本节描述了云主机的网站应用、企业电商、图形渲染、高性能计算的应用场景。 网站应用 对CPU、内存、硬盘空间和带宽无特殊要求，对安全性、可靠性要求高，服务一般只需要部署在一台或少量的服务器上，一次投入成本少，后期维护成本低的场景。例如网站开发测试环境、小型数据库应用。 推荐使用通用型弹性云主机，主要提供均衡的计算、内存和网络资源，适用于业务负载压力适中的应用场景，满足企业或个人普通业务搬迁上云需求。 企业电商 对内存要求高、数据量大并且数据访问量大、要求快速的数据交换和处理的场景。例如广告精准营销、电商、移动APP。 推荐使用内存优化型弹性云主机，主要提供高内存实例，同时可以配置超高IO的云硬盘和合适的带宽。 图形渲染 对图像视频质量要求高、大内存，大量数据处理，I/O并发能力。可以完成快速的数据处理交换以及大量的GPU计算能力的场景。例如图形渲染、工程制图。 推荐使用GPU图形加速型弹性云主机，G1型弹性云主机基于NVIDIA Tesla M60硬件虚拟化技术，提供较为经济的图形加速能力。能够支持DirectX、OpenGL，可以提供最大显存1GiB、分辨率为4096×2160的图形图像处理能力。 高性能计算 高计算能力、高吞吐量的场景。例如科学计算、基因工程、游戏动画、生物制药计算和存储系统。 推荐使用高性能计算型弹性云主机，主要使用在受计算限制的高性能处理器的应用程序上，适合要求提供海量并行计算资源、高性能的基础设施服务，需要达到高性能计算和海量存储，对渲染的效率有一定保障的场景。

本节介绍了初始化容量大于2TB的Linux数据盘（parted）的相关内容。 操作场景 本文以云主机的操作系统为“CentOS 7.4 64位”、磁盘容量为3 TB举例，采用Parted分区工具为容量大于2 TB的数据盘设置分区。 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，因此当您初始化容量大于2 TB的磁盘时，分区形式请采用GPT。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 划分分区并挂载磁盘 本操作以该场景为例，当云主机挂载了一块新的数据盘时，采用parted分区工具为数据盘设置分区，分区形式设置为GPT，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 1.执行以下命令，查看新增数据盘。 lsblk 回显类似如下信息： [root@ecscentos74 ~]

本节介绍如何配置重保防护的黑白名单规则。 重保防护支持配置全局IP黑白名单，对经过云WAF防护域名的访问源IP进行黑白名单设置，来自黑白名单中的IP地址/IP地址段的访问，WAF将不会做任何检测，直接拦截/放行。 支持添加IPv4、IPv6地址，支持添加IP地址段。 重保防护提供的全局IP黑白名单，检测逻辑优先级高于IP黑白名单检测；内部检测逻辑，白名单高于黑名单。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 重保防护场景”，进入重保防护配置页面。 5. 单击“新建黑白名单”，弹出新建黑白名单规则窗口，配置黑白名单规则参数，参数说明如下。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 生效范围 支持选择“全部防护对象”或“特定防护对象”。 全部防护对象：配置的黑白名单规则对所有已接入的域名生效。 特定防护对象：配置的黑白名单规则仅对所选域名生效，可以选择多个域名。 说明 不支持独享版防护对象和监听器防护对象。 6. 配置完成后，单击“确定”。可以在列表中查看已新建的黑白名单规则。

接口描述：本接口用于提供用户查询域名维度的回源请求成功率 请求方式：post 请求路径：/statistics/querymissrequestsuccessratedata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 单次可查询的时间跨度不超过31天 请求参数说明 参数 类型 是否必传 名称 描述 producttype list 否 产品类型列表 默认全部产品，作为统计过滤项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list 否 域名列表 默认名下所有域名，可多个域名 starttime int 是 开始时间戳 单位秒 endtime int 是 结束时间戳 单位秒 interval string 否 时间粒度 目前仅支持5分钟 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看地区及省份列表。 isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商列表。 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 starttime int 否 开始时间戳 endtime int 否 结束时间戳 interval string 否 时间粒度 reqmissrequestsuccessratedatainterval list 否 每个时间间隔的回源请求成功率 reqmissrequestsuccessratedatainterval[].timestamp int 否 时间片开始时间戳 reqmissrequestsuccessratedatainterval[].domain string 否 域名 reqmissrequestsuccessratedatainterval[].missrequestsuccessrate float 否 回源请求成功率

