本文介绍如何启停应用。 停止运行中的应用，应用将无法访问，状态显示为“已暂停”。 应用停止后，可直接将其启动。 操作步骤 1.登录云容器引擎控制台，单击左侧导航栏的【工作负载】>【无状态】或【有状态】； 2.单击运行中应用后的【更多】>【暂停】，停止运行中的应用； 3.单击已暂停应用后的【启动】，启动已停止的应用。

本文主要介绍云下业务接入云上APM 背景信息 用户需要云下业务接入云上APM，但云专线无法打通网络。因此，用户需要用代理的方式接入APM，不知道如何操作。 配置方法 接入APM的机器与APM服务网络无法连通，可以接入代理。 步骤 1 配置代理 1. 登录AOM 2.0控制台。 2. 在菜单栏选择“采集管理”，进入“采集管理”界面。 3. 在左侧导航栏中，选择“UniAgent管理 > 代理区域管理”，进入代理区域管理页面。 4. 单击“添加代理机”，配置相关参数信息。 图 添加代理机 表 添加代理机参数说明 参数 说明 代理区域 选择已创建的代理区域。 主机 选择已安装的UniAgent主机。 代理IP 配置代理机的IP地址 端口 端口号，必须小于或等于65535 5. 单击“确认”，完成代理机添加。 步骤 2 配置JavaAgent 1. 将javaagent下载到需要接入APM机器的任意目录。 实例命令： curl O Agent 2.4.1下载方法：curl k o apmagentinstall.sh && bash apmagentinstall.sh ak {APMAK} sk {APMSK} masteraddress obsaddress version 2.4.1; history cw; history –r 2. 执行tar命令解压javaagent。 示例命令： tar xvf apmjavaagentx.x.x.tar 3. 修改javaagent中的apm.config配置文件。将apm.proxy写入配置文件中。 Agent 2.4.1之后版本支持采用代理接入。格式：apm.proxyip:port（此处为aom界面的ip:port）。 步骤 3 重启应用。 1. 修改java进程启动脚本。 在服务启动脚本的java命令之后，配置apmjavaagent.jar包所在路径，并指定java进程的组件名。 添加javaagent参数示例： java javaagent:/xxx/apmjavaagent/apmjavaagent.jarappName{appName} 2. 重启应用。

天翼云微隔离防火墙用户使用指南.pdf

智慧园区 适用场景 智慧园区中存在大量AI、视频渲染等对延时要求较高的需求，采用低延时的本地网络和一体机边缘算力，即可提供本地即得的算力保障。 方案优势 预配置天翼云平台，提供计算、存储、网络、安全、运维等服务，规模灵活、弹性扩展。 本地数据处理，减少带宽资源消耗，节省成本，且有效降低延时。 拥有完善的监控告警平台和售后服务体系，可提供724小时在线运维服务。 高速公路 适用场景 在高速公路场景中，收费站分布广、IT资产部署零散、无专职IT管理人员，无法实现资源快速、灵活部署，故障恢复时间比较久，亟需简单易运维、高可靠的边缘解决方案。 方案优势 预防停机的容错系统设计，故障时业务0中断，数据0丢失。支持在线不停机坏件更换，提升可用性。 管理平台简单易用，拥有完善的监控告警平台和售后服务体系，可提供724小时在线运维服务；线下多分支网点，可为客户提供个性化现场服务。 分支医疗 适用场景 分支医疗机构IT人员缺乏、设备繁多、运维管理成本过高，并且分支机构数据需要与区域医疗中心互联互通，需要可靠低成本的算力和网络解决方案。 方案优势 简化分支医疗机构的IT基础架构，便于快速部署和上线，满足规模扩张时，预安装极速开通的需求，同时便于管理维护。 采用物联网卡优化，实现分支医疗机构和区域医疗中心的互联互通，有利于形成和利用区域的医疗优势。

本文将介绍如何使用边缘安全加速平台安全与加速服务的防护规则引擎功能。 功能介绍 规则防护引擎使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护。 目前防护 Web 攻击包括：SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击。 支持规则模板配置（安全基础配置—漏洞防护配置），用户可根据实际业务需要选择适合的模板，同时提供基于指定域名 URL 和规则 ID 白名单处置策略，进行误报处理。 背景信息 在控制台添加加速域名时，系统将通过一系列问题确认网站的防护场景，并为您推荐默认生效的防护规则集，支持选择防护动作为告警或拦截。接入边缘安全加速平台安全与加速业务成功后，将默认生效此防护规则集。 规则防护引擎基于各类防护场景，设定了七套防护规则集，能够满足各种网站业务防护需求，帮助网站抵御大量的Web攻击并提供漏洞防护。目前边缘安全加速平台安全团队总共已经维护五百多条防护规则，支持自动更新Web 0day漏洞攻击防护规则。

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 否 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 storagetest backupStorageID 是 String 要退订的存储库ID 770fb5e77f84423c9dd42eaf7912d5bc regionID 是 String 资源池ID 41f64827f25f468595ffa3a5deb5d15d

