本章节介绍如何配置追踪器。 操作场景 云审计服务管理控制台支持对已创建的数据类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置数据类事件追踪器。 前提条件 已开通云审计服务，且已创建一个数据类事件追踪器。 配置数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“配置”。 6. 在选择追踪对象页面，设置相关参数，参数详情见表 选择转储事件参数表，单击“下一步”。 7. 在配置转储页面可以修改该追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 8. 单击“下一步 > 配置”，完成配置数据类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 选择转储事件参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 默认为您创建数据类追踪器时设置的OBS桶名称，不可以修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

安全策略可视化管理 在业务拓扑中利用红绿线标识符合策略的流量及不符合策略的流量，并支持查看流量阻断日志。 由于工作负载带有业务角色属性，所以非常有利于基于学习到的连接关系生成一张综合的可视化视图，可以直观呈现环境间、业务间、工作组间、工作负载间的互访关系。基于此能力，实现如下价值： 有利于梳理资产、摸清家底，知道有哪些工作负载，知道工作负载开放了什么端口（暴露面），护网时可利用此功能生成资产台账和端口台账； 便于以学习到的情况为基础，清晰的梳理内部的互访关系； 业务连接可视化分析解决了管理者对数据中心东西向流量不可视、无感知的难题，同时也是进一步确定流量基线，部署访问控制策略的依据。 自适应策略调整 在业务迁移、弹性拓展等场景下，可自动调整安全策略，并支持API自动化编排。 全局策略自适应计算，是指微隔离系统根据工作负载的变化而自动调整符合其业务角色的安全策略。这样的场景在云化数据中心中时常发生，如业务从物理机迁移至虚拟机、新的数据中心建设、新的业务上线、动态扩缩容等。 这里我们示例了一种最简单的策略自适应计算场景： 用户基于标签，使用接近自然语言的描述配置一条策略； 自适应策略计算引擎将标签翻译为对应的IP地址； 当某一个工作负载发生IP变化时，BEA迅速上报该信息，自适应策略引擎则基于这个变化快速进行策略计算，并将新的策略下发至相关工作负载上。

本节描述了搭建容灾的操作场景、实现原理、注意事项、操作步骤等内容。 操作场景 建立跨Region容灾关系，当主实例所在区域发生突发性自然灾害等状况，主节点无法连接，可将异地灾备实例升为主实例，在应用端修改数据库连接地址后，即可快速恢复应用的业务访问。 实现原理 在两个数据中心独立部署RDS for PostgreSQL实例，通过RDS的容灾功能将生产中心主实例中的数据同步到灾备中心灾备实例中，实现主实例和跨Region灾备实例数据之间的实时同步。 拓扑图 注意事项 使用该功能前，必须要确保跨Region数据库实例之间的网络打通（可考虑VPN连接产品）。 使用该功能前，确保主实例和灾备实例状态正常，主实例和灾备实例在不同Region上，且主实例为主备实例，灾备实例为单机实例。 灾备实例的CPU和内存规格以及磁盘容量要大于或等于主实例的规格以及磁盘容量。 灾备实例的底层架构和数据库大版本要与主实例一致。 不支持跨大版本建立跨云或跨Region容灾关系。 调用配置主实例容灾接口后直至成功搭建容灾关系，不能进行规格变更、主备倒换操作。 搭建容灾后，灾备实例支持变更CPU和内存规格。 修改主实例的端口或内网地址后需要重新搭建灾备关系。 灾备实例搭建成功后，不能进行小版本升级。 RDS for PostgreSQL 12及以上支持建立跨Region容灾关系。 主实例参数被修改后，灾备实例无法同步修改该参数，需结合业务自行修改灾备实例参数。 RDS for PostgreSQL灾备实例不支持PITR恢复，如需使用此功能，请在主实例上完成。

操作场景 本章节指导用户查看主机监控指标，监控指标分为Agent插件采集的细颗粒度的操作系统级别监控指标和ECS自带的监控指标。 前提条件 已完成Agent插件的安装。安装请参考在ECS/BMS中安装配置Agent（Linux）、安装配置Agent（Windows）进行安装。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 查看ECS或BMS的监控指标： 查看ECS操作系统监控指标的方法：单击左侧导航栏的“弹性云主机”，再单击ECS实例所在行的“查看监控指标”。 查看ECS基础监控指标的方法：单击左侧导航栏的“弹性云主机”，再单击ECS实例所在行的“查看监控指标”，最后单击“操作系统监控”右侧的“基础监控”。 查看BMS操作系统监控指标的方法：单击右侧导航栏的“物理机”，再单击BMS实例所在行的“查看监控指标”。 4. 查看监控指标。 在“操作系统监控”页面上方，分为CPU、内存、磁盘等不同类型的监控指标。 可查看不同监控指标“近1小时”、“近3小时”、“近12小时”、“近24小时”、“近7天”和“近30天”的原始监控数据曲线图。您可以选择是否开启“自动刷新”功能，云监控服务提供了“60秒”自动刷新周期。 5. 在监控指标视图右上角，单击可查看监控指标视图详情。 页面左上方提供查看“近1小时”、“近3小时”、“近12小时”、“近24小时”、“近7天”和“近30天”6个固定时长的监控周期，同时也支持以通过“自定义时间段”选择查看近六个月内任意时间段的历史监控数据。 6. 选择页面左上方的“设置”按钮，进入“聚合”设置页面，对监控数据的聚合方法进行更改。 近1小时”、“近3小时”、“近12小时”、“近24小时”的监控数据：系统默认显示原始数据。 “近7天”、“近30天”的监控数据：系统默认显示聚合后的数据。 “近1小时”、“近3小时”、“近12小时”、“近24小时”GPU 指标数据均为指标采集周期的原始数据。 单击监控大图右侧的放大按钮后，可拖动鼠标选择自定义时间段。

