本文为您介绍云堡垒机(原生版)的权限管理能力,支持通过IAM实现对云堡垒机(原生版)的访问控制、权限分配。 云堡垒机（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云堡垒机（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云堡垒机（原生版）IAM策略说明 天翼云为云堡垒机（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 ctcbh admin 云堡垒机（CBH）的全读写访问权限。 系统策略 全局级 ctcbh viewer 云堡垒机（CBH）的只读访问权限。 系统策略 全局级

本文为您介绍如何使用ECI实例访问弹性文件数据。 背景信息 天翼云弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可以为ECI提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 前期准备 已开通天翼云弹性容器实例服务。 已创建至少一个弹性文件实例，且要求与待创建ECI实例归属同一VPC。 弹性文件需要满足按量计费模式，仅支持NFS协议。 操作步骤 天翼云弹性容器实例ECI支持用户通过控制台和OpenAPI等多种方式创建挂载弹性文件作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问云硬盘中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 用户可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块500G大小的弹性文件，挂载目录为/nastest。 5. 让我们尝试在/nastest目录下创建名为helloworld.txt的文件。 6. 让我们尝试读取/nastest目录下名为helloworld.txt的文件。

如何解决向多台云主机中挂载的NFS文件系统中写入数据延迟问题？ 问题描述： 云主机1更新了文件A，但是云主机2立即去读取时，仍然获取到的是旧的内容。 问题原因： 这涉及两个原因：第一个原因是，云主机1在写入文件A后，并不会立即进行刷新（flush），而是先进行PageCache操作，依赖于应用层调用fsync或者close来进行刷新。第二个原因是，云主机2存在文件缓存，可能不会立即从服务器获取最新的内容。例如，在云主机1更新文件A时，云主机2已经缓存了数据，当云主机2再次读取时，仍然使用了缓存中的旧内容。 解决方案： 方案一：在云主机1更新文件后，一定要执行close或者调用fsync。在云主机2读取文件之前，重新打开文件，然后再进行读取。 方案二：关闭云主机1和云主机2的所有缓存。这会导致性能较差，所以请根据实际业务情况选择适合的方案。关闭云主机1的缓存：在挂载时，添加noac参数，确保所有写入立即落盘。挂载命令示例如下： plaintext 挂载命令,noac 本地挂载路径1 关闭云主机2的缓存：在挂载时，添加actimeo0参数，忽略所有缓存。挂载命令示例如下： plaintext 挂载命令,actimeo0 本地挂载路径2 根据实际情况以上方案可以确保云主机1更新文件后，云主机2能立即获取到最新内容。 注意 挂载命令在天翼云官网控制台中文件系统详情页复制。 请务必确认挂载命令中具备noresvport参数，防止文件系统卡住。

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个ClientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以调用 88f8888888dd88ec888888888d888d8b instanceID 是 String 云主机ID 8d8e88888ed888b888cb888f8b8cf8fa cycleCount 是 Integer 订购时长 6 cycleType 是 String 订购周期类型 ，取值范围:[MONTH按月,YEAR按年]，最长续订周期为3年 MONTH

本章节主要介绍云搜索服务（ES）集群的退订操作。 按需计费 按需购买的集群无需退订，请参考包月计费退订流程，进入“控制中心”，在“集群管理”页面找到需要删除的集群，在集群列表中直接删除即可。 提示 删除前建议您做好数据备份 。 包月计费 提示 退订前建议您做好数据备份 。 1.登录天翼云官网，进入控制中心； 2.进入控制中心，选择资源池，选择“云搜索服务”； 3.进入“集群管理”页面，找到需要退订的集群，选择资源信息，点击“退订/释放”。

本文带您了解该实践的应用场景、涉及的云产品、方案架构以及方案优势。 应用场景 在企业IDC上云的过程中，用户云下IDC往往面临着复杂的混合云架构，包括云下IDC的生产、测试环境，以及云上天翼云的生产、测试环境，以及云上其他云的生产、测试环境等。 为了实现对云上业务功能的访问，通常需要通过云专线或VPN连接等方式建立云下IDC与云上的连接。然而，即使建立了专线或VPN连接，仍可能遇到云上资源和服务无法顺利访问的问题。 云下IDC希望能够通过内网的方式访问云上的VPC1和VPC2内的资源，如用户私有服务弹性负载均衡ELB和弹性云主机（CTECS），以及其他云服务如系统配置的对象存储服务ZOS和内网DNS，而不依赖于公网访问。 方案架构 依据用户业务需求分析，本方案旨在通过结合云专线（Direct Connect）和VPC终端节点（VPC Endpoint）服务，实现云下用户数据中心与天翼云上的互通，并在不借助公网的情况下实现对云上VPC内资源和其他云服务的访问。 通过云专线，建立用户本地数据中心IDC与云上VPC1之间的连接。在VPC1中设置终端节点1，使IDC能够通过内网访问VPC1内的云资源内网负载均衡ELB。 在VPC1中设置终端节点2，并配置VPC2之间的路由，使IDC能够跨VPC访问VPC2内的云资源弹性云主机（CTECS）。 在VPC1中设置终端节点3和终端节点4，分别配置访问云服务内网DNS和对象存储ZOS，使IDC能够通过内网访问这些云服务。

