本章节介绍云主机磁盘填充故障演练。 背景介绍 由失控的日志文件、未经清理的临时数据或异常进程持续写入，都可能导致云主机磁盘空间被耗尽（例如使用率超过95%）。这种情况会直接导致应用无法写入新数据、服务功能异常甚至进程崩溃。本演练模拟磁盘空间被占满的场景，帮助您检验系统的磁盘空间监控告警、日志轮转机制以及应用在无可用存储空间时的处理逻辑。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 目录：填充文件的写入目标，默认为系统根目录 /。强烈建议指定一个非系统盘的数据目录。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：填充至指定的空间占用率（取值 1100），例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。

本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

本节介绍了网络安全相关问题与处理方法。 TaurusDB有哪些安全保障措施 网络 云数据库TaurusDB实例可以设置所属虚拟私有云，从而确保云数据库TaurusDB实例与其他业务实现网络安全隔离。 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 管理 通过统一身份认证服务（Identity and Access Management，简称IAM），可以实现对云数据库TaurusDB实例的管理权限控制。 如何防止任意源连接数据库 数据库开放EIP后，如果公网上的恶意人员获取到您的EIP。 DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP。 DNS、数据库端口、数据库帐号和密码等信息，并通过云数据库TaurusDB实例的安全组限定源IP，保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码，请按照云数据库TaurusDB实例的密码策略设置足够复杂度密码，并定期修改。 访问TaurusDB实例应该如何配置安全组 通过内网访问TaurusDB实例时，设置安全组分为以下两种情况： ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的 入方向规则 。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 通过弹性IP访问TaurusDB实例时，需要为TaurusDB所在安全组配置相应的 入方向规则 。 将根证书导入Windows/Linux操作系统

填写存储openapi使用的azName，必须与云硬盘所在的可用区一致。 persistentVolumeReclaimPolicy: "Delete" volumeMode: "Filesystem" 参数说明： volumeHandle：格式为0208{PVNAMESUFFIXLENTH}{PVNAMESUFFIX} DISKID表示P云硬盘的diskID，可以在云硬盘控制台获取。 DISKIDLENTH为16进制，表示diskID的长度。 例如DISKID是"5c1fae45d5f94088abaf4a59de3ffcce"，则DISKIDLENTH为24 执行以下命令，创建PV plaintext kubectl apply f pvexample.yaml 查看创建的PV：登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷”，在持久卷列表查看。 2、创建持久卷声明（PVC） 使用kubectl连接集群，创建示例yaml文件pvcexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: cstorpvcdisk namespace: default spec: accessModes: ReadWriteOnce resources: requests: storage: 10Gi volumeMode: Filesystem volumeName: {YOURPVNAME} 替换PV名称 执行以下命令，创建PVC plaintext kubectl apply f pvcexample.yaml 查看创建的PVC： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷声明”，在列表查看。 3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1"kind: "StatefulSet"metadata: name: "teststs"spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcdisk" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。

本节介绍如何配置日志。 您可以将攻击事件日志、访问控制日志、流量日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的CFW日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据，通过海量日志数据的分析与处理，可以为您提供一个实时、高效、安全的日志处理能力。 说明 防火墙支持通过“日志查询”查看并导出最近7天的日志数据，请参见“日志查询”。 LTS按流量单独计费。 配置日志 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航树中，选择“日志审计> 日志管理”，进入“日志管理”页面。开启对接云日志服务。 5. 创建日志组和日志流。操作步骤请参见“云日志服务> 快速入门 > 创建日志组和日志流”。 说明 为方便后续查看，建议您： 创建日志组时加入cfw为后缀。 创建日志流时分别为攻击事件日志、访问控制日志、流量日志加入attack、access、flow为后缀。 6. 选择已创建的日志组和日志流。选择日志组，开启并选择日志流，单击“确定”，完成日志配置。 说明 攻击、访问、流量日志的格式均不一样，需配置不同的日志流分别记录。 攻击日志：记录攻击告警信息，包括攻击事件类型、防护规则、防护动作、五元组、攻击payload等信息。 访问日志：记录命中ACL策略的流量信息，包括命中时间、五元组、响应动作、访问控制规则等信息。 流量日志：记录所有通过云防火墙的流量信息，包括开始时间、结束时间、五元组、字节数、报文数等信息。