本节为您介绍云迁移服务优势。 智能评估管理 云迁移服务CMS提供了服务器、数据库和对象存储的成本评估功能，帮助企业更好地了解成本情况，辅助上云决策。此外，服务支持资源发现、资源映射和迁移管理，实现迁移全周期管理。 覆盖场景全面 云迁移服务CMS具备服务器、数据库以及对象存储迁移工具，可根据实际应用场景选择同构/异构服务器迁移工具、同构/异构数据库迁移工具以及对象存储迁移工具辅助迁移。 高效的上云路径 云迁移服务为企业提供了高效的上云方案，通过云迁移平台将迁移过程业务化，通过业务化管理帮助企业以更快的速度完成上云。 全面可视化管理 云迁移服务实现了迁移生命周期的一站式、可视化管理，用户能够通过直观的界面全面了解迁移过程的状态和进展，便于管理和监控。 服务器迁移 云迁移服务CMS提供了完备的服务器迁移工具，适配市面上主流的操作系统，在传输、连接、控制平面进行安全设计，同时平衡易用性与灵活性，提升用户使用体验。 数据库迁移 云迁移服务CMS提供了完备的数据库迁移工具，支持同构/异构数据库数据迁移。可实现达梦、人大金仓、TiDB、TeleDB等作为目标数据库进行异构数据库迁移。 数据迁移 云迁移服务CMS的数据迁移工具，具备可视化、稳定、易用的特点，支持将来自亚马逊、阿里云、腾讯云、华为云、天翼云 OOS 和 XOS 的数据迁移到ZOS 进行存储，并提供了灵活的迁移策略，通过功能组合满足各类需求与场景，实现企业数据快速上云。

本节介绍如何为您的轻量型云主机重置密码。 操作场景 如果您遗忘了当前设置的主机登录密码，或需要修改当前主机登录密码，可以根据本文提供的方式进行重置密码。另外，如果您在创建轻量型云主机时，未设置密码，则需要在通过VNC登录主机前，通过重置密码操作设置密码。 前提条件 轻量型云主机状态为运行中状态。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机” 4. 进入轻量型云主机列表界面，在目标轻量型云主机“操作”列下拉“更多”选择“重置密码”。 您也可以单击目标主机“实例名称”进入目标主机详情页，单击右侧顶部“更多”，下拉选择“重置密码”进行密码重置。 5. 出现重置密码弹框，用户需要在弹窗内输入“密码”及“确认密码“两项，“确认密码”需与“密码”一致。 说明 密码规则：8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@

前言——私有知识库作用简介 大模型私有知识库，作为大语言模型技术与企业、组织自有数据深度融合的创新知识管理及应用解决方案，能够为特定用户群体提供更为精准、专业且安全的知识服务。具体来讲，它是借助大语言模型搭建而成，专门为特定组织或个人定制的知识存储与检索系统。此系统会对组织内部的专业知识、业务数据、历史文档等各类信息进行深度整合与精细化处理，从而构建出独一无二的专属知识集合。依托大模型强大的语言理解与生成能力，用户能够在此基础上实现高效的知识查询与问答交互。 在本教程中，我们将为您详细介绍一种基于开源框架的私有知识库搭建方案。利用该方案，您可以在本地便捷地搭建起相应的私有知识库，大幅提升文本检索能力。 教程使用配置说明：C7通用型云主机 plaintext cpu 8核 内存 32G 优势 知识准确性：让模型访问定制的信息，从而提高回答的准确性和可靠性。 可解释性：检索过程可以明确指出回答所依据的信息来源，增强了回答的可解释性。 减少幻觉：降低了语言模型生成无事实依据内容（即“幻觉”）的可能性。 一、DeepSeek自部署 请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云 自定义部署DeepSeek。

本文介绍了云防火墙提供审计与日志功能， 审计日志是记录云防火墙的用户活动、权限管理和数据访问等信息的日志，通过审计日志可以帮助用户完成对云防火墙可靠性、可用性监测，用户可以通过审计防火墙的日志观测防火墙的操作记录、防火墙的运行记录、防火墙的资源使用情况等，审计日志对于系统的合规性和安全性具有重要作用。天翼云云防火墙（原生版）已生成防火墙操作日志，记录操作发生时间、操作账号、危险等级、操作行为等信息为用户审计防火墙操作行为提供基础日志数据，可以帮助用户对防火墙使用情况，配置情况等进行审计与监测，以保证对防火墙的操作都能够被审查。 说明 审计日志存储与数据日志存储是分开存储在不同的地方，以保证审计日志不会因数据日志的循环而被删除，审计日志默认存储180天，以保证用户业务的可审计性。

