本文介绍域名接入边缘安全加速平台后，如何为域名配置合适的防护策略。 当您首次将域名接入边缘安全加速平台之后，面对各种安全防护配置项，您可能不知道如何进行配置。本文将引导您从不同角色的视角、场景快速熟悉边缘安全加速平台的防护模块和防护规则配置，让您从最紧急、最关注的防护内容入手，了解如何使用安全与加速服务保护您的网站。 操作前提 已经在边缘安全加速平台控制台完成接入域名，并且域名已处于已启用的状态。 操作内容须知 本文描述都是建立在您已经完成域名新增，并且域名状态处于已启用的前提下进行操作，您可以参考功能的描述文档开启并设置相对应的功能。 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择域名>域名管理。 本文会根据不同的角色或者业务视角来给您提供网站防护策略的配置建议。您可以根据您的实际需求和您对网站的熟悉程度来了解相关的网站防护配置。 没有安全经验的使用者要如何配置防护策略 您可能出于等保要求或者为了预防Web攻击而购买安全与加速服务，但您之前从未了解过网站安全相关知识或者未使用过安全产品，这种情况可以参考本章内容进行域名的防护配置修改。在根据域名接入指引成功添加域名后（域名状态由配置中 变更为 已启用 ），在“Web防护 > 域名规则”中将域名规则开关置为拦截模式，完成这几部操作后防护引擎就可以帮助您自动识别、拦截绝大部分的Web攻击请求。 同时您也需要多关注概览、安全报表、攻击日志等数据统计分析页面，了解业务流量、数据情况和攻击威胁情况。查看相关数据报表可以让您对域名信息有更详细的了解，同时可以根据这些数据特征，联系天翼云安全专家沟通具体的解决方案，在天翼云安全专家的指导下进一步配置域名防护内容，对域名安全进一步加固。 当您在攻击日志中发现正常的业务请求被误拦截，而您又不会根据误拦截内容进行防护配置变更时，您可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。

本文介绍跨域资源共享功能及其配置说明。 功能介绍 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应参数并传递给客户端。配置自定义HTTP响应头后，当用户请求加速域名下的资源时，边缘安全加速平台—安全与加速服务返回的响应消息会携带您配置的响应头，从而实现特定功能。跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 注意 若源站与客户控制台同时配置CORS跨域头，则天翼云边缘安全加速平台—安全与加速服务的配置将覆盖源站CORS跨域头。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【域名】【基础配置】，在域名列表中选中需要配置的域名。 2.进入域名配置详情页面后，选择【头部修改】【HTTP响应头】。 3.单击【编辑配置】按钮，单击【增加规则】，HTTP响应头部值配置：AccessControlAllowOrigin。 4.配置完成后，单击【保存】，单击【确定】提交。 参数名 说明 示例 头部值 跨域头部固定填写：AccessControlAllowOrigin。 AccessControlAllowOrigin 跨域验证 跨域验证开关默认关闭。 关闭：固定响应“AccessControlAllowOrigin”头部及其配置的取值。 开启：按照以下规则对用户请求进行跨域校验。 1.任意匹配：取值配置为“ ”，固定响应“AccessControlAllowOrigin:”。 2.泛匹配：取值配置为泛域名，校验请求头Origin值与配置的泛域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 3.精确匹配：取值配置为单个或者多个精确域名，校验请求头Origin值与配置的精确域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 开启 取值 1、响应头取值配置为“ ”，可匹配所有来源。 2、响应头取值配置非“ ”，必须包含协议头“http:// ”或者“ 3、响应头取值配置非“ ”，支持配置多个域名，多个值之间用英文逗号分隔。 4、响应头取值支持携带端口。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的攻击挑战功能。 功能介绍 攻击挑战，即反复攻击惩罚，指自动阻断在短时间内发起多次 Web 攻击（规则引擎触发）的客户端 IP，一段时间内阻止所有请求，阻断日志可以在攻击日志中查看，可以快速拦截恶意攻击 Web 的 IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持攻击挑战（反复攻击惩罚）相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【攻击挑战】详细设置页。 配置说明 防护开关 攻击挑战功能的总开关，关闭时攻击挑战的配置策略将不生效。 配置项说明 配置项 说明 开关 防护策略开关，可选择开启或者关闭策略 命中防护规则 仅勾选的攻击类型会做统计，勾选范围为目前边缘安全加速平台支持防护的Web攻击类型 封禁对象 即统计粒度，支持一种粒度或两种粒度组合, 支持粒度缺失统计 粒度缺失统计 当客户端IP、客户端端口、服务端口其中两种粒度组合时，不展示,这两个粒度不可能缺失 触发条件 在【统计周期】之内，【统计粒度】触发防护规则次数达到【阈值】次，则执行【处理动作】 统计频率：防护策略的统计周期，支持配置秒、分、时单位 触发阈值：即触发已选攻击类型的攻击阈值。有两种触发条件：命中防护规则达N次、命中防护规则ID达M个，当两者同时配置时，攻击满足两个条件才会触发拦截 封禁时长：即拦截持续时间 处理动作 请求触发攻击挑战策略后的处理动作，可选择拦截或者告警 处理动作持续时长 满足触发条件后，处理动作会持续的时间 例外的规则ID 例外的规则ID，规则ID可在域名规则中查询 例外客户端IP 不需要经过攻击挑战策略的客户端IP 描述 多行文本，能够输入此条防护规则的相关描述，最多支持输入200个字符

GPU云主机作为弹性云主机的一类实例规格，其关机操作与弹性云主机保持一致。 操作场景 关机操作可以将GPU云主机从运行状态切换为关机状态，以进行维护等操作。 使用须知 按需付费的弹性云主机支持节省关机和普通关机两种计费模式（节省关机目前仅部分资源池支持）。 节省关机模式下，计算资源 (CPU、内存、GPU)不再收费，其余收费的资源正常计费，如系统盘、数据盘、带宽等，且再次开机后不会导致内网IP或弹性公网IP地址变更。 由于计算资源被回收，节省关机模式下，再次开机时可能因为资源不足导致启动失败，您可以稍后尝试再次开机或者尝试变配为其他规格，如一直没有可用资源，云主机有一直不能开机的风险。 如下场景不支持节省关机 所开通的云主机为包周期计费模式 已经加入主机组的云主机 已经加入云主机快照、云主机备份策略的云主机 注意 按量付费云主机的计费规则详见：按量计费模式弹性云主机购买指南计费模式 天翼云 (ctyun.cn) 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 选择“计算 > 弹性云主机”。 4. 根据实际需求对云主机进行关机。 1. 对单台云主机进行关机操作：在云主机列表中，选择需要关机的云主机，点击云主机列表左上角的关机操作按钮。 2. 对多台云主机进行关机操作：在云主机列表中，选择需要关机的多台云主机，点击云主机列表左上角的关机操作按钮。 5. 在关机弹窗中，设置关机方式和模式，并确认操作是否正确，无误后点击确定。 设置 说明 关机方式 关机：正常关机流程。但为避免关机失败，当您选择关机时，普通关机超时会自动执行强制关机操作。 强制关机：等同于断电处理，可能丢失云主机操作系统中未写入磁盘的数据。 关机模式 普通关机模式：普通关机后保留计算、存储、网络资源。 节省关机模式：节省关机后，计算资源（CPU、内存、GPU）均被释放且不计费，其余网络、存储资源继续保留并收费。 注意 请注意云主机状态的说明：如果云主机在中间状态停留超过30分钟（如启动中、停止中、重启中），表示可能出现异常情况，请及时提交工单以寻求进一步处理。

弹性IP可绑定的云资源有：弹性云主机、弹性负载均衡、NAT网关等服务。本文介绍如何申请弹性IP。 操作须知 弹性IP配额默认为每个单资源池10个，如果您在操作地域申请的弹性IP数量已达10，可以提交工单申请扩大配额。 操作步骤 1. 登录天翼云官网，进入控制台。 2. 在系统首页，单击弹性公网IP进入新界面。 3. 在弹性公网IP界面，单击“申请弹性IP”按钮。 4. 在购买弹性IP界面，可以根据提示配置地域、名称、付费方式、计费类型、带宽等基本参数，以及购买数量、创建时长等购买量信息，具体参数说明请参考步骤下面的表格。 参数 说明 取值样例 地域 弹性IP 所属地域。建议就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 华北华北2 名称 弹性IP 的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 eiphuabei 付费方式 选择带宽的计费模式，支持包年/包月、按量付费。 包年/包月 计费类型 选择带宽的计费类型。付费方式为包年包月时支持按带宽计费；付费方式为按量付费时支持按带宽计费和按流量计费。 按带宽计费 带宽类型 选择带宽的类型。付费方式为按量付费时支持独享带宽和共享带宽。 独享带宽 共享带宽 带宽类型选择共享带宽时，需要指定弹性IP 要加入的共享带宽。 带宽 带宽类型选择共享带宽时，需要指定弹性IP的带宽大小，单位Mbps。 100 购买数量 弹性IP的购买数量。 1 创建时长 弹性IP的使用时间（付费方式选择为“包年/包月”时，需要设置）。 1个月 自动续订 付费方式选择为“包年/包月”时，可以设置启用自动续订。按月购买：自动续订周期为1个月按年购买：自动续订周期为1年。 启用自动续订 企业项目 申请弹性IP时可以为即将分配到的IP设置加入的企业项目, 弹性IP和云主机需在同一企业项目下才可绑定。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default 5. 配置好参数后，单击“下一步”按钮。 6. 确认订单后，阅读并勾选同意《天翼云弹性IP服务协议》，单击“确认下单”按钮即可完成购买。 7. 购买成功后，可以在弹性IP列表查询到刚刚购买的弹性IP信息。

