AntiDDoS流量清洗产品价格 适用节点 目前仅适用于广州4、苏州、华北、西安2、贵州、 成都3、 芜湖、 上海4、 杭州、 长沙2、 福州、 武汉2、 兰州、 南昌、北京2、深圳、西宁、重庆、乌鲁木齐（新疆）、青岛、 石家庄、 郑州、南宁、昆明、海口、中卫（银川）、太原、哈尔滨、天津、沈阳3、长春、内蒙3节点。 计费说明 AntiDDoS流量清洗（CTAntiDDoS ，AntiDDoS ）为免费服务。但与AntiDDoS流量清洗关联的天翼云产品，按正常相关云产品对应的价格收费。

本文介绍容器安全卫士管理类常见问题。 容器安全卫士有哪些注意事项？ 安全探针仅支持三种容器运行时，包括：docker、containerd、crio。 安全探针在运行时会挂载k8s node宿主机的 /data（非crio）和 /root（crio）目录，请确保目录的权限正常。 安全探针需要跟中心通信，请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 接入容器安全卫士对现有业务和服务器运行有影响吗？ 接入容器安全卫士不需要中断现有业务，不会影响服务器的运行状态，即不需要对其进行任何操作（例如关机或重启）。 防护探针本身需要占用宿主机一定资源，可能会对宿主机产生一定影响。不过请放心，容器安全卫士对防护探针做了资源监控和降级处置，来保障业务稳定、安全。

多种模式，按需启用 支持域名映射 和CNAME两种主流模式，隐藏实际内网地址，保护企业资产。 自定义登录页面，可配置企业LOGO、名称等品牌信息，提升用户辨识度。 安全可靠，动态管控 基于零信任架构，每次访问均需经过身份校验和权限检查，避免“一次认证，永久信任”风险。 支持内网地址解析转换，通过网关代理流量，确保用户仅能访问授权范围内的资源。 适用场景 AOne零信任无端访问通过浏览器即服务的轻量化设计，兼顾便捷性与安全性，适用于需要远程访问内部资源的企业、高校、机构等场景。通过灵活选择CNAME或域名映射模式，配合动态权限管控和全流程加密，帮助用户构建安全、高效的零信任网络访问体系。

记录类 型 记录 类型介绍 记录 值 格式 适用场景 A记录 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 填写IPv4地址，最多可以输入8个不重复地址，每行一个。 例:192.168.10.10。 主机记录，也可用作低成本负载均衡方案。 CNAME记录 指定域名的别名，用于将域名解析到另一域名，或者多个域名映射到同一域名上。 填写您要指向的别名，只能写一个域名。 例:www.example.com。 别名记录，可用于隐藏主域名。 MX记录 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 填写邮箱服务器地址，最多可以输入8个不重复地址，每行一个。格式: [优先级] [邮箱服务器域名地址] 例:10 mailserver.example.com。 邮件交换记录，邮件服务器使用。 AAAA记录 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 填写IPv6地址，最多可以输入8个不重复地址，每行一个。 例:ff03:0db8:85a3:0:0:8a2e:0370:7334。 IPv6主机记录，场景等同于A。 TXT记录 用于对域名进行标识和说明，可填写任意的信息。 填写文本记录值,每行一个。(单个文本记录值支持多个字符串，每个字符串最长不超过255字符，以空格分开，不支持反斜杠字符””)，最多输入8行记录。 例:"Text wrapped in quotation marks"。 记录DKIM的公钥，用于反电子邮件欺诈。用于记录域名所有者身份信息，用于域名找回。 SRV记录 记录了具体某台计算机对外提供哪些服务，供用户查询使用。SRV中除了记录服务器的地址，还记录了服务的端口，并且可以设置每个服务地址的优先级和权重。 填写指定服务的服务器地址，最多可以输入8个不重复地址，每行一个。格式：[优先级] [权重] [端口号] [目标地址] 例：3 0 2176 xmppserver.example.com。 一般用于Microsoft系统目录管理。 PTR记录 指定IP地址反向解析记录，用于通过私网IP地址反向查询对应的云主机。 反向解析返回的域名值，只能写1个域名。 例:www.example.com。 用于反向地址解析。

本文简述天翼云边缘安全加速平台安全与加速服务支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云边缘安全加速平台安全与加速服务，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 分组加密/块加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 / RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

