本文为您介绍H3C路由器如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cth3c IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录H3C路由器命令行。 2. 配置IKE预共享密钥。 ike keychain ctyun presharedkey address 121...152 255.255.255.255 key simple cth3c 3. 配置IKE提议。 ike proposal 10000 sa duration 86400 authenticationalgorithm sha encryptionalgorithm aescbc128 dh group5 4. 配置IKE安全框架。 ike profile ctyun exchangemode main keychain ctyun localidentity address 49...89 proposal 10000 match remote address 121...152 5. 配置ACL，定义要保护的数据流。 acl advanced 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 6. 配置IPsec安全提议。 ipsec transformset ctyun protocol esp esp encryptionalgorithm aescbc128 esp authenticationalgorithm sha1 pfs dhgroup5 7. 配置IPsec安全策略。 ipsec policy ctyun 10 isakmp sa duration timebased 3600 transformset ctyun security acl 3402 remoteaddress 121...152 ikeprofile ctyun 8. 在GigabitEthernet1/0接口上应用IPsec安全策略ctyun。 interface GigabitEthernet1/0 ipsec apply policy ctyun 9. 配置静态路由。 ip route 192.168.3.0 255.255.255.0 49...1 10. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本章节主要介绍创建用户并授权使用物理机。 如果您需要对您所拥有的物理机资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用物理机资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将物理机资源委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用物理机的其它功能。 操作步骤： 1. 创建用户组并授权 在IAM控制台创建用户组，并授予物理机只读权限“ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“计算 > 物理机服务”，进入物理机主界面，单击右上角“申请物理机”尝试购买物理机。若提示权限不足，表示物理机“ReadOnlyAccess”已生效。 在“服务列表”中选择除物理机服务以外的任意一个服务，若提示权限不足，表示物理机“ReadOnlyAccess”已生效。

本节主要介绍为IAM用户授权 如果管理员在创建IAM用户时，没有将其加入任何用户组， 则新创建的IAM用户不具备任何权限，不能对云服务进行操作 ，管理员可以在IAM控制台或天翼云官网将其加入用户组，为其授予所属用户组的权限策略。授权后，用户即可根据用户组权限使用帐号中的云服务资源。 基于用户组授权 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 找到计划加入的用户组，单击右侧的“用户组管理”。 步骤 6 选择IAM子用户，单击“确认”，将IAM用户加入用户组，加入用户组后，IAM用户将拥有所属用户组的所有权限。 说明 如果将IAM用户加入默认用户组“admin”，则IAM用户为管理员，可以对所有云服务执行任意操作。 当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即取多个用户组权限的全集。 所有使用IAM授权的云服务的系统策略，请参见：权限集。 如果您开通了企业管理，将不能创建IAM项目，请谨慎操作。 基于企业项目授权 步骤 1 管理员登录IAM控制台。 步骤 2 管理员在用户列表中，单击用户名称，进入IAM用户详情页面。 步骤 3 在IAM用户详情页面，单击“授权记录”页签，然后单击“授权”，可 直接给用户授权（适用于企业项目授权） ，直接给IAM用户授予云服务权限，勾选对应的云服务权限后，单击“下一步”。 说明 该授权方式仅在您开通企业项目后支持。 步骤 4 在“设置最小授权范围”页面，选择授权IAM用户使用的企业项目。 步骤 5 单击“确定”，完成IAM用户授权。 授权完成后，管理员可以在“权限管理>授权管理”页面查看、修改该IAM用户的权限。

本文主要介绍云日志服务的日志接入概述。 云日志服务支持实时日志采集，通过采集器的方式方便您在各种数据源场景下采集日志，采集日志后，您可在云日志服务控制台实时查询、分析日志数据。 日志源接入 目前支持接入天翼云弹性云主机以及云容器引擎日志接入。 弹性云主机：支持采集云主机文本日志，将弹性云主机待采集日志的路径配置到日志单元中，采集器将按照配置的采集规则采集日志至云日志服务。接入详情请参考接入云主机文本日志。 云容器引擎：支持采集云容器引擎的标准输出日志与文件日志。接入详情请参考接入云容器引擎应用日志。 日志结构化解析 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。

本文带您了解弹性负载均衡产品的准备工作。在使用弹性负载均衡前,您需要根据您的业务确定弹性负载均衡的网络类型和实例类型等。 选择实例地域 弹性负载均衡默认不支持跨地域部署，请确保您选择的地域与ECS实例在同一个地域。举例来说明一下，ECS实例所属地域为华东华东1，您规划的弹性负载均衡实例地域为华东华东1，ECS实例和弹性负载均衡实例在同一个地域。 选择实例的网络类型 在创建负载均衡实例的时候可以选择不同的网络类型： 如果您需要使用负载均衡分发来自公网的请求，网络类型请选择外网，该实例拥有一个公网IP，用来接收来自互联网的请求。 如果您需要使用负载均衡分发来自私网的请求，网络类型请选择内网，当网络类型选择内网的时候，负载均衡虚拟IP可以自动分配也可以手动分配。 选择实例类型 您可以根据业务需求选择不同的负载均衡实例类型： 如果您的业务访问量较小，应用模型简单，可以选择经典型负载均衡，经典型负载均衡为免费产品。经典型负载均衡也具备基本的流量分发和健康检查功能。 如果您的业务对性能有较高的要求，可以选择性能保障型负载均衡，性能保障型负载均衡为收费产品。性能保障型负载均衡能够提供更强大的性能和扩展能力。

