背景信息 本文介绍如何使用IPsec VPN在两个VPC之间建立安全连接，实现两个VPC内的资源互访。 场景示例 以本文图中场景为例。某企业在华东1地域创建了一个vpc1，在青岛20地域创建了vpc2。两个VPC均已使用弹性云主机部署了业务，企业因后续发展，现在需要将vpc1和vpc2中的业务实现互相访问。 出于网络安全环境考虑，企业计划使用VPN网关，在两个VPC之间建立IPsec VPN连接，对数据进行加密传输，实现资源的安全互访。 前提条件 已经在天翼云华东1地域创建了vpc1，在青岛20地域创建了vpc2，两个VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.0.3 vpc2 青岛20 10.0.0.0/16 vpcr8jw6vfdnk ecm99df 10.0.0.62 您已经了解两个VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许两个弹性云主机实例互访。

此小节介绍登录云堡垒机。 说明 内网地址登录需要确保网络环境互通。 外网地址登录需要绑定弹性IP。 前提条件 管理员已添加该用户。 操作步骤 1. 启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 云堡垒机实例登录地址为 2. 选择认证方式为“本地认证 ”或“AD认证”。 3. 输入系统用户账号和密码，输入图形验证码。 4. 在弹出的对话框中选择绑定的双因子认证方式，若未开启双因子认证则跳过该步骤。 说明 使用短信认证登录，请确保该云堡垒机已开启短信认证方式，具体开启操作请参考：认证设置章节。 使用手机令牌登录前，请先确保您已经为该账号绑定手机令牌，绑定手机令牌才做请参见：手机令牌章节。 5. 单击“确定”，成功登录到堡垒机系统。 注意 动态口令的获取需要使用天翼云APP虚拟MFA管理功能，若未安装天翼云APP，请进入手机应用商店搜索“天翼云”，下载安装天翼云手机APP。

本节为内核版本升级公告。 本节对云数据库TaurusDB的内核版本的潜在风险进行了说明，如果您使用了下述版本，建议您尽快升级到最新内核版本。 涉及版本 2.0.28.15、2.0.28.16、2.0.28.17、2.0.29.1、2.0.29.2 建议升级原因 TaurusDB数据库近期回合或解决了大量MySQL开源社区的问题，为保证业务稳定，建议您在业务低峰期对TaurusDB数据库内核小版本进行升级。 升级指导 参考升级内核小版本。 预估业务影响时长 正常业务负载下单次闪断<10s。 预估升级时长 与升级实例节点数相关，单节点升级时长约5min。 升级过程中的影响说明 1. 升级数据库内核小版本会重启TaurusDB实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，并确保您的应用有自动重连机制。 2. 如果主节点和只读节点在同一个AZ，升级内核小版本会触发一次主备倒换；如果在不同AZ，则会触发两次主备倒换。主备倒换指主节点与只读节点进行切换。 3. 升级操作及影响参考升级内核小版本。

本节为内核版本升级公告。 本节对云数据库TaurusDB的内核版本的潜在风险进行了说明，如果您使用了下述版本，建议您尽快升级到最新内核版本。 涉及版本 2.0.28.15、2.0.28.16、2.0.28.17、2.0.29.1、2.0.29.2 建议升级原因 TaurusDB数据库近期回合或解决了大量MySQL开源社区的问题，为保证业务稳定，建议您在业务低峰期对TaurusDB数据库内核小版本进行升级。 升级指导 参考升级内核小版本。 预估业务影响时长 正常业务负载下单次闪断<10s。 预估升级时长 与升级实例节点数相关，单节点升级时长约5min。 升级过程中的影响说明 1. 升级数据库内核小版本会重启TaurusDB实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，并确保您的应用有自动重连机制。 2. 如果主节点和只读节点在同一个AZ，升级内核小版本会触发一次主备倒换；如果在不同AZ，则会触发两次主备倒换。主备倒换指主节点与只读节点进行切换。 3. 升级操作及影响参考升级内核小版本。

连接方式 使用场景 通过数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能地管理数据库。云数据库RDS库服务默认开通DAS连接权限。 通过mysql命令行客户端连接实例 在Linux操作系统中，您需要在弹性云主机上安装MySQL客户端，通过mysql命令行连接实例。支持公网和内网两种连接方式： 系统默认提供内网IP地址。当应用部署在弹性云主机上，且该弹性云主机与RDS for MySQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与RDS for MySQL实例。 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与RDS for MySQL实例。 通过图形化界面连接RDS for MySQL实例 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS for MySQL实例。

介绍云审计服务支持的性能测试服务操作列表。 云审计服务（Cloud Trace Service，简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与消息通知服务相关的操作事件，便于日后的查询、审计和回溯。 表 支持审计的关键操作列表 servicetype resourcetype resourceid tracename 中文描述 CPTS cptsProject 数据库主键 createCptsProject 创建工程 CPTS cptsProject 数据库主键 deleteCptsProject 删除工程 CPTS cptsProject 数据库主键 modifyCptsProject 修改工程 CPTS cptsTask 数据库主键 createCptsTask 创建任务 CPTS cptsTask 数据库主键 deleteCptsTask 删除任务 CPTS cptsTask 数据库主键 modifyCptsTask 修改任务 CPTS cptsTemp 数据库主键 createCptsTemp 创建事务 CPTS cptsTemp 数据库主键 deleteCptsTemp 删除事务 CPTS cptsTemp 数据库主键 modifyCptsTemp 修改事务 CPTS cptsCase 数据库主键 createCptsCase 创建用例 CPTS cptsCase 数据库主键 deleteCptsCase 删除用例 CPTS cptsCase 数据库主键 modifyCptsCase 修改用例 CPTS cptsVariable 数据库主键 setVaribale 创建变量 CPTS cptsVariable 数据库主键 updateVaribale 修改变量 CPTS cptsVariable 数据库主键 deleteVaribale 删除变量 CPTS cptsTask 数据库主键 tempDebug 任务用例debug CPTS cptsTaskStatus 数据库主键 updateTaskStatus 更新任务状态

