用户手册 以下适用于北京/内蒙1、2/上海1、2、3/广州1、2、3/厦门1、2/成都2/西安/长沙/南京/福州2/沈阳/武汉节点 天翼云云产品重要操作的短信验证使用指南（1）.pdf 以下适用于贵州/福州/杭州/深圳/广州4/苏州/郑州/青岛/西安2/上海4/芜湖/南宁/长沙2/南昌/成都3/乌鲁木齐/昆明/海口/重庆/武汉2/兰州/西宁/太原/石家庄/中卫/长春/天津/北京2/哈尔滨节点 天翼云云产品重要操作的短信验证使用指南（2）.pdf

四、工作流集成 云工作流实现了天翼云在OpenAPI门户的几乎所有产品的API集成。在云工作流中编排使用天翼云产品OpenAPI主要有两种集成方式：普通集成和优化集成。 普通集成 普通集成是指允许云工作流直接调用云产品的OpenAPI服务接口，不对这些服务接口做任何包装处理和实现优化，共计可使用多达上万条API服务接口。更多信息，请参见普通集成。 优化集成 优化集成是指对部分高频使用的云产品服务接口进行包装和优化处理，简化接口使用难度，方便用户在云工作流中编排使用。更多信息，请参见集成简介。 在云工作流下可以按照三种集成模式去进行调用集成其他云服务，只有在标准工作流下可以选择不同的集成模式去调用云服务， 快速工作流只能是请求响应模式去调用其他云服务： 请求响应模式（RequestComplete） 调用其他云服务后， 同步等待响应返回后方可进行下一个执行状态。 等待系统回调（WaitForSystemCallback） 指定等待系统回调后， 工作流会进入到TaskSubmitted状态， 工作流系统自身会查询到目标调用集成服务的执行状态（成功或者失败）从而将工作流从TaskSubmitted等待状态转换为TaskSuccess状态或者TaskFailed状态， 继续工作流执行执行下一个状态。 等待任务令牌（WaitForTaskToken） 指定等待任务令牌后， 工作流会进入到TaskSubmitted状态。用户可通过OpenAPI在用户自定义的业务逻辑中回调通知工作流当前任务的执行结果（成功或者失败）从而工作流从TaskSubmitted等待状态转换为TaskSuccess状态或者TaskFailed状态， 继续工作流执行下一个状态。可以理解的一个场景是业务审批场景， 在业务审批节点通过或者拒绝后， 审批流程继续执行或者终止执行。

本文介绍如何查看节点扫描结果。 扫描完成后，在节点列表中可以查看扫描结果。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面。 3. 节点状态列表上方，支持按照“节点名称”、“节点状态”、“防护状态”、“软件版本”、“软件名称”等进行筛选查询。系统默认筛选出节点类型为防御容器的节点。 节点列表参数说明如下： 参数 说明 节点名称 节点的名称。 IPv4地址 节点的IPv4地址。 IPv6地址 节点的IPv6地址。 集群 节点所属集群的名称。 系统类型 节点的操作系统类型。 节点状态 指节点上防御容器的在线状态，分为已连接、未连接和已暂停三种状态。 节点类型 节点类型根据节点上运行的容器分为防御容器和扫描容器。 扫描状态 扫描状态分为待扫描、扫描中、已扫描、扫描失败这几种状态。 心跳时间 最近一次检查节点在线状态的时间。

使用前须知。 微服务引擎（Cloud Service Engine，CSE），是用于微服务应用的云中间件，支持云贡献到Apache社区的注册配置中心Servicecomb引擎、开源增强的注册配置中心Nacos引擎。用户可结合其他云服务，快速构建云原生微服务体系，实现微服务应用的快速开发和高可用运维。 使用条件 已注册账号并登录。 当前登录账号拥有创建微服务引擎的权限。 登录微服务引擎控制台 1. 登录天翼云控制台。 2. 单击，选择区域。 3. 单击左上角，在服务列表选择“微服务引擎CSE”，进入微服务引擎控制台。 说明 当您使用从ServiceStage发放的微服务引擎实例时，如想在CSE中发放新实例，需要对CSE云服务进行授权。 当您没有授予任何权限时，由于CSE使用依赖VPC、DNS云服务，因此需要先创建云服务委托，将操作权限委托给CSE。 授权后，CSE将在统一身份认证服务为您创建名为cseadmintrust的委托，授权成功后，可以进入服务委托列表查看。该操作需要有Security Administrator角色权限，请到“统一身份认证”服务中确认。 如不授权，将影响微服务引擎部分功能的正常使用，包括：创建引擎、升级引擎、开启/关闭安全认证。

