本文介绍弹性文件服务安全文件系统加密方面的内容。 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 文件系统加密具体操作步骤请参见加密。

本节介绍了容器镜像服务:使用触发器自动更新集群工作负载。 操作场景 通过容器镜像服务的触发器功能，实现推送镜像后自动更新集群工作负载的镜像。 前提条件 已开通云容器引擎集群 已开通容器镜像服务企业版实例 操作步骤 创建触发器 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击容器镜像 镜像仓库，选择需要创建触发器的镜像仓库。 4. 在触发器 标签页点击创建触发器按钮。 5. 在创建页面填写触发器相关的参数进行创建。 参数 说明 触发器名称 触发器的名称。 Tag匹配条件 通过正则表达式设置规则匹配的镜像版本。使用方式示例如下：匹配全部: . 匹配多个版本: v1v2v3 匹配前缀: v1. 集群 触发器关联的云容器引擎集群。 命名空间 触发器关联的命名空间。 工作负载类型 触发器关联的工作负载类型，包括：无状态，有状态，守护进程和定时任务。 工作负载 触发器关联的工作负载。 容器 触发器关联的容器。 镜像更新方式 触发器更新容器镜像的方式，包括通过Tag更新和通过Digest更新。当容器的镜像拉取策略为 IfNotPresent 时，由于云容器引擎节点本地存在镜像缓存，此时推送相同Tag的镜像将无法通过Tag触发容器拉取新镜像，因此推荐通过Digest更新。 当容器的镜像拉取策略为 Always 时，推荐通过Tag更新。

本文主要介绍CentOS操作系统停止支持计划 背景 CentOS 官方计划停止维护 CentOS Linux 项目，并于2022年01月01日停止对 CentOS 8的维护支持，CentOS 7于2024年06月30日也将停止维护。更多信息，请参见CentOS官方公告。 CentOS 各系统生命周期 操作系统 停止时间 CentOS Linux 7 20240630（已停止） CentOS Linux 8 20211231（已停止） CentOS Stream 8 20240531（已停止） CentOS Stream 9 20270531（预计） 影响 基于CentOS官方的变更计划，对CentOS操作系统的使用者产生的影响如下所述： 2021年12月31日以后，CentOS Linux 8的使用者将无法获得包括问题修复和功能更新在内的任何软件维护和支持。 2024年06月30日以后，CentOS Linux 7的使用者将无法获得包括问题修复和功能更新在内的任何软件维护和支持。 对于天翼云的公共镜像及服务支持存在一定影响： 天翼云暂不会下线CentOS 8镜像，同时已经使用CentOS 8创建的ECS实例运行不会受到影响，但将停止更新镜像。 天翼云对于CentOS操作系统的服务支持将和CentOS官方日期保持同步。2021年12月31日以后将不再对CentOS Linux 8提供服务支持；对CentOS Linux 7的服务支持将持续至2024年6月30日。

本文主要介绍云日志服务的使用建议。 云主机应用日志场景 场景描述 若您的应用部署在天翼云主机上，您可使用云日志服务进行日志的统一采集。 使用建议 日志采集方式：采用采集器方式采集日志，您需要在云主机上安装采集器，通过在云日志服务控制台创建采集规则，将云主机ECS待采集日志的路径配置到日志单元中，采集器将按照采集规则进行日志采集。采集完成后，您可以在云日志服务控制台实时查询、分析日志。具体操作请参考接入云主机文本日志。 日志项目规划建议：您可以将同一个应用系统的下日志放在一个日志项目中，可以使用应用系统的名称作为日志项目的名称，方便进行管理。 日志单元规划建议： 如果您的日志原文无固定的规则格式，无法进行结构化解析，可以将同类组件的日志采集到同一个日志单元中，例如java组件、php组件、python组件等，更方便您进行多个组件日志的管理；如果您的组件数量比较少（例如小于20个），您可以将每个组件的日志采集到不同的日志单元中以分别进行管理。 如果您的日志有固定格式，可进行结构化解析（如Nginx日志），建议您将有相同格式的日志采集到同一个日志单元，方便您后续统一使用SQL统计分析功能，实现可视化图表分析。

