本文主要介绍使用场景 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，可以很方便的实现审计类功能，以帮助用户更好地规划和利用已有资源、甄别违规或高危操作。 以下介绍三种典型应用场景。 安全审计场景 根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。 问题定位场景 当现网某个特定资源或动作出现问题，可根据云审计服务收集的日志记录，通过查询对应时间、对应资源的操作记录，查看当时的请求动作和响应，支撑问题定位分析。 资源跟踪场景 根据云审计服务所记录的操作记录，可以查看任意云服务资源在其整个生命周期内的操作记录，并检视具体操作的细节。

本章介绍天翼云关系型数据库的产品类型分类。 目前，云数据库RDS的实例分为如下几个类型： 单机实例 主备实例 集群版实例 不同系列支持的引擎类型和实例规格不同，请以实际界面为准。 实例类型简介 实例类型 简介 使用说明 适用场景 :::: 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。 单机版出现故障后，无法保障及时恢复。 个人学习。 微型网站。 中小企业的开发测试环境。 主备实例 采用一主一备的经典高可用架构，支持跨AZ高可用，选择主可用区和备可用区不在同一个可用区（AZ）。主实例和备实例共用一个IP地址。 备机提高了实例的可靠性，创建主机的过程中，会同步创建备机，备机创建成功后，用户不可见。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 大中型企业的生产数据库。 覆盖互联网、物联网、零售电商、物流、游戏等行业的应用。 集群版实例 采用微软AlwaysOn高可用架构，支持1主1备5只读集群模式，拥有更高可用性，可靠性，可拓展能力。 仅限RDS for SQL Server使用。 金融行业。 互联网行业。 酒店行业。 在线教育。

本小节主要介绍态势感知与其他云服务之间的关系。 与安全服务的关系 态势感知从企业主机安全（Host Security Service，HSS 2.0）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 与ECS的关系 态势感知为弹性云主机（Elastic Cloud Server，ECS）提供资产安全管理服务，结合HSS主机防护状态，全方位呈现当前ECS安全风险态势，并提供相应防护建议。 与OBS的关系 通过对象存储（Object Storage Service，OBS），您可以将SA日志存储至OBS桶中，确保日志不丢失，实现数据持久化。

步骤 三 ：创建筛选规则 1. 登录天翼云控制台，在控制中心页面左上角选择区域，本文我们选择华东华东1。 2. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 3. 在左侧导航栏，选择“流量镜像筛选条件”选项。 4. 在筛选条件页面，点击右上角的“创建筛选条件”按钮。 5. 在创建筛选条件弹窗中，填写筛选条件的名称和描述。 6. 进入对应筛选条件的详情页，添加入方向规则。 7. 进入对应筛选条件的详情页，添加出方向规则。 步骤 四 ：购买镜像会话 1. 登录天翼云控制台，在控制中心页面左上角选择区域，本文我们选择华东华东1。 2. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 3. 在左侧导航栏，选择“流量镜像镜像会话”选项。 4. 在镜像会话页面，点击右上角的“创建镜像会话”按钮。 5. 在创建镜像会话界而中，填写镜像会话的名称、VNI和描述，点击”下一步”。 6. 选择筛选条件，这里我们选择已创建的mirror1，点击”下一步”。 7. 选择镜像源，这里我们选择ENI1和ENI2，点击”下一步”。 8. 选择镜像目的，这里我们选择ENI3，点击”下一步”。 9. 选择我已阅读并同意相关协议，单击“创建”，完成镜像会放的创建。 步骤五：配置镜像目的安全组 1. 登录天翼云控制台，在控制中心页面左上角选择区域，本文我们选择华东华东1。 2. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 3. 在左侧导航栏，选择“访问控制安全组”选项。 4. 在安全组列表页面，找到您需要添加规则的安全组名称，点击安全组名称，进入安全组详情页。 5. 点击“添加规则”，根据界面提示配置安全组规则，确定授权策略、优先级、协议类型、端口范围、源/目的地址等信息。 具体参数配置信息如下表： 参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 授权策略 允许、拒绝 允许 优先级 安全组规则优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，级别越高。优先级相同的情况下，拒绝策略优先于允许策略。 1 协议 网络协议，取值范围为：TCP，UDP，ICMP，Any。 UDP 端口范围 安全组规则的端口范围，取值范围为：1～65535。支持同时输入多个端口，以英文逗号分隔。多个端口值按照多条规则分别下发，占用多个配额。 4789 源地址/目的地址 源地址/目的地址支持类型：IP地址、安全组、前缀列表。支持同时输入多个IP地址/安全组/前缀列表，按照多条规则分别下发，占用多个配额。 10.2.1.1/32 描述 安全组规则的描述信息，非必填项。 6. 点击“确认”按钮。

