本章节会介绍回收站的功能和策略 操作场景 RDS支持将删除的主备或者单机实例，加入回收站管理。通过在回收站中重建实例，将数据恢复到新实例上。新实例数据库引擎、数据库版本、存储类型与原实例相同，其他参数可以重新配置。默认可以恢复1~7天内删除的实例。 约束限制 RDS不回收只读实例，只有主备或者单机实例才会进入回收站。 已停止的实例被删除后不会进入回收站。 回收站策略机制默认开启，且不可关闭。设置保留天数为1天，该功能免费。 设置回收站策略 注意 回收站保留天数默认7天。修改回收站保留天数，仅对修改后新进入回收站的实例生效，对于修改前已经存在的实例，仍保持原来的回收策略，请您谨慎操作。 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 4、在左侧导航栏，单击“回收站”。 5、在“回收站”页面，单击“回收站策略”，设置已删除实例保留天数，可设置范围为1~7天。 6、单击“确定”，完成设置。 重建实例 在回收站保留期限内的主实例可以通过重建实例恢复数据。 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 4、在左侧导航栏，单击“回收站”。 5、在“回收站”页面，在实例列表中找到需要恢复的目标实例，单击操作列的“重建”。 6、在“重建新实例”页面，选填配置后，提交重建任务。

如果您需要对您所拥有的CBR进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的云平台账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用CBR资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将CBR资源委托给更专业、高效的其他云平台账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果云平台账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用CBR服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图所示。 示例流程 1. 创建用户组并授权：在IAM控制台创建用户组，并授予云服务备份只读权限“CBR ReadOnlyAccess”。 2. 创建用户并加入用户组：在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限：新创建的用户登录控制台，切换至授权区域，验证权限： 1. 在“服务列表”中选择云服务备份，进入CBR的云主机备份，单击右上角“创建云主机备份存储库”，尝试创建云主机备份存储库，如果无法创建云主机备份存储库，表示“CBR ReadOnlyAccess”已生效。 2. 在“服务列表”中选择除云服务备份外的任一服务，如果提示权限不足，表示“CBR ReadOnlyAccess”已生效。

本节介绍了云数据库GaussDB 的产品优势。 高安全 云数据库GaussDB 拥有TOP级的商业数据库安全特性：数据动态脱敏，TDE透明加密，行级访问控制，密态计算。能够满足政企&金融级客户的核心安全诉求。 健全的工具与服务化能力 云数据库GaussDB 已经拥有云服务商用服务化部署能力，同时支持DAS、DRS等生态工具。有效保障用户开发、运维、优化、监控、迁移等日常工作需要。

本文将为您介绍删除策略的操作步骤,用户可删除不再使用的备份策略。 操作场景 用户可以删除不再使用的备份策略。 注意 删除策略后，其绑定的云硬盘将无法按照策略继续执行备份。 前提条件 已创建至少一个备份策略。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘备份”，单击“备份策略”，进入云硬盘备份策略页签。 4. 单击待删除的备份策略所在行操作列的“更多”，单击“删除”。 5. 在弹出的确定删除弹窗中，点击“确定”，即可删除此备份策略。

概述 API调试功能允许开发者在云原生网关中测试和验证API的行为。通过调试界面，用户可以发送请求，查看响应，检查请求参数和返回数据。该功能帮助快速识别和解决问题，确保API的正确性和稳定性。调试支持不同环境的测试，增强了开发和维护的效率。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表，进入要查看的API详情。 4. 在上面导航栏，选择API调试，即可使用。

产品优势：极简部署、智能防护、可视可溯、丰富生态 极简部署 作为一款云SaaS服务，可以对公网资产、内部资产自动安全盘点，一键开启防护，支持原有安全策略一键导入，可随业务按需动态扩容。 智能防护 AI算法实时检测和拦截恶意流量；并通过自带的入侵防御引擎（IPS），对恶意流量进行实时检测和精准防御。 可视可溯 全场景流量日志、访问日志、入侵攻击日志记录，并通过报表分析呈现，支持审计及高级威胁溯源分析。 丰富生态 支持无缝集成第三方厂家威胁检测分析引擎，云上云下统一生态，客户原线下安全策略资产无缝平移。

