本节介绍如何申请私有证书。 成功购买证书后，您需要申请证书，即为证书绑定域名或IP、填写证书申请人的详细信息并提交审核。所有信息通过审核后，证书颁发机构才签发证书。 前提条件 已成功购买私有（内网）证书并且在控制台的“证书状态”为“待申请”。如何购买私有（内网）证书请参考：购买私有（内网）证书。 准备工作 申请私有（内网）证书时，需要在人工验证阶段上传证书申请表，您可以提前下载私有（内网）证书申请表模版，申请表需经办人签字并加盖公章。 服务类型 证书版本 证书种类 加密标准 下载审核材料模板 私有（内网）证书 标准版 OV 国际标准、国密标准 私有（内网）证书申请表模版.xlsx 操作步骤 1. 登录“证书管理服务”控制台。 2. 在左侧导航栏选择“私有证书管理 > 私有证书列表”。 3. 选择待申请的证书，单击“操作”列的“证书申请”按钮，进行私有（内网）证书申请。 4. 在右侧弹出的窗口中填写证书申请的相关信息。 填写参数 参数说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。 注意 若您在申请单域名规格证书时，填写的域名为4级及以上子域名，请加上“www”，否则不会包含主域名。例如：申请www.aaa.bbb.ctyun.cn，会包含aa.bbb.ctyun.cn这个备用域名，若直接申请aaa.bbb.ctyun.cn，则不会包含www.aaa.bbb.ctyun.cn这个备用域名。 联系人 选择联系人，如何新建联系人请参考联系人管理章节。 公司 选择公司，如何新建公司请参考公司管理章节。 所在地 选择公司实际所在地区。（目前仅支持选择中国地区） 密钥算法 可选择“RSA”、“ECC”或“SM2”。（根据购买证书页面所选的加密标准选择） CSR生成方式 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取SSL证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 5. 填写完后，单击“提交审核”，进入验证环节，根据页面提示填写证书申请表并上传。 6. 上传完成后，等待CA签发机构完成验证，若验证通过则可以在控制台下载私有（内网）证书。

情况 配置示例 VPC网段和子网网段均不重叠 通过对等连接实现两个VPC全地址段互通。具体请参考 VPC网段重叠且部分子网网段重叠 通过对等连接实现两个VPC中指定子网互通，对等连接两端VPC中需要互通的子网网段不用重叠。具体请参考 VPC网段和全部子网网段均重叠 无法通过创建对等连接来实现VPC之间的通信。具体请参考

飞腾内存优化型 飞腾内存优化型fm1搭载飞腾处理器，云主机实例独享CPU，提供更稳定的CPU性能、更大内存比以及更优秀的网络性能，对内存型应用的运行提供更好支持。 飞腾内存优化型fm1适用于内存要求高，数据量大并且数据访问量大，同时要求快速的数据交换和处理的应用 宿主机规格： 宿主机规格 超配比 CPU信息 虚拟CPU核数（vCPUs） 内存（GB） 飞腾计算增强型fm1 不可配置，仅支持1:1 飞腾S2500，2.1GHz 104 408 说明 计算专属云规格中的vCPUs计算公式：vCPUs槽位数 CPU核数 单核线程数 CPU开销。 由于实际部署的主机网络功能的软件版本差异，宿主机可用量可能存在少量误差。 支持的弹性云主机规格： 规格名称 vCPU 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 fm1.large.8 2 16 5/1.5 30 1 fm1.xlarge.8 4 32 7/3 80 2 fm1.2xlarge.8 8 64 12/6 140 4 fm1.4xlarge.8 16 128 18/10 200 8

弹性云主机的操作系统无法正常启动是什么原因？ 1. 查看用户的镜像类型，如果是公共镜像则排除私有镜像的源镜像问题。 2. 单击“申请服务器”，查看能否创建出此镜像的弹性云主机，申请完成后未出现此镜像对应的弹性云主机，则此类镜像可能已经下线，属于老镜像。 3. 控制台不支持使用老镜像继续购买弹性云主机，您需要将弹性云主机的操作系统切换为当前在线的操作系统。 针对Intel处理器芯片存在的Meltdown和Spectre安全漏洞，应该如何规避？ 问题描述 北京时间1月3日，Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞，漏洞详情如下： 漏洞名称：Intel处理器存在严重芯片级漏洞 漏洞编号：CVE20175753、CVE20175715、CVE20175754 严重程度：高危 漏洞描述：CPU内核高危漏洞Meltdown（CVE20175754）和Spectre（CVE20175715/CVE20175753）爆发，攻击者可利用这两组漏洞，绕过内存安全隔离机制，越权访问操作系统和其他程序的核心数据，造成敏感信息泄露。 问题影响 该漏洞不会引起不同弹性云主机之间的攻击，但可能会引起如下问题： 弹性云主机内多个应用之间，可能存在攻击。 对于同一弹性云主机，多个帐号之间可能存在攻击。 使用公共镜像的弹性云主机，云平台会对公共镜像依次修复，不会对您的业务带来影响。 使用私有镜像的弹性云主机，请根据漏洞影响评估是否更新补丁，以规避风险，更新补丁的具体操作请参见本节内容。 背景信息 受影响的操作系统官方补丁发布状态，请参见云平台安全公告。 前提条件 为避免发生意外，修复漏洞前，建议进行充分测试，并完成弹性云主机的数据备份操作，避免发生意外。 Windows弹性云主机处理方法 步骤 1 登录弹性云主机。 步骤 2 更新补丁。 方式一：使用Windows自动更新功能安装补丁 a. 打开Windows Update，并单击“检查更新”。 b. 根据需要下载安装相关安全补丁。 方式二：手动下载补丁并安装 根据背景信息，下载官方发布的补丁并进行安装。 步骤 3 重启弹性云主机，使补丁生效。 步骤 4 验证是否升级成功。 1. 检查系统运行情况是否正常。 2. 检查已安装的补丁清单是否满足背景信息中“验证方法”的要求。 Linux弹性云主机处理方法 步骤 1 登录弹性云主机。 步骤 2 判断Linux弹性云主机是否安装了Tools（以操作系统SUSE 11 SP1为例）。 1. 在任意目录下执行以下命令，查询弹性云主机的驱动信息，如下图所示。 lsmod grep xen 图 查询驱动信息 2. 执行以下命令，查询驱动路径（以磁盘驱动为例），如下图所示。 modinfo xenvbd 图 查询驱动路径 3. 查看回显，根据驱动路径中是否带有“pvdriver”字段信息，判断弹性云主机是否安装了Tools。 − 是，如图所示，执行步骤3。 − 否，执行步骤4。 步骤 3 卸载Tools。 1. 执行以下命令，切换至root用户。 su root 2. 执行以下命令，在根目录下卸载Tools。 /etc/.uvpmonitor/uninstall 3. 执行以下命令，重启弹性云主机。 reboot 步骤 4 更新补丁，升级kernel内核，具体升级方式请参见背景信息。 说明 升级kernel内核后，请务必执行reboot命令重启弹性云主机。 步骤 5 验证是否升级成功。 1. 检查系统运行情况是否正常。 2. 检查已安装的补丁清单是否满足背景信息中“验证方法”的要求。 说明 补丁更新后，弹性云主机使用的驱动是由操作系统自带。此时，Linux弹性云主机不再支持监控指标：内存使用率、磁盘使用率，对其他特性和功能无影响。如需继续支持监控指标内存使用率、磁盘使用率，请联系客服。