本节介绍了银河麒麟公共镜像相关问题的解决方法。 挂载此公共镜像的弹性云主机在使用过程中，遇到挂载云硬盘速度慢问题，或在创建lvm过程中，遇到有打印告警，并且执行命令有较高延迟问题时，怎么办？ 挂载银河麒麟公共镜像（KylinOS V10 SP3 64bit）的弹性云主机在使用过程中，如果您遇到挂载云硬盘速度慢问题，或在创建lvm过程中，遇到有打印告警（如下图），并且执行命令有较高延迟问题时， 可通过更换python3默认版本到python3.7进行修复。 图 创建lvm的告警 操作方法 1. 执行以下命令，更换python3默认版本到python3.7。 plaintext sudo ln sf /usr/bin/python3.7 /usr/bin/python3 2. 执行以下命令进行验证，如果回显信息显示Python 3.7.9，即表示更换成功。 plaintext python3 version 挂载此公共镜像的弹性云主机在使用过程中，遇到snmp报错问题怎么办？ 挂载银河麒麟公共镜像（KylinOS V10 SP3 64bit）的弹性云主机在使用过程中，如果您遇到snmp报错问题（如下图），可使用如下方法解决。 图 snmp报错

本节主要介绍安全审计 操作场景 根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。 前提条件 已开通云审计服务且追踪器状态正常。 操作步骤 以审计最近两周云硬盘服务的创建和删除操作为例： 1. 以管理员权限登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。 3. 单击左侧导航树的“事件列表”，进入事件列表界面。 4. 在事件列表界面单击“筛选”，显示过滤条件查询框，依次选择“事件来源”>“资源类型”>“筛选类型”，单击“查询”按钮执行搜索，查看过滤结果。过滤条件查询示例：依次选择“evs”>“evs”>“按事件名称”>“createVolume”或“evs”>“evs”>“按事件名称”>“deleteVolume”，单击“查询”按钮执行搜索，查询所有创建或删除EVS的操作。 5. 单击左侧导航树的“追踪器”，进入追踪器详情页面，获取OBS桶名。 6. 参照查看已归档事件下载7天之前或者所有的事件。 7. 在操作记录中，以createVolume和deleteVolume作为关键字检索，找到对应记录。 8. 从第4步和第7步的结果中，抽取操作用户信息，甄别没有授权的操作，即用户越权操作，或不符合用户自身安全操作规范的操作。

云日志服务可以采集的日志类型 主机日志，通过ICAgent采集器进行采集。 云服务日志，需要到对应的云服务上启用日志上报。 云日志服务支持采集的文件类型（文件扩展名） 采集路径如果配置的是目录，示例：/var/logs/，则只采集目录下后缀为“.log”、“.trace”和“.out”的文件；如果配置的是文件名，则直接采集对应文件，只支持文本类型的文件，日志的时间（东八区 UTC/GMT+08:00）必须是最近7天以内的。

本文为您介绍云主机热变配的规则、限制及注意事项等。 热变配，即开机变配，是指云主机在运行中状态下进行变更规格的操作。热变配规则如下： 仅支持热升配，不支持热降配。 仅支持vCPU在32C及以上的规格进行热升配。 仅支持7代机/6代机/3代机进行同代热升配，即变更为同代系更大规格。例如，支持s3.8xlarge.2热变配为s3.8xlarge.4，不支持s3.8xlarge.2热变配为s6.8xlarge.4。 仅支持S类型之间、C/M类型之间进行同类型热升配，不支持跨类型热升配。例如，支持c3.8xlarge.2热变配为c3.8xlarge.4，支持c3.8xlarge.2热变配为m3.8xlarge.8，不支持s6.8xlarge.2热变配为c6.8xlarge.4。 支持热变配的镜像列表： 系统 版本 CentOS CentOS 7.2 64位 CentOS CentOS 7.3 64位 CentOS CentOS 7.4 64位 CentOS CentOS 7.5 64位 CentOS CentOS 7.6 64位 CentOS CentOS 7.7 64位 CentOS CentOS 7.8 64位 CentOS CentOS 8.0 64位 CentOS CentOS 8.1 64位 CentOS CentOS 8.2 64位 CTyunOS CTyunOS 2.0.121.06.4 64位 CTyunOS CTyunOS 2.0.121.06.4 64位 ARM版 CTyunOS CTyunOS 323.01 64位 存量云主机，即在热变配功能上线前已开通的云主机，不支持热变配。 已加入云主机组的云主机不支持热变配。 注意 热变配过程约在15~60秒，并且可能对业务有一定影响，例如可能造成读业务性能下降约10%，持续时间不超过5秒。规格跨度越大变配耗时越久、业务影响越大，请您根据自身业务情况谨慎操作。 请勿连续进行热变配操作，建议两次热变配操作至少间隔五分钟。 部分资源池由于版本问题可能不支持热变配，如遇相关问题可联系天翼云客服。

