本文介绍如何使用云搜索Elasticsearch、Kibana、Logstash实例搭建日志分析平台。 使用ELK Stack（Elasticsearch、Logstash、Kibana、Beats）进行日志管理是一种流行的开源解决方案，用于集中式日志收集、存储、分析和可视化。ELK Stack可以从分布式系统中采集和聚合日志，帮助运维和开发人员更好地理解系统的运行状态、排查问题并监控关键业务指标。 本文将使用Filebeat、Logstash、Elasticsearch、Kibana搭建一个简单的日志分析平台，其中需要自行部署Filebeat并且打通和天翼云云搜索Elasticsearch、Kibana以及Logstash实例之间的网络。 ELK Stack组件 Elasticsearch 是一个分布式搜索引擎，作为ELK堆栈的核心，它负责存储和索引日志数据。Elasticsearch提供强大的全文搜索、过滤和分析功能，可以快速处理大规模数据并允许实时查询。 Logstash 是一个数据处理管道工具，负责从各种输入源收集数据，进行过滤、处理并将其输出到 Elasticsearch。Logstash 支持多种数据源（如文件、数据库、消息队列），并且能够通过过滤器对数据进行处理，比如解析、格式转换等。 Kibana 是一个数据可视化和分析工具，允许用户在浏览器中直观地查询和展示Elasticsearch 中存储的日志数据。Kibana提供多种图表、仪表盘和地图，可以帮助用户监控系统、分析日志、生成报表等。 Beats是一组轻量级数据收集器，用于将各种类型的数据发送到Elasticsearch或Logstash进行索引和分析。其中Filebeat是 ELK Stack 中的一个轻量级日志数据收集器，用于收集日志文件数据。它监视指定的日志文件或位置，并将其发送到Elasticsearch或Logstash以进行存储和分析。

端口 端口是英文port的意译，可以认为是设备与外界通讯交流的出口。这里指的是虚拟的容器端口和节点端口，暴露这些端口以供外部访问，如容器的80端口。 运行应用 运行应用指的是运行在容器上的应用，包括Web服务、数据库、中间件等应用类别。 软件框架 软件框架（software framework），指的是为了实现某个业界标准或完成特定基本任务的软件组件规范，也指为了实现某个软件组件规范时，提供规范所要求之基础功能的软件产品。框架的功能类似于基础设施，与具体的软件应用无关，但是提供并实现最为基础的软件架构和体系。 Web站点 Web站点是网站Web服务（Web Service），是基于XML和HTTPS的一种服务，其通信协议主要基于SOAP，服务的描述通过WSDL、通过UDDI来发现和获得服务的元数据。 Web服务 Web服务是一种面向服务的架构的技术，通过标准的Web协议提供服务，目的是保证不同平台的应用服务可以互操作。 Routes Routes是OpenShift中的推荐方式。它使用唯一的URL公开服务，是为了解决从集群外部（就是从除了集群节点以外的其它地方）访问服务的需求。Routes路由匹配客户端的请求规则，匹配成功后分配到Service层。一个路由指向一个Service，一个Service可以被多个不同规则的路由指向。 Service Account Service Account（服务账号）通常是指在计算机系统、云服务或网络中用于标识和管理服务实体的账户。

本文为您介绍如何使用ECI实例访问云硬盘数据。 背景信息 天翼云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 前期准备 已开通天翼云弹性容器实例服务。 已创建至少一块云硬盘，且要求与待创建ECI实例归属同一可用区。 云硬盘需要满足按量计费模式，VBD模式，非共享，状态未挂载等要求。 操作步骤 天翼云弹性容器实例ECI支持用户通过控制台和OpenAPI等多种方式创建挂载云硬盘作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问云硬盘中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块30G大小的云硬盘，挂载目录为/disktest。 5. 让我们尝试向云硬盘中写入文件，执行 echo 'ctyun yyds' > /disktest/evs.txt 命令。这段命令的含义是向云硬盘下的evs.txt文件中写入'ctyun yyds'。 6. 让我们参数从云硬盘中读文件，执行cat /disktest/evs.txt命令。这段命令的含义是读取云硬盘下的evs.txt文件。

本节介绍AntiDDoS流量清洗相关术语解释。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击，利用获取信息的标准的GET/POST请求，如请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。 带宽 通过带宽展示网络的使用情况，作为服务计费的依据。 分布式拒绝服务攻击 拒绝服务攻击（ Denial of Service Attack，简称DoS）亦称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时，称为分布式拒绝服务攻击（Distributed Denial of Service Attack，简称DDoS）。 黑洞状态 黑洞状态是指服务器的外网访问被屏蔽，从服务器内部看到访问流量为零的状态。 流量清洗 流量清洗是用于准确识别网络中的异常流量并将其丢弃，保证正常流量通行的网络安全服务。流量清洗的主要对象是DDoS攻击。 SYN Flood攻击 SYN Flood攻击是指通过伪造的SYN报文（其源地址是伪造地址或不存在的地址），向目标服务器发起连接，目标服务器用SYNACK应答，而此应答不会收到ACK报文，导致目标服务器保持了大量的半连接，直到超时。这些半连接可以耗尽服务器资源，使目标服务器无法建立正常TCP连接，从而达到攻击的目的。

