Key Value mongodbinstanceid 文档数据库实例ID。支持社区版集群、副本集实例类型。 mongodbnodeid 文档数据库节点ID。

本节介绍企业主机安全动态端口蜜罐功能。 动态端口蜜罐概述 什么是动态端口蜜罐 动态端口蜜罐功能是一个攻击诱捕陷阱，利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。 用户可选择系统推荐端口或自定义端口开启动态端口蜜罐，诱捕失陷主机，降低真实资源被入侵的风险。 如何使用动态端口蜜罐 约束与限制 使用动态端口蜜罐功能，须满足以下条件： 服务器未绑定EIP。 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本且Agent状态为“在线”。 Linux：3.2.10及以上版本。 Windows：4.0.22及以上版本。 一台服务器最多支持添加10个蜜罐端口。 一个蜜罐端口只能绑定一个协议，支持TCP和TCP6协议。 创建动态端口蜜罐防护策略 操作场景 动态端口蜜罐功能是以真实端口作为诱饵端口诱导攻击者访问，因此开启动态端口蜜罐防护时，用户需要创建防护策略以添加服务器端口作为蜜罐端口并绑定服务器开启防护。 本节介绍如何创建动态端口蜜罐防护策略。

本节介绍企业主机安全动态端口蜜罐功能。 动态端口蜜罐概述 什么是动态端口蜜罐 动态端口蜜罐功能是一个攻击诱捕陷阱，利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。 用户可选择系统推荐端口或自定义端口开启动态端口蜜罐，诱捕失陷主机，降低真实资源被入侵的风险。 如何使用动态端口蜜罐 约束与限制 使用动态端口蜜罐功能，须满足以下条件： 服务器未绑定EIP。 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本且Agent状态为“在线”。 Linux：3.2.10及以上版本。 Windows：4.0.22及以上版本。 一台服务器最多支持添加10个蜜罐端口。 一个蜜罐端口只能绑定一个协议，支持TCP和TCP6协议。 创建动态端口蜜罐防护策略 操作场景 动态端口蜜罐功能是以真实端口作为诱饵端口诱导攻击者访问，因此开启动态端口蜜罐防护时，用户需要创建防护策略以添加服务器端口作为蜜罐端口并绑定服务器开启防护。 本节介绍如何创建动态端口蜜罐防护策略。

本小节介绍终端杀毒如何登录管理中心。 1.用户完成开通后，需自行在控制中心（可任选节点）开通云主机，开通时请在公共镜像安全产品中选择终端杀毒，并绑定弹性公网IP（此ip作为终端杀毒控制中心的公网登录地址存在）。在控制中心中找到对应的终端杀毒实例获取license，点这里可快速直达：终端杀毒控制中心。 2.管理中心页面登录方式为： （X.X.X.X就是第1步中为管理中心配置的ip），其默认用户名密码请在天翼云官网提交工单咨询 ，首次登录需要修改初始密码，管理员登录到系统后可进入管理→用户管理页面自己添加或删除用户。

本文主要介绍了在“我的订单”页面进行订单支付的操作步骤。 操作步骤 1. 登录天翼云官网，点击“管理中心”进入“费用中心”页面后，点击“订单管理＞我的订单”，进入“我的订单”页面。 2. 可通过选择项目名称、输入订单号或设置订单创建时间筛选搜索待支付订单，也可通过订单类型、订单状态过滤筛选待支付订单。若支付云订单，选中“云订单”页签；若支付网订单，选中“网订单”页签。 3. 在订单页面找到待支付的订单，单击“支付”；也可以点击右上角“批量支付”，选择多个待支付订单，进行批量支付。 4. 选择优惠和支付方式，点击“立即支付”。 5. 前往支付平台，选择支付方式，点击“确认支付”。 说明 若客户当时没有立即支付，后期也可进入“待支付订单”支付订单，其他详细说明可参见“待支付订单>支付”。