本文主要介绍远程连接Linux云主机报错:Permission denied如何处理。 问题现象 远程连接Linux云主机报错：Permission denied 图 Permission denied 说明 修改此问题需要重启进入救援模式，请评估风险后进行操作。 本节操作涉及云主机重启操作，可能会导致业务中断，请谨慎操作。 根因分析 /etc/security/limits.conf中的nofile 用来设置系统允许打开的最大文件数目，如果nofile值大于PermissionDenied.png内核设置的fs.nropen参数值（默认为1048576），会导致登录校验错误，导致登录云主机时提示“Permission denied”。 处理方法 1.进入云主机的单用户模式。 以CentOS 7操作系统为例： a.重启云主机，单击“远程登录”。 b.按上方向键，阻止系统自动继续，在出现内核选项时按字母键e进入内核编辑模式。 图 进入内核编辑模式 说明 Euler镜像默认对grub文件进行了加密，进入编辑内核模式时会提示：Enter username，需要输入用户和密码，请联系客服获取。 c.找到linux16行末尾，删除不需要加载的参数到ro参数。 d.修改ro为rw，以读写方式挂载根分区。 e.并添加rd.break，然后执行Ctrl+X。 图 修改前 图 修改后 f.执行以下命令切换至/sysroot目录。 chroot /sysroot 2.执行以下命令，查询内核的fs.nropen值。 sysctl fs.nropen 3.编辑 /etc/security/limits.conf，修改配置的nofile值为合理的值，需小于2中查询的fs.nropen值，例如65535。 vi /etc/security/limits.conf 说明 limits.conf 文件实际是Linux PAM（插入式认证模块，Pluggable Authentication Modules）中pamlimits.so 的配置文件。更多详细配置信息请查看man手册，执行：man limits.conf 4.重启服务器，重试连接云主机。

本文介绍了如何使用统一身份认证（Identity and Access Management，简称IAM）服务对访问专属云（存储独享型）资源进行精细的权限管理。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“步骤二：创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。专属云（存储独享型）DSS相关的系统策略包含如下： ctdss admin：专属云（存储独享型）服务的管理者权限，包含专属云（存储独享型）所有控制权限（不含订单类权限）； ctdss viewer：专属云（存储独享型）服务的观察者权限，包含专属云（存储独享型）的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“步骤二：创建自定义策略”。

本文向您介绍如何在云主机上使用安装USB类型的Ukey秘钥 目前云主机不支持使用USB key，USB key只支持插在宿主机上，不支持插在笔记本电脑上。

参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“

本文主要介绍 修改DNS与添加安全组（Windows） 操作场景 本章节指导用户为Windows系统的ECS主机添加域名解析并添加安全组，防止下载Agent安装包与采集监控数据时出现异常。 修改ECS的DNS配置有两种方式：Windows图形化界面和管理控制台。您可以根据自己的使用习惯选择其中一种方式进行配置。 注：添加DNS服务解析和配置安全组针对的是主网卡。 修改DNS（Windows图形化界面） 本节介绍使用Windows图形化界面方式添加域名解析地址的操作步骤和方法。 1. 选择“服务列表 > 计算 > 弹性云主机”。通过VNC方式登录Windows弹性云主机。 2. 打开“控制面板 > 网络与共享中心”，单击“更改适配器配置”。 3. 右键单击使用的网络，打开设置，配置DNS。 图 添加域名解析地址（Windows） 注：100.125.0.250为示例说明，具体DNS请联系管理员获取。 修改DNS（管理控制台方式） 本节介绍登录管理控制台后修改ECS的DNS配置的操作步骤和方法。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 1. 在管理控制台左上角选择区域和项目。 2. 选择“服务列表 > 计算 > 弹性云主机”。 弹性云主机列表中，单击ECS名称查看详情。 3. 在“虚拟私有云”项单击虚拟私有云名称，进入“虚拟私有云”界面。 4. 在“VPC名称/ID”列表中，单击“vpc328c”。 5. 在“子网”列表中，单击“subnet328d”所在行“修改”。 弹出“修改子网”对话框，修改“DNS服务器地址1”为正确的DNS服务器IP地址。 注：subnet328d为该ECS的子网。 6. 单击“确定”，保存设置。 注：在控制台修改DNS需重启ECS或BMS后生效。

