本章节主要介绍增强型跨源连接权限管理。 操作场景 增强型跨源支持项目级授权，授权后，项目内的用户具备该增强型跨源连接的操作权。可查看该增强型跨源连接、可将创建的弹性资源池与该增强型跨源连接绑定、可自定义路由等操作。以此实现增强型跨源连接的跨项目应用。本节操作介绍对增强型跨源连接授权或回收权限的操作步骤。 说明 如果被授权的项目属于相同区域（region）的不同用户，则需使用被授权项目所属的用户帐号进行登录。 如果被授权的项目属于相同区域（region）的同一用户，则需使用当前帐号切换到对应的项目下。 应用示例 项目B需要访问项目A上的数据源，对应操作如下。 对于项目A： a.使用项目A对应的帐号登录DLI服务。 b.通过对应数据源的VPC信息在DLI服务中创建增强型跨源连接“ds”。 c.将增强型跨源连接“ds”授权给项目B。 对于项目B： a.使用项目B对应的帐号登录DLI服务。 b.对增强型跨源连接“ds”进行绑定队列操作。 c.（可选）设置主机信息，创建路由。 通过上述操作项目A的增强型跨源连接与项目B的队列创建了对等连接和路由，即可在项目B的队列上创建作业访问项目A的数据源。 操作步骤 1. 登录DLI管理控制台。 2. 在左侧导航栏中，选择“跨源管理 > 增强型跨源 ”。 3. 选择待操作的增强型跨源连接，单击操作列的“更多 > 权限管理”。 授权： a.在权限管理页面，权限设置选择“授权”。 b.输入项目ID。 c.单击“确定”，授予该项目弹性资源池的操作权限。 回收权限： a.在权限管理页面，权限设置选择“回收”。 b.输入项目ID。 c.单击“确定”，回收指定项目的弹性资源池操作权。

本章节介绍了如何删除分布式消息服务RocketMQ实例。 操作场景 分布式消息服务RocketMQ控制台支持删除RocketMQ实例，且可实现批量删除RocketMQ实例、一键式删除创建失败的RocketMQ实例。 须知： RocketMQ实例删除后，实例中原有的数据将被删除，且没有备份，请谨慎操作。 前提条件 RocketMQ实例状态为运行中、故障时，才能执行删除操作。 删除RocketMQ实例 1. 登录分布式消息服务RocketMQ控制台。 2. 选择以下任意一种方法删除实例。 在待删除的RocketMQ实例所在行，单击“更多 > 删除”。 单击待删除的RocketMQ实例名称，进入实例详情页面。在页面右上角，单击“更多 > 删除”。 如需批量删除实例，勾选待删除的实例，单击“删除”。 说明：RocketMQ实例状态为创建中、重启中时不允许执行删除操作。 3. 单击“确定”，完成删除RocketMQ实例。 删除RocketMQ实例大约需要1到60秒。 删除创建失败的RocketMQ实例 1. 登录分布式消息服务RocketMQ控制台。 如果当前存在创建失败的RocketMQ实例，信息栏会显示“创建失败任务”及失败数量。 图1 创建失败任务 2. 单击“创建失败任务”后的图标或者数量，弹出“创建失败任务”对话框。 3. 选择以下任意一种方法，删除创建失败的RocketMQ实例。 单击“清理失败任务”，一键式删除所有创建失败的RocketMQ实例。 在需要删除的创建失败的RocketMQ实例所在行，单击“删除任务”，删除创建失败的RocketMQ实例。

在创建天翼云分布式缓存Redis实例之前，您需要做一些准备工作。首先，您需要设置一个虚拟私有云（VPC），这是一个隔离的网络环境，用于托管Redis实例。接下来，您需要创建一个子网，它是VPC内部的一个子网络，用于划分不同的部分和区域。最后，您需要配置一个安全组，用于控制入站和出站的流量规则，以保证Redis实例的安全性。 每个分布式缓存Redis实例都会被部署在特定的VPC中，并与特定的子网和安全组相关联。这种方式可以让您自主配置和管理Redis实例的网络环境，并提供安全保护策略。如果您已经有了现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这样可以节省时间和资源，并确保一致性和可靠性。 所需依赖资源准备 购买分布式缓存Redis实例前需要准备以下依赖资源 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置Redis实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与使用的天翼云分布式缓存Redis服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网

如果发生了数据倾斜 此时倾斜executor不会出现Exception，但是内存heap使用量偏高，会发出内存告警。 这一点可以在web UI的task列表中清晰的看到stage的某一个task相对于其他task，其computing time明显很长。 这种情况下一般是shuffle发生了数据倾斜，首先可以使用map combiner，降低map侧的倾斜的shuffle reduce分区的数据量。 此外，可以通过编程，提取出topk的shuffle reduce 分区的key值，然后将对应shuffle Key的rdd partition打上随机数，做一个均匀分割，然后执行reduceByKey操作，最后去掉随机数，再执行一次reduceByKey。 如果不想这样，可以使用hive。 Heap User Heap User作用 用户自定义数据结构，这个就是用户使用spark core api 或者 spark sql api过程中使用了其他数据结构进行编程，因而产生了一些heap消耗。 Heap User不足 存在heap不足的情况，一般是用户将task的计算结果，RDD.collect 到driver中的数据结构中，这种情况，需要去使用专门的connector，实现分布式计算和读写。 还有就是用户执行sql的时候，会进行非insert 操作，即直接select读取大表，导致driver内存不足够，这种情况下建议使用limit 操作，或者 使用spark的流式返回功能。

