本节介绍Hermes云电脑的使用方式。 产品核心优势 Hermes云电脑内置Hermes环境，开箱即用。Hermes具备模块化架构和丰富的工具生态，让开发者能够快速构建复杂的AI应用。同时也是拥有内置学习循环的智能体，它从经验中创建技能，在使用过程中持续改进，形成持久化知识。支持微信、飞书、QQ等IM工具接入使用。 体验指引 1. 支持天翼AI云电脑移动端、PC客户端进行切换Hermes镜像； 2. 切换方式：登录云电脑>工具栏>设置>系统重装>更换系统，选择Hermes镜像。 注意 不支持跨系统切换，如Windows不支持切换至Ubuntu。 使用指引（以Ubuntu云电脑为例） 1. 开机后系统会自动启动Hermes后台服务，在云智助手中生成ApiKey并自动将模型信息注入到Hermes中，用户无需再配置模型即可直接使用。 2. 双击【Hermes】图标，首次打开会有安全提示弹窗，系统自动打开默认浏览器并跳转到聊天页面，可以发送指令和查看对话历史。 3. 双击【Hermes助手】图标，可以进入大模型配置界面，这里可以检测模型的连通性，有自行购买的第三方模型（例如息壤）可以配置以切换当前使用的大模型（填写API Key，Base URL和模型等信息）。 4. 在IM设置界面，可以配置微信，飞书和QQ三种IM通道，需要扫描界面上的二维码或者填写所需的信息，保存后静待片刻即可生效。

操作场景 切换完成后，数据不会自动反向同步（容灾站点到生产站点），保护实例处于停止保护状态，如需开始反向数据同步，需要进行反向重保护操作。 说明 执行反向重保护后，在初始同步过程中，如果容灾站点服务器重启，数据会重新进行同步，直到同步完成。 执行反向重保护后，初始同步完成，如果容灾站点服务器重启，数据不会重新进行同步。之后如果容灾站点服务器写入数据，数据增量同步。 前提条件 待反向重保护的容灾站点服务器已完成预配置，如果还未进行预配置，请参考文档下载附录配置容灾站点服务器进行配置。 保护实例状态为“切换完成”或者“反向重保护失败”。 操作步骤 步骤 1 登录管理控制台。 单击服务列表，选择“存储 > 存储容灾服务”。 步骤 2 进入“存储容灾服务”页面。 在“异步复制”页面，单击待反向重保护的保护实例所在站点复制对的保护实例数。 步骤 3 进入对应站点复制对的保护组页面。 在左侧导航选择相应的保护组。 步骤 4 进入保护组详情页面。 在保护实例列表中，单击待反向重保护的保护实例所在行操作列的“更多 > 反向重保护”。 步骤 5 进入反向重保护页面。 单击“提交”开始反向重保护。

本章节主要介绍数据治理中心的配置Elasticsearch/云搜索服务（CSS）连接功能。 Elasticsearch Elasticsearch连接适用于Elasticsearch服务，以及用户在本地数据中心或ECS上自建的Elasticsearch。 说明 Elasticsearch连接器只支持非安全模式。 连接Elasticsearch时，相关参数详见下表：Elasticsearch连接参数。 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 csslink Elasticsearch服务器列表 配置为一个或多个Elasticsearch服务器的IP地址或域名，包括端口号，格式为“ip:port”，多个地址之间使用“;”分隔。 192.168.0.1:9200;192.168.0.2:9200 云搜索服务（CSS） 云搜索服务基于Elasticsearch引擎，该连接适用于将各类日志文件或数据库记录迁移到Elasticsearch引擎进行搜索和分析。 连接云搜索服务(CSS)时，相关参数详见下表：云搜索服务(CSS)连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 csslink Elasticsearch服务器列表 配置为一个或多个Elasticsearch服务器的IP地址或域名，包括端口号，格式为“ip:port”，多个地址之间使用“;”分隔。 192.168.0.1:9200;192.168.0.2:9200 安全模式认证 是否开启安全模式认证。 如果所需连接的CSS集群在创建时开启了“安全模式”，该参数需设置为“是”，否则设置为“否”。 是 用户名 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的用户名。 admin 密码 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的密码。 https访问 CSS集群开启安全认证模式时显示此参数。该参数表示开启https访问，https访问相较于http访问更安全。 是

本节介绍服务器安全卫士（原生版）的产品定义和产品架构。 产品定义 服务器安全卫士（原生版）（CTCSS，Cloud Security System）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，帮助您构建服务器安全防护体系。 产品架构 服务器安全卫士（原生版）整体架构主要包括3个部分，分别为统一管理平台、数据汇总节点和服务器客户端Agent。 统一管理平台 客户管理员通过统一管理平台，查看所有的服务器信息和安全状态，并下发安全策略配置信息。 资源池数据汇总节点 服务器客户端Agent从被监控服务器中采集系统信息，上报给相应的数据汇总节点。 服务器客户端Agent 使用服务器安全卫士（原生版）产品时，每台服务器需要安装一个Agent。

本节主要介绍产品优势 对资源进行精细访问控制 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。 如果您创建了多种资源，例如弹性云主机、云硬盘、物理机等，您的团队或应用程序需要使用您的资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 跨帐号的资源操作与授权 如果您创建了多种资源，其中一种资源希望由其它帐号管理，您可以使用IAM提供的委托功能。 例如您希望将资源委托给一家专业的代运维公司来运维，通过IAM的委托功能，代运维公司可以使用自己的帐号对您委托的资源进行运维。当委托关系发生变化时，您可以随时修改或撤消对代运维公司的授权。下图中帐号A即为委托方，帐号B为被委托方。

软件资产的合规管控 服务器上运行着各种应用系统，应用系统由不同的开发框架、中间件和开发类库等组成。在企业的安全管理规范下，实施黑名单管控机制，有些框架、中间件不可使用。 使用服务器安全卫士的资产清点分级视图，找出不合规的软件资产。如Nginx版本号小于<1.10.3属于不合规版本。 快速定位受影响的资产 新的漏洞出来以后，没有PoC检测，也没有漏洞的编号，如何在企业范围内查找受影响的资产范围，即定位该漏洞的影响范围。 通过资产清点查找受影响的资产范围，进一步查询该资产的管理员信息，进行下一步处置动作。

