本文向您介绍 宿主机故障时,弹性云主机是否能自动恢复 宿主机故障时，弹性云主机可以自动恢复。 虽然天翼云提供了多种机制来保障系统的可靠性、容错能力和高可用性，但宿主机仍存在故障的可能性，如电源等部件因不可抗力损坏。 弹性云主机是运行在宿主机上的，当宿主机无法正常运行时，天翼云会自动将弹性云主机迁移至正常的宿主机，以疏散或者热迁移的方式迅速恢复，最坏情况为弹性云主机重启，将宿主机宕机的影响降到最小。

操作场景 在您提交创建弹性云主机后，可以查看该弹性云主机的状态。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页面，找到您需要查看的弹性云主机，对应“状态”栏展示其当前状态，通常提交创建后会显示为“创建中”的中间状态，创建完成后会变为“运行中”的稳定状态。 5. 更多状态和说明可查看实例生命周期。

弹性计费规则 购买时选定弹性防护最高防护峰值，若攻击带宽超出套餐带宽，则超出部分按照弹性防护阶梯按日收费，若超出弹性防护最高防护峰值，则解析回源，2小时后解封。 每日计费值以当天（0:00~24:00）攻击的最大攻击峰值为计费标准。超出防护带宽当日最大DDoS攻击峰值套餐保底防护带宽，超出CC防护攻击值当日最大CC攻击峰值套餐内CC防护能力，再找到超出防护带宽、超出CC防护值在弹性防护计费列表中对应的计费区间，二者取其高，即可算出弹性防护超出费用。 例如：保底套餐购买10Gbps，50000QPS，弹性防护购买20Gbps ，80000 QPS。 若攻击带宽10G以内，如8Gbps，不进行额外收费。 若攻击超过10Gbps，如15Gbps，则超出的5Gbps按照弹性防护收费，且落在第一阶梯[010Gbps]以内，按照860元/天收费。 若攻击25Gbps，则攻击超过套餐的15Gbps，则落在第二阶梯[1020Gbps]以内，按照1760元/天收费。 若攻击35Gbps，则攻击超过弹性的25Gbps，但最高弹性防护仅购买20Gbps，则不进行防护，直接解析回源，2小时后再恢复服务。

G1型弹性云主机功能如下： 处理器与内存配比为1:2。 处理器：Intel Xeon E52690V4 2.6GHz。 支持NVIDIA M60 GPU卡。 支持图形加速应用。 提供GPU硬件虚拟化（vGPU）和GPU直通能力。 提供和弹性云主机相同的申请流程。 自动化的调度G1型弹性云主机到装有NVIDIA M60 GPU卡的可用区。 使用须知 G1型弹性云主机不支持规格变更。 G1型弹性云主机当前支持如下版本的操作系统： − Windows Server 2012 R2 Standard 64bit − Windows Server 2008 R2 Enterprise SP1 64bit 使用私有镜像创建的G1型弹性云主机，请确认在制作私有镜像时安装GRID驱动。如果未安装，请在创建完成后安装GRID驱动，以实现图形加速功能。详细安装操作请参考GPU加速型实例安装GRID驱动。

本节介绍了弹性云主机挂载磁盘时的限制。 待挂载的磁盘与弹性云主机属于同一可用区。 如果是非共享盘，待挂载的磁盘为“可用”状态。 如果是共享盘，待挂载的磁盘为“正在使用”状态或“可用”状态。 弹性云主机的状态为“运行中”或“关机”。 处于冻结状态的磁盘，不支持挂载给弹性云主机。 设备类型为SCSI的磁盘不能作为弹性云主机的系统盘。 对于“包年/包月”方式购买的弹性云主机： 在创建服务器时购买的系统盘，卸载后，如果继续作为系统盘使用，则只能挂载给和原服务器规格相同的服务器；如果作为数据盘使用，则可以挂载给任意服务器。 在创建服务器时购买的非共享数据盘，卸载后，如果重新挂载，则只能挂载给原服务器作数据盘使用。