解决方案 若经排查，是由上述原因引起的报错，需要业务侧避免同一个表的DDL语句和一致性快照事务同时执行。 存在外键的表无法删除 场景描述 删除MySQL表时，如果表中有外键（foreign key），会出现如下报错，且和用户权限无关： ERROR 1451 (23000): Cannot delete or update parent row: a foreign key constraint fails ………… 原因分析 这个表和其他表有外键关系，在MySQL中，设置了外键关联，会造成无法更新或删除数据，避免破坏外键的约束。 可以通过设置变量FOREIGNKEYCHECKS值为off，来关闭上述机制，详见官方文档。 解决方案 通过设置变量FOREIGNKEYCHECKS值为off，来关闭上述机制： set session foreignkeychecksoff; drop table tablename; GROUPCONCAT结果不符合预期 场景描述 SQL语句中使用GROUPCONCAT()函数时，出现结果不符合预期的情况。 原因分析 GROUPCONCAT()函数返回一个字符串结果，该结果由分组中的值连接组合而成。需要注意的是：这个函数的结果长度是有限制的，由groupconcatmaxlen参数决定。 示例： 解决方案 调整groupconcatmaxlen参数值，适配GROUPCONCAT()函数的结果长度。 创建二级索引报错Too many keys specified 场景描述 创建二级索引失败，报错：Too many keys specified; max 64 keys allowed. 故障分析 MySQL对InnoDB每张表的二级索引的数量上限有限制，限制上限为64个，超过限制会报错“Too many keys specified; max 64 keys allowed”。详见官方文档。

部署网关 开通网关并配置虚拟服务资源，将入口流量引入app1应用，具体参考网关相关文档。 访问验证 通过网关入口地址访问业务，如下 cat test.sh !/bin/bash for((i0;i [app2] (version: base, ip: 192.168.0.48) > [app3] (version: test, ip: 192.168.0.20) [app1] (version: test, ip: 192.168.0.12) > [app2] (version: test, ip: 192.168.0.43) > [app3] (version: test, ip: 192.168.0.20) [app1] (version: base, ip: 192.168.0.46) > [app2] (version: test, ip: 192.168.0.43) > [app3] (version: test, ip: 192.168.0.20) [app1] (version: base, ip: 192.168.0.46) > [app2] (version: base, ip: 192.168.0.48) > [app3] (version: base, ip: 192.168.0.47) [app1] (version: base, ip: 192.168.0.46) > [app2] (version: test, ip: 192.168.0.43) > [app3] (version: test, ip: 192.168.0.20) [app1] (version: base, ip: 192.168.0.46) > [app2] (version: test, ip: 192.168.0.43) > [app3] (version: base, ip: 192.168.0.47) [app1] (version: test, ip: 192.168.0.12) > [app2] (version: test, ip: 192.168.0.43) > [app3] (version: test, ip: 192.168.0.20) [app1] (version: test, ip: 192.168.0.12) > [app2] (version: base, ip: 192.168.0.48) > [app3] (version: base, ip: 192.168.0.47) [app1] (version: test, ip: 192.168.0.12) > [app2] (version: base, ip: 192.168.0.48) > [app3] (version: test, ip: 192.168.0.20) 进入服务网格控制台 > 可观测管理中心 > 链路追踪 菜单，可以看到产生了一系列链路追踪数据 点击其中一条TraceID可以进一步看到整个链路的瀑布图，如下可以清晰展示出整个调用链的关系及主要耗时点

本文汇总了使用云主机备份产品过程中相关的备份类问题。 为什么删除备份后存储库已用容量变化小？ 删除备份后存储库已用容量变化小的主要原因如下： 云主机备份通常采用增量备份机制。在全量备份完成后，后续的备份只会记录数据的增量变化。 每个增量备份都被视为一个虚拟的全量备份，备份之间存在数据块的依赖关系，使用指针索引方式引用。这样可以节省存储空间，避免多次备份造成重复存储。 当删除某个备份数据时，系统会检查该备份所使用的数据块是否还被其他备份所引用。如果没有其他备份依赖该数据块，系统会将其释放。但如果其他备份仍然使用相同的数据块，那么这些数据块不会立即被释放，而是合并到下一个备份中。 为什么备份容量会大于磁盘中实际容量？ 备份容量大于磁盘中实际容量的原因可能有以下几点： 备份机制：云主机备份通常采用块级备份方式，以扇区（512字节）为单位进行备份。即使文件已被删除，但扇区内的元数据仍然存在，这些元数据会被备份系统识别为非0数据块并进行备份。这导致备份的容量大于实际文件的大小。 文件系统的元数据：磁盘中的文件系统会占用一定的空间来存储文件的元数据，如文件名、时间戳等信息。这些元数据也会被备份系统包括在备份中，增加了备份数据的大小。 删除文件不擦除数据：为了降低性能消耗，在删除文件时，文件系统通常只在文件属性中创建删除标记，并未对扇区内已写入的数据进行擦除。备份系统无法感知到扇区内的数据是否删除，只能通过判断是否是全0数据块来决定是否备份，因此即使文件已删除，扇区内的数据仍会被备份。

