对OpenClaw云主机进行备份保护,可快速恢复至已有备份时间点,保障数据安全可靠。 云主机备份配置入口 点击Openclaw应用详情页，可查看点击“备份”页签查看云主机备份配置。 说明 仅服务器类型为云主机时，支持云主机备份相关配置 创建立即备份（一次性备份） 前提条件 云主机的状态为“运行中”或“已关机”。 云主机上挂载的云硬盘状态为“已挂载”或“未挂载”。 已创建至少一个存储库，且存储库的状态为“可用”。 使用须知 如果备份的云硬盘为加密云硬盘，则云主机备份会自动继承加密属性，创建加密的备份副本。 操作步骤 点击备份副本列表上方的“立即备份”，对云主机进行备份。 确认配置参数无误后，点击“确定”，返回备份页签页面，在备份副本列表中，您可查看备份创建的状态，待状态变为“可用”时，则表示备份创建完成。 数据恢复 方式一 使用备份恢复云主机 约束与限制 云主机备份通常支持将整个云主机（包括系统盘和所有数据盘）作为一个整体进行备份和恢复，因此备份会包含所有挂载在云主机上的云硬盘数据。目前备份系统不支持对云主机中的部分云硬盘进行备份和恢复操作。 云主机备份不支持将数据盘数据恢复到系统盘中。 仅“可用”状态的备份允许恢复。

配置内容 提前准备好对应内网服务器的端口服务薄及地址薄等相关对象信息。 1.服务薄相关配置 登录云墙控制台，进入【对象】→【服务薄】→【服务】，可直接引用内置或新建； 2.地址薄准备 登录云墙控制台，进入【对象】→【地址薄】→【新建地址薄】，输入名称和地址信息即可。 3.配置源/目的NAT策略配置 放行策略配置完成，需针对业务进行访问控制隔离配置，首先配置出站SNAT策略。 打开菜单栏，【策略→NAT→源NAT】，新建策略。 打开菜单栏，【策略→NAT→目的NAT】，新建策略。 4.配置安全策略 出入向地址转换策略配置完成后，需针对流量进行安全检测，该功能由安全策略实现。 打开菜单栏，【策略→安全策略→策略→新建策略】 5.配置出向路由和平台默认路由 登录云防火墙：【网络→路由→源路由】。 登录云平台 打开云平台控制台，虚拟私有云→VPC→路由表→新建，下一跳地址输入云下一代防火墙网卡地址即可。

本页为本地PostgreSQL迁移到RDS for PostgreSQL的最佳实践网络和准备工作概述。 网络通信方式 本地数据库接入天翼云，需要通过公网网络进行网络打通，包括数据库实例具备公网IP，天翼云DTS实例具备公网IP。 准备工作 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 为本地数据库开放公网访问 本地数据库需要支持公网访问，同时具备公网ip或者域名。 3. 数据库添加白名单 数据库需要添加DTS数据迁移实例中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。 源库处理 1. 登录自建PostgreSQL所属的服务器。 2. 修改配置文件postgresql.conf，将配置文件中的wallevel设置为logical。 3. 将DTS的IP地址加入至自建PostgreSQL的配置文件pghba.conf中。如果您已将信任地址配置为0.0.0.0/0（如下图所示），可跳过本步骤。 如果任务包含增量迁移，需安装PostgreSQL的逻辑解码器输出插件Decoderbufs，建议安装v2.1.1.Final以上版本，低版本可能会导致PostgreSQL数据库出现coredump，详细的安装步骤可参考PostgreSQL官网文档。

一体机收费模式？ 智算一体机目前主要根据一体机规格数量不同收费，3年服务期价格一体机规格标准资费数量+机柜标准资费（按需）+一体机规格维保标资费数量。后续进行扩容时，同样仅对扩容的服务器节点数量进行独立收费。 注意 交换机设备包含在智算一体机的产品价格中，无需另行配置。 报价需购买一体机3年维保费，后续运维由电信地市公司提供一线运维人员协助（定期巡检、简单硬件运维开关机、插拔盘等）。 报价中不包含网络带宽、IDC服务费用，不含操作系统license费用。 智算一体机维保费用如何收取？ 维保费包含软件维保和硬件维保服务，需要按照维保费的价格进行购买。 3年服务期内是否允许退订？ 因智算一体机机涉及硬件部分，在订购后不允许退订。 3年服务期后产权是否可以归属客户？ 智算一体机默认是以服务模式售卖，产权归属天翼云。 智算一体机最长能提供多久续订服务 初始服务期为3年，服务期结束后客户可继续按年续订，考虑到硬件维保问题，原则上只能续订2年，天翼云回收设备。 但考虑到强制客户进行业务迁移有诸多难点，所以5年后有以下方案可供客户选择： 新订购智算一体机（予以一定折扣），天翼云协助客户进行业务迁移，老设备回收。 按正常续订价格继续续订，天翼云只提供软件运维服务，但不提供硬件维保，最晚续订至第7年，天翼云回收设备。 不再续订，则天翼云立即回收设备。

本文带您了解什么是分布式消息服务RocketMQ产品。 分布式消息服务RocketMQ是一款低成本、高可靠、高性能的消息中间件产品，兼容开源RocketMQ客户端，提供高效可靠的消息传递服务，解决分布式应用系统之间的消息数据通信难题，用于系统间的解耦，用户只需专注业务，无需部署运维，适用于电商、金融、政企等多样业务场景。 产品示意图 分布式消息服务RocketMQ发布订阅基本流程如下： 1、Producer连接Nameserver，产生数据放入不同的Topic； 2、对于RocketMQ，一个Topic可以分布在各个Broker上，我们可以把一个Topic分布在一个Broker上的子集定义为一个Topic分片； 3、将Topic分片再切分为若干等分，其中的一份就是一个Queue。每个Topic分片等分的Queue的数量可以不同，由用户在创建Topic时指定； 4、Consumer连接Nameserver，根据Broker分配的Queue来消费数据。 核心组件 分布式消息服务RocketMQ主要由Producer、Broker、Consumer三部分组成，其中Producer负责生产消息，Consumer负责消费消息，Broker负责存储消息。Broker在实际部署过程中对应1台或者多台服务器，每个Broker可以存储多个Topic的消息，每个Topic的消息也可以分片存储于不同的Broker。Message Queue用于存储消息的物理地址，每个Topic中的消息地址存储于多个Message Queue中。ConsumerGroup由多个Consumer实例构成。更多信息请参见产品架构。

