本文介绍CDN叠加Web应用防火墙（边缘云版）的产品实践。 背景信息 天翼云CDN加速（CDN，Content Delivery Network），即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。 Web应用防火墙（边缘云版）依托天翼云的云安全节点形成云安全网络，结合云端大数据分析平台，为用户提供应对Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等防护。 适用场景 网站对内容有加速需求，同时又有较高的安全防护要求时，可以选择使用天翼云CDN加速叠加Web应用防火墙（边缘云版）产品。相关产品介绍，详情请见：Web应用防火墙（边缘云版）。 工作原理 天翼云CDN叠加Web应用防火墙（边缘云版）产品后用户请求流程如下： 用户请求先到CDN，由CDN将请求转发到Web应用防火墙，Web应用防火墙再将请求转到源站服务器。 操作流程 前提条件： 加速域名需已接入天翼云CDN加速，在此基础上叠加Web应用防火墙配置。 详细步骤如下：

本文将为您介绍什么是云硬盘扩容以及如何在控制台上实现扩容。 操作场景 当云硬盘空间不足时，用户可以扩大云硬盘的容量，也就是云硬盘扩容。云硬盘扩容可以有如下两种处理方式： 申请一块新的云硬盘，并挂载给云主机。 扩容原有云硬盘空间。系统盘和数据盘均支持扩容。 本文主要对方式二进行介绍。在该方式中，您可以对状态为“已挂载”或者“未挂载”的云硬盘进行扩容。状态为“已挂载”的云硬盘，即当前需要扩容的云硬盘已经挂载给云主机。状态为“未挂载”的云硬盘，即当前需要扩容的云硬盘未挂载至任何云主机。系统盘支持的最大容量为2TB，数据盘支持的最大容量为32TB（X系列数据盘的最大容量为64TB），最小扩容容量为1GB，扩容步长为1GB。 约束与限制 若扩容的云硬盘处于“已挂载”状态： 云硬盘为非共享盘，则其挂载的云主机状态必须为“运行中”或“关机”才支持扩容。 云硬盘为共享盘，则其挂载的所有云主机状态必须都为“运行中”或“关机”才支持扩容。 注意 按需云主机支持“节省关机模式”，此模式下关闭云主机，云主机也处于“关机”状态，同样支持扩容云硬盘。 使用公共镜像创建的系统盘及使用公共镜像制作的私有镜像创建的系统盘支持在“已挂载”状态下扩容。 云硬盘扩容功能支持扩大云硬盘容量，不支持缩小云硬盘容量。 当磁盘已经投入使用后，请在扩容前务必检查磁盘的分区形式，具体说明如下： 分区形式 注意事项 MBR分区 容量最大支持2TB（2048GB），超过2TB的部分无法使用。 GPT分区 容量最大支持18EB（19327352832 GB）。云硬盘服务支持的最大数据盘容量为32TB（32768 GB），即您最大可将数据盘扩容至32TB。 MBR分区需扩容至2TB以上 必须将磁盘分区形式由MBR切换成GPT，期间会中断业务，并且更换磁盘分区形式时会清除磁盘的原有数据，请在扩容前先对数据进行备份。

轻量型云主机目前仅支持套餐升级操作，升配计费规则与其他产品保持一致。 轻量型云主机升配计费规则详情请参考天翼云帮助中心费用中心变更。 套餐升级操作详情请参考天翼云帮助中心轻量型云主机用户指南升级轻量型云主机。

天翼云提供统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 您通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对KMS资源的访问控制、权限分配等。 说明 IAM 权限作用于KMS产品控制台的功能访问以及KMS服务的OpenAPI接口调用。 权限管理 默认情况下，主账号创建的IAM用户没有任何权限，需要将其加入特定的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），授权后IAM用户就能获得策略中定义的KMS产品的使用权限。 KMS产品支持企业项目管理，若您需要对KMS服务中的资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 权限配置 IAM权限管理：进入天翼云IAM权限配置界面，可以进行IAM用户及用户组的创建，并在用户组列表中点击“授权”，为用户组添加KMS产品对应的权限策略。KMS权限策略分为系统策略和自定义策略，系统策略默认提供，您也可以在“策略管理”界面创建自定义策略。用户组授权记录均可在“授权管理”界面查看并管理。 企业项目管理：进入天翼云IAM权限 配置界面，在“企业项目”界面可以创建并管理企业项目，创建企业项目后可进行资源的迁入迁出，绑定用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略）。

本节介绍了设置安全组规则的相关内容。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： − ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 − ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 一个RDS实例允许绑定多个安全组，一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 说明 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

