专有宿主机为您提供优质的服务体验,本文带您了解专有宿主机的产品优势。 企业级安全与合规 专有宿主机上上独享宿主机物理资源，包括CPU、内存、网卡等物理资源，获得更高安全性。每台宿主机具备全局唯一的硬件标识（机器码），能够满足特定行业或企业内控中更为严格的安全合规与审计规范要求。 极致性能与稳定性 在共享宿主机环境中，您的云主机实例可能受到其他租户资源使用高峰的影响，导致性能波动。专有宿主机可以彻底消除了这一问题，保证您的业务负载是物理服务器上唯一的负载源，性能表现完全由您的业务特性决定，不会与其他用户发生的资源争抢行为，性能可预测。 灵活与可靠的部署 用户可在指定的专有宿主机上精确部署云主机实例，实现对计算资源物理位置的完全掌控。同时，系统提供自动部署功能，可根据系统预设策略自动选择最优宿主机，能够兼顾资源利用率与性能隔离需求。结合控制台便捷的资源创建与删除操作，以及镜像与备份服务提供的快速环境部署与恢复能力，提供灵活的编排与控制能力。 完整的资源可见性与拓扑管理 专有宿主机提供清晰的云主机宿主机资源映射视图，用户可直观查看云主机与底层专有宿主机的归属关系。帮助用户从基础设施层到应用层的全链路可视化管理，为运维决策与故障排查提供了关键依据。

版本列表 版本列表 版本说明 TeleChat12B 星辰语义大模型TeleChat开源的12B参数版本，支持deepspeed微调和多轮对话能力，在外推能力和长文生成方面展现出优异表现。其开源版本包括12B模型的int8和int4量化版本。 声明、协议、引用 声明 不要使用TeleChat模型及其衍生模型进行任何危害国家社会安全或违法的活动，不要将TeleChat模型用于没有安全审查和备案的互联网服务。希望所有使用者遵守上述原则，确保科技发展在合法合规的环境下进行。 中电信尽可能确保模型训练过程中使用的数据的合规性，由于模型和数据的复杂性，仍有可能存在一些无法预见的问题。因此，如果由于使用TeleChat开源模型而导致的任何问题，包括但不限于数据安全问题、公共舆论风险，或模型被误导、滥用、传播或不当利用所带来的任何风险和问题，中电信不承担任何责任。 协议 社区使用 TeleChat 模型需要遵循《TeleChat模型社区许可协议》。 TeleChat模型支持商业用途，如果您计划将 TeleChat 模型或其衍生品用于商业目的，您需要通过以下联系邮箱 teleai@chinatelecom.cn，提交《TeleChat模型社区许可协议》要求的申请材料。审核通过后，将特此授予您一个非排他性、全球性、不可转让、不可再许可、可撤销的商用版权许可。

前提条件 已登录弹性云主机。 请确保安全组出方向规则满足如下要求，否则访问元数据请求失败： − 协议：TCP − 端口范围：80 − 远端地址：169.254.0.0/16 说明 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常访问元数据。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/0 Metadata（OpenStack元数据API） 用于查询弹性云主机的元数据。 URI /169.254.169.254/openstack/latest/metadata.json 方法 支持GET请求。 示例： Linux操作系统：以使用cURL工具为例，介绍查询弹性云主机元数据的方法。 curl Winodows操作系统：以使用InvokeRestMethod工具为例，介绍查询弹性云主机元数据的方法。 InvokeRestMethod ConvertToJson { "randomseed": "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", "uuid": "ca9e8b7cf2be4b6da639f10b4d994d04", "availabilityzone": "lttest1c", "hostname": "ecsddd4l00349281.novalocal", "launchindex": 0, "meta": { "metering.imageid": "3a64bd37955e40cdab9e129db56bc05d", "metering.imagetype": "gold", "metering.resourcespeccode": "s3.medium.1.linux", "imagename": "CentOS 7.6 64bit", "osbit": "64", "vpcid": "3b6c201faeb34bceb84164756e66cb49", "metering.resourcetype": "1", "cascaded.instanceextrainfo": "pcibridge:2", "ostype": "Linux", "chargingmode": "0" }, "projectid": "6e8b0c94265645f39c5abbe63c4113c6", "name": "ecsddd4l00349281" }

安全可靠性高 提供与公共互联网隔离的网络数据传输环境，线路不连接，不经过互联网，杜绝公网IP攻击，安全性高。 高带宽低时延 专线末端提供光纤PON或LAN方式专线入云解决方案，网络延时低；带宽最高可达100M/1000Mbps，满足用户大量数据的稳定传输需求。 线上自主受理 用户可在云网通产品页自助开通受理，方便用户设计网络规划，减少方案沟通环节，专线工程人员将在线下进行物理线路接入及调试。目前支持福建电信客户，其它省份客户请至当地中国电信营业厅办理。

