本章节介绍云主机网络包重复故障演练。 背景介绍 在网络传输过程中，因设备配置错误（如交换机端口镜像）、中间件异常（如负载均衡重复转发）或协议缺陷，可能导致数据包被复制并多次送达目标主机。虽然 TCP 协议能够识别并丢弃重复的数据包以保证数据完整性，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

配置一个中心VPC与两个VPC对等 如果您需要一个中心VPC和其他两个VPC之间的资源互访，但希望这两个VPC之间相互隔离，可以参考以下规划。 资源规划 创建三个VPC：中心VPC（VPCA）、VPCB、VPCC，并分别为它们配置不同的网段，确保它们的网络地址范围没有重叠。 VPC名称 VPC网段 子网名称 子网网段 子网关联VPC路由表 弹性云主机名称 私有IP地址 VPCA 10.0.0.0/16 SubnetA01 10.0.1.0/24 RouterA A01 10.0.1.10 VPCA 10.0.0.0/16 SubnetA02 10.0.2.0/24 RouterA A02 10.0.2.20 VPCB 192.168.0.0/16 SubnetB01 192.168.1.0/24 RouterB B01 192.168.1.15 VPCB 192.168.0.0/16 SubnetB02 192.168.2.0/24 RouterB B02 192.168.2.25 VPCC 172.31.0.0/16 SubnetC01 172.31.1.0/24 RouterC C01 172.31.1.10 VPCC 172.31.0.0/16 SubnetC02 172.31.2.0/24 RouterC C02 172.31.2.11

本节介绍了查看云主机启动模板。 操作场景 在您创建云主机启动模板后，通过控制台进入云主机启动模板列表页与详情页，可以查看云主机启动模板的列表与详细信息。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 云主机启动模板”，进入云主机启动模板控制列表页。您可以查看启动模板名称、管理的镜像、规格等基本信息。 4. 在云主机启动模板列表页，点击目标模板名称，即可跳转至该启动模板的详情页，可以进一步查看模板中配置的详细信息。 5. 部分情况下，实例模板中的配置可能被删除或已不可用，此时在实例模板详情页中将进行相关提醒。 提示语 出现的原因 资源已被删除 当前模板中选中的资源已被删除 资源不可用 当前资源已经停止服务 当前资源无权限访问 IAM侧用户的权限被调整，当前用户无权限使用此资源

本小节介绍安全专区云堡垒机映射端口策略配置。 配置方法： 新增资产，点击【资产管理】→【资产管理】→【新增】，如下图为Windows模板进行配置： 注意 红为必填项 资产名称：根据实际网络、设备自定义取名； 系统类型：按业务服务器选择； IP地址段：填写业务服务器的私有IP地址； 资产类别：此处选择服务器； 资产IP：此处填写需要增加资产的实际IP。 通过"查询"按钮可以快速的查询当前已添加的资产。

Cookie签名 针对Cookie进行签名，会新增一个Cookie签名字段，原始Cookie内容正常发送给用户，当客户端Cookie内容进行了修改，请求在WAF端签名校验不通过，该请求将被拦截。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通专业版及以上版本支持使用Cookie防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“Cookie防护”页面，可以配置Cookie防护策略； 配置说明 配置项 说明 开关 控制策略的处理动作，可以选择开启或关闭 防护模式 触发Cookie防护后的执行动作，可以选择告警或拦截 Cookie key 值 设置需要防护的Cookie名称，Cookie必须有参数值，例如：setcookie: SFcookie11ENCRYPTCOOKIE1988262423afZ5ZEIzbEL%3D; Secure; SameSiteStrict, 只有SFcookie11、SameSite可配置为key 防护方式 支持选择加密与签名两种防护方式，需要配置防护动作与防护过渡期 （1）加密：对Cookie值进行加密，客户端查看到的值为加密后的内容 （2）签名：给Cookie值加签名字段，签名方式可选 UA：使用该方式签名，客户UA变换后，Cookie签名验证将不通过 IP+HOST+UA：泛域名模式下，加签HOST字段 IP+UA：使用该方式签名，客户IP或使用浏览器改变后，使用之前Cookie防护验证不通过 IP：使用该方式签名，客户ip变换后，Cookie签名验证将不通过 防护动作 拦截/清除 拦截：Cookie值检测不通过将拦截请求，并清除Cookie； 清除：Cookie检测不通过清除该Cookie回源，总开关为拦截，防护动作为清除，最终效果仍为清除 防护过渡期 在过渡期内（即在配置的时间之前），检测失败不会进行拦截，只会清除Cookie值，重新登录后将下发新的Cookie值 Cookie属性 支持选择HTTPonly和secure 设置后Cookie不允许js读取，有效防止xss盗取客户Cookie，配置后，Cookie响应头部增加值HttpOnly，若源站响应已存在HttpOnly，会同时存在 secure：Cookie设置为secure的时候，客户端只能通过https协议发送Cookie，无法通过http发送 白名单 如果有特殊的业务无法通过Cookie防护策略，可以不同粒度的请求进行加白，则符合加白条件的请求不会进行Cookie防护策略