为保障实例的稳定及安全，建议您在操作前仔细阅读本文为您介绍的天翼云关系型数据库MySQL实例级别的使用规范。 数据库实例类型选择 主备： 一主一备、一主多备的经典高可用架构。适用于政企、金融、医疗等大中型企业的生产数据库。 备机提高了实例的可靠性，主机与备机同步创建，备机具备数据备份、灾备等功能。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机： 具有较高性价比，与主流的主备实例相比，单机只包含一个节点。 适用于个人学习、测试，及微小型公司的生产环境。 单机无灾备功能，出现故障后无法进行切换。 只读： 单机版只读实例，推荐开启数据库代理功能，并购买冗余的单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其他只读节点。 天翼云官方推荐两种架构，以供参考： 1. 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2. 两个以上只读实例，建议开启数据库代理，获得更好的性价比。 说明 更多实例类型信息，请参见实例类型。 数据库实例规格选择 主机类型：目前提供四种主机类型（可能出现部分主机类型售罄，导致主机类型不存在）如下表： 主机类型 类型说明 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定，但是性价比更高。 适用于对成本比较敏感、对性能抖动容忍度较高的场景。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。 规格： 目前提供的CPU内存规格有：1C4G、2C4G、2C8G、2C16G、4C8G、4C16G、4C32G、8C16G、8C32G、8C64G、16C32G、16C64G、16C128G、32C64G（可能出现部分规格售罄，导致部分规格不存在）。

本节主要介绍应用组件概述 应用组件是组成应用的某个业务特性实现，以软件包为载体，可独立部署运行。 在ServiceStage上创建应用后，可以在应用中添加组件，目前支持的组件类型有微服务、Web、通用。 您可以通过设置组件类型、框架、运行时及组件来源，先创建静态组件，然后再部署。 在新增组件的操作流程中，支持“使用模板配置”和“自定义配置”两种配置方式： “使用模板配置”为您提供了组件类型、运行时、框架的默认配置，可以帮助您快速创建组件。 “自定义配置”支持灵活选择组件类型、运行时与合适的框架/服务网格。 已有模板信息 组件类型 运行时 框架 ::: ServiceComb MicroService Java8 Java Chassis SpringCloud MicroService Java8 Spring Cloud Web(Tomcat) WebApp Tomcat8 Web 微服务组件说明 支持的运行时 支持的框架/服务网格 支持的软件包 ::: Java8 Java Chassis Jar包 Tomcat8 Java Chassis War包 Docker Java Chassis 不需要设置该参数 Java8 Mesher Jar包 Tomcat8 Mesher War包 Node.js8 Mesher Zip包 Php7 Mesher Zip包 Docker Mesher 不需要设置该参数 Python3 Mesher Zip包 Docker Go Chassis 不需要设置该参数 Java8 Spring Cloud Jar包 Tomcat8 Spring Cloud War包 Docker Spring Cloud 不需要设置该参数 Java8 Dubbo Jar包 Tomcat8 Dubbo War包 Docker Dubbo 不需要设置该参数 Web应用组件说明 支持的运行时 支持的软件包 :: Java8 Jar包 Nodejs8 Zip包 Php7 Zip包 Tomcat8 War包 Docker 不需要设置该参数 Python3 Zip包 通用组件说明 支持的运行时 支持的软件包 :: Java8 Jar包 Tomcat8 War包 Node.js8 Zip包 Php7 Zip包 Docker 不需要设置该参数 Python3 Zip包 组件来源说明 组件来源 说明 :: Jar包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 War包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 Zip包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 镜像包 容器应用需要基于镜像创建，若选择私有镜像，用户首先需要将镜像上传至镜像仓库。选择“软件中心 > 镜像仓库”，参考管理镜像将镜像上传至镜像仓库。

正常响应示例 { "code": 100000, "message": "success", "result": [ { "cdnip": "true", "nodelevel": " ", "ipv6": "xxx:xxx:xxx:xxx::xxx", "roomaddress": " ", "areacnname": "呼和浩特市", "ispName": "电信", "areaenname": "huhehaote" }, { "cdnip": "true", "nodelevel": " ", "ipv4": "xx.xx.xx.xx", "roomaddress": " ", "areacnname": "通州区", "ispName": "电信", "areaenname": "tongzhou" } ] }

本节主要介绍添加服务类问题 添加的对外访问方式不能生效，如何排查？ 出现上述问题可能是访问相关的资源配置有缺失或错误，请按照如下方法进行排查： 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群，使用kubectl get gateway n istiosystem命令查看使用的gateway是否配置好使用的IP/域名和端口。使用kubectl get svc n istiosystem命令查看使用的ingressgateway是否有对应的IP和端口，且未处于pending状态。 核实加入服务网格的内部访问协议和添加网络配置的外部访问协议一致。 如果通过浏览器访问出现“ERRUNSAFEPORT”错误，是因为该端口被浏览器识别为危险端口，此时应更换为其他外部端口。 一键创建体验应用为什么启动很慢？ 体验应用包含productpage、details、ratings和reviews 4个服务，需要创建所有相关的工作负载和Istio相关的资源（DestinationRule、VirtualService、Gateway）等，因此创建时间较长。 一键创建体验应用部署成功以后，为何不能访问页面？ 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建，后端服务器健康状态是否正常。 添加路由时，为什么选不到对应的服务？ 添加路由时，目标服务会根据对应的网关协议进行过滤。过滤规则如下： HTTP协议的网关可以选择HTTP协议的服务 TCP协议的网关可以选择TCP协议的服务 GRPC协议的网关可以选择GRPC协议的服务 HTTPS协议的网关可以选择HTTP、GRPC协议的服务 TLS协议的网关如果打开了TLS终止，只能选择TCP协议的服务；关闭了TLS终止，只能选择TLS协议的服务