1、建议升级到最新版连接器 登录边缘安全加速控制台，选择零信任服务工作台，在连接器管理页面，选择连接器实例，点击【待升级】进行升级： ※立即升级：将自动升级，升级时间1分钟左右。 ※命令安装：根据提供的安装步骤，在连接器所在宿主机上执行命令操作。 2、排查宿主机网络连通性 检查连接器所在宿主机与零信任控制中心网络连通情况： 按照下述命令执行，若状态码响应400，则说明连通性正常。否则，请检查宿主机的网络设置情况。 curl vo /dev/null 控制中心域名 或者 wget O /dev/null 控制中心域名 三、Windows连接器异常 1、建议升级到最新连接器版本 登录边缘安全加速控制台，选择零信任服务工作台，在连接器管理页面，选择连接器实例，点击【待升级】进行升级： ※立即升级：将自动升级，升级时间1分钟左右。 ※命令安装：根据提供的安装步骤，在连接器所在宿主机上执行命令操作。 2、排查连接器所在网络环境 检查安装连接器的宿主机与零信任中心服务的网络连通性：在连接器机器上，浏览器打开 3、检查虚拟网卡命名 （1）运行PowerShell， 执行： getnetadapter，是否存在命名为wgsecin的虚拟网卡。 （2）查看作用是WireGuard Tunnel的虚拟网卡，命名是否为 wgsecin。

本文向您介绍Hypervisor安全的相关知识。 Hypervisor Hypervisor是一种运行在物理机上的软件，可以在单个物理机上创建、运行和管理多个虚拟机。Hypervisor根据需要将底层物理计算资源（如cpu、内存）进行抽象统一管理，并按需将资源分配给各个虚拟机。Hypervisor实现了同一物理机上不同虚拟机之间的资源隔离，避免数据窃取或恶意攻击，同时保证虚拟机的资源使用不受周边虚拟机的影响。用户使用虚拟机时，只能访问属于自己的虚拟机的资源（如硬件、软件和数据），不能访问其他虚拟机的资源，保证了虚拟机的数据隔离和安全。 CPU隔离 CPU虚拟化是Hypervisor中最核心的部分，内存虚拟化和IO虚拟化都依赖于CPU虚拟化的正确实现。 X86架构中为了保护指令的运行，提供了指令的4个不同特权级别，术语称为Ring，优先级从高到低依次为： 1. Ring 0：最高特权级别，被用于运行操作系统内核。 2. Ring 1：用于操作系统服务。 3. Ring 2：用于操作系统服务。 4. Ring 3：用于应用程序。 Hypervisor运行在最高特权级别，可以控制物理处理器上的所有关键资源；而虚拟机操作系统运行在非最高级特权级别，所以其访问物理资源的敏感指令会陷入到Hypervisor中通过软件的方式进行模拟。通过拦截并模拟虚拟机的敏感指令，Hypervisor实现了虚拟机vCPU的隔离，有效防止了虚拟机越权恶意攻击物理机或其他虚拟机。

