本文介绍如何使用云搜索Elasticsearch、Kibana、Logstash实例搭建日志分析平台。 使用ELK Stack（Elasticsearch、Logstash、Kibana、Beats）进行日志管理是一种流行的开源解决方案，用于集中式日志收集、存储、分析和可视化。ELK Stack可以从分布式系统中采集和聚合日志，帮助运维和开发人员更好地理解系统的运行状态、排查问题并监控关键业务指标。 本文将使用Filebeat、Logstash、Elasticsearch、Kibana搭建一个简单的日志分析平台，其中需要自行部署Filebeat并且打通和天翼云云搜索Elasticsearch、Kibana以及Logstash实例之间的网络。 ELK Stack组件 Elasticsearch 是一个分布式搜索引擎，作为ELK堆栈的核心，它负责存储和索引日志数据。Elasticsearch提供强大的全文搜索、过滤和分析功能，可以快速处理大规模数据并允许实时查询。 Logstash 是一个数据处理管道工具，负责从各种输入源收集数据，进行过滤、处理并将其输出到 Elasticsearch。Logstash 支持多种数据源（如文件、数据库、消息队列），并且能够通过过滤器对数据进行处理，比如解析、格式转换等。 Kibana 是一个数据可视化和分析工具，允许用户在浏览器中直观地查询和展示Elasticsearch 中存储的日志数据。Kibana提供多种图表、仪表盘和地图，可以帮助用户监控系统、分析日志、生成报表等。 Beats是一组轻量级数据收集器，用于将各种类型的数据发送到Elasticsearch或Logstash进行索引和分析。其中Filebeat是 ELK Stack 中的一个轻量级日志数据收集器，用于收集日志文件数据。它监视指定的日志文件或位置，并将其发送到Elasticsearch或Logstash以进行存储和分析。

端口 端口是英文port的意译，可以认为是设备与外界通讯交流的出口。这里指的是虚拟的容器端口和节点端口，暴露这些端口以供外部访问，如容器的80端口。 运行应用 运行应用指的是运行在容器上的应用，包括Web服务、数据库、中间件等应用类别。 软件框架 软件框架（software framework），指的是为了实现某个业界标准或完成特定基本任务的软件组件规范，也指为了实现某个软件组件规范时，提供规范所要求之基础功能的软件产品。框架的功能类似于基础设施，与具体的软件应用无关，但是提供并实现最为基础的软件架构和体系。 Web站点 Web站点是网站Web服务（Web Service），是基于XML和HTTPS的一种服务，其通信协议主要基于SOAP，服务的描述通过WSDL、通过UDDI来发现和获得服务的元数据。 Web服务 Web服务是一种面向服务的架构的技术，通过标准的Web协议提供服务，目的是保证不同平台的应用服务可以互操作。 Routes Routes是OpenShift中的推荐方式。它使用唯一的URL公开服务，是为了解决从集群外部（就是从除了集群节点以外的其它地方）访问服务的需求。Routes路由匹配客户端的请求规则，匹配成功后分配到Service层。一个路由指向一个Service，一个Service可以被多个不同规则的路由指向。 Service Account Service Account（服务账号）通常是指在计算机系统、云服务或网络中用于标识和管理服务实体的账户。

本文为您介绍如何使用ECI实例访问云硬盘数据。 背景信息 天翼云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 前期准备 已开通天翼云弹性容器实例服务。 已创建至少一块云硬盘，且要求与待创建ECI实例归属同一可用区。 云硬盘需要满足按量计费模式，VBD模式，非共享，状态未挂载等要求。 操作步骤 天翼云弹性容器实例ECI支持用户通过控制台和OpenAPI等多种方式创建挂载云硬盘作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问云硬盘中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块30G大小的云硬盘，挂载目录为/disktest。 5. 让我们尝试向云硬盘中写入文件，执行 echo 'ctyun yyds' > /disktest/evs.txt 命令。这段命令的含义是向云硬盘下的evs.txt文件中写入'ctyun yyds'。 6. 让我们参数从云硬盘中读文件，执行cat /disktest/evs.txt命令。这段命令的含义是读取云硬盘下的evs.txt文件。

翼MR2.18.0 发布时间：2025年5月 新增Amoro与Hue组件服务 升级Doris版本至2.1.8 华南2资源池新增可用区2与可用区3 组件 版本 Doris 2.1.8 Elasticsearch 7.10.2 HBase 2.4.12 HDFS 3.3.3 Hive 3.1.2 Kafka 2.8.1 Kerberos 1.18.2 Kibana 7.10.2 Kyuubi 1.8.2 OpenLDAP 2.4.50 Ranger 2.2.0 Spark 3.4.1 Trino 440 YARN 3.3.3 ZooKeeper 3.7.1 Flink 1.16.2 Knox 1.6.1 Logstash 7.10.2 Iceberg 1.4.3 Hudi 0.14.0 JeekeFS 1.1.1 Tez 0.10.1 Flume 1.11.0 KafkaUI 1.0.0 SeaTunnel 2.3.7 Pushgateway 1.6.2 TezUI 0.10.1 Amoro 0.7.1 Hue 4.11.0 翼MR2.17.0 发布时间：2025年3月 支持物理机服务 支持麒麟系统 新增海光与鲲鹏国产云主机规格 数据湖与自定义业务场景新增TezUI组件服务 Doris组件版本升级至2.1.6，Trino升级至440，Flume升级至1.11.0 新增Master扩容能力 新增重置集群主机密码能力 对接云日志服务 对接云审计服务 优化元数据库配置能力 组件 版本 Doris 2.1.6 Elasticsearch 7.10.2 HBase 2.4.12 HDFS 3.3.3 Hive 3.1.2 Kafka 2.8.1 Kerberos 1.18.2 Kibana 7.10.2 Kyuubi 1.8.2 OpenLDAP 2.4.50 Ranger 2.2.0 Spark 3.4.1 Trino 440 YARN 3.3.3 ZooKeeper 3.7.1 Flink 1.16.2 Knox 1.6.1 Logstash 7.10.2 Iceberg 1.4.3 Hudi 0.14.0 JeekeFS 1.1.1 Tez 0.10.1 Flume 1.11.0 KafkaUI 1.0.0 SeaTunnel 2.3.7 Pushgateway 1.6.2 TezUI 0.10.1

本文重点介绍为天翼云物理机创建备份的最佳实践简介。 方案介绍 当我们部署在物理机上的系统出现外部病毒入侵、人为误操作、业务软件Bug等故障场景时，可以通过云服务备份为物理机创建定期自动备份（备份周期最小为1小时）。当上述故障发生时，可通过备份进行快速恢复，避免数据丢失。 云服务备份将物理机的配置和所包含的多个云硬盘数据备份到高可靠性等级的对象存储服务中，保障用户的备份数据安全。 应用场景 企业核心数据库场景和政企金融高安全场景对数据安全性有苛刻要求，建议使用本方案对物理机进行备份，提升数据可靠性。 优势 简单：可以自定义策略进行在线备份，备份设置简单易操作。 高效：支持增量备份、增量恢复，RTO可达分钟级。 可靠：同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题；对象存储服务的规格满足99.999999999%持久性标准。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 前提条件 1. 创建密钥对 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 2. 创建虚拟私有云 物理机使用虚拟私有云提供的网络，包括子网、安全组等。

