本小节介绍云堡垒机续订的操作方法。 控制台续费 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后15天内，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，若未及时续费，则进入“保留期”，不能登录云堡垒机系统。“保留期”为15天，到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 堡垒机续费不会自动续费云主机，请您手动续订对应云主机。 前提条件 已获取控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待续费的实例，单击“更多 > 续费”，进入“续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“云堡垒机实例”列表查看授权后最新到期时间。 管理中心续订 登录天翼云官网，进入管理中心，选择续订管理，点击“手动续订”或者“开通自动续订”按钮，即可完成实例的续订。 退订

本章节主要向您介绍VPN连接的产品功能。 VPN连接（Virtual Private Network Connection，以下简称VPN），用于在远端用户和虚拟私有云（Virtual Private Cloud，以下简称VPC）之间建立一条安全加密的公网通信隧道。当您作为远端用户需要访问VPC的业务资源时，您可以通过VPN连通VPC。 默认情况下，在虚拟私有云（VPC）中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。 经典版VPN 经典版VPN采用硬件防火墙作为网关，所有租户共享IPSec隧道资源；一个租户业务触发故障将会影响其他租户业务。 企业版VPN 企业版VPN采用虚拟网关软件作为网关，VPN网关由租户独占，不与其他租户共享，带宽、连接数可保障；一个租户网关故障时，不会影响其他租户网关。 VPN关联ER 传统方式下，本地数据中心同时对接不同VPC时，VPN侧需要配置多条VPN连接，分别对应到不同VPC。 使用VPN关联ER（Enterprise Router，企业路由器）功能后，VPN只需要对接到ER，VPC之间的网络路由通信均由ER实现，从而简化网络配置。

本章介绍什么是天翼云关系型数据库，包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台，让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 PostgreSQL PostgreSQL是一个开源对象关系型数据库管理系统，并侧重于可扩展性和标准的符合性，被业界誉为“最先进的开源数据库”。PostgreSQL面向企业复杂SQL处理的OLTP在线事务处理场景，支持NoSQL数据类型（JSON/XML/hstore），支持GIS地理信息处理，在可靠性、数据完整性方面有良好声誉，适用于互联网网站、位置应用系统、复杂数据对象处理等应用场景。 支持postgis插件，空间应用卓越，达到国际标准。更接近Oracle数据库，去 “O” 成本低。 适用场景丰富，费用低，随时可以根据业务情况弹性伸缩所需的资源，按需开支，量身订做。

本章节主要介绍RDSPostgreSQL实例使用规范。 实例可用性 建议开通产品实例时，充分考虑业务使用应用场景，保持实例服务器有一定的资源冗余，如磁盘、CPU、内存等，保证正常使用率不超过70%，防止因资源问题导致Out Of Memory、磁盘耗尽、CPU飙高等异常问题。 建议生产系统使用的数据库选用主备类型，保证高可用。 建议开启周期性全量+增量备份，保证备份机空间足够且不小于实例磁盘。 建议根据需要修改主备实例的数据同步模式，如要保证数据不丢失，可设置为同步模式；如要保证业务响应速度快，可以设置为异步模式。 建议根据资源使用情况，及时升级实例配置，如磁盘扩容、系列升配和CPU/内存升配，保证实例可用性。 实例运维 及时清理无用复制槽，防止复制槽阻塞影响日志回收。 及时VACUUM，尤其是在大批量数据操作场景下。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 及时清理无用的空闲连接，同时业务侧应该避免连接长时间不释放。 建议定期监控数据库事务ID的大小，以免数据库已使用的事务ID大小超过20亿，导致数据库强制关闭。 安全访问 尽量避免通过公网访问数据库，如需公网连接必须要先绑定公网EIP，并严格管理白名单。

本章节介绍数据库复制与其他服务的关系。 关系型数据库 数据库复制服务可将已有数据库迁移到本云关系型数据库（Relational Database Service，简称RDS）。 目前数据库复制服务支持将如下场景的关系型数据库迁移到本云关系型数据库： VPC网络 VPN网络 专线网络 公网网络 文档数据库服务 数据库复制服务可将已有数据库迁移到本云文档数据库服务（Document Database Service）。 目前数据库复制服务支持将如下场景的MongoDB数据库迁移到本云文档数据库服务： VPC网络 VPN网络 专线网络 公网网络 分布式关系型数据库 数据库复制服务可将已有数据库迁移到本云分布式数据库中间件（Distributed Database Middleware，简称DDM）。 目前数据库复制服务支持将如下场景的数据库迁移到本云分布式数据库中间件服务： VPC网络 VPN网络 专线网络 公网网络 云监控 当用户开通了数据库复制后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。 云审计服务 云审计服务（Cloud Trace Service，简称CTS）记录数据库复制服务相关的操作事件，方便您日后的查询、审计和回溯。 对象存储服务 对象存储服务为数据库复制服务提供海量、安全、高可靠、低成本的数据存储能力。