本节为您介绍Oracle RAC系统安装的系统环境配置信息。 Oracle RAC系统的安装，需要进行较多的实例配置，配置遗漏或者错误会导致安装失败。详细配置方法请参照具体的配置手册，或咨询Oracle专家，示例仅展示CentOS7下静默安装Oracle RAC的主要步骤。实例配置可参考Oracle官方文档。 系统及软件信息 在本次示例中： 实例的操作系统为：CentOS Linux release 7.6.1810，内核版本为：3.10.0957.el7.x8664。 Oracle RAC的软件版本为：19c（19.3）Linux x8664。 NTP配置 Oracle RAC需要集群内所有实例的时间保持一致，时钟差距过大，会导致集群节点无法正常启动。可以通过公网或者内网NTP server同步好集群内各个实例的时钟。 ntpdate swap空间配置 Oracle文档建议内存在4GB16GB的实例，swap空间配置与内存空间一致，内存大于16GB的实例，swap空间配置为16GB即可。 fallocate l 16G /swapfile 此⽅式，swapon可能会失败，可以直接dd⼀个文件 dd if/dev/zero of/swapfile count1024k bs16384 chmod 600 /swapfile mkswap /swapfile swapon /swapfile /dev/shm 共享内存配置 需要确认/etc/fstab中配置了/dev/shm共享内存设备的正确挂载，类型需为 tmpfs 。 防火墙 检查Oracle相关服务没有被防火墙阻止（不建议直接关闭防火墙服务，除非在内网可信任网络内）。

产品模块 地域资源池 可用区资源池 重要差异 VPC 支持 支持 子网 支持 支持 安全组 支持 支持 可用区资源池：安全组具有VPC属性，创建时需指定某一VPC，且每一个VPC系统都会创建一个默认安全组。地域资源池：安全组不具备VPC属性，创建时无需指定所属VPC，每个资源池会存在一个默认安全组。 ACL 支持 支持 可用区资源池：ACL创建时无需指定子网，一个ACL支持绑定多个子网。每个ACL都会存在默认规则，不支持修改、删除、停用。地域资源池：ACL创建时需指定子网，一个ACL支持绑定一个子网。无默认规则。 虚拟IP 支持 支持 可用区资源池：部分多可用区资源池虚拟IP解绑服务器时需先解绑备服务器，再解绑主服务器。实际资源池情况以控制台为准。地域资源池：虚拟IP解绑服务器时支持无序解绑，即无“先备后主”的顺序。 路由表 支持 支持 地域资源池不支持VPC默认路由表；访问专线、VPN、对等连接不需要在路由表中配置路由。 弹性网卡 不支持 支持 可用区资源池：仅多可用区支持此功能，实际情况以控制台为准。 IPv4网关 不支持 支持 可用区资源池：云主机通过公网IP访问公网时需要配置指向IPv4网关的路由地域资源池：云主机绑定公网IP后即可访问公网。 IPv6网关 不支持 支持 可用区资源池：通过IPv6访问公网时，需要先开通IPv6网关，然后开通IPv6带宽。地域资源池：双栈网卡开通IPv6带宽即可访问公网。 NAT网关 支持 支持 可用区资源池下的云主机通过NAT网关访问公网需要配置指向NAT网关的路由，然后配置NAT规则。地域资源池下的云主机配置NAT规则后即可访问公网。 网卡 支持 支持 可用区资源池：支持弹性网卡，网卡创建后可以和云主机解绑/绑定。地域资源池：创建网卡时必须关联到云主机上，网卡可以随时从云主机删除。 流量镜像 不支持 支持 可用区资源池：仅多可用区支持此功能，实际情况以控制台为准。 组播 不支持 支持 可用区资源池：仅多可用区支持此功能，实际情况以控制台为准。 VPC终端节点 不支持 支持 可用区资源池：仅多可用区支持此功能，实际情况以控制台为准。

本章节介绍了所依赖的资源及创建指导。 概述 在购买RocketMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RocketMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RocketMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 准备依赖资源 RocketMQ实例所需资源的具体要求和创建指导如表1所示。 表1 RocketMQ实例依赖资源 准备资源 要求 创建指导 VPC和子网 不同的RocketMQ实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。在创建VPC和子网时应注意如下要求：·创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。·创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。 安全组 不同的RocketMQ实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。在创建安全组时应注意如下要求：·创建安全组时，“模板”选择“自定义”。·创建安全组后，请保留系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则。·使用分布式消息服务RocketMQ必须添加表2所示安全组规则，其他规则请根据实际需要添加。 创建安全组的操作指导请参考创建安全组，为安全组添加规则的操作指导请参考添加安全组规则。 表2 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 VPC内访问元数据节点的端口 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口