本文将为您介绍用户如何查看各项资源的总配额以及使用情况。 操作场景 为避免资源浪费，天翼云对各项资源的使用都制定了配额，包括资源的创建数量，资源的使用容量等限制，云硬盘作为常见的云资源，其数量、容量在使用过程中也有一定的限制。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 在此地域的资源页面右上角，点击“我的配额”图标，进入资源的服务配额页面。 4. 您可以在“服务配额”页面，查看各项资源的配额情况。如果当前配额已满且不能满足业务要求，用户可申请扩大配额，具体请参见申请扩大云硬盘资源配额。

用户还可以选择快速添加规则操作，更加快捷的完成想要添加的端口。本文为您介绍具体操作步骤。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5. 单击“防火墙”页签，可以看到当前轻量型云主机的防火墙信息。 6. 单击“快速添加规则”，弹出添加弹窗。快速添加规则操作，已为用户列出了常用端口，用户可直接根据业务情况进行选择。 7. 完成配置后，单击“确认”，完成防护墙规则添加。

本节介绍了如何查看和管理云数据库GaussDB openGauss版的任务。 您可以通过“任务中心”查看任务执行进度和结果，并进行管理。 说明 云数据库GaussDB 支持查看和管理以下任务： 创建云数据库GaussDB 实例 手动创建备份 恢复到新实例 分片扩容 协调节点扩容 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“任务中心”页面，选择目标任务，单击任务名称左侧的，在展开信息中查看目标任务的执行进度和结果。 通过任务名称/任务ID、实例名称/ID确定目标任务，或通过右上角的搜索框选择任务类型来确定目标任务。 单击页面右上角的，查看某一时间段内的任务执行进度和状态，默认时长为一周。任务保留时长最多为30天。 系统支持查看以下状态的任务： − 执行中 − 完成 − 失败

自动快照有什么限制？ 单个账户一个地域下最多支持创建20个自动快照策略，每个自动快照策略最多支持绑定200个云硬盘。同时，自动快照策略创建出来的快照遵循快照的配额限制，详情可参考自动快照概述。 在哪些情况下，云硬盘快照会被系统自动删除？ 手动快照：用户账户冻结、资源过期导致云硬盘被删除时，天翼云会主动删除该云硬盘的所有快照。除此之外，天翼云不会主动删除您手动创建的快照。为了不影响您的正常使用，请保证账户资源处于正常资费状态。 自动快照：当云硬盘的自动快照达到上限后，创建时间最早的自动快照会被自动删除。有关快照配额请参见自动快照概述。为避免您创建的自动快照由于超过配额而被系统自动删除，请通过手动快照的方式保存重要快照。 一块云硬盘能否设置多个自动快照策略？ 不能。 单块云硬盘同一时间只支持关联一个策略。若您需要为该云硬盘更换自动快照策略，有两种方式可以选择： 修改该云硬盘绑定的自动快照策略的配置信息，具体操作请参见修改自动快照策略。 为该云硬盘取消关联原有自动快照策略，并重新关联新的自动快照策略，具体操作请参见云硬盘取消关联自动快照策略和云硬盘关联自动快照策略。

