对象存储服务、云硬盘和镜像服务借助KMS实现了加密特性。 使用KMS加密的云服务列表 服务名称 如何使用 对象存储服务 对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时，数据会在服务端加密成密文后安全地存储在对象存储服务中；用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。对象存储服务支持KMS托管密钥的服务端加密方式（即SSEKMS加密方式），该加密方式是通过KMS提供密钥的方式进行服务端加密。 云硬盘 在创建云硬盘时，用户启用云硬盘的加密功能，系统将使用用户主密钥产生的数据密钥对磁盘进行加密，则在使用该云硬盘时，存储到云硬盘的数据将会自动加密。 镜像服务 用户通过外部镜像文件创建私有镜像时，可启用私有镜像加密功能，选择KMS提供的用户主密钥对镜像进行加密。 弹性文件服务 用户通过弹性文件服务创建文件系统时，选择KMS提供的用户主密钥对文件系统进行加密，当使用该文件系统时，存储到文件系统的文件将会自动加密。 关系型数据库 在购买数据库实例时，用户启用数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。 文档数据库服务 在购买文档数据库实例时，用户启用文档数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对文档数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。

本文介绍云SSO各模块的基本概念 概念 说明 企业组织 企业组织是多账号下的成员关系管理服务，可以通过创建或者邀请账号加入，构建多账号的企业中心环境。 主账号 是企业组织中的管理员账号，可以统筹管理企业组织关系内各成员账号的资源、操作权限、财务关系等。 子账号 是通过被主账号创建或者邀请加入的成员账号。 云SSO用户/用户组 是主账号创建的虚拟用户，该用户可以通过云SSO门户登录到企业组织内的成员账号中，对成员账号进行访问管理。 权限集 主账号可以为云SSO实例自定义分配指定的权限集合。 绑定权限集 为云SSO用户（组）在指定账号范围内，绑定权限集。 云SSO登录门户 云SSO用户登入URL地址： 身份同步 云SSO支持基于SCIM协议的用户和用户组同步，称为身份同步，也可以称其为身份部署或身份推送等。使用身份同步，您只需在您的企业身份管理系统中管理身份，而不必在云SSO中手工管理用户、用户组及其成员关系，提升管理效率和安全性。 单点登录（SSO） 云SSO支持基于SAML 2.0的单点登录SSO（Single Sign On）。天翼云是服务提供商（SP），而企业自有的身份管理系统则是身份提供商（IdP）。通过单点登录，企业员工可以使用IdP中的用户身份以云SSO用户身份访问天翼云。

存储类名称，云硬盘必须为csidisk 表 关键参数说明 参数 描述 everest.io/reclaimpolicy: retainvolumeonly 可选字段 目前仅支持配置“retainvolumeonly” everest插件版本需 > 1.2.9且回收策略为Delete时生效。如果回收策略是Delete且当前值设置为“retainvolumeonly”删除PVC回收逻辑为：删除PV，保留底层存储卷。 failuredomain.beta.kubernetes.io/region 集群所在的region。 failuredomain.beta.kubernetes.io/zone 创建云硬盘所在的可用区，必须和工作负载规划的可用区保持一致。 volumeHandle 云硬盘的volumeID。 获取方法： 在云主机控制台，单击左侧栏目树中的“云硬盘 > 磁盘”，单击要对接的云硬盘名称进入详情页，在“概览信息”页签下单击“ID”后的复制图标即可获取云硬盘的volumeID。 everest.io/diskvolumetype 云硬盘类型，全大写。 l SAS：高I/O l SSD：超高I/O l GPSSD：通用型SSD l ESSD：极速型SSD everest.io/cryptkeyid 卷为加密卷时为必填，填写创建加密秘钥的ID。 everest.io/enterpriseprojectid 可选字段 云硬盘的企业项目ID。如果指定企业项目，则创建PVC时也需要指定相同的企业项目，否则PVC无法绑定PV。 获取方法 ：在云主机控制台，单击左侧栏目树中的“云硬盘 > 磁盘”，单击要对接的云硬盘名称进入详情页，在“概览信息”页签下找到“管理信息”中的企业项目，单击并进入对应的企业项目控制台，复制对应的ID值即可获取云硬盘所属的企业项目的ID。 persistentVolumeReclaimPolicy 集群版本号>1.19.10且everest插件版本>1.2.9时正式开放回收策略支持。 支持Delete、Retain回收策略。 Delete : l Delete且不设置everest.io/reclaimpolicy：删除PVC，PV资源与云硬盘均被删除。 l Delete且设置everest.io/reclaimpolicyretainvolumeonly：删除PVC，PV资源被删除，云硬盘资源会保留。 Retain ：删除PVC，PV资源与底层存储资源均不会被删除，需要手动删除回收。PVC删除后PV资源状态为“已释放（Released）”，不能直接再次被PVC绑定使用。 如果数据安全性要求较高，建议使用Retain 以免误删数据。

参数名称 参数说明 取值样例 计费模式 仅支持包年/包月模式 包年/包月 区域 配额的“区域”建议与主机的“区域”相同。 HSS不支持跨区域使用，如果您购买了与主机不在同一区域的配额，请退订配额后重新购买主机所在区域的配额。 苏州 版本选择 仅支持企业版。若需开启按需计费，你可参照开启容器节点防护直接开启防护即可。 企业版 购买节点数 购买的容器版配额数量。 10 购买时长 根据您的需求选择时长。 为避免因服务到期未及时续费导致您的主机遭受攻击，建议勾选“自动续费”。 勾选“自动续费”后，当购买的企业主机安全到期时，如果账号余额充足，系统将自动为购买的企业主机安全续费，续费周期与购买时长保持一致。 1年 标签 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。如果需要该功能，您的账号需要具备TMS administrator权限，没有该权限您无法为防护配额添加标签并且界面会有“permission error”的错误提示。 cgsdata

