访问验证 1. 创建一个nginx工作负载 进入集群，在菜单栏选中“工作负载”>“无状态”，然后点击“创建Deployment”按钮，如下示例创建nginx工作负载。 2. 创建Ingress，通过新部署的Nginx Ingress Controller提供网络访问 在菜单栏选中“网络”>“路由”，然后点击“新增YAML”，填写以下内容，然后点击“保存”。 plaintext apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: nginx namespace: ingressdemo annotations: nginx.ingress.kubernetes.io/rewritetarget: / spec: ingressClassName: ingressdemo 新创建的Nginx Ingress Controller的ingressClass rules: host: nginx.demo.com 访问的Host地址 http: paths: path: / pathType: Prefix backend: service: name: nginx 目标服务nginx port: number: 80 目标服务nginx端口 3. 通过新部署的Nginx Ingress Controller来访问该应用 在菜单栏选中“网络”>“服务”，找到新部署的Nginx Ingress Controller对应的服务，如下图： 其中集群外地址为Nginx Ingress Controller对应的ELB地址，通过该地址访问应用，可以看到返回正确的nginx页面。 4. 通过集群的Ingress Controller组件来访问该应用 找到Ingress Controller组件对应的服务，如下图： 通过其对应的ELB地址访问nginx应用，可以看到返回404错误。

客户端配置 为了获得更好的性能体验，修改 /etc/modprobe.d/lustre.conf 配置文件（如不存在，可新建同名文件），添加以下内容： plaintext options libcfs cpunpartitions4 options libcfs cpupattern"" 详细参数信息请查看最佳实现：性能调优 设置lnet网络配置 网络加载项 使用以下命令，更新网络加载项配置文件 lustre.conf，参数需要根据实际情况替换。注意用 >> 进行追加，避免覆盖上一步客户端性能调优的配置： plaintext echo e 'noptions lnet networks ( )' >> /etc/modprobe.d/lustre.conf TCP举例 echo e 'noptions lnet networks"tcp0(bond3)"' >> /etc/modprobe.d/lustre.conf IB、RoCE(昇腾服务器环境)举例 echo e 'noptions lnet networks"o2ib0(bond2)"' >> /etc/modprobe.d/lustre.conf 如o2ib0的示例： 参数 替换为挂载地址中的HPFS组网类型，下图红框： tcp0（业务使用以太网TCP的情况，注意末尾有0） o2ib0（业务使用IB的情况：包括IB和RoCE两种网络，注意末尾有0） 参数 替换为网卡的名称，RoCE是通过 ip a grep 100.97查询，IB网通过 ip a grep 100.96查询， 如下图IB组网中，grep 挂载地址中的 ip 100.97 ，确认对应网卡为 bond2。

功能名称 功能描述 发布地域 当前VBS提供了操作存储库、备份及备份策略的API。 详细的提供了API的描述、语法、参数说明及示例等内容。 全部 在创建备份之前，需要首先创建至少一个存储库。存储库用来存放备份，结合底层对象存储，为用户实现高度可靠的数据保护。 创建存储库时，用户可以根据需要将数据冗余策略配置为单AZ存储或多AZ存储。 ● 创建存储库：全部 ● 数据冗余策略：华东1/华北2 当存储库在使用过程中容量不足时，可以选择扩容存储库来满足更大的备份容量需求。 全部 当存储库的计费模式为包年包月，则在存储库到期前，如需要继续使用该存储库，可以续订存储库。 全部 标签通常用于标识云服务资源，可通过标签管理功能对存储库进行分类和筛选。 全部 若不再使用某个存储库中的云硬盘备份，即可退订存储库。 在退订之前，需先清空存储库中所有的备份副本，才可退订成功。退订存储库后，将停止收取费用。 全部 通过备份策略，可以按照预设的策略任务对已绑定的云硬盘资源进行周期性自动备份，确保云硬盘的安全性，能够在云硬盘损坏或数据丢失时快速恢复数据，保证业务稳定运行。 创建备份策略后： ● 可在备份策略中绑定或解绑存储库，将备份策略关联或取消关联到目标存储库中。 ● 可在备份策略中绑定或解绑云硬盘，将备份策略关联或取消关联到目标云硬盘上。 全部 云硬盘备份提供两种配置方式，立即备份和自动备份。 ● 立即备份：即一次性备份，手动创建一次性备份任务。 ● 自动备份：即周期性备份，通过创建备份策略并绑定云硬盘的方式创建的周期性备份任务。 全部 任务列表用于展示当前执行任务的类型、状态、完成情况等信息。 任务类型包括备份任务、删除任务和恢复任务。 华东1 当云硬盘发生故障，或者由于人为误操作导致云硬盘数据丢失时，可以使用已经创建成功的备份恢复数据至源云硬盘。 恢复云硬盘数据之后备份时间点的数据将覆盖云硬盘数据，一旦执行，无法回退，请谨慎操作。 全部 可以使用备份创建新的云硬盘，新建的云硬盘在初始状态就具有备份中的数据。 使用备份创建的新云硬盘的可用区、磁盘类型、容量支持修改，其他参数如磁盘模式、磁盘加密默认和源云硬盘一致，无法修改。 全部 云硬盘备份支持的监控指标，包括存储库使用量、存储库使用率。同时也支持创建事件告警，包括备份副本创建失败、云硬盘备份策略调度失败。 ● 指标监控：华东1/重庆2/武汉4/上海7/内蒙6/芜湖2/九江/贵州3/拉萨3/杭州2/南京3/南京4/南京5/海口2/昆明2/广州6/华北2/华南2/佛山3/郴州2/北京5/成都4/乌鲁木齐7 ● 事件监控：上海36/华东1/南昌5/杭州7/南宁23/长沙42/武汉41/华南2/西安7/庆阳2/西南1/西南2贵州/青岛20/华北2/郑州5/太原4/呼和浩特3 包年包月采用包周期预付费的计费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 如果您需要更灵活的计费方式，按照存储库的实际使用时长计费，您可以将存储的计费方式转为按需付费。 西安7/太原4/华东1/华北2/郑州5/西南2贵州/长沙42/华南2/杭州7/武汉41/庆阳2/呼和浩特3/乌鲁木齐7 云硬盘备份通过云硬盘与对象存储服务的结合，将云硬盘的数据备份到对象存储中，高度保障用户的备份数据安全。 针对加密云硬盘的备份，备份数据自动加密保存。 南宁23/华东1/南昌5/华南2/西安7/太原4/华北2/郑州5/西南2贵州/杭州7/庆阳2/呼和浩特3/长沙42 统一身份认证（Identity and Access Management，简称IAM）服务，是供用户进行权限管理的基础服务，可以保证安全的控制云服务和资源的访问及操作权限。 IAM主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 全部

前提条件 已创建存储库。 客户端状态为已激活。 操作步骤 方法1：在备份计划页面创建备份计划 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。单击左侧“ECS文件备份”或“本地文件备份”按钮，进入文件备份控制台。 4. 单击“备份计划”按钮，进入备份计划页面。单击“创建备份计划”按钮，在弹出页面配置如下内容： 参数 说明 详细说明 参考取值 备份计划名称 您可自定义计划名称 可不填，系统自动生成。只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 backuptest ECS名称/客户端名称 ECS文件备份为云主机名称，本地文件备份为客户端名称 备份计划绑定的云主机或本地客户端名称。 ecmxxxx 存储库名称 计划绑定存储库的名称 存储库和备份的ECS/本地服务器需在同一区域。 test 备份目录规划 备份计划中设置的备份目录。显示计划中指定、排除文件目录或文件的规则信息 可选择全部目录 、指定目录或高级规则 。 全部目录：选择全部目录后，备份系统会自动过滤系统特殊目录，这些目录将不会加入备份计划，如/dev、/proc、/sys。 指定目录：选择指定目录后，需要指定备份文件路径。单击新增目录可自定义多个备份目录，最多可以添加10条。 路径输入规则： 不能包含/dev、/proc、/sys或子目录； 不支持通配符，且必须为绝对路径； 单条备份路径的字符最长为4095。 高级规则：您可以指定目录加入备份计划。同时可以通过“备份文件规则”选择文件加入备份计划。提供包括所有文件 、 包含下列文件 、排除下列文件三种规则。包含和排除文件需要用户手动输入路径或者文件。路径输入规则同上。 注意 : 1.不建议对系统路径进行备份，具体请参考上方约束与限制 2.包含和排除文件文件所输入的文件列表路径必须在备份文件路径之下。 全部目录 备份周期 配置备份计划执行的时间间隔 间隔时间单位为每月、每周、每天、每小时。 每月：指定在每月的几日几时进行备份。 每周：指定在每周的周几几时进行备份。 每天：指定在每天的几时进行备份。 每小时：每小时进行一次备份。 每天 00：00时 全量备份配置 配置是否启用定期全量备份 启用： 启用此选项后可按配置的频次定期进行全量备份，频次的设置范围为0100，设置0表示每次备份都执行全量备份，两次全量备份的间隔时间不可小于1天，建议合理设置备份周期与全量备份频次。 不启用： 备份策略不会定期执行全量备份操作，默认在绑定的存储库的首次备份进行全量备份，后续进行永久增量备份。 说明：若保留规则选择按数量保留，全量备份配置频次需要小于保留的备份数量，否则不会按配置的全量备份频次进行定期全量备份。 每执行10次增量备份后，执行一次全量备份 保留规则 配置保留备份副本的时间 提供按时间、按数量和永久保留三种规则。 按时间：当选择按时间保留时，需要配置保留该备份的时间。时间单位：天、周、月、年。 注意：最小保留周期为1天，最大输入9999年。 按数量：该备份计划产生的备份副本保留的总份数，取值范围为12000 永久保留：系统不会自动删除备份，直至您手动删除。 按时间：30天 高级保留选项 若选择了按数量保留，还可以配置高级保留选项进行备份副本的长期保留 高级保留选项与按数量保留规则共同生效。 保留天备份：取值范围为0100，保留指定周期内每天最新的一个备份副本，例如设置为10，则会保留前10天每天最新的备份副本 保留周备份：取值范围为0100，保留指定周期内每周最新的一个备份副本，例如设置为5，则会保留前5周每周最新的备份副本 保留月备份：取值范围为0100，保留指定周期内每月最新的一个备份副本，例如设置为3，则会保留前3月每月最新的备份副本 保留年备份：取值范围为0100，保留指定周期内每年最新的一个备份副本，例如设置为2，则会保留前2年每年最新的备份副本 说明：可同时设置天备份、周备份、月备份和年备份，会取并集进行保留。即设置保留天备份为10，周备份为2时，总共会保留12份备份。长期保留规则与按数量保留可以同时执行，不会产生冲突。 保留前5周每周最新的备份副本 备份流量限制 配置指定时间段的备份流量速度上限 限速时间段：配置需要进行流量限制的起止时间 流量限制：配置该时间段的流量速度上限 注意：使用备份流量限制的客户端版本需不低于v2.4.0，最多可配置4个时间段。 9：00到18：00进行5MB/s的流量速度限制 5. 单击“确定”，备份计划状态为“创建中”，等待状态变为“正常运行”，即完成备份计划的创建。 6. 备份计划创建成功时默认开始执行，在下一个备份时间点会自动备份数据，若需暂停计划请参考“暂停备份计划”。若需立即执行一次备份，请单击“立即执行”。

