本文档为制作Linux系统私有镜像指导手册的步骤6,清洁镜像。 操作场景 为保证用户私有镜像在平台上正常使用，建议执行镜像清洁操作。避免出现如下问题： 初始化主机名、登录密码不生效； 网卡漂移； SSH的host key未清理； 清洁镜像 1. 下载 clean.sh 文件并上传至虚机的当前目录下。 注意 若在多个终端登录过（如通过 SSH 登录的窗口、VNC 界面，等等），则建议每个窗口都执行下 history c 命令。 bash clean.sh history c

本章节向您主要介绍如何删除已创建的VPN连接。 操作场景 当无需使用VPN网络、需要释放网络资源时，可删除VPN连接。 当删除最后一个VPN连接时，会同时删除绑定的VPN网关。 操作步骤 1. 登录管理控制台。 2. 在管理控制台上方选择区域和项目。 3. 在系统首页，单击“网络 > 虚拟专用网络”。 4. 在左侧导航栏选择“虚拟专用网络 > VPN连接”。 5. 在“VPN连接”界面所需删除的VPN连接所在行，选择“更多 > 删除”。 6. 单击“是”。

如何开启背景虚化和虚拟背景？ 进入“设置”>“虚拟背景与美颜”，您可以： 1. 选择系统提供的背景素材。 2. 点击“自定义”上传个人背景。 3. 启用“虚化”功能来模糊真实背景。 为什么我看到的画面卡顿或者断断续续？ 该问题多与网络状况或设备性能有关，建议尝试以下方法： 1. 切换至更稳定的WiFi网络。 2. 关闭其他高占用资源的后台程序。 3. 尽量避免同时运行多个大型应用程序。

本文介绍如何在基于最新一代海光安全加密虚拟化CSV(China Secure Virtualization)3.0技术的云主机(下文简称为CSV云主机)中构建CSV3.0加密计算环境,并演示如何验证CSV功能,以及CSV云主机存在的一些功能限制。 概述 海光安全加密虚拟化CSV是一项基于国产海光CPU硬件的云主机保护技术，CSV云主机的运行时状态（如CPU寄存器、内存数据及中断处理等）均受到CPU硬件的隔离和加密保护，云厂商和外部攻击者均无法窃取或篡改CSV云主机的内部运行状态（如计算中的数据等）。关于海光CSV技术的更多信息，请参见Hygon Arch。 CSV云主机关键特性 内存隔离：通过处理器硬件机制，为每个云主机构建独立的、受保护的执行环境，实现云主机之间、云主机和宿主机之间的硬件级逻辑隔离。即使宿主机系统或管理员拥有最高权限，也无法读取或篡改虚拟机内的数据，从根本上杜绝了“从内部”被窥视的风险，实现数据在处理过程中的“可用不可见”。 内存加密：数据在内存中全程以密文形式存在，仅能在 CPU 内部解密使用。即使机房被入侵，攻击者通过物理手段也难以探测到或篡改内存中的数据内容。 远程证明：支持远程证明功能，允许信任域所有者验证其虚拟机是否在可信的硬件环境中启动，并且没有被篡改，增强了对基础设施的信任。 安全启动：确保虚拟机仅从经过签名和验证的引导加载程序启动，进一步加强了启动过程的安全性。 体验一致：提供与普通云主机完全一致的管理接口和操作体验，通过控制台、API 等，像创建和管理任何一台普通云主机一样，轻松创建和管理机密云主机，运维习惯无需任何改变。 应用无损：海光CSV可以为您的云主机和应用提供默认的安全保护，您的现有应用系统，无论是传统的 Java 还是现代的 Python 应用，均无需进行改造，可直接运行在机密云主机。

主要指标参数 指标参数说明 本示例规划 kubernetes版本 1.27.8 1.29.3 1.29.3 网络插件 cubecni：cubecni 是云容器引擎自研的网络插件，支持基于 Kubernetes 标准的网络策略来定义容器间的访问策略 calico：使用社区 calico CNI 插件的IP模式 cubecni apiserver访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。规格选择请见： 标准型I 控制节点数 1：单控制节点，无高可用能力，不建议在生产环境使用 3：基本的高可用能力 5：更多冗余的高可用能力 3 节点规格 分为控制节点规格和工作节点规格，如何选择可以参考： 通用型4C8G 工作节点操作系统 公有镜像：ctyunos23.01 私有镜像：用户自定义镜像 ctyunos23.01

资产数是什么？ 资产数表示云堡垒机管理的虚拟机等设备上运行的资源数，资源数是同一个虚拟机对应的需要运维的协议和应用总数。 受CBH资产版本规格限制，CBH系统管理的资源总数，不能超过当前版本规格的 资产数 。 资产数不以CBH系统所管理虚拟机等设备的数量计算，而是以所管理虚拟机上资源的数量计算，一个虚拟机内可能有多种资源形式，包括不同协议的主机，不同类型的应用等。 例如，目前有一台虚拟机，在云堡垒机中添加这台虚拟机的资源，分别添加了2个RDP、1个TELNET和1个MySQL协议的主机资源，以及1个Chrome浏览器的应用资源，那么当前管理的资产数即为5，而不是1。 并发数是什么？ 并发数是指云堡垒机上同一时刻连接的运维协议连接数。 云堡垒机系统对登录用户数没有限制，可无限创建用户。但是同时刻不同用户连接协议总数，不能超过当前版本规格的并发数 。 例如，10个运维人员同时通过云堡垒机运维设备，假设平均每个人产生5条协议连接（例如通过SSH客户端、MySQL客户端进行远程连接），则并发数等于50。 云堡垒机支持统一管理企业ERP上云、SAP上云等业务吗？ 支持。 云堡垒机与云上业务网络通畅情况下，可通过安装应用发布服务器，依赖Windows系统的远程桌面服务，接入ERP生产系统、ERP容灾系统、SAP生产系统、SAP开发/测试系统、SAP Router、SAP Hybris等典型场景的应用、数据库或网页，将ERP和SAP上云业务作为一个网页或应用来审计和录屏操作，实现对企业上云业务的统一管理。