使用ISO镜像创建Windows云主机 操作场景 该任务指导用户使用已注册成功的ISO镜像创建弹性云主机。 约束与限制 暂不支持专属云用户通过ISO镜像创建弹性云主机。 操作步骤 1、登录控制台。 a.登录控制台。 b.选择“镜像服务”。 进入镜像服务页面。 2、创建弹性云主机。 a.单击“私有镜像”页签，在ISO镜像所在行的“操作”列下，单击“申请主机”，创建云主机。 由于此云主机仅作为临时云主机使用，最终需要删除。因此，系统会默认创建一个固定规格且“按需付费”的云主机，使用该云主机创建的私有镜像再次创建云主机时不会限制规格和付费方式。 说明： 对于专属云用户，不支持使用ISO镜像创建临时云主机操作，此时“申请主机”按钮灰化。 b.根据界面提示完成云主机的配置，并单击“确定”。 后续操作 弹性云主机创建成功后，使用平台提供的“远程登录”方式，登录弹性云主机，继续执行后续的安装操作系统和相关驱动操作。 安装Windows操作系统和VMTools驱动和配置云主机并创建Windows系统盘镜像 操作场景 该任务以“Windows Server 2008 R2 64位”操作系统为例，指导用户安装Windows操作系统。 由于镜像文件不同，安装步骤稍有不同，请根据实际的安装界面提示进行操作。 说明： 请根据实际情况完成时区、KMS地址、补丁服务器、输入法、语言等相关配置。 前提条件 已使用平台提供的“远程登录”方式（即VNC登录），连接云主机并进入安装界面。

智能视图服务支持的直播分发协议有哪些？ 目前支持的直播分发协议有四种：RTMP、FLV、HLS和WebRTC，各协议的特点参考下表： 分发协议 特点 HLS 510s延时 FLV 13s延时 RTMP 13s延时 WebRTC 500ms延时 监控设备有哪些类型？ 一般的视频监控设备可分为IPC和NVR设备。 IPC：IPC是网络摄像机（Internet Protocol Camera）的缩写。是集成视频服务器和摄像机的功能为一体数字视频设备；IPCAMERA网络摄像机一般有内置Web服务的数字摄像机和录音设备，直接与以太网（有线、无线）相连。用户可通过标准Web浏览器观看和收听网络摄像机传送过来的视频和声音。 NVR：NVR是Network Video Recorder，网络数字硬盘录像机，NVR最主要的功能是通过网络接收IPC（网络摄像机）设备传输的数字视频码流，并进行存储、管理，从而实现网络化带来的分布式架构优势。 通过NVR，可以同时观看、浏览、回放、管理、存储多个网络摄像机。 设备ID和设备国标ID的区别是什么？ 设备ID：是平台为设备生成的唯一ID，所有接入平台的设备都具备自己的ID。 设备国标ID：当用户通过GB28181协议接入设备时，平台会自动生成符合规范的国标ID（用户也可以自定义录入），在设备端配置时需准确填写国标ID才能成功将设备注册上线，国标设备接入的流程说明可参见【用户指南设备管理国标设备接入】。

五、流程定义语言 天翼云云工作流流程定义基于CNCF ServerlessWorkflow Specification 0.8版本进行适配优化的。其主要特征是一种基于YAML的声明式工作流规范，用于定义由事件驱动的无服务器应用编排逻辑。它通过状态（State）组织任务流，支持顺序/并行执行（Parallel状态）、条件分支（Switch状态）、延时触发（Sleep状态）等控制逻辑，并能通过错误捕获（Catch状态）和重试机制（Retry策略）实现容错处理。其核心特点包括与云服务事件源的无缝集成、状态间数据传递（Data Input/Output）等。所有状态（State）共享基础属性：名称(name)、类型(type)、输入输出(Data Input/output)。通过组合这些状态类型，可以构建出复杂的业务流程。 状态（State）是工作流的基本执行单元，每个状态代表流程中的一个步骤，包含输入处理、业务逻辑执行和输出传递功能。状态之间通过转换（transition）形成有向关系，共同构成完整的工作流。状态可以大致分类为两种：执行类（Operation、 Noop、 Fail、Sleep）以及流程控制类（Switch Parallel Foreach）。 5.1 Operation Operation类型状态主要是用于调用集成服务API来完成特定任务， 利用任务类型状态可以执行一个函数调用，调用天翼云云服务API，也可以通过HTTP/HTTPS等通用协议发起第三方服务调用。 5.2 Noop Noop类型状态是一种特殊的Operation类型状态， 不执行任何操作。 它主要利用场景是用于在流程编排过程中的一种占位符作用的存在。可当作空白节点或者作为数据预处理节点将输入数据结构转换成期望的输出。

本节主要介绍RocksDB到GeminiDB Redis的迁移方案。 RocksDB是FaceBook基于LevelDB开发的一个持久化KV单机数据库引擎，具有强大的顺序读写及随机写性能。相对于LevelDB，RocksDB做了许多优化，性能有了很大提升， 而且解决了LevelDB主动限制写的问题。作为一个数据库引擎，RocksDB没有设计成C/S网络结构，直接使用需要和服务部署在同一台服务器，对于服务的部署、使用有较大的限制。 GeminiDB Redis采用RocksDB作为存储引擎，兼容Redis协议具有丰富的数据类型，可以满足RocksDB的使用需求。同时GeminiDB Redis对RocksDB进行深度定制，实现秒级分裂弹性扩容，扩缩容无需搬迁数据，快速而平滑，为RocksDB业务转到Redis生态提供了便利。 迁移原理 使用自研迁移工具rocksdbport，和RocksDB部署在相同机器上，准备好配置文件，启动迁移即可自动完成全量与增量的迁移。 全量迁移对RocksDB数据进行快照，然后扫描整个数据库，将数据打包成GeminiDB Redis识别的格式，发送到GeminiDB Redis，具有很高的迁移效率。 增量迁移解析RocksDB的wal文件，将RocksDB的操作解析出来，然后对其中的key进行分片，多线程进行发送。 使用须知 迁移工具需要部署在源端，对性能有一定消耗，可通过修改配置文件进行一定的控制。 迁移过程读取RocksDB的源数据文件，只读操作，理论上不会有数据受损风险。 迁移过程不需要停服。 若迁移过程出现故障，需要清理GeminiDB Redis实例，重新启动迁移。

