本文主要介绍价格说明 云审计服务本身免费，包括开通追踪器、事件跟踪以及7天内事件的存储和检索。 但云审计提供的事件文件转储功能需要使用对象存储服务，会产生对象存储服务费用，相关费用信息请参考对象存储服务文档。

本文介绍如何将客户端加入已经部署好的AD域。 前提条件 AD域控制器已安装AD域服务并已部署完成。 操作步骤 1. 登录非AD域控制器的云主机客户端，进入“控制面板>系统和安全>系统”，在“计算机名、域和工作组设置”处可以看到当前计算机不属于任何域。 2. 设置DNS，使得客户端能解析AD域的域名。 1）客户端DNS设置。 a.登录客户端，打开“控制面板>网络和共享中心”，在“查看网络活动”找到“连接”，点击已连接的网络，通常为“以太网”。 b.在“以太网状态”弹窗中点击“属性>Internet协议版本4（TCP/IPv4）>属性”。 c.将“自动获得DNS服务器地址”改为“使用下面的DNS服务器地址”，并设置“首选DNS服务器”，设置的IP为AD域控制器的IPv4内网地址，在天翼云官网>弹性云主机控制台列表页获取。备用DNS服务器设置为空即可。 2）AD域控制器DNS设置。 AD域控制器的Internet协议版本4（TCP/IPv4）属性保持为“自动获得DNS服务器地址”。 3）网络验证。 在客户端命令行提示符工具或power shell工具处执行ping AD域名验证网络连通性。本文中执行 ping sfs.com。 3. 设置Sysprep。在客户端 C:Windows/System32/Sysprep，双击Sysprep.exe ，在勾选“通用”选项。防止计算机SID相同而无法加入AD域。 4. 设置域信息。在“计算机名、域和工作组设置”右侧点击“更改设置>更改”，选择“域”，填入AD域的域名“sfs.com”，点击“确定”。 5. 加域。输入步骤二中在域控制器创建用户时设置的用户名和密码。加入成功后会显示“欢迎加入sfs.com域”的提示。 6. 重启计算机使配置生效。 7. 验证。重启后，重新进入“系统”界面，此时可以看到本计算机已经加入到域sfs.com中。

SSL VPN镜像的云主机上是否可以再安装其他的业务服务或插件？ 不可以，因为SSL VPN云主机是用来作为虚拟的SSL VPN网关设备的。 Web资源、TCP资源和L3VPN资源的区别？ Web资源用来发布简单的静态网页的Web服务，本身去访问不需要在客户端上安装任何SSL控件。 TCP资源用来发布提供TCP协议的服务，比如某个业务服务器提供的是TCP协议的服务，那么就可以发布成TCP资源；去访问的时候会在客户端电脑上自动安装TCP控件，TCP控件抓取数据进入SSL VPN隧道。 L3VPN资源用来发布TCP协议、UDP协议、ICMP协议的服务，比如某个业务服务器正常提供服务既提供了TCP协议又提供了UDP协议的服务，就需要发布成L3VPN资源；去访问的时候会在客户端电脑上安装L3VPN虚拟网卡等控件，由L3VPN虚拟网卡抓取数据进入SSL VPN隧道。 配置发布资源后，为什么有些电脑上有获取到虚拟IP地址，有些电脑上获取不到一样可以正常访问到资源？ 这个与资源的区别有关，只有关联了L3VPN资源的客户端电脑上才可以看到和获取到虚拟IP地址，如果仅仅是关联的Web资源和TCP资源，客户端电脑上看不到和获取不到虚拟IP地址是正常的，因为其原理是由TCP控件抓取数据进去SSL VPN隧道，一样可以正常访问到资源服务。 配置发布资源后，客户端电脑拨入SSL VPN隧道访问不到发布的业务服务器？ 1. 首先查看客户端电脑拨入SSL VPN隧道是否有关联需访问的业务服务器的资源，检查位置：在“SSL VPN配置 > 用户管理”找到SSL客户端用户，勾选，点击查看资源，是否有关联资源的名称。 2. 如果有关联资源，则在资源管理中，找到此资源，看发布的方式是否正确，如果正确还访问不到，将类型改成other，协议改成全部，然后客户端注销SSL VPN隧道，重新拨入访问测试，如果可以，说明是还有其他的协议或端口没发布完全。 3. 如果配置没问题，还是访问不到，检查业务服务器本身在天翼云内网是否可以访问到，本身是否可以正常提供服务，检查SSL VPN服务器本身是否可以访问到此业务服务器。 4. 如果上述检查后问题依旧，请联系售后人员检查。