步骤二：激活智能网关 1. 登录天翼云SDWAN控制台。 2. 选择“智能网关”，单击目标智能网关实例“操作”列的“更多激活”。激活前，请确保设备状态为“在线”。 3. 根据页面提示，选择设备接入方式为“桥接”，配置智能网关实例接入天翼云使用的私网网段，私网网段如果存在包含/重复关系，可能会造成路由冲突，请谨慎配置。 4. 单击“确定”，开始激活操作。 5. 激活成功后，业务状态变为“已激活”。 步骤三：配置静态路由 完成以下操作配置静态路由，使得云上云下能够互通。 1. 登录天翼云SDWAN控制台，选择“智能网关”，单击目标智能网关实例名称，进入智能网关详情页。 2. 在详情页，单击“静态路由 >添加”。 3. 根据页面提示，填写目的网段和下一跳等参数。 4. 单击“确定”，完成静态路由配置。 步骤四：绑定天翼云SDWAN实例 完成以下操作，通过将智能网关实例加载到SDWAN网络中，实现组网。 1. 登录天翼云SDWAN控制台。 2. 选择“智能网关”，单击目标智能网关实例“操作”列的“绑定网络实例”。 3. 根据页面提示，选择要加入的天翼云SDWAN实例。 4. 单击“确定”，完成智能网关实例绑定天翼云SDWAN实例。 步骤五：绑定云间高速（标准版）实例 完成以下步骤，将SDWAN实例绑定云间高速（标准版）实例，实现企业线下分支访问天翼云VPC资源。 1. 登录天翼云SDWAN控制台。 2. 选择“天翼云SDWAN”，单击目标SDWAN实例“操作”列的“绑定云间高速（标准版）”。 3. 根据页面提示，选择待绑定的云间高速（标准版）实例和其下的云企业路由器实例。 4. 单击“确定”，完成绑定。

本小节介绍证书管理服务权限管理。 如果您需要对天翼云上购买的证书管理服务（CCMS）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有证书管理服务（CCMS）的使用权限，但是不希望他们拥有删除CCMS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CCMS，但是不允许删除CCMS的权限策略，控制他们对天翼云CCMS资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CCMS服务的其它功能。IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 CCMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组/用户授予策略或角色，才能使得用户组/用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置权限，访问CCMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM提供的一种细粒度授权的能力，可以具体到服务的操作。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CCMS服务，管理员能够控制IAM用户仅能对CCMS进行指定的管理操作。 如下表所示，包括了CCMS所有系统角色。 角色名称/策略名称 描述 类别 依赖关系 ccms admin SSL证书管理服务管理员权限，拥有服务的所有权限。 系统策略 购买证书需要依赖bss admin策略、mkt admin策略。 bss admin策略：系统策略，订单费用中心（BSS）管理员，拥有该服务下的所有权限。 mkt admin策略：系统策略，营服中心管理员，拥有该服务下的所有权限。 ccms viewer SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书、csr、联系人、公司进行增删改权限。 系统策略 无 说明 如需购买SSL证书，账号除了必须拥有“ccms admin”之外，还需要拥有“bss admin”权限和“mkt admin”权限。

本节介绍了扩展SCSI数据盘的分区和文件系统的相关内容。 操作场景 通过云服务管理控制台扩容成功后，仅扩大了云硬盘的存储容量，因此需要参考本章节操作扩展分区和文件系统。 对于Linux操作系统而言，需要将扩容部分的容量划分至已有分区内，或者为扩容部分的云硬盘分配新的分区。 本文以“CentOS 7.4 64位”操作系统为例，提供针对SCSI数据盘的MBR分区的操作指导。不同操作系统的操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应操作系统的产品文档。 注意 扩容时请谨慎操作，误操作可能会导致数据丢失或者异常，建议扩容前对数据进行备份，可以使用CBR或者快照功能，CBR请参见 前提条件 已通过管理控制台扩容云硬盘容量，并已挂载至云主机，请参见扩容“正在使用”状态的云硬盘容量或者扩容“可用”状态的云硬盘容量。 已登录云主机。 新增MBR分区 数据盘“/dev/sda”原有容量50GB，只有一个分区“/dev/sda1”。将数据盘容量扩大至100GB，本示例为新增的50GB分配新的MBR分区“/dev/sda2”。 步骤 1 执行以下命令，查看磁盘的分区信息。 fdisk l 回显类似如下信息： [root@ecsscsi ~]

云备份CTCBR(Cloud Backup&Recovery)是一个简单易用、经济高效、安全可靠的一键式备份产品。通过集中管理界面,为用户的云主机、物理机、本地主机相关的数据库、硬盘、虚拟机、文件数据等资源提供统一数据保护。

本节介绍了导出镜像的流程。 1、登录天翼云控制中心; 2、在云主机控制台，单击【镜像服务】； 3、在私有镜像列表中，在需要导出的镜像所在行，单击操作列的“更多 > 导出”。 4、在“导出镜像”对话框中，填写对应参数。 快速导出：大于128GB的镜像必须勾选“使用快速导出”，勾选后将无法指定导出格式，只能为zvhd2格式。 格式：目前支持qcow2、vmdk、vhd、zvhd格式，请根据需要进行选择。 名称：输入一个方便您识别的名称。 存储路径：单击展开桶列表，选择一个用来存储镜像的OBS桶。 5、单击“确定”。 在私有镜像列表上方可以查看镜像导出任务进程。 6、完成镜像导出。

