云服务备份产品架构 云服务备份由备份、存储库和策略组成。 备份： 备份即一个备份对象执行一次备份任务产生的备份数据，包括备份对象恢复所需要的全部数据。 − 云主机备份：云主机备份提供对弹性云主机和物理机的基于多云硬盘一致性快照技术的数据保护。同时，未部署数据库等应用的服务器产生的备份为服务器备份，部署数据库等应用的服务器产生的备份为数据库服务器备份。 − 云硬盘备份：云硬盘备份提供对云硬盘的基于快照技术的数据保护。 存储库 云服务备份使用存储库来存放备份。创建备份前，需要先创建至少一个存储库，并将服务器或磁盘绑定至存储库。服务器或磁盘产生的备份则会存放至绑定的存储库中。 存储库分为备份存储库和复制存储库两种。备份存储库用于存放备份对象产生的备份，复制存储库用于存放复制操作产生的备份。 不同类型的备份对象产生的备份需要存放在不同类型的存储库中。 策略 策略分为备份策略和复制策略。 − 备份策略：需要对备份对象执行自动备份操作时，可以设置备份策略。通过在策略中设置备份任务执行的时间、周期以及备份数据的保留规则，将备份存储库绑定到备份策略，可以为存储库执行自动备份。 − 复制策略：需要对备份或存储库执行自动复制操作时，可以设置复制策略。通过在策略中设置复制任务执行的时间、周期以及备份数据的保留规则，将备份存储库绑定到复制策略，可以为存储库执行自动复制。复制产生的备份需要存放在复制存储库中。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建实例 ddsCreateInstance 删除实例 ddsDeleteInstance 节点扩容 ddsGrowInstance 磁盘扩容 ddsExtendInstanceVolume 规格变更 ddsResizeInstance 重启实例 ddsRestartInstance 数据备份 ddsCreateBackup 数据恢复 ddsRecoverBackup 参数修改 ddsUpdateInstanceConfigurations 绑定公网IP ddsBindEIP 解绑公网IP ddsUnBindEIP 主备切换 ddsReplicaSetSwitchover 添加只读节点 ddsAddReadonlyNode

本章节指导您配置云审计服务的事件跟踪器。 创建事件跟踪并投递至日志审计服务 说明 云审计目前仅支持投递至v3.0.1版本的日志审计服务中，若您的版本低于v3.0.1可提交工单升级。 1. 进入云审计服务控制台。 2. 在左侧导航栏选择“事件跟踪”，进入“事件跟踪”页面。 3. 单击左上角的“创建跟踪任务”，进入“新建事件跟踪”页面并填写相关参数。 参数 填写说明 跟踪任务名称 填写跟踪任务的相关名称。 长度为263字符，以大小写字母或中文开头，可包含数字、"."、""、""。 启用状态 选择跟踪任务的启用状态。 事件范围 跟踪任务记录的事件范围，可选“全部”、“只读”和“可选”。 投递类型 选择投“日志审计”。 日志审计实例 选择需要投放日志审计实例。 发送端口 日志审计待发送的端口。 注意 默认值为6514，需要与日志审计配置中保持一致。 证书 上传在日志审计中下载的证书，仅支持.p12格式。 4. 配置完成后单击“确定”，完成事件跟踪配置。 5. 配置完成后，即可在日志审计（原生版）控制台查看云审计事件。 查询日志：在“事件分析 > 日志检索”页面，支持通过列表和统计图的方式查看日志数据。详细操作请参见日志检索日志审计（原生版）。 查看仪表板：在“审计报表 > 仪表版”页面，可以查看所选时间范围内的全景视图，通过可视化方式展示统计数据，包括事件总数、事件趋势、事件等级分布、资源类型TOP10信息。

本文介绍了云防火墙（原生版）产品的自动续订流程。 开通自动续订 方法一：云防火墙支持在购买实例时，同步开通“自动续订”。详细操作请参见购买配额。 方法二：若开通实例时未开启自动续订，用户也可在开通后，通过天翼云“费用中心 > 订单管理 > 续订管理”页面，开通自动续订。详细操作请参见开通自动续订。

功能 功能描述 HTTP触发器 给函数配置HTTP触发器，函数响应HTTP请求事件，执行指定的逻辑。 定时触发器 给函数配置定时器触发器，函数可以根据定时器配置周期性执行业务逻辑。 Kafka触发器 给函数配置Kafka触发器，函数可以监听Kafka消息来执行业务逻辑。 RocketMQ触发器 给函数配置RocketMQ触发器，函数可以监听RocketMQ消息来执行业务逻辑。 日志触发器 给函数配置日志触发器，函数可以根据日志的写入来执行业务逻辑。 对象存储触发器 给函数配置对象存储触发器，函数可以监听对象存储的创建、删除、更新等事件来执行业务逻辑。 云原生网关触发器 给函数配置云原生网关触发器，函数可以监听网关的事件来执行业务逻辑。