如何查看安全组关联的云服务器？ 方法1：在云服务器对应的管理控制台进行查看。 点击云服务器名称进入详情页，在安全组页签下查看云服务器关联的安全组详情。 方法2：在安全组详情页的关联实例页签下查看云服务器。 点击目标的安全组名称进入详情页，在“关联实例”页签下查看该安全组所关联的云服务器，支持变更云服务器与安全组之间的关联关系。 无法访问公有云的某些端口时怎么办？ 问题现象 ：访问公有云特定端口，在部分地区部分运营商无法访问，而其他端口访问正常。 问题分析 ：部分运营商判断如下表的端口为高危端口，默认被屏蔽无法访问。 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1433 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 8998 9995 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9995 9996 解决方法 ：建议您修改敏感端口为其他非高危端口来承载业务。 为什么网络 ACL添加了拒绝特定IP地址访问的规则，但仍可以访问？ 网络ACL存在规则优先级。优先级的数值越小，表示优先级越高。针对可用区资源池来讲，“ ”表示默认规则，优先级最低。 多个网络ACL规则冲突，优先级高的规则生效，优先级低的不生效。 ACL规则的优先级是默认生成的，先添加的规则默认优先级最高。优先级支持手动调整，您可在ACL详情中点击调整规则按钮，在弹窗中选择要调整的规则，拖拽到需调整的位置即可。 当您需要拒绝某个IP地址的访问时，可以将其优先级设置为最高优先级，拒绝特定IP地址访问的规则将优先生效。具体操作请参见调整ACL规则优先级。

操作场景 弹性裸金属可挂载云硬盘，在退订/删除弹性裸金属时可以提供不同的云盘处理手段。如果云盘开启了随实例释放，那么释放弹性裸金属时云盘会自动一起释放；如果未开启随实例释放，已挂载数据盘会先解除与弹性裸金属的绑定关系并保留。 和弹性裸金属同一个订单购买的云盘（创建弹性裸金属时挂载的系统盘、数据盘），默认随实例释放，不可修改设置。 和弹性裸金属不同订单购买的云盘（弹性裸金属创建后才挂载的数据盘），默认不随实例释放，按需云盘可修改为随实例释放。 约束与限制 该功能适用于所有可挂载云硬盘的弹性裸金属； 共享盘默认不支持随实例释放； 同一台弹性裸金属可挂载多块云盘，不同云盘随实例释放的设置可不相同； 从弹性裸金属卸载云盘后，为云盘设置的是否随实例释放属性就会失效； 关闭随实例释放时，以下情况也可能导致云盘保留失败： 用户未开启按需权限 用户未完成实名认证 用户的账号余额小于100元 保留下来的云盘正常计费，会产生账单，用户可以在费用中心查看对应消费详情。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 物理机服务”，进入物理机服务的控制台。 4. 点击指定弹性裸金属的名称，系统跳转至该弹性裸金属详情页面，点击“云硬盘”标签页即可查看当前弹性裸金属已挂载的云硬盘。 5. 点击云硬盘列表操作栏“释放设置”，按照弹窗提示即可设置是否随实例释放。

本小节介绍镜像基线检查。 基线检查功能自动检测您私有镜像仓库中存在的配置风险，针对所发现的问题为您提供加固建议，帮助您正确地处理镜像内的各种风险配置信息，降低入侵风险并满足安全合规要求。 检测周期 企业主机安全每天凌晨自动进行一次全面的检查。 前提条件 已开启容器节点防护。 约束限制 仅支持检测Linux镜像存在的配置风险。 检测项 确保系统中不存在账号名或UID相同的账号 UID为0的非root账号检查 代码中的口令检查 确保系统中不存在相同密码哈希值的账号 禁止使用弱密码哈希算法 确保帐户密码不为空 确保系统中不存在相同组名或GID 确保没有非特权账号加入特权组 确保/etc/passwd中不存在旧的"+"条目 确保/etc/shadow中不存在旧的"+"条目 确保/etc/group中不存在旧的"+"条目 确保/etc/passwd中的所有组都存在于/etc/group中 确保配置了密码有效期 确保所有用户的密码更改日期都是过去日期 禁用建立host信任 禁止建立预置的root级别的信任关系 确保root帐户的默认组为GID 0 确保shadow组为空 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航树中，选择“风险预防 > 容器镜像安全”。 4、 选择“镜像基线检查”页签，查看镜像中存在的配置风险。 5、单击检测项前的，查看该检测项的详情、存在的问题及加固建议，并根据加固建议修复有风险的配置信息。

查询和修改用户信息 当系统用户数量庞大，可通过快速查询和高级搜索方式查询用户。 若用户信息有变更需求，可通过用户管理功能查看和修改，包括查看用户基本信息、查看用户登录配置、查看授权资源账户、修改用户组基本信息、修改用户登录限制、关闭或开启多因子认证、设置用户帐号使用有效期等。 前提条件 已获取“用户”模块操作权限。 查询用户帐号 1. 登录云堡垒机系统。 2. 选择“用户 > 用户管理”，进入用户列表页面。 3. 快速查询，在搜索框中输入关键字，根据登录名、姓名等快速查询用户。 4. 高级搜索，在相应属性搜索框中分别输入关键字，精确查询用户。 查看和修改用户信息 1. 登录云堡垒机系统。 2. 选择“用户 > 用户管理”，进入用户列表页面。 3. 在查询的用户列表中，单击目标用户登录名，或者单击“管理”，进入用户信息详情页面。 4. 查看和修改用户基本信息。 在“基本信息”区域，单击“编辑”，弹出基本信息编辑窗口，即可修改用户的基本信息。 可修改信息包括“认证类型”、“姓名”、“手机”、“邮箱”、“角色”、“所属部门”和“用户描述”。 “登录名”不支持修改。 5. 查看和修改用户登录配置信息。在“用户配置”区域，单击“编辑”，弹出登录配置编辑窗口，即可修改用户的登录配置。 6. 查看和移动用户组。 在“用户加入组”区域，可获取用户所属的用户组。 单击“编辑”，弹出用户组编辑窗口，即可移动所属用户组。 单击“操作”列“移出该组”，即可解除与该组关系。 7. 查看用户已授权控制的资源。 展开“授权资源账户”区域，即可查看授权给该用户的资源账户信息。