本节介绍了创建并通过MySQLFront连接TaurusDB实例的相关内容。 TaurusDB实例创建完成后，可以先登录到Windows弹性云主机，在ECS上安装MySQLFront（以MySQLFront为例），然后通过MySQLFront使用内网IP连接到实例。 MySQLFront是一个用于MySQL数据库的Windows前端管理工具。允许用户通过图形界面与MySQL数据库进行交互，包括连接到数据库、执行SQL命令、管理数据表和记录等。 操作流程 操作步骤 说明 步骤1：创建TaurusDB实例 选择TaurusDB的基础配置、高级配置信息，购买数据库实例。 步骤2：创建ECS 购买Windows ECS，并确认ECS实例与TaurusDB实例在同一区域、同一VPC内。 步骤3：测试连通性并安装MySQLFront 测试ECS到TaurusDB实例内网IP和端口的网络连通性，并在ECS上安装MySQLFront。 步骤4：使用MySQLFront连接实例 使用MySQLFront通过内网IP和端口连接TaurusDB实例。 步骤1：创建TaurusDB实例 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 TaurusDB”。 步骤 4 在“实例管理”页面，单击“创建数据库实例”。 步骤 5 在“创建数据库实例”页面，填写并选择实例相关信息后，单击“立即创建”。 表 基本信息 参数 描述 计费模式 选择“按需计费”。 区域 实例所在区域。 须知 不同区域的资源之间内网互不相通。请选择靠近您业务的区域，可以降低网络时延，提高访问速度。 实例创建成功后不能更换区域，请谨慎选择。 实例名称 实例名称长度最小为4个字符，最大为64个字符且不超过64个字节（一个中文字符占用3个字节），必须以字母或中文开头，区分大小写，可以包含字母、数字、中划线、下划线或中文，不能包含其他特殊字符。 创建多个数据库实例时，名称自动按序增加4位数字后缀。例如输入instance，从instance0001开始命名；若已有instance0010，从instance0011开始命名。 批量创建的实例名称长度在4个到59个字节之间，可以包含字母、数字、中划线、下划线或中文（一个中文字符占用3个字节），不能包含其他特殊字符。 数据库引擎版本 TaurusDB V2.0。 实例类型 支持集群版和单机版。 集群：集群版包含1个主节点和最少1个最多15个只读节点。主节点处理读写请求，只读节点仅处理读请求。主节点如果发生故障，只读节点会自动切换为主节点，保证数据库的高可用。适用于中大型企业的生产数据库，覆盖互联网、政企税务、银行保险等行业。 单机：单机版只有1个主节点，没有只读节点。单机版无需处理多个节点之间的同步协作，易满足ACID事务需求。适用于个人学习、微型网站以及中小企业的开发测试环境。 可用区类型 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 单可用区：主节点和只读节点部署在同一个可用区。 多可用区：您选择主可用区，创建的只读节点会均匀分布在各可用区之间，保证高可靠性。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期不可修改。 表 规格与存储 参数 描述 性能规格 不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 CPU架构 CPU架构分为X86和鲲鹏。 节点数量 每个实例默认只有1个主节点，其余节点为只读节点，单次创建最多可批量申请9个只读节点。 实例创建成功后，您可根据业务需要，添加只读节点，具体请参见创建只读节点。 存储设置 您的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。 表 网络设置 参数 描述 虚拟私有云 TaurusDB数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离，以提高网络安全性。 您需要选择所需的虚拟私有云和子网。如果没有可选的虚拟私有云，TaurusDB会为您分配一个默认的虚拟私有云（defaultvpc），您也可以使用已有、新建VPC和子网。 须知 TaurusDB实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 内网安全组 内网安全组限制实例的安全访问规则，加强TaurusDB数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，TaurusDB数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表 数据库配置 参数 描述 管理员账户名 数据库的登录名默认为root。 管理员密码 所设置的密码，长度为8~32个字符，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符~!@

本节主要介绍存储池的错误码。 HTTP status 错误码 错误信息 描述 400 CanNotAddNodeToPool The node nodeName has no available paths added to storage pool poolname. 该节点没有可用的path节点添加到存储池。 400 CanNotDeleteBasePool The storage pool with name poolNamecan not be deleted. It is a base pool. 无法删除基础存储池。 400 CanNotDeleteNode The node nodeNamecan not be deleted. Please remove its child nodes and try again. 该节点不能移除，需要先移除它的子节点后才能移除该节点。 400 CanNotDeleteRootNode The type of node nodeNameis root, it cannot be deleted. 不能删除根节点。 400 CanNotMoveNode The node nodeNamecan not be moved. Please make sure the node type is not lower than the fault domain level of storage pool which its leaf node belongs to. 节点不满足重新映射条件，请修改后重试。 400 DuplicatedNode The node with name nodeNameis not unique in the topology. 节点名称在集群中不唯一。 400 ExceedThreshold The number of operation cannot exceed value. 超出了系统允许的最大个数，无法执行该操作。 400 InvalidEnumValue Value value at 'node type' failed to satisfy constraint: Argument must satisfy enum value set: [value1, value2...] 节点类型错误，不符合枚举值。 400 InvalidFile Failed to parse file filename. 文件格式不正确。 400 InvalidNodeName Value value at 'node name' failed to satisfy constraint: Argument must contain only letters, digits, dots (.), underscores () or hyphens (), and does not exceed 63 characters, must begin with a letter or digit. 节点名称不正确。长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 400 InvalidNodeType Value valueat 'node type' failed to satisfy constraint: the first node type must be root. 节点类型的包含关系错误，第一个节点必须是root。 400 InvalidNodeType Value valueat 'node type' failed to satisfy constraint: childNodes of room are limited to [rack, server], childNodes of rack to [server], childNodes of server to [path] only. 节点类型的包含关系错误。room的节点仅限于rack、server，机架的子节点是server，server的子节点是path。 400 InvalidPathStatus The path path status is 'status', the request is invalid. 数据目录状态不正确，无法执行操作。 400 InvalidPoolName Value valueat 'pool name' failed to satisfy constraint: Argument must contain only letters, digits, underscores () or hyphens (), and does not exceed 16 characters, must begin with a letter or digit. 存储池名称不正确。 400 InvalidTopology Failed to parse topology. 拓扑格式不符合要求。 400 InvalidTopologyContent The content of the topology is not compliant. 拓扑文件内容解析错误。 400 InsufficientPath The base storage pool must have at least one disk path. 基础存储池至少要有一个数据目录。 400 LUNCorruptedRisk There is a LUN with redundancy mode, which has the minimum requirement for the number of fault domains. LUN: lunName1 [, lunName2....] Removing the node may cause data loss. You can use force remove. When using this option, there may be a risk of data loss. 节点移除后会造成卷数据损毁：lunName1[, lunName2....]。移除节点可能会引起数据丢失。只能使用强制移除。请注意，强制移除，会产生数据丢失风险，请谨慎操作。 400 LUNExists There are LUNs in this storage pool Please delete all LUNs and try again. 存储池关联的卷不存在。 400 MissingRequiredAncestorNode The node nodeName has no ancestor node with type nodetype. 没有对应的父节点类型。 400 MissingRequiredDescendantNode The node nodeName has no descendant node with type nodetype. 没有对应的子节点类型。 400 NodeAlreadyExists The node with name nodeNamehas already exists in the topology. 节点名称已经在拓扑图中存在。 400 NodeNotAllowed The type of node nodeNameis type, the request is invalid. 节点名称和节点类型不匹配。 400 NoSuchFile The file with name filenamedoes not exist. 文件不存在。 400 NoSuchNode The node with name nodeNamedoes not exist. 节点不存在。 400 NoSuchStoragePool The storage pool with name poolNamedoes not exist. 存储池不存在。 400 NodeTypeNotMatch Node type does not match. Please check parent node type. 节点类型不匹配，请检查父节点。 400 PathConflict Can not use path pathNamebecause it belongs to another storage pool. 不能添加该节点，因为该节点已经属于其他存储池。 400 PermissionDenied Failed to actionbecause user has no permission. 用户的权限不足，无法执行操作。 400 PoolAlreadyExists The storage pool with name poolNamealready exists. 存储池名字已经存在。 400 RemoveFaultDomainRisk Can not remove multiple fault domains at the same time. You can use force remove. When using this option, there may be a risk of data loss. 无法同时移除的多个故障域。 400 RemoveNodeRisk The node nodeNameor its child nodes are being used by a storage pool. Removing the node may cause data loss. You can use force remove. When using this option, there may be a risk of data loss. 移除节点可能会引起数据丢失。只能使用强制移除。请注意，强制移除，会产生数据丢失风险，请谨慎操作。 400 SamePool Cannot use the same storage pool poolName. 不能使用名字相同的存储池。 400 StandaloneModeNotAllowed 'operation' is not supported by standalone mode of HBlock. 单机版本HBlock不支持该操作。 400 SystemCrashRisk The node nodenamecan not be removed because there is only one available fault domain left in the base storage pool, or the node is related to multiple fault domains in the base pool, removing node may result in a system crash. 无法移除节点，存在以下情况之一，移除节点可能引发系统崩溃：基础存储池仅剩一个可用故障域时，无法移除故障域内的任何节点；节点涉及基础存储池的多个故障域。 409 InvalidPoolStatus The status of storage pool poolNameis 'status', the request is invalid. 存储池当前的状态不正确，请求无效。

