参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。

参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。

参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。

参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。

参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。

参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。

Node检查 检查项名称 说明 修复方案 检查节点是否存在 检查集群中是否存在该节点。 请检查Node在集群中是否存在。 检查节点状态是否Ready 检查节点在集群中的状态是否为Ready。 请登录到节点上执行systemctl status kubelet或journalctl exu kubelet查看节点上kubelet进程异常日志并尝试修复。 检查ECS实例是否存在 检查ECS实例是否存在。 请检查ECS实例状态。 检查ECS实例状态正常 检查ECS实例状态，实例状态异常时会影响Pod的正常运行。 请检查ECS实例状态。 检查节点状态是否不可调度 检查节点是否不可调度，不可调度的节点会影响Pod的正常运行。 节点不可调度，请检查节点调度设置。 检查节点Chronyd进程状态是否正常 检查节点Chronyd进程是否异常，该进程异常可能会影响系统时钟同步。 节点Chronyd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart chronyd重启节点Chronyd进程。 检查节点Ntpd进程状态是否正常 检查节点Ntpd进程是否异常，该进程异常可能会影响系统时钟同步。 节点Ntpd进程异常，可能影响节点系统时间同步。请尝试通过命令systemctl restart ntpd重启节点Ntpd进程。 检查节点Containerd状态是否正常 检查节点Containerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Containerd状态异常，请收集节点日志并提交工单处理。 检查节点Containerd镜像拉取是否正常 检查节点Containerd进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 检查节点Docker状态是否正常 检查节点Dockerd服务的状态，该进程异常时可能会影响Pod的正常运行。 节点Docker状态异常，请收集节点日志并提交工单处理。 检查节点Docker镜像拉取是否正常 检查节点Docker进程拉取pause镜像是否正常。 请检查节点网络及镜像配置。 检查节点Kubelet状态是否正常 检查节点Kubelet服务的状态，该进程可能会影响Pod的正常运行。 请检查节点Kubelet日志。 检查节点Kubelet启动时间 检查节点Kubelet进程启动时间。 无 节点OS版本 检查节点操作系统版本。 无 节点内核版本 检查节点内核版本是否过低，内核版本过低可能造成系统异常。 请尝试更换节点升级内核。 节点Systemd版本 检查节点systemd版本。 无 节点runc版本 检查节点runc版本，runc版本过低可能造成系统异常。 无 节点系统时间 检查节点系统时间。 无 节点硬件时间 检查节点硬件时间。 无 节点硬件时间漂移 检查节点硬件时钟与系统时间是否一致，时间相差超过2分钟可能引起组件异常。 请尝试登录节点，通过命令hwclock systohc将节点系统时间同步到硬件时间。 检查节点内存交换区开启情况 检查节点内存交换区 (Memory Swap) 功能是否开启，K8s默认要求关闭内存交换区。 当前节点内存交换区 (Memory Swap) 功能不支持开启，请登录节点关闭该功能。 检查Conntrack表使用情况 检查节点Conntrack表是否满，Conntrack表满可能影响网络性能。 请检查nfconntrackbuckets和nfconntrackmax内核参数。 检查节点访问集群API Server是否正常 检查节点能否正常连接集群API Server，访问集群中其他K8s资源。 请检查集群相关配置。检查Master组件Pod是否异常。API Server使用的负载均衡ELB是否异常。 节点DNS服务地址 检查节点能否正常使用主机DNS服务，通过主机DNS服务解析集群外域名。 请检查主机DNS服务是否正常。更多信息，请参见DNS解析异常问题排查。 集群DNS服务ClusterIP 检查集群DNS服务的Cluster IP是否正常分配，集群DNS服务异常会造成集群功能异常，影响业务。 请检查CoreDNS Pod运行状态和运行日志。更多信息，请参见DNS解析异常问题排查。 检查节点访问集群DNS服务是否正常 检查节点能否正常访问集群kubedns服务的Cluster IP，通过集群的DNS服务解析集群内域名。 请检查CoreDNS Pod运行状态和运行日志。更多信息，请参见DNS解析异常问题排查。 检查节点访问集群DNS后端端点是否正常 检查节点能否正常访问集群CoreDNS的Pod IP地址，通过CoreDNS进行域名解析。 请检查节点能否正常访问CoreDNS的Pod IP地址。更多信息，请参见DNS解析异常问题排查。 检查节点内网IP是否存在 检查节点内网IP是否存在。 节点内网IP不存在，请尝试移除节点后重新导入，移除时需保留ECS。 检查节点能否访问公网 检查节点能否正常访问公网，无法访问公网可能影响公网镜像拉取。 请检查集群是否开启SNAT公网访问。 节点CPU使用率 检查节点CPU负载是否过高，CPU负载过高可能影响系统性能。 无 节点内存使用率 检查节点内存负载是否过高，内存过高可能影响系统性能。 无

