本文帮助您了解对等连接的基本概念。 虚拟私有云（VPC） 虚拟私有云为弹性云主机、物理机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 路由表 路由表是指虚拟私有云上管理路由条目的列表。 系统路由表：创建VPC后，系统会默认创建一张系统路由表来控制VPC的路由，VPC内所有子网默认使用系统路由表。系统路由表不能创建也不能删除，但可以在系统路由表中创建自定义路由条目。 自定义路由表：支持创建VPC内自定义路由表，将自定义路由表和子网绑定，可更灵活地进行VPC网络管理。 对等连接 对等连接是两个VPC之间的网络连接，可以通过VPC对等连接，实现两个VPC之间私网互通。用户可以在自己帐号下同一资源池的VPC之间创建对等连接，也可以在自己账号的VPC与同一资源池内其他帐号的VPC之间创建对等连接。

本章节介绍云原生网关最简使用案例 概述 云原生网关作为微服务架构流量的入口支持对接天翼云注册配置中心、云容器引擎，并通过ELB实现外部访问暴露。同时云原生网关也可以不搭配以上组件独立使用，本文介绍云原生网关最简使用案例，架构如下： 体验流程：创建网关实例 > 添加固定地址服务 > 添加路由 > 验证访问 创建网关实例 有两个入口可以进入云原生网关开通页面： 1. 从天翼云官网控制中心> 微服务工具与平台 > 微服务引擎MSE，点击订购图标，进入产品订购页面。 2. 从云原生网关控制台实例列表页面的新建实例入口进入网关实例开通页面，选择实例规格、节点数及网络相关配置，确认提交；云原生网关订购配置说明如下 参数 描述 计费模式 支持包年包月和按需计费方式，费用说明请参照计费说明。 购买时长 可以根据实际需求进行选择，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 自动续期 您可以选择开启自动续期，避免云原生网关到期后无法使用。 自动续期购买时长 当开启自动续期，可以选择续期时长，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 系列 支持基础版和集群版。 基础版：只支持单可用区部署，且节点数量为1。 集群版：自动将控制节点以及工作节点平均分配部署至各可用区，且节点数量不少于2。 实例规格 架构支持X86（通用、海光）、ARM（通用、鲲鹏、飞腾），具体以当前资源池提供的选项为准。 实例规格支持2C4G 、4C8G 、8C16G 、16C32G规格，规格支撑能力说明请参照产品规格。 数据盘 支持超高IO ，最低大小50G，可根据实际需求自定义填写，填写值必须为50的倍数。 节点数量 基础版固定1个节点，无需填写；集群版您可以根据实际需求填写节点数量，节点数量不少于2。 部署方式 用户无需修改，基础版固定选中单可用区部署； 集群版时，如果当前资源池支持多可用区且节点数量大于2时，则默认为多可用区部署，单可用区部署置灰，否则为单可用区部署。 可用区 基础版需要选择任意一个可用区进行部署； 集群版会自动将控制节点以及工作节点平均分配部署至各可用区。 虚拟私有云 选择虚拟私有云，若您还没有虚拟私有云，请参照[创建虚拟私有云](

本节包含了通用计算增强型C6弹性云主机的概述、规格、适用场景。 概述 C6搭载第二代英特尔® 至强® 可扩展处理器，多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。 类型 CPU基频/睿频 CPU型号 ::: C6 3.0GHz/3.4GHz 6266 适用场景 对计算与网络有更高性能要求的网站和Web应用 通用数据库及缓存服务器 中重载企业应用 游戏、渲染等 规格 表 C6型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 虚拟化类型 c6.large.2 2 4 4/1.2 40 50 2 2 KVM c6.xlarge.2 4 8 8/2.4 80 50 2 3 KVM c6.2xlarge.2 8 16 15/4.5 150 100 4 4 KVM c6.3xlarge.2 12 24 17/7 200 150 4 6 KVM c6.4xlarge.2 16 32 20/9 280 150 8 8 KVM c6.6xlarge.2 24 48 25/14 400 200 8 8 KVM c6.8xlarge.2 32 64 30/18 550 300 16 8 KVM c6.16xlarge.2 64 128 40/36 1000 500 32 8 KVM c6.large.4 2 8 4/1.2 40 50 2 2 KVM c6.xlarge.4 4 16 8/2.4 80 50 2 3 KVM c6.2xlarge.4 8 32 15/4.5 150 100 4 4 KVM c6.3xlarge.4 12 48 17/7 200 150 4 6 KVM c6.4xlarge.4 16 64 20/9 280 150 8 8 KVM c6.6xlarge.4 24 96 25/14 400 200 8 8 KVM c6.8xlarge.4 32 128 30/18 550 300 16 8 KVM c6.16xlarge.4 64 256 40/36 1000 500 32 8 KVM

创建密钥版本 由于公私钥使用场景的特殊性，KMS不支持对非对称的用户主密钥进行自动轮转。可在指定用户主密钥中人工创建新的密钥版本，生成全新的一对公钥和私钥。 除此之外，和对称类型的用户主密钥不同，非对称的用于主密钥没有主版本（PrimaryKeyVersion）的概念，因此使用非对称密码运算的接口除需指定用户主密钥标志符（或别名）之外，还需指定密钥版本。 不适用范围 KMS管理的以下类型的密钥不支持多个版本： 云产品的默认密钥：特定云产品托管在KMS上的、用于加密保护您的数据的默认密钥。这类密钥由特定云产品为用户代为管理，为您的数据提供最基本的加密保护。 用户自带密钥（BYOK）：您导入到KMS中的密钥。这类CMK的Origin属性为External，KMS不负责为用户生成密钥材料，无法自动发起轮转行为。更多信息，请参见导入密钥材料。 操作步骤 设置自动轮转（对称密钥） 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择密钥所在的区域。 3. 在左侧导航栏，单击 密钥管理服务 ，进入 密钥列表 。 4. 定位到待设置的对称密钥，点击 密钥ID ，进入 密钥详情页 。 5. 在密钥版本区域，点击 设置轮转策略 。 6. 在设置轮转策略对话框，选择轮转周期， 30天 、 90天 、 180天 ，或 自定义天数 。 7. 设置了自动轮转策略后，将显示密钥下次轮转时间，点击确定完成设置。 8. 可通过相同的步骤更改轮转周期，也可取消轮转策略。

记录集类型 使用场景 描述 A 内网域名 指定域名对应的IPv4地址，用于将域名路由到IPv4地址。 CNAME 内网域名 指定域名的别名，用于将多个域名映射到同一主机上。 MX 内网域名 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 AAAA 内网域名 指定域名对应的IPv6地址，用于将域名路由到IPv6地址。 TXT 内网域名 用于对域名进行标识和说明，可填写任意的信息。主要用于以下场景： 记录DKIM的公钥，用于反电子邮件欺诈。 用于记录域名所有者身份信息，用于域名找回。 SRV 内网域名 记录了具体某台计算机对外提供哪些服务，供用户查询使用。 SOA 内网域名 指定该域名的主权威DNS服务器，系统默认创建，不支持手工创建。 PTR 内网域名 指定IP地址反向解析记录，用于通过私网IP地址反向查询对应的云主机。