本节为您介绍迁移管理相关问题。 迁移管理工具列表有哪些？ 服务器迁移服务（CMSSMS）、 数据库迁移服务（CMSDMS）、数据迁移工具（CMSZMS）。 迁移管理工具是否区分同构与异构迁移工具？ 区分。 云迁移服务提供工具中心管理功能，您可以在工具管理中心选择对应工具通过相应概述作为工具结构区分，也可以直接帮助中心查看对应相关引导。 迁移管理工具兼容性如何？ 云迁移管理工具，具备高效、稳定、易用等特点；支持阿里云、腾讯云、华为云多家云厂商，拥有迁移一体化平台、生命周期可视化界面表达。 云迁移各工具是否具备使用说明书？ 具备。 云迁移服务平台提供工具管理中心功能，你可以根据迁移工具概述选择，您也可以在云迁移服务工具中心中选择对应工具的帮助中心查阅信息。 调度管理中心调度任务能否支持显示调度状态？ 支持。 进入迁移中心调度管理页面详情中，调度任务列表可以显示调度状态信息。 创建调度任务需要几步操作？ 基本信息填写包括（调度名称、调度时间、重复规则、调度规则、问题错误处理）； 调度规则选项（继续任务、暂停任务、带宽限制、CPU限制、停止增量、开始核查、引导修复、取消何查） 错误处理（继续并发资源调度、中止并发资源调度） 资源选取，在列表中选择对应资源信息； 资源确认； 调度任务如何查看是否成功？ 查看调度任务具体步骤： 1. 左菜单栏进入调度管理； 2. 进入调度页，选择创建调度计划任务； 3. 查看计划任务调度状态； 4. 查看错误处理报告； 5. 点击操作栏中“日志”可以进入查看；

本页介绍了基于Java开发文档数据库服务应用程序的基本流程。 应用程序对接文档数据库服务的基本流程如下： 1. 添加文档数据库服务驱动程序依赖：在应用程序中添加文档数据库服务驱动程序的依赖，以便在应用程序中使用文档数据库服务的API。 2. 创建文档数据库服务客户端：使用文档数据库服务驱动程序提供的 Client 类创建一个文档数据库服务客户端，用于连接到文档数据库服务。可以在 Client 构造函数中指定文档数据库服务服务器的地址和端口号，以及其他认证信息和配置参数。 3. 获取数据库和集合对象：使用Client实例获取一个或多个数据库对象，并使用数据库对象获取集合对象。可以使用文档数据库服务提供的API或者文档数据库服务的查询语言来对集合中的文档进行操作。 4. 执行 CRUD 操作：使用集合对象执行 CRUD（创建、读取、更新、删除）操作，以对文档进行操作。可以使用文档数据库服务提供的 API 或者文档数据库服务的查询语言来执行查询操作。 5. 创建索引：使用集合对象创建索引以提高查询效率和性能。可以使用文档数据库服务提供的 API 或者文档数据库的命令行工具来创建索引。 6. 处理错误和异常：在 Java 应用程序中处理文档数据库服务操作可能出现的错误和异常，以便及时发现和修复问题。可以使用 trycatch 块或其他错误处理机制来捕获和处理异常。 7. 关闭文档数据库服务客户端：在应用程序中关闭与文档数据库服务的连接，释放资源并避免连接泄漏。可以使用Client 的 close() 方法来关闭客户端。

类型 说明 主机记录 主机记录指域名前缀,例如 example.com 常用的解析如下: 网站解析:主机记录写www,解析的域名是www.example.com。 网站解析:主机记录为空,解析的域名是example.com。 子域名:主机记录写cdn,解析的域名是cdn.example.com。 邮箱解析:主机记录写mail,解析的域名是mail.example.com。 泛解析:主机记录写,解析的域名是.example.com,匹配example.com的所有子域名。 SRV主机记录格式:服务的名字.协议的类型,协议通常为TCP或UDP,服务为应用层服务名,如FTP/SIP等PTR反向解析记录格式:IPv4的格式,与地址192.168.1.2,相对应的反向解析域名为:2.1.168.192.inaddr.arpa,地址反转,后缀系统添加;IPv6的格式,与地址4321:0:1:2:3:4:567:89ab相对应的反向查找域名将为b.a.9.8.7.6.5.0.4.0.0.0.3.0.0.0.2.0.0.0.1.0.0.0.0.0.0.0.1.2.3.4.IP6.ARPA,地址反转,每一位16进制数间用"."分隔,后缀系统添加。 类型 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 TTL(秒) TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 值 填写IPv4地址，最多可以输入8个不重复地址，每行一个。 例:192.168.10.10 描述 可选参数，解析记录描述。

参数 参数说明 取值样例 资源类型 配置告警规则监控的服务名称。 弹性云主机 维度 用于指定告警规则对应指标的维度名称 云服务器 监控范围 告警规则适用的资源范围，可选择资源分组或指定资源。 说明 当选择资源分组时，该分组下任何资源满足告警策略时，都会触发告警通知。 选择指定资源时，勾选具体的监控对象，单击 将监控对象同步到右侧对话框。 指定资源 选择分组 当监控范围为资源分组时需配置此参数。 选择类型 根据需要可选择从模板导入或自定义创建。 说明 当监控范围为指定资源时可选择从模板导入。 自定义创建 模板 选择需要导入的模板。 告警策略 触发告警规则的告警策略。 当资源类型选择站点监控、日志监控、自定义监控、具体的云服务时，告警策略为一个周期性的动作。当资源类型选择事件监控时，具体的事件为一个瞬间的操作动作，而不是周期性动作。 例如：CPU使用率，监控周期为5分钟，连续三个周期平均值≥80% 挂载点 当监控指标为细颗粒度的磁盘类监控指标时需配置该参数。 Windows系统请输入对应的驱动器号，比如C、D或者E等，Linux系统请输入对应的挂载点，比如/dev、/opt等。 /dev 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要