安全登录 为了确保弹性云主机创建成功且状态正常，建议您第一次通过VNC方式远程登录弹性云主机，若登录成功则表明弹性云主机资源状态正常。 尽量选用密钥方式登录Linux弹性云主机。同时可以采取相应措施对Linux服务器SSH登录进行安全加固，详细操作，请参见Linux服务器SSH登录的安全加固。 使用密码登录的实例需要定期修改密码。 详细操作，请参见： 弹性云主机登录Linux弹性云主机 弹性云主机登录Windows弹性云主机 安全产品配置 安全防护：为了实现对弹性云主机的高阶安全防护，建议您根据防护需求开通服务器安全卫士服务，服务器安全卫士通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，保证云主机安全。具体操作参见服务器安全卫士快速入门。 网络防护：为了防止弹性云主机绑定的弹性公网IP被攻击，建议您配合使用AntiDDoS服务，具体操作参见AntiDDoS流量清洗开启AntiDDoS防护。 数据备份与恢复策略 数据备份与恢复 为了在发生病毒入侵、人为误删除、软硬件故障等事件时，能够快速恢复数据，建议您定期进行数据备份，可以使用天翼云云备份服务，云备份提供简单易用的备份能力，当发生异常时，可将数据恢复到任意备份点，减轻经济损失。具体操作参见云备份快速入门。

本章节介绍微服务云应用平台产品优势 企业级元数据管理 支持企业级大规模分布式系统的研发运维，提供灵活的项目、应用分组、应用和可扩展技术栈等元数据管理。 多种语言支持 支持JAVA/GO/Python等多种语言应用托管，支持从制品（JAR/WAR）部署，支持自定义容器镜像部署。 多种底层服务器选择 无缝集成了ECS云服务器和云容器引擎，支持应用托管到ECS集群、K8s集群。并基于应用视角，提供基于虚机模式或容器模式发布运维管控。 应用监控告警 无侵入提供强大的应用级监控能力，灵活配置应用多指标诊断报警。 全面拥抱开源 拥抱开源生态，无侵入支持主流开源框架 Spring Cloud 和 Dubbo 近五年内的版本。 全面服务治理能力 零代码侵入实现Dubbo和SpringCloud微服务治理，支持灰度发布，服务降级，环境隔离等多种高级特性。 深度整合天翼云产品 无缝集成云容器引擎，微服务引擎、应用性能监控和云日志服务等云产品能力，轻松一站式管理业务应用。

本章节介绍连接类的常见问题有哪些及解决办法。 外部服务器能否访问RDS数据库 开通公网访问的实例 对于开通公网访问功能的关系型数据库实例，可以通过外网进行访问。 未开通公网访问的实例 在虚拟私有云中开通虚拟专用网络（Virtual Private Network，简称VPN），通过虚拟专用网络连接关系型数据库。 将关系型数据库与弹性云服务器创建在同一个虚拟专用网络下，通过弹性云服务器来访问关系型数据库。 客户端问题导致连接失败 客户端问题导致连接关系型数据库失败，可以从以下几个方面检查： 1、弹性云服务器的安全策略对于Windows平台，可检查Windows的安全策略是否开放关系型数据库端口。对于Linux平台，可使用iptables检查防火墙及端口的放行情况。 2、应用配置错误常见的有连接地址写错、端口参数配置错误和JDBC等的连接参数配置错误。 3、用户名或密码错误如果连接数据库时出现类似如下错误，请检查用户名或密码是否正确。 [Warning] Access denied for user 'username'@'yourIp' (using password: NO) [Warning] Access denied for user 'username'@'yourIp' (using password: YES) Login failed for user 'username' 说明 如问题仍未解决，请联系售后技术支持。 服务端问题导致连接失败 关系型数据库服务端可能出现的问题如下，请依次进行检测。 连接方式有误。 解决方法 ：检查连接方式。如果是通过内网连接RDS实例，弹性云服务器与关系型数据库实例必须处于同一虚拟私有云内，且只能通过弹性云服务器连接。如果通过公网连接RDS实例，该弹性云服务器可以与目标实例不在同一个虚拟私有云内。 连接数满。 解决方法 ：通过关系型数据库服务的资源监控功能查看连接数、CPU使用率等指标是否正常。如果达到上限，需要重启关系型数据库实例数据库，断开实例连接或升级关系型数据库实例规格解决。 实例状态异常。比如实例重启卡住，关系型数据库系统故障，实例或表被锁定等。 解决方法 ：尝试重启功能。如果无法解决，请联系售后技术支持。

