本节介绍了一台弹性云主机是否可以绑定多个弹性IP的相关内容。 操作场景 一台弹性云主机可以绑定多个弹性IP，但是我们不建议您这样操作。 如果需要配置多个弹性IP，则需要您手工配置路由策略，该操作对用户的网络技术要求较高，请谨慎使用该功能。 配置示例 弹性云主机的配置如下表所示。 表 参数配置 参数 配置 :: 名称 ecstest 镜像 CentOS 6.5 64bit 弹性IP 2个 主网卡 eth0 从网卡 eth1 示例1： 假设您希望访问公网11.11.11.0/24时，使用从网卡eth1，此时可以执行以下操作，配置路由策略。 1. 登录弹性云主机。 2. 执行以下命令，配置路由策略。 ip route add 11.11.11.0/24 dev eth1 via 192.168.2.1 其中，192.168.2.1为从网卡eth1对应网关的IP地址。 示例2： 基于示例1，如果您希望默认公网流量也通过从网卡eth1路由，此时可以执行以下操作，配置路由策略。 1. 登录弹性云主机。 2. 执行以下命令，删除默认路由。 ip route delete default 3. 执行以下命令，配置新的默认路由。 ip route add 0.0.0.0/0 dev eth1 via 192.168.2.1 其中，192.168.2.1为从网卡eth1对应网关的IP地址。

本文介绍了云防火墙（原生版）产品的标准资费和续费、变配、退订规则。 计费方式 云防火墙（原生版）产品提供包年包月计费方式。 N100标准资费 说明 如下费用仅为N100实例的费用。 购买云防火墙（原生版）N100型实例时，还需要同时购买实例所依赖的基础资源（包括弹性云主机、弹性IP等），基础资源与实例一起计费，统一下单。相关基础资源的价格请以对应产品的实际定价为准，详细说明请参见云主机计费说明、弹性IP计费说明。 版本 公网流量处理峰值 架构 标准资费（元/月） 高级版 100Mbps 单机 1300 高级版 100Mbps 主备 2300 高级版 200Mbps 单机 2800 高级版 200Mbps 主备 5550 高级版 2Gbps 单机 5600 高级版 2Gbps 主备 11000 C100标准资费 计费项 高级版资费 企业版资费 计费单位 基础套餐 2800 9600 元/月 公网流量处理能力扩展 50 50 元/Mbps/月 可防护公网IP数扩展 50 50 元/个/月 VPC边界防火墙实例数扩展包 2000 元/个/月 VPC流量处理能力扩展包 50 元/10Mbps/月

本文介绍了云防火墙（原生版）产品的同步资产功能。 您首次购买后进入云防火墙（原生版）控制台，系统将自动为您同步资产，之后系统默认每天02:00自动同步资产信息，你也可以随时手动执行同步资产操作。 手动同步互联网资产 互联网资产包括弹性IP、公网NAT网关、弹性负载均衡。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 单击右上角“同步资产”，系统会立即获取最新的资产信息。 在资产同步过程中，会显示"资产同步中…"。每次资产更新后，无论是自动同步或是手动同步资产更新时间均会更新为最新的同步完成时间。 手动同步VPC资产 VPC资产包括对等连接、云专线、云间高速。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 单击右上角“同步资产”，系统会立即获取最新的资产信息。 在资产同步过程中，会显示"资产同步中…"。每次资产更新后，无论是自动同步或是手动同步资产更新时间均会更新为最新的同步完成时间。

本文主要介绍镜像服务支持审计的关键操作 镜像服务（Image Management Service，以下简称IMS）提供简单方便的镜像自助管理功能，用户可以使用公共镜像或者私有镜像灵活便捷的申请弹性云主机。同时，用户还能通过已有的云主机或使用外部镜像文件创建私有镜像。 通过云审计服务，您可以记录与镜像服务相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的IMS操作列表 操作名称 资源类型 事件名称 创建镜像 ims createImage 修改镜像 ims updateImage 批量删除镜像 ims deleteImage 新增成员 ims addMember 批量修改成员 ims updateMember 批量删除成员 ims deleteMember 说明 表2 IMS的操作，为底层（OpenStack）服务触发；部分事件名称与表1中重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表2中描述的事件。 表 云审计服务支持的IMS操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建镜像 image createImage 修改镜像信息/上传镜像 image updateImage 删除镜像 image deleteImage 添加标签 image addTag 删除标签 image deleteTag 添加镜像成员 image addMember 修改镜像成员信息 image updateMember 删除镜像成员 image deleteMember