本章主要介绍创建API分组。 创建API前，需要先创建API分组。API分组相当于API的集合，API提供者以API分组为单位，管理分组内的所有API。 目前支持以下创建分组方式： 直接创建 创建一个简单的分组，不包含API，用户可自行创建API。 导入API设计文件 从本地导入已有的API文件，同步创建分组。 说明 对外开放API时，您需要为API分组绑定自己的独立域名。 一个API只能属于某一个API分组。 API分组创建后，系统为分组自动分配一个内部测试用的调试域名，此调试域名每天最多可以访问1000次。 实例创建后，有一个DEFAULT分组，可直接通过虚拟私有云地址调用默认分组中的API。 前提条件 已创建API网关实例。 直接创建 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API分组”。 步骤 4 单击“创建API分组 > 直接创建”，在弹框中填写分组信息。 参数 说明 :: 分组名称 API分组名称，用于将API接口进行分组管理。 描述 对分组的介绍。 步骤 5 单击“确定”，创建完成。 导入API设计文件 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API分组”。 步骤 4 单击“创建API分组 > 导入API设计文件”。 步骤 5 在弹窗中选择本地路径下的API文件，然后单击“打开”导入文件。 步骤 6 填写导入信息。 参数名称 说明 :: 导入方式 导入方式包含以下2种： 生成新的分组：将API定义导入到一个新的分组，导入过程中系统会自动创建一个新的API分组，并将导入的API归属到该分组。 选择已有分组：将API定义导入到一个已有的分组，导入过程中不会删除分组中已有的API，只是将新增的API导入分组。 API分组 仅在选择“选择已有分组”时，需要选择API分组。 是否覆盖 勾选后，当导入的API名称与已有的API名称相同时，导入的API会覆盖已有的API。 仅在选择“选择已有分组”时，需要选择是否覆盖。 扩展覆盖 勾选后，当导入API扩展定义项名称（ACL，流控等）与已有的策略（ACL，流控等）名称相同时，会覆盖已有的策略（ACL，流控等）。 步骤 7 （可选）单击“全局配置(可选)”。 1. 选择安全配置。 2. 选择后端请求配置。 3. 单击“下一步”，支持通过“表单”、“JSON”、“YAML”样式查看配置详情。 4. 确认无误后，单击“提交”，完成配置。 步骤 8 单击“立即导入”，在弹窗中选择是否现在发布API到环境。 步骤 9 单击“确定”，跳转到“API运行”页面，可查看分组下的API。

类别 描述 集群相关 Nodeip强相关：确认之前集群的节点IP（包括EIP），是否有作为其他的配置或者白名单之类的设置。 工作负载 记录工作负载数目，便于迁移后检查。 存储 确认应用中存储，是否使用云，或者自己搭建存储。自动创建的存储需要在新集群中变成使用已有存储。 网络 注意使用的负载均衡服务，以及Ingress。老版本的集群只支持经典型负载均衡服务，迁移到新集群中需要改成共享型负载均衡服务，对应负载均衡服务将会重新建立。 运维 私有配置：确认在之前集群中，是否在节点上配置内核参数或者系统配置。

本文介绍如何基于天翼云海量文件服务（CTOceanFS）进行ownCloud网盘搭建。 应用场景 ownCloud是一款用于自建企业云盘（私有网盘）的云存储开源软件，采用PHP+MySQL开发，提供了PC、IOS和Android三个同步客户端支持多种设备访问，用户可以很方便地与服务器上存储的文件、日程安排、通讯录、书签等重要数据保持同步。本次介绍基于天翼云海量文件服务来搭建一个ownCloud个人网盘。 方案使用云产品 海量文件服务，弹性云主机 方案优势 海量文件服务可弹性扩容，支持ownCloud网盘的容量需求。 实现跨平台文件同步、文件共享和权限控制等功能，满足用户对网盘的使用需求。 操作步骤 步骤一：购买弹性云主机和海量文件服务 1.本次操作实践中，需要购买弹性云主机作为海量文件服务的挂载点和创建网盘服务器。网盘上传下载文件数据需要占用弹性云主机公网带宽，因此需要为弹性云主机配置弹性IP。此次以CentOS 8.4系统为例介绍操作。 弹性云主机购买流程详见创建弹性云主机。弹性云主机部分参可参考下表： 参数 说明 镜像 CentOS 8.4 64位。 弹性IP 自动分配。 IP版本 IPv4。 带宽 5M。 2.创建海量文件服务，操作详见创建文件系统，部分参数可参考下表： 参数 说明 存储类型 OceanFS容量型。 协议类型 NFS。 选择网络 选择与弹性云主机相同VPC。