云搜索服务的OpenSearch实例默认提供Cerebro，无需另外安装部署，即可实现Cerebro访问。 前提条件 已开通天翼云云搜索服务实例（1.2.0版本及以上）。 实例已绑定公网IP。具体可参考“实例公网访问”章节。 操作步骤 1. 登录云搜索服务控制台。 2. 在实例列表页，选择需要登录的实例，在操作列选择Cerebro，单击打开登录页。 3. 输入用户名和密码，用户名默认为admin，密码为创建实例时设置的管理员密码。 4. 使用自建Cerebro访问云搜索实例，应确保自建Cerebro与实例网络互通，连接实例填写

目的端类型 说明 参数配置 OBS 支持使用CSV或二进制格式批量传输大量文件到OBS。 参见 MRS HDFS 导入数据到HDFS时，支持设置压缩格式。 参见 MRS HBase CloudTable 支持导入数据到HBase，创建新HBase表时支持设置压缩算法。 参见 MRS Hive 支持快速导入数据到MRS的Hive。 参见 数据湖探索（DLI） 支持导入数据到DLI服务。 参见 数据仓库DWS 云数据库MySQL 云数据库SQL Server 云数据库PostgreSQL 支持导入数据到云端的数据库服务。 使用JDBC接口导入数据，参见 文档数据库服务（DDS） 支持导入数据到DDS，不支持导入到本地MongoDB。 参见 分布式缓存服务（DCS） 支持导入数据到DCS，支持“String”或“Hashmap”两种值存储方式。不支持导入数据到本地Redis。 参见 云搜索服务（CSS） 支持导入数据到云搜索服务。 参见

本节介绍如何连接已被黑洞的服务器。 操作场景 当服务器遭受大流量攻击时，AntiDDoS将调用运营商黑洞，屏蔽该服务器的外网访问。对于黑洞的服务器，您可以通过弹性云主机连接该服务器。 前提条件 登录账号已购买公网IP。 已获取弹性云主机的登录账号与密码。 已获取被黑洞的服务器的登录账号与密码。 约束条件 弹性云主机与被黑洞的服务器同地域且可正常访问。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“计算 > 弹性云主机”，进入弹性云主机管理界面。 4. 登录与被黑洞的服务器同地域且可正常访问的弹性云主机。 5. 连接黑洞状态的服务器。 连接黑洞服务器说明： 弹性云主机的操作系统 黑洞服务器的操作系统 连接方式 Windows Windows 使用mstsc方式登录黑洞状态的服务器。 1. 在弹性云服务器中输入“mstsc”，单击mstsc打开远程桌面连接工具。 2. 在“远程桌面连接”的对话框中，单击“选项”。 3. 输入待登录的云服务器的弹性公网IP和用户名，默认为“Administrator”。 4. 单击“确定”，根据提示输入密码，登录服务器。 Windows Linux 使用PuTTY、Xshell等远程登录工具登录服务器。 Linux Windows 1. 安装远程连接工具（例如rdesktop）。 2. 执行以下命令，登录黑洞状态的服务器。 rdesktop u 用户名 p 密码 g 分辨率 黑洞服务器绑定的公网IP地址 Linux Linux 执行以下命令，登录黑洞状态的服务器。 ssh 黑洞服务器绑定的公网IP

