参数 说明 取值样例 名称 VPN连接的名称。 connection1 VPN网关 选择已经创建的VPN网关。 vpngateway46c1ipsec 用户网关 选择已经创建的用户网关。 usergateway5da3 路由模式 支持目的路由和感兴趣流两种路由模式。 感兴趣流 本端子网 选择VPC侧哪个子网需要和企业侧进行联通。 subnetb2a0(192.168.1.0/24) 对端网段 配置企业侧哪个网段需要和VPC侧进行联通。 172.16.1.0/24 协商生效 支持立即协商和流量触发两种协商方式。 立即生效 认证方式 支持密钥认证和证书认证两种认证方式。 证书认证 认证选择 认证方式选择证书认证时，用于选择使用的加密证书。支持选择“自签（默认）”或自行上传的证书。 自签（默认） LocalId 仅支持DN格式。 系统默认填充，不支持修改。 RemoteId 仅支持DN格式。 系统默认填充，不支持修改。

参数 是否必填 参数类型 说明 示例 下级对象 dbversion 否 String 数据库版本，默认为12.0; 需根据资源池支持的版本来填写，建议填12.0。 12.0 vpcId 是 String VPC ID，可通过接口【查询VPC列表】获取 b3572a695af8458bbf146fdbf31f7063 subnetId 是 String 子网ID，可通过接口【查询子网列表】获取 7d3fe61db2794c2ab190afd9754125b4 secgroups 是 String 安全组ID，可通过接口【查询安全组列表】获取 aa8ddfb7f0424c57bb257df09d5c732a cpuNum 是 Integer CPU核数和内存大小，需按照资源池所支持的实例规格填写。常用的规格有：2C4G，2C8G，4C8G，4C16G，8C16G，8C32G，16C32G，16C64G 2 memSize 是 Integer 4 edition 是 String 可选值：standby（主备）、single（单机） standby dbName 是 String 数据库名称 admin dbPassword 是 String 数据库密码，832位，且必须含有数字，小写字母，大写字母，特殊字符

本文简介什么是天翼云Web应用防火墙（边缘云版）。 产品定义 天翼云Web应用防火墙（边缘云版）依托天翼云边缘云节点形成云安全网络，结合云端大数据分析平台，通过 AI+规则双引擎识别恶意流量，为用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 区别于传统WAF需要在源站前端部署，Web应用防火墙（边缘云版）基于边缘云分布式架构，将WAF、BOT、CC、API等应用安全防护能力赋能于全国边缘云节点，实现安全能力赋能边缘，将安全能力下沉至最接近终端用户的边缘节点，在最靠近攻击源头的地方阻断恶意流量。 有效防御 SQL 注入、XSS 跨站脚本、木马上传、非授权访问等 OWASP 攻击。此外还可以有效过滤 CC 攻击、提供 0day 漏洞补丁、防止网页篡改等。 结合智能调度，实现动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别规模；应对敏感大流量攻击，无惧突发风险。 功能特性 功能 简介 常见Web应用攻击防护 防御OWASP TOP10Web安全威胁攻击：如SQL注入、XSS跨站脚本、CSRF 跨站请求伪造、非授权访问等常见Web服务器漏洞攻击。 0day补丁定期及时更新：及时更新漏洞补丁，防护网站安全。 CC攻击防护 频率控制：结合多维度频率控制，精确控制请求频率，控制核心接口被访问的频率。 人机挑战：通过人机识别验证，避免非法请求透传源站。 大数据分析：针对低频多变的攻击，根据内置算法模型，统计正常业务流量和攻击流量的特征，自动生成精准访问控制策略。 业务安全防护 网页防篡改：支持用户将核心网页内容缓存在边缘云节点，并对外发布缓存中的网页内容，实现网页防篡改效果，防止网页被篡改带来负面影响。 敏感词防泄漏：针对银行卡、身份证、手机号、邮箱进行页面过滤，防止网站敏感信息泄露。 CSRF防护：有效阻止因误触恶意链接、恶意扫描、简单爬虫限制造成的用户损失。 Cookie防护：支持对指定cookie字段的值进行加密，支持对cookie签名，防止因随意篡改导致的漏洞触发。 账户安全防护：支持防护撞库、批量注册、暴力破解等恶意攻击行为，保障用户账号安全。 广告防护：对检测到的广告进行清除或者记录告警日志处理，使展示给用户的界面没有广告。 攻击挑战：针对反复触发防护策略的IP，限制访问频率。 精准访问控制 可针对IP , IP段 , URI , 请求方式, 请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 IPv6防护 支持一键开启IPv6功能，无缝处理IPv4和IPv6流量，并且支持解决天窗问题。 Bot行为管理 通过多模块联动实时检测与机器学习相结合实现网站请求的实时检测和分析，识别真实用户请求和恶意爬虫，进而防止刷票、活动作弊、恶意注册等爬虫攻击行为的发生，保障企业业务稳定运行，避免经济利益受损。 智能防护 自学习异常用户行为：智能学习网站流量规律，学习正常用户访问行为，多维度识别异常访问情况。 内置多种业务场景学习模型：强化抢票、恶意爆破登录、恶意爬取等机器脚本行为识别，保证网站正常运行。 威胁情报 天翼云与国内外知名安全厂家恶意情报共享，更快更精确发现恶意探测以及威胁事件。

