协议 端口 类型 目的地址 说明 TCP 80 IPv4 100.125.0.0/16 用于从OBS桶下载Agent包到ECS或BMS中、获取ECS或BMS的元数据信息与鉴权信息。 TCP、UDP 53 IPv4 100.125.0.0/16 用于DNS解析域名，下载Agent时解析OBS地址、发送监控数据时解析云监控服务Endpoint地址。 TCP 443 IPv4 100.125.0.0/16 采集监控数据到云监控服务端。

微服务引擎专享版采用物理隔离的方式部署，租户独占微服务引擎，您可以根据业务需要创建使用。 前提条件 微服务引擎专享版运行于虚拟私有云，创建微服务引擎前，需保证有可用的虚拟私有云和子网。 如果引擎创建帐号权限为创建引擎的最小权限，如权限管理的“cse:engine:create”所示。则需要由管理员帐号为其预置VPC默认安全组cseenginedefaultsg，并添加如所示规则。 表 默认安全组cseenginedefaultsg规则说明 方向 优先级 策略 协议端口 类型 源地址 入方向 1 允许 ICMP : 全部 IPv6 ::/0 1 允许 TCP : 3010030130 IPv6 ::/0 1 允许 TCP : 3010030130 IPv4 0.0.0.0/0 1 允许 ICMP : 全部 IPv4 0.0.0.0/0 出方向 100 允许 全部 IPv4 0.0.0.0/0 100 允许 全部 IPv6 ::/0 操作步骤 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击“购买微服务引擎” 。 步骤 3 填写参数，其中带“”标志的参数为必填参数，参数说明如表所示。 表 参数说明 参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。须知“引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境；不支持变更引擎类型。 如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。 − 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。 描述 输入引擎描述信息。 单击 ，输入引擎描述信息。 单击，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。 选择“开启安全认证”： 1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。” 2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。 步骤 4 单击“下一步”，进入确认微服务引擎规格的页面。确认无误后，单击“提交”，开始创建微服务引擎。 创建微服务引擎专享版大约需要10~30分钟。 创建成功后，微服务引擎的“状态”为“可用”。 如果创建失败，可单击，在弹出菜单选择“重试”，重新创建。 如果重试失败，可以删除创建失败的微服务引擎。删除微服务引擎专享版，请参考删除微服务引擎专享版。 如果未及时删除重试失败的微服务引擎，会占用计算资源。系统会在UTC时间每日18:00统一清理资源。

本文通过图文说明新增证书的操作步骤。 功能介绍 Web应用防火墙（边缘云版）基于边缘云底座，HTTPS为边缘云网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在【证书管理】页面，找到右上角的添加证书按键。 3. 单击【添加证书】。 4. 输入证书备注名、证书公钥和证书私钥。 您需要提前准备好域名的证书文件和私钥文件。 需要准备的证书相关内容如下（上传时请确保证书有完整的证书链）： .crt（公钥文件）或.pem（证书文件） .key（私钥文件） 备注： 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，如果是其他格式，请自行转换为正确格式。

本章节主要介绍Ⅰ类型资源池的单机版实例订购入口下线的原因，影响和建议。 原因 为了进一步提升服务质量，为您提供更稳定、高效的数据库体验，天翼云关系数据库MySQL版计划于2025年6月25日00:00起，对Ⅰ类型资源池的单机版订购入口进行下线处理，届时您将无法新订购Ⅰ类型资源池的单机版实例。 影响 资源池范围 北京5、晋中、辽阳1、内蒙古6、石家庄20、杭州2、合肥2、九江、南京3、上海7、芜湖2、郴州2、佛山3、福州4、福州25、广州X节点、海口2、衡阳3、武汉4、乌鲁木齐4、乌鲁木齐27、西安3、西安4、西安5、中卫2、成都4、贵州3、昆明2、拉萨3、重庆2、帆豫智联、中卫5、西宁2等所有Ⅰ类型资源池（部分资源池于2025年5月30日下线整个订购页的入口，可参见关系数据库MySQL版相关公告）。 实例范围 新购实例：无法新订购上述Ⅰ类型资源池的单机版实例； 存量实例：存量单机版实例依然可使用续订，扩容，升级等功能。 建议 为享受更加出色的数据管理能力，助力业务快速发展。建议您在同地域Ⅱ类型资源池进行新实例开通和数据库管理工作，也可将Ⅰ类型资源池的实例数据通过数据传输工具迁移至Ⅱ类型资源池（具体可参考数据迁移 章节进行操作），体验更好的服务。

