背景介绍 天翼云部分资源池同一个VPC内支持创建多个NAT网关，可以通过不同的NAT网关转发去往不同目的地址的流量，也可以使用不同的自定义路由表关联不同的子网使得不同的子网使用不同的NAT网关访问公网，实现更精细化地公网网络的访问管理。 天翼云同一个VPC支持多NAT网关功能仅部分资源池上线，支持资源池以控制台能力为准。 本次我们以不同子网关联不同路由为例。 VPC创建两个子网（子网1，子网2），同时创建两张自定义路由表（路由表1），分别关联两个子网。 两个路由表配置不同的公网路由，指向不同的NAT网关。 两个NAT网关配置对应的SNAT规则使得对应的子网可以访问公网。 准备工作 环境准备 已创建VPC，具体操作参见虚拟私有云－创建 VPC 、子网搭建私有网络。 操作步骤 步骤一：购买弹性IP 步骤二：购买NAT网关 步骤三：添加路由规则 步骤四：配置SNAT规则 步骤一：购买弹性IP 步骤说明 弹性IP主要用来绑定NAT网关的SNA规则，以实现访问公网的功能。此处我们需要购买2个弹性IP。 操作步骤 1. 登录天翼云控制台，选择“网络>弹性IP”。 2. 进入弹性IP控制台，点击右上角“申请弹性IP”。 3. 按需求选择带宽规格，购买数量选择2，单击“下一步”。 4. 确定规格，选择我已阅读并同意相关协议，单击“确认下单”，完成弹性IP创建。 步骤二：购买NAT网关

本文主要介绍分布式消息服务RabbitMQ的产品优势。 天翼云分布式消息服务RabbitMQ完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 专享实例只需要在实例管理界面选好规格配置，提交订单，后台将自动创建部署完成一整套RabbitMQ实例。 兼容开源，业务零改动迁移上云 兼容社区版RabbitMQ的API，具备原生RabbitMQ的所有消息处理特性。 业务系统基于开源的RabbitMQ进行开发，只需加入少量认证安全配置，即可使用天翼云分布式消息服务RabbitMQ，做到无缝迁移。 说明 RabbitMQ实例兼容开源社区RabbitMQ 3.8.35版本。 独占式体验 RabbitMQ实例采用物理隔离的方式部署，租户独占RabbitMQ实例，每个RabbitMQ之间互不影响。 高性能 单队列性能最高可达10万TPS（默认配置），增加队列可获得更高性能。 数据安全 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 无忧运维 天翼云提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。RabbitMQ专享实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。

本文汇总了创建弹性伸缩策略过程中会遇到的操作类问题。 用户是否可以设置周期性定时策略？ 可以。 弹性伸缩服务支持设置6种策略： 告警策略：通过对伸缩组内实例性能指标（CPU使用率、内存使用率等）的监控，来确认其是否达到预设的告警条件，来自动增加或减少云主机的数量。 定时策略：根据业务实际情况设置一个时间点，在此时间点自动增加或减少云主机的数量。 周期策略：根据业务实际情况设置一个时间段，在此时间段内按照周期（按天、按周、按月）来重复执行自动增减云主机的数量。 目标追踪策略：根据业务选择一个监控指标并设置监控指标的目标值，弹性伸缩会根据目标值自动进行扩缩容活动，使伸缩组监控指标始终维持在目标值上下。 智能预测策略：通过分析伸缩组历史监控数据，利用算法预测未来48小时的监控指标值变化趋势，并根据预测值自动增加或减少云主机的数量，减少人工运维成本。 简单策略：可手动执行的伸缩策略，便于快速执行增加或减少云主机数量。 具体配置操作请参见创建伸缩策略。 告警策略与定时/周期策略之间有执行的优先级吗？ 没有。 告警策略与定时/周期策略之间是相互独立的策略，互不干扰。 告警策略若失败一次，并不影响其策略有效性，若继续触发告警规则，则会继续执行伸缩活动。 定时/周期策略若失败一次，您需重新检查策略有效性，重新设置触发时间与生效时间，避免策略失效无法被触发。

本文为您介绍IAM的产品功能。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号或者云服务管理资源等。 精细的权限管理 使用IAM，您可以将帐号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理。 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证，不必与其他人员共享您的帐号密码，系统会通过身份凭证中携带的权限信息允许用户安全地访问您帐号中的资源。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权，只需规划用户组，并将对应权限授予用户组，然后将用户添加至用户组中，用户就继承了用户组的权限。如果用户权限变更，只需在用户组中移除用户或将用户添加进其他用户组，就可以实现快捷的用户授权。 委托其他帐号或者云服务管理资源 通过委托信任功能，您可以将自己的操作权限委托给其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限代替您进行日常工作。

