参数 是否必填 参数类型 说明 示例 下级对象 taskID 是 String 任务ID 参考响应示例 taskName 是 String 任务名称 参考响应示例 pairName 是 String 云容灾保护组名字 参考响应示例 doneTimeDesc 是 String 完成时间 参考响应示例 createTimeDesc 是 String 创建时间 参考响应示例 exeInfo 是 String 执行信息 参考响应示例 ecsName 是 String 产生任务的ecs名称 参考响应示例 ecsID 是 String 产生任务的ecsID 参考响应示例 percentTips 是 String 提示语 参考响应示例 percent 是 String 进度百分比 参考响应示例 taskStatus 是 String 任务状态: 0：未处理 1：成功 2：失败 3：进行中,0、3需要轮训 参考响应示例

操作场景 CCE支持配置工作负载日志策略，便于日志的统一收集、管理和分析，以及按周期防爆处理。 本章节向您介绍如何采集容器标准输出日志。如果您需要通过配置日志策略的方式采集容器内路径日志，请参见采集容器内路径日志。 操作步骤 步骤 1 在创建工作负载时，添加容器后，展开“容器日志”。 步骤 2 保留默认配置，完成工作负载的创建。 步骤 3 查看日志。 工作负载创建完成后，访问nginx。进入工作负载详情页，单击右上角的“日志”按钮可查看日志详情。日志约需要等待5分钟查看。 说明：云容器引擎服务对接了应用运维管理服务AOM提供日志查看、检索功能。

前提条件 如果需要修改审核失败的资质，请先在资质管理 页面查看 操作记录 ，根据审核失败说明准备相应的证明材料。 注意事项 审核中的资质不支持修改或删除。 修改资质时，不能修改资质的企业名称和申请用途，只能修改企业证件信息、企业法人信息、经办人信息等选项。 修改审核失败的签名 1. 登录云通信控制台。 2. 在左侧导航栏，单击 资质管理 。 3. 在资质管理 页面，查看审核状态 显示为未通过 的资质，在操作 列，单击修改 查看原因并修改 ，根据提示修改适当的资质。 4. 单击 提交 ，完成修改。

适用于贵州/福州/杭州/深圳/广州4/苏州/郑州/青岛/西安2/上海4/芜湖/南宁/长沙2/南昌/成都3/乌鲁木齐/昆明/海口/重庆/武汉2/兰州/西宁/太原/石家庄/中卫/长春/天津/北京2/哈尔滨节点 1、云主机做卸载磁盘操作。 2、弹出磁盘卸载提醒界面，并带有验证提示栏如下图， 3、点击去验证，跳转操作保护页面。如下图， 4、点击【免费获取验证码】，验证码会发送到天翼云账号预留手机号，填写正确的验证码，点击【认证】，弹出认证成功（失败）提示框。 5、认证成功自动跳转回磁盘卸载弹窗界面，继续进行卸载操作。

DTS服务等级协议变更说明。 尊敬的用户您好，我们将于2026年2月14日更新《天翼云数据传输服务DTS版服务等级协议》以期向您展示更加清晰完整的条款内容，帮助您更加清楚高效地了解我们的产品服务。 本次更新内容如下： 1. 将原协议第二条 服务承诺 和第三条 服务说明 的内容合并到新的第二条 服务说明与承诺，并更新关于服务不可用的定义，修改后内容如下： 服务不可用：指依照数据传输服务平台的系统日志，显示用户使用的数据迁移、数据同步功能因天翼云原因导致的从源数据库到目标数据库写入数据失败，且失败状态连续超过五分钟视为服务不可用，低于五分钟的不可用时间不视为服务不可用。 2. 将原协议第四条 赔偿方案 变更为 第三条服务补偿，并更新关于补偿申请时限的说明，新增关于补偿申请方法的说明，相关修改和新增内容如下： 补偿申请时限：用户可在每服务周期账单结清后对该服务周期没有达到服务可用性承诺的云服务提出补偿申请，且补偿申请必须在该云服务没有达到服务可用性承诺的服务周期结束后两个月内提出。超出申请时限的补偿申请将不被受理。天翼云将对用户的申请进行合理评估，并依据本SLA约定及诚信原则就是否适用补偿做出决定。 补偿申请方法：用户可以在天翼云用户中心提交工单申请补偿。 3. 将原协议第五条 不可抗力及免责 变更为第四条 限制，并新增如下条款： 以下原因导致的甲方数据传输服务不可用的情况不计在不可用时间内： 甲方的应用程序或安装活动所引起的； 任何天翼云所属设备以外的网络、设备故障或配置调整引起的； 系统或服务日常维护而引起的； 甲方使用DTS免费任务或处于收费任务的免费阶段的； 甲方未遵循天翼云产品官方使用文档或使用建议引起的； 甲方的源端数据库或目标端数据库自身原因导致的； 由于源端数据库或者目标端数据库用户名、密码修改后，甲方未及时在DTS控制台更新导致的； 由甲方操作所引起的不可用，包括但不限于实例被意外重启、源端数据库或者目标端数据库参数修改不当以及删改数据库账户、权限后未及时在DTS控制台更新等； 依照法律法规，应监管部门要求或依照协议及协议中援引的政策用户的服务被暂停或终止的。 4. 将原协议第五条 不可抗力及免责 中关于协议生效的内容放到新增的第五条 协议生效及其他并更新说明，修改后内容如下： 本服务等级协议自用户申请天翼云数据传输服务之日起生效并遵行。终止日期以《天翼云数据传输服务DTS版服务协议》的终止为准。 天翼云有权对本SLA条款作出修改。如本SLA条款有任何修改，天翼云将提前30天以网站公示或发送邮件的方式通知用户。如用户不同意天翼云对SLA所做的修改，用户有权停止使用DTS服务，如用户继续使用DTS服务，则视为用户接受修改后的SLA。 本次更新将于2026年2月14日正式更新至官网协议文档，请您务必认真阅读上述变更内容，若您不同意天翼云即将对SLA所做的修改，您有权停止使用DTS服务，如您继续使用DTS服务，则视为您接受修改后的SLA。