本文介绍资源使用者的相关操作 资源使用者是共享资源接收方，对共享资源有权限范围内的使用权。 共享资源的使用者可以进入“共享给我”页面，查看与管理所收到的共享资源与共享请求。 管理共享实例 查看待接受的共享实例 进入“企业中心资源共享”，点击“共享给我”“共享管理”“待接受共享”，可以查看外部账号所共享给本账号的共享实例ID，邀请时间以及资源的所有方等信息，并可在此页面选择是否接受此共享请求。 接受被邀请的共享实例 进入“企业中心资源共享”，点击“共享给我”“共享管理”“待接受共享”，通过共享实例名称或ID，定位到待接受的共享实例，点击“接受” 退出已加入的共享实例 进入“企业中心资源共享”，点击“共享给我”“共享管理”“已接受共享”，通过共享实例名称或ID，定位到待接受的共享实例，点击“退出” 查看所收到的共享资源 进入“企业中心资源共享”，点击“共享给我”“共享资源”，可以查看所接收到共享资源的资源ID、所属资源池、资源类型等信息。

本文向您介绍如何排查企业版VPN流量丢包的问题。 故障现象 云下数据中心服务器对VPC上的ECS服务器执行Ping操作时，存在流量丢包。 VPC上的ECS服务器对云下数据中心服务器执行Ping操作时，存在流量丢包。 处理步骤 检查客户侧组网和带宽情况 确认客户网络的组网是否多出口，是否因为负载分担组网将流量分配到非VPN连接出口导致流量丢包，确保数据流恒定走特定出口访问云侧。 使用客户侧VPN网关地址Ping云侧VPN网关IP以及其他公网（例如：114.114.114.114），检查公网时延、丢包率。 如果公网网络质量存在问题，建议向所在网络提供运营商进行求助。 检查客户出口设备带宽是否超限。 检查云侧组网和带宽情况 检查VPN网关的带宽是否超限。 1. VPN网关主/备EIP带宽规格大小，可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称查看。 2. VPN网关实际带宽使用情况可以选择“虚拟专用网络 > 企业版VPN网关”，单击公网IP栏主/备EIP对应的，查看带宽是否达到上限。 如果超限，可以通过扩容VPN网关的带宽进行解决。

本文介绍分布式消息服务RocketMQ入门指引的环境准备内容。 概述 在创建天翼云分布式消息服务RocketMQ实例之前，您需要做一些准备工作。 首先，您需要设置一个虚拟私有云（VPC），这是一个隔离的网络环境，用于托管RocketMQ实例。 接下来，您需要创建一个子网，它是VPC内部的一个子网络，用于划分不同的部分和区域。 最后，您需要配置一个安全组，用于控制入站和出站的流量规则，以保证RocketMQ实例的安全性。 每个分布式消息服务RocketMQ实例都会被部署在特定的VPC中，并与特定的子网和安全组相关联。这种方式可以让您自主配置和管理RocketMQ实例的网络环境，并提供安全保护策略。如果您已经有了现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这样可以节省时间和资源，并确保一致性和可靠性。 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置RocketMQ实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与使用的天翼云分布式消息服务RocketMQ服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络。 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网。 要注意的是： 如果用户需要创建ipv4实例，则VPC子网只需配置ipv4子网。 如果用户需要创建ipv6实例，则vpc子网只需配置ipv4/ipv6双栈子网。

本文向您介绍如何开启网卡多队列功能。 操作场景 随着网络IO的带宽不断提升，单核CPU处理网络中断存在瓶颈，不能完全满足网卡的需求，通过开启网卡多队列功能，您可以将弹性云主机中的网卡中断分散给不同的CPU处理，以满足网卡的需求，从而提升网络PPS和带宽性能。 假设以下场景所述的弹性云主机满足规格和虚拟化类型要求： 使用网卡多队列支持列表中的公共镜像创建的弹性云主机，默认已开启网卡多队列，无需执行本节操作。 对于私有镜像场景，如果您的外部镜像文件的操作系统在网卡多队列支持列表范围内，需要按照如下流程开启网卡多队列： 将外部镜像文件导入镜像服务控制台。 使用私有镜像创建弹性云主机。 执行网卡多队列的配置脚本。 说明 云主机开启网卡多队列功能后，如果后续有新增或删除网卡，切换VPC等操作，需要重新对云主机设置网卡多队列。 网卡多队列支持列表 网卡多队列的支持情况和实例规格、虚拟化类型、镜像的操作系统有关，只有同时满足这些要求，弹性云主机才能开启网卡多队列功能。 支持网卡多队列的规格请参考弹性云主机产品规格，网卡多队列数大于1的表示支持多队列。 所有公共镜像均支持网卡多队列。

