本章节介绍应用服务网格CSM的网格诊断功能 一、概要 应用服务网格CSM支持对实例进行网格诊断，包括服务端口检查、路由规则生效检查、网关端口引用检查、服务协议冲突检查、虚拟服务主机冲突检查等多个检查项。网格诊断功能能够协助你优化服务间的调用关系，及时揭示潜在问题，从而增强服务的稳定性、性能及防护水平。通过该功能，您可以更有效地管理网格中的服务通信，确保服务运行的高效与安全 二、操作步骤 1. 登录应用应用服务网格控制台，单击应用服务网格实例的名称，进入网格详情页面 2. 在左侧导航栏，选择网格实例 > 网格诊断 3. 在网格诊断页面，可以选中需要诊断的命名空间，然后点击运行 说明 1. 诊断结果不会包含未选中的命名空间下的资源 2. 如果已经运行过网格诊断，网格诊断页面将显示最近一次的诊断结果。您可以再次点击运行，对该网格实例重新进行诊断。 三、诊断结果说明 在诊断结果区域，会展示所有的检查项结果，每个检查项包括检查类型、诊断级别以及诊断详情。在诊断详情中，用户可以看到异常的详细信息以及异常发生所在的命名空间和资源名称。最后，用户可根据异常信息和检查项描述对资源配置项进行修复。 诊断级别 说明 通过 检查项正常 建议 建议级别的异常，不影响应用服务网格的正常运行。 警告 警告级别的异常，可能对应用服务网格的行为造成影响。 异常 错误级别的异常，可能造成应用服务网格功能无法正常运行。

本节介绍了用户指南: 使用HostPath存储卷。 HostPath存储卷能将主机节点文件系统上的文件或目录挂载直接挂载到业务Pod 中。由于该方式存在诸多安全风险，且不适用于高可用场景，一般业务应用不推荐使用。 背景信息 云容器引擎服务兼容kubernetes原生HostPath本地挂载方案，关于HostPath特定场景使用用法及注意点参见：Kubernetes官方 使用限制 HostPath 存储卷可能会暴露特权系统凭据（例如 Kubelet）或特权 API（例如容器运行时套接字），可用于容器逃逸或攻击集群的其他服务； 具有相同配置（例如基于同一 PodTemplate 创建）的多个 Pod 会由于节点上文件的不同而在不同节点上有不同的行为； 主机节点上特定文件或目录只能由 root 用户写入。如需访问这些文件，需要在特权容器中以 root 身份运行进程，或者修改主机上的文件权限以便容器能够写入 hostPath 卷。 挂载模式 HostPath支持以下几种挂载模式： 类型 描述 空字符串（默认）用于向后兼容，这意味着在安装 hostPath 卷之前不会执行任何检查。 DirectoryOrCreate 如果在给定路径上什么都不存在，那么将根据需要创建空目录，权限设置为 0755，具有与 kubelet 相同的组和属主信息。 Directory 在给定路径上必须存在的目录。 FileOrCreate 如果在给定路径上什么都不存在，那么将在那里根据需要创建空文件，权限设置为 0644，具有与 kubelet 相同的组和所有权。 File 在给定路径上必须存在文件。

应用场景 适用于用户的迁移服务器（物理机、弹性云主机）可以访问待迁移数据，且和HPFS网络互通，同时保证可挂载并行文件系统的场景下的迁移操作。 准备工作 1. 创建迁移服务器，如果目标HPFS文件系统是NFS协议，迁移服务器可选择弹性云主机。如果目标HPFS文件系统是HPFSPOSIX协议，迁移服务器需要选择物理机（GPU裸金属）。具体限制请参考操作系统限制。 2. 将HPFS文件系统挂载至物理机或弹性云主机，具体操作请参考挂载文件系统。 操作步骤 迁移命令说明 HPFS数据拷贝是文件系统间数据的迁移，推荐使用数据同步工具rsync（remote synchronize）。 centos环境下rsync安装命令： plaintext yum install y rsync rsync支持本地（类似cp，我们一般选择本地方式）或者远端（类似scp）数据拷贝，可以镜像保存整个目录树和文件系统，支持断点续传，快速安全。 rsync使用说明： plaintext 本地拷贝 rsync [OPTION...] SRC... [DEST] 常用选项： partial 保留那些因故没有完全传输的文件，以是加快随后的再次传输 inplace 将更新的数据直接写入目标文件，避免文件复制 delete 删除那些DST中SRC没有的文件 a, archive 归档模式，表示以递归方式传输文件，并保持所有文件属性，等于rlptgoD v, verbose 详细模式输出 c, checksum 打开校验开关，强制对文件传输进行校验 数据拷贝时间可能很长（用户数据量除以数据拷贝带宽），为防止下线执行命令退出，可以采用后台执行的方式执行rsync命令： plaintext nohup rsync a partial inplace v $srcdir $destdir &;