事后：损失最小化，被勒索后“及时恢复” 当前勒索攻击发展迅速，任何工具都无法提供100%防护。若不幸失陷，备份恢复能够将损失最小化。通过云备份服务快速恢复业务，保障业务安全运行。 备份数据恢复业务：首先还原业务关键型系统，请在还原之前再次验证备份是否正常。 勒索防护配置说明 当前勒索病毒频繁升级、变种，主机安全可支持对勒索病毒的检测及系统风险项的识别，但无法做到百分百的病毒防护能力，需要通过配置CBR备份服务进一步提升勒索病毒防护能力、消减勒索带来的影响。仅配置CBR备份服务，可能出现备份副本到勒索攻击时间节点间的业务无法恢复，需要同步配置HSS勒索病毒防护功能实时检测勒索病毒，减小业务受损范围。 云安全事件数据表明，HSS与CBR对勒索综合防御能力均具有影响，为使您的业务环境处于最佳勒索防御状态，强烈建议开通HSS旗舰版勒索防护策略，开通并配置小时级别永久保存的CBR备份： 企业主机安全HSS服务状态 云备份 CBR服务状态 被加密概率 加密后恢复概率 防御勒索病毒侵害的综合得分（0~100） 开通版本 勒索防护策略 配置状态 最短备份周期（推荐） 被加密概率 加密后恢复概率 防御勒索病毒侵害的综合得分（0~100） 非常高（90%） 0% 0 基础版 不支持 非常高（90%） 0% 0 企业版 不支持 非常高（85%） 0% 10 旗舰版 未配置 中（50%） 0% 15 基础版/未开通 不支持 已配置 天 非常高（90%） 50% 20 企业版 不支持 已配置 天 非常高（85%） 50% 30 基础版/未开通 不支持 已配置 小时 非常高（90%） 90% 30 旗舰版 未配置 已配置 天 中（50%） 50% 35 企业版 不支持 已配置 小时 非常高（85%） 90% 40 旗舰版 未配置 已配置 小时 中（50%） 90% 45 旗舰版 已配置 非常低（<10%） 0% 60 旗舰版 已配置 已配置 天 非常低（<10%） 50% 80 旗舰版 已配置 已配置 小时 非常低（<10%） 90% 90 旗舰版 已配置 已配置 小时（永久备份） 非常低（<10%） 90% 99（推荐）

本章节主要介绍创建连接MRS集群的SSH隧道并配置浏览器 。 操作场景 用户和MRS集群处于不同的网络中，需要创建一个SSH隧道连接，使用户访问站点的数据请求，可以发送到MRS集群并动态转发到对应的站点。 MAC系统暂不支持该功能访问MRS，请参考通过弹性公网IP访问内容访问MRS。 前提条件 准备一个SSH客户端用于创建SSH隧道，例如使用开源SSH客户端Git。请下载并安装。 已创建好集群，并准备pem格式的密钥文件或创建集群时的密码。 用户本地环境可以访问互联网。 操作步骤 1.登录MRS管理控制台，选择“集群列表 > 现有集群”。 2.单击指定名称的MRS集群。 记录集群的“安全组” 。 3.为集群Master节点的安全组添加一条需要访问MRS集群的IP地址的入规则，允许指定来源的数据访问端口“22”。 具体请参见“《虚拟私有云》帮助文档> 安全性 > 安全组 > 添加安全组规则”。 4.查询集群的主管理节点，具体请参考如何确认Manager的主备管理节点。 5.为集群的主管理节点绑定一个弹性IP地址。 具体请参见“《虚拟私有云》帮助文档”，为弹性云主机申请和绑定弹性公网IP。 6.在本地启动Git Bash，执行以下命令登录集群的主管理节点： ssh root@弹性 IP 地址或者 ssh i 密钥文件路径 root@弹性 IP 地址 7.执行以下命令查看数据转发配置： cat /etc/sysctl.conf grep net.ipv4.ipforward 系统查询到“net.ipv4.ipforward1”表示已配置转发，则请执行步骤9。 系统查询到“net.ipv4.ipforward0”表示未配置转发，则请执行步骤8。 系统查询不到“net.ipv4.ipforward”参数表示该参数未配置，则请执行以下命令后再执行步骤9。 echo "net.ipv4.ipforward 1"/etc/sysctl.conf 8.修改节点转发配置： a.执行以下命令切换root用户： sudo su root b.执行以下命令，修改转发配置： echo 1 > /proc/sys/net/ipv4/ipforward sed i "s/net.ipv4.ipforward0/net.ipv4.ipforward 1/g"/etc/sysctl.conf sysctlw net.ipv4.ipforward1 c.执行以下命令，修改sshd配置文件： vi /etc/ssh/sshdconfig 按I进入编辑模式，查找“AllowTcpForwarding”和“GatewayPorts”，并删除注释符号，修改内容如下，然后保存并退出： AllowTcpForwarding yesGatewayPorts yes d.执行以下命令，重启sshd服务： service sshd restart 9.执行以下命令查看浮动IP地址： ifconfig 系统显示的“eth0:FIHUE”表示为Hue的浮动IP地址，“eth0:wsom”表示Manager浮动IP地址，请记录“inet”的实际参数值。 然后退出登录：exit 10.在本地机器执行以下命令创建支持动态端口转发的SSH隧道： 使用命令 ssh i 密钥文件路径 v ND 本地端口地址 root@弹性IP 地址或者 ssh v ND 本地端口地址 root@弹性 IP 地址 ，然后输入创建集群时的密码。 其中，“本地端口地址”需要指定一个用户本地环境未被使用的端口，建议选择8157。 创建后的SSH隧道，通过“D”启用动态端口转发功能。默认情况下，动态端口转发功能将启动一个SOCKS代理进程并侦听用户本地端口，端口的数据将由SSH隧道转发到集群的主管理节点。 11.执行如下命令配置浏览器代理。 a.进入本地Google Chrome浏览器客户端安装目录。 b.按住“shift+鼠标右键”，选择“在此处打开命令窗口”，打开CMD窗口后输入如下命令： chrome proxyserver"socks5://localhost:8157" hostresolverrules"MAP 0.0.0.0 , EXCLUDE localhost" userdatadirc:/tmppath proxybypasslist"googlecom, gstatic.com, gvt .com, :80" 说明 8157为步骤10中配置的本地代理端口。 若本地操作系统为Windows 10，请打开Windows操作系统“开始”菜单，输入cmd命令，打开一个命令行窗口执行12中的命令。若该方式不能成功，请打开Windows操作系统“开始”菜单后，在搜索框中输入并执行11中的命令。 12.在新弹出的浏览器地址栏，输入Manager的访问地址。 Manager访问地址形式为 浮动IP 地址:28443/web 。 访问启用Kerberos认证的集群时，需要输入MRS集群的用户名和密码，例如“admin”用户。未启用Kerberos认证的集群则不需要。 第一次访问时，请根据浏览器提示，添加站点信任以继续打开页面。 13.准备站点的访问地址。 a.参考开源组件Web站点中的Web站点一览，获取Web站点的地址格式及对应的角色实例。 b.单击“服务管理”。 c.单击指定的服务名称，例如HDFS。 d.单击“实例”，查看NameNode的主角色实例“NameNode(主)”的“业务IP” 14.在浏览器输入访问Web站点真实地址并访问。 15.退出访问Web站点时，请终止并关闭SSH隧道。