本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境 简介 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境。该指导具体操作以CentOS 7.2 64位操作系统为例。 Linux实例手工部署LNMP环境具体操作步骤如下： 1.安装nginx。 2.安装MySQL。 3.安装PHP。 4.浏览器访问测试。 前提条件 1.弹性云主机已绑定弹性公网IP。 2.弹性云主机所在安全组添加了如下表所示的安全组规则，具体步骤参见为安全组添加安全组规则。 表 安全组规则 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 操作步骤 1.安装nginx。 a.登录弹性云主机。 b.执行以下命令，下载对应当前系统版本的nginx包。 wget c.执行以下命令，建立Nginx的yum仓库。 rpm ivh nginxreleasecentos70.el7.ngx.noarch.rpm d.执行以下命令，安装Nginx。 yum y install nginx e.执行以下命令，启动Nginx并设置开机启动。 systemctl start nginx systemctl enable nginx f.查看启动状态。 systemctl status nginx.service g.使用浏览器访问“ 图 测试访问nginx

使用场景 大模型API提供了接口以便用户更好地进行DeepSeek管理和应用开发。用户在开通天翼云DeepSeek云主机后，利用Open WebUI API即可实现对外提供API调用，同时也可以非常方便的实现外部大模型API接入使用。 本教程使用的GPU云主机规格如下所示，用于部署DeepSeekr1:7b模型，配置仅供参考。 plaintext cpu 16核  内存 64G GPU: NVIDIA A101 (24GB) 如需体验其它模型版本，请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云自定义部署DeepSeek步骤二：规格选型，选择合适的云主机。 准备 参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云快速体验DeepSeek ，准备相关设备及模型资源。 认证 OpenWebUI 使用Bearer Token认证保证客户端请求的合法性，其Token为APIKEY中JWT令牌(Json Web Token)。获取API key方式如下： 1. 登录Open WebUI。 2. 选择设置>账户，选择获取或者新建API KEY。

本章节介绍云主机DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而引发流量劫持、服务中断或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验系统的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的域名。 映射IP：将目标域名解析到该IP地址。

本节介绍云等保专区产品的应用场景。 等保合规场景 场景特点 随着《网络安全法》、《信息安全技术网络安全等级保护基本要求》以及各个行业法律法规的发布，用户对于网络安全建设的重视程度日渐提升，等级保护建设逐渐成为了网络安全建设的基线，各行各业的用户都在开始进行等级保护合规建设。 解决的问题 云等保专区产品为更好更快捷地帮助用户完成等级保护建设，特地推出等保二级基础版、等保二级高级版、等保三级基础版以及等保三级高级版套餐，用户仅需要根据自己实际合规等级需要，通过勾选对应套餐，就能够轻松通过等保二级、三级测评，满足等保合规要求。 安全加固场景 场景特点 用户开通云主机将业务部署完成后，需要对于云上业务进行安全加固防护，会使用到安全产品的能力，例如下一代防火墙的访问控制能力、Web应用防火墙的Web应用攻击防护能力、主机安全的漏洞检测与防护能力等。 解决的问题 云等保专区专项推出等保自定义版，能够提供下一代防火墙、Web应用防火墙、日志审计、主机安全、堡垒机、数据库审计以及漏洞扫描等原子能力，用户可根据自己当前云业务网络安全建设的薄弱点以及安全加固防护的需求，进行自主选择需要的安全原子能力进行安全加固建设。

本章节主要介绍云搜索服务（ES）的计费模式。 计费项 云搜索服务对您选择的实例规格和使用时长计费。 云搜索服务计费说明 计费项 计费说明 : 节点实例 实例类型及规格（核数，内存），购买时长以及所购买的实例数量。 节点存储 磁盘类型： 您可以根据具体的业务场景选择对应的磁盘类型，不同的磁盘类型收费标准不一样。 云搜索服务提供了多种磁盘类型： 普通I/O、高I/O、超高I/O。 带宽 带宽大小： 当您对集群开通公网访问或者Kibana公网访问功能时，会产生带宽计费。 云搜索服务提供了两种带宽类型： 低带宽(05Mbit/s)、 高带宽(62000Mbit/s) ，根据您选择的带宽大小，计费时会自动归类到低带宽或者高带宽。 计费方式 按需计费 按需计费方式，即按实际使用时长计费，以自然小时为单位整点计费，不足一小时按一小时计费。这种购买方式比较灵活，可以即开即停。 包周期计费 根据集群购买时长，一次性支付集群费用。最短时长为1个月，最长时长为13年。 说明 目前部分资源池暂不支持包周期计费模式，请以订购页各资源池实际支持的计费模式为准。 对暂不支持包周期计费的资源池，我们将按计划逐步上线相应计费能力。 计费方式变更 暂不支持按需计费、包周期计费互相转换，相关能力正在开发调试中。 到期欠费