本章节主要介绍如何快速创建一个数据分析集群。 数据分析集群使用Apache Doris，Apache Doris是开源的MPP架构的OLAP分析引擎，支持亚秒级的数据查询和多表join。在创建数据分析集群前，需要先创建虚拟私有云。 操作步骤 1、进入集群创建页面 方法一：登录翼MapReduce产品详情页，直接点击“立即开通”。 方法二：进入翼MapReduce产品一类节点资源池的产品控制台，点击“+创建集群”。 2、软件配置 进入“创建集群”页面进行配置与订购，软件配置页面如下图所示，参数说明如下： 区域集群与可用区：集群节点所在的物理位置，根据需要选择区域及可用区，也可以使用默认值。 业务场景：选择“数据分析”场景。 产品版本：选择使用的产品版本，默认值即可。 服务高可用：翼MapReduce默认启用服务高可用且不可关闭高可用模式。 可选服务：由可选组件和必选组件组成，根据业务场景而定。您可根据自身业务场景对可选组件进行选择。数据分析集群场景下默认只有Doris一个必选组件。 3、硬件配置 软件配置选择完成后，点击“下一步”进入硬件配置页面。硬件配置页面如下图所示，参数说明如下： 计费模式：可选择计费模式，默认为包年/包月。 购买时长：可按需选择订购时长。 自动续费：可按需开启自动续费功能。 操作系统：可按需选择CTyunOS或麒麟系统。 注意 当前麒麟镜像为不提供license的免费公共镜像，license需要用户自行购买。天翼云将为客户辅助提供技术支持。 主机类型：可按需选择云主机或物理机。 CPU类型：可按需选择X86或ARM。 规格类型：可按需选择通用主机或国产化主机。 节点组：根据您自身需要选择集群节点规格及数量，包括对节点组类型、选项配置、云盘参数和性能的选择，可根据需要对core节点进行增加/删除。 企业项目：企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择翼MR集群的企业项目归属。仅支持选择用户有权限的企业项目。 虚拟私有云：不同虚拟私有云（VPC）网络之间的逻辑彻底隔离。请按需选择需要使用的虚拟私有云。如果目前没有VPC可以点击“创建虚拟私有云”跳转到虚拟私有云页面创建。 注意 1）集群和虚拟私有云需在同一企业项目下。 2）为保障网络互通，请选择与软件配置中所填数据库相同的虚拟私有云（VPC）。 子网：选择虚拟私有云后，子网可以根据需要进行选择。若所选子网已开通IPv6，可按需选择是否开启IPv6访问实例资源的功能。 安全组：设置集群内实例的网络访问控制。当前天翼云虚拟私有云安全组策略强安全要求，默认服务器内网互相不通，需要客户勾选安全组规则自动配置授权，翼MR会默认添加下述安全组中相关的规则。

本节介绍物理服务器是否可以使用漏洞扫描服务。 当您的物理服务器为Linux操作系统，且满足以下版本要求时，如果您的物理服务器可以远程登录，则可以通过添加跳板机的方式使用漏洞扫描服务。 EulerOS：支持的最低系统版本为EulerOS 2.2。 CentOS：支持的最低系统版本为CentOS 6.5。 RedHat：支持的最低系统版本为Red Hat Enterprise Linux 6.10。 Ubuntu：支持的最低系统版本为Ubuntu 16.04 server。 SUSE：支持的最低系统版本为SUSE Enterprise 11 SP4。 OpenSUSE：支持的最低系统版本为OpenSUSE 13.2。 Debian：支持的最低系统版本为Debian 8.2.0。 Kylin OS：支持的系统版本为Kylin OS V10 SP1。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 在“添加主机”页面，单击“添加主机”，参数说明如下表所示。 参数说明： 参数名称 参数说明 配置示例 主机名称 用户需要添加的主机名称。 vsstest IP地址 添加主机的公网IP地址。 192.168.2.3 是否使用跳板机 选择“是”。 是 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 5. 新增跳板机。 1. 单击“新增跳板机”。 2. 在弹出的对话框中，设置跳板机参数，如下图所示，相关参数说明如下表所示。 跳板机配置参数说明： 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 6. 单击“下一步”，添加主机完成。 7. 在添加的主机所在行的“操作”列，单击“配置授权信息”。 8. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 9. 单击“确定”，完成主机授权。

本文简述如何查询指定IP是否为天翼云IP。 功能介绍 天翼云边缘安全加速平台—边缘接入服务提供一种IP地址检测工具，您可以使用该工具检测某IP地址是否为天翼云节点IP，同时获取IP所属城市、运营商、机房地址、节点层级等信息。 应用场景 场景一：配置边缘接入服务后，可通过该工具验证客户端的请求是否成功到达天翼云节点IP。如果不是天翼云节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云节点IP，来排查网站访问异常的原因。如果IP地址是天翼云IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 使用方法 您可以通过控制台自助输入IP地址，点击【验证】按钮进行查询。 控制台自助查询IP归属 1. 登录边缘安全加速平台控制台，选择【边缘接入】控制台。 2. 进入【工具管理】【IP归属查询】页面，输入查询的地址，支持一次查询多个ip。 3. 输入查询后将显示该地址是否为天翼云节点以及对应归属地。

本文简述回源端口的配置方法。 功能介绍 源站端口，是指源站接收天翼云AOne安全与加速请求时所用的端口，一般http协议和https协议使用不同的源站端口。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置”。 4.在源站端口模块，配置合适的回源端口。http端口默认80，支持自定义；https端口默认443，支持自定义。 配置界面 未开启“跟随请求端口回源”时，可以自定义配置HTTP回源端口和HTTPS回源端口，如下图： 开启“跟随请求端口回源”时，HTTP回源端口和HTTPS回源端口置灰不能配置，将使用请求端口回源，如下图： 参数名 说明 http 使用http协议回源时使用的源站端口，默认80，支持自定义，自定义回源端口范围为1~65535。 https 使用https协议回源时使用的源站端口，默认443，支持自定义，自定义回源端口范围为1~65535。 跟随请求端口回源 跟随请求端口回源开关开启后，使用请求端口回源。

