本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

本文帮助您快速熟悉创建安全组的操作场景和操作流程。 操作场景 您可以创建安全组并定义安全组中的规则，将VPC中的弹性云主机划分成不同的安全域，以提升弹性云主机访问的安全性。建议您将不同公网访问策略的弹性云主机划分到不同的安全组。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 点击页面右上角“创建安全组”按钮，进入创建安全组页面。 6. 根据界面提示配置参数，设置安全组信息；参数说明如下： 配置 说明 名称 输入安全组的名称。 模板 模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 虚拟私有云 选择安全组所属的虚拟私有云，仅可用区资源池支持此选项。 描述 安全组的描述信息。 企业项目 创建安全组时，可以将安全组加入已启用的企业项目。 7. 点击“确认”按钮，即可完成安全组的创建。 注意 1. 默认情况下，控制台已经为您提供了几种安全组规则模板，您可以跟据您的业务需求去选择规则模板，如果您需要自定义规则，可以参考“ 2. 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通，详细操作可参考“ 3. 对于地域资源池来说，创建安全组时无需选择对应的虚拟私有云，多个VPC可以复用一个安全组。对于可用区资源池来说，创建安全组时需选择对应的虚拟私有云。不同的VPC业务一般是不同的，所使用的安全组规则也应该是不一样的。将VPC与安全组关联方便您部署不同业务情况。您可以根据自身业务需求选择创建合适区域的安全组。

本章节主要介绍云搜索服务如何迁移集群。 将一个集群的数据迁移到另一个集群，我们称之为集群迁移。集群迁移的应用场景很多，如当业务数据不断增加时，无法直接修改当前集群的规格以便满足需求时，可以选择创建一个规格较高的集群，然后通过集群迁移的操作，快速将数据全部迁移至新集群中，以满足业务需求。另一个场景，如通过集群迁移可将两个集群的索引合并到一个集群中，以满足业务的需要。在云搜索服务中，通过备份与恢复索引功能可实现集群迁移，即将一个集群的快照恢复到另一个集群。 迁移条件 原集群和目标集群在同一个region下。 目标集群的版本等于或高于原集群。 目标集群节点数要大于原集群节点数的一半。 迁移建议 目标集群的节点数不少于原集群的shard副本数。 目标集群的CPU、MEM和Disk配置大于等于原集群，使迁移后业务受损最小化。 本文以将集群“Es1”中的数据迁移到集群“Es2”为例。其中“Es2”集群的版本高于“Es1”集群，且节点数要高于“Es1”节点数的1/2。 操作步骤 1.在集群管理界面中，单击集群名称“Es1”进入集群“基本信息”页面。然后，选择“集群快照”页签。 2.单击“创建快照”手动创建快照，在弹出框中输入快照名称并单击“提交”，等待快照创建完成。 首次使用备份与恢复索引功能，需要先进行基础配置，详见请参见备份与恢复索引中的手动创建快照。 详见下图： 创建快照 快照创建完成后，如下图所示。 3.在快照管理页面，单击该快照操作列的“恢复”按钮，将数据恢复至Es2集群。 在“索引”的文本框中输入“”，表示对集群“Es1”的全部索引进行恢复。 在“集群”的下拉框中选择“Es2”，将该快照恢复到集群“Es2”中。 最后单击“确定”按钮开始恢复。当然还可以进行对恢复之后的索引重命名等操作，详情请参见备份与恢复索引。 详见下图： 恢复数据 4.恢复完成后，即完成了集群“Es1”中的数据到集群“Es2”的迁移。

本文介绍存储概述。 运行于Serverless集群的工作负载常伴随数据持久化、配置存储和动态分配等存储需求。Serverless集群基于CSI插件实现了容器存储的功能，与天翼云存储服务（如云硬盘，弹性文件服务、对象存储等）深度融合，提供容器存储方案，支持对静态及动态存储卷的管理。 CSI存储卷 目前CSI驱动支持静态存储卷和动态存储卷。每种数据卷的支持情况如下： 天翼云存储 静态存储卷 动态存储卷 天翼云云硬盘 支持 支持 天翼云弹性文件 支持使用CSI驱动以PV、PVC方式挂载弹性文件静态存储卷 暂不支持 天翼云对象存储 支持使用CSI驱动以PV、PVC方式挂载对象存储静态存储卷 暂不支持 说明 针对新建集群，推荐您使用CSI插件，Serverless集群会持续更新CSI插件的各种能力。 CSI存储插件 CSI插件是当前Kubernetes社区推荐的插件实现方案。在Serverless集群的场景下，由弹性容器实例ECI提供数据卷的挂载、卸载功能。CSI插件只包含cstorcsiprovisioner部分，并以无状态负载形态部署，通过将云存储服务的功能与 Kubernetes 的存储框架无缝集成，使用户能够通过 Kubernetes API 动态创建和删除存储卷，而无需直接与云存储服务进行交互。

