本章介绍如何对已经创建完成的备份策略进行修改。 如果原策略备份周期为按天备份，修改备份周期后，仍会按照创建策略的时间进行计算。例如：创建备份策略时设置每7天备份一次，按照创建策略时间开始计算，7天备份一次。如果3天后，将备份策略修改为5天备份一次，通常是希望修改当天之后5天开始备份，但实际上CSBS是在备份策略修改后2天开始备份，这个时间仍然是按照创建策略时间计算的，没有按照修改时间重新计算。 可以将原策略解绑后，再新建策略再重新绑定。 前提条件 已创建至少1个备份策略。 操作步骤 1. 登录云主机备份管理控制台。 登录管理控制台。 选择“存储 > 云主机备份”。 2. 选择“策略”页签。 3. 在需要修改的备份策略所在行单击“编辑”。 4. 在“编辑备份策略”页面进行修改，策略参数说明参考创建备份策略章节。 5. 单击“确定”。

本文帮助您了解对等连接的基本概念。 虚拟私有云（VPC） 虚拟私有云为弹性云主机、物理机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 路由表 路由表是指虚拟私有云上管理路由条目的列表。 系统路由表：创建VPC后，系统会默认创建一张系统路由表来控制VPC的路由，VPC内所有子网默认使用系统路由表。系统路由表不能创建也不能删除，但可以在系统路由表中创建自定义路由条目。 自定义路由表：支持创建VPC内自定义路由表，将自定义路由表和子网绑定，可更灵活地进行VPC网络管理。 对等连接 对等连接是两个VPC之间的网络连接，可以通过VPC对等连接，实现两个VPC之间私网互通。用户可以在自己帐号下同一资源池的VPC之间创建对等连接，也可以在自己账号的VPC与同一资源池内其他帐号的VPC之间创建对等连接。

前提条件 要进入Linux系统的单用户模式，通常需要满足以下前提条件： 已经注册并登录天翼云账号，未完成的可参见注册天翼云账号。 已经在天翼云上购买了弹性云主机，且购买过程中镜像选择为Linux操作系统，例如CentOS，Ubuntu等。 进入单用户模式后，您将作为超级用户（root）登录。因此，您需要知道root用户的密码或者您具有其他获得root权限的方法。 约束与限制 当进入Linux操作系统的单用户模式时，存在一些约束与限制，包括：提前备份数据：在进入单用户模式之前，务必提前备份重要数据。单用户模式是一个强大的权限环境，错误的操作可能导致数据丢失或系统不稳定。 只有一个命令行界面：单用户模式不会加载图形界面，只提供基本的命令行界面。这意味着用户只能使用命令行工具进行操作，无法使用图形化界面。 确保系统文件可读写：单用户模式需要能够读写系统文件，因此需要确保您的文件系统没有损坏并且没有只读的挂载。 无网络连接：默认情况下，单用户模式不会启动网络服务，因此无法进行网络连接。这意味着不能访问网络资源，包括互联网、局域网和远程连接。 操作步骤 不同的Linux发行版使用不同的引导加载程序，如GRUB（Grand Unified Bootloader）或LILO（Linux Loader）。本文将通过系统引导器（GRUB）进入单用户模式。 CentOS操作系统进入单用户模式 本示例将会对一台操作系统为CentOS8.0 64位镜像的弹性云主机实例进行单用户模式进入操作。 1. 登录控制中心。 2. 选择区域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待操作的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 输入重启命令reboot，当重启过程中出现让您选择启动系统界面时按下键盘e键（为防止页面自动跳转，需要您及时关注重启页面），跳转至启动项配置界面。下图为启动项配置界面： 7. 使用键盘的方向键，移动光标到linux开头的那一行命令，将本行中ro至本行末尾的内容删除，并替换为rw init/bin/sh crashkernelauto，具体修改信息可见下图： 8. 截至目前，进入单用户模式的配置已经基本完成，现在需要用户按下键盘的ctrl+x组合键或按F10键，系统会直接进入单用户模式。输入passwd命令重置系统密码，密码输入完成还需要进行密码的二次输入进行确认。示例如图所示。 至此，一台操作系统为CentOS8.0 64位的弹性云主机实例就进入到了单用户模式。

本章节介绍云原生网关CGW子产品的产品规格 云原生网关版本&规格 版本 节点规格 节点数量 基础版 2C4G/4C8G/8C16G/16C32G 1 集群版 2C4G/4C8G/8C16G/16C32G 2 ~ 9 x86架构云原生网关性能数据 主机类型 版本 安全水位线QPS（30% CPU，应答包1K，HTTP请求） X86通用型 基础版2C4G 2500 X86通用型 基础版4C8G 5000 X86通用型 基础版8C16G 9000 X86通用型 集群版2C4G3节点 7500 X86通用型 集群版4C8G3节点 15000 X86通用型 集群版8C16G3节点 27000 X86通用型 集群版16C32G3节点 60000 arm架构云原生网关性能数据 主机类型 版本 安全水位线QPS（30% CPU，应答包1K，HTTP请求） ARM鲲鹏通用型 基础版2C4G 1500 ARM鲲鹏通用型 基础版4C8G 3000 ARM鲲鹏通用型 基础版8C16G 6000 ARM鲲鹏通用型 集群版2C4G3节点 4500 ARM鲲鹏通用型 集群版4C8G3节点 9000 ARM鲲鹏通用型 集群版8C16G3节点 18000 ARM鲲鹏通用型 集群版16C32G3节点 36000