本节介绍如何查看自定义类型。 约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 自定义类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”。 子类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”、“子类型标识”。 查看已有的自定义类型/子类型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“自定义类型”页签，进入自定义类型管理页面后，查看已有自定义类型/子类型的详细信息。 左侧显示类型列表，展示已有的类型。 如需查看某个类型的详细信息，请单击左侧类型列表中类型的名称，右侧将展示类型的详细信息。具体信息如下： 目标类型的基本信息：名称、创建人、创建时间、关联布局。 子类型列表：已有子类型、子类型名称、子类型关联的布局等信息。

本小节介绍关闭节点防护。 操作须知 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 操作步骤 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量关闭防护和单服务器关闭防护。 单服务器关闭防护 a.在“节点列表”中目标服务器的“操作”列单击“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 批量关闭防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 说明 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。

参数名称 取值范围 说明 appendfsync no,always,everysec 操作系统的fsync函数刷新缓冲区数据到磁盘。 Redis支持三种不同的调用fsync的方式： no：不调用fsync，由操作系统决定何时刷新数据到磁盘，性能最高。 always：每次写AOF文件都调用fsync，性能最差，但数据最安全。 everysec：每秒调用一次fsync。兼具数据安全和性能。 appendonly yes,no 指定是否在每次更新操作后进行日志记录（即持久化功能），Redis在默认情况下是异步的把数据写入磁盘，如果不开启，可能会在断电时导致一段时间内的数据丢失。 有以下取值供选择： yes: 开启。 no: 关闭。 hashmaxziplistentries 1~10000 当hash表中只有少量记录时，使用有利于节约内存的的数据结构来对hashes进行编码。 hashmaxziplistvalue 1~10000 当hash表中最大的取值不超过预设阈值时，使用有利于节约内存的的数据结构来对hashes进行编码。 latencymonitorthreshold 0~86400000 延时监控的采样时间阀值（最小值），单位为毫秒。 阀值设置为0：不做监控，也不采样； 阀值设置为大于0：将记录执行耗时大于阀值的操作。 可以通过LATENCY等命令获取统计数据和配置、执行采样监控 luatimelimit 100~60000 Lua脚本的最长执行时间，单位为毫秒。 maxclients 1000~50000 最大同时连接的客户端个数。 maxmemorypolicy volatilelru,allkeyslru,volatilelfu,allkeyslfu,volatilerandom,allkeysrandom,volatilettl,noeviction 在达到内存上限（maxmemory）时实例将如何选择要删除的内容。有8个取值供选择： volatilelru：根据LRU算法删除设置了过期时间的键值。 allkeyslru：根据LRU算法删除任一键值。 volatilerandom：删除设置了过期时间的随机键值。 allkeysrandom：删除一个随机键值。 volatilettl：删除即将过期的键值，即TTL值最小的键值。 noeviction：不删除任何键值，只是返回一个写错误。 volatilelfu: 根据LFU算法删除设置了过期时间的键值。 allkeyslfu: 根据LFU算法删除任一键值。 protomaxbulklen 1048576~536870912 Redis协议中的最大的请求大小，单位为字节。 listcompressdepth 0~65535 列表中两端不被压缩的节点个数，取值范围0~65535。 0：默认值，表示都不压缩。 1~65535：表示list两端各有1~65535个节点不压缩，中间的节点压缩。 replbacklogsize 16384~1073741824 用于增量同步的复制积压缓冲区大小（单位为字节）。这是一个用来在从节点断开连接时，存放从节点数据的缓冲区，当从节点重新连接时，如果丢失的数据少于缓冲区的大小，可以用缓冲区中的数据开始增量同步。 replbacklogttl 0~604800 从节点断开后，主节点释放复制积压缓冲区内存的秒数。值为0时表示永不释放复制积压缓冲区内存。 repltimeout 30~3600 主从同步超时时间，单位为秒 setmaxintsetentries 1~10000 当一个集合仅包含字符串且字符串为在64位有符号整数范围内的十进制整数时，使用有利于节约内存的的数据结构对集合进行编码。 slowloglogslowerthan 0~1000000 用于设置Redis慢查询日志的阈值，单位是微秒。 slowlogmaxlen 100~10000 慢查询记录的条数。注意慢查询记录会消耗额外的内存。可以通过执行SLOWLOG RESET命令清除慢查询记录。 timeout 0~7200 客户端空闲N秒（timeout参数的取值）后将关闭连接。当N0时，表示禁用该功能。 zsetmaxziplistentries 1~10000 有序集合中只有少量记录时，使用有利于节约内存的的数据结构对有序序列进行编码。 zsetmaxziplistvalue 1~10000 当有序集合中的最大取值不超过预设阈值时，使用有利于节约内存的的数据结构对有序集合进行编码。 isopenflashback yes,no 是否开启闪回 isopendangercmdswitch yes,no 危险命令开关 hz 1~500 设置Redis后台任务执行频率，例如清除过期键任务。取值范围为1~500，默认值为10，即每秒执行10次。 aoftimestampenabled yes,no aof记录时间戳开关 activedefrag yes,no 自动清理内存碎片开关 activedefragignorebytes 104857600~10737418240 内存碎片占用空间达到设定值的时候开始清理 activedefragthresholdlower 10~100 内存碎片率大于设定值的时候开始清理 activedefragcyclemin 1~25 内存碎片清理所占用CPU时间的比例不低于设定值(%) activedefragcyclemax 1~25 内存碎片清理所占用CPU时间的比例不高于设定值(%) autoaofrewriteminsize 67108864~34359738368 设置自动重写AOF文件的最小值。注，当前运行值随规格变化，可不用关注默认值。