本节为您介绍Oracle RAC系统安装的系统环境配置信息。 Oracle RAC系统的安装，需要进行较多的实例配置，配置遗漏或者错误会导致安装失败。详细配置方法请参照具体的配置手册，或咨询Oracle专家，示例仅展示CentOS7下静默安装Oracle RAC的主要步骤。实例配置可参考Oracle官方文档。 系统及软件信息 在本次示例中： 实例的操作系统为：CentOS Linux release 7.6.1810，内核版本为：3.10.0957.el7.x8664。 Oracle RAC的软件版本为：19c（19.3）Linux x8664。 NTP配置 Oracle RAC需要集群内所有实例的时间保持一致，时钟差距过大，会导致集群节点无法正常启动。可以通过公网或者内网NTP server同步好集群内各个实例的时钟。 ntpdate swap空间配置 Oracle文档建议内存在4GB16GB的实例，swap空间配置与内存空间一致，内存大于16GB的实例，swap空间配置为16GB即可。 fallocate l 16G /swapfile 此⽅式，swapon可能会失败，可以直接dd⼀个文件 dd if/dev/zero of/swapfile count1024k bs16384 chmod 600 /swapfile mkswap /swapfile swapon /swapfile /dev/shm 共享内存配置 需要确认/etc/fstab中配置了/dev/shm共享内存设备的正确挂载，类型需为 tmpfs 。 防火墙 检查Oracle相关服务没有被防火墙阻止（不建议直接关闭防火墙服务，除非在内网可信任网络内）。

Web攻击事件 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马事件 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机事件 “实时检测”资产被入侵后对外发起攻击的威胁。共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序

本节为您介绍Web应用防火墙（独享版）攻击防护类问题。 什么是防护IP？ 防护IP是指需要保护的网站的IP地址。 Web应用防火墙支持漏洞检测吗？ WAF的Web基础防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置Web基础防护规则时，如果您开启了扫描器，WAF将对扫描器爬虫，如OpenVAS、Nmap等进行检测。 Web应用防火墙是否支持Exchange里的相关协议？ WAF支持exchange里登录网页webmail时的http和https协议；WAF不支持exchange里的SMTP 、POP3 、IMAP 等邮件相关的协议。 Web应用防火墙是否支持防御XOR注入攻击？ Web应用防火墙支持防御XOR注入。 如何理解WAF日志里的bindip参数？ 网站接入WAF后，WAF作为反向代理存在客户端与源站服务器之间，检测过滤恶意攻击流量，用bindip（WAF的回源IP）将正常的流量转发传输到源站。 通过IP接入WAF后，WAF可以防护映射到这个IP的所有域名吗？ 不支持。WAF的独享模式支持源站IP接入WAF防护，且该IP支持私网IP或者内网IP，但WAF仅防护通过IP访问的流量，不能防护映射到这个IP的域名，如需防护域名，需要单独将域名接入WAF进行防护。 Web应用防火墙是否支持SSL双向认证？ 不支持。您可以在WAF上配置单向的SSL证书。

本章节主要介绍天翼云物理机的物理网络。 物理机有四种网络类型，分别是VPC网络、高速网络（HB）、自定义vlan网络(QINQ)和IB网络，四种网络之间相互隔离不互通。其中，VPC网络接口和高速网络接口是基于系统维护vlan网卡组建bond后创建的vlan子接口。自定义vlan网络网卡和IB网络网卡由用户进行自定义管理配置。 说明 图中的ToR表示服务器机柜的布线方式，接入交换机放在机架顶部，服务器放在下方。HB表示高速网络。QinQ表示802.1Q隧道。 VPC网络接口和HB高速网络接口由系统生成，租户不可修改。这两个网络接口属于同一个网卡Bond。 弹性云主机和物理机之间可以通过VPC网络通信，只有VPC网络支持安全组、弹性IP和弹性负载均衡能力。 对于高速网络和自定义vlan网络，同一网络中的物理机实例之间仅提供2层连接。

本文为您介绍如何查看接入容灾管理中心的应用详情。 操作场景 在您接入应用后，可以通过多活容灾服务控制台查看您接入的应用的详细信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“应用管理”，进入应用管理页面，点击应用列表中的应用名称，进入应用详情页。 5. 在基础信息部分，可以查看应用名称、应用端口、绑定的容灾管理中心、绑定的云主机、健康检查等信息。 6. 在数据库信息部分，可以查看数据库类型、数据库实例名、连接地址。 7. 在存储库信息部分，可以查看Bucket名称、Bucket内网域名、Bucket外网域名等信息。

本节主要介绍查看企业项目资源 您可以选择查看某个企业项目下的全部资源，方便您快速了解该企业项目所拥有的资源情况。 操作步骤 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，选择待查看的企业项目，单击操作列“查看资源”。 系统进入企业项目详情页面，在“资源”页签下可查看该企业项目内资源信息。默认展示全部区域及全部产品类型的资源信息，可按以下步骤进行资源筛选。 步骤 4 （可选）设置资源搜索条件。 1. 选择搜索区域。系统默认选中“全部”。 2. 选择服务类型。 3. 选择资源类型。 页面下方列表展示筛选后的所有资源。 说明 当服务选择为“EIP”时，支持查看已绑定实例。已绑定实例目前仅支持查看资源为：弹性云主机、负载均衡器（目前仅支持增强型）、物理机、虚拟IP地址。