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

天翼云弹性高性能计算支持使用LAMMPS做分子动力学模拟,本文为您介绍该应用场景下的操作步骤。 背景信息 LAMMPS全称Largescale Atomic Molecular Massively Parallel Simulator，是一款经典分子动力学软件，用于模拟液态、固态或气态的粒子集合，广泛应用于材料、物理、化学等模拟场景。 准备工作 ● 已创建弹性高性能计算EHPC集群。 ● 已创建集群用户。 ● 需要安装的软件：安装Intel OneAPI、准备LAMMPS安装包。 操作步骤 1.编译。 shell 加载Intel工具包中的环境变量 module load libpmi/4.1.2/gcc4.8.5 compilerrt/2022.1.0 mpi/2021.6.0 mkl/2022.1.0 icc/2022.1.0 gcc/11.4.0 下载LAMMPS源代码压缩包 wget P /share 解压LAMMPS源代码 tar xf lammps.tar.gz C /share cd /share/lammps2Aug2023/src 进入/mnt/lammps2Aug2023/src/MAKE/OPTIONS目录，修改Makefile.intelcpuintelmpi vi MAKE/OPTIONS/Makefile.intelcpuintelmpi 在OPTFLAGS 中增加以下内容 O3 g DLAMMPSBIGBIG DLAMMPSMEMALIGN64 编译 make j $(nproc) yesmost make j $(nproc) yesintel make j $(nproc) intelcpuintelmpi 运行测试 mpirun np 2 lmpintelcpuintelmpi sf intel in pk intel /share/lammps28Mar2023/examples/melt/in.melt 2.运行测试文件。 编辑 in.lj.billion文件如下所示：

针对资源退订操作，为您进行说明，请在退订前务必阅读以下内容。 退订情况说明 客户（天翼云用户）可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订。 七天无理由全额退订 容灾管理中心、主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备不支持七天无理由退订。 故障演练包在满足以下全部条件的前提下，享受七天无理由全额退订： 在资源开通的7天内发起退订。 资源未使用。 非七天无理由退订 不符合七天无理由全额退订条件的退订，都属于非七天无理由退订。非七天无理由退订，不限制退订次数，但退订需要收取相应的使用费用和退订手续费，具体费用以退订时展示的费用为准。 退订规则说明 容灾管理中心/主机高可用/持续数据保护/数据定时灾备/数据库双活/文件存储数据灾备/对象存储数据灾备退费规则 按订购时间计算退费金额：预付费退款金额订单实付金额已消费金额退订手续费。 已消费金额天单价实际使用天数，其中： 天单价总销售金额（即现金支付部分）/总订购时长 总订购时长订单结束日期订单开始日期 实际使用天数退订单创建日期订单开始时间+1

本节介绍了XEN实例变更为KVM实例(Linux自动配置)的操作场景、约束与限制、操作流程、后续处理。 操作场景 Linux操作系统XEN实例变更为KVM实例前，必须已完成必要的驱动安装和配置。 本节操作指导您使用自动化脚本的方式为Linux云主机安装驱动、配置磁盘自动挂载等，并将XEN实例变更为KVM实例。 说明 XEN实例：S1、C1、C2、M1型弹性云主机。 KVM实例：参考 为了同时支持XEN虚拟化和KVM虚拟化，Linux弹性云主机的正常运行需依赖于xenpv驱动、virtio驱动等。XEN实例变更为KVM实例前，需要确保Linux弹性云主机已完成相关配置，包括安装驱动、配置磁盘自动挂载等。 约束与限制 Linux操作系统云主机如果存在由多个物理卷组成的LVM逻辑卷或组建了RAID磁盘阵列，均不支持变更规格，否则可能会导致数据丢失。 对于XEN实例，当挂载的VBD磁盘超过24块时，不支持将规格变更为KVM实例。 系统支持将“XEN实例”变更为“KVM实例”，不支持将“KVM实例”变更为“XEN实例”。 操作流程 XEN实例变更为KVM实例的操作流程如下图所示。 图 Linux云主机变更流程（自动配置） 具体的变更操作如下表所示。 表 XEN实例变更为KVM实例（自动配置） 序号 任务 :: 步骤1 步骤1：制作系统盘快照 步骤2 步骤2：使用脚本自动安装驱动 步骤3 步骤3：变更规格 步骤4 （可选）步骤4：检查磁盘挂载状态 步骤1：制作系统盘快照 如果云主机未安装驱动就执行了变更规格的操作，云主机无法正常使用，需要重装操作系统才能恢复，可能造成您的系统盘数据丢失。因此，建议您先制作系统盘快照，防止数据丢失。创建快照参考 ~/resizeecsmodifylinux.sh 其中，URL为规格变更优化脚本的下载地址。 3. 执行以下命令，运行脚本，该脚本会自动检查并安装原生xenpv驱动、virtio驱动。 bash resizeecsmodifylinux.sh 图 运行脚本 4. 请耐心等待脚本运行结束。 该脚本在确认驱动安装成功后会自动为云主机设置标签，标记驱动安装成功，没有设置标签的云主机无法执行变更规格的操作。 如果回显提示“{镜像名称} already contain xen and virtio driver”，表示检查并安装驱动成功。 回显提示“Success to set kvm meta!”或“this server already has kvm meta.”，表示设置标签成功，请继续执行步骤3：变更规格。 回显提示“Failed to set metadata, please try again”，表示设置标签失败，可稍后重试执行脚本。 如果安装失败请参考XEN实例变更为KVM实例（Linux手动配置）手动配置或者联系客服寻求技术支持。 您可以执行步骤3：变更规格。否则，请尝试重新运行脚本或联系客服寻求技术支持。 图 运行成功 说明 请务必确保云主机配置成功，否则，可能会导致变更规格后的弹性云主机不可用。如果安装失败请参考 脚本安装失败常见问题请参考： 步骤3：变更规格 1. 登录控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，查询待变更弹性云主机状态。 如果不是关机状态，单击“操作”列下的“更多 > 关机”。 4. 单击“操作”列下的“更多 > 变更规格”。 系统进入“云主机变更规格”页面。 5. 根据界面提示，选择变更后的云主机类型、vCPU和内存。 6. （可选）选择“专属主机”。 对于在专属主机上创建的弹性云主机，系统支持更换云主机所在的专属主机。 此时，您可以单击下拉列表，选择更换专属主机。如果下拉列表中无可用的专属主机，说明专属主机所剩资源不足，不能用于创建变更规格后的弹性云主机。 7. 勾选复选框“我确认已完成对弹性云主机的配置”，确认已完成“配置弹性云主机”操作。 8. 单击“确定”。 说明 如果变更规格失败后，弹性云主机无法使用，可能会需要重装操作系统来恢复云主机，请注意重装操作系统会清除系统盘数据，但不影响数据盘的数据。 （可选）步骤4：检查磁盘挂载状态 XEN实例变更为KVM实例时，可能会发生磁盘挂载失败的情况，因此，变更规格后，需检查磁盘挂载状态是否正常。如果正常，则变更成功。 Linux弹性云主机 详细操作请参考Linux弹性云主机变更规格后磁盘脱机怎么办？