源库为天翼云及其他云PostgreSQL的情况 源库为天翼云及其他云PostgreSQL、任务包含增量迁移，且逻辑解码器选择为Decoderbufs，源库需开启逻辑解码器输出插件Decoderbufs。 天翼云在开通PostgreSQL实例时已预置开启Decoderbufs插件，当源库为天翼云PostgreSQL时，请你参照天翼云关系数据库PostgreSQL版管理插件相关指引查看确认Decoderbufs插件的开启情况，已开启则无需进行操作，未开启则参照指引进行Decoderbufs插件的安装。 当源库为其他云PostgreSQL时，需要查看源库对应版本是否支持并已开启Decoderbufs插件。如源库版本不支持Decoderbufs插件则无法进行其他云PostgreSQL到天翼云PostgreSQL的增量同步；如源库版本支持Decoderbufs插件但未开启则按照文档启用插件；如已开启则无需进行操作。具体请参考其他云PostgreSQL的相关指引，例如： 华为云支持的插件列表及插件管理的相关指引。 阿里云支持的插件列表及插件管理的相关指引。 操作需知 DTS同步过程一般包含四个阶段：预检查阶段、结构同步阶段、全量阶段、增量阶段。为了确保数据同步各个阶段的平顺，在创建同步任务前，请务必阅读以下使用须知。

本节介绍了密钥对、使用场景、创建密钥对操作指引、约束与限制。 密钥对 密钥对，即SSH密钥对，是为用户提供远程登录云主机的认证方式，是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥，公钥自动保存在系统中，私钥由用户保存在本地。若用户将公钥配置在Linux云主机中，则可以使用私钥登录Linux云主机，而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云主机，因此，可以防止由于密码被拦截、破解造成的帐户密码泄露，从而提高Linux云主机的安全性。 您可以通过数据加密服务（Data Encryption Workshop）管理密钥对，包括创建、导入、绑定、查看、重置、替换、解绑、删除密钥对等。 本章节主要介绍如何创建和导入密钥对。 使用场景 用户在购买弹性云主机时，建议选择密钥对进行用户身份认证，或者通过提供的密钥对获取Windows操作系统弹性云主机的登录密码。 1. 登录Linux操作系统的弹性云主机。若用户购买的是Linux操作系统的弹性云主机，可以直接使用密钥对远程登录云主机。 1. 创建弹性云主机时，选择“密钥对方式”登录，详细操作，请参见步骤三：高级配置的“设置‘登录凭证’”。 2. 创建弹性云主机完成后，通过“绑定密钥对”的方式为云主机绑定密钥对。 2. 获取Windows操作系统弹性云主机的登录密码若用户购买的是Windows操作系统的弹性云主机，可以通过密钥对的私钥获取登录密码，该密码为随机密码，安全性高。详细内容，请参见获取Windows弹性云主机的密码

操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN名称； 3. 单击“设备直联”，然后单击目标链路“操作”列的“详情”； 4. 用户可查看当前链路的详细配置信息，例如：优先级、连接端口、BGP邻居地址等。 删除设备直联 操作场景 用户删除两台设备之间的连接关系。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN名称； 3. 单击“设备直联”，然后单击目标链路“操作”列的“删除”； 4. 单击“确定”，删除目标链路。 说明： 支持批量删除，勾选待删除的链路，单击列表上方的“删除”，然后单击弹出框的“确定”，即可删除选中的链路。

本文将介绍如何免密拉取CRS镜像。 ECI支持从天翼云容器镜像服务CRS私有镜像仓库中免密拉取镜像，以提升效率和安全性。创建ECI实例前，需要将镜像上传到对应仓库中。本文介绍如何免密拉取CRS镜像。 背景信息 天翼云容器镜像服务CRS分为个人版和企业版。其中，企业版是企业级云原生应用制品管理平台，提供容器镜像、Helm Chart以及符合OCI规范制品的生命周期管理，适用于业务大规模部署场景，帮助企业降低交付复杂度。 创建工作负载时，如果要拉取的镜像属于CRS镜像，当使用内网地址时，ECI支持免密拉取，提升效率，同时避免密码泄露的风险，加强安全性。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 1. 登录云容器引擎控制台，在控制台的左侧导航栏中点击“集群” 。 2. 在集群列表页面中单击目标集群的名称。 3. 在左侧选择“工作负载”，选择“无状态”，在右上角单击“创建Deployment”。 4. 按需配置工作负载的信息。 5. 按需配置容器，容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 1. 容器名称：为容器命名。 2. 镜像更新策略：选择是否总是拉取镜像。 3. 镜像名称：选择容器使用的镜像，支持多种镜像来源。 4. 镜像版本：选择需要部署的镜像版本。 6. 点击选择镜像，从CRS镜像仓库选择私有镜像，选择内网地址。 7. 创建完成后，进入工作负载的无状态页面，可以看到新建的k8ssidecar应用出现在无状态列表下。