云墙VPN功能是否可以免费使用？ 云墙VPN功能支持免费使用。这是云墙的基础功能模块之一，为用户提供安全、可靠的虚拟专用网络连接。以下是相关功能详细信息： 基础功能模块：云墙VPN功能是N100的基础功能之一，旨在为用户提供安全的远程访问和站点到站点的连接服务。 IPSEC VPN链路：根据不同的版本，IPSEC VPN支持的链路条数可能有所不同。用户可以根据业务需求选择适当的版本。 SSL VPN账号限制：默认情况下，SSL VPN支持最多5个账号同时在线。如果您的业务需要更多同时在线账号，您可以联系天翼云客服进行进一步的咨询和配置。 扩展服务：如果您的业务需求超出了免费版本所提供的功能，我们提供了更高级的版本和扩展服务，以满足不同用户的需求。您可以与天翼云客服联系，了解更多关于高级版本和扩展服务的信息。

本文主要介绍使用场景 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，可以很方便的实现审计类功能，以帮助用户更好地规划和利用已有资源、甄别违规或高危操作。 以下介绍三种典型应用场景。 安全审计场景 根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。 问题定位场景 当现网某个特定资源或动作出现问题，可根据云审计服务收集的日志记录，通过查询对应时间、对应资源的操作记录，查看当时的请求动作和响应，支撑问题定位分析。 资源跟踪场景 根据云审计服务所记录的操作记录，可以查看任意云服务资源在其整个生命周期内的操作记录，并检视具体操作的细节。

本文为您介绍如何使用云监控服务对Elasticsearch实例设置监控告警 云搜索服务已默认开通接入云监控服务，将会对创建成功的实例进行日常监控，您可通过云监控控制台查看对应实例的监控数据，也建议您在此对实例的必要指标设置告警。 前提条件 1. 云搜索服务的实例已创建并进入运行中。 2. 实例已运行一段时间，产生监控指标，建议在实例运行10分钟后再进行查看。 操作步骤 1. 登录云监控控制台，选择“云服务监控>云搜索服务监控”，找到对应的实例，点击“查看监控图表”。 2. 在此页面您可查看实例维度、节点维度、索引维度的监控指标，并根据需要进行时间范围筛选。 3. 设置告警：选择对应的实例行，点击“创建告警规则”进入告警规则创建页面，根据需要告警的规则和通知方进行相应设置。您也可以根据使用习惯，定义告警模板，便于复用。目前云搜索服务仅支持指标监控类型的告警。 详细操作，请参考创建告警规则。

前提条件 已登录弹性云主机，具体请参见登录Linux弹性云主机。 云主机的系统盘与数据盘都已经挂载至云主机，且已经初始化过。 云硬盘容量已经在控制台上完成扩容，并已经挂载至弹性云主机。具体请参见云硬盘扩容概述。 操作前检查 查看分区形式，选择分区工具 分区前，需要查看当前磁盘的分区形式，当为MBR时可以选择fdisk或者parted工具，当为GPT时需要使用parted工具。 执行命令 fdisk l，查看当前磁盘的分区形式，回显如下： “Disk label type”表示当前磁盘的分区形式，“dos”表示磁盘分区形式为MBR，“gpt”表示磁盘分区形式为GPT。 检查待扩容磁盘的文件系统 扩容前，需要检查待扩容磁盘的文件系统是否可正常挂载。 1. 执行命令 df TH，查看磁盘的挂载情况。回显如下： 可以看到，/dev/vdb1的文件系统为“ext4”，并且已挂载至/mnt/sdc目录。 2. 执行命令 ll /mnt/sdc，进入挂载目录查看磁盘上的文件。若可以查看到磁盘上的文件，则证明待扩容的磁盘情况正常。

