本文简述全站加速有序回源功能原理、适用场景及配置方式。 功能介绍 全站加速的有序回源功能是一种流量控制方法，用于大量请求并发回源时的排队管理。当用户访问源站的某个资源时，有序回源功能通过控制回源并发请求数，防止源站服务器负载跑高，提高系统稳定性。当回源并发量超过事先设置的QPS（每秒请求数）阈值时，全站加速会将请求放入等待队列，按照先进先出的规则进行排队，保护源站可用性；当回源QPS下降到阈值以下且当前无排序等待的用户请求，则对新的用户请求直接处理而无需排序等待。 通过有序回源功能，全站加速可以根据源站负载有效控制并发回源量，保护源站服务器的稳定性，提供更佳的用户体验。 适用场景 高峰期抢票、电商大促、秒杀活动时，源站的访问量会在短时间内暴增，开启有序回源功能可防止源站负载过高造成服务中断等问题。 配置说明 如需开启有序回源功能，您需要提供以下信息： 参数 说明 生效时间 有序回源功能生效时间，例如：20231008 00:00:00。 失效时间 有序回源功能失效时间，例如：20231231 23:59:59。 限制时段 可设置每天仅部分时段进行限制，其他时段不限制。例如：每天20:00~24:00之间进行限制。 QPS阈值 设置超过多少并发请求数时进行有序回源。 预控区阀值比例 设置有序回源功能的预控阈值比例，例如：当QPS达到QPS阈值的80%时，即开始进行排队等待。预控区阀值比例默认80%，最大值为100%。 如您需要配置有序回源功能，请通过提交工单给天翼云客服，由其帮您配置。

信封加密方式，是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。 信封加密方式优势如下： 相对于KMS提供的另一种加密方式：KMS用户主密钥直接加密 使用KMS用户主密钥直接加密：是通过KMS界面使用在线工具加解密数据，或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。 使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景；而信封加密方式可以在本地对大量数据进行加解密。 信封加密方式加解密数据，只需要传输数据加密密钥到KMS服务端，无需通过网络传输大量数据。 相对于直接加解密的云服务 安全性 由云服务直接为用户加解密数据：通过因特网将敏感信息从客户手中传递到服务的过程中会存在诸多风险，例如：窃听、钓鱼。 信封加密方式：KMS通过使用硬件安全模块HSM保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 信任和可信证明 由云服务直接为用户加解密数据：信任和可信证明较难做。用户不一定信任云服务，愿意上传如此敏感的数据；云服务也难以证明自己不会误用和泄露这些数据。 信封加密方式：KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足审计和合规性要求。 性能、成本 由云服务直接为用户加解密数据：大量数据需要通过安全信道传递到服务端，加密后再返回给用户，这一过程，对用户服务的性能影响很大。另外，大量的移动数据会带来巨大的成本。 信封加密方式：可以通过KMS的密码运算API在线生成数据密钥，用离线数据密钥在本地加密大量数据。

本章节主要介绍ALM18014 NodeManager直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测Yarn服务直接内存使用状态，当检测到NodeManager实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18014 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 NodeManager可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点NodeManager实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM18014 NodeManager直接内存使用率超过阈值 > 定位信息”。查看告警上报的实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 实例 > NodeManager（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“NodeManager内存使用率”。查看直接内存使用情况。 3.查看NodeManager使用的直接内存是否已达到NodeManager设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤9。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置 > 全部配置 > NodeManager > 系统”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤7。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。 6.保存配置，并重启NodeManager实例。 7.查看告警信息，是否存在告警“ALM18018 NodeManager堆内存使用率超过阈值”。 是，查看“ALM18018 NodeManager堆内存使用率超过阈值”进行处理。 否，执行步骤8。 8.观察界面告警是否清除。 是，处理完毕。 否，执行步骤9。