如何在配置文件中配置HBlock 。 HBlock CSI插件通过调用HBlock 的HTTP RESTful API进行存储卷的管理操作，例如创建卷、删除卷、扩容卷等。需要配置插件访问HBlock RESTful API的URL地址和端口。 说明 支持对接多个HBlock，包括：HBlock单机版本、HBlock集群版。 修改配置文件，并应用配置文件。 可以按照下列步骤设置HBlock访问地址（以1.5.0的X86版本为例）。 1. 修改charts/csidriverstor/values.yaml配置文件，配置HBlock访问地址、访问用户名和密码、加密模式。 plaintext driverName: stor.csi.k8s.io driverNamespace: default iscsiOnHost: true images: csiProvisioner: registry.aliyuncs.com/googlecontainers/csiprovisioner:v3.5.0 csiAttacher: registry.aliyuncs.com/googlecontainers/csiattacher:v4.3.0 csiResizer: registry.aliyuncs.com/googlecontainers/csiresizer:v1.8.0 csiDriverRegistrar: registry.aliyuncs.com/googlecontainers/csinodedriverregistrar:v2.8.0 csiSnapshotter: registry.aliyuncs.com/googlecontainers/csisnapshotter:v6.3.0 csiSnapshotController: registry.aliyuncs.com/googlecontainers/snapshotcontroller:v6.3.0 csiStorPlugin: storcsidriver:1.5.1 storConfig: configJson: [ { "clusterID": "cluster1", "apiEndPointList": [ " " " ], "storProvider": "xx", "csiApiTimeout": 480 }, { "clusterID": "cluster2", "apiEndPointList": [ " " " ], "storProvider": "xx", "csiApiTimeout": 480 } ] userKey: IFsKIHsKICJjbHVzdGVySUQiOiAiY2x1c3RlcjEiLCAKICJ1c2VybmFtZSI6ICJhZG1pbiIsCiAicGFzc3dvcmQiOiAic2tza2RuZEQwIgogfSwKIHsKICJjbHVzdGVySUQiOiAiY2x1c3RlcjIiLCAKICJ1c2VybmFtZSI6ICJ4eCIsCiAicGFzc3dvcmQiOiAieHgiCiB9Cl0 chap:

应用场景 适用于用户的数据存储在对象存储ZOS中，且需要准备迁移服务器可下载ZOS数据，并和HPFS网络互通，保证可挂载文件系统的场景下。 准备工作 创建迁移服务器，如果目标HPFS文件系统是NFS协议，迁移服务器可选择弹性云主机。如果目标HPFS文件系统是HPFSPOSIX协议，迁移服务器需要选择物理机（GPU裸金属）。具体限制请参考操作系统限制。 迁移服务器需要能访问ZOS进行下载数据，能够将云上 ZOS 中的对象文件下载到HPFS的指定文件夹。 将HPFS文件系统挂载至物理机或弹性云主机，具体操作请参考挂载文件系统。 操作步骤 具体操作请参考对象存储文件上云迁移工具，参考文档中云上迁移到本地场景： 云上迁移到本地的操作的配置，只需要将 migrations.conf 中的 reverse 参数配置为 true。 并在迁移工具中 migrations.conf 中 srcpath 指的是将云上文件迁移到本地后存放的文件夹，设置为HPFS文件系统的挂载目录。 注意 迁移工具将不会对该路径进行检测，如果指定的路径不存在，将会默认创建。

支持的文件类型 支持嵌入/提取水印的文件类型 具体的文件格式 文档 PDF、PPT、Word、Excel 图片 .jpg、.jpeg、.jpe、.png、.bmp、.dib、.rle、.tiff、.tif、.ppm、.webp、.tga、.tpic、.gif json数据 整型、浮点型、字符串型。 使用场景 数字水印在政府部门、医疗、金融、科研等行业应用广泛，主要用于版权保护和追踪溯源。在数据版权保护方面，数字水印技术可用于数字作品被下载或复制时，数据库业务需要提供数据给第三方时，可以通过数字水印技术明确版权归属，有效解决版权纠纷。在使用过程中可追踪溯源方面，数字水印技术可以记录使用者信息，以识别身份并提醒使用者注意安全规范。当发生数据泄露事件时，可以通过数字水印技术追踪泄露源头，挖掘泄露原因。 优势特点 1. 支持明暗双重水印：数字水印技术可以根据需要对数据进行明水印或暗水印处理，不影响使用效果，同时有效应对图像处理工具或拍照截图等绕过方式窃取数据。 2. 可检测性强、不易被篡改：数字水印技术可以检测并保证数据的完整性，不会被篡改或丢失。 3. 高鲁棒性：数字水印技术在传输或使用过程中具有较高的鲁棒性，即使数据载体经过改动或受到攻击损坏后，仍然有较大概率提取出水印。

本文介绍专属云（存储独享型）的相关术语。 存储独享 公有云存储资源通常是通过共享网络资源来提供服务的，意味着多个用户可以共享同一台服务器或存储集群。区别于公有云存储资源，独享存储的存储资源则采用独立存储集群，用户可以独享此类资源，无需与其他用户共享资源。 磁盘 在存储专属云中的云硬盘简称为磁盘，可以为专属云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务。 共享磁盘 根据是否支持挂载至多台云主机可以将磁盘分为非共享磁盘和共享磁盘。一个非共享磁盘只能挂载至一台云主机，而一个共享磁盘可以同时挂载至多台云主机。 共享磁盘的原理、特点、应用场景和使用方法请参考云硬盘共享功能。 三副本数据冗余 存储专属云采用三副本数据冗余机制来保证数据的可靠性。它的原理是将数据分块后的三个副本保存在集群中不同的节点上，以提高数据的可靠性和容错性。 三副本的技术原理请参考三副本数据冗余。 IOPS 专属云中的云硬盘每秒进行读写的操作次数。