本文主要介绍 系统委托说明。 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录CCE控制台时，CCE将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。服务权限包括： 计算类服务 CCE集群创建节点时会关联创建云主机，因此需要获取访问弹性云主机、物理机的权限。 存储类服务 CCE支持为集群下节点和容器挂载存储，因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 网络类服务 CCE支持集群下容器发布为对外访问的服务，因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能，需要获取访问容器镜像等服务的权限。 当您同意授权后，CCE将在IAM中自动创建账号委托，将帐号内的其他资源操作权限委托给CCE服务进行操作。 CCE自动创建的委托如下： cceadmintrust cceclusteragency cceadmintrust委托说明 cceadmintrust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCE所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 如果您在多个区域中使用CCE服务，则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签，单击“cceadmintrust”查看各区域的授权记录。 说明 由于CCE对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间，请不要自行删除或者修改“cceadmintrust”委托。

介绍删除子用户的具体步骤。 适用场景 媒体存储自2024年11月13日起与天翼云统一身份认证IAM（简称CTIAM）主子用户体系互通，用户可通过天翼云统一身份认证控制台删除子账号。 删除子用户 1. 登录天翼云统一身份认证控制台。 2. 点击左侧导航菜单的【用户】，在用户列表中选择目标子用户的操作栏，点击【删除】按钮。 3. 在弹出提示删除确认信息的对话框，点击【确认】删除后，系统将删除用户，删除后不能恢复。 注意 请谨慎删除子用户，删除后该子用户将无法登录，该用户的相关信息访问aksk及其所有授权关系等将被清除且不可恢复。 冻结子用户 1. 登录天翼云统一身份认证控制台。 2. 在左侧的导航页内找到【用户】页。在该页中，您将能看到已经创建好的全部子用户列表。点击子用户右侧的【编辑】按钮，在弹窗中将该用户的【状态】改为【禁用】。如下图所示： 3. 完成该操作后，当您使用子账号登陆用户控制台时，系统将提示“账号已被冻结”，无法正常登陆。同时，该子用户所属的AK/SK处于冻结状态，相关调用API、SDK的操作将会被系统拒绝。 4. 该子用户的登陆凭证、AK/SK等信息不会被删除。 注意 当您的主账号由于欠费、运营监管等原因被天翼云整体冻结时，主账号关联的子账号也会同步被关联冻结。此时子账号登陆界面将提示“账号被关联冻结”。 此时您需要将主账号解除冻结状态，即可同步恢复子账号的使用。

本章主要介绍API网关其他常见问题。 API、环境、应用之间的关系？ API可以被发布到不同的环境中。比如RELEASE和BETA两个环境，分别代表线上和测试环境。 应用指代一个API调用者的身份。创建应用时，系统会自动生成用于认证该身份的应用key&secret。将指定的API授权给指定应用后，该应用的持有者才可以调用已发布到环境中的指定API。 同一个API发布到不同的环境时，可以为之定义不同的流控策略并授权给不同的应用。举例，API v2版本在测试过程中，可以发布到BETA环境，并授权给测试应用，而API v1版本是稳定版本，可以在RELEASE环境中，授权给所有用户或应用使用。 怎样使用API网关？ API网关提供了以下方式来管理/调用API： Web化的服务管理平台，即管理控制台。 如果您已注册公有云，可直接登录管理控制台，单击管理控制台，然后单击“API网关 APIG”。 基于Java、Go、Python、Javascript、C 、PHP、C++、C、Android等多种语言的SDK包。 您可以通过下载SDK包来调用API。 API网关支持哪些SDK语言？ API网关当前支持Java、Go、Python、C 、javascript、PHP、C++、C和Android的SDK。 API网关是否支持通过POST方法上传文件？ API网关支持通过POST方法上传文件。 专享版：在实例配置参数中，配置“requestbodysize”参数。“requestbodysize”表示API请求中允许携带的Body大小上限，支持修改范围1~9536 M。 如何获取API网关错误返回信息？ 当API请求到达网关后，网关返回请求结果信息。查看返回结果的Body信息如下。 { "errorcode": "APIG.0101", "errormsg": "API not exist or not published to environment", "requestid": "acbc548ac6f2a0dbdb9e3518a7c0ff84" } “errorcode”表示错误码。 “errormsg”表示报错原因。 相关错误码请参考API网关有哪些错误码。

本章节主要介绍如何删除增强型跨源连接。 操作场景 本节操作介绍在控制台删除不再使用的增强型跨源连接的操作步骤。 操作步骤 1. 登录DLI管理控制台。 2. 在左侧导航栏中，选择“跨源管理 > 增强型跨源 ”。 3. 选择待删除的增强型跨源连接，单击操作列的“删除”。 4. 单击“是”，删除增强型跨源连接。