适用场景 高并发查询（如电商大促、实时监控）。 复杂聚合请求（如多维度分析、嵌套查询）。 部署策略​​ 独立部署：与数据节点分离，避免请求分发占用数据节点的CPU/内存资源。 负载均衡：如果开通了ELB服务，可将ELB服务配置到专属协调节点，从而将流量均匀分配至多个协调节点。 协调节点规格建议购买较高规格的机型，比如esearch8c32g。 冷数据节点 冷数据节点是面向历史数据存储的专用节点类型，用于存储访问频率低、响应时效要求较宽松的冷数据（如超过30天的日志、归档业务数据等）。通过将冷热数据分离，可实现存储成本优化与查询效率的平衡。 适用场景 历史数据归档（如超过半年的交易记录、审计日志）。 低频访问数据（如季度/年度报表、备份索引）。 存储成本敏感型业务（需降低高性能节点资源占比）。 存储介质选择 建议选择大容量较低规格的存储类型，适合冷数据长期保存。 容量规划 冷节点存储容量建议为热节点的35倍，例如： 热节点配置500GB SSD存储，冷节点配置2TB HDD存储。 可通过生命周期管理策略自动迁移超期索引。 标签管理 冷节点默认携带node.attr.tag: stale标签，支持指定新创建索引到冷数据节点或者对已创建索引动态迁移： xml PUT /historicallogs/settings { "index.routing.allocation.require.tag": "stale" } 规划实例安全模式 实例的安全模式主要分为http模式和https模式。 http模式：适合通过内网访问实例的场景，通过http协议明文传输数据。 https模式：适合需要公网访问实例的场景。 实例订购时默认开通https模式。如果需要使用http模式，可在实例开通完成后，在安全设置页面修改为http访问。 不管http模式还是https模式，都必须通过用户名密码才能访问Elasticsearch/OpenSearch集群。 管理员账户名默认为admin，密码为创建集群时设置的管理员密码。 规划索引分片数

参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过“终端端口 → 服务端口”的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：作为内网IP使用。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

操作场景 本节操作以使用Mac OS系统自带的“终端（Terminal）”远程连接Linux操作系统云主机。 前提条件 云主机状态为“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 弹性云主机已经绑定弹性IP。 所在安全组入方向已开放3389端口。 操作步骤 您可以通过Mac OS系统自带的终端（Terminal）登录Linux云主机： SSH密码方式 1. 打开系统自带的终端（Terminal），执行以下命令 ssh 用户名@弹性IP 说明 如果是公共镜像（包括CoreOS），用户名为“root”。 2. 输入登录密码并按下回车键，以完成登录。 SSH密钥方式 1. 打开系统自带的终端（Terminal）应用程序。 2. 在终端中执行以下命令，变更密钥文件的权限。下面的步骤以私钥文件"kp101.pem"为例进行介绍。 chmod 400 /path/kp101.pem 说明 上述命令中的"path"为密钥文件的存放路径。 3. 执行以下命令登录云主机。 ssh i /path/kp101.pem 用户名@弹性IP 说明 如果是“CoreOS”的公共镜像，用户名为“core”。 如果是“非CoreOS”的公共镜像，用户名为“root”。