您可以调整函数详情配置网络的【允许访问VPC】配置项，允许函数访问您指定的虚拟私有云（VPC）；通过这种配置，您可以实现函数与VPC内资源的互联，以便执行需要访问私有网络环境的任务。 1. 登录函数计算控制台，进入目标函数详情页配置网络页签，点击编辑修改网络配置。 2. 如果您希望目标函数能够访问私有VPC资源，请打开允许访问VPC的选项，并依次配置您希望访问的专有网络、子网以及安全组，修改完毕后，点击下方的部署按钮，即可允许目标函数访问VPC资源。

本章节主要向您介绍企业路由器的权限管理相关内容。 如果您需要对云服务平台上的ER资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ER的使用权限，但是不希望他们拥有删除ER等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ER，但是不允许删除ER的权限，控制他们对ER资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ER服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 ER权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ER部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ER时，需要先切换至授权区域。 下表介绍了ER的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 ER FullAccess 企业路由器的管理员权限，拥有该权限的用户可以操作并使用所有企业路由器。 系统策略 无 ER ReadOnlyAccess 企业路由器只读权限，拥有该权限的用户仅能查看企业路由器数据。 系统策略 无 下表介绍了ER常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 Tenant Administrator Tenant Guest ER FullAccess ER ReadOnlyAccess 创建企业路由器 √ × √ × 修改企业路由器配置 √ × √ × 查看企业路由器 √ √ √ √ 删除企业路由器 √ × √ × 在企业路由器中添加“虚拟私有云（VPC）”连接 √ × √ × 删除“虚拟私有云（VPC）”连接 √ × √ × 查看连接（所有类型） √ √ √ √ 创建路由表 √ × √ × 修改路由表名称 √ × √ × 查看路由表 √ √ √ √ 删除路由表 √ × √ × 创建关联将连接关联至路由表中 √ × √ × 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ × √ × 在路由表中创建连接的传播 √ × √ × 查看路由表中连接的传播 √ √ √ √ 删除路由表中连接的传播 √ × √ × 创建静态路由 √ × √ × 修改静态路由 √ × √ × 查看路由 √ √ √ √ 删除静态路由 √ × √ × 创建流日志 √ × √ × 查看流日志 √ √ √ √ 关闭流日志 √ × √ × 开启流日志 √ × √ × 删除流日志 √ × √ × 添加资源的标签 √ × √ × 修改资源的标签 √ × √ × 查看资源的标签 √ √ √ √ 删除资源的标签 √ × √ ×

本文向您介绍天翼云与客户的安全责任共担机制。 与传统的本地数据中心相比，云计算的运营方和使用方分离，提供了更好的灵活性和控制力，有效降低了客户的运营负担。正因如此，云的安全性无法由一方完全承担，云安全工作需要天翼云与您共同努力。 天翼云：无论在任何云服务类别下，天翼云都会承担基础设施的安全责任，包括安全性、合规性。该基础设施由天翼云提供的物理数据中心（计算、存储、网络等）、虚拟化平台及云服务组成。在PaaS、SaaS场景下，天翼云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户：无论在任何云服务类别下，客户数据资产的所有权和控制权都不会转移。在未经授权的情况，天翼云承诺不触碰客户数据，客户的内容数据、身份和权限都需要客户自身看护，这包括确保云上内容的合法合规，使用安全的凭证（如强口令、多因子认证）并妥善管理，同时监控内容安全事件和账号异常行为并及时响应。 图天翼云安全责任共担模型 云安全责任基于控制权，以可见、可用作为前提。在客户上云的过程中，资产（例如设备、硬件、软件、介质、虚拟机、操作系统、数据等）由客户完全控制向客户与天翼云共同控制转变，这也就意味着客户需要承担的责任取决于客户所选取的云服务。如上图所示，客户可以基于自身的业务需求选择不同的云服务类别（例如IaaS、PaaS、SaaS服务）。不同的云服务类别中，每个组件的控制权不同，这也导致了天翼云与客户的责任关系不同。 在IaaS场景下，客户控制着除基础设施外的所有组件，因此客户需要做好除基础设施外的所有组件的安全工作，例如应用自身的合法合规性、开发设计安全，以及相关组件（如中间件、数据库和操作系统）的漏洞修复、配置安全、安全防护方案等。 在PaaS场景下，客户除了对自身部署的应用负责，也要做好自身控制的中间件、数据库、网络控制的安全配置和策略工作。 在SaaS场景下，客户对客户内容、账号和权限具有控制权，客户需要做好自身内容的保护以及合法合规、账号和权限的配置和保护等。

