本节介绍OpenSSH用户枚举漏洞修复最佳实践。 漏洞编号 CVE201815473 漏洞名称 OpenSSH 用户枚举漏洞 漏洞描述 OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具, 该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击; OpenSSH 7.7及之前版本中存在用户枚举漏洞，该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应，攻击者可通过发送特制的请求利用该漏洞枚举用户名称。 影响范围 OpenSSH 7.7及之前版本 官方解决方案 应用补丁可以修复此漏洞，需要重新编译，补丁获取链接：< 新版本OpenSSH7.8已经修复这个安全问题，请到厂商的主页下载，下载链接： < < 检测与修复建议 服务器安全卫士（原生版）已支持对对该漏洞的检测与修复。需要在服务器安装部署Agent，并已开启安全防护。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“漏洞扫描”，进入漏洞扫描页面。 3. 在漏洞扫描页面点击“一键扫描”按钮，进入一键扫描设置页面，勾选相应参数设置进行漏洞扫描。 4. 在漏洞扫描详情页面， Windows系统漏洞列表中已检测出主机存在的OpenSSH漏洞。 5. 检测完成后，可点击“查看详情”，跳转到详情页面，可以根据修复建议修复漏洞。 6. 修复过程需要花费一段时间，修复完成后，请重启云主机使补丁生效。 7. 重启云主机后，再次单击“一键扫描”，验证该漏洞是否修复成功。

计费项目 计费说明 计费公式 云堡垒机实例 按购买实例类型、实例版本、资产规格、购买时长计费。 云堡垒机实例价格已包含配套的云主机。 实例规格单价 购买时长 存储扩容 根据您选择的扩容数据盘大小按时长计费。 存储扩容单价 购买时长

本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

多台云主机通过共享带宽可以极大的降低公网带宽的成本,本文向您介绍将多台云主机的弹性IP绑定至共享带宽的方式。 当有多台云主机需要访问互联网，每台主机有独立IP需求的场景。将云主机的弹性IP加入到一条共享带宽线路来实现云主机对互联网资源的访问，可以极大的降低公网带宽的成本。 通常多台云主机同时需要访问互联网时，每台主机对网络需求的时段并不完全统一。因此，如果要保障每个主机的带宽访问，而给云主机购买按照独占带宽计费方式的弹性IP的方式，会造成成本的增加。如果选择共享带宽，对于错峰访问或被访问互联网的云主机，在任何时间中网络总带宽都能达到共享带宽的最大值，通过多台主机复用同一个带宽线路的方式，可大幅减少带宽占用的成本。 具体步骤如下： 1. 进入云监控，查看弹性IP监控，可以看到弹性IP的峰值。 2. 对于峰值时段有明显区别的弹性IP，可以考虑加入到同一个共享带宽中。 3. 创建一个共享带宽。 4. 点击共享带宽信息列表中的“添加公网IP”选项，找到需要加入共享带宽的弹性IP。重复此步骤将全部弹性IP加入到共享带宽。 5. 在弹性IP页面可以看到弹性IP的带宽变为“共享”。 6. 可以尝试登录主机测试带宽速度。 7. 操作成功后，弹性IP将不会再单独计费，仅对共享带宽进行收费。

表对等连接关系说明一个中心VPC与两个VPC的重叠子网对等(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPCA和VPCB的子网SubnetB02对等 PeeringAB VPCA VPCB VPCA和VPCC的子网SubnetC02对等 PeeringAC VPCA VPCC 对等连接创建完成后，您在本端和对端VPC路由表中，如果按照下表添加路由，那么会导致响应流量无法正确返回，具体说明如下： 1. VPCB子网SubnetB02中的云服务器ECSB02向VPCA发送请求流量，通过rtbVPCB路由表中PeeringAB对应的路由将流量转发到VPCA。 2. VPCA收到来自云服务器ECSB02的请求流量，期望的结果是将响应流量返回到ECSB02。但是在rtbVPCA路由表中，目的地址为10.0.1.167/32时，只能匹配到PeeringAC的路由，因此响应流量被错误的返回到VPCC。 3. 此时VPCC的子网SubnetC02中存在云服务器ECSC02，与ECSB02私有IP地址相同，均为10.0.1.167/32，则响应流量最终错误的返回到ECSC02，ECSB02无法收到响应流量。 表VPC路由表配置说明一个中心VPC与两个VPC的重叠子网对等(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtbVPCA 172.16.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCA 10.0.1.0/24 (SubnetC02) PeeringAC 自定义 在VPCA的路由表中，添加目的地址为SubnetC02的网段，下一跳指向PeeringAC的路由。 rtbVPCB 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCB 10.0.1.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCB 172.16.0.0/16 (VPCA) PeeringAB 自定义 在VPCB的路由表中，添加目的地址为VPCA的网段，下一跳指向PeeringAB的路由。 rtbVPCC 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCC 10.0.1.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCC 172.16.0.0/16 (VPCA) PeeringAC 自定义 在VPCC的路由表中，添加目的地址为VPCA的网段，下一跳指向PeeringAC的路由。 对于存在重叠子网的情况，为了避免流量被错误转发，路由配置建议如下： 建议1：在rtbVPCA路由表中，添加下一跳为PeeringAB的路由，目的地址为ECSB02的私有IP地址。这样遵循路由的最长匹配原则，会优先匹配10.0.1.167/32这条路由，确保VPCA会将响应流量送达ECSB02。关于更多指向ECS的对等连接配置，请参见“连通VPC内ECS网络的对等连接配置示例”。