步骤三：编写Dockerfile 创建Dockerfile，这里以AIO作为基础镜像，将服务代码和配置文件复制到对应目录： plaintext FROM serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyunaio:v1.1 USER root 拷贝自己应用supervisord的配置文件到容器 COPY conf/echoserver.conf /etc/supervisor/conf.d/echoserver.conf RUN chmod 644 /etc/supervisor/conf.d/echoserver.conf 创建echoserver输出的日志目录 RUN mkdir p /var/log/supervisor/echoserver 设置应用要用的环境变量 ENV ECHOSERVERHOST0.0.0.0 ECHOSERVERPORT9000 拷贝自己的应用到容器 COPY ./server /home/user/server RUN chmod 777 R /home/user USER user 其他基础镜像地址： serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyunbase:v1.1 serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyuncodeinterpreter:v1.1 serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyunaio:v1.1 步骤四：构建并测试 shell docker build platform linux/amd64 t echoserver:v0.1 . f Dockerfile docker run d p 9000:9000 echoserver:v0.1 验证 curl 预期返回: ok 步骤五：推送镜像 将构建出来的镜像，推送到天翼云容器镜像服务CRS，后续创建自定义模板可从CRS里选择该镜像。 步骤六：创建自定义模板 进入控制台>创建沙箱模板，沙箱类型选择“自定义沙箱”，并选择上一步上传的镜像。 注意事项 端口冲突：自定义服务的内部端口不能与 AIO 内置服务冲突。AIO 内置服务端口： 沙箱管理代理envd：49983 Code Interpreter：49999、8888 BrowserTool：9223、9222 VncTool：6080、5900

查看昨日及近期的调用统计与风险趋势。 总览页面展示账号下大模型安全护栏的整体使用情况，帮助管理员快速掌握服务运行状态与风险态势。 核心指标 页面顶部展示以下昨日关键数据指标： 指标名称 说明 昨日调用次数 昨日所有检测服务的总调用次数。 昨日调用失败次数 昨日因参数错误或服务异常导致的失败次数。 昨日风险次数 昨日检测结果为“拦截”的总次数。 昨日输入风险次数 昨日文本输入检测中命中风险的次数。 昨日输出风险次数 昨日文本输出检测中命中风险的次数。 近期趋势图 页面下方提供两张趋势折线图，默认展示“最近7天”的数据，支持切换时间维度： 调用趋势图：展示每日调用次数与风险比例（%）的变化趋势，帮助识别异常流量。 输入/输出调用趋势图：分别展示文本输入调用次数与文本输出调用次数，便于对各检测服务的用量进行精细化分析。 使用建议：建议运维人员定期关注风险比例趋势，若风险比例突然显著上升，需排查是否存在业务异常或攻击行为。

本文提供SQL Server续订的相关指引和说明。 续订限制说明 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 续订操作 当产品实例到达到期时间，则会暂停相应的服务。可以通过续订操作延后实例的到期时间。 1. 实例列表中选择要续订的实例，在【更多】中选择的【续订】按钮。 2. 选择续订的时长，并完成订单支付。

本章主要介绍API认证鉴权常见问题。 是否支持HTTPS的双向认证？ 专享版：支持，在创建API时，可配置双向认证。 “无认证”方式的API该怎么鉴权与调用？ “无认证”即API网关对收到的调用请求不做身份认证，您只需要按照API提供者提供的接口说明，封装规范的HTTP请求，发送给API网关即可。 说明 无认证方式下，API网关把请求内容透传给后端服务。因此，如果您希望在API后端服务进行鉴权，可以使用“无认证”方式，API调用方传递鉴权所需字段给后端服务，由后端服务进行鉴权。 TLS加密协议支持什么版本？ API网关支持TLS 1.1及TLS 1.2版本，暂不支持TLS 1.0或TLS 1.3。 安全认证签名的内容是否包括Body体 包括。除了几个必选的请求头部参数，Body体也是签名要素之一。例如有一个使用POST方法上传文件的API，那么在签名过程中，会取这个文件的hash值，参与生成签名信息。