本章节为您介绍了天翼云ECX的功能特性。 提供多重保障和手段，实现业务高可用 高可用多副本存储，云硬盘、整机的快照备份，快照回滚、备份恢复。 虚拟机冷热迁移及反亲和，故障自愈。 多样化监控指标和告警，图形化展示，帮助快速发现和处理问题。 支持专属网络和经典网络，可选择其一或两者兼具 专属网络即VPC，支持NAT、SLB、VPN等多种扩展能力。 经典网络独立于VPC，支持大带宽业务。 支持在开通时或开通后按需增删网络类型和数量。 提供多种VPC互通能力，可根据需求按需选择 对等连接可实现同集群同用户或不同用户VPC之间的内网互通。 VPN可实现不同集群之间或与第三方云、本地数据中心互联互通。 边边网络可实现不同VPC之间内网互联，不限集群和用户。 提供裸金属，兼具虚拟机弹性能力和物理机高性能 裸金属支持EIP和NAT网关等VPC能力，可与同集群云主机内网互通。 支持使用公有镜像和自定义镜像自定义装机。 提供多种监控指标告警。 提供丰富的计算、存储、网络能力 提供与中心云相同的能力，一致的使用体验。 提供包括虚拟机、裸金属等计算能力，云硬盘、本地盘、本地裸盘等存储能力。 提供VPC、公网IP、共享带宽、NAT网关、负载均衡、路由表、内网VIP、NAT64服务等网络能力。

优势 提供tier3~5+级灾备能力，核心产品可实现最高容灾等级6级。 提供全场景灾备能力，面向云内灾备、跨云灾备等场景，借助云平台IaaS层PaaS层云服务提供的负载调度、主备、双活、备份等产品能力，提供完整的灾备解决方案。 提供灾备咨询+交付专业技术能力，为客户提供业务调研、灾备方案设计、灾难恢复管理体系建设、容灾演练、系统运维等端到端灾备能力建设服务。 混合云场景中可提供机房级别容灾能力，平台内可直接操作主机、数据库、存储等云资源的跨机房的同步、切换、回切等动作。

概念 说明 生产站点 正常情况下承载业务的数据中心机房，可以独立运行，对业务的正常运作起到直接支持作用。对于异步复制，生产站点指的是用户的本地数据中心。 容灾站点 正常情况下不直接承载业务的机房，主要用于数据实时备份，在生产站点发生故障（计划性和非计划性）时可以通过执行容灾切换来接管业务，地理上不一定与业务管理中心接近，可以在同一个城市，也可以在不同的城市。 保护组 用于管理一组需要复制的服务器。一个保护组可以管理一个虚拟私有云下的服务器，租户拥有多个虚拟私有云时则需要创建多个保护组。 保护实例 一对拥有复制关系的服务器。保护实例仅属于一个特定的保护组，因此这对服务器所在位置与保护组的生产站点或容灾站点相同。 VBD VBD（Virtual Block Device）是云硬盘磁盘模式的一种。云硬盘的磁盘模式默认为VBD类型。VBD类型的云硬盘只支持简单的SCSI读写命令。适用于企业的日常办公应用以及开发测试等场景。 SCSI SCSI（Small Computer System Interface）是云硬盘磁盘模式的一种。SCSI类型的云硬盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的云硬盘还可以支持更高级的SCSI命令，例如持久锁预留，适用于通过锁机制保障数据安全的集群应用场景。 RPO 恢复点目标，一种业务切换策略，是数据丢失最少的容灾切换策略。以数据恢复点为目标，确保容灾切换所使用的数据为最新的备份数据。 RTO 恢复时间目标，为使中断对业务所带来的冲击最小化，关键业务从中断时点恢复到预定可接受水平上的目标时间。具体体现为，从生产站点发起切换或故障切换操作起，至容灾站点的服务器开始运行为止的一段时间，不包括手动操作DNS配置，安全组配置或执行客户脚本等任何时间，RTO小于30分钟。 容灾演练 为了确保一旦发生故障切换后，容灾机能够正常接管业务而进行的操作。 通过容灾演练，模拟真实故障恢复场景，制定应急恢复预案，当真实故障发生时，通过预案快速恢复业务，提高业务连续性。