本节包含了通用计算增强型C7t弹性云主机的概述、规格。 概述 C7t型云主机搭载第三代英特尔®至强®可扩展处理器，在高速互联场景取得重大提升，可以更好地满足互联网场景的业务诉求。 类型 CPU基频/睿频 CPU型号 C7t 2.8GHz/3.5GHz Intel 8378C 表 C7t型弹性云主机的规格 规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 辅助网卡个数上限 云硬盘基础带宽/突发带宽（Gbps） 虚拟化类型 c7t.large.2 2 4 10/1.28 80 50 2 2 16 1.5/6 基于QingTian架构的极简虚拟化 c7t.xlarge.2 4 8 16/2.56 150 50 2 3 32 2/6 基于QingTian架构的极简虚拟化 c7t.2xlarge.2 8 16 20/4 200 100 4 4 64 3/6 基于QingTian架构的极简虚拟化 c7t.3xlarge.2 12 24 34/6.4 300 150 4 6 96 4/6 基于QingTian架构的极简虚拟化 c7t.4xlarge.2 16 32 40/8 400 150 8 8 128 5/6 基于QingTian架构的极简虚拟化 c7t.6xlarge.2 24 48 50/14.4 600 200 8 8 192 6/无 基于QingTian架构的极简虚拟化 c7t.8xlarge.2 32 64 60/16 800 300 16 8 256 8/无 基于QingTian架构的极简虚拟化 c7t.12xlarge.2 48 96 70/28.8 1200 400 16 8 256 10/无 基于QingTian架构的极简虚拟化 c7t.16xlarge.2 64 128 72/32 1500 500 28 8 256 16/无 基于QingTian架构的极简虚拟化 c7t.24xlarge.2 96 192 80/40 2400 800 32 8 256 20/无 基于QingTian架构的极简虚拟化 c7t.32xlarge.2 128 256 90/48 3000 1000 32 8 256 24/无 基于QingTian架构的极简虚拟化 c7t.large.4 2 8 10/1.28 80 50 2 2 16 1.5/6 基于QingTian架构的极简虚拟化 c7t.xlarge.4 4 16 16/2.56 150 50 2 3 32 2/6 基于QingTian架构的极简虚拟化 c7t.2xlarge.4 8 32 20/4 200 100 4 4 64 3/6 基于QingTian架构的极简虚拟化 c7t.3xlarge.4 12 48 34/6.4 300 150 4 6 96 4/6 基于QingTian架构的极简虚拟化 c7t.4xlarge.4 16 64 40/8 400 150 8 8 128 5/6 基于QingTian架构的极简虚拟化 c7t.6xlarge.4 24 96 50/14.4 600 200 8 8 192 6/无 基于QingTian架构的极简虚拟化 c7t.8xlarge.4 32 128 60/16 800 300 16 8 256 8/无 基于QingTian架构的极简虚拟化 c7t.12xlarge.4 48 192 70/28.8 1200 400 16 8 256 10/无 基于QingTian架构的极简虚拟化 c7t.16xlarge.4 64 256 72/32 1500 500 28 8 256 16/无 基于QingTian架构的极简虚拟化 c7t.24xlarge.4 96 384 80/40 2400 800 32 8 256 20/无 基于QingTian架构的极简虚拟化 c7t.32xlarge.4 128 512 90/48 3000 1000 32 8 256 24/无 基于QingTian架构的极简虚拟化

本节介绍了用户指南：使用ZOS动态存储卷。 云容器引擎支持使用天翼云对象存储持久卷。cstorcsi插件支持使用对象存储动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录满足数据持久化需求。 前提条件 已创建容器集群。 已在插件市场安装存储插件cstorcsi，且插件正常运行。（建议使用>4.0的CSI版本） 容器集群所在资源池已开通对象存储服务。 使用限制 参见对象存储使用限制 通过控制台使用对象存储动态存储卷 1 、创建保密字典 进入天翼云对象存储控制台，进入Access Key管理； 查看对象存储密钥，并记录； 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“配置管理”——“保密字典”，选择命名空间，单击左上角“创建”。 输入名称、内容，内容项变量名分别是AK、SK（变量名大写），变量值分别对象上一步中获取到的密钥；点击提交； 注意 注意绿色框内，当填入AKSK内容时，需要将base64编码关闭，维持图上的状态。

本章节会介绍如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的 入方向规则 。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