本节为您介绍物理机服务常见的计费类问题。 物理机退订时怎么扣费？ 物理机在退订时根据扣费场景不同扣费金额不同，退订场景主要包含七天无理由全额退订和非七天无理由退订以及其他退订，退款金额会退回账户余额。 关于退订的更多规则请参见退订规则说明。 物理机资源到期冻结后，如何解冻？ 当物理机资源被冻结后，用户可通过续费来解冻资源，恢复物理机正常使用。 当物理机资源到期而未续订时，物理机资源将自动进入保留期且资源被冻结。您不能访问和使用该资源，例如无法下载物理机中的数据。系统也会发送短信及邮件提醒您。建议您尽快进行手动续订，如果保留期内不续订，物理机资源将被释放，同一订单内订购的资源也会被释放（弹性IP、云硬盘等）。 已经到期的包月物理机允许续订、不能发起退订，未到期的包月物理机可以退订。 资源到期冻结时：资源将被限制访问和使用，会导致您的业务中断。 资源续订解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。 物理机退订后多久释放？ 物理机退订后的资源将被以冻结形式保留15天，15天过后进行释放。 在此期间，业务将被中断，用户无法进行其他任何操作，请确认之后再执行退订物理机。 如果不想等待15天的冻结期，可在控制台发起立即销毁。

本节主要介绍凭证管理 凭证管理可添加公有云、私有云、主机、数据库、REDIS、ElasticSearch的认证方式。其中公有云采用AK/SK、密码方式认证，私有云、主机、数据库、REDIS采用用户名/密码方式认证 。 操作步骤 步骤 1 在浏览器中输入 单击左侧导航栏的“ 配置管理 ”，进入配置管理 界面。在“ 凭证管理 ”页签，单击“ 添加 ”。 添加凭证 在“ 输入凭证 ”页面，按照页面提示，选择认证方式并输入相应凭证，如图所示，单击“ 下一步 ”。 若不需要关联对象，可单击“ 保存退出 ”。 输入凭证 在“ 关联对象 ”页面，选择可关联的对象，单击“ 下一步 ”。 关联对象 在“ 确认添加 ”页面，确认添加的凭证与关联的资源，单击“ 确认 ”。 添加完成后，在凭证列表页可以看到添加的凭证。 确认凭证

本章节主要介绍环境管理 环境概述 环境是用于应用组件部署和运行的计算、存储、网络等基础资源的集合。ServiceStage把相同VPC下的计算资源（如云容器引擎CCE）、网络资源（如弹性负载均衡ELB、弹性公网EIP等）和中间件（如分布式缓存DCS、微服务引擎CSE等）组合为一个环境，如：开发环境，测试环境，预生产环境，生产环境。 环境内网络互通，可以按环境维度来管理资源、部署服务，减少具体基础资源运维管理的复杂性。 同一个项目下，最多支持创建300个环境。 创建环境 在部署应用组件之前，您需要先创建环境。 操作步骤 1、登录ServcieStage控制台，进入“环境管理”，单击“创建环境”。 2、填写环境配置信息，其中带“”标志的参数为必填参数。 参数 参数说明 环境名称 环境的名称。 企业项目 设置企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。开通企业项目后可以使用。 描述 环境说明信息。 单击 ，输入环境描述信息。 单击，保存描述。 虚拟私有云(VPC) 选择环境资源所在VPC。 新建VPC，请参考“帮助中心 > 虚拟私有云 > 用户指南 > 虚拟私有云和子网 > 虚拟私有云 > 创建虚拟私有云和子网”。 环境类型 根据应用组件部署方式，选择环境类型。 Kubernetes：适用于容器部署方式（云容器引擎部署），应用组件以容器镜像方式通过Kubernetes调度部署。 3、单击“立即创建”，完成环境创建。 环境创建完成后，进入环境详情页面，可以查看环境详情、进行环境资源配置等操作。