本节介绍了镜像服务的产品优势。 镜像服务提供镜像的全生命周期管理能力，具有便捷、安全、灵活、统一的优势。镜像部署相比手工部署，在部署时长、复杂度、安全性等方面均可胜出，详见本文描述。 便捷 使用公共镜像或者您自建的私有镜像均可批量创建云主机，降低部署难度。 支持通过多种方法创建私有镜像，比如弹性云主机、物理机、外部镜像文件；私有镜像类型可覆盖系统盘、数据盘、ISO镜像和整机镜像，满足您的多样化部署需求。 通过镜像服务提供的共享、复制、导出等功能，轻松实现私有镜像在不同账号、不同区域，甚至不同云平台间的迁移。 安全 公共镜像覆盖Windows Server、Ubuntu、CentOS等多款主流操作系统，皆以正版授权，均经过严格测试，能够保证镜像安全、稳定。 镜像后端对应的镜像文件使用天翼云对象存储服务进行多份冗余存储，具有高数据可靠性和持久性。 灵活 通过管理控制台或API方式均能完成镜像的生命周期管理，用户可以按照需求灵活选择。 您可以使用公共镜像部署基本的云主机运行环境，也可以使用自建的私有镜像搭建个性化应用环境。 不管是服务器上云、服务器运行环境备份，还是云上迁移，镜像服务都能满足您的需求。

本章介绍SaltStack远程命令执行漏洞。 近日，天翼云关注到国外安全研究人员披露SaltStack存在两个严重的安全漏洞。Saltstack是基于python开发的一套C/S自动化运维工具，此次被爆当中存在身份验证绕过漏洞（CVE202011651）和目录遍历漏洞（CVE202011652），攻击者利用漏洞可实现远程命令执行、读取服务器上任意文件、获取敏感信息等。 天翼云提醒使用SaltStack的用户尽快安排自检并做好安全加固。 漏洞编号 CVE202011651 CVE202011652 漏洞名称 SaltStack远程命令执行漏洞 影响范围 影响版本 ： 低于SaltStack 2019.2.4的版本 低于SaltStack 3000.2的版本 安全版本 ： SaltStack 2019.2.4 SaltStack 3000.2 官网解决方案 目前官方已在最新版本中修复了这两处漏洞，请受影响的用户及时升级到安全版本。下载地址： Salt Master默认监听端口为“4505”和“4506”，用户可通过配置安全组，禁止将其对公网开放，或仅对可信对象开放。 检测与修复建议 天翼云企业主机安全服务对该漏洞的便捷检测与修复。检测相关系统的漏洞，并查看漏洞详情，详细的操作步骤请参见漏洞管理。 漏洞修复与验证，详细的操作步骤请参见漏洞管理。 手动检测漏洞 检测主机是否开放了“4505”和“4506”端口。 如果检测到开放了“4505”和“4506”端口，建议关闭该端口，或者仅对可信对象开放。 开放端口检测 检测利用此漏洞的挖矿木马，并通过控制台隔离查杀挖矿木马。 隔离查杀挖矿木马。 隔离查杀

根据互联网业务的需要，需为每个业务云主机创建网络对象。本小节介绍安全专区云防火墙方位策略配置。 配置方法： 从【导航菜单】页面中，点击【对象】→【网络对象】→【新增】→【业务】，进行相关配置。 名称：按需命名； 服务器IP：业务云主机的IP地址。

云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供实时入侵防护、全流量业务可视化、日志审计和分析等功能，帮助用户完成网络边界防护与等保合规业务。

支持多种数据存储选择 多种存储类型随意选择，满足不同I/O性能要求 提供普通IO、高IO、超高IO、通用SSD、极速型SSD五种类型的云硬盘，满足不同业务对IO性能的不同需求。购买方式分为两种，在购买云主机同时购买云硬盘或后期根据需要单独购买云硬盘挂载至云主机上。 提供云主机备份、云硬盘备份 支持对云主机的系统盘或数据盘进行备份。基于备份数据，用户可创建新的云主机或恢复磁盘数据。 支持网络灵活规划 通过虚拟私有云（ VPC）实现网络的灵活规划 VPC可提供一个逻辑隔离的网络， 通过VPC可实现云中的网络规划，包括创建子网、配置安全组、连接公网，或者使用VPN将VPC与企业数据中心互联。其中子网可提供IP 地址管理等。 支持多网卡 通过为云主机配置多块网卡，将不同的内网 IP 地址与不同网卡进行绑定，实现同一云主机划分至不同的虚拟云子网以及配置不同的安全组策略。 支持多维度监控与告警 全面监控及告警机制，保障云主机正常运行 云主机提供监控服务，实现性能指标监控、自动告警、历史信息查询等功能。可借助云监控服务，了解包括CPU、内存、磁盘和网络使用情况等几十项云主机性能监控指标，并支持查看一个月内的云主机监控信息，帮助用户了解云主机实例的历史运行情况，还可根据用户预设规则提供及时的告警通知。

