本文介绍atop和kdump的配置方法。 atop配置 atop简介 atop是一款功能非常强大的Linux服务器监控工具。它能定期记录系统运行状态，并采集系统资源（如CPU、内存、磁盘、网络）的使用情况，同时还会监控进程的运行情况。通过将这些数据保存为日志文件的方式，我们可以在服务器出现问题时获取相应的atop日志文件进行详细分析。无论是查看系统资源的使用情况，还是追踪特定进程的运行状况，atop都能提供有用的信息。 使用atop工具，系统管理员可以及时发现服务器的性能瓶颈、异常情况以及资源利用率等问题，从而更好地管理和优化服务器的运行。 CentOS 8系列操作系统atop配置方法 1. 通过远程登录或本地登录的方式登录弹性云主机。 2. 下载atop安装包。命令如下。 wget 3. 执行以下命令安装atop。 rpm ivh atop2.6.01.el8.x8664.rpm 4. 编辑配置文件，修改采样周期，atop配置文件为/etc/default/atop。 vi /etc/default/atop 可以根据自己的实际需求修改如下配置参数，修改后保存并退出。 LOGINTERVAL15 LOGGENERATIONS7 LOGPATH/var/log/atop/ 参数说明： LOGINTERVAL：监控周期，单位为秒，默认600s采集一次数据，建议修改为15s。 LOGGENERATIONS：日志保留时间，单位为天，默认保留时间为28天，建议修改为7天，避免大量占用磁盘空间。 LOGPATH：日志保存路径。默认路径为/var/log/atop/。 5. 重启atop服务。 systemctl restart atop 6. 可以设置atop服务自启动（根据实际情况设置）。 systemctl enable atop 7. 检查是否启动成功，active(running)表示运行正常。 systemctl status atop

本节介绍服务器安全卫士（原生版）续订规则及续订步骤。 为避免服务器安全卫士（原生版）配额到期后，防护服务自动停止，需要在配额到期前进行手动续费，或设置到期自动续费。 到期说明 到期后，资源进入保留期，您将不能正常访问及使用云服务（资源冻结），但对于您存储在云服务中的数据予以保留。 若您在保留期内续费，计费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。 若保留期到期您仍未续费，存储在云服务中的数据将被删除、云服务资源将被释放。 关于保留期的详细信息，请参见到期处理。 续订说明 订单到期后，若没有续订，将不能继续使用订单中的服务，建议您提前进行续订。更多详情请阅读天翼云续订规则说明。 支持的续订方式： 续订方式 说明 手动续订 服务器安全卫士（原生版）在购买之后支持手动续订的方式，您可以随时在服务器安全卫士（原生版）管理控制台中的配额管理页面进行续订，续订后服务器安全卫士（原生版）到期时间将自动延期到续订后的到期时间。 自动续订 服务器安全卫士（原生版）在购买之后支持自动续订的方式，您可以随时在“费用中心 > 订单管理 > 续订管理”页面开启自动续订，自动续订开启后服务器安全卫士（原生版）将会进行自动续订，更多说明见[自动续订](

接口描述：调用本接口查询域名的IP地址，及ip对应的区域，运营商信息 请求方式：post 请求路径：/auxiliarytools/queryvipsdetailbydomain 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 参数 类型 是否必传 名称 描述 domain list 是 域名列表 最多支持５个 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list 是 返回结果数组 result[].domain string 是 域名 result[].details list 是 域名对应的vip列表信息 result[].details[].vips string 是 vip信息，多个用逗号“,”分割 result[].details[].cityName string 是 城市名称 result[].details[].nodename string 是 节点名称 result[].details[].provinceName string 是 省份名称 result[].details[].ispName string 是 运营商名称 示例： 请求路径： 示例1： 请求参数： {     "domain": [         "ctyun.cn"     ] } 返回结果： {     "code": 100000,     "message": "success",     "result": [         {             "domain": "ctyun.cn",             "details": [                 {                     "vips": "xx.xx.xx.xx,xx:xx:xx:xx::",                     "cityName": "呼和浩特市",                     "nodename": "xxx1",                     "provinceName": "内蒙古自治区",                     "ispName": "中国电信"                 },                 {                     "vips": "xx.xx.xx.xx,xx:xx:xx:xx::",                     "cityName": "通州区",                     "nodename": "xxx2",                     "provinceName": "北京市",                     "ispName": "中国电信"                 }             ]         }     ] }

