日志和监控 提供调用函数的监控指标和运行日志的采集和展示，实时的图形化监控指标展示，在线查询日志，方便用户查看函数运行状态和定位问题。 初始化功能 引入initializer接口： 分离初始化逻辑和请求处理逻辑，程序逻辑更清晰，让用户更易写出结构良好，性能更优的代码。 用户函数代码更新时，系统能够保证用户函数的平滑升级，规避应用层初始化冷启动带来的性能损耗。新的函数实例启动后能够自动执行用户的初始化逻辑，在初始化完成后再处理请求。 在应用负载上升，需要增加更多函数实例时，系统能够识别函数应用层初始化的开销，更精准的计算资源伸缩的时机和所需的资源量，让请求延时更加平稳。 函数流 函数流是用来编排FunctionGraph函数的工具，可以将多个函数编排成一个协调多个分布式函数任务执行的工作流。 用户通过在可视化的编排页面，将事件触发器、函数和流程控制器通过连线关联在一个流程图中，每个节点的输出作为连线下一个节点的输入。编排好的流程会按照流程图中设定好的顺序依次执行，执行成功后支持查看工作流的运行记录，方便您轻松地诊断和调试。 函数流功能特性和优势： 功能特性 函数可视化编排 函数流执行引擎 错误处理 可视化监控 优势 使用更少代码快速构建应用程序函数流允许用户将函数组合编排成一个完整的应用程序，而无需进行代码编写。可以实现快速构建，快速上线。当业务调整时，可以快速调整流程，完成快速上线，无需编写任何代码。 完善的错误处理机制。支持对流程中发生的错误进行捕获和重试，用户可以进行灵活的异常处理。 可视化的编排和监控体验。通过拖拽进行流程编排，学习成本低，可以快速上手。监控页面使用流程可视化的查看方式，可以做到快速识别问题位置。 HTTP函数 HTTP函数专注于优化 Web 服务场景，用户可以直接发送 HTTP 请求到 URL 触发函数执行。在函数创建编辑界面增加类型。HTTP函数只允许创建APIG/APIC的触发器类型，其他触发器不支持。 自定义镜像 支持用户直接打包上传容器镜像，由平台加载并启动运行，调用方式与HTTP函数类似。与原本上传代码方式相比，用户可以使用自定义的代码包，不仅灵活也简化了用户的迁移成本。

本节介绍了弹性云主机的续订规则。 续订规则详情请见天翼云帮助中心费用中心续订规则说明。 自动续订规则详情请见天翼云帮助中心费用中心续订管理自动续订。

本文主要介绍 示例：某部门权限设计及配置示例：某部门权限设计及配置。 概述 随着容器技术的快速发展，原有的分布式任务调度模式正在被基于Kubernetes的技术架构所取代。云容器引擎（Cloud Container Engine，简称CCE）是高度可扩展的、高性能的企业级Kubernetes集群，支持社区原生应用和工具。借助云容器引擎，您可以在云上轻松部署、管理和扩展容器化应用程序，快速高效的将微服务部署在云端。 为方便企业中的管理人员对集群中的资源权限进行管理，CCE后台提供了多种维度的细粒度权限策略和管理方式。CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，分别从集群和命名空间两个层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限： 是基于IAM系统策略的授权，可以让用户组拥有“集群管理”、“节点管理”、“节点池管理”、“模板市场”、“插件管理”权限。 命名空间权限： 是基于Kubernetes RBAC能力的授权，可以让用户或用户组拥有Kubernetes资源的权限，如“工作负载”、“网络管理”、“存储管理”、“命名空间”等的权限。 基于IAM系统策略的“集群权限”与基于Kubernetes RBAC能力的“命名空间权限”，两者是完全独立的，互不影响，但要配合使用。同时，为用户组设置的权限将作用于用户组下的全部用户。当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）。

本文介绍如何对不再继续使用的云搜索进行退订操作。 如您不再需要某一实例，可以退订实例释放资源。 约束限制 1. 退订实例时，云搜索服务会释放掉全部包括云主机、云硬盘通过云搜索服务购买的资源，您自行购买、设置的如VPC、弹性IP、对象存储等资源不会退订，您需要自行前往相关产品控制台退订。 2. 退订操作，资源会立即释放，数据会清理，请提前备份数据。 3. 具体涉及到退订的费用以及规则，详细请参见费用中心退订规则说明。 方法一：通过订单管理退订 1. 登录天翼云官网，进入“费用中心订单管理退订管理”页面，选择要退订的资源，点击退订，天翼云目前支持单个退订和批量退订。 2. 退订前仔细阅读退订须知，然后确认退订资源信息，信息确认无误后勾选协议，点击“退订”即刻完成退订，资源立即销毁。 方法二：从云搜索服务控制台退订 1.登录云搜索服务控制台，进入实例管理列表页，选择需要退订的实例。 2.在操作列单击“更多”>“退订"。 3.在跳转的页面进行退订操作，与订单管理方式退订操作一致。