本小节介绍云下一代防火墙配置登录方式指导。 云下一代防火墙需要云主机承载，如需正常被外网访问，需在安全组下放行云下一代防火墙web登录访问端口。 注意 图例安全组做了any放行，后期具体配置还请根据业务需求做端口放行，不建议开启any。 打开浏览器，地址栏输入 说明 该用户名密码与后台登录用户名密码一致。 初始用户名密码请提交工单咨询。

本节为您介绍腾讯云RDS MySQL 迁移至天翼云 CTRDS MySQL任务配置。 源端配置请参照自建MySQL为源的迁移任务源端配置。 目标端配置请参照自建MySQL迁移至天翼云CTRDS MySQL。

本节包含属云（存储独享型）的用户使用手册。 天翼云专属云（存储独享型）用户操作指南.pdf

本节介绍了DDoS高防（边缘云版）接入配置最佳实践。 网站类业务购买DDoS高防（边缘云版）产品后需要通过CNAME解析方式接入，将攻击流量引流到DDoS高防（边缘云版），可以达到隐藏源站目的，在遭受大流量DDoS攻击时保障源站服务器的稳定可靠。您可以参考本文中的接入配置和防护策略最佳实践，使用DDoS高防（边缘云版）更好地保护您的业务。 接入配置流程概述 正常情况下业务接入需要参照以下三个步骤进行配置。若业务遭受攻击时紧急接入，在接入配置前建议联系天翼云安全专家进行评估后协助接入，联系方式详见服务保障。 步骤1：自身业务梳理 首先，建议您在接入DDoS高防（边缘云版）前对待接入的业务进行全面梳理，在了解当前业务状况和具体数据的基础上，能更好地使用DDoS高防（边缘云版）提供的各类防护策略进行业务防护。 梳理项 说明 操作建议 网站和业务信息 网站或应用业务每天的流量带宽峰值情况，包括Mbps 根据日常业务高峰判定风险时间段 若有接入CDN可从CDN流量分析统计获取相应业务数据，作为DDoS高防（边缘云版）的业务带宽评估和购买套餐的选择依据。 业务的主要受众群体（如访问用户的主要地理区域信息） 判断非法攻击来源。 方便根据地理区域信息配置防护策略。 源站是否部署在非中国内地地域 判断业务实例是否符合最佳网络架构。 可在后续选择资源池防护时提供指导依据。 请求协议（如HTTPS） 无 若业务使用HTTPS协议需要上传证书。 业务端口 判断源站使用的端口是否在DDoS支持的范围内 无。 业务是否需要支持IPv6协议 根据源站服务器网络架构及业务开通情况判断是否需要支持IPv6 如果您的业务需要支持IPv6协议，可在域名接入配置中选择开启IPv6支持。 源站服务器的操作系统及所使用的Web服务中间件（Nginx、IIS等） 判断源站服务器是否存在防火墙ACL访问控制策略，避免源站误拦截DDoS高防（边缘云版）回源IP转发的流量。 如果有，需要在源站上设置放行DDoS高防（边缘云版）的回源IP。 业务是否存在空连接 例如，服务器主动发送数据包防止会话中断这类情况接入DDoS高防（边缘云版）后可能影响正常业务。 无。 业务交互过程 了解业务交互过程及其处理逻辑，以便后续配置针对性防护策略。 无。 业务及攻击情况 业务类型及业务特征（例如，游戏、棋牌、网站、App等业务） 便于在后续攻防过程中分析攻击特征。 无。 业务流量（入方向） 帮助后续判断是否包含恶意流量。 无。 业务流量（出方向） 帮助后续判断是否遭受攻击，并且作为是否需要额外业务带宽扩展的参考依据。 无。 单IP的入方向流量范围和连接情况 帮助后续判断是否可针对单个IP制定限速策略。 业务是否遭受过大流量攻击及攻击类型 根据历史遭受的攻击类型，设置针对性的DDoS防护策略。 无。 业务遭受过最大的攻击流量峰值 根据攻击流量峰值判断DDoS高防（边缘云版）功能规格的选择。 无。 业务是否遭受过CC攻击及最大攻击峰值 通过分析历史攻击特征，配置CC防御策略。 更多信息可参见CC防护最佳实践。 业务是否提供API接口服务 无。 提供信息为配置访问策略作为指导依据。 业务是否已完成压力测试 评估源站服务器的请求处理性能，作为后续业务异常判断条件之一。 无。

