参数 参数类型 说明 示例 下级对象 ipProtectCount Integer eip已防护数量 ipUnProtectCount Integer eip未防护数量 natProtectCount Integer nat已防护数量 natUnProtectCount Integer nat未防护数量 vpcPeerProtectCount Integer 对等连接已防护数量 vpcPeerUnProtectCount Integer 对等连接未防护数量 cdaProtectCount Integer 云专线已防护数量 cdaUnProtectCount Integer 云专线未防护数量 ecProtectCount Integer 云间高速已防护数量 ecUnProtectCOunt Integer 云间高速未防护数量

本文详细介绍零信任办公组网服务计费模式资费。 零信任办公组网适用场景 零信任办公组网即多个办公场地/服务器进行网络互连互通，为了满足企业或办公场所的网络需求，将各种网络设备（如路由器、交换机、无线接入点等）进行合理配置和连接，构建一个稳定、高效、安全的计算机网络系统，以实现不同分支机构办公设备之间的互联互通、资源共享等。 通过购买“网络服务办公组网”来提供办公组网能力。 零信任办公组网计费概述 套餐标准资费 注意 1、办公组网不支持官网开通香港、亚太、美洲、欧洲、中东非的区域带宽，请联系您的客户经理或者 2、办公组网默认采用连接器双向互联进行办公，如需客户端连接内网，需同时订购零信任套餐。详见 3、连接器可使用帐号认证方式实现安全连接，办公组网默认赠送10个帐号，若需增加，可订购零信任套餐进行扩展。 计费模式：包周期 计费区域：中国内地、香港、亚太、美洲、欧洲、中东非 计费周期：按月结算。 折扣规则：详细见零信任网络服务折扣说明。 【计费项说明】 计费方式 描述 说明 网络服务办公组网区域带宽 按照购买的套餐使用量进行计费 详见[零信任网络服务计费概述](

本文为您介绍如何创建VPN自定义权限策略。 如果系统预置的VPN权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：《统一身份认证服务用户指南》的“创建自定义策略”章节。本章为您介绍常用的VPN自定义策略样例。 VPN自定义策略样例 示例1：授权用户删除VPN网关 plaintext { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "vpn:vpnGateways:delete" ] } ] } 示例2：拒绝用户删除VPN连接 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予VPN FullAccess的系统策略，但不希望用户拥有VPN FullAccess中定义的删除VPN连接权限，您可以创建一条拒绝删除VPN连接的自定义策略，然后同时将VPN FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对VPN执行除了删除VPN连接外的所有操作。拒绝策略示例如下： plaintext { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "vpn:vpnGateways:delete" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： plaintext { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "vpn:vpnGateways:create", "vpn:vpnConnections:create", "vpn:customerGateways:create" ] }, { "Effect": "Deny", "Action": [ "vpn:vpnGateways:delete", "vpn:vpnConnections:delete", "vpn:customerGateways:create" ] }, { "Effect": "Allow", "Action": [ "vpc:vpcs:list", "vpc:subnets:get" ] } ] }

本章介绍使用同一VPC内弹性云主机ECS上的go Redis客户端连接Redis实例的方法。 介绍使用同一VPC内弹性云主机ECS上的go Redis客户端连接Redis实例的方法。更多的客户端的使用方法请参考Redis客户端。 前提条件 已成功申请Redis实例，且状态为“运行中”。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》。 操作步骤 步骤 1 查看并获取待连接Redis实例的IP地址和端口。 具体步骤请参见查看实例信息。 步骤 2 登录弹性云主机。 弹性云主机操作系统，这里以Window为例。 步骤 3 在弹性云主机安装VS 2017社区版。 步骤 4 启动VS 2017，新建一个工程，工程名自定义，这里设置为“redisdemo”。 步骤 5 导入goredis的依赖包，在终端输入 go get github.com/goredis/redis 。 终端输入 步骤 6 编写如下代码： package main import ( "fmt" "github.com/goredis/redis" ) func main() { // 单机 rdb : redis.NewClient(&redis.Options{ Addr: "host:port", Password: "", // no password set DB: 0, // use default DB }) val, err : rdb.Get("key").Result() if err ! nil { if err redis.Nil { fmt.Println("key does not exists") return } panic(err) } fmt.Println(val) //集群 rdbCluster : redis.NewClusterClient(&redis.ClusterOptions{ Addrs: []string{"host:port"}, Password: "", }) val1, err1 : rdbCluster.Get("key").Result() if err1 ! nil { if err redis.Nil { fmt.Println("key does not exists") return } panic(err) } fmt.Println(val1) } 其中，host:port分别为Redis实例的IP地址以及端口。IP地址和端口获取见步骤1，请按实际情况修改后执行。为创建Redis实例时自定义的密码，请按实际情况修改后执行。 步骤 7 执行go build o test main.go 命令进行打包，如打包名为test可执行文件。 注意 若打包后需要在Linux系统下运行则需要在打包前设置： set GOARCHamd64 set GOOSlinux 步骤 8 执行./test连接实例。

名词 说明 子网（subnet）是指在一个大的网络范围内，为了更好地进行资源管理，而将网络划分成的小型网络。每个子网有一个唯一的IP地址序列，可用于分配给该子网中的主机和其他网络设备。子网是虚拟私有云中的一个IP地址段，虚拟私有云中的所有资源都必须部署在子网上。 可用区资源池：路由表用于控制虚拟私有云的流量走向，路由表分为默认路由表和自定义路由表两种类型。默认路由表随着VPC自动创建，所有新建子网与默认路由表关联，不能创建也不能删除默认路由表，但可以在默认路由表中创建自定义路由规则。地域资源池：分为VPC级路由表和子网级路由表，VPC级路由表用于控制整个VPC粒度的网络流量，子网路由表和子网关联后用于控制子网粒度的网络流量。 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的一个内网IP地址，没有分配给真实弹性云主机网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云主机。您可以通过将虚拟IP与主备弹性云主机绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的弹性云主机、物理机提供安全访问策略。安全组创建后，用户可以根据业务需求自定义防护规则，当弹性云主机、物理机加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的流量防护规则，您可以自定义配置网络ACL规则，并将网络ACL与子网关联，通过出方向/入方向规则管理出入子网的流量，实现对子网中云服务器实例流量的访问控制。安全组对云主机、物理机等实例进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 流量镜像（Traffic Mirror）功能可以将网络流量从一个或多个源端口复制到一个目标端口，以便进行分析、监控和调试。流量镜像主要是复制网卡上的流量并筛选出符合条件的报文，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击和优化网络性能。 IPv4网关是连接虚拟私有云和公网的网络组件。虚拟私有云访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。对于地域资源池，没有IPv4网关产品概念。 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。弹性网卡可以灵活的绑定/解绑云服务器，实现云服务器和网络的解耦。 NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云内的计算实例提供网络地址转换，天翼云NAT网关分为SNAT和DNAT两个功能，通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。 对等连接（VPC Peering Connection）是指两个同一区域内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一区域内其他帐号的VPC之间创建对等连接。 VPC终端节点（VPC Endpoint，CTVPCEP）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。