本节为您介绍GPU云主机如何变更配置（目前仅部分资源池支持）。 操作场景 当您创建的GPU云主机规格无法满足业务需要时，可以调整云主机的 vCPU、内存和显存配置。GPU云主机仅支持同规格族内的规格变更。 操作步骤 1. 登录控制中心。 2. 选择“计算 > 弹性云主机”。 3. 在云主机列表，选择所要进行变配操作的GPU云主机，单击GPU云主机所在行的“操作”列下的“更多 > 变配”。 4. 在弹出的变更规格页面，选择变更后的GPU云主机vCPU、内存和显存。 5. 单击“确定”。 注意 部分情况下不能进行变配操作，当您在变配弹窗内点击确定按钮后会弹出红色文字提示，请您根据提示进行操作。不能变配的情况如下： 1. GPU云主机未关机。 2. GPU云主机加入主机组。 3. 所选的GPU云主机与原GPU云主机不属于同一规格族。 4. 所选的GPU云主机所能挂载的云盘、网卡、弹性IP数量小于原GPU云主机。 6. 支付成功后可完成规格变更。

本小节介绍云下一代防火墙配置登录方式指导。 云下一代防火墙需要云主机承载，如需正常被外网访问，需在安全组下放行云下一代防火墙web登录访问端口。 注意 图例安全组做了any放行，后期具体配置还请根据业务需求做端口放行，不建议开启any。 打开浏览器，地址栏输入 说明 该用户名密码与后台登录用户名密码一致。 初始用户名密码请提交工单咨询。

本节介绍了通过外部镜像文件创建Windows系统盘镜像的流程等内容。 流程概览（Windows） 除了可以通过云主机创建私有镜像，系统也支持外部镜像导入功能，可将您本地或者其他云平台的主机系统盘镜像文件导入至镜像服务私有镜像中。导入后，您可以使用该镜像创建新的云主机，或对已有云主机的系统进行重装。 创建过程 私有镜像创建过程如下图所示。 Windows系统盘镜像创建过程 步骤说明如下： 1. 准备符合平台要求的外部镜像文件，请参考下文“准备镜像文件（Windows）”。 2. 上传外部镜像文件到OBS个人桶中，请参考下文“上传镜像文件（Windows）”。 3. 通过管理控制台选择上传的镜像文件，并将镜像文件注册为私有镜像，请参考下文“注册镜像（Windows）”。 4. 私有镜像注册成功后，使用该镜像创建新的云主机，请参考下文“使用镜像创建弹性云主机（Windows）”。 准备镜像文件（Windows） 您需要提前准备好符合条件的镜像文件。 说明： 下表中，网络、工具、驱动相关的配置需要在虚拟机内部完成，强烈建议您在原平台的虚拟机实施修改后，再导出镜像文件。当然，您也可以使用弹性云主机完成这些配置，具体操作请参见Windows外部镜像文件在导出前未完成初始化配置，怎么办？ Windows操作系统的镜像文件限制 镜像文件属性 条件 :: 操作系统 Windows Server 2008相关版本、Windows Server 2012相关版本、Windows Server 2016相关版本 支持32位和64位 操作系统不能与特定的硬件绑定 操作系统必须支持全虚拟化 所支持的操作系统版本请参考外部镜像文件支持的格式和操作系统类型，在此范围内的操作系统支持后台自动化配置（详情请参阅通过镜像文件注册私有镜像过程中，系统会对镜像做哪些修改？），在此之外的操作系统请您自行排查及安装Guest OS driver驱动，在注册镜像页面选择Other Windows，导入后系统启动情况取决于驱动完备度。 镜像格式 VMDK、VHD、QCOW2、RAW、VHDX、QED、VDI、QCOW、ZVHD2和ZVHD 镜像大小 镜像大小不超过128GB。 网络能力 必选项，不设置会导致云主机启动异常或网络能力异常，包括： 设置网卡属性为DHCP 可选项，即增值能力，主要包括： 开启网卡多队列 开启网卡多队列功能可以将网卡中断分散给不同的CPU处理，实现负载均衡，从而提升网络PPS和带宽性能。操作方法请参考如何设置镜像的网卡多队列属性？ 配置动态获取IPv6地址 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。镜像中配置动态获取IPv6地址，发放的云主机能够同时支持IPv4和IPv6地址。配置方法请参考如何开启云主机动态获取IPv6？。 工具 强烈建议安装CloudbaseInit工具。 CloudbaseInit是开源的云初始化工具，使用安装了CloudbaseInit的镜像创建云主机时可以通过“用户数据注入”功能，注入初始化自定义信息（例如为云主机设置登录密码）；还可以通过查询、使用元数据，对正在运行的云主机进行配置和管理。不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 安装方法请参考安装并配置CloudbaseInit工具。 插件 为了保证使用私有镜像创建的新云主机可以实现一键式重置密码功能，建议您在创建私有镜像前安装密码重置插件CloudResetPwdAgent。详情请参见安装一键式重置密码插件（Windows）。 驱动 安装PV driver 安装UVP VMTools 其他限制 暂不支持创建带有数据盘的镜像，镜像文件中必须只能包含系统盘，且系统盘大小范围为：[40GB, 1024GB] 镜像文件的初始密码至少包含以下4种字符：大写字母、小写字母、数字、特殊字符（!@$%^+[{}]:,./?） 镜像启动分区和系统分区必须包含在同一个磁盘中。 外部镜像文件必须包含可用的Administrator账号和密码。

