删除创建失败的RabbitMQ实例 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 此处请选择RabbitMQ实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”>“分布式消息服务”>“RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤 4 通过以下任意一种方法，删除创建失败的RabbitMQ实例。 勾选RabbitMQ实例名称左侧的方框，可选一个或多个，单击信息栏左上侧的“删除”。 在创建失败的删除RabbitMQ实例所在行，单击“删除”。 步骤5 在“删除实例”对话框中，输入“DELETE”，单击“确定”，完成删除RabbitMQ实例。

本节介绍了弹性云主机的退订规则。 退订规则详情请参考天翼云帮助中心费用中心退订规则说明。

注意事项 当开通天翼云边缘安全加速平台—安全与加速服务加速全球或全球（不含中国内地）服务时，支持开通高性能网络增值服务。 高性能网络服务开通后不会直接生效，需要针对域名配置开启高性能网络服务才会生效。具体请参考高性能网络中配置说明。 因高性能网络为非必须的精品增值服务，涉及计费，如无需使用，请及时退订服务。

介绍分布式消息服务Kafka用户列表功能操作内容。 场景描述 Kafka用户管理的场景描述如下： 访问控制：Kafka用户管理可以用于实现访问控制，限制对Kafka集群和主题的访问权限。通过创建不同的用户和角色，并为其分配合适的权限，可以确保只有经过授权的用户能够访问和操作Kafka集群。 安全认证：Kafka用户管理可以用于实现安全认证，确保只有合法用户能够登录和使用Kafka集群。通过设置用户名和密码，以及使用TLS/SSL证书等安全机制，可以保护Kafka集群免受未经授权的访问和攻击。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后即可查看所有的用户信息。 （5）右上角输入用户名称，可查询对应用户。

本文介绍Redis连接失败问题排查和解决 概述 本章节主要描述Redis连接过程出现的问题，以及解决方法。 问题分类 当您发现与Redis实例连接出现异常时，可以根据本文的内容，从以下几个方面进行排查。 Redis和ECS之间的连接问题 公网连接Redis 密码问题 实例配置问题 客户端连接问题 性能问题导致连接超时 Redis和ECS之间的连接问题 在连接Redis和ECS之间存在一些常见的问题，需要确保它们在同一个VPC内并能够正常通信。 未正确配置安全组规则： 问题描述：Redis和ECS的安全组可能没有正确配置，导致连接失败。 解决方法：需要配置ECS和Redis实例所在安全组规则，确保允许Redis实例被访问。详细的配置步骤可以参考配置安全组。 白名单功能开启导致连接失败： 问题描述：如果实例开启了白名单功能，客户端连接时需要确保客户端IP在白名单内，否则将无法连接。 解决方法：需要按照实例实例白名单配置文档操作，确保客户端IP在白名单内。注意，如果客户端IP发生变化，需要将新的IP加入白名单。 不同VPC导致连接失败： 问题描述：如果Redis实例和ECS不在同一个VPC，它们之间的网络是不相通的。 解决方法：可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问Redis实例。有关VPC对等连接的创建和使用，请参考VPC对等连接说明。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 TSDBlink OpenTSDB链接地址 OpenTSDB的ZK链接地址。 opentsdbsp8afz7bgbps5ur.cloudtable.com:4242 安全模式 选择安全或非安全模式。 选择安全模式时，需要输入项目ID、用户名、AK/SK。 Nonsecurity 项目ID CloudTable服务所在区域的项目ID。 项目ID表示租户的资源，帐号ID对应当前帐号。用户可在对应页面下查看不同Region对应的项目ID和帐号ID。 1. 注册并登录管理控制台。 2.在用户名的下拉列表中单击“我的凭证”。 3. 在“我的凭证”页面，查看帐号名和帐号ID，在项目列表中查看项目ID。 用户名 访问CloudTable服务的用户名。 admin 访问标识(AK) 密钥(SK) 访问CloudTable服务的AK和SK。 您需要先创建当前账号的访问密钥，并获得对应的AK和SK。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥>新增访问密钥”，详见下图：单击新增访问密钥。 3.单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。