使用堡垒机 了解更多堡垒机相关操作内容，请下载阅读《云等保专区堡垒机 v1.0 用户指南》。 开启IPv6防护 堡垒机不支持IPv4和IPv6的切换。若需要开启IPv6防护，请确保在购买堡垒机资源时，所选子网已开启IPv6，否则需要重新购买。 购买堡垒机时，选择的子网已启用IPv6，则自动开启IPv6防护。 购买堡垒机时，选择的子网未启用IPv6，则需重新下单堡垒机，确保其所选子网已开启IPv6。详细操作请参见创建IPv4/IPv6双栈子网、购买云等保专区。

本文介绍如何通过Web应用防火墙（边缘云版）对HTTPS业务进行防护。 Web应用防火墙（边缘云版）所有套餐版本均支持防护HTTPS业务，详情可参考套餐和版本说明。 如您有防护HTTPS业务的需求，需要您在Web应用防火墙（边缘云版）控制台上传对应的证书，并在域名配置页面里面开启HTTPS并关联相关证书，详细操作步骤如下： 1、上传HTTPS证书 （1）在WAF控制台里面选择证书管理，并点击添加证书。 （2）在弹出的页面里面将证书的公钥私钥字符粘贴进相应的文本框，并设置证书备注名。 2、在新建域名配置的时候关联证书 （1）点击域名管理域名列表，在左上角点击 新增域名。 （2）新增域名配置的时候，勾选上HTTPS协议，并在下方关联域名证书。

本文为您介绍加载VPN网络实例的操作流程。 限制说明 创建VPN网关时，“本端类型” 类型必须选择 “云间高速”。 注意 仅天翼云 4.0 资源池中的VPN连接支持连接到云间高速。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，找到目标云企业路由器，单击目标云企业路由器名称，进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“加载本地网络实例”，进入加载本地网络实例页面。 6. 在加载本地网络实例页面，根据页面提示，填写参数，单击“确定”，完成网络实例加载。 参数 说明 云间高速 请选择已经创建的云间高速实例。 云企业路由器（区域） 请选择已经创建的云企业路由器实例。 资源归属 请选择资源归属类型“本账号”/“跨账号”。 关联路由表 请选择关联的路由表。 实例类型 请选择类型：“VPN网关”。 网络实例 请选择已经创建的VPN网关实例。 权重 （可选）配置链路路由权重，可输入类范围（0~255）。 链路冗余 （可选）是否启用冗余模式，若启用，需指定目标冗余组进行加入。同一冗余组内的网络实例默认隔离路由传播。 自动路由学习 自动传播网络实例系统路由至云企业路由器路由表（默认开启）。 自动路由同步 自动同步本侧云企业路由器关联路由表中的路由 （默认开启）。

本文介绍关系数据库MySQL版如何设置可维护时间段。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 注意事项 默认可维护时间段为02:00~06:00，您可以根据实际业务情况调整可维护时间段。其中，性能自动扩容、升级数据库内核小版本等可能造成闪断的功能，将在可维护时间段内进行。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在配置信息 区域，单击可维护时间段 参数右侧的设置。 5. 选择开始时间和结束时间，然后单击确定。

如果您的实例类型不能满足业务需求，您可以手动升级实例以提高实例性能，例如将单机升级至一主一备。本文介绍关系数据库MySQL版产品的系列升级功能。 前提条件 实例状态为运行中。 内核版本为最新。 注意事项 实例系列升级期间数据库服务将不可用，时间为5分钟左右（时间可能会根据网络等原因有所变化，以实际为准），建议您合理安排业务，谨慎操作。 系列升级后，数据库实例的节点信息发生变更，若实例已开启数据库代理，则需要在数据库代理页面重新设置节点权重，以刷新后端的节点信息。 系列升级过程中，新节点的数据初始化会对主节点带来额外的IO开销，可能会影响正常的业务SQL执行效率。建议您选择业务低峰期操作。 操作步骤 注意 关系数据库MySQL版产品系列升级支持： 单机升级至一主一备 单机升级至一主两备 一主一备升级至一主两备 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在操作 列选择更多 > 系列升级。 4. 在系列升级页面，对实例进行升级操作。