本文介绍弹性容器实例ECI的产品定义。 弹性容器实例（简称ECI）是基于天翼云自研的、敏捷安全的Serverless容器运行服务，具备极速启动、安全可靠、成本低的特点，完全免运维，按使用量付费。 产品概述 天翼云弹性容器实例ECI提供了多种部署方式，包括通过OpenAPI和控制台部署容器应用。此外，您还可以通过天翼云云容器引擎和 Serverless容器引擎产品部署业务，并无缝使用天翼云网络、存储等其它资源服务。无论是哪种部署方式，弹性容器实例ECI都将为您提供快速响应的容器运行环境，实现极高的成本效益。 在使用弹性容器实例ECI时，所有容器都基于完全隔离的资源，您可以按照应用场景的实际需求进行定制和管理，从而更好地支持您的业务发展。同时，弹性容器实例ECI提供了丰富的应用实例化配套服务，包括数据存储、负载均衡、弹性伸缩、监控告警等，从而可以为您提供可靠、稳定、高效的容器运行环境。 产品架构 弹性容器实例 ECI 向下基于天翼云计算、网络及存储构建坚实底座，容器镜像服务CRS 提供了容器镜像全生命周期的托管服务。向上无缝集成天翼云Serverless容器引擎服务，方便用户管理其业务负载。在应用形态上，适用于大数据计算、事件驱动、DevOps、AI大模型等各类应用场景。

告警事件历史 1. 在Ecs应用详情左边导航栏中选择“告警事件历史“ 2. 在列表页查看告警事件列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警事件历史 告警发送历史 1. 在Ecs应用详情左边导航栏中选择“告警发送历史“ 2. 在列表页查看告警发送列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警发送历史 通知组 告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人，我们可以在通知组中设置接收人信息。 1. 在Ecs应用详情左边导航栏中选择“通知组“，进入”通知对象”，设置通知基本信息 具体使用说明可参考应用性能监控>用户指南>告警管理>通知对象 通知策略 创建告警通知策略，当告警触发时，只要不符合静默策略，就会依照通知策略在对应渠道发送告警信息给对应的通知对象。 1. 在Ecs应用详情左边导航栏中选择“通知策略“ 2. 查看左侧菜单栏“通知策略列表”，点击具体策略，右侧面板展示策略详情 具体使用说明可参考应用性能监控>用户指南>告警管理>通知策略

数据库安全服务可以保护哪些数据库？ 数据库安全服务可以对相同虚拟私有云及其子网下的ECS自建数据库、BMS自建数据库以及RDS关系型数据库提供保护。在非同一虚拟私有云及其子网下的ECS自建数据库、BMS自建数据库和RDS关系型数据库，由于网络限制的原因不能对其提供保护。 数据库安全服务支持哪些类型的数据库？ 数据库安全服务支持管理控制台上的以下数据库： 云数据库 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 为什么购买实例后不能马上查看创建中的实例？ 购买数据库安全审计时，由于数据库安全审计实例所在的虚拟机创建系统盘和网络配置需要少许时间，所以需要在虚拟机配置完成才能查看创建中的实例。 数据库安全服务上传日志是通过公网的带宽还是内网的带宽？ 数据库安全服务上传日志是通过内网的带宽。 数据库安全服务到期后不续费会影响业务吗？ 购买的数据库安全服务到期后，如果未续费，您将不能使用数据库安全服务，不影响您的业务。为了数据库安全和资产安全，建议您续费使用数据库安全服务。 数据库安全服务是否支持数据实时脱敏？ 暂不支持实时脱敏。当需要对输入的SQL语句的敏感信息进行脱敏时，您可以通过开启隐私数据脱敏功能，以及配置隐私数据脱敏规则，来防止数据库用户敏感信息泄露。详情请参见配置隐私数据保护规则。

本文介绍DDoS高防（边缘云版）弹性防护相关问题。 弹性防护该如何选购？ 最大防护能力套餐内防护能力+弹性防护能力。防护能力需要考虑防护带宽峰值（单位：Gbps）及CC防护能力（单位：QPS）。 需要根据您自身业务希望防护的最高防护带宽来评估。弹性防护是按天按需进行收费，数据统计标准为每天的0:0024:00期间遭受的最大弹性峰值，具体计费表可参考计费模式。 例如：比如您希望防护100Gbps带宽、100000QPS的CC攻击；选购的基础套餐版本为DDOSM4，包含20Gbps防护带宽和80000QPS的CC防护能力，则弹性防护可选择购买80Gbps弹性防护，同时还能弹性支持320000QPS的CC防护能力。 若您遭受的攻击频繁超出基础套餐的防护带宽，建议升级为更大的套餐，若您仅是偶尔被攻击且攻击量不确定，可以购买弹性防护作为保险。 弹性防护如何出账？ 购买时选定弹性防护最高防护峰值，若攻击超出套餐防护规格，则超出部分按照弹性防护阶梯按日收费。 每日计费值以当天（0:00~24:00）攻击的最大攻击峰值为计费标准。 弹性防护当日最大DDoS攻击峰值套餐保底防护带宽，超出CC防护攻击值当日最大CC攻击峰值套餐内CC防护能力，再找到超出防护带宽、超出CC防护值在弹性防护计费列表中对应的计费区间，二者取其高，即可算出弹性防护超出费用。 例如：基础套餐购买的版本为DDOSM3，包含10Gbps、50000QPS，弹性防护购买20Gbps 、80000QPS。以下仅以带宽部分超出的情况为例： 若当前遭受攻击为10Gbps以内（如8Gbps）不进行额外收费； 若当前遭受攻击为超过10Gbps（如15Gbps），超出的部分为5Gbps，参考弹性防护计费标准，落在第一阶梯[010Gbps]以内，按照860元/天收费。 若当前遭受攻击为25Gbps，则超出的部分为15Gbps，落在第二阶梯[1020Gbps]以内，按照1760元/天收费。 若当前遭受攻击为35Gbps，则超出的部分为25Gbps，但最高弹性防护仅购买20Gbps，则不进行防护，直接解析回源，2小时后再恢复服务，不产生任何弹性防护费用。 弹性防护计费具体计费表可参考计费模式。