本节主要介绍查看企业项目资源 您可以选择查看某个企业项目下的全部资源，方便您快速了解该企业项目所拥有的资源情况。 操作步骤 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，选择待查看的企业项目，单击操作列“查看资源”。 系统进入企业项目详情页面，在“资源”页签下可查看该企业项目内资源信息。默认展示全部区域及全部产品类型的资源信息，可按以下步骤进行资源筛选。 步骤 4 （可选）设置资源搜索条件。 1. 选择搜索区域。系统默认选中“全部”。 2. 选择服务类型。 3. 选择资源类型。 页面下方列表展示筛选后的所有资源。 说明 当服务选择为“EIP”时，支持查看已绑定实例。已绑定实例目前仅支持查看资源为：弹性云主机、负载均衡器（目前仅支持增强型）、物理机、虚拟IP地址。

本文为您介绍VPN连接服务的权限管理。 如果您需要对云服务平台上创建的VPN资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有VPN的使用权限，但是不希望他们拥有删除VPN等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPN，但是不允许删除VPN的权限，控制他们对VPN资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用VPN服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见统一身份认证服务用户指南。 VPN权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPN部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问VPN时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPN服务，管理员能够控制IAM用户仅能对某一类VPN资源进行指定的管理操作。

标签路由是将每个服务打上一个标签,通过标签将标签相同的服务分为同一个分组,然后约束流量在同一个分组内流转,以此实现灰度发布、金丝雀发布、蓝绿发布等功能 概述 标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate 负载均衡：Ribbon、LoadBalancer。 Dubbo 2.5.3~2.7.8 支持Alibaba Dubbo、Apache Dubbo。 注册中心 Nacos、Eureka、Zookeeper jdk版本 1.8+ 应用场景 A/B测试 在营销活动中，经常会有A/B测试，A/B测试是为了测试不同的规则对业务的影响，所以一个应用会有多个版本同时运行，可以通过标签的方式区分不同的版本，对不同版本的应用进行流量隔离，将特殊用户的流量路由到特殊版本，从而实现A/B测试。 开通标签路由 步骤1：为应用设置标签 为云容器引擎集群应用设置标签，应用容器添加环境变量MSESERVICETAGgray。 为ECS应用设置标签，在启动应用时，添加JVM启动参数Dctgcloud.service.taggray。 步骤2：在微服务治理中心控制台创建标签路由 1. 登录微服务治理中心控制台。 2. 在左侧导航栏选择 微服务治理中心 >应用治理。 3. 在应用治理页面单击目标应用卡片。 4. 在应用页面左侧导航栏选择流量治理 标签路由，查看服务标签。 5. 在标签路由页点击流量分配，为标签按比例分配流量。 6. 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。

本节介绍云安全中心服务协议，请点击查看。 天翼云云安全中心服务协议

本文介绍如何查看WAF监控指标。 您可以通过管理控制台，查看WAF的相关指标，及时了解WAF防护状况，并通过指标设置防护策略。 前提条件 WAF已对接云监控，即已在云监控页面设置监控告警规则。有关设置监控告警规则的详细操作，请参见设置监控告警规则。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台顶部的区域选择框，选择区域。 3. 单击页面左上方的“服务列表”，选择“管理与部署> 云监控服务”。 4. 在左侧导航树栏，选择“云服务监控> Web应用防火墙”，进入“云服务监控”页面。 5. 在目标独享引起实例或防护域名所在行的“操作”列中，单击“查看监控指标”，查看对象的指标详情。 说明 在“网站设置”列表中，目标域名所在行的“操作”列，单击“云监控”，可直接查看单个网站的监控信息。

此章节为您介绍如何变更安全组。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。但是若您在购买堡垒机的时候选择了不适用的安全组，也无法通过修改相应的安全组规则来放通这些IP地址和端口，这时候您可以通过更改堡垒机绑定的安全组来满足您的运维需求。 约束条件 堡垒机最多可以接入5个安全组。 控制台中“运行状态”为“运行中”的实例才可以更改安全组。 堡垒机绑定多个安全组时，安全组的规则生效方式为并集。 操作步骤 1.登录管理控制台。 2.单击左上角的资源池，选择区域或项目。 3.在左侧导航树中，选择“安全与合规 > 云堡垒机”，进入云堡垒机实例界面。 4.在需要修改安全组的实例所在行，单击“操作”列中的“更多 > 网络设置 > 更改安全组”。 5.在弹出的对话框中勾选需要绑定的安全组。 6.单击“确定”，完成安全组的修改