本文介绍会话管理的相关操作，会话管理功能帮助数据库运维和管理人员，快速查看与管理实例的会话信息，并支持高效定位难以排查的异常会话与阻塞问题。 前提条件 数据库版本：5.7或8.0。 数据库来源：天翼云RDS。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 会话管理 ，进入会话管理页面。 注意事项 针对云数据库，会话管理不支持由root用户、系统用户和天翼云内置用户创建的会话。 针对活跃会话与异常会话，单次查询最大支持5000条会话数据。 性能监控功能仅支持来源为云数据库的实例。 功能介绍 MySQL会话管理包含会话统计、性能监控、活跃会话、会话分析、异常会话、Kill会话等功能。 功能 说明 会话统计 查看会 话统计区域，支持按用户、数据库、访问来源和SQL等条件统计会话总数、活跃会话数、SQL执行次数和SQL最长执行时间。 性能监控 查看性能监控区域，支持展示5分钟内的性能监控趋势，性能监控指标包括数据库实例的CPU使用率、连接数及连接使用率等信息。 活跃会话 选择活跃会话页签，查看活跃会话信息，支持通过会话ID、用户、数据库和活跃状态等条件筛选会话。 会话分析 在10秒内，每隔一秒运行一次show processlist，汇总所有会话SQL进行统计分析；其中，阻塞统计为每隔3秒采集一次元数据锁阻塞信息，统计分析最大锁等待数。 异常会话 选择异常会话页签，查看包含锁等待事务、未提交事务与长事务的异常会话信息，支持通过会话ID、用户、数据库和活跃状态等条件筛选会话。 Kill会话 Kill会话包含以下四个功能： Kill选中会话：在会话列表中勾选待Kill的会话，点击Kill选中会话 ，在弹出的对话框中预览并点击执行。 Kill全部会话：点击Kill全部 ，在弹出对话框中点击执行，Kill全部会话。 持续Kill：详情查看持续Kill 查看Kill历史纪录：点击Kill历史记录，按时间筛选查看Kill历史记录（不包含持续Kill相关的历史记录）。 注意 系统将使用高权限账号对会话进行Kill，请谨慎操作。 权限说明请参考MySQL官方文档。

本节介绍了安装ICAgent的注意事项和操作步骤。 ICAgent是云日志服务的日志采集工具，运行在需要采集日志的云主机中。首次使用云日志服务采集主机的日志时，需要安装ICAgent。 如果在使用其他云服务时已经安装了ICAgent，不再需要重复安装ICAgent，请跳过该步骤。 前提条件 安装ICAgent前，请确保本地浏览器的时间、时区与主机的时间、时区一致。 安装ICAgent 1. 在云日志服务管理控制台，单击“主机管理”。 2. 在主机管理页面，单击右上角“安装ICAgent”。 3. “安装系统”选择“Linux”。 4. “安装方式”选择“获取AK/SK凭证”。 AK/SK（Access Key ID/Secret Access Key）即访问密钥，在“我的凭证”控制台获取，步骤如下： 1. 单击页面右上角的用户名，选择“我的凭证”。 2. 在“我的凭证”页面中选择“访问密钥”页签。 3. 单击“新增访问密钥”，输入验证码或密码。 4. 单击“确定”，下载访问密钥，并妥善保管。 5. 在文本框中输入获取的AK/SK，生成ICAgent安装命令。 6. 单击“复制命令”，复制ICAgent的安装命令。 7. 使用PuTTY等远程登录工具，以root用户登录待安装ICAgent的服务器，执行ICAgent安装命令进行安装。 当显示“ICAgent install success”时，表示安装成功，ICAgent已安装在了/opt/oss/servicemgr/目录。安装成功后，在云日志服务左侧导航栏中选择“主机管理 > 主机”，查看该服务器ICAgent的状态。

