本节介绍了POD联网使用案例的用户指南。 本文介绍如何在容器集群创建的pod中，实现访问公网。 准备工作 已创建云服务引擎集群； 已在容器集群中创建pod，该pod需要进行公网访问。 操作步骤 步骤一：确定要访问公网的pod ip，确定其所属vpc的子网网段； 步骤二：购买弹性IP; 步骤三：购买NAT网关及配置路由； 步骤四：配置SNAT规则； 步骤五：pod内测试连通性。 步骤一：确定要访问公网的pod ip，确定其所属vpc的子网网段 1、首先确定容器集群部署所用网络插件类型，步骤如下 登录天翼云“云容器引擎”管理控制台； 选择指定资源池，进去集群列表； 点击进入指定集群； 在“集群信息”“基本信息”中查看网络插件； 2、确定访问公网的pod所属vpc子网网段 以无状态部署为例： “工作负载”“无状态”，选择命名空间，进入指定deployment； 进入deployment实例详情，查看pod列表； 如果网络插件是calico，那么记录实例所在节点ip： 如果网络插件是cubecni，那么记录pod ip： 在“虚拟私有云”“子网” 中，查看上述记录ip所属ip网段；

本文介绍两种方法来验证域名归属权。 背景说明 客户在天翼云控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 1. 客户需在自己的域名解析服务商（例如：腾讯云、新网等），操作本次要新增域名的【主域名】解析记录，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 注意 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准）。 主机记录：为固定值：dnsverify。 TXT记录值为根据域名随机生成： 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2. 域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 Linux系统解析命令：dig dnsverify.ctcdn.cn txt。 3. 如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本章节会介绍在关系型数据库服务的管理控制台创建实例的过程。 操作场景 您可以通过关系型数据库服务的管理控制台或API创建关系型数据库实例。关于如何通过API创建的信息，请参见《关系型数据库API参考》中实例管理章节的“创建实例”的内容。本文将介绍在关系型数据库服务的管理控制台创建实例的过程。 目前，RDS for PostgreSQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的RDS实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击“购买数据库实例”。 步骤 5 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 计费模式： 包年/包月 ： 若选择该模式，跳过步骤6，执行步骤7。 按需计费 ： 若选择该模式，继续执行步骤6。 表 基本信息 参数 描述 :: 区域 租户当前所在区域，也可在页面左上角切换。说明不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 PostgreSQL。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用PostgreSQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况：− 相同，主机和备机会部署在同一个可用区。− 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 单机：只创建一个主实例。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 表 规格与存储 参数 描述 :: 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 表 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟网络环境，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云和子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 说明 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 IPv4地址： 创建实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的IPv4内网地址。实例创建成功后该内网地址可修改。 IPv6地址： 选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。 创建实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 安全组 控制网络出/入及端口的访问，默认添加了关系型数据库实例所属的安全组访问。 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果没有可选的安全组，关系型数据库服务默认为您分配安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“IPv4/IPv6双栈管理”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表 数据库配置 参数 描述 :: 管理员帐户 数据库的登录名称默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~!@

本文介绍如何将弹性IP绑定到弹性负载均衡ELB实例。 前提条件 已创建弹性负载均衡，且地域必须和EIP的地域相同。 操作步骤 1. 登录网络控制台。 2. 单击控制中心左上角的，选择地域。 3. 在左侧导航栏，单击“弹性负载均衡>负载均衡器”。 4. 在目标实例的操作列，单击“更多>绑定IP”。

本节介绍全流量分析服务接入流程。 托管检测与响应服务团队通过全流量分析服务，对接入托管检测与响应服务的云主机流量进行全面分析，发现病毒木马、APT攻击等。 服务阶段 实施内容 购买阶段 请您根据实际需求及服务团队沟通建议购买全流量分析服务，购买指引请参见购买全流量分析服务。 准备阶段 明确需创建的虚拟机规格，是否需要对接终端引流插件。 部署阶段 上传私有镜像、创建全流量虚拟机、完成授权，全流量对接及外发策略配置。

本文介绍AIuse云电脑的产品特点 AIuse云电脑致力为AI构建任务执行平台，它依托天翼AI云电脑的强大算例，通过意图识别，模拟用户操作，自动完成任务的规划、决策与实施，助力AI的商业化落地。 多场景覆盖 搭建可定制云端桌面环境，依托标准化接口实现传统桌面软件自动化调用与批量操作，适配政企办公，研发测试等多场景使用。 灵活接入 提供标准化工具链与弹性运行环境、支持WebSdk、MCP等主流接入方式，无缝对接各种AI agent，兼容轻量调用与专业部署方式。 高效运行 依托天翼云强大算力底座，实现算力弹性伸缩与并发场景高效运行，保障桌面操作、软件运行及数据处理的流畅性与可靠性。 安全防护 采用企业级沙箱防护方案，构建多层次安全体系，用过严格权限隔离防范各类安全风险，保障企业核心业务数据安全合规。