本节操作介绍当您使用私有镜像时,如何安装GRID驱动,购买或者申请GRID License,以及如何配置License服务器。 操作场景 GPU加速型实例如需使用OpenGL/DirectX/Vulcan等图形加速能力则需要安装GRID驱动。此外，GRID驱动配合vDWS类型License，也支持CUDA，用来满足既需要计算加速也需要图形加速的场景。 使用私有镜像创建的GPU加速型实例，则需要安装GRID驱动并自行购买和配置使用GRID License。 本节操作介绍当您使用私有镜像时，如何安装GRID驱动，购买或者申请GRID License，以及如何配置License服务器。 安装GRID驱动操作步骤： 1. 购买GRID License 2. 下载GRID驱动及License软件包 3. 部署和配置License Server 4. 安装GRID驱动并配置License 说明 NVIDIA支持用户申请90天试用版License。 不同规格的GPU实例介绍和应用场景请参见 购买GRID License 购买License 使用私有镜像时候如果您需要正式版本License，请联系NVIDIA或者所在国家/地区的NVIDIA代理商。 申请试用版License。 打开NVIDIA官方网站（NVIDIA Enterprise Account Registration），填写相关信息。 注册账号和申请试用版License的注意事项请参见NVIDIA官方帮助页（ ）。 说明 试用版License的使用方法和正式版本的License一致，可以保留试用版账号激活正式版本的License，无需重新注册。试用版License有限期限为90天，账号过期将无法使用，请尽快购买正式版本。 图 申请试用版License

本节介绍网络的用户指南:集群网络概述。 集群网络分为主机和容器两个维度，主机位于VPC中使用VPC网络，容器网络则使用容器网络插件来管理。 节点网络 VPC为集群内主机分配IP地址，订购集群时选择VPC中的子网用于集群的主机网络，子网可用IP数量直接限制了集群节点规模。 容器网络 约束条件 容器网络CNI插件为Pod分配IP地址，云容器引擎提供的CNI插件均符合kubernetes容器网络模型，具体约束如下： 1.每个Pod都拥有一个独立IP地址，Pod内容器均共享一个网络命名空间； 2.任意Pod之间均可直接通信，无需NAT； 3.任意Pod与节点间均可直接通信，无需NAT。 网络插件 当前云容器引擎提供如下CNI插件： calico容器网络：使用calico IPIP模式。该模式下，calico依旧使用BGP分发节点的容器路由信息，但在节点网络基础上通过IPIP隧道技术构建独立于节点网络平面的容器网络平面，IPIP将发给容器的IP报文封装成发给目的节点的IP报文进行隧道传输； cubecni容器网络：是云原生网络方案，直接基于VPC网络中的弹性网卡和IP资源构建容器网络。Pod通过弹性网卡资源直接分配VPC的子网IP地址，无需额外指定虚拟Pod地址段。 Cubecni和Calico对比如下： 。 对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

权限 描述 SDK对应值 私有读写 所有者获得FULLCONTROL。 其他人没有访问权限（默认） private 公共读私有写 所有者获得FULLCONTROL。 AllUsers组获得READ访问权限 publicread 公共读写 所有者获得FULLCONTROL。 AllUsers组具有“读取”和“写入”访问权限。 通常不建议在存储桶上授予此权限 publicreadwrite

ACL 权限 描述 private 私有读写 对象拥有者有读写权限，其他用户没有访问权限。 publicread 公共读私有写 对象拥有者有读写权限，其他用户只有该对象的读权限。 publicreadwrite 公共读写 所有用户都有该对象的读写权限。 authenticatedread 注册用户可读 对象拥有者有读写权限，注册用户具有该对象的读限。