本节介绍了弹性云主机变更规格后网卡漂移怎么办的相关内容。 问题描述 以Linux操作系统为例，如果在变更规格后执行ifconfig命令发现云主机原来是eth0、eth1的网卡设备没有了，变成了eth2、eth3，说明云主机变更规格后发生了网卡漂移。 根本原因 出现网卡漂移的现象，是由于创建云主机使用的镜像的操作系统中打开了网卡保留规则，才导致该云主机变更规格后出现网卡漂移。 Windows操作系统云主机解决方法 Winsows操作系统云主机出现网卡链接名漂移问题，删除如下注册表下的目录，重启云主机即可解决网卡漂移问题。 HKEYLOCALMACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles HKEYLOCALMACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesUnmanaged Linux操作系统云主机解决方法 登录变更规格后的云主机，执行以下操作，并重启云主机，解决网卡漂移问题。 1. 执行以下命令，查看网络规则目录下的文件。 ls l /etc/udev/rules.d 2. 执行以下命令，删除网络规则目录下，文件名同时包含persistent和net的规则文件。 rm fr /etc/udev/rules.d/netpersistent.rules rm fr /etc/udev/rules.d/persistentnet.rules 3. 执行以下命令，查看initrd开头且default结尾的initrd映像文件，是否存在同时包含persistent和net的网络设备规则文件(以下命令中斜体内容请以实际操作系统版本为准)。 lsinitrd /boot/initrd2.6.32.120.7default grep persistentgrep net − 是，执行4和5。 − 否，结束，无需执行后续操作。 4. 执行以下命令，备份initrd映像文件(以下命令中斜体内容请以实际操作系统版本为准)。 cp /boot/initrd2.6.32.120.7default /boot/initrd2.6.32.120.7defaultbak 5. 执行以下命令，重新生成initrd映像文件。 mkinitrd 当类似Ubuntu等系统使用initramfs系统映像时，操作如下： 1. 执行以下命令，查看initrd开头且generic结尾的initramfs映像文件，是否存在同时包含persistent和net的网络设备规则文件。 lsinitramfs /boot/initrd.img3.19.025genericgrep persistentgrep net − 是，执行2和3。 − 否，结束，无需执行后续操作。 2. 执行以下命令，备份initrd映像文件。 cp /boot/initrd.img3.19.025generic /boot/initrd.img3.19.025genericbak 3. 执行以下命令，重新生成initramfs映像文件。 updateinitramfs u

产品简介 公网NAT网关能够为虚拟私有云内的云主机或者通过云专线接入虚拟私有云本地数据中心的服务器，提供网络地址转换服务，使多个云主机可以共享弹性IP访问Internet或使云主机提供互联网服务。 使用流程 NAT网关使用流程如下： 步骤一：购买弹性IP，用于绑定公网NAT网关的SNAT或DNAT规则。 步骤二：购买公网NAT网关，需指定公网NAT网关关联的VPC，并在需要使用公网NAT网关访问公网的主机子网的路由表中加入下一跳类型为NAT网关的路由（部分资源池需要执行该步骤）。 步骤三：配置SNAT或DNAT规则。

