本文介绍如何使用Nginx镜像创建实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

本章介绍天翼云关系型数据库的产品有哪些使用约束和限制。 关系型数据库服务上的RDS for PostgreSQL在使用上有一些固定限制，用来提高实例的稳定性和安全性，具体详见下表。 功能 使用限制 :: 数据库访问 如果关系型数据库实例未开通公网访问，则该实例必须与弹性云主机处在同一个虚拟私有云内才能相互访问。 关系型数据库只读实例必须创建在与主实例相同的一个子网内。 弹性云主机必须处于目标关系型数据库实例所属安全组允许访问的范围内。 如果关系型数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在关系型数据库的安全组添加一条“入”的访问规则。 RDS for PostgreSQL实例的默认端口为5432，需用户手动修改端口号后，才能访问其他端口。 部署 实例所部署的弹性云主机，对用户都不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的root权限 创建实例页面只提供管理员root用户权限。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 搭建数据库复制 RDS for PostgreSQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备实例不对用户开放，用户应用不可直接访问。 重启RDS实例 无法通过命令行重启，必须通过关系型数据库服务的管理控制台操作重启实例。

本节介绍了SSH密码方式登录的操作场景、前提条件、本地使用Windows操作系统登录流程、本地使用Linux操作系统。 操作场景 本节操作介绍在Windows和Linux环境中使用SSH密码方式远程登录Linux云主机的操作步骤。 前提条件 弹性云主机状态为“运行中”。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 如果Linux弹性云主机采用密钥方式鉴权，已获取root用户的密码，具体操作请参见获取Windows弹性云主机的密码。 所在安全组入方向已开放22端口，配置方式请参见配置安全组规则。 使用的登录工具（如PuTTY）与待登录的弹性云主机之间网络连通。例如，默认的22端口没有被防火墙屏蔽。 本地使用Windows操作系统 如果本地主机为Windows操作系统，可以按照下面方式登录云主机。 下面步骤以PuTTY为例。 1. 在以下路径中下载PuTTY和PuTTYgen。 2. 运行PuTTY。 3. 单击“Session”。 a. Host Name (or IP address)：输入云主机的弹性IP。 b. Port：输入 22。 c. Connection Type：选择 SSH。 d. Saved Sessions：任务名称，在下一次使用putty时就可以单击保存的任务名称，即可打开远程连接。 图 单击“Session” 4. 单击“Window”，在“Translation”下的“Received data assumed to be in which character set:”选择“UTF8”。 5. 单击“Open”。 如果首次登录服务器，PuTTY会显示安全警告对话框，询问是否接受服务器的安全证书。单击“是”将证书保存到本地注册表中。 6. 建立到云主机的SSH连接后，根据提示输入用户名和密码登录云主机。 说明 如果是公共镜像（包括CoreOS），首次登录时，登录用户名、密码如下： 用户名：root 密码：购买云主机时，您设置的密码

本节介绍如何通过告警中心查看所有入侵检测模块的告警信息。 告警中心用于汇总展示所有入侵检测模块的告警信息，帮助用户快速了解整体安全告警概况。包括需紧急处理的告警、待处理告警、已处理告警；存在告警的服务器、已隔离文件、已拦截IP。 前提条件 入侵检测防护模块已开启防护，详细操作请参见安全配置。 查看告警 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。 3. 在页面右上角选择查询告警的时间范围。 支持选择固定周期：最近24小时、最近3天、最近7天、最近30天。 也可以自定义时间范围，自定义只能选择30天范围内。 4. 查看告警统计信息。页面上方展示所有入侵检测模块告警的统计情况。 统计项 说明 操作 需紧急处理的告警 展示在选择的时间范围内，告警等级为“高危”且“待处理”告警数量。 单击“需紧急修复的告警”的数值，页面下方告警列表将展示告警等级为“高危”且“待处理”的告警。 待处理告警 展示在选择的时间范围内，所有的“待处理”告警个数统计。 单击“待处理告警”的数值，页面下方告警列表将展示所有“待处理”的告警。 已处理告警 展示在选择的时间范围内，所有的“已处理”告警个数统计。 单击“已处理告警”的数值，页面下方告警列表将展示所有“已处理”的告警。 存在告警的服务器 展示在选择的时间范围内，存在告警的服务器个数（展示去重后的个数）。 单击“存在告警的服务器”的数值，页面下方告警列表将展示“待处理”的告警，且每个服务器只展示一条告警（告警展示优先级按照告警等级进行展示，高>中>低，相同等级按照时间最近展示）。 已隔离文件 展示在选择的时间范围内，已隔离的文件个数（展示去重后的个数）。 单击“已隔离文件”的数值，页面下方告警列表将展示“已处理”的告警，且每个文件只展示一条告警（按照时间最近优先展示）。 已拦截IP 展示在选择的时间范围内，暴力破解阻断状态为“阻断成功”的IP个数（展示去重后的个数）。 单击“已拦截IP”的数值，页面下方告警列表将展示“已处理”的告警，且每个IP只展示一条告警（按照时间最近优先展示）。 5. 选择攻击阶段分类，支持根据“ATT&CK攻击阶段”查看攻击阶段信息。 ATT&CK攻击阶段 说明 初始入口 攻击者尝试进入您的网络或系统。 代码执行 攻击者成功进入您的系统，尝试运行恶意软件或命令，以进一步控制系统或窃取数据。 持久化 攻击者采取措施以确保其在系统中的持久存在，以便在需要时重新访问或继续攻击。 可能涉及设置后门、修改系统配置、利用系统漏洞等。 权限提升 攻击者尝试从普通用户权限提升为管理员或系统权限，以便控制整个系统。 防御绕过 攻击者尝试使用各种技术来绕过安全防御措施，避免被检测到。 如使用混淆加密技术对恶意软件进行二次封装、利用系统漏洞进行攻击等。 凭据窃取 攻击者收集系统中的敏感数据，如账号名称和密码。 发现 发现攻击者攻击IP、攻击类型以及扫描的端口。 命令与控制 攻击者尝试建立与被攻击机器的通信渠道，以便远程控制机器上的恶意软件或执行其他攻击操作。 影响破坏 攻击者利用收集到的数据或控制的系统，尝试对您的系统造成损害，如数据泄露、系统瘫痪等。 6. 查看告警信息 参数 说明 紧急程度 告警的紧急程度，包括紧急、可疑、提醒。 告警名称 攻击类型的告警名称。 告警摘要 告警内容的简要描述。 告警类型 告警的类型，包括异常登录、暴力破解、后门检测、可疑操作、反弹Shell、进程提权、WebShell、端口蜜罐等。 影响资产 受影响的服务器，展示名称和IP地址。 攻击阶段 ATT&CK攻击阶段，包括初始入口、代码执行、持久化、权限提升、防御绕过、凭据窃取、发现、收集、命令与控制、影响破坏。 最新发现时间 告警发现时间。 状态 告警的处理状态，可分为两大类：未处理、已处理。 其中已处理细分为：已加白、已忽略、已隔离、已拦截。