本章节为您介绍如何快速启用协同签名服务。 本章节主要了解基础功能并完成必要的配置。通过简明的操作步骤和指导，您可以迅速配置好系统，并为移动端用户启用安全高效的协同签名服务。无论您是初次接触还是经验丰富的管理员，本章节都将为您提供清晰易懂的使用指引。 步骤一：配置第三方CA 1.使用管理员账号登录协同签名服务 2.在左侧导航栏选择“系统管理 > 第三方CA配置”，进入“连接配置”页面。 3.单击左上角的“添加CA”按钮，在弹出的对话框中填写相关参数。 4.填写完成后，单击“确认”，返回“连接配置”页面。 5.在页面左上方选择“根证书配置”，进入“根证书配置”页面。 6.单击“添加根证书”，在跳转的窗口填写相关参数。 7.填写完成后，单击“确定”完成第三方CA配置。 步骤二：配置第三方认证 第三方认证还要确保签名行为是真实发生的，并且是按照预定的规则进行的。这包括验证签名的时间戳、签名的顺序（在一些有先后顺序要求的协同签名场景中）以及签名的完整性。 1.使用管理员账号登录协同签名服务 2.在左侧导航栏选择“系统管理 > 系统设置”，进入“机构第三方认证配置”页面。 3.开启第三方认证并填写标准接口参数。

本文为您介绍查看预案详细信息的具体操作。 操作步骤 在您创建预案后，可以通过多活容灾服务控制台进行预案详情查看。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“预案编排”“预案管理”，进入预案管理列表页。 5. 在列表上方下拉菜单中选择需要进行预案管理操作的命名空间。 6. 点击列表中预案名称进入预案详情页。 7. 在基础信息部分可以查看当前预案名称、所属命名空间、当前任务数、涉及容灾管理中心、预计耗时、状态、预案阶段数和描述等信息。 8. 在流程视图部分，可以查看预案设计后的整体流程图。可点击具体预案阶段查看相关的任务视图。 9. 在任务列表部分，可以查看当前预案中包含的任务及相关信息，包括任务名称、类型、所属预案阶段、脚本/操作名称、目标资源类型、资源实例名、资源所属容灾管理中心、预计耗时、失败重试次数、任务参数和相关描述等。 10. 在预案阶段部分，可以查看当前预案所关联的预案阶段和相关信息，包括预案阶段名称、描述等。

本节主要介绍创建参数模板 数据库参数模板类似于数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个数据库实例。 使用须知 文档数据库服务和关系型数据库不共享参数模板配额。 每个用户最多可以创建100个文档数据库服务参数模板，集群、副本集实例共享该配额。 集群 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航树，单击“参数模板管理”。 步骤 5 在“参数模板管理”页面，单击“创建参数模板”。 步骤 6 选择数据库版本、集群实例类型和节点类型，命名参数模板，并添加参数模板的描述，单击“确定”，创建参数模板。 选择该数据库引擎参数模板所需应用的节点类型，例如：您需要创建config节点适配的参数模板，请选择“config”。 参数模板名称在1到64位之间，需要以字母开头，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256位，不能包含回车和>!<"&'特殊字符。 步骤 7 您可在“参数模板管理”页面的“集群”页签，查看并管理创建完成的参数模板。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 在事件列表查看审计事件 1. 登录管理控制台。 2. 单击页面左上角的“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务页面。 3. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 4. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近7天内任意时间段的操作事件。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击“刷新”按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击“展开”图标，展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。 9. 关于事件结构的关键字段详解，请参见事件结构和事件样例。

本文主要介绍将物理机或其他公有云主机迁移至天翼云ECS的迁移场景和操作步骤。 简介 当您需要实现物理机的上云迁移，把物理机迁移至天翼云ECS；或者把其他公有云主机迁移至天翼云ECS时，可以采用主机迁移服务实现源端服务器到天翼云ECS的快速迁移。本文主要介绍将物理机或其他公有云主机迁移至天翼云ECS的迁移场景和操作步骤。 操作步骤 1.获取目的端服务器所在账号的AK/SK。 说明 如果您需要直接使用账号来进行主机迁移，具体步骤请参见 sectiondfaee8dfd1a4b957。 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见 sectiond0d0e939b8f5cd2a。 2.在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 3.安装完成后，双击SMSAgent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 说明 迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 4.迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 5.创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。 说明 迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 6.（可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

快速入门 场景 说明 相关文档 开通服务 开通安全与加速服务 服务开通 新增域名 添加域名 新增域名（含IPv6开关） 域名归属权验证指南 配置加速 配置源站信息、缓存、动态加速等 配置加速规则 配置防护 配置Web防护、DDoS防护、CC防护、BOT防护等 Web防护配置 DDoS防护 CC防护 BOT防护 访问控制