本文将为您介绍使用弹性伸缩前的准备工作。 注册天翼云账号 在使用弹性伸缩之前，您需仔细阅读本文内容，完成准备工作。 如果您已经拥有一个天翼云实名账号可直接跳过本步骤，如果您还没有天翼云账号，请参考以下流程进行创建： 1. 登录天翼云官网www.ctyun.cn，点击右上角“免费注册”按钮。 2. 填写注册信息。填写邮箱后，设置登录密码，并通过手机验证。 3. 勾选协议，并点击“同意协议并提交”，即可完成账号注册。 实名认证 具体可参见实名认证模块对天翼云账号进行实名认证。 账户充值 您需要确保天翼云实名账户中的余额充足，具体天翼云账户充值步骤请参见账户充值。

本文主要介绍包年包月的收费模式。 收费方式 预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 计费周期：按月计费，以自然月为计费单位，包年享受官网对应的折扣。 升级规则 升级时间不满整月的，升级后配置按当月实际发生天数计费。 续订规则 续订数据库，续费可选择续订的时长，并完成订单支付。 退订规则 退订数据库，不满整月的按当月实际发生天数收费。 退订数据库后，实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会彻底删除实例。 提醒/通知规则 到期通知：服务到期前7天、前3天进行邮件通知，到期前1天、当天进行邮件通知和短信提醒。 超期通知：服务超期1天进行邮件通知，超期3天、7天进行邮件通知和短信提醒。

集群退订 步骤 1：登录云容器引擎控制台，在左侧导航栏中选择“集群管理”。 步骤 2：找到要退订的智算集群记录，单击“退订”。 步骤 3：在弹出的“退订”页面中，勾选要释放的资源，输入“DELETE”确认要删除集群。 步骤 4：单击“确定”，开始退订集群。退订集群需要花费10~15分钟，请耐心等候。退订后集群状态显示为已退订。 退订后裸金属保留15天。

服务配额是指天翼云账号在使用云资源时的最大限制。本文将介绍天翼云账号购买弹性IP(Elastic IP Address,简称EIP)后可获得的服务配额。 通用配额 弹性IP (单资源池可开通数量)：单个客户每个账户、单资源池可申请的弹性IP数量为10个，您可以通过提交工单来提升配额。 弹性IP(所有一类节点资源池可开通总数量)：单个客户每个账户、在所有一类节点资源池可申请的弹性IP数量为20个，您可以通过提交工单来提升配额。

四层服务 针对四层服务（TCP/UDP协议）：开启监听器的“获取客户端IP”功能。 注意 开启此功能后，执行后端服务器迁移任务时，可能出现流量中断（例如单向下载、推送类型的流量）。所以后端服务器迁移完成后，需要通过报文重传来恢复流量。 监听器开启此功能后，后端服务器不能作为客户端访问此监听器。 如果监听器之前已经添加了后端服务器、并且开启了健康检查功能，开启“获取客户端IP”功能会重新上线后端服务器，新建流量会有12个健康检查间隔的中断。 1、 1）开启监听器的“获取客户端IP”功能。 2）登录管理控制台。在管理控制台左上角选择区域和项目。 3）在页面中选择“网络 > 弹性负载均衡”。 4）在“负载均衡器”界面，单击需要操作的负载均衡名称。 5）切换到“监听器”页签。 新增场景：单击“添加监听器”。 修改场景：在需要修改的监听器名称右侧所在行的操作列，单击“编辑”。 6）开启“获取客户端IP”开关。 7）设置后端服务器的安全组、网络ACL、操作系统和软件的安全规则，使客户端的IP地址能够访问后端服务器。 说明 开启“获取客户端IP”之后，不支持同一台服务器既作为后端云主机又作为客户端的场景。如果后端云主机和客户端使用同一台云主机，且开启“获取客户端IP”，则后端云主机会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。 2、 开启“获取客户端IP”之后，不支持同一台服务器既作为后端服务器又作为客户端的场景。如果后端服务器和客户端使用同一台服务器，且开启“获取客户端IP”，则后端服务器会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。

username: root password: TesT@@135 driverclassname: org.postgresql.Driver version: file: localpath: /app/pg/localpackage platform: standalone 7. 启动管理平台，执行命令./startup.sh。 8. 管理平台启动成功后，打开配置库database，如pgadmin，在pgzookeeperinfo表插入预先部署好的Zookeeper服务的url。 参考SQL： 如果是mysql数据库使用以下sql 。 plaintext INSERT INTO pgadmin.telepgzookeeperinfo(zookeeperid, url, primarynamespace, username, password, enableacl, description, createuser, createtime, updateuser, updatetime) VALUES (1, '10.142.90.28:8791,10.142.90.29:8791,10.142.90.30:8791', 'pgcluster', NULL, NULL, '0', NULL, 'test', NOW(), NULL, NULL); 如果是pg数据库使用以下sql。 plaintext INSERT INTO pgadmin.telepgzookeeperinfo(zookeeperid, url, primarynamespace, username, password, enableacl, description, createuser, createtime, updateuser, updatetime) VALUES (1, '10.150.106.24:2181,10.150.106.25:2181,10.150.106.26:2181', 'pgcluster', NULL, NULL, '0', NULL, 'test', NOW(), NULL, NULL); 需要把10.142.90.28:8791,10.142.90.29:8791,10.142.90.30:8791 替换成部署好的Zookeeper服务的url 控制台自建用户: root/TeleHTAP@2020 2. 部署监控采集数据服务 参考文档《部署监控数据采集服务》。 3. 部署北向接口服务 如果有送北向的需求，请参考文档《部署北向接口服务》。