本小节介绍安全专区总览风险事件展示等。 安全态势 威胁信息统计展现待处理告警、待处理漏洞及待处理基线，实时展示威胁统计状态。 风险事件 实时反馈补丁漏洞相关风险，对资产在使用过程中暴露的问题进行实时告警，自动检测产生安全风险评估、分析并给出处理导向。 查看方法： 1.点击【去处理】，进入相关的组件进行具体事件的分析处置。 2.安全专区总览查询后，可打开左侧边栏主菜单。

本节介绍了重置数据库账号密码的相关内容。 操作场景 您可重置自己创建的数据库账号密码，安全考虑，请定期（如三个月或六个月）修改密码，防止出现密码被暴力破解等安全风险。 限制条件 恢复中的实例，不可进行该操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页。 步骤 5 在左侧导航栏，单击“账号管理”，选择目标账号，单击操作列的“重置密码”。 步骤 6 在弹出框中输入新密码和确认密码，单击“确定”，提交修改。 密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@$%^+?,特殊字符。 密码不能与账号名或倒序的账号名相同。 建议您输入高强度密码，以提高安全性，防止出现密码被暴力破解等安全风险。 重置密码后数据库不会重启，权限不会发生变化。 结束

本节介绍漏洞扫描服务主要的应用场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

迁移准备 1.权限准备： 当使用 DRS 将本地数据库的数据迁移到本云云数据库MySQL 实例时，在不同迁移类型情况下，对源数据库和目标数据库的帐号权限要求如表所示： 表1 迁移账号权限 迁移类型 全量迁移 全量+增量迁移 源数据库 SELECT、SHOW VIEW、EVENT。 SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 目标数据库 SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、WITH GRANT OPTION。 SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、WITH GRANT OPTION。 源数据库的权限设置： 需要确保源数据库MySQL的帐号具备表1的权限，若权限不足，需要在源数据库端创建高权限的帐号。 目标数据库的权限设置： 本云云数据库MySQL使用初始帐号即可。 2.网络准备： 源数据库的网络设置： 本地MySQL数据库实时迁移至本云云数据库MySQL的场景，一般可以使用VPN网络和公网网络两种方式进行迁移，您可以根据实际情况为本地MySQL数据库开放公网访问或建立VPN访问。一般推荐使用公网网络进行迁移，该方式下的数据迁移过程较为方便和经济。 目标数据库的网络设置：若通过VPN访问，请先开通天翼云VPN服务，确保源数据库MySQL和目标端本云云数据库MySQL的网络互通。 若通过公网网络访问，本云云数据库MySQL实例不需要进行任何设置。 3.安全规则准备： 源数据库的安全规则设置：若通过公网网络进行迁移，源数据库MySQL需要将DRS迁移实例的弹性IP添加到其网络白名单内，使源数据库与本云的网络互通。在设置网络白名单之前，需要获取DRS迁移实例的弹性IP，具体方法如下： DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性IP。 图4 迁移实例EIP 若通过VPN网络进行迁移，源数据库MySQL需要将DRS迁移实例的私有IP添加到其网络白名单内，使源数据库与本云的网络互通。DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的私有IP。 以上白名单是为了进行迁移针对性设置的，迁移结束后可以删除。 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 4.其他事项准备 DRS支持部分与业务和性能强相关的参数迁移，具体参数列表请参见参数列表。若涉及其他参数需要根据用户具体的业务进行手动设置。

本节主要介绍智能视图服务的向上级联功能概述。 级联定义 级联：两个信令安全路由网关之间是上下级关系，下级信令安全路由网关主动向上级信令安全路由网关发起注册，经上级信令安全路由网关鉴权认证后才能进行上下级系统间通信。 用户可在智能视图服务控制台，创建本级平台，并选择当前已接入的设备/平台，重新组织排序后，共享给第三方平台以供调阅使用，即向上级联。 级联功能说明 创建本级平台时，支持填写上级平台信息，以虚拟业务组或行政区划结构推送至上级平台进行级联。 支持本平台级联的启停、级联状态查阅、设备增减等平台管理操作。 支持第三方上级平台对本平台级联设备的实时预览、录像回放、云台控制等操作。 支持的设备目录模式 智能视图服务已提供虚拟业务组 及行政区划两种设备目录模式，以方便用户对级联至上级平台的设备进行管理和排序。 虚拟业务组及行政区划的操作说明请参考【向上级联管理级联组织树】。 虚拟业务组 虚拟业务组模式下，支持随意对目录、设备进行归并与排序，无目录层级限制。

