本文介绍了如何在天翼云上使用弹性云主机的Linux实例部署Docker 简介 表 Docker相关术语 术语 解释 Docker Docker是开发人员和系统管理员使用容器开发、部署和运行应用程序的平台。 镜像 Docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）。 镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。 容器可以被创建、启动、停止、删除、暂停等。 该指导以“CentOS 7.5 64 3.10.0862.9.1.el7.x8664”操作系统为例，Docker要求64位的系统且内核版本至少为3.10。 前提条件 弹性云主机需要绑定弹性公网IP。 弹性云主机所在安全组添加了如下表所示的安全组规则。 表 安全组规则 方向 类型 协议 端口/范围 远端 入方向 IPv4 TCP 80 0.0.0.0/0 部署Docker 1.登录弹性云主机。 2.添加yum源。 yum install epelrelease y yum clean all 3.安装yumutil。 sudo yum install y yumutils devicemapperpersistentdata lvm2 4.设置docker yum源。 sudo yumconfigmanager addrepo 5.安装并运行Docker。 sudo yum install dockerce systemctl enable docker systemctl start docker 6.检查安装结果。 docker version 回显如下类似信息，表示Docker安装成功。 Client: Docker Engine Community Version: 19.03.13

配置CNAME完成后,客户端发起的请求将被自动解析至边缘云节点上,可通过探测CNAME来验证加速是否生效。 前提条件 您已经完成添加服务域名并配置CNAME，如果您未配置，请参考配置CNAME。 验证方式 1、您可以 ping 或 dig 您接入边缘安全加速平台安全与加速服务的域名（例如www.ctyun.cn），在返回的解析结果中查看是否指向分配的CNAME域名。 2、如果CNAME状态为“已生效”，即代表当前站点域名已被边缘安全加速平台—安全与加速服务加速。

产品优势： 1、支持数据库应用—云硬盘支持多挂载，满足主流数据库需求 2、高安全—专属存储物理隔离，支持数据加密 3、高性能—专属云分布式存储保证存储资源免抢占

参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。须知“引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境；不支持变更引擎类型。 如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。 − 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。 描述 输入引擎描述信息。 单击 ，输入引擎描述信息。 单击 ，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。 选择“开启安全认证”： 1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。” 2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。

步骤四：浏览器打开Nextcloud 1.在云主机详情页下方“安全组”页签下，在该页签默认安全组下点击“添加规则”，对浏览器所在机器的IP地址和Nextcloud所使用的7080端口和入方向进行放开。本文采用的是对全部协议及端口进行放通，具体操作请参考添加安全组规则。 2.在本地浏览器输入{公网IP地址:7080}，打开Nextcloud登录页面，设定管理员账和密码，点击“安装”。其中公网IP地址可在云主机详情页中“弹性IP”页签下获取。 3.安装成功后，点击安装推荐的应用。 4.进入欢迎界面。 5.点击左上角第二个文件夹图标，进入网盘页面。在网盘页面可以进行新建文件夹、共享内容等。

本文介绍了如何在天翼云上使用弹性云主机的Linux实例部署RabbitMQ。 本文介绍了如何在天翼云上使用弹性云主机的Linux实例部署RabbitMQ。RabbitMQ是采用Erlang语言实现AMQP（Advanced Message Queuing Protocol，高级消息队列协议）的消息中间件，它最初起源于金融系统，用于在分布式系统中存储转发消息。RabbitMQ凭借其高可靠、易扩展、高可用及丰富的功能特性成为目前非常热门的一款消息中间件。 前提条件 弹性云主机所在安全组添加了如下表所示的安全组规则，具体步骤参见为安全组添加安全组规则。 方向 类型 协议 端口/范围 源地址 入方向 IPv4 TCP 5672 0.0.0.0/0 入方向 IPv4 TCP 15672 0.0.0.0/0 操作步骤 1. 安装相关依赖包和perl。 登录弹性云主机。 执行以下命令，安装相关依赖包。 plaintext yum y install make gcc gccc++ m4 ncursesdevel openssldevel unixODBCdevel 执行如下命令，安装perl。 plaintext yum install perl 2. 安装erlang。 执行如下命令，下载erlang安装包。 plaintext wget 执行如下命令，解压缩安装包。 plaintext tar xzf otpsrc19.3.tar.gz 解压后生成一个“otpsrc19.3”文件夹。 执行如下命令，创建文件夹“erlang”。 plaintext mkdir /usr/local/erlang 执行如下命令，进入解压后生成的文件夹“otpsrc19.3”。 plaintext cd otpsrc19.3 执行如下命令，检查系统是否符合安装要求。 plaintext ./configure prefix/usr/local/erlang withoutjavac 执行如下命令，编译并安装Erlang。 plaintext make && make install 执行如下命令，配置erlang环境变量。 执行如下命令打开配置文件"profile"。 plaintext vi /etc/profile 按i键进入编辑模式。 修改打开的“profile”文件，将如下内容添加到文件末尾。 plaintext export PATH$PATH:/usr/local/erlang/bin 按Esc键退出编辑模式，并输入:wq保存后退出。 执行如下命令，使环境变量生效。 plaintext source /etc/profile 执行如下命令，检查安装结果。 plaintext erl version 回显类似如下信息，说明erlang安装成功。 plaintext [root@ecsrabbitmq ~]