前提条件： 1、提前开通专属云（计算独享型），并存留足够未分配的计算资源； 2、提前开通VPC、安全组等网络侧资源； 操作步骤： 步骤一： 登录天翼云账号，切换至专属云（计算独享型）节点； 如已购买了专属云（计算独享型），在控制台的右上角节点区域，可见有独立专属云“dec”标识的节点，选择用户需要进行Kafka购买的专属云节点进入。 图 带专属云“dec”标识的节点如下： 步骤二： 进入专属云节点后，在控制台中的产品列表中选择“分布式消息服务”，进入到服务控制台，在左侧菜单栏选择“Kafka专享版”，进入Kafka专享版实例列表页面。 图 专享版Kafka订购入口 步骤三： 点击“购买Kafka实例”，进入订购页面，按提示进行相关规格选择与配置。 1）计费方式为“包年包月”； 2）可用区：客户可自行根据资源池多AZ支持情况选择可用区进行创建。 说明：专享版Kafka的实例为集群模式，支持选择1个或者3个及以上可用区。不支持选择2个可用区，选择时需要注意；该可用区选择后不支持更换。 3）实例名称及企业项目：按命名规范自定义，也可以默认系统分配的名称； 4）Kafka版本：当前支持2种版本选择，2.3.0和1.1.0，推荐时间2.3.0版本； 5）CPU架构：当前仅支持“x86计算”，保持默认值即可； 图 购买Kafka订购页 6）选择具体的队列规格类型，在规格的描述与说明中会有该队列的底层资源类型、代理数量、分区上限、消费组数量，供客户与业务系统需求匹配规格。 说明：当前订购规格后，暂不支持规格变更，请在订购时做好业务整体需求评估。 7）选择存储空间：此处有2种存储可以选择，分别是公有云的云硬盘、专属分布式存储。存储的类型均支持高IO、超高IO。 说明：1、选择云硬盘时，具体价格以公有云的云硬盘价格为准； 2、选择转属分布式存储时，需提前已购买了专属云（存储独享型），在“可用存储”右侧的“存储池”列表中进行选择。 3、根据实际需要选择存储Kafka数据的总磁盘大小。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 • 基准带宽为100MB/s时，存储空间取值范围：600GB ~ 90000GB。 • 基准带宽为300MB/s时，存储空间取值范围：1200GB ~ 90000GB。 • 基准带宽为600MB/s时，存储空间取值范围：2400GB ~ 90000GB。 • 基准带宽为1200MB/s时，存储空间取值范围：4800GB ~ 90000GB 图 订购页界面 图 选择云硬盘时存储类别 图 选择专属分布式存储时，需要提前购买专属存储，并在存储池列表中选择 8）选择私有云、安全组； 虚拟私有云可以为您的Kafka专享实例构建隔离的、能自主配置和管理的虚拟网络环境。 虚拟私有云和子网在Kafka专享版实例创建完成后，不支持修改。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 9）设置Kafka Manager的用户名、密码； Kafka Manager是开源的kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 10）选择订购时长； 11）点击“立即购买”之前，还可进入“更多配置”也进行高级配置。 1、SASLSSL开关，开启后则对数据进行加密传输，但会对性能造成下降； 客户端连接Kafka专享版实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 创建实例后，Kafka SASLSSL开关不支持修改，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您需要设置连接Kafka专享版实例的用户名和密码。 2、自动创建Topic，开关开启后，Topic将根据配置API接口自动创建。 选择开启“Kafka自动创建Topic”，表示生产或消费一个未创建的Topic时，会自动创建一个包含3个分区和3个副本的Topic。 12）点击“立即购买”，进入支付前规格确认界面。显示详细kafka 实例信息，价格。 13）确认实例信息无误且阅读并同意服务协议后，点击“去支付”进入购买支付环节，完成付款后则开启Kafka创建。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明： 创建失败的实例，不会占用其他资源。

本文介绍云防火墙CFW服务在使用过程中的约束和限制。 CFW使用限制 仅支持对部署在云平台内的业务提供防护，不支持跨云使用。 支持弹性公网IP EIP的流量防护，不支持全域公网带宽GEIP、API网关APIG绑定的EIP的流量防护。 VPC边界流量防护功能依赖企业路由器ER服务引流，使用该功能时，需确保账号下至少有一个企业路由器。 云防火墙不支持防护中文域名。 防护策略配额限制 防护规则 一个防火墙实例最多添加20000条防护规则。 黑白名单 一个防火墙实例最多添加2000条黑名单。 一个防火墙实例最多添加2000条白名单。 成员组 IP地址组 每个防火墙实例下最多添加3800个IP地址组。 每个IP地址组中最多添加640个IP地址成员。 每个防火墙实例下最多添加30000个IP地址。 服务组 每个防火墙实例下最多添加900个服务成员。 每个防火墙实例下最多添加512个服务组。 每个服务组中最多添加64个服务成员。 域名组 域名组中所有域名被“防护规则”引用最多40000次，泛域名（例如：.example.com）被“防护规则”引用最多2000次。 应用域名组（七层协议解析） 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组（四层协议解析） 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。

本章节主要介绍弹性扩缩容。 前提条件 新创建的队列需要运行作业后才可进行弹性扩缩容。 注意事项 16CUs队列不支持扩容和缩容。 64CUs队列不支持缩容。 如果在“弹性扩缩容”页面提示“Status of queue xxx is assigning, which is not available”，表示需要等待队列资源分配完毕才可进行扩缩容。 弹性扩容 当前队列规格不满足业务需要时，可以通过手动变更队列规格来扩容当前队列。 说明 扩容属于耗时操作，在DLI“弹性扩缩容”页面执行扩容操作后，需要等待大约10分钟，具体时长和扩容的CU值有关，等待一段时间后，可以通过刷新“队列管理”页面，对比“规格”和“实际CUs”大小是否一致来判断是否扩容成功。或者在“作业管理”页面，查看“SCALEQUEUE”类型SQL作业的状态，如果作业状态为“弹性扩缩容中”，表示队列正在扩容中。 操作步骤如下： 1. 在DLI管理控制台左侧，选择“资源管理 > 队列管理”。 2. 选择需要扩容的队列，单击“操作”列“更多”中的“弹性扩缩容”。 3. 在“弹性扩缩容”页面，“变更方式”选择“扩容”，设置扩容的CU值。 4. 确认无误后，单击“确定”。 弹性缩容 当计算业务较小，不需要那么大的队列规格时，可以通过手动变更队列规格来缩容当前队列。 说明 缩容属于耗时操作，在DLI“弹性扩缩容”页面执行缩容操作后，需要等待大约10分钟，具体时长和缩容的CU值有关，等待一段时间后，可以通过刷新“队列管理”页面，对比“规格”和“实际CUs”大小是否一致来判断是否缩容成功。或者在“作业管理”页面，查看“SCALEQUEUE”类型SQL作业的状态，如果作业状态为“弹性扩缩容中”，表示队列正在缩容中。 系统不保证完全缩容到设定的目标大小。如果当前队列正在使用或者队列业务量比较大，会出现缩容不成功，或者缩容一部分规格的情况。 系统默认最小CU值为16CU，即当队列规格为16CUs时，不能进行手动缩容。 操作步骤如下： 1. 在DLI管理控制台左侧，选择“资源管理 >队列管理”。 2. 选择需要扩容的队列，单击“操作”列“更多”中的“弹性扩缩容”。 3. 在“弹性扩缩容”页面，“变更方式”选择“缩容”，设置缩容的CU值。 4. 确认无误后，单击“确定”。