本文对停止镜像会话的操作步骤进行说明。 使用场景 当您的镜像会话启动成功后，您需要终止流量的复制时，可选择停止镜像会话。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成镜像会话的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像镜像会话”选项。 5. 在镜像会话页面，选择需要停止的镜像会话。 批量停止：选择需要停止的镜像会话，然后单击会话列表左上方的“停止”按钮，支持批量停止会话。 单条停止：选择需要停止的镜像会话，然后单击该会话操作列的“停止”按钮，支持单条停止会话。 6. 点击“停止”按钮后需二次确认，确认是否需要停止目标镜像会话。 注意 停止镜像会话将会终止您的镜像业务，请谨慎操作！

基础防御IPS限制 修改基础防御规则动作 最多可修改3000条规则为“观察”。 最多可修改3000条规则为“拦截”。 最多可修改128条规则为“禁用”。 自定义IPS特征 仅专业版支持自定义IPS特征。 最多支持添加500条特征。 日志数据限制 云防火墙支持查看7天以内的日志数据，如果需要记录并查看1365天的日志数据，您可以将单类或者多类日志记录至云日志服务LTS中。 单个日志单次最多支持导出100,000条记录。

本章节主要介绍翼MapReduce的管理实例配置操作。 操作场景 每个单独的角色实例可以修改配置参数在迁移实例到新集群场景或者重新部署相同服务的场景下，管理员可以在FusionInsight Manager中将某服务所有配置数据导入或者导出，实现配置结果的快速复制。 FusionInsight Manager支持管理单个角色实例的配置参数，修改配置参数、导出实例配置或导入实例配置时不影响其他实例。 对系统的影响 修改角色实例配置后，如果实例状态为“配置过期”，则需要重启此实例。重启时对应的实例不可用。 修改实例配置 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作的集群名称 > 服务”。 3. 单击服务视图中指定的服务名称，并选择“实例”页签。 4. 单击指定的实例，选择“实例配置”。 默认显示“基础配置”，如果需要修改更多参数，请选择“全部配置”，界面上将显示该实例支持的所有参数分类。 5. 在导航树选择指定的参数分类，并在右侧修改参数值。 不确定参数的具体位置时，支持在右上角输入参数名，Manager将实时进行搜索并显示结果。 6. 单击“保存”，并在确认对话框中单击“确定”。 等待界面提示“操作成功”，单击“完成”，配置已修改。 说明 角色实例配置参数修改后，如果实例状态为“配置过期”则需要重启此实例，可在“实例”页面勾选“配置过期”的实例，选择“更多 > 重启实例”。 导出导入实例配置 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中待操作的服务名称，并选择“实例”页签。 4. 单击待操作的实例，选择“实例配置”。 5. 单击“导出”，导出配置参数文件到本地。 6. 在实例配置页面单击“导入”，在弹出的配置文件选择框中定位到实例的配置参数文件，即可导入所有配置。

本文将为您介绍如何在云主机中使用服务委托策略。当前华东1地区已开通此功能。通过服务委托功能,您可以将自己的操作权限委托其他云服务,云服务可以根据权限代替您进行日常资源管理工作 前提条件 已登录弹性云主机控制台。 已有可使用的委托策略。 操作步骤 新建云主机时绑定委托策略 1. 登录管理控制台。 2. 在控制台顶部菜单左侧，选择区域。 3. 点击计算弹性云主机进入云主机控制台。 4. 单击右上角创建云主机进入云主机购买页面。 5. 在步骤3“高级配置“页面”，选择“委托策略名称”，此条策略后续将生效于该台云主机。 6. 云主机创建其他信息填写完毕，点击“确认配置”以及“立刻购买”。 注意 委托策略的创建需要管理员登录IAM控制台进行创建。具体操作文档请参考统一身份认证创建委托。 云主机创建后绑定委托策略 1. 点击指定弹性云主机的名称，系统跳转至该弹性云主机详情页面。 2. 详情页面中点击委托策略后方的编辑标识，为当前云主机绑定新委托策略。 注意 若您的云主机上已绑定委托策略，绑定新策略后，原策略将失效，新策略将生效于当前云主机。

本文主要介绍磁盘增强型D7 概述 D7搭载第三代英特尔® 至强® 可扩展处理器，计算性能强劲稳定，提供1:4的vCPU和内存比实例。配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力；配套有本地SATA盘，单盘提升到3600GiB，最大支持32 × 3600GiB本地盘容量。 使用须知 当前支持如下版本的操作系统（最终以控制台展示的信息为准）： CentOS 6.3/6.4/6.5/6.6/6.7/6.8/6.9/6.10/7.0/7.1/7.2/7.3/7.4/7.5/7.6/8.0 64bit SUSE Enterprise Linux Server 11 SP3/SP4 64bit SUSE Enterprise Linux Server 12 SP1/SP2/SP3/SP4 64bit Windows Server 2008 R2 Enterprise 64bit Windows Server 2012 R2 Standard 64bit Windows Server 2016 Standard 64bit Debian 8.1.0/8.2.0/8.4.0/8.5.0/8.6.0/8.7.0/8.8.0/9.0.0 64bit EulerOS 2.2/2.3/2.5 64bit Fedora 22/23/24/25/26/27/28 64bit OpenSUSE 13.2/15.0/15.1/42.2/42.3 64bit D7型弹性云主机所在的物理机发生故障时，不支持弹性云主机的迁移。部分宿主机硬件故障或亚健康场景，需要用户配合关闭ECS完成宿主机硬件维修动作。 因系统维护或硬件故障等，HA重新部署ECS实例后，实例会冷迁移到其他宿主机，本地盘数据不保留。 不支持规格变更。 不支持本地盘的快照和备份。 可使用本地盘和云硬盘两类磁盘存储数据，通过挂载云硬盘，可以提供更大的存储空间。关于本地盘和云硬盘的使用，有如下约束与限制： 系统盘只能部署在云硬盘上，不可以部署在本地盘上。 数据盘可以部署在云硬盘和本地盘上。 最多可以挂载24块盘（包括VBD盘+本地盘），其中，VBD盘最多只能挂载24块（含系统盘），详情请参见一台弹性云主机可以挂载多块磁盘吗。 说明 对于已创建的D7型云主机，最多可以挂载的磁盘数保持原配额。 您可以通过配置fstab文件，设置云主机系统启动时自动挂载磁盘分区。具体操作请参见设置开机自动挂载磁盘分区。 D7型弹性云主机的本地磁盘数据有丢失的风险（比如宿主机宕机或本地磁盘损坏时），如果您的应用不能做到数据可靠性的架构，我们强烈建议您使用云盘搭建您的弹性云主机。 删除D7型弹性云主机时，本地盘中的数据会被自动清除，请提前做好数据备份。删除本地盘数据的时间较长，因此，资源释放的时间较之常规云主机略长。 请勿在本地磁盘上存储需要长期保存的业务数据，并及时做好数据备份和采用高可用架构。如需长期保存，建议将数据存储在云硬盘上。 您不能单独购买本地盘，本地盘的数量和容量由您选择的弹性云主机规格决定，只能在创建D7型弹性云主机的同时购买本地盘。