如果您需要对天翼云上购买的运维安全中心实例资源进行管理，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并使用策略来控制对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有运维安全中心实例的使用权限，但是不希望员工拥有创建、变更规格、升级实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用实例，但是不允许创建、变更规格、升级CBH实例的权限策略，控制员工对实例资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用运维安全中心的其它功能。 运维安全中心实例权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBH实例部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北北京1）对应的项目（cnnorth1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBH实例时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对运维安全中心实例，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了运维安全中心实例的部分系统权限。 系统角色/策略名称 描述 类别 CBH FullAccess 运维安全中心实例的所有权限（支付权限除外）。 系统策略 CBH ReadOnlyAccess 运维安全中心实例只读权限，拥有该权限的用户仅能查看运维安全中心服务，不具备服务配置和操作权限。 系统策略 说明 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 如下表列出了CBH实例常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 CBH FullAccess CBH ReadOnlyAccess 创建运维安全中心 √ x 变更运维安全中心规格（变更规格） √ x 查询运维安全中心列表 √ √ 升级运维安全中心软件版本 √ x 查询ECS配额 √ x 绑定或解绑EIP √ x 重启运维安全中心 √ x 启动运维安全中心 √ x 关闭运维安全中心 √ x 查看运维安全中心可用区 √ x 检测当前配置是否支持创建IPv6运维安全中心 √ x 检测运维安全中心与License中心之间网络是否连通 √ x 修改运维安全中心网络，确保与License中心网络连通 √ x

本文为您介绍设置消息回执接收方式的操作流程。 注意事项 使用短信的API接口发送短信后，可以通过HTTP批量推送模式来接收短信的回执消息和上行短信等内容。 如果出现网络问题等异常情况，导致消息回执未成功获取，还可以通过短信发送记录查询API接口进行一定的补偿。目前支持30天内发送记录的查询，可查询一天的发送数据。 消息类型 短信提供3种消息类型：SmsReport（短信下行回执报告消息）、SmsMo（上行短信消息）、eventReport（事件回调消息）。 上行短信指用户发送给通信服务供应商的短信，用于定制某种服务、完成某种查询、或是办理某种业务等。与上行短信相对应的是下行短信。下行短信是指用户收到的短信，例如运营商发送的消息通知、业务提醒等短信。签名和模板审核状态消息是指用户提交的相关信息的审核状态的报告，说明如下。 通过订阅SmsReport可以获知每条短信的发送情况，了解短信是否到达终端用户的状态与相关信息。 通过订阅SmsMo可以获知终端用户回复短信的内容。 通过订阅eventReport接口获取签名，模板的审核状态消息。 更多信息，请参见回调消息简介与配置流程。 事件回调配置 如果需要接收回执消息，必须先在控制台上开启消息接收。 1. 登录云通信控制台。 2. 在左侧导航栏，单击消息配置。 3. 在事件回调配置 区域，单击设置。 4. 云通信消息接收目前支持HTTP批量推送模式 ，该模式通过HTTP POST方式发送消息到指定的Web URL。 说明: HTTP批量推送模式支持全部消息类型。 [](