操作系统与容器运行时的对应关系 节点类型 操作系统 内核版本 容器运行时 容器存储Rootfs OCI 运行时 弹性云主机 CTyunOS 23.01 5.10 Containerd OverlayFS runC 弹性云主机 CentOS 7.9 5.4 Containerd OverlayFS runC 弹性裸金属 CTyunOS 23.01 5.10 Containerd OverlayFS runC 弹性裸金属 CentOS 7.9 5.4 Containerd OverlayFS runC 集群版本与容器运行时对应关系 集群版本 容器运行时 运行时版本 v1.23.3 containerd 1.6.23 v1.23.3 docker 20.10.12 v1.25.6 containerd 1.6.23 v1.25.6 docker 20.10.12 v1.27.8 containerd 1.6.23 v1.27.8 docker 20.10.12 v1.29.3 containerd 1.6.23 v1.29.3 docker 20.10.12

参数 是否必填 参数说明 参考样例 版本说明 否 1. 创建模板将自动生成模板的第一个版本，之后每次更新都将自动为版本号+1。 2. 可在版本说明处简要说明当前版本特点，最长可输入255个字符。 批量创建5台云主机 模板内容 是 1. 新增tf文件，在文件中按照

本文为您介绍云容灾支持的操作系统版本。 目前仅支持64位操作系统，且云主机的规格不能小于2CPU+4GB内存。 注意 1. Linux系统的/boot分区和/分区必须在同一磁盘，若不满足同一磁盘要求，建议手动调整磁盘后，再注册受保护实例进行容灾。 2. 请确认主机的操作系统与内核版本是否在下方支持列表中，不支持的操作系统与内核版本安装容灾客户端将会失败。 支持的操作系统版本如下表所示： 操作系统类型 操作系统版本 内核版本 位数 CentOS 7.6 3.10.01160.119.1.el7.x8664 64 CentOS 7.9 3.10.01160.119.1.el7.x8664 64

参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 通知模板名称 ，长度240个字符。 xsZSu service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ ecs dimension 是 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs contents 是 Array of Objects 通知模板 content isDefault 否 Boolean 是否为自定义默认通知模板，默认值为false false

步骤说明 公网NAT网关创建成功后，您需要创建DNAT规则。通过创建DNAT规则，您可以将该线下IDC的云主机通过共享弹性公网IP对外提供服务。 操作步骤 1. 单击上一步创建的NAT网关，进入NAT网关详情页，下拉至DNAT页签，点击“添加DNAT规则”。 2. 在弹出页面选择配置： 弹性IP：选择创建的第二个弹性IP 类型：手动输入自定义网段 网段：专线连接的线下主机地址 公网端口：165535（部分资源池端口不同，以控制台为准） 内网端口：云下应用端口 支持协议：TCP 3. 单击“确定”，完成DNAT规则的添加。 4. 等待DNAT规则状态变为运行中，即完成DNAT规则配置。

本文主要介绍云防火墙（Cloud Firewall，CFW）的产品定义。 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 智能防御 CFW通过安全能力积累和全网威胁情报，提供AI入侵防御引擎对恶意流量实时检测和拦截，与安全服务全局联动，防御木马蠕虫、注入攻击、漏洞扫描、网络钓鱼、暴力破解等攻击。 灵活扩展 CFW可对全流量进行精细化管控，支持互联网边界防护，防止外部入侵、内部渗透攻击和从内到外的非法访问；同时，防护IP与防护带宽等关键性能规格可无限扩展，集群部署高可靠，满足大规模流量的安全防护。 极简应用 云防火墙作为云防火墙，支持一键开启，多引擎安全策略一键导入，资产自动秒级盘点，操作页面可视化呈现，大幅提高管理和防护效率。