用户在连接到文档数据库后，需要关注以下支持以及限制的命令。 用户在连接到文档数据库后，需要关注以下支持以及限制的命令。更多信息，请参见MongoDB官方文档。 说明 下表所示，“√”表示当前版本支持该命令，“×”表示当前版本不支持该命令。 表 支持与限制的命令 命令类别 命令名称 3.4 4.0 4.2 备注 Aggregates Commands aggregate √ √ √ Aggregates Commands count √ √ √ Aggregates Commands distinct √ √ √ Aggregates Commands group √ √ √ Aggregates Commands mapReduce √ √ √ 在DDS实例关联参数模板中设置参数“security.javascriptEnabled”的值为“true”后，可以使用该命令。更多信息，请参见。 Geospatial Commands geoNear √ √ √ Geospatial Commands geoSearch √ √ √ Query and Write Operation Commands find √ √ √ Query and Write Operation Commands insert √ √ √ Query and Write Operation Commands update √ √ √ Query and Write Operation Commands delete √ √ √ Query and Write Operation Commands findAndModify √ √ √ Query and Write Operation Commands getMore √ √ √ Query and Write Operation Commands getLastError √ √ √ Query and Write Operation Commands resetError √ √ √ Query and Write Operation Commands getPrevError √ √ √ Query and Write Operation Commands parallelCollectionScan √ √ √ Query Plan Cache Commands planCacheListFilters √ √ √ Query Plan Cache Commands planCacheSetFilter √ √ √ Query Plan Cache Commands planCacheClearFilters √ √ √ Query Plan Cache Commands planCacheListQueryShapes √ √ √ Query Plan Cache Commands planCacheListPlans √ √ √ Query Plan Cache Commands planCacheClear √ √ √ Authentication Commands logout √ √ √ Authentication Commands authenticate √ √ √ Authentication Commands copydbgetnonce √ √ √ Authentication Commands getnonce √ √ √ Authentication Commands authSchemaUpgrade x x x 系统内部命令。 User Management Commands createUser √ √ √ User Management Commands updateUser √ √ √ User Management Commands dropUser √ √ √ User Management Commands dropAllUsersFromDatabase √ √ √ User Management Commands grantRolesToUser √ √ √ User Management Commands revokeRolesFromUser √ √ √ User Management Commands usersInfo √ √ √ Role Management Commands invalidateUserCache √ √ √ Role Management Commands createRole √ √ √ Role Management Commands updateRole √ √ √ Role Management Commands dropRole √ √ √ Role Management Commands dropAllRolesFromDatabase √ √ √ Role Management Commands grantPrivilegesToRole √ √ √ Role Management Commands revokePrivilegesFromRole √ √ √ Role Management Commands grantRolesToRole √ √ √ Role Management Commands revokeRolesFromRole √ √ √ Role Management Commands rolesInfo √ √ √ Replication Commands replSetElect x x x 系统内部命令。 Replication Commands replSetUpdatePosition x x x 系统内部命令。 Replication Commands appendOplogNote x x x 系统内部命令。 Replication Commands replSetFreeze x x x 系统内部命令。 Replication Commands replSetGetStatus √ √ √ Replication Commands replSetInitiate x x x 系统内部命令。 Replication Commands replSetMaintenance x x x 系统内部命令。 Replication Commands replSetReconfig x x x 系统内部命令。 Replication Commands replSetStepDown x x x 系统内部命令。 Replication Commands replSetSyncFrom x x x 系统内部命令。 Replication Commands replSetRequestVotes x x x 系统内部命令。 Replication Commands replSetDeclareElectionWinner x x x 系统内部命令。 Replication Commands resync x x x 系统内部命令。 Replication Commands applyOps x x x 系统内部命令。 Replication Commands isMaster √ √ √ Replication Commands replSetGetConfig x x x 系统内部命令。 Sharding Commands flushRouterConfig x x x 高危命令。 Sharding Commands addShard x x x 越权操作。 Sharding Commands addShardToZone √ √ √ Sharding Commands balancerStart √ √ √ Sharding Commands balancerStatus √ √ √ Sharding Commands balancerStop √ √ √ Sharding Commands removeShardFromZone √ √ √ Sharding Commands updateZoneKeyRange √ √ √ Sharding Commands cleanupOrphaned x x x 高危命令。 Sharding Commands checkShardingIndex x x x 系统内部命令。 Sharding Commands enableSharding √ √ √ Sharding Commands listShards x x x 系统内部命令。 Sharding Commands removeShard x x x 高危命令。 Sharding Commands getShardMap x x x 系统内部命令。 Sharding Commands getShardVersion √ √ √ Sharding Commands mergeChunks √ √ √ Sharding Commands setShardVersion x x x 系统内部命令。 Sharding Commands shardCollection √ √ √ Sharding Commands shardingState x x x 系统内部命令。 Sharding Commands unsetSharding x x x 系统内部命令。 Sharding Commands split √ √ √ Sharding Commands splitChunk √ √ √ Sharding Commands splitVector √ √ √ Sharding Commands moveChunk √ √ √ Sharding Commands movePrimary √ x √ Sharding Commands isdbgrid √ √ √ Administration Commands setFeatureCompatibilityVersion √ √ √ Administration Commands renameCollection √ √ √ Administration Commands dropDatabase √ √ √ Administration Commands listCollections √ √ √ Administration Commands drop √ √ √ Administration Commands create √ √ √ Administration Commands clone x x x 系统内部命令。 Administration Commands cloneCollection √ √ √ Administration Commands cloneCollectionAsCapped √ √ √ Administration Commands convertToCapped √ √ √ Administration Commands filemd5 √ √ √ Administration Commands createIndexes √ √ √ Administration Commands listIndexes √ √ √ Administration Commands dropIndexes √ √ √ Administration Commands fsync √ √ √ Administration Commands clean x x x 系统内部命令。 Administration Commands connPoolSync x x x 系统内部命令。 Administration Commands connectionStatus √ √ √ Administration Commands compact x x x 高危命令。 Administration Commands collMod √ √ √ Administration Commands reIndex √ √ √ Administration Commands setParameter x x x 系统配置命令。 Administration Commands getParameter √ √ √ Administration Commands repairDatabase x x x 高危命令。 Administration Commands repairCursor x x x 系统内部命令。 Administration Commands touch √ √ √ Administration Commands shutdown x x x 高危命令。 Administration Commands logRotate x x x 高危命令。 Administration Commands killOp √ √ √ Administration Commands releaseFreeMemory √ √ √ Diagnostic Commands availableQueryOptions √ √ √ Diagnostic Commands buildInfo √ √ √ Diagnostic Commands collStats √ √ √ Diagnostic Commands connPoolStats x x x 系统内部命令。 Diagnostic Commands cursorInfo x x x 系统内部命令。 Diagnostic Commands dataSize √ √ √ Diagnostic Commands dbHash x x x 系统内部命令。 Diagnostic Commands dbStats √ √ √ Diagnostic Commands diagLogging x x x 系统内部命令。 Diagnostic Commands driverOIDTest x x x 系统内部命令。 Diagnostic Commands explain √ √ √ Diagnostic Commands features √ √ √ Diagnostic Commands getCmdLineOpts x x x 系统内部命令。 Diagnostic Commands getLog x x x 系统内部命令。 Diagnostic Commands hostInfo x x x 系统内部命令。 Diagnostic Commands isSelf x x x 系统内部命令。 Diagnostic Commands listCommands √ √ √ Diagnostic Commands listDatabases √ √ √ Diagnostic Commands netstat x x x 系统内部命令。 Diagnostic Commands ping √ √ √ Diagnostic Commands profile √ √ √ Diagnostic Commands serverStatus √ √ √ Diagnostic Commands shardConnPoolStats x x x 系统内部命令。 Diagnostic Commands top √ √ √ Diagnostic Commands validate x x x 系统配置命令。 Diagnostic Commands whatsmyuri √ √ √ Internal Commands handshake x x x 系统内部命令。 Internal Commands recvChunkAbort x x x 系统内部命令。 Internal Commands recvChunkCommit x x x 系统内部命令。 Internal Commands recvChunkStart x x x 系统内部命令。 Internal Commands recvChunkStatus x x x 系统内部命令。 Internal Commands replSetFresh x x x 系统内部命令。 Internal Commands mapreduce.shardedfinish x x x 系统内部命令。 Internal Commands transferMods x x x 系统内部命令。 Internal Commands replSetHeartbeat x x x 系统内部命令。 Internal Commands replSetGetRBID x x x 系统内部命令。 Internal Commands migrateClone x x x 系统内部命令。 Internal Commands replSetElect x x x 系统内部命令。 Internal Commands writeBacksQueued x x x 系统内部命令。 Internal Commands writebacklisten x x x 系统内部命令。 System Events Auditing Commands logApplicationMessage x x x 系统内部命令。