本节包含了通用计算增强型C6nl弹性云主机的概述、规格。 概述 C6nl型云主机搭载第二代英特尔® 至强® 可扩展处理器，兼具高性能、高稳定性、低时延、高性价比的特点，适配于PaaS、Ei、数据库、安全、云视频等应用。 类型 CPU基频/睿频 CPU型号 ::: C6nl 3.0GHz/3.5GHz Intel 6248R 规格 表 C6nl型弹性云主机的规格 规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 网卡个数上限 虚拟化类型 :::::::: c6nl.large.2 2 4 4/1 32 2 2 KVM c6nl.xlarge.2 4 8 8/2 64 2 3 KVM c6nl.2xlarge.2 8 16 15/4 120 4 4 KVM c6nl.3xlarge.2 12 24 17/6 160 4 6 KVM c6nl.4xlarge.2 16 32 20/8 224 8 8 KVM c6nl.6xlarge.2 24 48 25/12 320 8 8 KVM c6nl.8xlarge.2 32 64 30/16 440 16 8 KVM c6nl.12xlarge.2 48 96 35/27 750 16 8 KVM c6nl.16xlarge.2 64 128 40/32 800 32 8 KVM c6nl.large.4 2 8 4/1 32 2 2 KVM c6nl.xlarge.4 4 16 8/2 64 2 3 KVM c6nl.2xlarge.4 8 32 15/4 120 4 4 KVM c6nl.3xlarge.4 12 48 17/6 160 4 6 KVM c6nl.4xlarge.4 16 64 20/8 224 8 8 KVM c6nl.6xlarge.4 24 96 25/12 320 8 8 KVM c6nl.8xlarge.4 32 128 30/16 440 16 8 KVM c6nl.12xlarge.4 48 192 35/27 750 16 8 KVM c6nl.16xlarge.4 64 256 40/32 800 32 8 KVM

本文带您快速了解多活容灾服务的计费模式、计费项、续费、欠费等主要计费信息。 计费模式 多活容灾服务当前支持包年/包月、按需计费两种计费模式。 包年/包月：预付费模式，即先付费再使用，以自然月、自然年为计费单位。享受比按量计费更大的价格优惠，适用于需要长期稳定运行的服务。 按需计费：后付费模式，即先使用再付费，以小时为计费单位。按需付费是一种灵活的计费模式，适用于不确定性较强、需求波动较大、资源使用不稳定的业务场景。 具体信息请参考：计费模式。 计费项 多活容灾服务的计费项包括：容灾管理中心、故障演练包、主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备，详细信息请参考：计费项。 续费 包年/包月的资源到期后将停止服务，为保证实例正常运行，需要在规定的时间内为实例进行续费。当前多活容灾服务支持手动或自动续费，具体续费操作及限制请参考：续费说明。 欠费 在使用多活容灾服务时，账户的可用额度小于待结算的账单，即被判定为账户欠费。欠费后，可能会影响云服务资源的正常运行，需要及时充值。具体信息请参考：欠费说明。

本文为您介绍轻量型云主机对网络的支持情况。 虚拟私有云( VPC) 轻量型云主机使用虚拟私有云 (VPC) 来进行网络隔离和管理。每个 VPC 包括私网网段、路由表和至少一个子网。 私网网段 ：在创建 VPC 时，用户无法自行指定私网网段，轻量型云主机默认自动创建10.0.0.0/8私网网段，您可以在这个范围内创建子网。 子网 ：云资源（例如云主机、云数据库等）必须部署在子网内。 路由表 ：在创建虚拟私有云VPC时，系统会自动生成默认路由表，新创建的子网会关联到该默认路由表下。默认路由表确保同一个 VPC 下的所有子网之间可以互通。 防火墙 防火墙在轻量型云主机的网络安全中起着关键作用。轻量型云主机的防火墙相当于云主机中的安全组，提供同等的安全防护作用。通过配置防火墙规则，您可以控制轻量型云主机对网络的入站和出站访问，从而增强网络安全。 弹性IP 弹性 IP（Elastic IP Address，简称EIP）是可以独立申请的公网 IP 地址，将弹性 IP 地址和子网中关联的各项云资源绑定和解绑，可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。弹性IP产品既包含公网IP地址，也可以提供公网带宽服务，与其他带宽产品组合使用，可以达到访问公网与节省成本的目的。轻量型云主机订购时默认分配公网IP，并绑定独享带宽。

本节介绍漏洞扫描服务的相关术语。 术语 说明 漏洞（Vulnerability） 硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统。 网站（Website） 网站(Website)开始是指在因特网上根据一定的规则，使用HTML（标准通用标记语言下的一个应用）等工具制作的用于展示特定内容相关网页的集合。简单地说，网站是一种沟通工具，人们可以通过网站来发布自己想要公开的资讯，或者利用网站来提供相关的网络服务。 Web应用（Web App） Web应用程序是可使用任何Web浏览器访问的软件或程序。Web应用程序是具有功能和交互式元素的网站。 主机（Host） 连接了硬盘、硬盘子系统或者文件服务器，并能在其上存储数据和I/O访问的计算机系统。大型机、服务器、工作站以及个人电脑，甚至多处理器机器和集群计算机系统都被称为主机。 安全配置基线（Security Configuration Baseline） 安全配置基线即针对不同的产品或者系统，依据安全评估标准，形成一系列固化的检查规则、评估方法，为安全管理人员在实际的安全配置工作中提供参考和标杆。 NVD National Vulnerability Database国家安全漏洞库。 CVE(Common Vulnerabilities and Exposures) 又称通用漏洞披露、常见漏洞与披露，是一个与信息安全有关的数据库，收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。 安全通告（Security Advisory） 安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。一般用于厂商披露器产品直接相关的漏洞。

本章介绍函数工作流如何配置函数初始化。 概述 初始化函数在函数实例启动成功后执行，执行成功后，实例才能开始调用请求处理函数处理请求。FunctionGraph保证一个函数实例在生命周期内，初始化函数成功执行且只能成功执行一次。 应用场景 多个请求处理可以共享的业务逻辑适合放到初始化函数，以降低函数时延，例如深度学习场景下加载规格较大的模型、数据库场景下连接池构建。 前提条件 已创建函数。 初始化函数 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“设置 > 高级设置”，开始配置。 开启初始化配置 初始化配置参数说明 参数 说明 配置初始化函数 如需初始化，请开启此参数。 初始化超时时间（秒） 函数初始化的超时时间，如开启函数初始化功能则设置，不开启则不设置。函数初始化超时时间设置范围为1300秒。 函数初始化入口 在函数配置页面中，可以选择开启函数初始化功能。各runtime的函数初始化入口命名规范与原有函数执行入口保持一致。如Node.js和Python函数，命名规则：[文件名].[初始化函数名]。 说明 如不开启函数初始化功能则无需配置函数初始化入口 说明 开启函数初始化功能后，各runtime的函数初始化入口命名规范与原有函数执行入口保持一致。如Node.js和Python函数，命名规则：[文件名].[初始化函数名]。

