虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个未分配给真实弹性云主机网卡的IP地址。弹性云主机除了拥有私有IP地址外，还可以拥有虚拟IP地址，用户可以通过其中任意一个IP（私有IP/虚拟IP）访问此弹性云主机。同时，虚拟IP地址拥有私有IP地址同样的网络接入能力，包括VPC内二三层通信、VPC之间对等连接访问，以及弹性IP、VPN、云专线等网络接入。 您可以为多个主备部署的弹性云主机绑定同一个虚拟IP地址，然后为虚拟IP绑定一个弹性IP，搭配Keepalived，实现主服务器故障后，自动切换至备服务器，打造高可用容灾组网。 公网出入口管理 通过IPv4网关、IPv6网关进行公网出入口管理，弹性公网IP、共享带宽具备包周期、按需等多种灵活的计费方式，具备超大规格带宽能力，可以满足不同客户不同业务的公网访问需求。 云内互联互通 VPC内网络互通，VPC内的资源无论是云主机等计算服务，还是MySQL等数据库服务，均能实现内网相互联通。 通过内网DNS，客户还可以自定义内网域名，把域名解析到专有网络VPC内的云主机、负载均衡、对象存储等云资源，实现云资源在VPC内直接通过内网域名的互相访问。 云上云下互联互通，轻松实现混合云架构 天翼云支持云专线、VPN等多种方式实现云上私有网络和客户IDC的互联互通，进而轻松扩展实现混合云架构。支持云专线/VPN 高速网络打通云上和企业数据中心。云专线独占私有线路，高速，安全 ； VPN稳定，高性价比。用户业务和数据可以云上、线下灵活部署并迁移。

本节为您介绍如何通过云主机创建 Linux 私有镜像。 操作场景 您可以通过云主机创建自定义的Linux镜像，通过创建Linux私有镜像，您可以获得更高度定制化和灵活性，确保应用环境的一致性和可重复性。 本节为您介绍如何通过云主机创建 Linux 私有镜像。 前提条件 已有安装 Linux 操作系统的云主机。 需要确保创建私有镜像所使用的云主机网卡设置为 DHCP 的方式来动态获取网络地址，系统默认满足此配置。 操作步骤 1. 登录控制中心。 2. 单击“左侧导航栏>服务列表”，选择“镜像服务”。 3. 单击“创建私有镜像”。 4. 从弹出的云主机列表中选择相应的Linux云主机。 5. 输入“镜像名称”，单击“下一步”按钮。 6. 检查确认创建私有镜像参数，确认无误后勾选“我已阅读”，单击“确认下单”。 7. 镜像创建时间与镜像文件本身大小有关可能稍慢，当镜像的状态为“正常”时，表示创建完成。

本章节介绍资源及磁盘管理类的常见问题有哪些及解决办法。 创建实例需要多长时间 对于RDS for MySQL和RDS for PostgreSQL实例： 正常情况下，无论是主备实例还是单机实例，创建时间都在57分钟之间。只读实例的创建时间与主实例的数据量有关，数据量越大，创建时间越长。如果是主实例是空实例，创建实例需78分钟。 对于RDS for SQL Server实例： 单机实例创建时间约1215分钟，主备实例创建时间约1518分钟。 如果超过这个时间，创建过程可能存在问题。 占用RDS磁盘空间的日志及文件有哪些 占用关系型数据库实例的磁盘空间的日志及文件如下表： MySQL数据库文件类型 数据库引擎 文件类型 :: MySQL 日志文件：数据库undolog、redolog和Binlog文件。 MySQL 数据文件：数据库内容文件和索引文件。 MySQL 其他文件：ibdata、iblogfile0和临时文件等。 PostgreSQL数据库文件类型 数据库引擎 文件类型 :: PostgreSQL 日志文件：数据库错误日志文件和事务日志文件。 PostgreSQL 数据文件：数据库内容文件、索引文件、复制槽数据文件、事务状态数据文件和数据库配置文件。 PostgreSQL 其他文件：临时文件。 Microsoft SQL Server数据库文件类型 数据库引擎 文件类型 :: Microsoft SQL Server 日志文件：数据库的错误日志、事务日志文件和跟踪文件。 Microsoft SQL Server 数据文件：数据库内容文件。 解决方案 1. 随着业务数据的增加，原来申请的数据库磁盘容量可能会不够用，您需要为关系型数据库实例进行扩容。 2. 针对数据空间过大，可以删除无用的历史表数据进行释放空间（DROP或TRUNCATE操作，如果是执行DELETE操作，需要使用OPTIMIZE TABLE来释放空间）；如果没有可删除的历史数据，需要进行磁盘扩容。 3. 针对大量排序查询导致的临时文件过大，建议进行优化SQL查询。 1. 应用中存在大量的排序查询，产生了大量的临时文件。 2. . 短期内大量增、删、改，产生大量binlog文件占用空间。 3. 由于大量的事务和写入操作产生了大量的binlog日志文件。 4. 云监控服务目前可以监控存储空间的大小、使用量、利用率等，并且设置告警策略。

