本文汇总了密钥管理产品管理类常见问题。 是否可以导出用户主密钥？ 不可以。为确保用户主密钥的安全，用户只能在KMS中创建，并通过API接口调用实现加密等操作，无法导出用户主密钥。 创建密钥时，若您选择密钥材料来源于天翼云，则KMS系统会自动为用户主密钥生成密钥材料，且密钥材料无法单独删除、不可导出，仅支持随用户主密钥一并删除； 创建密钥时，若您选择密钥材料来源于外部，则支持手动删除密钥材料。 哪些云服务支持密钥管理系统加密数据？ KMS服务无缝对接云硬盘、对象存储和弹性文件、数据库产品，提供服务端加密能力。您只需要在创建云硬盘时，勾选“加密”功能，则可一键开启硬盘加密功能，加密过程透明无感知。 产品底层通过信封加密的方式，实现云产品中数据的加密。 用户自建主密钥与默认主密钥有何区别？ 用户主密钥：是用户通过控制台或 API 来创建的用户主密钥。您可以对用户密钥进行创建/设置别名/上传自带密钥材料/启用/禁用/轮转/版本管理/删除等操作。用户主密钥按照标准资费进行计费。 默认主密钥：是用户首次通过云服务调用KMS实现加密时，由系统自动生成的主密钥，别名以云产品命名，如“alias/ecs”。不支持禁用/删除/轮转/上传自带密钥材料等操作。默认主密钥免费提供密钥管理服务，API调用费与用户主密钥一同统计收费。

本文介绍授权概述。 概述 根据权限类型，分布式容器云平台 CCE One的权限包括资源委托权限、IAM策略权限和实例RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式容器云平台的功能。本文将为您介绍资源委托权限、IAM策略权限和实例RBAC权限关系，以及如何为服务账号授予相应权限。 权限类型 权限类型 是否必须授权 权限说明 资源委托 首次使用CCE One服务时需要授权，使用天翼云账号（主账号，或者具有管理员权限的子账号）授权一次即可。 授权后，CCE One服务才能正常访问其他关联云资源，并正常运行。 IAM策略 主账号无需额外授权，IAM子账号必须授权；基于IAM策略权限，可设置子账号使用分布式容器云平台CCE One的相关接口权限以及实例权限。 授权后，IAM子账号才能正常使用CCE One产品功能，或具备管理某些特定实例生命周期的权限。 实例RBAC 主账号及实例创建账号（若为子账号）无需额外授权；其他子账号必须授权； 授权后，IAM子账号才能对CCE One相关注册集群及联邦实例内的容器资源进行操作；前提条件是，该IAM子账号需要已具备相关实例的IAM读权限。 资源委托 资源委托是云服务在特定情况下，因为运行逻辑/功能需要而获取其他云服务访问权限的IAM角色。例如，CCE One上创建三方注册集群代理HUB或创建集群联邦控制面实例时，需要创建弹性负载均衡ELB以及弹性IP，因此需要这俩产品的相关权限。 使用分布式容器云平台服务需要授予访问以下云资源的权限： 访问计算类服务 注册集群按需弹性云上资源时会关联创建云服务器，需要获取访问弹性云服务器、弹性裸金属服务器的权限 访问存储类服务 为注册集群关联云上节点和容器挂载存储，需要获取访问云硬盘、弹性文件、对象存储等服务的权限 访问网络类服务 为注册集群及联邦提供网络代理及服务对外暴露，需要获取访问虚拟私有云、弹性负载均衡、弹性IP、NAT网关等服务的权限 访问容器与监控类服务 为三方注册集群下容器提供镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用运维管理等服务的权限同意授权后，CCE One 将在统一身份认证服务为您创建名为 CtyunAssumeRoleForCCEONE 的 委托，为保证服务正常使用，在使用 CCE One 服务期间请不要删除或修改 CtyunAssumeRoleForCCEONE 委托。 若您尚未对CCE One进行资源委托授权，在进入CCE One任一订购页时，将提示您进行必要的委托授权。 点击【点击此处授权】后，将弹出详细授权说明。 再次点击【确定授权】，后台即开始自动创建分布式容器云平台CCE One对应的委托创建。登录IAM统一身份认证服务委托对应页面，可以看到CCE One对应委托记录如下，委托名“CtyunAssumeRoleForCCEONE”。