本节主要介绍如何管理VPC。 网络ACL是对一个或多个子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。一个文件系统最多可以添加20个可用的VPC，对于添加的VPC所创建的ACL规则总和不能超过400个。添加VPC时会自动添加默认IP地址0.0.0.0/0。 如果已经在VPC控制台删除文件系统绑定的VPC，该VPC在文件系统绑定的VPC列表下可见且授权的IP地址/地址段为“激活”状态，但此时该VPC已无法进行使用，建议将该VPC从列表中删除。 更多关于VPC的信息请参见《虚拟私有云用户指南》。 操作步骤 1. 登录管理控制台，选择“弹性文件服务”。 2. 在文件系统列表中单击目标文件系统名称，进入授权VPC界面。 3. 如果没有可用的VPC，需要先申请VPC。可以为文件系统添加多个VPC，单击“添加VPC”，弹出“添加VPC”对话框。如图所示。 可以在下拉列表中选中多个VPC。 4. 单击“确定”，完成添加。添加成功的VPC会出现在列表中，添加VPC时会自动添加默认IP地址0.0.0.0/0，默认读写权限为“读/写”，默认用户权限为“noallsquash”，默认用户root权限为“norootsquash”。 5. 在VPC列表下可以看到所有添加的VPC的信息，参数说明如表所示。 参数 说明 :: 名称 已添加的VPC的名称，例如：vpc4040。 授权IP数量 已经添加的IP地址或IP地址段的个数。 操作 包含“添加”和“删除”操作。“添加”即添加授权的IP地址，包括对授权的IP地址、读/写权限、用户权限、用户root权限及优先级的设置，“删除”即删除该VPC。 6. 单击VPC名称左边的，可以查看目标VPC添加的IP地址/地址段的详细信息。可以对其进行添加、编辑和删除IP地址/地址段的操作。在目标VPC的“操作”列，单击“添加”，弹出“添加授权地址”的弹窗，如图所示。可以根据参数说明如表所示完成添加 参数 说明 :: 授权地址 只能输入一个IPv4地址/地址段。 输入的IPv4地址/地址段必须合法，且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段，其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时，不能为127以及224~255开头的IP地址或地址段，例如127.0.0.1，224.0.0.1，255.255.255.255，因为以224239开头的IP地址或地址段是属于D类地址，用于组播；以240255开头的IP地址或地址段属于E类地址，用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。 无法输入多个地址，如：10.0.1.32,10.5.5.10用逗号分隔等形式的多个地址。 如果要表示一个地址段，如192.168.1.0192.168.1.255的地址段应使用掩码形式：192.168.1.0/24，不支持192.168.1.0255等其他地址段表示形式。掩码位数的取值为0到31的整数，且只有为0.0.0.0/0时掩码位数可取0，其他情况均不合法。 读或写权限 分为读/写权限和只读权限。默认为“读/写”。 用户权限 分为allsquash和noallsquash。默认为“noallsquash”。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 用户root权限 分为rootsquash和norootsquash。默认为“norootsquash”。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 优先级 优先级只能是0100的整数。0表示优先级最高，100表示优先级最低。同一VPC内挂载时会优先使用该优先级高的IP地址/地址段所拥有的权限，存在相同优先级时会优先匹配最新添加或修改的IP地址/地址段。例如：用户在执行挂载操作时的IP地址为10.1.1.32，而在已经授权的IP地址/地址段中10.1.1.32（读写）优先级为100和10.1.1.0/24（只读）优先级为50均符合要求，则用户权限会使用优先级为50的10.1.1.0/24（只读）的只读权限。10.1.1.0/24内的所有地址包括10.1.1.32，在无其他授权优先级的情况下，则将会使用优先级为50的10.1.1.0/24（只读）的只读权限。 说明 属于VPC A中的弹性云主机IP地址可以被成功添加至VPC B的授权IP地址内，但该云主机无法挂载属于VPC B下的文件系统。弹性云主机和文件系统所使用的VPC需为同一个。

服务类型 销售规格 应用场景 计费方式 标准资费 计费方式 单位 公有云 gn3.ml（标准型） 酒店或网吧 包年包月 870 按使用周期扣费 元/路/月 公有云 gn3.ml（标准型） 酒店或网吧 按需计费 33 按实际使用时长扣费 元/路/天 公有云 gn3.ml（标准型） 家庭或个人使用 按需计费 3.5 按实际使用时长扣费 元/路/时 公有云 gn3.ml（极速型） 酒店或网吧 按需计费 4.5 按实际使用时长扣费 元/路/时 公有云 gn3.ml（标准型）3小时包 家庭或个人使用 小时包 9 单个小时包使用后即享有该小时包对应时长，可累计，使用过的小时包不可退订 元/个 公有云 gn3.ml（标准型）8小时包 家庭或个人使用 小时包 20 单个小时包使用后即享有该小时包对应时长，可累计，使用过的小时包不可退订 元/个 公有云 gn3.ml（标准型）12小时包 家庭或个人使用 小时包 27 单个小时包使用后即享有该小时包对应时长，可累计，使用过的小时包不可退订 元/个 公有云 gn4.m1（标准型） 酒店或网吧 包年包月 878 按使用周期扣费 元/路/月 公有云 gn4.m1（标准型） 酒店或网吧 按需计费 34 按实际使用时长扣费 元/路/天 公有云 gn4.m1（标准型） 家庭或个人使用 按需计费 2.67 按实际使用时长扣费 元/路/时 公有云 gn4.m1（极速型） 酒店或网吧 按需计费 3.33 按实际使用时长扣费 元/路/时 公有云 gn4.l1（标准型） 酒店或网吧 包年包月 1109 按使用周期扣费 元/路/月 公有云 gn4.l1（标准型） 酒店或网吧 按需计费 39 按实际使用时长扣费 元/路/天 公有云 gn4.l1（标准型） 家庭或个人使用 按需计费 3.33 按实际使用时长扣费 元/路/时 公有云 gn4.l1（极速型） 酒店或网吧 按需计费 4.45 按实际使用时长扣费 元/路/时 公有云 gn4.2xl1（标准型） 酒店或网吧 包年包月 1665 按使用周期扣费 元/路/月 公有云 gn4.2xl1（标准型） 酒店或网吧 按需计费 59 按实际使用时长扣费 元/路/天 公有云 gn4.2xl1（标准型） 家庭或个人使用 按需计费 5.56 按实际使用时长扣费 元/路/时 公有云 gn4.2xl1（标准型） 酒店或网吧 按需计费 6.67 按实际使用时长扣费 元/路/时 私有云 Esports 酒店或网吧 包年包月 216 按使用周期扣费 元/路/月