本节为您介绍迁移管理相关问题。 迁移管理工具列表有哪些？ 服务器迁移服务（CMSSMS）、 数据库迁移服务（CMSDMS）、数据迁移工具（CMSZMS）。 迁移管理工具是否区分同构与异构迁移工具？ 区分。 云迁移服务提供工具中心管理功能，您可以在工具管理中心选择对应工具通过相应概述作为工具结构区分，也可以直接帮助中心查看对应相关引导。 迁移管理工具兼容性如何？ 云迁移管理工具，具备高效、稳定、易用等特点；支持阿里云、腾讯云、华为云多家云厂商，拥有迁移一体化平台、生命周期可视化界面表达。 云迁移各工具是否具备使用说明书？ 具备。 云迁移服务平台提供工具管理中心功能，你可以根据迁移工具概述选择，您也可以在云迁移服务工具中心中选择对应工具的帮助中心查阅信息。 调度管理中心调度任务能否支持显示调度状态？ 支持。 进入迁移中心调度管理页面详情中，调度任务列表可以显示调度状态信息。 创建调度任务需要几步操作？ 基本信息填写包括（调度名称、调度时间、重复规则、调度规则、问题错误处理）； 调度规则选项（继续任务、暂停任务、带宽限制、CPU限制、停止增量、开始核查、引导修复、取消何查） 错误处理（继续并发资源调度、中止并发资源调度） 资源选取，在列表中选择对应资源信息； 资源确认； 调度任务如何查看是否成功？ 查看调度任务具体步骤： 1. 左菜单栏进入调度管理； 2. 进入调度页，选择创建调度计划任务； 3. 查看计划任务调度状态； 4. 查看错误处理报告； 5. 点击操作栏中“日志”可以进入查看；

此小节介绍云堡垒机的历史会话。 查看历史会话 运维人员通过云堡垒机登录资源运维结束后，审计管理员将会收到历史会话记录。通过历史会话记录，可查询详细的操作记录，在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计，不支持视频审计。 不支持记录验证资源账户的登录资源数据。 视频仅可回放有效会话记录，即登录资源到最后一次会话操作的这一段记录。 前提条件 已获取“历史会话”模块管理权限。 已结束运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 历史会话”，进入历史会话列表页面。 历史会话列表 3 查询历史会话。 快速查询 在搜索框中输入关键字，根据资源名称、资源账户、用户、来源IP等快速查询历史会话。 高级搜索 在相应属性搜索框中分别关键字，精确查询历史会话。 4 单击目标历史会话“操作”列的“详情”，进入历史会话详情页面。 5 可分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等。 主要包含资源名称、类型、主机IP、资源账户、起止时间、会话时长、会话大小、操作用户、操作用户来源IP、操作用户来源MAC、登录方式、运维记录、文件传输记录、会话协同记录等信息。

本章节为您介绍主动嗅探资产能力。 主动嗅探资产功能可以针对指定主机进行扫描，从而发现数据库资产。扫描任务列表的展示字段包括：任务名称、IP段、周期、服务数、状态、创建时间、最新发现时间。其中： 服务数表示任务扫描出的端口数量； 状态分为待扫描、扫描中、失败、已完成四种； 任务列表默认按照更新时间降序排列。 您可以通过输入任务名称、状态来查询现有任务。 新增扫描任务 1.使用安全管理员账号登录数据分类分级实例。 2.在左侧导航栏选择“数据资产管理 > 数据源管理”即可进入“数据源管理”页面查看数据源列表。 3.在页面上方选择“主动嗅探资产”，进入“主动嗅探资产”页签。 4.单击页面左上角的“新增”即可开始新增扫描任务。 5.在“新增任务”窗口中填写扫描任务相关参数。 参数 参数说明 填写样例 任务名称 填写任务名称，要求不能与已有任务名称重复； Test1 IP段 填写IP区间，如192.168.1.1100；或填写多个IP，并以逗号隔开； 192.168.1.1100 指定端口 填写端口区间，如01521； 若填写多个端口，并以逗号隔开； 若待扫描的IP段范围较大，强烈建议填写本项，输入指定端口可有效节省扫描所需时间； 01521 周期 您可以选择不同周期，来对该主机进行定时扫描。 手动执行 6.填写完成后单击“保存”，即可完成新增扫描任务。

本章节主要介绍升级集群。 升级集群 用户不需要自己操作DWS集群的修补或升级，因为DWS将自动处理版本升级。当DWS服务升级后，DWS将在集群的“可维护时间段”内，自动将集群升级到最新版本，无需人为操作。升级过程中会自动重启集群，在此期间集群将短时间无法提供服务，因此，请合理设置“可维护时间段”，建议用户选择连接用户数少、活跃任务数少的时间。 说明 集群升级到8.1.3及以上版本后，会进入升级观察期，可以观察老业务的运行情况，若发现问题，可快速回退到老版本。 升级集群对原有集群数据没有影响 集群版本说明如下图所示： 服务补丁升级 ：表示集群版本X.X.X最后一位数字的升级更新，例如，集群版本从1.1.0升级到1.1.1。 −持续时间：整个升级过程将花费不到10分钟。 −业务影响：在此期间，业务会中断1至3分钟。如果升级源版本为8.1.2及以上版本，则支持在线补丁，补丁升级期间不要求用户停止业务，业务存在秒级闪断，建议在业务低峰期进行。 服务升级 ：表示集群版本X.X.X前面两位数字的升级更新，例如，集群版本从1.1.0升级到1.2.0。 −持续时间：整个升级过程将花费不到30分钟。 −业务影响：在此期间，数据库无法访问。如果升级源版本为8.1.1及以上版本，则支持在线升级，升级期间不要求用户停止业务，业务存在秒级闪断，建议在业务低峰期进行。

本文汇总了密钥管理产品管理类常见问题。 是否可以导出用户主密钥？ 不可以。为确保用户主密钥的安全，用户只能在KMS中创建，并通过API接口调用实现加密等操作，无法导出用户主密钥。 创建密钥时，若您选择密钥材料来源于天翼云，则KMS系统会自动为用户主密钥生成密钥材料，且密钥材料无法单独删除、不可导出，仅支持随用户主密钥一并删除； 创建密钥时，若您选择密钥材料来源于外部，则支持手动删除密钥材料。 哪些云服务支持密钥管理系统加密数据？ KMS服务无缝对接云硬盘、对象存储和弹性文件、数据库产品，提供服务端加密能力。您只需要在创建云硬盘时，勾选“加密”功能，则可一键开启硬盘加密功能，加密过程透明无感知。 产品底层通过信封加密的方式，实现云产品中数据的加密。 用户自建主密钥与默认主密钥有何区别？ 用户主密钥：是用户通过控制台或 API 来创建的用户主密钥。您可以对用户密钥进行创建/设置别名/上传自带密钥材料/启用/禁用/轮转/版本管理/删除等操作。用户主密钥按照标准资费进行计费。 默认主密钥：是用户首次通过云服务调用KMS实现加密时，由系统自动生成的主密钥，别名以云产品命名，如“alias/ecs”。不支持禁用/删除/轮转/上传自带密钥材料等操作。默认主密钥免费提供密钥管理服务，API调用费与用户主密钥一同统计收费。

