资源 资源说明 成本说明 弹性云主机 计费模式：按需计费 规格：s6.large.2 镜像：Ubuntu 20.04 64bit 系统盘：40G 弹性公网IP：自动分配 公网带宽：按流量计费 带宽大小：5 Mbit/s ECS涉及以下几项费用： 云主机 云硬盘 弹性公网IP Nginx 是一个高性能的HTTP和反向代理web服务器。 免费 MySQL 是一款开源的关系数据库软件。 免费 PHP 是一款开源软件，用于Web开发。 免费

本文主要介绍超高IO型的使用须知 超高I/O型弹性云主机当前支持如下版本的操作系统： CentOS 7.2 CentOS 7.3 Ubuntu Server 16.04 Debian 8.6 建议使用Ubuntu Server 16.04操作系统。 超高I/O型弹性云主机所在的物理机发生故障时，不支持弹性云主机的迁移。部分宿主机硬件故障或亚健康场景，需要用户配合关闭ECS完成宿主机硬件维修动作。 因系统维护或硬件故障等，HA重新部署ECS实例后，实例会冷迁移到其他宿主机，本地盘数据不保留。 超高I/O型弹性云主机不支持规格变更。 超高I/O型弹性云主机不支持本地盘的快照和备份。 可使用本地盘和云硬盘两类磁盘存储数据，通过挂载云硬盘，可以提供更大的存储空间。关于本地盘和云硬盘的使用，有如下约束与限制： 系统盘只能部署在云硬盘上，不可以部署在本地盘上。 数据盘可以部署在云硬盘和本地盘上。 最多可以挂载60块盘（包括VBD盘+SCSI盘+本地盘）。 您可以通过配置fstab文件，设置云主机系统启动时自动挂载磁盘分区。具体操作请参见设置开机自动挂载磁盘分区。 超高I/O型弹性云主机的本地磁盘数据有丢失的风险（比如宿主机宕机或本地磁盘损坏时），如果您的应用不能做到数据可靠性的架构，我们强烈建议您使用云硬盘搭建您的弹性云主机。 删除超高I/O型弹性云主机后，本地NVMe SSD盘中的数据会被自动清除，请提前做好数据备份。删除本地盘数据的时间较长，因此，资源释放的时间较之常规云主机略长。 由于本地盘数据的可靠性取决于物理服务器和硬盘的可靠性，存在单点故障风险，建议您在应用层做好数据冗余，以保证数据的可用性，需要长期保存的业务数据建议使用云硬盘存储。 超高I/O型弹性云主机的本地盘设备名为/dev/nvme0n1、/dev/nvme0n2等。 Ir3型弹性云主机的本地盘为拆分型本地盘，一块本地盘可能被多个弹性云主机使用。当本地盘损坏时，会影响多个弹性云主机。 建议您在创建Ir3型弹性云主机时，将弹性云主机加入云主机组，避免出现一块本地盘损坏影响多个弹性云主机的情况。具体操作请参见管理弹性云主机组。 对于超高I/O型弹性云主机，关机后其基础资源（包括vCPU、内存）会继续收费。如需停止计费，需删除弹性云主机。

接口功能介绍 获取安装Agent脚本信息。 接口约束 已经签约服务器安全卫士 URI GET /v1/host/getAgentKey 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 bgGroupId 否 String 业务分组id proxyAddress 否 String 代理地址ip accessPoint 否 String 接入点地址id 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 v32 String 公有云云内主机Linux安装命令 bash v64 String 公有云云内主机Linux安装命令 bash win String 公有云云内主机Windows安装命令 powershell localWin String 公有云云外资产Windows安装命令 powershell localLinux String 公有云云外资产Linux安装命令 bash

本章节介绍Spring Cloud应用的服务列表和服务详情 概述 您可以通过微服务云应用平台查询部署的Spring Cloud应用的服务列表和服务详情。 查看服务列表 在左侧导航栏， Spring Cloud治理 > 服务查询。查看当前账号下的Spring Cloud服务。Spring Cloud服务支持查看服务名、应用名和实例数。如果服务较多，可以通过环境、服务名、应用名进行筛选或搜索，服务名和应用名大小写不敏感。 查看服务详情 在服务查询页面，单击服务名称查看服务的详细信息。服务详情面板包含基本信息、服务调用关系和元数据。 1. 基本信息 2. 服务调用关系 3. 元数据

本文带您快速熟悉开启获取客户端IP的操作步骤。 操作场景 HTTP请求和应答会在头字段携带一些信息，除了RFC 2616中定义的标准的HTTP头字段，还有一些非标准的HTTP标头可供应用程序自动添加和使用。 所有资源池均支持非标准的头字段XForwardedFor，创建监听时，XForwardedFor头字段可以获取来访者客户端IP地址。 如果您想要获取客户端的真实IP，您可以开启“获取客户端IP”功能。 注意 在四层转发TCP服务中，集群模式资源池和主备模式资源池支持通过配置TOA插件、Proxy protocol获取客户端真实源IP，具体可参考 实际情况以控制台展现为准。 在七层转发（HTTP/HTTPS）服务中，弹性负载均衡支持通过HTTP头中的XForwardedFor获取来访者真实IP。本文以下主要说明在七层转发（HTTP/HTTPS）服务中获取客户端IP的方式。 在创建监听器时开启获取客户端IP 操作步骤 1. 登录弹性负载均衡控制台。 2. 打开监听器配置向导，在负载均衡器实例页面添加监听器。 3. 在协议&监听器页面，负载均衡器协议/端口选择HTTP/HTTPS协议。 4. 开启获取客户端IP选项；开启后默认通过XForwardFor获取。 5. 点击“下一步”，按照监听器创建后端主机组的配置添加云主机，然后点击“下一步”进行负载方式&健康检查配置，并点击“立即创建‘则完成相关配置。 为已创建的监听器开启获取客户端IP

本节主要介绍配置监控面板。 监控面板为您提供自定义查看监控数据的功能，将您关注的监控指标集中呈现在一张监控面板里，为您定制一个立体化的监控平台。 页面主要介绍如何为GeminiDB Redis配置监控面板的方法。 操作步骤 1、登录管理控制台。 2、在服务列表中，单击“云监控服务CES”，进入云监控服务页面。 3、 创建监控面板。 1. 在“总览 > 监控面板”区域右侧，单击“创建监控面板”。 2. 在“创建监控面板”弹出框中配置参数。 表参数说明 参数名称 说明 名称 表示监控面板名称，该参数只能由中文、英文字母、数字、下划线、中划线组成，且长度不超过128。 企业项目 将监控面板关联给到某个企业项目时，只有拥有该企业项目权限的用户才可以查看和管理该监控面板。 说明 企业项目仅在部分区域上线。 3. 单击“确定”，完成创建监控面板。 4、为监控面板添加监控视图。 在完成监控面板的创建后，您就可以添加监控视图对GeminiDB Redis实例进行监控。 1. 选择“总览 > 监控面板”，切换到需要添加监控视图的监控面板，然后单击“添加监控视图”。 2. 在“添加监控视图”界面，参照表完成参数配置。 表参数说明 参数名称 说明 标题 自定义关注指标组件的标题名称，该名称只能由中文、英文字母、数字、下划线、中划线组成，长度限制为128字节。例如：CPU利用率 企业项目 监控视图关联的企业项目，只有有企业项目的权限，才有权查看此监控视图的监控数据。 资源类型 所关注指标对应的服务名称。此处请选择“云数据库GeminiDB”。 维度 所关注指标的维度名称。此处请选择“RedisRedis节点”。 监控对象 所关注指标对应的监控对象。此处建议勾选需要监控的GeminiDB Redis实例下的所有节点。 监控指标 所关注指标的名称。此处推荐设置如下常用监控指标： 磁盘利用率（整个实例级） 用于监控GeminiDB Redis实例容量使用情况。如果磁盘利用率>80%时，建议及时进行扩容磁盘。 CPU、内存利用率（节点级） 用于监控GeminiDB Redis实例各节点计算资源的使用情况。如果CPU利用率或者内存利用率>80%时，建议及时添加节点或变更实例的CPU和内存规格。 proxy执行所有命令的速率（节点级） 用于监控GeminiDB Redis实例各节点执行命令的QPS。 proxy执行所有命令的平均、p99时延（节点级） 用于监控GeminiDB Redis实例各节点执行命令的平均时延、p99时延。更多监控指标信息请参见 GeminiDB Redis支持的监控指标。 注意 添加监控视图时，建议每次仅添加一个监控指标，这样每个监控指标就可以独立生成一个监控视图，方便您观察和分析监控数据。如果您需要添加多个监控指标，可通过多次添加监控视图来添加对应监控指标。 3. 单击“下一步：配置图例名称”。 图例名称是显示在监控视图指标变化曲线上的名称，您可以自定义图例名称。 您可以选择不配置图例名称，那么系统默认展示：监控对象(资源类型) 监控指标: 数据。 4. 单击“确定”，完成监控视图的添加。 在所选的监控面板上可以查看新添加监控视图的监控走势图，单击，可放大查看详细的指标对比数据。