本文介绍存储桶的基本概念。 对象存储（CTZOS，Zettabyte Object Storage）是一种云存储服务，提供可靠、安全、成本低廉的存储解决方案。用户可以根据自身需求选择不同的存储类型，以优化存储成本。 每个存储桶都拥有自己的存储类别、访问权限和所属地域等属性。用户可以在不同地域创建具备不同存储类别和访问权限的存储桶，并配置更多高级属性，满足不同场景的存储需求。 对象存储服务提供了三种存储类别，包括标准存储、低频存储和归档存储。三种类别的具体区别请参见存储类别。用户可以在创建存储桶时指定存储类别，创建成功后不支持修改桶的存储类别。 存储桶名称必须是全局唯一的且无法更改。用户创建的存储桶名称不能与已有的存储桶名称相同，也不能与其他用户创建的存储桶名称相同。存储桶所属的地域在创建后无法修改。每个存储桶在创建时都会生成默认的访问控制列表（ACL），规定了授权用户所拥有的权限。只有具备相应权限的用户才能对存储桶进行操作，例如创建、删除、查看等操作。 用户在每个资源池的默认配额为100个桶。建议结合权限控制功能，合理规划和使用存储桶。例如，建议按照对象前缀，在存储桶内划分不同的目录，通过权限控制实现不同目录在不同业务部门之间的权限隔离。 由于ZOS是基于REST风格的HTTP和HTTPS协议的服务，可以使用URL来定位存储资源。

本文帮助您了解通过对象存储控制台下载文件的操作步骤。 操作场景 您可以通过ZOS控制台将存储在ZOS中的文件下载到本地。 约束与限制 基于安全合规要求，自2025年5月16日起，ZOS将禁止通过Bucket外网域名访问后缀为.apk或者.ipa的文件，同时仍然支持通过自定义域名访问后缀为.apk或者.ipa的文件。 标准型和低频型文件的下载 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要下载的文件，点击“下载”按钮。 6. 点击“确定”，完成文件下载。 归档型文件的下载 使用须知 下载归档型文件需先解冻文件。 数据解冻会按解冻数据大小产生数据解冻费用，且数据解冻后，会产生一个指定时长的标准存储对象副本，在解冻的有效期内，会同时收取该对象在标准存储和归档存储中的存储费用，有效期到期后副本自动删除。 解冻文件的有效期最少为1天，最多为31天。 针对存储桶开启归档直读后，可以直接下载桶内归档数据，而无需先对其解冻。详情可参考归档直读文件章节。

本文汇总了云专线服务在使用过程之中会遇到的操作类问题。 一条物理专线是否可以接入多个 VPC？ 一条物理专线可以接入一个资源池内的多个VPC。 当创建完物理专线和专线网关，并添加好客户侧路由后，您可以进入“专线网关详情 >VPC”页面，通过重复“添加VPC”操作来添加多个VPC，从而实现通过一条物理专线接入多个VPC。 云专线是否可以连接跨账号的VPC？ 可以。 云专线支持连接本账号下的VPC与连接跨账号的VPC。 在“添加VPC”时，您可以选择连接自己账号下创建好的VPC实例，也可以选择通过一条云专线连接跨账号的VPC实例。 云专线是否可以连接不同资源池的VPC？ 天翼云云专线服务目前仅支持连接单资源池内的VPC。 在“添加VPC”时，您只能选择与物理专线和专线网关同一资源池下的已创建好的VPC实例，不能选择跨资源池VPC。 云专线支持哪些接入方式？ 物理专线开通时，您可以选择通过交换机的聚合端口或物理端口接入。 支持独享端口接入，用户可以独占一条物理专线，业务更加安全稳定。 支持共享端口接入，多个用户共用一条物理专线，用户数据传输实现逻辑隔离，以更低的成本实现低成本接入。 云专线是否支持动态路由协议？ 支持。 云专线服务当前支持两种路由协议，静态路由与BGP动态路由。一条物理专线只能配置一条BGP动态路由或者多条静态路由 您可以在控制台中自行配置静态路由规则；如需配置BGP动态路由，请您提交工单申请配置或寻找客户经理进行配置。

本节为您介绍镜像服务常见的云主机创建类问题。 云主机购买成功后可以换镜像吗？ 可以。 如果由于镜像选择错误，业务需求变化，或者其他原因需要更换镜像，可以使用“切换操作系统”功能进行更换。 天翼云支持不同镜像类型（包括公共镜像、私有镜像、共享镜像以及安全产品镜像）与不同操作系统之间互相切换。您可以将现有的操作系统切换为不同镜像类型的操作系统。 使用私有镜像创建的云主机，是否可以与生成镜像的云主机硬件规格不同？ 可以不同。 使用私有镜像创建的云主机，其系统盘大小可以指定，必须大于等于镜像的系统盘大小，且小于1024GB，因此系统盘大小可以与原云主机不同，可以大于等于原云主机的系统盘大小。CPU、内存、带宽、数据盘可以根据需要进行修改，不受原云主机配置的限制。 使用镜像创建云主机，可以指定系统盘大小吗？ 可以指定系统盘大小，需要满足以下要求： 系统盘大小需要大于等于40G，小于等于2048G。 如果使用的是私有镜像，由于系统盘需要有足够的空间运行镜像文件，系统盘大小不能小于镜像的磁盘容量大小。 使用外部导入的私有镜像所创建的云主机在启动过程中提示找不到分区，如何处理？ 在不同平台之间迁移或导入外部镜像时，磁盘分区的ID可能会发生变化，导致系统无法正确识别分区。 通过将磁盘分区标识改为使用UUID来引用分区可以解决这个问题。UUID是一个唯一的标识符，不会受到平台变化的影响，因此在启动时系统可以正确地找到并加载分区。