数据库 接入类型 所需权限 参考赋权语句 源库 云实例 高权限账号 云实例请参考 源库 自建实例 模式的USAGE权限。 待迁移表的SELECT、REFERENCES权限。 待迁移对象的SELECT权限包含增量时，需具备SUPERUSER权限。 授予username用户schemaname模式的usage权限： GRANT USAGE ON SCHEMA schemaname TO username； 授予username用户objectname对象的select权限： GRANT SELECT ON objectname TO username； 授予username用户超级权限： ALTER USER username WITH SUPERUSER; 目标库 云实例 以下全局权限: SHOW DATABASES PROCESS 以下库权限： INDEX INSERT REFERENCES SELECT UPDATE DELETE DROP ALTER CREATE GRANT SELECT ON mysql. TO '迁移账号'@'%'; GRANT SHOW DATABASES,PROCESS, ON . TO '迁移账号'@'%'; GRANT ALTER, CREATE, DELETE ,DROP, INDEX, INSERT, REFERENCES, SELECT, UPDATE ON 待迁移库. TO '迁移账号'@'%';

本文主要介绍如何卸载客户端。 操作场景 该任务指导用户在不需要启用应用一致性备份功能时，卸载Agent。 前提条件 已获取弹性云主机的登录帐号和密码。 卸载Linux版本Agent 步骤1登录需要卸载Agent的弹性云主机，并执行su root 命令切换到root用户。 步骤2、在/home/rdadmin/Agent/bin目录下执行以下命令，卸载Agent。如下图所示。若出现绿色卸载成功字样，表示Agent卸载成功。 sh agentuninstallebk.sh 卸载Linux Agent成功 卸载Windows版本Agent 步骤1、登录需要卸载Agent的弹性云主机。 步骤2、在安装目录的bin目录下选中agentuninstallebk.bat双击打开，卸载Agent。 系统卸载Agent完成后，弹窗自动关闭，卸载成功。如下图所示。 卸载Windows Agent成功

本文帮助您快速熟悉虚拟私有云创建子网的操作流程。 操作场景 申请VPC时会创建默认子网，当默认子网不能满足需求时，您可以创建新的子网。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“虚拟私有云 > 子网”。 4. 单击“创建子网”。进入“创建子网”页面。 5. 根据界面提示配置参数。 6. 单击“确定”。 注意事项 子网创建成功后，有5个系统保留地址您不能使用。以192.168.0.0/24的子网为例，默认的系统保留地址如下： 192.168.0.0：网络标识符，私有IP地址范围开始，不作分配 192.168.0.1：网关地址 192.168.0.253：系统接口，用于VPC对外通信 192.168.0.254：DHCP服务地址 192.168.0.255：广播地址 如果您在创建子网时选择了自定义配置，系统保留地址可能与上面默认的不同，系统会根据您的配置进行自动分配。

本文将为您介绍用户如何查看各项资源的总配额以及使用情况。 操作场景 为避免资源浪费，天翼云对各项资源的使用都制定了配额，包括资源的创建数量，资源的使用容量等限制，云硬盘作为常见的云资源，其数量、容量在使用过程中也有一定的限制。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 在此地域的资源页面右上角，点击“我的配额”图标，进入资源的服务配额页面。 4. 您可以在“服务配额”页面，查看各项资源的配额情况。如果当前配额已满且不能满足业务要求，用户可申请扩大配额，具体请参见申请扩大云硬盘资源配额。

本文介绍如何修改VPC子网信息。 操作场景 当用户已经创建好了VPC子网信息，此时可以根据业务实际需求来修改VPC配置信息。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“网络>云专线”，进入到云专线操作导航页面，在左侧导航栏中，单击“云专线>专线网关”，进入到专线网关列表页面。 4. 点击目标专线网关“操作”列的“详情”，进入到专线网关详情页面，在专线网关详情页面点击“VPC”，进入到“VPC”页签。 5. 在“VPC”页签中，单击目标VPC“操作”列的“修改”，根据页面提示，用户可修改VPC子网，具体参数说明请参见添加VPC。 6. 确认修改信息后，单击“确定”，完成VPC子网信息的配置修改。