本文将为您介绍资源栈展示的信息。 操作步骤 1. 登录控制中心。 2. 在控制台首页搜索“资源编排ROS”，或在左侧产品导航栏选择“管理工具 > 资源编排ROS”，进入资源编排控制台。 3. 在左侧导航栏选择 资源栈管理。 4. 单击资源栈，进入资源栈详情。 资源栈详情 基本信息 1. 展示资源栈基本信息，展示当前资源栈的模板及版本信息、企业项目、资源并发量。展示最近一次部署成功的执行计划信息。 2. 支持设置失败时回滚： 开启： 资源栈创建失败时，将删除已成功创建的资源，资源栈回滚至上一次创建成功的状态。 关闭： 资源栈创建失败时，将保留已成功创建的资源。 3. 支持设置删除保护：删除保护打开时，将无法手动删除资源栈，需手动关闭该配置后才可继续删除。 4. 支持设置跳过资源预检：开启跳过资源预检，将在部署/创建执行计划/删除/回滚时跳过资源最新配置检查（refresh），直接按模板执行 若资源曾被控制台等非 ROS 渠道修改过，开启该功能可能导致部署结果偏离预期，需谨慎操作。建议仅在资源完全由 ROS 托管、不脱离ROS控制台操作时开启。 资源列表 展示最近一次部署成功的资源栈内所有资源。 通过一个实际的模板示例，解释名词如下： 云资源类型：指通过部署资源栈实际创建出来的资源类别，例如虚拟私有云、子网、弹性云主机、裸金属等 逻辑资源名称：指模板中定义的资源名称，即“vpclogicName” 逻辑资源类型：指模板中定义的资源类型，即“ctyunvpc” 实体资源名称/ID：指通过部署资源栈实际创建出来的资源，例如在虚拟私有云控制台上可查看到的vpc资源。 实体资源参数：指根据模板中定义的资源参数，实际赋值给实体资源的参数，即“name、cidr、description、enableipv6”都是实体资源参数 java resource "ctyunvpc" "vpclogicName" { name var.vpcname cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true }

本文主要介绍权限管理 如果您需要在云上购买的APM资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制APM资源的访问。 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制员工对APM资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有APM的使用权限，但是不希望开发的人员拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制服务对服务发现规则资源的使用范围。 如果帐号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用APM的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 APM权限 默认情况下，管理员创建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对APM进行操作。 APM是全局级服务，在授予用户APM权限时，默认对APM支持的所有区域生效。APM资源是租户隔离的，当前租户下所有子用户共享资源，如果需要隔离资源，可以通过企业项目实现。 APM部署时不区分物理区域，为全局级服务。授权时，在“企业 > 项目管理”中设置权限，访问APM时，不需要切换区域。 如表所示，包括了APM的所有系统权限。 表 APM系统权限 角色名称 描述 类别 APM FullAccess 应用性能管理服务的所有执行权限。 系统策略 APM ReadOnlyAccess 应用性能管理服务的只读权限。 系统策略 下表列出了APM常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 APM FullAccess APM ReadOnlyAccess 获取告警列表 √ √ 获取告警详情 √ √ 获取告警通知详情 √ √ 获取应用配置 √ √ 创建应用配置 √ x 删除应用配置 √ x 修改应用配置 √ x 获取标签 √ √ 新增标签 √ x 删除标签 √ x 修改标签 √ x 查询告警模板 √ √ 添加告警模板 √ x 删除告警模板 √ x 修改告警模板 √ x 获取通知 √ √ 删除通知 √ x 添加通知 √ x 修改通知 √ x 获取URL跟踪 √ √ 删除URL跟踪 √ x 添加URL跟踪 √ x 修改URL跟踪 √ x 获取URL跟踪视图 √ √ 获取URL跟踪列表 √ √ 获取全局拓扑 √ √ 获取子应用 √ √ 获取环境配置 √ √ 添加环境配置 √ x 删除环境配置 √ x 修改环境配置 √ x 获取实例 √ √ 删除实例 √ x 修改实例 √ x 获取监控项 √ √ 修改监控项 √ x 获取采集状态 √ √ 获取自定义告警策略 √ √ 删除自定义告警策略 √ x 修改自定义告警策略 √ x 添加自定义告警策略 √ x 获取环境拓扑 √ √ 获取指标视图 √ √ 获取调用链列表 √ √ 获取调用链详情 √ √ 获取采集器信息 √ √ 获取访问密钥 √ √ 修改访问密钥 √ x 删除访问密钥 √ x 添加访问密钥 √ x 获取通用配置 √ √ 修改通用配置 √ x