本节介绍购买漏洞扫描服务的操作流程。 操作场景 该任务指导用户首次使用VSS时，如何购买漏洞扫描服务的专业版、高级版和企业版扫描功能。 注意 仅支持从专业版升级至高级版，当您是专业版用户时，如果需要将专业版扫描配额包中的二级域名配额升级为一级域名配额，可以直接将专业版升级到高级版。 不支持多个版本同时存在。 不支持从专业版或高级版直接升级至企业版，当您是专业版或高级版用户时，如果需要使用企业版，请直接购买企业版。为保证您的权益，请您购买企业版后，提工单退订专业版或高级版。 购买漏洞扫描服务或配额后，不支持直接修改配额，仅支持升级规格，请谨慎操作。 前提条件 已获取管理控制台的登录帐号与密码。 购买步骤 1. 登录管理控制台。 2. 在页面上方选择区域或项目后，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理界面。 首次使用VSS，您可以在页面左侧，单击“立即购买”，进入VSS购买页面。 如果您已经体验了VSS基础版，请在页面的右上角，单击“升级规格”，进入VSS购买页面。 3. 在购买漏洞扫描服务界面，进行服务选型配置。 “计费模式”选择“包年/包月”，参数配置完成后，请执行步骤4。 说明 使用基础版的用户，可以继续使用基础版的功能，每个用户可添加的域名个数不超过5个。 当用户在使用中需要增加专业版/高级版/企业版域名扫描配额，购买的数量不能小于已购买的数量，到期时间不变。 计费模式包年/包月（专业版）： 计费模式包年/包月（高级版）： 计费模式包年/包月（企业版）： 服务选型参数说明： 参数 参数说明 规格选择 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 规格说明 对应版本支持的功能介绍。 购买时长 专业版：可以选择1个月～3年的时长。 高级版：可以选择1个月～3年的时长。 企业版：支持“1个月”、“3个月”、“1年”的购买时长。 扫描配额包 选择“专业版”时，需要配置购买的域名扫描配额包数量。 Web漏扫：包含1个二级域名或IP:端口，每个公网IP支持的端口号不限。 主机漏扫：包含20个IP地址。 购买的“扫描配额包”不能少于资产列表的网站数量。 选择“高级版”时，需要配置购买的域名扫描配额包数量。 Web漏扫：默认包含1个一级域名（不限制二级域名个数）/IP（不限制端口个数），每个公网IP支持的端口号不限。 主机漏扫：不限制IP地址个数。 选择“企业版”时，每个配额包包含如下： Web漏扫：默认包含5个一级域名（不限制二级域名个数）/IP（不限制端口个数），每个公网IP支持的端口号不限。 主机漏扫：不限制IP地址个数。 若默认的域名配额数量不能满足您的要求，您可以通过配置扫描配额包的数量，增加域名配额。 计费模式选择“按需计费”，如下图所示。 创建任务时，保持升级开关关闭，开始扫描后默认享受单次基础版扫描服务。 创建任务时，开启升级开关，开始扫描后享受单次专业版扫描服务。扫描开始后进行一次性扣费，请保障您的账户余额充足。 基于基础版创建主机扫描时，每次扫描最多20台主机，扫描开始后进行一次性扣费，请保障您的账户余额充足。 计费模式按需计费： 请参照以下操作步骤完成一次扫描任务： 1. 单击“立即体验”回到“资产列表”界面。 说明 如果没有域名，请先添加域名并完成域名认证，再在创建任务界面进行单次按需购买。 2. 单击“扫描”，进入“创建任务”界面，相关设置如图所示。 您可以打开“是否将本次扫描升级为专业版规格”开关，将本次扫描升级为专业版。 设置完成后，用户可以根据需要选择定时扫描或者立即扫描，在弹出的“付费提醒”界面，单击“同意并扫描”。 4. 参数设置完毕后，在页面右下角，单击“立即购买”。 5. 确认订单详情无误后，单击“去支付”。 如果订单填写有误，用户可以单击“上一页”，回到服务选型页面修改配置信息后再继续购买。 6. 在“付款”页面，选择付款方式进行付款。