天翼云为您提供驻场运维服务协议说明，请您点击查看。 驻场运维服务协议

本文将为您介绍云硬盘备份的入门操作流程。 天翼云云硬盘备份可以为用户提供备份服务，并在磁盘故障、用户误删数据、遭到黑客攻击等情况下，使用云硬盘备份恢复数据或创建新盘，最大限度保证用户数据的安全性，云硬盘备份的使用流程如下图： 1. 首先进行准备工作，注册天翼云，确保账户余额充足，具体流程参见准备工作。 2. 在备份前，用户需要购买存储库，便于后续创建备份，存储库创建步骤请参见创建存储库。 3. 用户在创建存储库时可以选择云硬盘资源，并对其进行立即备份或设置自动备份，不选择云硬盘资源则代表仅创建存储库。存储库创建好，即可对云硬盘资源进行备份，后续产生的备份会放置于存储库中，创建备份的操作步骤请参见创建云硬盘备份。 4. 备份创建成功之后，用户可以根据业务实际需要，使用备份恢复云硬盘的数据，恢复数据的步骤请参见使用备份恢复源云硬盘以及使用备份创建新的云硬盘。

本文帮助您快速熟悉删除安全组规则的操作场景和操作流程。 操作场景 当您不再需要某些安全组规则去控制云主机之间的访问控制，您可以删除掉相应的安全组规则并创建新的规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要操作的安全组，单击安全组名称进入详情页。 6. 在安全组详情界面，选择目标安全组规则，执行删除动作： 批量删除：选择需要删除的多条安全组规则，单击左上方的【删除】按钮，支持批量删除安全组规则。 单次删除：选择需要删除的单条安全组规则，单击目标规则所在行的【删除】按钮，支持逐条删除规则。 7. 确认目标安全组规则选择无误后，单击“确定”按钮。

本章介绍如何查看服务器详情。 操作场景 安装并启动Agent后，迁移Agent会自动收集源端服务器信息并发送给主机迁移服务默认迁移任务下。收集的所有信息仅用于数据迁移，不会用做其他用途。具体收集源端哪些信息可查看主机迁移服务会收集源端的哪些信息？。您可以随时登录管理控制台查看服务器信息，包括源端服务器详情、目的端配置信息、迁移状态以及错误信息提示等。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 单击要查看的服务器名称，进入服务器概览页面。 4. 在服务器概览页面，您可以查看源端服务器信息。 1. 在“基本信息”页签，可以查看迁移配置、目的端配置以及当前迁移任务进展。 2. 在“任务跟踪”页签，可以查看具体迁移状态和当前迁移进度。 3. 在“源端检查项”页签，可以查看迁移检查项结果以及失败原因。 4. 在“磁盘”页签，可以查看源端磁盘分区情况。 5. 在“网卡”页签，可以查看源端网卡信息。

本节介绍了怎样设置镜像密码的有效期的操作步骤。 如果弹性云主机镜像密码已过期导致无法登录，请联系管理员处理。 如果弹性云主机还可正常登录，用户可以参考以下操作设置密码有效期，避免密码过期造成的不便。 操作步骤 以EulerOS 2.2镜像为例： 1. 登录弹性云主机。 2. 执行以下命令，查看密码有效期。 vi /etc/login.defs 找到配置项“PASSMAXDAYS”，该参数表示密码的有效时间。 3. 执行以下命令，修改参数“PASSMAXDAYS”的取值。 chage M 99999 username 其中：99999为密码有效期限，username为系统用户，例如root用户。 说明 建议用户根据实际情况及业务需求进行配置，定期使用该命令更新密码有效期。 4. 再次执行vi /etc/login.defs，验证配置是否生效。 图 验证配置