本节介绍服务器安全卫士（原生版）与其他云服务关系。 统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本节介绍了云容器引擎的高危操作及解决方案。 用户在使用容器集群进行业务的部署过程中，可能会执行一些潜在风险较高的操作，触发不同程度的业务故障。为更好地帮助用户预估和避免潜在的操作风险，本文从集群节点层面展示一些高危操作可能导致的后果，并提供相应的解决方案，以防止误操作。 节点类型 高危操作 后果 解决方案 master节点 节点到期或销毁 该master节点不可用若只有一个master节点，则集群不可用 不可恢复 master节点 自行改动master或etcd版本 可能引发集群不可用 master或etcd恢复原始版本 master节点 删除或者格式化/etc/kubernetes或/data/containerd等核心数据目录 该master节点不可用若只有一个master节点，则集群不可用 不可恢复 master节点 重装操作系统 master组件被删除，不可用若只有一个master节点，则集群不可用 不可恢复 master节点 删除或者卸载关键内核模块或内核文件 该master节点不可用若只有一个master节点，则集群不可用 不可恢复 master节点 修改操作系统配置 可能导致该master节点不可用若只有一个master节点，则集群不可用 请自行还原配置 master节点 自行修改核心组件参数 可能导致该master节点不可用 核心组件参数恢复配置 master节点 自行修改/etc/resolv.conf等配置文件原始内容 可能引发网络不通或拉取镜像失败 请自行还原配置文件原始内容 master节点 自行更换master或者etcd证书 可能引发集群不可用 不可恢复 master节点 更改节点IP master节点不可用 修改回原IP master节点 业务应用占用资源过高 核心组件或者主机节点不可用 请自行进行资源清理并进行合理资源配额限制 master节点 修改节点的主机名称 master节点不可用 修改回原主机名称 node节点 节点删除或到期 该节点不可用 不可恢复 node节点 重装操作系统 该节点不可用 不可恢复 node节点 删除或者卸载关键内核模块或内核文件 该节点不可用 不可恢复 node节点 修改操作系统配置 可能导致该节点不可用 尝试还原配置 node节点 自行修改核心组件参数 可能导致该节点不可用 核心组件参数恢复配置 node节点 删除或修改关键数据目录、删除数据盘 该节点不可用 不可恢复 node节点 修改节点内目录权限或者容器目录权限 权限异常 不建议修改，请自行恢复 node节点 更改节点IP 该节点不可用 修改回原IP node节点 业务应用占用资源过高 核心组件或者主机节点不可用 请自行进行资源清理并进行合理资源配额限制 node节点 修改节点的主机名称 该节点不可用 修改回原主机名称 容器集群开通节点时会创建以下互通的不可见安全组规则，请勿轻易更改安全组。 入方向/出方向规则 授权策略 IP版本 优先级 协议 网段 端口范围 解决方案 入方向 允许 IPV4 99 Any vpc网段 全部端口 不能更改该安全组规则 入方向 允许 IPV6 99 Any vpc网段 全部端口 不能更改该安全组规则 入方向 允许 IPV6 99 Any 100::/16 全部端口 不能更改该安全组规则 出方向 允许 IPV4 99 Any 所有网段 0.0.0.0/0 全部端口 不能更改该安全组规则 出方向 允许 IPV6 99 Any 所有网段 0:0:0:0:0:0:0:0/0 全部端口 不能更改该安全组规则