如何为函数添加依赖包？ 1. 进入函数详情页面，在“代码”页签，单击“依赖代码包”所在行的“添加依赖包”。 公共依赖包：此处的依赖包为函数平台提供，您可以直接添加使用。 私有依赖包：此处的依赖包为用户自行制作上传的依赖包。 2. 完成后单击“保存”，完成依赖包的添加。 如何通过域名访问专享版APIG中注册的接口？ 以域名www.test.com为例 ，具体请参考如下步骤。 1. 登录API网关控制台，在左侧导航栏选择“专享版”，单击实例名称，进入“实例概览”页面，在“入口地址”区域查看“弹性IP地址”，获取APIG的访问地址（ip格式）。 2. 在DNS控制台，配置用户域名www.test.com解析到apig地址的ipv4规则。 3. 最后在函数服务配置该域名的解析配置，这样就能在函数中通过域名(www.test.com)访问专享版APIG中注册的接口了。 函数工作流的常见使用场景？ 1. Web类应用：比如小程序、网页/App、聊天机器人、BFF等。 2. 事件驱动类应用：文件处理、图片处理、视频直播/转码、实时数据流处理、IoT规则/事件处理等。 3. AI类应用：三方服务集成、AI推理、车牌识别。 函数工作流是否支持修改运行时语言? 不支持。函数一旦创建完成，就不能修改运行时语言。 已创建的函数是否支持修改函数名称? 不支持，函数一旦创建完成，就不能修改函数名称。 如何获取上传的文件？ 以Python语言为例，如果用户用os.getcwd()查看当前目录的话，会发现当前目录是/opt/function，但实际代码是传到/opt/function/code里的。 有2种方法可以获取到上传的文件： 1. 函数里使用cd命令切换路径到/opt/function/code 2. 使用全路径（相关目录为RUNTIMECODEROOT环境变量对应的值）

CC防护规则设置 针对订购高级版套餐及以上的用户，支持自定义CC防护规则，防护规则开启且满足防护规则的请求经过挑战算法校验。免费版、基础版用户可使用默认CC防护规则，不可自定义修改。 配置项 说明 默认配置 匹配条件 满足匹配条件的请求才进行防护。支持配置匹配字段有IP、HEADER、GEO、ARGS、URI、IPS、METHOD、REQUESTURI、PROTOCOL URI正则匹配/. HEADER不包含KEY正则匹配：upgrade；VALUE正则匹配：websocket GET防护策略 支持配置第一策略为CCJS、METAJS、JSMS、CC302其中一种，支持配置响应状态码 第二策略支持配置CC302、空 对GET、COPY、OPTIONS、DELETE、HEAD请求协议生效 第一策略CC302 响应状态码302 第二策略空 POST防护策略 支持配置第一策略为CCJS、METAJS、JSMS、CC302其中一种，支持配置响应状态码 第二策略支持配置CC302、空 对POST、PUT请求协议生效 除CC307策略外，其它策略验证有效期8秒，容易造成POST数据提交失败 第一策略CC307 响应状态码307 第二策略空 验证模式 支持选择Cookie形式或url参数形式，若业务不支持Cookie的情况可使用url参数形式。POST不支持url参数形式 Cookie形式 非静态HTML文件 支持选择检测或不检测 检测

迁移速度由源端带宽决定还是目的端带宽决定？ 迁移速度取决于源端的出口带宽和目的端的入云带宽。取两者中较小值进行迁移。 如何处理“权限不够，请添加相应细粒度权限”？ 问题描述：迁移过程中提示“SMS.0204权限不够，错误原因：xxx，请添加相应细粒度权限”。具体的错误原因与缺失的细粒度权限有关。 问题原因和解决方案： 1、 目的端账户余额不满足大于100元的条件，余额不足会导致迁移失败，请充值或申请权限，然后重新发起迁移任务。 2、 主机迁移服务在迁移过程中会用到ECS，VPC，IMS，EVS等的相关权限，缺少其中的某些权限会导致迁移失败。请检查权限并在IAM控制台创建用户组，授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”权限。 迁移需要在控制机，源端和目标端分别开放哪些端口？ 请参考RDA 控制台页面，配置管网络设置—通信矩阵菜单项，开放对应端口： 新建迁移任务需要对目的端服务器做哪些准备？ 迁移前，若选择迁移到已有服务器，请做以下准备工作： 1. 确保天翼云上有满足条件的弹性云服务器。 2. 确保源端服务器可以访问目的端服务器（即弹性云服务器），即要有可用的EIP，或者配置VPN、专线。 3. 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组，如果是Windows系统需要开放TCP的8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移开放22端口。 4. 迁移过程中禁止操作目的端弹性云服务器（包括关机、重启、挂载磁盘、卸载磁盘、修改密码等），否则会导致迁移失败。