本文为您介绍敏感操作保护的内容 操作场景 当主用户及子用户在控制台进行敏感操作时（如删除弹性云主机）, 操作保护将通过虚拟MFA、手机短信或邮箱等方式二次确认当前操作，避免误操作导致的损失。 操作步骤 开启操作保护 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“概览 ”，进入“敏感操作”。 3. 点击“立即修改”，选择“开启”操作保护，当前支持主用户认证、操作用户认证以及指定人员认证。 其中，主用户认证代表所有操作保护认证由主用户验证。操作用户不限制主、子用户，触发敏感操作的用户自行验证。指定人员需验证需指定手机号。 注意 建议您开启敏感操作保护，优先选择“操作用户验证”，避免高危误操作带来的损失，同时支持验证的灵活性。 4. 在控制台执行相关敏感操作时，后台根据操作保护的配置以及采集的多因素验证信息（手机验证码、邮箱验证码、虚拟MFA等），通过弹窗的方式对用户的身份进行二次校验。如果验证通过，系统才会放行对应的操作行为，否则会阻止敏感操作。 以删除 IAM 用户，选择“操作用户验证”为例。当前支持操作用户手机验证、邮箱验证两种方式。

本节主要介绍EnableMFADevice。 此操作用来启用指定的虚拟MFA设备，并将该虚拟MFA设备与指定的IAM用户关联。 请求参数 名称 描述 是否必须 ::: Action EnableMFADevice。 是 Version 请求版本。 取值 ：20100508，默认值为20100508。 否 UserName 指定与虚拟MFA关联的IAM用户名。 类型 ：字符串 取值 ：1~64个字符组成，字符只能包含字母、数字或特殊字符，字母不区分大小写，特殊字符只能是：下划线（）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）和at符号（@）。 是 AuthenticationCode1 虚拟MFA设备发出的验证码，为六位数字验证码。 是 AuthenticationCode2 虚拟MFA设备发出的下一个紧邻AuthenticationCode1的六位数字验证码。 是 SerialNumber 唯一标识MFA设备的序列号。对于虚拟MFA设备，序列号是设备ARN。 类型 ：字符串 取值 ：字符只能包含字母、数字或特殊字符，字母不区分大小写，特殊字符只能是：下划线（）、右斜线（/）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）、at符号（@）和冒号（:）。 是 请求示例 启用序列号为arn:ctyun:iam::10rc2arpn6306:mfa/mfa1的虚拟MFA设备，并将该虚拟MFA设备与IAM用户为testuser关联。 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20190322T023910Z ContentType: application/octetstream ContentLength: 175 ActionEnableMFADevice&Version20100508&UserNametestuser&SerialNumberarn%3Actyun%3Aiam%3A%3A10rc2arpn6306%3Amfa%2Fmfa1&AuthenticationCode1048078&AuthenticationCode2856474

本文主要介绍云日志服务的功能特性。 日志项目 日志项目是云日志服务的资源管理单位，您可使用日志项目管理不同的应用、产品或项目中的数据。每个日志项目下可创建多个日志单元，是您访问云日志服务资源的入口。 管理日志项目 日志单元 日志单元是云日志服务中日志数据的采集、存储、查询、分析的基本单元。每个日志单元隶属于一个日志项目，每个日志项目中可创建多个日志单元。 管理日志单元 主机管理 主机组是一组需要采集日志的云主机列表，是一个虚拟分组，云日志服务通过主机组来管理所有需要通过采集器采集日志的云主机。建议您可根据不同的业务场景来划分不同的主机组，以方便管理云日志服务中的日志采集。 管理主机组 日志接入 云日志服务支持实时日志采集，通过采集器的方式方便您在各种数据源场景下采集日志，采集日志后，您可在云日志服务控制台实时查询、分析日志数据。 采集器支持无侵入式接入，实现日志实时采集、日志文件批量抓取上报、多管道数据处理，实现高效采集。 支持从云主机、容器应用、微服务应用以及其他组件中采集日志。 采集规则支持动态配置，提供单行/多行全文、正则、分隔符、JSON等日志结构化解析方式。 日志接入概述

本章主要介绍API注册问题。 无法创建API是什么原因？ API免费创建。如果被限制操作，可能原因为用户欠费。 API的响应码如何定义？ 响应信息由后端API服务（即API的提供者）定义，API网关只做透传。 使用VPC通道，后端服务的主机端口怎么填写? 填写API后端服务监听的端口。 不使用VPC通道时，后端服务地址可以是什么？ 可以是公网域名或者公网IP（支持公有云服务器的弹性IP地址）。 后端服务地址是否一定要配置为ECS的地址？ 后端服务地址可以配置为ECS的弹性公网IP，也可以配置为您自己服务器的公网IP地址，还可以配置为域名。 后端服务是否支持绑定私网ELB地址？ 不支持。请使用VPC通道。 如果是公网ELB地址，可直接使用。 后端服务地址可以填写私有地址（子网IP）吗？ 专享版：支持。实例所在同一个vpc子网内IP，或者通过专线打通的本地数据中心私有地址。 不支持专享版的网段： 0.0.0.0/8 10.0.0.0/8 100.125.0.0/16 127.0.0.0/8 169.254.0.0/16 172.16.0.0/12 192.0.0.0/24 192.0.2.0/24 192.88.99.0/24 192.168.0.0/16 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 224.0.0.0/4 240.0.0.0/4 255.255.255.255/32