漏洞扫描服务有哪些扫描 IP？ 安全体检产品需要对互联网IP进行安全扫描。如果您的服务器有相关防护措施或者限制了访问的IP，为保证体检的正常进行，建议您将以下IP地址加到白名单。 安全体检产品扫描出口IP为：117.88.244.141。 安全体检的结果应该如何处理？ 一旦安全体检完成，组织需要采取以下步骤： 1. 优先级排序：根据漏洞的严重程度和潜在影响为每个漏洞分配优先级。 2. 制定计划：创建一个具体的行动计划来修复漏洞，包括分配资源和设定修复期限。 3. 修复验证：修复后重新进行扫描，确保漏洞已被成功解决。 4. 持续监测：建立持续的安全监测机制，确保系统的安全状态。 安全体检会对业务运营产生影响吗？ 大多数现代的安全体检工具设计为尽量减少对业务运营的影响。然而，在进行安全体检时，仍然需要注意以下几点： 计划时间：选择非高峰时段进行体检，以减少对正常业务的影响。 性能考量：确保工具的使用不会导致网络拥塞或系统性能下降。 资源调配：合理安排人力资源，确保体检过程中出现问题时能够迅速响应。 安全体检可以完全防止数据泄露吗？ 虽然安全体检是预防数据泄露的重要步骤之一，但它并不能保证完全防止数据泄露。这是因为新的漏洞可能随时出现，而且安全体检工具只能检测到已知的安全问题。为了进一步增强安全性，组织还需要结合其他安全措施，例如员工培训、访问控制策略、加密技术和事件响应计划等。

本文主要介绍 连接和查看Kafka Manager。 Kafka Manager是开源的Kafka集群管理工具，需要通过浏览器才能访问Kafka Manager的地址。在Kafka Manager页面，您可以查看Kafka集群的监控、代理等信息。 前提条件 已配置如下表所示安全组。 表安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9999 0.0.0.0/0 访问Kafka Manager。 登录Kafka Manager 步骤 1 （可选）创建一台与Kafka实例相同VPC和相同安全组的Windows服务器，详细步骤请参考《弹性云主机用户指南》的“创建弹性主机”章节。 如果是已经开启了公网访问，该步骤为可选，在本地浏览器中即可访问，不需要单独的Windows弹性云主机。 步骤 2 在实例详情信息页面，获取Kafka Manager地址。 未开启公网访问时，Kafka Manager地址为“Manager内网访问地址”。 图 Kafka Manager内网访问地址 已开启公网访问时，Kafka Manager地址为“Manager公网访问地址”。 图 Kafka Manager公网访问地址 步骤 3 在浏览器中输入Kafka Manager的地址，进入Kafka Manager登录页面。 如果是开启了公网访问，在本地浏览器输入Kafka Manager地址访问；如果没有开启公网访问，需要登录步骤1的弹性云主机，然后在浏览器输入Kafka Manager地址访问。 步骤 4 输入创建实例时设置的Kafka Manager用户名和密码，即可管理Kafka集群。

本章节主要介绍ALM12015 设备分区文件系统只读。 告警解释 系统按60秒周期进行扫描，如果检测到挂载服务目录的设备分区变为只读模式（如设备有坏扇区、文件系统存在故障等原因），则触发此告警。 系统如果检测到挂载服务目录的设备分区的只读模式消失（比如文件系统修复为读写模式、设备拔出、设备被重新格式化等原因），则告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12015 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 挂载目录名 产生告警的挂载目录名。 设备分区名 产生告警的设备分区名。 对系统的影响 造成服务数据无法写入，业务系统运行不正常。 可能原因 硬盘存在坏道等故障。 处理步骤 1.打开FusionInsight Manager页面，选择“运维 > 告警 > 告警”，单击此告警所在行的。 2.从“定位信息”中获取“主机名”和“设备分区名”，其中“主机名”为故障告警的节点，“设备分区名”为故障磁盘的分区。 3.联系硬件工程师确认为磁盘硬件故障之后，将服务器上故障磁盘在线拔出。 4.拔出磁盘后系统会上报“ALM12014 分区丢失”告警，参考ALM12014 分区丢失进行处理，处理完成后，本告警即可自动消除。

Agent插件状态显示“故障”该如何处理？ 操作系统监控插件每1分钟发送1次心跳；当服务端3分钟收不到插件心跳时，“插件状态”显示为“故障”。 “故障”原因可能为： 帐号余额不足。 Agent进程故障，请参照管理Agent重启，如果无法重启则说明相关文件被误删，请重新安装Agent。 服务器内部时间和本地标准时间不一致。 Agent插件版本不同，日志路径也不同。 日志路径分别如下： Linux： 新版本Agent：/usr/local/uniagent/extension/install/telescope/log/ces.log 老版本Agent：/usr/local/telescope/log/ces.log Windows： 新版本Agent：C:Program Filesuniagentextensioninstalltelescopelogces.log 老版本Agent：C:Program Filestelescopelogces.log Agent插件配置出错，请先确认DNS地址配置正确，然后参考修改DNS与添加安全组（Linux）和手动配置Agent（Linux，可选）检查配置是否正确。 具体原因可查看日志文件/usr/local/telescope/log/common.log。 Agent插件状态显示“已停止”该如何处理？ Agent状态显示“已停止” 请执行以下命令来启动Agent： service telescoped start 若报障则说明已卸载Agent或者相关文件已被删除，请重新安装Agent。 Agent插件状态显示“运行中”但没有数据该如何处理？ Agent安装完成后请等待10分钟，若仍然无数据，一般为conf文件中InstanceId配置错误。 请参考手动配置Agent（Linux，可选）检查配置是否正确。

