本节为您介绍云迁移服务CMS服务器迁移任务中全量迁移部分公共操作。 CMS可在迁移过程中您可在“操作“选项卡，对不同任务进度进行操作。包括手动增量、停止增量、开始核查、取消核查、开始修复、取消修复、引导修复等操作。 您可在“任务管理”选项卡，进行带宽限制、CPU限制、暂停任务、继续任务、取消任务等操作。 全量迁移完成后，系统弹窗提示可进行下一步操作。

本节介绍了文档数据库服务的权限管理说明。 如果您需要对云上购买的DDS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云账号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DDS的使用权限，但是不希望他们拥有删除DDS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DDS，但是不允许删除DDS的权限策略，控制他们对DDS资源的使用范围。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DDS服务的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 DDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DDS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了DDS的所有系统权限。 DDS系统权限 策略名称/系统角色 描述 类别 依赖关系 DDS FullAccess 文档数据库服务所有权限。 系统策略 无 DDS ReadOnlyAccess 文档数据库服务资源只读权限，拥有该权限的用户仅能查看文档数据库服务数据。 系统策略 无 DDS ManageAccess 文档数据库服务除删除操作外的DBA权限。 系统策略 无 DDS Administrator 文档数据库服务（DDS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest和Tenant Administrator角色，在同项目中勾选依赖的角色。 下表列出了DDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 DDS FullAccess DDS ReadOnlyAccess DDS ManageAccess DDS Administrator 创建实例 √ x √ √ 查询实例列表 √ √ √ √ 删除实例 √ x x √ 重启实例 √ x √ √ 主备倒换 √ x √ √ 修改端口 √ x √ √ 重置密码 √ x √ √ 修改SSL √ x √ √ 修改安全组 √ x √ √ 绑定/解绑公网IP √ x √ √ 磁盘扩容 √ x √ √ 规格变更 √ x √ √ 节点扩容 √ x √ √ 删除扩容失败节点 √ x × √ 修改备份策略 √ x √ √ 重命名实例 √ x √ √ 修改内网IP地址 √ x √ √ 变更实例下节点绑定的参数模板 √ x √ √ 切换慢日志明文显示开关 √ x √ √ 切换审计日志开关 √ x √ √ 下载审计日志 √ x √ √ 删除审计日志 √ x × √ 下载备份文件 √ x √ √ 创建手动备份 √ x √ √ 查询备份列表 √ √ √ √ 恢复到新实例 √ x √ √ 恢复到已有实例 √ x √ √ 删除备份 √ x × √ 创建参数模板 √ x √ √ 查询参数模板列表 √ √ √ √ 修改参数模板 √ x √ √ 删除参数模板 √ x × √ 任务中心列表 √ x √ √ 下表列出了DDS常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 创建页需要查询对应的VPC、子网、安全组。 创建实例 dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 dds:instance:list 查询实例详情 dds:instance:list 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 导出实例列表 dds:instance:list 如果需要导出VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 删除实例 dds:instance:deleteInstance 删除实例需要同时删除数据侧IP地址。 重启实例 dds:instance:reboot 主备倒换 dds:instance:switchover 修改端口 dds:instance:modifyPort 重置密码 dds:instance:resetPasswd 修改SSL dds:instance:modifySSL 修改安全组 dds:instance:modifySecurityGroup 绑定公网IP dds:instance:bindPublicIp 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP dds:instance:unbindPublicIp 不支持企业项目 不支持细粒度 磁盘扩容 dds:instance:extendVolume 规格变更 dds:instance:modifySpec 节点扩容 dds:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 删除扩容失败节点 dds:instance:extendNode 如果IP地址已经创建完成，但后续流程失败，需要同时删除数据侧IP地址。 修改备份策略 dds:instance:modifyBackupPolicy 重命名实例 dds:instance:modify 修改内网IP地址 dds:instance:modifyVIP vpc:subnets:get vpc:ports:get 修改内网IP地址，需要预先查询出可用的IP地址，再进行修改。 变更实例下节点绑定的参数模板 dds:instance:modifyParameter 切换慢日志明文显示开关 dds:instance:modifySlowLogPlaintextSwitch 切换审计日志开关 dds:instances:modifyAuditLogSwitch 下载审计日志 dds:instances:downloadAuditLog 删除审计日志 dds:instance:deleteAuditLog 下载备份文件 dds:backup:download 创建手动备份 dds:instance:createManualBackup 查询备份列表 dds:backup:list 恢复到新实例 dds:backup:createInstanceFromBackup vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 加密实例需要在项目上配置KMS Administrator权限。 恢复到已有实例 dds:backup:refreshInstanceFromBackup 删除备份 dds:backup:delete 创建参数模板 dds:param:create 查询参数模板列表 dds:param:list 修改参数模板 dds:param:modify 删除参数模板 dds:param:delete 任务中心列表 dds:task:list