本节为您介绍对用户授权的方法 如果您需要对您所拥有的ServiceStage进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 据企业的业务组织，在您的云服务帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用ServiceStage资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将ServiceStage资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用ServiceStage服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的ServiceStage权限，并结合实际需求进行选择。ServiceStage支持的系统权限，请参见权限管理。 示例流程 图 给用户授权ServiceStage权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予ServiceStage“ServiceStage ReadOnlyAccess”权限。 2. 创建用户 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，验证ServiceStage的只读权限。 在“服务列表”中选择“微服务云应用平台 ServiceStage”，进入“应用管理 > 应用列表”，单击“创建应用”，若提示权限不足，表示“ServiceStage ReadOnlyAccess”已生效。 在“服务列表”中选择除ServiceStage外的任一服务，若提示权限不足，表示“ServiceStage ReadOnlyAccess”已生效。

操作场景 当您不再需要保护指定实例时，请执行删除保护实例操作，解除生产站点服务器和云平台容灾站点间的复制关系。 删除保护实例不会删除生产站点的云主机资源，对生产站点业务无影响。 使用须知 保护实例反向重保护后初始同步过程中，如果删除保护实例，生产站点服务器可能无法启动，建议等初始同步完成后再删除保护实例。 前提条件 待删除的保护实例有其它操作正在执行时，不可以执行删除操作。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待删除的保护实例所在站点复制对的保护实例数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择待删除保护实例所在的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待删除的保护实例所在行操作列的“更多 > 删除”。如果需要批量删除保护实例，可同时勾选需要删除的保护实例，单击保护实例列表上方的“删除”。 6. 在弹出的确认对话框中，根据需求选择相应的操作。删除容灾站点的服务器/云硬盘： 1. 不勾选：生产站点服务器与云平台容灾站点间的复制关系解除，但是会保留容灾站点服务器及容灾站点服务器上挂载的云硬盘。 2. 勾选：生产站点服务器与云平台容灾站点间的复制关系解除，并同步删除容灾站点服务器及容灾站点服务器上挂载的云硬盘。如果不存在服务器则直接删除云硬盘。 3. 若当前保护实例处于“切换”、“反向重保护”状态，即容灾站点处于业务运行状态，无论是否勾选，均不会删除容灾站点资源。 7. 单击“是”，删除保护实例，保护实例状态显示为“删除中”。 8. 删除完成后，生产站点服务器将出现在“未保护的服务器”列表中。删除保护实例不会自动清理该保护实例创建的容灾演练，需在容灾演练页面进行删除。详见删除容灾演练。

本页介绍天翼云TeleDB数据库健康检查。 操作场景 健康检查是通过检查实例的各项指标来快速获取实例运行状态是否正常，检查的实例指标包括监控互信、CN与DN的连通性、磁盘空间不足预警、集群拓扑元数据、操作系统参数一致性和监听端口一致性。 监控互信：监控系统是否能正常连通集群各节点。 CN与DN的连通性：CN是否能访问所有DN，并且正常执行检查命令。 磁盘空间不足预警：检查数据库占用磁盘空间是否大于可用空间的80%。 集群拓扑元数据：DN和CN节点记录的集群拓扑架构是否完全一致。 操作系统参数一致性：备操作系统运行参数是否与模版一致。 监听端口一致性：数据库分配端口与实际运行端口是否完全一致。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航单击实例列表，进入实例列表页面。 2. 在实例列表页面，单击目标实例所在行的操作列的健康检查 ，弹出健康状况对话框。 3. 进入健康状况对话框，单击健康检查，实例将对所有检查项进行检查。 4. 单击刷新，可查看检查结果。

本页简要介绍分布式数据库V5.0.0版本更新说明。 V5.0.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 5.0 2022年 12 月 新增和优化功能： 1. 支持重置实例密码，包括查看实例详情和重置实例root用户密码。 2. 支持备份数据加密。 3. 支持表空间管理，包括创建表空间、查看实例所有用户、检测挂载目录可用性、查看表空间列表、删除表空间和修改表空间。 4. 支持创建同规格实例，包括查看实例信息、创建同规格实例、软件包增加blocksize特性解析、升级时增加blocksize筛选、实例开通时提供多个不同的blocksize编译包、。创建实例时增加数据损坏检测和链接实例提供SSL加密功能。 5. 优化Oracle兼容性，包括支持NULLIF函数、支持TRIM函数、支持 physicalattributesclause函数、支持dual虚表、支持查询ORDER BY、允许插入字符串类型的数据（text/varchar.）转换为数字类型的列（int/nuemric）和支持运算符“”等。 6. 支持跨数据库数据访问、跨平台与Oracle数据库数据交换和多模式访问。 修改功能 无。 修复缺陷 无。