本文为您介绍巡检记录。 操作场景 在巡检记录模板可以查看历史巡检记录结果，便于您分析资源健康趋势。同时您可以依据巡检建议，及时处置资源问题，提升业务能力。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“智能巡检”下拉菜单，单击“巡检记录”，进入巡检记录页面。 5. 点击展开按钮，可以查看历史巡检记录结果信息。 6. 点击操作建议，可以进入对应帮助文档，查看不同风险项对应处置建议。

本节主要介绍相关术语解释。 使用云容器引擎服务，会涉及到以下基本概念： 集群： 是指容器运行所需云资源的集合，包含了若干台云主机、负载均衡器等云资源。 实例（Pod）： 由相关的一个或多个容器构成一个实例，这些容器共享相同的存储和网络空间。 工作负载： Kubernetes资源对象，用于管理Pod副本的创建、调度以及整个生命周期的自动控制。 Service： 由多个相同配置的实例（Pod）和访问这些实例（Pod）的规则组成的微服务。 Ingress： Ingress是用于将外部HTTP（S）流量路由到服务（Service）的规则集合。 Helm应用 ：Helm是管理Kubernetes应用程序的打包工具，提供了Helm Chart在指定集群内图形化的增删改查。 镜像仓库 ：用于存放Docker镜像，Docker镜像用于部署容器服务。 您在使用前可以了解更多Kubernetes相关知识，具体请参见：<

本节主要介绍功能特性 堆栈管理 堆栈是应用程序、云服务资源的集合。堆栈将应用、云服务作为一个整体来进行创建、升级、删除等。 在AOS中，通过创建堆栈可以把应用程序一键式部署到天翼云上，并有序的管理所依赖的云服务资源。 模板管理 AOS模板是一个YAML或JSON格式的文本描述文件，用于描述您想要的云对象（云对象包括应用、资源、服务等所有云上的对象）。AOS服务根据描述文件帮助您完成各种云对象的创建。 任何一种自动化的过程，都需要一种描述语言来控制其执行流程。 例如，shell脚本（文本文件）描述如何自动执行command命令，AOS模板也一样，用来描述各种云对象的创建、销毁等流程。以Shell脚本为例，其执行逻辑如下： Shell脚本特点大致为： •脚本是一个文本文件。 •若脚本写的好，可以重复执行。 AOS模板也是一样的逻辑，AOS服务就是模板的解释器，根据模板要求，执行对应动作。您可以把AOS看作是云上自动化标准。 一个良好定义输入、编排和输出的模板就会更加的通用。使用这个模板，就可以方便的进行传递和分享。

本节为您介绍云迁移服务CMS异构评估，组件评估报表整合查看。 云迁移服务CMS提供组件评估报表整合查看功能，您可以在[组件评估报表整合]界面查看任务信息，如任务编号、任务名称、源端类型、目标端区域、备注、创建时间、操作等信息，如图所示。

Kafka Manager是开源的Kafka集群管理工具，需要通过浏览器才能访问Kafka Manager的地址。在Kafka Manager页面，您可以查看Kafka集群的监控、节点等信息。 前提条件 已正确配置安全组。 登录Kafka Manager 创建一台与Kafka专享实例相同VPC和相同安全组的Windows服务器。 获取Kafka Manager地址。 在实例详情信息页面，获取Kafka Manager的地址。 在浏览器中输入Kafka Manager的地址，进入Kafka Manager登录页面。 输入创建实例时设置的Kafka Manager用户名和密码，即可管理Kafka集群。 查看Kafka Manager 在进入Kafka Manger集群管理页面后，您可以查看Kafka集群的监控、节点等信息。 集群信息页 单击Clusters中的集群列表，即可进入集群信息页。如图所示。 − 图中①区域表示功能导航栏 Cluster: 集群，统计集群列表和集群详情。 Brokers: 节点，统计当前集群中各节点的状态信息。 Topic: 队列，统计当前集群中的kafka队列。 Preferred Replica Election: 强制进行一次队列leader的最优选举（不建议用户操作）。 Reassign Partitions: 进行分区副本的重分配（不建议用户操作）。 Consumers: 统计集群中的消费组状态。 − 图中②区域表示集群信息统计，包含集群的Topic数和集群的节点数。 集群信息页 集群所有节点统计页 单击功能导航栏中的Brokers，即可进入节点统计页。如图54所示。 − 图中①区域节点列表，包含总的字节流入和字节流出。 − 图中②集群监控信息。 所有节点统计页 具体节点统计页 单击id列表中具体的Broker，即可查看对应节点的统计信息。如图55所示。 − 图中①区域表示对应节点总的统计信息，包括队列数、分区数、分区leader数、消息速率占比、写入字节占比以及流出字节占比。 − 图中②区域表示节点监控信息。 具体Broker信息 查看实例的Topic 在导航栏选择Topic，并在下拉列表中选择List。页面如图56所示，展示了队列列表以及分区数等。 列表中以“”开头的队列为内部队列，严禁操作，否则可能导致业务问题。 查看实例的Topic 队列详情页 单击具体的Topic名称，进入如图57所示页面。 − 图中①区域表示队列基本信息，包括副本数(Replication)，分区数(Number of Partitions)，消息数(Sum of partition offsets)等。 − 图中②区域表示节点与队列分区的对应关系。 − 图中③区域表示该队列的消费组列表。单击消费组名称可进入该消费组的详情页。 − 图中④区域表示队列的配置信息。详情参考kafka队列官方配置文档(