本文介绍了云防火墙（原生版）的系统类常见问题。 云防火墙（原生版）在天翼云网络中的位置是什么？ 如下图所示，云防火墙一般和DDoS防护系统、Web应用防火墙、数据中心网络、日志服务、SOC等一起组合使用，但也可以独立部署。DDoS防护系统、Web应用防火墙和云防火墙组成从外到内的三道屏障，云防火墙重点防护用户VPC的网络边界。云防火墙产生的日志通过日志服务来收集和对外展示，通过SOC整合汇聚（包括云防火墙在内的）各安全设备的日志和安全告警等，并结合外部威胁情报，可以提高安全数据利用率并挖掘潜在威胁，对抗愈发复杂的攻击手段与高级可持续威胁。 云防火墙（原生版）是否可以防护非天翼云上的资产？ 防火墙仅能防护天翼云账号下的 IP 资产，不支持非天翼云的资产。 云防火墙（原生版）支持防护哪些资产类型？ 目前只支持VPC内云主机资产所绑定公网IP的防护。 云防火墙互联网边界带宽会限制流量吗？ 云防火墙不会限制流量。 业务带宽超峰值带宽限制，会对我有业务影响么？ 如果公网流量大于购买的云防火墙边界带宽，则云防火墙不承诺对超出带宽的流量进行防护。对超出部分的流量，我们会做放行处理。

本节介绍如何登录云防火墙（原生版）控制台。 方式一 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 网络安全 > 云防火墙（原生版）”，进入云防火墙（原生版）产品详情页面。 3. 单击“管理控制台”，进入云防火墙（原生版）控制台。 方式二 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）控制台。

本章节介绍配置中心迁移方案 原生Nacos迁移至MSE MSE Nacos相对于开源Nacos额外提供了配置加密、推送轨迹等功能，保障高可用，并提供了丰富的运维工具，操作十分方便。本节介绍从开源Nacos迁移到天翼云Nacos实例。 前提条件 1. 已经创建Nacos实例，参考章节：创建Nacos实例。 2. 已经在Nacos实例上创建需要迁移的命名空间。 迁移配置 1. 在开源控制台导出需要迁移的配置。 登陆开源Nacos自带的原生控制台。 在配置列表页面选择命名空间，点击单选框选中需要迁移的配置。 在配置列表下方点击导出，然后选择导出选中的配置。 然后在下载中可以看到导出的压缩包文件nacosconfigexportxxxxx.zip。 2. 在MSE控制台页面导入配置。 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 在左侧导航栏，选择注册配置中心 > 实例列表。 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 在基础信息页面，点击配置管理>配置列表，选择命名空间。 点击导入配置，在弹出的导入配置框中确认目标命名空间，选择相同配置的处理策略（策略详细介绍见同步配置），点击上传配置文件，最后点击确定，即可开始导入文件。 导入后查看配置列表，可以看到配置已经导入成功。 3. 在应用完成迁移以前，如果需要变更配置文件，则需要在两边同步更新，以避免业务出现不一致的情况。

本节主要介绍如何在智能视图服务控制台管理云端AI应用。 如果想使用云端智能分析服务，需要创建AI应用，并为要进行AI分析的设备绑定AI应用。 点击左侧导航栏的【AI管理AI应用】，可以查看平台的所有AI应用列表，包括算法类型、分析类型、描述、关联设备数等信息，用户可以进行查看/编辑/删除应用、查看分析结果和告警统计等操作。 创建AI应用 点击【新建AI应用】按钮，用户选择想要使用的AI算法，目前天翼云智能视图服务支持的算法包含人脸识别、人体识别和场景识别三种类别，也可以在右上角输入算法名称或者算法描述关键字进行搜索，找到目标算法后点击【选择】，进入下一步。 输入自定义应用名称并完成应用配置，包含以下配置项。 分析频率：包含分钟级、秒级和高算力型。 生效时段：支持配置AI分析时段，可选择全天或者指定时间段，支持添加多个生效时间段。 置信度：置信度越高，则会提升告警结果的准确率，但会存在漏检的情况；置信度越低，则可以捕捉到更多可能的告警，但会存在更多误检的情况。 告警配置：开启后可优化AI告警信息频繁的情况，自定义设置静默规则，包括告警周期、告警数量阈值和静默时间，可以压缩AI告警信息。