步骤5：检查资源部署结果 资源栈部署通常需要260分钟，时间长短取决于资源规模。请您耐心等待。部署成功后，即可查验所有资源状态，更多信息您可查看 查询资源栈 1. 点击页面右上角 刷新icon 刷新状态，等待执行计划创建完成 2. 部署成功！点击 资源 页签，查看成功部署的资源清单 恭喜您成功上手！从现在开始，用资源编排管理您的云资源吧！

服务配额是指天翼云账号在使用云资源时的最大限制。本文将介绍天翼云账号购买弹性IP(Elastic IP Address,简称EIP)后可获得的服务配额。 通用配额 弹性IP (单资源池可开通数量)：单个客户每个账户、单资源池可申请的弹性IP数量为10个，您可以通过提交工单来提升配额。 弹性IP(所有一类节点资源池可开通总数量)：单个客户每个账户、在所有一类节点资源池可申请的弹性IP数量为20个，您可以通过提交工单来提升配额。

弹性IP在开通时即可加入共享带宽,本文帮助您基于共享带宽创建弹性IP。 前提条件 仅当按需创建弹性IP时才可选择选择共享带宽。 操作步骤 1. 登录网络控制台。 2. 在系统首页，单击【网络 > 虚拟私有云】。 3. 在网络控制台选择【弹性 IP】，进入弹性 IP 页面。 4. 单击【申请弹性 IP】。 5. 设置订购参数： 在订购页面选择【按量付费】标签页； 带宽类型，选择【共享带宽】； 共享带宽，选择已经创建的共享带宽实例； 购买数量，根据需要调整。 6. 点击【下一步】。 7. 点击【确认下单】后，购买成功。

VPC名称 VPC网段 子网名称 子网网段 子网关联VPC路由表 弹性云主机名称 私有IP地址 VPCA 主网段：10.0.0.0/16, SubnetA01 10.0.0.0/24 RouterA A01 10.0.0.2 VPCA 扩展网段：192.168.0.0/16 SubnetAExtend01 192.168.0.0/24 RouterA AExtend01 192.168.0.2 VPCB 10.2.0.0/16 SubnetB01 10.2.0.0/24 RouterB B01 10.2.0.2 VPCC 10.3.0.0/16 SubnetC01 10.3.0.0/24 RouterC C01 10.3.0.2

本文主要介绍连接器基本原理和使用场景。 连接器是什么 天翼云AOne连接器是AOne零信任架构中实现网络互通互联的核心组件，它部署于客户侧，是客户连接AOne网络的接入点。 连接器与AOne网络节点建立加密隧道，实现内网用户接入，通过AOne“高速公路”触达其他区域的公网或内网应用。 连接器通过反向连接技术将内网应用资源与零信任安全网关进行安全连通，避免业务系统直接暴露于互联网。 适用场景 零信任远程办公 场景需求 ：员工通过互联网安全访问企业内网资源，如 OA、ERP 系统。 连接器作用 ：员工通过零信任客户端访问应用时，连接器作为中转代理，将流量加密转发至内网，避免直接暴露应用 IP。 连接器价值 ： 统一接入能力 ：支持跨多云、混合云、本地机房等复杂环境的网络连通，解决企业数字化转型中的混合部署难题。 安全隔离 ：通过隐藏网络拓扑、动态访问控制和加密隧道，将攻击面最小化，防御来自内外部的威胁。 高可用性 ：支持多活部署（如在不同服务器安装同一集群的连接器），结合负载均衡算法实现流量分发，保障业务连续性。 办公组网 场景需求 ：企业分支机构与总部、云资源之间的安全互联。 部署模式 ： 加速模式 ：分支机构连接至就近的 POP 节点（全球 300 + 骨干网节点），通过专线骨干网互联，适用于跨区域中大型企业。 连接模式 ：分支机构直接通过加密隧道连接总部，成本低，适合小型企业。 混合模式 ：结合加速与连接模式，灵活适配复杂网络架构。 技术优势 ：支持带宽限制（如连接模式 15000Mbps）、自定义 DNS 解析，优化网络性能。 连接器价值 ： 关联不同数据中心的应用至对应连接器集群，确保流量精准回源（如北京机房应用关联北京集群）。 支持跨区域负载均衡，提升多云环境下的访问效率。