本章节会介绍关系型数据库在连接时遇到的常见问题。 外部服务器能否访问RDS数据库 开通公网访问的实例 对于开通公网访问功能的关系型数据库实例，可以通过外网进行访问。 未开通公网访问的实例 在虚拟私有云中开通虚拟专用网络（Virtual Private Network，简称VPN），通过虚拟专用网络连接关系型数据库。 将关系型数据库与弹性云主机创建在同一个虚拟专用网络下，通过弹性云主机来访问关系型数据库。 客户端问题导致连接失败 客户端问题导致连接关系型数据库失败，可以从以下几个方面检查。 1. 弹性云主机的安全策略 对于Windows平台，可检查Windows的安全策略是否开放关系型数据库端口。对于Linux平台，可使用iptables检查防火墙及端口的放行情况。 2. 应用配置错误 常见的有连接地址写错、端口参数配置错误和JDBC等的连接参数配置错误。 3. 用户名或密码错误 如果连接数据库时出现类似如下错误，请检查用户名或密码是否正确。 [Warning] Access denied for user 'username'@'yourIp' (using password: NO) [Warning] Access denied for user 'username'@'yourIp' (using password: YES) Login failed for user 'username' 说明 如问题仍未解决，请联系售后技术支持。 服务端问题导致连接失败 关系型数据库服务端可能出现的问题如下，请依次进行检测。 1. 连接方式有误。 解决方法 ：检查连接方式。如果是通过内网连接RDS实例，弹性云主机与关系型数据库实例必须处于同一虚拟私有云内，且只能通过弹性云主机连接。如果通过公网连接RDS实例，该弹性云主机可以与目标实例不在同一个虚拟私有云内。 2. 连接数满。 解决方法 ：通过关系型数据库服务的资源监控功能查看连接数、CPU使用率等指标是否正常。如果达到上限，需要重启关系型数据库实例数据库，断开实例连接或升级关系型数据库实例规格解决。 3. 实例状态异常。比如实例重启卡住，关系型数据库系统故障，实例或表被锁定等。 解决方法 ：尝试重启功能。如果无法解决，请联系售后技术支持。

本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

本文为您介绍云堡垒机(原生版)的权限管理能力,支持通过IAM实现对云堡垒机(原生版)的访问控制、权限分配。 云堡垒机（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云堡垒机（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云堡垒机（原生版）IAM策略说明 天翼云为云堡垒机（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 ctcbh admin 云堡垒机（CBH）的全读写访问权限。 系统策略 全局级 ctcbh viewer 云堡垒机（CBH）的只读访问权限。 系统策略 全局级

本节介绍如何手动续订WAF独享型实例。 购买独享型实例后，在实例到期被删除前，您可以随时在WAF控制台进行续费。 操作步骤 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 3. 单击目标实例操作列的“查看产品详情”。 4. 单击“续订”，进入续订页面。 5. 在“续订”操作界面，根据使用需要调整续订周期。 续订“二类节点”区域的独享版实例时，实例绑定的云主机默认需要一起续订。 6. 续订时长设置完成后，在页面下方确认支付费用，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。

使用说明 目前图片处理服务暂不支持客户自助开启，如需使用，请通过提交工单向天翼云客服申请。申请时，请说明具体希望达成如下哪种效果：自适应WEBP、自动瘦身、URL中携带特定参数实现图片处理。 自适应WEBP 自适应WEBP是图片格式转换的一种，开启自适应WEBP功能后，用户请求URL中无需携带相关参数，CDN节点可将Accept请求头值中包括image/webp的图片格式自动转换为WEBP，以获得更好的压缩率及图像质量。 注意 开启自适应WEBP功能后，原始图片缓存会失效，短时间内文件命中率会下降，一段时间后会自行恢复，请避免在业务高峰期开启该功能。 自动瘦身 自动瘦身是图片质量转换的一种，开启自动瘦身后，用户请求URL中无需携带相关参数，CDN节点可按照预先设定的相对质量比例自动完成图片质量转换，以对图片进行压缩，节省用户访问流量。 注意 如需配置自动瘦身功能，请在工单中注明自动瘦身比例。 URL中携带特定参数实现图片处理 开通图片处理功能后，用户可通过在URL中携带特定参数实现灵活的图片处理能力。 图片处理请求URL格式为： 具体字段含义如下： 参数 说明 www.ctyun.cn 在天翼云加速的CDN域名。 a.jpg 需要处理的图片名称。 action 图片处理的固定参数名。 key1:value1 图片处理的具体参数，例如：format:bmp，则表示对该图片进行格式转换动作，将a.jpg转换为bmp格式。 key2:value2 图片处理的具体参数2，支持对同个图片做多个处理动作。 1.存在多个处理参数时，getinfo优先级最高，如有该参数，其他参数忽略无效。 2.存在多个处理参数，且不包括getinfo时，format格式转换参数将作为最后动作来处理，其他处理参数将按参数携带的先后顺序依次进行处理。 示例： 处理效果为：对a.jpg先将其绝对质量转换为80，再对其进行居中宽400高200的裁剪，最后将其转换为bmp图片格式。 目前支持的图片处理操作及对应参数如下： 图片处理功能 参数 说明 格式转换 format 对图片格式进行转换。 质量转换 quality 对图片质量进行转换，支持绝对质量转换和相对质量转换。 图片裁剪 cut 对图片进行指定位置的裁剪。 图片缩放 resize 对图片进行缩放。 图片旋转 rotate 对图片进行旋转。 图片色彩 brightnesscontrast 对图片的亮度和对比度进行调整。 添加水印 textwatermarks、imagewatermarks 添加文字水印或图片水印。 图片置灰 grayscale 对图片进行置灰。 渐进式加载 progressive 将图片转换为渐进式加载格式。 获取图片信息 getinfo 获取图片信息，包括图片的大小、宽、高、图片格式、图片质量和图片方向信息。