本节介绍如何配置攻击惩罚，使WAF按配置的攻击惩罚时长来自动封禁访问者。 网站域名接入Web应用防火墙后，您可以选择开启攻击惩罚功能。开启并配置攻击惩罚功能后，当WAF检测到访问者的IP、Cookie或请求参数中有恶意请求时，WAF将按配置的攻击惩罚时长来自动封禁访问者。 配置的攻击惩罚标准会提供给BOT防护、精准访问控制防护模块使用。当配置BOT防护规则、精准访问控制规则时，可使用攻击惩罚标准功能。 BOT防护规则：当处置动作选择拦截、动态拦截时，支持勾选“攻击惩罚”。 精准访问控制规则：当处置动作选择拦截时，支持勾选“攻击惩罚”。 攻击惩罚对象 攻击惩罚的对象包含IP以及SESSION会话对象。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持攻击惩罚功能，请升级到更高版本使用。 配置攻击惩罚标准 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“攻击惩罚”模块，可以选择开启/关闭防护。 7. 单击攻击惩罚右侧的“前去配置”，进入攻击惩罚配置页面。 8. 配置攻击惩罚参数。 配置项 说明 拦截周期 配置初次拦截的时长，即第一次惩罚的时长。 单位为“分钟”，可输入10~60的整数。 说明 攻击惩罚与动态拦截同时生效，实际拦截时长按照攻击惩罚和动态拦截的最大时间进行拦截。 每次增长时长 配置多次拦截的增长时长，即在上一次惩罚时长的基础上增长对应的时间。 单位为“分钟”，可输入10~60的整数，10代表拦截时长每次增长10分钟。 最多拦截次数 配置最多拦截的次数。 可输入1~5的数字，1代表着惩罚目标增长1次处罚时间，下一次被永久拦截。5代表惩罚目标增长5次处罚时间后，下一次被永久拦截。 生效范围 默认为全部规则。 9. 单击“确认”，完成攻击惩罚配置。

插件简介 Everest是一个云原生容器存储系统，基于CSI为Kubernetes v1.15.6及以上版本集群对接云硬盘服务、对象存储服务、弹性文件服务 SFS、极速文件存储 SFS Turbo等存储服务的能力。 该插件为系统资源插件，kubernetes 1.15 及以上版本的集群在创建时默认安装。 说明： v1.13.11r1升级到v1.15.11r1集群后，原本v1.13的Flexvolume Fuxi容器存储由v1.15的Everest接管（插件版本v1.1.6及以上），原有功能保持不变。 Everest插件在1.2.0 版本 优化了使用对象存储时的秘钥认证功能，请在Everest插件升级完成后（从低于1.2.0的版本升级到1.2.0及以上版本），重启集群中使用对象存储的全部工作负载，否则工作负载使用对象存储能力将受影响。 约束与限制 仅支持v1.15 及以上版本的CCE集群安装本插件。 v1.13及以下版本集群创建时默认必装storagedriver（系统资源插件，必装）插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 步骤 1 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件市场”页签下，单击“everest”插件下的“安装插件”。 步骤 2 在安装插件页面，选择安装的集群和插件版本，单击“下一步：规格配置”。 步骤 3 该插件可配置“单实例”或“高可用”规格，选择后单击“安装”。 待插件安装完成后，单击“返回”，在“插件实例”页签下，选择对应的集群，可查看到运行中的实例，这表明该插件已在当前集群的各节点中安装。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击“everest”下的“ 升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级everest插件时，会替换原先节点上的旧版本的everest插件，安装最新版本的everest插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 该插件可配置“单实例”或“高可用”规格，选择后单击“升级”即可升级“everest”插件。 卸载插件 步骤 1 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件实例”页签下，选择对应的集群，单击“everest”下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。

随着业务逻辑的复杂化，越来越多的应用需要大量模块之间的网络调用。传统的单一外部防火墙，或依照应用分层的防火墙已渐渐无法满足需求。在一个大的集群里面，各模块、业务逻辑层，或各职能团队之间的网络策略需求越来越强。 CCE基于Kubernetes的网络策略功能进行了加强，通过配置网络策略，允许在同个集群内实现网络的隔离，也就是可以在某些实例（Pod）之间架起防火墙。 使用场景例如：某个用户有支付系统，且严格要求只能某几个组件能访问该支付系统，否则有被攻破的安全风险，通过配置网络策略可免除该风险。 约束与限制 VPC网络模型暂不支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置egress路由规则。 使用说明 若工作负载（例如名称为workload1）未配置网络策略，那“当前集群内的其它工作负载”都可以访问“名为workload1的工作负载”。 设置网络策略 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”。在NetworkPolicy页签，单击“添加NetworkPolicy”。 NetworkPolicy名称：自定义输入NetworkPolicy名称。 集群名称：选择网络策略所在集群。 命名空间：选择网络策略所在命名空间。 关联工作负载： 单击“选择工作负载”，选择“需要设置网络策略的工作负载”，例如工作负载名称为workload1，单击“确定”。 规则：单击“添加规则”，参数设置请参见下表 表NetworkPolicy添加规则 参数 参数说明 方向 当前仅支持入方向。即“其它工作负载”访问“当前的工作负载（即当前案例中的workload1）”。 协议 请选择对应的协议类型，目前支持TCP和UDP协议，不支持ICMP协议。 目的容器端口 容器镜像中应用程序实际监听端口，需用户确定。nginx程序实际监听的端口为80。 若不填写容器端口，默认所有端口都可被访问。 远端 选择可访问“当前工作负载”的“其它工作负载”。通过目的容器端口来访问。 命名空间： 若选择某个命名空间，则该命名空间下的所有工作负载都会加入白名单，即都可访问workload1。 工作负载： 若选择某个工作负载，即该工作负载可以访问workload1 。仅支持选择与workload1同个命名空间下的“其它工作负载”。 步骤 2 设置完成后，单击“创建”。 步骤 3 若需要为当前工作负载添加更多网络策略，例如其它端口需要被某个工作负载访问，可单击“添加NetworkPolicy”，继续添加更多策略。 创建成功后，“仅远端中配置好的命名空间或工作负载”可以访问“当前工作负载”。

本文为您介绍创建应急切换的具体操作。 概述 应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的切换任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。 使用条件 应急切换主要用于突发故障下切换工作，为单次执行，不可重复执行。若需定时多次演练，可在容灾演练模块进行相关操作。 进行应急切换前，需完成命名空间创建、容灾管理中心配置、应用接入（可选）、预案编排。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾切换”“应急切换”，进入应急切换列表页。 5. 在列表上方下拉菜单中选择需要进行应急切换的命名空间。 6. 点击列表上方的“创建应急切换”按钮，弹出创建应急演练弹窗。 7. 填写创建应急切换信息，各配置项信息如下： 参数 是否必填 配置说明 切换名称 √ 填写切换名称，同命名空间下切换名称需唯一。 关联预案 √ 选择当前命名空间下已发布状态的预案名称。 涉及容灾管理中心 × 显示选择关联预案后容灾管理中心。 切换超时时间 √ 填写切换超时时间，单位为分钟。 系统将在执行“开始切换”操作后计时，超时系统将自动终止该切换，最新切换状态更新为“已终止”且无法恢复。 时间范围为10分钟6小时。 单个任务超时时间 √ 填写单个任务超时时间，单位为分钟。 单个任务超时时间指任务执行时间超出后系统自动将该任务状态置为“已超时”，需人工介入处理。 该超时时间仅对脚本任务及资源操作类的内置任务有效，人工任务及流程控制类的内置任务不受此超时时间影响。 时间范围为1分钟2小时。 描述 × 填写容灾切换描述。 长度为0100个字符。 8. 点击“确定”按钮，完成应急切换创建。成功创建后，列表新增一条相关记录，状态为“未开始”。