参数 参数类型 说明 示例 下级对象 projectID String 企业项目ID 0 azName String 可用区名称 az1 attachedVolume Array of Strings 云硬盘ID列表 ["8e8f8bc8b8ad8a8e8e8888cd88888e88"] addresses Array of Objects 网络地址信息 addresses resourceID String 云主机资源ID f88bc88a88a888e8a88bf88888888888 instanceID String 云主机ID 88f888ea88ff88eca8bc888888888fe8 displayName String 云主机显示名称 xxx8888 instanceName String 云主机名称 xxx8888 osType Integer 操作系统类型，详见枚举值表 5 instanceStatus String 云主机状态，请通过状态 running expiredTime String 到期时间 20230419T09:37:53Z availableDay Integer 可用(天) 100 updatedTime String 更新时间 20221019T09:37:53Z createdTime String 创建时间 20221019T09:37:53Z zabbixName String 监控对象名称 8a8fdc88b8a888bb888f8b88888c88f8 secGroupList Array of Objects 安全组信息 secGroupList privateIP String 内网ipv4地址 10.0.0.1 privateIPv6 String 内网ipv6址 888:8:8c8:8888:bee8:88d8:c8a8:888 networkCardList Array of Objects 网卡信息 networkCardList vipInfoList Array of Objects 虚拟IP信息列表 vipInfoList vipCount Integer 虚拟IP数目 1 affinityGroup Object 云主机组信息 affinityGroup image Object 镜像信息 image flavor Object 云主机规格信息 flavor onDemand Boolean 付费方式，取值范围： true：表示按量付费， false：表示包周期 true vpcName String 虚拟私有云名称 vpcxxx vpcID String 虚拟私有云ID vpcxxx8xxxxxx fixedIPList Array of Strings 内网IP ["10.0.0.1"] floatingIP String 公网IP 172.16.0.243 subnetIDList Array of Strings 子网ID列表 ["subnet0yy0yy0yyy"] keypairName String 密钥对名称 keypairxxx

本节主要介绍导入和导出安全组规则。 使用说明 在需要快速恢复或者创建安全组规则时，可以通过导入安全组规则的功能将导出的安全组规则文件导入到安全组中。 在需要对已有安全规则进行备份时，可以通过导出安全组规则的功能将对应安全组下的规则导出EXCEL或者JSON文件。 默认的安全组不支持导出安全组规则的操作。 在使用导入安全组规则时会创建一个新的安全组。 导出安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户已有安全组。 3. 选中所要导出安全组规则的安全组，在操作栏中单击【导出】，在弹出栏中选择导出的文件格式“EXCEL格式”或者“JSON格式”，单击对应的格式即可完成导出安全组规则，导出文件会自动下载到本地电脑。 导入安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，单击【导入安全组】，在弹出栏中选择导入的安全组规则的格式“EXCEL格式”或者“JSON格式”。 3. 在弹出框中填入对应的参数和上传对应的安全组规则文件，单击【点击上传】把对应的安全组规则文件进行上传。 导入安全组规则参数说明： 参数 说明 安全组名称 自定义导入的安全组规则所对应的安全组名称。 配置文件 安全组规则的配置文件，若选择EXCEL格式则上传EXCEL格式的文件，若选择JSON格式则上传JSON格式的文件。 描述 可选项，对当前导入安全组规则对应的安全组的描述信息。 4. 配置相关的参数后，单击【确认】执行导入。 注意 如选择EXCEL格式上传，请先下载EXCEL上传模板，严格按照模板填写要求填写出入方向安全规则，否则会导入失败，填写完后再点击上传导入。

您可以通过在虚拟私有云VPC中创建终端节点的方式，实现同资源池云主机通过内网访问对象存储。云主机和对象存储（简称ZOS）天然内网互通，内部访问不会产生公网流量，且时延更低安全性更高。 方案优势 云主机和对象存储服务位于天翼云同一地域或可用区时，它们之间的网络通信会默认通过内网进行。这种内网通信的优势包括： 低时延：内网通信避免了数据传输需要经过公网的中继节点，因此通信时延更低，能够提供更快的数据传输速度。 高安全性：由于内网通信不经过公网，数据传输在物理和网络上更受保护，降低了被恶意攻击或非法访问的风险。这对于处理敏感数据或要求严格安全性的应用非常重要。 节省成本：内网通信无需经过公网，避免了产生公网流量而导致的数据传输费用。特别是对于大规模数据传输或频繁的内部通信场景，能够在一定程度上减少费用开销。 前提条件 云主机和对象存储服务位于同一地域或可用区。 对象存储服务的内网访问权限已正确配置，并且云主机可以通过内网地址访问对象存储。 云主机的网络设置不会限制内网通信，例如没有防火墙规则或访问控制策略阻止内网访问。 使用须知 所属地域已开通对象存储服务。 采用内网访问对象存储时，需确保待访问的对象存储与云主机处于同一个地域。

本章节主要介绍翼MapReduce服务同步集群配置。 操作场景 当MRS Manager显示全部服务或部分服务的“配置状态”为“过期”或“失败”时，用户可以尝试使用同步配置功能，以恢复配置状态。 若集群中所有服务的配置状态为“失败”时，同步集群的配置数据与后台配置数据。 若集群中某些服务的配置状态为“失败”时，同步指定服务的配置数据与后台配置数据。 对系统的影响 同步集群配置后，需要重启配置过期的服务。重启时对应的服务不可用。 操作步骤 在MRS Manager，单击“服务管理”。 1.在服务列表上方，选择“更多 > 同步配置”。 2.在弹出窗口输入当前登录用户密码进行身份验证，身份验证后勾选“重启配置过期的服务或实例。”，并单击“确定”，重启配置过期的服务。 界面提示“操作成功”，单击“完成”，集群成功启动。