本文为您介绍通过KMS实现云硬盘、对象存储、弹性文件等云服务的数据加密最佳实践。 密钥管理系统与天翼云产品无缝集成，在云产品中，仅需要选择在KMS中托管的主密钥，即可轻松实现对云产品数据的服务端加密。 云产品通过集成KMS实现对云上数据的加密存储，密钥由KMS托管，满足监管合规要求。整个服务端加密过程对用户透明无感知，只需要开启加密功能并指定密钥即可。同时用户无须自定构建和维护密钥管理基础设施，节省开发成本。 用户可以选择KMS为云产品自动创建的默认主密钥加密，也可以选择通过KMS创建的用户主密钥。其中默认密钥不收取密钥托管费用。 场景示意图 云产品开启服务端加密流程 加密云硬盘 在创建云硬盘页面，选择开启“磁盘加密”，并在密钥列表中选择加密密钥。 加密对象存储 在创建对象存储Bucket页面，选择开启“服务端加密”，并在密钥列表中选择加密密钥。 加密弹性文件 在创建文件系统页面，选择开启KMS加密，并在密钥列表中选择加密密钥。

本节内容为您介绍购买弹性云主机的方式,以及购买前注册天翼云账户并实名认证的操作步骤。 购买方式简介 说明 自定义购买弹性云主机：自定义购买可以灵活地选择计费模式、配置项，针对不同的应用场景，可以选择不同规格的弹性云主机，全方位贴合您的业务诉求。 我们以自定义购买方式、创建密码鉴权方式的弹性云主机为例，以“图+文字”的形式为您介绍弹性云主机创建流程： 新手入门： 注册天翼云并实名认证 如果您已有一个天翼云帐户，请跳到下一个任务。如果您还没有天翼云帐户，请参考以下步骤创建。 1. 打开天翼云网站 2.在注册页面，请填写“邮箱地址”、“密码”、“确认密码”、“手机号码”，并点击“同意协议并提交”按钮，如1分钟内手机未收到验证码，请再次点击“重新获取短信验证码”按钮。 注册成功后，系统会自动跳转至您的个人信息界面。 3、选择一种账号类型。 4、以个人认证身份证认证为例，选择身份证认证方式。 5、使用天翼云APP扫描二维码，按照提示完成认证。

客户域名可能会因为恶意攻击、网站恶意盗刷等各种恶意访问行为产生突发流量或带宽，进而在DDoS 高防（边缘云版）产生超出日常正常加速的服务费用。本文侧重介绍如何避免因恶意攻击带来的高额账单风险。 方法一：设置可用额度预警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 方法二：开通安全防护功能 DDoS 高防（边缘云版）是针对游戏、互联网及金融等业务遭受大流量 DDoS 攻击导致用户服务不可用的情况而推出的付费防护服务，如果客户的业务存在潜在的被恶意访问风险，需要抗DDoS和抗CC攻击的安全防护功能，建议开通DDoS高防（边缘云版），详情请见：DDoS高防（边缘云版）；如果客户的网站既需要进行流量型DDoS攻击的防护，同时也需要对精巧的Web应用层攻击时进行防御，建议叠加Web应用防火墙（边缘云版）进行联合防御。详情请见：叠加Web应用防火墙（边缘云版）。

本节介绍IPSec VPN的产品介绍。 功能介绍 IPsec VPN产品用于客户防火墙或其他VPN设备与云侧IPsec VPN实例建立加密隧道实现数据入云安全传输，完成客户侧办公区与云侧VPC的快速安全互联。有别于iVPN实例，iVPN实例在逻辑上属于客户侧资源，IPsec VPN实例在逻辑上属于云侧资源。同时IPsec VPN与翼甲防火墙产品相比，不需要绑定弹性IP即可建立加密隧道。 使用限制 （1）IPsec VPN支持关联的客户侧网段与各VPC子网网段重叠，但是需要用户确保客户侧与云侧不存在IP冲突设备，因此建议用户在使用过程中避免客户侧与云侧网段重叠。 （2）IPsec VPN只能加载IPsec VPN实例所在资源池VPC，加载跨资源池VPC需要结合跨域互联使用。 （3）IPSec VPN暂时只支持IKEv2协议。