本文为您介绍弹性云主机启动缓慢的处理方法。 问题现象 弹性云服务器启动时间较长。 处理方法 可以通过修改默认等待时间，提高启动速度。 配置调整方式 1. 首先登录弹性云服务器。 2. 执行以下命令，切换至root用户。 sudo su 3. 执行以下命令，查询grub文件的版本。 rpm qa grep grub 可以看到查询到的grub版本如图。 4. 将grub文件中timeout时间修改为0s。 （1）对于grub版本小于2的： 打开文件“/boot/grub/grub.cfg”或“/boot/grub/menu.lst”，并修改等待时间“timeout0”（打开方式可通过vi或者vim）。 （2）对于grub版本为2的： 打开文件/boot/grub2/grub.cfg，并修改等待时间“timeout0”（打开方式可通过vi或者vim）。 修改timeou的值为0，添加内容如图中。

本文介绍如何查询CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 查询功能 您可以在CC攻击事件表头部指定您要查询的域名（支持多选）及时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 攻击详情 攻击事件列表将展示被攻击域名、攻击开始时间、攻击结束时间、攻击峰值/QPS、攻击总次数。 点击单条攻击事件的攻击详情【查看】按钮，即可查询CC攻击事件的攻击趋势、TOP攻击IP、TOP URL排名。

参数 参数类型 说明 示例 下级对象 service String 云监控服务 ecs serviceName String 云监控服务的名称 云主机 dimensions Array of Objects 云监控维度 dimension

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b blacklistID 是 String 告警黑名单ID 46d7bc837ac45238a9342076d0b9f9f0 name 是 String 告警黑名单名称 ctyunalarmblacklist service 是 String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见" ecs dimension 是 String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 详见" ecs desc 否 String 描述 demo resources 是 Array of Objects 资源信息列表 resources contactGroupList 是 Array of Strings 联系组列表 metrics 否 Array of Strings 指标列表 startTime 否 Integer 开始时间，秒级时间戳，startTime和endTime需同时传或同时不传。 1687337384 endTime 否 Integer 结束时间，秒级时间戳，配合startTime一起使用，结束时间须大于开始时间。 1687338884

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b blacklistID 是 String 告警黑名单ID 46d7bc837ac45238a9342076d0b9f9f0 name 是 String 告警黑名单名称 ctyunalarmblacklist service 是 String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见" ecs dimension 是 String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 详见" ecs desc 否 String 描述 demo resources 是 Array of Objects 资源信息列表 resources contactGroupList 是 Array of Strings 联系组列表 metrics 否 Array of Strings 指标列表 startTime 否 Integer 开始时间，秒级时间戳，startTime和endTime需同时传或同时不传。 1687337384 endTime 否 Integer 结束时间，秒级时间戳，配合startTime一起使用，结束时间须大于开始时间。 1687338884

策略名称 描述 策略类别 Tenant Administrator 操作权限：对帐号拥有的所有云资源执行任意操作。OBS策略在“全局服务>对象存储服务”下配置。 RBAC策略 Tenant Guest 操作权限：对帐号拥有的所有云资源的只读权限。OBS策略在“全局服务>对象存储服务”下配置。 RBAC策略

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b service 是 String 本参数表示产品名称。取值范围：ecs：云主机。evs：云硬盘。...详见“[一键告警：产品列表]”接口返回。 ecs alarmType 是 String 本参数表示告警类型。 取值范围：series：时序指标。event：事件。 根据以上范围取值。 series