本节介绍云安全中心产品咨询类问题。 云安全中心是否只是对其他云安全产品日志进行采集分析? 云安全中心产品除了采集其他安全产品的日志进行统一管理外，还提供编排响应以及处置的能力，能够对告警形成自己的处置流程，并进行自动化处置。云安全中心打通了云上的各类安全产品形成联动响应处置，帮助用户提升威胁响应处置效率。 云安全中心如何帮助客户满足等保合规要求? 云安全中心提供的插件管理、威胁运营、编排响应等功能，可以满足等保的“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“恶意代码防范”、“集中管控”等要求。具体可参见等级保护测评解读。 云安全中心支持采集云上哪些安全日志? 云安全中心目前支持采集云上安全产品的安全告警日志，包括Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版等产品。具体的日志类型请参见支持的日志类型。 短信使用余量是否会进行提醒？ 云安全中心会在短信剩余500条时、以及短信全部使用完时，提醒用户短信剩余量。

同城多活 同城多活容灾是在同城或相近区域内建立多个活跃的数据中心，这些数据中心在日常运行中均处于活跃状态，能够独立对外提供服务和处理业务操作。每个数据中心都存储有数据的副本，并实时更新，以确保在任何一个数据中心发生故障时，其他数据中心可以迅速接管其流量和业务，保证整体服务不受影响。 异地主备 异地主备容灾是在不同地理区域建立主备两个数据中心，主数据中心负责日常的生产运行和数据处理，而备份数据中心在主数据中心发生故障时接管服务。 RPO RPO（Recovery Point Objective）即数据恢复点目标。主要指的是业务系统所能容忍的数据丢失量，即对系统和应用数据而言，要实现能够恢复至可以支持各部门业务运作，系统及生产数据应恢复到的更新程度。通常RPO也表示为从丢失事件到最近一次备份的时间度量。 RTO RTO（Recovery Time Objective）即恢复时间目标。主要指的是所能容忍的业务停止服务的最长时间，也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。RTO数值越小，代表容灾系统的数据恢复能力越强。

本文介绍通过生命周期进行成本控制的最佳实践。 适用场景 生命周期是指对象从更新到被删除的周期时间，媒体存储支持基于对象的生命周期配置，您可通过控制台配置相关规则，实现定时删除指定的对象、碎片或管理历史版本文件。 用户通过设置存储桶的生命周期规则，按照设定的生效条件，将与生命周期规则匹配的对象进行删除，从而无需逐一或者批量删除对象，降低用户的操作难度，并可进行成本控制。 操作步骤 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要配置生命周期的存储桶，并点击【基础配置】页签。 3. 在【生命周期】模块点击【添加规则】。 4. 根据弹窗指引填写相关的规则信息，包括规则状态、规则名称、应用范围、管理文件时间、删除碎片时间。点击【确定】完成操作。 5. 需要注意的是，如果一个对象同时命中多条生命周期规则，对象存储会以最短过期时间为准执行。

本文介绍如何校验上传对象的数据一致性。 应用场景 媒体存储提供了数据一致性校验功能，可以避免因为网络劫持、数据缓存等原因导致的数据不一致问题。 能力概述 媒体存储提供通过计算MD5值的方式对上传的数据进行一致性校验。默认情况下，服务不会进行一致性校验。 上传对象时，客户端需要先计算出对象的MD5值然后携带上传至媒体存储，媒体存储服务端再根据上传的对象内容计算出MD5值，最终与携带上传的MD5值进行对比。 如果对比结果一致，对象上传成功，否则上传失败。 具体校验逻辑如下图所示： 校验方法 本地对象计算出的MD5值作为请求头。 上传时设置请求消息参数ContentMD5为本地计算得出的校验值，具体示例如下： 请求示例： PUT /v1/testbucket/test HTTP/1.1 请求头header： Host:gdoss.xstore.ctyun.cn Date:Wed, 28 Oct 2023 09:32:00 GMT Authorization:authorization string ContentType:text/plain ContentLength:1145 ContentMD5:gnzLDuhOew 请求体body： 实际文件数据。 MD5计算方式为：openssl dgst md5 binary 上传的对象（example.txt） base64 。

计费示例： 【案例一】 备份普通云主机按需计费实例： 例如某用户有100GB的云主机，在苏州资源池购置400GB的云主机备份存储库A，并将该云主机绑定至存储库A中。则收取400GB的云主机备份存储库费用。 【案例二】 部署数据库等应用云主机按需计费实例： 例如某用户有100GB的部署数据库的云主机，在苏州资源池购置800GB的数据库服务器备份存储库A，并将该云主机绑定至存储库A中。则收取800GB的数据库服务器备份存储库费用。 【案例三】 以包年/包月计费模式为例： 假设某用户在2023/03/08 在苏州资源池购买容量为100GB的云主机备份存储库A，其中备份数据占用40GB存储库空间。购买时长为1个月，并在到期前手动续费1个月。则： 第一个计费周期为：2023/03/08 ~ 2023/04/08 第二个计费周期为：2023/04/08 ~ 2023/05/08 苏州云主机备份存储库费用为：0.210020元/月，两个月产生费用共计40元。 注意 上述价格仅供参考，详细的资费项费率标准请参见产品规格和价格。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的方案概述。 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中，用户数据中心和VPC之间采用两条VPN连接保证网络可靠性。当其中一条VPN连接故障时，系统可以自动切换到另一条VPN连接，保证网络不中断。 图方案架构 方案优势 双连接：VPN网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 双活网关：VPN双活网关部署在不同的AZ区域，实现AZ级高可用保障。 约束与限制 VPN网关的本端子网与对端子网不能相同，即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。