应用模板 完成Prometheus告警模板创建后，您可以通过应用模板来为Prometheus实例创建告警规则，或者根据现有模板更新Prometheus实例的告警规则。 1. 在Prometheus告警规则模板页面，点击目标告警规则模板右侧的应用模板。 2. 在应用模板页面的Prometheus实例选择模式界面中，选择目标Prometheus实例，点击应用按钮。 3. 在弹出的提示框中选择是否更新已创建的告警规则，然后点击确定 。系统将会使用当前告警规则模板，对选中的Prometheus实例创建告警规则。 未勾选“更新已经创建的告警规则”：若选中的Prometheus实例已经存在通过当前告警模板创建的告警规则，那么在创建告警规则时，将会提示您已经使用此模板创建过告警规则，将不进行更新，此时告警规则不会被更新。 勾选“更新已经创建的告警规则”：若选中的Prometheus实例已经存在通过当前告警模板创建的告警规则，那么此时会根据最新的告警模板内容，更新该实例的告警规则。 删除模板 当您不再使用Prometheus告警模板时，您可进行删除操作。删除模板时，可以按需选择是否保留由此告警模板创建的告警规则。 1. 在告警规则模板页面，点击目标告警规则模板右侧的更多删除按钮。 2. 在弹出的提示对话框中选择是否同时删除从模板创建的告警规则，然后单击确认。 勾选“同时删除从模板创建的告警规则”：系统将会删除与模板相关联的所有Prometheus实例告警规则。如果通过模板创建的Prometheus告警规则被手动编辑过，并且保存时选择了不保留模板与规则的映射关系，则对应的告警规则不会被删除。 不勾选“同时删除从模板创建的告警规则”：通过模板创建的Prometheus告警规则将会保留。

配置路由规则 在路由配置菜单左上角进入路由配置页面，路由匹配规则之间是“与”的关系，必须全部满足才算匹配；核心的路由配置项说明如下： 配置项 说明 名称 路由名称，用于标识一条路由规则。 域名 用于和请求中的域名进行匹配，不填则任何请求都可以匹配。 路径 匹配请求的path（不含query参数），当前支持前缀匹配和精确匹配。 方法 匹配请求中的HTTP方法。 优先级 当多个路由同时匹配一个请求时，路径匹配深度较大的路由优先；路径匹配相同的情况下，路由优先级高（数字大）的优先匹配。 请求header 匹配请求中的HTTP header。 请求query 匹配请求中的HTTP query参数。 目标服务 当前支持单服务、多服务、标签路由、mock路由和重定向。 在路由的目标服务选项中选择刚才创建好的后端服务即可。 测试验证 通过绑定的ELB公网地址访问，结果符合预期。 查看监控 调用链 在观测分析菜单下链路追踪子菜单下可以根据接口路径查询到链路追踪信息（需要确保您的网关实例已开启链路追踪，并且采样率大于零才可以采集到链路追踪数据）。 指标监控 在监控分析子菜单可以看到业务监控信息，当前支持的指标如下： 指标 说明 入流量 请求进入网关的带宽。 出流量 网关应答的带宽。 配置中心连接状态 网关和控制面连接状态，1为正常，0位异常。 请求成功率 网关返回HTTP 2XX的比例。 404比例 网关返回HTTP 404的比例。 5XX比例 网关返回HTTP 5XX的比例。 失败率 网关返回HTTP 4XX和5XX的比例。 平均延迟 网关收到请求到返回应答的平均时延（ms）。 P50延迟 网关处理请求50分位耗时。 P95延迟 网关处理请求95分位耗时。 P99延迟 网关处理请求99分位耗时。 QPS 网关每秒处理请求数。 连接数 网关连接数统计。

本节介绍云容器引擎的最佳实践：操作系统升级。 操作系统升级指允许对集群中的工作节点进行操作系统版本升级。 升级方式 开通新集群 新建节点池并扩容 更换节点池操作系统 使用须知 通过更换节点池操作系统方式来升级操作系统采用节点重置方式实现，节点重置有关注意事项如下： 重置节点将对节点操作系统进行重置安装，节点上已运行的工作负载业务将会中断，请在业务低峰期操作。 节点重置后系统盘，挂载kubelet、containerd的数据盘将会被清空，重置前请事先备份重要数据。 用户节点如果有自行挂载了数据盘，重置完后会清除挂载信息，请事先备份重要数据，重置完成后请重新执行挂载行为，数据不会丢失。 节点上的工作负载实例的IP会发生变化，但是不影响容器网络通信。 操作过程中，后台会把当前节点设置为不可调度状态。 节点重置会清除用户单独添加的K8S标签和污点（通过节点池编辑功能添加的标签、污点不会丢失），可能导致与节点有绑定关系的资源（本地存储，指定调度节点的负载等）无法正常使用。请谨慎操作，避免对运行中的业务造成影响。 重置节点会导致与节点关联的localpv类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。重置节点时使用了本地持久存储卷的Pod会从重置的节点上驱逐，并重新创建Pod，Pod会一直处于 pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为PVC对应的底层逻辑卷已经不存在了。 重置节点使用的相关配置是节点所在节点池的最新配置。 更多升级节点池和节点重置相关内容请参见升级节点池 、节点重置。

