此小节介绍如何登录云堡垒机系统。 背景介绍 云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。 Web浏览器登录：支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。 SSH客户端登录：在不改变用户原来使用SSH客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。 MSTSC客户端登录：在不改变用户原来使用MSTSC客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。 前提条件 实例的运行状态为“运行”，CBH系统在使用授权期内; 实例已绑定EIP，且EIP可用; 已获取登录CBH系统的登录地址，以及登录验证信息。 通过Web浏览器登录云堡垒机 1. 启动浏览器，在Web地址栏中输入CBH系统登录地址，进入系统登录页面。 登录地址： 或私网IP 。例如， 注意 未绑定EIP时，可通过私网IP登录，需确保用户本地网络与云堡垒机私网网络通畅； 受浏览器兼容性限制，当浏览器版本与云堡垒机系统不匹配时，可能导致登录时获取不到验证信息，或登录后页面显示异常，建议使用推荐的浏览器及版本。 2. 选择登录认证方式，如下图。 系统所有用户可选择配置“手机短信”、“手机令牌”、“USBKey”和“动态令牌”多因子认证。 配置多因子认证后，“密码登录”方式认证失效。 Web浏览器登录验证说明 登录方式 登录说明 登录方式配置说明 密码登录 输入云堡垒机系统的用户登录名和密码。 默认登录方式。 “AD域认证”、“RADIUS认证”、“LDAP认证”或“Azure AD认证”用户登录密码为远程服务器用户密码。 手机短信 输入云堡垒机系统的用户登录名和密码，单击“获取验证码”，并输入短信验证码。 需要已经为用户帐号配置可用手机号码。 手机令牌 输入云堡垒机系统的用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 说明 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。 需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统。 USBKey 插入并选择已签发过的USBKey，并输入对应的PIN码。 需已为用户签发USBKey。 动态令牌 输入云堡垒机系统的用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）。 需已为用户签发动态令牌。 3. 单击“登录”，成功登录云堡垒机系统进行管理和运维操作。 系统管理员admin为CBH系统第一个可登录用户，拥有系统最高操作权限，且无法更改权限配置，请妥善保管帐号信息。 在首次登录系统成功后，请所有用户按照系统提示修改密码和绑定手机号码，否则无法进入系统运行页面。登录系统后，可在个人中心修改用户基本信息。