本文介绍了关系数据库PostgreSQL版的通用型性能测试结果。 压测场景 压测分两个场景进行，您可以根据自身数据量判断使用哪种场景。 最高性能：数据复制方式采用异步复制模式，适合数据持久性要求不高的场景，响应速度最快。 最高可用性（默认）：数据复制方式采用半同步模式，兼顾数据持久性和响应速度。 压测指标 压力测试的指标包括TPS和QPS。 关系数据库PostgreSQL版支持的IOPS取决于云硬盘的IO性能，具体请参见《云硬盘产品简介》中“产品规格”的内容。参考链接：云硬盘产品规格。 测试结果 以下测试结果仅供参考，建议开通实例进行实际测试。 最高性能模式 表1 CPU：内存1：2 CPU（core） 内存 TPS QPS 2 4 648 12960 4 8 1187 23755 8 16 1704 34083 表1 CPU：内存1：4 CPU（core） 内存 TPS QPS 2 8 716 14319 4 16 1234 24673 8 32 1725 34513 最高可用性模式 表1 CPU：内存1：2 CPU（core） 内存 TPS QPS 2 4 604 12080 4 8 1096 21929 8 16 1472 29445 表1 CPU：内存1：4 CPU（core） 内存 TPS QPS 2 8 657 13136 4 16 1129 22588 8 32 1450 28997

本文介绍私有Bucket回源功能的适用场景和配置说明。 功能介绍 天翼云AOne安全与加速的域名的回源地址可以使用客户自有源站或者天翼云媒体存储【即对象存储（融合版）】或天翼云对象存储。若客户使用媒体存储【即对象存储（融合版）】作为源站，在新建Bucket时，其权限属性支持以下三种模式： 【公共读】公共读权限可以通过匿名身份直接读取Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【公共读写】公共读写权限可以通过匿名身份直接读取/写/删除Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【私有】只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。媒体存储/对象存储会校验Authorization请求头，只有鉴权通过的才允许访问。 当客户权限选择【私有】时，需要参考本文档配置私有Bucket回源功能。 适用场景 回源地址使用天翼云媒体存储/对象存储并且Bucket为私有模式的场景。 注意事项 1. 开启私有Buckt回源功能前，请确认您的私有Bucket内容是否适合作为AOne安全与加速的回源内容，如存在较为敏感的信息，请勿开启此功能，或单独为AOne安全与加速创建一个独立的AK/SK，仅授权AOne安全与加速必要目录的只读权限，避免源站敏感信息泄漏。 2. Bucket如为公有模式则无需配置私有Bucket回源，直接在源站配置中选择对的存储源站即可，详情请见：源站配置。 3. 开启私有Bucket回源功能后，边缘节点回源站时，会携带Authorization请求头，值为基于AK/SK及Bucket等生成的对应存储私有Bucket鉴权签名信息。 4. 私有Bucket回源功能生效的前提：在【添加域名新增源站】或 【编辑域名修改源站】时，需要选择源站类型为【媒体存储源站】或者【对象存储源站】。否则功能将无效。 5. 私有Bucket回源功能生效的前提：在【配置源站】时，需要选择源站类型为【媒体存储源站】。否则功能将无效。

安装MariaDB Mariadb是一个数据库，主要用于后续存储论坛数据。 1.安装mariadb 执行以下命令 yum install mariadbserver mariadb –y 2.启动mariadb 执行以下命令： systemctl start mariadb 3.设置mariadb 开机自启动 mariadb开机自动启动可以保证虚拟机重启之后，服务可以同时启动；执行以下命令： systemctl enable mariadb 4.进入mysql数据库 执行以下命令： mysql 5.创建数据库的用户名和密码 创建访问数据库的用户名和密码，并进行授权；如我们需要创建如下信息： 用户名：root 密码：123456 主机：localhost（本机） 数据库名字：tianyi 需要执行以下命令： GRANT ALL PRIVILEGES ON . TO 'root'@'localhost'IDENTIFIED BY '123456' WITH GRANT OPTION;CREATE DATABASE tianyi;flush privileges; 代码配置完成后，输入ctrl+c退出数据库编辑。 Discuz!安装 1. 安装下载工具 下载discuz!之前需要先下载wget工具，执行以下命令： yum install wget y 2. 下载Discuz!源码包 请先登录gitee官网获取Discuz下载地址： 执行以下命令： wget 3. 解压Discuz!源码包 执行以下命令： unzip d ./Discuz ./DiscuzX3.5SCUTF820250205.zip 4. Discuz!源码移动 将discuz!移动到httpd启动的目录，使用户可以通过http访问到discuz!网站。 执行以下命令： mv ./Discuz/upload/ /var/www/html/ 5. 修改Discuz!源码权限 修改源码读写权限，使网站能够被所有用户正常读写访问。执行以下命令： chmod R 777 /var/www/html/ 6. 重启httpd 重启httpd，使所有设置好的环境变量生效。执行以下命令： service httpd restart 7. 浏览器访问Discuz 输入