本文介绍AOne会议服务不同套餐版本支持的功能情况。 套餐和版本概述 天翼云AOne会议服务支持包年包月计费模式。天翼云AOne会议服务套餐版本分为：免费版、标准版、旗舰版。 套餐版本 免费版 标准版 旗舰版 价格 0 78元/月/账号 129元/月/账号 适用场景 企业免费体验 适用于中小企业基本办公，高性价比 适用于中大企业办公，全能力开放 高级账号可购数量 15个 19999个 19999个 云会议室容量 10人 100人 300人 单场会议时长 不限时（单场会议时长不超过724小时） 不限时（单场会议时长不超过724小时） 不限时（单场会议时长不超过724小时） 云录制空间 1GB高级账号数 100GB高级账号数 600GB高级账号数 企业可导入用户数 固定为10个 10个高级账号数 10个高级账号数 每月赠送短信数 固定为30条 50条高级账号数 50条高级账号数 智能录制 每月两次/高级账号 不限次数 不限次数 例如，订购标准版5个高级账号，总计可导入50个用户账号，其中5个用户可设置为高级账号，可发起会议，其余45个用户为免费账号，免费账号无法发起会议。 此外，每月赠送250条短信，短信主要用于用户登录/重置密码时接收验证码进行身份认证，如超过限额，建议更换使用邮箱接收验证码。

本文为您介绍了客户支持计划的优势。 客户支持计划为客户提供专属服务标识、专属服务团队、专享绿色通道、专享服务权益，帮助客户安心上云，放心用云，专心基于天翼云产品创造业务转型新价值。 支持计划级别 专属服务权益 适用场景 : 轻量级 专属绿色通道：VIP专席快速响应，专属IM群高效沟通，工单加急处理，高级技术工程师专业支持 个人客户、中小型企业客户云部署场景，要求较高的响应速度 商业级 专属绿色通道：VIP专席快速响应，专属IM群高效沟通，资深技术工程师专业支持 专享服务权益：围绕关键场景，提供资源健康诊断、重大活动保障、客户声音聆听等增值服务 中大型企业客户多种类较大规模云部署场景，要求较高的问题响应速度，业务可用性要求较高 企业级 专属绿色通道：VIP专席快速响应，专属IM群高效沟通，技术专家专业支持 专享服务权益：围绕全生命周期场景，提供资源健康诊断、架构优化咨询等专业技术服务之外，更有定制服务月报、定期拜访交流、管家式备案服务、受邀品牌活动等独享增值服务 大型企业客户多种类超大规模云部署场景，要求很高的问题响应速度，业务可用性要求高