本文主要介绍如何添加HTTP监听器 HTTP协议适用于需要对数据内容进行识别的应用，如Web应用、小的手机游戏等。您可以添加一个HTTP监听器转发来自HTTP协议的请求。 说明 前端协议为“HTTP”时，后端协议默认为“HTTP”，且不支持修改。 如果您的独享型负载均衡实例类型为网络型（TCP/UDP），则无法创建HTTP监听器。 添加独享型负载均衡HTTP监听器 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要添加监听器的负载均衡名称。 5. 切换到“监听器”页签，单击“添加监听器”，配置监听器。 独享型负载均衡配置监听器参数说明表 参数 说明 示例 ::: 名称 监听器名称。 listenerpnqy 前端协议/端口 负载分发的协议和端口。 协议选择HTTP，端口取值范围[165535]。 HTTP/80 重定向 重定向开关是否开启。 协议类型为HTTP时，可根据需要设置该项。需要保证业务建立安全连接时，若同时创建了HTTPS监听器和HTTP监听器，可以通过重定向功能，将HTTP监听器访问重定向至HTTPS监听器。 HTTP监听器被重定向后，会返回301返回码。 重定向至 选择需要重定向HTTPS监听器的名称。 listener9ecd（HTTPS/443） 高级配置 访问策略 支持通过白名单和黑名单进行访问控制： 允许所有IP访问 黑名单 白名单 黑名单 IP地址组 设置白名单或者黑名单时，必须选择一个IP地址组。如果还未创建IP地址组，需要先创建IP地址组。 ipGroupb2 空闲超时时间（秒） 如果在超时时间内一直没有访问请求，负载均衡会中断当前连接，直到下一次请求到来时再重新建立新的连接。 时间取值范围[04000]。 60 请求超时时间（秒） 客户端向负载均衡发起请求，如果在超时时间内客户端没有完成整个请求的传输，负载均衡将放弃等待关闭连接。 时间取值范围[1300]。 60 响应超时时间（秒） 负载均衡向后端云主机发起请求，如果超时时间内接收请求的后端云主机无响应，负载均衡会向其他后端云主机重试请求。如果重试期间后端云主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。 时间取值范围[1300]。 说明： 当开启了会话保持功能时，响应超时时间内如果对应的后端云主机无响应，则直接会返回HTTP 504错误码。 60 描述 对于监听器描述。 字数范围：0/255。 标签 可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的，其中“键”值是唯一的。 6. 单击“下一步”，配置后端主机组及配置健康检查。 独享型负载均衡配置后端主机组参数说明表 参数 说明 示例 后端主机组 把具有相同特性的后端云主机放在一个组。说明：使用已有后端主机组时，请确保此后端主机组未被使用。 并且只能选择前端协议匹配的后端主机组。例如前端协议是TCP时，后端协议只能是TCP。 新创建 名称 后端主机组名称。 servergroupsq4v 后端协议 云云主机开通的协议。前端协议为HTTP时，后端协议默认为HTTP，不支持修改。 HTTP 分配策略类型 负载均衡采用的算法。说明：用户可以根据自身需求选择相应的算法来分配用户访问流量，提升负载均衡能力。 对于加权轮询算法和加权最少连接，当云主机的权重为“0”时，将不会被分发访问请求。 加权轮询算法 会话保持 开启会话保持后，弹性负载均衡将属于同一个会话的请求都转发到同一个云主机进行处理。 说明：当分配策略类型为“加权轮询算法”或"加权最少连接”时，可配置会话保持。 会话保持类型 前端协议为HTTP或HTTPS时，支持负载均衡器cookie类型的会话保持。 负载均衡器cookie 会话保持时间（分钟） 当分配策略类型选择“加权轮询算法”或“加权最少连接”，会话保持开启后，需添加会话保持时间。 四层会话保持的会话保持时间取值范围为[1，60]。七层会话保持的会话保持时间取值范围为[1，1440]。 20 慢启动 慢启动默认关闭。当开启慢启动时，负载均衡器向该模式下的后端云主机线性增加请求分配权重， 当配置的慢启动持续时间期限结束后，负载均衡器向后端云主机发送完整的请求比例，此后本次添加的后端云主机退出慢启动模式。 慢启动时间（秒） 配置慢启动的时间。取值范围为30~1200，默认为30秒。 30 描述 后端主机组的描述。字数范围：0/255。 7. 配置健康检查参数。 独享型负载均衡配置健康检查参数说明表 参数 说明 示例 ::: 是否开启 开启或者关闭健康检查。 协议 健康检查支持HTTP、TCP、HTTPS协议，设置后不可修改。 HTTP 域名 健康检查的请求域名。 默认值为空，由数字、字母、‘’、‘.’组成的字符串，只能以数字或字符开头。 只有健康检查协议为HTTP时，需要设置。 www.elb.com 高级配置 检查间隔（秒） 每次健康检查响应的最大间隔时间。 取值范围[150]。 5 超时时间（秒） 每次健康检查响应的最大超时时间。取值范围[150]。 3 检查路径 指定健康检查的URL地址。当“协议”为HTTP时生效。检查路径只能以/开头，长度范围[180]。 支持使用英文字母、数字和‘’、‘/’、‘.’、‘%’、‘&’以及特殊字符~';@$+,!:()。 例如： 访问链接为： 访问链接为： /index.html 最大重试次数 健康检查最大的重试次数，取值范围[110]。 3 8. 单击“完成”。

开启binlog并设置格式 binlogformatrow binlogrowimagefull expirelogsdays7 binlog日志保留时间 gtidmode on 开启gtid enforcegtidconsistency 1 defaulttimezone '+8:00' 设置时区，解决CST夏令时的问题 maxconnections 1000 设置最大连接数 4. 重启MySQL。 5. 确认待迁移对象中是否包含触发器。 > 如果将触发器作为结构的一部分，在DTS的调度逻辑上，触发器会先于全量迁移被迁移到TeleDB。这样可能会影响到全量迁移，导致数据不一致。 > 建议将触发器放到全量迁移之后，再新建一个迁移任务进行迁移。 6. 数据及业务信息统计 > 如果为非测试任务，需要在迁移之前统计业务以及迁移信息，方便进行迁移任务规划。 资源信息： 源库规格信息，例：4C8G + 500G + SSD 目标库磁盘信息：例：4C8G + 500G + SSD 网络情况：例：为测试环境纯内网传输，无复杂的网络拓补结构 数据信息： 总数据量，例如30GB 总库表数量：例：40个库，8000张表，2000个视图，5个触发器 每日新增数据量级，例：一天的binlog日志新增大概100GB 是否所有表都有主键，建议迁移前完善主键，提高性能，方便运维。 注意 如果存在无主键的表，则增量阶段源端对应表的增、删、改操作不会同步至目标端，可能导致数据不一致，请谨慎评估。 业务类 规划迁移批次，例：规划分3次进行迁移，迁移时间每天晚上20:0006:00，日期为20230918至20230920。 注意 实际迁移操作请与数据库全量备份操作错开，以免交叉影响，否则可能会导致备份失败，同时影响迁移效率。 数据迁移是否可停业务，例：能/不能 增量迁移情况，例：开启增量迁移，持续时间5天 可停业务时间长度，例：服务停机时间预计48小时 业务中是否存在百万级别的大事务，例：存在，涉及对表CLOUD.LOGS进行大事务操作，存在一个存储过程用不带where条件的delete语句定期清理该表。 操作步骤 1. 进入迁移页面单击TeleDBDCP数据库管理平台左上角，可跳转到DTS管理服务页面。 2. 数据页面列表实例开通后，存在待配置 状态实例，单击操作 列的 实例配置 ，进入配置页面。 3. 配置源库及目标库信息 1. 进入实例配置第一个步骤的配置源库及目标库信息 页面，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。TeleDB的连接信息可以从TeleDB管理控制台看到，选择协调节点的主节点信息进行连接。在测试环境下，源库所在主机可通过连接网线到测试样品内网，并指定IP地址后，填写相应信息。 2. 完成上述信息的填写后，单击源数据库和目标数据库的检测联通性并进行下一步按钮进行数据库连接测试，检查数据库能否正常连接。 4. 配置迁移对象及高级配置 源库和目标库连通性测试成功后，进入实例配置第二个步骤的配置迁移对象及高级配置页面，在“源库对象”中展开库后，选择要迁移的源库对象，选中后单击“>”按钮，将待迁移对象移动到“已选择对象”中。 5. 预检查并启动。 完成迁移对象和高级配置后，单击 下一步预检查 ，进入实例配置第三个步骤的预检查并启动页面。预检查会检查如下列表信息，并给出检查结果，用户可以依据检查结果进行下一步操作。 > 检查项 检查内容 > > 待迁移表主键检查 检查待迁移表是否都存在主键。 > 存储引擎检查 检查源库中待迁移表的存储引擎是否满足要求。 > 源库binlog存在性检查 查看源库的binlog文件是否被误删除。 > 源库binlog影像类型检查 查看源库的binlogrowimage参数是不是FULL。 > 源库binlog是否开启检查 查看源库的logbin参数是不是ON。 > 源库binlog模式检查 查看源库的binlogformat参数是不是ROW。 > 源库binlog保留时间检查 检查源库的binlog保留时间是否满足要求 > 源库和目标库字符集一致性检查 检查源库和目标库的字符集是否一致。 > 源库用户权限检查 检查源库用于DTS任务的用户是否具有相应的权限。 > 源库连通性检查 检查数据传输服务能否连通源数据库。 > 目标库用户权限检查 检查目标库用于DTS任务的用户是否具有相应的权限。 > 目标库连通性检查 检查数据传输服务器能否连通目标数据库。 > 约束完整性检查 检查待迁移对象中所有表的约束外键所属对象是否被选中。 > 如果预检查通过，可单击【预检查】页面底部的“启动迁移”按钮，开始迁移任务。也可以直接单击 “数据迁移”页签，返回数据迁移列表。注意，如果预检查中有错误项，数据迁移将无法开始；如果有警告项，数据迁移任务可以运行，但可能会出现一些问题。 直接返回迁移列表，迁移任务将处于未启动状态。 勾选实例，然后单击 开始任务 ，直到数据迁移实例完成（没有增量迁移），或者处于增量迁移状态。运行到增量迁移后，如果显示未运行，稍等一会会进入增量运行中。