参数 类型 是否必填 名称及描述 code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 domain string 否 域名 status int 否 域名状态，4（已启用）；6（已停止）。域名详情只返回域名的确定状态，过程中的状态不会返回。 productcode string 否 产品类型，“001”（静态加速）,“003”:（下载加速）, “004”（视频点播加速）,“008”（CDN加速），“014”（下载加速闲时） areascope int 否 加速范围 cname string 否 cname insertdate string 否 创建时间，单位毫秒 statusdate string 否 修改时间，单位毫秒 ipv6enable int 否 ipv6启用，1（启用 ）；2（关闭） recordnum string 否 备案号 recordstatus string 否 备案状态，false（未备案）；ture（已备案） originhosttype int 否 主备源携带不同的回源host是否开启，0（关闭）；1（开启） originprotocol string 否 回源协议，http（用http协议回源）；https（用https协议回源）；followrequest（跟随访问协议进行回源） origin list< object> 否 源站信息 origin[].origin string 否 源站ip或域名 origin[].port int 否 源站端口 origin[].weight int 否 权重 origin[].role string 否 源站角色 origin[].protocol string 否 源站类型 xosoriginis int 否 是否开启云存储XOS源站配置功能 xosorigin object 否 云存储XOS源站信息 xosorigin[].origin string 是 云存储XOS源站 xosorigin[].ak string 否 云存储XOS源站加密ak xosorigin[].sk string 否 云存储XOS源站加密sk blackreferer object 否 referer黑名单 blackreferer.allowlist list< string> 否 referer黑名单列表 blackreferer.allowempty string 否 是否允许为空，“on”（允许为空）； “off”（不允许为空） blackreferercondition dict 否 referer黑名单condition whitereferer object 否 referer白名单 whitereferer.allowlist list< string> 否 referer白名单列表 whitereferer.allowempty string 否 是否允许为空，“on”（允许为空）； “off”（不允许为空） whitereferercondition dict 否 referer白名单condition filetypettl list< object> 否 文件过期时间设置 filetypettl[].filetype string 否 缓存文件类型，多个以逗号隔开 filetypettl[].ttl int 否 缓存时间，单位秒 filetypettl[].cachetype int 否 缓存类型， 1（不缓存）；2（优先遵循源站）；3（强制缓存） filetypettl[].cachewithargs int 否 是否带参数缓存，0（不带参数缓存）；1（带参数缓存） filetypettl[].mode int 否 模式， 0（文件后缀）；1（目录）；2（首页）； 3（全部文件）；4（全路径）；5（正则），不传默认0 filetypettl[].priority int 否 优先级 reqheaders list< object> 否 自定义回源请求头 reqheaders[].key string 否 自定义回源请求头名称 reqheaders[].value string 否 自定义回源请求头值 respheaders list< object> 否 自定义响应头 respheaders[].key string 否 自定义响应头名称 respheaders[].value string 否 自定义响应头值 basicconf object 否 http配置基础信息 basicconf.follow302 int 否 是否拉取跳转后文件，0(否);1(是) basicconf.usehttp2 int 否 是否开启http2，0（不开启）；1（开启），该字段只有在证书开启状态下才会有效 basicconf.httporiginport int 否 http请求回源端口 errorcode list< object> 否 错误码缓存配置 errorcode[].code string 否 错误状态码 errorcode[].ttl int 否 缓存时间，单位秒 useragent object 否 useragent黑白名单配置 useragent.type int 否 类型，0:（黑名单）； 1（ 白名单） useragent.ua list< string> 否 useragent列表 httpsstatus string 否 是否开启https，on、off certname string 否 国际证书备注名 certnamegm string 否 国密证书备注名 httpsbasic object 否 https基础配置 httpsbasic.httpsforce string 否 https强制跳转，“on”（跳转）；“off”（不跳转） httpsbasic.httpforce string 否 http强制跳转，“on”（跳转）；“off”（不跳转） httpsbasic.forcestatus string 否 强制跳转状态码 httpsbasic.originprotocol string 否 https回源协议，http（用http协议回源）；https（用https协议回源）；followrequest（跟随访问协议进行回源） gzip object 否 压缩功能 gzip.minlength string 否 压缩文件大小 gzip.filetype string 否 压缩文件类型 gzip.type int 否 压缩类型，0（gzip）；1（brotli） remotesyncauth list< object> 否 远程同步鉴权客户自助 remotesyncauth[].id string 否 主键id remotesyncauth[].priority int 否 优先级 remotesyncauth[].authhost list< string> 否 鉴权源站 remotesyncauth[].trynextremoteserverwhen string 否 鉴权源站重试状态码 remotesyncauth[].subject string 否 subject remotesyncauth[].pattern string 否 pattern remotesyncauth[].replace string 否 replace remotesyncauth[].useoriginalrequestargs string 否 是否使用原始请求参数 remotesyncauth[].usemainrequestargstype string 否 使用原始请求参数类型 remotesyncauth[].usemainrequestargs list< object> 否 请求参数 remotesyncauth[].usemainrequestargs[].argname string 否 请求参数key remotesyncauth[].usemainrequestargs[].argvalue string 否 请求参数value remotesyncauth[].useoriginalrequestheaders string 否 是否使用原始请求头 remotesyncauth[].usemainrequestheaderstype string 否 使用原始请求头类型 remotesyncauth[].usemainrequestheaders list< object> 否 请求头 remotesyncauth[].usemainrequestheaders[].argname string 否 请求头key remotesyncauth[].usemainrequestheaders[].argvalue string 否 请求头value remotesyncauth[].authscheme string 否 请求协议 remotesyncauth[].authport int 否 请求端口 remotesyncauth[].authmethod string 否 请求方法 remotesyncauth[].authbodydata string 否 请求体 remotesyncauth[].authtimeout float 否 鉴权超时时间，单位秒 remotesyncauth[].authconnectionpoolsize int 否 鉴权服务端连接池大小 remotesyncauth[].authconnectionidletime int 否 连接空闲超时时间 remotesyncauth[].authtimeoutpass string 否 鉴权超时是否通过，取值：on：是，off：否 remotesyncauth[].autherrorpass string 否 鉴权出错是否通过，取值：on：是，off remotesyncauth[].authrespondaction string 否 鉴权状态码黑白名单，白名单 “allow” 或 黑名单 “deny” remotesyncauth[].authrespondstatus list< int> 否 状态码 remotesyncauth[].forbiddencodestate string 否 鉴权不通过时状态码设置 remotesyncauth[].forbiddencode int 否 固定状态码 remotesyncauth[].responsejsontovar object 否 基于json鉴权 remotesyncauth[].responsejsontovar.switch int 否 0关，1开 remotesyncauth[].responsejsontovar.jsonvarlist list< object> 否 json数据 remotesyncauth[].responsejsontovar.jsonvarlist[].argname string 否 变量名 remotesyncauth[].responsejsontovar.jsonvarlist[].argvalue string 否 变量值 remotesyncauth[].responsejsontovar.forbiddencode int 否 鉴权不通过状态码 remotesyncauthcondition object 否 远程同步鉴权condition，{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径 key为remotesyncauth中的id ipblacklist string 否 ip黑名单 ipwhitelist string 否 ip白名单 reqhost string 否 回源host sharedhost string 否 共享缓存域名 limitspeeduri list< object> 否 基于url参数限速 limitspeeduri[].id string 否 limitspeeduri列表内唯一 limitspeeduri[].unit string 否 单位 limitspeeduri[].args string 否 uri参数名 limitspeeduri[].timeseg string 否 时段 limitspeeduri[].weight int 否 优先级 limitspeeduricondition object 否 limitspeeduri的condition配置 limitspeedconst list< object> 否 基于固定值限速 limitspeedconst[].id string 否 基于固定值限速唯一标识，limitspeedconst列表内唯一 limitspeedconst[].rate int 否 限速值 limitspeedconst[].timeseg string 否 时段 limitspeedconst[].unit string 否 单位 limitspeedconst[].weight int 否 优先级 limitspeedconstcondition object 否 limitspeedconst的condition配置 backoriginurirewritecondition object 否 回源uri改写condition配置 md5securetime list< object> 否 md5时间戳防盗链 md5securetime[].delimtimechar string 否 md5加密方式分隔符 md5securetime[].element list< object> 否 加密元素设置 md5securetime[].forbiddencode int 否 校验不通过状态码，默认403 md5securetime[].id string 否 配置名，唯一标识 md5securetime[].md5arg string 否 md5校验参数名称 md5securetime[].md5forbiddencode int 否 md5校验不通过状态码 md5securetime[].md5path int 否 md5校验码位置 md5securetime[].md5pathcustom string 否 自定义目录 md5securetime[].md5pathlevel int 否 目录级别 md5securetime[].md5pattern string 否 md5模式名称 md5securetime[].md5replace string 否 md5替代内容 md5securetime[].md5switch int 否 md5校验开关 md5securetime[].priority int 否 权重 md5securetime[].timearg string 否 参数名称 md5securetime[].timeformat int 否 时间戳格式 md5securetime[].timelowerlimit int 否 可访问起始时长 md5securetime[].timemd5length int 否 md5校验长度 md5securetime[].timemd5start int 否 md5校验起始位置 md5securetime[].timepath int 否 时间戳位置 md5securetime[].timepathcustom string 否 自定义目录 md5securetime[].timepathlevel int 否 目录级别 md5securetime[].timepattern string 否 time模式名称 md5securetime[].timereplace string 否 time替代内容 md5securetime[].timeswitch int 否 时间戳校验开关 md5securetime[].timeupperlimit int 否 时间戳有效期 md5securetimecondition object 否 加密元素condition设置 gzipcondition object 否 文件压缩condition配置 backoriginurirewrite object 否 回源uri改写 ssl string 否 ssl协议类型，支持TLSv1 、TLSv1.1 、TLSv1.2 、TLSv1.3 ，仅在httpsstatus为on时才生效 sslstapling string 否 ocsp stapling开关，on（开启），off（关闭），仅在httpsstatus为on时才生效 cusgzip list< object> 否 文件压缩 cusgzip[].id string 否 id cusgzip[].minlength string 否 压缩文件大小 cusgzip[].filetype string 否 压缩文件类型 cusgzip[].type int 否 压缩类型，取值：0（gzip），1（brotli） cusgzip[].httpversion string 否 httpversion，取值：1.1 ，1.0 cusgzip[].vary string 否 gzipvary，取值：on（开启），off（关闭） cusgzip[].maxlength string 否 最大文件大小 cusgzipcondition dict 否 文件压缩condition配置，{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。key为cusgzip中的id entrylimits list< object> 否 限频自助参数 entrylimits[].id string 否 唯一id entrylimits[].limitelement string 否 限制参数 entrylimits[].frequencythreshold int 否 访问次数限制阈值 entrylimits[].frequencytimerange int 否 统计周期 entrylimits[].forbiddenduration int 否 拒绝访问时间 entrylimits[].forbiddendurationunit string 否 拒绝访问时间单位，取值范围：[s,millis],默认s entrylimits[].forbiddencode int 否 封禁http访问码 entrylimits[].whiteipcontrol list< string> 否 不执行校验的客户端ip entrylimits[].priority int 否 优先级 entrylimitscondition dict 否 限频自助参condition配置,，{“key”:[{“mode”:类型, “content”:“配置内容，多个以逗号间隔”}]}, mode取值:默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径。key为entrylimits中的id cachekeyargs list< object> 否 缓存参数 cachekeyargs[].id string 是 基于缓存参数唯一标识 cachekeyargs[].ignore int 否 去参数缓存开关。取值：0:否，1 是 cachekeyargs[].iswithargs int 否 带特定参数缓存。取值：0:否，1 是 cachekeyargs[].mode int 否 匹配方式。取值：0:否，1 是 cachekeyargs[].args string 否 匹配方式为0时配置的参数 cachekeyargs[].subject string 否 匹配方式为1时配置，目前没用 cachekeyargs[].pattern string 否 匹配方式为1时配置，目前没用 cachekeyargs[].replace string 否 匹配方式为1时配置，目前没用 cachekeyargs[].priority int 否 优先级,取值范围[1,100] cachekeyargs[].ignoreargs string 否 忽略特定参数缓存,多个参数中间用逗号分割 cachekeyargscondition dict 否 缓存参数condition配置