操作说明 本方案基于天翼云 ROS（资源编排服务）控制台，采用 Terraform Module 模块化设计，实现赛事用云主机全流程自动化批量部署。用户仅需导入模板、配置核心参数，即可一键完成 VPC、子网、安全组规则、云主机、弹性 IP 等全套网络与计算资源的自动化创建，全程无需手动操作。 通过模块化封装，方案支持灵活自定义可用区、网络网段、实例规格及部署数量，同时内置安全密码自动生成能力，可满足网络安全赛事、攻防演练、CTF 竞赛等场景下的多组别隔离、环境统一与快速交付需求，实现资源部署高效化、运行环境标准化、运维管理轻量化，为各类赛事靶机环境提供稳定、便捷的规模化交付能力。 适用场景 网络安全赛事靶机批量快速开通与统一部署 多组别、多题型竞赛环境的标准化网络搭建 攻防演练、CTF 赛事多镜像靶场环境一致性交付 临时赛事训练、演示环境快速创建与赛后一键回收 需自定义网段、靶机规格与资源隔离的规模化赛事场景 核心能力 在 ROS 控制台中： 导入模板（基于 Terraform 语法适配） 核心参数配置：配置实例数量（instancecount）、可用区选择、镜像、云主机规格等等 一键创建资源栈 即可自动完成： 多VPC和子网自动创建与分配 N 台云主机批量创建 弹性公网 IP 自动绑定 符合安全规范的随机密码自动生成 同时支持一键删除资源栈，实现全量资源自动回收

操作步骤 说明 步骤1：创建TaurusDB实例 选择TaurusDB的基础配置、高级配置信息，购买数据库实例。 步骤2：创建ECS 通过MySQL客户端连接数据库实例时，必须先准备一台服务器，在服务器上安装MySQL客户端并执行连接命令。 购买Linux ECS，并确认ECS实例与TaurusDB实例在同一区域、同一VPC内。 步骤3：测试连通性并安装MySQL客户端 测试ECS到TaurusDB实例内网IP和端口的网络连通性，并在ECS上安装MySQL客户端。 步骤4：使用MySQL客户端连接TaurusDB实例 使用命令行通过内网IP和端口连接TaurusDB实例。

本节介绍服务器安全卫士（原生版）与其他云服务关系。 统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本文主要介绍智能边缘云资源实例退订的方式。 自助退订 如果您的资源实例确认不再需要，请在ECX控制台的对应类型资源板块，进行自助退订、删除或销毁操作。涉及计费的资源也可以在【天翼云官网>我的>费用中心>订单管理>退订管理】操作退订，也可以联系客户经理进行退订。 资源实例一旦被退订，将无法恢复，请提前导出、备份您的资源，避免造成损失。 实例到期 包年包月资源到期后，将被冻结无法使用，并在15天后自动释放，具体时间以您收到的邮件或短信提示为准。为避免影响您的正常使用，请及时在【天翼云官网>我的>费用中心>订单管理>续订管理】，手动续订或开通自动续订。 账户欠费 若您的账户出现欠费，按需计费的资源将被冻结无法使用，并在15天后自动释放，具体时间以您收到的邮件或短信提示为准。为避免影响您的正常使用，请确保账户余额充足。 如遇欠费，请及时充值，欠款缴清后，实例将被自动解冻。充值完成后，请在ECX控制台检查实例的运行和绑定状态，部分产品解冻后可能需要手动开机或重新绑定以恢复运行。 包年包月资源为预付费，不受账户欠费影响。

本文汇总了密钥管理产品管理类常见问题。 是否可以导出用户主密钥？ 不可以。为确保用户主密钥的安全，用户只能在KMS中创建，并通过API接口调用实现加密等操作，无法导出用户主密钥。 创建密钥时，若您选择密钥材料来源于天翼云，则KMS系统会自动为用户主密钥生成密钥材料，且密钥材料无法单独删除、不可导出，仅支持随用户主密钥一并删除； 创建密钥时，若您选择密钥材料来源于外部，则支持手动删除密钥材料。 哪些云服务支持密钥管理系统加密数据？ KMS服务无缝对接云硬盘、对象存储和弹性文件、数据库产品，提供服务端加密能力。您只需要在创建云硬盘时，勾选“加密”功能，则可一键开启硬盘加密功能，加密过程透明无感知。 产品底层通过信封加密的方式，实现云产品中数据的加密。 用户自建主密钥与默认主密钥有何区别？ 用户主密钥：是用户通过控制台或 API 来创建的用户主密钥。您可以对用户密钥进行创建/设置别名/上传自带密钥材料/启用/禁用/轮转/版本管理/删除等操作。用户主密钥按照标准资费进行计费。 默认主密钥：是用户首次通过云服务调用KMS实现加密时，由系统自动生成的主密钥，别名以云产品命名，如“alias/ecs”。不支持禁用/删除/轮转/上传自带密钥材料等操作。默认主密钥免费提供密钥管理服务，API调用费与用户主密钥一同统计收费。

天翼云云日志服务等级协议

本文介绍弹性公网IP(Elastic IP Address,简称EIP)通提升配额、创建配额模板等操作的路径。 背景信息 天翼云配额中心是用于集中管理天翼云服务配额的服务。它目前已经接入多个天翼云服务，其中包括EIP。如果您需要在一个界面统一管理所有云服务的配额，推荐您使用配额中心。 使用限制 默认情况下只有天翼云主账号可以在配额中心执行操作。如果您需要使用子账号执行管理操作，请先为该用户授予管理配额的权限。 查看配额 登录天翼云配额中心，即可查看相关服务的配额情况。 提升配额 您可在服务配额页面右上角，单击“申请扩大配额”。

