功能 说明 参考新增证书的指引完成证书上传。 客户完成证书新增后，可通过客户控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、证书品牌、颁发时间、到期时间、创建时间等。 当证书过期或者不再使用时，可通过客户控制台删除证书。 如果证书临近过期，客户需要在过期前替换证书，避免影响域名的正常访问。 客户完成证书新增后，如发现证书信息上传有误，可通过客户控制台自助修改证书信息。 天翼云全站加速支持HTTPS加速服务，当您完成新增证书后，可以通过控制台绑定域名启用HTTPS加速服务，实现全网数据加密传输。 在您使用全站加速的过程中，可能会不定期修改证书信息，证书管理目录下的部署历史可以供您查看证书的部署历史。 如果您的网站没有购买HTTPS证书，可以通过全站加速平台提供的免费证书来支持HTTPS访问。

本节指导用户在密钥管理界面，通过标签搜索当前项目下满足标签搜索条件的自定义密钥。 前提条件 已添加标签。 约束条件 可添加多个标签进行组合搜索，最多支持20个不同标签的组合搜索，若进行多个标签组合搜索，则搜索结果的每个用户主密钥均满足标签组合搜索条件。 若需要在搜索条件中删除添加的标签，可在搜索条件中单击指定标签后的，删除添加的标签。 若需要重新添加搜索条件，可单击“重置”，重新添加搜索条件。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击“标签搜索”，展开搜索框。 步骤 5 在搜索框中输入或选择“标签键”和“标签值”。 步骤 6 单击，添加到搜索条件中，并单击“搜索”，显示满足搜索条件的用户主密钥列表。 说明 可添加多个标签进行组合搜索，最多支持20个不同标签的组合搜索，若进行多个标签组合搜索，则搜索结果的每个用户主密钥均满足标签组合搜索条件。 若需要在搜索条件中删除添加的标签，可在搜索条件中单击指定标签，删除添加的标签。 若需要重新添加搜索条件，可单击“重置”，重新添加搜索条件。

降级DDoS高防IP实例 1. 使用天翼云账号登录DDoS高防IP管理控制台。 2. 在DDoS高防IP实例列表页面，找到目标实例，单击操作列的“降级”。 3. 在降级页面，选择需要降级的规格。 注意 一次只能降级一种规格。 4. 根据所选规格，调整配额数量。 5. 在页面左下角确认可退费用后，勾选“我已阅读，理解并接受《天翼云高防IP产品服务协议》”，单击“立即订购”。 6. 进入付款页面，完成付款。 升级/降级弹性防护带宽 注意 需购买弹性防护带宽后，才支持对弹性防护带宽进行调整。 升级弹性防护带宽：需大于等于当前弹性防护带宽值。 降级弹性防护带宽：需大于保底防护带宽值，小于当前弹性防护带宽值。 1. 使用天翼云账号登录DDoS高防IP管理控制台。 2. 在DDoS高防IP实例列表页面，找到目标实例，单击操作列的“更多”，根据实际情况选择“升级弹性防护带宽”或“降级弹性防护带宽”。 3. 在升级/降级页面调整弹性防护带宽值。 4. 勾选“我已阅读，理解并接受《天翼云高防IP产品服务协议》”，单击“立即升级”或“立即降级”。 说明 弹性防护带宽根据实际使用量按需收费，为后付费模式，此时支付费用为0。

本节主要介绍编辑同步对象 数据复制服务提供的编辑同步对象功能可以对实时同步的对象进行修改。创建实时同步任务后，对于增量同步中的任务，您可以通过编辑同步对象来增加或者移除同步数据库和表，并提交同步任务。 前提条件 已登录数据复制服务控制台。 方法一 步骤 1 在“实时同步管理”页面，选择需要修改同步对象的任务，单击操作列的“编辑”按钮。 步骤 2 进入“设置同步”页面，修改需要同步的对象，单击“下一步”。 步骤 3 在“预检查”页面，进行同步任务预校验，校验是否可进行。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行任务预校验。 预检查完成后，且所有检查项结果均通过时，单击“下一步”。 说明 所有检查项结果均通过时，若存在请确认项，需要阅读并确认详情后才可以继续执行下一步操作。 步骤 4 页面跳转至“实时同步管理”，在同步任务列表中，当前任务状态显示为“增量同步”，并生成任务状态为“任务变更中”的子任务，待子任务变更完成后，开始对编辑后的同步对象进行增量同步。 方法二 步骤 1 在“实时同步管理”页面，选择需要修改同步对象的任务，单击任务名称。 步骤 2 页面跳转至“基本信息”，切换到“同步映射”页签，单击指定同步对象后面的“编辑”按钮。 步骤 3 执行方法一的步骤步骤2到步骤4。