本文为您介绍密钥管理服务的到期、欠费产生的影响及解决办法。 KMS目前存在包周期、按需两种付费方式，关于到期、欠费后对KMS服务会进入冻结状态，期间服务将不可用。如需继续使用服务，您需要进行包周期服务续订、账户充值。 注意 若您使用了云硬盘、对象存储、弹性文件、关系数据库Mysql版，并开启了KMS服务端加密功能，请特别注意KMS服务的到期或欠费状态。若KMS服务到期未及时续订、欠费未及时充值而进入冻结，云产品加密所使用的密钥将无法正常使用，加密、解密等调用请求将被拒绝，云产品将会出现异常。 包周期到期说明 若您购买了包周期版KMS服务，为避免KMS服务到期后停服导致您的业务无法使用密钥等资源，需要在服务到期前为实例手动续订，或设置到期自动续订策略。 服务即将到期前，系统会以短信或邮件的形式提醒服务即将到期，并提醒用户续订。 服务到期后，如果没有按时续订，平台会冻结服务，但用户的资源及配置信息会提供15天的保留期。 说明 保留期内，平台会冻结KMS服务，用户购买包周期版本后所创建的密钥等资源不可用，即无法正常进行加解密等运算操作。保留期满，用户若仍未续订，KMS服务将被释放，用户所创建的密钥等资源及其所有配置将会被删除且不可恢复。 如果您仍需继续使用KMS服务中的密钥等资源，请提前进行续订。

本节介绍跨集群跨地域容灾迁移。 为了应对集群单点宕机故障，分布式容器云平台CCE One的集群联邦提供多集群多活应用、秒级流量接管能力。业务应用的实例可以多集群多活的部署在不同容器集群服务中，当集群单点宕机故障发生时，集群联邦可以秒级自动完成应用实例的弹性迁移以及流量的切换，业务的可靠性大大提升。 多活容灾方案示意如下图所示，通过创建域名访问规则，将应用分发到多个Kubernetes集群，包括两个天翼云CCE集群（部署在不同Region）和一个其他云的Kubernetes集群，实现应用的多活容灾。 前提条件 已开通一个天翼云CCE集群和一个三方云集群。 已订购具备策略解析能力的公网DNS服务，例如GTM等；天翼云当前无此类产品售卖，因此需用户自行准备，或找专门的DNS服务提供商购买。 适用场景 对应用容灾高可用有较高要求，希望实现业务极致弹性及高可用的场景。 操作指引 本文将基于天翼云CCE集群和阿里云ACK集群，演示如何实现多集群应用容灾与自动迁移能力。 步骤一：将天翼云CCE集群及三方云集群，注册到CCE One，并加入到联邦成员中 1. 在【集群资源】>【注册集群】页面，选择天翼云类型注册集群，并根据指引将提前创建的天翼云CCE集群和阿里云ACK集群关联进来； 2. 进入【舰队管理】页面，创建舰队并添加上面关联的两个CCE One注册集群； 3. 进入【联邦管理】页面，根据指引订购集群联邦实例，并将联邦实例与上面的舰队进行关联； 由于舰队中成员集群与联邦存在跨资源池情况，联邦联通网络可能需要用户手工干预才能联通；具体可参考指引 打通注册集群与联邦实例之间的联通网络 如下图所示： 已成功注册到联邦的成员集群，其【接入联邦状态】应为“已连接”；若连接状态为“添加失败”，则可以参考上面指引进行网络配置调整，并修改【联邦网络类型】到对应类型后，触发后台再次自动尝试连接。

本文介绍了云搜索服务中目前支持的组件及其功能。 Elasticsearch Elasticsearch是一个分布式全文检索引擎，能够自动管理索引和查询在实例中的分布方式，‌操作实现简单。无论是结构化、非结构化的文本、数字数据还是地理空间数据，Elasticsearch都能支持快速搜索的方式高效地存储和构建索引。 高拓展、高实时的搜索与数据分析引擎。 生态完整，可叠合Logstash、Kibana作为集成解决方案收集存储分析呈现数据。 采用Rest API标准，可通过HTTP接口使用JSON格式进行操作数据。 Kibana Kibana是一个可用于集群开发、运维、数据检索与分析及数据可视化平台，可与Elasticsearch搜索引擎一起使用。通过Kibana可以搜索、查看存放在Elasticsearch索引中的数据，也可以实现以图表、地图等方式展示数据。 云搜索服务的Elasticsearch集群默认提供Kibana，无需安装部署，绑定弹性IP后即可一键访问Kibana。云搜索服务兼容了开源Kibana可视化展现和Elasticsearch统计分析能力。 支持包括甘特图在内的多种数据呈现方式 支持多种数据统计方式 支持时间、标签等各种维度分类 支持可视化索引管理功能 支持SQL化查询数据方式 支持多用户角色的权限管理 OpenSearch OpenSearch是一个基于Elasticsearch开源版研发的搜索和分析引擎，OpenSearch继承了Elasticsearch的许多特性，并且提供了一些额外的功能和改进，以支持更广泛的社区和用例。 OpenSearch相比Elasticsearch，在性能和功能上都有一定的提升。同时天翼云在此基础上升级了内核能力，对搜索引擎在分词、流量管控、存算分离等方面予以增强。