本文帮助您快速熟悉添加安全组规则的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 安全组规则遵循白名单规则，具体说明如下： 入方向规则：入方向指外部访问安全组内的实例的指定端口。当外部请求匹配上安全组中入方向规则的源地址，并且策略为“允许”时，允许该请求进入，其他请求一律拦截。 因此，如果没有特殊需求，您一般不用在入方向配置策略为“拒绝”的规则，因为不匹配“允许”规则的请求均会被拦截。 出方向规则：出方向指安全组内的实例访问外部的指定端口。在出方向中配置目的地址匹配所有IP地址的规则，并且策略为“允许”时，允许所有的内部请求出去。 0.0.0.0/0表示匹配所有IPv4地址。 ::/0表示匹配所有IPv6地址。 如果实例关联的安全组策略无法满足使用需求，比如需要开放某个TCP端口，您可以参考以下操作，通过在入方向规则添加端口，从而打开指定的TCP端口。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表中，单击目标安全组所在行的操作列下的“配置规则”。进入安全组规则配置页面。 5. 在“入方向规则”页签，单击“添加规则”。弹出“添加入方向规则”对话框。 6. 根据界面提示，设置入方向规则参数。单击“+”按钮，可以依次增加多条入方向规则。 7. 入方向规则设置完成后，单击“确定”。返回入方向规则列表，可以查看添加的入方向规则。 8. 在“出方向规则”页签，单击“添加规则”。弹出“添加出方向规则”页签。 9. 根据界面提示，设置出方向规则参数。单击“+”按钮，可以依次增加多条出方向规则。 10. 出方向规则设置完成后，单击“确定”。返回出方向规则列表，可以查看添加的出方向规则。 表 入方向参数说明 参数 说明 取值样例 ::: 协议/应用 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 TCP 端口和源地址 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 22或2230 端口和源地址 源地址：可以是IP地址、安全组。用于放通来自IP地址或另一安全组内的实例的访问。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 表 出方向参数说明 参数 说明 取值样例 ::: 协议/应用 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 TCP 端口和目的地址 端口：允许弹性云主机访问远端地址的指定端口，取值范围为：1～65535。 22或2230 端口和目的地址 目的地址：可以是IP地址、安全组。允许访问目的IP地址或另一安全组内的实例。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。

本文帮助您快速熟悉添加安全组规则的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 安全组规则遵循白名单规则，具体说明如下： 入方向规则：入方向指外部访问安全组内的实例的指定端口。当外部请求匹配上安全组中入方向规则的源地址，并且策略为“允许”时，允许该请求进入，其他请求一律拦截。 因此，如果没有特殊需求，您一般不用在入方向配置策略为“拒绝”的规则，因为不匹配“允许”规则的请求均会被拦截。 出方向规则：出方向指安全组内的实例访问外部的指定端口。在出方向中配置目的地址匹配所有IP地址的规则，并且策略为“允许”时，允许所有的内部请求出去。 0.0.0.0/0表示匹配所有IPv4地址。 ::/0表示匹配所有IPv6地址。 如果实例关联的安全组策略无法满足使用需求，比如需要开放某个TCP端口，您可以参考以下操作，通过在入方向规则添加端口，从而打开指定的TCP端口。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表中，单击目标安全组所在行的操作列下的“配置规则”。进入安全组规则配置页面。 5. 在“入方向规则”页签，单击“添加规则”。弹出“添加入方向规则”对话框。 6. 根据界面提示，设置入方向规则参数。单击“+”按钮，可以依次增加多条入方向规则。 7. 入方向规则设置完成后，单击“确定”。返回入方向规则列表，可以查看添加的入方向规则。 8. 在“出方向规则”页签，单击“添加规则”。弹出“添加出方向规则”页签。 9. 根据界面提示，设置出方向规则参数。单击“+”按钮，可以依次增加多条出方向规则。 10. 出方向规则设置完成后，单击“确定”。返回出方向规则列表，可以查看添加的出方向规则。 表 入方向参数说明 参数 说明 取值样例 ::: 协议/应用 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 TCP 端口和源地址 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 22或2230 端口和源地址 源地址：可以是IP地址、安全组。用于放通来自IP地址或另一安全组内的实例的访问。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 表 出方向参数说明 参数 说明 取值样例 ::: 协议/应用 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 TCP 端口和目的地址 端口：允许弹性云主机访问远端地址的指定端口，取值范围为：1～65535。 22或2230 端口和目的地址 目的地址：可以是IP地址、安全组。允许访问目的IP地址或另一安全组内的实例。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。