Apache如何在访问日志中获取客户端真实IP 如果源站部署的Apache服务器为2.4及以上版本，您可以使用Apache安装包中自带“remoteipmodule”模块文件“modremoteip.so”，获取客户端IP地址。 CentOS 7.6 1. 编辑“httpd.conf”配置文件，在文件中添加以下内容： plaintext LoadModule remoteipmodule modules/modremoteip.so 加载modremoteip.so模块 RemoteIPHeader XForwardedFor 设置RemoteIPHeader头部 RemoteIPInternalProxy WAF的回源IP段 设置WAF回源IP段 说明 “modremoteip.so”模块已默认加载在以下文件：“/etc/httpd/conf.modules.d/00base.conf:46” 多个回源IP段请使用空格分隔。 2. 修改配置文件日志格式，即将日志格式文件中的“%h”修改为“%a”。 plaintext LogFormat "%a %l %u %t "%r" %>s %b "%{Referer}i" "%{UserAgent}i"" combined LogFormat "%a %l %u %t "%r" %>s %b" common 3. 重启Apache服务，使配置生效。 Ubuntu 20.04.2 1. 编辑“apache2.conf”配置文件，在文件中添加以下内容： plaintext ln s ../modsavailable/remoteip.load /etc/apache2/modsenabled/remoteip.load 加载modremoteip.so模块 RemoteIPHeader XForwardedFor 设置RemoteIPHeader头部 RemoteIPInternalProxy WAF的回源IP段 设置WAF回源IP段 说明 您也可以添加以下内容加载modremoteip.so模块： LoadModule remoteipmodule /usr/lib/apache2/modules/modremoteip.so 多个回源IP段请使用空格分隔。 2. 修改配置文件日志格式，即将日志格式文件中的“%h”修改为“%a”。 plaintext LogFormat "%a %l %u %t "%r" %>s %b "%{Referer}i" "%{UserAgent}i"" combined LogFormat "%a %l %u %t "%r" %>s %b" common 3. 重启Apache服务，使配置生效。 如果源站部署的Apache服务器为2.2及以下版本，您可通过运行命令安装Apache的第三方模块modrpaf，并修改“http.conf”文件获取客户IP地址。 1. 执行以下命令安装Apache的一个第三方模块modrpaf。 plaintext wget tar xvfz modrpaf0.6.tar.gz cd modrpaf0.6 /usr/local/apache/bin/apxs i c n modrpaf2.0.so modrpaf2.0.c 2. 打开“httpd.conf”配置文件，并将文件内容修改为如下内容： plaintext LoadModule rpafmodule modules/modrpaf2.0.so

本节介绍安全云应用的管理员指南。 服务开通 管理员可以在AI云电脑（政企版）控制台的扩展功能中选择“开通”安全安全云应用服务。 1.登录AI云电脑（政企版）控制台，进入菜单“协同套件”，打开安全云应用，点击“开通功能” 2.功能开通后，左侧菜单栏出现安全云应用子菜单。 注意 服务开通后还需要创建应用池、上架应用、关联用户后才可使用安全云应用。 创建应用池 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“安全云应用”菜单栏，选择“应用池管理”，点击“创建应用池”，进入“新增应用池”页面； 3.版本类型选择“独享版”； 独享版：每个用户独占一个虚机，适用于对数据和外设隔离要求比较高的场景； 4.选择规格类型“基础版”、“标准版”或“旗舰版”； 基础版：2C4G，适用于简单办公、文档编辑、客户服务等场景； 标准版：4C8G，适用于视频娱乐，在线会议，OA办公等场景； 旗舰版：8C16G，适用于高效办公，开发设计，视频监控等场景； 5.选择开通数量； 注：独享版此处开通数量要不小于使用安全云应用的用户数。应用池创建后可在应用池管理中通过“新增桌面”增加数量。 6.选择AI云电脑的“镜像类型”； 注：只能选择安全云应用镜像，管理员可先使用安全云应用基础镜像开一台AI云电脑，安装所需的应用软件并对软件进行个性化设置后，基于此AI云电脑创建自定义镜像。操作方法可参考镜像管理。 7.选择“vpc”和“业务子网”； 注：所选的业务子网需要绑定带宽，安全应用才能连接网络。详情可参考管理上网带宽； 8.确认相关的配置信息，点击“确定”，即完成应用池创建。 费用扣减：目前安全云应用仅支持资源包方式订购，有基础版（2C4G）、标准版（4C8G）、旗舰版（8C16G）三种规格可选，根据虚机规格和开通数量扣减资源包。 容量设置：系统盘只能使用默认规格，暂不支持更改。

当发生病毒入侵、人为误删除、数据丢失等事件时，可以使用SFS Turbo备份数据创建新的文件系统，创建后的文件系统原始数据将会和SFS Turbo备份状态的数据内容相同。 当发生病毒入侵、人为误删除、数据丢失等事件时，可以使用SFS Turbo备份数据创建新的文件系统，创建后的文件系统原始数据将会和SFS Turbo备份状态的数据内容相同。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 选择“备份副本”页签，找到存储库和文件系统所对应的备份。 3. 目标SFS Turbo备份所在行的“状态”栏为“可用”时，单击“操作”列下单击。 说明 创建备份请参考 4. 配置文件系统相关数据。如下图所示。 图 创建文件系统 说明 要了解这些参数的详细说明，请参见《弹性文件服务用户指南》里章节“创建文件系统”中“创建SFS Turbo文件系统”相关参数解释。 可以修改文件系统的类型，但只能进行同类型文件系统之间的修改。例如：标准型文件系统可以修改为性能型文件系统，但不能修改为标准型增强版文件系统。 创建的SFS Turbo文件系统只能为按需计费模式。 5. 单击“立即购买”。 6. 核对文件系统信息，单击“去支付”。 7. 根据界面提示付款，单击“确认付款”。 8. 返回弹性文件服务界面，确认创建新文件系统是否成功。 文件系统状态要经过“正在创建”、“可用”、“正在恢复”和“可用”四个状态。支持即时恢复特性的情况下由于速度很快，可能无法看到“正在恢复”状态。当状态从“正在创建”变更为“可用”时表示文件系统创建成功。当状态从“正在恢复”变更为“可用”时表示备份数据已成功恢复到创建的文件系统中。