本文介绍全站加速产品欠费说明、关停服务、恢复服务及预警说明等。 客户天翼云账户中没有余额并欠款的情况下，天翼云会关停客户的全站加速服务，并通过短信通知客户充值。 关停服务 关停客户的全站加速服务，天翼云会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为“已停止”，1天后将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行【启用】操作，全站加速产品即可恢复服务。操作步骤如下： 1. 登录客户控制台。 2. 单击【域名列表】，找到【已停止】的域名，单击【启用】。 3. 对弹出的【启用确认】框，单击【确认启用】。 预警设置 为避免欠费情况的产生，可通过对客户在天翼云官网账户的可用额度进行预警设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

本文介绍视频直播欠费产生后的处理规则。 当天翼云客户账户中没有余额或已产生欠费，将关停客户的视频直播服务，且天翼云会通过短信通知客户充值。 关停服务 关停客户的视频直播服务，即天翼云视频直播会将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为【已停止】。1天后天翼云会将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，视频直播节点虽在7天后会删除配置，但仍会在系统数据库中保留原来的配置记录，客户可通过在线充值结清欠款，并对域名进行【启用】操作，即可恢复视频直播服务。操作步骤如下： 1. 登录直播控制台。 2. 单击【域名管理】下的【域名列表】，找到【已停止】的域名，单击【启用】。 3. 对弹出的启用确认，单击【确认启用】。 预警设置 为避免产生欠费，客户可通过在天翼云官网账户的可用额度进行预警设置。当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云官网。 2. 单击右上角【我的】，单击【费用中心】。 3. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

设置共享文件的权限 需要在FTP站点为共享给用户的文件夹设置访问及修改等权限。 a.在服务器上创建一个供FTP使用的文件夹，选择文件夹，并单击右键选择“属性”。 此处以“work01”文件夹为例。 b.在“安全”页签，选择 “Everyone”，单击“编辑”。 如果没有“Everyone”用户可以直接选择，需要先进行添加，添加方法请参见FAQ 2 如果设置文件夹的属性时，没有“Everyone”用户可直接选择，可按照如下步骤添加“Everyone”用户。 c.选择“Everyone”，然后根据需要，选择“Everyone”的权限，并单击“确定”。 此处以允许所有权限为例。 添加及设置FTP站点 a.在“服务器管理器”中，选择“仪表板 > 工具 > Internet Information Services (IIS)管理器”。 b.选择“网站”并单击右键，然后选择“添加FTP站点”。 c.在弹出的窗口中，填写FTP站点名称及共享文件夹的物理路径，然后单击“下一步”。 此处站点名称以“FTPSERVER”为例。 d.输入该弹性云主机的私有IP地址以及端口号，并设置SSL，单击“下一步”。 端口号默认为21，也可自行设置 。 SSL根据需要进行设置。 无：不需要SSL加密。 允许：允许FTP服务器与客户端的非SSL和SSL连接。 需要：需要对FTP服务器和客户端之间的通信进行SSL加密。 说明 当SSL选择“允许”和“需要”时，需要选择SSL证书。可以选择已有的SSL证书，也可以制作一个SSL证书，具体制作证书的方法请参见FAQ3 制作服务器证书。 e.设置身份认证和授权信息，并单击“完成”。 身份认证 匿名： 允许任何仅提供用户名“anonymous”或“ftp”的用户访问内容。 基本： 需要用户提供有效用户名和密码才能访问内容。但是基本身份验证通过网络传输密码时不加密，因此建议在确认客户端和FTP服务器之间的网络连接安全时使用此身份验证方法。 授权 允许访问 所有用户：所有用户均可访问相应内容。 匿名用户：匿名用户可访问相应内容。 指定角色或用户组：仅指定的角色或用户组的成员才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的角色或用户组。 指定用户：仅指定的用户才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的用户。 权限：选择经过授权的用户的“读取”和“写入”权限。 f.绑定弹性云主机的私网IP。 选择“网站”，选中创建的FTP站点，单击“绑定”；在弹出的“网站绑定”窗口单击“添加”，然后在弹出的窗口中添加弹性云主机的私网IP地址，并单击“确定”。

类型 限制项 默认配额 备注 数据查询 最大查询时间范围 11000 暂不支持调整 数据查询 单次接口查询超时时间 30秒 暂不支持调整 数据查询 单次查询最多扫描时间线数量 2万 可提交工单申请扩容，扩容不会对之前上报数据生效。 数据查询 单次查询扫描最大数据量 1000万 暂不支持调整 数据查询 单次查询返回的最大数据量 100万 暂不支持调整 数据查询 最大查询QPS 50QPS 暂不支持调整 数据采集和上报 每个数据点最大支持大小 32kB，超过会解析失败 暂不支持调整 数据采集和上报 每个用户最大时间线数量 实际上系统会在到达限额之前为您自动做相关的扩容，因此您无需关注该限制。 数据采集和上报 每次上报请求总数据量大小 不超过1MB（最多一次上报1024个指标，因此理论上不会超过） 不支持调整，超过1 MB数据会被全部丢弃。 数据采集和上报 单指标Label长度限制 Label Key或者Label Value字符串长度不超过256个字符。 不支持调整，超限会被调换为MAXTAGVALUELIMITED 数据采集和上报 单个指标的标签数限制 64个 超出可能会造成数据丢失 数据采集和上报 默认数据保存时长 Prometheus实例 for 云服务默认保存30天，其他类型实例默认保存15天。 您可在控制台自行调整数据存储时长。 数据采集和上报 Agent单副本默认配置（3核4 G）一次最多能采集的数据点数 350万 建议您扩容副本 数据采集和上报 Agent单副本默认配置（3核4 G）最大采集Target数 1000个 建议您扩容副本 数据采集和上报 1个Target 30秒内可以最大可采集的数据点数 60万 建议您扩容副本 数据采集和上报 Agent HPA最大副本数 20 若超限，您可在控制台手动增加副本数。 数据采集和上报 Agent 支持的ACK集群版本 待测 建议您升级Kubernetes版本 告警 告警规则查询返回结果数 500 其他 单集群Recording Rules数量上限 100 超限不限制使用，但是计算可能会有延迟 其他 共享版Grafana每个租户最多能创建的Folder数量 10

该任务指导用户通过漏洞扫描服务对已添加的Linux主机进行扫描授权。 前提条件 已获取管理控制台的登录账号与密码。 已添加Linux主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。 8. 单击“确定”，Linux主机授权成功。

