自定义查杀 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击“自定义查杀”，弹出“自定义查杀”对话框。 5、根据界面提示，配置“自定义查杀”策略参数。 参数名称 参数说明 任务名称 自定义查杀任务名称。 防护文件类型 扫描文件类型，勾选即对该文件类型进行扫描。当前支持扫描的文件类型： 可执行：可执行文件和动态链接库，常见exe、dll、so等。 压缩：压缩包和安装包文件，常见zip、rar、tar等。 脚本：脚本文件，常见的bat、py、ps1等。 文档：文档文件，常见的txt、doc、pdf等。 图片：图片文件，常见的bmp、jpg、gif等。 音频文件：音频文件，常见的mp3、mp4、flv等。 目录设置（可选） 需要扫描病毒文件的目录。不配置时，默认进行全盘扫描，全盘扫描不扫描网络目录。 排除指定目录（可选） 无需扫描病毒文件的目录。 选择服务器 选择需要扫描的服务器。处于查杀状态的服务器不支持选择。 处置策略 选择针对检测到的病毒文件的处理方式。 自动处置：经过云病毒检测中心进一步确认为病毒的病毒文件系统自动进行隔离；未被确认为病毒的可疑文件会被打上“可疑”标签，需人工确认后进行处置。 人工处置：仅对检测到的病毒文件展示告警不自动隔离，需人工确认后进行处置。 6、单击“开始扫描”，启动查杀任务。

自定义查杀 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击“自定义查杀”，弹出“自定义查杀”对话框。 5、根据界面提示，配置“自定义查杀”策略参数。 参数名称 参数说明 任务名称 自定义查杀任务名称。 防护文件类型 扫描文件类型，勾选即对该文件类型进行扫描。当前支持扫描的文件类型： 可执行：可执行文件和动态链接库，常见exe、dll、so等。 压缩：压缩包和安装包文件，常见zip、rar、tar等。 脚本：脚本文件，常见的bat、py、ps1等。 文档：文档文件，常见的txt、doc、pdf等。 图片：图片文件，常见的bmp、jpg、gif等。 音频文件：音频文件，常见的mp3、mp4、flv等。 目录设置（可选） 需要扫描病毒文件的目录。不配置时，默认进行全盘扫描，全盘扫描不扫描网络目录。 排除指定目录（可选） 无需扫描病毒文件的目录。 选择服务器 选择需要扫描的服务器。处于查杀状态的服务器不支持选择。 处置策略 选择针对检测到的病毒文件的处理方式。 自动处置：经过云病毒检测中心进一步确认为病毒的病毒文件系统自动进行隔离；未被确认为病毒的可疑文件会被打上“可疑”标签，需人工确认后进行处置。 人工处置：仅对检测到的病毒文件展示告警不自动隔离，需人工确认后进行处置。 6、单击“开始扫描”，启动查杀任务。

本节主要介绍购买混合集群。 您可以通过云容器引擎控制台非常方便快速的创建Kubernetes集群。Kubernetes是大规模容器集群管理软件，一个集群可以管理一组节点资源。 CCE集群支持虚拟机与裸金属服务器混合、支持GPU等异构节点的混合部署，基于高性能网络模型提供全方位、多场景、安全稳定的容器运行环境，您可以通过购买节点实现多种场景的混合部署。 前提条件 创建首个集群前，您必须先确保已存在虚拟私有云，否则无法创建集群。若您已有虚拟私有云，可重复使用，无需重复创建。 虚拟私有云为CCE集群提供一个隔离的、用户自主配置和管理的虚拟网络环境。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 若使用密码登录节点，请跳过此操作。 创建集群前，请提前规划好容器网段和服务网段。网段参数在集群创建后不可更改，需要重新创建集群才能调整，请谨慎选择。 创建集群须知 创建集群过程中会同步创建一些基础资源，列表如下： 资源名称 描述 控制节点及其相关资源 存在于云容器引擎资源租户下，用户不可见。 弹性云主机（可选创建） 集群节点，即用户的计算资源，对应“弹性云主机”中的ECS。 ECS命名规则为：集群名称随机数，可自定义，批量创建时会再加一串随机数。 安全组 集群会创建两个安全组，一个用于管理集群控制节点的安全组，一个用于管理集群工作节点的安全组。 警告 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 1. 控制节点安全组 命名规则：集群名称ccecontrol随机数 作用： 出方向允许。 其他节点访问控制节点kubernetes相关服务。 2. 工作节点安全组 命名规则：集群名称ccenode随机数 作用： 出方向允许。 开放linux或windows远程登录（22、3389）。 kubernetes组件之间访问使用（4789、10250）。 kubernetes用于对外开放的端口（3000032767）。 相同安全组之间可以互相访问。 磁盘（可选创建） 分别给各个节点创建两个磁盘，一个是节点的系统盘，一个是给docker运行使用的数据盘。 弹性IP（可选创建） 需用户选择，给节点绑定弹性IP ，可以使节点访问外网。

