本章节主要介绍锁定用户 。 该任务指导管理员用户将MRS集群中的用户锁定。用户被锁定后，不能在Manager重新登录或在集群中重新进行安全认证。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 可通过以下两种方式锁定用户，锁定后的用户需要管理员手动解锁或者等待锁定时间结束才能恢复使用： 自动锁定：通过设置密码策略中的“允许输入错误次数”，将超过登录失败次数的用户自动锁定。具体操作请参见修改密码策略。 手动锁定：由管理员通过手动的方式将用户锁定。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 以下将具体介绍手动锁定。不支持锁定“机机”用户。 操作步骤 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 在“权限配置”区域，单击“用户管理”。 3. 在要锁定用户所在行，单击“锁定用户”，锁定用户。 4. 在弹出的提示窗口，单击“确定”完成锁定操作。

为帮助您更好地管理Kubernetes集群内的节点，云容器引擎CCE引入节点池概念。节点池是集群中具有相同配置的一组节点，一个节点池包含一个节点或多个节点。 您可以在CCE控制台中创建新的自定义节点池，借助节点池基本功能方便快捷地创建、管理和销毁节点，而不会影响整个集群。新节点池中所有节点的参数和类型都彼此相同，您无法在节点池中配置单个节点，任何配置更改都会影响节点池中的所有节点。 在云容器引擎中，创建集群时配置的节点参数和类型将成为默认节点池“DefaultPool”，该节点池不可编辑、删除或迁移，也不支持扩容、弹性伸缩。 通过节点池功能您还可以实现节点的动态扩缩容： 当集群中出现因资源不足而无法调度的实例（Pod）时，自动触发扩容，为您减少人力成本。 当满足节点空闲等缩容条件时，自动触发缩容，为您节约资源成本。 本章节介绍节点池在云容器引擎（CCE）中的工作原理，以及如何创建和管理节点池。 节点池架构 通常情况下，节点池内的节点均具有如下相同属性： 节点操作系统。 节点Kubernetes组件启动参数。 节点自定义启动脚本。 节点“K8S标签”及“Taints”设置。 此外，CCE将同时围绕节点池扩展以下属性： 节点池级别操作系统。 节点池级别每节点的Pod数上限。 应用场景 当业务需要使用大规模集群时，推荐您使用节点池进行节点管理，以提高大规模集群易用性。 下表介绍了多种大规模集群管理场景，并分别展示节点池在每种场景下发挥的作用： 场景 作用 集群存在较多异构节点（机型配置不同） 通过节点池可规范节点分组管理。 集群需要频繁扩缩容节点 通过节点池可降低操作成本。 集群内应用程序调度规则复杂 通过节点池标签可快速指定业务调度规则。 集群内节点日常维护 通过节点池可便捷操作Kubernetes版本升级、Docker版本升级。 功能点及注意事项 功能点 功能说明 注意事项 创建节点池 新增节点池， 暂不支持包年包月类型。 单个集群不建议超过100个节点池。 删除节点池 删除节点池时会先删除节点池中的节点，原有节点上的工作负载实例会自动迁移至其他节点池的可用节点。 如果工作负载实例具有特定的节点选择器，且如果集群中的其他节点均不符合标准，则工作负载实例可能仍处于无法安排的状态。 节点池开启弹性伸缩 开启弹性伸缩后，节点池将根据集群负载情况自动创建或删除节点池内的节点。 节点池中的节点建议不要放置重要数据，以防止节点被弹性缩容，数据无法恢复。 节点池关闭弹性伸缩 关闭弹性伸缩后，节点池内节点数量不随集群负载情况自动调整。 / 调整节点池大小 支持直接调整节点池内节点个数。若减小节点数量，将从现有节点池内随机缩容节点。 开启弹性伸缩后，不建议手动调整节点池大小。 调整节点池配置 可修改节点池名称、节点个数、K8S标签、Taints及资源标签。 修改K8S标签和Taints会对节点池内节点全部生效，可能会引起Pod重新调度，请谨慎变更。 添加已有节点 可添加不属于集群的节点到节点池。要求如下： 待添加节点需与CCE集群在同一虚拟私有云和子网内。 实例未被其他集群使用且实例与节点池配置相同（机型、计费模式等）。 无特殊情况时，不建议添加已有节点，推荐直接新建节点池。 移出节点池内节点 可以将同一个集群下某个节点池中的节点迁移到默认节点池（defaultpool）中 暂不支持将默认节点池（defaultpool）中的节点迁移到其他节点池中，也不支持将自定义节点池中的节点迁移到其他自定义节点池。 拷贝节点池 可以方便的拷贝现有节点池的配置，从而创建新的节点池。 配置kubernetes参数 通过该功能您可以对核心组件进行深度配置。 本功能仅支持在v1.15及以上版本的集群中对节点池进行配置，V1.15以下版本不显示该功能。 默认节点池DefaultPool不支持修改该类配置。 将工作负载部署到特定节点池 在定义工作负载时，您可以间接的控制将其部署在哪个节点池上。 例如，您可以通过CCE控制台中工作负载页面的“调度策略”设置工作负载与节点的亲和性，强制将该工作负载部署到特定节点池上，从而实现该工作负载仅在该节点池中的节点上运行的目的。如果您需要更好地控制工作负载实例的调度位置，您可以使用调度策略概述章节中关于工作负载与节点的亲和或反亲和策略相关说明。 您也可以为容器指定资源请求，工作负载将仅在满足资源请求的节点上运行。 例如，如果工作负载定义了需要包含四个CPU的容器，则工作负载将不会选择在具有两个CPU的节点上运行。