态势感知（专业版）与企业主机安全HSS服务的区别。 服务含义区别 态势感知（专业版）是云原生的新一代安全运营中心，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 企业主机安全（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机 安全、容器 安全和 网页防篡改 ，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，态势感知（专业版）是呈现全局 安全态势的服务，HSS是提升主机 和容器安全性的服务。 服务功能区别 态势感知（专业版）通过采集 全网安全数据 （包括HSS、WAF、AntiDDoS等安全服务检测数据），提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 态势感知（专业版）与HSS主要功能区别： 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 态势感知（专业版）：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 资产安全 网站资产 态势感知（专业版）：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 主机漏洞 呈现主机漏洞扫描结果，管理主机漏洞。 态势感知（专业版）：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、WebCMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 基线检查 云服务基线 态势感知（专业版）：针对云服务关键配置项，从多种风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 基线检查 主机基线 态势感知（专业版）：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

概述 云原生网关会记录API每一次的发布快照。您可在发布历史中查看每一次发布的API详细信息。并且可以选择任何一次快照进行重新发布，实现版本切换。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表，进入要查看的API详情。 4. 在上面导航栏，选择发布历史，即可查看API的发布历史，可选择不同环境进行过滤。 查看API快照 在发布历史列表中，选择对应版本，可以查看API快照。 版本切换 点击切换至此版本，可以指定历史版本重新发布到对应的环境中。

本章节介绍如何通过云主机备份,完成整机镜像的跨可用区迁移。 场景描述 云主机备份支持将弹性云主机的备份创建为镜像，可利用镜像发放弹性云主机，达到快速恢复业务运行环境的目的。使用云主机备份创建的镜像，在region内的其他可用区，快速创建相同配置的弹性云主机。 方案优势 跨可用区，快速共享并创建相同配置的弹性云主机，快速实现云主机迁移。 通过云主机备份创建的系统镜像包含操作系统、应用软件，以及用户的业务数据。 使用该镜像创建新的云主机，会包含已配置的自定义项，大大节省客户业务重复配置的时间。 前提条件 在进行本文操作之前，您需要完成以下准备工作： 请确保弹性云主机在备份前已完成如下操作： Linux弹性云主机优化并安装Cloudinit工具 Windows弹性云主机优化并安装Cloudbaseinit工具 创建镜像前备份的状态必须为“可用”，或者状态为“创建中”并在备份状态列显示“可用于创建镜像”时，才允许执行创建镜像操作。 操作步骤 步骤1：创建云主机备份 1、参照云主机备份操作指导章节，完成云主机备份的创建。 2、执行备份成功后，在“备份副本”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。 步骤2：通过云主机备份创建整机镜像 1、登录天翼云管理控制台。选择“计算 > 镜像服务”。进入镜像服务页面。 2、单击右上角的“创建私有镜像”，进入创建私有镜像页面。在“镜像类型和来源”区域，选择镜像的创建方式为“整机镜像”。镜像源选择“云主机备份”，从列表中选择相应的云主机备份。 3、在“配置信息”区域，填写镜像的基本信息。例如，镜像的名称和镜像描述。单击“立即创建”。 4、根据界面提示，确认镜像参数。阅读并勾选协议，单击“提交申请”。返回私有镜像界面查询创建的整机镜像的状态。 5、当镜像的状态为“正常”时，表示创建完成。 步骤3：使用整机镜像创建云主机 1、登录天翼云管理控制台。选择“计算 > 镜像服务”。进入镜像服务页面。 2、在“私有镜像”页签下，选中创建成功的整机镜像，单击操作列“申请主机”，进入创建云主机的向导页面。 3、参考《弹性云主机用户指南》，在目的可用区完成弹性云主机的创建。使用整机镜像创建弹性云主机，如果整机镜像中包含了一块或多块数据盘，系统会自动设置好数据盘参数。

本章节进行网格安全能力概述 概述 单体应用发展成微服务架构带来了诸多便利，业务迭代更加敏捷，扩展性更好，同时为服务架构也带了新的安全考虑，如： 微服务之间通信安全问题，如何防止中间人攻击。 微服务之间的访问控制问题，对于敏感服务和信息，如何限制微服务之间的访问。 微服务之间访问频繁且关系复杂，如何追溯服务之间的调用情况，需要具备审计能力。 服务网格的安全机制提供了零信任的安全机制，很好地解决了以上问题。 服务网格安全架构 服务身份及证书管理 身份是安全的基础，只有给每个服务赋予一个身份才能在服务相互访问时对各方的身份进行认证以及对操作进行鉴权。服务网格使用证书作为网格内工作负载的身份标识，服务网格负载网格内工作负载的身份证书颁发、轮换等，为网格安全提供基础能力。 身份认证 服务网格提供两种认证机制： 对等身份认证：用于sidecar代理之间通信时的身份认证，解决sidecar之间身份认证和通信加密问题，支持基于工作负载证书的mTLS双向认证。 请求身份认证：用于外部请求进入网格内的身份认证，支持JWT及OIDC的认证方式。 授权 在微服务通信中，确定了双方的身份之后，我们还需要对客户端是否有权限访问服务端的资源进行权限检查。当前服务网格支持全局、命名空间和工作负载级别的授权策略控制，同时支持集成外部授权服务能力。