节点启动超时问题 问题描述 控制台页面上显示节点为停止/异常状态，手动或自动启动失败。 为避免因系统卡顿、节点异常等原因，导致节点长时间处理启动等待状态问题，系统新增了全局参数NODEMAXSTARTWAITTIMES控制节点启动超时时间，默认为60秒。当节点重启、重做备机、添加备节点等操作时，如果启动时需要应用的WAL日志较多，启动时间可能会超过60秒，此时节点会收到Center Master下发的停止命令，节点启动60秒后日志会打印 received fast shutdown request，节点启动失败。 可能影响 DN主节点启动失败，会导致访问到该DN的节点SQL报错，实例部分不可用； CN主节点启动失败，会导致流入该节点的SQL语句报错，流入其它CN主节点的DDL语句报错； CN/DN备节点失败失败，如果开启同步复制，同步复制节点数量不足且未启用退化策略时，会导致DDL、DML语句卡住； CN/DN备节点失败失败，可能会导致无可用备节点，主节点再次异常会导致实例不可用，有数据丢失风险。 解决步骤 1. 控制台页面进入“系统信息”“基本信息”页面，切换至“参数配置”TAB页，查找并修改参数NODEMAXSTARTWAITTIMES； 2. 重新发起节点启动任务，或等待节点自动拉起。 pghba.conf文件内容错误导致启动失败问题 问题描述 节点启动失败，日志显示报错could not load pghba.conf，如： CST,"YB171020",,,17102,coord(0,0),,65a34d68.42ce,coord(0,0),3,,20240114 10:56:40 CST,,0,FATAL,XX000,"could not load pghba.conf",,,,,,,,,,"" 20240114 10:56:43.566 CST,"YB171020",,,17102,coord(0,0),,65a34d68.42ce,coord(0,0),4,,20240114 10:56:40 CST,,0,LOG,00000,"database system is shut down",,,,,,,,,,"" 而前一行会提示错误位置和错误原因，如： LOG,F0000,"invalid IP mask ""md5"": 未知的名称或服务",,,,,"line 24 of configuration file ""/data/xxx/....../pghba.conf""",,,,,"" 或 LOG,F0000,"invalid connection type""host1""",,,,,"line 11 of configuration file""/data/xxx/......./pghba.conf""",,,,"" 这里第一个错误显示第24行ip地址后的mask格式错误；第二个错误显示第11行连接类型host1错误，枚举类型中不包含host1。

本章节主要介绍节点参考的 MRS MapReduce。 功能 通过MRS MapReduce节点实现在MRS中执行预先定义的MapReduce程序。 参数 用户可参考下表配置MRS MapReduce节点的参数。 属性参数 参数 是否必选 说明 节点名称 是 节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“ ”等各类特殊字符，长度为1～128个字符。 MRS集群名 是 选择MRS集群。如需新建集群，请参考以下方法： 单击，进入“集群列表”页面新建MRS集群。 前往MRS管理控制台进行新建。 MapReduce作业名称 是 MRS作业名称，只能包含英文字母、数字、“”，且长度为1~64个字符。 说明 作业名称不得包含中文字符、超出长度限制等。如果作业名称不符合规则，将导致提交MRS作业失败。 Jar包资源 是 选择Jar包。在选择Jar包之前，您需要先将Jar包上传至OBS桶中，并在“资源管理”页面中新建资源将Jar包添加到资源管理列表中，具体操作请参考管理资源章节中的“新建资源”。 Jar包参数 否 Jar包的参数。 输入数据路径 否 选择输入数据所在的路径。 输出数据路径 否 选择输出数据存储的路径。 高级参数 参数 是否必选 说明 节点状态轮询时间（秒） 是 设置轮询时间（1~60秒），每隔x秒查询一次节点是否执行完成。 节点执行的最长时间 是 设置节点执行的超时时间，如果节点配置了重试，在超时时间内未执行完成，该节点将不会再重试，直接置为失败状态。 失败重试 是 节点执行失败后，是否重新执行节点。 是：重新执行节点，请配置以下参数。 − 最大重试次数 − 重试间隔时间（秒） 否：默认值，不重新执行节点。 说明 如果作业节点配置了重试，并且配置了超时时间，该节点执行超时后将不会再重试，直接置为失败状态。 失败策略 是 节点执行失败后的操作： 终止当前作业执行计划：停止当前作业运行，当前作业实例状态显示为“失败”。 继续执行下一节点：忽略当前节点失败，当前作业实例状态显示为“忽略失败成功”。 挂起当前作业执行计划：暂停当前作业运行，当前作业实例状态显示为“等待运行”。 终止后续节点执行计划：停止后续节点的运行，当前作业实例状态显示为“失败”。 空跑 否 如果勾选了空跑，该节点不会实际执行，将直接返回成功。