代理的部署与启用 第一步：下载安装 zmsagent 安装包下载，下载后进行解压，zmsagent 安装包解压后的目录如下： plaintext zmsagent/ conf/ masterconf.ini workerconf.ini certs/ server.key server.crt bin/ zmsagent zmsmaster.service zmsworker.service install.sh uninstall.sh 文件/文件夹 说明 bin folder，可执行文件 certs folder, 用户rpc加密通信的自签名证书 conf folder，master和worker的配置文件 install.sh file，安装脚本 uninstall.sh file，卸载脚本 执行如下脚本，实现代理安装： plaintext sh install.sh zmsagent采用masterworker的主从架构，一台master对应一到多台worker。因此安装时可以选择安装zmsmaster、zmsworker或两者都安装。然后选择是否开机自启动，默认为否。实际使用时仅在一台机器上安装zmsmaster即可。 第二步：填写配置文件参数 zmsmaster、zmsworker服务启动前，需要确认配置文件内容填写正确。 zmsmaster配置文件：conf/masterconf.ini zmsmaster启动前必须修改配置文件中的[register]、[host]两个部分，其余参数若无特殊需要则无需修改。 字段 默认值 限制 说明 [log] loglevel DEBUG DEBUG/INFO/WARNING/ERROR/CRITICAL 日志级别 [migration] checksdktimeout 5 [1, 60] 校验源端目的端连通性时sdk超时时间 maxschedulertasknum 6 [1, 12] 同时调度执行的任务数，后续任务排队 listmaxnums 1000 [1, 1000] 对象存储单次获取对象数（整桶/指定文件夹/指定前缀模式每批子任务包含对象数） distributionsubtasklength 12 [2, 96] master向worker单次发送子任务数 scanningthreadnums 6 [1, 12] 指定文件迁移或失败文件重试模式获取对象元数据并发数 failedretrylistmaxnums 100 [1, 1000] 失败文件重试模式每批子任务包含对象数 failedfileuploadmaxretrytimes 3 [1, 5] 失败对象文件上传到目的桶的最大重试次数 [gRPC] grpcmaxworkers 100 [50, 100] gRPC最大并发连接数 grpcserverport [::]:8282 [::]:port gRPC服务端口 grpcclienttimeout 5 [1, 60] gRPC客户端超时时间 [MQ] mqhost 加密值 无需修改 半托管MQ服务地址 mqport 加密值 无需修改 半托管MQ服务端口 mquser 加密值 无需修改 半托管MQ服务用户名 mqpassword 加密值 无需修改 半托管MQ服务密码 serverqueue zmigserverqueue 无需修改 半托管MQ服务Server通道名称 mqreconnectinterval 5 [1, 60] 连接MQ通道断开重连间隔 [register] registercode —— 首次启动需要该字段 半托管Agent注册码，在天翼云官网创建Agent时获取 [host] masteraddr —— 需要携带GRPC启动端口，与grpcserverport保持一致 半托管集群Master内网、公网地址，用于Master与Worker通信，不需要 workaddrs —— 多个Worker以逗号分隔，需要携带GRPC启动端口，并与Worker配置中保持一致 半托管集群所有Worker内网、公网地址，用于Master与Worker通信，不需要http:// 前缀 注意 master与worker通信地址可以使用内网，也可以使用公网，如果各节点内网通的话建议优先使用内网地址。同时注意各机器安全组、防火墙等配置，需要放开通信端口。 zmsworker配置文件：conf/workerconf.ini zmsworker参数若无特殊需求则都无需修改。 字段 默认值 取值范围 说明 [log] loglevel DEBUG DEBUG/INFO/WARNING/ERROR/CRITICAL 日志等级 migrationretrycount 3 [1, 5] 对象最多迁移失败重试次数 processnums 8 [1, 1.5cpu核心数] 迁移进程级别并发数 [grpc] grpcmaxworkers 10 [5, 20] gRPC服务器支持的最大并发数 grpcserverport [::]:8283 [::]:port gRPC服务器监听的端口 grpcclienttimeout 5 [2, 10] gRPC客户端最大超时时间

实践 描述 漏洞修复 2020年4月15日，Git发布安全通告公布了一个导致Git用户凭证泄露的漏洞（CVE20205260）。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。当URL中包含经过编码的换行符（%0a）时，可能将非预期的值注入到credential helper的协议流中。受影响Git版本对恶意URL执行git clone命令时，会触发此漏洞，攻击者可利用恶意URL欺骗Git客户端发送主机凭据。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 Saltstack是基于python开发的一套C/S自动化运维工具，国外安全研究人员披露其中存在身份验证绕过漏洞（CVE202011651）和目录遍历漏洞（CVE202011652）漏洞，攻击者利用这些漏洞可实现远程命令执行、读取服务器上任意文件、获取敏感信息等。 本实践介绍通过HSS检测与修复这些漏洞的建议。 漏洞修复 OpenSSL安全公告称存在一个影响OpenSSL 1.1.1d、OpenSSL 1.1.1e、OpenSSL 1.1.1f的高危漏洞（CVE20201967），该漏洞可被用于发起DDoS攻击。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 当Windows Adobe Type Manager库未正确处理经特殊设计的多主机Adobe Type 1 PostScript格式字体时，Microsoft Windows中存在远程代码执行漏洞。对于除Windows 10之外的所有系统，成功利用此漏洞的攻击者可以远程执行代码。对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 本实践介绍通过HSS检测与修复该漏洞的建议。 漏洞修复 Windows CryptoAPI欺骗漏洞（CVE20200601）影响CryptoAPI椭圆曲线密码（ECC）证书检测机制，致使攻击者可以破坏Windows验证加密信任的过程，并可以导致远程代码执行。 本实践介绍通过HSS检测与修复该漏洞的建议。 勒索病毒防护 勒索病毒攻击已成为当今企业面临的最大安全挑战之一。攻击者利用勒索病毒加密锁定受害者的数据或资产设备，并要求受害者支付赎金后才解锁数据，也存在即使受害者支付赎金也无法赎回数据情况。 为了预防勒索病毒攻击，避免被勒索面临巨大的经济损失风险，您可以使用“HSS+CBR”组合为服务器做好“事前、事中、事后”的勒索病毒防护。

