本章节向您介绍如何管理虚拟私有云标签。 操作场景 标签用于标识云资源，您可以通过标签实现对虚拟私有云资源的分类和搜索。您可以参考以下操作管理虚拟私有云标签： 添加虚拟私有云标签 修改虚拟私有云标签 删除虚拟私有云标签 如您的组织已经设定虚拟私有云的相关标签策略，则需按照标签策略规则为虚拟私有云添加标签。标签如果不符合标签策略的规则，则可能会导致虚拟私有云创建失败，请联系组织管理员了解标签策略详情。 下表是虚拟私有云标签命名规则。 参数 规则 样例 键 对于云资源，每个“标签值”都必须是唯一的，每个“标签键”只能有一个“标签值”。 不能为空。 最大长度不超过128个字符。 由任意语种字母、数字、空格、“”、“:”、“”、“+”、“”、“@”组成。 首尾不能含有空格、不能以sys开头。 vpckey1 值 可以为空。 最大长度不超过255个字符。 由任意语种字母、数字、空格、“” 、“.”、“:”、“/”、“”、“+” 、“”、“@”组成。 首尾不能含有空格。 vpc01 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在虚拟私有云列表中，单击目标虚拟私有云名称超链接，进入虚拟私有云详情页面。 5. 选择“标签”页签，在标签列表左上方，单击“编辑标签”，进入“编辑标签”页面。 6. 根据需要，参考以下步骤对标签执行对应的操作。 添加标签：单击“增加”按钮，在文本框中输入标签键和标签值对应的取值，并单击“确定”。 修改标签：单击目标标签键或者标签值后方的“删除”按钮，删掉原有取值，输入新的取值，并单击“确定”。 删除标签：单击目标标签后方的“删除”，并单击“确定”。

本节介绍了GPU云主机登录类相关问题。 支持Cloudinit特性的GPU云主机登录失败怎么办？ 使用Cloudinit 特性的GPU云主机时，如果登录失败，可以从以下几个原因进行排查： 1. 判断登录GPU云主机时使用的密钥对是否正确。 2. GPU云主机需绑定弹性IP。 如果以上操作均正常，但仍无法启动或连接GPU云主机，请提交工单联系客服进行处理。 如何处理VNC方式登录GPU云主机后，查看数据失败，VNC无法正常使用的问题？ 当您通过VNC方式登录GPU云主机后，出现查看数据出现乱码、错误码时，主要原因有如下几点，您可依次对照排查： 查看大文件长时间未读取完成； 游戏像素过高、播放视频清晰度过高； 浏览器缺陷，占用内存大。 如存在以上场景，则您需要重新登录GPU云主机或者更换浏览器。更换浏览器请从如下版本中进行选择：远程登录弹性云主机时，对浏览器版本的要求？ 通过控制台登录GPU云主机时提示1006或1000怎么办？ 出现以上的现象，有可能是由于以下原因造成： 连接期间长时间未操作，链接已断开； GPU云主机非正常可用状态； 存在其他子用户登录VNC。 当出现该现状时，您可首先通过重新连接VNC远程登录界面进行排查，操作步骤如下： 1. 退出当前VNC登录界面。 2. 选中GPU云主机，选择远程登录，重新登录主机。若登录失败，则请用户检查当前GPU云主机运行状态，是否处于“运行中”，若此时云主机状态异常，请联系人工客服解决问题。 3. 确认是否有其他子用户正在使用该台GPU云主机的VNC界面。

密钥对 密钥对，也称为SSH密钥对，是一种用于远程登录云主机的身份验证方式，与传统的用户名和密码登录方式有所区别。 密钥对由公钥和私钥组成，公钥保存在系统中，私钥由用户保存在本地。如果用户将公钥配置在Linux云主机中，便可以使用私钥登录Linux云主机，无需输入密码。通过使用密钥对登录Linux云主机，可以防止密码被拦截或破解导致账户密码泄露，从而提高Linux云主机的安全性。 您可以通过创建、导入、绑定、查看、重置、替换、解绑、删除密钥对等操作管理密钥对。 使用场景 建议用户在购买弹性云主机时选择使用密钥对进行身份认证。 通过将公钥与云主机关联，实现SSH认证，确保只有持有对应私钥的用户能够访问主机。这提高了远程访问的安全性，防止未经授权的访问。 如果用户购买的是Linux操作系统的弹性云主机，可以直接使用密钥对进行远程登录到云主机，无需输入密码。 创建弹性云主机时，选择Linux镜像，选择密钥对登录方式，详细操作，请参见新手入门：购买并登录Linux弹性云主机的“高级配置“。 创建弹性云主机完成后，通过“为云主机绑定/更换密钥对”的方式为云主机绑定密钥对。 创建密钥对操作指引 您可以使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 新建密钥对 如果没有可用的密钥对，需要新建一个密钥对，在登录弹性云主机时提供私钥进行鉴权实现远程登录身份验证。可用以下方法创建密钥对： 在控制台创建密钥对：公钥自动保存在系统中，私钥由用户保存在本地。 注意 为保证云主机安全，私钥只能下载一次，私钥丢失后将无法登录云主机，请您妥善保管。 新建密钥对后可以通过查看SSH密钥对列表页，点击列表右上角的刷新按钮，可以查看SSH密钥对的创建情况。 使用已有密钥对 如果您希望使用本地已有的密钥对，可以在管理控制台导入密钥对公钥，由系统维护您的公钥文件。具体操作请参见导入密钥对。