参数 描述 购买时长 选择所需的时长，可选择包周期或者按需计费，系统会自动计算对应的配置费用，包周期时间越长，折扣越大。 购买数量 关系数据库MySQL版服务支持批量创建只读实例，只读总数上限为10个（具体资源池可能不同，以实际展示为准）。

弹性IP 弹性IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云主机、物理机、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 一个弹性IP只能绑定一个云资源使用。 图 通过EIP访问公网

本章会介绍天翼云关系型数据库的续费流程。 当产品实例到达到期时间，则会暂停相应的服务。此时，可以通过续订操作延后实例的到期时间。 1. 选择需要续订的实例，点开该实例的详情信息，点击“续费”链接； 2. 选择续订的时长，并完成订单支付 。

消息类型 消息介绍 产品信息 产品的创建、开通及资源到期提醒等产品相关信息通知 账户资金 充值、订单支付、提现等资金相关信息通知 活动消息 各类线上活动通知 服务消息 新产品上线或商业化通知 重要通知 网站重要公告、通知、声明等信息通知 其他 非以上消息类型通知

本节介绍服务器安全卫士（原生版）风险评估相关常见问题。 什么是基线扫描？ 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线扫描功能针对服务器操作系统、数据库、软件的配置进行安全检测，可以帮您加固系统安全，降低入侵风险并满足安全合规要求。 基线扫描功能通过配置不同的基线检查策略，可以帮助您快速对服务器进行批量扫描，发现包括系统、账号权限、数据库等存在的风险点，并提供修复建议。 基线扫描配置： 基线分类 检查标准及检查内容 覆盖的系统和服务 CIS基线 基于CIS标准的安全基线检查 Unix系统基线检测 Red Hat 6企业版基线检测 Red Hat 7企业版基线检测 Windows审计基线 Windows 10 企业版安全基线检测 Windows 2012 R2安全基线检测 Windows 2016安全基线检测 SQL Server 2012安全基线检测 MySQL 5.6 社区版基线检测 MySQL 5.6企业版基线检测 Apache HTTP Server 2.4基线检测 Web应用漏洞审计基线 如何对指定服务器下发基线检测任务？ 1. 进入服务器安全卫士（原生版）控制中心。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 4. 在策略管理页面，单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”。

本小节介绍域名无忧应用场景。 长久以来，域名劫持事件频繁发生，受影响的企业遭受到经济和名誉的双重损失，无数网民也深受其害。大多数域名劫持事件的影响持续数个小时或更久，但是真正的故障时间并没有那么长。不过，由于各层服务器缓存受到根服务器影响，在电信运营商没有对递归DNS手动刷新的情况下，影响可持续数个小时。 域名实施监控场景 DNS污染的数据包并不是在网络数据包经过的路由器上，而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回，但由于旁路产生的数据包发回速度较国外DNS服务器发回速度快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。天翼云域名无忧会实时监控域名的解析结果与预设置的解析结果进行比对，如果检测到域名异常，则生成域名告警信息。 域名一键刷新场景 网域的局域域名服务器的缓存受到污染，就会把网域内的域名引往错误的服务器或服务器的网址，导致正确域名无法访问，给企业或个人带来不可估量的损失。天翼云域名无忧可以有效解决此问题，天翼云域名无忧实时监控电信所有省份DNS服务的解析结果，用户发现DNS解析异常，可以手动执行域名刷新操作，使域名快速恢复至可用状态。