变更配置后对计费的影响 如果您在购买按需计费实例后变更了实例规格，会产生一个新订单并开始按新规格的价格计费，旧订单自动失效。 如果您在一个小时内变更了实例规格，将会产生多条计费信息。每条计费信息的开始时间和结束时间对应不同规格在该小时内的生效时间。 例如，您在9:00:00购买了一个按需计费实例，实例规格为rabbitmq.2u4g.cluster 3 ，并在9:30:00升配为rabbitmq.4u8g.cluster 3，那么在9:00:00 ~ 10:00:00间会产生两条计费信息。 第一条对应9:00:00 ~ 9:30:00，实例规格按照rabbitmq.2u4g.cluster 3计费。 第二条对应9:30:00 ~ 10:00:00，实例规格按照rabbitmq.4u8g.cluster 3计费。 欠费影响 图3描述了按需计费RabbitMQ实例各个阶段的状态。购买后，在计费周期内RabbitMQ实例正常运行，此阶段为有效期；当您的账号因按需RabbitMQ实例自动扣费导致欠费后，账号将变成欠费状态，RabbitMQ实例将陆续进入宽限期和保留期。 图3 按需计费RabbitMQ实例生命周期 欠费预警 系统会在每个计费周期后的一段时间对按需计费资源进行扣费。当您的账户被扣为负值时，我们将通过邮件、短信和站内信的方式通知到天翼云账号的创建者。

本页为您介绍WPS云文档天翼云版产品的相关协议 WPS云文档天翼云版产品服务协议详情请参见这里。

本文将为您介绍什么是云硬盘扩容以及如何在控制台上实现扩容。 操作场景 当云硬盘空间不足时，用户可以扩大云硬盘的容量，也就是云硬盘扩容。云硬盘扩容可以有如下两种处理方式： 申请一块新的云硬盘，并挂载给云主机。 扩容原有云硬盘空间。系统盘和数据盘均支持扩容。 本文主要对方式二进行介绍。在该方式中，您可以对状态为“已挂载”或者“未挂载”的云硬盘进行扩容。状态为“已挂载”的云硬盘，即当前需要扩容的云硬盘已经挂载给云主机。状态为“未挂载”的云硬盘，即当前需要扩容的云硬盘未挂载至任何云主机。系统盘支持的最大容量为2TB，数据盘支持的最大容量为32TB（X系列数据盘的最大容量为64TB），最小扩容容量为1GB，扩容步长为1GB。 约束与限制 若扩容的云硬盘处于“已挂载”状态： 云硬盘为非共享盘，则其挂载的云主机状态必须为“运行中”或“关机”才支持扩容。 云硬盘为共享盘，则其挂载的所有云主机状态必须都为“运行中”或“关机”才支持扩容。 注意 按需云主机支持“节省关机模式”，此模式下关闭云主机，云主机也处于“关机”状态，同样支持扩容云硬盘。 使用公共镜像创建的系统盘及使用公共镜像制作的私有镜像创建的系统盘支持在“已挂载”状态下扩容。 云硬盘扩容功能支持扩大云硬盘容量，不支持缩小云硬盘容量。 当磁盘已经投入使用后，请在扩容前务必检查磁盘的分区形式，具体说明如下： 分区形式 注意事项 MBR分区 容量最大支持2TB（2048GB），超过2TB的部分无法使用。 GPT分区 容量最大支持18EB（19327352832 GB）。云硬盘服务支持的最大数据盘容量为32TB（32768 GB），即您最大可将数据盘扩容至32TB。 MBR分区需扩容至2TB以上 必须将磁盘分区形式由MBR切换成GPT，期间会中断业务，并且更换磁盘分区形式时会清除磁盘的原有数据，请在扩容前先对数据进行备份。

本节介绍了安装一键式重置密码插件(Linux)的操作场景、安装须知、前提条件、操作步骤。 操作场景 为了保证使用私有镜像创建的新云主机可以实现一键式重置密码功能，建议您在创建私有镜像前安装密码重置插件CloudResetPwdAgent。 使用公共镜像创建的云主机，默认已经安装密码重置插件，不需要执行安装操作。 使用外部镜像文件创建的云主机，请按照指导安装密码重置插件。 说明： 可选操作。如需使用控制台提供的一键式重置密码功能，请按照本节指导安装插件。 安装须知 用户自行决定是否安装CloudResetPwdAgent插件，使云主机具备一键式重置密码功能。 支持安装一键式重置密码插件的操作系统版本如下表所示。 支持安装一键式重置密码插件的操作系统版本 操作系统类型 操作系统版本 :: CentOS CentOS 7.3 64bit CentOS 7.2 64bit CentOS 7.0 64bit CentOS 7.1 64bit CentOS 6.9 64bit CentOS 6.8 64bit CentOS 6.8 32bit CentOS 6.6 32bit CentOS 6.6 64bit CentOS 6.5 64bit CentOS 6.4 64bit CentOS 6.3 64bit Debian Debian 9.0 64bit Debian 8.8 64bit Debian 8.2 64bit Debian 7.5 64bit Debian 7.5 32bit openSUSE openSUSE 42.2 64bit openSUSE 13.2 64bit openSUSE Leap 42.2 64bit openSUSE Leap 42.1 64bit SUSE SUSE 12 SP2 64bit SUSE 12 SP1 64bit SUSE 11 SP4 64bit Ubuntu Ubuntu 16.10 32bit Ubuntu 16.04 32bit Ubuntu Server 16.04 64bit Ubuntu Server 14.04 64bit Ubuntu Server 14.04 32bit EulerOS EulerOS 2.2 64bit Fedora Fedora 25 64bit Fedora 24 64bit Oracle Linux Oracle Linux 7.3 64bit Oracle Linux 6.9 64bit Oracle Linux 6.5 64bit