操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 执行以下命令查询该云主机是否安装NFS客户端，若没有返回安装结果，执行第5步进行安装。 plaintext rpm qa grep nfsutils 5. 安装NFS客户端。安装时注意不同操作系统执行命令不同。 CentOS系统，执行以下命令： plaintext yum y install nfsutils Ubuntu系统，执行以下命令： plaintext sudo aptget install nfscommon 6. 执行如下命令创建本地挂载路径，例如“/mnt/sfs”。 plaintext mkdir /mnt/sfs 7. 在文件系统详情页面复制挂载命令，并在客户端执行挂载。挂载完成后使用 df h命令查看文件系统挂载情况。挂载命令获取见下图： 注意 请将挂载命令中的“/localfolder”替换为您在第6步创建的本地挂载路径。 8. 挂载完成后使用 df h命令查看文件系统挂载情况。 9. 配置开机自动挂载。 注意 为避免已挂载文件系统的云主机重启后挂载信息丢失，建议设置重启时进行自动挂载。 1. 执行“vi /etc/rc.d/rc.local”编辑 rc.local 文件，在文件末尾新增挂载信息，挂载命令可在文件系统详情页获取（见上方第7步）。配置完成后，单击“Esc”键，并输入 :wq，保存文件并退出。配置样例如下： plaintext sleep 10s && sudo 挂载命令 2. 执行“chmod +x /etc/rc.d/rc.local ”。 3. 完成上述配置后，当云主机重启时，系统会等待10s后自动挂载。 10. 建议使用NFSv3协议挂载，如需使用NFSv4协议挂载，请在每个NFS客户端按以下步骤配置nfs4uniqueid。 shell

本节主要介绍前提条件 注册天翼云帐号，并登录成功。 获取AK/SK，请参考AK/SK获取方法。 说明 如果使用微服务引擎专业版，需要配置AK/SK。 如果使用微服务引擎专享版，不需要配置AK/SK。 创建一个虚拟私有网络VPC，请参考创建虚拟私有云和子网。 创建一个CCE集群，集群中至少包含一个ECS节点(为方便后续步骤的操作，节点 规格最好选择4vCPUs、8GB内存)并且绑定弹性IP。集群绑定弹性IP，请参考云容器引擎 > 购买容器集群。 本例将绑定GitHub源码仓库，实现源码构建、归档、应用创建， 需要先到GitHub官网注册帐号。 在ServiceStage创建仓库授权，授权访问GitHub仓库，请参考微服务云应用平台 > 仓库授权。

当前天翼云KMS已与部分云产品集成，为云产品提供服务端加密功能，您可以在云产品控制台一键开启加密功能，加解密过程透明无感知。 存储 产品名称 描述 相关文档 云硬盘 云硬盘支持加密功能，加密云硬盘使用的密钥由KSM提供，并保护密钥的安全。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照 管理加密云硬盘 对象存储 对象存储（简称ZOS）在数据写入数据中心内的磁盘之前，支持在对象级别上应用数据加密的保护策略，并在访问数据时自动解密。 加密和解密这一操作过程都是在服务端完成，这种服务端加密功能可以有效保护静态数据。 服务端加密 弹性文件 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。 加密 数据库 产品名称 描述 相关文档 关系数据库MySQL版 关系数据库MySQL版服务支持设置透明数据加密TDE，在数据落盘时对数据进行加密，从而保证数据的安全性，用户业务对此加密过程无感知。 设置透明数据加密TDE 关系型数据库PostgreSQL版 关系型数据库PostgreSQL版支持透明数据加密，通过用户在KMS服务中创建的对称主密钥来生成DEK（Data Encryption Key）数据密钥，并使用数据密钥对数据进行加密。 透明数据加密概述 文档数据库服务 文档数据库服务支持磁盘加密，磁盘加密通过KMS提供的密钥实现。 磁盘加密