本文向您介绍弹性云主机新内核启动失败如何设置使用第二内核启动的解决方案。 操作场景 本节操作介绍云主机新内核启动失败时如何设置使用第二内核启动。 本节操作适用于CentOS、CTyunOS操作系统，且系统内安装至少两个内核。 以CTyunOS为例操作 1. 选择对应的云主机，点击“远程登录”。 2. 点击“Send CtrlAltDel”重启云主机。 3. 出现内核选择界面后，按下键，移动光标至第二内核，按回车键。 这里以救援模式，来当成第二内核。实际操作中，选择实际的内核版本即可。 4. 待进入系统后，执行下面命令来设置第二内核为默认启动内核。 grub2setdefault 1

如何进行实名认证以购买中国内地地域云产品服务？ 如果您需要购买和使用中国内地地域的云产品服务，必须进行实名认证。在进行购买相关操作时，若未完成实名认证，系统会提示您需要先完成实名认证。具体操作，请参考“个人实名认证”、“企业实名认证”。 支持哪些类型的镜像？ 天翼云弹性高性能计算产品在集群创建时可支持选择CentOS和Rocky镜像（该镜像为弹性高性能计算平台定制镜像），暂不支持自定义镜像。 如您需要其他操作系统类型或个性化镜像，请您提交工单，工作人员会与您联系，根据您的需求为您配置个性化镜像。

场景优势 低门槛 通用治理能力沉淀到框架，开发人员只需聚焦业务 简单易用 提供GUI一站式治理控制台 准实时 运行状态实时监控，配置下发实时生效 建议搭配使用： 弹性云主机、云容器引擎、应用运维管理

本文介绍如何部署智算容器实例。 前提条件 请确保您已完成以下准备工作： 1. 已开通弹性容器实例服务。 2. 已在开通地域创建虚拟私有云、子网、安全组等。 操作步骤 下文开始介绍创建智算容器组的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“智算容器组算力市场”，进入算力市场页。 2. 按需选择模板，可以点击“选择模板”指定某个官方模版或私有模版。 3. 按需选择GPU规格，点击“部署”按钮。 4. 确认部署信息，包括虚拟私有云、子网、安全组等，然后点击“确定”按钮进行部署。 部署后即可在实例列表中查看。

云主机备份支持对弹性云主机中所有云硬盘进行备份吗？ 支持。 云主机备份可以通过立即备份或者创建备份策略绑定云主机进行周期性备份，将云主机中的所有云硬盘作为整体进行备份和恢复，不支持对云主机中的部分云硬盘进行备份和恢复。 云主机备份时，需要停止弹性云主机吗？ 不需要。 云主机备份支持对正在使用的云主机进行备份。在云主机正常运行的情况下，除了将数据写入云硬盘外，还有一部分最新数据保存在内存中作为缓存数据。在做备份时，内存缓存数据不会自动写入云硬盘，会产生数据一致性问题。 因此，为了尽量保证备份数据的完整性，最好选择凌晨且云硬盘没有写入数据的时间进行云主机备份；或者在进行云主机备份前，暂停所有数据的写操作，且将应用系统停止，再进行备份。如果对备份数据完整性要求极高，则可以将云主机关机（实现缓存数据写入云硬盘），进行离线的云主机备份。 备份云主机需要多长时间？ 备份时长主要受云主机的硬盘容量、备份类型、系统负载等因素影响。云硬盘容量越大，备份所需时间越长；全量备份通常耗时更长，而增量备份则相对更快。此外，可用区内其他租户的备份任务数量、当前租户的并发任务数也会对实际备份速度产生影响。当可用区内并发任务未超出备份服务处理能力上限时，单个备份任务的传输速度可达100MB/s左右；如并发任务数超出备份服务处理上限，多个任务之间会出现性能争抢，单个任务的备份完成时间会变长。因此，100GB数据的备份时长可能在20~50分钟之间，具体取决于上述因素的综合影响。如果您的备份任务长时间未完成，可以联系客服解决。