操作场景 CCE集群支持两种添加节点的方式： 购买节点和纳管节点，纳管节点是指将“已购买的弹性云主机（ECS）加入到CCE集群中”，所纳管节点的计费模式支持“按需计费”和“包年/包月”两种类型。 本节将指导您通过CCE控制台纳管已有虚拟机节点。 须知： 纳管时，会将所选弹性云主机的操作系统重置为CCE提供的标准镜像，以确保节点的稳定性，请选择操作系统及重置后的登录方式。 所选弹性云主机挂载的系统盘、数据盘都会在纳管时被格式化，请确保信息已备份。 纳管过程中，请勿在弹性云主机控制台对所选虚拟机做任何操作。 约束与限制 目前仅支持在CCE集群中纳管同一Region下的虚拟机节点（含GPU加速型）。 集群版本需V1.13及以上。 集群开启IPv6后，只支持纳管所在的子网开启了IPv6功能的节点；集群未开启IPv6，只支持纳管所在的子网未开启IPv6功能的节点。 原虚拟机节点创建时若已设置密码或密钥，需等待虚拟机节点可用10分钟后方可纳管。 前提条件 支持纳管符合如下条件的弹性云主机： 待纳管节点已购买成功，且必须状态为“运行中“，且未被其他集群所使用。 纳管节点需与CCE集群在同一虚拟私有云内（若集群版本低于1.13.10，纳管节点还需要与CCE集群在同一子网内）。 需挂载数据盘，数据盘需满足有且仅有1块，且容量不少于100GB，多余的数据盘请先卸载。 节点规格要求：CPU必须2核及以上，内存必须4GB及以上，网卡有且仅能有一个。 操作步骤 步骤 1 登录CCE控制台，单击左侧导航栏的“资源管理 > 集群管理”，单击待纳管集群下的“更多 > 纳管节点”。 步骤 2 （可选）登录CCE控制台，单击左侧导航栏的“资源管理 > 节点管理”，选择节点所在的集群后，单击页面右上角的“纳管节点”。 步骤 3 在打开的界面中展示了当前符合要求的弹性云主机。如果不符合纳管要求时会显示相应的红色提示图标，列表下方会有被过滤的弹性云主机数量，鼠标移动到后方的 可以查看具体原因。 步骤 4 勾选需要纳管的弹性云主机，单击“下一步”。 步骤 5 在“待纳管节点”页面中，按照界面提示选择“登录方式”，单击“高级配置”后的按钮，可以设置“最大实例数”、“自定义镜像仓库”和“资源分配”，然后单击“提交”。 步骤 6 在弹出的“信息确认”页面中确认信息无误后，单击“确定”。 系统将提示节点纳管请求提交成功。 移除节点 移除节点指从集群中移除“弹性云主机（简称ECS）”，并不会删除ECS和卸载已安装的CCE相关组件。 如需清理CCE相关组件，请前往ECS控制台将机器关机后，点击“更多 > 镜像/磁盘 > 重装系统”操作。 步骤 1 在CCE控制台中，选择导航栏的“资源管理 > 节点管理”，在节点列表中，单击待移除节点后方“操作”栏中的“更多 > 移除”。 步骤 2 在弹出的“移除纳管节点”弹框中，输入REMOVE，确认移除该节点，单击“确定”，即可移除纳管的节点。 说明：以上步骤仅从集群中移除了节点（即弹性云主机ECS），并不会删除节点和已安装的CCE相关组件。请根据界面中展示的步骤清理CCE相关资源。

参数名称 参数说明 取值样例 黑洞路由 可选参数。 开启黑洞路由，则无需配置路由的“连接类型”和“下一跳”。如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 “虚拟私有云（VPC）”：表示接入的网络实例是虚拟私有云。 虚拟私有云 （VPC） 下一跳 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 erattach01 描述 可选参数。 您可以根据需要在文本框中输入对该静态路由的描述信息。

操作场景 节点伸缩策略创建完成后，可对创建的策略进行删除、编辑、停用、启用、克隆等操作。 查看节点伸缩策略 您可以查看节点伸缩策略的关联节点池、执行规则和伸缩历史，参照界面中的提示有针对性的解决异常问题。 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“节点伸缩”页签下，单击要查看的策略前方的。 步骤 2 在展开的区域中，可以看到该策略的关联节点池、执行规则和伸缩历史页签，若策略异常，请参照界面中的报错提示进行定位处理。 说明：您还可以在节点池管理中关闭或开启弹性扩缩容，登录CCE控制台，在左侧导航栏中单击“资源管理 > 节点池管理”，单击要操作的节点池右上角的“编辑”，在弹出的“编辑节点池”窗口中的可以看到“弹性扩缩容”按钮，并可设置节点数上下限和弹性缩容冷却时间。 删除节点伸缩策略 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“节点伸缩”页签下，单击要删除的策略后方“操作”栏中的“删除”。 步骤 2 在弹出的“删除节点策略”窗口中，确认是否删除。 步骤 3 确认后，在输入框中输入DELETE。 步骤 4 单击“确认”按钮即完成删除操作。 编辑节点伸缩策略 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“节点伸缩”页签下，单击要更新的策略后方“操作”栏中的“编辑”。 步骤 2 在打开的“编辑节点伸缩策略”页面中，更新策略参数。 步骤 3 完成设置后，单击“确定”按钮完成编辑操作。 克隆节点伸缩策略 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“节点伸缩”页签下，单击要克隆的策略后方“操作”栏中的“更多 > 克隆”。 步骤 2 在打开的“创建节点伸缩策略”页面中，可以看到部分参数已经克隆过来，请按照业务需求补充或修改其他策略参数。 步骤 3 单击“立即创建”按钮完成策略克隆，在“节点伸缩”页签下的策略列表中可以看到新克隆的策略。 停用/启用节点伸缩策略 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击策略后方“操作”栏中的“更多 > 停用”，若策略为停用状态时，则单击“更多 > 启用”。 步骤 2 在弹出的“停用节点策略”或“启用节点策略”窗口中，确认是否进行停用或启用操作。 步骤 3 单击“确定”完成操作，在节点伸缩的列表中可以看到该策略的状态。