本文带您了解使用虚拟私有云产品过程中涉及的基本概念。 名词 说明 子网 子网（subnet）是指在一个大的网络范围内，为了更好地进行资源管理，而将网络划分成的小型网络。每个子网有一个唯一的IP地址序列，可用于分配给该子网中的主机和其他网络设备。子网是虚拟私有云中的一个IP地址段，虚拟私有云中的所有资源都必须部署在子网上。 路由表 可用区资源池：路由表用于控制虚拟私有云的流量走向，路由表分为默认路由表和自定义路由表两种类型。默认路由表随着VPC自动创建，所有新建子网与默认路由表关联，不能创建也不能删除默认路由表，但可以在默认路由表中创建自定义路由规则。地域资源池：分为VPC级路由表和子网级路由表，VPC级路由表用于控制整个VPC粒度的网络流量，子网路由表和子网关联后用于控制子网粒度的网络流量。 虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的一个内网IP地址，没有分配给真实弹性云主机网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云主机。您可以通过将虚拟IP与主备弹性云主机绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 安全组 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的弹性云主机、物理机提供安全访问策略。安全组创建后，用户可以根据业务需求自定义防护规则，当弹性云主机、物理机加入该安全组后，即受到这些访问规则的保护。 ACL 网络ACL是一个子网级别的流量防护规则，您可以自定义配置网络ACL规则，并将网络ACL与子网关联，通过出方向/入方向规则管理出入子网的流量，实现对子网中云服务器实例流量的访问控制。安全组对云主机、物理机等实例进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 流量镜像 流量镜像（Traffic Mirror）功能可以将网络流量从一个或多个源端口复制到一个目标端口，以便进行分析、监控和调试。流量镜像主要是复制网卡上的流量并筛选出符合条件的报文，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击和优化网络性能。 IPv4网关 IPv4网关是连接虚拟私有云和公网的网络组件。虚拟私有云访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。对于地域资源池，没有IPv4网关产品概念。 弹性网卡 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。弹性网卡可以灵活的绑定/解绑云服务器，实现云服务器和网络的解耦。 NAT网关 NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云内的计算实例提供网络地址转换，天翼云NAT网关分为SNAT和DNAT两个功能，通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。 对等连接 对等连接（VPC Peering Connection）是指两个同一区域内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一区域内其他帐号的VPC之间创建对等连接。 VPC终端节点 VPC终端节点（VPC Endpoint，CTVPCEP）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。

本节主要介绍Redis常见使用规范，主要从Key名称、Value值、Redis命令以及其他方面描述。 Key名称 Key名称的使用规范如下： 使用统一的命名规范。 一般使用业务名(或数据库名)为前缀，用冒号分隔，例如，业务名:表名:id。 控制key名称的长度。 在保证语义清晰的情况下，尽量减少Key的长度。有些常用单词可使用缩写，例如，user缩写为u，messages缩写为msg。 名称中不要包含特殊字符。 Value值 Value值的使用规范如下： 要避免大Key。 大Key会带来网卡流量风暴和慢查询，一般string类型控制在10KB以内，hash、list、set、zset元素个数不要超过5000。 选择合适的数据类型。 比如存储用户的信息，可用使用多个key，使用set u:1:name "X"、set u:1:age 20这样存储，也可以使用hash数据结构，存储成1个key，设置用户属性时使用hmset一次设置多个，同时这样存储也能节省内存。 设置合理的过期时间。 最好是过期时间打散，不要集中在某个时间点过期。 Redis命令 Redis命令的常用规范如下： 时间复杂度为O(N)的命令，需要特别注意N的值。 例如：hgetall、lrange、smembers、zrange、sinter这些命令都是做全集操作，如果元素很多，是很耗性能的。可使用hscan、sscan、zscan这些分批扫描的命令替代。 命令禁用，使用前，请参考Redis命令兼容性和WebCli命令兼容性。 慎重使用select。 Redis多数据库支持较弱，多业务用多数据库实际还是单线程处理，会有干扰。最好是拆分使用多个Redis。天翼云集群实例不支持多DB。 如果有批量操作，可使用mget、mset或pipeline，提高效率，但要注意控制一次批量操作的元素个数。 mget、mset和pipeline的区别如下： mget和mset是原子操作，pipeline是非原子操作。 pipeline可以打包不同的命令，mget和mset做不到。 使用pipeline，需要客户端和服务端同时支持。 lua脚本的执行超时时间为5秒钟，建议不要在lua脚本中使用比较耗时的代码，比如长时间的sleep、大的循环等语句。 调用lua脚本时，建议不要使用随机函数去指定key，否则在主备节点上执行结果不一致，从而导致主备节点数据不一致。 集群实例使用lua有如下限制： 使用EVAL和EVALSHA命令时，命令参数中必须带有至少1个key，否则客户端会提示“ERR eval/evalsha numkeys must be bigger than zero in redis cluster mode”的错误。 使用EVAL和EVALSHA命令时，DCS Redis集群实例使用第一个key来计算slot，用户代码需要保证操作的key是在同一个slot。

本文重点介绍为天翼云物理机创建备份的最佳实践简介。 方案介绍 当我们部署在物理机上的系统出现外部病毒入侵、人为误操作、业务软件Bug等故障场景时，可以通过云服务备份为物理机创建定期自动备份（备份周期最小为1小时）。当上述故障发生时，可通过备份进行快速恢复，避免数据丢失。 云服务备份将物理机的配置和所包含的多个云硬盘数据备份到高可靠性等级的对象存储服务中，保障用户的备份数据安全。 应用场景 企业核心数据库场景和政企金融高安全场景对数据安全性有苛刻要求，建议使用本方案对物理机进行备份，提升数据可靠性。 优势 简单：可以自定义策略进行在线备份，备份设置简单易操作。 高效：支持增量备份、增量恢复，RTO可达分钟级。 可靠：同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题；对象存储服务的规格满足99.999999999%持久性标准。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 前提条件 1. 创建密钥对 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 2. 创建虚拟私有云 物理机使用虚拟私有云提供的网络，包括子网、安全组等。