参数 参数类型 说明 示例 下级对象 service String 产品服务 ecs dimension String 产品维度 ecs serviceDesc String 产品服务描述 云主机 dimensionDesc String 产品维度描述 云主机 count Integer 告警次数 10

参数 参数类型 说明 示例 下级对象 appDeployUuid String 应用实例uuid appDeployCode String 应用实例名称 appUuid String 应用uuid appName String 应用名称 envUuid String 环境uuid clusterUuid String 集群uuid clusterNamespace String 集群命名空间 techStackUuid String 技术栈uuid techStackVersion String 技术栈版本 techArch String 技术栈 deployUnitList Array of Strings 部署单元列表 appDeployInstVersionUuid String 应用实例版本uuid version String 应用实例版本 comment String 应用实例版本名称 type String 应用类型 packageSource String 制品来源 packageName String 制品名称 packageVer String 制品版本 dockerfileContent String dockerfile instanceId String 镜像服务实例id namespace String 镜像服务实例命名空间 repositoryId String 镜像服务实例仓库ID imageUrl String 镜像地址 imageName String 镜像名称 imageVer String 镜像版本 imageType String 镜像仓库类型 imageSecret String 镜像密钥 crType String 镜像仓库 crConnectionUuid String 服务连接CR类型connectionUuid ecsIds Array of Strings ECS uuid replicas Integer 应用实例pod数 runtimeEnvCode String 运行环境code runtimeEnvVer String 运行环境版本 activateMsgc Boolean 是否接入微服务治理中心 activateApm Boolean 是否接入应用性能监控 csmEnable Boolean 是否接入服务网格 source String 来源 epProjectId String 企业项目id imagePlatform String 镜像架构 appGroupUuid String 应用分组uuid msManagement Object 微服务治理 msManagement istioService Object 服务网格 istioService flowPrevention Object 限流降级 flowPrevention podResourceSpec Object Pod资源 podResourceSpec startCommand Object 启动命令 startCommand envVariableList Array of Objects 环境变量 envVariableList localStorage Object 本地存储 localStorage schedulingRule Object 调度规则 schedulingRule lifeCycleMgt Object 应用生命周期管理 lifeCycleMgt logConfigList Array of Objects 日志收集管理 logConfigList configMgtList Array of Objects 配置管理 configMgtList dnsConfigMgt Object DNS配置 dnsConfigMgt labelList Array of Objects 标签（Label）配置 labelList tomcatConfig Object Tomcat配置 tomcatConfig javaStartUpConfig Object Java启动参数配置 javaStartUpConfig annotationList Array of Objects 注解（Annotation）配置 annotationList sidecars Array of Objects Sidecar配置 sidecarAndInitContainer initContainers Array of Objects InitContainer配置 sidecarAndInitContainer pvcMountDescs Array of Objects PVC挂载 pvcMountDescs pvcTemplates Array of Objects PVC模板 pvcTemplates

本节介绍某公司权限设计及配置最佳实践。 概述 为方便企业中的管理人员对集群中的资源权限进行管理，分布式容器云平台提供了多种维度的细粒度权限策略和管理方式。分布式容器云平台的权限管理包括「统一身份认证服务（IAM）授权」和「Kubernetes RBAC授权」两种能力。IAM授权与Kubernetes RBAC授权，两者是完全独立的，互不影响，但要配合使用。具体解释如下： 统一身份认证服务（IAM）授权：是基于IAM策略的授权，可以让用户拥有集群管理、联邦管理、舰队管理等操作权限。 Kubernetes RBAC授权：集群中Kubernetes资源权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。 假设A公司在分布式容器云平台管理多集群，公司中有多个职能团队，分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用统一身份认证服务（IAM）与Kubernetes RBAC授权的权限管理，可以实现精细化授权的目标。 权限设计 下面我们以一个公司为例进行介绍。通常一个公司中有多个部门或项目，每个部门又有多个成员，所以在配置权限前需要先进行详细设计，并在设置权限之前提前为每个成员创建用户名，便于后续对用户进行用户组归属和权限设置。 下图为某公司某部门的结构示意图，我们将按照该设计对每个角色的权限设置进行演示。