本文对企业中心功能做概述 企业中心主要为客户提供多账号上云环境下的便捷管理与运维工具。围绕“人、财、物”的统一管理，提供组织权限、资源运营、财务管理等能力，帮助企业庞大的业务系统顺滑上云用云，满足企业深度用云需求。 当前企业中心功能包括组织管理、资源管理、财务管理、云SSO、资源共享等。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 在事件列表查看审计事件 1. 登录管理控制台。 2. 单击页面左上角的“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务页面。 3. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 4. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近7天内任意时间段的操作事件。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击“刷新”按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击“展开”图标，展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。 9. 关于事件结构的关键字段详解，请参见事件结构和事件样例。

本文帮助您快速了解可用区资源池如何进行VPC的IPv6改造。 背景信息 对于存量的IPv4单栈的VPC，VPC内的云资源只能通过IPv4单栈网络实现内网和公网通信；随着客户业务的发展，需要通过IPv4/IPv6双栈网络实现内网和公网的通信。 资源池说明 由于在不同资源池IPv6的能力存在配置差异，具体可以分为地域资源池、可用区资源池； 地域资源池是没有可用区概念的资源池，您的所有资源都在地域下的一个数据中心中。 可用区资源池分单可用区资源池和多可用区资源池。可用区资源池和地域资源池网络架构类似，但是能力有区别。 详细说明请参考：资源池区别； 可用区资源池场景示例： 某客户由于业务发展，武汉41可用区1下的ECS需要通过IPv6地址对公网提供服务。 资源类型 资源名称 资源说明 改造前资源 VPC vpc17f2 云上专有网络，网段：192.168.0.0/16 改造前资源 子网 subnet17f2 子网网段：192.168.0.0/24 改造前资源 IPv4网关 igwforvpce56agyapy9 用于VPC通过IPv4与公网互通 改造前资源 云主机 ecmc553 私网IPv4地址：192.168.0.3 改造前资源 云主机 ecmc553 公网IPv4地址：171.43.138.93 改造后资源 VPC vpc17f2 云上专有网络，网段：192.168.0.0/16、240e:982:6a3c:e000::/56 改造后资源 子网 subnet17f2 子网网段：192.168.0.0/24、240e:982:6a3c:e000::/64 改造后资源 云主机 ecmc553 私网IPv4地址：192.168.0.3 改造后资源 云主机 ecmc553 公网IPv4地址：171.43.138.93 改造后资源 云主机 ecmc553 IPv6地址：240e:982:6a3c:e000:757a:9004:a3d2:123f 改造后资源 IPv4网关 igwforvpce56agyapy9 用于VPC通过IPv4与公网互通 改造后资源 IPv6网关 igw6forvpce56agyapy9 用于VPC通过IPv6与公网互通 改造后资源 IPv6带宽 v6bw2d73

本节主要介绍购买混合集群。 您可以通过云容器引擎控制台非常方便快速的创建Kubernetes集群。Kubernetes是大规模容器集群管理软件，一个集群可以管理一组节点资源。 CCE集群支持虚拟机与裸金属服务器混合、支持GPU等异构节点的混合部署，基于高性能网络模型提供全方位、多场景、安全稳定的容器运行环境，您可以通过购买节点实现多种场景的混合部署。 前提条件 创建首个集群前，您必须先确保已存在虚拟私有云，否则无法创建集群。若您已有虚拟私有云，可重复使用，无需重复创建。 虚拟私有云为CCE集群提供一个隔离的、用户自主配置和管理的虚拟网络环境。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 若使用密码登录节点，请跳过此操作。 创建集群前，请提前规划好容器网段和服务网段。网段参数在集群创建后不可更改，需要重新创建集群才能调整，请谨慎选择。 创建集群须知 创建集群过程中会同步创建一些基础资源，列表如下： 资源名称 描述 控制节点及其相关资源 存在于云容器引擎资源租户下，用户不可见。 弹性云主机（可选创建） 集群节点，即用户的计算资源，对应“弹性云主机”中的ECS。 ECS命名规则为：集群名称随机数，可自定义，批量创建时会再加一串随机数。 安全组 集群会创建两个安全组，一个用于管理集群控制节点的安全组，一个用于管理集群工作节点的安全组。 警告 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 1. 控制节点安全组 命名规则：集群名称ccecontrol随机数 作用： 出方向允许。 其他节点访问控制节点kubernetes相关服务。 2. 工作节点安全组 命名规则：集群名称ccenode随机数 作用： 出方向允许。 开放linux或windows远程登录（22、3389）。 kubernetes组件之间访问使用（4789、10250）。 kubernetes用于对外开放的端口（3000032767）。 相同安全组之间可以互相访问。 磁盘（可选创建） 分别给各个节点创建两个磁盘，一个是节点的系统盘，一个是给docker运行使用的数据盘。 弹性IP（可选创建） 需用户选择，给节点绑定弹性IP ，可以使节点访问外网。