本章节内容主要介绍开发规范 数据库连接 使用DDS时，可能会遇到因为 Mongod/Mongos 连接数用满了，导致客户端无法连接的问题。在Mongod/Mongos的服务端，收到一个新的连接由一个单独的线程来处理，每个线程配置了1MB的栈空间，当网络连接数太多时，过多的线程会导致上下文切换开销变大，同时内存开销也会上涨。 客户端连接数据库的时候，要计算业务一共有多少个客户端，每个客户端配置的连接池大小是多少，总的连接数不要超过当前实例能承受的最大连接数的80%。 对于副本集，客户端需要同时配置主备节点的IP地址, 对于集群，至少配置两个mongos的IP地址。 DDS默认提供rwuser用户，使用rwuser用户登录时认证库必须是admin。 可靠性 write concern设置规则：对于关键业务，write concern设置为{w:n},n>0，数字越大，一致性实现更好，但性能较差。 w:1表示实际写入主节点完成返回。 w:1,journal:true表示写主节点和日志后返回。 w:majority表示大多数备节点写入后返回。 对于可靠性有较高要求的，建议采用3az部署的集群。 性能相关 规范 业务程序禁止执行全表扫描的查询。 执行查询时，只选择需要返回的字段，不需要的字段不要返回。从而减少网络和进程处理的负载，修改数据时，只修改变化需要修改的字段，不要整个对象直接存储全部修改。 避免使用not。DDS并不会对缺失的数据进行索引，因此not的查询条件将会要求在一个结果集中扫描所有记录。如果$not是唯一的查询条件，会对集合执行全表扫描。 用and时把匹配最少结果的条件放在最前面，用or时把匹配最多结果的条件放在最前面。 单个实例中，数据库的总的个数不要超过200个，总的集合个数不要超过500个。 业务上线前，一定要对数据库进行性能压测，评估业务峰值场景下，对数据库的负载情况 禁止同时执行大量并发事务，且长时间不提交。 业务正式上线前， 所有的查询类别，都应该先执行查询计划检查查询性能 建议： 每个连接在后台都是由一个单独线程处理，每个线程会分配1MB的栈内存。所以连接数不宜过多，否则会占用过多的内存。 使用连接池，避免频繁的建立连接和断开连接，否则会导致CPU过高。 减少磁盘读写：避免使用不必要的upsert命令，避免查询不必要的数据。 优化数据分布：对数据进行分片，同时分散热点数据，均衡地使用实例资源。 减少锁冲突：避免对同一个Key，过频繁地操作。 减少锁等待：避免前台创建索引。 注意： 开发过程中对集合的每一个操作都要通过执行explain()检查其执行计划，如： db.TDeviceData.find({"deviceId":"ae4b5769896f"}).explain(); db.TDeviceData.find({"deviceId":"77557c231b4"}).explain("executionStats"); 对于查询而言，因为覆盖查询不需要读取文档，而是直接从索引中返回结果，这样的查询性能好，所以尽可能使用索引覆盖查询。如果explain()的输出显示indexOnly字段为真，则说明这个查询就被一个索引覆盖。 执行计划解析： 看执行时间：executionStats.executionStages.executionTimeMillisEstimate和executionStats.executionStages.inputStage. executionTimeMillisEstimate时间越短越好。 − executionStats.executionTimeMillis表示执行计划选择和执行的所有时间。 − executionStats.executionStages.executionTimeMillisEstimate表示最优执行计划的执行完成时间。 − executionStats.executionStages.inputStage. executionTimeMillisEstimate表示最优执行计划下的子阶段执行完成时间。 看扫描条数：三个条目数相同为最佳。 − executionStats. nReturned表示匹配查询条件的文档数。 − executionStats .totalKeysExamined表示索引扫描条目数。 − executionStats .totalDocsExamined表示文档扫描条目数。 看Stage状态，性能较好的Stage状态组合如下。 − Fetch+IDHACK − Fetch+ixscan − Limit+（Fetch+ixscan） − PROJECTION+ixscan 表 状态说明 状态名称 描述 COLLSCAN 全表扫描 SORT 内存中进行排序 IDHACK 根据id进行查询 TEXT 全文索引 COUNTSCAN 未用索引计数 FETCH 索引扫描 LIMIT 使用Limit限制返回数 SUBPLA 未用索引的$or查询阶段 PROJECTION 限定返回字段时stage的返回 COUNTSCAN 使用索引计数 Cursor使用规则 如果cursor不使用了要立即关闭。由于cursor在10分钟内不活动，就会关闭，立即手动关闭会节省资源。 4.2版本分布式事务使用规则 Spring Data MongoDB不支持事务报错后重试机制，如果客户端使用Spring Data Mongo作为连接MongoDB的客户端，需要依照Spring Data Mongo的参考文件，使用Spring Retry进行事务的重试操作。 分布式事务操作数据的大小不能超过16MB。