本文介绍如何使用rsync工具实现天翼云弹性文件服务中两个NFS协议文件系统之间的数据迁移。 应用场景 本文适用于同地域同一VPC不同文件系统之间的数据迁移。 前提条件 已拥有两个NFS协议文件系统，并且准备一台与源文件系统在同一VPC网络下的弹性云主机。两个文件系统分别作为源文件系统和目标文件系统，源文件系统指含业务数据的源文件系统，目标文件系统指即将投入使用的新文件系统。 准备工作 1. 注册天翼云官网账号，并完成实名认证，具体操作请参考注册天翼云账号。 2. 登录天翼云官网页面，找到控制中心，具体操作请参考天翼云控制中心。 3. 分别创建一个文件系统和一台弹性云主机，具体操作请参考创建弹性文件系统、创建弹性云主机。 4. 挂载文件系统至弹性云主机，具体操作请参考使用弹性云主机挂载文件系统。 操作步骤 两个文件系统之间的数据迁移可以分为几个关键步骤： 挂载文件系统 >迁移存量数据>迁移增量数据>迁移应用 。具体操作步骤如下： 1. 将文件系统挂载到云主机 将文件系统挂载至云主机中，为了方便区分，源文件系统挂载到“/mnt/src/“路径上，目标文件系统挂载到“/mnt/dst/“路径上。

监控云主机 您可以使用天翼云云监控产品来监控您的弹性云主机，云监控支持自动实时监控、告警配置和告警通知，让您更好地掌握弹性云主机的运行状态和各项性能指标。 指标监控：对弹性云主机的各项运行指标进行实时监控。还可以查询历史的监控指标情况。 监控告警：通过配置告警规则，在指标发生异常的第一时间对您进行提醒。及时发现问题并处理，可以有效保障部署在的弹性云主机上的服务持续可用。 更多内容请参见云监控。 备份云主机 您可以通过天翼云云主机备份产品和云硬盘备份产品，对弹性云主机上的数据进行备份，当云主机或主机上的云硬盘出现故障，或者软件造成的数据丢失损坏以及人为错误导致的数据误删时，您可以借助备份功能自助快速恢复数据。 云主机备份 云主机备份（CTCSBS，Cloud Server Backup Service）提供对弹性云主机的备份保护服务，支持基于云硬盘快照技术的备份服务，并支持利用备份数据恢复弹性云主机数据。通过云主机备份服务，可以在发生数据丢失、系统故障、人为错误或恶意攻击等情况下，还原云主机数据，确保业务的连续性和数据的安全性。 更多内容请参见云主机备份。

概述 云原生网关支持通过配置ip黑名单和白名单的方式限制客户端访问网关；黑白名单不能同时开启，同时只有一种能生效。 云原生网关默认读取请求中的Remoteaddr字段值作为客户端IP（即网络层IP）；如果您的客户端访问出口存在七层代理，此时Remoteaddr字段值为出口代理地址，可通过开启从xff头部获取ip配置选项，从XForwardedFor字段中获取客户端真实IP。 注意 通过ELB访问云原生网关时，网关看到的网络层地址是ELB出口IP；当前ELB采用四层代理模式，不会添加xff头部；我们将在后续的版本中优化ELB访问时的IP限制能力。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 在左侧导航栏，选择安全认证> 黑白名单。 4. 切换tab栏，填写黑名单或白名单。

本文为您介绍IP黑白名单防护功能说明，以及如何配置IP黑白名单策略。 IP黑白名单支持对经过云WAF防护域名的访问源IP进行黑白名单设置，来自该IP地址/IP地址段的访问，云WAF将不会做任何检测，直接拦截/放行。 IP黑白名单设置，支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 规格限制 基础版不支持IP黑白名单功能，请升级到更高版本使用。 不同实例版本支持添加的IP黑白名单规则数量不同，有关各版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“IP黑白名单”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入IP黑白名单规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、IP地址、类别、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建黑白名单”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本节介绍了弹性云主机详情页显示还有挂载点,但是挂载磁盘失败的问题描述、可能原因、处理方法等内容。 问题描述 查看Windows弹性云主机的详情页，系统显示您的弹性云主机还可以挂载n个或n个以内的磁盘。但是单击“挂载磁盘”后，执行挂载操作一直失败。 图 磁盘挂载信息 可能原因 云硬盘欠费后，如果超期不续费，系统会强制卸载该磁盘，该动作可能会在Windows弹性云主机内产生盘符残留，导致云主机内部实际可用的磁盘挂载点减少。 处理方法 请尝试重启弹性云主机后，再次执行磁盘挂载操作。 如果仍然挂载失败，请联系客服获取技术支持。

本文主要介绍如何设置监控告警规则。 操作场景 通过设置弹性云主机告警规则，用户可自定义监控目标与通知策略，及时了解弹性云主机运行状况，从而起到预警作用。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击图标，选择区域和项目。 3. 选择“管理与部署 > 云监控服务”。 4. 在左侧导航树栏，选择“告警 > 告警规则”。 5. 在“告警规则”界面，单击“创建告警规则”创建弹性伸缩的告警规则，或者选择已有的弹性伸缩的告警规则进行修改，设置弹性伸缩的告警规则。 6. 规则参数设置完成后，单击“立即创建”。 说明 更多关于设置告警规则的信息，请参见《云监控用户指南》。 可以使用在云监控页面创建的告警规则，实现动态资源扩展。