术语 说明 cURL cURL是一个利用URL语法在命令行下工作的文件传输工具，可用于检测系统是否可以访问目标站点。 Dig Dig是一个在类Unix命令行模式下查询DNS信息（包括NS记录、A记录、MX记录等）的工具。 基线核查 基线核查是指对主机操作系统、数据库、软件和容器的配置进行安全检测，并提供检测结果说明和加固建议。 基线核查可以帮您进行系统安全加固，降低入侵风险并满足安全合规要求。 漏洞扫描 漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。 引擎 本文的“引擎”为扫描核心技术，即最终进行漏洞扫描工作的服务。 资产 即扫描器所扫描的主机、数据库、网站等。 DDoS 分布式拒绝服务攻击（Distributed Denial of Service Attack，DDoS）是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。 EDR 端点检测与响应（Endpoint Detection & Response，EDR）是一种主动的安全方法，可以实时监控端点，并搜索渗透到防御系统中的威胁。EDR是一种新兴的技术，可以更好地了解端点上发生的事情，提供关于攻击的上下文和详细信息。 认证 是一种信用保证形式。按照国际标准化组织（ISO）和国际电工委员会（IEC）的定义，由国家认可的认证机构证明一个组织的产品、服务、管理体系符合相关标准、技术规范（TS）或其强制性要求的合格评定活动。 虚拟机 虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。 在实体计算机中能够完成的工作在虚拟机中都能够实现。 在计算机中创建虚拟机时，需要将实体机的部分硬盘和内存容量作为虚拟机的硬盘和内存容量。每个虚拟机都有独立的CMOS、硬盘和操作系统，可以像使用实体机一样对虚拟机进行操作。 AES 密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES（Data Encryption Standard），已经被多方分析且广为全世界所使用。 Apache Apache是一款Web服务器软件。它可以运行在几乎所有广泛使用的计算机上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。 CC攻击 CC攻击（Challenge Collapsar Attack，挑战黑洞攻击）是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量假冒合法的请求，造成被攻击服务器资源耗尽，一直到宕机崩溃。 DES DES（Data Encryption Standard，数据加密标准）是一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来。 HA 高可靠性（High Availability，简称HA）能够在通信线路或设备发生故障时提供备用方案，防止由于单个产品故障或链路故障导致网络中断，保证网络服务的连续性。 LACP LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种基于IEEE802.3ad标准的协议。 LACP协议通过LACPDU（Link Aggregation Control Protocol Data Unit，链路聚合控制协议数据单元）与对端交互信息。链路聚合往往用在两个重要节点或繁忙节点之间，既能增加互联带宽，又提供了连接的可靠性。 LDAP LDAP（Lightweight Directory Access Protocol，是轻量目录访问协议）是互联网上目录服务的通用访问协议。 LDAP服务可以有效解决众多网络服务的用户账户问题，LDAP服务器是用于查询和更新LDAP目录的服务器，包括用户账号目录。 MTU 最大传输单元（Maximum Transmission Unit，MTU）用来通知对方所能接受服务单元的最大尺寸，说明发送方能够接受的有效荷载大小。 SSL SSL（Secure Sockets Layer，安全套接字协议）及TLS（Transport Layer Security，继任者传输层安全）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。 VRRP 虚拟路由冗余协议（Virtual Router Redundancy Protocol，简称VRRP）是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，它是一种路由容错协议，也可以叫做备份路由协议。 WebShell Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称为一种网页后门。 黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器Web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP（Simple Network Management Protocol，简单网络管理协议）是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL（Structured Query Language，结构化查询语言）是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。 Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

本文介绍域名管理模块所涉及的功能。 概述 通过对域名管理相关的功能模块进行概括性介绍，方便您全面了解当前天翼云全站加速已支持的相关功能以及指引您快速找到对应功能的介绍入口，更快上手。 相关功能 相关管理模块功能简介如下： 功能 说明 []( 客户往往会存在多个域名需要配置，而配置又是相同的情况，这时我们提供批量配置域名的方式可以使客户快速、便捷的接入域名。 []( 介绍全站加速域名管理中的工单，它是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 []( 简述什么是标签和标签组，如何创建/删除标签和标签组，如何绑定/解绑标签，如何使用标签管理域名、筛选数据。 []( 简述基础配置所涉及的配置，包含：域名名称、加速类型选定、域名类型选定、加速区域选定、IPv6开关。 []( 简述天翼云全站加速产品回源相关的功能和配置，包括：源站地址、动态回源策略、回源协议、源站端口、回源HOST、回源SNI、回源HTTP请求头、回源HTTP响应头、回源URI改写、回源参数改写、Common name白名单、回源302/301跟随、Range回源、回源请求超时时间、分区域分运营商回源、区分ipv4/ipv6协议回源、指定源站回源HOST、高级回源等功能。 缓存配置 简述缓存配置相关功能，包括：缓存过期时间、状态码过期时间、配置HTTP响应头、错误页面自定义、自定义重定向、缓存key设置、跨域资源共享等。 []( 简述天翼云全站加速产品的HTTPS相关功能及配置方法。包括：HTTPS配置、国密HTTPS、HTTP2.0、强制跳转、OCSP Stapling、HSTS、TLS协议版本、HTTPS无私钥驻留加速方案、批量配置HTTPS证书、支持的SSL/TLS加密套件等。 []( 简述如何配置HTTP响应头，回源HTTP响应头，回源HTTP请求头。 []( 简述如何配置文件压缩、图片处理功能。 []( 简述访问控制策略及配置方法，包括：IP黑/白名单、Referer防盗链、UA黑/白名单、URI黑/白名单、URL鉴权、全网带宽控制、有序回源、单请求限速等策略。 []( 简述html页面优化、html禁止操作等功能。 []( 简述视频拖拉、视频试看、HLS标准加密改写功能。 websocket加速 简述websocket加速方案及配置方法。 []( 简述上传加速方案及配置方法。 []( 简述什么是QUIC协议，天翼云全站加速对QUIC协议的支持情况，以及配置说明。 []( 介绍天翼云全站加速平台高级配置，包括访问URL重定向，错误页面自定义。 []( 云备源服务可帮助客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则全站加速可无缝切换至云备源，实现网站业务高可用。 防攻击处理预案说明 天翼云全站加速默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站系统有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 []( 介绍高性能网络的适用场景和配置方法。 []( 天翼云全站加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。

本节介绍了使用规范相关内容。 实例规格 建议生产环境至少使用4u8g规格。由于SQL Server使用Windows系统，引擎及系统本身需要的资源较多，2u4g不适合运行生产业务，长时间运行后可能会有系统低内存及其卡顿问题。 数据库连接 连接Microsoft SQL Server时，请使用“ip,port”的方式连接，注意连接串中间为逗号。 不建议使用服务器名字连接。 应用连接数据库时建议要有重试机制，当数据库发生容灾或者断连时，应用可以通过重试及时恢复连接。 数据库迁移 迁移上云完成后，需要进行以下检查： 需要检查权限完整性。权限会影响对于数据库的方案，迁移仅会完成数据恢复，数据库用户恢复，登录名等其他服务级权限需要重新创建，并且关联数据库账户。 需要对索引进行重建。由于迁移完成后数据文件的物理环境发生了改变，数据库索引会失效，需要对索引进行重建，否则可能会导致数据库性能有明显下降。 对比参数配置。迁移上云后RDS for SQL Server会使用云上的参数模板，需要及时对比云下参数配置和云上是否匹配。由于云下参数配置是经过长期验证，所以请及时更新云上的参数配置。 使用建议 不推荐创建加域实例，Microsoft SQL Server支持创建加域实例，加域实例的域控服务器在用户侧，用户拥有较高权限，域控服务器组策略配置会影响加入该域的机器，用户侧域控规则修改会导致数据库实例的权限安全风险增加。 单实例数据库数量不要超过100个。单实例可以承载的数据库数量跟实例规格相关，数据库数量过多会导致实例性能下降，占用Worker Thread等资源。 应用不能依赖SysAdmin权限。具有SysAdmin角色的账号有超级管理员权限，使用不当会导致数据库安全与稳定性受到威胁，云数据库不开放超级管理员权限，应用使用数据库不能依赖于此权限。 不要在系统库创建表。用户数据请创建用户自定义库存放，不要在系统库创建任何表写入数据，虽然开放了使用系统库的权限，但是任何在系统库存放的数据都是不安全的。 数据库不要打开Auto Close属性。用户库可以设置Auto Close属性，打开该属性后会导致包括建立复制关系无法建立的问题，并且该属性设置后不能正常的使用该库，强烈建议不要设置。 不要将数据库设置为Single User模式。Single User模式只允许一个Session访问数据库，会导致其他Session无法访问造成云数据库的运维问题。设置Single User模式请及时恢复到Multi User模式。 慢日志不要长时间打开。慢日志可以帮助进行慢SQL分析，但是长时间打开会导致性能损失，建议在不需要跟踪分析SQL问题时关闭慢日志。 定时重建索引。数据库在长时间使用后可能会产生较多的索引碎片，导致数据库访问性能下降，需要定时进行索引重建，可以采用创建SQL Agent Job的方式定时重建索引，建议一个月重建一次索引。 定时更新统计信息。数据库统计信息需要经常更新对于性能有益。建议采用创建SQL Agent Job的方式每周更新一次统计信息。 关注数据库大小，及时收缩数据库。数据库长时间使用可能会有一些物理空间无法及时释放，需要执行收缩数据库操作才能释放物理空间。需要关注日志文件大小及物理文件大小，发现文件膨胀迅速可以在业务低峰期收缩数据库。 数据库名长度不要超过64个字符，且数据库名当前仅支持数字、大小写字母、中划线()和下划线()，不支持其他特殊字符。 建议修改默认端口。RDS for SQL Server默认端口为1433，公网上一些不安全的程序可能会扫描RDS for SQL Server的默认端口，建议修改默认端口。 推荐使用高可用主备实例。相比于单机实例，高可用实例可以极大提高生产业务的可用性和可靠性。 高可用实例请跨AZ部署，进行AZ级别的容灾。 建议长时间运行的实例在业务低峰期可以重启。实例长时间运行后可能会出现性能下降，推荐每三个月能够在业务低峰期重启一次实例。 设置最大并行度。最大并行度参数影响业务的CPU使用率。默认值为0允许Session使用所有CPU，可能由于某个SQL的问题导致CPU无法分配给其他Session使用。建议根据规格配置，如核数除以2。 临时库（TempDB）创建多个ndf辅助文件。 当执行操作出现权限问题时，请优先参考存储过程的使用，查找使用合适的存储过程。 如需修改SQL Server参数，请在控制台进行修改，不支持通过执行SQL命令方式修改。 备份恢复相关操作请通过管理控制台下发或调用RDS API接口、SDK接口下发，不能通过SSMS或执行SQL直接操作。 恢复数据到已有实例请谨慎操作，避免错误覆盖已有数据导致影响业务。建议使用恢复到新实例功能。 数据库恢复模式（Recovery model）不要设置为simple模式，建议使用full模式。 − 设置为simple模式将不会对该库执行增量备份，因此该库无法恢复到指定时间点。 − 对于主备实例或者集群实例，设置数据库恢复模式是simple模式后，会导致该库不会建立复制关系，进而无法操作主备切换或者规格变更。 因此，请谨慎使用simple模式。 不建议使用长事务或长时间未提交事务。长事务会长时间占用数据库的事务日志，造成事务日志膨胀并且无法阶段回收空间，最终导致磁盘满并造成大量锁等待，阻塞其他SQL执行。如果kill掉后会导致回滚时间更长，至少是事务执行的1.5倍，造成主备复制延迟增大，导致主备切换失败、主备的规格变更失败。