本节介绍如何通过漏洞扫描服务为Linux系统的主机配置跳板机。 操作场景 该任务指导用户通过漏洞扫描服务为Linux系统的主机配置跳板机。 说明 当前仅支持添加Linux系统跳板机。 前提条件 已获取管理控制台的登录账号和密码。 已添加Linux系统的主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要添加跳板机的主机，单击“批量配置跳板机”。 说明 用户也可以单台主机添加跳板机，在目标主机所在行的“操作”列，单击“配置跳板机”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 在“配置跳板机”对话框中，选择已有跳板机，或者单击“添加新的跳板机”，添加跳板机，如下图所示。 说明 如果需要修改已有跳板机，单击“编辑”，进行修改。 如果需要删除已有跳板机，单击“删除”，删除跳板机。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，配置说明如下表所示。 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 7. 单击“确定”，跳板机配置成功。 如果需要解除绑定主机的跳板机，在目标主机的“操作”列，单击“更多 > 解除跳板机”，解除跳板机。

本文介绍如何使用异常行为智能识别。 功能介绍 基于智能算法和大数据行为分析，分析客户业务流量的特征，智能识别攻击和误拦截请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为旗舰版及以上版本。 设置异常行为智能识别模型 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【智能防护】菜单，选择【异常行为智能识别】模块。 3. 选择业务适合的【分析模型】，模型配置说明如下： 配置说明 配置项 说明 开关 分析模型开关。 开关开启，模型运行； 开关关闭，模型停止运行。 分析域名 选择需要分析的对象，选择已经完成接入服务的域名。 异常判断条件 不同分析模型的分析条件不同，您可以根据实际的业务场景选择适合的模型。 异常客户端IP识别多UA：适用于单客户端IP有多UA的攻击特征； 异常客户端IP识别扫描大量URL：适用于单客户端IP扫描大量URL的攻击特征； 异常客户端IP识别攻击集中少量URL：适用于单客户端IP集中攻击少量URL的攻击特征； 异常客户端IP识别反复触发策略：适用于单客户端IP反复触发访问控制/频率控制/CC防护策略的攻击特征； 异常客户端IP+UA识别反复攻击少量URL：适用于单客户端（IP+UA），反复攻击少量的URL的攻击特征； 异常UA识别识别单客户端IP变更UA扫描：适用于单客户端IP变更UA扫描的攻击特征。 分析频率 分析频率为分析任务执行频率；统计周期超过12小时，建议分析频率设置大于等于5分钟；统计周期达到24小时，建议分析频率设置大于等于10分钟。 URL是否统计问号后参数 统计URL的范围是否包含问号后参数。 注意 如果我们开放的分析模型不能满足您的需求，请通过

本教程将详细介绍如何借助天翼云 SDWAN 实现 DeepSeek 访问海外资源时，进行定向加速。 应用场景 企业在云上部署私有化DeepSeek平台，进行企业知识库、智能问答等大模型开发工作，在此过程中会使用到ollama、huggingface、github等境外开发工具或平台实现大模型高效迭代优化。 天翼云SDWAN通过优化对合规境外网站的访问过程，可以为客户提供更加流畅的海外资源访问体验。用户只需在云上DeepSeek主机业务环境中部署SDWAN软件CPE(vCPE)，即实现可对定向海外资源的加速访问。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建了云主机用于部署DeepSeek服务，并通过网络配置将其加入到VPC子网中。 操作步骤 本教程的配置流程如下： 步骤一：部署 vCPE 1. 创建并配置云主机 ：在天翼云控制台创建一台用于部署天翼云 SDWAN vCPE 的云主机，为其创建和绑定弹性公网 IP（EIP），并通过网络配置将其加入到创建的VPC子网中，请参考创建弹性云主机。 2. 创建vCPE资源，并部署到云主机中：您可通过以下两种方式开通 vCPE 资源。 天翼云官网自助开通：若选择通过天翼云官网自行下单，具体操作步骤如下： 1. 登录天翼云 SDWAN 控制台，在界面中选择“智能网关”选项，随后在“智能网关”页面点击“创建智能网关”按钮。 2. 按照页面给出的提示，选择“软件版”vCPE和接入带宽等关键业务配置。 3. 参数配置完毕后，点击“提交订单”。在确认订单信息准确无误后，勾选产品服务协议，接着点击“确认下单”。 4. 完成订单支付，支付成功即完成 vCPE 资源的购买。 客户经理协助开通：您也可以直接联系客户经理，由其协助完成 vCPE 资源的开通。 购买完成后，及时联系 SDWAN 客户经理进行交付。届时，天翼云 SDWAN 交付团队会协助您将创建好的 vCPE 实例资源部署到云主机上，并接入天翼云 SDWAN 网络。

本文向您介绍企业版VPN中路由设置的常见问题。 如何理解VPN连接中的对端网关和对端子网？ 对端网关和对端子网是两个相对的概念，在建立VPN连接时，从云的角度出发，VPC网络就是本地子网，创建的VPN网关就是本地网关，与之对接的用户侧网络就是对端子网，用户侧的网关就是对端网关。 对端网关IP就是用户侧网关的公网IP，对端子网指需要和VPC子网互联的子网。 Console界面在哪添加VPN远端路由？ 云端在VPN连接创建时会自动下发到达远端子网的路由，无需手动配置。 ECS主机多网卡是否需要添加去往线下网络的路由？ 如果客户使用主网卡与线下网络建立了VPN，不需要添加路由。 如果客户使用非主网卡与线下网络建立了VPN，需要添加去往线下网段的路由指向非主网卡的网关。 什么是NQA 什么是NQA 网络质量分析（Network Quality Analysis，NQA）是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络指标进行统计。NQA能够实时监视网络服务质量，在网络发生故障时进行有效的故障诊断和定位。 为什么需要NQA 随着运营商增值业务的开展，用户和运营商对QoS（Quality of Service）的相关要求越来越高，特别是在传统的IP网络承载语音和视频业务后，运营商与客户之间签订SLA（Service Level Agreement）成为普遍现象。 为了让用户看到承诺的带宽是否达到需求，运营商需要提供相关的时延、抖动、丢包率等相关的统计参数，以及时了解网络的性能状况。传统的网络性能分析方法（如Ping、Tracert等）已经不能满足用户对业务多样性和监测实时性的要求。NQA可以实现对网络运行状况的准确测试，输出统计信息。NQA可以监测网络上运行的多种协议的性能，使网络运营商能够实时采集到各种网络运行指标，例如：HTTP的总时延、TCP连接时延、DNS解析时延、文件传输速率、FTP连接时延、DNS解析错误率等。通过对这些指标进行控制，网络运营商可以为用户提供不同等级的网络服务。同时，NQA也是网络故障诊断和定位的有效工具。