show defaulttransactionreadonly; defaulttransactionreadonly on (1 row) 是，执行步骤4。 否，执行步骤13。 4. 执行以下命令，打开“dbservice.properties”文件： source $DBSERVERHOME/.dbserviceprofile vi ${DBSERVICESOFTWAREDIR}/tools/dbservice.properties 5. 修改“gaussdbreadonlyauto”的值为“OFF”，默认为“ON”。 6. 执行以下命令，打开“postgresql.conf”文件： vi ${DBSERVICEDATADIR }/postgresql.conf 7. 删除“defaulttransactionreadonly on”。 8. 执行以下命令，使配置生效： gsctl reload D ${DBSERVICEDATADIR } 9. 登录FusionInsight Manager，选择“运维 > 告警 > 告警”。单击告警“数据库进入只读模式”所在行右侧“操作”列中的“清除”，在弹出窗口中单击“确定”。手动清除该告警。 10. 以omm用户登录DBServer主管理节点，执行以下命令查看数据目录磁盘空间下超过500MB的文件，检查该目录下是否有误写入的大文件存在。 source $DBSERVERHOME/.dbserviceprofile find "$DBSERVICEDATADIR"/../ type f size +500M 是，执行步骤11。 否，执行步骤13。 11. 根据实际情况处理误写入的文件。 12. 登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > DBService”，在“概览”页面查看“数据目录磁盘空间使用率”图表，检查数据目录磁盘空间使用率是否低于80%。 是，处理完毕。 否，执行步骤13。 收集故障信息 13. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 14. 在“服务”中勾选待操作集群的“DBService”。 15. 设置日志收集的主机，可选项，默认所有主机。 16. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 17. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本章节主要介绍ALM16003 Background线程使用率超过阈值的告警。 告警解释 系统每30秒周期性检测Background线程使用率情况，默认阈值为90%。如果Hive使用的background线程池使用率超过阈值，则发出告警。 说明 MRS 3.X支持Hive多实例，若集群启用了多实例功能且安装了多个Hive服务，请根据“定位信息”的“服务名”值来确定具体产生告警的Hive服务。例如Hive1服务不可用，则“定位信息”中显示服务名Hive1，处理步骤中的操作对象也应由Hive调整为Hive1。 告警属性 告警ID 告警级别 是否自动清除 16003 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 后台Background线程数过多，导致新提交的任务无法及时运行。 可能原因 Hive后台的background线程池使用率过大。 HiveServer后台的background线程池执行的任务过多。 HiveServer后台的background线程池的容量过小。 处理步骤 检查HiveServer background线程池执行任务数量 1.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 具体的HiveServer实例 ”，找到“Background线程数”与“Background线程使用率”监控信息。 2.在Background线程数监控中，线程数目最近半小时时间内是否有异常偏高（默认队列数值为100，偏高数值>90）。 是，执行步骤3。 否，执行步骤5。 3.调整提交到background线程池的任务数（比如，取消一些后台性能低，耗时长的任务）。 4.“Background线程数”和“Background线程数使用率”是否下降。 是，执行步骤7。 否，执行步骤5。

本章节会介绍如何手动切换主备实例。 操作场景 当关系型数据库主备类型的实例创建成功后，系统会在同一区域内为该实例创建一个备实例。主备实例的数据会实时同步，用户仅能访问主实例数据，备实例仅作为备份形式存在。您可根据业务需要，进行主备实例的切换，切换后原来的主实例会变成备实例，可实现机架级别的容灾。 前提条件 1.实例运行正常。 2.主备实例复制关系正常。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的主备实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在“基本信息”页面中“数据库信息”模块的“实例类型”处，单击“主备切换”。 您也可以在“基本信息”页面，单击“实例拓扑图”模块的。进行主备切换。 注意 主备切换可能会造成几秒或几分钟的服务闪断（闪断时间与复制时延有关），并有可能在主备同步时延过大的情况下，导致少量数据丢失。 主备切换后，请注意对业务进行预热，避免业务高峰期出现阻塞。 步骤 6 在“主备切换”弹框，单击“是”进行主备实例的切换。 在“复制状态”为“正常”的情况下，复制时延大于300s，主备切换任务无法下发。 步骤 7 主备切换成功后，单击“返回实例列表”，用户可以在“实例管理”页面对其进行查看和管理。 切换过程中，状态显示为“主备切换中”。 在实例列表的右上角，单击刷新列表，可查看到主备切换完成后，实例状态显示为“正常”。

在线迁移需要注意哪些？ 网络 在线迁移首先需要打通网络，迁移任务必须和源Redis、DCS缓存实例二者网络互通。 工具 在线迁移工具，推荐使用DCS控制台的在线迁移功能。 数据完整性 如果选择中断业务，则迁移完成后检查数据量和关键key。 如果选择不中断业务，则用户需要考虑增量数据的迁移。 迁移过程源端扩容影响迁移结果 在线迁移期间源端扩容操作会影响迁移，有可能导致迁移失败，也有可能会影响客户的数据，客户如果在迁移期间源端实例的内存不够用需要扩容，建议先中断迁移任务，然后再扩容。 迁移时间 迁移操作建议在业务低峰期进行。 版本限制 低版本可以到高版本，高版本也可以到低版本，不同版本，在迁移时需要分析业务系统使用到的缓存命令在目的端实例是否兼容。 多db限制 如果目标端与源端均使用DCS的Proxy集群实例，请注意二者的multidb参数需要配置一致，否则会导致迁移失败。 在线迁移能否做到完全不中断业务？ 可以使用应用双写的方式，即在迁移过程中业务数据继续从源Redis中正常读取，同时将数据的增删改操作在DCS的Redis实例中执行一遍。 保持以上状态运行一段时间后（等待较多的旧数据过期删除），把系统的缓存数据库正式切到DCS。如涉及业务系统迁移云服务，需要在缓存数据库切换前完成业务系统的部署。 不推荐使用这种方式。原因如下： 1. 网络无法保证稳定快速，如果源Redis实例不在DCS，则需要使用公网访问DCS，效率不高。 2. 同时写2份数据，需要用户自行修改代码实现。 3. 源Redis实例的数据逐出策略各有差异，迁移耗时可能较长，数据完整性保障难度大。