CES Agent如何通过授权获取临时AK/SK？ 为了更加安全高效的使用云监控服务提供的主机监控功能，我们提供了最新方式的Agent授权方法。在安装主机监控Agent前，仅需要一键式单击该区域的授权按钮或者在创建弹性云主机页面勾选云监控Agent委托，则系统会自动对该区域下所有云主机或物理机安装的Agent做临时AK/SK授权，并且以后在该区域新创建的资源都会自动获得此授权。本节针对本授权做以下说明： 1. 授权对象： 当您在云监控服务管理控制台“主机监控 > 弹性云主机”（或“主机监控 > 物理机”）所示页面单击“一键配置”后，系统会在IAM自动创建名为“cesagency”的委托，该委托自动授权给CES服务的内部账户opsvcces。 2. 授权范围： 仅为所在区域的内部账户“opsvcces”添加“CES Administrator”权限。 3. 授权原因： CES Agent运行在弹性云主机或物理机内，该Agent采集监控数据后需要上报到云监控服务，授权后CES Agent能够自动获取临时AK/SK，这样您就可以安全方便的使用云监控服务管理控制台或API查询Agent监控数据指标了。 a. 安全：Agent使用的AK/SK仅具有CES Administrator权限的临时AK/SK，不会使用客户全局AK/SK，即当前的临时AK/SK只具备操作云监控服务的权限。 b. 方便：您仅需在一个区域配置一次即可，无需对每个CES Agent手动配置。 4. 如果授权后在IAM委托页面无法查询到“cesagency”，您可以手工在IAM管理控制台重新创建。 说明 新创建的委托名称必须为“cesagency”。 委托类型为“普通帐号”，委托的帐号必须为“opsvcces”。

云点播产品主要优势。 一体化解决方案 提供集音视频上传、媒体资源管理于一体的音视频服务，客户可按需接入使用。 提供视频加密，防盗链等多种安全手段，保护媒资安全。 可与CDN紧密耦合，帮助用户快速上线业务。 专业视频处理 强大的云端处理能力，支持H.264/265/VP9等多种编码规格，支持4K/8K超高清视频的快速转码。 支持雪碧图截图、视频拼接、视频水印等常见专业场景需求。 播控安全 通过Referer黑白名单等安全技术，限制盗推、盗播等恶意行为。 支持基于 HLS 的标准加密，有效解决视频盗播带来的经济损失。

本节介绍如何变更云防火墙扩展包数量。 购买了云防火墙后，您可以增加或减少EIP/VPC的防护数量以及互联网边界流量峰值。 变更扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在“防火墙详情”中，单击“已使用/可防护EIP数”、“总防护VPC数量/购买VPC数量”、“可防护互联网流量峰值”右侧的“变更”，进入“变更云防火墙规格”页面。 5. 变更扩展包数量。 默认不支持将扩展包数量降到0，如果您需要将扩展包数量降到0，请参见退订扩展包。 退订扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 选择退订的扩展包，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