本节介绍了云数据库TaurusDB的权限管理。 IAM权限管理 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用TaurusDB的其他功能。 如果您需要对购买的TaurusDB资源，为企业中的员工设置不同的访问权限，为达到不同员工之间的权限隔离，您可以使用统一身份认证服务 （Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有TaurusDB的使用权限，但是不希望拥有删除TaurusDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用TaurusDB，但是不允许删除TaurusDB的权限，控制开发人员对TaurusDB资源的使用范围。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 TaurusDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 TaurusDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问TaurusDB时，需要先切换至授权区域。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云数据库TaurusDB，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。 如下表所示，包括了云数据库TaurusDB的所有系统权限。 表 TaurusDB系统权限 策略名称 描述 类别 GaussDB FullAccess 云数据库TaurusDB服务的所有执行权限。 系统策略 GaussDB ReadOnlyAccess 云数据库TaurusDB服务的只读访问权限。 系统策略 下表列出了云数据库TaurusDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 GaussDB FullAccess GaussDB ReadOnlyAccess 创建TaurusDB实例 支持 不支持 删除TaurusDB实例 支持 不支持 查询TaurusDB实例列表 支持 支持 表 常用操作与对应授权项 操作名称 授权项 备注 修改参数模板 gaussdb:param:modify 变更数据库实例的规格 gaussdb:instance:modifySpec 创建数据库实例 gaussdb:instance:create 界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get创建加密实例需要在项目上配置KMS Administrator权限。创建包周期实例需要配置CBC权限：bss:renewal:viewbss:renewal:updatebss:balance:viewbss:order:view 创建手动备份 gaussdb:backup:create 查询备份列表 gaussdb:backup:list 查询错误日志 gaussdb:log:list 重启实例 gaussdb:instance:restart 查询数据库实例列表 gaussdb:instance:list 创建参数模板 gaussdb:param:create 删除参数模板 gaussdb:param:delete 修改备份策略 gaussdb:instance:modifyBackupPolicy 查看参数模板 gaussdb:param:list 删除实例 gaussdb:instance:delete 删除手动备份 gaussdb:backup:delete 查询项目标签 gaussdb:tag:list 应用参数模板 gaussdb:param:apply 批量添加删除项目标签 gaussdb:instance:dealTag 变更配额 gaussdb:quota:modify 升级数据库实例版本 gaussdb:instance:upgrade 只读升主 gaussdb:instance:switchover 修改数据库端口 gaussdb:instance:modifyPort 修改实例安全组 gaussdb:instance:modifySecurityGroup 修改读写内网地址 gaussdb:instance:modifyIp 界面选择ip需要配置：vpc:vpcs:listvpc:vpcs:get 开启、关闭SSL gaussdb:instance:modifySSL 修改实例名称 gaussdb:instance:rename 添加只读节点 gaussdb:instance:addNodes 删除只读节点 gaussdb:instance:deleteNodes 修改存储空间 gaussdb:instance:modifyStorageSize 修改数据库实例密码 gaussdb:instance:modifyPassword 绑定公网IP gaussdb:instance:bindPublicIp 界面列出公网IP需要配置：vpc:publicIps:getvpc:publicIps:list 解绑公网IP gaussdb:instance:unbindPublicIp 修改监控策略 gaussdb:instance:modifyMonitorPolicy 修改节点倒换优先级 gaussdb:instance:modifySwitchoverPriority 修改可维护时间窗 gaussdb:instance:modifyMaintenanceWindow 节点隔离 gaussdb:instance:isolateNodes 创建数据库用户 gaussdb:user:create 删除数据库用户 gaussdb:user:delete 修改数据库用户密码 gaussdb:user:modify 查询数据库用户 gaussdb:user:list 数据库用户授权 gaussdb:user:grantPrivilege 回收数据库用户权限 gaussdb:user:revokePrivilege 创建数据库 gaussdb:database:create 删除数据库 gaussdb:database:delete 查询数据库列表 gaussdb:database:list

本文向您介绍当云主机出现端口不通的情况时请应怎样排查。 问题现象 云主机端口不通，会导致云主机之间无法通信或云主机无法对外服务，会影响应用或服务间的调用，或者用户对服务的访问。 根因分析 可能有以下几种原因导致端口不通： 1. 在控制台界面，云主机所在安全组未放行该端口； 2. 应用服务配置存在问题，对外服务端口未被正常监听； 3. 操作系统内，防火墙配置策略异常，如防火墙未放行端口访问。 问题定位步骤 本文分别对Windows和Linux操作系统的远程连接端口进行排查，以下为操作步骤。 Windows 操作系统 此部分以Windows Server 2012操作系统的云主机为示例，对云主机无法远程连接问题的定位步骤。 步骤1：排查安全组是否放通Windows远程连接端口3389。 1. 登录控制中心，选择云主机所在区域，点击“弹性云主机”进入云主机控制台。 2. 在云主机列表，点击需要远程连接的云主机实例名称。 3. 点击“安全组”页签，查看安全组规则。 4. 检查云主机所在的安全组是否已添加3389入方向的安全组规则。 步骤2 ：排查端口是否正常被监听。 在Windows操作系统中打开cmd窗口，执行如下命令。 plaintext netstat ano findstr :3389 如果回显信息如下则说明3389端口正常全网监听。否则，请开启监听。 步骤3 ：排查防火墙已经放行服务。 1. 单击“控制面板”>“Windows防火墙”。 2. 根据防火墙状态，如果防火墙处于关闭状态，且您不需要使用防火墙，则无需再做其他处理。 3. 如果防火墙处于开启状态，则单击“高级设置”。 4. 在弹出窗口的左侧导航栏中，单击“入站规则”。 5. 右键“入站规则”>新建入站规则>选择“端口”>填写“需要放开的端口”完成配置。

本章节主要介绍标签概念。 为了方便管理您的实例、磁盘、镜像以及其他云资源，您可以通过标签的形式为每个资源分配您自己的元数据。标签管理服务（Tag Management Service，TMS）是一种快速便捷将标签集中管理的可视化服务，提供跨区域、跨服务的集中标签管理和资源分类功能。 标签的基本知识 标签用于标识资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 标签示例图； 上图说明了标签的工作方式。在此示例中，您为每个云资源分配了两个标签，每个标签都包含您定义的一个“键”和一个“值”，一个标签使用键为“所有者”，另一个使用键为“用途”，每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如，您可以为帐户中的资源定义一组标签，以跟踪每个云资源的所有者和用途，使资源管理变得更加轻松。 标签使用说明： 支持添加标签的物理机相关服务有：物理机、弹性云主机、镜像服务、云硬盘等。 每个标签由一对键值对（KeyValue）组成。 每个物理机最多可以添加9个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签命名规则 如下表所示

带宽使用率高 1. 如果是正常业务访问和正常应用程序导致带宽使用率高，您可以升级服务器的带宽进行解决。 2. 如果是异常应用程序导致带宽使用率高，您可以通过流量监控工具nethogs来实时监测统计各进程的带宽使用情况，进一步定位异常进程。 使用命令yum install nethogs y安装nethogs工具，安装完成后可以查看网络带宽的使用情况。执行命令时指定参数：d设置刷新的时间间隔，默认为1s；t开启跟踪模式；c设置更新次数；device设置要检测的网卡，默认是eth0。 例如：使用nethogs eth1查看eth1网卡上每个进程的网络带宽使用情况。回显参数说明：PID表示进程ID；USER表示运行该程序的用户；PROGRAM表示进程或连接双方的IP地址和端口，第一个是服务器IP和端口，第二个是客户端IP和端口；DEV表示流量要去往的网络端口；SENT表示进程每秒发送的数据量；RECEIVED表示进程每秒接收的数据量。 ![751714098894602240[1].png]( 3. 如果是恶意应用程序导致带宽使用率高，您可以使用kill PID命令终止恶意进程。 4. 如果是非正常业务访问导致带宽使用率高，比如某个IP恶意访问、遭受DDoS攻击或CC攻击，您可以采取以下措施。 使用iptables服务对指定IP地址进行处理，比如屏蔽IP地址或限速。 查看AntiDDoS攻击是否开启，并检查防护策略是否配置合适，请参考开启AntiDDoS防护。 查看CC防护策略是否开启，并检查防护策略是否配置合适，请参考CC防护。 步骤三：问题处理 正常程序：优化程序，或变更云主机配置，请参见实例配置变更。 异常程序：确保异常程序不会影响到系统组件或其他用户，您可以手动关闭进程或隔离异常程序。根据异常原因，您还可以采用适当的措施来修复问题，比如：更新程序代码、修复配置、应用补丁等。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建注册配置中心/云原生网关实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通注册配置中心/云原生网关实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问注册配置中心/云原生网关实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：注册配置中心/云原生网关的实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问注册配置中心/云原生网关实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本文介绍零信任办公组网。 什么是办公组网 办公组网为边缘安全加速平台网络服务中的一个产品能力，依托中国电信优质的节点资源，是旨在为企业提供安全、高效、智能的网络连接，满足企业分支互访、多云互联等多种场景。 办公组网可以解决什么问题 全球组网 深度融合“零信任安全架构”与CDN全球化网络能力，为企业提供安全高效的组网及加速一体化解决方案，助力企业无缝连接全球业务节点，优化跨境访问体验，保障数据传输的安全性与合规性。 其中，天翼云AOne零信任服务以“安全无界、加速无阻”为核心，为企业全球化发展构建智能、可靠的新型网络基础设施，实现跨境业务安全与效率的双重突破。 云间互联互通 AOne零信任服务支持混合云组网，轻松构建企业分支、私有云、公有云不同地域VPC 、用户IDC 等多云互联。同时天翼云拥有全球2800+个节点，TB级网络，保证大带宽和低时延通信。只需要在私有云或者公有云之间部署连接器，全程数据加密，多路负载均衡，提供云间安全、高速、稳定的专用网络。 办公组网功能优势