本文主要介绍手工搭建LAMP环境(CentOS 7.8 PHP7.0)。 简介 LAMP是由Linux、Apache、MySQL和PHP建立的web应用平台。 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LAMP平台的web环境。该指导具体操作以CentOS 7.8 64位操作系统为例。 前提条件 1、弹性云主机已绑定弹性公网IP。 2、弹性云主机所在安全组添加了如下表所示的安全组规则 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 资源规划 本次实践所用的资源配置及软件版本如下表中所示。当您使用不同的硬件规格或软件版本时，本指导中的命令及参数可能会发生改变，需要您根据实际情况进行调整。 资源 资源说明 成本说明 弹性云主机 计费模式：按需计费 规格：c7n.large.2 镜像：CentOS 7.8 64bit 系统盘：40G 弹性公网IP：自动分配 公网带宽：按流量计费 带宽大小：5 Mbit/s ECS涉及以下几项费用： · 云主机 · 云硬盘 · 弹性公网IP Apache 是一个开放源码的Web服务器。 免费 MySQL 是一款开源的关系数据库软件。获取方式：< 免费 PHP 是一款开源软件，用于Web开发。获取方式：< 免费

本文主要介绍如何查看监控指标数据。 操作场景 为使用户更好地掌握自己的弹性云主机运行状态，云平台提供了云监控。通过本节，您可以了解如何查看伸缩组的监控指标详情，更好地了解弹性云主机的各项性能指标。 前提条件 弹性伸缩组中的弹性云主机正常运行。 说明 当伸缩组中的实例数为0时，只能查看“实例数”这一项监控指标；CPU使用率、磁盘读速率等指标只有在伸缩组中有实例时才能查看。 关机、故障、删除状态的弹性云主机，无法查看其CPU使用率、磁盘读速率等监控指标。当弹性云主机再次启动或恢复后，即可正常查看。 在弹性伸缩组页面查看 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务 > 弹性伸缩组”。 3. 选择需要查看监控数据的伸缩组，单击伸缩组名称进入详情页面。 4. 单击“监控”页签，查看伸缩组各项监控指标的数据。 支持查看“近1小时”、“近3小时”、“近12小时”、“近24小时”、“近7天”的数据。如果您想查看更长时间范围的监控曲线，请单击“查看更多指标详情”跳转至云监控页面，在监控视图中单击图标，进入大图模式查看。

请求示例 请求url /v4/monitor/queryalarmtopmetric?regionID81f7728662dd11ec810800155d307d5b 请求头header 无 请求体body 无 响应示例 json { "statusCode": 800, "returnObj": [ { "service": "cloudbackup", "dimension": "storagepool", "metric": "usedvaultsize", "count": 83, "metricDesc": "云备份存储库使用量", "serviceDesc": "云备份", "dimensionDesc": "云备份" }, { "service": "ecs", "dimension": "ecs", "metric": "memutil", "count": 27, "metricDesc": "内存使用率", "serviceDesc": "云主机", "dimensionDesc": "云主机" }, { "service": "ecs", "dimension": "ecs", "metric": "cpuutil", "count": 25, "metricDesc": "CPU使用率", "serviceDesc": "云主机", "dimensionDesc": "云主机" }, { "service": "elb", "dimension": "elb", "metric": "lbnewcreate", "count": 13, "metricDesc": "实例每秒新建连接数", "serviceDesc": "负载均衡", "dimensionDesc": "负载均衡" }, { "service": "cstorsfs", "dimension": "cstorsfs", "metric": "fswriteiops", "count": 12, "metricDesc": "文件系统写iops", "serviceDesc": "弹性文件", "dimensionDesc": "弹性文件" } ], "errorCode": "", "message": "Success", "msgDesc": "成功", "description": "成功" } 状态码 状态码 描述 200 请求成功 错误码 errorCode 描述 Openapi.Overview.ParamValueOutOfRange 参数取值超出范围 其他 参见公共错误码说明