本文档为您介绍跨资源池复制私有镜像的操作步骤。 操作场景 私有镜像跨资源池复制功能，支持您将同一个镜像从资源池A复制到资源池B，用于应用环境迁移或异地应用备份。 约束与限制 当前仅支持华东1西南1、华东1华北2之间互相进行的镜像复制。 复制时间与镜像文件大小正相关，镜像越大，复制时间越长。 操作步骤 1. 登录天翼云控制中心。 2. 单击控制中心顶部的选择区域。 3. 在左侧导航栏选择“计算 > 镜像服务”。 4. 点击“私有镜像”，进入私有镜像列表。 5. 选择指定私有镜像，点击“更多”，选择“复制镜像”。 6. 设置“目标地域”，如“西南 > 西南1”，其它地域均置灰不可选。 7. 选择“企业项目”。 8. 输入“镜像名称”。 9. 设置“是否编辑标签”，非必要项按需设置。 10. 输入“镜像描述”，非必要项按需设置。 11. 点击“确定”。 12. 复制过程，目的资源池的私有镜像列表中镜像处于“创建中”，创建完成后状态变成“可用”。

cat /etc/fstab UUID4eb402944c6f4384bbb6b8795bbb1130 / xfs defaults 0 0 UUID2de37c6b264843b4a4f540162154e135 swap swap defaults 0 0 4. 检查是否已安装原生的XEN和KVM驱动。 − 如果引导的虚拟文件系统是initramfs，执行以下命令： lsinitrd /boot/initramfsuname r.img grep uname r grep xen lsinitrd /boot/initramfsuname r.img grep uname r grep virtio − 如果引导的虚拟文件系统是initrd ，执行如下命令： lsinitrd /boot/initrduname r grep uname r grep xen lsinitrd /boot/initrduname r grep uname r grep virtio 如果安装成功，回显将显示已安装的原生XEN和KVM驱动名称。 [root@CTU10000xxxxx home] lsinitrd /boot/initramfsuname r.img grep uname r grep xen rwxrr 1 root root 54888 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/block/xenblkfront.ko rwxrr 1 root root 45664 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/net/xennetfront.ko [root@CTU10000xxxxx home] lsinitrd /boot/initramfsuname r.img grep uname r grep virtio rwxrr 1 root root 23448 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/block/virtioblk.ko rwxrr 1 root root 50704 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/net/virtionet.ko rwxrr 1 root root 28424 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/scsi/virtioscsi.ko drwxrxrx 2 root root 0 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/virtio rwxrr 1 root root 14544 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/virtio/virtio.ko rwxrr 1 root root 21040 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/virtio/virtiopci.ko rwxrr 1 root root 18016 Jul 16 17:53 lib/modules/2.6.32573.8.1.el6.x8664/kernel/drivers/virtio/virtioring.ko 5.执行以下命令更新云主机的系统标签 curl ' X POST H "Accept: application/json" d '{"supporthypervisor":["all"]}' w %{httpcode} 回显显示200说明云主机的系统标签已添加成功。 注意 请务必确保云主机配置成功，否则，可能会导致变更规格后的弹性云主机不可用。 步骤4：变更规格 1. 登录控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，查询待变更弹性云主机状态。 如果不是关机状态，单击“操作”列下的“更多 > 关机”。 4. 单击“操作”列下的“更多 > 变更规格”。 系统进入“云主机变更规格”页面。 5. 根据界面提示，选择变更后的云主机类型、vCPU和内存。 6. （可选）选择“专属主机”。 对于在专属主机上创建的弹性云主机，系统支持更换云主机所在的专属主机。 此时，您可以单击下拉列表，选择更换专属主机。如果下拉列表中无可用的专属主机，说明专属主机所剩资源不足，不能用于创建变更规格后的弹性云主机。 7. 勾选复选框“我确认已完成对弹性云主机的配置”，确认已完成“配置弹性云主机”操作。 8. 单击“确定”。 说明 如果变更规格失败后，弹性云主机无法使用，可能会需要重装操作系统来恢复云主机，请注意重装操作系统会清除系统盘数据，但不影响数据盘的数据。 （可选）步骤5：检查磁盘挂载状态 XEN实例变更为KVM实例时，可能会发生磁盘挂载失败的情况，因此，变更规格后，需检查磁盘挂载状态是否正常。如果正常，则变更成功。 Linux弹性云主机 详细操作请参考Linux弹性云主机变更规格后磁盘脱机怎么办？

已购买的弹性云主机是否可以更换资源池？ 很抱歉，已有的弹性云主机不支持更换资源池。 操作系统、镜像是否需要单独付费？ 目前操作系统、公共镜像及私有镜像无需另外付费。 按量购买时，购买页面上并没有显示价格，如何获知价格？ 您可以点击“价格计算器”查看。 已购买的弹性云主机是否支持升级？ 目前弹性云主机所有资源池支持CPU、内存、云硬盘、带宽升级。 CPU和内存升级必须以套餐的形式升级，必须符合天翼云套餐搭配。 云主机到期后忘记续费了，会出现什么后果？ 如果您忘记续费，到期当天您的云主机将无法操作。建议您尽快进行手动续费，否则到期15天后数据就会清除。 退订云主机前有哪些限制条件？ 如果您需要退订云主机，需要符合天翼云7天无理由退款条件。 订购时间超过7天，以及订购7天内但执行过升级、续订操作的主机均不能执行退订操作。 由于退订操作会导致资源回收和清理，云主机上的数据将无法恢复，因此，在退订前请您做好数据备份工作。 按量订购的云主机不支持退订操作。 包年包月订购的弹性云主机如何退订？ 登录天翼云控制台，勾选需要退订的云主机，选择”更多退订“，在页面中点击确认，将完成退订订单提交，弹出提示信息，并可在用户中心的订单管理页面看到该退订订单，此时订单状态为“待审核”。 待审核通过后，天翼云将回收资源，并返还现金支付的金额。此时，订单状态将变为“工单完成”，在云主机列表里也无法看见该主机。