本章节介绍了如何创建和运行一个分布式消息服务RocketMQ的实例。 本章节以在“广州4”创建一个开启SSL的RocketMQ 实例为例，介绍如何在控制台创建RocketMQ 实例。 前提条件 在创建RocketMQ实例前，需要保证存在可使用的虚拟私有云和安全组。如果还没有，请参考准备环境创建。 为RocketMQ授权 如果RocketMQ实例需要开启IPv6功能，在创建RocketMQ实例前，需要为RocketMQ授予VPC终端节点操作权限，否则会导致创建失败。 在IAM控制台创建委托，委托参数如下，其他参数保持默认，创建委托的具体步骤请参见《统一身份认证服务 用户指南》的“委托 > 委托其他云服务管理资源”章节。 委托名称：dmsadmintrust 委托类型：云服务 云服务：分布式消息服务 持续时间：永久 委托将拥有所选策略：DMS VPCEndpointAccess、DMSAgencyCheckAccessPolicy 选择授权范围方案如下： DMS VPCEndpointAccess：指定区域项目资源 DMSAgencyCheckAccessPolicy：所有资源 操作步骤 1. 进入购买RocketMQ实例页面。 2. “计费模式”选择“按需计费”。 3. 在“区域”下拉列表中，选择靠近您应用程序的区域，可降低网络延时、提高访问速度。 4. 在“项目”下拉列表中，选择项目。 5. 在“可用区”区域，根据实际情况选择1个或者3个及以上可用区。 6. 设置“实例名称”和“企业项目”。 7. 设置实例信息，配置详情请参考表1。 表1 设置实例信息 参数 配置说明 规格选择模式 选择“默认” 版本 可选择“5.x、4.8.0” RocketMQ实例创建后，版本号不支持修改。 实例类型 5.x版本提供基础版、专业版两种类型 部署架构 5.x版本支持“单机”和“集群” 4.8.0支持“集群” 鲲鹏实例 “创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 代理规格 选择“rocketmq.4u8g.cluster” 代理数量 选择“1” 代理存储空间 选择“超高I/O 300GB” 实例总存储空间 单个代理的存储空间 代理数量 8. 设置实例网络环境信息，配置详情请参考表2。 参数 配置说明 虚拟私有云 选择已经创建好的虚拟私有云和子网。 虚拟私有云和子网在RocketMQ实例创建完成后，不支持修改。 IPv6 仅当子网选择了支持IPv6地址后，才会显示该参数。开启IPv6后，客户端可以使用IPv6的内网连接地址连接实例。 实例创建成功后，不支持修改IPv6开关。 使用内网IPv6方式连接实例需要通过VPC终端节点实现，使用期间会产生VPC终端节点的费用。 安全组 选择已经创建好的安全组。 SSL 开启 ACL访问控制 开启 9. 单击“更多配置”，设置更多相关信息，配置详情请参考表3。 表3 更多配置 参数 配置说明 公网访问 不开启 标签 不设置 描述 不设置 10. 填写完上述信息后，单击“立即购买”，进入规格确认页面。 11. 确认实例信息无误后，提交请求。 12. 在实例列表页面，查看RocketMQ实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 当实例的“状态”变为“创建失败”，请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。

本页介绍了文档数据库服务是否允许将实例在不同的地域之间进行迁移。 是否允许将实例在不同的地域之间进行迁移？ 数据备份：使用mongodump工具对文档数据库服务的数据库进行备份时，通常需要将备份数据传输到另一个地域或存储设备中，以防止数据丢失。云间高速通道提供高带宽、低时延的网络连接，可以加速备份数据的传输，确保备份过程高效完成。 数据迁移：在进行数据迁移时，将文档数据库服务中的数据从一个地域迁移到另一个地域是常见的需求。云间高速通道可以提供稳定、高速的网络连接，使得数据迁移过程更快捷、可靠。 跨地域数据恢复：在目标地域中使用mongorestore命令，将通过云间高速通道传输过来的备份数据恢复到MongoDB数据库中，从而实现数据的恢复和同步。 云间高速产品的具体操作，请参见云间高速（尊享版）云间高速（尊享版）操作指导 。

名称 类型 描述 targetName String iSCSI target名称。 maxSessions Integer iSCSI target下每个IQN允许建立的最大会话数。 iSCSITargets Array of iSCSITarget iSCSI target属性集合，详见“ 表1 响应参数iSCSITarget说明 ”。 luns Array of lun 关联卷的属性，详见“ 表7 响应参数lun说明 ”。 chap.name String CHAP认证名称。 chap.status String CHAP认证状态： Enabled：启用CHAP认证。 Disabled：禁用CHAP认证。 createTime Long 创建iSCSI target的时间，unix时间戳（UTC），精确到毫秒。 serverIds Array of string iSCSI target对应的服务器ID（仅集群版支持）。 num Integer target所在的服务器数量（仅集群版支持）。 reclaimPolicy String iSCSI target的回收策略： Delete：当iSCSI target关联的卷全部删除后，iSCSI target自动删除。 Retain：当iSCSI target关联的卷全部删除后，iSCSI target仍然保留。 status String iSCSI target的状态： Deleting：iSCSI target正在删除。 仅iSCSI target处于删除中会返回此项。

