本节介绍应用辅助工具的用途和使用方法。 应用辅助工具使用方法 应用辅助工具，可帮助管理员快速获取应用创建所需的displayName和displayVersion，以及是否支持静默安装等信息，用于应用管理与应用管控模块。 工具获取 目前此工具可在应用市场客户端搜索并下载。 注：最新的应用辅助工具版本为V2.1，请使用最新的版本进行操作。 使用方法 （1）运行工具 打开天翼AI云电脑应用辅助工具。 注：如提示需安装.Net Framework 4.8，请先安装后再打开工具。 （2）选择安装文件 点击“选择安装文件”按钮，选择待安装的应用安装包（支持分批添加）。在待安装列表中，点击右键可选择清空列表或删除指定应用，如下图所示。 注：1、如果选择了虚机中已安装的应用在辅助工具中重复安装会提示安装失败，建议在执行安装前，先卸载原应用。 2、如需查看在虚机中已安装的文件信息，可以在工具下方的“控制面板卸载程序页”中，选择应用右键获取信息。 3、建议单次安装应用数不超过10个，以免部分应用安装失败导致导出结果丢失。 执行安装 点击“执行安装”，即开始安装已选应用。安装进度栏会显示总数与已安装数；已安装的应用则显示在已安装栏中。 如果有安装失败的应用，会保留在待安装文件框中。 注：1、如有文件安装失败，再次点击“执行安装”可重试，此时不可添加新的安装文件；需要清空待安装列表中的失败文件后，可再此添加新的安装文件； 2、文件多次安装均失败时，建议在“控制面板卸载程序页”中检查是否在虚机中已安装； 3、由于腾讯会议自身原因存在安装问题，建议另行安装后，再从天翼AI云电脑应用工具的“控制面板卸载程序页”页面上右键复制应用的信息。

本章节主要介绍向量检索的集群规划。 向量检索的索引构建与查询均使用堆外内存，所以集群容量与索引类型、总堆外内存大小等因素相关。通过预估全量索引所需的堆外内存大小，可以选择合适的集群规格。 不同类型的索引所需堆外内存大小的预估方式不同，计算公式如下： GRAPH索引 说明 若有实时更新索引的需求，还需要考虑向量索引构建和自动merge所需的堆外内存开销，保守估计需要1.5~2倍memneeds。 PQ类索引 FALT 、IVF索引 参数说明 参数 说明 dim 向量维度。 neighbors 图节点邻居数，默认值为64。 dimsize 每一维度值所需的字节数，默认为float类型，需要4字节。 num 向量总条数。 delta 元数据大小，该项通常可以忽略。 fragnum 量化编码时的向量分段数，创建索引时若未配置该值，则由向量维度“dim”决定。 if dim < 256: fragnum dim / 4 elif dim < 512: fragnum dim / 8 else : fragnum 64 fragsize 量化编码时中心点编码的size，默认为1，当“fragnum”大于256时，该值等于2。 基于上述计算方法，可预估出完整向量索引所需堆外内存的大小。选择集群规格时，还需考虑每个节点的堆内存开销。 节点的堆内存分配策略：每个节点的堆内存大小为节点物理内存的一半，且最大不超过31GB。 例如，基于SIFT10M数据集创建GRAPH索引，其“dim”为“128”，“dimsize”为“4”，“neighbors”采用默认值“64”，“num”为“1000万”，将各值代入上述公式得到GRAPH索引所需堆外内存大小约为： 同时考虑到堆内存的开销，单台“8U 16G”规格的机器可以满足该场景的需求。如果实际场景还有实时写入或更新的需求，则需要考虑申请更大的内存规格。

网络类型 使用场景 准备工作 VPC网络 适合云上同区域数据库之间的同步。 源数据库所在的区域要和目标数据库实例所在的区域保持一致。 源数据库可以和目标数据库在同一VPC内，也可以在不同VPC内。 当源数据库和目标数据库处于同一个VPC内的时候，默认网络是连通的，不需要单独设置安全组。 当源数据库和目标数据库不在同一个VPC内的时候，要求源数据库和目标数据库所处的子网处于不同网段，不能重复或交叉， 此时需要通过对等连接实现网络互通。针对这种情况，DRS会在测试连接时自动按照单IP最小范围打通建立路由。 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库之间的实时同步、或云上跨Region的数据库之间的实时同步。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据同步。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库之间的实时同步、或云上跨Region的数据库之间的实时同步。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合通过公网网络把其他云下或其他平台的数据库同步到目标数据库 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 1.开启公网访问 源数据库端实例需要根据具体的场景，由用户端开启公网访问。 2.设置安全组规则 源数据库需要将DRS同步实例的弹性IP添加到其网络入口白名单内，使源数据库与DRS同步实例可以连通。 由于目标数据库和DRS同步实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS同步实例创建成功后，可在“源库及目标库”页面获取DRS同步实例的弹性公网IP。 在选择公网网络进行同步时，如果没有开启SSL安全连接加密同步链路的功能，请确保待同步的数据为非机密数据，再进行数据同步。

参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。须知“引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境；不支持变更引擎类型。 如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。 − 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。 描述 输入引擎描述信息。 单击 ，输入引擎描述信息。 单击 ，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。 选择“开启安全认证”： 1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。” 2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。