您可通过配置通知策略，自定义告警事件的匹配条件。当触发相应匹配条件时，系统将按照预设的通知方式向指定对象推送告警信息，提醒其及时开展问题排查与处理工作。 前提条件 已创建通知对象，具体操作，请参见【告警通知对象】。 新建通知策略 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知策略。 2. 在通知策略 页面左上角单击创建通知策略。 3. 点击“高级设置”（如只需要设置通知对象与通知时段，可无需点击高级设置）。 4. 在新建通知策略页面顶部设置通知策略名称。 5. 在匹配规则区域设置告警事件的匹配规则，点击添加规则，然后进行以下设置： 注意 静默策略优先于通知策略，即已被静默策略匹配到的告警事件将会被静默，无法再进行通知策略的事件匹配。创建静默策略的操作，请参见【静默策略】。 1. 选择数据来源。 指定来源：通知策略会针对指定来源（集成）的告警事件进行匹配规则过滤并发送通知。 无预设来源：通知策略会针对所有告警事件进行匹配规则过滤并发送通知。 2. 设置匹配规则表达式，您可以自定义标签或选择已有的标签。 已有的标签包括： 告警规则表达式指标中携带的标签。 系统自带的默认标签，默认标签说明如下。 分类 标签 说明 常用字段 alertname 告警规则名称 常用字段 carmsobjid 告警对象ID 常用字段 carmsobjtype 告警对象类型 常用字段 carmsobjname 告警对象名称 常用字段 alertGroup 告警规则的group属性 系统预置字段 ctyunarmsregioncode 资源池编码 系统预置字段 ctyunarmsregionname 资源池名称 系统预置字段 ctyunarmstenantcode 租户编码 系统预置字段 ctyunarmstenantname 租户名称 系统预置字段 ctyunarmsalertlevel 告警等级： 1一般 2次要 3重要 4紧急 系统预置字段 ctyunarmsalertruleid 告警规则ID，在告警规则页面选择通知策略后，在对应通知策略中会新增一条匹配规则ctyunarmsalertruleid告警规则ID 系统预置字段 ctyunarmsnotifystrategyid 告警通知策略ID 系统预置字段 ctyunarmsintegrationname 集成名称，ARMS默认上报的告警集成名称为ARMSDEFAULT。 系统预置字段 ctyunarmsalertrulefrequency 告警通知频率 说明 如果需同时满足多个匹配规则才告警，则单击添加条件 编辑第二条匹配规则条件。 如果需满足任意一个匹配告警事件规则就告警，则单击添加规则 编辑第二条匹配规则。 在配置通知策略并设置匹配规则时，需注意所有关联规则的描述内容总和不可超过 64KB，大约100条匹配规则（具体数量与实际规则的复杂度相关），如超过限制则会配置失败，此时为确保配置顺利完成，请重新创建一条通知策略关联更多的匹配规则。 若将通知策略中的匹配规则删除（ctyunarmsalertruleid告警规则ID），告警规则详情中关联的通知策略虽仍可看到，但无法发出通知。 3. 单击下一步。 6. 在事件分组 区域，设置告警事件是否需要分组，然后单击下一步。 不需要分组：所有告警事件会以一条告警信息发送给处理人。 设置分组字段：选择指定字段，该字段内容相同的告警事件会汇总到同一告警发送通知，减少联系人需要处理的告警。 7. 在通知对象区域，设置以下参数。 1. 单击+添加通知对象 选择通知对象。 通知对象类型如下： 联系人：选择具体联系人后还需选择使用电话、短信或邮件的通知方式。 联系人组：选择具体联系人组后还需选择使用电话、短信或邮件的通知方式。 排班：选择具体排班后还需选择使用电话、短信或邮件的通知方式。 钉钉/飞书/企微：通过钉钉、飞书或企业微信发送告警通知。 通用Webhook：通过Webhook发送告警通知。 2. 选择告警恢复后是否发送恢复通知。 发送恢复通知：当告警下面全部事件都恢复时，告警状态是否自动恢复为已解决。当告警恢复时，系统将会发送通知给告警处理人。 3. 如选择邮件或短信方式，可设置邮件与短信通知模板。 4. 设置通知时段，告警会在设置的通知时段内发送告警通知。 5. 单击下一步。 8. 在重复/升级/恢复策略 区域设置告警是否需要重复通知或使用升级策略，然后单击下一步。 告警是否需要重复通知： 如果选择不需要重复通知，告警未恢复状态下只发送一次。 如果需要重复通知，设置重复频率。当告警未恢复或未认领时，告警会以设置的重复频率循环发送告警信息直至告警恢复。 告警是否配置升级策略：选择升级策略后，告警未恢复状态下，告警通知将会根据升级策略发送通知给其他通知对象。 9. 在行动集成 区域可以设置告警触发或恢复后自动执行的行动。具体可参考【行动集成】。 10. 设置完成后，单击提交。

本文介绍如何为弹性云主机更改时区。 操作场景 弹性云主机默认时区设置取决于您制作镜像时选择的时区。如果您需要修改弹性云主机的时区，按照本节内容进行操作，将系统时间与本地时间同步或更改为其他所需的时区。 更改Linux弹性云主机的时区 更改Linux弹性云主机的时区可以通过修改系统配置文件来实现。以下是在CentOS中更改时区的详细操作方法： 1. 登录到您的CentOS弹性云主机：使用您的凭据登录到弹性云主机。 2. 打开终端或使用远程登录工具：获取访问弹性云主机的命令行界面。 3. 查看当前时区：您可以使用以下命令来查看当前的时区设置： timedatectl 您可以使用以下命令列出系统中可用的时区： timedatectl listtimezones 4. 使用以下命令将新时区应用到系统中，将“YourTimeZone”替换为您要设置的时区： sudo timedatectl settimezone YourTimeZone 例如“Asia/Shanghai”： 5. 保存更改并退出编辑器：在Vi编辑器中，按下Esc键，然后输入":wq"保存更改并退出编辑器。 :wq 6. 使用以下命令再次运行 timedatectl 来验证时区是否已更改： timedatectl 系统将显示当前日期和时间，确保显示的时间与您所设置的时区一致，如下图示。 7. 至此，您已完成CentOS中更改时区。 更改Windows弹性云主机的时区 1. 使用您的凭据登录到您的Windows弹性云主机，本次以Windows Server 2016为例。 2. 点击Windows开始菜单，选择“控制面板”。 3. 在控制面板中，选择“日期和时间”或“时钟和区域”（具体名称可能会略有不同）。 4. 在日期和时间设置页面，点击“更改时区”按钮。 5. 在时区设置对话框中，选择适合您所在地区的时区。您可以通过从下拉列表中选择时区，或者在搜索框中键入相关的地区名称进行搜索。 6. 在选择了适当的时区后，点击“确定”按钮以保存更改。 7. 打开系统的日期和时间显示，或者运行命令提示符（CMD）并输入"date"命令，确保显示的时间与您所设置的时区一致。 8. 至此，您已在Windows弹性云主机上成功更改时区。

CentOS 6/RedHat 6 系列 1. 登录虚拟机。 登录天翼云官网弹性云主机选择机器点击远程登录。 2. 点击Send ctrlAlt重启云主机。 3. 选择进入菜单menu界面，在开启系统出现如下界面时，按Esc键（只需按一下）。 4. 接下来进入到如下界面。 5. 上图中红色矩形类的内容，按“a”键可以修改内核参数，所以按a键，然后进入一下界面。 6. 添加“1”，注意“1”前面用空格分开，然后按回车键。 7. 接着进入如下界面，输入passwd命令，修改密码，修改密码成功之后，重启之后需用新密码登录。 Debian/Ubuntu 系列 1. 登录虚拟机。 登录天翼云官网弹性云主机选择机器点击远程登录。 2. 点击Send ctrlAlt重启云主机。 3. 启动ubuntu18.04系统的时候连续点按ESC键进入选项，选择Advanced options for Ubuntu 并回车。 4. 选择ubuntu, with 4.15.0143generic带有（recovery mode）然后注意不要点回车，按E键。 5. 点E进入编辑页面，移动光标到linux一行，把recovery nomodeset 删掉，并最后添加quiet splash rw init/bin/bash。 6. 修改完成以后，按ctrl+x或F10启动系统就可以进入single模式而不需要密码了。 7. 修改密码。 plaintext passwd root 8. 重启主机，用新密码登录即可。