主机发现这个功能就是在用户网络环境内通过已经安装了Agent 的主机发现未安装 agent 的主机，帮用户更全面的了解其网络环境内的主机资源。 在用户的 IT 运维环境中会在一部分主机上部署Agent，用户就需要能够知道还有哪些主机没有部署 Agent（一方面是用户很多时候都不知道在自己的网络环境中有多少主机，另一方面用户也会有一些主机新上线）。 主要有以下三种发现方法： ARP 缓存发现 ：Address Resolution Protecol（ARP）缓存是用来存放最近 Internet 地址到硬件地址之间的映射记录。通过在安装了 agent 的主机上查找 ARP 缓存表内存储 IP 信息来获取和这台主机连接过的主机。方法特殊设置：N/A Ping 发现 ：Ping 发现是通过发送 ping 包的方式来发现新主机，支持系统：Linux，Windows（TBD），方法特殊设置：设置扫描的 IP 段。 Nmap 发现 1.扫描任务 新建扫描 系统管理主机发现扫描任务新建扫描，新建扫描功能可以让用户根据其需求配置一个扫描任务。界面如下图所示： 扫描项说明： 基本设置 1.任务名（必填，不可重复） 扫描任务名是由用户自定义的一个扫描任务的名字，该项目必填不 可为空，且任务名是不可重复的。 2.发起主机（必填） 扫描发起主机是由用户选择由已经安装 agent 的主机来发起扫描任务，可以选择的对象包括全部主机、某个业务组的机群或是用户自定义组。 发起主机的选项包括： 全部主机 业务组 自定义主机 对于发起主机的选择至少需要选择一个，支持多选。 在业务组界面和自定义主机界面可以展示该业务组或者某个主机已经参与的任 务，并给出提示，告诉用户主机任务越多，对于性能的开销越大。 基本设置 3.定时扫描（选填） 用户可以对扫描的操作时间可以进行定时扫描，如果不进行设置则会采用默认设置。 默认设置 用户如果不进行设置，则采用默认设置，即扫描任务只会被执行一次。 手动填写 用户选择对扫描任务进行定时运行设置，即当本次扫描完成以后，间隔规定的时间后会开始一次新的扫描。 扫描时间的填写规则说明如下： 由于扫描时间使用的是crontab 格式，界面上应该即时对其格式进行校验和显示，如果格式正确则显示器所对应的内容，如果不正确 则给出格式错误的提示。 基本设置 4.获取操作系统 (选填) 用户可以选择在扫描任务是否需要发现非托管设备的操作系统。 默认选择 扫描任务默认是不发现非托管设备的操作系统。 设置发现 设置发现以后，扫描任务会去发现非托管设备的操作系统，但是需 要注明这样会使得扫描任务消耗的资源增加。 基本设置 5.扫描网段 扫描网段用来让用户选择设置在 Ping 扫描和 Nmap 扫描下需要扫描的网段，用户可以选择使用默认设置或者手动设置。 默认设置 在默认设置下，则负责进行扫描任务的主机去 Scan 其设备所在的网段，需要用文字在界面上进行说明。 手动设置 用户手动设置被扫描的网段。在该情况下，则至少需要设置一个网段，也可以添加多个不同的网段。如果是多个网段，需要注意容错处理（比如网段之间的重复、IP 地址是否合法等）。 扫描方式设置 • 扫描方法有ARP 缓存方式扫描、Ping 方式扫描和 Nmap 方式扫描 三种方法，用户至少需要选择其中的一种扫描方法，扫描方法支持多选。需要在界面注明所选的方法越多，对于机器性能的开销越大。 其中，Nmap 方式扫描需要一定的设置，说明如下： Nmap 方式扫描 Nmap 方式扫描需要分别设置扫描网段、扫描协议和扫描端口。每个设置都有提供默认设置和手动设置。 扫描协议 默认设置 在默认设置下，则采用 TCP 协议进行扫描。需要用文字在界面上进行说明。 手动设置 用户可以选择对扫描协议进行手动设置，包括只用 UDP、只用 TCP 和都用。需要做的容错是用户不可以一个协议都不选择。 端口设置 默认设置 默认设置下，会扫描本系统提供的一些端口。 手动设置 如果用户选择使用手动配置，则用户至少需要填写一个端口，并且要对端口进行一些判定，看端口是否合法。 更多扫描设置 更多扫描设置提供了对于以下三种变量的手动设置功能，用户如果不选择手动设置，则使用系统的默认设置。 1. 并发扫描最大数量 2.每秒最大发包数 3.服务器下发任务间隔(可以精确到小数点后一位，需要设置上限，以秒为单位) 开始检查 开始检查是指的立刻开始执行某个扫描任务，而不是等待其到相应的时间再开始任务。 删除扫描任务 删除扫描功能，会删除当前扫描任务。前提： 1）普通列表项目不可以删除正在进行的任务。 2）删除任务不会删除其扫描任务所搜索出来的结果 修改扫描 修改扫描，可以让用户重新配置这个扫描的一些配置选项。 关于保存配置和新建扫描是一致的。 前提： 1）不可以修改正在进行的扫描任务 2）修改扫描配置不会删除其扫描任务所搜索出来的结果。 更新数据依赖

延迟队列 一般的队列，消息一旦进入队列就会被消费者立即消费。延迟队列就是进入该队列的消息会被消费者延迟消费，延迟队列中存储的对象是的延迟消息，“延迟消息”是指当消息被发送以后，等待特定的时间后，消费者才能拿到这个消息进行消费。RabbitMQ提供TTL配合死信队列和延时队列插件两种方式来满足延时消息业务场景。 死信队列 当消息在一个队列中变成死信之后，他能被重新发送到另一个交换器中，这个交换器成为死信交换器，与该交换器绑定的队列称为死信队列。消息变成死信有下面几种情况： 消息被拒绝 消息过期 队列达到最大长度 DLX也是一个正常的交换器，和一般的交换器没有区别，他能在任何的队列上面被指定，实际上就是设置某个队列的属性。当这个队列中有死信的时候，RabbitMQ会自动将这个消息重新发送到设置的交换器上，进而被路由到另一个队列。当发生异常的时候，消息不能够被消费者正常消费，被加入到了死信队列中。后续的程序可以根据死信队列中的内容分析当时发生的异常，进而改善和优化系统。 优先级队列 优先级队列是指优先级高的消息往往放在队列的head头部，相比低优先级的消息，要优先投递给消费者进行处理。 在RabbitMQ中，我们可以设置消息的优先级，在发送消息时指定消息的优先级，可以分为10个级别，级别越高优先级越大。当多个消息拥有相同的优先级时，它们按照FIFO的顺序排序。

为什么扩容后云主机内云硬盘容量没有变化？ 通过控制台扩容成功后，只是扩大了云硬盘的存储容量，您还需要登录云主机执行扩展分区和文件系统的操作。完成这些操作后，您才可以使用新增容量。 扩展磁盘分区和文件系统的操作请参见： 扩展磁盘分区和文件系统（Windows） 分区和文件系统扩展概述（Linux） 云硬盘容量不足了怎么办？ 当您云硬盘容量不足且可能影响到自身业务时，可以参考以下内容来解决此问题： 单独购买一块云硬盘做数据盘，并挂载至弹性云主机，挂载成功之后进行初始化。具体操作步骤请参见创建云硬盘。 扩容当前已有云硬盘，系统盘和数据盘均可进行扩容。操作步骤请参见扩容云硬盘。 清理当前云硬盘上不需要的程序或文件来清理磁盘空间，具体步骤可参见：解决Linux云主机磁盘空间不足的问题、解决Windows弹性云主机磁盘空间不足的问题。 扩容时显示扩容失败怎么办？还会收费吗？ 云硬盘按照云硬盘的实际使用时长/购买周期和容量计费。 若出现云硬盘扩容失败的情况，云硬盘的容量变更会失败，计费容量仍保持为扩容操作之前云硬盘的容量。扩容预期新增但实际并未新增的容量不会收费。 如果出现扩容失败，请您尽快联系天翼云客服提交工单处理。