457 [前端]优化实例监控展示逻辑，支持更细粒度（如1小时等）查看监控，提升准确性。详见：实例计算/存储节点监控。 473 优化租户权限配置策略，实现精细化的权限控制。 481 [DBProxy]优化扩容节点时新增节点版本获取逻辑，使各节点扩容前后版本一致。 513 优化实例防火墙白名单更新策略，提升运维效率，该优化对公有云租户端不可见。 516 [管理平台]优化企业项目权限分配逻辑，精细化权限控制，该优化公有云租户端不可见。 551 优化查询执行计划的接口的传输加密策略，提升安全性，该优化租户端不可见。 问题修复 302 [GiServer]修复索引重建时出现的重复任务名称问题。 358 修复相关社区新增安全风险。 365、366 [DBProxy]修复控制台执行类似sharding @@table name'' set type' single ' 的语句，任务执行失败后无法回滚问题。 383 [DBProxy]修复在加密表中，执行INSERT操作失败问题。 400 [DBProxy]修复新创建的表名称与回收站中存在的表名称相同，导致无法通过udal show ddlJob where taskidxx命令查看建表任务进度问题。 432 [DBProxy]修复DBProxy侧执行DDL语句时，由于未设置超时时间，导致底层MySQL连接一直持续，执行的DDL语句卡住问题。

本节主要介绍概述 应用运维管理（Application Operations Management）是云上应用的一站式立体化运维管理平台，实时监控用户的应用及相关云资源，采集并关联资源的各项指标、日志及事件等数据共同分析应用健康状态，提供灵活的告警及丰富的数据可视化功能，帮助用户及时发现故障，全面掌握应用、资源及业务的实时运行状况。 AOM作为云上应用的一站式立体化运维管理平台，可以实现对云主机、存储、网络、WEB容器、docker、kubernetes等应用运行环境的深入监控并进行集中统一的可视化管理，能够有效预防问题的产生及快速帮助应用运维人员定位故障，降低运维成本。AOM并非传统监控，它通过应用的角度看业务，满足企业对业务的高效和快速迭代的需求，可帮助企业实现 IT 对业务的有效支撑，保护、优化IT资产投资，使企业更好的达到其战略目标并实现IT资产调优。 控制台说明 类别 说明 :: 总览 提供监控概览及仪表盘功能。 监控概览 “监控概览”界面提供了资源、应用、应用用户体验的全链路、多层次、一站式运维界面。 仪表盘 通过仪表盘可将不同图表展示到同一个屏幕上，通过不同的仪表形式来展示资源数据，例如，曲线图、数字图等，进而全面、深入地掌握监控数据。 告警 提供告警列表、事件列表、告警规则、告警通知等功能。 告警列表 告警是指AOM自身或外部服务在异常情况或在可能导致异常情况下上报的信息，并且您需采取相应措施清除故障，否则会由于AOM自身或外部服务的功能异常而引起业务的异常。 告警列表展示已设时间范围内产生的告警。 事件列表 事件告诉您AOM自身或外部服务发生了某种变化，但不一定会引起业务异常，事件一般用来表达一些重要信息。 事件列表展示已设时间范围内产生的事件。 告警规则 通过告警规则可对服务设置事件条件或者对资源的指标设置阈值条件。当服务的资源数据满足事件条件时产生事件类告警。当资源的指标数据满足阈值条件时产生阈值告警，当没有指标数据上报时产生数据不足事件，以便您在第一时间发现异常并进行处理。 监控 提供应用监控、组件监控、主机监控、容器监控、指标浏览等功能。 应用监控 应用是您根据业务需要，对相同或者相近业务的一组组件进行逻辑划分，AOM提供以应用维度整体进行监控。 组件监控 组件即您部署的服务，包括容器和普通进程。 组件列表展示了每个组件的类型、CPU占用、内存占用和告警状态等信息，AOM支持从组件下钻到实例，从实例下钻到容器。通过各层状态，您可完成对组件的立体监控。 主机监控 通过AOM您可监控主机的资源占用与健康状态，监控主机的磁盘、文件系统等常用系统设备，监控运行在主机上的业务进程或实例的资源占用与健康状态。 容器监控 容器监控的对象仅为通过CCE部署的工作负载、通过ServiceStage创建应用。 指标浏览 指标浏览展示了各资源的指标数据，您可实时监控指标值及趋势，还可将关注的指标添加到仪表盘，对其创建阈值规则和导出监控报告等操作，以便实时查看业务及分析数据。 日志 提供日志搜索、日志文件、日志转储、日志路径等功能。 日志搜索 当需要通过日志来分析和定位问题时，使用日志搜索功能可帮您快速在海量日志中查询到所需的日志，您还可结合日志的来源信息和上下文原始数据一起辅助定位问题。 日志文件 您可快速查看组件实例的日志文件，以便定位问题。 日志转储 AOM支持将日志转储到对象存储服务（Object Storage Service，简称OBS）的OBS桶中，以便进行长期存储。 日志路径 AOM支持容器服务日志和虚机（这里的虚机指操作系统为Linux的弹性云主机或物理机）日志采集，即采集您自定义的日志文件并展现在AOM界面中，以供您检索。使用该功能前首先要配置日志采集路径。 配置管理 提供ICAgent管理、应用发现、日志配置等功能。 ICAgent管理 ICAgent用于采集指标、日志和应用性能数据。对于在ECS、BMS控制台直接购买的主机，您需手动安装ICAgent。对于通过CCE间接购买的主机，ICAgent会自动安装，您不用安装ICAgent。 数据订阅 支持用户订阅指标或者告警信息，订阅后可以将数据转发到用户配置的kafka或DMS的Topic中，供消费者消费转发的订阅的信息。 应用发现 应用发现是指AOM通过配置的规则发现和收集您主机上部署的应用和关联的指标。 日志配置 提供日志配额和分词设置功能。 配额配置 当指标超过配额时，时间较早的指标将会被删除。 指标配置 指标采集开关用来控制是否对指标数据进行采集（SLA指标、自定义指标除外）。