本文主要介绍云日志服务数据转储常见问题。 日志数据支持转储到哪些目标？ 目前仅支持转储至天翼云对象存储，详细操作请参考转储至对象存储。 日志转储到对象存储后，云日志服务会删除转储的内容吗？ 不会删除。在云日志服务控制台，日志转储是把日志“另存”一份至天翼云对象存储，转储后，可在对象存储控制台中查看对应的日志文件。 配置转储对象存储后，对象存储桶无法查看历史数据？ 配置对象存储转储后，对象存储桶无法查看历史数据。是因为云日志服务配置的日志转储是将新增的日志数据转储到对象存储桶中，不会对历史日志进行转储。 日志转储状态异常是什么原因？ 由于配置的对象存储桶被删除，请您重新指定已创建的对象存储桶。 转储至对象存储后，如何查询对象存储中的日志文件？ 日志数据转储至对象存储后，您可登录对象存储控制台，在对应的桶中查看日志文件。

通过puttygen.exe工具创建的密钥对，导入管理控制台失败怎么办？ 问题描述 通过puttygen.exe工具创建的密钥对，在导入管理控制台使用时，系统提示导入公钥文件失败。 可能原因 公钥内容的格式不符合系统要求。 当用户使用puttygen.exe工具创建密钥对时，如果使用puttygen.exe工具的“Save public key”按钮保存公钥，公钥内容的格式会发生变化，不能直接导入管理控制台使用。 处理方法 使用本地保存的私钥文件，在“PuTTY Key Generator”中恢复内容格式正确的公钥文件，然后再将该公钥文件导入管理控制台。 1.双击“PUTTYGEN.EXE”，打开“PuTTY Key Generator”。 2.单击“Load”，并在本地选择该密钥对的私钥文件。 系统将自动加载该私钥文件，并在“PuTTY Key Generator”中恢复格式正确的公钥文件内容，如下图所示，红框中的内容即为符合系统要求的公钥文件。 3.复制红框中的公钥内容，并将其粘贴在文本文档中，以.txt格式保存在本地，保存公钥文件。 4.将公钥文件导入管理控制台。 a.登录管理控制台。 b.单击管理控制台左上角的区域按钮，选择地域和项目。 c.选择“计算 > 物理机”。 d.在左侧导航树中，选择“密钥对”。 e.在“密钥对”页面，单击“导入密钥对”。 f.将“.txt”格式文本文档中的公钥内容粘贴至“Public Key Content”的空白区域，并单击“OK”，导入公钥文件。

本文为您介绍如何将网站域名接入Web应用防火墙（原生版）实例。 使用CNAME接入方式接入云WAF前，先要添加需要防护的域名。本文介绍如何将要防护的域名添加到云WAF。 前提条件 已购买WAF云SaaS型实例，且当前实例支持接入的域名数量未超过限制。 您必须先为域名完成ICP备案，才可以将网站接入WAF进行防护。如何备案请参见新增备案。 说明 根据《非经营性互联网信息服务备案管理办法》第五条规定：在中华人民共和国境内提供非经营性互联网信息服务，应当依法履行备案手续。未经备案，不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务，是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站，提供非经营性互联网信息服务。第十九条规定：互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 点击“添加防护对象”进入防护对象信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 防护对象 填写网站域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 添加的域名必须通过工信部ICP备案，若未备案则无法添加。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名（如CNAME）格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的公网IP地址。需要为公网可达的IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 合规认证 选择是否开启PCI DSS和PCI 3DS合规认证。 PCI DSS合规认证说明如下：开启PCI DSS合规认证后，您将不能修改 TLS 最低版本和加密套件，最低 TLS 版本将设置为“TLS v1.2及以上”，加密套件设置为指定范围。如果您需要修改 TLS 最低版本和加密套件，请关闭该认证。 PCI 3DS合规认证说明如下：开启 PCI 3DS 合规认证后，您将不能修改 TLS 最低版本，且最低 TLS 版本将设置为“TLS v1.2及以上”，并且您将不能关闭该认证，请根据业务实际需求进行操作。开启该认证后，该域名将不支持添加 HTTP 协议的协议端口接入。 说明 当“服务器配置协议端口”配置仅为“HTTPS”时，才支持配置 PCI DSS/3DS 合规。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 IPv6 WAF默认只处理IPv4请求流量。如果需要支持IPv6请求，请开启该功能。 ：开启IPv6功能，支持将IPv6请求流量接入WAF进行防护。 注意 功能开启并完成域名接入后无法修改，如需关闭IPv6请求防护，需要重新接入域名。 ：不开启IPv6功能，仅防护IPv4请求流量。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置源IP获取方式。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 自定义响应Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 说明 标准版最多支持1000个回源长连接，企业版、旗舰版最多支持6000个回源长连接。 功能关闭后，将不支持WebSocket。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 6. 本地验证。 根据页面提示，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常。更多信息，请参见本地验证。 7. 修改DNS解析。 根据页面提示修改域名的DNS解析，将网站域名解析到WAF进行防护，完成后单击“下一步”。更多信息，请参见修改域名DNS。 8. 添加完成。 根据页面提示设置放行WAF回源IP段，完成后单击“完成，返回防护对象列表”，返回域名接入页面。更多信息，请参见放行WAF回源IP段。 9. 域名添加完成后，该域名WAF防护开关默认开启。