前提条件 保护实例已初始同步完成，并且保护实例的状态为“同步中”、“同步完成”或者“容灾演练失败”。 保护实例的生产业务位于生产站点时，才能进行容灾演练。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待进行容灾演练的保护实例所在站点复制对的保护组数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待进行容灾演练的保护实例所在行操作列的“容灾演练”。 6. 进入容灾演练页面。根据界面提示配置容灾演练弹性云服务器的信息。 7. 单击“下一步”。进入信息确认界面，确认容灾演练的信息后，单击“提交”开始创建容灾演练。 8. 保护实例状态显示为“创建容灾演练中”，创建完成后，保护实例状态恢复为“同步完成”。 9. 容灾演练创建成功后，可从容灾演练页面进行查看，您可以登录容灾演练服务器，检查业务是否正常运行。 表 参数说明 参数 说明 取值样例 规格 选择容灾演练弹性云服务器的规格。 容灾演练名称 设置容灾演练的名称。名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 DrillECS02 网络 选择容灾演练的VPC。容灾演练VPC和容灾站点服务器所在的VPC不能是同一个。 子网 选择容灾演练的子网。 IP 选择容灾演练弹性云服务器获取IP地址的方式： 保留当前IP：当选择的子网和待容灾演练的生产站点服务器IP地址在同一网段时，此选项可以保持容灾演练服务器和生产站点服务器IP地址一致。 DHCP：自动获取IP地址。手动指定：手动指定时需填写指定的IP地址。

本节介绍科研助手的使用指南。 产品功能 功能介绍 相关链接 开发机 创建开发机 科研服务 科研服务 数据存储 数据存储

参数 说明 使用场景 虚拟私有云表示虚拟私有云中的云主机将通过DNAT的方式共享弹性IP，为公网提供服务。 云专线表示通过云专线方式接入虚拟私有云的本地数据中心中的服务器，将通过DNAT的方式为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。 此方式相当于为云主机配置了一个弹性IP，任何访问该弹性IP的请求都将转发到目标云服务器实例上。 具体端口：属于端口映射方式。 公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标云主机实例的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。端口类型为具体端口时，可配置此参数，端口类型为所有端口时， 此参数默认设置为All。 弹性IP 弹性IP地址。这里只能选择没有被绑定的弹性IP， 或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，有效数值为165535。 公网端口为具体的数值，例如80。 私网IP 当使用场景为虚拟私有云时，指云主机的IP地址。表示此IP地址的云主机将通过DNAT方式为公网提供服务。 当使用场景为云专线时，指用户本地数据中心中服务器的IP地址或者用户的私有IP地址。 表示通过云专线接入到虚拟私有云的本地数据中心端的此私有IP服务器，可以通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，有效数值为165535。私网端口为具体的数值，例如80。

参数 是否必填 参数类型 说明 ticket 是 String 有效期是60秒,用于第三方服务回调AI应用后台，查询用户信息 source 是 String 来源类型，表明该请求从那一方请求， 向服务方申请提供

计费项目 计费说明 服务版本（必选） 按购买的服务版本（基础版、专业版、高级版或企业版）计费。 扫描配额包 按购买的个数计费。 购买时长 提供包年/包月和按需计费的购买模式。

本文主要介绍了购买类常见问题。 DRDS实例为什么会冻结？ 资源冻结的原因一般有两种原因： 按需计费实例，若账户欠费会导致实例冻结。 包周期计费实例，计费周期到期后如未续费，会导致实例冻结。 更多请参见计费说明 ​> 到期与欠费。 DRDS实例为什么会释放？ DRDS实例没有及时进行续费或充值，导致实例冻结后，会进入实例保留期。保留期内用户不能继续访问和使用DRDS服务，但存储在云服务中的数据将保留。实例保留15个自然日后，若用户未恢复实例，则会释放实例。 天翼云将会通过短信、邮件的方式通知您进行续订或充值。 注意 实例释放后将无法恢复，请及时续订或充值。 DRDS实例冻结后，如何恢复？ DRDS实例冻结后可以通过以下方法恢复： 若是按需计费实例，账户及时充值，扣费后将恢复服务。 若是包周期实例，则可以进行续费，恢复服务。详细操作请参考计费说明 ​> 续订。 DRDS实例续订的方式有哪些？ 若是按需计费的实例，确保账户余额充足，则会自动续费（使用）。 若是包周期计费的实例，可以在控制台进行续订动作。详细操作请参考计费说明 ​> 续订。