属性 名称 类型 必选项 默认值 有效值 描述 count integer 必须 count > 0 指定时间窗口内的请求数量阈值。 timewindow integer 必须 timewindow > 0 时间窗口的大小（以秒为单位），超过这个时间就会重置。 keytype string 可选 "var" ["var", "varcombination", "constant"] key 的类型。 key string 可选 "remoteaddr" 用来做请求计数的依据，详情参见key的使用小节。如果 key 的值为空，$remoteaddr 会被作为默认 key。 rejectedcode integer 可选 503 [200,...,599] 当请求超过阈值被拒绝时，返回的HTTP 状态码。 rejectedmsg string 可选 非空 当请求超过阈值被拒绝时，返回的响应体。 allowdegradation boolean 可选 false 当限流插件功能临时不可用时（例如，Redis 超时）是否允许请求继续。当值设置为 true 时则自动允许请求继续，默认值是 false。 showlimitquotaheader boolean 可选 true 是否在响应头中显示XRateLimitLimit 和XRateLimitRemaining （限制的总请求数和剩余还可以发送的请求数），默认值是true。 group string 可选 非空 配置同样的group 的 Route 将共享同样的限流计数器。 redishost string 当policy为redis时必填 当使用redis 限速策略时，该属性是 Redis 服务节点的地址。 redisport integer 可选 6379 [1,...] 当使用redis 限速策略时，该属性是 Redis 服务节点的端口。 redispassword string 可选 当使用redis 或者 rediscluster 限速策略时，该属性是 Redis 服务节点的密码。 redistimeout integer 可选 1000 [1,...] 当使用redis 或者 rediscluster 限速策略时，该属性是 Redis 服务节点以毫秒为单位的超时时间。 redisclusternodes array 当policy 为 rediscluster 时必填 当使用rediscluster 限速策略时，该属性是 Redis 集群服务节点的地址列表（至少需要两个地址）。 redisclustername string 当policy 为 rediscluster 时必填 当使用rediscluster 限速策略时，该属性是 Redis 集群服务节点的名称。 count说明 当使用本地计数策略，即policy设置为local时，count数值为每个网关节点的限流计数。整个集群的限流计数count 节点数； 当使用redis时，即policy设置为redis或rediscluster时，count记录在redis中，表示整个集群的全局限流计数。 key的使用说明 用来做请求计数的有效值。 key的类型 key的取值类型使用keytype标识，keytype支持三种值："var", "varcombination", "constant" keytype为"constant"时，那么 key 会被当作常量。 keytype为"var"时， key 会被当作变量名称。 keytype 为 "varcombination"，那么 key 会当作变量组。比如如果设置 "remoteaddr consumername" 作为 key，那么插件会同时受 remoteaddr 和 consumername 两个变量的约束。 例如，可以使用主机名（或服务器区域）作为关键字，以便限制每个主机名规定时间内的请求次数。我们也可以使用客户端地址作为关键字，这样我们就可以避免单个客户端规定时间内多次的连接我们的服务。 当前接受的 key如下： key keytype为var时填写 keytype为varcombination时填写 "remoteaddr"（客户端 IP 地址） remoteaddr $remoteaddr "serveraddr"（服务端 IP 地址） serveraddr $serveraddr 请求头中的值"XForwardedFor" httpxforwardedFor $httpxforwardedFor 请求头中的值"XRealIP" httpxrealip $httpxrealip "consumername"（consumer 的 username） consumername $consumername "serviceid" serviceid $serviceid

本页为您介绍DTS针对用户关键操作提供的日志管理功能。 功能介绍 天翼云数据传输服务DTS针对用户的关键操作和系统重要业务操作，提供了查看操作日志、及对接云审计和查看云审计日志的功能，帮助用户进行安全审计、故障排除、回顾操作流程、追踪错误等。 操作指引 查看DTS操作日志，请参见查看操作日志文档。 查看云审计日志，请参见查看云审计日志文档。

本小节介绍处理主机告警事件。 主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 注意 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 须知 : 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip。 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危 、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、处理告警事件。 注意 告警事件展示在“主机安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。 方式一：批量处理勾选的告警 任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“批量处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如下表所示。 方式二：处理单个告警 选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如下表所示。 处理告警事件说明 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“暴力破解”和“异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 有以下告警事件支持加入登录白名单。 暴力破解 异常登录 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。

本文介绍弹性文件服务与其他服务之间的关系。 弹性文件服务与其他云服务的关系如图所示： 弹性文件服务与其他云服务详细关系如下： 服务名称 弹性文件服务与其他服务之间的关系 相关内容 弹性云主机/物理机 文件系统不可独立使用，须挂载至同一VPC下的弹性云主机、物理机等计算服务后进行访问和读写。 挂载文件系统 容器 弹性文件服务可为容器应用提供共享存储，可以满足用户容器高可用和容器数据持久化存储及备份需求。 容器挂载文件系统 虚拟私有云 虚拟私有云VPC为弹性文件服务构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。计算服务无法访问不在同一VPC下的文件系统，使用弹性文件服务时需将文件系统和计算服务归属于同一VPC下。 创建文件系统 云监控 当用户开通了弹性文件服务后，无需额外安装其他插件，即可在云监控查看对应服务的性能指标，包括读带宽、写带宽和读写带宽等。 数据监控