本文介绍函数运行时的Request的定义与用法。 Request接口表示一个HTTP请求，并且是Fetch API的一部分。详细定义请参见MDN官方文档Request。 最常用到Request对象的方式是FetchEvent的传入对象。 javascript addEventListener("fetch", event > { let request event.request // Request object // ... }) 需要修改Request请求对象时，可以构造一个新的请求对象，因为FetchEvent的request属性是只读的。 javascript addEventListener("fetch", event > { const request event.request const url " const modifiedRequest new Request(url, { body: request.body, headers: request.headers, method: request.method, redirect: request.redirect }) // ... }) 构造函数 javascript let request new Request(input [, init]) 参数 input string Request 包含URL的字符串或Request对象。 init RequestInit 可选，包含要应用于的设置Request。 RequestInit method string 可选，请求的方法 (GET, POST等) headers Headers 可选，Headers对象。 body string ReadableStream FormData URLSearchParams 可选，请求正文。 redirect string 可选，请求重定向策略，可取值为follow，error或者manual，默认值为undefined。 属性 FetchEvent传入的Request对象（即event.request）的所有属性均为只读。如果要修改请求必须创建一个新Request对象，然后将要修改的选项传递给构造函数。 body ReadableStream 只读，请求正文流。 bodyUsed Boolean 只读，判断是否已在响应中使用该正文。 headers Headers 只读，Headers对象。 method string 只读，请求的方法 (GET，POST等)。 url string 只读，这个请求的URL。 说明 Request对象的以下属性对于函数计算没有意义，暂时不考虑实现：context、credentials、destination、integrity、mode、referrer、referrerPolicy、cache。

操作场景 CCE集群支持两种添加节点的方式： 购买节点和纳管节点，纳管节点是指将“已购买的弹性云主机（ECS）加入到CCE集群中”，所纳管节点的计费模式支持“按需计费”和“包年/包月”两种类型。 本节将指导您通过CCE控制台纳管已有虚拟机节点。 须知： 纳管时，会将所选弹性云主机的操作系统重置为CCE提供的标准镜像，以确保节点的稳定性，请选择操作系统及重置后的登录方式。 所选弹性云主机挂载的系统盘、数据盘都会在纳管时被格式化，请确保信息已备份。 纳管过程中，请勿在弹性云主机控制台对所选虚拟机做任何操作。 约束与限制 目前仅支持在CCE集群中纳管同一Region下的虚拟机节点（含GPU加速型）。 集群版本需V1.13及以上。 集群开启IPv6后，只支持纳管所在的子网开启了IPv6功能的节点；集群未开启IPv6，只支持纳管所在的子网未开启IPv6功能的节点。 原虚拟机节点创建时若已设置密码或密钥，需等待虚拟机节点可用10分钟后方可纳管。 前提条件 支持纳管符合如下条件的弹性云主机： 待纳管节点已购买成功，且必须状态为“运行中“，且未被其他集群所使用。 纳管节点需与CCE集群在同一虚拟私有云内（若集群版本低于1.13.10，纳管节点还需要与CCE集群在同一子网内）。 需挂载数据盘，数据盘需满足有且仅有1块，且容量不少于100GB，多余的数据盘请先卸载。 节点规格要求：CPU必须2核及以上，内存必须4GB及以上，网卡有且仅能有一个。 操作步骤 步骤 1 登录CCE控制台，单击左侧导航栏的“资源管理 > 集群管理”，单击待纳管集群下的“更多 > 纳管节点”。 步骤 2 （可选）登录CCE控制台，单击左侧导航栏的“资源管理 > 节点管理”，选择节点所在的集群后，单击页面右上角的“纳管节点”。 步骤 3 在打开的界面中展示了当前符合要求的弹性云主机。如果不符合纳管要求时会显示相应的红色提示图标，列表下方会有被过滤的弹性云主机数量，鼠标移动到后方的 可以查看具体原因。 步骤 4 勾选需要纳管的弹性云主机，单击“下一步”。 步骤 5 在“待纳管节点”页面中，按照界面提示选择“登录方式”，单击“高级配置”后的按钮，可以设置“最大实例数”、“自定义镜像仓库”和“资源分配”，然后单击“提交”。 步骤 6 在弹出的“信息确认”页面中确认信息无误后，单击“确定”。 系统将提示节点纳管请求提交成功。 移除节点 移除节点指从集群中移除“弹性云主机（简称ECS）”，并不会删除ECS和卸载已安装的CCE相关组件。 如需清理CCE相关组件，请前往ECS控制台将机器关机后，点击“更多 > 镜像/磁盘 > 重装系统”操作。 步骤 1 在CCE控制台中，选择导航栏的“资源管理 > 节点管理”，在节点列表中，单击待移除节点后方“操作”栏中的“更多 > 移除”。 步骤 2 在弹出的“移除纳管节点”弹框中，输入REMOVE，确认移除该节点，单击“确定”，即可移除纳管的节点。 说明：以上步骤仅从集群中移除了节点（即弹性云主机ECS），并不会删除节点和已安装的CCE相关组件。请根据界面中展示的步骤清理CCE相关资源。

本节介绍了弹性云主机与其他服务的关系。 弹性云主机与周边服务的依赖关系如下图所示。 图 弹性云主机与其他服务的关系示意图 弹性云主机与其他服务的关系 弹性伸缩：利用弹性伸缩，可以根据您定义的伸缩策略进行弹性云主机的伸缩，以节省您的资源使用成本和提高资源利用率。 负载均衡：将访问流量自动分发到多台弹性云主机上，提高应用系统对外的服务能力，提高应用程序容错能力。 云硬盘：可以将云硬盘挂载到弹性云主机，并可以随时扩容云硬盘容量。 虚拟私有云：为弹性云主机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 镜像：您可以通过镜像创建弹性云主机，提高弹性云主机的部署效率。 云监控：当用户开通了弹性云主机后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。弹性云主机支持的监控指标请参考弹性云主机支持的基础监控指标。 数据加密服务：加密功能依赖于数据加密服务。您可以在创建弹性云主机时，使用加密镜像或加密云硬盘，此时需要使用数据加密服务提供的密钥，从而提升数据的安全性。 云审计服务：记录与弹性云主机相关的操作事件，便于日后的查询、审计和回溯。 云备份：提供对弹性云主机的备份保护服务。支持对弹性云主机中的所有云硬盘（系统盘和数据盘）进行备份，并利用备份数据恢复弹性云主机数据。