本文向您介绍Windows云主机如何配置多用户登录(Windows 2012)。 操作场景 本文档指导您配置Windows云主机实现多用户登录，以Windows Server 2012标准版R2中文版操作系统的云主机为例。 说明 远程桌面授权仅支持120天，过期后将因缺失远程桌面授权服务器许可证而导致多用户登录无法使用，需激活远程桌面授权。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考 操作须知 请确保云主机带宽资源充足，避免由于多用户同时操作负载过高导致云主机卡顿或登录异常。 所在安全组入方向已开放云主机登录使用的端口，默认使用3389端口。 云主机已经绑定弹性公网IP。 配置多用户登录后，不同的用户登录云服务器操作互相之间无影响。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考多用户登录Windows主机时无法打开浏览器。 操作步骤 步骤一：安装桌面会话主机和远程桌面授权。 1. 登录弹性云主机。 2. 在操作系统界面， 打开“服务器管理器”，单击“添加角色和功能”。 3. 保持默认参数，单击“下一步”。 4. 左侧导航栏选择“安装类型”，选择“基于角色或基于功能的安装”，单击“下一步”。 5. 左侧导航栏选择“服务器选择”，选择“从服务器池中选择服务器”，单击“下一步”。 6. 左侧导航栏选择“服务器角色”，选择“远程桌面服务”，单击“下一步”。 7. 左侧导航栏选择“功能”，在此页面保持默认参数，单击两次“下一步”。 8. 左侧导航栏选择“角色服务”，在此界面依次选择“远程桌面会话主机”和“远程桌面授权”，在弹出的窗口单击“添加功能”，单击“下一步”。 9. 确认在云主机上安装的角色，单击“安装(I)”。 10. 安装完成后，重启云主机。 第二步：允许多用户远程连接云主机。 1. 在运行里输入 gpedit.msc，打开计算机本地组策略 2. 选择“计算机配置>管理模板>windows组件>远程桌面服务>远程桌面会话主机>连接”，并依次设置“允许用户通过使用远程桌面服务进行远程连接”、“限制连接数量”和“将远程桌面服务用户限制到单独的远程桌面” 3. 右键单击“编辑”，设置“允许用户通过使用远程桌面服务进行远程连接”设置为“已启用”。 4. 右键单击“编辑”，设置“限制连接数量”选择为已启用，可根据具体数量设置，这里示例将允许的RD最大连接数设置为999。 5. 右键单击“编辑”，“将远程桌面服务用户限制到单独的远程桌面”选择已启用，或者已禁用，请注意此处已启用和已禁用的区别。本示例勾选“已启用”。 说明 l 已启用：多个用户同时登录的多用户登录，不能单个用户多登录 例如：配置为已启用，用户A、用户B、用户C可以分别使用账号A、账号B、账号C同时登录云主机，但是不支持用户A、用户B、用户C使用同一个账号同时登录云主机 l 已禁用：单个用户同时多个登录的多用户登录 例如：配置为已禁用，用户A、用户B、用户C可以使用同一个账号同时登录云主机 6. 运行cmd，输入 gpupdate /force，强制执行本地组策略，重启服务器，整个配置过程完成。 第三步：配置新用户并加入远程桌面用户组。 1. 在运行中输入 lusrmgr.msc，打开本地用户和组，进行新用户创建。 2. 单击“用户”，在空白处右键选择新用户。 3. 填写新用户信息，单击“创建”。 4. 单击“组”，双击打开Remote Desktop Users组，单击“添加”。 5. 进入选择用户界面，单击“高级”。 6. 在新的选择用户界面，单击“立即查找”，在下方搜索结果中选中需要远程登录的用户，并单击“确定”，完成添加，即可远程登录。 7. 单击“确定”，添加用户到Remote Dsektop Users组。

类型 限制项 默认配额 备注 数据查询 最大查询时间范围 11000 暂不支持调整 数据查询 单次接口查询超时时间 30秒 暂不支持调整 数据查询 单次查询最多扫描时间线数量 2万 可提交工单申请扩容，扩容不会对之前上报数据生效。 数据查询 单次查询扫描最大数据量 1000万 暂不支持调整 数据查询 单次查询返回的最大数据量 100万 暂不支持调整 数据查询 最大查询QPS 50QPS 暂不支持调整 数据采集和上报 每个数据点最大支持大小 32kB，超过会解析失败 暂不支持调整 数据采集和上报 每个用户最大时间线数量 实际上系统会在到达限额之前为您自动做相关的扩容，因此您无需关注该限制。 数据采集和上报 每次上报请求总数据量大小 不超过1MB（最多一次上报1024个指标，因此理论上不会超过） 不支持调整，超过1 MB数据会被全部丢弃。 数据采集和上报 单指标Label长度限制 Label Key或者Label Value字符串长度不超过256个字符。 不支持调整，超限会被调换为MAXTAGVALUELIMITED 数据采集和上报 单个指标的标签数限制 64个 超出可能会造成数据丢失 数据采集和上报 默认数据保存时长 Prometheus实例 for 云服务默认保存30天，其他类型实例默认保存15天。 您可在控制台自行调整数据存储时长。 数据采集和上报 Agent单副本默认配置（3核4 G）一次最多能采集的数据点数 350万 建议您扩容副本 数据采集和上报 Agent单副本默认配置（3核4 G）最大采集Target数 1000个 建议您扩容副本 数据采集和上报 1个Target 30秒内可以最大可采集的数据点数 60万 建议您扩容副本 数据采集和上报 Agent HPA最大副本数 20 若超限，您可在控制台手动增加副本数。 数据采集和上报 Agent 支持的ACK集群版本 待测 建议您升级Kubernetes版本 告警 告警规则查询返回结果数 500 其他 单集群Recording Rules数量上限 100 超限不限制使用，但是计算可能会有延迟 其他 共享版Grafana每个租户最多能创建的Folder数量 10

该任务指导用户通过漏洞扫描服务对已添加的Linux主机进行扫描授权。 前提条件 已获取管理控制台的登录账号与密码。 已添加Linux主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。 8. 单击“确定”，Linux主机授权成功。

本节介绍如何通过漏洞扫描服务为Linux系统的主机配置跳板机。 操作场景 该任务指导用户通过漏洞扫描服务为Linux系统的主机配置跳板机。 说明 当前仅支持添加Linux系统跳板机。 前提条件 已获取管理控制台的登录账号和密码。 已添加Linux系统的主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要添加跳板机的主机，单击“批量配置跳板机”。 说明 用户也可以单台主机添加跳板机，在目标主机所在行的“操作”列，单击“配置跳板机”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 在“配置跳板机”对话框中，选择已有跳板机，或者单击“添加新的跳板机”，添加跳板机，如下图所示。 说明 如果需要修改已有跳板机，单击“编辑”，进行修改。 如果需要删除已有跳板机，单击“删除”，删除跳板机。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，配置说明如下表所示。 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 7. 单击“确定”，跳板机配置成功。 如果需要解除绑定主机的跳板机，在目标主机的“操作”列，单击“更多 > 解除跳板机”，解除跳板机。

本文介绍如何使用异常行为智能识别。 功能介绍 基于智能算法和大数据行为分析，分析客户业务流量的特征，智能识别攻击和误拦截请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为旗舰版及以上版本。 设置异常行为智能识别模型 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【智能防护】菜单，选择【异常行为智能识别】模块。 3. 选择业务适合的【分析模型】，模型配置说明如下： 配置说明 配置项 说明 开关 分析模型开关。 开关开启，模型运行； 开关关闭，模型停止运行。 分析域名 选择需要分析的对象，选择已经完成接入服务的域名。 异常判断条件 不同分析模型的分析条件不同，您可以根据实际的业务场景选择适合的模型。 异常客户端IP识别多UA：适用于单客户端IP有多UA的攻击特征； 异常客户端IP识别扫描大量URL：适用于单客户端IP扫描大量URL的攻击特征； 异常客户端IP识别攻击集中少量URL：适用于单客户端IP集中攻击少量URL的攻击特征； 异常客户端IP识别反复触发策略：适用于单客户端IP反复触发访问控制/频率控制/CC防护策略的攻击特征； 异常客户端IP+UA识别反复攻击少量URL：适用于单客户端（IP+UA），反复攻击少量的URL的攻击特征； 异常UA识别识别单客户端IP变更UA扫描：适用于单客户端IP变更UA扫描的攻击特征。 分析频率 分析频率为分析任务执行频率；统计周期超过12小时，建议分析频率设置大于等于5分钟；统计周期达到24小时，建议分析频率设置大于等于10分钟。 URL是否统计问号后参数 统计URL的范围是否包含问号后参数。 注意 如果我们开放的分析模型不能满足您的需求，请通过