本文帮助您了解对象存储接入管理( VPC)功能的操作步骤。 操作场景 通过在接入管理（VPC）功能中添加子网，您可以实现同一资源池中的云主机通过内网访问ZOS。 约束与限制 需进行接入管理的资源池 ：上海7、南京3、南京5、杭州2、合肥2、九江、广州6、武汉4、福州25、厦门3、郴州2、海口2、北京5、雄安2、石家庄20、内蒙6、晋中、辽阳1、西安5、乌鲁木齐4、乌鲁木齐27、中卫5、兰州2、西宁2、拉萨3、昆明2、重庆2、成都4、贵州3、上海33、宁波边缘云。以上资源池内网默认不互通，故需要通过接入管理配置与对象存储内网互通的云主机所在的VPC和子网。 无需进行接入管理的资源池 ：华东1、上海36、南昌5、青岛20、武汉41、长沙42、长沙37、南宁23、北京行业云20、华北2、西南1、上海32。以上资源池云主机默认与对象存储内网互通，无需接入管理即可实现内网访问。 添加子网后，请重启云主机或网卡。 如果没有可用的VPC，需先创建VPC。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择广东广州6。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台右上角点击“接入管理(VPC)”。 5. 点击“添加VPC”，选择需要与对象存储内网互通的云主机所在的VPC和子网，点击“确定”。 6. 添加成功后，控制台可查看已经添加过的VPC和子网。 7. 添加VPC和子网后，重启云主机网卡，便可通过内网地址访问ZOS。

本文以strongSwan为例介绍如何在本地数据中心的网关设备中添加VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完VPN网关后，您还需在本地数据中心的网关设备中添加VPN配置。 场景示例 本文以上图场景为例。某公司在天翼云拥有一个VPC，VPC网段为192.168.10.0/24，VPC中使用弹性云主机部署了应用服务。同时该公司在本地拥有一个数据中心IDC，本地IDC网段为172.16.2.0/24。公司因业务发展，需要本地IDC与云上VPC互通，实现资源互访。该公司计划使用IPsec VPN产品，在本地IDC与云上VPC之间建立IPsec连接，实现云上和云下的互通。 本文涉及的网络配置请参见下表。 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 前提条件 已下载IPsec连接的配置。 已在天翼云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。 本文IPsec连接的配置如下表所示。 配置项 示例值 预共享密钥 aa123bb IKE配置 IKE版本 IKEv1 IKE配置 协商模式 main IKE配置 加密算法 AES128 IKE配置 认证算法 SHA1 IKE配置 DH分组 Group2 IKE配置 SA生存周期（秒） 86400 IPsec配置 加密算法 AES128 IPsec配置 认证算法 SHA1 IPsec配置 PFS DH group2 IPsec配置 SA生存周期（秒） 3600

本节为您介绍物理机服务常见的计费类问题。 物理机退订时怎么扣费？ 物理机在退订时根据扣费场景不同扣费金额不同，退订场景主要包含七天无理由全额退订和非七天无理由退订以及其他退订，退款金额会退回账户余额。 关于退订的更多规则请参见退订规则说明。 物理机资源到期冻结后，如何解冻？ 当物理机资源被冻结后，用户可通过续费来解冻资源，恢复物理机正常使用。 当物理机资源到期而未续订时，物理机资源将自动进入保留期且资源被冻结。您不能访问和使用该资源，例如无法下载物理机中的数据。系统也会发送短信及邮件提醒您。建议您尽快进行手动续订，如果保留期内不续订，物理机资源将被释放，同一订单内订购的资源也会被释放（弹性IP、云硬盘等）。 已经到期的包月物理机允许续订、不能发起退订，未到期的包月物理机可以退订。 资源到期冻结时：资源将被限制访问和使用，会导致您的业务中断。 资源续订解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。 物理机退订后多久释放？ 物理机退订后的资源将被以冻结形式保留15天，15天过后进行释放。 在此期间，业务将被中断，用户无法进行其他任何操作，请确认之后再执行退订物理机。 如果不想等待15天的冻结期，可在控制台发起立即销毁。

本文为您介绍云容灾的使用限制。 使用云容灾服务前，请您先了解本章节中描述的使用限制。 限制项 说明 单用户单个资源池客户端数量 默认配额为20。可提交工单修改，最大支持200。 受保护服务器的CPU&内存 受保护的服务器规格不能小于2CPU+4GB内存。 物理机 不支持物理机。 磁盘 建议源端机器磁盘保持15%的空闲空间，以保证容灾复制的稳定性。 建议为数据盘格式化好文件系统再开始进行复制。若数据盘上无文件系统，则需要在系统盘中预留数据盘容量15%大小的空闲空间。 当磁盘发生变化的时候会导致复制错误，如磁盘容量、数量变更需要重新建立复制关系。 文件系统 目前支持的文件系统列表： EXT4 XFS 故障切换 故障切换之后需要重新建立复制关系。 其他限制 使用过程中： 不可删除vpc对等连接。 不可删除vpc终端节点。 不可操作复影云主机（如修改，关机，删除等）。