本节介绍了删除私有镜像的流程。 1、登录天翼云控制中心; 2、在云主机控制台，单击【镜像服务】； 3、在镜像服务列表，选择私有镜像页签，在操作列点击【更多 > 删除】 4、确定要删除的镜像服务信息，点击是，完成删除镜像。

使用前须知。 微服务引擎（Cloud Service Engine，CSE），是用于微服务应用的云中间件，支持云贡献到Apache社区的注册配置中心Servicecomb引擎、开源增强的注册配置中心Nacos引擎。用户可结合其他云服务，快速构建云原生微服务体系，实现微服务应用的快速开发和高可用运维。 使用条件 已注册账号并登录。 当前登录账号拥有创建微服务引擎的权限。 登录微服务引擎控制台 1. 登录天翼云控制台。 2. 单击，选择区域。 3. 单击左上角，在服务列表选择“微服务引擎CSE”，进入微服务引擎控制台。 说明 当您使用从ServiceStage发放的微服务引擎实例时，如想在CSE中发放新实例，需要对CSE云服务进行授权。 当您没有授予任何权限时，由于CSE使用依赖VPC、DNS云服务，因此需要先创建云服务委托，将操作权限委托给CSE。 授权后，CSE将在统一身份认证服务为您创建名为cseadmintrust的委托，授权成功后，可以进入服务委托列表查看。该操作需要有Security Administrator角色权限，请到“统一身份认证”服务中确认。 如不授权，将影响微服务引擎部分功能的正常使用，包括：创建引擎、升级引擎、开启/关闭安全认证。

故障现象 使用Windows server 2016以上操作系统作为客户端挂载CIFS类型的弹性文件系统失败，故障提示如下： 或 可能原因 Windows系统默认禁止访问匿名的网络共享目录，对于Windows Server 2016以上的系统，都需要配置允许客户端匿名访问。 解决方法 1. 远程连接Windows云主机，打开命令行工具。 2. 执行以下命令： plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 3. 修改完成后，在客户端重新挂载文件系统。

主要介绍翼MapReduce服务的产品规格。 通用计算型 规格名称 核数 内存 ::: s3.4xlarge.4 16核 64GB 通用计算增强型 规格名称 核数 内存 ::: c6.2xlarge.4 8核 32GB c6.4xlarge.4 16核 64GB c6.8xlarge.4 32核 128GB c6.16xlarge.4 64核 256GB c6s.4xlarge.2 16核 32GB c6s.4xlarge.4 16核 64GB c6s.8xlarge.4 32核 128GB c6s.16xlarge.4 64核 256GB c7n.4xlarge.4 16核 64GB c7n.6xlarge.4 24核 96GB c7n.8xlarge.4 32核 128GB c7n.12xlarge.4 48核 192GB c7n.16xlarge.4 64核 256GB c7n.24xlarge.4 96核 384GB 内存优化型 规格名称 核数 内存 ::: m6.2xlarge.8 8核 64GB m6.3xlarge.8 12核 96GB m6.4xlarge.8 16核 128GB m6.6xlarge.8 24核 192GB m6.8xlarge.8 32核 256GB m6.16xlarge.8 64核 512GB

本文档指导您如何在IIS服务器中部署SSL证书。 前提条件 已在当前服务器中安装配置IIS服务。 说明 由于服务器系统版本或服务器环境配置不同，在安装SSL证书过程中使用的命令或修改的配置文件信息可能会略有不同，证书管理服务提供的安装证书示例，仅供参考，请以您的实际情况为准。 部分服务端直接导入IIS可能会存在问题，所以本章节的操作步骤为：导入到Microsoft管理控制台 > 导入IIS服务端。 文件准备 在证书管理服务控制台的证书管理页选择您需要安装的证书，选择“证书下载”。 在弹出的 “证书下载” 窗口中，服务器类型选择 IIS，单击“下载”并解压缩包至本地，文件内包含下述2个文件： PFX证书密码： README.txt PFX格式证书： XXXX.cn.pfx 导入证书至系统 1. 使用“Win + R”快捷键组合打开“运行”控制台，输入“mmc”打开“Microsoft 控制台”。 2. 单击右上角的“文件”选择“添加/删除管理单元”。 3. 在“可用管理单元”中选择“证书”，并单击“添加”。 4. 在弹出的对话框中选择“计算机账户”，单击“下一页”后再选择“本地计算机”，单击“完成”将证书模块添加至控制台根节点中。 5. 在“控制台根节点”中选择“证书 > 个人”，在“对象类型”页面单击右键，选择“所有任务 > 导入”。 6. 选择“文件准备”章节中下载的PFX文件，单击“下一步”后选择“证书存储个人”完成证书导入。 7. 调整证书链，将中级证书剪切到 “中级证书颁发机构”下的“证书”中。