标签管理服务(Tag Management Service,简称TMS)是一种快速便捷将标签集中管理的可视化服务,提供跨区域、跨服务的集中标签管理和资源分类功能。标签用于标识云资源,当您拥有相同类型的许多云资源时,可以使用标签按各种维度(例如用途、所有者或环境等)对云资源进行分类。

AntiDDoS流量清洗操作类问题 退订或删除云主机后，AntiDDoS流量清洗服务还在吗？ 退订或删除云主机后，AntiDDoS流量清洗服务将随之自动删除。

了解云存储一体机HBlock计费模式。 云存储一体机HBlock涉及硬件交付，选配规格更是涉及硬件选型、配置建议以及优惠价格咨询，需要线下开展。如需订购，请通过下列方式进行咨询：联系专属客户经理，拨打天翼云客服电话4008109889，或者新建业务需求单。 计费模式 提供固定规格和选配规格两种计费模式。 固定规格计费模式 云存储一体机HBlock采用云服务模式向客户提供服务，产权归天翼云科技有限公司所有。 首次购买支持按年支付，一次性支付3年可享受8.5折优惠。 首次订购服务期结束后，支持按月或按年续订。 订购到期后，天翼云将对设备进行回收处理。 计费模式 计费单位 标准资费 按月支付 元/台/月 12240 按年支付 元/台/年 86400 按3年支付 元/台/3年 220320 选配规格计费模式 云存储一体机HBlock采用云服务模式向客户提供服务，产权归天翼云科技有限公司所有。 初次订购服务期为3年，3年服务期结束后，用户可按年增购维保服务，原则上最长2年。维保到期后，天翼云将对设备进行回收处理。 集群模式3台起配，支持购买配件。 注意 前3年订购费用中不包含集成交付和一线运维支撑服务。 扩容 如果当前资源无法满足您的业务需求，可通过新订购一体机、或者购买配件进行扩容。 注意 只能使用天翼云提供的云存储一体机HBlock进行扩容，不支持使用其他厂商或普通服务器进行扩容。 退订 一经交付，不支持退订。

安装远程桌面服务和RD授权 远程桌面服务安装和配置 1 选择“服务器管理器 > 角色 > 添加角色”。 2 勾选“远程桌面服务”，单击“下一步”。 3 单击“下一步”。 4 单击“下一步”。 5 选择“始终安装远程桌面会话主机”，单击“下一步”。 6 选择“角色服务”，勾选“远程桌面会话主机”和“远程桌面授权”，单击“下一步”。 7 单击“下一步”。 8 选择“不需要使用网络级别身份认证”，单击“下一步”。 9 选择“以后配置”，单击“下一步”。 10 界面默认显示的“Administrators”能够连接到RD会话主机服务器（如果有特别需要，请添加需要的用户或组），单击“下一步”。 11 单击“下一步”。 12 单击“下一步”。 13 选择“稍后为SSL加密选择证书”，单击“下一步”。 14 选择“以后”，单击“下一步”。 15 默认，单击“下一步”。 16 选择“角色服务”，勾选“网络策略服务器”，单击“下一步”。 17 安装IIS，单击“下一步”。 18 默认，单击“下一步”。 19 默认，单击“安装”。 20 界面显示安装过程，请等待。 21 安装完成后，单击“关闭”，弹出重启服务器提示框，选择“是”自动重启服务器，单击“下一步”。 22 服务器重启后，登录会自动弹出角色服务配置窗口，自动配置完成后单击“关闭”。 23 选择“开始 > 管理工具 > 远程桌面服务 > 远程桌面会话主机配置”，在右侧窗口中双击“限制每个用户只能进行一个会话”，在“属性”中取消勾选“限制每个用户只能进行一个会话”，单击“确定”。

本章节主要介绍WAF自定义策略。 如果系统预置的WAF权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 WAF自定义策略样例 示例1：授权用户查询防护域名列表 "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] 示例2：拒绝用户删除网页防篡改规则 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“WAF FullAccess”的系统策略，但不希望用户拥有“WAF FullAccess”中定义的删除网页防篡改规则的权限（waf:antiTamperRule:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“WAF FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对WAF执行除了删除网页防篡改规则的所有操作。以下策略样例表示：拒绝用户删除网页防篡改规则。 { { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] } 多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "waf:antiTamperRule:delete" ] }, ] }