本文介绍如何订购云搜索服务Elasticsearch实例。 前提条件 1. 已在官网完成用户账号注册和实名认证。 2. 已完成实例规划。 操作步骤 您有两种路径可以进入Elasticsearch实例开通页面： 1. 登录官网，您可在云搜索服务产品详情页点击“立即开通”。 2. 登录官网，进入云搜索服务控制台后，点击“创建实例”可以进入。 订购页面填写 进入订购页面后，您需要对如下信息进行填写/选择： 参数类型 参数 说明 基础配置 计费模式 实例支持包周期和按需计费模式。 包周期：根据实例购买时长，一次性支付实例包周期费用。 按需计费：根据实际使用时长计费，按小时出账。 基础配置 订购周期 在包年包月模式下，您需要选择购买时长。 基础配置 当前区域 选择实例的所在区域。 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 基础配置 可用区 选择实例所在工作区域下关联的可用区。 支持多可用区部署，购买地域具备3个及以上可用区，需要勾选1个或3个，如果不足3个可用区，则根据地域可用区情况可购买1或2个。 网络配置 企业项目 企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择云搜索实例的企业项目归属。仅支持选择用户有权限的企业项目。默认为default，如果没有可选项，请由主账号在统一身份认证处进行赋权。 网络配置 虚拟私有云 指定实例所在的虚拟专用网络（VPC），实现不同业务的网络隔离。如您没有合适的VPC，请前往创建虚拟私有云页面创建完成后，回当前页面刷新后选择。 网络配置 子网 实例使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 选择当前虚拟私有云下实例需要的子网。 网络配置 安全组 安全组为实例提供安全的网络访问控制策略。 为了顺利部署实例，我们将为您选择的安全组默认配置下述规则： 规则1（入方向）：允许远端198.19.128.0/20 以TCP协议访问端口165535 ，规则优先级为1。 规则2（入方向）：允许远端192.168.0.0/24（实际网段地址，以客户创建的VPC子网网段地址为准）以TCP协议访问端口165535，规则优先级为1。 规则3（出方向）：将允许出方向所有访问，规则优先级为100。 配置实例 实例名称 您可自定义实例名称，可输入的字符范围为长度为0~32个字符，只能包含数字、字母、中划线（）和下划线（），且必须以字母或数字开头。 配置实例 实例类型 云搜索服务支持Elasticsearch和OpenSearch两种组件。 配置实例 实例版本 选择所需的实例版本，支持的版本以页面可选项为准。 配置实例 实例密码设置 设置Elasticsearch的管理员访问密码。 实例内账号和角色请登录Kibana进行设置。 配置实例 HTTPS设置 实例通信方式选择： 开启HTTPS，访问实例将进行通讯加密，可以接入公网； 若关闭HTTPS访问，将使用HTTP协议与实例通信，无法保证数据安全性，HTTP协议模式下，实例不可接入公网。 该模式可以在实例开通后进入“运行中”状态时在安全设置功能中进行修改。 选购资源 实例节点数 实例中需要部署节点数，上限请以页面可下单数量为准。 选购资源 CPU架构 目前支持X86类型。 选购资源 节点规格 实例的节点规格，可按需选购，同一实例仅支持一种规格，请确认后下单。 选购资源 节点存储规格 选择存储类型，支持的类型可能随资源池不同有差异，请以页面可选的为准。 选购资源 单节点存储量 您可根据业务数据容量评估，选购合适的单节点存储量，创建完成后，不支持缩容节点存储容量，请基于业务量合理选择容量。 选购资源 图形化访问节点规格 云搜索服务会默认为您开通一个小规格节点部署Kibana、Cerebro节点。该节点正常计费。 选购资源 专属节点规格 您可根据需要选择是否在当前实例加装专属master、专属协调节点或冷数据节点，并选择节点规格，专属master和专属协调节点不支持调整存储空间。专属master限制3节点，专属协调节点和冷数据节点上限请以页面可下单数量为准。 专属节点开通后不可删除，也可通过扩容功能加装。 信息填写完毕后，进入下一步信息确认页；请您仔细核对订购信息及订购协议，勾选协议后进入下一步即可提交。 缴费完成后，请返回购买实例对应的实例管理列表页面，您购买的实例都将展示在此，当实例从“创建中”变为“运行中”时，即可使用实例。 如实例创建失败，系统将自动退单销毁，期间不会记录使用时长，不会收取费用，您可再次下单尝试或工单联系工程师为您处理。