本文解释域名解析相关的概念。 什么是域名解析？ 域名解析是指将域名映射为服务器IP的过程。互联网上用户访问某个网站时，通常要定位到具体的目标服务器。由于目标服务器均为IP，不便于用户记忆，也不易调整和维护，因此引入域名概念，用户仅记住域名即可。而由域名映射到IP的过程，就是域名解析。例如www.ctyun.cn就是一个域名，它对应一个IP地址。有了域名，网站调整服务器ip，只需要调整域名解析记录即可。 为什么要解析域名？ 为了确保外部用户能通过域名访问到正确的服务器IP地址，从而访问到正确的网站内容，需要网站先完成域名解析。 如何进行域名解析？ 中国内地的域名注册商基本都有自己的DNS服务器。客户可以在自己的域名注册商完成域名解析配置。 域名解析中的几种常见记录类型有哪些？ CNAME记录：CNAME记录即别名记录，一个域名在具体某个地区一般只会有一个CNAME记录，代表该域名在该地区的解析权将授权给另一个域名。CDN加速原理中，即是通过CNAME记录，完成客户域名到CDN厂商域名的解析授权过程，详情请见：天翼云CDN加速简介 中的“加速原理”部分。 A记录：A (Address) 记录是用来指定域名对应的IP地址记录，是最常见的域名解析记录类型，一个域名可以有多个A记录，即指向多个服务器IP。如果网站未进行CDN加速，则其域名解析结果直接为A记录。 CNAME记录与A记录的关系：CNAME记录只是一个别名的过程记录，最终仍需要通过A记录解析到具体服务器IP，因此用户访问CDN加速后的域名，往往要先经过CNAME记录再到A记录后，才能完成整个DNS解析过程。使用CNAME后，如果网站未进行CDN加速，也可以通过将多个域名均CNAME至同个地址，调整服务器IP时只需调整该CNAME域名A记录即可，运营维护会更为简单方便；如果网站有通过CNAME将域名解析授权至CDN，则可以起到隐藏真实网站IP（即CDN的源站）的作用，更好的保护源站不受外部攻击。

本章节主要介绍如何在已有物理机实例中手动安装Agent,实现主机监控。 您需要完成以下步骤： 1.添加域名解析地址：在物理机“/etc/resolv.conf”文件中添加各区域域名解析地址。 2.修改子网DNS地址：按物理机所在区域修改子网的DNS服务器地址。 3.配置安全组：用于下载Telescope包、发送指标数据、采集日志等。 此三步请参见内网DNS与安全组配置。 4.安装Agent：手动为物理机安装Agent，实现主机监控。 此步请参见安装Agent（Linux）。

本章介绍天翼云文件系统子目录权限隔离操作方法。 应用场景 弹性文件服务支持大规模共享访问，通过将文件系统在弹性云主机上挂载后可划分多个子目录并分配给不同用户，设置子目录读写权限，可实现多用户之间的访问权限隔离。客户可根据业务需求对子目录或者子目录下的文件进行权限访问控制，适用于安全级别较高的应用场景。 前提条件 购买一台弹性云主机，具体操作请参考创建弹性云主机。 购买一个文件系统，具体操作请参考创建文件系统。 操作步骤 步骤一：使用root帐号登录弹性云主机并添加两个普通用户帐号 1. 以root帐号登录弹性云主机，如何登录请参考登录Linux弹性云主机。 2. 添加一个普通用户帐号，如账号sfsuser1。执行以下命令: useradd sfsuser1 passwd sfsuser1 根据回显提示修改普通用户sfsuser1的密码，创建成功后会自动创建账号sfsuser1的主目录“/home/sfsuser1”。 3. 重复第2步继续添加账号sfsuser2。 步骤二：挂载文件系统至弹性云主机 将文件系统挂载到弹性云主机上的一个本地路径上，具体操作请参考使用弹性云主机挂载文件系统，如已经挂载可忽略此步骤。

客户端使用Windows操作系统 如果您本地使用Windows操作系统登录Linux弹性云主机，可以按照下面方式登录弹性云主机： 我们以PuTTY为例介绍如何登录弹性云主机。使用PuTTY登录弹性云主机前，需要先将私钥文件转化为.ppk格式。 1. 在以下路径中下载PuTTY和PuTTYgen。PuTTYgen是密钥生成器，用于创建密钥对，生成一对公钥和私钥供PuTTY使用； PuTTY下载 2. 运行PuTTYgen； 3. 在“Actions”区域，单击“Load”，并导入创建弹性云主机时保存的私钥文件； 导入时注意确保导入的格式要求为“All files ( . )”； 4. 单击“Save private key”； 5. 保存转化后的私钥到本地。例如：sshexample.ppk； 6. 双击“PUTTY.EXE”，打开“PuTTY Configuration”； 7. 选择“Connection > data”，在Autologin username处输入镜像的用户名； 8. 选择“Connection > SSH > Auth”，在最下面一个配置项“Private key file for authentication”中，单击“Browse”，选择步骤5转化完成的密钥； 9. 单击“Session”，在“Host Name (or IP address)”下的输入框中输入弹性云主机的弹性IP地址； 10. 单击“Open”。登录弹性云主机。 客户端使用Linux操作系统 如果您本地使用Linux操作系统登录Linux弹性云主机，可以按照下面方式登录。下面步骤以私钥文件是sshexampl.pem为例进行介绍。 1. 在您的linux计算机的命令行中执行如下命令，变更权限。下列命令的path为密钥文件的存放路径； plaintext chmod 400 /path/sshexampl 2. 执行如下命令，登录云主机； plaintext ssh i /path/sshexampl 默认用户名@云主机 3. 假设Linux云主机的默认用户名是linux，则命令如下： plaintext ssh i /path/sshexampl linux@弹性IP地址 path为密钥文件的存放路径； 弹性IP地址为云主机绑定的弹性IP地址。 密码方式登录