参数 说明 区域集群 集群所在的区域。 硬件配置 集群所有节点MASTER、CORE、TASK（如有）的硬件信息。 企业项目 集群所属的企业项目。 虚拟私有云（VPC） 集群所使用的虚拟私有云（VPC），单击 复制VPC ID，单击内容可以跳转并查看该VPC详细信息。 安全组 集群所使用的安全组，单击 复制安全组ID，单击内容可以跳转并查看安全组详细信息。 子网 集群所使用的子网，单击 复制子网ID，单击内容可以跳转并查看子网详细信息。 操作系统 集群所用的操作系统。 主机类型 集群所用主机的类型。 CPU类型 集群所用主机的CPU类型。 IPv6访问 V2.15版本起，支持展示集群是否开启IPv6访问能力。

计算资源规划 表2 计算资源规划表 资源类型 配置项 配置明细 说明 :::: 弹性云主机 计费模式 按需计费 根据计算资源使用规划，合理选择“包年/包月”或“按需计费” 弹性云主机 区域 苏州 本最佳实践全部资源部署在苏州资源池 弹性云主机 可用分区 可用区3 根据资源节点的剩余资源情况，选择不同可用区 弹性云主机 规格 c6.large.2 2vCPUs 4GiB 根据业务使用、未来发展，以及IPv4/IPv6双栈能力需要，可选择不同云主机规格 弹性云主机 镜像 公共镜像 CentOS8.0 根据业务使用、未来发展需要，可选择不同系统镜像类型与版本 弹性云主机 系统盘 普通IO 40GB 根据业务使用、未来发展需要，可选择不同系统盘规格 弹性云主机 网络 VPC：VPCEIP.SBWTEST 子网：SUBNETEIPTEST001 自动分配IP地址 自动分配IPv6地址，IPv6地址带宽选择共享带宽BANDWIDTHEIP.SBWTEST 根据业务需要，分配VPC与子网信息 弹性云主机 安全组 “SGEIP.SBWTEST” 根据网络、业务的访问控制策略与要求，配置相应安全组 弹性云主机 弹性IP 不使用 弹性云主机 云主机名称 云主机弹性IP共享带宽测试实例 根据业务规划创建 弹性云主机 用户名 root 弹性云主机 密码 XXXXXXXX 根据保密需要，自定义密码

本文主要介绍如何删除IP地址组。 操作场景 本章节指导用户删除IP地址组。 说明 删除IP地址组，也将删除IP地址组使用的安全组规则和网络ACL规则。 删除IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“删除”，删除IP地址组。删除IP地址组会同时删除该地址组关联的安全组规则。

本节介绍漏洞扫描服务是否可以免费使用。 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 基础版配额内提供的网站漏洞扫描服务（域名个数：5个，扫描次数：每日5次）是免费的。

混合云一体机推理基础版基础产品能力包含哪些？ 默认提供大模型推理、知识库等服务能力。 混合云一体机推理基础版是否包含虚拟化计算、存储、网络等能力？ 默认不提供通用计算能力，如客户有需求，可以为客户开通使用，此部分单独收费。可开通的通用计算资源有限，需提前联系客户经理确认。 混合云一体机推理基础版是否提供等保软件套餐？ 默认不提供安全能力，如客户等保需求，可以将官网安全专区中的等保套餐私有化部署到一体机里，为客户提供等保能力，此部分单独收费。等保能力会有资源占用，最终用户可用的资源等于一体机默认提供的资源减去等保能力占用的资源。

本章节主要介绍翼MapReduce集群创建类常见问题。 如何使用自定义安全组创建翼MR集群？ 1. 当前翼MR产品“一类节点”仅支持华东1、西南1、华北2、上海36、华南2、武汉41、呼和浩特3、南昌5、杭州7、西安7、西南2贵州资源池，后续以实际上线为准。 2. 创建翼MR集群前，用户需要在目标资源池完成虚拟私有云VPC的创建及相关配套安全组规则的添加工作。 3. 参照天翼云虚拟私有云产品文档中“创建虚拟私有云VPC”章节，需完成在“一类节点”资源池创建相关VPC网段，默认为“192.168.0.0/16”。 4. 完成上述步骤后，在控制中心网络控制台访问控制安全组菜单中，可以发现为创建的VPC自动添加了默认安全组。另外，客户可以额外创建自定义的安全组。 5. 在创建翼MR集群时，需要授权翼MR完成以下规则的配置添加。 购买翼MR集群时，找不到HDFS、YARN和ZooKeeper组件如何处理？ HDFS、YARN和ZooKeeper组件包含在翼MR集群的数据湖、数据服务、实时数据流和自定义业务场景中，当购买翼MR集群时，如果无法看到HDFS、YARN和ZooKeeper组件，请确认业务场景选择是否正确，另外确定在开通订购时，已经完成相关组件的勾选。等翼MR集群正式开通部署完成后，客户即可在翼MR Manager管控平台中查看到HDFS、YARN和ZooKeeper组件。