处理措施 查找大key、热key，方法如下： DCS控制台提供了大Key和热Key的分析功能，你可参考缓存分析减少大key和热key。 通过rediscli的bigkeys和hotkeys参数查找大Key和热Key： Rediscli提供了bigkeys参数，能够使rediscli以遍历的方式分析Redis实例中的所有Key，并返回Key的整体统计信息与每个数据类型中Top1的大Key，bigkeys仅能分析并输入六种数据类型（STRING、LIST、HASH、SET、ZSET、STREAM），命令示例为： rediscli h p a bigkeys 。 自Redis 4.0版本起，rediscli提供了hotkeys参数，可以快速帮您找出业务中的热Key，该命令需要在业务实际运行期间执行，以统计运行期间的热Key。命令示例为： rediscli h p a hotkeys 。热Key的详情可以在结果中的summary部分获取到。 提前发现大key、热key。 参考配置告警配置节点级别的内存利用率 监控指标的告警。 如果某个节点存在大key，这个节点比其他节点内存使用率高很多，会触发告警，便于您发现潜在的大key。 参考配置告警配置节点级别的 入网最大带宽、出网最大带宽 、CPU利用率监控指标的告警。 如果某个节点存在热key，这个节点的带宽占用、CPU利用率都比其他节点高，该节点会容易触发告警，便于您发现潜在热key。 说明 由于Redis 3.0实例不支持热key分析，您可以使用该方式帮助您发现热key。 其他优化建议： string类型控制在10KB以内 ，hash、list、set、zset 元素尽量不超过5000 。 key的命名前缀为业务缩写，禁止包含特殊字符(比如空格、换行、单双引号以及其他转义字符)。 Redis事务功能较弱，不建议过多使用。 短连接性能差，推荐使用带有连接池的客户端。 如果只是用于数据缓存，容忍数据丢失，建议关闭持久化。 如果实例内存使用率通过以上方式仍然很高，请考虑在业务低峰期扩大实例规格。具体操作请参见变更实例规格。

本节介绍了在RabbitMQ实例中如何创建、修改和删除操作策略。 背景信息 RabbitMQ操作策略管理是一种用于管理RabbitMQ服务器的功能，它允许管理员定义和控制各种操作策略以满足特定的需求和约束。 操作策略可以应用于多个方面，包括队列、交换机、绑定和连接等。通过操作策略管理，管理员可以定义以下内容： ● 长度限制：管理员可以设置队列的最大长度，以防止队列无限增长导致资源耗尽。当队列达到指定的长度限制时，可以选择丢弃新的消息或者拒绝新的连接。 ● 时间限制：管理员可以设置队列中消息的最大存活时间，以防止消息在队列中长时间滞留。一旦消息超过指定的时间限制，可以选择将其丢弃或者转发到其他队列。 ● 内存限制：管理员可以设置队列或交换机的最大内存使用量，以防止RabbitMQ服务器的内存资源被过度消耗。当达到指定的内存限制时，可以选择丢弃消息或者拒绝新的连接。 ● 消息优先级：管理员可以为消息设置优先级，以确保重要的消息能够优先处理。可以通过操作策略管理来定义消息优先级的规则和行为。 ● 连接限制：管理员可以设置连接的最大数量，以限制同时连接到RabbitMQ服务器的客户端数量。这可以用于控制系统的负载和资源消耗。 通过操作策略管理，管理员可以根据实际需求和约束对RabbitMQ服务器进行细粒度的控制和管理。这有助于提高系统的可靠性、性能和可伸缩性，并确保消息队列系统能够适应各种场景和负载。

创建科研文件 【科研文件】是科研助手提供的文件管理服务模块，您可以通过【科研文件】来管理自己的数据。本教程需要依赖【科研文件】提供环境数据，因此需要提前创建科研文件。 步骤1：进入科研助手，选择【数据存储】>【科研文件管理】，点击【创建科研文件】按钮 步骤2：此教程以【福州6】为例，在【huanan001371】资源池中选择【福州6】，科研文件默认最小容量为10G，您可以按需调整所需容量。此处命名为researchstoragetest。 配置后，点击【确认订单】，等待科研文件状态变为【创建成功】 创建开发机A并挂载科研文件 步骤1：进入科研助手控制台，进入【开发机】界面，进入开发机购买页面，此处以【科研版】为例： 步骤2：在购买过程中， 【可用区】需选择和上一步【科研文件】相同的可用区，此处以【福州6】为例， 【主机规格】请按需选择 【存储配置】【科研文件】处需要挂载上一步【科研文件】，此处挂在的是上一步创建的researchstoragetest 【镜像框架】选择任意公共框架，Jupyter和VNC镜像都可以使用

本最佳实践主要描述通过一站式智算服务平台进行全流程图像分类的AI开发。 概述 本最佳实践主要描述通过一站式智算服务平台进行全流程图像分类的AI开发。数据处理工程师，算法工程师，模型和服务管理人员都可以在平台上完成所需的工作，各角色的工作成果可无缝衔接。平台提供了数据集管理、模型开发与训练管理、模型管理、模型部署等功能模块。如果用户具备工程开发能力，可以通过在线IDE编码工具自行编写代码，使用平台提供的CPU、GPU算力来运行代码、训练模型。在线IDE编码工具支持用户切换各种算法框架和环境，免去用户重新安装的时间。工程师开发完成的代码可以保存到模型仓库进行统一的模型管理。 方案优势 降低建模成本：一站式智算服务平台为用户带来了便利，通过平台，用户无需进行任何额外的配置或调试，开箱即用。平台预置了丰富的预训练模型和镜像环境，针对不同场景提供了多样化预置数据集，确保用户能够迅速投入工作。 多角色功能集成：集成化的平台化工具可以将数据标注员、算法、工程化角色都容纳在平台上，提供从数据处理、模型开发、模型训练到模型部署应用的全栈服务。 平台化全流程管理：管理者统一管理和查看，让各角色参与者完美的串联协同工作，实现数据互通、环境互通，且保障数据和模型安全、不出平台，实现训练开发资产的一站式沉淀与管理，提升企业工作效率，实现流水线式AI生产。