NAT流量防护规则 1. 开启NAT流量防护，请参见“开启NAT网关流量防护”。 2. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”页面。 3. 添加新的防护规则。 单击“添加”，在弹出的“添加防护规则”中，填写新的防护信息。 DNAT场景填写规则请参见下表 参数名称 参数说明 规则类型 选择NAT规则： 防护NAT网关的流量，支持配置私网IP。 说明 NAT规则需满足： “专业版”防火墙。 已配置VPC边界防火墙。 名称 自定义安全策略规则的名称。 方向 选择“DNAT”。 源 设置会话发起方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见“添加自定义IP地址组和IP地址”。 地域：支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 Any：任意源地址。 目的 设置会话接收方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见《云防火墙用户指南》中《添加IP地址组》。 Any：任意目的地址。 服务 服务：设置协议类型、源端口和目的端口。 协议类型：支持选择TCP、UDP、ICMP。 源/目的端口：“协议类型”选择“TCP”或“UDP”时，需要设置端口号。 说明 如您需设置该IP地址的全部端口，可配置“端口”为“165535”。 如您需设置某个端口，可填写为单个端口。例如设置22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“”隔开。例如设置80443端口的访问，则配置“端口”为“80443”。 服务组：支持多个服务（协议、源端口、目的端口）的集合，添加自定义服务组请参见“添加自定义服务组和服务”，预定义服务组请参见“查看预定义服务组”。 Any：任意协议类型和端口号。 防护动作 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 启用状态 设置该策略是否立即启用。 ：表示立即启用，规则生效。 ：表示立即关闭，规则不生效。 策略优先级 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 说明 设置后，优先级数字越小，策略的优先级越高。 添加的第一条防护规则默认优先级是1，无需选择“策略优先级”。 时间计划管理 （可选）单击“时间计划管理”设置规则的生效时间段，选择已设置的时间计划或“新增时间计划”。 配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时，可配置业务会话老化时间。 是：设置长连接时长。 否：保留默认时长，各协议规则默认支持的连接时长如下： TCP协议：1800s。 UDP协议：60s。 说明 最大支持50条规则设置长连接。 长连接时长 “配置长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。 标签 （可选）用于标识规则，可通过标签实现对安全策略的分类和搜索。 描述 （可选）标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 SNAT场景填写规则请参见下表 参数名称 参数说明 规则类型 选择NAT规则： 防护NAT网关的流量，支持配置私网IP。 说明 NAT规则需满足： “专业版”防火墙。 已配置VPC边界防火墙。 名称 自定义安全策略规则的名称。 方向 选择“SNAT”。 源 设置会话发起方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见“添加自定义IP地址组和IP地址”。 地域：支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 Any：任意源地址。 目的 设置会话接收方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见“添加自定义IP地址组和IP地址”。 地域：支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 Any：任意目的地址。 服务 服务：设置协议类型、源端口和目的端口。 协议类型：支持选择TCP、UDP、ICMP。 源/目的端口：“协议类型”选择“TCP”或“UDP”时，需要设置端口号。 说明 如您需设置该IP地址的全部端口，可配置“端口”为“165535”。 如您需设置某个端口，可填写为单个端口。例如设置22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“”隔开。例如设置80443端口的访问，则配置“端口”为“80443”。 服务组：支持多个服务（协议、源端口、目的端口）的集合，添加自定义服务组请参见“添加自定义服务组和服务”，预定义服务组请参见“查看预定义服务组”。 Any：任意协议类型和端口号。 防护动作 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 启用状态 设置该策略是否立即启用。 ：表示立即启用，规则生效。 ：表示立即关闭，规则不生效。 策略优先级 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 说明 设置后，优先级数字越小，策略的优先级越高。 添加的第一条防护规则默认优先级是1，无需选择“策略优先级”。 配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时，可配置业务会话老化时间。 是：设置长连接时长。 否：保留默认时长，各协议规则默认支持的连接时长如下： TCP协议：1800s。 UDP协议：60s。 说明 最大支持50条规则设置长连接。 长连接时长 “配置长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。 标签 （可选）用于标识规则，可通过标签实现对安全策略的分类和搜索。 描述 （可选）标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 4. 单击“确认”，完成配置防护规则。 说明 访问控制策略默认状态为放行。

下一跳类型 说明 云主机 将流量转发至VPC内的一台云主机实例的主网卡。 物理机 将流量转发至VPC内的一台物理机实例。 弹性网卡 将流量转发至指定的辅助弹性网卡。 虚拟IP 将流量转发至虚拟IP。 对等连接网关 将流量转发至VPC对等连接。 IPv4网关 将流量转发至指定的IPv4网关；云主机绑定弹性IP后需要配置此路由才能访问公网。 NAT网关 将流量转发至指定的NAT网关；配置此路由后，才能通过NAT网关做SNAT访问公网或者DNAT被公网访问时。 专线网关 将流量转发至专线网关，以此实现VPC和客户侧IDC通过专线网关互通；配置完成专线连接后，会自动同步目的地址为IDC侧cidr 下一跳为专线网关的路由规则到默认路由表；不允许在默认路由表手动创建指向专线网关的路由规则。 VPN网关 将流量转发至VPN网关，以此实现VPC和客户侧IDC的通过VPN网关互通；配置完成VPN连接后，会自动同步目的地址为IDC侧cidr 下一跳为VPN网关的路由规则到默认路由表；不允许在默认路由表手动创建指向VPN网关的路由规则。 云间高速网关 将流量转发至云间高速网关；配置完云间高速后，会自动同步目的地址下一跳为云间高速网关的路由规则到默认路由表；不允许在默认路由表手动创建指向云间高速网关的路由规则。

导出对账作业 系统支持批量导出对账作业，一次最多可导出200个对账作业。 1.选择“数据质量监控 > 对账作业”，选择要导出的对账作业。 2.单击“导出”，弹出“导出对账作业”对话框。 3.单击“导出”，切换到“导出记录”页签。 4.在导出文件列表中，单击最新导出文件对应的“下载”，可将质量作业的Excel表格下载到本地。 导入对账作业 系统支持批量导入对账作业，一次最大可导入1M数据的文件，并且最多200个对账作业。 1.选择“数据质量“监控” > 对账作业”，单击“导入”，弹出“导入对账作业”对话框。 2.在“导入配置”页签，选择模板名称重名策略。 终止：如果对账作业名称有重复，则全部导入失败。 跳过：如果对账作业名称有重复，会忽略后继续导入。 覆盖：如果对账作业名称有重复，会覆盖现有同名作业。 3.单击“上传文件”，选择准备好的数据文件。 说明 可通过如下两种方式填写数据文件： (推荐使用)通过“导出”功能，可将数据直接/或修改后批量导入系统。 通过“下载Excel模板”，将数据填写好，再导入至系统中。 4.分别配置数据连接、集群、目录、主题、的映射资源信息。单击“导入”，将填好的Excel表格模板导入到系统。 数据连接：选择导入后的数据连接类型。 集群：如果数据连接类型是DLI，需要选择对应的队列。 目录：选择导入后的对账作业存储目录。 主题：如果配置了消息通知，需要选择主题。 5.单击“导入记录页签”，可查看对应的导入记录。