本章节主要介绍翼MapReduce的清除队列容量配置操作。 操作场景 当队列不再需要某个资源池的资源，或资源池需要与队列取消关联关系时，管理员可以在FusionInsight Manager清除队列配置。清除队列配置即取消队列在此资源池中的资源容量策略。 前提条件 如果队列需要清除与某个资源池的绑定关系，该资源池不能作为队列的默认资源池，需要先将队列的默认资源池更改为其他资源池，请参见配置队列。 操作步骤 1. 登录FusionInsight Manager界面。 2. 选择“租户资源 > 动态资源计划”。 3. “集群”参数选择待操作的集群名称，然后在“资源池”，选择待操作的资源池。 4. 在资源分配表格，指定租户资源名的“操作”列，单击“清除”。 5. 在弹出的对话框中单击“确定”，清除队列在当前资源池的配置。

天翼云为您提供对等连接产品使用手册,请您点击下载查看。 对等连接用户使用手册.pdf

事后：损失最小化，被勒索后“及时恢复” 当前勒索攻击发展迅速，任何工具都无法提供100%防护。若不幸失陷，备份恢复能够将损失最小化。通过云备份服务快速恢复业务，保障业务安全运行。 备份数据恢复业务：首先还原业务关键型系统，请在还原之前再次验证备份是否正常。 勒索防护配置说明 当前勒索病毒频繁升级、变种，主机安全可支持对勒索病毒的检测及系统风险项的识别，但无法做到百分百的病毒防护能力，需要通过配置CBR备份服务进一步提升勒索病毒防护能力、消减勒索带来的影响。仅配置CBR备份服务，可能出现备份副本到勒索攻击时间节点间的业务无法恢复，需要同步配置HSS勒索病毒防护功能实时检测勒索病毒，减小业务受损范围。 云安全事件数据表明，HSS与CBR对勒索综合防御能力均具有影响，为使您的业务环境处于最佳勒索防御状态，强烈建议开通HSS旗舰版勒索防护策略，开通并配置小时级别永久保存的CBR备份： 企业主机安全HSS服务状态 云备份 CBR服务状态 被加密概率 加密后恢复概率 防御勒索病毒侵害的综合得分（0~100） 开通版本 勒索防护策略 配置状态 最短备份周期（推荐） 被加密概率 加密后恢复概率 防御勒索病毒侵害的综合得分（0~100） 非常高（90%） 0% 0 基础版 不支持 非常高（90%） 0% 0 企业版 不支持 非常高（85%） 0% 10 旗舰版 未配置 中（50%） 0% 15 基础版/未开通 不支持 已配置 天 非常高（90%） 50% 20 企业版 不支持 已配置 天 非常高（85%） 50% 30 基础版/未开通 不支持 已配置 小时 非常高（90%） 90% 30 旗舰版 未配置 已配置 天 中（50%） 50% 35 企业版 不支持 已配置 小时 非常高（85%） 90% 40 旗舰版 未配置 已配置 小时 中（50%） 90% 45 旗舰版 已配置 非常低（<10%） 0% 60 旗舰版 已配置 已配置 天 非常低（<10%） 50% 80 旗舰版 已配置 已配置 小时 非常低（<10%） 90% 90 旗舰版 已配置 已配置 小时（永久备份） 非常低（<10%） 90% 99（推荐）

SSL证书或证书管理服务到期前30天,天翼云将会自动为您续期证书,请配合天翼云验证域名。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行域名验证（“状态/申请进度”为“申请审核中待域名验证”）的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 2. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

本文介绍云硬盘快照的计费项和产品计费方式。 存量快照处于公测中，您可以免费使用。 标准快照为商用快照，本章节主要介绍标准快照的计费说明。 标准快照为白名单开放能力，如果有需要，请咨询产品经理。 存量快照与标准快照的差异，参见约束与限制快照部分。 计费项 云硬盘快照以快照链（一块云硬盘中所有快照组成的关系链）为单位，根据快照链容量、存储时长计费。 说明 当快照开启极速可用功能后，不收取极速可用功能费用，仅收取快照存储费用。 计费模式 云硬盘快照支持按需计费模式。 按需计费：后付费。按秒计费，按小时结算，不足一小时以实际使用时长为准。 计费详情 快照存储费用 快照单价 快照链容量 计费时长 标准快照单价：每GiB容量每小时的费用，单位为“元/GiB/小时”。 云硬盘标准快照按需计费价格如下： 产品规格 按需标准价格（元/GiB/小时） 标准快照 0.000167 标准快照容量：详情参见查看云硬盘快照容量。 计费时长：快照创建完成后开始计费，快照删除后结束计费。 欠费 如果账户余额低于0且未给账户充值，则此时账户处于欠费状态，按需计费快照会进入冻结期，冻结期为15天，冻结期过后快照会被销毁。