检查安全组规则是否生效 在安全组规则中放开某个端口后，您还需要确保实例内对应的端口也已经放通，安全组规则才会对实例生效。 假设您在某台ECS上部署了网站，希望用户能通过HTTP(80)端口访问到您的网站，则您需要先在ECS所在安全组的入方向中，添加下表中的规则，放通HTTP(80)端口。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP：80 IP地址：0.0.0.0/0 安全组规则添加完成后，您需要执行以下操作，检查云主机内端口开放情况，并验证配置是否生效。 登录云主机，检查云主机端口开放情况。 检查Linux云主机端口：执行命令netstat an grep 80，查看TCP 80端口是否被监听。 若回显类似下图所示，说明80端口已开通。 检查Windows云主机端口：打开命令执行窗口（CMD），执行命令netstat an findstr 80，查看TCP 80端口是否被监听。 若回显类似下图所示，说明80端口已开通。 打开浏览器，在地址栏里输入“

用户可以根据实际情况删除无用的备份以节省空间和成本。 背景信息 云主机备份支持两种方式删除备份：手动删除和过期自动删除。过期自动删除备份可以通过设置备份策略中的保留规则来实现。 前提条件 至少存在一个备份。 备份的状态为“可用”或者“错误”。 操作步骤 1. 登录云主机备份管理控制台。 a. 登录管理控制台。 b. 选择“存储 > 云主机备份”。 2. 选择“备份”页签，找到云主机所对应的备份。 3. 单击备份所在行的“更多”>“删除”，或批量勾选需要删除的备份，单击左上角的“删除”。 4. 根据界面提示，单击“确定”。

事件类型 说明 创建失败 指未能成功处理的请求。对于创建失败的任务，系统会自动回退，同时在界面上直观的展示错误码，例如“（Ecs.0013）EIP配额不足”。 操作失败 变更规格用户申请变更规格后，如果规格变更失败，则“失败信息”栏将显示本次变更规格操作。创建弹性云主机时开启自动恢复功能用户创建弹性云主机时，如果设置启动自动恢复功能，但是弹性云主机创建成功后，系统开启自动恢复功能失败。此时，“失败信息”栏将显示本次创建弹性云主机的操作。

本章介绍使用同一VPC内弹性云主机ECS上的Redisson连接Redis实例的方法。 介绍使用同一VPC内弹性云主机ECS上的Redisson连接Redis实例的方法。更多的客户端的使用方法请参考Redis客户端。 在springboot类型的项目中，springdataredis中提供了对jedis、lettuce的适配，但没有提供对redisson组件的适配。为了能够在springboot中集成redisson，redisson侧主动提供了适配springboot的组件：redissonspringbootstarter。 注意：在springboot1.x中默认集成的是jedis，springboot2.x中改为了lettuce。 说明 如果创建Redis实例时设置了密码，使用Redisson客户端连接Redis时，需要配置密码进行连接，建议不要将明文密码硬编码在代码中。 连接单机、主备、Proxy集群实例需要使用Redisson的SingleServerConfig配置对象中的useSingleServer方法，Cluster集群实例需要使用ClusterServersConfig对象中的useClusterServers方法。 前提条件 已成功申请Redis实例，且状态为“运行中”。 查看并获取待连接Redis实例的IP地址和端口。 具体步骤请参见查看实例信息。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》。 如果弹性云主机为Linux系统，该弹性云主机必须已经安装java编译环境。 Pom配置 org.springframework.boot springbootstarterdataredis lettucecore io.lettuce org.redisson redissonspringbootstarter ${redisson.version}