本节主要介绍使用V2签名时的HttpURLConnection开发。 应用场景 V2签名下，使用HttpURLConnection开发。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 可以参考下列示例进行HttpURLConnection开发。 import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader; import java.io.OutputStream; import java.io.UnsupportedEncodingException; import java.net.HttpURLConnection; import java.net.URL; import java.net.URLEncoder; import java.nio.charset.StandardCharsets; import java.text.SimpleDateFormat; import java.util.Arrays; import java.util.Base64; import java.util.Date; import java.util.HashMap; import java.util.Iterator; import java.util.List; import java.util.Locale; import java.util.Map; import java.util.SortedMap; import java.util.TimeZone; import java.util.TreeMap; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; public class OOSDemoForV2Signer { private static final String DATESTR "EEE, d MMM yyyy HH:mm:ss 'GMT'"; private static final SimpleDateFormat DATEFMT new SimpleDateFormat(DATESTR, Locale.ENGLISH); static { TimeZone gmt TimeZone.getTimeZone("GMT"); DATEFMT.setTimeZone(gmt); } private static final String OOSACCESSKEY "your ak"; private static final String OOSSECRETKEY "your sk"; private static final String OOSENDPOINT "ooscn.ctyunapi.cn"; private static final String OOSOBJECTCONTENT "yourobjectcontent"; private static final int CONNTIMEOUT 30000; private static final int READTIMEOUT 30000; public void putObject(String bucket, String objectKey) { try { Map headers new HashMap<>(); headers.put("ContentType", "text/plain"); headers.put("xamzdate", "xxxx"); HttpURLConnection connection generateConnection("PUT", bucket, objectKey, headers); connection.setFixedLengthStreamingMode(OOSOBJECTCONTENT.length()); connection.setDoOutput(true); connection.connect(); byte[] requestBody OOSOBJECTCONTENT.getBytes(); try (OutputStream outputStream connection.getOutputStream()) { outputStream.write(requestBody); } int responseCode connection.getResponseCode(); if (responseCode 200) { System.out.println("put object success"); } else { try (InputStream inputStream connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } } catch (Exception e) { e.printStackTrace(); } } public void getObject(String bucket, String objectKey) { try { HttpURLConnection connection generateConnection("GET", bucket, objectKey, null); connection.connect(); int responseCode connection.getResponseCode(); // 在responseCode为200 的情况下， 可将connection.getInputStream()的对象数据读出。 if (responseCode 200) { System.out.println("get object success"); } try (InputStream inputStream responseCode 200 ? connection.getInputStream() : connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } catch (Exception e) { // 异常可选择抛出或者处理掉。 e.printStackTrace(); } } public void deleteObject(String bucket, String objectKey) { try { HttpURLConnection connection generateConnection("DELETE", bucket, objectKey, null); connection.connect(); int responseCode connection.getResponseCode(); if (responseCode 204) { System.out.println("delete object success"); } else { try (InputStream inputStream connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } } catch (Exception e) { // 异常可选择抛出或者处理掉。 e.printStackTrace(); } } / 1 并不是headers里的所有头域，都参与计算签名。详情请参照 3.1.1章节StringToSign的构成说明 2 任何头以xamzmeta这个前缀开始都会被认为是用户的元数据，当用户检索时，它将会和对象一起被存储并返回。 PUT请求头大小限制为8KiB。在PUT请求头中，用户定义的元数据大小限制为2KiB。 例：headers.put("xamzmetatest", "oos"); / private HttpURLConnection generateConnection(String method, String bucket, String objectKey, Map headers) throws Exception { if (headers null) { headers new TreeMap<>(); } if (!headers.containsKey("Date")) { String date DATEFMT.format(new Date()); headers.put("Date", date); } Map querys new HashMap<>(32); // 设置查询参数示例，可按需选择是否在请求url上设置查询参数。更多接口参数请参考《OOS开发者文档v6》 querys.put("responsecontenttype", "application/octetstream"); String authorization v2Sign(method, bucket, objectKey, headers, querys); String requestUrl " + bucket + "." + OOSENDPOINT + "/" + urlEncode(objectKey, false); if (querys.size() ! 0) { requestUrl + "?" + encodeParameters(querys); } URL url new URL(requestUrl); HttpURLConnection connection (HttpURLConnection)url.openConnection(); connection.setRequestProperty("Authorization", authorization); connection.setConnectTimeout(CONNTIMEOUT); connection.setReadTimeout(READTIMEOUT); connection.setRequestMethod(method); if (null ! headers) { headers.forEach(connection::setRequestProperty); } return connection; } private String encodeParameters(Map querys) { StringBuilder builder new StringBuilder(); Iterator > pairs querys.entrySet().iterator(); while (pairs.hasNext()) { Map.Entry pair pairs.next(); builder.append(urlEncode(pair.getKey(), false)); builder.append(""); builder.append(urlEncode(pair.getValue(), false)); if (pairs.hasNext()) { builder.append("&"); } } return builder.toString(); } // 以下是签名计算相关方法 / The set of request parameters which must be included in the canonical string to sign. / private static final List SIGNEDPARAMETERS Arrays.asList("acl", "torrent", "logging", "location", "policy", "requestPayment", "versioning", "versions", "versionId", "notification", "uploadId", "uploads", "partNumber", "website", "delete", "lifecycle", "tagging", "cors", "restore", "responsecachecontrol", "responsecontentdisposition", "responsecontentencoding", "responsecontentlanguage", "responsecontenttype", "responseexpires"); private String v2Sign(String method, String bucket, String objectKey, Map headers, Map querys) throws Exception { String canonicalString getCanonicalString(method, toResourcePath(bucket, objectKey), headers, querys); String signature sign(canonicalString); return "AWS " + OOSACCESSKEY + ":" + signature; } private String sign(String data) throws Exception { try { Mac mac Mac.getInstance("HmacSHA1"); mac.init(new SecretKeySpec(OOSSECRETKEY.getBytes(StandardCharsets.UTF8), "HmacSHA1")); byte[] bs mac.doFinal(data.getBytes(StandardCharsets.UTF8)); return Base64.getEncoder().encodeToString(bs); } catch (Exception e) { throw new Exception("Unable to calculate a request signature: " + e.getMessage(), e); } } / Calculate the canonical string for a REST/HTTP request to OOS. When expires is nonnull, it will be used instead of the Date header. / private String getCanonicalString(String method, String resource, Map headers, Map querys) { StringBuilder buf new StringBuilder(); buf.append(method).append("n"); SortedMap interestingHeaders new TreeMap<>(); if (headers ! null && headers.size() > 0) { for (Map.Entry entry : headers.entrySet()) { String key entry.getKey(); String value entry.getValue(); if (key null) { continue; } String lk key.toLowerCase(Locale.getDefault()); if ("contenttype".equals(lk) "contentmd5".equals(lk) "date".equals(lk) lk.startsWith("xamz")) { interestingHeaders.put(lk, value); } } } // Remove default date timestamp if "xamzdate" is set. if (interestingHeaders.containsKey("xamzdate")) { interestingHeaders.put("date", ""); } // These headers require that we still put a new line in after them, // even if they don't exist. if (!interestingHeaders.containsKey("contenttype")) { interestingHeaders.put("contenttype", ""); } if (!interestingHeaders.containsKey("contentmd5")) { interestingHeaders.put("contentmd5", ""); } // Any parameters that are prefixed with "xamz" need to be included // in the headers section of the canonical string to sign if (querys ! null) { for (Map.Entry parameter : querys.entrySet()) { if (parameter.getKey().toLowerCase().startsWith("xamz")) { interestingHeaders.put(parameter.getKey().toLowerCase(), parameter.getValue()); } } } for (Map.Entry entry : interestingHeaders.entrySet()) { String key entry.getKey(); Object value entry.getValue(); if (key.toLowerCase().startsWith("xamz")) { buf.append(key).append(':').append(value); } else { buf.append(value); } buf.append("n"); } buf.append(resource); if (querys ! null) { String[] parameterNames querys.keySet().toArray(new String[0]); Arrays.sort(parameterNames); char separator '?'; for (String parameterName : parameterNames) { // Skip any parameters that aren't part of the canonical signed string if (!SIGNEDPARAMETERS.contains(parameterName)) { continue; } buf.append(separator); buf.append(parameterName); String parameterValue querys.get(parameterName); if (parameterValue ! null && !"".equals(parameterValue)) { buf.append("").append(parameterValue); } separator '&'; } } return buf.toString(); } private String toResourcePath(String bucket, String objectKey) { String resourcePath "/" + ((bucket ! null && !"".equals(bucket)) ? bucket : "") + ((objectKey ! null) ? "/" + objectKey : ""); return urlEncode(resourcePath, true); } / @param keepPathSlash 实际上，根据RFC 3986规范，url中的 '/'和'~' 可以不用转译，URLEncoder做了转译，但是为了兼容浏览器解析文件名，要求 '/'和'~'不能做转译。 @param url 客户请求的url，也就是object key @return 转译后的url / private String urlEncode(String url, boolean keepPathSlash) { String encoded; try { encoded URLEncoder.encode(url, StandardCharsets.UTF8.toString()); } catch (UnsupportedEncodingException e) { throw new RuntimeException("UTF8 encoding is not supported.", e); } if (keepPathSlash) { // Web browsers do not always handle '+' characters well, use the wellsupported '%20' instead. encoded encoded.replaceAll("+", "%20"); // Change all "%2F" back to "/", so that when users download a file in a virtual folder by the presigned // URL, // the web browsers won't mess up the filename. (e.g. 'folder1folder2filename' instead of 'filename') encoded encoded.replace("%2F", "/"); encoded encoded.replace("%7E", "~"); } return encoded; } public static void main(String[] args) { String bucket "your bucket"; String objectKey "your object key"; OOSDemoForV2Signer v2 new OOSDemoForV2Signer(); v2.putObject(bucket, objectKey); v2.getObject(bucket, objectKey); v2.deleteObject(bucket, objectKey); } }