服务类型 销售规格 应用场景 计费方式 标准资费 计费方式 单位 公有云 gn3.ml(标准型） 酒店或网吧 包年包月 870 按使用周期扣费 元/路/月 公有云 gn3.ml(标准型） 酒店或网吧 按需计费 33 按实际使用时长扣费 元/路/天 公有云 gn3.ml(标准型） 家庭或个人使用 按需计费 3.5 按实际使用时长扣费 元/路/时 公有云 gn3.ml(极速型） 酒店或网吧 按需计费 4.5 按实际使用时长扣费 元/路/时 公有云 gn3.ml（标准型）3小时包 家庭或个人使用 小时包 9 单个小时包使用后即享有该小时包对应时长，可累计，使用过的小时包不可退订 元/个 公有云 gn3.ml（标准型）8小时包 家庭或个人使用 小时包 20 单个小时包使用后即享有该小时包对应时长，可累计，使用过的小时包不可退订 元/个 公有云 gn3.ml（标准型）12小时包 家庭或个人使用 小时包 27 单个小时包使用后即享有该小时包对应时长，可累计，使用过的小时包不可退订 元/个 公有云 gn4.m1（标准型） 酒店或网吧 包年包月 878 按使用周期扣费 元/路/月 公有云 gn4.m1（标准型） 酒店或网吧 按需计费 34 按实际使用时长扣费 元/路/天 公有云 gn4.m1（标准型） 家庭或个人使用 按需计费 2.67 按实际使用时长扣费 元/路/时 公有云 gn4.m1（极速型） 酒店或网吧 按需计费 3.33 按实际使用时长扣费 元/路/时 公有云 gn4.l1（标准型） 酒店或网吧 包年包月 1109 按使用周期扣费 元/路/月 公有云 gn4.l1（标准型） 酒店或网吧 按需计费 39 按实际使用时长扣费 元/路/天 公有云 gn4.l1（标准型） 家庭或个人使用 按需计费 3.33 按实际使用时长扣费 元/路/时 公有云 gn4.l1（极速型） 酒店或网吧 按需计费 4.45 按实际使用时长扣费 元/路/时 公有云 gn4.2xl1（标准型） 酒店或网吧 包年包月 1665 按使用周期扣费 元/路/月 公有云 gn4.2xl1（标准型） 酒店或网吧 按需计费 59 按实际使用时长扣费 元/路/天 公有云 gn4.2xl1（标准型） 家庭或个人使用 按需计费 5.56 按实际使用时长扣费 元/路/时 公有云 gn4.2xl1（极速型） 酒店或网吧 按需计费 6.67 按实际使用时长扣费 元/路/时 私有云（详情请咨询客户经理） Esports 酒店或网吧 包年包月 216 按使用周期扣费 元/路/月

本节介绍了用户指南: 弹性文件概述。 云容器引擎支持挂载天翼云弹性文件存储卷。cstorcsi插件兼容动态和静态两种存储卷类型，通过将弹性文件存储卷挂载至容器指定目录，可满足数据持久化需求。 弹性文件存储提供按需扩展的高性能NAS服务，支持云上多台弹性云主机、容器及物理机等计算资源的大规模并发访问，具备高可用性与数据持久性保障。其提供标准POSIX文件访问接口，可实现现有应用与文件存储的无缝集成。 使用限制 规格类型 当前cstorcsi插件支持SFS Turbo标准型、SFS Turbo性能型 文件协议 当前cstorcsi插件仅支持NFS协议 容量 单个文件系统最小容量为500GB 文件系统加密 暂不支持文件存储加密 性能规格 SFS Turbo标准型、SFS Turbo性能型规格对比：弹性文件性能对比 说明 最大IOPS、最大带宽两个参数的值均为读写总和。比如最大IOPSIOPS读+IOPS写。 最大IOPS大小与容量无关。 时延是指低负载情况下的最低延迟，非稳定时延。 参数 SFS Turbo标准型 SFS Turbo性能型 最大带宽 1.5GB/s 2GB/s 最高IOPS 5000 30000 时延 1~10ms 1ms 最大容量 500GB~32TB 500GB~32TB 优势 大容量、低时延 大容量、高带宽、低成本 应用场景 适用于大容量、低时延的业务，如代码存储、日志存储、Web服务、虚拟桌面等 适用于海量小文件、随机IO密集型以及时延敏感型业务，如高性能计算、文件共享、内容管理等

怎样配置Windows弹性云主机的虚拟内存？ 当弹性云主机内存不足时，建议通过变更规格操作来扩大内存。若因业务需要，必须开启虚拟内存，请参见本节内容进行配置。 1. 登录弹性云主机，单击开始，选择计算机，右键选择属性，点击高级系统设置。 2. 点击“高级”页签，在此页签内，点击“性能”的“设置(S)”按钮，弹出“性能选项”对话框。 3. 点击“高级”页签，在此页签内，点击“虚拟内存”的“更改(C)”按钮。 4. 单击“设置”，然后单击右下角的“确定”完成虚拟内存配置。 5. 重启弹性云主机，使配置生效。