接口功能介绍 报表管理预览报表 接口约束 无 URI POST /v1/safetyReport/event/preView 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 否 String 报表id SR10001 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 0 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 type String 类型 statisticalPeriod String 统计周期 20251112 00:00:0023:59:59 createTime String 基础信息生成时间 20251112 00:00:00 userAccount String 用户账号 testaccount hostRange Object 主机范围 hostRange module String 报表统计功能模块，多个空格分割 BASELINE基线检测 VULSCAN漏洞扫描 WEBTAMPER网页防篡改 VIRUS病毒检测 INTRUSIONDETECTION入侵检测 BASELINE INTRUSIONDETECTION VULSCAN WEBTAMPER VIRUS digestHostsCount Integer 主机总数 100 digestRiskCount Integer 发现风险总数 100 digestAlarmCount Integer 入侵告警总数 100 agentChart Array of Objects agent状态分布 [{"count":100,"name":"ONLINE","percent":50.1,"nameCode":1},{"count":100,"name":"OFFLINE","percent":50.1,"nameCode":2},{"count":100,"name":"UNACTIVATED","percent":50.1,"nameCode":3},{"count":100,"name":"ERROR","percent":50.1,"nameCode":4}] agentChart offlineAgentList Array of Objects 离线主机列表 最多展示10条 offlineAgentList riskDiscoverInfo Object 风险数据统计 riskDiscoverInfo vulRiskInfo Object 漏洞扫描 风险信息 vulRiskInfo baseRiskInfo Object 基线扫描 风险信息 baseRiskInfo weakPwRiskInfo Object 弱口令风险 weakPwRiskInfo severityEvent Object 安全事件 severityEvent 表 severityEvent 参数 参数类型 说明 示例 下级对象 type String 类型 totalEvents Integer 总事件数 100 hostNum Integer 影响服务器数 100 severityChart Array of Objects 安全事件按威胁等级分布占比 LOW低危 MEDIUM中危 HIGH高危 [{name: "LOW", count: 4, percent: 3.88}, {name: "MEDIUM", count: 32, percent: 31.07},…] severityChart0 eventChart Array of Objects 安全事件按事件类型分布占比 VIRUS病毒 WEBTAMPER网页防篡改 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他 [{name: "VIRUS", count: 79, percent: 76.7}, {name: "3", count: 15, percent: 14.56},…] eventChart affectedHostsTop5 Array of Objects 影响服务器 Top5 [{agentGuid: "1111", agentIp: "192.168.1.1", publicIp: "192.168.1.1", eventCount: 100, events: ["1", "2", "3", "4", "5"]},…] affectedHostsTop5 表 affectedHostsTop5 参数 参数类型 说明 示例 下级对象 custName String 受影响服务器主机名称 testhostname agentGuid String 受影响服务器guid testguid agentIp String 内网Ip 192.168.1.1 publicIp String 公网Ip 192.168.1.1 eventCount String 总事件数 Integer 100 events Array of Strings 事件类型 VIRUS病毒 WEBTAMPER网页防篡改 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他 ["1","2","3"] 表 eventChart 参数 参数类型 说明 示例 下级对象 name String 名称 安全事件按威胁等级分布占比[LOW低危 MEDIUM中危 HIGH高危] 安全事件按事件类型分布占比[VIRUS病毒 WEBTAMPER网页防篡改 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他] LOW count Integer 总数 100 percent String 占比 50.1 表 severityChart0 参数 参数类型 说明 示例 下级对象 name String 名称 安全事件按威胁等级分布占比[LOW低危 MEDIUM中危 HIGH高危] 安全事件按事件类型分布占比[VIRUS病毒 WEBTAMPER网页防篡改 1进程异常行为 2恶意软件 3用户异常行为 4恶意网络连接 5其他] LOW count Integer 总数 100 percent String 占比 50.1 表 weakPwRiskInfo 参数 参数类型 说明 示例 下级对象 type String 类型 hostNum Integer 弱口令风险服务器数量 100 risk Integer 弱口令风险数量 100 sysRisk Integer 系统弱口令风险数量 100 appRisk Integer 应用弱口令风险数量 100 lastScanTime String 上次扫描时间 20251112 00:00:00 lastScanRisks Integer 上次检查风险数量 100 scheduledTaskIsOpen Boolean 是否开启定时扫描 true开启 false关闭 true scheduledTaskConf Object 弱口令定时任务配置 scheduledTaskConf01 表 scheduledTaskConf01 参数 参数类型 说明 示例 下级对象 status Integer 状态 1开启 其他关闭 1 day Integer 间隔天数 1 hour Integer 扫描时间小时，1代表每间隔day天的凌晨1点minute分开始 1 minute Integer 扫描时间分钟，0代表每间隔day天的hour点的0分开始 0 checkType String 扫描类型，多个逗号分割 1：系统弱口令:2：应用弱口令 1,2 scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL 表 baseRiskInfo 参数 参数类型 说明 示例 下级对象 type String 类型 riskHosts Integer 基线风险服务器数量 100 checkItems Integer 基线检查项数量 100 checkHosts Integer 基线检查服务器数量 100 risks Integer 基线风险数量 100 lastScanTime String 上次扫描时间 20251112 00:00:00 lastScanRisks Integer 上次检查基线风险数量 100 scheduledTaskIsOpen Boolean 是否开启定时扫描 true开启 false关闭 true scheduledTaskConf Object 基线定时扫描配置 scheduledTaskConf0 表 scheduledTaskConf0 参数 参数类型 说明 示例 下级对象 id Integer 基线策略id 1 name String 基线策略名称 策略1 checkfrequency Integer 间隔天数 1 checktime String 扫描时间,01:0002:00代表再每checkfrequency天01:0002:00之间进行扫描 01:0002:00 ruleStatus Boolean 状态 true开启 false关闭 true description String 描述 描述 createtime String 创建时间 20200101 00:00:00 isDefault Boolean 是否默认策略 true默认策略 false非默认策略 true scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL day Integer 间隔天数 1 hour Integer 扫描时间小时，1代表每间隔day天的凌晨1点minute分开始 1 minute Integer 扫描时间分钟，0代表每间隔day天的hour点的0分开始 0 表 vulRiskInfo 参数 参数类型 说明 示例 下级对象 lastScanTime String 上一次漏洞扫描时间 20231212 17:32:00 lastScanVul Integer 上一次漏洞扫描发现的漏洞数 100 scheduledTaskIsOpen Boolean 漏洞扫描定时任务是否开启 true scheduledTaskConf Object 漏洞扫描配置 scheduledTaskConf emergenVul Integer 需紧急修复的漏洞数 100 unHandleVul Integer 未处理的漏洞数 100 hostNumVul Integer 存在的漏洞的服务器数 100 severityChart Array of Objects 漏洞修复优先级分布 [{"count":100,"name":"HIGHLVL","percent":50.1,"nameCode":1},{"count":100,"name":"LOWLVL","percent":50.1,"nameCode":2},{"count":100,"name":"MEDIUMLVL","percent":50.1,"nameCode":3}] severityChart emergenVulTop Array of Objects 需要紧急修复的漏洞top10 emergenVulTop 表 emergenVulTop 参数 参数类型 说明 示例 下级对象 title String 漏洞名称 Red Hat libxml2代码执行漏洞(CVE20256021) severity String 漏洞修复优先级 HIGH高 LOW低 MEDIUM中 HIGH count Integer 影响服务器数量 100 cve String CVE编号 CVE20256021 severityCode Integer 漏洞等级Code 1低 2中 3高 1 表 severityChart 参数 参数类型 说明 示例 下级对象 count Integer 数量 1 name String 名称 agent状态[ONLINE在线 OFFLINE离线 UNACTIVATED未激活 ERROR错误] 漏洞修复优先级[HIGHLVL高 LOWLVL低 MEDIUMLVL中] ONLINE percent String 百分比，如50.1% 此处的值时50.1 50.1 表 scheduledTaskConf 参数 参数类型 说明 示例 下级对象 status Integer 状态 1开启 其他关闭 1 day Integer 间隔天数 1 hour Integer 扫描时间小时，1代表每间隔day天的凌晨1点minute分开始 1 minute Integer 扫描时间分钟，0代表每间隔day天的hour点的0分开始 0 severity String 漏洞修复优先级,多个逗号分割，1低 2中 3高 1,2,3 timeout Integer 超时时间，单位分钟 60 scopeType String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL vulScanType String 漏洞扫描类型，多个逗号分割 LINUXLinux漏洞 WINDOWSWindows漏洞 WEBCMSWEB漏洞 APPLICATION应用漏洞 EMERGENCYVUL紧急漏洞 LINUX,WEBCMS,APPLICATION,EMERGENCYVUL vulType Array of Strings 漏洞扫描类型，多个逗号分割 LINUXLinux漏洞 WINDOWSWindows漏洞 WEBCMSWEB漏洞 APPLICATION应用漏洞 EMERGENCYVUL紧急漏洞 ["LINUX", "WINDOWS", "APPLICATION", "WEBCMS", "EMERGENCYVUL"] 表 riskDiscoverInfo 参数 参数类型 说明 示例 下级对象 type String 类型 totalRisk Integer 总风险项 100 vulRisk Integer 漏洞风险 100 baseRisk Integer 基线风险 100 weakPwRisk Integer 弱口令风险 100 表 offlineAgentList 参数 参数类型 说明 示例 下级对象 number Integer 序号 1 custName String 主机名称 testhost agentIp String 内网Ip 192.168.1.1 publicIp String 公网Ip 192.168.1.1 osType String 操作系统 Linux/Windows Windows regionName String 资源池 华东1 表 agentChart 参数 参数类型 说明 示例 下级对象 count Integer 数量 1 name String 名称 agent状态[ONLINE在线 OFFLINE离线 UNACTIVATED未激活 ERROR错误] 漏洞修复优先级[HIGHLVL高 LOWLVL低 MEDIUMLVL中] ONLINE percent String 百分比，如50.1% 此处的值时50.1 50.1 表 hostRange 参数 参数类型 说明 示例 下级对象 windows Integer windows主机数量 linux Integer linux 主机数量