本章主要介绍步骤二：管理项目配置 管理项目通知 项目经理Maggie希望当任务（工作项）分配给团队成员时，该成员能够收到通知，以便及时处理。 步骤 1 进入“凤凰商城”项目，单击导航“设置 > 项目设置 > 通知设置”。 步骤 2 页面中显示样例项目中的默认配置。 由于默认配置可以满足需求，因此本文档中暂不做配置的修改。若您有需要，直接勾选所需选项即可，服务将自动保存您的选择。 步骤 3 验证配置结果。 当项目经理完成分解Story操作后，开发人员Chris将收到以下两类通知。 站内信：Chris登录首页后，页面右上角图标处将显示数字，单击该图标即可看到通知。 邮件：若为项目成员创建用户时配置了邮箱，且项目成员在个人设置中开启了邮件通知，则将会收到服务发出的邮件。 说明 每个成员均可以设置是否接收邮件通知。开启邮件通知的方法为： 1. 单击页面右上角的用户名，在下拉列表中选择“个人设置”，默认跳转至“消息设置”页面。 2. 在页面中找到“邮件通知”，勾选“开启”。可以单击“更改设置”，修改邮箱地址。 定制项目工作流程 在迭代Review会议中，团队将向产品负责人做产品演示，并出示测试报告，由产品负责人确认Story是否完成。而当前的Story状态中没有能够显示测试已完成的状态，因此测试人员建议增加一个状态“验收中”。 项目经理Maggie通过以下操作为Story添加状态。 步骤 1 进入“凤凰商城”项目，单击导航“设置 > 项目设置”。 步骤 2 在页面左侧导航中选择“公共状态设置”，页面将显示样例项目默认的工作项状态列表。 步骤 3 单击“添加状态”，参照下表在弹框中编辑状态信息，单击“添加”保存。 状态信息配置 配置项 配置建议 状态 输入“验收中”。 状态属性 选择“进行态”。 步骤 4 在页面左侧导航中选择“Story设置 > 状态与流转”，页面将显示样例项目默认的Story状态列表。 步骤 5 单击“添加已有状态”，在弹框中勾选“验收中”，单击“确定”保存。 添加Story状态 步骤 6 通过拖拽将状态“验收中”的顺序至于“测试中”之后。 步骤 7 验证配置结果。 1. 单击“工作 > 工作项”，在列表中单击任意Story名称，查看Story详情。 2. 单击“状态”项的值，在下拉列表中可以看到选项“验收中”。

说明：本章节会介绍天翼云关系型数据库如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本文主要介绍 数据盘（将扩容部分的容量新增到E盘） 数据盘原有容量为40GB，通过管理控制台将数据盘扩容60GB后，登录云主机为60GB新增容量新创建一块E盘。操作完成后，新增60GB的E盘可用作数据盘。 步骤1 在云主机桌面，选择“开始”，右键单击后在菜单列表中选择“计算机”，选择“管理”。 弹出“服务器管理”窗口。 步骤2 在左侧导航树中，选择“存储 > 磁盘管理”。 进入“磁盘管理”页面，如下图所示。 图 刷新（数据盘） 步骤3 若此时无法看到扩容部分的容量，选中“磁盘管理”，右键单击“刷新”。 刷新后，可以看到在扩容部分的容量，显示为“未分配”，如下图所示。 图 未分配（数据盘） 步骤4 在磁盘1的“未分配区域”右键单击，选择“新建简单卷”，如下图所示。 图 新建简单卷（数据盘） 步骤5 在弹出的“新建简单卷向导”界面中选择“下一步”，如下图所示。 图 新建简单卷向导(数据盘) 步骤6 在弹出的“指定卷大小”界面中，指定“简单卷大小”行中输入需要扩容的磁盘容量，此处以默认为例，单击“下一步”，如下图所示。 图 指定卷大小(数据盘) 步骤7 在弹出的“分配驱动器号和路径”界面中，指定“分配驱动器号”行中选择驱动器号，此处以“E”为例，单击“下一步”，如下图所示。 图 分配驱动器号和路径(数据盘) 步骤8 勾选“按下列设置格式化这个卷”，并根据实际情况设置参数，格式化新分区，单击“下一步”完成分区创建，如下图所示。 图 格式化分区（数据盘） 步骤9 单击“完成”完成向导。 扩容成功后可以看到新加卷（E：），如下图所示。 图 完成（新加卷E） 图 新加卷（E:）

告警属性 告警ID 告警级别 是否自动清除 12033 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 磁盘名 产生告警的磁盘名。 对系统的影响 磁盘慢盘故障，导致业务性能下降，阻塞业务的处理能力，严重时可能会导致服务不可用。 可能原因 磁盘老化或者磁盘坏道。 处理步骤 检查磁盘状态 1. 在FusionInsight Manager界面，选择“运维 > 告警 > 告警”。 2. 查看该告警的详细信息，查看定位信息中“主机名”字段和“磁盘名”字段的值，获取该告警产生的故障磁盘信息。 3. 确认上报告警的节点是否为虚拟化环境。 是，执行步骤4。 否，执行步骤7。 4. 请检查虚拟化环境提供的存储性能是否满足硬件要求，检查完毕之后执行步骤5。 5. 以root 用户登录告警节点，执行df h命令，查看输出内容是否包含“磁盘名”字段的值。 是，执行步骤7。 否，执行步骤6。 6. 执行lsblk命令，是否可以查到“磁盘名”字段值与磁盘设备的映射关系。 是，执行步骤7。. 否，执行步骤22。 7. 以root用户登录上报告警的节点，执行 lsscsi grep"/dev/sd[x]" 命令查看磁盘的设备信息，判断磁盘是否建立了RAID。 说明 其中 /dev/sd[x] 为步骤2中获取到的上报告警的磁盘名称。 例如执行： lsscsi grep "/dev/sda" 如果命令执行结果第三列显示ATA、SATA或者SAS，说明磁盘没有建立RAID；显示其他信息，则该磁盘可能建立了RAID。 是，执行步骤12。 否，执行步骤8。 8. 执行 smartctl i /dev/sd[x] 命令检查硬件是否支持smart。 例如执行： smartctli /dev/sda 如果命令执行结果中包含“SMART support is: Enabled”，表示磁盘支持smart；执行结果中包含“Device does not support SMART”或者其他，表示磁盘不支持smart。 是，执行步骤9。 否，执行步骤17。 9. 执行 smartctl H all /dev/sd[x] 命令查看smart的基本信息，判断磁盘是否正常。 例如执行： smartctlH all /dev/sda 查看命令执行结果的“SMART overallhealth selfassessment test result”内容，如果是“FAILED”，表示磁盘故障，需要更换；如果为“PASSED”，需要进一步看“ReallocatedSectorCt”或者“Elements in grown defect list”项的计数，如果大于100，则认为磁盘故障，需要更换。 是，执行步骤10。 否，执行步骤18。 10. 执行 smartctl l error H /dev/sd[x] 命令查看磁盘的GLIST列表，进一步继续判断磁盘是否正常。 例如执行： smartctll error H /dev/sda 查看命令执行结果的“Command/Featruename”列，如果出现“READ SECTOR(S)”或者“WRITE SECTOR(S)”表示磁盘有坏道；如果出现其他错误，表示磁盘电路板有问题。这两种错误均表示磁盘不正常，需要更换。 如果显示“No Errors Logged”，则表示没有错误日志，则可以触发磁盘smart自检。 是，执行步骤11。 否，执行步骤18。 11. 执行 smartctl t long /dev/sd[x] 命令触发磁盘smart自检。命令执行后，会提示自检完成的时间，在等待自检完成后，重新执行步骤9和步骤10，检查磁盘是否正常。 例如执行： smartctlt long /dev/sda 是，执行步骤17。 否，执行步骤18。 12. 执行 smartctl d [satscsi]+megaraid,[DID] H all /dev/sd[x] 命令检查硬件是否支持smart。 说明 [satscsi]表示磁盘类型，需要尝试以上两种类型。 [DID]表示槽位信息，需要尝试0～15。 例如依次执行： smartctld sat+megaraid,0 H all /dev/sda smartctld sat+megaraid,1 H all /dev/sda smartctld sat+megaraid,2 H all /dev/sda 依次尝试不同磁盘类型和槽位信息的命令组合，如果执行结果中显示“SMART support is: Enabled”，表示磁盘支持smart，记录命令执行成功时磁盘类型和槽位信息组合参数；如果尝试完以上所有的命令组合，执行结果都未显示“SMART support is: Enabled”，表示磁盘不支持smart。 是，执行步骤13。 否，执行步骤16。 13. 执行步骤12中记录的 smartctl d [satscsi]+megaraid,[DID] H all /dev/sd[x] 命令查看smart的基本信息，判断磁盘是否正常。 例如执行： smartctl d sat+megaraid,2 H all /dev/sda 查看命令执行结果的“SMART overallhealth selfassessment test result”内容，如果是“FAILED”，表示磁盘故障，需要更换；如果为“PASSED”，需要进一步看“ReallocatedSectorCt”或者“Elements in grown defect list”项的计数，如果大于100，则认为磁盘故障，需要更换。 是，执行步骤14。 否，执行步骤18。 14. 执行 smartctl d [satscsi]+megaraid,[DID] l error H /dev/sd[x] 命令查看硬盘的GLIST列表，进一步判断硬盘是否正常。 例如执行： smartctl d sat+megaraid,2 l error H /dev/sda 查看命令执行结果的“Command/Featruename”列，如果出现“READ SECTOR(S)”或者“WRITE SECTOR(S)”表示磁盘有坏道；如果出现其他错误，表示磁盘电路板有问题。这两种错误均表示磁盘不正常，需要更换。 如果显示“No Errors Logged”，则表示没有错误日志，则可以触发磁盘smart自检。 是，执行步骤15。 否，执行步骤18。 15. 执行 smartctl d [satscsi]+megaraid,[DID] t long /dev/sd[x] 命令触发磁盘smart自检。命令执行后，会提示自检完成的时间，在等待自检完成后，重新执行步骤13和步骤14，检查磁盘是否正常。 例如执行： smartctl d sat+megaraid,2 t long /dev/sda 是，执行步骤17。 否，执行步骤18。 16. 磁盘不支持smart，通常是因为配置的RAID卡不支持，此时需要使用对应RAID卡厂商的检查工具进行处理，然后执行步骤17。 例如LSI一般是MegaCLI工具。 17. 在FusionInsight Manager界面，选择“运维 > 告警 > 告警”，单击该告警操作列的“清除”，并继续观察该告警，查看同一块磁盘的告警是否会继续上报。 如果当前磁盘出现三次以上该告警，建议用户更换磁盘。 是，执行步骤18。 否，操作结束。