应用场景 通过一套汽车零部件配件电子商城示例代码“凤凰商城”，以及“DevOps全流程样例项目”，介绍如何使用软件开发生产线实现HE2E DevOps框架。该方案适用于敏捷/Scrum研发项目。 方案架构 “凤凰商城”示例程序架构 “凤凰商城”示例程序的架构图如下图所示。 凤凰商城技术架构图 示例程序由下表中的5个可以独立开发、测试和部署的微服务组件构成。 凤凰商城微服务组件表 微服务组件 说明 Web用户端服务器（对应样例代码中的“Vote”功能） 业务逻辑：用户可以通过浏览器访问此服务的WebUI。当用户在特定商品上单击“Like”时，服务将用户所选择物品的记录保存在Redis缓存中。 技术栈：Python、Flask框架。 应用服务器：Gunicorn。 Web管理端服务器（对应样例代码中的“Result”功能） 业务逻辑：用户可以通过浏览器访问此服务的WebUI，会动态显示用户端UI上用户单击“Like”的统计数据，此数据来自PostgreSQL数据库。 技术栈：Node.js、express框架。 应用服务器：server.js。 后台订单批处理程序（对应样例代码中的“Worker”功能） 业务逻辑：此服务为后台进程，会监控Redis缓存中物品记录，并将新纪录取出并保存在PostgreSQL数据库中，以便管理端UI可以抽取数据进行统计显示。 技术栈：.net core或者Java（此服务提供两种技术栈实现了同样的功能，可根据需要修改配置选择其中一个作为运行时进程）。 订单缓存 业务逻辑：此服务作为用户端UI服务的数据持久化服务存在。 技术栈：Redis 订单数据库 业务逻辑：此服务作为管理端UI服务的数据源。 技术栈：PostgreSQL “DevOps全流程样例项目”构成 “DevOps全流程样例项目”是一个Scrum类型的模板项目，项目中预置了部分服务的使用模板。项目实践过程中涉及到的产品及服务如下表。 实践涉及产品/服务列表 服务 说明 ::: 软件开发生产线 需求管理 预置3个已规划并已完成的迭代、项目的模块设置、以及若干统计报表。 软件开发生产线 代码托管 预置代码仓库“phoenixsample”，存放项目示例代码。 软件开发生产线 代码检查 预置4个任务，任务详情介绍请参见步骤四：检查代码。 软件开发生产线 编译构建 预置5个任务，任务详情介绍请参见步骤五:构建应用。 软件开发生产线 制品仓库 用于存储通过构建任务生成的软件包。 软件开发生产线 部署 预置3个应用，应用详情介绍请参见步骤六：部署应用CCE篇。 软件开发生产线 测试计划 功能测试用例库，预置十余个测试用例。 软件开发生产线 流水线 预置5条流水线，流水线详情介绍请参见步骤八：配置流水线，实现持续交付。 其它组件和服务 统一身份认证服务 用于管理帐号。 其它组件和服务 容器镜像服务 用于存放构建任务生成的Docker镜像。 其它组件和服务 云容器引擎 用于软件包部署，与ECS部署属于两种不同的部署方式。 其它组件和服务 云主机 用于软件包部署，与CCE部署属于两种不同的部署方式。

配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 参数名 说明 回源条件：对应源站 回源条件支持IPv4/IPv6、区域运营商、不同目录、不同文件后缀名及其组合； 对应源站支持IP或域名，支持1个或多个；多个源站时请说明主备和权重关系，例如：origin1.ctyun.cn、origin2.ctyun.cn作为主源，权重为4：6，origin3.ctyun.cn作为备源。 上述回源条件和对应源站为一组高级回源设置，支持设定多组。 默认源站 不满足上述回源条件时，按默认源站回源；默认源站如为多个，请说明主备和权重关系。