本页面介绍从Kafka迁移数据。 前提条件 1. 创建了目标云数据库ClickHouse实例。详细的操作步骤，请参考创建实例。 2. 创建了用于目标云数据库ClickHouse集群的数据库账号和密码。详细的操作步骤，请参考创建账号。 3. 确保创建的云数据库ClickHouse实例可以访问需要迁移的Kafka实例。 语法描述 建表语句如下： CREATE TABLE [IF NOT EXISTS] [db.]tablename [ON CLUSTER cluster] ( name1 [type1] [ALIAS expr1], name2 [type2] [ALIAS expr2], ... ) ENGINE Kafka() SETTINGS kafkabrokerlist 'host:port', kafkatopiclist 'topic1,topic2,...', kafkagroupname 'groupname', kafkaformat 'dataformat'[,] [kafkarowdelimiter 'delimitersymbol',] [kafkaschema '',] [kafkanumconsumers N,] [kafkamaxblocksize 0,] [kafkaskipbrokenmessages N,] [kafkacommiteverybatch 0,] [kafkaclientid '',] [kafkapolltimeoutms 0,] [kafkapollmaxbatchsize 0,] [kafkaflushintervalms 0,] [kafkathreadperconsumer 0,] [kafkahandleerrormode 'default',] [kafkacommitonselect false,] [kafkamaxrowspermessage 1]; 上述是云数据库ClickHouse中创建Kafka引擎表的语法和选项。让我逐一解释每个部分的含义： CREATE TABLE : 创建表的语句。 [IF NOT EXISTS] : 可选项，表示如果表不存在则创建。 [db.]tablename : 表的名称，可以包含可选的数据库前缀。 [ON CLUSTER cluster] : 可选项，指定表所在的集群。 (name1 [type1] [ALIAS expr1], name2 [type2] [ALIAS expr2], ...) : 定义表的列和数据类型，可以为每个列指定别名。 ENGINE Kafka() : 指定表的存储引擎为Kafka引擎。 SETTINGS : 设置选项的开始标记。 kafkabrokerlist : Kafka代理服务器的主机和端口，用于连接到Kafka集群。 kafkatopiclist : 要消费的Kafka主题列表，可以包含多个主题。 kafkagroupname : Kafka消费者组的名称，用于协调消息的消费。 kafkaformat : 数据的格式，例如JSON、CSV等。 kafkarowdelimiter : 可选项，指定行分隔符，用于解析文本数据。 kafkaschema : 可选项，指定Kafka消息中的模式信息。 kafkanumconsumers : 可选项，指定消费者线程的数量。 kafkamaxblocksize : 可选项，指定每个消费者线程的最大块大小。 kafkaskipbrokenmessages : 可选项，指定是否跳过损坏的消息。 kafkacommiteverybatch : 可选项，指定每个批次是否提交偏移量。 kafkaclientid : 可选项，指定Kafka消费者的客户端ID。 kafkapolltimeoutms : 可选项，指定从Kafka拉取消息时的超时时间。 kafkapollmaxbatchsize : 可选项，指定从Kafka拉取消息时的最大批次大小。 kafkaflushintervalms : 可选项，指定在写入表之前的消息刷新间隔。 kafkathreadperconsumer : 可选项，指定每个消费者是否使用单独的线程。 kafkahandleerrormode : 可选项，指定处理错误消息的模式。 kafkacommitonselect : 可选项，指定在执行SELECT查询时是否提交偏移量。 kafkamaxrowspermessage : 可选项，指定每条Kafka消息包含的最大行数。 这些选项允许你根据实际的Kafka集成需求来配置Kafka引擎表。根据你的具体情况，填写相应的值以满足你的数据迁移或同步需求。 以上仅是对每个选项的概述，实际使用时应根据具体情况和需求进行适当的配置。 建表示例如下： CREATE TABLE queue ( timestamp UInt64, level String, message String ) ENGINE Kafka('localhost:9092', 'topic', 'group1', 'JSONEachRow'); SELECT FROM queue LIMIT 5; CREATE TABLE queue2 ( timestamp UInt64, level String, message String ) ENGINE Kafka SETTINGS kafkabrokerlist 'localhost:9092', kafkatopiclist 'topic', kafkagroupname 'group1', kafkaformat 'JSONEachRow', kafkanumconsumers 4; CREATE TABLE queue3 ( timestamp UInt64, level String, message String ) ENGINE Kafka('localhost:9092', 'topic', 'group1') SETTINGS kafkaformat 'JSONEachRow', kafkanumconsumers 4;

本文简述HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 例如： 未启用HSTS时，当您的域名在边缘安全加速平台安全与加速服务配置HTTPS时，在浏览器中输入HTTP协议的URL，用户访问到天翼云边缘节点时，如果配置了HTTP强制跳转HTTPS的功能，边缘节点会将该HTTP请求强制跳转到HTTPS，如果用户首次以HTTP协议访问边缘节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 启用HSTS后，当您的域名在边缘安全加速平台安全与加速服务配置HTTPS时，在浏览器中输入HTTP协议的URL，用户访问到天翼云边缘节点时，如果配置了HTTP强制跳转HTTPS的功能，边缘节点节点会将该HTTP请求强制跳转到HTTPS，此时边缘节点会响应一个强制HSTS的头给客户端，告诉客户端只能使用HTTPS协议访问边缘节点，此后浏览器将直接使用HTTPS协议访问边缘节点，不再需要HTTP协议强制跳转HTTPS协议了。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法请参见新增证书。 在HSTS生效前，可配置强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。

为保障您的天翼云弹性云主机系统时间精准统一,避免因时钟偏差引发业务异常、日志时序错乱、合规审计不达标等问题,推荐您配置天翼云内网 NTP 时间同步服务。本文为您介绍内网 NTP 时间同步的核心作用,以及红帽系、Debian 系 Linux 操作系统的标准化配置方法。 一、内网 NTP 时间同步核心作用 保障业务稳定运行：确保分布式集群、数据库主从同步、交易订单等业务的时序一致性，避免因时钟偏差引发数据错乱、服务异常。 提升运维排障效率：统一全量云主机系统时间，保障日志时序准确，便于故障溯源与问题定位。 满足合规审计要求：符合网络安全等级保护等监管规范对系统时间统一、日志可追溯的硬性要求。 低延迟高可靠：使用天翼云内网 NTP 专用地址，无需占用公网带宽，同步链路稳定、精度更高。 二、前置说明 适用范围：天翼云弹性云主机，涵盖红帽系（RHEL 7/8/9、CentOS 7/Stream、Rocky Linux、AlmaLinux 等）、Debian 系（Debian 10/11/12、Ubuntu 18.04+）Linux 操作系统。 天翼云内网 NTP 服务器地址：169.254.169.254。 三、配置步骤 红帽系操作系统配置（chronyd） 红帽系操作系统官方推荐使用 chronyd 服务实现时间同步，RHEL 8/9 系列默认预装并启用，配置步骤如下： 1. 备份原始配置文件（便于异常回滚） plaintext cp /etc/chrony.conf /etc/chrony.conf.bak 2. 写入天翼云内网 NTP 配置 清理原有NTP源配置 plaintext sed i E '/^(poolserver)/d' /etc/chrony.conf 新增内网NTP同步配置 plaintext cat >> /etc/chrony.conf << EOF server 169.254.169.254 iburst prefer EOF 3. 重启服务并配置开机自启 plaintext systemctl restart chronyd systemctl enable now chronyd