将testuser加入wheel组 usermod aG wheel testuser 刷新组 newgrp wheel su 4. 填写完成后单击“提交”即成功新增资产账号。 导入资产账号 1. 使用“管理角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“资产管理 > 资产账号”，进入“资产账号”页面。 3. 单击“导入”按钮，在弹出的对话框中下载导入文件模板。 4. 在导入文件模板中填写内容，填写完成后保存文件。 模版参数说明： 分类 参数 参数说明 取值样例 资产信息 资产名称 填写需添加资产账号的资产名（资产名需和堡垒机控制台上显示的一致），请确保待添加的账号可以正常登录该资产。 多个资产用英文逗号“,”隔开。 Test 账号信息 账号名 填写可登录资产的账号名，例如：Administrator。 root 账号信息 密码 （可选）输入正确的账号密码。若不输入密码，则在登录资产时需要填写正确的密码才可登录。 账号信息 协议 （可选）请选择资产的协议，支持填写：SSH、TELNET、SFTP、FTP、X11、RDP和数据库。 多个协议用英文逗号“,”隔开。 账号信息 状态 （可选）选择账号当前的状态，支持“正常”和“冻结”，导入模板时若不填写该项，默认为“冻结”状态 正常 账号信息 私钥 （可选）若账户登录需要使用私钥验证，你上传的私钥认证优先级高于密码认证。 多层登入配置 二次登录 该功能主要用于配置不允许直接登录的特权账号（例如 root），实现免密提权。 开启二次登录，并配置源账号名、切换命令，可将源账号提权为特权账号。 说明 仅ssh、telnet协议支持配置二次登录。 是 多层登入配置 源账号名 选择已配置的资产账号作为源账号（例如 testuser），二次登录场景将由该源账号提权为特权账号。 testuser 5. 单击“选取文件”，上传已填写完成的导入文件。若文件已加密，还需填写文件解密密码。 6. 单击“提交”，完成资产账号导入。

功能 说明 检查名称 输入基线的检查名称 执行范围 全部主机：主账号可选全部主机，子账号不可选全部主机。（子账号不显示“全部主机”选项） 选择业务组：可选择该账号管辖范围内的业务组。 选择主机：选择该账号管辖范围内的主机 IP，也可手动输入主机IP。 【 说明 】需要先选择检查范围后，才能选择基线规则。选择了检查范围后，将根据所选主机匹配出适用的应用基线，有多少主机缺少账号授权，并提供设置入口。 【提示】例如：您选择的主机中包含20台主机缺少账号授权，点击设置。 基线规则 系统将根据所选主机匹配出适用的基线规则。分为系统基线和应用基线两大类，每类下又细分为CIS 和等保基线，基线可多选。 【 说明 】基线选择后，若为数据库类型应用基线，则提示该规则中是否有需要添加账号授权的基线，若有，则提示，例如：该规则中的60个检查项需要账号授权 目前支持的系统基线有：centos6/7 rhel6/7 ubuntu12/14/16 支持的应用基线有：Apache Apache2 MySQL MongoDB Nginx 定时检查 打开定时检查开关，则可以输入定时表达式，且定时表达式为必填。定时表达式为 crontab 格式，点击“创建并执行”时，需要校验该格式是否正确，校验规则请参考“任务系统》新建作业中 crontab 格式”。 鼠标移动到定时表达式后的 i，则显示定时表达式的输入说明。 关闭定时检查开关，则不可以输入定时表达式。 描述 输入对该基线的描述。

本文主要介绍通过云主机创建整机镜像 操作场景 使用弹性云主机携带其挂载的数据盘一起创建整机镜像，创建的整机镜像包含操作系统、应用软件，以及用户的业务数据，可用于快速发放相同配置的弹性云主机，实现数据搬迁。 背景知识 创建整机镜像的流程：先为云主机创建云主机备份，再通过云主机备份创建镜像，中间过程为系统自动完成的，您只需要耐心等待即可。 图 整机镜像创建流程 创建整机镜像的时间与磁盘大小、网络状态、并发任务数等有关。 使用云主机制作整机镜像时，云主机应处于运行中或者关机状态。如果镜像中包含数据库，请在关机状态下制作。 在云主机关机状态下，制作整机镜像的过程中，用户不能启动云主机。 整机镜像创建过程中，请勿卸载系统盘，不要开启云主机，避免创建失败。 上图中，当云主机备份还未创建成功，只是创建好磁盘快照时，整机镜像状态为“可用区x可用”（可用区x表示镜像源云主机所在的可用区），此时，这个整机镜像只能在该可用区中发放云主机。如果需要在区域内发放云主机，需要等云主机备份完全创建好，并且整机镜像状态为“正常”。 选择整机镜像切换云主机操作系统时，仅能恢复整机镜像的系统盘数据。如果希望恢复或者迁移整机镜像中的数据盘数据，必须通过整机镜像创建新的云主机。