本章节向您介绍什么是安全组与安全组规则。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 您在创建实例时（比如云主机），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组，多个安全组按照优先级顺序依次匹配流量。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。 以下图为例，在区域A内，某客户有一个虚拟私有云VPCA和子网SubnetA，在子网SubnetA中创建一个云主机ECSA，并为ECSA关联一个安全组SgA来保护ECSA的网络安全。 安全组SgA的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECSA。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECSA。 当ECSA需要通过EIP访问公网时，由于安全组SgA的出方向规则允许所有流量从实例流出，因此ECSA可以访问公网。 说明 您可以免费使用安全组资源，当前不收取任何费用。

本章节提供云主机备份产品的相关文档下载。 天翼云云主机备份用户使用指南.pdf

本文主要介绍IP地址组。 IP地址组是多个IP地址的集合，用来统一管理具有相同安全要求或需要频繁修改的IP地址。 对于需要使用黑名单和白名单，在监听器上设置访问控制策略的用户，开启白名单或黑名单时必须选择一个IP地址组，从而实现允许或者限制IP地址组中的IP访问负载均衡的监听器。 同一个IP地址组，最多可以关联50个监听器。目前IP地址组既支持IPv4地址又支持IPv6地址。 天翼云部分二类节点正在升级，以支持IP地址组能力，敬请用户随时关注。 创建IP地址组 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“IP地址组”界面，单击“创建IP地址组”。 5. 配置IP地址组参数。 IP地址组参数说明表 参数 说明 样例 名称 IP地址组的名称。 ipGroup01 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 IP地址 需要通过白名单或黑名单进行访问控制的IP地址。每行一个IP地址或一个网段，以回车结束； 每个IP地址或者网段都可以用“”分隔添加备注，如“192.168.10.10丨ECS01”， 备注长度范围是0到255字符，不能包含<>；每个IP地址组最多可添加300个IP地址和网段。 说明：如果IP地址组未包含任何IP地址，当访问控制选择白名单时，则对应的负载均衡监听器禁止任何IP地址访问。 10.168.2.24 10.168.16.0/24 描述 IP地址组相关信息的描述说明。 6. 确认参数配置，单击“确定”。

本节主要介绍使用流程 应用运维管理（ApplicationOperationsManagement，以下简称AOM）是云上应用的一站式运维管理平台，实时监控您的应用及相关云资源，分析应用健康状态，提供灵活的告警及丰富的数据可视化功能，帮助您及时发现故障，全面掌握应用、资源及业务的实时运行状况。 以接入云主机为例，AOM快速使用流程如下： 1.开通AOM（必选） 2.创建子账号并设置权限（可选） 3.创建云主机（必选） 4.安装ICAgent（必选） ICAgent是AOM的采集器，用于实时采集指标、日志和应用性能数据。 5.配置应用发现规则（可选） 满足内置应用发现规则的应用，安装ICAgent后该应用会自动被发现；对于不满足内置应用发现规则的应用，需要配置应用发现规则。 6.配置日志采集路径（可选） 如果您需使用AOM监控主机的日志，则需配置日志采集路径。 7.日常运维（可选） 您可使用AOM的仪表盘、告警通知等功能进行日常运维。

源库为天翼云及其他云PostgreSQL的情况 源库为天翼云及其他云PostgreSQL、任务包含增量迁移，且逻辑解码器选择为Decoderbufs时，源库需开启逻辑解码器输出插件Decoderbufs。 天翼云在开通PostgreSQL实例时已预置开启Decoderbufs插件，当源库为天翼云PostgreSQL时，请你参照天翼云关系数据库PostgreSQL版管理插件相关指引查看确认Decoderbufs插件的开启情况，已开启则无需进行操作，未开启则参照指引进行Decoderbufs插件的安装。 当源库为其他云PostgreSQL时，需要查看源库对应版本是否支持并已开启Decoderbufs插件。如源库版本不支持Decoderbufs插件则无法进行其他云PostgreSQL到天翼云PostgreSQL的增量迁移；如源库版本支持Decoderbufs插件但未开启则按照文档启用插件；如已开启则无需进行操作。具体请参考其他云PostgreSQL的相关指引，例如： 华为云支持的插件列表及插件管理的相关指引。 阿里云支持的插件列表及插件管理的相关指引。 操作需知 DTS迁移过程一般包含四个阶段：预检查阶段、结构迁移阶段、全量阶段、增量阶段。为了确保数据迁移各个阶段的平顺，在创建迁移任务前，请务必阅读以下使用须知。