本文主要介绍云日志服务的数值图。 数值图是一种直观的数据可视化图表，它通过数字方式展示关键数据点或指标。这种图表类型特别适用于强调和突出显示最重要的信息，能够去除多余的细节，让关键数据一目了然。 数字图的主要特点包括： 简洁性 ：通过简化设计，去除不必要的元素，使得图表只展示最关键的数据点。 突出重点 ：数值图专注于展示一个或少数几个关键指标，使其成为视觉焦点。 易于理解 ：由于信息量有限，用户可以迅速把握图表所传达的信息。 快速传递信息 ：数值图可以迅速地向用户传达核心数据，无需深入分析。 前提条件 已完成日志采集配置，并成功采集到日志。 操作步骤 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 在语句搜索模式下，输入查询语句与SQL分析语句，具体语法请参考SQL统计分析章节。 5. 点击【查询】按钮，结果将默认以表格形式呈现。右侧图表类型选择点击数值图。 6. 结果将以数值图的形式展示。

出云流量页面展示当前防火墙实例防护的云上EIP访问互联网的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 规格限制 “私网外联资产”数据查看需满足专业版防火墙且开启VPC边界防火墙防护，请参见“开启VPC边界流量防护”。 查看出云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 出云流量”，进入“出云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：内部服务器访问互联网时最大流量的相关信息。 出云流量：出方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内出方向流量中指定参数的TOP 5 排行，参数说明请参见下表。单击单条数据查看流量详情，每个详情支持查看50条数据。 出云流量可视化统计参数说明： 参数名称 参数说明 TOP访问目的IP 出方向流量的目的IP地址。 TOP访问目的地区 出方向流量的目的IP所属的地理位置。 TOP访问源IP 出方向流量的源IP地址。 TOP开放端口 出方向流量的目的端口。 应用分布 出方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 外联IP：目的IP的流量信息。 外联域名：域名信息。 公网外联资产：源IP为公网IP的流量信息。 私网外联资产：源IP为私网IP的流量信息。 说明 私网IP信息仅配置了VPC边界防护的专业版防火墙可见。

当某个集群版本支持升级能力后，您可以随时进行升级操作。 您可以在CCE控制台中确认您的集群是否可以进行升级操作，确认方法：单击“资源管理 > 集群管理”，查看待升级集群右上角是否存在“可升级”提示，若存在则该集群支持升级，若不存在，则该集群不支持升级。 注意事项 当前仅支持虚拟机节点的CCE集群升级。 集群升级时若需要升级CoreDNS插件，请确保节点数大于等于CoreDNS的实例数，且CoreDNS的所有实例都处于运行状态，否则将导致升级失败。1.13版本的集群若需升级到更高版本，需先将CoreDNS插件升级当前集群可用的最新版本。 1.13版本内升级时，集群上的应用只会在升级网络组件时有短暂中断。 集群升级路径 如下表格详细介绍了各集群版本能够升级到的目标版本，以及升级方式和升级影响。 表1 集群升级路径和影响说明 源版本 目标版本 升级方式 升级影响 v1.15 v1.17 滚动升级 重置升级 不再支持Flexvolume（storagedriver）存储类型。 升级集群前需要将存储类型由Flexvolume（storagedriver）转换为CSI（Everest）存储类型。 v1.13 v1.15 滚动升级 重置升级 coredns配置中proxy配置项不支持，需要替换成forword。 存储插件从原来的storagedriver替换成了Everest。 升级方式 集群升级页面会根据集群版本以及不同局点提供三种升级方式，三种方式的控制节点升级流程是一致的，用户节点的升级方式区别及优缺点如下： 表2 升级方式的区别和优缺点 升级名称 方式 优点 缺点 滚动升级 节点上只升级Kubernetes组件以及网络部分组件，存量节点将全部打上SchedulingDisabled标签，仅保证原本运行的应用不受影响，升级完成后，用户还需手动新建节点，并逐步释放老节点，将应用逐步迁移到新节点上，用户控制升级步骤。 可以基本上保证业务不断。 重置升级 对用户节点使用最新的node镜像进行操作系统重置。 时间最短，用户介入操作也较少。 如果节点上有数据或者配置，会丢失，同样会有一段时间业务受损。 平滑升级 采取传统软件升级方式，在用户节点按组件逐个进行升级，您可以通过提交工单申请开启。 用户介入的操作较少，等同于一键式升级。 跨版本由于OS会升级，节点会重启，会有一段时间业务受损。 须知：从1.15版本开始使用滚动升级达成不断服的升级能力，平滑升级的场景后续将由滚动升级覆盖。 大版本升级说明 表3 集群跨大版本升级说明 升级前版本 目标版本 说明 v1.15 v1.17 支持在Console中将v1.15升级到v1.17。 社区v1.15与v1.17版本之间的CHANGELOG v1.16到v1.17的变化：

参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 允许/拒绝 允许 策略内容 被授权用户 授权用户：匿名用户 用户策略：包含以上用户 策略内容 资源 资源范围：桶内对象，选择所有对象 资源策略：包含以上资源 说明 本示例仅配置桶内资源的权限，如果还需要配置桶的权限（如列举桶内对象），则需要再额外创建一条配置到当前桶的自定义桶策略 策略内容 动作 选择动作： （表示所有动作） 操作策略：包含以上动作 说明 配置所有权限可能有资源被删除的风险，如果想规避此风险，建议配置动作名称为“Get ”，表示所有读权限。 策略内容 条件 条件1： −条件运算符：DateGreaterThan − 键：CurrentTime − 值：20190326T12:00:00Z（取值为UTC格式） 条件2： − 条件运算符：DateLessThan − 键：CurrentTime − 值：20190326T15:00:00Z（取值为UTC格式）