本节介绍云等保专区产品的资源概览。 通过云等保专区的资源概览页面，可以查看当前账号下已经形成的订单状态、订单详情，也对订单执行续订、升配、退订等操作。 前提条件 已购买云等保专区。 查看资源概览 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区资源概览页面。 4. 在资源概览页面，查看如下信息。 参数 说明 资源ID 购买原子能力资源的资源ID。 状态 资源的状态，包括开通中、运行中、已退订、部署失败、已过期。 企业项目 资源所属的企业项目，企业项目说明可参考企业项目管理。 到期时间 资源的到期时间。 订单类型 在控制台上购买的订单，类型为“商用”。 区域 资源所在区域。 子资源ID 若一个订单关联了多个v1.0版本的资源，则每个资源还可通过子资源ID进行标识。 原子能力名称 资源对应的原子能力的名称。 版本 原子能力的版本，V1或V2。 规格 原子能力的规格。

本节为您介绍如何安装Agent及管理Agent。 审计代理插件（Agent）是安装在数据库系统或者业务系统上的插件，其功能是捕获访问数据库系统的数据包，并将数据包发送至天翼云数据库审计。当数据库系统部署在公有云、私有云或者实际场景下无法进行端口镜像时，可以通过流量代理的方式抓取数据库流量。 支持的操作系统 Agent支持的操作系统版本请参考使用限制。 Agent工作原理 Agent在数据库服务器的接口上抓取属于资产下发的IP+Port 的数据库操作的流量。 Agent 包含两个进程：dbagent.exe 和 dbMonitor.exe。 DBAgent与天翼云数据库审计的13002端口建立连接负责流量转发。 DBMonitor与天翼云数据库审计的13001端口建立连接负责控制部分，包含接收天翼云数据库审计下发的资产和其他配置。 通过SSH远程安装Agent 您可以通过SSH协议将Agent自动安装到需要审计的服务器上，目前仅支持Linux系统。 在界面上输入需要审计的服务器IP、SSH端口、root用户名、密码，天翼云数据库审计通过scp协议将agent安装包传输到宿主机上并自动安装。 1. 在菜单栏选择“系统管理 > Agent管理”进入“Agent管理”页面，选择“Agent安装”页签。 2. 单击“开始安装”进入通过SSH远程安装Agent页面，编辑审计服务器IP，并添加安装Agent的服务器，单击“安装”。 填写参数说明请参见下表： 参数 参数说明 审计服务器IP 默认为当前的审计服务器IP，用户可以根据需要修改。 安装Agent的服务器 输入需要安装Agent的服务器IP及该服务器root账户的密码，默认端口为22，用户可以根据实际情况修改。 支持表单格式和文本格式输入。 支持IPv4和IPv6。 最多填写20个。 说明 单击“安装状态”可进入“安装状态”查看页面，可进行以下操作： 单击“卸载”可远程卸载已经成功安装了的Agent。 单击“重新安装”可对未成功安装Agent的服务器重新安装。 将光标悬停至“安装失败”后的图标，查看安装失败原因。 若您的业务部署在一类节点的资源池上，审计服务器IP需改为数据库审计所在的VPC组的公网IP。（一类节点可参考[支持的区域](/document/10446453/10489850