操作说明 本方案基于天翼云 ROS（资源编排服务）控制台，采用 Terraform Module 模块化设计，实现赛事用云主机全流程自动化批量部署。用户仅需导入模板、配置核心参数，即可一键完成 VPC、子网、安全组规则、云主机、弹性 IP 等全套网络与计算资源的自动化创建，全程无需手动操作。 通过模块化封装，方案支持灵活自定义可用区、网络网段、实例规格及部署数量，同时内置安全密码自动生成能力，可满足网络安全赛事、攻防演练、CTF 竞赛等场景下的多组别隔离、环境统一与快速交付需求，实现资源部署高效化、运行环境标准化、运维管理轻量化，为各类赛事靶机环境提供稳定、便捷的规模化交付能力。 适用场景 网络安全赛事靶机批量快速开通与统一部署 多组别、多题型竞赛环境的标准化网络搭建 攻防演练、CTF 赛事多镜像靶场环境一致性交付 临时赛事训练、演示环境快速创建与赛后一键回收 需自定义网段、靶机规格与资源隔离的规模化赛事场景 核心能力 在 ROS 控制台中： 导入模板（基于 Terraform 语法适配） 核心参数配置：配置实例数量（instancecount）、可用区选择、镜像、云主机规格等等 一键创建资源栈 即可自动完成： 多VPC和子网自动创建与分配 N 台云主机批量创建 弹性公网 IP 自动绑定 符合安全规范的随机密码自动生成 同时支持一键删除资源栈，实现全量资源自动回收

本节主要介绍怎么快速创建子用户。 进入“访问控制”>“概览”，点击“创建用户”，进入“创建用户”页面，启动创建用户。可以按照下列步骤创建子用户： 1. 设置用户 ：根据页面提示添加用户名，可以添加一个或多个用户，并为新创建的用户设置访问方式。 2. 设置权限 （可选）：为用户添加权限，有三种添加权限的方式（只能选择一种）： 将用户添加到组 （前提：已经有用户组）：用户将继承该用户组的所有权限。 从现有用户复制 （前提：现有用户有通过直接附加的方式被授权的策略），每次只能复制一个用户的权限。只能复制现有用户直接附加的策略，不能复制用户所在组的策略。 附加现有策略 。 3. 设置标签（可选） ：可以为新建用户添加标签键和标签值。每个用户最多可添加10个标签。 4. 信息审核 ：对新建用户的信息进行审核，如果需要更改，可以在此页面点击对应的编辑标识，然后到对应的页面进行修改。 5. 完成 ：可以在完成页面查看用户名、访问密钥、用户登录密码。也可以通过“下载凭证 ”，查看用户名、访问密钥、密码、子用户登录链接。 注意 凭证信息仅可下载一次，页面跳转后无法再次获取，请妥善保存相关访问密钥ID及私有密钥。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 TSDBlink OpenTSDB链接地址 OpenTSDB的ZK链接地址。 opentsdbsp8afz7bgbps5ur.cloudtable.com:4242 安全模式 选择安全或非安全模式。 选择安全模式时，需要输入项目ID、用户名、AK/SK。 Nonsecurity 项目ID CloudTable服务所在区域的项目ID。 项目ID表示租户的资源，帐号ID对应当前帐号。用户可在对应页面下查看不同Region对应的项目ID和帐号ID。 1. 注册并登录管理控制台。 2.在用户名的下拉列表中单击“我的凭证”。 3. 在“我的凭证”页面，查看帐号名和帐号ID，在项目列表中查看项目ID。 用户名 访问CloudTable服务的用户名。 admin 访问标识(AK) 密钥(SK) 访问CloudTable服务的AK和SK。 您需要先创建当前账号的访问密钥，并获得对应的AK和SK。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥>新增访问密钥”，详见下图：单击新增访问密钥。 3.单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。

本章节介绍如何进行日志查看 概述 云原生网关对接天翼云日志服务（LTS）实现了访问日志采集、上报和查询能力；使用此功能前需要先开通云日志服务，同时在云原生网关控制台开启日志功能。 每个云原生网关实例在云日志服务中会创建一个日志项目，项目名称为MSEGW${网关实例名称}，项目内有一个日志单元对应访问日志，单元名称为网关实例名称，您可以在云原生网关控制台 观测分析 > 日志中心 菜单 或者在云日志服务控制台查看网关访问日志。 访问日志格式说明 网关访问日志示例 {"starttime":1725411921254,"request":{"size":335,"method":"POST","uri":"/foo/bar","headers":{"accept":"text/plain, application/json, application/+json, /","contentlength":"0","ubertraceid":"b32bce4ff1f00f7b:899a1fd65c39be02:1c3372663d9eae03:0","connection":"keepalive","useragent":"Java/1.8.0212","host":"foo.ctyun.com","contenttype":"application/json"},"url":" alb/v3.4.5","contentlength":"427","date":"Wed, 04 Sep 2024 01:05:21 GMT","connection":"close","server":"MSEGW/3.2.2","contenttype":"application/json;charsetUTF8"},"status":400},"upstream":{"upstreamaddr":"10.121.x.x:80","upstreamstatus":"400","upstreamlatency":25,"upstreamname":"fooservice"},"routeid":"ddd342a2a3f34405bb8650ad4e","routename":"testroute"} 访问日志字段说明如下 字段 说明 starttime 请求开始时间 request 请求信息 serviceid 服务id server 网关节点信息 apisixlatency 网关自身处理耗时（不包括上游服务耗时） latency 总请求耗时（网关处理耗时和上游服务耗时之和） clientip 客户端IP response 应答信息 upstream 上游信息，包括上游地址，上游返回的HTTP状态码，上游耗时；当服务访问异常时可以重点关注此字段，确认是否时上游服务出了问题。 routeid 路由id routename 路由名称