本章节主要介绍数据仓库服务如何创建集群。 在使用DWS 执行数据分析任务前，您首先要创建一个集群，一个DWS 集群由多个在相同子网中的节点组成，共同提供服务。请参考以下指导创建集群。 创建集群 1.登录DWS 管理控制台。 2.单击左侧导航栏的“集群管理”。 3.在“集群管理”页面，单击右上角“创建数据仓库集群”。 4.选择待创建的集群所属的区域。 区域 ：选择集群所属的工作区域。 可用分区 ：默认即可。 5.选择主机规格。 产品类型 ：根据客户需求选择，例如“ 云数仓 ”类型。 CPU 架构 ：根据客户需求选择，例如“ X86 ”架构。 节点规格 ：默认即可。 节点数量 ：默认即可，至少3个。 6.配置网络参数。 虚拟私有云 ：可以在下拉框中选择已有的虚拟私有云，如果未配置过虚拟私有云，可以单击“查看虚拟私有云”进入虚拟私有云管理控制台，新创建一个虚拟私有云例如“vpcdws”。然后回到DWS 管理控制台的创建集群页面，单击“虚拟私有云”下拉框旁边的进行刷新，再选择新创建虚拟私有云。 子网 ：创建虚拟私有云时会默认创建一个子网，您可以选择对应的子网名。 安全组 ：选择“自动创建安全组”。 自动创建的安全组，将被命名为“DWS ”，出方向允许所有访问，入方向只开放“数据库端口”以允许来自客户端或应用程序的访问。 如果您选择的是自定义创建的安全组，则需要在该安全组中添加一条入方向的规则，向访问DWS 的客户端主机开放DWS 集群的“数据库端口”，如下表所示。添加入规则的具体操作请参见《虚拟私有云用户指南》中的“安全性 > 安全组 > 添加安全组规则”章节。 安全组入规则配置样例 参数名 样例值 协议/应用 TCP 端口 8000 说明 输入创建DWS集群时设置的“数据库端口”，这个端口是DWS用于接收客户端连接的端口，默认为8000。 源地址 选择“IP地址”，输入访问DWS的客户端主机的IP地址和子网掩码，例如“192.168.0.10/16”。 公网访问 ：选择“现在购买”为集群购买一个弹性IP作为集群公网IP。并且，在“带宽”参数中设置弹性IP的带宽。 7.填写集群配置参数。 集群名称 ：输入“dwsdemo”。 集群版本 ：显示为当前集群版本，暂不支持修改。 默认数据库 ：显示为“gaussdb”。暂不支持修改。 管理员用户 ：默认为“dbadmin”，使用默认值即可。集群创建成功后，客户端连接集群数据库时将使用该数据库管理员用户及其密码。 管理员密码 ：输入密码。 确认密码 ：重复输入一次数据库管理员密码。 数据库端口 ：默认即可。客户端或应用程序将通过该端口连接集群中的数据库。 详见下图： 集群配置 8.配置集群所属的“企业项目”。已开通企业项目管理服务的用户才可以配置该参数。默认值为default。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 您可以选择默认的企业项目“default”或其他已有的企业项目。如果要创建新的企业项目，请登录企业管理控制台进行创建，详细操作请参考企业项目管理用户指南。 9.高级配置，在本示例中，选择“默认配置”即可。 默认配置 ：表示以下几项高级配置使用系统默认的配置。 CN部署量：CN即协调节点，默认部署3个CN节点。 自定义 ：选择该选项时页面上将显示CN部署量、这几项高级配置，需要用户进行自定义设置。 10.单击“立即创建”，进入“规格详情”页面。 11.单击“提交”。 提交成功后开始创建。单击“返回集群列表”返回集群管理页面，所创集群的初始状态为“创建中”，集群创建需要时间，请等待一段时间。创建成功后状态更新为“可用”，用户可以开始使用集群。

本节介绍了开启远程桌面连接功能的操作场景、前提条件、操作步骤。 操作场景 对于需要使用Windows远程桌面连接方式进行访问的云主机，需要在制作私有镜像时开启远程桌面连接功能。GPU优化型云主机必须开启该功能。 说明 使用外部镜像文件制作私有镜像时，开启远程桌面连接操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 已登录创建Windows私有镜像所使用的云主机。 登录云主机的详细操作请参见《弹性云主机用户指南》。 操作步骤 1. 开启远程桌面连接功能之前，建议先将云主机的分辨率设置为1920×1080。 设置方法：在云主机操作系统单击“开始 > 控制面板”，在“外观和个性化”区域单击“调整屏幕分辨率”，然后在“分辨率”下拉框中选择合适的值即可。 2. 单击“开始”，右键单击“计算机”，选择“属性”，进入“计算机属性”区域框。 3. 在左侧界面中，单击“远程设置”，进入“远程桌面”区域框。 4. 选择“允许运行任意版本远程桌面的计算机连接”。 5. 单击“确定”，返回“计算机属性”界面。 6. 选择“开始 > 控制面板”，打开“Windows防火墙”。 7. 在左侧选择“允许程序或功能通过Windows防火墙”。 8. 根据用户网络的需要，配置“远程桌面”可以在哪种网络环境中通过Windows防火墙如下图所示，然后单击下方的“确定”完成配置。 配置“远程桌面”网络环境

企业微信配置获取指导 1、企业ID获取 访问企业微信企业管理平台，在我的企业企业信息页面，获取企业ID。 2、AgentID和Secret获取 访问企业微信企业管理平台，在应用管理页面，查看创建的应用， 在应用详情中获取应用AgentID和Secret。 3、企业微信根部门ID获取 访问企业微信企业管理平台，在通讯录编辑部门信息界面中获取部门ID。

本文为您介绍通过IAM用户控制资源访问的具体操作。 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对云服务器ECS资源的访问。 操作步骤 创建IAM子用户 具体操作，请参见统一身份认证 IAM。 创建自定义策略 天翼云提供了访问云服务器ECS资源的系统策略，更多信息，请参见“1.2权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证 IAM。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version标识策略结构的版本号，目前为1.1。 策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 1. 脚本配置策略示例一：为IAM子用户配置云主机查看者权限。 2. 脚本配置策略示例二：为IAM子用户配置云主机所有操作权限，以及vpc的所有操作权限（代表取所有值）。