本文为您介绍使用taskset命令让进程运行在指定CPU上的具体操作。 操作描述 taskset命令可用于在Linux系统上查看或设定某个进程或线程的CPU亲和性。使用此命令可实现让云主机内的某个进程或线程仅在与之绑定的CPU核心上运行。此操作指导将以CtyunOS 323.01 64位操作系统为例，介绍如何使用 taskset 命令让进程运行在指定CPU上。 操作步骤 1. 通过执行如下命令，查看云主机的 CPU 核数。 cat /proc/cpuinfo 您会看到类似下图的输出内容。 其中，“processor”参数表示对应CPU处理器标号，而“cpu cores”参数表示对应CPU处理器的核心数。上图示例展示了标号为1且核心数为1的CPU处理器。注意：从此图可判断此云主机至少有2个CPU处理器，因为CPU处理器标号是从0开始的，了解这个信息对后续步骤的执行很关键。 2. 假设有一个 tasksettest.sh 进程，通过执行如下命令，查看该进程的信息。 ps aux grep tasksettest.sh 上图示例中 tasksettest.sh 进程的 PID 是 3943。 3. 通过执行如下命令，查看指定进程的 CPU 亲和性。 taskset p 以第 2 步中获取的 PID 为例： 上图示例中显示的十进制数字3转换为二进制数字11，每个1对应一个CPU，最低两个是1表示该进程运行在两个CPU上。 4. 通过执行如下命令，设定指定进程运行在第1个CPU（CPU0）上。 taskset pc 0 以第 2 步中获取的 PID 为例： 可以重复第 3 步来对比变化： 上图示例中显示的十进制数字1转换为二进制数字01（与第 3 步中对应），最低一个是1表示此步设定成功。 此外，仍以设定运行在第 1 个 CPU 上为例，可使用如下命令在启动程序时绑定 CPU 核心： taskset c 0 bash tasksettest.sh

本小节介绍SSL VPN的用户管理。 创建的用户为登录SSL VPN客户端的账户，用来接入SSL VPN隧道。 手动创建用户 1. 进入“SSL VPN 设置 > 用户管理”，点击“新建 > 用户”，配置界面如下。 也可提前选择指定组，然后再点击新建用户，则新建的用户会自动选择该组。 2. 设置用户名、密码以及用户所属组后点击“保存”并立即生效。 用户或用户组创建成功后，缺省会继承上级组的组属性，如果需要调整用户组的认证方式和账户类型，可单独编辑用户或用户组进行修改。 说明 公有用户和私有用户的区别： 公有用户：该类型账户允许多人同时登录，用户登录后不可修改自己的密码等属性，公有用户不可选择证书认证和短信认证。 私有用户：私有用户同一时间仅允许同一用户在线，本地密码认证的私有用户可在登录后修改自己的密码、手机号码、描述等信息。 修改用户组如下图所示： 批量导入用户 先在用户管理中创建模板用户，然后点击“其他操作 > 导出”，点击“选择导出内容”选择模板用户，导出模板csv文件，编辑csv文件，按照模板用户格式中添加其他用户信息。 1. 点击“SSLVPN设置 > 用户管理”，点击“导入 > 从文件导入”。 2. 选择“从文件中(.csv)导入用户”，点击“下一步”。 3. 在“选择文件”处，选择编辑好的用户信息表csv文件，同时勾选“用户所属组不存在时，自动创建”选项后，点击“下一步”。 4. 确认需要导入的用户信息没有问题后，点击“开始导入”。 5. 导入成功后，在用户管理页面可以看到导入成功的用户组以及相关用户。

本文为您介绍字段规范。 1. 字段类型越短越好（可以用int的则不能用bigint，能用tinyint的不能用int） 满足需求的情况下，字段类型越短，会占用更少的存储空间，更少的磁盘IO和网络IO，更少的MySQL计算空间和APP计算空间。常见的字段类型介绍如下： 2. 尽量不要使用default null，所有的字段尽可能都设定为not null并为其定义默认值： 索引不会包括NULL值。影响索引的统计信息，影响优化器的判断。 复合索引中只要有一列含有NULL值，则该列对于此复合索引将是无效的。 3. 需要多表 join的字段或直接比较的字段，数据类型保持绝对一致。 杜绝隐形转换，比如int同char进行比较，造成效率低下。 4. 当字段的类型为枚举型或布尔型时，建议使用tinyint类型。 5. 一般情况下不允许使用TEXT、BLOG，确实需要则拆分。 本质上说,不是MySQL不适合存储text，而是在太多的情况下我们期望MySQL能够更加高效的提供小数据查询/事务处理。 6. 同理，当varchar字段超过一定长度（256）时，建议拆分。 7. 内容明确，不做变更的类型代码可用枚举类型 8. 关于存储IP地址时字段类型的选择 如果是IPV4地址，存放使用int类型，而不是char(15)。Int只占4个字节，字符型占用16个字节，符合越短越好的原则。另外索引长度降低，检索效率更高。 如果是IPV6地址，请找DBA商量决定如何存储。 9. 关于存储时间字段类型的选择 对时间范围没有要求时，强烈建议采用TIMESTAMP取代DATETIME，因为TIMESTAMP更短（4个字节），而DATETIME占用8个字节 两者区别如下： 时间范围： datetime 以'YYYYMMDD HH:MM:SS'格式检索和显示DATETIME值。支持的范围为'10000101 00:00:00'到'99991231 23:59:59' TIMESTAMP值不能早于1970或晚于2037 存储方式： TIMESTAMP1.4个字节储存 2.值以UTC格式保存 3.时区转化，存储时对当前的时区进行转换，检索时再转换回当前的时区。datetime 1.8个字节储存 2.实际格式储存 3.与时区无关

本节介绍了查看实例运行情况的相关内容。 数据管理服务提供的总览页面可以帮助您查看数据库实例的整体运行情况，包括告警统计、资源使用情况和重点性能指标，多方面实时展示实例的运行状态。基于运行数据结合智能算法对实例进行健康智能诊断，并对异常项提供解决方法与使用建议。 功能模块 总览页面从多个模块为用户展示实例的运行情况，各功能模块详情请参见下表。 表 功能说明 功能模块 说明 告警统计 查看实例运行中不同等级告警条数。单击告警数，可以跳转至告警规则页面，显示该告警等级下的所有告警规则。 健康智能诊断 基于运行数据结合智能算法对实例进行整体诊断，帮助您所见即所得了解实例的健康情况。 资源使用情况 查看实例的CPU利用率、内存利用率、磁盘空间利用率和磁盘IOPS指标数。 重点性能指标 查看实例的近一小时的重点性能指标，包括CPU和慢SQL数、连接数、内存使用率、硬盘读写吞吐量。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 单击页面左上角的 ，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 步骤 4 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 步骤 5 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 步骤 6 选择目标实例，单击“详情”，进入“总览”页面。 步骤 7 在总览页面，查看实例的运行情况。 告警统计 在“告警统计”模块，查看当前实例的告警信息。单击告警级别后的告警个数，可查看告警详情列表。 如果业务需要关注CPU使用率、磁盘利用率和连接数使用率等指标，您可以通过管理告警规则配置对应的指标和告警策略。 健康智能诊断 在“健康智能诊断”模块，可以实时查看实例的诊断结果。 例如：出现“高压力请求”异常情况时，可以单击“详情与优化”查看相关性能指标的使用情况，并根据优化建议对当前的业务SQL进行优化或者及时扩容CPU规格来满足业务需求。 资源使用情况 在“资源使用情况”模块，可以查看当前实例的资源使用情况。 重点性能指标 在“重点性能指标”模块，可以查看近一小时的重点性能指标。 结束

sectiona0f6abd5a96eccf2)。 5. 一致性校验完成后，执行命令 tar zxvf SMSAgent.tar.gz，解压Agent软件包。 6. 执行命令 cd SMSAgent，进入源端服务器的SMSAgent目录。 7. 若使用HTTPS代理服务器，请执行步骤8。若不使用HTTPS代理服务器，请执行步骤9。代服务器为一种特殊网络服务，当您的源端无法通过公网访问天翼云时，可以通过代理服务器访问天翼云，代理服务器需用户自行配置。代理仅用于专线/VPN场景下源端到服务端的注册，不用于数据迁移过程。 8. 配置HTTPS代理服务器（可选）。执行命令 cd SMSAgent/agent/config，进入 config目录。执行如下命令，打开并编辑 auth.cfg文件。若迁移过程中不使用HTTPS代理，禁止修改 auth.cfg文件。执行 ：wq！命令，保存 auth.cfg文件并退出。 vi auth.cfg 示例：（以下仅为示例说明，具体代理服务器信息，请根据实际情况填写。） [proxyconfig] enable true proxyaddr proxyport 3128 proxyuser root usepassword true 说明 enable：使用代理时，设置为true。 proxyaddr：代理服务器地址，允许源端服务器通过代理服务器访问主机迁移服务，非目的端地址。yourproxyaddr.com需要更换为您代理服务器的地址，协议需要根据代理服务器的实际情况配置，建议您将代理服务器协议配置为https。 proxyuser：代理有用户名的话，就填写用户名，如root；没有则不填。 usepassword：代理有密码的话设置为true，否则false。 9. 执行命令 ./startup.sh，启动迁移Agent。 10. 请您仔细阅读显示的内容并输入“y”，按“Enter”。 11. 根据提示，输入目的端服务器所在天翼云帐号的AK、SK，以及目的端服务器所在区域的SMS域名。SMS域名可在SMS控制台的“迁移Agent”页面获取。如果您的账号已经开通企业项目，输入AK/SK后，Agent会查询有主机迁移权限的企业项目并罗列，供您选择。选择具体的企业项目后，主机迁移服务会将主机迁移到您指定的企业项目中。实现迁移时权限、资源和财务的隔离。当出现如下界面时，表示Linux版的SMSAgent启动成功，开始给主机迁移服务上传源端服务器信息。您可以前往SMS控制台的迁移服务器列表页面查看上报的源端服务器。