内存总量范围 Pod数量 Kubelet管理Pod所需预留值 内存总量 < 2GB 内存总量 25% 内存总量 > 2GB 0 < 节点的最大实例数 < 16 700 MB 16 < 节点的最大实例数 < 32 ( 700 + (节点的最大实例数 16)18.75 )MB 32 < 节点的最大实例数 < 64 ( 1024 + (节点的最大实例数 32)6.25 )MB 64 < 节点的最大实例数 < 128 ( 1230 + (节点的最大实例数 64)7.80 )MB 节点的最大实例数 > 128 ( 1740 + (节点的最大实例数 128)11.20 )MB

本文介绍源站HTTPS证书与CDN节点HTTPS证书更新的关联关系。 天翼云CDN加速支持在用户请求边缘节点和CDN节点回源时分别设定是否启用HTTPS。在边缘节点启用HTTPS时CDN节点作为服务端，在回源节点启用HTTPS时CDN节点作为客户端，源站作为服务端。一般情况下源站证书与边缘节点证书是各自独立部署的，按对应证书的有效期独立更新即可。源站证书由客户在源站更新，CDN边缘节点证书需客户在CDN控制台上传新证书并更新。

终端管理 限制项 具体要求 产品功能版本限制 部分能力会有最低客户端版本号要求，详见具体的功能详情页。 内网客户端连接公网控制台需要加白的域名 客户端接入域名： lxchzllkwcssf.ctcdn.cn 客户端接入多镜像中心： lxchzllkwcssfsearch.ctcdn.cn lxchzllkwcssfimage1.ctcdn.cn lxchzllkwcssfimage2.ctcdn.cn lxchzllkwcssfimage3.ctcdn.cn 客户端平台下载： soc0trust.ctcdn.cn 杀毒相关域名： apc.antiy.net.cn endpoint.antiy.cn vipedr.apc.antiy.net.cn 学术加速 限制项 具体要求 客户端兼容性 学术加速Windows、macOS、Android、IOS客户端目前不支持与零信任客户端同时使用。 零信任产品限制 同一个天翼云账号目前无法支持同时购买零信任任意服务与学术加速企业版。

本小节介绍SSL VPN的苹果Mac安装客户端操作方法。 1. 在苹果Mac电脑上打开自带浏览器Safari，地址栏打开 VPN客户端页面，打开SSL VPN接入地址后会显示VPN客户端软件EasyConnect的下载，点击下载安装运行，如下图。 2. 浏览器控件EasyConnectPlugin.dmg会下载到“下载”目录，当下载完成时，双击程序包图标，启动安装向导，按照安装向导的提示操作，完成安装。 3. 当出现如下界面时，表示已经安装完成，此时打开SSL VPN客户端登录即可。 注意 目前只支持Safari浏览器，请使用Safari浏览器登录。 4. 登录成功后，在终端电脑上打开业务客户端输入天翼云业务服务器的内网私有IP地址访问即可。

步骤七：访问测试 完成上述配置后，您可以通过在线下分支机构的客户端访问已连接的VPC中部署的云资源，验证配置是否生效。

本文主要介绍 存量节点标签与污点检查。 检查项内容 检查标签是否丢失 检查是否有异常新增的污点 检查步骤 请登录CCE控制台，前往“资源>节点管理>节点”，勾选所有节点后，单击“标签与污点管理”，查看目前节点的标签与污点。 解决方案 集群升级过程中不改变用户的标签，若您发现标签丢失或异常新增，请联系技术支持人员。 若您发现节点新增污点（node.kubernetes.io/upgrade），该节点可能为升级过程中跳过的节点，请参照重置跳过节点检查处理。 若您发现节点新增其他污点，请联系技术人员支持。

此小节介绍跨云跨VPC线上线下统一运维。 应用场景 针对您的服务器资源分布在跨VPC、线下IDC机房、非云等跨网络域的场景，云堡垒机提供了通过网络代理服务器进行运维的方案，便于您在没有搭建网络专线的情况下，纳管各网络域的各类服务器资源，从而通过云堡垒机统一管理、运维您的各类工作负载。 本文指导您如何在目标网络域配置代理服务器、连通云堡垒机，并实现通过云堡垒机对您跨VPC、跨云、线下的资源进行管理与运维。 前提条件及准备工作 已购买堡垒机并 正常使用。已购买弹性云服务器（ECS）并正常使用。 已在对端网络域中获取1台服务器作为代理服务器。 代理服务器已绑定弹性公网IP，具体操作请详见：将弹性公网IP绑定至实例。代理服务器与待纳管服务器网络互通。 设置代理服务器 在需要对跨网络域的服务器进行管理运维前，需要在对端网络域中配置一台网络代理服务器。将该代理服务器与业务服务器通过内网进行互通，再将代理服务器到云堡垒机网络进行互通，即可完成云堡垒机到业务服务器之间跨域的网络互联。 该部分操作是达成堡垒机跨域纳管主机资源的前提。 为代理服务器启用网络代理服务 1. 代理服务器，进行代理服务器（3proxy）设置。 说明 步骤二至步骤四中的命令，均已CentOS7为例。如需CentOS8代码示例，请按CentOS8配置代理。 2. 上传3proxy压缩包并解压后，进入对应目录执行以下命令： bash install.sh 3. 输入如下命令，添加3proxy用户 /etc/3proxy/add3proxyuser.sh myuser mypassword 4. 重启代理服务3proxy systemctl restart 3proxy socks代理协议（端口：1080）没有加密功能，请务必在安全组设置中禁止非必要的IP访问。 为代理服务器配置安全组规则 1. 进行代理服务器入方向规则配置，允许堡垒机访问代理服务器。 2. 进行代理服务器出方向规则配置，允许代理服务器访问待纳管的业务服务器。