本页介绍天翼云TeleDB数据库如何开通实例。 本文档用于指导如何在非独立部署(依赖统一PaaS平台)的环境上开通TelePG实例。 前提条件 已部署好telepg后端控制台。 已部署好telepg前端。 已在统一PaaS平台上配置了Postgresql数据库应用的资源池版本。 操作步骤 1. 使用系统管理员登录到统一PaaS平台。 2. 单击管控面板 ，在左侧导航树上选择系统管理与审批 > 系统配置 > 组件应用管理 ，进入组件应用管理页面。 3. 在搜索框中搜索postgresql ，单击更多 > 资源板池， 在对应资源池上配置telepg的后端服务访问地址。 4. 统一PaaS平台上存在租户、租户管理员(租户拥有者)。 1. 租户管理员：使用系统管理员登录到统一PaaS平台，选择管理面板> 租户管理 > 账号管理，新建账号。 2. 租户：使用系统管理员登录到统一PaaS平台，选择管理面板> 租户管理 > 租户管理，新建租户，设置上面创建的用户为租户拥有者。 5. 对应租户对应资源池上已配置了可用的主机，且配置的主机的系统ssh账号有sudo权限。 如果使用非物理机模式开通组件，则可以忽略此步骤。 新增主机：使用租户管理员(租户拥有者)登录到统一PaaS平台，单击管理面板 ，选择我的资源> 我的主机 ，单击新增 ，新增主机。 6. 对应租户对应资源池上已配置了虚拟ip。 7. 如果使用非物理机模块开通组件，则可以忽略此步骤(2) 如果没有配置虚ip，使用物理机开通时，只能开通基础版的pg实例，无法开通高可用版(一主一从)。 新增虚拟ip：使用租户管理员(租户拥有者)登录到统一PaaS平台，单击管理面板 ，选择我的资源> 虚IP资源管理 ，单击新增，新增虚拟ip。 8. 对应资源池内的Postgresql组件已上架。 使用系统管理员登录到paas平台，单击管理面板 ，选择资源池管理 > 池内组件上架 ，单击上架，上架待开通的telepg实例。 9. 开通实例 1. 使用租户管理员(租户拥有者) 登录到统一PaaS平台，单击控制台。 2. 在PaaS平台上，选择组件产品> RDSPostgresql版。 3. 在Postgresql数据库开通页面上，选择资源池、网络、版本、系列、实例规格，录入实例名称和实例的root用户密码、以及磁盘大小，开启高级设置，单击检测 。(1) 开通时的版本是根据postgresql的后端资源池版本确定的。这里只会显示一个小于等于后端资源池版本的最新的版本 (2) 不开启高级设置，则使用新建虚机的方式开通实例 (3) 如果不手工选择主机，则检测成功后，会自动分配主机，如果分配的主机不是用户想要的，则可以重新选择主机。 4. 单击订购，弹出订购预览对话框，查看相关的产品和部署信息。 5. 单击确认，提示提交成功，会生成一个开通的订单。 6. 查看订单详情。 1. 单击管理面板，选择订单中心> 我的订单 ，查看生成的订单。若订单处理失败，则可以单击订单上的更多 > 作废，作废此订单，释放响应端口。 2. 单击订单详情，可查看订单详情。 3. 单击订单流程，可查看订单的各个流程。 7. 查看工单详情 1. 单击管理面板 ，选择订单中心 > 我的订单，可查看已开通生成的订单。 2. 进入我的工单页面，单击工单ID，可查看工单详情，包含参数信息、施工过程和施工流程。 3. 若开通失败时，可单击查看流程，查看具体的报错信息。 4. 若开通失败，可单击更多> 重新施工。 paas平台施工时默认会进行3次重试，若3次都重试失败，才会将工单的施工结果标注为失败。 8. 查看开通的实例 1. 选择管理面板 ，单击我的云服务 > 我的组件，即可查看已开通的实例信息。 2. 单击控制台，可跳转至TelePG控制台。

步骤三：添加数据库资产 1. 登录数据库审计实例。 2. 在左侧导航栏选择“资产 > 资产管理”，单击“添加”。 3. 在弹出的“添加资产”窗口配置数据库信息。 参数填写规则说明如下： 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则。 不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 关系数据库MySQL版：请选择“天翼云RDS > TeledbMySQL > 所有版本”。 关系数据库PostgreSQL版：请选择“天翼云RDS > PostgreSQL > 所有版本”。 关系数据库SQL Server版：请选择“天翼云RDS > SQL Server > 所有版本”。 文档型数据库：请选择“天翼云RDS >MongoDB> 所有版本”。 云数据库Clickhouse：请选择“天翼云RDS >Clickhouse HTTP> 所有版本”。 实例ID 填写数据库实例ID，请前往对应数据库控制台获取“实例ID”。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 IP端口 填写数据库实例的IP及端口号，请前往对应数据库控制台获取“连接地址”。 状态 点击“更多配置”，可配置审计状态，默认为“启用”。 4. 配置完成后，单击“保存”即可纳管天翼云上数据库并审计。

本文向您介绍出现问题“GPU实例启动异常,查看系统日志发现NVIDIA驱动空指针访问”时的解决方案。 问题描述 GPU弹性云主机启动异常，检查系统日志，发现GPU驱动提示指针访问错误日志，“BUG: unable to handle kernel NULL pointer dereference at ”。 可能原因 GPU驱动状态异常。 处理方法 1. 卸载驱动。 方法一：执行nvidiauninstall命令，卸载驱动。 方法二：执行sh NVIDIALinuxx8664.run uninstall，卸载驱动。 2. 重装驱动。 操作指导请参考：安装GPU驱动。

本文为您介绍如何使用ECI实例访问对象存储数据。 背景信息 天翼云对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 前期准备 已开通天翼云弹性容器实例服务。 已开通天翼云对象存储(ZOS)服务。 对象存储服务需要满足按量计费模式，已创建Access Key。 对象存储Bucket的存储类型仅支持标准存储和低频存储，不支持归档型存储（归档型不支持POSIX语义）。 操作步骤 天翼云弹性容器实例ECI支持用户通过控制台和OpenAPI等多种方式创建挂载对象存储作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问云硬盘中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 用户可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块4G大小的对象存储桶，挂载目录为/zostest。 5. 让我们尝试从/zostest目录下删除名为max.txt的文件，可以发现当我们以“只读”方式挂载时，文件系统不允许该文件被删除。

本文主要介绍申请弹性IP及绑定弹性IP的步骤。 申请弹性IP操作步骤： 1.登录管理控制台。 2.在系统首页，选择“网络 > 弹性IP”。 3.在“弹性IP”界面，单击“购买弹性IP”。 4.根据界面提示配置参数。 5.单击“立即申请”。 绑定弹性IP操作步骤： 1.在“弹性IP”界面待绑定弹性IP地址所在行，单击“绑定”。 2.选择弹性云主机实例。 3.单击“确定”。