前提条件 已获取“主机运维”模块管理权限。 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常，且资源账户登录帐号和密码无误。 操作步骤 1 登录云堡垒机系统 2 选择“运维 > 主机运维”，进入主机运维列表页面。 3 单击“登录”，登录会话进行操作。 RDP/VNC协议类型主机会话窗口 SSH/TELNET协议类型主机会话窗口 4 通过协同分享，可邀请同事参与此会话，一同参与操作，详细说明请参见10.1.8 协同分享。 单击“协同分享”，展开协同会话界面。 邀请同事参与会话，单击“邀请好友进入此会话”。 链接可复制发送给多人。 拥有该云堡垒机帐户访问权限的用户，才能正常打开连接，否则将会上报连接错误，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T514）”。 复制链接，发送给拥有云堡垒机帐户权限的用户，登录云堡垒机，打开新的浏览器窗口，粘贴链接。 单击“立即进入”参与会话操作。 会话操作参数说明 参数 说明 :: 申请控制权 向会话邀请者发申请控制权，邀请者同意后，可以操作此会话。 退出会话 退出此会话。 5 通过文件传输，可对云主机或主机网盘中文件进行上传或下载，详细说明请参见文件传输。 单击“文件传输”，展开文件传输界面。 默认为“云主机文件”，单击“云主机文件”可切换目标地址到“主机网盘”。 切换目标地址 单击上传图标，上传文件。 “主机网盘”属于云堡垒机用户个人空间，其他用户不可见，用户可以将“主机网盘”文件上传到多个主机。 Windows服务器文件存放的默认路径在G盘，Linux服务器文件存放的默认路径在根目录。 Windows服务器上传下载文件，需打开服务器的磁盘目录，对NetDisk的G盘上文件复制/粘贴，实现对文件的上传/下载。 6 通过文件管理，可对云主机或主机网盘中文件或文件夹进行管理。 单击“文件传输”，展开文件传输界面。 单击可以新建文件夹。 勾选一个或多个文件或文件夹，单击删除图标，可删除文件或文件夹。 勾选一个文件或文件夹，单击编辑图标，可修改文件或文件夹名称。 单击刷新图标，可刷新全部文件目录。 SSH/TELNET协议类型主机会话 Linux运维操作说明 参数 说明 :: 中文编码 字符协议支持多种中文编码。 复制/粘贴 选中字符，按“Ctrl+C”进行复制，按“Ctrl+V”进行粘贴。 预置命令 对于字符较长，且经常输入的命令，可以提前预置。 终端类型 字符协议支持切换终端类型，包括Linux和Xterm两种类型。 群发键 开启群发可同时对多个会话进行命令输入。 字体大小 设置字体大小：大、中、小。 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 Windows主机运维操作说明 参数 说明 :: 复制/粘贴 远程文本：选中字符， 需按两次“Ctrl+C”复制，按“Ctrl+V”粘贴。 远程机器文件：选中文本或图像，“Ctrl+B”复制，“Ctrl+G”粘贴。 说明 Web浏览器运维支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 分辨率 可切换当前操作界面分辨率，切换途中会重新创建连接。 切换鼠标 可分别切换为本地鼠标和远程鼠标。 Windows键 适用于Win快捷键操作。 锁屏键 “Ctrl+Alt+Delete” 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 RDP主机会话窗口

能否查看使用次数最多的命令？ 不支持，目前Redis不支持查看历史命令记录，也无法查看命令使用次数与次数最多的命令。 如何清空Redis数据？ 控制台提供清空Redis实例数据的能力，具体操作请参考删除实例数据 Redis命令执行是否有超时时间？ 客户端超时时间由客户端控制，可以通过一些 Redis 客户端提供的选项或参数来实现。不同的客户端库可能具有不同的方式来设置命令超时时间，您可以参考所使用的客户端库的文档来了解如何设置超时时间。 服务端超时时间Timeout默认配置为0，不会主动断开连接。 若命令超时，则可能会出现超时异常或连接中断的情况。在出现命令超时的情况下，您可以根据具体的需求和情况来处理。一种常见的做法是捕获超时异常并进行适当的错误处理，例如重试命令、记录日志或向用户返回适当的错误信息。此外，还可以通过适当调整超时时间、优化命令性能或增加服务器资源来减少命令超时的发生。 如何查找匹配的Key和遍历所有Key？ 使用 Redis 的 SCAN 命令可以按照指定的模式或格式来查找匹配的key以及遍历所有key，SCAN 命令是一个游标迭代命令，它可以逐批返回匹配的键，避免一次性返回所有键。scan命令的使用方法可参考Redis官网 WebCli的常见报错信息？ Connection refused：该错误消息表示无法连接到 Redis 服务器。可能的原因是 Redis 服务器未启动、指定的主机或端口不正确 Could not resolve hostname：指定的 Redis 主机名无法解析为有效的 IP 地址。可能是由于主机名拼写错误、DNS 配置问题或网络不可达导致的。 ERR Wrong number of arguments for 'xxx' command：该错误信息表示执行的Redis命令存在参数错误或语法错误，可参考开源Redis命令协议介绍检查您执行的命令构造 ERR unknown command 'xxx'：该错误信息表示命令不支持，可参考开源Redis命令协议介绍检查您执行的命令构造 ERR Unsupported command: 'xxx'：该错误信息表示命令禁用