本节为您介绍自建MySQL为源的迁移任务源端配置。 前提条件 （1）自建MySQL数据库的源端版本为5.6、5.7、8.0版本。 （2）自建MySQL数据库源端已关闭大小写敏感。 （3）自建MySQL数据库源端已开启binlog 且格式为row。 （4）目标端数据库的存储空间必须大于源端数据库所占用的存储空间。 使用限制 待迁移的表需具备主键，否则会导致该表无法进行增量迁移和稽核修复； 不支持迁移mysql、informationschema、performanceschema等MySQL系统库； 目标库非自建MySQL的情况下，结构迁移仅支持迁移表结构； 迁移过程中，可迁移源端数据库的表结构、全量数据和增量数据。 源端权限要求 由于权限查询需要设计到mysql.user及mysql.db两张系统表。所以需要先授予用户以上两张表的SELECT权限。 迁移模式 所需权限 基础权限 SELECT 全量迁移 需具备基础权限，且具备REFERENCES, INDEX, SHOW VIEW, TRIGGER和全局级别:PROCESS权限 结构迁移 需具备基础权限，且具备REFERENCES, INDEX, SHOW VIEW, TRIGGER，CREATE ROUTINE, SUPER (根据不同的结构，所需权限也不同) 增量迁移 需具备基础权限，且具备全局级别REPLICATION CLIENT,REPLICATION SLAVE权限，并开启binlog row模式 稽核修复 需具备基础权限 源端配置： 数据源类型 选定为MySQL，可迁移版本范围内的MySQL数据库 服务器IP 待迁移源端数据库的连接IP 端口号 待迁移源端数据库的端口 用户名 用于连接待迁移源端数据库的用户名称 密码 用于连接待迁移源端数据库的用户的密码 数据库 要迁移的源端数据库名

Q1：在线测试与正式 API 调用有什么区别？ 在线测试是控制台提供的免配置体验功能，无需鉴权信息，每月有 10 次免费额度；正式 API 调用需要在请求 Header 中携带完整的签名鉴权信息，按实际调用次数计费，额度不受限制。两者的检测能力与检测结果完全一致。 Q2：调用失败（如参数错误、鉴权失败）是否计费？ 不计费。只有接口成功响应（code200，successtrue）的调用才计入计费次数。 Q3：词库更新后多久生效？ 词库创建或修改后，约5 分钟内全量生效。生效前的调用仍使用旧的词库内容，请在等待生效后再进行验证。 Q4：一个应用可以同时关联多个词库吗？ 可以。一个应用可以同时关联多个黑名单词库和多个白名单词库，所有关联词库会合并生效。 Q5：图片检测支持哪些图片格式和大小限制？ 目前支持 JPEG、PNG 等常见图片格式。建议单张图片大小不超过5MB，以确保检测响应速度。 Q6：Eopdate 的有效期是多久？超期了怎么处理？ Eopdate的有效期为15 分钟。超过有效期后，服务端将拒绝该请求并返回鉴权失败（401）。请确保请求方服务器的系统时钟与标准时间保持同步（建议使用 NTP 同步），每次请求时动态生成Eopdate。 Q7：如何区分是大模型安全护栏的问题还是业务代码的问题？ 可通过以下方法排查：在控制台在线测试页面使用相同的输入内容进行测试，若在线测试结果与 API 调用结果不一致，则可能是 API 调用的鉴权或参数问题；若一致，则为检测能力层面的问题，可通过控制台提交工单反馈。

如何解决向多台云主机中挂载的NFS文件系统中写入数据延迟问题？ 问题描述： 云主机1更新了文件A，但是云主机2立即去读取时，仍然获取到的是旧的内容。 问题原因： 这涉及两个原因：第一个原因是，云主机1在写入文件A后，并不会立即进行刷新（flush），而是先进行PageCache操作，依赖于应用层调用fsync或者close来进行刷新。第二个原因是，云主机2存在文件缓存，可能不会立即从服务器获取最新的内容。例如，在云主机1更新文件A时，云主机2已经缓存了数据，当云主机2再次读取时，仍然使用了缓存中的旧内容。 解决方案： 方案一：在云主机1更新文件后，一定要执行close或者调用fsync。在云主机2读取文件之前，重新打开文件，然后再进行读取。 方案二：关闭云主机1和云主机2的所有缓存。这会导致性能较差，所以请根据实际业务情况选择适合的方案。关闭云主机1的缓存：在挂载时，添加noac参数，确保所有写入立即落盘。挂载命令示例如下： plaintext 挂载命令,noac 本地挂载路径1 关闭云主机2的缓存：在挂载时，添加actimeo0参数，忽略所有缓存。挂载命令示例如下： plaintext 挂载命令,actimeo0 本地挂载路径2 根据实际情况以上方案可以确保云主机1更新文件后，云主机2能立即获取到最新内容。 注意 挂载命令在天翼云官网控制台中文件系统详情页复制。 请务必确认挂载命令中具备noresvport参数，防止文件系统卡住。

本文介绍使用CDN加速后访问URL时出现空白页面的问题原因及解决方案。 问题现象 使用天翼云CDN加速网站后，访问特定URL时出现空白页面，即页面没有任何内容显示。 问题原因 1. 域名解析问题：可能是由于域名解析存在异常，导致无法正确访问到CDN节点并获取有效的内容。详情请见： 如何确认域名CNAME解析是否正常。 2. 缓存问题：可能是由于CDN的缓存未及时更新或清除，导致访问的URL返回了空白的缓存页面。 3. 源站异常：可能是源站出现故障或配置错误，导致CDN无法正确获取内容并回源给用户。定位方法，详情请见：如何确认访问异常是CDN节点问题还是源站问题。 解决方案 1. 域名解析问题解决方案： 检查CNAME是否有配置错误。解决方案，详情请见：如何处理CNAME解析不生效问题。 如无CNAME配置错误，可等待一段时间，重新尝试访问URL，以确保域名解析已经生效。 2. 缓存问题解决方案： 手动刷新CDN缓存，您可在CDN控制台的【刷新预取 】模块中创建【URL刷新 】任务，将对应的URL进行缓存刷新，刷新任务一般5~10分钟生效。 3. 源站异常解决方案： 方案一：检查源站服务器是否正常运行，并修复可能存在的故障或配置错误。 方案二：检查源站对应URL文件是否正常，并更换为正常的URL 文件。 如果以上方案还是无法解决您的问题，请提交工单联系天翼云客服协助处理。

本文为您介绍各系列通用云主机概况。 通用云主机的不同代系，对应着不同的处理器型号，一般更高代系拥有更优的性能。 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。