本文简介什么是天翼云Web应用防火墙（边缘云版）。 产品定义 天翼云Web应用防火墙（边缘云版）依托天翼云边缘云节点形成云安全网络，结合云端大数据分析平台，通过 AI+规则双引擎识别恶意流量，为用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 区别于传统WAF需要在源站前端部署，Web应用防火墙（边缘云版）基于边缘云分布式架构，将WAF、BOT、CC、API等应用安全防护能力赋能于全国边缘云节点，实现安全能力赋能边缘，将安全能力下沉至最接近终端用户的边缘节点，在最靠近攻击源头的地方阻断恶意流量。 有效防御 SQL 注入、XSS 跨站脚本、木马上传、非授权访问等 OWASP 攻击。此外还可以有效过滤 CC 攻击、提供 0day 漏洞补丁、防止网页篡改等。 结合智能调度，实现动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别规模；应对敏感大流量攻击，无惧突发风险。 功能特性 功能 简介 常见Web应用攻击防护 防御OWASP TOP10Web安全威胁攻击：如SQL注入、XSS跨站脚本、CSRF 跨站请求伪造、非授权访问等常见Web服务器漏洞攻击。 0day补丁定期及时更新：及时更新漏洞补丁，防护网站安全。 CC攻击防护 频率控制：结合多维度频率控制，精确控制请求频率，控制核心接口被访问的频率。 人机挑战：通过人机识别验证，避免非法请求透传源站。 大数据分析：针对低频多变的攻击，根据内置算法模型，统计正常业务流量和攻击流量的特征，自动生成精准访问控制策略。 业务安全防护 网页防篡改：支持用户将核心网页内容缓存在边缘云节点，并对外发布缓存中的网页内容，实现网页防篡改效果，防止网页被篡改带来负面影响。 敏感词防泄漏：针对银行卡、身份证、手机号、邮箱进行页面过滤，防止网站敏感信息泄露。 CSRF防护：有效阻止因误触恶意链接、恶意扫描、简单爬虫限制造成的用户损失。 Cookie防护：支持对指定cookie字段的值进行加密，支持对cookie签名，防止因随意篡改导致的漏洞触发。 账户安全防护：支持防护撞库、批量注册、暴力破解等恶意攻击行为，保障用户账号安全。 广告防护：对检测到的广告进行清除或者记录告警日志处理，使展示给用户的界面没有广告。 攻击挑战：针对反复触发防护策略的IP，限制访问频率。 精准访问控制 可针对IP , IP段 , URI , 请求方式, 请求地区，请求参数，请求头部，请求协议进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 IPv6防护 支持一键开启IPv6功能，无缝处理IPv4和IPv6流量，并且支持解决天窗问题。 Bot行为管理 通过多模块联动实时检测与机器学习相结合实现网站请求的实时检测和分析，识别真实用户请求和恶意爬虫，进而防止刷票、活动作弊、恶意注册等爬虫攻击行为的发生，保障企业业务稳定运行，避免经济利益受损。 智能防护 自学习异常用户行为：智能学习网站流量规律，学习正常用户访问行为，多维度识别异常访问情况。 内置多种业务场景学习模型：强化抢票、恶意爆破登录、恶意爬取等机器脚本行为识别，保证网站正常运行。 威胁情报 天翼云与国内外知名安全厂家恶意情报共享，更快更精确发现恶意探测以及威胁事件。

当您在云应用引擎上进行应用部署、启动、扩容/缩容等生命周期操作后，可以查看变更记录的创建时间、执行耗时、操作人等关键信息。 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基本信息页。 3. 在左侧导航栏中单击变更记录，即可查看应用的历史变更操作。

本节介绍了云容器引擎的最佳实践：ELB访问控制配置。 应用场景 云容器引擎实例支持通过EIP+ELB暴露APIServer服务，用户可通过配置ELB的访问控制限制访问APIServer的入口流量。 注意事项 若配置ELB访问控制白名单，请放通以下流量，确保CCE控制台正常访问集群。 端口 协议 源地址 说明 全部 TCP 198.19.128.0/20 VPCE内网地址段，控制台通过VPCE访问APIServer

进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“主机安全 > 主机安全v1.0”，进入主机安全v1.0资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到主机安全v1.0控制台。 使用主机安全v1.0 了解更多主机安全v1.0相关操作内容，请下载阅读《云等保专区主机安全 v1.0 用户指南》。

参数 参数类型 说明 示例 下级对象 vpcFlowMax Long vpc峰值带宽 vpcFlowProcessingCapacity Integer 带宽规格 percentage Double 百分比 vpcPeerProtectCount Integer 对等连接已防护数量 vpcPeerUnProtectCount Integer 对等连接未防护数量 cdaProtectCount Integer 云专线已防护数量 cdaUnProtectCount Integer 云专线未防护数量 ecProtectCount Integer 云间高速已防护数量 ecUnProtectCOunt Integer 云间高速未防护数量 vpcUsedQuotaCount Integer vpc配额已使用数量 vpcUnUsedQuotaCount Integer vpc配额未使用数量 vpcQuotaCount Integer vpc配额数量