Nacossdkgo Nacossdkgo是Nacos的Go语言客户端，它实现了服务发现和动态配置的功能 使用限制 支持Go>v1.15版本 支持Nacos>2.x版本 安装 安装开源SDK go get github.com/nacosgroup/nacossdkgo/v2 快速使用 ClientConfig constant.ClientConfig{ TimeoutMs uint64 // 请求Nacos服务端的超时时间，默认是10000ms NamespaceId string // ACM的命名空间Id CacheDir string // 缓存service信息的目录，默认是当前运行目录 UpdateThreadNum int // 监听service变化的并发数，默认20 NotLoadCacheAtStart bool // 在启动的时候不读取缓存在CacheDir的service信息 UpdateCacheWhenEmpty bool // 当service返回的实例列表为空时，不更新缓存，用于推空保护 Username string // Nacos服务端的API鉴权Username Password string // Nacos服务端的API鉴权Password LogDir string // 日志存储路径 RotateTime string // 日志轮转周期，比如：30m, 1h, 24h, 默认是24h MaxAge int64 // 日志最大文件数，默认3 LogLevel string // 日志默认级别，值必须是：debug,info,warn,error，默认值是info } ServerConfig constant.ServerConfig{ ContextPath string // Nacos的ContextPath，默认/nacos，在2.0中不需要设置 IpAddr string // Nacos的服务地址 Port uint64 // Nacos的服务端口 Scheme string // Nacos的服务地址前缀，默认http，在2.0中不需要设置 GrpcPort uint64 // Nacos的 grpc 服务端口, 默认为 服务端口+1000, 不是必填 } 我们可以配置多个ServerConfig，客户端会对这些服务端做轮询请求 服务发现 注销实例：DeregisterInstance success, err : namingClient.DeregisterInstance(vo.DeregisterInstanceParam{ Ip: "${ipAddr}", Port: 8848, ServiceName: "demo.go", Ephemeral: true, Cluster: "clustera", // 默认值DEFAULT GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取服务信息：GetService services, err : namingClient.GetService(vo.GetServiceParam{ ServiceName: "demo.go", Clusters: []string{"clustera"}, // 默认值DEFAULT GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取所有的实例列表：SelectAllInstances services, err : namingClient.GetService(vo.GetServiceParam{ ServiceName: "demo.go", Clusters: []string{"DEFAULT"}, // 默认值 GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取实例列表 ：SelectInstances // SelectInstances 只返回满足这些条件的实例列表：healthy${HealthyOnly},enabletrue 和weight>0 instances, err : namingClient.SelectInstances(vo.SelectInstancesParam{ ServiceName: "demo.go", GroupName: "groupa", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT HealthyOnly: true, }) 获取一个健康的实例（加权随机轮询）：SelectOneHealthyInstance // SelectOneHealthyInstance将会按加权随机轮询的负载均衡策略返回一个健康的实例 // 实例必须满足的条件：healthtrue,enabletrue and weight>0 instance, err : namingClient.SelectOneHealthyInstance(vo.SelectOneHealthInstanceParam{ ServiceName: "demo.go", GroupName: "groupa", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT }) 监听服务变化：Subscribe // Subscribe keyserviceName+groupName+cluster // 注意:我们可以在相同的key添加多个SubscribeCallback. err : namingClient.Subscribe(vo.SubscribeParam{ ServiceName: "rccdemo", GroupName: "DEFAULTGROUP", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT SubscribeCallback: func(services []model.Instance, err error) { log.Printf("nn callback return services:%s nn", utils.ToJsonString(services)) }, })

本章节主要介绍ALM14017 NameNode直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测HDFS服务直接内存使用状态，当检测到NameNode实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14017 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 NameNode可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点NameNode实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击告警“ALM14017 NameNode直接内存使用率超过阈值”所在行的下拉菜单，在“定位信息”中查看告警上报的角色名并确定实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 实例 > NameNode（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“NameNode内存使用详情”。查看直接内存使用情况。 3.查看NameNode使用的直接内存是否已达到NameNode设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤8。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置 > NameNode > 全部配置”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤6。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。保存配置，并重启NameNode实例。 6.查看告警信息，是否存在告警“ALM14007 NameNode堆内存使用率超过阈值”。 是，查看“ALM14007 NameNode堆内存使用率超过阈值”进行处理。 否，执行步骤7。 7.观察界面告警是否清除。 是，处理完毕。 否，执行步骤8。

本文介绍文档数据库服务的主要功能与特性。 两种架构 文档数据库服务支持两种部署架构，包括集群和副本集实例，满足不同的业务场景。 集群 集群实例提供mongos、shard、和config三类节点。您可以自由的选择mongos节点和shard节点的个数和配置，组建服务性能不同的文档数据库集群实例。 副本集 文档数据库服务自动搭建副本集架构，您可以直接操作Primary和Secondary节点。文档数据库服务为您提供高可用、容灾切换等高级功能，使用过程中对应用完全透明。 弹性扩容 根据业务发展需要，您可以实时变更实例的CPU和内存规格、扩容磁盘存储空间、增加mongos和shard节点数量。同时，建议您尽量选择在业务低峰期进行变更，避免在变更过程中对业务造成影响。 关键功能特性 关键特性说明 功能特性 说明 :: SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云主机一起使用，通过弹性云主机内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。 参数配置 控制台支持在线修改并生效配置参数，以及参数组配置管理功能。