参数名称 说明 应用英文名称 应用的英文名称，不能为空。支持输入1~128个字符，只能包含数字、字母、下划线、中划线、并且以英文字母开头。 应用显示名称 应用显示的名称，不能为空。支持输入1~128个字符，只能由数字、字母、中文、下划线、中划线、括号以及小数点组成。 企业项目 在下拉菜单中选择企业项目，仅开通企业版才会显示。 描述 应用的描述信息，最多可输入1000个字符。

本节介绍分布式消息服务RocketMQ相关的产品规格,以便您正确理解和使用。 （1）以下适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 注意 通用型规格已调整为白名单特性，如需了解该规格参数请联系技术支持。 ctgmq引擎已调整为白名单特性，如需了解该引擎请联系技术支持。 单机版实例面向用户体验和业务测试场景，无法保证性能和高可用。如果需要在生产环境使用RocketMQ实例，建议购买集群版实例。 天翼云分布式消息服务RocketMQ版产品规格由以下五个维度定义： 资源规格：定义使用的弹性云服务器的规格类型。 代理个数：即Broker数量，定义实例的规模，天翼云分布式消息RocketMQ每个Broker由一个Master节点（主节点）和一个Slave节点（备节点）组成，详细见产品架构。 存储容量：定义单个代理可以保存的存储容量。 单个代理TPS：定义单个代理的TPS性能。 单个代理消费组数上限：定义单个代理可以创建的消费组数量。 天翼云分布式消息服务RocketMQ支持的产品规格如下所示： 说明 TPS（Transaction per second）是指每秒可以生产消息和消费消息的总次数，可以理解为对应规格每秒生产消息和消费消息的总吞吐量。

如何获取企业微信机器人的key？ 在配置告警通知联系组时，若开启微信机器人，需要输入key，请根据以下步骤获取微信机器人的key。 注意 企业微信群必须是内部群，外部群无法添加机器人。 1. 登录企业微信客户端，选择需要添加微信机器人的群聊。 2. 单击群聊右上角的“更多”图标。 3. 在群管理模块，选择“群机器人”，添加群机器人。 4. 复制并记录Webhook地址。 Webhook地址中，“key”后的部分即为通知联系组配置微信机器人所需的key。 说明 例如：Webhook地址为