本文为您介绍查看容灾管理中心详情的具体操作。 操作场景 在您创建了容灾管理中心后，可以通过多活容灾服务控制台查看您创建的容灾管理中心的详细信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾管理”，进入容灾管理中心页面。 5. 点击容灾管理中心列表中的名称，进入容灾管理中心详情页。 6. 在基础信息部分，可以查看容灾管理中心名称、命名空间、容灾管理中心ID、容灾形态、创建时间、描述信息。 7. 在网络信息部分，可以查看容灾管理中心的虚拟私有云、子网、安全组，以及绑定的ELB、EIP。 8. 在计费信息部分，可查看计费模式，如果计费模式选择的是包年包月，则还查看到期时长。 9. 在分区资源状态部分，查看各分区网络状态、资源同步状态，以及接入的云主机、数据库、存储资源。包含分区的内网状态、公网状态。其中，图标代表可用，图标代表不可用。

本页介绍天翼云TeleDB数据库产品介绍。 产品概述 TeleDB 是天翼云自主研发的分布式数据库系统，集高扩展性、高SQL兼容度、完整的分布式事务支持、多级容灾能力等能力于一身，采用无共享的集群架构，提供容灾、备份、恢复、监控、安全、审计等全套解决方案，适用于GB级 PB级的海量数据场景。 数据库资源与生命周期管理平台TeleDB资源全生命周期管理则致力于为客户提供极致体验的数据库资源管理一体化平台，支持用户对云数据库TeleDB进行全生命周期管理。 该平台提供租户用户管理、资源管理、实例管理、监控告警中心、安全中心等核心功能，使用者可以在TeleDB控制台上执行实例开通、维护管理、参数组管理、备份恢复管理、监控告警管理、数据库空间管理、任务管理、日志管理、资源管理、用户管理等操作，实现数据库资源集中管理和高效率使用，数据库运维自动化和智能化，帮助客户快速便捷使用数据库以满足业务高速增长的IT支撑需求，是客户私有化部署的最佳实践。 产品功能 实例管理 提供各类数据库实例的查看、停止、恢复、注销、扩容、缩容等操作，可查看实例详情，实例名称、引擎版本、产品规格、创建时间等，以及实例部署的主机类型及配置信息。 安装部署 多种数据库引擎自动安装部署，包含实例开通和工单管理模块，可选择数据库引擎、规格、主机及配置参数，开通对应实例，并可通过工单管理模块，查看实例开通情况。 资源管理 包含主机和VIP管理模块，可添加主机并测试联通、检测主机配置，添加主机标签，并可进行修改密码、删除操作，添加主机后可对主机进行监控，查看监控总览。 监控中心 实时监控，提供不同维度的主机和数据库运⾏指标监控及变化趋势分析，可自由选择不同时间段，开启自动刷新，通过对指标的平均值、最大最小值查看，能够实时监控运维，及时发现问题。 告警中心 提供灵活的告警配置，自定义告警模板，自定义通知对象，可实时推送告警消息，帮助运维人员及时把握数据库运行状态，及时发现风险问题，并快速定位。 安全中心 提供完整的租户用户管理，可灵活支撑企业组织架构和业务分类的资源隔离需要，超级管理员可以创建不同租户，租户管理员可添加移除用户，其他用户可自定义配置角色权限，进行有限的操作。同时，安全中心提供用户访问日志管理，可用于运维监控和问题排查。 标签管理 提供自定义标签管理，包括设置标签的键值，可在主机、实例管理里打上标签，进行分类筛选。 诊断优化 提供数据库巡检，可进行一次性、周期性巡检，生成巡检报告，可查看/下载巡检报告，方便运维管理。 服务订阅 用户通过线下方式确定需要提供的数据库服务，销售人员生成所订阅的信息并导入到服务订阅模块，后续根据用户使用情况更新订阅信息，方便用户管理订阅内容。

本文介绍如何使用telnet命令检测Redis端口连通性 ECS实例中已经安装了Telnet（Linux）或开启了Telnet客户端（Windows）。如果Redis服务出现了连接问题，并且参见上述问题中如何检测弹性云主机与Redis之间的网络连接。发现连接成功时，您需要进一步使用telnet命令检测服务端口是否可用。 查看Redis实例的连接地址，详情请参见查看连接地址。 登录ECS实例，执行telnet命令。 telnet {IP} {Redis PORT} 说明 windows系统和Linux系统中都可以使用该命令。 返回信息分析： 如果Redis连接存在问题，但可以在ECS上使用telnet连接到Redis实例，则ECS本身与Redis之间的连接无异常，请排查其它因素，例如客户端、业务代码，以及业务环境导致的Redis服务阻塞等问题。 如果telnet连接失败，但使用ping命令检测ECS与Redis之间的连接成功，可能是由于ECS存在异常行为（例如受恶意程序影响而攻击其它Redis的33016端口等）被系统禁止了部分服务，此时建议您监控ECS的数据找到异常流量并加以处理。

本章介绍如何卸载Agent。 提供一键卸载和手动本地卸载两种方式。 操作场景 Agent包选择错误，需要卸载Agent后重新安装。 安装命令复制错误（如在32位的主机中安装64位的Agent），需要卸载Agent后重新安装。 主机安全升级Agent失败，需要排查执行Agent卸载。 前提条件 云服务器的“Agent状态”为“在线”。 控制台一键卸载Agent 用户可以通过主机安全控制台直接卸载Agent，方便用户操作。 说明 卸载Agent后主机安全服务将无法为该服务器提供任何防护。 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航中，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理 > Agent在线”，在需要卸载Agent的云服务器所在行的“操作”列，单击“卸载Agent”。 6、在弹出的卸载Agent对话框中，单击“确认”。 云服务列表“Agent状态”显示为“离线”，卸载Agent成功。 卸载Agent成功 主机本地卸载 用户在不需要使用主机安全服务或需要重新安装Agent时，可从本地卸载版本Agent。 说明 卸载Agent后主机安全服务将无法为该服务器提供任何防护。