本文为您介绍统一身份认证服务的权限配置管理方式 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 系统策略 ：预置的系统策略，您只能使用不能修改。云间高速EC相关的系统策略包含如下： EC Admin：云间高速服务的管理者权限，包含云间高速所有控制权限； EC Viewer：云间高速服务的观察者权限，包含云间高速服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本章节主要介绍数据湖探索（DLI）如何创建用户并授权使用。 如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DLI服务的其它功能。 本章节介绍创建IAM用户并授权使用DLI的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您先了解用户组可以添加的DLI权限，并结合实际需求进行选择。DLI支持的系统权限，请参见权限管理概述章节中的“DLI系统权限”。 示例流程 给用户授权DLI权限流程 1.创建用户组并授权。 在IAM控制台创建用户组，并授予DLI服务普通用户权限“DLI ReadOnlyAccess”。 2.创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3.用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据湖探索，进入DLI主界面。如果在“队列管理”页面可以查看队列列表，但是单击右上角“购买队列”，无法购买DLI队列（假设当前权限仅包含DLI ReadOnlyAccess），表示“DLI ReadOnlyAccess”已生效。 在“服务列表”中选择除数据湖探索外（假设当前策略仅包含DLI ReadOnlyAccess）的任一服务，若提示权限不足，表示“DLI ReadOnlyAccess”已生效。如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。

本文通过完全开源的RAGFlow服务与云搜索服务的OpenSearch向量数据库与搜索大模型快速构建智能知识问答(RAG)服务。 RAGFlow 是一款基于深度文档理解的开源RAG（检索增强生成）引擎。它为企业级用户提供了一套端到端的 RAG 解决方案，通过结合大语言模型（LLM） 的能力，实现对多样化复杂格式数据的精准解析与知识检索，为用户提供依据充分、真实可靠的问答服务，并确保所有回答均附带可追溯的引用来源。 RAG（Retrieveraugmented Generation）是一种结合了信息检索和生成的自然语言处理（NLP）技术，特别适用于需要从大量数据中检索信息并生成自然语言文本的场景。它在处理复杂任务时能够提升生成模型的性能，尤其是在模型缺乏足够上下文或知识的情况下。 RAG的优势 RAG通过检索外部知识库或数据库中的相关信息，能够在生成过程中动态地补充实时或特定领域的知识，弥补了生成模型的“知识盲区”。这使得模型能够在没有训练时直接获得的信息基础上进行更加准确的回答或内容生成。针对企业内部包含的敏感数据（如薪资标准、客户资料等）以及大量专有信息（包括产品文档、客户案例、流程手册等），RAG提供了安全的解决方案。由于这些非公开信息无法直接预置到大模型中，RAG通过外部知识调用的方式，既满足了信息需求，又确保了数据安全性。

本文介绍训推服务使用前的准备工作。 注册主账号 在开通和使用训推服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后使用训推服务。 1. 详见：注册天翼云账号 2. 如需实名认证，请参考会员服务实名认证。 3. 主账号默认就是IAM管理员角色，具有平台所有权限。 为账户充值 1. 使用训推服务之前，请保证您的账户有充足的余额，账户余额需要大于100元。 2. 关于如何为账户充值，请参考费用中心在线充值。 3. 训推服务支持包周期预付费。 创建子账号 前置条件 通过主账号或角色为IAM管理员的子账号登录到训推服务 创建子账号操作步骤 1. 将鼠标放置在右上角用户登录信息处，会显示一个下拉菜单，点击【基本信息】会进入到【账号中心】页面 2. 在【账号中心】页面，点击进入【统一身份认证】页面，即【IAM】页面 3. 在【IAM】页面，再次进入【用户】页面，在页面右上角点击【创建用户】按钮，进入到【创建用户】页面，按步骤填写相关信息即可创建子用户 需要特别说明的是，在为子用户添加【用户组】时，系统预置了“admin”用户组，如果将账号用户组设置为”admin“用户组(即IAM管理员角色)，则子用户拥有所有权限；若希望子用户只拥有普通角色权限，则可以不分配用户组，此时子账号的角色为IAM普通用户。 同时为了方便组织架构较为严密的客户进行多层级资源管理，系统允许用户创建”二级管理员“用户组，其权限仅次于“admin”用户组，"二级管理员"可以和”admin“用户组组合使用，再结合工作空间能力，可实现多级账号资源管理，详见多层级资源管理最佳实践。”二级管理员“用户组创建流程如下： 创建用户组：在用户组页面，点击”创建用户组“，在创建用户组弹窗中分别填写用户组名称和描述； 为用户组授权： 1. 点击授权操作按钮； 2. 在策略名称搜索框中输入”huijuOutSLAdmin“进行搜索，选择所搜索的结果，点击“下一步”按钮，再设置最小授权范围(保持默认设置即可)，再点击“确定”即用户组创建完成，此时再创建新用户，就可以选择“二级管理员”用户组了，对应账号将拥有二级管理员权限。 当需要将子账号从某个用户组移除时，可进入到【用户组】页面，进行移除操作，移除后，子账号将不再具有对应用户组的权限