本文介绍接入DDoS高防（边缘云版）域名无法访问的问题现象及问题原因。 问题现象 1、使用DDoS高防（边缘云版）后网站访问出现异常状态码，例如，403，404，5XX。 2、使用DDoS高防（边缘云版）后网站访问URL时出现空白页面。 3、使用DDoS高防（边缘云版）后网站出现其他异常错误。 问题原因 使用DDoS高防（边缘云版）后网站无法访问可能有多种原因。以下是一些常见的原因： 1、DNS解析问题：将域名解析到CDN时出现CNAME错误。 2、网站配置问题：域名的网站配置可能存在问题，导致无法正常访问网站。 3、SSL证书问题：如果您的网站启用了HTTPS协议，请确保域名在DDoS高防（边缘云版）控制台上正确配置了HTTPS证书，并且证书没有过期或损坏。 4、防火墙或安全策略限制：某些源站防火墙或安全策略可能会干扰DDoS高防（边缘云版）的正常回源。 解决方案 1、DNS解析问题：您可以通过ping、nslookup、dig等命令检查域名的DNS解析设置，确保解析结果和DDoS高防（边缘云版）控制台上该加速域名的CNAME值一致。 2、网站配置问题：您可以在DDoS高防（边缘云版）控制台–【域名接入】【网站配置】中检查您的域名配置是否正确。 3、SSL证书问题：您可以在DDoS高防（边缘云版）控制台–【证书管理】中上传更新您的证书。 4、防火墙或安全策略限制：您可以检查您的服务器设置、CDN配置以及网络设备设置，确保没有任何阻止DDoS高防（边缘云版）回源访问的规则或策略。 如果您不确定是边缘节点还是源站的问题，可参考文档：如何确认访问异常是边缘节点问题还是源站问题 进行排查。 除以上可能的原因，您还可以参考以下操作进行处理： 如果访问防护域名返回403状态码，详情请见：访问防护域名响应403状态码。 如果访问防护域名返回404状态码，详情请见：访问防护域名响应404状态码。 如果访问防护域名返回5XX状态码，详情请见：访问防护域名响应5XX状态码。 在使用CDN加速后网站访问URL时出现空白页面，详情请见：访问URL时出现空白页面。 如果以上解决方法均无效，建议您通过提交工单联系天翼云客服帮助您解决问题。

本节介绍云容器引擎的最佳实践：容器与节点时区同步。 背景说明 使用Dockerfile构建容器镜像时，若未指定时区配置，那么构建的容器有可能会使用UTC时间。在云容器引擎中使用该容器镜像构建工作负载时就有可能出现容器实例与云容器引擎的节点时间不一致，相差8小时的现象。 云容器引擎的所有节点统一中国CST时间(UTC+8), 登录节点执行date R指令进行查看: [root@0000000gwcgp0q8ads ~] date R Sat, 06 Apr 2024 18:37:16 +0800 验证Pod实例的工作容器当前时间可以使用kubectl指令，例如查看default命名空间下，名为kubiamannual的pod工作容器时间: 使用kubectl exec指令可查看pod的工作负载容器当前的时间: [root@0000000gwcgp0q8ads ~] kubectl exec kubiamanual n default date R Sat, 06 Apr 2024 10:37:18 +0000 工作容器的时间戳时区为+0000，代表使用的是标准UTC时间, 中国CST时间比标准UTC时间多8个小时 解决该问题有两种方法: 1、构建容器镜像时配置时区 2、通过云容器引擎控制台进行配置 构建容器镜像时配置时区 以Dockerfile方式构建镜像为例，在镜像的Dockerfile中增加以下语句: RUN cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime 通过云容器引擎控制台进行配置 云容器控制台可以通过数据卷的方式，将节点的/etc/localtime文件挂载到Pod的工作容器实例中，以此实现时区信息同步，具体操作步骤如下: 1、登录云容器引擎控制台 2、进入【集群】【工作负载】界面，找到待处理的pod名称，点击【全量替换】按钮 全量替换 3、增加一个主机目录类型的数据卷,设置主机路径为/etc/localtime 数据卷 4、为工作容器增加挂载点 挂载点 提交更改后，容器实例会重启，使用与节点相同的时区配置； 通过云容器引擎创建新的工作负载时，可以使用的操作方法：以数据卷的方式将节点的/etc/localtime挂载到容器实例的/etc/localtime，实现节点与容器实例时间同步。