本文介绍如何绑定安全组。 功能说明 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 云容器引擎集群通过对接VNode来使用ECI时，ECI Pod默认采用所属VNode配置的安全组。如果有特殊需求，可以为某些ECI Pod指定其他安全组。 配置示例 可以通过设置 k8s.ctyun.cn/ecisecuritygroup 的Annotation来为ECI Pod指定安全组，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgshuhgxxx 指定安全组 labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本文为您介绍使用您已有的天翼云Ubuntu云主机搭建幻兽帕鲁服务器的操作。 操作前提 如果您已购买的云主机位于【青岛20、西南1】资源池（其余资源池镜像正在加载中），且满足以下条件，请参考本文部署幻兽帕鲁服务器。 操作系统：Ubuntu 20.04 配置：4核16G及以上 已开通公网IP 云主机未到期 操作步骤 1. 登录云主机控制台，前往您已购买的云主机所在的资源池。确认云主机状态为“已关机”，则可以进行重装操作系统操作。 点击“更多”按钮，点击下拉菜单中“一键重装”按钮。 2. 在重装操作系统弹窗中，镜像类型选择“应用镜像”，并在重装选择下拉菜单中选择“Ubuntu”、“幻兽帕鲁（Palworld）”。 设置并确认密码，点击“确定”按钮，完成重装操作系统操作。 3. 返回云主机控制台，选中已完成重装操作系统的云主机，点击“开机”按钮。确认云主机状态为“运行中”，则可以进行后续操作。 4. 添加安全组规则。 在云主机列表中点击云主机名称，进入云主机详情页。点击安全组页签，点击“添加规则”按钮，新增IP放行。 在添加规则弹窗中： 1）协议选择“UDP”。 2）端口范围填写“8211”。 端口也可自定义进行修改，修改后可提高服务器的安全性： 登录云主机后，首先使用密码登录root用户，执行以下命令进入编辑配置界面。 vim /etc/rc.local 按i进入编辑状态，将第二行改为： su steam c "cd /home/steam/.steam/SteamApps/common/PalServer;steamcmd +login anonymous +appupdate 2394010 validate +quit;nohup ./PalServer.sh portxxx &" 其中xxx为165535中的任意希望启用的端口，修改完成后按esc退出编辑，再输入:wq进行保存并退出。 3）地址处将“1.1.1.1”更改为自己的IP地址。 点击“确定”，完成安全组规则修改。 5. 登录游戏。 在云主机控制台找到云主机的公网IP地址。 启动游戏，在游戏界面选择“加入多人游戏（专用服务器）”。在地址输入框输入该地址，点击“联系”即可进入帕鲁世界（“:8211”不用进行修改）。