注意事项 在设置应用组件间的亲和性和应用组件与节点间的亲和性时，需确保不要出现互斥情况，否则应用会部署失败。例如如下互斥情况，应用将会部署失败： APP1、APP2设置了应用组件间的反亲和，例如APP1部署在Node1，APP2部署在Node2。 APP3部署上线时，既希望与APP2亲和，又希望可以部署在不同节点如Node3上，这就造成了应用组件亲和和节点亲和间的互斥，导致最终应用组件部署失败。 操作步骤 “组件类型”为“通用”且运行时为“Docker”的组件，执行以下操作： 1、进入应用组件实例调度策略设置界面： 在部署应用组件的组件配置过程中设置应用组件实例调度策略，请执行步骤2。 组件已经部署完成后设置应用组件实例调度策略，请执行步骤3。 2、在“组件配置”界面： 参考下表设置应用组件实例调度策略。 目的 步骤 :: 设置应用组件与可用区的亲和 单击“添加亲和的对象”。 对象类型选择“可用区”，选择待亲和的可用区。 单击“确定”。 设置应用组件与可用区的反亲和 单击“添加反亲和的对象”。 对象类型选择“可用区”，选择待亲和的可用区。 单击“确定”。 设置应用组件与节点间的亲和 单击“添加亲和的对象”。 对象类型选择“节点”，选择待亲和的节点。 单击“确定”。 设置应用组件与节点间的反亲和 单击“添加反亲和的对象”。 对象类型选择“节点”，选择待亲和的节点。 单击“确定”。 设置应用组件间亲和 单击“添加亲和的对象”。 对象类型选择“组件”，选择待亲和的应用组件。 单击“确定”。 系统会将您选择的应用组件设置为亲和，部署到相同的节点中。 设置应用组件间反亲和 单击“添加反亲和的对象”。 对象类型选择“组件”，选择待反亲和的应用组件。 设置完成后，单击“确定”。 系统会将您选择的应用组件设置为反亲和，部署到不同的节点中。 单击“下一步 规格确认”，完成组件部署，操作结束。 3、登录ServiceStage控制台，选择“应用管理 > 应用列表”，可查看到所有应用。 4、单击应用名称，进入应用“概览”页。 5、在“环境视图”页签，选择“环境”，可以看到已经部署在该环境下的应用组件。 6、单击应用组件名称，进入应用组件实例“概览”页，单击“更新升级”。 7、展开“高级设置 > 部署配置”，在“调度策略”页签填写以下参数。 目的 步骤 :: 设置应用组件与可用区的亲和 单击“添加亲和的对象”。 对象类型选择“可用区”，选择待亲和的可用区。 单击“确定”。 设置应用组件与可用区的反亲和 单击“添加反亲和的对象”。 对象类型选择“可用区”，选择待亲和的可用区。 单击“确定”。 设置应用组件与节点间的亲和 单击“添加亲和的对象”。 对象类型选择“节点”，选择待亲和的节点。 单击“确定”。 设置应用组件与节点间的反亲和 单击“添加反亲和的对象”。 对象类型选择“节点”，选择待亲和的节点。 单击“确定”。 设置应用组件间亲和 单击“添加亲和的对象”。 对象类型选择“组件”，选择待亲和的应用组件。 单击“确定”。 系统会将您选择的应用组件设置为亲和，部署到相同的节点中。 设置应用组件间反亲和 单击“添加反亲和的对象”。 对象类型选择“组件”，选择待反亲和的应用组件。 设置完成后，单击“确定”。 系统会将您选择的应用组件设置为反亲和，部署到不同的节点中。 8、单击“重新部署”，完成应用组件实例调度策略设置。 其他类型的组件，执行以下操作： 1、进入应用组件实例调度策略设置界面： 在部署应用组件的组件配置过程中设置应用组件实例调度策略，请执行步骤6。 组件已经部署完成后设置应用组件实例调度策略，请执行步骤2。 2、登录ServiceStage控制台，选择“应用管理 > 应用列表”，可查看到所有应用。 3、单击应用名称，进入应用“概览”页。 4、在“环境视图”页签，选择“环境”，可以看到已经部署在该环境下的应用组件。 5、单击应用组件名称，进入应用组件实例“概览”页，单击“更新升级”。 6、展开“高级设置 > 部署配置”，在“调度策略”页签填写以下参数。 目的 步骤 :: 设置应用组件与可用区的亲和 单击“添加亲和的对象”。 对象类型选择“可用区”，选择待亲和的可用区。 单击“确定”。 设置应用组件与可用区的反亲和 单击“添加反亲和的对象”。 对象类型选择“可用区”，选择待亲和的可用区。 单击“确定”。 设置应用组件与节点间的亲和 单击“添加亲和的对象”。 对象类型选择“节点”，选择待亲和的节点。 单击“确定”。 设置应用组件与节点间的反亲和 单击“添加反亲和的对象”。 对象类型选择“节点”，选择待亲和的节点。 单击“确定”。 设置应用组件间亲和 单击“添加亲和的对象”。 对象类型选择“组件”，选择待亲和的应用组件。 单击“确定”。 系统会将您选择的应用组件设置为亲和，部署到相同的节点中。 设置应用组件间反亲和 单击“添加反亲和的对象”。 对象类型选择“组件”，选择待反亲和的应用组件。 设置完成后，单击“确定”。 系统会将您选择的应用组件设置为反亲和，部署到不同的节点中。 7、完成应用组件实例调度策略设置： 在部署应用组件的组件配置过程中设置应用组件实例调度策略，单击“下一步 规格确认”，完成组件部署。 组件已经部署完成后设置应用组件实例调度策略，单击“重新部署”。

本文介绍如何为桶配置自定义域名。 使用场景 文件预览：如果您不想强制下载文件，可以通过将自定义域名绑定至桶实现在线预览文件。 访问.apk或.ipa文件：出于安全考虑，ZOS禁止通过桶的外网域名访问后缀为.apk或者.ipa的文件。您可使用自定义域名访问此类文件。 提升品牌形象和专业度：提供固定的个性化的企业域名，可以增强品牌形象和专业度，增加用户信任。 约束与限制 不支持绑定中文域名。 每个桶最多可以绑定100个域名。 一个自定义域名只能配置到一个桶上。 操作步骤 步骤一：配置自定义域名 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，单击Bucket名称进入“概览”页面。 5. 选择“基础设置”页面，找到“自定义域名”，点击“设置”按钮。 6. 点击“添加域名”按钮，输入您的域名。 7. 添加域名成功后，您添加的域名信息将会展示在自定义域名列表中。 8. （可选）您可以在自定义域名列表中点击“绑定证书”， 以绑定您的HTTPS证书。 注意 1. 请确保您添加的域名已经完成工信部备案。添加域名时会验证您的备案情况。如域名尚未备案，请完成备案后再执行添加域名操作。 2. 如您的域名是新备案的域名，域名的备案情况由于同步时间较长，可能会出现较长时间无法通过验证，请您耐心等待。 步骤二：添加CNAME记录 1. 您可以在“配置CNAME”页面复制您添加的自定义域名对应的CNAME值。请注意，“配置CNAME”页面是为了提示您需要为自定义域名添加CNAME记录。无论您是否在此时配置CNAME，自定义域名都已经添加成功了。 2. 您也可以在自定义域名列表页面，复制您添加的自定义域名对应的CNAME值。 3. 前往您的域名解析（DNS）服务商（如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等），添加该CNAME记录。 4. 验证自定义域名是否生效。配置CNAME后，不同的服务商CNAME生效的时间不同，一般新增的CNAME记录会立即生效，修改的CNAME记录需要较长时间生效。您可以ping或dig您所添加的自定义域名，如果被指向ZOS系统域名，即表示CNAME配置已经生效，自定义域名也已生效。