云服务概述 弹性云主机（CTECS，Elastic Cloud Server）是一种可随时获取、弹性可扩展的计算服务。云主机由CPU、内存、镜像、云硬盘等组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保服务持久稳定运行。 弹性云主机的开通和使用非常便捷、高效，您只需要指定CPU、内存、镜像等配置信息。开通完成后，您就可以像使用本地PC或物理服务器一样在云上使用弹性云主机，同时您也可以按需随时调整弹性云主机的规格配置。 了解弹性云主机的使用限制与使用须知，请参考：使用须知、使用限制。 了解弹性云主机的资源规格限制，请参考：管理配额。 怎样选择实例规格类型 了解弹性云主机应用场景，请参考：弹性云主机应用场景。 了解弹性云主机实例规格类型，请参考：规格说明。 了解云主机的计费模式 按量计费 按量计费是一种后付费模式，即先使用再付费，系统会根据云主机的实际使用情况按秒计费。 说明 自2021年4月1日4:00起，按需弹性云主机、按需云硬盘、按需独享带宽将计费单元由小时调整为秒。 例如您在13:30:30创建了一台按需付费主机，相关资源包括计算资源（vCPU和内存）、镜像和云盘（系统盘），然后在13:55:30释放实例，则：结算周期为13:00:00～14:00:00，在13:30:30～13:55:30间产生计费，该结算周期内的计费时长为1500秒。期间费用实例小时价格/36001500。 详细信息请查看按量计费。

本文介绍全站加速业务实例。 背景信息 对于首次使用全站加速的用户，虽然帮助中心对各个模块都有详细介绍。但是，在初次使用者较难快速熟悉各模块，又希望快速实现业务接入，一次配置就获得较优的加速效果的情形，可通过参照本实践案例，从服务开通、域名配置、业务验收、CNAME切量等步骤入手，实现一步到位完成业务接入的目的。 前提说明 本实例，针对加速场景同时有动静态内容，如文字，图片，视频等静态可缓存内容，以及接口类、在线交易类需要实时回源的动态内容的加速。 业务场景 加速域名：a.ctyun.cn。 加速内容：文字、图片、接口等。 加速区域：仅中国内地，即该网站的用户都集中在中国内地。 业务要求：客户自己提供源站，对传输安全性要求高，因此推荐客户使用https安全传输协议。 操作流程 步骤一： 在创建域名之前，需要先通过天翼云官网进行注册和实名制认证、开通全站加速服务。步骤详见：开通全站加速服务。 步骤二：全站加速服务开通后，就可以通过客户控制台来进行创建域名。登录控制台的步骤详见：进入客户控制台。 步骤三： 在客户控制台上，可以添加域名并配置。步骤详见：添加加速域名。域名创建成功的标志是，在域名列表中，可以查到新建域名，以及CNAME地址。 为了帮忙您获得更优的加速效果，建议如下高阶配置方案： 场景 描述 相关链接 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现最优路径提速回源。 缓存配置 动态回源策略 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速节点之间请求的HTTPS加密，保障数据传输的安全性。 HTTPS配置概述 IPv6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 IPv6配置 海外加速 开启海外加速，可满足出海企业本地化cdn节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 变更加速区域 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。 html页面优化 文件压缩 步骤四： 在客户控制台成功添加加速域名后，为保证DNS解析顺利切换而不影响现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。 具体流程如下： 1. 在天翼云客户控制台的【域名管理】【域名列表】，复制加速域名对应的CNAME记录值。 2. 通过ping（Windows）或dig（MAC） CNAME记录的方式，如 ping .ctdns.cn 获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3. 用户修改本地电脑“C:WindowsSystem32Driversetc”的hosts文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而可以通过本地电脑来验证加速域名对应的相关业务功能和场景；如遇到修改后的host文件无法访问，可参考如下步骤： Hosts文件无法保存解决方法： Hosts文件无法修改可能是因为没有管理员权限所致的，完成以下的设置后，当我们修改了Hosts文件后就可以顺利保存了。 打开“计算机”，依次进入“C:WindowsSystem32Driversetc”（不同系统不同版本下，该文件的位置可能不同，仅供参考），找到hosts文件。 先选择“hosts”文件，打开其“属性”。 切换到“安全”选项卡，点击“高级”。 在“权限”下，点击“更改权限”。 点击“添加”，增添一个新权限。 点击“高级”进入高级设置。 选择“立即查找”，并在下方选择当前的系统账户，点击“确定”将其打开。 将“完全控制”勾上允许，并点击“确定”。 此时弹出一个安全警告窗口，点击“是”即可。 4. 验证内容： 成功绑定hosts文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在hosts文件中绑定的IP一致，表示配置正确。如果访问到的IP和您在hosts文件中绑定的IP不一致，表示配置不正确，您需要检查hosts文件中绑定的IP地址是否正确，确保该IP地址是CNAME地址的IP。 在电脑本地成功访问加速域名绑定的IP后，您可以基于自己的测试用例，或者必要的核验步骤，验证相关功能的准确性，如果功能验证不如预期，请提交工单联系运维处理。 步骤五： 如果您在步骤四的验证均正常，或者您通过其他方式已完成功能的验收测试，证明配置已经符合切量解析条件。为了实现正式的全站加速，您需要在域名解析服务商处将加速域名的DNS解析记录指向天翼云为您分配的CNAME域名，访问请求才能转发到CDN节点上，实现加速。配置CNAME的操作详见：配置CNAME。

虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外，您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通，灵活整合资源，构建混合云网络。

VPC终端节点产品广泛应用于多种云上跨VPC的内网服务连接场景,本文带您更快了解VPC终端节点经典应用场景。 VPC终端节点能够在同一地域中建立便捷、安全、私密的连接通道，将VPC内的云资源与终端节点服务（包括用户的私有服务和云服务）相连接，主要应用于以下场景： 跨VPC连接 在同一地域中，由于VPC之间的逻辑隔离，不同VPC内的云资源默认不能直接通信。通过在不同VPC之间建立终端节点到终端节点服务的连接通道，可以实现跨VPC的资源通信。 服务提供方可以在其服务所在的VPC中配置终端节点服务，并共享后端资源。服务使用方可以通过配置VPC终端节点连接到终端节点服务，从而实现访问该服务。 高效可靠 VPC终端节点提供高性能的连接通道，每个网关节点都能支持百万级会话。这使得跨VPC的资源通信速度快、延迟低，保证了数据传输的高效性。 简便快捷 建立跨VPC的终端节点连接简便易操作，用户无需做服务公网开放或配置复杂的路由打通私有网络，资源可秒级创建，变更也可快速生效，提供了更加灵活、安全的组网方式。 高速上云 本地数据中心可以通过VPN或者云专线连接到VPC，并利用建立的终端节点通过内网访问终端节点服务（用户私有服务、云服务）。 安全稳定 通过建立终端节点，本地数据中心可直连终端节点服务，消除了数据传输过程中的潜在安全风险，同时提供更快的数据传输速度和更低的延迟，确保数据的安全性和稳定传输。 节约成本 数据传输通过内网进行，本地数据中心访问云上资源时不占用用户的公网资源，从而降低了使用成本，可以节省大量公网带宽费用。

查看网络流量 开启弹性公网IP防护后，可以查看网络流量。 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“流量分析”，进入“流量分析”页面，可查看不同时间段互联网出入口流量、攻击趋势和TOP访问IP。 4.选择“主动外联访问”页签，查看不同时间段主动外联的出入口流量，以及攻击趋势。 查看日志审计 开启弹性公网IP防护和入侵检测基础防御后，可以查看日志审计。 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“日志审计”，进入“攻击事件日志”页面，可查看近一周的攻击事件详情。 4.选择“访问控制日志”页签，可查看近一周的访问控制情况。若需要修改指定IP的访问控制的响应动作，可配置访问控制策略或添加黑白名单。 5.选择“流量日志”页签，可查看近一周的流量字节数和报文数。

请参见天翼云运维安全中心（云堡垒机）服务等级协议。

本文汇总了使用虚拟私有云产品时常见的计费类问题。 VPC是否收费？ 不收费。 虚拟私有云VPC作为基础上云产品是免费的。VPC提供隔离的、私密的网络环境，使得您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。 虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 流量镜像是否收费？ 流量镜像公测期间创建的资源可免费提供服务，公测结束后创建的资源会收取费用。流量镜像产品收费对象包含如下两个计费项：实例费和流量处理费。具体收费方式可参考计费说明。 流量镜像功能可以将网络流量从弹性网卡镜像到其他指定的云服务器的网卡上，以便于应用到内容检查、监控分析、问题排查等场景。流量镜像搭配使用的其他云产品（例如弹性云主机）将会按照其自身的计费规则收取相应的费用，弹性云主机的计费详情可参考“计费说明”。 组播是否收费？ 组播在内测期间暂不收取费用。 内测结束后会转商用，商用具体的开始收费的时间会发布公告另行通知，包括计费相关规则及存量资源的计费方式，届时请以官网公告为准。组播搭配使用的其他云产品（例如弹性云主机）将会按照其自身的计费规则收取相应的费用，计费详情请参考“计费说明”。