功能优势 低成本 ：组播功能是天翼云提供的云原生的组播能力，可以在云平台上快速搭建组播网络，带宽耗费小，有效减轻服务器负载，无需额外购买物理设备和第三方软件证书。 可以帮助您快速搭建组播网络，无需额外购买物理设备和第三方软件证书。 高可靠 ：分布式集群多活部署，支持水平扩容，使用vxlan天然隔离，支持IGMPv2、 IGMPv3动态组播，精准转发，实现最优复制，更好地满足业务增长需求。 易维护 ：天翼云提供统一可视化的组播网络管理界面，维护简便，即开即用，方便快捷。 计费说明 组播采用按量计费的方式，计费项对应为连接费和流量处理费，具体可参考组播计费说明。 支持地域 仅部分可用区资源池支持，实际情况以控制台展示为准。

云堡垒机（原生版）权限及授权项 策略支持的操作与授权项相对应，授权项列表说明如下： 权限：允许或拒绝IAM用户某项操作。 授权项：授权操作对应的权限三元组，创建自定义策略时，支持可视化JSON视图写入权限三元组实现策略配置。 权限类型：授权操作对应的读写类型。 权限 授权项 权限类型（读/写） ctcbh admin ctcbh viewer 实例列表查询 osm:instance:list 读 ✓ ✓ 云堡垒机管理员身份登录 osm:instance:loginAsAdmin 写 ✓ × 实例开机 osm:instance:poweron 写 ✓ × 实例关机 osm:instance:poweroff 写 ✓ × 实例重启 osm:instance:restart 写 ✓ × 实例升级 osm:instance:upgrade 写 ✓ × 实例绑定弹性IP osm:instance:bindEip 写 ✓ × 云堡垒机实例开通 osm:instance:create 写 ✓ × 通过IAM授权使用云堡垒机（原生版） 详细操作请参考： 1. 创建用户组和授权 2. 创建IAM用户和登录

工作流流程可视化 工作流流程定义 first状态 负责对输出数据进行 base64decode 操作， 将解码得到的JSON格式字符串进行转map操作 second状态 负责对输入数据使用 jq 内置函数对数据进行过滤， 选择books价格高于12且分类不是reference的book Final状态 直接将结果进行输出 本示例包含： base64decode , jsonStringToMap 以及 jq 的内置函数使用 包含内置函数嵌套使用案例 plaintext specVersion: "0.8" name: "demo" start: "first" states: name: "first" type: "Operation" stateDataFilter: output: "{ jsonStringToMap(base64decode($.input)) }" actions: functionRef: type: "Noop" transition: nextState: "second" name: "second" type: "Operation" stateDataFilter: input: "{ jq($, '.books[] select((.price > 12) and (.category ! "reference"))') }" actions: functionRef: type: "Noop" transition: nextState: "Final" name: "Final" type: "Operation" actions: functionRef: type: "Noop" end: true

本节介绍了 通过DAS连接Microsoft SQL Server实例（推荐）的相关内容。 操作场景 通过数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能的管理数据库。关系型数据库服务默认开通DAS连接权限。推荐使用DAS连接实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，在操作列单击“登录”，进入数据管理服务实例登录界面。 您也可以在“实例管理”页面，单击目标实例名称，进入基本信息页面，在页面右上角单击“登录”，进入数据管理服务实例登录界面。 步骤 5 正确输入数据库用户名和密码，单击“登录”，即可进入您的数据库并进行管理。 结束

旨在让管理员能够轻松查看并管理本租户下所有用户的训推服务使用情况 前置条件 账号为主账号或者角色为IAM管理员的子账号 操作步骤 1. 进入成员管理模块，成员管理详情页分为用户数据大盘以及用户列表两大板块。 2. 定位到用户数据大盘，设置时间范围，即可查看所选时间段内的总用户数、每日用户数、总付费用户数、每日付费用户数。付费用户指在平台使用了耗费算力的功能，比如模型训练的用户。 3. 定位到用户列表，可查看本租户下所有用户的基本信息如账号、名称、登录信息、任务信息、消耗资源信息以及消费金额信息，右侧操作列支持为每个用户【设置任务资源】，即最大可用GPU卡数/CPU核数。用户列表支持按用户名称筛选；右侧操作列还支持【分配资源】操作，此功能允许管理员为二级管理员分配专属集群资源，二级管理员可基于被分配的资源来进行AI作业，此功能再结合工作空间能力+账号权限体系，可匹配客户自身组织层级结构，实现多层级资源管理，进行AI作业，详见多层级资源管理最佳实践。 4. 导出资源分配明细： 1. 定位到用户列表，点击【导出】折叠按钮，选择资源分配明细，可导出页面选择时间范围内的二级管理员资源分配明细表。 2. 该功能仅导出列表中二级管理员的分配明细，不统计其他用户。 3. 表格数据给出了二级管理员在集群卡型号维度的卡时分配量，该统计值会考虑资源分配的变动，例如，二级管理员A在1月1日分配卡数为1卡，在1月2日分配卡数为2卡，那么1月1日至2日的分配卡时为124+22472卡时。