本章节介绍云容器集群Pod网络丢包故障演练。 背景介绍 网络故障可能导致数据包丢失，TCP 重传增加延迟，UDP 数据永久丢失。本演练模拟丢包，评估应用容错、重传策略和监控告警。 基本原理 通过增加TC和Netem规则模拟Pod内网络丢包 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群Pod网络延迟故障演练。 背景介绍 网络延迟是 CCE 集群常见故障，可能影响响应并引发雪崩效应。本演练模拟延迟，验证超时、熔断及性能瓶颈。 基本原理 通过增加TC和Netem规则模拟Pod内网络延迟。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本节介绍了初始化Linux数据盘(parted)的操作场景、前提条件、划分分区并挂载磁盘、设置开机自动挂载磁盘分区等内容。 操作场景 本文以云主机的操作系统为“CentOS 7.4 64位”为例，采用Parted分区工具为数据盘设置分区。 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，因此当您初始化容量大于2 TB的磁盘时，分区形式请采用GPT。对于Linux操作系统而言，当磁盘分区形式选用GPT时，fdisk分区工具将无法使用，需要采用parted工具。关于磁盘分区形式的更多介绍，请参见场景及磁盘分区形式介绍。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 划分分区并挂载磁盘 本操作以该场景为例，当云主机挂载了一块新的数据盘时，采用parted分区工具为数据盘设置分区，分区形式设置为GPT，文件系统设为ext4格式，挂载在“/mnt/sdc”下，并设置开机启动自动挂载。 步骤 1 执行以下命令，查看新增数据盘。 lsblk 回显类似如下信息： root@ecstest0001 ~] lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vda 253:0 0 40G 0 disk └─vda1 253:1 0 40G 0 part / vdb 253:16 0 100G 0 disk 表示当前的云主机有两块磁盘，“/dev/vda”是系统盘，“/dev/vdb”是新增数据盘。 步骤 2 执行以下命令，进入parted分区工具，开始对新增数据盘执行分区操作。 parted 新增数据盘 命令示例： parted /dev/vdb 回显类似如下信息： [root@ecstest0001 ~]

接口介绍 添加云容灾保护的云主机 接口约束 1、该保护组存在 2、目前仅支持64 位系统，支持的版本如下： CentOS ：7.0、7.1、7.2、7.3、7.4、7.5、7.6、7.7、7.8、7.9 Ubuntu ：18.04 说明 ：目前仅支持 64 位系统，建议运行容灾客户端的机器使用双核，并配备 4GB 以上的可用内存 注意：Linux 系统的/boot 分区和/分区必须在同一磁盘，若不满足同一磁盘要求，建议手动调整磁盘后，再注册受保护实例进行容灾 3、建议使用2核及以上并且内存大于4G 4、未被保护 5、云主机已开启 URI POST /v4/disaster/newecsdisaster 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 参考请求示例 pairID 是 String 保护组ID 参考请求示例 ecsIDs 是 Array of Strings 云主机列表 参考请求示例 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 :: statusCode 是 Integer 返回状态码(800为成功，900为失败) 参考响应示例 message 是 String 成功或失败时的描述，一般为英文描述 参考响应示例 description 是 String 成功或失败时的描述，一般为中文描述 参考响应示例 returnObj 否 Object 成功时返回对象 returnObj 表 errorCode 否 String 业务细分码，为product.module.code三段式码 参考状态码 error 否 String 业务细分码，为product.module.code三段式大驼峰码 参考状态码 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 status 是 String 添加云容灾保护组ecs成功 参考响应示例 msg 是 String 添加云容灾保护组ecs成功描述 参考响应示例