本节介绍了重启后盘符发生变化怎么办的问题现象、处理方法。 问题现象 Linux弹性云主机在线卸载云硬盘后重新挂载云硬盘，或在线卸载云硬盘后重启弹性云主机，可能会存在挂载前后盘符发生变化的情况。这是由于Linux系统的盘符分配机制造成的，属于正常情况。 假设云主机有/dev/vda1，/dev/vdb1，/dev/vdc1三块磁盘，在/etc/fstab中的挂载参数如下所示： cat /etc/fstab UUIDb9a07b7b93224e05ab9b14b8050bdc8a / ext4 defaults 0 1 /dev/vdb1 /data1 ext4 defaults 0 0 /dev/vdc1 /data2 ext4 defaults 0 0 卸载了原来的/dev/vdb1，则重启云主机后之前的/dev/vdc1会变成/dev/vdb1并挂载到/data1挂载点了，而/data2则无盘可以挂载。 处理方法 为了防止发生这种情况，建议使用UUID来代替代/dev/vdx设备，UUID是Linux系统为磁盘分区提供的唯一的标识字符串。 1. 执行如下命令，查询磁盘分区的UUID。 blkid 磁盘分区 以查询磁盘分区“/dev/vdb1”的UUID为例： blkid /dev/vdb1 回显类似如下信息： [root@ecstest0001 ~] blkid /dev/vdb1 /dev/vdb1: UUID"b9a07b7b93224e05ab9b14b8050cd8cc" TYPE"ext4" 表示“/dev/vdb1”的UUID。 2. 执行以下命令，使用VI编辑器打开“fstab”文件。 vi /etc/fstab 3. 按“i”，进入编辑模式。 4. 将光标移至文件末尾，按“Enter”，添加如下内容。 UUIDb9a07b7b93224e05ab9b14b8050cd8cc /mnt/sdc ext4 defaults 0 0 重复替换“/dev/vdc1”的UUID，再次执行以下命令查看磁盘挂载参数： cat /etc/fstab 回显信息如下所示： UUIDb9a07b7b93224e05ab9b14b8050bdc8a / ext4 defaults 0 1 UUIDb9a07b7b93224e05ab9b14b8050cd8cc /data1 ext4 defaults 0 0 UUIDb9a07b7b93224e05ab9b14b8050ab6bb /data2 ext4 defaults 0 0

本章节会介绍如何使用MySQL命令行内网连接实例 当应用部署在弹性云主机上，且该弹性云主机与RDS for MySQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与RDS for MySQL实例。 提供两种连接方式通过MySQL客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性，该能力白名单开放，如有需求可联系客服提供。 前提条件 1. 登录弹性云主机。 通过弹性云主机连接关系型数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为 默认安全组 （default），则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 2. 使用客户端连接实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本高于已创建的RDS实例中数据库版本。 SSL连接（白名单能力开放） 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 4、单击实例名称进入“基本信息”页面。 5、在“数据库信息”模块的“SSL”处，查看SSL开关状态。 开关打开。 6、单击“SSL”处的，下载“Certificate Download”压缩包，解压后获取根证书（ca.pem）和根证书捆绑包（cabundle.pem）。 将根证书（ca.pem）导入弹性云主机Linux操作系统。 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 参数说明 参数 说明 内网地址。在目标实例的“基本信息”页面，“连接信息”模块的“内网地址”。 数据库端口，默认3306。在目标实例的“基本信息”页面，“连接信息”模块的“数据库端口”。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 CA证书路径，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password:

本节介绍连接Redis的网络要求。 任何兼容Redis协议的客户端都可以访问DCS的Redis实例，您可以根据自身应用特点选用任何Redis客户端，Redis支持的客户端列表请参见Redis客户端。 客户端连接Redis在不同的连接场景下，需要满足不同的连接约束： 使用同一VPC内客户端访问Redis实例。 安装了客户端的弹性云主机必须与Redis实例属于同一个VPC。Redis 4.0及以上版本的基础版实例，如果实例配置了IP白名单，需将弹性云主机的IP地址加入实例IP白名单，以确保弹性云主机与Redis实例的网络是连通的。 安全组配置，请参考如何选择和配置安全组。白名单配置，请参考配置Redis访问白名单。 客户端与Redis实例所在VPC为相同Region下的不同VPC。 如果客户端与Redis实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考：缓存实例是否支持跨VPC访问。 客户端与Redis实例所在VPC不在相同Region。 如果客户端服务器和Redis实例不在同一Region，支持通过VPN等方式打通网络，请参考VPN。 在跨Region访问Redis实例时，实例域名无法跨Region解析，无法通过域名访问。可以通过在hosts中手动配置域名与IP绑定关系或使用IP进行访问。 公网访问 客户端公网访问Redis 4.0及以上版本实例时，请参考开启Redis公网访问并获取公网访问地址开启实例公网访问。 客户端公网访问Redis 3.0实例时，Redis缓存实例需要配置正确的安全组规则。当SSL加密功能关闭时，Redis实例的安全组入方向规则，必须允许外部地址访问6379端口；当SSL加密功能开启时，则必须允许外部地址访问36379端口。具体配置请参考常见问题：[如何选择和配置安全组](