本章节内容主要介绍弹性IP连接DDS实例 最佳实践概述 场景描述 文档数据库实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 本文档以DDS副本集实例和Windows操作系统为例，说明如何在控制台绑定弹性IP，设置安全组，以及通过Robo 3T工具在本地环境连接DDS实例。具体操作步骤如下： 注意事项 在进行本文操作之前，您需要完成以下准备工作： 在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则，操作请参见：步骤2设置安全组。 集群实例仅支持mongos节点绑定弹性公网IP。对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 方案正文 本文档以DDS副本集实例和Windows操作系统为例，说明如何在控制台绑定弹性IP，设置安全组，以及通过Robo 3T工具在本地环境连接DDS实例。具体操作步骤如下： 步骤1：绑定弹性IP 1.登录管理控制台。 2.在文档数据库服务“实例管理”页面，选择目标实例，单击实例名称，进入实例“基本信息”页面。 图1 实例管理 3.在实例“基本信息”页面的“节点信息”模块，选择角色为Primary的节点，单击“绑定弹性IP”。 图2 节点信息 4.在弹出框中，选择一个已购买的弹性IP，单击“确定”。 图3 绑定弹性IP 界面右上方提示命令已下发成功。 图4 命令下发成功 5.绑定成功后，可在“节点信息”模块查看绑定结果。 图5 绑定成功 步骤2 设置安全组 1.在“网络信息”模块，查看实例的数据库端口。 图6 网络信息 2.在“网络信息”模块，单击安全组名称，进入安全组页面。 3.在安全组页面，单击安全组名称。 4.选择“入方向规则”页签，单击“添加规则”，在弹出窗口中，添加端口为数据库端口的入方向规则。 图7 添加入方向规则 步骤3 连接DDS实例 1.打开Robo 3T下载地址： Robo 3T”。 图8 下载页面 2.在弹出框中，下载“robo3t1.4.4windowsx8664e6ac9ec5.exe”。 图9 下载工具 3.双击“robo3t1.4.4windowsx8664e6ac9ec5.exe”文件，开始执行安装。 4.安装完成后，打开工具，在连接信息页面，单击“Create”。 图10 连接信息 5.在弹出的“Connection Settings”窗口，设置新建连接的参数。 a.在“Connection”页签，“Name”填写新建连接的名称，“Address”填写DDS实例绑定的弹性IP和实例的数据库端口。 图11 Connection b.在“Authentication”页签，“Database”填写admin，“User Name”填写rwuser，“Password”填写您创建DDS实例时设置的管理员密码。 图12 Authentication c.设置完成后，单击“Save”。 6. 单击“Connect”，开始连接DDS实例。 图13 连接信息 6.成功连接DDS实例，工具界面显示如下： 图14 连接成功

本文介绍如何在基于最新一代海光安全加密虚拟化CSV(China Secure Virtualization)3.0技术的云主机(下文简称为CSV云主机)中构建CSV3.0加密计算环境,并演示如何验证CSV功能,以及CSV云主机存在的一些功能限制。 概述 海光安全加密虚拟化CSV是一项基于国产海光CPU硬件的云主机保护技术，CSV云主机的运行时状态（如CPU寄存器、内存数据及中断处理等）均受到CPU硬件的隔离和加密保护，云厂商和外部攻击者均无法窃取或篡改CSV云主机的内部运行状态（如计算中的数据等）。关于海光CSV技术的更多信息，请参见Hygon Arch。 CSV云主机关键特性 内存隔离：通过处理器硬件机制，为每个云主机构建独立的、受保护的执行环境，实现云主机之间、云主机和宿主机之间的硬件级逻辑隔离。即使宿主机系统或管理员拥有最高权限，也无法读取或篡改虚拟机内的数据，从根本上杜绝了“从内部”被窥视的风险，实现数据在处理过程中的“可用不可见”。 内存加密：数据在内存中全程以密文形式存在，仅能在 CPU 内部解密使用。即使机房被入侵，攻击者通过物理手段也难以探测到或篡改内存中的数据内容。 远程证明：支持远程证明功能，允许信任域所有者验证其虚拟机是否在可信的硬件环境中启动，并且没有被篡改，增强了对基础设施的信任。 安全启动：确保虚拟机仅从经过签名和验证的引导加载程序启动，进一步加强了启动过程的安全性。 体验一致：提供与普通云主机完全一致的管理接口和操作体验，通过控制台、API 等，像创建和管理任何一台普通云主机一样，轻松创建和管理机密云主机，运维习惯无需任何改变。 应用无损：海光CSV可以为您的云主机和应用提供默认的安全保护，您的现有应用系统，无论是传统的 Java 还是现代的 Python 应用，均无需进行改造，可直接运行在机密云主机。

本文向您介绍如何修改弹性云主机(Windows)的SID。 操作场景 Windows操作系统是通过安全标识符（SID）对计算机和用户的识别。由于基于同一镜像生产的云服务器实例 SID 相同，会引起无法入域的问题。如果您需要搭建 Windows 域环境，则需要通过修改 SID 以达到入域的目的。本文档以 Windows Server 2012 操作系统云服务器为例，介绍如何使用系统自带sysprep 以及 sidchg 工具修改 SID。 注意 本说明仅适用于 Windows Server 2008 R2 、Windows Server 2012 以及Windows Server 2016及更高版本。 如果有批量修改 SID 的需求，可通过制作自定义镜像（选择 “执行 sysprep 制作镜像”）解决。 修改云主机SID可能导致数据丢失或系统损坏，建议您提前做好数据备份。 操作步骤 使用sysprep修改SID 注意 1. 使用 sysprep 修改 SID 后，系统参数很多都被重新设置，包括 IP 配置信息等，您必须手动重新设置。 2. 使用 sysprep 修改 SID 后，C:UsersAdministrator 将会被重置，系统盘部分数据将被清理，请注意做好数据备份。 1. 使用远程登录方式登录云主机。 2. 在操作系统界面，点击运行，输入cmd，按Enter，打开管理员命令行工具。 在管理员命令行工具中，执行以下命令，保存当前网络配置。 ipconfig /all 3. 以管理员身份使用 PowerShell 执行以下命令。 $unattendContent @" true Work 3 true true "@ $unattendContent OutFile FilePath C:WindowsSystem32Sysprepunattend.xml Encoding UTF8 Force C:WindowsSystem32Sysprepsysprep.exe /generalize /oobe /shutdown /unattend:C:WindowsSystem32Sysprepunattend.xml 4. 执行完成后，系统会自动关机。此时，您可在云平台制作私有镜像。 5. 启动云主机进入操作系统后执行下方命令，验证SID是否已修改，返回类似如下信息，则表示SID已完成修改。 whoami /user 6. 根据步骤2保存的网络配置信息，重新设置网卡相关信息(如IP地址、网关地址、DNS等)。