本文带您了解VPC终端节点服务有关的概念。 终端节点服务（Endpoint Service） 终端节点服务是可以被其他VPC通过创建终端节点建立内网连接的服务。终端节点服务由服务提供方创建和管理。 服务白名单（Service Whitelist） 服务白名单可以控制允许访问服务资源的用户范围。创建终端节点服务后，系统自动将服务所有者的天翼云账号ID添加到服务白名单中。服务白名单中的用户可以查询到该终端节点服务，也可以创建与该终端节点服务连接的终端节点。如果您希望其他账号下的VPC访问服务，您需要将该天翼云账号ID添加到服务白名单中。 服务后端资源（Service Resources） 终端节点服务后端挂载的服务资源，实际部署开放的服务应用系统，可支持负载均衡，VIP，云主机和物理机等多种类型服务资源。 终端节点（Endpoint） 终端节点可以与终端节点服务相关联，以建立VPC通过内网访问外部服务的网络连接。终端节点由服务使用方创建和管理。根据终端节点连接的服务类型，可分为“接口”型和“反向”型。 终端节点访问控制（Endpoint Access Control List） 终端节点的访问控制能力，可以通过访问白名单方式，控制可通过终端节点访问服务的源主机信息。

3. 安全设置 连接安全性：该设置决定服务器连接是否加密。无：不加密；SSL/TLS：加密（推荐）；STARTTLS：连接以不加密开始，如果服务器支持，那么尝试加密。 验证方式：该设置是认证连接账号的方式。邮箱账户提供商会决定使用何种方式进行认证，您可以登录邮箱服务器端查看。 4. 完成以上邮箱配置即登录成功 验证过程可能会持续1分钟左右，当出现“尝试常用服务器名称后找到配置”即完成账密及服务器验证，点击“完成”即登录成功。 说明 IMAP和POP有什么区别？ POP允许电子邮件客户端下载服务器上的邮件，但是您在电子邮件客户端的移动邮件、标记已读、删除邮件等操作，是不会反馈到服务器上的。比如：您通过AOneMail客户端收取了邮箱中的5封邮件并移动到了其他文件夹，这些移动动作是不会反馈到服务器上的，也就是说，邮箱服务器上的这些邮件是没有同时被移动的。 但是IMAP就不同了，电子邮件客户端的操作都会反馈到服务器上，您对邮件进行的移动邮件、标记已读、删除邮件等操作服务器上的邮件也会做相应的动作。即，IMAP是“双向”的。 同时，IMAP可以只下载邮件的主题，只有当您真正需要的时候，才会下载邮件的所有内容。

计费规则 计费特性 规则 计费周期 在一个计费周期内，不足1小时，按1小时计算。 优惠抵扣规则 当天翼云账号（主账号）中有多个地域的物理专线资源时，出方向流量免费额度根据资源购买先后顺序抵扣。 出方向流量费价格 下表中，出方向流量费的实际价格以账单为准。 计费项 产生出方向流量的区域 标准价格（元/GB） 出方向流量费 中国大陆 0.08 说明 流量的单位换算进制为1024，即：1TB1024GB，1GB1024MB（BByte）。 上云预连接 产品组成 上云预连接由物理线路、云端口组成，云端口产生的流量不涉及专线网关出方向流量费。该产品为用户提供端到端的上云接入方案，实现用户IDC机房与天翼云资源池的互联互通。 说明 上云预连接默认不开放，如需使用，请联系您的客户经理申请权限和报价。同时，可作为SDWAN最后一公里承载能力。 计费规则 计费项 计费说明 开通带宽 物理线路和云端口的带宽，用户根据业务规模选择需要开通的带宽。 开通等级 分为13级和轻量版等级，客户经理根据用户IDC地址、接入的天翼云资源池和物理专线类型来为用户选择适配的等级。 实施服务 分为15级和轻量版人工等级，客户经理根据用户IDC地址、接入的天翼云资源池和物理专线类型来为用户选择适配的等级。 说明 一个上云预连接仅包含一条线路和一个云端口。

计费规则 计费特性 规则 计费周期 在一个计费周期内，不足1小时，按1小时计算。 优惠抵扣规则 当天翼云账号（主账号）中有多个地域的物理专线资源时，出方向流量免费额度根据资源购买先后顺序抵扣。 出方向流量费价格 下表中，出方向流量费的实际价格以账单为准。 计费项 产生出方向流量的区域 标准价格（元/GB） 出方向流量费 中国大陆 0.08 说明 流量的单位换算进制为1024，即：1TB1024GB，1GB1024MB（BByte）。 上云预连接 产品组成 上云预连接由物理线路、云端口组成，云端口产生的流量不涉及专线网关出方向流量费。该产品为用户提供端到端的上云接入方案，实现用户IDC机房与天翼云资源池的互联互通。 说明 上云预连接默认不开放，如需使用，请联系您的客户经理申请权限和报价。同时，可作为SDWAN最后一公里承载能力。 计费规则 计费项 计费说明 开通带宽 物理线路和云端口的带宽，用户根据业务规模选择需要开通的带宽。 开通等级 分为13级和轻量版等级，客户经理根据用户IDC地址、接入的天翼云资源池和物理专线类型来为用户选择适配的等级。 实施服务 分为15级和轻量版人工等级，客户经理根据用户IDC地址、接入的天翼云资源池和物理专线类型来为用户选择适配的等级。 说明 一个上云预连接仅包含一条线路和一个云端口。