本节介绍如何为物理机安装备份客户端。 操作场景 云备份通过客户端提供备份服务。备份操作前，需要在备份目标机器中安装客户端，可在控制台进行客户端安装操作。 约束与限制 操作系统限制：物理机支持CentOS7.0/7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9、Ubuntu16.04/18.04/20.04、KylinOS V10 SP1/SP2、CTyunOS2.0操作系统，目前仅支持64位系统。 物理机文件备份时，物理机必须处于开机状态。 操作步骤 弹性裸金属 1.登录控制中心。 2.在控制中心左上角点击，选择地域，此处选择华东华东1。 3.选择“存储>云备份”，进入云备份控制台。单击左侧“物理机文件备份”按钮，进入物理机文件备份控制台。 4.点击要备份的弹性裸金属所在行的“操作更多接入VPC”，进入创建VPCE窗口 ，确认该弹性裸金属的网络信息，点击”确定“后 ，自动为该弹性裸金属的VPC创建终端节点以访问云备份服务。 5.同时还需要为要备份的弹性裸金属的VPC接入对象存储服务，请参考VPCE接入对象存储。 6.确认以上4、5步骤都完成后，点击要备份的弹性裸金属所在行的“操作安装客户端”，在安装客户端窗口选择一个已有的对象存储VPCE。 7.若以上操作都已完成且弹性裸金属的子网已接入了云备份服务和对象存储服务，窗口下方会展示客户端安装命令。 a.登录弹性裸金属并切换为root账号。 b.在弹性裸金属界面输入云备份控制台的安装命令（控制台界面提供了安装命令的复制按钮）并执行命令。 c.等待安装界面显示“Successful”，代表客户端安装完成。 d.若以上自动命令执行失败，也可进行手动下载客户端安装包至弹性裸金属内进行激活。 e.下载客户端安装包并解压后，执行“cbrinstall.sh”脚本，根据提示输入云备份控制台的激活命令即可。 f.安装完成后，在云备份控制台物理机资源页面，客户端状态为“已激活”。 标准裸金属 1.登录控制中心。 2.在控制中心左上角点击，选择地域，此处选择华东华东1。 3.选择“存储>云备份”，进入云备份控制台。单击左侧“物理机文件备份”按钮，进入物理机文件备份控制台。 4.点击要备份的标准裸金属所在行的“操作更多接入VPC”，进入创建VPCE窗口 ，选择一个该标准裸金属的普通子网，点击”确定“后 ，自动为该标准裸金属的VPC创建终端节点以访问云备份服务。 5.同时还需要为要备份的标准裸金属的VPC接入对象存储服务，请参考VPCE接入对象存储。 6.确认以上4、5步骤都完成后，点击要备份的标准裸金属所在行的“操作安装客户端”，在安装客户端窗口选择一个标准裸金属的普通子网（即在”接入VPC“步骤已创建了VPCE的子网）以及一个已有的对象存储VPCE。 7.若以上操作都已完成且标准裸金属的普通子网已接入了云备份服务和对象存储服务，窗口下方会展示客户端安装命令 a.登录标准裸金属并切换为root账号。 b.在标准裸金属界面输入云备份控制台的安装命令（控制台界面提供了安装命令的复制按钮）并执行命令。 c.等待安装界面显示“Successful”，代表客户端安装完成。 d.若以上自动命令执行失败，也可进行手动下载客户端安装包至标准裸金属内进行激活。 e.下载客户端安装包并解压后，执行“cbrinstall.sh”脚本，根据提示输入云备份控制台的激活命令即可。 f.安装完成后，在云备份控制台物理机资源页面，客户端状态为“已激活”。

操作场景 监控管理控制台提供了对DRDS实例的监控管理，您可以根据实时监控监控反馈结果，对数据库进行调优。 前提条件 成功登录分布式关系型数据库服务控制台。 已创建DRDS实例、逻辑库。 操作步骤 1、 登录分布式关系型数据库控制台。 2、在“实例管理”页面，点击目标实例的“查看监控指标”，进入云监控服务页面。 3、选择目标实例，单击实例名称左侧的 ，单击操作列的“查看监控指标”。 查看监控指标 您可在云监控服务页面查看指标。 1. 在>“云服务监控”导航栏，获取云服务监控列表信息。 2. 选择您所需查看的实例名称，单击可展开当前实例下节点信息列表，并在目标实例节点右侧操作栏单击“查看监控指标”，进入该节点监控指标详情页面。 您可在监控指标信息页面，根据时间范围查看各项指标详细信息。

四层服务 针对四层服务（TCP/UDP协议）：开启监听器的“获取客户端IP”功能。 注意 开启此功能后，执行后端服务器迁移任务时，可能出现流量中断（例如单向下载、推送类型的流量）。所以后端服务器迁移完成后，需要通过报文重传来恢复流量。 监听器开启此功能后，后端服务器不能作为客户端访问此监听器。 如果监听器之前已经添加了后端服务器、并且开启了健康检查功能，开启“获取客户端IP”功能会重新上线后端服务器，新建流量会有12个健康检查间隔的中断。 1、 1）开启监听器的“获取客户端IP”功能。 2）登录管理控制台。在管理控制台左上角选择区域和项目。 3）在页面中选择“网络 > 弹性负载均衡”。 4）在“负载均衡器”界面，单击需要操作的负载均衡名称。 5）切换到“监听器”页签。 新增场景：单击“添加监听器”。 修改场景：在需要修改的监听器名称右侧所在行的操作列，单击“编辑”。 6）开启“获取客户端IP”开关。 7）设置后端服务器的安全组、网络ACL、操作系统和软件的安全规则，使客户端的IP地址能够访问后端服务器。 说明 开启“获取客户端IP”之后，不支持同一台服务器既作为后端云主机又作为客户端的场景。如果后端云主机和客户端使用同一台云主机，且开启“获取客户端IP”，则后端云主机会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。 2、 开启“获取客户端IP”之后，不支持同一台服务器既作为后端服务器又作为客户端的场景。如果后端服务器和客户端使用同一台服务器，且开启“获取客户端IP”，则后端服务器会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。