本文向您介绍镜像如何部署Windows环境。 简介 本节介绍如何使用天翼云镜像，通过重装系统部署Windows环境。如果您已经购买了弹性云主机，想切换成Windows系统，或者想使用镜像重新部署已经预装了其它软件的环境，可以参考本文档的介绍和操作指导。 重装系统的约束与限制可以参见重装操作系统。 操作步骤 1. 登录天翼云控制台。 2. 选择“计算>弹性云主机”。 3. 选中指定的云主机，将云主机进行关机操作。 如果云主机已经处于关机状态，则可以直接执行重装系统操作。重装系统后，系统盘数据将会丢失，如果想要保留某些数据，可以先进行备份。 4. 选择云主机列表操作栏中的“更多”选项，选择“一键重装”。 5. 如果需要批量云主机重装系统，勾选多个云主机实例，选择云主机列表上方的“更多”选项，选择“一键重装”。 6. 仔细阅读一键重装页面的提示信息，选择需要的Windows镜像。镜像可以选择公共镜像、私有镜像、共享镜像、安全产品镜像。 7. 设置密码和用户数据。密码为必填项，用户数据可以暂不配置。点击“确定”按钮，即可进行重装系统的操作。 8. 可以在云主机列表看到重装云主机的状态。 9. 重装完成后，云主机的状态会恢复成“关机”，此时云主机可以正常使用。

SSL认证方式 说明 单向认证 仅客户端对服务器端进行认证，您需要为监听器绑定服务器证书，用于验证服务器身份。 双向认证 弹性负载均衡实例与客户端互相提供身份认证，从而允许通过认证的用户访问实例。您需要为监听器绑定服务器证书和CA证书，分别用于验证服务器和客户端的身份，后端服务器无需额外配置双向认证。

此小节介绍添加系统资源。 背景说明 云堡垒机系统集中管理云资源，主要包括管理资源账户和运维权限管理。为实现统一管理资源，需添加资源到系统。 一个主机或应用资源可能有多个登录主机或应用的账户。CBH系统纳管主机或应用的账户（资源账户）后，无需反复输入账户和密码，通过登录资源账户，自动登录资源进行运维管控。 系统默认资源账户 Empty ，登录Empty资源账户时需手动输入主机账户和对应密码。 前提条件 主机与CBH网络通畅，才能从云平台导入和自动发现主机资源。 添加应用资源前，需先添加应用发布服务器到CBH系统。 操作步骤 资源的不同添加方式 资源类型 添加方式 主机资源 添加单个主机资源 Excel文件批量导入 按照Excel模板要求配置主机基本信息，可选择配置主机账户信息。 录入主机资源账户后，不再生成Empty资源账户。 从云平台批量导入 选择与CBH网络通畅的云平台，导入云平台主机信息和主机账户信息。 导入主机全部资源账户，且不再生成Empty资源账户。 自动发现 通过IP地址或地址段，自动发现与CBH网络通畅的主机。 自动发现主机只能添加主机信息，需另添加主机资源账户。 应用资源 添加单个应用资源 配置说明 系统内协议类型 @ 主机地址: 端口需唯一，不能重复，即系统纳管的主机资源唯一。 主机资源基本信息说明 参数 说明 主机名称 自定义的主机资源名称，系统内“主机名称”不能重复。 协议类型 选择主机的协议类型。 专业版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin。 标准版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。 主机地址 输入主机与云堡垒机网络通畅的IP地址 ，选择主机的EIP地址或私有IP地址，建议优先选择可用私有IP地址。 主机的EIP为独立的公网IP，对外访问的端口受网络安全限制，可能导致从云堡垒机无法跳转登录到主机。 端口 输入主机的端口号。 系统类型 （可选）选择主机的操作系统类型或者设备系统类型。 默认支持14种系统类型，包括Linux、Windows、Cisco、Huawei、H3C、DPtech、Ruijie、Sugon、Sugon、Digital China smsg 10600、Digital China smdd 10600、ZTE、ZTE595052tm、Surfilter、ChangAn。 终端速度 Rlogin协议类型主机可选择不同终端速率。 编码 SSH、TELNET协议类型主机可选择运维界面中文编码。 可选择UTF8、Big5、GB18030。 终端类型 SSH、TELNET协议类型主机可选择运维终端类型。 可选择Linux、Xterm。 更多选项 （可选）选择配置“文件管理”、“剪切板”、“X11转发”。 文件管理：仅SSH、RDP、VNC协议类型主机可配置。 剪切板：仅RDP协议类型主机可配置。 X11转发：仅SSH协议类型主机可配置。 部门 选择主机所属部门。 标签 （可选）自定义标签或选择已有标签。 主机描述 （可选）对主机的简要描述。 应用资源基本信息说明 参数 说明 应用名称 自定义的应用发布名称，系统内“应用名称”不能重复。 应用服务器 选择已创建的应用发布服务器。 所属部门 选择应用所属部门。 应用地址 （可选）输入有效IP或域名。 若地址有对应的端口，则地址为URL：端口号。 应用发布为数据库或客户端时，输入数据库服务器的地址。 应用端口 （可选）输入应用访问端口。应用发布为数据库时，输入对应数据库访问的端口。应用发布为除数据库外其他应用时，无需填写。 应用参数 （可选）输入应用相关参数。应用发布为数据库时，输入实例名。 应用发布为除数据库外其他应用时，无需填写。 更多选项 （可选）选择“文件管理”和“剪切板”。 标签 （可选）自定义标签或选择已有标签。 应用描述 （可选）对应用发布的简要描述。