keytab keytab 是一种用于在Kerberos 认证系统中存储主体（principal）的密钥信息的文件，包含principals和加密principal key，用于在不需要用户输入密码的情况下进行身份验证。每个密钥条目在keytab 文件中通常由以下部分组成： 主体名称：明确标识该密钥所属的主体，例如“service/host.example.com@exp.com”。 加密类型：指示用于加密密钥的算法，常见的有 AES、DES 等。 密钥值：实际的加密密钥数据。 keytab文件对于每个host是唯一的，因为key中包含hostname。由于服务器上可以访问Keytab文件即可以用principal的身份通过Kerberos的认证，所以keytab文件应该被妥善保存，确保只有少数必要用户可以访问。 服务实例 在AD域中，服务实例指的是一个特定的服务运行在特定计算机或服务器上的单个实例。服务实例通常与特定的服务账号相关联，用于管理服务的权限和身份验证。服务实例在AD中是通过服务主体名称（Service Principal Name，SPN）来标识的。 服务主体SPN 在AD域中，服务主体（Service Principal Name，SPN）用于标志一个服务实例。SPN的作用在于Kerberos身份验证过程中，将服务实例与服务登录帐户相关联。当客户端需要访问某个服务时，它会使用SPN来查询和验证服务的身份。在AD域中，服务可以运行在不同的主机上，而一个主机上也可以运行多个服务。SPN的格式包括服务类型和主机名或域名，客户端通过SPN访问某个服务实例。 工作原理 天翼云提供基于Kerberos协议的认证鉴权方式，将用户加入到AD域中，域控制器通过秘钥表（keytab）授权成员访问弹性文件服务。用户认证及访问鉴权流程如下： 1. 管理员在域控制器上生成keytab文件，详见 2. 在天翼云控制台为目标文件系统开启AD域功能，并将keytab文件上传，具体操作见加入AD域。 3. 文件服务器保存用户通过控制台上传的keytab文件，用于后续AD域内客户端认证和鉴权。 4. 用户通过AD域内云主机发起访问CIFS文件系统请求。 5. 文件服务器通过查询向云主机返回是否支持Kerberos协议鉴权。 6. 云主机向AD域控制器发起用户认证，Kerberos对用户信息进行加密。 7. 域控制器向云主机返回加密后的用户信息。 8. 云主机将用户加密信息发送给文件服务器。 9. 文件服务器根据用户上传的Keytab文件解密用户信息。 10. 认证通过后，文件服务器根据解密所得的用户权限信息提供访问服务。

查看当前配置 SetMPIOSetting NewPathVerificationState Enabled 开启路径检测 SetMPIOSetting CustomPathRecovery Enabled 开启自定义路径恢复功能 2. 重启Windows 4. 运行iSCSI发起程序 1. Windows客户端运行iSCSI发起程序，在“开始”>“搜寻程序和文件”输入iSCSI打开iSCSI发起程序。 2. 在“发现”>“发现门户”中输入LUN对应target所在的服务器IP和Port。可以在服务器上使用命令./stor lun ls查询卷的Active target和Standby target。 plaintext ./stor lun ls 查看LUN所对应target的服务器IP和 Port 3. 在“目标”>“已发现的目标”中搜索到HBlock发布的iSCSI target，查看到状态是“不活动”，点击“连接”，勾选“启用多路径”，点击“确定”。 说明 需要先连接Active target，然后连接Standby target。 注意 Windows Server 2012 或2016：同一个target可以对应多个卷。在一个target可以对应多个卷时，如果不同卷对应的Acitve target和Standby target不同，iSCSI连接时，需要等待一会才能识别出所有卷。故建议每个target对应一个卷。 Windows Server 2008：一个target只能对应一个卷，且先建立的iSCSI连接必须为Active target，然后再建立Standby target连接，否则无法正常操作MPIO设备。 4. 启用CHAP认证（没有开启请忽略此步骤直接连接即可） 4. 若您的iSCSI target有开启CHAP认证，在弹出的连接到目标的对话框中，选择“高级”，勾选“启用CHAP登录”，在“名称”中输入在HBlock系统中设置的iSCSI认证的用户名，在“目标机密”中输入已设置的iSCSI认证的密码，然后点“确定”。 5. 客户端使用iSCSI共享磁盘。打开“服务器管理器”>“存储”>“磁盘管理”，将刚刚连接成功的状态是“脱机”的磁盘“联机”。然后点击“初始化”，再点击“新建卷”，指定盘符并格式化，完成后即可看到新增的 iSCSI 设备。 注意 如果卷容量小于等于2TiB时，可以使用MBR和GPT中的任意一种进行分区；如果卷容量大于2TiB，只能使用GPT分区。 如果客户端需要断开连接或者删除磁盘，需要先打开“服务器管理器”>“存储”>“磁盘管理”，点击磁盘右键进行“脱机”，然后在“iSCSI发起程序”中“断开iSCSI连接”。 如果客户端需要断开连接后再次接入，无需进行初始化、新建卷操作，重新连接后即可看到磁盘。 说明 如果想查询HBlock卷对应的磁盘，可以在客户端输入下列命令行查询。 plaintext wmic diskdrive get Name, Manufacturer, Model, InterfaceType, MediaType, SerialNumber 如下例所示，查询信息Name列对应的盘符号，对应“磁盘”上的“数目”列。SerialName对应HBlock的卷名称和uuid。

介绍通过XstorBrowser上传文件或文件夹的具体操作。 功能说明 通过XstorBrowser可将本地文件或文件夹上传到媒体存储。 操作步骤 1. 登录XstorBrowser后，首先选择目标桶，然后点击【上传文件】按钮。 2. 在弹窗中点击【选择文件】或【选择文件夹】按钮。 3. 在弹出文件选择框中，进入到需要上传文件的本地目录路径，然后勾选需要上传的文件或文件夹，点击【打开】或【选择文件夹】按钮，相关文件会展示在弹窗中的文件列表。 4. 请根据对话框中的文字提示，并结合自身实际需求设置对象ACL。 5. 支持设置对象属性，为待上传的文件添加自定义的元数据。点击【设置】按钮，进入对象属性编辑弹窗，填写自定义元数据名称与具体的元数据值，然后点击【确定】按钮。 6. 确认需要上传的文件和参数设置无误，点击【确定】按钮后，所选的文件将开始从本地设备上传到媒体存储，请耐心等候文件上传完成。 7. 文件上传完成，将会存储在目标桶，您可以进行下一步的操作，如重命名、分享等。 配置参数说明 参数 说明 对象命名 1.使用UTF8编码。 2.命名长度范围为1~1023字节。 3.推荐可用于文件名字符集为[09azAZ]、感叹号"!"、左括号"("、右括号")"、连字符""、下划线""、星号""、单引号"'"、句号"."。 4.如果上传的对象名带有中文，在访问或请求这个对象时中文部分将会按照URL Encode规则把中文转换为百分号编码。 文件ACL 1.继承Bucket：上传文件时，可选择继承目前Bucket的ACL配置，单个文件的读写权限按Bucket的读写权限为准。目前媒体存储根据资源池不同，存在2个版本的继承Bucket功能。 （1）继承Bucket1.0：后续Bucket的ACL发生变更，文件ACL暂无法同时变更。如需修改文件ACL，需要手动修改或重新上传文件。 （2）继承Bucket2.0：后续Bucket的ACL发生变更，文件ACL会同时继承Bucket的ACL。 （3）具体支持继承Bucket2.0的资源池可参考：资源池与区域节点。如无标记支持继承Bucket2.0，则默认支持继承Bucket1.0。 2.私有：对文件的访问操作均需要进行签名验证，只有主账号或被授权者拥有该文件的读写权限，其他用户没有权限操作该文件。 3.公共读：其余用户均可读取该文件，包括匿名用户。 设置对象属性 即对象元数据设置，根据需求选择设置参数并填写对应的参数值，支持用户自定义参数。更多对象属性说明可参考：对象元数据。

配置生产消费配置文件 步骤 1 登录Linux系统的ECS。 步骤 2 在ECS的“/etc/hosts”文件中配置host和IP的映射关系，以便客户端能够快速解析实例的Broker。 其中，IP地址必须为实例连接地址（从前提条件获取的连接地址），host为每个实例主机的名称（您可以自定义主机的名称，但不能重复）。 例如： 10.154.48.120 server01 10.154.48.121 server02 10.154.48.122 server03 步骤 3 下载client.jks证书。在Kafka控制台单击Kafka实例名称，进入实例详情页面，在“连接信息 > SSL证书”所在行，单击“下载”。 解压压缩包，获取压缩包中的客户端证书文件：client.jks。 步骤 4 根据已获取的SASL认证机制，修改Kafka命令行工具配置文件。 PLAIN机制： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.plain.PlainLoginModule required username"" password""; sasl.mechanismPLAIN 说明 username和password为创建Kafka实例过程中开启SASLSSL时填入的用户名和密码，或者创建SASLSSL用户时设置的用户名和密码。 SCRAMSHA512机制： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.scram.ScramLoginModule required username"" password""; sasl.mechanismSCRAMSHA512 说明 username和password为创建Kafka实例过程中开启SASLSSL时填入的用户名和密码，或者创建SASLSSL用户时设置的用户名和密码。 步骤5 根据安全协议，修改Kafka命令行工具配置文件。 1.SASLSSL： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 security.protocolSASLSSL ssl.truststore.location{ssltruststorepath} ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： ssl.truststore.location配置为client.truststore.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中复制路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka 。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要 保持关闭状态，必须设置为空 。 2. SASLPLAINTEXT： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 security.protocolSASLPLAINTEXT