本章节介绍注册配置中心的计费项、计费方式和计费规则。本产品计费不包含负载均衡和容器服务等IaaS层资源的费用。 计费项 微服务引擎注册配置中心的计费项包含注册配置中心托管的普通实例费用、数据盘费用，其中数据盘费用单独计算。 计费方式 目前注册配置中心提供包年包月和按需付费两种付费模式。 按需付费：按需付费是后付费模式，您只需按实际情况进行使用，然后按照使用账单付费即可。为避免造成您的损失，如果您不想再使用此产品，则需要您在微服务引擎注册配置中心实例管理页面内将指定实例退订，系统才会正式停止计费。 包年包月：包年包月是预付费模式，按照包年包月的方式进行付费购买。只要您实际接入的实例数不超过您购买的实例数，不会造成额外的费用。包年包月的模式下，您需要在到期前进行续费或选择自动续费的方式，确保产品持续可用。 计费规则 实例计费规则 注册配置中心实例计费规则如下： 版本类型 主机类型 CPU(核） 内存（GB） 按需（元/节点/小时） 包月（元/节点/月） 注册配置中心单机版 X86通用型 2 4 0.461 221 注册配置中心集群版 X86通用型 2 4 0.77 369 注册配置中心集群版 X86通用型 4 8 1.413 677 注册配置中心集群版 X86通用型 8 16 2.7 1294 注册配置中心集群版 X86通用型 16 32 5.274 2528 注册配置中心企业版 X86通用型 2 4 1.51 724 注册配置中心企业版 X86通用型 4 8 2.869 1377 注册配置中心企业版 X86通用型 8 16 5.451 2616 注册配置中心企业版 X86通用型 16 32 10.357 4971 注册配置中心单机版（鲲鹏） ARM鲲鹏通用型 2 4 0.6 255 注册配置中心单机版（鲲鹏） ARM鲲鹏计算增强型 2 4 0.8 364 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 2 4 0.9 425 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 4 8 1.7 779 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 8 16 3.2 1489 注册配置中心集群版（鲲鹏） ARM鲲鹏通用型 16 32 6.1 2908 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 2 4 1.3 606 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 4 8 2.4 1111 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 8 16 4.5 2122 注册配置中心集群版（鲲鹏） ARM鲲鹏计算增强型 16 32 8.7 4144 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 2 4 1.8 833 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 4 8 3.3 1584 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 8 16 6.3 3009 注册配置中心企业版（鲲鹏） ARM鲲鹏通用型 16 32 12 5717 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 2 4 2.5 1188 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 4 8 4.8 2258 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 8 16 9 4288 注册配置中心企业版（鲲鹏） ARM鲲鹏计算增强型 16 32 17 8147 注册配置中心单机版（飞腾） ARM飞腾通用型 2 4 0.6 255 注册配置中心单机版（飞腾） ARM飞腾计算增强型 2 4 0.8 338 注册配置中心集群版（飞腾） ARM飞腾通用型 2 4 0.9 425 注册配置中心集群版（飞腾） ARM飞腾通用型 4 8 1.7 779 注册配置中心集群版（飞腾） ARM飞腾通用型 8 16 3.2 1489 注册配置中心集群版（飞腾） ARM飞腾通用型 16 32 6.1 2908 注册配置中心集群版（飞腾） ARM飞腾计算增强型 2 4 1.2 564 注册配置中心集群版（飞腾） ARM飞腾计算增强型 4 8 2.2 1033 注册配置中心集群版（飞腾） ARM飞腾计算增强型 8 16 4.2 1973 注册配置中心集群版（飞腾） ARM飞腾计算增强型 16 32 8.1 3854 注册配置中心企业版（飞腾） ARM飞腾通用型 2 4 1.8 833 注册配置中心企业版（飞腾） ARM飞腾通用型 4 8 3.3 1584 注册配置中心企业版（飞腾） ARM飞腾通用型 8 16 6.3 3009 注册配置中心企业版（飞腾） ARM飞腾通用型 16 32 12 5717 注册配置中心企业版（飞腾） ARM飞腾计算增强型 2 4 2.3 1104 注册配置中心企业版（飞腾） ARM飞腾计算增强型 4 8 4.4 2099 注册配置中心企业版（飞腾） ARM飞腾计算增强型 8 16 8.4 3987 注册配置中心企业版（飞腾） ARM飞腾计算增强型 16 32 15.8 7576 注册配置中心单机版（海光） X86海光通用型 2 4 0.6 255 注册配置中心单机版（海光） X86海光计算增强型 2 4 0.8 345 注册配置中心集群版（海光） X86海光通用型 2 4 0.9 425 注册配置中心集群版（海光） X86海光通用型 4 8 1.7 779 注册配置中心集群版（海光） X86海光通用型 8 16 3.2 1489 注册配置中心集群版（海光） X86海光通用型 16 32 6.1 2908 注册配置中心集群版（海光） X86海光计算增强型 2 4 1.2 574 注册配置中心集群版（海光） X86海光计算增强型 4 8 2.2 1052 注册配置中心集群版（海光） X86海光计算增强型 8 16 4.2 2011 注册配置中心集群版（海光） X86海光计算增强型 16 32 8.2 3926 注册配置中心企业版（海光） X86海光通用型 2 4 1.8 833 注册配置中心企业版（海光） X86海光通用型 4 8 3.3 1584 注册配置中心企业版（海光） X86海光通用型 8 16 6.3 3009 注册配置中心企业版（海光） X86海光通用型 16 32 12 5717 注册配置中心企业版（海光） X86海光计算增强型 2 4 2.4 1125 注册配置中心企业版（海光） X86海光计算增强型 4 8 4.5 2139 注册配置中心企业版（海光） X86海光计算增强型 8 16 8.5 4063 注册配置中心企业版（海光） X86海光计算增强型 16 32 16.1 7718 以订购注册配置中心集群版4C8G为例，若订购3节点，则价格为：677 3 2031元/月。

本文向您介绍新建息壤智算集群,帮助您了解息壤智算集群的基本情况。 息壤智算集群是用户账号在公共算力服务创建的用户专属集群，包含托管的k8s容器集群控制面和息壤上层平台所需的业务组件。 集群创建后，无需自行连接或登录控制面，以及自行修改或安装组件，而是通过息壤上层平台来使用。 当在上层平台运行业务时，可以选择共享集群或专属集群进行使用。 此功能目前只在部分资源池提供，具体资源池信息请询问客户经理 使用前提 当前用户是主账号。 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的【息壤智算集群】，进入集群列表页。 2. 单击列表页上方的【创建集群】，进入创建页面。 3. 填写相应信息 1）输入集群名称、可用区、网络等基本信息。 字段名称 类型 是否必填 说明 集群名称 输入框 是 支持中英文、数字、下划线（），220个字符，不能以下划线开头。集群名称不能重复。 可用区 单选 是 根据各资源池的可用区显示。 业务节点类型 单选 是 当前仅支持裸金属，且默认选中；后续可能包括裸金属和云主机两类。 卡类型 单选 是 当节点为裸金属是：包括英伟达和昇腾两个类型，默认选中英伟达。 虚拟私有云 下拉单选 是 点击可刷新VPC列表，点击【创建VPC】新打开页面跳转至创建虚拟私有云页面。 子网 下拉单选 是 子网下的普通子网类型，点击选择VPC子网，点击【创建子网】跳转至所选VPC的添加子网页面。 安全组 显示 是 默认查询是否有对应的安全组，如有则展示，如无则需要点击自动创建按钮进行创建，管理节点的安全组名称带系统前缀，用以区分用户自用的安全组：例如cpsxxxx。可点击自动创建按钮。可点击“配置策略规则”连接，查看具体安全组策略。 调度策略 多选项 否 支持DRF，Binpack ,Gang三种调度策略，可以多选。 描述 输入框 否 2）点击 【下一步：集群控制面配置】，进入下一步配置，输入相关信息。 字段名称 类型 是否必填 说明 集群规模 单选 是 包括4种，1100节点，101300节点，301500节点，5001500节点，默认选择 1100节点。 计费模式 单选 是 目前支持包年包月计费方式。 时长 选择 是 目前支持包年包月支持选择111月，默认1个月。 续订方式 选项 是 包括自动续订，手动续订。 规格 单选 是 选择资源池可选的规格。 系统镜像 单选 是 选择管理节点的操作系统。 系统盘 单选 是 仅支持超高IO类型，最小40G，系统盘规格范围402048G。 数据盘 单选 是 选择一块数据盘，仅支超高IO类型，最小500G，数据盘规格范围50032768G。 节点数量 输入框 是 根据集群规模自动匹配。 API Server 选择 是 选择标准I型，增强I型，高阶I型，默认标准I型。可通过“了解ELB” 查看ELB文档。 3）点击【下一步，确认信息】，进行开通信息确认，勾选协议，点击【立即创建】跳转官网支付，支付完成后即完成集群的创建，后续集群管理员便可在息壤智算集群列表/详情页中对集群进行管理。