本文带您解决在 Linux 操作系统的弹性云主机上执行命令时出现 Cannot allocate memory 的问题 。 故障描述 在 Linux 操作系统的弹性云主机上执行命令top, free m, df h 等命令时出现错误提示：bash: fork: Cannot allocate memory 报错。 故障原因 通常是因为内存不足，或者达到最大pid 数量限制。 故障排查思路 登录 Linux 操作系统弹性云主机。 多次尝试使用 free m 或者 top 命令查看当前内存使用情况。若可用内存很少，可根据业务需要释放一些非必要的进程，或者增加 swap 空间。 若可用内存充足，则查看操作系统最大 pid 数量限制，命令如下： sysctl a grep pidmax 或者 cat /proc/sys/kernel/pidmax 查看当前进程数，命令如下： ps eLf wc l 若 pidmax 的值偏小时会影响 pid 的创建，可以根据业务需要调整最大 pid 数量限制，临时调整的命令如下： sysctl w kernel.pidmax65535 若要弹性云主机重启后调整命令仍然生效，可执行如下命令： echo "kernel.pidmax65535" >> /etc/sysctl.conf

本节介绍了弹性云主机数据库应用类相关问题。 弹性云主机上是否可以搭建数据库？ 可以，我们不限制。您可以安装任何类型的数据库。 弹性云主机是否支持Oracle数据库？ 支持，但是我们建议您在正式使用前，先做性能测试看是否能满足您的需要。

配置 说明 VPC实例类型 选择绑定的VPC实例类型。 同账号：绑定当前账号的VPC实例。 跨账号：绑定其他账号的VPC实例。 说明 如果选择跨账号，需要先完成跨账号授权，具体操作说明详见 专属云项目 选择绑定的VPC是否属于专属云项目，默认为无，说明VPC不署于专属云。 说明 如果绑定的VPC是专属云VPC，则选择对应的专属云。 VPC 选择绑定的VPC名称。 VPC网段（IPv4） 选择VPC的网段 IP类型 选择VPC子网的IP类型。 IPv4：IPv4类型的VPC子网 IPv6：IPv6类型的VPC子网 双栈：IPv4和IPv6类型的VPC子网 子网 选择专线网关需要访问的VPC子网。 权重 选择专线网关到VPC路由的权重，默认为100。 说明 表示当前专线网关到VPC侧路由的权重，多条路由的权重相等时采用负载均衡模式进行流量传输；某条路由的权重值越大，表示该路由优先级越高。

1.15之前的1.9、1.11、1.13版本集群，yaml文件配置示例如下： apiVersion: v1 kind: PersistentVolumeClaim metadata: name: pvcevsautoexample namespace: default annotations: volume.beta.kubernetes.io/storageclass: SAS labels: failuredomain.beta.kubernetes.io/region: region01 failuredomain.beta.kubernetes.io/zone: AZ01 spec: accessModes: ReadWriteMany resources: requests: storage: 10Gi 表 关键参数说明 参数 描述 volume.beta.kubernetes.io/storageclass 云硬盘类型，全大写。当前支持高I/O（SAS）、超高I/O（SSD）和普通I/O（SATA）。 failuredomain.beta.kubernetes.io/region 集群所在的region。 failuredomain.beta.kubernetes.io/zone 创建云硬盘所在的可用区，必须和工作负载规划的可用区保持一致。 storage 存储容量，单位为Gi。 accessModes 指定读写模式，显示volume实际具有的访问模式。支持配置“ReadWriteMany”（共享卷）与“ReadWriteOnly”（非共享卷） 步骤 2 执行如下命令创建PVC。 kubectl create f pvcevsautoexample.yaml 命令执行完成后，会在集群所在分区创建EVS云硬盘，您可以在“存储管理 > 云硬盘存储卷”中查看该云硬盘，也可以在EVS的控制台中根据卷名称查看该硬盘。