参数名称 参数说明 威胁告警 呈现最近7天内未处理威胁告警，可快速了解资产遭受的威胁告警类型和数量，呈现威胁告警的统计结果。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看告警事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看告警事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该告警事件的详情。 单击威胁告警模块，系统将列表实时呈现近7天内TOP5的威胁告警事件，可快速查看威胁告警详情，监控威胁告警状况。 列表呈现近7天TOP5的威胁告警事件的信息，包括威胁告警名称、告警等级、资产名称、告警发现时间。 若列表显示内容为空，表示近7天无威胁告警事件。 单击“查看更多”，可跳转到“检测结果”页面，查看更多的威胁告警信息，并可自定义过滤条件查询告警信息。 漏洞 展示您资产中TOP5漏洞类型，以及近24小时内还未修复的漏洞总数和不同漏洞风险等级对应的数量。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了漏洞事件，建议您立即查看漏洞事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看漏洞事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该漏洞的详情。 单击漏洞模块中的“实时监控最新漏洞风险事件Top5”栏，系统将列表实时呈现近24小时内TOP5的漏洞事件，可快速查看漏洞详情。 列表呈现当日最新TOP5漏洞事件详情，包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。 若列表显示内容为空，表示当日无漏洞事件。 单击“查看更多”，可跳转到“检查结果”页面，查看更多的漏洞信息，并可自定义过滤条件查询漏洞信息。 合规检查 展示您资产中近30天内存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了不合规的配置，建议您立即查看合规异常事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常配置，建议您立即查看合规异常事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常配置，建议您及时查看该合规检查项目的详情。 单击合规检查异常模块，系统将列表实时呈现近30天内TOP5的合规检查异常事件，可快速查看合规检查详情。 列表呈现最近一次合规检查中TOP的合规异常事件详情，包括合规检查项目名称、等级、资产名称、发现时间。 若列表显示内容为空，表示近30天无合规异常事件。 单击“查看更多”，可跳转到“检查结果”页面，查看更多的合规异常信息，并可自定义过滤条件查询合规检查信息。

客户侧防火墙配置例子 客户侧私网网段：192.168.10.0/24 云侧私网网段：10.132.0.0/24，10.132.1.0/24，10.132.20.0/24，10.132.21.0/24 客户侧VPN设备为strongswan5.8.0 云侧是被动协商，不需要配置IKE与ESP算法，只需在客户侧防火墙配置云侧支持的算法（参考前两小节表格）即可。 云侧IPsec VPN实例信息如下： IPsec VPN名称：IPSecVPN 客户侧私网网段：192.168.10.0/24 客户侧公网地址：58.63.x.2 IKE版本：IKEv2 预共享密钥（自定义）： 标识符类型：FQDN 云端标识符：cloud.responder 客户侧标识符：customer.initiator 客户侧strongswan配置如下： （1）修改/etc/strongswan/ipsec.conf，参考配置如下： conn %default ikelifetime12h keylife4h rekeymargin3m keyingtries1 authbypsk keyexchangeikev2 mobikeno conn customertocloud left58.63.x.2 leftsubnet192.168.10.0/24 leftauthpsk leftid@customer.initiator right113.125.x.102 rightsubnet10.132.0.0/24,10.132.1.0/24,10.132.20.0/24,10.132.21.0/24 rightauthpsk rightid@cloud.responder ikeaes128gcm16prfsha256modp2048! espaes128gcm16esn! autostart dpddelay10s dpdtimeout90s dpdactionrestart （2）修改/etc/strongswan/ipsec.secrets配置预共享密钥为“”。 （3）修改/etc/strongswwan/strongswan.d/charon.conf，设置makebeforebreakno，默认是no。

客户侧防火墙配置例子 客户侧私网网段：192.168.10.0/24 云侧私网网段：10.132.0.0/24，10.132.1.0/24，10.132.20.0/24，10.132.21.0/24 客户侧VPN设备为strongswan5.8.0 云侧是被动协商，不需要配置IKE与ESP算法，只需在客户侧防火墙配置云侧支持的算法（参考前两小节表格）即可。 云侧IPsec VPN实例信息如下： IPsec VPN名称：IPSecVPN 客户侧私网网段：192.168.10.0/24 客户侧公网地址：58.63.x.2 IKE版本：IKEv2 预共享密钥（自定义）： 标识符类型：FQDN 云端标识符：cloud.responder 客户侧标识符：customer.initiator 客户侧strongswan配置如下： （1）修改/etc/strongswan/ipsec.conf，参考配置如下： conn %default ikelifetime12h keylife4h rekeymargin3m keyingtries1 authbypsk keyexchangeikev2 mobikeno conn customertocloud left58.63.x.2 leftsubnet192.168.10.0/24 leftauthpsk leftid@customer.initiator right113.125.x.102 rightsubnet10.132.0.0/24,10.132.1.0/24,10.132.20.0/24,10.132.21.0/24 rightauthpsk rightid@cloud.responder ikeaes128gcm16prfsha256modp2048! espaes128gcm16esn! autostart dpddelay10s dpdtimeout90s dpdactionrestart （2）修改/etc/strongswan/ipsec.secrets配置预共享密钥为“”。 （3）修改/etc/strongswwan/strongswan.d/charon.conf，设置makebeforebreakno，默认是no。