本教程将详细介绍如何借助天翼云 SDWAN 实现 DeepSeek 访问海外资源时，进行定向加速。 应用场景 企业在云上部署私有化DeepSeek平台，进行企业知识库、智能问答等大模型开发工作，在此过程中会使用到ollama、huggingface、github等境外开发工具或平台实现大模型高效迭代优化。 天翼云SDWAN通过优化对合规境外网站的访问过程，可以为客户提供更加流畅的海外资源访问体验。用户只需在云上DeepSeek主机业务环境中部署SDWAN软件CPE(vCPE)，即实现可对定向海外资源的加速访问。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建了云主机用于部署DeepSeek服务，并通过网络配置将其加入到VPC子网中。 操作步骤 本教程的配置流程如下： 步骤一：部署 vCPE 1. 创建并配置云主机 ：在天翼云控制台创建一台用于部署天翼云 SDWAN vCPE 的云主机，为其创建和绑定弹性公网 IP（EIP），并通过网络配置将其加入到创建的VPC子网中，请参考创建弹性云主机。 2. 创建vCPE资源，并部署到云主机中：您可通过以下两种方式开通 vCPE 资源。 天翼云官网自助开通：若选择通过天翼云官网自行下单，具体操作步骤如下： 1. 登录天翼云 SDWAN 控制台，在界面中选择“智能网关”选项，随后在“智能网关”页面点击“创建智能网关”按钮。 2. 按照页面给出的提示，选择“软件版”vCPE和接入带宽等关键业务配置。 3. 参数配置完毕后，点击“提交订单”。在确认订单信息准确无误后，勾选产品服务协议，接着点击“确认下单”。 4. 完成订单支付，支付成功即完成 vCPE 资源的购买。 客户经理协助开通：您也可以直接联系客户经理，由其协助完成 vCPE 资源的开通。 购买完成后，及时联系 SDWAN 客户经理进行交付。届时，天翼云 SDWAN 交付团队会协助您将创建好的 vCPE 实例资源部署到云主机上，并接入天翼云 SDWAN 网络。

本文向您介绍企业版VPN中路由设置的常见问题。 如何理解VPN连接中的对端网关和对端子网？ 对端网关和对端子网是两个相对的概念，在建立VPN连接时，从云的角度出发，VPC网络就是本地子网，创建的VPN网关就是本地网关，与之对接的用户侧网络就是对端子网，用户侧的网关就是对端网关。 对端网关IP就是用户侧网关的公网IP，对端子网指需要和VPC子网互联的子网。 Console界面在哪添加VPN远端路由？ 云端在VPN连接创建时会自动下发到达远端子网的路由，无需手动配置。 ECS主机多网卡是否需要添加去往线下网络的路由？ 如果客户使用主网卡与线下网络建立了VPN，不需要添加路由。 如果客户使用非主网卡与线下网络建立了VPN，需要添加去往线下网段的路由指向非主网卡的网关。 什么是NQA 什么是NQA 网络质量分析（Network Quality Analysis，NQA）是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络指标进行统计。NQA能够实时监视网络服务质量，在网络发生故障时进行有效的故障诊断和定位。 为什么需要NQA 随着运营商增值业务的开展，用户和运营商对QoS（Quality of Service）的相关要求越来越高，特别是在传统的IP网络承载语音和视频业务后，运营商与客户之间签订SLA（Service Level Agreement）成为普遍现象。 为了让用户看到承诺的带宽是否达到需求，运营商需要提供相关的时延、抖动、丢包率等相关的统计参数，以及时了解网络的性能状况。传统的网络性能分析方法（如Ping、Tracert等）已经不能满足用户对业务多样性和监测实时性的要求。NQA可以实现对网络运行状况的准确测试，输出统计信息。NQA可以监测网络上运行的多种协议的性能，使网络运营商能够实时采集到各种网络运行指标，例如：HTTP的总时延、TCP连接时延、DNS解析时延、文件传输速率、FTP连接时延、DNS解析错误率等。通过对这些指标进行控制，网络运营商可以为用户提供不同等级的网络服务。同时，NQA也是网络故障诊断和定位的有效工具。

将testuser加入wheel组 usermod aG wheel testuser 刷新组 newgrp wheel su 4. 填写完成后单击“提交”即成功新增资产账号。 导入资产账号 1. 使用“管理角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“资产管理 > 资产账号”，进入“资产账号”页面。 3. 单击“导入”按钮，在弹出的对话框中下载导入文件模板。 4. 在导入文件模板中填写内容，填写完成后保存文件。 模版参数说明： 分类 参数 参数说明 取值样例 资产信息 资产名称 填写需添加资产账号的资产名（资产名需和堡垒机控制台上显示的一致），请确保待添加的账号可以正常登录该资产。 多个资产用英文逗号“,”隔开。 Test 账号信息 账号名 填写可登录资产的账号名，例如：Administrator。 root 账号信息 密码 （可选）输入正确的账号密码。若不输入密码，则在登录资产时需要填写正确的密码才可登录。 账号信息 协议 （可选）请选择资产的协议，支持填写：SSH、TELNET、SFTP、FTP、X11、RDP和数据库。 多个协议用英文逗号“,”隔开。 账号信息 状态 （可选）选择账号当前的状态，支持“正常”和“冻结”，导入模板时若不填写该项，默认为“冻结”状态 正常 账号信息 私钥 （可选）若账户登录需要使用私钥验证，你上传的私钥认证优先级高于密码认证。 多层登入配置 二次登录 该功能主要用于配置不允许直接登录的特权账号（例如 root），实现免密提权。 开启二次登录，并配置源账号名、切换命令，可将源账号提权为特权账号。 说明 仅ssh、telnet协议支持配置二次登录。 是 多层登入配置 源账号名 选择已配置的资产账号作为源账号（例如 testuser），二次登录场景将由该源账号提权为特权账号。 testuser 5. 单击“选取文件”，上传已填写完成的导入文件。若文件已加密，还需填写文件解密密码。 6. 单击“提交”，完成资产账号导入。

接口功能介绍 开通自研DCP数据库实例时，需要选择开通产品的规格，该接口提供支持的产品规格列表查询OpenApi能力 接口约束 需要提供param参数. URI GET /teledbacceptor/v2/openapi/acceptorderinfo/template 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 prodType 是 String 产品类型，0UNKNOWN, 1RDS, 2NoSql, 3TOOL, 4MemDB, 5AnalyticDB prodCode 是 String 产品编码，取值范围：HBASE/DDS/HBASE/MYSQL/POSTGRESQL/SQLSERVER regionId 是 String 区域id instanceType 是 String 通用型1，计算增强型2，内存优化型3，海光通用型4，海光计算增强型5,海光内存优化型6,鲲鹏通用型7，鲲鹏计算增强型8,鲲鹏内存优化型9 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 projectid 是 String 项目id 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 接口状态码，参考下方状态码 200 error String 错误码 TELEDBDCP1000 message String 描述信息 returnObj Object 返回对象 data 表 data 参数 参数类型 说明 示例 下级对象 prodId Integer 产品id 10010010 prodCode String 产品编码 prodSpecName String 产品名称 prodSpecDesc String 产品描述 instanceDesc String 实例描述 prodVersion String 产品版本 hostSpec String 主机规格 lvsSpec String lvs规格 instSpecInfoList Array of Objects AZ支持的产品规格信息，以及规格代S6/S7 instSpecInfoList prodHostConfig Object 主机配置 prodHostConfig 表 prodHostConfig 参数 参数类型 说明 示例 下级对象 hostInsts Object host实例 hostInsts 表 hostInsts 参数 参数类型 说明 示例 下级对象 hostTypeName String 类型名称 hostType String 节点类型,取值范围master（主节点）、readnode（只读节点） prodPerformanceSpeces Array of Strings 支持的性能指标规格列表 hostDefaultNum Integer 节点默认数量 1 表 instSpecInfoList 参数 参数类型 说明 示例 下级对象 specId String 废弃 prodPerformanceSpec String 规格名称 1C4G azList Array of Strings 该规格支持的AZ列表 specName String 主机世代完整名称 cpuType String cpu类型 generation String 主机世代缩写 minRate String 带宽下限 maxRate String 带宽上限