本小节介绍数据库审计的网络环境需求。 若数据库审计绑定了EIP，在用户通过EIP访问数据库审计实例之前需要配置安全组策略，编辑入向策略，才可通过EIP直接访问数据库审计实例。 说明 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和数据库审计实例提供访问策略。 为了保障数据库审计的安全性和稳定性，在使用数据库审计实例之前，您需要设置安全组，添加规则允许需访问数据库审计的IP地址和端口。 数据库审计实例开放端口说明 端口 用途 说明 1443 门户端口、心跳端口 访问数据库审计门户页面并保持心跳连接，需开放该端口的出入方向规则。 13001 流量转发 数据库资产与数据库审计的13001端口建立连接负责流量转发，需开放该端口的出入方向规则。 13002 连接控制 数据库资产与数据库审计的13002端口建立连接负责控制部分，包含接收天翼云数据库审计下发的资产和其他配置，需开放该端口的出入方向规则。

口令安全加固 口令 说明 操作步骤 复杂度 必须满足设置安全的口令的要求。 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中，选择“帐户策略>密码策略”。 4. 确认“密码必须符合复杂性要求”已启用。 密码最长留存期 对于采用静态口令认证技术的设备，帐户口令的留存期不应长于90天。 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中，选择“帐户策略>密码策略”。 4. 配置“密码最长使用期限”不大于90天。 帐户锁定策略 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次后，锁定该用户使用的帐户。 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中，选择“帐户策略>帐户锁定策略”。 4. 配置“帐户锁定阈值”不大于10次。 授权安全加固 授权 说明 操作步骤 远程关机 在本地安全设置中，从远端系统强制关机权限只分配给Administrators组。 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中，选择“本地策略>用户权限分配”。 4. 配置“从远端系统强制关机”，权限只分配给Administrators组。 本地关机 在本地安全设置中关闭系统权限只分配给Administrators组。 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中，选择“本地策略>用户权限分配”。 4. 配置“关闭系统”，权限只分配给Administrators组。 用户权限指派 在本地安全设置中，取得文件或其它对象的所有权的权限只分配给Administrators组。 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中，选择“本地策略>用户权限分配”。 4. 配置“取得文件或其他对象的所有权”，权限只分配给Administrators组。 授权帐户登录 在本地安全设置中，配置指定授权用户允许本地登录此计算机。 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中，选择“本地策略>用户权限分配”。 4. 配置“允许本地登录”，权限给指定授权用户。 授权帐户从网络访问 在本地安全设置中，只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务）此计算机。 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中，选择“本地策略>用户权限分配”。 4. 配置“从网络访问此计算机”，权限给指定授权用户。

本文介绍IP应用加速是否支持海外加速。 天翼云边缘接入IP应用加速支持海外加速。依托遍布全球的CDN优质节点及线路，通过智能调度及传输优化等核心自研技术，为企业跨国、跨境访问提供一站式全球加速服务。满足出海企业本地化节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 需要注意的是，开启海外加速需要额外付费，详见：边缘接入套餐资费。

本页介绍了天翼云关系数据库MySQL安全组规则的设置方法。 合适的安全组规则设定能够让您在保障安全的前提下无障碍的使用您的数据库。安全组具体介绍及使用信息，请参见安全组概述。 操作场景 ECS与MySQL实例在相同安全组时，默认ECS与MySQL实例互通，无需设置安全组规则。 ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。 设置MySQL安全组规则：为MySQL所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需为ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意 由于安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系数据库MySQL实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系数据库实例加入该安全组后，即受到这些访问规则的保护。 注意事项 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系数据库MySQL实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系数据库MySQL实例。

主机监控分为基础监控、操作系统监控、进程监控。 基础监控：弹性云主机（下文简称ECS）/物理机（下文简称BMS）自动上报的监控指标。 操作系统监控：通过在ECS或BMS中安装Agent插件，为用户提供服务器的系统级、主动式、细颗粒度监控服务。 进程监控：针对主机内活跃进程进行的监控，默认采集活跃进程消耗的CPU、内存，以及打开的文件数量等信息。 功能介绍 多种监控指标 安装Agent后，云监控服务会提供CPU、内存、磁盘、网络等四十余种监控指标，满足服务器的基本监控运维需求。 细颗粒度监控 安装Agent插件后，Agent相关监控指标为 1分钟上报 1 次。 进程监控 采集当前活跃进程占用的CPU、内存和打开文件数，让您了解弹性云服务器或裸金属服务器的资源使用情况。 使用主机监控 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“主机监控”，进入“主机监控”页面。 4. 选择要安装Agent的ECS或BMS，安装Agent插件。 1. 修改待安装Agent的ECS或BMS的DNS并添加安全组，具体步骤请参见修改DNS与添加安全组（Linux）或修改DNS与添加安全组（Windows）。 2. 安装Agent，具体安装步骤请参见安装Agent（Linux）或安装配置Agent（Windows）。 5. 5分钟后，当插件状态为“运行中”，说明Agent已安装成功。 单击弹性云服务器右侧操作列的“查看监控指标”查看监控数据。