本文汇总了使用VPC终端节点产品时常见的问题。 如何检查终端节点服务所在后端弹性云主机的网络配置？ 您可以按照以下步骤检查终端节点服务所在后端弹性云主机的网络配置： 1. 确认弹性云主机使用的安全组是否正确：在弹性云主机的详情页面中，查看网卡使用的安全组。确保所使用的安全组已配置正确。 2. 检查安全组入方向规则：确认安全组的入方向规则是否已放行198.19.128.0/20网段的地址。如果没有相应的入方向规则，请添加规则以允许来自该网段的流量。 3. 确认子网的网络ACL设置：检查弹性云主机网卡所在子网的网络ACL配置，确保其不会对流量进行拦截。 VPC终端节点和对等连接有什么区别？ 类别 VPC对等连接 VPC终端节点 功能 对等连接主要是打通两个VPC之间的流量，使两个VPC的子网中的实例可以彼此通信，如同在同一个网络中。 VPC终端节点是将某个VPC中的实例暴露出来，通过专门的网关将此实例的端口映射在其他VPC中。 访问场景 对等连接主要应用在网络规划中,多是同一个租户用来规划自己的网络,将两个VPC的子网联通。 VPC终端节点主要是将服务在云平台中开放,可以提供给同一个租户使用,也可以提供给其他租户使用。 安全性 VPC内所有ECS、ELB等均可以被访问。 仅创建了终端节点服务的ECS、ELB等可以被访问。 CIDR重叠 不支持CIDR重叠，两个VPC的CIDR范围不能有重叠部分。 支持CIDR重叠，允许不同VPC中使用相同的CIDR范围。 通信方向 建立对等连接的两个VPC之间支持双向通信。 仅支持终端节点所在VPC访问终端节点服务所在后端资源的指定端口。 路由配置 需要手动配置对等连接路由信息，才能使两个VPC互通。 自动在VPC路由表中添加路由规则，无需手动配置。 计费 免费 按需计费

操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表右上方，单击“创建安全组”，进入“创建安全组”页面。 3. 根据界面提示，设置安全组参数，设置完成后，点击“确定”，完成安全组创建。 以下是安全组参数说明表。 参数 参数说明 取值样例 名称 必选参数。 输入安全组的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 sgAB 模板 必选参数。 安全组预设规则中预先配置了入方向规则和出方向规则，您可以根据业务选择所需的预设规则，快速完成安全组的创建。 通用Web服务器 描述 可选参数。 安全组的描述信息。 描述信息内容不能超过255个字符，且不能包含“ ”。 添加安全组规则 操作场景 安全组实际是网络流量访问策略，由入方向规则和出方向规则共同组成。常见的安全组规则应用场景包括：允许或者拒绝特定来源的网络流量、允许或拒绝特定协议的网络流量、屏蔽不需要开放的端口、以及配置服务器的特定访问权限等。 使用须知 配置安全组规则前，您需要规划好安全组内实例的访问策略。 安全组的规则数量有限制，请您尽量保持安全组内规则的简洁。 在安全组规则中放开某个端口后，您还需要确保实例内对应的端口也已经放通，安全组规则才会对实例生效。 安全组入方向规则的源地址设置为0.0.0.0/0或::/0，表示允许或拒绝所有外部IP地址访问您的实例，如果将“22、3389、8848”等高危端口暴露到公网，可能导致网络入侵，造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。 通常情况下，同一个安全组内的实例默认网络互通。当同一个安全组内实例网络不通时，可能情况如下有： 当实例属于同一个VPC时，请您检查入方向规则中，是否删除了同一个安全组内实例互通对应的规则。 不同VPC的网络不通，所以当实例属于同一个安全组，但属于不同VPC时，网络不通。

本文带您熟悉如何查看任务列表,以及您可以对备份任务进行的操作。 查看任务列表 操作场景 创建备份/恢复/删除任务后，您可通过任务列表查看任务详情，了解指定任务的任务类型、备份名称、状态等信息。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“任务列表”页签，即可看到任务列表。 5. 在弹出的页面中可查看任务的任务ID、策略名称/ID、任务类型、备份名称/ID、实例名称/ID、存储库名称/ID、状态等信息。 6. 您还可以在右上角的搜索框输入任务ID、云主机实例等信息，搜索指定任务。 取消备份任务 操作场景 创建备份任务后，您可在任务列表中对“执行中”的备份任务进行取消。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“任务列表”页签，找到目标备份任务。 5. 如果备份任务处于“执行中”状态，您可以单击备份任务所在行的“操作>取消”。 6. 在“取消任务”弹窗中，确认信息无误后单击“确定”。 7. 在任务列表中，当任务状态变为“已取消”时，说明取消成功。