产品名称 版本 规格 规格说明 堡垒机 v1.0/v2.0 10资产 支持10资产管理 堡垒机 v1.0/v2.0 20资产 支持20资产管理 堡垒机 v1.0/v2.0 50资产 支持50资产管理 堡垒机 v1.0/v2.0 100资产 支持100资产管理 堡垒机 v1.0/v2.0 200资产 支持200资产管理 堡垒机 v1.0/v2.0 500资产 支持500资产管理 堡垒机 v1.0/v2.0 1000资产 支持1000资产管理 数据库审计 v1.0 标准版 支持4数据库实例 数据库审计 v1.0 高级版 支持8数据库实例 数据库审计 v1.0 企业版 支持16数据库实例 数据库审计 v2.0 4资产 支持4数据库实例 数据库审计 v2.0 8资产 支持8数据库实例 数据库审计 v2.0 16资产 支持16数据库实例 数据库审计 v2.0 32资产 支持32数据库实例 数据库审计 v2.0 存储扩容 支持对数据盘进行扩容 漏洞扫描 v1.0 10资产 支持10个IP地址 漏洞扫描 v1.0 20资产 支持20个IP地址 漏洞扫描 v1.0 50资产 支持50个IP地址 漏洞扫描 v1.0 100资产 支持100个IP地址 漏洞扫描 v1.0 200资产 支持200个IP地址 日志审计 v1.0 10资产 支持10个日志源（每个日志源对应为一个IP） 日志审计 v1.0 20资产 支持20个日志源（每个日志源对应为一个IP） 日志审计 v1.0 50资产 支持50个日志源（每个日志源对应为一个IP） 日志审计 v1.0 100资产 支持100个日志源（每个日志源对应为一个IP） 日志审计 v1.0 200资产 支持200个日志源（每个日志源对应为一个IP） 日志审计 v1.0 500资产 支持500个日志源（每个日志源对应为一个IP） 日志审计 v2.0 10资产 支持10个日志源（每个日志源对应为一个IP） 日志审计 v2.0 15资产 支持15个日志源（每个日志源对应为一个IP） 日志审计 v2.0 20资产 支持20个日志源（每个日志源对应为一个IP） 日志审计 v2.0 50资产 支持50个日志源（每个日志源对应为一个IP） 日志审计 v2.0 100资产 支持100个日志源（每个日志源对应为一个IP） 日志审计 v2.0 200资产 支持200个日志源（每个日志源对应为一个IP） 日志审计 v2.0 500资产 支持500个日志源（每个日志源对应为一个IP） 日志审计 v2.0 存储扩容 支持对数据盘进行扩容 下一代防火墙 v1.0 标准版 支持1Gbps公网流量处理能力峰值 下一代防火墙 v1.0 高级版 支持2Gbps公网流量处理能力峰值 下一代防火墙 v1.0 企业版 支持4Gbps公网流量处理能力峰值 下一代防火墙 v2.0 标准版 支持1Gbps公网流量处理能力峰值（IPSec VPN 吞吐量上限：100Mbps、每秒数据包处理能力：200000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 IPsec VPN说明请参考： 下一代防火墙 v2.0 高级版 支持2Gbps公网流量处理能力峰值（IPSec VPN 吞吐量上限：200Mbps、每秒数据包处理能力：400000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 IPsec VPN说明请参考： 下一代防火墙 v2.0 企业版 支持4Gbps公网流量处理能力峰值（IPSec VPN 吞吐量上限：500Mbps、每秒数据包处理能力：2500000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 IPsec VPN说明请参考： 云安全中心 v2.0 标准版 包含日志分析量为每月50G 云安全中心 v2.0 态势大屏 包括安全成果态势、威胁攻击态势大屏 云安全中心 v2.0 日志分析量 默认需购买500G日志分析量，额外购买步长为50G 主机安全 v1.0 标准版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 主机安全 v1.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 主机安全 v2.0 旗舰版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 主机安全 v2.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 Web应用防火墙 v1.0 标准版 防护10个站点，支持带宽防护200Mb Web应用防火墙 v1.0 域名扩展包 每个扩展包支持10个域名防护 Web应用防火墙 v1.0 带宽扩展包 单个防护带宽扩展包，每个扩展包规格50Mb，可叠加； 单个Web应用防火墙最大支持1000Mb流量，最大可支持16个扩展包。 Web应用防火墙 v2.0 SaaS版 标准版 业务请求峰值3000QPS，支持防护域名20个（包含2个主域名），防护端口20个，更多信息请参见 Web应用防火墙 v2.0 SaaS版 域名扩展包 1个域名扩展包支持10个域名，其中支持添加1个主域名（备案的域名）。 Web应用防火墙 v2.0 SaaS版 业务扩展包 1个业务扩展包包含1000QPS/个，最多支持30个业务扩展包，每增加一个业务扩展包，可增加50Mbps带宽弹性上限，100Mbps带宽保护上限。 Web应用防火墙 v2.0 SaaS版 规则扩展包 1个规则扩展包包含50条防护规则/域名，当前仅适用IP黑白名单防护模块。 Web应用防火墙 v2.0独享版 单机版（1节点/实例） 支持01Gbps的业务防护，默认业务请求峰值3000QPS（200Mbs)，默认防护域名（不区分主域名、子域名）/IP（公网IP、私网IP）个数100个/实例，防护端口数最大支持65535个（常用端口除外），更多信息请参见 Web应用防火墙 v2.0独享版 域名扩展包 1个域名扩展包支持10个域名或IP。 Web应用防火墙 v2.0独享版 带宽扩展包 1个带宽扩展包包含1000QPS业务请求峰值、50Mbps业务带宽。 数据分类分级 标准版 4资产 支持纳管4个数据库，支持处理的数据库字段数为3万字段以内。 数据分类分级 标准版 8资产 支持纳管8个数据库，支持处理的数据库字段数为7万字段以内。 数据分类分级 标准版 16资产 支持纳管16个数据库，支持处理的数据库字段数为15万字段以内。 数据分类分级 标准版 32资产 支持纳管32个数据库，支持处理的数据库字段数为30万字段以内。 数据脱敏与水印 标准版 4资产 支持纳管4个数据库，提供数据脱敏与水印溯源能力，仅允许脱敏基本数据库类型。 数据脱敏与水印 标准版 8资产 支持纳管8个数据库，提供数据脱敏与水印溯源能力，仅允许脱敏基本数据库类型。 数据脱敏与水印 标准版 16资产 支持纳管16个数据库，提供数据脱敏与水印溯源能力，仅允许脱敏基本数据库类型。 数据脱敏与水印 标准版 32资产 支持纳管32个数据库，提供数据脱敏与水印溯源能力，仅允许脱敏基本数据库类型。 数据脱敏与水印 高级版 4资产 支持纳管4个数据库，提供数据脱敏与水印溯源能力，允许脱敏基本数据库+国产数据库。 数据脱敏与水印 高级版 8资产 支持纳管8个数据库，提供数据脱敏与水印溯源能力，允许脱敏基本数据库+国产数据库。 数据脱敏与水印 高级版 16资产 支持纳管16个数据库，提供数据脱敏与水印溯源能力，允许脱敏基本数据库+国产数据库。 数据脱敏与水印 高级版 32资产 支持纳管32个数据库，提供数据脱敏与水印溯源能力，允许脱敏基本数据库+国产数据库。 数据脱敏与水印 企业版 4资产 支持纳管4个数据库，提供数据脱敏与水印溯源能力，允许脱敏基本数据库、国产数据库、大数据组件。 数据脱敏与水印 企业版 8资产 支持纳管8个数据库，提供数据脱敏与水印溯源能力，允许脱敏基本数据库、国产数据库、大数据组件。 数据脱敏与水印 企业版 16资产 支持纳管16个数据库，提供数据脱敏与水印溯源能力，允许脱敏基本数据库、国产数据库、大数据组件。 数据脱敏与水印 企业版 32资产 支持纳管32个数据库，提供数据脱敏与水印溯源能力，允许脱敏基本数据库、国产数据库、大数据组件。