配置VNC Server 1.首先停止第一个虚拟桌面。 vncserver kill :1 2.修改xstartup文件。 vim ~/.vnc/xstartup 按“i”进入编辑模式，添加以下内容： !/bin/sh xrdb $HOME/.Xresources startxfce4 & 其中， 第一个命令“xrdb $HOME/.Xresources”告诉VNC的GUI框架读取服务器用户的“.Xresources”文件。用户可以在“.Xresources”中更改图形桌面的某项设置，如终端颜色、光标主题和字体渲染。 第二个命令“startxfce4 &”告诉服务器启动Xfce。 3.为了保证VNC服务正常启动，需要配置可执行。 sudo chmod +x ~/.vnc/xstartup 4.重启VNC Server。 vncserver 第二次运行vncserver时，它将创建日志文件。 回显信息中出现类似这样的一条信息：Log file is /root/.vnc/xxx:1.log。其中，“1”表示当前用户分配的是VNC的第一个虚拟桌面。VNC的端口号为：5900+虚拟桌面号码，VNC Viewer客户端连接云主机时会使用该端口号。 云主机控制台配置 1.登录云主机管理控制台。 2.单击弹性云主机名称，进入详情页面。 3.在“安全组”页签，单击“更改安全组规则”，放行5901端口。 说明： 如果4.重启VNC Server中回显的日志文件为“xxx:2.log”，则需要放行5902端口；如果为“xxx:3.log”，则需要放行5903端口，以此类推。

本文档为制作Windows系统私有镜像指导手册的步骤2,安装VirtIO驱动、QEMU Guest Agent。 操作场景 VirtIO驱动，用于弹性云主机识别云硬盘等存储设备，是Windows镜像必备驱动。 QEMU Guest Agent（简称qga），是天翼云平台弹性云主机执行关键功能的依赖工具。包括： 云主机重置密码 创建云主机快照 操作步骤 安装VirtIO和QEMU Guest Agent 说明 Windows虚拟机安装完成后，请检查VirtIO对应的CD驱动器下的文件。 如果CD驱动器主目录下存在virtiowinguesttools.exe文件，请直接执行此文件，按默认操作步骤执行，即可完成VirtIO驱动和QEMU Guest Agent的安装； 如果CD驱动器主目录下不存在virtiowinguesttools.exe文件，请执行主目录下的virtiowingtx64.msi文件安装VirtIO驱动，并运行/guestagent/qemugax8664.exe文件安装QEMU Guest Agent。安装过程中，请按默认操作步骤执行。 注意 如果您未按照 配置VirtIO和QEMU Guest Agent 打开PowerShell，将以下内容直接复制粘贴并执行。 StartService Name 'QEMU Guest Agent VSS Provider' StartService Name 'QEMUGA' SetService Name 'QEMU Guest Agent VSS Provider' StartupType Automatic SetService Name 'QEMUGA' StartupType Automatic

天翼云Prometheus监控服务提供了Remote Write标准接口，可通过该接口远程接入开源Prometheus的监控数据，以实现在天翼云Prometheus监控平台上收集和展示其自定义数据。本文将具体介绍如何使用Remote Write地址完成数据接入。 使用限制 Remote Write接口暂不支持HTTP/2。 前提条件 已创建Prometheus实例。 远程写入的客户端网络已经与暴露接口打通。 步骤一：获取AKSK 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心。 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Write地址 1. 登录Prometheus监控服务控制台。 2. 在左侧导航栏点击实例列表。 3. 单击目标实例名称。 4. 在设置页签上，即可获取Remote Write地址。 步骤三：配置开源版Prometheus 1. 安装Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remotewrite链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remotewrite: 替换为您的Remote Write地址。 url: " basicauth: username和password分别对应您天翼云账号的AK和SK。 username: accesskeyid password: accesskeysecret 3. 重启开源版Prometheus服务。

本文介绍如何配置RBI云端浏览器 适用场景 RBI云端浏览器通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯，主要针对互联网威胁（防钓鱼、防恶意勒索等）、企业内部数据安全管理提供轻量化、一站式的解决方案。 注意事项 注意 配置该能力前需先购买【RBI云端浏览器】服务，并保障零信任服务已接入，详情见 配置说明 如您需要配置使用RBI云端浏览器，请提交工单给天翼云客服，并提供以下信息，由其帮您配置。 配置需求 填写内容 备注 需求场景 提供具体需求场景 互联网安全访问 是否开启该能力 默认是否，若是是则开启互联网安全访问，则会提供一个互联网安全访问地址，通过该地址访问互联网资源（如www.ctyun.cn），则会经过云端浏览器进行处理。 否则不开启。 互联网安全访问 使用人员范围 互联网安全访问若开启，则需提供使用人员范围，默认全部。 互联网安全访问 访问管控：是否限制复制，粘贴，下载 互联网安全访问若开启，则需管控限制，默认全部不限制。 内网安全访问 配置应用资源 提供具体应用名称(即应用配置时的应用名称，仅针对web应用的入口地址有效)。 内网安全访问 使用人员范围 默认全部。 内网安全访问 访问管控：是否限制复制，粘贴，下载 默认全部不限制。

主机迁移服务重要声明有哪些？ 具体内容您可请参见免责声明。 迁移源和迁移任务是否有数量限制？ 每用户可激活的迁移源数量上限为1000台; 每用户可创建迁移任务数量为1000个； 每用户可并发执行的迁移任务数量为50台； 每个迁移源同一时刻仅能关联一个未完成状态的迁移任务，未完成状态包括Ready（未开始）、Running（迁移中）、Stopped（已暂停）、InError（出错）和Expired（已过期）。 迁移源绑定是否有限制？ 每迁移源同一时刻仅能绑定一个目标端，对应生成唯一一个“未完成状态”的迁移任务。迁移状态“完成”或“异常”的迁移任务不作为迁移源绑定目标端。 迁移源是否有软硬件、授权限制？ 未授权应用软件、盗版软件、集群数据库、UKey硬件验证以及一些硬件绑定验证都会影响产品的使用。 通过 windows server事件查看器 ，提示因为卷影副本存储增长失败，卷x：的卷影复制被中止如何处理？ 修改卷影创建位置。 1. 打开资源管理器。 2. 选择原卷影盘符右键单击，选择属性。 3. 单击“卷影副本”选项卡, 选择盘符后单击“设置”。 4. 在“存储区域>位于此卷”选择新挂载的磁盘。 5. 在“最大值”选项选择“没有限制”后单击确定。

本章节主要介绍节点参考的ROMA FDI Job。 功能 通过ROMA FDI Job节点执行一个预先定义的ROMA Connect数据集成任务，实现源端到目标端的数据集成转换。 原理 该节点方便用户启动或者查询FDI任务是否正在运行。 参数 ROMA FDI Job的参数配置，请参考以下内容： 属性参数 参数 是否必选 说明 ROMA实例 是 选择一个已存在的ROMA实例。 FDI任务 是 选择一个已存在的ROMA FDI任务。 节点名称 是 节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“ ”等各类特殊字符，长度为1～128个字符。 高级参数 参数 是否必选 说明 节点执行的最长时间 是 设置节点执行的超时时间，如果节点配置了重试，在超时时间内未执行完成，该节点将不会再重试，直接置为失败状态。 失败重试 是 节点执行失败后，是否重新执行节点。 是：重新执行节点，请配置以下参数。 − 最大重试次数 − 重试间隔时间（秒） 否：默认值，不重新执行节点。 说明 如果作业节点配置了重试，并且配置了超时时间，该节点执行超时后将不会再重试，直接置为失败状态。 失败策略 是 节点执行失败后的操作： 终止当前作业执行计划：停止当前作业运行，当前作业实例状态显示为“失败”。 继续执行下一节点：忽略当前节点失败，当前作业实例状态显示为“忽略失败成功”。 挂起当前作业执行计划：暂停当前作业运行，当前作业实例状态显示为“等待运行”。 终止后续节点执行计划：停止后续节点的运行，当前作业实例状态显示为“失败”。 空跑 否 如果勾选了空跑，该节点不会实际执行，将直接返回成功。

本章节主要介绍通用类问题 DRDS提供哪些高可靠保障 数据完整性 DRDS实例故障不会影响数据的完整性。 1、业务数据存储在数据节点分片中，DRDS不存储业务数据。 2、逻辑库与逻辑表等配置信息存储在DRDS数据库中，DRDS数据库主备高可用。 高可用机制 DRDS采用多个无状态节点集群式部署模式，通过弹性负载均衡地址提供服务。 1、DRDS节点自身宕机类故障，对于已建立在故障节点上的连接会断连报错，DRDS集群整体服务不受影响，通常情况下可在5秒内将故障节点从集群中剔除。 2、下挂数据节点故障，通常情况下可以在下挂数据节点恢复后30秒内完全恢复正常服务能力。 如何选择和配置安全组 DRDS实例采用了VPC和安全组等网络安全保护措施，以下内容帮助您正确配置安全组。 通过VPC内网访问DRDS实例 DRDS实例的访问和使用，包括客户端所在ECS访问DRDS实例，以及DRDS实例访问其关联的数据节点。 除了ECS、DRDS实例、数据节点必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，允许网络访问。建议ECS、DRDS、数据节点配置相同的安全组。安全组创建后，默认包含同一安全组内网络访问不受限制的规则。 一个DRDS实例关联的不同数据节点之间是否可以共享数据 一个DRDS实例关联的不同数据节点之间数据是互相独立的，无法共享。数据节点表示DRDS下关联的RDS for MySQL实例。