本文主要介绍云日志服务的日期函数。 函数 说明 dtnow 获取当前日期时间。 dttoday 获取当前日期，不含时间。 dtutcnow 获取当前时区的当前日期时间对象。 dtfromtimestamp 将Unix时间戳转换为日期时间对象。 dtutcfromtimestamp 将Unix时间戳转换为当前时区的日期时间对象。 dtstrptime 将时间字符串解析为日期时间对象。 dtcurrentstamp 获取当前Unix时间戳。 dttotimestamp 将日期时间对象转换为Unix时间戳。 dtstrftime 将日期时间对象按照指定格式转换为字符串。 dtstrftimestamp 将Unix时间戳按照指定格式转换为字符串。 dttruncate 从值或时间表达式中截取指定的时间粒度。 dtadd 根据指定的时间粒度修改值或时间表达式的值。 dtdiff 按照特定粒度获取两个值或时间表达式值的差异值。

本节介绍了：黑盒监控的用户指南。 应用场景 云容器引擎监控体系集成黑盒监控能力，黑盒监控即以用户的身份测试服务的外部可见性，常见的黑盒监控包括HTTP探针、TCP探针等用于检测站点或者服务的可访问性，以及访问效率等。 前提条件 已创建集群，具体操作请参见用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节。 应用接入黑盒监控 工作负载接入黑盒监控 登陆CCSE控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要接入监控的集群，进入集群管理页面。 在工作负载菜单中选择一种工作负载，本文以无状态为例：选择 工作负载 > 无状态 > 创建Deployment 进入工作负载创建页面。 点击工作负载选项中的显示 高级设置展开工作负载高级设置，点击接入黑盒监控按钮进入监控注解设置界面。可以选择HTTP探针和TCP探针，填写端口和路径后点击确认就会自动生成相关注解。 填写工作负载的其他信息后点击提交 创建工作负载。创建好的工作负载就已经接入黑盒监控了。

本章节介绍云服务备份CBR产品的相关协议。 天翼云云服务备份服务协议，详情请参见这里。

本文介绍了关系数据库MySQL版的关键配置参数信息，合理的参数可以发挥数据库MySQL最大的性能，不合适的参数值可能会影响业务运行。 本文只列举了一些重要参数说明，如需要查看更多参数详细说明，请参见 MySQL官网 。通过控制台界面修改MySQL参数值，请参见 修改参数组。 修改敏感参数 若干参数相关说明如下： lowercasetablenames 云数据库默认值："1" 作用 ：mysql设置大小写是否敏感的一个参数。默认值"1"，表示创建数据库及表时，存储在磁盘是小写的，比较的时候是不区分大小写。 目前关系数据库MySQL版仅支持lowercasetablenames1，不区分大小写，后续将推出支持区分大小写功能，请关注产品动态。 innodbflushlogattrxcommit 云数据库默认值： " 1" 作用 ：该参数控制提交操作安全和高性能之间的平衡。设置为默认值"1"，每次事务提交时，将log buffer的数据写入到log file中，并且同时将log file向磁盘中写入 ；当设为"0"时，每秒将写入log buffer到log file中，且同时将log file向磁盘中写入 （该模式下在事务提交的时候，不会主动触发写入磁盘的操作）；如果设为"2"，则每次事务提交时 将log buffer的数据 写入到log file中，大约每秒将log file向磁盘中写入，与log buffer写入不同步 。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。设置为"0"时，写入速度快，但是不安全，如果mysqld进程崩溃，导致上一秒的所有事务中的操作数据丢失。设置为"1"时，写入速度最慢，但是安全，即使mysqld进程崩溃或者服务主机宕机，log可能最多只丢失一个语句或者一个事务的操作数据。设置为"2" 时，写入速度快，比 "0" 安全，只有服务主机宕机时，会导致上一秒的所有事务中的操作数据丢失。 POC建议值："2" syncbinlog 云数据库默认值："1" 作用 ：该参数控制MySQL 的二进制日志（binary log）同步到磁盘的频率，取值：0N。设置为默认值"1"，表示每进行1次事务提交之后，MySQL将进行一次fsync之类的磁盘同步指令来将binlogcache中的数据强制写入磁盘，是最安全的设置；设置为"0"时，表示当事务提交之后，MySQL不做fsync之类的磁盘同步指令刷新binlogcache中的信息到磁盘，而让Filesystem自行决定什么时候来做同步，或者cache满了之后才同步到磁盘。此时的性能最好，但风险也是最大，因为断电或操作系统崩溃情况下，在binlogcache中的所有binlog信息都会被丢失。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。 POC 建议值 ："1000" innodbbufferpoolsize 云数据库默认值 ： "规格参数，开通的不同实例规格默认值不同"。 作用 ：该参数定义了 InnoDB 存储引擎的表数据和索引数据的最大内存缓冲区大小，数据在内存中的读写速度是磁盘读写速度的很多倍，增加该值可减少磁盘I/O。 影响：过大的buffer pool可能导致系统OOM崩溃，请谨慎修改。 POC建议值：32G及以上规格可将其调整至内存的70%~75%。