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本章节主要介绍翼MapReduce服务Kafka健康检查指标项说明。 Broker可用节点数 标项名称 ：Broker数目 指标项含义 ：检查集群中可用的Broker节点数，若集群中可用的Broker节点数小于2，则认为不健康。 恢复指导 ：如果该指标项异常，进入Kafka服务实例页面，单击不可用Broker实例的“主机名”，在“概要信息”中查看主机的健康状态，若为“良好”，则参见“进程故障”告警进行处理；若不为“良好”，则参见“节点故障”告警进行处理。 服务健康状态 指标项名称 ：服务状态 指标项含义 ：检查Kafka服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见“Kafka服务不可用”告警进行处理。 检查告警 指标项名称 ：告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。

本章节主要介绍翼MapReduce的主机操作。 选择“主机 > 资源概况 > 主机”，可查看主机资源概况，分为基础配置（CPU/内存）和磁盘配置两部分，如下图所示。 单击“导出数据”，可导出集群中所有主机的配置列表，包括主机名称、管理IP、主机类型、核数、平台类型、内存容量、磁盘大小等。 详见下图：主机资源概况 基础配置（CPU/内存） 鼠标放置饼图上会显示当前区域集群中各节点不同硬件配置下的配置信息及数量，格式为： 核数（平台类型）内存大小：数量 。 单击相应区域，会在下方显示相应的主机列表。 磁盘配置 横轴为节点上磁盘总容量（包含OS盘），纵轴为逻辑磁盘数量（包含OS盘）。 鼠标放置圆点上会显示处于当前配置状态下的磁盘信息，包括磁盘数量、总容量、主机数。 单击相应圆点，会在下方显示相应的主机列表。

本章节主要介绍翼MapReduce的执行角色实例主备倒换操作。 操作场景 部分服务的角色以主备高可用的模式进行部署，在需要对主实例进行维护不能提供服务，或者其他维护需要时，可以手动触发实例主备倒换。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 在服务详情页面单击“更多”，选择“执行角色实例倒换”。 5. 输入当前登录的用户密码确认身份，单击“确定”。 6. 在弹出界面单击“确定”，执行角色实例主备倒换。 说明 Manager部件包支持的主备倒换角色实例的服务有：DBService。 HD部件包支持的主备倒换角色实例的服务有：HDFS、Yarn、Storm、HBase、Mapreduce。 HDFS的角色NameNode在进行主备倒换时，需要指定NameService。 Porter部件包支持的主备倒换角色实例的服务有：Loader。 其他角色实例则不支持此功能。

本节为您介绍服务器迁移服务优势。 兼容性强 支持广泛平台：云迁移服务支持国内外主流公有云和私有云平台虚拟机迁移，支持X86和ARM同构服务器之间的迁移。多种环境下都能轻松进行迁移操作，无需担心兼容问题。 信创适配：云迁移服务支持信创迁移，对于信创环境的迁移(支持的操作系统类型详情见下方兼容表说明)，云迁移服务也能提供完善的支持和兼容，让迁移过程更加顺利和高效。 覆盖主流操作系统：云迁移服务覆盖约90种主流操作系统，涵盖了多种操作系统的版本和类型，确保您可以在多样化的环境中进行迁移。 兼容表如下表所示： 兼容情况说明 云平台兼容 天翼云 云平台兼容 阿里云 云平台兼容 华为云 云平台兼容 移动云 云平台兼容 百度智能云 云平台兼容 腾讯云 云平台兼容 Vmware 云平台兼容 AWS 云平台兼容 品高云 云平台兼容 云宏 云平台兼容 盛大云 云平台兼容 微软云 云平台兼容 小鸟云 操作系统兼容 CentOS 5/6/7/8 操作系统兼容 Redhat 5/6/7/8 操作系统兼容 Oracle linux 5/6/7/8/9 操作系统兼容 Ubuntu 12.0422.04 操作系统兼容 Debian 6/7/8/9/10/11 操作系统兼容 Fedora 938 操作系统兼容 SUSE 1215 操作系统兼容 OpenSUSE 1215/42.3 操作系统兼容 Rocky Linux 8.5 操作系统兼容 Tencent OS 2.4/3.1 操作系统兼容 Anolis OS 8.2/8.6 操作系统兼容 Alibaba 2.1903 操作系统兼容 OpenEuler 20.03/22.03 操作系统兼容 麒麟 V10 操作系统兼容 统信UOS V20 操作系统兼容 OpenEuler（arm64） 20.03 操作系统兼容 麒麟（arm64） V10 操作系统兼容 统信UOS（arm64） V20 操作系统兼容 Windows 10/11 操作系统兼容 Windows Server 2008R22022 操作系统兼容 Huawei Cloud EulerOS 1.0/2.0 操作系统兼容 红旗 4.4/7.3 操作系统兼容 CTyunOS 全系列 处理器架构兼容 X86 Intel 处理器架构兼容 X86 AMD 处理器架构兼容 X86 海光 处理器架构兼容 ARM 鲲鹏 处理器架构兼容 ARM 飞腾

