本文为您介绍VPN连接的产品定义和产品架构。 天翼云VPN连接是一款基于Internet的VPN网络连接服务，VPN（Virtual Private Network）即虚拟专用网络，用于在远端用户和VPC（Virtual Private Cloud）之间建立一条安全加密的通信隧道，使远端用户通过VPN直接使用VPC中的业务资源。 根据使用的加密协议不同，VPN连接可以提供IPsec VPN和SSL VPN两种连接方式。 IPsec VPN IPsec（IP Security）是一种IP层的隧道加密技术，通过使用加密算法在不同的网络之间建立加密的安全隧道。默认情况下，在VPC中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用IPsec VPN功能。 通过IPsec VPN连接可以实现企业数据中心、办公网络等与虚拟私有云（VPC）建立安全可靠的连接。假设您在天翼云中已经申请了VPC，并创建了2个子网（192.168.1.0/24, 192.168.2.0/24），您在自己的数据中心网络中也有2个子网（192.168.3.0/24, 192.168.4.0/24）。您可以通过IPsec VPN使VPC内的子网与数据中心的子网互相通信。 SSL VPN SSL VPN（Secure Sockets Layer VPN）是基于互联网线路，通过SSL加密通道将用户终端与天翼云VPC建立安全可靠连接的服务，满足客户便捷接入VPC的需求。 假设您在天翼云中已经申请了VPC，并创建了2个子网（192.168.1.0/24, 192.168.2.0/24），当您有移动终端访问VPC业务的需求时，您可以通过SSL VPN实现便捷安全的网络接入。

私网NAT网关支持SNAT规则和DNAT规则共用一个中转IP吗？ 支持，SNAT规则、DNAT规则可以共用同一个中转IP，实现服务开放和主动访问使用同一私网地址。 私网NAT网关是否支持网络ACL？ 私网NAT网关本身不支持ACL，可以通过配置私网NAT后端的主机安全组和ACL来进行访问控制。 网络ACL：可以通过网络ACL来配置子网出入流量的规则，限制特定协议、端口或IP地址的访问，具体操作步骤请参见创建ACL。 安全组：安全组是一种虚拟防火墙，可以在弹性云主机中配置。通过安全组，可以定义允许和拒绝的流量规则，限制特定协议、端口或IP地址的访问，具体操作步骤请参见创建安全组。 私网NAT网关配置完成后，网络不通如何处理？ 私网NAT网关配置完成后，网络不通可以通过以下步骤进行处理： 1. 检查私网NAT网关状态是否处于运行中，如果不是运行中，可以通过以下方法解除异常。 1. 私网NAT网关到期，显示已到期，可以点击续订，让私网NAT网关恢复正常。再次进行连接测试。 2. 私网NAT网关按需欠费后，会处于冻结状态，可以进行续费处理，让私网NAT网关恢复正常。再次进行连接测试。 2. 检查SNAT规则和DNAT规则配置是否正确。 1. 在SNAT规则配置页面确认SNAT规则是否已经配置生效，且确认弹性云主机在SNAT规则子网内，或源访问地址在SNAT规则的源地址段内。如果SNAT规则未配置正确则无法访问公网。如何配置SNAT规则，具体操作步骤请参见管理SNAT规则。 2. 在DNAT规则配置页面确认DNAT规则已经配置生效，DNAT规则配置未生效会访问不通。关于如何配置DNAT规则，具体操作步骤请参见管理DNAT规则。 3. 检查是否由于VPC路由表配置错误引起的，可以通过以下方法重新配置VPC路由表。 1. 找到VPC对应的子网关联的路由表。 2. 查看路由表是否有到私网NAT网关的路由，如果不包含，请添加对应的路由。具体操作步骤请参见管理私网NAT网关，再次进行连接测试。 4. 检查云主机安全组配置，如果安全组没有放通弹性云主机访问和对外提供服务使用的端口，需要在对应的安全组中添加放行该端口。 1. 点击云主机名称，进入云主机详情页，选择安全组页签，展开安全组规则。 2. 出方向放通所有端口，地址为0.0.0.0/0，入方向端口放通DNAT绑定的应用端口，具体操作步骤请参加添加安全组规则。再次进行连接测试。 5. 检查网络ACL设置，如果VPC的业务子网关联了网络ACL，可能导致网络不同。 1. 点击子网名称，进入子网详情页，选择ACL页签，查看是否有绑定网络ACL，检查入方向规则和出方向规则是否添加了放通子网流量的规则。 2. 如果未添加放通子网流量的规则，请添加入方向、出方向规则放通子网流量或者将网络ACL与子网取消关联。再次进行连接测试。 6. 检查私网NAT网关业务量是否超过规格上限。 1. 在云监控云服务监控中找到私网NAT网关名称，点击查看监控指标，查看私网NAT网关业务指标情况。 2. 如果超过上限，可以点击私网NAT网关操作栏的“变配”，变更私网NAT网关的规格。再次进行连接测试。 7. 检查弹性云主机端口，以CentOS为例可使用以下命令行查看端口监听是否正常。 1. netstat ntulp grep 云主机端口。 2. 如果端口没有被正常监听，请重新开启弹性云主机端口。 8. 如果上述排查后，网络依然不通，可以提交工单，联系技术支持人员帮助解决。

本节介绍了镜像加速器的用户指南。 概述 通过镜像加速器，用户可以拉取Docker Hub上的容器镜像。天翼云容器镜像服务提供了镜像下载加速功能，对部分常用的开源镜像下载进行加速。 前提条件 已开通天翼云弹性云主机 注意 1. 镜像加速器仅限于支持个人开发场景使用，不允许有再次封装或商业用途。 2. 仅支持通过镜像加速器拉取常用的开源镜像，不保证能够加速所有镜像，生产环境请谨慎使用。不保证百分比能拉取成功。 23 生产环境中慎重配置使用Docker Hub容器镜像地址，建议先拉取到本地，再同步到天翼云容器镜像服务。 配置Docker 1. 编辑 /etc/docker/daemon.json (如果文件不存在，则新建）。增加以下内容（注意符合 JSON 格式）后保存。 plaintext { "registrymirrors": [" } 2. 重启 Docker。 plaintext systemctl restart docker 3. 执行docker info 结果出现配置的地址则配置成功。 4. 拉取一个镜像验证，例如 docker pull nginx。 配置Containerd 针对云容器引擎主机 1. 编辑 /etc/containerd/certs.d/docker.io/hosts.toml ,替换成以下内容 ： plaintext server " [host." capabilities ["pull", "resolve", "push"] 2. 重启 containerd:。 plaintext systemctl restart containerd 3. 拉取Docker Hub镜像验证是否生效。 plaintext ctr images pull docker.io/library/nginx:latest —hostsdir /etc/containerd/certs..d —plainhttp