云防火墙的应用场景及限制。 约束限制 CFW ALG标签功能受限。 CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议优先使用自定义域名服务器。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护、扩容引擎）需要客户端重新发起连接。 外部入侵防御 通过云防火墙，对已开放公网访问的服务资产进行安全盘点，可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制，可对主动外联行为进行精准管控。 VPC间互访控制 云防火墙支持VPC间流量的访问控制，实现内部业务互访活动的可视化与安全防护。 等保合规 云防火墙可满足《网络安全等级保护2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求。

本文为您介绍云审计服务的计费模式。 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准。

什么是入云带宽和出云带宽？ 入云带宽：从Internet流入云平台方向的带宽，例如，从公网下载资源到云内ECS。 出云带宽：从云平台流出到Internet方向的带宽，例如，云内的ECS对外提供服务，外部用户下载云内ECS上的资源。 弹性IP带宽与内网带宽有何差异？ 弹性IP带宽是指弹性云主机通过弹性IP访问公网时使用的带宽。通过弹性IP带宽显示网络的使用情况。 内网带宽是指弹性云主机在云平台内通信能够达到的带宽。弹性云主机根据不同的规格限制内网带宽和内网收发包能力。 带宽与上传下载速率是什么关系？ 带宽单位用bps(bit/s)，表示每秒钟传输的二进制位数。下载速率单位用Bps(Byte/s)表示，表示每秒钟传输的字节数。 1Byte（字节）8bit（位），即下载速率带宽/8 通常1M带宽即指1Mbps1000Kbps1000/8KBps125KBps一般情况下，考虑到还有其他损耗（计算机性能、网络设备质量、资源使用情况、网络高峰期等），实际速率一般小于这个速率。

本节主要介绍常用概念 数据节点 数据节点是分布式关系型数据库服务的最小管理单元，表示DRDS下关联的RDS for MySQL实例，DRDS目前仅支持这一种引擎，一个实例代表了一个独立运行的数据库。您可以在一个DRDS实例中通过创建多个逻辑库管理多个数据节点，并且可以独立访问数据节点。 虚拟私有云 虚拟私有云（Virtual Private Cloud）是用户在云服务上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性IP搭建业务系统。 子网 子网是虚拟私有云内的IP地址块。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重复。子网创建成功后，网段无法修改。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 参数模板 参数模板就像是参数配置值的容器，这些值可应用于一个或多个DRDS实例。如果您想使用您自己的参数模板，只需创建一个新的参数模板，创建实例的时候选择该参数模板。如果是在创建DRDS实例后有这个需求，可以重新应用该参数模板。

您可以通过事件规则过滤事件，将事件路由到云工作流服务。本文以自定义事件为例介绍将事件路由到云工作流的前提条件、操作步骤和结果验证。 前提条件 开通事件总线EventBridge并委托授权 创建自定义总线服务 开通云工作流并创建云工作流流程 操作步骤 1. 登录事件总线EventBridge控制台，在左侧导航栏，单击事件总线。 2. 选择目标总线，在左侧导航栏，单击事件规则，然后单击添加事件规则。 3. 在添加事件规则页面，完成以下操作。 1. 在配置基本信息配置向导，在名称文本框输入规则名称，在描述文本框输入规则的描述，然后单击下一步。 2. 在配置事件模式配置向导，选择匹配全部事件，然后单击下一步。 3. 在配置事件目标 配置向导，配置事件目标，事件目标服务类型选择云工作流，目标参数描述如下，然后单击创建。 参数说明 参数 说明 示例 流程名称 选择已创建的云工作流流程。 test1 执行名称（ExecutionName） 每次的执行名称，更多内容请参考事件内容转换。 空 执行输入信息（Input） 选择调用到服务的事件内容，更多内容请参考事件内容转换。 完整事件