重视消息生产与消费的确认过程 消息生产（发送） Kafka非常重视消息生产确认过程，它提供了可靠的消息传递保证。下面是Kafka在消息生产确认方面的一些关键特性和机制： 同步发送和异步发送：Kafka提供了同步发送和异步发送两种方式。在同步发送中，生产者会等待服务器确认消息已成功写入到所有副本中，然后才会返回确认。这种方式可以确保消息的可靠性，但会影响吞吐量。而在异步发送中，生产者会立即返回确认，不等待服务器的响应。这种方式可以提高吞吐量，但消息的可靠性可能会有所降低。 消息复制机制：Kafka使用多个副本来保证消息的可靠性。在消息发送过程中，生产者将消息写入到主副本，并将消息复制到其他副本。只有当所有副本都成功写入消息后，生产者才会返回确认。这样可以确保即使主副本发生故障，仍然可以从其他副本中读取到消息。 ISR机制：Kafka使用ISR（InSync Replicas）机制来保证消息的可靠性。ISR是指与主副本保持同步的副本集合。只有ISR中的副本成功写入消息后，生产者才会返回确认。如果某个副本与主副本的同步延迟超过一定阈值，那么它将被移出ISR，不再参与消息的确认过程，直到与主副本同步。 消息持久化：Kafka将消息持久化到磁盘，以确保即使发生故障，消息也不会丢失。消息被写入到日志文件中，并通过索引来提供高效的读取和检索。 可配置的确认级别：Kafka提供了可配置的消息确认级别。确认级别可以设置为0、1或all。在确认级别为0时，生产者不会等待服务器的确认，直接返回确认。在确认级别为1时，生产者会等待主副本的确认。在确认级别为all时，生产者会等待所有副本的确认。确认级别的选择可以根据应用的需求和性能要求进行调整。 总之，Kafka通过同步发送、消息复制、ISR机制、消息持久化和可配置的确认级别等机制，重视消息生产确认过程，以确保消息的可靠性和一致性。这些机制使得Kafka成为一个可靠的分布式消息系统。

使用redisexporter出错怎么办？ 通过在命令行启动redisexporter，根据界面输出，查看是否存在错误，根据错误描述，进行问题排查。 [root@ecsswk /]./redisexporter redis.addr 192.168.0.23:6379 INFO[0000] Redis Metrics Exporter V0.15.0 build date:2018011904:08:01 sha1: a0d9ec4704b4d35cd08544d395038f417716a03a Go:go1.9.2 INFO[0000] Providing metrics at :9121/metrics INFO[0000] Connecting to redis hosts: []string{192.168.0.23:6379} INFO[0000] Using alias:[]string{""} Redis的安全加固方面有哪些建议？ 在众多开源缓存技术中，Redis无疑是目前功能最为强大，应用最多的缓存技术之一，但是原生Redis版本在安全方面非常薄弱，很多地方不满足安全要求，如果暴露在公网上，极易受到恶意攻击，导致数据泄露和丢失。 针对DCS的Redis实例，您在使用过程中，可参考如下建议： 网络连接配置 a. 敏感数据加密后存储在Redis实例。 对于敏感数据，尽量加密后存储。 b. 对安全组设置有限的、必须的允许访问规则。 安全组与VPC均是用于网络安全访问控制的配置，以端口最少放开原则配置安全组规则，降低网络入侵风险。 c. 客户端应用所在ECS设置防火墙。 客户端应用所在的服务器建议配置防火墙过滤规则。 d. 设置实例访问密码。 e. 配置实例白名单。 Rediscli使用 f. 隐藏密码 安全问题：通过在rediscli指定a参数，密码会被ps出来，属于敏感信息。 解决方案：修改Redis源码，在main方法进入后，立即隐藏掉密码，避免被ps出来。 g. 禁用脚本通过sudo方式执行 安全问题：rediscli访问参数带密码敏感信息，会被ps出来，也容易被系统记录操作日志。 解决方案：改为通过API方式（Python可以使用redispy）来安全访问，禁止通过sudo方式切换到dbuser帐号使用rediscli。

本节介绍当网站通过独享型方式接入WAF防护时，如何开启IPv6防护。 如果需要对网站的IPv6请求流量进行防护，需要在购买WAF独享版实例时，选择已开启IPv6功能的VPC和子网。 开启IPv6功能后，所有IPv6请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量转发给源站，实现恶意流量的拦截。 步骤一：子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 步骤二：购买WAF独享版实例 在产品订购页面，选择已开启IPv6功能的子网 ，其他参数配置请参见购买WAF独享版实例。 步骤三：接入WAF防护 网站通过独享型接入方式接入WAF防护时，选择上述支持IPv6功能的实例，网站将自动开启IPv6防护。 详细操作请参见将网站接入WAF防护（独享型接入）。

此章节为您介绍如何更改云堡垒机的安全组。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。但是若您在购买堡垒机的时候选择了不适用的安全组，也无法通过修改相应的安全组规则来放通这些IP地址和端口，这时候您可以通过更改堡垒机绑定的安全组来满足您的运维需求。 操作步骤 1.登录管理控制台。 2.选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3.选择需要更改安全组的堡垒机实例，在实例详情页单击按钮。 4.在弹出的对话框中选择需要更改的安全组，选择完成后单击保存即可完成安全组的修改。

本文介绍GPU云主机相关的名词概念。 概念 介绍 GPU 图形处理器（Graphics Processing Unit）。相比CPU具有众多计算单元和更多的流水线，适合用于大规模并行计算等场景。 CUDA NVIDIA推出的通用并行计算架构，帮助您使用NVIDIA GPU解决复杂的计算问题。 cuDNN NVIDIA推出的用于深度神经网络的GPU加速库。 镜像 提供了运行实例所需的信息，包括操作系统、初始化应用数据等。 地域和可用区 实例和其他资源的部署物理位置。 SSH密钥对 一种安全便捷的登录认证方式，由公钥和私钥组成，仅支持Linux实例。 安全组 一种虚拟防火墙，您可以基于安全组控制实例的入流量和出流量。 弹性网卡 一种独立的虚拟网卡，可以绑定到弹性云主机或从弹性云主机解绑，实现业务的灵活扩展和迁移。 云硬盘 可弹性扩展的块存储设备，可以用作实例的系统盘或可扩展数据盘使用。 快照 某一时间点云盘数据状态的备份文件，用于备份或者恢复整个云盘。 VPC 虚拟私有云（Virtual Private Cloud）。为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。VPC丰富的功能帮助用户灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。

本文介绍如何客户端上传私有镜像。 创建好仓库后，用户需要向仓库上传本地镜像，镜像通过客户端进行上传。客户端上传指的是用户在本地环境使用docker命令将镜像上传到容器镜像服务的镜像仓库。本章节将以nginx:1.10镜像为例，介绍如何通过客户端上传私有镜像。 操作前提 用户本地环境已安装Docker客户端，并确定Docker服务已启动； 确保本地网络环境良好，且可访问公网； 请确保镜像的正确性，能够成功后台启动； 已创建名为nginx的容器镜像仓库，操作过程请参见创建容器镜像仓库 。 操作步骤 1.登录云容器引擎控制台，单击左侧导航栏的【镜像仓库】，进入仓库列表界面； 2.单击仓库名称，可进入仓库详情页，点击右上角【上传镜像】，页面将展示镜像上传步骤； 以下将根据页面提示步骤，详细的说明客户端上传镜像到镜像仓库的操作流程： 3.登录镜像仓库服务器； 1）获取登陆指令及用户名密码：点击【上传镜像】后，从提示页面中可获取镜像登录指令及用户名密码，用户名可直接获取，密码可需要点击查看密码获取； 2）登陆仓库：打开用户本地环境，在命令行内输入步骤1）中获得的指令，当页面出现successful的关键词提示，即表明仓库已登陆成功； 4.标记镜像； 1）使用命令获得本地镜像名称或镜像ID：docker images 2）标记镜像：我们以nginx镜像为例，本次需要为nginx镜像打上仓库tag，提示面板中步骤2的提示，我们完成命令填写后，在命令行中使用以下命令： docker tag {镜像ID} cceregistry.ctyun.cn:443/{仓库名}/{镜像名}:{标签名} docker tag nginx cceregistry.ctyun.cn:443/nginx/nginx:1.10 其中，第一个nginx为仓库名，第二个nginx为镜像名，1.10为版本号。 5.推送镜像至镜像仓库； 根据提示面板中步骤3提示的push命令，我们完成命令填写后，在命令行中使用以下命令，将打好tag的镜像上传到对应仓库中： docker push cceregistry.ctyun.cn:443/nginx/nginx:1.10 终端显示如下信息，表明 push 镜像成功。 6d6b9812c8ae: Pushed 695da0025de6: Pushed fe4c16cbf7a4: Pushed 1.10: digest: sha256:eb7e3bbd8e3040efa71d9c2cacfa12a8e39c6b2ccd15eac12bdc49e0b66cee63 size: 948 6.返回云容器引擎平台，依次点击【镜像仓库】>【仓库名称】，进入镜像列表页面，可查看到上传的镜像信息，至此用户已完成镜像上传功能，可进行镜像管理及应用部署等操作。