本节主要介绍使用V2签名时的HttpURLConnection开发。 应用场景 V2签名下，使用HttpURLConnection开发。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 可以参考下列示例进行HttpURLConnection开发。 import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader; import java.io.OutputStream; import java.io.UnsupportedEncodingException; import java.net.HttpURLConnection; import java.net.URL; import java.net.URLEncoder; import java.nio.charset.StandardCharsets; import java.text.SimpleDateFormat; import java.util.Arrays; import java.util.Base64; import java.util.Date; import java.util.HashMap; import java.util.Iterator; import java.util.List; import java.util.Locale; import java.util.Map; import java.util.SortedMap; import java.util.TimeZone; import java.util.TreeMap; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; public class OOSDemoForV2Signer { private static final String DATESTR "EEE, d MMM yyyy HH:mm:ss 'GMT'"; private static final SimpleDateFormat DATEFMT new SimpleDateFormat(DATESTR, Locale.ENGLISH); static { TimeZone gmt TimeZone.getTimeZone("GMT"); DATEFMT.setTimeZone(gmt); } private static final String OOSACCESSKEY "your ak"; private static final String OOSSECRETKEY "your sk"; private static final String OOSENDPOINT "ooscn.ctyunapi.cn"; private static final String OOSOBJECTCONTENT "yourobjectcontent"; private static final int CONNTIMEOUT 30000; private static final int READTIMEOUT 30000; public void putObject(String bucket, String objectKey) { try { Map headers new HashMap<>(); headers.put("ContentType", "text/plain"); headers.put("xamzdate", "xxxx"); HttpURLConnection connection generateConnection("PUT", bucket, objectKey, headers); connection.setFixedLengthStreamingMode(OOSOBJECTCONTENT.length()); connection.setDoOutput(true); connection.connect(); byte[] requestBody OOSOBJECTCONTENT.getBytes(); try (OutputStream outputStream connection.getOutputStream()) { outputStream.write(requestBody); } int responseCode connection.getResponseCode(); if (responseCode 200) { System.out.println("put object success"); } else { try (InputStream inputStream connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } } catch (Exception e) { e.printStackTrace(); } } public void getObject(String bucket, String objectKey) { try { HttpURLConnection connection generateConnection("GET", bucket, objectKey, null); connection.connect(); int responseCode connection.getResponseCode(); // 在responseCode为200 的情况下， 可将connection.getInputStream()的对象数据读出。 if (responseCode 200) { System.out.println("get object success"); } try (InputStream inputStream responseCode 200 ? connection.getInputStream() : connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } catch (Exception e) { // 异常可选择抛出或者处理掉。 e.printStackTrace(); } } public void deleteObject(String bucket, String objectKey) { try { HttpURLConnection connection generateConnection("DELETE", bucket, objectKey, null); connection.connect(); int responseCode connection.getResponseCode(); if (responseCode 204) { System.out.println("delete object success"); } else { try (InputStream inputStream connection.getErrorStream()) { BufferedReader reader new BufferedReader(new InputStreamReader(inputStream)); String line; while ((line reader.readLine()) ! null) { System.out.println(line); } } } } catch (Exception e) { // 异常可选择抛出或者处理掉。 e.printStackTrace(); } } / 1 并不是headers里的所有头域，都参与计算签名。详情请参照 3.1.1章节StringToSign的构成说明 2 任何头以xamzmeta这个前缀开始都会被认为是用户的元数据，当用户检索时，它将会和对象一起被存储并返回。 PUT请求头大小限制为8KiB。在PUT请求头中，用户定义的元数据大小限制为2KiB。 例：headers.put("xamzmetatest", "oos"); / private HttpURLConnection generateConnection(String method, String bucket, String objectKey, Map headers) throws Exception { if (headers null) { headers new TreeMap<>(); } if (!headers.containsKey("Date")) { String date DATEFMT.format(new Date()); headers.put("Date", date); } Map querys new HashMap<>(32); // 设置查询参数示例，可按需选择是否在请求url上设置查询参数。更多接口参数请参考《OOS开发者文档v6》 querys.put("responsecontenttype", "application/octetstream"); String authorization v2Sign(method, bucket, objectKey, headers, querys); String requestUrl " + bucket + "." + OOSENDPOINT + "/" + urlEncode(objectKey, false); if (querys.size() ! 0) { requestUrl + "?" + encodeParameters(querys); } URL url new URL(requestUrl); HttpURLConnection connection (HttpURLConnection)url.openConnection(); connection.setRequestProperty("Authorization", authorization); connection.setConnectTimeout(CONNTIMEOUT); connection.setReadTimeout(READTIMEOUT); connection.setRequestMethod(method); if (null ! headers) { headers.forEach(connection::setRequestProperty); } return connection; } private String encodeParameters(Map querys) { StringBuilder builder new StringBuilder(); Iterator > pairs querys.entrySet().iterator(); while (pairs.hasNext()) { Map.Entry pair pairs.next(); builder.append(urlEncode(pair.getKey(), false)); builder.append(""); builder.append(urlEncode(pair.getValue(), false)); if (pairs.hasNext()) { builder.append("&"); } } return builder.toString(); } // 以下是签名计算相关方法 / The set of request parameters which must be included in the canonical string to sign. / private static final List SIGNEDPARAMETERS Arrays.asList("acl", "torrent", "logging", "location", "policy", "requestPayment", "versioning", "versions", "versionId", "notification", "uploadId", "uploads", "partNumber", "website", "delete", "lifecycle", "tagging", "cors", "restore", "responsecachecontrol", "responsecontentdisposition", "responsecontentencoding", "responsecontentlanguage", "responsecontenttype", "responseexpires"); private String v2Sign(String method, String bucket, String objectKey, Map headers, Map querys) throws Exception { String canonicalString getCanonicalString(method, toResourcePath(bucket, objectKey), headers, querys); String signature sign(canonicalString); return "AWS " + OOSACCESSKEY + ":" + signature; } private String sign(String data) throws Exception { try { Mac mac Mac.getInstance("HmacSHA1"); mac.init(new SecretKeySpec(OOSSECRETKEY.getBytes(StandardCharsets.UTF8), "HmacSHA1")); byte[] bs mac.doFinal(data.getBytes(StandardCharsets.UTF8)); return Base64.getEncoder().encodeToString(bs); } catch (Exception e) { throw new Exception("Unable to calculate a request signature: " + e.getMessage(), e); } } / Calculate the canonical string for a REST/HTTP request to OOS. When expires is nonnull, it will be used instead of the Date header. / private String getCanonicalString(String method, String resource, Map headers, Map querys) { StringBuilder buf new StringBuilder(); buf.append(method).append("n"); SortedMap interestingHeaders new TreeMap<>(); if (headers ! null && headers.size() > 0) { for (Map.Entry entry : headers.entrySet()) { String key entry.getKey(); String value entry.getValue(); if (key null) { continue; } String lk key.toLowerCase(Locale.getDefault()); if ("contenttype".equals(lk) "contentmd5".equals(lk) "date".equals(lk) lk.startsWith("xamz")) { interestingHeaders.put(lk, value); } } } // Remove default date timestamp if "xamzdate" is set. if (interestingHeaders.containsKey("xamzdate")) { interestingHeaders.put("date", ""); } // These headers require that we still put a new line in after them, // even if they don't exist. if (!interestingHeaders.containsKey("contenttype")) { interestingHeaders.put("contenttype", ""); } if (!interestingHeaders.containsKey("contentmd5")) { interestingHeaders.put("contentmd5", ""); } // Any parameters that are prefixed with "xamz" need to be included // in the headers section of the canonical string to sign if (querys ! null) { for (Map.Entry parameter : querys.entrySet()) { if (parameter.getKey().toLowerCase().startsWith("xamz")) { interestingHeaders.put(parameter.getKey().toLowerCase(), parameter.getValue()); } } } for (Map.Entry entry : interestingHeaders.entrySet()) { String key entry.getKey(); Object value entry.getValue(); if (key.toLowerCase().startsWith("xamz")) { buf.append(key).append(':').append(value); } else { buf.append(value); } buf.append("n"); } buf.append(resource); if (querys ! null) { String[] parameterNames querys.keySet().toArray(new String[0]); Arrays.sort(parameterNames); char separator '?'; for (String parameterName : parameterNames) { // Skip any parameters that aren't part of the canonical signed string if (!SIGNEDPARAMETERS.contains(parameterName)) { continue; } buf.append(separator); buf.append(parameterName); String parameterValue querys.get(parameterName); if (parameterValue ! null && !"".equals(parameterValue)) { buf.append("").append(parameterValue); } separator '&'; } } return buf.toString(); } private String toResourcePath(String bucket, String objectKey) { String resourcePath "/" + ((bucket ! null && !"".equals(bucket)) ? bucket : "") + ((objectKey ! null) ? "/" + objectKey : ""); return urlEncode(resourcePath, true); } / @param keepPathSlash 实际上，根据RFC 3986规范，url中的 '/'和'~' 可以不用转译，URLEncoder做了转译，但是为了兼容浏览器解析文件名，要求 '/'和'~'不能做转译。 @param url 客户请求的url，也就是object key @return 转译后的url / private String urlEncode(String url, boolean keepPathSlash) { String encoded; try { encoded URLEncoder.encode(url, StandardCharsets.UTF8.toString()); } catch (UnsupportedEncodingException e) { throw new RuntimeException("UTF8 encoding is not supported.", e); } if (keepPathSlash) { // Web browsers do not always handle '+' characters well, use the wellsupported '%20' instead. encoded encoded.replaceAll("+", "%20"); // Change all "%2F" back to "/", so that when users download a file in a virtual folder by the presigned // URL, // the web browsers won't mess up the filename. (e.g. 'folder1folder2filename' instead of 'filename') encoded encoded.replace("%2F", "/"); encoded encoded.replace("%7E", "~"); } return encoded; } public static void main(String[] args) { String bucket "your bucket"; String objectKey "your object key"; OOSDemoForV2Signer v2 new OOSDemoForV2Signer(); v2.putObject(bucket, objectKey); v2.getObject(bucket, objectKey); v2.deleteObject(bucket, objectKey); } }