本章介绍态势感知的日志管理能力。 通过授权对象存储服务（Object Storage Service，OBS）存储态势感知日志，帮助用户轻松应对安全日志存储、导出场景，以及满足日志存储180天及集中审计的要求。 背景信息 日志管理通过授权OBS存储SA日志，可实现日志存储、导出场景。日志存储后，支持长久存储和本地下载日志数据。 前提条件 已购买专业版态势感知，且在有效使用期内。 创建日志存储至OBS桶 为满足安全审计日志存储180天要求，可将日志存储至OBS桶。OBS支持长久存储日志数据，并支持在OBS控制台下载日志文件。 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 日志管理”，进入日志管理页面。 3. 在“存储至OBS桶”栏中，单击，开启存储。 4. 配置存储日志相关参数，具体参数说明如下表所示。 参数名称 参数说明 桶名称 选择已创建的OBS桶。 如果没有可选择的OBS桶，单击“您没有可用的OBS桶，请前往创建”，进入对象存储服务管理控制台，创建OBS桶。 说明 目前仅支持选择当前帐号所在的区域中已有的OBS桶。 目前仅支持存储类别为“标准存储”和“低频访问存储”的OBS桶。 对象名称 自定义对象名称。 存储路径 根据桶名称和对象名称生成的存储路径。 5. 单击“确定”，完成配置。 配置成功后，日志将在大约10分钟后存储至OBS桶。

本文介绍如何开启企业级安全会议。 使用前提 下载安装各类终端：Windows客户端、macOS客户端、iOS客户端、Android客户端。 预定会议时，进行“更多安全设置”。 注意事项 敏感会议建议启用水印功能。 高风险会议可启用“会议锁定”或者限定“入会范围”。 应用场景说明 适用于涉及敏感信息、客户隐私、公司战略的场景： 法务、财务、内控审计类会议。 战略汇报、高管决策会议。 涉密技术讨论与客户合作方案评审。 通过多层次安全控制，保障会议内容仅在授权范围内传播，避免泄密和信息风险。 操作步骤 会前，会议创建者在“预定会议”时可设置“入会密码”，并进行“更多安全设置”。 会中，主持人/联席主持人可点击“安全”>“会议管理”、“安全”>“参会者权限”进行锁定会议、限制入会范围、开启会议水印等管控操作。 会中，主持人/联席主持人可实时关注“成员管理”列表，密切关注参会成员，并对参会人员进行管控。 会后，会议创建者可通过“历史会议”>“详情”列表查看参会人进行审计。

本节主要介绍创建微服务引擎 微服务引擎专享版采用物理隔离的方式部署，租户独占微服务引擎，您可以根据业务需要创建使用。 前提条件 微服务引擎专享版运行于虚拟私有云，创建微服务引擎前，需保证有可用的虚拟私有云和子网。 创建虚拟私有云和子网，请参考“帮助中心 > 虚拟私有云 > 用户指南 > 虚拟私有云和子网 > 创建虚拟私有云和子网”。 如果引擎创建帐号权限为创建引擎的最小权限，如权限管理的“cse:engine:create”所示。则需要由管理员帐号为其预置VPC默认安全组cseenginedefaultsg，并添加如所示规则。 添加安全组规则，请参考《虚拟私有云用户指南》中“安全组 > 添加安全组规则”章节。 表 默认安全组cseenginedefaultsg规则说明 方向 类型 协议 端口范围/ICMP类型 远端 入方向 IPv4 TCP 3010030130 ANY 入方向 IPv4 ICMP Any 0.0.0.0/0 入方向 IPv6 ICMP Any ::/0 入方向 IPv6 TCP 3010030130 ANY 出方向 IPv4 ANY Any ANY 操作步骤 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击“购买微服务引擎” 。 3、填写参数，其中带“”标志的参数为必填参数，参数说明如下表所示。 表 参数说明 参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。 4、单击“下一步”，进入确认微服务引擎规格的页面。确认无误后，单击“提交”，开始创建微服务引擎。 创建微服务引擎专享版大约需要10~30分钟。 创建成功后，微服务引擎的“状态”为“可用”。 如果创建失败，可单击，在弹出菜单选择“重试”，重新创建。 说明 如果重试失败，可以删除创建失败的微服务引擎。删除微服务引擎专享版，请参考删除微服务引擎专享版。 如果未及时删除重试失败的微服务引擎，会占用计算资源。系统会在UTC时间每日18:00统一清理资源。

本章节介绍云硬盘备份的应用场景:数据备份恢复和业务快速迁移部署。 云硬盘备份可为多种资源提供备份保护服务，有效保障用户数据的安全性和正确性，确保业务安全。云硬盘备份适用于数据备份和恢复以及业务快速迁移和部署的场景。 数据备份和恢复 云硬盘备份在以下场景中，均可快速恢复数据，保障业务安全可靠。 受黑客攻击或病毒入侵 通过云硬盘备份，可立即恢复到最近一次没有受黑客攻击或病毒入侵的备份时间点。 数据被误删 通过云硬盘备份，可立即恢复到删除前的备份时间点，找回被删除的数据。 应用程序更新出错 通过云硬盘备份，可立即恢复到应用程序更新前的备份时间点，使系统正常运行。 云主机宕机 通过云硬盘备份，可立即恢复到宕机之前的备份时间点，使服务器能再次正常启动。 业务快速迁移&部署 为云服务器的系统盘创建镜像、数据盘创建备份，利用镜像和备份，可快速复制一个或多个与现有云服务器相同配置的云服务器。