云点播服务关停步骤。 云点播属于按需计费方式，正常情况下不使用不收取任何费用。如您决定不再使用，可参考以下流程操作： 1. 停止一切主/子账号在控制台上的媒资上传动作。 2. 登陆云点播控制台，在【实例管理】设置页面，逐一选择所有已开通点播实例，选择【清空】。 3. 在【任务管理】页面，逐一检查是否有正在进行的转码、截图等任务。 4. 如调用了云点播API或SDK，需自行下线相关代码或将所有AK/SK删除或禁用，避免由代码自动触发上传、下载、提交任务等操作。具体操作路径为云点播【用户控制台】【开发配置】【密钥管理】，将其中【原生密钥】、【OpenAPI密钥】所示的所有AK/SK禁用或删除。 5. 待完成以上所有停止工作后，云点播将停止计费。 6. 请发送工单至客服，提交退订申请。 注意 当您完成步骤5后，请勿执行可能导致计费的操作，包含但不限于以下动作： 1. 刷新媒体库； 2. 上传新文件至媒体库； 3. 在线播放（含在控制台预览）媒体库视频（如有）； 4. 列取点播预置存储桶文件清单； 5. 下载媒体文件（如有）； 6. 获取媒体文件的下载地址（如有）。 一旦以上动作被执行，可能导致继续产生新的微量计费费用影响您的提现、注销等操作。

创建恢复任务 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击选择“存储>云硬盘备份”，进入云硬盘备份列表页面。 4. 选择“备份副本”页签，点击“操作>恢复数据”，确认信息无误后，点击“确定”。 5. 恢复数据命令下发成功后，进入任务列表页面，可以看到备份副本的恢复任务状态为“成功”，数据已成功恢复。 创建删除任务 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击选择“存储>云硬盘备份”，进入云硬盘备份列表页面。 4. 选择“备份副本”页签，点击“操作>更多>删除”，确认信息无误后，点击“确定”。 5. 删除备份副本命令下发成功后，进入任务列表页面，可以看到备份副本的删除任务状态为“成功”，备份副本已成功删除。 查看任务列表 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击选择“存储>云硬盘备份”，进入云硬盘备份页面。 4. 选择“任务列表”页签，即可看到任务信息。 5. 用户可以在右上角单击，导出任务列表。

本章节介绍云容器集群节点DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而在云容器引擎（CCE）环境中引发节点间流量劫持、服务访问异常或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验集群的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点磁盘填充故障演练。 背景介绍 失控的日志文件、未经清理的临时数据或异常进程持续写入，都可能导致云容器引擎（CCE）节点的磁盘空间被耗尽。这种情况会直接导致Pod无法写入新数据、服务功能异常，甚至因 ephemeralstorage 压力过大而被kubelet驱逐。本演练模拟磁盘空间被占满的场景，帮助您检验系统的磁盘空间监控告警、日志轮转机制以及应用在无可用存储空间时的处理逻辑。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而在云容器引擎（CCE）环境中引发节点间流量劫持、服务访问异常或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验集群的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

创建云工作流 概述 云工作流支持通过控制台便捷地创建和管理业务流程。每个流程由多个任务节点组成，每个节点代表一个独立的操作或服务。通过合理编排节点，您可以实现复杂的业务自动化。 操作步骤 1. 登录云工作流控制台 登录 云工作流控制台，在顶部菜单栏选择地域（可选）。 2. 创建工作流 单击 创建工作流 ，在弹出的 创建工作流 对话框中，选择 使用空白画布 ，工作流模式 选择 快速模式，其他参数保持默认。 说明 本文以创建快速模式的工作流为例进行说明。关于云工作流支持的工作流模式，请参见 标准工作流和快速工作流。 3. 编辑工作流 您可以在编辑工作流页面进行编辑。编辑工作流的方法有两种： 说明 如果你的流程涉及调用其他云产品，则需要先配置流程角色，选择 工作流配置 页签，设置流程角色信息。然后依次单击 保存 和 退出 。流程角色详情请翻阅 执行角色。 方法一：使用 Cloudflow Studio 1. 通过可视化界面编辑工作流。 2. 以调用函数 InvokeFunction 为例进行说明，仅设置重点配置项，其余配置项均采用默认值。 配置项说明