本章节介绍分布式缓存服务Redis版如何创建实例。 您可以根据业务需要创建相应计算能力和存储空间的Redis实例。 前提条件 已准备好实例依赖资源。 创建Redis实例 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 单击“购买缓存实例”，进入实例创建页面。 步骤 3 选择“计费模式”，支持“包年/包月”和“按需计费”两种。 步骤 4 在“区域”下拉列表中，选择靠近您应用程序的区域，可降低网络延时、提高访问速度。 步骤 5 选择“项目”，每个区域默认对应一个项目。 步骤 6 根据创建前准备，设置以下基本信息。 1. 在“缓存类型”区域，选择缓存实例类型，默认缓存实例类型为“Redis”。 2. “CPU架构”，当前支持“x86计算”和“Arm计算”。 3. 在“版本号”区域，选择Redis版本。 当前DCS支持的Redis版本有：4.0、5.0、6.0、7.0。 说明 不同Redis版本差异请参考Redis版本差异。 实例创建后，Redis的版本不支持变更或升级。如需使用更高版本的Redis实例，需重新创建高版本Redis实例，然后将原有Redis实例的数据迁移到高版本实例上。 客户端连接Redis Cluster集群实例与连接到单机、主备、Proxy集群实例的方式不同，连接示例请连接Redis实例。 4. 在“实例类型”区域，选择单机、主备、Proxy集群、Cluster集群或读写分离实例类型。 5. 在“可用区”区域，您可根据实际情况选择。 除单机实例外，其他实例类型的实例除了可以选择主节点的“可用区”，还可以为备节点选择“备可用区”。 说明 当Redis主备/读写分离/集群实例进行跨可用区部署时，如果其中一个可用区故障，另一个可用区的节点不受影响。备节点会自动升级为主节点，对外提供服务，从而提供更高的容灾能力。 由于实例跨可用区部署时网络访问效率略低于部署在同一可用区内，因此Redis实例跨可用区部署时，主备节点之间同步效率会略有降低。 如果提高访问速度，可选择和应用同一个可用区。 每个region有若干个可用区。当可用区资源不足时，可用区会置灰，此时，请选择另一个可用区。 6. 在“副本数”区域，选择实例副本数，默认为2副本（包含主副本）。 当选择Redis 4.0及以上版本，且实例类型为主备、Cluster集群、读写分离时，页面才显示“副本数”。 7. 在“实例规格”区域，选择符合您的规格。 您的默认配额请以控制台显示为准。 您如需增加配额，单击规格下方的“申请扩大配额”，申请增加配额。 图 购买Redis实例 步骤 7 设置实例网络环境信息。 1. 在“虚拟私有云”区域，选择已经创建好的虚拟私有云、子网。 2. 设置实例IP地址。 − 在“IP地址”区域，设置实例IPv4地址（即内网IP）。 Cluster集群实例仅支持自动分配地址，其他实例类型都支持自动分配IP地址和手动分配IP地址，用户选择手动分配IP地址时，可以输入一个在当前子网下可用的IP。 另外，Redis 4.0及以上版本的实例支持自定义端口，自定义端口范围为1~65535；如果未自定义，则使用默认端口6379。Redis 3.0不支持自定义端口，端口都为6379。 − 如需启用IPv6地址功能，请开启IPv6开关。 开启IPv6功能后，将自动为实例分配IPv6地址，暂不支持选择自定义设置IPv6地址。 说明 目前仅Redis 5.0和Redis 6.0版本支持IPv6地址。 3. 在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 Redis 4.0及以上版本是基于VPCEndpoint，暂不支持安全组，请在实例创建后配置白名单，参考管理实例白名单。 步骤 8 设置实例的“名称”和“企业项目”。 创建实例时，名称长度不能少于4位字符串。批量创建实例时，实例名称格式为“自定义名称n”，其中n从000开始，依次递增。例如，批量创建两个实例，自定义名称为dcsdemo，则两个实例的名称为dcsdemo000和dcsdemo001。 步骤 9 设置实例密码。 “访问方式”：支持“密码访问”和“免密访问”，您可以设置访问实例时是否要进行密码验证。 说明 选择免密访问方式时，存在安全风险，请谨慎使用。 若申请免密模式的Redis实例，申请成功后，可以通过重置密码进行密码设置。 “密码”和“确认密码”：只有“访问方式”为“密码访问”时，才会显示该参数，表示连接Redis实例的密码。 说明 DCS服务出于安全考虑，在密码访问模式下，连接使用Redis实例时，需要先进行密码认证。请妥善保存密码，并定期更新密码。 步骤 10 设置参数配置。 “参数配置”支持“系统默认”和“使用自定义模板”，您在购买实例时可以设置是否使用自定义参数模板。 说明 创建页面的参数配置默认使用“系统默认”参数模板。 如需使用自定义模板，只能选择与所创建实例相同版本号和实例类型下的自定义模板，创建自定义模板请参考创建自定义参数模板。 步骤 11 单击“高级配置”，根据需要选择是否设置以下信息。 1. 设置“参数配置”。请根据需要选择参数模板为“系统默认”或“使用自定义模板”。 当选择“使用自定义模板”时，请从选择框中选择一个您需要的自定义参数模板。单击“查看参数”可以查看或修改所选参数模板的参数配置。如果没有提前创建该实例版本和实例类型的自定义参数模板，此时选择框为空，单击“查看参数模板列表”可以进入模板创建页面进行创建，创建方式请参考创建自定义参数模板。 2. 设置实例备份策略，根据需要选择是否开启“自动备份”。 只有当实例类型为主备、读写分离或者集群实例时显示该参数。关于实例备份的说明及备份策略的设置请参考备份与恢复概述。 3. 当前暂不支持创建实例时配置“公网访问”。 4. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 − 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击右侧的“查看预定义标签”，系统会跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 − 您也可以通过输入标签键和标签值，添加标签。标签的命名规格，请参考管理标签章节。 5. 重命名实例高危命令。 当前支持的高危命令有command、keys、flushdb、flushall、hgetall、scan、hscan、sscan、和zscan。Proxy集群实例还支持dbsize和dbstats命令重命名，其他命令暂时不支持重命名。 6. 设置实例的“描述”。 步骤 12 设置创建实例的数量。 步骤 13 实例信息配置完成后，单击“立即创建”，进入规格确认页面。 页面显示申请的分布式缓存服务的实例名称、缓存版本和实例规格等信息。 步骤 14 确认实例信息无误后，提交请求。 步骤 15 缓存实例创建成功后，您可以在“缓存管理”页面，查看并管理自己的缓存实例。 1. Redis 3.0单机和主备实例大约需要5到15分钟，如果集群实例，则需要大约30分钟。Redis 4.0及以上版本采用容器化部署，秒级完成创建。 2. 缓存实例创建成功后，默认“状态”为“运行中”。 结束