本文带您了解什么是分布式消息服务RocketMQ产品。 分布式消息服务RocketMQ是一款低成本、高可靠、高性能的消息中间件产品，兼容开源RocketMQ客户端，提供高效可靠的消息传递服务，解决分布式应用系统之间的消息数据通信难题，用于系统间的解耦，用户只需专注业务，无需部署运维，适用于电商、金融、政企等多样业务场景。 产品示意图 分布式消息服务RocketMQ发布订阅基本流程如下： 1、Producer连接Nameserver，产生数据放入不同的Topic； 2、对于RocketMQ，一个Topic可以分布在各个Broker上，我们可以把一个Topic分布在一个Broker上的子集定义为一个Topic分片； 3、将Topic分片再切分为若干等分，其中的一份就是一个Queue。每个Topic分片等分的Queue的数量可以不同，由用户在创建Topic时指定； 4、Consumer连接Nameserver，根据Broker分配的Queue来消费数据。 核心组件 分布式消息服务RocketMQ主要由Producer、Broker、Consumer三部分组成，其中Producer负责生产消息，Consumer负责消费消息，Broker负责存储消息。Broker在实际部署过程中对应1台或者多台服务器，每个Broker可以存储多个Topic的消息，每个Topic的消息也可以分片存储于不同的Broker。Message Queue用于存储消息的物理地址，每个Topic中的消息地址存储于多个Message Queue中。ConsumerGroup由多个Consumer实例构成。更多信息请参见产品架构。

本文帮助您了解对象存储修改文件存储类型的操作步骤。 操作场景 上传文件时，文件的存储类型默认继承桶的存储类型，您也可以重新指定文件的存储类型，同时也支持在文件上传完成后手动修改文件的存储类型。您也可以通过配置生命周期规则来转换文件的存储类型，详情请参见生命周期管理。 约束与限制 桶一旦创建成功，则不能修改桶的存储类型，上传的文件会默认继承桶的存储类型。 归档存储的文件要先解冻，才可以修改为标准存储或低频存储。 通过控制台修改文件存储类型时，文件大小不能超过1 GB，否则可能会因超时导致操作失败。超过1 GB的文件，建议通过SDK或API的CopyObject接口修改存储类型。 手动修改文件存储类型 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要修改的文件，点击文件所在行的“更多”按钮。 6. 点击“更多”下拉选项中的“修改存储类型”按钮。 7. 在弹出的页面选择要修改的存储类型。 8. 点击“确定”，完成文件类型修改。

本文将为您介绍如何开启回收站。 操作场景 云硬盘回收站功能默认为关闭状态，如需使用该功能，需要用户手动开启。 回收站功能开启后，删除的按需云硬盘会放入到回收站中保存，以防止误删除导致云硬盘数据丢失。 约束与限制 用户可参考云硬盘回收站应用场景来查看在哪些场景下云硬盘删除后会被放入回收站。 当开启云硬盘回收功能之后，放入回收站的云硬盘采用按需计费。 云硬盘删除时，无论是否放入回收站，云硬盘对应的快照都需要提前手动删除，快照本身也不放入回收站。 放入回收站的云硬盘容量和个数不受限制。 云硬盘在回收站内最多可保存7天，到期后自动销毁，销毁后云硬盘将无法恢复。 XSSD云硬盘放入回收站后，预配置IOPS会直接删除并不再计费。若您将磁盘从回收站恢复，请重新购买预配置IOPS。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 在云硬盘主页面，单击“回收站”页签，进入回收站控制台。 5. 单击“开启回收站”按钮，开启回收站。

本节介绍了什么是CPU积分、工作原理、相关概念、关机对CPU积分的影响等相关内容。 什么是CPU积分 CPU积分是一种用来衡量云主机计算、存储以及网络配置利用率的方式。云主机利用CPU积分机制保证云主机基准性能，解决超分云主机长期占用CPU资源的问题。 使用CPU积分机制的弹性云主机适用于平时CPU负载不高、但突发时可接受因积分不足，而导致云主机性能无法超过基准性能的场景。 当前通用入门型弹性云主机使用积分机制，了解更多通用入门型云主机规格请参考通用入门型。 工作原理 当您购买使用CPU积分机制的弹性云主机后，云平台会发放初始积分，用来满足云主机安装后的突发性能要求。 云主机运行后，就会开始消耗积分以满足需求，同时云平台按照一定的速度发放积分。当云主机实际计算性能高于基准CPU计算性能时，会消耗更多的CPU积分来提升CPU性能，满足工作需求。 说明 云平台发放的积分可以累积，但达到最大积分后，停止累积。 初始积分不计入累积积分上限。 当云主机开始消耗CPU积分时，优先使用初始CPU积分。 1个vCPU按照100%利用率，运行1分钟 ，消耗1个积分。 如果实际计算性能长期高于基准性能，则会持续消耗累积积分，当累积积分为0时，实际计算性能无法超过基准性能。