操作场景 弹性伸缩服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内的操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 通过云审计可查询的操作事件时间范围：7天。 通过云审计可查询到操作数据的等待时间：5分钟。 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“计算”，资源类型选择“弹性伸缩”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本节介绍了创建云主机启动模板。 启动模板概述 云主机启动模板是天翼云提供的创建云主机的配置信息模板，包括镜像、规格、系统盘及数据盘类型和容量、网络配置、安全组、标签、登录信息等。 模板配置成功后，即可多次快速创建相同配置云主机，无需重新指定模板中已配置的参数，缩短部署时间。 若模板中配置不能满足您本次云主机创建时的需要，您可以在创建云主机环节在创建云主机页面修改相关参数。需注意的是，修改仅影响此次创建云主机操作，不影响模板内容。具体使用可查看使用云主机启动模板创建云主机。 前提条件及限制 不可跨地域使用云主机启动模板，例如不能使用华东1地域的模板创建华北2地域的云主机； 单地域最多可创建20个启动模板，如需调整请提交工单。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 云主机启动模板”，进入云主机启动模板控制列表页。 4. 点击页面右上角“创建启动模板”。 5. 在启动模板中配置云主机基础配置、网络配置、高级配置信息，配置项填写可参考创建弹性云主机中步骤1、步骤2及步骤3。 6. 确认配置中，优先需要确认本次填写的所选配置，其次需要填写模板名称与模板描述。 7. 确认无误后，点击右下角“创建启动模板”。

公共命令是由天翼云提供给所有用户使用的云助手命令,适用于软件的安装或卸载、实例状态诊断等场景。本文为您介绍如何查看和执行云助手公共命令。 背景信息 公共命令是天翼云创建的云助手命令，对所有天翼云用户可见。通常包含一些比较复杂的服务器配置、健康或安全检测、文件处理、系统补丁安装、更改系统配置的脚本。 相比较普通命令，公共命令的内容、发布以及升级会由天翼云统一负责维护。公共命令发布后，您可以直接查看命令的详细内容，并可以在弹性云主机或物理机实例上执行命令及查看执行进度和结果。使用公共命令，可以快速地完成某些复杂配置，很大程度提升您的操作和运维效率。 备注：天翼云创建的公共命令按需陆续更新。 操作步骤 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择公共命令标签页，如下图所示： 3. 可以根据命令名称了解命令的主要功能，选择想要查看的公共命令，点击右侧更多>查看详情 可以查看命令的详细信息。 4. 选择需要执行的公共命令，点击执行命令。 5. 选择需要执行命令的实例，点击执行命令即可实现免登录执行命令，如下图所示：

中转IP 中转IP地址是私网NAT在SNAT功能或DNAT功能中用于源或目的地址转换的私网IP地址。中转IP从私网NAT中转地址段中分配，私网NAT创建时从中转地址段中默认分配一个中转IP地址。 中转地址段 中转IP地址段是私网NAT进行私网NAT地址管理的地址集合。私网NAT网关创建时会默认把创建时选择的子网网段作为中转地址段。 DNAT（目的地址转换） 定义：通过IP映射或端口映射，将IP报文中的目的地址进行转换。 用户可以通过配置NAT网关DNAT规则实现VPC内多个云主机资源共享弹性IP对外提供服务。 SNAT（源地址转换） 定义：将IP报文的源地址、源端口进行转换。 用户可以通过配置NAT网关SNAT规则，将云主机的私网IP转换成弹性公网IP，使VPC内没有公网IP的云主机可以直接访问公网，实现VPC内多个云主机资源共享弹性IP主动访问Internet。 产品架构 NAT网关分为SNAT和DNAT两个功能。 公网NAT网关 公网NAT网关分为SNAT和DNAT两个功能。 SNAT功能通过绑定弹性公网IP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享弹性公网IP安全、高效的访问互联网。 DNAT将外网 IP、端口映射到VPC内的云主机内网IP、端口，使得云主机上的服务可被外网访问。

本小节介绍SSL VPN的系统基本信息配置。 授权信息 在“系统设置 > 系统配置 > 授权信息”页面，可以查看设备当前的授权信息。 系统时间 “系统设置 > 系统配置 >日期与时间”用于设定系统时间。可以直接在界面上修改时间，也可以选择“自动与时间服务器同步”进行时间的同步。 注意 设备日志记录的时间与系统时间相关，请注意确保系统时间的准确性，手动获取本地时间和系统时间会重启设备，请勿在工作时间操作。 控制台配置 “系统设置 > 系统配置 > 控制台配置”用于设定SSL设备的设备名称、WEBUI管理页面端口、超时时间以及远程维护支持选项。 注意 为设备安全考虑，一般情况下建议禁用远程维护支持。 配置备份与恢复 “系统维护 > 配置备份/恢复”用于将设备已有的配置下载保存，或者是将已备份的配置文件恢复到设备中。 SSL的配置包含全局配置和SSL VPN配置，都是点击“下载当前配置”进行下载，两者的区别是： 全局配置：包含SSL设备系统配置、网络配置、SSL VPN设置、IPSec VPN配置以及防火墙设置等设备全部配置信息。导入全局配置时，设备需要重启。 SSL VPN配置：仅包含SSL VPN设置和SSL VPN选项的配置，导入SSL VPN配置时，设备仅重启SVPN相关服务。

通用使用限制 一个弹性IP只支持绑定一个云资源进行使用，且弹性IP和云资源必须在同一个资源池（Region），不支持跨资源池使用弹性IP。 仅正常未绑定状态的弹性IP支持绑定云资源，已冻结状态/已过期状态的弹性IP请先进行充值/续费后才可继续进行使用，已绑定状态弹性IP需先进行解绑才可绑定新资源。 弹性IP与云资源属于不同资源，与计费模式无关，不同计费方式均支持与云资源的绑定；对云资源进行退订/删除后，弹性IP将会继续计费，若您不再需要该弹性IP，请将该弹性IP进行释放。 若您的弹性IP因安全原因被冻结，该弹性IP不支持充值后恢复正常状态，此时将限制绑定、解绑及释放操作。 仅未绑定云资源的弹性IP支持释放，已绑定云资源的弹性IP请先将云资源解绑，后进行释放操作。 弹性IP被释放后，可能会被其他用户购买使用，此时无法找回。 弹性IP在按需计费模式下，收取IP保有费和带宽费用/流量费用，当该弹性IP与实例未绑定且未释放时，将收取IP保有费，若绑定实例则免收IP保有费，对于不需要使用的弹性IP，请及时进行释放。 弹性IP不支持跨帐号转移。 云主机/物理机通过弹性网卡与弹性IP绑定时，云主机/物理机与弹性网卡解绑时，弹性IP与被解绑的弹性网卡自动解绑。