本文为您介绍整机备份与恢复的相关功能。 整机备份 前置条件 1. 已完成调度服务器、备份服务器的安装。 2. 已完成调度服务器、备份服务器的配置。 3. 已完成备份客户端新建。 新建备份规则 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步”“资源同步管理”，进入资源同步管理页面。 5. 点击左侧菜单栏 “数据定时灾备”，点击“整机保护备份规则”，进入恢复任务页面。 6. 点击“新建”按钮，进入创建恢复任务页面。 7. 基本参数页面各项配置如下： 参数 配置说明 规则名称 用户自定义的备份规则名称，可支持英文字母，数字，中文及特殊字符。 规则类型 支持“整机”备份。 超时阈值 超出时间阈值外未完成备份则产生告警，可设置在0168小时范围内。0表示关闭告警设置。 优先级 可选择任务执行的优先级，优先级高的优先执行，默认为0，可以填0~99999。 规则禁用 默认不选用，即默认规则启动，禁用表示该规则不参与调度。 8. 备份源&备份目标页面各项配置如下： 参数 配置说明 客户端 选择要备份的客户端。 备份目标 选择要备份的目标，可以选择存储单元、存储单元组。 备份集复制规则 可选择以“备份目标”所指定的存储单元或存储单元组为源的备份集复制策略。 传输链路 选择数据传输链路。 9. 备份内容&参数页面各项配置如下： 参数 配置说明 块设备名称 支持选择要备份的块设备磁盘。 备份数据存储格式 备份存储格式分为raw和自有紧凑，其中raw为只保存稀疏文件，自有紧凑为删除稀疏文件的空位置，只保存有数据的部分。 启用数据库保护 该选项开启后用户可以根据自己的需求选择数据库类型进行保护。 SQLServer 利用Windows VSS接口通知应用程序（如SQL Server）冻结IO写入，然后执行快照。 10. 备份计划页面各项配置如下： 参数 配置说明 基本设备页面 名称：用户自定义的备份计划名称，名称只能以英文字母开头，可包含数字，不能包含中文及特殊字符。 备份类型：选择备份类型，可选全备、增量的备份方式；注意执行增量备份时，如果没有可用的全量备份，当前备份会自动转换为全量备份。 备份时间窗口页面 备份时间窗口即允许备份任务可执行备份的时间范围，默认724小时，点击“重置”按钮后，用户可以重新自定义设置备份时间窗口。 启动时间窗口页面 启动时间窗口即允许备份计划触发备份任务启动执行的时间范围，默认724小时，点击“重置”按钮后，用户可以重新自定义设置启动时间窗口，备份任务到达启动时间窗口会开始启动备份。 执行计划页面 支持为备份计划选择策略类型，策略类型包含立即执行、一次性任务、按小时、按天、按周、按月等几种类型方式。 11. 高级设置页面各项配置如下： 参数 配置说明 传输压缩 选择是否启用传输压缩。启用传输压缩后，源端对准备传输的数据进行压缩处理，目标端接收数据进行解压写入本地存储。提供四个压缩类型选择：极速压缩，普通压缩，快速压缩，均衡压缩。 压缩类型 极速压缩：极速压缩采用lz4。压缩速度最快，压缩率比较低。 普通压缩：普通压缩采用zip，压缩速度最慢，压缩率一般情况下最高。 快速压缩：快速压缩采用snappy，压缩速度比极速压缩稍慢，但是压缩率一般比极速压缩要高。 均衡压缩：均衡压缩采用minilzo，压缩速度比极速压缩稍慢，但是压缩率一般比极速压缩要高。 说明：压缩速度：极速压缩>普通压缩。压缩效果：普通压缩>极速压缩。综合考虑时间和效果，推荐使用极速压缩。 传输加密 选择是否启用传输加密。启用传输加密后，工作机在准备发送数据过程时使用加密算法和密钥加密数据，当灾备机收到数据后将执行解密操作再写入灾备机的本地存储。此选项默认不加密。 备份数据压缩加密 开关选项，若打开后，需要配置压缩加密位置、压缩级别和加密算法；所有选项都允许修改。 带宽控制 用户选择时间段限制备份规则的带宽占用，避免数据复制业务对客户生产业务的影响。 12. 确认配置后，点击“确认”后完成创建。

本小节介绍云下一代防火墙SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云下一代防火墙SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPC地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 配置内容 1.配置VPN地址池 打开【网络→VPN→SSL VPN】，进行新建。 新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 2.VPN用户配置 登录云墙，打开【对象→用户→本地用户→新建→用户】，输入名称、密码、确认密码。 本次配置信息：名称：testuser；密码：123（此名称密码为示例）。 3.配置VPN安全域 打开【网络→安全域】，使用VPN安全域。 4.新建SSL VPN隧道接口。 打开【网络→接口】，新建→隧道接口。 配置接口名称：tunnel10； 安全域：VPNHub； IP地址配置：10.1.1.1/24。 注意 该IP地址是用于VPN登录时的网关地址，一般默认是XX.XX.XX.1/24的地址。 该地址网段涉及到下面SSL VPN地址池的配置，请根据自身网络进行规划。 逆向路由：关闭，防止出现环路。 5.配置出向策略。 SNAT配置：VPN地址池转换为防火墙接口地址。 安全策略访问：VPN安全域（被转换接口安全域）。

等保咨询适用于系统未开展测评和已开展测评的情况。 客户部署在天翼云上的系统有等级保护需求，可采购云等保咨询服务，轻松过等保。 系统未开展测评 等保测评技术指导：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 差距分析评估：提供系统差距的安全风险分析，并输出《差距分析评估》。 差距整改方案：提供差距整改安全方案。 系统已开展测评 差距分析评估：提供系统差距的安全风险分析，并输出《差距分析评估》。 差距整改方案：提供差距整改安全方案，指导整改。

尊敬的天翼云客户： 您好！ 因业务调整，自2024年9月13日起，密钥管理按需版不再支持新购。 调整影响范围： 新增客户：2024年9月13日起，无法订购按需版本，可选择开通包周期版本，规格说明： 存量客户：2024年9月13日前已开通过按需版的用户，可继续使用按需版本，并按照按需版资费计费。 给您带来不便，敬请谅解！感谢您对天翼云的信赖与支持，如您有任何问题，可随时通过工单或者服务热线（4008109889）与我们联系。 感谢您对天翼云一如既往的支持与理解！ 天翼云服务团队