一体机的远程运维怎么连接到客户？专线还是公网，如果客户不能连公网怎么处理？ 一体机采用分级运维模式，电信地市公司负责属地化一线运维，如果一线运维不能解决，需要二三线远程运维。 默认二三线远程运维需要客户提供公网带宽，通过物联网卡的方式接入云公司运维平台，进行统一管理运维。 一体机交付时间为多久？ 从下单到交付完成的时间硬件备货时间+物流至客户现场时间+现场交付时间 如客户所需型号有备货，则备货时间为0天，如目前没有备货，备货时间为30天左右。 物流至客户现场时间需要根据客户地点而定，可按7天估算。 基础版交付时间为1天，专业版现场交付时间为25天，旗舰版交付时间为510天。

本文介绍云SSO的开通方式 开通云SSO 前提条件 您已完成企业实名认证，并作为企业管理员账号（主账号）开通了企业中心功能。 操作步骤 1. 登录天翼云官网首页 2. 单击右上角“个人账号”，选择“账号中心” 3. 单击左侧导航栏“企业中心”，选择“云SSO” 4. 按操作提示完成“云SSO”功能开通。

本小节介绍安全专区产品定义。 安全专区是针对天翼云用户场景打造的安全产品，整合云安全管理中心、云防火墙、终端安全EDR、云数据库审计、云日志审计、云堡垒机等各类云安全合规组件，具备云安全防护能力，满足等级保护防护需求。 安全专区为用户提供单点登陆、自动授权、即开即用、统一管理、弹性扩容、能力完善的云安全等保一体化合规解决方案。

本文向您介绍怎样修改远程登录的端口。 修改Windows系统实例默认远程端口，以Windows Server 2012数据中心版为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考Windows弹性云主机管理控制台远程登陆（VNC方式），远程登录待修改端口的Windows弹性云主机实例。 5. 修改注册表子项PortNumber的值。 1）右键单击Windows 徽标键，选择运行，启动运行窗口。 2）在运行窗口的文本框内输入regedit.exe后按回车键，打开注册表编辑器。 3）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 4）在列表中找到注册表子项PortNumber并右键单击，选择修改，进入修改窗口。 5）在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击确定。 6）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 7）在右侧列表中找到注册表子项PortNumber并右键单击，选择修改（可以使用键盘方向键向下寻找）。 8）在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击确定。 6. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 7. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 具体操作，请参见配置安全组规则。 8. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。 修改Linux系统实例默认远程端口，以CentOS 8.0 64位为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待修改的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 因sshdconfig是Linux中重要的配置文件，为了避免误操作所带来的故障，在运行前首先对sshdconfig进行备份，请运行以下命令： 7. 进入到/etc/ssh路径下输入ll命令查看，具体信息如下图： cp /etc/ssh/sshdconfig /etc/ssh/sshdconfigbak 8. 修改sshd服务的端口号，因为已经在/etc/ssh路径下，因此直接运行vim sshdconfig编辑sshdconfig配置文件，在键盘上按i键，进入编辑状态，添加新的远程服务端口，本节以2222端口为例。在Port 22下输入Port 2222。 9. 在键盘上按Esc键，输入:wq后保存并退出编辑模式。 10. 运行以下命令重启sshd服务。 systemctl restart sshd 至此，此弹性云主机的远程登录默认端口已经从22改为了2222。 功能验证： 1）打开远程连接工具putty，输入此弹性云主机实例的弹性公网IP，先使用默认22端口登录，可以看到连接被拒绝，网络已中断，说明目前22端口已经无法进行远程登录。 2. 配置实例的安全组，放行TCP协议2222端口，具体操作，请参见配置安全组规则 3. 配置完成之后，使用SSH工具连接新端口2222，在port下输2222，可看到能够成功连接。

监控概览为您提供云主机监控、资源告警总览及告警历史概览等信息，帮助您快速了解各云服务资源的使用和告警情况。 操作场景 通过监控概览页面，您可以在资源告警总览模块查看告警资源数、资源总数；您可以在云主机监控模块查看云主机的CPU使用率Top5、内存使用率Top5等内容；您可以在告警历史模块查看6小时、24小时、7天三个时间段的告警历史内容。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成云资源的创建。 说明 监控概览功能当前为受限开放阶段，仅支持部分资源池，如有需要可以联系客户经理提单开通。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“监控概览”，即可进入监控概览界面并查看。监控概率页面主要由资源告警总览、云主机监控、告警历史等组成。