本节主要介绍OBS的存储类别。 OBS支持桶级和对象级存储类别。 存储类别可以分为：标准存储、低频访问存储、归档存储。 不同的存储类别可以满足客户业务对存储性能、成本的不同诉求。 标准存储访问时延低和吞吐量高，因而适用于有大量热点文件（平均一个月多次）或小文件（小于1MB），且需要频繁访问数据的业务场景，例如：大数据、移动应用、热点视频、社交图片等场景。 低频访问存储适用于不频繁访问（平均一年少于12次）但在需要时也要求快速访问数据的业务场景，例如：文件同步/共享、企业备份等场景。 归档存储适用于很少访问（平均一年访问一次）数据的业务场景，例如：数据归档、长期备份等场景。归档存储安全、持久且成本极低，可以用来替代磁带库。为了保持成本低廉，数据恢复时间可能长达数分钟到数小时不等。 桶存储类别和对象存储类别的关系 上传对象时，对象的存储类别默认继承桶的存储类别。您也可以重新指定对象的存储类别。 修改桶的存储类别，桶内已有对象的存储类别不会修改，新上传对象时的默认对象存储类别随之修改。 存储类别对比 对比项目 标准存储 低频访问存储 归档存储 特点 高性能、高可靠、高可用的对象存储服务 高可靠、较低成本的实时访问存储服务 归档数据的长期存储，存储单价更优惠 应用场景 云应用、数据分享、内容分享、热点对象 网盘应用、企业备份、活跃归档、监控数据 档案数据、医疗影像、视频素材、带库替代 最低存储时间 无 30天 90天 图片处理 支持 支持 不支持

本节主要介绍OBS的存储类型。 OBS支持桶级和对象级存储类别，提供了标准存储、低频访问存储和归档存储三种存储类型。 不同的存储类别可以满足客户业务对存储性能、成本的不同诉求。 标准存储访问时延低和吞吐量高，因而适用于有大量热点文件（平均一个月多次）或小文件（小于1MB），且需要频繁访问数据的业务场景，例如：大数据、移动应用、热点视频、社交图片等场景。 低频访问存储适用于不频繁访问（平均一年少于12次）但在需要时也要求快速访问数据的业务场景，例如：文件同步/共享、企业备份等场景。 归档存储适用于很少访问（平均一年访问一次）数据的业务场景，例如：数据归档、长期备份等场景。归档存储安全、持久且成本极低，可以用来替代磁带库。为了保持成本低廉，数据恢复时间可能长达数分钟到数小时不等。 桶存储类别和对象存储类别的关系 上传对象时，对象的存储类别默认继承桶的存储类别。您也可以重新指定对象的存储类别。 修改桶的存储类别，桶内已有对象的存储类别不会修改，新上传对象时的默认对象存储类别随之修改。 存储类别对比 对比项目 标准存储 低频访问存储 归档存储 特点 高性能、高可靠、高可用的对象存储服务 高可靠、较低成本的实时访问存储服务 归档数据的长期存储，存储单价更优惠 应用场景 云应用、数据分享、内容分享、热点对象 网盘应用、企业备份、活跃归档、监控数据 档案数据、医疗影像、视频素材、带库替代 最低存储时间 无 30天 90天 图片处理 支持 支持 不支持

本文主要介绍桶默认加密。 OBS支持将桶配置为默认加密，配置后，上传到桶中的对象都会自动使用指定的KMS密钥进行加密，提高数据存储安全。 您可以在创建桶时选择开启桶默认加密，也可以在已创建的桶中根据需要开启或关闭桶默认加密。 OBS仅会对开启桶默认加密之后上传的对象进行加密，不会改变开启前已有对象的加密状态。关闭默认加密，也不会影响桶中已有对象的加密状态，关闭默认加密后可在上传对象时进行单独加密。 开启桶默认加密 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 在左侧导航栏，单击“概览”进入“概览”页面。 步骤 3 在“基础配置”区域下，单击“默认加密”卡片，系统弹出“默认加密”对话框。 步骤 4 选择“SSEKMS”。 开启“SSEKMS”加密后，您可以选择“默认密钥”，您上传的对象将使用当前区域的默认密钥进行加密，如果您没有默认密钥，系统将会在首次上传对象时自动为您创建。您也可以选择“自定义密钥”，通过单击“创建KMS密钥”进入数据加密服务页面创建自定义密钥，然后通过KMS密钥的下拉框选中您创建的KMS密钥。 步骤 5 单击“确定”。 关闭桶默认加密 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 在左侧导航栏，单击“概览”进入“概览”页面。 步骤 3 在“基础配置”区域下，单击“默认加密”卡片，系统弹出“默认加密”对话框。 步骤 4 选择“不开启加密”。 步骤 5 单击“确定”。