本节为您介绍系统兼容与迁移限制相关问题。 兼容性列表有哪些？ 您可参见服务器迁移兼容性列表。 迁移源的引导位于任何非常规位置是否支持迁移？ 不支持。 天翼云系统引导必须为第一块盘第一个分区，不能出现将引导写入其他位置的情况，否则会导致系统无法启动。 迁移源使用共享带宽是否可以进行迁移? 不可以。 CMS仅支持独占带宽进行迁移，不支持使用共享带宽进行迁移，否则会出现无法获取到迁移源处的网络情况的问题。 迁移源使用dnat服务是否可以进行迁移？ 不可以。 CMS仅支持独占带宽进行迁移，不支持使用dnat服务进行迁移，否则会出现无法获取到迁移源处的网络情况的问题。 CMS支持裸设备迁移上云吗？ 不支持裸设备迁移。 XEN架构下Windows Server系列迁移至KVM架构有何注意事项？ 在将基于XEN架构的Windows系统实例迁移至天翼云的KVM架构时，可能会出现黑屏等异常情况。为确保迁移过程顺利，请务必完成以下关键检查和操作： 1. 检查缘由：将XEN架构实例变更为KVM架构实例的Windows云主机，需经过“制作系统快照”、“检查UVP VMTools版本”、“安装或升级UVP VMTools”、“变更规格”、“检查磁盘挂载状态”等关键步骤。其中，在安装或升级UVP VMTools时，若云主机中已安装PV Driver，会对其版本进行校验。为避免在云主机上安装UVP VMTools失败，需确保PV Driver版本满足要求。 2. 检查方式：进入目录“C:Program Files (x86)Xen PV Driversbin”，打开文件“version.ini”，查看PV Driver版本号。 例：pvdriverVersion5.0.104.010 （1）若存在该目录，且驱动版本高于5.0，则表示PV Driver已安装且版本满足要求，可正常执行安装UVP VMTools的操作。 （2）反之，则表示PV Driver未正常安装或版本不满足要求，需卸载旧版本PV Driver，安装新版本的PV Driver。 3. 具体安装辅助参考材料见：XEN实例变更为KVM实例（Windows） 注意：相关操作请在做好备份且在【弹性云主机】专家指导下进行

背景信息 分布式消息服务RabbitMQ版的消息都会被投入到一个或多个队列中。Consumer Tag是消费者客户端的标识符。您可以在分布式消息服务 RabbitMQ 版的消费者客户端设置Consumer Tag。 操作步骤 创建队列 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“队列管理”后，点击“新建”按钮。 5.点击“新建”后出现以下窗口，选择虚拟主机，输入队列名字，选择存储节点，然后点击确定即可创建队列。 参数说明如下表所示： 参数 描述 虚拟主机 选择创建队列所属的虚拟主机 名称 队列的名称。以amq.开头的为保留字段，因此不能使用。例如：amq.test。 存储节点 队列数据存储节点 是否持久化 队列元数据是否持久化到磁盘 是否自动删除 最后一个Consumer取消订阅后，Queue是否自动删除。 其他参数 Message TTL消息过期时间：number型(单位:ms) Auto expire队列过期时间，过期后队列自动删除：number型(单位:ms) Max length队列能保存的最大消息数：number型(单位:个) Max length bytes队列能保存的最大消息量：number型(单位:字节) Overflow behaviour 超过队列的最大设定值后消息接收策略：drophead,rejectpublish drophead：删除头部消息,一般就是最早发送的消息，保证队列可用 rejectpublish：拒绝接受新的消息，保证消息不丢失 Dead letter exchange死信交换器名称 Dead letter routing key死信路由键 Maximum priority队列最大优先级：要开启消息的优先级，必须设置消息所在队列的优先级 Lazy mode队列惰性模式：default、lazy default：默认值，普通队列 lazy：惰性队列，尽可能将消息存到磁盘中，会引起I/O操作比较多，内存消耗极少（有大量堆积的持久化消息建议使用） Master Locator 队列保存位置：clientlocal、minmasters、random clientlocal：队列创建时所用连接的节点 minmasters： 集群中节点主数量最少的节点 random：由rabbitmq服务器随机指定一个节点

本文介绍图片处理是否会产生费用。 目前媒体存储图片处理能力暂不收费，但通过图片处理后的文件，服务均会默认保存至当前存储桶，会产生对应的存储空间费用。 媒体存储收费的项目可参考计费概述。 更多关于图片处理的介绍以及注意事项，您可参考：图片处理概述。

本节主要介绍存储池列表信息。 点击导航栏中的“服务”>“存储池”，进入“存储池管理”页面。在“存储池管理”页面，可以查看存储池相关信息。可以通过“存储池名称”查找对应的存储池。 图1 存储池管理 项目 描述 存储池名称 存储池名称。 ：表示是基础存储池。 状态 存储池状态： 正常。 删除中。 故障域级别 存储池故障域级别： 数据目录级别。 服务器级别。 机架级别。 机房级别。 容量 存储池总容量。 缓存存储池卷 使用该存储池作为缓存存储池的卷。 存储池卷 使用该存储池作为存储池的卷。 卷存储模式：个数/容量 各种模式卷对应的个数及卷总容量。