本文主要介绍超高IO型Ir7 概述 超高I/O型弹性云主机使用高性能NVMe SSD本地磁盘，提供高存储IOPS以及低读写时延，您可以通过管理控制台创建挂载有高性能NVMe SSD盘的弹性云主机。 类型 CPU基频/睿频 CPU型号 Ir7 3.0GHz/3.5GHz 8378A 使用场景 超高I/O型弹性云主机适用于高性能关系型数据库 NoSQL数据库(Cassandra、MongoDB等)以及ElasticSearch搜索等场景 规格 表 Ir7型弹性云主机的规格 规格名称 vCPU 内存 （GiB） 网络最大带宽/基准带宽 （Gbps） 网络最大收发包 （万PPS） 网络连接数 （万） 网卡多队列数 网卡个数上限 本地盘 （GiB） 虚拟化类型 ir7.large.4 2 8 3/0.8 40 50 2 3 2 × 50 KVM ir7.xlarge.4 4 16 6/1.5 80 50 2 3 2 × 100 KVM ir7.2xlarge.4 8 32 15/3.1 150 100 4 4 2 × 200 KVM ir7.4xlarge.4 16 64 20/6.2 300 150 4 6 2 × 400 KVM ir7.8xlarge.4 32 128 30/12 400 300 8 8 2 × 800 KVM ir7.16xlarge.4 64 256 40/25 600 500 16 8 2 × 1600 KVM

本章节指导用户挂载已有数据的系统盘。 操作场景 系统盘目前支持离线挂载，即云主机处于“关机”状态，才可以挂载系统盘。 您可以在磁盘列表中查看磁盘属性，只有当磁盘属性为“启动盘”，并且磁盘状态为“可用”时，磁盘才支持挂载至云主机用作系统盘。 说明 卸载后的系统盘即为启动盘，根据您选择的挂载点不同，启动盘可以重新挂载给云主机用作系统盘或者数据盘。 操作步骤 1. 登录管理控制台。 2. 选择“专属存储 > 磁盘”。 进入“磁盘”页面。 3. 在磁盘列表，找到需要挂载的磁盘，单击“挂载”。 只有当磁盘属性为“启动盘”，并且磁盘状态为“可用”时，磁盘才支持挂载至云主机用作系统盘。 4. 选择磁盘待挂载的云主机，该云主机必须与磁盘位于同一个可用分区，并且处于“关机”状态，通过下拉列表选择“挂载点”。 说明 一个挂载点只能挂载一块磁盘。 5. 返回磁盘列表页面，此时磁盘状态为“正在挂载”，表示磁盘处于正在挂载至云主机的过程中。当磁盘属性由“启动盘”变为“系统盘”，状态为“正在使用”时，表示挂载至云主机成功。

本节简要介绍访问控制。 访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为子用户分配不同权限，从而避免与其他子用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA），在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。

本文介绍如何免密拉取CRS镜像。 对于天翼云容器镜像服务CRS的镜像，弹性容器实例ECI支持免密拉取，以提升效率和安全性。 前提条件 账号已经在容器镜像服务创建个人版或者企业版镜像仓库，并完成配置且上传所需的容器镜像。 容器镜像仓库服务文档参考：容器镜像服务文档。 配置说明 创建弹性容器实例时“选择镜像”，弹出的镜像选择页面选择所需镜像，即可实现自动免密拉取。

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list 否 返回结果数组 result[].cdnip string 否 是否属于天翼云ip，true（属于）;false（不属于） result[].roomaddress string 否 机房地址 result[].nodelevel string 否 节点层级，1（全国中心）；2（区域中心）；3（省边缘）；4（地市边缘） result[].areaenname string 否 所属城市英文名称 result[].areacnname string 否 所属城市中文名称 result[].ispName string 否 运营商 result[].ipv4 string 否 ipv4地址 result[].ipv6 string 否 ipv6地址