本文介绍用户如何修改弹性云主机实例的默认远程端口。 弹性云主机实例的默认远程端口是22。这个端口是SSH（Secure Shell）协议的默认端口，用于远程登录和管理云主机实例。通过SSH协议，您可以通过终端或SSH客户端与云主机进行安全的远程连接，并执行各种管理任务和操作。 修改Windows系统实例默认远程端口 本章以Windows Server 2012 R2为例介绍如何修改Windows系统实例默认远程端口。 1. 登录控制中心。 2. 选择区域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考登录Windows弹性云主机，远程登录待修改端口的Windows弹性云主机实例。 5. 修改注册表子项PortNumber的值。 1. 右键单击Windows 徽标键，选择“运行”，启动运行窗口。 2. 在运行窗口的文本框内输入regedit.exe后按回车键，打开“注册表编辑器”。 3. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 4. 在列表中找到注册表子项PortNumber并右键单击，选择“修改”，进入修改窗口。 5. 在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击“确定”。 6. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 7. 在右侧列表中找到注册表子项PortNumber并右键单击，选择“修改”（可以使用键盘方向键向下寻找）。 8. 在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击“确定”。 6. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 7. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 具体操作，请参见配置安全组规则。 8. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。

统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本节介绍云下节点池用户指南。 云下节点池为Anywhere集群特有，用于管理Anywhere集群IDC节点的按需扩缩容场景需求。 前提条件 已创建Anywhere集群，并已经完成部署。 若IDC节点为已安装操作系统的节点，请先确保节点已安装以下工具软件：conntrack（必选）、s3fs工具（可选）。 创建云下节点池 1. 登录分布式容器云平台，选择 集群资源 > 集群管理，在集群列表中，选中目标集群，点击进入； 2. 在目标集群页面，选择节点管理 > 节点池，在节点池页面，单击 创建云下节点池； 3. 在创建云下节点池对话框中，完成云下节点池的配置项。云下节点池创建完成之后，在节点池列表右侧支持编辑云下节点池部分配置项。 节点池配置项内容如下所示： 配置项 说明 是否支持修改 节点池名称 自定义节点池名称 × 架构 节点架构：X86、ARM × 节点类型 物理机(托管)：未装操作系统的物理机节点，节点池扩容时自动安装操作系统； 物理机(纳管）：请提供已安装操作系统的物理机节点； 虚拟机：请提供已安装操作系统的虚拟机节点； × 节点数量 如当前无需创建节点，可填写为0，仅配置节点池信息，后续再进行扩容节点； 填写数量>0时，需填写对应数量的节点信息，完成节点池创建并扩容对应节点到集群内； × 节点网络 节点类型为物理机(托管)类型时，需填写以下网络信息： 子网掩码：节点设备所属子网范围； 网关：节点设备所属子网网关； DNS：节点配置的DNS服务器地址，用于解析域名； × 操作系统 当节点类型为物理机(托管)类型时，选择节点需要安装的操作系统。 × 高级配置（选填） 配置项 说明 是否支持修改 节点标签 为扩容的节点添加标签，采用键值对形式。 √ 节点污点 为扩容节点添加污点，污点包含键、值和Effect(效果)。 Effect可选择NoSchedule、NoExecute、PreferNoSchedule。 NoSchedule：节点上若存在Effect值为NoSchedule的污点，则Pod不会分配到该节点； NoExecute：不能忍受此污点的Pod会被驱逐； PreferNoSchedule：尽量避免调度未忍受该污点的Pod到该节点，但不会强制执行； √ 自定义Kubelet参数 支持自定义Kubelet参数，在节点加入集群时配置； ×

本文介绍云备份与其他服务的关系。 云备份与其他服务的关系如图所示： 云备份与其他服务的关系详情如下表： 相关服务 功能交互 弹性云主机（CTECS） 为弹性云主机相关的云资源提供统一数据保护。当软件错误、病毒入侵、人为删除等事件发生时，可将数据恢复到任意备份点，减轻经济损失。 对象存储（CTZOS） 云备份底层与对象存储资源相结合，将备份数据存储到对象存储中，高度保障用户的备份数据安全。