本文为您介绍如何快速创建SSL VPN连接。 前提条件 客户端可以访问互联网。 客户端的私网网段和VPC的私网网段没有重合，否则无法访问VPC内的网络资源。 您已了解VPC中所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。 使用流程 1. 创建VPN网关。 创建VPN网关并开启SSL VPN功能。 2. 创建SSL服务端。 创建相应的SSL服务端，用于接入用户侧连接SSL VPN服务。 3. 创建SSL客户端。 在控制台创建SSL客户端，用于生成客户端连接SSL VPN服务端的配置。 4. 下载客户端证书。 在控制台下载客户端证书，一共三个证书。 5. 配置客户端。 下载客户端软件，安装并配置客户端。详情请参见SSL VPN（Windows客户端双因子认证）、SSL VPN（Android客户端双因子认证）、SSL VPN（macOS客户端双因子认证）步骤五操作。 6. 测试连通性。 登录客户端，访问VPC，测试网络连通性。

本节为您介绍镜像服务最佳实践汇总。 本节汇总了基于镜像服务常见应用场景的操作实践，每个实践为您提供详细的方案描述和操作指导，帮助您轻松构建基于镜像的相关业务。 最佳实践 说明 跨账号同区域迁移云主机（迁移系统盘） 本节操作以Linux操作系统为例，为您详细介绍在同一区域内，跨帐号迁移系统环境数据（只迁移系统盘数据）的操作流程。 跨账号同区域迁移云硬盘（迁移数据盘） 本节操作以Linux操作系统为例，为您详细介绍在同一区域内，跨帐号迁移业务数据（只迁移数据盘数据）的操作流程。 转换镜像格式 本节提供本地为Windows操作系统和Linux操作系统的转换镜像格式的操作方法。 麒麟系统云主机配置图形化界面 麒麟系统云主机默认没有安装图形化界面，本节为您介绍如何安装图形化界面。 Windows操作系统云主机磁盘空间清理 清理Windows操作系统云主机的磁盘空间可以帮助您释放存储空间并提升系统性能。本节为您介绍一些常见的磁盘空间清理步骤和建议。 统信系统本地源方式安装GUI图形化组件 本节为您介绍如何以本地源方式为统信系统安装GUI图形化组件。 使用Packer制作私有镜像 本文为您介绍，如何使用Packer工具快速制作私有镜像文件，以便您通过镜像导入功能上传私有镜像。 openGauss数据库调优镜像最佳实践 本文为您介绍，天翼云与 openGauss 社区联合推出的openGauss数据库调优镜像，使用该镜像，用户可快速部署 openGauss 数据库，并获得优于默认配置的性能表现。

服务授权 当您寻求天翼云的技术支持（不限于官网工单、线下咨询、电话等渠道）时默认运维人员已获得您的授权，技术支持过程中可能需要登陆您的数据库实例所在的主机执行一些运维命令，或者对您的数据库实例进行简单运维操作，但是都不会擅自更改您的数据。 当您向天翼云寻求技术支持（包括但不限于官网工单、线下咨询、电话等渠道）时，您默认已授权运维人员进行必要的操作。在技术支持过程中，运维人员可能需要登录您数据库实例所在的主机执行相关运维命令，或对数据库实例进行操作。但请注意，运维人员不会擅自更改您的数据。 若您需要天翼云的售后团队和DBA团队查看您实例的其它问题，您可以在工单或者其他渠道对他们进行如下书面授权： 配置权限 当您授权了该权限后，天翼云的售后团队和DBA团队可以在用户自定义的时间段内查看和修改RDS实例的配置信息。例如，RDS实例的白名单、数据复制模式、备份策略和数据库参数。但是在所有情况下，天翼云的售后团队和DBA团队都不会擅自更改RDS实例的连接信息（含连接地址和数据库账号）。 数据权限 当您授权了该权限后，天翼云的售后团队和DBA团队可以在用户自定义的时间段内查看RDS实例内的用户数据。例如，RDS实例的库表结构、索引字段、数据样本和SQL历史。但是在所有情况下，天翼云的售后团队和DBA团队都不会擅自更改RDS实例的库表结构、索引字段、数据。 我们始终致力于为您提供高效、安全的技术支持服务，同时严格遵守您的授权范围，确保您的数据安全和隐私不受侵犯。

本文将介绍如何免密拉取CRS镜像。 ECI支持从天翼云容器镜像服务CRS私有镜像仓库中免密拉取镜像，以提升效率和安全性。创建ECI实例前，需要将镜像上传到对应仓库中。本文介绍如何免密拉取CRS镜像。 背景信息 天翼云容器镜像服务CRS分为个人版和企业版。其中，企业版是企业级云原生应用制品管理平台，提供容器镜像、Helm Chart以及符合OCI规范制品的生命周期管理，适用于业务大规模部署场景，帮助企业降低交付复杂度。 创建工作负载时，如果要拉取的镜像属于CRS镜像，当使用内网地址时，ECI支持免密拉取，提升效率，同时避免密码泄露的风险，加强安全性。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 1. 登录云容器引擎控制台，在控制台的左侧导航栏中点击“集群” 。 2. 在集群列表页面中单击目标集群的名称。 3. 在左侧选择“工作负载”，选择“无状态”，在右上角单击“创建Deployment”。 4. 按需配置工作负载的信息。 5. 按需配置容器，容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 1. 容器名称：为容器命名。 2. 镜像更新策略：选择是否总是拉取镜像。 3. 镜像名称：选择容器使用的镜像，支持多种镜像来源。 4. 镜像版本：选择需要部署的镜像版本。 6. 点击选择镜像，从CRS镜像仓库选择私有镜像，选择内网地址。 7. 创建完成后，进入工作负载的无状态页面，可以看到新建的k8ssidecar应用出现在无状态列表下。