本章节介绍故障演练服务中创建VPC终端节点相关功能。 概述 在为弹性云主机 和云容器引擎 安装探针之前，需要先建立故障演练服务控制面与目标实例间的网络连通性，具体是通过创建VPC终端节点实现。 创建步骤 1. 登录VPC终端节点控制台。 2. 单击左侧菜单栏终端节点 ，点击页面右上角创建终端节点。 3. 服务类型 选择按服务实例ID查找服务。 4. 可用服务 中，填入故障演练专属服务实例ID （见下表），点击验证。 5. 虚拟私有云 选择目标故障演练资源所属VPC ，子网选择目标资源相关的子网。 6. 点击下一步确认订单 ，开通VPC终端节点。 服务列表 资源池 服务实例ID 服务实例名称 华东1 endpserjraeobv2mr vpcectgchaosserverhd1 西南1 endpserh1ti3dqy70 vpcectgchaosserverxn1 华北2 endpser1k6c0s0fdc vpcectgchaosserverhb2 西安7 endpserq2im8cy7tj vpcectgchaosserverxa7

本文简述权限管理配置平台及具体操作方法。 背景说明 一般情况下，客户只需一个天翼云账号即可管理在天翼云上购买的DDoS高防（边缘云版）。如果存在需要为企业内部的员工设置不同的访问权限，以达到不同员工之间权限隔离的效果，则可以使用天翼云CDN+统一身份认证服务（CDN+ Identity and Access Management，简称CDN+IAM）进行精细的权限管理。本文主要介绍相关操作步骤。 操作步骤 步骤一：登录CDN+IAM平台 1、平台登录入口：天翼云CDN+IAM。 2、进入账号登录界面，请单击【其他登录方式】里的第一个图标（如下图1），随即自动跳转到天翼云账号登录界面（如下图2），输入官网账号和密码后，单击【登录】。 步骤二：创建工作区 工作区是一个租户的概念，在工作区里可以共享合作，可实现团队管理，角色管理，子用户管理等操作。 完成登录CDN+IAM平台后，系统已为您创建了一个系统内置工作区。 若没有系统内置工作区，您可以自行创建工作区。操作方式为在界面右上角，单击【新增】。 步骤三：创建用户组 为了让企业中的其他员工也可以访问DDoS高防（边缘云版）服务控制台，您可以创建用户组，子用户在工作区中创建，与工作区绑定。具体操作为：在【子用户管理】目录，单击【新增】，填写子用户相关基本信息后，单击【确定添加】，即可完成子用户新增。 完成创建子用户后，子用户可使用登录凭据和密码，登录：天翼云CDN+IAM。 说明 创建的子用户默认只有 CDN+IAM团队成员的权限，仅可以登录CDN+IAM和访问该工作区。如果您需要给子用户赋予更多的权限，则需要操作第四步。

本小节介绍数据库安全背景信息。 背景信息说明 使用限制 购买数据库安全审计实例后，您需要将待审计的数据库添加到数据库安全审计实例中，并在数据库对应的数据库端或应用端安装Agent。当待审计的数据库连接到数据库安全审计实例后，数据库安全审计才能对待审计的数据库进行审计。 数据库安全审计支持对管理控制台上的云主机、物理机的自建数据库和RDS云数据库进行审计。 数据库安全审计支持数据库类型及版本为： MySQL 5.0、5.1、5.5、5.6、5.7 8.0 Oracle 11g 11.1.0.6.0 、11.2.0.1.0、11.2.0.2.0 12c 12.1.0.2.0 、12.2.0.1.0 PostgreSQL 7.4 8.0、8.1、8.2、8.3、8.4 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0、10.1、10.2、10.3、10.4、10.5 11 快速配置流程 购买数据库安全审计后，您可以参照下图所示的配置流程，快速使用数据库安全审计。操作步骤的详细说明如下表所示。 步骤 配置操作 说明 1 步骤一：添加数据库并开启审计 购买数据库安全审计后，您需要先将待审计的数据库添加到数据库安全审计实例并开启该数据库的审计功能。 2 步骤二：添加Agent 添加的数据库开启审计功能后，您需要为添加的数据库选择Agent的添加方式。数据库安全审计支持对云上的物理机/云主机的自建数据库和RDS云数据库进行审计，请根据您在管理控制台上实际部署的数据库选择Agent添加方式。 3 步骤三：安装Agent 添加Agent后，您需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 4 查看审计总览信息 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。安装Agent后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。