本节为您介绍数据安全相关内容。 了解数据 在准备云迁移之前，需要确保全面了解自己的数据及其需求。这意味着迁移团队必须深入了解当前和未来的数据使用情况，并理解公司数据治理框架所制定的存储和保留策略。为了处理数据理解和优化任务，可以借助各种云管理工具，例如重复数据删除软件。这些工具可以帮助识别和处理冗余数据，提高存储效率。同时，保护云数据也是非常重要的，这需要准确了解云数据的内容以及最终的使用和处理方式。这包括确认哪些数据属于敏感信息，需要采取额外的安全措施来保护，以及确保符合数据隐私和合规性要求。 了解数据合规要求 除了了解数据本身外，企业在云迁移期间还需要了解适用于其数据集的任何合规要求。例如，GDPR、PCIDSS和HIPAA等监管框架对许多企业施加严格的要求，其中包括在数据迁移前剥离个人身份信息。因此，企业必须确保选择的云基础设施提供商满足合规要求，同时加强API安全性控制，并采取措施对个人身份信息进行去标识化或剥离，以保护用户隐私。此外，还需要实施适当的用户访问特权管理，限制数据的访问权限。这些措施有助于确保在云迁移过程中的数据合规性和安全性。 传输过程中加密数据 云迁移中传输数据可能带来额外的安全漏洞。保护敏感信息的一种有效方法是使用源端到目标端加密。这个过程通常使用像传输层安全(TLS)之类的加密协议来完成，该协议在所有数据离开开源系统之前对其进行加密，并在数据到达目标系统后对其进行解解密，从而增添额外的安全层。根据需要的保护程度，有多种加密算法可供选择，不过大多数使用AES或RSA等现代行业标准。公司还应确保安全地存储访问所需的加密密钥和凭据，并定期备份，以防数据丢失。利用提供内置加密服务的云提供商可以简化这个过程。在开始迁移之前，公司仍然应该进行尽职调查，以确保自己拥有适当的工具和安全措施。

以下提供云审计服务所收集事件的两个页面样例，并对其中常用的观察点进行了描述，以方便用户更直观的理解事件信息。其他服务所产生的事件可参照以下样例理解。 创建弹性云主机实例 json { "time": "2016/12/01 11:07:28 GMT+08:00", "user": { "name": "aaa/opservice", "id": "f2fe9fac63414a35a7d03108d5f1ea73", "domain": { "name": "aaa", "id": "1f9b9ba51f6b4061bd5c1736b28469f8" } }, "request": { "server": { "name": "asconfig15f1XWO68TFC", "imageRef": "b2b2c7dcbbb04d6b81ddf0904023d54f", "flavorRef": "m1.tiny", "personality": [], "vpcid": "e4c374b93675482c9b814acd59745c2b", "nics": [ { "subnetid": "fff8913288d44e5b9e27d9001167d24f", "nictype": null, "ipaddress": null, "binding:profile": null, "extradhcpopts": null } ], "adminPass": "", "count": 1, "metadata": { "opsvcuserid": "26e96eda18034ae9a44130bacb967b96" }, "availabilityzone": "az1.dc1", "rootvolume": { "volumetype": "SATA", "extendparam": { "resourceSpecCode": "SATA" }, "size": 40 }, "datavolumes": [], "securitygroups": [ { "id": "dd597fd7d1194994a22c891fcfc54be1" } ], "keyname": "KeyPair3e51" } }, "response": { "status": "SUCCESS", "entities": { "serverid": "42d39b4a19b74ee2b01ba9f1353b4c54" }, "jobid": "4010b39d58b855980158b8574b270018", "jobtype": "createSingleServer", "begintime": "20161201T03:04:38.437Z", "endtime": "20161201T03:07:26.871Z", "errorcode": null, "failreason": null }, "servicetype": "ECS", "resourcetype": "ecs", "resourcename": "asconfig15f1XWO68TFC", "resourceid": "42d39b4a19b74ee2b01ba9f1353b4c54", "sourceip": "", "tracename": "createSingleServer", "tracestatus": "normal", "tracetype": "SystemAction", "apiversion": "1.0", "recordtime": "2016/12/01 11:07:28 GMT+08:00", "traceid": "4abc3a67b77311e684128f0ed3cc97c6" } 在以上信息中，可以重点关注如下字段： "time"：记录了事件发生的时间，本例中为12月1日上午11点07分28秒。 "user"：记录了操作用户的信息，本例中操作用户为企业帐户（domain字段）aaa下的用户（name字段）aaa。 "request"：记录了创建ECS服务器的请求，可以抽取该ECS服务器的简单信息，如name为asconfig15f1XWO68TFC，资源id为e4c374b93675482c9b814acd59745c2b。 "response"：记录了创建ECS服务的返回结果，可以抽取其中的关键信息，如创建结果（status字段）为Success，错误码（errorcode字段）和失败原因（failreason字段）均为空（null）。

本文为您介绍密钥管理服务的开通流程。 密钥管理服务（KMS）包周期版提供基础版、企业版两个规格，本章为您介绍如何购买KMS服务。 前提条件 已经注册天翼云账号并完成实名认证。 规格限制 基础版提供软件保护等级服务，支持客户构建专属的密钥库，具备高度可扩展性；同时提供极简的密码运算接口能力，满足应用的安全快速集成。 企业版提供硬件保护等级服务，底层对接使用经国家密码管理局认证的密码机硬件，提供更高安全与合规等级保证的资源管理及密码运算服务，满足监管机构的检测认证要求。 基础版、企业版单基础实例计算性能（应用接入点）默认为2000QPS。 基础版、企业版单基础实例最多可创建2000个密钥、1000个证书。 操作步骤 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，单击“立即开通”。 3. 进入到密钥管理服务订购页面，选择云服务区、服务版本、实例数量、扩展资源数量，设置订购时长，确认参数配置后，阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击“立即购买”。 4. 进入订单详情 页面，确认支付金额，点击 立即支付 。 5. 完成订单支付，可在订单详情页查看订单状态，状态更新为“已完成”后代表服务已开通。 6. 服务开通后，您可进入密钥管理服务控制台创建资源。

您成功购买协同签名服务实例后，可在天翼云云密评专区管理控制台登录。 通过天翼云控制台进入登录页面 1. 登录天翼云云密评专区管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的协同签名服务实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。 登录方式一：账号及密码登录 1. 系统默认为“账号密码登录”，在登录页面输入账号及密码。 说明 首次登录实例时，请根据界面提示修改密码，否则无法进入系统。 首次登录默认账号如下： 管理员首次登录：默认账号为购买密码产品时，自定义设置的用户名和密码，可以参见获取初始登录账号获取初始账密。 其他用户首次登录：默认账号为管理员创建用户时设置的用户名和密码，请联系管理员获取。 2. 单击“登录”即可登录协同签名服务。 登录方式二：使用UKEY登录 注意 首次使用需要先下载安装当前版本USBKey登录的websockets控件。 仅管理员账号支持使用UKEY登录，如何配置UKEY请参考：编辑管理员章节。 1. 在登录页面右下角选择“UKEY登录”。 2. 插入UKEY设备后刷新页面即可登录。

