规格版本差异 数据安全中心 服务提供了标准版和专业版两个服务版本供您选择，其差异如表1所示。 当前版本的数据库数量和OBS体量不能满足业务需求时，可以通过升级版本和规格增加数据库扩展包和OBS扩展包的数量。 表1 服务版本差异 规格版本 支持添加的数据库数量 OBS体量 API调用额度 支持的功能 标准版 2个 100GB 不支持 资产地图 敏感数据识别 数据风险检测 专业版 2个 100GB 100W次 资产地图 敏感数据识别 数据风险检测 数据脱敏 数据水印注入/提取 API接口的调用

允许访问的VPC Endpoint 仅在“API访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpoint访问华为云API，例如：0ccad098-b8f4-495a-9b10-613e2a5exxxx。若未进行访问控制配置，则默认用户从所有VPC Endpoint都能访问API。 图2 允许访问的VPC Endpoint “允许访问的IP地址区间”、“允许访问的IP地址区间或网段”和“允许访问的VPC Endpoint”，如果同时设置，只要满足其中一种即可允许访问。 单击“恢复默认值”，可以将“允许访问的IP地址区间”恢复为默认值，即0.0.0.0~255.255.255.255，同时将“允许访问的IP地址区间或网段”、“允许访问的VPC Endpoint ”清空。

步骤三：将虚拟IP绑定至主备E CS 及EIP 将虚拟IP分别绑定至主备ECS上，本示例中需要绑定ECS-HA1和ECS-HA2。 具体操作请参见将虚拟IP地址绑定至EIP或实例。 关闭主备ECS网卡的“源/目的检查”功能。 将虚拟IP绑定至ECS时，系统会自动关闭ECS网卡的“源/目的检查”功能，您需要参考以下操作检查关闭情况。如果未关闭，则请关闭该功能。 在ECS列表中，单击目标ECS的名称。 进入ECS详情页。 选择“弹性网卡”页签，并单击展开ECS的网卡详情区域，可以查看“源/目的检查”功能。 如图7所示，表示“源/目的检查”功能已关闭。 图7 关闭网卡的“源/目的检查”功能 将虚拟IP绑定至EIP上，本示例中需要绑定EIP-A。 具体操作请参见将虚拟IP地址绑定至EIP或实例。

步骤四：关闭备ECS的IP转发功能 使用虚拟IP构建主备场景的高可用集群时，需要关闭备ECS的IP转发功能，当主备ECS切换后，则需要确保新的备ECS也关闭IP转发功能。 为了避免ECS主备切换后遗漏配置，建议您将主备ECS的IP转发功能全都关闭。 打开浏览器，并输入EIP地址（124.X.X.187），通过网页确认主ECS。 网页如下图所示，表示此时主ECS是ECS-HA1。 图8 ECS-HA1访问验证 远程登录备ECS，本示例是ECS-HA2。 ECS有多种登录方法，具体请参见登录弹性云服务器。 请根据ECS的操作系统，在表4中选择关闭IP转发功能的操作，本示例ECS为Linux操作系统。 表4 关闭IP转发功能 操作系统 操作指导 Linux系统 执行以下命令，切换root用户。 su root 执行以下命令，查看IP转发功能是否已开启。 cat /proc/sys/net/ipv4/ip_forward 回显结果：1为开启，0为关闭，默认为0。 回显为0，任务结束。 回显为1，继续执行以下操作。 以下提供两种方法修改配置文件，二选一即可。 方法一： 执行以下命令，打开“/etc/sysctl.conf”文件。 vim /etc/sysctl.conf 按i进入编辑模式。 修改net.ipv4.ip_forward = 0。 按ESC退出，并输入:wq!保存配置。 方法二： 执行sed命令，命令示例如下： sed -i '/net.ipv4.ip_forward/s/1/0/g' /etc/sysctl.conf 执行以下命令，使修改生效。 sysctl -p /etc/sysctl.conf Windows系统 在搜索框中输入cmd，打开Windows系统的“命令提示符”窗口，执行以下命令。 ipconfig/all 回显结果中，“IP 路由已启用”为 “否”， 表示IP转发功能已关闭。 回显结果中，“IP 路由已启用”为 “是”， 表示IP转发功能未关闭，继续执行以下操作。 在搜索框中输入regedit，打开注册表编辑器。 编辑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下的IPEnableRouter值为0。 指定值为 0：关闭 IP 转发。 指定值为 1：启用 IP 转发。