命令 说明 语法 XACK 从流的消费者组的 待处理条目列表 （简称PEL）中删除一条或多条消息。 XACK key group ID [ID ...] XADD 将指定的流条目追加到指定key的流中。 如果key不存在，作为运行这个命令的副作用，将使用流的条目自动创建key。 XADD key ID field string [field string ...] XCLAIM 在流的消费者组上下文中，此命令改变待处理消息的所有权，因此新的所有者是在命令参数中指定的消费者。 XCLAIM key group consumer minidletime ID [ID ...] [IDLE ms] [TIME msunixtime] [RETRYCOUNT count] [FORCE] [JUSTID] XDEL 从指定流中移除指定的条目，并返回成功删除的条目的数量，在传递的ID不存在的情况下， 返回的数量可能与传递的ID数量不同。 XDEL key ID [ID ...] XGROUP 该命令用于管理流数据结构关联的消费者组。使用XGROUP你可以：l 创建与流关联的新消费者组。l 销毁一个消费者组。l 从消费者组中移除指定的消费者。l 将消费者组的 最后交付ID 设置为其他内容。 XGROUP [CREATE key groupname idor ] [SETID key idor ] [DESTROY key groupname] [DELCONSUMER key groupname consumername] XINFO 检索关于流和关联的消费者组的不同的信息。 XINFO [CONSUMERS key groupname] key key [HELP] XLEN 返回流中的条目数。如果指定的key不存在，则此命令返回0，就好像该流为空。 XLEN key XPENDING 通过消费者组从流中获取数据。检查待处理消息列表的接口，用于观察和了解消费者组中哪些客户端是活跃的，哪些消息在等待消费，或者查看是否有空闲的消息。 XPENDING key group [start end count] [consumer] XRANGE 返回流中满足给定ID范围的条目。 XRANGE key start end [COUNT count] XREAD 从一个或者多个流中读取数据，仅返回ID大于调用者报告的最后接收ID的条目。 XREAD [COUNT count] [BLOCK milliseconds] STREAMS key [key ...] ID [ID ...] XREADGROUP XREAD命令的特殊版本，指定消费者组进行读取。 XREADGROUP GROUP group consumer [COUNT count] [BLOCK milliseconds] STREAMS key [key ...] ID [ID ...] XREVRANGE 与XRANGE相同，但显著的区别是以相反的顺序返回条目，并以相反的顺序获取开始结束参数 XREVRANGE key end start [COUNT count] XTRIM XTRIM将流裁剪为指定数量的项目，如有需要，将驱逐旧的项目（ID较小的项目）。 XTRIM key MAXLEN [~] count

本节介绍如何添加策略适用的防护域名，您可以通过Web应用防火墙服务添加策略适用的防护域名。 说明 如果您已开通企业项目，您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限，才能为该企业项目批量添加防护规则。 前提条件 已添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在目标策略名称所在行的“操作”列，单击“添加防护域名”。 步骤6 在“防护域名”下拉框中选择适用于该策略的防护域名，如图所示。 注意 一个防护域名有且只能配置一条防护策略。 一条防护策略可以适用于多个防护域名。 若想删除已绑定域名的防护策略，请先将此防护策略绑定的所有域名添加到其它防护策略，再在目标策略名称所在行的“操作”列中，单击“删除”。 步骤7 单击“确定”。

本文主要介绍如何通过天翼云云容器引擎使用虚拟节点以及使用ECI作为Pod的运行资源。 云容器引擎集群（混合ECS和ECI） 当已经创建了云容器引擎集群，可以通过使用虚拟节点（基于 VK）来使用ECI 的功能。利用虚拟节点，可以根据业务流量进行弹性扩缩容，从而减少集群扩容成本。 在云容器引擎集群中，首先需要部署虚拟节点，之后才可以在虚拟节点上创建ECI Pod，虚拟节点上的Pod均基于ECI运行在安全隔离的容器运行环境中，每个Pod对应一个ECI实例。 管理工具 通过VK将ECI以虚拟节点的方式接入Kubernetes集群后，可以通过以下方式管理Kubernetes集群及ECI实例的运行情况： 方式一：通过弹性容器实例控制台 1. 登录弹性容器实例控制台。 2. 在顶部左侧资源池列表选择对应资源池。 3. 在容器组页面，查看当前资源池已经创建的ECI实例。 方式二：通过云容器引擎控制台 1. 登录云容器引擎控制台。 2. 在顶部左侧资源池列表选择对应资源池。 3. 在左侧菜单栏选择集群页面，进一步选择对应的集群。 4. 在左侧菜单栏选择工作负载，可以查看对应的ECI Pod。

本文介绍如何管理镜像缓存。 本节介绍如何创建、查询、删除镜像缓存。 创建镜像缓存 您可以通过控制台手动创建镜像缓存。 1. 在弹性容器实例控制台的镜像缓存页面，单击"创建镜像缓存"。 2. 在创建镜像缓存页面，设置相关参数。相关参数说明如下： 1. 基本参数：设置可用区、专有网络和安全组等参数，用户创建中转ECI实例。 2. 镜像缓存：输入镜像名称，选择镜像地址和版本号，按需设置大小和保留时长。 3. 镜像仓库访问凭证：如果镜像是私有镜像，请填写镜像仓库的地址、访问用户名和密码。 3. 在镜像缓存页面查看创建结果。 4. 当状态变为ready时，表示镜像缓存创建成功。单击镜像缓存ID，可以打开详情页面，查看基本信息和相关事件。 查询镜像缓存 创建镜像缓存后，您可以查询镜像缓存信息。当镜像缓存状态为创建完成（ready）时，可以使用该镜像缓存。 在弹性容器实例控制台的镜像缓存页面查看镜像缓存的名称、状态等信息，单击镜像缓存ID可以查看事件等详细信息。

本章节主要介绍重启集群。 重启集群 当集群处于非均衡或不能正常工作时，可能需要通过重启集群进行恢复。当您修改完配置，例如修改集群安全设置、参数修改相关配置，未立即重启集群的情况下，您也可以通过手动重启集群使配置生效。 对系统的影响 重启期间集群将无法提供服务。因此，在重启前，请确定集群中没有正在运行的任务，并且所有数据都已经保存。 如果集群正在处理业务数据，如导入数据、查询数据、创建快照或恢复快照时，一旦重启集群，有可能会导致文件损坏或重启失败。因此，建议停止所有集群任务后，再重启集群。 您可以参考 Cloud Eye监控集群查看集群的“会话数”和“活跃SQL数”指标，查看是否有活跃事务。 重启集群所需时间与集群的规模和业务有关，正常情况下大约需要3分钟左右，不超过20分钟。 如果重启失败，将有可能会导致集群不可用，建议联系技术支持人员进行处理或稍后重试。 操作步骤 1.登录DWS 管理控制台。 2.单击“集群管理”。 3.在需要重启的集群的“操作”列，单击“重启”。 4.在弹出框单击“是”。 此时集群的“任务信息”变为“重启中”。当“集群状态”重新变为“可用”时，表示重启已成功。

本文向您介绍通过企业版VPN实现云上云下网络互通（主备模式）的方案概述。 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中，用户数据中心和VPC之间采用两条VPN连接保证网络可靠性，连接1和连接2互为主备。当其中一条VPN连接故障时，系统可以自动切换到另一条VPN连接，保证网络不中断。 图方案架构 方案优势 双连接：VPN网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 主备网关：VPN主备网关部署在不同的AZ区域，实现AZ级高可用保障。 约束与限制 VPN网关的本端子网与对端子网不能相同，即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。