此小节介绍云堡垒机等保最佳实践。 为助力企业通过等保合规测评，本文为您介绍云堡垒机各项功能与等保相关条款的对应关系，以便您有针对性地提供佐证材料。 等保三级相关条款 该最佳实践将主要聚焦于满足以下等保条例的考察内容： 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 应对登录的用户分配账户和权限。 应重命名或删除默认账户，修改默认账户的默认口令。 应及时删除或停用多余的、过期的账户，避免共享账户的存在。 应授予管理用户所需的最小权限，实现管理用户的权限分离。 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

操作场景 为生产站点与容灾站点建立绑定关系。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面右上角，单击“创建站点复制对”。 4. 选择需要创建的站点复制对类型，根据界面提示配置参数，参数说明表如下表所示 1. 跨可用区：生产站点和容灾站点位于同区域内不同可用区 2. 跨区域：生产站点和容灾站点位于不同区域 3. IDC上云：生产站点为本地数据中心。 表 参数说明 参数 说明 取值样例 类型 选择需要创建的站点复制对类型。 跨可用区 复制场景 选择需要创建的复制场景。当前支持类型：H2C（IDC容灾到云平台）。仅当创建“IDC”类型的复制对时，需要设置复制场景。 H2C 名称 站点复制对名称。 名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 Sitereplication001 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 区域 生产站点所在的区域。 说明 仅当创建“跨区域”类型的复制对时，需要设置区域。 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 可用区 生产站点服务器所在的可用区。 说明 当创建“跨区域”和“跨可用区”类型的复制对时，需要设置可用区。 AZ1 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 网络 生产站点服务器所在的VPC。 VPC01 容灾站点 区域 容灾站点所在的区域。 选择搭建云上容灾专有网络时选择的区域。 说明 仅当创建“IDC上云”和“跨区域”类型的复制对时，需要设置区域。 容灾站点 可用区 容灾站点服务器所在的可用区。 AZ2 容灾站点 网络 容灾站点服务器所在的VPC。 VPC02

处理步骤 检查堆内存使用量 1.在FusionInsight Manager界面，选择“运维 > 告警 > 告警 > Yarn ResourceManager堆内存使用率超过阈值 > 定位信息”。查看告警上报的实例的主机名。 2.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 实例 > ResourceManager（对应上报告警实例主机名）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“ResourceManager内存使用率”。查看堆内存使用情况。 3.查看ResourceManager使用的堆内存是否已达到ResourceManager设定的最大堆内存的95%。 是，执行步骤4。 否，执行步骤6。 4.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置 > 全部配置 > ResourceManager > 系统”。将“GCOPTS”参数根据实际情况调大，并单击“保存”，保存完成后重启角色实例。 说明 集群中的NodeManager实例数量和ResourceManager内存大小的对应关系参考如下： 集群中的NodeManager实例数据达到100，ResourceManager实例的JVM参数建议配置为：Xms4G Xmx4GXX:NewSize512M XX:MaxNewSize1G。 集群中的NodeManager实例数据达到200，ResourceManager实例的JVM参数建议配置为：Xms6G Xmx6GXX:NewSize512M XX:MaxNewSize1G。 集群中的NodeManager实例数据达到500，ResourceManager实例的JVM参数建议配置为：Xms10G Xmx10G XX:NewSize1GXX:MaxNewSize2G。 集群中的NodeManager实例数据达到1000，ResourceManager实例的JVM参数建议配置为：Xms20G Xmx20GXX:NewSize1G XX:MaxNewSize2G。 集群中的NodeManager实例数据达到2000，ResourceManager实例的JVM参数建议配置为：Xms40G Xmx40GXX:NewSize2G XX:MaxNewSize4G。 集群中的NodeManager实例数据达到3000，ResourceManager实例的JVM参数建议配置为：Xms60G Xmx60GXX:NewSize2G XX:MaxNewSize4G。 集群中的NodeManager实例数据达到4000，ResourceManager实例的JVM参数建议配置为：Xms80G Xmx80GXX:NewSize2G XX:MaxNewSize4G。 集群中的NodeManager实例数据达到5000，ResourceManager实例的JVM参数建议配置为：Xms100G Xmx100GXX:NewSize3G XX:MaxNewSize6G。 5.观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

序号 子流程 配置内容 1 梳理业务映射关系 1） 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》 2） 访问互联网业务是否存在限制，是否需要记录上网行为审计； 3） 对外发布业务云主机信息，内网IP及对应公网IP； 4） 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 5） 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 6） 是否有WAF/CDN业务访问，提供源站白名单 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置登录云墙【网络】→【接口】→【接口配置】，详细配置参考 3 配置基础准备环境 按需配置对象薄、地址薄等信息登录云墙，【对象】→【服务薄】/【地址薄】，详细配置参考 4 配置出向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【源NAT】，详细配置参考 5 配置入向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【目的NAT】，详细配置参考 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】，详细配置参考 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】，详细配置参考 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