本文汇总了使用并行文件服务HPFS产品时常见的操作类问题。 物理机通过NFS协议挂载HPFS文件系统，网络不通如何处理？ 可能原因 原因1：物理机和HPFS的协议服务不是同一个VPC。 原因2：VPC下需要有一个标准裸金属子网，和一个的普通子网。 定位思路 排除网络问题后，重试挂载命令。 解决方法 1）HPFS创建协议服务时选择和物理机相同的VPC，以及选择开启终端节点。后续选择VPCE的挂载地址进行挂载操作。详细可参见：创建协议服务； 2）检查VPC下，需要有一个标准裸金属子网，和一个的普通子网。 如何解决云主机无法挂载文件系统问题？ 定位思路 云主机挂载HPFS文件系统，创建文件系统后，使用协议服务功能，通过VPC或VPCE的挂载地址挂载。详细请参见：协议服务概述。 相关挂载操作请参见：HPFSNFS客户端挂载。 解决方法 执行 route 命令查看有没有100路由地址，若没有执行 dhclient 或者执行 reboot 重启云主机，然后再次 route 查看有没有100路由地址。如果依然不能请联系客服或提交报障工单。 用户使用HPFS进行模型训练时，出现机器CPU内核态占用有时非常高的现象

AI模型的部署 AI模型的选择和通用模型的配置 “分析Claw”和“文案Claw”使用自然语言模型即可，“美工Claw”需要在自然语言模型的基础上增加识图、文生图和图生图能力。在此，我们推荐的部署方式是，使用自然语言模型在天翼云控制台进行部署，然后与龙虾对话，让其引用新的模型能力。通用语言模型我们在此案例中使用GLM5。 1. 点击云主机名称进入对应云主机详情页 2. 点击应用管理，进入应用管理详情界面 3. 点击应用配置 4. 在模型侧，替换为已购的模型，或使用自定义模型，请参考++《++ ++OpenClaw模型配置指南++++》++将龙虾使用的主模型替换为GLM5。如果您使用的是其他渠道自购模型，请将模型来源改为自定义，并填入对应信息。 模型填写之后，选择添加并应用。向机器人发送hi，当机器人能正常响应时，则模型成功切换，否则，根据报错信息，在模型供应商处排查模型信息是否有误，并重新替换模型。此处，为了避免限流和彼此之间的任务收发影响，建议不同Agent选用不同的模型KEY。重复此操作，为所有的三台主机替换基础模型。

本文主要介绍如何将实例移除伸缩组。 您可以将实例移出伸缩组，更新实例或排查实例的问题，然后将实例重新移入伸缩组。移出伸缩组后实例不再处理应用程序流量。当您选择“移出伸缩组” 时，系统仅将其移出伸缩组，不释放、不删除、不改变云服务器状态，云服务器实例可以作为其他用途；当您选择“移出伸缩组并释放” 时，系统会将伸缩组创建的云服务器移出伸缩组并且将其释放，但该操作对手动移入伸缩组的云主机不生效。 将云主机成功移出指定伸缩组必须满足如下条件： 伸缩组没有正在进行的伸缩活动； 伸缩实例状态为“已启用” ； 移出后实例数不能小于伸缩组的最小实例数时。 将云主机移出伸缩组的步骤如下： 1. 登录天翼云控制中心，切换到需要修改伸缩策略的节点，选择【弹性伸缩服务】； 2. 在伸缩组所在行，单击伸缩组名称，进入【伸缩组详情页】； 3. 在【伸缩组详情页】，单击【伸缩实例】标签，进入【伸缩实例标签页】； 4. 在【伸缩实例】页签中的实例所在行的【操作】列下，单击【移出伸缩组】或【移出伸缩组并删除】； 5. 如果您要移出所有实例，可以勾选参数“实例名称” 左侧的方框，单击【移出伸缩组】或【移出伸缩组并删除】。