本文向您介绍通过企业版VPN实现数据中心和VPC互通第五步：配置对端网关设备。 操作步骤 说明 本示例对端网关以华为AR路由器为例。 1. 登录AR路由器配置界面。 2. 进入系统视图。 shell systemview 3. 配置公网接口的IP地址。本示例假设AR路由器GigabitEthernet 0/0/8为公网接口。 shell [AR651]interface GigabitEthernet 0/0/8 [AR651GigabitEthernet0/0/8]ip address 22.xx.xx.22 255.255.255.0 [AR651GigabitEthernet0/0/8]quit 4. 配置默认路由。 shell [AR651]ip routestatic 0.0.0.0 0.0.0.0 22.xx.xx.1 其中，22.xx.xx.1为AR路由器公网IP的网关地址，请根据实际替换。 5. 开启SHA2算法兼容RFC标准算法功能。 shell [AR651]IPsec authentication sha2 compatible enable 6. 配置IPsec安全提议。 shell [AR651]IPsec proposal hwproposal1 [AR651IPsecproposalhwproposal1]esp authenticationalgorithm sha2256 [AR651IPsecproposalhwproposal1]esp encryptionalgorithm aes128 [AR651IPsecproposalhwproposal1]quit 7. 配置IKE安全提议。 shell [AR651]ike proposal 2 [AR651ikeproposal2]encryptionalgorithm aes128 [AR651ikeproposal2]dh group14 [AR651ikeproposal2]authenticationalgorithm sha2256 [AR651ikeproposal2]authenticationmethod preshare [AR651ikeproposal2]integrityalgorithm hmacsha2256 [AR651ikeproposal2]prf hmacsha2256 [AR651ikeproposal2]quit 8. 配置IKE对等体。 shell [AR651]ike peer hwpeer1 [AR651ikepeerhwpeer1]undo version 1 [AR651ikepeerhwpeer1]presharedkey cipher Test@123 [AR651ikepeerhwpeer1]ikeproposal 2 [AR651ikepeerhwpeer1]localaddress 22.xx.xx.22 [AR651ikepeerhwpeer1]remoteaddress 11.xx.xx.11 [AR651ikepeerhwpeer1]rsa encryptionpadding oaep [AR651ikepeerhwpeer1]rsa signaturepadding pss [AR651ikepeerhwpeer1]ikev2 authentication signhash sha2256 [AR651ikepeerhwpeer1]quit [AR651]ike peer hwpeer2 [AR651ikepeerhwpeer2]undo version 1 [AR651ikepeerhwpeer2]presharedkey cipher Test@123 [AR651ikepeerhwpeer2]ikeproposal 2 [AR651ikepeerhwpeer2]localaddress 22.xx.xx.22 [AR651ikepeerhwpeer2]remoteaddress 11.xx.xx.12 [AR651ikepeerhwpeer2]rsa encryptionpadding oaep [AR651ikepeerhwpeer2]rsa signaturepadding pss [AR651ikepeerhwpeer2]ikev2 authentication signhash sha2256 [AR651ikepeerhwpeer2]quit 相关命令说明如下： presharedkey cipher：预共享密钥，需要和VPN连接配置的预共享密钥保持一致。 localaddress：AR路由器的公网地址。 remoteaddress：VPN网关的主EIP/主EIP2。 9. 配置IPsec安全框架。 shell [AR651]IPsec profile hwpro1 [AR651IPsecprofilehwpro1]ikepeer hwpeer1 [AR651IPsecprofilehwpro1]proposal hwproposal1 [AR651IPsecprofilehwpro1]pfs dhgroup14 [AR651IPsecprofilehwpro1]quit [AR651]IPsec profile hwpro2 [AR651IPsecprofilehwpro2]ikepeer hwpeer2 [AR651IPsecprofilehwpro2]proposal hwproposal1 [AR651IPsecprofilehwpro2]pfs dhgroup14 [AR651IPsecprofilehwpro2]quit 10. 配置虚拟隧道接口。 shell [AR651]interface Tunnel0/0/1 [AR651Tunnel0/0/1]mtu 1400 [AR651Tunnel0/0/1]ip address 169.254.70.1 255.255.255.252 [AR651Tunnel0/0/1]tunnelprotocol IPsec [AR651Tunnel0/0/1]source 22.xx.xx.22 [AR651Tunnel0/0/1]destination 11.xx.xx.11 [AR651Tunnel0/0/1]IPsec profile hwpro1 [AR651Tunnel0/0/1]quit [AR651]interface Tunnel0/0/2 [AR651Tunnel0/0/2]mtu 1400 [AR651Tunnel0/0/2]ip address 169.254.71.1 255.255.255.252 [AR651Tunnel0/0/2]tunnelprotocol IPsec [AR651Tunnel0/0/2]source 22.xx.xx.22 [AR651Tunnel0/0/2]destination 11.xx.xx.12 [AR651Tunnel0/0/2]IPsec profile hwpro2 [AR651Tunnel0/0/2]quit 相关命令说明如下： interface Tunnel0/0/1、interface Tunnel0/0/2：两条VPN连接对应的Tunnel隧道。 本示例中，Tunnel0/0/1对应VPN网关主EIP所在的VPN连接；Tunnel0/0/2对应VPN网关主EIP2所在的VPN连接。 ip address：AR路由器的Tunnel接口地址。 source：AR路由器的公网地址。 destination：VPN网关的主EIP/主EIP2。 11. 配置NQA。 shell [AR651]nqa testinstance IPsecnqa1 IPsecnqa1 [AR651nqaIPsecnqa1IPsecnqa1]testtype icmp [AR651nqaIPsecnqa1IPsecnqa1]destinationaddress ipv4 169.254.70.2 [AR651nqaIPsecnqa1IPsecnqa1]sourceaddress ipv4 169.254.70.1 [AR651nqaIPsecnqa1IPsecnqa1]frequency 15 [AR651nqaIPsecnqa1IPsecnqa1]ttl 255 [AR651nqaIPsecnqa1IPsecnqa1]start now [AR651nqaIPsecnqa1IPsecnqa1]quit [AR651]nqa testinstance IPsecnqa2 IPsecnqa2 [AR651nqaIPsecnqa2IPsecnqa2]testtype icmp [AR651nqaIPsecnqa2IPsecnqa2]destinationaddress ipv4 169.254.71.2 [AR651nqaIPsecnqa2IPsecnqa2]sourceaddress ipv4 169.254.71.1 [AR651nqaIPsecnqa2IPsecnqa2]frequency 15 [AR651nqaIPsecnqa2IPsecnqa2]ttl 255 [AR651nqaIPsecnqa2IPsecnqa2]start now [AR651nqaIPsecnqa2IPsecnqa2]quit 相关命令说明如下： nqa testinstance IPsecnqa1 IPsecnqa1、nqa testinstance IPsecnqa2 IPsecnqa2：NQA名称。 本示例中，IPsecnqa1对应VPN网关主EIP所在的VPN连接；IPsecnqa2对应VPN网关主EIP2所在的VPN连接。 destinationaddress：VPN网关的Tunnel接口地址。 sourceaddress：AR路由器的Tunnel接口地址。 12. 配置静态路由联动NQA功能。 shell [AR651]ip routestatic 192.168.0.0 255.255.255.0 Tunnel0/0/1 track nqa IPsecnqa1 IPsecnqa1 [AR651]ip routestatic 192.168.0.0 255.255.255.0 Tunnel0/0/2 track nqa IPsecnqa2 IPsecnqa2 相关参数说明如下： 192.168.0.0：VPC的本端子网。 同一条命令中，Tunnelx 和IPsecnqax需要同属于一条VPN连接。

设置已中断会话的时间限制 1 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 会话时间限制”，双击“设置已中断会话的时间限制”，打开对话框。 2 启用已中断会话的时间限制，并设置结束已断开连接的会话为1分钟。 3 单击“确定”完成设置。 设置已中断会话的时间限制 关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置