本章节主要介绍快照概述。 快照概述 快照是对DWS集群在某一时间点的一次全量数据和增量数据的备份，记录了当前数据库的数据以及集群的相关信息，其中包括节点数量、节点规格和数据库管理员用户名称等。快照创建方式包括手动创建快照和自动创建快照，详情参见手动快照和自动快照。 从快照恢复到集群时，DWS会根据快照记录的集群信息来创建新集群，然后从快照记录的数据中还原数据库信息。从快照恢复集群的详细步骤，详情请参见恢复快照到新集群。 其中快照备份和恢复速率如下所示（此速率为实验室测试环境下数据，仅供用户参考。在实际使用中，由于磁盘、网络、带宽等因素可能会产生一定的差异）： 备份速率：200 MB/s/DN 恢复速率：125 MB/s/DN 约束与限制 OBS快照存储空间： −DWS提供的免费存储空间等于集群存储空间，即单节点存储空间大小 节点数。 快照服务依赖及部署说明： −快照管理功能依赖于OBS、NFS的备份介质。 −备份设备为NFS的备份介质时，使用挂载盘的方式，依赖云上SFSTubor服务。 −当前快照恢复到新集群时仅支持OBS介质。 DWS根据快照创建的新集群与生成快照的原始集群具有相同的配置，即节点的数量和规格、内存、磁盘与原集群一致。 根据快照创建新集群时，如果没有指定其他值，则参数默认与生成快照时的备份信息保持一致。 快照生成期间，请避免进行Vacuum Full操作，否则可能会导致集群只读。 创建快照时因备份数据会降低磁盘I/O性能，建议在业务相对空闲的时期进行快照操作。 快照期间会保留一些中间文件，需额外占用磁盘空间，因此请避开业务高峰期并保证磁盘容量在70%以下。

本文主要介绍日志收集系统Flume接入Kafka。 最佳实践概述 场景描述 使用Flume+Kafka来完成实时流式日志处理，后面再连接上Storm/Spark Streaming等流式实时处理技术，从而完成日志实时解析的目标。如果Flume直接对接实时计算框架，当数据采集速度大于数据处理速度，很容易发生数据堆积或者数据丢失，而kafka可以当做一个消息缓存队列，可以把它理解为一个数据库，可以存放一段时间的数据。 因此数据从数据源（ HTTP、Log 文件、JMS、监听端口数据等）到flume再到Kafka进行消息缓存，数据一方面可以同步到HDFS做离线计算，另一方面可以做实时计算，可实现数据多分发。 技术架构图 暂无。 方案优势 把数据存储到 HDFS 或者 HBase 等下游存储模块或者计算模块时需要考虑各种复杂的场景，例如并发写入的量以及系统承载压力、网络延迟等问题。Flume 作为灵活的分布式系统具有多种接口，同时提供可定制化的管道。在生产处理环节中，当生产与处理速度不一致时，Kafka 可以充当缓存角色。Kafka 拥有 partition 结构以及采用 append 追加数据，使 Kafka 具有优秀的吞吐能力；同时其拥有 replication 结构，使 Kafka 具有很高的容错性。所以将 Flume 和 Kafka 结合起来，可以满足生产环境中绝大多数要求。 前提条件 需已购买Kafka实例、创建Topic，并且已成功消费消息。 确认准备 Apache Flume环境（1.6.0以上版本兼容 Kafka）。 确认 Kafka 的 Source、 Sink 组件已经在 Flume 中。 资源规划 本实践方案内容仅涉及Kafka专享版实例。 分布式消息服务 Figure 1 分布式消息服务 资源类型 配置项 配置明细 说明 :::: 企业中间件 DMS Kafka专享实例 需已购买kafka专享实例，创建好Topic，并成功消费消息。 方案正文

本文主要介绍设置实例公网访问。 当业务不再使用公网访问功能时，也可以关闭实例的公网访问功能。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例的“基本信息”页签。 步骤 5 设置公网访问。 说明 只有处于“运行中”状态的Kafka实例支持修改公网访问配置。 Kafka实例只支持绑定IPv4弹性IP地址。 开启公网访问。 在“公网访问”后，单击，开启公网访问。在“弹性IP地址”中，为每个代理设置对应的弹性IP地址，单击。 您可以在实例的“后台任务管理”页面，查看当前任务的操作进度。任务状态为“成功”，表示操作成功。 图 公网访问 开启公网访问后，需要设置对应的安全组规则，才能成功连接Kafka。连接Kafka的具体操作请参考连接Kafka。 表安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9094 0.0.0.0/0 通过公网访问Kafka（关闭SSL加密）。 入方向 TCP 9095 0.0.0.0/0 通过公网访问Kafka（开启SSL加密）。 关闭公网访问。 在“公网访问”后，单击，完成公网访问的关闭。 您可以在实例的“后台任务管理”页面，查看当前任务的操作进度。任务状态为“成功”，表示操作成功。