本章节介绍云容器集群节点进程挂起故障演练。 背景介绍 在云容器引擎（CCE）环境中，有时进程并不会被直接终止，而是因系统调试、资源冻结或异常信号而进入挂起状态。这同样会导致其提供的服务中断，并且比直接终止更隐蔽，因为它不会释放占用的内存等资源。本演练模拟节点上的任意进程被挂起的场景，帮助您检验 Kubernetes 的健康检查能否发现这种假死状态，并评估业务系统对服务无响应的容错能力。 基本原理 通过kill STOP挂起节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点进程挂起故障演练。 背景介绍 在云容器引擎（CCE）环境中，有时进程并不会被直接终止，而是因系统调试、资源冻结或异常信号而进入挂起状态。这同样会导致其提供的服务中断，并且比直接终止更隐蔽，因为它不会释放占用的内存等资源。本演练模拟节点上的任意进程被挂起的场景，帮助您检验 Kubernetes 的健康检查能否发现这种假死状态，并评估业务系统对服务无响应的容错能力。 基本原理 通过kill STOP挂起节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器ETCD节点宕机故障演练。 背景介绍 云容器引擎（CCE）中，Etcd 节点是集群的分布式数据存储核心。硬件故障、系统内核异常、软件组件崩溃、网络中断及数据同步异常等因素，均可能导致 Etcd 节点故障。Etcd 节点故障会造成集群配置读写失败、状态同步异常，进而导致 Master 节点管控功能受限，Pod 调度、扩缩容等操作失效，影响上层业务稳定性，本演练可测试系统应对 Etcd 节点故障的恢复能力。 基本原理 通过停止Etcd 节点上的服务，模拟Etcd 节点故障。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择Etcd节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

本文介绍了集群安全组规划配置的用户指南。 云容器引擎作为通用的容器平台，需配置适用于 Kubernetes 集群的安全组。创建集群时，支持选择默认新增和使用已有安全组。 选择默认新增会为 Master 节点和 Worker 节点共同创建一个安全组，安全组名称是：securitygroup{vpcID}。用户可以根据安全要求，登录天翼云控制台，点击产品 > 网络 > 虚拟私有云，在控制台左侧点击访问控制 > 安全组，根据名称找到对应安全组规则进行修改。 选择使用已有安全组，请参考集群自动创建的默认安全组规则放通指定端口，以确保集群中的正常网络通信。 安全组规则说明 方向 端口 协议 默认源/目的地址 说明 优先级（取值越小优先级越高） 是否支持修改 入方向规则 全部 TCP + UDP 198.19.128.0/20 VPCE内网地址段 99 不可修改 入方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 入方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 入方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 入方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP 169.254.169.254/32 主机元数据服务地址 99 不可修改 出方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 出方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 出方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 出方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP + UDP 0.0.0.0/0 默认全部放通，不建议修改 100 可修改 出方向规则 全部 TCP + UDP 0:0:0:0:0:0:0:0/0 默认全部放通，不建议修改 100 可修改

本文为您介绍删除自定义路由条目的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在页签左侧区域单击目标的路由表。 6. 在页签右侧区域，选择“路由条目”页签下，查看当前路由表的路由条目信息。 7. 在“路由条目 ”页签，找到目标路由条目，在操作列，单击“删除”，弹窗删除确认弹窗。 8. 在删除确认弹窗中，单击“确定”，完成删除自定义路由条目的操作。

本文向您介绍弹性云主机新内核启动失败如何设置使用第二内核启动的解决方案。 操作场景 本节操作介绍云主机新内核启动失败时如何设置使用第二内核启动。 本节操作适用于CentOS、CTyunOS操作系统，且系统内安装至少两个内核。 以CTyunOS为例操作 1. 选择对应的云主机，点击“远程登录”。 2. 点击“Send CtrlAltDel”重启云主机。 3. 出现内核选择界面后，按下键，移动光标至第二内核，按回车键。 这里以救援模式，来当成第二内核。实际操作中，选择实际的内核版本即可。 4. 待进入系统后，执行下面命令来设置第二内核为默认启动内核。 grub2setdefault 1

接口功能介绍 云硬盘快照功能请联系客户经理开通。 接口约束 无 URI POST /v3/cloudVolumeSnapshot/rollbackCloudVolume 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 snapshotOid 是 String 云硬盘快照ID 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 operationId String 使用云硬盘快照还原云硬盘操作ID，可用于查询操作状态（相关接口：异步操作查询操作详情）。 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "snapshotOid":"xxxxxxxxxxx" } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":{ "operationId":"jobtask7211cb74fbb283e4280kf87dhs" } }