本节为您介绍如何关联/解关联VPC。 在关联VPC前，请确保已经为内网域名添加相应内网域名解析记录，具体操作请参见创建解析记录。 说明 如希望VPC内主机访问私网域名生效，除操纵私网域名关联VPC，还需要VPC内主机修改DNS指向内网DNS server。具体步骤您可参见 也可在对应子网详情面板修改VPC子网DNS配置，子网修改配置后存量主机需要重新DHCP后才会生效。 内网域名关联VPC后，在被关联VPC内的ECS上，您的内网域名将按照内网域名解析记录被解析，其公网解析记录则会被覆盖。 说明 VPC环境外，该内网域名的公网解析记录不受影响。通过为内网域名添加内网域名解析记录，可以防止记录为空的内网域名将需要使用的公网解析覆盖掉，造成异常。 假设您添加了如下内网域名example.com，并为其添加了相应内网域名解析记录。此时，您可以将该内网域名关联到VPC。关联VPC后，对应VPC内的ECS访问example.com下的域名时，会使用您为example.com添加的内网域名解析记录，而example.com在公网的解析将会被完全覆盖。 操作步骤 1. 已创建内网域名，并登录到[内网DNS](

功能项 功能说明 标准版 专业版 身份认证 用户账号双因子认证 支持手机令牌、手机短信、USBKey、动态令牌等多因子认证形式。 √ √ 身份认证 用户账号远程认证 支持AD域、RADIUS、LDAP、Azure AD远程认证。 √ √ 权限控制 系统访问权限 通过划分组织部分结构、分配用户角色、设置用户登录限制，控制用户登录和访问系统权限。 √ √ 权限控制 资源访问权限 按照用户、用户组、资源账户、账户组，建立用户对资源的访问控制授权，通过配置访问控制策略、双人授权、命令控制策略，实现对资源不同维度的控制。 √ √ 权限控制 双人授权 通过配置“双人授权”实现双人或多人权限审核，保障核心资源安全。 √ √ 权限控制 字符命令拦截 通过配置命令控制策略，对字符协议资源关键操作，进行动态授权。 √ √ 权限控制 数据库命令拦截 通过配置数据库控制策略，对数据库资源敏感、危险等操作，进行精确限制、二次复核。 说明：数据库命令拦截功能不区分云数据库还是自建的数据库。 × √ 账户管理 用户账号全生命周期管理 用户账号单个创建、批量导入、批量管理，以及划分用户组管理。 √ √ 账户管理 资源账户全生命周期管理 资源和资源账户的单个添加、批量导入、批量管理，以及资源账户的划分账户组管理。 √ √ 账户管理 纳管主机资源 支持纳管SSH、RDP、VNC、TELNET、FTP、SFTP、Rlogin协议类型的Linux和Windows资源。 √ √ 账户管理 纳管应用资源 支持通过Windows应用服务器，纳管Chrome、Edge、Firefox、Oracle Tool 、MySQL等浏览器或客户端应用资源。 √ √ 账户管理 纳管数据库资源 支持纳管DB2、MySQL、SQL Server和Oracle引擎类型数据库。 × √ 账户管理 资源账户自动改密 通过配置改密策略，定期修改资源账户密码，管控资源账户及登录密码。 √ √ 账户管理 资源账户自动同步 通过配置账户同步策略，及时发现僵尸账户或未被管控账户。 × √ 操作审计 系统登录和操作全程记录 支持导出系统日志、生成系统报表，以及配置告警通知。 √ √ 操作审计 资源运维操作全程审计 支持多种审计技术和审计形式，会话实时监控，历史会话可生成视频、导出文本报表的双重审计，并支持日志远程备份。 √ √ 操作审计 数据库行为审计 基于操作命令审计数据库运维全程。 × √ 高效运维 Web浏览器一站式运维 远程登录资源，无需安装客户端，一键登录运维资源，并集成批量登录、协同会话、文件传输、命令群发等功能。 √ √ 高效运维 第三方客户端运维 一键接入多种运维工具，支持多种运维形式，包括SSH客户端运维、FTP/SFTP客户端运维等。 √ √ 高效运维 数据库运维 通过SSO单点登录工具调用客户端，一键登录目标数据库。 × √ 高效运维 自动化运维 在线管理脚本，以及定时执行预置运维任务。 × √ 工单申请 访问授权工单、命令授权工单申请 系统用户为获取资源控制权限，通过手动或自动方式触发系统工单，提交工单给系统管理人员审批，获取权限的全程。 √ √ 工单申请 数据库授权工单申请 系统用户可触发数据库敏感操作，自动生成授权工单，系统用户需提交工单申请，由管理人员审批通过才能获取继续操作权限。 × √