本文介绍源站HTTPS证书与CDN节点HTTPS证书更新的关联关系。 天翼云CDN加速支持在用户请求边缘节点和CDN节点回源时分别设定是否启用HTTPS。在边缘节点启用HTTPS时CDN节点作为服务端，在回源节点启用HTTPS时CDN节点作为客户端，源站作为服务端。一般情况下源站证书与边缘节点证书是各自独立部署的，按对应证书的有效期独立更新即可。源站证书由客户在源站更新，CDN边缘节点证书需客户在CDN控制台上传新证书并更新。

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list< object> 否 返回结果数组 result[].cdnip string 否 是否属于天翼云ip，true（属于）;false（不属于） result[].roomaddress string 否 机房地址 result[].nodelevel string 否 节点层级，1（全国中心）；2（区域中心）；3（省边缘）；4（地市边缘） result[].areaenname string 否 区域名称 result[].areacnname string 否 区域中文名称 result[].ispName string 否 运营商 result[].ipv4 string 否 ipv4地址 result[].ipv6 string 否 ipv6地址

天翼云域名无忧通过SaaS方式接入无需任何主机部署。本小节介绍域名无忧功能特性。 域名备案 对域名进行备案处理，后台审核通过后，对备案的域名可以进行监控、刷新等业务操作。 域名监控 监控电信所有省份DNS服务的解析结果。 域名告警 对域名监控的解析结果与预设置的解析结果范围进行比对，如果发现域名异常，则触发域名告警，并给出告警的详细信息。 域名刷新 域名刷新对位于电信的DNS服务器进行清除缓存操作。

方向 授权策略 类型 协议 端口范围 目的地址/源地址 说明 出方向 允许 IPv4 Any Any 0.0.0.0/0 允许所有IPv4类型的出站流量的数据报文通过。 出方向 允许 IPv6 Any Any ::/0 允许所有IPv6类型的出站流量的数据报文通过。 入方向 允许 IPv4 Any Any 默认安全组ID (例如：sgxxxxx) 允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv6 Any Any 默认安全组ID (例如：sgxxxxx) 允许安全组内的云服务器彼此通信，丢弃其他入站流量的全部数据报文。 入方向 允许 IPv4 TCP 22 0.0.0.0/0 允许所有IPv4地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv6 TCP 22 ::/0 允许所有IPv6地址通过SSH远程连接到Linux云服务器。 入方向 允许 IPv4 TCP 3389 0.0.0.0/0 允许所有IPv4地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv6 TCP 3389 ::/0 允许所有IPv6地址通过RDP远程连接到Windows云服务器。 入方向 允许 IPv4 ICMP Any 0.0.0.0/0 使用ping程序测试云服务器之间的通讯状况。

安装ICAgent时，可以选择创建IAM委托方式，通过委托授权，ICAgent可以自动获取AK/SK（访问密钥），生成ICAgent的安装命令。 操作步骤 1. 登录控制台，选择“服务列表 > 管理与部署 > 统一身份认证”。 2. 在“统一身份认证”页面中，单击“委托”，进入委托页面。 3. 单击右上角“创建委托”，参考下表设置参数。 表 创建委托 名称 说明 委托名称 标识该委托代理的名称，示例：ltsecmtrust。 委托类型 选择“云服务” 委托的账号 请输入受信任的账号名称 持续时间 选择“永久” 描述 可选参数，用于补充说明该委托代理的详细信息。 权限选择 在“权限选择”区域，单击当前region（进入云日志服务时选择的region）所在行的“修改”。 在“可选择策略”搜索“LTS Admin”和“APM Administrator”并选择。 单击“确定”，委托授权成功。 4. 单击创建委托页面下方的“确定”，委托创建成功。 委托生效 1. 选择“服务列表 > 计算 > 弹性云服务器”，进入“弹性云服务器”页面。 2. 单击ICAgent所在的弹性云服务器名称，进入弹性云服务器参数配置页面。 3. 在“委托”选择已创建的委托名称，确认后即可生效。 4. （可选）如果您新购买的虚拟机需要设置委托，请在“购买弹性云服务器”页面，“高级配置”中选择“现在配置”，在“委托”中选择已创建的委托名称。待剩余参数配置完成后，单击“立刻购买”即可。