本节介绍了SSH密钥方式登录的操作场景、前提条件、本地使用Windows操作系统登录流程、本地使用Linux操作系统登录流程、后续处理。 操作场景 本节操作介绍在Windows和Linux环境中使用SSH密钥对方式远程登录Linux云主机的操作步骤。 前提条件 已获取创建该弹性云主机时使用的密钥对私钥文件。 弹性云主机已经绑定弹性IP，绑定方式请参见查看弹性云主机详细信息。 已配置安全组入方向的访问规则，配置方式请参见 配置安全组规则。 使用的登录工具（如PuTTY）与待登录的弹性云主机之间网络连通。例如，默认的22端口没有被防火墙屏蔽。 本地使用Windows操作系统 如果您本地使用Windows操作系统登录Linux弹性云主机，可以按照下面方式登录弹性云主机。 方式一：使用PuTTY登录 我们以PuTTY为例介绍如何登录弹性云主机。使用PuTTY登录弹性云主机前，需要先将私钥文件转化为.ppk格式。 1. 判断私钥文件是否为.ppk格式。 − 是，执行7。 − 否，执行2。 2. 在以下路径中下载PuTTY和PuTTYgen。 说明 PuTTYgen是密钥生成器，用于创建密钥对，生成一对公钥和私钥供PuTTY使用。 3. 运行PuTTYgen。 4. 在“Actions”区域，单击“Load”，并导入创建弹性云主机时保存的私钥文件。导入时注意确保导入的格式要求为“All files ( . )”。 5. 单击“Save private key”。 6. 保存转化后的私钥到本地。例如：kp123.ppk 7. 双击“PUTTY.EXE”，打开“PuTTY Configuration”。 8. 单击“Session”，在“Host Name (or IP address)”下的输入框中输入弹性云主机的弹性IP。 图 配置弹性IP 9. 选择“Connection > data”，在Autologin username处输入镜像的用户名。 说明 使用“SSH密钥方式”登录弹性云主机时： 如果是“CoreOS”的公共镜像，镜像的用户名为“core”。 如果是“非CoreOS”的公共镜像，镜像的用户名为“root”。 10. 选择“Connection > SSH > Auth”，在最下面一个配置项“Private key file for authentication”中，单击“Browse”，选择6转化的密钥。 11. 单击“Open”。 登录弹性云主机。 方式二：使用Xshell登录 1. 打开Xshell工具。 2. 通过弹性IP，执行以下命令，SSH远程连接弹性云主机。 ssh 用户名@弹性IP 说明 使用“SSH密钥方式”登录弹性云主机时： 如果是“CoreOS”的公共镜像，镜像的用户名为“core”。 如果是“非CoreOS”的公共镜像，镜像的用户名为“root”。 3. （可选）如果系统弹窗提示“SSH安全警告”，此时需单击“接受并保存”。 图 SSH安全警告 4. 选择“Public Key”，并单击“用户密钥(K)”栏的“浏览”。 5. 在“用户密钥”窗口中，单击“导入”。 6. 选择本地保存的密钥文件，并点击“打开”。 7. 单击“确定”，登录弹性云主机。

本文介绍如何创建用户。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧导航栏，选择用户与角色管理 ，进入用户管理页面。 5. 单击创建用户。 6. 在创建用户 面板中，配置如下参数，然后单击确定。 参数 说明 用户名 用户名称，由数字、字母、短横线、下划线组成，并且只能以字母开头。 密码安全策略 配置密码的安全策略，取值范围： 复杂度低临时有效：1.密码无限制；2.密码有效期15天；3.旧密码可重用。 复杂度中短期有效：1.密码长度最少8位，大小写字母，数字，特殊符号必须包含至少2种；2.密码有效期30天；3.旧密码可重用。 复杂度高中期有效：1.密码长度最少8位，大小写字母，数字，特殊符号必须包含至少3种；2.密码有效期90天；3.旧密码不能重用。 复杂度高长期有效：1.密码长度最少8位，大小写字母，数字，特殊符号必须包含至少3种；2.密码有效期365天；3.旧密码不能重用。 复杂度高永久有效：1.密码长度最少8位，大小写字母，数字，特殊符号必须包含至少3种；2.密码永久有效；3.旧密码可重用。 密码 密码复杂度需要符合密码安全策略。 管理命令权限 开启后用户具备管理命令的权限。 过载保护名单 开启后用户加入过载保护白名单。 前端连接数不受限 开启后用户不受前端最大连接数限制。 角色 用户关联角色后，拥有角色设置的权限。 说明 创建用户时可以关联已创建的角色，角色相关内容请参见角色管理。 如果您当前未创建角色，则无法设置该参数，您可以在创建用户和角色后，通过编辑用户为该用户关联角色。 具有Hint权限 开启后用户具有Hint权限。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见“支持云审计的CFW操作列表”。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见“支持云审计的CFW操作列表”。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本文为您介绍什么是算力专网。 产品介绍 算力专网产品依托于中国电信CN2DCI承载网，采用多协议标签交换（MPLS）或SRv6+EVPN方式，为客户提供上网、入云、多站点/多云组网的虚拟专网业务，支持客户总部/分支等普通站点、天翼云资源池站点和第三方公有云站点的接入，实现业务自动开通、带宽随选和业务可视等特性。 算力专网的组网示意图如下图所示：