本章节主要介绍应用容灾多活产品类问题。 应用容灾多活解决什么问题？ 应用容灾多活是为应用提供高可用解决方案的产品，提供应用流量调度、数据同步、演练容灾一站式管理，助力企业云上业务实现多活高可用建设。 应用容灾多活支持哪些容灾架构？ 应用容灾多活目前支持应用双活和数据双活两种基本架构，客户可以根据自身业务的发展状况、业务规模、物理架构、容灾诉求和投入成本等，灵活选择合适的容灾架构。 应用容灾多活与其他云产品的关系？ 应用容灾多活是构建在已有应用之上的管控，协同其他云产品，但不负责其他云产品的生命周期。 应用容灾多活与云应用平台冲突吗？ 应用容灾多活与现有云产品均不存在功能冲突，通过深度集成云上业务使用的核心产品，对应用进行分层抽象，帮助业务屏蔽组件管理差异，自动编排有序的容灾流程。 应用容灾多活要求用户使用全套天翼云产品吗？ 不一定。容灾多活产品构建的容灾架构，对应用进行分层管理，通过控制面和数据面的管控编排与容灾逻辑织入，实现应用多活的容灾调度。 应用容灾多活提供控制面能力，根据组件化的程度，用户可以选择以下数据面策略： 流量入口使用多活配套网关，应用层相关组件自建。 流量入口使用多活配套网关，数据层使用多活支持的天翼云数据库产品与同步服务，应用层相关组件自建。 流量入口、微服务、数据库、消息等使用多活支持的天翼云产品与服务，其他组件可参考接入示例自建，或提交工单确认是否支持。

本章介绍数据管理服务的整体产品架构。 数据管理服务DMS助力于企业数字化转型，为企业提供了高效、安全的数据管理解决方案。 先进的数据资产管理功能，帮助企业优化数据资源的组织、分类和检索。 可视化开发工具，为开发人员提供友好的数据操作界面，简化数据库的开发和管理过程。 重视数据的安全保护，通过团队隔离、用户与角色管理、操作审计等功能，确保数据的安全性。 下图为数据管理服务的整体产品架构图。 产品架构图 整个产品架构分为四层： 统一访问：通过统一的访问界面入口，用户无需在多个系统或客户端之间切换，可以轻松地访问和管理各种数据资源。这种统一的访问方式简化了操作流程，提高了管理效率，同时降低了学习成本和维护难度，有助于企业制定统一的安全策略、开发规范和变更流程。此外，DMS还提供Open API，方便第三方集成。 功能设计：DMS提供了丰富的产品功能，包括数据资产管理、可视化开发、SQL治理、数据安全协作、智能运维等，能够全方位地满足用户使用和管理数据库的需求。 数据库内核：DMS正在持续地丰富数据源生态，现已支持多种开源和商业数据库类型，更多数据源支持正在持续上线中。 来源/环境：DMS支持各种网络环境的数据库，包括天翼云、公网/直连数据库等，具备了多环境、多云的适配能力。

本文为您介绍云堡垒机(原生版)的权限管理能力,支持通过IAM实现对云堡垒机(原生版)的访问控制、权限分配。 云堡垒机（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云堡垒机（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云堡垒机（原生版）IAM策略说明 天翼云为云堡垒机（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 ctcbh admin 云堡垒机（CBH）的全读写访问权限。 系统策略 全局级 ctcbh viewer 云堡垒机（CBH）的只读访问权限。 系统策略 全局级

本文主要介绍云原生网络2.0。 云原生网络2.0网络模型 云原生网络2.0是CCE的新一代容器网络模型，深度整合了虚拟私有云VPC的弹性网卡（Elastic Network Interface，简称ENI）和辅助弹性网卡（Sub Network Interface，简称SubENI）的能力，直接从VPC网段内分配容器IP地址，支持ELB直通容器，绑定安全组，绑定弹性公网IP，享有高性能。 图 云原生网络2.0 说明 物理机节点上Pod使用ENI网卡；ECS节点上Pod使用SubENI网卡，SubENI网卡通过VLAN子接口挂载在ENI上。 节点内Pod间通信：直接通过VPC的弹性网卡/弹性辅助网卡进行流量转发。 跨节点Pod间通信：直接通过VPC的弹性网卡/弹性辅助网卡进行流量转发。 约束与限制 仅CCE Turbo集群支持使用云原生网络2.0。 优缺点 优点 容器网络直接使用的VPC，网络问题易排查、性能最高。 支持VPC内的外部网络与容器IP直通。 可直接利用VPC提供的负载均衡、安全组、弹性公网IP等能力。 缺点 由于容器网络直接使用的VPC，消耗VPC的地址空间，创建集群前需要合理规划好容器网段。 适用场景 性能要求高，需要使用VPC其他网络能力的场景：由于云原生网络2.0直接使用的VPC网络，性能与VPC网络的性能几乎一致，所以适用于对带宽、时延要求极高的业务场景，比如：线上直播、电商秒杀等。 大规模组网：云原生网络2.0当前最大可支持2000个ECS节点，10万个容器。

本章节主要介绍对象管理功能。 翼MapReduce（简称：翼MR）集群包含了各类不同的基本对象，不同对象的描述介绍如下表所示： 对象 描述 举例 集群服务 可以完成具体业务的一类功能集合 例如：HDFS集群服务、YARN集群服务。 服务角色 组成一个完整服务的一类功能实例，一般情况下可使用角色标识 例如：HDFS由NameNode、DataNode、HDFSClient、ZKFC、JournalNode组成，在组件中起到不同的作用，就像扮演着不同的角色，相互通信协调，提供分布式文件存储能力。 实例分组 相同角色的实例组合成实例分组，通常实例分组对应一个角色，名称一般和角色的名称一样 例如：JournalNode实例分组、DataNode实例分组。 角色实例 服务角色在主机节点上运行的具体实例 例如：运行在Host2上的KerberosAdmin，运行在Host3上的KerberosServer。 主机 用于运行角色实例的物理主机或虚拟主机 例如：Host1～Host5。 集群 由多台主机组成的可以提供多种服务的逻辑实体 例如：名为Cluster1的集群由（Host1～Host5）5个主机组成，提供了HDFS和YARN等服务。

