安全组规则设置 堡垒机弹性IP安全组访问规则设置请参见：虚拟私有云添加安全组规则。 注意 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和堡垒机实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当堡垒机实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的堡垒机实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的堡垒机实例。

参数 说明 取值样例 计费模式 可以选择包周期（包年/包月）或按量付费的计费模式。 包年/包月 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngatewayf0e0 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 IPsec 企业项目 选择当前VPN网关归属项目。 default 本端类型 通过VPN网关接入的资源类型，可选虚拟私有云或云间高速。 虚拟私有云VPC 虚拟私有云 当本段类型为虚拟私有云时，选择要使用的VPC作为本端资源。 vpc682f 子网 当本段类型为虚拟私有云时，选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) IPsec带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M IPsec连接数 选择对应的IPsec VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 资源到期后自动续订，按月购买时按月续订，按年购买时按年续订。 开启

本文主要介绍通过内网连接副本集实例 操作场景 本章节指导您使用MongoDB客户端，通过内网连接副本集实例。 用户可以直接操作副本集主节点和备节点。主节点用于读写请求，您可以连接主节点对数据进行读写操作。备节点复制主节点数据，用于读请求，连接备节点仅可读取数据。 操作系统使用场景： 弹性云主机的操作系统以Linux为例，客户端本地使用的计算机系统以Windows为例。 使用限制 通过内网连接副本集实例的使用限制，请参见使用限制。 前提条件 创建并登录弹性云主机，请参见《弹性云主机用户指南》中“创建弹性云主机”的内容。 在弹性云主机上，安装MongoDB客户端。 使用MongoDB客户端连接实例 步骤 1 连接弹性云主机。 连接文档数据库实例。 方式一：通过Linux命令连接实例 ./mongo host port u p authenticationDatabase admin 出现如下提示时，输入数据库帐号对应的密码： Enter password: 方式二：通过界面内网连接地址连接实例 ./mongo "mongodb://rwuser: @ : , : /test?authSourceadmin&replicaSetreplica" 通过连接信息的方式连实例时，需要在连接信息前后添加双引号。连接信息可在“实例管理”页的“连接地址”列获取。 DBHOST是连接的远程数据库实例IP，即实例“连接管理”页面，节点列表中的“内网IP”。 DBPORT是端口，即实例“连接管理”页面，“基本信息”区域的“数据库端口”。 DBUSER是帐号名，即数据库帐号，默认为rwuser。 是数据库帐号对应的密码。目前，通过界面连接信息连接实例时： 如果密码中包含特殊字符“@”，请将“@”转化为“%40”。 如果密码中包含特殊字符“!”，请在“!”前添加转义符“”。 通过Linux命令连接实例，示例如下： ./mongo host 192.168.1.6 port 8635 u rwuser p authenticationDatabase admin 通过界面内网连接地址连接实例，示例如下： /mongo "mongodb://rwuser:@192.168.1.6:8635,192.168.1.80:8635/test?authSourceadmin&replicaSetreplica" 检查连接结果。出现如下信息，说明连接成功。 针对副本集主节点的连接结果： replica:PRIMARY> 针对副本集备节点的连接结果： replica:SECONDARY>

参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 登录关系型数据库的管理控制台。 选择目标实例所在区域。 单击目标实例名称，进入“基本信息”页面。 在“连接信息”模块，可查看“内网地址”信息。如果通过公网连接，主机IP为目标实例的弹性IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的帐号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。

任务名称 说明 创建实例 创建社区版集群实例、副本集实例。 扩容存储 扩容社区版集群实例shard节点的存储容量、副本集实例的存储容量。 变更规格 变更社区版集群实例的规格、副本集实例的规格。 添加节点 添加社区版集群实例的节点。 重启操作 重启集群实例、集群节点组、集群节点、副本集实例。 恢复到新实例 社区版集群实例、副本集实例恢复到新实例。 恢复到当前实例 社区版集群实例、副本集实例恢复到新实例。 恢复到指定时间点 副本集实例恢复到指定时间点。 库表级时间点恢复 副本集实例库表级数据恢复到指定时间点。 主备切换 副本集实例主备切换。 绑定和解绑弹性公网IP 社区版集群实例、副本集实例绑定和解绑弹性公网IP。 切换SSL 社区版集群实例、副本集实例切换SSL。 修改数据库端口 社区版集群实例、副本集实例修改数据库端口。 修改安全组 社区版集群实例、副本集实例修改安全组。 修改内网地址 社区版集群实例、副本集实例修改内网地址。 迁移可用区 社区版集群实例、副本集实例迁移可用区。 显示shard/config IP 社区版集群实例开启shard/config地址。 修改oplog大小 社区版集群实例、副本集实例修改oplog大小。 物理备份 社区版集群实例、副本集实例自动和手动备份。 升级数据库补丁 社区版集群和副本集实例进行补丁升级。

本文带您了解什么是共享流量包。 产品优势 共享流量包是一种预付费公网流量套餐产品，它能自动抵扣根据流量计费的弹性IP所产生的流量费用。购买共享流量包后会立即生效。与按单价后付费流量计费相比，共享流量包的单价更低，您可以有效地降低网络成本。

物理机与弹性云主机的主要区别是什么？ 弹性云主机由多个租户共享物理资源，而物理机的资源归用户独享。对于关键类应用或性能要求较高的业务（如Oracle RAC、大数据集群、企业中间件系统），并且要求安全可靠的运行环境，使用物理机更合适。 物理机与物理服务器有什么区别？ 天翼云物理机，让物理服务器具有了自动发放、自动运维、VPC互联、支撑对接共享存储等云的能力。可以像虚拟机一样灵活的发放和使用，同时又具备了极致的计算、存储、网络能力。 “删除”按钮是什么意思？ “删除”是指删除已申请的物理机，删除时可以选择同时删除弹性IP及绑定的云硬盘。如果不选择，则会保留，您需要进行单独删除操作。