本小节介绍云下一代防火墙自研池单VPC修改主机网关最佳实践。 场景描述 天翼云自研池环境中，用户业务主机与云墙属于同VPC，业务主机进出公网的流量均需要经过云墙，使业务能够正常对外映射。 场景需求 ： 1. A业务经过云墙对外映射9999相关服务完成业务发布。 2. 内网B业务主机通过防火墙访问互联网。 3. C主机业务不过云墙，直接访问互联网。 4. 内网主机之间能够正常互相访问。 方案拓扑 当前解决方法 云主机及云墙相关网络规划： 云墙和业务云主机均在同一个VPC的相同子网下。 过墙业务主机和不过墙业务主机，可以在相同子网中，也可以在不同子网中。 防火墙创建两张网卡，一张网卡作为内网口（其绑定的EIP可做Web管理）；其他网卡为外网口（本方案仅画出一个外网口），由云墙进行业务转发使用。 流量需要经过云墙的业务云主机，将网关手动改为云墙内网口IP地址192.168.0.10。 平台侧操作步骤 平台侧网络规划： 业务云主机和云墙在VPC：192.168.0.0/16中： 业务云主机涉及子网192.168.0.0/24。 云墙涉及子网192.168.0.0/24以及192.168.10.0/24。 云墙按照内网口及外网口规划新建对应子网下的网卡配置： 192.168.0.10/24：云墙内网IP 192.168.10.20/24：云墙外网IP 业务云主机修改网关： Windows： Linux： 1. 编辑网卡。 vi /etc/sysconfig/networkscripts/ifcfgeth0 2. 修改为静态IP，网关指向防火墙。 IPADDR192.168.0.101 GATEWAY192.168.0.10 NETMASK255.255.255.0 DNS1114.114.114.114 3. 重启网卡生效。 service network restart

本节介绍了弹性云主机按需计费转为包周期计费的相关内容。 按需计费：按需计费是后付费模式，按弹性云主机的实际使用时长计费，可以随时开通/删除弹性云主机。 包周期：包周期是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。 如果您需要长期使用当前弹性云主机，可以将按需购买的云主机转为包周期计费模式，节省开支。按需转包周期的具体操作，请参见本节内容。 前提条件 弹性云主机的计费模式是“按需计费”。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角，选择区域和项目。 3、选择“计算 > 弹性云主机”。 4、在弹性云主机列表页，选中目标云主机。 5、单击“操作”列下的“更多 > 转包周期”。 6、根据界面提示，确认转包周期的弹性云主机信息后，选择弹性云主机的购买时长，并支付订单。

本文为您介绍如何查看云搜索Logstash实例运行日志。 天翼云云搜索服务Logstash支持使用云日志服务存储和查看实例日志。 约束限制 支持查看7天内的日志。 1. 云日志服务已商用，开启需要有100元余额，开启后会依据云日志收费标准进行收费。 2. 如果您自行在云日志控制台关闭了实例日志单元或日志项目，将会无法查询到相关日志，请谨慎操作。 3. Logstash云日志功能仅订购了云搜索1.3.0及以上版本适用。 操作步骤 1. 登录云搜索控制台，选择需要开启日志服务的Logstash实例，进入实例详情页，选择“监控中心”>“实例日志”。 2. 单击开启日志功能，通过授权认证后开通成功后，点击链接进入到云日志控制台进行日志查看。 3. 云日志中采集的为Logstash运行日志（logstashplain.log）。 如果您不再需要日志采集，可以在控制台关闭日志功能开关，并选择是否要保留已产生的日志，如保留，历史日志可前往云日志控制台查看。

使用ISO镜像创建Linux云主机 操作场景 该任务指导用户使用已注册成功的ISO镜像创建弹性云主机。 约束与限制 暂不支持专属云用户通过ISO镜像创建弹性云主机。 操作步骤 1、登录控制台。 a.登录控制台。 b.选择“镜像服务”。 进入镜像服务页面。 2、创建弹性云主机。 a.单击“私有镜像”页签，在ISO镜像所在行的“操作”列下，单击“申请主机”，创建云主机。 由于此云主机仅作为临时云主机使用，最终需要删除。因此，系统会默认创建一个固定规格且“按需付费”的云主机，使用该云主机创建的私有镜像再次创建云主机时不会限制规格和付费方式。 说明： 对于专属云用户，不支持使用ISO镜像创建临时云主机操作，此时“申请主机”按钮灰化。 b.根据界面提示完成云主机的配置，并单击“确定”。 后续操作 弹性云主机创建成功后，使用平台提供的“远程登录”方式，登录弹性云主机，继续执行后续的安装操作系统和相关驱动操作。 安装Linux操作系统 操作场景 该任务以“CentOS 7 64位”操作系统为例，指导用户安装Linux操作系统。 由于镜像文件不同，安装步骤稍有不同，请根据实际的安装界面提示进行操作。 说明： 请根据实际情况完成时区，KMS地址，补丁服务器和Repo源更新地址，输入法，语言等相关配置。 前提条件 已使用平台提供的“远程登录”方式（即VNC登录），连接云主机并进入安装界面。