本文向您介绍如何创建企业版VPN连接。 场景描述 如果您需要将VPC中的弹性云主机和数据中心或私有网络连通，创建VPN网关、对端网关之后，需要继续创建VPN连接。 约束与限制 使用静态路由模式创建VPN连接时，使能NQA前请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 3. 在“VPN连接”页面，单击“创建VPN连接”。 说明 VPN网关的两个EIP支持分别和对端网关创建一条VPN连接。VPN双连接可以很大程度提升云上云下连接的可靠性，强烈建议配置。 4. 根据界面提示配置参数，单击“立即购买”。 表VPN连接参数说明 参数 说明 取值样例 名称 VPN连接的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。 vpn001 VPN网关 选择待关联的VPN网关名称。 如果您使用国密型VPN网关，且VPN网关没有绑定相关证书，请先单击右侧“上传证书”完成上传证书操作，否则VPN连接将无法建立。 vpngw001 网关IP 选择VPN网关IP。 VPN网关对接同一对端网关时，不能选择已使用过的EIP地址。 可选的网关IP 对端网关 选择对端网关信息。 如果您使用国密型网关，且对端网关没有绑定CA证书，请先参见本指南“企业版对端网关管理 > 上传对端网关证书”上传CA证书，否则VPN连接将无法建立。 说明 如果一个对端网关同时对接多个VPN网关，则VPN网关的BGP ASN和连接模式需要相同。 cgw001 连接模式 IPsec连接的模式，支持路由模式和策略模式。 静态路由模式。 根椐路由配置（本端子网与对端子网）确定哪些数据进入IPsec VPN隧道。 适用场景：对端网关之间要求互通。 BGP路由模式。 根据BGP动态路由确定哪些数据进入IPsec VPN隧道。 适用场景：对端网关之间要求互通，互通子网数量多或变化频繁、与专线互备等组网场景。 策略模式。 根椐策略规则（用户侧到VPC之间通信的数据流信息）确定哪些数据进入IPsec VPN隧道，支持以源网段和目的网段定义策略规则。 适用场景：对端网关之间要求隔离。 静态路由模式 对端子网 指需要通过VPN连接访问云上VPC的用户侧子网。 若存在多个对端子网，请用半角逗号（,）隔开。 说明 对端子网可以和本端子网重叠，但不能重合。 对端子网不能被VPN网关关联的VPC内已有子网所包含；不能作为被VPN网关关联的VPC自定义路由表的目的地址。 对端子网不能是VPC的预留网段，例如100.64.0.0/10、214.0.0.0/8。 172.16.1.0/24,172.16.2.0/24 接口分配方式 仅“连接模式”采用“静态路由模式”和“BGP路由模式”时需要配置。 说明 接口地址为VPN网关和对端网关通信的tunnel隧道IP地址。 如果对端网关的tunnel接口地址固定不可更改，请使用“手动分配”模式，并根据对端网关的tunnel接口地址设置VPN网关的tunnel接口地址。 手动分配。 仅支持在169.254.x.x/30网段（除169.254.195.x/30）范围内，配置VPN网关本端接口地址的tunnel接口地址；对端网关对端接口地址的tunnel接口地址会根据本端接口地址随机生成。 例如：本端接口地址配置为169.254.1.6/30，则对端接口地址自动配置为169.254.1.5/30。 自动分配。 VPN网关默认使用169.254.x.x/30网段对tunnel接口分配地址。 自动分配的本端接口地址/对端接口地址，可以在VPN连接页面，单击“修改连接信息”进行查看。 自动分配 本端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在VPN网关上的tunnel接口地址。 对端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在对端网关上的tunnel接口地址，该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 检测机制 仅“连接模式”采用“静态路由模式”时需要配置。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 功能开启后，VPN网关会自动对对端接口地址进行NQA探测。 勾选 预共享密钥 VPN网关和对端网关的预共享密钥需要保持一致。 取值范围： 取值长度：8~128个字符。 只能包括以下几种字符，且必须包含三种及以上类型： 数字 大写字母 小写字母 特殊符号：包括“~”、“!”、“@”、“

本节为您介绍云迁移服务CMS中数据库迁移工具迁移评估配置工作,包括注意事项,操作步骤。 注意事项 本文仅简单介绍迁移评估的通用配置流程，不同数据库类型在配置时略有不同。具体配置步骤请阅读迁移评估源库配置。 操作步骤 1. 进入迁移评估的任务列表界面。 2. 单击“创建评估”按钮，进入迁移评估配置界面。 源库地址可以填写私有地址，只要安装迁移工具的节点能访问到即可，需要数据库开通白名单。 如果数据库部署在安装迁移agent的同一节点，填写数据库ip时不可填写127.0.0.1而要用本机的ip地址，因为迁移agent安装在docker中，使用127.0.0.1无法访问本地其他服务端口。 3. 填写好评估参数和目标数据库连接后，单击测试连接按钮。 4. 通过连接测试后点击“下一步：启动评估”，即可查看评估结果。