本文主要介绍远程桌面连接Windows云主机报错:没有远程登录的权限怎么操作。 问题描述 远程桌面连接时提示需要具有通过远程桌面服务进行登录的权限。 图 缺失远程登录权限 处理方法 1.打开cmd运行窗口，并输入“gpedit.msc”。 2.单击“确定”，打开“本地组策略编辑器”。 3.选择“计算机配置 > Windows设置 > 安全设置 > 本地策略 > 用户权限分配”。 a.查找并双击“允许通过远程桌面服务登录”。确保已添加“Administrators”和“Remote desktop users”。 图 允许通过远程桌面服务登录 b.查找并双击“拒绝通过远程桌面服务登录”。如果里面有Administrator账号，请删除。 图 拒绝通过远程桌面服务登录

ACL支持删除,本文帮助您快速熟悉ACL的删除。 使用场景 当您不在需要使用网络ACL去进行安全防护时，您可以选择删除ACL。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在网络ACL列表页面，点击目标ACL操作列，点击“删除”，在二次确认弹窗中点击“确定”即可删除ACL。 注意 1、对于可用区资源池来说，您需要先解绑子网与ACL的关联关系后，才可执行删除ACL的操作。 2、对于地域资源池来说，您无需解绑子网与ACL，可直接删除ACL。ACL在删除后会自动解除与子网的关联关系。

本节主要介绍应用参数模板。 操作场景 GeminiDB Influx支持应用参数模板。参数模板编辑修改后，不会立即应用到实例，您可以根据业务需要应用到实例中。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧导航栏，单击“参数模板管理”。 4. 在“参数模板管理”页面，根据参数模板类型不同进行如下操作。 若需要将默认参数模板应用到实例，在“系统默认”页签的目标参数模板单击“应用”。 若需要将用户自己创建的参数模板应用到实例，在“自定义”页签的目标参数模板单击“更多 > 应用”。 一个参数模板可被应用到一个或多个实例。 5. 在弹出框中，选择需要应用的实例，单击“确定”。 参数模板应用成功后，您可查看参数模板应用记录。

方法二 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击操作列“规格变更”。 图3 规格变更 4. 在“规格变更”页面，选择所需变更后的性能规格，单击“下一步”。 图4 集群实例规格变更 5. 在确认页面，确认性能规格。 包年/包月 如需重新选择，单击“上一步”，修改性能规格。 核对无误后，单击“提交订单”，开始变更规格。对于扩大规格的操作，您需要先进入付款页面，选择支付方式，完成支付。 按需计费 如需重新选择，单击“上一步”，修改性能规格。 核对无误后，单击“提交”，开始变更规格。 6. 查看变更结果。 在实例“基本信息”页面的“数据库信息”区域，可查看变更后的实例规格。

本节为您介绍云迁移服务CMS中数据库迁移工具高级配置相关内容。 1. 在迁移对象过滤界面，点击”高级配置”， 可对要迁移的表进行高级配置。 2. 在高级配置页面，可点击”批量配置”按钮，对选择的表进行批量配置，也可以点击对应表后面的配置按钮，进行单表配置，详情如下： 3. 点击对应表后面的配置按钮，进行针对单表进行高级配置详情如下： 4. 可点击”批量配置”按钮，针对多表进行高级配置详情如下： 说明 该高级配置功能，主要是对表、字段进行映射数据过滤

本节为您介绍云迁移服务CMS中数据库迁移工具评估参数配置。 1. 进入“数据库迁移工具”，点击“数据传输”展开菜单，点击“迁移评估”。 2. 点击“创建评估”按钮，跳转至评估任务参数配置界面。 评估名称 评估报告的名称，用于更好地识别评估报告的评估对象、用途等。 目标库类型： 用于评估源端数据库类型和目标端数据库类型的差异。 精确计算 开启该配置，会增加表行数统计的精确度，但相应的会增加评估时长；关闭后会减少评估用时，表行数统计值来自数据库缓存，可能会存在一定误差。 提示级别 设置评估结果中展示的最低级别信息。例如设置为告警级别，则报告中只会展示告警和错误级别的信息。

本节为您介绍云迁移服务CMS服务器迁移中Linux迁移任务相关配置。 自定义分区 根据源机分区自动初始化目标机分区配置，用户可自定义修改。 说明 存储容量修改建议：若需调整分区可通过查看源机分区与平台处查看源机分区查看迁移源信息，参照迁移源文件系统类型，挂载点，分区类型等信息进行目标机分区大小调整操作。具体请参见 1. 单点击“添加目标机分区”新增分区，分区类型包含标准分区、扩展分区、逻辑分区和LVM分区。 2. 您也可以按需进行“管理分区类型”、“管理LVM”、“查看源机分区”、“重置”。