本文介绍如何验证IP地址是否属于天翼云CDN节点IP。 问题概述 本文主要介绍针对指定的IP，如何验证该IP是否为天翼云CDN节点的IP地址。 验证说明 1. 登录CDN控制台。 2. 单击左侧导航栏【诊断工具】，进入【IP归属查询】页面，输入查询的地址。 3. 输入查询后将显示该地址是否为天翼云CDN节点以及对应归属地。

本节描述了弹性云主机实例的概要内容。 实例即弹性云主机，是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。 弹性云主机创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云主机，打造一个高效、可靠、安全的计算环境。弹性云主机的开通是自助完成的，您只需要指定CPU、内存、操作系统、规格、登录鉴权方式即可，同时也可以根据您的需求随时调整您的弹性云主机规格。 云平台提供了多种实例类型供您选择，不同类型的实例可以提供不同的计算能力和存储能力。同一实例类型下可以根据CPU和内存的配置选择不同的实例规格。 关于实例类型的信息，请参考实例类型。 了解实例从创建到释放历经的各种状态请参考实例生命周期。 更多实例规格（X86）清单请参考规格清单。 更多实例规格（鲲鹏）清单请参考规格清单（鲲鹏）。

天翼云为您提供弹性云主机用户使用手册,请您点击下载查看。 弹性云主机帮助文档（上）.pdf 弹性云主机帮助文档（下）.pdf

天翼云关系数据库MySQL版提供两种通过内网连接MySQL实例的方式，即使用普通连接和SSL连接方式通过MySQL客户端连接实例。其中，SSL连接实现了数据加密功能，具有更高的安全性。本文为您介绍如何通过弹性云主机通过内网连接关系数据库MySQL实例。 普通连接 使用MySQL客户端连接MySQL实例与连接普通的MySQL数据库没有区别。 1. 登录云主机。 2. 连接MySQL数据库实例。 plaintext 打开命令行输入窗口，执行如下命令连接MySQL实例。 mysql h P u p 参数说明如下： 参数 说明 主机IP，即关系数据库MySQL版实例实例管理 页面下，该集群对应的实例列表中，主机的连接地址。 数据库端口，为实例基本信息 页面中的数据库端口 。 用户名，即MySQL数据库帐号（默认管理员帐号为root）。 密码，即数据库帐号对应的密码，为创建数据库实例时指定的密码。 若使用root用户普通连接数据库实例，示例如下： plaintext mysql h 172.16.X.X P 8635 u root –p ‘’ SSL连接 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例管理 页面，单击实例名称进入实例的基本信息 页面，然后在网络 区域单击SSL状态 参数右侧的下载证书，下载根证书或捆绑包。 4. 将根证书导入弹性云主机Linux操作系统。 (a) 关系数据库MySQL版服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 (b) 关系数据库MySQL版服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 5. 连接关系数据库MySQL版实例。以Linux系统为例，执行如下命令，具体参数见下方参数说明。 plaintext mysql h P u p sslca 6. 出现 Enter password:提示时，输入数据库帐号对应的密码。 参数说明如下： 参数 说明 内网地址。在目标实例的基本信息 页面实例信息 区域，获取连接地址 即可。 数据库端口，默认13049。在目标实例的基本信息 页面实例信息 区域，获取数据库端口 即可。 户名，即关系数据库MySQL版帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 若使用root用户SSL连接数据库实例，示例如下： plaintext mysql h 172.16.X.X P 13049 u root p sslcaca.pem

本文主要介绍如何查看中转IP 操作场景 中转IP创建完成后，您可以查看已创建的中转IP。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在“中转子网”页签中，单击目标中转子网名称。进入中转子网详情页。 5. 在“中转IP”页签即可查看已创建的中转IP的详细信息。 您可以查看到该中转IP所属的中转VPC、中转子网和关联的私网NAT网关等信息。