参数 参数类型 说明 示例 下级对象 alarmRuleID String 告警规则ID 2c2472dff6335b4bbe459609fc9f8154 regionID String ctyun资源池ID 81f7728662dd11ec810800155d307d5b name String 规则名 ctyunrule desc String 描述 demo service String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见" ecs dimension String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 详见" ecs repeatTimes Integer 重复告警通知次数 0 silenceTime Integer 告警接收策略静默时间，多久重复通知一次，单位为秒 300 recoverNotify Integer 本参数表示恢复是否通知。取值范围： 0：否。 1：是。 根据以上范围取值。 0 notifyType Array of Strings 本参数表示告警接收策略。取值范围： email：邮件告警。 sms：短信告警。 根据以上范围取值。 ['email','sms'] contactGroupList Array of Objects 告警联系人组 contactGroup notifyWeekdays Array of Integers 本参数表示通知周期。取值范围： 0：周日。 1：周一。 2：周二。 3：周三。 4：周四。 5：周五。 6：周六。 根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart String 通知起始时段，默认为00:00:00 00:00:00 notifyEnd String 通知结束时段，默认为23:59:59 23:59:59 webhookUrl Array of Strings webhook消息推送url地址 [' status Integer 本参数表示告警规则启用状态。取值范围： 0：启用。 1：停用。 根据以上范围取值。 0 alarmStatus Integer 本参数表示告警规则告警状态。取值范围： 0：正常。 1：正在告警。 根据以上范围取值。 0 createTime Integer 创建时间，毫秒级时间戳。 1689580180000 updateTime Integer 更新时间，毫秒级时间戳。 1689580180000 projectID String 项目ID 0 conditions Array of Objects 具体匹配策略 condition resources Array of Objects 资源信息列表 resources resourceScope Integer 规则的资源范围，取值范围： 0：实例资源类型。 1：资源分组类型。 2：全部资源类型 。 根据以上范围取值。 0 defaultContact Integer 是否使用天翼云默认联系人接收通知，取值范围： 0：否。 1：是。 根据以上范围取值。 0

本章节主要介绍翼MapReduce的导入证书操作。 操作场景 CA证书用于FusionInsight Manager各个模块、集群的组件客户端与服务端在通信过程中加密数据，实现安全通信。FusionInsight Manager支持快速导入CA证书，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 对系统的影响 更换证书过程中集群需要重启，此时系统无法访问且无法提供服务。 更换证书以后，所有组件和Manager的模块使用的证书将自动更新。 更换证书以后，还未信任该证书的本地环境，需要重新安装证书。 前提条件 证书文件和密钥文件可向企业证书管理员申请或由管理员生成。 获取需要导入到集群的CA证书文件（ .crt）、密钥文件（ .key）以及保存访问密钥文件密码的文件（password.property）。证书名称和密钥名称支持大小写字母和数字。以上文件在生成以后需要打包成tar格式压缩包。 准备一个访问密钥文件的密码用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符。 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。

本章节主要介绍翼MapReduce的用户组管理操作。 操作场景 FusionInsight Manager最大支持5000个用户组（包括系统内置用户组）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同用户组。用户组通过绑定角色获取操作权限，用户加入用户组后，可获得用户组具有的操作权限。用户组同时可以达到对用户进行分类并统一管理多个用户。 前提条件 管理员已明确业务需求，并已创建业务场景需要的角色。 已登录FusionInsight Manager。 添加用户组 1. 选择“系统 > 权限 > 用户组”。 2. 在组列表上方，单击“添加用户组”。 3. 填写“组名”和“描述”。 “组名”由数字、字母、或下划线、中划线（）或空格组成，不区分大小写，长度为1～64位，不能与系统中已有的用户组名相同。 4. 在“角色”，单击“添加”选择指定的角色并添加。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 5. 在“用户”，单击“添加”选择指定的用户并添加。 6. 单击“确定”完成用户组创建。 查看用户组信息 用户组列表默认显示所有用户组。单击指定用户组名称左侧的箭头展开详细信息，可以查看此用户组中的用户数、用户以及绑定的角色。 修改用户组信息 在要修改信息用户组所在的行，单击“修改”，修改用户组信息。