接口功能介绍 云硬盘功能请联系客户经理开通。 接口约束 无 URI GET /v3/cloudVolume/availableDiskType 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx pageNum 否 Integer 页码，至少1，默认1 pageSize 否 Integer 每页数量，最大100，默认10 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 total Long 总记录数 list Array of Objects 数据列表 list 表 list 参数 参数类型 说明 示例 下级对象 diskType String 磁盘类型。枚举值范围：hio高IO;uhio超高IO。 uhio description String 磁盘类型描述。

此小节介绍企业主机安全权限管理。 如果您需要对HSS资源为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制对其资源的访问范围。例如您的员工中有负责软件开发的人员，您希望其拥有HSS的使用权限，但是不希望拥有删除HSS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用HSS服务，但是不允许删除HSS的权限，控制其对HSS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用HSS的其它功能。 HSS权限 默认情况下，管理员创建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 HSS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效，如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问HSS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对HSS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了HSS的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 HSS Administrator 主机安全服务（HSS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest角色。 Tenant Guest：全局级角色，在全局项目中勾选。 HSSFullAccess 主机安全所有权限。 系统策略 无 HSSReadOnlyAccess 主机安全的只读访问权限。 系统策略 无 系统默认提供两种权限：用户管理权限和资源管理权限。用户管理权限可以管理用户、用户组及用户组的权限。资源管理权限可以控制用户对云服务资源执行的操作。

本文为您介绍drnode客户端的更新和卸载操作。 drnode客户端更新 使用条件 安装drnode客户端后，客户端版本检查更新时，drnode客户端可进行更新操作。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步管理”“数据源”“客户端管理”，进入云主机列表页。 5. 当检查到客户端版本需更新，或点击客户端状态刷新按钮后检测到版本需更新时。 6. 点击操作列更新客户端按钮，可完成更新客户端操作。 drnode客户端卸载 使用条件 安装drnode客户端且未开启数据保护操作时，进行drnode客户端卸载操作。 安装drnode客户端且开启数据保护操作时，需删除数据保护后，进行drnode客户端卸载操作。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步管理”“数据源”“客户端管理”，进入云主机列表页。 5. 点击操作列“卸载客户端”按钮，完成drnode客户端卸载操作。

sectiondaf0b00e2497606c) SSL VPN的私有账号手机端和PC端能同时在线么？ SSL VPN是怎么管理配置的？ 云主机需绑定公网IP地址，打开电脑浏览器，在地址栏输入 VPN的Web管理控制台页面的，默认管理员账号和密码请咨询厂商（请尽快修改默认密码，使用默认密码可能存在安全风险）。 怎么申请免费试用的SSL VPN序列号？ SSL VPN支持试用。试用需联系区域的客户经理，由客户经理代下单完成试用订购。 SSL VPN常用的端口有哪些？ SSL VPN的Web控制台管理页面的默认端口是TCP4430，此端口可以修改，修改的位置：打开SSL VPN的Web控制台管理页面，在“系统设置 > 系统配置 > 控制台配置”的https端口输入框修改。 SSL VPN客户端接入的默认端口是TCP443，此端口可以修改，修改的位置：打开SSL VPN的Web控制台管理页面，在“系统设置 > SSL VPN选项 > 系统选项 > 接入选项”的https端口输入框修改。 SSL VPN支持哪些客户端操作系统来拨入SSL VPN隧道？ 支持的有： Win7、Win8、Win10 MacOS 10.910.15、MacOS 11.012.0 安卓4.0或以上的版本 苹果iOS9.0或以上的版本 MacOS接入SSL VPN的注意事项？ MacOS用户需要关联L3VPN类型资源，才能正常使用SSL VPN。 是否可以简单执行ping route等网络命令来测试网络连通性？ 可以的，打开SSL VPN的Web控制台管理页面，点击“系统维护 > 命令控制台”，执行相关命令测试即可。