字段 字段说明 策略名称 投递策略名称，可设置便于您记忆和辨识的相关策略名称。 策略描述 投递策略描述，用于记录相应策略信息，增加对应描述和备注。 投递方式 投递的方式，目前支持：Kafka、Syslog服务器（可选TCP或UDP协议）、SLS（天翼云）。 投递日志类型 每个投递策略只能投递一种日志类型，若您需要投递多个日志类型，则可创建多个日志投递策略。当前可投递日志类型为：内网审计日志、终端登录日志、平台操作日志、网关防护日志、策略处置记录。 投递设置 设置投递方式的详细配置，具体参数如下： 1、Kafka：需设置Kafka服务器地址、Topic（Kafka事件流主体）、认证方式（可选：无、SASL/PLAIN），若选择认证方式，则需提供用户名、密码。 2、Syslog服务器：需设置Syslog服务器地址，投递协议可选：TCP、UDP。 3、SLS（天翼云）：需设置云日志服务访问地址、accessKey、secretkey、日志项目编码、日志单元编码。 说明 天翼云sls的日志投递方式受限于天翼云sls（云日志服务）产品对不同服务区域的功能限制，部分服务区域不支持公网方式传输，具体 内网访问 可选开启内网访问，使用连接器内网通道安全投递，减少投递服务器的公网暴露面，确保数据安全。 若您的Syslog服务器位于内网，请勾选并配置连接器集群，内网访问不支持域名方式访问。 勾选内网访问后，需选择关联的连接器集群，用于走该连接器的网络通道，将投递日志传输到您接收投递日志的相应服务器，请确保连接器集群到服务器地址网络可达。 策略状态 投递策略可选开启和关闭。 时间 展示更新时间、创建时间。 操作 详情：查看投递策略详情。 修改：修改投递策略配置，不支持修改投递方式。 删除：删除投递策略。

本页为您介绍从天翼云数据库迁移/同步数据到天翼云数据库,同资源池不同VPC情况下,通过对等连接接入的方法。 在同资源池，不同VPC之间，网络默认不通，需要通过VPC打通的方式来实现网络互通。目前支持通过VPC对等连接的方式实现VPC间子网级的互通，注意需要保证源数据实例所在子网与目标数据库实例所在子网的网段不冲突。 以下分别介绍网络通信方式，DTS实例的配置流程和不同VPC间通过对等连接进行互通的配置流程。 网络通信方式 网络通信方式，见下图： DTS实例的配置流程 DTS实例订购成功后，选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“打通网络配置”将会自动识别，源端将显示“当前数据库不在同一个虚拟私有云(VPC)，需要配置对等连接打通⽹络”，点击“创建虚拟私有云(VPC)对等连接”将跳转到VPC控制台，可按VPC相关流程处理“创建对等连接”，具体页面如下： 不同VPC间通过对等连接互通的配置流程 创建VPC对等连接。 具体可参考天翼云对等连接相关文档进行配置。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档进行配置。 数据库添加白名单。 源数据库需要添加DTS实例的私网IP访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

步骤二：添加后端主机组 添加处理前端请求的后端主机组。 1. 设置后端主机组名称。 2. 选择后端主机类型，仅可选云主机。 3. 从主机列表中选择可添加的云主机，然后点击“下一步”，即完成后端云主机的添加。 步骤三：参考UDP监听器负载方式&健康检查配置说明, 完成负载方式和健康检查配置。完成步骤三后，点击立即创建，完成UDP监听器创建。 UDP监听器负载方式&健康检查配置说明 负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式，UDP协议只支持选择轮询算法和最小连接算法。 轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数。 最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机。 源算法：基于源IP地址的一致性哈希，相同的源地址会调度到相同的后端主机。 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 UDP协议的会话保持方式为SOURCEIP方式。即来自同一IP地址的访问请求转发到同一台后端主机上。 会话保持时间 设置会话保持的时间，取值范围为1 86400，缺省1000s。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 UDP，UDP协议监听器只可选UDP。 间隔时间 健康检查的检查间隔，缺省5s。 超时时间 健康检查超时时间，缺省2s。 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。

基础信息 应用名称 ：显示当前选中的“调用方法”所属的应用的名称。 接口名称 ：显示当前选中的“调用方法”所属的接口的名称。 IP地址 ：显示当前选中的“调用方法”所属的应用实例的IP地址。 TraceID ：显示TraceID，当前调用链的唯一标识。点击「查看日志」打开“云日志服务检索分析”页面。 产生时间 ：发起调用的时间点。 耗时 ：显示当前选中的「调用方法」从发起调用到返回结果的时间。 调用栈 以调用树的方式显示具体的调用信息。 调用方法 ：显示调用方法名称。 操作 ： 详情：点击详情，打开该调用方法的拓展信息弹窗。显示Agent、http、主机、Process、Thread、DB、Messaging、目标服务信息。 查看日志：点击打开“云日志服务检索分析”页。 拓展信息 ：当该调用存在异常/错误信息时，会在此处显示异常堆栈信息。 时间轴 ：以时间轴的形式显示各个调用方法的耗时。 拓展信息 点击「详情」按钮，打开弹窗如下。 显示该方法其他相关信息，包括 UserAgent 名称 ：接入该应用的探针名称。 IP ：该探针接入的应用实例的主机IP。 Http URL （Uniform Resource Locator）：统一资源定位符，是一种用于标识互联网上资源的地址，包括协议类型、主机名、端口号、路径和查询参数等信息。 Domain （域名）：是指互联网中的机器和服务的名称，类似于电话号码的概念。域名由多个部分组成，按照从右到左的顺序，依次表示顶级域名、二级域名、三级域名等。 StatusCode （状态码）：是指HTTP服务器返回给客户端的响应状态码，用于表示请求的处理结果。 5xx：服务器异常，服务器在处理请求的过程中发生错误。 4xx：客户端异常，请求包含语法错误或无法完成请求。 3xx：重定向问题，需要进一步操作。 2xx：成功，服务器成功接收请求并执行。 200：请求成功。

