用户可选择default安全组，根据需要添加相应安全组规则。用户也可选择自定义安全组，新建安全组并添加合理安全组规则。 云堡垒机实例创建成功后，安全组不能更改，但相应安全组规则可以修改。 为确保云堡垒机正常连接资源，ECS主机、RDS数据库等资源需配置合理安全组规则，放开相应网关IP和端口，并允许云堡垒机“私有IP地址”访问。 配置云堡垒机安全组 1. 登录云堡垒机实例管理控制台。 2. 单击“购买云堡垒机”，进入“购买云堡垒机实例”页面。 3. 在“安全组”参数选项框右侧，单击“管理安全组”，跳转至安全组配置页面，创建安全组和添加安全组规则。 4. 单击“创建安全组”，创建一个新的安全组。 5. 单击“操作”列中的“配置规则”，为安全组添加安全组规则。 6. 选择“入方向”页签，单击“添加规则”。同理，可以添加出方向规则。 说明也可在“安全组”选项框内选择合理配置的安全组。 7. 完成安全组规则配置，选择指定安全组，合理配置其他参数后创建实例。 配置安全组不合理，运维故障场景

本页介绍RDSPostgreSQL放开访问实例的限制。 操作场景 “全部放开”操作仅更改默认分组（default），将该分组下的ip列表设置为0.0.0.0/0;::/0。可以快速放开访问实例的权限，同时保留其他分组的数据不变，但放开实例全部访问存在较大风险，请谨慎使用此功能。 操作方式 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 点击白名单管理，进入到白名单管理页面。 7. 点击“全部放开”。 8. 点击“确定”，放开访问实例的限制，点击“取消”，放弃操作。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

配置类型 配置名称 基础配置 区域、可用区、节点规格、集群名称、数据库端口、虚拟私有云、子网、安全组、公网访问、企业项目。 高级配置 当配置为“自定义”时，设置以下参数： 自动快照：当开关设置为开启时，设置以下参数： − 保留天数 − 开始时间 − 快照执行周期 标签：如果原集群开启了“加密数据库”，可设置“密钥名称”。

本节介绍了如何应用云数据库TaurusDB实例的参数模板。 操作场景 参数模板编辑修改后，不会立即应用到实例，您可以根据业务需要应用到实例中。 参数“innodbbufferpoolsize”跟内存强相关，不同规格的实例有不同的区间范围，如果应用参数模板时，该参数超过了实例本身的区间大小，则会取实例区间范围的最大值。 参数模板只能应用于相同版本的实例中。 在金融版实例上创建的只读实例为普通实例，但沿用了金融版实例的参数模板，所以该只读实例也不能应用其他版本的参数模板。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“参数模板管理”页面，根据参数模板类型不同进行如下操作。 若需要将默认参数模板应用到实例，在“系统默认”页签的目标参数模板单击“应用”。 若需要将用户自己创建的参数模板应用到实例，在“自定义”页签的目标参数模板单击“更多>应用”。 一个参数模板可被应用到一个或多个实例。 步骤 5 在弹出框中，选择或输入所需应用的实例，单击“确定”。 参数模板应用成功后，您可查看参数模板应用记录。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

通过 CDN 方式接入 1. 访问 前端监控控制台。 2. 左侧导航栏选择 设置 > 接入步骤。 3. 按需勾选配置项，便于快捷生成待插入页面的 SDK 代码配置项。 4. 复制下方的代码，并粘贴至页面HTML中 内容的第一行，然后重新部署 Web 站点。 通过 NPM 方式接入 1. 访问 前端监控控制台。 2. 左侧导航栏选择 设置 > 接入步骤 > 切换 tab 到 “NPM 引入”。 3. 根据指示，安装 @ctyun/femonitor 依赖，并在项目里引入和实例化 SDK。 配置项说明 选项 说明 开启 API 自动全量上报 开启后，将会自动监听并上报 Web 应用发起的所有 fetch、 xhr 请求。 开启 SPA 自动解析 开启后，会监听页面的 hashchange 事件并自动上报PV，适用于SPA（SinglePage Application，单页面应用）场景。 开启静态资源上报 开启后，会监听并上报 Web 应用所有静态资源（js/css/图片等）的加载结果。 注意 1. 配置项只是下方 SDK 接入代码的快捷修改方式，并不会马上产生作用，每次修改后需要更新接入的代码重新部署才会生效 2. API请求，静态资源上报数据量可能较大。可根据实际情况选择开启

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。