部署完成后，在foo命名空间下看到3个服务 不使用授权策略的情况下，验证从sleep应用访问httpbin应用没有被拦截（返回状态码200）： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl s o /dev/null w "%{httpcode}n" 200 查看外部授权服务已经启动，HTTP和gRPC授权服务分别监听8000和9000端口： kubectl logs "$(kubectl get pod l appextauthz n foo o jsonpath{.items..metadata.name})" n foo c extauthz 2023/08/14 11:26:54 Starting HTTP server at [::]:8000 2023/08/14 11:26:54 Starting gRPC server at [::]:9000 添加外部授权服务 将上面的HTTP和gRPC服务添加到服务网格的外部授权服务内。 定义授权策略&验证访问 定义如下授权策略，对httpbin应用的/headers路径的请求将被转发到第三方授权服务进行验证： apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: httpbin action: CUSTOM provider: The provider name must match the extension provider defined in the mesh config. You can also replace this with sampleextauthzhttp to test the other external authorizer definition. name: sampleextauthzgrpc rules: The rules specify when to trigger the external authorizer. to: operation: paths: ["/headers"] 从sleep应用请求httpbin的/headers路径，由于请求头带了"xextauthz:deny"，请求被拦截： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl " H "xextauthz: deny" s denied by extauthz for not found header xextauthz: allow in the request 修改请求，带上"xextauthz: allow"头部，请求放行： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl " H "xextauthz: allow" s { "headers": { "Accept": "/", "Host": "httpbin.foo:8000", "UserAgent": "curl/8.2.1", "XB3Parentspanid": "eb42a8165099e7db", "XB3Sampled": "1", "XB3Spanid": "cd6540ba1cfd9e8c", "XB3Traceid": "e7e15cc10dc66630eb42a8165099e7db", "XEnvoyAttemptCount": "1", "XExtAuthz": "allow", "XExtAuthzAdditionalHeaderOverride": "grpcadditionalheaderoverridevalue", "XExtAuthzCheckReceived": "source:{address:{socketaddress:{address:"10.1.0.25" portvalue:37654}} principal:"spiffe://cluster.local/ns/foo/sa/sleep"} destination:{address:{socketaddress:{address:"10.1.0.24" portvalue:80}} principal:"spiffe://cluster.local/ns/foo/sa/httpbin"} request:{time:{seconds:1692015383 nanos:990298000} http:{id:"7462237371770661564" method:"GET" headers:{key:":authority" value:"httpbin.foo:8000"} headers:{key:":method" value:"GET"} headers:{key:":path" value:"/headers"} headers:{key:":scheme" value:"http"} headers:{key:"accept" value:"/"} headers:{key:"useragent" value:"curl/8.2.1"} headers:{key:"xb3sampled" value:"1"} headers:{key:"xb3spanid" value:"eb42a8165099e7db"} headers:{key:"xb3traceid" value:"e7e15cc10dc66630eb42a8165099e7db"} headers:{key:"xenvoyattemptcount" value:"1"} headers:{key:"xextauthz" value:"allow"} headers:{key:"xforwardedclientcert" value:"Byspiffe://cluster.local/ns/foo/sa/httpbin;Hashc32db24acfa670a8bbe46f0897ebb70b9ccc0e630ee32afcd1ec037d6616e6c5;Subject"";URIspiffe://cluster.local/ns/foo/sa/sleep"} headers:{key:"xforwardedproto" value:"http"} headers:{key:"xrequestid" value:"aba7b68c6bee9d58b1637454075c6ece"} path:"/headers" host:"httpbin.foo:8000" scheme:"http" protocol:"HTTP/1.1"}} metadatacontext:{}", "XExtAuthzCheckResult": "allowed", "XForwardedClientCert": "Byspiffe://cluster.local/ns/foo/sa/httpbin;Hashc32db24acfa670a8bbe46f0897ebb70b9ccc0e630ee32afcd1ec037d6616e6c5;Subject"";URIspiffe://cluster.local/ns/foo/sa/sleep" } }