本文主要介绍CCE发布Kubernetes 1.11版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.11版本所做的变更说明。 表 v1.11版本集群说明 Kubernetes版本（CCE增强版） 版本说明 v1.11.7r2 主要特性： GPU支持V100类型 集群支持权限管理 v1.11.7r0 主要特性： Kubernetes同步社区1.11.7版本 支持创建节点池（nodepool），虚拟机集群支持 CCE集群支持创建物理机节点（VPC网络），支持物理机和虚机混合部署 GPU支持V100类型 1.11集群对接AOM告警通知机制 Service支持访问类型切换 支持服务网段 集群支持自定义每个节点分配的IP数（IP分配） v1.11.3r2 主要特性：集群支持IPv6双栈 ELB负载均衡支持源IP跟后端服务会话保持 v1.11.3r1 主要特性：Ingress的URL匹配支持Perl语法的正则表达式 v1.11.3r0 主要特性： Kubernetes同步社区1.11.3版本 集群控制节点支持多可用区 容器存储支持对接SFS Turbo极速文件存储 参考链接 社区v1.9与v1.11版本之间的CHANGELOG v1.10到v1.11的变化： v1.9到v1.10的变化：

概述 本章节主要介绍创建和更新自定义沙箱模板和自定义沙箱实例调试。自定义沙箱模板为创建沙箱模带来给多的灵活性，您可以通过扩展基础沙箱、代码沙箱、AIO沙箱和完全制作自定义镜像这4种方式在沙箱中运行您的服务。 创建自定义沙箱模板 操作步骤 1. 登录智能体引擎控制台，左侧导航选择沙箱菜单。 2. 单击创建沙箱模板。 3. 在创建沙箱模板窗口，填写自定义沙箱参数并单击确定。 4. 创建完成后，在沙箱模板列表页面，可以看到沙箱模板。沙箱模板创建和更新都为异步操作，需要您耐心等待完成。 自定义沙箱模板创建参数 参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 对于沙箱模板的描述。 镜像扩展类型 是 支持完全自定义镜像、基于基础沙箱镜像扩展、基于代码沙箱镜像扩展和基于AIO沙箱镜像扩展4种类型。 启动命令 否 对于完全自定义镜像，必须填写启动命令，其他进行镜像扩展类型无该参数。启动命令和参数之间需要使用空格隔开。 监听端口 是 沙箱中用户自定义服务的端口，该端口会用来探活。 容器镜像实例 是 选择用户容器镜像服务实例CRS，该实例和您订购的智能体引擎所在资源池一致。 容器镜像仓库 是 选择容器镜像仓库。 容器镜像版本 是 选择容器镜像版本。 规格方案 是 沙箱CPU和内存规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 NAS挂载 否 沙箱中挂载天翼云弹性文件服务SFS，最多支持5个挂载点，必须开启网络配置中的VPC访问，且弹性文件服务SFS和网络配置同VPC。 弹性文件服务 ：选择已创建的SFS文件系统实例。 VPCE挂载地址 ：选择SFS文件系统实例下的VPCE挂载地址。 远端目录 ：远端SFS中的目录是指位于SFS文件系统中的绝对目录，以/开头。 沙箱本地目录：设置沙箱运行环境中的本地目录。 网络配置中黑白名单语义： 未设置白名单：允许访问用户 VPC 内所有服务（仍受黑名单约束）。 设置白名单：仅允许访问白名单中的网段/IP（或对应服务）。 设置黑名单：禁止访问黑名单中的网段/IP（或对应服务）。 黑白名单冲突时，以白名单为更高优先级。 自定义镜像制作方法参见使用自定义镜像扩展Sandbox服务文档。

概述 本章节主要介绍创建和更新自定义沙箱模板和自定义沙箱实例调试。自定义沙箱模板为创建沙箱模带来给多的灵活性，您可以通过扩展基础沙箱、代码沙箱、AIO沙箱和完全制作自定义镜像这4种方式在沙箱中运行您自己的服务。 创建自定义沙箱模板 操作步骤 1. 登录智能体引擎控制台，左侧导航选择沙箱菜单。 2. 单击创建沙箱模板。 3. 在创建沙箱模板窗口，填写自定义沙箱参数并单击确定。 4. 创建完成后，在沙箱模板列表页面，可以看到沙箱模板。沙箱模板创建和更新都为异步操作，需要您耐心等待完成。 自定义沙箱模板创建参数 参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 对于沙箱模板的描述。 镜像扩展类型 是 支持完全自定义镜像、基于基础沙箱镜像扩展、基于代码沙箱镜像扩展和基于AIO沙箱镜像扩展4种类型。 启动命令 否 对于完全自定义镜像，必须填写启动命令，其他进行镜像扩展类型无该参数。启动命令和参数之间需要使用空格隔开。 监听端口 是 沙箱中用户自定义服务的端口，该端口会用来探活。 容器镜像实例 是 选择用户容器镜像服务实例CRS，该实例和您订购的智能体引擎所在资源池一致。 容器镜像仓库 是 选择容器镜像仓库。 容器镜像版本 是 选择容器镜像版本。 规格方案 是 沙箱CPU和内存规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 NAS挂载 否 沙箱中挂载天翼云弹性文件服务SFS，最多支持5个挂载点，必须开启网络配置中的VPC访问，且弹性文件服务SFS和网络配置同VPC。 弹性文件服务 ：选择已创建的SFS文件系统实例。 VPCE挂载地址 ：选择SFS文件系统实例下的VPCE挂载地址。 远端目录 ：远端SFS中的目录是指位于SFS文件系统中的绝对目录，以/开头。 沙箱本地目录：设置沙箱运行环境中的本地目录。 网络配置中黑白名单语义： 未设置白名单：允许访问用户 VPC 内所有服务（仍受黑名单约束）。 设置白名单：仅允许访问白名单中的网段/IP（或对应服务）。 设置黑名单：禁止访问黑名单中的网段/IP（或对应服务）。 黑白名单冲突时，以白名单为更高优先级。 自定义镜像制作方法参见使用自定义镜像扩展Sandbox服务文档。