本文主要介绍只读账号的使用场景，约束限制和创建方法。 注意 仅西南1资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 使用场景 只读账号是一类仅有读权限的账号，默认从数据库集群中的备节点（或只读实例）中读取数据。用户可以在控制台实例管理页的账号管理页中，设置只读账号和读策略，从而实现账号级别的读写分离。 约束限制 当前最多仅支持创建5个只读账号。 只读账号基于数据库代理读写分离实现，故需要提前购买数据库代理实例并开启读写分离。 单机版实例因为只有一个节点，不支持创建只读账号。 创建只读账号 注意 只读账号基于数据库代理实现，故需要提前购买数据库代理实例。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击账号管理，进入账号管理页面。 5. 单击创建账号。 6. 在创建账号对话框中，选择创建只读账号，并选择数据库，设置账号密码。 7. 设置完毕，即可创建只读账号。

本文介绍Linux弹性云主机内核升级方法。 准备工作 由于这个操作可能会影响系统稳定性，强烈建议在升级内核之前确保您有有效的备份。 操作步骤 本文操作以CentOS 7.0操作系统弹性云主机为例。 1. 登录弹性云主机。 2. 安装epelrelease软件包，执行以下命令： sudo yum install epelrelease y 3. 升级内核。 升级内核版本为yum仓库最新版本，执行以下命令： yum install kernel 升级内核到指定版本，执行以下命令： yum install kernel3.10.0 4. 重启弹性云主机后，查看升级后内核版本，执行以下命令： uname r 5. 其他升级内核的具体方式由用户自己决定。

本文向您介绍云审计服务支持的VPN操作列表。 表企业版VPN操作列表 操作名称 资源类型 事件名称 创建用户对端网关 customergateway createCgw 更新用户对端网关 customergateway updateCgw 删除用户对端网关 customergateway deleteCgw 创建虚拟专用网络网关 vpngateway createVgw 更新虚拟专用网络网关 vpngateway updateVgw 删除虚拟专用网络网关 vpngateway deleteVgw 包周期创建VPN网关 vpngateway CreatePrePaidVgw 更新VPN网关状态 vpngateway UpdateResourceState 创建虚拟专用网络连接 vpnconnection createVpnConnection 更新虚拟专用网络连接 vpnconnection updateVpnConnection 删除虚拟专用网络连接 vpnconnection deleteVpnConnection 上传网关证书 vgwcertificate createVgwCertificate 更换网关证书 vgwcertificate updateVgwCertificate 创建资源标签 instance createResourceTag 删除资源标签 instance deleteResourceTag

前提条件 已登录弹性云主机，具体请参见登录Linux弹性云主机。 云主机的系统盘与数据盘都已经挂载至云主机，且已经初始化过。 云硬盘容量已经在控制台上完成扩容，并已经挂载至弹性云主机。具体请参见云硬盘扩容概述。 操作前检查 查看分区形式，选择分区工具 分区前，需要查看当前磁盘的分区形式，当为MBR时可以选择fdisk或者parted工具，当为GPT时需要使用parted工具。 执行命令 fdisk l，查看当前磁盘的分区形式，回显如下： “Disk label type”表示当前磁盘的分区形式，“dos”表示磁盘分区形式为MBR，“gpt”表示磁盘分区形式为GPT。 检查待扩容磁盘的文件系统 扩容前，需要检查待扩容磁盘的文件系统是否可正常挂载。 1. 执行命令 df TH，查看磁盘的挂载情况。回显如下： 可以看到，/dev/vdb1的文件系统为“ext4”，并且已挂载至/mnt/sdc目录。 2. 执行命令 ll /mnt/sdc，进入挂载目录查看磁盘上的文件。若可以查看到磁盘上的文件，则证明待扩容的磁盘情况正常。