本文为您提供主机监控功能的应用场景以及功能特性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 应用场景 您可以使用主机监控功能获取主机的资源使用情况指标和故障事件。主机监控的应用场景如下： 公有云监控方案：用户订购公有云云主机资源，相关插件已集成在系统镜像中，通过插件上报丰富的监控指标及事件，解决公有云云主机资源监控问题。 私有云、专属云监控同样支持，可联系相应客服经理了解，本文主要介绍公有云监控场景。 说明 部分资源池支持用户根据页面提示，手动点击升级按钮，升级最新版Agent插件。目前已支持部分资源池。 功能特性 功能 描述 丰富的监控项 为您监控CPU、内存、磁盘、网络等丰富监控项，便于实时掌握业务运行情况。监控项参见云主机监控指标 GPU监控 支持查看GPU相关监控指标，监控项参见GPU监控

本文将为您介绍公共传输通道的产品优势。 快速开通 能够实现客户总部/分支机构（含自建机房）站点、电信IDC/DC站点、私有云、天翼云、电信云灾备中心、第三方公有云的自动开通。 天翼云资源池站点分钟级开通（个别不具备专线自动化开通能力的资源池，需两个工作日手工开通）。 采用IPRAN接入的站点可在7个工作日内开通（含本地接入段施工时间）。 灵活入云 公共传输通道为企业用户提供了高效便捷的一点入多云的服务，通过预先与天翼云和第三方公有云进行深度集成，确保能够实现客户总部和分支机构能够更加轻松灵活地实现一点入云。 安全可靠 CN2DCI网络节点采用三路由互联设计，确保数据传输的可靠性和稳定性。天翼云资源池站点通过双POP（两台堆叠配置的云专线交换机）以及双链路上联至CN2DCI网络，实现了高达99.95%的可用率，即使在云主机出现故障的情况下，也能确保服务的连续性和稳定性。同时，在CN2DCI大客户专属承载网上采用国际主流的MPLS/SRv6+EVPN技术，有效隔离不同行业客户的数据，确保客户信息安全无虞。 超低时延 CN2DCI承载网面向大客户的业务而设计，确保负载不超过50%，同时支持路径定制，骨干网节点间平均时延指标最优低于30ms，全面满足公共传输通道业务低时延要求。

本文主要介绍创建空虚拟机 前提条件 已安装VirtualBox。 操作步骤 打开VirtualBox，单击“新建”，在弹出的“新建虚拟电脑”对话框中输入虚拟机名称，并选择类型和版本，单击“下一步”。 以Windows 2008 64bit为例，类型选择：Microsoft Windows。 请确保选择的版本与待安装的操作系统版一致。 图 创建虚拟机 2、在选择内存的对话框中，选择内存大小并单击“下一步”。 选择内存时请参考虚拟机配置及待安装操作系统的官方要求。本文以设置为2048MB为例。 图 选择内存 3、在虚拟硬盘对话框中，选择“现在创建虚拟硬盘”，并单击“创建”。 图 虚拟硬盘 4、选择虚拟硬盘文件类型为“VHD”，单击“下一步”。 图 虚拟硬盘文件类型 5、选择磁盘分配方式为“动态分配”，单击“下一步”。 图 磁盘分配 6、设置磁盘大小及存储位置。 本文以设置磁盘大小为25GB为例。 图 文件位置和大小 7、单击“创建”，完成空虚拟机的创建。

本文主要介绍如何创建空虚拟机 前提条件 已安装VirtualBox。 操作步骤 打开VirtualBox，单击“新建”，在弹出的“新建虚拟电脑”对话框中输入虚拟机名称，并选择类型和版本，单击“下一步”。 以Ubuntu为例，类型选择：Linux。 请确保选择的版本与待安装的操作系统版一致。 图 创建虚拟机 2、在选择内存的对话框中，选择内存大小并单击“下一步”。 选择内存时请参考虚拟机配置及待安装操作系统的官方要求。默认最小为256MB，本文以设置为512MB为例。 图 选择内存 3、在虚拟硬盘对话框中，选择“现在创建虚拟硬盘”，并单击“创建”。 图 虚拟硬盘 4、选择虚拟硬盘文件类型为“VHD”，单击“下一步”。 图 虚拟硬盘文件类型 5、选择磁盘分配方式为“动态分配”，单击“下一步”。 图 磁盘分配 6、设置磁盘大小及存储位置。 本文以设置磁盘大小为20GB为例。 图 设置磁盘大小及存储位置 7、单击“创建”，完成空虚拟机的创建。