本小节介绍云日志审计Windows系统客户端配置。 Windows系统客户端配置 1.进入【日志采集】→【采集控制器】，点击“NXLog”客户端，进行下载。 压缩包内包括客户端配置程序、配置文件、操作方法。 相关配置文件需注意，“Host”为云日志审计IP地址。 2.配置文件修改后，重启服务。 Linux客户端配置 1.进入Linux系统，进行rsyslog进程配置。 命令： vim /etc/rsyslog.conf 2.修改配置如下： . @云日志审计IP地址（写入发送日志指向的云日志审计地址） 3.启动rsyslog服务。 systemctl start/restart rsyslog.service 其他类型资产日志配置 其他类型资产可选择内置syslog方式，填写云日志审计组件IP地址。 若配置完成，可到【安全概览】下查看资产设备的日志分析。

本节主要介绍使用RedisShake工具离线迁移其他云厂商Redis RedisShake是一款开源的Redis迁移工具，支持Cluster集群的在线迁移与离线迁移（备份文件导入）。当部署在其他云厂商Redis服务上的Cluster集群数据，无法在线迁移时，可以选择离线迁移。 与在线迁移相比，离线迁移适用于源实例与目标实例的网络无法连通的场景，或者源端实例部署在其他云厂商Redis服务中，无法实现在线迁移。 本文以Linux系统环境为例，介绍如何使用RedisShake工具进行Cluster集群数据离线迁移。 前提条件 已创建Redis实例，注意创建的Cluster集群内存规格不能小于源端Cluster集群。 已创建用于运行RedisShake的弹性云主机(ECS)，创建的ECS需要选择与Redis实例相同的VPC、子网和安全组。 迁移步骤 1. 使用Rediscli连接目标端Redis实例，获取目标端Cluster集群的Master节点IP地址与端口。 rediscli h {targetredisaddress} p {targetredisport} a {targetredispassword} cluster nodes − {targetredisaddress}：目标Redis实例的连接地址。 − {targetredisport}：目标Redis实例的连接端口号。 − {targetredispassword}：目标Redis实例的连接密码。 在命令返回的结果中，获取所有master节点的IP端口，如下如所示： 2. 在准备好的ECS上安装迁移工具RedisShake。 a. 登录ECS。 b. 在ECS中执行以下命令下载RedisShake，本文以下载2.0.3版本为例进行说明。您可以根据实际需要选择其他RedisShake版本。 wget c. 执行命令解压RedisShake文件。 tar xvf redisshakev2.0.3.tar.gz 如果源端集群部署在数据中心内网，还需在内网服务器上安装RedisShake，并参考下述步骤进行数据导出，然后将数据文件上传到云主机。 3. 从源端Redis控制台导出RDB文件，如果无法导出RDB文件，请联系源端客服获取。 4. 导入RDB文件。 a. 将导出的RDB文件（含多个）上传到云主机上。云主机与目标端DCS Cluster集群实例的网络连通。 b. 编辑RedisShake工具配置文件redisshake.conf。 vim redisshake.conf 补充目标端所有master节点的连接信息： target.type cluster