本节介绍订购智算集群。 集群开通 您可以通过云容器引擎控制台快速创建云容器引擎（智算版）集群。 云容器引擎（智算版）集群支持GPU等异构节点的部署，基于高性能网络模型提供全方位、多场景、安全稳定的容器运行环境，您可以实现多种场景的混合部署。 约束与限制 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为 内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必确保子网下的DNS服务器可以解析OBS服务域名，否则需要将DNS改成内网DNS。 集群一旦创建以后，不支持变更以下项： 变更集群类型。 变更企业项目。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 操作步骤 登录云容器引擎控制台 1. 登录云容器引擎控制台，在左侧导航栏选择集群。 2. 在集群列表页面，单击页面右上角的创建集群。 3. 选择智算版标签页。

本章介绍如何删除云硬盘快照。 操作场景 主机迁移服务，在迁移任务复制/同步/克隆过程中，会对目的端云硬盘生成相应的快照。删除迁移任务后，任务对应的快照也会删除。若目的端使用了专属分布式存储服务 DSS的云盘，SMS生成的快照会占用DSS存储池容量，占用容量等于实际数据存储容量。您可以参考本章节，按需求删除云硬盘快照。 快照类型包括： 割接快照：迁移完成后，会对目的端磁盘制作割接快照，用于后续业务出现问题可以回滚。建议业务割接稳定后再删除此快照。 同步快照：Windows迁移和Linux块迁移，数据迁移并同步完成后，修改目的端服务器配置前会制作同步快照，以确保下次同步和源端数据一致。删除此快照将无法再次进行同步，请谨慎操作。 克隆快照：Windows、Linux克隆目的端时会制作克隆快照，用于克隆服务器以及克隆完成后返回持续同步状态。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面，选择需要删除云硬盘快照的服务器，在“操作”列单击“更多 > 删除云硬盘快照”。 4. 在弹出的“删除目的端云硬盘快照”窗口中，勾选需要删除的快照类型，单击“确定”。

本文将向您介绍如何配置网站白名单，让完全信任的请求不经过边缘云WAF配置的防护策略。 功能介绍 若存在您完全信任的请求，支持在边缘云WAF控制台配置网站白名单策略，符合条件的请求将不经过边缘云WAF任意的防护策略。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见下文； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版级以上版本，支持配置访问控制功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】； 2. 进入“访问控制”页面，单击【新增】按钮，新增网站白名单策略。

使用虚拟私有云（VPC）实现网络隔离 虚拟私有云（VPC）是天翼云为用户提供的独立隔离虚拟网络环境，用户可完全掌控网络配置，是实现云上网络安全隔离的核心基础。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外，您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通，灵活整合资源，构建混合云网络。创建在VPC中的云主机可以依赖VPC的能力实现网络隔离，主要包括： 每个VPC实例是一个二层隔离的网络，VPC内部内网互通。在不采用对等连接、云间高速等方式建立VPC与外部网络内网互通的情况下，不同VPC之间默认无法内网互通。VPC中的云主机互访通过内网地址互通，可以实现最大化与外部网络隔离。 VPC内可以创建多个子网，将VPC划分为多个网段。不同子网之间可以通过子网路由表对路由进行管理，控制流量路径。 更多信息，请参见 ++虚拟私有云产品定义++和++创建虚拟私有云VPC++。 通过子网划分实现业务隔离 合理的子网规划是提升网络安全与管理效率的关键，通过按业务属性、安全等级划分子网，可实现精细化网络管控。 子网划分原则：按业务功能划分。将 Web 服务、应用服务、数据库服务分别部署在独立子网（如 Web 子网、应用子网、数据库子网），避免单一子网故障影响全业务。 按安全等级划分：将核心业务（如数据库、支付系统）部署在高安全等级子网，限制公网访问；将边缘服务（如负载均衡、CDN 节点）部署在低安全等级子网，作为业务对外访问入口，降低核心业务暴露风险。 预留地址空间：子网划分时预留 20% 左右的 IP 地址空间，为后续业务扩展与资源扩容提供支持，避免子网地址耗尽导致的网络调整成本。 子网级管控措施： （1）路由控制：为不同子网关联独立路由表，例如，数据库子网路由表仅保留内网路由，禁止直接访问公网； （2）Web 子网路由表配置指向 NAT 网关的默认路由，实现公网访问控制。 更多信息，请参见 ++创建子网++和++网络ACL简介++。

