接入WAF对现有业务和服务器运行有影响吗？ 接入WAF不需要中断现有业务，不会影响源站服务器的运行状态，即不需要对源站服务站进行任何操作（例如关机或重启）。 注意 以CNAME方式接入WAF时，您需要修改DNS解析使流量经过WAF进行转发。修改DNS解析可能会影响网站访问业务，建议您在业务量少时进行修改，详细操作请参见修改域名DNS。 域名接入时，WAF回源是否需要放行所有客户端IP？ 根据您的业务情况，您可以只放行WAF回源IP段，也可以放行所有客户端IP。 对于Web业务，建议您只放行WAF回源IP，实现源站保护。详细操作请参见放行WAF回源IP段。 对于客户端IP，如果有白名单需要，建议您通过WAF白名单配置进行放行，不建议直接放行所有客户端IP。 说明 WAF采用CNAME的方式将原本去向网站的请求转向到WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。此时由于网站接入WAF，访问网站的IP实际上变成了WAF的回源IP段，从网站的角度来看，访问其的来源IP变得更加集中，访问频率变得更高，服务器上的防火墙或安全软件很容易认为这些IP在发起攻击，从而将WAF回源IP段拉黑。如果WAF的回源IP段被拉黑，WAF的请求将无法得到源站的正常响应。因此，在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。

天翼云为您提供弹性负载服务等级协议。 弹性负载均衡等级协议（SLA）生效。详情请参见这里。

安全体检购买类常见问题。 安全体检计费模式是什么？ 安全体检产品采用预付费模式，支持包月、包年订购，享受包年实付10个月折扣价，用户可自订单生效之日起享受购买期限内的服务，当购买的服务到期后，服务自动停止。服务按照IP数量定价，单个互联网安全体检规格包含5个互联网IP授权，详细价格参考如下表格： 产品规格 产品描述 标准价格（元/月） 年付价格（元/年） 互联网安全体检 提供5个及以内互联网IP安全体检服务，发现IP风险暴露情况、漏洞开放情况，推送安全体检报告。 280 2800 试用版 试用授权IP数量5个，试用次数为1次。 免费 免费 安全体检可以免费试用吗？ 可以。未开通过商用的用户支持免费试用1次，试用授权IP数量5个。若您已经开通过付费版本，无论资源是否在有效期内均无法再进行免费试用。 安全体检如何升配？ 安全体检支持增加授权体检IP数量，在控制台页面，点击“增加IP数”按钮，进入安全体检升配页面，用户可根据自身需求输入要增加的规格数量。然后点击立即升配并支付。 注意 单个互联网安全体检规格包含5个互联网IP授权，如果您需要增加6个互联网IP，仅需购买2个互联网安全体检即可。

处理拦截IP 如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 如果发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以查看下文：如何手动解除误拦截IP？ 说明 若您手动解除被拦截的可信IP，仅可以解除本次HSS对该IP的拦截。若再次发生多次密码输错，该IP会再次被HSS拦截。

类型 支持的防护对象 网络类型 防护后的动作 应用场景&特点 配置方式 防护规则 五元组 IP地址组 地理位置（地域） 域名和域名组 公网IP 私网IP 设置为“阻断”：流量直接拦截。 设置为“放行”：流量被“防护规则”功能放行后，再经过入侵防御（IPS） 功能检测。 通过具体的特征识别指定流量，适用于需要精细化控制特定流量的情况；例如通过协议类型、端口号、应用等特征配置规则。 通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 公网IP 私网IP 直接拦截流量。 快速拦截已识别的安全威胁，适用于已知恶意流量数据的情况。 通过添加黑白名单拦截/放行流量 白名单 五元组 IP地址组 公网IP 私网IP 流量被云防火墙放行，不再经过其它功能检测。 快速放行可信流量，适用于明确可信IP地址的情况。 通过添加黑白名单拦截/放行流量

本节主要介绍网关访问保留源IP 操作场景 服务通过网关访问时，默认情况下，目标容器中看到的不是客户端的源IP，如果需要保留源IP，请参考本节指导操作。 配置方法 请在CCE控制台“服务发现”页面，istiosystem命名空间下，更新服务所关联的网关服务，将服务亲和改成“节点级别”。前提是已开启ELB的获取客户端IP功能（当前为默认开启）。 externalTrafficPolicy：表示此Service是否希望将外部流量路由到节点本地或集群范围的端点。有两个可用选项：Cluster（默认）和Local。Cluster隐藏了客户端IP，可能导致第二跳到另一个节点，但具有良好的整体负载分布。Local保留客户端源IP并避免LoadBalancer和NodePort类型服务的第二跳，但存在潜在的不均衡流量传播风险。 验证方式 结合httpbin镜像在“xforwardfor”字段中可以看到源IP，httpbin是一个HTTP Request & Response Service，可以向他发送请求，他将会按照指定的规则将请求返回。httpbin镜像可在SWR中搜索。使用httpbin镜像进行验证时请确保集群已开通网格。 1. 登录ASM应用服务网格控制台，选择一个可用的测试网格并单击进入。 2. 选择左侧“网格配置”查看其关联的集群。 3. 单击集群名称进入集群详情页，单击对应集群右上角第三个图标“工作负载”进入“工作负载”页签。 4. 配置工作负载的信息。 5. 单击右下角“确定”完成服务创建。 6. 单击右下角“创建工作负载”完成工作负载创建。 7. 在集群详情页选择左侧“服务发现”页签，可在服务列表中查看到所创建的httpbin服务。 8. 返回ASM应用服务网格，选择左侧“服务管理”页签，在服务管理中可查看到httpbin的配置诊断显示为异常。 9. 单击此服务配置诊断中的“处理”按钮，按照弹出“配置诊断”页面对应的修复指导进行修复。 10. 选择左侧“网关管理”页签，单击右上角“添加网关”，在弹出“添加网关”页面输入配置信息。 11. 单击“确定”完成网关添加。 12. 选择左侧“服务管理”页签，可以在“访问地址”查看到所创建路由的外部访问地址。 13. 单击之前添加路由时设置映射的外部访问地址，可以在“xforwardfor”字段中查看网关获取的IP为容器段IP。 14. 返回集群详情页，选择左侧导航栏“服务发现”，更改服务所关联的网关服务的配置。方法如下： 下拉上方“命名空间”列表选择“istiosystem”。 展开服务后方“更多”选项，单击“更新”，在弹出“更新服务”页面将“服务亲和”更改为“节点级别”，单击“确定”。 15. 返回13中访问的外部地址并刷新，若设置之后“xforwardfor”字段中显示的网关获取IP的结果为本机源IP，则完成验证。