号“ ”时，监控数据无法展示。 未开启SASL的Kafka专享版实例，在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令创建Topic。 ./kafkatopics.sh create topic {topicname} bootstrapserver {brokerip}:{port} partitions {partitionnum} replicationfactor {replicationnum} 已开启SASL的Kafka专享版实例，通过以下步骤创建Topic。 （可选）如果已经设置了SSL证书配置，请跳过此步骤。否则请执行以下操作。在Kafka客户端的“/config”目录中创建“ssluserconfig.properties”文件，参考使用SASL证书连接增加SSL证书配置。 在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令创建Topic。 ./kafkatopics.sh create topic {topicname} bootstrapserver {brokerip}:{port} partitions {partitionnum} replicationfactor {replicationnum} commandconfig ./config/ssluserconfig.properties 后续步骤 步骤四：连接实例生产消费消息

本章节介绍如何删除SASLSSL用户。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例名称，进入实例详情页面。 步骤 5 通过以下任意一种方法，删除SASLSSL用户。 在“用户管理”页签，在待删除的SASLSSL用户所在行，单击“删除”。 在“用户管理”页签，勾选SASLSSL用户名左侧的方框，可选一个或多个，单击信息栏左上侧的“删除”。 说明 创建Kafka实例时设置的SASLSSL用户无法删除。 步骤 6 在弹出的“删除用户”对话框中，单击“是”，完成SASLSSL用户的删除。

链路追踪 自动发现应用拓扑：通过拓扑图更加直观地看到应用的上下游组件以及与它们的调用关系，同时提供应用请求总量、请求耗时等关键指标，帮助客户更快速地找出应用的瓶颈。 调用链分析：一次请求将会被记录为一条调用链路数据，每条调用链数据都包含着详细的调用数据，包括服务名称、接口名称、方法名称、调用类型、平均耗时等。通过调用栈逐层查看异常发生的具体节点，可以更快确认问题可能原因。 Prometheus监控 一键接入容器监控：容器集群可一键接入Prometheus监控平台，实现集群及工作负载的一体化监测。 内置容器监控大盘：默认内置多种容器监控大盘，包括集群概览、核心组件、Node、Pod等监控能力。 自定义数据接入：基于 ServiceMonitor、PodMonitor 实现容器自定义指标采集。同时提供Remote Write标准接口，远程接入开源Prometheus的监控数据。 灵活的告警配置 多指标告警配置：提供接口调用、HTTP返回码、异常、JVM内存与线程、数据库等多项告警指标配置。 多通知渠道：支持短信、邮件、翼连、Webhook（企业微信、钉钉、飞书等）。 静默策略：支持组合配置且或条件，设置静默时间段。

本节介绍云安全中心的威胁建模功能，通过关联分析规则，匹配威胁源是否满足告警条件。 可以通过关键字、快捷方式、规则类型和标签查询威胁建模规则。 用户初次订购时会复制所有的威胁建模模板，并开启对应的威胁建模规则（如：租户订购了Web应用防火墙原生版，集成配置开启开关，则会开启对应的威胁建模规则）。 新建规则 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“威胁运营 > 威胁检测 > 威胁建模”。 3. 单击“新建”。 4. 基本信息填写，带有的为必填项。 5. 选择规则类型和规则模板后，还需要配置原始告警源、时间窗口、告警配置等。其中时间窗口需要在2小时以内。 6. 配置完成后，单击“保存”。列表中可以看到新建的规则。

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

本文带您了解什么是配额、怎样查看配额以及如何申请扩大配额。 什么是配额？ 配额是指为了防止资源滥用，平台对服务资源的数量和容量进行限制。每个用户在使用云服务时都有一定的资源配额限制，例如可创建的弹性云主机数量、云硬盘容量等。 通过合理设置配额，平台可以保护其资源的可持续性，并确保公平的资源分配。同时，配额也是一种安全措施，可以限制恶意用户或异常行为对系统造成的影响。 如果当前的资源配额无法满足您的需求，您可以申请扩大配额，并说明您的使用需求以及合理的理由。 怎样查看配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 6. 如果某个资源的已使用量接近或达到配额限制，可能需要考虑申请扩大配额，请参考后续操作，申请扩大配额。 如何申请扩大配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 在页面右上角，单击“申请扩大配额”。 6. 在“新建工单”页面，选择“配额类”问题点击“提问”。 7. 点击“配额申请”。 8. 根据您的需求及提示，填写相关参数。 9. 填写完毕后，勾选“承诺所提交工单内容不包括敏感信息”并点击“确认提交”完成申请。