操作场景 本节操作介绍在Windows和Linux环境中使用SSH密码方式远程登录Linux云主机的操作步骤。 前提条件 Linux云主机状态处于“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 如果创建Linux云主机时登录方式设置的为密钥，请通过重置密码功能，设置Linux云主机的登录密码后执行本节操作。重置密码请参考：在控制台重置弹性云主机密码。 您所使用的SSH登录工具（例如PuTTY）已经正确配置，并且与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 本地使用Windows操作系统 如果本地主机为Windows操作系统，可以按照以下方式登录云主机。下面的步骤以PuTTY为例： 1. 您可通过官方途径下载PuTTY和PuTTYgen。 2. 运行PuTTY。 3. 在PuTTY的配置界面中，填写以下信息： Host Name (or IP address)：输入Linux云主机的弹性IP。 Port：输入 22。 Connection Type：选择 SSH。 Saved Sessions：为任务设置一个名称，以便下次使用PuTTY时可以直接打开该任务。 4. 单击"Window"，在"Translation"下的"Received data assumed to be in which character set:"选择"UTF8"。 5. 单击“Open”。如果首次登录服务器，PuTTY会显示安全警告对话框，询问是否接受服务器的安全证书。单击"是"将证书保存到本地注册表中。 6. 建立到Linux云主机的SSH连接后，根据提示输入用户名和密码登录云主机。

本文带您熟悉通过备份创建新的云主机的操作步骤,您可通过该方法实现主机数据的迁移。 操作场景 在已经存在至少一个可用云主机备份副本的前提下，您可以使用备份数据去申请一个新的云主机。 申请新的云主机支持配置主机的名称，云主机规格，网络信息、登录方式，计费模式等。地域，镜像，数据盘，系统盘等配置和信息不能修改，需保持一致。 注意 选择规格时架构，分类需要尽量和原规格保持一致，否则会因底层架构变化引起兼容性问题。 前提条件 备份副本数据为“可用”状态。 操作步骤 1. 登录天翼云门户首页的“控制中心”，进入控制中心页面，选择您资源所在地域。 2. 进入云主机控制台，选择“备份副本”页签，找到云主机所对应的备份，点击备份所在行的“申请云主机”。 3. 在打开的页面中地域，镜像，数据盘，系统盘等配置和信息不能修改，需保持一致。配置主机的名称，主机规格，网络信息、登录方式，计费模式等，同意并勾选相关服务协议，点击“立即购买”即可。配置信息选择，请参考创建弹性云主机。

本章节向您主要介绍第二种VPN连接服务创建方式。 操作场景 通过执行该操作，您可以创建VPN，以便在您的数据中心与天翼云VPC之间建立一条保密而安全的通信隧道。 前提条件 请确认虚拟私有云VPC已经创建完成。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。 操作步骤 1. 登录管理控制台。 2. 在管理控制台上方选择区域和项目。 3. 在系统首页，单击“网络 > 虚拟专用网络”。 4. 在“虚拟专用网络”界面，单击“购买VPN”。 5. 根据界面提示配置参数，并单击“立即购买”。 6. 提交申请。 创建成功后云为该IPsec VPN分配一个公网出口IP地址。该地址为VPN页面中，已创建的VPN的本端网关地址。在您自己数据中心配置对端隧道时，远端网关需要配置为该IP地址。 7. 因为隧道的对称性，还需要在您自己数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。 说明 IKE策略指定了IPsec 隧道在协商阶段的加密和认证算法，IPsec策略指定了IPsec在数据传输阶段所使用的协议，加密以及认证算法；这些参数在VPC上的VPN和您数据中心的VPN中需要进行相同的配置，否则会导致VPN无法建立连接。 以下算法安全性较低，请慎用： 认证算法：SHA1、MD5。 加密算法：3DES。 DH算法：Group 1、Group 2、Group 5。 配置对端设备 配置对端设备可参见以下示例，帮助您配置本地的VPN设备，实现您本地网络与天翼云VPC子网的互联互通。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见云审计服务支持的态势感知（专业版）操作列表。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见云审计服务支持的态势感知（专业版）操作列表。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

步骤二：链路设置 购买完智能网关实例后，控制台会生成一条智能网关实例资源。同时选择硬件版本会向客户发送一台硬件设备。 收到硬件智能接入网关设备后，请按照网络规划将智能接入网关设备接入到本地网络中。设备WAN口通常用于连接互联网线路，使设备可正常访问互联网；设备LAN口通常为用户侧接口，用于下联路由器、交换机或者直接下联PC等终端设备。 根据接线情况，需要对硬件智能网关进行链路设置，从而保证智能网关实例激活成功。 1. 登录天翼云SDWAN控制台，选择“智能网关”，单击目标智能网关实例“操作”列的“链路设置”。 2. 用户根据实际网络拓扑更改默认链路设置或单击“新建链路”，设置其他端口的传输网络。 3. 单击“确定”，保存链路设置。 步骤三：激活智能网关 1. 登录天翼云SDWAN控制台。 2. 选择“智能网关”，单击目标智能网关实例“操作”列的“更多激活”。激活前，请确保设备状态为“在线”。 3. 根据页面提示，选择设备接入方式为“串接”，配置智能网关实例接入天翼云使用的私网网段，私网网段如果存在包含/重复关系，可能会造成路由冲突，请谨慎配置。 4. 单击“确定”，开始激活操作。 5. 激活成功后，业务状态变为“已激活”。 步骤四：配置路由 完成以下操作配置静态路由，使得云上云下能够互通。 1. 登录天翼云SDWAN控制台，选择“智能网关”，单击目标智能网关实例名称，进入智能网关详情页。 2. 在详情页，单击“静态路由 >添加”。 3. 根据页面提示，填写目的网段和下一跳等参数。 4. 单击“确定”，完成静态路由配置。