驱动类型 License CUDA OpenGL DirectX Vulcan 典型应用场景 说明 GRID驱动 需要 支持 支持 支持 支持 3D渲染、图形工作站、游戏加速 公共镜像自带，如您使用私有镜像需要付费使用，需要购买License，满足图形图像类应用加速用途。 Tesla驱动 不需要 支持 不支持 不支持 不支持 科学计算、深度学习训练和推理 通常搭配使用NVIDIA CUDA SDK，可免费下载使用，满足通用计算类应用加速用途。

创建告警通知策略,当告警触发时,只要不符合静默策略,就会依照通知策略在对应渠道发送告警信息给对应的通知对象。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「告警管理 」「通知策略」。 功能说明 支持增删改查告警通知策略信息。 通知对象 ：可从通知组进行选择。 通知模板 ：可跟进不同通知渠道（邮件、短信、翼连）设置不同的通知模板。 通知时段 ：可以设置通知时段，默认是告警触发时通知。

外设白名单 1. 企业启用外设管控时，通常默认全部管控，同时允许少量外设接入，因此需要白名单功能。 说明 U盘、便携设备支持白名单管理。 2. 点击新增名单，加入白名单的设备将不受管控策略的约束。 3. 可根据您的设备类型点击下载并查看外设白名单指南。

本节主要介绍如何在智能视图服务控制台使用列表模式下的录像管理功能。 说明 仅云端录像支持列表查看。 在录像回放播放窗口的右下角，可切换为录像片段列表展示。在左侧的目录树选择不同的设备和录像日期，可在列表查看该设备当天的所有录像片段，包含录像名称、录像截图、开始时间和时长等信息，用户可以下载或播放单个录像片段。

升级手工安装Agent 如果您需要为手工安装的Agent升级，您只需要重新下载新版Agent，解压到之前的目录，将之前目录的Agent删掉即可。 升级部署在CCE容器中的Agent 如果您需要为部署在CCE容器中的JAVA应用升级安装Agent，只需要按照“快速入门> 开始监控JAVA应用>”为部署在CCE容器中的JAVA应用安装Agent”选择新版的“探针版本”重新安装即可。 升级其他类型Agent 重新安装Agent即可。

本文将介绍如何免密拉取CRS镜像。 ECI支持从天翼云容器镜像服务CRS私有镜像仓库中免密拉取镜像，以提升效率和安全性。创建ECI实例前，需要将镜像上传到对应仓库中。本文介绍如何免密拉取CRS镜像。 背景信息 天翼云容器镜像服务CRS分为个人版和企业版。其中，企业版是企业级云原生应用制品管理平台，提供容器镜像、Helm Chart以及符合OCI规范制品的生命周期管理，适用于业务大规模部署场景，帮助企业降低交付复杂度。 创建工作负载时，如果要拉取的镜像属于CRS镜像，当使用内网地址时，ECI支持免密拉取，提升效率，同时避免密码泄露的风险，加强安全性。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 1. 登录云容器引擎控制台，在控制台的左侧导航栏中点击“集群” 。 2. 在集群列表页面中单击目标集群的名称。 3. 在左侧选择“工作负载”，选择“无状态”，在右上角单击“创建Deployment”。 4. 按需配置工作负载的信息。 5. 按需配置容器，容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 1. 容器名称：为容器命名。 2. 镜像更新策略：选择是否总是拉取镜像。 3. 镜像名称：选择容器使用的镜像，支持多种镜像来源。 4. 镜像版本：选择需要部署的镜像版本。 6. 点击选择镜像，从CRS镜像仓库选择私有镜像，选择内网地址。 7. 创建完成后，进入工作负载的无状态页面，可以看到新建的k8ssidecar应用出现在无状态列表下。