本章节介绍云容器集群Pod网络丢包故障演练。 背景介绍 网络故障可能导致数据包丢失，TCP 重传增加延迟，UDP 数据永久丢失。本演练模拟丢包，评估应用容错、重传策略和监控告警。 基本原理 通过增加TC和Netem规则模拟Pod内网络丢包 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群Pod网络延迟故障演练。 背景介绍 网络延迟是 CCE 集群常见故障，可能影响响应并引发雪崩效应。本演练模拟延迟，验证超时、熔断及性能瓶颈。 基本原理 通过增加TC和Netem规则模拟Pod内网络延迟。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本文为您介绍如何通过SCIM协议，将Microsoft Entra ID（原Azure AD）中的用户或用户组同步到云SSO 操作步骤 打开自动调配并创建SCIM密钥 1. 登录云SSO控制台。 2. 在左侧导航栏，点击“管理设置”。 3. 在“SCIM”页签下，点击“自动调配”，切换到打开状态。 4. 在下方“访问令牌”处的右侧，点击“生成新令牌”。 5. 在弹出的“生成新访问令牌”对话框中，复制访问令牌，然后点击关闭。 在Microsoft Entra ID中创建应用程序 1. 使用Microsoft Entra ID管理员用户登录Entra管理中心。 2. 在左侧导航栏，选择Entra ID企业应用程序所有应用程序。 3. 单击“新建应用程序”。 4. 在“浏览Microsoft Entra库”页面，点击“创建你自己的应用程序”。 5. 在“创建你自己的应用程序”页面，输入应用程序名称（例如：云SSODEMO），并选择“集成未在库中找到的任何其他应用程序（非库）”，然后点击“创建”。 在Microsoft Entra ID中分配用户或用户组到应用程序 1. 在云SSODEMO的左侧导航栏，点击管理用户和组。 2. 单击左上角的添加用户/组。 3. 选择用户或用户组。 4. 单击分配。 在Microsoft Entra ID中配置SCIM同步 1. 在云SSODEMO页面的左侧导航栏，点击管理预配。 2. 点击左上角的“新配置”，创建预配配置，配置管理员凭据。 3. 在租户URL区域，输入SCIM服务端地址。 说明：该地址从云SSO SCIM配置页面的SCIM终端节点处获取。 4. 在机密标记区域，输入SCIM密钥。 说明：该SCIM密钥从“打开自动调配并创建SCIM密钥”步骤中获取。 5. 点击“测试连接”。 6. 测试成功后，点击“创建”。 7. 在“概述（预览）”页面，点击左上角“启动预配”。

使用服务端加密方式上传文件（API） 用户也可以通过调用OBS API接口，选择服务端加密SSEKMS方式（SSEKMS方式是指OBS使用KMS提供的密钥进行服务端加密）上传文件，详情请参考《对象存储服务API参考》。 EVS服务端加密 简介 当您由于业务需求需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。 哪些用户有权限使用云硬盘加密 安全管理员（拥有“Security Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分： 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。 对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。 云硬盘加密的密钥 加密云硬盘使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)： 默认主密钥：由EVS通过KMS自动创建的密钥，名称为“evs/default”。默认主密钥不支持禁用、计划删除等操作。 用户主密钥：由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥。 使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，具体请参见下表。 用户主密钥不可用对加密云硬盘的影响 用户主密钥的状态 对加密云硬盘的影响 恢复方法 禁用 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥 计划删除 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥 已经被删除 若加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 若卸载加密云硬盘后，再重新挂载至云服务器将会失败。 取消删除用户主密钥 云硬盘数据永远无法恢复。 说明 用户主密钥为付费使用，若为按需计费的密钥，请及时充值确保帐户余额充足，若为包年/包月的密钥，请及时续费，以避免加密云硬盘不可读写导致业务中断，甚至数据永远无法恢复。