步骤二：为主备ECS配置Keepalived 执行以下操作，为ECS-HA1配置Keepalived。 将EIP绑定至ECS-HA1。 具体方法请参见绑定弹性公网IP。 远程登录ECS-HA1。 ECS有多种登录方法，具体请参见登录弹性云服务器。 执行以下命令，安装Nginx、Keepalived软件包及相关依赖包。 yum install nginx keepalived -y 回显类似如下信息，表示安装完成。 [root@ecs-ha1 ~]# yum install nginx keepalived -y Loaded plugins: fastestmirror Determining fastest mirrors base | 3.6 kB 00:00:00 epel | 4.3 kB 00:00:00 extras | 2.9 kB 00:00:00 updates | 2.9 kB 00:00:00 (1/7): epel/x86_64/group | 399 kB 00:00:00 (2/7): epel/x86_64/updateinfo | 1.0 MB 00:00:00 (3/7): base/7/x86_64/primary_db | 6.1 MB 00:00:00 (4/7): base/7/x86_64/group_gz | 153 kB 00:00:00 (5/7): epel/x86_64/primary_db | 8.7 MB 00:00:00 (6/7): extras/7/x86_64/primary_db | 253 kB 00:00:00 (7/7): updates/7/x86_64/primary_db ..... Dependency Installed: centos-indexhtml.noarch 0:7-9.el7.centos gperftools-libs.x86_64 0:2.6.1-1.el7 lm_sensors-libs.x86_64 0:3.4.0-8.20160601gitf9185e5.el7_9.1 net-snmp-agent-libs.x86_64 1:5.7.2-49.el7_9.4 net-snmp-libs.x86_64 1:5.7.2-49.el7_9.4 nginx-filesystem.noarch 1:1.20.1-10.el7 openssl11-libs.x86_64 1:1.1.1k-7.el7 Complete! 执行以下操作，修改Nginx配置文件，添加80端口相关配置。 执行以下命令，打开“/etc/nginx/nginx.conf”文件。 vim /etc/nginx/nginx.conf 按i进入编辑模式。 将文件中原有的内容，全部替换成以下内容。 user root; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #gzip on; server { listen 80; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { root html; index index.html index.htm; } #error_page 404 /404.html; # redirect server error pages to the static page /50x.html error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } } 按ESC退出，并输入:wq!保存配置。 执行以下操作，修改index.html文件内容，用来验证网站的访问情况。 执行以下命令，打开“/usr/share/nginx/html/index.html”文件。 vim /usr/share/nginx/html/index.html 按i进入编辑模式。 将文件中原有的内容，全部替换成以下内容。 Welcome to ECS-HA1 按ESC退出，并输入:wq!保存配置。 执行以下命令，设置Nginx服务开机自启动，并启动Nginx服务。 systemctl enable nginx systemctl start nginx.service 回显类似如下信息： [root@ecs-ha1 ~]# systemctl enable nginx Created symlink from /etc/systemd/system/multi-user.target.wants/nginx.service to /usr/lib/systemd/system/nginx.service. [root@ecs-ha1 ~]# systemctl start nginx.service 打开浏览器，并输入EIP地址（124.X.X.187），验证Nginx单节点的访问情况。 网页如下图所示，表示ECS-HA1的Nginx配置成功。 图5 ECS-HA1访问验证 执行以下操作，修改Keepalived配置文件。 执行以下命令，打开“/etc/keepalived/keepalived.conf”文件。 vim /etc/keepalived/keepalived.conf 按i进入编辑模式。 根据实际情况，替换配置文件中的IP参数，并将文件中原有的内容，全部替换成以下内容。 