本文介绍弹性云主机实例出现了异地登录怎么办 如果出现异地登录，解决办法如下： 1. 确认异地登录的时间点，是否是自己或者其他管理员登录。 2. 如果不是合法管理员登录，可执行以下操作： 立即重置密码。 排查是否被病毒攻击。 使用安全组功能设置只允许特定的 IP 登录。

本文介绍海量文件服务OceanFS的计费模式。 海量文件服务OceanFS支持按量付费（按需计费）和包年包月、按实际用量付费三种计费模式。 说明 按实际用量付费与其它两种付费方式互斥，一个资源池只能支持按实际使用量付费或者按配置容量付费（按需付费、包年包月）。 按实际使用量付费目前仅个别资源池开放白名单公测中，逐步上线其它资源池。 计费模式 按量付费 包年包月 按实际用量付费（新） 计费项 配置容量 配置容量 实际用量 计费周期 小时 自然月、年 小时 说明 是一种先使用、后付费的计费模式，根据订购文件系统时所选择的存储配置按小时计入费用账单， 您可在费用中心查询出账明细。对于弹性文件服务，资源开通后即开始计费，与实际使用量无关。 是一种先付费、后使用的计费模式，根据订购文件系统时所选择的存储配置乘以订购月数/年数进行计费。 是一种先使用、后付费的计费模式，根据实际使用的文件系统容量按小时计入费用账单。按最近一小时使用量峰值计费。 优点 先使用后付费，用多少付多少，计费准确，无资源浪费，相对包年包月更灵活。 可以根据业务需要快速调整资源的购买需求。 单价较按需付费低，可享受包年优惠政策。 长期使用，避免无资源可用的情况。 按实际使用量付费，无须提前预购存储空间。 自动扩容，无须手动操作配置，根据业务变化灵活扩展。 缺点 单价相较包年包月要高。 当较大量资源临时增加时，可能出现无资源可用的情况。 需要提前支付固定成本。 资源可能利用不充分，造成资源浪费。 单价相较包年包月要高。 暂时不支持资源包抵扣，无包年优惠。 不适用于需要审批预算的客户。 适用场景 业务发展有较大波动性，且无法进行准确预测。 资源使用有临时性和突发性特点。 适用于较稳定的业务场景。 需要长期使用，追求低成本。 适用于成本敏感、业务峰值波动明显的业务。 在使用海量文件服务过程中，除文件存储本身的存储容量费用之外，还可能涉及以下费用： 弹性IP费用 当您使用文件系统上传或下载数据、将非天翼云数据迁移至弹性文件服务时，需要将文件系统挂载至一台连接公网的云主机上实现数据上传和下载，将占用弹性IP提供的公网带宽。具体费用信息，请参考弹性IP计费概述。 云专线费用 当您使用云专线服务接入本地数据中心时，将会收取云专线使用费用。具体费用信息，请参考计费项及计费方式云专线。

本章节介绍Web应用防火墙与其他云服务的关系。 与弹性云主机的关系 Web应用防火墙为弹性云主机提供Web安全防护服务。 与云审计的关系 云审计（CloudTrace Service，CTS）记录了Web应用防火墙相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的WAF操作列表： 操作名称 资源类型 事件名称 创建Web应用防火墙防护实例 instance createInstance 删除Web应用防火墙防护实例 instance deleteInstance 更新Web应用防火墙防护实例 instance alterInstanceName 修改Web应用防火墙防护实例的防护状态 instance modifyProtectStatus 修改Web应用防火墙防护实例的接入状态 instance modifyAccessStatus 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy 添加证书 certificate createCertificate 修改证书名称 certificate modifyCertificate 删除证书 certificate deleteCertificate 创建CC规则 policy createCc 修改CC规则 policy modifyCc 删除CC规则 policy deleteCc 创建精准防护规则 policy createCustom 修改精准防护规则 policy modifyCustom 删除精准防护规则 policy deleteCustom 创建IP黑白名单规则 policy createWhiteblackip 修改IP黑白名单规则 policy modifyWhiteblackip 删除IP黑白名单规则 policy deleteWhiteblackip 创建/刷新网页防篡改规则 policy createAntitamper 删除网页防篡改规则 policy deleteAntitamper 创建误报屏蔽规则 policy createIgnore 删除误报屏蔽规则 policy deleteIgnore 创建隐私屏蔽规则 policy createPrivacy 修改隐私屏蔽规则 policy modifyPrivacy 删除隐私屏蔽规则 policy deletePrivacy

本文将详细介绍如何通过命令行或者客户端连接MySQL实例。 前提条件 已购买并创建MySQL实例，详细操作，请参考如何创建MySQL实例。 已在实例中创建好数据库和账号，详细操作，请参考如何创建数据库与如何创建数据库用户。 已为实例设置好安全组，详细操作，请参考如何设置安全组。 使用命令行连接MySQL实例 本文以Linux系统为例连接MySQL实例，您需要在本地服务器或ECS服务器提前安装好MySQL。安装方法如下： CentOS：执行命令 sudo yum install mysql。 Ubuntu：执行命令 sudo aptget update，并执行 sudo apt install mysqlserver。 场景说明 如果您具备内网连接条件可直接使用内网地址连接MySQL实例，减小连接的延迟以获得最快的响应时间。 注意 内网连接条件：当应用部署在弹性云主机上，且该弹性云主机与MySQL实例处于同一区域、同一VPC时，即为满足内网连接条件。 内网连接 满足内网连接条件时，您需要获取MySQL实例内网地址来连接实例： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 找到目标实例，并单击实例名称。 4. 在实例基本信息 页签的实例信息区域，获取内网地址和数据库端口。 外网连接 如下场景，您需要获取MySQL实例外网地址来连接实例： 从弹性云主机实例连接MySQl实例，但是不满足内网连接条件。 从本地设备访问MySQL实例。 获取MySQL实例外网地址的方法如下： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 找到目标实例，并单击实例名称。 4. 在实例基本信息 页签的网络 区域，查看弹性IP地址，即为外网地址。 如果当前实例未绑定弹性IP，您需要先绑定弹性IP后，获取外网地址。