本文介绍Web应用防火墙（边缘云版）是否可以和CDN一起接入。 Web应用防火墙（边缘云版）可以和CDN一起接入。 Web应用防火墙（边缘云版）和CDN一起接入，是指CDN融合了Web应用防火墙（边缘云版）能力，在CDN节点上提供Web应用防火墙（边缘云版）防护功能。Web应用防火墙（边缘云版）防护具体功能，请参见Web应用防火墙（边缘云版）功能介绍。 前提条件 已开通天翼云CDN加速计费，且已经将域名添加到CDN加速控制台。 已完成Web应用防火墙（边缘云版）产品开通。 CDN控制台域名的加速范围选择为中国内地。 操作步骤 1. 登录Web应用防火墙（边缘云版） 控制台。 2. 选择域名管理—域名列表，点击【添加域名】。 3. 填写网站域名后，点击【确认】进行产品关联，同步网站通用配置，并单击【下一步】。 4. 根据页面配置指引，完成安全防护配置。

在使用天翼云关系型数据库MySQL前,您需要先创建实例。本文为您详细介绍如何创建天翼云关系数据库MySQL版实例。 背景信息 您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例，其中，计费模式支持包年包月（包周期）和按需计费。 创建实例时，系统默认开启自动备份策略。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改备份策略。 数据库端口默认为13049。您也可在订购页自定义端口。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改数据库端口。 操作步骤 1. 进入数据库实例订购页面。 方法一： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 注意 如需要对II 类型资源池广州4、苏州进行实例创建和管理，需要先在控制台的实例列表页面的左上角单击数据库资源池切换，并选择对应的资源池，然后进行管理和订购等操作。 3. 在实例列表上方，单击创建实例，进入数据库实例订购页面。 方法二： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击立即开通，进入数据库实例订购页面。 2. 在顶部菜单栏，选择区域和项目。 2. 根据实际情况，配置如下实例相关参数。 模块 参数 描述 基本信息 组件引擎和版本 选择数据库组件引擎和版本： 说明 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 引擎：MySQL 版本：5.7或者8.0 基本信息 区域 租户当前所在区域。支持在顶部菜单栏左上角切换到其他区域。 注意 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 基本信息 计费模式 选择计费模式： 包年/包月：若选择该模式，则按照购买时长进行计费，一次性扣除。 按需计费：若选择该模式，则会从余额中进行扣除费用。 基本信息 模式 选择实例模式： 非MGR：实例类型可以选择单机版、一主一备和一主两备。 MGR：模式选择MGR后，实例类型默认只能选择一主两备 。更多MGR集群信息，请参见MGR集群。 基本信息 实例类型 根据具体的业务需求选择对应的实例类型。详细的实例类型信息，请参见实例类型。 基本信息 可用区 选择实例所在的可用区。针对支持多可用区的资源池，您可以将订购的非单机版实例节点分布在不同的可用区，即跨可用区部署实例。一个可用区不受其他可用区故障的影响，保证您数据库服务的可用性。 注意 跨可用区功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 CPU类型 部分资源池提供了X86和ARM架构，具体资源池加载情况以实际受理页为准。 规格与存储 性能类型 支持选择通用型、计算增强型和内存优化型的主机类型。关于各主机类型具体说明和适用场景，请参见实例规格。 说明 对应的主机类型提供对应六代机或七代机，目前七代机的表现整体优于六代机。 规格与存储 性能规格 选择实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后，支持进行规格变更。 规格与存储 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。具体存储类型差异，请参见实例存储类型。 规格与存储 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持100GB到32TB，您选择的容量大小必须为10的整数倍。 存储空间自动扩展：可选择开通自动扩容，开通后实例将根据选择的阈值进行自动扩展，无需担心空间满问题，建议扩容上限值设置大一些，以备不时之需。 磁盘加密：可选择磁盘是否加密，有效保护数据安全，此项功能仅支持在订购时进行设置，在控制台暂不支持设置。 注意 磁盘加密功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 备份空间 如果备份类型是云硬盘方式，备份空间大小需要大于等于存储空间。 如果备份类型是对象存储方式，默认会赠送和订购时选择的存储空间大小相等的对象存储空间。 注意 对象存储方式仅II类型资源池中的部分资源池支持，I类型资源池不支持该方式，以订购页实际显示为准。更多资源池信息，请参见功能概览。 免费备份空间额度仅与首次购买的存储空间大小绑定，后续扩容不额外增加免费额度。 备份空间实际用量超过免费额度时，系统将自动对超出部分按标准费率计费。 企业项目 企业项目 企业项目权限实现细粒度控制。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的权限限制。 网络 虚拟私有云 关系数据库MySQL版实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见创建虚拟私有云VPC。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意 目前关系数据库MySQL版实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 网络 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系数据库MySQL版实例的子网默认开启DHCP功能，不可关闭。 创建实例时关系数据库MySQL版会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 网络 IP地址 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址不可修改。 注意 手动输入指定IP地址功能仅II类型资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 网络 安全组 安全组限制实例的安全访问规则，加强关系数据库MySQL版服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果不创建安全组或没有可选的安全组，关系数据库MySQL版服务默认为您分配安全组资源。 集群配置 实例名称 长度为4~64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 集群配置 设置密码 您可以在订购的时候设置密码，也可以选择在创建后进行设置密码，提高订购开通效率。 集群配置 管理员账号 数据库的登录名默认为root。 集群配置 管理员密码 长度为8~26位，需为字母、数字和特殊字符~!@