本文主要介绍 步骤二：创建Kafka实例。 前提条件 在创建Kafka实例前，需要保证存在可使用的虚拟私有云。创建方法，请参考《虚拟私有云 用户指南》的“创建虚拟私有云和子网”。 如果您已有虚拟私有云，可重复使用，不需要多次创建。 操作步骤 步骤 1 登录分布式消息服务Kafka控制台，单击页面右上方的“购买Kafka实例”。 步骤 2 选择计费模式。 步骤 3 在“区域”下拉列表中，选择靠近您应用程序的区域，可降低网络延时、提高访问速度。 步骤 4 在“项目”下拉列表中，选择项目。 步骤 5 在“可用区”区域，根据实际情况选择1个或者3个及以上可用区。 步骤 6 设置“实例名称”和“企业项目”。 步骤 7 设置实例信息。 1. 版本：Kafka的版本号，支持1.1.0、2.3.0和2.7，根据实际情况选择，推荐使用2.7。 Kafka实例创建后，版本号不支持修改 。 2. CPU架构：支持“x86计算”，保持默认值即可。 3. 在“代理规格”中，请根据业务需求选择相应的代理规格。在“代理数量”中，选择代理个数。 单个代理最大分区数代理个数实例分区数上限。当所有Topic的总分区数大于实例分区数上限时，创建Topic失败。 4. 在“存储空间”区域，您根据实际需要选择存储Kafka数据的磁盘类型和总磁盘大小。 Kafka实例创建后，磁盘类型不支持修改 。 存储空间包含所有副本存储空间总和，建议根据业务消息体积以及副本数量选择存储空间大小。假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB副本数 + 预留磁盘大小100GB。 创建实例时会进行磁盘格式化，磁盘格式化会导致实际可用磁盘为总磁盘的93%~95%。 5. 在“容量阈值策略”区域，设置磁盘使用达到容量阈值后的消息处理策略，容量阈值为95%。 自动删除：可以正常生产和消费消息，但是会删除最早的10%的消息，以保证磁盘容量充足。该场景优先保障业务不中断，数据存在丢失的风险。 生产受限：无法继续生产消息，但可以继续消费消息。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 图 创建Kafka实例 步骤 8 设置实例网络环境信息。 1. 在“虚拟私有云”下拉列表，选择已经创建好的虚拟私有云和子网。 说明 虚拟私有云和子网在Kafka实例创建完成后，不支持修改。 2. 在“安全组”下拉列表，可以选择已经创建好的安全组。 安全组是一组对Kafka实例的访问规则的集合。您可以单击右侧的“管理安全组”，跳转到网络控制台的“安全组”页面，查看或创建安全组。 步骤 9 设置登录Kafka Manager的用户名和密码。创建实例后，Kafka Manager用户名无法修改。 Kafka Manager是开源的Kafka集群管理工具，实例创建成功后，实例详情页面会展示Kafka Manager登录地址，您可登录Kafka Manager页面，查看Kafka集群的监控、代理等信息。 步骤 10 设置实例购买时长。 当选择了“包年/包月”付费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 步骤 11 单击“更多配置”，设置更多相关信息。 1. 设置“公网访问”。 “公网访问”默认为关闭状态，根据业务需求选择是否开启。开启公网访问后，还需要为每个代理设置对应的IPv4弹性IP地址。 图 设置公网访问开关 2. 设置“Kafka SASLSSL”。 客户端连接Kafka实例时，是否开启SSL认证。开启Kafka SASLSSL，则数据加密传输，安全性更高。 “Kafka SASLSSL”默认为关闭状态，您可以选择是否开启。 Kafka实例创建后，Kafka SASLSSL开关不支持修改 ，请慎重选择。如果创建后需要修改，需要重新创建实例。 开启Kafka SASLSSL后，您可以选择是否开启“SASL PLAIN 机制”。未开启“SASL PLAIN 机制”时，使用SCRAMSHA512机制传输数据，开启“SASL PLAIN 机制”后，同时支持SCRAMSHA512机制和PLAIN机制，根据实际情况选择其中任意一种配置连接。Kafka实例创建后，SASL PLAIN机制开关不支持修改。 什么是SCRAMSHA512机制和PLAIN机制？ SCRAMSHA512机制：采用哈希算法对用户名与密码生成凭证，进行身份校验的安全认证机制，比PLAIN机制安全性更高。 PLAIN机制：一种简单的用户名密码校验机制。 开启Kafka SASLSSL后，您需要设置连接Kafka实例的用户名和密码。 3. 设置“Kafka自动创建Topic”。 “Kafka自动创建Topic”默认为关闭状态，您可以选择是否开启。 开启“Kafka自动创建Topic”表示生产或消费一个未创建的Topic时，系统会自动创建此Topic，此Topic的默认参数值如下：分区数为3，副本数为3，老化时间为72小时，不开启同步复制和同步落盘。 如果在“配置参数”中修改“log.retention.hours”、“default.replication.factor”或“num.partitions”的参数值，此后自动创建的Topic参数值为修改后的参数值。例如：“num.partitions”修改为“5”，自动创建的Topic参数值如下：分区数为5，副本数为3，老化时间为72小时，不开启同步复制和同步落盘。 4. 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击“查看预定义标签”，跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个Kafka实例最多支持设置20个不同标签，标签的命名规格，请参考管理实例标签。 5. 设置实例的描述信息。 步骤 12 填写完上述信息后，单击“立即购买”，进入规格确认页面。 步骤 13 确认实例信息无误后，提交请求。 步骤 14 单击“返回Kafka专享版”，查看Kafka实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。 说明 创建失败的实例，不会占用其他资源。