对性能的影响 创建快照时，云硬盘的I/O性能会有所降低，读写性能会出现短暂瞬间变慢，因此创建快照请避开业务高峰期。 前提条件 只有“可用”或“正在使用”状态的云硬盘才能创建快照。 在云硬盘页面创建标准快照 1. 登录管理控制台。 2. 单击页面左上角“”，选择“存储 > 云硬盘”。进入云硬盘页面。 3. 在云硬盘列表页面，选择待创建快照的云硬盘所在操作列下的“创建快照”。根据界面提示，配置快照基本信息，如下表所示。 4. 参数 参数说明 取值样例 区域 创建的快照所属的区域。 快照所在区域必须和原云硬盘保持一致。 磁盘名称/ID 用来创建快照的原云硬盘名称和ID。您可以在云硬盘列表页获取云硬盘的名称和ID。 快照名称 只能由中文字符、英文字母、数字、点、下划线、中划线组成。 最大支持64个字符。 snapshot01Createdfromevstest 快照描述 可选参数。 最大支持255个字符。 快照类型 快照所属的类型。目前支持的快照类型只有标准快照。 标准快照的创建时间取决于容量大小，首次创建耗时较久。 标准快照 快照极速可用 启用快照极速可用功能后，支持使用创建中的快照立即回滚数据至原云硬盘或使用该快照创建新的云硬盘，且恢复数据/创建云硬盘的速度较快。更多信息请参见6.2.4 开启/关闭云硬盘快照极速可用功能。 高级配置>标签 可选参数。 您可以在创建标准快照时为快照绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 标签由标签“键”和标签“值”组成。 键：标签的键可以包含任意语种字母、数字、空格和 . : + @，但首尾不能含有空格，不能以sys开头。最大长度不超过128个字符 值：标签的值可以包含任意语种字母、数字、空格和 . : / + @。最大长度不超过255个字符。 企业项目 创建快照时，可以为快照添加已有的企业项目或创建新的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 5. 单击“立即创建”。 6. 确认快照相关信息，并勾选需要知晓的信息。单击页面右下角的“提交”。 7. 返回“快照”主页面，在快照列表中可以查看快照的创建进度。当快照状态为“可用”时，表示创建成功。

本文主要介绍网络管理类问题。 一、集群安全组规则配置 CCE作为通用的容器平台，安全组规则的设置适用于通用场景。集群在创建时将会自动为Master节点和Node节点分别创建一个安全组，其中Master节点的安全组名称是： {集群名}ccecontrol{随机ID} ；Node节点的安全组名称是： {集群名}ccenode{随机ID} 。使用CCE Turbo集群时会额外创建一个ENI的安全组，名为 {集群名}cceeni{随机ID} 。 用户可根据安全需求，登录CCE控制台，单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”，找到CCE集群对应的安全组规则进行修改和加固。 如集群在创建时需要指定节点安全组，请参考集群自动创建的Node节点安全组规则放通指定端口，以保证集群中的正常网络通信。 注意 安全组规则的 修改和删除可能会影响集群的正常运行 ，请谨慎操作。如需修改安全组规则，请尽量避免对CCE运行依赖的端口规则进行修改。 Node节点安全组规则 入方向 集群自动创建Node节点的安全组名称为 {集群名}ccenode{随机ID} ，默认入方向规则如下图所示， 源地址属于本安全组的需全部放通 ，其余端口说明见下表。 VPC网络模型Node节点默认安全组 VPC网络模型Node节点安全组默认端口说明 端口 默认源地址 说明 是否可修改 修改建议 UDP：全部TCP：全部 VPC网段 Node节点之间互访、Node节点与Master节点互访。 不建议修改 不涉及 ICMP：全部 Master节点网段 Master节点访问Node节点。 不建议修改 不涉及 TCP：3000032767UDP：3000032767 所有IP地址 集群NodePort服务默认访问端口范围。 可修改 端口需对VPC网段、容器网段和ELB的网段放通。 全部 容器网段 节点与容器互访。 不建议修改 不涉及 全部 Node节点网段 Node节点之间互访。 不建议修改 不涉及 TCP：22 所有IP地址 允许SSH远程连接Linux弹性云服务器。 建议修改 不涉及 容器隧道网络模型Node节点默认安全组 容器隧道网络模型Node节点安全组默认端口说明 端口 默认源地址 说明 是否可修改 修改建议 UDP：4789 所有IP地址 容器间网络互访。 不建议修改 不涉及 TCP：10250 master节点网段 master的主动访问node的kubelet（如执行kubectl exec {pod}）。 不建议修改 不涉及 TCP：3000032767UDP：3000032767 所有IP地址 集群NodePort服务默认访问端口范围。 可修改 端口需对VPC网段、容器网段和ELB的网段放通。 TCP：22 所有IP地址 允许SSH远程连接Linux弹性云服务器。 建议修改 不涉及 全部 本安全组和VPC网段 源地址属于本安全组和VPC网段的需全部放通。 不建议修改 不涉及 出方向 对于 出方向规则 ，CCE创建的安全组默认全部放通，通常情况下不建议修改。如需加固出方向规则，请注意如下端口需要放通。 Node节点安全组出方向规则最小范围 端口 放通地址段 说明 UDP：53 子网的dns服务器 用于域名解析。 UDP：4789（仅容器隧道网络模型的集群需要） 所有IP地址 容器间网络互访。 TCP：5443 Master节点网段 master的kubeapiserver的监听端口。 TCP：5444 VPC网段、容器网段 kubeapiserver服务端口，提供k8s资源的生命周期管理。 TCP：6443 Master节点网段 TCP：8445 VPC网段 Node节点存储插件访问Master节点。 TCP：9443 VPC网段 Node节点网络插件访问Master节点。