配置项 说明 域名 填写需要接入边缘安全加速平台安全与加速服务的域名，包括精确域名（例如www.ctyun.cn）或者泛域名（例如.ctyun.cn）。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案并且域名需要进行 服务区域 若所订购套餐的服务区域为“全球”，则可指定域名的服务区域： 仅需加速中国内地用户请选择“中国内地”。 仅需加速全球（不含中国内地）用户请选择“全球（不含中国内地）”。 同时加速中国内地和全球（不含中国内地）用户请选择“全球”。 若所订购套餐的服务区域不是“全球”，则服务区域不可配置。 IPv6开关 新增域名时，IPv6开关默认开启，如您不需要IPv6可选择关闭。开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘云节点，如果要解决IPv6天窗问题（提升二、三级链接IPv6支持度）需要订购高级版以上版本，通过 源站 支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 注意：源站域名不能与加速域名相同，否则会造成循环解析，导致无法回源。 回源协议 指边缘云节点回源站请求资源时使用的协议。配置该功能后，边缘云节点将根据指定的协议回源。 HTTP：边缘云节点以HTTP协议回源。 HTTPS：边缘云节点以HTTPS协议回源。 跟随协议：客户端以HTTP或HTTPS协议请求边缘云节点，边缘云节点跟随客户端的协议请求源站（源站需要同时支持HTTP协议和HTTPS协议，否则可能会造成回源失败）。 回源端口 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 如果跟随请求端口回源开关置为开启，则会使用请求服务端口回源。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，默认值为加速域名。 当您的源站有多个站点，且需要回源的站点不是加速域名对应的站点时，您需要配置回源HOST，在回源过程中会根据HOST信息去对应站点获取资源。 Https开关 支持开启和关闭HTTPS，如果开启HTTPS协议，需要上传HTTPS证书。 缓存设置 您可以设置缓存过期时间，指源站资源在边缘节点缓存的时长，达到预设时间，资源将会被边缘云节点标记为缓存过期。 默认配置如下： 静态加速：默认开启，关闭后将全部文件不缓存，无法享受缓存加速能力。

在使用全局日志Binlog前,您需要先创建全局日志节点,本文为您介绍具体的操作步骤。 前提条件 已创建DRDS实例。具体操作，请参见步骤一：购买DRDS实例。 约束限制 仅支持创建1个日志节点。 开启日志节点后，当您续订或删除DRDS实例时，会同步续订或删除日志节点。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录树，单击日志节点管理，进入全局Binlog日志节点管理界面。 5. 单击创建日志节点 ，然后在变更后配置区域，配置日志节点相关参数。 参数 描述 可用区 日志节点所在的可用区。 性能规格 日志节点的vCPU和内存配置。 存储类型 日志节点的存储类型。 注意 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的计算增强型和内存优化型云主机。 存储空间 日志节点的存储空间，取值范围：100GB32768GB。 账号 日志节点的账号，长度为232字符，由字母、数字或下划线组成，以字母开头，字母或数字结尾。 密码 日志节点的密码，密码长度为826位，需为字母、数字和特殊字符~!@

如何获取ZOS的访问域名（endpoint）？ ZOS每个资源池的访问域名（endpoint）各不相同，您可以登录ZOS控制台，点击桶名后进入桶概览页面，在桶概览页面的基础信息中，可以获取该桶对应的内网、外网域名（endpoint）。 如何获取ZOS的AKSK？ 如果您选择使用客户端、SDK访问ZOS，则需要提前获取ZOS访问密钥（AK/SK），通过ZOS访问密钥（AK/SK）来进行鉴权。 您可以登录ZOS控制台，点击控制台页面右上角的“Access Key管理”，然后点击“查看密钥”即可获取ZOS的AKSK。 ZOS可以应用在哪些场景？ 视频监控存储：对象存储满足个人/企业对视频、监控等海量文件的存储需求，如城市交通、家庭监控等存储场景。 数据备份：对象存储主要满足各种应用软件、本地数据库、RDS和非结构化数据的备份归档需求，还可以为云主机、云硬盘等产品提供备份存储能力。 数据迁移：天翼云提供了对象存储迁移能力，可将ZOS中的数据迁移至不同地域下的桶中，亦可将其他服务商的对象存储数据迁移至ZOS中。 静态网站托管：对象存储满足门户网站、视频网站、办公OA、SaaS应用服务商等的网站托管需求，将网页文件和相关资源上传至ZOS。 ZOS支持跨区域复制吗？ 目前跨区域复制支持的资源池：华东1 西南1、杭州2>上海7，可通过提工单提前申请权限。 需注意只有标准存储、低频存储类型的文件可以进行复制，归档文件不支持复制，即创建的复制任务会自动跳过归档文件。

本文帮助您了解如何操作跨账号网络实例授权。 使用说明 账号 A（授权方） 1. 在授权前，请从账号 B 处获取以下两项信息： 账号 B 的 唯一账号 ID 账号 B 的 云间高速 ID 2. 执行授权：将 VPC1 与 云专线 授权给账号B。 账号 B（被授权方） 1. 等待授权：确认账号A已完成授权。 2. 加载实例：在区域A的云企业路由器中加载网络实例，务必选择 “资源归属”为“跨账号”，然后加载已授权的VPC1和云专线。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“跨账号授权管理”，进入“跨账号授权管理”页面。 3. 在“已授权网络实例 ”页签中，点击“授权 ”按钮，进入“跨账号网络实例授权”页面。 4. 在“跨账号网络实例授权 ”页面，根据页面提示填写对应参数，单击“确定”，完成授权。 参数 说明 您的账号ID 当前登录账号的唯一标识符，用于授权查询与身份验证。 区域 需授权网络资源所在的区域（资源池）。 网络类型 需授权的网络资源类型。 网络实例 需要授权的网络实例，一次只能授权一个。 对方账号ID 被授权方的账号标识符，需对方登录天翼云，并在云间高速跨账号授权管理页面确认。 对方云间高速实例ID 被授权方需先创建的云间高速ID，用于组网授权与连接建立。 备注 输入关于授权资源的说明或备注信息。