什么是入云带宽和出云带宽？ 入云带宽：从Internet流入云平台方向的带宽，例如，从公网下载资源到云内ECS。 出云带宽：从云平台流出到Internet方向的带宽，例如，云内的ECS对外提供服务，外部用户下载云内ECS上的资源。 弹性IP带宽与内网带宽有何差异？ 弹性IP带宽是指弹性云主机通过弹性IP访问公网时使用的带宽。通过弹性IP带宽显示网络的使用情况。 内网带宽是指弹性云主机在云平台内通信能够达到的带宽。弹性云主机根据不同的规格限制内网带宽和内网收发包能力。 带宽与上传下载速率是什么关系？ 带宽单位用bps(bit/s)，表示每秒钟传输的二进制位数。下载速率单位用Bps(Byte/s)表示，表示每秒钟传输的字节数。 1Byte（字节）8bit（位），即下载速率带宽/8 通常1M带宽即指1Mbps1000Kbps1000/8KBps125KBps一般情况下，考虑到还有其他损耗（计算机性能、网络设备质量、资源使用情况、网络高峰期等），实际速率一般小于这个速率。

本文为您介绍如何使用云监控服务对Elasticsearch实例设置监控告警 云搜索服务已默认开通接入云监控服务，将会对创建成功的实例进行日常监控，您可通过云监控控制台查看对应实例的监控数据，也建议您在此对实例的必要指标设置告警。 前提条件 1. 云搜索服务的实例已创建并进入运行中。 2. 实例已运行一段时间，产生监控指标，建议在实例运行10分钟后再进行查看。 操作步骤 1. 登录云监控控制台，选择“云服务监控>云搜索服务监控”，找到对应的实例，点击“查看监控图表”。 2. 在此页面您可查看实例维度、节点维度、索引维度的监控指标，并根据需要进行时间范围筛选。 3. 设置告警：选择对应的实例行，点击“创建告警规则”进入告警规则创建页面，根据需要告警的规则和通知方进行相应设置。您也可以根据使用习惯，定义告警模板，便于复用。目前云搜索服务仅支持指标监控类型的告警。 详细操作，请参考创建告警规则。

统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本文为您介绍创建告警规则的操作场景、前提条件和操作步骤。 操作场景 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个特定的监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 在您使用告警模板创建告警规则之前，云监控已经根据各个云服务的应用属性，为各个云服务量身定做了默认使用的告警模板，供您选择使用。同时云监控为用户提供了自定义创建告警模板的功能，您可以选择在默认模板推荐的监控指标上进行修改，或自定义添加告警指标完成自定义告警模板的添加。 注意 系统事件不支持告警规则配置，仅支持事件通知，入口：云监控服务>系统事件>事件订阅。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则列表页面。 5. 在“告警规则”列表界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数。 7. 配置参数如下： 模块 参数 参数说明 配置示例 备注 选择监控对象 规则类型 选择规则的类型，指标监控（包括站点监控）。 指标监控 自定义监控、自定义事件目前仅支持部分资源池 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云主机 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云主机 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任一策略，检查频率为设定值，其中策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 0%,连续1个检测周期，检测频率为60s 同一告警规则下，告警条件最多支持添加20条 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知方式 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 规则信息 企业项目 选择告警规则适用的企业项目。 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 说明 告警规则添加完成后，当监控指标触发设定的阈值时，云监控会在第一时间通过邮件实时告知您云上资源异常，以免因此造成业务损失。 关于如何使用回调接口，请参见使用告警回调。 说明 针对监控无数据状态，可配置三种处理策略。 不做处理 逻辑说明：当监控指标在指定周期内没有产生数据时，云监控不会触发任何告警动作，也不会对该情况进行特殊标记或通知。相当于忽略无数据的情况，继续按照正常的告警逻辑，等待后续有数据时再进行判断 。 适用场景：适用于监控指标偶尔会因为业务特性、网络波动等原因出现短暂无数据，但这种无数据情况不会对业务运行产生实质性影响，且频繁发送无数据告警会干扰运维人员的场景。 视为告警 逻辑说明：一旦监控指标在设定的时间周期内没有接收到新的数据，如用户配置告警通知渠道，云监控就会按照预先配置的方式（如短信、邮件等）发送告警信息，提示相关人员当前指标出现无数据的情况。 适用场景：适用于对数据连续性要求较高的业务场景，即无数据本身就可能意味着业务出现异常或者数据采集链路出现故障的情况。 视为恢复 逻辑说明：当监控指标之前处于触发告警的状态，而在后续某个周期内出现无数据的情况时，云监控会将这种无数据状态视为告警已经恢复，自动将告警状态更新为恢复，并按照配置的通知方式发送告警恢复的通知。但如果指标从未触发过告警，单纯出现无数据，不会发送恢复通知 。 适用场景：适用于那些依赖数据来判断告警状态，且无数据可以被认为是问题已解决的场景。 注意 告警规则创建>定义告警策略模块，“检测频率”如需支持修改，请联系客户经理开放功能。 检测频率，即每次告警数据检测任务间隔的时间，默认为1分钟。如云资源监控数据频率为1min，调整告警规则检测频率为30s，则连续两个检测周期，查询获取的数据可能为同一数据点。