使用VPC终端节点服务之前,您需要注册天翼云帐号,本文带您了解使用VPC终端节点前需要做的准备事项。 步骤一：注册天翼云帐号 如果您已有一个天翼云帐号，请跳到下一个步骤。如果您还没有天翼云帐号，请参考“注册天翼云账号”进行注册。 说明 一个手机号最多可注册5个天翼云账号，超出则不再支持注册新的天翼云账号。 注册邮箱用于登录、天翼云信息接收，请确保邮箱的准确性。 步骤二：实名认证 完成注册后登录并进行实名认证。具体操作请参考实名认证。 步骤三：帐号充值 VPC终端节点为客户提供按量计费模式。如果您采用按量计费使用VPC终端节点服务，需满足账户余额超过100元要求，在登录账号后，您可以点击页面右上角的“管理中心”，然后点击“充值”按钮为您的账号充值，具体充值说明可参考账户充值。 说明 账号余额不足100元或不支持按量付费功能。 天翼云支持在线或转账汇款的方式进行充值。 建议采用在线支付方式充值。 使用专属汇款账号进行汇款，汇款至专属汇款账号，系统会自动匹配您的天翼云账户，预计24小时内充值到您的账户余额。

本节主要介绍准备RDA依赖资源 概述 在使用RDA之前，您需要提前准备相关依赖资源，包括天翼云测试账号，账号可创建弹性云主机、虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。 准备依赖资源 迁移源端测试账号： 天翼云目的端测试账号： 购买一台windows弹性云主机用于安装RDA软件工具； 购买一台或者多台linux弹性云主机用于对象存储迁移agent安装 说明 （RDA控制机和oms agent工具机迁移完成后均可释放） 获取天翼云测试账号AK/SK：天翼云官网控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。

使用建议 如果您对您的域名并不是熟悉，不熟悉域名的带宽、流量信息、遭受攻击数量等情况时，建议您在域名接入配置时选择监控模式（推荐模式），或者在网站防护模式中选择告警模式，先观察一段时间（推荐两周）的流量、攻击特征，收集到一定的域名信息特征和攻击日志后结合业务场景选择是否切换到拦截模式。 您可以分析根据以下情况进行调整： 如果攻击日志中未发现正常的业务请求被误拦截，攻击日志内容中记录的都是非法请求的情况下，建议您将域名规则开关切换到拦截模式，开始对您的网站进行域名规则防护。 如果发现攻击日志中存在正常业务流量日志内容，如果您有一定的网站安全基础，您可以手动配置访问控制、关闭误拦截的域名规则等方式减少误报，再切换至拦截模式。 如果发现攻击日志中存在正常业务流量日志内容，您也可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 域名的业务请求中应当注意内容： 在常规的业务请求中，尽量不要直接以原始SQL语句、代码作为参数进行传递，可能会遭受到攻击篡改和域名规则的误拦截，比如/ap1/v1/update?contentselect from t where。 在常规的业务请求中，要注意不要泄露服务器敏感信息(比如直接将含有数据库连接的错误堆栈内容返回浏览器)。服务器敏感信息泄露可能会被攻击者获取用于入侵，同时有服务器敏感信息泄露风险的请求也很可能被安全引擎拦截。 您可以查看您的网站是否会受到此漏洞的影响。如果受到漏洞的影响，可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。

本章节主要围绕以自行部署的网关应用为入口,介绍全链路灰度的最佳实践 概述 本文以consumer和provider应用为例，分别发布consumerv1，providerv1和 consumerv2，providerv2两个版本的应用。同时以微服务云应用平台部署的网关作为入口应用，泳道规则设置为参数version2时，请求路由到consumerv2，providerv2。 前提条件 需开通微服务治理中心企业版。 操作流程 创建并发布V1版本应用实例 创建providerv1 和 consumerv1 应用实例，需勾选上接入微服务服务治理中心。 发布网关应用 创建并发布gateway应用实例，需勾选上接入微服务服务治理中心。 通过网关访问consumer和provider 进入gateway应用终端，通过curl命令访问网关，curl podip:27180/nacos/consumer/callProvider。 根据返回信息可以看到providerv1应用pod的IP，到这可以确定 gateway>consumerv1>providerv1 链路是通的。 创建泳道组及泳道 1. 创建泳道组 在左侧导航栏，选择服务治理 > 全链路流量控制，点击创建泳道组及泳道。 入口类型选择：在MSAP部署的应用/网关，入口应用选择：msegateway 2. 创建分流泳道 路由规则选择上面步骤在网关中创建的路由规则，条件列表中，参数类型选择Query，参数填version，条件选择等于，值填写2。 创建完成后，可以看到泳道状态是关闭的。此时规则还未生效。