本章节主要介绍如何快速创建一个数据分析集群。 数据分析集群使用Apache Doris，Apache Doris是开源的MPP架构的OLAP分析引擎，支持亚秒级的数据查询和多表join。在创建数据分析集群前，需要先创建虚拟私有云。 操作步骤 1、进入集群创建页面 方法一：登录翼MapReduce产品详情页，直接点击“立即开通”。 方法二：进入翼MapReduce产品一类节点资源池的产品控制台，点击“+创建集群”。 2、软件配置 进入“创建集群”页面进行配置与订购，软件配置页面如下图所示，参数说明如下： 区域集群与可用区：集群节点所在的物理位置，根据需要选择区域及可用区，也可以使用默认值。 业务场景：选择“数据分析”场景。 产品版本：选择使用的产品版本，默认值即可。 服务高可用：翼MapReduce默认启用服务高可用且不可关闭高可用模式。 可选服务：由可选组件和必选组件组成，根据业务场景而定。您可根据自身业务场景对可选组件进行选择。数据分析集群场景下默认只有Doris一个必选组件。 3、硬件配置 软件配置选择完成后，点击“下一步”进入硬件配置页面。硬件配置页面如下图所示，参数说明如下： 计费模式：可选择计费模式，默认为包年/包月。 购买时长：可按需选择订购时长。 自动续费：可按需开启自动续费功能。 操作系统：可按需选择CTyunOS或麒麟系统。 注意 当前麒麟镜像为不提供license的免费公共镜像，license需要用户自行购买。天翼云将为客户辅助提供技术支持。 主机类型：可按需选择云主机或物理机。 CPU类型：可按需选择X86或ARM。 规格类型：可按需选择通用主机或国产化主机。 节点组：根据您自身需要选择集群节点规格及数量，包括对节点组类型、选项配置、云盘参数和性能的选择，可根据需要对core节点进行增加/删除。 企业项目：企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择翼MR集群的企业项目归属。仅支持选择用户有权限的企业项目。 虚拟私有云：不同虚拟私有云（VPC）网络之间的逻辑彻底隔离。请按需选择需要使用的虚拟私有云。如果目前没有VPC可以点击“创建虚拟私有云”跳转到虚拟私有云页面创建。 注意 1）集群和虚拟私有云需在同一企业项目下。 2）为保障网络互通，请选择与软件配置中所填数据库相同的虚拟私有云（VPC）。 子网：选择虚拟私有云后，子网可以根据需要进行选择。若所选子网已开通IPv6，可按需选择是否开启IPv6访问实例资源的功能。 安全组：设置集群内实例的网络访问控制。当前天翼云虚拟私有云安全组策略强安全要求，默认服务器内网互相不通，需要客户勾选安全组规则自动配置授权，翼MR会默认添加下述安全组中相关的规则。

本章节向您介绍通过企业路由器实现同区域VPC隔离的需求背景与场景。 背景信息 XX企业在天翼云某区域内部署了4个虚拟私有云VPC，业务A、业务B、业务C分别部署在VPC1、VPC2、VPC3，公共业务部署在VPC4中，网络要求如下： 1. 业务A、业务B以及业务C所在的3个VPC需要隔离，不互通。 2. 业务A、业务B以及业务C都需要和公共业务所在的VPC4互通。 说明 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。 操作流程 本文档介绍如何通过企业路由器构建同区域VPC隔离组网。 下表是构建同区域VPC隔离组网流程说明 序号 流程 说明 1 规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 2 创建资源 1、创建企业路由器：创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 2、创建VPC和ECS：创建4个虚拟私有云VPC和4个弹性云主机ECS。 3 配置网络 在企业路由器中配置VPC连接： 1、在企业路由器中添加“虚拟私有云（VPC）”连接：将4个VPC分别接入企业路由器中。 2、在企业路由器中创建路由表；创建2个自定义路由表。 3、在路由表中创建关联和传播：根据网络规划，在两个路由表中分别创建“虚拟私有云（VPC）”连接的关联和传播。 4、在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息。 4 验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