本节介绍了云数据库TaurusDB的使用限制说明。 TaurusDB使用上有一些固定限制，用来提高实例的稳定性和安全性，具体详见下表。 表功能使用限制 功能 使用限制 TaurusDB访问 如果TaurusDB数据库实例没开通公网访问，则该实例必须与弹性云主机在同一个虚拟私有云内才能访问。 弹性云主机必须处于目标TaurusDB数据库实例所属安全组允许访问的范围内。如果TaurusDB数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在TaurusDB数据库的安全组添加一条“入”的访问规则。“入”规则开放TCP协议，使用数据库实例的默认端口。 TaurusDB数据库实例的默认端口：主备版默认端口为3306，需用户手动修改端口号后，ECS或外网才能访问其他端口。具体操作请参见修改数据库端口。 数据库的root权限 创建实例页面只提供管理员root用户权限（仅限主备版）。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 数据迁移 使用mysqldump迁移TaurusDB数据。 重启TaurusDB实例 无法通过命令行重启，必须通过TaurusDB的管理控制台重启实例。 查看TaurusDB备份 TaurusDB数据库实例在对象存储服务上的备份文件，对用户不可见。

VPN登录 1.配置完成后，在PC1的浏览器中输入 Networks，Inc.”中的“WebVPN.cab”...请单击这里"。 2.鼠标右键单击此提示信息，并点击“为此计算机上的所有用户安装此加载项”。系统提示下载并安装Hillstone Secure Connect，下载链接： 3.安装完成后，安装SSL VPN拨号客户端，填写相应信息进行拨号后，即可访问内网业务，其中SSL VPN拨号客户端由云下一代防火墙工程师提供。 服务器地址：指本配置的VPN地址，具体内容由本单位管理员提供； 端口：指本配置的端口地址，具体内容由本单位管理员提供，默认为4433； 用户名：指本配置的用户信息，具体内容由本单位管理员提供； 密码：指本配置的密码信息，具体内容由本单位管理员提供。

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

协议 端口 类型 目的地址 说明 TCP 80 IPv4 100.125.0.0/16 用于从OBS桶下载Agent包到ECS或BMS中、获取ECS或BMS的元数据信息与鉴权信息。 TCP、UDP 53 IPv4 100.125.0.0/16 用于DNS解析域名，下载Agent时解析OBS地址、发送监控数据时解析云监控服务Endpoint地址。 TCP 443 IPv4 100.125.0.0/16 采集监控数据到云监控服务端。

前提条件 已获取“系统登录日志”或“系统操作日志”模块管理权限。 导出系统登录日志。 导出系统操作日志 1 登录云堡垒机系统。 2 选择“审计 > 系统日志”，进入系统日志列表页面。 3 选择“系统操作日志”页签，进入系统操作日志列表页面。 4 （可选）勾选一个或多个系统操作日志。 若未勾选日志，默认导出全量历史操作日志。 5 单击右上角“导出”，即可立即下载的CSV格式的文件到本地。

本章节主要介绍翼MapReduce服务配置服务自定义参数。 MRS各个组件支持开源的所有参数，在MRS Manager支持修改部分关键使用场景的参数，且部分组件的客户端可能不包含开源特性的所有参数。如果需要修改其他Manager未直接支持的组件参数，用户可以在Manager通过自定义配置项功能为组件添加新参数。添加的新参数最终将保存在组件的配置文件中并在重启后生效。 对系统的影响 配置服务属性后，需要重启此服务，重启期间无法访问服务。 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 前提条件 用户已充分了解需要新添加的参数意义、生效的配置文件以及对组件的影响。 操作步骤 在MRS Manager界面，单击“服务管理”。 1. 单击服务列表中指定的服务名称。 2. 单击“服务配置”。 3. 在“参数类别”选择“全部配置”。 4. 在左侧导航栏选择“自定义”，Manager将显示当前组件的自定义参数。 “参数文件”显示保存用户新添加的自定义参数的配置文件。每个配置文件中可能支持相同名称的开源参数，设置不同参数值后生效结果由组件加载配置文件的顺序决定。自定义参数支持服务级别与角色级别，请根据业务实际需要选择。不支持单个角色实例添加自定义参数。 5. 根据配置文件与参数作用，在对应参数项所在行“名称”列输入组件支持的参数名，在“值”列输入此参数的参数值。 支持单击和增加或删除一条自定义参数。第一次单击添加自定义参数后才支持删除操作。 修改某个参数的值后需要取消修改，可以单击恢复。 6. 单击“保存配置”，勾选“重新启动受影响的服务或实例。”并单击“确定”重启服务。 界面提示“操作成功。”，单击“完成”，服务成功启动。