接口功能介绍 安全告警统计 接口约束 传参规范 URI GET /vfw/v2alarmstatics 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙id c7cfe772fd3f482da630132e6548a19a startTime 是 String 开始时间不为空 20241023T08:31:25Z finishTime 是 String 结束时间不为空 20241023T08:31:25Z 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 AlarmStaticsView 表 AlarmStaticsView 参数 参数类型 说明 示例 下级对象 runMode String 告警模式 1 alarmOverview Object 告警统计 AlarmOverview attackTypes Object 攻击类型统计 AttackTypes attackLevel Object 攻击等级统计 AttackLevels 表 AlarmOverview 参数 参数类型 说明 示例 下级对象 alarmCount Integer 告警次数 1 dropCount Integer 已拦截次数 1 alertCount Integer 仅告警次数 1 attackIpCount Integer 攻击IP数 1 affectedIpCount Integer 受影响IP数 2 表 AttackTypes 参数 参数类型 说明 示例 下级对象 InformationDisclosure Integer 扫描数 1 Malware Integer 木马数 1 Malwaretraffic Integer 暴力破解数 1 Dos Integer ddos数 1 Networkmonitor Integer webshell数 2 Protocolexception Integer Protocolexception数 1 Vulnerability Integer 漏洞数 2 Other Integer 其他 1 表 AttackLevels 参数 参数类型 说明 示例 下级对象 serious Integer 严重数 1 high Integer 高危数 1 middle Integer 中危数 1 low Integer 低危数 1

关闭自动根证书更新（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“管理模板 > 系统 > Internet 通信管理”，进入“Internet 通信管理”页面。 2 双击“关闭自动根证书更新”，打开设置窗口。 3 勾选“已启用”，启用关闭自动根证书更新。 4 单击“确定”，完成设置。 关闭自动根证书更新 证书路径验证设置（V3.3.26.0） 升级到V3.3.26.0及以上的版本需要执行该操作，“V3.3.26.0”之前的版本不执行本章节的相关操作。 1 选择“Windows设置 > 安全设置 > 公钥策略”，进入对象类型页面。 2 双击“证书路径验证设置”，打开设置窗口。 3 选择“网络检索”页签。 4 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。 “默认URL检索超时(以秒为单位)”的值设置为“1”。 5 单击“确定”，完成设置。 证书路径验证设置 刷新策略 1 关闭本地组策略编辑器，选择“开始 > 运行”，执行 gpupdate /force 。 2 刷新本地策略。 3 应用发布服务器部署完成，需要测试功能请将此服务器添加到云堡垒机。 安装RemoteApp程序 V3.3.26.0及以上版本需要在应用发布服务器中安装RemoteAppProxy跳板工具。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List<string> 否 产品类型 “007”(安全加速) domain list<string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list<int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list<string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list<string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

本章主要介绍步骤四：检查代码 代码检查服务提供基于云端实现代码质量管理服务，支持代码静态检查（包括代码质量、代码风格等）和安全检查，并提供缺陷的改进建议和趋势分析。 随着凤凰商城越来越庞大，线上出现的缺陷以及安全问题也越来越多，修复成本太大；且开发人员写代码也比较随性，没有统一标准。因此项目经理建议制定一些基本的标准，并对代码进行持续的静态代码扫描，一旦发现问题立即在迭代内修复。 通过本章节，您将了解开发人员Chris如何完成针对不同技术栈的代码静态扫描、问题收集与修复。 预置任务简介 样例项目中预置了如下表所示的4个任务。 预置任务 预置任务 任务说明 phoenixcodecheckworker 检查Worker功能对应代码的任务。 phoenixcodecheckresult 检查Result功能对应代码的任务。 phoenixcodecheckvote 检查Vote功能对应代码的任务。 phoenixcodecheckjavas 检查整个代码仓库对应的JavaScript代码的任务。 说明 关于Vote、Result、Worker的说明，请参见 section989mcpsimp 本章节以任务“phoenixcodecheckworker”为例进行讲解。 配置并执行任务 开发人员可以对样例项目中预置的任务做一些简单的配置，增加Python语言检查规则集，使检查更全面。 步骤 1 编辑任务。 1. 进入“凤凰商城”项目，单击导航“代码 > 代码检查”，页面中显示样例项目内置的4个任务。 2. 在列表中找到任务“phoenixcodecheckworker”。 3. 单击任务名称进入详情页，选择“设置”页签。 4. 单击导航“规则集”，规则集中默认包含的语言是“Java”。 5. 增加Python语言检查规则集。 1. 单击“已包含语言”之后的图标，重新获取代码仓库语言，刷新后的列表新增了多种语言。 2. 将Python语言对应的开关打开。 3. 在弹框中单击“确定”。 步骤 2 执行任务。 1. 单击“开始检查”，启动任务。 2. 当页面显示，表示任务执行成功。 若任务执行失败，请根据页面弹出报错提示排查修改。

本节包含迁移方案总览相关内容。 云数据库RDS for PostgreSQL提供了多种数据同步方案，可满足从RDS for PostgreSQL、自建PostgreSQL数据库、其他云PostgreSQL、自建Oracle数据库同步到云数据库RDS for PostgreSQL。 常用的数据迁移工具有：DRS、pgdump、DAS。推荐使用DRS，DRS可以快速解决多场景下，数据库之间的数据流通问题，操作便捷、简单，仅需分钟级就能搭建完成迁移任务。通过服务化迁移，免去了传统的DBA人力成本和硬件成本，帮助您降低数据传输的成本。 DRS提供实时同步功能：实时同步是指在不同的系统之间，将数据通过同步技术从一个数据源拷贝到其他数据库，并保持一致，实现关键业务的数据实时流动。实时同步不同于迁移，迁移是以整体数据库搬迁为目的，而实时同步是维持不同业务之间的数据持续性流动。 迁移方案总览 源数据库类型 数据量 一次性或持续 应用程序停机时间 迁移方式 参考文档 RDS for PostgreSQL 小型 一次性 一段时间 使用pgdump工具将数据复制到RDS for PostgreSQL数据库。 使用psql命令迁移RDS for PostgreSQL数据 RDS for PostgreSQL 中 一次性 一段时间 使用DAS导出数据，再导入到RDS for PostgreSQL数据库。 使用DAS的导出和导入功能迁移RDS for PostgreSQL数据 RDS for PostgreSQL 任何 一次性或持续 最低 使用DRS将源库数据同步到RDS for PostgreSQL数据库。 将RDS for PostgreSQL同步到RDS for PostgreSQL 本地自建PostgreSQL数据库 ECS自建PostgreSQL数据库 任何 一次性或持续 最低 使用DRS将自建PostgreSQL同步到RDS for PostgreSQL数据库。 将自建PostgreSQL同步到RDS for PostgreSQL 其他云上PostgreSQL数据库 任何 一次性或持续 最低 使用DRS将其他云上PostgreSQL同步到RDS for PostgreSQL数据库。 其他云PostgreSQL同步到RDS for PostgreSQL 本地自建Oracle数据库 ECS自建Oracle数据库 任何 一次性或持续 最低 使用DRS将自建Oracle数据同步到RDS for PostgreSQL数据库。 将Oracle同步到RDS for PostgreSQL

天翼云关系数据库MySQL版提供两种通过内网连接MySQL实例的方式，即使用普通连接和SSL连接方式通过MySQL客户端连接实例。其中，SSL连接实现了数据加密功能，具有更高的安全性。本文为您介绍如何通过公网连接关系数据库MySQL版实例。 前提条件 已为目标实例绑定弹性公网IP。 已获取本地设备的IP地址，并将本设备的IP地址添加进实例白名单。 已设置安全组规则。 使用ping命令连通目标实例中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 使用客户端连接实例。 普通连接 用户可在本地使用相关工具直接连接数据库实例。执行如下命令连接MySQL实例。 plaintext mysql h P u p 参数说明如下： 参数 说明 主机IP，即关系数据库MySQL版实例实例管理 页面下，该集群对应的实例列表中，主机的连接地址。 数据库端口，为实例基本信息 页面中的数据库端口 。 用户名，即MySQL数据库帐号（默认管理员帐号为root）。 密码，即数据库帐号对应的密码，为创建数据库实例时指定的密码。 示例： plaintext mysql h 172.16.X.X P 8635 u root –p '' SSL连接 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域的SSL状态处，下载根证书或捆绑包 5. 将根证书导入弹性云主机Linux操作系统。 (1) 关系数据库MySQL版服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 (2) 关系数据库MySQL版服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 6. 连接关系数据库MySQL版实例。 以Linux系统为例，执行如下命令。 plaintext mysql h P u p sslca 参数说明： 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系数据库MySQL版帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库MySQL实例，示例如下： plaintext mysql h 172.16.X.X P 13049 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： plaintext Enter password: 说明 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