本节介绍了什么是默认配额、什么是资源中心、区域和可用区等基本概念。 什么是默认配额 默认配额是指每个用户在每个区域节点资源的数量，如果默认配额无法满足用户需求，可通过控制台申请调整配额。 什么是资源中心 资源中心指的是云硬盘所在的物理位置。您可以根据您的客户群体分布的不同选择不同地域的云硬盘服务。 针对国内，目前可供选择的地域有贵州/福州/杭州/深圳/广州4/苏州/郑州/青岛/西安2/上海4/芜湖/南宁/长沙2/南昌/成都3/乌鲁木齐/昆明/海口/重庆/武汉2/兰州/西宁/太原/石家庄/中卫/长春/天津/北京2/哈尔滨/沈阳 3/内蒙 3/华北节点 区域和可用区 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 ● 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 ● 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 图 区域和可用区

负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式，UDP协议只支持选择轮询算法和最小连接算法。 轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数。 最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机。 源算法：基于源IP地址的一致性哈希，相同的源地址会调度到相同的后端主机。 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 UDP协议的会话保持方式为SOURCEIP方式。即来自同一IP地址的访问请求转发到同一台后端主机上。 会话保持时间 设置会话保持的时间，取值范围为1 86400，缺省1000s。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 UDP，UDP协议监听器只可选UDP。 间隔时间 健康检查的检查间隔，缺省5s。 超时时间 健康检查超时时间，缺省2s。 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。

配置网络ACL规则 网络ACL是一个子网级别的可选安全层，用于控制进出子网的数据流，通过与子网关联的入方向/出方向规则进行管理。与安全组类似，网络ACL可以增加额外的安全防护层。 然而，需要注意的是，网络ACL的默认规则会拒绝所有的入站和出站流量。如果网络ACL与负载均衡所在的子网或与负载均衡关联的后端服务器所在的子网相同，那么负载均衡的业务可能会受到影响，无法接收来自公网或私网的请求流量，导致后端服务器异常。 如果您想要允许来自特定IP网段（例如100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6））的流量通过网络ACL，您可以配置入方向规则，放行该网段的流量。 需要特别注意的是，由于负载均衡会将公网IP转换为内部的100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6）网段的IP地址，因此无法通过配置网络ACL规则来限制公网IP访问后端服务器。所以，即使您修改了网络ACL，也不会影响负载均衡将公网IP转换为内部IP的行为。 使用须知 网络ACL无法直接限制客户端对负载均衡器的访问。负载均衡器的IP地址不受后端子网所配置的网络ACL规则的限制，因此客户端仍然可以直接访问负载均衡器。 如果您需要限制客户端对负载均衡器的访问，建议使用监听器的访问控制功能，具体可参考配置访问控制。

私有镜像计费说明 通过云主机创建系统盘镜像、数据盘镜像：免费。 系统盘镜像、数据盘镜像存储在ZOS桶中，但并非用户的私有桶，对用户不可见，镜像的管理维护必须通过镜像服务来实现，目前这部分存储免费供用户使用。 通过镜像文件创建系统盘镜像、数据盘镜像或ISO镜像：镜像文件需要先上传至对应资源池的对象存储桶，因此按镜像文件占用的对象存储空间收取费用。 创建整机镜像：不具备可用区的资源池创建整机镜像，涉及的费用为备份存储库的费用。通过云主机创建整机镜像，需要使用备份存储库，用户需要对备份存储库付费。 共享镜像 共享镜像是用户之间可以共享和重复使用的预先配置的操作系统和软件环境模板，它避免了重复的操作和配置工作。当一个用户创建满足特定需求的镜像时，其他用户可以通过共享该镜像快速获取相同配置的环境，提高部署效率和保持一致性。通过共享镜像，用户能够更高效地利用云计算资源，加快应用程序的部署和开发速度。 共享镜像计费说明 来源于他人共享的系统盘镜像、数据盘镜像：免费。 安全产品镜像 安全产品镜像仅用于加载CSSP、DAS、LAS、OSM等部分安全产品服务。 安全产品镜像使用说明 来源于天翼云平台共享给客户。 仅用于加载部分安全产品服务。 应用镜像 与基础的公共镜像相比，应用镜像预装了一些常见应用，可以实现快速部署特殊应用的目的。