本小节介绍域名无忧产品定义与优势。 产品定义 域名是互联网业务的入口，域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据，使用户在访问相关域名时返回虚假IP地址或使用户的请求失败。因此域名系统故障、配置错误、恶意篡改将直接造成业务中断，给政府和企业客户信誉带来恶劣影响的同时，还可能造成巨大的经济损失。 天翼云域名无忧为天翼云用户自助实现域名监测、域名告警、域名刷新，通过对电信所有省份的DNS服务器的检测及时发现域名是否被污染，并且提供按次刷新的服务，清除DNS服务器缓存还原原始DNS解析记录。 产品优势 智能监控 实时监控客户域名列表的安全状态，支持对监控指标设置报警规则，提供多种告警方式并及时预警，为客户域名的安全和稳定保驾护航。 秒级刷新 得益于中国电信骨干网络控制能力，实现中国电信全网缓存DNS服务器的秒级刷新，高速解决客户遭遇的域名劫持问题。 便捷操作 客户登录服务平台即可便捷查看各项指标，启动域名修正服务。

本章介绍通过DAS连接RDS for MySQL实例。 操作场景 数据管理服务（Data Admin Service，简称DAS）是一款专业的简化数据库管理工具，提供优质的可视化操作界面，大幅提高工作效率，让数据管理变得既安全又简单。您可以通过数据管理服务连接并管理实例。云数据库RDS服务默认为您开通了远程主机登录权限，推荐您使用更安全便捷的数据管理服务连接实例。 操作步骤 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 云数据库 RDS”，进入RDS信息页面。 4、在“实例管理”页面，选择目标实例，单击操作列的“登录”，进入数据管理服务实例登录界面。 图1 登录实例 您也可以在“实例管理”页面，单击目标实例名称，在页面右上角，单击“登录”，进入数据管理服务实例登录界面。 图2 登录实例 5、正确输入数据库用户名和密码，单击“登录”，即可进入您的数据库并进行管理。 图3 登录界面

一体机基础产品能力包含哪些？ 一体机默认提供基础的计算、存储、网络、监控和管理服务，其中对象存储、文件存储为可选。 一体机是否需要单独服务器配置对象存储？ 专业版支持对象存储，且对外有标准S3接口，可以和块存储融合部署，也可以用几个节点单独做对象存储集群，主要看对象存储和块存储的容量需求。 如果有多套一体机，可以用云管进行统一纳管吗？ 可以，一体机上部署的混合云管支持纳管能力。但客户需要自行打通不同一体机的网络，并支付相应的线路费用。 一体机是否支持纯软售卖？ 支持，一体机软件版不支持利旧设备，客户需按一体机标准配置进行硬件采购。 一体机是否提供等保软件套餐？ 一体机默认不提供安全能力，如客户有等保需求，可以将官网安全专区中的等保套餐私有化部署到一体机里，为客户提供等保能力，此部分单独收费。等保能力会有资源占用，最终用户可用的资源等于一体机默认提供的资源减去等保能力占用的资源。

本章介绍如何配置克隆目的端。 操作场景 启动目的端前，您可单击“克隆目的端”克隆出一台新的弹性服务器进行业务测试，测试无误后再启动目的端。克隆出的服务器必须和目的端服务器在同一可用区，但可以处于另外一个VPC中。 前提条件 只有“迁移阶段”为“持续同步”时才可克隆目的端。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面，找到已复制完成并持续同步的服务器，在“操作”列单击“更多 > 克隆目的端”，进入“克隆目的端”页面。 4. 配置相关参数，单击“开始克隆目的端”。 1. “虚拟机配置模板”选择“自动推荐”时，系统会根据目的端配置自动创建虚拟私有云、子网、安全组以及高级配置中的参数，您也可以手动调整。 2. “虚拟机配置模板”选择已有模板时，虚拟私有云、子网、安全组以及高级配置中的参数根据模板确定，您也可以手动调整。 5. 在服务器额外信息显示具体的克隆服务器名称，说明“克隆目的端”已完成。

设置远程服务器MSDTC（分布式事务处理协调器） 步骤 1 打开“控制面板”，选择“系统和安全 > 管理工具”，在“管理工具”页面打开“组件服务”。 步骤 2 选择“计算机 > 我的电脑 > Distributed Transaction Coordinator”。 步骤 3 右键单击“本地DTC”，选择“属性”。 步骤 4 在弹框中，选择“安全”页签，相关配置如图1所示，配置完成后，单击“确定”。 图 本地DTC属性 删除主机 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“分布式事务”，在“分布式事务”页面的列表中，选择需要删除的主机，单击“操作”列的“删除”。 您也可以在“分布式事务”页面，选择一个或多个需要删除的主机，单击列表上方的“批量删除主机”。 步骤 6 在弹出确认框中单击“是”，删除主机。