对等连接支持创建同账号对等连接连通同账号的两个VPC,本文帮助您快速熟悉如何创建同账号对等连接。 操作场景 当遇到不同VPC之间网络需要互通的情况时，您可以通过创建对等连接来实现同一资源池不同VPC之间的连通。同账户内同资源池VPC创建对等连接，默认自动接受。 约束与限制 两个VPC之间只能建立一个对等连接。 对等连接只能在同一资源池VPC之间建立，不支持跨资源池的对等连接。 要实现不同资源池VPC内网互通，可以使用云间高速。 在配置对等连接时，如果本端VPC和对端VPC存在网段重叠，可能出现在VPC中部分或全部子网不能通过对等连接互通的情况。具体请参考对等连接使用示例。 前提条件 已分别创建同一资源池内的两个VPC。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”。 参数 说明 选择本端VPC 名称 对等连接名称，由汉字、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接。 此处选择当前账户。 选择对端VPC 对端VPC 对端VPC：显示已选择的对端VPC，可在下拉框中选择。 选择对端VPC 对端VPC网段 显示对端VPC网段。 对端VPC网段选择的子网网段不能和本端VPC的子网网段相同或有重叠网段，否则对等连接路由可能无法连通。 6. 配置完成后，点击“确定”。

故障切换步骤介绍 操作场景 当生产中心可用区内的云主机发生重大故障时，可执行故障切换操作，拉起容灾云主机，以确保业务正常运行。 前提条件 受保护服务器处于“实时复制启动中”、“实时复制中”、“实时复制停止中”、“实时复制停止”状态。 受保护服务器无容灾演练。 故障切换时会创建切换云主机。由于创建云主机，需要在灾备VPC中申请IP，请保证灾备VPC的IP充足，否则可能导致流程失败。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障切换＞故障切换”，进入故障切换页面。 7. 在故障切换页面，根据界面提示，配置故障切换参数。 注意 请根据容灾中心实际业务情况选择容灾云主机的规格，如果容灾云主机规格比生产中心降配太多，切换后可能导致业务无法流畅运行。 参数 说明 容灾云主机名称 请输入切换后的云主机名称。长度为2～15 个字符，只能由英文、数字和特殊字符""组成，且只能以英文开头，以英文或数字结尾。 规格 请选择切换后的云主机规格。 注意：请根据容灾中心实际业务情况选择容灾云主机的规格，如果容灾云主机规格比生产中心降配太多，切换后可能导致业务无法流畅运行。 IP地址 请选择IP地址类型。 两种IP地址类型区别如下： DHCP：动态分配云主机的IP地址。 手动指定：用户可以手动输入指定云主机的IP地址。 磁盘类型 请选择磁盘类型。 恢复点 请选择恢复时间点。默认为当前时间，也可以单击“编辑”选择其他恢复点。 弹性IP 请选择弹性IP。 8. 单击“启动”，进行故障切换，此时切换进度提示“故障切换中”。 9. 故障切换完成后，您可以单击云主机的状态栏下的链接，检查数据和应用。 检查后发现当前时间点应用运行正常，单击“更多”>“确认故障切换”。确认故障切换后，系统会自动清理复影云主机和所有恢复点。 检查后发现当前时间点应用运行不正常，单击“更多”>“更换恢复点”，切换恢复时间点。

对等连接支持创建同账号对等连接连通同账号的两个VPC,本文帮助您快速熟悉如何创建同账号对等连接。 操作场景 当遇到不同VPC之间网络需要互通的情况时，您可以通过创建对等连接来实现同一资源池不同VPC之间的连通。同账户内同资源池VPC创建对等连接，默认自动接受。 约束与限制 两个VPC之间只能建立一个对等连接。 对等连接只能在同一资源池VPC之间建立，不支持跨资源池的对等连接。 要实现不同资源池VPC内网互通，可以使用云间高速。 在配置对等连接时，如果本端VPC和对端VPC存在网段重叠，可能出现在VPC中部分或全部子网不能通过对等连接互通的情况。具体请参考对等连接使用示例。 前提条件 已分别创建同一资源池内的两个VPC。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧区域点击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”。 参数 说明 选择本端VPC 名称 对等连接名称，由汉字、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 选择本端VPC 描述 可选参数。 根据需要在文本框中输入对等连接的描述信息。 选择本端VPC 企业项目 所属企业项目，系统默认为default。 选择本端VPC 本端VPC 本端VPC：显示已选择的本端VPC，可在下拉框中选择。 选择本端VPC 本端VPC网段 显示本端VPC的网段。 选择对端VPC 账户 当前账户：表示在同一个账户内、同一个地域下的不同VPC间建立对等连接。 其他账户：表示在同一个地域下的不同账户的VPC间建立对等连接。 此处选择当前账户。 选择对端VPC 对端VPC 对端VPC：显示已选择的对端VPC，可在下拉框中选择。 选择对端VPC 对端VPC网段 显示对端VPC网段。 对端VPC网段选择的子网网段不能和本端VPC的子网网段相同或有重叠网段，否则对等连接路由可能无法连通。 6. 配置完成后，点击“确定”。

本小节介绍购买容器安全防护配额。 如果您想在使用镜像前就感知到镜像安全和容器运行时安全状态，您可以购买云企业主机安全提供的容器安全，检测镜像安全以及容器运行时的安全。及时感知安全威胁，保障业务安全。 购买说明 一个配额只能防护一个节点且只能在购买时选择的区域使用。 购买容器安全配额后，请到企业主机安全控制台“容器管理”页面开启容器节点防护。 前途条件 账号具备BSS Administrator、HSS Administrator权限，若没有相应权限请使用主账号购买配额或使用主账号对子账号进行授权后进行购买配额。 操作步骤 1、 登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 4、 在左侧导航树中，选择“资产管理 > 容器管理”，进入容器管理页面。 5、 在页面右上角，单击“购买容器安全”，进入“购买主机安全配额”页面。 6、 在购买主机安全配额界面，选择“容器版”，并设置容器版配额的规格。 购买容器版 配额参数说明 参数名称 参数说明 取值样例 计费模式 仅支持包年/包月模式 包年/包月 区域 配额的“区域”建议与主机的“区域”相同。 HSS不支持跨区域使用，如果您购买了与主机不在同一区域的配额，请退订配额后重新购买主机所在区域的配额。 苏州 版本选择 仅支持企业版。若需开启按需计费，你可参照开启容器节点防护直接开启防护即可。 企业版 购买节点数 购买的容器版配额数量。 10 购买时长 根据您的需求选择时长。 为避免因服务到期未及时续费导致您的主机遭受攻击，建议勾选“自动续费”。 勾选“自动续费”后，当购买的企业主机安全到期时，如果账号余额充足，系统将自动为购买的企业主机安全续费，续费周期与购买时长保持一致。 1年 标签 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。如果需要该功能，您的账号需要具备TMS administrator权限，没有该权限您无法为防护配额添加标签并且界面会有“permission error”的错误提示。 cgsdata 7、 在页面右下角，单击“立即购买”，进入“订单确认”界面。 8、单击“立即支付”，进入付款页面，单击“确认付款”，完成支付，购买成功。

本文通过图文说明修改证书的操作步骤。 功能介绍 客户完成证书新增后，如发现证书信息上传有误，可通过客户控制台自助修改证书信息。 配置说明 修改证书时，客户需要重新填写证书公钥和证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录客户控制台。 2. 在【证书管理】【证书列表】页面，找到需要修改的证书。 3. 单击操作列的【编辑】。 4. 在弹出的【修改证书】界面，输入证书公钥和证书私钥。填写完成后，单击【下一步】进行新证书校验。 证书类型 参数 说明 国际标准证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国际标准证书 证书公钥 指国际标准证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国际标准证书 证书私钥 指国际标准证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国密证书 签名证书公钥 指国密签名证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 签名证书私钥 指国密签名证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 加密证书公钥 指国密加密证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 加密证书私钥 指国密加密证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 5. 系统提示证书校验结果，如无异议，单击【下一步】确认证书详细信息。 6. 单击【确定】完成并返回证书列表首页。