本文主要介绍如何接入LLM应用 LLM应用接入 支持接入 Ollama 框架。 前提条件 完成 vpce 接入 要求 Python 3.9及以上版本 建议使用 8C16G 以上规格的云主机 接入步骤 1、安装相关依赖 plaintext pip install traceloopsdk pip install ollama 2、部署模型 （1）在云主机安装部署 Ollama，并启动。 （2）通过 Ollama 拉取 deepseekr1:1.5b 模型，并启动模型 3、查看接入点信息 在应用性能监控控制台的 “应用监控” “应用列表” 页面，点击 “接入应用” 按钮，找到 “Python” “OpenTelemetry” 下面的指引步骤 “查看接入点信息”，指引会根据您所在资源池提供 “通过 gRPC 上报数据” 的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 4、示例代码 请将代码中的token和endpoint替换成第3步中获取的接入点信息。 plaintext from traceloop.sdk import Traceloop from opentelemetry.sdk.trace.export import BatchSpanProcessor from opentelemetry.exporter.otlp.proto.grpc.traceexporter import OTLPSpanExporter from opentelemetry.baggage.propagation import W3CBaggagePropagator from opentelemetry.sdk.resources import Traceloop.init( appname" ", resourceattributes{ TELEMETRYSDKLANGUAGE: "python", "host.name": " " }, propagatorW3CBaggagePropagator(), processorBatchSpanProcessor( OTLPSpanExporter( endpoint" ", headers[("xctgauthorization", " ")] ) ) ) from ollama import chat from ollama import ChatResponse def ollamachat(): response: ChatResponse chat(model'deepseekr1:1.5b', messages[ { 'role': 'user', 'content': 'Tell a joke of OpenTelemetry', }, ]) print(response.message.content) if name "main": ollamachat() 5、接入验证 完成接入工作后，启动 LLM 应用，应用就会向 APM 上报链路数据，在LLM应用监控将展示接入的应用。

如果关系数据库MySQL版实例已经开启备份功能，当需要单独使用备份文件时，可通过下载备份操作将数据库的备份文件下载到本地。 前提条件 关系数据库MySQL版实例使用对象存储服务作为备份存储介质，且存在已备份完成的备份集。 注意事项 支持使用公网和内网下载备份文件，您需要注意如下事项： 使用公网下载文件时，将产生公网流量费用，具体资费信息，请参考备份。 使用内网下载文件时，网络更加稳定且不会产生流量费用，但该方式仅适用于在相同资源池的云主机使用。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 备份管理，进入基础备份列表页面。然后在顶部菜单栏，选择区域和项目。 说明 您也可以在左侧导航栏选择MySQL > 实例管理 ，并在实例列表中单击目标实例名称，进入实例基本信息 页面，然后单击备份恢复，进入基础备份列表页面。 3. 在备份文件列表中，找到待下载的备份文件，单击操作 列的下载。 4. 在文件下载 对话框中，选择下载方式 为内网下载 或公网下载，然后复制生成的下载地址或者单击下载箭头，即可下载备份文件。 注意 如选择内网下载，则将链接复制，使用wget ' 公网下载方式的临时下载地址链接有效时间为1小时。

Fork源码 步骤1 登录个人GitHub帐号，并Fork Demo源码。 Demo源码地址： 组织管理”。 2、单击“创建组织”，在弹出的页面中填写“组织名称”。 3、单击“确定”。 创建环境 1、登录ServiceStage，选择“环境管理”，单击“创建环境” 。 2、设置环境信息。 1. “环境名称”:输入本实例的环境名称，如“testenv”。 2. “虚拟私有云(VPC)”:在下拉列表选择已创建的虚拟私有云VPC。 3. “基础资源”:单击“新增基础资源”，选择该VPC下的基础资源，本例使用云容器引擎(CCE)。 4. “可选资源”:单击“新增可选资源”，选择该VPC下可选资源，本例使用名称为“Cloud Service Engine”的专业版微服务引擎。 说明 选定VPC后，会加载该VPC下的基础资源和可选资源供选择，不在该VPC下的资源无法选择。 3、单击“立即创建”，完成环境创建。 新建应用 1、登录ServiceStage，选择“应用管理 > 应用列表”，单击“创建应用”。 2、设置应用基本信息，输入“应用名称”、“描述”等信息。 3、单击“确定”，完成应用创建。 新建组件 步骤1 登录ServiceStage，选择“应用管理 > 应用列表”。 步骤2 选择上一步创建的应用，在“操作”栏单击“新增组件”。 步骤3 “配置方式”选择“自定义配置”，“选择组件类型”选择“微服务”，单击“下一步”。 步骤4 “选择运行时”选择“Java8”，单击“下一步”。 步骤5 “选择框架/服务网格”选择“Java Chassis”，单击“下一步”。 步骤6 设置组件信息： 1. “组件名称”:输入名称，如“javatest”。 2. “源码/软件包”:选择“源码仓库”。选择“GitHub”。然后选择“授权信息”、“用户名/组织”、“仓库名称（ServiceCombSpringMVC）”及“master分支”。 步骤7 打开“开启构建”开关并设置。 • “组织”:选择创建组织时创建的组织名称。 • “选择集群”:选择创建环境时选择的CCE集群 步骤8 单击“立即创建”，创建静态组件。