介绍在CTS事件列表查看云审计事件。 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 使用限制 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。 查看审计事件 步骤1、登录管理控制台。 步骤2、单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 步骤3、单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤4、事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 步骤5、选择完查询条件后，单击“查询”。 步骤6、在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 步骤7、在需要查看的事件左侧，单击展开该记录的详细信息。 步骤8、在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本文指导您同步EIP信息并开启弹性公网IP防护。 如果您未配置访问控制策略或未开启弹性公网IP防护，您的业务流量将只经过云防火墙，云防火墙不会实施拦截操作。 操作步骤 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面。 单击页面右上角“资产同步”，将您的弹性公网IP信息导入至列表中，刷新弹性公网IP列表。 说明 当前账号下有多个云防火墙时，资产同步只将“未防护”的EIP同步至列表中。 5. （可选）当您列表IP数量过多时，可执行此步骤进行筛选。 在页面上方搜索下拉框中，选择搜索类型并输入信息，回车键确认，可添加多个筛选条件，右侧进行搜索。 弹性公网IP地址/ID：IP地址，即“弹性公网IP”列；或对应的ID号，由系统自动生成，即“ID”列。 企业项目名称：您同步后显示的项目名称，即“企业项目信息”列。 已绑实例名称/ID：实例名称，如“云服务器”，即“已绑定实例”列中黑色字体的信息；实例名称的ID号，如“ecsctyun0101”，即“已绑定实例”列中蓝色字体的信息。 搜索类型支持模糊搜索。 未选择搜索类型时，默认类型为弹性公网IP地址/ID。 6. 开启弹性公网IP。 开启单个弹性公网IP。在所在行的“操作”列中，单击“开启防护”。 开启多个弹性公网IP。勾选需要开启防护的弹性公网IP，单击表格上方的“开启防护”。 说明 一个EIP只能在一个防火墙上开启防护。 仅支持当前账号所属企业项目下的弹性公网IP。 7. 在弹出的界面确认信息无误后，单击“绑定并开启防护”，可查看操作行的“防护状态”列显示“已防护”。 说明 EIP开启防护后，访问控制策略默认动作为“放行”。

日志组（LogGroup）是云日志服务进行日志管理的基本单位，可以创建日志流以及设置日志存储时间，每个帐号下可以创建100个日志组。 前提条件 已获取控制台的登录帐号与密码。 创建日志组 日志组的创建类型分为用户创建（主动）和云服务创建（被动），云服务创建指其他云服务与云日志服务进行系统对接后，系统自动在云日志服务控制台创建的日志组，本操作中日志组的创建类型为用户创建（主动）。 1. 在云日志服务管理控制台，单击页面右上角的“创建日志组”。 创建日志组 2. 在“创建日志组”页面中，输入日志组名称，名称需要满足如下要求： 只支持输入英文、数字、中文、中划线、下划线及小数点。 不能以小数点、下划线开头或以小数点结尾。 长度为164个字符。 说明 日志采集后，将发送到对应的日志组中的日志流，如果日志较多，需要分门别类，建议您给日志组做好命名，方便后续快速查找日志。日志组创建后，名称不支持修改。 3、单击“确定”，完成日志组的创建。 在日志组列表中，可以查看日志组名称、日志存储时间（天）、创建类型、创建时间和日志流数量。 单击日志组名称，可跳转到日志流详情页面。 并发创建时，可能会偶现创建个数超过限制。 删除日志组 如果日志组不再需要使用，可以删除日志组。日志组删除后，日志组中的日志流、日志数据将被同时删除。日志组删除后无法恢复，请谨慎操作。 说明 如果日志组绑定了日志转储任务，删除日志组之前，需要先删除该日志组关联的日志转储任务。 1. 在日志组列表中，单击待删除日志组操作列下的“删除”。 2. 在弹出框中输入“DELETE”后，单击“确定”，完成日志组删除。 删除日志组 删除日志组