本节介绍在云电脑（政企版）内验证翼打印的开通情况。 1.AI云电脑（政企版）管理台配置完成后，登录AI云电脑（若AI云电脑在线，需断开AI云电脑的连接后，在AI云电脑列表页面重新进入AI云电脑）， 控制面板>查看设备和打印机>打印机列表(WindowsAI云电脑) 左下角"启动器">搜素"打印管理器">打印机列表（国产化版uosAI云电脑） 检查是否有名称里包含了“来自天翼云打印”字样的打印机； 2.打开任意文档，选择该打印机进行打印，或直接右键云打印机打印机属性打印测试页，到打印机处确认是否打印成功。若客户端版本在1.37或以上，打印状态（成功或失败）会通过桌面右下角进行弹窗提示； 3.验证通过后，回到AI云电脑（政企版）管理台，把对应策略分配给需要使用打印机的用户（后续迭代功能将提供单独的打印机管理页面，可更方便地对用户分组进行管理）。

本文为您介绍如何开通云审计服务。 使用云审计服务前需要先开通所在资源池的云审计服务，如果不开通云审计服务，则无法对资源操作进行记录。 前提条件 已注册天翼云账号，并且完成实名认证。 操作步骤 1. 登录天翼云官网，在产品列表中找到云审计。 2. 进入云审计产品详情页，点击“立即开通”。 3. 进入云审计控制台，初次使用会显示欢迎使用页面，点击“立即购买”。 4. 勾选“我已阅读，理解并接受《天翼云云审计服务协议》”，点击“立即购买”，即可完成服务开通。

本文主要介绍物理机的权限管理。 如果您需要对天翼云上购买创建的物理机服务器资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有物理机的使用权限，但是不希望他们拥有删除物理机等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用物理机，但是不允许删除物理机的权限，控制他们对物理机资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用物理机服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 物理机权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 物理机部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如江苏苏州）对应的项目（cnjssz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问物理机时，需要先切换至授权区域。 根据授权精度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对物理机服务，管理员能够控制IAM用户仅能对某一类物理机资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 物理机常用操作与系统权限的关系 如下表： 操作 物理机 FullAccess 物理机 CommonOperations 物理机 ReadOnlyAccess 创建物理机 √ x x 查看物理机列表 √ √ √ 查询物理机详情 √ √ √ 修改物理机名称 √ x x 启动物理机 √ √ x 关闭物理机 √ √ x 重启物理机 √ √ x 物理机挂载数据卷 √ √ x 物理机卸载数据卷 √ √ x 重装裸物理机操作系统 √ x x 一键重置物理机的密码 √ x x

CentOS 6/RedHat 6 系列 1. 登录虚拟机。 登录天翼云官网弹性云主机选择机器点击远程登录。 2. 点击Send ctrlAlt重启云主机。 3. 选择进入菜单menu界面，在开启系统出现如下界面时，按Esc键（只需按一下）。 4. 接下来进入到如下界面。 5. 上图中红色矩形类的内容，按“a”键可以修改内核参数，所以按a键，然后进入一下界面。 6. 添加“1”，注意“1”前面用空格分开，然后按回车键。 7. 接着进入如下界面，输入passwd命令，修改密码，修改密码成功之后，重启之后需用新密码登录。 Debian/Ubuntu 系列 1. 登录虚拟机。 登录天翼云官网弹性云主机选择机器点击远程登录。 2. 点击Send ctrlAlt重启云主机。 3. 启动ubuntu18.04系统的时候连续点按ESC键进入选项，选择Advanced options for Ubuntu 并回车。 4. 选择ubuntu, with 4.15.0143generic带有（recovery mode）然后注意不要点回车，按E键。 5. 点E进入编辑页面，移动光标到linux一行，把recovery nomodeset 删掉，并最后添加quiet splash rw init/bin/bash。 6. 修改完成以后，按ctrl+x或F10启动系统就可以进入single模式而不需要密码了。 7. 修改密码。 plaintext passwd root 8. 重启主机，用新密码登录即可。