对比维度 云服务备份 镜像服务 概念 备份是将云主机或者云硬盘某一时间节点的状态、配置和数据信息保存下来，以供故障时进行恢复，其目的是为了保证数据安全，提升高可用性。 镜像相当于云主机的“装机盘”，它提供了启动云主机所需的所有信息，其目的是为了创建云主机，批量部署软件环境。系统盘镜像包含运行业务所需的操作系统、应用软件，数据盘包含业务数据。整机镜像是系统盘镜像和数据盘镜像的总和。 使用方式 数据存储位置：与主机/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建备份的云硬盘删除，对应的备份不会被同时删除。 操作对象：保存云主机/磁盘指定时刻的数据，可以设置自动备份和过期自动删除。 用途：备份可以恢复数据至原主机/磁盘中，也可以直接创建新的磁盘或整机镜像。 是否可以导出至本地：否。 数据存储位置：与主机/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建镜像的主机/磁盘删除，对应的镜像不会被同时删除。 操作对象：可以将主机的系统盘和数据盘制作为私有镜像，也可以通过外部镜像文件制作私有镜像。 用途：系统盘镜像或整机镜像可以创建新的主机，数据盘镜像可以创建新的磁盘，实现业务迁移。 是否可以导出至本地：部分可以，整机镜像不支持导出至本地，详见 应用场景 适用场景： 数据备份与恢复 业务快速部署和迁移 适用场景： 服务器上云或云上迁移 部署特定软件环境 批量部署软件环境 服务器运行环境备份 优势 支持自动备份，可以定时定量保留服务器/磁盘某一时间节点的数据。 可以备份系统盘。可以将本地或者其他云平台的服务器数据盘镜像文件导入至镜像服务中。导入后，可使用该镜像创建新的云硬盘。

本页介绍天翼云TeleDB数据库记录什么到日志相关参数。 applicationname (string) applicationname可以是任意的小于NAMEDATALEN字字符 （标准编译是64字符）的字符串。它通常由一个连接服务器后的的应用程序设置。 名字会记录在pgstatactivity和CSV日志条目中。 也可以通过loglineprefix参数，包含在规律的日志条目中。 只有可打印的ASCII字符可以被用于applicationname。 其他字符会被问号(?)替换。 applicationname可以是任意小于NAMEDATALEN个字符（标准编译中是 64 个字符）的字符串。这通常由一个应用通过到服务器的连接设置。该名称将被显示在pgstatactivity视图中并被包括在 CSV 日志项中。它也会被通过loglineprefix包括在普通日志项中。只有可打印 ASCII 字符能被使用在applicationname之中。其他字符将被替换为问号（?）。 debugprintparse (boolean) debugprintrewritten (boolean) debugprintplan (boolean) 这些参数将会让多种调试输出被发出。当被设置时，它们为每一个被执行的查询打印结果分析树、查询重写器输出或执行计划。这些消息在LOG消息级别上被发出，因此默认情况下它们将出现在服务器日志中但不会被发送到客户端。你可以通过调整clientminmessages和/或logminmessages来改变这种情况。这些参数默认是关闭的。 debugprintplanonerror（boolean） 报错时打印查询计划。默认是off。 debugprettyprint (boolean) 当被设置时，debugprettyprint会缩进由debugprintparse、 debugprintrewritten或 debugprintplan产生的输出。这将导致比关闭参数时使用的“紧凑”模式可读性更强但是更长的输出。它默认是打开的。

支持在Prometheus监控中配置Service Monitor，以采集云容器集群中指定的Service对应的Pod暴露的监控指标。 使用限制 仅支持容器环境实例。 相关费用 使用Service Monitor将产生自定义指标采集相关费用。更多信息，请参见计费说明。 前提条件 已创建容器环境实例，即容器集群。 在容器集群中，已经为需要暴露监控指标的Pod创建了Service，且各Pod在Service中配置的端口上已暴露了监控指标。 功能入口 1. 登录应用性能监控APM控制台，点击左侧菜单栏Prometheus监控。 2. 在Prometheus监控菜单下，点击接入管理。 3. 在已接入环境页签，查看容器环境列表，点击目标容器环境操作列的指标采集按钮，进入指标采集页面。 4. 在指标采集页签，单击Service Monitor，进入Service Monitor配置页面。 启用功能 在Service Monitor页面下，点击功能启用按钮，即可开启Service Monitor能力。 启用后，您可以查看当前容器集群中所有的Service Monitor及相关配置信息，同时会根据配置的时间间隔和Path抓取监控指标。 管理ServiceMonitor 新增ServiceMonitor 1. 在ServiceMonitor页面，点击新增按钮。 2. 在界面的yaml中，依次选择容器集群的命名空间、Service和端口，然后配置Metric路径和采集间隔（单位：秒），然后点击检查按钮，显示配置正确，可以创建之后，点击创建按钮，即可生成ServiceMonitor配置。

此小节介绍如何修改服务器配置信息，当您需要修改防护网站的服务器信息或者需要添加服务器信息时，可参考本章节进行操作。 本章节可对以下场景提供指导： 修改服务器信息，即修改对外协议、源站协议、VPC、源站地址、源站端口。 添加服务器配置。 更新证书，关于证书更新的详细内容可参见：更新证书。 前提条件 已添加防护网站。 系统影响 修改服务器配置信息对业务无影响。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 步骤6 在“服务器信息”栏中，单击编辑按钮，如图所示。 步骤7 在“修改服务器信息”页面，根据需要修改服务器的各项配置以及已绑定的证书。 关于证书更新的详细内容可参见：更新证书。 WAF支持配置多个后端服务器，如果需要增加后端服务器，可单击“添加”，增加服务器。 步骤8 单击“确定”，完成服务器信息修改。