本节介绍云专线绑跨域互联产品简介。 功能介绍 云专线绑定跨域互联主要为云专线用户提供与跨资源池VPC互访能力。 使用限制 云专线配置客户侧网段如果为全0网段，云专线绑定跨域互联远端VPC后，远端VPC的所有流量都会引流到客户本地（包括上网流量），导致远端VPC内的云服务（如 AI云电脑）无法经云内带宽上网，此时需要客户本地放通远端VPC子网网段经客户本地上网。 云专线绑跨域互联场景说明 如上图，客户可利资源池A的云专线与跨域互联远端资源池B的VPC绑定，实现客户本地与资源池B的VPC的双向互通。

管理业务子网 1.进入“AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“虚拟私有云”，进入虚拟私有云管理页面； 3.在对应的虚拟私有云所在行，点击“虚拟私有云名称”，进入虚拟私有云（VPC）详情； 4.在虚拟私有云（VPC）详情页面，可以点击“创建子网”，进入创建子网弹窗； 5.确认配置信息后，点击“确定”，即完成虚拟私有云（VPC）的子网创建。 在虚拟私有云（VPC）详情还可以对子网进行删除、编辑等操作。

本节包括虚拟私有云、弹性网卡类型、约束与限制、相关链接。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 虚拟私有云更多信息，请参见《虚拟私有云用户指南》。 弹性网卡类型 主弹性网卡：在创建云主机实例时，随实例默认创建的弹性网卡称作主弹性网卡。主弹性网卡无法与实例进行解绑。 扩展弹性网卡：您可以创建扩展弹性网卡，将其附加到云主机实例上，您也可以将其从实例上进行解绑。每台实例可附加的扩展弹性网卡数量由实例规格决定。 约束与限制 云主机实例与扩展弹性网卡必须在同一VPC，可以分属于不同安全组。 说明 此限制仅针对管理控制台，通过API创建弹性网卡可以指定与云主机实例不同的VPC。 主弹性网卡不能解绑服务器。 云主机可附加的扩展弹性网卡数量由云主机实例规格决定。具体请参见实例规格（X86）规格清单、实例规格（鲲鹏）规格清单（鲲鹏）。 弹性网卡不支持直接访问天翼云内公共云服务，如内网DNS等，推荐使用VPCEP访问天翼云公共云服务。

通过弹性云主机控制台查看GPU监控项 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页点击某一GPU云主机的主机名称进入主机详情页。 5. 点击“监控”tab，选择“GPU使用率”或"显存使用率"即可查看该台GPU云主机下全部显卡的这两个GPU监控项。 通过云监控控制台查看GPU监控项 目前有两种方式可以进入云监控控制台查看GPU监控项，具体如下： 方式一 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页点击某一GPU云主机的主机名称进入主机详情页。 5. 点击“监控”tab，点击"查看更多监控指标详情"跳转至云主机监控控制台。 6. 点击“操作系统监控>GPU”,查看全量的GPU监控项。若该台GPU云主机挂载了多块显卡，则可在下拉框中选择对应的GPU查看该GPU的GPU使用率、GPU显存使用量、GPU显存使用率、GPU温度、GPU功耗。 方式二 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“管理与部署> 云监控”。 4. 单击"主机监控>云主机监控"，进入云主机监控列表页。 5. 选中所要查看的GPU云主机，点击“操作>查看监控图标”，进入云主机监控详情页。 6. 点击“监控”tab，点击"查看更多监控指标详情"跳转至云主机监控控制台。 7. 若该台GPU云主机挂载了多块显卡，则可在下拉框中选择对应的GPU查看该GPU的GPU使用率、GPU显存使用量、GPU显存使用率、GPU温度、GPU功耗。 注意 1. 如未安装驱动则GPU监控项将为空，请您安装驱动。 2. 目前图形加速基础型GPU云主机的GPU温度、GPU功率为空，无法提供监控告警。

本章节对比了不同维度下云主机备份和云硬盘备份的差异。 对比维度 云主机备份 云硬盘备份 ::: 备份/恢复对象 云主机中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个云主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本

本章节对比了不同维度下云主机备份和云硬盘备份的差异。 对比维度 云主机备份 云硬盘备份 ::: 备份/恢复对象 云主机中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个云主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本

防火墙网络及策略配置完毕后，需要进行网络割接，把防火墙嵌入南北向流量，才能实现安全检测防御。割接工作主要包括弹性IP迁移，割接过程网络会中断。本小节介绍安全专区云防火墙网络割接方法。 网络割接 云防火墙通过私有IP地址（或虚拟IP地址）与业务的弹性公网IP绑定，并通过服务器映射接入业务网络链路。 弹性IP迁移 1.如果弹性IP已经绑定在业务主机，进入【天翼云控制中心】→【弹性云主机】，点击绑定弹性IP的业务云主机，进入【弹性IP】→【绑定弹性IP】，把弹性IP从业务云主机解绑。 2.点击云防火墙云主机（AQZQAF），进入【弹性IP】→【绑定弹性IP】，将弹性IP重新绑定到防火墙云主机的NIC1主网卡上。（表示主机名称） 3.如有多个弹性IP地址，请通过云防火墙的虚拟IP地址绑定，点击（AQZQAF）的云主机，进入【网卡】→【管理虚拟IP地址】→【绑定弹性IP】。 配置VPC路由 进入【控制中心】→【虚拟私有云】→【路由表】→【添加路由信息】。 目的地址：0.0.0.0/0； 下一跳地址：填写云防火墙eth0的IP地址。 网络测试 从业务服务器Ping互联网IP，测试是否可以Ping通，确认防火墙割接完成。