本章节主要介绍WAF自定义策略。 如果系统预置的WAF权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 WAF自定义策略样例 示例1：授权用户查询防护域名列表 "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] 示例2：拒绝用户删除网页防篡改规则 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“WAF FullAccess”的系统策略，但不希望用户拥有“WAF FullAccess”中定义的删除网页防篡改规则的权限（waf:antiTamperRule:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“WAF FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对WAF执行除了删除网页防篡改规则的所有操作。以下策略样例表示：拒绝用户删除网页防篡改规则。 { { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] } 多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "waf:antiTamperRule:delete" ] }, ] }

请您根据以下处置建议，对系统展开检查，减少脆弱性暴漏。 体检完成后，您可以根据体检报告及漏洞详单查看互联网业务的漏洞开放、弱口令、高危端口开放等安全问题。体检报告包含推荐的处置建议，产线可根据这些建议，完成漏洞修复并及时更新线上系统，防止被攻击人员利用，造成损失。 通用处置建议 安全体检建议对存在漏洞的主机参考附件中提出的解决方案进行漏洞修补、安全增强。 建议所有Windows系统使用"Windows Update"进行更新。 对于大量终端用户而言，可以采用WSUS进行自动补丁更新，也可以采用补丁分发系统及时对终端用户进行补丁更新。 对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。 对于存在弱口令或是空口令的服务，在一些关键服务上，应加强口令强度，同时需使用加密传输方式，对于一些可关闭的服务来说，建议关闭该服务以达到安全目的。 对于UNIX系统订阅厂商的安全公告，与厂商技术人员确认后进行漏洞修补、补丁安装、停止服务等。 由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞，攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。 建议采用安全体检系统定期对网络进行评估，真正做到未雨绸缪。 远程安全评估系统建议对存在不合规检查项的主机参考对应的检查点详情中提出的调整方案和标准值进行修正。

本小节介绍HSS自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 HSS自定义策略样例 示例1：授权用户查询主机防护列表 { "Version":"1.1", "Statement": [ { "Effect": "Allow", "Action": [ "hss:hosts:list" ] } ] } 示例2：拒绝用户卸载Agent 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“HSS Administrator”的系统策略，但不希望用户拥有“HSS Administrator”中定义的卸载Agent的权限（hss:agent:uninstall），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“HSS Administrator”和拒绝策略授予用户，根据Deny优先原则用户可以对HSS执行除了卸载Agent的所有操作。以下策略样例表示：拒绝用户卸载Agent。 { "Version":"1.1", "Statement": [ { "Effect": "Deny", "Action": [ "hss:agent:uninstall" ] }, ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version":"1.1", "Statement": [ { "Effect": "Allow", "Action": [ "hss:hosts:list" ] }, { "Effect": "Allow", "Action": [ "hss:hosts:switchVersion", "hss:hosts:manualDetect", "hss:manualDetectStatus:get" ] } ] }

如何配置目的端服务器安全组规则？ 1. 登录管理控制台。 2. 单击控制台左上角，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云服务器列表，单击待变更安全组规则的弹性云服务器名称。系统跳转至该弹性云服务器详情页面。 5. 选择“安全组”页签，并单击，查看安全组规则。 6. 单击“更改安全组规则”。系统跳转至安全组页面。 7. 在“入方向规则”页签下，单击“添加规则”，配置安全组入方向的访问规则。 8. 单击“确定”，完成安全组规则配置。 源端连通专线/VPN或内网VPC对等连接，还需要连通公网吗？ 源端服务器和目的端服务器之间连通专线/VPN或内网VPC对等连接只用于数据流的传输，源端服务器和主机迁移服务端之间控制流需要通过公网传输，因此源端必须连通公网。 图 主机迁移工作原理 1、控制流：源端服务器和主机迁移服务端之间迁移指令的交互过程。 迁移指令交互包括： 步骤②：源端服务器上的迁移Agent向主机迁移服务注册自身连接状态，并将源端服务器信息上报到主机迁移服务，完成迁移可行性检查。 步骤④：迁移Agent获取并执行主机迁移服务发送的迁移指令。 2、数据流：源端服务器上磁盘数据的迁移过程。 磁盘数据迁移包括： 步骤⑤：迁移源端服务器系统盘。 步骤⑥：迁移源端服务器数据盘。