mcast_src_ip和unicast_src_ip：替换为ECS-HA1的私有IP地址，本示例为192.168.0.195。 virtual_ipaddress：替换为虚拟IP地址，本示例为192.168.0.177。 ! Configuration File for keepalived global_defs { router_id master-node } vrrp_script chk_http_port { script "/etc/keepalived/chk_nginx.sh" interval 2 weight -5 fall 2 rise 1 } vrrp_instance VI_1 { state BACKUP interface eth0 mcast_src_ip 192.168.0.195 virtual_router_id 51 priority 100 advert_int 1 authentication { auth_type PASS auth_pass 1111 } unicast_src_ip 192.168.0.195 virtual_ipaddress { 192.168.0.177 } track_script { chk_http_port } } 按ESC退出，并输入:wq!保存配置。 执行以下操作，配置Nginx监控脚本。 执行以下命令，打开“/etc/keepalived/chk_nginx.sh”文件。 vim /etc/keepalived/chk_nginx.sh 按i进入编辑模式。 将文件中原有的内容，全部替换成以下内容。 #!/bin/bash counter=$(ps -C nginx --no-heading|wc -l) if [ "${counter}" = "0" ]; then systemctl start nginx.service sleep 2 counter=$(ps -C nginx --no-heading|wc -l) if [ "${counter}" = "0" ]; then systemctl stop keepalived.service fi fi 按ESC退出，并输入:wq!保存配置。 执行以下命令，为“chk_nginx.sh”文件添加执行权限。 chmod +x /etc/keepalived/chk_nginx.sh 执行以下命令，设置Keepalived服务开机自启动，并启动Keepalived服务。 systemctl enable keepalived systemctl start keepalived.service 将EIP和ECS-HA1解绑定。 具体方法请参见解绑弹性公网IP。 执行以下操作，为ECS-HA2配置Keepalived。 将EIP绑定至ECS-HA2。 具体方法请参见绑定弹性公网IP。 远程登录ECS-HA2。 ECS有多种登录方法，具体请参见登录弹性云服务器。 执行以下命令，安装Nginx、Keepalived软件包及相关依赖包。 yum install nginx keepalived -y 回显类似如下信息，表示安装完成。 [root@ecs-ha2 ~]# yum install nginx keepalived -y Loaded plugins: fastestmirror Determining fastest mirrors base | 3.6 kB 00:00:00 epel | 4.3 kB 00:00:00 extras | 2.9 kB 00:00:00 updates | 2.9 kB 00:00:00 (1/7): epel/x86_64/group | 399 kB 00:00:00 (2/7): epel/x86_64/updateinfo | 1.0 MB 00:00:00 (3/7): base/7/x86_64/primary_db | 6.1 MB 00:00:00 (4/7): base/7/x86_64/group_gz | 153 kB 00:00:00 (5/7): epel/x86_64/primary_db | 8.7 MB 00:00:00 (6/7): extras/7/x86_64/primary_db | 253 kB 00:00:00 (7/7): updates/7/x86_64/primary_db ..... Dependency Installed: centos-indexhtml.noarch 0:7-9.el7.centos gperftools-libs.x86_64 0:2.6.1-1.el7 lm_sensors-libs.x86_64 0:3.4.0-8.20160601gitf9185e5.el7_9.1 net-snmp-agent-libs.x86_64 1:5.7.2-49.el7_9.4 net-snmp-libs.x86_64 1:5.7.2-49.el7_9.4 nginx-filesystem.noarch 1:1.20.1-10.el7 openssl11-libs.x86_64 1:1.1.1k-7.el7 Complete! 执行以下操作，修改Nginx配置文件，添加80端口相关配置。 执行以下命令，打开“/etc/nginx/nginx.conf”文件。 vim /etc/nginx/nginx.conf 按i进入编辑模式。 