本文主要介绍如何更换伸缩组的伸缩配置。 操作场景： 当伸缩组中所需的弹性云主机规格变更，需要为伸缩组更换伸缩配置时，可以参考此章节进行更换伸缩配置。 更换伸缩配置后的生效时间： 若伸缩组正在进行伸缩活动，则当前伸缩活动中的实例配置以更换之前的伸缩配置为准；待下一次伸缩活动开始后，伸缩活动中的实例配置就会更改为更换后的伸缩配置。 例如：伸缩组当前的伸缩配置为asconfigA，更换后的伸缩配置为asconfigB，当伸缩组正在进行伸缩活动时，则当前伸缩活动中的实例配置仍然为asconfigA；待下一次伸缩活动开始后，伸缩活动中的实例配置就会更改为asconfigB。 操作步骤： 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务”。 3. 单击需要更换伸缩配置的伸缩组名称，在“伸缩配置”页面的“配置名称”右方，单击“更换配置”。或在需要更换伸缩配置的伸缩组所在行的“操作”列下，选择“更多 > 更换伸缩配置”。 4. 在弹出的“更换伸缩配置”对话框中，重新为伸缩组选择伸缩配置。 5. 单击“确定”。

本文向您介绍如何使用麒麟系统云主机配置图形化界面。 操作场景 为了提供纯净的弹性云云主机系统给客户，麒麟系统云主机默认没有安装图形化界面，如果您需要图形化界面，请参见本节内容进行安装。 操作步骤 1. 配置网络，确保yum源可以正常使用。银河麒麟云主机操作系统在有外网的环境下可以直接使用yum源，而在无外网的环境下需要挂载镜像作为本地源。 2. 在字符界面执行以下命令，列出可安装的图形化包组。 yum group list 3. 在字符界面执行以下命令，安装图形化桌面相关包。 yum groupinstall y "Server with UKUI GUI" 或者 yum groupinstall y "带GUI的云主机" 4. 在字符界面执行以下命令，设置系统默认的启动方式为graphical.target，即图形化启动。 systemctl setdefault graphical.target 5. 在字符界面执行以下命令，重启系统使其生效。 reboot 6. 重启系统后即可进入图形化界面。 7. 输入用户名与密码，进入系统。

本节主要介绍采集开关 为了减少内存、数据库、磁盘空间占用，您可以按需进行采集设置。 日志采集开关 前提条件：弹性云主机上已安装ICAgent。 步骤 1 登录AOM控制台，选择“配置管理 > 日志配置”，选择“采集开关”页签。 步骤 2 开启或者关闭日志采集开关。 日志采集开关 说明 采集开关默认打开，当您不需要采集日志时，可通过关闭采集开关来停止日志采集，以减少资源占用。

本文将为您介绍动态资源背景与概念。 业务需求是动态变化的，在用户实际使用弹性伸缩的过程中，也需要依据业务变化来动态进行伸缩活动，即动态扩展资源。 当业务访问请求是无规律且频繁变化时，您可以选择告警策略，业务主机的性能指标达到告警策略的阈值，则可以开始动态伸缩。 例如社交平台、新闻网站社遇到热点事件时：当检测到CPU使用率达90%，自动扩容1台实例，以确保满足业务计算需求；当CPU使用率降至30%，自动缩容1台实例，减少资源成本的浪费。 根据以上业务场景，可以配置两条告警策略： 当CPU使用率大于90%且连续出现2次时，增加1台云主机实例。 当CPU使用率小于30%且连续出现2次时，减少1台云主机实例。

本文主要介绍如何修改/删除监听器。 操作场景 如果您已创建监听器，您可以根据实际业务需求，可以修改或者删除监听器。 监听器被删除后无法恢复，请谨慎操作。 说明 目前暂不支持修改“前端协议/端口”和“后端协议”，如果要修改监听器的协议或端口，请重新创建监听器。 修改监听器 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要修改监听器的负载均衡名称。 5. 切换到“监听器”页签，单击需要修改的监听器名称右侧“修改”入口。 6. 修改参数，单击“完成”。 删除监听器 1. 登录管理控制台。 2. 在管理控制台上方选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要删除监听器的负载均衡名称。 说明 如果该监听器下有后端云主机，删除监听器之前需移除云主机。 如果HTTP设置了重定向至HTTPS，删除HTTPS监听器之前需删除HTTPS重定向规则。 如果监听器包含了转发策略，删除监听器之前需先删除转发策略。 删除监听器后会同时删除所绑定的后端主机组。 5. 切换到“监听器”页签，单击需要删除的监听器名称右侧的 。 6. 单击“是”。

操作系统内核热补丁 天翼云支持热补丁修复技术，可在无需重启系统的情况下快速修复漏洞，有效提升系统的可用性与安全性。借助天翼云CTyunOS操作系统所提供的热补丁功能，用户能够在系统运行过程中动态加载并应用补丁，及时修复已知漏洞或缺陷，整个过程无需重启系统，也不会中断正在运行的服务。用户可根据实际需求，灵活下载和安装热补丁，实现业务无感知的安全更新。更多信息可查看++CTyunOS系统官网热补丁公告++ 使用服务器安全卫士 服务器安全卫士（原生版）为您免费提供操作系统安全加固能力，包括资产指纹采集、漏洞扫描、暴力破解和异常登录告警等基础防护功能。在您购买弹性云主机时，系统将自动为您开启“基础版”免费防护服务，为您的操作系统提供基础安全保障。基础版功能完全免费，建议用户保持开启状态；若业务有更高安全需求（如漏洞修复、防勒索、网页防篡改），可升级至企业版或旗舰版，获取更全面的防护能力。更多信息，请参见++主机安全防护最佳实践++ 提升操作系统安全性 使用云审计 云审计是天翼云提供的云账号在控制台操作记录的查询和投递服务，可用于支撑合规审计、安全分析、操作追踪和问题定位等场景。同时云审计提供事件跟踪功能，支持将操作日志转储至对象存储或者日志审计（原生版）产品实现更长时间的存储，满足等保合规要求。更多信息，请参见++云审计++。

示例：HUAWEI USG6600配置 本章节以Huawei USG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明。 假设数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，VPC上IPsec隧道的出口公网IP为1.1.1.1（从VPC上IPsec VPN的本端网关参数上获取）。 配置步骤 1. 登录防火墙设备的命令行配置界面。 2. 查看防火墙版本信息。 display version 17:20:502017/03/09 Huawei Versatile Security Platform Software Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30) 3. 创建ACL并绑定到对应的vpninstance。 acl number 3065 vpninstance vpn64 rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 q 4. 创建ike proposal。 ike proposal 64 dh group5 authenticationalgorithm sha1 integrityalgorithm hmacsha2256 sa duration 3600 q 5. 创建ike peer，并引用之前创建的ike proposal，其中对端IP地址是1.1.1.1。 ike peer vpnikepeer64 presharedkey （为您输入的预共享密码） ikeproposal 64 undo version 2 remoteaddress vpninstance vpn64 1.1.1.1 sa binding vpninstance vpn64 q 6. 创建IPsec协议。 IPsec proposal IPsecpro64 encapsulationmode tunnel esp authenticationalgorithm sha1 q 7. 创建IPsec策略，并引用ike policy和IPsec proposal。 IPsec policy vpnIPsec64 1 isakmp security acl 3065 pfs dhgroup5 ikepeer vpnikepeer64 proposal IPsecpro64 localaddress xx.xx.xx.xx q 8. 将IPsec策略应用到相应的子接口上。 interface GigabitEthernet0/0/2.64 IPsec policy vpnIPsec64 q 9. 测试连通性。 在上述配置完成后，我们可以利用您在云中的云主机和您数据中心的主机进行连通性测试。