本文向您介绍如何通过VPN连接云下数据中心与云上VPC。 操作场景 默认情况下，在Virtual Private Cloud (VPC) 中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。申请VPN后，用户需要配置安全组并检查子网的连通性，以确保VPN功能可用。主要场景分为两类： 点对点VPN：本端为处于云服务平台上的一个VPC，对端为一个数据中心，通过VPN建立用户数据中心与VPC之间的通信隧道。 点对多点VPN：本端为处于云服务平台上的一个VPC，对端为多个数据中心，通过VPN建立不同用户数据中心与VPC之间的通信隧道。 配置VPN时需要注意以下几点： 本端子网与对端子网不能重复。 本端和对端的IKE策略、IPsec策略、PSK相同。 本端和对端子网，网关等参数对称。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 VPN对接成功后两端的云主机或者物理设备之间需要进行通信，VPN的状态才会刷新为正常。 前提条件 已创建VPN所需的虚拟私有云和子网。 操作步骤 1. 在管理控制台上，创建VPN网关、用户网关，选择合适的IKE策略和IPsec策略创建VPN连接。 2. 检查本端和对端子网的IP地址池。 3. 为弹性云主机配置安全组规则，允许通过VPN进出本地数据中心的报文。 4. 检查VPC安全组。 5. 检查远端LAN配置（即对端数据中心网络配置）。 假设您在云中已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），您在自己的数据中心Router下也有2个子网（192.168.3.0/24，192.168.4.0/24）。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 本端和对端子网IP池不能重合。例如，本端VPC有两个子网，分别为：192.168.1.0/24和192.168.2.0/24，那么对端子网的IP地址池不能包含本端VPC的这两个子网。 从本地数据中心ping云主机，验证安全组是否允许通过VPN进出本地数据中心的报文。 在远程LAN（对端数据中心网络）配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信，请检查远程LAN是否存在拒绝策略。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID，您可以查看 a39b0db2989140c79e6de8c21d50f132 azName 否 String 可用区名称，您可以查看 cnhuadong1jsnj3Apublicctcloud projectID 否 String 企业项目ID，企业项目管理服务提供统一的云资源按企业项目管理，以及企业项目内的资源管理，成员管理。您可以通过查看 0 pageNo 否 Integer 页码，取值范围：正整数（≥1），注：默认值为1 1 pageSize 否 Integer 每页记录数目，取值范围：[1, 50]，注：默认值为10 10 state 否 String 云主机状态，取值范围： active：开机， shutoff：关机， expired：已到期 注：该参数大小写不敏感（如active可填写为ACTIVE） active keyword 否 String 关键字，对部分参数进行模糊查询，包含：instanceName、displayName、instanceID、privateIP ecs888 instanceName 否 String 云主机名称，精准匹配 ecs1 instanceIDList 否 String 云主机ID列表，多台使用英文逗号分割，您可以查看 73f321ea62ff11eca8bc005056898fe0,88f888ea88ff88eca8bc888888888fe8 securityGroupID 否 String 安全组ID，模糊匹配，您可以查看 sgtolywxbe1f vpcID 否 String 虚拟私有云ID，您可以查看 vpceuu7edo58k resourceID 否 String 资源ID，非资源的UUID，该ID为订单的资源ID（创建云主机接口为异步接口，订单先返回一个该资源ID方便后续查找） 获取： 创 9178e00c6fd148a88d4307950a9468df

本章节介绍了什么是云主机备份,以及该产品的架构和基本功能模块。 云主机备份简介 该服务目前仅提供给部分存量用户使用，云服务备份（CBR）服务融合了云主机备份（CSBS），新用户请前往云服务备份进行使用。 云主机备份（CTCSBS，Cloud Server Backup Service）提供对弹性云主机的备份保护服务，支持基于多云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复弹性云主机（简称云主机）数据，最大限度保障用户数据的安全性和正确性，确保业务安全。 云主机备份提供申请即用的备份服务，使您的数据更加安全可靠。例如，当云主机出现故障或者人为错误导致数据误删时，可以自助快速恢复数据。 云主机备份对于首次备份的云主机，系统默认执行全量备份。已经执行过备份并生成可用备份的云主机，系统默认执行增量备份。无论是全量还是增量备份都可以快速、方便地将云主机的数据恢复至备份所在时刻的状态。 云主机备份通过云主机与对象存储服务的结合，将云主机的数据备份到对象存储中，高度保障用户的备份数据安全。云主机备份的产品架构如图。

准备工作 注册天翼云账号 使用对象存储迁移服务ZMS，您需要先注册天翼云门户的账号。本部分将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接使用对象存储迁移服务。 1. 打开天翼云门户网站，点击“ 注册 ”。 2. 在注册页面，请填写“ 邮箱地址 ”、“ 登录密码 ”、“ 手机号码 ”，并点击“ 同意协议并提交 ” 按钮，如1分钟内手机未收到验证码，请再次点击“ 免费获取短信验证码 ”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 进行实名认证，请参考会员服务实名认证。 开通天翼云对象存储 登录您的天翼云账号即可使用对象存储迁移服务ZMS，但天翼云对象存储ZOS需要您单独开通，具体操作可参看开通对象存储服务。 获取源端和目的端的访问密钥（AK/SK） 源端：源端为阿里云OSS，请检查您的阿里云对应账号是否已创建有访问密钥（AK/SK），并且为您的账号授权阿里云OSS的访问权限。 目的端：目的端仅为天翼云对象存储ZOS，您可参看获取访问密钥（AK/SK），获取您的访问密钥（AK/SK）。 创建目的端存储桶（bucket） 请您在迁移前创建用于存储迁移数据的对象存储桶，具体操作可参看创建桶。 注意 不同地域的对象存储ZOS bucket所支持的存储类型不一致，请您创建存储桶时，根据您的目的端存储类型需要进行创建。您可参考

源端 目的端 目的端类型 可能故障 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service ELB 公网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service ELB 私网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Ingress ELB 公网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Ingress ELB 私网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service Node Port 公网IP 集群流量入口 kube proxy配置覆盖，该故障已在升级流程适配 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service Node Port 私网IP 集群流量入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service Cluster IP Service网络平面 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 非Service NodePort 节点单口 节点容器网络 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 跨节点Pod 容器网络平面 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 同节点Pod 容器网络平面 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service域名、Pod域名等，基于CoreDNS解析 域名解析 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 外部网站域名，基于CoreDNS hosts配置解析 域名解析 coredns插件升级后配置被覆盖，该故障已在插件升级流程适配 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 外部网站域名，基于CoreDNS 上游服务器解析 域名解析 coredns插件升级后配置被覆盖，该故障已在插件升级流程适配 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 外部网站域名，不通过CoreDNS解析 域名解析 未有记录