本文主要介绍虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户企业云中资源的安全性，简化用户的网络部署。 通过云审计服务，您可以记录与虚拟私有云相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的VPC操作列表 操作名称 资源类型 事件名称 修改Bandwidth bandwidth modifyBandwidth 创建EIP eip createEip 释放EIP eip deleteEip 绑定EIP eip bindEip 解绑定EIP eip unbindEip 创建PrivateIp privateIps createPrivateIp 删除PrivateIp privateIps deletePrivateIp 创建Security Group securitygroup createSecurityGroup 创建Subnet subnet createSubnet 删除Subnet subnet deleteSubnet 修改Subnet subnet modifySubnet 创建VPC vpc createVpc 删除VPC vpc deleteVpc 修改VPC vpc modifyVpc 创建VPN vpn createVpn 删除VPN vpn deleteVpn 修改VPN vpn modifyVpn 上表中VPC的操作，为底层（OpenStack）服务触发；部分事件名称与表68中重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表69中描述的事件。 表 云审计服务支持的VPC操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建虚拟网络 network createNetwork 更新虚拟网络 networks updateNetwork 删除虚拟网络 networks deleteNetwork 创建虚拟子网 subnets createSubnet 更新虚拟子网 subnets updateSubnet 删除虚拟子网 subnets deleteSubnet 创建虚拟端口 ports createPort 更新虚拟端口 ports updatePort 删除虚拟端口 ports deletePort 创建浮动IP floatingips createFloatingip 更新浮动IP floatingips updateFloatingip 删除浮动IP floatingips deleteFloatingip 创建虚拟路由 routes createRouter 更新虚拟路由 routes updateRouter 删除虚拟路由 routes deleteRouter 添加虚拟路由的接口 routes addRouterInterface 删除虚拟路由的接口 routes removeRouterInterface 为当前vpcrouter添加扩展路由 routes addExtraRoute 为当前vpcrouter删除指定的扩展路由 routes removeExtraRoute 创建安全组 securitygroups createSecuritygroup 删除安全组 securitygroups deleteSecuritygroup 更新安全组 securitygroups updateSecuritygroup 创建安全组规则 securitygrouprules createSecuritygrouprule 删除安全组规则 securitygrouprules deleteSecuritygrouprule 创建一个vpnservice vpn createVpnService 更新vpnservice vpn updateVpnService 删除vpnservice vpn deleteVpnService 创建密钥交换策略 vpn createVpnIkepolicy 更新密钥交换策略信息 vpn updateVpnIkepolicy 删除租户指定ikepolicy vpn deleteVpnIkepolicy 创建一个ipsecpolicy vpn createVpnIpsecpolicy 更新指定ipsecpolicy vpn updateVpnIpsecpolicy 删除指定的ipsecpolicy vpn deleteVpnIpsecpolicy 创建一个ipsec连接 vpn createVpnIpsecsiteconnection 更新ipsec连接 vpn updateVpnIpsecsiteconnection 删除指定ipsec连接 vpn deleteVpnIpsecsiteconnection Create VPN endpoint group vpn createVpnEndpointgroup Update VPN endpoint group vpn updateVpnEndpointgroup Remove VPN endpoint group vpn deleteVpnEndpointgroup 更新代理 agent updateAgent 删除代理 agent deleteAgent 指定网络使用的DHCP Agent agent createAgentDhcpnetwork 移除网络使用的DHCP Agent agent deleteAgentDhcpnetwork 更新指定租户的配额值 quota updateQuota 重置指定租户的配额值 quota deleteQuota 创建firewall group FWaaS v2 createFirewallGroup 更新firewall group FWaaS v2 updateFirewallGroup 删除firewall group FWaaS v2 deleteFirewallGroup 创建firewall policy FWaaS v2 createFirewallPolicy 更新firewall policy FWaaS v2 updateFirewallPolicy 删除firewall policy FWaaS v2 deleteFirewallPolicy firewall policy中插入firewall rule FWaaS v2 insertFirewallPolicyRule firewall policy中移除firewall rule FWaaS v2 removeFirewallPolicyRule 创建firewall rule FWaaS v2 createFirewallRule 更新firewall rule FWaaS v2 updateFirewallRule 删除firewall rule FWaaS v2 deleteFirewallRule 创建loadbalancer loadbalancer createLBaaSLoadbalancer 更新指定的loadbalancer loadbalancer updateLBaaSLoadbalancer 删除指定的loadbalancer loadbalancer deleteLBaaSLoadbalancer 创建listener listener createLBaaSListener 更新指定的listener listener updateLBaaSListener 删除指定的listener listener deleteLBaaSlistener 创建pool pool createLBaaSPool 更新指定的pool pool updateLBaaSPool 删除指定的Pool pool deleteLbaasPool 创建Member member createLBaaSPoolMember 更新指定的Member member updateLBaaSPoolMember 删除指定的member member deleteLBaaSPoolMember 创建healthmonitor healthmonitor createLBaaSHealthMonitor 更新指定的healthmonitor healthmonitor updateLBaaSHealthMonitor 删除指定的healthmonitor healthmonitor deleteLBaaSHealthMonitor