空对象，表示匹配所有Namespace effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 优先级 在创建Selector后，所有新创建的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为s7.small.1(1C1G)。 说明 如果配置了大于规格的资源请求，则 Pod 创建会失败。如果不需要修改ECI Pod的配置，则可以不配置annotations。 此外，还可以为不同的命名空间创建不同的Selector，可批量对不同命名空间下的Pod配置不同的ECI功能特性。 例如，可以创建如下Selector启用镜像缓存： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: enableimagecache spec: namespaceLabels: matchLabels: namespace: imagecache 指定命名空间 effect: annotations: k8s.ctyun.cn/eciimagecache: "true" 设置Pod启用镜像缓存 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，只有命名空间为imagecache的Pod才会自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod启用镜像缓存。 2、Pod标签匹配 假设想让带有指定标签的Pod使用1C1G的规格，则可以创建如下Selector： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gmatchlabels spec: objectLabels: matchLabels: app: nginx 指定标签 effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，带有app: nginx标签的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为1C1G。 优先级 Selector 支持通过priority字段指定优先级，优先级数值越大，优先级越高。如果某个 Pod 同时匹配多个 Selector，则优先级最高的 Selector 生效。 说明 若不配置priority字段，则默认优先级为0。

操作场景 在本节中，我们将介绍如何通过Windows操作系统中的远程桌面连接（MSTSC方式）登录到Windows弹性云主机，您可以方便地访问和管理弹性云主机的操作系统界面，以进行远程操作和配置。 前提条件 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 操作步骤 1. 在本地Windows主机的开始菜单中，点击"开始"按钮。 2. 在“搜索程序和文件”中，输入“mstsc”并点击打开远程桌面连接工具。 3. 在“远程桌面连接”的对话框中，点击“选项”。 4. 在选项中，输入待登录的云主机的弹性IP和用户名（默认为Administrator）。 5. （可选）如果需要在远程会话中使用本地主机的资源，点击“本地资源”选项卡，并根据需求进行配置。可以勾选“剪贴板”来实现从本地主机复制到云主机的操作。 6. （可选）如果需要调整远程桌面窗口的大小，可以选择“显示”选项卡并调整窗口大小。 7. 点击“确定”，根据提示输入密码，登录云主机。首次登录云主机时，需要更改密码以提高安全性。 8. （可选）注意，使用远程桌面连接（RDP）方式登录云主机后，如果需要通过RDP将本地的大文件（文件大小超过2GB）复制粘贴到远程的Windows云主机中，由于Windows系统的限制，可能导致操作失败。

为什么备份已删除但显示的剩余空间依旧没有变化？ 备份已删除后，有可能会出现显示的剩余空间依旧没有变化的情况。这是由于异步删除引起的，界面删除备份后将不会再产生费用，底层的备份数据也会在3天后根据备份大小逐步删除，在底层实际删除后显示的剩余空间也会删除相应的容量。 为什么备份中文件系统容量和备份大小不一致？ 常见的现象为，在云主机中存放了文件并进行了备份，新增或删除文件后进行再次进行备份，前后备份的大小并没有变化。ECS创建的备份比文件系统查询到的磁盘占用空间大。 以下原因可能造成上述文件系统与备份大小不一致： 文件系统的元数据会占用磁盘空间。 磁盘进行了格式化操作，例如Windows系统正常格式化操作后，全盘数据有写入操作，备份软件需要备份全盘的数据，备份软件会对这种情况优化，全0的数据会进行压缩处理。 备份软件是通过监控存储I/O的写入来确定哪些数据产生了变化需要备份。系统中的文件删除后也会被记录为变化的数据，也会被备份。 如何停止自动备份？ 磁盘会自动备份是因为磁盘绑定了备份策略，且备份策略为开启的状态。您可以通过解绑磁盘和停用备份策略来停止自动备份。 1. 登录云硬盘备份控制台。在策略页签中，展开目标策略。 2. 在已绑定的云硬盘列表中勾选一个或多个云硬盘，单击列表上方的“解绑”。 弹出“解绑磁盘”对话框。 3. 确认解绑云硬盘信息后，单击“确定”。“绑定的云硬盘”页签下不再显示该备份策略已解绑的云硬盘。 4. 选择目标策略。单击“操作”列下的“更多 > 停用策略”，关闭备份策略。