本节介绍了复制镜像的流程。 1、登录天翼云控制中心; 2、在云主机控制台，单击【镜像服务】； 3、在镜像服务列表，选择私有镜像页签，在操作列点击【更多 > 复制】 4、填写相关信息，点击确认，完成镜像复制。

对比项 镜像部署 手工部署 部署时长 2~5分钟 1~2天 复杂度 使用公共镜像，或者根据已使用过的方案均可快速创建符合要求的云主机。 评估业务场景，选择合适的操作系统、数据库、应用软件等，并且需要安装和调试。 安全性 除共享镜像需要用户自行甄别来源以外，公共镜像、私有镜像均经过严格测试，能够保证镜像安全、稳定。 依赖开发或运维人员的水平。

本节介绍了修改私有镜像的流程。 1、登录天翼云控制中心; 2、在云主机控制台，单击【镜像服务】； 3、在镜像服务列表，选择私有镜像页签，在操作列点击【修改】 4、修改其中的参数，点击确定，完成修改。

参数 参数类型 说明 示例 下级对象 id String 告警id testid agentGuid String 主机id testagentguid vmName String 主机名称 testhostname displayName String 实例名称 testdisplayname alarmGrade String 等级 高危 低危 中危 alarmName String 告警名称 文件异常删除 publicIp String 公网ip 192.168.1.1 privateIp String 私网ip 192.168.1.1 filePath String 文件路径 /test alarmTime String 告警时间 20200101 00:00:00 alarmStatus String 防御状态 已防御 已防御 alarmGradeCode String 等级 1低危 2中危 3高危 高危 alarmNameCode String 告警名称 delete文件异常删除 add文件异常添加 modify文件异常修改 delete alarmStatusCode String 防御状态 1已防御 1 alarmTimeGmtStr String 告警时间 20200101 00:00:00 alarmTimeGmtDate String 告警时间 20200101 00:00:00

本页为您介绍数据传输服务DTS的产品规格。 数据传输服务DTS产品规格说明 数据传输服务DTS提供如下可用的产品规格： 任务类型 分类 适用场景 参考性能 数据迁移 小规格 小规格实例，一般仅用于个人学习或者非生产环境下的产品体验和功能验证 1000RPS 数据迁移 中规格 小型企业及个人在线业务的去O迁移或上云 3000RPS 数据迁移 大规格 中小型企业及个人在线业务的去O迁移或上云 5000RPS 数据迁移 超大规格 大型型企业在线业务的去O迁移或上云 7000RPS 数据迁移 极大规格 超大型企业在线业务的去O迁移或上云 12000RPS 数据同步 小规格 小规格实例，一般仅用于个人学习或者非生产环境下的产品体验和功能验证 1000RPS 数据同步 中规格 小型企业及个人在线业务的数据复制与灾备 3000RPS 数据同步 大规格 中小型企业在线业务的数据复制与灾备 5000RPS 数据同步 超大规格 大型企业核心业务的本地同城灾备或异地灾备环境搭建 7000RPS 数据同步 极大规格 超大型企业核心业务的本地同城灾备或异地灾备环境搭 12000RPS 数据同步 特大规格 特大型企业核心业务的本地同城灾备或异地灾备环境搭建 30000RPS 说明 如需进行MySQL实例间双向同步、PostgreSQL实例间双向同步，请务必在订购时选择订购数据同步大规格及以上规格。您可以在订购时选择同步拓扑双向同步，此时系统将自动为您限制仅能选择数据同步大规格及以上规格；如订购时未选择双向同步，那么仅当您订购的数据同步实例是大规格及以上规格时，还可以在在实例配置配置迁移对象及高级配置环节选择双向同步。 订购MySQL>MySQL、PostgreSQL>PostgreSQL数据同步实例小规格，将不支持启动任务后修改同步对象，如需动态修改同步对象请选择订购中规格及以上规格。 当用户订购DDS/MongoDBDDS/MongoDB迁移链路、数据架构类型为分片，分片数>5时，可订购极大规格。 当用户订购DDS/MongoDBDDS/MongoDB同步链路、数据架构类型为分片，分片数>5时，可订购极大规格；分片数>9时，可订购特大规格。 各规格的线上运行性能受网络环境、源实例和目标实例的性能、延迟等因素影响，实际的性能数字会有差异。