本文主要介绍通过云主机创建整机镜像 操作场景 使用弹性云主机携带其挂载的数据盘一起创建整机镜像，创建的整机镜像包含操作系统、应用软件，以及用户的业务数据，可用于快速发放相同配置的弹性云主机，实现数据搬迁。 背景知识 创建整机镜像的流程：先为云主机创建云主机备份，再通过云主机备份创建镜像，中间过程为系统自动完成的，您只需要耐心等待即可。 图 整机镜像创建流程 创建整机镜像的时间与磁盘大小、网络状态、并发任务数等有关。 使用云主机制作整机镜像时，云主机应处于运行中或者关机状态。如果镜像中包含数据库，请在关机状态下制作。 在云主机关机状态下，制作整机镜像的过程中，用户不能启动云主机。 整机镜像创建过程中，请勿卸载系统盘，不要开启云主机，避免创建失败。 上图中，当云主机备份还未创建成功，只是创建好磁盘快照时，整机镜像状态为“可用区x可用”（可用区x表示镜像源云主机所在的可用区），此时，这个整机镜像只能在该可用区中发放云主机。如果需要在区域内发放云主机，需要等云主机备份完全创建好，并且整机镜像状态为“正常”。 选择整机镜像切换云主机操作系统时，仅能恢复整机镜像的系统盘数据。如果希望恢复或者迁移整机镜像中的数据盘数据，必须通过整机镜像创建新的云主机。

本文介绍配置安全组的入方向规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 弹性云主机是天翼云提供的云服务器。安全组（Security Group）是用于设置云服务器实例的网络访问控制的虚拟防火墙，一般是作为流量访问白名单存在，以下是一些ECS安全组的最佳实践： 开放原则 默认拒绝所有流量：新建的安全组规则默认情况下拒绝所有入站和出站流量，这是一种良好的安全实践。 仅开放必要的端口和协议，避免使用0.0.0.0/0规则：根据应用需求，只开放必要的端口和协议，例如HTTP（80端口）、HTTPS（443端口）等。避免开放不必要的端口，以减少攻击面。 分组原则 根据应用需求进行分组：根据应用程序或服务的需求，可以将安全组规则进行分组。例如，将Web服务器相关的规则放在一个Web层安全组中，数据库服务器相关的规则放在另一个Database层安全组中。这样可以更好地管理和组织安全组规则，暴露不同的出入规则和权限。 避免过度复杂化：尽量避免创建过多的安全组，以免管理和维护变得复杂。根据实际情况合理划分安全组，保持简洁和易于管理。 授权原则 基于最小权限原则：为安全组授权时，应遵循最小权限原则，仅授予实例所需的访问权限。只开放必要的端口和IP地址范围，避免授权过度，减少潜在的安全风险。 限制访问来源：根据实际需求，限制访问来源的IP地址或IP地址段。仅允许特定的IP地址或IP地址段访问云主机，以增加安全性。

鲲鹏系列为国产云主机,搭载华为鲲鹏处理器,分为鲲鹏通用型、鲲鹏计算型、鲲鹏内存型和鲲鹏增强型。 在售型号：kc2x、km2x、ks2x、kc2xne、km2xne、ks2xne、kc1、km1、ks1 停售型号：kc2、km2、ks2、kc2ne、km2ne、ks2ne 鲲鹏通用型 鲲鹏通用型搭载鲲鹏处理器，云主机实例共享CPU。提供基础计算能力，可满足基础业务上云需求。 鲲鹏通用型适用于不会经常或始终用尽vCPU性能的场景，如小型网站、轻量级研发测试环境、小型数据库等。 规格特点 规格名称 计算 磁盘类型 网络 鲲鹏通用型ks2x 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：132 3.处理器：鲲鹏920 7260T 4.基频：2.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.XSSD0、XSSD1、XSSD2 1.实例网络性能与计算规格对应，规格越高网络性能越强 2.最大网络收发包：275万PPS 3.最大内网带宽：10Gbps 鲲鹏通用型ks2（停售） 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：132 3.处理器：鲲鹏920 7260T 4.基频：2.5GHz 1.普通IO 2.高IO 3.通用型SSD 1.实例网络性能与计算规格对应，规格越高网络性能越强 2.最大网络收发包：275万PPS 3.最大内网带宽：10Gbps 鲲鹏通用型ks1 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：116 3.处理器：鲲鹏920 4.基频：2.6GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 1.实例网络性能与计算规格对应，规格越高网络性能越强 2.最大网络收发包：100万PPS 3.最大内网带宽：6Gbps

本节包含了通用计算增强型C6弹性云主机的概述、规格、适用场景。 概述 C6搭载第二代英特尔® 至强® 可扩展处理器，多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。 类型 CPU基频/睿频 CPU型号 ::: C6 3.0GHz/3.4GHz 6266 适用场景 对计算与网络有更高性能要求的网站和Web应用 通用数据库及缓存服务器 中重载企业应用 游戏、渲染等 规格 表 C6型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 虚拟化类型 c6.large.2 2 4 4/1.2 40 50 2 2 KVM c6.xlarge.2 4 8 8/2.4 80 50 2 3 KVM c6.2xlarge.2 8 16 15/4.5 150 100 4 4 KVM c6.3xlarge.2 12 24 17/7 200 150 4 6 KVM c6.4xlarge.2 16 32 20/9 280 150 8 8 KVM c6.6xlarge.2 24 48 25/14 400 200 8 8 KVM c6.8xlarge.2 32 64 30/18 550 300 16 8 KVM c6.16xlarge.2 64 128 40/36 1000 500 32 8 KVM c6.large.4 2 8 4/1.2 40 50 2 2 KVM c6.xlarge.4 4 16 8/2.4 80 50 2 3 KVM c6.2xlarge.4 8 32 15/4.5 150 100 4 4 KVM c6.3xlarge.4 12 48 17/7 200 150 4 6 KVM c6.4xlarge.4 16 64 20/9 280 150 8 8 KVM c6.6xlarge.4 24 96 25/14 400 200 8 8 KVM c6.8xlarge.4 32 128 30/18 550 300 16 8 KVM c6.16xlarge.4 64 256 40/36 1000 500 32 8 KVM