请您根据以下处置建议，对系统展开检查，减少脆弱性暴漏。 体检完成后，您可以根据体检报告及漏洞详单查看互联网业务的漏洞开放、弱口令、高危端口开放等安全问题。体检报告包含推荐的处置建议，产线可根据这些建议，完成漏洞修复并及时更新线上系统，防止被攻击人员利用，造成损失。 通用处置建议 安全体检建议对存在漏洞的主机参考附件中提出的解决方案进行漏洞修补、安全增强。 建议所有Windows系统使用"Windows Update"进行更新。 对于大量终端用户而言，可以采用WSUS进行自动补丁更新，也可以采用补丁分发系统及时对终端用户进行补丁更新。 对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。 对于存在弱口令或是空口令的服务，在一些关键服务上，应加强口令强度，同时需使用加密传输方式，对于一些可关闭的服务来说，建议关闭该服务以达到安全目的。 对于UNIX系统订阅厂商的安全公告，与厂商技术人员确认后进行漏洞修补、补丁安装、停止服务等。 由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞，攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。 建议采用安全体检系统定期对网络进行评估，真正做到未雨绸缪。 远程安全评估系统建议对存在不合规检查项的主机参考对应的检查点详情中提出的调整方案和标准值进行修正。

本小节介绍HSS自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 HSS自定义策略样例 示例1：授权用户查询主机防护列表 { "Version":"1.1", "Statement": [ { "Effect": "Allow", "Action": [ "hss:hosts:list" ] } ] } 示例2：拒绝用户卸载Agent 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“HSS Administrator”的系统策略，但不希望用户拥有“HSS Administrator”中定义的卸载Agent的权限（hss:agent:uninstall），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“HSS Administrator”和拒绝策略授予用户，根据Deny优先原则用户可以对HSS执行除了卸载Agent的所有操作。以下策略样例表示：拒绝用户卸载Agent。 { "Version":"1.1", "Statement": [ { "Effect": "Deny", "Action": [ "hss:agent:uninstall" ] }, ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version":"1.1", "Statement": [ { "Effect": "Allow", "Action": [ "hss:hosts:list" ] }, { "Effect": "Allow", "Action": [ "hss:hosts:switchVersion", "hss:hosts:manualDetect", "hss:manualDetectStatus:get" ] } ] }

前提条件 保护实例已初始同步完成，并且保护实例的状态为“同步中”、“同步完成”或者“容灾演练失败”。 保护实例的生产业务位于生产站点时，才能进行容灾演练。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待进行容灾演练的保护实例所在站点复制对的保护组数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待进行容灾演练的保护实例所在行操作列的“容灾演练”。 6. 进入容灾演练页面。根据界面提示配置容灾演练弹性云服务器的信息。 7. 单击“下一步”。进入信息确认界面，确认容灾演练的信息后，单击“提交”开始创建容灾演练。 8. 保护实例状态显示为“创建容灾演练中”，创建完成后，保护实例状态恢复为“同步完成”。 9. 容灾演练创建成功后，可从容灾演练页面进行查看，您可以登录容灾演练服务器，检查业务是否正常运行。 表 参数说明 参数 说明 取值样例 规格 选择容灾演练弹性云服务器的规格。 容灾演练名称 设置容灾演练的名称。名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 DrillECS02 网络 选择容灾演练的VPC。容灾演练VPC和容灾站点服务器所在的VPC不能是同一个。 子网 选择容灾演练的子网。 IP 选择容灾演练弹性云服务器获取IP地址的方式： 保留当前IP：当选择的子网和待容灾演练的生产站点服务器IP地址在同一网段时，此选项可以保持容灾演练服务器和生产站点服务器IP地址一致。 DHCP：自动获取IP地址。手动指定：手动指定时需填写指定的IP地址。

参数 参数类型 说明 示例 下级对象 type String 类型。取值范围：servername（服务名称）、urlpath（匹配路径） serverNameConfig Object 服务名称 serverNameConfig urlPathConfig Object 匹配路径 urlPathConfig