本节主要介绍应用场景 SQL变更场景 需要为某一角色设置对某个数据库的结构权限、数据权限等权限进行变更时，可以使用此功能方便操作。 优势： 预检查：此功能可以规避用户使用错误SQL语句进行变更时，提前察觉，方便用户进行预处理。 审批限制：方便企业管理者对数据和数据变更人员的管理。 备份与回滚：备份功能有助于客户在执行SQL失败或返回数据库更改前的状态，保证了数据的安全性。 库管理场景 对象列表下包括表、视图、存储过程、事件、触发器和函数六部分。 表：MySQL数据表包含基本信息、字段/列信息、虚拟列、索引、外键5大组成部分，其中，虚拟列、索引、外键为可选项。通过在数据库中的表操作，可以直接操作数据。 视图：就是一个表或者多个表的一个映射，一般只做查询使用。 事件：即时间触发器，它可以完成在特定的时间特定的操作。 存储过程：存储过程是一组为了完成特定功能的SQL语句集，它通常存在于数据库中，用户只需要修改对应的参数就可以实现某一特定事务。 触发器：触发器是在对某一张表进行操作前后（增、删、改），需要实现对另一张关联表的操作所设计的自动执行的sql语句。触发器经常用于增强数据的完整性约束和原子性的事件规则。 函数：包括系统函数和用户自定义函数，通过设置不同的函数，实现某一功能的复用。

日志 出于分析或审计等目的，用户可以开启日志功能，用于把存储桶的各类访问请求记录成日志，并将生成的日志文件写入用户指定的桶中。 生成的日志文件会保存在指定的存储桶中，占用存储空间，因此会产生存储费用。默认情况下，OOS不会为用户的存储桶收集访问日志。 生命周期 生命周期管理支持通过配置指定的规则，定期将存储桶内的文件（Object）转储为指定存储类型，或者将过期的文件删除，从而节省存储费用。 注意 如果存储桶没有配置过生命周期规则，执行该操作将创建新的生命周期规则。 如果存储桶内的生命周期规则正在执行时被修改配置，则修改后的配置并不立即生效，需等原生命周期规则执行完成后才能生效。 每个存储桶最多创建1000条生命周期规则。 同一存储桶，同一类型（到期删除或者到期转成低频访问存储）的生命周期规则不能存在叠加前缀，例如已创建到期删除文件的生命周期规则的前缀是ABC，则无法再创建前缀为ABCD或AB或A的到期删除文件的生命周期规则。 当用户为存储桶设置了生命周期规则，这些规则将同时应用于已有文件和后续新创建的文件。例如，用户今天增加了一个生命周期，指定过期时间为30天，那么OOS将会将最后修改时间在30天前的文件都加入到待删除队列中。 跨域设置 跨域资源共享（Cross Origin Resource Sharing，CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP，同协议、同域名或IP、以及同端口视为同源）的存在，不同域之间的网站脚本和内容是无法进行交互的。例如，当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域。 OOS支持配置CORS规范，定义了客户端Web应用程序在一个域中与另一个域中的资源进行交互的方式，允许跨域请求访问OOS中的资源。 注意 每个Bucket最多可以配置100条跨域规则。 当OOS收到一个跨域请求（或者OPTIONS请求）时，会读取Bucket对应的CORS规则，然后进行相应的权限检查。OOS会依次检查每一条规则，使用第一条匹配的规则来允许请求并返回对应的Header。如果所有规则都匹配失败，则不附加任何CORS相关的Header。

本节介绍如何开启IPv6防护。 如果您的网站需要IPv6的防护，可以参考本章节开启IPv6防护，开启后，WAF将为域名分配IPv6的接入地址，WAF默认在CNAME中增加IPv6地址解析，IPv6的所有访问请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 当防护网站的源站地址配置为IPv6地址时，默认开启IPv6防护。WAF使用IPv6回源地址和源站发起连接。 源站地址只有IPv6时： 当防护网站的源站地址配置为IPv4地址时，手动开启IPv6防护后，WAF将通过NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制）将外部IPv6访问流量转化成对内的IPv4流量。WAF使用IPv4回源地址和源站发起连接。 源站地址只有IPv4时： 前提条件 网站已接入WAF。 开启IPv6防护 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在“IPv6防护”所在行，单击编辑图标，在弹出的对话框中，选择“开启”并单击“确定”。