本文对创建筛选条件的操作步骤进行说明。 使用场景 筛选条件是用于指定镜像的网络流量的规则合集，您可以设置筛选条件来镜像符合条件的流量。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像筛选条件”选项。 5. 在筛选条件页面，点击右上角的“创建筛选条件”按钮。 6. 在创建筛选条件弹窗中，填写筛选条件的名称和描述。 7. 单击“确定”创建完成。 注意 筛选条件下无筛选规则时默认不镜像流量。

本文对删除筛选条件的操作步骤进行说明。 使用场景 当您的筛选条件已不满足业务需求时，您可以选择删除，删除前请确保筛选条件已和镜像会话解除关联关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成筛选条件的创建，且解除筛选条件与镜像会话的绑定关系。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像筛选条件”选项。 5. 在筛选条件页面，找到需要删除的筛选条件，然后在操作列单击“删除”按钮。

本章节主要介绍天翼云物理机到期后的影响和使用建议。 在物理机资源将要到期时，天翼云会以邮件的方式通知客户，如用户需继续使用，则可联系客户经理执行续费操作或自行在控制台进行续订。如果用户未执行续费操作，天翼云将发送资源超期提醒邮件，并在之后释放物理机资源。 到期后影响 当物理机资源到期而未续订时，自动进入保留期，且资源被冻结，您不能访问和使用该资源，例如无法下载物理机中的数据。并会发送短信及邮件提醒您。建议您尽快进行手动续订，如果保留期内不续订，物理机资源将被释放，同一订单内订购的资源也会被释放（弹性IP、云硬盘等）。 已经到期的包月物理机允许续订、不能发起退订，未到期的包月物理机可以退订。 资源到期冻结时：资源将被限制访问和使用，会导致您的业务中断。 资源续订解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。 提醒/通知规则 提醒及通知方式：邮件、短信、站内信。 充值成功通知：当用户充值成功后，会发送1次充值成功通知。 资源到期通知：物理机到期前7天、3天以及到期当天，会分别发送到期提醒。 资源释放通知：物理机到期后3天、7天，会分别发送释放提醒。 资源销毁通知：当用户的物理机销毁后，会向用户发送1次销毁通知。

参数 参数类型 说明 示例 下级对象 availabilityZones Array of Strings 子网所在的可用区名称 availableIpCount Integer 子网内可用 IPv4 数目 1 cidr String 子网网段，掩码范围为 1628 位 createdAt String 创建时间 description String 描述 dnsList Array of Strings DNS 服务器地址:默认为空；必须为正确的 IPv4 格式；重新触发 DHCP 后生效，最大数组长度为 4 end String 子网网段结束 IP gatewayIp String 子网网关 ipv6Cidr String 子网 Ipv6 网段，掩码范围为 1628 位 ipv6End String 子网内可用的结束 IPv6 地址 ipv6GatewayIp String v6 网关地址 ipv6Start String 子网内可用的起始 IPv6 地址 name String 名称 networkAclId String 子网 acl ID ntpList Array of Strings NTP 服务器地址: 默认为空，必须为正确的域名或 IPv4 格式；重新触发 DHCP 后生效，最大数组长度为 4 routeTableId String 子网路由表 ID start String 子网网段起始 IP subnetId String 子网ID type Integer 子网类型 :当前仅支持：0（普通子网） 0 updatedAt String 更新时间 vpcId String VpcId

方式二：使用Xshell登录 1. 打开Xshell工具。 2. 通过弹性IP，执行以下命令，SSH远程连接GPU云主机。 ssh 用户名@弹性IP 示例：ssh root@192.168.0.1 3. （可选）如果系统弹窗提示“SSH安全告警”，此时需单击“接受并保存”。 4. 选择“Public Key”，并单击“用户密钥(K)”栏的“浏览”。 5. 在“用户密钥”窗口中，单击“导入”。 6. 选择本地保存的密钥文件，并单击“打开”。 7. 单击“确定”，登录GPU云主机。 客户端使用Linux操作系统 如果您本地使用Linux操作系统登录Linux GPU云主机，可以按照下面方式登录。下面以私钥文件是kp123.pem为例进行介绍。 1. 在您的linux计算机的命令行中执行如下命令，变更权限。下列命令的path为密钥文件的存放路径。 chmod 400 /path/kp123 2. 执行如下命令，登录GPU云主机。 ssh i /path/kp123 默认用户名@云主机 假设Linux云主机的默认用户名是linux，则命令如下： ssh i /path/kp123 linux@弹性IP地址 path为密钥文件的存放路径。 弹性IP地址为GPU云主机绑定的弹性IP地址。