刷新本地组策略 1 关闭本地组策略编辑器对话框。 2 打开运行窗口，执行 gpupdate /force ，刷新本地策略。 3 应用发布服务器部署完成，需要测试功能请将此服务器添加到云堡垒机。 刷新本地组策略 安装RemoteApp程序 V3.3.26.0及以上版本需要在应用发布服务器中安装RemoteAppProxy跳板工具。 前提条件 已获取服务器管理员帐号与密码。 操作步骤 1 使用管理员帐号登录服务器。 2 在服务器中，下载RemoteaProxyInstallerxxx.zip（xxx为版本号）压缩包。 服务器需要有公网访问权限（绑定弹性EIP）。 3 在应用服务器中，将RemoteaProxyInstallerxxx.zip（xxx为版本号）压缩包进行解压。 4 双击“RemoteaProxyInstallerxxx.msi”（xxx为版本号）启动安装。 安装时请选择默认的安装路径。 5 安装完成后，单击“关闭”。

3. 订购带宽包&创建跨域连接 购买跨域互联带宽包（境内） 带宽包是创建跨域连接所需的资源包，所以跨域连接的总和必须小于或等于带宽包的大小。 带宽包的订购操作可以参见：购买带宽包云间高速 创建跨域连接 分别创建跨域连接：华东1 华北2、华东1 华南2； 华南2 华东1的跨域连接根据您业务需求决定是否需要创建； 带宽可以根据业务需求弹性伸缩。 跨域连接的创建请参见：创建跨域连接云间高速 4. 云企业路由器路由配置 分别进入华东1、华南2和华北2的云企业路由器中，在"路由管理"中页签中，在“目标路由表”中添加自定义路由。 目标路由表由网络实例关联的路由表决定。 华东1:路由配置 默认流量引流到安全管控服务VPC，去往互联网。 云企业路由器路由表类型 目的地址 下一跳 操作 华东1默认路由 0.0.0.0/0 安全管控服务VPC 添加（自定义） 华北2路由配置 华北2的默认流量引流到华东1。 云企业路由器路由表类型 目的地址 下一跳 操作 华北2默认路由 0.0.0.0/0 跨域链接（华北2 华东1） 添加（自定义） 该路由创建完成后，华北2的VPC的默认路由表中会生成路由（目的地址：0.0.0.0/0 下一跳：云间高速实例） 华南2路由配置 华南2的默认流量引流到华东1。 云企业路由器路由表类型 目的地址 下一跳 操作 华南2默认路由 0.0.0.0/0 跨域链接（华南2 华东1） 添加（自定义） 该路由创建完成后，华南2的专线网关路由表中会生成路由（目的地址：0.0.0.0/0 下一跳：云间高速实例） 自定义路由表的配置请参见：创建自定义路由条目云间高速

在部署天翼云TeleDB数据库前，您需要获取许可证文件、完成环境初始化并进行相关的数据库参数配置。 1. 获取软件包和许可证文件。 请您联系天翼云商务代表获取软件包和许可证文件。 2. 环境初始化。 1. 挂载磁盘，对所有机器规划挂载目录，建议您控制台主机用app目录，实例主机用data目录。 1. 执行如下命令，格式化数据盘。若您使用的磁盘不是新盘需格式化数据盘。若您使用的是新盘则可跳过该步骤。 plaintext mkfs.xfs f i attr2 l lazycount1,sectsize4096 b size4096 d sectsize4096 L data /dev/vdb 2. 执行如下命令，创建根目录文件，提供给挂载数据盘使用。 plaintext mkdir p /app 3. 执行如下命令，挂载数据盘。 plaintext mount /dev/vdb /app 4. 执行如下命令，写入磁盘配置文件，开机自动挂载磁盘。 plaintext echo "/dev/vdb /app xfs defaults 0 0" >> /etc/fstab 2. 创建部署使用用户teledb 1. 执行如下命令，创建用户（创建部署的用户是teledb，不是teledbx） plaintext groupadd f teledb useradd g teledb teledb 2. 执行如下命令，设置密码 plaintext passwd teledb 说明 由于安装teledbX时会将 当作特殊字符，不被识别，所以设置的密码中不包含

在部署天翼云TeleDB数据库前，您需要获取许可证文件、完成环境初始化并进行相关的数据库参数配置。 1. 获取软件包和许可证文件。 请您联系天翼云商务代表获取软件包和许可证文件。 2. 环境初始化。 1. 挂载磁盘，对所有机器规划挂载目录，建议您控制台主机用app目录，实例主机用data目录。 1. 执行如下命令，格式化数据盘。若您使用的磁盘不是新盘需格式化数据盘。若您使用的是新盘则可跳过该步骤。 plaintext mkfs.xfs f i attr2 l lazycount1,sectsize4096 b size4096 d sectsize4096 L data /dev/vdb 2. 执行如下命令，创建根目录文件，提供给挂载数据盘使用。 plaintext mkdir p /app 3. 执行如下命令，挂载数据盘。 plaintext mount /dev/vdb /app 4. 执行如下命令，写入磁盘配置文件，开机自动挂载磁盘。 plaintext echo "/dev/vdb /app xfs defaults 0 0" >> /etc/fstab 2. 创建部署使用用户teledb 1. 执行如下命令，创建用户（创建部署的用户是teledb，不是teledbx） plaintext groupadd f teledb useradd g teledb teledb 2. 执行如下命令，设置密码 plaintext passwd teledb 说明 由于安装teledbX时会将 当作特殊字符，不被识别，所以设置的密码中不包含