本文为您介绍如何使用Nginx镜像创建ECI实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

本文介绍如何使用Nginx镜像创建实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

本文介绍智能边缘云ECX的计费组成和计费方式。 计费概述 智能边缘云ECX的计费由边缘算力和边缘网络两部分组成。 边缘算力包括虚拟机、存储、裸金属等产品，计费项目包括vCPU、内存、存储容量等。算力支持后付费和预付费两种方式，具体计费模式有： 包年包月：预付费方式。 按需计费：后付费方式。 边缘网络支持后付费和预付费两种方式，具体计费模式有： 包年包月：预付费方式。 按需计费：后付费方式。 按月95峰值计费：后付费方式，适用于网络带宽计费，仅针对特定客户开放，详情请咨询客户经理。 根据您选择的边缘云实例规格和使用时长，选择适合您业务的计费方式。部分产品、计费模式，仅针对特定客户开放，如需了解更多信息，请联系客户经理。 计费项目 计费项 计费说明 边缘虚拟机 根据购买的实例类型及规格（vCPU、内存、GPU等）、计费方式、购买时长以及所购买的实例数量计费。 边缘存储（必选） 根据购买的存储类型（云硬盘、本地盘等）、规格（高IO、超高IO等）、计费方式、硬盘容量、实例数量计费。 边缘裸金属（可选） 根据购买的实例类型及规格、计费方式、购买时长以及所购买的实例数量计费。 边缘网络（可选） 如需访问互联网，请购买网络相关的产品：公网IP、共享带宽、NAT网关、负载均衡、IPv6网关等。根据产品类型及产生的带宽计费。 公网IP目前支持免费申请，只收取带宽费用。请及时挂载到具体业务上，系统将定时回收闲置的公网IP。 带宽支持按流量或带宽计费。

本节介绍同时使用WAF独享版、云防火墙防护业务时WAF侧的网络配置。 （必选）步骤一：添加WAF独享管理地址通信路由 注意 该步骤用于保障WAF节点升级及系统升级，如果不添加则可能会导致WAF无法正常使用。 自研池路由表优先级>EIP，因此需要确认WAF所在子网的路由表将WAF管理地址指向IPv4网关。 如果默认路由指向IPv4网关则无需执行此步骤。（默认可以加上没有其他影响。） 如果默认路由未指向IPv4网关则需要执行此步骤。 1. 进入虚拟私有云，查看VPC及子网信息。 2. 进入子网详情，查看绑定路由表信息。 3. 新建两条路由，将WAF管理内网地址指向IPv4网关。 4. 添加完成后，可以看到路由表有两条新增规则。 步骤二：给WAF实例新增网卡 该步骤用于代理防火墙与业务之间的网络，新增网卡需指定在防火墙内网接口所在子网。 1. 进入独享引擎详情，新增辅助网卡。 2. 选择所在子网，然后单击“确定”。 说明 根据客户业务状况进行选择，通常选择和防火墙内网接口地址的同一网段。 3. 添加完毕后可以看到辅助网卡，且没有任务下发中的提示，则表示WAF侧添加完成。 辅助网卡内的虚拟IP为实际WAF对外IP，即防火墙需要转发到该虚拟IP。

参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如弹性伸缩产品服务在某个区域的Endpoint为“scalingxxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据

section95451728192112 " ")。 例如，nvidia396.37版本驱动链接： 步骤 4 单击“安装”。 安装完成后，在当前集群的各GPU节点上会安装该插件实例。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击“gpubeta”下的“升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级“gpubeta”插件时，会替换原先节点上的旧版本的“gpubeta”插件，安装最新版本的“gpubeta”插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 参考安装插件中参数说明配置参数后，单击“升级”即可升级“gpubeta”插件。 步骤 4 重启节点（必须）。 在ECS控制台重启节点。登录官网，选择“控制台”，选择弹性云主机所在区域，选择“计算 > 弹性云主机ECS”，在弹性云主机列表中找到目标节点，并单击“操作”列下的“更多 > 重启”。 卸载插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”。在“插件实例”页签下，选择对应的集群，单击“gpubeta”下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。 说明： 卸载gpubeta插件不会卸载驱动。若重新安装了驱动，需重启所有GPU节点。