本文为您介绍了短信服务的使用流程。 前提条件 注册并登录天翼云账号。注册链接，请参见账号注册。 确保账号已完成实名认证，实名认证的类型包括个人认证和企业认证，个人认证表示账号持有者是个人；企业认证表示账号持有者是企业或政府部门。目前仅支持企业用户使用。更多信息，请参见认证。 开通短信服务 请联系当地省公司客户经理通过CRM系统进行开通订购或通过点击申请开通，填写需求单，相应客服经理会联系您并为您开通服务。 资质申请 在创建短信之前需要先创建资质，方可创建短信内容。 添加资质是为了满足工信部和基础运营商对于短信发送方实名制的管控要求。 创建短信内容 一个完整的短信包括短信签名和短信模板。短信签名是短信发送者的署名，表示发送方的身份；短信模板包含短信发送内容、场景、变量信息。 使用短信签名和短信模板前必须提交短信服务审核，审核通过的签名和模板才能使用在短信中。 短信包括验证码短信、短信通知。下表以验证码为例： 名称 示例 短信签名 天翼云 短信模板 您正在申请手机注册，验证码为：${code}，5分钟内有效！ 完整的短信【短信签名】+短信模板 【天翼云】您正在申请手机注册，验证码为：{code}，5分钟内有效！ 说明： {code}为模板变量。 1. 申请资质。 1)登录云通信控制台。 2)在左侧导航栏，单击资质管理 页签，在页面左侧单击 创建资质 。 3)填写资质申请信息，等待审核。具体信息，请参见添加资质。 2. 申请短信签名。 1)登录云通信控制台。 2)在左侧导航栏，单击签名管理 页签，在页面左侧单击 创建签名 。 3)填写签名申请信息，等待审核。具体信息，请参见添加签名。 3. 申请短信模板。 1)登录云通信控制台。 2)在左侧导航栏，单击模板管理 页签，在页面左侧单击 创建模板 。 3)填写模板申请信息，等待审核。具体信息，请参见创建模板。 说明： 您在申请短信签名和模板时，需要遵循相关的规范要求，保证签名或模板能快速通过审核。具体说明，请参见签名审核和模板审核。

本节主要介绍自定义策略。 如果系统预置的云数据库GeminiDB权限，不满足您的授权要求，可以创建自定义策略。 目前天翼云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 本章为您介绍常用的云数据库GeminiDB自定义策略样例。 自定义策略样例 示例1：授权用户创建云数据库 GeminiDB实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "nosql:instance:create" ] } ] } 示例2：拒绝用户删除云数据库 GeminiDB数据库实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循 Deny优先原则 。 如果您给用户授予GaussDB NoSQLFullAccess的系统策略，但不希望用户拥有GaussDB NoSQLFullAccess中定义的删除云数据库 GeminiDB实例权限，您可以创建一条拒绝删除云数据库 GeminiDB实例的自定义策略，然后同时将GaussDB NoSQLFullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对云数据库 GeminiDB执行除了删除云数据库 GeminiDB实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny" "Action": [ "nosql:instance:delete" ], } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "nosql:instance:create", "nosql:instance:rename", "nosql:instance:delete", "vpc:publicIps:list", "vpc:publicIps:update" ], "Effect": "Allow" } ] }

原因 解决方案 后端服务地址错误。 在编辑API中修改后端服务地址。如果是域名，请确认域名能正确解析到后端服务IP地址。 后端超时时间设置不合理。当后端服务没有在设置的后端超时时间内返回时，API网关提示后端服务调用失败。 在编辑API中增加后端超时时间。 如果“后端服务地址”在ECS（Elastic Cloud Server），ECS的安全组的出/入方向规则可能拦截了请求。 检查后端服务所在ECS的安全组，确保出/入方向端口规则和协议都设置正确。 请求协议配置错误，如后端服务为HTTP，在API网关配置为HTTPS。 注册的API与后端服务配置相同的协议。

查询安全组 data "ctyunsecuritygroups" "securitygroup" { count local.vpccount vpcid ctyunvpc.vpc[count.index].id } locals { securitygroupids [for idx in range(local.vpccount) : data.ctyunsecuritygroups.securitygroup[idx].securitygroups[0].securitygroupid] } resource "ctyunsecuritygrouprule" "securitygrouprule" { 双重循环：每个安全组 × 每个规则 foreach { for index, pair in setproduct(local.securitygroupids, var.sgrules) : "rule${index}" > { securitygroupid pair[0] rule pair[1] } } securitygroupid each.value.securitygroupid direction each.value.rule.direction protocol each.value.rule.protocol destcidrip each.value.rule.destcidrip range each.value.rule.range action "accept" priority 1 ethertype "ipv4" } output "vpcid" { value ctyunvpc.vpc[].id } output "subnetid" { value ctyunsubnet.subnet[].id } vpcvariables.tf java variable "cidr" { type list(string) } variable "vpcnameprefix" { type string } variable "subnetnameprefix" { type string } variable "sgrules" { type list(object({ range string 端口/端口段 destcidrip string 目标网段 direction string 出方向还是入方向 protocol string 协议 })) default [] } 6. 在资源栈管理中，参考创建资源栈，选择刚才创建的模板，并填写参数触发资源栈的创建。 7. 8. 参考部署资源栈，完成资源栈部署。 9. 部署完成后，您可前往对应资源栈控制台查看资源的创建结果。 可以在资源Tab查看创建的资源 可以在输出Tab查看云主机ID、云主机名称、弹性IP地址、内网地址和密码等信息。 10. 使用完毕，可以点击删除按钮进行删除。