本文说明应用加速产品升级情况。 尊敬的天翼云客户： 因业务调整，从2024年12月1日起，天翼云应用加速产品将并入边缘安全加速平台，边缘安全加速平台边缘接入服务可提供应用加速和边缘DDoS防护能力，相比于应用加速的应用场景更丰富。 新购客户：2024年12月1日起，将无法订购应用加速产品。如需订购，请订购其升级产品边缘安全加速平台边缘接入服务。 存量客户：应用加速产品将持续提供服务至您当前订单周期结束，但从2024年12月1日起，将无法进行续订和变更。如需续订，请订购其升级产品边缘安全加速平台边缘接入服务；如需变更，请先退订应用加速产品，再通过订购边缘安全加速平台的边缘接入服务来满足您的需求。 更多边缘安全加速平台信息详见： 如有任何问题，请您随时通过在线客服或服务热线4008109889联系我们，我们将竭诚为您服务。 感谢您对天翼云的支持！ 天翼云服务团队

本章节以Linux操作系统为例，指导您通过弹性云主机内网的方式连接GeminiDB Influx实例。 使用须知 目标实例必须与弹性云主机在同一个虚拟私有云和子网内才能访问。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为 默认安全组 ，则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，需要在实例安全组添加一条“入”的访问规则。 前提条件 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机快速入门》中购买弹性云主机的内容。 下载InfluxDB客户端，以Linux 64bit为例。 SSL连接 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 通过如下命令进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 使用CCM签发的证书连接 生成证书并配置CCM证书请参考4.8.2 CCM私有证书配置。 ./influx ssl host port 示例： ./influx ssl host 192.xx.xx.xx port 8635 使用默认证书连接 ./influx ssl unsafeSsl host port 示例： ./influx ssl unsafeSsl host 192.xx.xx.xx port 8635 表1 参数说明 参数 说明 待连接节点的内网IP。 您可以在“实例管理”页面，单击实例名称，进入“基本信息”页面，在节点信息列表中获取“内网IP”。 如果您购买的实例有多个节点，选择其中任意一个节点的内网IP即可。 待连接实例的端口，一般默认为8635，且不可修改。 您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 数据库端口”处获取当前GeminiDB Influx实例的端口信息。 输入auth命令，进行身份验证。 auth 根据提示输入用户名和密码。 username： password： 表2 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 5. 验证身份校验通过后，再输入命令 show databases 。 show databases 出现如下信息，表示已连接成功： name: databases name internal

本章节主要介绍天翼云物理机的功能。 订购及管理 物理机服务的开通/订购需通过联系客服或客户经理的方式，由天翼云后台进行开通处理，并可在控制台对物理机进行开机、关机、重启等管理操作。 提供多种操作系统 支持常用的Windows、Linux操作系统，用户订购物理机时可指定操作系统类型。 物理机与云主机网络互通 物理机服务支持部署在VPC中，支持IPv6特性，可实现物理机与物理机之间、物理机与云主机之间网络互通，满足不同业务场景对物理机、云主机部署的需求。 物理机支持多种网络类型：VPC网络、高速网络、IB网络、自定义VLAN网络等。 物理机与云存储 支持挂载云硬盘，在线扩容，解决了传统物理服务器受限于本地硬盘容量的问题。 支持挂载共享云硬盘，由多台服务器并发读写访问，满足企业核心系统集群部署的需求。 物理机镜像 物理机支持公共镜像、私有镜像和共享镜像。用户可通过选择公共镜像快速发放物理机，免操作系统安装，通过定制的私有镜像可以一键创建所需要的物理机服务器，节省重复配置物理机的时间。 物理机生命周期管理 支持物理机和HPC生命周期管理，可以通过公有镜像或者私有镜像进行快速部署及发放，网络自动配置，发放完成即可使用。 混合部署，灵活组网 物理机在可用分区内，内网互通。通过VPC实现与外部资源的互通，同时可以结合ECS等服务混合部署、灵活组网，满足用户多种复杂场景的不同诉求。

本小节介绍查看入侵告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、已处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、单击事件类型中的告警事件，可查看告警事件对应的受影响的服务器、发生时间等信息。 全部：展示发生的总的告警数。 告警事件：展示各告警事件发生的告警数。 5、单击事件类型的告警名称，可查看告警的详细信息