托管检测与响应服务（原生版）续费说明。 托管检测与响应服务（原生版）的基础版、企业版、全流量分析服务支持续费。 续订周期 基础版：可按月 或按年续费。 企业版：仅支持按年续费。 全流量分析服务：可按月 或按年续费。 续订步骤 续订基础版 续订企业版 续订全流量分析服务

与云点播功能关联的云产品。 若您需要使用云点播实现主子账号分权管理、CDN分发等功能，您还需要开通其它依赖服务，如下表所示。 交互功能 相关服务 相关链接 主子账号功能 CTIAM 主子账号体系 CDN加速 CDN加速 CDN加速

根据互联网业务的需要，需为每个业务云主机创建网络对象。本小节介绍安全专区云防火墙方位策略配置。 配置方法： 从【导航菜单】页面中，点击【对象】→【网络对象】→【新增】→【业务】，进行相关配置。 名称：按需命名； 服务器IP：业务云主机的IP地址。

查看对象存储镜像导入任务进度 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击【实例管理>镜像导入】 ，并点击页面中的导入任务 。 二、开源镜像迁移工具imagesyncer导入 操作步骤 1. 下载 imagesyncer 并进行解压。 plaintext wget tar zvxf imagesyncerv1.3.1linuxamd64.tar.gz 也可参照官方文档使用其他方式进行安装: 点这里 2. 创建镜像仓库的认证信息文件auth.json，在其中填写Harbor和容器镜像服务企业版的地址以及用户名和密码，示例: plaintext { " ": { // Harbor地址 "username": "xxx", // Harbor用户名 "password": "xxx" // Harbor密码 }, "mycrsregistryhuadong1.crs.ctyun.cn": { // 企业版实例地址 "username": "xxx", // 企业版用户名 "password": "xxx" // 企业版密码 } } 3. 创建镜像同步规则文件images.json，在其中指定Harbor源仓库和容器镜像服务企业版目标仓库的对应关系，示例: plaintext { " /myns/nginx": "mycrsregistryhuadong1.crs.ctyun.cn/myns/nginx" // 格式为源仓库:目标仓库，imagesyncer将自动同步源仓库下的镜像至目标仓库 } 注意 企业版实例需要先新建对应的命名空间和镜像仓库，或者在命名空间开启 自动创建仓库 选项。 4. 执行imagesyncer命令开始镜像迁移。 plaintext ./imagesyncer auth./auth.json images./images.json 命令行可选参数包括: 参数 说明 images 设置镜像同步规则文件的路径 auth 设置镜像仓库认证文件的路径 log 设置输出log文件路径，默认打印到标准错误输出 proc 镜像同步的并发数，默认为5 retries 同步任务失败时的重试次数，默认为2，重试有助于减少因网络波动而导致的同步任务失败次数 5. 等待命令执行完成，镜像便已成功迁移至企业版实例对应仓库下。

接口功能介绍 云硬盘快照功能请联系客户经理开通。 接口约束 无 URI POST /v3/cloudVolumeSnapshot/rollbackCloudVolume 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 snapshotOid 是 String 云硬盘快照ID 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 operationId String 使用云硬盘快照还原云硬盘操作ID，可用于查询操作状态（相关接口：异步操作查询操作详情）。 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "snapshotOid":"xxxxxxxxxxx" } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":{ "operationId":"jobtask7211cb74fbb283e4280kf87dhs" } }

本页介绍了如何通过合理分片用户权限，保障数据库安全。 用户在控制台上创建文档数据库服务实例成功之后，默认会分配 root 用户进行数据库操作。root 用户具备超级权限，可以对整个实例的库表进行读写，以及创建删除等管理操作。 如果文档数据库服务实例被多个业务使用，建议按照数据库和读写操作类型再创建独立的用户。通过对不同类型的业务分配最小最合适的操作权限，避免出现用户权限过大带来的安全风险。 文档数据库服务实例支持的所有操作都是基于 role 进行权限校验的，role 定义了操作行为，比如是否读写，是否能进行管理或者监控类的操作等。一个 用户可以包含1 个或者多个 role。 可以执行下面的命令，创建一个只对 db1 数据库有读权限的用户 user1： db.createUser({user:"user1", pwd: , roles:[{role:"read", db:"db1"}]}) 创建成功后通过 user1 登录，则只能看到 db1 数据库下面的表，并只能执行读数据操作。 如果希望创建一个能读 db1, 能读写 db2 的用户 user2, 可以在使用 root 登录后执行下面的命令： db.createUser({user:"user2", pwd: , roles:[{role:"read", db:"db1"}, {role:"readWrite", db:"db2"}]}) 创建成功后通过 user2 登录，则可以看到 db1 和 db2 数据库下面的表，对 db1 的表只能执行读操作，对 db2 可以执行建表和删表操作以及表的读写操作。