本节介绍了安装并配置CloudbaseInit工具的操作场景、前提条件、安装CloudbaseInit工具、配置CloudbaseInit工具。 操作场景 为了保证使用私有镜像创建的新云主机可以通过“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码），建议您在创建私有镜像前安装CloudbaseInit工具。 不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 使用公共镜像创建的云主机，默认已经安装CloudbaseInit，不需要执行安装及配置操作。 使用外部镜像文件创建的云主机，请按照指导安装及配置CloudbaseInit。 前提条件 已为云主机绑定弹性公网IP。 已登录到云主机。 云主机的网卡属性为DHCP方式。 已安装一键式重置密码插件。 因为安装CloudbaseInit工具的操作步骤中如果有重启云主机的操作，可能导致密码被修改为一个随机密码，所以需要安装一键式重置密码插件重置密码。操作步骤请参考安装一键式重置密码插件。 安装CloudbaseInit工具 1. 在Windows操作系统中，单击“开始”，选择“控制面板 > 程序 > 程序和功能”查看是否安装CloudbaseInit。 − 是，无需重复安装，直接执行下文“配置CloudbaseInit工具”。 − 否，执行以下安装操作步骤。 2. 操作系统是否为Windows桌面版。 − 是，执行3。 − 否，若操作系统为Windows Server版本，请执行4。 3. 如果操作系统是Windows桌面版，如Windows 7或者Windows 10，那么需要在安装CloudbaseInit前确保Adminstrator账号未禁用。以Windows 7为例，具体操作请以实际为准。 a. 在操作系统中单击“开始”，选择的“控制面板 > 系统和安全 > 管理工具”。 b. 双击“计算机管理”。 c. 选择“系统工具 > 本地用户和组 > 用户”。 d. 右键单击“Administrator”，选择“属性”。 e. 确认已取消勾选“账户已禁用”选项。 4. 下载CloudbaseInit工具安装包。 根据Windows操作系统的不同位数，您需要下载不同版本的CloudbaseInit工具安装包。Cloudbase官网： CloudbaseInit分为稳定版本和Beta版本两种。 稳定版本获取路径： − 64位： − 32位： Beta版本获取路径： − 64位： − 32位： 5. 双击打开CloudbaseInit工具安装包开始安装。 6. 单击“Next”。 7. 勾选“I accept the terms in the License Agreement”，单击“Next”。 8. 使用CloudbaseInit默认安装路径进行安装，单击“Next”。 9. 在“Configuration options”窗口中，设置用户名为“Administrator”，日志输出串口选择“COM1”，且不勾选“Run CloudbaseInit service as LocalSystem”。如下图所示。 说明： 图片中的版本号仅供参考，请以实际情况为准。 设置参数 10. 单击“Next”。 11. 单击“Install”。 12. 在“Files in Use”窗口保留默认勾选“Close the application and attempt to restart them”，单击“OK”。 13. 操作系统是否为Windows桌面版。 − 是，执行15。 − 否，执行14。 14. 在“Completed the CloudbaseInit Setup Wizard ”窗口，请勿勾选“Run Sysprep to create a generalized Image. This is necessary if you plan to duplicate this instance, for example by creating a Glance image”及“Shutdown when Sysprep terminate”。如下图所示。 完成安装 说明： 图片中的版本号仅供参考，请以实际情况为准。 15. 单击“Finish”。

本文介绍如何设置告警通知，包括攻击告警通知和流量超额预警通知。 设置告警通知后，CFW可将触发的告警信息通过您设置的接收通知方式（例如邮件或短信）发送给您，您可以及时监测防火墙状态，迅速获得异常情况。 CFW支持设置以下告警： 攻击告警：IPS检测到攻击时触发告警。 流量超额预警：当流量达到所采购流量处理能力规格的一定比例时触发告警。 EIP未防护告警：当前账号有未开启防护的EIP时触发告警。 异常外联告警：检测到外联风险IP或域名的可疑行为时触发告警。 前提条件 已开通消息通知服务。 攻击告警 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“系统管理 > 告警通知”，进入“告警通知”页面。 4. 在“攻击告警”所在行的“操作”列，单击“编辑” ，设置通知项参数，参数说明详见下表。 参数名称 参数说明 通知项说明 IPS攻击日志告警。 通知等级 选择触发通知的危险等级。 可选择“致命”、“高”、“中”、“低”，支持多选。 例如：选择“高”和“中”，那么当云防火墙检测到危险等级为高和中的入侵时，CFW将以短信或邮件的方式通知您及时处理。 通知时间 选择通知的时间段。 触发条件 设置触发条件。 说明 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时系统才会发送告警通知。 通知群组 单击下拉列表选择已创建的主题，用于配置接收告警通知的终端。 5. 单击“确认”，完成通知项设置。 6. 确认信息无误后，在“攻击告警”所在行的“生效状态”列，单击，开启攻击告警通知。

开启健康检查 操作场景 用户可以配置运行状况检查，这些检查可用来监控后端云主机的运行状况，以便负载均衡器只将请求发送到正常运行的后端云主机。而当该故障云主机恢复正常运行时，负载均衡会将其自动恢复到对外或对内的服务中。 注意 健康检查支持协议TCP、UDP、HTTP。TCP协议监听器只可选TCP，UDP协议监听器只可选UDP。 HTTP协议/HTTPS协议监听器可选HTTP或TCP。 只支持在添加监听器操作过程中开启健康检查。 弹性负载均衡使用100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6）来对后端云主机做健康检查，如果开启健康检查功能需要在安全组时需要放通此网段。 操作步骤 1. 登录弹性负载均衡控制台。 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1。 3. 打开监听器配置向导创建监听器，在监听器负载方式&健康检查页面开启“健康检查”选项，并点击“立即创建”，则完成监听器健康检查功能开启。