本小节介绍服务器安全卫士Agent安装 Linux 版本安装。 步骤 1：选择操作系统 选择 Linux 操作系统时，环境需求如下图所示： 支持主流 64 位 Linux 版本： Oracle：5、6、7 RHEL：5、6、7 CentOS：5、6、7、8 Ubuntu：1019 SUSE：915 Debian：6、7、8、9、10 OpenSUSE：1015 NeoKylin（中标麒麟）：6、7 YHKylin（银河麒麟）：4 Redflag（红旗）：9 Deepin（深之度）：15 iSoft（普华）：4 系统安装 Curl 程序，且版本不低于 7.10；（Curl 为下载器） 系统启动 Cron 定时任务服务 openssl 版本不低于 0.9.8o 直连主机的防火墙需确保可与青藤服务器通信通信要求 代理连接的主机需连通管理服务器的 sock5 代理服务 当系统不允许使用 Crontab 任务时，系统常见问题中给出了解决方法，见下图所示： 步骤 2：设置主机信息 通信协议：支持 IPv4 和IPv6 连接方式：支持直连和代理连接 主机所属业务组：可以选择安装 Agent 主机所属的业务组。可点击快捷链接主机管理，跳转到业务组界面进行业务组管理。 代理连接的主机必须确保与服务器安全卫士可通信。 代理地址填写时，可输入“域名:端口”或“IPv4 代理 IP:端口”。示例：

本文介绍如何创建虚拟机备份。 操作场景 通过创建虚机备份任务来备份esxi或vcenter中管理的虚拟机，并在需要时通过备份副本进行恢复创建VMware虚拟机。 约束与限制 存储库需要和安装了客户端的备份主机在同一地域（网络可达）。 支持在能连接上esxi/vcenter管理平台的Windows系统主机上安装客户端，进行无代理备份。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已创建存储库。 主机客户端状态为“在线”，具体步骤参见安装客户端。 主机为windows系统，并可访问esxi/vcenter管理平台。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面。 4. 单击“主机列表”，选择对应主机，点击更多下的“新建任务”或者“任务列表”的"新建备份任务"按钮进入备份任务界面。 5. 点击“添加资源”，添加虚拟机服务器连接，输入参数，确认创建连接。 6. 选择创建好的虚拟机连接，点击下一步，等待加载虚拟机列表。 7. 选择需要备份的虚拟机，点击下一步。 8. 选择备份的目标存储库并配置备份周期、最大版本数等备份策略，点击“下一步”。 9. 自定义备份任务名称，确认备份信息无误后，点击“提交”，完成任务创建。

前提条件 已开通DRDS实例，并且开通同VPC、同子网的负载均衡实例（即ELB实例）。 相关ELB未关联任何主机或云服务。 ELB实例已绑定弹性IP地址。具体操作，请参见负载均衡绑定/解绑弹性IP。 注意 如果您的分组已绑定了ELB实例，则您可以直接在弹性负载均衡控制台上为该ELB实例绑定弹性IP，然后使用该弹性IP地址连接DRDS实例。本文以新建分组并配置已绑定弹性IP的ELB实例为例，为您介绍具体操作。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理， 进入实例基本信息页面。 4. 创建分组并配置ELB信息。 1. 单击分组管理 ，进入分组管理页面，然后单击创建分组。 2. 在创建分组 对话框中，配置ELB实例信息，详细的参数配置信息，请参见创建自定义分组。 5. 获取弹性IP信息。 1. 进入实例基本信息页面。 2. 在连接信息 区域，找到新创建的分组，并于连接信息 处获取eip信息，即为弹性IP。 6. 使用弹性IP地址，连接DRDS实例。 说明 如果您的DRDS实例不再需要使用弹性IP，您可以在弹性负载均衡控制台解绑弹性IP。

本文主要介绍元数据锁MDL导致无法操作数据库的解决方法以及如何避免元数据锁阻塞。 MetaData Lock主要为了保证元数据的一致性，用于处理不同线程操作同一数据对象的同步与互斥问题。MySQL 5.5版本开始，引入了MDL锁，MDL锁是表级别的锁，有些类型的MDL锁会导致读写操作都无法进行，导致SQL的阻塞。 操作步骤 1. 连接MySQL实例。具体操作请参见实例连接方式介绍，通过内网和公网连接实例。 2. 在SQL窗口执行如下SQL查看数据库所有线程状态。 show full processlist 3. 查看State列是否出现大量Waiting for table metadata lock，即表示出现阻塞，在对应的Info列可以查看到对应表的操作，找到正在对该表进行操作的会话Id。 4. 在SQL窗口执行如下命令解锁MDL锁。 kill id 如何避免元数据锁阻塞 MDL 锁一旦发生会对业务造成极大影响，因为后续所有对该表的访问都会被阻塞，造成连接积压。所以日常要尽量避免 MDL 锁阻塞的发生，下面给出几点优化建议可供参考： 开启 metadatalocks 表记录 MDL 锁。 设置参数 lockwaittimeout 为较小值，使被阻塞端主动停止。 规范使用事务，及时提交事务，避免使用大事务。 DDL 操作及备份操作放在业务低峰期执行。

DataArts Studio执行调度时报错：提示作业没有可以提交的版本怎么办？ 问题描述 DataArts Studio执行调度时报错：作业没有已提交的版本，请先提交作业版本。 原因分析 该作业还没有提交版本，就开始执行调度，导致执行调度报错。作业执行调度前必须保证作业存在一个版本。 解决方案 1. 提交作业（不是脚本）版本。 2. 执行作业调度。 如图所示提交版本 DataArts Studio执行调度时报错：作业中节点XXX关联的脚本没有提交的版本？ 问题描述 DataArts Studio执行调度时报错：作业中节点XXX关联的脚本没有提交的版本。 原因分析 该作业内的脚本还没有提交版本，就开始执行调度，导致执行调度报错。作业调度前必须保证作业内脚本都存在一个版本。 解决方案 1. 切换到脚本开发，找到对应脚本。 2. 提交脚本版本。 3. 执行作业调度。 提交调度后的作业执行失败，报depend job [XXX] is not running or pause怎么办？ 问题描述 提交调度后的作业执行失败，报depend job [XXX] is not running or pause。 原因分析 该问题是由于上游依赖作业不在运行状态而造成。 解决方案 查看上游依赖作业，如果上游依赖的作业不在运行状态中，将这些作业重新执行调度即可。 如何创建数据库和数据表，数据库对应的是不是数据连接? 数据库和数据表可以在DLI服务中创建。 数据库对应的不是数据连接，数据连接是创建DataArts Studio和其他数据服务的连接通道。