为了节省成本，您可以在业务需要时手动启用已停止的应用。 前提条件 应用处于停止状态。 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基本信息页。 3. 在目标应用的基础信息页面，单击启动应用。 4. 弹出的对话框中进行二次确定即可启动。

本文主要介绍如何创建伸缩组。 操作场景： 伸缩组是具有相同属性和应用场景的云主机和伸缩策略的集合，是启停伸缩策略和进行伸缩活动的基本单位。您可以使用伸缩策略设定的条件自动增加、减少伸缩组中的实例数量，或维持伸缩组中固定的实例数量。 您在创建伸缩组时，需为伸缩组指定伸缩配置，同时也可以为伸缩组添加一条或多条伸缩策略。 创建伸缩组，需要配置最大实例数、最小实例数、期望实例数和负载均衡器等参数。 创建须知： 不同可用区支持的云主机类型可能不同。因此，用户在创建弹性伸缩组时，需要根据可用区支持的云主机类型，选择合适的伸缩配置。 如果伸缩组中所有可用区均不支持伸缩配置中的云主机类型，此时： 如果伸缩组当前为停用状态，则无法启用伸缩组。 如果伸缩组当前为启用状态，则在进行扩容操作时，伸缩组状态变为异常。 如果伸缩组中仅有部分可用区支持伸缩配置中的云主机类型，则在弹性伸缩活动中自动添加的云主机只分布在支持该类型云主机的可用区中，不能均匀的分布在所有可用区中。 操作步骤： 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务”。 3. 单击“创建弹性伸缩组”。 4. 配置名称、最大实例数、最小实例数、期望实例数等。重点配置数据说明如下表所示。 5. 在“伸缩配置”页面，您可以选择使用已有的伸缩配置或者即时创建新的伸缩配置，更多信息请参见使用已有云主机创建伸缩配置和使用新模板创建伸缩配置。 6. （可选）为伸缩组添加伸缩策略。在“伸缩策略”页面，单击“添加伸缩策略”。配置伸缩活动触发的策略类型、执行动作、冷却时间等，根据界面提示进行参数配置，更多信息请参见动态扩展资源和按计划扩展资源。 7. 单击“立即创建”。 8. 创建伸缩组成功后，伸缩组状态变为“已启用”。 说明 如果伸缩活动是伸缩策略触发的，以伸缩策略的冷却时间为准。 如果是手工修改期望实例数量或者其他方式引起的伸缩活动，则以伸缩组的冷却时间为准。 表 伸缩组参数说明 参数 解释 取值样例 区域 区域也称为Region。创建的伸缩组所在的区域。 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 可用区 可用区也称为AZ（Availability Zone）。可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高应用的高可用性，建议您将云服务器创建在不同的可用区内。 如果您需要较低的网络时延，建议您将云服务器创建在相同的可用区内。 如果您选择多个可用区，为提高应用的高可用性，您的云主机会被均匀的创建在不同的可用区内。 名称 创建的伸缩组的名称。 伸缩组名称（1～64个字符）只能由中文、英文字母、数字、下划线、和中划线组成。 最大实例数 最大实例数是指伸缩组中云主机个数的最大值。 1台 期望实例数 期望实例数是指伸缩组中期望的云主机数量。 创建后可以手工修改该值，修改该值就会触发一次弹性伸缩活动。 0台 最小实例数 最小实例数是指伸缩组中云主机个数的最小值。 0台 虚拟私有云 弹性云主机使用的网络是虚拟私有云（VPC）提供的。 同一伸缩组内的弹性云主机均属于该VPC。 子网 您最多可以选择五个子网，伸缩组会自动为创建的实例绑定所有网卡。您选择的第一个子网默认作为云主机的主网卡，其它子网作为云主机的扩展网卡。 自动分配IPv6地址：当且仅当选择支持IPv6的AZ、且VPC子网开启了IPv6功能时，该参数可见。子网如何开启IPv6功能，请参见《虚拟私有云用户指南》。系统默认分配IPv4地址，勾选后，网卡的IP地址为IPv6类型。在同一VPC内，云主机通过IPv6地址在双栈ECS之间进行内网访问。如需访问外网，您需要开启“IPv6带宽”并选择共享带宽，此时云主机可以使用IPv6地址访问互联网。 实例移除策略 实例优先被移除的策略。当满足条件时，会触发实例移除活动，包括如下四种方式： 根据较早创建的配置较早创建的实例：根据“较早创建的配置”较早创建的“实例”优先被移除伸缩组。 根据较早创建的配置较晚创建的实例：根据“较早创建的配置”较晚创建的“实例”优先被移除伸缩组。 较早创建的实例：创建时间较早的实例优先被移除伸缩组。 较晚创建的实例：创建时间较晚的实例优先被移除伸缩组。 说明： 当可用区不均衡时，移出实例时会优先保证可用区均衡。 手动移入伸缩组的云主机不会遵循“实例移除策略”的要求，实例移除优先级最低，且移除时，系统不会删除该云主机。当有多个手工加入伸缩组的云主机时，移除规则是：先进先出。 弹性IP 若伸缩组的伸缩配置使用了弹性IP，在进行扩容活动时，会给创建出来的云主机绑定一个弹性IP。若选择“释放”，当进行缩容活动时，会将云主机上的弹性IP释放，否则仅做解绑定操作，保留弹性IP资源。 健康检查方式 健康检查会将异常的云主机从伸缩组中移除，并重新创建新的云主机，伸缩组的健康检查方式包括以下几种： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、删除都是云主机异常状态。默认为此选项，伸缩组会定期使用云主机健康检查结果来确定每个云主机的运行状况。如果未通过云主机健康检查，则伸缩组会将该云主机移出伸缩组。 负载均衡健康检查：是指根据ELB对云主机的健康检查结果进行的检查。只有当伸缩组使用弹性负载均衡器时，您才可以选择“负载均衡健康检查”，所有监听器下检测到的云主机状态必须均为正常，否则伸缩组会将该云主机移出伸缩组。 健康检查间隔 伸缩组执行健康检查的周期。您可以根据实际情况设置合理的健康检查间隔。 5分钟 通知方式 可选参数。如果勾选此项，伸缩组进行伸缩活动后，系统将以邮件形式通知用户本次弹性伸缩伸缩活动的结果。通知邮箱为用户注册时填写的邮箱信息。