参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改

本文向您介绍镜像如何部署Windows环境。 简介 本节介绍如何使用天翼云镜像，通过重装系统部署Windows环境。如果您已经购买了弹性云主机，想切换成Windows系统，或者想使用镜像重新部署已经预装了其它软件的环境，可以参考本文档的介绍和操作指导。 重装系统的约束与限制可以参见重装操作系统。 操作步骤 1. 登录天翼云控制台。 2. 选择“计算>弹性云主机”。 3. 选中指定的云主机，将云主机进行关机操作。 如果云主机已经处于关机状态，则可以直接执行重装系统操作。重装系统后，系统盘数据将会丢失，如果想要保留某些数据，可以先进行备份。 4. 选择云主机列表操作栏中的“更多”选项，选择“一键重装”。 5. 如果需要批量云主机重装系统，勾选多个云主机实例，选择云主机列表上方的“更多”选项，选择“一键重装”。 6. 仔细阅读一键重装页面的提示信息，选择需要的Windows镜像。镜像可以选择公共镜像、私有镜像、共享镜像、安全产品镜像。 7. 设置密码和用户数据。密码为必填项，用户数据可以暂不配置。点击“确定”按钮，即可进行重装系统的操作。 8. 可以在云主机列表看到重装云主机的状态。 9. 重装完成后，云主机的状态会恢复成“关机”，此时云主机可以正常使用。

查看私有镜像安全报告 扫描完成后，可查看安全报告。 1、登录管理控制台，进入企业主机安全页面。 2、 在左侧导航栏中选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 私有镜像仓库”，展开镜像名称，单击“操作”列的“漏洞报告”，查看该镜像版本的报告详情。 查看私有镜像恶意文件报告 扫描完成后，可查看镜像上存在的恶意文件。本节介绍查看镜像版本中存在的恶意文件。 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏中选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 私有镜像仓库”，展开镜像名称，单击“操作”列的“漏洞报告”，查看该镜像版本的报告详情。 4、选择“恶意文件”页签，查看镜像上存在的恶意文件。 查看私有镜像软件信息报告 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏中选择“资产管理 > 容器管理”，进入容器管理界面。 3、 选择“容器镜像 > 私有镜像仓库”，展开镜像名称，单击“操作”列的“漏洞报告”，查看该镜像版本的报告详情。 4、选择“软件信息”页签，查看该镜像版本包含的软件、软件类型和软件中存在的漏洞数。 软件信息查看 5、单击软件名称前的，可查看该软件中漏洞的漏洞名称、修复紧急度和解决方案。

本文介绍如何调度Pod到虚拟节点。 针对混合使用普通节点和虚拟节点的模式下，可以根据需要将Pod调度到虚拟节点上运行，通过指定nodeName的方式，将Pod调度到某个特定的虚拟节点，以ECI来运行。具体步骤如下： 1. 获取集群中VNode的名称。 plaintext kubectl get nodes 默认情况下，集群VNode名称格式为[VNode ID] + [资源池] ，示例：vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud 2. 参照如下yaml文件配置nodeName。 plaintext apiVersion: apps/v1 kind: Deployment metadata: name: vnodenginxdeployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud 配置VNode名称

本文介绍WAF针对DeepSeek安全防护场景提供的Web防护方案。 背景介绍 随着人工智能技术的快速发展，很多企业选择在GPU云主机或GPU裸金属上搭建DeepSeek私有化服务，在这个过程中，用户不仅享受到了强大的AI算力资源，同时也面临着复杂的网络威胁，如DDoS攻击、SQL注入、跨站脚本（XSS）等。 为了保障AI算力资源、训练数据及服务API链路的安全性，部署Web应用防火墙成了必不可少的安全举措。Web应用防火墙支持多种定制化的安全防护策略，帮助企业有效应对各种网络威胁，确保DeepSeek服务的稳定运行，保障DeepSeeK安全性。 DeepSeek安全防护场景示意图 在DeepSeek Web安全防护场景中，用户的DeepSeeK服务部署在GPU云主机或GPU裸金属上，WAF作为前端的安全网关，负责过滤所有进入的流量。通过WAF的定制化规则和先进的内容检测引擎，恶意流量被有效拦截，确保AI算力资源和训练数据的安全。 安全风险及应对方案 风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 Web基础防护 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 精准访问控制 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 防敏感信息泄露 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。 CC防护 API安全

本章节介绍应用服务网格CSM相关配置建议 概述 本文介绍应用服务网格相关资源配置的建议，避免因配置错误或者不合理导致的不符合预期的行为。 VirtualService（虚拟服务） 1. 虚拟服务资源需要配置到目标服务所在的命名空间下，不建议跨命名空间配置虚拟服务。 2. 一个特定host的路由规则只定义在一个虚拟服务资源下，同host存在多个虚拟服务资源时将只会生效最新创建的一个。 3. 虚拟服务资源下的host（虚拟服务对应的host或者路由目标中的host）建议配置成FQDN（fully qualified domain name）；如果使用短名，istio会根据虚拟服务资源定义的命名空间补全host，可能与实际的服务名不一致。 4. 对于一个服务，同时存在host模糊匹配和精准匹配的虚拟服务时，将以精准匹配的定义为准。 5. istio会在没有匹配到路由规则时默认访问目标服务的所有子集，但是这样没有执行任何流量治理策略；所以我们建议总是为服务定义一个默认路由，并通过目标规则定义流量策略，这样可以充分利用Envoy的流量治理能力，保证服务的访问总是在掌控之中。 DestinationRule（目标规则） 1. 业务访问中使用目标规则时的查找顺序是： 先查找客户端的命名空间中是否有要访问的服务的目标规则定义。 再查找服务端命名空间中是否有要访问的服务的目标规则定义。 最后查找根命名空间中的目标规则定义。 对于一次访问，如果目标规则没有定义在上面三个地方中，目标规则将不会生效，这里建议每个服务在自己所在的命名空间下定义目标规则。 2. 目标规则中的host也建议使用FQDN，避免不必要的错配。 3. 对于一个服务，同时存在host模糊匹配和精准匹配的目标规则时，将以精准匹配的定义为准。 4. 目标规则中可以针对某个服务的子集定义负载均衡、连接池、异常检测等策略，这些策略只有在虚拟服务中显式引用了该目标子集所产生的访问下才会生效，否则不生效。