本节介绍如何在linux云主机中设置允许或禁止用户/IP通过SSH方式连接。 操作场景 出于对云主机系统安全的考虑，需要对操作系统设置用户/IP是否可以通过SSH方式连接，以深度管理云主机登录权限。 操作方法 您可以选择适用您需求的设置方式，实现限制登录的目的。 1. 通过编辑sshd配置文件，可以对指定用户/用户组或IP的登录权限设置。 1）编辑sshd配置文件中为指定用户设置白名单。在 /etc/ssh/sshdconfig 配置文件中添加AllowUsers配置，以下示例中的实际效果为允许用户user通过192.168.8.8的IP地址进行登录。 AllowUsers user@192.168.8.8 2）编辑sshd配置文件中为指定用户设置黑名单。在 /etc/ssh/sshdconfig 配置文件中添加DenyUsers配置，以下示例中的实际效果为禁止用户invaliduser登录。 DenyUsers invaliduser 2. 通过编辑host.allow和host.deny文件，可以对指定IP或IP地址段的登录权限进行设置。通常这两个文件结合设置。 1）编辑host.allow文件，添加 sshd: IP地址或IP地址段，允许指定IP地址或IP地址段进行登录，示例如下： sshd: 192.168.8.8 2）编辑host.deny文件，添加如下内容，禁止所有IP的SSH登录权限： sshd: ALL 两个文件同时设置规则的时候，hosts.allow文件中的规则优先级高于hosts.deny，结合使用可以有针对性地开放SSH登录权限。 因此以上示例的实际效果，云主机将只允许IP地址为192.168.8.8的用户进行SSH登录，其它的IP都会拒绝。 3. 重启sshd服务，使以上修订内容生效。

问题描述 对已关机的弹性云主机进行变配操作时，无法正常提交。 处理方法 弹性云主机进行变配操作，请确保在弹出的变配页面中选择与当前弹性云主机不同的云主机规格。如果您弹性云主机当前规格是s7.small.1，再次选择同样规格，提示如图所示： 选择您的目标弹性云主机规格，还需要符合如下限制条件约束： X86与ARM云主机不可互相变配。 X86下海光云主机不可与其他云主机互相变配。 ARM计算架构中，基于不同厂商芯片的云主机不可互相变配。例如，鲲鹏云主机不可与飞腾云主机互相变配。 GPU云主机和非GPU云主机不可互相变配。 只允许往同代或更高代云主机变配，反之不可以。例如，s3可变配为s6、c6或m6，反之不可以。 同代系同类型之间可以升配亦可以降配。 当变配操作符合规则成功提交后，如果您是包年包月的弹性云主机，请您确保升配订单被成功支付，再次返回云主机控制台即可查看到弹性云主机状态变为“规格变更中”，稍后刷新列表，可以看到弹性云主机规格变更完成。

本文为您介绍一键重置密码后无法使用新密码登录弹性云主机的解决办法。 问题描述 用户在一键重置密码操作后，出现无法使用新密码登录弹性云主机的情况。 解决办法 1. 登录控制台，点击弹性云主机页面。 2. 选择对应弹性云主机，点击更多，选择重置密码。 3. 重置密码后，点击重启。 4. 若以上方法无法解决问题，请联系工单进行处理。

访问控制 IP黑白名单：通过配置IP黑名单和白名单来实现对终端请求身份的识别和过滤，从而控制并限制访问应用加速资源的指定用户；开启白名单功能后，只有白名单内的IP能访问当前的应用加速域名，白名单以外的IP均无法访问当前的加速域名提供相应业务；黑名单内的IP均无法访问当前的加速域名。 区域访问控制：通过配置区域访问控制黑白名单，从而仅允许或者限制部分区域的用户访问。区域访问控制功能支持按照国家、省份、城市粒度设置区域访问黑白名单。 传递用户IP回源 传递用户IP回源： 开启该功能后，可以将来自客户端的IP透传给源站。回源方式可选择proxyprotocol或tcpoption。proxyprotocol版本可选择v1,v2。 DDoS防护 DDoS防护：可按需开启DDoS防护中国内地、DDoS防护全球（不含中国内地）开关，开启后将会对相应区域的DDoS攻击进行防护。