参数 参数说明 取值样例 资源类型 配置告警规则监控的云服务资源类型。 云主机 维度 用于指定告警规则对应指标的维度名称。 云主机 监控对象 用来配置该告警规则针对的资源分组。 选择类型 选择从模板导入。 从模板导入 模板 选择需要导入的模板。 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 沉默时间 告警发生后，如果监控项未恢复正常，之后间隔多久再次发送告警。 5分钟 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 告警 名称 该告警规则的自定义名称。 描述 添加对该告警规则描述（此参数非必填项）。

本文为您介绍计算专属云的产品规格。 计算专属云的规格提供了对应计算资源的配置信息，决定了您能在计算专属云中使用的弹性云主机规格，也决定了您能创建的弹性云主机实例数量。 计算专属云中对应的宿主机的配置信息主要包括：物理内核、超配比、硬件配置（CPU型号和内存大小）、虚拟CPU核数（vCPUs），您可以根据自己的业务需求和成本规模，选择合适的专属宿主机规格。 目前已支持的计算专属云规格如下： 通用计算型 计算增强型 内存优化型 国产化系列

本节介绍了操作审计的用户指南。 概述 容器镜像服务接入了云审计服务，支持将用户在容器镜像服务控制台的所有操作上报至云审计，以供用户在云审计控制台查看审计日志。 前置条件 已开通容器镜像服务企业版实例 已开通云审计服务 查看审计日志 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例。 3. 点击左侧导航栏点击 "实例管理" "云审计"，即可跳转到云审计控制台。 4. 在云审计控制台可查看容器镜像服务的审计日志。 5. 云审计控制台默认保存最近7天的日志，若需要将日志长期存储，可参照云审计服务的帮助文档创建事件跟踪任务。 注意 老版本的容器镜像服务控制台内置了操作审计页面，用户仍可通过将链接 /audit?instanceId${instanceId} 中的${instanceId}替换为已开通的企业版实例ID进行访问，该链接将在后续版本中下线，用户应尽快迁移至云审计服务来查看审计日志。 当前已纳入云审计的关键操作列表 事件中文名称 事件英文名称 重置密码 resetPassword 更新实例对象存储配置 updateStorageConfig 创建容器镜像命名空间 createNamespace 更新容器镜像命名空间 updateNamespace 删除容器镜像命名空间 deleteNamespace 创建Helm Chart命名空间 createChartNamespace 更新Helm Chart命名空间 updateChartNamespace 删除Helm Chart命名空间 deleteChartNamespace 创建镜像仓库 createRepository 更新镜像仓库 updateRepository 删除镜像仓库 deleteRepository 创建Chart镜像仓库 createChartRepository 更新Chart镜像仓库 updateChartRepository 删除Chart镜像仓库 deleteChartRepository 登录实例 loginInstance 推送制品 pushArtifact 拉取制品 pullArtifact 删除制品 deleteArtifact 添加公网白名单 createInstanceEndpointAclPolicy 删除公网白名单 deleteInstanceEndpointAclPolicy 创建版本不可变规则 createImmutableTagRule 更新版本不可变规则 updateImmutableTagRule 删除版本不可变规则 deleteImmutableTagRule 创建版本保留策略 createRetentionPolicy 更新版本保留策略 updateRetentionPolicy 删除版本保留策略 deleteRetentionPolicy 创建镜像同步规则 createRepoSyncRule 更新镜像同步规则 updateRepoSyncRule 删除镜像同步规则 deleteRepoSyncRule 创建镜像迁移规则 createRepoMigrateRule 更新镜像迁移规则 updateRepoMigrateRule 删除镜像迁移规则 deleteRepoMigrateRule 创建定时清理策略 createGcScheduler 更新定时清理策略 updateGcScheduler 删除定时清理策略 deleteGcScheduler 立即执行清理 executeGc 创建镜像共享 createSharedRepository 更新镜像共享 updateSharedRepository 删除镜像共享 deleteSharedRepository 新增收藏镜像仓库 addStaredRepository 取消收藏镜像仓库 deleteStaredRepository 创建签名规则 createSigning 更新签名规则 updateSigning 删除签名规则 deleteSigning 创建事件通知规则 createEventRule 更新事件通知规则 updateEventRule 删除事件通知规则 deleteEventRule 创建触发器 createTrigger 更新触发器 updateTrigger 删除触发器 deleteTrigger 创建风险阻断策略 createVulnerabilityBlocker 更新风险阻断策略 updateVulnerabilityBlocker 删除风险阻断策略 deleteVulnerabilityBlocker 创建自定义域名 createCustomDomain 删除自定义域名 deleteCustomDomain 更新自定义域名 updateCustomDomain 创建安全扫描 createScan