本文档指导您如何在Nginx服务器上安装SSL证书。 前提条件 已在当前服务器中安装配置 Nginx 服务。 已购买证书并且已获取到证书相关文件。 安装前准备文件 在证书管理服务控制台的证书管理页选择您需要安装的证书，选择“证书下载”。 在弹出的 “证书下载” 窗口中，服务器类型选择 Nginx，单击“下载”并解压缩包至本地，文件内包含下述2个文件： Cert证书公钥：XXXX.cncertchain.pem 私钥文件：XXXX.cnkey.key 操作步骤 1. 将已获取到的“XXXX.cncertchain.pem”证书文件和“XXXX.cnkey.key”私钥文件从本地目录复制到服务器的Nginx目录下。 2. 编辑 nginx.exe 所在目录下的 confnginx.conf 文件。修改内容如下： server { listen 443 ssl; servername qytest.zjrcbank.com; 这里是相当与是域名 sslcertificate /usr/nginxssl/server.crt; 证书文件 sslcertificatekey /usr/nginxssl/key.txt; 私钥文件 sslsessiontimeout 5m; sslprotocols TLSv1 TLSv1.1 TLSv1.2; sslciphers ECDHERSAAES128GCMSHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; sslpreferserverciphers on; location / { // 根据实际配置，和证书启用无关 } } 3. 配置修改完成后，输入如下命令启用Nginx： start .nginx.exe

本文是通过程序代码连接集群实例的Python示例。 本章节主要介绍通过Python语言的MongoDB客户端连接集群实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

查看需紧急修复的漏洞 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击“需紧急修复的漏洞”下方的数字，页面下方漏洞列表将筛选出修复优先级为“高”，待处理的漏洞。 修复漏洞 注意 主机系统在进行漏洞修复过程中，无论修复成功或者失败，都有一定风险将导致应用业务中断，因此建议您在修复漏洞前为云主机手动创建快照并进行测试，快照支持系统回滚，可进行恢复。 执行漏洞修复前，请确认对应操作系统发行版的软件源已配置好（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 内核漏洞修复成功后，需要重启服务器使新内核生效。针对Linux软件漏洞、Windows系统漏洞，可根据漏洞公告前的标签进行判断，若有“需要重启”标签，表示漏洞修复成功后，还需要重启云服务器。 一键自动修复 注意 购买企业版或旗舰版后，才支持一键自动修复漏洞。 WebCMS漏洞、应用漏洞暂不支持一键修复，请手动修复相关漏洞。 当漏洞处理状态为“未修复”、“修复失败”时，可执行“修复”操作。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 勾选漏洞列表中所有需要修复的漏洞，单击漏洞列表左上角的“批量修复”，一键批量修复漏洞。 4. 在修复对话框中，选择修复所需软件源、确认待修复的漏洞数量和影响资产数量。 软件源支持清华软件源、华为云软件源、阿里云软件源，也可以自配置软件源。若选择自配置软件源，请务必确认已在服务器上配置好对应操作系统发行版的软件源（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 您可以在修复对话框中查看漏洞公告、查看影响服务器数量。 5. 单击“确定”，开始自动修复漏洞。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报库功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 注意：目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持IP情报库相关功能。 背景信息 目前天翼云边缘安全加速平台安全团队通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则。 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高、中、低 严重级别：恶意IP的严重级别，有严重、高、中、低 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选

本文为您介绍模型推理服务相关协议。 天翼云为您提供模型推理服务平台服务协议，请您点击查看。 天翼云为您提供模型推理服务用户信息处理规则，请您点击查看。

ACL规则支持批量导入和导出,本文帮助您快速熟悉ACL规则的导入/导出。 操作场景 当您需要将已有的ACL规则做本地备份时，您可以选择将网络ACL规则导出为本地文件。 当您需要复用已有的ACL规则到另一个ACL中，您可以选择导出和导入ACL规则。支持跨区域导入和导出。 建议您每次导入少于20条的规则，否则可能会影响性能。导入规则是在原有规则基础上进行新增，不会删除已有规则，请注意ACL规则的配额限制。相同规则不允许重复导入。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 操作步骤 导出ACL规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击详情页的“导出规则”。 导入ACL规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击详情页的“导入规则”。 注意 1、对于可用区资源池来说，“导入规则”只有一个入口，您需要在导入文件中区分出/入方向规则； 2、对于地域资源池来说，入方向规则和出方向规则的导入入口不一样，您需要在相应的出/入方向规则页签下导入对应的规则。