检查安装环境 安装Agent对安全组出方向端口以及第三方安全软件等有限制要求，为了保证您能成功安装Agent，请根据下述步骤确认能符合对应的要求后，再安装Agent。 1. 请确认服务器的操作系统在Agent操作系统限制列表内。 不在该列表中的操作系统不支持安装Agent。 2. 请确认服务器为正常运行状态。 非运行状态无法安装Agent。 3. 请确认预备安装Agent的磁盘容量大于300MB。 不足300MB会导致Agent安装失败。Agent安装路径不支持选择，默认如下： Linux：/usr/local/hostguard/ Windows：C:Program FilesHostGuard 4. 请确认服务器安全组出方向的设置允许访问100.125.0.0/16网段的10180端口（默认允许访问）。 该端口用于与HSS服务端通信。查看、修改安全组出方向规则的操作请参见修改安全组。 5. 请卸载第三方安全软件。 第三方安全软件与主机安全agent存在不兼容的情况，会影响主机安全的防护功能，如果服务器安装了第三方安全软件，请先卸载它们再安装主机安全Agent。 6. （可选）Linux主机，请关闭Selinux防火墙。 Selinux防火墙可能会导致Agent安装失败，您可以在Agent安装成功之后再打开。 修改安全组 安装Agent时，需要确保服务器安全组出方向允许访问100.125.0.0/16 网段的10180端口。您可以参考本节查看、修改ECS安全组规则。 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 在管理控制台左上角，单击，选择“计算 > 弹性云主机”，进入“弹性云主机”页面。 4. 在弹性云服务器列表中，单击目标ECS名称。 5. 单击目标安全组名称，进入目标安全组详请页面。 6. 选择“出方向规则”页签，按如下表所示添加规则。 协议 端口范围或ICMP类型 类型 目的地址 描述 TCP 10180 IPv4 IP地址 100.125.0.0/16 与HSS服务端进行通信。 为云平台主机安装Agent

本文带您规避Intel处理器芯片存在的Meltdown和Spectre安全漏洞可能带来的问题。 问题描述 2018年1月3日，Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞，漏洞详情如下： 漏洞名称：Intel处理器存在严重芯片级漏洞 漏洞编号：CVE20175753、CVE20175715、CVE20175754 漏洞级别：严重 漏洞描述：攻击者可以利用Meltdown （CVE20175754） 和Spectre （CVE20175715/CVE20175753） 绕过内存安全隔离机制，越权访问操作系统和其他程序的核心数据，造成敏感信息泄露。 问题影响 该漏洞不会引起不同弹性云主机之间的攻击，但可能会引起如下问题： 弹性云主机内多个应用之间，可能存在攻击。 对于同一弹性云主机，多个帐号之间可能存在攻击。 使用公共镜像的弹性云主机，云平台会对公共镜像依次修复，不会对您的业务带来影响。 使用私有镜像的弹性云主机，请根据漏洞影响评估是否更新补丁，以规避风险，更新补丁的具体操作请参见本节内容。 前提条件 为避免发生意外，修复漏洞前，建议进行充分测试，并完成弹性云主机的数据备份操作，避免发生意外。 Windows弹性云主机处理方法 1. 登录弹性云主机。 2. 更新补丁。 方式一：使用Windows自动更新功能安装补丁。 a. 打开Windows Update，并单击“检查更新”。 b. 根据需要下载安装相关安全补丁。 方式二：手动下载补丁并安装。 下载官方发布的补丁进行安装，如KB4078130。 3. 重启弹性云主机，使补丁生效。 4. 验证是否升级成功。 a. 检查系统运行情况是否正常。 b. 检查已安装的补丁清单是否满足微软官方的要求。

本文简述如何通过诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 功能介绍 天翼云全站加速服务提供IP归属查询工具，您可以使用该工具检测某IP地址是否为天翼云CDN节点IP，同时获取IP归属地。 应用场景 场景一：配置全站加速服务后，可通过该工具验证客户端的请求是否成功到达天翼云CDN节点IP。如果不是天翼云CDN节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云CDN节点IP，来排查网站访问异常的原因。如果IP地址是天翼云CDN节点IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云CDN节点IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 诊断工具说明 1. 登录客户控制台。 2. 单击左侧导航栏【诊断工具】，进入【IP归属查询】页面，输入查询的地址。 3. 输入查询后将显示该地址是否为天翼云CDN节点以及对应归属地。 说明 查询IP为天翼云CDN节点IP，验证结果显示为CDN节点，显示IP归属地。 查询IP不为天翼云CDN节点IP，验证结果显示为不是CDN节点，IP归属地未知。