本章节主要介绍数据集成概述。 DataArts Studio数据集成是一种高效、易用的数据集成服务，围绕大数据迁移上云和智能数据湖解决方案，提供了简单易用的迁移能力和多种数据源到数据湖的集成能力，降低了客户数据源迁移和集成的复杂性，有效的提高您数据迁移和集成的效率。 数据集成即云数据迁移（Cloud Data Migration，后简称CDM）服务，本文中的“云数据迁移”、“CDM”均指“数据集成”。 您可以通过以下方式之一进入CDM主界面： 登录CDM控制台，单击“集群管理”，进入到CDM主界面。 登录DataArts Studio控制台。选择对应工作空间的“数据集成”模块，进入CDM主界面。 选择数据集成详见下图 云数据迁移简介 云数据迁移基于分布式计算框架，利用并行化处理技术，支持用户稳定高效地对海量数据进行移动，实现不停服数据迁移，快速构建所需的数据架构。 数据集成定位详见下图 产品功能 表/ 文件/ 整库迁移 支持批量迁移表或者文件，还支持同构/异构数据库之间整库迁移，一个作业即可迁移几百张表。 增量数据迁移 支持文件增量迁移、关系型数据库增量迁移、HBase/CloudTable增量迁移，以及使用Where条件配合时间变量函数实现增量数据迁移。 事务模式迁移 支持当CDM作业执行失败时，将数据回滚到作业开始之前的状态，自动清理目的表中的数据。 字段转换 支持去隐私、字符串操作、日期操作等常用字段的数据转换功能。 文件加密 在迁移文件到文件系统时，CDM支持对写入云端的文件进行加密。 MD5校验一致性 支持使用MD5校验，检查端到端文件的一致性，并输出校验结果。 脏数据归档 支持将迁移过程中处理失败的、被清洗过滤掉的、不符合字段转换或者不符合清洗规则的数据单独归档到脏数据日志中，便于用户查看。并支持设置脏数据比例阈值，来决定任务是否成功。

云搜索服务支持您在控制台修改OpenSearch.yml文件中的部分参数。 云搜索服务支持您在控制台修改OpenSearch.yml文件中的部分参数。 操作步骤 1. 登录云搜索服务管理控制台，在左侧导航栏，选择对应的实例类型，进入管理列表页面。 2. 点击实例名称进入对应实例详情，并选择“配置管理”。 3. 点击“修改配置”进入编辑状态，对所需的参数进行修改，修改时请关注填写规则和样例。 4. 修改完成后，点击“提交”，并在弹出的窗口中核对修改信息，需要知晓并勾选重启过程中可能会导致服务短暂不可用，确认后等待对应参数修改记录变为成功，即为已生效。若为失败，则未成功修改，参数仍为改前值。 5. 可在下方参数修改记录中查看近10次的修改记录和状态。 6. 如果有需要修改的参数不在列表内，请提报工单申请，由工程师为您修改。 指标分类 参数名称 填写说明 跨域访问 http.cors.enabled true表示启用跨域资源访问，false表示不启用 跨域访问 http.cors.alloworigin 支持 host/IP 和 port 组合、域名或号，例如node1:9200,127.0.0.1:9200，限制1100个，逗号隔开；号表示全部放开 跨域访问 http.cors.maxage 浏览器默认缓存时间。如果超过设置的时间后，缓存将自动清除。数值，取值范围[01728000]，单位秒 跨域访问 http.cors.allowcredentials 响应中是否允许返回allowcredentials取值true/false 跨域访问 http.cors.allowheaders 跨域访问允许的headers，XRequestedWith,ContentType,ContentLength中的任意一个或多个 跨域访问 http.cors.allowmethods 跨域访问允许的方法OPTIONS,HEAD,GET,POST,PUT,DELETE中的任意一个或多个 审计日志 plugins.security.audit.type 审计日志，默认关闭，开启后，系统会记录OpenSearch实例对应的操作产生的日志 Reindex索引迁移 reindex.remote.whitelist 添加远程集群的访问地址白名单，支持host/IP 和 port 组合，例如 node1:9200，127.0.0.1:9200，port必填。限制1100个，逗号隔开 索引自动创建、通配删除 action.destructiverequiresname 删除索引是否需要声明完整索引名 true：需要声明完整索引名 false：不需要声明完整索引名 自定义查询缓存 action.autocreateindex 是否允许自动根据文档创建索引 线程池 threadpool.forcemerge.size forcemerge场景下队列的大小 流量控制 flowcontrol.search.qps 每秒查询请求数，超过设定值，响应查询API则熔断 读写集群的线程池设置 threadpool.write.queuesize 写阈值线程池大小，整数类型，取值范围1100000 读写集群的线程池设置 threadpool.search.queuesize 读阈值线程池大小，整数类型，取值范围1100000 fielddata的堆内cache indices.fielddata.cache.size fielddata的cache size，百分比，取值范围1%39% 查询相关限制 indices.query.bool.maxclausecount 查询的bool语句允许的子语句大小，整数类型，取值范围11024