本文为您介绍查看事件的操作场景、前提条件和操作步骤。 操作场景 事件监控提供了事件类型数据的展示功能，帮助您关注业务中的各类重要事件。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“事件监控”>"系统事件"，进入“系统事件监控”页面，可查看事件监控列表。 5. 您可以查看“近1小时”、“近4小时”、“近6小时”、“近12小时”、“近1天”、“近3天”、“近7天”的历史事件记录；也可以在右上角的日历中选择查看1个月内任意时间段的事件历史。 6. 点击待选择监控事件操作下“查看监控图表”，进入相应事件监控图表详情。

5.2 禁用SELinux 开启SELinux会导致天翼云物理机装机异常，需要关闭SELinux。 查看selinux是否disabled plaintext apt install y selinuxutils 查看selinux状态，返回Disabled则表示SElinux已关闭 getenforce 可使用下面命令禁用SELinux。 plaintext sed i.bak 's/SELINUX./SELINUXdisabled/g' /etc/selinux/config 重启后，可用‘sestatus v’或‘getenforce’或查看‘/etc/selinux/config’文件检查SELinux是否已禁用。 6 清理系统 6.1 删除网络配置（重要） 物理机装机时会根据实际情况生成网络配置，保留镜像中的网络配置可能会造成干扰。需要删除不必要的网络配置。具体网络配置和系统使用的网络管理方式有关，下面列举一些常见的情况。 Redhat系发行版：删除/etc/sysconfig/networkscripts/目录下除了ifcfglo外的ifcfg文件 Debian：删除/etc/network/interfaces.d/下的网络配置文件 Ubuntu：删除/etc/netplan/目录下的网络配置文件 6.2 删除machine ID（重要） machine ID标识了唯一的一台机器，在首次启动系统时一般会自动生成。需要删除镜像中的machine ID。 plaintext rm vf /var/lib/dbus/machineid truncate s 0 /etc/machineid 下面的清理项可有可无。但为了生成的镜像更小，请删除这些无用的文件。 6.3 清空软件包缓存 plaintext dnf clean all 使用dnf的发行版 yum clean all 使用yum的发行版 使用apt的发行版 aptget y autoclean aptget y clean rm rf /var/lib/apt/lists/ rm rf /var/cache/apt/archives/.deb 6.4 清理临时文件 plaintext find /tmp type f exec rm f {} ;

5.2 禁用SELinux 开启SELinux会导致天翼云物理机装机异常，需要关闭SELinux。使用下面命令禁用SELinux。 plaintext sed i.bak 's/SELINUX./SELINUXdisabled/g' /etc/selinux/config 重启后，可用sestatus v检查SELinux是否已禁用。 6. 清理系统 6.1 删除网络配置（重要） 物理机装机时会根据实际情况生成网络配置，保留镜像中的网络配置可能会造成干扰。需要删除不必要的网络配置。具体网络配置和系统使用的网络管理方式有关，下面列举一些常见的情况。 Redhat系发行版：删除/etc/sysconfig/networkscripts/目录下除了ifcfglo外的ifcfg文件 Debian：删除/etc/network/interfaces.d/下的网络配置文件 Ubuntu：删除/etc/netplan/目录下的网络配置文件 6.2 删除machine ID（重要） machine ID标识了唯一的一台机器，在首次启动系统时一般会自动生成。需要删除镜像中的machine ID。 plaintext rm f /var/lib/dbus/machineid truncate s 0 /etc/machineid 下面的清理项可有可无。但为了生成的镜像更小，请删除这些无用的文件。 6.3 清空软件包缓存 plaintext dnf clean all 使用dnf的发行版 yum clean all 使用yum的发行版 使用apt的发行版 aptget y autoclean aptget y clean rm rf /var/lib/apt/lists/ rm rf /var/cache/apt/archives/.deb 6.4 清理临时文件 plaintext find /tmp type f exec rm f {} ; 6.5 清理日志 plaintext find /var/log type f exec rm f {} ; 7. 镜像制作完成 完成上述配置后，关闭虚拟机，qcow2格式的镜像文件默认位于/var/lib/libvirt/images/目录下，镜像制作完成。