此小节介绍配置IP地址组和服务组访问策略的实践。 当防护对象成功接入云防火墙后，您可以配置IP地址组和服务组的访问控制策略，以验证配置的组规则是否生效，即验证配置访问控制策略的访问控制效果。本实践以配置IP地址组和服务组为例，说明如何批量配置IP地址和服务访问控制策略。 应用示例 例如，您的业务部署在企业，由于IP地址和服务有多个，针对多个IP地址和服务在同一个企业的业务场景，为了确保业务正常运行，您需要对用户的IP地址组和服务组统一配置访问控制策略，以放行或阻断访问请求，提升云防火墙防护效果。 前提条件 防护网站已成功接入云防火墙。 已开启“入侵防御”，且拦截模式为“拦截”。 配置访问控制策略 添加IP地址组请参见添加IP地址组。 添加服务组请参见添加服务组。 添加防护规则请参见添加防护规则。 查看防护效果 访问控制策略配置完成后，可以参考以下步骤查看防护效果。 1. 在左侧导航树中，选择“流量分析”，进入“流量分析”页面，可查看不同时间段互联网出入口流量、攻击趋势和TOP访问IP。 2. 选择“主动外联访问”页签，查看不同时间段主动外联的出入口流量，以及攻击趋势。 3. 在左侧导航树中，选择“日志审计”，进入“攻击事件日志”页面，可查看近一周的攻击事件详情。 4. 在左侧导航树中，选择“流量分析”，进入“流量分析”页面，可查看不同时间段互联网出入口流量、攻击趋势和TOP访问IP。 5. 选择“流量日志”页签，可查看近一周的流量字节数和报文数。

云监控服务支持灵活的创建告警规则。 告警规则简介 云监控服务支持灵活的创建告警规则。您既可以根据实际需要对某个特定的监控指标设置自定义告警规则，同时也支持使用告警模板为多个资源或者云服务批量创建告警规则。 在您使用告警模板创建告警规则之前，云监控服务已经根据各个云服务的应用属性以及云监控服务多年的开发、维护经验，为各个云服务量身定做了默认使用的告警模板，供您选择使用。同时云监控服务为用户提供了自定义创建告警模板的功能，用户可以选择在默认模板推荐的监控指标上进行修改，同样也支持自定义添加告警指标完成自定义告警模板的添加。 使用告警模板创建告警规则 云监控服务提供使用告警模板创建告警规则的功能，能够让用户在为资源或者云服务添加告警规则时轻松自如，特别是对于大批量资源或者云服务同时创建告警规则，或是在日常运维中对多个资源或者云服务修改告警规则，都能够提供极大的工作便利。 本章节主要为您讲述如何使用默认告警模板为云服务资源创建告警规则。 创建告警规则 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 选择“告警 > 告警规则”。 4. 单击“创建告警规则”。 5. 在“创建告警规则”界面，根据界面提示配置参数。 a. 选择监控对象，根据界面提示配置参数，如表11所示。然后单击“下一步”。 表11配置参数 参数 参数说明 :: 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 资源类型 配置告警规则监控的服务名称。 取值样例：弹性云主机 维度 用于指定告警规则对应指标的维度名称 取值样例：云主机 说明 当监控对象为弹性云主机和物理机时支持通过名称、ID和私有IP地址搜索，其他云服务仅支持通过ID搜索。 b. 选择“从模板导入”，参照表12完成参数配置。 表12配置参数 参数 参数说明 :: 选择类型 选择从模板导入或手工创建。 模板 选择需要导入的模板。 发送通知 配置是否发送邮件、短信通知用户。 当选择发送通知时，需要选择已有的主题或者新建主题。 通知对象 需要发送告警通知的对象，可选择“云账号联系人”或主题。 云账号联系人：注册账号时的手机和邮箱。 主题：消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 触发条件 可以选择出现告警、恢复正常。 告警规则添加完成后，当监控指标触发设定的阈值时，云监控服务会在第一时间通过您设置的通知方式实时告知您云上资源异常，以免因此造成业务损失。