同步AD域用户 云堡垒机通过配置AD认证“同步模式”，可一键同步AD域服务器上已有用户信息，无须手动创建用户。在用户帐号登录系统时，由AD域服务器提供身份认证服务。 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 认证配置”，进入远程认证配置管理页面。 3. 单击“AD认证配置”区域的“添加”，弹出AD认证配置窗口。 4. 选择AD域认证“模式”为“同步模式”，展开同步模式参数配置信息。 AD域同步用户参数说明 参数 说明 :: 服务器地址 输入AD域服务器地址。 状态 选择开启或关闭AD域远程认证，默认开启。 开启，表示开启AD域认证。在配置信息有效情况下，登录系统时启动AD域认证，或同步AD域用户。 关闭，表示关闭AD域认证。 SSL 选择开启或关闭SSL加密认证，默认关闭。 关闭，表示禁用SSL加密认证。 开启，表示启用SSL加密认证，将加密同步用户或认证用户所传输的数据。 模式 选择“同步模式”。 端口 AD域远程服务器的接入端口，默认389端口。 登录名 输入AD域服务器的帐户的登录名。 密码 输入AD域服务器的帐户的密码。 域 输入AD域的域名。 Base DN 输入AD域远程服务器上的基准DN。 部门过滤 输入AD域远程服务器上待过滤的部门。 用户过滤 输入AD域远程服务器上待过滤的用户。 登录名过滤 输入待过滤的用户登录名，过滤多个登录名用“ 姓名 输入AD域远程服务器上代表用户姓名的属性名，例如name。 邮箱 输入AD域远程服务器上代表用户邮箱的属性名，例如mail。 手机 输入AD域远程服务器上代表用户手机的属性名，例如mobile。 同步方式 选择同步AD域用户的方式，包括“手动同步”和“自动同步”。 手动同步：信息配置完成后，手动执行用户同步操作。 自动同步：信息配置完成后，按照配置自动执行用户同步。需同时配置“同步时间”、“同步周期”、“结束时间”。 目标部门 选择将用户帐号的所归属的系统部门。 更多 勾选“覆盖已有用户”。 勾选，表示覆盖同“登录名”的用户帐号，刷新用户信息。 不勾选，表示跳过同“登录名”的用户帐号。 5. （可选）如需选择同步AD域服务器中的用户，单击“下一步”，获取AD域服务器用户源部门结构。 默认开启“同步全部用户”。 勾选用户源上级部门，即该部门下级部门所有用户都将纳入导入源范畴。 开启“创建新部门”，根据AD域的部门结构，同步新建系统部门并同步部门中用户。 6. 单击“确认”，返回AD域认证服务器表中，即可查看和管理的AD认证配置信息。 7. 单击“立即同步”，立即启动同步AD域用户到云堡垒机，返回用户列表，即可查看同步的用户信息。

本章节介绍，当不需要启用数据库服务器备份功能时，如何卸载已经完成安装的Agent。 操作场景 该任务指导用户在不需要启用数据库服务器备份功能时，卸载Agent。 前提条件 已获取弹性云主机的登录帐号和密码。 卸载Linux版本Agent 步骤1、登录需要卸载Agent的弹性云主机，并执行su root 命令切换到root用户。 步骤2、在/home/rdadmin/Agent/bin目录下执行以下命令，卸载Agent。如下图所示。若出现绿色卸载成功字样，表示Agent卸载成功。 sh agentuninstallebk.sh 卸载Linux Agent成功 卸载Windows版本Agent 步骤1、登录需要卸载Agent的弹性云主机。 步骤2、在安装目录的bin目录下选中agentuninstallebk.bat双击打开，卸载Agent。 系统卸载Agent完成后，弹窗自动关闭，卸载成功。如下图所示。 卸载Windows Agent成功

配置SSH登录IP白名单 SSH登录IP白名单功能是防护帐户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 单一账号最多可添加10个SSH登录IP白名单。配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。 启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 IP加入白名单后，帐户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 1、选择“安装与配置 > 安全配置 > SSH登录IP白名单”，单击“添加白名单IP”。 2、在弹出的对话框中输入“白名单IP”，勾选需要生效的云服务器，可勾选多个服务器，确认无误单击“确认”，添加操作完成。 说明 “常用登录IP”必须填写公网IP或者IP段。如果设置的非公网IP地址，您将无法SSH远程登录您的服务器 单次只能添加一个IP，若需添加多个IP，需重复操作添加动作，直至全部IP添加完成。 3、返回“安装与配置 > 安全配置 > 常用登录IP”页面查看是否已新增，出现新增表示添加成功。 开启恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助您自动识别处理系统存在的安全风险。 1、选择“安装与配置 > 安全配置 > 恶意程序隔离查杀”，分别单击“恶意程序隔离查杀”和“恶意软件云查杀”的开关，开启“恶意程序隔离查杀”和“恶意软件云查杀”。 开启后将应用至企业主机安全全局服务器，但部分检测能力受主机安全配额版本的限制无法运行，若需正常使用，建议您开启企业版及以上版本更好的体验隔离查杀功能。 2、在弹出的对话框中单击“确认”，开启“恶意程序隔离查杀”和“恶意软件云查杀”。 自动隔离查杀有可能发生误报。您可以在企业主机安全控制台“入侵检测”页面中，选择“事件管理”页签，查看被隔离的恶意程序。在此您可以对指定的恶意程序执行取消隔离、忽略等操作。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 在“恶意程序隔离查杀”界面，如果不开启“恶意程序隔离查杀”功能，当HSS检测到恶意程序时，将会触发告警。 您可以在“入侵检测”的“安全告警事件”中，查看“恶意程序”中的告警信息，并对恶意程序进行隔离查杀。