申请企业型(OV)/增强型(EV)SSL证书、私有（内网）证书、个人证书时，部分证书需要在人工验证阶段提供审核材料，您可以根据实际情况提前准备相关材料。 服务类型 证书版本 证书种类 加密标准 下载审核材料模板 SSL证书 标准版 OV 国际标准、国密标准 标准版授权书模板.zip SSL证书 CFCA OV、EV 国际标准 （国际标准）CFCA证书申请表模版.xlsx SSL证书 CFCA OV、EV 国密标准 （国密标准）CFCA证书申请表&授权书模版.zip SSL证书 Globalsign OV、EV 国际标准 Globalsign确认函模版.doc 私有（内网）证书 标准版 OV 国际标准、国密标准 私有（内网）证书申请表模版.xlsx 个人证书 国密标准 个人证书申请表模版.xlsx

参数 说明 账号别名 用户可为登录XstorBrowser的账号进行自定义账号别名，账号别名仅作为XstorBrowser的账号管理，便于记忆，不参与访问鉴权。 AK/SK AK：指Access Key ID 或 Access Key，即访问密钥ID，与私有访问密钥关联的唯一标识符；一个访问密钥ID对应一个用户，一个用户可以同时拥有5个访问密钥ID。访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK：指Secret access Key，即私有访问密钥, 与访问密钥ID结合使用，对请求进行加密签名，标识发送方，防止请求信息被篡改。 通过XstorBrowser访问媒体存储时，需要通过账号的访问密钥，即AK/SK进行登录鉴权。可参考 EndPoint 通过XstorBrowser访问媒体存储时，用户需指定区域节点访问。可参考

参数 说明 账号别名 用户可为登录XstorBrowser的账号进行自定义账号别名，账号别名仅作为XstorBrowser的账号管理，便于记忆，不参与访问鉴权。 AK/SK AK：指Access Key ID 或 Access Key，即访问密钥ID，与私有访问密钥关联的唯一标识符；一个访问密钥ID对应一个用户，一个用户可以同时拥有5个访问密钥ID。访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK：指Secret access Key，即私有访问密钥, 与访问密钥ID结合使用，对请求进行加密签名，标识发送方，防止请求信息被篡改。 通过XstorBrowser访问媒体存储时，需要通过账号的访问密钥，即AK/SK进行登录鉴权。可参考 EndPoint 通过XstorBrowser访问媒体存储时，用户需指定区域节点访问。可参考

本节介绍如何创建数据集。 前置条件 1、若从开源社区导入数据集（则需确保集群节点可以公网访问开源社区，如集群节点绑定EIP或者配置公网类型NAT网关） 2、在导入私有数据集前，请确保集群已安装 cstorcsi 插件。 要求 操作说明 插件 如何安装上述插件？ 在集群列表页点击进入指定集群； 在左侧导航栏中选择“插件/插件市场”，进入插件市场列表页； 搜索指定插件，点击“安装”； 操作步骤 1、进入智算套件应用管理数据集私有数据集页面，点击创建数据集按钮 2、输入数据集基本信息，包括数据集名称，描述，选择存储类型（对象存储或并行文件）及数据集类别 3、选择是否导入数据集，若不导入数据集，则创建空数据集，然后点击提交即可，后续可以在空数据基础上新增数据集版本 4、若需导入数据集，选择导入方式，这里有三种导入方式（开源社区、本地上传、自定义） 5、若选择开源社区，则依次选择社区名称，输入开源数据集名称，访问token(私有)，数据集标签，默认挂载路径，版本描述和创建人，然后点击提交按钮即可

迁移准备 1.权限准备： 当使用 DRS 将本地数据库的数据迁移到本云云数据库MySQL 实例时，在不同迁移类型情况下，对源数据库和目标数据库的帐号权限要求如表所示： 表1 迁移账号权限 迁移类型 全量迁移 全量+增量迁移 源数据库 SELECT、SHOW VIEW、EVENT。 SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 目标数据库 SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、WITH GRANT OPTION。 SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、WITH GRANT OPTION。 源数据库的权限设置： 需要确保源数据库MySQL的帐号具备表1的权限，若权限不足，需要在源数据库端创建高权限的帐号。 目标数据库的权限设置： 本云云数据库MySQL使用初始帐号即可。 2.网络准备： 源数据库的网络设置： 本地MySQL数据库实时迁移至本云云数据库MySQL的场景，一般可以使用VPN网络和公网网络两种方式进行迁移，您可以根据实际情况为本地MySQL数据库开放公网访问或建立VPN访问。一般推荐使用公网网络进行迁移，该方式下的数据迁移过程较为方便和经济。 目标数据库的网络设置：若通过VPN访问，请先开通天翼云VPN服务，确保源数据库MySQL和目标端本云云数据库MySQL的网络互通。 若通过公网网络访问，本云云数据库MySQL实例不需要进行任何设置。 3.安全规则准备： 源数据库的安全规则设置：若通过公网网络进行迁移，源数据库MySQL需要将DRS迁移实例的弹性IP添加到其网络白名单内，使源数据库与本云的网络互通。在设置网络白名单之前，需要获取DRS迁移实例的弹性IP，具体方法如下： DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性IP。 图4 迁移实例EIP 若通过VPN网络进行迁移，源数据库MySQL需要将DRS迁移实例的私有IP添加到其网络白名单内，使源数据库与本云的网络互通。DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的私有IP。 以上白名单是为了进行迁移针对性设置的，迁移结束后可以删除。 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 4.其他事项准备 DRS支持部分与业务和性能强相关的参数迁移，具体参数列表请参见参数列表。若涉及其他参数需要根据用户具体的业务进行手动设置。