本文主要介绍节点限制检查 检查项内容 当前检查项包括以下内容： 检查节点是否可用 检查节点操作系统是否支持升级 检查节点是否含有非预期的节点池标签 检查K8S节点名称是否与云主机保持一致 解决方案 问题场景一：节点不可用 若检查发现节点不可用，请登录CCE控制台，前往“集群信息>节点管理”处查看节点状态，请确保节点处于“运行中”状态。节点处于“安装中”、“删除中”状态时，均不支持升级。 若节点状态异常，请修复节点后，重试检查任务。 问题场景二：节点操作系统升级支持受限 当前集群升级支持的节点操作系统范围如下表所示，若您的节点OS不在支持列表之内，暂时无法升级。您可将节点重置为列表中可用的操作系统。 节点OS支持列表 操作系统 限制 CentOS 无限制 Ubuntu 部分局点受限，若检查结果不支持升级，请联系技术支持人员 问题场景三：节点含有非预期的节点池标签 由节点池迁移至默认节点池的节点，仍然会保留节点池标签"cce.cloud.com/ccenodepool"，影响集群升级。请确认该节点上的负载调度是否依赖改标签： 若无依赖，请删除该标签。 若存在依赖，请修改负载调度策略，解除依赖后再删除该标签。 问题场景四：K8S节点名称与云主机一致 CCEK8S节点名称默认“与节点私有IP保持一致”，若创建节点时选择“与云主机名称保持一致”，当前暂不支持升级。 请登录CCE控制台，前往“集群信息>节点管理”处查看节点标签，对比节点标签kubernetes.io/hostname的值是否与云主机名称是否一致。如果一致，则需在集群升级前移除该节点。

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

Agent安装以后会访问哪些地址？ Agent安装后会访问的IP、端口如下表所示： 源IP 源端口 目的设备 目的IP 目的端口 协议 Agent云主机IP 随机 服务器安全卫士服务端 169.254.169.254 5661及16463 TCP 访问说明：Agent访问服务器安全卫士服务端，主要是获取服务端下发的策略/配置/指令，上报安全告警事件及资产指纹。 服务器安全卫士（原生版）和网页防篡改（原生版）共用Agent？ 共用一个Agent，在天翼云控制台上统一下发管理防护策略，Agent执行监控与处置。 已开通安全卫士，服务器防护状态显示未防护，如何解决？ 1. 查看Agent是否启动。 Windows: 点击部署目录下的 ctwin32ui.exe ，查看ui界面显示的 agent status 应为 Running，last keepalive 是否更新（与当前系统时间相差应不超过1分钟） Linux: centos 6 使用 service ctcss status 查看agent服务状态是否为 Running 其他Linux发行版使用 systemctl status ctcss 查看Agent服务状态是否为active 查看 /var/ctcss/var/run/eShieldagent.state 文件中 last keepalive 是否更新（与当前系统时间相差应不超过1分钟） 2. Agent未启动，请按如下方式启动： Windows： 点击部署目录下的ctwin32ui.exe ，在弹出的ui界面中点击左上角Manage选项，可控制Agent的启停。 Linux: centos 6 使用 service ctcss start/stop 启停 Agent； 其他Linux发行版使用 systemctl start/stop ctcss 启停 Agent。 3. 检查安全卫士Agent配置。 若Agent处于running状态，但 last keepalive时间未更新，则可能为配置文件错误。查看Agent配置文件，由于Agent版本差异,配置文件路径不同: Linux路径为 /var/ctcss/etc/ctcss.conf 或 /var/ctcss/etc/ctcss.yml ； Windows路径为 C:Program Files (x86)ctcssagentctcss.conf 或C:Program Files (x86)ctcssagentetcctcss.yml 。 其中服务器IP应为 169.254.169.254 ，端口分别为5661 和 16463。（非公有云场景下，服务端IP地址可能有变化，以实际部署信息为准）。 配置修改完成后需按前述“步骤1”中最后一段描述重新启动Agent。 4. 检查Agent的激活文件中的信息。 先检查client.keys中guid与机器真实guid是否一致。 1. 执行【 cat /var/ctcss/etc/client.keys 】获取key信息，包含四段数据，第二段为guid，如下图第一个红框。 2. 执行 【 /usr/sbin/dmidecode s systemuuid grep v '

开启防护 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏中，选择“资产管理 > 主机管理 > 云服务器”，进入“云服务器”界面。 5、选择所需开启安全防护的主机，单击“操作”列“开启防护”。您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启主机防护。 说明 按需计费仅支持选择企业版。 包年/包月模式出现配额不足时需购买主机安全防护配额。 包年/包月： 在“开启方式”对话框中，“计费模式”选择“包年/包月”，选择目标版本、分配防护配额，阅读并确认“《主机安全免责声明》”。“选择配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费： 在“开启方式”对话框中，“计费模式”选择“按需计费”，选择目标版本，阅读并勾选“《主机安全免责声明》。 注意 基础版在首次开启时可免费体验30天，体验结束后需购买基础版的包年/包月模式才能使用。 6、单击“确认”，开启防护。开启主机安全防护后，请在控制台上查看主机安全服务的开启状态。若目标主机的“防护状态”为“开启”，则表示基础版/企业版/旗舰版防护已开启。 您也可以通过在“主机管理 > 防护配额”页面的“操作”列中，单击“绑定主机”，为主机绑定防护配额，HSS自动为主机开启防护。 一个配额只能绑定一个主机，且只能绑定Agent在线的主机。 开启主机防护后，HSS将根据您购买的服务版本，自动对您的主机执行服务版本对应的安全检测。 自动执行的安全检测