本文帮助您快速熟悉ACL规则的删除操作流程。 使用场景 当某个ACL规则已经不再需要时，可以将其删除以保持网络访问控制的简洁性和可维护性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL及规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击操作列的“删除”按钮，可以对ACL规则进行删除。 7. 支持批量删除多条网络ACL规则，单击列表上方的“删除”按钮，选择需要删除的网络ACL规则。

本文帮助您快速熟悉ACL规则的停用/启用操作流程。 使用场景 当您需要控制ACL规则是否生效时，可以通过停用/启用进行控制。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL及规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击列表页的“停用/启用”按钮。 7. 在弹窗中点击“确定”，可以对ACL规则进行停用/启用，停用后对应的ACL规则暂时不生效，启用后重新生效。 注意 对于多可用区资源池来说，默认规则不支持修改、删除、启用/停用等操作。

本文介绍如何查看DHCP选项集的信息及如何查看VPC关联的DHCP选项集。 使用场景 当您需要查看DHCP选项集的相关信息及VPC所关联的DHCP选项集信息时，您可以在DHCP选项集详情页或VPC详情页去查看。 目前仅部分可用区资源池支持DHCP选项集能力，实际情况以控制台展示为准。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已创建好DHCP选项集且已关联了相应的VPC。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，本文我们以某可用区资源池为例。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在网络控制台界面，选择DHCP选项集，单击目标DHCP选项集ID进入详情。 5. 您可以在DHCP选项集详情页看到当前实例所关联的VPC。 6. 您可以在VPC详情页查看当前VPC关联的DHCP选项集。

创建告警通知策略,当告警触发时,只要不符合静默策略,就会依照通知策略在对应渠道发送告警信息给对应的通知对象。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「告警管理 」「通知策略」。 功能说明 支持增删改查告警通知策略信息。 通知对象 ：可从通知组进行选择。 通知模板 ：可跟进不同通知渠道（邮件、短信、翼连）设置不同的通知模板。 通知时段 ：可以设置通知时段，默认是告警触发时通知。

托管检测与响应服务（原生版）企业版升级操作步骤说明，帮助您了解如何扩展托管云主机数量。 企业版支持升级托管资产数，在服务概览界面，点击升级进入企业版升级页面进行托管资产数升级，用户可在【升级内容】栏根据自身需求选择要增加的资产数。然后点击立即购买并支付。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击企业版服务列表内的“升级”按钮，跳转到企业版升级界面。 3. 在企业版升级页面，输入“扩展托管云主机”，并点击“立即购买“按钮，跳转到支付页面。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看扩展结果。 6. 订购完成后，24小时内，我们的服务经理会与您取的联系。

本文为您介绍使用私有镜像创建Windows弹性云主机时设置的密码不生效的解决办法。 问题描述 使用私有镜像创建Windows弹性云主机时设置的密码不生效，登录时提示密码错误。 可能原因 CloudbaseInit是Windows Server操作系统初始化的工具。它会对云主机进行一些列初始化操作，比如配置网络，注入kms server 的密钥，扩展磁盘，以及运行用户的自定义脚本等等。天翼云公共镜像默认已安装CloudbaseInit，不需要执行安装及配置操作。如您遇到描述问题可能是以下原因。 原因一：CloudbaseInit 正在按流程执行相关初始化操作，需要一定时间。 原因二：您使用的私有镜像未安装或未正确配置CloudbaseInit。 处理方法 针对原因一：如果您确认正确安装并配置了CloudbaseInit，您可以在看到用户登录界面后稍微等待一段时间，受多方面因素影响，CloudbaseInit 按流程执行相关初始化操作，到完成初始化密码需要的时间可能比期望的长。 针对原因二：此时您可以直接通过控制台进行重置密码操作，操作成功后使用新的密码即可进行登录。