本节介绍智算安全专区常见问题。 Q1. 大模型安全卫士是什么？ 大模型安全卫士是一款专为大模型安全设计的一站式防护产品，提供从开发、训练、部署到运营的全生命周期安全闭环，保护用户的智算基础设施。 Q2. 开通大模型安全卫士需要哪些要求？ 大模型安全卫士需要部署在和安装大模型的云主机所在的同一个虚拟私有云（VPC）内。 Q3. 大模型安全卫士能解决智算场景下哪些安全问题？ 有效拦截大模型推理过程中的潜在违规内容，对输入和输出的语义进行深度分析和检测，防止模型被利用进行恶意攻击或生成有害内容，强化了模型推理过程中的安全保障。 代理RAG业务系统请求，解析文件进行内容检测。保障语料库及生成内容的安全性、合规性，防止恶意攻击（如数据投毒、提示注入）、敏感信息泄露及生成有害内容。 支持开启模型推理的情况下检测聊天内容中的隐私信息并脱敏。

本文主要介绍创建私网NAT网关的中转子网和中转IP 操作场景 私网NAT网关创建成功后，您需要创建中转子网与中转IP。 通过创建中转子网与中转IP，使虚拟私有云内多个云主机可以共享中转IP访问用户本地数据中心（IDC）或其他虚拟私有云，或面向私网提供服务。 前提条件 中转VPC、中转子网已创建成功。 云专线接入的用户，云专线的虚拟网关中，“VPC网段”参数建议设置为"0.0.0.0/0"。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在私网NAT网关页面，单击“中转IP > 创建中转IP”，进入创建中转IP页面。 5. 根据界面提示，配置中转IP参数，详情请参见下表。 表中转IP参数说明 参数 说明 中转VPC 中转IP所在的VPC。 中转子网 中转子网相当于一个中转网络，是中转IP所属的子网。 子网至少有一个可用的IP地址。 中转IP 中转IP的分配方式有以下两种。 自动分配：由系统自动分配中转IP地址。 手动分配：手动指定中转IP地址。 IP地址 当中转IP的分配方式选择“手动分配”时，需要指定中转IP地址。 单击下方“查看已使用IP地址”可以查看所选子网中已使用的IP地址。 6. 单击“确定”，完成中转IP创建。

方案介绍 当您购买了一台物理机后，了解其运行状态一定是您的迫切需求，天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。 本手册基于天翼云物理机和云监控服务实践所编写，指导您完成物理机的主机监控配置。 应用场景 新创建物理机场景 当您新建一台物理机时，可以利用CloudInit自动安装Agent，实现主机监控。 已有物理机场景 对于已有的物理机，您需要手动安装并配置Agent以实现主机监控。 约束和限制 Agent插件目前仅支持64位Linux操作系统的物理机实例。 用户私有镜像不在支持范围内。

集群任务信息 任务信息说明 状态 说明 创建快照中 表示集群正在执行创建快照的操作。 创建快照失败 表示集群执行快照创建操作失败。 配置中 表示系统正在保存集群参数的修改。 重启中 表示集群正在重启过程中。 重启失败 表示集群重启操作失败。 节点扩容 表示集群正在扩容中。 扩容失败 表示集群扩容失败。 弹性负载均衡绑定中 表示集群正在绑定弹性负载均衡。 弹性负载均衡绑定失败 表示集群绑定弹性负载均衡失败。 弹性负载均衡解绑中 表示集群正在解绑弹性负载均衡。 弹性负载均衡解绑失败 表示集群解绑弹性负载均衡失败。 规格变更中 表示集群正在变更集群规格中。 规格变更失败 表示集群规格变更失败。

本文介绍如何创建MongoDB数据库备份。 操作场景 通过创建MongoDB备份任务来备份主机上的MongoDB数据库数据，并在需要时通过备份副本进行MongoDB数据库文件的恢复，再导入数据库。 约束与限制 存储库需要和安装了客户端的备份主机在同一地域（网络可达）。 支持在能连接上MongoDB数据库主机上安装客户端，进行备份。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已创建存储库。 主机客户端状态为“在线”，具体步骤参见安装客户端。 主机内安装了“MongoDB”或“MongoDBClient ”。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面。 4. 单击“主机列表”，选择对应主机，点击更多下的“新建任务”或者“任务列表”的"新建备份任务"按钮进入备份任务界面。 5. 点击 “添加资源”，添加 "MongoDB"连接，输入对应参数，确认创建连接，可点击“连接”按钮确认数据库连接状态。 6. 选择创建好的"MongoDB"连接，点击下一步。 7. 选择需要备份的数据库内容，点击下一步。 8. 选择备份的目标存储库并配置备份周期、导出目录、最大版本数等备份策略，点击“下一步”。 9. 自定义备份任务名称，确认备份信息无误后，点击“提交”，完成任务创建。

本文主要介绍如何导出弹性IP列表。 操作场景： 您可以将当前帐号下拥有的所有信息，以Excel文件的形式导出至本地。该文件记录了弹性IP的ID、状态、类型、带宽名称、带宽大小等信息。 操作步骤： 1.登录管理控制台。 2.在系统首页，选择“网络 > 弹性IP”。 3.在弹性IP列表页，单击右上角的“”。 系统会将您帐号下，当前区域的所有弹性IP信息自动导出为Excel文件，并下载至本地。