参数 是否必填 参数类型 说明 示例 下级对象 billMode 否 String 订购类型。取值范围： Cycle：包周期。 OnDemand：按需。 ResBag：资源包。 cycleType 否 String 周期类型（仅创建单独付费云电脑有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 否 Integer 周期数（仅创建单独付费云电脑有效）。取值范围： 136。（仅订购类型为包周期类型有效） autoPay 否 Boolean 是否自动支付（仅创建单独付费云电脑有效），默认false。取值范围： true:是。（仅订购类型为包周期类型有效，需账号有足够金额） false:否。（仅订购类型为包周期类型有效） volumeName 是 String 云硬盘名称 diskType 是 String 云硬盘类型（uhio超高IO;hio高IO;cio普通IO） count 是 Integer 数量，范围：[1, 50] volumeSize 是 Integer 云硬盘大小（单位：GB），大于等于10 encryption 是 Boolean 是否加密，true表示为加密，false表示为不加密 desktopOid 否 String 云电脑ID，当使用立即挂载功能时，此字段必传，创建出来的云硬盘会立即挂载到该云电脑上 mountPath 否 String 挂载目录，当使用立即挂载功能且指定的计算增强型云电脑操作系统为Linux时，若此字段不为空，则创建出来的云硬盘会立即挂载到该云电脑的挂载目录上 vpcOid 是 String VPC ID resourcePackOid 是 String 资源包ID

本章节介绍服务网格全局命名空间的管理 概述 天翼云应用服务网格支持多集群统一治理，全局命名空间用于实现服务网格多集群命名空间的统一管理。 展示全局命名空间列表 新建全局命名空间 全局命名空间有两种新建方式： 1. 直接在主集群创建。 在全局命名空间页面，单击【新建】，然后在新建命名空间面板，配置相关信息，然后单击【确定】 。 配置项 说明 名称 设置命名空间的名称。长度为1~63个字符，只能包含数字、字母和短划线（），且名称首尾必须是字母或数字。 标签 在标签右侧，单击 添加 ，输入变量名称和变量值，为命名空间新增一个标签。 命名空间可添加多个标签，标签用于标识该命名空间的特点，如标识该命名空间用于测试环境。 注解 在注解右侧，单击 添加 ，输入变量名称和变量值，为命名空间新增一个注解。 命名空间可添加多个注解，注解可以用于展示任何额外的信息。 2. 从一个从集群中选择一个已经存在的命名空间，同步到主集群。 点击【从集群同步命名空间至主集群】，在弹出的页面中，可以选择所需的命名空间进行同步。 说明 1. 命名空间创建成功后，您可以在全局命名空间页面的操作列，进行以下操作： 编辑命名空间：单击 查看YAML ，在编辑对话框，修改相关信息，然后单击确定。 删除命名空间：单击删除，在确认对话框，单击确定。 2. 新建或删除命名空间都是仅对主集群生效，并不会同步修改/删除从集群中的同名命名空间。 3. 新建命名空间可以添加任意的标签和注解。从集群同步则只会同步服务网格相关的标签。目前相关标签仅有：istioinjection和opaistioinjection。 4. 无论是何种方式新建的命名空间，列表页中仅会展示相关标签，如果需要查看全量的标签和注解，请点击操作列的查看yaml。

步骤 操作内容 操作指引 1 登录 2 设置企业标识。首次订购使用AOne会议或订单已销毁后重新订购，需要先设置企业标识。企业标识为登录客户端的重要标识，建议使用企业名称等方便企业办公终端用户记忆的信息作为企业认证标识，暂不允许控制台修改，若有需要可提交工单进行配置。 3 添加用户和组织。为确保企业登录AOne会议客户端人员身份合法性，以及提升企业办公安全性，企业员工在登录AOne会议客户端时需要进行身份认证。因此需要先创建用户与组织信息，在该列表的用户才可登录使用AOne会议。 4 提交工单完成会议配置。完成用户组织添加后，请提交工单联系我们的技术团队，以完成会议配置的下发。 —— 5 设置高级账号和云录制空间配额。步骤3中新增的用户默认为免费账号，仅可加入会议，不支持发起会议。若用户需要发起会议，请在资源管理模块为其分配高级账号与云录制空间配额。若高级账号用户的云空间配额为0，则其发起的会议将无法使用云录制功能。 6 登录使用AOne会议。在导入列表中的用户，属于企业用户，可直接下载AOne会议客户端并登录使用。没有在导入列表中的用户如果需要加入会议，则需要自行注册个人用户账号后再登录。