本页介绍了 Authentication failed 连接报错的处理方法。 问题描述 使用客户端连接文档数据库服务实例时报错 "Authentication failed", 使用的连接命令如下： mongo "mongodb://root: @ , /admin?authSourceadmin&replicaSet " 报错信息如下： 20230719T11:23:54.055+0800 E QUERY [js] Error: Authentication failed. : DB.prototype.authOrThrow@src/mongo/shell/db.js:1685:20 @(auth):6:1 @(auth):1:2 exception: login failed 原因分析 报错 "Authentication failed" 说明客户端到文档数据库服务实例的网络访问没有问题。一般可能是如下问题： 密码错误。 用户名和密码不匹配。 密码中含有特殊字符。 处理方法 1. 确认输入的用户名和密码是否正确，然后使用正确的用户名和密码重试。 2. 如果忘记了密码，可以到文档数据库服务的管控控制台界面上进行密码重置。 3. 可以使用交互式验证方式来验证是否是特殊字符的问题。交互式验证方式的示例如下，特点是在 Connection URI 中不指定密码信息。 mongo "mongodb://root@ , /admin?authSourceadmin&replicaSet " 执行上述命令之后，会提示进一步输入密码信息。如果交互式验证能够成功，而将密码直接放在 Connection URI 中验证失败，则很有可能是密码中包含有特殊字符。 特殊字符的处理方法是在 Connection URI 中提携手动转义的密码，将 '%' 替换为 '%25', '@' 替换为 '%40'，'!' 替换为 ''%21. 也就是说将特殊字符替换为 '%' + 16进制ASCII 码的形式。

使用虚拟私有云（VPC）实现网络隔离 虚拟私有云（VPC）是天翼云为用户提供的独立隔离虚拟网络环境，用户可完全掌控网络配置，是实现云上网络安全隔离的核心基础。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外，您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通，灵活整合资源，构建混合云网络。创建在VPC中的云主机可以依赖VPC的能力实现网络隔离，主要包括： 每个VPC实例是一个二层隔离的网络，VPC内部内网互通。在不采用对等连接、云间高速等方式建立VPC与外部网络内网互通的情况下，不同VPC之间默认无法内网互通。VPC中的云主机互访通过内网地址互通，可以实现最大化与外部网络隔离。 VPC内可以创建多个子网，将VPC划分为多个网段。不同子网之间可以通过子网路由表对路由进行管理，控制流量路径。 更多信息，请参见 ++虚拟私有云产品定义++和++创建虚拟私有云VPC++。 通过子网划分实现业务隔离 合理的子网规划是提升网络安全与管理效率的关键，通过按业务属性、安全等级划分子网，可实现精细化网络管控。 子网划分原则：按业务功能划分。将 Web 服务、应用服务、数据库服务分别部署在独立子网（如 Web 子网、应用子网、数据库子网），避免单一子网故障影响全业务。 按安全等级划分：将核心业务（如数据库、支付系统）部署在高安全等级子网，限制公网访问；将边缘服务（如负载均衡、CDN 节点）部署在低安全等级子网，作为业务对外访问入口，降低核心业务暴露风险。 预留地址空间：子网划分时预留 20% 左右的 IP 地址空间，为后续业务扩展与资源扩容提供支持，避免子网地址耗尽导致的网络调整成本。 子网级管控措施： （1）路由控制：为不同子网关联独立路由表，例如，数据库子网路由表仅保留内网路由，禁止直接访问公网； （2）Web 子网路由表配置指向 NAT 网关的默认路由，实现公网访问控制。 更多信息，请参见 ++创建子网++和++网络ACL简介++。

远程桌面连接Windows云主机报错:此计算机无法连接到远程计算机如何处理。 问题描述 使用远程登录方式连接登录Windows云主机时出现如下错误：此计算机无法连接到远程计算机。 图 无法连接到远程计算机 可能原因 服务端安全组3389端口未开启。检查云主机端口配置。 服务端防火墙关闭。检查防火墙配置是否正常 远程桌面连接配置不正确。检查远程桌面连接设置 未开启“Remote Desktop Services”。检查Remote Desktop Services 远程桌面会话主机配置不正确。检查远程桌面会话主机 检查云主机端口配置。 检查云主机的3389端口是否能够访问（默认使用3389端口）。 请确保入方向规则中已添加3389端口。 在云主机的详情页面选择“安全组”页签，查看安全组入方向规则中已添加3389端口。 检查防火墙配置是否正常 检查云主机的防火墙是否开启。 1.在控制台使用VNC方式登录Windows云主机。 2.单击桌面左下角的Windows图标，选择“控制面板 > Windows防火墙”。 图 Windows防火墙 3.单击“启用或关闭Windows防火墙”。 查看并设置防火墙的具体状态：开启或关闭。 图 查看防火墙状态 如果选择开启防火墙，请继续执行以下操作步骤。 4.单击“高级配置”。 5.检查“入站规则”，请确保已启用如下规则。 −远程桌面(TCPIn) 公用 −远程桌面(TCPIn) 域，专用 图 入站规则 如果防火墙入站规则中设置的端口与远程服务器设置的端口不一致，远程访问服务器将无法成功。一旦出现这种情况，您也可以添加新的防火墙入站规则端口。 默认使用的是3389端口，如果您使用的是其他端口，可参考3389端口添加防火墙入站规则。 说明 默认使用的是3389端口，如果您使用的是其他端口，可参考3389端口添加防火墙入站规则。 完成上述操作后，再次重试远程连接云主机。