Web应用防火墙对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。 精准高效的威胁检测 采用规则和AI双引擎架构，默认集成最新的防护规则和优秀实践。 企业级用户策略定制，支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等，使网站防护更精准。 0day漏洞快速修复 专业安全团队724小时运营，实现紧急0day漏洞2小时内修复完成，帮助用户快速抵御最新威胁。 保护用户数据隐私 支持用户对攻击日志中的账号、密码等敏感信息进行脱敏。 支持PCIDSS标准的SSL安全配置。 支持TLS协议版本和加密套件的配置。

本文介绍云SSO单点登录概述 云SSO单点登录概述 云SSO支持基于SAML 2.0的单点登录。天翼云是服务提供商（SP），而企业自有的身份管理系统则是身份提供商（IdP）。通过SSO登录，企业员工可以使用IdP中的用户身份直接登录云SSO。 操作步骤 天翼云配置 天翼云配置企业IdP的操作如下： 1. 登录云SSO控制台。 2. 在左侧导航栏，选择“管理设置”。 3. 选择身份源身份提供商，点击“应用”。 4. 点击“身份提供商”选项右侧的“管理身份提供商”。 5. 点击右上角“创建身份提供商”。 6. 名称：配置当前身份提供商名称。 7. 元数据文档：上传企业IdP提供的元数据文件。 元数据文件由企业IdP提供，目前支持上传XML格式的文件，元数据文件需要包含以下信息。 属性 说明 entityID 身份提供商标识，即issuer字段值 SingleSignOnService 身份提供商单点登录地址，接收SAMLRequest请求的地址 SingleLogoutService 身份提供商单点登出地址 X509Certificate 身份提供商签名公钥，对报文进行加密所对应的公钥，X509证书，参考使用openSSL生成 xml

来自：

帮助文档

云SSO

用户指南

外部身份同步及单点登录配置

云SSO单点登录概述

本章介绍使用主机迁移服务，需要注意哪些地方。 迁移前须知 迁移系统版本较老的服务器（如Windows 2008），可能出现系统内核无法兼容的情况，需提前做好评估，明确是否适合直接迁移，以免迁移后业务无法运行。 迁移前，建议关闭源端服务器中可能导致SMSAgent启动失败的软件（如杀毒软件）。如果不确定是否有冲突的软件，迁移前请做好数据备份。 Linux块级迁移目前处于公测阶段，建议只在测试场景下使用。 虚拟化驱动UVP VMTools的版本不能低于2.5.0，否则可能导致目的端无法启动。 迁移网络须知 请参考主机迁移对网络安全的配置与条件，提前准备并配置完成。 请参见如何配置云主机安全组规则，提前准备并配置完成。 迁移对网络质量有一定要求，可以通过SMS提供的网络质量检测功能，评估当前迁移网络环境质量，及时做出调整，避免因网络质量问题，导致迁移失败。 迁移过程中会占用一定的源端主机资源，如内存，CPU，磁盘IO和网速等，请您根据实际业务场景设置合适的网络限流。Linux源端限流依赖系统自带的TC(TrafficControl)组件，如果TC组件未安装或者异常可能存在限流失效的情况。

本节介绍创建池化云电脑的操作说明。 操作场景 AI云电脑支持共享使用，对无专属数据要求的使用场景，如学校电教室、呼叫中心等用户，可使用池化桌面满足共享资源需求。 可以使用资源包中的资源开通池化桌面，您可以创建一定数量的AI云电脑，与桌面池关联的用户通过先到先得的排队方式使用桌面池中的电脑资源。 池化桌面数量和用户数量最高支持 1:3 配比，若池化桌面已使用完，用户需排队等待。 池化桌面需通过资源包方式开通，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.在池化桌面管理页面，点击“创建桌面池”； 4.填写池化桌面名称； 5.选择可用的资源包； 6.根据需求选择需要池化桌面的规格类型“普通AI云电脑”或GPUAI云电脑“； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 7.选择桌面开通数量； 注意：池化桌面与用户数量比例为1:3。 8.选择AI云电脑的“镜像类型”； 9.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 10.根据需求选择池化桌面的断连设置、关机还原策略； 11.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 12.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 13.确认相关的配置信息，点击“开通桌面”，即完成池化桌面开通。