最佳实践 说明 本章节主要介绍基于VirtualBox制作Windows镜像。 包括安装VirtualBox，并基于VirtualBox使用ISO创建虚拟机，完成虚拟机配置后生成vhd格式镜像。 本章节主要介绍基于VirtualBox制作Linux镜像。 包括安装VirtualBox，并基于VirtualBox使用ISO创建虚拟机，完成虚拟机配置后生成vhd格式镜像。 本章节操作指导您完成Windows操作系统云主机磁盘空间清理。 本章节操作指导您使用qemuimg工具转换镜像格式。 qemuimg工具支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi或qed格式的镜像之间相互转换。 本章节介绍了yum、apt和zypper包管理器下配置本地源的方法， 并提供了Debian 10.1.0和CentOS 8.0的配置示例。 用户的业务数据一般保存在数据盘中，要想实现业务数据跨帐号迁移， 需要用到镜像服务的创建数据盘镜像、共享镜像等功能。 本章节为您详细介绍跨帐号迁移业务数据的操作流程。 如果您的业务数据同时保存在数据盘和系统盘中，要想实现业务数据跨帐号迁移， 需要用到镜像服务的创建整机镜像、共享镜像等功能。 本节操作为您详细介绍跨帐号迁移业务数据（包括系统盘和数据盘数据）的操作流程。

概述 标签用于标识资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 您可以在函数创建完成后，在配置详情页添加标签，最多可以给同一个函数资源添加20个标签。 应用场景 为函数添加标签，可以方便您快速识别和管理拥有的函数资源。例如，您可以为账户中的函数资源定义一组标签，以跟踪每个函数资源的所有者和用途，使函数管理变得更加轻松。 前提条件 确保已开通标签管理服务（TMS），未开通TMS服务时无法使用TMS预定义标签能力。 添加标签 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“设置 > 标签”，单击“添加标签”。 4. 参考如下命名规则，添加标签键和标签值。 1. 每个标签由一对键值对（KeyValue）组成，且每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 2. 每个函数最多可以添加20个标签。 说明 如您的组织已经设定函数工作流服务的相关标签策略，则需按照标签策略规则为函数添加标签。标签如果不符合标签策略的规则，则可能会导致函数创建失败，请联系组织管理员了解标签策略详情。 参数 规则 标签键 不能为空 不能以sys或空格开头，不能以空格结尾 可用UTF8格式表示的字母（包含中文）、数字和空格，以及以下字符：.: + @ 128个字符以内且不与其他标签键重复 标签值 可以为空字符串 可用UTF8格式表示的字母（包含中文）、数字、空格，以及以下字符： . : / + @ 长度0~255个字符（中文也可以输入255个字符） 5. 添加完成后单击“保存”。保存后的标签键无法修改，标签值可以执行修改操作。

本页介绍了如何查看关系数据库MySQL版的错误日志。 操作场景 关系数据库MySQL版服务的错误日志功能支持查看数据库级别的日志，包括数据库运行时产生的错误和告警信息（Error和Warning级别），您可以通过错误日志分析系统中存在的问题。 约束限制 目前支持查询并保存七天内的错误日志明细。 下载错误日志仅支持备份类型为对象存储的情况。使用公网链接下载时会产生流量费用，具体资费参考备份。使用内网链接下载需到云主机使用，只需将链接复制，然后在云主机上使用wget ' 注意事项 错误日志采集频率为每小时，如果执行迁移可用区会导致该时间段的日志丢失。 如果有短时间内有太多重复日志，将进行抽样采集，比如Too many connections。 如果每次采集间隔内（1小时）有超过1w条记录，将只采集前1w条记录。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击日志管理 ，进入错误日志页签。 5. 在错误日志列表中，查看错误日志的详细信息。 您可以根据实际需要选择时间区域，查看不同时间段内的错误日志。 对于无法完全显示的描述信息，鼠标悬停即可查看完整信息。 6. 单击下载，获取错误日志下载链接。 获取到下载链接后，您可以直接单击下载或复制链接到浏览器进行下载。 注意 临时下载地址链接有效时间为1小时。