本章节介绍ECS应用实例批量运维功能 概述 ECS应用实例批量运维功能主要提供按集群、按应用实例、按ECS实例运维三种方式，以满足用户不同场景下对ECS云主机运维需求。 前提条件 1. 当前环境已导入ECS云主机或已部署ECS应用实例 批量运维 微服务云应用平台提供按集群、按应用实例、按ECS实例三种方式运维，具体操作如下 1. 按集群，添加目标ECS集群，然后输入命令 2. 按应用实例，添加目标应用实例，然后输入命令 3. 按ECS实例，添加目标ECS云主机实例，然后输入命令 用户执行运维命令可以在执行记录中查看，以及详情。

本节介绍态势感知的定义。 态势感知（专业版）是云原生的新一代安全运营中心，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 为什么选择态势感知（专业版） 一屏全面感知：采集各类安全服务的告警事件，并进行大数据关联、检索、排序，全面评估安全运营态势，支持大屏展示安全运营动态。 一体全程处置：服务内置多种处理剧本，实现99%以上的安全事件分钟级自动化响应。

内网DNS（Intranet Domain Name Service，CTIDNS）可提供VPC内的安全、全面、高性能的域名解析功能，具有以下特点： 支持基于VPC任意定制内网域名，灵活自由。 一个域名可以关联多个VPC，方便统一管理部署。 提供VPC子网专用的内网DNS，直接响应内网域名，OBS，RDS等地址的解析请求，快速高效，有效防护劫持。 内网DNS将内网域名与私网IP地址相关联，为云服务提供VPC内的域名解析服务，解析过程如下图所示。 图内网域名解析过程 当VPC内云主机访问内网域名时，内网DNS直接对内网域名进行解析，向云主机返回对应被访问的云服务器的私网IP地址。

天翼云为您提供天翼云云迁移服务协议，请您点击查看。 天翼云云迁移服务CMS协议生效，详情请参见这里。

本章节为您介绍云审计场景示例代码参考。 场景示例代码请进入API调试中心，选择“云审计”。 选择待参考代码示例的API，填写参数后，选择“代码示例”参考。

参数 参数类型 说明 示例 下级对象 vrfName String 专线网关ID vrfId String 专线网关名字 vpcId String vpc id vpcName String vpc名称 vpcCidr String vpc的网段 cdaName String 云专线名称 cdaId String 云专线id regionName String 资源池名称 protectStatus Boolean 防护状态false;true

本文介绍如何进行海量文件服务的性能测试方法。 操作场景 文件系统需要挂载至云主机等计算服务后才可进行数据读写，本文为您介绍对文件系统进行性能测试，为您的使用提供参考。 前提条件 已有一个NFS协议的海量文件系统 已有一台Linux系统弹性云主机用于挂载文件系统，与文件系统须归属于同一VPC，具体操作请参考创建弹性云主机。 操作步骤 1. 以root用户登录弹性云主机，并挂载文件系统，具体操作请请参考挂载NFS文件系统到弹性云主机(Linux)。 2. 安装fio，性能测试工具。 yum install fio y 3. 使用fio命令进行性能测试，4k小文件随机写性能测试： fio filename/mnt/oceanfs/test.dat direct1 iodepth 16 thread rwrandread ioenginelibaio bs4k size10G numjobs4 timebased runtime60 groupreporting namefstest