本节为您介绍漏洞扫描原理、漏洞扫描版本规格、漏洞等级。 服务器安全卫士（原生版）支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞、应急漏洞，并提供漏洞的修复建议和一键修复功能，帮助您及时了解云主机操作系统中存在的风险，及时修复主机漏洞。 漏洞扫描原理 漏洞扫描原理如下： 漏洞分类 原理说明 Linux软件漏洞 通过与漏洞库进行比对，检测Linux操作系统官方维护的软件（非绿色版、非自行编译安装版；例如：kernel、openssl、vim、glibc等）是否存在漏洞，将存在风险的结果向用户告警。 Windows系统漏洞 通过同步微软官方的补丁公告，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将存在风险的结果向用户告警。 WebCMS漏洞 通过对Web目录和文件进行检测，识别出WebCMS漏洞，将存在风险的结果向用户告警。 应用漏洞 通过检测主机上运行的软件发现应用是否存在漏洞，将存在风险的结果向用户告警。 应急漏洞 展示最新披露的漏洞详情，用户可根据实际情况对此漏洞进行专项扫描。 版本规格 以下介绍服务器安全卫士各版本漏洞扫描功能的支持情况。 说明 免费版仅支持Windows系统漏洞扫描、Linux软件漏洞扫描和查看漏洞，不支持一键修复漏洞，您可以参考漏洞详情页面提供的修复建议，登录到您的服务器手动修复漏洞。 功能 免费版 企业版 旗舰版 漏洞情况统计 ✓ ✓ ✓ Linux软件漏洞、Windows系统漏洞 ✓ ✓ ✓ WebCMS漏洞、应用漏洞 × ✓ ✓ 应急漏洞 × ✓ ✓ 一键扫描 × ✓ ✓ 定时扫描 ✓ ✓ ✓ 基于漏洞名称的扫描结果列表 ✓ ✓ ✓ 基于服务器的扫描结果列表 ✓ ✓ ✓ 查看漏洞详情 ✓ ✓ ✓ 一键修复漏洞 × ✓ ✓ 白名单管理 ✓ ✓ ✓

本章节会介绍如何绑定和解绑弹性公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 说明 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是8635，那么需确保安全组开通了8635端口的访问。 前提条件 用户需要在VPC申请一个弹性公网IP。 只有主实例和只读实例才能绑定弹性公网IP。 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 说明 部分已创建实例暂不支持该功能，因为其连接地址的创建方式不支持绑定弹性公网IP。 绑定弹性公网IP 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤 5 在左侧导航栏，单击“连接管理”，在“公网连接”页面中，在“连接信息”模块“弹性公网IP”处，单击“绑定”。 步骤 6 在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“确定”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 步骤 7 在“公网连接”页面，查看绑定成功的EIP。 您也可以在“任务中心”页面，查看绑定弹性公网IP任务的执行进度及结果。 如需关闭，请参见解绑弹性公网IP。

本文介绍主机接入配置完成后未采集到日志的处理方法。 问题现象 已完成接入配置，但一直未采集到日志。 可能原因 日志采集器未正常运行。 采集路径配置错误。 业务当前无产生日志，或部分时间段有日志，部分时间段无日志。 日志时间错误问题，日志上报至未来时间或已超出日志主题存储时长的时间。 解决方法与排查思路 1. 检查采集器状态是否正常。请参考检查采集器运行状态。若采集器状态为正常，但仍无日志，请继续进行以下排查。 2. 检查日志采集配置中的采集路径是否配置正确，例如日志目录path是否正确。更多关于日志采集路径的说明请参考接入云主机文本日志。 3. 增加检索时间区间，查看其他时段是否能检索到日志。可能为该时间段确实无日志，请检查自身业务在指定时间段是否产生日志。 4. 在日志单元配置页面，查看当前配置的日志保存时间；请确保日志检索时的时间区间在日志保存时间范围内，在范围以外的日志不再保存，故检索不到。 5. 日志采集器只会采集新增内容，如果目标文件没有更新，则不会采集数据，也不会有数据上报，因此查询不到日志。 若以上解决方法均无法解决您的问题，请提交工单进行报障处理。

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 MySQL 5.5、5.6、5.7、8.0 说明 当前MySQL数据库审计功能基于堡垒机现有引擎架构实现，在少数复杂场景下可能存在命令日志记录不完全的情况，如需完整审计能力，请联系技术支持或关注产品动态了解新引擎上线进展。 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 金仓(Kingbase) V8、V9 万里(GreatSQL) 8.4.44 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本。 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows Windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片

效果验证 运维用户执行高危操作，触发拦截，申请操作权限。管理员通过对高危操作的二次审核，加强对数据库核心资产的管控力度。 步骤 1 运维用户UserA 登录资源 RDSA 。 1. 登录云堡垒机系统。 2. 选择“运维 > 主机运维”。 3. 单击“登录”，通过工具调用数据库客户端，登录数据库资源 RDSA 。 步骤 2 以调用Navicat客户端登录数据库为例。运维用户UserA 在资源RDSA 中，执行删除表内容操作，自动触发拦截DELETE命令，提示无权限删除。 步骤 3 运维用户UserA 提交数据库授权工单，反馈给管理员adminA审批。 1. 运维用户UserA登录云堡垒机系统。 2. 选择“工单 > 数据库授权工单”，查看因删除操作被拦截而产生的工单。 3. 单击“提交”，提交对资源RDSA删除操作的授权申请。 步骤 4 管理员adminA 审核运维用户UserA的运维操作，根据实际情况批准或驳回申请。 1. 管理员adminA登录云堡垒机系统。 2. 选择“工单 > 工单审批”，审核UserA数据库授权工单。 3. 单击“批准”或“驳回”，审批工单。 注意 仅管理员“批准”工单后，运维用户才能继续执行被拦截的高危操作。

此小节介绍云堡垒机的USBKey/动态令牌管理 用户帐号需配置了“USBKey”多因子认证，才能为用户帐号签发USBKey。 USBKey管理 签发授权USBkey前，需提前申购USBKey，并在本地安装对应的USBKey驱动。不同的厂商USBKey不能相互识别登录认证，用户根据申购的USBKey6.6 USBKey管理厂商。 世纪龙脉GM3000 前提条件 已申购USBKey。 已获取“用户”模块管理权限。 已获取“USBKey”模块管理权限。 签发USBKey 一个USBKey只能签发给一个用户使用。 1. 登录云堡垒机系统。 2. 选择“用户 > USBKey”，进入USBKey列表页面。 3. 单击“签发”，新建签发USBKey。 4. 配置“关联用户”，选择已经开启USBKey多因子认证的用户。 签发USBKey 参数 说明 :: USBKey USBKey商品标识码。 关联用户 选择已配置“USBKey”多因子认证的用户帐号。 PIN码 USBKey厂商提供，与“USBKey”一一对应的唯一识别码。 5. 单击“确定”，在USBKey列表查看已签发USBKey信息。 关联用户登录云堡垒机系统时，插入签发的USBKey到本地主机，登录界面会自动识别USBKey，选择对应的USBKey，并输入对应的PIN码，即可完成USBKey认证方式登录。