本章节介绍如何通过云主机备份,完成整机镜像的跨可用区迁移。 场景描述 云主机备份支持将弹性云主机的备份创建为镜像，可利用镜像发放弹性云主机，达到快速恢复业务运行环境的目的。使用云主机备份创建的镜像，在region内的其他可用区，快速创建相同配置的弹性云主机。 方案优势 跨可用区，快速共享并创建相同配置的弹性云主机，快速实现云主机迁移。 通过云主机备份创建的系统镜像包含操作系统、应用软件，以及用户的业务数据。 使用该镜像创建新的云主机，会包含已配置的自定义项，大大节省客户业务重复配置的时间。 前提条件 在进行本文操作之前，您需要完成以下准备工作： 请确保弹性云主机在备份前已完成如下操作： Linux弹性云主机优化并安装Cloudinit工具 Windows弹性云主机优化并安装Cloudbaseinit工具 创建镜像前备份的状态必须为“可用”，或者状态为“创建中”并在备份状态列显示“可用于创建镜像”时，才允许执行创建镜像操作。 操作步骤 步骤1：创建云主机备份 1、参照云主机备份操作指导章节，完成云主机备份的创建。 2、执行备份成功后，在“备份副本”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。 步骤2：通过云主机备份创建整机镜像 1、登录天翼云管理控制台。选择“计算 > 镜像服务”。进入镜像服务页面。 2、单击右上角的“创建私有镜像”，进入创建私有镜像页面。在“镜像类型和来源”区域，选择镜像的创建方式为“整机镜像”。镜像源选择“云主机备份”，从列表中选择相应的云主机备份。 3、在“配置信息”区域，填写镜像的基本信息。例如，镜像的名称和镜像描述。单击“立即创建”。 4、根据界面提示，确认镜像参数。阅读并勾选协议，单击“提交申请”。返回私有镜像界面查询创建的整机镜像的状态。 5、当镜像的状态为“正常”时，表示创建完成。 步骤3：使用整机镜像创建云主机 1、登录天翼云管理控制台。选择“计算 > 镜像服务”。进入镜像服务页面。 2、在“私有镜像”页签下，选中创建成功的整机镜像，单击操作列“申请主机”，进入创建云主机的向导页面。 3、参考《弹性云主机用户指南》，在目的可用区完成弹性云主机的创建。使用整机镜像创建弹性云主机，如果整机镜像中包含了一块或多块数据盘，系统会自动设置好数据盘参数。