本页面介绍云数据库ClickHouse创建用户的基本语法。 CREATE USER语法用于在云数据库ClickHouse中创建新用户。以下是CREATE USER语句的基本语法结构： CREATE USER [IF NOT EXISTS] username [IDENTIFIED [WITH {PLAINTEXTPASSWORD SHA256PASSWORD}] BY 'password'] [DEFAULT ROLE rolename] [SETTINGS settingname settingvalue, ...] 其中的关键要素包括： IF NOT EXISTS：可选项，表示如果用户已经存在，则不执行创建操作。 username：指定用户的名称。 IDENTIFIED：可选项，用于指定用户的身份验证方式。可以选择明文密码（PLAINTEXTPASSWORD）或SHA256哈希密码（SHA256PASSWORD）。 'password'：指定用户的密码，需根据选择的身份验证方式进行正确的格式化。 DEFAULT ROLE：可选项，指定用户的默认角色（rolename）。 SETTINGS：可选项，用于指定用户的其他设置，例如最大查询并发数、查询超时时间等。 下面是一些示例的CREATE USER语句。 示例1 CREATE USER IF NOT EXISTS myuser IDENTIFIED WITH PLAINTEXTPASSWORD BY 'mypassword' DEFAULT ROLE myrole SETTINGS maxconcurrentqueries 10; 该语句创建了一个名为myuser的用户，使用明文密码进行身份验证，并设置了默认角色为myrole。同时，设置了maxconcurrentqueries参数为10。 示例2 用户名为name1且无需密码 这显然不太安全： CREATE USER name1 NOT IDENTIFIED 示例3 指定明文密码： CREATE USER name2 IDENTIFIED WITH plaintextpassword BY 'mypassword' 由于密码以明文形式存储在/var/lib/clickhouse/access目录下的SQL文本文件中，因此不建议使用明文密码不是一个好主意，可以尝试使用sha256password。 最常见的选择是使用SHA256散列算法对密码进行哈希。当指定IDENTIFIED WITH sha256password时，云数据库ClickHouse会为您对密码进行哈希处理。例如： CREATE USER name3 IDENTIFIED WITH sha256password BY 'mypassword' name3用户现在可以使用mypassword登录，但密码以上述哈希值的形式存储。以下SQL文件在服务器启动时被创建并执行： /var/lib/clickhouse/access $ cat 3843f5106ebda52d72ace021686d8a93.sql ATTACH USER name3 IDENTIFIED WITH sha256hash BY '0C268556C1680BEF0640AAC1E7187566704208398DA31F03D18C74F5C5BE5053' SALT '4FB16307F5E10048196966DD7E6876AE53DE6A1D1F625488482C75F14A5097C7'; 如果您已经为用户名创建了散列值和相应的盐值，那么可以使用IDENTIFIED WITH sha256hash BY 'hash'或IDENTIFIED WITH sha256hash BY 'hash' SALT 'salt'。对于带有SALT的sha256hash，哈希值必须从'password'和'salt'的串联中计算得出。

操作步骤（云硬盘页面） 步骤 1 登陆天翼云官网，完成账号注册。登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域资源池。 说明 此处请选择与您的云硬盘相同的区域。 步骤 3 在管理控制台左上角单击，选择“存储 > 云硬盘”，进入云硬盘控制台页面。 步骤 4 在云硬盘所在行的“操作”列表下选择“更多>创建备份”。 步骤 5 在云硬盘备份创建页面，默认对应云硬盘在已勾选磁盘列表区域展示。可以单击已选磁盘操作列的删除按钮，对不需要备份的磁盘进行删除。 步骤 6 确认需备份磁盘信息无误后，在下方“备份配置”模块中为已选择的云硬盘配置对应的备份方式：“自动备份“”立即备份” 自动备份： 需要在“备份策略”的下拉菜单中，选择一个已有的备份策略，或者单击右侧的“创建策略”创建一个新的备份策略。 在备份创建完成后，所选云硬盘会绑定到该备份策略中，按照备份策略进行周期性备份。 说明 如果选择的云硬盘已经绑定到其他备份策略，在选择新的备份策略后，云硬盘会自动从原备份策略解绑，并绑定到新的备份策略。 立即备份： 在备份创建完成后，会对所有云硬盘立即执行一次性备份。 需要输入备份的“名称”和“描述”，参数说明如下： 参数 说明 举例 名称 只能由中文、英文字母、数字、下划线、中划线组成，不能含有特殊字符，不能以auto开头。如果在云硬盘列表中只选择了一个磁盘进行备份，名称长度范围为164字符。如果选择多个磁盘，名称长度范围为159字符。 Backupedd9 描述 长度范围为064个字符，并且不能包含字符“ ”。 fortest 可同时选择两种备份方式，即立即执行一次备份，后续按照备份策略进行周期性备份。 步骤 7 点击“立即申请” 步骤 8 在云硬盘备份详情页面，确认配置无误后，点击我已阅读并同意相关协议《云硬盘备份服务协议》，点击提交申请；若配置信息有误，点击上一步进行修改。 步骤 9 根据页面提示，返回云硬盘备份控制台页面。您可以在大约10秒后手动刷新云硬盘备份页面，查看备份创建状态。当云硬盘备份的“状态”变为“可用”时，表示备份创建成功。

本章节指导如何创建备份策略。 当需要定期备份云硬盘时，首先需要创建一个备份策略，系统根据您的备份策略决定何时执行备份任务。您可以使用系统提供的默认备份策略，也可以结合实际情况，创建新的自定义备份策略。 通过使用备份策略对云硬盘进行备份，仅当启用备份策略后，系统会在设置的时间自动备份云硬盘数据并删除过期的备份数据。 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 云硬盘备份”。 3. 在“云硬盘备份”界面，单击“策略”页签，进入管理备份策略页面。 该页面显示了已创建的备份策略。展开备份策略，可以看到已绑定到该策略的云硬盘。 4. 单击“创建备份策略”展开设置项，如下图所示。可设置备份策略相关参数。 5. 单击可设置的备份策略相关参数说明如下： 名称： 备份名称只能由中文、英文字母、数字、下划线、中划线组成。长度范围为164个字符，且命名不能以“default”开头。 备份时间： 已绑定备份策略的云硬盘执行备份的备份时间点。只支持在整点进行备份，同时支持选择多个整点进行备份。 备份周期： 按周：每周按照选中的星期进行备份。可以全选。按天：备份周期可选每114天，并可设置在备份当天任意整点开始备份操作。当选择按天备份时，第一次备份的时间与备份策略创建的时间无关。备份策略在创建当月生效。设置了相同备份周期的备份策略的执行备份的时间相同。例如：在某月2日创建备份周期为“每3天”的备份策略，则第一次备份日期为当月4日。"每3天"表示执行备份的日期为每月1日、4日、7日，以此类推。请选择无业务或者业务量较少的时间对云硬盘进行备份。 保留规则： 按时间：可以在下拉菜单选择1个月、3个月、6个月、一年和自定义。自定义天数范围为299999天。按数量：单个云硬盘执行备份策略保留的自动备份总份数。云硬盘备份的越频繁，保留的备份份数越多，对数据的保护越充分，但是占用的存储空间也越大。请根据数据的重要级别和业务量综合考虑选择，重要的数据采用较高的备份频率，且保留较多备份份数。 当备份的份数超过设置的保存数量时，会自动删除最早的备份。删除的备份不会影响其他备份用于恢复。 6. 单击“确定”即成功创建备份策略。

展示当前租户下所有告警规则信息,支持增删改查、起停和查看告警事件历史。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「 告警管理 」「 告警规则 」。 功能说明 展示当前租户下所有告警规则信息，支持基础的增删改查、起停、查看告警事件历史操作。 创建/编辑告警规则 告警名称：您可自定义告警名称。 应用：展示应用列表中，所有已接入应用，支持多选。 新增应用自动在此告警规则中追加：开启后，新增应用则自动使用该告警规则。 告警详情：包含告警分组、告警指标、告警条件、筛选条件、告警内容。 告警分组 告警指标 告警条件 主机监控 节点cpu使用率 节点内存使用率 节点磁盘使用率 JVM实例数 该指标大于、大于等于、小于、小于等于、等于某个百分比时生效 应用调用统计 调用错误次数 调用错误率 调用次数 调用平均响应时间 某个时间段内，该指标大于、大于等于、小于、小于等于、等于某个数值/百分比时生效 HTTP状态码异常 状态码5xx次数 状态码4xx次数 某个时间段内，该指标大于、大于等于、小于、小于等于、等于某个数值/百分比时生效 异常接口调用 调用次数 调用响应时间 某个时间段内，该指标大于、大于等于、小于、小于等于、等于某个数值/百分比时生效 应用调用类型统计 应用提供服务调用总次数 应用提供服务调用错误率 应用依赖服务调用错误率 应用依赖服务调用总次数 应用提供服务调用错误次数 应用依赖服务调用错误次数 应用提供服务调用响应时间 应用依赖服务调用响应时间 某个时间段内，该指标大于、大于等于、小于、小于等于、等于某个数值/百分比时生效 数据库指标 数据库调用次数 数据库调用响应时间 数据库调用错误次数 某个时间段内，该指标大于、大于等于、小于、小于等于、等于某个数值/百分比时生效 JVM监控 JVMFullGC次数瞬时值 JVMFullGC耗时瞬时值 JVMYoungGC次数瞬时值 JVMYoungGC耗时瞬时值 JVM堆内使用内存量 JVM非堆使用内存量 JVM死锁线程数 JVM阻塞线程数 JVM等待线程数 JVM可运行线程数 JVM线程总数 该指标大于、大于等于、小于、小于等于、等于某个百分比时生效 持续时间 ：支持设置延迟告警。 告警等级 ：一般、次要、重要、等级。 通知策略 ：可以选择通知策略菜单里设置的策略。 标签 ：自定义标签，用于筛选。