本节介绍了RBAC授权的用户指南。 操作场景 角色绑定（Role Binding）是将角色中定义的权限赋予一个或者一组用户。它包含若干主体（用户、组或服务账户）的列表和对这些主体所获得的角色的引用。 RoleBinding 在指定的名字空间中执行授权，而 ClusterRoleBinding 在集群范围执行授权。一个 RoleBinding 可以引用同一的名字空间中的任何 Role。 或者，一个 RoleBinding 可以引用某ClusterRole 并将该 ClusterRole 绑定到RoleBinding 所在的名字空间。如果你希望将某 ClusterRole 绑定到集群中所有名字空间，你要使⽤ClusterRoleBinding。 前提条件 已创建云容器引擎集群，具体操作请参见创建⼀个集群。若已有容器集群，⽆需重复操作。 操作步骤 注意 子账号来自于天翼云的 ，请提前创建好子用户，并需子用户登陆天翼云后才可以同步到云容器引擎控制台。 为⼦账号授权或调整子账号权限： 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要授权的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择安全管理 > 授权，进入角色授权页面。 4、点击管理权限操作单个子账号权限，或选择多个子账号后点击添加权限为多个子账号批量授权，点击后进入集群RBAC配置页面。 5、在集群RBAC配置页面中，可以对子账号已有的用户权限进行调整或为子账号新增权限，权限可以限定单个命名空间或不限制命名空间（集群权限），⽤户可设置的权限有内置权限（管理员、运维人员、开发人员、受限人员）和自定义权限，选择自定义权限可选择集群中创建的任意Cluster Role进行授权。 6、点击下⼀步完成授权。

操作场景 虚拟私有云可以为您的容灾服务器提供隔离的、用户自主配置和管理的云上虚拟网络环境。 异步复制其实就是将本地主数据中心中需要容灾的服务器的数据，实时复制到云上用户的专有网络中。当本地数据中心发生重大故障时，可以将业务切换到云上VPC中运行容灾服务器上，从而保持业务的连续性。 创建云上专有网络时需要考虑的因素： 容灾区域 需要根据业务对容灾系统的实际要求进行选择，如生产站点和容灾站点间的物理距离、网络性能以及网络成本等因素来选择容灾区域，如业务要求生产站点和容灾站点间的物理距离不低于100KM，网络时延小于100ms，同时成本限制不能使用专线等。 本地数据中心和天翼云VPC间的连接网络 公网：适用于数据变化量不大，且本地生产数据中心的系统无需频繁访问云上资源的场景。 VPN：适用于数据变化量不大，本地生产数据中心需要随时连接天翼云VPC内业务的场景。如用户有部分业务部署在天翼云，本地数据中心的业务当前就是通过VPN与云上的业务进行交互，进行异步复制时就可以使用该VPN连接。 云专线：针对数据量较大且应用较复杂的场景，通常需要根据业务的具体数据变化量进行规划。 VPC的网段 用于运行切换或者容灾演练时创建的ECS，如果需要保持切换或者容灾演练创建的ECS的IP地址和本地数据中心的生产服务器一致，可以将VPC的网段和本地生产数据中心的网段设置成相同的。业务切换或者容灾演练时，就可以保持服务器的IP地址不变，无需修改相关的配置。 操作步骤 您可以根据您的整体网络规划创建云上专有容灾网络，具体创建操作请参见虚拟私有云帮助中心。

介绍云电竞服务的关键用量，如需查询计费信息，请前往天翼云官网个人中心查询。 数据概览 访问云电竞租户控制台，首页即为【数据概览】页面，展示用于计费的关键数据，并对实时的服务用量做概览展示，指标包括： 使用中实例 包括包周期实例及按需服务实例，包周期实例付费后不再产生新的资费，按需实例根据实际用量计费，每五分钟更新一次计费话单。 剩余可用实例 您的包周期订单剩余可用实例，分子为可用数量，分母为总数量。 按需使用中实例 按需服务正在使用中的实例数量。 今日按需服务已使用时长 当天按需服务总使用时长。

通知项 通知内容 通知内容说明 每日告警通知：每日凌晨检测主机中的风险，汇总并统计检测结果后，将检测结果于每日上午10：00发送给您添加的手机号或者邮箱。 资产管理 危险端口 检测开放了的危险端口或者不必要的端口，通知用户及时排查这些端口是否用于正常业务。 漏洞管理 需紧急修复漏洞 检测系统中的紧急漏洞，通知用户尽快修复，防止攻击者利用该漏洞会对主机造成较大的破坏。 基线检查 配置检查 检测系统中的关键应用，如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 基线检查 经典弱口令 检测MySQL、FTP及系统帐号的弱口令。 入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 入侵检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 入侵检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 入侵检测 文件提权 检测当前系统对文件的提权。 入侵检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 入侵检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 入侵检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 入侵检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 入侵检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 入侵检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 入侵检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 若在非常用登录地登录，则触发安全事件告警。 入侵检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 入侵检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 入侵检测 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 入侵检测 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数，对容器进行权限设置。如果没有正确设置，可能会导致权限过大，给攻击者留下可以利用的方式。 入侵检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 入侵检测 敏感文件访问 检测重要文件的提权或持久化等访问行为，对访问行为进行告警。 入侵检测 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 入侵检测 恶意扫描 检测对主机资产的异常扫描行为。 入侵检测 恶意挖矿 对在未经用户同意或知情的情况下使用设备（计算机、智能手机、平板电脑甚至服务器）挖掘加密货币进行检测，一旦发现立即报警上报。 入侵检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 实时告警通知：事件发生时，及时发送告警通知。 入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 入侵检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。 您可以根据网站后门信息忽略可信文件。您可以使用手动检测功能检测主机中的网站后门。 入侵检测 文件提权 检测当前系统对文件的提权。 入侵检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 入侵检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 入侵检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 入侵检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 入侵检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 入侵检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 入侵检测 非法系统帐号 检测主机系统中的帐号，列出当前系统中的可疑帐号信息，帮助用户及时发现非法帐号。 入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 入侵检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 入侵检测 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 入侵检测 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数，对容器进行权限设置。如果没有正确设置，可能会导致权限过大，给攻击者留下可以利用的方式。 入侵检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 入侵检测 敏感文件访问 检测重要文件的提权或持久化等访问行为，对访问行为进行告警。 入侵检测 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 入侵检测 恶意扫描 检测对主机资产的异常扫描行为。 入侵检测 恶意挖矿 对在未经用户同意或知情的情况下使用设备（计算机、智能手机、平板电脑甚至服务器）挖掘加密货币进行检测，一旦发现立即报警上报。 账户登录 登录成功 对登录成功的账户进行通知。