注意事项 版本升级功能为白名单功能，默认不开放，有升级需求的请提交工单申请放开权限。 升级版本后无法回退。 在升级前，请务必查阅微软官方文档，评估不受兼容性保护的已停用功能、突破性变更，及版本功能变化，充分评估应用程序与SQL Server版本的兼容性。 在升级前，建议对现有实例执行一次全量数据备份。 升级期间，请勿对实例执行任何元数据修改操作，执行这些操作可能会导致升级后的数据不一致。元数据修改操作包括但不限于添加数据库、删除数据库、修改数据库的恢复模式等。 升级前，建议先停止业务等待升级完成再重新启动。 升级影响 升级操作一旦开始不可取消，且升级完成后无法回退。 升级前后实例名称、访问端口、数据库账号等原有设置均不会发生变化。 升级所需时间取决于实例的数据量等。 单机版实例升级期间，数据库不可用。请确保业务具备重连机制。 主备版实例升级期间，最短停业时间为主备切换时间，切换期间，数据库会短暂不可用。请确保业务具备重连机制。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server版产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中找到需要升级的目标实例，点击【更多】【版本升级】按钮。 4. 在版本升级弹出框，点击【升级】，提交升级版本任务，可以在【任务列表】菜单页面查看任务是否完成。提交任务后实例状态会变成“升级版本中”，升级完成后实例状态会重新变成“运行中”。

本章节介绍详细的操作步骤关于如何通过常用工具Navicat连接PostgreSQL。 创建PostgreSQL 操作场景 本文将介绍在云数据库RDS服务的管理控制台上创建实例的过程。 目前，RDS for PostgreSQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的RDS实例。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角区域选项，选择区域和项目。 3、在页面左上角单击 ，选择“数据库 > 关系型数据库PostgreSQL”。进入云数据库 RDS信息页面。 4、在“实例管理”页面，单击“购买数据库实例”。 5、在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图 购买PostgreSQL数据库 登录主机下载Navicat 操作步骤 1、通过windows远程登录页面登录ECS 2、登录Navicat官网下载对应的数据库客户端 通过Navicat连接PostgreSQL 操作步骤 1、打开Navicat点击新建连接 2、编辑PostgreSQL登录信息 3、创建数据库 4、右击”表“，选择新建 5、编辑数据表的字段信息 6、编写测试数据 7、查询测试数据

本文介绍直播控制台概览页相关模块的用途。 您可以在天翼云直播控制台自助添加域名、配置证书、配置基础访问控制等，同时您还可以查看带宽、计费方式以及下载日志等。 直播控制台功能界面如下图所示。 导航栏 页面 说明 详情 相关说明 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 概览：可展示今日或本月的流量/带宽、近七天流量/带宽趋势、证书统计、域名统计、信息中心。 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 域名管理：添加加速域名、管理、删除已有加速域名，并可以对加速域名基本信息和配置信息进行更改。 [](·)域名管理 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 流管理：支持查看实时在线推流和历史推流，并支持对在线推流进行禁推、解禁以及断流等相关操作。 流管理 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 证书管理：可供客户自助添加、查看和删除HTTPS证书。 证书管理 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 功能配置：支持客户自助进行转码、截图、录制和回调等相关功能配置。 功能配置 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 统计分析：可通过不同维度查询流量带宽、回源统计、请求数、状态码、地区运营商、在线人数等相关数据。 统计分析 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 日志下载：可通过搜索域名、选择时间，下载该域名在该时间段的日志。 日志下载 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 计费详情：可查看或变更各产品的计费方式、查看资源包的用量。 计费详情 导航栏 直播控制台左侧导航栏主要功能为概览、域名管理、流管理、证书管理、功能配置、统计分析、日志下载、计费详情和地址生成器。 地址生成器：可自定义发布点和流名，生成URL示例；如果有配置了鉴权，还可以生成鉴权URL示例。 地址生成器