对比项 GeminiDB Redis 开源Redis 成本 成本降低75%~90% GeminiDB Redis支持全量数据落盘，采用GaussDB基础组件服务，拥有极大价格优势。 硬件成本极高 开源Redis的全部数据保存在纯内存介质中，且自身Fork机制导致内存使用率低。 最大容量 PB级数据量 GeminiDB Redis采用存算分离架构，使得存储资源自由扩容的同时计算层资源也可以同步弹性伸缩，性能有保障。 百GB级数据量 如果开源Redis集群持续增加数据量，一方面会导致硬件成本突增，另一方面其内部Gossip集群管理效率也将变得极低。 容量利用率 100% GeminiDB Redis采用纯自研架构，不受Fork问题影响，用户购买的持久化存储空间几乎全部可用。 <50% 开源Redis受独Fork机制影响，在快照、主从复制、AOF重写期间，如遇业务高峰，理论上内存可增长一倍。因此，内存使用率控制在50%以内，才能确保安全。 规格选型 1GB细粒度，随时按需调整。 档位不连续（...32GB、48GB、64GB) 假设业务数据量约30GB。如果选用云缓存Redis，考虑到安全有效容量<50%，只能选64GB的规格，造成“买多”浪费。 数据压缩 逻辑压缩和物理压缩结合，比开源Redis更省空间 逻辑压缩：对value进行初步压缩。 物理压缩：对存储介质中的数据块整体进行二次压缩。 根据实际业务测试，String、Hash等常用结构在GeminiDB Redis实例中，存储空间占用仅为开源Redis的70%~85%。 只使用逻辑压缩 时延 平均时延差距不大，p9999表现有一定差距。 平均时延较低，p9999时延较低。 扛写能力 强 GeminiDB Redis支持多节点同时写入，且采用多线程架构，吞吐轻松翻倍。 弱 开源Redis集群中仅主节点可写，且属于单线程架构，业务高峰有OOM宕机风险。 数据可靠性 高 逐条命令实时落盘，底层三副本冗余存储，无数据丢失风险。 低 内存数据秒级落盘，且主从异步复制不及时，存在数据丢失风险。 数据一致性 强一致性 GeminiDB Redis实现了三副本强一致，多点访问无脏读风险。 弱一致性 开源Redis采用主从异步复制，多点访问存在数据不一致问题。 可用性 强 即使N1个节点同时故障，GeminiDB Redis实例依然可用。 中等 如果有一半的主节点发生故障，开源Redis集群将不可用。任意一对主从节点故障，开源Redis集群将不可用。 故障恢复 分钟级恢复，数据恢复时长与数据量无关 在全量数据下沉存储的Shared Everthting架构下，数据只需被可用节点接管即可，几乎不需耗时加载。 数据量越大，恢复耗时越久 数据物理分散在多个独立节点上，故障恢复需要将RDB快照从磁盘加载进内存，耗时久。 负载均衡 支持 细粒度数据分片，节点间实现动态负载均衡。 不支持 开源Redis需要依赖第三方组件。 扩容 平滑扩容 节点扩容：分钟级完成，业务秒级感知。 容量扩容：秒级完成，业务0感知。 Shared Everthting架构下，底层数据可被任一节点访问，扩容过程不发生数据拷贝搬迁，速度极快。 耗时长，对业务影响大 各节点本地内存装载数据分片，迁移意味着新节点的加入以及数据的拷贝搬迁，耗时长。 安全 高 GeminiDB Redis采用纯自研架构，不存在开源Redis安全漏洞问题。提供虚拟私有云、子网、安全组、DDoS防护以及SSL安全访问等多层安全防护体系，实现租户隔离和访问控制。 低 开源Redis内核不定期会爆出安全漏洞问题，如CVE202132761等。如版本升级不及时，随时有被恶意利用风险。网络环境安全级别取决于所使用的云服务质量。 运维 一站式服务 GeminiDB Redis提供成熟的迁移方案、实时监控、故障预警和数据库专家团队724小时支撑。 取决于所使用的云服务质量

本章节主要介绍物理机镜像概述。 镜像是一个至少包含操作系统，还可以包含应用软件（例如，数据库软件）及软件必要配置的物理机模板。 镜像分为公共镜像和私有镜像，公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，用户也可以提工单给天翼云运维团队协助您完成私有镜像的创建。您可以灵活便捷地使用公共镜像或者私有镜像申请物理机。同时，用户还能通过已有的物理机或者外部镜像文件创建私有镜像，这样可以快速轻松地创建能满足您一切需求的物理机。

云主机能否跨地域备份？ 当前只支持地域（Region）内备份和恢复，不支持跨地域（Region）备份和恢复。 如您想要实现跨地域备份数据的诉求，可以通过私有镜像的形式实现。步骤如下： 1.通过云主机创建系统盘镜像与数据盘镜像，具体操作参考通过云主机创建系统盘镜像，通过云主机创建数据盘镜像。 2.导出镜像到本地，具体操作参考导出镜像。 3.在目标资源池导入镜像，具体操作参考通过镜像文件创建系统盘镜像，通过镜像文件创建数据盘镜像。 通过以上步骤可以将某个资源池云主机的数据以镜像的形式备份到其他资源池。 云主机备份出现异常该如何处理？ 目前异常状态主要为云主机备份状态异常。当处于这些状态时，请参考下面处理建议。 异常状态 建议 错误 您可以删除错误状态的云主机备份后，再重新创建。 状态卡顿 若长时间状态未变化，请联系客服解决。客服会主动帮您解决此问题，在此之前建议不要对该备份数据做其他操作。如果您对客服响应速度有要求，请主动联系。 云主机备份是否可备份挂载共享盘的云主机？ 共享盘存在同时挂载到多个云主机的情况，暂不支持给挂载共享盘的云主机做备份，后续将逐渐完善功能。 如果您有具体需求，可以通过客服电话等方式联系产品售前经理或解决方案经理，我们会根据您的业务为您定制合适的解决方案。