概述 API调试功能允许开发者在云原生网关中测试和验证API的行为。通过调试界面，用户可以发送请求，查看响应，检查请求参数和返回数据。该功能帮助快速识别和解决问题，确保API的正确性和稳定性。调试支持不同环境的测试，增强了开发和维护的效率。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表，进入要查看的API详情。 4. 在上面导航栏，选择API调试，即可使用。

本节主要介绍包周期实例转按需计费 。 GeminiDB Influx支持将包周期（包年/包月）实例转为按需计费实例。对于到期后不再长期使用资源的包周期实例，可以选择转按需操作，到期后将转为按需计费实例。 使用须知 包周期实例状态为“正常”时才能转按需计费。 目前仅集群版本支持此功能，单节点暂不支持。 单个包周期实例转按需 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，在操作列单击“转按需”，进入转按需页面。 图1 包周期转按需 4. 在转按需页面，核对实例信息无误后，单击“转按需”。包周期实例将在到期后转为按需计费实例。 注意 转按需成功后，自动续费将会被关闭，请谨慎操作。 5. 转按需申请提交后，在目标实例的“计费方式”列，会提示实例到期后转按需。 6. 如需取消转按需，您可以在费用中心的“续费管理”页签，在目标实例的“操作”列，选择“更多 > 取消转按需”。 7. 在弹出框中，单击“确定”，取消转按需申请。 包周期实例批量转按需 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，勾选目标实例，单击实例列表上方“转按需”。 图2 包周期批量转按需 4. 在弹出框中单击“是”，进入“包周期转按需”页面。 5. 在转按需页面，核对实例信息无误后，单击“转按需”。包周期实例将在到期后转为按需计费实例。 注意 转按需成功后，自动续费将会被关闭，请谨慎操作。 6. 转按需申请提交后，在目标实例的“计费方式”列，会提示实例到期后转按需。 7. 如需取消转按需，您可以在费用中心的“续费管理”页签，在目标实例的“操作”列，选择“更多 > 取消转按需”。 8. 在弹出框中，单击“确定”，取消转按需申请。

本节介绍如何续订智算安全专区实例。 为避免智算安全专区的实例到期后，防护服务自动停止，需要在实例到期前进行手动续费，或设置到期自动续费。 到期说明 到期后，资源进入保留期，您将不能正常访问及使用云服务（资源冻结），但对于您存储在云服务中的数据予以保留。 若您在保留期内续费，计费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。 若保留期到期您仍未续费，存储在云服务中的数据将被删除、云服务资源将被释放。 关于保留期的详细信息，请参见到期处理。 续订说明 订单到期后，若没有续订，将不能继续使用订单中的服务，建议您提前进行续订。更多详情请阅读天翼云续订规则说明。 支持的续订方式： 续订方式 说明 手动续订 智算安全专区在购买之后支持手动续订的方式，您可以随时在智算安全专区管理控制台中的实例页面进行续订，续订后智算安全专区到期时间将自动延期到续订后的到期时间。 自动续订 智算安全专区在购买之后支持自动续订的方式，您可以随时在“费用中心 > 订单管理 > 续订管理”页面开启自动续订，自动续订开启后智算安全专区将会进行自动续订，更多说明见[自动续订](/document/11067734/11085447

一键告警功能可以针对指定关键监控项快捷开启告警服务,省去告警规则配置繁琐步骤,及时掌握关键监控项的异常并进行处理。 操作场景 本产品预设了容量使用率为80%、90%、95%、98%共四个告警规则，开启后只需要设置告警通知策略即可及时进行容量告警，防止容量不足影响业务读写，适用于写入容量稳步增长或增长迅速的业务。 约束与限制 一键告警开启/关闭后，针对当前资源池下、当前账号的所有文件系统实例生效。 一键告警的告警规则只在一键告警规则控制台展示，与自定义告警规则均为告警规则，两者不冲突。达到触发条件均告警均会生效。 为避免重复通知对您造成打扰，默认在告警恢复前仅通知用户一次，务必关注告警通知。 若一键告警预设的容量使用率阈值无法满足需求可按需自定义告警规则，参考示例一：配置容量使用率告警。 仅支持云监控服务的资源池才支持本功能，具体可参考云监控概述。 注意 务必激活联系人的电话和邮箱，否则通知将无法触达。 操作步骤 开启一键告警 1. 进入一键告警控制台。有以下两种途径： 1）从弹性文件服务控制台跳转进入 。在文件系统控制台列表上方，点击跳转链接进入。 2）从云监控服务控制台进入 。在“控制中心>管理和部署>云监控”进入云监控控制台，在左侧依次点击“告警服务>一键告警”。 2. 按需选择开启本产品预设的一键告警规则。