您可以通过包年包月计费提前预留资源,同时享受比按量计费更大的价格优惠。 适用场景 包年包月是一种计费模式，适用于多种场景，尤其是需要稳定资源并长期使用的情况： 1.长期稳定使用 常驻服务： 适用于需要长期稳定运行的服务，如网站托管、数据库服务器、企业应用等。 2.成本可控和节约 成本控制： 对于需要长期使用的资源，包年包月可以降低长期成本，相比按需付费更为经济。 预算规划： 有助于企业预算规划，避免长期高额的变动费用，提供更稳定的费用支出。 3.稳定资源需求 资源保障： 对于有稳定资源需求的业务，如特定配置的服务器、存储或计算资源，包年包月提供稳定的资源保障。 约束与限制 包年包月的计费模式虽然有其优势，但也存在一些约束和限制，这些限制可能因服务提供商和具体服务套餐而异： 1.长期绑定 合约期限： 通常需要按照一定期限购买，可能是一年或更长时间的合约，无法随时更改或取消。 费用一次性支付： 一次性支付包年包月费用，无法根据实际使用情况灵活调整费用。 2.非弹性和限制 固定资源： 购买后资源固定，无法根据实际需求灵活调整，可能导致资源过剩或不足。 限制升级： 一些服务可能在包年包月期间限制资源的升级，只能在合同到期后进行。 3.限制服务范围 部分服务限制： 某些服务或特性可能无法包含在包年包月套餐内，需要额外付费或选择其他计费模式。 4.资费约束 费用固定性： 购买后的费用是固定的，无法根据实际使用情况进行变动或调整。

本章节主要介绍物理机的安全。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于设置弹性云主机、物理机服务器、负载均衡、数据库等实例的网络访问控制，是重要的网络安全隔离手段。 您可以通过配置安全组规则，允许安全组内的实例对公网或私网的访问。 安全组是一个逻辑上的分组，您可以将同一区域内具有相同安全保护需求的物理机服务器加入到同一个安全组内。 同一安全组内的BMS实例之间默认内网网络互通，不同安全组内的实例之间默认内网不通。 您可以随时修改安全组的规则，新规则立即生效。 密钥对 密钥对概述 密钥对，也称SSH密钥对，是区别于用户名+密码的远程登录Linux实例的认证方式。通过加密算法生成一对密钥，一个对外界公开，称为公钥，另一个由用户自己保留，称为私钥。公钥和私钥组成密钥对。密钥对的工作原理是使用公钥加密某个数据（例如一个密码），用户可以使用私钥解密数据。 天翼云只会存储公钥，您需要存储私钥。拥有您的私钥的任何人都可以解密您的登录信息，因此将您的私钥保存在一个安全的位置非常重要。 密钥对的功能优势 相比用户名+密码认证方式，密钥对在安全性和便捷性上都更具优势，如下表所示。 表 密钥对与密码对比 对比项 密钥对 用户名 + 密码 安全性 安全强度远高于常规用户口令，可以杜绝暴力破解威胁。 可能通过公钥推导出私钥。 安全性较低。 便捷性 便于远程登录大量Linux实例，方便管理。 一次只能登录一台Linux实例，不利于批量维护。

云硬盘备份支持对云主机中所有云硬盘同时进行备份吗？ 支持。 不论是手动一次性备份，还是通过备份策略周期性备份，都支持同时备份多个云硬盘，这些云硬盘可以出自同一台云主机。 实现方法：在“绑定云硬盘及备份策略”处，选择多个云硬盘即可，具体操作请参见创建云硬盘备份。 云硬盘支持每天多次备份吗？ 支持。 云硬盘备份分为两种，一种为手动备份，一种是根据备份策略进行周期性自动备份。 手动备份对于每天的备份次数没有限制。 根据备份策略进行备份时，用户可以在一天内的任意整点时间进行备份，一天可周期性备份24次，一次间隔一小时。 备份副本可以下载至本地吗？ 不可以。云硬盘备份的备份数据是无法下载至本地的。 如果您有具体需求，可以通过客服电话等方式联系产品售前经理或解决方案经理，我们会根据您的业务为您定制合适的解决方案。 包含应用系统的云硬盘是否可以备份？ 支持备份。 针对数据库或邮件系统等有一致性要求的应用，建议在备份前，暂停所有数据的写操作，再进行备份。 如果无法暂停写操作，则可以将应用系统停止或者将云主机停机，进行离线的备份。 云硬盘备份是否可备份共享盘？ 目前暂时无法对共享盘进行备份，后续将逐渐完善功能。 如果您有具体需求，可以通过客服电话等方式联系产品售前经理或解决方案经理，我们会根据您的业务为您定制合适的解决方案。

本文帮助您快速熟悉创建不同账户下的对等连接的操作方法。 操作场景 不同VPC之间网络不通，您可以通过对等连接连通同一个区域下的VPC。本节指导用户创建不同账户下的VPC对等连接，即需要连通的两个VPC位于不同账户下。 本文档以在账户A下的VPCA和账户B的VPCB之间创建对等连接为例，实现业务服务器ECSA01和数据库服务器RDSB01之间的通信。 图不同账户下的对等连接组网示例 VPC支持本账户与其他账户内相同区域的VPC创建对等连接。与其他账户内相同区域的VPC创建对等连接时，需要对端账户接受对等连接请求，才能建立有效对等连接。 约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 创建不同账户下的对等连接时： 创建不同账户下的VPC对等连接时，如果在账号A下发起创建对等连接请求，需要账号B接受该请求才可以，如果账号B拒绝，则该对等连接创建失败。 为了确保网络安全，请您不要接受来自未知账号的对等连接申请。 前提条件 已在不同账号下，分别创建两个VPC，并且VPC位于同一个区域。

本文帮助您了解无需访问公网的弹性云主机VPC配置方式。 当弹性云主机无需访问公网时，例如用于搭建网站的数据库节点或服务器节点的弹性服务器无需连接公网，虚拟私有云的配置流程如下图所示。 图 配置网络功能 表 配置流程说明 任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升弹性云主机访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的弹性云主机无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。默认规则是在出方向上的数据报文全部放行， 安全组内的弹性云主机无需添加规则即可互相访问。当默认访问规则可以满足需求时， 则无需单独再为该安全组添加安全组规则。

本文帮助您快速熟悉创建同一账户下的对等连接的操作方法。 操作场景 不同VPC之间网络默认不通，您可以通过对等连接连通同一个区域下的VPC。本节指导用户创建相同账户下的VPC对等连接，即需要连通的两个VPC位于同一个账户下。 以在账户A下，创建VPCA和VPCB之间的对等连接为例，实现业务服务器ECSA01和数据库服务器RDSB01之间的通信。 图相同账户下的对等连接组网示例 创建对等连接首先要向需要建立对等连接的VPC发送请求，您可以和自己账户内相同区域的其他VPC申请对等连接，同账户内同区域的VPC创建对等连接，默认自动接受。 约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 前提条件 已在同一个账号下创建两个VPC，并且VPC位于同一个区域。 步骤一：创建VPC对等连接 1. 登录管理控制台，选择目标区域。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧详情区域单击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”，相关参数如下表所示。