查看防护状态 开通服务后，需要在服务器列表页面确认云主机资产的防护状态，确保所有待防护的云主机已开启防护。 说明 “一类节点”区域的云主机，默认已安装Agent，无需再手动安装。 “二类节点”区域的云主机，接入防护具体操作请参见二类节点资产纳管最佳实践。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 查看列表中的云主机资产，以及云主机的防护状态。 所有待防护的云主机均已在服务器列表页面呈现，且Agent状态为“在线”，防护状态为“高级防护”或“免费防护”，表示已正常开启防护。 系统会定期自动同步服务器资产到服务器列表页面，若有云主机资产未同步，可以手动同步资产，具体操作请参见同步资产。 若Agent状态和防护状态异常，请参考Agent状态异常如何处理进行处理，若仍有问题，可提工单联系技术支持。 若Agent状态为“未激活”，请参考以下步骤安装Agent： 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 点击“安装Agent”，弹出安装Agent窗口，按需选择安装命令。 支持Linux和Windows系统。 支持天翼云主机和天翼云外主机。 4. 根据界面提示，完成安装命令执行。具体操作，请参见安装Agent。

如何在配置文件中配置HBlock的访问地址。 注意 若Kubernetes集群中部署了多套HBlock CSI，需在各自对应的安装路径下，配置HBlock访问地址。多套HBlock CSI可以对接同一HBlock。 HBlock CSI插件通过调用HBlock 的HTTP RESTful API进行存储卷的管理操作，例如创建卷、删除卷、扩容卷等。需要配置插件访问HBlock RESTful API的URL地址和端口。 说明 支持对接多个HBlock，包括：HBlock单机版本、HBlock集群版。 可以按照下列步骤配置HBlock访问地址。 1. 修改配置文件 修改deploy/csipluginconf/csiconfigMap.yaml配置文件，apiEndPointList配置为HBlock HTTP RESTful API地址和端口，storProvider配置为HBlock。 plaintext apiVersion: v1 kind: ConfigMap metadata: name: csipluginstor namespace: @DRIVERNAMESPACE@ data: config.json: [ { "clusterID": "cluster1", "apiEndPointList": [ " " " ], "storProvider": "HBlock", "csiApiTimeout": csiApiTimeout }, { "clusterID": "cluster2", "apiEndPointList": [ " ], "storProvider": "HBlock", "csiApiTimeout": csiApiTimeout }, { "clusterID": "cluster3", "apiEndPointList": [ " " " ], "storProvider": "HBlock", "csiApiTimeout": csiApiTimeout } ] 参数 参数 描述 是否必填 metadata.name ConfigMap资源的资源名称。 取值csipluginstor，不可更改。 是 metadata.namespace 绑定的Kubernetes命名空间。 取值： 如果已经安装 HBlock CSI，命名空间已确定，直接将该字段值修改为对应命名空间值。完成csiconfigMap.yaml文件的修改、保存并应用后，相关配置即可自动生效。 如果还未安装HBlock CSI，此字段取值保持为@DRIVERNAMESPACE@，执行deploy安装脚本时，即可自动替换为对应的命名空间。 是 clusterID 指定HBlock的标识，在csiconfigMap中唯一。 取值：字符串形式，长度范围是1~256，可以包含字母、数字、和短横线（），字母区分大小写。 是 storProvider HBlock产品名称。 取值：HBlock。 是 apiEndPointList HBlock的服务器IP地址及API端口号；或者已经关联了HBlock IP和API端口号的Kubernetes service域名。 是 csiApiTimeout 指定HBlock创建LUN的等待时间，在等待时间内LUN创建失败，会报错，然后重试。 取值：正整数，默认值为480，单位是秒。 注意 建议使用默认值。 否 示例：对接集群版HBlock和单机版HBlock。 plaintext apiVersion: v1 kind: ConfigMap metadata: name: csipluginstor namespace: default data: config.json: [ { "clusterID": "stor1", "apiEndPointList": [ " " " ], "storProvider": "HBlock", "csiApiTimeout": 480 }, { "clusterID": "stor2", "apiEndPointList": [ " ], "storProvider": "HBlock" } ] 2. 应用配置文件。 plaintext [root@server csipluginconf]