操作名称 资源类型 事件名称 创建云主机 ecs createServer 删除云主机 ecs deleteServer 启动云主机 ecs startServer 重启云主机 ecs rebootServer 关闭云主机 ecs stopServer 添加云主机网卡 ecs addNic 删除云主机网卡 ecs deleteNic 挂载磁盘 ecs attachVolume 挂载磁盘（EVS页面触发） ecs attachVolume2 卸载磁盘 ecs detachVolume 重装操作系统 ecs reinstallOs 切换操作系统 ecs changeOs 变更规格 ecs resizeServer 配置虚拟机自动恢复标签 ecs addAutoRecovery 删除虚拟机自动恢复标签 ecs deleteAutoRecovery

使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 创建对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 创建对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

本节介绍了哪些弹性云主机支持挂载SCSI类型的云硬盘。 对于虚拟化类型为XEN的弹性云主机（XEN实例），使用如下操作系统时支持挂载SCSI类型的云硬盘： Windows操作系统 SUSE Enterprise Linux Server 11 SP4 64bit SUSE Enterprise Linux Server 12 64bit SUSE Enterprise Linux Server 12 SP1 64bit SUSE Enterprise Linux Server 12 SP2 64bit 对于虚拟化类型为KVM的弹性云主机，都支持挂载SCSI类型的云硬盘。

ACL 权限 描述 private 私有读写 存储桶拥有者有读写权限，其他用户没有访问权限 publicread 公共读私有写 存储桶拥有者有读写权限，其他用户只有该存储桶的读权限 publicreadwrite 公共读写 所有用户都有该存储桶的读写权限 authenticatedread 注册用户可读 存储桶拥有者有读写权限，注册用户具有该存储桶的读限

本文主要介绍如何添加或移除后端云主机(共享型)。 操作场景 在使用负载均衡服务时，确保至少有一台后端云主机在正常运行，可以接收负载均衡转发的客户端请求。如果请求的需求流量上升，用户需要向负载均衡器添加更多后端云主机处理需求。 移除负载均衡器绑定的后端云主机，后端云主机将不再收到负载均衡器转发的需求，但不会对云主机本身产生任何影响，只是解除了后端云主机和负载均衡器的关联关系。您可以在业务增长或者需要增强可靠性时再次将它添加至后端主机组中。 约束与限制 仅支持添加与共享型负载均衡实例同VPC的云主机。 移除后端云主机后，长连接在超时时间内会复用TCP连接，请求会继续转发，仍然会有流量进入后端云主机。 已有连接在请求超时时间后没有数据传输，负载均衡器会将连接断开。 每台后端云主机的权重取值范围为[0, 100]，新的请求不会转发到权重为0的后端云主机上。 仅当流量分配策略为加权轮询算法、加权最少连接算法和源IP算法时支持权重设置。 添加后端云主机 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要添加后端云主机的负载均衡名称。 5. 切换到“后端主机组”页签，单击目标后端主机组名称。 6. 在目标后端主机组的基本信息页面，单击“添加”。选择后端云主机所在的子网，勾选需要添加的后端云主机，单击“下一步”。 说明 如果云主机有多张网卡时，只能选择主网卡所在的子网，通过主网卡添加后端云主机。 不支持通过虚拟IP添加后端云主机。 7. 设置业务端口和云主机的权重，单击“完成”。

本文为您介绍天翼云SDWAN的定义、产品形态和产品组件。 SDWAN是一种将SDN应用到广域网场景中的软件定义广域网技术。天翼云SDWAN采用SDWAN核心网架构方案（POP云端网络架构）进行设计研发，为用户提供更加高效快捷的云化SDWAN服务。天翼云SDWAN基于天翼云资源池布局，并依托电信优质骨干网资源（ChinaNet、专线/专网、CN2DCI网、4G/5G无线网络等），可在接入侧兼容各运营商多种网络接入方式，支持一跳入云、多地组网、灵活配置以及智能调度与管理等功能，助力用户分钟级构建云、数据中心、企业分支之间的专属广域网络。 产品形态 智能网关是指天翼云提供的SDWAN网络接入设备，分为硬件版和软件版（vCPE）两种形态。 智能网关硬件版：智能网关硬件版作为部署在客户侧的重要网络设备，主要功能是负责与POP点通过网络组建加密通道，将客户侧需要通过SDWAN网络传输组网的流量通过加密通道传输至POP点，进入SDWAN骨干网中，进而传输到组网对端。 智能网关硬件版本分为四种型号：经济版、标准版、企业版、企业增强版。客户可根据业务规模需求，并结合不同型号网关的转发能力，进行设备选型： 智能终端 经济版 标准版 企业版 企业增强版 产品型号 S1000系列 S2000系列 S6000系列 S8000系列 IPSec隧道加密转发能力 100Mbps 500Mbps 1Gbps 5Gbps 智能网关软件版（vCPE）： vCPE是智能网关的软件镜像版。通过将vCPE镜像部署在云主机中。智能网关vCPE可作为一个虚拟CPE设备帮您将网络接入天翼云，为用户提供更加灵活、便捷的入云服务。