云通信能力技术服务协议为使用通信能力技术服务，您应当阅读并遵守《云通信能力技术服务协议》（以下简称“本协议”）。在接受本协议之前，请您务必仔细阅读本协议的全部内容，特别是免除或者限制责任的条款以及管辖法院 自2022年7月4日起，新版服务协议生效，详情请参见[](

本节介绍了如何在控制台导出端口接入规则。 使用场景 您可以在控制台导出所有的端口接入配置。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【端口接入】页面。 3.点击右上角【导出】按钮。 4.系统将自动导出“端口转发规则.xls”文件，文件中将包含：转发协议、转发端口、源站端口、回源转发模式、源站信息。

本文主要介绍 在使用专属分布式存储的过程中，不扩容可能存在哪些风险 在使用专属云（存储独享型）的过程中，若“已使用容量（GB）”/“总可用容量（GB）”比率达到75%时，建议用户进行扩容。如果容量使用率一直保持较高状态，当使用率达到100%时将触发存储池写保护，导致数据无法写入云硬盘，影响用户的正常业务。所以，在使用率达到75%以后，建议用户进行扩容。

本文介绍创建私有镜像的一个场景:通过镜像文件导入创建Linux系统盘镜像。 场景说明 除了通过云主机创建私有镜像外，天翼云也支持外部镜像导入功能，可将本地或者其他云平台的服务器系统盘镜像文件导入至镜像服务私有镜像中。导入后，用户可以使用该镜像创建新的云主机。 本次以Linux操作系统为例，介绍如何通过外部镜像文件创建Linux系统盘镜像。 前提条件 1. 在导入私有镜像前，在源服务器上完成以下准备工作。 安装并使用镜像规范检测工具，自动检测Linux系统设置是否符合导入条件。 安装Cloudinit，使运行该镜像的实例能成功完成初始化配置。 安装virtio驱动（必装），使该镜像创建的云主机实例能够启动。如未安装，会导致虚拟机无法启动。 安装QGA驱动（必装）,使镜像能够进行重置密码等操作。如未安装，会导致虚拟机无法重置密码。 安装监控驱动（建议），实现对基于该镜像创建的云主机的状态监控。 具体操作步骤参见导入私有镜像用户操作指南。 2. 转换镜像格式，目前天翼云镜像服务支持RAW、qcow2、vmdk、vhd格式的镜像文件的上传，如果想要较快创建镜像，建议使用qcow2格式镜像。其他类型文件请做格式转换。 操作步骤 步骤一：上传镜像文件至对象存储 1. 登录控制中心，选择业务地域，选择“存储>对象存储”。 2. 在对象存储控制台点击“创建桶”，配置桶参数（Bucket名称、企业项目、存储类型、读写权限）。单击“确定”，完成桶创建。 3. 单击桶名称进入桶详情页，选择文件管理页签，单击“上传文件”。 4. 选择要上传到对象存储的本地镜像文件。点击“确定“，等待镜像文件上传完成。 5. 点击镜像文件名称，进入文件详情页，获取镜像文件URL。

源库为天翼云及其他云PostgreSQL的情况 源库为天翼云及其他云PostgreSQL、任务包含增量迁移，且逻辑解码器选择为Decoderbufs时，源库需开启逻辑解码器输出插件Decoderbufs。 天翼云在开通PostgreSQL实例时已预置开启Decoderbufs插件，当源库为天翼云PostgreSQL时，请你参照天翼云关系数据库PostgreSQL版管理插件相关指引查看确认Decoderbufs插件的开启情况，已开启则无需进行操作，未开启则参照指引进行Decoderbufs插件的安装。 当源库为其他云PostgreSQL时，需要查看源库对应版本是否支持并已开启Decoderbufs插件。如源库版本不支持Decoderbufs插件则无法进行其他云PostgreSQL到天翼云PostgreSQL的增量迁移；如源库版本支持Decoderbufs插件但未开启则按照文档启用插件；如已开启则无需进行操作。具体请参考其他云PostgreSQL的相关指引，例如： 华为云支持的插件列表及插件管理的相关指引。 阿里云支持的插件列表及插件管理的相关指引。 源库要求 源数据库的分区表触发器不可以设置为disable。 全量同步支持源库备机状态，但需要设置hotstandbyfeedback为on；增量同步不支持源库备机状态。 同步对象依赖和关联的对象也须一起同步，否则可能导致任务失败。 若要做增量同步，源数据库的“pghba.conf” 文件中包含如下的配置： host replication all 0.0.0.0/0 md5源数据库参数wallevel必须配置为logical； 如果配置任务时逻辑解码指定为Decoderbufs，源数据库需提前安装Decoderbufs插件； 源数据库中无主键表的replica identity属性必须为full； 源数据库的maxreplicationslots参数值必须大于当前已使用的复制槽数量； 源数据库的maxwalsenders参数值必须等于或大于maxreplicationslots参数值； 源数据库中表的主键列toast属性为main、external、extended时，其replica identity属性必须为full。 同步对象依赖和关联的对象也须一起同步，否则可能导致任务失败。