本节介绍委托、IAM权限策略和RBAC权限关系,以及如何为服务账号授予相应权限。 根据权限类型，分布式云容器平台的权限包括服务角色、IAM权限策略和RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式云容器平台的功能。 权限类型 权限类型 是否必须授权 授权说明 委托 使用开通订购功能时必须授权，使用主账号或子账号授权一次即可。 授权后分布式云容器平台才能访问其他关联的云服务资源。 IAM系统权限策略 主账号默认拥有所有权限，无需额外授权。而子账号必须授权后才能访问分布式云容器平台。 授权后子账号才能使用分布式云容器平台系统功能。 RBAC权限 主账号默认拥有所有权限，无需额外授权。子账号可以根据需求授予权限，如果没有授权，则采用默认只读权限。 授权后，子账号才能对分布式云容器平台集群内的K8s资源进行操作。 委托 云服务委托是指，在特定业务场景下，云服务为实现特定功能目标，通过获取其他云服务的访问权限，自动化管理关联资源，从而优化整体服务质量的一种协作机制。 例如，分布式云容器平台上订购注册集群后，需要关联创建ELB、安全组等资源。分布式云容器平台通过委托机制获取关联服务权限，从而自动地完成配置和关联资源创建，提升订购功能的使用体验。 分布式云容器平台目前提供以下服务角色，具体的策略内容请参见IAM控制台。 委托名称 权限说明 CtyunAssumeRoleForCCEONE 分布式云容器平台在集群管控操作中使用该角色访问您在ELB、EIP、安全组等服务中的资源。

section79f5707702da879e) 存储桶创建完可以修改存储类型吗？ 创建桶失败怎么办？ 创建桶失败可能是由于以下几个原因导致的： 网络故障：检查本地与ZOS的网络连接是否正常。如果存在网络故障，解决网络问题，并确保网络连接可靠。 账户欠费或余额不足：检查账户是否存在欠费情况或者余额不足。如果账户欠费，请先续费以确保账户可用。 权限不足：检查当前账号是否拥有创建桶的权限。如果没有权限，请联系管理员或具有相应权限的用户，授予您创建桶的操作权限。 桶数量达到上限：如果当前用户已经创建了100个桶，无法再创建新的桶。您可以删除一些闲置桶，以释放桶的数量限制。 如果您仍然无法解决创建桶失败的问题，请联系天翼云客服技术支持团队，详细描述问题并寻求帮助。 删除桶失败怎么办？ 如果删除桶失败，通常是由于以下两个原因导致的： 桶内有文件：不允许直接删除非空的桶。您需要先删除桶内的所有文件和对象，确保桶为空，然后再尝试删除桶。 桶有日志存储设置：如果桶被设置为其他桶的日志存储目标桶，也无法直接删除。您需要取消所有以该桶为目标桶的日志存储设置，然后再尝试删除桶。 请注意，在执行任何删除操作之前，请确认您要删除的内容，并确保已备份重要的数据。这样可以防止意外删除造成的数据丢失。 如果您仍然无法成功删除桶，请联系天翼云技术支持团队寻求帮助和指导。

开放兼容 ●云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。 ●云容器引擎基于业界主流的Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区版本保持同步，完全兼容Kubernetes API和Kubectl。 云容器引擎对比自建Kubernetes集群 对比项 自建Kubernetes集群 云容器引擎 易用性 自建Kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案，管理复杂。每次升级集群的过程都是巨大的调整，带来繁重的运维负担。 简化集群管理，简单易用 借助云容器引擎，您可以一键创建和升级Kubernetes容器集群，无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用，使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的Helm标准模板，真正实现开箱即用。 您只需启动容器集群，并指定想要运行的任务，云容器引擎帮您完成所有的集群管理工作，让您可以集中精力开发容器化的应用程序。 可扩展性 自建Kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署，可扩展性差。 灵活集群托管，轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容，并可以自由组合多种弹性策略，以应对业务高峰期的突发流量浪涌。 可靠性 自建Kubernetes集群操作系统可能存在安全漏洞和配置错误，这可能导致未经授权的访问、数据泄露等安全问题。 企业级的安全可靠 云容器引擎提供容器优化的各类型操作系统镜像，在原生Kubernetes集群和运行时版本基础上提供额外的稳定测试和安全加固，减少管理成本和风险，并提高应用程序的可靠性和安全性。 高效性 自建Kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库，镜像拉取方式多采用串行传输，效率低。 镜像快速部署 云容器引擎配合容器镜像服务，镜像拉取方式采用并行传输，确保高并发场景下能获得更快的下载速度，大幅提升容器交付效率。

本节介绍如何查看告警列表。 通过查看“告警列表”，您可以了解近180天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 此外，您还可以通过及时处理告警事件，标记告警事件处理状态，并支持一键导出近180天的告警事件。 约束限制 仅专业版支持忽略和标记告警事件，基础版不支持。 仅支持导出近180天的全部告警事件，暂不支持筛选导出告警事件信息。 按过滤场景筛选告警，最多可呈现10000条告警。 查看告警详情 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“威胁告警”，默认进入态势感知告警列表管理页面。 4. 筛选“告警名称”、“告警等级”、“发生时间”和“处理状态”条件选项，在列表栏查看显示符合过滤条件的告警事件列表。 告警名称：告警事件所属的分类。 告警等级：告警事件对应的等级，包括“致命”、“高危”、“中危”、“低危”、“提示”。 处理状态：用户对告警事件的处理标记，可选择“未处理”、“已忽略”、“已线下处理”。 发生时间：告警事件发生的时间范围，可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”和“近半年”。 5. 当过滤后的告警事件较多时，可以利用搜索功能快速找到指定告警事件。 在下拉框中选择“资产IP”、“来源IP”、“主机ID”，在搜索框中输入相应IP或ID，单击搜索图标，即可查看到指定资产相关的告警信息。 6. 查看告警事件详情。 单击列表中告警的“告警名称”，右侧滑出告警详情窗口，可查看与该告警相关的“基本信息”、“数据来源”、“攻击信息”、受影响的用户等信息，以及该告警的处理状态。