使用限制条款 合规落地措施 违规风险 公网ELB 和后端云主机在不同子网 部署时通过控制台校验：公网ELB 选择 “公共子网”，后端 ECS 选择 “业务子网” 流量可能绕开云防火墙，导致防护失效；单点故障时影响范围扩大 绑定EIP 的 ECS 与 NAT 访问的 ECS 在不同子网 1. 绑定 EIP 的 ECS 仅部署在 “公共子网”，NAT 访问的 ECS 仅部署在 “业务子网”； 2. 通过 VPC 路由表隔离：公共子网无指向 NAT 网关的路由，业务子网无直接指向互联网的路由 出访流量路径混乱，无法通过NAT 网关或云防火墙统一管控与审计 子网专项需求（NAT 子网 28 位、公共子网按需、2 个引流子网 28 位） 1. 子网创建时严格按规格配置，禁止随意扩大 / 缩小网段； 2. 通过子网名称规范化标识（如 “NATGWSubnet10.0.1.0/28”“GWLBEInboundSubnet10.10.0.0/28”） 子网地址耗尽；引流子网规格不匹配导致GWLBE 无法正常接收流量 安全产品单独在一个子网 1. 安全产品（如等保专区）仅部署在 “安全产品子网”； 2. 安全产品子网的安全组仅开放与云防火墙的通信端口，禁止其他子网直接访问 安全产品被业务流量干扰；安全产品自身被攻击风险升高

本节为您介绍配置定时任务的相关操作及事项。 操作场景 安装Agent并上报源端主机至平台后，可为其配置定时任务。通过该功能，您可预设迁移、割接、修复等任务时间，实现自动化执行，简化操作流程，提升云迁移效率。 操作步骤 定时迁移 1. 将源端主机上报至平台并完成与目标机的绑定（具体操作步骤可参考用户指南服务器迁移服务模块绑定目标机）。一旦目标机成功绑定，您将在主机管理页面上看到该主机状态变为“等待迁移”。此时，点击页面列表上方的“定时任务”按钮，即可进入定时任务列表页面。 2. 点击“新增定时任务”按钮，进入定时任务配置页面。选择定时任务类型为“定时迁移”，勾选待迁移主机，并设置计划执行时间、是否启用增量、压缩率等参数。 3. 完成定时任务配置后，点击“提交”按钮。随后，在定时任务列表页面，您可以查看到已设置的定时任务的详情，包括任务类型、任务状态、计划实行时间、实际执行时间、完成时间等关键信息。此时，任务的状态为“未执行”。 4. 在定时任务未开始时，可以通过操作栏的修改按钮更改定时任务的配置。 5. 当预设的执行时间到达时，您可以在定时任务列表中观察到任务状态已更新为“执行中”，同时在主机管理页面也能查看到相应任务的迁移状态显示为“迁移中”。 6. 对于迁移状态为“迁移中”的主机，可以设置“定时暂停迁移”任务。在新增定时任务页面，选择定时任务类型为“定时暂停迁移”，设置计划执行时间。 点击“提交”，即可在定时任务列表页面查看到已成功配置的定时任务。 7. “定时暂停迁移”任务执行完成后，可以在主机管理页面查看到该迁移任务的状态更新为“任务暂停”。 8. 对于迁移状态为“任务暂停”的主机，可以设置“定时继续迁移”任务。在新增定时任务页面，选择定时任务类型为“定时继续迁移”，设置计划执行时间。 点击“提交”，即可在定时任务列表页面查看到已成功配置的定时任务。 9. “定时继续迁移”任务执行完成后，可以在主机管理页面查看到该迁移任务的状态更新为“迁移中”。 10. “定时任务执行完毕后，在定时任务列表页面，您将看到该任务的状态更新为“执行成功”。 定时停止增量 1. 对于迁移状态为“增量中”的主机，可以设置“定时停止增量”任务。点击页面列表上方的“定时任务”按钮，进入定时任务列表页面。 2. 点击“新增定时任务”按钮，进入定时任务配置页面。选择定时任务类型为“定时停止增量”，勾选待停止增量主机，并设置计划执行时间。 点击“提交”，即可在定时任务列表页面查看到已成功配置的定时任务。 3. 当到达预设的执行时间时，您可以在定时任务列表中查看到该任务的状态已更新为“执行成功”，并标注结果为“成功”。 此时，在主机管理页面可以看到对应主机的迁移状态为“增量完成”。 定时引导修复 1. 对于迁移状态为“修复完成”的主机，可以设置“定时引导修复”任务。点击页面列表上方的“定时任务”按钮，进入定时任务列表页面。 2. 点击“新增定时任务”按钮，进入定时任务配置页面。选择定时任务类型为“定时引导修复”，勾选待引导修复主机，并设置计划执行时间、源机硬盘、目标机硬盘等参数。 点击“提交”，即可在定时任务列表页面查看到已成功配置的定时任务。 3. 当到达预设的执行时间时，您可以在定时任务列表中查看到该任务的状态已更新为“执行中”，并标注结果为“开始引导修复，请等待执行结果”。 此时，在主机管理页面也可以看到对应主机的迁移状态为“目标机恢复中”。 4. 定时任务执行完毕后，在定时任务列表页面，您将看到该任务的状态更新为“执行成功”，并标注结果为“成功”。 此时，在主机管理页面可以看到对应主机的迁移状态为“目标机已恢复”。