本节主要介绍配置域名映射 对于开启了公网访问的应用组件，除了在ServiceStage定义域名外，还需在域名服务提供商处进行域名映射。 前提条件 自动生成的域名仅7天有效期，在域名有效期（ 7天）过后，需修改为自定义域名。 对于已创建的应用，状态需为“运行中”才可修改域名。 已在域名提供者处获取域名。 已获取应用组件绑定的ELB的弹性公网IP。 操作步骤 1、登录ServiceStage控制中心，选择“应用管理 > 应用列表”，可查看到所有应用。 2、单击应用名称，进入应用“概览”页。 3、在“环境视图”页签，选择“环境”，可以看到已经部署在该环境下的应用组件。 4、单击应用组件名称，进入应用组件实例“概览”页。 5、设置域名： 选择“访问方式 > 设置域名”，输入已获取的“应用域名”。 （可选）设置“对外协议” 选择“ HTTP”，会存在安全风险，建议优先选择使用安全的“ HTTPS”方式。 选择“ HTTPS”，单击“使用已有”选择已经创建的证书。 若证书不存在，请单击“新创建”创建新的服务器证书。在域名提供者处进行域名映射配置。 这里以使用DNS服务为例，具体操作请参考添加记录集。

本章主要介绍关于实例连接密码的说明 DCS的缓存实例提供了密码控制访问功能，确保缓存数据足够安全。 说明 DCS帐号密码必须满足以下复杂度要求： 密码不能为空。 密码不能和帐号及帐号的倒序相同。 密码长度在8到32位之间。 至少必须包含如下四种字符中的三种： 小写字母 大写字母 数字 特殊字符包括（~!@$^&()+{}:, /?） 安全使用实例密码 1. Rediscli连接时隐藏密码。 Linux操作系统中，对rediscli指定a选项并携带密码，则在系统日志以及history记录中会保留密码信息，容易被他人获取。建议执行rediscli命令时不指定a选项，等连接上Redis后，输入auth命令完成鉴权。如下示例： $ rediscli h 192.168.0.148 p 6379 redis 192.168.0.148:6379>auth yourPassword OK redis 192.168.0.148:6379> 2. 脚本使用交互式输入密码鉴权，或使用不同权限的用户管理与执行。 脚本涉及到缓存实例连接，则采用交互式输入密码。如果需要自动化执行脚本，可使用其他用户管理脚本，以sudo方式授权执行。 3. 应用程序中使用加密模块对redis密码加密配置。

网络管理 集群安全组规则配置 如何修复出现故障的容器网卡？ 为什么容器无法连接互联网？

态势感知（Situation Awareness，SA）是可视化威胁检测和分析的平台。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。

天翼云终端杀毒(统一服务器安全管理系统)面向政企用户的以大数据技术为支撑、以可靠服务为保障,能够精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,为政企事业单位提供终端病毒、漏洞管控能力。

云专线提供用户本地数据中心与天翼云VPC之间的连接服务。云专线产品在充分利用中国电信云网融合优势的同时,依托现有的IT基础设施,灵活搭建云上云下高速、低时延、稳定安全的专属连接通道。

本章介绍如果快速创建虚拟机配置模板。 在设置迁移目的端前，您可以提前创建虚拟机配置模板。在设置迁移目的端时，选择已创建的虚拟机配置模板，可快速完成虚拟私有云、子网、安全组等参数。