此小节介绍如何防止云堡垒机运维的服务器被绕过。 云堡垒机没有防绕过的功能，运维用户只要掌握服务器账号密码，即可直接登录服务器并运维。 为避免云堡垒机被绕过，需要设置服务器安全组，配置入方向仅对云堡垒机IP地址开放，拒绝其他地址访问，实现只通过云堡垒机登录的目的。 操作步骤 1. 登录管理控制台。 2. 在产品服务列表页，选择“网络 > 弹性IP”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在安全组界面找到服务器的安全组，单击安全组操作列的“添加规则”，进入安全组详情界面。 5. 在安全组详情界面，选择“入方向规则”页签，单击“添加规则”，弹出添加规则窗口。 6. 授权对象（源地址）配置为云堡垒机的IP地址。 7. 配置完成后，单击“确定”。

本文介绍如何在天翼云函数计算控制台创建、查看、编辑和删除应用环境。 创建环境 在函数计算控制台，点击对应的应用进入应用详情页面，您可以点击创建环境按钮，进入环境创建页面。 填写字段说明： 环境名称：一个应用不能出现两个相同的环境名称。 环境类型 ：根据实际的业务诉求选择合适的环境类型，支持测试环境 、预发环境 、生产环境三种环境类型。 描述：环境的描述。 流水线配置 ：环境对应的流水线配置，请见管理流水线。 查看环境 在函数计算控制台，点击对应的应用进入应用详情页面，可以看到当前应用关联的环境列表。 点击对应的环境名称，进入环境详情页面，该页面包含环境详情、流水线管理等2个页签。 环境详情 环境详情页签主要包含应用和环境的基本信息、环境绑定的代码源、部署构建历史以及部署的资源。 流水线管理 您可以在此处配置当前环境的构建流水线，请见管理流水线。 编辑环境 您可以在环境详情页面环境详情页签处，点击环境信息旁的编辑链接，进行编辑环境的描述、分支绑定以及流水线触发方式。 删除环境 您可以在应用详情页，点击对应环境操作列的删除链接，然后您需要确认选择需要删除环境相关的资源，进行删除指定环境。

本节介绍如何查看预定义地址组。 云防火墙为您提供预定义地址组，包括“NAT64转换地址组”和“WAF回源IP地址组”，两个地址组均建议您放行。 NAT64转换地址组：开启弹性公网IP（EIP）服务的IPv6转换功能后，云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。 说明 如果您开启了弹性公网IP（EIP）服务的IPv6转换功能，建议放行“NAT64转换地址组”。 WAF回源IP地址组：提供Web应用防火墙（WAF）服务云模式的回源IP地址。 注意 引用至防护规则，如果回源IP改变，无需手动修改，防火墙每天自动更新地址组中的IP地址。 添加至黑/白名单，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。 预定义地址组仅支持查看，不支持添加、修改、删除操作。 查看预定义地址组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 在“IP地址组”页签，选择“预定义地址组”页签，单击目标地址组的名称，进入详细信息页面，查看地址组信息。

本节介绍了什么是云硬盘备份、备份原理、使用场景、使用方法。 什么是云硬盘备份 您可以通过云硬盘备份功能为云硬盘创建在线备份，无需关闭云主机。针对病毒入侵、人为误删除、软硬件故障等导致数据丢失或者损坏的场景，可通过任意时刻的备份恢复数据，以保证用户数据正确性和安全性，确保您的数据安全。 备份原理 云硬盘备份原理，请参见《云硬盘备份介绍》。 说明 ● 创建云硬盘备份时，系统会自动创建一个名称以“autobksnapshotvbs”开头的快照，并且只会保留该云硬盘最近一次备份时自动创建的快照。 使用场景 设置备份策略，根据策略自动对云硬盘进行数据备份，通过定期创建的备份作为基线数据，用来创建新的云硬盘或者恢复数据到云硬盘。 使用方法 云硬盘备份的使用方法，具体请参见管理备份云硬盘或者《云硬盘备份用户指南》。

说明：本章节会介绍关系型数据库按需计费的模式 1、收费方式 （1）预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 （2）计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。 例如：如果您在1点01分开通，那么时间到2点就算做一个自然小时；如果您在1点58分开通，那么时间到2点也算做一个自然小时，都是按照1个小时收费。所以为了避免您的时间损失，建议您整点后几分钟内开通，在整点前几分钟删除。 2 、删除规则 （1）删除关系型数据库时，数据库停止计费，其他关联资源继续计费。 （2）数据库删除后，数据不会保留会立即释放资源。 6、账户欠费 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 7、提醒/通知规则 （1）账户欠费通知：当用户欠费时，系统会向用户发送1次欠费提醒，并在欠费的第2天、第4天、第6天各发送1次欠费提醒。 （2）资源回收通知：系统会向用户发送1次云主机超期，资源删除回收通知。 （3）提醒及通知方式：以邮件和短信方式告知用户，请及时关注您的短信及邮件。