如何迁移第三方云厂商数据至对象存储？ 要将第三方云厂商的数据迁移至对象存储（简称ZOS），您可以按照以下步骤进行： 1. 登录ZOS管理控制台，在左侧导航栏中选择“对象存储迁移”。 2. 点击“创建迁移任务”，根据选项提示完成参数配置完成迁移任务创建。 3. 创建完成后，可在任务列表中查看迁移进度、时长等信息。 4. 点击任务名称查看任务详情。 更具体详细的步骤信息可参考如何进行对象存储迁移。 从其他云迁移到对象存储，费用如何计算？ 从其他云厂商迁移数据到对象存储（简称ZOS）时，主要涉及以下几个方面的费用计算： 源端存储流量费用：在从源端云厂商迁移数据到ZOS的过程中，会产生源端存储的流出流量费用。具体费用请参考源端厂商的定价政策，并根据实际迁移的数据量进行计算。 存储容量费用：一旦数据成功迁移至ZOS，您将开始支付存储容量费用。存储容量费用的计算通常基于您使用的存储容量大小和所选存储类型。 请求费用：访问或操作对象存储中的数据时会产生请求费用，包括读取、写入、复制、删除等操作。请求费用按照请求类型和数量进行计算。 桶内无对象为什么会产生流入流量？ 可能原因一：流入流量结算是根据文件上传实时更新的，有可能在一段时间内其他用户向桶中上传文件后又删除了该文件，桶拥有者看到时，虽然桶内无对象，但实际已产生流入流量。 可能原因二：由于某些原因导致上传中断，仅上传成功了部分碎片，并未合并成完整对象，但上传碎片的过程中产生了流量。

子网 云资源（例如云服务器、物理机等）必须部署在子网内。您可以在虚拟私有云内创建一个或多个子网，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改。 安全组 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 目前，天翼云已在全国多个地域开放，您可以根据需求选择适合自己的区域和可用区。更多信息请参见天翼云产品部署看板 。

本节主要介绍NAT的约束与限制。 公网NAT网关 关于公网NAT网关的使用，您需要注意以下几点： 公共限制 同一个公网NAT网关下的多条规则可以复用同一个弹性公网IP，不同网关下的规则必须使用不同的弹性公网IP。 一个VPC支持关联多个公网NAT网关。 SNAT、DNAT可以共用同一个弹性公网IP，节省弹性公网IP资源。但是在选用全端口模式下，DNAT优先占用全部端口，这些端口不能被 SNAT 使用。因此SNAT规则不能和全端口的DNAT规则共用EIP，以免出现业务相互抢占问题。 公网NAT网关支持转换的资源类型不包括企业型VPN。 当云主机同时配置弹性公网IP服务和公网NAT网关服务时，数据均通过弹性公网IP转发。 出于安全因素考虑，部分运营商会对下列端口进行拦截，导致无法访问。建议避免使用下列端口： 协议 不支持端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 4790 5554 5800 5900 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 4790 5554 9996 NAT 网关支持 TCP、UDP 和 ICMP 协议，暂不支持ALG 相关技术，且GRE 隧道和 IPSec 使用的 ESP、AH无法使用 NAT 网关，这是由NAT网关本身的特性决定的。 SNAT限制 VPC内的每个子网只能添加一条SNAT规则。 SNAT规则中添加的自定义网段，对于云专线的配置，必须是云专线侧网段，且不能与虚拟私有云侧的网段冲突。 公网NAT网关支持添加的SNAT规则的数量没有限制。 DNAT限制 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个EIP，不能映射到多个EIP。 公网NAT网关支持添加的DNAT规则的数量为200个。