本文主要介绍创建副本集实例 操作场景 本章介绍在文档数据库服务的管理控制台创建副本集实例的过程。目前，副本集实例支持“包年/包月”和“按需计费”两种方式购买，您可以根据业务需要，定制相应计算能力和存储空间的副本集实例。 每个租户下副本集实例的默认总配额为50。 操作步骤 步骤 1 登录文档数据库服务控制台。 步骤 2 在“实例管理”页面，单击“购买数据库实例”。 步骤 3 在“服务选型”页面，选择计费方式，填写并选择实例相关信息后，单击“立即购买”。 计费方式 参数 描述 :: 计费方式 选择“包年/包月”或“按需计费”。 包年/包月 用户选购完服务配置后，可以根据需要设置购买时长，系统会一次性按照购买价格对账户余额进行扣费。 创建成功后，如果包周期实例到期后不再长期使用资源，可将“包年/包月”实例转为“按需计费”，到期后将转为按需计费实例。 按需计费 用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 创建成功后，如果需要长期使用资源，可将“按需计费”实例转为“包年/包月”，继续使用这些资源的同时，享受包周期的低资费。 基本信息 参数 描述 :: 实例名称 实例名称为4～64个字符，必须以字母开头，区分大小写，可包含字母、数字、中划线或下划线，不能包含其他特殊字符。 创建成功后，可修改实例名称。 版本类型 社区版。 实例类型 选择“副本集”。 副本集实例由主节点、备节点和隐藏节点组成。当主节点故障时，系统自动分配新的主节点；当备节点不可用时，隐藏节点接管服务，保证高可用。 兼容MongoDB版本 4.0 3.4 存储类型 超高IO 存储引擎 WiredTiger。 可用区 指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 规格与存储 参数 描述 :: 规格类型 x86 CPU架构下，针对不同的应用场景，可以选择不同的规格类型。 通用型（s6）。通用型的规格实例，适合平时不会持续高压力使用CPU，但偶尔需要提高计算性能完成工作负载的场景，包括但不限于：轻量级的Web服务器、开发、测试环境以及中低性能数据库等。 增强型（c3）。搭配高性能网络，综合性能及稳定性全面提升，满足对业务稳定性及计算性能要求较高的企业级应用诉求。 增强Ⅱ型（c6）。多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。是高负载场景首选，对于计算与网络有更高性能要求的网站和Web应用、通用数据库及缓存服务器，中重载企业应用等更加适用。 性能规格 实例的CPU和内存规格，请参见数据库实例规格。创建成功后，可进行规格变更。 存储空间 存储空间最小10GB，最大2000GB，用户选择大小必须为10的整数倍。 网络 参数 描述 :: 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址，具体请参见修改实例内网地址。 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 跨网段访问配置 现在设置 配置源端对应的网段，确保在源端ECS网络与实例节点网络连通的前提下， 可以在ECS端连接实例。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以参考《虚拟私有云用户指南》中“对等连接”进行相关配置。 跨网段访问配置当前只支持新增，不支持修改和删除。 跨网段访问配置当前最多支可持配置9个网段， 源端网段之间不能重复。 创建后设置 暂不配置源端对应网段。实例创建成功后，如需配置，请参见跨网段访问配置章节。 数据库配置 参数 描述 :: 设置密码 现在设置 输入管理员密码和确认密码。实例创建成功后，您可以通过该密码连接实例。 创建后设置 暂不设置管理员密码。实例创建成功后，如需连接实例，您需要先单击实例“操作”列下的“重置密码”，根据界面提示，为实例设置密码，再通过该密码连接实例。 管理员帐户名 默认rwuser。 管理员密码 所设置的密码，最小长度为8位，最大长度为32位，必须是英文大小写字母、数字、特殊字符~!@

项目 描述 System 系统状态，包括： status：系统运行状态。 licenseStatus：软件许可证状态： Expired：软件许可证已过期。 Effective：软件许可证已生效。 Invalid：软件许可证无效。 None：还未导入软件许可证。 Server 服务器状态，包括：服务器个数、状态为连接的服务器个数、状态为断开连接的服务器个数、状态为正在移除的服务器个数。 Disk 磁盘状态（仅单机版支持），包括： usage：数据目录所在磁盘使用情况，包括磁盘已用容量、磁盘总容量。 status：数据目录所在磁盘状态，包括磁盘总个数，状态为健康的磁盘个数、状态为告警的磁盘个数、状态为错误的磁盘个数。 LUN 卷的状态，包括： status：卷的总数、总容量，以及各类型卷的个数及容量。 data：卷的数据健康度，包括：正常数据的比例（normal）、降级数据的比例（low redundancy）、错误数据的比例（error）。如果存在降级状态的数据，会给出数据重建进度（low redundancy reconstruction progress）。 Storage Pool 存储池状态（仅集群版支持）： number：存储池个数。 base pool：基础存储池名称。 fault domain of base pool：基础存储池的故障域： level：故障域级别： path：数据目录级别。 server：服务器级别。 rack：机架级别。 room：机房级别。 status：故障域状态： Healthy：健康状态，可正常读写。 Warning：警告状态，可读。 Error：错误状态，无法访问。 data health of base pool：存储池的数据健康度，包括：正常数据的比例（normal）、降级数据的比例（low redundancy）、错误数据的比例（error）。如果存在降级状态的数据，会给出数据重建进度（low redundancy reconstruction progress）。 disk of base pool：基础存储池的数据目录状态： usage：数据目录所在磁盘使用情况，包括磁盘已用容量、磁盘总容量。 status：数据目录所在磁盘状态，包括磁盘总个数，状态为健康的磁盘个数、状态为告警的磁盘个数、状态为错误的磁盘个数。

本文介绍鲲鹏、飞腾系列云主机挂载云硬盘和弹性网卡异常的解决方案。主要针对创建后立即进行绑卡/挂盘操作的场景。 问题描述 鲲鹏、飞腾系列云主机在新建、重启、启动等场景中，当云主机状态变为“运行中”后立即操作挂载云硬盘和绑定弹性网卡，可能会存在异常情况。在云主机里新挂载的云硬盘或绑定的弹性网卡无法显示，并且无法使用。不影响云主机已有的云硬盘和弹性网卡使用。 此问题主要面向通过OpenAPI发起的、在云主机状态变为“运行中”后，极短时间内进行的后续绑定/挂载操作。 原因分析 ARM架构的云主机，系统内部状态与云平台管理状态的同步，存在一个极短的时间窗口。在此窗口期内进行部分资源绑定操作，可能导致API调用失败。 解决方案与操作指引 1. 最佳实践（预防问题） 为避免此问题，建议您增加等待时间，确保云主机内部完全就绪。 操作步骤 推荐做法 不推荐做法 （1）创建ARM云主机（如鲲鹏、飞腾系列云主机） 通过OpenAPI/控制台正常创建。 （2）等待状态同步 在云主机状态变为“运行中”后，请等待约20秒。 在状态变为“运行中”后立即发起后续绑定、挂盘操作。 （3）执行后续操作 等待20秒后，再通过OpenAPI或控制台进行绑定弹性网卡或挂载云硬盘的操作。 2. 问题发生后如何解决 请提交工单，获取技术支持。