用户可以根据实际情况删除无用的备份以节省空间和成本。 背景信息 云主机备份支持两种方式删除备份：手动删除和过期自动删除。过期自动删除备份可以通过设置备份策略中的保留规则来实现。 前提条件 至少存在一个备份。 备份的状态为“可用”或者“错误”。 操作步骤 1. 登录云主机备份管理控制台。 a. 登录管理控制台。 b. 选择“存储 > 云主机备份”。 2. 选择“备份”页签，找到云主机所对应的备份。 3. 单击备份所在行的“更多”>“删除”，或批量勾选需要删除的备份，单击左上角的“删除”。 4. 根据界面提示，单击“确定”。

事件类型 说明 创建失败 指未能成功处理的请求。对于创建失败的任务，系统会自动回退，同时在界面上直观的展示错误码，例如“（Ecs.0013）EIP配额不足”。 操作失败 变更规格用户申请变更规格后，如果规格变更失败，则“失败信息”栏将显示本次变更规格操作。创建弹性云主机时开启自动恢复功能用户创建弹性云主机时，如果设置启动自动恢复功能，但是弹性云主机创建成功后，系统开启自动恢复功能失败。此时，“失败信息”栏将显示本次创建弹性云主机的操作。

根据云下一代防火墙部署逻辑说明，本安全产品上线前有如下安全风险需关注： 业务中断风险 云下一代防火墙上线需要割接弹性IP绑定位置，操作弹性IP解绑和重新绑定业务会中断。 处理建议 请先内部申请业务空窗期，保障将业务影响降到最低。 端口暴露风险 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 处理建议/案例 安全组防护云下一代防火墙管理端口10443。 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 其次，点击【配置规则】下的【入方向规则】。在规则配置中选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段，例如限制为您公司办公网络。

本文为您介绍云审计产品的定义。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建注册配置中心/云原生网关实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通注册配置中心/云原生网关实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问注册配置中心/云原生网关实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：注册配置中心/云原生网关的实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问注册配置中心/云原生网关实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本节介绍了DDoS高防（边缘云版）服务协议。 DDoS高防（边缘云版）服务协议，详情请参见[](

云主机备份在支持崩溃一致性备份的基础上，同时支持数据库备份。文件/磁盘数据在同一时间点，通过数据库备份内存数据，能够保证应用系统一致性，如包含MySQL或SAP HANA数据库的弹性云服务器。 约束与限制 暂不支持集群的应用一致性，如MySQL Cluster，只支持单个服务器上应用的一致性。 建议在业务量较小的时间段执行数据库备份。 操作步骤 步骤1、登录云服务备份管理控制台。 1.登录管理控制台。 2.单击管理控制台右上角的，选择区域和项目。 3.选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、根据创建数据库备份规格的存储库。在数据库备份选项，需要勾选启用。 步骤3、将已安装Agent的云服务器，绑定至数据库备份类型的存储库上。根据创建云主机备份。 步骤4、若数据库服务器备份创建成功，则在备份列表中的备份名称可以旁边看到一个蓝色的“A”字样。 步骤5、若数据库服务器备份创建失败，则系统会自动创建服务器备份，同时存放于该数据库备份存储库中。在备份列表中的备份名称旁边可以看到一个灰色的“A”字样。可以在备份详情页中“管理信息”一栏查看数据库服务器备份失败的原因。 根据页面提示，返回云主机备份页面。若备份执行失败，可以根据任务页面的失败详情进行处理。