本文主要介绍云间高速（尊享版）用户使用指南。 天翼云云间高速用户使用指南.pdf

本章节主要介绍物理机镜像概述。 镜像是一个至少包含操作系统，还可以包含应用软件（例如，数据库软件）及软件必要配置的物理机模板。 镜像分为公共镜像和私有镜像，公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，用户也可以提工单给天翼云运维团队协助您完成私有镜像的创建。您可以灵活便捷地使用公共镜像或者私有镜像申请物理机。同时，用户还能通过已有的物理机或者外部镜像文件创建私有镜像，这样可以快速轻松地创建能满足您一切需求的物理机。

本文带您规避Intel处理器芯片存在的Meltdown和Spectre安全漏洞可能带来的问题。 问题描述 2018年1月3日，Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞，漏洞详情如下： 漏洞名称：Intel处理器存在严重芯片级漏洞 漏洞编号：CVE20175753、CVE20175715、CVE20175754 漏洞级别：严重 漏洞描述：攻击者可以利用Meltdown （CVE20175754） 和Spectre （CVE20175715/CVE20175753） 绕过内存安全隔离机制，越权访问操作系统和其他程序的核心数据，造成敏感信息泄露。 问题影响 该漏洞不会引起不同弹性云主机之间的攻击，但可能会引起如下问题： 弹性云主机内多个应用之间，可能存在攻击。 对于同一弹性云主机，多个帐号之间可能存在攻击。 使用公共镜像的弹性云主机，云平台会对公共镜像依次修复，不会对您的业务带来影响。 使用私有镜像的弹性云主机，请根据漏洞影响评估是否更新补丁，以规避风险，更新补丁的具体操作请参见本节内容。 前提条件 为避免发生意外，修复漏洞前，建议进行充分测试，并完成弹性云主机的数据备份操作，避免发生意外。 Windows弹性云主机处理方法 1. 登录弹性云主机。 2. 更新补丁。 方式一：使用Windows自动更新功能安装补丁。 a. 打开Windows Update，并单击“检查更新”。 b. 根据需要下载安装相关安全补丁。 方式二：手动下载补丁并安装。 下载官方发布的补丁进行安装，如KB4078130。 3. 重启弹性云主机，使补丁生效。 4. 验证是否升级成功。 a. 检查系统运行情况是否正常。 b. 检查已安装的补丁清单是否满足微软官方的要求。

本节主要介绍边缘虚拟机的定义和使用场景等。 定义 智能边缘云（ECX）边缘虚拟机实例是指靠近用户侧的边缘场景下创建的实例资源，包含CPU、内存、GPU、存储、网络等资源组件。 使用场景 边缘虚拟机实例与天翼云弹性云主机（CTECS）相对独立，承载不同的业务，边缘实例更适用于IoT、智慧园区等靠近用户侧的场景。 使用说明 您可访问智能边缘云控制台（ 实例规格 当前可售卖实例规格含通用计算型、计算增强型、GPU型等不同类型，根据虚拟机的vCPU、内存、GPU等的数量及实例所属区域不同，价格不同，具体参考价格。 实例规格指标数据如下： 规格 名称 vCPU 内存 网络带宽能力（Gbps） 网络收发包pps 队列数 通用计算型 s6.large.1 2 4 1 30万 2 通用计算型 s6.xlarge.2 4 8 1.5 50万 4 通用计算型 s6.2xlarge.2 8 16 2 80万 8 通用计算型 s6.4xlarge.2 16 32 3 100万 16 通用计算型 s6.8xlarge.2 32 64 6 200万 16 计算增强型 c6.large.1 2 4 1 30万 2 计算增强型 c6.xlarge.2 4 8 1.5 50万 4 计算增强型 c6.2xlarge.2 8 16 2 80万 8 计算增强型 c6.4xlarge.2 16 32 3 100万 16 计算增强型 c6.8xlarge.2 32 64 6 200万 16 说明 上述实例规格指标均在纯转发测试环境下验证获得。 在实际业务场景中，由于实例的负载类型、包长大小、长短连接、镜像版本、组网模型等条件不同，实例的性能表现可能存在差异。建议您先进行业务压测了解实例的性能表现，以选择合适的实例规格。 不同资源池可开通的实例规格库存不同，具体以开通界面为准。