云硬盘可支持共享,实现多个实例之间的数据共享与协作。 什么是共享云硬盘？ 共享云硬盘允许多个云主机并发访问同一个云硬盘，实现多个实例之间的数据共享和协作。对云硬盘的共享访问通常应用于数据集群应用系统、分布式文件系统和高可用性架构等场景。 一块共享云硬盘支持同时挂载到最多16台云主机，其中云主机包括弹性云主机和物理机两种，目前共享云硬盘只支持共享数据盘，不支持共享系统盘。 注意 开启多重挂载功能的云盘并挂载至多台云主机后，如果使用ext4、xfs等单节点文件系统，多个云主机之间数据无法同步，会导致数据不一致等问题，建议您自行创建适用于业务的集群文件系统。集群文件系统能确保写入的数据、创建的文件、修改的元数据能够实时同步到所有挂载节点，从而在文件系统层保证数据的一致性，常用的集群文件系统包括OCFS2、GFS2、Veritas CFS、Oracle ACFS和DBFS等。 直接将共享云硬盘挂载给多台云主机无法实现文件共享功能，如需在多台云主机之间共享文件，需要搭建共享文件系统或类似的集群管理系统。 具体架构见图： 说明 当前支持云硬盘共享功能的资源池为：重庆2/南宁2/成都4/芜湖2/九江/西宁2/拉萨3/海口2/佛山3/贵州3/福州3/上海7/杭州2/北京5/南京3/南京4/西安4/内蒙6/晋中/郴州2/武汉4/福州4/昆明2/西安5/南京5/华东1/南宁23/上海36/石家庄20/辽阳1/青岛20/武汉41/福州25/乌鲁木齐27/华北2/西南1/长沙42/中卫5/南昌5/华南2/西安7/太原4/郑州5/西南2贵州/杭州7/西安3/庆阳2/乌鲁木齐7。

本文将向您介绍如何配置网站白名单，让完全信任的请求不经过边缘云WAF配置的防护策略。 功能介绍 若存在您完全信任的请求，支持在边缘云WAF控制台配置网站白名单策略，符合条件的请求将不经过边缘云WAF任意的防护策略。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见下文； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版级以上版本，支持配置访问控制功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】； 2. 进入“访问控制”页面，单击【新增】按钮，新增网站白名单策略。

本章节为您介绍企业路由器的产品功能。 产品功能介绍 企业路由器提供丰富的功能供您灵活配置服务，具体说明如下表所示。 提供添加连接、创建自定义路由表、创建关联、创建传播、添加路由等丰富的网络构建和路由管理功能。 提供权限管控、标签管理、配额管理等提升服务使用安全和便捷的多种实用功能。 功能 功能描述 企业路由器 您可以将企业路由器看作一个支持路由学习的高性能集中路由器，创建企业路由器时，您可以设置部署区域、可用区、名称等参数。 企业路由器创建完成后，您可以根据业务使用情况灵活调整部分参数。 连接 为企业路由器添加网络实例对应的连接，即表示将网络实例接入企业路由器中。 路由表 路由表是企业路由器发送报文的依据，包含连接的关联关系、传播关系以及路由信息。 一个企业路由器可以拥有多个路由表，您可以将连接关联至不同的路由表，从而实现网络实例的灵活互通或者隔离。 关联 关联是将连接关联至ER路由表中，您可以通过以下方法创建关联： 手动创建：选择任意路由表，并在路由表中为连接创建关联。 自动创建：开启“默认路由表关联”功能，指定默认路由表，系统会自动为连接在默认路由表中创建关联。 传播 传播是企业路由器和连接的路由学习关系，您可以通过以下方法创建传播： 手动创建：选择任意路由表，并在路由表中为连接创建传播。 自动创建：开启“默认路由表传播”功能，指定默认路由表，系统会自动为连接在默认路由表中创建传播。 路由 路由是目的地址、下一跳以及路由类型等信息组成。路由分为两种： 自动学习的传播路由。 手动添加的静态路由。 企业路由器支持IPv4和IPv6路由。 共享 所有者可以将自己的企业路由器同时共享给多个其他帐号，称为接受者。 接受者可以在共享企业路由器中添加连接，将自己名下的网络实例加入该企业路由器中，实现多个帐号内的网络实例接入同一个企业路由器构建组网的需求。 对于“虚拟私有云（VPC）”连接，通过共享功能，可以在同一个企业路由器中接入不同帐号下的虚拟私有云，构建云上同区域组网。 流日志 通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息，您可以监控连接的网络流量、进行网络攻击分析等，帮助您实现高效的网络运维。 监控 通过云监控服务，您可以监控企业路由器实例以及企业路由器连接的网络情况。 审计 通过云审计服务，您可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 权限 针对位于云上的企业路由器资源，您可以通过IAM进行精细的权限管理，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，从而实现资源的安全管控。 标签 标签用于标识云资源，可通过标签实现对云资源的分类和搜索。你可以为企业路由器和路由表添加标签。 配额 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少个企业路由器、每个企业路由器添加多少个连接、每个路由表可以添加多少条路由等。