参数 类型 说明 ip string 节点ip地址 status string ip状态，normal（正常），abnormal（非正常），noctyun（非天翼云ip）

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见“支持云审计的CFW操作列表”。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见“支持云审计的CFW操作列表”。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本文带您了解该实践的应用场景、涉及的云产品、方案架构以及方案优势。 应用场景 在企业IDC上云的过程中，用户云下IDC往往面临着复杂的混合云架构，包括云下IDC的生产、测试环境，以及云上天翼云的生产、测试环境，以及云上其他云的生产、测试环境等。 为了实现对云上业务功能的访问，通常需要通过云专线或VPN连接等方式建立云下IDC与云上的连接。然而，即使建立了专线或VPN连接，仍可能遇到云上资源和服务无法顺利访问的问题。 云下IDC希望能够通过内网的方式访问云上的VPC1和VPC2内的资源，如用户私有服务弹性负载均衡ELB和弹性云主机（CTECS），以及其他云服务如系统配置的对象存储服务ZOS和内网DNS，而不依赖于公网访问。 方案架构 依据用户业务需求分析，本方案旨在通过结合云专线（Direct Connect）和VPC终端节点（VPC Endpoint）服务，实现云下用户数据中心与天翼云上的互通，并在不借助公网的情况下实现对云上VPC内资源和其他云服务的访问。 通过云专线，建立用户本地数据中心IDC与云上VPC1之间的连接。在VPC1中设置终端节点1，使IDC能够通过内网访问VPC1内的云资源内网负载均衡ELB。 在VPC1中设置终端节点2，并配置VPC2之间的路由，使IDC能够跨VPC访问VPC2内的云资源弹性云主机（CTECS）。 在VPC1中设置终端节点3和终端节点4，分别配置访问云服务内网DNS和对象存储ZOS，使IDC能够通过内网访问这些云服务。

本节介绍了搜索云主机的操作场景、搜索语法、操作步骤。 操作场景 购买弹性云主机后，可以通过管理控制台提供的搜索功能快速检索当前区域的云主机资源。本节操作介绍搜索云主机的操作步骤。当前支持使用名称、云主机ID、状态、私有IP地址、企业项目、标签以上属性进行搜索。 搜索语法 弹性云主机支持多种类型的搜索，详细的说明和示例请参考下表。 说明： 部分属性支持系统自动匹配属性搜索，但必须输入完整的属性值。 选择属性搜索时，以下属性仅支持精确搜索，需输入完整的属性值：云主机ID。 私有IP地址的网段需在以下范围内：10.0.0.0/824 ，172.16.0.0/1224，192.168.0.0/1624 。 按标签过滤时可选择键或键值对搜索。支持设置多个标签，如果键不同，则标签按“与”的关系搜索。如果键相同，值不同，则标签按“与”的关系搜索。 表 搜索语法 搜索类型 支持的属性 输入格式 示例 说明 属性值自动匹配属性 云主机ID、私有IP地址、标签（标签不支持输入多值。） 完整的属性值 云主机ID：4a79dfecf0d841819bef495b8b7220e1,私有IP地址：192.168.99.231标签：ab 使用关键字搜索时，不需要选择属性，仅输入完整的属性值，系统自动匹配属性类型进行搜索。 单属性 控制台支持的所有属性 属性：属性值 状态：运行中 选择属性后，输入/选择对应的属性信息。以下属性仅支持精确搜索，需输入完整的属性值：云主机ID。 多属性 控制台支持的所有属性 属性：取值&属性：取值 状态：运行中 名称：ecsc 支持选择多个不同的属性，搜索时多个属性为“与”的关系。以下属性仅支持精确搜索，需输入完整的属性值：云主机ID。

网络配置 9.设置“网络”：在下拉列表中选择可用的虚拟私有云、子网，并设置私有IP地址的分配方式。 10.添加“扩展网卡”：可选配置。您可以添加多张扩展网卡，并指定网卡（包括主网卡）的IP地址。 11.设置“安全组”：在下拉列表中选择可用的安全组，或新建安全组使用。 12.设置“弹性公网IP”。弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。 高级配置 13.点击“下一步：高级配置” 14.设置“云主机名称”。名称可自定义，但需符合命名规则：只能由中文字符、英文字母、数字及“”、“”、“.”组成。 15.设置“登录凭证”。 16.设置云主机组。可选配置，云主机组内的弹性云主机将遵循反亲和策略，尽量分散地创建在不同主机上。 17.配置“高级配置”：如需使用“高级配置”中的功能，请勾选“现在配置”。否则，请勿勾选。 确认配置 18.点击“下一步：确认配置”。 19.在“确认配置”页面，查看云主机配置详情。 20.企业项目。该参数针对企业用户使用。如需使用该功能，请联系客服申请开通。 21.设置您购买云主机的时长和数量。 22.如果您确认配置无误，单击“立即购买”。