对比维度 云硬盘EVS 弹性文件服务SFS 对象存储OBS 极速文件存储SFS Turbo 概念 云硬盘（Elastic Volume Service）可以为云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。 SFS为用户提供一个完全托管的共享文件存储，能够弹性伸缩至PB规模，具备高可用性和持久性，为海量数据、高带宽型应用提供有力支持。适用于多种应用场景，包括HPC、媒体处理、文件共享、内容管理和Web服务等。 对象存储服务（Object Storage Service，OBS）提供海量、安全、高可靠、低成本的数据存储能力，可供用户存储任意类型和大小的数据。适合企业备份/归档、视频点播、视频监控等多种数据存储场景。 SFS Turbo为用户提供一个完全托管的共享文件存储，能够弹性伸缩至320TB规模，具备高可用性和持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。适用于多种应用场景，包括高性能网站、日志存储、压缩解压、DevOps、企业办公、容器应用等。 存储数据的逻辑 存放的是二进制数据，无法直接存放文件，如果需要存放文件，需要先格式化文件系统后使用。 存放的是文件，会以文件和文件夹的层次结构来整理和呈现数据。 存放的是对象，可以直接存放文件，文件会自动产生对应的系统元数据，用户也可以自定义文件的元数据。 存放的是文件，会以文件和文件夹的层次结构来整理和呈现数据。 访问方式 只能在ECS/BMS中挂载使用，不能被操作系统应用直接访问，需要格式化成文件系统进行访问。 在ECS/BMS中通过网络协议挂载使用。需要指定网络地址进行访问，也可以将网络地址映射为本地目录后进行访问。 可以通过互联网或专线访问。需要指定桶地址进行访问，使用的是HTTP和HTTPS等传输协议。 提供标准的文件访问协议NFS（仅支持NFSv3），用户可以将现有应用和工具与SFS Turbo无缝集成。 静态数据卷 支持 支持 支持 支持 动态数据卷 支持 支持 支持 不支持 主要特点 非共享存储，每个云盘只能在单个节点挂载。 共享存储，可提供高性能、高吞吐存储服务。 共享存储，用户态文件系统。 高性能、高带宽、共享存储。 应用场景 HPC高性能计算、企业核心集群应用、企业应用系统和开发测试等。说明高性能计算：主要是高速率、高IOPS的需求，用于作为高性能存储，比如工业设计、能源勘探等。 HPC高性能计算、媒体处理、内容管理和Web服务、大数据和分析应用程序等。说明高性能计算：主要是高带宽的需求，用于共享文件存储，比如基因测序、图片渲染等。 大数据分析、静态网站托管、在线视频点播、基因测序、智能视频监控、备份归档、企业云盘（网盘）等。 高性能网站、日志存储、DevOps、企业办公等。 容量 TB级别 PB级别 EB级别 TB级别 时延 1~2ms 3~20ms 10ms 1~2ms IOPS/TPS 单盘33K 2K 千万级 100K 带宽 MB/s级别 GB/s级别 TB/s级别 GB/s级别

工作原理 天翼云资源池，针对四层的TCP请求（TCP监听器），可以通过下述两种方式获取客户端源IP： 1. 在后端主机内配置TOA插件获取客户端的真实源IP地址。TOA是操作系统的内核模块，需要在ELB后端主机中安装TOA插件，以实现后端主机可获取客户端真实源IP地址的目的。具体操作参考——操作步骤（TOA模式）。 2. 在后端主机组上打开“获取客户端真实源IP”（该功能不支持平滑开启，切换到ProxyProtocol需要业务停服升级，请谨慎配置）开关，并在后端主机里开启Proxy Protocol后获取到客户端真实源IP。具体操作参考——操作步骤（Proxy Protocol模式）。该功能具体支持情况请以控制台显示为准。 说明 “获取客户端真实源IP”需要代理服务器和后端主机都支持该协议才能正常使用。如果后端主机不具备解析Proxy Protocol协议能力，打开特性开关可能会导致后端服务解析异常，从而影响服务可用性。 对于操作步骤（Proxy Protocol模式）实际支持情况以控制台展现为准。 操作步骤 TOA模式 1. 准备编译环境 a. 针对Linux内核版本为3.0以上的操作系统。以Centos环境为例。 b. 安装gcc编译器，执行以下命令： sudo yum install gcc c. 安装make工具，执行以下命令： sudo yum install make d. 安装内核模块开发包，执行以下命令： sudo yum install kerneldeveluname r e. 注意开发包的版本需要与内核版本一致，假如自带源里没有对应的内核开发包，可以到以下链接地址进行下载，地址如下： 以3.10.01160.80.1.0.1.el7.x8664为例，下载后执行以下命令安装： rpm ivh kerneldevel3.10.01160.80.1.0.1.el7.x8664.rpm f. 以下步骤是以Ubuntu、Debian环境为例，进行编译环境准备。 g. 安装gcc编译器，执行以下命令： sudo aptget install gcc h. 安装make工具，执行以下命令： sudo aptget install make i. 安装内核模块开发包，执行以下命令： sudo aptget install linuxheadersuname r 2. 编译内核模块 a. 下载TOA内核模块源代码，点击进入常见TOA下载页面 （获取验证码：t7nv）进行下载。 b. 编译模块。执行以下命令： cd src make c. 编译过程若未提示warning或者error，说明编译成功，检查当前目录下是否已经生成toa.ko文件。 3. 加载内核模块 a. 加载内核模块，执行以下命令： sudo insmod toa.ko b. 验证模块加载情况及内核输出信息，执行以下命令： dmesg grep TOA 假如提示信息中包含“TOA: toa loaded”，则证明内核模块已经加载成功。 说明 当CoreOS在容器中编译完内核模块后，需要将内核模块复制到宿主系统，最后在宿主系统中加载内核模块。另外由于编译内核模块的容器和宿主系统共享/lib/modules目录，可以在容器中将内核模块复制到该目录下，以供宿主系统使用 4. 自动加载内核模块 a. 把加载TOA内核模块的命令加到您的启动脚本中，能够保证TOA内核模块在系统启动时生效。 b. 在自定义的启动脚本中添加加载TOA内核模块的命令。具体步骤可参考以下操作： c. 在“/etc/sysconfig/modules/”目录下新建toa.modules文件。该文件包含了TOA内核模块的加载脚本。toa.modules文件内容，请参考如下示例：