本文将为您介绍绑定VPC的操作步骤。 应用场景 本地IDC通过专线网关实现访问VPC，建立快捷和灵活的入云方式。 前提条件 专线网关已绑定物理专线，具体操作说明详见绑定和解绑物理专线。 专线网关已创建BGP或静态路由，具体操作说明详见创建和管理BGP或创建和管理静态路由。 操作步骤 绑定VPC 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关详情VPC页签，单击【绑定VPC】，配置以下参数信息，然后单击【确定】。 配置 说明 VPC实例类型 选择绑定的VPC实例类型。 同账号：绑定当前账号的VPC实例。 跨账号：绑定其他账号的VPC实例。 说明 如果选择跨账号，需要先完成跨账号授权，具体操作说明详见授权VPC实例。 专属云项目 选择绑定的VPC是否属于专属云项目，默认为无，说明VPC不署于专属云。 说明 如果绑定的VPC是专属云VPC，则选择对应的专属云。 VPC 选择绑定的VPC名称。 VPC网段（IPv4） 选择VPC的网段 IP类型 选择VPC子网的IP类型。 IPv4：IPv4类型的VPC子网 IPv6：IPv6类型的VPC子网 双栈：IPv4和IPv6类型的VPC子网 子网 选择专线网关需要访问的VPC子网。 权重 选择专线网关到VPC路由的权重，默认为100。 说明 表示当前专线网关到VPC侧路由的权重，多条路由的权重相等时采用负载均衡模式进行流量传输；某条路由的权重值越大，表示该路由优先级越高。

参数 是否必填 参数类型 说明 示例 下级对象 inspectionItem 是 Integer 本参数表示巡检项。取值范围：1：云主机性能评估。2：监控数据健康评估。3：云主机闲置资源检查。4：云主机磁盘使用预警评估根据以上范围取值。 1 level 否 Integer 本参数表示重要等级。取值范围：1：低。2：中。3：高。根据以上范围取值。 2 inspectionRules 否 Array of Objects 巡检规则列表 inspectionRule

应用性能监控支持在Java应用的业务日志中关联调用链的TraceId信息，当应用出现问题时，可通过调用链的TraceId快速关联业务日志，及时定位、分析并解决问题。 背景信息 在业务日志中关联调用链TraceId的功能基于MDC（Mapped Diagnostic Context）机制实现，支持主流的Log4j、Log4j2和Logback日志框架。 前提条件 1、应用已接入Java探针 2、已开通云日志服务并创建了对应的日志项目和单元，详情请参考管理日志项目与管理日志单元。 操作步骤 1. 开启关联业务日志与TraceId 登录应用性能监控控制台，在应用列表 页面点击具体应用进入应用详情，点击导航栏应用设置 进入应用设置页面，在左侧tab栏选择日志开启设置 即可看到开启按钮。开启后选择指定的日志项目与日志单元。 2. 在日志中打印TraceId Log4j配置文件log4j.properties的修改示例： plaintext log4j.appender.FILE.layout.ConversionPatterntraceId:%X{traceid} spanId:%X{spanid} [%d] %t %c %L %5p %m%n Log4j2配置文件log4j2.xml的修改示例： plaintext %d{yyyyMMdd HH:mm:ss.SSS} [%mdc{traceid}] [%mdc{spanid}] [%thread] %5level %logger{1.} %m%n Logback配置文件logback.xml的修改示例： plaintext

本文介绍ZOS备份数据上云功能。 SQL Server支持用户上传线下SQL Server实例的备份文件到天翼云对象存储ZOS中，并通过临时下载链接恢复数据至云上SQL Server实例，从而实现线下SQL Server迁移上云。 注意事项 该功能要求提前开通桶资源池的天翼云对象存储服务，创建桶、上传备份文件、对备份文件生成临时下载链接，具体对象存储使用方法请参考对象存储帮助文档。 上传的备份文件必须是全量备份文件，仅支持通过下载链接恢复全量备份文件。 不支持直接恢复日志备份文件，不支持文件中同时包含多个备份。 上传的备份文件所对应的SQL Server实例，只能恢复至同一个版本或更高版本的SQL Server实例。比如线下SQL Server 2016的备份文件，只能恢复至SQL Server 2016以及更高的版本，此为SQL Server官方规定。 生成的临时下载链接有效期建议三十分钟以上，避免过短的有效期导致下载失败，从而导致恢复失败。 下载链接务必要通过对象存储控制台的分享按钮生成（分享的链接才支持第三方限时访问），不要直接点击复制URL（第三方无法下载）。 备份文件上传的对象存储实例必须同待恢复的SQL Server实例处于同一个资源池，即华东1的对象存储的临时下载链接只能恢复到华东1的SQL Server实例。 恢复是异步的，恢复时长取决于备份文件大小。 待恢复的实例的磁盘剩余空间建议至少大于备份文件大小的1.5倍以上，防止实例剩余空间不够恢复备份。 不支持恢复SQL Server系统库，例如master、model、tempdb、msdb。