计费项 计费说明 相关文档 临时资源（ECI实例）费用 系统将创建一个ECI实例（2 vCPU、4 GiB内存），并挂载一块普通IO云盘用于中转镜像缓存。镜像缓存创建完成后，ECI实例将被自动释放。其中ECI实例运行时长：受镜像大小影响，大的镜像相对耗时长 快照费用 一个镜像缓存对应一个普通快照。该快照的生命周期与镜像缓存的生命周期一致，保留镜像缓存需支付快照存储费用 云硬盘费用 云硬盘挂载至ECI实例用于中转镜像缓存，该云硬盘的生命周期与快照的生命周期一致，其中云硬盘容量：等于镜像缓存大小

本节介绍了业务端口被一键式重置密码插件占用的问题描述、问题原因等。 问题描述 在弹性云主机上运行某业务时，系统提示所需端口被一键式重置密码Agent插件占用。那么，一键式重置密码插件占用的端口与业务端口发生冲突时，应当如何处理？ 问题原因 对于采用AUTO模式的弹性云主机，一键式重置密码插件启动时，会随机选取端口进行使用，可能占用了业务端口。 说明 一键式重置密码插件已经升级，默认采用PIPE模式。 对于新创建的弹性云主机，默认采用PIPE模式，不会占用端口。 对于已创建的弹性云主机，仍采用AUTO模式，随机占用31000~32999中的一个端口。占用端口的原则是：在该范围内，系统会按照自小到大的顺序，占用当前空闲的端口。 方法一（推荐）：将一键式重置密码插件wrapper修改为PIPE模式 推荐您将一键式重置密码插件wrapper从AUTO模式（SOCKET）修改为PIPE模式，修改后，插件运行时不再占用端口。 1. 打开CloudResetPwdAgent配置文件。 − Linux弹性云主机文件位置： “/CloudrResetPwdAgent/conf/wrapper.conf”和“/CloudResetPwdUpdateAgent/conf/wrapper.conf” − Windows弹性云主机文件位置： “C:CloudResetPwdUpdateAgentconfwrapper.conf”和“C:CloudResetPwdUpdateAgentconfwrapper.conf” 2. 在末尾新增如下配置： wrapper.backend.typePIPE 3. 重启CloudResetPwdUpdateAgent服务。 − Linux弹性云主机 /CloudResetPwdUpdateAgent/bin/cloudResetPwdUpdateAgent.script restart − Windows弹性云主机 i. 使用快捷键“Win+R”，打开“运行”窗口。 ii. 输入“Services.msc”，并单击“确定”。 图 运行 iii. 右键单击服务“cloud reset password update agent”，选择“重新启动”。 图 服务（本地） 方法二：修改配置，更换端口范围 您可以修改CloudResetPwdAgent配置，更换默认随机端口选取的范围（31000~32999），确保业务端口不在一键式重置密码插件的端口选择范围内。 假设将一键式重置密码插件随机占用的端口范围修改为：40000~42000，则操作如下： 1. 打开CloudResetPwdAgent配置文件。 − Linux弹性云主机文件位置： “/CloudrResetPwdAgent/conf/wrapper.conf”和“/CloudResetPwdUpdateAgent/conf/wrapper.conf” − Windows弹性云主机文件位置： “C:CloudResetPwdUpdateAgentconfwrapper.conf”和“C:CloudResetPwdUpdateAgentconfwrapper.conf” 2. 新增如下配置： wrapper.port.min40000 wrapper.port.max41000 wrapper.jvm.port.min41001 wrapper.jvm.port.max42000 图 修改配置文件 3. 重启CloudResetPwdUpdateAgent服务。 − Linux弹性云主机 /CloudResetPwdUpdateAgent/bin/cloudResetPwdUpdateAgent.script restart − Windows弹性云主机 i. 使用快捷键“Win+R”，打开“运行”窗口。 ii. 输入“Services.msc”，并单击“确定”。 图 运行 iii. 右键单击服务“cloud reset password update agent”，选择“重新启动”。 图 服务（本地）

此小节介绍变更版本规格。 前提条件 已获取管理控制台的登录帐号与密码。 已为实例绑定EIP，未绑定EIP的实例不能执行变更规格操作。 已备份系统数据。 已关闭系统，并终止系统所有业务操作。 操作步骤 1. 登录管理控制台。 2. 在需变更规格的实例“操作”列，单击“更多 > 变更规格”，开始变更规格版本规格。 3. 按照变更规格变更要求，选择目标版本规格。选择目标“性能规格”，单击“立即购买”，进入“订单详情”页面。 4. 确认订单并付款。 确认订单无误后，单击“提交订单”。在支付页面，支付变更规格配置款项，完成付款。 5. 后台自动变更规格。 成功付款后，后台自动进行变更规格系统操作，整个后台变更规格过程需30min左右，请耐心等待，随时查看状态变化。 后台变更规格过程，实例的运行状态将会由“变更中”变为“正在重启”，系统重启完成实例运行状态变为“正常”。 6. 后台变更规格完成。 当实例运行状态转变为“正常”，且“实例规格”信息更新为目标版本规格，即后台变更规格完成。 此时即可正常登录云堡垒机系统，执行变更规格后验证操作。