使用Flink客户端（MRS 3.x及之后版本） 1.以客户端安装用户，登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3.执行如下命令初始化环境变量。 source/opt/hadoopclient/bigdataenv 4.若集群开启Kerberos认证，需要执行以下步骤，若集群未开启Kerberos认证请跳过该步骤。 a.准备一个提交Flink作业的用户。 b.登录Manager，下载认证凭据。 登录集群的Manager界面，具体请参见访问FusionInsight Manager（MRS 3.x及之后版本），选择“系统 > 权限 > 用户”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 c.将下载的认证凭据压缩包解压缩，并将得到的user.keytab文件拷贝到客户端节点中，例如客户端节点的“/opt/hadoopclient/Flink/flink/conf”目录下。如果是在集群外节点安装的客户端，需要将得到的krb5.conf文件拷贝到该节点的“/etc/”目录下。 d.将客户端安装节点的业务IP、Manager的浮动IP和Master节点IP添加到配置文件“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”中的“jobmanager.web.accesscontrolalloworigin”和“jobmanager.web.allowaccessaddress”配置项中，IP地址之间使用英文逗号分隔。 jobmanager.web.accesscontrolalloworigin: xx.xx.xxx.xxx , xx.xx.xxx.xxx ,xx.xx.xxx.xxx jobmanager.web.allowaccessaddress: xx.xx.xxx.xxx , xx.xx.xxx.xxx ,xx.xx.xxx.xxx 说明 客户端安装节点的业务IP获取方法： 集群内节点： 登录MapReduce服务管理控制台，选择“集群列表 > 现有集群”，选中当前的集群并单击集群名，进入集群信息页面。 在“节点管理”中查看安装客户端所在的节点IP。 集群外节点：安装客户端所在的弹性云主机的IP。 Manager的浮动IP获取方法： 登录MapReduce服务管理控制台，选择“集群列表 > 现有集群”，选中当前的集群并单击集群名，进入集群信息页面。 在“节点管理”中查看节点名称，名称中包含“master1”的节点为Master1节点，名称中包含“master2”的节点为Master2节点。 远程登录Master2节点，执行“ifconfig”命令，系统回显中“eth0:wsom”表示MRS Manager浮动IP地址，请记录“inet”的实际参数值。如果在Master2节点无法查询到MRS Manager的浮动IP地址，请切换到Master1节点查询并记录。如果只有一个Master节点时，直接在该Master节点查询并记录。 e.配置安全认证，在“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 security.kerberos.login.keytab: security.kerberos.login.principal: 例如： security.kerberos.login.keytab: /opt/hadoopclient/Flink/flink/conf/user.keytab security.kerberos.login.principal: test f.参考“组件操作指南 > 使用Flink > 参考 > 签发证书样例”章节生成“generatekeystore.sh”脚本并放置在Flink的客户端bin目录下，执行如下命令进行安全加固，请参考“组件操作指南 >使用Flink > 安全加固 > 认证和加密”，password请重新设置为一个用于提交作业的密码。 sh generatekeystore.sh 该脚本会自动替换“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”中关于SSL的值。 sh generatekeystore.sh 说明 执行认证和加密后会在Flink客户端的“conf”目录下生成“flink.keystore”和“flink.truststore”文件，并且在客户端配置文件“flinkconf.yaml”中将以下配置项进行了默认赋值： 将配置项“security.ssl.keystore”设置为“flink.keystore”文件所在绝对路径。 将配置项“security.ssl.truststore”设置为“flink.truststore”文件所在的绝对路径。 将配置项“security.cookie”设置为“generatekeystore.sh”脚本自动生成的一串随机规则密码。 默认“flinkconf.yaml”中“security.ssl.encrypt.enabled: false”，“generatekeystore.sh”脚本将配置项“security.ssl.keypassword”、“security.ssl.keystorepassword”和“security.ssl.truststorepassword”的值设置为调用“generatekeystore.sh”脚本时输入的密码。 g.客户端访问flink.keystore和flink.truststore文件的路径配置。 −绝对路径：执行该脚本后，在flinkconf.yaml文件中将flink.keystore和flink.truststore文件路径自动配置为绝对路径“/opt/hadoopclient/Flink/flink/conf/”，此时需要将conf目录中的flink.keystore和flink.truststore文件分别放置在Flink Client以及Yarn各个节点的该绝对路径上。 −相对路径：请执行如下步骤配置flink.keystore和flink.truststore文件路径为相对路径，并确保Flink Client执行命令的目录可以直接访问该相对路径。 i.在“/opt/hadoopclient/Flink/flink/conf/”目录下新建目录，例如ssl。 cd /opt/hadoopclient/Flink/flink/conf/ mkdir ssl ii. 移动flink.keystore和flink.truststore文件到“/opt/hadoopclient/Flink/flink/conf/ssl/”中。 mv flink.keystore ssl/ mv flink.truststore ssl/ iii. 修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.keystore: ssl/flink.keystore security.ssl.truststore: ssl/flink.truststore 5.运行wordcount作业。 须知 用户在Flink提交作业或者运行作业时，应具有如下权限： 如果启用Ranger鉴权，当前用户必须属于hadoop组或者已在Ranger中为该用户添加“/flink”的读写权限。 如果停用Ranger鉴权，当前用户必须属于hadoop组。 普通集群（未开启Kerberos认证） −执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm " sessionname " flink run/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar −执行如下命令在Yarn上提交单个作业。 flink run m yarncluster/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 安全集群（开启Kerberos认证） −flink.keystore和flink.truststore文件路径为绝对路径时： 执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm " sessionname " flink run /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar −flink.keystore和flink.truststore文件路径为相对路径时： 在“ssl”的同级目录下执行如下命令启动session，并在session中提交作业，其中“ssl”是相对路径，如“ssl”所在目录是“opt/hadoopclient/Flink/flink/conf/”，则在“opt/hadoopclient/Flink/flink/conf/”目录下执行命令。 yarnsession.sh t ssl/ nm " sessionname " flink run/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster yt ssl/ /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 6. 作业提交成功后，客户端界面显示如下。 详见下图：在Yarn上提交作业成功 详见下图：启动session成功 详见下图：在session中提交作业成功 7. 使用运行用户进入Yarn服务的原生页面，具体操作参考“组件操作指南 >使用Flink > 查看Flink作业”，找到对应作业的application，单击application名称，进入到作业详情页面 若作业尚未结束，可单击“Tracking URL”链接进入到Flink的原生页面，查看作业的运行信息。 若作业已运行结束，对于在session中提交的作业，可以单击“Tracking URL”链接登录Flink原生页面查看作业信息。 详见下图： application