将文件中原有的内容，全部替换成以下内容。 user root; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #gzip on; server { listen 80; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { root html; index index.html index.htm; } #error_page 404 /404.html; # redirect server error pages to the static page /50x.html error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } } 按ESC退出，并输入:wq!保存配置。 执行以下操作，修改index.html文件内容，用来验证网站的访问情况。 执行以下命令，打开“/usr/share/nginx/html/index.html”文件。 vim /usr/share/nginx/html/index.html 按i进入编辑模式。 将文件中原有的内容，全部替换成以下内容。 Welcome to ECS-HA2 按ESC退出，并输入:wq!保存配置。 执行以下命令，设置Nginx服务开机自启动，并启动Nginx服务。 systemctl enable nginx systemctl start nginx.service 回显类似如下信息： [root@ecs-ha2 ~]# systemctl enable nginx Created symlink from /etc/systemd/system/multi-user.target.wants/nginx.service to /usr/lib/systemd/system/nginx.service. [root@ecs-ha2 ~]# systemctl start nginx.service 打开浏览器，并输入EIP地址（124.X.X.187），验证Nginx单节点的访问情况。 网页如下图所示，表示ECS-HA2的Nginx配置成功。 图6 ECS-HA2访问验证 执行以下操作，修改Keepalived配置文件。 执行以下命令，打开“/etc/keepalived/keepalived.conf”文件。 vim /etc/keepalived/keepalived.conf 按i进入编辑模式。 根据实际情况，替换配置文件中的IP参数，并将文件中原有的内容，全部替换成以下内容。 mcast_src_ip和unicast_src_ip：替换为ECS-HA2的私有IP地址，本示例为192.168.0.233。 virtual_ipaddress：替换为虚拟IP地址，本示例为192.168.0.177。 ! Configuration File for keepalived global_defs { router_id master-node } vrrp_script chk_http_port { script "/etc/keepalived/chk_nginx.sh" interval 2 weight -5 fall 2 rise 1 } vrrp_instance VI_1 { state BACKUP interface eth0 mcast_src_ip 192.168.0.233 virtual_router_id 51 priority 100 advert_int 1 authentication { auth_type PASS auth_pass 1111 } unicast_src_ip 192.168.0.233 virtual_ipaddress { 192.168.0.177 } track_script { chk_http_port } } 按ESC退出，并输入:wq!保存配置。 执行以下操作，配置Nginx监控脚本。 执行以下命令，打开“/etc/keepalived/chk_nginx.sh”文件。 vim /etc/keepalived/chk_nginx.sh 按i进入编辑模式。 将文件中原有的内容，全部替换成以下内容。 #!/bin/bash counter=$(ps -C nginx --no-heading|wc -l) if [ "${counter}" = "0" ]; then systemctl start nginx.service sleep 2 counter=$(ps -C nginx --no-heading|wc -l) if [ "${counter}" = "0" ]; then systemctl stop keepalived.service fi fi 按ESC退出，并输入:wq!保存配置。 执行以下命令，为“chk_nginx.sh”文件添加执行权限。 chmod +x /etc/keepalived/chk_nginx.sh 执行以下命令，设置Keepalived服务开机自启动，并启动Keepalived服务。 systemctl enable keepalived systemctl start keepalived.service 将EIP和ECS-HA2解绑定。 具体方法请参见解绑弹性公网IP。