VPC间访问展示当前防火墙实例防护的VPC间流量数据。 前提条件 配置并开启VPC边界流量防护，且已有流量经过VPC，开启VPC防护的操作步骤请参见“开启VPC边界流量防护”。 查看VPC间访问流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> VPC间访问”，进入“VPC间访问”页面。 5. 查看经过云防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：VPC间最大流量的相关信息。 VPC间访问：VPC间请求流量和响应流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内VPC间流量中指定参数的 TOP 5 排行，参数说明请参见表354。单击单条数据查看流量详情，每个详情支持查看50条数据。 VPC间流量可视化统计参数说明： 参数名称 参数说明 TOP访问源IP VPC间流量的源IP地址。 TOP访问目的IP VPC间流量的目的IP地址。 TOP开放端口 VPC间流量的目的端口。 应用分布 VPC间流量的应用信息。 私网IP活动明细：查看指定时间段内私网IP流量 TOP 50 信息。

参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 桌面池名称，只能包含汉字、数字、英文字母、中划线和下划线，长度限制116个字符 maxm0926 orgOid 是 String 归属部门ID org3fzj92gzwkf9g730m4shf resourcePackOid 是 String 资源包ID rspa94bn3qnadp0pgiv4mhxo templateOid 是 String 规格ID，当前仅支持Windows系统的政企版规格（暂不支持GPU规格） dftvfi8ld7okixldvv4xer4p imageOid 是 String 镜像ID，当前仅支持Windows系统、非GPU镜像 mip4ij5apxcvse44qid3kec sysDiskType 是 String 系统盘类型（hio高IO） hio sysDiskSize 是 Integer 系统盘大小（单位：GB），需为10的倍数，范围：[max{镜像系统盘大小,80},200] 80 subnetOid 是 String 子网ID snw3b8o6cb7afw4l3vd3bgb desktopCount 是 Integer 云电脑数量，云电脑与用户数量比例为1:3，至少为1 1 pubUserOidList 是 Array of Strings 用户ID列表，池化桌面与用户数量比例为1:3，可设置一个或多个，单次数量上限30 upgm611u6q1vm9hekeo5dckl keepDuration 否 Integer 用户断开连接后，云电脑的保留时长（单位：分钟），至少是3，默认值为3 3 afterReleaseAction 否 String 云电脑释放后操作（rebuild还原;stop关机），默认值为rebuild rebuild rebuildAfterStopOrReboot 否 String 关机/重启后还原系统（on开启;off关闭），默认值为off off

本文对删除镜像会话的操作步骤进行说明。 使用场景 当您不需要镜像业务时，您可以删除镜像会话，删除镜像会话之前，请先保证会话处于停止状态。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成镜像会话的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像镜像会话”选项。 5. 在镜像会话页面，找到需要删除的镜像会话，然后在操作列单击“删除”按钮。 6. 处于运行中的会话请先点击停止会话，在弹出的对话框，单击“确定”按钮。