本文为您介绍镜像服务的产品定义及产品类型。 镜像服务（CTIMS，Image Management Service）是弹性云主机可选择的运行环境模板，一般包括操作系统和预装软件。通过镜像用户可以在弹性云主机上实现应用场景的快速部署。 镜像类型 镜像分为公共镜像、私有镜像、共享镜像、安全产品镜像、应用镜像和云镜像市场。 公共镜像为系统默认提供的镜像。 私有镜像为用户自己创建的镜像。 共享镜像为其他用户共享的私有镜像。 安全产品镜像为预装了一些安全组件的镜像。 应用镜像为预装了一些常用应用与工具的镜像。 云镜像市场是由天翼云构建的标准化镜像服务平台，联合第三方镜像服务商（ISV）为用户提供预集成化的云主机镜像及配套服务。 详情如表所示： 镜像类型 说明 公共镜像 标准的操作系统镜像，所有用户均可以使用，包括操作系统以及预装的公共应用。 公共镜像的维护由天翼云提供，公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 官方公共镜像支持的操作系统类型包括：CentOS、Ubuntu、Windows、CTyunOS、KylinOS、Anolis、openEuler、Debian。当前大部分公共镜像免费，仅部分镜像收费，以控制台收费详情为准。 当前麒麟及统信镜像为不提供license的免费公共镜像，license需要用户自行购买。 私有镜像 私有镜像为用户自己基于实例或快照创建的镜像，或者从本地导入的镜像，包含已部署的应用或数据库等信息，仅用户自己可见。 私有镜像在标准上和安全性上不如公共镜像，用户需要自己把控自己使用的私有镜像，天翼云不保证用户私有镜像的安全性与可用性。 私有镜像包括系统盘镜像、数据盘镜像，其中： 系统盘镜像：包含用户运行业务所需的操作系统、应用软件的镜像，系统盘镜像可以用于创建弹性云主机，迁移用户业务到云； 数据盘镜像：只包含用户业务数据的镜像，数据盘镜像可以用于创建云硬盘，将用户的业务数据迁移到云上。 整机镜像：包含系统盘与数据盘，使用挂载有数据盘的云主机创建的整机镜像包含操作系统、应用软件，以及用户的业务数据。可用于快速发放相同配置的弹性云主机，实现数据搬迁。 共享镜像 其他用户共享出来的镜像，用户不用制作镜像就可以使用。 安全产品镜像 安全产品镜像为预装了一些安全组件的镜像，如DAS、EDR、网页防篡改等。 应用镜像 与基础的公共镜像相比，应用镜像预装了一些常见应用，可以实现快速部署特殊应用的目的。 云镜像市场 天翼云云镜像市场是由天翼云构建的标准化镜像服务平台，联合第三方镜像服务商（ISV）为用户提供预集成化的云主机镜像及配套服务。镜像市场中所有镜像均基于天翼云云主机操作系统深度定制，预封装了如DeepSeek大模型、数据库工具、运维管理面板等软件堆栈，实现云端应用的即开即用。用户可通过云镜像市场快速部署具备特定功能场景的云主机实例，大幅提升资源交付效率，让云主机即开即用、省时方便。

hm3弹性云主机的规格（停售） 规格名称 vCPU 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 云盘基础IOPS（万次） 云盘基础带宽 （Gbit/s） hm3.large.8 2 16 5/1.5 50 2 1.2 1 hm3.xlarge.8 4 32 8/2.5 90 4 2 1.6 hm3.2xlarge.8 8 64 15/3 150 8 3 2.4 hm3.4xlarge.8 16 128 20/4 280 16 4.5 4 hm3.8xlarge.8 32 256 30/8 550 32 6.4 6 hm3.16xlarge.8 64 512 35/16 700 32 12.8 14.4 hm1弹性云主机的规格 注意 “央企北京1”提供的云主机规格的网络指标（最大带宽、基准带宽、最大收发包能力）与本文内容不一致，请以对应创建页面所展示的数值为准。 规格名称 vCPU 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 hm1.large.8 2 16 3/0.8 30 1 hm1.xlarge.8 4 32 7/3 80 2 hm1.2xlarge.8 8 64 12/6 140 4 hm1.4xlarge.8 16 128 15/8 200 8 海光网络增强型 网络增强型云主机配套智能网卡，通过软硬结合的方式提高虚拟化性能，大幅提升实例的网络带宽能力和网络收发包能力。

图解：DeepSeek与公有云深度融合 从基础设施到智能中枢：DeepSeek如何重塑公有云服务价值链 高性能GPU云主机助力DeepSeek深度应用 天翼云SDWAN与DeepSeek超强联动，开启云上高效互联新时代 实践指南：DeepSeek驱动高效能云生态 GPU云主机/弹性云主机：零基础搭建DeepSeek云端环境指南 GPU物理机：物理机搭建DeepSeek指南 SDWAN跨境：SDWAN助力DeepSeek模型定向加速 智算容器：云容器引擎与DeepSeek融合实践 函数计算：天翼云函数计算与DeepSeek大模型 Q&A：典型问题解析与策略应对 常见问题解答