本文为您介绍密钥管理服务的产品优势。 密钥管理服务（KMS）与传统的密钥管理设施相比具有安全合规、弹性高效、广泛集成以及稳定可用等优势。 安全合规 通过国家密码管理局安全性审查，符合国家密码行业标准（GM/T）相关技术规范要求，获得由国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》。 采用由国家密码管理局批准的硬件密码设备，通过更高安全的保护机制确保密钥的保密性、完整性和可用性。 集中托管 支持自动化开通，按需扩容，弹性灵活。 提供密码基础设施的完全托管，可轻松创建密钥等资源，并通过极简API/SDK实现应用的快速集成。 广泛集成 与云硬盘、对象存储、弹性文件、数据库等天翼云产品无缝集成，实现云上资源原生数据的加密保护。 云产品服务端加密功能可一键开启，加密过程透明无感知，用户体验极好。 稳定可靠 采用分布式部署，在每个资源池构建了冗余的密码计算能力，有效保证服务可靠性。 支持VPC内应用通过私密的连接通道访问KMS服务，保证数据安全性的同时，大幅度提高了访问效率，减少延时。

本文主要介绍远程连接Linux云主机报错:read: Connection reset by peer如何处理。 问题现象 远程连接Linux云主机报错：read: Connection reset by peer 图 read: Connection reset by peer 可能原因 安全组未放通远程登录端口。 防火墙开启，且关闭了远程连接端口。 处理方法 针对此问题，我们推荐采用以下方式来排查： 检查安全组规则 −入方向：打开远程登录端口。默认使用的22端口。 −出方向：出方向规则为白名单（允许），放通出方向网络流量。 云主机防火墙添加端口例外 以Ubuntu操作系统为例： a.执行以下命令检查防火墙状态： sudo ufw status 回显信息如下： Status: active b.添加端口例外，以默认使用的22端口为例。 ufw allow 22 Rule added Rule added (v6) c.重新查看防火墙状态 Status: active To Action From 22 ALLOW Anywhere 22 (v6) ALLOW Anywhere (v6) 规则添加成功，重新测试远程连接云主机。

本章节主要介绍天翼云物理机的支持列表及使用限制。 支持列表 实例 支持自动化发放物理机，远程Console登录。 支持租户自主管理物理机生命周期：查询、启动、关机、重启、删除。 导出服务器列表：将租户名下的所有物理机信息，以xlsx文件的形式导出至本地。 支持一键重置密码。 支持故障重建：由于服务器硬件损坏、SDI卡损坏等原因，导致服务器无法正常使用时，可以申请服务器重建。 支持重装操作系统：物理机OS无法正常启动、操作系统中毒等场景，可以重装OS。 支持用户数据注入：通过注入脚本简化服务器配置、初始化系统等。 支持云审计，记录与物理机相关的操作事件，便于日后的查询、审计和回溯。 支持主机监控，可实时获取物理机的CPU、内存、磁盘I/O等监控指标数据。 支持标签管理服务，使用标签来标识物理机，便于分类和搜索。 磁盘 支持挂载/卸载云硬盘（linux和windows均支持）。 支持挂载共享卷。 支持云硬盘动态扩容。 镜像 可以使用公共镜像、私有镜像、共享镜像发放物理机。 支持通过物理机服务器创建私有镜像。 支持通过外部镜像文件创建私有镜像。 私有镜像还支持不同帐号之间共享镜像。 网络 支持虚拟私有云、自定义VLAN网络、高速网络、IB网络，满足多种场景的需求。 创建安全组并定义安全组规则，为物理机提供安全防护。 支持绑定弹性IP，满足客户互联网访问需求。 支持绑定多张网卡，支持动态绑定网卡。

本文主要介绍DRDS与其他服务的关系。 虚拟私有云（VPC） VPC是基于天翼云创建的自定义私有网络，为DRDS提供一个逻辑上完全隔离的专有网络。使用VPC中的安全组、IP地址段、带宽等网络特性，可增强访问 DRDS服务的安全性。 弹性云主机（ECS） 成功购买DRDS实例后，您需要通过弹性云主机连接使用DRDS实例。 关系型数据库服务（MySQL） 购买DRDS实例后，可以关联同一虚拟私有云中的MySQL实例，实现分布式数据库计算与存储。 弹性IP（EIP） 为您的实例提供公网访问方式。