本章节主要介绍翼MapReduce的删除租户操作。 操作场景 根据业务需求，对于当前不再使用的租户，管理员可以通过FusionInsight Manager删除租户，释放租户占用的资源。 前提条件 已添加租户。 检查待删除的租户是否存在子租户，如果存在，需要先删除全部子租户，否则无法删除当前租户。 待删除租户的角色，不能与任何一个用户或者用户组存在关联关系。 操作步骤 1. 登录FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，选择待删除的租户，单击。 说明 根据业务需求，需要保留租户已有的数据时请同时勾选“保留该租户资源的数据。”，否则将自动删除租户对应的存储空间。 3. 单击“确定”，删除租户。 保存配置需要等待一段时间，租户成功删除。租户对应的角色、存储空间将删除。 说明 租户删除后，Yarn中对应的租户任务队列不会被删除。同时Yarn角色管理中，此租户任务队列不再显示。

修改已有白名单分组 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击白名单与安全组，进入白名单与安全组管理页面。 5. 选择想要修改的白名单分组，单击修改 或者删除。 设置IP白名单情况下连接MySQL实例 1. 下载客户端，选择客户端版本和操作系统，下载mysqlcommunityclient8.0.261.el6.x8664.rpm客户端安装包。 2. 上传客户端安装包到linux系统。 3. 安装客户端。 plaintext rpm ivh nodeps mysqlcommunityclient8.0.261.el6.x8664.rpm 4. 连接MySQL实例。 plaintext mysql h 192.168.XX.XX P 3306 u root p 5. 返回访问报错。

数据库安全服务可以保护哪些数据库？ 数据库安全服务可以对相同虚拟私有云及其子网下的ECS自建数据库、BMS自建数据库以及RDS关系型数据库提供保护。在非同一虚拟私有云及其子网下的ECS自建数据库、BMS自建数据库和RDS关系型数据库，由于网络限制的原因不能对其提供保护。 数据库安全服务支持哪些类型的数据库？ 数据库安全服务支持管理控制台上的以下数据库： 云数据库 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 为什么购买实例后不能马上查看创建中的实例？ 购买数据库安全审计时，由于数据库安全审计实例所在的虚拟机创建系统盘和网络配置需要少许时间，所以需要在虚拟机配置完成才能查看创建中的实例。 数据库安全服务上传日志是通过公网的带宽还是内网的带宽？ 数据库安全服务上传日志是通过内网的带宽。 数据库安全服务到期后不续费会影响业务吗？ 购买的数据库安全服务到期后，如果未续费，您将不能使用数据库安全服务，不影响您的业务。为了数据库安全和资产安全，建议您续费使用数据库安全服务。 数据库安全服务是否支持数据实时脱敏？ 暂不支持实时脱敏。当需要对输入的SQL语句的敏感信息进行脱敏时，您可以通过开启隐私数据脱敏功能，以及配置隐私数据脱敏规则，来防止数据库用户敏感信息泄露。详情请参见配置隐私数据保护规则。

CCE权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于统一身份认证（IAM）的细粒度权限控制和IAM Token认证，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 如果您需要对已购买的CCE集群及相关资源进行精细的权限管理，例如限制不同部门的员工拥有部门内资源的细粒度权限，您可以使用CCE权限管理提供的增强能力进行多维度的权限管理。 本章节将介绍CCE权限管理机制及其涉及到的基本概念。如果当前帐号已经能满足您的要求，您可以跳过本章节，不影响您使用CCE服务的其它功能。 CCE支持的权限管理能力 CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，能够从集群和命名空间层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限：是基于IAM系统策略的授权，可以通过用户组功能实现IAM用户的授权。用户组是用户的集合，通过集群权限设置可以让某些用户组操作集群（如创建/删除集群、节点、节点池、模板、插件等），而让某些用户组仅能查看集群。 集群权限涉及CCE非Kubernetes API，支持IAM细粒度策略、企业项目管理相关能力。 命名空间权限：是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强，可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。 命名空间权限涉及CCE Kubernetes API，基于Kubernetes RBAC能力进行增强，支持对接IAM用户/用户组进行授权和认证鉴权，但与IAM细粒度策略独立。 注意：“集群权限”仅针对与集群相关的资源（如创建/删除集群、节点、节点池、模板、插件等）有效，您必须确保同时配置了“命名空间权限”，才能有操作Kubernetes资源（如工作负载、Service等）的权限。 统一身份认证服务（IAM） 统一身份认证（Identity and Access Management，简称IAM）是提供权限管理的基础服务，可以帮助您安全地控制服务和资源的访问权限。 IAM的优势：对资源可进行精细访问控制 您注册后，系统自动创建帐号，帐号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问所有的云服务。 如果您在购买了多种资源，例如弹性云主机、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 Kubernetes的角色访问控制（RBAC） Kubernetes基于角色的访问控制（RoleBased Access Control，即”RBAC”）使用”rbac.authorization.k8s.io” API Group实现授权决策，允许管理员通过Kubernetes API动态配置策略。详情请参见命名空间权限。

本文主要介绍如何使用新模板创建伸缩配置。 操作场景： 若您对扩展的云主机的规格有特殊的要求，可通过使用新模板创建伸缩配置，可按照您的需求配置新模板的规格参数，使得伸缩组内云主机的规格均符合创建新模板的规格。 操作步骤： 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务”。 3. 单击“创建伸缩配置”。 4. 填写弹性伸缩配置信息，例如，名称、配置模板、云主机的镜像、云主机类型等。配置数据说明如下表： 表：伸缩配置数据说明 参数 解释 取值样例 区域 区域也称为Region。创建的伸缩配置所在的区域。 名称 创建伸缩配置的名称。 类型规格 公有云提供了多种类型的弹性云主机供您选择，针对不同的应用场景，可以选择不同规格的弹性云主机。根据您选择的“云主机类型”的类型，配置相应的规格参数，包括vCPU、内存、镜像类型和磁盘。 内存优化型 镜像 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有镜像 用户基于弹性云主机创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建弹性云主机，可以节省您重复配置弹性云主机的时间。 共享镜像 用户将接受公有云其他用户共享的私有镜像，作为自己的镜像进行使用。 公共镜像 磁盘 包括系统盘和数据盘。 系统盘 普通IO：是指由SATA存储提供资源的磁盘类型。 高IO：是指由SAS存储提供资源的磁盘类型。 超高IO：是指由SSD存储提供资源的磁盘类型。 通用型SSD：是指由GPSSD存储提供资源的磁盘类型。极速型SSD：是指由ESSD存储提供资源的磁盘类型。 数据盘 您可以为云主机添加多块数据盘，或者从指定的数据盘镜像导出数据到某个数据盘。 “系统盘”选为“普通IO” 安全组 安全组是一个逻辑上的分组，用来实现安全组内和组间弹性云主机的访问控制，加强弹性云主机的安全保护。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 弹性IP 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。您可以根据实际情况选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 自动分配 登录方式 云平台提供两种弹性云主机鉴权方式。 密钥对：指使用密钥作为弹性云主机的鉴权方式。如果选择此方式，请在密钥对页面先创建或导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 账户密码：指使用设置root用户（Linux操作系统）和Administrator用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。 Admin@123 高级配置 高级配置可对文件注入、用户数据注入进行配置。可选择“暂不配置”和“现在配置”。 实例自定义数据注入 可选配置，主要用于创建弹性云主机时向弹性云主机注入用户数据。配置实例自定义数据注入后，弹性云主机首次启动时会自行注入数据信息。 对于Linux云主机，如果选择密码方式登录鉴权，此时不能使用实例自定义数据注入功能。 5. 单击“立即创建”。系统会提示伸缩配置创建成功，并根据界面提示返回伸缩配置页面。 6. 如果您需要立即使用新创建的伸缩配置，则需要将伸缩配置添加到伸缩组。 7. （可选）启动伸缩组。如果伸缩组状态时“未启用”状态，需要启动伸缩组。