本文介绍文件系统挂载至云主机的方法。 当创建文件系统后，您需要使用云主机来挂载文件系统，以实现多个云主机共享使用文件系统的目的。本文介绍几种基本的挂载操作。 注意 云主机需要与文件系统归属同一VPC。 NFS仅支持挂载至Linux云主机；CIFS仅支持挂载至Windows云主机。 挂载前需确定云主机操作系统类型，不同操作系统挂载文件系统的方法不同。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 挂载NFS文件系统到弹性云主机 (Linux) 详细操作步骤参见挂载NFS文件系统到弹性云主机 (Linux)。 挂载CIFS文件系统到弹性云主机 (Windows) 详细操作步骤参见挂载CIFS文件系统到弹性云主机 (Windows)。

本节介绍智算套件定义。 产品定义 智算套件是利用云原生架构和技术，在云容器引擎上快速定制化构建AI生产系统，帮助用户基于 Kubernetes 充分利用天翼云上弹性算力，支持弹性训练与推理等场景。 产品介绍 套件名称 套件说明 驱动管理 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 为集群提供集群巡检、故障诊断等能力。 网络 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 支持数据集版本管理，提供弹性加载能力。 弹性训练 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

容器IP地址管理 VPC网络按如下规则分配容器IP： 容器网段需单独分配 节点维度划分地址段，集群的所有节点从容器网段中分配一个固定大小（用户自己配置）的IP网段 容器网段依次循环分配IP网段给新增节点 调度到节点上的Pod依次循环从分配给节点的IP网段内分配IP地址 图 VPC网络IP地址管理 按如上IP分配，VPC网络的集群最多能创建节点数量 容器网段IP数量 ÷ 节点从容器网段中分配IP网段的IP数量 比如容器网段为172.16.0.0/16，则IP数量为65536，节点分配容器网段掩码为25，也就是每个节点容器IP数量为128，则最多可创建节点数量为65536/128512。当然，集群能创建多少节点，还受节点网络和集群规模的影响。 图 容器网段配置（创建集群时配置） 网段规划建议 在集群网络构成中介绍集群中网络地址可分为节点网络、容器网络、服务网络三块，在规划网络地址时需要从如下方面考虑： 三个网段不能重叠 ，否则会导致冲突。且集群所在VPC下所有子网（包括扩展网段子网）不能和容器网段、服务网段冲突。 保证 每个网段有足够的IP地址可用 。 节点网段的IP地址要与集群规模相匹配，否则会因为IP地址不足导致无法创建节点。 容器网段的IP地址要与业务规模相匹配，否则会因为IP地址不足导致无法创建Pod。每个节点上可以创建多少Pod还与其他参数设置相关，具体请参见节点最多可以创建多少个 Pod。 例如集群规模为200节点，容器网络模型为VPC网络。 则此时选择节点子网的可用IP数量需要超过200，否则会因为IP地址不足导致无法创建节点。 容器网段为10.0.0.0/16，可用IP数量为65536，如容器IP地址管理中所述，VPC网络IP分配是分配固定大小的网段（使用掩码实现，确定每个节点最多分配多少容器IP），例如上限为128，则此时集群最多支撑65536/128512个节点，然后去掉Master节点数量，最终结果就是509个。 图 容器网段配置（创建集群时配置）

本节介绍了Windows弹性云主机中的cloudbaseinit帐户是什么的相关内容。 cloudbaseinit帐户是什么？ Windows弹性云主机中的cloudbaseinit帐户为CloudbaseInit代理程序的内置帐户，用于弹性云主机启动的时候获取元数据并执行相关配置。如果删除此帐户，会影响云管理平台的相关功能，建议您不要修改、删除此帐户。 说明 Linux弹性云主机中不存在该帐户。 如果自行修改、删除此帐户或者卸载CloudbaseInit代理程序，会导致由此弹性云主机创建的Windows私有镜像所生成的新云主机初始化的自定义信息注入失败。 cloudbaseinit帐户密码随机化安全加固说明 在cloudbaseinit 0.9.10版本中，对cloudbaseinit内置账户密码进行随机化安全加固，确保cloudbaseinit内置账户密码的HASH值（LMHASH和NTLMHASH值）不一致。 Windows系统下的HASH密码格式为：用户名称:RID:LMHASH值:NTHASH值， 例如：Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE9CC:::表示 用户名称为：Administrator RID为：500 LMHASH值为：C8825DB10F2590EAAAD3B435B51404EE NTHASH值为：683020925C5D8569C23AA724774CE9CC 验证：使用同一个镜像创建两个云主机（ecs01,ecs02），cloudbaseinit内置账户HASH值不同。 ecs01的cloudbaseinit内置账户LMHASH和NTLMHASH值如下所示。 图 ecs01 ecs02的cloudbaseinit内置账户LMHASH和NTLMHASH值如下所示。 图 ecs02