步骤一：创建云服务资源 创建1个VPC和1个子网。 具体方法请参见创建虚拟私有云和子网。 创建2个ECS，分别作为主ECS和备ECS。 具体方法请参见购买方式概述。 本示例中，ECS的网络配置详情如下： 网络：选择已创建的虚拟私有云和子网，VPC-A和Subnet-A01。 安全组：新建一个安全组Sg-A，并添加入方向和出方向规则。您在创建安全组的时候，系统会自动添加部分规则，您需要根据实际情况进行检查修改。 本示例中，ECS-HA1和ECS-HA2属于同一个安全组，您需要确保表2中的规则均已正确添加。 图3 安全组入方向 图4 安全组出方向 表2 安全组Sg-A规则说明 方向 策略 类型 协议端口 源地址/目的地址 描述 入方向 允许 IPv4 TCP: 22 源地址：0.0.0.0/0 放通安全组内ECS的SSH(22)端口，用于远程登录Linux ECS。 入方向 允许 IPv4 TCP: 3389 源地址：0.0.0.0/0 放通安全组内ECS的RDP(3389)端口，用于远程登录Windows ECS。 入方向 允许 IPv4 TCP: 80 源地址：0.0.0.0/0 放通安全组内ECS的HTTP(80)端口，用于外部通过HTTP协议访问ECS上部署的网站。 入方向 允许 IPv4 全部 源地址：当前安全组Sg-A 针对IPv4，用于安全组内ECS之间网络互通。 入方向 允许 IPv6 全部 源地址：当前安全组Sg-A 针对IPv6，用于安全组内ECS之间网络互通。 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 针对IPv4，用于安全组内ECS访问外部，允许流量从安全组内ECS流出。 出方向 允许 IPv4 全部 目的地址：::/0 针对IPv6，用于安全组内ECS访问外部，允许流量从安全组内ECS流出。 本示例中，源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器，为了确保安全，建议您遵循最小原则，根据实际情况将源IP设置为特定的IP地址，比如，源地址设置为您的本地PC地址。 如果您的ECS位于不同的安全组，比如ECS-HA1属于Sg-A，ECS-HA2属于Sg-B，则除了在两个安全组中分别配置表2中的规则，您还需要添加表3中的规则，放通两个安全组之间的内网网络流量。 表3 安全组Sg-A和Sg-B规则说明 安全组 方向 策略 类型 协议端口 源地址/目的地址 描述 Sg-A 入方向 允许 IPv4 全部 源地址：Sg-B 针对全部IPv4协议，允许来自Sg-B内实例的流量访问Sg-A内的实例。 Sg-B 入方向 允许 IPv4 全部 源地址：Sg-A 针对全部IPv4协议，允许来自Sg-A内实例的流量访问Sg-B内的实例。 弹性公网IP：选择“暂不购买”。 在子网Subnet-A01内，申请虚拟IP地址。 具体方法请参见申请虚拟IP地址。 申请弹性公网IP。 具体方法请参见购买弹性公网IP。