本文将为您介绍天翼云SDWAN统一身份认证与权限管理。 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 1. 系统策略 ：预置的系统策略，您只能使用不能修改。云专线相关的系统策略包含如下： sdwan admin：天翼云SDWAN服务的管理者权限，包含天翼云SDWAN服务所有控制权限； sdwan viewer：天翼云SDWAN服务的观察者权限，包含天翼云SDWAN服务的列表页与详情页面权限； 2. 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本节介绍了云数据库TaurusDB的续费说明。 如需续费，请进入“续费管理”页面进行续费操作。 “按需计费”方式，即按实际使用时长计费，精确到秒，只要您账户上有足够余额，就可以一直使用服务。当账户余额不足时，就会导致欠费，因此在欠费前请及时充值。 “包年/包月”计费方式，您在购买时一次性付费， 使用过程中不会再另外扣费。

态势感知（专业版）支持对云上资产全面自动盘点，也可灵活纳管云外各种资产，点清所有资产，并呈现资产实时安全状态。 在资产管理中，可以查看当前工作空间所在region中所有资源的安全状态统计信息，包括资源的名称、所属服务、安全状况等，帮助您快速定位安全风险问题并提供解决方案。

本章节介绍云主机磁盘IO Hang故障演练。 背景介绍 磁盘硬件故障、文件系统损坏、驱动异常或内核I/O调度器卡死，都可能导致磁盘完全无响应，所有读写（I/O）操作被无限期阻塞。这种情况对业务的破坏性极强，通常会导致应用假死、数据不一致甚至服务雪崩。本演练模拟这种极端场景，帮助您检验应用在存储完全不可用时的行为、测试高可用切换机制的有效性，并验证您的灾难应急预案。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过fsfreeze命令模拟磁盘夯死表现。 注意 设置磁盘夯死故障注入后，可能会导致应用无法读写文件产出异常，请谨慎使用。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO Hang动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。由于此故障的特性，自动恢复无法得到保证。 前置等待时间(秒)：执行故障前的等待时间。 磁盘被填充的目录路径：故障将注入到该目录所在的文件系统（挂载点）上。

通过ECS访问FusionInsight Manage 1. 在MRS管理控制台，单击“集群列表”。 2. 在“现有集群”列表中，单击指定的集群名称。 记录集群的“可用区”、“虚拟私有云”、“集群管理页面”、“安全组”。 3. 在管理控制台首页服务列表中选择“弹性云主机”，进入ECS管理控制台，创建一个新的弹性云主机。 弹性云主机的“可用区”、“虚拟私有云”、“安全组”，需要和待访问集群的配置相同。 选择一个Windows系统的公共镜像。例如，选择一个标准镜像“Windows Server 2012 R2 Standard 64bit(40GB)”。 其他配置参数详细信息，请参见“弹性云主机 > 用户指南 > 快速入门 > 创建并登录Windows弹性云主机”。 说明 如果ECS的安全组和Master节点的“默认安全组”不同，用户可以选择以下任一种方法修改配置： 将ECS的安全组修改为Master节点的默认安全组，请参见“ 用户指南 > 安全组 > 更改安全组”。 在集群Master节点和Core节点的安全组添加两条安全组规则使ECS可以访问集群，“协议”需选择为“TCP”，“端口”需分别选择“28443”和“20009”。请参见“虚拟私有云 > 用户指南 > 安全性 > 安全组 > 添加安全组规则”。 4. 在VPC管理控制台，申请一个弹性IP地址，并与ECS绑定。 具体请参见“虚拟私有云>用户指南 > 弹性公网IP > 为弹性云主机申请和绑定弹性公网IP”。 5. 登录弹性云主机。 登录ECS需要Windows系统的帐号、密码，弹性IP地址以及配置安全组规则。具体请参见“弹性云主机 > 用户指南 > 实例 > 登录弹性云主机 > 登录Windows弹性云主机”。 6. 在Windows的远程桌面中，打开浏览器访问Manager。 例如Windows 2012操作系统可以使用Internet Explorer 11。 Manager访问地址为“集群管理页面”地址。访问时需要输入集群的用户名和密码，例如“admin”用户。 如果使用其他集群用户访问Manager，第一次访问时需要修改密码。新密码需要满足集群当前的用户密码复杂度策略。请咨询管理员。 默认情况下，在登录时输入5次错误密码将锁定用户，需等待5分钟自动解锁。 7. 注销用户退出Manager时移动鼠标到右上角 ，然后单击“注销”。

您可以通过短信服务API接口或云通信控制台申请短信签名。 您可以通过短信服务API接口或云通信控制台申请短信签名，签名需要符合签名规范。 短信签名审核流程请参见签名审核流程。 说明： 个人用户每天最多可以申请一个短信签名。企业用户每天最多可以申请100个签名。 请求参数 名称 类型 是否必选 示例值 描述 ::::: action String 是 AddSmsSign 系统规定参数。取值：AddSmsSign signName String 是 天翼云 签名名称。必须符合签名规范。 signPurpose Int 是 0 是否自用。0、自用；1、他用 signType Int 是 1 签名来源。取值： 0、企事业单位的全称或简称； 1、工信部备案网站的全称或简称； 2、App应用的全称或简称； 3、公众号或小程序的全称或简称； 4、电商平台店铺名的全称或简称； 5、商标名的全称或简称； 6、其他 说明:签名来源为工信部备案网站的全称或简称时，请在申请说明中添加网站域名，加快审核速度。 businessType Int 是 1 业务类型。 取值： 1、账号注册； 2、账号登录； 3、广告促销； 4、通知提醒； 5、公共服务； 6、其他 businessName Strng 否 告警提醒 自定义业务类型。businessType6时，为必填项。 qualificationUuid String 是 4573aea4854e498d829f88ea4522df17 已经审核通过的资质ID。 remark String 是 测试签名 短信签名申请说明。请在申请说明中详细描述您的业务使用场景，申请工信部备案网站的全称或简称，请在此处填写域名，长度不超过200个字符。