站点 对于特定的MPLS VPN网络，一个不需要通过MPLS VPN承载网就能完成互联的IP网络系统，称之为一个站点。 云内网络 由天翼云资源池内的虚拟化网络设备（如vRouter、vSwitch）、物理网络设备（交换机或路由器）及其连接线路构成的资源池内的网络。 虚拟私有云（VPC） VPC为用户在云端构建一个安全可靠、可配置和管理的虚拟网络环境。虚拟私有云可以申请配置弹性带宽/IP、创建子网、设置安全组、配置DHCP等服务。 云网关（CGW，Cloud Gateway） 第三方公有云与CN2DCI网络PE互联的网关设备。

本节介绍如何进入数据库审计v2.0版本控制台，及如何使用数据库审计v2.0。 数据库审计v2.0 版本由数据库审计提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“数据库审计 > 数据库审计v2.0”，跳转到数据库审计控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 数据库审计”，进入数据库审计控制台。 使用数据库审计v2.0 请参见数据库审计。

本文主要介绍手工搭建LAMP环境(CentOS 7.8 PHP7.0)。 简介 LAMP是由Linux、Apache、MySQL和PHP建立的web应用平台。 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LAMP平台的web环境。该指导具体操作以CentOS 7.8 64位操作系统为例。 前提条件 1、弹性云主机已绑定弹性公网IP。 2、弹性云主机所在安全组添加了如下表所示的安全组规则 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 资源规划 本次实践所用的资源配置及软件版本如下表中所示。当您使用不同的硬件规格或软件版本时，本指导中的命令及参数可能会发生改变，需要您根据实际情况进行调整。 资源 资源说明 成本说明 弹性云主机 计费模式：按需计费 规格：c7n.large.2 镜像：CentOS 7.8 64bit 系统盘：40G 弹性公网IP：自动分配 公网带宽：按流量计费 带宽大小：5 Mbit/s ECS涉及以下几项费用： · 云主机 · 云硬盘 · 弹性公网IP Apache 是一个开放源码的Web服务器。 免费 MySQL 是一款开源的关系数据库软件。获取方式：< 免费 PHP 是一款开源软件，用于Web开发。获取方式：< 免费

参数 解释 取值样例 区域 区域也称为Region。创建的伸缩配置所在的区域。 名称 创建伸缩配置的名称。选择“使用已有云主机规格、镜像、磁盘、安全组为模板，快速创建伸缩配置”。 选择云主机 选择使用已有云主机规格、镜像、磁盘、安全组为模板，快速创建伸缩配置。 弹性IP 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。您可以根据实际情况选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，您可以在“带宽”中设置带宽值。 自动分配 登录方式 云平台提供两种弹性云主机鉴权方式。 密钥对：指使用密钥作为弹性云主机的鉴权方式。如果选择此方式，请在密钥页面先创建或导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 账户密码：指使用设置root用户（Linux操作系统）和Administrator用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。 Admin@123 高级配置 高级配置可对用户数据注入进行配置。可选择“暂不配置”和“现在配置”。 实例自定义数据注入 可选配置，主要用于创建弹性云主机时向弹性云主机注入用户数据。配置实例自定义数据注入后，弹性云主机首次启动时会自行注入数据信息。 对于Linux云主机，如果选择密码方式登录鉴权，此时不能使用实例自定义数据注入功能。

本文为您介绍IAM的产品功能。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号或者云服务管理资源等。 精细的权限管理 使用IAM，您可以将帐号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理。 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证，不必与其他人员共享您的帐号密码，系统会通过身份凭证中携带的权限信息允许用户安全地访问您帐号中的资源。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权，只需规划用户组，并将对应权限授予用户组，然后将用户添加至用户组中，用户就继承了用户组的权限。如果用户权限变更，只需在用户组中移除用户或将用户添加进其他用户组，就可以实现快捷的用户授权。 委托其他帐号或者云服务管理资源 通过委托信任功能，您可以将自己的操作权限委托给其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限代替您进行日常工作。