本章介绍通过公网使用弹性云主机连接云数据库GaussDB 实例。 准备工作 云数据库GaussDB 提供gsql工具帮助您在命令行下连接数据库，您需要提前创建一台弹性云主机用于安装gsql工具。具体请参见《弹性云主机用户指南》。 须知 操作系统需要选择Euler操作系统。gsql支持的操作系统版本如下： X86：EulerOS V2.0SP5。 绑定弹性公网IP 如果您想要通过公网访问数据库实例，那么您需要为数据库实例绑定弹性公网IP，具体操作请参考绑定和解绑弹性公网IP。 设置安全组规则 在访问数据库前，您需要将访问数据库的IP地址，或者IP段加入安全组入方向的访问规则，操作请参见设置安全组规则。 远程连接数据库 步骤 1 登录申请的弹性云主机。 步骤 2 在申请的弹性云主机上，上传客户端工具包并配置gsql的执行环境变量。 1. 以root用户登录客户端机器。 2. 创建“/tmp/tools”目录。 mkdir /tmp/tools 3. 获取GaussDB软件包并解压。 unzip GaussDBopengaussclienttools.zip 4. 根据申请的弹性云主机的操作系统架构进入不同目录，获取“GaussDBKernelxxxEULER64bitgsql.tar.gz”，并上传到申请的弹性云主机“/tmp/tools”路径下。 说明 软件包相对位置为安装时所放位置，根据实际情况填写。 5. 解压文件。 cd /tmp/tools tar zxvf GaussDBKernelV500R001C00EULER64bitgsql.tar.gz 6. 设置环境变量。 打开“~/.bashrc”文件。 vi ~/.bashrc 在其中输入如下内容后，单击“ESC”退出编辑模式，使用“:wq!”命令保存并退出。 export PATH/tmp/tools/bin:$PATH export LDLIBRARYPATH/tmp/tools/lib:$LDLIBRARYPATH 使环境变量配置生效。 source ~/.bashrc 步骤 2 执行如下指令，根据提示输入密码，连接数据库。 数据库创建成功后，会默认生成名称为postgres的数据库，此处以postgres库为例。 gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: postgres为需要连接的数据库名称，10.0.0.0为实例绑定的公网IP地址，root为登录数据库的用户名，8000为实例的端口号。

本文为您介绍添加受保护服务器的操作流程。 操作场景 保护组创建完成后，将需要容灾的服务器添加到指定的保护组中。 约束与限制 单次添加时，至少选择1个服务器进行保护，最多可以选择10个服务器。 目前仅支持64位操作系统，且服务器的规格不能小于2CPU+4GB内存。详情请参见支持的操作系统版本。 暂不支持将挂载了X系列云硬盘（如XSSD1等）的云主机添加为受保护的服务器。 注意事项 由于云容灾服务需要连通服务端VPC，如果受保护的服务器使用非默认安全组，请确认所使用的安全组配置了出方向规则，示例如下： 具体请参见安全组规则。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入云上容灾。 板块展示：默认进入板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 列表展示：默认是板块展示，可单击右上角图标切换为列表展示。找到目标保护组，单击目标保护组名称，进入保护组页面。 5. 在保护组页面，在“受保护的服务器”页签，单击“添加受保护服务器”，进入云主机列表页面。 6. 在云主机列表页面，选择需要受保护的服务器，单击“确认”。 7. 待云主机状态变为“已初始化”，说明添加完成。

检查安全组规则是否生效 在安全组规则中放开某个端口后，您还需要确保实例内对应的端口也已经放通，安全组规则才会对实例生效。 假设您在某台ECS上部署了网站，希望用户能通过HTTP(80)端口访问到您的网站，则您需要先在ECS所在安全组的入方向中，添加下表中的规则，放通HTTP(80)端口。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP：80 IP地址：0.0.0.0/0 安全组规则添加完成后，您需要执行以下操作，检查云主机内端口开放情况，并验证配置是否生效。 登录云主机，检查云主机端口开放情况。 检查Linux云主机端口：执行命令netstat an grep 80，查看TCP 80端口是否被监听。 若回显类似下图所示，说明80端口已开通。 检查Windows云主机端口：打开命令执行窗口（CMD），执行命令netstat an findstr 80，查看TCP 80端口是否被监听。 若回显类似下图所示，说明80端口已开通。 打开浏览器，在地址栏里输入“

本章节介绍云容器ETCD节点宕机故障演练。 背景介绍 云容器引擎（CCE）中，Etcd 节点是集群的分布式数据存储核心。硬件故障、系统内核异常、软件组件崩溃、网络中断及数据同步异常等因素，均可能导致 Etcd 节点故障。Etcd 节点故障会造成集群配置读写失败、状态同步异常，进而导致 Master 节点管控功能受限，Pod 调度、扩缩容等操作失效，影响上层业务稳定性，本演练可测试系统应对 Etcd 节点故障的恢复能力。 基本原理 通过停止Etcd 节点上的服务，模拟Etcd 节点故障。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择Etcd节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

错误码 访问ErrorCodes说明文档查看更多错误码。

错误码 访问ErrorCodes说明文档查看更多错误码。

错误码 访问ErrorCodes说明文档查看更多错误码。

错误码 访问ErrorCodes说明文档查看更多错误码。

错误码 访问ErrorCodes说明文档查看更多错误码。

错误码 访问ErrorCodes说明文档查看更多错误码。

错误码 访问ErrorCodes说明文档查看更多错误码。