介绍安全加速产品中常用术语。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用www.ctyun.cn访问，您又希望通过www.example.ctyun.cn1也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将www.example.ctyun.cn1指向www.ctyun.cn，添加该条CNAME记录后，所有访问www.example.ctyun.cn1的请求都会被转到www.ctyun.cn，获得相同的内容。 CNAME域名 接入CDN时，在天翼云控制台添加完加速域名后，您会得到一个天翼云CDN给您分配的CNAME域名，（该CNAME域名一定是. ctdns.cn）， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个. ctdns.cn的CNAME域名，这样该域名所有的请求才会都将转向天翼云CDN的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

不支持。 目前不支持将用户已购买的数据盘挂载至轻量型服务器。 用户可在购买轻量型云主机订购时选购数据盘，或在轻量云主机的云盘管理界面新增数据盘，以上操作完成购买后，系统将自动为您挂载，无需其他操作。

本节主要介绍应用参数模板。 操作场景 GeminiDB Influx支持应用参数模板。参数模板编辑修改后，不会立即应用到实例，您可以根据业务需要应用到实例中。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧导航栏，单击“参数模板管理”。 4. 在“参数模板管理”页面，根据参数模板类型不同进行如下操作。 若需要将默认参数模板应用到实例，在“系统默认”页签的目标参数模板单击“应用”。 若需要将用户自己创建的参数模板应用到实例，在“自定义”页签的目标参数模板单击“更多 > 应用”。 一个参数模板可被应用到一个或多个实例。 5. 在弹出框中，选择需要应用的实例，单击“确定”。 参数模板应用成功后，您可查看参数模板应用记录。

方法二 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击操作列“规格变更”。 图3 规格变更 4. 在“规格变更”页面，选择所需变更后的性能规格，单击“下一步”。 图4 集群实例规格变更 5. 在确认页面，确认性能规格。 包年/包月 如需重新选择，单击“上一步”，修改性能规格。 核对无误后，单击“提交订单”，开始变更规格。对于扩大规格的操作，您需要先进入付款页面，选择支付方式，完成支付。 按需计费 如需重新选择，单击“上一步”，修改性能规格。 核对无误后，单击“提交”，开始变更规格。 6. 查看变更结果。 在实例“基本信息”页面的“数据库信息”区域，可查看变更后的实例规格。

本小节介绍证书管理服务产品续订。 证书管理服务仅支持控制台续订，用户可在控制台实例界面选择续订，按照续订产品规格进行下单。 说明 仅签发成功的证书能够进行续订。 仅支持续订统一规格证书。 手动续订操作步骤 1. 进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2. 在待续费证书的“操作”列单击“证书续订”。 3. 在跳转的页面中确认续订证书的信息，选择证书有效期。 4. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”。 自动续订操作步骤 1.进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2.选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您手动提交确认函和解析记录后才会签发，后续操作可参考：申请SSL证书。

本文向您介绍在录入或者登录实例时失败的解决方案。 问题描述 连接实例失败，是在登录实例或者添加实例时常遇到的问题，如下。 登录失败：在查询窗口或者其他有实例登录功能的地方登录实例，提示“无法连接到数据库、请检查信息是否填写正确”。 添加失败：添加实例时，输入完所有实例信息后，点击测试连接提示连接失败 问题分析 连接实例失败有多种可能，涉及到用户输入、网络、账号密码等多个因素，针对不同因素所造成的实例连接失败问题，相应地有不同的解决方案。 解决方案 实例信息录入错误：这种情况是因为实例的连接地址包括IP和端口填写错误，请您检查IP和端口并填写正确地址。 账号密码输入错误：填写正确的有登录权限的数据库账号和密码。 实例白名单没有配置：对于云实例，一般会使用白名单访问的方式，只有在白名单内的IP，才允许访问该实例，因此需要在实例所在安全组中添加DMS服务的白名单。DMS服务的白名单地址如下： 117.89.250.178

本章介绍预防帐户暴力破解攻击方案。 帐户破解风险 一旦主机帐户被破解，入侵者就拥有了对主机的操作权限，主机上的数据将面临被窃取或被篡改的风险，企业的业务会中断，造成重大损失。 如何预防 配置SSH登录白名单 SSH登录白名单功能是防护帐户破解的一个重要方式，配置后，只允许白名单内的IP登录到服务器，拒绝白名单以外的IP。 开启双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次身份认证。 在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。 修改默认端口 将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。 设置安全组规则，限制攻击源IP访问您的服务端口 可实时检测攻击者对主机中帐户的暴力破解攻击，拦截攻击源IP。您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。 说明 建议设置对外开放的远程管理端口（如SSH、远程桌面登录），只允许固定的来源IP进行连接。 如果是远程登录端口，您可以只允许特定的IP地址远程登录到弹性云服务器。 例：仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云服务器的22端口，安全组规则如下所示： 仅允许特定IP地址远程连接云服务器 方向 协议应用 端口 源地址 入方向 SSH（22） 22 例如：192.168.20.2/32