本文介绍单区域访问CDN节点异常时，可能的场景及对应排查思路。 场景一：在特定网络下才访问异常（切换WiFi/移动网络、关闭代理软件可恢复正常访问） 可能的原因及排查思路： 本地网络异常。 确认客户端本地网络环境是否正常。例如，可通过浏览器访问百度页面，或者使用在线诊断工具，确认客户端自身网络环境是否正常。如访问百度或其他网站均正常，说明本地网络正常。 对应网络环境的出口IP被源站或CDN节点封禁。 绑定源站访问测试。通过修改HOSTS文件的方式绑定源站访问看是否可以正常请求，如果无法请求则表明源站对该出口IP做了封禁处理。 如测试源站未封禁该出口IP，请提交工单给天翼云客服进行排查，确认CDN节点是否有对应封禁策略，在此之前请通过ipip或者站长之家等工具获取本地的出口IP。 场景二：单区域多用户反馈访问异常，或使用ping命令ping CDN节点存在节点不通、丢包严重的情况 可能的原因及排查思路： 本地或区域性网络异常。确认客户端本地网络环境是否正常。例如，可通过浏览器访问百度页面，或者使用在线诊断工具，确认客户端自身网络环境是否正常。如访问百度或其他网站均正常，说明本地网络正常。 CDN节点网络异常或被攻击。 测试节点的网络情况。在本地使用ping命令，测试该节点IP，以及使用站长之家工具在全国探测该节点IP是否存在问题，若各个地区访问该节点延迟均较大或者不通，本地也ping不通该节点，则该节点存在问题的可能性较大。 测试节点的端口情况。使用telnet客户端工具，测试节点对应端口是否有效，如若出现端口不通的情况，请提交工单给天翼云客服进行排查。 本地或本区域到CDN节点的中间链路某路由节点故障。 在本地的Windows主机使用tracert，或者在Linux主机使用traceroute，探测该CDN节点IP并提供完整探测截图，提交工单给天翼云客服进行排查。在此期间可更改本地DNS为其他DNS（例如223.5.5.5、114.114.114.114或119.29.29.29），并刷新本地的DNS缓存，使其调度到其他正常的节点。

该章节指导您创建引用表，即可对路径、User Agent、IP、Params、Cookie、Referer、Header这些单一类型的防护指标进行批量配置，引用表能够被CC攻击防护规则和精准访问防护中的规则所引用。 前提条件 已添加防护网站。 应用场景 CC攻击防护规则、精准访问防护规则批量配置防护字段时，可以使用引用表。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 点击策略名称，进入防护配置页面，在“CC攻击防护”或者“精准访问防护”配置框中，单击“自定义CC攻击防护规则”或者“自定义精准访问防护规则”，进入规则配置页面。 步骤6 在列表左上角，单击“引用表管理”。 步骤7 在“引用表管理”界面，单击“添加引用表”。 步骤8 在弹出的“添加引用表”对话框中，添加引用表。 添加引用表参数说明： 参数名称 参数说明 取值样例 ::: 名称 用户自定义引用表的名字。 waf 类型 路径：设置的防护路径，不包含域名。 User Agent：设置为需要防护的扫描器的用户代理。 IP：设置为需要防护的访问者IP地址。 Params：设置为需要防护的请求参数。 Cookie：根据Cookie区分的Web访问者。 Referer：设置为需要防护的自定义请求访问的来源。 Header：设置为需要防护的自定义HTTP首部。 路径 值 对应“类型”的取值，该值不支持通配符。可单击“添加”设置多个值。 /buy/phone/ 步骤9 单击“确认添加”，添加的引用表展示在引用表列表。

本文主要介绍应用场景 性能测试具备强大的分布式压测能力，应用十分广泛，适合互联网、数字化营销平台、车联网、金融等各行业。 电商抢购测试 电商抢购已成为当前互联网应用的普遍需求，有并发用户高、突发请求大、失败用户反复重试等特征，如何保证在高负载运行情况下网站的可用性已经成为运维保障的重点。 优势 真实场景模拟：秒级百万并发能力，瞬间发起大量并发压力，可在一个测试模型里面模拟全网站高负载。 专业测试报告：提供按时延响应区间的统计，客观反映用户体验。 失败用户重试：多种表达式的自定义结果比对，未正常进入网站的可以重试。 电商抢购测试 游戏高峰测试 游戏行业业务波峰波谷明显，具备弹性伸缩的能力，一方面需要验证弹性伸缩是否可以正常工作，另一方面需要验证在流量突发高峰场景下，时延等关键KPI是否达标。 优势 多场景组合模拟：通过多事务组合、事务元素多样性、报文自定义功能模拟真实场景。 波峰波谷模拟：针对每个单事务根据时间段定义压测曲线，模拟波峰波谷。 KPI度量：通过自定义响应超时时间，验证高峰场景游戏KPI满足度。 游戏高峰测试