类别 描述 集群相关 Nodeip强相关：确认之前集群的节点IP（包括EIP），是否有作为其他的配置或者白名单之类的设置。 工作负载 记录工作负载数目，便于迁移后检查。 存储 1. 确认应用中存储，是否使用公有云，或者自己搭建存储。 2. 自动创建的存储需要在新集群中变成使用已有存储。 网络 1. 注意使用的负载均衡服务，以及Ingress。 2. 老版本的集群只支持经典型负载均衡服务，迁移到新集群中需要改成共享型负载均衡服务，对应负载均衡服务将会重新建立。 运维 私有配置：确认在之前集群中，是否在节点上配置内核参数或者系统配置。

限制项 使用说明 实例 开通后，不支持修改VPC/子网/可用区，不支持变更地域属性 扩缩容 当前只支持节点、规格、磁盘扩容，不支持缩容 版本 当前服务端版本为2.132.8.2。实例创建后，服务端版本不支持升级，不支持定制版本 弹性ip 支持对每个节点绑定弹性ip，可以在公网访问topic，弹性ip只能通过SASL连接访问 topic创建 默认不支持自动创建，需要在页面上创建，总数不超过100个 topic分区数 只能增加不能减少，总分区数不能超过2000个，分区数过多会导致磁盘碎片化，影响性能 私有主题 支持私有主题 消息大小 默认1MB，可自定义配置 批量导入/导出 支持topic、消费组、连接用户的批量导入 私有消费组 支持私有消费组，需要在页面上创建、订阅对应的私有主题，并对连接用户授权

本节主要介绍CreateVirtualMFADevice。 此操作用来创建虚拟MFA设备。创建虚拟MFA后，可以使用EnableMFADevice启用虚拟MFA设备，并将该虚拟MFA设备与指定的IAM用户关联。 注意 QR代码和Base32字符串中包含的MFA设备密钥，就像您的密码一样，应被妥善保管和处理。 请求示例 名称 描述 是否必须 ::: Action CreateVirtualMFADevice。 是 Version 请求版本。 取值 ：20100508。默认值为20100508。 否 VirtualMFADeviceName 虚拟MFA设备的名称。 类型 ：字符串 取值 ：1~128个字符组成，字符只能包含字母、数字或特殊字符，字母不区分大小写，特殊字符只能是：下划线（）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）和at符号（@）。 是 响应结果 名称 描述 VirtualMFADevices.Base32StringSeed MFA设备密钥。 VirtualMFADevices.QRCodePNG 密钥二维码，使用Base64编码。 VirtualMFADevices.SerialNumber 唯一标识MFA设备的序列号。 请求示例 创建名为mfa1的虚拟MFA设备。 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20190315T083028Z ContentType: application/octetstream ContentLength: 74 ActionCreateVirtualMFADevice&Version20100508&VirtualMFADeviceNamemfa1

此小节介绍登录云堡垒机。 说明 内网地址登录需要确保网络环境互通。 外网地址登录需要绑定弹性IP。 前提条件 管理员已添加该用户。 操作步骤 1. 启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 云堡垒机实例登录地址为 2. 选择认证方式为“本地认证 ”或“AD认证”。 3. 输入系统用户账号和密码，输入图形验证码。 4. 在弹出的对话框中选择绑定的双因子认证方式，若未开启双因子认证则跳过该步骤。 说明 使用短信认证登录，请确保该云堡垒机已开启短信认证方式，具体开启操作请参考：认证设置章节。 使用手机令牌登录前，请先确保您已经为该账号绑定手机令牌，绑定手机令牌才做请参见：手机令牌章节。 5. 单击“确定”，成功登录到堡垒机系统。 注意 动态口令的获取需要使用天翼云APP虚拟MFA管理功能，若未安装天翼云APP，请进入手机应用商店搜索“天翼云”，下载安装天翼云手机APP。

本节介绍了Windows弹性云主机中的cloudbaseinit帐户是什么的相关内容。 cloudbaseinit帐户是什么？ Windows弹性云主机中的cloudbaseinit帐户为CloudbaseInit代理程序的内置帐户，用于弹性云主机启动的时候获取元数据并执行相关配置。如果删除此帐户，会影响云管理平台的相关功能，建议您不要修改、删除此帐户。 说明 Linux弹性云主机中不存在该帐户。 如果自行修改、删除此帐户或者卸载CloudbaseInit代理程序，会导致由此弹性云主机创建的Windows私有镜像所生成的新云主机初始化的自定义信息注入失败。 cloudbaseinit帐户密码随机化安全加固说明 在cloudbaseinit 0.9.10版本中，对cloudbaseinit内置账户密码进行随机化安全加固，确保cloudbaseinit内置账户密码的HASH值（LMHASH和NTLMHASH值）不一致。 Windows系统下的HASH密码格式为：用户名称:RID:LMHASH值:NTHASH值， 例如：Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE9CC:::表示 用户名称为：Administrator RID为：500 LMHASH值为：C8825DB10F2590EAAAD3B435B51404EE NTHASH值为：683020925C5D8569C23AA724774CE9CC 验证：使用同一个镜像创建两个云主机（ecs01,ecs02），cloudbaseinit内置账户HASH值不同。 ecs01的cloudbaseinit内置账户LMHASH和NTLMHASH值如下所示。 图 ecs01 ecs02的cloudbaseinit内置账户LMHASH和NTLMHASH值如下所示。 图 ecs02