可能原因 解决方案 EIP实例未绑定到云资源 排查EIP实例是否已绑定到目标云资源。登录弹性IP控制台，查看EIP的绑定状态，当状态为已绑定时，表示EIP已成功绑定到目标云资源。 EIP实例到期或欠费 检查EIP实例是否欠费。为避免实例停机对您的服务产生影响，请您及时续费或充值。 被云上安全策略拦截 检查是否被以下云上安全策略拦截： 云WAF拦截：网站接入Web应用防火墙（Web Application Firewall，简称WAF）后，出现访问异常。 云防火墙可监控互联网与公网IP资产之间的通信流量。若您启用云防火墙对EIP进行保护，可能会导致访问控制策略拦截流量的情况发生。 安全策略拦截 检查云主机系统防火墙策略限制、第三方安全防护软件等，同时检查网卡驱动是否安装正确。也可对云主机实例进行网络检查。 检查云主机加入安全组出入方向规则是否允许所需的流量流入流出。 路由配置有误 请检查EIP绑定实例的路由表中是否存在与公网路由相冲突的路由规则。 运营商禁止 完成云上安全策略及绑定资源安全策略排查后，如果还是无法访问EIP，考虑运营商可能对EIP进行了封禁。您可提交工单协助排查或拨打相关运营商的联系电话，咨询并核实具体原因。同时，为了降低对业务的影响，您可以考虑更换EIP。

本文将帮助您了解HTTP/HTTPS请求获取客户端真实源IP地址的工作原理及操作步骤。 应用场景 客户端真实源IP地址可以用于分析网站流量和用户行为。通过分析来源IP地址，可以了解用户的地理位置、浏览器偏好和其他用户行为指标。这些数据可以用于优化网站设计、定位目标受众和改善用户体验。 工作原理 负载均衡的工作原理本身会将一个会话拆分成两段：第一段是从客户端到ELB；第二段是从ELB到后端主机。客户端访问业务的源IP地址是客户端IP地址，目的地址是ELB的服务地址，数据报文到达ELB后，ELB会将报文的源IP地址从客户端的IP地址替换为ELB的IP。ELB再根据客户预定义的负载算法选择的目标主机，将报文的目的IP地址替换为后端主机地址，再将数据转发到后端主机。所以后端主机得到的访问请求源IP地址是ELB的地址。在实际业务中，存在一些场景，需要通过客户的真实IP来达到统计和监控等目的。 天翼云集群模式资源池，HTTP/HTTPS ELB的监听器可以开启了XForwardedFor头字段，字段的格式如下： XForwardedFor: , , , … 当使用此方式获取HTTP/HTTPS请求客户端真实IP地址时，获取到的第一个地址就是客户端真实IP。 主备、集群模式资源池列表见产品简介产品类型和规格，实际情况以控制台展现为准。

本文介绍天翼云AOne边缘安全加速平台的节点分布情况。 天翼云CDN，在中国内地拥有2000+节点，覆盖多运营商和31个省份区域，大量节点位于省会及一二线主要城市；在海外、中国香港、中国澳门和中国台湾拥有800+节点，遍布亚洲、美洲、欧洲、非洲等大洲主要国家和城市。全网业务承载能力达160Tbps，支持1亿级QPS。 全球节点具体分布如下： 计费区域 节点分布 中国内地 东北地区：黑龙江、吉林、辽宁。 华北地区：北京、天津、河北、河南、山东、山西、内蒙古。 华东地区：上海、浙江、江苏、江西、安徽。 华中地区：湖北、湖南。 华南地区：广东、广西、海南、福建。 西南地区：四川、云南、贵州、西藏、重庆。 西北地区：甘肃、宁夏、陕西、青海、新疆。 全球（非中国内地） 亚洲：日本、香港、新加坡、马来西亚、泰国、印度尼西亚、越南、阿联酋。 北美洲：美国。 南美洲：巴西。 大洋洲：澳大利亚。 欧洲：德国、法国、英国、荷兰。 非洲：南非。

本文带您了解什么是专属云（存储独享型）。 专属云（CTDeC，Dedicated Cloud）是一种物理上隔离的专属虚拟化资源池，由专属云（计算独享型）和专属云（存储独享型）两种类型组成。专属云提供了更高效、可靠和安全的云计算环境，用户可以在专属云控制台中统一管理资源，可以更加灵活地管理和使用资源。与公有云服务相比，专属云更加适合需要高度定制化和资源隔离的企业级应用场景。 专属云（存储独享型）（CTDSS，Dedicated Distributed Storage Service），简称存储专属云，是一种专用的存储服务。存储专属云提供高IO和超高IO两种存储池，与计算专属云配合使用，可为用户提供独享的计算和存储资源，与公有云资源共享网络资源且逻辑隔离。存储专属云适用于对安全、性能及可靠性有高要求的金融、政企等应用场景，比自建私有云方案更轻量、成本更低。 专属云资源隔离情况如下所示： 存储专属云的技术架构如下所示：