本文主要介绍弹性负载均衡 弹性负载均衡（Elastic Load Balance ，以下简称ELB）通过将访问流量自动分发到多台弹性云主机，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 用户通过基于浏览器、统一化视图的云计算管理图形化界面，可以创建ELB，为服务配置需要监听的端口，配置云主机。消除单点故障，提高整个系统的可用性。 通过云审计服务，您可以记录与弹性负载均衡相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的ELB操作列表 操作名称 资源类型 事件名称 创建健康检查 healthcheck createHealthcheck 删除健康检查 healthcheck removeHealthcheck 更新健康检查 healthcheck updateHealthcheck 创建证书 certificate createCertificate 删除证书 certificate removeCertificate 更新证书 certificate updateCertificate 创建监听器 listener createListener 删除监听器 listener deleteListener 更新监听器 listener updateListener 删除ELB elb deleteELB 创建ELB elb createELB 更新ELB elb updateELB 添加后端主机 member createMember 移除后端主机 member deleteMember 配置访问日志 AccessLog ConfigureAccessLog

自动绑定配额 开启“自动绑定空闲防护配额”开关，系统会自动为云主机绑定空闲可用的防护配额。 说明 云主机绑定顺序：优先绑定最新购买的服务器。 配额绑定顺序：旗舰版 > 企业版。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 打开“自动绑定空闲防护配额”开关，开启自动绑定配额功能。 4. 系统立即同步资产，并为资产绑定空闲可用的防护配额。

本文介绍分布式容器云平台的产品定义。 产品定义 分布式容器云平台是面向多云、多集群等场景推出的企业级容器云平台，支持连接并管理异构的 Kubernetes 集群，提供一致管理体验与云原生兼容接口，实现对集群、应用、数据、服务与策略的统一管控。 基本概念 在使用分布式容器云平台前，需理解该产品所涉及的概念。 术语 解释 注册集群 支持天翼云、三方云和本地IDC集群，通过注册集群实现分布式集群统一纳管和运维。 容器舰队 根据业务自定义编排容器舰队，实现多集群统一管理，包括：权限管理、应用编排、服务治理、流量分发等。 集群联邦 提供跨云、跨地域集群联邦能力，实现多集群的统一管理、应用部署、服务发现、弹性伸缩、故障迁移。

本文为您介绍为Windows Server添加AD、DHCP、DNS、IIS服务的最佳实践。 操作场景 为Windows Server添加AD、DHCP、DNS、IIS服务，具体操作步骤如下。 操作步骤 1. 打开“服务器管理器”, 点击“本地服务器”, 选择对应的“关闭”选项，之后点击“确定”完成配置。 2. 进入“服务器管理器”的页面点击“仪表板”。 3. 单击“添加角色和功能”，为服务器添加新的角色和功能，包括DNS、DHCP、IIS、NET Framework3.5。 4. 在“服务器角色”导航栏中，勾选“Active Directory 域服务”、“DHCP 服务器”、“DNS 服务器”和“Web 服务器(IIS)”。 5. 单击“下一步”。 6. 在“功能”导航栏中，选中“.NET Framework 3.5 功能”。 7. 单击“下一步”。 8. 在“确认”导航栏中，勾选“如果需要，自动重新启动目标服务器”。 9. 单击“安装”，开始安装。 10. 安装完成后，单击“将此服务器升级为域控制器”，开始配置AD服务。 11. 因为没有已经存在的域环境，选择“添加一个新forest”，创建一个新的forest并设置根域名。如“根域名”可以设置为“sp160.com.cn”。 12. 单击“下一步”。 13. 设置密码，该密码用于备份还原域控。 14. 单击“下一步”，直至安装完成。 15. 单击“实现 DHCP 配置”，开始配置DHCP功能。 16. 单击“下一步”，选择默认配置。 17. 单击“确认”。 18. 配置完成，单击“关闭”。