本节介绍了事件中心的用户指南。 K8S Event是集群中某个事件的报告，它一般表示系统的某些状态变化，通过事件可以查看集群的状态变更，包括创建Pod、运行Pod、删除Pod、组件异常等。事件中心提供集群中最近一小时的所有事件的查询；通过安装日志插件及事件中心插件，可以把集群的事件持久化到日志服务，从而能够查询更长时间的事件。 操作步骤 查询集群最近一小时的事件 可以通过以下两种方式查询集群最近一小时的事件。 方式一：在集群概览页中查看集群一小时内事件 1、选择指定容器集群，在菜单栏【集群信息】中选择【概览】Tab页即可查看集群一小时内的事件。 2、您也可以点击【下载】将事件保存为Excel文件。 方式二：在事件中心中查看集群一小时内事件 1、选择指定容器集群，在菜单栏【运维管理】中选择【事件中心】。 2、选择【事件列表】Tab页即可查看集群一小时内的事件。您也可以选择级别、命名空间、类型、名称对事件列表进行过滤。 将集群事件持久化到日志服务 1、选择指定容器集群，确保已开通云日志服务并安装ctglogoperator插件和cubeeventer插件，插件安装可参考 用户指南 > 插件 章节。 2、在菜单栏【运维管理】中选择【事件中心】。 3、选择【事件查询】，可以通过开始时间、结束时间、关键词过滤事件日志。

本文介绍Redis入门指引 本章节将为您介绍分布式缓存服务Redis版入门的基本流程，主要包括环境准备、创建实例、连接实例，帮助您快速上手Redis。 操作流程 操作步骤如下： 1.环境准备 创建实例先要准备好虚拟私有云、子网和安全组。 2.创建实例 在订购Redis填写和确认实例名称、版本类型、计费模式等信息，确认费用后点击下一步，等待开通流程结果通知成功后完成创建实例。 3.连接实例 开通实例后，默认支持通过专有网络（VPC） 访问Redis实例，若需要在本地设备或其他仅公网条件下的设备连接时，可以申请Redis实例的公网连接地址，并通过公网访问Redis实例。

本节介绍了日志管理问题与处理方法。 如何查看TaurusDB执行过的所有SQL日志 您可以通过数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，快速查找目标SQL执行记录信息。 通过DAS查询SQL日志 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击操作列的“登录”，进入数据管理服务登录界面。 步骤 5 正确输入数据库用户名和密码，单击“登录”，即可进入您的数据库。 步骤 6 在顶部菜单栏选择“SQL操作”>“SQL执行记录”，打开历史执行记录列表。 步骤 7 在SQL执行记录页面，您可通过日期范围、数据库名称、SQL语句关键字进行搜索，快速查找目标SQL执行记录信息。 图 SQL执行记录 单击列表中数据库名称，您可直接进入该数据库管理页面。 单击“SQL语句”，您可在SQL语句弹出框中复制使用SQL。 单击“在SQL执行窗口打开”，您可在SQL窗口中直接使用该语句。 如何查看TaurusDB慢SQL？ 查看日志明细 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入“基本信息”页面。 步骤 5 在左侧导航树，单击“日志管理”。 步骤 6 选择“慢日志”页签，查看慢SQL语句的详细信息。 慢日志功能支持查看指定执行语句类型或时间段的慢日志记录。 TaurusDB服务如何开启并查看binlog文件？

本章节主要介绍云搜索服务如何迁移集群。 将一个集群的数据迁移到另一个集群，我们称之为集群迁移。集群迁移的应用场景很多，如当业务数据不断增加时，无法直接修改当前集群的规格以便满足需求时，可以选择创建一个规格较高的集群，然后通过集群迁移的操作，快速将数据全部迁移至新集群中，以满足业务需求。另一个场景，如通过集群迁移可将两个集群的索引合并到一个集群中，以满足业务的需要。在云搜索服务中，通过备份与恢复索引功能可实现集群迁移，即将一个集群的快照恢复到另一个集群。 迁移条件 原集群和目标集群在同一个region下。 目标集群的版本等于或高于原集群。 目标集群节点数要大于原集群节点数的一半。 迁移建议 目标集群的节点数不少于原集群的shard副本数。 目标集群的CPU、MEM和Disk配置大于等于原集群，使迁移后业务受损最小化。 本文以将集群“Es1”中的数据迁移到集群“Es2”为例。其中“Es2”集群的版本高于“Es1”集群，且节点数要高于“Es1”节点数的1/2。 操作步骤 1.在集群管理界面中，单击集群名称“Es1”进入集群“基本信息”页面。然后，选择“集群快照”页签。 2.单击“创建快照”手动创建快照，在弹出框中输入快照名称并单击“提交”，等待快照创建完成。 首次使用备份与恢复索引功能，需要先进行基础配置，详见请参见备份与恢复索引中的手动创建快照。 详见下图： 创建快照 快照创建完成后，如下图所示。 3.在快照管理页面，单击该快照操作列的“恢复”按钮，将数据恢复至Es2集群。 在“索引”的文本框中输入“”，表示对集群“Es1”的全部索引进行恢复。 在“集群”的下拉框中选择“Es2”，将该快照恢复到集群“Es2”中。 最后单击“确定”按钮开始恢复。当然还可以进行对恢复之后的索引重命名等操作，详情请参见备份与恢复索引。 详见下图： 恢复数据 4.恢复完成后，即完成了集群“Es1”中的数据到集群“Es2”的迁移。