本文介绍如何进行Linux服务器SSH登录的安全加固。 SSH是远程登录Linux服务器的主要方式，但它也是黑客进行暴力破解和恶意攻击的主要入口之一。为了加强Linux云主机的SSH登录安全，您可以采用以下方式进行安全加固： 修改默认端口； 禁止root用户直接登录； 添加安全组规则； 采用密钥登录； 配置SSH登录限制。 我们以centos为例为大家介绍如何进行安全加固。 修改默认端口 1. 远程登录弹性云主机。 2. 打开 sshd 配置文件 /etc/ssh/sshdconfig，可以使用编辑器打开该文件，例如使用 vi 命令： vi /etc/ssh/sshdconfig 3. 找到以下代码行： Port 22 将该行代码的注释符号 去掉，并将 22 修改为想要设置的端口号，例如 2222： Port 2222 4. 按ESC键，输入:wq保存修改并退出编辑器。 5. 重启 sshd 服务，使配置生效。可以使用以下命令重启 sshd 服务： systemctl restart sshd 6. 确认修改是否生效。可以使用以下命令检查 sshd 服务是否在新端口上监听： netstat tnl grep 2222 如果输出类似于以下内容，则表示 sshd 服务已经在新端口 2222 上监听： tcp 0 0 0.0.0.0:2222 0.0.0.0: LISTEN 7. 完成以上步骤后，就成功将 CentOS 系统的 SSH 默认端口号修改为了 2222。注意，在修改 SSH 默认端口号之后，需要使用新的端口号来进行 SSH 连接，例如： ssh username@hostname p 2222 其中，username 和 hostname 分别是 SSH 登录的用户名和远程主机名或 IP 地址。

本节介绍了磁盘脱机怎么办的问题描述、问题原因、处理方法。 问题描述 Windows操作系统的云主机由于管理员设置的策略，该磁盘处于脱机状态，提示：由于管理员设置的策略，该磁盘处于脱机状态，如下图所示。 图 磁盘脱机 问题原因 Windows操作系统SAN策略分为三种类型：OnlineAll，OfflineShared，OfflineInternal 表 Windows操作系统SAN策略类型 类型 说明 OnlineAll 表示所有新发现磁盘都置于在线模式。 OfflineShared 表示所有共享总线上（比如FC, ISCSI）的新发现磁盘都置于离线模式，非共享总线上的磁盘都置于在线模式。 OfflineInternal 表示所有新发现磁盘都置于离线模式。 对于部分版本的Windows操作系统（如Windows 2008/2012 企业版、数据中心版），默认是共享离线OfflineShared模式。 处理方法 使用DiskPart磁盘分区管理工具来查询、设置云主机的SAN策略，将其修改为OnlineAll类型。 1. 登录Windows云主机。 2. 按快捷键“Win+R”，运行cmd.exe。 3. 执行以下命令，进入DiskPart。 diskpart 4. 执行以下命令，查看云主机当前的SAN策略。 san − 如果SAN策略为OnlineAll，请执行exit命令退出DiskPart。 − 否，请执行5。 5. 执行以下命令，修改云主机SAN策略为OnlineAll。 san policyonlineall 6. （可选）如需永久生效，您可以将修改过SAN策略的云主机制作为私有镜像。由该私有镜像创建的云主机，添加的磁盘只需执行初始化操作，磁盘默认是联机状态。

本节介绍了元数据获取的操作场景、使用须知、弹性云主机元数据类别支持列表、前提条件、Metadata(OpenStack元数据API)、User data(OpenStack元数据API)等内容。 操作场景 弹性云主机元数据包含了弹性云主机在云平台的基本信息，例如云服务ID、主机名、网络信息等。弹性云主机元数据支持两种风格，可以分别通过兼容Openstack和兼容EC2的API获取，如表 61所示。对于支持的元数据类型，本节详细介绍了其URI和使用方法。 使用须知 如果元数据中包含了敏感数据，您应当采取适当的措施来保护敏感数据，比如限制访问范围、加密等。 防火墙配置示例如下所示： Windows 如果您不希望管理员之外的用户访问自定义用户数据，请以管理员身份开启防火墙后，在PowerShell 中执行下面的命令，阻止非管理员用户访问自定义用户数据： PS C:>$RejectPrincipal NewObject TypeName System.Security.Principal.NTAccount ("Everyone") PS C:>$RejectPrincipalSID $RejectPrincipal.Translate([System.Security.Principal.SecurityIdentifier]).Value PS C:>$ExceptPrincipal NewObject TypeName System.Security.Principal.NTAccount ("Administrator") PS C:>$ExceptPrincipalSID $ExceptPrincipal.Translate([System.Security.Principal.SecurityIdentifier]).Value PS C:>$PrincipalSDDL "O:LSD:(D;;CC;;;$ExceptPrincipalSID)(A;;CC;;;$RejectPrincipalSID)" PS C:>NewNetFirewallRule DisplayName "Reject metadata service for $($RejectPrincipal.Value), exception: $($ExceptPrincipal.Value)" Action block Direction out Protocol TCP RemoteAddress 169.254.169.254 LocalUser $PrincipalSDDL Linux 如果您不希望root之外的用户访问自定义用户数据，请以root用户权限执行下面的命令，阻止非root用户访问自定义用户数据： iptables append OUTPUT proto tcp destination 169.254.169.254 match owner ! uidowner root jump REJECT

本文介绍如何创建达梦数据库备份。 操作场景 通过创建达梦备份任务来备份主机上的达梦数据库数据，并在需要时通过备份副本进行达梦数据库文件的恢复，再导入数据库。 约束与限制 存储库需要和安装了客户端的备份主机在同一地域（网络可达）。 支持在能连接上达梦数据库主机上安装客户端，进行备份。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已创建存储库。 主机客户端状态为“在线”，具体步骤参见安装客户端。 主机内安装了“DM Client ”或达梦数据库。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面。 4. 单击“主机列表”，选择对应主机，点击更多下的“新建任务”或者“任务列表”的"新建备份任务"按钮进入备份任务界面。 5. 点击 “添加资源”，添加 达梦数据库，输入对应参数，确认后创建连接，可点击“连接”按钮确认数据库连接状态。 6. 选择创建好的达梦数据库连接。 7. 选择需要备份的数据库内容，点击下一步。 8. 选择备份的目标存储库并配置备份周期、导出目录、最大版本数等备份策略，点击“下一步”。 9. 自定义备份任务名称，确认备份信息无误后，点击“提交”，完成任务创建。