参数 解释 取值样例 区域 区域也称为Region。创建的伸缩配置所在的区域。 名称 创建伸缩配置的名称。选择“使用已有云主机规格、镜像、磁盘、安全组为模板，快速创建伸缩配置”。 选择云主机 选择使用已有云主机规格、镜像、磁盘、安全组为模板，快速创建伸缩配置。 弹性IP 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。您可以根据实际情况选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，您可以在“带宽”中设置带宽值。 自动分配 登录方式 云平台提供两种弹性云主机鉴权方式。 密钥对：指使用密钥作为弹性云主机的鉴权方式。如果选择此方式，请在密钥页面先创建或导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 账户密码：指使用设置root用户（Linux操作系统）和Administrator用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。 Admin@123 高级配置 高级配置可对用户数据注入进行配置。可选择“暂不配置”和“现在配置”。 实例自定义数据注入 可选配置，主要用于创建弹性云主机时向弹性云主机注入用户数据。配置实例自定义数据注入后，弹性云主机首次启动时会自行注入数据信息。 对于Linux云主机，如果选择密码方式登录鉴权，此时不能使用实例自定义数据注入功能。

为了节省成本，您可以在业务需要时手动启用已停止的应用。 前提条件 应用处于停止状态。 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基本信息页。 3. 在目标应用的基础信息页面，单击启动应用。 4. 弹出的对话框中进行二次确定即可启动。

G5型弹性云主机功能如下： 处理器与内存配比为1:2/1:4。 处理器：第二代英特尔® 至强® 可扩展处理器 6278，主频2.6GHz，睿频3.5GHz 或英特尔® 至强® 可扩展处理器 6151, 主频3.0GHz，睿频3.4GHz。 支持图形加速接口： − DirectX 12, Direct2D, DirectX Video Acceleration (DXVA) − OpenGL 4.5 − Vulkan 1.0 支持CUDA和OpenCL。 支持Quadro vDWS特性，为专业级图形应用提供加速。 支持NVIDIA V100 GPU卡。 支持图形加速应用。 提供GPU硬件虚拟化（vGPU）。 提供和弹性云主机相同的申请流程。 自动化的调度G5型弹性云主机到装有NVIDIA V100 GPU卡的可用区。 可以提供最大显存2x16GiB，分辨率为4096×2160的图形图像处理能力。 常规支持软件列表 G5型弹性云主机主要用于图形加速场景，例如图像渲染、云桌面、3D可视化。应用软件如果依赖GPU的DirectX、OpenGL硬件加速能力可以使用G5型云主机。常用的图形处理软件支持列表如下： AutoCAD 3DS MAX MAYA Agisoft PhotoScan ContextCapture 使用须知 G5型弹性云主机当前支持如下版本的操作系统： − Windows Server 2016 Standard 64bit − Windows Server 2012 R2 Standard 64bit − CentOS 7.5 64bit G5型Windows操作系统云主机启动时如果加载了GRID驱动，使用vGPU显卡作为默认视频输出，暂不支持使用管理控制台提供的“远程登录”功能。请使用RDP协议（如Windows远程桌面MSTSC）访问G5型实例，之后安装远程访问工具，如VNC工具等第三方VDI工具。 使用私有镜像创建的G5型弹性云主机，请确认在制作私有镜像时安装GRID驱动。如果未安装，请在创建完成后安装GRID驱动，以实现图形加速功能。 详细安装操作请参考GPU加速型实例安装GRID驱动。

本文介绍如何删除应用。 任何状态的应用，都可直接将其删除。 操作步骤 1.登录云容器引擎控制台，单击左侧导航栏的【工作负载】>【无状态】或【有状态】； 2.单击待删除应用后的【更多】>【删除】，删除应用，请仔细阅读系统提示； 3.单击【确定】。

本文介绍WAF针对DeepSeek安全防护场景提供的Web防护方案。 背景介绍 随着人工智能技术的快速发展，很多企业选择在GPU云主机或GPU裸金属上搭建DeepSeek私有化服务，在这个过程中，用户不仅享受到了强大的AI算力资源，同时也面临着复杂的网络威胁，如DDoS攻击、SQL注入、跨站脚本（XSS）等。 为了保障AI算力资源、训练数据及服务API链路的安全性，部署Web应用防火墙成了必不可少的安全举措。Web应用防火墙支持多种定制化的安全防护策略，帮助企业有效应对各种网络威胁，确保DeepSeek服务的稳定运行，保障DeepSeeK安全性。 DeepSeek安全防护场景示意图 在DeepSeek Web安全防护场景中，用户的DeepSeeK服务部署在GPU云主机或GPU裸金属上，WAF作为前端的安全网关，负责过滤所有进入的流量。通过WAF的定制化规则和先进的内容检测引擎，恶意流量被有效拦截，确保AI算力资源和训练数据的安全。 安全风险及应对方案 风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 Web基础防护 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 精准访问控制 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 防敏感信息泄露 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。 CC防护 API安全