本文介绍镜像服务产品的使用约束和配额限制。 创建私有镜像 限制内容 限制条件 单个区域最多创建的私有镜像数量 10个。 如果您需要创建更多的私有镜像，可以通过提交工单的方式，申请扩大配额上限。 通过云主机创建系统盘镜像 已有安装操作系统的云主机。 云主机为关机状态。部分资源池支持云主机开机状态创建私有镜像，运行中的云主机由于存在缓存数据未落盘的情况，制作出来的镜像数据可能会和实例数据不完全一致，推荐关机后制作镜像。 请勿在创建镜像过程中对选择的云主机及相关联资源进行其他操作。 基于云主机创建系统盘镜像时，建议先注释了fstab再做镜像；否则用创建出来的私有镜像创建云主机时，会因为找不到数据盘而进入维护模式，需要再次注释或者删除fstab中挂载数据盘后再重启虚机。 通过镜像文件创建系统盘镜像 镜像链接必须是当前资源池对象存储产品中镜像的URL地址；如未上传过镜像文件，请先去对象存储产品中上传镜像文件，镜像文件链接可以到对应的对象存储桶里面文件详情页查看或复制。 目前支持RAW、qcow2、vmdk、vhd格式的镜像文件的上传，如果想要较快创建镜像，建议使用qcow2格式镜像。其他类型文件请做格式转换。 通过云主机创建数据盘镜像 创建数据盘镜像的云主机必须有数据盘，如果只有系统盘，则不满足创建数据盘镜像的条件。 创建数据盘镜像时，选择云主机的数据盘，只能选择其中一个数据盘，不能选择多块数据盘。 数据盘镜像不能像系统盘镜像一样申请云主机，只能用于申请数据盘。 通过镜像文件创建数据盘镜像 目前支持RAW、qcow2、vmdk、vhd格式的镜像文件的上传。其他类型文件请做格式转换。 此种方式创建数据盘镜像的前提是当前资源池具备对象存储，且当前用户已经创建对象存储桶。 导入的数据盘镜像不能像系统盘镜像一样申请云主机，只能用于申请数据盘。 通过云主机快照创建系统盘镜像 选择快照时只能选择系统盘，不能选择数据盘。 只有状态为“正常”的快照才能选择。 通过云主机创建整机镜像 系统盘或数据盘加密的云主机不可创建整机镜像。 仅允许关机状态的云主机创建整机镜像，请确保云主机为关机状态。 整机镜像只能通过云主机创建，不能通过镜像文件创建。 使用整机镜像购买云主机时，在磁盘选项里面，系统盘与数据盘的类型与整机镜像的系统盘数据盘类型相同，不可更改。数据盘大小不可更改，系统盘大小必须大于等于整机镜像中的系统盘大小。如整机镜像有多块数据盘，则购买页面亦有多块数据盘，且不能删除数据盘。收费与正常挂载数据盘收费一致。 整机镜像不支持导入、导出功能。 磁盘容量 系统盘磁盘容量需≤1TB。系统盘容量大于1TB时，不支持创建系统盘镜像，此时推荐使用备份功能。 数据盘磁盘容量需≤1TB。数据盘容量大于1TB时，不支持创建数据盘镜像，此时推荐使用备份功能。 整机镜像磁盘容量总和≤2TB。磁盘容量总和大于2TB时，不支持创建整机镜像，此时推荐使用备份功能。

Web应用防火墙（边缘云版）适用于天翼云以及天翼云外所有用户，包含但不限于网站类业务广泛应用于政府门户、金融证券、电子商务、新闻媒体、游戏、教育等行业的Web应用类安全防护。 应用场景 业务特点 Web应用防火墙（边缘云版）可解决的业务痛点 政企网站 作为政府、企业的互联网信息服务的重要渠道，保障网站的稳定运行是服务提供的关键。 集成各类业务平台，业务接口多。 信息数据量大，用户信息价值高。 对Web类攻击进行多维度识别和防御，防止网站被挂马、篡改影响网站声誉。 智能AI与大数据协同，在现有的防护体系上扩充防护规则，提高防护效果。 降低硬件防护压力，利用边缘云安全、算力优势，减少硬件维护成本。 0day虚拟补丁第一时间生成防护策略，避免漏洞被利用带来负面影响。 金融行业 网站上存在大量的用户敏感信息，非法者利用刷库、撞库等手段获取用户账号信息。 常收到境外攻击团队勒索邮件，遭受攻击较多。 受行业监管要求，金融机构每年定期组织安全演练。 信用卡中心的各种推广活动，引来“羊毛党”通过恶意程序、软件等工具进行营销欺诈。 “云端+本地”双重保障，对攻击进行层层识别和防御，避免数据泄漏造成负面影响。 行业情报共享，不断优化安全防护模板。 爬虫防护，精准的人机识别，在拦截爬虫的同时，保障业务的正常进行。 新闻媒体 对外服务站点多，暴露面广，容易成为黑客突破口。 站点脆弱性未知，存在大量的漏洞未修复。 舆论、监管压力大，受主管、监管单位严格监管。 爬虫、钓鱼重灾区，竞争对手恶意竞争。 CNAME接入防御，自助配置，隐藏并保护源站，保障网站内容不被黑客入侵篡改。 通过业务分析及攻击分析定制防护策略，有效提升防护的精准度。 情报共享，全网攻击数据分析入库，反哺优化护网期间的攻击策略。 提供爬虫和 IP 情报特征，快速识别恶意爬虫行为。 教育行业 大量用户集中访问，高并发易卡顿。 跨区域运营商访问慢。 站点脆弱性未知，漏洞利用风险高。 挂马、数据篡改等事件高发时段。 域名CNAME接入，不改变源站架构，快速接入防护策略。 智能选路，分布式部署，资源弹性扩容，从容应对高并发。 0day漏洞快速修复，避免漏洞被利用带来负面影响。 支持防篡改，以及网站安全监测，提前预警防患于未然。

本节介绍了如何在控制台批量新增端口接入规则。 使用场景 如果您需要为多个非网站类业务提供DDoS高防（边缘云版）服务。您可以在DDoS高防（边缘云版）控制台进行批量端口转发规则新增。 注意 相同域名，无法同时进行域名接入（HTTP/HTTPS）和端口接入(TCP/UDP)。 前提条件 已开通DDoS高防（边缘云版）。 不支持80、8080、443、8443端口接入配置，关于上述接口的防护，建议您使用域名接入。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【端口接入】页面。 3.点击右上角【新增规则】按钮。 批量新增配置说明： 方法 配置项 说明 方法一 复制配置规则到文本框 1.每行对应一条规则，多条规则进行换行。 2.每行包含四个字段，从左到右依次时协议、转发端口、源站端口、源站、字段之间以空格分隔。 3.转发端口唯一值，源站端口、源站可多个，用; 号隔开。 方法二 导入TXT文件 按照上述规则，将内容保存为TXT文件，进行导入。 4.配置完成后，点击【确认】按钮，新增规则将变成“配置中”状态。 5.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“配置完成”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

本节为您介绍云迁移服务CMS服务器迁移任务中全量迁移部分公共操作。 CMS可在迁移过程中您可在“操作“选项卡，对不同任务进度进行操作。包括手动增量、停止增量、开始核查、取消核查、开始修复、取消修复、引导修复等操作。 您可在“任务管理”选项卡，进行带宽限制、CPU限制、暂停任务、继续任务、取消任务等操作。 全量迁移完成后，系统弹窗提示可进行下一步操作。