场景描述 在进行消息发送与接收验证的过程中，我们需要确保RocketMQ的生产者能够将消息成功发送到指定的Topic，同时消费者能够接收到这些消息。通过验证，可以确认生产者发送的消息能够准确无误地到达消费者，这是消息队列最基本也是最重要的功能要求。在开发和测试阶段，通过消息发送与接收验证可以及时发现并修复可能存在的问题，避免在实际应用中出现故障。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入Topic管理菜单，点击【拨测】按钮，进行生产消费的拨测验证，验证开通的消息实例和Topic。 1）生产测试拨测： 选择消息类型，默认普通消息。 填写需要产生的测试消息数量，以及每条消息的大小，默认每条消息1KB，建议不超过4MB(4096KB)。 选择已建的消息Topic，若无选项，请新增Topic，详见上文创建Topic和订阅组。 点击【测试】按钮，按照已填写规格及数量产生测试消息数据，展示消息数据的信息，包括消息ID(messageID)、发送状态、主题名（topic名）、Broker名、队列ID。 拨测功能涉及消息发送状态码，以下是RocketMQ消息发送状态码及其说明： ✧ SENDOK（发送成功）：表示消息成功发送到了消息服务器。 ✧ FLUSHDISKTIMEOUT（刷新磁盘超时）：表示消息已经成功发送到消息服务器，但是刷新到磁盘上超时。这可能会导致消息服务器在宕机后，尚未持久化到磁盘上的数据丢失。 ✧ FLUSHSLAVETIMEOUT（刷新从服务器超时）：表示消息已经成功发送到消息服务器，但是刷新到从服务器上超时。这可能会导致主从同步不一致。 ✧ SLAVENOTAVAILABLE（从服务器不可用）：表示消息已经成功发送到消息服务器，但是从服务器不可用。这可能是由于网络故障或从服务器宕机引起的。 ✧ UNKNOWNERROR（未知错误）：表示发送消息时遇到了未知的错误。一般情况下建议重试发送消息。 ✧ MESSAGESIZEEXCEEDED（消息大小超过限制）：表示消息的大小超过了消息服务器的限制。需要检查消息的大小是否合适。 ✧ PRODUCETHROTTLE（消息生产被限流）：表示消息生产者的频率超出了消息服务器的限制。这可能是由于消息发送频率过高引起的。 ✧ SERVICENOTAVAILABLE（服务不可用）：表示消息服务器不可用。这可能是由于网络故障或者消息服务器宕机引起的。 请注意，以上状态码仅适用于RocketMQ消息发送阶段，并且并不代表消息是否成功被消费者接收。同时，这些状态码也可能因版本变化而有所不同，建议查阅官方文档获取最新信息。 2）消费测试拨测： 选择消息顺序，下拉选择无序/有序，默认选项为无序。 RocketMQ是一种开源的分布式消息中间件，它支持有序消息和无序消息。 ✧ 有序消息是指消息的消费顺序与发送顺序完全一致。在某些业务场景下，消息的处理需要保证顺序性，例如订单的处理或者任务的执行。RocketMQ提供了有序消息的支持，通过指定消息的顺序属性或使用消息队列的分区机制，可以确保消息按照指定的顺序进行消费。 ✧ 无序消息则是指消息的消费顺序与发送顺序无关。无序消息的特点是高吞吐量和低延迟，适用于一些不要求严格顺序的业务场景，如日志收集等。 在RocketMQ中，有序消息和无序消息的实现方式略有不同。有序消息需要借助MessageQueue的分区机制和消费者端的顺序消息消费来实现。而无序消息则是通过消息的发送和接收的并发处理来实现的。 总的来说，RocketMQ既支持有序消息也支持无序消息，根据业务需求选择合适的消息类型来满足业务的要求。 选择消费方式，目前仅提供pull方式。值得注意的是，RocketMQ还提供了推送（push）方式的消费模式，其中消息队列服务器会主动将消息推送给消费者。但在当前仅限于pull方式的消费模式。 填写消费数量。 下拉选择选择已建的消息主题和订阅组，若无选项，请新增主题和订阅组，详见上文创建主题和订阅组。 点击【测试】按钮，按照已填写规格及数量产生消费数据，展示消息数据的信息，包括消息ID(messageID)、主题名称（topicName）、生成时间、存储时间、队列ID、消费状态。 拨测功能涉及消息消费状态码，RocketMQ消费状态码是指在消息消费过程中，对消费结果进行标识的状态码。以下是常见的RocketMQ消费状态码： ✧ CONSUMESUCCESS（消费成功）：表示消息成功被消费。 ✧ RECONSUMELATER（稍后重试）：表示消费失败，需要稍后再次进行消费。 ✧ CONSUMEFAILURE（消费失败）：表示消息消费出现异常或失败。 ✧ SLAVENOTAVAILABLE（从节点不可用）：表示消费者无法访问从节点来消费消息。 ✧ NOMATCHEDMESSAGE（无匹配的消息）：表示当前没有匹配的消息需要消费。 ✧ OFFSETILLEGAL（偏移量非法）：表示消费的偏移量参数不合法。 ✧ BROKERTIMEOUT（Broker超时）：表示由于Broker超时导致消费失败。

枚举参数 无 请求示例 请求url 无 请求头header {"regionid": "100054c0416811e9a6690242ac110002","ContentType":"application/json","urlType": "CTAPI"} 请求体body 无 响应示例 {"statusCode": "200","error": "CTCSSCN000000","message": "查询成功!","returnObj":{"id": 1,"custName": null,"serverIp": null,"pulilcIp": null,"agentGuid": null,"agentGuids": null,"agentGuidList": ["4FC0E48EE932C14C6A81C6A04ADC6B7C","F0111FE1A07A1B033B1D2BDD3064D149"],"hostsDtoList": [{"custName": "win2012az12","agentGuid": "6910579D14774966AD0BE9CDF52D1E0B","privateIp": "192.168.0.207","osType": "linux","publicIp": null}],"ctyunUserId": "1","ruleName": "清理痕迹.设置操作命令不记录进日志.g","ruleExpression": "unsetsHIST(ORYFILESAVEZONELOG)","threatLevel": 2,"hostCount": 1,"ruleStatus": true,"status": false,"createTime": "20221009T07:26:45.000+00:00","updateTime": "20221008T23:30:34.000+00:00"}} 状态码 请参考 状态码 错误码 请参考 错误码