DDoS攻击 分布式拒绝服务（DDoS）攻击是一种常见的网络攻击形式。攻击者从互联网的多个不同位置同时向一个或多个目标IP发起攻击，企图通过大规模互联网公网流量耗尽攻击目标的网络资源，使目标IP无法提供正常服务。例如IP带宽100Mbps，存在远超100Mbps以上的入向访问流量，IP服务质量会严重下降，此时IP可被视为遭受到了DDoS攻击。 DDoS防护阈值（DDoS封堵阈值） IP的DDoS防护阈值指资源池分配给该IP的最大允许流量速率，当IP遭受到较大规模的DDoS攻击或IP本身的业务流量出现异常峰值情况，IP的流量峰值可能会超过IP的DDoS防护阈值，此时IP关联的服务器及网络稳定性会受到影响。为避免单个IP遭受DDoS攻击波及网络内其他IP正常运行，依据用户协议及平台整体安全防护要求，系统会对该 IP 触发 DDoS 封堵，屏蔽其全部流量，从而释放IP占用的大量额外网络带宽，确保资源池网络稳定。DDoS防护阈值也可称作DDoS封堵阈值。 DDoS防护策略 IP的DDoS防护策略指在DDoS防护阈值内，DDoS基础防护产品对IP流量中可能的DDoS攻击流量进行判定和过滤的算法集合。在DDoS防护阈值内，用户可从DDoS基础防护产品开放的DDoS防护策略中选择IP的防护策略，DDoS基础防护产品会根据用户选择的防护策略会对IP流量进行判断（是否为DDoS攻击流量）和清洗过滤，将清洗过滤后的流量回注IP，尽可能保障IP可用。DDoS防护策略可能会将部分异常或突增的业务流量判断为DDoS攻击流量并产生误清洗（如频繁发送syn报文的业务），建议用户根据业务情况选择合适的防护策略，若不需要清洗，可不选择IP的防护策略。

ECI能为Kubernetes提供基础的容器Pod运行环境，每个ECI实例相当于一个Pod。本文介绍ECI Pod的配置和创建方式。 基本配置 基于Kubernetes社区的Virtual Kubelet技术，ECI支持以虚拟节点（VK）的形式接入到Kubernetes集群中。一个ECI实例相当于一个Pod，包含以下几部分配置： 实例规格 一个ECI实例主要包括vCPU和内存规格。创建实例时，可以指定ECI规格（直接指定vCPU和内存），也可以指定ECS规格来满足GPU、增强网络能力等特殊需求。 容器镜像 一个ECI实例由一个或者多个容器组成，部署容器应用时，需要准备好容器镜像。容器镜像包含容器应用运行所需的程序、库文件、配置等。拉取镜像时，需要保证网络畅通，推荐您使用镜像缓存功能来节约实例的启动耗时。 网络 一个ECI实例将占用所属VPC下的子网的一个弹性网卡资源，默认具备一个内网IP地址。如果需要连接公网，例如需要拉取公网镜像。则需要为ECI实例绑定EIP，或者为所属VPC绑定NAT网关。 存储 一个ECI实例默认有40 GiB的临时存储空间，您可以根据需要增加临时存储空间。如果想要保留存储的文件，建议使用外挂数据卷，支持挂载云盘、弹性文件和对象存储等天翼云存储数据卷。 创建方式 根据业务场景和使用场景，ECI支持两种实例的定义方式： 1. 指定vCPU和内存：您创建ECI实例时可以按需指定vCPU和内存。 2. 指定ECS规格：您创建ECI实例时可以按需指定ECI实例底层使用ECS规格族，来获取相应规格族的指定能力。

参数 说明 策略名称 自定义的访问控制策略名称，系统内“策略名称”不能重复。 有效期 选择策略生效时间和策略的失效时间。 文件传输 在运维过程中上传和下载文件权限。 勾选代表允许对文件上传或下载. 不勾选代表禁止对文件上传或下载。 更多选项 在运维过程中管理文件或文件夹权限，RDP剪切板和会话窗口显示水印功能。 SSH和RDP协议主机支持文件管理。 VNC协议主机不能直接文件管理，但可通过应用发布方式实现文件管理 Telnet协议主机不支持文件管理。 登录时段限制 选择登录资源的时间段权限。 IP限制 限制/允许用户“来源IP”访问资源。 选择“黑名单”，配置相应IP或IP网段，即限制该IP或IP网段用户登录资源。 选择“白名单”，配置相应IP或IP网段，即仅允许该IP或IP网段用户登录资源。 IP地址缺省状态下，即不限制用户IP登录资源。