您可使用开源CloudEvents Java SDK发布事件。 前提条件 1.您已下载IntelliJ IDEA等Java研发IDE。 2.在pom.xml中加入依赖。 plaintext io.cloudevents cloudeventscore ${cloudevents.version} io.cloudevents cloudeventshttpvertx ${cloudevents.version} io.cloudevents cloudeventsapi ${cloudevents.version} io.cloudevents cloudeventsjsonjackson ${cloudevents.version} 注：cloudevents.version使用最新里程碑版本2.0.0milestone1。 发布事件 结构化示例代码如下： java import java.net.URI; import java.util.UUID; import io.cloudevents.CloudEvent; import io.cloudevents.core.builder.CloudEventBuilder; import io.cloudevents.http.vertx.VertxMessageFactory; import io.cloudevents.jackson.JsonFormat; import io.vertx.core.Vertx; import io.vertx.core.http.HttpClient; import io.vertx.core.http.HttpClientRequest; public class SampleStructuredHTTPClient { // 填写天翼云账号的aksk，确保该账号已授权事件总线的发布权限 private static String accessKeyId System.getenv("CTYUNACCESSKEYID"); private static String accessKeySecret System.getenv("CTYUNACCESSKEYSECRET"); // 在事件总线控制台获取服务接入地址 private static String endpoint " + System.getenv("CTYUNEVENTBRIDGESERVICEHOST") + "/api/v1/putEvents"; public static void main(String[] args) throws Exception { final Vertx vertx Vertx.vertx(); final HttpClient httpClient vertx.createHttpClient(); // 创建一个事件模板来设置基本的CloudEvent属性。 CloudEventBuilder eventTemplate CloudEventBuilder.v1() .withSource(URI.create(" .withType("vertx.example"); // 创建HTTP请求。 final HttpClientRequest request httpClient.postAbs(endpoint) .handler(response > { System.out.println(response.statusMessage()); }) .exceptionHandler(System.err::println); String id UUID.randomUUID() .toString(); String data "{"name":"Eventbridge","number":100}"; // 从模板中创建事件。 final CloudEvent event eventTemplate.newBuilder() .withId(id) .withData("application/json", data.getBytes()) // 确保总线已经创建 .withExtension("ctyuneventbusname", "mybus") .withSource(URI.create(" .withType("vertx.example") .withSubject("ceb:cos:huadong1:1234567:events") .build(); request.putHeader("contenttype", "application/cloudevents+json"); request.putHeader("authorization", "ceb" + ":" + accessKeyId + ":" + SignatureHelper.getSignature(SignatureHelper.getStringToSign(request), accessKeySecret) + ""); VertxMessageFactory.createWriter(request) .writeStructured(event, new JsonFormat()); } } 二进制示例代码如下： java import java.net.URI; import java.util.UUID; import io.cloudevents.CloudEvent; import io.cloudevents.core.builder.CloudEventBuilder; import io.cloudevents.http.vertx.VertxMessageFactory; import io.vertx.core.Vertx; import io.vertx.core.http.HttpClient; import io.vertx.core.http.HttpClientRequest; public class SampleBinaryHTTPClient{ // 填写天翼云账号的aksk，确保该账号已授权事件总线的发布权限 private static String accessKeyId System.getenv("CTYUNACCESSKEYID"); private static String accessKeySecret System.getenv("CTYUNACCESSKEYSECRET"); // 在事件总线控制台获取服务接入地址 private static String endpoint " + System.getenv("CTYUNEVENTBRIDGESERVICEHOST"); + "/api/v1/putEvents"; public static void main(String[] args) throws Exception { final Vertx vertx Vertx.vertx(); final HttpClient httpClient vertx.createHttpClient(); // 创建一个事件模板来设置基本的CloudEvent属性。 CloudEventBuilder eventTemplate CloudEventBuilder.v1() .withSource(URI.create(" .withType("vertx.example"); // 创建HTTP请求。 final HttpClientRequest request httpClient.postAbs(endpoint) .handler(response > { System.out.println(response.toString()); }) .exceptionHandler(e > { System.out.println(e); }); String id UUID.randomUUID() .toString(); String data "{"name":"Eventbridge","number":100}"; // 从模板中创建事件。 final CloudEvent event eventTemplate.newBuilder() .withId(id) .withData("application/json", data.getBytes()) // 确保总线已经创建 .withExtension("ctyuneventbusname", "mybus") .withSource(URI.create(" .withType("vertx.example") .withSubject("ceb:myapp:huadong1:1234567:events") .build(); request.putHeader("contenttype", "application/json"); request.putHeader("authorization", "ceb" + ":" + accessKeyId + ":" + SignatureHelper.getSignature(SignatureHelper.getStringToSign(request), accessKeySecret) + ""); VertxMessageFactory.createWriter(request) .writeBinary(event); } }

弹性IP（Elastic IP Address，简称EIP）是可以独立申请的公网 IP 地址，将弹性IP 地址和VPC中的各项云资源绑定和解绑，可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。弹性IP产品既包含公网IP地址，也可以提供公网带宽服务，与其他带宽产品组合使用，可以达到访问公网与节省成本的目的。 弹性IP需与绑定的云资源在同一个区域进行使用，不允许跨区域（Region）使用弹性IP。 更多内容请参见弹性IP产品介绍。