本文为您介绍分布式消息服务MQTT的相关术语解释。 实例（Instance） 创建购买消息队列 MQTT 服务的实体单元，包含MQTT Broke和kafka集群节点。 MQTT Broker 消息队列 MQTT 提供的 MQTT 协议交互的服务端节点，用于完成与 MQTT 客户端消息收发和数据存储至消息队列。 MQTT 客户端 用于和 MQTT 服务器交互的移动端节点。 父级 Topic（Parent Topic） MQTT 协议基于 Pub/Sub 模型，因此任何消息都属于一个 Topic。根据 MQTT 协议，Topic 存在多级，定义第一级 Topic 为父级 Topic，需先在控制台创建该父级 Topic。 子级 Topic（Subtopic） MQTT 的二级 Topic，甚至三级 Topic 都是父级 Topic 下的子类。使用时，直接在代码里设置，无需创建。需要注意的是微消息队列 MQTT 限制父级 Topic 和子级 Topic 的总长度为 64 个字符，如果超出长度限制将会导致客户端异常。 Client ID 微消息队列 MQTT 的 Client ID 是每个客户端的唯一标识，要求全局唯一，使用相同的 Client ID 连接消息队列 MQTT服务会被拒绝。 消息队列Kafka MQTT Broker主要承担移动端连接接入、连接管理、数据转发等工作。后端数据持久化和消息存储至kafka消息队列；租户后端应用系统可通过kafka分析、处理数据并下发指令。 终端连接地址 即MQTT Broker端接入地址，设备端使用。 服务端连接地址 即kakfa集群连接地址，云端应用服务使用。 订阅关系 终端设备每订阅一个主题即一个订阅关系。

查看VPN网关监控指标 通过VPN服务入口（推荐） 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 选择“虚拟专用网络 > 企业版VPN网关”。 3. 在“网关IP”列下单击网关IP后的，查看VPN网关IP状态。 支持查看“近1小时”、“近3小时”、“近12小时”、“近24小时”和自定义时间段的数据。 通过云监控服务入口 1. 登录管理控制台，单击“管理与监管 > 云监控服务”。 2. 选择“云服务监控 > 虚拟专用网络”。 3. 在“企业版VPN网关”页签下，找到对应的VPN网关，单击“操作”列的“查看监控指标”，查看对应的VPN网关状态。 支持查看“近1小时”、“近3小时”、“近12小时”、“近24小时”和“近7天”的数据。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机节点信息。

本节介绍了用户指南;存储概述。 存储概述 云容器引擎的存储功能基于Kubernetes容器存储接口（CSI），与天翼云存储服务（如云硬盘，弹性文件服务、对象存储、并行文件和海量文件等）深度融合，完全兼容Kubernetes原生的存储服务，包括 EmptyDir、HostPath、ConfigMap 和 Secret 等各种存储类型。 天翼云容器引擎集成云存储服务和原生存储服务，为应用程序提供可靠、高性能的存储解决方案。 存储类型概览 由于Container 中的文件在磁盘上是临时存放的，为了解决持久化存储以及同一 Pod 中多个容器共享文件，Kubernetes提出使用数据卷（Volume）作为Pod与外部存储设备进行数据传递的通道，也是Pod内部容器间、Pod与Pod间、Pod与外部环境进行数据共享的方式。 云容器引擎从实现方式以及存储介质上对数据卷进行划分，主要有两类： 存储类型 说明 容器存储接口 OutofTree形式存储卷，使用标准的容器存储接口形成自定义存储插件，用户可以通过PVC/PV的形式实现挂载 。 存储介质为天翼云存储，包括云硬盘、弹性文件、对象存储等类型， 一般用于存储可用性要求较高的数据，或部分数据需要共享的场景。 云容器引擎通过 cstorcsi 实现该能力。 Kubernetes原生存储 InTree形式存储卷，通过Kubernetes代码仓库统一构建、编译、发布，比如ConfigMap一般用于给Pod注入配置数据、Secret一般用于给Pod传递敏感信息。 容器存储类型概览如下: 云硬盘 弹性文件 对象存储 并行文件 海量文件 概念 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为弹性云主机和弹性裸金属服务器提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可为云上多个弹性云服务器、容器、裸金属服务器提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，通过S3协议和标准的服务接口，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 并行文件服务 HPFS（CTHPFS，High Performance File Storage）是由天翼云提供的高性能并行文件存储，具有高性能，高可靠性，高可扩展性的特点，充分满足影视渲染、自动驾驶等计算和数据密集型场景的需求。 海量文件服务OceanFS（）是天翼云推出的全托管、可扩展海量文件系统，满足海量数据、高带宽型应用场景的需求。OceanFS能够弹性扩展至PB规模，具备高可用性和持久性。 数据存储逻辑 存放的是二进制数据，无法直接存放文件，如果需要存放文件，需要先格式化文件系统后使用。 采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 将数据存储为独立的对象。每个对象由数据本身和与之相关的元数据（例如文件名、文件类型、大小等）组成。 采用文件存储方式，会以文件和文件夹的层次结构来整理和呈现数据。 采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 动态存储卷 支持 支持 支持 支持 支持 静态存储卷 支持 支持 支持 支持 支持 支持数据共享 共享盘支持 支持 支持，一般用于共享读场景，不建议用于写场景。 支持 支持 存储容量 10~ 32768GB 500~ 19480GB 不限制存储空间大小，理论上可无限扩容。 512GB~10PB 100GB~4PB 应用场景 如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化；大规模数据处理与分布式计算等高性能计算场景。 如应用程序的配置文件、日志文件等需要共享的文件数据以及在容器化应用中支持多个容器实例之间的数据共享和同步。 如大数据分析，数据湖，数据备份和归档等大规模数据存储和分析场景；静态网站托管解决方案存储。 如影视渲染、气象分析、石油勘探、EDA仿真、基因分析、AI训练、自动驾驶等计算和数据密集型场景的需求。 如HPC、媒体处理、文件共享、内容管理和Web服务等多种场景。 产品规格 参见：点这里 参见：点这里 参见：点这里 参见：点这里 参见：点这里 计费说明 参见：点这里 参见：点这里 参见：点这里 参见：点这里 参见：点这里