本章节主要介绍节点参考的Dummy。 功能 Dummy节点是一个空的节点，不执行任何操作。用于简化节点的连接视图，便于用户理解复杂节点流的连接关系，示例详见下图。 参数 用户可参考下表配置Dummy节点的参数。 属性参数 参数 是否必选 说明 节点名称 是 节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“ ”等各类特殊字符，长度为1～128个字符。

本页介绍了ECS和文档数据库服务署在不同的VPC，网络不通怎么办如何处理。 请参考弹性云主机用户指南网卡切换虚拟私有云，将ECS的虚拟私有云切换为与文档数据库服务相同的虚拟私有云。

本文主要介绍节点关机。 操作场景 集群中的节点关机后，该节点以及节点内的业务将停止运行，节点关机前，请先确认您的正常业务运行将不受影响，请谨慎操作。 大部分节点关机后不再收费，特殊实例（包含本地硬盘，如磁盘增强型，超高I/O型等）关机后仍然正常收费，具体请参见ECS计费模式。 约束与限制 节点关机会涉及Pod迁移，可能会影响业务，请在业务低峰期操作。 操作过程中可能存在非预期风险，请提前做好相关的数据备份。 操作过程中，后台会把当前节点设置为不可调度状态。 节点关机仅能对工作节点关机，不会对控制节点关机。 操作方法 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏选择“节点管理”，在右侧单击待关机节点的名称。 步骤 3 页面跳转至弹性云主机详情页中，单击右上角的“更多 > 实例状态 > 关机”，在弹出的关机窗口中单击“是”，即可完成关机操作。 图 弹性云主机详情页

本文为您介绍轻量型云主机的产品使用限制。 网络限制 轻量型云主机将为用户创建默认的VPC。 同一账号同地域下，多台轻量型云主机默认处于同一个VPC环境中, 可以通过内网进行通信。 不同用户、同一用户不同地域下的轻量型云主机所在的VPC间是隔离的，无法直接通过内网进行通信。 轻量型云主机目前不支持配置IPv6地址。 公网IP 每台轻量型云主机创建完成后，默认分配一个独立固定的公网IP地址，并配置独享的公网带宽。 每台轻量型云主机只能绑定一个公网IP地址，且不支持更换公网IP地址。 存储限制 挂载轻量型云主机的云硬盘不支持加密盘、共享盘或ISCSI盘。 用户可以在订单页面额外挂载数据盘，这会产生额外费用（单独收费，独立套餐外），云盘容量大小范围为：1032768（GB）。 配额限制 单台轻量型云主机最多支持5块数据盘。 单个用户在单个资源池内最多可以开通10台轻量型云主机。 变更限制 目前，轻量型云主机仅支持套餐升级。用户可以进行套餐升级，但需要满足以下条件之一： 云盘的大小大于当前的规格。 主机规格大于当前的规格。 带宽大于当前的规格。

本文主要介绍如何查看VPC流日志。 操作场景 查看流日志记录详情。 捕获窗口大约为10分钟，即每10分钟输出一次流日志记录。所以流日志创建完成后，您需要等待大约10分钟，才能查看流日志记录详情。 说明 弹性云服务器关机状态下，不显示流日志记录。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏，选择“VPC流日志”。 4. 找到需要查看的流日志，单击操作列的“查看日志”，在云日志服务中查看流日志记录。 流日志格式： 示例1：在捕获窗口中正常记录数据的流日志记录 1 5f67944957444bd6bb4fe3b367de8f3d 1d515d181b3647dca983bd6512aed4bd 192.168.0.154 192.168.3.25 38929 53 17 1 96 1548752136 1548752736 ACCEPT OK VPC流日志版本为1，在2019年01月29日16:55:3617:05:36这10分钟内，网卡（1d515d181b3647dca983bd6512aed4bd）允许流过的流量信息，由源端IP地址和端口（192.168.0.154，38929）通过UDP协议向目的端IP地址和端口（192.168.3.25，53）传输了1个数据包，所有数据包的大小为96 byte。 示例2：在捕获窗口中未记录数据的流日志记录 1 5f67944957444bd6bb4fe3b367de8f3d 1d515d181b3647dca983bd6512aed4bd 1431280876 1431280934 NODATA 示例3：在捕获窗口中跳过了数据的流日志记录 1 5f67944957444bd6bb4fe3b367de8f3d 1d515d181b3647dca983bd6512aed4bd 1431280876 1431280934 SKIPDATA 字段含义如下表所示： 表 日志字段说明 字段 说明 示例 ::: version VPC流日志版本。 1 projectid 项目ID。 5f67944957444bd6bb4fe3b367de8f3d interfaceid 为其记录流量的网卡的ID。 1d515d181b3647dca983bd6512aed4bd srcaddr 源地址。 192.168.0.154 dstaddr 目的地址。 192.168.3.25 srcport 源端口。 38929 dstport 目标端口。 53 protocol IANA协议编号。 17 packets 数据包的数量。 1 bytes 数据包的大小。 96 start 捕获窗口启动的时间，采用Unix秒的格式。 1548752136 end 捕获窗口结束的时间，采用Unix秒的格式。 1548752736 action 与流量关联的操作： ACCEPT：安全组或网络ACL允许记录的流量。 REJECT：安全组或者网络ACL拒绝记录的流量。 ACCEPT logstatus 流日志的日志记录状态： OK：数据正常记录到选定目标。 NODATA：捕获窗口中没有传入或传出符合“采集类型”的网卡的网络流量。 SKIPDATA：捕获窗口中跳过了一些流日志记录。这可能是由于内部容量限制或内部错误。 示例： 如果您创建VPC流日志时设置“采集类型”为“接受”，当有接受流量时，“logstatus”将显示为“OK”。当没有接受的流量时，不管是否有拒绝的流量，“logstatus”都将显示为“NODATA”。当有一些接受流量异常跳过时，“logstatus”将显示为“SKIPDATA”。 OK 同时，您也可以在云日志服务的日志主题详情页面，在搜索框中通过关键字搜索日志。