本节介绍AntiDDoS流量清洗相关术语解释。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击，利用获取信息的标准的GET/POST请求，如请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。 带宽 通过带宽展示网络的使用情况，作为服务计费的依据。 分布式拒绝服务攻击 拒绝服务攻击（ Denial of Service Attack，简称DoS）亦称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时，称为分布式拒绝服务攻击（Distributed Denial of Service Attack，简称DDoS）。 黑洞状态 黑洞状态是指服务器的外网访问被屏蔽，从服务器内部看到访问流量为零的状态。 流量清洗 流量清洗是用于准确识别网络中的异常流量并将其丢弃，保证正常流量通行的网络安全服务。流量清洗的主要对象是DDoS攻击。 SYN Flood攻击 SYN Flood攻击是指通过伪造的SYN报文（其源地址是伪造地址或不存在的地址），向目标服务器发起连接，目标服务器用SYNACK应答，而此应答不会收到ACK报文，导致目标服务器保持了大量的半连接，直到超时。这些半连接可以耗尽服务器资源，使目标服务器无法建立正常TCP连接，从而达到攻击的目的。

本节介绍了:连接信息。 操作场景 获取集群的连接信息，通过API或者kubectl访问集群。 前提条件 ● 在查看集群信息前，您需要存在⼀个可用集群。若没有可⽤集群，请参照 订购集群 内容进⾏创建。 ● 如果需要公网访问，请提前绑定好弹性IP（EIP）。 操作步骤 1. 点击 复制 ，生成的配置可以直接在公网或者内网使⽤。 2. 可以吊销KubeConfig，当前的配置会失效并重新生成。 3. 选择生成临时KubeConfig，然后选择有效期，点击 生成临时KubeConfig ，最后点击 确认 ，即可重新⽣成⼀份新的配置信息。

功能 描述 内网连接 可通过点击内网快速进行上下线，上线则内网连接中，下线则断开内网连接。 企业门户 应用配置时可以选择是否上架为企业门户，若上架则该应用显示在企业门户中。 权限申请 若无应用资源权限，可在客户端进行权限申请。 待办工单 基于权限申请等情况，需要进行权限申请工单审核、办结处理，可通过待办工单查看待处理任务，进行相关处理。 我的应用 显示有权限的应用列表。 我的设备 显示账号登录的设备情况。 问题反馈 可反馈相关问题给管理员。 帮助文档 可自定义帮助文档地址。 诊断修复 可诊断是否存在网络、应用文档。 数据库管理工具 提供数据库管理工具，用于快捷办公。 病毒查杀 用于终端病毒查杀能力。 合规检测 对于用户设备环境进行检测，判断是否符合企业合规安全基线。 RBI安全访问 开启RBI远程浏览器隔离（云端浏览器）功能则会显示对应入口，通过该入口可查看开启该能力的系统。

本节为您介绍自建MySql为源的订阅任务配置。 前提条件 （1）自建MySQL数据库的源端版本为5.6、5.7、8.0版本。 （2）自建MySQL数据库源端已关闭大小写敏感。 （3）自建MySQL数据库源端已开启开启binlog且格式为row。 源端权限要求 由于权限查询需要设计到mysql.user及mysql.db两张系统表。所以需要先授予用户以上两张表的SELECT权限。 订阅模式 所需权限 数据订阅 SELECT，开启binlog row模式 全局级别:REPLICATION CLIENT,REPLICATION SLAVE 源端配置： 数据源类型 选定为MySQL，可订阅版本范围内的MySQL数据库数据 服务器IP 待订阅源端数据库的连接IP 端口号 待订阅源端数据库的端口 用户名 用于连接待订阅源端数据库的用户名称 密码 用于连接待订阅源端数据库的用户的密码 数据库 要订阅的源端数据库名

本节为您介绍自建SQL Server迁移至自建MySQL任务配置。 前提条件 （1）自建MySQL目标端版本为5.6、5.7、8.0版本。 （2）若您将列名仅大小写不同的字段写入到目标MySQL数据库的同一个表中，可能会因为MySQL数据库列名大小写不敏感，导致迁移失败。 目标端权限要求 迁移模式 所需权限 基础权限 SELECT, DELETE, INSERT 全量迁移 需具备基础权限，且具备ALTER权限 增量迁移 需基本基础权限 结构迁移 CREATE, REFERENCES, INDEX, TRIGGER, CREATE VIEW, DROP, CREATE ROUTINE, EXECUTE 稽核修复 需基本基础权限 目标端配置 数据源类型 选定为MySQL，可将源端迁移至版本范围内的MySQL数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 数据库 目标端用于接收源端数据的数据库名称

本文将为您介绍分布式消息服务RocketMQ入门的基本流程，主要包括控制台创建RocketMQ专享版实例、使用弹性云服务器连接实例的操作，帮助您快速上手RocketMQ。 操作流程 图1 RocketMQ使用流程 环境准备 RocketMQ实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 创建RocketMQ实例 在创建实例时，您可以根据需求选择需要的实例规格和数量，并开启SSL访问。开启SSL后，数据加密传输，安全性更高。 创建Topic 在实例创建成功后，您需要创建Topic，用于发送与接收消息。 连接RocketMQ实例 使用客户端连接实例，并通过命令行生产消费消息。 配置告警 配置RocketMQ实例监控告警策略，监控实际业务运行状态。

字段 说明 示例 version ER流日志版本 1 projectid 项目ID 5f67944957444bd6bb4fe3b367de8f3d resourceid 流量所属连接的ID 10a163ee6efa4e4d9937ead59f308497 instanceid ER实例的ID a5cbd16c7d9940008f14526ec48298ce srcaddr 源地址 192.168.0.154 dstaddr 目的地址 192.168.3.25 srcport 源端口 38929 dstport 目的端口 53 protocol IANA协议编号。 关于协议的更多信息，请参见 17 packets 本段流日志采集窗口时间周期内数据包的数量。 1 bytes 本段流日志采集窗口时间周期内数据包的大小。 96 start 本段流日志采集窗口启动的时间，采用Unix秒的格式。 1548752136 end 本段流日志采集窗口结束的时间，采用Unix秒的格式。 1548752736 direct 流量的方向： ingress：入方向，表示流量从外部进入ER连接内。 egress：出方向，表示流量从ER连接发送出去。 egress