前言——私有知识库作用简介 大模型私有知识库，作为大语言模型技术与企业、组织自有数据深度融合的创新知识管理及应用解决方案，能够为特定用户群体提供更为精准、专业且安全的知识服务。具体来讲，它是借助大语言模型搭建而成，专门为特定组织或个人定制的知识存储与检索系统。此系统会对组织内部的专业知识、业务数据、历史文档等各类信息进行深度整合与精细化处理，从而构建出独一无二的专属知识集合。依托大模型强大的语言理解与生成能力，用户能够在此基础上实现高效的知识查询与问答交互。 在本教程中，我们将为您详细介绍一种基于开源框架的私有知识库搭建方案。利用该方案，您可以在本地便捷地搭建起相应的私有知识库，大幅提升文本检索能力。 教程使用配置说明：C7通用型云主机 plaintext cpu 8核 内存 32G 优势 知识准确性：让模型访问定制的信息，从而提高回答的准确性和可靠性。 可解释性：检索过程可以明确指出回答所依据的信息来源，增强了回答的可解释性。 减少幻觉：降低了语言模型生成无事实依据内容（即“幻觉”）的可能性。 一、deepseek自部署 请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云 自定义部署DeepSeek。

本文介绍全站加速相关术语解释。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用docs.ctyun.cn访问，您又希望通过documents.ctyun.cn也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将documents.ctyun.cn指向docs.ctyun.cn，添加该条CNAME记录后，所有访问documents.ctyun.cn的请求都会被转到docs.ctyun.cn，获得相同的内容。 CNAME域名 接入全站加速时，在天翼云控制台添加完加速域名后，您会得到一个天翼云给您分配的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个CNAME域名，这样该域名所有的请求才会指向天翼云全站加速的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

本文帮助您快速熟悉创建安全组的操作场景和操作流程。 操作场景 您可以创建安全组并定义安全组中的规则，将VPC中的弹性云主机划分成不同的安全域，以提升弹性云主机访问的安全性。建议您将不同公网访问策略的弹性云主机划分到不同的安全组。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 点击页面右上角“创建安全组”按钮，进入创建安全组页面。 6. 根据界面提示配置参数，设置安全组信息；参数说明如下： 配置 说明 名称 输入安全组的名称。 模板 模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 虚拟私有云 选择安全组所属的虚拟私有云，仅可用区资源池支持此选项。 描述 安全组的描述信息。 企业项目 创建安全组时，可以将安全组加入已启用的企业项目。 7. 点击“确认”按钮，即可完成安全组的创建。 注意 1. 默认情况下，控制台已经为您提供了几种安全组规则模板，您可以跟据您的业务需求去选择规则模板，如果您需要自定义规则，可以参考“ 2. 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通，详细操作可参考“ 3. 对于地域资源池来说，创建安全组时无需选择对应的虚拟私有云，多个VPC可以复用一个安全组。对于可用区资源池来说，创建安全组时需选择对应的虚拟私有云。不同的VPC业务一般是不同的，所使用的安全组规则也应该是不一样的。将VPC与安全组关联方便您部署不同业务情况。您可以根据自身业务需求选择创建合适区域的安全组。