本节介绍了专属云（计算独享型）如何切换节点。 1、如果您当前在专属云节点中，如贵州Dec001，可以点击节点切换的下拉箭头选择【贵州】切换到公有云节点。 2、如果您当前在公有云节点中，如贵州，可以点击节点切换的下拉箭头选择专属云节点【Dec001】切换到专属云节点。

配置项 说明 组播域名称 输入组播域的名称。 组播域来源 选择组播域的来源，支持云间和云内两种方式，只可同时选择一项。 当组播域中存在通过专线从 IDC 机房接入组播源的场景，需要选择云间组播域。 当组播域中的组播源全部都在天翼云内部，不存在组播源为 IDC 机房的场景，需要选择云内组播域。 所属vpc 选择组播域关联的VPC。 成员加入方式 选择组播成员加入组播域的方式，支持动态加入和静态加入。成员动态加入和静态加入只可同时选择一项。 成员动态加入时，根据行情接收者 APP 所使用的 IGMP 版本选择IGMP 协议，IGMPv2、IGMPv3至少选择一个。 云间组播域选择IGMPv3协议时，需填写SSM组地址。SSM组地址默认为232.0.0.0/8，可输入范围格式如225.0.0.0/24225.100.100.0/24，多个IP地址间用“;”隔开。 成员静态加入时，需手动填写组播组地址，目前只支持填写单个地址且不可相同。 描述 输入组播域的描述信息。

使用WebUI进行配置（本地访问方式，推荐） 1、使用本地PC，打开终端软件，执行以下命令，并输入虚拟机密码远程访问WebUI。 shell ssh N L 18789:127.0.0.1:18789 @ 说明 1. 请将 替换为部署OpenClaw服务实例的登录用户名。 2. 请将 替换为部署OpenClaw服务实例的公网IP地址。 2、获取OpenClaw中网关gateway的token。 登录虚拟机，执行以下命令查看openclaw.json文件，获取OpenClaw网关gateway的token配置。 shell cat ~/.openclaw/openclaw.json 找到gateway的token配置。 3、浏览器打开以下网址，登录webUI。 shell token> 说明 请将 替换为OpenClaw网关gateway的token配置。

本小节介绍安全专区产品优势。 快速合规方案 产品套餐依据等级保护要求针对云上各种应用场景进行合规设计，产品自动交付，一次购买可满足云用户多个系统的等保合规技术要求，快速解决云上合规整改问题。 平台紧密集成 自动识别所有云资产，关联安全组件能力自动评估云用户资产安全态势，用户使用云平台账号即可登录安全专区实施所有安全管理工作。 网端管三层防护 提供覆盖网络安全、终端安全、应用安全、数据安全各层面的安全能力，网端管联动分析，为云上应用系统安全运行提供全面保障。 集中管理全管控 集中管理用户云上资产安全，集中管理云上安全设备，集中管理云网边界、虚机系统、业务系统的漏洞、告警、用户行为等安全运行数据，提供全覆盖的安全态势管理能力。

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务RabbitMQ实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务RabbitMQ实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务RabbitMQ构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的RabbitMQ实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问RabbitMQ实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组

本章节介绍自定义授权服务 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 创建测试命名空间 kubectl create ns foo 打开sidecar自动注入 kubectl label ns foo istioinjectionenabled 部署sleep和httpbin应用 apiVersion: v1 kind: ServiceAccount metadata: name: sleep apiVersion: v1 kind: Service metadata: name: sleep labels: app: sleep service: sleep spec: ports: port: 80 name: http selector: app: sleep apiVersion: apps/v1 kind: Deployment metadata: name: sleep spec: replicas: 1 selector: matchLabels: app: sleep template: metadata: labels: app: sleep spec: terminationGracePeriodSeconds: 0 serviceAccountName: sleep containers: name: sleep image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/curl command: ["/bin/sleep", "infinity"] imagePullPolicy: IfNotPresent volumeMounts: mountPath: /etc/sleep/tls name: secretvolume volumes: name: secretvolume secret: secretName: sleepsecret optional: true 部署外部授权服务 apiVersion: v1 kind: Service metadata: name: extauthz labels: app: extauthz spec: ports: name: http port: 8000 targetPort: 8000 name: grpc port: 9000 targetPort: 9000 selector: app: extauthz apiVersion: apps/v1 kind: Deployment metadata: name: extauthz spec: replicas: 1 selector: matchLabels: app: extauthz template: metadata: labels: app: extauthz spec: containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/extauthz:1.16.2 imagePullPolicy: IfNotPresent name: extauthz ports: containerPort: 8000 containerPort: 9000 apiVersion: v1 kind: ServiceAccount metadata: name: httpbin apiVersion: v1 kind: Service metadata: name: httpbin labels: app: httpbin service: httpbin spec: ports: name: http port: 8000 targetPort: 80 selector: app: httpbin apiVersion: apps/v1 kind: Deployment metadata: name: httpbin spec: replicas: 1 selector: matchLabels: app: httpbin version: v1 template: metadata: labels: app: httpbin version: v1 spec: serviceAccountName: httpbin containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/httpbin imagePullPolicy: IfNotPresent name: httpbin ports: containerPort: 80