本章介绍使用同一VPC内弹性云主机ECS上的Redisson连接Redis实例的方法。 介绍使用同一VPC内弹性云主机ECS上的Redisson连接Redis实例的方法。更多的客户端的使用方法请参考Redis客户端。 在springboot类型的项目中，springdataredis中提供了对jedis、lettuce的适配，但没有提供对redisson组件的适配。为了能够在springboot中集成redisson，redisson侧主动提供了适配springboot的组件：redissonspringbootstarter。 注意：在springboot1.x中默认集成的是jedis，springboot2.x中改为了lettuce。 说明 如果创建Redis实例时设置了密码，使用Redisson客户端连接Redis时，需要配置密码进行连接，建议不要将明文密码硬编码在代码中。 连接单机、主备、Proxy集群实例需要使用Redisson的SingleServerConfig配置对象中的useSingleServer方法，Cluster集群实例需要使用ClusterServersConfig对象中的useClusterServers方法。 前提条件 已成功申请Redis实例，且状态为“运行中”。 查看并获取待连接Redis实例的IP地址和端口。 具体步骤请参见查看实例信息。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》。 如果弹性云主机为Linux系统，该弹性云主机必须已经安装java编译环境。 Pom配置 org.springframework.boot springbootstarterdataredis lettucecore io.lettuce org.redisson redissonspringbootstarter ${redisson.version}

资源使用限制 在使用云日志服务时，用户需注意以下使用限制。 限制项 使用限制 :: 日志组个数 最多创建100个日志组，云服务创建的日志组不占配额。 日志流个数 每个日志组最多创建100个日志流，云服务创建的日志流不占配额。 自定义指标过滤器个数 每个日志流最多可以创建5个自定义指标过滤器。 日志流写入速率 单个日志流写入速率最大不能超过5MB/s，写入条数最多不能超过25000条/秒，超过此规格可能会导致日志丢失。 单行日志长度 单行日志长度最长为10240字节，超过此规格的单行日志将会被丢弃。 日志存储时间 系统默认存储时间为7天。 日志免费额度 500MB/月，超过免费额度后按需收费。 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30MB内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 操作系统使用限制 注意 当前无法手动删除日志数据，系统会根据设置的日志存储时间（30天）自动清理过期的日志数据。 云日志服务日志采集支持多个操作系统，在购买主机时用户需选择云日志服务支持的操作系统，否则无法使用云日志服务对主机日志进行采集。

本小节介绍态势感知规格，分为基础版和高级版，在功能和承载云主机上有差别。 态势感知产品根据提供的功能不同分为两个版本：基础版、高级版。 基础版和高级版功能 功能 基础版 高级版 安全可视化 ✓ ✓ 资产发现 ✓ ✓ 资产管理 ✓ ✓ 脆弱性检测 ✓ ✓ 网络威胁检测 ✓ ✓ 国家情报数据 × ✓ 国家安全预警 × ✓ 攻击源警告 × ✓ 恶意网站告警 × ✓ 安全态势大屏 × ✓ 云主机规格 弹性云主机（Linux） 服务器配置 弹性IP数量 带宽 设备性能 扩展性 作用 备注 一台双网卡弹性云主机 8核CPU/64G内存/100G系统盘/1T数据盘 1 5M 此配置可处理800M以下流量 提高硬件配置，可提高处理性能 态势感知控制器，通过资产、脆弱性、威胁多维度动态评估风险可视化 用于安装态势感知控制器 一台双网卡弹性云主机 4核CPU/8G内存/50G系统盘 1 5M 此配置可处理1000M以下流量 不涉及 虚拟网关系统，将访问业务系统的所有流量镜像给态势感知控制器分析 用于安装态势感知虚拟网关

云容器引擎如何获取客户端真实IP 如果您的服务部署在云容器引擎（Cloud Container Engine，简称CCE）上，云容器引擎会将真实的客户端IP记录在XOriginalForwardedFor字段中，并将WAF回源地址记录在XForwardedFor字段中。您需要修改云容器引擎的配置文件，使Ingress将真实的IP添加到XForwardedFor字段中，以便您正常获取真实的客户端IP地址。 您可以参考以下步骤，对云容器引擎配置文件进行修改。 1. 执行以下命令修改配置文件“kubesystem/nginxconfiguration”。 plaintext kubectl n kubesystem edit cm nginxconfiguration 2. 在配置文件中添加以下内容： plaintext computefullforwardedfor: "true" forwardedforheader: "XForwardedFor" useforwardedheaders: "true" 3. 保存配置文件。 保存后配置即刻生效，Ingress会将真实的客户端IP添加到XForwardedFor字段中。 4. 将业务程序获取客户端真实IP的字段修改为XOriginalForwardedFor。