本节介绍了重置Windows云主机密码(未安装重置密码插件)的操作场景、前提条件、操作步骤。 操作场景 如果Windows操作系统弹性云主机未安装密码重置插件，可以参见本节内容重新设置密码。 本节操作介绍的方法仅适用于修改Windows本地账户密码，不能修改域账户密码。 Linux操作系统请参见重置Linux云主机密码（未安装重置密码插件）。 说明 如果弹性云主机提前安装了密码重置插件，请参见 公共镜像创建的弹性云主机默认已安装一键重置密码插件。请参考 注意 本节操作的方法需要卸载系统盘，为了避免造成系统盘数据丢失，建议您在操作前先备份系统盘。 前提条件 准备一台Linux操作系统的临时弹性云主机，建议操作系统为Ubuntu14.04以上版本，且该临时弹性云主机与待重置密码的弹性云主机位于同一个可用区。 说明 目前仅支持Ubuntu 16.04和Ubuntu 18.04版本的公共镜像执行该操作。 您可以选择符合要求的已有云主机作为临时弹性云主机，也可以重新购买一台临时弹性云主机。 重新购买的弹性云主机在重置密码后，建议释放，以免继续收费。 临时弹性云主机已经绑定弹性IP，并配置系统aptget源。 通过下面的方法，在临时弹性云主机中安装ntfs3g和chntpw软件包。 方法一： 执行以下命令，安装ntfs3g和chntpw软件包。 sudo aptget install ntfs3g chntpw 方法二： 根据临时弹性云主机的操作系统版本，下载对应版本的ntfs3g和chntpw软件包进行安装。 ntfs3g获取地址： chntpw获取地址：

关系数据库MySQL版支持为部分已创建的实例切换虚拟私有云VPC,并根据实际需要设置子网。本文介绍为实例切换VPC/子网的功能和操作步骤。 注意 除广州4，苏州外II类型资源池都支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 如果主实例已开通只读实例和数据库代理，则不支持切换VPC，需先进行退订。 使用云硬盘备份类型的实例不支持切换VPC，仅对象存储备份类型实例支持。 实例状态不为运行中时，可能会导致切换失败。 受底层网络限制，IPv4和IPv6的VPC和子网无法互相切换。 如果实例有IPv6地址，要求修改后的子网有开启IPv6功能。如果实例没有IPv6地址，要求修改后的子网关闭IPv6功能。 切换VPC时，不可进行弹性IP与IPv6带宽绑定，可于切换后操作。 可用IP数量不足可能导致切换失败，可重试切换VPC或选择其他VPC。 切换VPC后，会为您将切换后的VPC网段加入到白名单配置中，旧的VPC网段可自行前往IP白名单删除。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域，单击虚拟私有云 参数右侧的切换VPC/子网。 5. 在对话框内选择需要切换的VPC，然后选择需要的子网和安全组。 注意 如仅修改子网，则选择同VPC下的其他子网即可，您需注意：子网修改后连接地址会发生变化，会自动将新的网段加入到白名单，可自行前往修改。 6. 勾选同意框，并单击确定，开始切换VPC和子网，期间服务不可用。 切换后，实例状态重回运行中。 您可以在网络区域，看到新的VPC信息。 注意 为防止实例异常影响使用，执行VPC和子网切换后，请确保切换后的网络已加入到白名单中。 切换VPC期间会重启导致服务不可用，并会更换实例的连接地址，请在切换VPC后及时将业务中的连接地址进行变更，建议在业务低峰期切换。 切换VPC后，连接地址会发生切换，如果此前绑定了弹性IP，则会为您将弹性IP绑定到新的连接地址，IPV6带宽与内网域名同理，都会为您自动绑定到新的连接地址。

迁移准备 1.权限准备： 当使用 DRS 将本地数据库的数据迁移到本云云数据库MySQL 实例时，在不同迁移类型情况下，对源数据库和目标数据库的帐号权限要求如表所示： 表1 迁移账号权限 迁移类型 全量迁移 全量+增量迁移 源数据库 SELECT、SHOW VIEW、EVENT。 SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 目标数据库 SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、WITH GRANT OPTION。 SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、WITH GRANT OPTION。 源数据库的权限设置： 需要确保源数据库MySQL的帐号具备表1的权限，若权限不足，需要在源数据库端创建高权限的帐号。 目标数据库的权限设置： 本云云数据库MySQL使用初始帐号即可。 2.网络准备： 源数据库的网络设置： 本地MySQL数据库实时迁移至本云云数据库MySQL的场景，一般可以使用VPN网络和公网网络两种方式进行迁移，您可以根据实际情况为本地MySQL数据库开放公网访问或建立VPN访问。一般推荐使用公网网络进行迁移，该方式下的数据迁移过程较为方便和经济。 目标数据库的网络设置：若通过VPN访问，请先开通天翼云VPN服务，确保源数据库MySQL和目标端本云云数据库MySQL的网络互通。 若通过公网网络访问，本云云数据库MySQL实例不需要进行任何设置。 3.安全规则准备： 源数据库的安全规则设置：若通过公网网络进行迁移，源数据库MySQL需要将DRS迁移实例的弹性IP添加到其网络白名单内，使源数据库与本云的网络互通。在设置网络白名单之前，需要获取DRS迁移实例的弹性IP，具体方法如下： DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性IP。 图4 迁移实例EIP 若通过VPN网络进行迁移，源数据库MySQL需要将DRS迁移实例的私有IP添加到其网络白名单内，使源数据库与本云的网络互通。DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的私有IP。 以上白名单是为了进行迁移针对性设置的，迁移结束后可以删除。 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 4.其他事项准备 DRS支持部分与业务和性能强相关的参数迁移，具体参数列表请参见参数列表。若涉及其他参数需要根据用户具体的业务进行手动设置。