本文主要介绍流量镜像。 流量镜像 VPC流量镜像功能可以镜像弹性网卡符合筛选条件的报文。您需要设置入方向和出方向的筛选条件，经过弹性网卡的流量符合筛选条件时，将被镜像到指定的云服务器网卡或者弹性负载均衡ELB实例，适用于网络流量检查、审计分析以及问题定位等场景。 说明 流量镜像支持区域： 广东广州4，江苏苏州，上海上海4 注意 流量镜像功能当前暂不收费。待后续启动收费时，将会提前通知您。 流量镜像概念 首先，为您介绍流量镜像功能中的基础概念： 筛选条件：筛选条件包含入方向规则和出方向规则，规则由优先级、流量采集策略以及匹配条件组成。 入方向规则：用来匹配镜像源接收到的流量。 出方向规则：用来匹配镜像源发送出去的流量。 镜像源：镜像源为弹性网卡，表示需要镜像该弹性网卡的流量。 镜像目的：镜像目的为云服务器网卡或者弹性负载均衡实例，用来接受镜像的流量。 镜像会话：使用流量镜像功能，您需要创建镜像会话，通过在镜像会话中关联筛选条件、镜像源和镜像目的，将镜像源符合筛选条件的流量镜像到镜像目的实例。

天翼云为您提供弹性云主机产品服务协议说明,请您点击查看。 弹性云主机产品服务协议

天翼云为您提供弹性云主机用户使用手册,请您点击下载查看。 弹性云主机.pdf

天翼云为您提供弹性云主机服务等级协议说明,请您点击查看。 弹性云主机服务等级协议

本文主要介绍节点池检查 检查项内容 当前检查项包括以下内容： 检查节点池状态是否正常 检查节点池弹性伸缩能力是否关闭 解决方案 问题场景一：节点池状态异常 请登录CCE控制台，前往“集群信息>资源>节点管理>节点池”，查看问题节点池状态。若该节点池状态处于伸缩中，请等待节点池伸缩完毕，并参考问题场景二关闭节点池弹性伸缩能力。 问题场景二：节点池弹性伸缩能力未关闭 解决方案一（推荐） 请登录CCE控制台，前往“集群信息>运维>插件管理>autoscaler插件”处，卸载该插件。 、 说明 卸载autoscaler插件前，请单击“升级”按钮，备份当前插件配置，便于重装时还原插件配置。 卸载autoscaler插件前，请进入“运维>节点伸缩页面”，备份当前伸缩策略，便于重装时还原节点伸缩策略，这些策略会随autoscaler插件卸载而清除。 节点伸缩策略：通过编辑按钮获取并备份 解决方案二 若您并不希望卸载autoscaler插件，请登录CCE控制台，前往“集群信息>运维>节点管理>节点池”，单击对应节点池的“编辑”按钮，关闭弹性伸缩功能。 说明 关闭弹性伸缩时，请备份当前节点池弹性伸缩配置，便于开启时还原配置。

本文介绍弹性容器实例ECI的使用限制。 使用ECI实例之前需要您注意配额限制，详情可登录弹性容器实例控制台，在左侧导航栏中选择“权益配额”即可查看。

本文向您介绍NAT网关服务的产品功能。 公网NAT网关 公网NAT网关（Public NAT Gateway）能够为虚拟私有云内的云主机或者通过云专线/VPN接入虚拟私有云的本地数据中心的主机，提供网络地址转换服务。 公网NAT网关分为SNAT和DNAT两种规则。 SNAT功能通过绑定EIP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享EIP访问公网，从而节约EIP资源。 DNAT功能绑定EIP，通过IP映射或端口映射方式，实现VPC内跨可用区的多个云主机共享EIP为互联网提供服务。 私网NAT网关 私网NAT网关（Private NAT Gateway），能够为虚拟私有云内的云主机、物理机提供私网地址转换服务。您可以在私网NAT网关上配置SNAT、DNAT规则，可将源、目的网段地址转换为中转IP，通过使用中转IP实现VPC内的云主机与其他VPC、云下IDC互访。 私网NAT网关分为SNAT和DNAT两种规则。 SNAT功能通过绑定中转IP，可实现VPC内跨可用区的多个云主机共享中转IP，访问远端私网（本地数据中心或其他VPC）。 DNAT功能绑定中转IP，实现IP映射或端口映射方式，使VPC内跨可用区的多个云主机共享中转IP，为远端私网（本地数据中心/其他VPC）提供服务。

约束条件 带宽伸缩策略只有在“已启用”状态下且无正在执行中的伸缩活动时才可以立即执行。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择带宽伸缩策略所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在带宽伸缩策略列表中，单击待操作的策略所在行的“立即执行”按钮，即可触发带宽伸缩策略立即执行，调整带宽值。 删除带宽伸缩策略 约束条件 带宽伸缩策略只有无正在执行中的伸缩活动时才可以被删除。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择带宽伸缩策略所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在带宽伸缩策略列表中，单击待操作的策略所在行的“删除”按钮，可对不再需要的伸缩策略进行删除操作。