在设置Web安全防护功能之前，您需要先进行安全基础配置。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【安全防护】 3. 进入【安全基础配置】页面 配置说明 配置项 说明 防护模式 防护模式：域名防护开关，为防护功能的全局按钮，用于控制功能是否生效 开启：开启web防护 关闭：关闭web防护，策略不生效 处理动作 处理动作：全局处理动作 拦截：当处理动作为拦截时，各防护功能的处理动作依照其配置生效； 告警：当处理动作为告警时，各防护功能的处理动作如果配置为拦截，则也生效为告警。 漏洞防护配置 设置漏洞防护配置，根据下拉提示选择适配网页业务的模板 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择； 敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性； 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注； PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注； JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注； 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注； 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注； 注意：域名刚接入时建议使用【敏感防护规则集】，能够适用于大部分常规网站 静态文件后缀 在【静态文件后缀】输入框中输入无需检测的文件后缀，多个用英文;分隔，输入并提交保存后，边缘云WAF将不对这些文件类型进行检测 默认值：css;js;pjpeg;flv;mp4;mp3;wmv;wma;avi;apk;rpm;deb;bin;ogg;mpg;mpeg;f4v;rm;3gp;img;cur;jpe;ico;msi;cab;pdf;aac;swc;doc;docx;xls;xlsx;ppt;pptx;rmvb;ipa;sis;xap;m3u8;ts;gif;jpg;jpeg;swf;png;bmp

常见错误 1. 请先修改云主机/etc/resolv.conf文件，在首行添加nameserver 100.95.0.1。 答：前置条件，vi /etc/resolv.conf，在首行添加nameserver 100.95.0.1。 2. 端口是否被占用。 答：配置文件重新修改服务启动端口。 3. msemscendpoint地址错误，请重新接入。 答：根据前置文件获取msemscendpoint。 4. Java Not Installed。 答：需要安装java环境。 5. agent path error。 答：上传至云服务器的Agent路径错误。 6. nacos addr or username or password error。 答：nacos的账号密码地址出现错误。

本文主要介绍云日志服务Logback SDK的使用方式。 Ctyun Logback Appender概述 Logback是由log4j的创始人设计的一款高性能、灵活配置的Java日志框架。它支持将日志输出到各种目标，如文件、控制台等，并允许通过简单的配置文件自定义日志级别、格式和输出目的地。Logback的特点在于其高效的日志处理能力和强大的配置灵活性，使得开发者能够轻松控制和管理日志，从而更好地监控和调试应用程序。同时，Logback也提供了与多种系统组件的集成支持，为Java应用提供了全面的日志解决方案。 通过Ctyun Logback Appender，您可以将生成的日志信息异步发送到ctyun云日志服务，其样式如下： plaintext useragent : logback level : INFO location : cn.ctyun.example.LogbackAppenderExample.main(LogbackAppenderExample.java:22) message : info log logback thread : main time : 20240606T14:33+0800 message : 20240606 14:33:15,203 INFO [main] LogbackAppenderExample: info log logback 其中： level：日志级别。 location：日志打印语句的代码位置 。 message：日志内容。 throwable：日志异常信息，只有当记录了异常信息，这个字段才会出现。 thread：线程名称。 time：日志打印时间（可以通过 timeFormat 或 timeZone 配置 time 字段呈现的格式和时区）。ts ：日志生成时的时间。 message ：日志信息。 useragent ： 日志来源 功能优势 日志实时传输： 实时性增强： 日志数据不再依赖传统的磁盘写入，而是实时通过网络通道发送至服务端，确保数据的即时性。 无侵入性集成： 无缝对接： 对于已采用logback作为日志框架的应用，我们提供了简洁的配置方案，无需对应用代码进行大幅度修改，即可实现日志的采集与传输。 高效异步处理： 高并发设计： 系统采用高并发架构，后台异步处理日志发送任务，即使在大量日志数据产生的情况下，也能保证系统的稳定运行和高效处理。

本节介绍了云数据库TaurusDB实例的磁盘容量变更操作。 操作场景 包年/包月TaurusDB实例在使用过程中，随着业务数据的变化，最初申请的存储容量可能会和实际使用量存在偏差，TaurusDB实例提供变更存储空间的服务，以满足您的业务需求。 存储空间如果超过当前容量，超出的部分将按需计费，推荐扩容磁盘享受包周期优惠政策。扩容期间，服务不中断，备份业务不受影响。 约束条件 仅包年/包月实例支持磁盘容量变更，按需实例不支持此操作。 TaurusDB数据库实例支持无限次容量变更。 容量变更过程中，该实例不可重启和删除。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击“操作”列的“更多 > 容量变更”，进入“容量变更”页面。 您还可以通过单击目标实例名称，进入“基本信息”页面。在“存储/备份空间”模块，单击“容量变更”，进入“容量变更”页面。 图 容量变更入口 步骤 5 在“容量变更”页面，选择空间大小，单击“下一步”。 扩容存储空间，每次扩容步长为10GB，实例所选容量大小必须为10的整数倍，最大磁盘容量为128000GB。 步骤 6 进行规格确认。 如需重新选择，单击“上一步”，回到上个页面，修改存储空间大小。 核对无误后，单击“提交订单”，进入付款页面，选择支付方式，完成支付。 步骤 7 查看容量变更结果。 在实例管理页面，稍后单击实例名称，在“基本信息”页面，查看存储空间大小，检查磁盘容量变更是否成功。