本节介绍了如何查看云数据库GaussDB 的监控指标。 操作场景 云服务平台提供的云监控，可以对数据库的运行状态进行日常监控。您可以通过管理控制台，直观地查看数据库的各项监控指标。您可以查看实例监控。 由于监控数据的获取与传输会花费一定时间，因此，云监控显示的是当前时间5～10分钟前的数据库状态。如果您的数据库刚创建完成，请等待5～10分钟后查看监控数据。 前提条件 数据库正常运行。 故障、删除状态的数据库，无法在云监控中查看其监控指标。当数据库再次启动或恢复后，即可正常查看。 说明 故障24小时的数据库，云监控将默认该数据库不存在，并在监控列表中删除，不再对其进行监控，但告警规则需要用户手动清理。 数据库已正常运行一段时间（约10分钟）。 对于新创建的数据库，需要等待一段时间，才能查看上报的监控数据和监控视图。 查看实例监控 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 在“所有服务”或“服务列表”中选择“管理与监管 > 云监控”，进入“云监控”服务信息页面。 步骤 4 在左侧导航栏选择“云服务监控 > 云数据库 云数据库GaussDB ”。 步骤 5 在云监控页面，单击需要查看监控的实例，可以查看指定实例的监控信息。 云监控支持的性能指标监控时间窗包括：近1小时、近3小时、近12小时、1天、7天。

备份资源账户 因不同CBH系统认证密钥的不同，变更规格后可能导致配置文件导入的资源账户不能正常登录。建议备份资源账户信息，以防变更规格失败造成资源账户信息丢失。 资源账户文件包含资源账户的全部数据信息，包括资源账户名称、账户密码、登录方式、特权账户、关联资源名称、资源地址等信息。 步骤 1 登录云堡垒机系统。 步骤 2 选择“资源 > 资源账户”，单击“导出”。 步骤 3 设置资源账户文件的加密密码，加密导出的资源账户文件。 步骤 4 单击“确定”，即可一键下载全部资源账户信息，保存文件于本地。 备份审计日志 因云堡垒机暂不支持迁移历史审计日志记录，建议在变更规格前备份系统审计日志。 审计日志包括历史会话记录、会话视频、系统登录日志、系统操作日志、改密日志、账户同步日志等。 步骤 1 登录云堡垒机系统。 步骤 2 导出历史会话日志。 1. 选择“审计 > 历史会话”，进入历史会话页面。 2. 选中所有的历史会话，单击“导出”，导出历史会话的全部文本记录，并将其保存于本地。 步骤 3 下载会话视频。 1. 会话视频文件不支持批量生成和下载，需要逐个操作。 2. 选择历史会话对应“操作”列“更多 > 生成视频”。 3. 视频生成后，单击“下载”，将会话视频保存于本地。 步骤 4 导出系统登录日志。 1. 选择 “审计 > 系统日志 > 系统登录日志”，进入系统日志列表页面。 2. 选中所有的登录日志，单击“导出”，导出系统登录日志的全部文本记录，并将其保存于本地。 步骤 5 导出系统操作日志。 1. 选择“审计 > 系统日志 > 系统操作日志”，进入系统操作日志列表页面。 2. 选中所有的操作日志，单击“导出”，导出系统操作日志的全部文本记录，并将其保存于本地。

服务类型 计费项说明 适用的计费模式 计费公式 SSL证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 私有（内网）证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 个人证书 个人证书是由权威CA机构颁发的数字身份证，用于身份认证、数据签名和加密通信等场景。 按个计费 个人证书单价 ×购买数量 × 有效期（购买年份） 证书托管服务 对于天翼云上云产品，实现证书更新后的自动替换能力。 按次计费 托管证书服务单价 × 购买数量 第三方证书部署服务 上传证书一键部署到云产品的服务，将证书部署到一个云产品资源，需要消耗一次部署服务。 按次计费 部署服务单价 × 购买数量 域名监控服务 开启域名监控后，可帮助监测多个站点的HTTPS业务状态，并及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 按次计费 域名监控服务单价 × 购买数量

本节为您介绍物理机到期后的影响及使用建议。 在物理机资源将要到期时，天翼云会通知客户，如客户需继续使用，则可联系客户经理执行续订操作或自行在控制台续订。如果客户未执行续订操作，天翼云将发送资源超期提醒通知，并在之后释放物理机资源。 到期后影响 当物理机资源到期而未续订时，自动进入保留期，且资源被冻结，您不能访问和使用该资源（例如无法下载物理机中的数据），系统会发送短信及邮件提醒您。建议您尽快进行手动续订，如果保留期内不续订，物理机资源将被释放，同一订单内订购的资源也会被释放（弹性IP、云硬盘等）。 已经到期的包月物理机允许续订、不能发起退订，未到期的包月物理机可以退订。 资源到期冻结时：资源将被限制访问和使用，会导致您的业务中断。 资源续订解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。 提醒/通知规则 提醒及通知方式：邮件、短信、站内信。 充值成功通知：当客户充值成功后，会发送1次充值成功通知。 资源到期通知：物理机到期前7天、3天以及到期当天，会分别发送到期提醒。 资源释放通知：物理机到期后3天、7天，会分别发送释放提醒。 资源销毁通知：当客户的物理机销毁后，会向客户发送1次销毁通知。