步骤 3 购买和加入共享带宽 默认IPv6地址只具备私网通信能力，如果您需要通过该IPv6地址访问Internet或被Internet上的IPv6客户端访问，您需要购买和绑定共享带宽。如您已有共享带宽，可以不用重新购买，直接将IPv6地址加入共享带宽即可。 在虚拟私有云 VPC中左侧导航栏，选择“弹性IP > 共享带宽”。 在共享带宽列表页，单击操作列的“添加公网IP”。 将IPv6地址加入共享带宽，单击“确定”。 结果验证，登录到ECS实例，ping一个公网上的IPv6服务，验证连通性。例如：ping6 ipv6.ctyun.cn。

本节主要介绍添加服务类问题 添加的对外访问方式不能生效，如何排查？ 出现上述问题可能是访问相关的资源配置有缺失或错误，请按照如下方法进行排查： 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群，使用kubectl get gateway n istiosystem命令查看使用的gateway是否配置好使用的IP/域名和端口。使用kubectl get svc n istiosystem命令查看使用的ingressgateway是否有对应的IP和端口，且未处于pending状态。 核实加入服务网格的内部访问协议和添加网络配置的外部访问协议一致。 如果通过浏览器访问出现“ERRUNSAFEPORT”错误，是因为该端口被浏览器识别为危险端口，此时应更换为其他外部端口。 一键创建体验应用为什么启动很慢？ 体验应用包含productpage、details、ratings和reviews 4个服务，需要创建所有相关的工作负载和Istio相关的资源（DestinationRule、VirtualService、Gateway）等，因此创建时间较长。 一键创建体验应用部署成功以后，为何不能访问页面？ 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建，后端服务器健康状态是否正常。 添加路由时，为什么选不到对应的服务？ 添加路由时，目标服务会根据对应的网关协议进行过滤。过滤规则如下： HTTP协议的网关可以选择HTTP协议的服务 TCP协议的网关可以选择TCP协议的服务 GRPC协议的网关可以选择GRPC协议的服务 HTTPS协议的网关可以选择HTTP、GRPC协议的服务 TLS协议的网关如果打开了TLS终止，只能选择TCP协议的服务；关闭了TLS终止，只能选择TLS协议的服务

参数 参数类型 是否必填 示例 说明 下级对象 service String 否 ecs 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ deviceType String 是 vm 本参数表示设备类型。取值范围：vm：云主机。ph：宿主机。baremetal：裸金属。disk：云磁盘。scaling：弹性伸缩。traffic：共享带宽。eip：弹性IP。elb：负载均衡。listener：监听器。cstorsfs：弹性文件。sitemontior：站点监控。...详见“ deviceUUID String 否 2e8ad1263f0811ed95a4acde48001122 资源唯一值 instanceID String 否 2e8ad1263f0811ed95a4acde48001122 设备ID instanceName String 否 test 资源名称

参数 参数类型 是否必填 示例 说明 下级对象 service String 是 ecs 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ deviceType String 是 vm 本参数表示设备类型。取值范围：vm：云主机。ph：宿主机。baremetal：裸金属。disk：云磁盘。scaling：弹性伸缩。traffic：共享带宽。eip：弹性IP。elb：负载均衡。listener：监听器。cstorsfs：弹性文件。sitemontior：站点监控。...详见“ deviceUUID String 是 2e8ad1263f0811ed95a4acde48001122 资源唯一值 instanceID String 是 2e8ad1263f0811ed95a4acde48001122 设备ID instanceName String 是 test 资源名称

Navicat客户端连接DRDS实例 步骤 1 登录分布式数据库中间件服务，单击需要连接的DRDS实例名称，进入实例基本信息页面。 步骤 2 在“实例信息”模块的弹性公网IP单击“绑定”。绑定已申请的公网IP。 步骤 3 在DRDS管理控制台左侧选择虚拟私有云图标。单击“访问控制>安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。在安全组详情界面，单击“添加规则”，弹出添加规则窗口。根据界面提示配置安全组规则，设置完成后单击“确定”即可。 说明 绑定弹性公网IP后，建议您在内网安全组中设置严格的出入规则，以加强数据库安全性。 步骤 5 打开Navicat客户端，单击“连接”。在新建连接窗口中填写主机IP地址（弹性公网IP地址）、用户名和密码（DRDS账号、密码）。 说明 Navicat客户端推荐使用版本为Navicat12。 步骤 6 单击“连接测试”，如果显示连接成功，单击“确定”，等待12分钟即可连接成功。连接失败会直接弹出失败原因，请修改后重试。 结束 说明 通过其他可视化的MySQL工具（例如 Workbench）连接DRDS实例的操作与此章基本一致，不做详细描述。 MySQL命令行连接DRDS逻辑库 步骤 1 登录弹性云主机，打开命令行工具，输入以下命令。 plaintext mysql h ${DDMSERVERADDRESS} P${DDMSERVERPORT} u${DDMUSER} p [D${DDMDBNAME}] [defaultcharactersetutf8][defaultauthmysqlnativepassword] 表 参数说明 参数示例 参数填写说明 参数举例 DDMSERVERADDRESS DRDS实例所在IP地址。 192.168.0.200 DDMSERVERPORT DRDS实例连接端口。 5066 DDMUSER DRDS实例账号。 dbuser01 DDMDBNAME DRDS实例逻辑库名，选填。 defaultcharactersetutf8 指定字符编码为UTF8，选填。 当MySQL连接编码和实际编码不一致，导致DRDS解析出现乱码时请配置该参数。 defaultauthmysqlnativepassword 默认使用密码认证插件，选填。 ssl 使用SSL加密连接，需要先开启SSL，选填。 说明 如果您使用了MySQL 8.0的客户端，需要增加defaultauthmysqlnativepassword参数。 如果您开启了SSL特性，默认使用加密连接。 步骤 2 下面为Windows服务器命令行窗口中使用表中举例参数MySQL命令连接服务器的回显情况。 plaintext C:UserstestDDM>mysql h192.168.0.200 P5066 Ddb5133 udbuser01 p Enter password: Reading table information for completion of table and column names You can turn off this feature to get a quicker startup with A Welcome to the MySQL monitor. Commands end with ;or g. Your MySQL connection id is 5 Server version: 5.6.29 Copyright (c) 2000, 2016, Oracle and/or its affiliates. All rights reserved. Oracle is a registered trademark of Oracle Corporation and/or its affiliates. Other names may be trademarks of their respective owners. Type 'help;' or 'h' for help. Type 'c' to clear the current input statement. mysql> 结束