本章介绍如何进行目的端的配置。 操作场景 迁移前，您需要设置目的端服务器。该目的端用来接收源端的数据，同时您也可以使用该目的端进行迁移测试和启动目的端。 前提条件 只有“迁移阶段”为“已就绪”时才可设置目的端。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面找到待迁移的服务器，在“目的端”列，单击“设置目的端”，进入迁移配置页面。或单击“操作”列的“更多 > 设置目的端”，进入迁移配置页面。如果在迁移服务器列表中没有看到源端服务器记录，请检查是否登录的是目的端天翼云帐号。 4. 在“迁移配置”页面的基本配置页签，根据下表参数说明，设置相关参数。 参数 子参数 说明 迁移参数模版 选择某个迁移参数模版后，页面根据模版的值自动设置网络类型、网络限流值、迁移方式、是否持续同步、是否调整分区、区域、项目;系统会为每个用户自动创建一个默认迁移参数模版，您也可以提前手动创建迁移参数模版，参见创建迁移参数模板。 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 私网 私网包括专线、VPN、对等连接、同VPC子网，如选择私网则需要提前创建，迁移时会使用目的端私有IP。 IP版本 IPv4 使用IPv4进行数据迁移。 IPv6 双栈网络下，可以选择使用IPv6进行主机迁移。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 设置为0时，代表不限流。 Linux限流功能是基于TC(Traffic Control)模块控制，如果源端服务器没有TC模块，则无法支持限流。 部分Linux系统，暂不支持限流。（例如：CentOS 8.x以及基于其构建的其它发行版本均没有TC模块。） CPU限制 仅支持Linux迁移。 内存限制 磁盘吞吐限制 迁移方式 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。 若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 是否调整分区 否 选择否，目的端磁盘分区与源端保持一致。 是 选择是，用来调整目的端磁盘分区。 迁移后主机状态 关机 选择关机，迁移完成后目的端服务器自动关机。 开机 选择开机，迁移完成后目的端服务器保持开机状态。 是否检测网络质量 否 不进行网络质量评估。 是 首次全量迁移时，会生成一个“迁移网络质量评估”的子任务，该子任务通过检测丢包率、抖动、网络时延、带宽以及内存占用率和CPU占用率，给出网络质量评估结果。 是否启用多进程 否 默认使用1个进程进行迁移、同步。 是 设置迁移和同步最大进程个数，SMSAgent根据设置的进程个数，启用多个进程执行迁移任务。仅适用Linux文件迁移。 迁移特殊配置项 Linux文件级配置不同步、不迁移等特殊配置信息。 Windows块级迁移，专线场景下，可配置目的端中转IP。 调整磁盘分区 单击右侧出现的“调整磁盘分区”，弹出“磁盘分区调整”窗口，如下图所示，用户根据实际业务场景，完成磁盘分区的设置。 图 Windows磁盘分区调整 图 Linux磁盘分区调整 说明 磁盘分区调整可以修改是否迁移以及调整分区大小。 Linux支持LVM调整，可以选择物理卷和逻辑卷是否迁移以及调整大小。 注意 Windows系统分区和启动分区是否迁移不可选，默认必须进行迁移。 Windows调整分区大小时只能增大当前分区大小。 Linux Btrfs文件系统暂时不支持磁盘分区调整。 Linux系统分区，swap分区是否迁移不可选，默认为“是”，必须进行迁移。 LVM迁移卷组，可通过卷组配置页，左上方的按钮组，选择全部迁移或暂不迁移。 LVM中的逻辑卷如果是否迁移都选择“否”，则卷组不迁移，对应的物理卷是否迁移也会全部自动切换成“否”。 Linux块级迁移，磁盘分区只可以调大。 Linux文件级迁移，磁盘分区可以调大，也可以调小，调小时需保证调小后的分区大小大于已使用空间+1GB。如果调整前分区大小小于已使用空间+1GB，则无法将磁盘分区大小调小。 如果调整分区大小超过当前磁盘大小时，请先单击“磁盘调整”，调大磁盘大小后再进行分区调整。 如果调整分区大小后，小于当前磁盘大小，如有必要，可单击“磁盘调整”，调小磁盘大小。 单击“下一步 磁盘调整”，确认磁盘调整无误后，单击“确定”，完成磁盘分区的调整。 注意 确定后，是否调整磁盘分区无法重新设置为“否”。如果想要恢复原始磁盘分区设置，请在操作栏下，下拉“更多”，单击“删除”，然后在源端重启Agent，之后重新设置目的端配置，是否调整磁盘分区选择“否”。 5. 单击右下角的“下一步：目的端配置”，进入目的端配置页签。 6. 在目的端配置页签，设置相关参数。 参数 子参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目 服务器选择 已有服务器 在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 根据需求，您可以配置虚拟私有云、子网、安全组等参数，详细说明参见创建新服务器。 已有服务器 目的端服务器需要满足如下条件，否则请单击“前往ECS购买”，根据“推荐目的端，操作系统”购买满足如下条件的弹性云主机。当前已支持将源端服务器迁移到“包年/包月”和“按需计费”这两种计费模式的弹性云主机，您可根据需求选择对应计费模式的弹性云主机。 Windows系统的目的端服务器（即弹性云主机）“规格”中的“内存”大小要不小于2GB。 目的端服务器的磁盘个数不小于源端服务器磁盘个数，且目的端服务器每块磁盘的大小要不小于对应的源端服务器“推荐规格”大小。 目的端服务器的操作系统类型需要和源端的OS类型保持一致。否则，迁移完成后服务器OS系统类型与镜像类型不一致，造成名字冲突及其他问题。 确保源端服务器可以访问目的端服务器，即要有可用的EIP，或者配置VPN、专线。 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组。如果是Windows系统，开放TCP的8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移开放22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 创建新服务器 选择“自动推荐”时，虚拟私有云、子网与安全组默认为自动创建，也可以根据需求手动选择。 高级配置中服务器名称、可用区、规格、系统盘、数据盘、弹性公网IP默认自动推荐和选择，也可以根据需求手动选择。 说明 数据盘支持的磁盘模式包括：VBD类型（默认）、SCSI类型。关于磁盘模式的详细介绍请参见 数据盘支持创建“共享盘”，关于共享磁盘的详细介绍请参见 选择已有模板时，虚拟私有云、子网、安全组、可用区、磁盘类型根据模板确定，也可以手动调整。 注意 虚拟私有云选择自动创建时，SMS会帮助用户创建一个VPC： 若源端IP是192.168.X.X，则推荐创建的VPC网段是192.168.0.0/16，同时创建一个子网，网段也是192.168.0.0/16。 若源端IP是172.16.X.X，则推荐创建的VPC网段是172.16.0.0/12，同时创建一个子网，网段也是172.16.0.0/12。 若源端IP是10. X .X.X，则推荐创建的VPC网段是10.0.0.0/8，同时创建一个子网，网段也是10.0.0.0/8。 安全组选择自动创建时，则SMS服务会自动创建一个安全组，并根据SMS的需要开放端口，Windows开放8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移只开放22端口。 7.目的端参数配置完成后，单击右下角“下一步：确认配置”，进入确认配置页签。 8.（可选）单击“保存为虚拟机配置模板”，弹出“创建虚拟机配置模板”窗口，输入模板名称，单击“确定”，可将配置信息保存为模板。 说明 在目的端配置时，只有服务器选择“创建新服务器”时，才能单击“保存为虚拟机配置模板”。 图 创建虚拟机配置模板窗口 9. 确认信息无误后，单击“保存配置”按钮，弹出“是否保存配置”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。如果您想立即开始迁移，可单击“保存配置并开始迁移”按钮，弹出“是否保存配置并开始迁移”窗口。仔细阅读“迁移条件须知和风险提示”后，单击“是”。 说明 当迁移服务器列表的迁移阶段列显示为，迁移实时状态为已就绪，说明目的端已配置完成。

本文主要介绍如何解绑弹性iP。 操作场景： 当云主机或其他云服务实例无需继续使用弹性IP，可通过解绑弹性IP给其它云服务使用。 操作步骤： 解绑单个弹性IP 1.登录管理控制台。 2.在系统首页，选择“网络 > 弹性IP”。 3.在弹性IP界面待解绑弹性IP地址所在行，单击“解绑”。 4.单击“是”。 批量解绑弹性IP 1.登录管理控制台。 2.在系统首页，选择“网络 > 弹性IP”。 3.在弹性IP列表中勾选待解绑的多个弹性IP地址。 4.单击列表左上方的“解绑”。 5.单击“是”。

此小节介绍云堡垒机的命令控制策略。 命令控制策略用于控制用户访问资源的关键操作权限，实现Linux主机运维操作的细粒度控制。 新建命令控制策略 针对SSH和Telnet字符协议主机，根据管理员配置的策略限制，Guacd代理对用户运维过程中执行的命令进行审计和过滤，并返回审计的命令、过滤结果和命令返回的内容，用于会话操作记录、动态授权、断开连接等动作。 命令控制策略支持以下功能项： 1 支持按策略列表页策略排序区分优先级，排序越靠前优先级越高。 2 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。 允许执行：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝执行：触发该策略规则后，拒绝执行该命令，界面提示“命令“xxx”已被拦截”。 断开连接：触发该策略规则后，拒绝执行该命令，断开会话连接，界面提示“本次连接已被管理员强制断开！” 动态授权：触发该策略规则后，拒绝执行该命令，界面提示“命令“xxx”已被拦截，请提交命令授权工单申请动态授权”，同时生成命令授权工单。用户需提交工单，并审核通过后，才能继续执行该命令。 约束限制 仅SSH和Telnet协议类型的Linux主机，支持命令控制策略设置操作细粒度控制。

本文通过弹性负载均衡的配置流程,带您快速了解弹性负载均衡产品。 快速入门以具体场景为例，指引您如何快速创建一个负载均衡实例，将访问请求分发到配置的弹性云主机。 弹性负载均衡的配置流程如图所示：

本节为您介绍物理机对其他产品的支持情况。 实例 支持自动化发放物理机，远程Console登录。 支持客户自主管理物理机生命周期：查询、启动、关机、重启、删除。 导出物理机列表：将客户名下的所有物理机信息，以CSV文件的形式导出至本地。 支持重置密码。 支持重装操作系统：物理机操作系统无法正常启动、中毒等场景，可以重装操作系统。 支持通过API管理物理机。 支持主机监控，可实时获取物理机的CPU、内存、磁盘I/O等监控指标数据。 支持云审计，记录与物理机相关的操作事件，便于日后的查询、审计和回溯。 磁盘 弹性裸金属可支持挂/卸载云硬盘。 支持非共享卷和共享卷。 支持云硬盘扩容。 镜像 可以使用公共镜像、私有镜像、共享镜像发放物理机。 支持通过物理机创建私有镜像。 私有镜像支持不同账号之间共享镜像。 网络 支持虚拟私有云。 创建安全组并定义安全组规则，为物理机提供安全防护。 支持绑定弹性IP，满足客户互联网访问需求。 支持绑定多张网卡。