Web应用防火墙（边缘云版）最终的业务带宽套餐内包含的带宽+带宽扩展的带宽。本文介绍业务带宽的查询和订购。 glmoscodeexplain 如何了解业务所需带宽？ 首先，接入Web应用防火墙（边缘云版）防护总业务带宽需要大于网站日常业务带宽峰值。例如，如果您的网站日常业务带宽为115Mbps，那您需要购买标准版的套餐（包含100Mbps）+20Mbps的带宽扩展或者购买专业版套餐即可满足业务日常需求。 怎么查询您当前的业务带宽？ 您可以登陆天翼云官网，在首页右上角点击“控制中心“在控制中心页面点击安全点击”Web应用防火墙（边缘云版）“跳转至Web应用防火墙（边缘云版）用户控制台； 在用户控制台页面点击“统计分析”“业务分析“根据时间筛选可以查看业务当前使用的带宽峰值数据； 在用户控制台页面点击“计费详情”查看您当前可使用的总的业务带宽峰值套餐带宽峰值+带宽扩展的带宽峰值。 如何购买带宽扩展包？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 备注：带宽扩展包不享受包年折扣。 注意 暂时不支持单独退订带宽扩展包，如果需要单独退订，请

本文主要介绍重定向简介。 在使用静态网站托管功能时，OBS还支持配置重定向请求，即您可以将特定的请求或所有请求实施重定向。 当网站结构调整、网站地址变化或者网站的扩展名发生变化时，用户使用旧的网站地址（比如收藏夹中的地址）访问网站会访问失败，用户只能得到404页面错误信息。此时网站配置了重定向后，让访问这些域名的用户跳转到设定的页面以避免404错误访问。 重定向典型的应用场景包括： 重定向所有请求到另外一个站点。 设定特定的重定向规则，对特定的请求实施重定向。

本节介绍如何在linux云主机中设置允许或禁止用户/IP通过SSH方式连接。 操作场景 出于对云主机系统安全的考虑，需要对操作系统设置用户/IP是否可以通过SSH方式连接，以深度管理云主机登录权限。 操作方法 您可以选择适用您需求的设置方式，实现限制登录的目的。 1. 通过编辑sshd配置文件，可以对指定用户/用户组或IP的登录权限设置。 1）编辑sshd配置文件中为指定用户设置白名单。在 /etc/ssh/sshdconfig 配置文件中添加AllowUsers配置，以下示例中的实际效果为允许用户user通过192.168.8.8的IP地址进行登录。 AllowUsers user@192.168.8.8 2）编辑sshd配置文件中为指定用户设置黑名单。在 /etc/ssh/sshdconfig 配置文件中添加DenyUsers配置，以下示例中的实际效果为禁止用户invaliduser登录。 DenyUsers invaliduser 2. 通过编辑host.allow和host.deny文件，可以对指定IP或IP地址段的登录权限进行设置。通常这两个文件结合设置。 1）编辑host.allow文件，添加 sshd: IP地址或IP地址段，允许指定IP地址或IP地址段进行登录，示例如下： sshd: 192.168.8.8 2）编辑host.deny文件，添加如下内容，禁止所有IP的SSH登录权限： sshd: ALL 两个文件同时设置规则的时候，hosts.allow文件中的规则优先级高于hosts.deny，结合使用可以有针对性地开放SSH登录权限。 因此以上示例的实际效果，云主机将只允许IP地址为192.168.8.8的用户进行SSH登录，其它的IP都会拒绝。 3. 重启sshd服务，使以上修订内容生效。

按地址下载 您可以按照DDS提供的备份文件地址下载手动或自动备份文件，用于本地存储备份或者恢复数据库。 使用须知 通过DDS控制台下载的备份均为全量备份。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航树，单击“备份管理”。 步骤 5 在“备份管理”页面，选择“集群”、“副本集”页签，在需要下载的可用备份上，单击“下载”，进入下载指导页面。 步骤 6 在弹出框中，选择“按地址下载”，单击复制地址，通过下载地址下载备份文件。 选择下载方式 对于DDS，显示当前备份文件在链接有效期内的下载地址。 您可以使用其他下载工具下载备份文件，比如浏览器或迅雷等。 您还可以使用wget命令下载备份文件： wget O FILENAME nocheckcertificate " DOWNLOADURL " 命令中的参数解释如下： FILENAME ：下载成功后的备份文件名称，由于原始文件名称较长，可能会超出客户端文件系统的限制，建议下载备份文件时使用“O”进行重命名。 DOWNLOADURL ：需下载的备份文件所在路径，如果包含特殊字符则需要转义。 步骤 7 备份文件下载成功后，需要通过lz4解压工具解压。 解压命令如下： lz4 d $1 tar xC $2 $1：下载下来的备份文件。 $2：备份文件解压至的目标路径。 步骤 8 您可根据业务需要，在本地进行数据恢复。 详情请参见： 恢复集群备份到本地自建数据库 恢复副本集备份到本地自建数据库