远程桌面连接Windows云主机报错:此计算机无法连接到远程计算机如何处理。 问题描述 使用远程登录方式连接登录Windows云主机时出现如下错误：此计算机无法连接到远程计算机。 图 无法连接到远程计算机 可能原因 服务端安全组3389端口未开启。检查云主机端口配置。 服务端防火墙关闭。检查防火墙配置是否正常 远程桌面连接配置不正确。检查远程桌面连接设置 未开启“Remote Desktop Services”。检查Remote Desktop Services 远程桌面会话主机配置不正确。检查远程桌面会话主机 检查云主机端口配置。 检查云主机的3389端口是否能够访问（默认使用3389端口）。 请确保入方向规则中已添加3389端口。 在云主机的详情页面选择“安全组”页签，查看安全组入方向规则中已添加3389端口。 检查防火墙配置是否正常 检查云主机的防火墙是否开启。 1.在控制台使用VNC方式登录Windows云主机。 2.单击桌面左下角的Windows图标，选择“控制面板 > Windows防火墙”。 图 Windows防火墙 3.单击“启用或关闭Windows防火墙”。 查看并设置防火墙的具体状态：开启或关闭。 图 查看防火墙状态 如果选择开启防火墙，请继续执行以下操作步骤。 4.单击“高级配置”。 5.检查“入站规则”，请确保已启用如下规则。 −远程桌面(TCPIn) 公用 −远程桌面(TCPIn) 域，专用 图 入站规则 如果防火墙入站规则中设置的端口与远程服务器设置的端口不一致，远程访问服务器将无法成功。一旦出现这种情况，您也可以添加新的防火墙入站规则端口。 默认使用的是3389端口，如果您使用的是其他端口，可参考3389端口添加防火墙入站规则。 说明 默认使用的是3389端口，如果您使用的是其他端口，可参考3389端口添加防火墙入站规则。 完成上述操作后，再次重试远程连接云主机。

本章介绍通过公网使用弹性云主机连接云数据库GaussDB 实例。 准备工作 云数据库GaussDB 提供gsql工具帮助您在命令行下连接数据库，您需要提前创建一台弹性云主机用于安装gsql工具。具体请参见《弹性云主机用户指南》。 须知 操作系统需要选择Euler操作系统。gsql支持的操作系统版本如下： X86：EulerOS V2.0SP5。 绑定弹性公网IP 如果您想要通过公网访问数据库实例，那么您需要为数据库实例绑定弹性公网IP，具体操作请参考绑定和解绑弹性公网IP。 设置安全组规则 在访问数据库前，您需要将访问数据库的IP地址，或者IP段加入安全组入方向的访问规则，操作请参见设置安全组规则。 远程连接数据库 步骤 1 登录申请的弹性云主机。 步骤 2 在申请的弹性云主机上，上传客户端工具包并配置gsql的执行环境变量。 1. 以root用户登录客户端机器。 2. 创建“/tmp/tools”目录。 mkdir /tmp/tools 3. 获取GaussDB软件包并解压。 unzip GaussDBopengaussclienttools.zip 4. 根据申请的弹性云主机的操作系统架构进入不同目录，获取“GaussDBKernelxxxEULER64bitgsql.tar.gz”，并上传到申请的弹性云主机“/tmp/tools”路径下。 说明 软件包相对位置为安装时所放位置，根据实际情况填写。 5. 解压文件。 cd /tmp/tools tar zxvf GaussDBKernelV500R001C00EULER64bitgsql.tar.gz 6. 设置环境变量。 打开“~/.bashrc”文件。 vi ~/.bashrc 在其中输入如下内容后，单击“ESC”退出编辑模式，使用“:wq!”命令保存并退出。 export PATH/tmp/tools/bin:$PATH export LDLIBRARYPATH/tmp/tools/lib:$LDLIBRARYPATH 使环境变量配置生效。 source ~/.bashrc 步骤 2 执行如下指令，根据提示输入密码，连接数据库。 数据库创建成功后，会默认生成名称为postgres的数据库，此处以postgres库为例。 gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: postgres为需要连接的数据库名称，10.0.0.0为实例绑定的公网IP地址，root为登录数据库的用户名，8000为实例的端口号。