本节介绍OpenSSH用户枚举漏洞修复最佳实践。 漏洞编号 CVE201815473 漏洞名称 OpenSSH 用户枚举漏洞 漏洞描述 OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具, 该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击; OpenSSH 7.7及之前版本中存在用户枚举漏洞，该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应，攻击者可通过发送特制的请求利用该漏洞枚举用户名称。 影响范围 OpenSSH 7.7及之前版本 官方解决方案 应用补丁可以修复此漏洞，需要重新编译，补丁获取链接：< 新版本OpenSSH7.8已经修复这个安全问题，请到厂商的主页下载，下载链接： < < 检测与修复建议 服务器安全卫士（原生版）已支持对对该漏洞的检测与修复。需要在服务器安装部署Agent，并已开启安全防护。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“漏洞扫描”，进入漏洞扫描页面。 3. 在漏洞扫描页面点击“一键扫描”按钮，进入一键扫描设置页面，勾选相应参数设置进行漏洞扫描。 4. 在漏洞扫描详情页面， Windows系统漏洞列表中已检测出主机存在的OpenSSH漏洞。 5. 检测完成后，可点击“查看详情”，跳转到详情页面，可以根据修复建议修复漏洞。 6. 修复过程需要花费一段时间，修复完成后，请重启云主机使补丁生效。 7. 重启云主机后，再次单击“一键扫描”，验证该漏洞是否修复成功。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List<string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list<string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list<int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list<string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list<string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

安装Agent后，如果验证发现Agent与数据库安全审计实例之间通信异常，请参照本章节进行处理。 故障现象 在数据库端或应用端安装Agent后，在数据库上输入SQL语句，SQL语句列表中未显示该SQL语句。 可能原因 待审计的数据库信息有误 待审计的数据库未开启审计功能 数据库安全审计实例未配置安全组规则 待审计的数据库的安装节点Agent程序没有运行 处理步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择需要排查的数据库所属的实例。 6. 检查添加的数据库信息以及审计状态。 7. 检查待审计的数据库信息，如下图所示。 8. 检查数据库安全审计实例的入方向安全组规则。 在左侧导航树中，选择“实例列表”，进入实例列表界面。 单击需要处理的实例名称，进入实例概览页面。 在“网络配置信息”区域，记录数据库安全审计实例的“安全组”（例如Sysdefault）。 单击管理控制台上方的“服务列表”，选择“网络 > 虚拟私有云 VPC”，进入虚拟私有云列表界面。 在左侧导航树中，选择“访问控制 > 安全组”，进入安全组列表界面。 在列表右上方的搜索框中输入步骤8.3中记录的安全组“Sysdefault”后，单击 或按“Enter”，列表显示“Sysdefault”安全组信息。 单击“Sysdefault”，进入“入方向规则”页面。 检查“Sysdefault”安全组的入方向规则。 9. 添加数据库安全审计实例安全组的入方向规则。

参数 描述 数据流动方向 选择“入云”，即目标端数据库为本云数据库。 源数据库引擎 选择“MySQL”。 目标数据库引擎 选择“MySQL”。 网络类型 此处以公网网络为示例。 可根据业务场景选择公网网络、VPC网络和VPN、专线网络。 目标数据库实例 用户所创建的关系型数据库实例。 说明 目标数据库实例不支持选择只读实例。 目标数据库实例可以和源数据库选择同一个实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步类型 此处以“全量+增量”为示例。 “全量+增量”：该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 “增量”：增量同步通过解析日志等技术，将源端产生的增量数据同步至目标端。 标签 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见 标签管理。

限制说明 以网站为例，从网站搭建完成至可对用户提供服务，主要涉及搭建网站的服务器及接入信息、网站信息、主体信息三个方面，ICP备案主要针对这三类信息进行备案以待审核，保障网站服务的真实性、安全性等。本文为您介绍使用天翼云ICP代备案管理系统进行ICP备案时，可能存在的一些限制条件。 分类 限制项 限制说明 服务器及接入信息 接入地 如果您的域名/APP需要在天翼云进行ICP备案，请先购买天翼云中国内地节点服务器。 服务器及接入信息 跨省备案 单位备案不可以跨省备案。 个人跨省备案需根据管局规则，提交当地居住证等证件（部分管局支持）或更换备案省份。 服务器及接入信息 服务器 通过天翼云进行ICP备案，需先购买天翼云中国内地节点服务器。。 网站信息 前置审批 若网站内容涉及需前置审批行业的内容，ICP备案前请先到相关批复单位办理前置审批文件，详细信息可参考：前置审批。 网站信息 域名 域名对应的顶级域名已获工信部批复。 域名注册服务机构已获工信部批复。 域名需在注册有效期内。 域名需完成域名实名认证。 部分省份的企业进行ICP备案，主办单位或主办人全称可填写公司的法定代表人。其他备案场景下，要求域名持有者信息与备案主体信息保持一致。具体省份要求可参考管局规则。 网站信息 网站或APP内容 网站或APP不可以涉及违法内容。 如果网站或APP内容涉及行业或企业内容，备案性质不能为个人。 主体信息 主体 一个天翼云账号只能备案一个主体（公司或个人）信息，但一个主体下可以备案多个网站或APP。