本页介绍了如何使用MySQL命令行客户端连接实例。 当应用部署在弹性云主机上，且该弹性云主机与MySQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与MySQL实例。 使用客户端通过公网连接实例可参考绑定和解绑弹性公网IP。 本章节介绍了Linux方式下，SSL加密内网连接MySQL实例。SSL连接实现了数据加密功能，具有更高的安全性。 非SSL加密连接MySQL实例，请参见通过内网连接 MySQL实例。 操作步骤1：购买弹性云主机（ECS) 1. 查看是否已有Linux弹性云主机。 如果没有Linux弹性云主机，参考创建弹性云主机进行购买。 购买弹性云主机时，要选择操作系统，例如CentOS。并绑定EIP、选择与MySQL实例相同的区域、VPC和安全组。 2. 在MySQL实例基本信息页网络栏目，查看MySQL实例的区域和VPC。 3. 确认ECS实例与MySQL实例是否处于同一区域、同一VPC内。 1. 如果在同一VPC，可执行【操作步骤2】测试连通性并安装MySQL客户端。 2. 如果不在同一区域，请重新购买实例。不同区域的云服务之间内网互不相通，无法访问实例。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 3. 如果不在同一VPC，可以修改ECS的VPC，请参见切换虚拟私有云。

是否支持跨Region访问？ Kafka可以跨Region访问，但是跨Region目前只能通过公网访问或者购买云间高速服务。 Kafka实例是否支持不同的子网？ 支持。客户端与实例在相同VPC内，可以跨子网段访问。同VPC下不同子网之间默认互通。更多子网信息请参见虚拟私有云介绍。 Kafka是否支持Kerberos认证，如何开启认证？ 不支持Kerberos认证。kafka支持SASLPLAINTEXT安全接入点接入。 开启公网访问后，在哪查看公网IP地址？ 可以在实例列表设置公网IP窗口查看各节点绑定的公网IP地址。 Kafka支持服务端认证客户端吗？ Kafka 支持通过 SASL（Simple Authentication and Security Layer）等认证机制实现服务端对客户端的主动认证。SASL 是一种用于通信安全的框架，它允许在客户端和服务器之间进行认证和授权。 客户端单IP连接的个数为多少？ Kafka目前对单个IP连接数没有限制，主要取决于实例连接数，具体可参见常见问题kafka实例连接数有限制吗？ Kafka实例的内网连接地址可以修改吗？ 在实例创建后，内网连接地址不支持修改。

注意事项 被授权方为：入驻云通信的企业用户（企业用户为企业名称）。 授权方为：真实需要发送短信的一方（即资质以及短信内容所属方）。 授权书授权时间：因授权书到期需要补交授权，建议授权时间签署1年以上。 授权书法定代表人或负责人签名：授权方法人或授权方负责人签字。 授权书盖章：此处需要真实发送消息的一方的实体在此盖章。 所有证明文件必须为原件扫描件，公章必须为红色。 执照未过期、未涂改。 短信服务提供授权委托书的Word模板，请在申请页面单击授权委托书.docx。 证明文件必须为JPG、PNG、JPEG格式的图片，每张图片不大于5 MB。 范本案例 【案例】天翼云认证账号类型为：企业用户，认证企业名称为：A公司。 A公司在天翼云平台提交了一个名为“B”的签名，就需要获得B公司的授权。那授权书正确填写的内容应该为下图所示案例： 说明: 建议授权书有效期不能太短，如果授权书过期也会导致您平台短信内容需要重新提供授权，为了不影响您短信的正常使用，建议有效期时间保证在1年以上。

本文主要介绍如何修改/删除监听器。 操作场景 如果您已创建监听器，您可以根据实际业务需求，可以修改或者删除监听器。 监听器被删除后无法恢复，请谨慎操作。 说明 目前暂不支持修改“前端协议/端口”和“后端协议”，如果要修改监听器的协议或端口，请重新创建监听器。 修改监听器 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要修改监听器的负载均衡名称。 5. 切换到“监听器”页签，单击需要修改的监听器名称右侧“修改”入口。 6. 修改参数，单击“完成”。 删除监听器 1. 登录管理控制台。 2. 在管理控制台上方选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要删除监听器的负载均衡名称。 说明 如果该监听器下有后端云主机，删除监听器之前需移除云主机。 如果HTTP设置了重定向至HTTPS，删除HTTPS监听器之前需删除HTTPS重定向规则。 如果监听器包含了转发策略，删除监听器之前需先删除转发策略。 删除监听器后会同时删除所绑定的后端主机组。 5. 切换到“监听器”页签，单击需要删除的监听器名称右侧的 。 6. 单击“是”。