本节主要介绍编辑密码规则和清除密码规则。 点击“访问控制”>“安全设置”，进入“安全设置”页面，在“密码安全设置”处可以进行编辑密码规则和清除密码规则。 编辑密码规则 在“密码安全设置”处点击“编辑密码规则”，可以对密码规则进行重新设置。 项目 描述 :: 密码长度 可以设置用户的密码长度，取值范围是8~128的整数。 密码中必须包含元素 用户可以选择下列的任意一项或者多项： 大写字母：A~Z。 小写字母：a~z。 数字：0~9。 非字母数字字符，包括：!@ $%^&()+[]{}’ 如果不选，使用默认规则，即密码中必须包含小写字母和数字。 密码有效期 密码有效天数，整数形式，取值范围为0~1095，0表示永不过期。 自主管理密码 如果勾选用户自主管理密码，允许IAM用户自主修改密码。 如果未勾选用户自主管理密码，只能管理员来修改密码。 密码过期后 限制用户登录，允许用户重置密码：密码过期后，用户可以自行修改密码。 限制用户登录，须由管理员重置密码：密码过期后，用户不能执行修改密码。 历史密码检验策略 在重置密码时对历史密码进行检查，禁止使用设置次数前的密码。整数形式，取值范围为0~24，0表示不启用历史密码检验策略，但当前密码不属于历史密码，故新设置的密码不能与当前密码相同。 历史密码为除当前密码外，历史使用过的密码。例如设置历史检验策略为1，当前密码为Password1，前一次的密码为Password0，用户希望设置的新密码为Password2，则Password2不能与前一次密码Password0和当前密码Password1相同。 自主管理密码和密码过期后之间的关系如下表所示： 项目 勾选用户自主管理密码 不勾选用户自主管理密码 ::: 限制用户登录，允许用户重置密码 任何时候，IAM用户都可以自己修改密码。 只能密码过期后，允许IAM修改一次密码。 限制用户登录，不允许用户重置密码 任何时候，控制台用户无法修改密码，可以通过API进行修改。 IAM用户任何时候都不能自行修改密码。

本节主要介绍参数调优 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明。更多参数的详细说明请参见MongoDB官网。 如需通过控制台界面修改参数值，请参见编辑参数模板。 enableMajorityReadConcern 该参数表示读取数据时，是否需要从大多数节点获取一致的数据后才返回结果。 默认值为 “ false ” ， 表示读取数据时，不需要从大多数节点获取一致数据后返回结果，即从单个节点上读取数据就可以返回结果。 该参数设为true的时候，表示读取数据时，需要从大多数节点获取一致数据后才返回结果。该操作会导致LAS文件过大，进而造成CPU过高和磁盘占用大。 在DDS中，不支持设置majority级别的readConcern。对于需要majorityReadConcern的场景，可以将WriteConcern设置为majority，表示数据写入到大多数节点了，这样也就保证了大多数节点的数据一致了。然后通过读取单个节点的数据，就能保证用户读到的数据已经写入到大多数节点，而这样的数据不会发生回滚，避免了脏读的问题。 说明 MongoDB可以通过writeConcern来定制写策略，通过readConcern来定制读策略。 当指定readConcern级别为majority时，能保证用户读到的数据已经写入到大多数节点，而这样的数据不会发生回滚，避免了脏读的问题。 failIndexKeyTooLong 默认值为 “ true ” 。 该参数不支持修改，避免过长索引Key。 net.maxIncomingConnections 该参数表示mongos或mongod可接受的最大同时连接数量。该参数依赖于实例的规格，实例规格不同对应其默认值也不同。因此，此参数在用户未设置前显示为“default”，表示该参数随内存规格变化。 security.javascriptEnabled 默认值为 “ false ” 。 该参数表示是否允许mongod上执行JavaScript脚本。为了安全考虑，默认值为“false”，表示不允许mongod上执行JavaScript脚本，mapreduce、group等命令也将无法使用。 disableJavaScriptJIT 默认值为 “ true ” 。 该参数表示是否禁用JavaScriptJIT编译技术。JavaScriptJIT编译技术实现了即时 (JIT) 编译以提高运行脚本时的性能。 “disableJavaScriptJIT”默认值为“true”，表示禁用JavaScriptJIT编译技术。如果需要启用JavaScriptJIT编译技术，可以将“disableJavaScriptJIT”的值设置为“false”。 operationProfiling.mode 默认值为 “ slowOp ” 。 该参数表示数据库分析器的级别。 该参数支持如下取值： 1. 默认值为“slowOp”，表示对于耗时超过慢查询阈值的操作，采集器采集数据。 2. 取值为“off”，表示分析器关闭，不收集任何数据。 3. 取值为“all”，表示采集器采集所有操作的数据。 operationProfiling.slowOpThresholdMs 默认值为 “ 500 ” ，单位为ms。 该参数表示慢查询的时间阈值，单位为毫秒，超过该阈值的操作将被认为是慢操作。 如无特殊需求，建议使用默认值500ms。 maxTransactionLockRequestTimeoutMillis 默认值“5”，取值范围为5~100，单位为ms。 该参数表示事务等待获取锁的时间，超过该时间则事务回滚。

本文主要介绍云日志服务的投递概述。 天翼云云日志服务可以将日志单元中的数据投递到天翼云对象存储ZOS与分布式消息服务kafka，以满足归档或者计算的需求。 转储至对象存储ZOS 您将云主机和云服务的日志数据上报至云日志服务后，可对日志存储时长进行设置，默认存储时间为365天，超出存储时间后，日志数据将会被自动清理。若您需要长期存储日志数据进行日志持久化，可使用日志转储功能，将日志数据转储至对象存储中进行长期保存。具体操作请查看转储至对象存储ZOS。 说明 日志转储的实时性较弱，通常为5分钟~30分钟。数据延迟依赖于存储系统。 关于对象存储更多内容，请参考对象存储产品文档。 转储至分布式消息服务kafka 云日志服务采集到数据后，支持将数据转储至对天翼云分布式消息服务kafka，用于实时流计算等场景。具体操作请查看转储至分布式消息服务kafka。