本章节主要向您介绍如何删除安全组与安全组规则。 删除安全组 操作场景 当您的安全组不需要使用时，您可以删除不需要的安全组。 约束与限制 系统自带的默认安全组不能删除，默认安全组名称为default。 当安全组已关联至其他服务实例时，比如云主机、云容器、云数据库等，此安全组无法删除。请您将实例从安全组中移出后，重新尝试删除安全组。 当安全组作为“源地址”或者“目的地址”，被添加在其他安全组的规则中时，此安全组无法删除，需要删除该条规则或修改规则，然后重新尝试删除安全组。 比如，安全组sgB中有一条安全组规则的“源地址”设置为安全组sgA，则需要删除或者更改sgB中的该条规则，才可以删除sgA。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，选择目标安全组所在行的操作列下的“更多 > 删除”，弹出删除确认对话框。 3. 根据界面提示完成确认，确认无误后单击“确定”，删除安全组。 删除安全组规则 操作场景 当您不需要通过某条安全组规则控制流量流入/流出安全组内实例时，您可以删除安全组规则。 约束与限制 当您删除安全组规则前，请您务必了解该操作可能带来的影响，避免误删除造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。

虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个未分配给真实弹性云主机网卡的IP地址。弹性云主机除了拥有私有IP地址外，还可以拥有虚拟IP地址，用户可以通过其中任意一个IP（私有IP/虚拟IP）访问此弹性云主机。同时，虚拟IP地址拥有私有IP地址同样的网络接入能力，包括VPC内二三层通信、VPC之间对等连接访问，以及弹性IP、VPN、云专线等网络接入。 您可以为多个主备部署的弹性云主机绑定同一个虚拟IP地址，然后为虚拟IP绑定一个弹性IP，搭配Keepalived，实现主服务器故障后，自动切换至备服务器，打造高可用容灾组网。 公网出入口管理 通过IPv4网关、IPv6网关进行公网出入口管理，弹性公网IP、共享带宽具备包周期、按需等多种灵活的计费方式，具备超大规格带宽能力，可以满足不同客户不同业务的公网访问需求。 云内互联互通 VPC内网络互通，VPC内的资源无论是云主机等计算服务，还是MySQL等数据库服务，均能实现内网相互联通。 通过内网DNS，客户还可以自定义内网域名，把域名解析到专有网络VPC内的云主机、负载均衡、对象存储等云资源，实现云资源在VPC内直接通过内网域名的互相访问。 云上云下互联互通，轻松实现混合云架构 天翼云支持云专线、VPN等多种方式实现云上私有网络和客户IDC的互联互通，进而轻松扩展实现混合云架构。支持云专线/VPN 高速网络打通云上和企业数据中心。云专线独占私有线路，高速，安全 ； VPN稳定，高性价比。用户业务和数据可以云上、线下灵活部署并迁移。

本文主要介绍流量分配策略。 负载均衡器会接收来自客户端的请求，并将请求转发到一个或多个可用区的后端主机中进行处理。请求的流量分发与负载均衡器所绑定的后端主机组配置的分配策略类型相关。 分配策略类型 加权轮询算法：根据后端主机的权重，按顺序依次将请求分发给不同的主机。它用相应的权重表示主机的处理性能，按照权重的高低以及轮询方式将请求分配给各主机，权重大的后端主机被分配的概率高。相同权重的主机处理相同数目的连接数。常用于短连接服务，例如HTTP等服务。 加权最少连接：最少连接是通过当前活跃的连接数来估计主机负载情况的一种动态调度算法。加权最少连接就是在最少连接数的基础上，根据主机的不同处理能力，给每个主机分配不同的权重，使其能够接受相应权值数的服务请求。常用于长连接服务，例如数据库连接等服务。 源IP算法：将请求的源IP地址进行一致性Hash运算，得到一个具体的数值，同时对后端主机进行编号，按照运算结果将请求分发到对应编号的主机上。这可以使得对不同源IP的访问进行负载分发，同时使得同一个客户端IP的请求始终被派发至某特定的主机。该方式适合负载均衡无cookie功能的TCP协议。

产品优势 灵活弹性：生物信息仿真任务具备较高的资源弹性需求，天翼云EHPC可提供自动弹性扩缩容能力，根据任务的提交、完成情况自动扩容、缩容节点，降低使用成本。 缓存加速：生信数据库文件大，并且涉及到反复的IO操作，对共享存储性能提出挑战。天翼云使用数据高效压缩和缓存技术，大幅降低对存储的性能要求，提升集群的节点扩展能力。 软件灵活管理：提供软件仓库和容器化能力支持，封装复杂的生信软件和运行环境，结合调度器的批量任务调度能力，大幅提升工作效率。 搭配使用产品 物理机、弹性云主机、云硬盘、对象存储、弹性文件服务、镜像服务、云监控 芯片仿真与验证 场景说明 芯片厂商普遍使用EDA（电子设计自动化）软件完成超大规模集成电路芯片的功能设计、验证等工作。天翼云弹性高性能计算可为EDA前仿真、后仿真、OPC光学邻近校正等多个阶段提供高性能、灵活接入的集群方案。 产品优势 多种算力选型：提供高性能CPU或大容量内存节点，为EDA不同阶段涉及的软件提供最佳的机型配置，提升单节点CPU能力或提升后仿真作业容量，缩短运行周期。 高性能专线接入：EDA场景对数据安全性要求高，且仿真数据一般部署在云下。天翼云提供多种专线接入方案，提供稳定的接入带宽和超低延迟。 资源统一调度：通过将LSF等调度器对接至云上资源，实现云上云下混合集群，满足本地资源不足时的资源溢出需求。

本节介绍漏洞扫描服务主要的应用场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

主机迁移服务重要声明有哪些？ 具体内容您可请参见免责声明。 迁移源和迁移任务是否有数量限制？ 每用户可激活的迁移源数量上限为1000台; 每用户可创建迁移任务数量为1000个； 每用户可并发执行的迁移任务数量为50台； 每个迁移源同一时刻仅能关联一个未完成状态的迁移任务，未完成状态包括Ready（未开始）、Running（迁移中）、Stopped（已暂停）、InError（出错）和Expired（已过期）。 迁移源绑定是否有限制？ 每迁移源同一时刻仅能绑定一个目标端，对应生成唯一一个“未完成状态”的迁移任务。迁移状态“完成”或“异常”的迁移任务不作为迁移源绑定目标端。 迁移源是否有软硬件、授权限制？ 未授权应用软件、盗版软件、集群数据库、UKey硬件验证以及一些硬件绑定验证都会影响产品的使用。 通过 windows server事件查看器 ，提示因为卷影副本存储增长失败，卷x：的卷影复制被中止如何处理？ 修改卷影创建位置。 1. 打开资源管理器。 2. 选择原卷影盘符右键单击，选择属性。 3. 单击“卷影副本”选项卡, 选择盘符后单击“设置”。 4. 在“存储区域>位于此卷”选择新挂载的磁盘。 5. 在“最大值”选项选择“没有限制”后单击确定。

可用区域 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 访问密钥AK/SK 访问密钥即AK/SK（Access Key ID/Secret Access Key），是用户通过开发工具访问云资源时的身份凭证。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 动态授权 动态授权是授权用户运维操作触发规则集，系统对字符命令或数据库会话操作进行拦截，自动生成授权工单。授权用户若需继续执行操作，需管理员批准工单。 实例审计 云堡垒机实例审计，需开启云审计服务（Cloud Trace Service，简称CTS），实现对CBH实例的操作的记录，CTS管理控制台将保存最近7天的操作记录。 单点登录 单点登录（Single Sign On，SSO）是指在多个独立应用系统环境下，各个应用系统相互信任，在一个应用系统中将用户认证信息映射到其他系统中，多个系统共享用户认证数据。简言之，即用户通过登录一个应用系统，就可以访问其他所有相互信任的应用系统，实现用户单点多系统登录。 安全策略 安全策略是指容器运行时需要遵循的安全规则，如果容器违反了安全策略，系统会在容器运行时通报容器异常。安全策略由用户自定义，包括容器允许运行的进程和容器内只读的文件。