版本 计费项 计费说明 基础版 无 免费体验，不计费。 专业版 资产配额 按购买的资产配额数计费，包括主机资产配额数和网站资产配额数。 专业版 按包周期购买计费 提供包月和包年的购买模式。 专业版 按需购买计费 即开即停，按小时结算。

对比项 自建Kubernetes集群 云容器引擎 易用性 自建Kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案，管理复杂。每次升级集群的过程都是巨大的调整，带来繁重的运维负担。 简化集群管理，简单易用 借助云容器引擎，您可以一键创建和升级Kubernetes容器集群，无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用，使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的Helm标准模板，真正实现开箱即用。 您只需启动容器集群，并指定想要运行的任务，云容器引擎帮您完成所有的集群管理工作，让您可以集中精力开发容器化的应用程序。 可扩展性 自建Kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署，可扩展性差。 灵活集群托管，轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容，并可以自由组合多种弹性策略，以应对业务高峰期的突发流量浪涌。 可靠性 自建Kubernetes集群操作系统可能存在安全漏洞和配置错误，这可能导致未经授权的访问、数据泄露等安全问题。 企业级的安全可靠 云容器引擎提供容器优化的各类型操作系统镜像，在原生Kubernetes集群和运行时版本基础上提供额外的稳定测试和安全加固，减少管理成本和风险，并提高应用程序的可靠性和安全性。 高效性 自建Kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库，镜像拉取方式多采用串行传输，效率低。 镜像快速部署 云容器引擎配合容器镜像服务，镜像拉取方式采用并行传输，确保高并发场景下能获得更快的下载速度，大幅提升容器交付效率。

约束与限制 Linux云主机状态处于“运行中”。 Linux操作系统一般情况首次登录使用用户名可以设置为root或ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 您所使用的登录工具与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 说明 出于安全考虑，通常会修改Linux远程登录端口。如果您需要修改默认登录端口，请参考 登录方式概述 请根据需要选择登录方式，登录云主机。 云主机操作系统 本地主机操作系统 连接方法 条件 :::: Linux Windows 使用控制中心远程登录方式： 可参见：Linux弹性云主机远程登录（VNC方式）、Linux弹性云主机远程登录（TeleCloudShell方式） 不依赖弹性IP Linux Windows 安使用PuTTY、Xshell等远程登录工具： 密码方式鉴权可参见：SSH密码方式登录（本地使用Windows操作系统）。 密钥方式鉴权可参见：SSH密钥方式登录（本地使用Windows操作系统）。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux Linux 使用命令连接： 密码方式鉴权可参见：SSH密码方式登录（本地使用Linux操作系统）。 密钥方式鉴权可参见：SSH密钥方式登录（本地使用Linux操作系统）。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux 移动设备 使用Termius、JuiceSSH等SSH客户端工具登录云主机。 可参见：在移动设备上登录Linux云主机。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux Mac OS系统 使用系统自带的终端（Terminal）： 可参见：Mac OS系统登录Linux弹性云主机。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。）

服务部署在非中国大陆时，是否可使用DDoS高防（边缘云版）？ 不支持，DDoS高防（边缘云版）节点资源主要分布于中国大陆，定位于面向中国大陆区域的用户提供防护。 如果您的服务部署在非中国大陆，建议您开通边缘安全加速平台。 DDoS高防（边缘云版）是否支持海外区域防护？ 不支持，DDoS高防（边缘云版）节点资源主要分布于中国大陆，定位于面向中国大陆区域的用户提供防护。 如果您业务的用户群体涉及非中国大陆区域，建议您开通边缘安全加速平台。 客户的源站IP不是电信的，可以使用DDoS高防（边缘云版）吗？ 支持使用。DDoS高防（边缘云版）支持三网接入，不限制您源站是否使用电信IP。 只要您的源站与天翼云网络公网路由可达，即可使用DDoS高防（边缘云版）。 DDoS高防（边缘云版）过期后会怎样？ DDoS高防（边缘云版）过期后，域名将自动停用。 服务过期域名停用后的影响： 3天内，CNAME将解析到您的源站服务器。 3天后，CNAME将解析至黑洞地址。 详情请参考：停用域名。