图相同账户下的VPC对等连接创建流程 不同账户下的VPC对等连接创建流程如下图所示。 创建对等连接的具体操作，请参见创建不同账户下的对等连接。 创建不同账户下的VPC对等连接时，如果在账号A下发起创建对等连接请求，需要账号B接受该请求才可以，如果账号B拒绝，则该对等连接创建失败。 图不同账户下的VPC对等连接创建流程 对等连接的使用限制 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 VPCA和VPCB之间创建对等连接，默认情况下，VPCB不能通过VPCA的EIP访问公网。您可以使用NAT网关服务或配置SNAT服务器，使得VPCB下的弹性云主机可以通过VPCA下绑定了EIP的弹性云主机访问Internet。 对等连接支持同区域下云平台的VPC与专属云（DeC）下的VPC互通。跨租户申请对等连接时，为了安全，需要从DeC端发起申请，无法从云平台的VPC发起。 对等连接支持同区域、同租户的专属云（DeC）下的VPC互通。 对等连接申请时，如果对端VPC属于某个专属云（DeC），无法跨租户申请此对等连接。

本节为Oracle RAC搭建最佳实践物理机资源创建进行说明。 在控制中心中，切换到所需的资源池，选择“物理机服务”进入弹性裸金属实例的创建。 说明 物理机资源创建需与云网络资源、云硬盘资源在同一区域和可用区。 点击“创建物理机”按钮，配置基础信息，选择实例规格和操作系统镜像，选配云硬盘（如Oracle RAC需要安装在单独的硬盘，请配置单独数据盘；如不单独配置安装盘，系统盘空间建议大于100GB）。 配置网络，选择已创建的VPC虚拟网络和安全组，网卡选择已创建的public和private子网，并指定规划的静态IP地址，设定好账号和租期信息后，可以购买创建实例。 同样的方式，完成集群其他实例创建，详细请参见物理机用户指南创建物理机。 共享云硬盘绑定到弹性裸金属实例 创建完弹性裸金属实例后，需要将之前步骤创建的共享云硬盘对应映射到集群的各个实例上。 注意 共享盘需按顺序对应挂载到各个实例上，使共享盘在各个实例上的盘符名称保持一致。 虚拟IP地址绑定到弹性裸金属实例 在弹性裸金属实例创建后，需要对“虚拟IP创建”步骤创建好的虚拟IP地址与弹性裸金属实例进行绑定。

本章节为您介绍堡垒机应用资产相关内容。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 仅企业版支持使用应用运维功能。 添加的主机和应用资源数量总和不能超过资产数。 前提条件 添加应用资产前，需已添加应用服务器，具体操作请参见应用服务器。 新增资产组 您可以通过应用资产组来管理多个应用资产，方便您在授权的时候可以一键选择。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 应用资产”，进入应用资产页面。 3. 在应用资产列表左侧资产树中，单击资产组右侧的更多图标，选择“新增子节点”或“复制”。 支持创建多级资产组，最多支持创建10级。 4. 在弹出的“新增资产组”或“资产组复制”对话框中，填写资产组信息。 参数 参数名称 资产组名称 自定义资产组的名称。 资产 在下拉框中选择需要添加至该资产组中的资产。 描述 自定义资产组的描述。 5. 填写完成后，单击“提交”完成资产组的创建。 创建完成后，您也可以根据需要对资产组进行修改或删除： 编辑资产组：选择需要修改的资产组，单击资产组右侧的更多图标，选择“编辑”，按照需求对资产组进行修改，单击“确定”完成修改操作。 删除资产组：选择需要删除的资产组，单击资产组右侧的更多图标，选择“删除”，在弹出的对话框中单击“确定”完成删除操作。

功能模块 产品功能 单机版 主备版 规格 节点数 1 2 规格 规格配置 vCPU：最高64核 vCPU：最高64核 规格 规格配置 内存大小：最高512GB 内存大小：最高512GB 规格 规格配置 数据盘：最高32TB 数据盘：最高32TB 实例操作 开通实例 支持 支持 实例操作 删除实例 支持 支持 实例操作 暂停 不支持 不支持 实例操作 续费 支持 支持 实例操作 重启 支持 支持 计费模式 自助开通 支持 支持 计费模式 包周期 支持 支持 计费模式 按需 支持 支持 实例升级 系列升级 支持 不支持 实例升级 规格升级 支持CPU和内存升级 仅支持在相同性能类型内升级 支持CPU和内存升级 仅支持在相同性能类型内升级 实例升级 存储空间 仅支持扩容 仅支持扩容 实例升级 备份空间 对象存储类型按量计费，无需扩容 云硬盘类型支持扩容，不支持缩容 对象存储类型按量计费，无需扩容 云硬盘类型支持扩容，不支持缩容 实例管理 安全组 支持 支持 实例管理 修改端口 支持 支持 实例管理 账号管理 支持 支持 实例管理 修改账号密码 支持 支持 实例管理 数据库管理 支持 支持 实例管理 参数设置 支持 支持 备份 全量/增量备份 支持 支持 备份 自动/手动备份 支持 支持 备份 管理备份策略 支持 支持 备份 跨域备份 支持 支持 恢复 指定时间点恢复 支持 支持 恢复 指定备份集恢复 支持 支持 服务可用性 主备切换 不支持 支持 服务可用性 查看切换日志 不支持 支持 日志管理 错误日志 支持 支持 日志管理 日志配置管理 支持（华北2、华东1支持） 支持（华北2、华东1支持） 监控告警 指标监控 支持 支持 监控告警 告警 支持 支持