本章节主要介绍 ALM12054 证书文件失效。 告警解释 系统每天二十三点检查当前系统中的证书文件是否失效（即当前集群中的证书文件是否过期，或者尚未生效）。如果证书文件失效，产生该告警。 当重新导入一个正常证书，并且状态不为失效状态，该告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12054 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 提示用户证书文件已经失效，部分功能受限，无法正常使用。 可能原因 系统未导入证书（CA证书、HA根证书、HA用户证书、Gaussdb根证书或者Gaussdb用户证书等）、导入证书失败、证书文件失效。 处理步骤 查看告警原因 1.打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行的。 查看“附加信息”，获取告警附加信息。 告警附加信息中显示“CA Certificate”，以omm用户登录主OMS管理节点，执行步骤2。 告警附加信息中显示“HA root Certificate”，查看“定位信息”获取告警所在节点主机名，以omm用户登录该主机，执行步骤3。 告警附加信息中显示“HA server Certificate”，查看“定位信息”获取告警所在节点主机名，以omm用户登录该主机，执行步骤4。

开启云主机保护 接口功能介绍 开启云主机保护 接口约束 无 URI POST /v4/scaling/group/protectenable 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b groupID 是 Integer 伸缩组ID 542 instanceIDList 是 Array of Integers 实例ID列表 [474] 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回码：800表示成功，900表示失败 800 errorCode String 业务细分码，为product.module.code三段式码 Scaling.Group.NotFound 错误码 message String 失败时的错误描述，一般为英文描述 scaling group info not found description String 失败时的错误描述，一般为中文描述 未找到弹性伸缩组信息 returnObj Object 成功时返回的数据，参见表returnObj returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 instanceIDList Array of Integers 实例ID列表 [474] 请求示例 请求头header 无 请求体body json { "groupID": 542, "regionID": "81f7728662dd11ec810800155d307d5b", "instanceIDList": [ 474 ] }

关闭云主机保护 接口功能介绍 关闭云主机保护 接口约束 无 URI POST /v4/scaling/group/protectdisable 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b groupID 是 Integer 伸缩组ID 542 instanceIDList 是 Array of Integers 实例ID列表 [474] 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回码：800表示成功，900表示失败 800 errorCode String 业务细分码，为product.module.code三段式码 Scaling.Group.NotFound 错误码 message String 失败时的错误描述，一般为英文描述 scaling group info not found description String 失败时的错误描述，一般为中文描述 未找到弹性伸缩组信息 returnObj Object 成功时返回的数据，参见表returnObj returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 instanceIDList Array of Integers 实例ID列表 [474] 请求示例 请求头header 无 请求体body json { "groupID": 542, "regionID": "81f7728662dd11ec810800155d307d5b", "instanceIDList": [ 474 ] }