操作步骤 云主机通过绑定弹性IP访问公网 配置方法 在创建子网路由表时已经默认生成了指向IPv4网关的缺省路由规则，所有的子网默认具备访问公网的能力。不需要再配置其他路由规则即可通过弹性IP访问公网。 子网1中的ECS可以通过弹性IP访问公网。 云主机通过SNAT访问公网 前提条件 在VPC内创建NAT网关实例。 配置方法 如果子网2、子网3需要通过SNAT主动访问公网，需要在子网2、子网3关联的路由表中增加一条目的地址为0.0.0.0/0指向NAT网关的路由规则。由于user类型的路由规则优先级高于系统类型的路由规则，这样可以保证可以通过NAT网关访问互联网。 从以上的例子可以看出，同一个子网内的云主机绑定弹性IP和NAT网关后，默认通过NAT网关访问公网，弹性IP无法访问公网。因此，不建议同一个子网内的云主机同时绑定弹性IP和NAT网关。

态势感知是否支持包月计费模式？ 支持。 态势感知的基础版和高级版都支持包月的计费模式。更多态势感知的价格信息，请参见计费说明。 态势感知如何新增要监控的云主机数量？ 态势感知需要增加监控的云主机数量，可以进入控制中心，选择“升级”，对待监测IP数量进行升级。 购买态势感知基础版可以升级为高级版吗？ 态势感知基础版可以升级为高级版。 态势感知软件升级，包括升级监控云主机台数和版本，比如用户当前是基础版，可以升级至高级版，还可以选择升级待监测IP数量。 态势感知授权到期是否影响业务？ 授权到期并不影响客户业务。因为授权是指态势感知的使用权到期，并不是云主机到期。 态势感知到期后，会继续收费吗？ 态势感知到期后，不会继续收费。但是到期会导致无法登录态势感知页面，为避免影响使用，需要在到期前及时的进行续订。

Agent安装 登录控制台 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，单击“安装Agent”。 Linux主机安装Agent 1. 复制“云外主机”安装命令。 2. 在Linux云主机中以管理员权限执行安装命令进行安装。 Windows主机安装Agent 1. 复制“云外主机”安装命令。 2. 在Windows云主机中打开CMD程序（Win+R组合键，输入cmd）。 3. 在打开的CMD.exe中以管理员权限执行安装命令进行安装。 控制台查看 1. 登录服务器安全卫士（原生版）控制台。 2. 3. 在左侧导航栏，选择“资产管理 > 服务器列表”，在服务器列表页面查看纳管的资产是否存在。 4. 查看资产防护状态是否正常。 5. 对需要防护的服务器切换版本，绑定企业版配额。

天翼云为您提供弹性负载服务等级协议。 弹性负载均衡等级协议（SLA）生效。详情请参见这里。

本章节介绍如何使用云原生网关实现websocket流量代理 概述 WebSocket 协议允许客户端和服务器之间进行实时的双向数据传输，从而确保了连接的持久性和低延迟。可以在云原生网关中开启websocket支持，实现websocket流量代理。 前提 1. 已开通云原生网关实例； 2. 已部署后端websocket server服务 云原生网关中开启WebSocket支持 我们采用在MSE Nacos中注册后端websocket服务的方式进行服务部署，后端服务示例可部署demo应用（暴漏websocket应用路径为/ws/server）。在创建服务时打开“开启websocket支持”开关，则可对该服务进行websocket协议请求。 为该服务创建一条路由，匹配路径填写/即可。 结果验证 可通过postman软件发起到网关的websocket请求，请求协议前缀为ws://或wss://。当服务关闭websocket支持时，请求失败。 当服务开启websocket支持时，请求成功。 注意 后端服务开启/关闭websocket支持无法在已经被引用的多服务路由或标签路由上生效。

本文帮助您快速熟悉虚拟私有云创建安全组的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表右上方，单击“创建安全组”。进入“创建安全组”页面。 5. 根据界面提示，设置安全组参数。 6. 安全组参数设置完成后，可以在创建页面下方查看模板的入方向和出方向规则，确认无误后，单击“确定”。 表 参数说明 参数 参数说明 取值样例 名称 必选参数。安全组的名称。安全组的名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 说明：安全组名称创建后可以修改，建议不要重名。 sg318b 描述 可选参数。安全组的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。