本文介绍了云防火墙（原生版）互联网边界防火墙配置访问控制策略最佳实践。 原理：在互联网到所有云上资产的公网出入路径进行统一访问控制。 默认策略：默认全部放行。 推荐配置步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“访问控制 >互联网边界规则”。 3. 在互联网边界规则页面，配置互联网入向流量。 放行所有在互联网开放的必要端口，比如http（80）、https（443）服务等。 有限放行运维或高安全风险的端口，比如ssh（22）、mysql（3306）等端口。 默认禁止互联网的高危服务端口，比如smb（445）端口等。 配置Any到Any的默认放行策略，启用状态为开，配合流量日志观察无误后再切换启用状态为关。 4. 验证策略是否满足需求。 在左侧导航栏，选择“日志审计 > 流量日志”，查询所有流量放行、阻断，可以结合实际测试结果验证策略是否满足要求。 5. 完善互联网边界访问控制策略。 验证没有误拦截情况后，可以考虑将Any到Any的默认策略的启用状态从开切换到关。 注意 此步骤需要评估风险后再操作。 6. 检查所有业务的可用性。 在左侧导航栏，选择“日志审计 > 流量日志”，查询所有流量放行、阻断情况，可以结合实际测试结果验证策略是否满足要求。 7. 配置主动外联访问控制策略（出向规则）。 请参考以下配置逻辑：对主动外联有访问控制需求时，可以在“访问控制 > 互联网边界规则 > 出向规则”处配置。 推荐只放行到特定目的IP的请求。默认拦截其它所有主动外联流量（可以先观察一段时间确认所有外联需求）。

本节主要介绍怎么在控制台进行对象分享。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以分享文件。 对于私有存储桶（Bucket）内的文件（Object），用户可以创建临时的“共享链接”，以便在不破坏存储桶的私有属性的前提下，与他人分享文件。 注意 严禁传播诈骗、色情、暴力及其他侵犯他人权利或违反法律及公序良俗内容。 基于安全合规要求，禁止通过OOS默认域名以匿名或者URL签名方式下载后缀为apk、ipa的文件，在Header中包含签名或者通过自定义域名方式下载此类文件不受影响。 在分享图片或者网页时，访问者会下载到本地查看。 通过文件分享，可以分享单个文件或者多个文件。 单个文件分享 分享单个文件，选择需要分享的文件，点击“更多”>“分享”，或则点击对应文件后的“操作”列的“更多”>“分享”，即可对该文件进行分享。 点击“分享”按钮，弹出“文件分享”对话框。 名称 描述 文件名称 要分享的文件名称。 过期时间（天） 设置的过期时间。 取值：[1, 9999999]，单位是天。如果不填写，默认分享链接15分钟过期。 限制下载速度 是否开启下载速度限制。 下载速度（KiB/s） 下载速度限制。 取值：[1, 2147483647]，单位是KiB/s。 限制下载并发数 是否开启下载并发数限制。 下载并发数 下载并发数。 取值：[1，2147483647]。 链接 文件的共享链接。 点击“生成”按钮，即可生成一个带有签名认证的URL。用户可以直接将该URL分享给其他人，在有效期内，通过该URL可以访问此文件。

本文主要介绍 对象存储卷挂载设置自定义访问密钥（AK/SK）。 背景信息 Everest在1.2.8及以上版本提供了设置自定义访问密钥的能力，这样可以让IAM用户使用自己的访问密钥挂载对象存储卷，从而可以对OBS进行访问权限控制。 前提条件 Everest要求1.2.8及以上版本。 集群要求1.15.11及以上版本。 约束与限制 自定义访问密钥暂不支持安全容器。 关闭自动挂载访问密钥 老版本控制台会要求您上传AK/SK，对象存储卷挂载时默认使用您上传的访问密钥，相当于所有IAM用户（即子用户）都使用的是同一个访问密钥挂载的对象捅，对桶的权限都是一样的，导致无法对IAM用户使用对象存储桶进行权限控制。 如果您之前上传过AK/SK，为防止IAM用户越权，建议关闭自动挂载访问密钥，即需要在Everest插件中将disableautomountsecret参数打开，这样使用对象存储时就不会自动使用在控制台上传的访问密钥。 说明 设置disableautomountsecret时要求当前集群中无对象存储卷，否则挂载了该对象卷的工作负载扩容或重启的时候会由于必须指定访问密钥而导致挂卷失败。 disableautomountsecret设置为true后，则创建PV和PVC时必须指定挂载访问密钥，否则会导致对象卷挂载失败。 kubectl edit ds everestcsidriver nkubesystem 搜索disableautomountsecret，并将值设置为true。 执行 :wq 保存退出，等待实例重启完毕即可。

本文将介绍爬虫情报规则，从背景信息、相关配置项、相关操作帮助您更好地理解爬虫情报规则。 功能介绍 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 注意 目前控制台尚未开放爬虫情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 边缘云WAF安全团队基于天翼云积累的海量威胁情报库，并经过离线分析技术，收集国内外公开的、已知的恶意爬虫IP；另外，通过反向解析技术，收录了众多SE类别的爬虫信息，两者结合形成爬虫情报库，内置近10万条友好爬虫与已知恶意爬虫IP信息，目前仍持续更新中。 针对已知爬虫，边缘云WAF为爬虫情报进行标识与分类，例如搜索引擎类的爬虫，分为谷歌爬虫、360爬虫、百度爬虫等各类标识，您可以仅针对其中的某类搜索引擎标识进行加白的动作，则后续此类爬虫IP将不经过边缘云WAF的Bot防护策略。对于恶意爬虫，您也可以对其进行一键封禁的操作，边缘云WAF将会对其进行拦截，避免网站业务遭受已知恶意爬虫的攻击。