本文介绍中转IP地址的添加、查看和删除。 添加中转IP地址 私网NAT网关创建成功后，会从默认中转网段中自动分配1个中转IP地址。 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 点击需要添加中转IP地址的私网NAT网关名称，进入私网NAT网关详情页，下拉至中转IP地址标签页，点击添加中转IP。 3. 根据界面提示，配置中转IP地址的基本信息，配置参数如表所示 参数 参数说明 选择地址段 中转IP地址所属的子网网段，请确保所选的地址段，有足够可用的IP地址。 分配方式 中转IP地址的分配方式： 1、自动分配：由系统自动分配中转IP地址。 2、手动分配：手动指定中转IP地址。 IP地址（仅在选择手动分配IP时） 手动分配时填入想要的中转IP地址；需要确保分配地址子网内唯一性，不可和云上其他资源冲突（如云主机、虚拟IP等）。 4. 配置完成上述信息，点击“确定”，完成中转IP的添加。 查看中转IP地址 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 单击私网NAT网关名称，进入私网NAT网关详情页，下拉至中转IP地址页签，可以查看中转IP地址，条目关联状态，状态及相关操作。 删除中转IP地址 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 单击私网NAT网关名称，进入私网NAT网关详情页，下拉至中转IP地址页签，在待删除的中转IP地址操作栏点击“删除”。 3. 在弹出页面确认是否删除规则，确认删除点击“确定”，完成中转IP地址的删除。

虚拟教室的终端开机、关机、解绑 管理员可通过AI云电脑（政企版）手动添加学生设备进行绑定。 1.进入“AI云电脑（政企版）”管理控制台； 2.选择“行业解决方案教育行业”菜单，点击“虚拟电教室”，进入虚拟教室管理页面； 3.选择需要注册学生机的虚拟教室所在行，点击虚拟教室名称，进入虚拟教室详情页面； 4.管理员按需进行相关操作即可。

本节介绍了导出镜像的有关内容。 操作场景 创建私有镜像后，您可以导出镜像到OBS标准存储桶，并下载到本地使用。本文介绍导出镜像的操作步骤及相关注意事项。 背景知识 1.导出镜像的流程如下，适用于将云上的主机系统及软件环境复制到线下集群或私有云环境使用。 导出镜像流程 2.导出镜像所需时间取决于私有镜像大小和当前导出任务的并发数，需要您耐心等待。 3.支持导出qcow2、vmdk、vhd和zvhd格式的镜像。在导出过程中，不同的格式会导致导出的镜像大小不同。 4.对于大于128GB的镜像，您可以使用快速导出功能（即导出时需要勾选“使用快速导出”）将镜像导出到OBS桶中，但是无法指定导出格式，可以在镜像导出后，转换为需要的格式。 约束与限制 如下类型的私有镜像不允许导出： 整机镜像 ISO镜像 Windows、SUSE、Oracle Linux、统信、银河麒麟公共镜像所创建的私有镜像 镜像大小必须小于1TB；大于128GB的镜像仅支持快速导出。 前提条件 私有镜像所在区域中已有可用的OBS桶。 如果还未创建OBS桶，请先参考“创建桶”进行创建，注意“存储类别”必须为“标准存储”。 操作步骤 1.登录控制台。 a.登录控制台。 b.选择“镜像服务”。 进入镜像服务页面。 2.在私有镜像列表中，在需要导出的镜像所在行，单击操作列的“更多 > 导出”。 3.在“导出镜像”对话框中，填写如下参数： 快速导出：大于128GB的镜像必须勾选“使用快速导出”，勾选后将无法指定导出格式，只能为zvhd2格式。 格式：目前支持qcow2、vmdk、vhd、zvhd格式，请根据需要进行选择。 名称：输入一个方便您识别的名称。 存储路径：单击展开桶列表，选择一个用来存储镜像的OBS桶。 4.单击“确定”。 在私有镜像列表上方可以查看镜像导出任务进程。

本文为您介绍云容灾满足的灾难恢复能力等级。 根据国家标准《信息系统灾难恢复规范》GB/T 209882007，灾难恢复能力等级示例如下表所示： 灾难恢复能力等级 等级名 RTO RPO 1 基本支持 2天以上 1天至7天 2 备用场地支持 24小时以上 1天至7天 3 电子传输和部分设备支持 12小时以上 数小时至1天 4 电子传输及完整设备支持 数小时至2天 数小时至1天 5 实时数据传输及完整设备支持 数分钟至2天 0到30分钟 6 数据零丢失和远程集群支持 数分钟 0 云容灾为云主机提供跨可用区的容灾保护能力，支持数据实时复制，RPO可达秒级、RTO可达分钟级，满足国标容灾等级5级要求。