本文主要介绍使用私网NAT网关为VPC内计算实例实现线上线下互通添加安全组规则 操作场景 在目的VPC包含的云主机中添加入方向安全组规则，用于将转发到目的端的流量全部放通。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 在系统首页，选择“网络 > 虚拟私有云”。 4. 在左侧导航树选择“访问控制 > 安全组”。 5. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 6. 在入方向规则页签，单击“添加规则”，添加入方向规则。单击“+”可以依次增加多条入方向规则。 7. 单击“确定”，完成添加。

本节介绍注册集群控制台用户指南。 注册集群控制台 分布式容器云平台 注册集群控制台 说明 1. 天翼云注册集群控制台，提供与云容器引擎CCE相同的功能体验。 2. 其他注册集群控制台，提供与云容器引擎CCE高度一致的功能体验。 产品功能 与云容器引擎基本一致的运维体验：通过分布式容器云平台控制台统一管理云容器引擎集群和本地自建Kubernetes集群，体验一致的运维能力，统一管理集群和应用，统一的日志、监控和告警体系，以及集群巡检和故障诊断能力。 备份容灾：提供云上备份、还原的能力，支持ETCD和集群的云容灾，全面提升企业的业务连续性。 文档使用指引 注册集群控制台功能包括：集群信息、命名空间、工作负载、网络、配置管理、存储、插件、安全管理、运维管理等。 命名空间、工作负载、网络、配置管理、安全管理、运维管理等相同功能请参考 云容器引擎产品文档。 功能模块 功能项 相关文档 注册集群 注册集群 天翼云注册集群 本地注册集群 三方云注册集群 AnyWhere注册集群 节点管理 节点池 混合集群网络 节电池管理 节点伸缩 节点管理 云下节点池 云下节点池 节点管理 虚拟节点 虚拟节点 权限配置 授权 授权概述 IMA授权 RBAC授权 存储 对象存储 对象存储 运维 监控 Prometheus 监控 运维 备份 ETCD 备份 集群备份 集群定时备份 运维 集群巡检 集群巡检 运维 日志中心 日志 运维 故障诊断 故障诊断

使用场景 针对使用多种云产品的用户，通过资源分组功能将同一业务相关的弹性云主机、物理机、云硬盘、弹性IP、带宽、数据库等资源添加到同一资源分组中。从分组角度查管理资源，管理告警规则，可以极大的降低运维复杂度，提高运维效率。 限制与约束 一个用户最多可创建10个资源分组。 一个资源分组可添加11000个云服务资源。 一个资源分组对不同类型资源有可选数量限制，具体请参见控制台提示。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控”。 4. 单击页面左侧的“资源分组”，进入“资源分组”页面。 5. 单击页面右上角的“创建资源分组”按钮。 6. 按照界面提示，填写分组名称并选择企业项目。 选择了企业项目后，只有拥有该企业项目权限的用户才可以查看并管理资源分组，权限划分更合理更细致。 7. 选择需要添加的云服务资源。 8. 单击“立即创建”，完成资源分组的创建。

AntiDDoS流量清洗与其他服务的关系。 AntiDDoS可以为弹性云主机、弹性负载均衡、Web应用防火墙、弹性IP等服务的公网IP资源提供防护能力。此外，与其他云服务之间还存在以下关系： 服务名称 与其他服务的关系 主要交互功能 云审计服务 开通云审计服务后，云审计服务会记录AntiDDoS相关的操作事件，方便用户日后的查询、审计和回溯。 查看云审计日志 消息通知服务 消息通知服务（Simple Message Notification，简称SMN）提供消息通知功能。AntiDDoS开启告警通知后，如果IP地址受到DDoS攻击时用户会收到短信或邮件的提醒信息。 开启告警通知 云日志服务 将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录AntiDDoS日志，可以高效地进行实时决策分析、设备运维管理以及业务趋势分析。 开启日志记录 云监控服务 云监控服务可以监控AntiDDoS相关的指标，用户可以通过指标及时了解防护状况，并通过这些指标设置防护策略。 设置事件告警通知 统一身份认证服务 统一身份认证服务（Identity and Access Management，简称IAM）为AntiDDoS提供权限管理的功能，拥有对应权限的用户才能使用AntiDDoS服务。

使用内网DNS需要修改 主机的DNS配置么? 需要。 为实现内网域名在VPC 上的正常解析，您需要将主机内的 DNS 改成内网 DNS 服务地址。具体请参考更改主机DNS使内网DNS配置生效，以确保内网DNS的配置生效并实现预期的域名解析。 内网域名是否会覆盖公共域名? 创建内网域名后并不会立即覆盖公共网络中存在的域名。只有当您关联该内网域名到特定的VPC之后，在对应的VPC内访问该内网域名时，才会覆盖公共网络中的现有域名解析。 例如您在内网DNS中创建了internal.example.com作为内网域名，并且关联了特定的VPC。 在关联VPC之前，internal.example.com并没有与任何具体的解析记录相关联。当在关联之前访问internal.example.com时，会继续解析公共网络中的现有域名解析结果，而不是内网域名中的解析记录。 在关联了VPC之后，您在内网域名中设置了如下解析记录： internal.example.com A 60 10.0.0.1。当在关联VPC的云主机上解析internal.example.com时，将会显示地址为10.0.0.1，而公共网络中的解析记录将被覆盖。 如果您希望创建的内网域名可以解析在内网域名中配置有解析记录的私有域名，并且也可以解析在内网域名中未配置的公共域名，那么您可以开启子域名递归解析代理功能，具体操作请参考开启子域名递归解析代理功能。