本文介绍配置安全组的入方向规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 弹性云主机是天翼云提供的云服务器。安全组（Security Group）是用于设置云服务器实例的网络访问控制的虚拟防火墙，一般是作为流量访问白名单存在，以下是一些ECS安全组的最佳实践： 开放原则 默认拒绝所有流量：新建的安全组规则默认情况下拒绝所有入站和出站流量，这是一种良好的安全实践。 仅开放必要的端口和协议，避免使用0.0.0.0/0规则：根据应用需求，只开放必要的端口和协议，例如HTTP（80端口）、HTTPS（443端口）等。避免开放不必要的端口，以减少攻击面。 分组原则 根据应用需求进行分组：根据应用程序或服务的需求，可以将安全组规则进行分组。例如，将Web服务器相关的规则放在一个Web层安全组中，数据库服务器相关的规则放在另一个Database层安全组中。这样可以更好地管理和组织安全组规则，暴露不同的出入规则和权限。 避免过度复杂化：尽量避免创建过多的安全组，以免管理和维护变得复杂。根据实际情况合理划分安全组，保持简洁和易于管理。 授权原则 基于最小权限原则：为安全组授权时，应遵循最小权限原则，仅授予实例所需的访问权限。只开放必要的端口和IP地址范围，避免授权过度，减少潜在的安全风险。 限制访问来源：根据实际需求，限制访问来源的IP地址或IP地址段。仅允许特定的IP地址或IP地址段访问云主机，以增加安全性。

鲲鹏系列为国产云主机,搭载华为鲲鹏处理器,分为鲲鹏通用型、鲲鹏计算型、鲲鹏内存型和鲲鹏增强型。 在售型号：kc2x、km2x、ks2x、kc2xne、km2xne、ks2xne、kc1、km1、ks1 停售型号：kc2、km2、ks2、kc2ne、km2ne、ks2ne 鲲鹏通用型 鲲鹏通用型搭载鲲鹏处理器，云主机实例共享CPU。提供基础计算能力，可满足基础业务上云需求。 鲲鹏通用型适用于不会经常或始终用尽vCPU性能的场景，如小型网站、轻量级研发测试环境、小型数据库等。 规格特点 规格名称 计算 磁盘类型 网络 鲲鹏通用型ks2x 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：132 3.处理器：鲲鹏920 7260T 4.基频：2.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.XSSD0、XSSD1、XSSD2 1.实例网络性能与计算规格对应，规格越高网络性能越强 2.最大网络收发包：275万PPS 3.最大内网带宽：10Gbps 鲲鹏通用型ks2（停售） 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：132 3.处理器：鲲鹏920 7260T 4.基频：2.5GHz 1.普通IO 2.高IO 3.通用型SSD 1.实例网络性能与计算规格对应，规格越高网络性能越强 2.最大网络收发包：275万PPS 3.最大内网带宽：10Gbps 鲲鹏通用型ks1 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：116 3.处理器：鲲鹏920 4.基频：2.6GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 1.实例网络性能与计算规格对应，规格越高网络性能越强 2.最大网络收发包：100万PPS 3.最大内网带宽：6Gbps

本节包含了通用计算增强型C6弹性云主机的概述、规格、适用场景。 概述 C6搭载第二代英特尔® 至强® 可扩展处理器，多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。 类型 CPU基频/睿频 CPU型号 ::: C6 3.0GHz/3.4GHz 6266 适用场景 对计算与网络有更高性能要求的网站和Web应用 通用数据库及缓存服务器 中重载企业应用 游戏、渲染等 规格 表 C6型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 虚拟化类型 c6.large.2 2 4 4/1.2 40 50 2 2 KVM c6.xlarge.2 4 8 8/2.4 80 50 2 3 KVM c6.2xlarge.2 8 16 15/4.5 150 100 4 4 KVM c6.3xlarge.2 12 24 17/7 200 150 4 6 KVM c6.4xlarge.2 16 32 20/9 280 150 8 8 KVM c6.6xlarge.2 24 48 25/14 400 200 8 8 KVM c6.8xlarge.2 32 64 30/18 550 300 16 8 KVM c6.16xlarge.2 64 128 40/36 1000 500 32 8 KVM c6.large.4 2 8 4/1.2 40 50 2 2 KVM c6.xlarge.4 4 16 8/2.4 80 50 2 3 KVM c6.2xlarge.4 8 32 15/4.5 150 100 4 4 KVM c6.3xlarge.4 12 48 17/7 200 150 4 6 KVM c6.4xlarge.4 16 64 20/9 280 150 8 8 KVM c6.6xlarge.4 24 96 25/14 400 200 8 8 KVM c6.8xlarge.4 32 128 30/18 550 300 16 8 KVM c6.16xlarge.4 64 256 40/36 1000 500 32 8 KVM

您可以通过包年包月计费提前预留资源,同时享受比按量计费更大的价格优惠。 适用场景 包年包月是一种计费模式，适用于多种场景，尤其是需要稳定资源并长期使用的情况： 1.长期稳定使用 常驻服务： 适用于需要长期稳定运行的服务，如网站托管、数据库服务器、企业应用等。 2.成本可控和节约 成本控制： 对于需要长期使用的资源，包年包月可以降低长期成本，相比按需付费更为经济。 预算规划： 有助于企业预算规划，避免长期高额的变动费用，提供更稳定的费用支出。 3.稳定资源需求 资源保障： 对于有稳定资源需求的业务，如特定配置的服务器、存储或计算资源，包年包月提供稳定的资源保障。 约束与限制 包年包月的计费模式虽然有其优势，但也存在一些约束和限制，这些限制可能因服务提供商和具体服务套餐而异： 1.长期绑定 合约期限： 通常需要按照一定期限购买，可能是一年或更长时间的合约，无法随时更改或取消。 费用一次性支付： 一次性支付包年包月费用，无法根据实际使用情况灵活调整费用。 2.非弹性和限制 固定资源： 购买后资源固定，无法根据实际需求灵活调整，可能导致资源过剩或不足。 限制升级： 一些服务可能在包年包月期间限制资源的升级，只能在合同到期后进行。 3.限制服务范围 部分服务限制： 某些服务或特性可能无法包含在包年包月套餐内，需要额外付费或选择其他计费模式。 4.资费约束 费用固定性： 购买后的费用是固定的，无法根据实际使用情况进行变动或调整。