本文将介绍DDoS高防（边缘云版）业务带宽的相关问题。 DDoS高防（边缘云版）业务带宽是什么？ 天翼云DDoS高防（边缘云版）的业务带宽指业务流量上行流量加下行流量总和，单位：Mbps。 业务带宽下行流量，即流量经过天翼云节点过滤攻击之后，转发到源站服务器的流量。 业务带宽上行流量，即源站服务器响应客户请求时，经过天翼云节点的响应流量。 超过DDoS高防（边缘云版）业务带宽会有什么影响？ 如果您的业务流量超过购买的业务带宽，将可能触发流量限速，导致随机丢包，影响服务质量。 因此，在订购DDoS高防（边缘云版）之前，您需要对自身业务带宽进行评估，选择合适的套餐及扩展服务。 DDoS高防（边缘云版）业务带宽如何扩展？ DDoS高防（边缘云版）套餐内将免费提供10Mbps/50Mbps的业务带宽，不同的套餐所包含的业务带宽不同。详情请见：计费模式。 如果您需要扩展业务带宽，可订购扩展业务带宽服务。业务带宽扩展服务为包周期预付费模式，按照每1Mbps为阶梯进行扩展。 DDoS高防（边缘云版）的防护带宽的是所有流量还是仅攻击流量？ DDoS高防（边缘云版）的防护带宽是指所有流量，包括攻击流量和正常业务流量。 当所有流量经过天翼云节点时，攻击流量将会被拦截，正常业务流量将转发至您的源站服务器。

镜像格式 介绍 备注 ZVHD 采用ZLIB压缩算法，支持顺序读写。 镜像服务底层通用格式。镜像服务导入和导出支持格式。 ZVHD2 采用ZSTD压缩算法，支持延迟加载。 镜像服务延迟加载特性专用格式。镜像服务导入支持格式。 QCOW2 QCOW2格式镜像是QEMU模拟器支持的一种磁盘镜像，是用一个文件的形式来表示一块固定大小的块设备磁盘。与普通的RAW格式镜像相比，QCOW2格式有如下几个特性： 支持更小的磁盘占用。 支持写时拷贝（CoW，CopyOnWrite），镜像文件只反映底层磁盘变化。 支持快照，可以包含多个历史快照。 支持压缩和加密，可以选择ZLIB压缩和AES加密。 镜像服务导入和导出支持格式。 VMDK VMDK是VMware创建的虚拟硬盘格式。一个VMDK文件代表VMFS（云主机文件系统）在云主机上的一个物理硬盘驱动。 镜像服务导入和导出支持格式。 VHD VHD是微软提供的一种虚拟硬盘文件格式。VHD文件格式可以被压缩成单个文件存放到宿主机的文件系统上，主要包括云主机启动所需的文件系统。 镜像服务导入和导出支持格式。 VHDX 微软在Windows Server 2012中的HyperV引入的一个新版本的VHD格式，称为VHDX。与VHD格式相比，VHDX具有更大的存储容量。它在电源故障期间提供数据损坏保护，并且优化了磁盘结构对齐方式，以防止新的大扇区物理磁盘性能降级。 镜像服务导入支持格式。 RAW RAW格式是直接给云主机进行读写的文件。RAW不支持动态增长空间，是镜像中I/O性能最好的一种格式。 镜像服务导入支持格式。 QCOW QCOW通过二级索引表来管理整个镜像的空间分配，其中第二级的索引用了内存CACHE技术，需要查找动作，这方面导致性能的损失。QCOW优化性能低于QCOW2，读写性能低于RAW。 镜像服务导入支持格式。 VDI VDI是SUN公司Virtual BOX虚拟化软件所用的硬盘镜像文件格式，支持快照。 镜像服务导入支持格式。 QED QED格式是QCOW2格式的一种改进，存储定位查询方式和数据块大小与QCOW2一样。但在实现CoW（CopyOnWrite）的机制时，QED将QCOW2的引用计数表用了一个重写标记（Dirty Flag）来替代。 镜像服务导入支持格式。

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

2.创建存算分离集群 配置存算分离支持在新建集群中配置委托实现，也可以通过为已有集群绑定委托实现。本示例以开启Kerberos认证的集群为例介绍。 新创建存算分离集群 ： 1. 登录MRS服务控制台。 2. 单击“创建集群”，进入“创建集群”页面。 3. 在创建集群页面，选择“自定义创建”页签。 4. 在“自定义创建”页签，填写“软件配置”参数。 区域：请根据需要选择。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。 集群版本：请选择集群版本。 集群类型：选择“分析集群”或“混合集群”并勾选所有组件。 元数据：选择“本地元数据”。 5. 单击“下一步”，并配置硬件相关参数。 可用区：默认即可。 虚拟私有云：默认即可。 子网：默认即可。 安全组：默认即可。 弹性公网IP：默认即可。 集群节点：请根据自身需求选择节点规格和数量。 6. 单击“下一步”，并配置相关参数。 Kerberos认证：默认开启，请根据自身需要选择。 用户名：默认为“admin”，用于登录集群管理页面。 密码：设置admin用户密码。 确认密码：再次输入设置的admin用户密码。 登录方式：选择登录ECS节点的登录方式，本例选择密码方式。 用户名：默认为“root”，用于远程登录ECS机器。 密码：设置root用户密码。 确认密码：再次输入设置的root用户密码。 7. 本例以配置委托为例介绍，其他参数暂不配置，如需配置请参考创建自定义集群中的高级配置（可选）。 委托：选择1：创建具有访问OBS权限的ECS委托所创建的委托或MRS在IAM服务中预置的委托MRSECSDEFAULTAGENCY。 8. 通信安全授权请勾选“确认授权”，详细信息请参见授权安全通信。 9. 单击“立即申请”。等待集群创建成功。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。