Windows云主机内无法通过WinSCP连接linux云主机,通过xshell可以访问linux云主机。 前提条件 Windows云主机内已下载并安装 WinSCP 客户端（建议从官方网站获取最新版本），默认使用的端口号是22，请确保双方云主机的22端口开放，连接Linux云主机的文件协议选SFTP或SCP。 故障描述 通过Windows云主机内的WinSCP连接Linux云主机失败，报错如图1。 图1 通过winscp连接linux云主机报异常 故障排查 WinSCP是通过SFTP协议进行的主机连接，所以需要判断Linux云主机内的SSH配置文件中是否有sftp相关的配置，查看 /etc/ssh/sshdconfig中关于sftp的配置描述。 图2 检查linux云主机sshd是否开启sftp相关配置 上图2说明SFTP关联的配置文件是/usr/libexec/openssh/sftpserver，如果此文件缺失或者权限不对将会导致WinSCP连接异常，此文件默认权限是755。 解决步骤 如果是sftpserver文件缺失，可以从其他云主机拷贝一份到故障云主机的对应目录下。 如果是权限问题，通过chmod命令修改文件权限。命令如下。 chmod 755 R /usr/libexec/openssh/sftpserver

性能规格 云硬盘性能的指标有很多种，例如IOPS，吞吐量，读写时延： IOPS：云硬盘每秒进行读写的操作次数，可以细分到单盘最大IOPS，基线IOPS，IOPS突发上限等等。 吞吐量：云硬盘每秒成功传送的数据量，即读取和写入的数据量，一般会衡量云硬盘最大吞吐量，每GB云硬盘的吞吐量。 读写时延：云硬盘处理一个读写IO需要的时间。 各类型云硬盘的性能比较详见：云硬盘性能介绍。 使用场景 根据业务需求，云硬盘类型的存储常见以下使用场景： 使用云盘动态存储卷：即用户无需预先创建云硬盘和PV，只需创建PVC时指定存储类（StorageClass），存储插件cstorcsi就会自动创建云盘实例及对应PV资源，推荐使用。 使用云盘静态存储卷：即用户预先创建云盘实例，并创建对应的PV资源。之后在创建PVC时选择已有PV进行挂载。适用于已有可用的底层存储或底层存储需要包周期的场景。 有状态负载挂载云盘：支持有状态负载通过PVC模版的方式，实现为每一个Pod关联一个独有的PVC及PV，当Pod被重新调度后，仍然能够根据该PVC名称挂载原有的数据。 计费说明 关于云硬盘的计费详情，请参见：云硬盘计费说明。 说明 通过存储插件动态创建的云盘实例，默认计费模式为按需订购，不支持包年包月。

本文为您介绍加载云专线(CDA)网络实例的操作流程。 限制说明 当云企业路由器和云专线（CDA）实例属于同一主账号时，必须确保二者处于同一企业项目下。 当前云企业路由器所属的云间高速获得CDA得跨账号授权。 CDA专线网关没有绑定任何VPC网络。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理”页签，找到目标云企业路由器，单击目标云企业路由器名称，进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“加载本地网络实例”，进入加载本地网络实例页面。 6. 在加载本地网络实例页面，根据页面提示，填写参数，单击“确定”，完成网络实例加载。 参数 说明 云间高速 请选择已经创建的云间高速实例。 云企业路由器（区域） 请选择已经创建的云企业路由器实例。 资源归属 请选择资源归属类型“本账号”/“跨账号”。 关联路由表 请选择关联的路由表。 实例类型 请选择类型：【云专线】。 网络实例 请选择已经创建的【云专线】实例。 权重 （可选）配置链路路由权重，可输入类范围（0~255）。 链路冗余 （可选）是否启用冗余模式，若启用，需指定目标冗余组进行加入。同一冗余组内的网络实例默认隔离路由传播。 高级配置（自动路由学习） 自动传播网络实例系统路由至云企业路由器路由表（默认开启）。 高级配置（自动路由同步） 自动同步本侧云企业路由器关联路由表中的路由 （默认开启）。

本章节介绍备份相关的操作指导。 查看备份详情 在备份任务下发或完成后，可以通过各种筛选条件在备份列表查看备份详情。 1. 登录天翼云控制中心。 2. 在产品列表中选择“存储 >云硬盘备份”。 3. 点击左侧“ ”查看云硬盘备份详情。 使用备份恢复云硬盘 当云主机中的云硬盘发生故障，或者由于人为误操作导致云主机数据丢失时，可以使用已经创建成功的备份恢复数据。 在恢复数据前，需要先停止服务器，并解除服务器和云硬盘的挂载关系后再做恢复操作。恢复后，再挂载云硬盘并启动服务器。 说明 云硬盘备份的数据盘的数据，不能恢复到系统盘中。 硬盘处于已挂载或未挂载时可进行云硬盘备份。 前提条件： 需要恢复的云硬盘运行状态正常。 操作步骤： 1. 登录天翼云控制中心。 2. 在产品列表中选择“计算 >云硬盘备份”。 3. 找到云硬盘所对应的备份。 4. 单击备份所在行的“恢复数据”。 注意 恢复数据之后将导致备份时间点的数据覆盖云硬盘数据，一旦执行，无法回退。 5. 点击确定 6. 单击“确定”。 删除备份 用户可以根据实际情况删除无用的备份以节省空间和成本。 说明 云硬盘备份支持两种方式删除备份：手动删除和过期自动删除。过期自动删除备份可以通过设置备份策略中的保留规则来实现，详情请参见