本文主要介绍通过自定义脚本实现SAP HANA一致性备份。 准备工作 本章节以SuSE 11 SP4 for SAP操作系统下HANA 2.0单机版为例，介绍如何通过自定义脚本来冻结、解冻HANA数据库，以实现对HANA数据库的应用一致性备份。 场景介绍 某企业购买了云主机，并在上面安装了HANA 2.0单机版数据库，用于存放业务数据，随着数据量的增加，之前的崩溃一致性保护已经满足不了RTO、RPO的要求，决定采用应用一致性备份，减小RTO与RPO。 数据准备 数据准备 准备项 说明 示例 HANA用户名 连接HANA SYSTEMDB 数据库时使用的用户名 system HANA密码 连接HANA SYSTEMDB 数据库时使用的密码 Example@123 HANA实例编号 连接HANA数据库时使用的实例编号 00 HANA SID 连接HANA数据库时使用的SID WXJ 详细步骤 步骤1、加密HANA用户密码，供自定义脚本使用 登录HANA服务器，输入cd /home/rdadmin/Agent/bin/ ，进入Agent目录。 执行 /home/rdadmin/Agent/bin/agentcli encpwd ，回显如下： Enter password: 输入HANA用户的密码，并按“Enter”，屏幕上就会打印出加密后的密码，将其拷贝到剪贴板中。 步骤2、执行cd /home/rdadmin/Agent/bin/thirdparty/ebkuser ，进入自定义脚本目录，执行vi hanafreeze.sh ，打开HANA示例冻结脚本。 步骤3、将下图所示的HANAUSER HANAPASSWORD INSTANCENUMBER DBSID 修改为实际值，其中HANAPASSWORD 为步骤1的屏幕输出。 也可以使用sed命令来直接进行修改： sed i 's/^HANAUSER./HANAUSER" XXX "/' hanafreeze.sh hanaunfreeze.sh ，其中XXX为数据库用户名。 sed i 's/^HANAPASSWORD./HANAPASSWORD" XXX "/' hanafreeze.sh hanaunfreeze.sh ，其中XXX为步骤1中打印出的密码。 sed i 's/^INSTANCENUMBER./INSTANCENUMBER" XXX "/' hanafreeze.sh hanaunfreeze.sh ，其中XXX为数据库实例编号。 sed i 's/^DBSID./DBSID" XXX "/' hanafreeze.sh hanaunfreeze.sh ，其中XXX为数据库SID。 此操作会同时修改冻结解冻脚本，所以无需再执行步骤3。 步骤4、执行 vi hanaunfreeze.sh ，打开HANA示例解冻脚本，修改此脚本中的用户名、密码、实例编号与SID hanafreeze.sh 与hanaunfreeze.sh脚本实现了基本的数据库冻结与解冻操作，如果你在冻结、解冻时有其它额外步骤需要执行，可以自行在其中进行修改。 注意 冻结SAP HANA数据库时，按照SAP官方建议，需要冻结Data卷的XFS文件系统，否则可能出现数据不一致的问题。在此示例脚本中，将会查询出HANA使用的Data卷挂载点，并用xfsfreeze 命令进行冻结。 如果HANA系统未按照SAP官方建议使用一个独立分区来存放Data卷数据，而是与系统卷共用一个分区，则请修改“hanafreeze.sh“脚本，注释掉xfsfreeze相关行，防止整个系统都被冻结，但此时可能出现备份数据不一致的问题。

系统策略 Redis默认提供三种系统策略供用户选择，策略仅包括管理控制台内的相关功能权限，涉及订单下单等非管理控制台的权限还需进行相应的权限配置。Redis的三种默认策略分别是管理员策略（admin），使用者策略（user），浏览者策略（reviewer），三种策略的权限模型具体如下： 权限名称 权限类型 IAM角色 权限名称 权限类型 admin user reviewer 计费模式 读 Y Y Y 实例缩容 写 Y 集群备份 写 Y Y 监控查询 读 Y Y Y 查询 读 Y Y Y 还原点删除 写 Y Y 接入机集详情 读 Y Y Y 修改接入机配置 写 Y Y 接入机地址 写 Y Y 接入机节点更多按钮 读 Y Y Y 接入机节点管理 读 Y Y Y 接入机启动 写 Y Y 接入机停止 写 Y Y 查看接入机配置 读 Y Y Y 创建账号 写 Y Y 账号删除 写 Y Y 账号备注修改 写 Y Y 账号管理 读 Y Y Y 账号权限修改 写 Y Y 账号重置密码 写 Y Y 账号使用说明 读 Y Y Y 告警管理 读 Y Y Y 告警事件历史 读 Y Y Y 通知组 写 Y Y 通知策略 写 Y Y 告警规则 写 Y Y 告警发送历史 读 Y Y Y 应用管理 写 Y Y 备份策略 写 Y Y 下载证书 读 Y Y Y 更新证书 写 Y Y 客户端会话 写 Y Y 自动刷新 读 Y Y Y 控制台切换 读 Y Y Y 分布式缓存 读 Y Y Y 清除分组数据 写 Y Y 命令窗口 写 Y Y 删除 写 Y Y 查询 读 Y Y Y 修改 写 Y Y 实例管理 读 Y Y Y 包周期互转 写 Y Y 实例参数设置 写 Y Y 接入机监控 读 Y Y Y 客户端监控 读 Y Y Y 实例 读 Y Y Y 一键检测readonly 读 Y Y Y 数据闪回 写 Y Y 备份对象存储 写 Y Y 批量主从切换 写 Y Y Redis集群详情 读 Y Y Y 实例配置 写 Y Y 强一致性配置 写 Y Y 新增 写 Y Y 应用数据管理 读 Y Y Y 重新同步数据 写 Y Y 运行日志 读 Y Y Y 清空实例数据 写 Y Y 节点监控 读 Y Y Y Redis更多按钮 读 Y Y Y Redis集群节点管理 读 Y Y Y 一键还原管理 读 Y Y Y redis资源监控 读 Y Y Y 克隆 写 Y Y 一键还原 写 Y Y 慢查询 读 Y Y Y redis启动 写 Y Y redis停止 写 Y Y 主从切换 写 Y Y 静默策略 写 Y Y 清除慢日志 写 Y Y 历史慢日志 读 Y Y Y 慢日志 读 Y Y Y ssl连接说明 读 Y Y Y ssl加密 写 Y Y topkey分析 读 Y Y Y 实时 读 Y Y Y 新增实例账户 写 Y Y 实例账号 读 Y Y Y 监控告警 读 Y Y Y 修改实例账户 写 Y Y 命令窗口 写 Y Y 分组管理 写 Y Y 删除实例账户 写 Y Y 新增分组 写 Y Y 新增账号 写 Y Y 变更维护时间 写 Y Y 弹性ip 写 Y Y 重置密码 写 Y Y 对应的接入机 写 Y Y 查询实例账户 读 Y Y Y 查看key详情 读 Y Y Y 查询key数量 读 Y Y Y 删除分组 写 Y Y 清除数据 写 Y Y 续订 写 Y 退订 写 Y 添加白名单分组 写 Y Y 白名单删除 写 Y Y 白名单设置 写 Y Y 实例配置修改 写 Y Y 到期时间 读 Y Y Y 扩容 写 Y 白名单修改 写 Y Y 删除实例数据 写 Y Y 管理 读 Y Y Y 新增实例 写 Y 创建实例 写 Y 删除实例 写 Y 实例扩容 写 Y