本文带您了解什么是配额、怎样查看配额以及如何申请扩大配额。 什么是配额？ 配额是指为了防止资源滥用，平台对服务资源的数量和容量进行限制。每个用户在使用云服务时都有一定的资源配额限制，例如可创建的弹性云主机数量、云硬盘容量等。 通过合理设置配额，平台可以保护其资源的可持续性，并确保公平的资源分配。同时，配额也是一种安全措施，可以限制恶意用户或异常行为对系统造成的影响。 如果当前的资源配额无法满足您的需求，您可以申请扩大配额，并说明您的使用需求以及合理的理由。 怎样查看配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 6. 如果某个资源的已使用量接近或达到配额限制，可能需要考虑申请扩大配额，请参考后续操作，申请扩大配额。 如何申请扩大配额？ 您可以按照以下步骤查看配额： 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在页面右上角，点击“我的配额”。 4. 系统进入“服务配额”页面。 5. 在页面右上角，单击“申请扩大配额”。 6. 在“新建工单”页面，选择“配额类”问题点击“提问”。 7. 点击“配额申请”。 8. 根据您的需求及提示，填写相关参数。 9. 填写完毕后，勾选“承诺所提交工单内容不包括敏感信息”并点击“确认提交”完成申请。

本文为您介绍如何使用ECI实例访问对象存储数据。 背景信息 天翼云对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 前期准备 已开通天翼云弹性容器实例服务。 已开通天翼云对象存储(ZOS)服务。 对象存储服务需要满足按量计费模式，已创建Access Key。 对象存储Bucket的存储类型仅支持标准存储和低频存储，不支持归档型存储（归档型不支持POSIX语义）。 操作步骤 天翼云弹性容器实例ECI支持用户通过控制台和OpenAPI等多种方式创建挂载对象存储作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问云硬盘中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 用户可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块4G大小的对象存储桶，挂载目录为/zostest。 5. 让我们尝试从/zostest目录下删除名为max.txt的文件，可以发现当我们以“只读”方式挂载时，文件系统不允许该文件被删除。

本文描述如何批量添加和导出防护规则。 如果您需批量添加和导出防护规则，请参照本章节进行处理。 批量导入防护规则操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 单击“下载模板”，下载导入规则模板到本地。 5. 请按表格要求填写您要添加的防护规则信息，防护规则参数说明如下表所示。 注意 目前最大支持导入300条规则，其中单个源地址组或服务组的成员不能超过64个。 请按照模板要求填写相应参数，确保导入文件的格式与模板一致，否则可能会导入失败。 参数名称 参数说明 取值样例 ::: 顺序 定义规则序号。 1 规则名称 自定义规则名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成，且名称长度不能超过255个字符。 test 方向 选择防护方向： 外到内：外网访问内部服务器。 内到外：客户服务器访问外网。 内到外 动作 选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。 放行 规则地址类型 选择“IPv4”或者“IPv6”。设置防护的IP类型。 IPv4 启用状态 设置该策略是否立即启用。 启用：表示启用，规则生效。 禁用：表示关闭，规则不生效。 启用 描述 标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 源地址类型 选择IP地址、IP地址组。 IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP 地址组 ：支持多个IP地址的集合。 IP地址 源IP地址 “源地址类型”选择“IP地址”时，需填写“源IP地址”。 源IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 192.168.10.5 源地址组名称 “源地址类型”选择“IP地址组”时，需填写“源地址组名称”。 支持以下输入格式： 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 stest 目的地址类型 选择IP地址、IP地址组或域名。 IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP 地址组 ：支持多个IP地址的集合。 域名：支持设置单个域名。 IP地址组 目的IP地址 “目的地址类型”选择“IP地址”时，需填写“目的IP地址”。 目的IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 192.168.10.6 目的地址组名称 “目的地址类型”选择“IP地址组”时，需填写“目的地址组名称”。 支持以下输入格式： 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 dtest 域名 “目的地址类型”选择“域名”时，需填写“域名”。 由一串用点分隔的英文字母组成（以字符串的形式来表示服务器IP），用户通过域名来访问网站。 www.example.com 服务类型 选择服务或服务组。 服务 ：支持设置单个服务。 服务组 ：支持多个服务的集合。 服务 协议/源端口/目的端口 设置需要限制的类型。 协议类型当前支持：TCP、UDP、ICMP、Any、ICMPV6。 设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 TCP/443/443 服务组名称 自定义服务组名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成，且名称长度不能超过255个字符。 servicetest 6. 表格填写完成后，单击“导入规则”按钮，导入防护规则表。 注意 导入规则操作将在数分钟内完成。 导入规则过程中访问策略、IP地址组、服务组均不支持添加、编辑、和删除操作。 7. 单击“下载中心”，查看导入规则任务状态，任务状态显示“导入成功”表示导入防护规则成功。 8. 返回防护规则列表查看导入的防护规则。

本文向您介绍怎样修改远程登录的端口。 修改Windows系统实例默认远程端口，以Windows Server 2012数据中心版为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考Windows弹性云主机管理控制台远程登陆（VNC方式），远程登录待修改端口的Windows弹性云主机实例。 5. 修改注册表子项PortNumber的值。 1）右键单击Windows 徽标键，选择运行，启动运行窗口。 2）在运行窗口的文本框内输入regedit.exe后按回车键，打开注册表编辑器。 3）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 4）在列表中找到注册表子项PortNumber并右键单击，选择修改，进入修改窗口。 5）在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击确定。 6）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 7）在右侧列表中找到注册表子项PortNumber并右键单击，选择修改（可以使用键盘方向键向下寻找）。 8）在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击确定。 6. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 7. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 具体操作，请参见配置安全组规则。 8. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。 修改Linux系统实例默认远程端口，以CentOS 8.0 64位为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待修改的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 因sshdconfig是Linux中重要的配置文件，为了避免误操作所带来的故障，在运行前首先对sshdconfig进行备份，请运行以下命令： 7. 进入到/etc/ssh路径下输入ll命令查看，具体信息如下图： cp /etc/ssh/sshdconfig /etc/ssh/sshdconfigbak 8. 修改sshd服务的端口号，因为已经在/etc/ssh路径下，因此直接运行vim sshdconfig编辑sshdconfig配置文件，在键盘上按i键，进入编辑状态，添加新的远程服务端口，本节以2222端口为例。在Port 22下输入Port 2222。 9. 在键盘上按Esc键，输入:wq后保存并退出编辑模式。 10. 运行以下命令重启sshd服务。 systemctl restart sshd 至此，此弹性云主机的远程登录默认端口已经从22改为了2222。 功能验证： 1）打开远程连接工具putty，输入此弹性云主机实例的弹性公网IP，先使用默认22端口登录，可以看到连接被拒绝，网络已中断，说明目前22端口已经无法进行远程登录。 2. 配置实例的安全组，放行TCP协议2222端口，具体操作，请参见配置安全组规则 3. 配置完成之后，使用SSH工具连接新端口2222，在port下输2222，可看到能够成功连接。