产品版本规格 产品名称 版本 规格 规格说明 堡垒机 v1.0/v2.0 10资产 支持10资产管理 堡垒机 v1.0/v2.0 20资产 支持20资产管理 堡垒机 v1.0/v2.0 50资产 支持50资产管理 堡垒机 v1.0/v2.0 100资产 支持100资产管理 堡垒机 v1.0/v2.0 200资产 支持200资产管理 堡垒机 v1.0/v2.0 500资产 支持500资产管理 堡垒机 v1.0/v2.0 1000资产 支持1000资产管理 数据库审计 v1.0 标准版 支持4数据库实例 数据库审计 v1.0 高级版 支持8数据库实例 数据库审计 v1.0 企业版 支持16数据库实例 数据库审计 v2.0 4资产 支持4数据库实例 数据库审计 v2.0 8资产 支持8数据库实例 数据库审计 v2.0 16资产 支持16数据库实例 数据库审计 v2.0 32资产 支持32数据库实例 数据库审计 v2.0 存储扩容 支持对数据盘进行扩容 漏洞扫描 v1.0 10资产 支持10个IP地址 漏洞扫描 v1.0 20资产 支持20个IP地址 漏洞扫描 v1.0 50资产 支持50个IP地址 漏洞扫描 v1.0 100资产 支持100个IP地址 漏洞扫描 v1.0 200资产 支持200个IP地址 日志审计 v1.0 10资产 支持10个日志源（每个日志源对应为一个IP） 日志审计 v1.0 20资产 支持20个日志源（每个日志源对应为一个IP） 日志审计 v1.0 50资产 支持50个日志源（每个日志源对应为一个IP） 日志审计 v1.0 100资产 支持100个日志源（每个日志源对应为一个IP） 日志审计 v1.0 200资产 支持200个日志源（每个日志源对应为一个IP） 日志审计 v1.0 500资产 支持500个日志源（每个日志源对应为一个IP） 日志审计 v2.0 10资产 支持10个日志源（每个日志源对应为一个IP） 日志审计 v2.0 15资产 支持15个日志源（每个日志源对应为一个IP） 日志审计 v2.0 20资产 支持20个日志源（每个日志源对应为一个IP） 日志审计 v2.0 50资产 支持50个日志源（每个日志源对应为一个IP） 日志审计 v2.0 100资产 支持100个日志源（每个日志源对应为一个IP） 日志审计 v2.0 200资产 支持200个日志源（每个日志源对应为一个IP） 日志审计 v2.0 500资产 支持500个日志源（每个日志源对应为一个IP） 日志审计 v2.0 存储扩容 支持对数据盘进行扩容 下一代防火墙 v1.0 标准版 支持1Gbps公网流量处理能力峰值 下一代防火墙 v1.0 高级版 支持2Gbps公网流量处理能力峰值 下一代防火墙 v1.0 企业版 支持4Gbps公网流量处理能力峰值 下一代防火墙 v2.0 标准版 支持1Gbps公网流量处理能力峰值（每秒数据包处理能力：200000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 下一代防火墙 v2.0 高级版 支持2Gbps公网流量处理能力峰值（每秒数据包处理能力：400000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 下一代防火墙 v2.0 企业版 支持4Gbps公网流量处理能力峰值（每秒数据包处理能力：2500000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 云安全中心 v2.0 标准版 包含日志分析量为每月50G 云安全中心 v2.0 态势大屏 包括安全成果态势、威胁攻击态势大屏 云安全中心 v2.0 日志分析量 默认需购买500G日志分析量，额外购买步长为50G 主机安全 v1.0 标准版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 主机安全 v1.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 主机安全 v2.0 旗舰版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 主机安全 v2.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 Web应用防火墙 v1.0 标准版 防护10个站点，支持带宽防护200Mb Web应用防火墙 v1.0 域名扩展包 每个扩展包支持10个域名防护 Web应用防火墙 v1.0 带宽扩展包 单个防护带宽扩展包，每个扩展包规格50Mb，可叠加； 单个Web应用防火墙最大支持1000Mb流量，最大可支持16个扩展包。 Web应用防火墙 v2.0 SaaS版 标准版 业务请求峰值3000QPS，支持防护域名20个（包含2个主域名），防护端口20个，更多信息请参见[产品规格](

本章节主要介绍翼MapReduce的查看集群静态资源操作。 操作场景 大数据管理平台支持通过静态服务资源池对没有运行在Yarn上的服务资源进行管理和隔离。系统支持基于时间的静态服务资源池自动调整策略，使集群在不同的时间段自动调整参数值，从而更有效地利用资源。 系统管理员可以在FusionInsight Manager查看静态服务池各个服务使用资源的监控指标结果，包含监控指标如下： 服务总体CPU使用率 服务总体磁盘IO读速率 服务总体磁盘IO写速率 服务总体内存使用大小 说明 启用多实例功能后，支持管理HBase所有服务实例使用的CPU、I/O和内存总量。 操作步骤 1. 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2. 在“配置组列表”，单击一个配置组，例如“default”。 3. 查看系统资源调整基数。 “系统资源调整基数”表示集群中每个节点可以被集群服务使用的最大资源。如果节点只有一个服务，则表示此服务独占节点可用资源。如果节点有多个服务，则表示所有服务共同使用节点可用资源。 “CPU”表示节点中服务可使用的最大CPU。 “Memory”表示节点中服务可使用的最大内存。 4. 在图表区域，查看集群服务资源使用状态指标数据图表。 说明 可通过“为图表添加服务”，将特定服务的静态服务资源数据添至图表，最多可选择12个服务。 管理单个图表的操作，可参见