本节介绍了在移动设备上登录Linux云主机的操作场景、前提条件、IOS设备上登录Linux云主机、Android设备上登录Linux云主机。 操作场景 本节操作介绍如何在移动设备上连接Linux实例。 以iTerminalSSH Telnet为例介绍如何在iOS设备上连接 Linux 实例，详细操作请参考IOS设备上登录Linux云主机。 以JuiceSSH为例介绍如何在Android设备上连接 Linux 实例，详细操作请参考Android设备上登录Linux云主机。 前提条件 云主机状态为“运行中”。 已获取Linux云主机用户名和密码。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放22端口，配置方式请参见配置安全组规则。 IOS设备上登录Linux云主机 如果您使用iOS设备，请确保已经安装了SSH客户端工具，我们以Termius为例。本示例中使用CentOS 7.6操作系统，使用用户名和密码进行认证。 1. 启动Termius，单击New Host。 图 New Host 2. 在SSH页面上，输入连接信息后，单击 Save。需要输入的连接信息包括： − Alias：指定Host名称，如本例中，设置为ecs01。 − Hostname：输入需要连接的 Linux 实例的公网IP地址。 − Use SSH：打开SSH登录配置。 − Host：输入需要连接的Linux实例的公网IP地址。 − Port：输入端口号22。 − 用户名：输入用户名root。 − 密码：输入实例登录密码。 图 输入连接信息 3. 单击右上角的“Save”，保存登录信息，在Hosts页面，单击连接的名称远程连接服务器。 图 保存登录信息 当出现命令行界面时，您已经成功地连接了Linux云主机。

本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

跨账号接入 当您选择了跨账号接入日志流映射方式时，通过创建委托，您可以将委托账号的日志流映射到被委托方账号，即就是将委托账号的日志流映射到当前云日志服务账号的日志流下。 跨账号接入成功后，如果账号A在IAM上删除委托，则云日志服务无法感知到该委托被删除，配置的跨账号接入依然生效；如果您不再使用跨账号接入功能，可直接通知账号B删除接入配置。 前提条件 已创建委托关系。 限制条件 日志清洗的日志，无法进行日志流映射。 数据未同步完成前，目标日志流数据与源日志流可能会有一定偏差。建议1小时后，查看接入数据。 操作步骤 日志服务接入方式选择跨账号接入时，按照如下操作完成接入配置。 步骤 1 登录云日志服务控制台。 步骤 2 在左侧导航栏中，选择“日志接入”，单击“跨账号接入日志流映射”进行跨账号接入配置。 步骤 3 或者在左侧导航栏中，选择“日志管理”，单击目标日志流的名称进入日志详情页面，单击右上角，在弹出页面中，选择“采集配置”页面，单击“新建采集配置”，在新打开的页面，选择“跨账号接入日志流映射”进行跨账号接入配置。 步骤 4 选择委托。 配置相关参数，请参见下表，完成后，单击“下一步：日志流映射”。 表11 委托参数配置 参数 说明 委托名称 填写委托人在IAM中创建的委托名称。委托人账号可通过创建委托将资源管理权限委托给其他账号。 委托人账号名称 填写委托人账号名称，以验证委托关系。 步骤 5 日志流映射。 在日志流映射页面，配置接入规则，有两种方式：自动配置和手动配置。 自动配置 1. 在日志流映射页面，单击“自动配置”。 2. 在弹出的自动配置页面中，配置相关参数信息，完成后，单击“确定”。 表12 自动配置接入规则 参数 说明 规则名称前缀 填写规则名称前缀，自动配置将使用您配置的规则名称前缀，产生多条接入规则。 只支持输入英文、数字、中文、中划线、下划线及小数点，且不能以小数点、下划线开头或以小数点结尾。可不填写，默认规则名称前缀为rule。 从委托账号中选择您希望接入的日志组/日志流 选择希望接入的日志组/日志流，最多支持选择20条。 说明 通过自动配置的接入规则，被委托方中的目标日志组、目标日志流名称默认同委托方中源日志组、源日志流名称保持一致，也支持手动修改。 3. 单击“预览”，查看预览结果。 说明 预览结果有两种： 将创建新的目标日志流 ：被委托方中新建的目标日志组/日志流。 接入已存在的目标日志流 ：被委托方中已存在的目标日志组/日志流。 预览报错情况如下： 源日志流xxx，已配置为目标日志流 目标日志流xxx，已配置为源日志流 目标日志流xxx，已存在于其它日志组 目标日志流xxx，存在于不同目标日志组 规则名称重复 源日志流xxx，已存在映射关系 日志组/日志流超过最大创建条 当提示以上报错时，须删除日志流对应的接入规则。 4. 预览完成后，单击“提交”。 手动配置 1. 在日志流映射页面，单击“添加规则”。 表13 参数 参数 说明 规则名称 默认为rulexxx，也可根据您的需要进行自主命名。 只支持输入英文、数字、中文、中划线、下划线及小数点，且不能以小数点、下划线开头或以小数点结尾。 委托方 源日志组 源日志流 委托方的日志流，在原有的日志流中进行选择。 被委托方 目标日志组 目标日志流 被委托方的日志流，可在原有的日志流中进行选择或直接输入名称进行新建日志流。 2. 单击“预览”，查看预览结果。 说明 预览结果有两种： 将创建新的目标日志流：被委托方中新建的目标日志组/日志流。 接入已存在的目标日志流：被委托方中已存在的目标日志组/日志流。 预览报错情况有五种： 源日志流xxx，已配置为目标日志流。 目标日志流xxx，已配置为源日志流。 目标日志流xxx，已存在于其它日志组。 目标日志流xxx，存在于不同目标日志组。 规则名称重复。 源日志流xxx，已存在映射关系。 日志组/日志流超过最大创建条数。 当提示以上报错时，须删除日志流对应的接入规则。 3. 预览完成后，单击“提交”，等待创建日志接入成功。 步骤 6 完成。