本文带您快速熟悉如何查询终端节点(Endpoint)。 对象存储（简称ZOS）为每个地域提供一个终端节点，终端节点可以理解为ZOS在不同地域的域名，用于处理各自地域的访问请求。 操作场景 如果您选择使用SDK、API或客户端，则需要提前获取创建桶时所选地域的终端节点（Endpoint），来访问ZOS资源。ZOS为每个地域提供了通过外网和内网的访问方式，具体请查看访问规则。 操作步骤 1.开通对象存储ZOS服务后，在管理控制台点击目标桶的Bucket名称，进入“概览”页面。 2.进入页面后，在“域名信息”中，记录当前资源池的终端节点（Endpoint）、Bucket外网访问、同资源池内网访问的IPV4或IPV6地址。 说明 终端节点（Endpoint）：ZOS为每个地域提供Endpoint，可通过这个地址访问和调用对象存储及其功能。 Bucket外网访问域名：桶的域名地址，支持公网访问ZOS。域名结构为“协议://BucketName.Endpoint”，BucketName为桶名称，Endpoint为桶对应的地域域名。 同资源池内网访问（IPV4）域名：支持同资源池云主机通过内网访问ZOS的IPV4地址，内网访问不产生公网流量。 同资源池内网访问（IPV6）域名：支持同资源池云主机通过内网访问ZOS的IPV6地址，内网访问不产生公网流量。 例如，华东华东1和广东广州6的endpoint地址如下表： 访问控制 Endpoint 地域 终端节点（Endpoint） 华东华东1 同资源池内网访问(IPV4) 华东华东1 访问控制 Endpoint 地域 终端节点（Endpoint） 广东广州6 同资源池内网访问(IPV4) 广东广州6

本文介绍弹性文件服务的配额类相关问题。 问题目录 什么是配额？ 弹性文件服务需要关注哪些配额？ 配额不足，如何申请扩大配额？ 最大可以创建多大的文件系统？ 最多可以创建多少个文件系统？ 我需要一个200TB的文件系统，如何申请配额？ 什么是配额？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如用户最多可以创建多少台弹性云主机、多少块云硬盘、多少个文件系统等。如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 弹性文件服务需要关注哪些配额？ 一般情况下对于弹性文件服务，您需要关注以下3个配额： 配额项 说明 文件系统总容量配额 单用户单地域默认分配50TB配额用于创建文件系统，所有的文件系统容量之和不能超过此配额。 如不满足使用需求，可以提交工单申请调整。 文件系统数量配额 默认10个，即默认情况下，在某资源池您可以创建10个文件系统。在多可用区资源池，各可用区共用该资源池总数量配额。 如不满足使用需求，可以申请调整至20个。若需要创建20+个文件系统，请提交工单进行资源评估。 说明： 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若剩余资源不足，可能无法调整至预期配额。 单个文件系统容量上限 单文件系统默认容量上限为32TB。如不满足使用需求，可以申请调整，通常情况下可以调整至320TB。 说明： 由于实际资源情况有波动，实际配额调整能力需要根据当前资源池的剩余资源情况进行调整，若剩余资源不足，可能无法调整至预期配额。 弹性文件服务容量和性能不是线性相关，性能不会随容量增大线性增长，最大性能详见产品规格。

本页为您介绍从天翼云ECS自建数据库迁移/同步数据到天翼云数据库,同资源池不同VPC情况下,通过对等连接接入的方法。 在同资源池，不同VPC之间，网络默认不通，需要通过VPC打通的方式来实现网络互通。目前支持通过VPC对等连接的方式实现VPC间子网级的互通，注意需要保证源数据实例所在子网与目标数据库实例所在子网的网段不冲突。 以下分别介绍网络通信方式，DTS实例的配置流程和不同VPC间通过对等连接进行互通的配置流程。 网络通信方式 网络通信方式，见下图： DTS实例的配置流程 DTS实例订购成功后，选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“打通网络配置”将会自动识别，源端将显示“当前数据库不在同一个虚拟私有云(VPC)，需要配置对等连接打通⽹络”，点击“创建虚拟私有云(VPC)对等连接”将跳转到VPC控制台，可按VPC相关流程处理“创建对等连接”，具体页面如下： 不同VPC间通过对等连接互通的配置流程 创建VPC对等连接。 具体可参考天翼云对等连接相关文档进行配置。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档进行相应配置。 数据库添加白名单。 自建数据库需要添加DTS实例的私网IP访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