查看共享带宽和弹性公网IP的使用状况时,您可以获取特定时间段内的入网带宽、出网带宽、入网流量以及出网流量等详细使用数据。本文帮助您了解如何查阅共享带宽的监控细节。 通过共享带宽控制台 1. 登录网络控制台。 2. 在顶部菜单栏处，选择地域。 3. 在左侧导航栏单击共享带宽，进入共享带宽页面。 4. 在共享带宽列表中找到您想查看目标共享带宽，在“操作>更多>查看监控图表”。 5. 可以查看出入网流量、出入网带宽。 通过云监控控制台 1. 登录云监控控制台。 2. 顶部菜单栏处，选择地域。 3. 在左侧导航栏，单击“云服务监控”。 4. 在左侧导航栏，单击云服务监控>弹性IP监控，然后选择共享带宽列表项。 5. 在目标共享带宽实例操作列，单击“查看监控图表”，查看监控数据。 本功能仅在部分资源池可 见，请以控制台实际可见为准。

本章主要介绍使用软件开发生产线快速搭建项目（ECS篇） 本文基于软件开发生产线内置代码仓库，介绍如何使用软件开发生产线完成项目的开发、构建与部署，实现持续交付。 本文采用的ECS部署，若需了解CCE部署方法，请参考使用软件开发生产线快速搭建项目（CCE篇）。 准备工作 1. 拥有天翼云帐号。若没有，请先注册天翼云帐号。 2. 已购买软件开发生产线。 3. 已购买弹性IP。 4. 已购买云主机，购买时的必要配置可参考下表，表中未列出的配置可根据实际情况选择。完成购买后，参考“《云主机用户指南》​>安全​>安全组​>配置安全组规格”添加端口22及8080的入方向规则。 表 云主机配置 配置分类 配置项 配置建议 ::: 基础配置 计费模式 选择“按需计费”。 基础配置 CPU架构 选择“x86计算” 基础配置 规格 选择2核4G或以上规格。 基础配置 镜像 选择“公共镜像 > CentOS > CentOS 7.6 64bit(40GB)”。 网络配置 弹性IP 选择“使用已有”。 高级配置 登录凭证 选择“密码”。 高级配置 密码 输入自定义密码。

本节主要介绍如何查看实例信息 本节介绍如何在管理控制台查看分布式缓存Redis实例的详细信息。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 查询分布式缓存Redis实例。支持通过实例名称搜索对应的Redis缓存实例。直接在搜索栏输入关键字即可。 4. 在实例列表页，单击目标实例名称进入实例详情管理。 说明 在实例列表中可以查看租户当前地域所有实例。 实例详情页面具体内容说明如下： 信息类型 参数 说明 基本信息 实例名称 实例的名称。单击“名称”后的【修改】按钮可以修改实例名称。 基本信息 实例ID 实例的ID。 基本信息 维护时间 运维操作时间。单击参数后的【变更按钮】可以修改时间窗。 基本信息 实例类型 实例的类型，包括：标准版单机、标准版主备、集群版单机、集群版主备等类型。 基本信息 实例规格 实例的规格。 基本信息 引擎版本 实例引擎的内核版本。 基本信息 实例项目 实例所属的项目。 基本信息 部署模式 实例的部署模式，包括：标准等模式。 基本信息 CPU 架构 实例的CPU架构，包括：x86、arm等类型。 基本信息 主机类型 实例主机的类型。 基本信息 磁盘类型 实例磁盘的类型。 基本信息 实例描述 实例描述信息。 实例状态 运行状态 实例运行状态，包括：运行中等。 实例状态 已用内存及配额 实例已使用的内存以及配额。 实例状态 创建时间 实例的创建时间。 实例状态 到期时间 实例的到期时间。 实例状态 计费模式 实例的计费模式，包含：按需计费等。 实例状态 实例退订保护 是否开启实例退订保护。 网络信息 可用区 实例可用区信息。 网络信息 虚拟私有云 实例所属虚拟私有云信息。 网络信息 子网 实例所属子网信息。 网络信息 安全组 实例所关联的安全组。单击“安全组”后的【修改】按钮可以修改安全组。 连接信息 IPv4连接地址 实例IPV4连接地址。点击修改端口可修改实例端口，点击连接诊断可进行实例连接诊断。 连接信息 IPv6连接地址 实例IPV6连接地址。点击设置可设置IPV6连接地址。 连接信息 内网域名 实例的内网域名。点击修改可修改内网域名。 连接信息 公网IP 实例绑定的弹性IP地址。点击公网IP后面的【绑定】按钮可以绑定弹性公网IP，若绑定了弹性IP，则可以通过公网连接实例。 连接信息 密码 实例的密码（不展示），点击密码后的【重置密码】按钮图标可修改实例密码。

地域 地域（Region）是指物理的数据中心的地理区域。地域从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 可用区 可用区（AZ，Availability Zone）是指在同一地域内，电力和网络互相独立的物理区域。一个AZ是一个或多个物理数据中心的集合，具备独立的风火水电，可用区之间距离100KM以内，一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 详情信息可参见产品地域和可用区页面。