本文介绍如何创建MongoDB数据库备份。 操作场景 通过创建MongoDB备份任务来备份主机上的MongoDB数据库数据，并在需要时通过备份副本进行MongoDB数据库文件的恢复，再导入数据库。 约束与限制 存储库需要和安装了客户端的备份主机在同一地域（网络可达）。 支持在能连接上MongoDB数据库主机上安装客户端，进行备份。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已创建存储库。 主机客户端状态为“在线”，具体步骤参见安装客户端。 主机内安装了“MongoDB”或“MongoDBClient ”。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面。 4. 单击“主机列表”，选择对应主机，点击更多下的“新建任务”或者“任务列表”的"新建备份任务"按钮进入备份任务界面。 5. 点击 “添加资源”，添加 "MongoDB"连接，输入对应参数，确认创建连接，可点击“连接”按钮确认数据库连接状态。 6. 选择创建好的"MongoDB"连接，点击下一步。 7. 选择需要备份的数据库内容，点击下一步。 8. 选择备份的目标存储库并配置备份周期、导出目录、最大版本数等备份策略，点击“下一步”。 9. 自定义备份任务名称，确认备份信息无误后，点击“提交”，完成任务创建。

IAM控制台创建自定义策略 1.使用天翼云账号登入IAM控制台。 2.在左侧导航栏，选择 "策略管理" "创建自定义策略"。 3.输入策略名称，输入策略描述（可选），点击下一步。 4.设置策略内容，本文介绍使用可视化视图的方式设置，如果需要使用更灵活的JSON视图，请参考IAM文档。 效果：允许（允许策略中配置的权限），拒绝（拒绝策略中配置的权限） 云服务：搜索关键字“容器镜像服务” 操作：根据需求勾选需要配置的操作（即权限） 资源：具体见资源权限管控内容 条件：该配置参考具体IAM文档。 5. 点击保存，完成自定义策略的创建。 为子账户设置自定义权限策略 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择用户授权子账户。 3. 选择操作 查看，进入用户界面，选择权限管理标签页，选择个人权限的新增权限。 4. 搜索框输入上一步设置的自定义权限策略名称，勾选上一步创建的自定义权限策略。 5. 点击“下一步”，由于CRS自定义权限为全局服务资源，无需设置资源池。 6. 点击 “确定”，即可完成为子账户授权。 CRS资源权限管控 使用IAM的JSON视图创建自定义策略时，可以通过设置资源字段来实现细粒度的资源权限管控。

弹性负载均衡支持编辑标签的操作,本文帮助您快速熟悉负载均衡编辑标签的操作。 操作场景 当您的云环境中存在多个弹性负载均衡器时，编辑使用标签可以帮助您对其进行分类分组管理，对弹性负载均衡器的使用情况进行追踪和优化，提高弹性负载均衡器的管理效率和灵活性。 负载均衡器的编辑标签时，通常需要指定标签键和标签值来标识和分类负载均衡器。标签键用于描述标签的分类或属性，而标签值则用于具体区分不同的负载均衡器。 使用须知 您可以最多添加10个标签。 标签的“键”和“值”是一一对应的，其中“键”值是唯一的。 添加标签 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域，本文操作均选择华东华东1。 3. 在系统首页，选择“网络>弹性负载均衡>负载均衡器”。 4. 在“负载均衡器”列表页面，单击负载均衡器所在行的“更多>编辑标签”。 5. 输入标签键和标签值，点击“确定”。 6. 在控制中心的“弹性负载均衡”界面的信息列表，还支持对已创建的负载均衡器批量编辑标签/批量解绑标签。

多台云主机通过共享带宽可以极大的降低公网带宽的成本,本文向您介绍将多台云主机的弹性IP绑定至共享带宽的方式。 当有多台云主机需要访问互联网，每台主机有独立IP需求的场景。将云主机的弹性IP加入到一条共享带宽线路来实现云主机对互联网资源的访问，可以极大的降低公网带宽的成本。 通常多台云主机同时需要访问互联网时，每台主机对网络需求的时段并不完全统一。因此，如果要保障每个主机的带宽访问，而给云主机购买按照独占带宽计费方式的弹性IP的方式，会造成成本的增加。如果选择共享带宽，对于错峰访问或被访问互联网的云主机，在任何时间中网络总带宽都能达到共享带宽的最大值，通过多台主机复用同一个带宽线路的方式，可大幅减少带宽占用的成本。 具体步骤如下： 1. 进入云监控，查看弹性IP监控，可以看到弹性IP的峰值。 2. 对于峰值时段有明显区别的弹性IP，可以考虑加入到同一个共享带宽中。 3. 创建一个共享带宽。 4. 点击共享带宽信息列表中的“添加公网IP”选项，找到需要加入共享带宽的弹性IP。重复此步骤将全部弹性IP加入到共享带宽。 5. 在弹性IP页面可以看到弹性IP的带宽变为“共享”。 6. 可以尝试登录主机测试带宽速度。 7. 操作成功后，弹性IP将不会再单独计费，仅对共享带宽进行收费。