本文介绍了如何查看科研助手的并行计算作业。 操作步骤 1. 登录科研助手控制台。 2. 在控制台左侧导航栏中，选择【并行计算】。 3. 在【并行计算】页面中，点击对应作业的名称。 4. 进入【作业详情】页面，可在当前页面中查看作业的基础信息、详情信息、实例详情等，也可以操作作业的启动、停止、删除。 5. 点击【展开全部】可查看作业详情信息。 6. 在【实例详情】中，我们可以选择具体的实例，查看对应实例的日志内容。 7. 点击【实例终端】，可以在实例运行中时，进入到对应实例的Linux终端命令行中。

本文介绍了 MySQL主备复制延迟场景及解决方案。 场景描述 主库执行了大事务。 原因分析 大事务是指一个事务中包含大量的数据变更操作，例如一个事务包含上万次（insert，update，delete）等操作、一条SQL语句批量更新了上万行数据等，大事务往往本身的执行时间很长（分钟级）。当主实例执行了大事务后，会产生大量的Binlog日志，备机拉取这些Binlog耗时比一般事务长，且至少需要花费与主库相同的时间来回放这些事务的更新，从而导致备机出现复制延迟。 解决方案 为了保证主从数据的一致性，需要等待大事务执行完成，主备复制延迟才能恢复。 业务侧避免此类大事务，可以将大事务拆分为小事务，分批执行。例如，通过where条件或limit语句限制每次要更新的数据量。

使用策略限制条件 您可以在IAM策略中设置用户在特定时间、特定请求IP的条件下才能操作指定的OOS资源，而其他情况下不能操作。 根账户不使用访问密钥 由于根账户对名下资源有完全的控制权，为了避免因访问密钥泄露带来的风险，不建议根用户使用访问密钥。 建议您创建子用户，并授予该子用户管理权限，使用该用户进行日常管理工作，保护账户安全。 开启操作跟踪功能 开启OOS的操作跟踪功能，记录用户在账户中做了哪些操作、使用了哪些资源。操作跟踪日志会记录操作的类型、时间、操作的源IP、操作人员等，并且可以长久的保存在OOS存储桶中。 将IAM与操作跟踪功能结合使用，您可以从控制和监控两个层面进行账户管理。

本章节介绍金丝雀功能的使用 概述 金丝雀发布是指在应用发布时，可以为新版本的应用打上gray的标签，通过按流量比例路由或按内容路由的方式，将灰度流量引入带有gray标签的应用中，从而达到小规模验证的目的。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate； 负载均衡：Ribbon、LoadBalancer。 Dubbo 2.5.3+ 支持Alibaba Dubbo、Apache Dubbo。 注册中心 Nacos、Eureka、Zookeeper 无。 jdk版本 1.8+ 无。 操作步骤 假设有两个服务appa和appb，调用关系为appa>appb，这两个服务都已接入微服务治理中心。此时appb有灰度应用需要发布，需要实现在appa调用appb的过程中，将灰度流量引入到appb的灰度应用中进行小规模验证。 部署appb灰度应用 部署appb灰度应用，需为灰度应用打上灰度标签，主要提供如下两种方式： 为云容器引擎集群应用设置标签，可以为容器添加环境变量MSESERVICETAGgray。 为ECS应用设置标签，在应用启动时，添加JVM启动参数Dctgcloud.service.taggray。 查看金丝雀页面 完成灰度应用部署后，即可查看应用当前存在的标签。 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 金丝雀，即可查看灰度应用标签。

本文介绍分布式消息服务RocketMQ入门指引的创建主题和订阅组内容。 背景信息 在实例创建完成后，需要创建主题和订阅组来进行消息实例的日常功能运转。 主题：在RocketMQ中，主题（Topic）是消息发布的逻辑分组。它类似于一个消息的分类或者标签，帮助用户将不同类型的消息进行归类和管理。通常情况下，一个主题可以包含多个消息生产者和多个消息消费者。通过使用主题，RocketMQ能够实现高效的消息发布和订阅机制，帮助用户更好地管理和组织消息。 订阅组：订阅组是 RocketMQ 中的一个重要概念，用于实现消息的发布与订阅模式。一个订阅组可以包含多个消费者实例，这些实例共同消费同一个主题下的消息。当消息被发送到主题时，订阅组中的每个消费者实例会按照一定规则来均衡地接收消息，并进行相应的处理。订阅组是 RocketMQ 提供的一种灵活且可扩展的方式，用于实现消息的发布与订阅模式，并保证消息在消费者之间的均衡分配和可靠处理。 集群：RocketMQ集群是一种由多个节点（或者称为Broker）组成的分布式消息中间件系统。每个节点都具有相同的功能并且可以处理和存储消息。通过将消息分发到不同的节点，RocketMQ集群能够实现高可用性和可伸缩性。通过使用RocketMQ集群，可以实现消息传输的并行处理、容错性和高可用性，满足高并发场景下的消息传递需求。 创建主题 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入主题管理菜单，点击【新建主题】按钮 5、 在弹出的新建主题页面，填写如下字段信息 1）默认展示当前集群名称，不可修改。 2）选择主题所在的Broker，按照实例创建时候选择的主备节点对数列出每个broker，可复选。 3）填写主题名称，名字限制2到64个字符，超过限制会导致创建主题失败，用户创建主题只能包含大小写字母数字以及和符号。 4）按照实际需求填写主题备注。 5）填写每个Broker分区数，分区数必须大于0，小于等于8，创建严格顺序队列时，设置分区数为1，且只能选择一个Broker。 6）选择生产模式，RocketMQ是一个开源的分布式消息中间件，它支持两种消息生产模式：有序和无序。 有序消息生产模式（Ordered Message）是指按照特定规则将消息发送到相同的Message Queue中，并且确保消息在消费者端按照相同的顺序进行消费。这种模式适用于那些需要严格按照消息顺序进行处理的场景，比如订单处理、流程审批等。 无序消息生产模式（Unordered Message）是指消息发送到不同的Message Queue中，每个Queue都是独立的。消费者可以并行地从多个Queue中消费消息，而无需关心消息的顺序。这种模式适用于那些不需要严格按照消息顺序处理的场景，比如日志收集、异步通知等。 需要注意的是，无论是有序还是无序消息生产模式，RocketMQ都提供了高可靠性的消息传输和存储，并支持水平扩展和高吞吐量的特性。根据具体的业务需求，选择适合的消息生产模式能够更好地满足应用的要求。 7）选择主题的读写权限，支持读写、只读、只写3类权限。 8） 完成主题信息填写后，保存确认即可新增主题。 9） 若希望批量创建主题，可点击【批量创建】按钮 批量创建 注意：输入的主题名不要带空格等特殊字符。 通过上传csv文件,批量创建主题。格式：点击【主题模板】按钮下载。 主题模板 批量上传主题的模板，必须使用模板，才能够上传成功，模板格式如下：

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

本章节介绍API网关的消费者(应用)管理功能 应用列表 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 创建应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 点击创建应用按钮，填写应用名称、AppKey、AppSecret、AppCode、描述等信息；AppKey、AppSecret、AppCode为空时，将自动生成； 编辑应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 选择某个应用，点击应用的编辑按钮 ，可修改应用的名称和描述信息；确定后完成编辑； 查询应用信息 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 点击应用名称，进入应用详情页，可以查看当前应用有哪些授权的路由、API，查看应用的AppKey、AppSecret，支持重置AppSecret、AppCode； 添加应用授权 应用授权需要在路由或者API的视角下完成，且只有路由、API的认证方式为APP时才允许进行授权操作。 注意 ：Mock路由中对应用设置过期时间的使用限制参见云原生网关常见问题说明