本文为您介绍在本地客户端通过FTP上传文件时,写入文件或者传输文件失败的问题处理方法。 故障描述 使用FTP上传文件时，写入文件或者传输文件失败。 约束与限制 本文档适用于服务端为Windows系统上的FTP服务。 故障原因 弹性公网IP与内网IP是通过NAT方式绑定的，因此本地访问弹性云主机时，客户端是通过被动模式连接服务端的，在这种情况下，服务端的IP地址无法从路由器外部访问，所以需要在服务端的对外IP中填写此弹性云主机分配的公网IP，同时设置数据传输端口范围来限制需要通过路由器转发的端口数量。 解决步骤 1. 检查FTP服务的地址是否填写正确 点击“ 服务器管理器 > 工具 > Internet Information Services(IIS)管理器” ，然后选择左边栏点击“ 网站” 。首先查看建立的FTP绑定的IP是否填写的是内网IP，类型为FTP。 图1 查看FTP所绑定的IP 2. 检查服务端的FTP防火墙支持配置 展开“ 网站” ，会显示建立的FTP服务，双击右侧的FTP防火墙支持。 图2 FTP防火墙支持 数据通道端口范围需要填写102465535范围内的，比如2000020045。 防火墙的外部IP地址这一栏需要填写分配到的 公网IP 。 3. 检查安全组设置 点击“ 控制中心 > 服务列表 > 弹性云主机” ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择“ 安全组” ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和上面配置的数据通道端口这两条。 图3 安全组配置 4. 在客户端测试 一种方法是使用FileZilla填写弹性云主机的公网ip，FTP的用户名和密码，端口填写21。 另一种方法是访问ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入FTP的用户名和密码。

本文介绍DNAT规则的添加、查看、修改和删除。 添加DNAT规则 私网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对外提供服务。 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个中转IP。如果您有多个云主机或一个主机的多个端口需要为互联网提供服务，则需要创建多条DNAT规则。 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 点击需要添加规则的私网NAT网关名称，进入私网NAT网关详情页，点击DNAT规则标签页，在标签页中点击添加DNAT规则。 3. 根据弹出界面提示，配置DNAT规则的基本信息，配置参数如表所示 参数 参数说明 中转IP 用于私网用户进行服务访问的目的IP。 类型 选择VPC内主机或网卡：选择现有子网内云主机，选择云主机的网卡，使外部用户能够通过DNAT方式访问云主机中的应用。手动输入自定义地址：填写某个主机地址（部分资源池支持）。 选择服务器（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内部云主机。 网卡（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内网IP。 内网地址（仅在选择手动输入自定义地址时） 自定义主机地址（部分资源池支持）。 中转端口 外部公网用户访问服务的端口。支持端口范围1~65535。 内网端口 应用在内部提供服务使用的端口，端口范围1~65535。 支持协议 TCP、UDP协议。 描述 DNAT规则信息描述。 4. 设置好对应参数后，点击“确定”，等待DNAT规则变为运行中，即完成DNAT规则的创建。

检查Pod的配置 1、登录控制台 2、在控制台左侧导航栏，单击集群 3、在集群列表页面，单击目标集群名称或者目标集群右侧操作列下的详情 4、在集群管理页左侧导航栏，选择工作负载 > 容器组 5、在容器组页面左上角选择Pod所在的命名空间，然后单击目标Pod名称或者目标Pod右侧操作列下的详情 6、在Pod详情页面右上角单击编辑，查看Pod的YAML文件和详细配置 检查Pod的事件 1、登录控制台 2、在控制台左侧导航栏，单击集群运维管理事件中心 3、在时间列表页面选择查询选项，类型选择为pod，选择命名空间和名称选项 4、点击查询按钮查看pod事件 检查Pod的日志 1、登录控制台 2、在控制台左侧导航栏，单击集群运维管理日志中心 3、日志中心需要使用ctglogoperator插件支持，若未安装插件，根据页面提示安装ctglogoperator插件 4、在日志中心页面，切换到应用日志标签页，依次选择命名空间、负载类型、负载名称、开始结束时间，然后点击搜索按钮查看Pod的日志 检查Pod的监控 1、登录控制台 2、在控制台左侧导航栏，单击集群运维管理监控 3、监控功能需要使用ccsemonitor插件支持，若未安装插件，根据页面提示安装ccsemonitor插件 4、在集群健康页面，选择查看Pod的CPU、内存、网络I/O等监控大盘