本文帮助您快速了解地域资源池如何进行VPC的IPv6改造。 背景信息 对于存量的IPv4单栈的VPC，VPC内的云资源只能通过IPv4单栈网络实现内网和公网通信；随着客户业务的发展，需要通过IPv4/IPv6双栈网络实现内网和公网的通信。 资源池说明 由于在不同资源池IPv6的能力存在配置差异，具体可以分为地域资源池、可用区资源池； 地域资源池是没有可用区概念的资源池，您的所有资源都在地域下的一个数据中心中。 可用区资源池分单可用区资源池和多可用区资源池。可用区资源池和地域资源池网络架构类似，但是能力有区别。 详细说明请参考：资源池区别； 地域资源池场景示例： 某客户由于业务发展，北京5下的ECS需要通过IPv6地址对公网提供服务。 资源类型 资源名称 资源说明 改造前资源 VPC vpc9e37 云上专有网络，网段：192.168.0.0/16 改造前资源 子网 subnet9e37 子网网段：192.168.0.0/24 改造前资源 云主机 ecm92f5 私网IPv4地址：192.168.0.158 改造前资源 云主机 ecm92f5 公网IPv4地址：49.7.226.224 改造后资源 VPC vpc9e37 云上专有网络，网段：192.168.0.0/16 改造后资源 子网 subnet9e37 子网网段：192.168.0.0/24、240e:981:201:29::578:0/112 改造后资源 云主机 ecm92f5 私网IPv4地址：192.168.0.158 改造后资源 云主机 ecm92f5 公网IPv4地址：49.7.226.224 改造后资源 云主机 ecm92f5 IPv6地址：240e:981:201:29::578:261 改造后资源 IPv6带宽 bwc17a

本文介绍如何创建容器应用。 应用指运行在CCE上的一组实例。创建一个完整的容器应用，可以通过“选择开源镜像”、“上传并选择私有镜像”两种方式实现，后续还将支持通过“应用模板”进行应用创建。本节指导用户通过容器镜像创建无状态类型的容器应用。 操作前提 已创建集群并添加节点。 若用户需要使用私有镜像作为镜像源，需要提前制作好私有镜像并将其上传到仓库中。 操作步骤 1.选择资源池，如【杭州2】，进入云容器引擎平台页面； 2.单击左侧导航栏的【工作负载】>【无状态】，进入无状态应用列表； 3.在【无状态】页下，单击【创建应用】按钮，进入应用创建页面； 4.按照页面提示填写，包含基本信息、容器设置、添加服务、高级配置几步。 1）基本信息填写：按照下表，输入相应参数，其它保持默认： 参数 说明 应用名称 nginx 部署集群 选择所创建的集群 实例数量 1 命名空间 default 2）单击【下一步】，进入容器设置页面>单击【选择镜像】按钮，弹出镜像选择框>在【天翼云官方镜像】页签中选择nginx的镜像，勾选后单击【确定】>选择镜像版本latest，容器名称及规格保持默认，其余配置可跳过>点击【下一步】，进入【添加服务】设置页面； 3）单击【添加服务】，参照下表，输入应用访问配置参数。本例中，将 nginx 应用设置为被集群内访问，参数具体填写内容如下表展示： 参数 说明 服务名称 输入应用发布的可被同个集群内的其他应用访问的名称，设置为：nginx 访问方式 集群内访问 容器端口 容器中应用启动监听的端口，nginx 镜像请设置为：81 访问端口 设置为8080 协议 TCP 4）单击【下一步】，高级设置可按需配置>单击【提交】,等待应用创建完成； 5）应用创建完成后，在应用管理列表中可查看到运行中的应用。 本章节以“天翼云官方镜像”的方式创建应用为例，来创建一个 nginx 容器应用。nginx 是一款轻量级的 Web 服务器，您可通过云容器引擎 CCE 快速创建 nginx 容器应用，搭建 nginx web 服务器。 说明： 节点和应用运行过程中会产生费用，建议您参照本章节创建应用后，删除应用和节点，避免费用产生。本章节执行完成后，可成功访问 nginx 的网页，如下图：

什么是整机镜像？ 整机镜像是包含云主机操作系统、应用软件和业务数据的镜像。一般适用于云主机数据整体搬迁，例如： 将区域A的云主机迁移至区域B 将老旧云主机上的数据迁移至新云主机 为什么创建整机镜像时需要选择存储库？需要多支付费用吗？ 使用云服务备份创建整机镜像时，必须选择一个存储库，这个存储库相当于存储容器，镜像、备份都存放在该容器中。用户需要为存储库付费。 创建成功的整机镜像在哪里查看数据盘信息？ 整机镜像创建成功后，镜像列表和详情中只显示系统盘信息（即“磁盘容量”参数），数据盘信息可以在云主机备份或云服务备份中查看。究竟在云主机备份中查看，还是在云服务备份中查看，取决于整机镜像的创建方式。 以在云服务备份中查看为例，方法如下： 在私有镜像列表中，单击整机镜像名称，进入镜像详情页面。 找到“来源”参数，单击其后的备份ID。 进入云服务备份详情页面，单击“磁盘级备份”页签，列表中展示了系统盘和数据盘的详细信息。 整机镜像有哪些使用限制？ 整机镜像不支持导出。 整机镜像不支持区域内复制及跨区域复制。