继承安装（Linux环境） 您有多个服务器需要安装ICAgent，其中一个服务器已经通过首次安装方式装好了ICAgent，且该服务器“/opt/ICAgent/“路径下存在ICAgent的安装包ICProbeAgent.tar.gz，对于没有安装ICAgent的服务器，可以通过该方式对服务器进行一键式继承安装。 1. 在已安装ICAgent的服务器上执行如下命令，其中x.x.x.x表示待安装ICAgent服务器的IP地址。 bash /opt/oss/servicemgr/ICAgent/bin/remoteInstall/remoteinstall.sh ip x.x.x.x 2. 根据提示输入待安装ICAgent的服务器root用户密码。 说明 1. 如果已安装ICAgent的服务器安装过expect工具，执行上述命令后，即可完成安装。如果已安装ICAgent的服务器未安装expect工具，请根据提示输入密码，进行安装。 2. 请确保已安装ICAgent的服务器可以使用root用户执行SSH、SCP命令，来与待安装ICAgent的服务器进行远端通信。 3. 当显示“ICAgent install success”时，表示安装成功，ICAgent已安装在了/opt/oss/servicemgr/目录。安装成功后，在云日志服务左侧导航栏中选择“主机管理 > 主机”，查看该服务器ICAgent的状态。 4. 如果安装失败，请卸载ICAgent后重新安装，如果还未安装成功，请联系技术支持。 继承批量安装（Linux环境） 您有多个服务器需要安装ICAgent，其中一个服务器已经通过首次安装方式装好了ICAgent，且该服务器“/opt/ICAgent/“路径下存在ICAgent的安装包ICProbeAgent.tar.gz，对于没有安装ICAgent的服务器，可以通过该方式对服务器进行一键式继承批量安装。 注意 批量安装的服务器需同属一个VPC下，并在同一个网段中。 批量安装功能依赖python3.版本，如果安装时提示找不到python请安装python版本后重试。 前提条件 已收集需要安装Agent的所有服务器的IP地址、密码，按照iplist.cfg格式整理好，并上传到已安装过ICAgent机器的/opt/ICAgent/目录下。iplist.cfg格式示例如下所示，IP地址与密码之间用空格隔开： 192.168.0.109 密码（请根据实际填写） 192.168.0.39 密码（请根据实际填写） 说明 iplist.cfg中包含您的敏感信息，建议您使用完之后进行清理。 如果所有服务器的密码一致，iplist.cfg中只需列出IP，无需填写密码，在执行时输入此密码即可；如果某个IP密码与其他不一致，则需在此IP后填写其密码。 操作步骤 1. 在已安装ICAgent的服务器上执行如下命令。 bash /opt/oss/servicemgr/ICAgent/bin/remoteInstall/remoteinstall.sh batchModeConfig /opt/ICAgent/iplist.cfg 根据脚本提示输入待安装机器的root用户默认密码，如果所有IP的密码在iplist.cfg中已有配置，则直接输入回车键跳过即可，否则请输入默认密码。 batch install begin Please input default passwd: send cmd to 192.168.0.109 send cmd to 192.168.0.39 2 tasks running, please wait... 2 tasks running, please wait... 2 tasks running, please wait... End of install agent: 192.168.0.39 End of install agent: 192.168.0.109 All hosts install icagent finish. 请耐心等待，当提示All hosts install icagent finish.时，则表示配置文件中的所有主机安装操作已完成。 2. 安装完成后，在云日志服务左侧导航栏中选择“主机管理 > 主机”，查看服务器的ICAgent状态。

查看虚拟私有云 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟私有云>VPC和子网】，选择对应的地域，查看当前地域下已创建的虚拟私有云和对应子网的信息。 显示虚拟私有云参数说明： 参数 说明 名称/ID 名称：虚拟私有云的名称，创建虚拟私有云时用户自定义，可以单击修改按钮对名称进行修改。ID：创建完虚拟私有云后，系统自动生成的ID，其为虚拟私有云全局唯一的ID，可以单击复制按钮对ID进行复制。 IPV4网段/范围 虚拟私有云的网段，其为创建虚拟私有云时配置网段，该网段不可修改。 子网数量 该虚拟私有云下的子网数量。 状态 当虚拟私有云可用时其状态为“启用”。 用途 默认表示用于构建普通虚拟机私有网络。 类型 包括underlay和overlay，默认为overlay。 创建时间 显示该虚拟私有云创建的时间。 更新时间 虚拟私有云最新修改时间。 关联EEN状态 该VPC是否关联到对应边边网络EEN，默认为未加入，其状态显示为“无”，若已关联，其状态显示为“已关联”。 显示子网参数说明： 参数 说明 子网名称/ID 子网的名称，创建子网时用户自定义，可以单击修改按钮对名称进行修改。 子网类型 包括underlay和overlay，默认为overlay。 VLAN 子网类型为underlay时分配的VLAN ID。 IPv4网段/范围 在创建子网时配置的子网网段。 IPv4网关 子网的IPv4网关地址。 已用/可用IPv4数量 显示该子网下已用和可用的IPv4地址数量。 IPv6网段 若该子网开启了IPv6，则此处显示该子网的IPv6网段，若未开启，则此处显示为“启用”按钮，可以按需为该子网开启IPv6。 IPv6网关 子网的IPv6网关地址。 已用/可用IPv6数量 若该子网开启了IPv6，则此处显示该子网下已用和可用的IPv6地址数量。 IP使用情况 单击【查看】可以查看该子网下IP地址使用情况。 裸金属网关VLAN/地址 当子网开启裸金属网关后为裸金属网关分配的VLAN ID和地址，暂不支持自助开启，如需开启请联系业务运营人员。 状态 当子网可用时其状态为“启用”。 创建时间 创建该子网的时间。

Hadoop压力测试工具如何获取？ Hadoop压力测试工具社区获取地址： 翼MapReduce（MRS）服务集成的开源第三方SDK中包含的公网IP地址声明是什么？ MRS服务集成的开源组件所依赖的开源三方包中包含SDK使用示例，其中涉及“12.1.2.3”、“54.123.4.56”、“203.0.113.0”、“203.0.113.12”等公网IP均为示例IP，MRS服务进程不会主动发起与该公网IP的连接，也不会与该公网IP进行任何数据交换。 翼MapReduce（MRS）是否支持Hive on Kudu？ MRS不支持Hive on Kudu。 目前MRS只支持两种方式访问Kudu： 通过Impala表访问Kudu。 通过客户端应用程序访问操作Kudu表。 10亿级数据量场景的解决方案有哪些？ 有数据更新、联机事务处理OLTP、复杂分析的场景，建议使用云数据库 GaussDB(for MySQL)。 MRS的Impala + Kudu也能满足该场景，Impala + Kudu可以在join操作时，把当前所有的join表都加载到内存中来实现。 如何修改DBService的IP地址？ MRS集群内不支持修改DBService的IP地址。 翼MapReduce（MRS）集群内节点上的sudo log能否清理？ MRS集群内节点上的sudo log文件是omm用户的操作记录，以方便问题的定位，用户可以清理。 因为日志占用了一部分存储空间，建议管理员清除比较久远的操作日志释放资源空间。 1.日志文件较大，可以将此文件目录添加到“/etc/logrotate.d/syslog”中，让系统做日志老化 ，定时清理久远的日志 。 更改文件日志目录：sed i '3 a/var/log/sudo/sudo.log' /etc/logrotate.d/syslog 2.可以根据日志个数和大小进行设置“/etc/logrotate.d/syslog”，超过设置的日志会自动删除掉。一般默认按照存档大小和个数进行老化的，可以通过size和rotate分别是日志大小限制和个数限制，默认没有时间周期的限制，如需进行周期设置可以增加daily/weekly/monthly指定清理日志的周期为每天/每周/每月。