SQL拦截日志查询 注意 拦截日志非实时采集，以采集任务实际执行时间为准。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击SQL拦截 ，进入拦截日志页签。 5. 在日志列表中，查看已经被拦截的SQL日志。 您可以查看数据库名、SQL语句、用户名等信息。 注意 SQL拦截日志采集频率为每小时，如果执行迁移可用区会导致该时间段的日志丢失。 针对SQL拦截规则只读实例和主实例默认保持一致，因此请您妥善设置拦截规则。 升级数据库版本后，您在低版本中的拦截规则将清空，因此请妥善保存您在低版本中使用的拦截规则。 SQL拦截使用示例 例如您有db1、db2两个库，db1下有两个表aa、bb；db2下有两个表aa、cc。 如果db1和db2库下的两个aa表作为非常重要的表，禁止用户误删除，则写明拦截语句为： drop table db1.aa; TRUNCATE TABLE db1.aa; drop table db2.aa; TRUNCATE TABLE db2.aa; 注意：不能通过以下语句进行通配，必须指定库名。 drop table aa;（错误示例） TRUNCATE TABLE aa;（错误示例）

本节主要介绍分布式缓存服务Redis版的计费模式 目前天翼云分布式缓存服务Redis版提供包周期（包年/包月）、按需2种计费模式供您灵活选择，使用越久越便宜。 包周期（包年/包月）：天翼云提供包月和包年的购买模式。这种购买方式相对于按需付费则能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费按照订单的购买周期来进行结算。 按需计费：这种购买方式比较灵活，可以即开即停，支持秒级计费。实例从“开通”开启计费到“删除”结束计费，按实际购买时长（精确到秒）计费。 下表列出两种模式的区别： 计费模式 包年/包月 按需计费 付费方式 预付费按照订单的购买周期结算。 后付费按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 按小时结算。 实例升级 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容。 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容。 更改计费模式 支持变更为按需资源。 支持变更为包周期资源。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于消息资源需求波动的场景，可以随时开通，随时删除。 包周期与按需计费方式之间可以进行转换，具体操作请参考包周期与按需互转。

本文介绍如何使用云硬盘静态存储卷。 使用云盘静态存储卷，即使用预先在云硬盘控制台已建好的云盘实例，通过手动创建PV，创建PVC时使用已有PV的方式，实现容器内挂载云盘存储。 该模式下需要用户自建云盘及PV资源，一定程度上增加操作和管理复杂性，一般推荐使用动态创建存储的方式。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。若已有Serverless集群，无需重复操作。 已在插件市场安装存储插件cstorcsi，且插件正常运行。 已在云硬盘控制台创建云盘。 确保kubectl工具已经连接目标集群。 使用云盘静态存储卷（kubectl） 步骤一：创建持久卷（PV） 1. 创建示例yaml文件pvstaticdisk.yaml： shell apiVersion: v1 kind: PersistentVolume metadata: annotations: pv.kubernetes.io/provisionedby: disk.csi.cstor.com name: pvc{PVNAME} PV的名称，以pvc开头 spec: accessModes: ReadWriteOnce 访问模式 capacity: storage: 10Gi 云盘容量 csi: driver: disk.csi.cstor.com fsType: ext4 挂载类型 volumeAttributes: diskUUID: {YOURDISKUUID} 替换云盘ID driverType: disk.csi.cstor.com mode: VBD shared: "false" 是否共享盘 type: SATA 磁盘类型 volumeHandle: 0103{PVNAMELENTH}{PVNAME} PVNAMELENTH为PVNAME长度的十六进制表示，比如PVNAME是"pvstaticdisk"，则PVNAMELENTH为0E mountOptions: discard nodeAffinity: required: nodeSelectorTerms: matchExpressions: key: topology.disk.csi.cstor.com/zone operator: In values: 替换为您待部署应用的节点所在的可用区，例如cnhuadong1jsnj1Apublicctcloud volumeMode: Filesystem 卷模式 2. 执行以下命令，创建pv： shell kubectl apply f pvstaticdisk.yaml

本章节主要介绍如何配置Redis源端参数。 由于分布式缓存服务（DCS）限制了获取所有Key的命令，CDM无法支持DCS作为源端，但可以作为迁移目的端，第三方云的Redis服务也无法支持作为源端。如果是用户在本地数据中心或ECS上自行搭建的Redis支持作为源端或目的端。 从本地Redis导出数据时，源端作业参数如下表所示。 表 Redis作为源端时的作业参数 参数名 说明 取值样例 Redis键前缀 键的前缀，类似关系型数据库的表名。 TABLE 值存储类型 仅支持以下数据格式： STRING：不带列名，如“值1，值2”形式。 HASH：带列名，如“列名1值1，列名2值2”的形式。 STRING 键分隔符 用来分隔关系型数据库的表和列名。 值分隔符 以STRING方式存储时，列之间的分隔符。 ; 字段相同 “值存储类型”参数值为“HASH”显示该参数。 哈希键内有相同的字段。 是