图解：DeepSeek与公有云深度融合 从基础设施到智能中枢：DeepSeek如何重塑公有云服务价值链 高性能GPU云主机助力DeepSeek深度应用 天翼云SDWAN与DeepSeek超强联动，开启云上高效互联新时代 实践指南：DeepSeek驱动高效能云生态 GPU云主机/弹性云主机：零基础搭建DeepSeek云端环境指南 GPU物理机：物理机搭建DeepSeek指南 SDWAN跨境：SDWAN助力DeepSeek模型定向加速 智算容器：云容器引擎与DeepSeek融合实践 函数计算：天翼云函数计算与DeepSeek大模型 Q&A：典型问题解析与策略应对 常见问题解答

本章节介绍如何使用云主机备份产品完成ECS的整机备份恢复。 场景描述 如果您的业务数据同时保存在数据盘和系统盘中，当ECS整机发生系统故障或者错误操作时，您可以通过云主机备份的备份和恢复功能，实现业务应用版本回退。本文详细介绍整机恢复场景的相关内容。 方案优势 当发生病毒入侵、人为误删除、软硬件故障等事件，支持将数据恢复到任意备份点，使系统正常运行。 备份的同一个ECS主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题。 前提条件 在进行本文操作之前，您需要完成以下准备工作： 请确保弹性云主机在备份前已完成如下操作： Linux弹性云主机优化并安装Cloudinit工具 Windows弹性云主机优化并安装Cloudbaseinit工具 创建镜像前备份的状态必须为“可用”，或者状态为“创建中”并在备份状态列显示“可用于创建镜像”时，才允许执行创建镜像操作。 用于数据恢复的备份必须包含系统盘的备份。 操作步骤 步骤1：创建云主机备份 1、假设云主机A的数据盘中存放了数据：datadisk.txt，系统盘中存放了数据：systemdisk.txt，如下图所示 2、参照云主机备份操作指导章节，完成云主机备份的创建。 3、执行备份成功后，在“备份副本”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。 步骤2：删除/新增数据，模拟灾难场景 1、登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。 2、删除系统盘和数据盘中准备的数据，新增文件和数据如下图所示： 步骤3：整机恢复 1、登录天翼云管理控制台。选择“存储 > 云主机备份”。进入云主机备份页面。 2、在“备份”页签下，选中创建成功的备份，单击操作列“恢复数据”，进入恢复服务器的向导页面，按需选择对应选项，点击确定。 3、在云主机备份控制台的“备份”页签下，查看任务状态，状态成功后即恢复完成。 步骤4：数据验证 1.登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。查看对应数据，如下图所示，已恢复至对应时间点数据状态：

策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √

本节介绍了如何配置访问控制、频率控制防护策略。 使用场景 如果您需要针对性地管理具有固定特征的访问请求，您可以配置访问控制规则对命中条件的请求设置拦截、告警、加白、丢弃动作，保证客户网站不受未知访问。 访问控制匹配条件可针对IP，IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议等字段进行组合。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要配置的域名，在操作栏点击【防护配置】按钮，进入【访问控制】页面。 新增规则 在访问控制列表右侧，单击【新增】按钮，在弹框中完成规则配置后，点击新增。 针对满足匹配条件的请求报文，执行对应的处理动作。 配置项 说明 处理动作 支持拦截、告警、加白、丢弃。 告警：对命中该规则的请求仅告警不阻断，记录攻击日志。 加白：对命中该规则的请求放行，不记录攻击日志。 拦截：对命中该规则的请求进行拦截，并返回响应页面。 丢弃：对命中该规则的请求拦截但不会响应页面，减少带宽。 规则名称 自定义规则名称。 匹配条件 支持配置多条，同一规则下多条匹配条件同时满足进行处理。 匹配字段： IPPORT：客户端IP端口 PATH：目录路径，比如：/qr/;/app/verifyCode/ IP：客户端IP，比如：192.168.1.1;192.168.1.2 IPS：客户端ip段,比如：192.168.1.0/24;192.168.2.0/24 IPR：客户端ip范围，比如：192.168.1.1192.168.1.10;192.168.1.12192.168.1.20 URI：URI不包括问号后参数，比如：/login.php REQUESTURI：URI包括问号后参数，比如：login.php?id1 METHOD：请求方式，比如：GET;POST ARGS：问号后参数名 GEO：地理位置 HEADER：请求头部 PROTOCOL：请求协议，比如：HTTP/1.0;HTTP/2.0 调整优先级 在规则列表中的优先级一列，可通过箭头符号对规则优先级顺序进行调整。 说明 1. 越往前的优先级越高，优先匹配规则处理。最新增加的规则放在最末，优先级最低。 2. 访问控制中加白策略的优先级默认高于其他策略。 查看规则 在规则列表操作栏，点击【查看】按钮，可查看规则的详细配置。 编辑规则 在规则列表操作栏，点击【编辑】按钮，可修改规则配置。 删除规则 在规则列表操作栏，点击【删除】按钮，可删除规则。 注意 新增规则、调整规则优先级、编辑规则、删除规则后需要点击【提交部署】，否则变更将无法下发。