本文介绍如何进行Linux服务器SSH登录的安全加固。 SSH是远程登录Linux服务器的主要方式，但它也是黑客进行暴力破解和恶意攻击的主要入口之一。为了加强Linux云主机的SSH登录安全，您可以采用以下方式进行安全加固： 修改默认端口； 禁止root用户直接登录； 添加安全组规则； 采用密钥登录； 配置SSH登录限制。 我们以centos为例为大家介绍如何进行安全加固。 修改默认端口 1. 远程登录弹性云主机。 2. 打开 sshd 配置文件 /etc/ssh/sshdconfig，可以使用编辑器打开该文件，例如使用 vi 命令： vi /etc/ssh/sshdconfig 3. 找到以下代码行： Port 22 将该行代码的注释符号 去掉，并将 22 修改为想要设置的端口号，例如 2222： Port 2222 4. 按ESC键，输入:wq保存修改并退出编辑器。 5. 重启 sshd 服务，使配置生效。可以使用以下命令重启 sshd 服务： systemctl restart sshd 6. 确认修改是否生效。可以使用以下命令检查 sshd 服务是否在新端口上监听： netstat tnl grep 2222 如果输出类似于以下内容，则表示 sshd 服务已经在新端口 2222 上监听： tcp 0 0 0.0.0.0:2222 0.0.0.0: LISTEN 7. 完成以上步骤后，就成功将 CentOS 系统的 SSH 默认端口号修改为了 2222。注意，在修改 SSH 默认端口号之后，需要使用新的端口号来进行 SSH 连接，例如： ssh username@hostname p 2222 其中，username 和 hostname 分别是 SSH 登录的用户名和远程主机名或 IP 地址。

参数 说明 取值样例 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 策略 安全组规则策略。 优先级相同的情况下，拒绝策略优先于允许策略。 允许 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 TCP 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 端口填写包括以下形式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535 22或2230或20,2230 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如： 单个IP地址：192.168.10.10/32（IPv4地址）；2002:50::44/127（IPv6地址） IP地址段：192.168.1.0/24（IPv4地址段）；2407:c080:802:469::/64（IPv6地址段） 所有IP地址：0.0.0.0/0（IPv4任意地址）；::/0（IPv6任意地址） 安全组：sgabc IP地址组：ipGrouptest 若源地址为安全组，则选定安全组内的云主机都遵从当前所创建的规则。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。

一、安装配置成功Agent后，为什么控制台没有监控数据或者显示数据滞后？ 安装配置Agent成功，需要等待2分钟，控制台上才会有主机监控数据。如果过了5min在总览页面还未看到“物理机”，则需要排查物理机时间和控制台所在客户端时间是否一致。 Agent上报数据取的是BMS实例中的本地时间，控制台下发的请求时间范围是依赖用户客户端浏览器的时间，两者如果不匹配则可能导致控制台查不到监控数据。 登录物理机，执行service telescoped status命令查看Agent运行状态，当系统返回以下内容，则表示Agent为正常运行状态。 Telescope process is running well. 如果还是看不到监控数据，请参考配置Agent章节检查配置是否正确。 二、如何创建用于物理机主机监控的委托？ 1.在管理控制台主页，选择“服务列表 > 管理与部署 > 统一身份认证服务”，进入“统一身份认证服务”页面。 2.在左侧导航树中选择“委托”，单击右上角“创建委托”。 “委托名称”：填写“bmsmonitoragency”。 “委托类型”：选择“云服务”。 “云服务”：（“委托类型”选择“云服务”时出现此参数项。）单击“选择”，在弹出的“选择云服务”页面选择“ECS BMS"，单击“确定”。 持续时间”：选择“永久”。 描述”：非必选，可以填写“支持BMS主机监控委托”。 权限选择”：选择物理机所属区域对应行，单击操作列的“修改”，在“可选择策略”中搜索“CES”，勾选“CES（CES Administrator）”策略，单击“确定”后自动返回创建委托页面。 3.单击“确定”。 至此用于物理机主机监控的委托创建完毕。

本文向您介绍Linux启动sshd服务出现/var/empty/sshd无法访问的解决方案。 问题现象 /var/empty/sshd属主属组异常或目录缺失，导致Linux操作系统sshd服务启动失败。 适用场景 本节操作以CentOS7/CtyunOS系统为示例，其他Linux系统可能存在差异。 场景一：/var/empty/sshd属主非root导致sshd启动失败 1. 执行systemctl restart sshd时，服务重启失败，云主机无法正常远程连接。 systemctl restart sshd 2. 执行以下命令，查看journal日志。 journalctl xe 提示“/var/empty/sshd must be owned by root”，从日志内容分析，由于/var/empty/sshd目录属主非root用户导致sshd服务启动失败。 3. 执行以下命令，查看/var/empty/sshd文件属主信息。 ls alF /var/empty/sshd 4. 修改/var/empty/sshd属主及其权限。 chown R root.root /var/empty/sshd chmod R 711 /var/empty/sshd 5. 执行以下命令重启sshd服务： systemctl restart sshd 场景二：/var/empty/sshd文件缺失导致sshd启动失败 1. 执行以下命令，打开journal日志，查看服务失败原因。 journalctl xe 从下图示例中可知由于/var/empty/sshd缺失导致sshd启动失败。 2. 执行以下命令，手动创建/var/empty/sshd目录。 mkdir p /var/empty/sshd 3. 重启sshd服务。 systemctl restart sshd

请求头为foo。 nginx.ingress.kubernetes.io/canarybyheader: "foo" 请求头foo的值为bar时，请求才会被路由到新版本服务newnginx中。 nginx.ingress.kubernetes.io/canarybyheadervalue: "bar" spec: rules: host: www.ctyun.com http: paths: 新版本服务。 path: / backend: service: name: newnginx port: number: 80 pathType: ImplementationSpecific 查看路由访问情况。执行以下命令，访问服务。 curl H"Host: www.ctyun.com" 预期输出： old 执行以下命令，请求头中满足foobar的客户端请求访问服务。 curl H"Host: www.ctyun.com"H"foo: bar" 预期输出： new 在满足特定规则的基础上设置一定比例的请求被路由到新版本服务中。以下示例要求请求头中满足foobar的客户端请求，且仅允许其中50%的流量被路由到新版本服务中。按照以下内容，修改步骤2中创建的Ingress。 apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: grayreleasecanary annotations: 开启Canary。 nginx.ingress.kubernetes.io/canary: "true" 请求头为foo。 nginx.ingress.kubernetes.io/canarybyheader: "foo" 请求头foo的值为bar时，请求才会被路由到新版本服务newnginx中。 nginx.ingress.kubernetes.io/canarybyheadervalue: "bar" 在满足上述匹配规则的基础上仅允许50%的流量会被路由到新版本服务newnginx中。 nginx.ingress.kubernetes.io/canaryweight: "50" spec: rules: host: www.ctyun.com http: paths:

AOne边缘安全加速平台套餐续费介绍。 避免AOne边缘安全加速平台的资源到期后，域名会自动发起停用，防护服务终止服务，您可以在资源到期前为资源手动续订，或者设置自动续订服务。针对AOne边缘安全加速平台情况，为您进行说明，请在续费前务必阅读以下内容。 续订规则 只有通过实名认证的客户，才可以执行续订操作。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 资源处于服务中且过期时长大于7天可以设置自动续订。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 需要满足续订的规则，具体规则详见续订规则说明。 手动续订 满足续订规则的资源您可以随时手动续AOne边缘安全加速平台，本文介绍手动续订操作方式。 登陆天翼云官网右上角我的产品视图中找到需要续订的产品，点击“续订”，根据需求调整续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣。

本节为您介绍云迁移服务的免责声明。 服务声明 禁止模仿、修改、翻译、改编、出借、出售、转许可、传播或转让本网站提供的服务。禁止违反逆向工程、反汇编、反编译、分解拆卸或试图以其他方式获取本网站提供的源代码。具体内容详见天翼云云迁移服务协议 数据模板导入声明 根据迁移平台下载离线模板后，请您认真准确地填写相关规格信息。若因模板填写问题导致数据错乱或其他问题，云迁移服务 CMS 概不负责。 评估结果声明 使用云迁移服务 CMS 提供的全面的企业上云成本分析功能时，请注意自行准确填写数据模板。此功能旨在帮助用户快速进行天翼云产品映射与成本分析比较，以辅助用户做出符合其需求的上云选择。若因数据模板填写不准确导致价格差异，云迁移服务 CMS 概不负责。 辅助工具使用声明 使用云迁移服务 CMS 提供的迁移服务工具时，请确保符合工具使用范围(约束及限制、兼容性范围等)。若超出工具使用范围，云迁移服务 CMS 概不负责。 迁移完成后系统、软件的激活声明 服务器迁移服务提供的是整机迁移服务，使用CMS把源端服务器迁移到目的端服务器上后，源端服务器中需要许可证（License）的产品在目的端需要重新激活。常见的如Windows、鲲鹏、Redhat系统的激活以及付费软件的License激活，服务器迁移服务本身不提供相应的激活服务，需要您自行联系系统提供方和软件提供方进行激活。