本章节介绍Redis的Proxy节点故障演练。 背景介绍 在分布式缓存 Redis Proxy 集群中，Proxy 负责路由转发和故障转移，保障高可用并简化客户端逻辑。本演练通过模拟 Proxy 节点故障，验证客户端的重连与多 Proxy 负载均衡机制，帮助您评估单点故障对业务的影响。 基本原理 通过调用Redis停止Proxy服务OpenAPI，模拟Proxy节点不可用。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择Proxy节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：注入故障的目标节点。

本章节介绍Redis的Proxy节点故障演练。 背景介绍 在分布式缓存 Redis Proxy 集群中，Proxy 负责路由转发和故障转移，保障高可用并简化客户端逻辑。本演练通过模拟 Proxy 节点故障，验证客户端的重连与多 Proxy 负载均衡机制，帮助您评估单点故障对业务的影响。 基本原理 通过调用Redis停止Proxy服务OpenAPI，模拟Proxy节点不可用。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择Proxy节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：注入故障的目标节点。

本章节主要介绍翼MapReduce支持的分布式存储类型。 翼MR集群内当前使用主流的大数据Hadoop，目前支持Hadoop 3.3.3版本，并且会随着集群的演进逐步更新相关稳定版本。 同时客户可以在开通翼MR产品中选择使用Doris组件，Doris同样提供分布式数据存储能力，当前默认提供的Doris为2.1.8版本。 更多的翼MR产品中组件信息请参见产品文档中的版本概述。

介绍分布式消息服务Kafka续订操作内容。 场景描述 分布式消息服务Kafka为用户提供全面周到的服务，支持用户续订的需求。针对包周期消息实例服务，用户可在到期前进行服务周期延长操作，即续订操作。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“更多”，点击“续订”。 （4）点击“续订”后，会打开新页面，选择续订时长，会计算出对应价格，点击“确定”，后可到我的订单中支付。

本节介绍了什么是磁盘模式、SCSI磁盘的常见使用场景和建议、使用SCSI类型磁盘需要安装驱动吗。 什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云主机操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。 SCSI磁盘的常见使用场景和建议 SCSI磁盘：物理机仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云主机组的反亲和性一同使用，SCSI锁才会生效，关于更多共享盘的内容，请参见共享云硬盘及使用方法。

本章节主要介绍翼MapReduce服务的可靠性增强特性。 翼MR在基于Apache Hadoop开源软件的基础上，在主要业务部件的可靠性、性能调优等方面进行了优化和提升。 系统可靠性 管理节点均实现HA Hadoop开源版本的数据、计算节点已经是按照分布式系统进行设计的，单节点故障不影响系统整体运行；而以集中模式运作的管理节点可能出现的单点故障，就成为整个系统可靠性的短板。 翼MR对所有业务组件的管理节点都提供了类似的双机的机制，包括Manager、HDFS NameNode、HiveServer、HBase HMaster、YARN ResourceManager、KerberosServer、LdapServer等，全部采用主备或负荷分担配置，有效避免了单点故障场景对系统可靠性的影响。 异常场景下的可靠性保证 通过可靠性分析方法，梳理软件、硬件异常场景下的处理措施，提升系统的可靠性。 保障意外掉电时的数据可靠性，不论是单节点意外掉电，还是整个集群意外断电，恢复供电后系统能够正常恢复业务，除非硬盘介质损坏，否则关键数据不会丢失。 硬盘亚健康检测和故障处理，对业务不造成实际影响。 自动处理文件系统的故障，自动恢复受影响的业务。 自动处理进程和节点的故障，自动恢复受影响的业务。 自动处理网络故障，自动恢复受影响的业务。

本文主要介绍如何扩容本地盘。 操作场景 对于磁盘增强型弹性云主机，可使用本地盘和云硬盘两类磁盘存储数据。本地盘常用于存放用户的业务数据，磁盘吞吐量更高。 由于磁盘增强型弹性云主机不支持规格变更，因此，当本地盘容量不足时，需要通过创建更大规格磁盘增强型弹性云主机的方式进行扩容处理，原磁盘增强型弹性云主机中保存的数据可以通过云硬盘进行迁移。 操作步骤 1. 根据需要转移的数据量大小，创建云硬盘。 2. 挂载云硬盘。将步骤1中创建的云硬盘挂载至磁盘增强型弹性云主机。 3. 备份本地盘数据。将本地盘中需要转移的数据，备份至当前规格的磁盘增强型弹性云主机的云硬盘中。 4. 卸载云硬盘。 1. 在弹性云主机页面，选择该规格的磁盘增强型弹性云主机，确认云主机为“关机”状态。如果云主机为“开机”状态，您可单击“更多 > 关机”将云主机关机。 2. 单击该磁盘增强型弹性云主机的名称，查看详情。 3. 选择“云硬盘”页签，并单击数据盘所在行的“卸载”，卸载该云硬盘。 5. 准备一台大规格的磁盘增强型弹性云主机。该云主机的规格大于原云主机规格，且其本地盘容量能够满足用户的需求。 6. 挂载云硬盘至大规格的磁盘增强型弹性云主机。在弹性云主机页面，单击步骤5中准备的弹性云主机名称，展开详情。 7. 选择“云硬盘”页签，并单击“挂载磁盘”。在“挂载磁盘”对话框中，选择步骤4中卸载的云硬盘，并设置挂载点。 8. 迁移云硬盘数据。将步骤7中云硬盘的数据，迁移至大规格磁盘增强型弹性云主机的本地盘中。