本章主要介绍最佳实践概述 场景描述 本手册基于天翼云API网关实践所编写，用于指导您开放并调用API。 应用场景范围：基于天翼云API网关开放容器应用服务。 云容器引擎（CTCCE，Cloud Container Engine，简称CCE）中的工作负载，以及微服务，可通过API网关将服务能力以API形式对外开放。 方案优势 借助API网关开放CCE容器应用，具有如下优势： 无需设置弹性公网IP，节省网络带宽成本 API网关支持建立VPC通道，访问CCE中工作负载的地址。 提供多种认证方式，增加访问安全性 提供访问流量控制策略，增加后端服务的安全性 与直接访问容器应用相比，API网关提供流量控制，确保后端服务稳定运行。 支持多实例负载均衡，合理利用资源，增加系统可靠性 流程图 本手册介绍如何通过API网关访问CCE中的工作负载。 图1通过API网关访问CCE工作负载（由实例组成）

本节包括虚拟私有云、弹性网卡类型、约束与限制、相关链接。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 虚拟私有云更多信息，请参见《虚拟私有云用户指南》。 弹性网卡类型 主弹性网卡：在创建云主机实例时，随实例默认创建的弹性网卡称作主弹性网卡。主弹性网卡无法与实例进行解绑。 扩展弹性网卡：您可以创建扩展弹性网卡，将其附加到云主机实例上，您也可以将其从实例上进行解绑。每台实例可附加的扩展弹性网卡数量由实例规格决定。 约束与限制 云主机实例与扩展弹性网卡必须在同一VPC，可以分属于不同安全组。 说明 此限制仅针对管理控制台，通过API创建弹性网卡可以指定与云主机实例不同的VPC。 主弹性网卡不能解绑服务器。 云主机可附加的扩展弹性网卡数量由云主机实例规格决定。具体请参见实例规格（X86）规格清单、实例规格（鲲鹏）规格清单（鲲鹏）。 弹性网卡不支持直接访问天翼云内公共云服务，如内网DNS等，推荐使用VPCEP访问天翼云公共云服务。

本节为您介绍云迁移服务CMS中数据库迁移工具迁移前的准备工作,包括账号注册认证、账户余额确认、迁移网络打通等。 1.使用或注册天翼云账号。 2.确认源端数据库或目标端是否满足数据库类型要求。 需对数据库迁移工具支持迁移的迁移源数据库类型及版本做确认，具体请见数据库迁移兼容性列表。 迁移网络打通 迁移节点 迁移节点所在云主机需要能正常访问源数据库、目标数据库、CMS控制台，建议出方向安全组不作限制。 迁移节点若使用弹性IP连接，需要提前购买和配置正确的EIP。 迁移节点默认端口为18080，因此迁移节点所在云主机需开放TCP的18080端口，以便CMS控制台下发任务。未执行任务时，建议及时关闭18080端口。 源数据库 若使用弹性IP连接，源数据库需要提前购买和配置正确的EIP。 源数据库安全组需开放数据库端口，建议将数据库端口的入方向IP限制为迁移节点所在云主机IP。 目标数据库 若使用弹性IP连接，目标数据库需要提前购买和配置正确的EIP。 目标数据库安全组需开放数据库端口，建议将数据库端口的入方向IP限制为迁移节点所在云主机IP。

本节为您介绍云迁移服务优势。 智能评估管理 云迁移服务CMS提供了服务器、数据库和对象存储的成本评估功能，帮助企业更好地了解成本情况，辅助上云决策。此外，服务支持资源发现、资源映射和迁移管理，实现迁移全周期管理。 覆盖场景全面 云迁移服务CMS具备服务器、数据库以及对象存储迁移工具，可根据实际应用场景选择同构/异构服务器迁移工具、同构/异构数据库迁移工具以及对象存储迁移工具辅助迁移。 高效的上云路径 云迁移服务为企业提供了高效的上云方案，通过云迁移平台将迁移过程业务化，通过业务化管理帮助企业以更快的速度完成上云。 全面可视化管理 云迁移服务实现了迁移生命周期的一站式、可视化管理，用户能够通过直观的界面全面了解迁移过程的状态和进展，便于管理和监控。 服务器迁移 云迁移服务CMS提供了完备的服务器迁移工具，适配市面上主流的操作系统，在传输、连接、控制平面进行安全设计，同时平衡易用性与灵活性，提升用户使用体验。 数据库迁移 云迁移服务CMS提供了完备的数据库迁移工具，支持同构/异构数据库数据迁移。可实现达梦、人大金仓、TiDB、TeleDB等作为目标数据库进行异构数据库迁移。 数据迁移 云迁移服务CMS的数据迁移工具，具备可视化、稳定、易用的特点，支持将来自亚马逊、阿里云、腾讯云、华为云、天翼云 OOS 和 XOS 的数据迁移到ZOS 进行存储，并提供了灵活的迁移策略，通过功能组合满足各类需求与场景，实现企业数据快速上云。