本文介绍容器安全卫士防护配置类常见问题。 标准版支持设置单条防护规则的防护状态吗？ 支持。 标准版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 标准版支持对同一节点下发不同防护策略吗？ 不支持。默认使用“默认策略”进行防护，创建策略时已生成防护策略的节点是不可重复选择的。若想重新配置策略，需要先解绑已有策略，然后再重新绑定。 标准版支持入侵检测规则自定义吗？ 支持。可以在“容器安全 > 策略管理”中进行自定义，包括命令执行、网络活动、读写文件、文件内容。 标准版镜像安全扫描支不支持仓库镜像扫描？ 支持。除了支持天翼云仓库以外，还支持Harbor、JFrog、Huawei、Huawei CCE Agile、AWS、Aliyun、Registry、Microsoft。

此小节介绍企业主机安全。 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 企业主机安全工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图所示。 企业主机安全服务的组件功能及工作流程说明如下： 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443 。 每日凌晨定时执行检测

cloudconfig chpasswd: list: root: expire: False 创建弹性云主机成功后，您可以使用重置的密码登录弹性云主机。为了确保密码安全，建议您在第一次登录弹性云主机后修改root用户的密码。 案例2 以下是通过实例自定义数据注入来为Linux弹性云主机更新系统软件包并启动httpd服务的示例。 请按照以下示例注入实例自定义数据： !/bin/bash yum update y service httpd start chkconfig httpd on 注入成功后，您的弹性云主机将会更新系统软件包，并启动httpd服务。您可以通过访问弹性云主机的公网IP地址来使用httpd服务。请确保您的操作系统支持yum包管理器，并且已经安装了httpd服务。 案例3 以下是通过实例自定义数据注入来激活Linux弹性云主机的root用户远程登录权限的示例。 实例自定义数据注入示例： cloudconfig disableroot: false runcmd: sed i 's/^PermitRootLogin.$/PermitRootLogin withoutpassword/' /etc/ssh/sshdconfig sed i '/^KexAlgorithms.$/d' /etc/ssh/sshdconfig service sshd restart 注入成功后，您将能够使用SSH密钥方式以root帐户登录弹性云主机。该示例中的自定义数据使用cloudconfig格式，并通过runcmd字段执行了一系列命令，包括修改/etc/ssh/sshdconfig文件中的配置，重启sshd服务使更改生效。 说明 激活root用户远程登录权限可能存在安全风险，建议在完成必要的任务后再禁用root用户的远程登录权限，以提高系统的安全性。

本节介绍如何新增检测规则。 检测规则中包含基本设置、检测条件设置、分级分类设置、严重性设置等内容。通过对检测规则的设置，可以对敏感信息更加精确的检测并进行分级分类与严重性的设置。 新增检测规则 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 检测规则”。 3. 点击“新增”。填写基本设置、检测条件、分级分类、严重性等信息，点击“保存”完成检测规则配置。 参数如下表所示： 信息 说明 基本设置 名称 该策略名称。 基本设置 备注 该策略描述备注。 检测条件设置 只允许选择一种检测条件；关键字、正则支持多选。 检测条件：关键字、正则表达式、字典、文档指纹、数据库指纹、图像指纹、语义模型、文件类型、文件名称、文件大小、文件MD5、修改时间。 分基分类设置 所属分类 数据来源于分类模板。 分基分类设置 所属分级 数据来源于分级。 严重性设置 数据来源于严重性。 支持配置检测达一定数据时视为某种严重性。