Q：PON云专线是什么？ A：PON云专线产品是基于中国电信MPLSVPN网络和光网络为客户接入和使用云资源提供安全、高速的入云接入服务，在客户局域网与云资源之间搭建专用的入云网络通道。 Q：福建电信PON云专线的受理渠道有哪些？ A：线下方式：用户通过福建电信营业厅客户经理线下开通； 线上方式：用户通过CTYUN门户自助开通； Q：福建电信PON云专线产品在使用时有什么使用条件及接入要求？ A：客户使用条件：客户属性为福建电信客户，且客户需要在相应福州天翼云合营池资源池购买了云主机等资源或服务后，方可申请开通PON云专线业务。 客户接入地址要求：使用本产品的客户，需提前做好企业侧与资源池侧的IP地址规划，确保客户侧内网网段与云侧VPC及子网网段不冲突。暂不提供IPv6子网的接入。 Q：我公司想申请的PON云专线带宽范围是多少？ A：PON云专线产品的带宽范围为10M100Mbps。变更颗粒度为： 10Mbps颗粒度。 Q：PON云专线3.5 在使用过程遇到问题，如何处理？ A：福建电信PON云专线业务统开通流程咨询请拨打省公司10000+9进行云专线咨询或故障申告；故障及投诉意见请拨打省公司10000+9进行云专线咨询 或故障申告。特别说明：如客户在外地，需要在10000号前需要加上福建地市区号，如福州市客户为059110000+9，莆田市客户为059410000+9 。

本小节介绍云解析的功能特性。 域名解析功能 提供标准规范的DNS解析服务，支持A、CNAME、MX、TXT、AAAA、SRV、NS等解析记录类型，解析记录数无限制。 记录类型 说明 A 地址记录，用来指定域名的IPv4地址，如果需要将域名指向一个IP地址，就需要添加A记录。 CNAME 一种特殊类型的DNS记录，用来创建域名的别名。如果需要将域名指向另一个域名，再由另一个域名提供IP地址，就需要添加CNAME记录。 AAAA 地址记录，用来指定域名对应的IPv6地址。 TXT 文本记录，绝大多数的TXT记录是用来做SPF记录（反垃圾邮件）。 MX 邮件交换记录，用来指定由哪台邮件服务器负责接收给定域名网站的邮件，主要对给定域名网站的邮件接收服务器进行记录。如果需要设置邮箱，让邮箱能收到邮件，就需要添加MX记录。 SRV 服务器资源记录。 NS 域名服务器记录，用来指定某个子域名由哪个DNS服务器解析。 域名和域名记录自助管理 通过Web方式实现域名及其解析记录的管理、增加、修改、删除、查询等功能。 抗DDoS攻击能力 通过自研的DNS抗DDoS专用产品，可有效的对攻击DNS的DDoS报文实现准确识别和清洗。 安全监测 域名权威解析服务器的正确性监测：监控域名服务器的记录和地址，可有效发现域名篡改/劫持情况。 域名权威解析服务器可用性监测：监测目标权威解析服务器的服务响应数据，判定域名权威解析服务器全网的可用性。 网站拨测：通过对目标域名的定时拨测，及时识别目标服务故障，保障用户互联网服务的高可用。

本节指导用户通过KMS界面查看自定义密钥的信息，包括密钥别名、状态、ID和创建时间。密钥状态包括“启用”、“禁用”、“计划删除”和“等待导入”。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在密钥列表中，查看密钥信息，密钥列表参数说明如下。 密钥列表参数说明 参数 操作说明 别名 密钥的别名。 状态 密钥的状态，包含： 启用：密钥处于启用状态 禁用：密钥处于禁用状态 计划删除：密钥处于计划删除状态 等待导入：如果密钥没有密钥材料，那么密钥的状态为“等待导入”。 ID 创建密钥时自动生成的密钥ID。在IAM中创建自定义策略时，添加资源路径中的“路径”填写此ID。 创建时间 创建该密钥的时间。 密钥算法及用途 创建密钥时选择的密钥算法及该算法的用途。 密钥材料来源 密钥材料的来源，包含： 外部用户从外部导入到KMS。 密钥管理用户通过KMS创建的密钥，或默认密钥。 操作 用户可以在操作栏中，执行禁用、删除、导入密钥材料、取消删除密钥等操作。 步骤 5 用户可单击密钥别名，查看密钥详细信息。 说明 用户可单击该密钥的“别名”或“描述”，修改密钥的别名或描述信息。 默认密钥（密钥别名后缀为“/default”），别名和描述不可以修改。 密钥状态处于“计划删除”时，别名和描述不可修改。

本章节主要介绍 ALM12005 OKerberos资源异常 。 告警解释 告警模块对Manager中的Kerberos资源的状态按80秒周期进行监控，当连续6次监控到Kerberos资源异常时，系统产生此告警。 当Kerberos资源恢复时，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12005 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager中的Kerberos资源异常，组件WebUI认证服务不可用，无法对Web上层服务提供安全认证功能，可能引起无法登录FusionInsight Manager和组件的WebUI。 可能原因 Okerberos依赖的OLdap资源异常。 处理步骤 检查Manager中的OKerberos依赖的OLdap资源是否异常 1.以omm用户登录到集群中Manager所在节点主机。 通过登录FusionInsight Manager浮动IP节点，执行sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh脚本来查看当前Manager的双机信息。 2.执行 sh ${BIGDATAHOME}/omserver/OMS/workspace0/ha/module/hacom/script/statusha.sh ，查询当前HA管理的OLdap资源状态是否正常（单机模式下面，OLdap资源为Activenormal状态；双机模式下，OLdap资源在主节点为Activenormal状态，在备节点为Standbynormal状态。）。 是，执行步骤4。 否，执行步骤3。 3.参考ALM12004OLdap资源异常的处理步骤进行处理，OLdap资源状态恢复后，观察当前OKerberos资源状态是否恢复正常。 是，操作结束。 否，执行步骤4。