操作场景 您可以使用对象分享功能，通过对象的临时URL将存放在OBS中的对象分享给所有用户。 背景知识 文件分享强调临时性，所有分享的URL都是临时URL，存在有效期。 临时URL是由文件的访问域名和临时鉴权信息组成。 临时鉴权信息主要包含 AccessKeyId 、 Expires 、xobssecuritytoken 和Signature 四个参数。其中 AccessKeyId 、xobssecuritytoken 和Signature 用于鉴权，Expires定义鉴权的有效期。 当在OBS控制台上单击了对象后的“分享”之后，OBS就会以默认5分钟的有效期获取临时鉴权信息，并生成分享链接，此时链接就已经生效并且开始计算时间了。每调整一次URL有效期，OBS就会重新获取一次鉴权信息以生成新的分享链接，新链接的有效期从调整的时候开始计算。 约束与限制 通过OBS控制台分享的文件，有效期的范围为1分钟到18小时。如果想要设置更长的有效期，建议使用客户端工具OBS Browser+，OBS Browser+支持1分钟到30天的有效期。如果想要设置永久的权限，请通过桶策略或对象策略实现。 仅桶版本号为3.0的桶支持文件分享功能。桶版本号可以在桶概览页的“基本信息”中查看。 加密对象不能分享。 归档存储对象需恢复后才能分享。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 选中待分享的文件，并单击右侧的“分享”。 此时，链接信息中的链接就已经生效并开始计时，有效期为默认的5分钟。修改URL有效期，链接会相应变化，新链接的有效期从修改时开始计算。 步骤 3 URL相关操作。 单击“打开URL”，将在新页面打开文件进行预览或者直接下载文件到本地。 单击“复制链接”，您可以将该链接分享给所有用户，用户可以在浏览器中通过此链接直接访问文件。 单击“复制路径”，您可将该路径分享给所有拥有对象所在桶权限的用户，用户可以在对应桶中的文件搜索框中输入该路径搜索并访问文件。 说明 在“URL有效期”内，任何用户都可以访问该文件。

监控云主机 监控是保持弹性云主机可靠性、可用性和性能的重要部分，通过监控，用户可以观察弹性云主机资源。为使用户更好地掌握自己的弹性云主机运行状态，公有云平台提供了云监控。您可以使用该服务监控您的弹性云主机，执行自动实时监控、告警和通知操作，帮助您更好地了解弹性云主机的各项性能指标。 主机监控分为基础监控和操作系统监控。 基础监控 基础监控无需安装Agent，是ECS自动上报的监控指标。基础监控指标的监控周期为5分钟（KVM实例）。 操作系统监控 操作系统监控需要在弹性云主机中安装Agent插件，为用户提供服务器的系统级、主动式、细颗粒度监控服务。操作系统监控的监控周期为1分钟（KVM实例）。 增加登录密码的强度 “密钥对”方式创建的弹性云主机安全性更高，建议选择“密钥对”方式。如果您习惯使用“密码”方式，请增强密码的复杂度，如下表所示，保证密码符合要求，防止恶意攻击。 系统不会定期自动修改弹性云主机密码。为安全起见，建议您定期修改密码。 密码设置建议： 密码应该长度不少于10位。 建议不要使用有一定特征和规律容易被破解的常用口令的密码（如：在常用彩虹表中的密码、滚键盘密码等），且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种。 密码尽量不要包含账户名如：adminstrator/administrator，test/test，root/root，oracle/oracle，mysql/mysql。 建议至少每90天更改一次密码。 建议不要重复使用最近5次（含5次）内已使用的密码。 建议根据不同应用设置不同的账号密码，不建议多个应用使用同一密码。 创建云主机时密码的设置规则 参数 规则 样例 ::: 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种： 大写字母 小写字母 数字 特殊字符，包括“$”、“!”、“@”、“%”、“”、“”、“”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?” 密码不能包含用户名或用户名的逆序。 Windows系统的云主机，不能包含用户名中超过两个连续字符的部分。 YNbUwp!dUc9MClnv 说明 样例密码随机生成，请勿复制使用样例。

本文介绍弹性公网IP(Elastic IP Address,简称EIP)通提升配额、创建配额模板等操作的路径。 背景信息 天翼云配额中心是用于集中管理天翼云服务配额的服务。它目前已经接入多个天翼云服务，其中包括EIP。如果您需要在一个界面统一管理所有云服务的配额，推荐您使用配额中心。 使用限制 默认情况下只有天翼云主账号可以在配额中心执行操作。如果您需要使用子账号执行管理操作，请先为该用户授予管理配额的权限。 查看配额 登录天翼云配额中心，即可查看相关服务的配额情况。 提升配额 您可在服务配额页面右上角，单击“申请扩大配额”。