返回DeepSeek专题导航。

返回DeepSeek专题导航。

返回DeepSeek专题导航。

为确保您的天翼云账号及云资源使用安全，如非必要都应避免直接使用天翼云账号（即主账号）来访问函数计算。推荐的做法是使用IAM身份（即IAM用户和IAM委托）来访问函数计算。 IAM用户 IAM用户需要由天翼云账号（即主账号）或拥有管理员权限的IAM用户、IAM委托来创建，且必须在获得授权后才能登录控制台或使用API访问天翼云账号下的资源。 对于IAM用户的使用，建议您： 使用天翼云账号创建一个IAM用户，并为IAM用户授予管理员权限，后续使用有管理员权限的IAM用户创建并管理其他IAM用户。 将人员用户和程序用户分离。 创建IAM用户时，支持设置控制台访问 和OpenAPI调用访问两种访问方式。控制台用户使用账号密码访问云产品控制台，API用户使用访问密钥AK（AccessKey）调用API访问云资源。建议您将两个不同的使用场景分离，避免误操作导致服务受到影响。对于通过控制台访问的用户，推荐为其开启MFA多因素认证。 按需为IAM用户分配最小权限。 最小权限是指授予用户执行某项任务所需的权限，不授予其他无需用到的权限。最小授权可以避免用户操作权限过大，提高数据安全性，减少因权限滥用导致的安全风险。 不要把IAM用户的AccessKey ID和AccessKey Secret保存在工程代码中，否则可能导致AK泄露，威胁您账号下所有资源的安全。建议您使用STS或环境变量等方式获取访问授权。 满足条件时对IAM用户设置SSO单点登录功能，实现直接使用企业自有的身份登录并访问天翼云资源。

本文描述云防火墙（原生版）用户身份认证与访问控制介绍 用户身份、角色、策略说明 用户在天翼云注册后自动创建主用户，该用户对其所拥有的资源具有完全的访问权限，拥有重置用户密码、分配用户等权限。若需多人共同使用天翼云资源，为确保账号安全，建议创建子用户来进行日常管理工作。子用户是由拥有IAM权限的用户在用户管理中心创建，创建初期是没有任何权限，需要先创建用户组授予相应的策略并把创建的用户加到用户组，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 根据授权分为角色、委托和策略。 角色：权限控制针对所有天翼云用户，IAM需要识别访问者的角色身份并赋予相应的委托权限策略。 委托：包括用户和用户之间的委托等操作用户的资源属于委托的范畴。 策略：是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 云防火墙的身份认证与访问控制 天翼云云防火墙（原生版）已经对接了统一身份认证服务（Identity and Access Management，IAM）服务。通过IAM的权限定义可实现对云资源权限的访问控制。 通过IAM，可以将用户加入到一个用户组中，并用策略来控制他们对云资源的访问范围，也可以将用户加入到企业项目中，为用户赋予企业项目的权限。

本节介绍了DDoS高防（边缘云版）的各个计费项的详细规格及说明。 天翼云DDoS 高防（边缘云版）提供三个计费项可供选择：套餐、扩展服务、弹性防护。其中，套餐计费的保底防护带宽、CC防护能力、业务带宽和接入域名数为包年包月预付费，在套餐的基础上可以叠加购买扩展服务，和套餐一样，扩展服务也是包年包月预付费；弹性防护带宽为按需后付费，按天结算。 计费项 描述 说明 :: 套餐 按照购买的套餐进行计费 套餐为预付费，套餐为基础费用，套餐失效则扩展服务均失效 扩展服务 根据购买的扩展功能进行计费，包含域名数、端口数、业务带宽、缓存功能 扩展服务为预付费，套餐失效则扩展服务均失效 弹性防护 按照业务需求购买弹性防护峰值，包含防护带宽、CC防护 按需后付费，根据超出保底带宽的部分产生后按照超出部分所属阶梯价格付费（按天收费），防护超过选定的最高防护带宽，则通过解析回源，2小时后自动解封 套餐含安全保底业务带宽、接入域名数等，按月付费。如果保底业务带宽不能满足需求，可以购扩展带宽，当带宽超出购买套餐+扩展带宽时，会进行域名限速。 建议您根据业务系统可能会遭受的攻击量级或者历史被攻击情况的数据等因素，进行DDoS高防（边缘云版）的选配。

本节介绍如何进入数据库审计v2.0版本控制台，及如何使用数据库审计v2.0。 数据库审计v2.0 版本由数据库审计提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“数据库审计 > 数据库审计v2.0”，跳转到数据库审计控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 数据库审计”，进入数据库审计控制台。 使用数据库审计v2.0 请参见数据库审计。