本文为您介绍如何评估迁移任务时间及测试传输速度。 介绍说明 迁移时长总数据量÷(带宽大小/8)1.25。 1.25为时间冗余量；由于云主机性能瓶颈、存在大文件改动多、小文件多等情况，可能存在无法跑满带宽与保持高速率传输，留存冗余，避免由于时间预估导致项目仓促；可根据情况自由调整误差系数。 说明 数据量与带宽单位需统一（GB/MB）。 数据量单位为Byte。 带宽单位（K/M/Gbps）。 iperf3测试结果bandwidth单位（Gbits/sec）等同于带宽Gbps，千兆比特每秒。 迁移带宽以迁移源出口带宽、目的端入口带宽、CMS平台中限制带宽中最小带宽为准。 操作步骤 若需要较为严格的时间预估建议通过软件进行测试： 1. 根据源端云主机的OS类型下载对应iperf版本。 2. 在源端云主机和目的端云主机（或者目的端云主机同一Region下的其他弹性云云主机）某一个目录下解压iperf工具。例如在Windows操作系统的iperf工具： 3. 在目的端云主机上，以命令行方式运行iperf（服务端模式运行，以Windows操作系统为例）： 执行以下命令，进入iperf目录。 cd /d path 其中，path指步骤2中iperf工具解压后在目的端云主机中的路径。 执行以下命令，以服务端运行iperf。 iperf3 p port s 其中，port表示iperf工具的服务端监听端口，建议Windows操作系统使用8900端口（8900为目的端云主机使用的数据传输端口），Linux操作系统使用22端口（22为目的端云主机使用的数据传输端口）。您测试的时候也可以使用其他端口，但要保证目的端云主机安全组规则允许开放该TCP或者UDP端口。更多的参数使用说明，请使用iperf h查看。 以Windows操作系统使用8900端口为例，当回显信息为Server listening on 8900时，表明服务端已经运行就绪。 4. 在源端云主机上，以命令行方式运行iperf（客户端模式运行），测试TCP带宽和UDP的抖动、丢包率和带宽（以Windows操作系统为例）。 执行以下命令，进入iperf目录 cd /d path 其中，path指步骤2中iperf工具解压后在源端云主机中的路径。 执行以下命令，运行iperf工具，测试TCP带宽。 iperf3 c targetIP p port t time 其中，c是客户端模式运行。 targetIP 表示目的端云主机（即以服务端模式运行iperf的云主机）的IP地址。 port表示连接目的端云主机的端口（即3.b中 iperf监听端口）。 time表示测试总时间，默认单位为秒。 以Windows操作系统使用8900端口为例，iperf客户端连接到iperf服务端成功后会进行带宽（Bandwidth）测试，测试结束后查看结果即可： 执行以下命令，运行iper测试UDP的抖动、丢包率和带宽。 iperf3 c targetIP p port u t time 其中，u表示测试UDP的抖动、丢包率和带宽。 targetIP 表示目的端云主机（即以服务端模式运行iperf的云主机）的IP地址。 port表示连接目的端云主机的端口（即3.b中 iperf监听端口）。 time表示测试总时间，默认单位为秒。 以Windows操作系统使用8900端口为例，iperf客户端连接到iperf服务端成功后会测试UDP的抖动（Jitter）、丢包率（Lost/Total Datagrame）和带宽（Bandwidth），测试结束后查看结果即可。 若需要测试网络时延，可以使用ping命令。 ping targetiP targetIP 表示目的端云主机（即以服务端模式运行iperf的云主机）的IP地址。 需要配置目的端云主机所在的VPC的安全组规则，允许ICMP协议报文通过。 5. 执行以下命令，获取更多的iperf的使用帮助。或者参照官网指导获取相应的使用帮助。 iperf3 h

源库为天翼云及其他云PostgreSQL的情况 源库为天翼云及其他云PostgreSQL、任务包含增量迁移，且逻辑解码器选择为Decoderbufs时，源库需开启逻辑解码器输出插件Decoderbufs。 天翼云在开通PostgreSQL实例时已预置开启Decoderbufs插件，当源库为天翼云PostgreSQL时，请你参照天翼云关系数据库PostgreSQL版管理插件相关指引查看确认Decoderbufs插件的开启情况，已开启则无需进行操作，未开启则参照指引进行Decoderbufs插件的安装。 当源库为其他云PostgreSQL时，需要查看源库对应版本是否支持并已开启Decoderbufs插件。如源库版本不支持Decoderbufs插件则无法进行其他云PostgreSQL到天翼云PostgreSQL的增量迁移；如源库版本支持Decoderbufs插件但未开启则按照文档启用插件；如已开启则无需进行操作。具体请参考其他云PostgreSQL的相关指引，例如： 华为云支持的插件列表及插件管理的相关指引。 阿里云支持的插件列表及插件管理的相关指引。 操作需知 DTS迁移过程一般包含四个阶段：预检查阶段、结构迁移阶段、全量阶段、增量阶段。为了确保数据迁移各个阶段的平顺，在创建迁移任务前，请务必阅读以下使用须知。

本文介绍组织策略管理 组织策略 “组织策略”是一种基于组织的访问控制策略。组织管理账号可以使用组织策略指定组织中成员账号的权限边界，限制账号内用户的操作。组织策略可以关联到组织、组织单元和成员账号。组织策略关联到组织或组织单元时，该组织或组织单元下所有账号受到该策略影响。 当组织未设置任何策略时，因系统默认在根组织中配置有“CtyunFullAccess全局权限”，该组织以及子组织下面的所有账号及IAM用户权限判定遵循CTIAM的权限返回。关于CTIAM的介绍可参考“统一身份认证CTIAM” 当组织添加策略后，组织策略将作用于组织以及子组织下面关联的所有账号，其判定优先级高于CTIAM。 按组织策略的限制，账号只能做限定允许的操作或非限定禁止的操作。 当前组织策略仅对成员账号下的IAM子用户生效。 策略 策略是IAM提供的细粒度权限集合，可以精确到具体资源、条件等。使用基于策略的授权是一种灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对弹性云主机服务，管理员能够控制IAM用户仅能对云主机的资源进行指定的管理操作。 策略包含系统策略和自定义策略两种，“组织策略”为作用到企业中心“组织”的访问控制策略。