本节介绍了哪些弹性云主机支持挂载SCSI类型的云硬盘。 对于虚拟化类型为XEN的弹性云主机（XEN实例），使用如下操作系统时支持挂载SCSI类型的云硬盘： Windows操作系统 SUSE Enterprise Linux Server 11 SP4 64bit SUSE Enterprise Linux Server 12 64bit SUSE Enterprise Linux Server 12 SP1 64bit SUSE Enterprise Linux Server 12 SP2 64bit 对于虚拟化类型为KVM的弹性云主机，都支持挂载SCSI类型的云硬盘。

获取ACL 下面的例子是获取名为examplebucket的Bucket的访问控制权限配置信息。 请求 StringToSign GET /?acl HTTP/1.1 Host: examplebucket.ooscn.ctyunapi.cn Date: Tue, 11 Jun 2024 02:06:03 GMT ContentType: application/octetstream Authorization: AWS 3a7451ae6b635b4f5ded:7x+mp5y3YFS6BC9pdPiqsevbjb4 GETn n application/octetstreamn Tue, 11 Jun 2024 02:06:03 GMTn /examplebucket/?acl 注意 在CanonicalizedResource中是如何包含子资源查询字符串参数的。 Delete Object 从名为examplebucket的Bucket中删除文件。Bucket在path中指定，并使用xamzdate请求头。 请求 StringToSign DELETE /examplebucket/photos/puppy.jpg HTTP/1.1 Host: ooscn.ctyunapi.cn Date: Tue, 11 Jun 2024 06:47:39 GMT xamzdate: Tue, 11 Jun 2024 06:37:21 GMT Authorization: AWS 3a7451ae6b635b4f5ded:0kgBoDiPB3sQAy+Ole+oKcH+QRE DELETEn n n n xamzdate:Tue, 11 Jun 2024 06:37:21 GMTn /examplebucket/photos/puppy.jpg 注意 此请求使用xamzdate请求头来替代Date请求头，在StringToSign中，实际的Date请求头被设置成空行。 使用CNAME形式上传文件 下面的例子通过CNAME 形式上传文件，并使用自定义元数据。其中：Bucket为examplebucket，Bucket绑定的自定义域名为oos11.ctyun.cn。 请求 StringToSign PUT /examplebucket/dbbackup.dat.gz HTTP/1.1 Host: oos11.ctyun.cn Date: Tue, 11 Jun 2024 07:18:11 GMT contenttype: application/xdownload ContentMD5: ICy5YqxZB1uWSwcVLSNLcA XAmzMetaReviewedBy: joe XAmzMetaFileChecksum: 0x02661779 XAmzMetaChecksumAlgorithm: crc32 ContentDisposition: attachment; file namedatabase.dat ContentEncoding: gzip ContentLength: 3 Authorization: AWS 3a7451ae6b635b4f5ded:Wdqh0EKuT5lUZioWfc0rk2a6Arg PUTn ICy5YqxZB1uWSwcVLSNLcAn application/xdownloadn Tue, 11 Jun 2024 07:18:11 GMTn xamzmetachecksumalgorithm:crc32n xamzmetafilechecksum:0x02661779n xamzmetareviewedby:joen /examplebucket/dbbackup.dat.gz 注意 “xamz ”请求头被排序了，空白行被删除，转换为小写字符，多个同名的请求头使用逗号分隔的方式被加入。只有ContentType, ContentMD5请求头被加入到了StringToSign中，但是其他的Content请求头没有被加入。

计费规则 计费项：日带宽峰值。 计费方向：下行。 付费方式：按量付费。 计费规则：采用阶梯到达方式，按照指定单价计费。 计费周期：按日计费，实时扣费（每日零点后出前一日账单并扣费，具体出账时间以系统为准）。 计费场景：适用于域名流量曲线比较平稳，全天内带宽利用率大于30%的用户。 举例说明 用户当日的带宽峰值为800Mbps，则用户的账单费用应为800x0.53元424元（大于500Mbps小于等于5Gpbs单价为0.53元）。 全球（不含中国内地） 按日带宽峰值计费的加速区域为全球（不含中国内地）时，包含了北美、欧洲、亚太1区、亚太2区、亚太3区、中东/非洲、南美共7个计费区域，按照阶梯到达模式，执行如下标准资费。 日带宽峰值阶梯 北美 欧洲 亚太1区 亚太2区 亚太3区 中东/非洲 南美 计费单位 (0Mbps,500Mbps] 1.25 1.25 2.19 2.91 3.01 4.52 3.83 元/Mbps/日 (500Mbps,5Gbps] 1.16 1.16 1.93 2.62 2.88 4.41 3.73 元/Mbps/日 (5Gbps,20Gbps] 1.06 1.06 1.69 2.33 2.65 4.31 3.64 元/Mbps/日 (20Gbps,+∞) 1 1 1.46 2.04 2.43 4.27 3.59 元/Mbps/日 计费方式：日带宽峰值计费（按阶梯到达模式，按照指定单价计费）。 计费周期：按日结算，定时扣费。（当月最终账单将在次月3日生成，在次月4日10点后可查看和导出，具体出账时间以系统为准。） 计费场景：适用于流量曲线较为平稳，且全天内带宽利用率大于30%的客户。 全球（不含中国内地）划分说明： 北美：美国、加拿大等 欧洲：德国、法国、荷兰、英国等 亚太1区：除中国台湾、印尼、印度、韩国、澳大利亚、新西兰外的亚太国家/地区 亚太2区：中国台湾、印尼、印度 亚太3区：韩国、澳大利亚、新西兰 中东/非洲：阿联酋、南非、尼日利亚、埃及等国家/地区 南美：墨西哥、巴西等