步骤4：添加主机管理 说明 每台待添加的主机需安装JDK环境。 每台待添加的主机需创建好用户，如teledb。 每台待添加的主机需对环境进行初始化。可参考准备工作章节对环境进行初始化。 1. 在左侧导航树中选择资源管理 > 主机管理，进入主机管理页面。 2. 单击添加主机 ，出现添加主机弹框。 3. 填写IP地址 、 SSH端口 、 SSH用户名 、 SSH用户密码 、 监控插件端口 、 监控插件部署目录 ，CPU类型 和操作系统等必填信息。 IP地址：部署规划的实例主机ip。 SSH端口：填写SSH端口。 SSH用户名：根据您创建的用户名填写。填写机器的用户名 不要用root账号，需使用有sudo权限的账号。 SSH密码：根据您设置的密码填写。 监控插件端口：端口不能被占用，如占用需更换端口。 监控插件部署目录：系统默认自动填写，无需修改。 CPU类型：请选择您的实际使用的类型。 操作系统类型：请选择您实际使用的类型。 4. 单击测试联通及硬件检测 ，出现绿色标识，单击确定，完成主机的添加。 步骤5：添加VIP 1. 在左侧导航树选择 资源管理> VIP管理 ，进入VIP管理页面。 2. 单击添加VIP ，弹出添加VIP弹框。 3. 填写IP类型 、IP地址 ，单击确定，完成VIP的添加。

本文为您介绍统一身份认证IAM。 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“第2步：创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。云硬盘备份VBS相关的系统策略包含如下： VBS Admin：云硬盘备份服务的管理者权限，包含云硬盘备份所有控制权限（不含订单类权限）； VBS Viewer：云硬盘备份服务的观察者权限，包含云硬盘备份服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“[第2步：创建自定义策略](

使用ISO镜像创建Windows云主机 操作场景 该任务指导用户使用已注册成功的ISO镜像创建弹性云主机。 约束与限制 暂不支持专属云用户通过ISO镜像创建弹性云主机。 操作步骤 1、登录控制台。 a.登录控制台。 b.选择“镜像服务”。 进入镜像服务页面。 2、创建弹性云主机。 a.单击“私有镜像”页签，在ISO镜像所在行的“操作”列下，单击“申请主机”，创建云主机。 由于此云主机仅作为临时云主机使用，最终需要删除。因此，系统会默认创建一个固定规格且“按需付费”的云主机，使用该云主机创建的私有镜像再次创建云主机时不会限制规格和付费方式。 说明： 对于专属云用户，不支持使用ISO镜像创建临时云主机操作，此时“申请主机”按钮灰化。 b.根据界面提示完成云主机的配置，并单击“确定”。 后续操作 弹性云主机创建成功后，使用平台提供的“远程登录”方式，登录弹性云主机，继续执行后续的安装操作系统和相关驱动操作。 安装Windows操作系统和VMTools驱动和配置云主机并创建Windows系统盘镜像 操作场景 该任务以“Windows Server 2008 R2 64位”操作系统为例，指导用户安装Windows操作系统。 由于镜像文件不同，安装步骤稍有不同，请根据实际的安装界面提示进行操作。 说明： 请根据实际情况完成时区、KMS地址、补丁服务器、输入法、语言等相关配置。 前提条件 已使用平台提供的“远程登录”方式（即VNC登录），连接云主机并进入安装界面。

AntiDDoS流量清洗操作类问题 退订或删除云主机后，AntiDDoS流量清洗服务还在吗？ 退订或删除云主机后，AntiDDoS流量清洗服务将随之自动删除。

天翼云为您提供安全的弹性云主机产品，通过多种技术手段来保障您的主机安全。但是如果云主机没有进行相应的安全设置，仍然可能收到外部的攻击或者遭到病毒入侵。 您可以从以下方面对云主机进行保护：提高账号安全、提高主机密码安全、使用密钥对、使用云监控、备份云主机、配置访问策略、定期升级操作系统。 详细内容参见提升云主机安全的方法。

本文介绍文档数据库服务的使用限制说明。 为了提高实例的稳定性和安全性，文档数据库服务在使用上有一些固定限制。 操作 使用限制 :: 连接DDS实例 通过内网连接DDS实例时，需要为已准备的弹性云主机绑定弹性IP，并确保实例与该弹性云主机在同一个区域、可用区、虚拟私有云子网内。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 部署 实例所部署的弹性云主机，对用户不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的rwuser权限 创建实例页面只提供管理员帐户rwuser权限。 该权限下用户需要关注的命令请参见[]( 5.12%E6%94%AF%E6%8C%81%E4%B8%8E%E9%99%90%E5%88%B6%E7%9A%84%E5%91%BD%E4%BB%A4)支持与限制的命令。 配置数据库参数 用户创建的参数组中大部分数据库参数可以修改，具体请参见编辑参数组。 数据迁移 可以通过命令行工具和数据复制服务迁移数据，具体请参见数据迁移[](