IP信誉库 对僵尸肉鸡、垃圾邮件发送者、Tor节点、失陷主机、暴力破解等风险IP的流量进行识别和过滤 可对不同类别风险IP流量进行记录日志、丢弃数据包或阻断一定时间。 定期IP信誉特征库升级更新 云沙箱 支持SMTP、POP3、IMAP4、FTP、SMB等协议类型的检测 支持APK、JAR、MSOFFICE、PDF、SWF、RAR、ZIP等文件类型的检测 支持基于不同文件类型，配置云沙箱或本地沙箱，进行检测 页面访问控制 基于角色、时间、优先级、页面类型等条件的Web网页访问控制 支持URL白名单 支持千万级的URL特征库，URL库支持网络实时更新 带宽管理 根据安全域、接口、地址、用户/用户组、服务/服务组、应用/应用组、TOS、Vlan等信息划分管道 支持两层八级管道嵌套的带宽限制和保证 对多层级管道进行最大带宽限制、最小带宽保证、每IP或每用户的最大带宽限制和最小带宽保证 支持针对每IP或每用户进行延迟限速 基于时间和优先级的差分服务，支持带宽均分策略 对剩余带宽根据优先级进行弹性分配 主动抑制服务器端传送流量 高可用性 (HA) 主/备模式（A/P），支持配置、会话同步 支持修改虚拟MAC地址 HA场景下支持不间断业务升级高型号

步骤二：开通云服务器 使用镜像市场"标准VCPE镜像CTyunOS2.0.1X86 64位"镜像开通云主机。云主机配置要求：配置要求2c4g以上，推荐计算型云主机，网卡使用自动分配内网IPv4地址，并有用弹性IP，带宽大小根据需要设置。 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的选择区域。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面。 5. 进行基础配置。 a. 根据业务需求配置“计费模式”、“地域”、“企业项目”、“虚拟私有云”、“实例名称”、“主机名称”等。 b. 选择规格。此处选择"CPU架构"为"X86计算"、分类可以选 "通用型"或"计算型"，推荐选用计算型。规格为2c4G以上。 c. 选择镜像。“镜像类型”选择“云镜像市场”，在云镜像市场中选择预置了vCPE的"标准VCPE镜像CTyunOS2.0.1X86 64位"镜像。 d. 设置云盘类型和大小。此处选择"系统盘"为"通用型SSD"，40GB。 6. 网络配置 设置网络，此处"网卡"选择“单网卡”，设置“自动分配内网地址”；"安全组"根据客户需求自行配置； "弹性IP"用于连通SDWAN POP接入点，带宽根据客户网络需求进行配置。 7. 高级配置 设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。用户数据需配置为vCPE实例的SN号。vCPE SN号信息可通过“天翼云SDWAN控制台>目标智能网关详情页>基本信息模块”查看，操作步骤可参考：查看基本信息。 用户数据填写格式如下： 其中，CTCEXXXXXXXXXSN根据客户订购的vCPE实例SN号进行替换。 plaintext

本文为您介绍在AD域环境搭建好之后,将文件系统加入AD域的操作步骤。 前提条件 已有至少1个可用状态的CIFS文件系统。 已准备AD域环境，已创建AD域控制器，至少有一台客户端已加入域。请参考搭建AD域。 操作步骤 步骤一：生成keytab文件 说明 生成keytab文件的操作在AD域控制器上进行。 1. 登录AD域控制器上为文件系统设置本地域名。 文件系统服务主体依赖域名，因此需要先创建文件系统挂载点对应的域名。需要分别为普通AD域客户端和AD域控制器进行设置。hosts文件路径：C:WindowsSystem32driversetchosts。本地域名配置如下： . 参数说明： 参数 说明 server IP 文件系统挂载地址前的IP。 文件系统本地域名 自定义的文件系统的域名名称。 注：每个文件系统的域名名称应保持唯一。 realm AD域名，如“sfs.com”。 示例： 100.xx.xx.xx testfs01.sfs.com 2. 设置服务账户。按照如下格式使用dsadd命令创建一个服务账号。 注意 您需要记住设置的账户名和密码等信息，后续步骤会用到。 dsadd user CN[AD域服务账户名],DC[AD域域名],DC[com] samid [AD域服务账户名] display [账户描述] pwd [账户密码] pwdneverexpires yes 示例： dsadd user CNNASuser01,DCsfs,DCcom samid fsuser01 display "ctyunnas service account" pwd zmqw@md3 pwdneverexpires yes 3. 执行以下命令为CIFS文件系统域名注册SPN服务主体。 setspn S cifs/[文件系统本地域名]@ [realm] [AD域服务账户名] 参数说明： 参数 说明 文件系统本地域名 在步骤1中为文件系统挂载点设置的域名。 realm AD域名。在搭建AD域环境时设置的域名，本文中为“sfs.com”。 AD域服务账户名 步骤2中的samid。 示例： setspn S cifs/testfs01.sfs.com@sfs.com fsuser01 4. 在AD域控制器上执行以下命令为CIFS文件系统服务主体生成Keytab文件，用于用户的身份认证。 Ktpass princ cifs/[文件系统本地域名]@[realm（必须大写）] ptype KRB5NTPRINCIPAL mapuser [AD域服务账户名]@[realm] crypto All out [密钥表文件生成路径] pass [账户密码] 参数说明： 参数 说明 princ 设置服务主体名称（SPN）。填写步骤1中为文件系统设置的本地域名。 ptype 指定密钥表文件的类型。设置为：KRB5NTPRINCIPAL（用于普通服务账户）。 mapuser AD域服务账户名，填写步骤2中的samid。将SPN映射到一个AD域用户账户，这个用户账户将与SPN相关联，用于身份验证和授权。 crypto 选择用于加密密钥的加密算法：ALL。即所有的加密算法，包括DESCBCCRC、DESCBCMD5、RC4HMACNT等。 out 指定生成的密钥表文件的输出路径和文件名。 /out c:tempservice.keytab将创建一个名为service.keytab的密钥表文件，并将其保存到c:temp目录下。 pass 指定与映射用户账户对应的密码。即在步骤2为创建文件系统服务账户时设置的密码。 示例： Ktpass princ cifs/testfs01.sfs.com@SFS.com ptype KRB5NTPRINCIPAL mapuser fsuser01@sfs.com crypto All out C:nasservice.keytab pass zmqw@md3 5. 将keytab文件传至登录天翼云控制台所用的客户端。 若使用本地电脑登录天翼云控制台，需要将AD域控制器上生成的keytab文件传至本地电脑，具体方法参考：怎样在本地主机和Windows云主机之间互传数据？。此方法需要使用弹性IP，弹性IP是计费服务，计费说明参考计费概述弹性IP。 若为云主机绑定弹性IP，可以直接使用云主机登录天翼云控制台进行接下来的步骤，且不必进行本地电脑与云电脑的keytab文件传输。 说明 远程桌面连接时需要输入云主机的用户名密码，是指在创建云主机时的用户名（默认为Administrator）和密码。