安全审计 支持对用户登录日志、系统管理操作日志进行审计。 支持对字符操作、图形运维、文件操作及传输、数据库运维产生的会话日志统一审计，同时支持字符操作、图形运维操作全程审计录像及回放。 为什么选择云堡垒机 开通和使用非常便捷 您只需选择产品版本、实例规格、资产规格，为云堡垒机实例指定实例开通地域、配置相关网络参数即可开通。 开通完成后，您可以在控制台上快捷登入云堡垒机，管理运维您的服务器、数据库等IT资产。 满足合规性规范审查要求 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求。 满足等级保护、ISO/IEC27001等对运维审计的要求。 云原生堡垒机更安全 云原生堡垒机运行操作系统及网络安全防护策略统一实现安全加固，缩小攻击面。 租户之间严格网络隔离、实例和数据隔离，各堡垒机实例环境独立，保障系统运行安全。

安全审计 支持对用户登录日志、系统管理操作日志进行审计。 支持对字符操作、图形运维、文件操作及传输、数据库运维产生的会话日志统一审计，同时支持字符操作、图形运维操作全程审计录像及回放。 为什么选择云堡垒机 开通和使用非常便捷： 您只需选择产品版本、实例规格、资产规格，为云堡垒机实例指定实例开通地域、配置相关网络参数即可开通。 开通完成后，您可以在控制台上快捷登入云堡垒机，管理运维您的服务器、数据库等IT资产。 满足合规性规范审查要求： 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求。 满足等级保护、ISO/IEC27001等对运维审计的要求。 云原生堡垒机更安全： 云原生堡垒机运行操作系统及网络安全防护策略统一实现安全加固，缩小攻击面。 租户之间严格网络隔离、实例和数据隔离，各堡垒机实例环境独立，保障系统运行安全。

本节主要介绍查看企业项目资源 您可以选择查看某个企业项目下的全部资源，方便您快速了解该企业项目所拥有的资源情况。 操作步骤 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，选择待查看的企业项目，单击操作列“查看资源”。 系统进入企业项目详情页面，在“资源”页签下可查看该企业项目内资源信息。默认展示全部区域及全部产品类型的资源信息，可按以下步骤进行资源筛选。 步骤 4 （可选）设置资源搜索条件。 1. 选择搜索区域。系统默认选中“全部”。 2. 选择服务类型。 3. 选择资源类型。 页面下方列表展示筛选后的所有资源。 说明 当服务选择为“EIP”时，支持查看已绑定实例。已绑定实例目前仅支持查看资源为：弹性云主机、负载均衡器（目前仅支持增强型）、物理机、虚拟IP地址。

本文为您介绍如何创建委托。 通过委托信任功能，您可以将自己的操作权限委托给更专业、高效的其他账号或者云服务，账号或者云服务可以根据权限代替您进行日常资源管理工作。 当前IAM支持以下3种委托方式：账号委托、服务委托、身份提供商。 操作步骤 账号委托 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“委托”，点击委托管理页面的“创建委托”按钮。 3. 选择“账号委托”，点击“下一步”。 4. 在配置委托页面，输入委托名称、备注信息、委托的账号ID等内容点击“完成”，委托创建成功。委托的账号ID，可以由被委托方，使用天翼云账号登录IAM控制台后，在概览处获取。 服务委托 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“委托”，点击委托管理页面的“创建委托”按钮。 3. 选择“服务委托”，点击“下一步”。 4. 在配置委托页面，输入委托名称、备注信息、选择委托服务，点击“完成”，委托创建成功。 说明 部分云服务在您首次使用控制台时，会在征得您同意后，创建服务内联委托，以执行后续自动化运维工作。