通过备份策略，您可以将整个存储库绑定的资源按照一定的策略要求，对资源的数据进行周期性备份，以便服务器在数据丢失或损坏时快速恢复数据，保证业务正常运行。 通过备份策略，您可以将整个存储库绑定的资源按照一定的策略要求，对资源的数据进行周期性备份，以便云主机在数据丢失或损坏时快速恢复数据，保证业务正常运行。 当需要定期备份存储库时，首先需要创建一个备份策略，系统根据您的备份策略决定何时执行备份任务。您可以使用系统提供的默认备份策略，也可以结合实际情况，创建新的自定义备份策略。 约束与限制 可以为云主机备份存储库、SFS Turbo备份存储库、云硬盘备份存储库、数据库服务器存储库设置备份策略。 通过备份策略的方式对资源进行周期性备份，仅当启用备份策略后，系统才会自动备份所绑定的存储库绑定的资源，并定期删除过期的备份。 每个用户最多只能创建32个备份策略。 策略保留规则过期清理时，仅会删除过期自动备份数据不会删除手动备份数据。 只有“运行中”、“关机”状态的云主机才可进行备份。 只有“可用”或“正在使用”状态的磁盘才可进行备份。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。 2. 在左侧导航树选择“策略”，进入“备份策略”页签，单击右上角“创建策略”，创建自定义策略。如下图所示。 图 创建备份策略 3. 设置备份策略信息。各参数说明如下表所示。 参数 说明 示例 类型 选择策略类型。本章节以创建备份策略为例。 备份策略 名称 设置备份策略的名称。只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。 backuppolicy 是否启用 设置备份策略的启用状态。 仅当启用备份策略后，系统才会自动备份所绑定的存储库的云主机和磁盘，并定期删除过期的备份。 备份周期 设置备份任务的执行日期。 o 按周 指定备份策略在每周的周几进行备份，可以多选。 o 按天 指定备份策略每隔几天进行一次备份，可设置1～30天。 每1天当选择按天备份时，理论上第一次备份的时间为备份策略创建当天。如果当天备份策略创建的时间已经晚于设置的备份时间，那么将会等到第二个备份周期再进行第一次备份。建议选择无业务或者业务量较少的时间进行备份。 备份时间 设置备份任务在一天之内的执行时间点。只支持在整点进行备份，同时支持选择多个整点进行备份。 须知： o 设定的备份时间和控制台实际创建备份的时间可能存在差异。 o 如需要备份的资源总数据量较大，建议备份执行时间点不宜设置过于紧密。如果单个资源执行备份的时长超过两个备份执行时间间隔，则会跳过第二个备份时间点不进行备份。 例如： 某磁盘的备份策略设置的备份时间点为：00:00，01:00，02:00。在00:00时，磁盘开始进行备份，由于磁盘此次备份增量数据较大，或者该时间段同时执行的备份任务较多，该次备份任务耗时90分钟，在01:30时完成备份。则01:00的备份时间点会跳过，在02:00时再执行备份，将只会产生两个备份。 o 备份时间指的是客户端所在的本地时间，并不是指region所在的时区时间。 00:00，02:00o 建议选择无业务或者业务量较少的时间进行备份。o 备份的业务高峰期在0点到早上6点，建议客户评估业务类型，分散时间备份，如果指定的策略在业务高峰时段，可能会有一定的调度延迟 保留规则 设置备份产生后的保留规则。 o 按时间 可选择1个月、3个月、6个月、1年的固定保留时长或根据需要自定义保留时长。取值范围为2～99999天。 o 按数量单个云主机执行备份策略保留的备份总份数。取值范围为2～99999个。 o 永久保留 说明： § 当保留的备份数超过设置的数值时，系统会自动删除最早创建的备份，当保留的备份超过设定的时间时，系统会自动删除所有过期的备份；系统默认每隔一天自动清理，删除的备份不会影响其他备份用于恢复。 § 保留的备份可能将不会在备份策略设置的时间点按时自动删除，将会存在一定的延迟。备份在到期时间后的12点至0点的时间段，进行分批删除。 § 保留规则仅对备份策略自动调度生成的备份有效。手动执行备份策略生成的备份不会统计在内，且不会自动删除。如需删除，请在备份页签的备份列表中手动删除。 § 当备份创建过镜像之后，该备份不会继续统计在保留规则中，也不会自动删除。§ 周期性备份产生的失败的备份最多保留10个，保留时长1个月，可手动删除。 设置“按数量”保留3个备份。 说明 备份越频繁，保留的备份份数越多或时间越长，对数据的保护越充分，但是占用的存储库空间也越大。请根据数据的重要级别和业务量综合考虑选择，重要的数据采用较短的备份周期，且保留较多的备份份数或较长时间。 4. 设置完成后，单击“提交”，完成备份策略的创建。 说明：创建完备份策略后找到目标存储库，单击“更多 > 绑定备份策略”，绑定创建好的备份策略。可以在存储库详情中查看已配置的备份策略。绑定成功后，存储库将按照备份策略进行周期性备份。 示例 某用户在星期一上午10:00设置某存储库策略A的备份时间为每天凌晨02:00，保留策略为按数量保留3份，该存储库绑定了一个磁盘。星期六上午11:00，保留策略保留了3个备份，分别为星期三、星期四和星期五产生的备份。星期二凌晨2：00产生的备份已经被系统自动删除。

功能特性 说明 SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云服务器一起使用，通过弹性云服务器内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。

本章节主要介绍翼MapReduce服务Kafka健康检查指标项说明。 Broker可用节点数 标项名称 ：Broker数目 指标项含义 ：检查集群中可用的Broker节点数，若集群中可用的Broker节点数小于2，则认为不健康。 恢复指导 ：如果该指标项异常，进入Kafka服务实例页面，单击不可用Broker实例的“主机名”，在“概要信息”中查看主机的健康状态，若为“良好”，则参见“进程故障”告警进行处理；若不为“良好”，则参见“节点故障”告警进行处理。 服务健康状态 指标项名称 ：服务状态 指标项含义 ：检查Kafka服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见“Kafka服务不可用”告警进行处理。 检查告警 指标项名称 ：告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导 ：如果该指标项异常，建议参见告警进行处理。