参数 说明 取值示例 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口。 8635 类型 IP地址类型，支持IPv4和IPv6。 IPv6地址：2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b 源地址和目的地址 支持IP地址和安全组。 IP地址：该安全组规则在指定的IP地址范围生效。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 安全组：该规则授权特定安全组中的弹性云主机访问本安全组中的文档数据库，即该规则放通特定安全组中的弹性云主机所有的IP地址。 192.168.10.0/24 default

1.2 数据集加速配置 存储介质：分别使用 SSD 和 MEM 存储配额：设置为 100G，确保远端数据可以全部缓存在本地 SSD 配置：云主机使用超高 IO 磁盘，物理机环境下使用 NVMeSSD MEM 配置：存储路径配置为 /dev/shm 1.3 读服务配置 资源配置：2C4G 读测试命令： shell fio nameseqreadsingle filenamefile1 rwread bs1M size15G numjobs8 iodepth4 direct1 测试场景：通过配置 nodeSelector 分别测试本地读和跨节点读 1.4 测试结果 测试项 未加速 开启加速 测试项 物理机 弹性云主机 物理机 弹性云主机 测试项 物理机 弹性云主机 MEM SSD MEM SSD 本地首次读 321MB/s321MB/s 187MB/s188MB/s 182MB/s182MB/s 182MB/s182MB/s 193MB/s193MB/s 172MB/s172MB/s 预热首次读 2505MB/s2675MB/s 2469MB/s2469MB/s 644MB/s649MB/s 665MB/s681MB/s 本地稳定读 384MB/s384MB/s 230MB/s232MB/s 2726MB/s2726MB/s 2625MB/s2626MB/s 663MB/s674MB/s 686MB/s692MB/s 跨节点读 366MB/s400MB/s 367MB/s401MB/s 377MB/s391MB/s 376MB/s397MB/s

AOF文件在什么情况下会被重写 AOF文件重写涉及到以下两个概念。 重写时间窗：目前该时间窗为凌晨1:00 4:59。 磁盘阈值：即磁盘的使用率超过50%，即认为达到阈值。 AOF文件在以下三种情况下会被重写。 如果磁盘达到阈值（无论是否处于时间窗内）： AOF文件大小 > 内存数据集大小的实例会被重写。 如果磁盘未达到阈值且是重写时间窗：AOF文件大小 > 数据集内存 1.5的实例会被重写。 如果磁盘未达到阈值且是非重写时间窗：AOF文件大小 > 最大内存 4.5的实例会被重写。 一个数据迁移能迁移到多个目标实例么？ 不能，一个迁移任务只能迁移到一个目标实例。要迁移到多个目标实例需要创建多个迁移任务。 怎么放通SYNC和PSYNC命令？ DCS云服务内部进行迁移： 自建Redis迁移至DCS，默认没有禁用SYNC和PSYNC命令； DCS的Redis之间进行迁移，如果是同一帐号相同Region进行在线迁移，在执行迁移时，会自动放通SYNC和PSYNC命令； 如果是不同Region或相同Region不同帐号进行的在线迁移，不会自动放通SYNC和PSYNC命令，无法使用控制台的在线迁移。推荐使用备份文件导入方式迁移。 其他云厂商迁移到DCS云服务： 一般云厂商都是禁用了SYNC和PSYNC命令，如果使用DCS控制台的在线迁移功能，需要联系源端的云厂商运维人员放通此命令。离线迁移，推荐使用备份文件导入方式。 如果不需要增量迁移，可以参考使用Redisshake工具在线全量迁移其他云厂商Redis进行全量迁移，该方式不依赖于SYNC和PSYNC。

Windows操作系统 1. 登录Windows弹性云主机。 2. 使用快捷键“Win+R”打开“运行”页面。 3. 输入命令行“cmd”打开命令行窗口。 4. 执行以下命令，修改密码。 net user Administrator 新密码 Linux操作系统 1. 以root用户登录Linux弹性云主机。 2. 执行以下命令，重置root的用户密码。 passwd 根据系统回显信息，输入新密码。 系统显示如下回显信息时，表示密码重置成功。 passwd: all authentication tokens updates successfully