参数 说明 示例 后端主机组 把具有相同特性的后端云主机放在一个组。新创建使用已有说明使用已有后端主机组时， 请确保此后端主机组未被使用。并且只能选择前端协议匹配的后端主机组。 例如前端协议是TCP时，后端协议只能是TCP。 新创建 名称 后端主机组名称。 servergroupsq4v 后端协议 云云主机开通的协议。前端协议为HTTPS时，后端协议支持修改，可修改为HTTP或HTTPS。 HTTP 分配策略类型 负载均衡采用的算法。说明：用户可以根据自身需求选择相应的算法来分配用户访问流量， 提升负载均衡能力。对于加权轮询算法和加权最少连接，当云主机的权重为“0”时，将不会被分发访问请求。 加权轮询算法 会话保持 开启会话保持后，弹性负载均衡将属于同一个会话的请求都转发到同一个云主机进行处理。 说明：当分配策略类型为“加权轮询算法”时，可配置会话保持。 会话保持类型 前端协议为HTTP或HTTPS时，支持负载均衡器cookie类型的会话保持。 负载均衡器cookie 会话保持时间（分钟） 当分配策略类型选择“加权轮询算法”或“加权最少连接”，会话保持开启后，需添加会话保持时间。 四层会话保持的会话保持时间取值范围为[1，60]。七层会话保持的会话保持时间取值范围为[1，1440]。 20 描述 后端主机组的描述。字数范围：0/255。

本节包含操作场景、操作步骤。 操作场景 在您开启了云审计服务后，系统开始记录云主机的相关操作。云审计服务管理控制台保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 4. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 5. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。 其中筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 6. 展开需要查看的事件，查看详细信息。 7. 在需要查看的记录右侧，单击“查看事件”，弹窗中显示了该操作事件结构的详细信息。 更多关于云审计的信息，请参见《云审计服务用户指南》。

本节为您介绍如何对已购物理机进行续订/释放操作。 物理机续订操作 操作场景 当您需要延长物理机使用周期时，可对其进行续订。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机”。 4. 勾选目标物理机首列选框，在物理机列表页面上方单击“续订“。如下图所示： 5. 在续订弹窗中核对物理机信息无误，在“续订时长”下拉选择续订周期，单击“确定”开始续订。 6. 在“订单详情”页面确认订单信息，单击“立即支付”付款后完成续订。 物理机释放操作 操作场景 如果您的业务使用中止或结束，不再需要物理机，请释放该物理机避免继续产生费用。 说明 包年/包月购买的物理机，只能通过“退订”来释放。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机”。 4. 找到目标物理机所在行的“操作”列，将鼠标移动“更多 > 退订”。 5. 在退订物理机弹窗中核对物理机信息无误，单击“确定”进行物理机释放。 说明 在申请退订前，请做好主机数据备份工作。

操作步骤 以CentOS 7操作系统为例，介绍如何修改“fstab”文件中的磁盘标识方式为UUID。 1. 使用root用户登录物理机。 2. 执行blkid命令，列出当前系统中所有已挂载文件系统的类型以及对应设备的UUID。 $ blkid /dev/sda2: UUID"4eb402944c6f4384bbb6b8795bbb1130" TYPE"xfs" /dev/sda1: UUID"2de37c6b264843b4a4f540162154e135" TYPE"swap" 3. 执行lsblk命令，查看磁盘设备的信息，找到对应的设备名称和UUID。 $ lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:0 0 50G 0 disk ├─sda1 8:1 0 1G 0 part [SWAP] └─sda2 8:2 0 49G 0 part / 4. 执行vi /etc/fstab命令，打开“/etc/fstab”文件，按“i”进入编辑模式，将“/etc/fstab”中的磁盘标识方式修改为UUID的形式，将设备名称替换为对应的 UUID。 UUID4eb402944c6f4384bbb6b8795bbb1130 / xfs defaults 0 0 UUID2de37c6b264843b4a4f540162154e135 swap swap defaults 0 0 5. 修改完成后，按“Esc”，输入:wq保存并退出文件。 云硬盘设备名称与操作系统内块设备名称是否一致？ 本地系统盘场景 对于本地系统盘场景，物理机详情页面显示的云硬盘设备名称与操作系统内部的设备名称可能不一致。这是因为操作系统在启动时会根据硬件配置和加载顺序分配设备名称。 建议在本地系统盘场景下，不依赖于设备名称进行操作。相反，您可以使用云硬盘的唯一标识符（例如UUID或WWN）来操作云硬盘。这样可以避免设备名称变化对业务造成影响。