应用场景 虚拟IP（Virtual IP Address，简称VIP）是从VPC子网网段中划分的一个内网IP地址，通常搭配高可用软件（比如Keepalived）使用，主要用来搭建高可用的主备集群。多个云服务器形成主备集群，当主云服务器发生故障无法对外提供服务时，系统动态将虚拟IP切换到备云服务器，通过备云服务器继续对外提供服务。本文档为您详细介绍使用虚拟IP和Keepalived搭建高可用Web集群的方法。

方案架构 本示例中，高可用Web集群架构如图1所示，将虚拟IP同时绑定至ECS-HA1和ECS-HA2，使用Keepalived搭建一个高可用集群。同时，为虚拟IP绑定EIP，该集群具备公网访问能力，可以面向公网提供Web访问服务。实现原理如下： ECS-HA1作为主云服务器，通过与虚拟IP绑定的EIP对外提供服务，ECS-HA2作为备云服务器不承载实际业务。 当ECS-HA1发生故障时，此时会自动启用ECS-HA2，ECS-HA2将会接管业务并对外提供服务，实现业务不中断的高可用需求。 图1 使用虚拟IP和Keepalived搭建高可用Web集群

资源规划说明 本示例中， 虚拟私有云VPC 和子网、虚拟IP、弹性公网IP以及弹性 云服务器ECS 等资源只要位于同一个区域内即可，可用区可以任意选择，无需保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 表1 使用虚拟IP和Keepalived搭建高可用Web集群资源规划总体说明 资源类型 资源数量 说明 虚拟私有云VPC和子网 1 VPC名称：请根据实际情况填写，本示例为VPC-A。 IPv4网段：请根据实际情况填写，本示例为192.168.0.0/16。 子网名称：请根据实际情况填写，本示例为Subnet-A01。 子网IPv4网段：请根据实际情况填写，本示例为192.168.0.0/24。 弹性云服务器ECS 2 本示例中，需要两个ECS作为主备倒换，配置说明如下： 名称：根据实际情况填写，本示例分别为ECS-HA1和ECS-HA2。 镜像：请根据实际情况选择，本示例为公共镜像（CentOS 7.8 64bit）。 系统盘：通用型SSD盘，40GB。 数据盘：本示例未选购数据盘，请您根据实际业务需求选购数据盘，并切实考虑两个ECS节点之间的业务数据一致性问题。 网络： 虚拟私有云：选择您的虚拟私有云，本示例为VPC-A。 子网：选择子网，本示例为Subnet-A01。 安全组：请根据实际情况选择，本示例中ECS-HA1和ECS-HA2使用同一个安全组，安全组名称为Sg-A。 私有IP地址：ECS-HA1为192.168.0.195，ECS-HA1为192.168.0.233 虚拟IP 1 在子网Subnet-A01中申请虚拟IP地址： 创建方式：根据实际情况填写，本示例为自动分配。 虚拟IP地址：本示例为192.168.0.177。 绑定实例：将虚拟IP绑定至ECS-HA1和ECS-HA2。 绑定弹性公网IP：将虚拟IP绑定至EIP-A。 弹性公网IP 1 计费模式：请根据情况选择计费模式，本示例为按需计费。 EIP名称：请根据实际情况填写，本示例为EIP-A。 EIP地址：EIP地址系统随机分配，本示例为124.X.X.187。

IP白名单格式 IP白名单支持IPv4和IPv6，有3种格式，如下表所示。 表1 IP白名单格式 格式 说明 单个IP 这是最简单的一种IP白名单格式，如将您的个人家庭电脑的IP添加到白名单中，比如：100.*.*.123。 IP范围 当您拥有不止一台服务器而且IP段是连续的，或者您的IP会在一个网段内动态变化，这时您可以添加一个IP白名单范围，比如：100.*.*.0 - 100.*.*.255。 CIDR格式（无类别域间路由） 当您的服务器在一个局域网内并使用CIDR路由时，您可以指定局域网的32位出口IP以及一个指定网络前缀的位数。 从同一个IP发起的请求，只要网络前缀同您设定的前缀部分相同，即可视为来自同一授信范围从而被接受。

计费说明 主机安全服务根据购买的版本和使用病毒查杀（按次收费）扫描主机成功的次数进行计费。具体内容如表 主机安全服务计费项所示。 如您需要快速了解主机安全服务的具体价格，请参见HSS价格详情。 表 主机安全服务计费项标 * 的计费项为必选计费项。 表1 主机安全服务计费项 计费项 计费项说明 适用的计费模式 计费公式 * 配额版本 按版本计费：基础版、专业版、旗舰版、网页防篡改版 包年/包月 包年/包月：配额版本*购买时长 按需计费：配额版本*计费时长 按版本计费：企业版、容器版 包年/包月、按需计费 病毒查杀（ 按次收费 ） 按扫描每台主机成功的次数计费。 开启病毒查杀（按次收费）后，每月首次登录病毒查杀界面，可获得免费扫描次数2次。 按需计费 病毒查杀（按次收费）单价*扫描成功次数*主机数量 在使用主机安全服务过程中，可能还会涉及一些高级配置的费用，如云备份。具体如表2所示。 表2 高级配置计费项 计费项 计费项说明 云备份 如果您有勒索病毒防护的需求，需要购买备份存储库，用来存放服务器产生的备份副本。 按照存储库容量计费，详细计费信息请参见云备份价格详情。

计费示例 假设您在2023/03/08 15:50:04购买了一个包年/包月企业版主机安全服务。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59 第二个计费周期为：2023/04/08 23:59:59 ~ 2023/05/08 23:59:59 图 包年/包月HSS费用计算示例给出了上述示例配置的费用计算过程。 图中价格仅供参考，实际计算请以主机安全服务价格详情中的价格为准。 图1 包年/包月主机安全服务费用计算示例 按需计费模式下，各计费项的计费示例请参见计费示例。