查看基线检查详情 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 约束限制 未开启防护不支持基线相关操作。 前提条件 配置检查只有开启了防护且防护配额在企业版及以上的主机数据才会显示在列表中。 检查项列表 检查项 说明 配置检查 目前支持的检测标准及类型如下： 1、Linux系统： 云安全实践：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOSext。 等保合规：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Redhat6、Redhat7、Redhat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18。 2、Windows系统： 云安全实践：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows2008、Windows2012、Windows2016、Windows2019。 口令复杂度策略检测 检测系统帐号的口令复杂度策略。 经典弱口令检测 通过与弱口令库对比，检测帐号口令是否属于常用的弱口令。 支持MySQL、FTP及系统帐号的弱口令检测。 查看配置检查 查看配置检查的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、 无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。 云安全实践 等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、单击目标检查项“操作”列的“检测详情”，查看检查项描述、审计描述和修改建议。 您需要确认检查的风险项是否是致命或需要修改的风险。 如果是，可根据修改建议对目标检查项进行修改。如果不是，可在配置检查项列表页面单击目标检查项“操作”列的“忽略”操作进行忽略。 查看检查项详情 查看口令复杂度策略检测 查看口令复杂度策略检测的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“口令复杂度策略检测”页签，查看口令复杂度策略检测的风险统计项及修改建议，参数说明如表59所示。 口令复杂度策略检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及IP地址。 口令长度 目标服务器的口令长度是否符合标准。 符合 不符合 大写字母 目标服务器的口令大写字母是否符合标准。 符合 不符合 小写字母 目标服务器的口令小写字母是否符合标准。 符合 不符合 数字 目标服务器的口令数字是否符合标准。 符合 不符合 特殊字符 目标服务器的口令特殊字符是否符合标准。 符合 不符合 建议 对目标服务器发现的口令风险的修改建议。 查看经典弱口令检测 查看经典弱口令检测的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“经典弱口令检测”页签，查看服务器中存在风险的弱口令帐号的统计，参数说明如表所示。 经典弱口令检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及IP地址。 帐号名称 目标服务器中被检测出是弱口令的帐号。 帐号类型 帐号的类型。 弱口令使用时长（单位：天） 目标弱口令使用的时间周期。 注意 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证 ：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 口令设置建议：设置长度超过8个字符且均包含大写字母、小写字母、数字和特殊字符。 导出基线检查报告 在基线检查页面，可对配置检查和经典弱口令检查详情进行导出，列表右上角单击 ，可将所有云服务器的配置检测风险列表下载到本地。 不支持对单个云服务器执行导出。 单次最大导出告警数为5000条。

查看基线检查详情 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 约束限制 未开启防护不支持基线相关操作。 前提条件 配置检查只有开启了防护且防护配额在企业版及以上的主机数据才会显示在列表中。 检查项列表 检查项 说明 配置检查 目前支持的检测标准及类型如下： 1、Linux系统： 云安全实践：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOSext。 等保合规：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Redhat6、Redhat7、Redhat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18。 2、Windows系统： 云安全实践：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows2008、Windows2012、Windows2016、Windows2019。 口令复杂度策略检测 检测系统帐号的口令复杂度策略。 经典弱口令检测 通过与弱口令库对比，检测帐号口令是否属于常用的弱口令。 支持MySQL、FTP及系统帐号的弱口令检测。 查看配置检查 查看配置检查的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、 无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。 云安全实践 等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、单击目标检查项“操作”列的“检测详情”，查看检查项描述、审计描述和修改建议。 您需要确认检查的风险项是否是致命或需要修改的风险。 如果是，可根据修改建议对目标检查项进行修改。如果不是，可在配置检查项列表页面单击目标检查项“操作”列的“忽略”操作进行忽略。 查看检查项详情 查看口令复杂度策略检测 查看口令复杂度策略检测的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“口令复杂度策略检测”页签，查看口令复杂度策略检测的风险统计项及修改建议，参数说明如表59所示。 口令复杂度策略检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及IP地址。 口令长度 目标服务器的口令长度是否符合标准。 符合 不符合 大写字母 目标服务器的口令大写字母是否符合标准。 符合 不符合 小写字母 目标服务器的口令小写字母是否符合标准。 符合 不符合 数字 目标服务器的口令数字是否符合标准。 符合 不符合 特殊字符 目标服务器的口令特殊字符是否符合标准。 符合 不符合 建议 对目标服务器发现的口令风险的修改建议。 查看经典弱口令检测 查看经典弱口令检测的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“经典弱口令检测”页签，查看服务器中存在风险的弱口令帐号的统计，参数说明如表所示。 经典弱口令检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及IP地址。 帐号名称 目标服务器中被检测出是弱口令的帐号。 帐号类型 帐号的类型。 弱口令使用时长（单位：天） 目标弱口令使用的时间周期。 注意 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证 ：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 口令设置建议：设置长度超过8个字符且均包含大写字母、小写字母、数字和特殊字符。 导出基线检查报告 在基线检查页面，可对配置检查和经典弱口令检查详情进行导出，列表右上角单击 ，可将所有云服务器的配置检测风险列表下载到本地。 不支持对单个云服务器执行导出。 单次最大导出告警数为5000条。