本节介绍了默认安全组和规则。 默认安全组和规则 系统会为每个用户默认创建一个Sysdefault安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的实例无需添加规则即可互相访问。 如下图所示。 默认安全组 默认安全组Sysdefault规则如下表所示： 默认安全组Sysdefault规则 方向 优先级 策略 协议 端口范围 目的地址/源地址 说明 ::::::: 出方向 100 允许 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 100 允许 全部 全部 源地址：当前安全组名称，例如Sysdefault 允许同样使用当前安全组的云主机之间通过任意端口和规则互访。 入方向 100 允许 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云主机。 入方向 100 允许 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云主机。 首次创建弹性云主机，系统新建虚拟私有云vpcdefault时会默认新建两个SysWebServer和SysFullAccess的安全组，对应开放的安全组规则如下所示。 SysWebServer安全组规则 方向 协议 端口范围 目的地址/源地址 说明 ::::: 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。 入方向 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云主机。 入方向 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云主机。 入方向 ICMP 全部 源地址：0.0.0.0/0 允许Ping命令。 入方向 TCP 443 源地址：0.0.0.0/0 网页浏览端口,主要是用于HTTPS服务。 SysFullAccess安全组规则 方向 协议 端口范围 目的地址/源地址 说明 ::::: 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。 入方向 全部 全部 源地址：0.0.0.0/0 允许所有入站流量的数据报文通过。

本章节介绍DWS和DDS创建的云数据库数据添加到DSC。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通DWS或者DDS服务，且DWS或者DDS中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在数据库资产列表左上角，单击“添加云数据库”。 6. 在弹出的“添加云数据库”对话框中，参考下表配置数据库参数。 参数名称 参数说明 举例 资产名称 自定义参数。 dsctest 区域 默认为当前帐号登录的区域。 云数据库类型 可选择“DWS实例”和“DDS实例”。 DWS实例 DWS实例 “云数据库类型”选择“DWS实例”时，配置此参数。 在下拉框中选择本帐号下已在DWS里创建的数据库实例。 DDS实例 “云数据库类型”选择“DDS实例”时，配置此参数。 在下拉框中选择本帐号下已在DDS里创建的数据库实例。 版本 已选数据库实例对应的版本号，默认参数，不支持修改。 5.7 主机 在下拉框中选择数据库服务器IP地址。 192.168.0.233 端口 数据库服务器的端口号，默认参数，不支持修改。 3306 数据库名称 在DWS里创建的数据库，支持下拉框选择和手动输入。 用户名 输入访问数据库服务器的用户名，与DWS里创建的保持一致。 密码 输入访问数据库服务器的密码，与DWS里创建的保持一致。 7. 单击“确定”，数据库添加完成，并展示在已授权的数据库列表中。 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

Web防护版本说明 版本 免费版 基础版 高级版 企业版 旗舰版 适用场景 适用于小型网站、个人网站，有流量安全检测需求。 适用于小型网站流量安全防护需求。 适用于中小型网站的标准防护。 适用于中型企业级网站或服务对互联网公众开放，有较高标准的安全需求。 适用于中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求。 流量/带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 支持主域名个数 1 1 1 1 1 支持总域名个数（包括主域名和其下的子域名） 1 10 10 10 10 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 付费支持 付费支持 付费支持 付费支持 付费支持 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 付费支持 付费支持 付费支持 付费支持 付费支持 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 大数据深度学习引擎 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 付费支持 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 付费支持 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志。 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 付费支持 付费支持 付费支持 付费支持 付费支持

本文将介绍如何免密拉取CRS镜像。 ECI支持从天翼云容器镜像服务CRS私有镜像仓库中免密拉取镜像，以提升效率和安全性。创建ECI实例前，需要将镜像上传到对应仓库中。本文介绍如何免密拉取CRS镜像。 背景信息 天翼云容器镜像服务CRS分为个人版和企业版。其中，企业版是企业级云原生应用制品管理平台，提供容器镜像、Helm Chart以及符合OCI规范制品的生命周期管理，适用于业务大规模部署场景，帮助企业降低交付复杂度。 创建工作负载时，如果要拉取的镜像属于CRS镜像，当使用内网地址时，ECI支持免密拉取，提升效率，同时避免密码泄露的风险，加强安全性。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 1. 登录云容器引擎控制台，在控制台的左侧导航栏中点击“集群” 。 2. 在集群列表页面中单击目标集群的名称。 3. 在左侧选择“工作负载”，选择“无状态”，在右上角单击“创建Deployment”。 4. 按需配置工作负载的信息。 5. 按需配置容器，容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 1. 容器名称：为容器命名。 2. 镜像更新策略：选择是否总是拉取镜像。 3. 镜像名称：选择容器使用的镜像，支持多种镜像来源。 4. 镜像版本：选择需要部署的镜像版本。 6. 点击选择镜像，从CRS镜像仓库选择私有镜像，选择内网地址。 7. 创建完成后，进入工作负载的无状态页面，可以看到新建的k8ssidecar应用出现在无状态列表下。