本文将介绍HTTPS访问异常如何定位问题。 网站接入Web应用防火墙（边缘云版）之后，如果出现HTTP请求访问正常但是HTTPS请求访问失败的情况，可能有以下几点原因： 未在网站接入时开启HTTPS功能 网站要支持HTTPS访问，需要在接入Web应用防火墙（边缘云版）服务时配置请求协议开启HTTPS，并上传对应的HTTPS证书。域名接入后也可以通过Web应用防火墙（边缘云版）控制台“域名列表 > 接入配置”页面开启HTTPS协议。 在Web应用防火墙（边缘云版）控制台配置的证书过期，或证书与域名不匹配 如有启用HTTPS，则检查配置证书是否过期，或证书不匹配、证书错误。如为上述情况，则替换为新证书、正确证书即可。具体操作为：在【域名管理】【域名列表】选择对应域名，进入【接入配置】，在【服务端口与协议】>【证书】中点击上传，上传新证书后，选择新证书备注名，单击【提交保存】即可。

安装CloudbaseInit（可选） 为了保证使用生成的镜像创建的新云主机可以自定义配置（例如修改云主机密码），建议您安装CloudbaseInit工具。不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 安装 Cloudbase Init 1、下载CloudbaseInit工具安装包。 根据Windows操作系统的不同位数，您需要下载不同版本的CloudbaseInit工具安装包，并将下载后的安装包保存至本地已设置共享的文件夹。 Cloudbase官网： 2、在VirtualBox Windows虚拟机处，选择“计算机 > 网络 > VBOXSVR”。 3、双击打开共享文件夹，将CloudbaseInit工具安装包拷贝至新创建的虚拟机，双击进行安装。 本文以安装CloudbaseInitSetup0911x64为例。 配置 Cloudbase Init工具 1、在CloudbaseInit安装路径下的配置文件“C:Program FilesCloudbase SolutionsCloudbaseInitconfcloudbaseinit.conf”中执行以下操作： a.在配置文件最后一行，增加配置项“netbioshostnamecompatibilityfalse”，使Windows系统的hostname长度支持到63个字符。 说明： NetBIOS长度受Windows系统本身的限制还只支持小于等于15个字符。 b.增加配置项“metadataservicescloudbaseinit.metadata.services.httpservice.HttpService”，配置agent访问OpenStack数据源。 c.（可选）增加如下配置项，配置获取metadata的重试次数和间隔。 retrycount40 retrycountinterval5 d.（可选）增加如下配置项，防止Windows添加默认路由导致metadata网络不通。 [openstack] addmetadataprivateiprouteFalse e.（可选）当CloudbaseInit为0.9.12及以上版本时，用户可以自定义配置密码长度。 操作方法：修改配置项“userpasswordlength”的值，完成密码长度的自定义配置。 f.（可选）选择密码注入方式首次登录时，系统默认强制用户修改登录密码，若用户根据个人意愿，不需要修改首次登录使用的密码时，可关闭此功能。 操作方法：增加配置项“firstlogonbehaviourno”。 2、为了防止镜像中DHCP租期过长导致创建的云主机无法正确的获取地址，用户需要释放当前的DHCP地址。 在Windows命令行中，执行以下命令释放当前的DHCP地址。 ipconfig /release 说明： 此操作会中断网络，对云主机的使用会产生影响。当云主机再次开机后，网络会自动恢复。 3、使用Windows操作系统云主机制作镜像时，需修改云主机SAN策略为OnlineAll类型。否则可能导致使用镜像创建云主机时磁盘处于脱机状态。 Windows操作系统SAN策略分为三种类型：OnlineAll、OfflineShared、OfflineInternal 表 Windows操作系统SAN策略类型 类型 说明 OnlineAll 表示所有新发现磁盘都置于在线模式。 OfflineShared 表示所有共享总线上（比如FC、ISCSI）的新发现磁盘都置于离线模式， 非共享总线上的磁盘都置于在线模式。 OfflineInternal 表示所有新发现磁盘都置于离线模式。 a.运行cmd.exe，执行以下命令，使用DiskPart工具来查询云主机当前的SAN策略。 diskpart b.执行以下命令查看云主机当前的SAN策略。 san 如果SAN策略为OnlineAll，请执行exit命令退出DiskPart。 否，请执行步骤3.c。 c.执行以下命令修改云主机SAN策略为OnlineAll。 san policyonlineall