本文介绍什么是边缘函数、产品优势、核心功能、相关术语、函数工作原理、使用说明等。 为什么选择边缘函数 千人千面，个性化定制，源站计算成本高： 企业网站为了提升用户转化率，往往需要在源站服务器根据用户历史数据，计算出千人千面的个性化推荐结果。一方面给源站服务器带来较大的计算成本，另一方面由于中心化部署带来的网络时延，企业更加容易错失商机。 应对流量洪峰，资源无法弹性伸缩： 中心源站为了应付突发场景预留较多的计算服务器，往往出现资源冗余。如果预留资源不够，则更加容易导致服务出错。 业务上线周期长： 新业务上线、活动页面搭建，在传统模式里需要调动研发、运营、运维多方人力，整体上线周期较长，人力成本高。 什么是边缘函数 针对以上三大挑战，天翼云CDN加速产品推出边缘函数。 边缘函数可以让企业研发人员将自定义的JavaScript代码秒级一键部署到天翼云全球2000多个边缘节点上，就近生成千人千面的个性化响应结果。 研发人员只需要关注业务逻辑，剩下机器资源的扩容、运维、调度，都由边缘函数自动完成。 产品优势 在边缘节点就近响应用户请求，大大减少回源带来的网络时延。 采用WebAssembly技术，将函数冷启动优化到5微秒，把对网络时延的影响降到最低。 相对于传统的容器技术，无需预留实例资源。 按照用户实际的使用量计费，并且精确到请求调用次数。对比传统的云虚拟机，提供更大的资源利用率和更低的成本。 当业务流量突增时，边缘函数全网快速调度，弹性伸缩，支持全网上百万QPS的超高并发。 企业研发人员使用边缘函数部署业务时，无需关注部署地区，无需进行资源规划，彻底免去底层机器的运维和管理，释放人力成本。

本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

漏洞扫描是否支持IPv6？ 自身支持IPv4和IPv6两种网络协议的部署，也支持对IPv4和IPv6协议的目标进行扫描，包括域名类型。 漏扫扫描时是否会影响业务？ 主机扫描：通过发送数据包来探测目标是否存活、开放的端口、运行的服务和版本信息等，理论上不会出现任何的影响，但是不排除由于防火墙的设置导致的服务宕机、由于目标服务对发送的报文处理导致的宕机等，一般情况下基本不会产生，实际漏扫引擎已经做了很多规避策略，但不能保证100%无影响，市面上的漏扫原理基本一样。 网站扫描：原理是模拟用户的正常HTTP请求和模拟黑客的无害攻击，一般来说是不会影响被扫描对象的业务正常运行，但是如果对方服务器的并发连接数本身就较低，那么可能会导致服务中断，需要重启中间件，漏扫引擎具备动态流控的功能，该影响的概率极低基本不会发生。 基线配置核查：原理与数据库扫描类似，主要是查询相关配置，可能会产生临时文件和删除临时文件操作，但不会影响业务。 授权扫描和非授权扫描有什么区别？ 漏扫的扫描方式包括授权扫描和非授权扫描两种，也有称登录扫描和非登录扫描，实际是一个含义。 授权扫描：在对目标进行漏洞扫描的过程中，要输入帐号、密码等信息，属于“登录授权”进行的扫描。因为通过输入帐号信息登录后进行的扫描，因此扫描获得的信息更多，漏洞也将发现的更多，且误报率更低。（适用于主机扫描、数据库扫描、网站扫描、基线核查四大扫描模块） 非授权扫描：不需要目标的账户密码等授权信息即直接扫描，通过远程探测目标的信息来判断漏洞，可能会产生误报和漏洞（适用于主机扫描、网站扫描量大扫描模块）。

域名组是多个域名或泛域名的集合。您可以通过添加域名组批量对域名或泛域名进行防护。 提供以下两种类型： 应用域名组：支持域名 或泛域名的防护；适用应用层协议，支持HTTP、HTTPS的应用协议类型；通过域名匹配。 网络域名组：支持单个域名 或多个域名的防护；适用网络层协议，支持所有协议类型；通过解析到的IP过滤。 匹配策略 应用域名组：CFW会将会话中的HOST字段与应用型域名进行比对，如果一致，则命中对应的防护规则。 网络域名组：CFW会在后台获取DNS服务器解析出的IP地址（每15s获取一次），当会话的四元组与网络型域名相关规则匹配、且本次访问解析到的地址在此前保存的结果中（已从DNS服务器解析中获取到IP地址），则命中对应的防护规则。 单个域名最大支持解析1000条IP地址；每个域名组最大支持解析1500条IP地址。解析结果达到上限，则无法再将新域名添加到域名组中。 说明 映射地址量大或映射结果变化快的域名建议优先使用应用域名组（如被内容分发网络（CDN）加速的域名）。 约束条件 域名组成员不支持添加中文域名格式。 域名组中所有域名被“防护规则”引用最多40000次，泛域名被“防护规则”引用最多2000次。 应用域名组（七层协议解析） 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组（四层协议解析） 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。

FTP/SFTP远程备份失败怎么办？ 问题现象 云堡垒机配置了FTP/SFTP远程备份，报“请检查服务器密码或网络连接情况”错误，不能启动远程备份。 选择备份具体某一天日志，提示“备份正在执行”，但远程服务器未接收到该备份文件。 可能原因 原因一：云堡垒机配置的FTP/SFTP服务器账户或密码错误，导致远程备份失败。 原因二：云堡垒机与FTP/SFTP服务器的网络连接不通，导致远程备份失败。 原因三：FTP/SFTP服务器用户目录限制文件上传，导致远程备份失败。 原因四：被选择日期当天的运维日志量大，备份传输速率慢，长时间未备份完成，导致在远程服务器不能及时查看备份文件。 解决办法 原因一： 登录ECS管理控制台，VNC方式登录一台Linux主机，通过Linux主机登录FTP/SFTP服务器，验证服务器账户和密码。验证成功后，重新配置FTP/SFTP服务器远程备份账户和密码，尝试备份。 原因二： 登录云堡垒机系统，通过网络诊断，检查与FTP/SFTP服务器之间网络连接情况。 网络连接正常，请排查其他可能原因。 网络连接异常，请参考CBH安全组规则，检查云堡垒机和FTP/SFTP服务器主机安全组是否放开22端口；检查FTP/SFTP服务器主机的ACL是否放开22端口，并添加云堡垒机公网IP（即弹性IP）为允许。 原因三： 开启用户目录上传权限。 登录云堡垒机系统，选择“系统 > 数据维护 > 日志备份”，重新正确配置FTP/SFTP服务器的“存储路径”。 说明 “存储路径”置空表示备份内容存放到FTP/SFTP服务器用户的主目录下，例如绝对路径/home/用户名；配置的路径需以英文句号开头，例如配置路径为 ./test/abc，则其绝对路径为/home/用户名/test/abc。 原因四： 请您耐心等待，建议备份启动后的第二天再查看服务器上备份文件。