对OpenClaw云主机进行备份保护,可快速恢复至已有备份时间点,保障数据安全可靠。 云主机备份配置入口 点击Openclaw应用详情页，可查看点击“备份”页签查看云主机备份配置。 说明 1、仅服务器类型为云主机时，支持云主机备份相关配置 2、已支持云主机备份配置的资源池：西南1、武汉41、长沙42、华南2、杭州7、华东1、上海7、拉萨3 创建立即备份（一次性备份） 前提条件 云主机的状态为“运行中”或“已关机”。 云主机上挂载的云硬盘状态为“已挂载”或“未挂载”。 已创建至少一个存储库，且存储库的状态为“可用”。 使用须知 如果备份的云硬盘为加密云硬盘，则云主机备份会自动继承加密属性，创建加密的备份副本。 操作步骤 点击备份副本列表上方的“立即备份”，对云主机进行备份。 确认配置参数无误后，点击“确定”，返回备份页签页面，在备份副本列表中，您可查看备份创建的状态，待状态变为“可用”时，则表示备份创建完成。 数据恢复 方式一 使用备份恢复云主机 约束与限制 云主机备份通常支持将整个云主机（包括系统盘和所有数据盘）作为一个整体进行备份和恢复，因此备份会包含所有挂载在云主机上的云硬盘数据。目前备份系统不支持对云主机中的部分云硬盘进行备份和恢复操作。 云主机备份不支持将数据盘数据恢复到系统盘中。 仅“可用”状态的备份允许恢复。

安全组支持快速克隆,方便将相同的安全组规则快速应用到不同区域的服务器上。本文帮助您快速熟悉克隆安全组的操作场景和操作流程。 操作场景 安全组支持跨区域克隆，您可以利用该功能备份安全组或安全组规则快速应用到不同区域的云资源上。 当您有如下需求时，可以利用克隆安全组的功能去实现： 您在区域1存在一个安全组sgs1，此时区域2中的云资源（云主机、物理机等）需要配置与区域1中的安全组sgs1完全相同的规则，您可以直接将安全组sgs1利用克隆功能快速创建相同的安全组到区域2，而不需要在区域2中创建新的安全组。 如果您需要对云资源更换安全组规则，可以对原安全组做克隆操作，快速创建相同的新安全组作为备份资源。 说明 安全组的跨域克隆仅支持克隆到相同架构的资源池下，即地域资源池的安全组仅支持克隆到地域资源池内，可用区资源池的安全组仅支持克隆到可用区资源池内。不同资源池列表见 约束与限制 克隆安全组时，只将原安全组出入方向规则克隆，云主机需另行关联。 仅支持克隆源/目的地址是IP地址网段及安全组本身的规则，如存在引用其他安全组的规则时，不支持克隆这条规则，实际情况以控制台展现为准。

本文汇总了使用虚拟私有云产品时常见的计费类问题。 VPC是否收费？ 不收费。 虚拟私有云VPC作为基础上云产品是免费的。VPC提供隔离的、私密的网络环境，使得您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。 虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 流量镜像是否收费？ 流量镜像公测期间创建的资源可免费提供服务，公测结束后创建的资源会收取费用。流量镜像产品收费对象包含如下两个计费项：实例费和流量处理费。具体收费方式可参考计费说明。 流量镜像功能可以将网络流量从弹性网卡镜像到其他指定的云服务器的网卡上，以便于应用到内容检查、监控分析、问题排查等场景。流量镜像搭配使用的其他云产品（例如弹性云主机）将会按照其自身的计费规则收取相应的费用，弹性云主机的计费详情可参考“计费说明”。 组播是否收费？ 组播在内测期间暂不收取费用。 内测结束后会转商用，商用具体的开始收费的时间会发布公告另行通知，包括计费相关规则及存量资源的计费方式，届时请以官网公告为准。组播搭配使用的其他云产品（例如弹性云主机）将会按照其自身的计费规则收取相应的费用，计费详情请参考“计费说明”。

云硬盘备份支持选择云硬盘的某个分区进行备份吗？ 不支持。云硬盘备份是以云硬盘作为备份粒度进行备份的，即对整个磁盘进行备份，不支持再向下细分至分区进行备份。 如果您需要对云硬盘的某个分区进行备份，推荐您使用云备份服务。云备份CTCBR（Cloud Backup&Recovery）是一个简单易用、经济高效、安全可靠的一键式备份方案。通过集中管理界面，为天翼云中承载用户业务的云主机中的目录/文件等资源提供统一数据保护。 云硬盘能否跨地域备份？ 不能。 当前只支持地域（Region）内备份。创建备份后，您可以使用备份： 恢复数据至源云硬盘。 创建新的云硬盘。新云硬盘与源云硬盘地域必须相同，可用区则无要求。 为什么备份容量会大于操作系统中查看到的使用容量？ 问题场景 在服务器中存放了大量文件，删除文件后进行备份，备份的大小大于操作系统中查看到的已使用空间。 问题原因说明 天翼云云硬盘备份为存储层块级备份，按照块存储中已使用的数据块作为备份目标，并不识别操作系统中的文件变化。操作系统在删除文件时，只在文件属性中创建删除标记，但是未对块设备中的数据进行擦除（设置为0），块备份无法感知到操作系统层的删除标记，只能通过是否是全0数据块来判断否要备份。 解决建议 可采用第三方磁盘清理/擦除工具（由提供工具厂商为工具安全性/可用性负责）为云硬盘进行清理。

本文为您介绍如何通过OpenSearch、自建Filebeat和Dashboards建设网络拨测功能。 使用Opensearch、Filebeat和Dashboard实例搭建拨测功能与数据展示大盘，可以实时地、统一地、方便一键查看多个天翼云多可用区之间或地域之间的网络平均时延。这些数据可以为用户在搭建服务时选择更适合的地域或可用区。 应用场景 本文以OpenSearch、Filebeat和Dashboards为例，搭建一个拨测功能及结果数据的展示大盘。使用Filebeat采集探测机器探测的网络数据，发送到kafka进行多个探测节点的数据汇聚以后存储到OpenSearch中，最后通过Dashboards进行数据的可视化展示。该方案可以用于以下场景： 1. 客户部署业务的服务区选择：云下各地域访问阿里云地域的平均时延。您可以参考性能观测数据，在搭建服务时选择更适合的地域或可用区。 2. 客户物理链路的选择：查看跨地域连接物理链路的时延情况，以便您选择更适合您业务的链路类型。 方案架构 OpenSearch 是一款开源的分布式搜索和分析套件，衍生自 Elasticsearch OSS 7.10.2。可提供轻松执行交互式日志分析、实时应用程序监控、和数据分析等基础能力。 Filebeat归属于Beats家族，使用go语言开发，是一个轻量的日志收集器，因为轻量所以适用于部署在需要收集日志的服务器中 Dashboards为OpenSearch提供一个开源的数据分析和可视化平台，用于对Elasticsearch中的数据进行搜索、查看和交互。