本文主要介绍应用性能管理 统一身份认证服务（Identity and Access Management，以下简称IAM）实现用户认证信息的集中管理。用户可以管理自己的已验证邮箱、已验证手机、密码等信息。当用户在调用API接口申请云服务器或进行云资源管理以及使用多租户方式登录云平台时，也可实时查询所需的项目ID、访问密钥（AK/SK）以及帐户名。 通过云审计服务，您可以记录与统一身份认证服务相关的操作事件，便于日后的查询、审计和回溯。 注：统一身份认证服务属全局级服务，各二类节点统一身份认证的相关操作事件请在贵州资源池查看和操作。 表 云审计服务支持的IAM操作列表 操作名称 资源类型 事件名称 用户登录 user login 用户登出 user logout 登录重置密码 user changePassword 创建用户 user createUser 删除用户 user deleteUser 修改用户 user updateUser 创建用户组 userGroup createUserGroup 删除用户组 userGroup deleteUserGroup 修改用户组 userGroup updateUserGroup 创建idp identityProvider createIdentityProvider 删除idp identityProvider deleteIdentityProvider 修改idp identityProvider updateIdentityProvider 更新metadata identityProvider updateMetadata 更新帐号登录策略 domain updateSecurityPolicies 更新密码策略 domain updatePasswordPolicies 更新ACL domain updateACLPolicies 更新安全警告策略 domain updateWarningPolicies 创建AK/SK user addCredential 删除 AK/SK user deleteCredential 修改邮箱 user modifyUserEmail 修改手机 user modifyUserMobile 修改密码 user modifyUserPassword 登录开启双因子认证 user modifySMVerify 上传头像 user modifyUserPicture 创建信任 agency createAgency 删除信任 agency deleteAgency 修改信任信息 agency updateAgency 修改latch user modifyLatchVerify 修改mc user modifyMCConnectVerify 管理员设置用户密码 user setPasswordByAdmin 切换角色 user switchRole

威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知（专业版）来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 事件 事件是一个广泛的概念，可以包括告警，但不限于此，它可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 告警 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便能够迅速响应并采取措施解决问题。 当态势感知（专业版）检测到的云资源中存在的异常情况（例如，某个恶意IP对资产攻击、资产已被入侵等）时，将以告警的形式将威胁信息展示在态势感知（专业版）告警管理界面中。

云原生网关触发器 云原生网关触发器能够让您网关的流量转向云工作流，能够支持更丰富的请求配置，如请求方法、请求头、请求参数等 前提条件 已创建工作流。 已创建云原生网关。 已创建函数计算服务的终端节点（VPCE）。 创建步骤请查看创建VPCE，其中”虚拟私有云“选择云原生网关所属的VPC，”服务“选择函数计算服务cn.ctyun.cnhuadong1.faas 函数计算服务在各资源池的名称（cn.ctyun.cnhuadong1.faas ）可能有差别，选择后缀为faas的即可，上述示例是在华东一资源池的名称 触发消息格式 通过云原生网关请求访问工作流时，仅会把请求中的body部分作为工作流的输入，数据类型必须为JSON格式。而header和queryparams等其余请求信息会被丢弃。 操作步骤 1. 登录工作流控制台，点击目标工作流，进入工作流详情详情。 2. 在配置选项卡中，选择左边的 工作流调度 选项卡。 3. 点击 创建工作流调度 ，在弹出的右抽屉中选择 云原生网关触发器，配置参数解释如下表。 配置项 操作说明 示例 触发器类型 选择云原生触发器。 云原生触发器 名称 填写自定义的触发器名称。 cgwtrigger 网关实例 选择已创建的云原生网关实例。 域名 选择网关实例已关联的域名。 mydomain.com 匹配路径 匹配请求的path（不含query参数），当前支持前缀匹配和精确匹配。末尾使用''代表使用前缀匹配。 /my/path 请求方法 匹配请求中的HTTP方法，可多选，不选则匹配所有HTTP方法 优先级 当多个路由同时匹配一个请求时，路径匹配深度较大的路由优先；路径匹配相同的情况下，路由优先级高（数字大）的优先匹配。 0 请求头 匹配请求中的HTTP header。 请求参数 匹配请求中的HTTP query参数。 触发器启用状态 创建触发器后是否立即启用。默认选择开启，即创建触发器后立即启用触发器。 启用