本节包含了超高IO型Ir3弹性云主机的概述、规格、适用场景。 概述 Ir3搭载第二代英特尔® 至强® 可扩展处理器，计算性能强劲稳定；配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力；使用高性能NVMe SSD本地盘，提供高存储IOPS以及低读写时延。 类型 CPU基频/睿频 CPU型号 ::: Ir3 2.6GHz/3.5GHz Intel 6278C 规格 表 Ir3型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 本地盘（GiB） 网卡个数上限 虚拟化类型 ir3.large.4 2 8 4/1.2 40 50 2 2 x 50 2 KVM ir3.xlarge.4 4 16 8/2.4 80 50 2 2 x 100 3 KVM ir3.2xlarge.4 8 32 15/4.5 140 100 4 2 x 200 4 KVM ir3.4xlarge.4 16 64 20/9 250 150 8 2 x 400 8 KVM ir3.8xlarge.4 32 128 30/18 450 300 16 2 x 800 8 KVM

本章介绍如何对已经创建完成的备份策略进行修改。 如果原策略备份周期为按天备份，修改备份周期后，仍会按照创建策略的时间进行计算。例如：创建备份策略时设置每7天备份一次，按照创建策略时间开始计算，7天备份一次。如果3天后，将备份策略修改为5天备份一次，通常是希望修改当天之后5天开始备份，但实际上CSBS是在备份策略修改后2天开始备份，这个时间仍然是按照创建策略时间计算的，没有按照修改时间重新计算。 可以将原策略解绑后，再新建策略再重新绑定。 前提条件 已创建至少1个备份策略。 操作步骤 1. 登录云主机备份管理控制台。 登录管理控制台。 选择“存储 > 云主机备份”。 2. 选择“策略”页签。 3. 在需要修改的备份策略所在行单击“编辑”。 4. 在“编辑备份策略”页面进行修改，策略参数说明参考创建备份策略章节。 5. 单击“确定”。

获取客户端真实IP 网站若使用了流量代理服务（如CDN、DDoS高防、WAF），达到源站的IP均将显示为相关服务的代理回源IP地址，WAF在HTTP请求头部中默认插入了XForwardedFor字段，用于记录客户端真实IP，源站服务器可以通过解析回源请求中的XForwardedFor记录，获取客户端的真实IP，各类型的Web应用服务器针对该字段的提取配置可联系安全防护工程师提供技术支持。 与CDN结合使用 WAF与CDN完全兼容，可以通过与CDN的结合使用，为开启CDN内容加速的业务同时提供Web攻击防护。 若已经接入CDN服务，将云WAF为防护域名分配的CNAME地址作为CDN的源站即可。 客户端 > CDN > WAF > 源站，流量将按照用户 > CDN > WAF >源站的架构回源。同时，需要您联系CDN服务商，将客户端的真实IP通过clientIP字段插入至HTTP请求头部中，并告知安全防护工程师进行提取配置，保证WAF正常防护。 防护策略说明 WAF防护服务目前默认策略分为低、中、高与 AI 学习模式。各防护策略均包含上述攻击类型在内的安全防护，策略等级越高越严格，攻击漏拦截概率越小，对业务 访问影响程度可能更高（业务代码不规范也会触发阻断策略）。 低级防护策略主要针对攻击特征比较明显的违规请求，适用于站点存在较多不可控用户输入（如含有富文本编辑器的网站业务）的业务场景。 一般情况下，中级防护策略适用于绝大部分业务场景的Web防护需求。 高级防护策略采用了最精细的防护颗粒度，适用于对业务安全性要求较高，同时需要网站开发人员高度参与策略定制与防护过程的业务场景。 如对站点业务流量特征还不完全清楚，可以启用AI学习模式，该模式下AI学习引擎会自动学习网站的访问模式与流量特征，经过7到14天的分类训练和流量学习后会对所有策略根据机器算法进行评分，保留学习后符合标准的策略规则，大幅减少误报，提高对已知与未知Web安全威胁的防护效果，同时，可联系天翼云安全工程师基于学习期间的攻防日志，进一步优化安全防护策略和配置。 接入WAF防护服务后，当启用防护策略时，即便是低级防护策略 ，可能也会因为网站代码实现不够规范或用户通过非常规方式访问等情况，造成用户的上传搜索等正常操作可能被误认为是攻击而拦截掉。当业务访问出现误报较多的情况，建议将防护模式调整为观察模式，通过自服务平台查看告警日志，并及时观察业务的正常使用情况，发现误报请求后第一时间联系天翼云安全工程师优化安全防护策略。