准备工作 获取源Redis的实例名称与实例ID、连接地址（IP:PORT)。 获取目标Redis的实例名称与实例ID、连接地址（IP:PORT)。 发起在线迁移操作 注意 如果源Redis和目标Redis处在同一Region同一VPC下时，则源Redis和目标Redis均选择对应实例名称即可，无需填写“Cluster集群”、“实例连接地址”信息 如果源Redis和目标Redis处在不同Region或者不同VPC下时，请根据场景使用 1.填写迁移信息 页面参数介绍： 参数 说明 实例名称 DCS中的实例名称，下拉列表选择（源Redis、目标Redis必须有一个是DCS实例)。 Cluster集群 当前集群是否是Cluster原生集群（不填写实例名称时填写）。 实例连接地址 IP:PORT（不填写实例名称时填写）。 实例账号/密码 Redis连接账号/密码，需有DBA管理权限。 key冲突模式 跳过目标key，继续执行/覆盖目标key，继续执行/中断迁移。 同步模式 全量同步+增量同步/全量同步（源Redis未放通PSYNC命令时，不支持增量同步）。 2. 连接检查 如果源Redis和目标Redis不在同一Region，建议使用云间高速打通网络。 如果源Redis和目标Redis在同一Reigon，但是不在同一VPC，建议使用对等网络打通网络。 3. 创建迁移任务，同时启动数据迁移 迁移进度 数据迁移页面，可查询迁移进度 说明 如果是增量迁移，会一直保持迁移中状态，需要手动停止迁移。 如需停止迁中的任务，点击记录右侧的”结束“，即可停止迁移。 如需重试中断的任务，点击记录右侧的”重试“，即可重试迁移操作。

"API Not Found"如何解决？ 请按以下顺序排查可能原因： 1.API的方法不正确。比如注册的API为POST方法，您使用了GET方法调用。 2.API没有发布。API创建后，需要发布到具体的环境后才能使用。 3.域名解析不正确。如果API方法正确，且已发布到环境，有可能是没有准确解析到您的API所在分组。请检查API所在的分组域名，例如您有多个API分组，每个分组有自己的独立域名，API调用时，使用了其他分组的独立域名。 No backend available，怎么解决？ 检查后端服务是否可以访问，如果不能访问，请修改后端服务。 检查后端服务对应的ECS安全组配置，查看是否已开放您需要的端口。 检查VPC网络中的ACL配置，查看是否有相关ACL策略限制了API网关实例与后端服务所在子网的通信。 若使用VPC通道，检查VPC通道业务端口、健康检查端口、后端服务器添加是否均正常。 后端服务调用失败或超时原因分析 以下原因可能导致后端服务调用失败或者超时，请逐一排查。 原因 解决方案 后端服务地址错误。 在编辑API中修改后端服务地址。如果是域名，请确认域名能正确解析到后端服务IP地址。 后端超时时间设置不合理。当后端服务没有在设置的后端超时时间内返回时，API网关提示后端服务调用失败。 在编辑API中增加后端超时时间。 如果“后端服务地址”在ECS（Elastic Cloud Server），ECS的安全组的出/入方向规则可能拦截了请求。 检查后端服务所在ECS的安全组，确保出/入方向端口规则和协议都设置正确。 请求协议配置错误，如后端服务为HTTP，在API网关配置为HTTPS。 注册的API与后端服务配置相同的协议。

本节主要介绍API网关的约束与限制。 如果您需要修改默认限制值，请联系技术支持申请扩大配额。 表 API网关配额管理明细 限制项 默认限制 能否修改 ::: API分组数量 每个用户最多创建50个API分组。 √ API数量 每个用户最多创建200个API。 √ 后端策略数量 每个用户最多创建5个后端策略。 √ 应用数量 每个用户最多创建50个应用。应用配额包括用户自行创建的应用和API市场购买API生成的应用。 √ 流控策略数量 每个用户最多创建30个流控策略。 用户流量限制不超过API流量限制。 应用流量限制不超过用户流量限制。 源IP流量限制不超过API流量限制。 √ 环境数量 每个用户最多创建10个环境。 √ 签名密钥数量 每个用户最多创建30个签名密钥。 √ 访问控制策略数量 每个用户最多可以创建100个访问控制策略。 √ VPC通道数量 每个用户最多创建30个VPC通道。 √ 变量数量 每个分组在任意一个环境中，最多创建50个变量。 √ 独立域名数量 每个分组最多可以绑定5个独立域名。 √ 云服务器数量 每个VPC通道最多添加200个云服务器。 √ 参数数量 每个API最多创建50个参数。 √ 发布历史数量 同一个API在每个环境中最多记录10条最新的发布历史。 √ 每个API的访问频率 不超过200次/秒。 √ 特殊应用 每个流控策略最多可创建30个特殊应用。 √ 特殊租户 每个流控策略最多可创建30个特殊租户。 √ 子域名访问次数 每个子域名每天最多可以访问1000次。 x 调用请求包的大小 API每次最大可以调用12M的请求包 x TLS协议 支持TLS1.1和TLS1.2，推荐使用TLS1.2。 x 实名认证 未实名认证的用户，无法进行任何的创建操作。 x