本文汇总了使用并行文件服务HPFS产品时常见的管理类问题。 并行文件服务支持挂载物理机还是云主机? HPFS 在不同资源池支持的协议类型不同，支持通过协议服务NFS挂载云主机，HPFSPOSIX协议直接挂载物理机。 详细的资源池支持的协议类型可以通过产品能力地图查看。 如何访问文件系统？云外可以访问吗？ 文件系统可以通过以下几种方式进行访问： 用户使用云管Console访问文件存储（NFS、HPFSPOSIX） 云内通过内网访问文件存储（NFS、HPFSPOSIX） 文件系统可以跨VPC访问吗？ 可以。单文件系统可添加20个VPC，文件系统可创建多个协议服务，绑定不同主机所属的VPC，即可进行跨VPC访问。 您可以通过准备工作开始，完成使用并行文件系统的环境准备工作，也可以通过创建虚拟私有云VPC和创建协议服务直接了解VPC的相关操作。 文件系统的删除/退订按钮为什么无法点击？ 如果您创建的并行文件系统出现删除或退订的时候，无法点击的情况，您可以尝试先删除文件系统数据流动、协议服务等相关资源，再进行删除或退订操作。 如有其他疑问，可以通过点击右上角【我的>工单管理>新建工单】进行咨询。 单个用户可开通的文件存储配额默认是100T，如何申请增加容量配额？ 1. 登录天翼云官网，点击右上角【我的>工单管理>新建工单】。 2. 在“配额类”点击【提问】，进入配额相关页面，点击【配额申请】按页面要求填写工单信息即可。

本文主要介绍Cloudinit。 Cloudinit Cloudinit是开源的云初始化程序，能够对新创建弹性云主机中指定的自定义信息（主机名、密钥和用户数据等）进行初始化配置。 通过Cloudinit进行弹性云主机的初始化配置，将对您使用弹性云主机、镜像服务和弹性伸缩产生影响。 对镜像服务的影响 为了保证使用私有镜像新创建的弹性云主机可以自定义配置，您需要在创建私有镜像前先安装Cloudinit/Cloudbaseinit。 如果是Windows操作系统，需下载并安装Cloudbaseinit。 如果是Linux操作系统，需下载并安装Cloudinit。 在镜像上安装Cloudinit/Cloudbaseinit后，即可在创建弹性云主机时，按照用户的需要自动设置弹性云主机的初始属性。 更多关于安装的信息，请参见《镜像服务用户指南》。 对弹性云主机的影响 在创建弹性云主机时，如果选择的镜像支持Cloudinit特性，此时，您可以通过系统提供的“用户数据注入”功能，注入初始化自定义信息（例如为弹性云主机设置登录密码），完成弹性云主机的初始化配置。具体操作，请参见用户数据注入。 对于运行中的弹性云主机，支持Cloudinit特性后，用户可以通过查询、使用元数据，对正在运行的弹性云主机进行配置和管理。更多信息，请参见元数据获取。 对弹性伸缩的影响 创建伸缩配置时，您可以使用“用户数据注入”功能，指定弹性云主机的初始化自定义信息。如果伸缩组使用了该伸缩配置，则伸缩组新创建的弹性云主机会自动完成初始化配置。 对于已有的伸缩配置，如果其私有镜像没有安装Cloudinit/Cloudbaseinit，则使用该伸缩配置的伸缩组创建的弹性云主机在登录时会受到影响。

本节介绍了专属云（存储独享型）的开通步骤。 专属云（存储独享型）产品不同于其他服务，用户需要先申请开通专属云访问权限后，才能申请存储池。 1、登录天翼云控制中心，切换节点； 2、单击“控制中心” ，选择【专属云】； 3、在申请页面查看申请流程。请与您的专属客户经理确定您的专属云开通需求，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询； 4、与客户经理沟通需求后，客户经理根据具体需求输出专属云部署方案。 5、由客户经理协助客户提交工单，做专属云服务开通和物理服务器发货。 6、待物理服务器到位后，专属云资源将在2天内完成开通。