使用mysqldump迁移MySQL数据 说明：本章节会介绍如何使用mysqldump迁移MySQL数据库数据 迁移准备 关系型数据库服务支持开启公网访问功能，通过弹性公网IP进行访问。您也可通过弹性云服务器的内网访问关系型数据库。 1、准备弹性云服务器或可通过公网访问关系型数据库。 通过弹性云服务器连接关系型数据库实例，需要创建一台弹性云服务器。通过公网地址连接关系型数据库实例，需具备以下条件： （1）先对关系型数据库实例绑定公网地址。 （2）保证本地设备可以访问关系型数据库实例绑定的公网地址。 2、在准备的弹性云服务器或可访问关系型数据库的设备上，安装MySQL客户端。 该弹性云服务器或可访问关系型数据库的设备需要安装和RDS MySQL数据库服务端相同版本的数据库客户端，MySQL数据库或客户端会自带mysqldump和mysql工具。 导出数据 要将源数据库迁移到关系型数据库，需要先对其进行导出。 相应导出工具需要与数据库引擎版本匹配。 数据库迁移为离线迁移，您需要停止使用源数据库的应用程序。 登录已准备的弹性云服务器，或可访问关系型数据库的设备。 使用mysqldump将元数据导出至SQL文件。 MySQL数据库是关系型数据库服务管理所必须的数据库，导出元数据时，禁止指定alldatabase参数，否则会造成数据库故障。 mysqldump databases singletransaction orderbyprimary hexblob nodata routines events setgtidpurgedOFF u p h P sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > DBNAME为要迁移的数据库名称。 DBUSER为数据库用户。 DBADDRESS为数据库地址。 DBPORT为数据库端口。 BACKUPFILE为导出生成的文件名称。 根据命令提示输入数据库密码。 示例如下： mysqldump databases rdsdb singletransaction orderbyprimary hexblob nodata routines events setgtidpurgedOFF u root p h 192.168.151.18 P 3306 sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > dumpdefs.sql Enter password: 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 命令执行完会生成“dumpdefs.sql”文件，如下： [rds@localhost ~]$ ll dumpdefs.sql rwr. 1 rds rds 2714 Sep 21 08:23 dumpdefs.sql 使用mysqldump将数据导出至SQL文件。 MySQL数据库是关系型数据库服务管理所必须的数据库，导出元数据时，禁止指定alldatabase参数，否则会造成数据库故障。 mysqldump databases singletransaction hexblob setgtidpurgedOFF nocreateinfo skiptriggers u p h P r 上命令的参数说明如步骤2所示。 根据命令提示输入数据库密码。 示例如下： mysqldump databases rdsdb singletransaction hexblob setgtidpurgedOFF nocreateinfo skiptriggers u root p h 192.168.151.18 P 8635 r dumpdata.sql 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 命令执行完会生成“dumpdata.sql”文件，如下： [rds@localhost ~]$ ll dumpdata.sql rwr. 1 rds rds 2714 Sep 21 08:23 dumpdata.sql 导入数据 通过弹性云服务器或可访问关系型数据库的设备，用相应客户端连接关系型数据库实例，将导出的SQL文件导入到关系型数据库。 如果源数据库中包含触发器、存储过程、函数或事件调用，则需确保导入前设置目标数据库参数logbintrustfunctioncreatorsON。 导入元数据到关系型数据库。 先用mysql工具连接关系型数据库实例，输入密码后，执行导入命令。

本文为您介绍反向注册的操作流程。 操作场景 在生产中心的受保护的服务器完成确认故障切换后，可以对容灾中心的云主机进行反向注册操作，为后续的反向复制做准备。完成反向注册后，受保护的服务器将变为容灾中心的云主机。 本示例中ecmtest为生产中心的云主机，ecmrecovery为容灾中心的云主机。 前提条件 受保护的服务器状态为“确认故障切换完成”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障恢复＞反向注册”。本节以ecmtest为例。 7. 弹出“反向注册”确认页面，确认信息无误后单击“确定”，云主机状态变为“反向注册中”。 8. 待云主机状态变为“已反向初始化”，说明反向注册完成。 此时，受保护的服务器变为容灾中心的云主机，本示例中为ecmrecovery。

在GPU云主机上搭建模型运行环境 步骤一：创建1台未配置驱动的GPU云主机 1. 进入创建云主机页面。 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 单击“服务列表>弹性云主机”，进入主机列表页。 3. 单击“创建云主机”，进入弹性云主机创建页。 2. 进行基础配置。 1. 根据业务需求配置“计费模式”、“地域”、“企业项目”、“虚拟私有云”、“实例名称”、“主机名称”等。 2. 选择规格。此处选择"CPU架构"为"X86"、"分类"为"GPU加速/AI加速型"、"规格族"为"GPU计算加速型p2v"、"规格"为"p2v.4xlarge.8"。 注意 大模型推理场景需要处理大量的数据和参数，对显卡显存和云盘大小都有一定要求。 针对显存，加载全精度Llama7Bchat模型时，模型将消耗28G显存，除此之外也需要额外的显存用于存储中间激活和其他临时变量，因此，最低选择显存为32G的V100显卡。同时您也可以根据自身需求对模型进行量化，缩减模型大小，减少对显存的要求并提升计算速度。 针对系统盘，为了存储模型文件、相关依赖、输入数据以及中间结果，最好将系统盘大小配置为100GB以上。 3. 选择镜像。此处选择ubuntu 20.04的基础镜像进行推理实践。 注意 为了演示模型搭建的整个过程，此处选择未配备任何驱动和工具包的ubuntu基础模型。详细创建步骤请参见创建未配备驱动的GPU云主机GPU云主机用户指南创建GPU云主机 天翼云。 最终我们生成了预装llama2模型和模型依赖的大模型镜像，并在成都4进行了加载，如您有相关需要可在订购时直接选择该镜像——大模型镜像 LLaMA27BChat(100GB)。 4. 设置云盘类型和大小。 3. 网络及高级配置。设置网络，包括"网卡"、"安全组"，同时配备'弹性IP'用于下载模型和相关依赖；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 4. 确认配置并支付。

本文主要介绍如何创建物理机备份。 自动备份 需要先创建备份策略，物理机绑定备份策略后，会按照备份策略进行周期性备份，用户定期查看备份结果即可。 手动备份 如果想在任意时间点即时备份，可以手动创建物理机备份。 1. 登录管理控制台。 2. 选择“存储 > 云服务备份”。 进入“云服务备份控制台”。 3. 在云主机备份页面，单击右上角的“创建云主机备份存储库”。 4. 选择计费模式。 5. 选择保护类型。 备份：创建的存储库类型为云主机备份存储库，用于存放云主机备份。 6. 在服务器列表中勾选需要备份的服务器或磁盘。勾选后将在已勾选服务器列表区域展示。可以选择服务器部分磁盘绑定至存储库。 注意 考虑到恢复后数据的一致性问题，建议您对整个服务器进行备份。 如果您希望选择部分磁盘备份以节省成本，请尽量确保这些磁盘的数据不受其他未备份磁盘的数据影响，否则可能会导致数据不一致问题。 例如，Oracle应用的数据分散在不同磁盘上，如果只备份了部分磁盘，会导致恢复后数据不一致（已备份磁盘恢复到历史时间点数据，未备份磁盘仍保留当前数据），甚至导致应用无法启动。 说明 所选服务器未绑定存储库且状态必须为“运行中”或“关机”。 如果不勾选服务器，如需备份可在创建存储库后绑定服务器即可。 7. 输入存储库的容量。取值范围为[10，10485760]GB。您需要提前规划存储库容量，存储库的容量不能小于备份服务器的大小，开启自动绑定功能和绑定备份策略后所需的容量更大。 如果实际使用时存储库容量不足，可以通过扩容存储库扩大容量。 8. 选择是否配置自动备份。 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的服务器都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 暂不配置：存储库将不会进行自动备份。 9. 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 10. 输入待创建的存储库的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vaultf61e。 说明 也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 11. 为存储库添加标签。 标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。 标签的设置说明如下表所示。 参数 说明 举例 键 输入标签的键，同一个备份标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到36个Unicode字符。 只能包含大写字母、小写字母、数字和特殊字符“”和“”以及中文字符。 Key0001 值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到43个Unicode字符。 只能包含大写字母、小写字母、数字和特殊字符“”和“”以及中文字符。 Value0001 12. 当计费模式为“包年/包月”时，需要选择购买时长。可选取的时间范围为1个月5年。 可以选择是否自动续费，勾选自动续费时： 按月购买：自动续费周期为1个月。 按年购买：自动续费周期为1年。 13. 根据页面提示，完成支付。 14. 返回云主机备份页面。可以在存储库列表看到成功创建的存储库。