本文介绍创建私有镜像的一个场景:通过弹性云主机创建Windows系统盘镜像。 场景说明 用户已经创建了一台Windows弹性云主机，并根据业务需要进行了自定义配置（如安装软件、部署应用环境等）。 此时，可以为弹性云主机创建系统盘镜像。使用该镜像创建新的云主机，会包含已配置的自定义项，省去重复配置的时间。 前提条件 如果云主机开机状态创建私有镜像，运行中的云主机由于存在缓存数据未落盘的情况，制作出来的镜像数据可能会和实例数据不完全一致，推荐关机后制作镜像。 请勿在创建镜像过程中对选择的云主机及相关联资源进行其他操作。 基于云主机创建系统盘镜像时，建议先注释fstab再做镜像；否则用创建出来的私有镜像创建云主机时，会因为找不到数据盘而进入维护模式，需要再次注释或者删除fstab中挂载数据盘后再重启虚机。 操作步骤 方式一：在弹性云主机页面选择云主机创建镜像 1. 登录天翼云控制台，选定业务地域，选择“计算>弹性云主机”。 2. 进入弹性云主机页面，选择待创建私有镜像的弹性云主机，点击操作栏下方的“更多>创建镜像”进入镜像创建页面。 3. 默认创建系统盘镜像（如果弹性云主机有数据盘，可以切换镜像类型创建数据盘镜像），选择企业项目，填写镜像名称和描述。 4. 单击“下一步”，确认相关配置，阅读《天翼云镜像服务协议》。无异议单击我已阅读并同意相关协议，单击“确认下单”。 5. 跳转至私有镜像页面，等待镜像状态变为正常，即完成Windows系统盘镜像的创建。

云堡垒开通配置时要求开放承载云堡垒的弹性云主机的后台端口及相应的一些端口信息，在收到云堡垒开通完成的邮件时，请您及时将该主机的后台端口关闭。本小节介绍云堡垒机端口配置。 开通堡垒机（原生版）后，用户在控制台 “云堡垒机实例”页面，在操作列点击“管理”操作，系统单点登录进入云堡垒机实例，通过控制台登录进入默认管理员用户。 首次登录 在未设置初始密码时，需通过云堡垒机控制台单点登入跳转登入堡垒机，并进行初始化管理操作。 操作步骤 1. 在“云堡垒实例"列表条目录中选择要管理的实例，单击“管理”。 2. 登入堡垒机后，通过个人信息进行初始密码设置。 非首次登录 非首次登入云堡垒机可通过云堡垒机控制台单点登入跳转登入堡垒机，或通过云堡垒机登录地址使用静态认证或令牌认证等方式登录。以下介绍使用静态认证、短信登录、令牌认证三种方式登录云堡垒机实例。 前置条件 已登录过云堡垒机并完成密码初始化。 静态认证登录操作步骤 1. 启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 2. 选择认证方式为静态认证。 3. 输入系统用户账号和密码，输入图形验证码。 4. 单击“登录”，成功登录到堡垒机系统。 注意 云堡垒机实例登录地址为

云企业路由器提供多种强大的网络互通和路由管理功能,包括连接网络实例、定制路由表、添加路由条目以及制定路由策略等。本文将为您详细介绍云企业路由器的工作原理。 云企业路由器（CER） 是一个区域（资源池）中用户网络转发中枢，支持VPC、云专线、VPN及SDWAN等多元接入。提供一键式大带宽、高可靠性混合组网服务，实现云上云下资源无缝对接。统一控制平台实现集中路由管理与流量调度，支持企业灵活扩展，满足不断变化的业务需求。 云企业路由器能力 连接网络实例 网络实例连接到云企业路由器后可实现网络互通。云企业路由器支持连接以下网络实例： 一个或多个VPC（Virtual Private Cloud）实例 当您创建VPC连接时，VPC实例必须位于云企业路由器支持的可用区中，并且必须拥有至少一个子网实例。该子网需要至少有一个空闲的IP地址。在创建VPC连接的过程中，云企业路由器会在VPC实例的子网中创建一个弹性网卡，作为VPC实例与云企业路由器流量互通的接口。 一个或多个云专线实例 在进行跨地域的云专线实例连接时，您需要购买相应的带宽包，以便为跨地域连接分配所需的带宽资源。确保在网络传输过程中不会出现延迟或数据丢失的情况，从而保证网络连接的稳定性和可靠性。 一个或多个VPN实例 一个SDWAN实例 一个云桌面网络实例