本节主要介绍计费模式 应用服务网格产品的计费单位为接入网格的应用实例数（CCE集群中Pod数量），目前提供免费的“基础版”网格，最大可管理实例数为200。

托管检测与响应服务（原生版）应急响应服务内容及购买操作步骤说明。 服务内容 1. 提供远程应急响应服务。 2. 提供攻击路径还原、蠕虫及后门清理、攻击者画像、安全漏洞附件等。 3. 服务包含5个可选规格：120，21100，101200，201500，超过500请联系客户服务人员。 4. 提供应急响应报告。 5. 服务有效期最长不超过1年，应急响应服务不支持退订。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击应急响应“立即购买”按钮，跳转到应急响应订购页面。 3. 在应急响应服务购买详情页面，【产品配置】栏，按需要保护的资产数量选择服务规格，并选择预计服务交付时间。此服务为单次交付，最长时效期为一年。配置完成点击立即购买并支付。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看订购状态。 6. 订购完成后，24小时内，我们的服务经理会与您联系。

本节主要介绍社区版Redis到GeminiDB Redis的迁移方案。 社区版Redis是非常受欢迎的内存数据库，具有性能高，数据结构丰富等优点。GeminiDB Redis是兼容Redis生态的持久化数据库，不仅提供优秀的读写性能，还提供数据持久化能力，依托超前的系统架构，以极低的成本保证了数据三副本强一致特性，避免了社区版Redis需要Fork、成本高等问题。 迁移原理 使用自研的迁移工具drsredis进行源端Redis到目标端GeminiDB Redis的迁移。 迁移过程中，drsredis伪装成源端Redis的从节点运行，与源端Redis建立连接后，触发Redis的主从同步。源端Redis生成RDB文件，传输给drsredis完成全量同步。然后发送缓冲区保存的所有写命令到drsredis完成增量同步。 drsredis迁移工具接收并解析源端Redis的RDB文件，将解析后的数据通过redis命令的方式发送到GeminiDB Redis，然后以命令传播的方式将增量数据也发送到GeminiDB Redis，完成迁移。 使用须知 drsredis伪装成源端Redis的从节点，只读取源端的全量数据和增量命令，无数据受损风险。 源端增加对drsredis写数据的流程，因此性能会有轻微影响。 GeminiDB Redis支持多DB，若源端是单节点Redis，需要保留多DB时，可以在GeminiDB Redis侧开启namespace功能，避免将多DB数据迁移到同一空间，造成数据丢失。 如果之前源端不存在从节点，源端会新增replicationbuffer来缓存增量命令。 问题 ：redis主从同步的replicationbuffer是ring buffer，若写入buffer太快，会覆盖掉未发送给drsredis的数据，源端Redis为了数据一致性会主动断开连接，造成迁移失败。 建议 ：迁移过程中，降低源端Redis写入数据的速率，在低压时间段进行迁移。配置redis的clientoutputbufferlimit参数，适量增大replicationbuffer的大小。

本文介绍如何实现挂载文件系统子目录。 目录 操作场景 前提条件 操作步骤 操作场景 当创建文件系统后，用户使用云主机来挂载该文件系统，实现多个云主机共享使用文件系统的目的。同时用户还可以在挂载文件系统成功后，在文件系统创建子目录，并直接挂载子目录，通过不同的目录进行资源管理，节省管理成本和资金成本。 说明 建议只挂载一级子目录，避免任意嵌套。 前提条件 已创建NFS文件系统和Linux云主机。 操作步骤 1. 登录天翼云，进入管理控制台。单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 执行以下命令安装NFS客户端。 plaintext yum y install nfsutils 5. 执行如下命令创建本地挂载路径，例如“/mnt/sfs”。 plaintext mkdir /mnt/sfs 6. 在文件系统详情页面复制挂载命令，并在客户端执行挂载。挂载命令获取见下图，参数说明参考挂载NFS文件系统到弹性云主机 (Linux)。 注意 请将挂载命令中的“/localfolder”替换为您在第5步创建的本地挂载路径。 7. 挂载完成后使用 df h 查看挂载情况。 8. 挂载完成后在文件系统中创建子目录，例如data。 plaintext mkdir /mnt/sfs/data 9. 执行如下命令创建本地挂载路径，例如“/localdatapath”。 plaintext mkdir /localdatapath 10. 执行如下命令挂载文件系统子目录，挂载命令在文件系统详情页获取（见第6步），子目录及第8步创建的文件系统子目录，本地挂载路径即第9步创建的子目录要挂载的路径。 注意 若要自行输入挂载命令执行挂载，请务必在挂载时使用noresvport参数，防止文件系统卡住。 请将挂载命令中的“/localfolder”去掉。 plaintext 挂载命令/子目录 本地挂载路径 示例如下： plaintext 挂载命令/data /localdatapath 完整示例如下： plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600 100.123.123.123:/mnt/sfsmass/77624212e41862d303b100da75fe9c1b8rs8o27i91lblb9u/data /localdatapath/ 11. 挂载完成后使用 df –h命令查看挂载情况。