本章节将介绍如何修改数据库端口的方法。 使用须知 为确保安全性，以下情况不可修改数据库端口： 租户被冻结 重启中 节点扩容中 切换SSL中 规格变更中 删除节点中 存储扩容中 异常 对于集群实例，数据库实例的端口即mongos节点的端口，默认为8635，实例创建成功后可修改。shard节点的端口为8637，config节点的端口为8636，不支持修改。 对于副本集实例，默认端口为8635，实例创建成功后可修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 进入实例“基本信息”页面，在“网络信息”区域的“数据库端口”处单击，修改数据库端口。 修改数据库端口 您还可以在左侧导航树，单击“连接管理”，在“基本信息”区域的“数据库端口”处单击，修改数据库端口。 修改实例端口 说明 数据库端口修改范围为2100~9500，27017，27018，27019。 单击，提交修改。此过程约需1～5分钟。 单击，取消修改。 步骤 6 稍后可在“基本信息”区域，查看修改结果。

本节主要介绍导出参数模板 您可以导出您创建的数据库实例参数列表，生成一个新的参数模板，供您后期使用。请参考应用参数模板将导出的参数模板应用到新的实例。 您可以将该实例对应的参数模板信息（参数名称，值，描述）导出到CSV中，方便查看并分析。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航栏选择“实例管理”，单击指定实例名称，进入基本信息页面。 步骤 5 在左侧导航栏选择“参数修改”，单击参数页签下的“导出”。 导出参数模板 导出到参数模板。将该实例对应参数列表导出并生成一个参数模板，供您后期使用。 在弹出框中，填写新参数模板名称和描述，单击“确定”。 说明 参数模板名称在1到64位之间，需要以字母开头，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256位，不能包含回车和>!<"&'特殊字符。 创建完成后，会生成一个新的参数模板，您可在“参数模板管理”页面的对其进行管理。 导出到文件。将该实例对应的参数模板信息（参数名称，值，描述）导出到CSV表中，方便用户查看并分析。 在弹出框中，填写文件名称，单击“确定”。 说明 文件名称在4位到81位之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其。特殊字符。

如何查询及限制连接数 下面以副本集实例为例，介绍如何查询实例的连接使用情况，以及设置连接池的连接数。 查询当前连接数 根据您购买的文档数据库实例规格不同，最大连接数也不同。 最大连接数是指实例中每个节点的最大连接数。 示例：您购买了2核4GB规格的三节点副本集实例，那么该实例的Primary节点和Secondary节点的最大连接数均为400，Hidden节点由于其架构特殊性，不对外提供服务。 使用Mongo Shell连接副本集主节点后，执行命令db.serverStatus().connections查询节点当前连接数。 replica:PRIMARY> db.serverStatus().connections { "current" : 7, "available" : 398, "totalCreated" : 818364 } 您需要关注以下参数及对应的值： current：当前已经建立的连接数。 available：当前可用的连接数。 查询当前连接来源 1. 使用Mongo Shell连接副本集主节点后，切换至admin数据库。 replica:PRIMARY> use admin 2. 执行命令db.runCommand({currentOp: 1, $all: true})，查询连接来源。 通过分析命令的输出结果，您可以查询每个连接对应的来源IP地址。从而得出各个终端和DDS实例分别建立了多少连接。 图 输出结果 如何限制终端的连接数 文档数据库服务支持通过Connection String URI登录数据库。通过Connection String URI登录数据库时，在URI末尾加上“&maxPoolSize”，即可设置连接池的连接数。 示例：使用Mongo Shell连接副本集实例时，限制连接池的连接数为10。 mongo "mongodb://rwuser:xxxxxxxxxx@192.168.168.116:8635,192.168.200.147:8635/test?authSourceadmin&replicaSetreplica&maxPoolSize10" 图限制连接数 说明： 关于不同语言的客户端如何限制连接池的数量，请参考MongoDB官网各语言客户端的API文档。

操作场景 本章节指导用户针对事件监控创建告警规则。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“事件监控”。 4. 在事件列表页面，单击页面右上角的“创建告警规则”。 5. 根据页面提示，配置参数，参数说明如表11所示。 表11 创建告警规则 参数 参数说明 取值样例 ::: 选择类型 选择自定义创建。 自定义创建 监控指标 基础监控指标请参见弹性云主机的基础监控指标。 操作系统监控指标请参见弹性云主机操作系统监控的监控指标（安装Agent）和物理机操作系统监控的监控指标（安装Agent）。 挂载点 当监控指标为细颗粒度的磁盘类监控指标时需配置该参数。 Windows系统请输入对应的驱动器号，比如C、D或者E等，Linux系统请输入对应的挂载点，比如/dev、/opt等。 /dev 告警策略 触发告警规则的告警策略。 例如：监控周期为5分钟，连续三个周期平均值≥80% 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要 发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 选择“是”（推荐选择），会发送通知；选择“否”，不会发送通知。 是 主题通知 需要发送告警通知的主题名称。 当发送通知选择“是”时，需要选择已有的主题名称，若此处没有需要的主题则需先创建主题。 触发条件 可以选择“出现告警”、“恢复正常”两种状态，作为触发告警通知的条件。 6. 规则信息，根据界面提示配置参数，如表12所示。配置完成后，单击“创建”，完成自定义告警规则的创建。 表12 规则信息 参数 参数说明 取值样例 ::: 名称 系统会随机产生一个名称，用户也可以进行修改。 alarmb6al 描述 告警规则描述（此参数非必填项）。