本章节介绍了如何创建DRS实例，并将本地Oracle上的testinfo数据库迁移到云数据库GaussDB 实例中testdatabaseinfo数据库中。 迁移前检查 在创建任务前，需要针对迁移条件进行手工自检，以确保您的迁移任务更加顺畅。 在迁移前，您需要参考入云使用须知获取迁移相关说明。 创建迁移任务 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。选择目标实例所在的区域。 3. 单击左侧的服务列表图标，选择“数据库 > 数据库服务 > 数据复制”。 4. 左侧导航栏选择“实时同步管理”，单击“创建同步任务”。 5. 配置同步实例信息。 a) 选择区域，项目，填写任务名称。 b) 配置迁移任务的类型，选择目标实例和子网等。 c) 单击“开始创建”。 6. 配置源库及目标库信息。 a) 填写源库的IP、端口、用户、密码等信息。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 b) 填写目标库的账户和密码。 填写完成后，需要单击“测试连接”，测试连接信息是否正确。 c) 单击“下一步”，仔细阅读提示内容后，单击“同意，并继续”。 7. 设置同步。 a) 在源库选择需要迁移的数据库和表。本次实践中选择“ testinfo” 中的 “DATATYPELIST” 表。 b) 选择完成后，可以设置迁移后是否重新命名库名和表名。 c) 本次实践将表名重新命名为“ DATATYPELISTAfter ”。 注意重新命名时不要使用特殊符号，否则会导致迁移后执行SQL语句报错。 d) 确认重命名设置内容，单击“下一步”。 8. 高级设置。 本页面内容仅做确认，无法修改，确认完成后单击“下一步”。 9. 数据加工。 在该页面可以对迁移的表进行加工。包括选择迁移的列，重新命名迁移后的列名，本次实践将“ COL01CHARE ”重新命名为“ newline ”。 a) 选择需要加工的表。 b) 编辑“COL01CHARE”列。 c) 将“COL01CHARE”重新命名为“newline”，单击“确定”。 d) 单击“下一步”。 10. 预检查。 a) 所有配置完成后，进行预检查，确保迁移成功。 b) 对于未通过的项目，根据检查结果中的提示信息修复，修复完成后，单击“重新校验”，直到预检查通过率为100%。 c) 预检查全部通过后，单击“下一步”。 11. 任务确定。 a) 检查所有配置项是否正确。 b) 单击“启动任务”，仔细阅读提示后，勾选“我已阅读启动前须知”。 c) 单击“启动任务”，完成任务创建。 12. 任务创建成功。 任务创建成功后，返回任务列表查看创建的任务状态。

天翼云网页防篡改（原生版）产品（CTWT，WebpageTampering）具有广泛的应用场景，以下是三种常见的应用场景。 场景一：网站实时监管 政府、金融、交通等行业需要对网站进行实时监测，防止网站被植入涉恐、涉政、暗链、后门等，否则一旦网站出现被篡改问题，会严重影响政府、交通等单位形象，造成企业巨大损失。 场景二：重大活动保障 在重大活动保障期间，各行业的官网、业务系统等网站出现非法关键词，导致被监管单位通报，其声誉将受到影响，评分会受到严重影响。 场景三：等保合规 信息安全等级保护是我国信息安全保障的一项基本制度，要求网络经营者应符合网络安全等级保护制度的要求。天翼云网页防篡改（原生版）帮助有等保需求的用户，进行安全测评，满足等保合规的要求。

本节介绍企业主机安全计费类的常见问题 退订重购HSS后，是否需要重新安装Agent与配置主机防护信息？ 不需要。 退订HSS时，退订的是防护配额。HSS不会自动卸载主机上已安装的Agent，也不会修改或者删除已配置的主机防护信息。 注意 请保证重购防护配额的区域与原购买区域保持一致，HSS不支持跨区域使用。

调试测试计划 新增或修改测试计划后，可通过调试快速发现语法或配置错误，确保该模型在任务中可用。 1、登录性能测试控制台，在左侧导航栏中选择“JMeter测试工程”。单击待调试测试计划所在工程后的。 2、在“测试计划列表”页签中，单击待调试的测试计划操作栏中的。 3、在弹出的对话框中，选择“资源组类型”后单击“启动调试”。 4、在“调试日志”页签，查看调试的操作日志。 调试日志 5、调试完成后，在“结果”页签，查看测试计划调试的具体内容。 如果调试结果报错，可根据错误日志信息，修改jmx文件后重新导入。导入方法请参见管理测试计划中的修改测试计划部分。 启动测试计划 测试计划指通过在不同压测点执行一系列测试，持续对系统发起压力测试，通过测试获取并分析系统运行的性能数据。 您可以在一个测试工程中添加多个测试计划。 前提条件 确保资源组状态为“运行中”。 确保资源组的调试节点上的32001和32003端口在安全组被开启。 确保资源组的执行节点和被压测的应用之间网络互通。 操作步骤 1、登录性能测试控制台，在左侧导航栏中选择“JMeter测试工程”，单击待操作工程后的。 2、创建测试计划，具体操作请参见创建测试计划。 3、创建完成后，单击任务操作栏的。 4、在“启动测试任务”对话框中，选择对应的资源组。 5、单击“启动”，启动测试任务。然后可以单击“查看报告”来查看实时性能报告。 说明 压测时长建议至少300s，并发数请根据被压测应用的实际情况填写。通过多次调整压测数据进行反复测试，得到应用所能承受的最大值，进行持续优化和验证。 管理测试计划 测试计划创建成功后，您可以对测试计划进行管理。