检查安全组规则是否生效 在安全组规则中放开某个端口后，您还需要确保实例内对应的端口也已经放通，安全组规则才会对实例生效。 假设您在某台ECS上部署了网站，希望用户能通过HTTP(80)端口访问到您的网站，则您需要先在ECS所在安全组的入方向中，添加下表中的规则，放通HTTP(80)端口。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP：80 IP地址：0.0.0.0/0 安全组规则添加完成后，您需要执行以下操作，检查云主机内端口开放情况，并验证配置是否生效。 登录云主机，检查云主机端口开放情况。 检查Linux云主机端口：执行命令netstat an grep 80，查看TCP 80端口是否被监听。 若回显类似下图所示，说明80端口已开通。 检查Windows云主机端口：打开命令执行窗口（CMD），执行命令netstat an findstr 80，查看TCP 80端口是否被监听。 若回显类似下图所示，说明80端口已开通。 打开浏览器，在地址栏里输入“

本章节介绍云容器ETCD节点宕机故障演练。 背景介绍 云容器引擎（CCE）中，Etcd 节点是集群的分布式数据存储核心。硬件故障、系统内核异常、软件组件崩溃、网络中断及数据同步异常等因素，均可能导致 Etcd 节点故障。Etcd 节点故障会造成集群配置读写失败、状态同步异常，进而导致 Master 节点管控功能受限，Pod 调度、扩缩容等操作失效，影响上层业务稳定性，本演练可测试系统应对 Etcd 节点故障的恢复能力。 基本原理 通过停止Etcd 节点上的服务，模拟Etcd 节点故障。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择Etcd节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。

本文帮助您快速熟悉虚拟IP的定义、特点、组网模式,以及应用场景等内容。 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的内网IP地址，没有分配给真实弹性云服务器网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云服务器。 您可以通过将虚拟IP与主备弹性云服务器绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 详细信息可参考：虚拟私有云虚拟IP。

本节为您介绍虚拟私有云VPC的相关费用。 虚拟私有云VPC服务下包含了多种产品资源，部分资源可以免费使用，部分资源需要支付费用。 下表为您详细介绍了虚拟私有云VPC各项资源的收费情况。 资源名称 收费情况说明 虚拟私有云 免费 子网 免费 路由表 免费 对等连接 免费 弹性网卡 免费 辅助弹性网卡 免费 IP地址组 免费 安全组 免费 网络ACL 免费 VPC流日志 如果您使用了VPC流日志，则VPC流日志使用的云日志服务需要支付费用。 流量镜像 免费 弹性公网IP和带宽 如果您使用了弹性公网IP和带宽的相关资源，则需要支付费用。 弹性公网IP：收取弹性公网IP保有费。 您购买的按需计费弹性公网IP未绑定至任何实例（如ECS、ELB）时，会收取弹性公网IP保有费。 固定带宽：弹性公网IP以及共享带宽的带宽费用。 带宽流量：按需计费(按流量计费)弹性公网IP的流量费用。 VPC终端节点 公测阶段暂不收费。