本小节介绍态势感知功能特性。 基础版及通用功能 资产发现 通过主被动两种资产探测方式，实时精准地持续监控资产变化情况，可自动识别网络设备、主机、安全设备、操作系统、数据库、Web应用等。 资产管理 资产组件信息、变化趋势、端口分布、归属、操作系统分布自动化统计。可根据IP、操作系统、应用组件/服务、归属部门、硬件信息等进行资产高级检索，快速统计资产信息、根据资产特征排查安全隐患。 脆弱性检测 通过漏洞扫描完成资产脆弱性评估，漏洞库可覆盖当前网络环境中主流的操作系统、数据库、Web中间件、网络设备漏洞，同时，对接国家安全监测平台的漏洞预警、安全事件通报及漏洞检测规则，完成检测规则的更新，有效应对突发安全事件，支持以资产存在漏洞及漏洞影响资产两个维度展示脆弱性资产。 网络威胁检测 根据网络流量可识别丰富的网络应用层协议，通过协议分析、内容萃取等报告对应的异常事件，可检测勒索软件、恶意软件、信息泄露、C&C通信、扫描探测、暴力破解、系统提权、Web攻击等网络威胁。同步国家能力中心下发的恶意URL、域名等信誉数据，完成新型威胁及高级持续威胁的检测。 高级版功能

内网DNS产品广泛应用于多种场景，本文带您更快了解内网DNS经典应用场景。 企业内部访问的网站 对于那些仅在企业内部使用、不对外公开访问的网站，企业可以通过使用内网DNS来提供域名解析服务。内网DNS能够在企业内部解析域名与IP地址之间的映射关系，满足企业内部系统的域名解析需求。 节约公网带宽 为了解决企业内部用户频繁访问外网网站导致公网带宽负担增加的问题，可以在企业内部部署本地DNS服务器来优化域名解析流程。通过搭建本地DNS服务器，减少对公网DNS服务器的请求次数，节约公网带宽，并提高域名解析的效率。 用户上网行为管理 企业无需额外购买专门的防火墙或其他设备，可以通过内网DNS过滤来管理内部用户的上网行为。通过限制访问某些特定域名，如淘宝等网站，可以提高工作效率、保护网络安全和节约带宽资源。 云服务器主机名管理 场景说明 当部署多台云服务器时，可以根据云服务器的位置、用途和所有者等信息来规划主机名，并使用主机名为云服务器添加内网解析记录，可以直观的获取云服务器的信息，方便日常管理和维护。例如，您在某区域的某个可用区部署了20台云主机，其中10台用于网站A，10台用于网站B，则可以采用以下方式规划主机名和内网域名： 网站A：weba01.region1.az1.com~weba10.region1.az1.com 网站B：webb01.region1.az1.com~webb10.region1.az1.com 云服务器切换

本节介绍了专属云（存储独享型）的欠费规则。 按需计费是先使用后付费的模式，即会根据使用资源的时间从用户的帐户余额中扣费，因此会出现欠费的情况。 用户可自定义账户提醒余额，当账户金额小于用户自定义余额时，用户会收到一次账户金额低于设定值的提醒。当用户欠费时，系统会向用户发送一次欠费提醒，并在欠费的第2天、第4天、第6天各发送一次欠费提醒。欠费提醒会以邮件和短信方式告知用户，请及时关注您的短信及邮件。欠费后您的资源将保留15天，15天内您可进行充值，15天后专属云资源将完全销毁，无法恢复。

本文将为您介绍伸缩策略的概念及使用限制。 伸缩策略是弹性伸缩实现动态扩缩容的重要机制。通过伸缩策略，可定义自动伸缩活动的触发条件、执行的伸缩任务，从而实现自动扩缩容。 使用限制 一个伸缩组最多可以创建10个伸缩策略。 若伸缩策略设置了冷却时间300s，则当策略触发后，300s内不会再次执行同一伸缩策略。 当一个伸缩组拥有多个伸缩策略时，若多个伸缩策略之间互不冲突，后续实例只要满足策略条件，均会触发伸缩活动。 伸缩策略执行后伸缩组将会自动增加或减少云主机实例，但是伸缩组内的实例数不会超过最大实例数和最小实例数的范围，若超过最大实例数，会按照实例移除规则自动移除组内实例，若小于最小实例数将会自动增加实例。 伸缩策略 伸缩策略用于定义伸缩活动的触发模式、触发条件和触发动作。伸缩策略支持以下6种类型：告警策略、定时策略、周期策略、目标追踪策略、智能预测策略、简单策略。 告警策略：通过对伸缩组内实例性能指标（CPU使用率、内存使用率等）的监控，来确认其是否到达预设的告警条件，来自动增加或减少云主机的数量。 定时策略：根据业务实际情况设置一个时间点，在此时间点自动增加或减少云主机的数量。 周期策略：根据业务实际情况设置一个时间段，在此时间段内按照周期（按天、按周、按月）来重复执行自动增减云主机的数量。 目标追踪策略：根据业务选择一个监控指标并设置监控指标的目标值，弹性伸缩会根据目标值自动进行扩缩容活动，使伸缩组监控指标始终维持在目标值上下。 智能预测策略：通过分析伸缩组历史监控数据，利用算法预测未来48小时的监控指标值变化趋势，并根据预测值自动增加或减少云主机的数量，减少人工运维成本。 简单策略：可手动执行的伸缩策略，便于快速执行增加或减少云主机数量。