ClusterComponent检查 检查项名称 说明 修复方案 集群Kubernetes版本过低 检查集群Kubernetes版本是否为云容器引擎当前支持的最新版本。 请通过控制台集群升级功能更新集群kubernetes版本。 集群DNS服务ClusterIP 检查集群DNS服务的Cluster IP是否正常分配，集群DNS服务异常会造成集群功能异常，影响业务。 请检查CoreDNS Pod运行状态和运行日志。更多信息，请参见DNS解析异常问题排查。 集群DNS服务后端端点数 检查集群DNS服务Endpoints数，数量过少时影响CoreDNS的高可用性。 请检查CoreDNS Pod运行状态和运行日志。更多信息，请参见DNS解析异常问题排查。 检查CoreDNS是否部署到不同节点上 检查CoreDNS是否配置了Pod反亲和，调度到不同的节点上，避免单一节点故障，提高可用性。 请检查集群CoreDNS是否配置了Pod反亲和。 检查NodeLocalDNS是否启用并给命名空间配置了自动注入 检查NodeLocalDNS插件是否安装，并给命名空间配置了自动注入，便于该命名空间下的Pod快速解析DNS。 请检查集群中是否安装了NodeLocalDNS插件并给命名空间配置了自动注入。 检查CoreDNS是否调度在Master节点上 Master节点尽量避免业务Pod调度在其上，检查CoreDNS是否配置了nodeAffinity或nodeSelector导致调度到master节点上。 请检查CoreDNS是否配置了nodeAffinity或nodeSelector导致调度到master节点上。 检查集群APISever是否可用 检查节点能否正常连接集群API Server，访问集群中其他K8s资源。 请检查集群相关配置。检查Master组件Pod是否异常。API Server使用的负载均衡ELB是否异常。 检查集群免密插件版本是否最新 检查集群免密插件版本是否为为云容器引擎当前支持的最新版本。 集群免密插件版本检查过低，请尽快升级版本。

本文将介绍如何免密拉取CRS镜像。 ECI支持从天翼云容器镜像服务CRS私有镜像仓库中免密拉取镜像，以提升效率和安全性。创建ECI实例前，需要将镜像上传到对应仓库中。本文介绍如何免密拉取CRS镜像。 背景信息 天翼云容器镜像服务CRS分为个人版和企业版。其中，企业版是企业级云原生应用制品管理平台，提供容器镜像、Helm Chart以及符合OCI规范制品的生命周期管理，适用于业务大规模部署场景，帮助企业降低交付复杂度。 创建工作负载时，如果要拉取的镜像属于CRS镜像，当使用内网地址时，ECI支持免密拉取，提升效率，同时避免密码泄露的风险，加强安全性。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 1. 登录云容器引擎控制台，在控制台的左侧导航栏中点击“集群” 。 2. 在集群列表页面中单击目标集群的名称。 3. 在左侧选择“工作负载”，选择“无状态”，在右上角单击“创建Deployment”。 4. 按需配置工作负载的信息。 5. 按需配置容器，容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 1. 容器名称：为容器命名。 2. 镜像更新策略：选择是否总是拉取镜像。 3. 镜像名称：选择容器使用的镜像，支持多种镜像来源。 4. 镜像版本：选择需要部署的镜像版本。 6. 点击选择镜像，从CRS镜像仓库选择私有镜像，选择内网地址。 7. 创建完成后，进入工作负载的无状态页面，可以看到新建的k8ssidecar应用出现在无状态列表下。

本页面介绍云数据库ClickHouse如何通过HTTP接口进行连接。 HTTP接口使您可以通过任何编程语言在任何平台上使用云数据库ClickHouse，您将其用于Java和Perl以及Shell脚本，Perl、Python和Go也可以使用HTTP接口。HTTP接口比本机接口受到更多限制，但是具有更好的兼容性。clickhouseserver 侦听的HTTP端口默认情况下是8123。 如果进行不带参数的GET请求，它将返回200响应代码和httpserverdefaultresponse默认值“ Ok”中定义的字符串，末尾有换行符。参数可以URL参数query发送或者以POST请求方式发送，或在“ query”参数中发送查询的开头，然后在POST中发送其余查询（在后面解释为什么这样做的必要性）。在发送大型查询时，请注意URL的大小限制为16 KB。如果成功，您将在响应正文中收到200响应代码和结果。 如果发生错误，您将在响应正文中收到响应代码500和一个错误描述文本。 使用GET方法时，设置为“只读”。换句话说，对于修改数据的查询，只能使用POST方法。可以在POST正文或URL参数中发送查询本身。默认情况下，服务器设置中注册的数据库用作默认数据库即default，可以在表名称之前使用点来指定数据库。 身份验证 可以通过以下三种方式之一指定用户名和密码进行登录验证： 使用HTTP基本身份验证。 ​​$ echo 'SELECT 1' curl ' d @ 在URL参数中使用user 和password指定，使用database参数指定数据库。 ​​$ echo 'SELECT 1' curl ' d @ 在HTTP请求头中通过“ XClickHouseUser”和“ XClickHouseKey”指定用户名和密码。 ​​$ echo 'SELECT 1' curl H 'XClickHouseUser: user' H 'XClickHouseKey: yourpassword' ' d @