配置访问端点 本文介绍智能体访问端点(endpoint)配置。 访问端点是外部访问您的智能体的接口。访问端点本质上是将外部请求打到一个特定的智能体版本上，主要用于智能体调试或完成版本发布后的对外访问。您可以通过创建访问端点来调整外部请求指向的版本，来动态调整准许访问的内容，有利于管理更新发布和回滚代码。 创建智能体访问端点 智能体的访问端点可以通过以下入口创建： 版本与灰度 访问管理 +创建Endpoint 字段 功能含义 规则限制 Endpoint名称 以字母开头，以字母或数字结尾，只能包含字母、数字和短横线，长度37个字符 描述 256个字符以内 主要版本 访问端点指向的版本 至少需要指向一个版本 Default端点只能指向LATEST版本 启用灰度版本 启用流量分割，可以配置灰度版本权重，实现一个访问端点指向两个版本 可选 灰度版本 访问端点指向的灰度版本 流量分配 分配流向两个版本的的流量百分比 域名 配置该访问端点的域名 访问路径 配置该访问端点的域名具体路由 支持精准匹配路由或前缀匹配路由（/test/格式） 移除basePath 在前缀匹配路由配置下，准许请求转发到后端服务时，自动移除请求路径中的BasePath部分 在开启前缀匹配路由时才允许配置 调试路径 提供给调试页面使用的精确路径 若访问路径配置精准匹配，则调试路径与访问路径相同；否则，需要手动输入精准的调试路径 智能体访问端点有以下几个需要注意的特性： 若没有创建过访问端点，准许创建的第一个访问端点只能为Default，它仅会指向LATEST版本，且不允许删除。 您需要先创建自定义域名，才能够在创建访问端点时绑定域名。一个访问端点一次只能绑定一个域名。 对于特定的域名，访问端点不允许配置多个重名的访问路径。 访问路径移除basePath的详细说明如下： 移除basePath开启后，当请求转发到后端服务时，请求路径中的BasePath部分(即通配符之前的部分)将被移除。例如： 访问路径配置为前缀匹配路由：/api/v1/。若发送的原始请求路径为：/api/v1/test，转发到后端的路径的basePath部分将移除而变为：/test。

配置访问端点 本文介绍智能体访问端点(endpoint)配置。 访问端点是外部访问您的智能体的接口。访问端点本质上是将外部请求打到一个特定的智能体版本上，主要用于智能体调试或完成版本发布后的对外访问。您可以通过创建访问端点来调整外部请求指向的版本，来动态调整准许访问的内容，有利于管理更新发布和回滚代码。 创建智能体访问端点 智能体的访问端点可以通过以下入口创建： 版本与灰度 访问管理 +创建Endpoint 字段 功能含义 规则限制 Endpoint名称 以字母开头，以字母或数字结尾，只能包含字母、数字和短横线，长度37个字符 描述 256个字符以内 主要版本 访问端点指向的版本 至少需要指向一个版本 Default端点只能指向LATEST版本 启用灰度版本 启用流量分割，可以配置灰度版本权重，实现一个访问端点指向两个版本 可选 灰度版本 访问端点指向的灰度版本 流量分配 分配流向两个版本的的流量百分比 域名 配置该访问端点的域名 访问路径 配置该访问端点的域名具体路由 支持精准匹配路由或前缀匹配路由（/test/格式） 移除basePath 在前缀匹配路由配置下，准许请求转发到后端服务时，自动移除请求路径中的BasePath部分 在开启前缀匹配路由时才允许配置 调试路径 提供给调试页面使用的精确路径 若访问路径配置精准匹配，则调试路径与访问路径相同；否则，需要手动输入精准的调试路径 智能体访问端点有以下几个需要注意的特性： 若没有创建过访问端点，准许创建的第一个访问端点只能为Default，它仅会指向LATEST版本，且不允许删除。 您需要先创建自定义域名，才能够在创建访问端点时绑定域名。一个访问端点一次只能绑定一个域名。 对于特定的域名，访问端点不允许配置多个重名的访问路径。 访问路径移除basePath的详细说明如下： 移除basePath开启后，当请求转发到后端服务时，请求路径中的BasePath部分(即通配符之前的部分)将被移除。例如： 访问路径配置为前缀匹配路由：/api/v1/。若发送的原始请求路径为：/api/v1/test，转发到后端的路径的basePath部分将移除而变为：/test。

配置访问端点 本文介绍智能体访问端点(endpoint)配置。 访问端点是外部访问您的智能体的接口。访问端点本质上是将外部请求打到一个特定的智能体版本上，主要用于智能体调试或完成版本发布后的对外访问。您可以通过创建访问端点来调整外部请求指向的版本，来动态调整准许访问的内容，有利于管理更新发布和回滚代码。 创建智能体访问端点 智能体的访问端点可以通过以下入口创建： 版本与灰度 访问管理 +创建Endpoint 字段 功能含义 规则限制 Endpoint名称 以字母开头，以字母或数字结尾，只能包含字母、数字和短横线，长度37个字符 描述 256个字符以内 主要版本 访问端点指向的版本 至少需要指向一个版本 Default端点只能指向LATEST版本 启用灰度版本 启用流量分割，可以配置灰度版本权重，实现一个访问端点指向两个版本 可选 灰度版本 访问端点指向的灰度版本 流量分配 分配流向两个版本的的流量百分比 域名 配置该访问端点的域名 访问路径 配置该访问端点的域名具体路由 支持精准匹配路由或前缀匹配路由（/test/格式） 移除basePath 在前缀匹配路由配置下，准许请求转发到后端服务时，自动移除请求路径中的BasePath部分 在开启前缀匹配路由时才允许配置 调试路径 提供给调试页面使用的精确路径 若访问路径配置精准匹配，则调试路径与访问路径相同；否则，需要手动输入精准的调试路径 智能体访问端点有以下几个需要注意的特性： 若没有创建过访问端点，准许创建的第一个访问端点只能为Default，它仅会指向LATEST版本，且不允许删除。 您需要先创建自定义域名，才能够在创建访问端点时绑定域名。一个访问端点一次只能绑定一个域名。 对于特定的域名，访问端点不允许配置多个重名的访问路径。 访问路径移除basePath的详细说明如下： 移除basePath开启后，当请求转发到后端服务时，请求路径中的BasePath部分(即通配符之前的部分)将被移除。例如： 访问路径配置为前缀匹配路由：/api/v1/。若发送的原始请求路径为：/api/v1/test，转发到后端的路径的basePath部分将移除而变为：/test。

本节为您介绍镜像服务常见的创建类问题。 创建镜像FAQ 一个账号最多可以创建多少个私有镜像？ 在当前阶段，您在一个区域内默认最多可以创建 10 个私有镜像。如果您需要创建更多的私有镜像，可以通过提交工单的方式，申请扩大配额上限。 通过云主机创建私有镜像，云主机需要关机吗？ 各资源池陆续支持开机制作镜像，如果云主机未关机，则云主机可能处于数据读写状态，此时制作镜像可能会导致数据丢失的问题，建议关机之后制作镜像。 创建私有镜像支持哪些系统架构？ 目前创建私有镜像时，天翼云支持的系统架构只有X8664，后续会增加ARM架构。 创建私有镜像支持哪些镜像格式？ 通过云主机创建私有镜像，支持RAW格式；通过镜像文件创建私有镜像，支持RAW、QCOW2、VMDK、VHD格式。 通过镜像文件创建私有镜像时，参数选择错误了怎么办？ 如果操作系统、系统架构、镜像格式选择错误，会导致实际镜像文件与选择的操作系统不匹配，可能会导致创建云主机失败；如果是镜像文件地址错误，会导致检验不通过，无法创建私有镜像；用户必须删除掉错误的镜像，重新选择正确的参数创建私有镜像。 整机镜像FAQ 为什么创建云主机或者为云主机切换操作系统时选不到ISO镜像？ ISO镜像通常用于安装操作系统、软件或进行系统修复等操作。在创建云主机或切换操作系统时，有时可能无法直接选择ISO镜像。这可能是因为ISO镜像的使用方式和限制特性所致： ISO镜像的用途：ISO镜像通常被用于初始化云主机，进行操作系统的安装或重装。它们不同于系统盘镜像，后者是已安装好操作系统和配置的镜像。 创建云主机时的限制：在创建云主机时，通常只能选择已有的系统盘镜像来作为主要启动盘，因为这些镜像已经预配置了操作系统和一些必要的设置。而ISO镜像不具备这些预配置特性。 操作系统切换的限制：同样，操作系统切换通常要求选择一个已经配置好的系统盘镜像作为新的操作系统基础，而ISO镜像并没有这种预先配置的内容。 ISO镜像的用途限制：虽然ISO镜像可以用来创建云主机，但在创建后，它们可能会有一些限制，例如不能随意挂载其他磁盘，因为ISO镜像通常被用来引导系统安装过程。