本页为您介绍数据迁移到天翼云DDS数据库的网络准备工作,并已适配阿里云MongoDB数据库迁入。 文档数据库有副本集、分片集群等不同的架构，在网络访问方面与其他数据库相比具有一定的差异性，在将本地自建的、其他云上的、天翼云不同资源池的、天翼云ECS自建的DDS/MongoDB数据库数据迁移到天翼云文档数据库DDS前，需要您重点关注网络方面的准备工作。 目前数据传输服务DTS支持通过"公网EIP"和“VPC网络”两种网络接入方式进行数据的迁移和同步。在订购DTS实例时，您可以根据源端和目标端数据库所在的位置决定采用哪种网络接入类型，当源库和目标库在天翼云同一个资源池时，网络接入类型请选用VPC网络，其他情况需要选用公网EIP的接入方式。采用“公网EIP”接入时，分片集群仅支持阿里云或自建 MongoDB数据库为源迁移入云。 数据库来源为公网IP 源端数据库 源端数据库只能通过输入IP地址、端口的方式进行访问。根据源端数据库架构的不同，分为如下2种情况： 源端为副本集架构 以源端为副本集标准三节点为例，数据库包含Primary、Secondary以及Hidden节点，在迁移过程中，为保证源端数据库高可用，需要给Primary和Secondary节点分别绑定不同的公网IP，此处绑定的公网IP在进入DTS实例配置源库目标库配置环节时，需要填写到源库的副本集IP地址中。为Primary和Secondary节点绑定公网IP的方法，具体可参考各数据库官方文档进行操作。 为天翼云DDS实例添加公网访问的白名单分组，并将DTS实例即将或已绑定的公网IP添加到允许访问的IP名单中（源端为其他云MongoDB实例时，请参考不同产品官网文档的指引进行配置，将DTS实例绑定的公网IP配置为可以访问源实例）。 在天翼云DDS实例所在的VPC中，配置VPC安全组，安全组中配置DTS实例绑定的公网IP。 源端为分片集群 当源端为分片集群架构时，DTS将会通过数据库的mongos IP地址和端口来访问源端数据库，通过shard接入信息生成子任务。 mongos IP地址和端口至少为1组，请为mongos绑定公网IP，此处绑定的公网IP在进入DTS实例配置源库目标库配置环节时，需要填写到源库的mongos节点IP地址中。 源库的shard接入信息可以为多组，每组为同一个分片下的多个IP:Port（这里的IP为公网IP），格式：IP和Port之间以英文冒号分隔，多组IP:Port之间用英文逗号隔开。可以提前查询对应的iP和端口信息，方便配置DTS实例时填写。 为天翼云DDS实例添加公网访问的白名单分组，并将DTS实例即将或已绑定的公网IP添加到允许访问的IP名单中（源端为其他云MongoDB实例时，请参考不同产品官网文档的指引进行配置，将DTS实例绑定的公网IP配置为可以访问源实例）。 在天翼云DDS实例所在的VPC中，配置VPC安全组，安全组中配置DTS实例绑定的公网IP。 注意 当通过公网EIP的方式接入，源端为分片集群时，当前仅支持将阿里云或自建 MongoDB分片集群迁移到天翼云；请在阿里云或自建 MongoDB shard节点绑定公网IP，具体操作可参考阿里云官网。

参数 参数类型 说明 示例 下级对象 ruleId Long 规则id 1099 ruleName String 规则名称 1099 ipProto String ip协议 v4 blackWhiteType String 黑白类型 BLACK addressDirection String 地址方向 dst ip String ip地址 127.0.0.1/20 mask Integer 掩码 32 blackWhiteDesc String 黑白名单描述 status Integer 规则开关 10 ipBeginNum String ip的开始数字形式 127.0.0.1/20 ipEndNum String ip的结束数字形式 127.0.0.1/20 privateIps String 私网ips 192.168.1.1/24 ipGroupId Integer ip地址组 11 ipGroupName String ip地址组 562b89493b1a40e1b97ea05e50dd8170

参数 参数类型 说明 示例 下级对象 ruleId Long 规则id 1099 ruleName String 规则名称 1099 ipProto String ip协议 v4 blackWhiteType String 黑白类型 BLACK addressDirection String 地址方向 dst ip String ip地址 127.0.0.1/20 mask Integer 掩码 32 blackWhiteDesc String 黑白名单描述 status Integer 规则开关 10 ipBeginNum String ip的开始数字形式 127.0.0.1/20 ipEndNum String ip的结束数字形式 127.0.0.1/20 privateIps String 私网ips 192.168.1.1/24 ipGroupId Integer ip地址组 11 ipGroupName String ip地址组 562b89493b1a40e1b97ea05e50dd8170