本章节主要介绍通用操作类问题 DRS界面信息重叠是什么原因 DRS界面出现信息重叠通常是页面缩放率过小导致的，建议将页面缩放率调整为100%即可显示正常。 目标库读写设置是实例级还是库级 配置迁移任务时，目标数据库实例可以选择设置为“只读”或者“读写”状态。 只读：目标数据库整个实例 将转化为只读、不可写入的状态，迁移任务结束后恢复可读写状态，此选项可有效的确保数据迁移的完整性和成功率，推荐此选项。 读写：目标数据库可以读写，但需要避免操作或接入应用后会更改迁移中的数据（注意：无业务的程序常常也有微量的数据操作），进而形成数据冲突、任务故障、且无法修复续传，充分了解要点后可选择此选项。 只读保护优点是避免用户对正在迁移的数据库或表进行DDL或DML误操作，造成数据不一致，可提高迁移完整性和数据一致性。 任务启动后，DRS不支持修改目标数据库状态。 待所有设置该目标库为“只读”状态的迁移任务结束后，可恢复读写。 MySQL源库设置了global binlogformat ROW没有立即生效 使用DRS进行MySQL的迁移时，必须确保源库的binlogformat是ROW格式的，否则就会导致任务失败甚至数据丢失。在源库设置了global级别的binlogformatROW之后，还需要中断之前所有的业务连接，因为设置之前的连接使用的还是非ROW格式的binlog写入。 安全设置global级binlogformatROW的步骤 步骤 1 通过MySQL官方客户端或者其它工具登录源数据库。 步骤 2 在源数据库上执行全局参数设置命令。 set global binlogformat ROW; 步骤 3 在源数据库上执行如下命令确认上面操作已执行成功。 select @@global.binlogformat; 步骤 4 您可以通过如下两种方式确保修改后的源库binlogformat格式立即生效。 方法一： 1. 选择一个非业务的时间段，中断当前数据库上的所有业务连接。 a. 通过如下命令查询当前数据库上的所有业务连接(所有的binlog Dump连接及当前连接除外)。 show processlist; b. 中断上面查出的所有业务连接。 2. 为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 方法二： 1.为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 2.确保上述配置参数binlogformat添加或修改成功后，选择一个非业务时间段，重启源数据库即可。 binlogrowimage参数设置为FULL没有立即生效 使用DRS进行MySQL迁移时，必须确保源库的binlogrowimage参数设置为FULL，否则就会导致任务失败。在源库设置了binlogrowimageFULL之后，只对新的session生效，为了关闭旧的session，需选择一个非业务时间段，重启源数据库并重置任务即可。

本页详细介绍如何查看数据迁移实例的基础信息、连接信息、工作节点信息以及迁移对象信息等迁移信息。 通过查看迁移详情信息，可以了解当前数据迁移实例的基础信息、连接信息、工作节点信息以及迁移对象信息等。 操作步骤 1. 在【数据迁移】实例列表页面选择相应的实例数据，并点击实例ID进入【实例管理】页面。 2. 在【实例管理】页面，点击右上角的“实例详情”按钮，进入【迁移信息】页面。 3. 在【迁移信息】页面，查看迁移实例的基础信息、连接信息和工作节点信息。 4. 点击【迁移信息】页面右上角的“查看迁移对象”按钮，弹出“查看迁移对象”页面，该页面会展示该实例在首次配置阶段配置的迁移对象信息。 5. 如果后续该实例有被编辑，要查看实际被迁移的对象，可在【迁移详情】页面查看，具体操作可参考查看迁移详情。

本节主要介绍云存储网关的运维安装。 运维人员会跟用户进行联系，协助进行云存储网关的安装、配置和使用。 注意 在安装过程中，需要和运维人员一起评估现有业务模型、服务器配置、客户端网络，以及要连接的对象存储资源池的网络情况。如果出现客户端写入速度过快的场景，容易造成缓存盘写满，不能持续提供服务。可以使用客户端连接限速功能，确保数据可以持续写入。

创建LoadBalancer类型Service 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“服务发现”，在右上角单击“创建服务”。 步骤 3 设置参数。 Service名称： 自定义服务名称，可与工作负载名称保持一致。 访问类型 ：选择“负载均衡 LoadBalancer”。 命名空间： 工作负载所在命名空间。 服务亲和： 详情请参见externalTrafficPolicy（服务亲和）。 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 选择器： 添加标签，Service根据标签选择Pod，填写后单击“添加”。也可以引用已有工作负载的标签，单击“引用负载标签”，在弹出的窗口中选择负载，然后单击“确定”。 IPv6： 默认不开启，开启后服务的集群内IP地址（ClusterIP）变为IPv6地址。该功能仅在1.15及以上版本的集群创建时开启了IPv6功能才会显示。 负载均衡器： 选择对接的ELB实例，仅支持与集群在同一个VPC下的ELB实例。如果没有可选的ELB实例，请单击“创建负载均衡器”跳转到ELB控制台创建。 CCE控制台支持自动创建ELB实例，在下拉框选择自动创建，填写ELB实例名称、是否公网访问（将创建 5 Mbit/s 带宽的弹性公网 IP。默认按照流量计费），独享型ELB实例还需选择可用区、子网和规格。当前仅支持自动创建网络型（TCP/UDP）独享型ELB实例。 您可以单击“编辑”配置ELB实例的参数，在弹出窗口中配置ELB实例的参数。 分配策略：可选择加权轮询算法、加权最少连接或源IP算法。 说明 加权轮询算法：根据后端服务器的权重，按顺序依次将请求分发给不同的服务器。它用相应的权重表示服务器的处理性能，按照权重的高低以及轮询方式将请求分配给各服务器，相同权重的服务器处理相同数目的连接数。常用于短连接服务，例如HTTP等服务。 加权最少连接：最少连接是通过当前活跃的连接数来估计服务器负载情况的一种动态调度算法。加权最少连接就是在最少连接数的基础上，根据服务器的不同处理能力，给每个服务器分配不同的权重，使其能够接受相应权值数的服务请求。常用于长连接服务，例如数据库连接等服务。 源IP算法：将请求的源IP地址进行Hash运算，得到一个具体的数值，同时对后端服务器进行编号，按照运算结果将请求分发到对应编号的服务器上。这可以使得对不同源IP的访问进行负载分发，同时使得同一个客户端IP的请求始终被派发至某特定的服务器。该方式适合负载均衡无cookie功能的TCP协议。 会话保持类型：默认不启用，可选择“源IP地址”。负载均衡监听是基于IP地址的会话保持，即来自同一IP地址的访问请求转发到同一台后端服务器上。 健康检查：默认不启用。此处健康检查是设置负载均衡的健康检查配置。当端口配置协议为TCP时，支持TCP和HTTP协议，当端口配置协议为UDP时，支持UDP协议。健康检查默认使用业务端口（Service的NodePort和容器端口）作为健康检查的端口；您也可以重新指定端口用于健康检查，重新制定端口会为服务增加一个名为ccehealthz的服务端口配置。 端口配置： 协议：请根据业务的协议类型选择。 服务端口：Service使用的端口，端口范围为165535。 容器端口：工作负载程序实际监听的端口，需用户确定。例如nginx默认使用80端口。 步骤 4 单击“确定”，创建Service。