本节介绍注册集群概述。 CCE One注册集群可以帮助您快速实现kubernetes集群注册到云端，使用天翼云容器管理控制台对注册集群进行统一管理，赋予云下集群使用云上资源能力。目前CCE One支持注册以下类型的注册集群。 注册集群类型 集群描述 相关文档 天翼云集群 包含天翼云云容器引擎CCE专有版、托管版、智算版和Serverless版。 前往链接 本地集群 由CCE提供的运行在您数据中心基础设施之上的Kubernetes集群，以及满足CNCF标准的IDC自建的Kubernetes集群。 前往链接 三方云集群 三方公有云上提供的Kubernetes集群产品，如：阿里云(ACK)、腾讯云(TKE)、GCP (GKE)、AWS(EKS)等。 前往链接 AnyWhere集群 由天翼云容器服务提供的，运行在您数据中心基础设施之上的Kubernetes集群。 前往链接

本章节主要向您介绍路由表与路由的定义。 路由表 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。VPC中的每个子网都必须关联一个路由表，一个子网只能关联一个路由表，但一个路由表可以同时关联至多个子网。 路由表支持添加IPv4和IPv6路由。 默认路由表：用户创建VPC时，系统会自动为其生成一个默认路由表，创建子网后，子网会自动关联默认路由表。默认路由表可以确保VPC内，不同子网的内网网络互通。 您可以在默认路由表中添加、删除和修改路由规则，但不能删除默认路由表。 创建VPN、云专线服务时，默认路由表会自动下发路由，该路由不能删除和修改。 自定义路由表：您可以直接使用默认路由表，也可以为具有相同路由规则的子网创建一个自定义路由表，并将自定义路由表与子网关联。自定义路由表可以删除。 子网关联自定义路由表仅影响子网的出流量走向，入流量仍然匹配子网所在VPC的默认路由表。 路由 用户创建虚拟私有云时，系统会自动为其生成一个默认路由表，创建子网后，子网会自动关联默认路由表。 您可以在默认路由表中添加、删除和修改路由规则，但不能删除默认路由表。 创建VPN、云专线服务时，默认路由表会自动下发路由，该路由不能删除和修改。 您可以直接使用默认路由表，也可以为具有相同路由规则的子网创建一个自定义路由表，并将自定义路由表与子网关联。自定义路由表可以删除。 说明： 子网关联自定义路由表仅影响子网的出流量走向，入流量仍然匹配默认路由表。 当前自定义路由表需提交工单申请，如需使用自定义路由表，请在创建路由表页面单击“申请扩大配额”。 创建自定义路由表的方法请参见创建自定义路由表。

本文旨在介绍在云应用引擎CAE的微服务应用中,如何通过配置弹性伸缩策略,实现应用实例的自动扩缩容,以应对业务负载变化。 功能介绍 弹性伸缩是云应用引擎为微服务应用提供的一项核心能力，用于根据业务负载变化自动调整应用实例数量。通过配置弹性伸缩策略，应用可以在高并发或突发流量场景下自动扩容，保障服务的稳定性和可用性；在业务负载下降时自动缩容，降低资源消耗和运行成本。CAE支持多种弹性伸缩策略，涵盖基于时间的定时伸缩以及基于运行时负载的指标伸缩。用户可根据业务特性灵活选择，实现更精细化的弹性调度能力。 定时策略 定时策略是一种基于时间触发的弹性伸缩方式。用户可通过配置指定的时间窗口，在预期的时间段内将应用实例扩容至设定的实例数，在时间窗口结束后自动恢复至原有规模。 适用场景 业务存在明显的周期性流量高峰，如白天/夜间、工作日/节假日 秒杀、促销、活动开始前的预扩容场景 定时任务、批处理作业在固定时间段集中运行 希望在流量到来前提前保障实例容量，提升用户体验 指标策略 指标策略是一种基于应用运行状态的弹性伸缩方式。CAE会持续监控应用的运行指标，并根据指标变化自动调整实例数量。当指标超过或低于设定阈值时，系统将触发扩容或缩容操作，实现按需弹性伸缩。指标策略能够实时响应业务负载变化，适用于流量波动不确定、峰值不可预估的业务场景。 适用场景 请求流量、并发量随业务变化不具备明显规律 微服务接口存在突发访问或瞬时流量激增 希望根据系统负载实现精细化、自动化扩缩容 对资源利用率和成本控制要求较高的在线服务

本文旨在介绍在云应用引擎CAE的微服务应用中,如何通过配置弹性伸缩策略,实现应用实例的自动扩缩容,以应对业务负载变化。 功能介绍 弹性伸缩是云应用引擎为微服务应用提供的一项核心能力，用于根据业务负载变化自动调整应用实例数量。通过配置弹性伸缩策略，应用可以在高并发或突发流量场景下自动扩容，保障服务的稳定性和可用性；在业务负载下降时自动缩容，降低资源消耗和运行成本。CAE支持多种弹性伸缩策略，涵盖基于时间的定时伸缩以及基于运行时负载的指标伸缩。用户可根据业务特性灵活选择，实现更精细化的弹性调度能力。 定时策略 定时策略是一种基于时间触发的弹性伸缩方式。用户可通过配置指定的时间窗口，在预期的时间段内将应用实例扩容至设定的实例数，在时间窗口结束后自动恢复至原有规模。 适用场景 业务存在明显的周期性流量高峰，如白天/夜间、工作日/节假日 秒杀、促销、活动开始前的预扩容场景 定时任务、批处理作业在固定时间段集中运行 希望在流量到来前提前保障实例容量，提升用户体验 指标策略 指标策略是一种基于应用运行状态的弹性伸缩方式。CAE会持续监控应用的运行指标，并根据指标变化自动调整实例数量。当指标超过或低于设定阈值时，系统将触发扩容或缩容操作，实现按需弹性伸缩。指标策略能够实时响应业务负载变化，适用于流量波动不确定、峰值不可预估的业务场景。 适用场景 请求流量、并发量随业务变化不具备明显规律 微服务接口存在突发访问或瞬时流量激增 希望根据系统负载实现精细化、自动化扩缩容 对资源利用率和成本控制要求较高的在线服务