本节主要介绍负载均衡的组成、产品优势、应用场景和使用限制。 负载均衡（Server Load Balancer，简称SLB）是一种根据转发策略将流量分发到多台后端服务器的服务。通过挂载多台后端服务器的方式扩展系统的整体服务能力，同时消除系统单点故障以提高系统整体的可用性。负载均衡的虚拟服务地址（VIP）为负载均衡的服务地址，将多台后端服务器虚拟成一个高性能服务。 负载均衡可分为公网负载均衡以及内网负载均衡。公网负载均衡会绑定弹性公网IP，公网的客户端可以通过弹性公网IP来访问负载均衡服务。内网负载均衡通过内网IP对内网负载均衡所属VPC提供负载均衡服务。 产品优势 可扩展 可以根据业务应用的负载进行扩容或者缩容，添加或者移除后端服务器组中的服务器来调整系统的能力。 高可用 配置多台后端服务器，消除单点故障，保证业务的可用性。 多协议 根据不同的业务接入需求，可以选择TCP/UDP/HTTP/HTTPS协议。 简单易用 产品化部署SLB服务，根据不同的业务需求配置不同的负载均衡实例类型、监听不同的协议和端口，以及配置后端服务器组，且所有配置实时生效。 应用场景 高业务量流量分发，针对业务量大的服务，通过购买负载均衡实例并配置对应转发策略，以及添加多后端服务器，把业务分发到多后端服务器上。 消除单点故障，当一部分后端服务器不可用时，负载均衡通过健康检查可自动屏蔽故障的后端服务器，保障应用系统正常工作。 全局负载均衡，结合智能DNS将域名解析到不同地域的SLB，可实现全局多地域的负载均衡，保障异地容灾。

本文主要介绍高频类常见问题。 远程登录 Windows远程登录报错类 Linux远程登录报错类 云主机卡顿 Windows云主机卡顿怎么办？ Linux云主机卡顿怎么办？ 密码与密钥对 重置Windows云主机密码（未安装重置密码插件） 重置Linux云主机密码（未安装重置密码插件） Ping不通 弹性IP Ping不通？ 为什么弹性云主机可以远程连接，但是无法Ping通？

修改伸缩带宽策略 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务 > 弹性伸缩 > 伸缩带宽”。 3. 在伸缩带宽策略列表中，单击待修改的策略的名称，进入该策略基本信息页面。 4. 在“基本信息”页面右上方，单击“修改”。或在待修改的策略所在行的“操作”列下，单击“更多 > 修改”。 5. 修改相关数据。伸缩带宽策略可以修改的参数有：策略名称、弹性IP、策略类型、执行动作、冷却时间等。 6. 单击“确定”。 说明 如果伸缩带宽策略状态是“执行中”，则无法修改。 删除伸缩带宽策略 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务 > 弹性伸缩 > 伸缩带宽”。 3. 在伸缩带宽策略列表中，在待删除的策略所在行的“操作”列下，单击“更多 > 删除”。 4. 在弹出“删除伸缩带宽策略”的对话框中，单击“是”。 5. 您也可以同时勾选一个或多个伸缩带宽策略，单击列表上方的“删除”，来删除一个或多个伸缩带宽策略。 说明 当您不再需要某个伸缩带宽策略时，可以删除该策略。如果您仅在某段时间不需要该策略，建议您采用停用的方式，而不建议删除。 伸缩带宽策略状态为非执行中，才可以被删除。