参数 参数类型 说明 示例 下级对象 id Integer 任务时间线自增主键 dtsJobId Integer 任务ID planModuleId Integer 模块ID type String 模块类型: 不记录MONITOR， DATACHECK, READER, STORE；枚举值：PRECHECK (预检查),STRUCT (前置结构迁移),POSTSTRUCT (后置结构迁移),FULL (全量迁移),READER (增量读取),WRITER (增量写入),STORE (增量存储),INCSERVICE (增量服务),MONITOR (监控上报),DATACHECK (数据稽查) WRITER description String 阶段描述 timeline String 模块状态： 不记录INIT：UNCONFIGURED (未配置),RUNNING (运行中),RETRYING (重试中),UPDATESUBJOB (修改同步对象中),UNPRECHECK (未预检查),PRECHECKING (预检查中),PRECHECKFAILURE (未通过预检查),PRECHECKPASS (预检查通过),MIGRATING (结构迁移中),MIGRATED (结构迁移完成),START ((全量) 开始),FULLOVER (全量迁移完成),INCSTART ((增量) 开始),STOP (暂停 (可再次启动)),PAUSE (运行异常 (可再次启动)),REVERSE (一键切换),FINISH (完成 (终结)),INCSERVICESTART (源端读取服务开始),INCSERVICEDISPATCHDONE (源端读取服务运行中),POSTSTRUCTSTART (后置结构迁移开始),POSTSTRUCTDONE (后置结构迁移完成),INCDISPATCHSTART (增量服务调度开始),INCDISPATCHDONE (增量服务调度完成，增量运行中),MONITORSTART (监控开始),MONITORDISPATCHDONE (监控调度完成),FAILOVERSWITCHING (udal 的容灾切换) RUNNING userId Integer 操作用户，用户/运维/系统 gmtCreate String 当前时点 msg String 模块信息，尤其是模块状态为FAIL的时候需要展示错误信息