创建DRDS实例后，您可以根据实际情况设置备份策略，系统将按照您设置的备份策略对实例进行备份与备份清理。 注意事项 由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段设置自动备份。设置自动备份策略后，会按照策略中的备份时间段和备份周期进行备份。 DRDS的备份策略将覆盖其关联的MySQL的备份策略。设置完成后请勿在MySQL控制台修改备份策略，避免备份失败。 保留天数限制取决于底层MySQL的限制，MySQL实例备份类型为对象存储的实例最多支持保留180天，MySQL实例备份类型为云硬盘的实例最多支持保留7天。详情参考MySQL官网文档。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 单击【备份恢复】，进入【备份列表】页面。 5. 单击【备份策略】页签，然后单击备份策略右侧的【编辑】。 6. 在备份策略面板中，设置如下备份参数。 【备份方式】：选择【快速备份】或【一致性备份】。 【备份周期】：选择周一至周日任意天数，可重复勾选。 【数据备份保留天数】：数据备份的保留天数。 【备份开始时间】：选择备份开始时间，支持设置的范围为00:00~24:00。 7. 勾选【此备份策略将覆盖其关联的RDS的备份策略。设置完成后，请勿修改RDS上的备份策略，避免备份失败】，然后单击【确定】。 您可以在【备份策略】页签下，查看当前实例的备份策略。

本章节介绍推空保护功能的使用 概述 推空保护功能用于处理客户端在请求注册中心订阅服务端地址列表时，在服务端注册异常的场景下，注册中心返回了空列表，此时客户端忽略该空返回的变更，从缓存中获取上一次正常的服务端地址进行服务访问。能够在注册中心在进行变更（变配、升降级）或遇到突发情况（例如，可用区断网断电）或其他不可预知情况下的列表订阅异常收到空的地址列表推送时，可以有效保护业务调用，增加业务可靠性。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate； 负载均衡：Ribbon、LoadBalancer。 Dubbo 2.5.3+ 支持Alibaba Dubbo、Apache Dubbo。 注册中心 Nacos、Eureka、Zookeeper 无。 jdk版本 1.8+ 无。 开启推空保护 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 推空保护，即可开启推空保护。 查看推空保护事件 若发生推空保护，在推空保护页面即可查看推空保护事件。

本节介绍企业主机安全动态端口蜜罐功能。 动态端口蜜罐概述 什么是动态端口蜜罐 动态端口蜜罐功能是一个攻击诱捕陷阱，利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。 用户可选择系统推荐端口或自定义端口开启动态端口蜜罐，诱捕失陷主机，降低真实资源被入侵的风险。 如何使用动态端口蜜罐 约束与限制 使用动态端口蜜罐功能，须满足以下条件： 服务器未绑定EIP。 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本且Agent状态为“在线”。 Linux：3.2.10及以上版本。 Windows：4.0.22及以上版本。 一台服务器最多支持添加10个蜜罐端口。 一个蜜罐端口只能绑定一个协议，支持TCP和TCP6协议。 创建动态端口蜜罐防护策略 操作场景 动态端口蜜罐功能是以真实端口作为诱饵端口诱导攻击者访问，因此开启动态端口蜜罐防护时，用户需要创建防护策略以添加服务器端口作为蜜罐端口并绑定服务器开启防护。 本节介绍如何创建动态端口蜜罐防护策略。

勒索软件是当前主要网络攻击威胁，一般通过木马病毒的形式传播，将自身掩盖为看似无害的文件，利用钓鱼邮件或软件漏洞等方式进行攻击，攻击后将受害者主机硬盘上的文件进行加密，以此来达到勒索的目的。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密密钥以便解密文件，对全球的政府、金融、医疗等各行业都造成了严重损失。 勒索攻击阶段 准备阶段：感染准备阶段，包括最初攻击阶段的漏洞利用信息，以及勒索软件自身模块释放之后对环境系统及应用终止，还包括勒索病毒在内网环境的自我扩散等。 感染阶段：遍历文件加密阶段，勒索病毒在入侵之后会遍历系统文件，如果有高价值数据、文件，则进入加密环节，完成勒索前重要一步。 勒索阶段：弹窗勒索环节，该阶段是勒索病毒的最终下发环节，意味着数据、文件已经被加密，企业如不支付赎金，数据、文件将处于不可用状态。 常见攻击手法 暴力破解：对密码进行破解的行为，破解成功登录主机后，便可获得主机的控制权限。 漏洞利用：利用系统或者第三方软件存在的已知或未知漏洞实施攻击。 钓鱼邮件：发送钓鱼邮件，将恶意脚本/程序掩盖为普通的文件，欺骗受害者下载、运行。

参数 说明 参数取值 名称 输入VPN连接的名称。 vpn002 VPN网关 选择步骤一创建的VPN网关。 vpngw001 网关IP 选择VPN网关的 主EIP2 。 11.xx.xx.12 对端网关 选择步骤二创建的对端网关。 cgw001 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 输入数据中心待和VPC互通的子网。 172.16.0.0/16 接口分配方式 支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169.254.71.2/30 对端隧道接口地址 配置在用户侧设备上的tunnel接口地址。 169.254.71.1/30 检测机制 用于多链路场景下路由可靠性检测。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则会导致VPN流量不通。 勾选“使能NQA” 预共享密钥、确认密钥 VPN连接协商密钥。 VPN连接和对端网关配置的预共享密钥需要一致。 Test@123 策略配置 包含IKE策略和IPsec策略，用于指定VPN隧道加密算法。 VPN连接和对端网关配置的策略信息需要一致。 默认配置