本章节介绍如何进行域名管理配置 关联域名 云原生网关提供域名配置能力，支持配置协议、证书、路由配置。本文介绍如何关联域名。 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 域名管理 ； 6. 单击左上角按钮 关联域名 ； 7. 在关联域名面板填写域名相关配置，单击左下角确定按钮； 域名配置说明如下： 参数 描述 域名 自定义域名填写，如mse.ctyun.com，同时支持泛域名如.ctyun.com。 协议 支持HTTP和HTTPS协议，HTTPS协议需上传证书。 证书名称 选择HTTPS时填入，自定义填写证书名称。 证书文件 选择HTTPS时需上传证书文件，支持pem、cer, crt, key格式。 私钥文件 选择HTTPS时需上传私钥文件，支持pem、cer, crt, key格式。 结果验证 在域名管理列表页可以查看新关联的域名信息，且状态显示已发布 ，则说明域名关联成功。 变更域名 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 域名管理 ； 6. 单击域名管理页操作列编辑按钮； 7. 在编辑域名面板编辑协议、证书等信息，单击左下角确定按钮；

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b cycleType String 是 收费类型：只能填写 ondemand ondemand endpointServiceID String 是 终端节点关联的终端节点服务 endpointName String 是 终端节点名称，只能由数字，字母，组成不能以数字和开头，最大长度28 subnetID String 是 子网id subnetxxxx vpcID String 是 vpc id vpcxxxx IP String 否 vpc address 192.168.1.1 whitelistFlag int 是 白名单开关 1.开启 0.关闭，默认1 1 whitelist String of Array 否 白名单 ['1.1.1.1/24'] description String 否 描述,支持拉丁字母、中文、数字, 特殊字符：~~!@$%^&()+ <>?:{},./;'[]·~~ ！@￥%……&（） —— +{}《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 this is a test enableDns Boolean 否 是否开启dns，true:开启,false:关闭 false

支持的网络方式 数据复制服务提供的实时同步功能支持通过多种网络方式进行实时同步，包括：VPC网络、VPN网络、专线网络和公网网络，在正式进行实时同步之前请参考下表了解网络类型的使用场景及准备工作。 网络类型 网络类型 使用场景 准备工作 VPC网络 适合云上同区域数据库之间的同步。 源数据库所在的区域要和目标数据库实例所在的区域保持一致。 源数据库可以和目标数据库在同一VPC内，也可以在不同VPC内。 当源数据库和目标数据库处于同一个VPC内的时候，默认网络是连通的，不需要单独设置安全组。 当源数据库和目标数据库不在同一个VPC内的时候，要求源数据库和目标数据库所处的子网处于不同网段，不能重复或交叉， 此时需要通过对等连接实现网络互通。针对这种情况，DRS会在测试连接时自动按照单IP最小范围打通建立路由。 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库之间的实时同步、或云上跨Region的数据库之间的实时同步。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据同步。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库之间的实时同步、或云上跨Region的数据库之间的实时同步。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合通过公网网络把其他云下或其他平台的数据库同步到目标数据库 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 1.开启公网访问 源数据库端实例需要根据具体的场景，由用户端开启公网访问。 2.设置安全组规则 源数据库需要将DRS同步实例的弹性IP添加到其网络入口白名单内，使源数据库与DRS同步实例可以连通。 由于目标数据库和DRS同步实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS同步实例创建成功后，可在“源库及目标库”页面获取DRS同步实例的弹性公网IP。 在选择公网网络进行同步时，如果没有开启SSL安全连接加密同步链路的功能，请确保待同步的数据为非机密数据，再进行数据同步。 支持的网络类型 同步方向 数据流向 VPC网络 公网网络 VPN、专线网络 入云 MySQL>MySQL 支持 支持 支持 入云 MySQL>GaussDB(for MySQL) 支持 支持 支持 入云 MySQL>DWS 支持 支持 支持 入云 PostgreSQL>PostgreSQL 支持 支持 支持 入云 DRDS>MySQL 支持 支持 支持 入云 DRDS>DRDS 支持 支持 支持 入云 Oracle>MySQL 支持 支持 支持 入云 Oracle>GaussDB(for MySQL) 支持 支持 支持 入云 Oracle>DRDS 支持 支持 支持 入云 Oracle>DWS 支持 支持 支持 入云 Oracle>PostgreSQL 支持 支持 支持 出云 MySQL>MySQL 支持 支持 支持 出云 DRDS>MySQL 支持 支持 支持 自建自建 Oracle>Kafka 支持 支持 支持 自建自建 MySQL>Kafka 支持 支持 支持

本章节介绍数据库安全应用场景。 安全等保合规 数据库安全服务要满足政企、能源、金融、医疗、教育、网络货运等行业的等保二级、三级监管要求，需要对云上数据库进行安全审计，符合国家法律、行业监管的要求。 《等级保护2.0》中明确提到需要数据库审计提供集中审计功能。 《信息安全等级保护测评》第八章测评单元指出，企业测评单元应该包括以下要求：综合安全审计系统、数据库审计系统等提供集中审计的系统。 数据库审计 无论是自建数据库还是云数据库，都有可能面临来自内外网络的恶意攻击，以及内部人员各类误操作导致的数据损失。当出现数据被删除、信息被篡改、敏感信息泄漏等重大安全事件时，必须要进行全面的事件还原和严肃的追责处理。 天翼云数据库安全服务通过部署数据库安全审计Agent或者云原生RDS免Agent模式，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库以及RDS数据库的安全审计，对数据库内部违规和不正当操作的定位追责。 数据库安全检测 数据库日常运行的风险除了内部违规和不正当操作外，还有来自于SQL注入、拖库、洗库、撞库、日志异常等导致的性能问题。 天翼云数据库安全检测提供SQL注入、风险操作、日志异常行为检测等安全检测功能，用于检测数据库使用过程中的数据安全风险。用户可根据自身业务需求，选择启用适当的数据安全检测规则，完成数据库安全检测。