本文带您了解什么是AI Store。 天翼云AI Store依托息壤一站式智算服务平台能力，提供全栈AI产品的聚合服务，集成强大的算力、丰富的模型、多样化的应用生态，实现一站式体验和采购，满足不同行业的业务需求，助力产业智能化升级。 功能模块 算力市场：弹性、高效、经济的AI算力服务，满足用户在不同场景下的算力需求。 模型市场：主流大模型在线体验，提供标准化API接口，支持高并发、低时延推理。 应用市场：汇聚多元应用，包括公有云一键部署的应用，以及私有化交付部署的应用。 公有云应用包括OpenClaw、Dify、Ragflow、McpServers等应用，支持一键部署，简化应用的安装和配置，轻松上手。 私有化应用包括无忧智慧公文、一站式AI智能体开发平台，提供线下私有化部署，满足安全、独享需求。 产品架构

为什么事务调试总是失败？ 在使用调试功能前，要先确认如下两点： 确保资源组为运行状态。 确保资源组的调试节点和被压测的应用之间网络互通。 登录弹性云主机控制台。 在弹性云主机中分别找到调试机和执行机的节点并登录。 curl对应应用的URL查看网络是否连通。满足以上两点后，对事务进行调试，单击“结果”页签查看返回内容是否正确。 若调试功能返回内容报错，这就是使用调试功能的主要目的，需要去检查自己传入参数是否正确，检查报文配置的内容是否正确。 HTTP报文请求中，哪些头域是必填的？ 性能测试服务没有必填头域，只负责透传您定义的头域，在HTTP的行为上来看哪些头域必须携带取决于被测服务器是否会校验或者使用到这些头域。请根据压测服务器需要校验或者使用的头域来添加相关头域及内容。 压测任务执行机CPU占用率一直较高的原因？ 性能测试服务比较特殊，对处理时延要求很高，可能您发送的报文服务器响应时间很短，因此需要不断轮询以减小时延偏差，所以压测任务在运行时会出现高CPU占用。由于用于压测资源组的节点是独占的，所以不会对您的应用产生影响，也不会影响性能测试服务本身的性能。 全局变量和响应提取变量的区别 全局变量可在整个测试工程中使用，当前支持枚举类型、整数类型、文本类型和文件类型。响应提取的变量为局部变量，只支持在当前事务中或者本用例中，该请求后续的请求可使用，不支持跨事务或者跨用例使用。

本节介绍云等保专区产品的Web应用防火墙。 Web应用防火墙v1.0具备专业的Web应用安全防护能力，可拦截针对网站的各类攻击行为，帮助用户应对网站运营中的安全风险，为Web应用提供全方位的防护，构建覆盖全生命周期的Web应用安全防护解决方案。 功能介绍 功能主要如下： 功能 描述 防护对象 多链路数据防护，网段数量不限。以域名和IP方式进行防护。IPv4/IPv6双协议栈。 攻击防护 注入类攻击：SQL注入、代码注入、命令注入、LDAP注入、文件注入、SSI注入等。 跨站脚本攻击：XSS。 通用攻击：HTTP请求走私、HTTP响应分割、SessionFixation等。 恶意软件：代码上传、Webshell后门、其他木马等。 信息泄露：目录信息泄露、服务器信息泄露、数据库信息泄露、源代码泄露、敏感文件信息泄漏、其他信息泄漏。 扫描工具：阻断Nikto、Paros proxy、WebScarab、WebInspect、Whisker、libwhisker、Burpsuite、Wikto、Pangolin、Watchfire AppScan、NStealth、Acunetix Web Vulnerability Scanner 等多种扫描器的扫描行为。 爬虫攻击：恶意网络爬虫，百度、Google、Yahoo等搜索引擎爬虫。 第三方组件漏洞：Web容器漏洞、开源CMS漏洞、Web服务器插件漏洞。 HTTP协议规范性：协议违规、报头缺失、HTTP方法限制、畸形请求、文件限制、头部长度限制。 其他：CC攻击、防敏感词发布、敏感信息隐藏、防盗链、Cookie防篡改/防劫持。 高级防护 智能语义分析：内置SQL注入、XSS语义分析安全规则。 机器学习：内置机器学习安全引擎，对用户Web业务系统建立安全的访问模型，学习内容包括URL、参数、参数类型、参数长度、匹配频率等。 地图区域访问控制：在地图上指定某一地理区域进行访问控制，阻断此区域IP的访问。 服务器隐藏：可删除服务器响应头信息。 自定义规则：对HTTP请求中URI、HOST、参数、参数名、请求头、Cookie、版本号、方法和请求体及HTTP响应的响应体等条件自定义正则，支持多种组合条件。 智能攻击者锁定：智能识别攻击者，对发起攻击的IP地址自动锁定禁止访问被攻击的网站。 威胁情报：云端威胁情报联动，主动发现僵尸IP、代理IP、扫描IP、黑产IP、C&C等恶意IP发起的访问行为，实时统计威胁情报攻击类型占比和攻击频率。 云端高防联动：一键开启防护，L3L7 DDoS安全防护，最高可提供1TB抗DDoS服务。 应用交付 HTML、TXT、JPG、DOC等静态文件缓存，响应内容gzip算法压缩，识别压缩的响应内容。 高可靠性 链路聚合提升网络带宽、增加容错性和链路负载均衡。VLAN子接口，业务口可承载多个VLAN通道。主主模式、主备模式。硬件BYPASS（即物理直通）。软件BYPASS（即过载BYPASS）。 SSL防护 支持第三方认证机构颁发的证书链，实现HTTPS应用系统的防御。 可选择SSL/TLS协议版本。 部署在SSL网关后可解析到真实的访问者IP，对真实的IP进行防护和阻断。 内置SSL加速卡提高设备HTTPS处理性能。 审计 记录攻击事件的HTTP请求头信息，含请求的URL、UserAgent、POST内容、Cookie等所有请求头内容。 记录服务器响应头信息、响应内容。 分析访问量最大的URL、IP地址、文件类型等。

本文介绍镜像服务的产品优势。 快速部署 相比于传统的手工部署方式，利用包含应用的镜像可实现相同应用的弹性云主机批量快速部署。 方式比较项 镜像部署 手动部署 部署时长 3分钟 5分钟 1天 2天 部署过程 镜像里面已经包含了应用依赖的操作系统，运行环境以及预装的组件，因此使用镜像创建实例能够实现客户业务系统的快速部署。 选择合适的操作系统、数据库、应用软件、插件等，并需要安装和调试。 安全性 除私有镜像和共享镜像需要用户自行判断，其他公共镜像、安全产品镜像、应用镜像都经过天翼云测试和审核。 依赖开发部署人员的水平。 适用情况 公共镜像：正版操作系统，包含天翼云提供的初始化组件。 私有镜像：快速创建跟已有云主机相同软件环境，或进行环境备份。 共享镜像：快速创建跟其他用户已有云主机相同软件环境。 安全产品镜像：快速创建带有安全组件的云主机。 应用镜像：快速创建预装应用与工具的云主机。 完全自行配置，无基础设置。 安全可靠 公共镜像均经过天翼云的安全测试与审核，安全可靠。 公共镜像覆盖Windows、Ubuntu、CentOS等多款主流操作系统，皆经过严格测试，能够保证镜像安全、稳定。 镜像文件后端采用了冗余的方式存储，保证了高可用性。