配置项 描述 节点池名称 自定义的节点池名称。 工作节点规格 选择架构、类型、筛选cpu、内存等。除特定规格磁盘说明外，系统默认为您选择的节点绑定超高IO120GB系统盘，工作节点数量最多不超过10个 登录方式 可使用密码通过云主机控制台登录登录云主机，支持立即创建和稍后创建。主机密码：用户密码长度在8～30个字符，必须同时包含三项（大写字母、小写字母、数字、()~!@$%^&+。 节点服务端口范围 可选端口范围：30000 65535 节点标签 添加标签。标签由区分大小写的键值对组成，您最多可以设置 20 个标签。标签键不可以重复，标签值可以为空，标签键和标签值必须以字母或数字开头，可以使用字母、数字、连字符、点和下划线，最长63个字符，不能以 "ctyun"、"ccse:"、" 或 " 开头，标签值末尾不能是连字符、点和下划线 节点不可调度 是否开启节点不可调度。开启后，新添加的节点注册到集群时默认设置为不可调度，若后期想关闭不可调度选项，可以在节点列表中关闭 节点污点 添加节点污点。污点键和污点值必须以字母或数字开头，可以使用字母、数字、连字符、点、下划线和斜线，最长63个字符 自定义节点名称 节点名称由前缀 + 节点名称随机字符串 + 后缀三部分组成。前缀为必填字段，后缀可以为空。前缀和后缀允许使用大小写字母、数字、连字符()。必须以大小写字母开头，不能以连字符()开头或结尾。前缀或后缀长度不超过15个字符呈现选中的规格。前缀和后缀均可由()分隔的一个或多个部分构成，例如CCSE为您节点生成的节点名称随机字符串为：ccsevmwhg8fhy6，指定前缀为ctyun，后缀为test，则节点名称为 ctyunccsevmwhg8fhy6test

本文介绍如何使用全站加速跨账号下的媒体存储【即对象存储（融合版）】资源。 背景说明 通过全站加速来访问媒体存储【即对象存储（融合版）】资源，可加快用户访问速度，提升用户体验。本文介绍如何使用全站加速来加速媒体存储【即对象存储（融合版）】的资源，提升存储资源访问速度，解决存储文件访问量大、并发高、异地访问等瓶颈问题。 配置说明 在执行以下步骤前，请确认您已在媒体存储【即对象存储（融合版）】上创建存储空间，同时已经开通全站加速服务。 步骤一：获取Bucket域名 登录媒体存储【即对象存储（融合版）】控制台。 单击左侧导航栏【对象存储】【Bucket列表】。 在【Bucket列表】页面，单击目标Bucket，再单击【基础配置】。 查看基本信息里的访问域名，获取【Bucket域名】。 步骤二：配置全站加速源站为媒体存储【即对象存储（融合版）】的Bucket域名 登录客户控制台。 单击左侧导航栏【域名管理】【域名列表】。 在【域名列表】页面，单击目标域名对应的【编辑】按钮或者【添加域名】按钮。 1. 编辑域名：单击【回源配置】，单击【添加源站】，源站类型选择【媒体存储源站】，在【源站】列填入Bucket域名，在【层级】行选择“主”或“备”，输入权重等，点击【保存】。 2. 新增域名：找到【回源配置】和【默认回源HOST】。单击【新增源站】，选择【媒体存储源站】填入Bucket域名，并按需配置【基础信息】、【Https配置】、【缓存设置】、【访问控制】，单击【添加域名】。

本章节主要介绍ALM18013 ResourceManager直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测ResourceManager服务直接内存使用状态，当检测到ResourceManager实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18013 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 ResourceManager可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点ResourceManager实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM18013 ResourceManager直接内存使用率超过阈值 > 定位信息”。查看告警上报的实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 实例 > ResourceManager（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“ResourceManager内存使用详情”。查看直接内存使用情况。 3.查看ResourceManager使用的直接内存是否已达到ResourceManager设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤9。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置 > 全部配置 > ResourceManager > 系统”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤7。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。 6.保存配置，并重启ResourceManager实例。 7.查看告警信息，是否存在告警“ALM18008 ResourceManager堆内存使用率超过阈值”。 是，查看“ALM18008 ResourceManager堆内存使用率超过阈值”进行处理。 否，执行步骤8。 8.观察界面告警是否清除。 是，处理完毕。 否，执行步骤9。