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

本节主要介绍使用Redisshake工具在线全量迁移其他云厂商Redis Redisshake是一款开源的Redis迁移工具，在Rump模式下，Redisshake可以以scan的方式从源端Redis获取全量数据，写入到目的端，实现数据迁移。这种迁移方式不依赖于SYNC和PSYNC，可以广泛应用于自建Redis、云Redis之间的迁移。 本文将介绍如何利用Redisshake的Rump模式，以在线全量的迁移方式，一次性将其他云厂商Redis迁移至DCS中。 本方案数据流向示意图 前提条件 已在目标端云服务创建Redis实例。 已在目标端云服务创建用于运行Redisshake的弹性云主机(ECS)。 创建的ECS需要选择与Redis实例相同的VPC，并且需要绑定弹性公网IP。 Rump模式不支持增量数据迁移，建议您先停止源端Redis的写入再进行迁移，防止数据不一致。 该方案配置只支持同DB映射迁移，异DB映射迁移该方案配置不适用。 源端为多DB使用（有非DB0的DB使用），DCS为Proxy集群时，DCS需要开启多DB模式，否则会迁移失败（单DB0的Proxy集群不支持select命令）。 源端为多DB使用（有非DB0的DB使用），DCS为Cluster集群时，该方案不支持（DCS Cluster集群只支持DB0模式）。 操作步骤 步骤 1 分别在ECS和源端转发服务器上安装Nginx，本文以ECS操作系统为Centos7.x为例进行安装，不同操作系统命令稍有不同。 1. 执行以下命令，添加Nginx到yum源。 sudo rpm Uvh 2. 添加完之后，执行以下命令，查看是否已经添加成功。 yum search nginx 3. 添加成功之后，执行以下命令，安装Nginx。 sudo yum install y nginx 4. 执行以下命令安装stream模块。 yum install nginxmodstream skipbroken 5. 启动Nginx并设置为开机自动运行。 sudo systemctl start nginx.service sudo systemctl enable nginx.service 6. 在本地浏览器中输入服务器地址（ECS公网IP地址），查看安装是否成功。 如果出现下面页面，则表示安装成功。 步骤 2 在源端Redis添加源端转发服务器的白名单。 步骤 3 在源端转发服务器配置安全组。 1. 获取ECS的公网IP地址。 2. 配置源端转发服务器安全组入方向，添加ECS的公网IP地址，并放开来自ECS访问请求的端口（以6379为例）。 步骤 4 配置源端转发服务器的Nginx转发配置。 1. 登录Linux源端转发服务器，执行命令打开并修改配置文件。 cd /etc/nginx vi nginx.conf 2. 转发配置示例如下： stream { server { listen 6379; proxypass {sourceinstanceaddress}:{port}; } } 其中，6379为源端转发服务器本机监听端口，{sourceinstanceaddress}和{port}为源端Redis实例的连接地址和端口。 配置目的：通过访问源端转发服务器本机监听端口6379，访问源端Redis。 注意：以上配置必须配置在如下图所示的位置。 配置位置要求 3. 重启Nginx服务。 service nginx restart 4. 验证启动是否成功。 netstat angrep 6379 端口在监听状态，Nginx启动成功。 验证结果 步骤 5 配置ECS的Nginx转发配置。 1. 登录LinuxECS，执行命令打开并修改配置文件。 cd /etc/nginx vi nginx.conf 2. 配置示例如下： stream { server { listen 6666; proxypass {sourceecsaddress}:6379; } } 其中，6666为ECS本机监听端口，{sourceecsaddress}为源端转发服务器公网IP地址，6379为源端转发服务器Nginx的监听端口。 配置目的：通过访问ECS本机监听端口6666，访问源端转发服务器。 注意：以上配置必须配置在如下图所示的位置。 配置位置要求 3. 重启Nginx服务。 service nginx restart 4. 验证启动是否成功。 netstat angrep 6666 端口在监听状态，Nginx启动成功。 验证结果 步骤 6 在ECS执行以下命令测试6666端口的网络连接。 rediscli h {targetecsaddress} p 6666 a {password} 其中，{targetecsaddress}为ECS公网IP地址，6666为ECS监听端口，{password}为源端Redis密码，如无密码可不填。 连接示例 步骤 7 准备迁移工具Redisshake。 1. 登录ECS。 2. 在ECS中执行以下命令下载Redisshake，本文以下载2.0.3版本为例进行说明。您可以根据实际需要下载其他RedisShake版本。 wget 3. 执行命令解压Redisshake文件。 tar xvf redisshakev2.0.3.tar.gz 步骤 7 配置Redisshake的配置文件。 1. 执行命令进入解压后的目录。 cd redisshakev2.0.3 2. 修改配置文件redisshake.conf。 vim redisshake.conf 修改源端Redis信息配置： − source.type 源端redis实例类型，单机、主备、proxy集群实例都选择standalone，cluster实例选择cluster。 − source.address ECS公网IP地址和映射源端转发服务器的端口(ECS监听端口 6666) ，用英文冒号隔开。 − source.passwordraw 源端待迁移Redis实例的密码，如未设置密码，无需填写。 修改目标端DCS信息配置： − target.type Redis实例类型，单机、主备、proxy集群实例都选择standalone，cluster实例选择cluster。 − target.address Redis实例的连接地址和端口，用英文冒号隔开。 − target.passwordraw Redis实例的密码，如未设置密码，无需填写。 3. 按下Esc键退出编辑模式，输入 :wq！ 按回车键保存配置并退出编辑界面。 步骤 9 执行命令启动Redisshake并使用rump（在线全量）模式开始数据迁移。 ./redisshake.linux conf redisshake.conf type rump 迁移过程 迁移结果 步骤 10 迁移完成后，请使用rediscli工具连接源Redis和目标Redis，确认数据的完整性。 1. 分别连接源Redis和目标Redis。 连接操作请参考使用rediscli连接Redis实例。 2. 输入 info keyspace ，查看keys参数和expires参数的值。 3. 对比源Redis和目标Redis的keys参数分别减去expires参数的差值。如果差值一致，表示数据完整，迁移正常。 步骤 11 删除Redisshake配置文件。