移出一台或多台云主机 接口功能介绍 将一台或多台云主机移出伸缩组 接口约束 无 URI POST /v4/scaling/group/instancemoveout 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必选 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b groupID 是 Integer 伸缩组ID 443 instanceIDList 是 Array of Strings 实例ID列表 [adc614e0e838d73f0618a6d51d09070a] 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回码：800表示成功，900表示失败 800 errorCode String 业务细分码，为product.module.code三段式码 Scaling.Group.NotFound 错误码 message String 失败时的错误描述，一般为英文描述 scaling group info not found description String 失败时的错误描述，一般为中文描述 未找到弹性伸缩组信息 returnObj Object 成功时返回的数据，参见表returnObj returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 instanceIDList Array of Strings 实例ID列表 [adc614e0e838d73f0618a6d51d09070a]

参数 描述 数据流动方向 选择“入云”。 源数据库引擎 选择“MySQL”。 目标数据库引擎 选择“DWS”。 网络类型 此处以“VPC网络”为示例。目前支持可选“公网网络”、“VPC网络”和“VPN、专线网络”。 目标数据库实例 可用的DWS实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 可选“全量+增量”、“全量”和“增量”三种模式，此处以“全量+增量”为示例。 全量+增量该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。、 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 全量 该模式为数据库一次性同步，适用于可中断业务的数据库同步场景，全量同步将用户选择的数据库对象和数据一次性同步至目标端数据库。 增量 该模式通过解析日志等技术，将源端产生的增量数据持续同步至目标端数据库。

本节主要介绍产品定义。 什么是云容器引擎？ 云容器引擎(CT Cloud Container Engine，简称CCE)提供高可靠、高性能的企业级Kubernetes集群托管服务，支持运行Docker容器，帮助用户在云上轻松部署、管理和扩展容器化应用程序。 为什么选择云容器引擎？ 云容器引擎深度整合高性能的计算（ECS）、网络（VPC/EIP/ELB）、存储（EVS/OBS/SFS）等服务，支持多可用区（Available Zone，简称AZ）、多区域（Region）容灾等技术构建Kubernetes高可用集群。 产品形态 云容器引擎包含多种产品形态。 集群类型 CCE Standard CCE Turbo 产品定位 标准版本集群，提供高可靠、安全的商业级容器集群服务。 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速。 使用场景 面向有云原生数字化转型诉求的用户，期望通过容器集群管理应用，获得灵活弹性的算力资源，简化对计算、网络、存储的资源管理复杂度。 适合对极致性能、资源利用率提升和全场景覆盖有更高诉求的客户。 网络模型 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 hostPort 支持 不支持 网络性能 VPC网络叠加容器网络，性能有一定损耗 VPC网络和容器网络融合，性能无损耗 容器网络隔离 容器隧道网络模式：集群内部网络隔离策略，支持NetworkPolicy。 VPC网络模式：不支持 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 容器资源隔离 普通容器：Cgroups隔离 安全容器：当前仅物理机支持，提供虚机级别的隔离 普通容器：Cgroups隔离 边缘基础设施管理 不支持 支持管理智能边缘小站

本文介绍SQL Server存储类型。 数据库是应用系统的重要基础组件，对存储IO性能要求较高，天翼云提供多种类型的存储IO以满足不同性能要求，您可根据需要选择所需的存储类型。SQL Server实例创建后，不支持变更存储类型。 存储类型说明 SQL Server支持高IO和超高IO两种存储类型，均为云盘存储，支持弹性扩容，可以满足不同的业务场景，详见下表： 存储类型 使用场景 高IO 适用于主流的高性能、高可靠应用场景，例如大型开发测试、Web服务器日志以及企业应用。典型的企业应用有SAP、Microsoft Exchange和Microsoft SharePoint等。 超高IO 适用于超高IOPS、超大带宽需求的读写密集型应用场景，例如高性能计算， NoSQL/关系型数据库。 极速型SSD 适用于需要极低的延迟和高的I/O性能的应用场景，大型OLTP（Online Transaction Processing）数据库等。（极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的计算增强型和内存优化型云主机） 云硬盘规格更多详情，请您参考 云硬盘 ​>产品介绍​>产品规格。

本文介绍如何配置防火墙防护策略，包括配置入侵防御模式和配置访问控制策略。 云防火墙提供基础防御功能，可以针对访问流量进行检测与防护，覆盖多种常见的网络攻击，有效保护您的资产。 访问控制策略默认状态为放行，通过配置合适的策略调整防护能力，实现更有效的精细化管控，防止内部威胁扩散，增加安全战略纵深。 配置入侵防御模式操作步骤 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。 功能名称 功能说明 :: 防护模式 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。 说明 选择防护模式后，可对基础防御规则库的单条防御规则进行修改。具体操作请参见修改基础防御规则动作。 基础防御 为您的资产提供基础的防护能力，默认为“开启”状态。防御功能包括： 检查威胁及漏洞扫描。 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 高级 敏感目录扫描防御 防御对用户主机敏感目录的扫描攻击。 “动作”： 观察模式：发现敏感目录扫描攻击后，CFW仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现敏感目录扫描攻击后，拦截当次会话。 拦截IP：发现敏感目录扫描攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “阈值”：对于单个敏感目录扫描频率达到设定的阈值后，CFW会采取相应“动作”。 高级 反弹Shell检测防御 防御网络上通过反弹shell方式进行的网络攻击。 “动作” ： 观察模式：发现反弹shell攻击后，仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现反弹shell攻击后，拦截当次会话。 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “模式 ”： 低误报：防护粒度较粗。观察或拦截频次较高的攻击，用于确保攻击处理没有误报。 高检测：防护粒度精细，确保攻击能够被发现并处理。

云主机实例规格与存储I/O性能关系说明 弹性云主机不同实例规格的存储I/O性能以及不同实例规格挂载X系列云硬盘时的性能表现不同。云主机实例的存储I/O性能和实例规格大小相关，同一类型的实例规格等级越高，可获得的存储I/O性能（即IOPS和吞吐量）越高。具体表现可参考云主机产品规格。 本文将带您了解云主机实例的存储性能与X系列云硬盘存储性能之间的关系，以此作为您合理选择云主机实例规格和X系列云硬盘产品的依据，避免不合理配置给应用带来性能瓶颈。 当您创建云主机实例挂载了X系列云硬盘时，云主机实例最终的存储I/O性能计算公式为：存储I/O能力min { 云主机实例，X系列云硬盘性能总和 }。 如下为场景说明： 场景一：如果X系列云硬盘性能总和超过了云主机实例规格所对应的存储I/O能力，最终存储I/O性能以该云主机实例规格对应的存储I/O能力为准。 场景二：如果X系列云硬盘性能总和不超过云主机实例规格所对应的存储I/O性能，最终存储I/O性能以X系列云硬盘性能总和为准。 接下来以c8.4xlarge.2为例，不同规格的实例挂载不同性能级别的X系列云硬盘时，实际的存储性能不同。如下所示： 示例一：胡女士选择了c8.4xlarge.2规格实例，该实例规格最大存储I/O性能为100,000 IOPS。云主机实例挂载了2块XSSD1云硬盘，对应单盘IOPS最大为100,000，总IOPS最大为200,000，则该云主机实例最大存储IOPS为100,000，无法达到200,000。 示例二：胡女士选择了c8.8xlarge.4规格实例，该实例规格最大存储I/O性能为200,000 IOPS。云主机实例挂载了1块XSSD1云硬盘，对应单盘IOPS最大为100,000，则该云主机实例最大存储IOPS为100,000。