本章节主要介绍ALM18015 JobHistoryServer直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测MapReduce服务直接内存使用状态，当检测到JobHistoryServer实例直接内存使用率超出阈值（最大内存的90%，默认阈值）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18015 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 MapReduce可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点JobHistoryServer实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM18015 JobHistory直接内存使用率超过阈值 > 定位信息”。查看告警上报的实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > MapReduce > 实例 > JobHistoryServer（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“JobHistoryServer内存使用详情”。查看直接内存使用情况。 3.查看MapReduce使用的直接内存是否已达到MapReduce设定的最大直接内存的90%。 是，执行步骤4。 否，执行步骤9。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > MapReduce > 配置 > 全部配置 > JobHistoryServer > 系统”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤7。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。 6.保存配置，并重启JobHistoryServer实例。 7.查看告警信息，是否存在告警“ALM18009 JobHistoryServer堆内存使用率超过阈值”。 是，查看“ALM18009 JobHistoryServer堆内存使用率超过阈值”进行处理。 否，执行步骤8。 8.观察界面告警是否清除。 是，处理完毕。 否，执行步骤9。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

配置VPN连接的本端子网和对端子网时需要注意什么？ 子网数量满足规格限制，数量超出规格限制请进行聚合汇总。 每VPN网关配置的本地子网数量：50 每VPN连接支持配置的对端子网个数：50 本端子网不可以包含远端子网，远端子网可以包含本端子网。 推荐配置的本端子网在VPC内有路由可达。 同一个VPN网关创建两条连接：若这两条连接的远端子网存在包含关系，在访问的目的网络处于交集网段部分时，按照创建连接的先后顺序匹配VPN连接，且与连接状态无关（策略模式不能按照掩码长度进行匹配）。 创建VPN连接后业务已通，但网页上的连接状态还是显示未连接？ VPN连接状态刷新存在一定的延迟，业务已通但是网页上VPN连接状态还是未连接是正常现象。 如果数据面已正常（即业务访问已正常），连接就已经完成建立了，短暂等待后VPN连接状态就会更新为“已连接”。 修改协商策略后，页面显示资源不存在，如何处理？ 此问题为页面刷新周期问题。 在修改连接高级策略时，系统会先删除，再重建VPN连接，如果在页面创建过程中出现短暂的删除中或创建中属于正常现象，切勿重复创建同一连接（本端子网、对端子网、对端网关相同的连接）； 如果页面长时间停留在删除或创建中，请提交工单解决。 VPN网关最大支持多大带宽？ VPN网关规格最大支持1Gbit/s。 创建VPN连接时如何选择IKE的版本？ 推荐您选择IKEv2进行协商，其原因是IKEv1的版本存在一定的安全风险，且IKEv2在连接的协商建立过程，认证方法支持，DPD超时处理，SA超时处理上都优于IKEv1。 云将大力推进IKEv2的使用，逐步停用IKEv1协商策略。

计费流程 标准资费 如果您需要了解关于不同版本支持的基础服务与增值服务的详细情况，请参见套餐和版本说明。 套餐规格 标准资费（元/月） 套餐主要内容 体验版 399 业务带宽：10Mbps；防护域名数：1个域名 基础版 1660 业务带宽: 50Mbps ；防护域名数：1个主域名及该主域名下的9个子域名防护 标准版 3560 业务带宽: 100Mbps ；防护域名数：1个主域名及该主域名下的9个子域名防护 专业版 8560 业务带宽: 150Mbps ；2个防护域名数：2个主域名及该主域名下的18个子域名防护 旗舰版 19660 业务带宽: 300Mbps ；防护域名数：3个主域名及该主域名下的27个子域名防护 如果扩展服务与套餐订购时间一致，到期时间与套餐一致；如果扩展服务订购时间晚于套餐服务，开始计费时间为扩展服务订购日期，到期时间与套餐一致。 扩展服务 标准资费（元/月） 功能描述 API安全 13500 API资产高可见性和持续安全检测。 Bot管理 3500 针对自动化攻击/Bot流量的智能防护方案。 智能负载均衡 1000 智能负载均衡，通过多节点智能接入技术，助力客户业务支持多节点、多线路自动调度容灾，提供缓存功能。 可视化大屏服务 1500 提供网站整体业务及安全状况的可视化大屏分析。 安全VIP服务 10000 7×24安全值守服务；对接入域名评估与加固指导；对重点系统进行安全体检；根据业务情况，定制整体防护方案，服务支撑；在重保期间按需提供724小时安全专家在线值守，对安全事件进行及时响应。 带宽扩展 18/Mbps 实际业务带宽超过了产品套餐支持的带宽，可购买带宽扩展进行补充。带宽扩展包不享受包年折扣。 域名扩展基础版 300 支持1个主域名及该主域名下的9个子域名防护。 域名扩展标准版 600 支持1个主域名及该主域名下的9个子域名防护。 域名扩展专业版 1000 支持1个主域名及该主域名下的9个子域名防护。 域名扩展旗舰版 2000 支持1个主域名及该主域名下的9个子域名防护。