本文介绍如何将客户端加入已经部署好的AD域。 前提条件 AD域控制器已安装AD域服务并已部署完成。 操作步骤 1. 登录非AD域控制器的云主机客户端，进入“控制面板>系统和安全>系统”，在“计算机名、域和工作组设置”处可以看到当前计算机不属于任何域。 2. 设置DNS，使得客户端能解析AD域的域名。 1）客户端DNS设置。 a.登录客户端，打开“控制面板>网络和共享中心”，在“查看网络活动”找到“连接”，点击已连接的网络，通常为“以太网”。 b.在“以太网状态”弹窗中点击“属性>Internet协议版本4（TCP/IPv4）>属性”。 c.将“自动获得DNS服务器地址”改为“使用下面的DNS服务器地址”，并设置“首选DNS服务器”，设置的IP为AD域控制器的IPv4内网地址，在天翼云官网>弹性云主机控制台列表页获取。备用DNS服务器设置为空即可。 2）AD域控制器DNS设置。 AD域控制器的Internet协议版本4（TCP/IPv4）属性保持为“自动获得DNS服务器地址”。 3）网络验证。 在客户端命令行提示符工具或power shell工具处执行ping AD域名验证网络连通性。本文中执行 ping sfs.com。 3. 设置Sysprep。在客户端 C:Windows/System32/Sysprep，双击Sysprep.exe ，在勾选“通用”选项。防止计算机SID相同而无法加入AD域。 4. 设置域信息。在“计算机名、域和工作组设置”右侧点击“更改设置>更改”，选择“域”，填入AD域的域名“sfs.com”，点击“确定”。 5. 加域。输入步骤二中在域控制器创建用户时设置的用户名和密码。加入成功后会显示“欢迎加入sfs.com域”的提示。 6. 重启计算机使配置生效。 7. 验证。重启后，重新进入“系统”界面，此时可以看到本计算机已经加入到域sfs.com中。

本章节介绍云主机网络包损坏故障演练。 背景介绍 由于物理链路噪声、网络设备故障或恶意攻击，数据包在传输过程中可能被篡改，导致其内容发生变化。接收端的 TCP/IP 协议栈会通过校验和检查发现这种损坏，丢弃该数据包并请求重传。虽然这确保了数据的完整性，但频繁的重传会显著增加网络延迟、降低有效吞吐量，并可能导致应用层超时。本演练模拟此场景，帮助您评估应用在恶劣网络条件下的健壮性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包损坏动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包损坏百分比：数据包被损坏的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被损坏。

本章节介绍云主机网络包损坏故障演练。 背景介绍 由于物理链路噪声、网络设备故障或恶意攻击，数据包在传输过程中可能被篡改，导致其内容发生变化。接收端的 TCP/IP 协议栈会通过校验和检查发现这种损坏，丢弃该数据包并请求重传。虽然这确保了数据的完整性，但频繁的重传会显著增加网络延迟、降低有效吞吐量，并可能导致应用层超时。本演练模拟此场景，帮助您评估应用在恶劣网络条件下的健壮性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包损坏动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包损坏百分比：数据包被损坏的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被损坏。

本节介绍了GeminiDB Redis的扩容磁盘操作场景及操作方式。 操作场景 随着业务数据的增加，原来申请的数据库存储容量不能满足需求，这时，您可以为实例扩容磁盘。 扩容磁盘无需重启实例，在此期间，服务不中断，不影响您正常使用数据库。 使用须知 磁盘容量变更目前只允许扩容，不能缩容。 方式一 1、登录云数据库GeminiDB控制台。 2、在“实例管理”页面，选择指定的实例，单击实例名称。 3、选择所需扩容磁盘空间大小，单击“下一步”。 用户每次至少选择1GB扩容量，且必须为整数。 4、在确认页面，确认存储空间。 如需重新选择，单击“上一步”，修改存储空间。 核对无误后，单击“提交”，开始扩容磁盘。 5、检查存储扩容结果。 扩容过程中，实例运行状态为“存储扩容中”。 扩容完成后，实例运行状态变为“正常”。 单击实例名称，在实例“基本信息”页面的“存储空间”区域，可查看扩容后的磁盘容量。 方式二 1、登录云数据库GeminiDB控制台。 2、在“实例管理”页面，选择指定的实例，单击“更多 > 磁盘扩容”，进入“磁盘扩容”页面。 3、选择所需扩容磁盘空间大小，单击“下一步”。 用户每次至少选择1GB扩容量，且必须为整数。 4、在确认页面，确认存储空间。 如需重新选择，单击“上一步”，修改存储空间。 核对无误后，单击“提交”，开始扩容磁盘。 5、检查存储扩容结果。 扩容过程中，实例运行状态为“存储扩容中”。 扩容完成后，实例运行状态变为“正常”。 单击实例名称，在实例“基本信息”页面的“存储空间”区域，可查看扩容后的磁盘容量。