操作场景 为生产站点与容灾站点建立绑定关系。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面右上角，单击“创建站点复制对”。 4. 选择需要创建的站点复制对类型，根据界面提示配置参数，参数说明表如下表所示 1. 跨可用区：生产站点和容灾站点位于同区域内不同可用区 2. 跨区域：生产站点和容灾站点位于不同区域 3. IDC上云：生产站点为本地数据中心。 表 参数说明 参数 说明 取值样例 类型 选择需要创建的站点复制对类型。 跨可用区 复制场景 选择需要创建的复制场景。当前支持类型：H2C（IDC容灾到云平台）。仅当创建“IDC”类型的复制对时，需要设置复制场景。 H2C 名称 站点复制对名称。 名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 Sitereplication001 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 区域 生产站点所在的区域。 说明 仅当创建“跨区域”类型的复制对时，需要设置区域。 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 可用区 生产站点服务器所在的可用区。 说明 当创建“跨区域”和“跨可用区”类型的复制对时，需要设置可用区。 AZ1 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 网络 生产站点服务器所在的VPC。 VPC01 容灾站点 区域 容灾站点所在的区域。 选择搭建云上容灾专有网络时选择的区域。 说明 仅当创建“IDC上云”和“跨区域”类型的复制对时，需要设置区域。 容灾站点 可用区 容灾站点服务器所在的可用区。 AZ2 容灾站点 网络 容灾站点服务器所在的VPC。 VPC02

本章介绍SQL Server如何进行性能测试。 RDSfor SQL Server是基于天翼云平台的，完全兼容微软SQLServer的在线关系型数据库服务。相对于开源社区版数据库，提供更高安全性、稳定性和高性能，默认提供主备架构，并配备完善的备份、恢复、监控和迁移等方案。支持包年/包月和按需两种付费方式。

本节主要介绍弹性文件服务的限制类常见问题。 文件系统使用空间不足，可以扩容吗？ SFS容量型文件系统：支持在线扩容。 SFS Turbo文件系统：支持在线扩容，扩容时文件系统将会23min不可用。 文件系统中的数据是否可以跨区域迁移？ 暂时不支持直接跨区域迁移文件系统数据，您需要在购买文件系统时规划好合适的区域，或者可以将数据复制至本地后再传至另一区域。 SFS Turbo文件系统可以使用云服务备份进行备份数据，再使用备份复制的功能，将备份副本复制至另一区域再创建一个与原区域数据一致的SFS Turbo文件系统进行使用。

故障现象 IPV6至云主机网络不通，无法访问 可能原因 云主机主网卡未启用IPV6 解决方法 1. 进入云主机详情页，页面上方点击“VPC”，进入VPC控制台，找到主网卡对应的子网，点击“修改”，选择“开启IPV6”。 2. 进入目标文件系统详情页，先解绑该云主机对应的VPC，解绑完成后再次添加该VPC。 3. 在云主机命令行页面执行“ping6 挂载地址前ip”命令，查看是否可以执行成功，成功则问题解决。

本文介绍Linux弹性云主机内核升级方法。 准备工作 由于这个操作可能会影响系统稳定性，强烈建议在升级内核之前确保您有有效的备份。 操作步骤 本文操作以CentOS 7.0操作系统弹性云主机为例。 1. 登录弹性云主机。 2. 安装epelrelease软件包，执行以下命令： sudo yum install epelrelease y 3. 升级内核。 升级内核版本为yum仓库最新版本，执行以下命令： yum install kernel 升级内核到指定版本，执行以下命令： yum install kernel3.10.0 4. 重启弹性云主机后，查看升级后内核版本，执行以下命令： uname r 5. 其他升级内核的具体方式由用户自己决定。

本节介绍云下一代防火墙订购主备模式实例方法。 1. 登录天翼云官网，打开控制中心。 2. 选择“产品 > 安全 > 云下一代防火墙”，单击“立即开通”。 版本：请确认使用规格，具体规格详情可参考规格。 主备部署模式：主备部署。 弹性IP1：上述开通云主机后为其绑定的弹性IP。 弹性IP2：上述开通云主机后为其绑定的弹性IP。 购买时长：按需选择。 说明 主备模式下，需要通过配置将两台防火墙形成高可用模式，如有需要可提工单联系售后人员获取支持。