本章节主要介绍准备工作 为集群开通Istio之前，您需要完成如下的准备工作。 创建虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 步骤 1 登录虚拟私有云VPC控制台。 步骤 2 单击右上角“创建虚拟私有云”。 步骤 3 根据界面提示完成参数填写，单击“立即创建”。 创建密钥对 新建一个密钥对，用于远程登录节点时的身份认证。 步骤 1 登录弹性云主机ECS控制台。 步骤 2 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 步骤 3 输入密钥对名称后，单击“确定”。 步骤 4 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 步骤 1 登录弹性负载均衡ELB控制台。 步骤 2 单击右上角的“创建弹性负载均衡”。 步骤 3 所属VPC、子网请选择创建虚拟私有云中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。

本章为您介绍如何对DSC的操作记录进行审计。 DSC的所有操作都会通过API形式记录在云审计服务（Cloud Trace Service，CTS）中。 开通云审计服务后，您可以在云审计服务中查看有关DSC的所有操作记录，供安全审查使用。关于如何查看审计日志，请参见查看DSC的云审计日志。

本章节主要介绍翼MapReduce集群使用规则。 翼MR集群内节点上的/var/log目录中，存放了操作系统的相关操作、安全等关键性日志数据以及翼MR集群各个部署组件实例的应用和审计日志，以方便客户对云主机的系统问题以及翼MR组件集群进行定位和安全审计。 针对上述的系统日志文件，不建议客户进行清理，该操作属于高危操作，易引发弹性云主机的故障不可用问题。 针对上述的翼MR集群应用和审计日志，建议客户基于必要性考虑，确认是否需要清理。如果需要清理，优先考虑将相关历史久远的日志执行删除操作。

本节介绍了权限管理的相关内容。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望拥有云数据库 GeminiDB的使用权限，但是不希望拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制对云数据库 GeminiDB资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了云数据库 GeminiDB的所有系统权限。 表 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 服务所有权限。 系统策略 无 GeminiDB ReadOnlyAccess 服务只读权限。 系统策略 无 下表列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 标签列表 √ √ 标签操作 √ x 下表列出了常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 标签操作 nosql:instance:tag 支持： IAM项目(Project) 标签列表 nosql:tag:list 支持： IAM项目(Project)

本章主要介绍概述 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云主机上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图1 通过内网连接实例 步骤一： 创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二： 设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三： 通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

资产模块 服务策略 作用范围 备注 OBS OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 OBS EVS ReadOnlyAccess 区域 用于获取云硬盘列表 OBS OBS Adminstrator 全局 用于获取OBS服务投递日志 数据库 ECS ReadOnlyAccess 区域 用于获取自建数据库ECS列表 数据库 RDS ReadOnlyAccess 区域 用于获取RDS数据库列表及数据库列表相关信息 数据库 DWS ReadOnlyAccess 区域 用于获取DWS列表 数据库 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 数据库 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 大数据 ECS ReadOnlyAccess 区域 用于获取自建大数据ECS列表 大数据 CSS ReadOnlyAccess 区域 用于获取CSS数据集群列表及数据索引等相关信息 大数据 DLI Service User 区域 用于获取DLI队列及数据库 大数据 VPC FullAccess 区域 用于打通网络，VPC的端口创建，安全组规则创建等 大数据 KMS CMKFullAccess 区域 用于使用KMS加密脱敏的场景 数据安全总览 Tenant Guest 区域 用于获取用户涉及数据存储处理等相关云服务的列表等 数据安全总览 OBS Adminstrator 全局 用于配置OBS日志，获取OBS对象列表，下载OBS对象等 数据安全总览 EVS ReadOnlyAccess 区域 用于云硬盘列表获取 数据安全总览 OBS Adminstrator 全局 用于OBS服务投递日志

概述 API授权用于保护API安全访问，确保只有授权用户能调用API。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表。 4. 点击进入对应的API详情页，上方导航栏点击授权信息。 开启API授权 只有开启了应用授权的API，才能进行授权访问。可在创建时开启，也可编辑API，安全认证选择应用授权开启。 应用授权 应用授权支持环境隔离，只有API发布到指定环境后才能进行授权。将需要授权的应用添加到右侧区块，点击确定即可完成批量授权。授权可设置有效期或选择长期有效。 解除应用授权 在API应用授权信息列表中，可选择授权应用进行移除。 关闭应用授权 编辑API，安全认证方式，选择无认证，即可关闭应用授权。