参数 说明 名称 证书名称，只能由数字、字母、组成,不能以数字和开头、以结尾,且长度为263字符。 证书类型 可选服务器或者CA证书，本操作选择CA证书。服务器证书：在使用HTTPS协议时，服务器证书用于SSL握手协商，需提供证书内容和私钥。CA证书：又称客户端CA公钥证书，用于验证客户端证书的签发者；在HTTPS双向认证功能时，只有当客户端能够出具指定CA签发的证书时，HTTPS连接才能成功。CA证书只有单证书，无私钥。 证书标准 支持国际标准和国密（SM2）标准。 证书内容 支持粘贴证书到内容框，或点击上传证书内容。证书包含证书的公钥和签名等信息，证书扩展名为".pem"或".crt"，您可直接输入证书内容或上传证书文件。 （1）通过Root CA机构颁发的证书，证书是唯一的一份，不需要额外的证书，配置的站点即可被浏览器等访问设备认为可信。Root CA证书格式必须符合如下要求：以BEGIN CERTIFICATE, END CERTIFICATE开头和结尾。每行64个字符，最后一行长度可以不足64个字符。证书内容不能包含空格。 （2）通过中级CA机构颁发的证书，证书文件包含多份证书，需要将服务器证书与中级证书合并在一起上传。证书链格式必须符合如下要求：BEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATE服务器证书放第一位，中级证书放第二位，中间不能有空行。证书内容不能包含空格。证书之间不能有空行，并且每行64字节。符合证书的格式要求。一般情况下，证书机构在颁发证书时会有对应说明，证书要符合证书机构的格式要求。 描述 填写证书相关描述，可选。 企业项目 选择所述的企业项目名称, 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

SOC工具与技术 安全信息和事件管理（SIEM） SOC中最重要的工具之一是基于云的SIEM解决方案，它将来自多个安全解决方案和日志文件的数据聚合在一起。借助威胁情报和AI，这些工具帮助SOC检测不断演化的威胁、加快事件响应速度并先于攻击者行动。 安全编排、自动化和响应（Security Orchestration, Automation and Response，SOAR） SOAR可自动执行定期和可预测的扩充、响应和修正任务，从而空出时间和资源来进行更深入的调查和搜寻。 扩展检测和响应（Extended Detection and Response，XDR） XDR是一种服务型软件工具，它通过将安全产品和数据集成到简化的解决方案中来提供全面、更优的安全性。企业/组织使用这些解决方案在多云混合环境中主动有效地应对不断演化的威胁环境和复杂的安全挑战。与终端节点检测和响应 (EDR) 等系统相比，XDR扩大了安全范围，从而跨更广泛的产品集成了保护，包括企业/组织的终端节点、服务器、云应用程序和电子邮件等。在此基础中，XDR将预防、检测、调查和响应相结合，提供可见性、分析、相关事件警报和自动化响应来增强数据安全并对抗威胁。 防火墙 防火墙会监视进出网络的流量，根据SOC定义的安全规则允许或阻止流量。 日志管理 日志管理解决方案通常是SIEM的一部分，它会记录来自企业/组织中运行的每个软件、硬件和客户端的所有警报。这些日志提供了网络活动的相关信息。 漏洞管理 漏洞管理工具会扫描网络来帮助识别攻击者可能利用的任何薄弱点。 用户和实体行为分析（User and Entity Behavior Analytics，UEBA） 用户和实体行为分析构建在许多新式安全工具之中，它使用AI来分析从各种设备收集的数据，来为每个用户和实体建立正常活动的基线。当事件偏离基线时，会标记该事件供进一步分析。

本章节主要介绍如何配置消息通知。 MRS联合消息通知服务(SMN)，采用主题订阅模型，提供一对多的消息订阅以及通知功能，能够实现一站式集成多种推送通知方式（短信和邮件通知）。 操作场景 在MRS管理控制台，按照集群维度，在集群信息页面的告警页签中能够提供选择是否使能通知服务，只有对应集群开关开启以后，才能实现以下场景的功能： 在用户订阅了通知服务之后，当集群出现扩容成功/失败、缩容成功/失败、删除成功/失败、弹性升缩成功/失败的场景下，由MRS管理面通过邮件或短信方式通知对应用户。 管理面检查大数据集群的告警信息，如果大数据集群的告警信息影响到服务的使用，其告警级别达到致命时，则发送信息通知给对应租户。 在用户集群的ECS机器被删除、关机、修改规格、重启、更新OS的行为，会导致大数据集群异常，当检测到用户的虚拟机出现以上状态的时候，发送通知给对应用户。 创建主题 主题是消息发布或客户端订阅通知的特定事件类型。它作为发送消息和订阅通知的信道，为发布者和订阅者提供一个可以相互交流的通道。 1.登录管理控制台。 2.单击“服务列表”选择“管理与监管 > 消息通知服务”。 进入消息通知服务页面。 3.在左侧导航栏，选择“主题管理 > 主题”。 进入主题页面。 4.在主题页面，单击“创建主题”，开始创建主题。 此时将显示“创建主题”对话框。 5.在“主题名称”框中，输入主题名称，在“显示名”框中输入相关描述。 6.在“企业项目”中选择已有的项目，或者单击“新建企业项目”，在“企业项目管理”界面创建好企业项目后再进行添加。 7.在“标签”填写“标签键”和“标签值”，用于标识云资源，可对云资源进行分类和搜索。