本章介绍如何设置迁移目的端。 操作场景 迁移前，您需要设置目的端服务器。该目的端用来接收源端的数据，同时您也可以使用该目的端进行迁移测试和启动目的端。 前提条件 只有“迁移阶段”为“已就绪”时才可设置目的端。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面找到待迁移的服务器，在“目的端”列，单击“设置目的端”，进入迁移配置页面。或单击“操作”列的“更多 > 设置目的端”，进入迁移配置页面。如果在迁移服务器列表中没有看到源端服务器记录，请检查是否登录的是目的端天翼云帐号。 4. 在“迁移配置”页面的基本配置页签，根据下表参数说明，设置相关参数。 参数 子参数 说明 迁移参数模版 选择某个迁移参数模版后，页面根据模版的值自动设置网络类型、网络限流值、迁移方式、是否持续同步、是否调整分区、区域、项目;系统会为每个用户自动创建一个默认迁移参数模版，您也可以提前手动创建迁移参数模版，参见创建迁移参数模板。 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 私网 私网包括专线、VPN、对等连接、同VPC子网，如选择私网则需要提前创建，迁移时会使用目的端私有IP。 IP版本 IPv4 使用IPv4进行数据迁移。 IPv6 双栈网络下，可以选择使用IPv6进行主机迁移。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 设置为0时，代表不限流。 Linux限流功能是基于TC(Traffic Control)模块控制，如果源端服务器没有TC模块，则无法支持限流。 部分Linux系统，暂不支持限流。（例如：CentOS 8.x以及基于其构建的其它发行版本均没有TC模块。） CPU限制 仅支持Linux迁移。 内存限制 磁盘吞吐限制 迁移方式 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。 若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 是否调整分区 否 选择否，目的端磁盘分区与源端保持一致。 是 选择是，用来调整目的端磁盘分区。具体操作参见调整磁盘分区。 迁移后主机状态 关机 选择关机，迁移完成后目的端服务器自动关机。 开机 选择开机，迁移完成后目的端服务器保持开机状态。 是否检测网络质量 否 不进行网络质量评估。 是 首次全量迁移时，会生成一个“迁移网络质量评估”的子任务，该子任务通过检测丢包率、抖动、网络时延、带宽以及内存占用率和CPU占用率，给出网络质量评估结果。 是否启用多进程 否 默认使用1个进程进行迁移、同步。 是 设置迁移和同步最大进程个数，SMSAgent根据设置的进程个数，启用多个进程执行迁移任务，仅适用Linux文件迁移。 迁移特殊配置项 Linux文件级配置不同步、不迁移等特殊配置信息。 Windows块级迁移，专线场景下，可配置目的端中转IP。 调整磁盘分区 单击右侧出现的“调整磁盘分区”，弹出“磁盘分区调整”窗口，如下图所示，用户根据实际业务场景，完成磁盘分区的设置。 图 Windows磁盘分区调整 图 Linux磁盘分区调整 说明 磁盘分区调整可以修改是否迁移以及调整分区大小。 Linux支持LVM调整，可以选择物理卷和逻辑卷是否迁移以及调整大小。 注意 Windows系统分区和启动分区是否迁移不可选，默认必须进行迁移。 Windows调整分区大小时只能增大当前分区大小。 Linux Btrfs文件系统暂时不支持磁盘分区调整。 Linux系统分区，swap分区是否迁移不可选，默认为“是”，必须进行迁移。 LVM迁移卷组，可通过卷组配置页，左上方的按钮组，选择全部迁移或暂不迁移。 LVM中的逻辑卷如果是否迁移都选择“否”，则卷组不迁移，对应的物理卷是否迁移也会全部自动切换成“否”。 Linux块级迁移，磁盘分区只可以调大。 Linux文件级迁移，磁盘分区可以调大，也可以调小，调小时需保证调小后的分区大小大于已使用空间+1GB。如果调整前分区大小小于已使用空间+1GB，则无法将磁盘分区大小调小。具体规则请参见卷组和磁盘分区大小调整规则。 如果调整分区大小超过当前磁盘大小时，请先单击“磁盘调整”，调大磁盘大小后再进行分区调整。 如果调整分区大小后，小于当前磁盘大小，如有必要，可单击“磁盘调整”，调小磁盘大小。 单击“下一步 磁盘调整”，确认磁盘调整无误后，单击“确定”，完成磁盘分区的调整。 注意 确定后，是否调整磁盘分区无法重新设置为“否”。如果想要恢复原始磁盘分区设置，请在操作栏下，下拉“更多”，单击“删除”，然后在源端重启Agent，之后重新设置目的端配置，是否调整磁盘分区选择“否”。 5. 单击右下角的“下一步：目的端配置”，进入目的端配置页签。 6. 在目的端配置页签，设置相关参数。 参数 子参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目 服务器选择 已有服务器 在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 根据需求，您可以配置虚拟私有云、子网、安全组等参数，详细说明参见创建新服务器。 已有服务器 目的端服务器需要满足如下条件，否则请单击“前往ECS购买”，根据“推荐目的端，操作系统”并参见购买弹性云主机创建满足如下条件的弹性云主机。当前已支持将源端服务器迁移到“包年/包月”和“按需计费”这两种计费模式的弹性云主机，您可根据需求选择对应计费模式的弹性云主机。 Windows系统的目的端服务器（即弹性云主机）“规格”中的“内存”大小要不小于2GB。 目的端服务器的磁盘个数不小于源端服务器磁盘个数，且目的端服务器每块磁盘的大小要不小于对应的源端服务器“推荐规格”大小。 目的端服务器的操作系统类型需要和源端的OS类型保持一致。否则，迁移完成后服务器OS系统类型与镜像类型不一致，造成名字冲突及其他问题。 确保源端服务器可以访问目的端服务器，即要有可用的EIP，或者配置VPN、专线。 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组。如果是Windows系统，开放TCP的8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移开放22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 创建新服务器 选择“自动推荐”时，虚拟私有云、子网与安全组默认为自动创建，也可以根据需求手动选择。 高级配置中服务器名称、可用区、规格、系统盘、数据盘、弹性公网IP默认自动推荐和选择，也可以根据需求手动选择。 说明 数据盘支持的磁盘模式包括：VBD类型（默认）、SCSI类型。关于磁盘模式的详细介绍请参见 数据盘支持创建“共享盘”，关于共享磁盘的详细介绍请参见 选择已有模板时，虚拟私有云、子网、安全组、可用区、磁盘类型根据模板确定，也可以手动调整。 注意 虚拟私有云选择自动创建时，SMS会帮助用户创建一个VPC： 若源端IP是192.168.X.X，则推荐创建的VPC网段是192.168.0.0/16，同时创建一个子网，网段也是192.168.0.0/16。 若源端IP是172.16.X.X，则推荐创建的VPC网段是172.16.0.0/12，同时创建一个子网，网段也是172.16.0.0/12。 若源端IP是10. X .X.X，则推荐创建的VPC网段是10.0.0.0/8，同时创建一个子网，网段也是10.0.0.0/8。 安全组选择自动创建时，则SMS服务会自动创建一个安全组，并根据SMS的需要开放端口，Windows开放8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移只开放22端口。 7.目的端参数配置完成后，单击右下角“下一步：确认配置”，进入确认配置页签。 8.（可选）单击“保存为虚拟机配置模板”，弹出“创建虚拟机配置模板”窗口，输入模板名称，单击“确定”，可将配置信息保存为模板。 说明 在目的端配置时，只有服务器选择“创建新服务器”时，才能单击“保存为虚拟机配置模板”。 图 创建虚拟机配置模板窗口 9. 确认信息无误后，单击“保存配置”按钮，弹出“是否保存配置”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。 如果您想立即开始迁移，可单击“保存配置并开始迁移”按钮，弹出“是否保存配置并开始迁移”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。 说明 当迁移服务器列表的迁移阶段列显示为，迁移实时状态为已就绪，说明目的端已配置完成。

本文主要介绍IP地址组。 IP地址组是多个IP地址的集合，用来统一管理具有相同安全要求或需要频繁修改的IP地址。 对于需要使用黑名单和白名单，在监听器上设置访问控制策略的用户，开启白名单或黑名单时必须选择一个IP地址组，从而实现允许或者限制IP地址组中的IP访问负载均衡的监听器。 同一个IP地址组，最多可以关联50个监听器。目前IP地址组既支持IPv4地址又支持IPv6地址。 天翼云部分二类节点正在升级，以支持IP地址组能力，敬请用户随时关注。 创建IP地址组 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“IP地址组”界面，单击“创建IP地址组”。 5. 配置IP地址组参数。 IP地址组参数说明表 参数 说明 样例 名称 IP地址组的名称。 ipGroup01 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 IP地址 需要通过白名单或黑名单进行访问控制的IP地址。每行一个IP地址或一个网段，以回车结束； 每个IP地址或者网段都可以用“”分隔添加备注，如“192.168.10.10丨ECS01”， 备注长度范围是0到255字符，不能包含<>；每个IP地址组最多可添加300个IP地址和网段。 说明：如果IP地址组未包含任何IP地址，当访问控制选择白名单时，则对应的负载均衡监听器禁止任何IP地址访问。 10.168.2.24 10.168.16.0/24 描述 IP地址组相关信息的描述说明。 6. 确认参数配置，单击“确定”。