操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 4. 设置安全组规则。 在“基本信息 > 网络信息”处，单击“内网安全组”后面的安全组名称，进入安全组页面。 图1 内网安全组 5. 添加入方向规则。 在安全组详情页面，选择“入方向规则”页签。 图2 入方向规则 单击“添加规则”，弹出添加入方向规则窗口。 图3 添加规则 根据界面提示配置安全组规则。 表2 入方向安全组规则参数说明 参数 说明 取值示例 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 TCP 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。 例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。 6. 单击“确定”。

天翼云为您提供云监控服务用户使用手册，请您点击下载查看。 天翼云云监控服务用户指南.pdf

尊敬的天翼云用户： 您好！ 天翼云于2025年12月26日更新《天翼云边缘安全加速平台服务等级协议》，新版协议将于2026年1月10日正式生效。请您尽快阅读更新后的协议内容：《天翼云边缘安全加速平台服务等级协议》，此次更新内容主要包括：安全与加速第二条服务承诺2.2.3条和边缘接入服务第二条服务承诺2.2.3条，您可以点击协议链接访问最新协议。 您在本次更新生效后继续使用服务将被视为您接受修改后的条款。如您不同意遵守新服务等级协议，您可在2026年1月10日前退订并停止使用天翼云产品及服务。 感谢您对天翼云一直以来的支持，如有任何问题可随时通过服务热线（4008109889）与我们联系，给您带来不便，敬请谅解。 天翼云服务团队

负载方式 在为业务配置负载均衡时，需要选择合适的流量负载方式，对流量进行负载分发，可避免服务器负载不均，部分服务器负载过高影响服务性能，天翼云弹性负载均衡提供以下负载方式供您选择： 轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数； 最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机； 源算法：基于源IP地址的一致性哈希，相同的源地址会调度到相同的后端主机。 后端云主机 在使用负载均衡器之前，需要先创建弹性云主机实例并在其上部署相关的业务应用。然后，将这些云主机实例添加到负载均衡器的后端主机组，以处理来自客户端的请求转发。在创建后端主机时，需要注意以下几点： 地域一致性：确保后端服务器实例和负载均衡器位于相同的地域，避免潜在的网络延迟和性能问题。 操作系统一致性：建议选择相同操作系统的后端服务器实例，以便统一操作系统配置和软件环境，简化管理任务。

本文主要介绍云服务备份容量类常见问题。 为什么备份容量会大于磁盘中实际容量？ 常见现象 在云主机中存放了文件并进行了备份，删除文件后再次进行备份，备份的大小并没有较大变化或比之前的备份更大。 ECS创建的备份比文件系统查询到的磁盘占用空间大。 原因分析 以下原因可能造成备份容量会大于磁盘中实际容量： 备份机制使然。云服务备份的云主机备份、云硬盘备份、SFS Turbo备份均为块级备份。块级备份不同于文件级备份，块级备份每次备份数据都是以一个扇区(512B)为单位来进行备份。 磁盘中的文件系统的元数据会占用磁盘空间。 文件系统为降低性能消耗，删除文件时只在文件属性中创建删除标记，但是未对扇区里已写入的数据进行擦除，扇区上的元数据仍然存在。块级备份无法感知到扇区内的数据是否删除，只能通过是否是全0数据块来判断此扇区是否要备份。 云服务备份系统会根据数据的写入情况，判断哪些数据产生了变化，这里的“变化”包括新增、修改和删除。云服务备份系统通过两次的快照对比每个扇区的数据是否发生了变化，没有变化则不备份。如果有变化，则判断是不是全0数据块，如果是全0数据块，则不会进行备份；如果是非全0数据块，则会进行备份。即使数据删除后，扇区内的元数据未删除，也会被识别为非0数据块，也会被备份。 解决方案 如您仅需对部分文件进行备份，可以使用相应的文件级别备份方案，以达到减小备份空间和降低成本的目的。