本文向您介绍弹性云主机中网络的有关知识。 虚拟私有云 虚拟私有云（Virtual Private Cloud，VPC）是您在天翼云上申请的隔离的、私密的网络环境。您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 更多内容请参见虚拟私有云产品介绍。 子网 云资源（例如云主机、物理机等）必须部署在子网内。您可以在虚拟私有云内创建一个或多个子网，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改，请合理规划网络。 更多内容请参见子网管理 子网的高级配置。 虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的内网IP地址，没有分配给真实弹性云主机网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云主机。 您可以通过将虚拟IP与主备弹性云主机绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 注意 如未结合Keepalived使用，请谨慎删除与虚拟IP绑定的主服务器或者网卡，有可能会导致备服务器或网卡流量不通等现象。 更多内容请参见虚拟IP概述虚拟IP概述。

本节将介绍密码及其使用场景,让您了解如何创建密码并了解相关约束限制。 密码 密码指使用设置初始密码方式作为云主机的鉴权方式，此时，您可以通过用户名密码方式登录云主机，Linux操作系统时用root用户和初始密码，Windows操作系统时用Administrator用户和初始密码。 使用场景 密码在弹性云主机系统中用于保护客户重要私人信息，为确保账户安全，建议妥善保管密码。在使用弹性云主机服务过程中，您会在以下场景遇到密码相关设置： 创建弹性云主机时设置密码。 如果您在购买弹性云主机进行高级配置时选择“密码”作为登录方式，可以单击“立即创建”创建密码。具体步骤可参见创建弹性云主机。 重置弹性云主机的登录密码。 如果您忘记密码或密码已过期，可通过“重置密码”进行密码重置。具体步骤可参见在控制台重置弹性云主机密码。

计费模式支持包年/包月（预付费）计费方式。 云下一代防火墙是镜像类产品，计费模式支持包年/包月（预付费）计费方式。 订购云下一代防火墙系统会自动匹配合适的云主机，用户无需再单独购买云主机，云主机和云下一代防火墙会同步计费，云主机计费模式请参照云主机计费说明。 订购云下一代防火墙需同步提供弹性IP，弹性IP计费模式和带宽请参照弹性IP及带宽的计费说明。 说明 购买本产品会根据不同的选型配置自动配置云主机，并合计计费。 购买即包含基础功能：应用识别、监控统计、应用层访问控制、入侵防御（IPS)、用户认证功能。扩展功能为增值功能，需单独选购。 本产品一经订购不支持退订、降级，也不支持升级版本，请谨慎选择。 本产品需要绑定弹性IP进行管理，成功开通后请勿解绑该IP。

本节介绍了云硬盘的计费项。 云硬盘根据您选择的云硬盘类型、大小和使用时长计费，具体请参见云硬盘规格和价格。 开始计费：云硬盘购买成功后开始计费，与是否挂载使用无关。 停止计费：包周期云硬盘退订成功后停止计费，按照退订规则退还预付的费用。详细计算方法请参见退订规则。 按需计费云硬盘删除成功后停止计费。

本节介绍云手机（政企版）的创建虚拟私有云操作说明。 操作场景 云手机如果需要上网，需配置虚拟私有云（VPC）、子网及上网带宽。VPC可在开通云手机服务时同步创建，也可单独管理。 创建虚拟私有云 1.进入“云手机”控制台； 2.单击“网络管理”，选择“虚拟私有云”，进入虚拟私有云管理页面； 3.点击“创建虚拟私有云”按钮； 4.配置虚拟私有云的“网段”、“名称”、“子网名称”、“子网网络地址”等信息； 5.确认配置信息后，点击“立即创建”，即完成云手机虚拟私有云及子网的创建。 创建IPv6云手机 当虚拟私有云开启了IPv6的功能后，创建云手机在网络模块配置时，选择开启IPv6功能的子网后，云手机则同样可以选择是否开启IPv6，具体操作如下。 操作步骤 1.在创建虚拟私有云时，子网 IPv6网段选择“开启IPv6”； 2.创建云手机时，网络模块选择绑定开启IPv6的业务子网，然后选择“开启IPv6”； 3.云手机其他信息完成配置后，点击“开通云手机”，即完成IPv6的云手机创建。

本节介绍了更新一键式重置密码插件(单台操作)的安装须知、前提条件等内容。 公有云平台提供了一键式重置密码功能。弹性云主机的密码丢失或过期时，如果您的弹性云主机提前安装了一键式重置密码插件，则可以应用一键式重置密码功能，给弹性云主机设置新密码。 更新一键式重置密码插件的操作请参考本节内容。 安装须知 1.该一键式重置密码插件仅适用于弹性云主机，不支持物理机使用。 2.弹性云主机需绑定弹性公网IP，才能更新一键式重置密码插件。 3.使用公共镜像创建的弹性云主机默认已安装一键重置密码插件，在更新前请先卸载一键式重置密码插件。 4.一键重置密码插件CloudResetPwdAgent已按照GNU General Public License v2.0协议开源至Github开源平台，开放、透明、安全，请您放心使用。 前提条件 对于Windows弹性云主机，需保证C盘可写入，且剩余空间大于300MB。 对于Linux弹性云主机，需保证根目录可写入，且剩余空间大于300MB。 使用SUSE 11 SP4镜像创建的弹性云主机，内存需要大于等于4GiB时才能支持一键式重置密码功能。 弹性云主机使用的VPC网络DHCP不能禁用。 弹性云主机网络正常通行。 弹性云主机安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16