场景说明 配置示例 VPC网段重叠，且全部子网重叠 此种场景下，不支持使用VPC对等连接。 VPC网段重叠，且部分子网重叠 此时无法创建指向整个VPC网段的对等连接，可以创建指向子网的对等连接，对等连接两端的子网网段不能包含重叠子网。 VPC网段重叠可能导致对等连接不生效 VPC网段重叠，且全部子网重叠 VPC网段重叠，且部分子网重叠 基于VPC对等连接，无法实现多个ECS共用EIP访问公网。 比如，在VPCA和VPCB之间创建对等连接，VPCA内的云服务器ECSA01绑定了EIP用来访问公网，此时VPCB内的云服务器ECSB01无法通过ECSA01的EIP访问公网。 VPC对等连接不支持共用EIP

本文介绍购买类常见问题。 云容器引擎服务与serverless容器服务的区别是什么？ 容器引擎将容器运行的集群资源也交付给了用户，用户能够感知到集群、节点的存在，能够对集群节点进行查看和管理，用户的操作权限及自由度更大，相应的也需要承担集群维护的责任。Serverless容器服务不涉及资源节点的管理，用户无法对集群节点进行操控，用户仅需要关注应用的运行。 说明： 关于云容器引擎服务产品的进一步详细信息可参照【产品定义】部分。 容器引擎是否需要购买镜像仓库？ 如若你开通了云容器引擎服务，云容器引擎平台将会提供一个免费的基础版镜像仓库供给用户使用，用户无需单独购买镜像仓库产品，也可以实现私有镜像的上传。若用户具有更高的需求，也可开通天翼云的容器镜像服务，服务目前为免费提供。 说明 ：镜像仓库的详细使用方式可参考容器镜像部分【创建容器镜像】。 云容器引擎常见的使用场景是什么？ 以下列举了几项使用云容器引擎的常见场景： 适用于传统IT架构渐进式转型的场景，实现单一架构解耦拆分为多个容器，系统更灵活，轻松应对市场变化。 适用于业务上线效率低下的场景，实现容器镜像贯穿从开发到运维各环节，统一环境配置，业务快速上线。 适用于访问量有明显波峰、波谷的应用，实现自动弹性伸缩，系统秒级自动弹性扩容，快速响应并发高峰。 适用于系统IT资源浪费严重的场景，使平均负载维持较高水平，每分钱都真正支持业务。 适用于复杂系统运维压力大的场景，基于容器服务实现自动化运维，基于实时日志快速问题定位，界面化操作和短信通知实现24小时自动监控。 说明： 更多场景应用可参考【应用场景】部分，或咨询客户。

手机令牌 通过“手机令牌”方式同时验证 登录名 、密码和 手机动态码 ，认证登录用户身份。 在使用手机令牌登录前，用户需通过密码登录系统，配置手机令牌绑定方式，并绑定手机令牌。再由管理员配置用户登录认证方式，选择“手机令牌”多因子认证。 手机短信 通过“手机短信”方式同时验证登录名 、密码和 短信验证码 ，认证登录用户身份。 用户帐号需先配置可使用手机号码，再由管理员配置用户登录认证方式，选择“手机短信”多因子认证。 USBKey 通过“USBKey”方式验证插入的USBKey和 PIN码 ，认证登录用户身份。 需先申购USBKey，签权绑定，再使用USBKey进行身份认证。 动态令牌 通过“动态令牌”方式同时验证登录名 、密码和 动态令牌 ，认证登录用户身份。 需先申购动态令牌，签权绑定，再使用动态令牌进行身份认证。 AD域认证 管理员配置AD系统认证方式，创建AD域认证用户或同步AD域服务器用户。使用“密码登录”方式验证AD域用户账户和密码时，通过Windows AD域服务器对系统用户进行身份认证。 基本原理：通过AD域系统终端代理使用第三方库执行认证业务。 IP：AD域服务器的IP地址。 端口：根据实际情选择，默认选择389端口。 域：AD域的域名。 RADIUS认证 管理员配置RADIUS系统认证方式，并创建RADIUS认证用户。使用“密码登录”验证RADIUS用户账户和密码时，通过RADIUS协议，由第三方认证服务器对系统用户进行身份认证。 基本原理：通过远程网络接入设备的 用户 ，与包含用户认证和配置信息的服务器之间，采用用户服务器模式交换信息标准，执行认证业务。 IP：RADIUS服务器的IP地址。 端口：根据实际情选择，默认选择1812端口。 认证共享密钥：RADIUS的认证密码。 测试：用RADIUS的帐号密码做测试。