本节包含磁盘增强型弹性云主机D6的概述、使用须知、使用场景等内容。 概述 D6搭载第二代英特尔® 至强® 可扩展处理器，计算性能强劲稳定，提供1:4的vCPU和内存比实例。配套自研25GE智能高速网卡，提供超高网络带宽和PPS收发包能力；配套有本地SATA盘，单盘提升到3600GiB，最大支持36 × 3600GiB本地盘容量。 使用须知 1.当前支持如下版本的操作系统（最终以控制台展示的信息为准）： CentOS 6.3/6.4/6.5/6.6/6.7/6.8/6.9/6.10/7.0/7.1/7.2/7.3/7.4/7.5/7.6/8.0 64bit SUSE Enterprise Linux Server 11 SP3/SP4 64bit SUSE Enterprise Linux Server 12 SP1/SP2/SP3/SP4 64bit Red Hat Enterprise Linux 6.4/6.5/6.6/6.7/6.8/6.9/6.10/7.0/7.1/7.2/7.3/7.4/7.5/7.6/8.0 64bit Windows Server 2008 R2 Enterprise 64bit Windows Server 2012 R2 Standard 64bit Windows Server 2016 Standard 64bit Debian 8.1.0/8.2.0/8.4.0/8.5.0/8.6.0/8.7.0/8.8.0/9.0.0 64bit EulerOS 2.2/2.3/2.5/2.9 64bit Fedora 22/23/24/25/26/27/28 64bit OpenSUSE 13.2/15.0/15.1/42.2/42.3 64bit 2.D6型弹性云主机所在的物理机发生故障时，不支持弹性云主机的迁移。部分宿主机硬件故障或亚健康场景，需要用户配合关闭ECS完成宿主机硬件维修动作。 因系统维护或硬件故障等，HA重新部署ECS实例后，实例会冷迁移到其他宿主机，本地盘数据不保留。 3.不支持规格变更。 4.不支持本地盘的快照和备份。 5.可使用本地盘和云硬盘两类磁盘存储数据，通过挂载云硬盘，可以提供更大的存储空间。关于本地盘和云硬盘的使用，有如下约束与限制： 系统盘只能部署在云硬盘上，不可以部署在本地盘上。 数据盘可以部署在云硬盘和本地盘上。 最多可以挂载60块盘（包括VBD盘+SCSI盘+本地盘），其中，SCSI盘最多只能挂载30块，VBD盘最多只能挂载24块（含系统盘），详情请参见一台弹性云主机可以挂载多块磁盘吗。 说明 对于已创建的D6型云主机，最多可以挂载的磁盘数保持原配额。 6.您可以通过配置fstab文件，设置云主机系统启动时自动挂载磁盘分区。具体操作请参见设置开机自动挂载磁盘分区。 7.D6型弹性云主机的本地磁盘数据有丢失的风险（比如宿主机宕机或本地磁盘损坏时），如果您的应用不能做到数据可靠性的架构，我们强烈建议您使用云盘搭建您的弹性云主机。 8.删除D6型弹性云主机时，本地盘中的数据会被自动清除，请提前做好数据备份。删除本地盘数据的时间较长，因此，资源释放的时间较之常规云主机略长。 9.请勿在本地磁盘上存储需要长期保存的业务数据，并及时做好数据备份和采用高可用架构。如需长期保存，建议将数据存储在云硬盘上。 10.您不能单独购买本地盘，本地盘的数量和容量由您选择的弹性云主机规格决定，只能在创建D6型弹性云主机的同时购买本地盘。

本节主要介绍云上ECS如何通过内网访问OBS。 场景介绍 一般情况下，用户会通过OBS提供的桶访问域名（例如 某企业基于弹性云主机（CTECS，Elastic Cloud Server）构建好基础的业务后，随着数据增长，硬盘已无法满足大量的图片、视频等数据存取需求。了解到天翼云提供有海量、弹性的云存储服务OBS后，决定将OBS作为数据存储资源池，以减轻服务器负担。 在ECS上可以通过公网和天翼云内网两种网络访问OBS。当有存取对象数据的需求时，公网方式响应速度会因为网络质量而受到影响，读取数据还将收取一定的流量费用。为最大化的优化性能、节省开支，企业管理者希望通过内网的方式访问OBS。 说明 当通过内网访问OBS时，需要确保待访问的OBS资源与ECS属于同一个区域，如果不属于同一个区域，将采用公网访问。 方案介绍 在已搭建的ECS上通过配置内网DNS，由内网DNS解析OBS域名，即可实现在ECS上经由内网访问OBS。访问过程示意图如所示。 示意图中的各服务说明如下： 服务 说明 :: 虚拟私有云（CTVPC） VPC主要负责为ECS构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 子网是VPC中用来为ECS提供IP地址管理、DNS服务的一个网络，子网内ECS的IP地址都属于该子网。 内网DNS （CTIDNS） 内网DNS，提供VPC内的安全、全面、高性能的域名解析功能。可直接响应内网域名的解析请求，快速高效，有效防护劫持，简化域名解析流程，减少因访问公网产生的流量费用。 对于Windows ECS，推荐使用OBS Browser+工具，实现内网访问OBS的目的；对于Linux ECS，推荐使用obsutil工具，实现内网访问OBS的目的. 当在ECS上通过内网访问OBS时，即可在内网进行数据读取、备份归档等业务，而不影响外网带宽。

参数 说明 权限 ACL 策略的操作权限分为两类：允许和拒绝。 若只设置允许规则，则除允许的规则外的其他IP或网段都无法连接实例。 若只设置拒绝规则，则除拒绝的规则外的其他IP或网段需要设置了允许规则后才可以连接实例。 若同时设置允许规则和拒绝规则，则只有允许规则中的IP或网段可以连接实例，其他IP或网段都无法连接实例。 用户 选择需要设置权限的用户。 IP或网段 填写需要设置权限的 IP 或网段，用 ; 隔开，若 IP 为空，则默认为全部 IP 添加权限。 操作 选择策略生效的动作，即向 Topic 生产或消费消息。 自动应用后续所有新增topic 开启后，后续页面上创建的Topic会自动关联此规则，多个策略只允许一条策略开启。