参数 参数类型 说明 示例 下级对象 id Integer 任务时间线自增主键 dtsJobId Integer 任务ID planModuleId Integer 模块ID type String 模块类型: 不记录MONITOR， DATACHECK, READER, STORE；枚举值：PRECHECK (预检查),STRUCT (前置结构迁移),POSTSTRUCT (后置结构迁移),FULL (全量迁移),READER (增量读取),WRITER (增量写入),STORE (增量存储),INCSERVICE (增量服务),MONITOR (监控上报),DATACHECK (数据稽查) WRITER description String 阶段描述 timeline String 模块状态： 不记录INIT：UNCONFIGURED (未配置),RUNNING (运行中),RETRYING (重试中),UPDATESUBJOB (修改同步对象中),UNPRECHECK (未预检查),PRECHECKING (预检查中),PRECHECKFAILURE (未通过预检查),PRECHECKPASS (预检查通过),MIGRATING (结构迁移中),MIGRATED (结构迁移完成),START ((全量) 开始),FULLOVER (全量迁移完成),INCSTART ((增量) 开始),STOP (暂停 (可再次启动)),PAUSE (运行异常 (可再次启动)),REVERSE (一键切换),FINISH (完成 (终结)),INCSERVICESTART (源端读取服务开始),INCSERVICEDISPATCHDONE (源端读取服务运行中),POSTSTRUCTSTART (后置结构迁移开始),POSTSTRUCTDONE (后置结构迁移完成),INCDISPATCHSTART (增量服务调度开始),INCDISPATCHDONE (增量服务调度完成，增量运行中),MONITORSTART (监控开始),MONITORDISPATCHDONE (监控调度完成),FAILOVERSWITCHING (udal 的容灾切换) RUNNING userId Integer 操作用户，用户/运维/系统 gmtCreate String 当前时点 msg String 模块信息，尤其是模块状态为FAIL的时候需要展示错误信息

本文介绍视频直播欠费产生后的处理规则。 当天翼云客户账户中没有余额或已产生欠费，将关停客户的视频直播服务，且天翼云会通过短信通知客户充值。 关停服务 关停客户的视频直播服务，即天翼云视频直播会将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为【已停止】。1天后天翼云会将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，视频直播节点虽在7天后会删除配置，但仍会在系统数据库中保留原来的配置记录，客户可通过在线充值结清欠款，并对域名进行【启用】操作，即可恢复视频直播服务。操作步骤如下： 1. 登录直播控制台。 2. 单击【域名管理】下的【域名列表】，找到【已停止】的域名，单击【启用】。 3. 对弹出的启用确认，单击【确认启用】。 预警设置 为避免产生欠费，客户可通过在天翼云官网账户的可用额度进行预警设置。当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云官网。 2. 单击右上角【我的】，单击【费用中心】。 3. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

如何配置目的端服务器安全组规则？ 1. 登录管理控制台。 2. 单击控制台左上角，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云服务器列表，单击待变更安全组规则的弹性云服务器名称。系统跳转至该弹性云服务器详情页面。 5. 选择“安全组”页签，并单击，查看安全组规则。 6. 单击“更改安全组规则”。系统跳转至安全组页面。 7. 在“入方向规则”页签下，单击“添加规则”，配置安全组入方向的访问规则。 8. 单击“确定”，完成安全组规则配置。 源端连通专线/VPN或内网VPC对等连接，还需要连通公网吗？ 源端服务器和目的端服务器之间连通专线/VPN或内网VPC对等连接只用于数据流的传输，源端服务器和主机迁移服务端之间控制流需要通过公网传输，因此源端必须连通公网。 图 主机迁移工作原理 1、控制流：源端服务器和主机迁移服务端之间迁移指令的交互过程。 迁移指令交互包括： 步骤②：源端服务器上的迁移Agent向主机迁移服务注册自身连接状态，并将源端服务器信息上报到主机迁移服务，完成迁移可行性检查。 步骤④：迁移Agent获取并执行主机迁移服务发送的迁移指令。 2、数据流：源端服务器上磁盘数据的迁移过程。 磁盘数据迁移包括： 步骤⑤：迁移源端服务器系统盘。 步骤⑥：迁移源端服务器数据盘。

本节为您介绍云迁移服务CMS异构迁移组件应用程序任务搜索相关内容。 云迁移服务提供组件应用程序搜索功能，您可以在左侧导航栏选择迁移评估点击【异构评估】按钮，进入 [ 组件应用程序 ] 界面，选择检索时间或通过任务名称进行搜索，如图所示。

告警记录展示分组下所有告警规则的告警记录。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控服务”。 4. 单击页面左侧的“资源分组”，进入“资源分组”页面。 5. 单击资源分组列表中的其中一个分组名，进入分组资源概览界面。 6. 单击左侧导航栏的“告警记录”，即可展示该资源分组下的全部告警记录。

状态 状态属性 状态说明 服务中 稳定状态 当前伸缩组下正在承载业务，且稳定服务的云主机实例。 正在加入 中间状态 当前伸缩组下通过自动伸缩或手动操作而加入的云主机实例。 正在移出 中间状态 当前伸缩组下按照实例移除策略或手动操作而移出的云主机实例。