使用场景 快照功能可以帮助您实现以下需求： 日常备份数据 通过对云硬盘定期创建快照，实现数据的日常备份，可以应对由于误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况。 快速恢复数据 应用软件升级或业务数据迁移等重大操作前，您可以创建一份或多份快照，一旦升级或迁移过程中出现问题，可以通过快照及时将业务恢复到快照创建点的数据状态。 例如，当由于云服务器A的系统盘A发生故障而无法正常开机时，由于系统盘A已经故障，因此也无法将快照数据回滚至系统盘A。此时您可以使用系统盘A已有的快照新创建一块云硬盘B并挂载至正常运行的云服务器B上，从而云服务器B能够通过云硬盘B读取原系统盘A的数据。 说明 当前通过快照回滚数据，只支持回滚快照数据至源云硬盘，不支持快照回滚到其它云硬盘。 快速部署多个业务 通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。这种方式既保护了原始数据，又能通过快照创建的新云硬盘快速部署其他业务，满足企业对业务数据的多元化需求。 快照原理 标准快照存储原理 标准快照是以数据块作为快照数据备份的最小粒度，快照分为全量快照和增量快照。为云硬盘创建的第一个快照为全量快照，全量快照包含创建快照时间点前云硬盘上的所有数据（数据块）；后续创建的快照均为增量快照，增量快照仅存储较上一个快照有变化的数据块。 全量快照和增量快照的元数据文件中会记录快照创建时间点前的所有数据块信息，因此通过任何一个快照回滚数据至云硬盘时，均可以恢复创建快照时间点前的所有云硬盘数据。 根据数据块的来源区分，快照元数据文件中包含三类数据块：继承数据块（继承于上一个快照的数据块）、修改数据块（较上一个快照有修改的数据块）、新增数据块（较上一个快照新增的数据块）。 快照的数据文件中只会存储较上一个快照有变化的数据块（修改数据块、新增数据块）。 如图所示，假设云硬盘在9:30和10:30均有数据写入，为了备份数据，在9:00创建快照1，在10:00创建快照2，在11:00创建快照3，创建快照原理如下： 9:00首次创建快照，快照1中包含云硬盘的所有数据，其中的数据块有A、B、C，快照1为全量快照。快照1的元数据文件中会记录云硬盘全量的数据块A、B、C。 随后写入数据，修改数据块A为A1，修改数据块B为B1，新增数据块D，10:00创建快照2，仅存储较快照1有变化的数据块A1、B1、D，快照2为增量快照。快照2的元数据文件中会记录云硬盘全量的数据块A1、B1、C、D，其中数据块C继承于快照1。 随后写入数据，修改数据块A1为A2，修改数据块C为C1，新增数据块E，11:00创建快照3，仅存储较快照2有变化的数据块A2、C1、E，快照3为增量快照。快照3的元数据文件中会记录云硬盘全量的数据块A2、B1、C1、D、E，其中数据块B1、D继承于快照2。

本文主要介绍与其他云服务的关系。 云审计（Cloud Trace Service） 云审计为您提供云服务资源的操作记录，记录内容包括您从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 当前CTS记录的操作，请参考支持云审计的操作列表。 虚拟私有云（Virtual Private Cloud） Kafka实例运行于虚拟私有云，需要使用虚拟私有云创建的IP和带宽。通过虚拟私有云安全组的功能可以增强访问Kafka实例的安全性。 弹性云主机（Elastic Cloud Server） 弹性云主机是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。Kafka实例运行在弹性云主机上，一个代理对应一台弹性云主机。 云硬盘（Elastic Volume Service） 云硬盘为云服务器提供块存储服务，Kafka的所有数据（如消息、元数据和日志等）都保存在云硬盘中。 云监控（Cloud Eye） 云监控是一个开放性的监控平台，提供资源的实时监控、告警、通知等服务。 说明 Kafka实例向CloudEye上报监控数据的更新周期为1分钟。 弹性公网IP（Elastic IP） 弹性公网IP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。Kafka实例绑定弹性公网IP后，可以通过公网访问Kafka实例。

本小节介绍云解析域名与DNS关联类常见问题。 域名更换注册商，是否会影响DNS解析？ 不影响。域名和DNS解析是独立的，域名更换注册商，并不代表DNS必须同时更换。 域名过期已完成续费，云解析是否支持快速恢复解析？ 不支持。一般域名过期续费成功后，需要等待2448小时恢复解析。 域名被注册商暂停解析，云解析DNS能解除锁定吗？ 不能。域名状态通常由注册商维护，如果您的域名状态是 Clienthold 或者 Serverhold，建议联系域名注册商处理。 备案与网站访问的关系？ ICP备案主要看您的网站等互联网信息服务解折到的服务器是否在中国内地(大陆)，如果服务器在中国内地(大陆)，必须完成ICP备案才可对外提供服务。 ICP备案与DNS解析的关系 域名解析与备案并无直接关联，网站是否备案并不影响域名解析的设置和解析的生效。但网站未备案或者备案中，会直接影响网站的访问与使用。 未备案或正在备案中，是否可以设置网站解析？ 可以。 DNS解析已生效，网站无法访问从ICP备案角度的排查方法？ 根据工信部要求，域名解析至中国内地服务器必须先完成网站备案，才能正常开通网站访问。建议尽快联系服务商备案。