本节介绍如何配置AntiDDoS流量清洗日志到云日志服务。 启用AntiDDoS防护功能后，您可以将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的AntiDDoS日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 前提条件 已开通云日志服务。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“日志”页签，开启日志，并选择日志组和日志流。 日志参数说明： 参数 说明 选择日志组 选择已创建的日志组，或者单击“查看日志组”，跳转到LTS管理控制台创建新的日志组。 记录攻击日志 选择已创建的日志流，或者单击“查看日志流”，跳转到LTS管理控制台创建新的日志流。 攻击日志记录每一个攻击告警信息，包括攻击类型、防护的IP等信息。 5. 单击“确定”，日志配置成功。 您可以在云日志服务管理控制台查看AntiDDoS的防护日志。 日志字段说明 全量日志字段说明 字段 说明 logType 日志类型。默认为“ipattacksum”，攻击日志。 deviceType 上报日志的设备类型。默认为“CLEAN”，清洗设备。 inKbps 入流量（单位：kbps）。 maxPps 入流量峰值（单位：pps）。 dropPps 丢弃的流量均值（单位：pps）。 maxAttackInBps 攻击流量峰值时刻的入流量值（单位：bps）。 currentConn 当前连接数。 zoneIP 防护的IP。 logTime 日志产生的时间。 attackType 攻击类型。数值对应的攻击类型请参见攻击类型说明。 inPps 入流量（单位：pps）。 maxKbps 入流量峰值（单位：kbps）。 dropKbps 丢弃的流量均值（单位：kbps）。 startTime 攻击开始时间。 endTime 攻击结束时间，为空时则表示攻击还未结束。 maxAttackInConn 攻击流量峰值时刻的连接数。 newConn 新建连接数。

背景信息 使用公共镜像创建的云主机实例，默认预装了云助手Agent。 2024年6月30日以后使用公共镜像创建的物理机服务器已默认预装云助手Agent。如果您的实例是2024年6月30日之前购买的或使用自行上传的自定义镜像创建的物理机实例，若需要使用云助手相关功能，请参考本文自行安装云助手Agent。 操作场景 本文为您介绍如何在弹性云主机、物理机服务器实例上安装云助手客户端。 如何查看云助手客户端状态？ Linux云主机： 查看是否安装了QGA：执行 ps ef grep qemuga 查看进程是否存在，或者 systemctl status qemuguestagent 服务为 active 。 Windows云主机： 查看是否安装了QGA：打开任务管理器，选择服务，查看 QEMU Guest Agent服务是否正在运行。 Linux物理机： 查看是否安装了caagent：执行 ps ef grep caagent 查看进程是否存在，或者 systemctl status caagent 服务为 active 。 在弹性云主机实例上安装云助手Agent Linux云主机安装QGA，详情请参见： 安装QEMUGuestAgent 。 Windows云主机安装QGA，详情请参见： 安装QEMUGuestAgent 。 在物理机器实例上安装云助手Agent 目前仅支持Linux系统的物理机服务器安装云助手Agent，并提供相应的安装脚本供用户安装使用。 Linux系统的物理机实例安装云助手Agent 1. 以管理员身份登录Linux物理机服务器。 2. 下载云助手Agent安装包：caagentinstall.tar.gz 。 curl o caagentinstall.tar.gz 3. 解压缩安装包，该压缩包内包含安装脚本 installlinux.sh、最新版云助手caagent以及云助手服务相关配置文件 。 tar zxvf caagentinstall.tar.gz cd caagentinstall;bash x installlinux.sh 4. 执行命令，查看caagent服务状态为active 。 systemctl status caagent.service

不同帐号下的弹性云主机内网是不通的。 不同的账号和内网地址之间存在隔离机制，这种隔离机制可以保护用户的数据安全和隐私，避免不同用户之间的数据泄露或恶意攻击。同时也可以避免不同用户之间的网络冲突和干扰，确保每个用户的应用程序和数据在网络传输过程中的安全性和稳定性。

效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机控制台，进入目标实例的监控指标页，各项指标无上报数据，出现断点。 2、业务应用验证： 任何需要读写目标磁盘的功能（如写入日志、读取配置文件、访问数据库文件等）都会被阻塞，导致相关请求长时间无响应或最终超时。