4、完成 同步任务创建完成后，需要手动启动同步任务。 当同步方式为手动时，可通过“执行任务”按钮立即执行同步任务。 管理员查看企业微信同步任务 1、查看同步历史 执行任务后，可查看同步历史。 2、查看同步后用户与组织信息 在用户与组织中，可查看同步过后的机构以及用户信息。 登录验证 1、在使用企业微信用户登录应用访问系统时，由于每个用户池的地址唯一，需先获取应用访问系统地址。 应用访问系统地址：登录AOneId控制台，在用户池设置基础设置中，获取应用访问系统地址。 2、进入应用访问系统地址，选择企业微信登录方式进行登录。

开启了云审计服务后，系统开始记录HSS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 查看HSS的云审计日志 1、登录管理控制台。 2、 单击页面上方的选择“管理与监控 > 云审计服务”，进入云审计服务信息页面。 3、 单击左侧导航树的“事件列表”，进入事件列表信息页面。 4、事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： “事件类型”、“事件来源”、“资源类型”和“筛选类型”。在下拉框中选择查询条件。 "事件类型”选择“管理事件”。 “事件来源”选择“HSS”。 “筛选类型”选择“按事件名称”时，还需选择某个具体的事件名称；选择“按资源ID”时，还需选择或者手动输入某个具体的资源ID；选择“按资源名称”时，还需选择或手动输入某个具体的资源名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 “时间范围”：可在页面右上角选择查询最近1小时、最近1天、最近1周及自定义时间段的操作事件。 5、 单击“查询”，查看对应的操作事件。 6、在需要查看的记录左侧，单击展开该记录的详细信息。 7、在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，显示了该操作事件结构的详细信息。

本节主要介绍怎么申请部署云存储网关。 申请开通 申请开通的操作步骤： 1. 登录天翼云官网。 2. 在首页，单击“产品 ”>“存储 ” >“云存储网关” 。 3. 在“云存储网关”产品详情页，单击“申请公测”，进入“订购云存储网关”页面。 4. 在“订购云存储网关”页面，如实填写相应信息。 等待运维人员联系部署 提交申请开通后，会有天翼云运维人员联系您安装部署事宜。

本实践介绍了跨可用区使用云主机备份的操作步骤,您可按照需要跨可用区迁移主机备份数据。 场景描述 用户可通过云主机备份服务实现整机数据备份与恢复，支持通过主机备份申请新的云主机，快速创建具有同样数据的云主机，可在申请新主机时选择不同可用区，按需进行主机配置，实现主机数据的跨可用区迁移。 当前仅具备多个可用区的地域，例如华东一，支持跨可用区创建新云主机。 方案优势 整机备份可以提供全面的数据备份，快速帮助您搭建相同规格的云主机。 方便用户实现主机数据迁移，完成业务切换，为用户节省了时间和精力，提高操作的简便性和效率。 前提条件 已购买备份存储库，存储库为“可用”状态。 已存在一个备份，并且备份的备份状态为“可用”。 操作步骤 步骤一：创建云主机备份 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择相应的存储库，点击操作列下的“创建备份”。 5. 在弹出的“创建云主机备份”页面，选择需要备份的主机至右侧“已选云主机”列表。 6. 选择“立即备份”，即时完成目标主机备份的创建，点击“下一步”。 7. 跳转至云主机备份资源详情页面，确认资源配置，勾选我已阅读并同意相关协议“《天翼云云主机备份服务协议》”，点击“确认下单”。 8. 查看“备份副本”列表，等待创建的备份副本的状态变为“可用”，即完成备份的创建。

此小节介绍用户登录提示“您的账户已经被锁定,请自助解锁或联系管理员”问题如何处理。 账号密码被锁定主要有以下几种情况： 忘记密码，连续输错N次密码后账号自动锁定。 账号、密码超过有效期，自动锁定。 账号空闲超过阈值未登录系统。 管理员主动锁定。 忘记密码 在云堡垒机实例登录页面点击忘记密码，通过注册邮箱重置密码，解锁账号。 注意 忘记密码自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击忘记密码。 2. 输入用户名、邮箱等信息，验证用户身份。 3. 输入新登录密码，点击确定后，密码重置成功。 密码过期锁定 在云堡垒机实例登录页面点击自助解锁，通过注册邮箱解锁账号。 注意 密码过期自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击自助解锁链接。 2. 进入自助解锁功能后，输入用户名、邮箱和动态验证码，验证用户身份。 3. 输入更新后的密码，注意输入密码需要符合密码安全策略，点击确认。 4. 解锁成功。 其他原因账号被锁定 联系管理员解锁。管理员登入云堡垒机管理后台，在账号管理中可解锁用户账号、更改密码。

配置安全组白名单 在控制台点击实例所在安全组，入方向规则点击添加规则，在弹出的填写框内的端口处填写“9600”，选择需要配置的策略为IPv4或IPv6，在源地址下方的IP地址填写框中填写需要访问设备的出口公网IP地址，点击确定保存。 成功后会在安全组增加对应规则，此时可以通过绑定的公网IP地址端口访问对应对象。 通过公网IP地址接入实例 公网访问配置完成后，实例将会获得一个“公网访问”的IP地址，用户可以通过公网IP地址和端口接入实例。 Logstash可以通过Curl命令来获取相应状态。 例如： curl ip:9600?pretty 可以获取Logstash的简要信息并验证网络连通性。 Logstash接入公网一般用于迁移外部Elasticsearch、OpenSearch等实例的场景中，需要在Logstash实例的管道配置中将输入部分的集群地址配置为实际的公网地址。