您可以根据实际需要创建文件系统，本文帮助您快速上手创建文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储”>“并行文件服务HPFS”。 3. 在并行文件服务控制台页面，单击右上角“创建文件系统”按钮。 4. 进入创建文件系统页面，根据需求及界面提示进行选购并支付： 参数 说明 备注 付费方式 按量付费 仅支持按量付费的方式，请保证账户余额不低于100元。 地域 可选择创建资源的地域。 支持的资源池可查看：产品能力地图。 企业项目 选择归属的企业项目，默认为default，只能选择已创建的企业项目。 通过企业项目管理功能，可进行企业项目资源的管理和迁移。 可用区 指在同一地域下，电力、网络隔离的物理区域，可用区之间内网互通，不同分区之间物理隔离。 不同资源池部署情况不同，地域资源池下没有可用区的划分，可用区资源池下会有一个或多个可用区可供选择，例如：可用区1。 名称 系统自动生成名称，支持用户自定义修改，不可重复。 只能由数字、、字母组成，不能以数字和开头、且不能以结尾，2~63字符。 存储类型 HPC 性能型 仅支持 HPC 性能型。 集群 同存储类型下，因为组网类型、资源归属或挂载主机不同，部署了多个HPFS集群，用户可指定集群创建资源。 只有部分资源池提供多集群的选择，支持指定集群的资源池情况可查看：产品能力地图。如您选择有疑问，可提工单咨询。 性能规格 HPFS 的性能随文件系统容量线性增长，可根据自身业务场景的需求，选择不同的性能规格，创建足够容量的文件系统，则可获得对应的性能表现。支持三种性能规格，分别为100 MB/s/TB基线、200 MB/s/TB基线和400 MB/s/TB基线。 以100 MB/s/TB基线的性能规格为例，每TB容量可获得最大100MB/s的带宽吞吐能力，例如您创建5TB的文件系统，则此文件系统可达到的最大带宽为： 100（MB/s/TB） 5 （TB） 500（MB/s）。 只有部分资源池提供性能规格的选择，且不同资源池提供的规格不同，详细性能规格可查看：产品规格。 协议类型 HPFSPOSIX 文件系统的协议类型默认仅支持HPFSPOSIX协议，如需使用NFS协议挂载云主机，可创建文件系统后，开启协议服务功能实现。 详细协议选择可查看：协议相关限制、挂载访问概述。 容量 起始容量0.5TB（512GB），默认分配100TB空间用于创建文件系统。 按照文件系统配置容量计费，不是按实际写入存储量统计计费。 如有更大需求可提工单进行申请。 数量 同一订单创建相同配置文件系统的数量，受用户配额约束。 同时创建多个实例时，系统将自动在名称末尾增加数字编号后缀进行区分。用户配额可查看：产品规格。 是否编辑标签 默认关闭，开启后输入或下拉选择标签数据，完成标签绑定。 可以在在创建文件系统时，打开“是否编辑标签”的开关，输入或下拉选择标签数据，完成标签绑定。 或者在后续文件系统创建成功后，在文件系统列表为其添加标签，支持批量绑定、解绑标签。 5. 配置完成后，点击“下一步”，进入购买界面，确定相关配置，阅读并勾选《天翼云并行文件HPFS服务协议》，单击“立即购买”。 6. 创建成功后，可在并行文件服务控制台页面，单击“文件系统名称”，进入详情页，查看文件系统具体信息。

本文介绍弹性文件服务的产品规格。 规格类型 参数 SFS Turbo标准型 SFS Turbo性能型 最大带宽 1.5GB/s 2GB/s 最高IOPS 5000 30000 时延 10ms 3ms 容量 500GB起步，默认32TB上限，可提交工单申请扩大上限至320TB。 500GB起步，默认32TB上限，可提交工单申请扩大上限至320TB。 扩容步长 1GB 1GB 优势 低成本 低时延 应用场景 适用于大容量、低时延的业务，如代码存储、日志存储、Web服务、虚拟桌面等。 适用于海量小文件、随机IO密集型以及时延敏感型业务，如高性能计算、文件共享、内容管理等。 说明 提交工单后，在资源余量和网关余量满足的情况下可为您扩大单文件系统配额。 提交工单时须同时申请扩大单用户弹性文件系统总容量和单文件系统容量上限 两个配额项至所需配额。 规格说明 多台云主机可达到上述最大带宽，测试时建议使用多台云主机。 最大IOPS、最大带宽两个参数的值均为读写总和。比如最大IOPSIOPS读+IOPS写。 带宽大小与容量相关，但是由于有缓存，所以容量和性能的比例不容易体现。 IOPS大小与容量非线性相关。容量越大，性能越好，取决于实际压力情况。 时延是指低负载情况下的最低延迟，非稳定时延。时延与容量无关。

本节介绍如何查看基线检查结果。 操作场景 检查计划设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 前提条件 已进行云服务基线扫描。 仅态势感知（专业版）专业版支持“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包，需要提前在态势感知（专业版）接入企业主机安全HSS的“主机安全基线”日志且打开“主机安全基线”日志对应的“自动转告警”按钮。接入日志数据详细操作请参见接入日志数据。 操作步骤 查看某工作空间中所有检查项的检查结果。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. （可选）在左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入成页面后，在态势感知（专业版）所在行的“审计相关日志”列，开启合规基线日志设置。 每个Region的首个工作空间可自动加载当前Region所有数据，无需手动处理。后续新增的用于自定义运营的工作空间，不会自动加载数据，需要用户自定义接入。 本步骤介绍手动接入操作指导。 设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 5. 在左侧导航栏选择“风险预防> 基线检查”，默认进入检查结果页面。 6. 在检查结果页面中，查看检查项的检查结果，参数说明如下所示： 参数名称 参数说明 风险资源及风险等级 最近一次支持基线检查的检查结果中，风险资源总数、不同风险等级的不合格检查项目数据和对应的风险资源的数量。 风险等级分为：致命、高危、中危、低危、提示几个级别。 策略扫描情况 对各个云服务的资产扫描后，合格、不合格以及检查失败数据信息。 安全包遵从状态 最近一次执行基线检查后，各个安全遵从包中合格、不合格以及检查失败数据和不合格检查项目所占比例。 检查结果合格率 最近一次执行基线检查的基线合格率。 检查结果合格率 基线检查合格项 / (合格项 + 不合格项 + 检查失败项) 100%，不涉及的检查项将不会计算在内。 安全遵从包及检查结果列表 展示所有遵从包以及检查结果列表。 如果需要查看某个遵从包的检查结果，可以在左侧选择需要查看的检查规范，右侧列表中将会展示该遵从包中的检查项的检查结果详情。 单击检查结果列表右上角的设置按钮，可以对列表展示（例如，是否换行、是否固定操作列等）进行设置。 如需查看某个基线检查项详情，可以单击待查看检查项名称，进入检查项目详情页面。 在检查项目详情页面，查看检查项目的详细描述、检查过程、检查结果和对应的检查资源等详细信息。

本节介绍云下一代防火墙续费与退订。 云下一代防火墙支持续订，续订内容包含规格续订和功能续订，续订时间与订购计费模式一致，以包年/包月（预付费）方式进行，仅支持续订一个月时长。 注意 根据业务调整，云下一代防火墙已限制续订，单次续订只能选择1个月。 续订 1.用户需登录至官网，选择“产品 > 安全及管理 > 云下一代防火墙”，进入云下一代防火墙的产品页面。 2.单击“管理控制台”，进入云下一代防火墙实例管理页面。 2.勾选“我已阅读，理解并同意《云下一代防火墙》”，单击“确定”后进入支付页面，支付后等待订单完成即可。 说明 系统会提前1个月进行产品续订的提示； 云下一代防火墙建议最少提前3个工作日进行续订申请； 用户可通过登录天翼云官网或者拨打天翼云客服电话4008109889，由客服指导操作进行续订，在支付完服务费用之后即可申请续订天翼云平台【云下一代防火墙安全产品】服务。

本节主要介绍DNAT规则的常见问题。 为什么使用DNAT？ 公网NAT网关的DNAT功能绑定弹性IP，可通过IP映射或端口映射两种方式，实现VPC内跨可用区的多个云主机共享弹性IP，为互联网提供服务。 ECS变更规格后NAT网关规则失效怎么处理？ ECS变更规格时，会导致已配置的NAT规则失效，需要删除已配置的NAT规则后重新配置。