本章节主要介绍 Hive对接OBS文件系统 。 使用本章节前已参考配置存算分离集群（委托方式）或配置存算分离集群（AKSK方式）完成存算分离集群配置。 建表时指定Location为OBS路径 1.使用安装客户端用户登录客户端安装节点。 2.执行如下命令初始化环境变量。 source ${clienthome}/bigdataenv 3.如果是安全集群，执行以下命令进行用户认证（该用户需要具有Hive操作的权限），如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit Hive组件操作用户 4.登录FusionInsight Manager，选择“集群 > 服务 > Hive > 配置 > 全部配置”。 在左侧的导航列表中选择“Hive>自定义”。在自定义配置项中，给参数“hdfs.site.customized.configs”添加配置项“dfs.namenode.acls.enabled”，设置值为“false”。 5.单击“保存”，保存配置。单击“概览”，选择“更多 > 重启服务”，输入当前用户密码，单击“确定”，并勾选“同时重启上层服务。”，单击“确定”，重启Hive服务。 6.进入beeline客户端，在创建表时指定Location为OBS文件系统路径。 beeline 例如，创建一个表“test”，该表的Location为“obs://OBS并行文件系统名称/user/hive/warehouse/数据库名/表名”： create table test(name string) location "obs:// OBS 并行文件系统名称/user/hive/warehouse/ 数据库名/ 表名 "; 说明 需要添加组件操作用户到Ranger策略中的URL策略，URL填写对象在obs上的完整路径。权限选择Read, Write 权限，其他权限不涉及URL策略。

本文主要介绍如何创建VPC流日志。 操作场景 创建VPC流日志，记录虚拟私有云中的流量信息。 前提条件 在创建VPC流日志前，请确保您在云日志服务完成了如下配置： 创建日志组。 创建日志流。 操作步骤 1. 登录VPC管理控制台。 2. 在左侧导航栏，选择“VPC流日志”。 3. 在页面右上角，单击“创建流日志”，按照提示配置参数。 表VPC流日志参数说明 参数 说明 取值样例 名称 VPC流日志的名称。 名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 flowlog495d 资源类型 选择要采集流量的资源类型，目前支持网卡类型。 网卡 选择资源 选择需要采集流量信息的具体资源。 说明 建议您选择处于开机状态的弹性云主机。如果选择了关机状态的弹性云主机，请在VPC流日志创建完成后，重启弹性云主机，以便准确的记录网卡流量。 采集类型 全部：采集指定资源的全部流量。 接受：采集指定资源被安全组或网络ACL允许的流量。 拒绝：采集指定资源被网络ACL拒绝的流量。 全部 日志组 选择在云日志服务中创建的日志组。 ltsgroupwule 日志流 选择在云日志服务中创建的日志流。 LogTopic1 描述 VPC流日志的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 说明 同一个资源在同一个日志组的同一个日志流下，只能有两个不同采集类型的VPC流日志。不能重复创建相同的VPC流日志。 4. 单击“确定”。

本节介绍如何开启防护事件告警通知。 通过对攻击日志设置告警通知，WAF可将仅记录和拦截的攻击日志按用户设置的接收通知渠道（邮件或短信）发送给用户。 使用限制 独享版防护对象暂不支持告警通知功能。 开启告警通知 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 告警通知”，进入告警通知页面。 5. 单击“新增通知策略”，弹出新建通知策略窗口。 6. 配置告警通知参数。 参数 说明 策略名称 用户可以自定义策略的名称。 通知状态 配置告警通知的状态，默认为关闭。根据需要进行开启。 通知群组 在下拉列表选择需要接收告警通知的群组。 若已有群组无法满足需求，单击“创建群组”创建新的群组，需要为群组中的联系人配置姓名、手机、邮箱等信息。 通知渠道 支持邮件、短信。 说明 为避免因告警信息过多对您产生打扰，邮件和短信均设有发送数量限制，限制如下：10分钟内仅发送一次，1小时内仅发送3次，1天内仅发送10次。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以选择“自定义”，勾选需要告警的事件类型。 告警频率阈值 在设置的时间间隔内，当攻击次数大于或等于您设置的阈值时，才会发送告警通知。 7. 配置完成后，单击“确认”，告警通知策略设置成功。

本文帮助您了解对象存储下载文件相关的操作步骤。 操作场景 您可以通过ZOS控制台将存储在ZOS中的文件下载到本地。 约束与限制 基于安全合规要求，自2025年5月16日起，ZOS将禁止通过Bucket外网域名访问后缀为.apk或者.ipa的文件，同时仍然支持通过自定义域名访问后缀为.apk或者.ipa的文件。 标准型和低频型文件的下载 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要下载的文件，点击“下载”按钮。 6. 点击“确定”，完成文件下载。 归档型文件的下载 使用须知 下载归档型文件需先解冻文件。 数据解冻会按解冻数据大小产生数据解冻费用，且数据解冻后，会产生一个指定时长的标准存储对象副本，在解冻的有效期内，会同时收取该对象在标准存储和归档存储中的存储费用，有效期到期后副本自动删除。 解冻文件的有效期最少为1天，最多为31天。 针对存储桶开启归档直读后，可以直接下载桶内归档数据，而无需先对其解冻。详情可参考归档直读文件章节。