天翼云为您提供企业中心服务协议，请您点击查看。 企业中心服务协议

本文对停止镜像会话的操作步骤进行说明。 使用场景 当您的镜像会话启动成功后，您需要终止流量的复制时，可选择停止镜像会话。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成镜像会话的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像镜像会话”选项。 5. 在镜像会话页面，选择需要停止的镜像会话。 批量停止：选择需要停止的镜像会话，然后单击会话列表左上方的“停止”按钮，支持批量停止会话。 单条停止：选择需要停止的镜像会话，然后单击该会话操作列的“停止”按钮，支持单条停止会话。 6. 点击“停止”按钮后需二次确认，确认是否需要停止目标镜像会话。 注意 停止镜像会话将会终止您的镜像业务，请谨慎操作！

本章节介绍应用服务网格CSM产品优势 开源增强 100% 兼容istio服务网格，并在开源基础上做了功能增强，提供了丰富的流量治理和安全管控能力；无缝对接天翼云容器引擎，支持多集群统一治理。 流量治理 支持基于istio CRD资源的流量治理；基于开源扩展了本地限流功能以及流量打标和全链路灰度能力。 安全 一键开启mTLS安全链路，支持丰富的请求认证和授权策略；一键集成外部授权服务和OPA策略引擎，提供更加丰富和灵活的安全管控策略。 无侵入 提供基于webhook的sidecar注入能力，sidecar自动拦截业务流量实现丰富的服务治理能力，无需修改任何业务代码。 优化能力 具备Sidecar资源定义、服务发现范围以及自适应配置分发能力，满足多样的网格优化需求。

告警记录可以展示近30天所有告警规则的状态变化，用户可以统一、方便地回溯和查看告警记录。 告警记录可以展示近30天所有告警规则的状态变化，用户可以统一、方便地回溯和查看告警记录。 当出现告警时，可以参考本章节查看具体云资源的告警记录详情。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击“告警 > 告警记录”，进入“告警记录”界面。 在告警记录页面，可查看近7天所有告警规则的状态变化。 说明 在“告警记录”列表右上角可选择日历，查看近30天内的任意时间段内的告警记录。 在“告警记录”列表右上角可选择查看“所有状态”、“告警级别”、“所有资源类型”、“告警名称”的历史告警。 4. 单击待查看的告警规则名称，进入告警规则详情页面，页面下方呈现了该告警规则近30天内的“告警记录”列表。 在告警记录列表中，用户可查看对应时间内资源是否有异常并进行相应处理。 说明 正常状况下，由于告警需要计算触发，告警产生时间可能略晚于最新的数据触发时间几秒。 如果已有监控数据，创建或修改告警规则，导致触发告警，告警产生时间以触发告警的操作时间（创建告警规则或修改告警规则的时间）为准。

本节介绍云等保专区产品的购买类问题。 云等保专区原子能力v2.0与v1.0有什么区别？ 云等保专区原子能力v2.0是当前主力销售版本，相较于v1.0架构有了重大升级。 新客户默认只能购买v2.0版本（漏洞扫描除外），v1.0版本仅支持存量用户购买。 由于v1.0、v2.0的版本架构不同，所以不支持已购v1.0的用户直接升级到v2.0版本。 云等保专区原子能力v2.0与v1.0价格存在部分差异，详情请见计费方式。 如何知道应当购买那些安全原子能力？ 当前天翼云根据多年安全经验以及最佳实践帮助用户更简单的通过等保，特地推出等保二级基础版、等保二级高级版、等保三级基础版以及等保三级高级版，您可根据当前在天翼云上业务的定级等级情况自主选择等保二级、三级套餐。 如何选择单个安全原子能力规格？ 当前安全组件规格分为基础版、高级版和企业版，每个规格有其对应参数，您可根据自身业务的流量、ECS的数量等综合评估，自助选择相应安全组件的规格。 是否支持单独购买安全原子能力？ 除了主机安全的“网页防篡改”不能单独购买，其他均支持单独购买。

本文带您熟悉立即执行备份的操作步骤。 操作场景 通过手动执行备份策略时，可以立即对该策略下的云主机进行备份，灵活地控制备份的时间和范围。 约束与限制 如果备份策略中的云主机正在执行备份任务，则无法手动执行备份策略。 如果周期性备份调度计划开始时，手动备份任务仍未完成，则系统自动取消当次周期性调度任务。 建议手动执行备份策略的时间与周期性备份的备份策略执行时间间隔≥3小时。 前提条件 已创建至少1个备份策略，且备份策略中至少绑定了一个云主机。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份策略”页签，在需要手动执行备份的备份策略所在行点击“更多”，再点击“立即备份”。 5. 点击“确定”，则可立即执行备份。 6. 执行备份后，您可以点击对应的备份策略名称，进入备份策略详情。 7. 在“备份任务”页签下，查看备份任务状态，当状态变为“可用”时，则表示备份策略执行成功。