弹性IP是否支持过户？ 不支持。弹性IP暂不支持指定或过户。 弹性IP释放后，就可能被其他用户申请。 但其他用户申请时的分配方式是随机分配，不能保证申请到其他用户刚刚释放的IP地址。 同时释放后的弹性IP不支持找回。 弹性IP加入共享带宽后，还会收取带宽或流量费吗？ 不收费。 弹性IP加入共享带宽后，弹性 IP 的带宽费和流量费都不会再收取，弹性IP的带宽峰值也会变为共享带宽的带宽峰值。 此时，弹性IP的IP保有费与是否加入共享带宽无关，仅与弹性IP是否绑定云资源有关。

本文主要介绍应用场景。 使用ELB为高访问量业务进行流量分发 对于业务量访问较大的业务，可以通过ELB设置相应的分配策略，将访问量均匀的分到多个后端主机处理。例如大型门户网站，移动应用市场等。 使用ELB消除单点故障 对可靠性有较高要求的业务，可以在负载均衡器上添加多个后端云主机。负载均衡器会通过健康检查及时发现并屏蔽有故障的云主机，并将流量转发到其他正常运行的后端云主机，确保业务不中断。例如官网，计费业务，Web业务等。

若您需要连接集群,需要给管理节点绑定弹性IP才能访问公网,本文带您了解创建并绑定弹性IP的详细操作步骤。 操作场景 若您需要使用天翼云弹性高性能计算运行您的作业，需要给管理节点绑定弹性IP才能访问公网。 方法一：创建集群时可直接自动分配或使用已有弹性IP。 方法二：若创建完集群时未绑定弹性IP，可在详情页弹性点击绑定弹性IP，跳转至管理节点详情页，绑定弹性IP，具体步骤可参考 弹性IP具体创建步骤请参考申请弹性IP。 弹性IP具体绑定步骤请参考绑定与解绑云资源。

本文介绍如何使用coredump分析实例程序异常。 核心转储（Core Dump）是操作系统在程序异常终止（如崩溃）时，自动生成的一个包含程序崩溃时内存状态的文件（通常命名为 core 或 core.pid）。它记录了程序崩溃时的完整运行环境，用于后续的调试和分析。 使用限制 仅支持状态为运行中（Running）的 ECI 实例。 仅支持将 corefiles 文件等保存到持久化存储(云硬盘,弹性文件,对象存储)中, 因此 ECI 实例需要有挂载持久化存储卷。 操作步骤 天翼云弹性容器实例ECI支持用户通过OpenAPI创建coredump运维任务，详细使用方法参考创建coredump运维任务。

检查内网DNS地址与安全组配置 如您未对DNS进行修改，可使用root或Administrator账号登录相应云主机，输入如下命令： ping ces.{项目}.ctyun.cn 二类节点各资源池项目值可通过控制台“我的凭证”查询。 以苏州为例， ping ces.cnjssz1.ctyun.cn 如可正常连通，说明DNS地址正确可正常访问。 如无法连通，请按照如下操作指导进行配置修改。 修改DNS与添加安全组（Linux） 修改DNS与添加安全组（Windows） 如需获取二类节点各资源池内网DNS地址，可通过天翼云提供的内网DNS地址是多少？获取。

参数 参数类型 说明 示例 下级对象 decHostStatus String 宿主机状态 up decHostName String 展示给用户的宿主机名称 host01 cpuRatio Float CPU的倍频 1 totalVMs Integer 总的虚机数量 2 usedVCPUs Integer 已用vCPU的数量 3 usedMemSize Integer 已用内存大小，单位MB 154618822656 totalMemSize Integer 总内存大小，单位MB 539182649344 totalVCPUs Object 总CPU数量 autoDeployed Boolean 是否自动部署： True ：自动部署， False ：非自动部署 true runningVMs Integer 运行中的云主机数量 2 decHostID String 宿主机UUID 417cdb4bde54e5e562dab78533a45b38 cpuInfo Object cpu信息 cpuInfo azName String 可用区名称 cnhuadong1jsnj1Apublicctcloud