天翼云为您提供驻场运维服务等级协议说明，请您点击查看。 驻场运维服务等级协议

本节介绍如何开启云专线防护。 前提条件 当前账号下已创建物理专线，详细操作请参见创建物理专线。 仅“企业版”支持开启云专线防护。 一个云专线防护将消耗1个“VPC边界防火墙配额数” 配额，在开启防护前，确保有足够的VPC边界防护配额。 开启云专线防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 在“云专线”页签，找到需要开启防护的云专线实例，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有云专线资产未同步，可以在VPC边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 云专线列表展示当前账号下所有云专线实例。列表包括VPC名称、VPC ID、VPC网段IPv4、子网网段IPv4、专线网关名称、专线网关ID、其他目的网段IPv4、防护状态。 4. 进入开启云专线防护页面，根据界面提示完成相应配置。 后续操作 开启防护后，您可以为防火墙设置防护策略、查看日志等，以便更好地管控云专线的流量访问。 配置访问控制策略 配置入侵防御策略 查看访问控制日志 查看入侵防御日志 查看流量日志

通过产品控制台退订 您可通过产品控制台退订，此处以云主机退订为例进行说明。 1、登录天翼云，进入 控制中心云主机控制台。 2、选择需要退订的资源，点击右侧“更多退订“，进入退订详情页面。 3、确认退订信息，信息确认无误后勾选协议，点击退订并再次确认，确认后即刻完成退订。 （截图示例中资源通过代金券购买，且7天无理由退订次数已用完，退订不返还代金券，因此退订金额为0元）

本文介绍云硬盘回收站的计费方式。 回收站计费说明 回收站中的云硬盘采用按需付费的方式计费，先使用，后付费。 结算方式 支持按秒计费，按小时结算，不足一小时以实际使用时长为准。 回收站服务计费细则 云硬盘回收站根据回收站中的云硬盘的类型、容量和云硬盘在回收站中实际保留时长计费，具体请参见计费模式。 开始计费：云硬盘被删除后进入回收站时开始计费。 停止计费：云硬盘从回收站销毁后停止计费。 不同类型的云硬盘价格如下： 产品规格 按需标准价格（元/G/小时） 普通IO（SATA） 0.0005 高IO（SAS） 0.0009 通用型SSD 0.00097 超高IO（SSD） 0.0017 极速型SSD 0.0042 欠费 当账户欠费时，已在回收站中的云硬盘会进入冻结保留期，销毁时间以回收站保留期（自进入回收站起保留7天）和冻结保留期（自欠费起保留15天）中最早达到销毁条件的时间为准。 欠费期间，回收站中的资源仍然持续扣费，直至资源被系统销毁或用户手动销毁。

本节介绍了安装CloudInit工具的操作场景、前提条件、安装步骤说明等内容。 操作场景 为了保证使用私有镜像创建的新云主机可以通过“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码），请在创建私有镜像前安装CloudInit工具。 安装CloudInit工具时需要从官网下载并安装，因此，需要提前为云主机绑定弹性公网IP。 不安装CloudInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 使用公共镜像创建的云主机，默认已经安装CloudInit，不需要执行安装及配置操作。 用户导入镜像创建的云主机，请按照指导安装及配置CloudInit。配置CloudInit操作请参考配置CloudInit工具章节。 前提条件 已为云主机绑定弹性公网IP。 已登录云主机。 云主机的网卡属性为DHCP方式。 安装步骤说明 1. 请先检查是否已安装CloudInit工具。 具体操作请参考下文“检查是否已经安装CloudInit工具”。 2. 安装CloudInit工具。 CloudInit安装方式分为：采用官方提供的包源安装CloudInit工具（优先推荐）、采用官方提供的CloudInit源码包通过pip方式安装CloudInit工具和采用源码编译安装方法，如下文。 检查是否已经安装CloudInit工具 请先执行如下步骤检查是否已安装CloudInit工具。 在不同的操作系统下，查看是否已经安装CloudInit工具的方法不同，以CentOS 6系列为例，执行以下命令查看是否安装CloudInit工具。 rpm qa grep cloudinit 回显类似如下，表示已经安装CloudInit工具，无需重复安装。 cloudinit0.7.510.el6.centos.2.x8664 如果已安装CloudInit工具，还需要执行以下操作： 请确认当前云主机操作系统中的证书是否继续使用。如果不再使用该证书，请删除证书。 − root用户对应目录下的文件（如 “/$path/$to/$root/.ssh/authorizedkeys”），执行以下命令： cd /root/.ssh rm authorizedkeys − 非root用户对应目录下的证书文件（如 “/$path/$to/$noneroot/.ssh/authorizedkeys”），执行以下命令： cd /home/centos/.ssh rm authorizedkeys 执行以下命令，清除CloudInit工具产生的缓存，确保使用该私有镜像创建的云主机可以使用证书方式登录。 sudo rm rf /var/lib/cloud/ 说明： 设置完成后请勿重启云主机，否则，需重新设置。