本文为您介绍创建告警规则的操作场景、前提条件和操作步骤。 操作场景 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个特定的监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 在您使用告警模板创建告警规则之前，云监控已经根据各个云服务的应用属性，为各个云服务量身定做了默认使用的告警模板，供您选择使用。同时云监控为用户提供了自定义创建告警模板的功能，您可以选择在默认模板推荐的监控指标上进行修改，或自定义添加告警指标完成自定义告警模板的添加。 注意 系统事件不支持告警规则配置，仅支持事件通知，入口：云监控服务>系统事件>事件订阅。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则列表页面。 5. 在“告警规则”列表界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数。 7. 配置参数如下： 模块 参数 参数说明 配置示例 备注 选择监控对象 规则类型 选择规则的类型，指标监控（包括站点监控）。 指标监控 自定义监控、自定义事件目前仅支持部分资源池 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云主机 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云主机 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任一策略，检查频率为设定值，其中策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 0%,连续1个检测周期，检测频率为60s 同一告警规则下，告警条件最多支持添加20条 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知方式 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 规则信息 企业项目 选择告警规则适用的企业项目。 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 说明 告警规则添加完成后，当监控指标触发设定的阈值时，云监控会在第一时间通过邮件实时告知您云上资源异常，以免因此造成业务损失。 关于如何使用回调接口，请参见使用告警回调。 说明 针对监控无数据状态，可配置三种处理策略。 不做处理 逻辑说明：当监控指标在指定周期内没有产生数据时，云监控不会触发任何告警动作，也不会对该情况进行特殊标记或通知。相当于忽略无数据的情况，继续按照正常的告警逻辑，等待后续有数据时再进行判断 。 适用场景：适用于监控指标偶尔会因为业务特性、网络波动等原因出现短暂无数据，但这种无数据情况不会对业务运行产生实质性影响，且频繁发送无数据告警会干扰运维人员的场景。 视为告警 逻辑说明：一旦监控指标在设定的时间周期内没有接收到新的数据，如用户配置告警通知渠道，云监控就会按照预先配置的方式（如短信、邮件等）发送告警信息，提示相关人员当前指标出现无数据的情况。 适用场景：适用于对数据连续性要求较高的业务场景，即无数据本身就可能意味着业务出现异常或者数据采集链路出现故障的情况。 视为恢复 逻辑说明：当监控指标之前处于触发告警的状态，而在后续某个周期内出现无数据的情况时，云监控会将这种无数据状态视为告警已经恢复，自动将告警状态更新为恢复，并按照配置的通知方式发送告警恢复的通知。但如果指标从未触发过告警，单纯出现无数据，不会发送恢复通知 。 适用场景：适用于那些依赖数据来判断告警状态，且无数据可以被认为是问题已解决的场景。 注意 告警规则创建>定义告警策略模块，“检测频率”如需支持修改，请联系客户经理开放功能。 检测频率，即每次告警数据检测任务间隔的时间，默认为1分钟。如云资源监控数据频率为1min，调整告警规则检测频率为30s，则连续两个检测周期，查询获取的数据可能为同一数据点。

本文针对云主机非root用户切换至root用户时连接超时问题给出修复方案,请您参考。 问题描述 针对镜像为CentOS、Ubuntu的弹性云主机，使用sudo命令切换root用户时，系统提示连接超时。 操作步骤 root用户切换超时可能由于host配置问题引起，请检查/etc/hosts文件，正确配置IP地址和主机名。 1. 登录弹性云主机。 2. 编辑host文件： 在/etc/hosts文件最后写入IP地址和主机名，格式为： 私有IP地址 主机名 比如弹性云主机的主机名为“myecshostname”，私有IP地址为“192.168.0.1”，则在host文件最后写入： 192.168.0.1 myecshostname 3. 保存并退出文件。 4. 切换root用户测试问题是否解决。