本文为您解释防火墙规则配置示例。 与弹性云主机不同，每台轻量云主机都可以配置一套独立的防火墙规则，不同的轻量型云主机之间的防火墙规则不受干扰。您可根据实际业务需求设置防火墙规则。如下示例中，出方向默认全通，仅介绍入方向规则配置方法。 允许外部访问指定端口 场景举例 部署业务之后，为了让指定业务端口（例如：3300）可以被外部访问，您可以添加防火墙规则。 防火墙配置方法 方向 协议 / 应用 端口 源地址 入方向 TCP 3300 0.0.0.0/0 仅允许特定IP地址远程连接轻量型云主机 场景举例 为了防止轻量型云主机被网络攻击，用户可以修改远程登录端口号，并设置防火墙规则只允许特定的IP地址远程登录到轻量型云主机。 防火墙配置方法 以仅允许特定IP地址（例如，192.168.0.4）通过SSH协议访问Linux操作系统的轻量型云主机的22端口为例，防火墙规则如下所示。 方向 协议 / 应用 端口 源地址 入方向 SSH（22） 22 IPv4CIDR 例如：192.168.0.4/24 轻量型云主机作Web服务器

本文介绍公网IPv4或IPv6加入共享带宽的操作指南。 使用说明 仅允许添加同类型的IP地址。 一个公网IP一次仅能加入到一个共享带宽，若要加入到其他共享带宽，则需要先把公网IP在当前的共享带宽移除。 公网IP加入共享带宽后，公网IP原有绑定的独享带宽计费方式不再生效。 如果待加入的IP地址已绑定实例，绑定实例关联的VPC必须与共享带宽所属的VPC一致才允许添加。 共享带宽带宽上限为所有已加入IP地址绑定实例的带宽总和的上限。 前提条件 已购买共享带宽。 已拥有公网IPv4地址或IPv6地址。 共享带宽添加公网IPv4 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，在【共享带宽列表】选择需要操作的地域，选择地址类型为IPv4的共享带宽实例。 3. 单击【添加公网IPv4】，在添加公网IPv4界面，按需要选择一个或多个IP，单击【添加】，即可绑定成功。 4. 共享带宽添加公网IP后，在共享带宽详情会显示绑定的公网IP列表。 共享带宽添加公网IPv6 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，在【共享带宽列表】选择存在共享带宽的地域，选择地址类型为IPv6的共享带宽实例。 3. 单击【添加公网IPv6】，在添加公网IPv6界面，按需要选择一个或多个IP，单击【添加】，即可绑定成功。 4. VPC IPv6地址加入共享带宽后，IPv6地址可提供公网访问，IPv6地址绑定的虚拟机实例支持访问公网。

本文介绍如何在弹性云主机中卸载文件系统。 操作场景 当不再需要使用文件系统时，可以需要进行卸载。 前提条件 弹性云主机已挂载文件系统。具体操作参见挂载文件系统。 卸载文件系统前建议先终止业务和停止读写再卸载。 Linux系统卸载步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行卸载操作的云主机。 3. 以root用户登录弹性云主机。执行如下命令，卸载文件系统目录。 umount 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，例如“/mnt/sfs”。 Windows系统卸载步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 4. 单击桌面左下角Windows按键，单击这台电脑，在网络位置处，右键单击要卸载的文件系统，选择“断开”。 5. 若网络位置下已挂载的文件系统已不存在即表示卸载成功。

本文介绍弹性容器实例ECI的产品定义。 弹性容器实例（简称ECI）是基于天翼云自研的、敏捷安全的Serverless容器运行服务，具备极速启动、安全可靠、成本低的特点，完全免运维，按使用量付费。 产品概述 天翼云弹性容器实例ECI提供了多种部署方式，包括通过OpenAPI和控制台部署容器应用。此外，您还可以通过天翼云云容器引擎和 Serverless容器引擎产品部署业务，并无缝使用天翼云网络、存储等其它资源服务。无论是哪种部署方式，弹性容器实例ECI都将为您提供快速响应的容器运行环境，实现极高的成本效益。 在使用弹性容器实例ECI时，所有容器都基于完全隔离的资源，您可以按照应用场景的实际需求进行定制和管理，从而更好地支持您的业务发展。同时，弹性容器实例ECI提供了丰富的应用实例化配套服务，包括数据存储、负载均衡、弹性伸缩、监控告警等，从而可以为您提供可靠、稳定、高效的容器运行环境。 产品架构 弹性容器实例 ECI 向下基于天翼云计算、网络及存储构建坚实底座，容器镜像服务CRS 提供了容器镜像全生命周期的托管服务。向上无缝集成天翼云Serverless容器引擎服务，方便用户管理其业务负载。在应用形态上，适用于大数据计算、事件驱动、DevOps、AI大模型等各类应用场景。

本节主要介绍弹性文件服务的服务协议。 自2021年11月11日起，新版弹性文件产品服务协议生效。详情请参见这里。 天翼云弹性文件服务协议 历史版本（20141111）