为了保证用户数据的安全，OOS提供以下安全策略来保障用户数据的安全性：用户签名验证、Bucket权限控制、访问控制、Bucket Policy安全策略、合规保留。详见API参考 安全策略。 在用户访问层面，所有针对OOS的数据请求都需要进行签名验证，OOS提供全方位的访问控制策略，使文件的拥有者对该文件有灵活的访问控制权。 在数据传输层面，不论是通过Web门户还是REST接口，用户的数据访问和操作都可以通过HTTPS协议进行，以确保数据传输中没有安全死角。 在数据存储层面，OOS将用户数据自动切片，进行分布式保存，并且对每片数据进行签名，即使数据被盗，没有用户的账号信息依然无法对数据进行破解，这样就充分保证了数据在存储层面的安全性。 在OOS系统的运维层面，通过利用天翼云的“虚拟云桌面”技术，运维人员无法直接访问生产系统，而必须一个可录像的“虚拟桌面”才能访问，运维人员的一举一动都将被记录在案。 在数据中心的运维层面，天翼云具备全球最先进的数据中心管理和运营能力。OOS部署在8级抗震、一级耐火、一级防水、通过ISO27001认证的的数据中心内部，与中国电信通信枢纽数据中心（武警守卫）同级别，具备完善的门禁制度、人员访控制度、设备巡检制度，确保物理层面的万无一失。

linux系统VNC登录界面如何翻页查看命令回显记录？ shift+pgup是向上翻页，shift+pgdn是向下翻页。 天翼云服务器能否更改BIOS？ 天翼云弹性云主机无法更改BIOS。 云主机能否安装在手机上面使用？ 主机不支持安装在手机使用，但可以使用手机进行远程。 VNC连接可选的分辨率太少，是否支持选择多种分辨率？ 无法更改，若对图像质量有硬性要求建议购买GPU云主机。 云主机Windows操作系统，哪个版本占用空间最小？ 系统占用空间相差不多。 如何注册天翼云账号？ 1. 登录天翼云官网www.ctyun.cn，点击右上角“免费注册”按钮。 2. 填写注册信息。填写邮箱后，设置登录密码，并通过手机验证。 注册邮箱不可更改，请确保邮箱的准确性。一个手机号最多可注册5个天翼云账号，超出则不再支持注册新的天翼云账号。 3. 勾选协议，并点击“同意协议并提交”，即可完成账号注册。 能否将一个账号下的云主机转移到另一个账号下？ 暂时无法提供账号资源转移的服务。 忘记天翼云账号密码怎么办？ 当用户忘记密码时，可通过登录页面点击“忘记密码”进行重置密码。 1. 进入天翼云官网，点击右上角“登录”，在登录页面点击右下角的“忘记密码”。 2. 填写需要找回的账号，并进行验证。填写邮箱，验证码会通过邮箱发送。填写手机号，验证码会通过手机发送。说明：邮箱需在管理中心基本信息完成邮箱验证后，方可接收验证码。 3. 验证成功后，设置新的登录密码。

本节主要介绍通过控制台如何将一块云硬盘挂载到ECX虚拟机。 操作前提 云硬盘和被挂载的虚拟机需在同一个集群。 已创建好云硬盘，并且云硬盘为可挂载状态。 被挂载的虚拟机状态正常。 挂载云硬盘 1. 登录ECX控制台。 2. 点击【边缘存储>云硬盘】进入云硬盘列表，在云硬盘列表选择某块云硬盘，点击操作栏【挂载】按钮。 3. 系统会自动筛选出自己账号下可挂载的虚拟机。挂载时，支持选择只读挂载。选择某一台虚拟机，单击【确认】按钮，完成挂载。您可以通过先卸载再挂载完成云硬盘从一台虚拟机到另一台虚拟机的迁移。 注意 一台虚拟机最多可挂载23块云硬盘作为数据盘。 随虚拟机一起创建的云盘，如果是按需开通的，不支持卸载再挂载到其它虚拟机。