实例管理界面编辑管控规则： 1. 用户以超级管理员身份登录DMS系统。 2. 在左侧菜单栏依次点击 数据资产 > 实例管理。 3. 在实例列表界面点击更多 ，点击管控规则 ，在弹窗中下拉选择要与当前实例绑定的规则集，然后输入托管的数据库账号和密码，连接测试通过后，点击确定按钮。 编辑管控规则集 在管控规则集列表界面点击编辑按钮会弹出规则集编辑界面，在此界面可以更改当前规则集的名称和备注。 配置管控规则集 在SQL风险界面点击编辑按钮，即可进入规则集配置界面。规则集包含风险识别规则和风险审批规则两种类型。用户可以在该界面可以根据DDL、DML、导出数据三种操作类型来调整规则集的默认配置、审批模板或者新增风险识别规则。例如用户在查询窗口执行删除表操作，风险识别到当前操作为DDL类型且为高风险，则会阻断该操作在查询窗口继续执行，需要用户提交SQL变更工单经过指定审批后才可以执行删除表操作。值得注意的是若匹配到的操作类型的风险等级对应的审批模板为免审批，则DMS不会阻断该行为。 编辑规则 选中某条风险识别规则，点击编辑按钮，在弹窗中编辑规则的名称、风险等级、以及具体的规则定义。规则定义由规则条件和规则条件组组成，每种操作类型的风险管控因子组成。 说明 风险审批规则只支持编辑审批模板。

天翼云SDWAN为您提供优质的服务体验,本文带您了解产品优势。 灵活接入 支持天翼云自研硬件终端设备、软件vCPE、VPN客户端、政企融合网关、品牌厂商终端等多种接入形态，可根据客户场景灵活适配、即插即用，充分满足小微门店、中大型企业等多元化部署需求。 支持通过各运营商互联网（包括PPPoE拨号方式或配置固定IP方式）、4G/5G无线网络、专线等多种方式实现多链路上联至SDWAN网络接入点 ，满足各类接入需求。 支持同时配置POP组网和IPSec直连组网网络架构，实现混合组网。 成本低廉 利用互联网宽带接入降低成本，同时通过有效利用所有可用网络连接提高链路利用率，满足企业业务需求。 SDWAN网络在客户侧通常采用互联网宽带接入，相比物理专线/专网产品，互联网链路更加便宜，可大幅度降低带宽成本。 SDWAN技术还可以帮助企业有效地利用所有可用的网络连接来满足其业务需求，充分提高链路利用率。 安全传输 通过IPSec VPN加密隧道传输、ACL管理等多项安全措施，保障SDWAN广域网数据传输的安全性和设备接入的安全性。 SDWAN广域网数据通过IPSec VPN加密隧道进行传输，同时支持国产密码算法和商用密码，在链路质量层进行多重安全加固，保障数据传输的安全性； 支持ACL管理，通过配置五元组白名单/黑名单策略，实现对接入流量的管控； 支持容器化部署安全防护能力，可灵活扩容防火墙、入侵检测、访问控制等安全模组，实现安全能力按需加载、弹性扩展。

本节介绍了云数据库TaurusDB的数据库连接相关的问题与处理方法。 外部服务器能否访问TaurusDB数据库 对于开通公网访问功能的TaurusDB实例，可以通过外网进行访问。 具体请参见： 通过公网连接TaurusDB实例 未开通公网访问的实例 在虚拟私有云中开通虚拟专用网络（Virtual Private Network，简称VPN），通过虚拟专用网络连接TaurusDB。 将TaurusDB与弹性云主机创建在同一个虚拟专用网络下，通过弹性云主机来访问TaurusDB。 具体请参见： 通过内网连接TaurusDB实例 ECS无法连接到TaurusDB实例的原因 遇到该问题，参考以下步骤排查解决。 步骤 1 先确认弹性云主机和TaurusDB实例是否在同一个虚拟私有云下。 如果在，执行步骤2。 如果不在，需要重新创建弹性云主机实例，使之和TaurusDB实例在同一个虚拟私有云下。 步骤 2 查看弹性云主机实例是否添加安全组。 如果有，检查安全组的配置规则是否满足要求。 请参见“创建实例”中的“安全组”的描述，然后执行步骤3。 如果没有，从弹性云主机的实例详情页面，进入虚拟私有云页面，选择“安全组”，添加安全组。 步骤 2 在弹性云主机上，测试是否可以正常连接到TaurusDB实例地址的端口。 TaurusDB主备版实例的默认端口为3306。 telnet { 端口号 } 如果可以通信，说明网络是正常的。 如果端口不通，请联系售后技术支持协助排查

本文为您介绍轻量型云主机对网络的支持情况。 虚拟私有云( VPC) 轻量型云主机使用虚拟私有云 (VPC) 来进行网络隔离和管理。每个 VPC 包括私网网段、路由表和至少一个子网。 私网网段 ：在创建 VPC 时，用户无法自行指定私网网段，轻量型云主机默认自动创建10.0.0.0/8私网网段，您可以在这个范围内创建子网。 子网 ：云资源（例如云主机、云数据库等）必须部署在子网内。 路由表 ：在创建虚拟私有云VPC时，系统会自动生成默认路由表，新创建的子网会关联到该默认路由表下。默认路由表确保同一个 VPC 下的所有子网之间可以互通。 防火墙 防火墙在轻量型云主机的网络安全中起着关键作用。轻量型云主机的防火墙相当于云主机中的安全组，提供同等的安全防护作用。通过配置防火墙规则，您可以控制轻量型云主机对网络的入站和出站访问，从而增强网络安全。 弹性IP 弹性 IP（Elastic IP Address，简称EIP）是可以独立申请的公网 IP 地址，将弹性 IP 地址和子网中关联的各项云资源绑定和解绑，可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。弹性IP产品既包含公网IP地址，也可以提供公网带宽服务，与其他带宽产品组合使用，可以达到访问公网与节省成本的目的。轻量型云主机订购时默认分配公网IP，并绑定独享带宽。