如何导入安全组件包？ 问题现象：控制中心进行VMware云平台添加时报错“添加主机池失败，请导入安全组件包”。 排查步骤：控制中心未包含VMware平台的NSVM安装包，需要手动下载NSVM包，在控制中心页面【系统】【下载中心】中使用“导入”功能先进行导入。

如何导入安全组件包？ 问题现象：控制中心进行VMware云平台添加时报错“添加主机池失败，请导入安全组件包”。 排查步骤：控制中心未包含VMware平台的NSVM安装包，需要手动下载NSVM包，在控制中心页面【系统】【下载中心】中使用“导入”功能先进行导入。

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

配置RedisShake工具 1. 登录弹性云主机ECS。 2. 在ECS中执行以下命令下载RedisShake。本文以下载4.3.2版本为例，您可以根据实际需要下载其他RedisShake版本。 wget 3. 执行命令解压RedisShake文件。 mkdir redisshakev4.3.2 tar C redisshakev4.3.2 xzvf redisshakev4.3.2linuxamd64.tar.gz 4. 执行命令进入解压后的文件目录。 cd redisshakev4.3.2 5. 编辑RedisShake工具配置文件shake.toml，补充源端与目标端信息。 vim shake.toml 修改内容如下： [syncreader] 源端实例是Redis Cluster集群时，配置为true cluster true 源端Cluster集群任意一个节点的IP地址与端口 address {redisip}:{redisport} 如果无密码，本项不填 password {sourceredispassword} [rediswriter] 目标端实例是Redis Cluster集群时，配置为true cluster true 目标端Cluster集群任意一个节点的IP地址与端口 address {redisip}:{redisport} 如果无密码，本项不填 password {targetredispassword} 修改后按下Esc键退出编辑模式，输入:wq！按回车键保存配置并退出编辑界面。 在线迁移数据 使用如下命令同步源Redis集群和目标Redis集群数据： ./redisshake shake.toml 执行日志中出现如下信息，代表全量数据同步完成，进入增量同步阶段： syncing aof 执行日志出现如下信息时，代表增量同步无新增内容，可手动停止同步（Ctrl + C）： writeops[0.00], src, syncing aof, diff[0] 图 RedisShake在线迁移示意图

此小节介绍云防火墙使用最佳实践。 选择云防火墙版本 云防火墙提供了“标准版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能。 详细的功能介绍请参见功能特性。 开启弹性公网IP防护 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面。 4.单击页面右上角“资产同步”，将您的弹性公网IP信息导入至列表中，刷新弹性公网IP列表。 说明 弹性公网IP防护目前仅“广州4”支持IPv6。 5.开启弹性公网IP。 开启单个弹性公网IP。在所在行的“操作”列中，单击“开启防护”。 开启多个弹性公网IP。勾选需要开启防护的弹性公网IP，单击表格上方的“开启防护”。 6.在弹出的界面确认信息无误后，单击“绑定并开启防护”，可查看操作行的“防护状态”列显示“防护中”。 说明 EIP开启防护后，访问控制策略默认动作为“放行”。 开启入侵防御拦截模式 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在入侵防御界面，页面上方的“防护模式”中，选择防御模式。 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。

本章节介绍如何访问服务网格CRD资源 服务网格通过K8s CRD（Custom Resource Definition）实现网格治理规则配置能力，当前服务网格的治理规则CRD全部配置在控制面所在的集群，您可以通过是要kubectl命令行工具操作控制面集群实现CRD配置。 步骤 1. 选择一台可以连接到服务网格控制面部署所在的容器集群API Server的机器，比如跟控制面集群在同VPC下的虚拟机，如果您的API Server通过公网ELB暴露了地址，您也可以通过其他可以通过公网连到控制面集群的机器访问API Server 2. 到K8s官网下载和安装kubectl命令行工具，具体根据所选择的连接API Server的客户端机器的系统以及目标集群的版本下载对应版本的kubectl 3. 登录云容器引擎控制台，选择要连接的集群，查看连接信息，可以看到对应集群的KubeConfig配置，选择公网或者私网的KubeConfig，按照提示保存到本地 4. 执行命令验证 plaintext kubectl get vs A NAMESPACE NAME GATEWAYS HOSTS AGE istiosystem istiodvs ["istiodgateway"] [""] 25d