内网DNS产品广泛应用于多种场景，本文带您更快了解内网DNS经典应用场景。 企业内部访问的网站 对于那些仅在企业内部使用、不对外公开访问的网站，企业可以通过使用内网DNS来提供域名解析服务。内网DNS能够在企业内部解析域名与IP地址之间的映射关系，满足企业内部系统的域名解析需求。 节约公网带宽 为了解决企业内部用户频繁访问外网网站导致公网带宽负担增加的问题，可以在企业内部部署本地DNS服务器来优化域名解析流程。通过搭建本地DNS服务器，减少对公网DNS服务器的请求次数，节约公网带宽，并提高域名解析的效率。 用户上网行为管理 企业无需额外购买专门的防火墙或其他设备，可以通过内网DNS过滤来管理内部用户的上网行为。通过限制访问某些特定域名，如淘宝等网站，可以提高工作效率、保护网络安全和节约带宽资源。 云服务器主机名管理 场景说明 当部署多台云服务器时，可以根据云服务器的位置、用途和所有者等信息来规划主机名，并使用主机名为云服务器添加内网解析记录，可以直观的获取云服务器的信息，方便日常管理和维护。例如，您在某区域的某个可用区部署了20台云主机，其中10台用于网站A，10台用于网站B，则可以采用以下方式规划主机名和内网域名： 网站A：weba01.region1.az1.com~weba10.region1.az1.com 网站B：webb01.region1.az1.com~webb10.region1.az1.com 云服务器切换

本文主要介绍远程连接Linux云主机报错:Access denied如何处理。 问题现象 远程连接Linux云主机报错：Access denied 可能原因 账号或密码输入错误。 SSH服务端配置了禁止root用户登录的策略。 处理方法 账号或密码输入错误。 检查输入的用户名或密码。 Linux云主机默认用户名root，如果密码错误，请在控制台重置密码。 重置密码：选中待重置密码的云主机，并选择“操作”列下的“更多 > 重置密码”。 SSH服务端配置了禁止root用户登录的策略。 a.编辑 /etc/ssh/sshdconfig 文件，检查如下设置，确保root用户能通过SSH登录： PermitRootLogin yes b.重启SSH 服务。 CentOS 6 service sshd restart CentOS 7 systemctl restart sshd

本节介绍了云原生网关的计费类常见问题 如何为开通的云原生网关续费? 实例计费模式为包年包月，当实例生命周期达到截至使用时间时，云原生网关实例会处于到期停机的状态，然后保留15天，保留期内，用户可以通过续费恢复实例；若超出保留期实例将被真正地清理。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 在实例列表点击“续订”； 5. 进入实例续订页，选择 续订时长 ，提交订单，完成续费；

可信服务功能介绍 什么是可信服务 可信服务是指可与组织管理服务集成，提供组织级相关能力的云服务。管理账号及主账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。例如，开启云防火墙为可信服务后，云防火墙可以获取组织单元及成员账号信息，统一为整个组织提供基于云防火墙的产品服务。 什么是委托管理员 委托管理员账号是一个组织中有特殊权限的成员账号。管理账号可指定某个成员账号为某个可信服务的委托管理员账号。成为委托管理员账号后，该成员账号下的用户可以使用对应可信服务的组织级管理能力。例如，某一个成员账号成为云防火墙的委托管理员后，可以共享云防火墙服务在组织成员账号内共同防护。 当前支持可信服务的云产品 可信服务 功能介绍 是否支持委派管理员账号 相关文档 云防火墙 云防火墙集成组织管理后，能够统一管理多账号的公网IP资产，统一配置防御策略，实现集中安全管控。 是 多账号管理 启用或禁用可信服务 登入企业组织管理员账号后，您可以在“企业中心可信服务”界面，对支持可信服务的产品进行开启或禁用。 组织管理员禁用某个云服务的可信访问后，此云服务便不能给成员账号创建此服务的"服务关联委托”。 服务启用可信后才可以设置委托管理员。

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称