天翼云为您提供弹性负载均衡服务等级协议,请您点击查看。 天翼云弹性负载均衡服务等级协议

权限 授权项 权限类型（读/写） 权限描述 安全体检管理者admin 安全体检查看者viewer 编辑试用记录 ctnsc:trialRecord:edit 写 编辑试用记录 √ × 查询试用记录 ctnsc:trialRecord:query 读 试用记录分页查询 √ √ 保存试用资源 ctnsc:trialResource:add 写 保存使用资源 √ × 查询安全体检报告 ctnsc:report:query 读 查询安全体检报告数据 √ √ 下载安全体检报告 ctnsc:report:download 读 下载安全体检报告 √ √ 创建安全体检任务 ctnsc:checkupTask:add 写 创建体检任务 √ × 查询安全体检任务 ctnsc:checkupTask:query 读 查询安全体检任务列表 √ √ 通知移除通知人 ctnsc:noticeReceiver:delete 写 通知移除通知人 √ × 通知查询分组 ctnsc:noticeGroup:query 读 通知查询分组 √ √ 通知添加通知人 ctnsc:noticeReceiver:add 写 通知添加通知人 √ × 通知查询通知人 ctnsc:noticeReceiver:query 读 通知查询通知人 √ √ 查询用户IP ctnsc:userIp:query 读 查询用户IP √ √ 体检IP连通性验证 ctnsc:checkupIp:ping 读 体检IP连通性验证 √ √ 删除体检IP ctnsc:checkupIp:delete 写 删除体检IP √ × 添加体检IP ctnsc:checkupIp:add 写 添加体检IP √ × 查询体检IP ctnsc:checkupIp:query 读 查询体检IP √ √ 查询用户资源 ctnsc:userResource:query 读 查询用户资源 √ √

本文介绍远程登录忘记密码怎么办 如忘记登录密码，可通过 “ 重置密码 ” 功能设置新密码。 您可以通过弹性云主机控制台重置密码，点击更多重置密码更改密码，使用新密码再进行登录。具体操作步骤如下： 1. 打开弹性云主机控制台页面。 2. 选择您需要重置密码的弹性云主机，点击“更多”按钮。 3. 在弹出的下拉菜单中，选择“重置密码”选项。 4. 在弹出的重置密码窗口中，您需要输入一个新的密码，并确认一遍输入正确的密码。请注意密码的规则为8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@$%^&+{}[]:;'<>,.?/ 中的特殊符号）,且不能以斜线号（/）开头，不能包含连续字符。 5. 点击“确定”按钮，系统会提示您重置密码成功。 6. 使用新密码登录弹性云主机控制台，进行后续操作。 更多可以参考在控制台重置密码。

本文将介绍弹性伸缩的具体使用流程。 弹性伸缩服务是根据您的业务需求，通过策略自动调整其弹性计算资源的一种管理服务。该服务能够根据预设规则自动调整伸缩组内的云主机数量，弹性伸缩服务的主要使用流程如下图： 1. 准备工作：首先进行准备工作，注册天翼云，确保账户余额，具体流程参见准备工作。 2. 创建伸缩组：创建弹性伸缩首先需要创建伸缩组，伸缩组是具有相同属性和应用场景的云主机实例和伸缩策略的集合。创建伸缩组的基本信息，包括配置最大实例数、最小实例数和关联的负载均衡服务等，具体操作请参见创建伸缩组。 3. 创建伸缩配置：在创建完伸缩组后，可以创建伸缩配置，伸缩配置即伸缩活动中添加的云主机的规格。通常为一个伸缩组内添加云主机实例规格的配置模板，包括云主机的类型、vCPU、内存等。一个伸缩组支持创建一个伸缩配置。具体操作请参见创建伸缩配置。 4. 确认伸缩启用状态：在创建伸缩策略之前，需要确认伸缩组是否处于启用状态，只有伸缩组启用状态为“已启用” 的伸缩组，系统才会监控该伸缩组的伸缩策略，才可能触发伸缩活动。伸缩组创建成功后，状态默认为“已启用”。仅当伸缩组状态为“已停用”才可以启用伸缩组。具体操作步骤请参见启用伸缩组。 5. 创建伸缩策略：确认伸缩组为启用状态，用户可以创建伸缩策略。天翼云弹性伸缩服务支持创建6种策略，分别为告警策略、定时策略、周期策略、目标追踪策略、智能预测策略、简单策略，可以根据业务实际需求来创建对应的策略。具体操作请参见创建伸缩策略。

本章节会介绍如何通过弹性云主机通过内网连接数据库实例。 前提条件 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 登录弹性云主机 通过弹性云主机连接关系型数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC、子网内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全组， 则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考步骤二：设置安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 使用客户端连接实例 您可以在Linux操作系统和Windows操作系统中，使用数据库客户端连接RDS实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本应该高于已创建的RDS实例中数据库版本。 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 使用MySQLFront连接实例 步骤 1. 启动MySQLFront客户端。 步骤 2.在连接管理对话框中，单击“新建”。 图 连接管理 步骤 3 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图 添加信息 表 参数说明 参数 说明 :: 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 1. 登录关系型数据库服务的管理控制台。 2. 选择目标实例所在区域。 3. 单击目标实例名称，进入“基本信息”页面。 4. 在“连接信息”模块，可查看“内网地址”信息。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4.在“连接管理”窗口，选中步骤3创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图 打开登录信息

本节包含了弹性云主机的产品个人信息保护声明。 弹性云主机产品个人信息保护声明，详情请参见这里。