参数名称 参数描述 类型 是否必须 xamzacl 参数解释： 为当前桶设置的ACL名称。 约束限制： 不能与其他 xamzgrant同时使用。 取值范围： private：私有，桶的所有者拥有完全控制的权限，其他任何人都没有访问权限。 publicread：公共读，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据。 publicreadwrite：公共读写，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务。注意：对象存储底层禁用公共读写，设置后不可匿名上传，如需使用可提工单申请。 authenticatedread：默认情况下，上传对象至其他用户的桶中，桶拥有者没有对象的控制权限。对象拥有者为桶拥有者添加此权限控制策略后，桶所有者可以完全控制对象。 String 否 xamzgrantfullcontrol 参数解释： 被授权用户可以对桶进行read, write, read ACP, and write ACP操作。 约束限制： 格式”idxxx”或”emailAddressxxx”或者”urixxx”以及他们的组合（用逗号连接）。 String 否 xamzgrantread 参数解释： 被授权用户可以对桶进行读操作，即列举桶内对象列表。 约束限制： 格式”idxxx”或”emailAddressxxx”或者”urixxx”以及他们的组合（用逗号连接）。 String 否 xamzgrantreadacp 参数解释： 被授权用户可以读取桶的ACL。 约束限制： 格式”idxxx”或”emailAddressxxx”或者”urixxx”以及他们的组合（用逗号连接）。 String 否 xamzgrantwrite 参数解释： 被授权用户可以对桶进行写操作，创建新的对象，删除或覆盖写。 约束限制： 格式”idxxx”或”emailAddressxxx”或者”urixxx”以及他们的组合（用逗号连接）。 String 否 xamzgrantwriteacp 参数解释： 被授权用户可以修改桶的ACL。 约束限制： 格式”idxxx”或”emailAddressxxx”或者”urixxx”以及他们的组合（用逗号连接）。 String 否

参数名称 参数描述 类型 是否必须 xamzacl 参数解释： 为当前桶设置的ACL名称。 约束限制： 不能与其他 xamzgrant同时使用。 取值范围： private：私有，桶的所有者拥有完全控制的权限，其他任何人都没有访问权限。 publicread：公共读，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据。 publicreadwrite：公共读写，所有人可以获取该桶内对象列表、桶内多段任务、桶的元数据、上传对象、删除对象、初始化段任务、上传段、合并段、拷贝段、取消多段上传任务。注意：对象存储底层禁用公共读写，设置后不可匿名上传，如需使用可提工单申请。 authenticatedread：默认情况下，上传对象至其他用户的桶中，桶拥有者没有对象的控制权限。对象拥有者为桶拥有者添加此权限控制策略后，桶所有者可以完全控制对象。 String 否 xamzgrantfullcontrol 参数解释： 被授权用户可以对桶进行read, write, read ACP, and write ACP操作。 约束限制： 格式”idxxx”或”emailAddressxxx”或者”urixxx”以及他们的组合（用逗号连接）。 String 否 xamzgrantread 参数解释： 被授权用户可以对桶进行读操作，即列举桶内对象列表。 约束限制： 格式”idxxx”或”emailAddressxxx”或者”urixxx”以及他们的组合（用逗号连接）。 String 否 xamzgrantreadacp 参数解释： 被授权用户可以读取桶的ACL。 约束限制： 格式”idxxx”或”emailAddressxxx”或者”urixxx”以及他们的组合（用逗号连接）。 String 否 xamzgrantwrite 参数解释： 被授权用户可以对桶进行写操作，创建新的对象，删除或覆盖写。 约束限制： 格式”idxxx”或”emailAddressxxx”或者”urixxx”以及他们的组合（用逗号连接）。 String 否 xamzgrantwriteacp 参数解释： 被授权用户可以修改桶的ACL。 约束限制： 格式”idxxx”或”emailAddressxxx”或者”urixxx”以及他们的组合（用逗号连接）。 String 否

本节给出Linux客户端挂载HBlock集群版的卷示例。 应用场景 Linux客户端需要连接HBlock集群版的卷。 需要连接的HBlock集群版的卷为lun6a和lun7a，其lun7a有CHAP认证。 前置条件 对于需要连接HBlock集群版的客户端，已经按照客户端配置中的前置条件完成准备工作。 对于HBlock服务器端，已经成功创建卷lun6a和lun7a。 操作步骤 HBlock服务器端 查询要连接的LUN及LUN对应iSCSI target的详细信息。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor lun ls n lun6a LUN Name: lun6a (LUN 0) Storage Mode: Cache Capacity: 500 GiB Status: Normal Auto Failback: Enabled iSCSI Target: iqn.201208.cn.ctyunapi.oos:target6.12(192.168.0.192:3260,Active) iqn.201208.cn.ctyunapi.oos:target6.11(192.168.0.110:3260,Standby) iqn.201208.cn.ctyunapi.oos:target6.13(192.168.0.102:3260,ColdStandby) Create Time: 20260121 14:14:48 Local Storage Class: EC 2+1+16 KiB Minimum Replicas: 2 Redundancy Overlap: 1 Local Sector Size: 4096 Bytes Storage Pool: default Data Health: 100% normal, 0% low redundancy, 0% error High Availability: ActiveStandby Write Policy: WriteBack WWID: 33fffffffc69cbabb UUID: lunuuid40731bfdd0e549fb97841d825635daf8 Object Storage Info: ++ Provider OOS Bucket Name hblocktest3 Prefix stor2 Endpoint Signature Version v2 Region Storage Class STANDARD Access Key cb22b08b1f9229f85874 Object Size 1024 KiB Compression Enabled ++ [root@hblockserver CTYUNHBlockPlus4.0.0x64]