本文为您介绍设置消息回执接收方式的操作流程。 注意事项 使用短信的API接口发送短信后，可以通过HTTP批量推送模式来接收短信的回执消息和上行短信等内容。 如果出现网络问题等异常情况，导致消息回执未成功获取，还可以通过短信发送记录查询API接口进行一定的补偿。目前支持30天内发送记录的查询，可查询一天的发送数据。 消息类型 短信提供3种消息类型：SmsReport（短信下行回执报告消息）、SmsMo（上行短信消息）、eventReport（事件回调消息）。 上行短信指用户发送给通信服务供应商的短信，用于定制某种服务、完成某种查询、或是办理某种业务等。与上行短信相对应的是下行短信。下行短信是指用户收到的短信，例如运营商发送的消息通知、业务提醒等短信。签名和模板审核状态消息是指用户提交的相关信息的审核状态的报告，说明如下。 通过订阅SmsReport可以获知每条短信的发送情况，了解短信是否到达终端用户的状态与相关信息。 通过订阅SmsMo可以获知终端用户回复短信的内容。 通过订阅eventReport接口获取签名，模板的审核状态消息。 更多信息，请参见回调消息简介与配置流程。 事件回调配置 如果需要接收回执消息，必须先在控制台上开启消息接收。 1. 登录云通信控制台。 2. 在左侧导航栏，单击消息配置。 3. 在事件回调配置 区域，单击设置。 4. 云通信消息接收目前支持HTTP批量推送模式 ，该模式通过HTTP POST方式发送消息到指定的Web URL。 说明: HTTP批量推送模式支持全部消息类型。 [](

本节介绍了扩展系统盘的分区和文件系统的相关内容。 操作场景 通过云服务管理控制台扩容成功后，仅扩大了云硬盘的存储容量，因此需要参考本章节操作扩展分区和文件系统。 对于Linux操作系统而言，需要将扩容部分的容量划分至已有分区内，或者为扩容部分的云硬盘分配新的分区。 本文以“CentOS 7.4 64bit”和“CentOS 6.5 64bit”操作系统为例，提供growpart和fdisk两种工具的扩容指导。不同操作系统的操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应操作系统的产品文档。 查看Linux内核版本方法请参见下文“查看Linux操作系统内核版本”。 扩大已有MBR分区（内核版本高于3.6.0） 扩大已有MBR分区（内核版本低于3.6.0） 新增MBR分区 注意 扩容时请谨慎操作，误操作可能会导致数据丢失或者异常，建议扩容前对数据进行备份，可以使用CBR或者快照功能，CBR请参见 前提条件 已通过管理控制台扩容云硬盘容量，并已挂载至云主机，请参见扩容“正在使用”状态的云硬盘容量扩容“可用”状态的云硬盘容量。 已登录云主机。

此小节介绍运维用户客户端无法访问用户资产的处理方法。 运维用户客户端无法访问服务器、数据库等用户资产需要排查客户端到云堡垒机以及云堡垒机到运维资产的网络通路，重点排查安全组配置。 注意 请先确认以下配置均已正确配置： 运维终端已正确安装访问插件，并配置访问路径； 用户拥有访问及运维资产的授权。 排查步骤 1. 检查客户端到云堡垒机网络是否能连通。 在您的客户端使用ping命令测试客户端与堡垒机的网络是否连通，如果连接失败，请您登录堡垒机控制台，查看堡垒机EIP是否正常，检查云堡垒机实例安全组策略是否正确配置，确认IP和端口是否正确开放，具体请查阅安全策略配置方法。 2. 检查堡垒机到运维资产网络是否能连通。 检查云堡垒机实例到运维资产的网络和端口是否开放，需要检查运维资产所属安全组的安全端口访问策略限制，是否允许云堡垒机实例访问运维资产。

四层服务 针对四层服务（TCP/UDP协议）：开启监听器的“获取客户端IP”功能。 注意 开启此功能后，执行后端服务器迁移任务时，可能出现流量中断（例如单向下载、推送类型的流量）。所以后端服务器迁移完成后，需要通过报文重传来恢复流量。 监听器开启此功能后，后端服务器不能作为客户端访问此监听器。 如果监听器之前已经添加了后端服务器、并且开启了健康检查功能，开启“获取客户端IP”功能会重新上线后端服务器，新建流量会有12个健康检查间隔的中断。 1、 1）开启监听器的“获取客户端IP”功能。 2）登录管理控制台。在管理控制台左上角选择区域和项目。 3）在页面中选择“网络 > 弹性负载均衡”。 4）在“负载均衡器”界面，单击需要操作的负载均衡名称。 5）切换到“监听器”页签。 新增场景：单击“添加监听器”。 修改场景：在需要修改的监听器名称右侧所在行的操作列，单击“编辑”。 6）开启“获取客户端IP”开关。 7）设置后端服务器的安全组、网络ACL、操作系统和软件的安全规则，使客户端的IP地址能够访问后端服务器。 说明 开启“获取客户端IP”之后，不支持同一台服务器既作为后端云主机又作为客户端的场景。如果后端云主机和客户端使用同一台云主机，且开启“获取客户端IP”，则后端云主机会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。 2、 开启“获取客户端IP”之后，不支持同一台服务器既作为后端服务器又作为客户端的场景。如果后端服务器和客户端使用同一台服务器，且开启“获取客户端IP”，则后端服务器会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。