通过SSH客户端运维上传/下载失败 问题现象 在Xshell客户端上，登录云堡垒机运维SSH协议主机资源，不能正常调用Xftp客户端传输文件。 可能原因 云堡垒机SSH客户端运维限制调用工具进行文件传输，即SSH客户端运维不支持文件传输功能和审计传输的文件。 解决办法 重新配置一个同“主机地址”的FTP/SFTP协议主机资源，通过FTP/SFTP客户端运维进行文件传输。 例如，配置SFTP协议主机资源并授权访问控制权限后，直接在Xftp客户端上，登录云堡垒机运维配置的主机资源，即可实现上传/下载文件。 通过Web运维SSH协议主机资源，实现上传/下载文件操作。 通过Web浏览器运维，提示不支持文件传输怎么办？ 问题现象 通过Web浏览器登录Linux主机资源，选择“文件传输”页签，提示“当前主机不支持文件传输功能”，无法查看文件目录。 可能原因 Linux主机systemdlogind服务异常，影响SSH服务正常使用，导致文件传输功能不能被识别。 解决办法 步骤 1 检查SSH服务是否正常。 在运维会话窗口，执行systemctl status sshd.service命令，查看服务状态。 若回显信息如下，则为systemdlogind服务异常，请执行2。 plaintext pamsystemd sshd:session:Failed to create session :Activation of org...... 若回显其他信息，请联系技术支持。 步骤 2 重启Linux主机systemdlogind服务。 在运维会话窗口，执行systemctl restart systemdlogind.service命令，重启登录服务。 步骤 3 重启Linux主机SSH服务。 在运维会话窗口，执行如下命令，重启SSH服务。 plaintext CentOS 6 service sshd restart CentOS 7 systemctl restart sshd 步骤 4 退出登录，重新通过云堡垒机登录Linux主机资源，打开运维会话窗口。 通过Web浏览器运维，单击“文件传输”加载不出文件列表怎么办？

本章节主要介绍云搜索服务（ES）的购买流程。 1.注册天翼云官网账号，登录后进入官网首页； 2.在官网首页，单击左上角“产品”，【大数据>云搜索服务】； 3.在【云搜索服务】界面，单击【立即开通】； 4.在云搜索服务集群创建页面选择计费模式、订购周期、当前区域（即资源池）、可用区、集群类型、集群版本、集群名称、节点规格等基础配置信息后，按提示进入“网络配置”、“高级配置”页面并根据需要进行配置，最后单击【立即创建】； 基础配置 网络配置 高级配置 5.按页面提示，勾选相关协议，进入支付页面完成付款。

本文介绍为通过应用托管应用市场体验OpenClaw的使用说明。 前置说明 1.该文档为通过应用托管应用市场体验OpenClaw的说明。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

本文介绍OpenClaw(原 Clawdbot)更改厂商模型配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw更改厂商模型配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

本节介绍了如何查看云数据库GaussDB 的追踪事件。 操作场景 在您开通了云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤 3 事件列表支持通过筛选来查询对应的操作事件。详细信息如下： 事件来源、资源类型和筛选类型：在下拉框中选择查询条件。其中筛选类型选择资源ID时，还需选择或者手动输入某个具体的资源ID。 操作用户：在下拉框中选择某一具体的操作用户。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可通过选择时间段查询操作事件。 步骤 4 选择查询条件后，单击“查询”。 步骤 5 在需要查看的记录左侧，单击展开该记录的详细信息。 步骤 6 在需要查看的记录右侧，单击“查看事件”，在弹出框中显示该操作事件结构的详细信息。 步骤 7 单击右侧的“导出”，将查询结果以CSV格式的文件导出，该CSV文件包含了云审计服务记录的七天以内的操作事件的所有信息。 关于事件结构的关键字段详解，请参见《云审计服务用户指南》的“事件结构”和“事件样例”章节。

添加DNAT规则 公网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对互联网提供服务。 注意 云主机/物理机使用公网NAT网关配置DNAT规则时，不建议云主机/物理机同时绑定公网IP，以免造成流量出入方向走到不同的路径。 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个EIP。如果您有多个云主机或一个主机的多个端口需要为互联网提供服务，则需要创建多条DNAT规则。 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>公网NAT网关”，进入公网NAT网关页面。 2. 点击需要添加规则的公网NAT网关名称，进入公网NAT网关详情页，点击DNAT标签页，在标签页中点击添加DNAT规则。 3. 根据弹出界面提示，配置DNAT规则的基本信息，配置参数如表所示： 参数 参数说明 弹性IP 用于外部公网用户进行服务访问的目的IP。 类型 选择VPC内主机或网卡：选择现有子网内云主机，选择云主机的网卡，使外部用户能够通过DNAT方式访问云主机中的应用。手动输入自定义地址：填写某个主机地址（部分资源池支持）。 云主机（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内部云主机。 网卡（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内网IP。 内网地址（仅在选择手动输入自定义地址时） 自定义主机地址（部分资源池支持）。 端口设置 具体端口：支持设置单个端口和端口段，设置端口段时公网端口段和内网端口段的数量必须一致；任意端口：任意端口属于IP映射，任何访问该弹性公网IP的请求都将转发到目标主机实例上，目标主机实例也可以使用该弹性公网IP主动访问公网。 公网端口 外部公网用户访问服务的端口，端口范围1~65535。部分资源池端口范围在1到1024之间，具体以控制台为准。 内网端口 应用在内部提供服务使用的端口，端口范围1~65535。 支持协议 TCP、UDP协议。 描述 DNAT规则信息描述。 4. 设置好对应参数后，点击“确定”，等待DNAT规则变为运行中，即完成DNAT规则的创建。