HSS计费模式概述 主机安全服务提供包年/包月、按需计费两种计费模式，以满足不同场景下的用户需求。如您需要快速了解主机安全服务不同计费模式的具体价格，请参见HSS价格详情。 包年/包月：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。 按需计费：一种后付费模式，即先使用再付费，按照主机安全服务实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。 表1列出了两种计费模式的区别。 表1 计费模式 计费模式 包年/包月 按需计费 付费方式 预付费 按照订单的购买周期结算。 后付费 按照主机安全服务实际使用时长计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 适用计费项 配额版本：基础版、专业版、企业版、旗舰版、网页防篡改版和容器版。 配额版本：企业版、容器版。 病毒查杀（按次收费）：扫描每台主机成功的次数。 关闭防护是否计费 按订单的购买周期计费。主机、容器关闭防护对包年/包月计费无影响。 关闭防护后不计费。 是否支持变更计费模式 支持变更为“按需计费”模式。 详细请参见包年/包月转按需。 不支持变更为包年/包月计费模式。 请关闭按需计费后，再购买包年/包月模式的主机安全服务。 升级规格 基础版、专业版、企业版支持升级规格。 不支持升级规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于主机、容器防护需求波动的场景，可以随时开通，随时删除。 父主题： 计费模式

数据保护技术 云数据库 GeminiDB通过多种数据保护手段和特性，保障存储在GeminiDB中的数据安全可靠。 表1 GeminiDB的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（SSL） GeminiDB Redis、GeminiDB Mongo、GeminiDB Cassandra和GeminiDB Influx实例支持非SSL和SSL传输协议，为保证数据传输的安全性，推荐您使用更加安全的SSL协议。 GeminiDB Redis：设置SSL 数据加密 GeminiDB Influx：设置SSL数据加密 GeminiDB Cassandra：设置SSL数据加密 GeminiDB Mongo：设置SSL数据加密 跨可用区部署 为了达到更高的可靠性，GeminiDB支持选择3可用区，可用区之间内网互通，不同可用区之间物理隔离，GeminiDB会自动将实例下的节点Hash均衡部署在3个可用区内，实现跨可用区容灾部署。 GeminiDB Redis：购买实例选择跨可用区部署 GeminiDB Influx：购买实例选择跨可用区部署 GeminiDB Cassandra：购买实例选择跨可用区部署 GeminiDB Mongo：购买实例选择跨可用区部署 负载均衡 GeminiDB Redis支持负载均衡，数据访问可以均衡的分散在集群的不同节点，避免热点，最大化集群整体的吞吐量。 GeminiDB Redis：通过负载均衡地址连接实例 同城容灾 GeminiDB Cassandra主实例支持搭建主备高可用架构，当主实例发生突发性自然灾害等状况，主实例节点无法连接时，可将容灾实例切换为主实例。 GeminiDB Cassandra：创建容灾实例 异地双活 GeminiDB Cassandra接口提供了异地双活功能，通过异地实例间数据的双向同步和业务灵活调度能力，实现了业务恢复和故障恢复解耦，保障了故障场景下业务的连续性。 GeminiDB Cassandra：异地双活原理介绍 删除保护 云数据库 GeminiDB支持将退订后的包年包月实例和删除的按需实例，加入回收站管理。通过数据库回收站中重建实例功能，可以恢复1~7天内删除的实例。 GeminiDB Redis：回收站 GeminiDB Influx：回收站 GeminiDB Cassandra：回收站 GeminiDB Mongo：回收站 父主题： 安全

背景信息 强制跳转HTTPS：配置HTTPS后，开启强制跳转HTTPS，若用户发起HTTP请求，服务端会返回302重定向响应，原来的HTTP请求将会被强制重定向为HTTPS请求。 HTTP 2.0：HTTP 2.0标准于2015年5月以RFC 7540正式发表。HTTP/2的标准化工作由Chrome、Opera、Firefox、Internet Explorer 11、Safari、Amazon Silk及Edge等浏览器提供支持。 相比HTTP协议，HTTPS具有如下优势： HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比HTTP协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。 在HTTPS协议中，会对用户的关键信息进行加密，避免Session ID或Cookie内容被攻击者捕获，导致敏感信息泄露。