本章节会介绍如何使用mysqldump迁移RDS for MySQL数据 迁移准备 关系型数据库服务支持开启公网访问功能，通过弹性公网IP进行访问。您也可通过弹性云主机的内网访问关系型数据库。 1.准备弹性云主机或可通过公网访问关系型数据库。 通过弹性云主机连接关系型数据库实例，需要创建一台弹性云主机。 通过公网地址连接关系型数据库实例，需具备以下条件。 先对关系型数据库实例绑定公网地址。 保证本地设备可以访问关系型数据库实例绑定的公网地址。 2.在准备的弹性云主机或可访问关系型数据库的设备上，安装MySQL客户端。 说明 该弹性云主机或可访问关系型数据库的设备需要安装和RDS for MySQL数据库服务端相同版本的数据库客户端，MySQL数据库或客户端会自带mysqldump和mysql工具。 数据迁移到云数据库RDS后可能要面对更改IP的问题，为减少客户业务更改，降低迁移难度，支持更改内网IP。 云数据库RDS的系统库mysql和sys不支持导入到RDS for MySQL实例。 导出数据 要将源数据库迁移到关系型数据库，需要先对其进行导出。 说明 相应导出工具需要与数据库引擎版本匹配。 数据库迁移为离线迁移，您需要停止使用源数据库的应用程序。 步骤 1 登录已准备的弹性云主机，或可访问关系型数据库的设备。 步骤 2 使用mysqldump将表结构导出至SQL文件。 说明 mysql数据库是关系型数据库服务管理所必须的数据库，导出表结构时，禁止指定alldatabase参数，否则会造成数据库故障。 mysqldumpdatabases singletransaction orderbyprimary hexblob nodata routines events setgtidpurgedOFF u p h P sed e 's/DEFINER[ ] [ ] [^ ] / /' e 's/DEFINER[ ] . FUNCTION/FUNCTION/' e 's/DEFINER[ ] . PROCEDURE/PROCEDURE/' e 's/DEFINER[ ] . TRIGGER/TRIGGER/' e 's/DEFINER[ ] .EVENT/EVENT/' > DBNAME为要迁移的数据库名称。 DBUSER为数据库用户。 DBADDRESS为数据库地址。 DBPORT为数据库端口。 BACKUPFILE为导出生成的文件名称。 根据命令提示输入数据库密码。 示例如下： mysqldump databases rdsdb singletransaction orderbyprimary hexblob nodata routines events setgtidpurgedOFF u root p h 192.168.151.18 P 3306 sed e 's/DEFINER[ ] [ ] [^ ]/ /' e 's/DEFINER[ ] . FUNCTION/FUNCTION/' e 's/DEFINER[ ] . PROCEDURE/PROCEDURE/' e 's/DEFINER[ ] . TRIGGER/TRIGGER/' e 's/DEFINER[ ] .EVENT/EVENT/' > dumpdefs.sql Enter password: 说明 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 命令执行完会生成“dumpdefs.sql”文件，如下： [rds@localhost ~]$ ll dumpdefs.sql rwr. 1 rds rds 2714 Sep 21 08:23 dumpdefs.sql 步骤 3 使用mysqldump将数据导出至SQL文件。 说明 mysql数据库是关系型数据库服务管理所必须的数据库，导出数据时，禁止指定alldatabase参数，否则会造成数据库故障。 mysqldump databases singletransaction hexblob setgtidpurgedOFF nocreateinfo skiptriggersu ph P r 以上命令的参数说明如步骤2所示。 根据命令提示输入数据库密码。 示例如下： mysqldump databases rdsdb singletransaction hexblob setgtidpurgedOFF nocreateinfo skiptriggers u root p h 192.168.151.18 P 8635 r dumpdata.sql 说明 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 命令执行完会生成“dumpdata.sql”文件，如下： [rds@localhost ~]$ ll dumpdata.sql rwr. 1 rds rds 2714 Sep 21 08:23 dumpdata.sql

本节介绍网络的用户指南：集群网络概述。 集群网络分为主机和容器两个维度，主机位于VPC中使用VPC网络，容器网络则使用容器网络插件来管理。 节点网络 VPC为集群内主机分配IP地址，订购集群时选择VPC中的子网用于集群的主机网络，子网可用IP数量直接限制了集群节点规模。 容器网络 约束条件 容器网络CNI插件为Pod分配IP地址，云容器引擎提供的CNI插件均符合kubernetes容器网络模型，具体约束如下： 1.每个Pod都拥有一个独立IP地址，Pod内容器均共享一个网络命名空间； 2.任意Pod之间均可直接通信，无需NAT； 3.任意Pod与节点间均可直接通信，无需NAT。 网络插件 当前云容器引擎提供如下CNI插件： calico容器网络：使用calico IPIP模式。该模式下，calico依旧使用BGP分发节点的容器路由信息，但在节点网络基础上通过IPIP隧道技术构建独立于节点网络平面的容器网络平面，IPIP将发给容器的IP报文封装成发给目的节点的IP报文进行隧道传输； cubecni容器网络：是云原生网络方案，直接基于VPC网络中的弹性网卡和IP资源构建容器网络。Pod通过弹性网卡资源直接分配VPC的子网IP地址，无需额外指定虚拟Pod地址段。 Cubecni和Calico对比如下： 。 对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

此小节介绍跨云跨VPC线上线下统一运维。 应用场景 针对您的服务器资源分布在跨VPC、线下IDC机房、非云等跨网络域的场景，云堡垒机提供了通过网络代理服务器进行运维的方案，便于您在没有搭建网络专线的情况下，纳管各网络域的各类服务器资源，从而通过云堡垒机统一管理、运维您的各类工作负载。 本文指导您如何在目标网络域配置代理服务器、连通云堡垒机，并实现通过云堡垒机对您跨VPC、跨云、线下的资源进行管理与运维。 前提条件及准备工作 已购买堡垒机并 正常使用。已购买弹性云服务器（ECS）并正常使用。 已在对端网络域中获取1台服务器作为代理服务器。 代理服务器已绑定弹性公网IP，具体操作请详见：将弹性公网IP绑定至实例。代理服务器与待纳管服务器网络互通。 设置代理服务器 在需要对跨网络域的服务器进行管理运维前，需要在对端网络域中配置一台网络代理服务器。将该代理服务器与业务服务器通过内网进行互通，再将代理服务器到云堡垒机网络进行互通，即可完成云堡垒机到业务服务器之间跨域的网络互联。 该部分操作是达成堡垒机跨域纳管主机资源的前提。 为代理服务器启用网络代理服务 1. 代理服务器，进行代理服务器（3proxy）设置。 说明 步骤二至步骤四中的命令，均已CentOS7为例。如需CentOS8代码示例，请按CentOS8配置代理。 2. 上传3proxy压缩包并解压后，进入对应目录执行以下命令： bash install.sh 3. 输入如下命令，添加3proxy用户 /etc/3proxy/add3proxyuser.sh myuser mypassword 4. 重启代理服务3proxy systemctl restart 3proxy socks代理协议（端口：1080）没有加密功能，请务必在安全组设置中禁止非必要的IP访问。 为代理服务器配置安全组规则 1. 进行代理服务器入方向规则配置，允许堡垒机访问代理服务器。 2. 进行代理服务器出方向规则配置，允许代理服务器访问待纳管的业务服务器。