本文介绍如何新建、修改或删除公司信息。 在申请OV或EV SSL证书时，您需通过天翼云证书管理服务控制台提交企业营业执照图片和公司相关信息，以便后续CA中心对证书申请者的真实性进行审核。 新建公司信息 天翼云证书管理服务支持以下两种添加公司信息的方法： 方式一：在证书管理服务控制台的“信息管理 > 公司”页面新建公司信息。本章节以该方式为例，介绍新建公司信息的具体步骤。 方式二：在提交OV/EV证书申请时，在“公司”下拉列表上方单击“新建公司” ，并填写公司基本信息。使用该方式添加的公司信息将会自动保存在“公司”页面，方便您下次使用。 说明 请您提供真实有效的公司信息，若公司信息填写有误会影响您企业型（OV）/增强型（EV）证书的审核结果。 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“信息管理 > 公司”，进入“公司”页面。 3. 单击页面上方的“新建公司”，按照下表的填写规则填写公司的相关信息。 参数 参数说明 公司类型 请您根据公司的性质，如实选择以下五种类型： 私营个体 商业企业 政府实体 事业单位 非营利组织 公司名称 填写待申请证书的公司名称，请保证与营业执照上的公司名称一致。 您为.gov后缀的域名申请OV类型的证书，域名WHOIS注册人联系方式需与公司企业名称保持一致。 部门 输入待申请证书的公司部门。 公司电话 填写公司的联系方式，请保证联系方式真实有效。 组织机构代码 填写待申请证书公司的组织机构代码或统一社会信用代码。当公司位于海外地区时，您需要在组织机构代码开头添加国际域名缩写（又称“国际代号”）。 公司所在区域 填写待申请证书公司的所在地。 详细地址 填写公司的详细地址，请保证与营业执照上的地址一致。 邮政编码 填写公司所在地的邮政编码。 营业执照 上传公司营业执照，只支持jpg/png格式。 4. 填写完成后，单击“确认”，完成公司新建。

配置NAT网关 1.创建NAT网关。 a. 登录Console控制台，选择“服务列表”>“网络”>“NAT网关”，进入网络控制台页面。 b. 单击“购买NAT网关”，配置NAT网关的相关信息。详细请参考《NAT网关 用户指南》购买NAT 网关 。 说明 “虚拟私有云”和“子网”配置为步骤2获取的信息。 c. 配置完成后，单击“立即购买”。 2.添加DNAT规则。 a.NAT网关购买成功后，在NAT控制台，单击购买成功的NAT网关“名称”，进入NAT网关详情页面。 b. 选择“DNAT规则”页签，单击“添加DNAT规则”。详细请参考NAT网关用户指南添加NAT规则。 说明 l 弹性公网IP：可以根据自己业务在弹性公网IP页面创建。 l 公网端口：可以自定义。 l 私网IP：云搜索服务的内网访问IP，即步骤1获取的“内网访问地址”。 l 私网端口：9200 l 如果创建的集群包含多个“内网访问地址”，则需要添加多个DNAT规则。 c.添加完成后，单击“确定”。 修改云搜索服务安全组规则 1.登录云搜索服务的Console控制台，选择对应的集群，单击集群“名称/ID”，进入集群“基本信息”页面。 2.在“基本信息”页面，单击“安全组”。 3.在“安全组”页面，选择“入方向规则”。 4.单击“添加规则”，添加9200端口入方向规则。 5.配置完成后，单击“确定”。

本文为您介绍如何通过云间高速实现高可用的企业混合组网(双专线主备模式)。 应用场景 针对专线客户混合组网需求，云间高速服务可快速构建高效云间网络。通过部署多可用区（AZ）专线主备架构，既能实现本地与云上网络互联互通，又能保障访问天翼云资源的稳定性，规避单点故障风险。 前提条件 您已申请两条物理专线，且均已接入目标天翼云资源池。 组网拓扑 配置步骤 1. 创建专线网关（云专线） 分别为专线 1、专线 2 按照云专线流程创建专线网关 假设2条专线的配置如下： 类型 专线网关名称 说明 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 专线1 cdaA 云专线受理单中不填写 VPC 相关内容，保持留空。 10.250.0.1 10.250.0.2 255.255.255.252 100 专线2 cdaB 云专线受理单中不填写 VPC 相关内容，保持留空。 10.250.0.5 10.250.0.6 255.255.255.252 200 具体请参考： 创建物理专线 创建专线网关 注意 云专线的专线网关暂不绑定 VPC，预留至下一步在云间高速的云企业路由器上绑定。

本节为您介绍镜像服务常见的共享类问题。 共享镜像有共享人数限制吗？ 一个私有镜像可以共享出去的账号限制为100，如果已共享的账号再次拒绝，则配额会对应减少。 共享过的镜像可以删除吗？ 如果共享出去的镜像，对方还没有接受或者接受之后又再次拒绝，则可以删除，否则不能删除。 共享镜像是否支持跨区域 ？ 不支持，目前只能在同一个资源池进行私有镜像的共享。 接受共享镜像的数量有限制吗？ 一个用户可以接受的共享镜像数量没有限制。 共享镜像如何计费？ 您共享镜像给其他账号或其他账号共享镜像给您，您和共享的账号均不需要再次付费。一个镜像可以共享给100个账号，一个用户可以接受的共享镜像不受限制。目前只有部分公共镜像计费，需要计费的镜像参考计费说明。 创建的镜像为什么不能共享？ 目前整机镜像、ISO镜像暂不支持共享。整机镜像的创建需要使用云主机备份的存储库，存储库为收费产品，因此整机镜像不能共享。ISO镜像使用方式与普通私有镜像不同，ISO镜像需要先安装临时云主机，再通过临时云主机创建私有镜像，目前也不支持共享。如果其他用户想要使用整机镜像，则只能通过自己的云主机创建；如果想要使用ISO镜像，只能通过本地导入的方式实现。 如果您的共享镜像用户达到100个的配额上限，也不再支持共享。