如何通过安全组控制使VPN不能访问VPC上的部分虚拟机，实现安全隔离？ 如果用户需要控制VPN站点只能访问VPC的部分网段或者部分主机，可以通过安全组进行控制。 配置示例 不允许客户侧的子网192.168.1.0/24访问VPC内子网10.1.0.0/24下的ECS。 配置方法 1. 创建两个安全组：安全组1和安全组2。 2. 安全组1的入方向规则配置deny网段192.168.1.0/24。 3. 安全组2允许192.168.1.0/24访问。 4. 网段10.1.0.0/24的ECS选择安全组1，其他的主机选择安全组2。 修改VPN连接的配置会造成连接重建吗？ VPN连接包含本端子网、对端子网、对端网关、预共享密钥、IKE协商策略、IPsec协商策略。修改VPN连接具体包括以下几种情况： 修改本端子网和对端子网，连接ID不发生变化，只是更新了连接两端的子网信息，如果更新的是部分子网信息，已经建立的子网间隧道不会重建。 修改对端网关IP，连接ID不发生变化，但连接的对端已改变，连接需要重建。 仅修改连接的预共享密钥，连接的ID不发生变化，连接状态当时并不发生改变，重协商会重新校验密钥匹配情况，如果密钥不匹配重协商会失败。 修改协商策略（需验证预共享密钥），连接ID发生改变，相当于连接删除重建过程，连接需要重建。 云对接AWS后，为何不可以从AWS向云发起协商？ VPN建立连接完成后，AWS为Response模式，并不主动发起协商，当从AWS的EC2向云ECS发起数据流时，也不触发该VPN建立SA。 请按照AWS的知识文档，只能从客户侧（即对接AWS的云）发起协商。

函数计算默认情况下使用的是动态分配的出口IP地址，这意味着IP地址可能会发生变化，并没有一个固定的网段。在某些情况下，比如当您的函数需要访问特定的资源与服务时，您的函数有可能不在其白名单访问列表中导致对端服务拒绝访问。为了满足这种需求，函数计算提供了一个功能，允许您为函数绑定一个固定的公网IP地址。 注意 固定IP地址功能是与VPC中的公网NAT网关结合使用的。为了实现VPC内实例的公网访问，您需要创建一个公网NAT网关，并对其进行适当的配置。这个过程包括绑定一个弹性IP地址到NAT网关，并添加SNAT（源网络地址转换）条目，从而使得VPC内的实例可以通过这个弹性IP地址与互联网进行通信。具体操作步骤请参阅： 额外计费 在设置固定公网IP地址的过程中，您需要用到NAT网关和弹性IP服务，这将会带来额外的费用。有关详细的计费信息，请参阅NAT网关计费说明公网NAT网关计费说明和弹性IP计费说明计费概述。 配置固定公网IP地址 1. 登录函数计算控制台，在左侧导航栏，点击函数。 2. 在函数页面，点击目标函数，进入目标函数详情页。 3. 在目标函数详情页的上方导航栏，点击配置。 4. 在左侧导航栏，点击网络 选项卡，打开网络的具体配置页后，点击编辑，进行网络配置的修改。 5. 如果您希望配置目标函数固定公网IP，请： 1. 打开允许访问VPC的选项。 2. 依次配置您希望访问的专有网络、子网以及安全组。 3. 然后请打开固定公网IP的选项。 4. 最后设置允许函数默认网卡访问公网 为否。 5. 修改完毕后，点击下方的部署按钮，即可允许目标函数以固定公网IP的方式对外访问。

本文向您介绍如何排查企业版VPN云上云下无法Ping通的问题。 故障现象 云下数据中心服务器无法Ping通VPC上的ECS服务器。 VPC上的ECS服务器无法Ping通云下数据中心服务器。 可能原因 安全组配置不正确 客户设备侧放通策略配置不正确 客户设备侧路由配置不正确 处理步骤 检查安全组配置 确认default安全组已经放通去往对端子网数据流。 default安全组查看步骤如下： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击关联的VPC名称。 2. 单击VPC对应的路由表。 3. 单击路由表的名称。 4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。 5. 在“关联安全组”页签，检查端口放通情况。 确认default安全组已经放通来自对端子网数据流。 确认default安全组已经放通去往本端子网数据流。 确认default安全组已经放通来自本端子网数据流。 确认ECS所在的安全组已经放通去往对端子网数据流。 ECS安全组可以选择“计算 > 弹性云主机”，单击“更多 > 安全组规则配置”查看。 确认ECS所在的安全组已经放通来自对端子网数据流。 检查客户设备侧放通策略 确认客户设备侧已经放通去往VPN本端子网的数据流。 确认客户设备侧已经放通来自VPN本端子网的数据流。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。 检查客户设备侧路由配置 确认公网路由配置正确：目的地址为VPN网关EIP地址，下一跳为设备出口地址。 确认私网路由配置正确：目的地址为VPN本端子网，下一跳为设备出口地址。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。