本章节主要介绍发布API。 本文将为您介绍如何将数据服务中的API发布到服务目录。 操作场景 数据服务是数据对外开放的最后一道防线，为了安全起见，在数据服务中生成的API以及注册的API，都需要发布到服务目录中才能对外提供服务。 操作步骤 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.进入“数据服务 > 总览 > 开发API > API管理”页面，在API服务列表操作列中，选择“更多 > 发布”。 4.在确认发布界面，您可以点击“更多”，选择发布详情。 详见下图： 发布详情 −专享版默认发布到数据服务专享版集群上，发布成功后API调用者可以通过内网调用该API。您也可以选择“更多”，将API发布到APIG专享版或ROMA Connect实例上。 APIG专享版：如果您需要将API发布到APIG专享版上，则您需要提前在API网关服务上创建一个APIG实例。实例创建后，有一个默认API分组，系统为分组自动分配一个内部测试用的调试域名，此调试域名唯一且不可更改，每天最多可以访问1000次。如果您不希望与其他API共享此规格，可以在APIG控制台新建一个API分组（详情请参考“API网关APIG用户指南> API分组管理> 创建API分组”章节），然后在数据服务发布时选择对应API分组，独享每天最多访问1000次的规格。另外，您还可以为API分组绑定一个或多个独立域名（详情请参考“API网关APIG用户指南>API分组管理> 绑定域名”章节），API调用者通过访问独立域名来调用您开放的API，这样即可不受每天最多访问1000次的规格限制。 ROMA Connect实例：如果您需要将API发布到ROMA Connect实例上，则您需要提前在ROMA Connect服务上创建一个ROMA实例，并创建API分组（详情请参考“应用与数据集成平台 ROMA Connect用户指南> 服务集成指导> 开放API> 创建API分组”章节）。API分组创建后，系统为分组自动分配一个内部测试用的子域名，此子域名每天最多可以访问1000次。为了不受此规格限制，您可以为API分组绑定独立域名（详情请参考“应用与数据集成平台 ROMA Connect用户指南> 服务集成指导> 开放API> 绑定域名”章节），API调用者通过访问独立域名来调用您开放的API。 5.在发布API时，会触发审核，审核机制如下： 当发布人不具备审核人权限时，发布API时需要提交给审核人审核。 当发布人具备审核人权限时，可无需审批直接发布API。工作空间管理员角色的用户默认具备审核人权限。 如果非审核人权限的用户发布API时，待审核人审核通过后，即可发布完成。

本节介绍如何配置API安全的策略，包括自定义业务用途规则、自定义API生命周期判定标准。 配置业务用途 业务用途用于标识API的用途，您可以根据业务需要，创建自定义业务用途，并对策略状态进行管理。 新增业务用途规则 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > 策略配置”，进入API策略配置页面。 5. 在“业务用途”模块，单击右下角的“配置”，进入业务用途配置页面。 6. 在业务用途配置页面，单击“新增策略配置”，进入新建业务用途规则页面。 7. 在新建业务用途规则页面，配置业务用途规则参数，配置完成后，单击“确定”。 业务用途规则参数说明如下： 参数 说明 业务用途 自定义业务用途的名称，长度为210字符。名称不允许重复，不允许以“默认”命名。 匹配条件 支持输入匹配条件对特征进行匹配： 匹配字段：支持请求路径、请求参数、请求HOST、请求方法、响应内容类型五个字段。 逻辑符：支持“正则匹配”。 最多支持5个条件，多个条件之间为或关系。 优先级 请输入1~100的整数，数字越大，代表这条规则的优先级越高。若配置的优先级数字相同，则创建时间越晚，优先级越高。

本小节介绍Web应用防火墙续订、升级、退订。 续订/升级 续订说明 续订限制说明： 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 续订步骤 1. 在产品实例列表点击“续订”进入续订页面，页面显示当前服务规格和购买时长。 2. 选择“续费时长”，点击“立即购买”。 退订 退订说明 天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考 退订规则说明 。 退订步骤 退订需要人工审核，点击“退订”，提交退订理由。等待人工审核，审核完成后停止业务并退款。

本文向您介绍当云主机出现端口不通的情况时请应怎样排查。 问题现象 云主机端口不通，会导致云主机之间无法通信或云主机无法对外服务，会影响应用或服务间的调用，或者用户对服务的访问。 根因分析 可能有以下几种原因导致端口不通： 1. 在控制台界面，云主机所在安全组未放行该端口； 2. 应用服务配置存在问题，对外服务端口未被正常监听； 3. 操作系统内，防火墙配置策略异常，如防火墙未放行端口访问。 问题定位步骤 本文分别对Windows和Linux操作系统的远程连接端口进行排查，以下为操作步骤。 Windows 操作系统 此部分以Windows Server 2012操作系统的云主机为示例，对云主机无法远程连接问题的定位步骤。 步骤1：排查安全组是否放通Windows远程连接端口3389。 1. 登录控制中心，选择云主机所在区域，点击“弹性云主机”进入云主机控制台。 2. 在云主机列表，点击需要远程连接的云主机实例名称。 3. 点击“安全组”页签，查看安全组规则。 4. 检查云主机所在的安全组是否已添加3389入方向的安全组规则。 步骤2 ：排查端口是否正常被监听。 在Windows操作系统中打开cmd窗口，执行如下命令。 plaintext netstat ano findstr :3389 如果回显信息如下则说明3389端口正常全网监听。否则，请开启监听。 步骤3 ：排查防火墙已经放行服务。 1. 单击“控制面板”>“Windows防火墙”。 2. 根据防火墙状态，如果防火墙处于关闭状态，且您不需要使用防火墙，则无需再做其他处理。 3. 如果防火墙处于开启状态，则单击“高级设置”。 4. 在弹出窗口的左侧导航栏中，单击“入站规则”。 5. 右键“入站规则”>新建入站规则>选择“端口”>填写“需要放开的端口”完成配置。