本文带您熟悉备份策略如何解绑存储库。 操作场景 在存储库不再使用、存储库替换或升级、存储策略调整、数据迁移以及系统整合或重构等情况下，备份策略需要解绑存储库进行相应的调整和重新配置，确保备份与存储目标的一致性和适应性。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份策略”页签，在需要修改的备份策略所在行点击“解绑存储库”。 5. 在弹出的页面点击“确定”则可完成解绑。

本文介绍如何安装与升级cstorcsi插件。 Serverless集群提供cstorcsi插件，基于Kubernetes容器存储接口（CSI），深度融合天翼云存储服务云硬盘、弹性文件存储、对象存储等。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 部分资源池不支持委托，插件安装需要配置用户AK、SK。安装前请首先到天翼云门户“用户”>“安全设置”>“用户AccessKey”中获取AK；SK可以在首次“创建AccessKey”时获取，也可提通过工单获取存量SK。若资源池支持委托，则不需要配置用户AK、SK。 插件安装 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击“安装”。 4. 在弹出的安装界面，点击“安装”。 5. 安装成功后将跳转到插件实例列表页，可以看到插件安装状态。如果插件安装失败，可以查看失败日志，通过工单反馈问题。 插件升级/更新 您可以在控制台看插件实例，并根据需要对插件进行升级或者更新。 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击进入查看详情。在插件详情页可以看到版本列表，在说明中可以获取各版本发布变更内容，根据需要确定升级版本。 4. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，可以选择版本进行升级，也可以更新插件配置。 说明 如果当前插件版本已是最新版，插件实例列表页将不可见“升级”按钮。

命令组后续操作 修改命令组：选择需要修改的命令组，单击“操作”列中“编辑”，按照需求进行命令组数据的修改，单击“提交”完成命令组数据更新。 删除命令组：选择需要删除的命令组，单击“操作”列中“删除”，在弹出的对话框中单击“确定”即可删除命令组。 注意 删除后的命令组不可恢复。 若命令组已绑定命令授权规则，删除命令组会导致绑定的命令授权规则失效，请谨慎操作。 新增命令授权规则 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 字符命令授权”，进入“命令授权”页面。 3. 单击“新增”，开始新增字符命令授权。 参数 参数说明 授权规则名称 自定义资产访问授权的规则名称。 启用状态 选择该授权规则的启用状态，默认启用。 登录名 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 敏感命令 选择需要进行控制的命令组，并填写优先级，优先级范围：1~100，数字越小优先级越高。 授权时间 填写该授权的有效期。审批通过后，在有效期内可多次执行符合该规则的命令。 说明 配置时至少需要关联至少一个授权对象，否则这条命令策略不起作用，其余未关联的表示对所有生效。 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

本文介绍Web应用防火墙（边缘云版）在CC攻击常见场景推荐的防护策略和配置。 CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。以下是一些常见的CC攻击场景及WAF在不同场景下提供的具体防护策略和配置。 场景1：高频海量的虚假请求耗尽服务器资源 攻击者利用大量的虚假请求，不断向目标网站发送超过正常用户请求频率的请求，导致目标网站无法正常服务，这个最常见的一种CC攻击场景。您可以关注您的网站请求数趋势，如果请求QPS在某一时刻突然异常突增很多(比正常业务QPS突增超过10倍)，就很有可能是受到了CC攻击。 针对超过正常请求频率的攻击，最直接有效的防护方式就是配置频率控制，通过限制指定URL的访问频率，拦截超过网站正常业务请求频率的攻击。如：配置登录接口的单IP访问频率达到每分钟50次时则进行拦截，具体配置操作请参考：设置客户端IP访问域名首页次数限制。 除此之外，您还可以通过开启CC防护功能对CC攻击进行防护，设置URL达到指定阈值后则进行挑战，通过CC防护策略来校验请求是否来自于真实浏览器（注意：该功能不适用于不能执行JS的环境，如API、Native App、Websocket等） 配置示例：以下配置在阈值请求达到每5秒5000次时，则会开启CC攻击防护。更多CC防护配置请参考：设置CC防护配置。

VPC边界防火墙用于防护VPC之间的通信流量，VPC之间通信流量的访问控制，实现内部业务互访活动的可视化与安全防护。 防护对象 对等连接 云专线 云间高速 约束条件 仅“企业版”支持VPC边界防火墙。