本文为您介绍如何关闭重点操作短信验证。 重点操作验证，是天翼云平台为了保障安全，在用户进行重点操作前增加的二次认证，二次认证通过后系统才能执行用户操作。可避免因误操作引起严重后果，提供更高的安全性。您可以按照以下方式，关闭重点操作短信验证功能： 1. 登录天翼云账号，点击右上角头像下方的【个人中心】进入基本信息，下拉点击“安全设置”再点击“登录保护”如下图所示。 2. 点击【立即修改】跳转至概览/设置重点操作验证，如下图所示。 3. 选择关闭，如下图所示。 4. 点击【保存】，即可关闭重点操作保护。

同一个Nacos引擎可能会有多个用户共同使用，开启了“安全认证”的Nacos引擎专享版，通过微服务控制台提供的基于RBAC（RoleBased Access Control，基于角色的访问控制）的权限控制功能，使不同的用户根据其责任和权限，具备不同的引擎访问和操作权限。 开启了“安全认证”的Nacos引擎专享版，支持微服务正常接入。 说明 只有引擎版本为2.1.0.1及以上版本支持此功能，若版本低于2.1.0.1，可参考 当Nacos引擎版本为2.1.0升级到2.1.0.1及以上版本时，需要先开启安全认证初始化密钥信息，才可使用权限控制功能。

复制规则 通过复制规则，只需修改少量配置参数，用户即可快速创建一个和已有规则类似的规则。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择需要添加规则的类型。 4. 在规则列表中找到目标规则，单击操作列的“复制”。 5. 在弹出的窗口中，修改规则参数。参数说明请参见添加自定义规则。 6. 参数修改完成后，单击“确认”。 启用/禁用规则 为了控制检查规则“误报”和“漏报”之间的均衡关系，系统提供规则开关，用户可自定义开启或关闭文件规则检查项。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择要操作的规则类型。 4. 在规则列表的启用状态列，可以打开或关闭某一规则。 或勾选多个规则，单击规则列表右上方的“启用”、“禁用”按钮，可以批量启用/禁用规则。 编辑规则 说明 仅支持对自定义规则进行编辑，系统内置规则（创建人为“内置”）不可编辑。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择需要添加规则的类型。 4. 在规则列表中找到目标规则，单击操作列的“编辑”。 5. 在弹出的窗口中，修改规则参数。参数说明请参见[添加自定义规则](

适用场景 适用于对数据安全要求比较高的系统，确保通信双方安全可信。 注意事项 使用双向认证的前置条件： 当前域名已配置HTTPS证书。 拥有客户端证书。 配置说明 如您需要配置双向认证功能，请通过提交工单给天翼云客服，由其帮您配置。

查看日志数据的存储位置 日志数据接入完成后，请前往安全分析的安全数据表页面查看接入的日志数据： 1. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 2. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 在管道数据检索页面即可查看接入的日志数据。 相关操作 取消数据接入 1. 在云服务接入管理页面，单击待取消接入云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。 2. 在设置页面，单击“日志接入”列的，关闭接入的云服务日志。 编辑数据接入生命周期 1. 在云服务接入管理页面，单击对应云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。 2. 在设置页面，单击日志所在行操作列的“编辑”按钮。 3. 在弹出的编辑页面，修改“生命周期”配置，输入生命周期时间。 4. 修改完成后，单击“确定”。 取消自动转告警 1. 在云服务接入管理页面，单击对应云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。 2. 在设置页面，单击“自动转告警”列的，关闭告警映射。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。