本节主要介绍重置管理员密码 文档数据库服务支持重置数据库管理员密码，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。 如果您在创建实例时，选择创建后设置密码，在连接实例前，您需要先重置管理员密码，再通过该密码连接实例。 使用须知 以下情况不可重置密码： 租户被冻结 创建中 重启中 节点扩容中 切换SSL中 修改端口号中 规格变更中 删除节点中 内核版本升级中 主备切换中 可用区迁移中 只读节点扩容中 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高帐号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《统一身份认证服务用户指南》中敏感操作的内容。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，选择“更多 > 重置密码”。 重置密码 您也可以在“实例管理”页面，选择指定的实例，单击实例名称。在“基本信息”页面“数据库信息 > 管理员账户名”处，单击“重置密码”。 重置密码 步骤 5 输入新管理员密码及确认密码，单击“确定”。 重置密码不会断开已经鉴权的连接，但在登录数据库时，需要输入更新后的新密码。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@

前提条件 已登录弹性云主机，具体请参见登录Windows弹性云主机。 云主机的系统盘与数据盘都已经挂载至云主机，且已经初始化过。 云硬盘容量已经在控制台上分配扩容，并已经挂载至弹性云主机。具体请参见云硬盘扩容概述。 操作步骤 如果在云主机关机的时候扩容了云硬盘，则云主机开机后，Windows系统盘和数据盘的新增容量可能会自动扩展至末尾分区内，此时新增容量可以直接使用，不再需要执行下述步骤。 系统盘扩容至原有分区 1. 在云主机桌面左下角，单击“开始”图标，在弹出的菜单列表中选择“Windows Server”，选择“服务器管理器”，弹出“服务器管理器”窗口。 2. 在右上角的菜单栏中，单击“工具>计算机管理”，进入“计算机管理”页面。 3. 在“计算机管理”页面左侧导航栏中，选择“存储 > 磁盘管理”，进入“磁盘管理”页面。可看到系统盘所在的磁盘0中有未分配的10GB容量。 说明 若此时无法看到扩容部分的容量，请选中“磁盘管理”，右键单击“刷新”后即可。 4. 在“磁盘管理”窗口选择需要分配分区的磁盘，当前需要分配至原有分区内，原有分区C盘当前显示扩容前的容量大小。鼠标右键点击所选磁盘，在菜单中选择“扩展卷”。 5. 在弹出的“扩展卷向导”窗口根据界面提示选择“下一步”。 6. 在弹出的“扩展卷向导”窗口中的“选择空间量（MB）（E）”配置项中输入需要扩容的磁盘容量，这里已检索出默认扩容数据，单击“下一步”。 7. 在跳转的“扩展卷向导”页面，单击“完成”。回到“磁盘管理”页面，扩容成功后原有分区C盘显示磁盘的容量将大于扩容前磁盘的容量，此时就表示扩容成功。

本文帮助您快速熟悉安全组与辅助网卡的关联管理。 操作场景 安全组防护云服务器的出入方向流量，但是您将云服务器与安全组关联后，只是针对主网卡做了防护。您可以根据业务需求，对每张网卡配置精准的安全组规则，从而对每张网卡的流量进行安全访问控制。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成弹性云服务器、安全组的创建。 操作步骤 1. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 2. 单击“虚拟私有云”；进入网络控制台页面。 3. 在左侧导航栏，选择“访问控制安全组”选项。 4. 在安全组列表页面，选择需要调整关联关系的安全组，点击名称进入详情页。 5. 在安全组详情页，选择“关联实例”页签，点击二级页签“辅助网卡”，可以管理网卡和安全组之间的关联关系。 6. 将辅助网卡加入安全组：单击“辅助网卡”页签下的【添加】按钮。在添加辅助网卡的弹窗中，选择VPC，选择需要添加的辅助网卡名称，单击确定。支持批量添加辅助网卡。 对于地域资源池来说，在添加辅助网卡的弹窗中，需要先选择VPC，再选择VPC下可添加的辅助网卡。 对于可用区资源池来说，可直接选择添加安全组所属的VPC下的可用云服务器。 注意 为了更好的网络性能，建议一个辅助网卡不超过5个安全组。 7. 将云主机移除安全组： 批量移除：单击“辅助网卡”页签下的【移除】按钮，在弹窗中选择需要移除的辅助网卡名称，支持批量解除辅助网卡和安全组的关系。 单次移除：选择需要移除的辅助网卡，单击其所在行的【移除】按钮，逐次解除辅助网卡和安全组之间的关系。 注意 所选择的辅助网卡至少要属于一个安全组，否则就不允许移除。 对于地域资源池来说，在移除辅助网卡的弹窗中，需要先选择VPC，再选择VPC下可移除的辅助网卡。 对于可用区资源池来说，可直接选择移除安全组所属VPC下可移除的辅助网卡。 8. 更改安全组：选择需要更改安全组的辅助网卡，单击其所在行的【更改安全组】按钮，支持在辅助网卡的详情页里面调整辅助网卡与安全组之间的关系。

背景介绍 为避免过期版本实例存在的安全和稳定性风险，同时保证您业务的连贯性，应用服务网格CSM支持对实例进行金丝雀升级，您可以在升级过程中仅变更部分数据面进行效果验证。验证符合预期后再进行全量升级，如果不符合预期，CSM支持对此次升级进行回滚。 相关概念 概念 说明 金丝雀升级 通过先运行一个金丝雀部署的新控制平面来完成 Istio 的升级，从而允许您在将所有流量迁移到新版本之前以一小部分工作负载监视升级的效果。金丝雀升级过程中支持回退。 控制平面 控制平面（Control Plane）是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。 单个网格中控制平面的所有实例共享相同的配置资源。 数据平面 数据平面（Data Plane）当前常见的Sidecar模式， 通常是与主应用程序一起运行以提供附加功能的容器。 在 Istio 中，它同时运行一个Envoy代理 Pod，可以进行流量治理，安全策略管理，可观测上报等，无需对业务进行侵入性修改。 升级时机 istio开源社区在不断迭代，天翼云应用服务网格会不定期跟进社区的功能更新和漏洞修复。服务网格实例版本过于落后时，可能会存在安全和稳定性风险，建议您及时进行升级操作。 大版本的更新需要您主动进行升级，及时升级可以： 降低安全和稳定性风险：CSM版本的迭代，会及时跟进修复社区已知的安全及稳定性漏洞，给你的业务带来安全和稳定性的提升。 享受更好的维护支持：对于落后太多的实例版本（往往是3个大版本以上），CSM不再提供维护和技术支持，使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的前沿功能：随着社区Istio版本的演进，新版本包含新的功能和改进，CSM也将适配新版本，可以使用更丰富的功能，跟进最新的性能优化也有助于您减少资源消耗。

本文说明安全加速产品升级情况。 尊敬的天翼云客户： 因业务调整，从2024年12月1日起，天翼云安全加速产品将并入边缘安全加速平台，边缘安全加速平台安全与加速服务可提供提供动静态加速、DDoS防护、Web防护、Bot管理和API安全能力，相比于安全加速的应用场景更丰富。 新购客户：2024年12月1日起，将无法订购安全加速产品。如需订购，请订购其升级产品边缘安全加速平台安全与加速服务。 存量客户：安全产品将持续提供服务至您当前订单周期结束，但从2024年12月1日起，将无法进行续订和变更。如需续订，请订购其升级产品边缘安全加速平台安全与加速服务；如需变更，请先退订安全加速产品，再通过订购边缘安全加速平台的安全与加速服务服务来满足您的需求。 如有任何问题，请您随时通过在线客服或服务热线4008109889联系我们，我们将竭诚为您服务。 感谢您对天翼云的支持！ 天翼云服务团队