本文为您介绍启动反向复制的操作流程。 操作场景 完成反向注册，受保护的的云服务状态变为“已反向初始化”后，可启动反向复制，从容灾中心将数据反向复制回生产中心。 注意 在此过程中，关闭云主机将导致出错，造成数据丢失，请勿执行关机操作。 本示例中ecmtest为生产中心的云主机，ecmrecovery为容灾中心的云主机。 前提条件 受保护的服务器状态为“已反向初始化”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障恢复＞启动反向复制”。 7. 在启动反向复制页面，根据提示配置参数，单击“启动”，开始反向复制。 参数 说明 :: 容灾云主机名称 自动获取并展示当前容灾中心服务器名称，不可修改。 原机恢复 勾选后，会将生产中心的云主机作为复影云主机。 不勾选，系统将自动在生产中心新建一台云主机作为复影云主机。 注意：若使用原机恢复，所使用的生产中心ECS主机的数据将被清除。本示例中，ecmtest中的数据将被清除。 生产磁盘类型 云主机下磁盘类型。 生产中心VPC 自动获取并展示生产中心vpc信息，不可修改。 反向复制会先后进入启动反向复制中、反向全量复制中、反向实时复制中三个阶段。 启动反向复制中：正在扫描系统数据，评估总体数据量，这一阶段通常会持续几分钟。 反向全量复制中：正在把容灾中心服务器的有效数据传输到生产中心复影云主机，这一阶段所用时间取决于服务器数据量、网络带宽等因素，并通过进度条显示进度和完成百分比。 反向实时复制中：全量复制完成后，系统已经复制了全量数据，然后将会在服务器上监视所有对磁盘的写操作，并持续地实时复制到复影云主机。 注意 如遇反向复制出错，可以单击

操作场景 您可以根据需要灵活创建告警规则，既可以使用我们提供的默认告警模板为云服务创建告警规则，也可以对具体监控指标进行自定义告警规则的设置。 当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保证业务顺畅进行。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成负载均衡器的创建。 操作步骤 1. 登录控制中心。 2. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 3. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 4. 在“告警规则”界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数。配置参数如下： 参数 参数说明 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控三种。选择指标监控。 云服务 配置告警规则监控的云服务资源类型。选择负载均衡。 维度 用于指定告警规则对应指标的维度名称。选择负载均衡或监听器。 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。选择已创建的负载均衡或监听器。 选择类型 可以选择从模板导入或自定义创建。 模板 类型为从模板导入时，选择需要导入的模板。 监控指标 类型为自定义创建时，选择负载均衡或监听器的指标，支持的指标请见监控指标说明。 策略 类型为自定义创建时，需要填写策略，策略类型支持原始值、平均值、最大值、最小值。 聚合周期 类型为自定义创建时，选择聚合周期，支持1分钟、5分钟、20分钟、1小时、4小时、12小时、24小时等。 出现次数 类型为自定义创建时，需要填写出现次数。 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 选择告警联系组 配置发生告警通知的用户组。 重复告警 告警发生后，如果监控项未恢复正常，之后间隔多久再次发送告警。 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 通知周期 配置告警通知的周期时间。 通知时段 配置告警通知的时间段。 通知方式 配置告警通知的通知方式，支持邮箱及短信。 告警回调 配置告警通知的webhook地址。 名称 该告警规则的自定义名称。 企业项目 选择告警规则适用的企业项目。 描述 添加对该告警规则描述（此参数非必填项）。

本节介绍如何对弹性云主机进行关机操作。 操作场景 关机操作可以将弹性云主机从运行状态切换为关机状态，以进行维护等操作。 使用须知 按需付费的弹性云主机支持节省关机和普通关机两种计费模式（节省关机目前仅部分资源池支持）。 节省关机模式下，计算资源 (CPU、内存、GPU)不再收费，其余收费的资源正常计费，如系统盘、数据盘、带宽等，且再次开机后不会导致内网IP或弹性公网IP地址变更。 由于计算资源被回收，节省关机模式下，再次开机时可能因为资源不足导致启动失败，您可以稍后尝试再次开机或者尝试变配为其他规格，如一直没有可用资源，云主机有一直不能开机的风险。 如下场景不支持节省关机： 所开通的云主机为包周期计费模式； 所开通的云主机为本地盘云主机； 已经加入主机组的云主机； 已经加入云主机快照、云主机备份策略的云主机。 注意 按量付费云主机的计费规则详见：按量计费模式。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 根据实际需求对云主机进行关机。 1. 对单台云主机进行关机操作：在云主机列表中，选择需要关机的云主机，点击云主机列表左上角的关机操作按钮。 2. 对多台云主机进行关机操作：在云主机列表中，选择需要关机的多台云主机，点击云主机列表左上角的关机操作按钮。 5. 在关机弹窗中，设置关机方式和模式，并确认操作是否正确，无误后点击确定。 设置 说明 关机方式 关机：正常关机流程。但为避免关机失败，当您选择关机时，普通关机超时会自动执行强制关机操作。 强制关机：等同于断电处理，可能丢失云主机操作系统中未写入磁盘的数据。 关机模式 普通关机模式：普通关机后保留计算、存储、网络资源。 节省关机模式：节省关机后，计算资源 (CPU、内存、GPU)均被释放且不计费，其余网络、存储资源继续保留并收费。 注意 若选择节省关机模式，计算资源将被释放，当您对此类型的弹性云主机重新开机时，可能会因资源不足导致云主机实例无法正常启动。 注意 请注意云主机状态的说明：如果云主机在中间状态停留超过30分钟（如启动中、停止中、重启中），表示可能出现异常情况，请及时提交工单以寻求进一步处理。

问题现象 云主机部署对公网开放的服务后，如果公网带宽不足，则可能因为随机丢包，导致公网服务卡顿。 解决思路 云主机绑定的公网带宽，为独享带宽或是共享带宽，其带宽均需要在购买时设置上限。 对于公网带宽不足情况，建议根据您的业务流量，设置合理的公网带宽告警策略，以便及时发现此类问题，提前干预。 如果是随着运行服务需要使用更高带宽的正常运行情况，可以通过对带宽进行扩容解决此问题。 扩容公网带宽，请参考修改弹性IP带宽。 设置合理的公网带宽告警策略 您需要根据购买的带宽以及业务运行情况设置合理的告警策略。 假设您购买的公网带宽大小为10Mbps，基于自定义告警模板，设定告警触发规则，用于系统发送告警通知。 1. 登录控制中心，在产品服务列表内，点击“云监控”，跳转至云监控产品控制台。 2. 左侧导航栏选择“告警服务”>“告警模板”>“创建自定义告警模版”，进入到自定义告警模版管理界面。 3. 创建用于监控公网带宽的自定义告警模版。 以此配置好“选择类型”>“添加规则”>“模版信息”后，点击“确定”后提示“创建告警模版成功”。 选择类型： 云服务：选择“弹性IP和共享带宽”。 维度：请根据您实际使用的带宽类型，选择“弹性IP”或“共享带宽”。 添加规则： 监控指标：根据实际业务监控需求，可选择“入网流量”、“入网带宽”、“出网流量”、“出网带宽”。 聚合方式：根据实际业务监控需求，可选择“原始值”、“平均值”、“最大值”、“最小值”。 阈值方式：根据实际业务监控需求，可选择“”、“>”、“<”、“≥”、“≤”。 告警阈值：根据实际业务监控需求，用户自定义配置（不能超过最大带宽值）。 聚合周期：根据实际业务监控需求，可选择“1分钟”、“5分钟”、“20分钟”、“1小时”、“4小时”、“12小时”和“24小时”。 出现次数：根据实际业务监控需求，可选15，最小为1次，最大为5次。 操作：可删除添加的规则，最多可添加20条告警规则 模版信息： 名称：用户自定义，建议根据实际业务规划命名。 描述：可选项，建议根据实际业务场景，做简述。 4. 创建告警模板后，可参考云监控服务操作说明，创建告警规则并启用告警规则。启用后，您即可收到对应的告警通知。 创建告警规则请参考云监控创建告警规则 启用告警规则请参考云监控启用告警规则