问题描述 使用TightVNC登陆windows2019vGPU操作系统的PI7规格GPU云主机，运行Display Changer，通过dc64.exe width1920 height1080 refresh60 force命令修改分辨率为19201080，但实际不生效，分辨率仍为12801024。 如下图： 可能原因 通过TightVNC登录时默认选择的是显示器1，需要在执行Display Changer命令修改分辨率时指定为显示器2（在Nvidia A10上）。 解决方法 1. 执行如下命令修改分辨率并指定Monitor。 dccmd.exe monitor".DISPLAY2" width1920 height1080 2. 执行命令查看分辨率修改成功。 from win32api import GetSystemMetrics 注意 NIDIA Virtual Applications许可证类型最大支持的分辨率仅为 12801024，若要修改分辨率为19201080需要确保许可证类型为NVIDIA RTX Virtual Workstation。

本文简单介绍iBox边缘盒子的功能特性。 单机 云边 产品部署 应用场景 核心优势 产品功能

前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 gRPC是远程过程调用框架（RPC），有多语言的实现，底层采用HTTP2作为传输协议；由于HTTP2采用长连接机制，在负载均衡的场景下可能导致负载的不平衡，本文介绍负载不均衡的场景以及如何通过服务网格实现负载均衡。 部署gRPC server和client应用。 apiVersion: apps/v1 kind: Deployment metadata: name: grpcserverv1 labels: app: grpcserver version: v1 spec: replicas: 1 selector: matchLabels: app: grpcserver version: v1 template: metadata: labels: app: grpcserver version: v1 spec: containers: args: address0.0.0.0:8080 image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcserver imagePullPolicy: Always name: grpcserver ports: containerPort: 8080 apiVersion: apps/v1 kind: Deployment metadata: name: grpcserverv2 labels: app: grpcserver version: v2 spec: replicas: 1 selector: matchLabels: app: grpcserver version: v2 template: metadata: labels: app: grpcserver version: v2 spec: containers: args: address0.0.0.0:8080 image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcserver imagePullPolicy: Always name: grpcserver ports: containerPort: 8080 apiVersion: v1 kind: Service metadata: name: grpcserver labels: app: grpcserver spec: ports: name: grpcbackend port: 8080 protocol: TCP selector: app: grpcserver type: ClusterIP apiVersion: apps/v1 kind: Deployment metadata: name: grpcclient labels: app: grpcclient spec: replicas: 1 selector: matchLabels: app: grpcclient template: metadata: labels: app: grpcclient "sidecar.istio.io/inject": "true" spec: containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcclient imagePullPolicy: Always command: ["/bin/sleep", "3650d"] name: grpcclient 部署之后的pod列表（一个client，两个版本的server）： 通过client访问server，可以看到总是访问服务端的同一个实例。 kubectl exec it grpcclientb7499b9c45d2s n grpc /bin/greeterclient insecuretrue addressgrpcserver:8080 repeat10 为grpc client注入sidecar（打上标签"sidecar.istio.io/inject": "true"），重新部署grpcclient之后可以看到pod列表如下： 再次通过grpcclient访问grpcserver可以看到请求交替访问两个版本的grpcserver： 部署流量治理策略使70%的流量访问v2版本的grpcserver,30%的流量访问v1版本的grpcserver。 apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: drgrpcserver spec: host: grpcserver trafficPolicy: loadBalancer: simple: ROUNDROBIN subsets: name: v1 labels: version: "v1" name: v2 labels: version: "v2" apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: vsgrpcserver spec: hosts: "grpcserver" http: match: port: 8080 route: destination: host: grpcserver subset: v1 weight: 30 destination: host: grpcserver subset: v2 weight: 70 再次访问可以看到请求在grpcserver的两个版本之间不再是交替访问，而是大概按照7:3的比例访问：

名词 说明 智能网关 在SDWAN网络架构中，智能网关通常简称为CPE。CPE作为部署在客户侧的重要网络设备，与PoP点之间组建加密通道，将客户侧的流量通过加密通道传输至PoP点并进入SDWAN骨干网中，进而最终传输到组网对端CPE。 虚拟智能网关（vCPE） 智能网关vCPE是智能网关的软件镜像版。在SDWAN网络架构中，通过将vCPE镜像部署在云主机中，使服务器作为一个虚拟智能网关设备提供入云服务，帮助用户打破云间壁垒，提供更加灵活、便捷的入云服务。 网络接入点 网络接入点通常简称为PoP点。在SDWAN网络中，PoP点作为SDWAN组网的重要网络节点，承担着与智能网关之间通信，与其它跨域PoP点之间的SDWAN骨干网通信等重要功能。 SDWAN骨干网 中国电信SDWAN产品的PoP节点间的骨干网，基于中国电信优质的ChinaNet网络及CN2DCI网络构成，用户的SDWAN网络流量在骨干网中通过VxLAN技术进行逻辑隔离，保障用户数据的安全性和私密性。